内控“四段论”

时间:2022-09-06 07:00:57

通过多年的案例积累,正略钧策的内控解决方案,正在接受实践的检验。

从央企和上市公司开始强制性要求加强内控到在更大范围内逐步展开,内部控制体系建设正在成为一个大的市场。北京正略钧策企业管理咨询有限公司(以下简称正略钧策)从2006年财政部着手起草《企业内部控制基本规范》时,就开始关注内部控制的经验积累和方法论形成。从中央企业,到美国上市公司,再到中国上市公司,通过多年的案例积累,正略钧策形成了一套求真务实的解决方案,并在实践中进行了检验。

正略钧策的合伙人、副总裁崔自力在接受本刊采访时指出,企业推进内部控制最好分四个阶段进行。

第一个阶段就是对企业的战略进行识别。当前中国企业大多数都还没有建立起内部控制体系,通过对企业战略的梳理,包括对集团管控、业务特点以及业务环境等的识别,可以明确企业战略对内部控制体系建设的要求是什么。根据企业的战略,了解企业内部控制的特点,风险集中体现在哪些区域。然后进行针对性地规划,确定内部控制体系建设的重心。

第二个阶段就是在企业战略目标的指导下,围绕内部控制的环境建设、风险识别、控制活动、信息与沟通、监督等五个方面的具体要求,设计公司级的内部控制。

第三个阶段就是流程级和IT级内部控制体系的建设,这是内部控制的重点,也是难点。把通过战略梳理确定的关键风险区域归结成流程图,对现有的流程进行描述,并找到这些流程中的风险点、现有的控制措施以及控制的缺失,从而制定内部控制措施、风险控制目标等。对于IT系统而言主要关注的是一般性控制缺陷,例如安全性的缺陷、硬件管理的缺陷等。通过流程级和IT级内部控制体系的建设,要形成企业的风险控制矩阵,系统性地发现风险并制定相应的控制措施。

前三个阶段主要针对公司内部控制的设计缺陷,比如公司没有战略、缺失流程,或者流程不合适存在风险,这就可以通过上述过程解决。但是我们发现,有很多企业所面临的风险不是由于设计缺陷造成的。它有制度、有流程,只是没有去严格地执行。所以需要进行第四个阶段,它主要有两项工作,一是要生成一套内部控制的体系文件,包括控制环境等多个子模块,并在此基础上形成一个持续优化的机制。二是对之前提到的公司级内控、流程级内控以及IT级内控进行跟单测试,通过测试发现运行缺陷,并针对内控建设的基本要求提出整改意见。不仅流程要整改,制度要整改,组织、文化也要整改,管理也要系统提升,通过一到两次的测试,弥补内控体系运行的缺陷,就可以让企业的内控真正做实。

上一篇:一次特殊的讨论 下一篇:内控失灵 第6期