企业如何提高内部控制能力公司管理中普遍出现的问题:中国公司市场化程度越来越高,市场竞争也更加激烈。在长期的管理咨询经历中,经历了各个行业和不同规模的公司咨询,我们认为:虽然各个公司的财务管理基于不同行业商业模式的不同而有差异之外,在财务控制及内部控制方面都存在类似的问题,我们总结如下:1.财务管理基础薄弱,财务内部控制弱化;现在财务核算或管理软件已经获得了极大的普及,各个层次或功能的财务管理或核算软件能够帮助财务人员很好的提高效率和确保核算数据的正确性和及时性。但目前公司的基础财务管理水平却与管理层对财务数据的要求有一定的差距。比如:财务资料的内部控制标准、职位分离原则的实施、审计、权限管理、决策数据支持、战略管理和业绩管理等方面都存在问题。财务发挥的作用并没有我们期望的效果。这也是很多公司在管理过程中,认为财务并没有很好的监管及控制业务的进行,而是流于形式和只是为了完成必要的程序;2.财务管理功能缺乏,明显缺乏良好有效的财务管理工具及内部控制工具。在实践管理过程中许多工具和技术并没有获得公司管理人员的执行或是运用,比如预算管理、关键业绩指标、内部控制标准、财务预警机制等。在公司实际管理过程中,财务人员耗费了大量的精力和时间在财务数据收集、整理、核算、编制财务报告方面,并没有在财务数据分类、成本削减、业绩管理、预算控制、战略管理等过程中发挥积极的作用,而是退缩于只是提供数据和信息的支持者的角色。3.公司整体缺乏内部控制机制和标准,也没有意识到内部控制给公司带来的利益。在很多跨国公司中纷纷建立了规范和齐全的内部控制标准,并将内部控制标准融入到流程设计和流程改进中,大量的进行员工培训和教育,将内部控制标准深入到所有员工的日常工作和行为中,以降低公司的商业风险和规避在商业中出现舞弊和欺诈等非正常商业行为的发生,以维护良好的公司社会形象和维护股东利益;4.由于中国公司的外部环境并没有要求公司强化内部控制标准,这种不成熟的市场化运营方式导致公司并不关心内部控制标准对公司能够带来的经济及社会利益,公司认为所谓的走“擦边球”似的路线能够帮助公司获得期望的利益,而没有考虑到由于内部控制失效对公司的造成的损害可能致命的,我们从“安然”事件中可以看到内部控制失效后对公司所带来后果。内部控制定义:内部控制一般指:1.对公司内部运做流程的审视和检测;内部控制具体执行时需要相关的内部控制审计人员对公司各个运行程序进行全面的审视和检测,包括运用必要的审计手段,比如分析性测试、内部控制水平评估、调查、现场查看等,需要完备的审计工作底稿和管理报告,并对公司管理层报告审计过程中发现的问题和提出自己的管理意见;2.流程管理的修正器和轨道;内部控制的实施需要公司具有比较完善的运营流程和流程操作手册,在实际审计及检测过程中依据公司运营流程和操作手册能够很好的判断实际与期望及事前规定的差异,能够发现流程运营过程中的冗余和不增值部分,并规范它。3.是公司内部管理不可缺少的环节;内部控制实际上是公司内部管理工作中基础和奠基,公司所有的运营流程和管理流程都需要纳入内部控制标准的范围以内。内部控制的利益:1.有助于我们达到主要创意和最佳公司目标,在我们进行内部控制标准设计的过程中,我们需要关注公司股东及战略目标,除了基础的控制措施以外,对于战略管理等方面内部控制标准能够帮助我们很好的实现战略目标。2.有助于保护我们的财产和信息、技术,在内部控制中许多原则能够帮助公司维护资产和信息、技术的安全,比如良好的复核验证程序、定期的报告和记录程序、权限管理等方式都能够帮助我们很好的维护资产、信息、技术完整。3.有助于确保我们提供可靠和及时的经营报告和财务报告,由于内部控制标准在维护财务信息和财务数据的安全和完整方面具有非常良好的技术和手段,也是将内部控制标准作为内部控制最重要的控制部分,因此有理由相信内部控制标准对于公司财务信息的维护和完善是非常有效的。4.有助于我们遵循有关的法律、法规、惯例,避免损害公司声誉和地位,在内部控制标准中,我们专门对公司对于外部环境,特别是法律法规,惯例等的维护放置到非常重要的地位。由于内部控制标准失效和执行不好而造成公司在违反法律和商业惯例方面而该给公司造成的损害,包括短期经济利益和长期社会利益方面已经有非常多的沉痛案例。内部控制的评价标准:内部控制评价的具体标准还可以分为两个层次:第一层次是内部控制要素评价标准;第二层次是内部控制作业层级评价标准。借鉴美国COSO报告的研究成果,内部控制组成要素包括控制环境、风险评估、控制活动、信息与沟通、监督五个。每一个要素又可以再分为更多的项目,例如控制环境要素涵盖的项目就有操守及价值观、执行能力、董事会、管理哲学及经营型态、组织结构、权责分派体系、人力资源政策及实行等。至于作业层级评价标准主要是控制活动要素的细化,控制活动是确保管理阶层的指令得以实现的政策和程序,旨在帮助公司保证其已针对“使公司目标不能实现的风险”采取了必要的行动。控制活动是针对控制点而制定的,公司一般根据其生产经营活动的特点来设计控制活动内部控制标准设计流程:在设计内部控制标准过程中,我们需要关注内部控制的环境。在进行内部控制标准设计中,我们需要关注:1.股东的利益需求;2.一般公认会计准则及审计准则;3.国家及地区的法律法规;4.证券交易委员会具体法律要求及其他要求;5.客户需求;同时,我们也需要关注:1.财务政策、工作程序;2.公司内部审计要求;3.公司外部审计要求;4.员工行为准则等;在现代公司中对于内部控制的建立必须以系统的观点来看待,内部控制不是单个部门能够独立完成的工作。一般的内部控制制度包括:1.员工行为准则;2.内部控制标准培训;3.工作程序准则;4.财务准则;5.电子资讯安全标准;6.公司的其他标准及政策。在综合考虑上述因素之后,我们需要对我们的各种流程进行分析及重新设计。依据管理咨询项目我们对公司前期的调查和诊断,并和公司管理层进行了充分的沟通,确认存在以下问题:1.流程控制混乱,各个流程设计不清晰;特别在涉及到流动资金管理方面的流程,比如应收帐款、应付帐款、存货管理、现金及银行存款等方面,造成公司在资金管理和流动资金流转速度不能够满足公司对于资金的要求;2.公司没有内部控制标准和相关的内部控制制度,所有的控制都存在于各个管理人员零星的自主活动中;无法依据系统化的内部控制标准进行内部管理;3.部门之间联系业务流程混乱,造成部门之间的业务配合不协调和迟滞,信息交流不通畅;4.财务基础管理工作薄弱,比如缺乏必要的财务信息及资料的管理手段和制度、基本核算业务流程不合理、财务功能缺失,必要的信息收集和来源渠道和记录没有设立等问题;5.财务人员需要获得实用的财务软件系统来降低财务核算过程中的工作量和压力;(这一点可以通过购买外部软件供应商的适合软件来解决)6.财务人员在业务运营过程中没有依据财务内部控制标准或是公司的内部控制要求进行财务监督和审核,沦为各个部门的支持和帮助,并由于各个业务部门的工作问题而导致财务部门在公司中倍受批评;7.公司缺乏统一的财务政策,造成财务人员在实际执行业务核算和业务监督过程中缺乏必要的依据和标准,也在业务监督和管理过程中师出无名。咨询顾问和公司财务部门变革小组成员共同对以上提出的问题进行了排序,依据重要性原则依次制订解决方案。1.在每个行动之间我们设计了详细的行动计划,该计划内容包括:2.行动目的;3.行动范围;4.行动方式;5.行动步骤;6.重点关注领域;7.实施内容;8.行动实施成果。该计划内容需要和公司负责该工作的管理人员达成一致;在咨询过程中一般将相关流程和内部控制标准的部门的人员共同组成改进团队,以充分获得各个职能部门和专业人员的知识及解决方案。综合考虑公司内部控制各个关键因素的要求后,确认我们需要达到的目标,一般采用最佳实践作为参照(最佳业务实践:应该是公司策略,业务流程,支持系统和组织结构的组合或其中的某一部分,它必须能够对一整套关键绩效指标(KPI),例如成本,服务质量和投资回报率等,产生积极的影响,从而给公司带来最大价值。Adersen咨询公司定义)。我们在选择最佳实践时一般采用:1.本公司过去的先进水平;2.本行业的先进水平;3.类似流程的其他行业先进水平;4.确认内部标准设计的基本内容,一般包括:5.采购流程;6.存货控制流程;7.财务报告;8.计算信息系统危机处理及控制;9.专有资讯保护;10.财产实物保护及内部控制;11.成本内部控制;12.实物盘点及清理内部控制;13.应收账款、应付账款、总账、现金内部控制;14.法规、法律内部控制。依据内部控制内容和最佳业务实践,确认在每个内部控制环节(上述环节)我们的内部控制标准,这个标准的设计非常艰难。在设计该内部控制标准的过程中,需要依据内部控制的基本原则来进行。内部控制基本原则包括:1.内部控制标准对有关资源保护、经营、财务信息的可靠性以及遵守法律和惯例等事项,2.提供合理的,而非绝对的保证。3.合理保证我们可以认为控制成本不应该超过可产生的效益。4.忠诚不渝、良好的业务判断以及一种良好的控制文化是非常重要的。5.实施控制是一个合理、良好的业务判断,而不是固定的模式,任何公司和核算单位都可以照搬的。6.内部控制更强调过程的控制,而不是对结果的处理。7.未雨惆缪,把可能发生的风险杜绝在没有发生之前。所有的内部控制标准的设计需要符合内部控制矩阵的要求,以下四条原则是非常重要和必须在设计内部控制标准中使用:1.授权2.记录3.安全/保护4.验证依据内部控制内容和最佳业务实践,咨询顾问和管理人员共同编制业务流程图和业务流程设计分析,并标注每个关键控制点,并确认每个控制点我们的内部控制方法及手段,以及必要的管理报告系统;并将所有的内部控制程序文件和流程图汇总形成完整的内部控制文件。依据内部控制标准和最佳业务实践,咨询顾问和公司管理人员共同对流程进行调整,消除流程中不增值部分,缩短流程运行时间,提高效率。在流程设计过程中,需要遵循以下原则:1.要从工作的目的出发而不是工作的过程出发定义岗位职责;2.剔除对内部客户和外部客户都不增值的部分;3.在流程设计中融入内部控制标准;4.建立流程设计过程中的业绩考核体系;5.成本和效益的配比分析,提高成本效益比;最后步骤,由于内部控制标准和流程设计是密切联系的,因此需要公司在实施该标准的前期首先对公司的员工进行长期和大范围的培训和教育。一般培训方式包括:1.正式培训,包括培训班、临时培训、职业培训;2.职业教育大学,资格教育;3.演示及过程展现;4.设计易辨认的图示标牌或是简易的说明文字,流程图;5.局域网上发布或是网上学校;6.散发资料,定期考核等;7.定期的检查和反馈会议。在进行内部控制标准实施之间,如果该部分的工作没有达到预期效果是话,将对内部控制标准的实施造成非常严重的后果。在该过程中,获得员工的认可和理解,以及理解内部控制标准对公司的重要作用及个人的作用都将会对内部控制标准的顺利实施起到良好的效果。二、我国企业内部控制规范建设中存在的问题虽然我国近年来在内部控制规范建设方面做了许多扎实有效的工作,并取得了较大的成绩,但与国际先进、成熟的内部控制规范体系相比较,仍然存在着不小的差距和一些亟待解决的问题。(一)企业对内部控制的内涵认识不清。企业普遍认为内部控制就是内部控制制度,是企业用以防止发生错误和舞弊、或者是用以应付有关部门及主管单位检查而制定的各项规章制度。在内部控制实际运行过程中,企业往往认为有关的职责分工、审批授权制度就是内部控制制度;完成有关部门或主管单位所要求的内部控制制度制定工作,就是实施了企业内部控制(潘秀丽,2005),对内部控制只注重制度建设而不重视制度执行,缺乏对内部控制实际执行效果的考核与评价。而按照COSO的ICIF框架对于内部控制的定义:企业内部控制是受企业董事会、管理当局和其他员工的影响,目的在于实现经营效果和效率、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程,应由控制环境、风险评估、控制活动、信息与沟通、监督五个方面的内容构成。COS