基于COSO框架的建筑施工企业内部控制体系建设

精品文档可编辑基于COSO框架的建筑施工企业内部控制体系建设作者：捷盟咨询顾问杨云飞摘要：企业内部控制已经逐渐成为我国当代企业发展与进步的重要手段之一，对于高风险的建筑施工企业有更加重要的意义。研究发现，我国建筑施工企业内部控制薄弱，风险管理不到位。本文基于COSO内控框架和《企业内部控制配套指引》，在分析建筑施工企业行业特点和管理现状的基础上，给出建设内部控制体系的建议。一、建筑施工企业行业特点及现状由于建筑产品具有不同于一般商品的技术及经济特点，决定了施工企业存在许多行业特征，与一般工业企业相比较，施工企业在生产和管理上具有以下的特点：生产的流动性、生产周期长、生产的非重复性、露天作业、机械化及自动化水平不高、生产协作关系复杂、生产管理层次及其组织结构不易保持固定的形式、管理难度大、设计和施工脱节。针对具体建筑施工企业，也呈现出不同以往的企业特点。首先，业务的地域跨度越来越大，中国的建筑施工企业更多地走向国际市场参与竞争。其次，业务范围越来越宽，越来越多的建筑施工企业具备道路、桥梁、港口等建筑施工资质。最后，建筑施工企业集团化管理的组织结构日趋多元化，这无疑增大了管理的难度和复杂度。现阶段，受固定资产投资热，特别是金融危机后我国实施基础建设投资计划的影响，建筑施工企业保持了较高的增长速度。经过几年精品文档可编辑的快速发展，建筑行业产能开始过剩，市场过度竞争，成本大幅增加，企业利润普遍降低。同时，建筑行业频繁出现问题，从工程质量不达标到企业项目出现重大亏损。后高铁时代到来，铁路投资减速引发的多米诺效应，让建筑施工企业从资金、成本到生产经营陷入到从未有过的困局。现在大量铁路在建项目普遍出现了融资难、投资无法到位、工程款大量拖欠等问题，项目推进困难。综合以上建筑施工企业行业特点和经营环境现状，不难看出加强企业管理的必要性和紧迫性。借助现在转型的关键时刻和财政部、证监会等五部委适时推出的内部控制制度建设的要求，建筑施工企业要系统的学习并做出改革的决心。针对目前建筑施工企业内部控制体系的实际情况，进行全面、系统的调查和分析，制定合理完善、利于企业长远发展的内部控制制度，为企业经营的效率性、财务报告的可靠性、相关法规的遵循性等目标的实现提供合理保证。二、COSO内部控制框架(一)内部控制定义COSO（TheCommitteeofSponsoringOrganizationsofTheNationalCommissionofFraudulentFinancialReporting）内部控制框架认为，内部控制是由企业董事会、经理层及其他员工实施的，为运营的效率，财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。(二)内部控制结构和要素精品文档可编辑内部控制结构COSO把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三项目标以及控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。按控制内容，内部控制分为公司整体和业务流程两个层次。内部控制要素1.控制环境控制环境是企业的一种基调、氛围，直接影响企业员工的控制意识，也是其他一切要素的基础和核心。它包括管理层的经营理念和经营风格；董事会或审计委员会的监管和指导力度；企业的权责分配方法和人力资源政策；员工的诚信、职业道德和工作胜任能力等。2.风险评估每个企业都面临着来自内部和外部的不同风险，这些风险都必须加以评估。评估风险的先决条件是制定目标。风险评估就是分析和辨认实现所定目标可能带来的风险。3.控制活动企业管理阶层辨识风险，继之为应针对这种风险发出必要的指令。控制活动是确保管理阶层的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。4.信息与沟通信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都精品文档可编辑要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。5.监控内部控制系统需持续监控。监控是由适当的人员，在适当及时的基础上，评估控制的设计和运作情况的过程。通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。五要素中，各个要素有其不同的功能，内部控制并非五个要素的简单相加，而是由这些相互联系、相互制约、相辅相成的要素，按照一定的结构组成的完整的、能对变化的环境做出反应的系统。控制环境是整个内控系统的基石，支撑和决定着风险评估、控制活动、信息传递和监督，是建立所有事项的基础；实施风险评估进而管理风险是建立控制活动的重点；控制活动是内部控制的主要组成部分；信息传递贯穿上下，将整个内控结构凝聚在一起，是内部控制的实质；监督位于顶端的重要位置，是内控系统的特殊构成要素，它独立于各项生产经营活动之外，是对其他内部控制的一种再控制。内部控制结构图如下图1所示：精品文档可编辑图1内部控制结构图三、建筑施工企业内部控制薄弱表现(一)对内部控制认识不够，妨碍实施全面控制管理由于建筑施工企业的特殊性，长期以来，建筑施工企业普遍存在重生产轻经营、重技术轻管理的思想，很多企业还未意识到内部控制的重要性，对内部控制存在很多误解。有的企业将内部控制片面地理解为内部成本控制、内部会计控制、内部资产安全控制等，未能全面理解内部控制的含义。有的企业对内部控制的认识还停留在内部牵制阶段或者认为有了内部审计机构和内部审计制度也就是建立了企业内部控制制度。有的企业虽然建立了一系列内部控制制度，但仅仅停留在表面的手册、文件和制度上，照搬国外成功企业内控模式，但并不适用于本企业实际情况，未能有效发挥内部控制的作用。还有的企业只注重制度的文字编写环节，严重忽略了如何执行制度、判断和报告制度执行的状况、矫正制度执行的偏差等方面，导致内部控制执行精品文档可编辑不利。更有甚者，认为内部控制就是为了应付上级或股东的要求而制定的条条框框，根本没有内部控制的意识。(二)控制环境建设薄弱控制环境是企业内部控制的一个重要组成部分，它是构成一个组织的氛围，影响其他因素的基础，是由企业全体职工，主要是企业管理者所造就的，是充分有效的内部控制制度得以建立和运行的基础和保证。企业经常出现高层管理者不遵守内部控制制度规定的现象，高层管理者不按程序操作，且超越权限限制，频频使用例外原则，导致内部控制制度威慑力下降。另外组织机构设置不合理，普遍存在机构臃肿，管理层次多，部门之间缺乏必要的交流，信息沟通不灵敏，协调性差，再加上人员素质等方面的原因，至使企业内部控制普遍薄弱。(三)内控组织规划设计缺乏科学性和全面性一个企业内控制度的建立一般都要遵循合法性、有效性、全面性和及时性原则。合理的组织分工是保证经济业务按照既定目标执行、提高生产效率和保护资产的重要条件。同时，也是内部控制方式中关键的环节。当前，不少建筑施工企业的组织机构仍然沿袭着计划经济那一套老的模式来设立，或者是形式上虽然按现代企业制度要求设立，但实际运行中还是两层皮。对于规模化和集团化的建筑企业而言，从集团公司到子公司，再具体到每个施工项目单位，都应首先因地制宜设置科学有效的组织规划控制，避免组织设置重复，实用性不强。(四)风险评估控制普遍不足，企业抗风险能力差提起内部控制，人们通常都是指的内部会计控制、行为授权控制精品文档可编辑等，往往忽视了风险评估。风险评估的首要任务是目标设定，很多企业的风险识别的方式原始、单一，效果欠佳。一些建筑企业被动应付风险，没有具体的风险分析程序和制度，没有风险预警机制和应对措施。在市场经济越来越成熟的情况下，风险评估已经成了企业共同的工作要求，失当的风险评估甚至可以摧毁一个企业。这在建筑施工企业显得更加突出，中国铁建在沙特轻轨项目上采用EPC+O/M总承包模式进行施工，由于风险评估失当导致40亿美元巨亏。风险控制在现代企业越来越重要，它是企业一项基础性和经常性的内部控制工作，必要时企业应设置风险评估部门或岗位，专门负责有关风险的识别规避和控制。(五)信息与沟通不到位及时、准确的信息沟通与交流有助于提高内部控制的效率和效果。建筑施工企业由于项目告诉分散、多工种交叉作业等特点，信息与沟通这一要素显得更加重要。目前面临的主要问题包括信息化投入水平较低、存在信息孤岛现象、协调不力、沟通机制不健全等。四、对建筑施工企业内部控制建设的建议在COSO框架的基础上，2010年4月26日，财政部会同证监会、审计署、国资委、银监会、保监会在北京发布了《企业内部控制配套指引》（18项），该配套指引连同2008年5月发布的《企业内部控制基本规范》，共同构建了中国企业内部控制规范体系。配套指引可以划分为三类，即内部环境类指引、控制活动类指引、精品文档可编辑控制手段类指引，基本涵盖了企业资金流、实物流、人力流和信息流等各项事务和事项。内部环境类指引内部环境类指引包括组织架构、发展战略、人力资源、社会责任和企业文化。控制活动类指引企业在改进和完善内部环境控制的同时，还应对各项具体业务活动实施相应的控制。控制活动类指引包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告。控制手段类指引控制手段类指引偏重于“工具”性质，往往涉及企业整体业务或管理。控制手段类指引包括全面预算、合同管理、内部信息传递和信息系统。基于以上18项配套指引，以制度为平台，以控制为手段，以流程为对象，以风险为导向来构建企业内控体系。内控体系建设可分为以下三个阶段：第一阶段调研诊断成立内控建设小组，对业务的深入调研，全面分析和诊断，识别所有的主要风险。第二阶段体系建立梳理完善各项业务的管理制度和控制措施，编制针对风险的内控手册，对制度和手册进行辅导实施的推进。第三阶段自我评价编制规范的内控评价底稿，对内控进行自我评价，编制和披露内控自我评价报告，对内控缺陷的改进和完善，聘请第三方进行内控审计。对建筑施工企业，以下几个方面在内控体系建设中尤为重要：精品文档可编辑(一)优化内部控制环境加强和完善企业内部控制，首先应注意企业内部控制环境的建设。完善的公司治理结构主导着对内部控制的内部需求，因此合理的组织架构和健康的企业文化对建筑施工企业内部控制的构建和完善至关重要。企业应该有效地发挥监事会的监督职能，独立董事的设立可以发挥董事会内部的制衡和制约作用，进一步发挥审计委员会监督内部控制有效实施和内部控制自我评价职能。(二)强化风险管理建筑施工企业属于高风险行业，因为建筑施工企业施工环节多、周期长，需要多工种交叉作业，面临着更多的质量、安全、经营等不确定性。有效的风险管理要求提高企业负责人和员工的风险意识，组建专门的团队、专业技术人员进行风险分析和管理。做到在事前积极防范，发生时能及时化解，具体到从投标之前就应该进行风险评估，在中标之后到生产经营过程中，无论是工程质量、进度、安全以及资金运营的全过程，对可能产生的风险加强防范和识别，周密地分析企业所处的经济环境，从而制定应对风险的有效措施。通过风险预警、风险识别、风险评估、风险分析、风险报告等措施，对企业面临的经营风险和财务风险进行全面的防范和控制。(三)提高内部信息沟通控制建筑施工企业具有资金规模大、管理跨度大、地域分布广、内部管理难等各种特殊性质。这就需要通过有效的技术手段将这些复杂的内容贯穿在一起，形成一个具有整体效果的企业内部控制体系。建筑精品文档可编辑施工企业应建立收集、处理和传递的信息沟通程序，建立自己的信息数据库。利用数据分析技术对信息数据库中的数据进行数据挖掘，提高信息的应用水平。加强信息化建设，建立完善的办公自动化系统、财务信息系统、人力资源关系信息系统和资产管理信息系统，保证企业内部员工、各部门能够通过办公系统和信息系统及时顺畅交流，沟通公司内外部信息。建立季