1、,企业内部控制体系 建设的思路和方法,杨 帅,咨询技术部,不准迟到早退 不准手机铃响 不准接打电话 不准闲话咬耳,培训课堂纪律,一、企业内部控制体系的形成过程 二、企业内部控制体系与规范化管理 三、企业内部控制体系建设的理论思路 四、企业内控体系建设实施的内容和要求,主 要 内 容,一、企业内部控制体系的 形成过程,企业内部控制体系的内涵,企业内控,跟踪 评价 查失 纠偏,注:此为企业管理角度的定义,非为会计学角度的定义。,它是内部经营风险控制管理制度的总和,是通过强化对于企业组织运行过程中工作承担者各级岗位员工的无能、失职和贪腐行为的管控以降低和消除企业经营风险的管理制度体系。 途径主要是通
2、过权力审核、权力制衡、履职标准和问责约定扼制和减少岗位员工的无能、失职和贪腐行为。 其目标是保证企业的财产安全和经营安全、效益提升,并通过保证企业的持续稳定发展保证投资人的权益不受侵犯和稳定增长。,内控控什么?,内控控什么?,从内部对经营风险进行控制,以规避和减少经营风险损失。,企业内部控制体系的渊源,上世纪80年代,美国企业虚假财务报告丑闻层出不穷,许多大公司突现经营失败,立法机构、政府监管机构和职业组织对虚假财务报告问题表现出了空前的关注。 1985年,美国注册师协会等发起成立了一个民间组织“反对虚假财务报告委员会”,研究虚假财务报告的产生原因并推荐解决办法。 该委员会在调查中发现,近50
3、的财务舞弊事件可以全部或部分归咎于内部控制失败,认为应该建立一个统一的、可操作的内部控制框架。 “反对虚假财务报告委员会”的五个发起组织成立了一个委员会,即COSO,建立之初的目的是负责研究开发一个内部控制的权威性定义和指南。 COSO在1992年9月完成了这项任务,内部控制-综合性框架,通常被称为COSO报告。,8,COSO将内部控制定义为:“内部控制是受企业董事会、管理层和其他职员共同作用,为实现经营效果性和效率性、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。”其目标有三: 经营的效果和效率 财务报告的可靠性 法律法规的遵循性,9,企业内部控制体系框架,目标
4、中没有把资产安全包括进来,对于经营效果和效率的合理保证界定,也是模糊的。,控制环境(Control environment)。 它影响企业员工的行为选择意志和工作能力,是所有企业内部控制的基础。风险评价(Risk assessment)。 每个企业都面临来自内部和外部的种种风险,只有通过评价,才能确定应对方法。控制活动(Control activity)。 它是确保管理层的指令得以执行的政策及程序,是管理层识别和评估风险后,对控制这些风险所采取的针对性措施。信息与沟通(Information and communication) 。内部控制的全过程都需要高质量的信息以及顺畅的沟通。高质量信息具
5、有内容相关、正确、提供及时以及便于获取等特征。高质量的信息还须能以适当的形式及时、准确地传递至信息需求者。 内部监控(Monitoring) 。这一活动由持续监督、个别评价所组成,目的是确保企业内部控制能持续有效的达成目标。,10,内部控制的五个要素,11,内部控制的五个要素,12,内部控制设计COSO报告明确的原则,相互牵制原则。它是指一项完整的经济业务活动,必须分配给具有互相制约关系的两个或两个以上的部门(或岗位)分别完成。授权控制原则。它是指企业单位应该根据各岗位业务性质和人员要求,相应地赋予作业任务和职责权限,规定操作规程和处理手续,明确纪律规则和检查标准,以使职、责、权、利相结合。成
6、本效益原则。贯彻成本效益原则,即要求在实行内部控制花费的成本和由此而产生的经济效益之间要保持适当的比例,实行内部控制所花费的代价不能超过由此而获得的效益。协调配合原则。协调配合原则要求各部门之间、人员之间应相互配合、协调同步、紧密衔接,避免只管相互牵制而不顾办事效率的做法,导致不必要的扯皮和脱节现象。整体结构原则。企业内部控制系统,必须包括控制环境、风险评估、控制活动、信息与沟通、监督五项要素,并覆盖各项业务和部门。,企业内部控制体系的演变,2001年安然事件爆发后,美国于2002年出台了萨班斯(SOX)法案,美国证券交易会于2003年6月份就萨班斯法案第404条所制定的“最终条例”明确表示C
7、OSO内部控制框架可以作为评估企业内部控制的标准。2004年,美国公众公司会计监督委员会(PCAOB)发布了第2号审计准则,要求注册会计师对公众公司财务报告内部控制有效性进行审计,明确提出COSO内部控制框架可以作为企业内部控制体系建立的参考性标准。 2010年9月,COSO启动了企业内部控制整体框架审核与更新项目,并聘请普华永道会计师事务所(PWC)作为项目的支持方,着手新框架的制订工作。2010年9月至2011年1月,COSO在问卷调查的基础上确定对COSO内控框架进行修订和更新的思路,维护原有框架。2011年12月,COSO发布了新框架的征求意见稿,2013年5月正式发布。,萨班斯(SO
8、X)法案,萨班斯法案,又被称为萨班斯奥克斯利法案,其全称为2002年公众公司会计改革和投资者保护法案,由参议院银行委员会主席萨班斯(Paul Sarbanes)和众议院金融服务委员会(Committee on Financial Services)主席奥克斯利(Mike Oxley)联合提出,又被称作2002年萨班斯-奥克斯利法案。 2001年12月,美国最大的能源公司安然公司,突然申请破产保护,此后,公司丑闻不断,规模也“屡创新高”,特别是2002年6月的世界通信会计丑闻事件,“彻底打击了(美国)投资者对(美国)资本市场的信心”(Congress report, 2002)。为了改变这一局面
9、,美国国会和政府加速通过了萨班斯法案(以下简称SOX法案。法案的第一句话就是“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。”它对在美国上市的公司提供了合规性要求,使上市公司不得不考虑控制IT风险在内的各种风险。,2004年10月,COSO委员会对应SOX法案对内部控制一一整体架构(Internal Control一Integrated Framework)做了进一步的延伸和扩展,提出了企业风险管理整合框架(Enterprise Risk Management一Integrated Framework)。,15,内控要素,内控要素,内控目标,内控目标,内控范围,内控范围
10、,16,COSO报告2013版在框架、定义、要素、体系上与1992版的框架一致。其变化主要有五: 1细化了内控框架的结构内容。新框架最显著的变化是在旧框架的基础上,提炼出内部控制五要素的17项总体原则。每一项总体原则又由代表其重要特征的多个关注点所支持。这些关注点旨在为管理层提供具体的指引,协助其设计、实施和执行内部控制,以及评估相关原则是否存在和发挥效用。 2扩大了报告目标的范畴。 1992版框架中的内控三个目标之一是财务报告的可靠性,目的是为了满足外部监管要求,确保编制可靠的公开发表的财务报告,而新的内控框架在报告要求既要面向外部投资者、债权人和监管部门,确保报告符合有关监管要求;又要面向
11、董事会和经理层,满足企业经营管理决策的需要。在报告内容上除了包括传统的财务报告,还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。新的COSO内控框架共有四类报告目标:内部财务报告、内部非财务报告、外部财务报告以及外部非财务报告。,3强调管理层判断的适用。新的COSO框架是作为“原则”来呈现的,即强调“基于原则”由管理层判断决定其具体方式。管理层可以自由判断新框架所提供关注点的合适度或者相关度,从而使实施灵活,节省投入。4强化公司治理的理念。新框架包括了更多的公司治理中有关董事会及其下属专门委员会(包括审计委员会、薪酬委员会、提名与治理委员会等)的
12、内容,强调董事会的监督对内部控制有效性的重要作用。5增加了反舞弊与反腐败的内容。与旧框架相比,新框架包含了更多的针对舞弊与欺诈的内容,并且把管理层评估舞弊风险作为内部控制的17项总体原则之一,重点加以阐述。6充分考虑了不同商业模式和组织结构的内部控制。随着经济全球化的发展、技术的不断进步和人才竞争的加剧,企业在运营过程中更多地使用第三方提供的产品或服务,为适应价值链管理的需要,新框架专门分析了不同商业模式和组织结构下内部控制的有效性问题。,17,修订原因,大规模的治理和内部控制失效事件所带来破坏性影响不可忽视: (1)上世纪90年代金融衍生产品的彻底崩盘; (2)美国长期资本管理公司事件; (
13、3)安然丑闻 (4)近期全球金融危机,修订原因,失败案例进一步提出了内部控制需要关注的重点: (1)管理层逾越控制 (2)利益冲突 (3)缺乏职责分离 (4)透明度不足或欠缺 (5)风险管理不同统一协调 (6)董事会监督无效 (7)导致职能失调或渎职行为的薪酬结构失调等。,上述问题都说明企业对内部控制框架的预期作用越来越高,对其能防范和监测舞弊的要求不断提升,在这样的环境下,对COSO的修订势在必行。,新旧变化对比,新框架七大重要变化,明确列示了用以支持内部控制五大要素的原则。,1,2,3,4,5,6,7,明确了目标设定在内部控制中的作用。,反映了科技日益深入的相关性。,更深入地讨论了有关治理
14、的理念。,扩大了报告目标类别(范畴)。,加强了对反舞弊预期的考虑。,更加关注非财务目标。,2013版的重大变化,明确17项原则和79个关注点,2013版的重大变化,明确17项原则和79个关注点,2013版的重大变化,明确17项原则和79个关注点,2013版的重大变化,明确17项原则和79个关注点,2013版的重大变化,明确17项原则和79个关注点,2013版的重大变化,明确17项原则和79个关注点,扩展报告目标范围,内部财务报告,外部财务报告,内部非财务报告,外部非财务报告(内部控制报告,企业遵循IS09001的情况报告,可持续报告等),内部控制目标进一步扩展,明确了目 标设定在 内部控制 中
15、的作用。,COSO的新框架能够更容易被应用于设定企业目标。1992年版本框架指出,目标设定是一个管理流程,而且是内部控制的先决条件。新框架虽然保留了这个观点,但它将相关讨论内容从风险评估章节移到较前的章节,以强调目标设定并不是内部控制的一部分。,内部控制框架进一步体现时代感:,反映科技日益深入带来的变化,信息技术已经从用于处理批量交易的庞大的独立主机环境,发展为高度复杂,分散且移动的应用程序,不仅涉及实时活动,还有横跨众多系统,组织和流程,这科技会影响五要素的实施方式。,更深入地讨论了有关治理的理念。,主要涉及董事会及其下属委员会,如审计委员会,薪酬委员会和治理委员会,强调董事会监督对有效控制
16、的至关重要性,加强了对反舞弊预期的考虑,新框架关于无比的论述明显增多,并以将舞弊单独作为内部控制的一项原则来分析。,我国内部控制体系的发展过程,1999年10月31日,修订后的会计法首次以法律的形式对建立健全内部控制提出原则要求。其第四章会计监督第27条要求,各单位应当建立、健全本单位内部会计监督制度。 2001年6月22日,财政部发布内部会计控制规范基本规范(试行)、内部会计控制规范货币资金(试行)。 2006年5月17日,证监会发布首次公开发行股票并上市管理办法。第29条规定“发行人的内部控制在所有重大方面是有效的,并由注册会计师出具了无保留结论的内部控制鉴证报告”。这是中国首次对上市公司
17、内部控制提出具体的要求。 2006年6月16日,国资委发布中央企业全面风险管理指引,对全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等进行了阐述。,30,2006年7月15日,财政部发起成立了企业内部控制标准委员会;中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。 2007年2月1日,证监会发布上市公司信息披露管理办法,明确提出上市公司必须建立信息披露内部管理制度。 2007年3月2日,企业内部控制标准委员会公布企业内部控制规范基本规范和17项具体规范的征求意见稿。 2008年6月28日,财
18、政部会同证监会、审计署、银监会、保监会制定并印发企业内部控制基本规范(以下简称基本规范)。自2009年7月1日起执行。 基本规范要求企业建立内部控制体系时应符合以下目标:“合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”目标的设置在COSO风险管理整合框架的4目标基础上增加了 “资产安全”这一要项。,基本规范借鉴了以美国COSO内部控制整合框架为代表的国际内部控制框架,在形式上借鉴了 COSO内部控制整合框架5要素框架,在内容上体现了COSO风险管理整合框架8 要素框架的实质。其8要素实质是细化表述了风险管理的过程:风险识别、风险
19、分析和风险应对策略,并且在风险应对策略中比照COSO风险管理整合框架说明了风险规避、风险降低、风险分担和风险承受4种应对策略。 2010年4 月26日财政部、证监会、审计署、银监会及保监会联合发布了企业内部控制配套指引,其中包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引。 配套指引自2011年1月1日起在境内外不同类型的上市公司施行。同时,鼓励相关非上市大中型企业提前执行。,31,32,18个应用指引,可以划分为三类,即内部环境类指引、控制活动类指引和控制手段类指引,涵盖了企业资金流、实物流、人力流和信息流等内容。其内容在基本规范的基础上作了大量补充,加进了保障经营
20、安全和经营效益的内容,这与COSO报告大不相同。 评价指引为企业对内部控制的有效性进行全面评价,形成评价结论、出具评价报告提供指引。 审计指引为会计师事务所对特定基准日与财务报告相关内部控制设计与执行有效性进行审计提供指引。 2012年5月7日国资委和财政部联合行文正式颁布中央企业内部控制建设工作指引。要求各中央企业要高度重视内部控制工作,统筹协调,周密部署,抓紧推进内部控制建设与实施工作,采取有力措施保证内部控制有效执行,推动经营管理水平不断提升。 中央企业内部控制建设工作指引是财政部等五部门发布的20项指引的简化版,虽然关注内容陈述概括一些,但要求更高。,什么才是好的内控?,全面性 全程性
21、 有效性,基于规范化管理的内控体系,基因育种,育苗植株,培土浇水,给养 强体,打药治病,钻孔除虫,和基于财务审计的内控体系,打药治病,钻孔除虫,基于规范化管理的内控体系,服务和保障企业的持续稳定发展,服务和保障企业经营团队的事业安全,基于财务审计的内控体系,防止和规避 企业内部人控制的风险,服务和保证企业各级管理人员“不出事”,VS,两类不同的内控体系的对比,内控发展趋势,强调高级管理层的控制责任 大力提倡和营造一种“控制文化”. 充分关注对企业全部风险的评估 控制活动已成为企业日常工作的一部分 非常强调信息与交流 对内部控制的评价已成为管理层日常监管与现场检查的一部分 与企业管理日渐一致,是
22、体系化的企业管理,内控体系的内涵:跟踪 评价 查失 纠偏 内控的渊源:财务造假-COSO报告 内控的结构框架:控制要素-遵循原则-控制类别 内控的五个要素:控制环境,风险评价、控制活动、信息与沟通、内部监控 内控的COSO报告的原则:相互牵制、授权控制、成本效益、协调配合。整体构架 内控的演变:塞班斯法案 COSO新旧内控的对比: 我国的内控发展过程:会计法、会计监督、企业内部控制规范、企业内部控制配套指引 基于财务的内控:审计结果 基于规范化的内控:管理过程 内控的趋势,小 结,科学高效的内控体系的建设实施,内容提要,一、企业内部控制体系的形成过程 二、企业内部控制体系与规范化管理 三、企业
23、内部控制体系建设的理论思路 四、企业内控体系建设实施的内容和要求,企业内部控制制度建设的内容,一个视点 两条途径 三个主体 四个层次 五个要素,42,从什么样的角度进行控制:解决为谁服务的问题。 两个选择:股东投资人权益最大化;组织持续存在、稳定发展。,企业内部控制制度建设的内容,一个视点 两条途径 三个主体 四个层次 五个要素,43,通过权力审核进行控制:假定上司比下属聪明、尽业。 通过权力制衡进行控制:假定是人都有自私异化的一面。,企业内部控制制度建设的内容,一个视点 两条途径 三个主体 四个层次 五个要素,44,企业组织内部成员,包括各级各类主管和普通员工。 独立的外部审计机构,包括各类
24、会计事务所、法律事务所等。 主管机构,包括所属总公司、母公司和政府主管部门。,企业内部控制制度建设的内容,一个视点 两条途径 三个主体 四个层次 五个要素,45,组织层次:法人治理和组织架构。 业务层次:存在经营风险的业务环节。 权限设定:各级岗位员工的权力限制。 评价提升:体系完整性、贯彻全面性、制度有效性的认定和提升改进。,企业内部控制制度建设的内容,一个视点 两条途径 三个主体 四个层次 五个要素,46,企业规范化管理 与企业内部控制制度建设的关系,47,企业规范化管理,企业内部控制体系建设,规范化管理的完整定义,规范化管理就是,通过一套公开透明、上下认同、系统完整、行之有效的游戏规则实
25、现的,目标严格指向企业价值增值和积累的管理。,规范化管理的实施强调未雨绸缪,不仅治已病,更要治未病。这就是运用无缝链接管理系统技术,通过系统分析,把企业组织运行的全过程分解为多个流程构成的多个系统模块后,在流程优化的基础上,建立“三位一体”的管控规则体系,并配套制定经营管控、绩效管理和薪酬管理等管控规则,实现企业发展能力载体由个人向组织体系转换。,科学高效的内控体系 为企业持续稳定发展保驾护航的作用,企业发展逻辑的 系统分析模型,科学高效的内控体系 为企业持续稳定发展保驾护航的作用,企业衰败逻辑的 系统分析模型,三位一体的管控规则,部门工作标准 风险分析 流程活动协调标准分析 流程活动方式标准
26、分析 流程活动成果标准分析 流程活动跟踪问责标准 ,企业内部控制体系建设 与企业全面风险管理的关系,外部经营风险,生产安全风险,内部经营风险,小结,内控建设内容:一个视点、两条途径、三个主体、四个层次 规范化管理定义、 内控体系的作用:企业持续稳定发展 内控体系的管控规则:三位一体(责任制度、跟踪表单、标准流程),科学高效的内控体系的建设实施,内容提要,一、企业内部控制体系的形成过程 二、企业内部控制体系与规范化管理 三、企业内部控制体系建设的理论思路 四、企业内控体系建设实施的内容和要求,内控管理出发点 经营风险的内涵及存在原因 经营风险管控的理论思路 风险管控思路:四维防控网 经营风险的管
27、控做法,企业内部控制体系建设的理论思路,内控控的是什么?风险怎么造成的?那么我们先来分析一下对象,弗洛伊德的心理动力 结构理论,企业经营风险的内涵及其存在原因,企业经营风险管控缺失难免使企业发展陷困:失控就是损失和危机 企业经营风险与企业经营全过程同在:见下图 委托代理关系是企业经营风险存在的内在原因:见下图 环境发展变化仅仅是企业经营风险存在的外在原因:主因在内 岗位员工不负责任是企业经营风险存在的直接原因:企业组织运行的工作都是人承担的,而人难免因自身原因而使工作做不到位和失误 缺少制衡的权力是企业经营风险存在的重要条件:没有权力制衡,岗位员工无能、失职、贪腐难免,69,70,71,企业经
28、营风险管控的理论思路分析,强化内部管控是企业经营风险管控的最重要途径:所有失险事件的发生,都不能简单地归因于外部原因,而是都有内部管控失控的原因在起作用 仅仅有集体负责的决策机制也无助于降低企业经营风险:见下图 仅仅集中决策权力也无助于降低经营风险:集中决策转移了责任主任,仅仅能避免下属失职贪腐的问题,无能的问题仍然存在 强健的企业法人治理结构是风控的第一道防线:法定约束原则、职责明确原则、协调运转原则、有效制衡原则防线 健全的权力制衡机制是风控的第二道防线:见下图 细化的组织运行过程跟踪是风控的第三道防线:通过“三指定”扼制人的心智缺陷 避、防、导、塑四维防控网组合才能全面扼制经营风险:见下
29、图及分析,72,避、防、导、塑四维防控网,74,75,76,“四维防控网”之避:用人授权谨慎措施分析,对任何岗位人员的选拔任用,都必须明确其素质能力要求和道德操行要求,以使选拔任用人有明确的标准,以堵住任人唯亲的裙带关系用人和随心所欲的拍脑袋用人的经营损失隐患。 分析明确岗位的利益引诱的大小,以便对照利益引诱的大小确定其用人的道德操行标准。尽管一个人的道德操行会随着利益引诱的上升而递减,但有道德操行的人抗拒利益引诱的能力毕竟要强一些。 对于利益引诱大的岗位人员选拔,必须把道德操行的鉴别判断作为一项选人用人的重要工作落实,以保证尽可能避免选拔任用了没有道德操行的人给企业经营带来风险隐患。 对于有
30、重大利益引诱的岗位人员的选拔任用,尽可能避免空降和直升,强调通过层层逼近以降低用人的风险,即先让被任用者在相对较小的利益引诱岗位任职,通过考核确认其道德操行后再逐步提升到利益引诱大的岗位任职。 组织必要的忠诚度测评,对候选人的价值需求进行交流评估,明确其所寻求的价值需求内涵和满足限度,通过保证被任用者的价值需求满足与岗位职责履行的回报与之间的吻合,以减少其攫取违法违规之利的内在驱动力。,77,“四维防控网”之防:细分权力制衡措施分析,78,在组织架构上,绝对避免把交易和处置资源的完整权力,授予同一个部门、单位或岗位。针对利益引诱大的岗位,直接通过对人权、财权、事权进行细分的基础进行组织架构,消
31、除笼统的权力授予和垄断性权力的存在。 在对权力进行细分的基础上,强化左右制衡,即决策制定拍板,除了诸如安全事故发生等危急事件之外,都有必须由不同的三个以上岗位员工共同认定生效的制度安排。 在对权力进行细分的基础上,强化程序上的上下游活动制衡,即在决策制定过程中,除了诸如无关大碍的议题之外,都有提案、议案、定案的程序分工形成的相互制约控制的制度安排。 在对权力进行细分的基础上,强化心理制衡,即在重大决策的论证和制定上,做出有决策的论证主持人和制定拍板人大声报告决策论证和制定的理由,并宣誓没有掺杂个人的私利的制度安排。 强化组织运行过程留痕管理,让涉及到一定利益引诱的职责履行活动都留下、留足其行为
32、过程的痕迹,以便于事后进行无限期的责任追溯。这就是在信息化实现之前,做出凡是组织运行的过程表单都得有责任人签字存档的程序安排。,“四维防控网”之导:普建规则约束措施分析,79,在对企业组织运行过程进行系统分析的基础上,进行系统模块和流程分析,保证规则系统完整,内容全覆盖,没有空白和死角。 对每一个流程都确立“三位一体”的管控规则,由流程标准,提供行事方式方法的最佳选择约束,扼止低效无效和随意性的行事方式方法;由管控制度,提供有违行为的强制纠偏约束,扼止脱离行事方式方法的最佳选择的选择;由跟踪表单,把组织运行过程印迹记录下来,串连责任关系,以便明确责任和分析改进。 达成“三指定”要求:即相对于决
33、策人员,只有指定的方法,没有自选的方法;相对于管理人员,只有指定的活动,没有自选的活动;相对于作业人员,只有指定的动作,没有自选的动作。 达成“三平等”要求:即在制度制定上,管理者与被管理者平等,以提升制度执行的自觉性;在现场作业中,一般作业人员与隔级上司平等,以消除等级观念对规则体系的冲击;在责任承担上,直接上司与直接责任人平等,以消除责任空隙导致的失控可能风险。 达成“三公”要求:即权责对等,权利由贡献和责任决定,保证公正;一视同仁,对任何人都没有岐视和偏袒,保证公平;用阳光消毒,在桌面上讨论与对方有利害关系的事,拒绝暗箱操作,保证公开。 达成“三盯住”要求:即在流程设计过程中,时时处处盯
34、住流程所要达成的目标,以避免人浮于事的投入浪费损失;在流程优化过程中,盯住流程活动中的次次件件报批环节,以避免责任层层上交的低效风险;在流程衔接过程中,时时刻刻盯住流程衔接接口的内容、数量、质量、时间、地点等五个内容的具体化、明确化和数量化,以保证监督检查的方便。,“四维防控网”之塑:监检常在有恒措施分析,80,实行“三不符问责”:即在组织运行过程中,行为活动有标准,与标准不符要问责,以保证管控规则标准落实;行为活动无标准,活动原则有约定,与约定不符要问责,以保证没有具体标准的行为活动也有约束,不致与企业发展的原则相违;活动原则无约定,活动方向有通理,与通理不符要问责,以稳定岗位履职人的道德操
35、行,使之不至于有偷机钻空子的侥幸心理形成。 强化管理监督检查、专业监督检查、相互监督检查、自我检查约束的连动,使之相互支撑,在不增加管理投入的情况,以保证规则贯彻落实的监督检查的常在和持恒。 在连动的管理监督检查、专业监督检查、相互监督检查、自我检查约束中,以自我检查约束为基础,以相互监督检查约束为中心,不断完善和强化相互监督检查的有效性和权威性。 达成“三下移”要求,以保证责权对等。通过“三下移”决策制定主体,非战略性的内容下移到现场;管理监控主体,流程性的内容下移到岗位之间;报销审核主体,预算确定的内容下移到活动直接主管。 实行无限期追溯问责,不仅要对违规行为进行问责,依规则惩处,而且要对
36、规则的缺失的无规则约束损失和规则约束低效的间接损失责任进行追溯和查处,以保证有人为规则的不完整和不健全承担责任,进而以不断完善强化规则体系本身。,经营风险的管控做法:,组织架构管控 权限设定管控 岗位履职管控 决策管控管控 风险库建设管控 企业经营隐患跟踪规则管控 道德风险预警管理管控 问责管理管控,企业经营风险的组织架构管控方法,现实企业组织架构缺少经营风险管控作用的原因:组织架构缺少最基本的论证 组织架构设计全面系统思考的方法:见下图 组织架构设计强化权力制衡的方法:确立无缝链接基础上的权力细分制衡架构,82,83,企业经营风险的权限设定管控方法,现实企业管理权限设定缺少风险管控作用的原因
37、:粗放的笼统的授权 细分权力是达成权力制衡的关键:见下图 权力细分授予的原则要求:服务于权力制衡的需要,避免形成笼统的权力。兼顾组织运行效率和权力寻租防范。 细分权力授予的具体方法:按照流程关系授予、按照岗位等级授予、按照职能作用授予和按照项目进程授予 终极裁决权的额度设计方法:责任承担能力与授权支配的资源相当,避免把权授与赌徒,84,强化风控作用的岗位履职管理方法,岗位履职管理的关键是理顺委托代理关系:见下图 强化风控作用的履职过程跟踪的思路分析:确立岗位流程工作标准,见下图 强化风控作用的履职三维考核体系建设方法:见下图,86,87,企业经营风险的决策制定管控方法,现实企业决策制定管理缺少
38、经营风险管控作用的原因:自由裁量权过大,或是混同于社会事务决策,见下图 决策制定管理的价值分析方法:资产效能分析评价计量模型 决策制定管理的风险分析方法:风险量值、涉险能力、避险措施、风险源域分析 决策制定管理的可操作性分析方法:资源的可满足性分析,89,企业经营风险库建设与管控方法,企业经营风险库建设的现状分析:信息不系统、缺少原因和应对措施分析,见下图 作流程结构分析以梳理企业组织运行过程的方法:见下图 作流程活动梳理以定型企业组织运行方式的方法:保证流程进程活动顺畅不掉扣 普查登记企业经营风险点的方法:位点、状态、原因、额度、等级、措施均具 分级确定风险管控重点的方法:见下图,91,二者
39、对应不当,不是造成经营风险管理失控,就是造成投入浪费。,企业经营隐患跟踪规则确立方法,企业经营隐患跟踪管理的现状分析:见下图,重结果,轻过程的管理实施 服务于风险库建设的普查式跟踪方法:见下图,对照风险库中的已有风险点信息,对企业组织运行的全过程进行排查 强化前瞻性心理控制的经营风险提示跟踪:对应流程活动起动时,填制经营风险提示单进行跟踪。 强化管控效益的风险分级跟踪方法:分别大小投入资源,95,96,97,岗位员工道德风险预警管理方法,企业经营风险预警与道德风险预警的关系:见下图 道德风险的内在根源及其计量方法:利益引诱计算,紧盯交易值 利益引诱值降减预警方法:细分权力授与 利益引诱值的权力
40、集中降减方法:实现上下制衡 自我现实原则和超我完美原则心理作用强化预警方法:公示利益引诱 教育跟踪强化自我现实原则和超我完美原则心理作用的预警方法:不给逃避责任的机会,98,99,企业经营风险管控问责管理方法,企业经营风险失险与失责查处的关系:见下图 企业经营风险管控失险责任分辨方法:分辨直接责任、管理责任、协同责任 岗位员工失责问责标准确立方法:见下表 岗位员工过责查处兑现方法:严是爱,见下图,不做可怜的水母,100,101,102,103,小结,内控管理出发点:控制无能、贪腐、失职 经营风险的内涵及存在原因 经营风险管控的理论思路 风险管控:四维防控网 经营风险的管控做法:组织架构、权限设
41、定、岗位履职、决策管控、风险库建设管控、企业经营隐患跟踪规则、道德风险预警管理、问责管理,科学高效的内控体系的建设实施,内容提要,一、企业内部控制体系的形成过程 二、企业内部控制体系与规范化管理 三、企业内部控制体系建设的理论思路 四、企业内控体系建设实施的内容和要求,企业内部控制体系,一个基础 一套制度 一簇边界 一个保障 一个机制 一个平台,一个基础经营风险库建设的工作和方法,一套制度内控手册拟订完善的工作和方法,一套制度内控手册拟订完善的工作和方法,一套制度内控手册拟订完善的工作和方法,一套制度内控手册拟订完善的工作和方法,一套制度内控手册拟订完善的工作和方法,一簇边界岗位履职权限边界约
42、定的方法,申请权:对具体事项提出请求的权力。 提议权:对须通过一定程序进行决策的方案进行设计的权力,亦可称之为立案权,包括提请上会、审签和人员任职提名等内容。 审核权:这是相对于决策方案内容中的信息或报告信息的准确性和真实性的认定权,可指出信息的不准确、不真实内容,但无权直接修改调整,并可由多人多级享有。 审阅权:这是相对于决策方案内容的完整性和合理性的认定权,有权直接对决策方案进行修改补充调整,并可由多人多级享有。,权限指引表中的权力细项名称及定义,一簇边界岗位履职权限边界约定的方法,审批权:这是相对于决策方案内容的可接受性和可选择性的认定权。受程序限制,最后审批权,也就是审定权,但与审定权
43、有一不同,即它包含报上级机构或岗位阅知的义务。上级的阅知意见,其权力主体可采纳,亦可以通过说明原因的方式而不采纳。该权力可由多人多级享有。 审议权:这是对决策方案进行斟酌,并以建议的形式表达其意见的权力,权力机构或岗位行使审议权所形成的建议,被建议机构或岗位必须采纳;非权力机构或岗位行使审议权所形成的建议,被建议机构或岗位必须参考,不一定采纳,但必须回复。该权力可由多人多级享有。,权限指引表中的权力细项名称及定义,一簇边界岗位履职权限边界约定的方法,权限指引表中的权力细项名称及定义,审定权:这也是相对于决策方案内容的可接受性和可选择性的最后裁决权,不可由多人多级享有,也不再有报上级阅知的义务。
44、 会签权:这是相对于决策方案内容的完整性和合理性及其信息的准确性和真实性的认定参与权。 阅知权:这是相对于决策方案内容信息及选择意见的知情权和纠偏提示权。该权力仅可由上级机构或岗位享有。 参与权:这是在决策方案的形成过程中提出自己的意见并承担对应事务工作的权力。 备案权:这是相对于决策方案内容信息及选择意见的汇总统计权和知情权。,一簇边界岗位履职权限边界约定的方,一个保障业务流程活动制衡管控的方法设计,一个保障业务流程活动制衡管控的方法设计,一个保障业务流程活动制衡管控的方法设计,一个机制内控自评体系及其自组织作用的强化方法,一个机制内控自评体系及其自组织作用的强化方法,一个机制内控自评 体系
45、及其自组织作用的强化方法,一个机制内控自评 体系及其自组织作用的强化方法,一个机制内控自评体系及其自组织作用的强化方法,一个平台内控体系信息化平台建设的方法,没有在信息化上努力,内部控制制度规则靠手工运行。 有了信息化,不好用,也没人用,仅仅只是个摆设。 信息化仅在内部控制职能部门用,数据靠讨,执行靠叫。 信息化总成企业管控,所有管控全部在系统中完成。,企业内部控制体系 信息化平台建设的现状,一个平台内控体系信息化平台建设的方法,管理标准化 标准体系化 体系总成化 总成无缝化,企业内部控制体系信息化平台建设的四化要求,一个平台内控体系信息化平台建设的方法,企业内部控制体系信息化平台建设程序,数
46、据分析 系统规划 文档梳理 模板设计 总体架构 建数据库 模板编程 模板集成 接口规制 功能协同 测试调适 上线运行 系统维护 系统升级,“三公”要求,公正,权责对等,权利由贡献和责任决定。 公平,一视同仁,对任何人都没有岐视和偏袒。 公开,用阳光消毒,在桌面讨论与他人有利害关系的事,拒绝暗箱操作。,在思想意识上,破除等级观念和权本位制度。 在资源使用上,破除单位部门独占垄断权力。 在管理实施上,破除只问结果不问过程的陋思。,截杀 自大 自私 自愚 之贼,“三破除”要求,在流程标准制定中,跨越单位部门的内容,相互沟通认同。 在流程组织中,相邻流程活动主体,相互承担责任。 在流程标准执行中,行为
47、活动是否恰当,相互监督检查更正。,确立对方的主体地位,给予对方主体我实现的机会。,“三相互”要求,尊重人,充分给人意志表达的机会,并且不得无端忽视,让人感到被尊重而暖心。 信任人,不用低下动机度量人,用高尚意愿对待人,让人感到被信任而暖心。 关怀人,认定他人的价值,关注其得失和安危,提供保护,让人感到被关怀而暖心。,“三暖心”要求,决策制定主体,非战略性的内容下移到现场。 管理监控主体,流程性的内容下移到岗位之间。 报销审核主体,预算核定的内容下移到活动直接主管。,“三下移”要求,左右制衡,决策制定拍板,除了诸如安全事故等危急事件之外,都必须由同事三人共同认定。 上下制衡,决策制定过程,除了诸
48、如无关大碍的议题之外,都必须有提案、议案、定案的程序分工控制。 心理制衡,决策制定论证,由决策人大声报告决策的理由,并宣誓没有掺杂个人的私利。,“三制衡”要求,在制度制定上,管理者与被管理者平等。 在现场作业中,一般作业人员与隔级上司平等。 在责任承担上,直接上司与直接责任人 平等。,“三平等”要求,标准制定自我认同,强化自我约束。 绩效考核自我计算,强化自我激励。 薪资多少自我选择,强化自我意志。,自我选择 自己负责,“三自我”要求,相对于决策人员,只有指定的方法,没有自选的方法。 相对于管理人员,只有指定的活动,没有自选的活动。 相对于作业人员,只有指定的动作,没有自选的动作。,“三指定”
49、要求,流程标准,提供行事方式方法的选择约束,扼止低效无效和随意性的行事方式方法。 管控制度,提供有违行为的强制纠偏约束,扼止脱离流程标准的行为方式方法选择。 跟踪表单,把组织运行过程印迹记录下来,串连责任关系,以便明确责任和分析改进。,“三位一体”要求,经营决策处处不离安全、质量、成本三基点,思考判断不违安全、质量、成本三基点的顺序。 员工管理时时不离安全、质量、成本三基点,程序制度不违安全、质量、成本三基点的顺序。 组织运行事事不离安全、质量、成本三基点,行为活动体现安全、质量、成本三基点的顺序。,“三不离”要求,在企业组织运行整体流程中,把方便让给客户。 在企业组织运行的三类价值活动中,把方便让给直接价值活动承担人。 在企业组织运行的特定流程中,把方便让给流程下游活动承担人。,
