第一篇:coso 内部控制框架在施工企业的应用研究
最新【精品】范文 参考文献
专业论文
COSO 内部控制框架在施工企业的应用研究
COSO 内部控制框架在施工企业的应用研究
摘要:建筑业是国民经济的支柱产业之一,建筑施工企业是建筑市场的经营主体,担负着向社会提供建筑产品的重任。然而,目前我国施工企业的总体水平不高,距离现代建筑生产经营的要求有较大差异,许多企业仍采用传统分散经营、“小而全”的管理模式,沿用落后的施工工艺和粗放的管理方法,风险管理缺失,导致出现工程质量差、物料消耗高、经济效益低等问题。本文基于美国COSO内部控制框架的五大要素,结合施工企业的特点,分别从施工企业的控制环境、风险管理、控制活动、信息与沟通及监督方面进行论述,提出了一些管理方法、工具,以对施工项目管理水平的提高起到促进作用。
关键词:施工企业 COSO报告 内部控制系统 风险管理
一、COSO内部控制框架
美国政府为了加强对市场的监管,出台了内部控制及公司治理的相关措施,其中COSO委员会于1992年提出、并于1994年修改的《内部控制整合框架》将内部控制定义为由企业董事会、管理层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。内部控制由控制环境、风险评估、控制活动、信息和沟通以及监督这五个要素构成。上述三类目标是企业的努力方向,而五个要素则是实现目标的必要条件,二者相互关联。五个要素之间相互协调,共同构成对不断变化的环境做出动态反应的有机整体。进入21世纪后,风险管理备受全球关注,COSO委员会于2004年发布了《企业风险管理整合框架》,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监督八个要素。我国于2008年发布了《企业内部控制基本规范》,该规范中对内控的描述与《内部控制整合框架》基本相同。
二、施工企业的控制环境
内部控制在施工企业具有广泛的适用性,然而,目前我国施工企业的内部控制还相当薄弱,主要表现在内部控制环境差,风险评估意
最新【精品】范文 参考文献
专业论文
识淡薄,控制活动不严密,信息与沟通不流畅以及监督检查流于形式这五个方面。从我国施工企业内部控制的现状来看,构建一个理想的内部控制体系势在必行。控制环境是五个要素中最基本的要素,被视为其他四个要素的基础。施工企业的控制环境主要包括以下四个方面。
(一)高管层的重视与支持
施工企业内部控制是企业管理中一项综合性很强的工作,涉及到施工工作的各个环节,影响每个职工的切身利益,尤其是对高管层权力具有约束作用。例如针对分包队伍管理这一问题,有些单位将该权利交由主管领导一人决定;若实施内部控制制度,则需要全员共同参与决策。因此,内部控制制度是否能够在施工企业顺利、有效展开实施,良好的控制环境能否在施工企业建立,高管层的重视和支持起关键性作用。
(二)与施工企业相适应的用人机制
施工企业的施工现场很多地处偏远山区,生活及工作环境比较恶劣,致使许多施工企业出现了关键技术员工辞职、离职的现象,严重影响施工生产的正常运行。如果企业缺乏完善的人事制度,企业的管理、运转,甚至生存都将面临危险。因此,对施工企业来讲,一套较为完善的人事制度,应该包括员工的录用制度、培训制度、考核制度、晋升制度以及激励和福利制度等。
(三)加强施工企业文化建设
文化是企业的灵魂,优秀的企业文化是一种无形的力量和源泉,能够引导每一位员工以良好的精神面貌完成每一项管理和控制工作。施工企业的流动性决定了其企业文化的特殊之处。施工现场文化主要体现为文明施工建设,主要包括规范现场的场容管理,保持作业环境整洁卫生;做好现场物资、机械、安全、技术、保卫和消防等方面管理;施工现场各种标识牌和标语的管理;员工娱乐设施管理,减少对居民和环境的不利影响等。施工工地的文明施工水平是该项目工地乃至所在企业各项管理工作水平的综合体现,也是施工企业文化特色的集中表现。
(四)合理、高效的施工企业组织机构
最新【精品】范文 参考文献
专业论文
施工生产的单件性、露天性和流动性的特征,使施工企业的组织形式,尤其是现场组织形式,处于动态组合状态。面对日益复杂多变的市场环境,组织机构的设置应有利于企业走向市场,同时有利于增加企业经济效益。
三、施工企业的风险管理
施工企业常见的风险类型包括经营风险、管理风险以及财务风险等方面。施工企业应树立风险意识,分析风险的类别及其特点,划分风险的责任范围,针对各个风险控制点建立有效的风险识别、评估、响应和监控等风险管理流程系统。通过各种具体措施,缩小风险范围,降低风险系数,明确风险目标,加强管理,提高工作效率,减少风险损失,保证施工生产的正常运行。
施工企业风险管理的循环一般包括四个环节。(1)风险识别环节,应分析工程项目风险,识别风险来源。(2)风险评估环节,应根据项目风险的严重性,发生的可能性、可控性来评估风险。(3)风险响应环节,应确定工程项目风险的应对措施。(4)风险控制环节,应建立风险预警系统、制定应急计划。
四、施工企业的控制活动
施工企业内部控制活动的关键控制点主要包括项目资金、项目采购、工程质量、工程成本以及工程项目资源。
(一)项目资金的内部控制
施工企业的流动性及投资的巨大性,决定了资金控制除了授权批准制度以及不相容职务分离外,建立资金结算中心模式更有利于整合遍及全国乃至海外的众多项目资金。
(二)项目采购的内部控制
建设工程项目成本的70%左右均为材料成本,因此降低材料成本是降低生产成本的关键所在,而要降低材料成本,材料采购是最关键的环节之一。根据世界银行贷款项目的货物采购等有关招标采购文件,并结合我国施工企业的实际情况,施工项目物资采购的一般程序为确定采购计划、采购方式、签订合同、执行合同、物资验收以及资料归档。
(三)工程质量的内部控制
最新【精品】范文 参考文献
专业论文
工程质量是企业的生命,且工程质量又与工程安全密切相关,因此推行全面质量管理,建立全面质量管理体系,采用科学方法对工程质量采用“一切用数据说话”的基准进行判断,才能确保工程施工质量。
(四)工程成本的内部控制
施工项目成本费用管理效率的水准对施工企业的绩效改善和持续发展极其重要,应实行项目全面成本管理责任体系,将材料控制、劳动控制、机械设备控制、项目间接费控制等方面作为实施重点。
(五)工程项目资源的内部控制
项目资源的内部控制,即各生产要素的管理,一般分为五个阶段,即投标、签约阶段,施工准备阶段,施工阶段,验收、交工与竣工结算阶段,用户服务阶段。项目资源的内部控制是一个综合管理的过程,是优质、高效建筑产品的诞生不可省略的过程之一。
五、施工企业的信息与沟通
信息沟通的方式很多,施工企业一般通过财务信息系统、内部报告系统进行沟通。
(一)财务信息系统
目前,施工企业实行的是财务多级核算模式,具体表现为各个施工队会计代理报账至各个项目部;各个项目部将其财务报表上交各个分公司;再由各个分公司将其财务报表上交集团总公司。施工企业应结合企业流程再造的思想对企业的组织和业务流程进行重新审视,建立与企业分散施工特点相符的组织结构。同时,在现有的已实施会计电算化的基础上,依托网络技术逐步推进企业内部所有核算单位的会计信息的集中管理模式,逐步改变目前实行的多级管理核算模式(见上图)。
(二)内部报告系统
常用的内部报告体系包括施工生产经营报告体系、资本经营报告体系、预算执行报告体系等三大体系。具体地,施工生产经营报告体系包括财务状况分析报告、项目经理述职报告、施工生产安全报告、施工生产经营报告以及施工质量控制报告;资本经营报告体系包括筹资及其成本报告、所得税报告以及对外投资报告;预算执行报告体系包括收入中心预算执行报告、成本中心预算执行报告、费用中心预算
最新【精品】范文 参考文献
专业论文
执行报告、利润中心预算执行报告以及投资中心预算执行报告。
六、施工企业的监督
在施工企业内部控制的监督过程中,内部审计和自我评估两项职能发挥着重要作用。
(一)内部审计
施工企业的内部审计既是企业内部控制的一个重要组成部分,又是监督企业内部控制是否严格执行,促进内部控制制度不断完善的重要力量。内部审计主要包括严格审计程序,规范审计行为,确保审计质量;合理设置审计机构,提高内部审计的独立性与客观性;构建信息化方式下,内部审计监督新模式、新方法;合理配备审计人员,提高审计人员素质等方面。
(二)自我评估
在进行内部控制自我评估,编写内部控制自我评估报告时,应就以下八个方面的内容进行披露。(1)声明公司董事会对建立健全和有效实施内部控制负责,并履行了指导和监督职责,能够保证财务报告的真实可靠和资产的安全、完整。(2)声明已经遵循有关标准和程序对内部控制设计与运行的健全性、合理性和有效性进行了自我评估。(3)对开展内部控制自我评估所涉及的范围和内容进行简要描述。(4)声明通过内部控制自我评估,可以合理保证公司的内部控制不存在重大缺陷。(5)如果在自我评估过程中发现内部控制存在重大缺陷,应披露有关的重大缺陷及其影响,并专项说明拟采取的改进措施。(6)保证了已披露的内部控制重大缺陷之外,不存在其他重大缺陷。(7)自资产负债表日至内部控制自我评估报告报出日之间,如果内部控制的设计与运行发生了重大变化,应说明重大变化情况及其影响。第八,依法披露的内部控制自我评估报告,经董事会审议批准后方可公布。
参考文献:
1.Kevin Buehler,Andrew Freeman,Ron Hulme.Owning the Right Risks[J].Harvard Business Review,2008,(09).2.Keith Wade,Andy Wynne.控制自我评估理论及应用[M].北京:中国财政经济出版社,2008.最新【精品】范文 参考文献
专业论文
3.卜永军.建设工程项目管理一本通[M].北京:地震出版社,2007.4.方红星译.内部控制――整合框架[M].大连:东北财经大学出版社,2008.5.刘霄仑译.SOA与内部审计新规则[M].北京:中国时代经济出版社,2007.6.刘晓红,徐玖平.项目风险管理[M].北京:经济管理出版社,2008.7.内部控制课题组.企业内部控制基本规范解读与案例分析[M].上海:立信会计出版社,2008.8.商德福.施工企业的管理与控制活动初探及案例风险[J].经营管理者,2013,(3).9.中国注册会计师协会.公司战略与风险管理[M].北京:经济管理出版社,2013.10.财政部、审计署等.企业内部控制基本规范[M].北京:中国财政经济出版社,2008.------------最新【精品】范文
第二篇:COSO内部控制要素
COSO内部控制要素
COSO是指美国反对虚假财务报告委员会所属的内部控制专门研究委员会——发起机构委员会(COSO)。它包括美国注册会计师协会,内部审计师协会,财务经理协会,美国会计学会,管理会计协会。标准名称:《内部控制-整体框架》 标准组织:发起组织委员会COSO 隶属机构:美国国会的反对虚假财务报告委员会(NCFR)
标准作用:研究导致虚假财务报告的偶发因素,并为上市公司及其独立审计师,为SEC(美国证券交易委员会)和其他监管机构以及教育机构提供建议 形成时间:形成于1985年,报告1992年发布
COSO报告:1992年COSO委员会经过多年研究,针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括,发布《内部控制一整体框架》报告,即通称的COSO报告。
根据COSO内控框架,公司层面的内部控制由以下五个部分组成: 1.控制环境 2.风险评估 3.控制活动 4.信息与沟通 5.监控
为了实现内部控制的有效性,需要下列五个方面的要素支持:(五要素)–控制环境
任何企业的核心是企业中的人及其活动。人的活动在环境中进行,人的品性包括操守、价值观和能力等,它们是构成环境的重要要素之一,又与环境相互影响、相互作用。环境要素是推动企业发展的引擎,也是其他要素的核心。–风险评估
企业必须制定目标,该目标必须和生产、营销、财务等作业相结合。为此,企业也必须设立可辨认、分析和管理相关风险的机制,以了解自己所面临的风险,并适时加以处理。–控制活动
企业必须制定控制政策及程序,并予以执行,以帮助管理当局保证其控制目标的实现,其用以辨认并用以处理风险所必须采取的行动业已有效落实。–信息与交流
围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。– 监测 整个内部控制的过程必须施以恰当的监督,通过监督活动在必要时对其加以修正。监控是一个评价内部控制运行组织的过程。
2004年9月,COSO委员会顺应风险管理与内部控制相融合的趋势,吸收了风险管理的研究成果,结合《萨班斯——奥克斯莱法案》,正式颁布《企业风险管理整体框》。组成要素:内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控。
内部控制整体框架由控制环境、风险评估、控制活动、信息和沟通和监控五个要素组成。
企业风险管理整体框架对这五个要素进行深化和拓展,演变为内部环境、目标设定、事件识别,风险评估、风险应对、控制活动、信息与沟通和监控八个要素,并首次提出了清晰的风险管理流程:
1)目标制定——事项识别——风险评估——风险反应——控制活动。2)以企业内部环境为基础,借助信息与沟通进行,并处于监控之下。
COSO于2013年5月14日发布《2013年内部控制--整体框架》,整体框架的17项原则:
本框架确立了十七项原则代表了与每个控制要素相关的基本概念。因为这些原则直接从控制要素中提炼,一个组织可以直接应用全部这些原则来实施内部控制。
这些原则都可以应用于运营、报告和遵循三类目标。这些每个控制要素内的原则如下:
控制环境
1、组织对正直和道德等价值观做出承诺。
2、董事会独立于管理层,并对内部控制的推进与成效加以监督控制。
3、管理层围绕其目标,在治理层监督下,建立健全组织架构、汇报条线、合理的授权与责任等机制。
4、组织对吸引、开发和保留与认同组织目标的人才做出承诺。
5、组织根据其目标,使员工各自担负起内部控制的相关责任。风险评估
6、就识别和评估与其目标相关的风险,组织做出清晰的目标设定。
7、组织对影响其目标实现的风险进行全范围的识别和分析,并以此为基础来决定风险应如何进行管理。
8、组织在风险评估过程中,考虑潜在的舞弊行为。
9、组织识别和评估对内部控制体系可能造成较大影响的改变。控制活动
10、组织选择并开展控制活动,将风险对其目标实现的影响降到可接受水平。
11、对(信息)技术,组织选择并开展一般控制以支持其目标的实现。
12、组织通过合理的政策制度和保证这些政策制度切实执行的流程程序,来实施控制活动。
信息与沟通
13、组织获取或生成,并使用相关、有质量的信息来支持内部控制发挥作用。
14、组织在其内部沟通传递包括内部控制的目标和责任在内的必要信息以支持内部控制发挥作用。
15、组织与外部相关方就影响内部控制发挥作用的事宜进行沟通。监督活动
16、组织选择、推动并实施持续且(或)独立的评估以确认内部控制的要素是存在且正常运转的。
17、组织在相应的时间范围内,评价内部控制的缺陷,并视情况与那些应采取正确行动的相关方(如:高级管理层,董事会)沟通。
第三篇:COSO内部控制与企业风险管理
COSO内部控制与企业风险管理
1985年,由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务报告委员会(通常称Treadway委员会),旨在探讨财务报告中的舞弊产生的原因,并寻找解决之道。两年后,基于该委员会的建议,其赞助机构成立COSO(Committee of Sponsoring Organization,COSO)委员会,专门研究内部控制问题。1992年9月,COSO委员会发布《内部控制整合框架》(COSO-IC),简称COSO报告,1994年进行了增补。这些成果马上得到了美国审计署(GAO)的认可,美国注册会计师协会(AICPA)也全面接受其内容并于1995年发布了《审计准则公告第78号》。由于COSO报告提出的内部控制理论和体系集内部控制理论和实践发展之大成,成为现代内部控制最具有权威性的框架,因此在业内倍受推崇,在美国及全球得到广泛推广和应用。
→在《COSO内部控制整合框架》中,内部控制定义为 :由一个企业的董事会、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:(1)财务报告的可靠性;(2)经营的效果和效率;(3)符合适用的法律和法规。《COSO内部控制整合框架》把内部控制划分为五个相互关联的要素,分别是(1)控制环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)监控。每个要素均承载三个目标:(1)经营目标;(2)财务报告目标;(3)合规性目标。
→自1992年美国COSO委员会发布《COSO内部控制整合框架》以来,该框架已在全球获得广泛的认可和应用,但理论界和实务界一直不断对其提出一些改进建议,强调内部控制整合框架的建立应与企业风险管理相结合。2002年颁布的萨班斯法案也要求上市公司全面关注风险,加强风险管理,在客观上也推动了内部控制整体框架的进一步发展。与此同时,COSO委员会也意识到《内部控制整合框架》自身也存一些问题,如过分注重财务报告,而没有从企业全局与战略的高度来关注企业风险。正是基于这种内部和外部的双重因素,新框架必须出台以适应发展需求。
→2003年7月,美国COSO委员根据萨班斯法案的相关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft),该讨论稿是在《内部控制整合框架》的基础上进行了扩展而得来的,2004年9月正式颁布了《企业风险管理整合框架》(COSO-ERM),标志COSO委员会最新的内部控制研究成果面世。
→COSO企业风险管理的定义 :“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架,为公司的董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的重要信息。企业风险管理本身是一个由企业董事会、管理层、和其他员工共同参与的,应用于企业战略制定和企业内部各个层次与部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内进行多层面,流程化的企业风险管理过程,它为企业目标实现提供合理保证。
→在内部控制整合框架五个要素的基础上,COSO企业风险管理的构成要素增加到八个:(1)内部环境;(2)目标设定:(3)事项识别;(4)风险评估;(5)风险应对;(6)控制活动;(7)信息与沟通;(8)监控。八个要素相互关联,贯穿于企业风险管理的过程中
COSO是全国虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)的英文缩写。根据萨班斯法案第404节条款以及美国证券交易委员会(SEC)的相应实施标准,要求公众公司的管理层评估和报告公司最近的财务报告的内部控制的有效性。2004年3月9日,PCAOB发布了其第2号审计标准:“与财务报表审计相关的针对财务报告的内部控制的审计”,并于6月18日经SEC批准。SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制—综合框架》(也称“COSO内部控制框架”)。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。
1992年Treadway委员会经过多年研究,针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括,发布《内部控制一整体框架》(Interna Control-Integrated Framework)报告,即通称的COSO报告。该报告第一部分是概括;第二部分是定义框架,完整定义内部控制,描述它的组成部分,为公司管理层、董事会和其他人员提供评价其内部控制系统的规则;第三部分是对外部团体的报告;是为报告编制报表中的内部控制的团体提供指南的补充文件;第四部分是评价工具,提供用以评价内部控制系统的有用材料。
COSO报告提出内部控制是用以促进效率,减少资产损失风险,帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标:经营的效率和效果(基本经济目标,包括绩效、利润目标和资源、安全),财务报告的可靠性(与对外公布的财务报表编制相关的,包括中期报告、合并财务报表中选取的数据的可靠性)和符合相应的法律法规。
[编辑本段] COSO报告中内部控制的组成
1.控制环境(Control environment)
它包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提供的关注和方向。控制环境影响员工的管理意识,是其他部分的基础。
2.风险评估(risk assessment)
是确认和分析实现目标过程中的相关风险,是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化,需建立一套机制来辨认和处理相应的风险。
3.控制活动(control activities)
是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能,包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。
4.信息和交流(information and communication)
信息系统产生各种报告,包括经营、财务、守规等方面,使得对经营的控制成为可能。处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。
5.监控(monitoring)
监控在经营过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告,严重的问题要报告到管理层高层和董事会。
[编辑本段] COSO报告中内部控制的职责
(l)管理层:CEO最终负责整个控制系统。对大公司,CEO可把权限分配给高级经理,并评价其控制活动,然后,高级经理具体制定控制的程序和人员责任;对小公司,一切可更为直接,由最高经理具体执行。
(2)董事会:管理层对董事会负责,由董事会设计治理结构,指导监管的进行。有效的董事会应掌握有效的上下沟通渠道,设立财务、内部审计等职能,防止管理层超越控制,有意歪曲事实来掩盖管理的缺陷。
(3)内部审计师:内审对评价控制系统的有效性具有重要作用,对公司的治理结构行使者监管的职能。
(4)内部其他人员:明确各自的职责,提供系统所需的信息,实现相应的控制;对经营中出现的问题,对不合法、违规行为有责任与上级沟通。
(5)外部人员。公司的外部人员也有助于控制目标的实现,如外部审计可提供客观独立的评价,通过财务报表审计直接向管理阶层提供有用信息;另如法律部门、监管部门、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等也都有助于内部控制的有效执行。
[编辑本段] COSO报告的现实意义
COSO报告是在美国金融风险加剧,财务欺诈抬头,社会各界对内部控制和独立审计师寄予厚望的“危难”时刻,由五个职业会计团体联合并潜心研究近4年左右的时间才诞生的。COSO报告中蕴涵了许多崭新的理念和思想。这些理念和思想,不仅对过去,而且对现在甚至未来的企业管理、财会工作和独立审计都有着重要影响。主要有以下几个方面:
1.准确定位内部控制基本目标。COSO报告指出内部控制本身不是目的,而是实现目标的手段。内部控制目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险。用中国话来说就是为企业的经营和管理工作“保驾护航”。
2.提出三类目标、五项构成要素概念。COSO把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类子目标和控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。这些概念的提出,为评价内部控制系统提供了一套完整的标准,使COSO报告在理论和实际应用两个方面都较原来的内部控制学说有一个质的飞跃。
3.提出内部控制是“过程”,并由控制环境、风险评估、控制活动、信息与沟通和监测活动五项要素构成。五项控制要素不是内部控制过程中先后顺序上的一道道工序,而是一个多方向交叉的多维的反复的过程。COSO报告突出了内部控制过程中的复杂性和各控制要素之间有机的多维的联系与影响。
4.强调“人”的重要性。COSO报告指出人和环境是推动企业发展的引擎。内部控制是由人来设计和实施的,企业中的每位员工都受内部控制的影响,并通过自身的工作影响着他人的工作和整个内部控制系统。所以,要求所有员工都应清楚他们在企业、在内部控制系统中的位置和角色,并协调一致,才能推进内部控制的有效运转。
5.认识到董事会在内部控制中的作用。COSO认为董事会与公司内部控制之间是有联系的,企业中一些行为需要董事会批准或授权。一个客观、能动和富有调查精神的董事会,能够及时发现并修正公司经理班子逾越内部控制的行炉。
6.强调内部控制系统系是“内置于”(built in)企业经营和管理过程中的一项基础设施(infrastructure),与管理活动的计划、执行和监控职能交织融合在一起,不是后天添加物(built on)。同时内控系统应有应对不断变化的客观世界的机制。
[编辑本段] COSO报告的局限性
COSO报告是以职业会计师为主体队伍的研究成果,应用的现实特别是面对美国财务危机的现状,显示COSO报告在控制能力上的差距。COSO报告中主要值得商榷的问题有:
1.没有充分认识到董事会对内部控制系统的至关重要性。虽然COSO报告把董事会与内部控制联系起来,但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权,基本上把内部控制限定在CEO之下,而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。这好比设计一幢大厦,只看到了地上部分,忽视了地下基础。
2.COSO提倡的反映内部控制运行状态的“管理报告”的信息含量和可信性值得怀疑。首先,从正常逻辑上考虑,如果一个企业的内部控制存在问题,企业能够如实地公示社会吗?第二,管理报告对内部控制的评价只是基于某一时点状况而言的。根据COSO报告,企业不需披露在此时点之前存在的但已被发现和更正的内部控制缺陷。第三,报告的范围仅限于与财务报告有关的内部控制,而财务报告只是经营结果的反映。笔者认为内部控制系统的评估和持续监测是绝对必需的,但COSO建议的这种评估和披露方式容易误导投资者。
3.COSO报告中的“合理保证”、“成本效益”等词语,基本上是从会计上直接移植过来的,对于规避注册会计师法律责任是有好处的。但对社会用户来说,增添了许多猜疑和无奈。到底什么算是“合理保证”,如何做到“成本效益配比”,在实践中恐怕很难说清楚。内部控制评价应通过提高评价标准和评价过程的客观性和透明度增加科学性。
4.把企业经营和管理中一些重要职能排斥在内部控制触角之外。COSO一方面指出内部控制与管理各功能(计划、执行和监控)交织在一起,是内置于企业经营活动之中的。另一方面却把目标设定、战略规划、核心竞争力培育、风险评估和管理等重要经营和管理活动排斥在内部控制系统之外。
5.基本目标与分类子目标之间存在差异。根据COSO报告,内部控制基本目标是促使企业实现经营目标,并减少经营过程中的风险,其中既涉及了企业生存,也关注了企业发展。发展和战略规划问题是企业所有问题的根本。而三类子目标,基本上都属于维持企业当期经营的范畴,着眼点在于企业生存,没有站在企业战略高度关注未来发展。另外,COSO报告将内部控制基本目标细分为三类特定目标的方法值得商榷。这种分类方法的缺陷在其与GAO就保护资产安全内部控制之讨论中,就表现出来了。COSO认为,保护资产安全内部控制属于经营效果效率目标的范畴,已经包括在经营效果效率内部控制之中,而GAO认为保护资产安全内部控制涉及到资产价值真实性的问题,对财务报告可靠性有重大影响,应该包括在财务报告内部控制之中。COSO也在报告中承认三类目标有时是重叠的。
6.评价内部控制有效性标准过于主观。根据COSO报告,内部控制有效性有赖于对内部控制三类目标或五个控制要素的实现程度。但评价标准基本上都是主观判断。其实,一个企业内部控制是否有效完全可以通过它客观的市场业绩体现出来,例如企业市场价值,客户满意度,持续获利能力增长情况等。
7.内部控制系统中会计与审计的色彩太重,考虑企业现存的和微观的或规避风险的事情多,与业务平台和业务拓展关系不大,防范风险也是被动的,缺乏能动性。所以,至今还有许多公司认为内部控制只是财务主管和财会人员的事情。
[编辑本段] COSO报告对我国企业的启示
企业是多重契约关系的组合,而股东会与董事会、董事会与经理班子之间的委托代理关系是其中最基本的契约关系,因此企业内部控制中的“内部”就应从组建法人治理结构开始。建立健全董事会功能是企业最根本的内部控制。“安然”、“施乐”和“世通”特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥有关。同时,由于企业与外部关系人的经济联系和契约关系,在现代企业中发挥着越来越重要的作用,企业内部控制中的“内部”有时还要延伸至企业法律边界以外,将独立审计师、供应商资源、客户信用与需求和政府监管纳入企业内部控制系统。“控制”与“反控制”是一对永恒的矛盾,企业内部控制的目的是追求企业持续“得到控制”,确保企业各类契约关系持续而有序地运行,确保企业有一个好的战略目标和管理团队,并按照既定目标持续高效地发展和增值,为企业各类契约当事人发现并创造价值。企业内部控制是企业与生俱来的,它内置于企业经营和管理过程之中,并与之紧密联系、水乳交融,是同一事物的不同层面,不可割舍。
企业内部控制应是一个能动的驾御、监测和推动系统,它不仅要关心企业的现实生存,更应关注企业的未来发展;不但重视企业微观,同时也关心企业宏观;不只是简单的规避风险,更着眼于科学风险管理,重视通过业务发展减低风险;不仅要重视现行会计上已确认和计量的资产,更要关注人力资本、管理团队、核心竞争力、研发能力、客户资源、企业文化和品牌与商誉等软性资产在企业发展和控制活动中的重要作用,即在内部控制上要引入“全面资产”概念;不仅注重企业经理班子之下的内部控制,而且特别强调公司治理结构建设,强调企业法律边界以外可能对企业生存与发展有重大影响的各类要素。
第四篇:COSO内部控制与企业风险管理整合框架的比较
COSO内部控制与企业风险管理整合框架的比较
企业风险管理整合框架在内部控制整合框架的基础上增加了一个新观念,一个战略目标,两个概念和三个要素。即风险组合观,战略目标,风险偏好、风险容限的概念以及目标设定、事项识别、风险应对要素。
(1)在内部控制郑和框架的基础上,企业风险管理框架引入了风险组合观。对企业内部而言,其风险可能落在该单位的风险容限范围内,但从企业总体来看,总风险可能会超过企业总体的风险偏好范围。因此企业风险管理要求以风险组合观看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。
(2)内部控制整合框架将企业的目标分成三类,即经营目标、报告目标、合规性目标。其中经营目标、合规性目标与风险管理框架相同,但报告目标有所不同。企业风险管理整合框架中,报告被大大地拓展为企业所编制的所有报告,包括对内、对外的报告,而且内容不仅包含更加广泛的财务信息,而且包含非财务信息。
另外,企业风险管理整合框架增加一大目标,即战略目标,它处于比其他目标更高的层次。战略目标来自一个企业的使命或愿景,因而经营目标、报告目标和合规性目标必须与其相协调。
(3)企业风险管理构架引入风险偏好和风险容限两个概念。风险偏好是指企业在追求愿景的过程中所原意承受的广泛意义的风险数量,它在战略制定和相关目标选择时起到风向标的所用。风险容限是指在企业目标实现过程中所能接受的偏离程度。在确定各目标的风险容限时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来,将风险控制在风险可接受程度的最大范围内,以保证企业能在更高的层次上实现企业目标。
(4)企业风险整合框架在内部控制整合框架的基础上新增了三个风险管理要素:目标设定、事项识别、风险应对,它们将企业的管理中心更多地移向风险管理。同时,在内部环境中,强调了董事会的风险管理理念。因此,企业风险管理郑和框架拓展了COSO的风险评估要素。
(5)其他要素在风险管理整合框架中的扩展
在控制活动要素中,企业风险管理整合框架明确指出,在某些情况下,控制活动本身也起到风险应对的作用。
在信息与沟通要素中,企业风险管理整合框架扩大了企业信息和沟通的构成内容,认为企业的信息应包括来自过去、现在和未来潜在事项的数据。
在职能与责任描述中,企业风险管理整合框架要求企业设立新的部门,即风险管理部门,并描述了风险管理官的职能与责任,扩充了董事会的职能。
以下表格为内部控制整合框架与企业风险管理整合框架的比较:
采购人员为了私人利益在采购中没有进行比价管理,而是选择有回扣的供应商,这往往造成采购材料质量得不到保证,或者价格高于市场平均价,企业利益受损。因此,有效控制采购人员收受回扣时是企业在采购环节应着重注意的事项。
上述控制采购人员收受回扣,体现了以下几个方面的内部控制环节:
1、职工素质控制。对采购人员的法制教育和道德教育,尤其是职业道德教育,应该是企业经常性的工作。文中所提到的具体方法值得提倡。
2、岗位责任和岗位轮换制度。公司与采购员分别签订违约金巨大的廉政合同,明文规定,如果采购人员收受回扣,经查明,则处以几倍甚至几十倍的罚款,以这样的形式能够使采购人员对回扣忘而却步。另外,采购人员要定期轮换,防止一个人长期联系某些供应商或者长期采购同一货物,减少舞弊的可能性。
3、公司开放、透明采购渠道,建立供应商资料系统,实施比价管理。只有这样,才能使采购环节的询价与确定供应商的职务分离更加有意义,公司采购能有更多的选择,也使得公司能够以更低的价格购入更优质的货物、固定资产等。同时,透明采购渠道,也使得采购人员能够无形中受到供应商的监督,不敢轻易收受回扣。
4、加强监督体系。好的内部控制体系应该具有强有力的监督体系。有专人负责对采购人员的采购行为进行监督,定期抽查采购人员的采购价格,与其他供应商相比较。同时也应关注采购人员所采购物资的质量。
上述几个方面的内部控制环节做好了,采购人员收受回扣的现象就会得到很大程度的遏制。
从表面看,上述失控情形是企业因求货心切、因受骗上当而造成的直接经济损失;而从内控角度分析,是由于企业控制意识缺失、工作粗枝大叶等产生的管理失控。在不了解供货方信用状况与否以及有无货物供应的情况下就盲目预付款项(定金),这样的企业与管理现状确实是很容易上当受骗的,教训十分深刻。
如何加强采购环节中预付款的内部控制,至少应当关注以下几个方面
(一)应当建立严格的订货控制制度 订货是整个进货过程的核心,通过订货程序控制,有助于控制企业整个进货过程。而一个人主观武断说了算,无视订货程序控制的企业,很容易导致舞弊或损失产生。
通常,订货控制应主要考虑以下几个方面的重要环节:
1.慎重选择供货单位,必要时派人到供货单位调查其设备状况、技术水平和产品质量; 2.审核供货单位的供货条件,其中包括价格、运费、运货能力、以及维修服务能力等; 3.调查了解有关供货单位的信誉和财务状况等。
企业只有在充分考虑上述因素后,采购部门才可以择定供货单位,签订合同或发出订货单。
(二)应当建立严格的合同审核制度
上述案例中预付一半定金的合同并不符合合同管理的要求,无效的合同在缺乏内部控制的企业中却通行无阻,实在令人担忧。
企业采购部门在办理付款业务时,应当对采购合同协议约定的付款条件以及采购发票、结算凭证、检验报告、计量报告和验收证明等相关凭证的真实性、完整性、合法性及合规性进行严格审核,并提交付款申请,财务部门依据合同协议、发票等对付款申请进行复核后,提交企业相关权限的机构或人员进行审批,办理付款。
财务部门应根据生产进度计划、采购计划、请购单、采购合同以及经批准的预付款项,才能办理预付款的支付手续。财会部门应当参与商定对供应商付款的条件,尤其要认真审查预付款的合同,必要时聘请法律顾问审查。如果是分期预付款项的,应严格分期支付手续。
(三)应当建立与健全后续检查制度
采购部门在发出订货单并办妥预付款手续以后,供应单位是否能按订货单所定的条件交货,需采购部门经常关注。采购人员在必要时可到供货单位查看产品的生产进度和检查质量,以保证供货单位按条件发货。同时,采购人员还应掌握本企业的生产进度,以确保供货单位的交货能够满足本企业的生产需要。采购部门对所进行的后续检查工作应做记录,以全面掌握材料的供应情况。
(四)应当建立与健全及时报告制度
采购人员或其他相关人员一旦发现供应单位有异常情况或有上当受骗的迹象,就应当及时报告上级主管部门,并及时处理,以尽量减少或挽回损失。
应当看到,加强采购与付款环节的控制应当深入、具体、细致、周到,并注重实效。
预算管理三大管理目标:第一,资金配置。将公司的管理资金进行合理的规划,根据各业务部门的业务预算进行各种资源的分配,保证各个部门的业务能保证各个部门的业务能够顺利地开展和实施。
第二,控制费用。各部门的业务支出必须严格控制在预算标准和限额之内,保证各种费用的支出与业务的相关性,严禁任何与业务无关的或超出业务量需求的支出,降低公司总体的费用成本。
第三,提高管理效率。通过预算管理,加强公司的内部控制、促进业务流程的规范与完善,提高企业的经营管理水平。
第五篇:浅谈企业如何加强内部控制
浅谈企业如何加强内部控制
浙江康盛股份有限公司 副董事长
陈伟志
浙江大学经典总裁高级研修班21期学员
一、内部控制的涵义
内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。按其控制目的的不同,内部控制可以分为会计控制和管理控制。会计控制是与保护财产物资的安全性、会计信息的真实性和完整性以及财务活动的合法性有关的控制;管理控制是指与保证经营方针、决策的贯彻执行,促进经营活动的经济性、效率性、效果性以及经营目标的实现有关的控制。
二、内部控制的作用
企业是现代社会中最主要的经济组织,没有一个完善、科学的内控制度,其经济活动就不能取得预期效果。大量的管理实践证明:得控则强、失控则弱、无控则乱,因而内部控制成为衡量现代企业管理的重要标志。企业应从实际出发,按照企业管理系统要求,实事求是地建立自我调整、检查和制约的内控体系,并形成一个健全完整、运行灵活的控制网络系统。这既是企业组织管理的客观要求,也是企业生产经营顺利运行的根本保障以及成为市场竞争主体的重要保证。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果、促进企业实现发展战略。因此,内部控制的作用主要表现在:一是保证单位经济活动的合法性;二是有助于管理层实现经营方针和目标;三是保护单位各项资产的安全和完整,防止资产流失;四是保证业务经营信息和财务会计资料的真实性和完整性。
三、企业内部控制的现状
(一)企业内部控制环境相对较差
内部控制环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。任何企业的控制都存在于一定的控制环境之中,控制环境体现了企业关于内部控制对企业重要性的态度。
具体说来,内部控制环境相对较差主要体现于以下几方面。第一,企业管理层内部控制意识薄弱:缺乏成文的内部控制制度,即使已经制定出相应内控制度,也很难具体落实执行。第二,组织机构设置不合理:为节省成本,财务部门人员少,缺乏牵制环节,且部门横向间的协调缺乏足够的重视,导致同级各部门间缺乏必要的交流,信息沟通不灵敏,协调性差。第三,企业制度不健全:企业缺乏相应的激励与约束机制。第四,企业制度不全面:没有针对企业经营的各个环节、各个部门制定出相应的规章制度,顾此失彼现象较严重。第五,企业经营短视行为严重,对企业文化认识不足,没有鲜明的企业文化,或者说软实力不足。表现为企业没有强劲的凝聚力,职员没有踏实的归属感,容易发生泄密等损害企业利益及形象的事件,而且一旦遇到风吹草动,就大幅出现毫不犹豫的跳槽现象。
(二)风险意识淡漠,轻视内部控制 随着市场经济不断发展,企业现阶段面临更大的环境变化和生存风险,诸如市场风险、信贷风险、营运风险、声誉风险、技术风险等以及随着交易类型和工具的变化所面临的兼并收购、破产重组、电子商务等。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。但我国企业普遍缺乏的就是这种机制,股东会、董事会、监事会、经理层互相监督、制约的机制没有建立,董事会中没有风险评估委员会或形同虚设,造成在没有可行性论证的情况下随意决策。当前我国企业在运转过程中忽视风险控制、弱化风险管理,风险评估不足、风险意识薄弱现象普遍存在。同时,我国很大一部分企业管理层重视生产经营、技术开发,轻视内部管理,轻视内部控制,没有认识到内部控制的意义,没有把内部控制放在经营管理的战略高度来考虑。
(三)内部控制制度不规范
内部控制制度不规范主要体现于以下几方面。第一,企业的内部控制体系其操作规范流程都较为粗放,缺乏统一的、详尽的、具有很强操作性的岗位操作流程。出现问题后常常是互相推卸责任,致使无法追究责任。第二,即使已经制订出相应内控制度的企业大多也只是停留在“写在纸上、贴在墙上、给人看”的表面文章上,制度的落实方面问题很多。第三,有些企业核算制度弹性过大,使信息的可比性较差,误导决策,造成重大损失。
健全的规章制度和完善的操作流程是内控体系的重要组成部分,可以有效地防范风险。遗憾的是不少企业重于发展、轻于管理,存在着成本控制力度不够、资产严重浪费和损失等问题,经营效益不佳,人员变动频繁,内部控制制度流于形式。
(四)内部审计机构监督不力
内部审计机构并未真正发挥其作用,这主要表现于:第一,我国内部审计的功能仍然是查错防弊。只注重事后监督,不注重事前、事中的控制;只重视对财务报表的审计,而忽略对企业的管理现状进行分析、评价,并提出建议。第二,我国的内部审计机构往往实质上由管理层领导且与其他部门平行,因此独立性较差、权威性较差。第三,内部审计人员大多是由财会部门转来或由财会部门人员兼任,缺乏审计知识,特别是随着企业规模的扩大,业务的复杂化,内部审计人员很难满足需要。
四、加强企业内部控制的措施
(一)优化内部控制环境
第一,树立先进管理思想。企业管理层必须树立现代管理思想,自觉形成风险管理观念,并通过有效的信息传导机制确保企业全体员工都明确自己对内部控制的责任。
第二,强化“两会”监督功能。首先要增强董事会的功能,关键问题是要保证董事会在决策、监管过程中的独立地位,为此,必须严格限制董事会与经理班子的重合,同时进一步完善独立董事制度。其次要强化监事会的权力,明确监事会失察的法律责任,确保监事会责权利的落实。第三,建设“学习型”企业。要在企业内部形成勤于学习、善于学习的氛围,强调“学以致用、终身学习”的理念,努力建设“学习型”企业。实际而论,许多企业的管理尚处于原始阶段,离现代企业的科学管理还有相当差距,应该抛弃个人经验主义的一些东西,以谦虚的态度,从先进同行那里学习管理中的好制度、好方法。同时,还要善于从书本上学习现代企业管理的知识和方法,敏于观察、勤于思考,总结和制订适合自身管理和发展的内控制度。
第四,优化组织结构。企业的组织结构在设计时,应对每一个部门的责任与利益明确规定,既要防止权力重叠,也要避免出现权力真空,使每一项业务处理的各个环节都有相应的机构和具体人员负责。
(二)健全企业内部控制制度,落实内部控制责任体系 2008年5月发布的《企业内部控制基本规范》,将重点引导企业加强以财务报告内部控制为主线的相关标准建设。通过建立完整的内部控制制度体系和清晰的业务流程,合理地对企业各个职能部门和人员进行责任分工、控制和考核,可保证企业生产经营活动有序、高效地进行。企业应当通过内部管理制度汇编、员工手册、组织结构图、业务流程图、岗位描述、权限指引等适当方式,使企业员工了解和掌握内部机构设置及权责分配情况,促进企业各层级员工明确职责分工,正确行使职权,并加强对权责履行的监督。
内控流程的建立关键在于落实、执行。
首先是层层落实风险控制责任。按照“纵向到底、横向到边、责任到人”的原则,使每个员工都明确自身岗位职责和工作流程,明晰风险并按章办事。
其次是实施内控工作督导制度,建立督导责任制。有明确的领导分工负责,建立“一把手”责任制,财务部牵头,由各部门负责人组成内控领导小组。由内控相关人员督办内控工作的实施情况,定期进行培训、检查,指导内控工作的开展。
再次是将内控建设工作纳入到各部室的绩效考核体系当中,单列一条直接作为绩效考核的扣分指标,确保了内控工作得到有力推进。
(三)加强风险管理
风险管理是现代企业内部控制的一个重要方面,面对市场经济条件下的各种风险,首先,企业的所有员工都必须树立风险意识,只有意识到了风险,才会主动加强内部控制,采取措施控制风险。其次,企业在经营过程中应加强风险管理,建立健全风险预测、风险评估、风险控制和风险约束机制,并且在技术上制定风险回避、风险转移和风险分散等管理策略,以有效防范和控制风险。同时,还要合理客观地评估企业现状和风险。企业应参照规范的内容对现有规章制度及业务流程进行全方位的梳理,并在此基础上对制度体系进行修订、补充和完善,改进现有内部控制措施及发现其中存在的内部控制缺陷,合理、客观评估企业现状,建立风险预警和应对机制,在规范性的前提下紧密结合自身特点,建立一套自我完善、不断提高的较为实用的内控机制,又要积极借鉴其他企业及国内外先进的经验与成果,持续改进、不断提高。企业应密切关注内控指引的建设与更新,以正确把握政策要求,减少不必要的成本。同时,还要通过建立内部监督机构对企业高风险区域经常进行检查,来及时发现已存在的或潜在的风险。
(四)强化内部审计的监督作用
健全内部审计机构、加强内部审计监督是营造守法、公平、正直的内部控制环境的重要保证。目前,要发挥内部审计的作用,应做好以下几点: 第一,公司的管理层应充分认识内部审计在内部控制中的作用,提高内部审计机构的地位。
第二,对内部审计的职能进行不断拓展,不仅要进行事后的审计,还要进行事前、事中的控制;不仅要对财务报表进行审计,还要对管理活动进行分析、评价。
第三,提高内部审计的独立性。内部审计部门必须独立于被审计部门,并向董事会或审计委员会报告。
点击咨询 