中国集团企业的内控与风险管理

1、中国集团团企业的的内控与与风险管管理 HYPERLINK /blog/#m=0&t=1&c=fks_087067093082085067084083094095086080088070086084085069 l m=0&t=1&c=fks_087067093082085067084083094095086080088070086084085069 o 企业管理 企业管理理 20008-07-04 19:29:48 阅读1116 评论00 字号：大中小小订阅阅本文是作作者在 20008 中中央企业业 CFFO 论论坛上所所作的研研究主题题报告，探讨了了如何在在新环境境下科学学构建企企业内部部控

2、制体体系和风风险管理理机制， 将高高昂的、合规的的责任转转换为实实质性的的经营优优势，并并从风险险管理当当中，取取得可以以量化的的经营和和价值。强化内控控与风险险管理，升级集集团管控控平台20008中中央企业业CFOO论坛主主题报告告金蝶集团团高级副副总裁兼兼任首席席咨询官官 金卓卓君在近年来来的工作作过程中中，随着着外部监监管要求求的提升升、企业业自身内内控的要要求，企企业内控控和风险险管理成成了主流流话题。在当前前的环境境下，企企业内控控和风险险管理过过程中的的IT系系统是控控制措施施到位的的必要保保障，但但是在现现实中，大部分分企业控控制风险险的管理理支持并并不足够够。在此此需要探探讨的

3、是是，在新新环境下下如何应应用ITT系统构构建企业业内部控控制体系系和风险险管理机机制：一、为什什么：强强化内控控与风险险管理必必要性；二、做什什么：构构筑科学学的风险险管理体体系；三、怎么么做：内内控及风风险管理理与ITT系统。为什么：强化内内控与风风险管理理必要性性19955年英国国巴林银银行的破破产；20011年美国国安然公公司倒台台；20022年美国国世通公公司丑闻闻；20044年中航航油炒作作原油期期货，巨巨亏5.5亿美美元；上述事件件都是由由于内部部风险控控制疏漏漏从而导导致企业业的巨亏亏、破产产，触目目惊心的的事实促促使全球球商界、金融界界、政府府重新审审视风险险控制的的内部制制

4、度和外外部环境境，向企企业提出出了更加加全面提提升监管管的要求求。20022年美国国国会通通过的萨萨班斯法法案，220066年沪深深证券交交易所发发布上上市公司司内部控控制机制制、同同年国资资委发布布中央央企业全全面风险险管理指指引、20007年财财政部发发布企企业内部部控制标标准体系系征求意意见稿一一系列政政策法规规的出台台，企业业已经可可以真切切感受到到，对于于强化内内部控制制和风险险管理已已经是大大势所趋趋。同时，随随着市场场竞争日日趋激烈烈，外部部环境变变得越来来越复杂杂，在企企业经营营过程中中，风险险无处不不在。著著名机构构EIUU（Thhe EEconnomiist Inttell

5、ligeencee Unnit Limmiteed）关关于未来来经济、产业和和公司发发展趋势势的调查查显示：20005年20220年这这15年年间，包包括管理理决策、企业定定价、低低成本市市场竞争争、经济济衰退、高素质质员工缺缺乏等等等，都会会给企业业经营带带来风险险。（图图一：220055年-220200年的风风险影响响） 在今天天的动态态环境系系统中，旧的内内部审计计方法已已经不能能符合的的迅速发发展的企企业需要要，管理理和监督督风险需需要宽广广和系统统化的风风险管理理方法，这也是是让企业业股东与与管理层层寝食难难安的问问题。企企业需要要系统化化地建立立一套风风险管理理体制，从而识识别影响

6、响企业盈盈利的关关键因素素，并对对那些会会影响企企业达标标的风险险进行监监控及管管理。德勤中国国20007年66月开展展的一项项有关中中国上市市公司内内部控制制现状的的调查结结果显示示：大部部分（774%）的上市市公司清清楚了解解监管机机构对内内部控制制的要求求，但只只有200%的上上市公司司认为自自身现有有的内部部控制体体系能够够完全满满足监管管要求；约四分分之三（76%）的受受访上市市公司均均表示不不了解或或不确定定如何有有效地进进行风险险管理工工作；大大部分（72%）受访访上市公公司认为为公司本本身没有有一个持持续监控控内部控控制有效效性的机机制。中中国上市市公司内内控体系系距离监监管机

7、构构的要求求还很有有距离。同时，建建立企业业内控体体系也耗耗费了企企业高昂昂的成本本。安永永公司调调查了2255家家美国上上市公司司在两年年内遵从从4044条款的的情况，反馈回回来的数数据清楚楚的说明明了实现现法规遵遵从所付付出的代代价：超超过半数数的企业业法规遵遵从的成成本在1100万万到5000万美美元之间间。美国国上市公公司为遵遵从萨班班斯法案案花费了了巨大的的成本。（图二二：美国国上市公公司遵从从萨班斯斯法案的的成本情情况）一篇报道道提到：“据了了解，由由于该法法案对上上市公司司的内部部控制、财务管管理等的的要求极为苛苛刻，使得在在美国上上市的中中国企业业集体遭遭受萨班班斯之痛痛在在执

8、行和和实施过过程中工工作量异异常繁重重，增加加了企业业的成本本与负担担，所以以遭受相相关公司司相关负负责人员员对“萨萨班斯”的抱怨怨和抵触触情绪。”而萨萨班斯法法案在美美国本土土企业中中执行的的过程中中，却没没有出现现很多抱抱怨抵触触。这也也恰恰说说明中国国企业内内控管理理和风险险管理远远未达标标。做什么：构筑科科学的风风险管理理体系如何将高高昂的、合规的的责任转转换为实实质性的的经营优优势，如如何从风风险管理理当中，取得可可以量化化的经营营和价值值，这就就迫切需需要企业业构建科科学的内内控体系系和风险险管理机机制。什么是风风险管理理？美国国内控研研究委员员会对风风险的定定义是：企业风风险管理

9、理是一套套由企业业董事会会与管理理层共同同设立、和与企企业战略略相结合合的管理理流程。它的功功能是识识别那些些会影响响企业运运作的潜潜在事件件和把相相关的风风险管理理到一个个企业可可接受的的水平，从而帮帮助企业业达至它它的目标标。这个个定义，为企业业内控体体系的构构建提供供了参考考。Commmitttee of Spoonsoorinng OOrgaanissatiion of Thee Trreaddwayy Coommiissiion (COOSO)为内控控开发了了一个全全面的框框架，也也就是一一般称之之为的CCOSOO内部控控制框架架。这个个内控框框架是唯唯一被美美国证监监会确认认为完整

10、整、全面面和不偏偏依的内内控框架架。这个个框架将将企业内内部控制制分为两两个层面面，一是是公司层层面，二二是流程程、交易易及ITT应用层层面。这这个框架架，对企企业建立立内控体体系和风风险管理理机制是是一个很很好的体体系指引引。（图图三：CCOSOO内部控控制框架架）COSOO内部控控制框架架首先体体现了对对风险观观念的转转变。从从过往的的操作角角度，过过渡到董董事会管管理层关关注角度度。以前前的风险险管理更更多是低低层次、经营层层次的工工作，风风险监控控基本是是内部审审计人员员的职能能，COOSO内内部控制制框架则则认为，风险管管理是董董事会管管理层的的一个职职能。同同时，以以前总认认为风险

11、险是一个个需要控控制的负负面因素素，而风风险其实实也是一一个机会会。以前前风险各各个层面面的管理理，是在在企业各各个部门门个别展展开，CCOSOO内部控控制框架架则认为为需要在在整个企企业范围围内进行行一体化化的风险险管理。风险的的责任，也由各各级的低低层次人人员，上上升到高高级部门门人员来来承担。风险管管理的衡衡量也有有主观转转向注重重风险管管理的量量化。最最终将无无组织以以及杂乱乱的风险险管理纳纳入所有有企业管管理层次次和系统统。COSOO内部控控制框架架事实上上提供一一个全面面风险管管理的流流程。风风险管理理体系要要解决的的的四个个关键问问题：企业知知道它所所面临的的风险吗吗？企业是是否

12、已对对这些风风险设置置内部控控制？企业的的风险管管理及内内部控制制有效吗吗？哪一些些风险管管理及内内部控制制必须改改进？CCOSOO内部控控制框架架从风险险识别，到风险险评估，确定风风险战略略，拟定定解决方方案，风风险治理理，以及及持续不不断改进进的流程程，覆盖盖了风险险管理的的全面流流程。COSOO内部控控制框架架在企业业组织和和管理职职能上的的落实，体现在在“一个个基础、三到防防线”。“一个个基础”就是风风险治理理结构；“三道道防线”，第一一道防线线是业务务单位的的防线，第二道道防线是是风险管管理单位位的防线线，第三三道防线线是内审审单位的的防线。一个基基础加上上三道防防线就构构成了风风险

13、管理理在组织织上的保保障。三三道防线线中，每每一道防防线都有有它的责责任和职职能。各各个业务务单位是是内部控控制的责责任主体体；风险险管理单单位是风风险管理理的监视视和建议议部门；内审单单位的责责任则是是确认和和报告。在三道道防线中中，需要要特别强强调业务务单位的的第一道道防线。业务单单位包含含了企业业大部分分业务和和资产，在日常常工作中中面临各各种风险险，是企企业风险险的前线线。企业业风险管管理必须须把手段段和内控控程序，融入到到业务单单位的工工作和流流程中，管控好好业务单单位这一一道防线线。怎么做：内控及及风险管管理与IIT系统统如何在实实际业务务过程中中，做业业务经营营和好风风险管理理，

14、保证证企业的的资产增增值？CCOSOO内部控控制框架架提到的的五大控控制内容容环境监监控、风风险评估估、控制制活动、信息与与沟通和和监督，除了理理念和文文化外，几乎全全部是和和IT相相关的。如控制制活动中中的组织织结构、权责的的分派、人力资资源政策策及实务务；风险险评估中中的风险险评估、应变措措施、对对改变的的管理；控制活活动中的的制度与与程序、整体控控制、作作业层级级控制、关键环环节控制制；信息息与沟通通中的信信息系统统、有效效沟通；监督中中持续沟沟通、缺缺失呈报报。可以以看到，只有通通过ITT系统将将风险和和保证融融入到日日常业务务管理中中，风险险管理才才能够有有效地推推动公司司的变革革和

15、提升升公司的的绩效。企业风险险管理有有一个成成熟度的的演进。第一阶阶段是无无意识阶阶段，企企业风险险管理是是随机出出现的，仅仅实实施“必必须的”任务。第二阶阶段是一一个被动动、支离离破碎阶阶段，企企业风险险管理是是应对法法律强制制的匆忙忙项目。如要去去美国上上市，必必须遵从从萨班斯斯法案，同时还还有企业业内部其其他管理理需求，以及其其他法规规要求，这时候候企业的的风险管管理，是是建立和和“治理理，风险险和合规规”相关关项目的的建议的的汇总，比较零零碎。第第三阶段段是合并并阶段，开始一一些统一一化的GGRC方方法，有有一些管管理制度度，但还还不是一一个完整整的系统统。第四四阶段是是运作卓卓越阶段

16、段，企业业建立了了系统的的内控体体系和风风险管理理机制，并实现现持续改改善。 （图四：企业风风险管理理的成熟熟度演进进）今天，很很多企业业内控距距离监管管机构的的要求还还有相当当的差距距。如何何改变这这一面貌貌，一个个有效的的IT系系统可以以帮助企企业迅速速建立内内控制体体系和风风险管理理机制。很多IIT系统统对企业业管理支支持是不不够的，支持企企业全面面风险的的IT系系统有一一些什么么样的特特征？总总结和概概括支持持企业全全面风险险的ITT系统特特征和关关键应用用，其特特征包括括：提供一一体化的的集成系系统支持不不同的集集团管控控模式支持集集成的全全面预算算管理支持不不同资金金管理模模式支持

17、多多层面的的财务报报告体系系支持业业务控制制活动（销售、采购、生产等等）主动式式风险预预警和控控制管理理这些特征征，都是是支持企企业全面面风险的的IT系系统现在在，后者者未来应应该有的的特征和和关键应应用。特征1：提供一一体化的的集成系系统企业的风风险管理理如果是是分散的的，那实实际上会会增加企企业的风风险。比比如采购购部门负负责供应应商“黑黑名单”，销售售和服务务部负责责高信用用风险客客户，信信息部负负责数据据泄露和和安全，财务部部负责复复杂的、跨国的的公司治治理要求求，董事事会负责责高管的的薪资回回报设计计等等，整个企企业的风风险管理理是支持持破碎，存在着着很大的的风险隐隐患。因此，企企业

18、需要要的是一一个一体体化的集集成系统统。只有有当这个个系统是是一体化化的集成成系统的的时候，才能集集中风险险管理，提升企企业风险险管理能能力。特征2：支持不不同的集集团管控控模式对于集团团企业来来说，系系统一定定要能够够支持不不同的集集团管控控模式。集团管管控模式式包括财财务管控控模式、战略管管控模式式和运营营管控模模式。不不同的管管控模式式展现了了集团企企业不同同的集权权分权程程度。譬譬如在央央企大企企业集团团里，存存在着多多级管控控模式：作为财财务官，在集团团可能体体现为财财务管控控模式；下面子子集团的的一级经经营单位位，可能能是战略略管控模模式。作作为企业业管控平平台的IIT系统统，一定

19、定要能支支持不同同的集团团管控模模式。并并且，不不同业务务版块的的管控模模式也是是动态的的，某个个时期某某个业务务属于战战略管控控制模式式，为了了加强深深入管理理在另一一个时期期可能调调整为运运营管控控模式，这些都都需要系系统能够够支持。例1：集集团管控控政策与与基础数数据标准准化。集集团管控控策略要要求集团团企业建建立统一一的基础础数据管管理平台台；灵活活的基础础数据管管理策略略：分配配、引用用、新建建，适应应企业在在不同组组织、不不同业务务领域控控制的要要求。这这些都通通过基础础数据标标准化来来实现，包括基基础数据据维护策策略是集集团维护护、全局局共享，还是全全局维护护、全局局共享，或是建

20、建者维护护、全局局共享，包括财财务管理理的科目目体系的的统一等等等。例2：IIT的权权限管理理功能支支持风控控SODD。内部部控制要要求有明明确的分分工和授授权，进进行合理理的权责责分离（SODD）。这这些都应应该在系系统中能能够落实实。在系系统中有有权限分分离的话话，就很很容易规规范各种种角色的的分工和和职责，审批责责任清楚楚明确。如果没没有一个个IT系系统，在在权限管管理上没没有固化化，就不不能很好好实现。关键应用用1：支支持集成成的全面面预算管管理对于集团团企业来来说，预预算管理理是风险险管理的的一个重重要内容容。整个个集团企企业是一一个预算算体系，从集团团总部的的预算，到二级级单位的的

21、预算，到基层层单位的的预算；从预算算制定，到预算算执行控控制，到到预算执执行分析析，建立立多组织织的全流流程的预预算体系系，帮助助企业更更好的进进行风险险管理和和控制。关键应用用2：支支持不同同资金管管理模式式一些丑闻闻和案例例暴露出出来，风风险控制制的专家家提示说说：“你你要紧盯盯资金，会计数数字只是是参考意意见，现现金才真真正令你你感到踏踏实！”现在越越来越多多的集团团企业，都采用用相对集集中的资资金管理理模式，来加强强资金控控制，防防范风险险，并提提高集团团整体资资金使用用效率。集团企企业在不不同的发发展阶段段，面临临的环境境不一样样，需要要运用到到不同的的资金管管理模式式，包括括统收统

22、统支、备备付金、结算中中心、内内部银行行、财务务公司等等，这些些都需要要系统能能够支持持。关键应用用3：支支持多层层面的财财务报告告体系目前应用用的财务务系统都都有财务务报告，财务报报告无论论在是对对外部管管理还是是内部管管理，都都是一个个很好的的反映。内部控控制和风风险管理理对财务务报告提提出了一一些新的的要求，包括财财务数据据准确并并可以向向下查询询；及时时的数据据分析以以支持决决策；帮帮助预测测潜在的的问题和和确定盈盈利的业业务领域域；自动动的交易易处理和和报表生生成；标标准一致致的数据据和报表表定义；经营业业绩的及及时报告告等。关键应用用4：支支持支出出循环内内部控制制风险管理理一个很

23、很重要工工作就是是控制活活动和控控制措施施，这些些内容都都需要在在IT系系统中得得到落实实，包括括支出循循环。采采购环节节的需求求管理、供应商商管理、价格管管理、收收货管理理、付款款管理，整个流流程都需需要在一一个控制制之下。包括角角色的分分离，采采购申请请、审批批、验收收、付款款、记账账相分离离。关键应用用5：支支持收入入循环内内部控制制控制活动动还包括括收入循循环，包包括客户户信用管管理、价价格管理理、报价价策略、订单监监控、发发货通知知、收款款管理等等一系列列业务管管理，都都要做到到严格的的信用控控制，防防止低价价销售，提高报报价格效效率。包包括角色色的分离离：销售售订单、审批、发货、收

24、款、记账相相分离。关键应用用6：支支持增值值循环内内部控制制在增值循循环生产产环节，包括生生产计划划、领料料控制、进度控控制、质质量控制制、库存存管理、生产成成本等业业务管理理，通过过优化资资源计划划，提升升资源利利用效率率。包括括角色分分离：生生产计划划编制、审批、检验、入库、记账相相分离。应用特性性：主动动式风险险预警和和控制管管理一个能够够支持企企业全面面风险的的IT系系统，应应该可以以提供主主动式的的风险控控制，包包括事前前控制、事中控控制和事事后控制制。事前前控制如如完善的的标准化化操作、严格的的授权控控制、资资金集中中管理；事中控控制如适适当的职职责分离离、严格格的审批批级次、交易