企业内控与业务管理的融合势在必行.doc

企业内控与业务管理的融合势在必行作者： 周仁清 近年来，企业内部控制管理在我国上市公司、央企及其他大型企业已得到广泛推行。企业为了与国际惯例接轨或满足市场竞争准入的需要，还建立了符合国际标准或国家标准的质量、HSE、成本和风险等管理标准（体系）。从需求上看，这些管理制度都是必不可少的，但却造成了在一个企业内有多套管理制度分别运行的局面，如何处理好企业内部控制管理与其他规范化管理的关系，实现各项管理制度的有效整合，是目前企业管理中必须研究解决的重要课题。企业内控管理与业务管理的分立我国的内部控制管理是从20世纪90年代后期开始的。从1996年起，财政部、中国人民银行、保监会、证监会、中注协等先后颁布了20多部规章、规范和行业标准，确定了企事业单位内部控制制度建设的目标、原则、内容、方法和监督检查等。现行的最全面的内部控制制度规范是财政部等五部委在2008年、2010年先后颁发的企业内部控制基本规范和企业内部控制配套指引。可以说，在制度上，适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系已基本建成。但从总体上讲，我国企业的内控管理起步较晚，国家完整的制度规范刚刚建立，目前已经建立并实施内控制度的主要是一些央企和上市公司。厦门大学内控指数课题组2010年6月发布的中国上市公司内部控制指数（2009）：制定、分析与评价对我国上市公司的内部控制总体状况作出了这样的评价：总体上看，我国上市公司现今的内部控制仍比较薄弱，公司整体的风险评估、防范意识还非常薄弱，内部控制水平在不同行业上市公司表现出了较大差异，其中金融、保险业内部控制质量最高。深圳市迪博企业风险管理技术有限公司2010年9月发布的中国上市公司2010年内部控制白皮书也得出了同样的结论。由此可见，我国企业的内控管理工作任重而道远。目前，我国企业在业务监管方面已有长足进步，企业根据自身特点都建立了比较完善的管理制度（体系）。同时，我国许多大型企业为了与国际惯例接轨或为了满足市场竞争准入的需要，还相应建立了符合国际标准或国家标准的企业质量管理标准（体系）、企业健康安全环境（HSE）管理标准（体系）、企业成本管理标准（体系）和企业风险管理标准（体系）等。这些管理标准（体系）在企业中大都自成体系，分别运行，而且都在进行着不断的完善和强化。近些年来，企业的风险管理已引起了世界各国的重视，许多国家都发布了一些标准或规定。如美国的全美反虚假财务报告委员会（COSO）发布的企业风险管理整合框架，中国国资委发布的中央企业全面风险管理，国家质检总局和标准化委员会联合发布的国家标准风险管理原则与实施指南等。同内控管理一样，风险管理目前也仅在一些大型企业、央企和上市公司开展相对好一些，如有的企业已建立了自己的风险管理体系、制度等。企业内控管理应包含在业务监管之中企业内控管理不应当是个独立的管理体系，应当包含在各业务监督管理之中。我国企业内部控制基本规范指出：内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。所以，企业内部控制管理的内容是宽泛的，不应当仅仅局限于国家五部委已经发布的18项应用指引所涉及的内容，企业的内部控制管理体系也不应当是在各业务管理以外的独立管理体系。实际上，每一家有一定规模的企业，针对各项专业的管理业务如资金管理、采购管理、销售管理等，都会制定相应的管理制度，而内部控制管理制度应当把各专业管理中可能发生的风险点给予提示或作出控制的要求，这些风险点的控制措施或方法则应当体现在各项专业管理制度之中，使得内控管理的内容和要求完全包含或融入各业务监督管理之中。对于内部控制与企业风险管理的关系，在企业风险管理整合框架中已经作了明确的回答，即内部控制是企业风险管理不可分割的一部分，企业风险管理涵盖了内部控制，从而构建一个更强有力的概念和管理工具。从管理要素看，企业风险管理的八大要素中，就包含了内部控制的内部环境、风险评估、控制活动、信息与沟通、监控五要素。在国资委的中央企业全面风险管理指引中，把内部控制系统作为全面风险管理体系的一个子系统。有风险才会有控制，内部控制是风险管理的内容或内部解决方案之一，这已经成为一个基本的共识。内控管理与业务管理的融合切实可行企业内控管理及其他各业务监督管理分别按照各自的管理流程建立相应独立的制度并运行，对企业而言，最直接的是审核、审批管理环节成倍增加，以致极大地增加了管理成本，实现二者的融合是提高企业管理效率和水平的必由之路。对于内部控制与风险管理相融合的问题，在理论上已经没有太大的问题。在2007年的内部控制与风险管理春季高峰论坛上就有专家明确指出，内部控制与风险管理走向融合是一个必然趋势。事实上，我国有的企业已经在积极探索内部控制与风险管理的融合之道，如中国网通集团的基于全面风险管理的内部控制体系构建与实施曾获得全国企业管理现代化创新成果一等奖；备受国资委赞扬的中国神华内部控制手册也是以全面风险管理为基础的，是内部控制与风险管理融合的结晶。由此可见，内部控制与风险管理走向融合是必然趋势，也是可行的。而对于企业内部控制与业务监管的融合，在中央企业全面风险管理指引中就已经明确要求企业在开展风险管理工作时，应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。也就是说，企业的内部控制要求应当融入各业务监管过程之中。目前，我国企业内控管理与业务监管体系尚未融合，但国外大型企业的经验告诉我们，两者的融合是完全可行的。在企业管理的整个系统中，许多业务管理中的要素都是通用的。例如文件控制要素，无论在质量管理体系中，还是在环境管理体系和安全管理体系中都是共同存在的。中国成本协会在制定成本管理体系标准时，就充分考虑到了这一点，使得其发布的成本管理体系标准在构架上与以上这些国际标准是完全一致的，并符合PDCA循环的戴明模型。质量管理体系标准（ISO9000:2005）也提出，企业的质量目标与其他目标，如成长、筹资、收益性、环境及职业健康与安全等目标是相辅相成的。一个企业的管理体系的各个部分应该合成一个整体，从而形成使用共有要素的单一的管理体系，这样才有利于策划、资源配置、确定互补的目标并评价组织的整体有效性。在企业内控管理与各业务管理融合的方法和途径上，主要应当注意以下几点：1.成立管理融合的组织领导小组及工作人员。其人员构成应当包含企业相关管理业务的主要负责人或业务人员。2.选定融合或构建的管理体系基础。这个基础应当以符合外部的、国际的监督管理要求为原则，以目前来看，以ISO质量管理体系的模式要求来融合包含内控管理的各业务监督管理比较好。3.对照选定的管理体系基础，梳理各需要融合的业务监督管理流程