四大基本原则

　　四大基本原则即“强支撑、短流程、高授权、大监督”。当前，我国经济处于高速发展阶段，市场经济体制在不断地完善当中，经济社会处于一种高变革状态，企业外部环境的变化必然导致企业内部控制的变革，同时，国有企业也处在高速发展的状态，企业的快速成长导致经营风险出现变化，也需要对内部控制体系进行不断调整。在这样的外部环境下，对于大型国有企业来说，过长的控制流程和权力的高度集中，将降低企业应对市场变化的能力，从而降低企业的经营效率与效果。所以缩短企业的控制流程、提高授权程度，从而提升企业的运作效率、应对变换的市场环境、是现阶段以高变革、高成长为主要特征的国有企业建设内控的两个重要原则。当然，在强调短流程的同时，要改善控制环境、管理基础等支撑环境，只有支撑环境改善了，才更加具备短流程的条件。支撑体系包含两个层面的内容，一个是道德、企业文化、管理理念、管理风格等软性层面，一个是基础的管理规范等硬性层面。硬性层面主要包括核算规范、信用管理、采购目录、供应商数据库、预算管理、详尽的业务计划体系、投资筛选与估值系统等基础管理体系。而提高授权、充分发挥下级积极性的同时，需要提高监督能力，对每一项授权都要有相应的监督，不能出现没有监督的授权。监督与授权是矛盾的两个方面，过度监督或监督缺位都会使授权的效果弱化。而没有监督的授权将会导致权力的异化，使企业的决策者在应用权力决策的过程中产生偏差，导致企业经营失败。所以完善的监督体系是高授权的必要前提。

　　五项保障措施

　　根据我国国有企业的实际情况，参考COSO内部控制框架和企业风险管理框架的研究结果，我们提出了国有企业内部控制建设的五大保障措施，即国有企业内部控制建设应当主要从以下五个方面入手：

　　一是改善支撑环境。支撑环境是内部控制的基础。我们强调的支撑环境不仅包括内部控制环境，还包括管理基础、信息技术等对风险管理、制度流程、信息沟通和监督起支撑作用的各种因素，支撑环境的改善是缩短流程的基础，没有良好的支撑环境就不具备“短流程”的条件。当然，支撑环境的完善不可一蹴而就，需要一个渐近的过程与周期。在治理结构改善的过程中，需要两个责任主体的共同努力，并分段、分层次地进行。首先，在国资委的推动下和指导下，改善治理结构；其次，管理层要从管理基础和管理手段切入，完善基础管理的支撑，例如相对明确的组织设置与职责分工以支撑流程运行，清晰的责权分配以支撑授权审批，基础的核算规范以支撑报告可靠，有效的预算管理体系和业务计划体系以支撑经营权力的下放。

　　二是加强风险管理。风险管理是内部控制的重要环节。我们强调的风险管理不仅仅是COSO的风险评估，而是全面风险管理的理念，将全面风险管理技术引入到“12345内部控制框架中”。加强风险管理体现在三个层面上，一是提高风险识别、分类、评估和应对的能力；二是在制度流程层面选择合适的政策和流程；三是在道德文化层面形成关注风险、防范风险的文化。当前企业经营环境复杂多变，加强风险管理显得尤为重要，通过风险管理将企业的的风险控制在可以承受的范围以内，这也是内部控制首要目标的基本要求。

　　三是完善制度流程。制度流程是内部控制的具体方式。制度流程以控制活动为表现形式，将内部控制的各项要素体现出来：首先，围绕风险识别评估过程确定的关键风险制定相关的政策，将相关风险纳入控制活动设计之中；其次，政策与流程的设计，强调相关流程涉及的组织职责边界清晰、审批事项授权明确，从而与控制环境的完善程度相联系；第三，政策与流程的设计，应当建立必要的控制文档，并明确规定文档的填写内容、填报责任人、填报时间与路径，从而将信息沟通的要求融入其中；最后，政策与流程还应当作为监督评价的标准和基础。

　　四是促进信息沟通。信息沟通是内部控制的重要条件。在内部控制五要素中，信息沟通是最难以理解的一个要素。一些人不理解为什么将信息沟通作为内部控制的一个要素，好像它与流程没有什么关系，甚至有些人认为信息沟通就是信息化。我们认为，在内部控制体系中，首先是建设了内部控制环境，然后适时评估企业风险，根据风险采取相应的控制流程。在流程的设计中，要明确每一个流程需要的信息。很多企业重视流程，但流程中的信息的及时性、相关性和可靠性不够，造成内部控制失效(如企业董事会在决策信息不足的情况下进行决策)。因此，评价企业内部控制时，不能光看是不是经过了规定的程序，更要看经过这些程序时是否有足够的信息，信息不够造成的内部控制失效常常被人忽视。另一方面，良好的内部沟通也是内部控制的重要环节，组织中的沟通要寻找合适有效的途径，沟通不畅或沟通障碍容易造成内部控制失灵。

　　五是提高监督能力。监督是内部控制的重要保证。从监督的定义看，包括两层意思：一是监督是内部控制五要素之一，是内部控制的重要组成部分，内控环境、风险评估、控制活动及信息沟通等四要素的自我调整和完善需要监督来保障，通过监督实现内部控制的动态更新，从而保证内控促进企业实现发展战略；二是对企业内部控制进行独立的评估或认证，通过评估、认证，落实内控的有效性，合理保证内部控制有效。因此，我们认为，完善企业的内部控制监督体系，必须要有一套完善的内部控制监督措施。我们将内部控制监督丰富为五个重要手段，包括风险预警、强化预决算管理及重大财务事项监控、内部审计监督、内部控制评价与考核、责任追究等具体监督手段。从而做到过程预警与事后审计相结合，监督检查以考核评价和责任追究为保障，体现“高授权、大监督”的内部控制设计管理思路。

　　五大保障措施与COSO的五要素一脉相承、相互呼应，但针对目前相当多的企业内部控制不够完善的现状，我们更多地强调内部控制的动态改进，对于每一个保证措施，都提出了最佳做法和改进措施。

　　国有企业内部控制框架的主要特点

　　国有企业内部控制基本框架是一个从实践中走出来的框架，框架形成的过程中，我们总结了国有企业内部控制建设与实施的得失，对国家大环境、国有企业的现状、所处的特殊发展阶段进行了广泛深入的思考，借鉴COSO和其他国外先进原则框架的优点，形成了特点鲜明的国有企业内部控制框架。框架主要特点表现在以下几个方面：

　　符合现阶段我国国情，是对COSO框架的继承和发展

　　相当长的一段时间以来，我国经济一直在高速、稳定、健康地增长，经济体制改革也在不断深入。在这种背景下，国有企业在进行着以资源整合、行业整合、地域整合为主要特征的快速成长，要有力地提升管理水平以防范企业快速成长中的各种风险，要求企业在引入管理机制和管理工具时不是追求完备性，而是要力求灵活、简单、适用，以适应深刻变革、快速成长所带来的企业演进和变化。因此，本框架是针对现阶段国有企业的实际情况提出的，是对COSO框架和《企业内部控制基本规范》的继承和发展。

　　突出效率效果目标

　　目前国有企业处在一个特殊的历史阶段，现阶段，为满足企业高速增长和适时调整应对变革的需要，框架强调，内部控制的首要目标是提高运营的效率和效果，控制与效率的统一性要从不同层面来认识，局部的控制带来的是整体效率，短期控制换来长期效益，切忌为建立内部控制而牺牲运营效率。为保障该目标的实现，框架确定了内部控制的四大原则，即“强支撑、短流程、高授权、大监督”。在企业内部控制建设中应牢牢把握效率优先的首要目标，与此同时，框架也强调了对其他基本目标的基础保障。

　　强调了内控建设的动态性

　　内控机制建设不是一蹴而就、一劳永逸的过程，而是一个经过初始建设、形成系统、并随着企业的发展而持续改进、不断完善并最终形成内控文化的过程。所以，框架中我们强调内控建设的动态性、持续改进性。在具体操作中，针对企业制度化弱、管理基础弱等特点，既要求企业在内控建设时要有全面性的视野，也赋予企业管理者以灵活把握的空间，根据具体情况评估风险、选取关键风险点并围绕风险点设置控制流程，同时强调简便、实用、快捷地形成初始的内控框架，并随着企业的发展对内控提出的新要求进行及时改进，不断完善。

　　强调强支撑和大监督体系

　　国有企业内控框架以效率和效果为基本基调，为实现效率和效果目标，框架强调了短流程和高授权的基本原则。高授权和短流程在监督不力的情况下会产生比较大的决策风险和运营风险，因此作为内控措施的一部分，框架强调建设系统性的管理支撑体系和大监督体系。支撑体系是运营管理的一部分，完善的支撑体系能够缩短管理流程，保障和支撑运营效率。监督体系不参与业务运营过程，但是能够通过预警、审计、考核和责任追究，既不过分影响权力的正常应用，也对权力形成强有力的制约与威慑。

　　构建内部控制应处理好的几个关系

　　一是处理好控制成本与效益的平衡关系

　　对于企业来说，并不是越多的内部控制就越有益。因为建立内部控制机制并保证这些机制有效执行是需要成本的，企业要按照成本效益原则处理好控制系统完备程度与效益的关系问题，实现控制效果和控制目标目的和谐统一。但是这也并不是说企业可以以节约成本为理由，而不建立或不健全内部控制机制。如何在完善内部控制机制与内部控制成本之间寻找一个平衡点是一个值得继续探索的问题，关键的一点就是，应该将企业的风险控制在企业可承受范围之内就行了，不能过度控制。

　　二是要处理好控制与效率的关系

　　与企业自身情况相符合的内部控制，有利于企业提高管理效率和生产经营效果，但是，如果所建立的内部控制系统环节过多、过于复杂繁琐，不仅将导致企业成本增加，而且还将因控制而丧失了效率。为此，企业应结合自身具体情况，确定科学的控制点，以取得控制与效率的最佳结合点。在建设国有企业内部控制机制的过程中，企业一定要注意的是：并不是控制环节越多、程序越复杂、范围越广、内容越多的内部控制就越好，而是应该结合实际情况制定适合企业自身实际的控制强度和内部控制机制。如何建立一套科学的内部控制机制、实现控制与效率的有机结合也一直是内部控制建设中的一个难点问题。

　　三是处理好内部控制稳定与发展的关系

　　内部控制是一定时间内、一定环境下的产物，由于环境、政策等情况发生变化，会使得原有的控制制度不再适合，从而使原有的内部控制失去作用。所以，企业要处理好内部控制稳定与发展的关系，在实践中不断发现问题并不断完善内部控制。同时，内部控制的建设应当坚持“与时俱进”的原则，随着经济环境的变化和企业生产经营的发展，从政策层面和企业自身两个角度，不断发展、更新、修护内部控制体系。

　　四是处理好信息化与完善内部控制机制的关系

　　信息时代，许多内部控制是通过计算机自动完成授权并有效地分离监控与操作的活动，并通过对数据库的建设与维护实现内部控制信息的大量储备与流转，信息化影响到内部控制的各因素，是企业内部控制的“固化”，有效地提高了企业内部控制的效率；同样地，内部控制也反作用于企业的信息化建设，良好的内部控制是企业信息化建设的基础，影响着信息化发展的进程。但是，由于计算机系统的复杂性和专业性，对人员的素质要求非常高，这也导致了内部控制系统构建和评价的困难，也容易产生潜在的风险。信息化对企业内部控制理念和方法的冲击是全方位的，认识这种变化、探讨解决方案对企业内部控制的发展和完善具有深远意义。

　　当前，由美国次贷危机引发的全球金融危机，进而演变成世界性的金融海啸已经波及到了实体经济的各个方面，我国作为世界经济循环的重要参与者，也不可避免地受到了冲击。在这轮百年不遇的金融危机冲击下，我国部分国有企业经营放缓、利润减少，有些企业因为参与资源市场和金融衍生品市场的远期交易而蒙受惨重损失。在这次危机中我们发现，一些企业风险管理与内部控制是照本宣科建立的，有关的政策和流程没有紧密结合企业的实际，更缺乏用“心”去执行内控。要使内部控制有效，首先应当建立适合企业实际的内部控制体系，而不是引进“千篇一律”的管理流程，还要求企业家在逐利的冲动下保持一份谨慎，在纷繁的利益诱惑下保持一份淡定，这样才能坚持自己的既定目标，控制企业的非正常性损失。

　　总的来说，对于企业来讲，有健全的内部控制的企业不一定能够长治久安，因为决定企业成败的关键元素比较多，但是没有内部控制的企业注定是要失败的。建立内部控制体系应当坚持“适当、适度、适用”，在内部控制建设中不能照搬COSO框架，要紧密结合企业的自身特点和外部环境，紧紧围绕“提高运营效率和效果”的首要目标，做到“合适的才是最好的”，同时，在执行内部控制和风险管理时要用“心”，不能照本宣科，要保留一份额外的谨慎。

　　谢谢！

    新浪声明：此消息系转载自新浪合作媒体，新浪网登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。文章内容仅供参考，不构成投资建议。投资者据此操作，风险自担。