三、内部控制体系的建设缺乏系统性和专业性
有些企业认为内部控制体系的建设,无外乎是制度流程的优化和梳理,提炼和分析风险点而已。而实际上,内部控制体系的建设是一项系统的工程,最好与外部的专业机构合作,从而构建完备、有效、规范、系统的内部控制体系。专业的内部控制体系建设,可以分为如下几个阶段:
第一阶段:企业战略的梳理:通过企业战略的梳理与识别,明确企业的发展方向与业务特点,以此为基础可以进一步明确企业战略对于内控建设的要求;针对企业的发展诉求,以及产品特点,确定企业经营风险的主要类别,进行针对性的设计与规划。
第二阶段:企业运营环境的分析:根据内部控制体系的需要,通过资料研读、人员访谈、问卷调研、跟踪分析等各种方式,以核心产品、关键业务模块为重点对现有的内部管理体系进行全面系统的评估分析,明确企业经营现阶段的经营管理现状,汇总企业经营风险的分布情况,确定内部控制体系建设重点。
第三阶段:内部控制体系的设计:以企业战略为指导、以运营环境的分析评估结果为基础,围绕内部控制框架的控制环境建设、风险识别、控制活动、信息与沟通、监督等五个方面的具体要求,设计公司级的内部控制体系。
第四阶段:内部控制体系的建设:流程级和IT级内部控制体系的建设,这是内部控制体系建设的核心环节。把通过战略梳理确定的关键风险区域归结成流程地图,对现有的流程进行描述,并找到这些流程中的风险点、现有的控制措施以及控制的缺失,从而制定内部控制措施、风险控制目标等,最终构建起系统完善的内部控制体系。
四、内部控制体系的执行流于形式
很多企业认为内部控制体系的建设是一劳永逸的,通过一次全面系统的内部控制体系建设,就可以在很长的一段时间里解决一切问题。从而导致企业不注重内部控制体系的执行,使之流于形式,使内部控制体系的价值得不到真正的发挥。
内部控制体系不仅需要认真的执行,而且内部控制体系也是需要不断的固化与优化的。一方面,通过建立完善的公司制度流程体系,实现内部控制体系的固化。以制度流程的形式建立企业内部控制的体系文件,包括内部控制的全部模块,并在此基础上形成持续的优化机制。另一方面,对已经设计完成的公司级内控、流程级内控以及IT级内控进行跟踪测试。通过这样的方式,发现运行中存在的缺陷与问题,并提出相应的整改意见与建议,进行弥补内控体系的运行缺陷,实现企业内控的进一步优化,为企业的实际经营提供支持。
综上,在复杂多变的市场环境中,我国的安防企业应该充分利用好内控体系建设的契机,从企业战略的高度着眼,从企业经营的需要出发,全方位的实现运营风险的控制,为企业的管理水平带来全面的提升,为企业的发展奠定坚实的基础。
