1、缺少从事企业内控管理的组织和人员;
企业目前很多实用财务部、法务部、审计部或者企管部牵头搞集团整体内控,而忽略了内控涉及多个业务领域,以及复杂的利益切分问题,往往出现虎头蛇尾或者有好的思想无法落地的现象。
2、企业人员对内控管理的认识不到位,决策者重视不够;
企业管理者往往把内控管理看作是增加管理成本、降低效率、增加相互检查监督,而没有认识到内控管理是以风险管理为导向,核心目标是保证企业稳健经营,减少异常损失这一价值。而且基本规范明确指出内控的责任主体是董事会。
3、现有企业管理制度体系不够完善;
企业现有管理制度往往缺少基本规范要求的内控相关制度,例如员工行为准则、匿名检举制度、内控管理制度、关键岗位轮岗和强制休假制度等。
4、缺乏内外风险评估的机制和相关专业工具;
企业往往没有专门的组织和流程,定期搜集内外市场经营信息,进行风险评估依据,因此大多数企业对于外部风险评估大多处于主观定性认识,缺乏工具和方法对风险因素进行定量和长期跟踪分析,以至于决策偏颇,也无法进行责任追究。
5、企业的内部管理制度难以保持长期有效的执行;
即使企业的内部管理制度较为齐备,但是有效的执行缺乏保证,经常出现跨级越权审批或者预算开支等现象。
6、企业的内控管理效果难以有效跟踪和评价。
单纯依靠审计部门完成内控审计工作,往往限于审计部门的地位、人员素质、数量和时间的成本限制,不可能逐笔审查验证有效性,往往变成定期和流于表面功夫。
企业实现内部管控需要达到的目的:
可行:将各种企业管控制度,利用IT系统与实际各类经营业务和管理流程结合,实现基本规范要求的内控管理的全面性要求,降低手工管理相应的管理成本,符合成本效益原则。
可控:将各种企业管理制度通过IT系统,达到变“人为”为“自动”,实现从业务记录到管理规则的自动化控制。例如采购的最高价和销售的最低价控制等。
可视:通过IT系统,将企业各类制度和执行过程、效果进行全面的记录,具备随时进行披露和分析的能力,方便内部监督改进、外部审计评价,从而相应的监督成本,提高效率。