上市公司內控體系建設��,除了需要符合來自外部監(jiān)管的要求外�,還需通過建立內部控制規(guī)范體系提高企業(yè)經(jīng)營管理水平和風險防范能力���,促進企業(yè)可持續(xù)健康發(fā)展;另外內部控制系統(tǒng)通過企業(yè)內部資源配置�、協(xié)調監(jiān)督管理�����、事后反饋等方式,最終實現(xiàn)業(yè)務目標�����,為客戶提供價值�����。
“事謀而后動���,動必有成”�����,內控體系建設前必須先有一個建設策略����,才能有效指導建設工作��。不同企業(yè)發(fā)展階段不同��,所處的環(huán)境不同�,建設內控體系的目的不同�,導致建設策略會存在一定的差別���,本文就上市公司內控體系建設的組織模式���、建設范圍、設計思路��、設計內容�、診斷思路、落地實施�、與其他管理體系的融合(IT、風控體系�、三標體系等)等方面策略進行闡述,以期為上市企業(yè)內控建設工作提供一定的指導��。
一����、加強組織建設�,為內控體系建設提供有力保障
內部控制是指由企業(yè)董事會、監(jiān)事會��、經(jīng)理層和全體員工實施的���、旨在實現(xiàn)控制目標的過程�����。因此內部控制體系建設工作不僅是公司管理層的責任��,而且是公司上下全體員工都需要參與的一項工作�����。
一般來講����,企業(yè)在內部控制體系建設的起步階段會采取項目管理的方式,企業(yè)在搭建起內部控制體系之后�,會將項目管理模式轉向由指定的內部控制管理部門歸口負責的常態(tài)化管理。
項目管理下組織架構一般設置如下:
董事會主要負責內控體系建立健全����,有效實施和評價;監(jiān)事會主要對董事會建立于實施內部控制進行監(jiān)督;審計委員會主要監(jiān)督內控的有效實施和內控自我評價情況,審核及監(jiān)督外部審計機構是否獨立客觀及審計程序是否有效�����,審核公司的財務信息及其披露�����,協(xié)調內部控制審計及其他相關事宜。
一般領導小組職責:確定內控體系建設的范圍;明確內控體系建設的總體規(guī)劃和目標;確定內控體系建設的整體部署落實;提供建設環(huán)境及資源配置;研究決定內控體系建設中的重大事項和結果檢查;監(jiān)督整體內控體系建設項目的執(zhí)行和效果;負責內控體系建設中的其他重要事項���。
領導小組成員一般為:董事長��、總經(jīng)理/CEO���、主管業(yè)務的副總經(jīng)理、總會計師/CFO等人員�。
企業(yè)在建設內控體系時,一般會設立或指派相關部門進行內控體系建設實施的組織及協(xié)調�,該部門是內控體系建設及實施的牽頭部門,例如有財務部�、內部審計部、風險管理部���、法律部等部門負責�����,實際操作中由某個部門負責牽頭工作,并在具體工作時成立項目管理辦公室��。
項目管理辦公室的職責:負責內控體系建設成員的職責分工;確定內控體系建設與實施各階段任務;協(xié)調本部各部門、下屬各企業(yè)內部控制體系建設工作進展;項目進展監(jiān)督與報告;宣貫與培訓;內控體系建設其他方面的實施工作��。
項目管理辦公室成員為:內控牽頭部門負責人�����、財務總監(jiān)�、各成員企業(yè)內控建設負責人員、熟悉會計核算的員工�、熟悉質量管理的員工、熟悉財務結帳的員工���、熟悉銷售業(yè)務的員工�、熟悉采購業(yè)務的員工����、熟悉行政業(yè)務的員工等。
企業(yè)在前期內控建設成果的基礎上��,逐步建立內部控制常態(tài)化管理工作��,一般會設立專門的內控機構進行維護和自我評估工作���。如有企業(yè)通過內部審計部門內控建設進行監(jiān)督評估;內部審計部門
保持獨立性���,原則上不應直接參與內部控制體系建設;如不可避免參與內部控制體系建設�����,則應回避在參與建設范圍領域內的內部審計或自我評價��。內部審計部門主要評估內部控制系統(tǒng)的有效性���,針對內控缺陷為業(yè)務部門提供具有參考價值的意見或解決方案,起獨立的監(jiān)督作用�。
二、確定內控體系建設范圍時�,管理層應考慮的要素
企業(yè)按類型劃分,分為多元化集團��、專業(yè)化集團��、單體企業(yè)�、分支機構;不同的類型的企業(yè)建設范圍存在一定的差別。根據(jù)企業(yè)內部控制評價指引第三條�,企業(yè)內控建設需要符合以下原則:全面性原則,即涵蓋企業(yè)及其所屬單位的各種業(yè)務和事項;重要性原則���,即在全面評價的基礎上�����,關注重要業(yè)務單位��、重大業(yè)務事項和高風險領域�。
所以��,企業(yè)確定建設范圍時���,管理層應考慮下列幾大要素�,來確定應進行評估的經(jīng)營場所或業(yè)務單位:
(1)經(jīng)營場所/業(yè)務單位的相關財務狀況和經(jīng)營狀況;
(2)經(jīng)營場所/業(yè)務單位出現(xiàn)重大錯報的風險;
(3)選定的經(jīng)營場所/業(yè)務單位的業(yè)務流程/循環(huán)和內控程序在集中處理或共享服務環(huán)境中所占的比重;
(4)除了本身重要的經(jīng)營場所以外�����,管理層還應對那些具有特殊
風險的經(jīng)營場所和本身不十分重要的經(jīng)營場所執(zhí)行某些程序���,因為當這些經(jīng)營場所與其他經(jīng)營場所綜合起來時將可能是重要的�����。
業(yè)務領域建設范圍根據(jù)企業(yè)不同行業(yè)���、發(fā)展階段���,關注的重點會有所差異。
三�����、根據(jù)不同內控體系發(fā)展階段確定設計思路
內部控制管理是一個持續(xù)發(fā)展的體系�����,是與企業(yè)的發(fā)展密切相關的�,內控體系建設一般分三個階段,即滿足外部監(jiān)管的合規(guī)內控�,企業(yè)由被動到主動自發(fā)提高企業(yè)經(jīng)營效率和效果的管理型內控,為增加股東價值而考慮企業(yè)風險管理的全面風險管理導向型內控��。
根據(jù)不同內控體系發(fā)展階段��,一般內控體系設計思路有三種:
1����、以財務報告內部控制為著眼點逐步展開全面內部控制體系建設
從資本市場的監(jiān)管角度出發(fā),中國證監(jiān)會關注上市公司財務報告及相關信息披露的真實���、準確和完整;同時內部控制審計是對“財務報告內部控制”有效性發(fā)表意見;財務報告作為內控框架的基本業(yè)務活動�,其與其他業(yè)務活動緊密相連,通過財務報告內部控制建設為中心���,能將其他與財務報告相關業(yè)務活動進行完善��。
所以財務報告是內控建設的突破點,通過財務報告內控建設逐步開展內控體系建設能夠滿足基礎合規(guī)內控的要求��。
2�����、以全面內部控制體系建設為整體目標��,立足于管理者關注的重要管理領域�,開展內部控制建設。
企業(yè)在進行內控體系建設時��,往往受限于人員����、時間等方面的成本考量,一般會選擇管理者關注的一個或幾個重要管理領域作為切入點���,實現(xiàn)“體系完善�����,重點突出”的內部控制管理目標����。財務報告相關北部控制覆蓋、貫穿企業(yè)各個關鍵業(yè)務流程��、控制點�����,切財務報告是反映企業(yè)經(jīng)營績效與成果的直接表現(xiàn)���,因而在大多數(shù)情況下��,被企業(yè)選做重點突出的業(yè)務領域之一�,率先開展工作�。
3、以建立全面風險管理體系為藍圖開展內部控制體系建設
運用風險管理和內部控制的理念和方法持續(xù)優(yōu)化企業(yè)流程��,并依托信息化系統(tǒng)實現(xiàn)對企業(yè)重要風險的全面實時監(jiān)控和預警����,全面提升企業(yè)管控水平;實現(xiàn)風險管理和內控系統(tǒng)與業(yè)務系統(tǒng)的結合�,形成內嵌式的管控系統(tǒng)�,為企業(yè)戰(zhàn)略決策和管理提供支持,提升企業(yè)競爭力���。具體思路如下:
(1)搭建風險管理框架��,明確組織及責任體系���,梳理風險清單;
(2)識別評估重大風險�����,就重大風險確定應對策略并建立持續(xù)監(jiān)督機制;
(3)就某一重大風險進行全面���、深入識別和評估���,梳理與之相對應的內部控制體系,識別內部控制措施的薄弱環(huán)節(jié)并實施整改;
(4)以關鍵績效指標為基礎建立風險預警機制�。
四、內控管理診斷的依據(jù)和維度
內控管理診斷需要明確內控目標���,對流程制度進行梳理��,對比COSO的內控要素標準�����,進行差異分析��。對企業(yè)內控管理的診斷往往是以COSO三維框架為依據(jù)���,結合企業(yè)特點���,選擇某一維度為主線,在其他兩個維度展開差異分析和評價���。
1�、以控制目標維度為主線結合流程層面維度和要素維度要求展開
主要控制目標:經(jīng)營管理合法合規(guī)��、提高經(jīng)營效率和效果�����、財務報告及相關信息真實完整����、資產安全(COSO:包含在經(jīng)營效率效果之內)�����、促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略����。根據(jù)控制目標�����,結合重點的流程及內控要素進行分析診斷��。
2�����、以流程層面維度為主線結合控制目標維度和要素維度需求展開
以公司層面�����、業(yè)務活動層面和信息系統(tǒng)層面三個層面的流程為主線�����,或選擇重點關注的業(yè)務流程為主線�,結合內控目標及要素進行分析診斷,找出差距���,進行優(yōu)化設計���。
3、以要素維度為主線結合控制目標維度和流程層面維度要求展開
公司內控要素:內部環(huán)境��、目標設定��、風險識別���、風險評估��、風險對策�、控制活動��、信息與溝通���、檢查監(jiān)督����。
梳理公司根據(jù)要素分析流程層面及控制目標層面與合規(guī)要求差距進行分析診斷。
以上對內控體系建設中的組織設置�、設計范圍、設計思路��、診斷思路進行簡要闡述�,具體設計內容及如何保障實施落地并與其他管理體系融合見后續(xù)文章介紹。
