上市公司內控體系建設,除了需要符合來自外部監(jiān)管的要求外,還需通過建立內部控制規(guī)范體系提高企業(yè)經營管理水平和風險防范能力,促進企業(yè)可持續(xù)健康發(fā)展;另外內部控制系統(tǒng)通過企業(yè)內部資源配置、協(xié)調監(jiān)督管理、事后反饋等方式,最終實現業(yè)務目標,為客戶提供價值。
“事謀而后動,動必有成”,內控體系建設前必須先有一個建設策略,才能有效指導建設工作。不同企業(yè)發(fā)展階段不同,所處的環(huán)境不同,建設內控體系的目的不同,導致建設策略會存在一定的差別,本文就上市公司內控體系建設的組織模式、建設范圍、設計思路、設計內容、診斷思路、落地實施、與其他管理體系的融合(IT、風控體系、三標體系等)等方面策略進行闡述,以期為上市企業(yè)內控建設工作提供一定的指導。
一、加強組織建設,為內控體系建設提供有力保障
內部控制是指由企業(yè)董事會、監(jiān)事會、經理層和全體員工實施的、旨在實現控制目標的過程。因此內部控制體系建設工作不僅是公司管理層的責任,而且是公司上下全體員工都需要參與的一項工作。
一般來講,企業(yè)在內部控制體系建設的起步階段會采取項目管理的方式,企業(yè)在搭建起內部控制體系之后,會將項目管理模式轉向由指定的內部控制管理部門歸口負責的常態(tài)化管理。
項目管理下組織架構一般設置如下:
董事會主要負責內控體系建立健全,有效實施和評價;監(jiān)事會主要對董事會建立于實施內部控制進行監(jiān)督;審計委員會主要監(jiān)督內控的有效實施和內控自我評價情況,審核及監(jiān)督外部審計機構是否獨立客觀及審計程序是否有效,審核公司的財務信息及其披露,協(xié)調內部控制審計及其他相關事宜。
一般領導小組職責:確定內控體系建設的范圍;明確內控體系建設的總體規(guī)劃和目標;確定內控體系建設的整體部署落實;提供建設環(huán)境及資源配置;研究決定內控體系建設中的重大事項和結果檢查;監(jiān)督整體內控體系建設項目的執(zhí)行和效果;負責內控體系建設中的其他重要事項。
領導小組成員一般為:董事長、總經理/CEO、主管業(yè)務的副總經理、總會計師/CFO等人員。
企業(yè)在建設內控體系時,一般會設立或指派相關部門進行內控體系建設實施的組織及協(xié)調,該部門是內控體系建設及實施的牽頭部門,例如有財務部、內部審計部、風險管理部、法律部等部門負責,實際操作中由某個部門負責牽頭工作,并在具體工作時成立項目管理辦公室。
項目管理辦公室的職責:負責內控體系建設成員的職責分工;確定內控體系建設與實施各階段任務;協(xié)調本部各部門、下屬各企業(yè)內部控制體系建設工作進展;項目進展監(jiān)督與報告;宣貫與培訓;內控體系建設其他方面的實施工作。
項目管理辦公室成員為:內控牽頭部門負責人、財務總監(jiān)、各成員企業(yè)內控建設負責人員、熟悉會計核算的員工、熟悉質量管理的員工、熟悉財務結帳的員工、熟悉銷售業(yè)務的員工、熟悉采購業(yè)務的員工、熟悉行政業(yè)務的員工等。
企業(yè)在前期內控建設成果的基礎上,逐步建立內部控制常態(tài)化管理工作,一般會設立專門的內控機構進行維護和自我評估工作。如有企業(yè)通過內部審計部門內控建設進行監(jiān)督評估;內部審計部門 保持獨立性,原則上不應直接參與內部控制體系建設;如不可避免參與內部控制體系建設,則應回避在參與建設范圍領域內的內部審計或自我評價。內部審計部門主要評估內部控制系統(tǒng)的有效性,針對內控缺陷為業(yè)務部門提供具有參考價值的意見或解決方案,起獨立的監(jiān)督作用。
二、確定內控體系建設范圍時,管理層應考慮的要素
企業(yè)按類型劃分,分為多元化集團、專業(yè)化集團、單體企業(yè)、分支機構;不同的類型的企業(yè)建設范圍存在一定的差別。根據企業(yè)內部控制評價指引第三條,企業(yè)內控建設需要符合以下原則:全面性原則,即涵蓋企業(yè)及其所屬單位的各種業(yè)務和事項;重要性原則,即在全面評價的基礎上,關注重要業(yè)務單位、重大業(yè)務事項和高風險領域。
所以,企業(yè)確定建設范圍時,管理層應考慮下列幾大要素,來確定應進行評估的經營場所或業(yè)務單位:
(1)經營場所/業(yè)務單位的相關財務狀況和經營狀況;
(2)經營場所/業(yè)務單位出現重大錯報的風險;
(3)選定的經營場所/業(yè)務單位的業(yè)務流程/循環(huán)和內控程序在集中處理或共享服務環(huán)境中所占的比重;
(4)除了本身重要的經營場所以外,管理層還應對那些具有特殊 風險的經營場所和本身不十分重要的經營場所執(zhí)行某些程序,因為當這些經營場所與其他經營場所綜合起來時將可能是重要的。
業(yè)務領域建設范圍根據企業(yè)不同行業(yè)、發(fā)展階段,關注的重點會有所差異。
三、根據不同內控體系發(fā)展階段確定設計思路
內部控制管理是一個持續(xù)發(fā)展的體系,是與企業(yè)的發(fā)展密切相關的,內控體系建設一般分三個階段,即滿足外部監(jiān)管的合規(guī)內控,企業(yè)由被動到主動自發(fā)提高企業(yè)經營效率和效果的管理型內控,為增加股東價值而考慮企業(yè)風險管理的全面風險管理導向型內控。
根據不同內控體系發(fā)展階段,一般內控體系設計思路有三種:
1、以財務報告內部控制為著眼點逐步展開全面內部控制體系建設
從資本市場的監(jiān)管角度出發(fā),中國證監(jiān)會關注上市公司財務報告及相關信息披露的真實、準確和完整;同時內部控制審計是對“財務報告內部控制”有效性發(fā)表意見;財務報告作為內控框架的基本業(yè)務活動,其與其他業(yè)務活動緊密相連,通過財務報告內部控制建設為中心,能將其他與財務報告相關業(yè)務活動進行完善。
所以財務報告是內控建設的突破點,通過財務報告內控建設逐步開展內控體系建設能夠滿足基礎合規(guī)內控的要求。
2、以全面內部控制體系建設為整體目標,立足于管理者關注的重要管理領域,開展內部控制建設。
企業(yè)在進行內控體系建設時,往往受限于人員、時間等方面的成本考量,一般會選擇管理者關注的一個或幾個重要管理領域作為切入點,實現“體系完善,重點突出”的內部控制管理目標。財務報告相關北部控制覆蓋、貫穿企業(yè)各個關鍵業(yè)務流程、控制點,切財務報告是反映企業(yè)經營績效與成果的直接表現,因而在大多數情況下,被企業(yè)選做重點突出的業(yè)務領域之一,率先開展工作。
3、以建立全面風險管理體系為藍圖開展內部控制體系建設
運用風險管理和內部控制的理念和方法持續(xù)優(yōu)化企業(yè)流程,并依托信息化系統(tǒng)實現對企業(yè)重要風險的全面實時監(jiān)控和預警,全面提升企業(yè)管控水平;實現風險管理和內控系統(tǒng)與業(yè)務系統(tǒng)的結合,形成內嵌式的管控系統(tǒng),為企業(yè)戰(zhàn)略決策和管理提供支持,提升企業(yè)競爭力。具體思路如下:
(1)搭建風險管理框架,明確組織及責任體系,梳理風險清單;
(2)識別評估重大風險,就重大風險確定應對策略并建立持續(xù)監(jiān)督機制;
(3)就某一重大風險進行全面、深入識別和評估,梳理與之相對應的內部控制體系,識別內部控制措施的薄弱環(huán)節(jié)并實施整改;
(4)以關鍵績效指標為基礎建立風險預警機制。
四、內控管理診斷的依據和維度
內控管理診斷需要明確內控目標,對流程制度進行梳理,對比COSO的內控要素標準,進行差異分析。對企業(yè)內控管理的診斷往往是以COSO三維框架為依據,結合企業(yè)特點,選擇某一維度為主線,在其他兩個維度展開差異分析和評價。
1、以控制目標維度為主線結合流程層面維度和要素維度要求展開
主要控制目標:經營管理合法合規(guī)、提高經營效率和效果、財務報告及相關信息真實完整、資產安全(COSO:包含在經營效率效果之內)、促進企業(yè)實現發(fā)展戰(zhàn)略。根據控制目標,結合重點的流程及內控要素進行分析診斷。
2、以流程層面維度為主線結合控制目標維度和要素維度需求展開
以公司層面、業(yè)務活動層面和信息系統(tǒng)層面三個層面的流程為主線,或選擇重點關注的業(yè)務流程為主線,結合內控目標及要素進行分析診斷,找出差距,進行優(yōu)化設計。
3、以要素維度為主線結合控制目標維度和流程層面維度要求展開
公司內控要素:內部環(huán)境、目標設定、風險識別、風險評估、風險對策、控制活動、信息與溝通、檢查監(jiān)督。
梳理公司根據要素分析流程層面及控制目標層面與合規(guī)要求差距進行分析診斷。
以上對內控體系建設中的組織設置、設計范圍、設計思路、診斷思路進行簡要闡述,具體設計內容及如何保障實施落地并與其他管理體系融合見后續(xù)文章介紹。