论文部分内容阅读
【摘要】随着我国企业内部控制基本规范及相关配套指引的陆续出台,内部控制成为我国推出的又一与国际接轨的重大改革,他不仅是企业外部监管的要求,更是企业管理当局作为受托人需要履行的职责。目前我国大型上市公司内部控制建设正在逐步推进,有关理论指导和实践经验都在研究和摸索中,是学术界讨论的热点,在企业实务界,内控建设尚属新生事物,需要在实践中不断探索。本文在调查上市公司内控建设经验基础上,对国内企业内控建设工作思路和操作框架进行归纳整理,并结合企业实际情况构建出全面推进内控建设的操作思路与实现方案,供企业参考。
【关键词】内部控制;风险防控;监督机制
【中图分类号】F27 【文献标识码】A
【文章编号】1007-4309(2012)08-0058-2.5
2001年美国安然事件暴露出了企业内部控制和监管上存在的诸多漏洞和风险,为加强内部会计控制监管,2002年美国《萨班斯—奥克斯利法案》出台,从此世界进入内部控制时代。2008年6月我国借鉴融合COSO内部控制框架,并结合中国企业实际,由财政部、审计署、证监会、银监会、保监会联合制定出台了《企业内部控制基本规范》,2010年4月相关配套指引出台,要求2011年起首先在境内外同时上市的公司施行,2012年起扩大到上交所和深交所主板上市公司施行,目前大型上市公司内部控制建设正在逐步推进,有关内控建设的相关理论指导和具体实践操作经验都在逐渐研究和摸索之中,是学术界讨论研究的热点问题。在企业实务界,内部控制建设尚属新生事物,需要在实践中不断探索总结。
本文在调查研究上市公司推进内部控制建设经验基础上,收集分析和整理相关数据和资料,对国内企业内部控制建设工作思路进行归纳整理。对确立以风险防控为导向,结合企业实际情况制定内控建设的操作框架和实践应用进行总结,构建出企业全面推进内部控制建设操作思路与方案,供企业参考。全面推进内控建设大致可分为下面四个阶段。
一、内部控制建设前期筹备过程中的组织协调工作
(一)推进内部控制建设必须取得企业高层的充分支持
内部控制的设计与运行具有全员性,不是针对员工的内控,也不是针对管理层的内控,是企业全员参与的内部控制。准确的说,内部控制是由董事会、监事会、经理层和全体员工共同实施的,旨在合理保证企业发展战略的实现、经营管理的效率和效果、财务报告及管理信息的真实、可靠和完整、资产的安全完整,以及遵循国家法律法规和有关监管要求的过程和机制。企业在全面推进内控建设过程中需要不断建立完善管理制度,梳理优化业务流程,因此一定程度上会改变企业现有工作流程,改变原有管理习惯,甚至杜绝一部分人的不正当利益,这些个人的不正当利益往往会侵蚀企业整体利益,无益于企业的健康持续发展,因此根据经验,全面推进内控建设必须首先得到企业高层(决策层)的充分支持和重视,这一点十分重要,否则内部控制建设举步维艰,很可能半途而废。
(二)确定内部控制职能的归属
企业可以自行开展内部控制建设,也可以委托专业的内控建设咨询机构,但由于全面推进内控建设是一项艰巨、复杂和非常专业的系统工作,对于未有过系统的内控管理背景的企业,建议选择委托咨询机构来进行内控建设,目前多数企业也是这样操作的。选择好内控咨询机构的同时,还要在企业内部选择(或新成立)某一部门来承担内部控制职能,处理内控日常事务。即使是委托咨询机构,也要有某一职能部门具体负责组织协调内控建设工作(即牵头部门),因为初步建立好内部控制体系之后,咨询机构便会撤出,而内部控制是一项长期工作,企业的很多管理制度和业务流程是需要根据实际情况不断调整和完善的,这些后续工作需要由一个专门的职能部门来独立承担。
在实践中,确定负责组织协调内控建设工作的职能部门一般有四种情况:1.财务部门牵头;2.内部审计部门牵头;3.企管部门牵头:4.组织成立联合部门牵头内控建设工作。目前认为比较理想的模式为:前期内控建设阶段组织成立联合部门,负责组织协调内控建设工作,联合部门属于临时机构,可以从审计、财务、企管、人力资源以及业务部门抽调业务骨干,内控的后续日常工作放在企管部门,审计部门负责定期对内控有效性进行评价、审计和监督。当然,具体确定由哪一个职能部门负责、采用哪一种模式,还要结合企业实际情况。
另外需要注意的一点是,在内控建设完成后,按照《企业内部控制审计指引》要求,企业每年要委托社会上独立的内控审计机构(会计师事务所),对企业内部控制的设计与运行的有效性进行审计,这里建议内控审计机构和前期内控建设咨询机构保持一致(可以实现内部信息资源共享),在一定程度上可以避免重复工作,减轻企业的负担。
二、内部控制全面建设工作
(一)组织召开项目启动大会
以内部控制建设相关职能归入企业的企管部,同时委托专业咨询机构为例,在全面推进内控建设工作前,应由企管部牽头组织召开企业内部控制建设项目启动会议,对全面开展内控建设工作进行动员部署,提升企业各级人员对内控建设重要性的认识,部署具体工作安排和时间进度。企业的高层管理人员以及各职能部门负责人均要出席会议,如果是企业集团,所属企业主要负责人也要出席。会议部署工作后,正式进入内控建设阶段。
(二)流程梳理和现场测试
内控建设咨询机构按照18项内控应用指引,首先对企业现有工作流程和管理制度进行全面归纳和梳理,18项应用指引分别是组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递和信息系统,其中前5项属于控制环境层面的,是内控有效发挥作用的基础,后面13项属于业务层面,涉及具体的工作流程。流程梳理以13项业务层面对应指引要求为主要依据,由于多数大型企业都采取总分机构的组织结构,或者是公司总部下设不同事业部,或者是集团总部所属若干分、子公司,公司或者集团总部作为管理中枢,主要涉及组织架构、发展战略、人力资源、社会责任和企业文化5个领域,而所属企业以其余13项业务流程为主。 在流程梳理中以财务指标为主要风险导向,识别上述不同流程的固有风险,评价风险等级形成风险清单(风险列表与相关描述)。对应内控应用指引将13项业务流程结合企业实际情况细分为若干子流程和三级流程,根据企业实际情况逐个描述现有制度和现行控制,与风险描述和指引要求进行逐一比对,一方面获取内控设计和运行有效性证据,另一方面找出对应内控设计缺陷和执行缺陷。同时参照风险清单及描述确认流程关键控制活动即风险控制点,作进一步穿行测试及控制测试,最终形成书面差异分析、控制矩阵等内控文档记录控制活动。
一般来说,业务流程和内部控制的书面文档记录采取的形式至少要有:风险清单、流程描述、以及风险控制矩阵等内控文档。流程描述应保留足够的细节,让其他不了解该流程的人能够了解、进行评估,并为检查流程中控制的执行有效性设计测试,下面的表1为以通知结账为例进行的流程描述示例。结合企业实际情况细分出来的子流程及相应的风险描述可见表2:细分流程与风险清单示例。至于控制矩阵,就是将流程中所涉及的风险和对应的控制活动进行汇总,以发现控制缺陷的一种矩阵图表,控制矩阵是针对每个业务流程记录的关键文件,控制矩阵一般格式可见表3。
完成企业现场测试工作,形成书面差异分析、控制矩阵等内控文档,找出企业现有内部控制中存在的设计缺陷和执行缺陷,在此基础上同企业管理层探讨制订内控缺陷整改方案,随后进入缺陷整改阶段。
三、按照整改方案推进整改工作并跟踪验收
现场测试和流程梳理中发现的内控缺陷包括设计缺陷(制度缺失或者制度不适用,不符合流程实际需要)和执行缺陷(设计完好的控制制度没有按照意图运行或者运行不到位),汇总内控缺陷和咨询机构提出的整改建议,并与企业管理层探讨制订整改方案。
此时企业应召开内控建设工作阶段总结会议,所有涉及内控建设的公司和部门负责人均应出席会议,按照不同业务板块(下属事业部或者分、子公司)逐个总结内控建设阶段工作,通过不同业务板块间横向对比和经验共享,使相关负责人充分认识内部控制缺陷可能对企业经营管理造成的影响,分析如何通过内部控制建设规避风险,保障企业经营目标的实现。通过与咨询机构反复沟通,形成最终的整改方案和整改期限。
内控建设突出以控制风险为目标,不同企业客观条件不同,针对缺陷整改的具体措施无固定模式,采取何种措施和手段需要结合企业实际情况,能够有效控制风险即可。跟踪整改验收时,检查设计缺陷和执行缺陷完成整改率,针对未能及时整改和整改不到位的内控缺陷同管理层再次进行讨论并分析原因。
实践中未能整改的缺陷主要涉及几种情况:相关制度的修改订立仍需讨论研究或报送总部审批,程序仍在进行中;出于成本效益考虑,由内控设置增加的成本企业目前不能接受;一些内控设置降低了工作效率,为兼顾运营效率暂时无法执行;尚需时间进行流程测试和整改验收。上述情况也是出于内部控制本身存在一定局限性,企业结合实际情况权衡各种因素后的结果,有待以后不断调整和改善。
四、确立日常内部控制评价监督机制,保障内部控制有效运行
企业内控建设已初步完成,根据内部控制评价指引,按照确立的内控流程和风险控制点,企业的内部监督机构——审计部门要定期进行内控自我评价,全面梳理业务流程并进行控制测试,检查内控制度执行有效性,增强内部风险管控。同时每年还要接受会计师事务所对内部控制有效性进行审计。
内控自评围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素,按照18项内控应用指引的要求再次全面梳理业务流程,着重考虑内控建设阶段发现的控制缺陷和弱点,做重点测试和跟进,重新确认内控缺陷,最终出具内控自我评价报告。如果是上市公司,每年3月份对外披露内控自评报告和会计师事务所出具的内控有效性审计报告。
内控自评报告一般要包含以下内容:1.内部控制评价工作的总体情况,包括内控目标和控制体系建立健全及执行情况(从五要素角度闡述);2.内部控制评价的依据和范围;3.内部控制评价的程序和方法;4.内部控制缺陷、认定情况及重大缺陷采取的整改措施;5.内部控制有效性的结论。
诚然,内部控制建设是一个不断完善、逐步深入的过程。按照上面阐述的操作思路和实现方案,企业已经初步建立了风险评估和控制机制,然而这仅仅是个开始,未来要基于上述工作成果,通过内控机制逐步深化日常内部监督机制和风险防控体系,强化规范运作意识,不断提升管理质量和运营效率,协助管理层实现企业经营目标,促进企业健康、稳定和持续发展。
【参考文献】
[1]彭志国等.写给企业家的内部控制学[M].北京:中国时代经济出版社,2009.
[2]张俊民.内部控制理论与实务[M].大连:东北财经大学出版社,2012.
【作者简介】卢振杰:天津财经大学2011级MBA,天津市医药集团有限公司审计部。
【关键词】内部控制;风险防控;监督机制
【中图分类号】F27 【文献标识码】A
【文章编号】1007-4309(2012)08-0058-2.5
2001年美国安然事件暴露出了企业内部控制和监管上存在的诸多漏洞和风险,为加强内部会计控制监管,2002年美国《萨班斯—奥克斯利法案》出台,从此世界进入内部控制时代。2008年6月我国借鉴融合COSO内部控制框架,并结合中国企业实际,由财政部、审计署、证监会、银监会、保监会联合制定出台了《企业内部控制基本规范》,2010年4月相关配套指引出台,要求2011年起首先在境内外同时上市的公司施行,2012年起扩大到上交所和深交所主板上市公司施行,目前大型上市公司内部控制建设正在逐步推进,有关内控建设的相关理论指导和具体实践操作经验都在逐渐研究和摸索之中,是学术界讨论研究的热点问题。在企业实务界,内部控制建设尚属新生事物,需要在实践中不断探索总结。
本文在调查研究上市公司推进内部控制建设经验基础上,收集分析和整理相关数据和资料,对国内企业内部控制建设工作思路进行归纳整理。对确立以风险防控为导向,结合企业实际情况制定内控建设的操作框架和实践应用进行总结,构建出企业全面推进内部控制建设操作思路与方案,供企业参考。全面推进内控建设大致可分为下面四个阶段。
一、内部控制建设前期筹备过程中的组织协调工作
(一)推进内部控制建设必须取得企业高层的充分支持
内部控制的设计与运行具有全员性,不是针对员工的内控,也不是针对管理层的内控,是企业全员参与的内部控制。准确的说,内部控制是由董事会、监事会、经理层和全体员工共同实施的,旨在合理保证企业发展战略的实现、经营管理的效率和效果、财务报告及管理信息的真实、可靠和完整、资产的安全完整,以及遵循国家法律法规和有关监管要求的过程和机制。企业在全面推进内控建设过程中需要不断建立完善管理制度,梳理优化业务流程,因此一定程度上会改变企业现有工作流程,改变原有管理习惯,甚至杜绝一部分人的不正当利益,这些个人的不正当利益往往会侵蚀企业整体利益,无益于企业的健康持续发展,因此根据经验,全面推进内控建设必须首先得到企业高层(决策层)的充分支持和重视,这一点十分重要,否则内部控制建设举步维艰,很可能半途而废。
(二)确定内部控制职能的归属
企业可以自行开展内部控制建设,也可以委托专业的内控建设咨询机构,但由于全面推进内控建设是一项艰巨、复杂和非常专业的系统工作,对于未有过系统的内控管理背景的企业,建议选择委托咨询机构来进行内控建设,目前多数企业也是这样操作的。选择好内控咨询机构的同时,还要在企业内部选择(或新成立)某一部门来承担内部控制职能,处理内控日常事务。即使是委托咨询机构,也要有某一职能部门具体负责组织协调内控建设工作(即牵头部门),因为初步建立好内部控制体系之后,咨询机构便会撤出,而内部控制是一项长期工作,企业的很多管理制度和业务流程是需要根据实际情况不断调整和完善的,这些后续工作需要由一个专门的职能部门来独立承担。
在实践中,确定负责组织协调内控建设工作的职能部门一般有四种情况:1.财务部门牵头;2.内部审计部门牵头;3.企管部门牵头:4.组织成立联合部门牵头内控建设工作。目前认为比较理想的模式为:前期内控建设阶段组织成立联合部门,负责组织协调内控建设工作,联合部门属于临时机构,可以从审计、财务、企管、人力资源以及业务部门抽调业务骨干,内控的后续日常工作放在企管部门,审计部门负责定期对内控有效性进行评价、审计和监督。当然,具体确定由哪一个职能部门负责、采用哪一种模式,还要结合企业实际情况。
另外需要注意的一点是,在内控建设完成后,按照《企业内部控制审计指引》要求,企业每年要委托社会上独立的内控审计机构(会计师事务所),对企业内部控制的设计与运行的有效性进行审计,这里建议内控审计机构和前期内控建设咨询机构保持一致(可以实现内部信息资源共享),在一定程度上可以避免重复工作,减轻企业的负担。
二、内部控制全面建设工作
(一)组织召开项目启动大会
以内部控制建设相关职能归入企业的企管部,同时委托专业咨询机构为例,在全面推进内控建设工作前,应由企管部牽头组织召开企业内部控制建设项目启动会议,对全面开展内控建设工作进行动员部署,提升企业各级人员对内控建设重要性的认识,部署具体工作安排和时间进度。企业的高层管理人员以及各职能部门负责人均要出席会议,如果是企业集团,所属企业主要负责人也要出席。会议部署工作后,正式进入内控建设阶段。
(二)流程梳理和现场测试
内控建设咨询机构按照18项内控应用指引,首先对企业现有工作流程和管理制度进行全面归纳和梳理,18项应用指引分别是组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递和信息系统,其中前5项属于控制环境层面的,是内控有效发挥作用的基础,后面13项属于业务层面,涉及具体的工作流程。流程梳理以13项业务层面对应指引要求为主要依据,由于多数大型企业都采取总分机构的组织结构,或者是公司总部下设不同事业部,或者是集团总部所属若干分、子公司,公司或者集团总部作为管理中枢,主要涉及组织架构、发展战略、人力资源、社会责任和企业文化5个领域,而所属企业以其余13项业务流程为主。 在流程梳理中以财务指标为主要风险导向,识别上述不同流程的固有风险,评价风险等级形成风险清单(风险列表与相关描述)。对应内控应用指引将13项业务流程结合企业实际情况细分为若干子流程和三级流程,根据企业实际情况逐个描述现有制度和现行控制,与风险描述和指引要求进行逐一比对,一方面获取内控设计和运行有效性证据,另一方面找出对应内控设计缺陷和执行缺陷。同时参照风险清单及描述确认流程关键控制活动即风险控制点,作进一步穿行测试及控制测试,最终形成书面差异分析、控制矩阵等内控文档记录控制活动。
一般来说,业务流程和内部控制的书面文档记录采取的形式至少要有:风险清单、流程描述、以及风险控制矩阵等内控文档。流程描述应保留足够的细节,让其他不了解该流程的人能够了解、进行评估,并为检查流程中控制的执行有效性设计测试,下面的表1为以通知结账为例进行的流程描述示例。结合企业实际情况细分出来的子流程及相应的风险描述可见表2:细分流程与风险清单示例。至于控制矩阵,就是将流程中所涉及的风险和对应的控制活动进行汇总,以发现控制缺陷的一种矩阵图表,控制矩阵是针对每个业务流程记录的关键文件,控制矩阵一般格式可见表3。
完成企业现场测试工作,形成书面差异分析、控制矩阵等内控文档,找出企业现有内部控制中存在的设计缺陷和执行缺陷,在此基础上同企业管理层探讨制订内控缺陷整改方案,随后进入缺陷整改阶段。
三、按照整改方案推进整改工作并跟踪验收
现场测试和流程梳理中发现的内控缺陷包括设计缺陷(制度缺失或者制度不适用,不符合流程实际需要)和执行缺陷(设计完好的控制制度没有按照意图运行或者运行不到位),汇总内控缺陷和咨询机构提出的整改建议,并与企业管理层探讨制订整改方案。
此时企业应召开内控建设工作阶段总结会议,所有涉及内控建设的公司和部门负责人均应出席会议,按照不同业务板块(下属事业部或者分、子公司)逐个总结内控建设阶段工作,通过不同业务板块间横向对比和经验共享,使相关负责人充分认识内部控制缺陷可能对企业经营管理造成的影响,分析如何通过内部控制建设规避风险,保障企业经营目标的实现。通过与咨询机构反复沟通,形成最终的整改方案和整改期限。
内控建设突出以控制风险为目标,不同企业客观条件不同,针对缺陷整改的具体措施无固定模式,采取何种措施和手段需要结合企业实际情况,能够有效控制风险即可。跟踪整改验收时,检查设计缺陷和执行缺陷完成整改率,针对未能及时整改和整改不到位的内控缺陷同管理层再次进行讨论并分析原因。
实践中未能整改的缺陷主要涉及几种情况:相关制度的修改订立仍需讨论研究或报送总部审批,程序仍在进行中;出于成本效益考虑,由内控设置增加的成本企业目前不能接受;一些内控设置降低了工作效率,为兼顾运营效率暂时无法执行;尚需时间进行流程测试和整改验收。上述情况也是出于内部控制本身存在一定局限性,企业结合实际情况权衡各种因素后的结果,有待以后不断调整和改善。
四、确立日常内部控制评价监督机制,保障内部控制有效运行
企业内控建设已初步完成,根据内部控制评价指引,按照确立的内控流程和风险控制点,企业的内部监督机构——审计部门要定期进行内控自我评价,全面梳理业务流程并进行控制测试,检查内控制度执行有效性,增强内部风险管控。同时每年还要接受会计师事务所对内部控制有效性进行审计。
内控自评围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素,按照18项内控应用指引的要求再次全面梳理业务流程,着重考虑内控建设阶段发现的控制缺陷和弱点,做重点测试和跟进,重新确认内控缺陷,最终出具内控自我评价报告。如果是上市公司,每年3月份对外披露内控自评报告和会计师事务所出具的内控有效性审计报告。
内控自评报告一般要包含以下内容:1.内部控制评价工作的总体情况,包括内控目标和控制体系建立健全及执行情况(从五要素角度闡述);2.内部控制评价的依据和范围;3.内部控制评价的程序和方法;4.内部控制缺陷、认定情况及重大缺陷采取的整改措施;5.内部控制有效性的结论。
诚然,内部控制建设是一个不断完善、逐步深入的过程。按照上面阐述的操作思路和实现方案,企业已经初步建立了风险评估和控制机制,然而这仅仅是个开始,未来要基于上述工作成果,通过内控机制逐步深化日常内部监督机制和风险防控体系,强化规范运作意识,不断提升管理质量和运营效率,协助管理层实现企业经营目标,促进企业健康、稳定和持续发展。
【参考文献】
[1]彭志国等.写给企业家的内部控制学[M].北京:中国时代经济出版社,2009.
[2]张俊民.内部控制理论与实务[M].大连:东北财经大学出版社,2012.
【作者简介】卢振杰:天津财经大学2011级MBA,天津市医药集团有限公司审计部。