上市公司內控體系建設�,除了需要符合來自外部監管的要求外�,還需通過建立內部控制規范體系提高企業經營管理水平和風險防范能力����,促進企業可持續健康發展;另外內部控制系統通過企業內部資源配置�、協調監督管理����、事后反饋等方式��,最終實現業務目標�,為客戶提供價值��。
“事謀而后動����,動必有成”����,內控體系建設前必須先有一個建設策略����,才能有效指導建設工作��。不同企業發展階段不同����,所處的環境不同��,建設內控體系的目的不同�,導致建設策略會存在一定的差別����,本文就上市公司內控體系建設的組織模式����、建設范圍����、設計思路����、設計內容�、診斷思路��、落地實施�、與其他管理體系的融合(IT����、風控體系�、三標體系等)等方面策略進行闡述����,以期為上市企業內控建設工作提供一定的指導�。
一��、加強組織建設�,為內控體系建設提供有力保障
內部控制是指由企業董事會��、監事會�、經理層和全體員工實施的��、旨在實現控制目標的過程�。因此內部控制體系建設工作不僅是公司管理層的責任����,而且是公司上下全體員工都需要參與的一項工作��。
一般來講��,企業在內部控制體系建設的起步階段會采取項目管理的方式����,企業在搭建起內部控制體系之后��,會將項目管理模式轉向由指定的內部控制管理部門歸口負責的常態化管理�。
項目管理下組織架構一般設置如下:
董事會主要負責內控體系建立健全����,有效實施和評價;監事會主要對董事會建立于實施內部控制進行監督;審計委員會主要監督內控的有效實施和內控自我評價情況�,審核及監督外部審計機構是否獨立客觀及審計程序是否有效�,審核公司的財務信息及其披露����,協調內部控制審計及其他相關事宜����。
一般領導小組職責:確定內控體系建設的范圍;明確內控體系建設的總體規劃和目標;確定內控體系建設的整體部署落實;提供建設環境及資源配置;研究決定內控體系建設中的重大事項和結果檢查;監督整體內控體系建設項目的執行和效果;負責內控體系建設中的其他重要事項�。
領導小組成員一般為:董事長��、總經理/CEO��、主管業務的副總經理�、總會計師/CFO等人員�。
企業在建設內控體系時�,一般會設立或指派相關部門進行內控體系建設實施的組織及協調����,該部門是內控體系建設及實施的牽頭部門�,例如有財務部�、內部審計部�、風險管理部��、法律部等部門負責����,實際操作中由某個部門負責牽頭工作��,并在具體工作時成立項目管理辦公室��。
項目管理辦公室的職責:負責內控體系建設成員的職責分工;確定內控體系建設與實施各階段任務;協調本部各部門�、下屬各企業內部控制體系建設工作進展;項目進展監督與報告;宣貫與培訓;內控體系建設其他方面的實施工作��。
項目管理辦公室成員為:內控牽頭部門負責人��、財務總監����、各成員企業內控建設負責人員����、熟悉會計核算的員工�、熟悉質量管理的員工����、熟悉財務結帳的員工����、熟悉銷售業務的員工����、熟悉采購業務的員工����、熟悉行政業務的員工等�。
企業在前期內控建設成果的基礎上��,逐步建立內部控制常態化管理工作�,一般會設立專門的內控機構進行維護和自我評估工作��。如有企業通過內部審計部門內控建設進行監督評估;內部審計部門
保持獨立性��,原則上不應直接參與內部控制體系建設;如不可避免參與內部控制體系建設����,則應回避在參與建設范圍領域內的內部審計或自我評價����。內部審計部門主要評估內部控制系統的有效性�,針對內控缺陷為業務部門提供具有參考價值的意見或解決方案����,起獨立的監督作用����。
二�、確定內控體系建設范圍時����,管理層應考慮的要素
企業按類型劃分����,分為多元化集團�、專業化集團��、單體企業�、分支機構;不同的類型的企業建設范圍存在一定的差別�。根據企業內部控制評價指引第三條��,企業內控建設需要符合以下原則:全面性原則��,即涵蓋企業及其所屬單位的各種業務和事項;重要性原則�,即在全面評價的基礎上�,關注重要業務單位����、重大業務事項和高風險領域��。
所以�,企業確定建設范圍時�,管理層應考慮下列幾大要素�,來確定應進行評估的經營場所或業務單位:
(1)經營場所/業務單位的相關財務狀況和經營狀況;
(2)經營場所/業務單位出現重大錯報的風險;
(3)選定的經營場所/業務單位的業務流程/循環和內控程序在集中處理或共享服務環境中所占的比重;
(4)除了本身重要的經營場所以外��,管理層還應對那些具有特殊
風險的經營場所和本身不十分重要的經營場所執行某些程序�,因為當這些經營場所與其他經營場所綜合起來時將可能是重要的�。
業務領域建設范圍根據企業不同行業����、發展階段��,關注的重點會有所差異�。
三����、根據不同內控體系發展階段確定設計思路
內部控制管理是一個持續發展的體系����,是與企業的發展密切相關的�,內控體系建設一般分三個階段����,即滿足外部監管的合規內控����,企業由被動到主動自發提高企業經營效率和效果的管理型內控��,為增加股東價值而考慮企業風險管理的全面風險管理導向型內控�。
根據不同內控體系發展階段����,一般內控體系設計思路有三種:
1����、以財務報告內部控制為著眼點逐步展開全面內部控制體系建設
從資本市場的監管角度出發����,中國證監會關注上市公司財務報告及相關信息披露的真實��、準確和完整;同時內部控制審計是對“財務報告內部控制”有效性發表意見;財務報告作為內控框架的基本業務活動����,其與其他業務活動緊密相連�,通過財務報告內部控制建設為中心����,能將其他與財務報告相關業務活動進行完善�。
所以財務報告是內控建設的突破點����,通過財務報告內控建設逐步開展內控體系建設能夠滿足基礎合規內控的要求��。
2����、以全面內部控制體系建設為整體目標�,立足于管理者關注的重要管理領域����,開展內部控制建設����。
企業在進行內控體系建設時�,往往受限于人員��、時間等方面的成本考量�,一般會選擇管理者關注的一個或幾個重要管理領域作為切入點��,實現“體系完善����,重點突出”的內部控制管理目標��。財務報告相關北部控制覆蓋�、貫穿企業各個關鍵業務流程����、控制點��,切財務報告是反映企業經營績效與成果的直接表現��,因而在大多數情況下�,被企業選做重點突出的業務領域之一����,率先開展工作�。
3�、以建立全面風險管理體系為藍圖開展內部控制體系建設
運用風險管理和內部控制的理念和方法持續優化企業流程����,并依托信息化系統實現對企業重要風險的全面實時監控和預警�,全面提升企業管控水平;實現風險管理和內控系統與業務系統的結合��,形成內嵌式的管控系統����,為企業戰略決策和管理提供支持�,提升企業競爭力��。具體思路如下:
(1)搭建風險管理框架�,明確組織及責任體系����,梳理風險清單;
(2)識別評估重大風險�,就重大風險確定應對策略并建立持續監督機制;
(3)就某一重大風險進行全面��、深入識別和評估��,梳理與之相對應的內部控制體系��,識別內部控制措施的薄弱環節并實施整改;
(4)以關鍵績效指標為基礎建立風險預警機制�。
四����、內控管理診斷的依據和維度
內控管理診斷需要明確內控目標����,對流程制度進行梳理�,對比COSO的內控要素標準�,進行差異分析�。對企業內控管理的診斷往往是以COSO三維框架為依據����,結合企業特點����,選擇某一維度為主線��,在其他兩個維度展開差異分析和評價����。
1�、以控制目標維度為主線結合流程層面維度和要素維度要求展開
主要控制目標:經營管理合法合規�、提高經營效率和效果����、財務報告及相關信息真實完整�、資產安全(COSO:包含在經營效率效果之內)����、促進企業實現發展戰略�。根據控制目標��,結合重點的流程及內控要素進行分析診斷����。
2����、以流程層面維度為主線結合控制目標維度和要素維度需求展開
以公司層面�、業務活動層面和信息系統層面三個層面的流程為主線��,或選擇重點關注的業務流程為主線�,結合內控目標及要素進行分析診斷��,找出差距����,進行優化設計����。
3����、以要素維度為主線結合控制目標維度和流程層面維度要求展開
公司內控要素:內部環境��、目標設定����、風險識別����、風險評估����、風險對策����、控制活動�、信息與溝通��、檢查監督�。
梳理公司根據要素分析流程層面及控制目標層面與合規要求差距進行分析診斷��。
以上對內控體系建設中的組織設置��、設計范圍��、設計思路����、診斷思路進行簡要闡述�,具體設計內容及如何保障實施落地并與其他管理體系融合見后續文章介紹�。
