當前位置:首頁 » 持倉收益 » 上市公司內控制度指引
擴展閱讀
股票投資經濟學 2021-06-17 16:24:20

上市公司內控制度指引

發布時間: 2021-04-25 10:15:32

A. 上市公司內部控制評價體系

企業內部控制評價是對內部控制執行有效性的檢測,目前我國的內部控制評價標准體系尚未建立。今年3月,財政部發布了財會便(2007)7號關於印發《企業內部控制規范-基本規范》和17項具體規范(徵求意見稿)的通知,其目的在於推動國內上市公司實行內部控制自我評價制度和注冊會計師審計制度,填補企業內部控制標準的空白,從而為建立企業內部控制評價體系打下基礎。

在實際審計工作中,對被審計單位企業的內部控制進行評價,必須要有一套客觀可行的基本參照標准。這套標准不僅可為企業自我評估和改進其內部控制以及注冊會計師發表評價意見提供依據,還可以為各方面的溝通與理解提供統一的基礎。我國在內部會計控制的建設與完善方面雖已進入起步階段,但有關內部會計控制的標准和評價體系較為薄弱,制約了企業內部控制的有效執行。因此,建立一套完善的、符合實際的、具有可操作性的企業內部控制評價體系已勢在必行。

內部控制評價體系框架

研究、制定一套具有統一性、公認性和完善性,既符合實際又具有可操作性的評價標准體系,應從目標定位、內容範圍以及設置方式等方面來綜合考慮,既可以從企業管理與控制的目標入手,也可以從內部控制要素入手。但無論怎樣,企業內部控制評價標准都可以分為一般標准和具體標准兩部分,一般標准以具體標准為基礎,同時也是具體標準的升華,二者相輔相成,缺一不可,共同構成一個完整的評價體系。

這里所說的一般標准大致包括3方面,即完整性、合理性、有效性。具體標准由內部控制要素評價標准和作業層級評價標准兩部分組成,其中要素評價標准可分為5個方面,即控制環境、風險評估、控制活動、信息與溝通、監督;作業層級評價標准因其繁瑣復雜,難以窮盡,如以生產性企業為例進行框架構建,可分為5個業務循環,即銷售業務循環、購貨業務循環、生產業務循環、薪金業務循環和理財業務循環。在內部控制評價的具體標准中,要素評價標准以作業層級評價標准為基礎。

一般標准測試的3大方面

首先是完整性。企業內部控制是否完整是評價一般標准中首要的一條,同時又是基礎。若內部控制的完整性都達不到,則內部控制的合理性與有效性就無從談起了。

從系統的觀點出發,可以從企業資源利用角度去審視:應有「人力資源控制系統、物力資源控制系統、財力資源控制系統、信息資源控制系統」;從經營環節角度去審視:應有「供應環節控制系統、生產環節控制系統、銷售環節控制系統」;等等。在對內部控制的完整性作出判斷時,還應當考慮到企業經營規模及業務復雜程度的影響。一般情況下,企業經營規模愈大,業務復雜程度就愈高,對內部控制的完整性要求也愈高。

其次是合理性。企業設置內部控制切忌照抄照搬,因此應當考慮企業內控設計和執行時的適應性和經濟性。因為,企業所處行業、組織規模、交易性質、經濟技術條件、人員素質等方面存在著很大的差異,不同的企業就應當根據其不同的特點設置內部控制制度。

在對某一企業評價其內部控制的適用性時,要注意控制點的設置是否合理,有沒有安排過多或不必要的控制點;在每一個需要控制的地方是否都建立了控制環節;控制職能是否劃分清楚;人員間的分工和牽制是否恰當,既不能分工過細,又能起到相互牽制的作用。同時,內部控制的適用性要以經濟性為限制條件。

第三是有效性。企業內部控制的有效性應該體現在是否能為提高經營效益、提供可靠財務報告和遵循法律法規方面提供合理保證,有效性是內部控制的精髓。在內部控制評價的3個一般標准中,內部控制的有效性以其完整性與合理性為基礎,內部控制的完整性與合理性則以其有效性為目的。

在對企業內控制度的有效性進行審核評價時,要注意內部控制不僅僅需要在總體上是有效的,而且需要各項具體制度也要有明確的目的並發揮其自身的作用。要審核內部控制系統是否相互協調,自相矛盾;是否顧此失彼、相互制約;是否有利於整體功能的發揮。要關注內部控制是否適度,如果過嚴則會使管理活動失去活力,影響相關方積極性的發揮;過寬又會引起運行的機制失調,達不到控制目的。

具體標准測試的5大要素

在對內控制度進行評價時,只有先從操作性較強的具體標准入手,對具體內控制度的設計與運行有了認識之後,才能從整體上對企業內部控制的完整、合理、有效作出判斷。對具體標準的評價方法常用的有「詢問、觀察、檢查、重新執行」。企業內部控制評價可以按下列步驟展開:

首先是企業控制環境。以《上市公司內部控制指引》為依據,對企業進行測評。主要有:企業治理結構是否完善,董事會、監事會和股東大會等管理架構是否合法運作和科學決策;是否建立有效的激勵約束機制和樹立風險防範意識;企業管理層及業務環節是否開展內控培訓,讓內部風險防範成為高管的共識;是否培育良好的企業精神和內部控制文化,創造全體職工充分了解並履行職責的環境;企業高管人員和采購人員是否簽訂誠信承諾書,對所有的重要原材料及設備供應商,在購銷活動中首先簽訂陽光協議,要求其操作過程透明公開,禁止商業賄賂等行為。

其次是企業風險。企業管理層應對影響企業目標實現的內、外部各種風險進行分析,考慮其可能性和影響程度,制定必要的對策。在對企業風險防範作測評時,應重點關注企業是否建立完整的風險評估體系,是否建立審計委員和風險管理部門,是否對經營風險、財務風險、市場風險、政策法規風險和道德風險等進行持續監控;是否對已發現的企業各類風險有控制措施,如內控制度執行情況的檢查和監督,以及相關制度是否向子公司延伸,以確保子公司的經營安全。

同時,還要關注對相關業務項目及已知風險點是否進行定期檢查評估、提示及完善,如在日常經營風險管理中對「重大采購二次詢價」,建立「不合格供應黑名單」是否有實時監控。是否對客戶建立資信信息檔案、是否定期梳理與公司發展戰略不符的業務或項目等等。

第三是企業控制活動。企業管理層為確保風險對策有效執行和落實所採取的措施和程序,主要包括批准、授權、驗證、協調、復核、定期盤點、記錄核對、財產的保護、職責的分離、績效考核等內容。

在對企業控制活動測試時,要重點審核組織機構方面採取的控制活動和內控制度方面採取的控制活動。在組織結構方面重點審核:機構、崗位及職責許可權是否合理設置和分工,不相容職務是否相互分離,是否成立相關法律事務部門和職能,對采購與驗收等環節是否設置相互監督制度,做到人員分離。企業是否把業務流程作為內部控制制度建設的重點,設置關鍵控制點和反饋系統。在內控制度建設方面重點審核:企業是否制定了董事會的議事規則、總經理事權規則、財務管理制度、采購管理制度、投資管理制度、合同管理制度、子公司管理制度、內控檢查監督制度等。

第四是企業信息與溝通。在對企業信息活動測試時,要重點審核公司是否已制定公司內部信息和外部信息的管理政策,確保信息能夠准確傳遞,確保董事會、監事會、高級管理人員及內部審計部門及時了解公司及其控股子公司的經營和風險狀況,確保各類風險隱患和內部控制缺陷得到妥善處理;公司的日常業務包括資產、財務管理等是否實行流程表單化管理和建立ERP系統。

第五是企業檢查與監督。在對企業該項活動測試時,要重點審核公司是否已制定了內部控制檢查監督辦法,該項工作是否在董事會或審計委員會直接領導下,有風險管理部門或審計部門具體負責實施,並有相關制度。如:基建項目是否有竣工決算審計制度、主要領導的離任是否實施責任審計,重大投資、擔保、抵押、關聯交易是否建立審核會簽制度;以及是否有對公司重要物資、設備、原材料定期盤點和不定期的抽查制度,對公司現金、銀行賬戶的抽查制度等。

綜上所述,注冊會計師對企業內部控製作出評價,包括被評價的企業內控制度是否符合我國有關法律法規和證券監管部門的要求,是否對企業重大風險、嚴重管理舞弊及重要流程錯誤等方面有控制和防範作用等,都有賴於建立一個完善的企業內部控制評價標准體系。相信通過有關部門的高度重視和實踐的積累,一套比較成熟的、適合中國國情的企業內部控制評價標准體系不久將會建立。

B. 如何加強上市公司內部控制管理的建議及思考

博得聽說-2017年最佳知識平台-每天五分鍾解決企業一個小問題
中國需要一個知識平台 中國首個解決中小企業資本困惑的知識平台
講好中國企業故事 發出中國企業聲音,結交拓展人脈
上市公司;內部控制;建議
內部控制是指經濟單位和各個組織在經濟活動中建立的一種相互制約的業務組織形式和職責分工制度。內部控制的目的在於改善經營管理、提高經濟效益。企業內部控制是以專業管理制度為基礎,以防範風險、有效監管為目的,通過全方位建立過程式控制制體系、描述關鍵控制點和以流程形式直觀表達生產經營業務過程而形成的管理規范。
一、我國上市公司內部控制管理存在的問題
作為社會公眾企業的上市公司,承載著股東財富增值的期望,承擔著眾多的社會責任,加上監管部門要求下的信息透明,以及市場約束力的增強,使企業內部面臨著較多管理上的重點和難點。近幾年,我國上市公司在內部控制體系的實施及評價等方面都有了積極的發展,如大部分上市公司在金融危機的形勢下,提高了對內部控制和風險管理的重視程度,組織了內部控制的梳理工作,有針對性地加強管理;企業風險防範認識進一步加深;越來越多的上市公司開始編制並披露內控評價報告,推動內控理念和制度深入人心、落地生根。然而,就我國上市公司內控管理現狀而言,普遍存在以下問題:
(一)內部控制環境不完善
在企業內部控制五要素中,內部環境是企業實施內部控制的基礎,良好的內部環境對於內部控制的有效實施起到了非常重要的作用。目前中國上市公司根據《公司法》和《證券法》設立了股東大會、董事會、監事會以及一些專門的委員會,制定了相應的議事規程,但是由於股權高度集中和國有資產所有者缺位,內部人控制現象普遍存在,弱化了董事會、監事會的監督作用,公司治理結構不適當。另外,企業組織結構、企業文化和人力資源政策等方面的缺陷,也不利於內部控制發揮作用。
(二)風險意識薄弱
目前,我國大多數上市公司經營管理水平低,風險意識不高,風險管理機制不健全。主要表現在:缺少科學有效的風險評估機制,風險控制方法落後,多數企業的內部控制側重於事中和事後控制,而對風險的事前預測和控制涉及較少。隨著中國經濟的發展,公司間的競爭越來越激烈,公司將面對更大的環境變化和生存風險。然而,從中國上市公司的現狀來看,普遍存在著對形勢和市場認識不足、過於自信與樂觀以及想當然的盲目擴張現象,其風險意識沒有提到應有的高度,更缺乏有效的辨認、分析和管理風險的機制,導致不少上市公司應變能力和抗風險能力較差。
(三)缺乏有效溝通,信息流通不暢
目前,中國大部分上市公司或多或少存在著公司內部、與監管部門之間信息溝通不暢的現象。具體表現在信息的上下向溝通中,普遍存在信息傳遞過程遲緩,信息在層層傳達時發生歪曲,甚至遺失等現象;而且由於信息反饋機制不完善,上向溝通受阻,使上層管理者無法迅速獲得第一手信息;由於下向溝通不及時,使得上層決策者以及管理者的最新信息沒有及時傳遞到每一位員工,使公司決策沒有及時得到落實。
(四)監督機制不健全
在當前經濟發展階段,中國大部分上市公司沒有真正建立監督部門,上市公司中的監事會也沒有起到其應有的作用,大部分上市公司的監事會成員沒有達到應有的職業素養和專業素質的要求,甚至一部分監事會成員都是由公司管理層領導兼任,這樣就從根本上限制了其作用的發揮,還有一些上市公司只是讓內部審計部門充當監事會的作用,他們的監督作用也是微乎其微。
二、對於加強我國上市公司內部控制管理的建議及思考
(一)建立有效的企業法人治理結構,形成明確的權利制衡關系
一是改進「三權」制衡的體系,明確股東大會和董事會以及監事會的權力;二是切實保障兩權分離。我國法律應該嚴格限制董事會與經理層的重合,並且應將重合的比例限制在一定的比例之內,同時也應該加強董事會的建設;三是加強董事會在內部控制體系中的作用。
(二)加強風險管理
強化風險管理,是現代企業內部控制的一個重要內容,對於上市公司而言,由於所有權與經營權分離、股權集中度較高,其風險管理也就顯得更為重要。首先,上市公司的所有員工都必須樹立風險意識,只有意識到了風險,才會主動加強內部控制,採取措施控制風險。其次,上市公司在經營過程中應加強風險管理,建立健全風險預測、風險評估、風險控制和風險約束機制,並且在技術上制定風險迴避、風險轉移和風險分散等管理策略,以有效防範和控制風險。同時,還要合理客觀地評估企業現狀和風險。上市公司更應密切關注內控指引的建設與更新,以正確把握政策要求,減少不必要的成本。同時,還要通過建立內部監督機構對企業高風險區域經常進行檢查,來及時發現已存在的或潛在的風險。
(三)完善信息溝通系統
1、政府部門應積極以制度形式建立健全強制實行內部控制信息披露的准則和指南,規范上市公司內部控制信息披露的內容和格式,明確誰為內部控制信息負責和出台相應的處罰措施。
2、企業內部也應建立完整的內部控制制度體系和清晰的業務流程,合理地對公司各個職能部門和人員進行責任分工、控制和考核,對每一個部門的責任和利益明確界定,防止權力重疊,也避免出現權力真空。通過匯編內部管理制度、業務流程圖、許可權指引等,促進企業各層級員工明確機構設置和職責分工,正確行使職權。開設信息反饋渠道,確保員工在工作中遇到的問題可以及時報告和解決。
(四)對於上市公司製造虛假會計信息的行為加大處罰力度
企業應當增加製造虛假會計信息的一個成本,國家應加大對會計師事務所的處罰力度,使得注冊會計師能夠更為謹慎地執業,並保持執業的規范性和獨立性。

C. 中小板塊上市公司是不是必須披露內部審計制度,有無文件要求

外部審計都有造假的 公司的內部審計是其自言其說 就更沒法相信了 有誰會說自己有問題

D. coso與中國企業內部控制基本規范中的規定有何差異

我國《企業內部控制基本規范》與COSO報告之比較分析
1.內部控制的認識比較
COSO報告認為,內部控制是由董事會、管理層和員工共同設計並實施的,旨在為實現組織目標提供合理保證的過程。COSO報告認為內部控制是一過程,是實現目標的手段,是與管理過程融合在一起的,是一個不斷發現和解決問題的循環往復的動態過程。內部控制的有效性也只是這個「動態過程」中某個時點上的一種狀態。我國《企業內部控制基本規范》所稱內部控制,是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。
2.內部控制的目標比較
COSO報告指出,內部控制是為實現以下三類目標提供合理保證:經營的效率和效果、財務報告的可靠性、適用法律法規的遵循性。為應對未來外部環境變化給企業帶來的風險,新COSO報告又增加了戰略目標。我國《企業內部控制基本規范》指出內部控制旨在實現以下五類目標:企業戰略;經營的效率和效果;財務報告及管理信息的真實、完整;資產安全;遵循國家法律法規和有關監管要求。可知,《基本規范》借鑒了COSO報告的目標,同時考慮到我國國有大型企業比重大、國有資產流失嚴重的國情,增加了資產安全目標,這是我國內部控制規范對COSO報告的補充。
3.內部控制的構成要素比較
COSO報告認為,為實現內部控制的有效性,需要五個要素的支持:控制環境、風險評估、控制活動、信息和溝通及監督。新COSO報告包含了八個構成要素:內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控。我國《企業內部控制基本規范》在形式上借鑒了COSO報告五要素框架,但同時進行了充實和豐富,在內容上體現了新COSO報告風險管理的八要素框架的實質,即內部控制和風險管理日益融合、風險導向成為內部控制未來發展方向的趨勢。
4.內部控制的責任主體比較
在COSO報告下,管理層對內部控制負主要責任,不但要向董事會下屬的審計委員會報告,還要評估內部控制的有效性並對外發布內部控制報告。我國的《企業內部控制基本規范》對內部控制的主要責任主體的責任分別進行規定:事會負責內部控制的建立健全和有效實施;監事會對董事會建立與實施內部控制進行監督;經理層負責組織領導企業內部控制的日常運行。在COSO報告中,內部控制的責任主體主要是管理層而我國《企業內部控制基本規范》卻強調了董事會對內部控制的重要責任,而且更加明確地規定各責任主體對內部控制的責任,使治理層和管理層的責任分工更加明確。
5.內部控制的外部審計比較
在COSO報告下,審計師要在審計財務報表的同時對公司的財務報告內部控制進行審計,既要評價管理層對內部控制的評價,又要對內部控制的有效性發表意見。在我國,執行《企業內部控制基本規范》的上市公司,應當對本公司內部控制的有效性進行自我評價,披露年度自我評價報告,同時應當聘請具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計並出具審計報告。可見,我國《企業內部控制基本規范》和COSO 報告都強制要求對內部控制進行外部審計。
三、完善我國企業內部控制評價制度的建議
《基本規范》及配套指引主要是在借鑒COSO報告的基礎上,結合我國的具體情況進行適當修改完善後形成的。《基本規范》及其配套指引只規定了中國企業建立內控制度的基本原則、目標、框架及主要控制環節和相應核心控制點,如何從宏觀上有效地促進並引導企業提高內控水平,還必須建立一系列規范統一、具體明確、簡明實用的《企業內部控制評價制度》,藉以督促企業盡快務實地建立健全並持續改進內部控制制度。但至目前,如何建立中國企業內部控制評價制度,理論與實務界仍有諸多不同的看法。
本人認為應由證監會出台統一的內部控制指引,與《內部控制基本規范》相配合,以統一內部控制相關概念界定、內部控制評價目標、內部控制評價要素等。這些制度的協調統一是完善內部控制制度並使之有效運行的基礎。在統一明確的制度指引下,上市公司能夠通過建立健全內部控制評價體系,合理規避經營風險,保證資產安全,提高經營效率和效果。盡快統一內部控制自我評價制度和注冊會計師核實評價制度,降低注冊會計師執業風險,合理保證注冊會計師的利益。建議借鑒美國的經驗,將核實評價的范圍限定為與財務報告相關的內部控制評價。

E. 企業怎樣建立內控制度體系文件

根據自查出來的崗位職責、部門業務流程等各項管理制度不夠健全等問題,緊緊圍繞以「內部環境、風險評估、控制活動、信息與溝通、內部監督」六要素和「不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制」等七項控制措施為重點,逐步建立和完善包括組織架構、發展戰略、人力資源、社會責任、企業文化、資金活動、采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包、財務報告、全面預算、合同管理、內部信息傳遞和信息系統等內容的內部控制體系,並根據有關法律法規及其配套辦法,制定本企業的內部控制制度並組織實施。
通過實施內部控制工作,完善和規范如下管理工作:
(1)運用信息技術加強內部控制。建立與經營管理相適應的信息系統,促進內部控制流程與信息系統的有機結合,實現對業務和事項的自動控制,減少或消除人為操縱因素。
(2)建立內部控制實施的激勵約束機制。將各責任部門、車間和全體員工實施內部控制的情況納入績效考評體系,促進內部控制的有效實施。
(3)編制常規授權的許可權指引制度。規范特別授權的范圍、許可權、程序和責任,嚴格控制特別授權。企業各級管理人員應當在授權范圍內行使職權和承擔責任。企業對於重大的業務和事項,應當實行集體決策審批或者聯簽制度,任何個人不得單獨進行決策或者擅自改變集體決策。
(4)規范會計工作。會計系統控制要求企業嚴格執行國家統一的會計准則制度,加強會計基礎工作,明確會計憑證、會計賬簿和財務會計報告的處理程序,保證會計資料真實完整。
(5)建立財產安全保護機制。建立財產日常管理制度和定期清查制度,採取財產記錄、實物保管、定期盤點、賬實核對等措施,確保財產安全。嚴格限制未經授權的人員接觸和處置財產。
(6)建立預算控制機制。實施全面預算管理制度,明確各責任單位在預算管理中的職責許可權,規范預算的編制、審定、下達和執行程序,強化預算約束。
(7)建立運營分析機制。建立運營情況分析制度,經理層應當綜合運用生產、購銷、投資、籌資、財務等方面的信息,通過因素分析、對比分析、趨勢分析等方法,定期開展運營情況分析,發現存在的問題,及時查明原因並加以改進。
(8)建立完善績效考評機制。建立和實施績效考評制度,科學設置考核指標體系,對企業內部部門、車間和全體員工的業績進行定期考核和客觀評價,將考評結果作為確定員工薪酬以及職務晉升、評優、降級、調崗、辭退等的依據。
(9)建立風險預控和應急機制制度。根據內部控制目標,結合風險應對策略,綜合運用控制措施,對各種業務和事項實施有效控制。建立重大風險預警機制和突發事件應急處理機制,明確風險預警標准,對可能發生的重大風險或突發事件,制定應急預案、明確責任人員、規范處置程序,確保突發事件得到及時妥善處理。
(10)建立內部審計與監督機制,形成合理適用的審計與監督制度。在內部控制實施過程中,要明確和完善內部審計部門和其他內部部門在內部監督中的職責許可權,規范內部監督的程序、方法和要求,對內部控制規范管理工作實施監督。

F. 我國上市公司內部控制信息披露內容應該有哪些

根據《上海證券交易所上市公司內部控制指引》
第三條 在本所上市的公司應當按照法律、行政法規、部門規章以及本所股票上市規則的規定建立健全內部控制制度(以下簡稱內控制度),保證內控制度的完整性、合理性及實施的有效性,以提高公司經營的效果與效率,增強公司信息披露的可靠性,確保公司行為合法合規。
第四條 公司董事會對公司內控制度的建立健全、有效實施及其檢查監督負責,董事會及其全體成員應保證內部控制相關信息披露內容的真實、准確、完整。
第三十條 公司在內部控制的檢查監督中如發現內部控制存在重大缺陷或存在重大風險,應及時向董事會報告。公司董事會應及時向本所報告該事項。經本所認定,公司董事會應及時發布公告。公司應在公告中說明內部控制出現缺陷的環節、後果、相關責任追究以及擬採取的補救措施。
第三十一條 董事會應根據內部控制檢查監督工作報告及相關信息,評價公司內部控制的建立和實施情況,形成內部控制自我評估報告。公司董事會應在審議年度財務報告等事項的同時,對公司內部控制自我評估報告形成決議。公司董事會下設審計委員會的,可由審計委員會編制內部控制自我評估報告草案並報董事會審議。
第三十二條 公司董事會應在年度報告披露的同時,披露年度內部控制自我評估報告,並披露會計師事務所對內部控制自我評估報告的核實評價意見。
第三十三條 公司內部控制自我評估報告至少應包括如下內容:
(一) 內控制度是否建立健全;
(二) 內控制度是否有效實施;
(三) 內部控制檢查監督工作的情況;
(四) 內控制度及其實施過程中出現的重大風險及其處理情況;
(五) 對本年度內部控制檢查監督工作計劃完成情況的評價;
(六) 完善內控制度的有關措施;
(七) 下一年度內部控制有關工作計劃。會計師事務所應參照主管部門有關規定對公司內部控制自我評估報告進行核實評價。

G. 如何將《內控手冊》要求融入到企業的管理流程當中

首先行業不同,方式方法也不同,以一個行業為例
XY股份有限公司為符合上市公司內控法規要求,提高企業經營管理水平和風險防範能力,促進企業可持續發展,根據財政部、證監會等五部委印發的企業內部控制基本規范及配套指引的要求,聘請外部咨詢公司,2011年3月起著手進行內控體系建設工作。根據《企業內部控制基本規范》及其配套指引要求,結合國外公司經驗,企業內部控制體系建設通常分為4個階段,內部控制梳理、內部控制整改固化、內部控制自我評價和內部控制審計,其中前3個階段是內控建設核心工作,需由企業主導完成,內控審計由審計師在企業配合下實施。

為做實做好內控規范體系建設工作,公司於2011年3月正式成立內控工作領導小組,由公司董事長牽頭,高層領導主管、總部各部門負責人及各分子公司總經理作為組員,負責組織領導公司內部控制規范化建設工作。2011年3月中旬召開內控實施項目啟動會,對公司內控建設工作進行了部署和動員,並制定公司內控實施計劃及工作方案。
一、建立內控建設組織架構,明確相關人員職責。
內部控制建設作為一項長期系統性地工程,並非一蹴而就,公司決定建立一種長效領導機制持續運作。公司內控體系建設組織架構圖如下,並明確董事長為內部控制實施工作的第一責任人;公司總經理、副總經理為內控實施的具體負責人。
(一)內控領導小組職責
經第六屆第十次董事會審議通過,公司成立風險管理委員會,成員包括董事長、審核委員會主席、總經理、分管主要業務的公司高管及專業人士,作為內控工作領導小組。
風險管理委員會對董事會負責,主要履行以下職責:
(1)負責營造良好的內部控制建設環境;
(2)負責制定公司內部控制戰略規劃,提出總體建設方案;
(3)負責審議重大決策、重大風險、重大事件和重要業務流程的判斷標准或判斷機制,以及重大決策的風險評估報告;
(4)部署內部控制建設、執行及監督活動等;
(5)審議《內控手冊》的編制、修改及更新;
(6)提交《內部控制評價報告》;
(7)協調公司內部控制建設的重大事項;
(8)考核內部控制建設的相關人員,保持公司整體利益和方向的一致性。
(二)內控項目小組職責
1、公司在風險管理委員會下設立風險管理委員會辦公室作為內控項目組,主要履行下列職責:
(1)全面貫徹執行風險管理委員會關於內部控制建設的精神和方針;
(2)制定公司內部控制建設階段性的目標及實施方案,提交風險管理委員會審核;
(3)負責內部控制建設的有效實施和運行,落實內部控制建設的具體責任;
(4)研究提出《內部控制評價報告》;
(5)負責公司《內控手冊》的編制、修改及更新;
(6)審核在內部控制建設過程中存在的問題,督促各部門進行整改。
2、公司在風險管理委員會辦公室細分為4大系統,即風控系統、戰略與證券系統、財務系統和運營系統,明確各系統的具體職責。
3、風險管理委員會辦公室成員主要來自於財務管理部、戰略與證券管理部、風險管理部、管理創新部、營銷中心、質量與客服部、供應鏈中心、法律事務部、研發中心、製造中心及戰略人力資源部,配備33名專職人員。各業務單位、職能部門及子公司(事業部)在風險管理委員會辦公室的指導下共同參與、實施內控建設工作。
4、審核委員會作為公司內部控制體系有效性的監督機構,監督內部控制的有效實施和內部控制自我評價情況,審核及監督外部審計機構是否獨立客觀及審計程序是否有效,審核公司的財務信息及其披露,協調內部控制審計及其他相關事宜。
(三)責任部門及工作預算
與內控工作小組相對應,公司確認了內部控制建設的責任部門,即風險管理部、戰略與證券管理部、財務管理部、管理創新部、營銷中心、供應鏈中心、質量與客服部、法律事務部、製造中心、研發中心、戰略人力資源部。本次內控項目工作制定了相關預算,包括內控咨詢、內控審計及人力成本費用、培訓費用等。為保證內控建設工作的專業化、系統化和合理化,公司聘請詢公司作為外部咨詢機構為公司提供專業支持,協助公司梳理、構建及完善內部控制總體架構,幫助公司識別內部控制存在的薄弱環節和主要風險,有針對性的設計控制的重點流程和內容並協助公司開展內部控制自我評價工作。 風控系統人員將全程參與風險識別及評估、編制風險清單及控制矩陣、內控缺陷整改、開展內控評價等工作,為公司培養內部控制建設及評價人才。
二、內控體系建設工作具體推進
內部控制建設工作,公司將分為五個階段,時間從2011年4月1日至2012年1月31日,總體安排如下:
(一)確定內控實施范圍(2011年4月10日前完成)
根據證監局文件精神,結合公司實際,本次內控實施范圍為股份公司、一家上海子公司及一家廣州子公司。
按照《企業內部控制基本規范》及其配套指引要求,結合公司業務性質,公司將重點關注發展戰略、組織架構、人力資源等公司層面3大流程,以及信息系統、財務報告、信息披露、關聯交易、全面預算、資金活動、采購業務、銷售業務、資產管理等業務層面9大流程。
各流程責任人如下(××代表責任人姓名):
流程第一責任人 具體負責人 內控協調人 中介機構責任
發展戰略 × × ×
組織架構 × × × ×
……
註:上述責任人適用於內控建設中的每個階段。
(二)風險識別及評估(2011年5月31日前完成)
1、流程梳理:公司通過訪談、審閱文檔或問卷調查等方式梳理流程,明確上述12大流程的相應子流程,完善組織架構和審批授權指引,根據統一的模板編制業務流程圖。在流程梳理過程中,及時發現並記錄有遺漏、雜亂、不符合相關法律、不相容職務未分離或許可權設置不合理等內控缺失的工作流程,採取相應的措施規范操作流程,避免內部舞弊等重大風險出現,提高工作效率。
2、風險識別:結合《企業內部控制基本規范》及相關配套指引所列示的風險、公司客戶審核要求、內審報告、提案改善、質量事故等初始資料,從風險發生的可能性和影響程度,對子流程中涉及到的每個控制點進行綜合分析,識別固有風險,評價風險等級,形成風險清單。
3、文檔記錄:根據風險等級,識別流程中的關鍵控制活動,並在流程圖中進行編號;編制流程描述、風險控制矩陣等內控文檔對控制活動和控制點進行記錄。
4、查找內控缺陷:將公司現有制度和控制措施流與風險清單進行比對,通過穿行測試、控制測試等手段,獲取關於內控設計和運行有效性的證據,查找內控缺陷,形成《風險資料庫》和《內控風險診斷和評價報告》。對發現的重大缺陷及時報告董事會及管理層,管理層對發現的內部控制缺陷應及時制定內控缺陷整改方案。
(三)確定內控缺陷整改方案(2011年6月30日前完成)
1、編制《內部控制管理建議書》:公司對發現的內控缺陷進行分類分析,確定內控缺陷的重要性程度,區分設計缺陷和運行缺陷,形成《內部控制管理建議書》。
2、制定內控缺陷整改方案:公司根據《內部控制管理建議書》和具體的控制缺陷,提出整改時間及責任部門、人員,形成內控缺陷整改方案。
3、提交審議:內控缺陷整改方案應當經過風險管理委員會審議通過。
(四)內控缺陷整改(2011年9月30日前完成)
1、落實整改、提交報告:責任部門將按照內控缺陷整改方案對發現的缺陷進行逐一整改,完善公司各項內部控制管理制度和控制措施,提交《內控缺陷整改報告》;內控項目組連同中介機構對缺陷整改情況進行運行有效性測試,形成《內控運行測試報告》。
2、編制《內部控制手冊》:內控項目組根據風險清單和各項內控文檔等資料,編制《內部控制手冊》,並對手冊內容進行實施輔導和推進執行。
3、編制《內控自我評估工作指引》:內控項目組編制《內控自我評估工作指引》,為下一步內控自我評價工作的開展奠定基礎。
4、提交審議:《內控缺陷整改報告》、《內控運行測試報告》、《內部控制手冊》及《內控自我評估工作指引》應報風險管理委員會審議。
(五)內控持續推進和內控自我評價
公司在內控體系成果完成後,將予以持續推進,並根據轄區證監局要求,公司將於每季度結束後的10個工作日內,向證監局報送內控進展情況說明,並在定期報告中予以披露。每季度進展情況說明至少包括該季度內控建設工作的開展情況、與工作方案中計劃進度的對照情況、差異原因以及擬採取的解決措施等。
通過以上工作,公司初步建立健全了內部控制體系,有效提高了內控管理水平。
三、企業內控體系的「落地」和持續推進
XY公司在完成內控體系初步建設完成後具體推行過程中,一些部門和員工或因對新的內控制度理解不夠,或因由於長期工作習慣難以改變,或因內控制度變革觸及自身利益而不願遵循,使得內控制度在一段時期內一直都不能落到實處。如何真正將內控體系有效執行下去,並保持內控體系的持續完善和提高,是管理層迫切需要解決的難題。
為了切實將內控制度體系真正「落地」,XY公司通過全方位內控培訓、加強內控檢查與監督、完善考核及激勵機制以及藉助第三方專業機構的持續輔導等措施,有力地保證了內控建設的持續維護,公司的內控建設取得了卓有成效的進展。
具體來說,採取的主要措施有:
(一)完善內控工作組織架構,成立內控部,強化審計部,建立推進內控工作的組織機構和運行機制。
通過對國際大企業內控建設的現狀和過程的全面考察,XY公司發現要實行有效的內部控制,必須建立相配套的組織架構。為此,公司由管理高層成立了內控工作領導小組,各子公司管理層對應的成立內控管理小組;在部門設置上,XY公司新成立了內控部,各下屬子公司根據其規模大小設立內控部或內控負責崗,負責內控建設工作;在內控監督上,轉變了原有的審計部的職責,增加了內控評價和檢查的功能,並由公司董事會的審計委員會直接領導,在規模較大的子公司同時設立內部審計專員,負責子公司的內控自查。
(二)注重內控環境建設,進行全方位內控培訓。
XY公司通過一系列的培訓和輔導,提高各層級管理人員和基礎員工對內控理念的認識,營造有利的內控工作開展的文化環境。首先,公司抓好以普及內控基本知識、營造內控實施環境的宣傳工作。公司內控部組織編制了《內控宣傳冊》,在股份公司各職能部門和下屬公司主要管理幹部范圍內發放學習。手冊通過生動的案例和形象的語言幫助各級管理人員統一對內控的理解和認識,減少內控推進的思想阻力。
其次,公司根據內控規范實施的進度,圍繞內部控制的各個方面,開展了包括基礎理念、管理制度、風險評估、內控評價、內控考核在內的各類集中的專題培訓,對內控制度的編制和實施起了極大的推進作用。
(三)建立內控推進的溝通機制,保證內控建設持續性和問題解決的及時性。
自內控制度建設正式推進以來,為了保證推進的執行力,公司開展了全方位的信息溝通機制,實現了信息的實時傳遞,和通暢的上傳下達。
首先,XY公司建立了周例會制度。內控領導小組每周組織內控工作例會,由公司董事或審計委員會主任主持,參與者包括內控領導小組成員、內控部、審計部、財務部、各子公司的內控負責人等。總部各職能部門及各子公司必須在會上以書面形式上報「內控工作一周報告」,匯報內控的進展情況、存在的問題、解決的方案、遇到的困難以及需要股份給予協助的事項,並由內控領導小組組長對相關的具體問題提出意見和工作指導,會後股份公司內控部負責對每家子公司進行回復,保證所有的問題都能得到及時有效的解決。所有會議記錄和相關文件在會後抄送股份公司的總經理和董事會,並抄送相關子公司的管理層,保證管理高層對內控進展的時刻了解。
其次,公司建立了內控體系的月度工作總結。每月末各個子公司的內控負責人就內控開展情況進行工作總結,由內控部在股份公司管理層、子公司管理層以及相關內控負責人之間進行通報,督促各子公司的內控執行力。
第三,建立了重大項目的單獨匯報機制。各子公司的內控負責人對於子公司內控建設中發現的重大問題要求及時向內控領導小組和股份內控部進行匯報,以實時處理可能的重大風險。此外,股份公司的內控部長、審計部長、財務總監的聯系方式向子公司的所有內控負責人和內控專員公開,作為信息直接傳遞的一個重要渠道,幫助股份公司及時了解下屬子公司內控風險。
(四)完善內控評價檢查機制,建立了多層次的內控檢查體系。
為了保證內控制度的落地和真正有效的執行,公司從各子公司到股份公司的內控部和審計部,再到外部獨立的第三方中介,建立了全方位的內控評價和檢查體系。股份公司內控部對各業務循環定期開展內控檢查,通過發放內控調查清單以及內控專員的現場檢查,發現子公司在內控建設中的不足,並及時下發風險聯系函、風險關注函和風險警示函,以幫助子公司及時進行內控整改和完善。其中聯系函主要是對子公司聯系函件的回復為主;關注函主要是對子公司發生的業務表示關注,一般要求對方在一定時間內給出書面說明;警示函是在關注函的基礎上對於重大風險或執行不到位的情況給予警告。
股份公司審計部對各子公司每年開展兩次的內控評價。為了實現評價的量化和標准化,審計部編制了內控評價底稿通過檢查,對子公司形成內控建設的量化評價,並針對檢查中發現的問題出具改進建議,並要求各子公司在規定的時間內予以整改,總部內控部對子公司整改措施和整改質量進行全程的監督,整改完成後,審計部及時予以復查,確保審計中發現的問題能及時整改。
(五)將內控建設納入績效考核,通過獎懲機制實現內控的有效性。
首先,為有效發揮各下屬子公司的管理者在內控推進中的作用和積極性,自200×年開始,股份公司將審計部對各子公司的內控評價結果納入其管理班子的績效考核的指標中,明確了管理班子對於內部控制建設的責任和關鍵任務。通過這種績效考核,激勵管理層切實關注和推動內控的執行工作,從而為內控工作的推進建立良好環境。
其次,對於股份公司向各子公司委派的重要人員也直接與內控建設掛鉤。公司出台了《委派內控人員績效考核管理辦法》,對各個子公司的內控負責人實施全面的內控建設考核,明確了委派的內控人員的績效考核指標、考核方式和獎懲機制,進一步促進了委派內控人員的工作落實力度;其次,對於股份委派的財務負責人,也在其年度考核的總分中(100分制)納入了相當比重的的內控建設的相關內容,從財務職能加強了對子公司的內控推進。
(六)充分發揮專業中介機構力量
XY公司在開始建立內控體系即聘請的專業咨詢公司提供咨詢服務,在整個體系建立過程中,充分發揮咨詢公司專業力量,並聘請專業顧問對公司人員進行培訓,提高公司人員內控理念和技能。在內控體系初步建立之後,仍繼續與咨詢公司保持合作,藉助咨詢公司在專業及獨立性方面優勢,共同推進公司內控持續建設工作,在內控持續建設工作中,專業咨詢公司提供了大量了專業意見和培訓輔導服務,幫助公司完善各項成果,使得公司的內控持續建設取得了令人矚目的成效。
四、企業內控體系建設過程的經驗和啟示
在公司董事會、各層級管理人員和基礎員工不懈努力下,公司內部控制體系的建設取得了一系列的良好效果,全公司各級員工的風險管理意識顯著提高,對風險的理解和重視切入到各個業務和管理環;強化了各項經營活動的規范化操作,實現了重大經營活動的集體化決策機制,有效防範了決策風險;提高了公司的財務管理水平,保證了從產業公司到股份公司的各層級財務數據的真實公允以及資金、資產的安全;加強了公司對新經營環境下管理風險的關注;完善了公司的風險預警機制,提高了各職能部門對業務發生之後的潛在風險的持續監控、分析和應對。公司在內控體系建設和推進過程中,主要的經驗和啟示有:
1、公司董事會和最高管理層的重視和親自參與
在XY公司董事會,無論是大股東委派董事、非執行董事還是獨立董事,都非常重視和關心內部控制體系的建設工作。作為公司的大股東,集團對股份公司的內控建設給予了極大的理解和支持,有力的推動了產業公司的內控建設的進程。董事會的定期會議都將內部控制進展情況作為重要議題溝通,對於內部控制推進中出現的任何問題,董事會層面時刻給予相應和支持。
在公司管理層方面,成立了內控領導小組,投入了大量的人力和財力,帶領企業員工共同進行內部控制建設,為內部控制的推進提供了良好的內部環境,同時也激發員工的積極性和主動性,推動企業內部控制朝更順利、更完善的方向發展。
2、對內部控制理念以及其與公司其他管理體系關系的認識統一
XY公司在內控推進的第一階段大力推行高頻率、大幅度的培訓,幫助各級管理者以及基層員工了解內部控制的主要原理和價值,減少內控實施中的思想阻力。其次,公司統一了內控體系與其他管理體系的認識,內部控制和風險管理不是一套孤立的新的體系和制度,而是一種基於「目標-風險-控制-監督」框架的管理思路,這種管理思路可以融入到企業的所有其他的管理體系和管理制度中去,是對企業原有的管理制度的整合和提升。
3、制定了清晰明確的內部控制戰略規劃
公司根據自身實際情況,在訂並提出了內部控制的五年兩步走的規劃,並將其納入到公司的5年戰略規劃中。第一階段(3年),通過自上而下的剛性要求,構建全面的統一化的集團內部控制架構,並通過理念灌輸形成內控推進的文化范圍;第二階段(2年),通過自下而上的,自覺的內控體系的完善,形成各個產業公司的特色化內部控制。這一從強制到自覺,從理念普及到制度完善再到內控手冊的表格化提升的建設步驟,使得公司從管理高層到基層員工的各級人員都明確內部控制不同時期的不同任務及不同發展狀態,穩步推進,逐步加深,為內部控制的發展道路勾畫了清晰路徑。
4、因企制宜的實施方案
XY公司意識到對於集團化企業,內部控制不能是一刀切的,公司要實行內部控制,需要根據自身的業務類型、公司規模、公司所處階段來選擇適宜的內部控制方法。
首先公司在吸收了五部委內部控制基本規范和配套指引的相關精髓的基礎上,結合企業經營實踐,基於先主後次的重要性原則以及成本收益原則,提出了以若干業務循環作為公司內控建設的主要循環范圍。
其次,考慮公司的人員能力和素質,在內控成果上也沒有一步到位冊,而是以制度建設為基礎,通過制度規范,到流程優化再到風險提煉,逐步實現內部控制的層層遞進。
第三,在內控推進上,公司充分考慮下屬各產業公司的業務特點,確定適合各公司的內部控制方式和側重點。
5、循序漸進的實施步驟
(1)自上而下的理念推進向自下而上的流程推進的遞進。
在內控實施的第一階段,公司強調自上而下的理念推進。公司通過內部培訓、各種工作會議達成內控理念的統一,並向各子公司傳達,之後各子公司則進行自下而上的內控流程推進,即各產業公司根據自身的內部流程,進行制度的完善,並經由公司內控部審核後實施。
(2)由總部出台框架性的制度到各個子公司制訂針對性的業務流程的遞進。
公司內控部結合外部力量制定框架性的制度,明確各業務循環的關鍵控制點和操作要求,各產業公司根據自身業務情況,在滿足框架制度要求的前提下制定適合企業自身的管理制度,以求更貼近產業公司的經營管理實踐。
(3)普遍性、通用性的風險點向專業性、針對性的風險點的遞進。
公司首先根據對產業公司實際情況的調研,繪制公司的全面風險資料庫,梳理出具有普遍性的通用性主要風險點,之後,各產業公司在實際操作中不斷發現專業性、針對不同企業業務特色的獨特風險,以實現內部控制的完善。
(4)抓重點公司,抓主要循環和風險、抓典型事件。
公司的內部控制遵循重要性原則,關注重點公司級重要循環與風險,並關注典型事件,以期通過重點帶動全面,推動內部控制的發展。
6、藉助外部專業中介機構推動內控建設
外部專業機構相對具有更豐富的內控專業力量和實施經驗,並且具有客觀性和獨立性,XY公司在整個體系建立過程中,充分發揮咨詢公司專業力量,但也沒有完全依賴中介機構甩手不管,而是充分參與和配合,在內控建設過程中,實現知識傳遞和內控人才培養,取得了較好的實施效果。

--------------轉自新浪微博《馬軍生-內部控制博客》