A. 上市公司内部控制评价体系
企业内部控制评价是对内部控制执行有效性的检测,目前我国的内部控制评价标准体系尚未建立。今年3月,财政部发布了财会便(2007)7号关于印发《企业内部控制规范-基本规范》和17项具体规范(征求意见稿)的通知,其目的在于推动国内上市公司实行内部控制自我评价制度和注册会计师审计制度,填补企业内部控制标准的空白,从而为建立企业内部控制评价体系打下基础。
在实际审计工作中,对被审计单位企业的内部控制进行评价,必须要有一套客观可行的基本参照标准。这套标准不仅可为企业自我评估和改进其内部控制以及注册会计师发表评价意见提供依据,还可以为各方面的沟通与理解提供统一的基础。我国在内部会计控制的建设与完善方面虽已进入起步阶段,但有关内部会计控制的标准和评价体系较为薄弱,制约了企业内部控制的有效执行。因此,建立一套完善的、符合实际的、具有可操作性的企业内部控制评价体系已势在必行。
内部控制评价体系框架
研究、制定一套具有统一性、公认性和完善性,既符合实际又具有可操作性的评价标准体系,应从目标定位、内容范围以及设置方式等方面来综合考虑,既可以从企业管理与控制的目标入手,也可以从内部控制要素入手。但无论怎样,企业内部控制评价标准都可以分为一般标准和具体标准两部分,一般标准以具体标准为基础,同时也是具体标准的升华,二者相辅相成,缺一不可,共同构成一个完整的评价体系。
这里所说的一般标准大致包括3方面,即完整性、合理性、有效性。具体标准由内部控制要素评价标准和作业层级评价标准两部分组成,其中要素评价标准可分为5个方面,即控制环境、风险评估、控制活动、信息与沟通、监督;作业层级评价标准因其繁琐复杂,难以穷尽,如以生产性企业为例进行框架构建,可分为5个业务循环,即销售业务循环、购货业务循环、生产业务循环、薪金业务循环和理财业务循环。在内部控制评价的具体标准中,要素评价标准以作业层级评价标准为基础。
一般标准测试的3大方面
首先是完整性。企业内部控制是否完整是评价一般标准中首要的一条,同时又是基础。若内部控制的完整性都达不到,则内部控制的合理性与有效性就无从谈起了。
从系统的观点出发,可以从企业资源利用角度去审视:应有“人力资源控制系统、物力资源控制系统、财力资源控制系统、信息资源控制系统”;从经营环节角度去审视:应有“供应环节控制系统、生产环节控制系统、销售环节控制系统”;等等。在对内部控制的完整性作出判断时,还应当考虑到企业经营规模及业务复杂程度的影响。一般情况下,企业经营规模愈大,业务复杂程度就愈高,对内部控制的完整性要求也愈高。
其次是合理性。企业设置内部控制切忌照抄照搬,因此应当考虑企业内控设计和执行时的适应性和经济性。因为,企业所处行业、组织规模、交易性质、经济技术条件、人员素质等方面存在着很大的差异,不同的企业就应当根据其不同的特点设置内部控制制度。
在对某一企业评价其内部控制的适用性时,要注意控制点的设置是否合理,有没有安排过多或不必要的控制点;在每一个需要控制的地方是否都建立了控制环节;控制职能是否划分清楚;人员间的分工和牵制是否恰当,既不能分工过细,又能起到相互牵制的作用。同时,内部控制的适用性要以经济性为限制条件。
第三是有效性。企业内部控制的有效性应该体现在是否能为提高经营效益、提供可靠财务报告和遵循法律法规方面提供合理保证,有效性是内部控制的精髓。在内部控制评价的3个一般标准中,内部控制的有效性以其完整性与合理性为基础,内部控制的完整性与合理性则以其有效性为目的。
在对企业内控制度的有效性进行审核评价时,要注意内部控制不仅仅需要在总体上是有效的,而且需要各项具体制度也要有明确的目的并发挥其自身的作用。要审核内部控制系统是否相互协调,自相矛盾;是否顾此失彼、相互制约;是否有利于整体功能的发挥。要关注内部控制是否适度,如果过严则会使管理活动失去活力,影响相关方积极性的发挥;过宽又会引起运行的机制失调,达不到控制目的。
具体标准测试的5大要素
在对内控制度进行评价时,只有先从操作性较强的具体标准入手,对具体内控制度的设计与运行有了认识之后,才能从整体上对企业内部控制的完整、合理、有效作出判断。对具体标准的评价方法常用的有“询问、观察、检查、重新执行”。企业内部控制评价可以按下列步骤展开:
首先是企业控制环境。以《上市公司内部控制指引》为依据,对企业进行测评。主要有:企业治理结构是否完善,董事会、监事会和股东大会等管理架构是否合法运作和科学决策;是否建立有效的激励约束机制和树立风险防范意识;企业管理层及业务环节是否开展内控培训,让内部风险防范成为高管的共识;是否培育良好的企业精神和内部控制文化,创造全体职工充分了解并履行职责的环境;企业高管人员和采购人员是否签订诚信承诺书,对所有的重要原材料及设备供应商,在购销活动中首先签订阳光协议,要求其操作过程透明公开,禁止商业贿赂等行为。
其次是企业风险。企业管理层应对影响企业目标实现的内、外部各种风险进行分析,考虑其可能性和影响程度,制定必要的对策。在对企业风险防范作测评时,应重点关注企业是否建立完整的风险评估体系,是否建立审计委员和风险管理部门,是否对经营风险、财务风险、市场风险、政策法规风险和道德风险等进行持续监控;是否对已发现的企业各类风险有控制措施,如内控制度执行情况的检查和监督,以及相关制度是否向子公司延伸,以确保子公司的经营安全。
同时,还要关注对相关业务项目及已知风险点是否进行定期检查评估、提示及完善,如在日常经营风险管理中对“重大采购二次询价”,建立“不合格供应黑名单”是否有实时监控。是否对客户建立资信信息档案、是否定期梳理与公司发展战略不符的业务或项目等等。
第三是企业控制活动。企业管理层为确保风险对策有效执行和落实所采取的措施和程序,主要包括批准、授权、验证、协调、复核、定期盘点、记录核对、财产的保护、职责的分离、绩效考核等内容。
在对企业控制活动测试时,要重点审核组织机构方面采取的控制活动和内控制度方面采取的控制活动。在组织结构方面重点审核:机构、岗位及职责权限是否合理设置和分工,不相容职务是否相互分离,是否成立相关法律事务部门和职能,对采购与验收等环节是否设置相互监督制度,做到人员分离。企业是否把业务流程作为内部控制制度建设的重点,设置关键控制点和反馈系统。在内控制度建设方面重点审核:企业是否制定了董事会的议事规则、总经理事权规则、财务管理制度、采购管理制度、投资管理制度、合同管理制度、子公司管理制度、内控检查监督制度等。
第四是企业信息与沟通。在对企业信息活动测试时,要重点审核公司是否已制定公司内部信息和外部信息的管理政策,确保信息能够准确传递,确保董事会、监事会、高级管理人员及内部审计部门及时了解公司及其控股子公司的经营和风险状况,确保各类风险隐患和内部控制缺陷得到妥善处理;公司的日常业务包括资产、财务管理等是否实行流程表单化管理和建立ERP系统。
第五是企业检查与监督。在对企业该项活动测试时,要重点审核公司是否已制定了内部控制检查监督办法,该项工作是否在董事会或审计委员会直接领导下,有风险管理部门或审计部门具体负责实施,并有相关制度。如:基建项目是否有竣工决算审计制度、主要领导的离任是否实施责任审计,重大投资、担保、抵押、关联交易是否建立审核会签制度;以及是否有对公司重要物资、设备、原材料定期盘点和不定期的抽查制度,对公司现金、银行账户的抽查制度等。
综上所述,注册会计师对企业内部控制作出评价,包括被评价的企业内控制度是否符合我国有关法律法规和证券监管部门的要求,是否对企业重大风险、严重管理舞弊及重要流程错误等方面有控制和防范作用等,都有赖于建立一个完善的企业内部控制评价标准体系。相信通过有关部门的高度重视和实践的积累,一套比较成熟的、适合中国国情的企业内部控制评价标准体系不久将会建立。
B. 如何加强上市公司内部控制管理的建议及思考
博得听说-2017年最佳知识平台-每天五分钟解决企业一个小问题
中国需要一个知识平台 中国首个解决中小企业资本困惑的知识平台
讲好中国企业故事 发出中国企业声音,结交拓展人脉
上市公司;内部控制;建议
内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。内部控制的目的在于改善经营管理、提高经济效益。企业内部控制是以专业管理制度为基础,以防范风险、有效监管为目的,通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。
一、我国上市公司内部控制管理存在的问题
作为社会公众企业的上市公司,承载着股东财富增值的期望,承担着众多的社会责任,加上监管部门要求下的信息透明,以及市场约束力的增强,使企业内部面临着较多管理上的重点和难点。近几年,我国上市公司在内部控制体系的实施及评价等方面都有了积极的发展,如大部分上市公司在金融危机的形势下,提高了对内部控制和风险管理的重视程度,组织了内部控制的梳理工作,有针对性地加强管理;企业风险防范认识进一步加深;越来越多的上市公司开始编制并披露内控评价报告,推动内控理念和制度深入人心、落地生根。然而,就我国上市公司内控管理现状而言,普遍存在以下问题:
(一)内部控制环境不完善
在企业内部控制五要素中,内部环境是企业实施内部控制的基础,良好的内部环境对于内部控制的有效实施起到了非常重要的作用。目前中国上市公司根据《公司法》和《证券法》设立了股东大会、董事会、监事会以及一些专门的委员会,制定了相应的议事规程,但是由于股权高度集中和国有资产所有者缺位,内部人控制现象普遍存在,弱化了董事会、监事会的监督作用,公司治理结构不适当。另外,企业组织结构、企业文化和人力资源政策等方面的缺陷,也不利于内部控制发挥作用。
(二)风险意识薄弱
目前,我国大多数上市公司经营管理水平低,风险意识不高,风险管理机制不健全。主要表现在:缺少科学有效的风险评估机制,风险控制方法落后,多数企业的内部控制侧重于事中和事后控制,而对风险的事前预测和控制涉及较少。随着中国经济的发展,公司间的竞争越来越激烈,公司将面对更大的环境变化和生存风险。然而,从中国上市公司的现状来看,普遍存在着对形势和市场认识不足、过于自信与乐观以及想当然的盲目扩张现象,其风险意识没有提到应有的高度,更缺乏有效的辨认、分析和管理风险的机制,导致不少上市公司应变能力和抗风险能力较差。
(三)缺乏有效沟通,信息流通不畅
目前,中国大部分上市公司或多或少存在着公司内部、与监管部门之间信息沟通不畅的现象。具体表现在信息的上下向沟通中,普遍存在信息传递过程迟缓,信息在层层传达时发生歪曲,甚至遗失等现象;而且由于信息反馈机制不完善,上向沟通受阻,使上层管理者无法迅速获得第一手信息;由于下向沟通不及时,使得上层决策者以及管理者的最新信息没有及时传递到每一位员工,使公司决策没有及时得到落实。
(四)监督机制不健全
在当前经济发展阶段,中国大部分上市公司没有真正建立监督部门,上市公司中的监事会也没有起到其应有的作用,大部分上市公司的监事会成员没有达到应有的职业素养和专业素质的要求,甚至一部分监事会成员都是由公司管理层领导兼任,这样就从根本上限制了其作用的发挥,还有一些上市公司只是让内部审计部门充当监事会的作用,他们的监督作用也是微乎其微。
二、对于加强我国上市公司内部控制管理的建议及思考
(一)建立有效的企业法人治理结构,形成明确的权利制衡关系
一是改进“三权”制衡的体系,明确股东大会和董事会以及监事会的权力;二是切实保障两权分离。我国法律应该严格限制董事会与经理层的重合,并且应将重合的比例限制在一定的比例之内,同时也应该加强董事会的建设;三是加强董事会在内部控制体系中的作用。
(二)加强风险管理
强化风险管理,是现代企业内部控制的一个重要内容,对于上市公司而言,由于所有权与经营权分离、股权集中度较高,其风险管理也就显得更为重要。首先,上市公司的所有员工都必须树立风险意识,只有意识到了风险,才会主动加强内部控制,采取措施控制风险。其次,上市公司在经营过程中应加强风险管理,建立健全风险预测、风险评估、风险控制和风险约束机制,并且在技术上制定风险回避、风险转移和风险分散等管理策略,以有效防范和控制风险。同时,还要合理客观地评估企业现状和风险。上市公司更应密切关注内控指引的建设与更新,以正确把握政策要求,减少不必要的成本。同时,还要通过建立内部监督机构对企业高风险区域经常进行检查,来及时发现已存在的或潜在的风险。
(三)完善信息沟通系统
1、政府部门应积极以制度形式建立健全强制实行内部控制信息披露的准则和指南,规范上市公司内部控制信息披露的内容和格式,明确谁为内部控制信息负责和出台相应的处罚措施。
2、企业内部也应建立完整的内部控制制度体系和清晰的业务流程,合理地对公司各个职能部门和人员进行责任分工、控制和考核,对每一个部门的责任和利益明确界定,防止权力重叠,也避免出现权力真空。通过汇编内部管理制度、业务流程图、权限指引等,促进企业各层级员工明确机构设置和职责分工,正确行使职权。开设信息反馈渠道,确保员工在工作中遇到的问题可以及时报告和解决。
(四)对于上市公司制造虚假会计信息的行为加大处罚力度
企业应当增加制造虚假会计信息的一个成本,国家应加大对会计师事务所的处罚力度,使得注册会计师能够更为谨慎地执业,并保持执业的规范性和独立性。
C. 中小板块上市公司是不是必须披露内部审计制度,有无文件要求
外部审计都有造假的 公司的内部审计是其自言其说 就更没法相信了 有谁会说自己有问题
D. coso与中国企业内部控制基本规范中的规定有何差异
我国《企业内部控制基本规范》与COSO报告之比较分析
1.内部控制的认识比较
COSO报告认为,内部控制是由董事会、管理层和员工共同设计并实施的,旨在为实现组织目标提供合理保证的过程。COSO报告认为内部控制是一过程,是实现目标的手段,是与管理过程融合在一起的,是一个不断发现和解决问题的循环往复的动态过程。内部控制的有效性也只是这个“动态过程”中某个时点上的一种状态。我国《企业内部控制基本规范》所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
2.内部控制的目标比较
COSO报告指出,内部控制是为实现以下三类目标提供合理保证:经营的效率和效果、财务报告的可靠性、适用法律法规的遵循性。为应对未来外部环境变化给企业带来的风险,新COSO报告又增加了战略目标。我国《企业内部控制基本规范》指出内部控制旨在实现以下五类目标:企业战略;经营的效率和效果;财务报告及管理信息的真实、完整;资产安全;遵循国家法律法规和有关监管要求。可知,《基本规范》借鉴了COSO报告的目标,同时考虑到我国国有大型企业比重大、国有资产流失严重的国情,增加了资产安全目标,这是我国内部控制规范对COSO报告的补充。
3.内部控制的构成要素比较
COSO报告认为,为实现内部控制的有效性,需要五个要素的支持:控制环境、风险评估、控制活动、信息和沟通及监督。新COSO报告包含了八个构成要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。我国《企业内部控制基本规范》在形式上借鉴了COSO报告五要素框架,但同时进行了充实和丰富,在内容上体现了新COSO报告风险管理的八要素框架的实质,即内部控制和风险管理日益融合、风险导向成为内部控制未来发展方向的趋势。
4.内部控制的责任主体比较
在COSO报告下,管理层对内部控制负主要责任,不但要向董事会下属的审计委员会报告,还要评估内部控制的有效性并对外发布内部控制报告。我国的《企业内部控制基本规范》对内部控制的主要责任主体的责任分别进行规定:事会负责内部控制的建立健全和有效实施;监事会对董事会建立与实施内部控制进行监督;经理层负责组织领导企业内部控制的日常运行。在COSO报告中,内部控制的责任主体主要是管理层而我国《企业内部控制基本规范》却强调了董事会对内部控制的重要责任,而且更加明确地规定各责任主体对内部控制的责任,使治理层和管理层的责任分工更加明确。
5.内部控制的外部审计比较
在COSO报告下,审计师要在审计财务报表的同时对公司的财务报告内部控制进行审计,既要评价管理层对内部控制的评价,又要对内部控制的有效性发表意见。在我国,执行《企业内部控制基本规范》的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计并出具审计报告。可见,我国《企业内部控制基本规范》和COSO 报告都强制要求对内部控制进行外部审计。
三、完善我国企业内部控制评价制度的建议
《基本规范》及配套指引主要是在借鉴COSO报告的基础上,结合我国的具体情况进行适当修改完善后形成的。《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点,如何从宏观上有效地促进并引导企业提高内控水平,还必须建立一系列规范统一、具体明确、简明实用的《企业内部控制评价制度》,借以督促企业尽快务实地建立健全并持续改进内部控制制度。但至目前,如何建立中国企业内部控制评价制度,理论与实务界仍有诸多不同的看法。
本人认为应由证监会出台统一的内部控制指引,与《内部控制基本规范》相配合,以统一内部控制相关概念界定、内部控制评价目标、内部控制评价要素等。这些制度的协调统一是完善内部控制制度并使之有效运行的基础。在统一明确的制度指引下,上市公司能够通过建立健全内部控制评价体系,合理规避经营风险,保证资产安全,提高经营效率和效果。尽快统一内部控制自我评价制度和注册会计师核实评价制度,降低注册会计师执业风险,合理保证注册会计师的利益。建议借鉴美国的经验,将核实评价的范围限定为与财务报告相关的内部控制评价。
E. 企业怎样建立内控制度体系文件
根据自查出来的岗位职责、部门业务流程等各项管理制度不够健全等问题,紧紧围绕以“内部环境、风险评估、控制活动、信息与沟通、内部监督”六要素和“不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制”等七项控制措施为重点,逐步建立和完善包括组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递和信息系统等内容的内部控制体系,并根据有关法律法规及其配套办法,制定本企业的内部控制制度并组织实施。
通过实施内部控制工作,完善和规范如下管理工作:
(1)运用信息技术加强内部控制。建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。
(2)建立内部控制实施的激励约束机制。将各责任部门、车间和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。
(3)编制常规授权的权限指引制度。规范特别授权的范围、权限、程序和责任,严格控制特别授权。企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。
(4)规范会计工作。会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。
(5)建立财产安全保护机制。建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。严格限制未经授权的人员接触和处置财产。
(6)建立预算控制机制。实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
(7)建立运营分析机制。建立运营情况分析制度,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
(8)建立完善绩效考评机制。建立和实施绩效考评制度,科学设置考核指标体系,对企业内部部门、车间和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
(9)建立风险预控和应急机制制度。根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
(10)建立内部审计与监督机制,形成合理适用的审计与监督制度。在内部控制实施过程中,要明确和完善内部审计部门和其他内部部门在内部监督中的职责权限,规范内部监督的程序、方法和要求,对内部控制规范管理工作实施监督。
F. 我国上市公司内部控制信息披露内容应该有哪些
根据《上海证券交易所上市公司内部控制指引》
第三条 在本所上市的公司应当按照法律、行政法规、部门规章以及本所股票上市规则的规定建立健全内部控制制度(以下简称内控制度),保证内控制度的完整性、合理性及实施的有效性,以提高公司经营的效果与效率,增强公司信息披露的可靠性,确保公司行为合法合规。
第四条 公司董事会对公司内控制度的建立健全、有效实施及其检查监督负责,董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。
第三十条 公司在内部控制的检查监督中如发现内部控制存在重大缺陷或存在重大风险,应及时向董事会报告。公司董事会应及时向本所报告该事项。经本所认定,公司董事会应及时发布公告。公司应在公告中说明内部控制出现缺陷的环节、后果、相关责任追究以及拟采取的补救措施。
第三十一条 董事会应根据内部控制检查监督工作报告及相关信息,评价公司内部控制的建立和实施情况,形成内部控制自我评估报告。公司董事会应在审议年度财务报告等事项的同时,对公司内部控制自我评估报告形成决议。公司董事会下设审计委员会的,可由审计委员会编制内部控制自我评估报告草案并报董事会审议。
第三十二条 公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。
第三十三条 公司内部控制自我评估报告至少应包括如下内容:
(一) 内控制度是否建立健全;
(二) 内控制度是否有效实施;
(三) 内部控制检查监督工作的情况;
(四) 内控制度及其实施过程中出现的重大风险及其处理情况;
(五) 对本年度内部控制检查监督工作计划完成情况的评价;
(六) 完善内控制度的有关措施;
(七) 下一年度内部控制有关工作计划。会计师事务所应参照主管部门有关规定对公司内部控制自我评估报告进行核实评价。
G. 如何将《内控手册》要求融入到企业的管理流程当中
首先行业不同,方式方法也不同,以一个行业为例
XY股份有限公司为符合上市公司内控法规要求,提高企业经营管理水平和风险防范能力,促进企业可持续发展,根据财政部、证监会等五部委印发的企业内部控制基本规范及配套指引的要求,聘请外部咨询公司,2011年3月起着手进行内控体系建设工作。根据《企业内部控制基本规范》及其配套指引要求,结合国外公司经验,企业内部控制体系建设通常分为4个阶段,内部控制梳理、内部控制整改固化、内部控制自我评价和内部控制审计,其中前3个阶段是内控建设核心工作,需由企业主导完成,内控审计由审计师在企业配合下实施。
为做实做好内控规范体系建设工作,公司于2011年3月正式成立内控工作领导小组,由公司董事长牵头,高层领导主管、总部各部门负责人及各分子公司总经理作为组员,负责组织领导公司内部控制规范化建设工作。2011年3月中旬召开内控实施项目启动会,对公司内控建设工作进行了部署和动员,并制定公司内控实施计划及工作方案。
一、建立内控建设组织架构,明确相关人员职责。
内部控制建设作为一项长期系统性地工程,并非一蹴而就,公司决定建立一种长效领导机制持续运作。公司内控体系建设组织架构图如下,并明确董事长为内部控制实施工作的第一责任人;公司总经理、副总经理为内控实施的具体负责人。
(一)内控领导小组职责
经第六届第十次董事会审议通过,公司成立风险管理委员会,成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管及专业人士,作为内控工作领导小组。
风险管理委员会对董事会负责,主要履行以下职责:
(1)负责营造良好的内部控制建设环境;
(2)负责制定公司内部控制战略规划,提出总体建设方案;
(3)负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;
(4)部署内部控制建设、执行及监督活动等;
(5)审议《内控手册》的编制、修改及更新;
(6)提交《内部控制评价报告》;
(7)协调公司内部控制建设的重大事项;
(8)考核内部控制建设的相关人员,保持公司整体利益和方向的一致性。
(二)内控项目小组职责
1、公司在风险管理委员会下设立风险管理委员会办公室作为内控项目组,主要履行下列职责:
(1)全面贯彻执行风险管理委员会关于内部控制建设的精神和方针;
(2)制定公司内部控制建设阶段性的目标及实施方案,提交风险管理委员会审核;
(3)负责内部控制建设的有效实施和运行,落实内部控制建设的具体责任;
(4)研究提出《内部控制评价报告》;
(5)负责公司《内控手册》的编制、修改及更新;
(6)审核在内部控制建设过程中存在的问题,督促各部门进行整改。
2、公司在风险管理委员会办公室细分为4大系统,即风控系统、战略与证券系统、财务系统和运营系统,明确各系统的具体职责。
3、风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供应链中心、法律事务部、研发中心、制造中心及战略人力资源部,配备33名专职人员。各业务单位、职能部门及子公司(事业部)在风险管理委员会办公室的指导下共同参与、实施内控建设工作。
4、审核委员会作为公司内部控制体系有效性的监督机构,监督内部控制的有效实施和内部控制自我评价情况,审核及监督外部审计机构是否独立客观及审计程序是否有效,审核公司的财务信息及其披露,协调内部控制审计及其他相关事宜。
(三)责任部门及工作预算
与内控工作小组相对应,公司确认了内部控制建设的责任部门,即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供应链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次内控项目工作制定了相关预算,包括内控咨询、内控审计及人力成本费用、培训费用等。为保证内控建设工作的专业化、系统化和合理化,公司聘请询公司作为外部咨询机构为公司提供专业支持,协助公司梳理、构建及完善内部控制总体架构,帮助公司识别内部控制存在的薄弱环节和主要风险,有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。 风控系统人员将全程参与风险识别及评估、编制风险清单及控制矩阵、内控缺陷整改、开展内控评价等工作,为公司培养内部控制建设及评价人才。
二、内控体系建设工作具体推进
内部控制建设工作,公司将分为五个阶段,时间从2011年4月1日至2012年1月31日,总体安排如下:
(一)确定内控实施范围(2011年4月10日前完成)
根据证监局文件精神,结合公司实际,本次内控实施范围为股份公司、一家上海子公司及一家广州子公司。
按照《企业内部控制基本规范》及其配套指引要求,结合公司业务性质,公司将重点关注发展战略、组织架构、人力资源等公司层面3大流程,以及信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。
各流程责任人如下(××代表责任人姓名):
流程第一责任人 具体负责人 内控协调人 中介机构责任
发展战略 × × ×
组织架构 × × × ×
……
注:上述责任人适用于内控建设中的每个阶段。
(二)风险识别及评估(2011年5月31日前完成)
1、流程梳理:公司通过访谈、审阅文档或问卷调查等方式梳理流程,明确上述12大流程的相应子流程,完善组织架构和审批授权指引,根据统一的模板编制业务流程图。在流程梳理过程中,及时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未分离或权限设置不合理等内控缺失的工作流程,采取相应的措施规范操作流程,避免内部舞弊等重大风险出现,提高工作效率。
2、风险识别:结合《企业内部控制基本规范》及相关配套指引所列示的风险、公司客户审核要求、内审报告、提案改善、质量事故等初始资料,从风险发生的可能性和影响程度,对子流程中涉及到的每个控制点进行综合分析,识别固有风险,评价风险等级,形成风险清单。
3、文档记录:根据风险等级,识别流程中的关键控制活动,并在流程图中进行编号;编制流程描述、风险控制矩阵等内控文档对控制活动和控制点进行记录。
4、查找内控缺陷:将公司现有制度和控制措施流与风险清单进行比对,通过穿行测试、控制测试等手段,获取关于内控设计和运行有效性的证据,查找内控缺陷,形成《风险数据库》和《内控风险诊断和评价报告》。对发现的重大缺陷及时报告董事会及管理层,管理层对发现的内部控制缺陷应及时制定内控缺陷整改方案。
(三)确定内控缺陷整改方案(2011年6月30日前完成)
1、编制《内部控制管理建议书》:公司对发现的内控缺陷进行分类分析,确定内控缺陷的重要性程度,区分设计缺陷和运行缺陷,形成《内部控制管理建议书》。
2、制定内控缺陷整改方案:公司根据《内部控制管理建议书》和具体的控制缺陷,提出整改时间及责任部门、人员,形成内控缺陷整改方案。
3、提交审议:内控缺陷整改方案应当经过风险管理委员会审议通过。
(四)内控缺陷整改(2011年9月30日前完成)
1、落实整改、提交报告:责任部门将按照内控缺陷整改方案对发现的缺陷进行逐一整改,完善公司各项内部控制管理制度和控制措施,提交《内控缺陷整改报告》;内控项目组连同中介机构对缺陷整改情况进行运行有效性测试,形成《内控运行测试报告》。
2、编制《内部控制手册》:内控项目组根据风险清单和各项内控文档等资料,编制《内部控制手册》,并对手册内容进行实施辅导和推进执行。
3、编制《内控自我评估工作指引》:内控项目组编制《内控自我评估工作指引》,为下一步内控自我评价工作的开展奠定基础。
4、提交审议:《内控缺陷整改报告》、《内控运行测试报告》、《内部控制手册》及《内控自我评估工作指引》应报风险管理委员会审议。
(五)内控持续推进和内控自我评价
公司在内控体系成果完成后,将予以持续推进,并根据辖区证监局要求,公司将于每季度结束后的10个工作日内,向证监局报送内控进展情况说明,并在定期报告中予以披露。每季度进展情况说明至少包括该季度内控建设工作的开展情况、与工作方案中计划进度的对照情况、差异原因以及拟采取的解决措施等。
通过以上工作,公司初步建立健全了内部控制体系,有效提高了内控管理水平。
三、企业内控体系的“落地”和持续推进
XY公司在完成内控体系初步建设完成后具体推行过程中,一些部门和员工或因对新的内控制度理解不够,或因由于长期工作习惯难以改变,或因内控制度变革触及自身利益而不愿遵循,使得内控制度在一段时期内一直都不能落到实处。如何真正将内控体系有效执行下去,并保持内控体系的持续完善和提高,是管理层迫切需要解决的难题。
为了切实将内控制度体系真正“落地”,XY公司通过全方位内控培训、加强内控检查与监督、完善考核及激励机制以及借助第三方专业机构的持续辅导等措施,有力地保证了内控建设的持续维护,公司的内控建设取得了卓有成效的进展。
具体来说,采取的主要措施有:
(一)完善内控工作组织架构,成立内控部,强化审计部,建立推进内控工作的组织机构和运行机制。
通过对国际大企业内控建设的现状和过程的全面考察,XY公司发现要实行有效的内部控制,必须建立相配套的组织架构。为此,公司由管理高层成立了内控工作领导小组,各子公司管理层对应的成立内控管理小组;在部门设置上,XY公司新成立了内控部,各下属子公司根据其规模大小设立内控部或内控负责岗,负责内控建设工作;在内控监督上,转变了原有的审计部的职责,增加了内控评价和检查的功能,并由公司董事会的审计委员会直接领导,在规模较大的子公司同时设立内部审计专员,负责子公司的内控自查。
(二)注重内控环境建设,进行全方位内控培训。
XY公司通过一系列的培训和辅导,提高各层级管理人员和基础员工对内控理念的认识,营造有利的内控工作开展的文化环境。首先,公司抓好以普及内控基本知识、营造内控实施环境的宣传工作。公司内控部组织编制了《内控宣传册》,在股份公司各职能部门和下属公司主要管理干部范围内发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对内控的理解和认识,减少内控推进的思想阻力。
其次,公司根据内控规范实施的进度,围绕内部控制的各个方面,开展了包括基础理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训,对内控制度的编制和实施起了极大的推进作用。
(三)建立内控推进的沟通机制,保证内控建设持续性和问题解决的及时性。
自内控制度建设正式推进以来,为了保证推进的执行力,公司开展了全方位的信息沟通机制,实现了信息的实时传递,和通畅的上传下达。
首先,XY公司建立了周例会制度。内控领导小组每周组织内控工作例会,由公司董事或审计委员会主任主持,参与者包括内控领导小组成员、内控部、审计部、财务部、各子公司的内控负责人等。总部各职能部门及各子公司必须在会上以书面形式上报“内控工作一周报告”,汇报内控的进展情况、存在的问题、解决的方案、遇到的困难以及需要股份给予协助的事项,并由内控领导小组组长对相关的具体问题提出意见和工作指导,会后股份公司内控部负责对每家子公司进行回复,保证所有的问题都能得到及时有效的解决。所有会议记录和相关文件在会后抄送股份公司的总经理和董事会,并抄送相关子公司的管理层,保证管理高层对内控进展的时刻了解。
其次,公司建立了内控体系的月度工作总结。每月末各个子公司的内控负责人就内控开展情况进行工作总结,由内控部在股份公司管理层、子公司管理层以及相关内控负责人之间进行通报,督促各子公司的内控执行力。
第三,建立了重大项目的单独汇报机制。各子公司的内控负责人对于子公司内控建设中发现的重大问题要求及时向内控领导小组和股份内控部进行汇报,以实时处理可能的重大风险。此外,股份公司的内控部长、审计部长、财务总监的联系方式向子公司的所有内控负责人和内控专员公开,作为信息直接传递的一个重要渠道,帮助股份公司及时了解下属子公司内控风险。
(四)完善内控评价检查机制,建立了多层次的内控检查体系。
为了保证内控制度的落地和真正有效的执行,公司从各子公司到股份公司的内控部和审计部,再到外部独立的第三方中介,建立了全方位的内控评价和检查体系。股份公司内控部对各业务循环定期开展内控检查,通过发放内控调查清单以及内控专员的现场检查,发现子公司在内控建设中的不足,并及时下发风险联系函、风险关注函和风险警示函,以帮助子公司及时进行内控整改和完善。其中联系函主要是对子公司联系函件的回复为主;关注函主要是对子公司发生的业务表示关注,一般要求对方在一定时间内给出书面说明;警示函是在关注函的基础上对于重大风险或执行不到位的情况给予警告。
股份公司审计部对各子公司每年开展两次的内控评价。为了实现评价的量化和标准化,审计部编制了内控评价底稿通过检查,对子公司形成内控建设的量化评价,并针对检查中发现的问题出具改进建议,并要求各子公司在规定的时间内予以整改,总部内控部对子公司整改措施和整改质量进行全程的监督,整改完成后,审计部及时予以复查,确保审计中发现的问题能及时整改。
(五)将内控建设纳入绩效考核,通过奖惩机制实现内控的有效性。
首先,为有效发挥各下属子公司的管理者在内控推进中的作用和积极性,自200×年开始,股份公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中,明确了管理班子对于内部控制建设的责任和关键任务。通过这种绩效考核,激励管理层切实关注和推动内控的执行工作,从而为内控工作的推进建立良好环境。
其次,对于股份公司向各子公司委派的重要人员也直接与内控建设挂钩。公司出台了《委派内控人员绩效考核管理办法》,对各个子公司的内控负责人实施全面的内控建设考核,明确了委派的内控人员的绩效考核指标、考核方式和奖惩机制,进一步促进了委派内控人员的工作落实力度;其次,对于股份委派的财务负责人,也在其年度考核的总分中(100分制)纳入了相当比重的的内控建设的相关内容,从财务职能加强了对子公司的内控推进。
(六)充分发挥专业中介机构力量
XY公司在开始建立内控体系即聘请的专业咨询公司提供咨询服务,在整个体系建立过程中,充分发挥咨询公司专业力量,并聘请专业顾问对公司人员进行培训,提高公司人员内控理念和技能。在内控体系初步建立之后,仍继续与咨询公司保持合作,借助咨询公司在专业及独立性方面优势,共同推进公司内控持续建设工作,在内控持续建设工作中,专业咨询公司提供了大量了专业意见和培训辅导服务,帮助公司完善各项成果,使得公司的内控持续建设取得了令人瞩目的成效。
四、企业内控体系建设过程的经验和启示
在公司董事会、各层级管理人员和基础员工不懈努力下,公司内部控制体系的建设取得了一系列的良好效果,全公司各级员工的风险管理意识显著提高,对风险的理解和重视切入到各个业务和管理环;强化了各项经营活动的规范化操作,实现了重大经营活动的集体化决策机制,有效防范了决策风险;提高了公司的财务管理水平,保证了从产业公司到股份公司的各层级财务数据的真实公允以及资金、资产的安全;加强了公司对新经营环境下管理风险的关注;完善了公司的风险预警机制,提高了各职能部门对业务发生之后的潜在风险的持续监控、分析和应对。公司在内控体系建设和推进过程中,主要的经验和启示有:
1、公司董事会和最高管理层的重视和亲自参与
在XY公司董事会,无论是大股东委派董事、非执行董事还是独立董事,都非常重视和关心内部控制体系的建设工作。作为公司的大股东,集团对股份公司的内控建设给予了极大的理解和支持,有力的推动了产业公司的内控建设的进程。董事会的定期会议都将内部控制进展情况作为重要议题沟通,对于内部控制推进中出现的任何问题,董事会层面时刻给予相应和支持。
在公司管理层方面,成立了内控领导小组,投入了大量的人力和财力,带领企业员工共同进行内部控制建设,为内部控制的推进提供了良好的内部环境,同时也激发员工的积极性和主动性,推动企业内部控制朝更顺利、更完善的方向发展。
2、对内部控制理念以及其与公司其他管理体系关系的认识统一
XY公司在内控推进的第一阶段大力推行高频率、大幅度的培训,帮助各级管理者以及基层员工了解内部控制的主要原理和价值,减少内控实施中的思想阻力。其次,公司统一了内控体系与其他管理体系的认识,内部控制和风险管理不是一套孤立的新的体系和制度,而是一种基于“目标-风险-控制-监督”框架的管理思路,这种管理思路可以融入到企业的所有其他的管理体系和管理制度中去,是对企业原有的管理制度的整合和提升。
3、制定了清晰明确的内部控制战略规划
公司根据自身实际情况,在订并提出了内部控制的五年两步走的规划,并将其纳入到公司的5年战略规划中。第一阶段(3年),通过自上而下的刚性要求,构建全面的统一化的集团内部控制架构,并通过理念灌输形成内控推进的文化范围;第二阶段(2年),通过自下而上的,自觉的内控体系的完善,形成各个产业公司的特色化内部控制。这一从强制到自觉,从理念普及到制度完善再到内控手册的表格化提升的建设步骤,使得公司从管理高层到基层员工的各级人员都明确内部控制不同时期的不同任务及不同发展状态,稳步推进,逐步加深,为内部控制的发展道路勾画了清晰路径。
4、因企制宜的实施方案
XY公司意识到对于集团化企业,内部控制不能是一刀切的,公司要实行内部控制,需要根据自身的业务类型、公司规模、公司所处阶段来选择适宜的内部控制方法。
首先公司在吸收了五部委内部控制基本规范和配套指引的相关精髓的基础上,结合企业经营实践,基于先主后次的重要性原则以及成本收益原则,提出了以若干业务循环作为公司内控建设的主要循环范围。
其次,考虑公司的人员能力和素质,在内控成果上也没有一步到位册,而是以制度建设为基础,通过制度规范,到流程优化再到风险提炼,逐步实现内部控制的层层递进。
第三,在内控推进上,公司充分考虑下属各产业公司的业务特点,确定适合各公司的内部控制方式和侧重点。
5、循序渐进的实施步骤
(1)自上而下的理念推进向自下而上的流程推进的递进。
在内控实施的第一阶段,公司强调自上而下的理念推进。公司通过内部培训、各种工作会议达成内控理念的统一,并向各子公司传达,之后各子公司则进行自下而上的内控流程推进,即各产业公司根据自身的内部流程,进行制度的完善,并经由公司内控部审核后实施。
(2)由总部出台框架性的制度到各个子公司制订针对性的业务流程的递进。
公司内控部结合外部力量制定框架性的制度,明确各业务循环的关键控制点和操作要求,各产业公司根据自身业务情况,在满足框架制度要求的前提下制定适合企业自身的管理制度,以求更贴近产业公司的经营管理实践。
(3)普遍性、通用性的风险点向专业性、针对性的风险点的递进。
公司首先根据对产业公司实际情况的调研,绘制公司的全面风险数据库,梳理出具有普遍性的通用性主要风险点,之后,各产业公司在实际操作中不断发现专业性、针对不同企业业务特色的独特风险,以实现内部控制的完善。
(4)抓重点公司,抓主要循环和风险、抓典型事件。
公司的内部控制遵循重要性原则,关注重点公司级重要循环与风险,并关注典型事件,以期通过重点带动全面,推动内部控制的发展。
6、借助外部专业中介机构推动内控建设
外部专业机构相对具有更丰富的内控专业力量和实施经验,并且具有客观性和独立性,XY公司在整个体系建立过程中,充分发挥咨询公司专业力量,但也没有完全依赖中介机构甩手不管,而是充分参与和配合,在内控建设过程中,实现知识传递和内控人才培养,取得了较好的实施效果。
--------------转自新浪微博《马军生-内部控制博客》