上市公司内控体系建设,除了需要符合来自外部监管的要求外,还需通过建立内部控制规范体系提高企业经营管理水平和风险防范能力,促进企业可持续健康发展;另外内部控制系统通过企业内部资源配置、协调监督管理、事后反馈等方式,最终实现业务目标,为客户提供价值。
“事谋而后动,动必有成”,内控体系建设前必须先有一个建设策略,才能有效指导建设工作。不同企业发展阶段不同,所处的环境不同,建设内控体系的目的不同,导致建设策略会存在一定的差别,本文就上市公司内控体系建设的组织模式、建设范围、设计思路、设计内容、诊断思路、落地实施、与其他管理体系的融合(IT、风控体系、三标体系等)等方面策略进行阐述,以期为上市企业内控建设工作提供一定的指导。
一、加强组织建设,为内控体系建设提供有力保障
内部控制是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。因此内部控制体系建设工作不仅是公司管理层的责任,而且是公司上下全体员工都需要参与的一项工作。
一般来讲,企业在内部控制体系建设的起步阶段会采取项目管理的方式,企业在搭建起内部控制体系之后,会将项目管理模式转向由指定的内部控制管理部门归口负责的常态化管理。
项目管理下组织架构一般设置如下:
董事会主要负责内控体系建立健全,有效实施和评价;监事会主要对董事会建立于实施内部控制进行监督;审计委员会主要监督内控的有效实施和内控自我评价情况,审核及监督外部审计机构是否独立客观及审计程序是否有效,审核公司的财务信息及其披露,协调内部控制审计及其他相关事宜。
一般领导小组职责:确定内控体系建设的范围;明确内控体系建设的总体规划和目标;确定内控体系建设的整体部署落实;提供建设环境及资源配置;研究决定内控体系建设中的重大事项和结果检查;监督整体内控体系建设项目的执行和效果;负责内控体系建设中的其他重要事项。
领导小组成员一般为:董事长、总经理/CEO、主管业务的副总经理、总会计师/CFO等人员。
企业在建设内控体系时,一般会设立或指派相关部门进行内控体系建设实施的组织及协调,该部门是内控体系建设及实施的牵头部门,例如有财务部、内部审计部、风险管理部、法律部等部门负责,实际操作中由某个部门负责牵头工作,并在具体工作时成立项目管理办公室。
项目管理办公室的职责:负责内控体系建设成员的职责分工;确定内控体系建设与实施各阶段任务;协调本部各部门、下属各企业内部控制体系建设工作进展;项目进展监督与报告;宣贯与培训;内控体系建设其他方面的实施工作。
项目管理办公室成员为:内控牵头部门负责人、财务总监、各成员企业内控建设负责人员、熟悉会计核算的员工、熟悉质量管理的员工、熟悉财务结帐的员工、熟悉销售业务的员工、熟悉采购业务的员工、熟悉行政业务的员工等。
企业在前期内控建设成果的基础上,逐步建立内部控制常态化管理工作,一般会设立专门的内控机构进行维护和自我评估工作。如有企业通过内部审计部门内控建设进行监督评估;内部审计部门 保持独立性,原则上不应直接参与内部控制体系建设;如不可避免参与内部控制体系建设,则应回避在参与建设范围领域内的内部审计或自我评价。内部审计部门主要评估内部控制系统的有效性,针对内控缺陷为业务部门提供具有参考价值的意见或解决方案,起独立的监督作用。
二、确定内控体系建设范围时,管理层应考虑的要素
企业按类型划分,分为多元化集团、专业化集团、单体企业、分支机构;不同的类型的企业建设范围存在一定的差别。根据企业内部控制评价指引第三条,企业内控建设需要符合以下原则:全面性原则,即涵盖企业及其所属单位的各种业务和事项;重要性原则,即在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
所以,企业确定建设范围时,管理层应考虑下列几大要素,来确定应进行评估的经营场所或业务单位:
(1)经营场所/业务单位的相关财务状况和经营状况;
(2)经营场所/业务单位出现重大错报的风险;
(3)选定的经营场所/业务单位的业务流程/循环和内控程序在集中处理或共享服务环境中所占的比重;
(4)除了本身重要的经营场所以外,管理层还应对那些具有特殊 风险的经营场所和本身不十分重要的经营场所执行某些程序,因为当这些经营场所与其他经营场所综合起来时将可能是重要的。
业务领域建设范围根据企业不同行业、发展阶段,关注的重点会有所差异。
三、根据不同内控体系发展阶段确定设计思路
内部控制管理是一个持续发展的体系,是与企业的发展密切相关的,内控体系建设一般分三个阶段,即满足外部监管的合规内控,企业由被动到主动自发提高企业经营效率和效果的管理型内控,为增加股东价值而考虑企业风险管理的全面风险管理导向型内控。
根据不同内控体系发展阶段,一般内控体系设计思路有三种:
1、以财务报告内部控制为着眼点逐步展开全面内部控制体系建设
从资本市场的监管角度出发,中国证监会关注上市公司财务报告及相关信息披露的真实、准确和完整;同时内部控制审计是对“财务报告内部控制”有效性发表意见;财务报告作为内控框架的基本业务活动,其与其他业务活动紧密相连,通过财务报告内部控制建设为中心,能将其他与财务报告相关业务活动进行完善。
所以财务报告是内控建设的突破点,通过财务报告内控建设逐步开展内控体系建设能够满足基础合规内控的要求。
2、以全面内部控制体系建设为整体目标,立足于管理者关注的重要管理领域,开展内部控制建设。
企业在进行内控体系建设时,往往受限于人员、时间等方面的成本考量,一般会选择管理者关注的一个或几个重要管理领域作为切入点,实现“体系完善,重点突出”的内部控制管理目标。财务报告相关北部控制覆盖、贯穿企业各个关键业务流程、控制点,切财务报告是反映企业经营绩效与成果的直接表现,因而在大多数情况下,被企业选做重点突出的业务领域之一,率先开展工作。
3、以建立全面风险管理体系为蓝图开展内部控制体系建设
运用风险管理和内部控制的理念和方法持续优化企业流程,并依托信息化系统实现对企业重要风险的全面实时监控和预警,全面提升企业管控水平;实现风险管理和内控系统与业务系统的结合,形成内嵌式的管控系统,为企业战略决策和管理提供支持,提升企业竞争力。具体思路如下:
(1)搭建风险管理框架,明确组织及责任体系,梳理风险清单;
(2)识别评估重大风险,就重大风险确定应对策略并建立持续监督机制;
(3)就某一重大风险进行全面、深入识别和评估,梳理与之相对应的内部控制体系,识别内部控制措施的薄弱环节并实施整改;
(4)以关键绩效指标为基础建立风险预警机制。
四、内控管理诊断的依据和维度
内控管理诊断需要明确内控目标,对流程制度进行梳理,对比COSO的内控要素标准,进行差异分析。对企业内控管理的诊断往往是以COSO三维框架为依据,结合企业特点,选择某一维度为主线,在其他两个维度展开差异分析和评价。
1、以控制目标维度为主线结合流程层面维度和要素维度要求展开
主要控制目标:经营管理合法合规、提高经营效率和效果、财务报告及相关信息真实完整、资产安全(COSO:包含在经营效率效果之内)、促进企业实现发展战略。根据控制目标,结合重点的流程及内控要素进行分析诊断。
2、以流程层面维度为主线结合控制目标维度和要素维度需求展开
以公司层面、业务活动层面和信息系统层面三个层面的流程为主线,或选择重点关注的业务流程为主线,结合内控目标及要素进行分析诊断,找出差距,进行优化设计。
3、以要素维度为主线结合控制目标维度和流程层面维度要求展开
公司内控要素:内部环境、目标设定、风险识别、风险评估、风险对策、控制活动、信息与沟通、检查监督。
梳理公司根据要素分析流程层面及控制目标层面与合规要求差距进行分析诊断。
以上对内控体系建设中的组织设置、设计范围、设计思路、诊断思路进行简要阐述,具体设计内容及如何保障实施落地并与其他管理体系融合见后续文章介绍。
