刍议集团企业内部控制体系的构建与优化
2018-10-26黄阳阳
黄阳阳
(安徽皖通高速公路股份有限公司,安徽 合肥 230088)
一、集团企业实施内部控制体系的现状
自我国《企业内部控制基本规范》及其配套指引发布实施以来,我国上市公司已陆续构建和实施了健全有效的内部控制体系,但除此以外,目前我国很多集团企业的内部控制体系建设与实施仍存在一些问题,具体如下:
(一)对内部控制的认识仍停留在传统阶段
国内许多集团企业对于内部控制的认识仍停留在感性阶段,不能用系统的眼光来看待内部控制,片面地将内部控制理解为对人、财、物的控制。有的则认为企业内部控制就是内部牵制或内部监督,甚至看成是某些文件或制度,认为制定出了有关部门或主管单位所要求具备的制度规定,就已经建立了企业内部控制。在实践中,对于内部控制的认识大多还停留在内部牵制制度、内部控制制度阶段,而且由于集团企业治理机构的内外机制欠缺,企业经营和管理风险相对较低,管理层对内部控制认识不充分、不确切、不完整,导致许多集团企业没有实施内部控制的动力。
(二)缺乏有效的内部控制监督和评价机制
基于现有的集团企业管理体制和管理方式,多数集团企业对于内部控制的监督很薄弱,难以起到应有的作用,对于内部稽查中内部控制有效性的评价方式过于简单。传统的内部控制评价方法是以定性分析为主的,分析过程较复杂,且很大程度上依赖于评审人员的主观判断,主观性较强,缺乏客观具体的可操作性标准,内部控制效果评价的可靠性难以满足。这也导致内部控制评价缺乏科学性、规范性和可操作性,进而增加了评价工作的实施难度、资源投入的主观随意性、结论不可靠性。
(三)内部控制缺陷类型认定界限不清晰
集团企业应当根据内部控制缺陷影响整体控制目标实现的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。但多数集团企业对内部控制缺陷的认定缺乏科学的流程和判断标准,导致对内部控制缺陷的类型认定不合理,没能有效识别哪些缺陷属于一般缺陷,哪些缺陷属于重大缺陷,认定界限分离。从而导致企业不能合理设置内部控制的关键控制点,使其对内部控制缺陷的整改没有针对性,大大降低了效率,同时也会造成大量的资源浪费。
(四)风险管理意识淡薄、风险管理没有形成制度化
集团企业时时面临着来自组织内外的各种风险,必须要对风险及时识别、评估和控制,以有效保证企业经营的效率,推动战略实现。我国集团企业所面临的风险主要是政策风险、投资决策风险、融资风险、营运安全风险、法律风险等。从目前我国集团企业的现状来看,风险意识并没有提到应有的高度,仍然缺乏有效的风险管理机制。另一方面,目前大多企业的管理人员风险意识不强,对风险管理方法认识不足,缺乏对风险控制的动力,不能采用恰当的控制程序和控制方法,对重大错误或舞弊现象就容易忽略。
此外,我国集团企业还存在着内部控制机构不健全、组织架构设置不合理、内部控制没有与信息系统相结合、缺乏人才和知识积累等问题。
二、集团企业内部控制建设的方法框架
集团企业不同于单体企业,它具有母子企业一体化和业务多元化的特点,一般面临着更多的风险。内部控制体系是集团企业加强经营管理最重要的方面,本文构建了适用于集团企业的内部控制建设框架体系,如下表所示。
(一)机构设立和计划阶段——内部控制建设的关键
1.主要步骤
(1)委任内部控制建设项目领导小组及项目小组。集团企业治理层根据机构设置和人员配备指定专门人员负责组织协调内部控制的建立实施及日常工作,一般由董事会负责组织开展内部控制的建立和实施,经理层负责组织领导企业内部控制的日常运行。
(2)成立专门职能部门和检查监督部门,并定义监督检查部门职责分工。集团企业应确定专门职能部门负责内部控制的日常工作,并根据企业的实际情况在各单位配备专门的内部控制专员。监事会对董事会建立与实施内部控制进行监督。并在董事会下设立审计委员会,负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评估情况,协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。
(3)确定项目计划以建立或完善企业的内部控制。集团企业内部控制领导小组应当结合企业所处的环境和内部治理情况,制定内部控制建设项目计划和预算,合理安排内部控制建设或完善进度。
(4)进行培训。为了各级管理层形成对内部控制的共同语言,增强对项目的认识,集团企业应当对相关管理层项目组成员和试点流程负责人分批进行内部控制知识和内控项目管理进行培训。
(5)将内部控制项目计划提交董事会审批。内部控制建设项目组制定完成内部控制建设计划,经经营层审议后,提交董事会审批。
2.关键事项
董事会负责委任内控领导小组及项目小组;高层重视并直接参与非常重要;制定和实施分批、分对象、因材施教的培训计划。
(二)建立健全内部控制制度阶段——内部控制建设的核心
1.主要步骤
(1)开展风险评估,确定内部控制工作的范围和流程。项目组成员和部门对集团企业全面开展风险调查,进行风险识别与评估,分析评估潜在风险,从而确定内部控制建设的具体范围和工作流程。
(2)设计内部控制模板,辨识与记录工作范围内的企业层面和流程层面的内部控制活动。集团企业应当根据内部控制目标和风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,设计内部控制模板,从而运用相应的控制措施,将风险控制在可承受范围之内。集团企业在建立内部控制体系时,应根据企业内部控制基本规范和应用指引的要求,在符合集团企业总体战略目标的基础上,考虑成本效益原则,根据风险评估结果,分别针对各下属企业行业类别和业务特点,建立相应的控制措施,形成内部控制文档模板,选择一个有代表性的子企业进行试点实施,并在实施过程中及时总结试点经验,逐步推广,最终实现全面实施。
(3)记录各业务流程中发现的内部控制设计缺陷,汇总并提出整改方案。针对风险评估过程中发现的业务流程中的内部控制设计缺陷,内部控制建设项目组应当作出记录与汇总,并分析和研究所发现的设计缺陷,有针对性地提出整改方案。
(4)根据整改方案纠正内部控制设计缺陷,完善内部控制体系。根据步骤(3)提出的整改方案,内部控制建设项目组不断纠正风险评估过程中发现的内部控制设计缺陷,从而不断完善内部控制体系,为内部控制的高效运行打下坚实的基础。
2.关键事项
以风险评估为基础选择下属部门、子企业和业务环节试点;以内部控制模板为起点,逐步调整完善内控体系;综合运用问卷调查、访谈、穿行测试、风险模型等风险评估和内控测试方法;强调全员参与,覆盖业务全范围和全过程;控制缺陷的提出和整改是内部控制持续优化的基础。
(三)内部控制自我检查监督阶段——内部控制建设的保障
1.主要步骤
(1)制定内部控制监督检查办法和内部控制自我评估计划。集团企业应制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。内部监督部门应当制定内部控制自我评估计划,合理安排自我评估和监督检查过程中所需的人力、物质资源和时间进度,为内部控制自我评估的开展提供支持。
(2)开展内部控制自我评估,出具内部控制自我评估报告。根据内部控制评估工作计划,由审核委员会组织内部审计部门或内部控制小组在集团企业范围内开展自我评估。内部控制自我评估的方式、范围、程序、频率和缺陷认定标准,由集团企业根据经营环境、业务范围、财务指标、风险承受度、实际风险水平等自行确定。内部审计部门通过对关键控制点开展抽样测试,合理确定内部控制的设计和运行缺陷,并结合自我评估过程中发现的问题,出具内部控制自我评估报告。
(3)汇总内部控制运行缺陷、制定整改方案,跟踪内部控制缺陷的整改情况。根据内部控制自我评估过程中所发现的内部控制运行缺陷,管理层应提出并制定相应的整改方案,并在内部监督部门的跟踪下,执行整改方案,保障集团企业内部控制的有效运行。
2.关键事项
侧重于风险评估识别到的高风险领域,制定监督检查和内控评估工作计划;核实确认评估结果是否准确,并及时报告评估结果;跟踪监控内部控制运行整改方案的实施情况,检查监督部门的工作资料。
(四)董事会报告阶段——内部控制体系推进的必然要求
1.主要步骤
(1)董事会或其审计委员会审核《内部控制检查监督工作报告》,并以此为基础编制《内部控制自我评估报告》。集团企业应当定期对内部控制整体有效性进行评估、出具评估报告,并向董事会、监事会和管理层报告内部控制设计与运行环节存在的主要问题以及将要采取的整改措施。董事会应根据内部控制检查监督工作报告及相关信息,评价内部控制的建立和实施情况,形成内部控制自我评估报告。董事会应审议内部控制自我评估报告并形成决议。
(2)会计师事务所出具外部审计报告。由会计师事务所参照内控审计指引和主管部门有关规定对集团企业内部控制的设计和运行有效性进行外部审计,并出具审计报告。
2.关键事项
董事会是集团企业内部控制之完整合理、实施有效之责任主体;董事会应当根据监管机构的要求,采取适当的步骤取得并保存充分的资料,来支持其对内部控制有效性评估的决议。
综上所述,内部控制的建设与完善是一个动态互动的复杂过程,各个阶段环环相扣,在此过程中需要集团企业各部门及其人员的密切配合,团结协作,才能将内部控制渗透到集团企业的每个层面。同时,集团企业应及时总结内部控制建设过程中的经验,及时汇总相关材料并存档,对内部控制建设项目进行验收总结,共同努力构建起内部控制和风险管理长效机制。
三、集团企业内部控制体系优化建议
集团企业内部控制建成运行后,为了进一步保证内部控制的持续优化,本文提出如下对策建议:
(一)进一步完善管理制度
集团企业的制度体系不仅需要达到主管部门的要求,还需要与内部控制文档匹配和互补,且需要具有可操作性。同时,集团企业应适时修订与完善各所属子企业的管理制度体系,以满足集团企业内协同发展的需要。
(二)实现内部控制与风险管理的整合
集团企业可在董事会下设一个独立委员会——风险管理委员会,专门负责对集团内各层面存在的风险进行分析和评价,并提出风险应对策略,实现内部控制与风险管理的有效整合,构建一套行之有效的风险管理体制。
(三)加强内部控制监督与考核
集团企业应进一步明确内部控制责任,把各部门、各分子企业的内部控制建立健全情况纳入业绩考核评价机制,增强内部控制建设人员与执行人员对内部控制运行的责任感和重视程度,从而保证内部控制的有效性。
(四)以人为本,加强对“人”的控制。
1.加强对员工的内部控制培训
企业内部控制设计和运行的有效性很大程度上取决于全体员工对内部控制的理解,作为集团企业,对员工开展对应侧重点的培训对内部控制的建设和运行非常必要。通过培训将内部控制管理观念、行为规范由管理层贯彻落实到基层,使全体员工从观念和意识上认识到建立内部控制体系对集团企业发展的重要作用。
2.必须重视对管理人员的选用
内部控制体系设计得再完善,若没有称职的管理人员来执行,也不能发挥作用。集团企业的用人政策直接影响着能否吸收有较高能力的人员执行内部控制体系,因此必须重视对管理人员的选用,提高管理人员的素质并定期进行考评,奖优罚劣。
(五)建立完善的信息交流系统
集团企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的可用性。集团企业可以通过财务会计资料、经营管理资料、问卷调查、访谈、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。外部信息可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道获取。集团企业的所有员工应当充分理解和执行现行制度和程序,确保相关信息传达到应被传达到的人员,并保证信息的及时处理。同时,集团企业要把信息系统进行有效整合,构建一个一体化的信息系统,实现信息实时共享,达到内部控制与信息化的有效整合,实现风险实时预警与系统自动控制。