五部委《企業內部控制基本規范》對上市公司所要求的執行時間2009年7月1日即將到來,然而如何建設內部控制體系對絕大多數的公司而言,還是個全新的課題。基于五部委的要求和國際上先進經驗,我們給出了上市公司內部控制體系建設流程,以輔助上市公司內部控制體系建設,具體流程如下:
一、梳理企業現有治理結構、完善組織設計及部門設置
圖1 內控環境構建流程
合理的公司治理結構既是內控環境的組成部分,又是內控體系得以順利實現的基礎,所以上市公司首先應該明確自己的戰略目標,根據戰略目標規范治理結構,對現有組織結構、部門職責進行全方位的梳理,同時還要按照五部委的《內控規范》設立相應的內控部門及部門職責。其次,上市公司還應在上述基礎上對公司所有的規章制度進行查缺補漏,整合成符合公司實際需求的制度體系。
二、建立內部控制系統
世界上不存在兩個完全相同的企業,即便是同一行業中的兩個企業,銷售同類型的產品,都會在運營管理中體現出不同的文化特色、管理風格,這就決定了每個企業一定會有自己所特有的內控環境,因而其內部控制系統也一定是各有差異、各具特色。
企業內部控制的主要目標是為了經營合規合法、運作高效率、控制風險。為此,構建企業內部控制系統應該是一個長期、動態持續的過程,一般可以分為以下幾階段:
1.對企業風險進行系統評估。
圖2 企業風險評估體系
風險評估是被國內企業最容易忽視的環節,而實際上,這個環節卻是建立企業內控體系的一個至關重要的前提。企業應當基于所處行業的特色和企業自身的業務特征,利用專業的評估工具對企業的內外風險進行量化的分析,對風險可能發生的頻率和后果賦值,計量風險的嚴重程度,同時設定企業對風險的容忍限度,對診斷出的所有風險進行排序,隨后建立相應的風險數據庫及風險應對策略。
2.建立書面的內部管理手冊。
圖3 企業內部管理手冊建立流程
在前述建立的風險數據庫的前提下,企業的任務是對應于上述風險數據庫對企業整個運營管理流程進行分類,針對具體業務流程(明細程度可能根據企業的控制目標具體界定)確定關鍵崗位、職責表,描述關鍵控制點及相關的關鍵控制活動,分析不相容職務表(詳見“立信銳思——如何企業內部管理手冊”)。
企業的內部管理手冊應該是系統的、可操作的,所以在內部管理手冊的最后應當有相應控制活動的對應內審程序及職責表,以便于企業持續的監督,也就是在內控設計有效的基礎上確保執行的有效性。
3.對企業內部管理手冊的執行進行持續監督。
在以往的國有上市公司內控失敗的案例中,很多企業已經制訂了防范風險的控制制度,這些制度設計雖不能避免所有的風險,但至少可以保證不會導致企業破產清算,難以持續經營。他們的失敗不在于缺乏制度,而在于缺乏監督,致使制度形同虛設,舞弊肆虐、管理完全失效。
企業在建立了內部管理手冊以后,由專門的、職責獨立的內審部門負責日常的監督,并及時直接地向企業內部控制委員會匯報、實施有效控制。
對企業來說,僅實施日常監督是不夠的,內部控制委員會還要制定專項監督制度,對企業的非經常性項目進行不定期的監督,以防止預想之外的風險發生。
4.根據企業的外部環境及內部業務的變化對內控體系進行動態更新。
企業在業務發展的過程中會發生大小各異的內部變化,小到低層員工的變動,大到經營模式的變化,這些變動累積到一定程度會導致原有的風險手冊和內控管理手冊不再符合企業的實際,特別是2008年全球金融危機,企業面臨著及其嚴酷的競爭環境,該環境加劇了企業風險的可變性。因此,企業的內控體系也應該是一個動態更新的過程。
這個動態更新的過程即可以是漸進式的(當內外部變化不是非常劇烈時),也可以急進的、全新式的(當內外部發生的革命性的變化時)。
規范公司內部控制制度的執行和評價報告制度是公司首次執行公司內部控制評價報告制度最困難的一件任務。首次執行大規模的動態更新對于許多公司來說,并不是一件易事。
我們建議企業在首次建立內控體系或重大動態更新時選擇第三方的權威中介機構,既可以借助其專業知識為企業量身定做內控體系,也可以通過培訓方式培養企業自身的內控理念和意識。
三、對外披露:內控自我評估及內控鑒證 1.內控自我評估。
企業根據國家有關法律、行政法規或者有關監管規則的規定提交并披露(以財務報告為主的)內部控制自我評估報告時,還應當在該報告中披露以下內容:
(1)聲明企業董事會對建立健全和有效實施內部控制負責,并履行了指導和監督職責,能夠保證財務報告的真實可靠和資產的安全完整。
(2)聲明已經遵循有關的標準和程序對內部控制設計與運行的健全性、合理性和有效性進行了自我評估。
(3)對開展內部控制自我評估所涉及的范圍和內容進行簡要描述。
(4)聲明通過內部控制自我評估,可以合理保證本企業的內部控制不存在重大缺陷。
(5)如果在自我評估過程中發現內部控制存在重大缺陷,應當披露有關的重大缺陷及其影響,并專項說明擬采取的改進措施。
(6)保證除了已披露的內部控制重大缺陷之外,不存在其他重大缺陷。
(7)自資產負債表日至內部控制自我評估報告報出日之間(以下簡稱報告期內)如果內部控制的設計與運行發生重大變化的,應當說明重大變化情況及其影響。
(8)依法及時披露的內部控制自我評估報告,經董事會審議批準后公布。
2.內控鑒證。
根據國家有關法律、行政法規規定或者監管協議約定應當實行內部控制審計或者評價的企業,應對內部控制審計或者評價工作予以配合。接受委托執行內部控制審計或者評價業務的社會中介機構,應當嚴格遵照相關法律法規、執業準則和本規范的規定辦理相關業務,保持客觀獨立性,并對出具的內部控制審計或者評價報告的合法性、公允性負責。(未完待續)
(作者單位:復旦大學管理學院、立信銳思內控中心)
