前篇主要對上市公司內控體系建設的組織模式���、建設范圍���、設計思路�、內控管理診斷的依據和維度進行簡要闡述;本篇主要對內控體系落地實施管理、與其他管理體系的融合(IT�、風控體系��、三標體系等)等方面策略進行闡述�,為企業內控體系建設及實施提供一定的指導。
一、內控體系建設步驟
內控體系建設從內部控制梳理�、優化到內部控制的評價及審計四個主要步驟��,如圖1所示:
圖1:內部控制體系建設步驟
內控體系建設歸納即為:搭框架、找風險、建規則���、持續評價與提升。
二、企業內控體系落地及持續改進
企業在完成內控體系初步建設完成后具體推行過程中,由于企業內部部門和員工或因對新的內控制度理解不夠��,或因由于長期工作習慣難以改變,或因內控制度變革觸及自身利益而不愿遵循�,使得內控制度在一段時期內不能落到實處��。如何真正將內控體系有效執行下去,并保持內控體系的持續完善和提高��,是很多企業管理層迫切需要解決的難題�。
從多家企業內控建設經驗來看,為了切實將內控制度體系真正“落地”��,企業應通過全方位內控培訓���、加強內控檢查與監督�、完善考核及激勵機制、加強人才培養以及借助第三方專業機構的持續輔導等措施��,來有力地保證了內控建設的落地及持續完善���,從而使內控體系建設取得了良好的成效�。
(一)注重內控環境建設,進行全方位內控培訓
第一�,加強組織環境建設�。由管理高層成立了內控工作領導小組��,各子公司管理層對應的成立內控管理小組;在部門設置上���,需要有內控部門�,如有下屬子公司���,還需要根據其規模大小設立內控部或內控負責崗��,負責內控建設工作;在內控監督上,加強審計部門內控評價和檢查的功能��,并由企業董事會的審計委員會直接領導��,在規模較大的子公司同時設立內部審計專員�,負責子公司的內控自查��。
第二��,通過一系列的培訓和輔導,提高各層級管理人員和基礎員工對內控理念的認識,營造有利的內控工作開展的文化環境��。
第三��,抓好以普及內控基本知識�、營造內控實施環境的宣傳工作���。比如有些公司內控部組織編制了《內控宣傳手冊》��,在股份公司各職能部門和下屬公司主要管理人員范圍內發放學習�。
第四��,根據內控規范實施的進度���,圍繞內部控制的各個方面���,開展了包括基礎理念�、管理制度���、風險評估��、內控評價�、內控考核在內的各類集中的專題培訓�,推進對內控制度的編制和實施。
(二)建立內控推進的溝通機制���,保證內控建設持續性和問題解決的及時性��。
為了保證推進的執行力�,企業需要開展了全方位的信息溝通機制���,實現了信息的實時傳遞���,和通暢的上傳下達���。比如某公司建立周例會制度�、進行內控體系的月度工作總結等,同時建立了重大項目的單獨匯報機制��,即各子公司的內控負責人對于子公司內控建設中發現的重大問題要求及時向內控領導小組和公司內控部門進行匯報,以實時處理可能的重大風險���。
(三)完善內控評價檢查機制,建立了多層次的內控檢查體系���。
為了保證內控制度的落地和真正有效的執行,某公司從各子公司到股份公司的內控部門和審計部門��,再到外部獨立的第三方中介���,建立了全方位的內控評價和檢查體系��。股份公司內控部門對各業務循環定期開展內控檢查�,通過發放內控調查清單以及內控專員的現場檢查��,發現子公司在內控建設中的不足�,并及時下發工作聯系函���。
股份公司審計部門對各子公司每年開展兩次的內控評價�。為了實現評價的量化和標準化,審計部門編制了內控評價底稿通過檢查,對子公司形成內控建設的量化評價��,針對檢查中發現的問題出具改進建議��,并要求各子公司在規定的時間內予以整改,總部內控部對子公司整改措施和整改質量進行全程的監督�,整改完成后��,審計部門及時予以復查,確保審計中發現的問題能及時整改���。
(四)將內控建設納入績效考核,通過獎懲機制實現內控的有效性���。
為有效發揮各下屬子公司的管理者在內控推進中的作用和積極性,有些公司將審計部對各子公司的內控評價結果納入其管理班子的績效考核的指標中�,明確管理班子對于內部控制建設的責任和關鍵任務���。對于股份公司向各子公司委派的重要人員績效考核也直接與內控建設掛鉤���。
(五)加強內控隊伍建設���,促進持續發展
隨著內控工作的不斷深入�,內控隊伍更加需要理論精��、業務強��、視野廣、思想新的高素質人才�,因此��,要思考構建多渠道、多層次的內控人員培養管理模式�。加強對內控工作人員的綜合素質培養�,不僅要關注行業先進理念和趨勢���,還要關注公司發展��,學習了解公司各版塊的業務制度流程���,加強理論學習與公司實際相結合,加強學習培訓與實踐相結合。要通過理論培訓、業務培訓等方式���,建立多層次、多元化的培訓體系,要通過外部招聘��、內部引入等模式構多渠道的人才儲備機制�,形成結構多元、梯次合理的人才隊伍,為內控工作的持續深入開展提供強有力的保障�。
(六)充分發揮專業中介機構力量
很多企業在開始建立內控體系時聘請的專業咨詢公司提供咨詢服務��,在整個體系建立過程中,充分發揮咨詢公司專業力量,并聘請專業顧問對公司人員進行培訓,提高公司人員內控理念和技能�。在內控體系初步建立之后���,仍繼續與咨詢公司保持合作�,借助咨詢公司在專業及獨立性方面優勢��,共同推進公司內控持續建設工作��,在內控持續建設工作中,專業咨詢公司提供了大量了專業意見和培訓輔導服務,幫助公司完善各項成果��,使得公司的內控持續建設得到有效推行���。
三、內控體系融合其他體系,發揮作用
內控體系作為管理體系一部分,必須與企業的風控體系�、IT體系�、三標體系進行融合��,發揮應有的作用�。
(一)內控體系與風控體系的關系及融合
第一���,風險管理體系是內控體系風險評估的前提���。
風險管理中制定企業戰略��、設定風險管理目標和圍繞戰略目標進行風險評估��,相比內部控制體的風險評估,是更高層次的管理活動�,只有在設定風險管理目標后,才能根據這一目標進行內部控制的風險識別和評估。同時,內部控制是風險管理的重要手段��,風險管理體系下制定戰略目標�、圍繞戰略目標進行風險評估,是內部控制體系進行風險評估的前提。
第二�,內部控制體系依賴于風險管理體系���。
由于內控體系的側重點主要集中在財務方面�,雖然對公司戰略���、人力資源等企業管理的其他層面有所覆蓋��,但是實際操作中仍然有所被疏忽,其自身的風險需要其他的管理體系加以識別和評估���。而全面風險管理除關注財務外���,還強調其他方面的管理�,
并對內部控制體系的自身風險進行識別和評估�,建立相應的風險應對機制���。
第三���,風險管理體系是內部控制體系的拓展和升華
對比內部控制體系�,風險管理具有全局觀���、整體觀��。內部控制多從單項業務��、單項風險、個別部門出發�,對風險進行識別和評估���,而風險管理體系提出了“風險組合管理”新概念��,根據資產組合理論,多元化的資產組合可以降低投資風險��,應用于企業風險管理體系���,一個企業的不同風險可能互相增強��,也可能互相抵減��,或者單個部門的風險在各部門自身的風險容忍度范圍之內�,但整體來看可能超出企業的風險容忍度�,因而要從全局來看風險對企業的整體影響。
風險管理的整體觀建立在對單項業務�、單項風險的分析基礎上�,是對企業各部門局部風險的整合和提升,且根據企業戰略目標提供了一個整體的解決框架���,確保各部門的活動符合企業整體利益���。因此��,風險管理體系是內部控制提的拓展和升華���。
(二)內控體系與IT體系的融合
企業內控體系建設需要將企業內部控制管理與企業的各個業務線條進行融合��。在大多數企業已經建立了業務信息系統的基礎上��,可以應用信息化手段作為建立內部控制體系的工具��,充分利用信息系統之間的可集成性��,把企業的內部控制管理工作融合在企業的業務流程中��。
在內部控制梳理階段,企業可以借助信息化手段完成對業務流程的梳理工作,并將梳理的成果以信息化的方式進行展示和管理��。
在內部控制優化階段,企業可以對內部控制的優化工作進行統一的規劃和管理,控制優化整改工作的進度��。
在內部控制評價階段���,利用信息化手段可以解決企業分散所帶來的跨空間作業的問題�,以更高的效率來完成內部控制的評價工作。企業發現在內控評價中發現的控制缺陷可以利用信息系統進行集中分析和整改���,對整改任務、整改進度、整改結果進行有效的管理和跟蹤�,加強整改進度力度�,提高工作效率��。
在內部控制評價報告的編制及披露階段���,信息系統可以將企業標準的內部控制管理報告模板進行固化��,在此模板下,企業的內部控制管理人員將通過信息對以往的內部控制管理工作進行總結,搜集報告需要的素材���。
在企業接受內部控制審計時,企業可以依托信息系統強大的數據收集�、整理���、匯總���、分析能力�,向外部審計師提供所需的樣本和材料��,從而能夠保證樣本�、材料的真實性和時效性��,業務審計師和企業節省時間和人力成本�。
(三)內控體系與“三標”體系的融合
一般企業在建立“ISO質量(QMS)��、環境(EMS)��、職業健康安全(OHSAS)三個管理體系(以下簡稱“三標”體系)和內部控制體系時,會出現一定的疑惑��,體系之間如何更好的融合�,發揮體系應有的作用。
“三標”體系重點活動是涉及為顧客提供產品或服務的相關活動��,是從滿足顧客角度、從業者健康安全角度和社會環境角度��,審視企業管理��,較少涉及預算管理、戰略管理�、資金管理,并側重于質量風險及控制措施的紀錄情況�,內控體系重點活動涉及戰略管理��、資金管理�、預算管理�、資產管理���、研發�、工程項目���、擔保業務、業務外包���、財務報告、合同管理��、信息系統��、內部信息傳遞,并側重于運營效率的提高���,從管理目標來看,內控體系更加完整。
內控體系全面���、系統的識別出影響目標實現的風險,強調明晰的控制步驟和控制措施,通過流程化管理對風險進行防控;“三標”一體化體系將風險防控隱含在活動過程中���,未將風險系統的���、明確的識別出,容易出現管理漏洞。
目前���,“三標”體系不斷根據企業運行環境進行更新升級,由早期的質量管理體系,擴展到健康、環境�、安全管理體系��,是與時俱進,適應環境不斷變化的結果,也是質量管理體系內在要求���。隨著“三標”體系的發展,“三標”體系目前已經逐漸覆蓋企業的資產管理�、預算管理�、資金管理活動��,向真正全面的管理體系演變���。
內部控制與一體化體系是全面與局部的關系���,一體化體系是實現內部控制三個具體目標中(經營效率與效果�、財務報告可靠和遵紀守法)中的經營效率與效果目標的很好的實施工具��。
無論是“三標”管理體系�,還是內控體系�,都是企業經營管理運行中必不可少的管理手段,也是為滿足并獲得和保持某種資格或監管部門強制性要求而開展的管理活動��,都要依據有關法律��、法規、標準�,結合行業和企業特點��,建立并實施一整套企業內部管理制度?!叭龢恕惫芾眢w系文件中大部分可以作為內控體系文件的組成部分���,是企業經營管理中的基礎���,是一個企業長期穩定發展必不可少的基本元素��。所以���,在建立企業管理制度時�,應統籌考慮管理體系和內控體系�,建立一套同時滿足二者要求的統一的管理制度。對二者重合部分��,應順次依照要求較高的條款建立制度��,實施管理��,以同時滿足二者的要求,這部分的管理制度二者共用�。對非重合部分���,應根據兩個體系的要求單獨建立控制制度并實施監督��。
總之,企業內控體系的建設不是推倒重來�,而是結合企業的實際情況��,將散布于企業管理各個方面的相關元素按照框架的要求和標準進行補充、修正和組合��。使企業的內控體系更具系統性和科學性��。內控咨詢產品的形成���,一是能保證工作的有序推進,二是對開展內部控制體系建設工作進行了整體策劃���,明確了建設目標、建設思路�、建設方法��,確定了項目建設階段,并為企業提出明確的實施工作計劃��。企業建立內控體系就應該真正把內控作為強化企業管理的抓手��,緊密結合企業實際���,總結管理經驗���,優化控制環境�,不斷創新��,推進管理水平提升��。
文/劉必強(高級顧問)
