从踏上内审岗位之日起,有幸赶上我国内控建设发展年代,最大的感受仃几点:一是我国企业内控建设正在积极实施和推进过程中,且比预期要好; 二是面对“五部委”的要求,全社会、各企业对内控建没的认知程度有待提高;三是内控规范实施需要仃计划,有步骤、逐步,稳妥的持续进行。
一,内控建设起源
内部控制起源于西方,尤其是自1992年9月,美国反虚假财务报告委员会的发起组织委员会(COSO)发布了一份报告《内部控制:整合框架》,提出了内部控制的三项目标和五大要素,标志着美国的内部控制进入了一个新的发展阶段。
内部控制这一概念导入我国不过近10年的历史。2008年6月28日,财政部、证监委、审计署、银监会、保监会在北京联合召开企业内部控制基本规范发布会,发布了《企业内部控制基本规范》。2010年4月24日,五部委在北京正式发布《企业内部控制配套指引》,标志着我国的内部控制体系建设取得重大突破,进入了一个全新格局。
二、提升认知水平
从某种程度上来讲,内控真正弓\起国资管理部门和国企经营管理者的重视不过也就是近几年的事情。因此,很多企业对内控的认知水平并不高,认识往往仅局限在内部监督或内部控制制度等简单层面,并未了解这种模式的优点是增加了风险评估要素,可以利用已经发生的事情来进行分析,减少事后发生风险的可能性,使它成为一个既控制舞弊又控制风险的控制模式。例如,通过内控测试发现,下属企业与营业执照经营范围无“食品批发与销售”资质,食品流通许可证经营方式为“食品销售管理”,而非“批发”或“零售”的供应商有采购业务往来,我们可以判断出潜在的风险,若出现食品质量安全问题,可能使企业遭受经济损失、信誉损失,引发企业的经营风险及法律风险。由此可见,企业内部控制的目标之一是要将从控制事后风险逐渐向控制事前风险过渡和转化。通过控制风险,企业内部控制将会同步发现自身问题和机遇,有利于企业持续、健康发展。
因此,董事会、监事会、管理层及全体员工对内控的认知程度,直接影响了内控的建设和实施,企业的内控建设首先要扫清的障碍是对内控认知的混乱,提高全社会、各企业对内控建设的正确认知乃重中之重。
三、浅淡内控规范实施
根据“五部委”要求,内控评估实施时间自2012年1月1日起在上海证券交易所、深证证券交易所主板上市公司施行。为有序、适时、稳妥、有效落实该项工作,拟作分步推进。
步骤一、制定年度内控实施工作方案及具体行动计划
企业年度内部控制规划实施工作方案要求涵盖公司基本情况、内部控制工作的组织领导、内部控制建设工作计划、内部控制自我评价工作计划及内部控制审计工作计划。
公司基本情况应包括公司简称、股票代码、上市情况、组织架构、公司性质、资产规模、经营范围、控股子公司情况、参股公司情况等。
内部控制工作的组织领导应明确①公司设立内部控制推进工作小组、内控规范实施工作负责人、牵头部门及内部控制推进工作小组成员、组长、副组长等。②聘请外部咨询机构为公司在内控规范实施工作中提供相关专业支持。③内部控制规范实施工作预算费用。
内部控制建设工作计划应首先制定内控缺陷整改方案,根据已查找出的内控缺陷,完成内控缺陷整改方案。其次落实内控缺陷整改工作,各责任部门根据内控缺陷整改方案完成整改工作;计划财务部、董秘室、审计室等检查整改效果。再次确定内控实施工作情况披露,董事会将按照上市公司信息披露要求,在定期报告中及时披露内控实施工作情况。
内部控制自我评价工作计划应包括①拟定自我评价工作计划,明确纳入评价范围的子公司和业务流程,确定评价工作的时间表、人员分工等;②确定内控缺陷评价标准,根据《企业内部控制评价指引》对一般缺陷、重要缺陷和重大缺陷的定义确定评价标准,评价标准将包括定性标准和定量标准;③组织实施评价提出整改建议,根据经批准的内控自我评价计划,组织实施内控自我评价工作,提出整改建议;④编制并披露内控自我评价报告,根据缺陷评价汇总表和责任部门及所属企业整改情况,编制内部控制自我评价报告,报经董事会批准,审议通过后按照监管要求对外披露。 内部控制审计工作计划应确定内控外部审计机构,对以某年某月某日为基准日的财务报告内部控制设计与运行有效性发表审计意见,出具内部控制审计报告。
具体行动计划分解到月,列明每月内控工作推进的内容、责任人、工作目标及需要协调资源等。
步骤二、明确内控工作组织领导和工作小组
首席执行官为内控规范实施工作负责人,并由审计室牵头与纪检监察室、董秘室、办公室、计划财务部、投资发展部、人力资源部等相关人员组成内部控制推进工作小组;下属各企业的董事长或总经理为本企业内部控制第一责任人。
步骤三、搭建培训师队伍,开展《企业内控手册》专题培训
抽调总部各职能部门专业人员担任培训师,结合实际,就《企业内控手册》涉及各专业板块的风险描述、风险控制对下属企业进行专题培训,并有合格会计师事务所内控专家对关键风控点作点评。
步骤四、启动内控宣贯动员大会
首席执行官作内控宣贯总动员,学院内控教授或行业内控专家配合总动员作《企业内控与风险管理》专题报告,以生动、形象、深刻的案例说明内控工作的重要性。出席对象总部各职能部门负责人、企业总经理、财务总监、审计主任等部门负责人。
步骤五、各类测试模版的编制
组织相关人员着手编制《内控规范自我评价调查问卷》、各主流程内控独立测评测试程序及《内控测试工作底稿》模版等。关键内控活动测试工作表应包括被测试单位名称、测试业务流程、子流程、控制责任人、控制活动编号、控制活动描述、控制类型、控制频率、样本量、测试程序、测试记录,测试结果等具体内容。
步骤六、下达《关于开展企业内部控制规范自测自评的通知》
《通知》中应明确自测自评范围、自测期间、自测方式、自测跟踪、测试评估等相关要求。
自测自评范围,某公司所有附属公司,包括各分公司、子公司和总部各部室。
自测期间,总体以某年工作轨迹作为自测自评重点。总部职能部门及所属相关企业以某年第一季度作为自测自评重点;自测跟踪扩展到某月份;测试评估扩展到评估日。
自测方式,总部职能部门及所属相关企业依据总部下发的《内部控制规范自我评价调查问卷》所涉及公司层面、财务报表编制与披露、长期股权投资管理、人力资源管理,固定资产管理、无形资产管理、合同档案管理等某个主流程,某个子流程的相关内容,逐项逐条认真对标。
对标使用文件:总部各职能部门对标使用附件二①,某板块对标使用附件二②,其他企业对标使用附件二③。
各相关企业及部门应将对标情况,如控制描述是否有变化、控制设计是否有效、控制执行是否有效等如实、完整记录在问卷中,并妥善保存对标的相关资料,以备核查。同时,根据对标记录反映的结果,形成本企业、本部门的自测自评报告。
自测跟踪,企业完成对标工作后,总部各职能部门应组织力量对各企业对口部门进行后续跟踪,并应就跟踪发现的未达标情况,提请企业限时整改。同时,将跟踪情况形成汇总报告,提交总部内控工作推进小组。
测试评估,总部内控工作推进小组将派内控规范测试小组,对纳入评价范围分子公司,按照确定的关键业务流程及其控制活动的测试程序进行测试。
步骤七、构建两支队伍,做好测试跟踪及测试评估
一支队伍,由总部各职能部门专业人士组成,落实《通知》要求的自测跟踪;另一支队伍,由总部内审与外部专业人士共同组成测试小组,落实《通知》要求的测试评估。
步骤八、进行现场测试
通过现场访谈,了解被测试企业所涉及的关键业务主流程内控设计和执行有效性;并对相关子流程所对应的控制活动实施实地测试、穿行测试、抽样测试等。
步骤九、编制、复核测试工作底稿,出具内控测试报告
测试小组编制、复核被测试企业测试工作底稿,并与被测试企业就测试情况进行沟通,交换意见,形成测试结果和整改建议汇总表,出具被测试企业内控测试报告。内控测试报告内容涵盖项目立项依据、被测试企业、测试期间、测试流程、测试方法、测试结果及测试发现的问题、存在风险及整改建议等。
步骤十、下达整改任务书
对被测试企业下达整改任务书。
步骤十一、内控测试结果运用
对一些易在不同企业重复发生的情况进行提炼,形成《内控测试若干缺陷发现、分析和整改要求》下发所有企业,要求各企业对照本企业情况,举一反三,避免类似情况在本企业重复发生,引导企业将从控制事后风险逐渐向控制事前风险过渡和转化,不断提高企业经营管理者对法律、财务、经营等方面风险防范意识。