论文部分内容阅读
【摘要】 本文以在美国上市的A公司为例,介绍了A公司为满足美国资本市场监管要求,选用COSO内控框架进行内部控制体系设计并积极执行的情况,引申思考了中国企业在经历“要我做”到“我要做”并必然走向“做我要”的内部控制建设中值得注意的六大问题,提出了中国企业内部控制从设计合理到执行有效飞跃过程中要解决的七大关键问题。
【关键词】 内部控制;建设;有效
一、引言
从国际上内部控制规范建设情况来看,伴随着近十年令人震惊的公司丑闻和失败事件,新的立法、标准、准则以及指南也相应出台,如COSO(美国反对虚假财务报告委员会下的发起委员会 )、特恩布尔(英国)、COCO(加拿大特许会计师协会下的控制标准委员会)以及2002年的美国萨班斯——奥克斯利法案(以下称为萨班斯法案)等。在中国,2006年上海证券交易所、深圳证券交易所分别发布《上市公司内部控制指引》,国资委出台了《中央企业全面风险管理指引》,财政部成立了中国企业内部控制标准委员会,组织起草了《企业内部控制规范——基本规范》和17项具体规范的征求意见稿,旨在促使企业构建起完善的内部控制体系和机制。国内外内部控制规范已经覆盖了全球所有的资本市场,内部控制日益成为企业进入资本市场的“入门证”和“通行证”。中国企业无论是走向世界或是在国内市场生存发展,迫于市场及其监管的要求,都要建立并实践完善的内部控制体系。
从内部控制理论沿革的轨迹分析,内部控制经历了由内部牵制、内部控制制度、内部控制结构到内部控制整体框架的变化;由零散的内部控制、专项的内部控制、系统的内部控制到综合的内部控制的变化;伴随着内部控制的要素从“三要素”到“五要素”到“八要素”的变化,其形象图从平面图到三面锥形图再到八面立体图,这不仅是概念的翻新、控制内容的深化,更是其包含属性的演变,是由自发的无意识的内部控制,到自觉的有主观目的内部控制,再到有管制、规范要求的他律性的内部控制过程,这为内部控制的实践拓展了更加广阔的平台。
从中国企业内部控制的实践观察,我国对内部控制的研究和实践起步较晚,在20世纪90年代才得到发展。目前多数上市公司是由原国有企业进行股份制改造而来的,其管理和内部控制水平参差不齐,有些企业甚至连基本的内部牵制都达不到,大部分企业的管理和控制水平处于内部控制结构阶段。但基于国内外市场及其监管的要求,中国企业又急切地认识到建立完善的内部控制的意义,迫切需求构建起完善的内部控制体系,正在经历“要我做——我要做——做我要”的转变。内部控制的“要我做”阶段,就是企业在外界市场和政策的压力下,被动、形式化地建立内部控制,内部控制多属于“挂在嘴上说,放在桌上看”的“摆设”;内部控制的“我要做”阶段,就是企业从生产经营中的风险认识到要实践内部控制,以减少企业纯风险发生的可能性,但内部控制建设仍处于“法规政策要求什么做什么”、“人有我有”的阶段;内部控制的“做我要”阶段,就是企业从整体战略和风险的角度出发,主动利用实践内部控制为实现公司目标服务,为企业价值增值服务,内部控制在政策规定的框架下随着实践个体的丰富而各具特色。目前,中国企业正在经历“要我做——我要做”的转变,也必然要走向“做我要”的阶段。为此,笔者以A公司内部控制实践的经验,讨论我国企业内控建设中如何促使企业实现内部控制从设计合理到执行有效的飞跃。
二、A公司内部控制实践情况
A公司发行的美国存托股份及H股于2000年分别在纽约证券交易所及香港联合交易所有限公司挂牌上市。为遵循上市地监管的要求,2005年,A公司由总裁负责,各部门负责人参与,内部控制部牵头,进一步完善了内部控制。
(一)构建和完善内部控制的具体步骤
为了符合美国资本市场监管的要求,A公司按照以下流程构建和完善内部控制:
1. 明确内部控制建设计划。
(1)启动阶段,主要完成了管理的组织架构和前期培训,全面了解法案和COSO框架的内容及要求,明确工作目标,编制工作计划。(2)体系建设阶段,完成体系建设的范围界定、开展流程描述和风险评估;通过建立风险控制文档进行差异分析,查找控制的缺失并进行改进;随着与萨班斯法案配套的审计准则和规范的陆续出台,在前期梳理流程和风险分析的基础上,初步建立起内控体系,形成“统一设计、集中培训、试点先行、全面推广”的工作推进方式。(3)实施改进阶段。实施公司内部控制体系,明确公司层面控制和业务层面控制的关键控制,开展体系试运行,并进行符合性检查;(4)测试与审计阶段。按照“测试-整改-再测试-确保有效”这一主线,公司开展管理层测试并接受外部审计,在此基础上实施跟踪整改。确保在年度外部审计中,每年都对内部控制进行审计与测试,以持续开展内控体系维护及改进,保证体系长期有效运行。
2. 流程描述、风险控制分析。
在总裁负责下,由内部控制部门牵头,直接参与人员约1 600余人,对照COSO标准以及国外内部控制的最佳实践,展开业务流程描述、风险控制分析。具体流程为:业务流程描述→在每个流程中通过风险识别机制确定重大风险点→对重大风险进行控制→确定关键控制环节→识别关键控制点。
3. 形成内部控制管理手册。
公司按照补充、完善、填补空缺循序渐进的路径对涉及的10 000余个相关制度、规定和规范进行了制定、修订和完善,完成了2. 1万余个流程图的绘制、1. 2万余个风险控制文档的编制,梳理完善文件制度近8 600项,覆盖了公司主要经营管理环节和岗位,建立起完整的内部控制文档化体系,把过去零碎、局部的制度完善为一个统一整体,并在整体上强调基础制度的统一与规范。
(二)落实内部控制的具体措施
为了使花大力气完善的内部控制真正得到贯彻落实,A公司从上到下、从下到上实施了全方位的改善:
1. 以内部控制体系框架为指引,分解企业的工作目标,协调内控与企业发展目标。
从控制环境、风险评估、控制活动、沟通与监督5个方面分解企业的目标,围绕目标落实每个部门和人员的工作责任,共同为企业价值增值服务。
2. 重新构建企业组织构架,明确职责与权限,为实践内部控制提供组织保证。
为了保证在总裁领导下的决策、管理、执行、监督四个层次的管理架构真正形成一个开放性的、动态循环系统,内控项目建设委员会、内部部门、审计监察部门等内部控制相关部门的职责明确分工。
3. 动态评估中促使内部控制不断改善,使企业形成一个开放的动态的控制循环。
由于本身固有的限制、由于企业经营管理活动变化以及人的因素,设计再完善的内部控制也会出现控制无效的现象,因此,为了减少内部控制失效的概率,需要不断对内部控制设计及其运行进行评估,并在评估的基础上提出相关咨询意见,通过信息和沟通的传递促使内部控制在不断纠正改善中形成一个科学、合理的动态控制循环。
A公司的动态评估是以自我评估为主的持续监督结合内部审计或稽查部门的独立评估,通过汇总、报告以及传递缺陷报告来完成其使命的。
4. 签署责任书,建立激励和约束机制。
A公司在落实职责方面,通过“两卡一表”来明确责任与规范,各单位普遍建立本单位各部门、下属各单位的《内控工作执行要点卡》,明确每个部门的内控职责;在执行层面,各单位编制《员工岗位内控执行卡》,明确每个岗位的内控职责。同时,通过部门审计的规章制度表来明确各个部门必须执行的制度。在此基础上,各个部门领导和各个岗位负责人签署责任书,明确各自对内部控制的责任, 公司也将内部控制执行作为一项重要指标,纳入对高管人员的业绩考核中,内控考核权重占业绩考核的5%。为落实考核工作,制定了《内部控制执行考核暂行规定》,明确了考核标准,成立了内部控制执行考核小组。地区公司对内控考核指标实行层层分解,落实到了具体的部门、岗位和个人,为内部控制有效执行提供了保障。
【关键词】 内部控制;建设;有效
一、引言
从国际上内部控制规范建设情况来看,伴随着近十年令人震惊的公司丑闻和失败事件,新的立法、标准、准则以及指南也相应出台,如COSO(美国反对虚假财务报告委员会下的发起委员会 )、特恩布尔(英国)、COCO(加拿大特许会计师协会下的控制标准委员会)以及2002年的美国萨班斯——奥克斯利法案(以下称为萨班斯法案)等。在中国,2006年上海证券交易所、深圳证券交易所分别发布《上市公司内部控制指引》,国资委出台了《中央企业全面风险管理指引》,财政部成立了中国企业内部控制标准委员会,组织起草了《企业内部控制规范——基本规范》和17项具体规范的征求意见稿,旨在促使企业构建起完善的内部控制体系和机制。国内外内部控制规范已经覆盖了全球所有的资本市场,内部控制日益成为企业进入资本市场的“入门证”和“通行证”。中国企业无论是走向世界或是在国内市场生存发展,迫于市场及其监管的要求,都要建立并实践完善的内部控制体系。
从内部控制理论沿革的轨迹分析,内部控制经历了由内部牵制、内部控制制度、内部控制结构到内部控制整体框架的变化;由零散的内部控制、专项的内部控制、系统的内部控制到综合的内部控制的变化;伴随着内部控制的要素从“三要素”到“五要素”到“八要素”的变化,其形象图从平面图到三面锥形图再到八面立体图,这不仅是概念的翻新、控制内容的深化,更是其包含属性的演变,是由自发的无意识的内部控制,到自觉的有主观目的内部控制,再到有管制、规范要求的他律性的内部控制过程,这为内部控制的实践拓展了更加广阔的平台。
从中国企业内部控制的实践观察,我国对内部控制的研究和实践起步较晚,在20世纪90年代才得到发展。目前多数上市公司是由原国有企业进行股份制改造而来的,其管理和内部控制水平参差不齐,有些企业甚至连基本的内部牵制都达不到,大部分企业的管理和控制水平处于内部控制结构阶段。但基于国内外市场及其监管的要求,中国企业又急切地认识到建立完善的内部控制的意义,迫切需求构建起完善的内部控制体系,正在经历“要我做——我要做——做我要”的转变。内部控制的“要我做”阶段,就是企业在外界市场和政策的压力下,被动、形式化地建立内部控制,内部控制多属于“挂在嘴上说,放在桌上看”的“摆设”;内部控制的“我要做”阶段,就是企业从生产经营中的风险认识到要实践内部控制,以减少企业纯风险发生的可能性,但内部控制建设仍处于“法规政策要求什么做什么”、“人有我有”的阶段;内部控制的“做我要”阶段,就是企业从整体战略和风险的角度出发,主动利用实践内部控制为实现公司目标服务,为企业价值增值服务,内部控制在政策规定的框架下随着实践个体的丰富而各具特色。目前,中国企业正在经历“要我做——我要做”的转变,也必然要走向“做我要”的阶段。为此,笔者以A公司内部控制实践的经验,讨论我国企业内控建设中如何促使企业实现内部控制从设计合理到执行有效的飞跃。
二、A公司内部控制实践情况
A公司发行的美国存托股份及H股于2000年分别在纽约证券交易所及香港联合交易所有限公司挂牌上市。为遵循上市地监管的要求,2005年,A公司由总裁负责,各部门负责人参与,内部控制部牵头,进一步完善了内部控制。
(一)构建和完善内部控制的具体步骤
为了符合美国资本市场监管的要求,A公司按照以下流程构建和完善内部控制:
1. 明确内部控制建设计划。
(1)启动阶段,主要完成了管理的组织架构和前期培训,全面了解法案和COSO框架的内容及要求,明确工作目标,编制工作计划。(2)体系建设阶段,完成体系建设的范围界定、开展流程描述和风险评估;通过建立风险控制文档进行差异分析,查找控制的缺失并进行改进;随着与萨班斯法案配套的审计准则和规范的陆续出台,在前期梳理流程和风险分析的基础上,初步建立起内控体系,形成“统一设计、集中培训、试点先行、全面推广”的工作推进方式。(3)实施改进阶段。实施公司内部控制体系,明确公司层面控制和业务层面控制的关键控制,开展体系试运行,并进行符合性检查;(4)测试与审计阶段。按照“测试-整改-再测试-确保有效”这一主线,公司开展管理层测试并接受外部审计,在此基础上实施跟踪整改。确保在年度外部审计中,每年都对内部控制进行审计与测试,以持续开展内控体系维护及改进,保证体系长期有效运行。
2. 流程描述、风险控制分析。
在总裁负责下,由内部控制部门牵头,直接参与人员约1 600余人,对照COSO标准以及国外内部控制的最佳实践,展开业务流程描述、风险控制分析。具体流程为:业务流程描述→在每个流程中通过风险识别机制确定重大风险点→对重大风险进行控制→确定关键控制环节→识别关键控制点。
3. 形成内部控制管理手册。
公司按照补充、完善、填补空缺循序渐进的路径对涉及的10 000余个相关制度、规定和规范进行了制定、修订和完善,完成了2. 1万余个流程图的绘制、1. 2万余个风险控制文档的编制,梳理完善文件制度近8 600项,覆盖了公司主要经营管理环节和岗位,建立起完整的内部控制文档化体系,把过去零碎、局部的制度完善为一个统一整体,并在整体上强调基础制度的统一与规范。
(二)落实内部控制的具体措施
为了使花大力气完善的内部控制真正得到贯彻落实,A公司从上到下、从下到上实施了全方位的改善:
1. 以内部控制体系框架为指引,分解企业的工作目标,协调内控与企业发展目标。
从控制环境、风险评估、控制活动、沟通与监督5个方面分解企业的目标,围绕目标落实每个部门和人员的工作责任,共同为企业价值增值服务。
2. 重新构建企业组织构架,明确职责与权限,为实践内部控制提供组织保证。
为了保证在总裁领导下的决策、管理、执行、监督四个层次的管理架构真正形成一个开放性的、动态循环系统,内控项目建设委员会、内部部门、审计监察部门等内部控制相关部门的职责明确分工。
3. 动态评估中促使内部控制不断改善,使企业形成一个开放的动态的控制循环。
由于本身固有的限制、由于企业经营管理活动变化以及人的因素,设计再完善的内部控制也会出现控制无效的现象,因此,为了减少内部控制失效的概率,需要不断对内部控制设计及其运行进行评估,并在评估的基础上提出相关咨询意见,通过信息和沟通的传递促使内部控制在不断纠正改善中形成一个科学、合理的动态控制循环。
A公司的动态评估是以自我评估为主的持续监督结合内部审计或稽查部门的独立评估,通过汇总、报告以及传递缺陷报告来完成其使命的。
4. 签署责任书,建立激励和约束机制。
A公司在落实职责方面,通过“两卡一表”来明确责任与规范,各单位普遍建立本单位各部门、下属各单位的《内控工作执行要点卡》,明确每个部门的内控职责;在执行层面,各单位编制《员工岗位内控执行卡》,明确每个岗位的内控职责。同时,通过部门审计的规章制度表来明确各个部门必须执行的制度。在此基础上,各个部门领导和各个岗位负责人签署责任书,明确各自对内部控制的责任, 公司也将内部控制执行作为一项重要指标,纳入对高管人员的业绩考核中,内控考核权重占业绩考核的5%。为落实考核工作,制定了《内部控制执行考核暂行规定》,明确了考核标准,成立了内部控制执行考核小组。地区公司对内控考核指标实行层层分解,落实到了具体的部门、岗位和个人,为内部控制有效执行提供了保障。