前篇主要对上市公司内控体系建设的组织模式、建设范围、设计思路、内控管理诊断的依据和维度进行简要阐述;本篇主要对内控体系落地实施管理、与其他管理体系的融合(IT、风控体系、三标体系等)等方面策略进行阐述,为企业内控体系建设及实施提供一定的指导。
一、内控体系建设步骤
内控体系建设从内部控制梳理、优化到内部控制的评价及审计四个主要步骤,如图1所示:
图1:内部控制体系建设步骤
内控体系建设归纳即为:搭框架、找风险、建规则、持续评价与提升。
二、企业内控体系落地及持续改进
企业在完成内控体系初步建设完成后具体推行过程中,由于企业内部部门和员工或因对新的内控制度理解不够,或因由于长期工作习惯难以改变,或因内控制度变革触及自身利益而不愿遵循,使得内控制度在一段时期内不能落到实处。如何真正将内控体系有效执行下去,并保持内控体系的持续完善和提高,是很多企业管理层迫切需要解决的难题。
从多家企业内控建设经验来看,为了切实将内控制度体系真正“落地”,企业应通过全方位内控培训、加强内控检查与监督、完善考核及激励机制、加强人才培养以及借助第三方专业机构的持续辅导等措施,来有力地保证了内控建设的落地及持续完善,从而使内控体系建设取得了良好的成效。
(一)注重内控环境建设,进行全方位内控培训
第一,加强组织环境建设。由管理高层成立了内控工作领导小组,各子公司管理层对应的成立内控管理小组;在部门设置上,需要有内控部门,如有下属子公司,还需要根据其规模大小设立内控部或内控负责岗,负责内控建设工作;在内控监督上,加强审计部门内控评价和检查的功能,并由企业董事会的审计委员会直接领导,在规模较大的子公司同时设立内部审计专员,负责子公司的内控自查。
第二,通过一系列的培训和辅导,提高各层级管理人员和基础员工对内控理念的认识,营造有利的内控工作开展的文化环境。
第三,抓好以普及内控基本知识、营造内控实施环境的宣传工作。比如有些公司内控部组织编制了《内控宣传手册》,在股份公司各职能部门和下属公司主要管理人员范围内发放学习。
第四,根据内控规范实施的进度,围绕内部控制的各个方面,开展了包括基础理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训,推进对内控制度的编制和实施。
(二)建立内控推进的沟通机制,保证内控建设持续性和问题解决的及时性。
为了保证推进的执行力,企业需要开展了全方位的信息沟通机制,实现了信息的实时传递,和通畅的上传下达。比如某公司建立周例会制度、进行内控体系的月度工作总结等,同时建立了重大项目的单独汇报机制,即各子公司的内控负责人对于子公司内控建设中发现的重大问题要求及时向内控领导小组和公司内控部门进行汇报,以实时处理可能的重大风险。
(三)完善内控评价检查机制,建立了多层次的内控检查体系。
为了保证内控制度的落地和真正有效的执行,某公司从各子公司到股份公司的内控部门和审计部门,再到外部独立的第三方中介,建立了全方位的内控评价和检查体系。股份公司内控部门对各业务循环定期开展内控检查,通过发放内控调查清单以及内控专员的现场检查,发现子公司在内控建设中的不足,并及时下发工作联系函。
股份公司审计部门对各子公司每年开展两次的内控评价。为了实现评价的量化和标准化,审计部门编制了内控评价底稿通过检查,对子公司形成内控建设的量化评价,针对检查中发现的问题出具改进建议,并要求各子公司在规定的时间内予以整改,总部内控部对子公司整改措施和整改质量进行全程的监督,整改完成后,审计部门及时予以复查,确保审计中发现的问题能及时整改。
(四)将内控建设纳入绩效考核,通过奖惩机制实现内控的有效性。
为有效发挥各下属子公司的管理者在内控推进中的作用和积极性,有些公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中,明确管理班子对于内部控制建设的责任和关键任务。对于股份公司向各子公司委派的重要人员绩效考核也直接与内控建设挂钩。
(五)加强内控队伍建设,促进持续发展
随着内控工作的不断深入,内控队伍更加需要理论精、业务强、视野广、思想新的高素质人才,因此,要思考构建多渠道、多层次的内控人员培养管理模式。加强对内控工作人员的综合素质培养,不仅要关注行业先进理念和趋势,还要关注公司发展,学习了解公司各版块的业务制度流程,加强理论学习与公司实际相结合,加强学习培训与实践相结合。要通过理论培训、业务培训等方式,建立多层次、多元化的培训体系,要通过外部招聘、内部引入等模式构多渠道的人才储备机制,形成结构多元、梯次合理的人才队伍,为内控工作的持续深入开展提供强有力的保障。
(六)充分发挥专业中介机构力量
很多企业在开始建立内控体系时聘请的专业咨询公司提供咨询服务,在整个体系建立过程中,充分发挥咨询公司专业力量,并聘请专业顾问对公司人员进行培训,提高公司人员内控理念和技能。在内控体系初步建立之后,仍继续与咨询公司保持合作,借助咨询公司在专业及独立性方面优势,共同推进公司内控持续建设工作,在内控持续建设工作中,专业咨询公司提供了大量了专业意见和培训辅导服务,帮助公司完善各项成果,使得公司的内控持续建设得到有效推行。
三、内控体系融合其他体系,发挥作用
内控体系作为管理体系一部分,必须与企业的风控体系、IT体系、三标体系进行融合,发挥应有的作用。
(一)内控体系与风控体系的关系及融合
第一,风险管理体系是内控体系风险评估的前提。
风险管理中制定企业战略、设定风险管理目标和围绕战略目标进行风险评估,相比内部控制体的风险评估,是更高层次的管理活动,只有在设定风险管理目标后,才能根据这一目标进行内部控制的风险识别和评估。同时,内部控制是风险管理的重要手段,风险管理体系下制定战略目标、围绕战略目标进行风险评估,是内部控制体系进行风险评估的前提。
第二,内部控制体系依赖于风险管理体系。
由于内控体系的侧重点主要集中在财务方面,虽然对公司战略、人力资源等企业管理的其他层面有所覆盖,但是实际操作中仍然有所被疏忽,其自身的风险需要其他的管理体系加以识别和评估。而全面风险管理除关注财务外,还强调其他方面的管理, 并对内部控制体系的自身风险进行识别和评估,建立相应的风险应对机制。
第三,风险管理体系是内部控制体系的拓展和升华
对比内部控制体系,风险管理具有全局观、整体观。内部控制多从单项业务、单项风险、个别部门出发,对风险进行识别和评估,而风险管理体系提出了“风险组合管理”新概念,根据资产组合理论,多元化的资产组合可以降低投资风险,应用于企业风险管理体系,一个企业的不同风险可能互相增强,也可能互相抵减,或者单个部门的风险在各部门自身的风险容忍度范围之内,但整体来看可能超出企业的风险容忍度,因而要从全局来看风险对企业的整体影响。
风险管理的整体观建立在对单项业务、单项风险的分析基础上,是对企业各部门局部风险的整合和提升,且根据企业战略目标提供了一个整体的解决框架,确保各部门的活动符合企业整体利益。因此,风险管理体系是内部控制提的拓展和升华。
(二)内控体系与IT体系的融合
企业内控体系建设需要将企业内部控制管理与企业的各个业务线条进行融合。在大多数企业已经建立了业务信息系统的基础上,可以应用信息化手段作为建立内部控制体系的工具,充分利用信息系统之间的可集成性,把企业的内部控制管理工作融合在企业的业务流程中。
在内部控制梳理阶段,企业可以借助信息化手段完成对业务流程的梳理工作,并将梳理的成果以信息化的方式进行展示和管理。
在内部控制优化阶段,企业可以对内部控制的优化工作进行统一的规划和管理,控制优化整改工作的进度。
在内部控制评价阶段,利用信息化手段可以解决企业分散所带来的跨空间作业的问题,以更高的效率来完成内部控制的评价工作。企业发现在内控评价中发现的控制缺陷可以利用信息系统进行集中分析和整改,对整改任务、整改进度、整改结果进行有效的管理和跟踪,加强整改进度力度,提高工作效率。
在内部控制评价报告的编制及披露阶段,信息系统可以将企业标准的内部控制管理报告模板进行固化,在此模板下,企业的内部控制管理人员将通过信息对以往的内部控制管理工作进行总结,搜集报告需要的素材。
在企业接受内部控制审计时,企业可以依托信息系统强大的数据收集、整理、汇总、分析能力,向外部审计师提供所需的样本和材料,从而能够保证样本、材料的真实性和时效性,业务审计师和企业节省时间和人力成本。
(三)内控体系与“三标”体系的融合
一般企业在建立“ISO质量(QMS)、环境(EMS)、职业健康安全(OHSAS)三个管理体系(以下简称“三标”体系)和内部控制体系时,会出现一定的疑惑,体系之间如何更好的融合,发挥体系应有的作用。
“三标”体系重点活动是涉及为顾客提供产品或服务的相关活动,是从满足顾客角度、从业者健康安全角度和社会环境角度,审视企业管理,较少涉及预算管理、战略管理、资金管理,并侧重于质量风险及控制措施的纪录情况,内控体系重点活动涉及战略管理、资金管理、预算管理、资产管理、研发、工程项目、担保业务、业务外包、财务报告、合同管理、信息系统、内部信息传递,并侧重于运营效率的提高,从管理目标来看,内控体系更加完整。
内控体系全面、系统的识别出影响目标实现的风险,强调明晰的控制步骤和控制措施,通过流程化管理对风险进行防控;“三标”一体化体系将风险防控隐含在活动过程中,未将风险系统的、明确的识别出,容易出现管理漏洞。
目前,“三标”体系不断根据企业运行环境进行更新升级,由早期的质量管理体系,扩展到健康、环境、安全管理体系,是与时俱进,适应环境不断变化的结果,也是质量管理体系内在要求。随着“三标”体系的发展,“三标”体系目前已经逐渐覆盖企业的资产管理、预算管理、资金管理活动,向真正全面的管理体系演变。
内部控制与一体化体系是全面与局部的关系,一体化体系是实现内部控制三个具体目标中(经营效率与效果、财务报告可靠和遵纪守法)中的经营效率与效果目标的很好的实施工具。
无论是“三标”管理体系,还是内控体系,都是企业经营管理运行中必不可少的管理手段,也是为满足并获得和保持某种资格或监管部门强制性要求而开展的管理活动,都要依据有关法律、法规、标准,结合行业和企业特点,建立并实施一整套企业内部管理制度。“三标”管理体系文件中大部分可以作为内控体系文件的组成部分,是企业经营管理中的基础,是一个企业长期稳定发展必不可少的基本元素。所以,在建立企业管理制度时,应统筹考虑管理体系和内控体系,建立一套同时满足二者要求的统一的管理制度。对二者重合部分,应顺次依照要求较高的条款建立制度,实施管理,以同时满足二者的要求,这部分的管理制度二者共用。对非重合部分,应根据两个体系的要求单独建立控制制度并实施监督。
总之,企业内控体系的建设不是推倒重来,而是结合企业的实际情况,将散布于企业管理各个方面的相关元素按照框架的要求和标准进行补充、修正和组合。使企业的内控体系更具系统性和科学性。内控咨询产品的形成,一是能保证工作的有序推进,二是对开展内部控制体系建设工作进行了整体策划,明确了建设目标、建设思路、建设方法,确定了项目建设阶段,并为企业提出明确的实施工作计划。企业建立内控体系就应该真正把内控作为强化企业管理的抓手,紧密结合企业实际,总结管理经验,优化控制环境,不断创新,推进管理水平提升。
文/刘必强(高级顾问)