中天华溥杨探微:企业内控体系的构建方法与工具
作者:中天华溥高级项目经理 杨探微
1.1 建立内控体系的目的与意义
随着企业规模不断扩大、经营领域不断拓展和政策性风险日益加剧,以及国家各部委、外部监管机构的监管力度不断加强,建立内部控制体系逐渐成为企业的必然选择。建立贴合企业实际的内控体系有利于提升企业的风险管理水平,实现健康、良性发展。
建立内控体系最有效的方法是编制《内控手册》,通过编制《内控手册》,企业可以建立起一套科学、系统的内部控制体系建设的方法和规范,为内控体系建设、运行和维护提供指引,并作为建立、运行及评价内控体系的依据,从而确保各层面在思想和认识上对内控体系保持高度统一,最终实现行为上的统一。
1.2 手册编制的依据
(1)《中华人民共和国公司法》;
(2)《中华人民共和国会计法》;
(3)《关于加快构建中央企业内部控制体系有关事项的通知》(国资发评价[2012]68号);
(4)《企业内部控制基本规范》(财政部、证监会、审计署、银监会、保监会,财会[2008]7号);
(5)《企业内部控制应用指引》和《企业内部控制评价指引》(财政部、证监会、审计署、银监会、保监会,财会[2010]11号);
(6)本地区国资委、上级企业(如有)、本企业制定的相关管理制度。
1.3 手册编制的原则
(1)全面性原则:贯穿决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项,实现全过程、全员性控制,不存在内部控制空白点。
(2)重要性原则:在兼顾全面的基础上,关注重要业务、重大业务事项和高风险领域,并采取更为严格的控制措施,确保不存在重大缺陷。
(3)制衡性原则:应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制,并兼顾运营效率。此项原则要求企业完成某项工作必须经过互不隶属的两个基本点或两个以上的岗位和环节;同时还要求履行内部控制监督职责的机构或人员具有良好的独立性。
(4)适应性原则:应当与企业规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整。要求企业建立与实施内部控制应当具有前瞻性,适时地对内部控制系统进行评估,发现可能存在的问题,并及时采取补救措施。
(5)成本效益原则:应当权衡实施成本与预期效益,以适当的成本实现有效控制,要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。
(6)可操作性原则:内控体系要符合企业实际,业务流程控制点的设置和授权项目权限的确定都保证可操作性。
1.4 手册结构
描述内控体系组织结构与职责,较为全面地阐述内控体系的建设目标,并以财政部等五部委《企业内部控制基本规范》为指引,从内部环境、风险评估、控制活动、信息与沟通和内部监督五个方面对内控关注要点及相应措施进行较为全面、系统的阐述。
1.4.1 内部环境篇
描述内部控制环境的概念,并从描述内部环境的概念及要素,从组织架构、发展战略、政策研究、企业党建、内部审计、人力资源、企业文化、社会责任等方面(根据企业实际,可适当增减)对内部环境各需要控制的要素关注要点、控制措施进行阐述。
1.4.2 风险评估篇
风险评估是企业及时识别、系统分析经营活动中与实现控制目标相关的风险,合理确定风险应对策略的过程。对风险识别、风险评估、风险应对提出要求,为满足持续运营和发展需要,考虑各利益相关方的诉求,设定业务和管理目标并作适当分解;合理确定风险应对策略,制定风险应对措施。
1.4.3 控制活动篇
控制活动是指企业针对风险点采取的相应控制措施。结合企业主要业务和管理活动及流程分类,对主要活动及流程进行描述,针对流程关键环节提出内部控制标准,引导各级责任主体规范有序开展业务和管理活动,使业务和管理活动符合内部控制要求,合理控制风险。流程占据了《内控手册》的大部分篇幅。
1.4.4 信息与沟通篇
描述信息与沟通的概念及要素,从信息采集、信息沟通、信息系统、反舞弊机制等方面对内控关注要点及相应措施进行阐述,并根据需要汇编关键控制信息。
1.4.5 内部监督篇
描述内部监督的概念及要素,并从日常监督、专项监督、缺陷跟踪和内部控制自我评价等四个方面对内控关注要点及相应措施进行阐述。
作者在过往内控项目中编制的内控手册一般分总则、内部环境、风险评估、控制活动、信息与沟通、内部监督共六篇。六个篇章相对自成一体,为主要内容并与企业文化和制度体系相辅相成,共同构成支撑企业有效运营的风险管理与内部控制体系。
1.5流程与制度的关系
流程着重于业务开展的先后顺序,是对业务开展的概括和精炼化总结,流程不纠缠于具体细节,而是关注重要风险点和控制点,制度是对业务活动中风险点、控制点及控制措施的详尽描述。
1.6 内部控制的局限性
由于内部控制本身存在局限性,如管理层凌驾、串通舞弊、人为失误或者疏漏、成本与效益失衡以及其他尚未识别的风险因素,《手册》不能对企业内部控制体系的有效性提供绝对保证。
1.7 流程的使用说明
1.7.1 流程分级及命名规则
对流程进行纵向分级,最多分为三级,上级流程包含其下级流程,具体级数视流程复杂程度而定。原则上,末级流程通过流程图和风险控制文档对具体业务流程进行描述,非末级流程仅展示为流程目录,以体现业务架构。
例如:流程命名规则为:“XXXX”+“-”+“流程编号”;
流程编号规则为:“流程分类编号”+“-”+“二级流程编号”+“-”+“三级流程编号,其中各级流程编号采用两位数码(01、02…)按顺序编号,如:
1.7.2 业务流程图标识说明
具,以图形的方式对业务操作进行直观的描述。例如作者编制的某企业的内控手册中,业务流程图中标识说明如下:
1.7.3 流程结构
每一个流程大致包含:
(1)控制目的是指责任部室开展业务活动、实施内部控制应当达到的目标,如合法合规、经营效率与效果、资产安全完整、财务报告真实、准确与完整等。
(2)关联制度是指流程相关的管理制度。
(3)职责分工是介绍个流程中涉及的主要部门的具体职责分工。
(4)流程图是描述相关业务控制活动部门、人员之间的关系、作业顺序、风险点及控制措施等信息流向的图表。
(5)控制实施证据是指采取控制措施所留下的证据,可以是纸质文件、业务流转表单、会议纪要、电子文档记录、邮件、照片等。
(6)审核与审批,“审核”是指业务活动完成之后的一个复核过程,一般是比编制者略高一个层次的校对或核查;“审批”是指在编制校核无误以后进行最终审查批准的过程,一般是呈请该项目最高管理层做出批准与否的决定。
(7)风险点是指开展业务活动时可能发生的诸如资产损失风险、财务舞弊风险等。
(8)控制点是指针对该风险点采取的相关的诸如审核审批、盘点、运营分析、预算控制等控制措施。
1.8《内控手册》的生效及更新
《内控手册》经企业最高管理层审议批准后颁布。企业根据法律法规变化、上级企业(如有)的监督检查、内部组织架构及管理要求每年定期进行更新,或可根据需要临时修订。
作者:杨探微 中天华溥高级项目经理。河海大学应用经济学硕士,4年国有银行从业经验,3年企业管理咨询经验,具有扎实的经济管理专业功底、丰富的国企实践经验和多家大型企业的管理咨询经验。擅长领域有战略规划、行业研究、人才管理、绩效管理、组织架构、内控建设、集团管控等。