爱华网系列专题:2008中国营销
问:近期中国财政部、证监会、审计署、银监会和保监会五大部委联合发布《企业内部控制基本规范》,并要求自 2009 年 7 月 1 日起在上市公司范围内施行,鼓励非上市的大中型企业执行。但目前企业在内控方面还存在一些障碍,德勤对克服这些障碍的专业建议是什么?
答:德勤分别于 2007 年和 2008 年以问卷方式开展了有关中国上市公司内部控制现状的调查。调查结果显示,尽管中国上市公司的内控现状与 2007 年相比有些许改善,但总体上看,企业在内部控制建设方面仍存在较大的欠缺,企业认为自身的内部控制体系尚无法完全满足监管机构的要求,并缺乏完善的内部控制体系。具体发现如下:
● 79% 的公司对建立内控控制持肯定意见;
● 44% 的公司非常自信地认为其已经建立内部控制体系,而另外 56% 的公司没有建立或现有内部控制机制尚不完善;
● 98% 的公司已认同内部控制与风险管理相结合,但承认对风险管理的方法论了解有限;
● 96% 的公司认为应有统一框架或模型指导内部控制实施;
● 83% 的公司认为应建立内控长效机制并纳入考核;
● 91% 的公司认为在实施内部控制过程中存在一些障碍因素;
● 84% 的公司认为主要障碍是缺乏完善的指导性和可操作性强的理论框架或模型;
● 63% 的公司认为企业实施内部控制的主要障碍是缺乏硬性的监督检查机制要求,未与考核机制相关联,奖惩机制不到位;
● 57% 的公司认为实施内部控制的主要障碍是管理层的意识不到位,不能有力支持和倡导这项工作。
在实施内控的过程中,如果缺乏实际操作的经验及理论依据,可能导致企业进入一个误区,很难真正建立和完善内部控制体系,从而难以充分利用内部控制的优势,提升公司价值,并导致事与愿违的不良后果。在这个阶段,外部专业咨询机构对企业提供适当的支持与指导是很有意义的。外部专业机构借助自身的技术、专业优势及国际先进经验,将会帮助企业事半功倍地完成预期的目标。
问:《企业内部控制基本规范》出台后,企业应该如何正确理解并积极应对?
答:基本规范出台以后,对中国企业建设内部控制体系提出了较高的要求,建议企业在以下方面采取积极的应对措施:
● 理解《企业内部控制基本规范》要求:《企业内部控制基本规范》在 COSO 框架的基础上提出了适用于中国企业的内部控制五要素(见图一),为中国企业实施内部控制提供了统一的理论框架和技术标准。企业应当深入研究基本规范的各项要求,遵循规范提出的基本原则,并将规范中的具体要求与企业现状相结合,寻求实现企业内部控制建设的最佳途径。
● 评估企业现状及梳理企业流程:企业在进行内部控制体系建设时应当先对企业的现状进行深入的了解,充分理解企业现存的内部控制措施以及其中存在的内部控制缺陷,并对企业的业务流程进行全方位的梳理,这将为企业进一步建设和完善内部控制体系提供良好的基础。
● 完善公司治理结构及规章制度:基本规范对企业的治理结构提出了明确的要求(见图二),应当充分发挥监事会对董事会内部控制实施的监督作用,并由审计委员会对企业的内部控制进行监督和评估,内部审计部门作为审计委员会的办事机构,应当独立於企业其他运营部门之外,负责对企业内部控制进行检查与评估。根据基本规范的要求,企业还应当对自身的管理制度进行完善,在公司内形成一套完整的内部控制制度体系。
● 设定控制目标,开展自我评估:根据基本规范的要求,企业可以结合企业内部监督的情况,定期对内部控制的有效性进行评价。每个企业都应当设定符合自身的内部控制目标,并基于控制目标对企业的内部控制的设计及执行情况进行检查。对内部控制的评价应当由相对独立的部门来执行,如内部审计部门。
● 缺陷发现及整改:企业应当对内部控制评估后发现的问题进行分析和评估,并寻找解决问题的方案和措施,提出整改建议,组织各部门或分(子)公司开展整改,并及时对整改后的内部控制进行检查,以验证整改的效果。
● 接受外部审计:根据在 2008 年 5 月德勤对部分上市公司的内部控制的调查,90% 的受访上市公司认为审计师对内部控制进行审计评价有利于企业完善内部控制工作。根据企业基本规范的建议,企业可以聘请外部审计师对企业的内部控制进行审计。通过外部审计师的独立检查,有利于帮助企业发现自身内部控制体系存在的问题,提升自身的管理水平。
● 持续改进、完善:企业的内部控制体系不是一成不变的,应当随企业的发展以及外界环境的变化而持续变化和完善,企业应当建立内部控制运行的长效机制,保持对内部控制体系的持续更新与完善。 问:在上市公司内部控制体系建设方面,有无成功案例?
答:以下是德勤协助成功完成的一家中国上市公司的内部控制体系建设项目情况:
项目背景
该客户是中国国内四大通信运营商之一,项目目标为:
1. 满足国际资本市场监管要求,满足《萨班斯法》要求。
2. 进行内控体系建设,进一步统一公司制度和流程,加强全集团的内部控制及全面风险管理。
项目解决方案
德勤内控项目组深入研究法案要求,根据国际通信行业风险管理和内部控制的最佳实践,结合客户的实际情况,将内控体系建设工作分为以下六大步骤推行:
1. 调研及制定计划:选定不同层级公司调研,按照法案要求并结合公司现有制度,识别重大风险领域,确定内控范围及目标,制定内控实施方案。
2. 评估及定义:分析公司层面和流程层面的风险和重要性程度、确定内控成功关键要素,设计内控管理循环模型以及管控工具,定义内控标准语言,将内控工作分解到具体流程和控制要点。通过试点公司测试修正内控模板,使标准模版更具适用性和可操作性。
3. 推广及培训:组建内控项目工作组,培训内控知识和标准模版,通过本地化流程描述、流程图、风险控制矩阵等工作进行梳理,建立起适用于集团、省、地(市)公司不同层级,互为一体的标准化闭环管理体系。
4. 测试及整改:基于法案标准,建立标准测试程序和测试方法,通过多轮测试发现内控缺陷并提出管理建议,对缺陷进行整改,逐步完善内控体系。在内控推广、测试过程中完成知识转移,提高客户对内控的意识,将内控落实到日常工作中,实现内控工作常态化。
5. 优化及提高:根据国内外最新内控监管要求以及行业动态,在新业务环境下重新判定风险和影响,协助客户定期更新控制矩阵、优化标准模版,构建风险管理的长效机制。
6. 加强基础管理:借助上市公司建立起的内控体系和管理经验,推进非上市公司内控基础管理工作,为企业经营目标的实现提供有效助力。
项目收益
1. 2007 年 5 月 31 日以零缺陷的测试结果通过了外部审计机构对其财务报告的内控审计,成为率先通过美国《萨班斯法》404 条款的国内电信运营商。
2. 被国资委列为“企业风险管理研究项目”成员单位和国有通信企业内控工作试点单位。
3. 2006 年 12 月,该公司报送的《基于全面风险管理的内部控制体系构建与实施》内控创新项目被评为第 13 届全国企业管理现代化创新成果一等奖。
4. 通过内控建设,该公司内部初步建立起了一套基于全面风险管理、符合国内外监管及法律要求的内部控制体系,企业法人治理结构日趋完善,信息披露质量不断提高,基础管理和执行力明显加强,企业运营效率日益提升。
