企业在发展的过程中往往会面临各种风险,包括决策管理风险、政策法规风险、制度缺陷风险、市场风险等等。完善内控体系建设可以有效防范和化解风险,可以有效约束企业的主要经济行为和关键岗位人员,确保企业经营管理运行良好。
——编者语
《企业观察报》刊发九游会J9咨询董事长安林博士和咨询总监兼企业发展研究院副院长张晓波撰文《国企如何对标世界一流 构建ESG全价值链管理模式》
2008年6月,在借鉴和吸收国际监管新理念的背景下,我国财政部、证监会、审计署、银监会和保监会五部委联合印发了《企业内部控制基本规范》。2010年4月26日,财政部等五部委又联合发布了《企业内部控制配套指引》。这标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。我国已成为继美国和日本之后第三个要求对本国企业实施全面内控审计的国家。
用好内控“三板斧”——揪错、整改、建制,可以帮助企业在五部委的内控要求指引之下,结合企业实际,化繁为简,实现内控体系建设合规并卓有成效。
第一板斧:揪错
操作要点:对照五部委内控指引要求,分析内控体系问题所在。
根据《企业内部控制基本规范》及配套指引的要求,企业需要从环境风险、运营风险、信息风险、审计风险4个层面,组织架构、发展战略、人力资源等26个类别,制度设计完整性和执行有效性两个维度,分析企业内控体系可能存在的问题。
以组织架构为例,企业内控体系常见问题通常集中在董事会、监事会、经理层等议事规则不健全,会议决策事项不能得到很好地落实;部分“三重一大”事项未能体现集体决策程序;未能充分体现不相容职务相互分离的要求;未能定期对组织架构设计与运行的效率和效果进行全面评估以及优化调整等。
内控风险类别图
第二板斧:整改
操作要点:细化整改计划,确保整改措施得以落实
内控整改要落实到位,必须制定严密的整改计划。企业需要基于对照内控指引发现的问题,制定内控整改计划,具体包括:明确整改完成事项、完成标准、完成时间、主要负责人、具体执行人等。
制度建设层面的整改重点在于“查缺补漏”,系统梳理企业内控制度体系,根据内控指引的要求修改完善现有制度或制定新的制度。制度建设整改成功的关键在于制度既能够满足合规要求,又具有较强的可执行性。
制度执行层面的整改重点在于“书面留痕”,一旦制度正式发布,相关部门就应该严格按照制度执行,并做好相关书面凭证的保存。有制度不执行给企业带来的危害比缺少制度更严重。
制度建设整改完成标准需要根据制度的审批层级,确定整改后的制度需要上级单位(股东会)、董事会、总经理办公会、党委会等公司治理主体中的哪一主体审批通过。制度执行整改完成标准在于能够提供制度执行的书面凭证等。
第三板斧:建制
操作要点:完善内控制度体系,推动内控建设常态化。
内控体系建设是一项系统、动态工程,既不会一蹴而就,也无法一劳永逸,企业发展到哪里,内控就要跟进到哪里,需要持续改进、不断优化。实现内控体系建设常态化必须明确内控归口管理机构,完善内控制度体系,并推动内控审计工作定期开展。
除了企业日常经营管理制度需要进行补充完善,企业《内控手册》、《内控流程手册》、《内控评价办法》等内控制度文件的建立,是企业内控建设工作长期、持续、有效推进的保障。
《内控手册》编写要点:梳理组织架构、发展战略、人力资源等26个类别中企业适用的风险事项、相关监管要求、控制标准、主责部门/岗位、制度索引(证据索引)、控制方式、控制频率等。
示意图:董事会工作流程图
《内控评价办法》编写要点:明确内部控制评价工作流程、内部控制评价内容及要求、内部控制评价测试方法(访谈、穿行测试、控制测试等)、内部控制缺陷(一般缺陷、重要缺陷和重大缺陷)的认定及整改等。