目前已出台的上市公司内部控制监管要求中,最有影响力的两项规定分别为:中国证券监督管理委员会从2006年开始要求申请A股上市的公司在上市申请中必须提交一份内部控制有效性审计的无保留意见的审计报告;包括财政部、审计署、证监会、银监会、保监会在内的五部委联合颁布了《企业内部控制基本规范》(以下简称“《基本规范》”)以及3个配套指引的征求意见稿,计划从2011年1月1日开始,要求上市公司分批次,对本公司内部控制的有效性进行自我评价,披露年度自我评价报告。
这些规定的推出,意味着企业内部控制工作的规范化和持续化。
而对于待上市公司来说,其在内部控制方面所需完成的工作包括:尽快按照《基本规范》和配套指引的要求,建设和完善内部控制,这有利于短期内企业通过证监会要求的上市前内部控制有效性审计,也便于企业长期的、持续的内控维护和完善工作;建立内控评估机制,包括负责部分、评估方法、程序、工具等等。这虽然不是企业在上市前必须完成的工作,但因为企业必须在上市当年就进行内控评估,因此应尽早开始这项工作。
企业如何按照《基本规范》的要求,建立、完善内部控制并进行定期自我评价呢?这主要有几个要点。
内控建设需因企制宜
部分企业感觉目前《基本规范》的指引不够具体,欠缺可操作性,因此期待着与《基本规范》配套的3个指引正式稿出台,以便企业内控建设工作可以有一套客观实用的依据和标准。这在客观上导致这些企业的内控建设工作进展缓慢。
实际上,内部控制的许多相关规范都是原则性的框架,而不是一套刚性的要求或标准:即使两家同为一个行业及规模相若的企业,他们的内部控制体系也必然会有所不同。这就需要每一家企业结合其实际的业务和管理需求进行丰富和“本地化”,以实现建立并维护完善内部控制体系的目的。我们认为企业可以考虑以下的内控建设基本路线图:
1.公司领导和相关部门明确公司经营目标和管理重点、内部控制的基本要素和主要业务活动管控目标;从而确定相应的管理手段和控制方法,制定内控改进/实施方案;
2.充实、细化改进方案,形成具体的内部控制措施并予以落实;
3.选取试点单位进行测试/评估,并对所发现的缺陷进行整改;
4.定期测试和评估,及对所发现的问题作进一步整改。
有效性评价不一定是大规模测试工作
《基本规范》要求管理层对内部控制有效性进行年度评价。我们认为管理层在确定内部控制有效性自我评价工作的范围和方法时,应该建立在管理层对内部控制日常执行情况了解的基础上,并根据企业面对的风险,选择合适的、符合成本效益的评价方法(如企业日常的管理监督、专项检查、内部审计等),以获取充分的依据来支持评价结果。
此外,自我评价的概念不应该只局限于由“独立于控制执行的人员”所进行的年度测试,而应在测试工作基础上采用更广泛方法去获取能支持评价结论的依据。评价方法可以结合访谈、问卷、讨论、穿行测试、统计抽样、比较分析等,综合使用。
更关键的是,内部控制的有效性评价不应该被理解为1年进行1次的大规模控制测试工作,而是从多个渠道掌握企业有关内部控制执行情况的信息,如:管理层和业务人员对日常控制监督工作所发现的问题;分析和跟进内部审计在常规审计工作中所发现的问题;企业其他监督职能(如纪检监察)的发现;掌握外部机构(如监管机构)发现的与内部控制有关的问题;控制执行人员的自我评估等。
这种多渠道、常态化的评价方法比较容易全面有效地发现企业中常见的内控问题,如:董事会/审计委员会对内部控制缺乏有效的监管;缺乏舞弊报告、调查和纠正机制,不能及时发现和改正舞弊问题;员工对舞弊行为的监督和报告意识薄弱;管理制度缺失或流于形式,对制度执行缺乏有效的监管;对复杂的或特殊的业务(如金融衍生工具)等缺乏有效的监管;缺乏对信息技术/信息系统环境的有效控制;在内部控制问题上往往是“事后处理”,而后续的整改处理方法和程序也缺乏统一的标准。
当然,通过不同渠道所获取的信息的可靠性可能会有所差别,但只要采取适当措施,并保证适当的、独立的人员充分参与,就可以保障内部控制自我评价工作的客观性,支持其有效性的评价结论。
内控缺陷重要性评价需结合定量和定性因素
根据《基本规范》的要求,企业需要评价归类测试过程中发现的内部控制问题和缺陷,因此,有必要明确评价方法和相关标准。
根据我们多年的经验,对内部控制缺陷进行重要性评价需要考虑定量和定性的因素:如内控缺陷可能造成的业务损失金额,财务报表错报漏报金额等这些定量因素,以及该缺陷所对应的业务的重要性、复杂程度、产生缺陷的原因(故意还是疏忽)等定性因素,因此,评价工作非常依赖熟悉企业业务的人员的参与,运用专业判断,并对相关问题做出评价。
同时,为了保证评价工作的权威性和客观性,建立公司内部一致的评价方法和标准也是非常必要的。
自《基本规范》出台后,各监管机构也开始把各自的工作要求和《基本规范》相结合,因此,《基本规范》实施日期的推迟并不代表企业可以暂缓相关的自我评价工作,而是有更多时间把目前的评价范围、方法与《基本规范》的原则和要求进一步融合。
企业的《基本规范》合规工作可侧重于:跟进监管机构发布的最终指引;根据公司的上市时间表,制定内控建设的计划和时间表,识别和改进控制问题;逐步完善企业内部控制体系;建立内部控价机制;对控制自我评价进行试点运行、完善;进一步整改所发现的内部控制问题;在上市当年,进行正式的管理层测试/评估以及披露自我评价报告。
如何提升内控体系效益
第一,企业的管理层和员工对内部控制的概念以及工作方法,如在明确控制目标、进行风险评估、执行控制测试、评价所发现的问题等方面,每个人往往有不同的理解。为了进一步提升控制改善和评价工作的效率和效果,企业可以对管理层和员工进行更为系统化的、覆盖全公司的培训(如培训内控基本要素的主要关注点、内控评价方法、缺陷评估方法等),提高参与内控工作人员的知识水平和能力。
第二,采用自上而下、基于风险的方法,确保企业更有效地工作并符合成本效益的原则。对已经开展内部控制准备工作的企业,管理层可以对前期工作成果的进度、效果、与《基本规范》的符合程度等进行审阅,使企业风险和内部控制得以更好地结合。
第三,进一步梳理业务部门和人员的责任、权限,明确企业的制度要求,并完善对业务的管理监督体系(如管理层将对内部控制文档的复核作为日常业务管理的一部分、业务管理部门的定期和不定期检查等),提升内部控制整体有效性。在梳理责任体系时,关键是明确企业管理层和业务/财务部门是相关内控有效性的直接责任主体,对内部控制设计和执行的有效性承担责任。虽然在实际操作中,由于内控体系的建设涉及范围广,在企业内往往指定一个“牵头”的部门(如内审部、内控部或合规部等)负责进度和质量控制,但内控的设计与落实最终是企业管理层和主导业务部门的责任。
有条件的企业亦可以同时通过使用自动控制(如ERP系统自动过账、批处理总量控制等)来进一步规范控制的执行。
第四,建立/强化内部审计职能。按照监管要求,上市公司必须建立内审部门,并保证内部审计机构设置、人员配备和工作的独立性。内审部门是企业内控体系中一个重要组成部分:不仅可以协助董事会对企业内控起独立监督的作用,同时可以为企业内控设计与实施提供建议,为企业的内控建设和评价起到“保驾护航”的作用。
上市公司的内部控制建设是复杂、耗时、涉及面广的工作,需要企业董事会和管理层给予充分的重视与支持,在全公司范围内推广和宣传内控的重要性,投入相应的人力和资源,及早开展内控建设和评估工作。