如何优化上市公司内控自评工作的研究.doc

键入文字如何优化上市公司内部控制自我评价工作的研究目 录1.内部控制自我评价工作取得的成效21.1全员内控意识得到提高21.2业务流程更加顺畅，自我评价中发现的内控缺陷得到有效地落实整改31.3审计业务的领域得到拓宽，审计工作的影响力得到提高32.目前国内上市公司企业内部控制自我评价工作面临的主要问题42.1内控执行力还不够强42.2业务部门对内控自我评价工作的重视和参与程度不够，评价过程存在“走过场”的现象53.进一步推进内控自我评价工作的思路63.1加强宣贯，使各级部门明确内部控制及其评价工作的目标和重要意义，从而不断增强内控执行力63.2强化全员深度参与，尤其是要充分发挥自评流程牵头部门的作用73.3将自我评价工作与独立评价工作有机地结合起来，做到优势互补83.4不断调整、优化自我评价思路及自评标准9如何优化上市公司内部控制自我评价工作的研究孙明成 司 丽（中国电信集团公司审计部 ）摘要：本文结合海内外上市公司开展内控自我评价工作的实践，对我国上市公司在内控自我评价工作取得的成效及面临的问题进行了分析，同时探索了下一步继续推进内控自我评价工作的思路。关键词：内部控制所谓内部控制：是指一个单位为了实现安全、健康和可持续发展目标；是为保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。 内控自我评价 内控独立评价【正文】：2002年美国政府颁布了萨班斯法案，此后SEC及PCAOB又发布了一系列的条例和准则。这些法规对上市公司内部控制提出了很高的要求，要求公司年报的内容必须包括管理层为公司设立和维持足够的内控系统的责任陈述，管理层就公司最近财政年度结束时内控系统的有效性作出评价，及管理层为评价公司内控系统的有效性而采用的评价架构陈述。法案同时制定了严厉的惩罚措施，规定如公司CEO和CFO明知其书面声明是失实的，罚款可达100万美元，监禁可至10年；故意作虚假书面声明的，罚款可达500万美元，监禁可至25年。2006年6月，国资委出台中央企业全面风险管理指引；2008年和2010年，财政部、证监会、审计署、银监会、保监会五部委先后联合发布了企业内部控制基本规范和企业内部控制配套指引。企业内部控制规范体系将从2011年起首先在境内外同时上市的公司施行，2012年1月1日起扩大到在上交所、深交所主板上市的公司中施行；中小板和创业板上市公司将择机施行，同时鼓励非上市大中型企业提前执行。那么，我国的上市公司，尤其是海外上市公司的内控自我评价工作现状如何？评价工作取得了那些成绩？存在哪些共性的问题？以及如何进一步优化内部控制的评价工作呢？本文结合对目前中国电信、中国移动、中国联通等海内外上市近6年自我评价工作实践，对其进行了分析和研究。1.上市公司内部控制自我评价工作取得的成效1.1全员内控意识得到提高2005年是中国电信、中国移动等海外上市企业正式执行萨班斯法案的要求的第一年，为此，各集团公司都相应成立了内控管理部门，启动了大规模的内部控制自我评价宣传与培训工作，每次评价前，均会召开各部门负责人、流程牵头人、内控管理员参加电视电话会议，集团公司领导、省公司领导对内控评价工作的重要意义进行宣贯，审计部门也对内部评价工作如何开展进行培训，这种宣贯和培训极大程度地加深了员工对内部控制的理解，通过每年对本人执行的控制点进行自我检查和承诺，对自己执行的控制点进行一次梳理，全员的内控意识普遍得到提高。1.2业务流程更加顺畅，自我评价中发现的内控缺陷得到有效地落实整改2005-2010年，以中国电信为首的各集团公司每年对内控自我评价中设计缺陷和执行缺陷进行分类分析和风险排序。既有公司层面的共性问题，也有个别省分公司的个性化问题；既有部门内存在的问题，也有跨部门配合的问题；既有主观执行不到位的问题，也有客观系统不支撑的问题。针对缺陷的不同情况，对能够立即整改的，执行部门已及时予以改进；对短期内难以整改的系统支撑、细则修订等问题，也明确了整改计划。经过几年的评价、整改再评价，目前缺陷数量明显下降。1.3审计业务的领域得到拓宽，审计工作的影响力得到提高开展内控自我评价工作以前，审计工作以财务审计和工作审计为主，内控评价工作的开展使得审计部门和前、后端及管控部门的联系更加紧密，审计业务领域拓宽到企业经营管理的方方面面。 审计部门不光对内组织内控自我评价，还我针对性的对下属公司开展内控独立评价工作，同时每年还承担了配合外部审计师对公司开展的内控审计工作，在外部审计师和内部业务部门之间架起一座桥梁，对审计中发现的问题及时与外部审计师沟通，为顺利通过外部审计发挥了重要作用。2.目前国内上市公司企业内部控制自我评价工作面临的主要问题2.1内控执行力还不够强2.1.1部分员工在执行内控细则时对控制点的理解不够透彻，存在片面、僵化地照搬实施细则的情况，偏离了内部控制的目的。如法律规范流程规定“合同专用章由法律事务部专人负责保存、管理和使用登记，并限制不相关人员的接触”。有的分公司负责法律工作的员工理解为本单位法律人员编制不够，只有一名法律专职人员，遇出差和外出办公，只能安排综合管理部相关人员代为保管，认为不符合内控，要求增加人员编制。其实任何岗位都可能存在人员出差需他人代办工作的情况，本控制点强调的用印的保管和登记控制，不能根据字义片面理解。2.1.2部分控制点执行人没有认真履行职责。如，内控规定银行调节表由编制调节表以外的人员进行复核，从形式上看，复核的人都签字了，似乎符合了内控要求，但重新履行一下，甚至连调节表中的银行对帐单余额与实际的对帐单余额都不一致这样简单明了的错误在复核中都未发现，可见复核人员并没有尽责，没有真正起到控制的作用。2.2业务部门对内控自我评价工作的重视和参与程度不够，评价过程存在“走过场”的现象近年来，随着全球金融危机的加深，竞争形势日益严峻，中国企业面临越来越大的经营压力，有的业务部门忙于发展业务，片面追求业务发展带来的收入，忽视发展过程中可能面临的风险。对于内控自我评价工作，往往认为这是牵头部门的事情，在工作繁忙阶段更认为增加了自身的工作量，评价中存在走过场的现象。即使发现自身存在的问题，为避免后续的整改工作，往往化大为小，甚至不予反映。2.3内控评价工作的深度不够，评价内容过度依赖于内控手册中的控制点。 2.3.1控制点更新不及时会影响自我评价效果。现在各行业都在转型，很多新业务尤其是转型业务流程已发生了变化，企业组织架构也发生了很大变化，原有的很多控制点已不适用。如果不顾环境的变化，照搬原有控制点进行评价，往往会脱离现状。2.3.2细则中的控制点多是业务流程的一般性描述，未涵盖全部业务的关键控制，很多重要的控制政策体现在集团及省市公司的各项文件制度中。这些细节性规定不可能全部纳入内控细则作为控制点，但却是非常重要的政策制度。仅仅把细则中的控制点作为评价内容，评价的结果往往是发现类似于缺少审核签字等一般性程序缺陷，至于这个缺陷会造成什么影响，如果不和具体的制度结合起来则很难判断。3.进一步推进内控自我评价工作的思路3.1加强宣贯，使各级部门明确内部控制及其评价工作的目标和重要意义，从而不断增强内控执行力内控控制及其评价工作不仅是为满足萨班斯法案及我国内控监管规范的要求，更是防范企业重大风险，提高会计信息真实性和企业管理水平的重要举措。企业所采取的控制措施有没有达到预期的控制目标呢？这就需要通过开展内部控制评价工作来进行评价，也就是说为保障内部控制系统的有效性，要由公司相关机构和人员定期或不定期地审视内部控制系统的设计和执行情况，发现并改进内部控制缺陷，不断优化、完善企业的内部控制，提升企业管理水平。综观国内外大型公司的运营情况，不难发现，成功的企业各有成功的经验，而失败的企业无一例外都有内部控制失效的问题。如不建立日常的内控评价机制，往往在发现问题时为时已晚。国内的三鹿毒奶粉事件、刘志军巨额受贿等事件都说明，企业内控风险意识不强、防范措施不力，内控预警机制缺失或未发挥应有的控制作用。假如业务部门能够通过内控评价及时发现并防范相应的风险，发生此类案件时的损失就可大大减轻。因此，要充分认识开展内控评价工作的重要意义，增强风险防范意识。3.2强化全员深度参与，尤其是要充分发挥自评流程牵头部门的作用COSO对内部控制的定义是，由公司董事会、管理层和其他员工实施的，为实现经营的效率和效果、财务报告的可靠性以及适用法律法规的遵循等目标提供合理保证的过程。从这个定义可以看出，内控自评是需要全员参与、共同实施的，同样，内控评价工作也离不开业务部门的深度参与，仅靠审计部门单打独斗，不可能取得好的效果。业务部门的深度参与主要体现在以下两方面：一是在评价内容和重点的确定上，业务部门要结合自身业务发展、经营管理过程中掌握的情况，确定需要评价的关键风险点（不局限于内控细则中的控制点）；二是在评价缺陷的沟通和整改责任的落实上，公司流程牵头部门要在对各单位评价结果审议的基础上，对分公司提出的内控设计和执行缺陷要进行沟通和反馈，同时，负责设计缺陷和执行缺陷的整改落实。 3.3将自我评价工作 自我评价是由公司各部门人员对各自负责的内部控制进行自我检查，分析和评价其设计和执行的有效性。自我评价主要采取控制点执行人填写自评表、部门召开座谈会、少量重点评价点由执行人以外的第三人进行抽样测试的方式进行。独立评价是由内部审计机构和人员对内部控制所进行的一种独立客观的审查和评价活动。独立评价是审计部门在业务部门自我评价的基础上，阶段性地针对企业存在的重大风险和管理薄弱环节进行的深度评价；，而独立评价则由审计部门以访谈、文件检查、设计评价表格、系统数据分析、观察等详细测试的方式进行。与独立评价工作有机地结合起来，做到优势互补内审部门在组织实施内部控制评价时，应明确自我评价和独立评价的各自执行主体及其侧重点，并实现二者的有机结合。自我评价由内部控制流程执行者实施，独立评价则由内部审计师承担；自我评价是实时的全覆盖的审查，独立评价是随机的抽样审查；自我评价是日常的基础性工作，独立评价则是建立在自评工作基础上的阶段性工作；自我评价是第一道关，独立评价是第二道关，共同合理地保证企业内部控制的健全有效。3.4不断调整、优化自我评价思路及自评标准3.4.1动态把握内控设计的有效性。因行业、规模、组织机构、公司文化、管理哲学等不同，任何两个公司没有完全相同的内部控制。即使对同一个公司来说，在不同的历史阶段、所处竞争环境、业务结构及规模变化时都应当对内部控制的设计作出调整。新业务的发展突飞猛进，在这种情况下，必然要建立新的内部控制，调整原有内部控制。因此对设计有效性的评价内容及评价标准必然也是动态的不断调整的过程。3.4.2正确认识内部控制的固有限制。首先，内部控制并不等同于管理。虽然它有助于为管理层决策提供可靠的资料，也能帮助管理层对所采取行动的后果作出评价，但并不能取代管理层作出决策，是否采取行动以及采取什么行动属于内部控制范围外的事，因此，决策本身的失误不能归责于内部控制；其次，原本起到控制作用的相关人员如果串通起来，内部控制也会失效。如很多小金库、挪用公款等案件就是由于会计和出纳，甚至是高级管理人员串通起来造成的，在这种情况下，也不能将责任归于内部控制。因此，完善的内部控制系统有助于提供合理但并非绝对的保证，我们在开展内控评价工作时必须正确认识内部控制的局限性，从而对内部控制作出恰当评价。3.4.3把握内部控制的成本与效益原则，防止过度控制。某商业上市公司规定，所有的采购合同，无论金额大小必经审计部门会签和一把手审批，审计室主任和公司一把手，半年会签的合同就高达几万个。在这个过程中，表面上看起来是内控严格，追求形式上的审计端口前移，实际上是控制过度；致使公司领导整天埋头于大量的日常审批工作，对企业战略、企业发展的重大事项反而没有太多精力思考，严重违背了内控是促进企业安全、健康和可持续发展的根本目标。【参考文献】：1. 香港会计师公会内部监控与风险管理的基本架构，2005年6月发布2. 美国萨班斯-奥克斯利法案，2002年颁布3. COSO企业风险管理整体