3.3 内部控制设计流程
内部控制实施包括内部控制的设计、运行、评价三个部分,其中内部控制设计是前提、运行是关键、评价是保证。
2012年9月,财政部等五部委印发的《企业内部控制规范体系实施中相关问题解释第2号》中指出,《企业内部控制配套指引》针对工业企业一般性的业务和重点环节制定了原则性的要求,未涵盖行业特点突出的具体业务。在实施过程中,企业应当全面执行基本规范,以配套指引为参考,结合行业管理要求,从自身经营管理的实际出发,识别和评估相关风险,加强对关键和重点业务的控制,保持信息沟通的顺畅,对实施效果做好监督评价,努力构建一套符合实际、业务规范、控制合理、管理有效的内部控制体系。为此,企业应以相关法律规范为依据,结合自身实际设计一套完整、有效的内部控制制度。
关于内部控制制度的设计,国际上普遍达成的共识是完善的内部控制设计流程应包括六个阶段,每个阶段又包括若干主要环节。
3.3.1 管理架构建设与前期培训阶段
1.管理架构建设
一个良好的内部控制制度的首要前提是,有一个强有力的指挥机构和一套科学的组织管理体系。内控体系建设是一项非常庞大的工程,工作内容十分繁重,需要结合内控规范框架对现行管理架构进行重新定位和设计,对现行制度进行梳理,或立或废,描述业务流程和进行风险分析,提供全员培训和组织内控体系测试等。国外的内控体系建设经验表明,公司高级管理层的参与和支持是内控体系建设项目成功的关键。因此,从顶层机构设计的角度讲,一个以企业最高领导者(CEO)和财务总负责人(CFO或总会计师)为领导核心的内部控制建设委员会是极其重要的。只有企业的最高领导者和最终负责人亲自领导的管理机构才能够协调全公司范围的内控建设事宜,平衡和充分利用企业内外部的所有资源。其中,企业的CEO应亲自动员公司各级组织和全体员工要重视内控建设、支持内控建设和参与内控建设;企业的CEO和CFO应定期听取内控体系建设汇报和测试情况汇报,协调解决跨部门、跨组织的问题,主持制定内控体系建设考核管理办法;企业的CEO和CFO应与外部审计师、项目咨询机构、准则制定机构建立沟通机制,听取有关的建议和意见。总之,企业管理层应将内控体系建设真正作为“一把手”工程来抓,避免出现“说起来重要、做起来次要、忙起来不要”的局面。
内控体系建设是一项系统的综合工程,除了企业最高管理层的高度重视外,还需要各单位各管理部门之间的共同协作和统一管理。为此,企业应在内部控制建设委员会下设各级内控项目建设委员会、项目组和专门的内部控制管理部门,这些下级组织机构在企业内控建设委员会的领导下统一行动,从而实现全过程的统一领导策划、统一政策制定、统一实施安排、统一检查标准、统一奖惩,将少数部门的行为变为单位管理部门的一致行为,将临时行为变为持之以恒的长期行为,将管理者行为变为全员参与行为。
在企业内部控制管理机构的基础上,组建由外部内控专家组成的项目建设咨询团队也是十分必要的,有条件的企业可以聘请专门的内部控制咨询机构或有关专家作为内控项目建设顾问。国外有益的经验是,成立由公司高级管理层和外部内控专家组成的项目建设指导委员会,以及由相关部门共同参与的项目工作组,以此为架构开展内控项目建设。
2.前期培训
无论从COSO框架关注的要点,还是我国企业内控规范体系强调的内部环境建设角度来看,使员工真正理解控制内涵,并掌握与本岗位相关的控制活动是前期工作启动阶段的重要内容。另外,根据内部控制的定义,内控体系建设是一项全员参与的建设项目,建设过程“实质重于形式”,要求员工必须真正理解内控建设内容,并有效执行。因此,企业应在前期启动阶段对全体员工进行深度培训,深化其对内部控制的理解。
一方面,企业应注重全员培训和动态培训。企业要营造一个学习内控知识的良好氛围,在此基础上,培训对象要实现对企业所有员工的全覆盖,尤其要重视对一线员工的培训。此外,企业要注重培训工作的动态发展,现有在岗人员全部参加培训,新进员工在岗前培训中接受内控知识培训。另一方面,企业应注重培训手段的多样化。针对不同文化水平、不同学习能力的管理人员和员工,企业应注意因材施教。如企业可以通过发行随身携带的内控知识单行本、组织内控知识讨论和演讲比赛、互相测试等方法激发员工的学习兴趣,提升学习效果。
3.3.2 业务流程的确认和绘制阶段
业务流程,是指企业所进行的一系列逻辑相关的、跨越时间和空间的、有序的活动。对业务流程的描述应该体现该项业务活动如何发生、处理、记录、报告的全过程,体现出审批、授权、复核、资产保全、职责分离等控制活动。内控体系建设的重要内容之一就是描述企业的业务流程和内部控制现状。只有把业务流程和内部控制现状描述出来,才能以此为基础,分析流程中的风险,与企业现有的控制相对照,从而寻找不足,不断进行改进。没有业务流程和内部控制现状的描述,内控体系建设的后续工作将无法开展。因此,业务流程和内部控制现状描述是企业内控体系建设的核心工作和关键工作。业务流程确认阶段的主要环节包括:
1.确认重要会计科目和披露事项
企业应根据前几年的业务发生情况、最新的业务变化和经营环境的变化,将财务报表与会计科目配对,按照定性和定量的分析方法,确定与财务报告相关的重要会计科目和披露事项。关于重要会计科目的确认,应强调定量标准与定性标准相结合。先按定量标准进行确认,凡是会计科目的当期余额或发生额大于或等于定量标准(如税前利润的一定百分比)的,直接确认为重要的会计科目;对于其他的会计科目,还需要从定性标准的角度,确认是否属于重要会计科目。
关于重要披露事项的确认,财务报告中的每项附注都是报告使用者关心的事项。因此,企业可以考虑将财务报告的会计报表附注全部确认为重要的披露事项,同时应注意将每项附注作为一个整体确认为重要披露事项,而不是针对附注中的个别披露事项。重要会计科目和披露事项的确认是开展内部控制体系建设和内部控制体系评价的基础,确认结果将直接影响到能否合理科学地确定重要业务流程和关键控制点。
2.确认重要业务流程
在确认重要会计科目和披露事项的基础上,再将其与经营业务配对,确认重要业务流程。企业的内控管理部门或专设的内控项目组应以财务报告为切入点,进行业务配对、财务报告与业务流程配对,分析并确定对财务报表产生重大影响的重要业务流程。重要业务流程的确定必须克服“越多越全面越好”的错误思想,必须考虑成本效益、制度可行性和实践可操作性。控制程序太复杂会导致整个组织运行的低效率,甚至带来严重的后果。
绘制业务流程要求设置流程目录。企业在设置流程目录时,应以企业统一的内控体系为出发点,既要考虑总体业务经营管理共性方面的需要,又要考虑各专业部门(板块)、地区分部个性方面的需要,并遵循重要性原则,对公司总体经营管理影响不大的环节,应果断放弃并入流程目录。
绘制业务流程要求绘制流程图。业务流程表明一项业务自始至终是怎样操作的、怎样管理的、怎样审批的,以及形成什么样的成果等。每个业务流程直接地或间接地完成公司的某个经营目标,涉及多个工作步骤,涉及多个部门或职能岗位。业务流程的直观表现方式是流程图,且流程图必须配以文字说明,使一个不熟悉业务的人也能明白业务是怎样操作的。
【案例3-6】
中国石油的业务流程确认与绘制27
表3-4 中国石油整体业务流程名称表
表3-5 中国石油整体业务流程目录表
图3-1 中国石油业务流程示例
3.3.3 风险控制分析和控制文档确立阶段
根据财政部等五部委印发的《企业内部控制规范体系实施中相关问题解释第1号》,内部控制的目标就是防范和控制风险,促进企业实现发展战略,风险管理的目标也是促进企业实现发展战略,二者都要求将风险控制在可承受范围之内。因此,内部控制与风险管理是协调统一的整体。在建立业务流程后,必须进行风险控制分析并评估:现有业务流程中的内控措施是否全面地涵盖了所有风险,并能够有效地防范并发现风险;现有控制措施设计是否充分,是否形成充分的实施证据;现有规章制度文件是否完善。风险控制分析也是完善下一阶段控制的前提,并为测试工作提供依据。为此,本阶段在前一个阶段确立业务流程的基础上,通过目标设定、风险识别和风险分析来确定业务流程的关键风险控制点,实现风险控制分析和评估,建立风险数据库和风险控制文档,最终实现业务流程图、风险控制文档和风险数据库之间的匹配。
1.风险目标设定
《企业内部控制基本规范》第三章第二十条规定,企业应当根据设定的控制目标,全面、系统、持续地收集相关信息,结合实际情况,及时进行风险评估。控制目标,既是管理经济活动的基本要求,又是实施内部控制的最终目的,也是评价内部控制的最高标准。《企业内部控制基本规范》将企业内部控制目标分为五个方面,而在业务操作和信息处理过程中,一些企业又将内部控制目标细分为完整性控制、准确性控制、有效性控制、接触性控制四种类型。
2.控制活动设计
控制活动,指保证管理层的指令得到有效执行的政策和程序。控制活动存在于组织所有职能的各个层面,它们包括一系列的活动,主要有:(1)不相容职务分离控制;(2)授权批准控制;(3)会计系统控制;(4)财产保护控制;(5)预算控制;(6)运营分析控制;(7)绩效考评控制;(8)合同控制;等等。
3.风险控制分析
按照通行惯例,风险可分为经营决策风险、违反法律法规风险、财务报告失真风险、资产安全受到威胁风险、营私舞弊风险。后三类风险统称为与财务报告相关的风险,是内控体系建设必须关注的重点。企业也可以结合自身实际进行分类,如分为战略风险、经营风险、财务风险、人员风险、法律风险、市场风险等。通过头脑风暴、参考专业机构的风险数据库、问卷调查法、流程图分析法、财务报表分析法、相关规律和经验及专业判断等方法,企业应对自身风险进行识别,确立关键风险控制点,形成风险数据库。
【案例3-7】
中国石油的风险数据库28
表3-6 中国石油内部控制风险数据库(试行)
4.风险控制文档
风险控制文档(RCD)记载并体现了风险控制分析所发现的控制缺陷和不足,是后续进行控制完善、差异分析及控制测试的重要基础和依据。风险控制文档也是自行测试、外部审计的重要依据。风险控制文档要求准确、全面地记录企业的相关控制,特别是对于防范风险的关键控制措施的描述一定要准确、具体、充分。控制描述要反映四个要素,即负责执行控制的岗位、控制的具体内容、控制的频率、控制实施的证据。
3.3.4 差异分析和制度完善阶段
在初步完成流程描述和风险控制设计后,必须将内控体系建设情况与控制标准进行比照,进行控制差异分析和制度缺口分析,及时完善制度,整改存在的差异,最终建立一套满足内控体系建设要求、符合公司实际情况的业务流程。差异分析是在第二、第三阶段的基础上进行的,通过对比的方法,对业务流程和风险控制设计进行检查和补充,是一个推进业务流程完整化和完善化的过程。具体包括以下环节:
1.差异分析
一是分析控制记录中的差异(属于制度缺口分析),由内控管理部门提供控制记录,企业各单位将现有的控制措施与现有的规章制度进行对比,发现控制记录的差异。各单位通过以上分析,确定内部控制记录上的缺陷,将差异分析的资料整理上报内控管理部门。二是分析控制设计中的差异(属于控制差异分析),由内控管理部门提供统一确定的风险标准,企业各单位结合本单位的具体业务,确定各业务流程中存在的风险。将本单位现有的控制和已经确定的风险相对照,分析内部控制设计中的差异,确定现有的控制环节与方法是否可以规避存在的各种风险,如果现有的控制不能规避风险,就需要增加新的控制,各单位将差异分析的结果上报内控管理部门。
在差异分析阶段,企业各单位要正确认识、积极配合。企业内控体系建设是为了规避生产经营中的各种风险而设计的,是在对已经形成的管理制度、规范进行补充完善的基础上完成的。由于内控体系与传统的企业管理在体制和出发点上存在差异,因此在进行对比分析时,会反映出现有制度、规范在设计、操作和实施等方面的缺口。这些差异是体系和出发点不同而产生的,并不说明以前的管理工作做得不好。各单位应当结合本单位具体情况,全面透彻分析制度缺口,为制度的补充完善提供依据。
2.制度完善
在进行控制差异分析后,必须进行必要的完善补充工作。首先,内控管理部门通过对前面提到的各单位上报的控制差异分析资料,并结合检查的结果,统一制定针对各单位内控体系的改进意见并下发各单位;其次,各单位根据内控管理部门下发的改进意见,采取具体措施进行改进,组织规章制度的修订、补充和完善。
在制度完善阶段,各单位应该在缺口分析的基础上查缺补漏,注重操作性和可复核性。不仅要规定做什么,还要明确怎么做、如何复核等。要把长期工作中形成的行之有效的管理经验和约定俗成的做法,以文档形式记录下来,形成书面化的制度,继承发扬。
3.3.5 内控体系测试阶段
在公司完成流程图绘制、管理现状描述、风险分析和控制活动设计后,内控体系测试将逐步展开,并与问题整改交互进行,从而推动内控体系的建设。内控体系测试是针对内控体系建设单位内部控制设计和运行的有效性所进行的测试评估。内控体系测试的内容是独立评估内控体系,其目标是查找内部控制设计和执行有效性方面的不足,为梳理、规范内部控制,满足内控规范体系的要求提供合理的保证;同时,内控体系测试也为企业不断强化内控管理、进一步提升管理水平,提供持续改进的依据和建议。
根据测试目标及测试内容不同,内控体系测试分为四种形式:跟单作业、关键控制测试、信息系统控制测试、公司层面控制测试。其中,跟单作业和关键控制测试属于对业务活动层面的检查;信息系统控制测试属于对信息技术管理和运行的检查;公司层面控制测试属于对业务活动层面控制和信息系统控制以外的控制的检查,是对确保管理层在公司内部各个领域都有适当的控制机制在发挥作用的重要机制的控制检查。
1.跟单作业
跟单作业是选取两笔或两笔以上业务,从业务发生开始,一直追踪到该笔业务反映到公司财务报告的测试过程,以核实实际执行情况与流程图和风险控制文档的描述是否一致。其测试范围要覆盖风险控制文档所描述的流程和子流程。
跟单作业的目的,主要考虑三个层面:一是查找文本规范性问题,即评估流程图、风险控制文档和程序文件的规范性,找出流程描述及风险控制文档和程序文件的内容与实际执行情况不符等问题;二是查找内控设计方面的不足,即缺少控制或现有控制不足,以防范风险;三是在设计满足的情况下,查找执行方面存在的不足,即对在实际中没有执行或者没有完全执行所设计的控制。
跟单作业主要是采用访谈、观察和检查等方法,经过准备、现场实施、总结等三个阶段和若干步骤对业务活动层面所有重要流程设计和执行的有效性进行检查。
【案例3-8】
中国石油跟单作业准备阶段的测试活动介绍29
表3-7 中国石油跟单作业计划表
表3-8 中国石油跟单作业测试表
2.关键控制测试
关键控制测试是以企业领导层或集团总部下发的关键控制管理文件为标准,采用抽样测试的方法,对业务活动层面关键控制执行有效性的检查。其测试范围包括重要单位和特殊重要风险单位。
关键控制测试的目的,主要是为了进一步规范企业及其各单位的重要流程及关键控制活动,查找内控执行方面的不足,确保设计有效的内部控制在企业得到全面贯彻落实。为此,关键控制测试的内容主要包括:一是检查关键控制管理文件是否在各单位的程序文件中得到充分反映;二是采用抽样测试方法对关键控制业务执行的有效性进行检查;三是对检查结果进行分析,如存在缺陷,还要进一步评估控制缺陷的重要程度。
关键控制测试主要是采用询问、观察、抽样检查和再执行等方法,经过准备、测试实施、测试结果汇总分析等三个阶段和若干步骤对业务活动层面的关键控制执行的有效性进行检查。
3.信息系统控制测试
信息系统控制测试的内容包括信息系统总体控制(GCC)测试和信息系统应用控制(AC)测试。GCC测试的目的是检查信息技术管理和运行的有效性;AC测试的目的是检查业务层面的关键信息系统应用控制设计和执行的有效性。
GCC测试的检查内容主要是控制环境、信息安全、项目建设管理、系统变更、信息系统日常运行、最终用户操作。AC测试的检查内容主要是财务资产系统、产品销售系统、物资采购系统、存货管理系统、人力资源与业绩考核系统,以及最终用户操作系统。
信息系统控制测试基本采用询问、观察、检查和再执行等方法,步骤则与业务层面的控制测试步骤基本相同。
4.公司层面控制测试
公司层面控制是确保管理层获得在公司内部各个领域都有适当的控制机制在发挥作用的重要机制。公司层面控制涵盖COSO框架的五个要素及反舞弊六个方面,包括职业道德、高管管理理念与经营风险、信访举报和违规处理、组织结构、权利和责任分配、培训、业绩考核、人力资源政策、岗位职责描述、董事会、审计委员会、风险评估过程、经营活动分析、信息与沟通、信息披露、内部审计和反舞弊程序与控制共十七个主题。
公司层面控制测试主要是采用访谈、观察和抽样检查等方法,经过准备、实施、总结等三个阶段和若干步骤,查找内控执行方面的不足,确保设计有效的内部控制在企业得到全面贯彻落实。
以上是内控体系测试的四类测试活动,在具体执行的过程中,企业的各级内控管理部门应注意处理好三个问题。一是要正确对待测试中发现的问题。在开展内控体系建设的初级阶段,测试中发现问题是很正常的。企业高级管理层必须表达认同体系运行可能存在的问题,只要不是违规违纪问题,高级管理层将留给被测试单位足够的整改时间,并在整改中提供指导、支持和帮助。二是要注重测试经验的总结与运用。在内控体系测试过程中,内控管理部门对于测试过程中出现的问题,要不断进行汇总分析,以便发现问题;明确测试的重要流程和测试中需要重点关注的问题,并组织测试组人员学习、交流,不断提高测试水平,保证测试工作顺利进行。三是要重视测试结果。测试发现问题不可怕,可怕的是不整改。在测试过程中,内控管理部门要对测试过程实行全过程跟踪、全过程改进,对测试发现的问题及时评估、及时改进;对测试过程中发现的重大问题,适时进行披露,有效控制可能产生的影响及市场预期。
3.3.6 维护更新阶段
为保证建立的内控体系长期有效运行,企业需要根据外部环境和内部管理状况的不断变化,持续建设公司内控体系,不断改进完善。因此,内控体系维护更新是企业的一项日常工作,将贯穿企业日后的发展历程。
内控体系需要维护更新,主要缘于内控体系建设的动态性和企业周遭环境的变动性。内控体系建设是一个动态过程,并不是一劳永逸的。在突击建设完善之后,只能说针对当前的情况所建立的内控体系是有效的。但社会经济环境和企业自身的情况是不断变化的,业务流程与风险也是在不断变化的,这就需要企业随时关注内控体系建设,不断维护更新,以适应具体情况的变化。企业管理层有责任每年发表声明,报告公司内部控制运行的有效性。因此,内控体系建设将是企业一项长期的工作,伴随企业的发展而不断深化。