3.4 《内部控制手册》的架构设计
《企业内部控制基本规范》第二章第十四条提出了“内部控制手册”(简称“内控手册”)这一概念,即“企业应当通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权”。因此内控手册是内部控制制度设计成果的最终载体,是企业内部控制制度实施工作的重要组成部分。
3.4.1 《内部控制手册》的目标及质量要求
根据《企业内部控制基本规范》对内控手册的要求不难发现:首先,内控手册是在企业内部控制的范畴内提出的,其自身应该成为企业内部控制制度设计及实践的组成部分;其次,内控手册的内容集中于机构设置、岗位职责、流程、权责分配等内容,一方面与经营操作相关,另一方面与企业内控所关注的经营层面的主要风险相关;再次,内控手册的使用对象是企业的全体员工,因而可操作性应是需要考虑的重要因素;最后,内控手册还应对公司的内部审计部门起到工作指导的作用,以便于企业了解自身的整体经营风险,并方便审计部门对业务环节的具体操作进行审计。据此,本节提出了内控手册的编制目标及质量要求,具体如表3-9所示。
表3-9 《内部控制手册》的目标与质量要求
3.4.2 《内部控制手册》的内容
根据内部控制目标与质量要求,内控手册的主要内容应包括以下几个方面:一是梳理业务流程,找出业务循环的主要风险点和控制目标,并明确相对应的关键控制活动和基本的不相容职务分离的要求;二是通过对特定业务循环的流程分析,将关键控制活动对应到具体的岗位和管理制度;三是为内部审计提供必要的工作指引。基于此,本节提出了内控手册的具体内容,如表3-10所示。
表3-10 《内部控制手册》的内容
【案例3-9】
中国石油《内部控制管理手册》内容的分析30
中国石油于2005年12月27日发布《内部控制管理手册》(以下简称《手册》)。《手册》共七册,包括《内部控制体系框架》《控制环境》《风险评估》《控制活动》《信息与沟通》《监督》等由股份公司内控部门统一编制的六个分册,以及一个由地区公司自行编制的地区公司分册。中国石油希望《手册》能成为公司内部控制法典,为公司内控体系建设、运行和维护提供指引,并作为建立、运行及评价内控体系的依据,从而确保公司上下从思想上、认识上对内控体系保持高度统一,以进一步实现行为上的统一。各分册的主要内容如下:
《内部控制体系框架》分册是内控体系建设的纲领性文件。该分册描述了内控体系的组织结构与职责,较为全面地阐述了内控体系的建设目标,并以COSO内控框架为指引,从控制环境、风险评估、控制活动、信息与沟通和监督等五个方面全面、系统地阐述了内控体系建设的方法和规范,以全面、有效地指导公司内控体系建设工作。
《控制环境》分册简单介绍了职业道德、员工的胜任能力、管理理念和经营风格、组织结构、人力资源政策与措施、权利和责任分配、董事会与审计委员会,以及反舞弊等八个分要素的概念,详细描述了每个分要素的内控关注要点和应对措施,列示了该要素的文档记录。
《风险评估》分册描述了风险类别和风险评估概念,并以风险评估程序为主线,从确立公司发展目标和建立风险评估机制两个方面对风险评估的内控关注要点、相关措施进行了描述,制定、完善了相应的文件、制度和规范。
《控制活动》分册概要介绍了控制活动的概念、分类及控制活动包含的主要内容,分别从公司层面和业务活动层面两个层次描述了如何建立控制措施,重点描述了与重要业务流程相关的业务流程图、关键控制文档和程序文件。
《信息与沟通》分册介绍了信息、沟通、信息系统总体控制、信息系统应用控制和信息披露等分要素的内控关注要点、措施和文档记录,描述了公司总部各部门内控相关信息流汇总表及编制说明;明确了信息与沟通要素所涉及的内控体系执行文件和规范。
《监督》分册描述了持续监督、独立评估和缺陷报告等分要素的内控关注要点、措施和文档记录。
3.4.3 《内部控制手册》的框架与编制
1.《内部控制手册》的框架
根据前文对内控手册质量要求以及具体内容的分析,结合我们为企业提供内控咨询服务的相关经验,本节提出了内控手册的制定框架(见图3-2)。
图3-2 《内部控制手册》框架设计
注:实线表示实际编制流程;虚线表示内在逻辑关系;虚线框表示逻辑范围。
2.《内部控制手册》的编制
本书认为,在大多数情况下,内控手册的编制可以分为四个步骤来进行:
第一步,业务循环划分。企业应根据各自行业及所涉及业务的具体特点,将自身的运营活动划分为若干个主要业务循环。通常情况下,主要业务循环包括以下内容:(1)销货及收款环节;(2)采购及付款环节;(3)生产环节;(4)固定资产管理环节;(5)货币资金管理环节;(6)关联交易环节;(7)担保与融资环节;(8)投资环节;(9)研发环节;(10)人事管理环节;(11)信息管理环节。
第二步,流程风险分析。在明确了企业的具体业务循环后,针对每个具体业务循环,画出详细的业务流程图,并结合企业的现有制度分析该流程存在的主要风险点及相应的控制措施。该阶段的内容主要包括流程的控制目标、关键控制活动、主要涉及的岗位职责、相关的表单流转等。
第三步,不相容职务分析。一般而言,企业各主要业务循环的各类活动可以划分为批准、执行、记录和控制四大类别,从岗位设置的要求来看,应该保证同一人员不同时从事以上四类中的任何两类及以上的工作。基于该原则,企业需要找出企业每个具体循环中存在的不相容职务并将其分离。
第四步,内控测试矩阵。内控测试矩阵是指导企业内部审计部门开展工作的重要指引。它基于内控实施的可复核性和可审计性的要求,明确了内控活动中所有关键控制点的主要痕迹和后果,并分别从过程和结果两个角度来检视内控实施的有效性。因而企业应该在第二步流程风险分析的基础上引申出企业内控的主要痕迹,并提出内审的主要检查对象和检查方法。
【综合案列】
中国石化的内控制度设计31
中国石油化工集团公司(简称“中国石化”)高度重视完善内部控制体系建设。自2003年年初开始,中国石化以美国《萨班斯法案》的颁布实施为契机,开展了一系列内部控制的制度设计和体系建设,对内促进完善公司治理、规范企业管理、防范市场风险,对外加强外部监管、树立企业形象、提振市场信心,推动公司持续、稳定、健康发展,在不到10年的时间内迅速发展成为全球第五大公司。现将中国石化的内部控制制度设计的主要经验介绍如下:
1.建立一体化组织管理体系。为建设以风险为导向的全方位内部控制体系,中国石化建立了公司总部上市和非上市部分、公司总部和所属企业内部控制一体化管理模式。2003年年初,中国石化股份公司成立了内部控制领导小组,设立内控办公室和内控管理处,配备专职管理人员,具体负责内部控制管理工作。2005年,非上市部分结合自身业务特点,启动了内控制度建设工作。2010年3月,将内部控制、风险管理职能调整到企业改革管理部门,内控专职管理人员从集团公司财务部门、股份公司财务部门整体划转,实现了上市、非上市部分的内部控制一体化管理。在所属企业层面,相应成立内部控制领导小组,整合上市、非上市部分的内控管理职能,实现内控一体化管理,部分企业还独立设置内控管理部门,为实施内控制度提供了有力的组织保障。
2.制度建设注重操作性和协调性。中国石化根据内部管理和外部监管的新要求、新情况,针对内部控制实际运行和监督检查中发现的各类问题,对内控手册进行动态更新。所属企业也结合实际,制定相应的实施细则,构建了中国石化及其所属企业两级内部控制制度体系。在总部层面,先后对内控手册进行了7次的年度集中修订和补充完善,于2011年1月1日发布实施《中国石化内部控制手册(2011年版)》。修订后的内控手册,全面覆盖了基本规范及配套指引的要求,初步实现了全方位的内部控制。为与内控手册保持一致,对截至2010年年底总部印发的1500多个制度进行集中梳理,废止230多个,合并、存档备查300多个。经过梳理,公司制度从横向上分为主营业务制度和管理与支持服务制度共30大类,内含157个种类。这些制度与内部控制相关的制度和内控手册,共同构成完整的公司制度化管理体系。
3.内部控制与业务流程相结合。在全面梳理各项业务和重大事项,认真分析关键环节存在的各种内外风险的基础上,结合石化生产经营的特点,采用编制业务流程及控制矩阵的方式进行系统控制。中国石化统一制定《权限指引》,合理分配权限和责任,对授权进行系统管理,强调全员、全过程控制,打破公司内部条条块块的管理界限,有效整合各种资源,提高公司整体控制和决策能力。
4.内部控制与风险管理相结合。内部控制的宗旨是防范和控制风险。中国石化收集整理公司内外部各类风险信息,借鉴国内外石化行业的最佳实践,汇总形成了风险清单。对已识别风险通过调查问卷、访谈、专项会议等形式进行科学的风险评估,确定了各类风险差异化的容忍程度,设计了中国石化风险库模板和风险评估标准,自觉地将风险控制在可承受范围之内。
5.内部控制与信息系统相结合。按照《信息系统应用指引》的要求,结合国际上公认的信息系统控制标准,进一步梳理和优化了公司信息系统的整体控制、一般控制和应用控制。在加强应用控制方面,针对ERP系统、资金集中管理系统、会计集中核算系统、加油卡系统等应用系统,从系统业务流程出发,对其控制功能在实际应用中的风险重新梳理,并加以识别、分析和记录。根据系统控制的特点,从系统权限、职责分离、配置、业务操作等方面,完善系统状态下的控制要求,建立控制措施与系统业务流程的映射关系,使之更加明确、具体,容易为系统的操作和管理人员所遵循。
6.内部控制与企业实际相结合。自主设计符合中国石化生产经营特点的内部控制制度。以公司章程和现行的各项规章制度为基础,追根溯源、抽丝剥茧,全面总结提炼石化系统的管理经验,使内部控制制度尽可能地包容现行的各项规章制度,实现传统优秀管理方法与国际先进管理方法的融合。
思考题:
1.中国石化的内控制度设计体现了哪些设计原则?
2.中国石化是如何构建内部控制体系的?
3.结合本案例及中国石油案例说明企业内部控制手册应如何设计更有效。
