时间:2020-03-20 作者:宋丽梦 文雄 孟泽锐 (作者单位:中南财经政法大学会计学院)
[大]
[中]
[小]
摘要:
企业内部控制系统贯穿于包括董事会在内的企业组织各个层级,覆盖企业所有的业务部门,用以保证战略、经营、报告和合规等各项目标的实现。这导致内部控制系统越来越庞大和复杂,特别是对于大型集团公司而言,由于组织层级跨度大、业务部门庞杂,再加上人员素质的不稳定和内部环境的变化,保证内部控制设计和执行的有效性变得非常困难。而监督作为内部控制系统中的一个重要环节,目的在于保证其有效性。NH集团公司监督实施工具的动态整合则提供了一种保证内控有效性的方法。
一、NH背景介绍
NH集团公司(以下简称“NH”)于1997年在纽约、香港同时上市,并于2003年在上交所上市。2002年美国萨班斯法案出台后,作为纽交所上市的公司,NH只在年报中简单地提及了内部控制,在实际运营中并没有采取新的具体措施。这些情况一直持续到2006年上交所发布《上海证券交易所上市公司内部控制指引》,NH才开始执行萨班斯法案,并按照公司层面内部控制框架(COSO)对包括总部在内的7家分(子)公司、9个与财务报告相关的主流程进行内部控制评价。因此NH真正的内部控制评价工作起步于2006年。在之后几年中,NH不断扩大内部控制评价范围,同时把海南分公司、北京分公司、广西分...
企业内部控制系统贯穿于包括董事会在内的企业组织各个层级,覆盖企业所有的业务部门,用以保证战略、经营、报告和合规等各项目标的实现。这导致内部控制系统越来越庞大和复杂,特别是对于大型集团公司而言,由于组织层级跨度大、业务部门庞杂,再加上人员素质的不稳定和内部环境的变化,保证内部控制设计和执行的有效性变得非常困难。而监督作为内部控制系统中的一个重要环节,目的在于保证其有效性。NH集团公司监督实施工具的动态整合则提供了一种保证内控有效性的方法。
一、NH背景介绍
NH集团公司(以下简称“NH”)于1997年在纽约、香港同时上市,并于2003年在上交所上市。2002年美国萨班斯法案出台后,作为纽交所上市的公司,NH只在年报中简单地提及了内部控制,在实际运营中并没有采取新的具体措施。这些情况一直持续到2006年上交所发布《上海证券交易所上市公司内部控制指引》,NH才开始执行萨班斯法案,并按照公司层面内部控制框架(COSO)对包括总部在内的7家分(子)公司、9个与财务报告相关的主流程进行内部控制评价。因此NH真正的内部控制评价工作起步于2006年。在之后几年中,NH不断扩大内部控制评价范围,同时把海南分公司、北京分公司、广西分公司等纳入内部控制的工作范围。这一阶段,NH一直使用“萨班斯”标准(即COSO框架)。2011年,NH正式执行《企业内部控制基本规范》,在原有工作基础上,补充公司层面评价内容,同时新增五个主要业务流程,补充原业务主流程中非财务报告相关内容,开展了计划、记录、测试、整改、报告和外部独立审计六个阶段工作,形成了《实施工作方案》、公司层面内控框架差距分析、业务流程图及描述、风险及内部控制矩阵、测试底稿和样本、缺陷汇总及跟踪整改情况表等项目成果。至此,NH进入了同时按照“萨班斯”和“中国版萨班斯”双重标准执行企业内部控制的阶段。2012年,根据业务性质、会计科目与业务流程的对应关系,NH确定了9个财务报告相关的业务主流程以及5个非财务报告相关的业务主流程。而2013年NH将集团公司的全面内部控制以及18个分(子)公司的内控流程统一更新至8个。
二、NH的内控监督体系
NH的组织结构设计中,董事会及下属委员会、监事会以及各职能部门职责明确。首先董事会负责内部控制的建立、健全和有效实施,监事会对董事会的职责进行持续监督。2010年NH设立审计委员会,其职责之一就是审查企业内部控制,监督其有效性及进行内部控制自我评价。审计部具体实施内部审计监督职能,监督内部控制的有效性,直接向审计委员会负责并报告工作,当发现内部控制存在重大缺陷时,有权向董事会及其审计委员会、监事会报告。此外,根据其行业特性,NH还设立了安全监察部、运行标准管理部等对安全风险和运行标准执行进行日常及专项监督。2011年,为全面推进内部控制评估工作,NH在审计部下面设立专门的内部控制评估项目委员会和内部控制工作组,负责项目具体组织实施;在内控工作组下还设立管理分队,由管理分队组织及管理公司层面内控框架及流程分队、职能部门与业务单位开展具体的内控评估工作。在组织结构设计之外,NH还聘请国际知名审计机构和咨询机构对内控有效性的自我评价进行进一步的评估。
至目前,NH的内部控制评价流程从财务报告相关流程覆盖到财务报告相关与非财务报告相关流程;评价单位覆盖到公司总部及全部主业分(子)公司。其中,总公司评价流程已经覆盖《内部控制基本规范》中除“研究与开发”外的所有流程,而18个分(子)公司(除广西公司尚未覆盖“其他固定资产管理”和“人力资源”流程)都已经覆盖8个内部控制流程。NH整体的内部控制监督体系见图1。
三、监督实施工具
(一)业务流程图及工作描述
NH内部控制工作组按照萨班斯法案、《内部控制基本规范》及企业实际情况编制业务流程图,并根据业务流程的变化及时更新,形成内部控制评价的基础,即业务流程层面的流程图及描述。2012年内部控制记录阶段,内控工作组评价的业务主流程累计达到150个,子流程2626个;共编制和更新流程图2626份,参与访谈的公司内部人员2900人次,涉及业务单位和部门208个(包括广州总部和分(子)公司业务部门)。
(二)风险矩阵
通过业务流程图了解流程层面的内部控制措施后,NH内控工作组将流程中的风险和相应的控制活动进行总结和归纳,形成风险及内控矩阵。内控工作组通过对风险及内控矩阵进行评价,判断现有的控制措施是否可以有效地控制相应的风险。如果可以,则该内部控制是有效的,否则视为内部控制缺陷,并提出整改建议。NH集团风险与内控矩阵如图2所示。
NH内控工作组在记录阶段编制风险及内部控制矩阵150份,涉及业务流程层面的风险控制点4045个。
(三)风险数据库
NH集团借助全面风险管理框架对选定范围内的风险点按照风险类型和层次进行梳理,对总部及13家分(子)公司的内控风险点进行汇总梳理及横向对比,以《企业内部控制基本规范》及《萨班斯法案》404条款要求为基准,结合业务发展的实际情况,合并、删除重复或不适用的风险点,补充缺失风险点,规范风险描述,形成了一套较为全面、标准、统一的风险数据库,并邀请国际知名审计机构对结果进行审阅。
(四)内部控制管理手册
2009年,NH启动《NH内部控制管理手册(总部分册)》的编写工作。该手册整理并提炼了总部公司层面内部控制框架及9个业务主流程、173个业务子流程,全面梳理了各个流程中的风险点以及对应的控制措施,结合先进的信息系统及管理制度,对集团各单位各岗位应承担的内部控制责任进行了标准化。内部控制手册中运用了业务操作流程图,简洁明了,便于操作,为NH管理层、内部控制管理者提供了详细的操作指南,实现了业务流程管理的标准化和系统化。从2011年起,NH相继完成部分分(子)公司的《内控管理手册——分(子)公司分册》的编写工作。
(五)测试工作底稿
首先,内部控制测试情况的记录反映了企业内控的运行情况,是内部控制自我评价的一部分。其次,测试工作底稿也是未来完善内部控制体系的基础资料。因此,企业应当以适当的形式,对内部控制有效性测试过程中的情况进行合理的记录,确保内部控制运行情况的可验证性。
在内控测试阶段,NH集团内控工作组针对梳理出的两千多个测试点进行测试。根据测试要求,内控工作组对每个测试点的测试底稿进行审核,检查测试文件,保证其按照标准的测试样本数量和测试要求收集检查,根据结果形成测试工作底稿并加以保存。
四、监督实施工具的动态整合
在经营活动的监督过程中,各种工具的整合使用能够保证监督活动的效率及效果。首先,NH根据自身实际情况编制业务流程图及描述。业务流程层面的流程图及描述形成内部控制评价的基础,其目的是为了编制风险及内部控制矩阵。当然,在业务流程图及描述文件的编制过程中也有可能发现明显的内部控制设计缺陷。通过业务流程图梳理业务流程层面的内部控制措施后,NH内部控制工作组就能够将流程中的风险和相应的控制活动进行总结归纳,形成风险及内控矩阵,最终形成一套较为全面、标准、统一的风险数据库。其次,根据已有的业务流程图及工作描述、风险矩阵和风险数据库编制企业风险管理手册,结合信息系统及管理制度,对集团各单位各岗位应承担的内部控制责任进行标准化。最后,对现有的内部控制体系进行有效性测试,形成测试工作底稿,评价业务流程层面内部控制的实施情况,评价的结果将用于优化业务流程层面的内部控制系统以及更新风险及内控矩阵、风险数据库和风险管理手册。
由于相关规范、管理需要、企业目标和环境的变化导致业务流程以及业务流程层面的内部控制发生变化时,NH内部控制工作组将重新进行上述流程以验证这些变化对内部控制有效性是否产生了相应的影响,再根据影响的程度来修正和更新相应的工具。通过这样的评价流程,NH动态整合了内部控制监督的工具,确保内部控制有效性,进而促使内部控制体系的不断完善。监督实施工具的动态整合如图3所示。■
责任编缉 达青
相关推荐