从信息化视角看我国上市公司内部控制建设——以YY集团为例,本文主要内容关键词为:看我论文,为例论文,内部控制论文,视角论文,上市公司论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
为贯彻实施《企业内部控制基本规范》(以下简称《基本规范》)及企业内部控制配套指引(以下简称配套指引),根据《关于做好上市公司内部控制规范试点有关工作的通知》(以下简称《试点通知》)及相关要求,作为中国证监会2011年上市公司内控规范自愿试点单位之一的YY集团启动了内部控制建设,聘请了某管理咨询有限公司作为内部控制咨询中介机构(以下简称项目组)。笔者作为项目组的成员,深度参与了其内部控制的建设过程。鉴于YY集团为软件使用企业,以及笔者主要负责与信息系统相关的内控缺陷查找与整改建议的提出,笔者在此从信息化视角对其内部控制建设的经验进行总结,并得出几点启示,以期能够为2012年及以后启动类似项目的企业提供一些借鉴。
一、YY集团内部控制的建设过程
(一)YY集团内部控制建设规划
根据《试点通知》,自愿试点类公司应按照《基本规范》及配套指引的要求,做好母公司及重要子公司财务报告内部控制的建设、自我评价和审计工作。据此要求,结合YY集团的行业特征、经营特点,项目组与YY集团共同确定将其母公司和6家重要子公司作为本次内部控制咨询的对象。该咨询对象涵盖了YY集团所有有重大影响的子公司,业务内容涉及纺织加工、房地产开发和产业投资三大主要板块。进而根据“内控建设常见问题规范问答(第一期)”(http://www.csrc.gov.cn/pub/shenzhen/ztzl/ssgsnkjs/201106/t20110613_196326.html,中国证券监督管理委员会官方网站),结合YY集团的实际情况,明确界定了母公司和6家重要子公司的内控建设流程范围,即与财务报告相关的7个重点业务流程:销售与收款、采购与付款、资金活动(包括货币资金、投资管理、筹资管理)、资产管理(包括存货、固定资产、无形资产)、财务报告、信息系统、工程项目,以及4个一般业务流程:预算管理、关联交易、合同管理和业务外包。所选取的业务流程涵盖了YY集团所有有重大影响的业务流程。内部控制建设的主要工作体现为全面梳理、完善YY集团的重要业务流程、控制制度,进行内控测试,查找内控缺陷,提出整改建议,提交最终内部控制建设成果。
(二)YY集团内部控制建设过程
1.内控缺陷的查找阶段。在此阶段,首先界定了内控缺陷的含义与分类,在此基础上以信息系统(鉴于本次项目组主要针对YY集团财务报告相关的内部控制建设,本文信息系统是指以财务信息系统为核心,涉及相关联的其他重要信息系统)为例,阐述内控缺陷查找、内控缺陷汇总和内控缺陷整改建议等内容。此外,项目组还向YY集团展示了内部控制评价软件的原型,确定其对内部控制评价软件的个性化需求。
(1)内控缺陷的界定与分类。内控缺陷主要有两种类型,一种为设计缺陷,具体是指企业缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标;还有一种为运行缺陷(在实际业务中一般称为“执行缺陷”,下文统称为“执行缺陷”),具体是指设计有效(合理且适当)的内部控制由于运行不当而导致无法有效地实施控制,运行不当包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效的运行等,此种缺陷一般出于执行者没有获得必要授权或缺乏胜任能力所致。
(2)内控缺陷的查找及整改建议。项目组通过个别访谈、实地查看、数据收集和比较分析等查找方法,共计发现YY集团信息系统方面的内控缺陷11个,其中设计缺陷9个,执行缺陷2个。针对查找出的缺陷,项目组给出了缺陷描述、风险描述和整改建议,具体内容见表1。
通过调研软件的实际使用情况以及对软件供应商的进一步咨询,项目组认为YY集团下一步的信息系统工作重点有两个:一是整改已发现的信息系统方面的设计缺陷和执行缺陷,降低相关风险;二是在集团范围内统一财务软件,并做好各子公司不同ERP等软件与财务软件之间的接口。
(3)对内部控制评价软件的个性化需求。项目组向YY集团演示了内部控制评价软件的原型版本,并根据系统论中的层次性原理,结合需求调研,确立了YY集团的五层次内部控制评价指标体系,分别为三级指标、二级指标、五要素指标、一级指标和综合指标。五个层次的指标,仅需采集最低一个层次指标的评价值,其他层次指标的评价值和评价结果皆根据基于灰色关联度的模糊综合评判方法一级一级自动汇聚而成,无需人工干预,即:由三级指标的隶属度和权重汇聚得出二级指标的评价值(即隶属度)和评价结果,由二级指标的隶属度和权重汇聚得出五要素指标的评价值和评价结果,由五要素指标的隶属度和权重汇聚得出一级指标的评价值和评价结果,由一级指标的隶属度和权重汇聚得出综合指标的评价值和评价结果。
2.内部控制的建设阶段。管理层根据项目组在内控缺陷查找阶段提出的内控缺陷和整改建议,组织集团各相关职能部门、分子公司负责人进行学习,按照各自的管理职责和权限进行对照整改。各职能部门和分子公司对照内控缺陷,制定内控缺陷整改计划,建立健全相关制度,建立、完善相应控制文档,把内控缺陷整改工作落实到具体岗位责任,具体做了以下三个方面的工作:
(1)完善内部控制制度。在对YY集团内控缺陷查找的基础上,项目组全面梳理其内部控制制度,列出需要完善或增加的内部控制制度清单,限时由YY集团自行完成,项目组给予适当的辅助。就信息系统方面而言,需要增加或完善的相关管理制度包括岗位分工制度、操作管理制度、机房管理制度、会计档案管理制度、会计数据与软件管理制度、信息化项目管理制度等。
(2)完成内部控制手册。内部控制手册围绕规划阶段确定的内部控制建设范围,针对每个业务流程,明确该流程中业务活动的概念界定、控制目标、主要风险、控制要求(包括设计要求和执行要求)和控制流程图。就信息系统方面而言,鉴于YY集团的信息化现状及其信息化人才队伍的实情,其内部控制手册中着重描述了业务外包和外购调试两种方式下的一般控制和应用控制之控制风险和控制要求。其信息化管控流程涉及3年~5年的信息化规划、信息化的年度计划、信息化项目的实施,以及信息化系统的评价与考核等内容。
(3)构建内部控制评价指标体系。根据YY集团的需求,项目组根据内部控制五要素确定了其内部控制评价软件中的指标体系,项目组还针对YY集团个性化的内部控制评价需求,开发了其专用的内部控制评价软件并编制了相关软件文档。
3.内部控制的测试与完善阶段。根据各职能部门和分子公司的内控缺陷整改情况,借助控制论的反馈方法,项目组协助YY集团内控内审小组再次进行内部控制的测试,以查验其内控缺陷的整改情况,帮助其进一步完善内部控制制度。
(1)内控缺陷整改情况汇总。各职能部门和分子公司将内控缺陷整改情况形成书面整改报告,向YY集团董事会上报。从YY集团的内控缺陷整改情况汇总来看,就信息系统方面而言,一些短期内容易整改的缺陷已经得到有效整改,如财务软件操作员权限管理缺陷、财务数据备份机制缺陷、网络安全缺陷等;一些短期内不易整改但长期内又可以整改的缺陷,被列在整改计划之中,如集团层面的信息化管理缺陷、集团内财务软件未统一的缺陷、财务软件中账套设置的缺陷、会计信息化管理制度缺陷等;还有一些在长期内整改也存在一定困难的缺陷,相关职能部门或分子公司表示会尽力尝试整改,如ERP等软件与财务软件的对接和集团内网络的互联互通等方面的缺陷。
(2)内部控制的测试。历经内部控制的建设阶段之后,根据各职能部门和分子公司的内控缺陷整改报告,项目组协助YY集团内控内审小组再次进行内部控制的测试,以查验其内控缺陷的整改情况。针对内控设计完整性方面的缺陷整改,进行穿行测试,以确定整改后内部控制设计的完整性与合理性;针对内控遵循性方面的缺陷整改,根据每个业务流程的关键控制点和控制环节,按照业务发生的频率,选取相应的样本量进行执行测试,以确定整改后的内部控制执行的有效性。就信息系统方面而言,对相关内控缺陷整改情况进行的设计完整性和遵循性测试表明,各职能部门与分子公司的实际整改情况与其整改报告相符。
(3)专用内部控制评价软件的验收测试。项目组根据YY集团的个性化内部控制评价需求,对评价软件进行个性化开发,形成了其专用的内部控制评价软件,交由YY集团进行验收测试。最终,项目组为YY集团提供了两个内部控制评价软件相关的文档:一是《内控评价软件设计原理》,主要描述该软件的开发设计原理(基于多级灰色关联度的多级模糊综合评判方法),具体分为内部控制评价软件概况、三级指标数据的采集与评价、二级指标的评价、五要素指标的评价、一级指标的评价和综合指标的评价等内容;二是《内控评价软件使用说明》,用实例说明该软件的操作使用方法,主要包括评价软件初始设置和日常操作两部分内容。
二、YY集团内部控制建设的经验与启示
一是找准内部控制建设相关的理论基础和方法学依据。在YY集团的内部控制建设过程中,笔者借助系统论中的层次性原理,构建了5层次内部控制评价指标体系;借助控制论的反馈方法,对内部控制进行测试、完善以及后期的自我评价;借助基于灰色关联度的多级模糊综合评判方法,设计开发专用的内部控制评价软件;借助内部控制理论和内部控制工程学的原理、方法和技术,进行内部控制的整体建设。
二是谨遵企业内部控制规范体系。企业内部控制规范体系包括《基本规范》及配套指引,是我国企业构建企业内部控制的标准所在,因此需要谨遵其中的内部控制建设原则、内部控制建设要素、内部控制建设程序以及内部控制各项应用指引、评价指引及审计指引,以获取合理有效的内部控制评价报告和审计报告。
三是积极接受证监会和当地财政部门、证监局的指导和监督。企业内部控制的建设、评价和审计,是一项全国性的有计划、分步骤的系统工程,企业自身要积极接受证监会和当地财政部门、证监局的指导,结合自身的实际情况,选择恰当的时机开展内部控制的建设工作。
四是借助内控咨询公司的专业力量。作为企业内部控制建设的专业力量,内控咨询公司积累了多家企业的经验,熟悉企业内部控制规范体系及各级监管部门的具体要求,适当借助其力量,不但省时省力、见效快,而且还有助于企业自身内部控制专业力量的培养和壮大。
五是借鉴同行业或区域内其他上市公司先进的内部控制建设经验。积极参加各层次的内部控制会议,充分利用网络资源,积极借鉴同行业或区域内其他上市公司先进的内部控制建设经验,促使本企业的内部控制建设快捷有效。
六是最大限度地利用信息化工具。企业在开展内部控制建设的过程中,应最大限度地利用信息化工具,在条件许可范围之内,尽可能将内部控制措施嵌入到信息系统当中,借助信息系统规范内部控制的设计和执行,并将其执行结果反馈到内部控制评价信息系统当中,自动生成评价结果,为内部控制评价报告的出具提供有力证据。此外,此举还能有效防止人为错误和财务舞弊,大幅提升工作效率。
七是企业领导高度重视,上下同心。内部控制建设是一项复杂的系统工程,其建设过程并非一蹴而就,需要企业一把手高度重视,总经理或指定分管副总经理主抓,各部门全力配合,上下一心,内控与内审部门具体执行。
八是有规划、分步骤地进行内部控制建设。企业内部控制建设是一项复杂的系统工程,需要有规划、分步骤地进行。YY集团本阶段仅选取母公司和6家重要子公司进行财务报告相关内部控制建设,而非全面内部控制建设,更非整个集团的内部控制建设,此举不仅有效地控制了人力、物力、财力的阶段性投入,而且有效地保证了内部控制建设阶段性成果的取得,也有利于企业中内部控制专业力量的逐步形成。
标签:内部控制论文; 企业内部控制评价指引论文; 内控体系建设论文; 信息化规划论文; 内控管理论文; 信息化管理论文; 内部控制缺陷论文; 缺陷管理论文; 项目执行论文; 风险内控论文; 信息安全论文; 软件缺陷论文;