上海大众充分吸收和借鉴了COSO内控框架,内控体系建设严格按照控制环境、风险评估、控制活动、信息沟通和监督控制等五大要素进行,并将完整的内部控制体系提交董事会批准,由管理层和有关人员负责实施,为达到“经营效率和效果、财务报告的可靠性以及相关法令的遵守性”三大目的提供合理保证。
一、上海大众构建全面风险管理内控体系介绍
(一)内容构成
上海大众内控建设项目工作小组经过反复调研和论证,按照COSO的五大要素,将企业内控活动划分为各个独立的单元:1.“控制环境”要素,覆盖了企业的员工道德准则、企业文化、组织结构、职责分工、公司议事机制、人力资源政策、内部审计工作机制和反舞弊机制等相关领域和内容;2.“风险评估”要素,纳入并发展了企业组织体系风险评估、持续性风险评估和专项风险评估等内容;3.“控制活动”要素,涵盖了企业生产、财务、销售等管理领域的业务活动,诸如货币资金管理、存货管理、固定资产管理、无形资产管理、采购与付款、销售与收款、研究与开发、投资管理、项目子公司管理、筹资管理、担保管理、预算管理、成本费用管理、财务管理、人事薪酬管理、行政管理、信息系统管理、企业文化形象及危机管理;4.“信息沟通”要素,汇集了整个企业的多个信息沟通渠道,包括行政会议、内部报告、信息披露、投资者接待、公共信息管理;5.“监督检查”要素,对整个企业风险管理的监督体系进行了梳理,确定为组织体系职能确定及改进、持续性监督检查、专项监督检查、计划与报告流转以及跟踪与改进。
在内控体系构建中,上海大众将每个内控活动单元进行书面体系化,规范表达,说明主要描述对象及要求,每个单元包括流程综述、适用范围、控制目标与关键控制点、工作流程、相关参考政策及文件、职责计划 及分工、流程附件等要点。
(二)构建方法论
首先,成立专项小组。总经理挂帅,审计部、财务部、总经理办公室等部门高级经理组成了上海大众内控建设项目领导小组,对项目中重大问题进行定期决策和推动;并从相关部门中选取了人员专职从事内控建设,成立上海大众内控建设项目工作小组(以下简称项目组),负责内控建设的具体实施工作。其次,确定项目蓝图。将整项工作划分为项目启动和前期学习 、业务流程描述和程序文件汇集、风险分析评估和确认、完善内控体系、内控体系内部测试以及维护改进等若干阶段。同时,将每个阶段的具体任务进行列示,落实具体责任部门和责任人。
二、自我评估在构建内控体系中的运用
内部控制自我评估(CSA),是指由对内部控制的制定与执行负有责任的组织和人员对内部控制进行定期或不定期评价的过程。CSA在欧美一些发达国家得到积极的推广,也得到国际内部审计师协会的大力推荐,成为内控发展的一个新趋势。上海大众在内控体系建设过程中,积极引进了内部控制自我评估方法,先由总部各职能部门以及分支机构实施自我评估,在此基础上项目组进行内部控制的独立测评。
1. 关键控制活动选择。项目组于内部控制自我评估活动开始前,从内控体系中选择要进行评估的关键控制活动,关键控制活动的选择必须以风险为导向,重点关注影响财务报告信息真实、可靠的相关控制活动,同时兼顾一定的全面性,力求覆盖公司所有的业务领域及环节。
2. 设计、发放自我评估问卷进行部门自我评估。在选定关键控制活动后,项目组负责设计《内控关键控制点自评问卷》,并发送内部控制自我评估通知。各部门接到内部控制自我评估问卷后,在规定的期限内,根据要求填列并上报,开展对与本部门相关的内部控制的自我评估。
3. 内部控制测评。首先,项目组根据时间进度收集各职能部门、分支机构的问卷及其附表,进行汇总、分析,确定测评范围。测评范围的确定必须以风险为导向,同时依赖于项目组人员的职业判断。其次,设计并确定测评程序及测评工作底稿。在正式开展测评工作之前,项目组人员必须事先设计并确定各项关键控制活动的测试程序及工作底稿,用以规范内控审计工作,降低审计风险。最后,在下发内部控制测评通知后,项目组根据审计程序开展现场审计工作。
4. 测评报告和后期跟踪。项目组根据各职能部门自我评估以及独立测评的结果,向管理层和董事会提交内部控制测评报告。针对内部控制自我评估及独立测评过程中所发现的内部控制缺陷,相关职能部门、分支机构必须拟定整改计划,并实施整改,项目组负责整改事项的监督,必要时实施后续审计。
三、启示和思考
全面风险管理的内控体系建设在我国尚处于发展阶段,上海大众在整个项目的执行过程中,留给我们许多启示和思考:
1.治理效果问题。每一家企业都有自己的内控体系,只是水平层次不齐。构建全面风险管理内控体系,不是否定原来存在的一切内部控制制度、重新树立一套新的控制体系,而应该在梳理已有内控体系的基础上,根据企业自身治理水平的长处和短处进行完善和提高,整个建设过程应平稳积极,避免过多的震动,同时又能积极提升公司治理水平。
2.建设支持问题。上海大众在内控建设上的成功,在很大程度上归功于董事会、高管层对内控建设的高度重视。内控体系是公司风险管理的重要抓手,是公司健康运行的“神经系统”。在公司内部进行充分宣传,取得公司各个层面的理解和支持,在思想上取得认同,是企业建立真正行之有效的内控体系的关键。
3.收益成本问题。内控体系的成本不仅在于制定的过程需要大量的投入,耗费企业一定的财力和人力,内控体系的日常执行,在一定程度上也会提高公司的运行成本。所以,在内控体系的设计上,对任何企业控制点的设立,必须科学地进行分析,根据企业管理水平进行最为恰当的设计和建立,而不是简单地照照搬其他企业的控制体系。
4.持续改善问题。应该说,内控体系的建设只有起点,没有终点。内控体系的不断完善,实质上也是公司管理水平、治理水平不断提升的过程。上海大众对内控建设提出了“不断完善,追求卓越”的口号,实际上正是出于这一考虑,内控体系建设是一场真正的从普通到优秀、从优秀到卓越的持久战。