《基于内部控制和财务监督管理资源整合视角下提升内控风险管理水平研究》由会员分享,可在线阅读,更多相关《基于内部控制和财务监督管理资源整合视角下提升内控风险管理水平研究(12页珍藏版)》请在金锄头文库上搜索。
1、 基于内部控制和财务监督管理资源整合视角下提升内控风险管理水平研究 摘要:风险伴随着企业生产经营活动的开展而生,随着环境的变化而变化,因此风险管理贯穿于企业经济活动的每个流程、每个环节。在科技变革和产业变革的推动下,商业模式、产品种类快速进行着演变和迭代,多变的社会形势和内部环境,更加紧缩的效益空间,如何在发展中规避风险,提高风险前瞻性、增强员工风险管理意识、降低风险管理成本,是风险内控管理面临的主要课题。本文从财务视角对公司风险内控管理资源和现状进行剖析,提出提升内控风险管理水平的具体措施和建议。关键词:内控管理财务监督 财务生态一、内部控制的前世今生第一阶段,内部控制(Internal C
2、ontrol)是近代提出来的,最原始的控制思想的雏形来源内部牵制,牵制思想可以追溯到人类几千年以前的古文明时期,在周记的记载中也有体现。牵制思想最早出现在财政管理中(财务管理),随部内部牵制思想的发展,控制一词最早在17世纪被提了出来,这一阶段内部控制主要体现在对会计账目和会计岗位的分离和牵制。是为了避免无意识的错误和有意识的舞弊。第二阶段:20世纪是现代企业内部控制理论的发展形成阶段。1912年审计理论与实践中能=对内部牵制进行了系统定义;1949年美国注册会议顜 协会发表内部控制:协同的系统要素对管理层和会计师的重要性,首次给出了内部控制的定义;1972年的“水门事件”,美国政府要求所有的
3、美国公司都要建立和保持健全的会计记录和内部控制。直到1992年COSO委员会公布内部控制-整合框架此框架对于内部控制的定义也作为一个被广泛认可的定义一直沿用到今:“内部控制是一个过程,由组织的董事会、管理支和所有员工共同实施,旨在为经营的效率效果、财务报告的可靠性、法律法规的遵循性提供合理保证。”将内部控制分为了五要素“内部环境、风险评估、控制活动、信息沟通、监督改进,从而将内部控制带入“五元论”时代。第三阶段,2000年后,安然事件的发生,美国国会为了挽回全球投资者的信心,颁布了萨班斯法案,法案中明确提出对于公众公司建立和保持内部控制有效性方面的强制要求,提高企业财务报告和审计的质量和透明度
4、。其中404条款都是和内部控制紧密相关的内容。二、中国内部控制体系建设2008年,中国财政部参考了COSO的五要素内控框架,发布了企业内部控制基本规范;2010年出台了18项具体业务的企业内部控制应用指引和企业内部控制评价指引及企业内部控制审计指引, 标志着中国企业内部控制进入标准化、常态化的发展阶段。三、YD公司内控风险管理现状2002年中国YD公司在美国纽交所上市,须遵循萨班斯法案(404条款:内部控制管理评估),集团公司采用美国COSO企业内部控制整合框架(2013)作为基础理论框架以及我国财政部企业内部控制基本规范,结合公司生产和管理的实际情况,经过历年修订,形成了覆盖全集团的内部控制
5、体系。1.内部控制管理职责分工集团公司负责建设全集团内部控制管理体系,包括制定、颁布和维护集团统一的标准化内控手册和矩阵及其相关文档,并负责审批各单位符合上报要求的优化更新申请。省公司负责制定、颁布和维护本地化内控手册和矩阵及其相关文档,并负责指导所属各单位的内控手册和矩阵的维护更新工作。省公司分为内控职能管理部门和内控流程责任部门,并由内控职能管理部门牵头,各内控流程责任部门协助共同完成内部控制制度维护工作。其中,内控职能管理部门为财务部,内控流程责任部门为除内审、党委办公室、巡查工作办公室、纪委办公室、工会之外的12个职能部门,及采购共享中心、行政事务服务中心、互联网运营中心、信息技术中心
6、、网络管理中心共5个直属中心,及适用范围为市公司部分。2.内部控制制度内部控制手册分为两部分,一是公司层面整体控制,二是业务流程层面控制,实时跟踪更新,定期印发新版手册。内部控制矩阵是根据手册的业务流程层面控制抽象出来的工具表格,以控制点为序编列,包含了控制点描述,控制目标,控制方式,责任部门,责任人等关键信息。内、外部审计机构会根据此工具表设计内控测试项目,制定审计方案,包括根据发生频率抽样,样本的具体要求等。每一个审计机构对相同控制点的测试角度都不尽相同,与审计目的、审计风格、审计师个人经验都紧密相关。内控版本演进过程为,辽宁YD公司内部控制手册官方记录最早可追溯至2011年的内控手册,无
7、矩阵;2013年开始增加修订控制矩阵,形成393个控制点,2016年版进行较大的版本改进,通服、TD内控矩阵合并入上市公司矩阵一同管理,直至2019年达到419个控制点;在“将内部控制要求嵌入业务流程、制度、信息系统中”的背景下,2020年版精简为405个点(可适用的为394点),准确执行公司的内部控制战略指导。3.内部控制评价集团公司内审分部、省公司内审部或外部审计师出具或提供审计报告,集团内两个层级的内审机构组成了三道风险防范体系的第三道防线,另外还包含了政府监督部分,如审计署、财专办、社保、税务等检查,也会涉及企业内部控制内容。内外部审计区别:外部审计(普华永道、毕马威等)重点在于由收入
8、真实性为审计切入点,如收入确认、关联交易等,进而分析成本驱动的合理性,从而向企业所有者(股东或经营者)报告企业经营业绩和盈利能力方面的真实情况,供投资者进行参考和经营者决策。若不涉及明显的成本费用异动,一般不会关心诸如差旅费、会议费、业务招待费等支出的合规性,而这些正是内审或政府监督的重点关注的领域之一,形式上,可以归纳为外审面向股东负责,内审面向企业经营者负责。4.财务监督财务监督是会计机构和会计人员依照法律的规定,通过会计手段对经济活动的合法性,合理性和有效性进行的一种监督,是财务的基本职能之一。财务监督近年来也呈现向业务前移的趋势,财务监督的前移不仅会保证会计记录的真实与准确,更保证了财
9、务报告数据的质量,更是真接从财务视角来看业务活动,中国YD公司的美股退市,意味着内部控制转向遵从国内体系,更倾向于业务流程控制,弱化了财务视角,财务监督正是弥补了这一部分,使内控风险管理更加的完整。从2014年省财专办检查开始,近几年来内外部检查频次逐渐增多,检查力度也不断加强,检查和巡视巡察陆续暴露出大量问题,问题的发现不仅反映了公司各项运营流程存在管理薄弱环节,同时也反映出财务监督职能未能得到有效发挥。财务部通过强化财务检查及建立问题整改长效机制等举措,使财务工作的规范性和财务数据质量有了较大提升和改善。对比2020年的第二轮集团财务检查和第一轮财务检查的结果,问题覆盖率从23%下降到18
10、%,全省的问题点由427个下降到261个,下降率达到了39%的,财务基础工作水平提升明显。目前辽宁YD公司的财务监督职能主要体现在合同审核流程、报账单审核流程、会计凭证审核流程、月(年)结账工作流程、财务报告编制、增值税发票管理、会计检查等工作中。相关的工作主要包括:日常监督(会计初核、会计复核、科目余额及发生额数据检查等)、事后监督(财务检查)、结果展示(合规经济事项提示)、廉洁风险管理(嵌入式防控)、内控管理等。四、整合财务内控风险管理资源,打造健康财务生态环境控制与效率,在短期内是截然反方向的工作,控制严苛、教条意味着牺牲效率,甚至催生做假,只有不断适应企业的内部控制环境的控制策略才是最
11、优化选择,为此,内部控制和财务监督工作做出了一些改变、尝试和坚守。1.完善内部控制环境因在公司层面,内部控制是虚拟协作的组织框架,跨部门、跨专业都是非常客观的问题,打造“纵向一体化,横向精细化”的内部控制管理体系仍面临许多挑战,借助信息化手段是提升省公司与市公司、省公司各职能部门与直属中心、部门内部等协同能力、进行数据收集和管理的必要工具。2.全面实现无纸化一个全面覆盖的内控项目,会历时2个月,近千个子项,对打印纸及打印耗材的使用量都是非常巨大的,萨班斯审计被有些基层单位称为“费纸大作战”,自2017年始,公司的信息化系统建设逐渐支撑了无纸化办公,在内控测试样本提供方面,完成从费纸到不用纸的升
12、级改变,助力公司降本增效,本年度将坚持推动公司级的内控IT固化率,达到90%的战略目标。3.标准化内控审计工具表一项资料需求发给被审计单位,执行人员心里没底,不清楚具体样本形式是什么,如提供全量合同文本,还是关键页等,为给基层单位减负,确保审计目的清晰明确,设计了通用的工具表格,外部审计师也非常乐于接受这种提高双方效率的模式,每一个样本都定义一个合乎逻辑的审计目标,简言之,抽取此样本的目的必须让样本提供者准确定位,避免不必要的沟通成本、避免内耗,一旦测试执行无效,也可以精准的定位问题,以免因某一单一子项目样本无效,被定义为多个审计问题发现,以此实现相对“静默”沟通,集中精力思考。4.坚守设计方
13、式,避免教条控制策略不严格,会滋生风险,太严格则会导致执行层面负重而行,严重影响效率。近年来,因内外部检查任务逐年增加,审计项目的设计要求也不断加码,有建议将控制点描述条款式设计,写成第一步、第二步、第三步类操作手册式的文档,这的确有助于形成一个审计项目,但同时也限制了审计项目的适用性,市场变化、公司业务、组织机构都在快速发展,操作手册式的教条控制在助力公司发展上不一定能起到积极作用,因此,手册的设计仍采用关键控制流程环节描述全覆盖,具体实现形式“宽泛”定义的策略,让执行层面放开手脚,在风险可控基础上,发挥主观能动性。5.建设内部控制系统随着企业信息化程度的不断提高,管理流程、业务流程、制度等
14、越来越多的应用到信息系统,从而衍生出海量数据,分布在各个环节之中,这些数据承载着企业重要的经营信息,包含了图表、图像、文字、甚至是语音等多种形式,对使用传统的控制手段去进行信息搜集提出了挑战,财务部主导建设了内部控制系统,以多种形式展示内部控制的实时现状,在“形成全员日常经营与风险防控相互促进的工作机制”和“实现内部控制信息的系统采集分析监控”做出了一定的前瞻性基础工作,还有待于寻求具备资深经验的实施厂家进一步升级改造。6.财务数据使用IT固化因财务数据承载了公司全部的经营信息,财务部领导非常重视财务信息披露和使用的安全性,为此财务部进行充分研究,聚焦关键业务,以及收入结构变化的重点领域,整合
15、公司的业财数据需求类型,2020年1月9日上线了财务数据使用申请的IT固化流程,主要分为政府监管、社会监督、内部监管、商业用途、内部经营,且需要内外部监管使用证明要件,对应为监管部门公函、中移动总部来函、部门通知、专项检查通知、经审批通过的商业项目资料、财务数据管理、服务、支撑材料。财务部在该流程关键节点安排了专业能力非常出色的骨干力量进行职业判断,目前该IT固化流程运行情况良好,2020年支撑了近百项财务数据使用需求,有效降低了企业内部沟通成本和财务信息披露的系统性风险,工作人员最直接的感受就是不用边忙电话边忙工作,并且权责更加明晰明了。7.内控风险管理人员培养与储备按目前公司内控运作模式,
16、内部控制管理工作可以直观的表现为三道防线,第一道防线需要各业务部门的积极参与,提高内控意识,实现从把内控视为负担转变到发展动力的转变,解决部分流程中存在的内控管理与业务管理的脱节现象,经过近年来的内外部检查和整改力度的加强,这一情况得到有效改善,但仍存在不足。可以通过提升培养内控执行层面人员的职业意识来实现。内部控制不仅仅是财务部的职能,会计流程占比四分之一,内控需要公司范围内的广泛参与, 在内部控制的设计和执行方面敢于主动担当,只有主动提升内部控制能力,才能在各种检查中不陷于被动,把内控工作融于日常工作,从而淡化“内控为负担”的印象。8.内控风险管理的价值创造内部控制工作价值并不能直接体现在企业的经营业绩中,内外部检查,内控相关工作人员面对审计发现的疑似缺陷问题,一般是在积极的沟通,
