问: 我是某上市公司的财务总监,我们的企业正在进行内控(内部控制)体系建设,我想了解一下目前中国上市公司在内控建设和执行上的一些情况,并请专家给予我们一些建议。这方面是否有其他上市公司的先进经验值得我们学习和借鉴?
答:德勤(中国)于 2007 年 6 月份以问卷方式开展过一项有关中国上市公司内控现状的调查,可以提供给你们作为参考。调查中,共有 86 家上市公司的董事会秘书、财务总监或相当职位的高级管理人员提供了反馈信息。调查结果显示,中国上市公司的内控现状如下:
对监管要求的了解程度和遵循程度。超过七成(74%)的上市公司清楚了解监管机构对内控的要求。但是,受访企业中只有 20% 的公司认为自身现有的内控体系设计能够满足监管要求。另外,55% 的公司认为内控体系设计不能完全满足要求,其中部分企业不能确定自身是否有足够的专业人员开展内控项目;剩余 25% 的公司认为现有的内控体系设计不能确定是否满足或认为不能满足监管要求。
内控设计(主要针对通用计算机控制的设计)。在企业内控体系的设计方面,上市公司普遍存在一些弱点,尽管 74% 的公司认为自己已经设计了部分或全部的通用计算机控制(比如,系统开发与变更、信息系统安全等),但 69% 的公司不能完全确定其通用计算机控制设计的有效性。
内控文档记录。在收集的问卷中,有 25% 的公司认为,建立内控体系时,需要对公司整体控制情况和所有重要的业务流程进行描述,其他企业不能确定关键控制活动是否已被准确、完整地记录下来。在内控文档的更新方面,大约 75% 的企业并不一定及时更新内控文档。
内控设计和执行有效性的评估。在内控的设计和执行有效性方面,有 73% 的公司不能确定内控是否有效;30% 的公司认为,自身不能独立判断内控设计与执行的有效性,需要专业机构和专业人士协助评估。
内控缺陷的识别、整改和报告。79% 的公司不确定是否能够识别内控的缺陷,但 71% 的公司认为,会在发现缺陷后立即进行改善。73% 的公司认为自身已建立了有效的或较为有效的报告渠道。
内控自我评估报告的编制。34% 的公司认为自身可以独立编写符合证交所要求的内部控制自我评估报告,45% 的公司认为自身只具备部分的报告编写能力,其余公司无法确定自身的报告编写能力。
对内控的重视程度及对评估结果的关注程度。26% 的公司认为自身非常重视内控体系,对内控评估结果非常关注,并且将内控评估结果纳入到定期业绩考评中;另外,有 27% 的公司不关注或不能确定是否关注内控的评估结果。
内控长效管理机制的建立。72% 的公司不完全认同其自身已建立了持续监控内控有效性的机制;20% 的公司认为需要利用外部专业人员来协助内控的检查、监督与评估等工作;30% 的公司认为需要部分利用外部专业人员来协助这方面的工作。
我们认为,由于各自不同的发展历程,中国的上市公司管理水平的差异化是现阶段的国情,因此许多公司的内控在短期内未能完全符合监管机构的要求是可以理解的。我们觉得以下 7 点值得上市公司关注:
1. 企业,尤其是上市公司,应将内控建设工作由被动变为主动,把监管要求作为提高自身管理水平的契机,自行制定实施时间表并开展工作,而不是认为内控只是为了满足监管要求。
2. 内控制度的建立和体系的健全,亟需得到公司高级管理层的重视。公司高级管理层的重视程度,对内控体系的建立与健全非常重要。可以将内部的管理需求与外部的监管要求相结合,并将其管理理念运用于内控体系的建设。
3. 关注内控文档的记录与更新。很多企业认为,进行内控文档的记录并将所有重要的业务流程加以描述,是非常繁琐的事情,且随公司业务及流程的变化,更新内控文档也耗时费力。但我们认为,建立内控体系,需要对公司的具体控制活动和所有重要的业务流程进行描述,因为内控文档是进行内控制度建设和企业员工具体执行内控制度的依据,也是公司进行内控有效性评估和编制内控自我评估报告的基础。由于内控是动态的,带有时效性,过去有效的内控在将来可能不一定有效,所以更新内控文档也非常重要。
4. 重视对识别的内控缺陷及时整改的环节。调查显示,71% 的受访公司认为,一旦发现内控缺陷,将立即改善。这反映出企业只要知道存在内控的缺陷,一般都会采取适当的行动,以降低风险。这一点值得正在进行内控体系建设的公司借鉴。公司内控体系的建设,最终是为了改善现有控制的缺陷,降低公司面临的风险,以提升管理水平。
5. 重视内控自我评估报告。内控自我评估报告虽然是为满足监管机构要求对外披露的内控评估结果报告,但必定是公司尤其是上市公司对外披露内控建设及评估结果的重要渠道,也代表了公司的公开形象。上市公司必须理解,内控自我评估报告必须是基于管理层的内控自我评估结果编制的,不应与内控有效性评价脱节;对内控自我评估报告的理解应与监管机构的要求一致;应充分掌握编写内控自我评估报告的方法,理解报告的编制基础和推导依据。
6. 建立内控长效机制。在建立长效机制的过程中,以下因素应予以重点关注:(1)公司不应误以为内控仅仅是为满足监管要求而做的一次性工作,而应与日常管理紧密结合,成为日常经营管理的重要组成部分;(2)公司应搭建长效管理机构来开展内控相关工作,形成汇报机制和日常监控手段等;(3)加强对内控有效性的认识,提高内控在公司中的运行效果,从而进一步集中各种有利资源,进行内控长效管理。
7. 加强人才的培养及必需的内控培训。评价内控的设计和执行有效性及对内控缺陷的识别,均需使用专业的方法并结合最佳实践。这要求企业必须有具备内控专业知识和能力的人员,以对现有控制的设计和执行作出评价,并对内控缺陷进行识别。若在开始阶段不具备此类人员,公司可以考虑寻求专业机构的帮助,在运用专业方法方面实施知识转移,如接受更多的专业培训,并通过不断实践增强这方面的能力。
问:我在一家国有企业主管风险管理工作,我不太了解如何有效地进行风险管理,专家能否就此提供一些建议?
答:在中国企业中,风险管理工作只能说刚刚起步,但全球化趋势和企业业务的日益复杂化等因素从各个侧面加大了公司可能面临的风险,也使得风险管理工作迫在眉睫。进行有效的风险管理,公司可以借鉴德勤提出的风险智能模型,构建公司风险管理体系。这一模型如附图所示,旨在告诉企业如何通过管理风险实现保值增值。
风险智能模型从三个层级来描述风险管理,提供了一个进行有效风险管理工作的方法:
第一级:外部因素。风险智能模型的最外圈橙色箭头表示可能对企业造成负面影响的外部因素,包括消费者偏好的改变、政治压力、监管要求、竞争者行为等。外部因素的主要特点是日益增长的不确定性、复杂性、相关性和变化速度日益加快。
第二级:风险管理能力。风险智能模型的紫色外圈代表了企业的风险管理能力,通过相互影响的四大方面来衡量。一个方面的薄弱,可能会反映出企业系统性的薄弱。风险管理的四大方面是:
· 治理 指公司及时和有效地进行风险回报计算、做出风险决策及执行这些决策的能力。具体内容包括董事会及其专门委员会、管理层、内部审计和风险管理职能部门的角色和职责;高层的风险管理基调;风险管理政策,如风险偏好及风险容忍度;道德准则及授权机制等。
· 人员 关注风险管理能力及相关的风险,如拥有人员的适当数量、进行有效培训以及提升风险管理意识等。
· 流程 包括进行有效运营所必须的操作流程和基础业务流程,以实现保值增值的目的。
· 技术 此方面强调的是企业开发可行的系统,在全公司内进行风险信息的分析与沟通,以帮助进行有效的决策和及时的风险应对。
第三级:风险管理的七大步骤。风险智能模型的中间蓝色和绿色内圈表明,要想成为风险智能型企业,需要七大步骤:
· 制定和运用战略 战略通常是为实现企业的保值增值目标而制定,如追求收入增长、扩大经营利润、资产有效使用及实现预期目标等。
· 识别风险 内部和外部风险都会危及企业目标的实现。我们应采取情景分析等方式识别风险,并考虑风险事件之间的连锁反应,而不应把风险事件孤立看待。这包括影响未来增长目标实现的风险和对现有资产威胁的风险。
· 评估和计量风险 要考虑:1)风险事件可能造成负面影响的程度以及发生的可能性;2)现有风险减轻措施及现有控制后的风险敞口。
· 风险应对 风险应对方案应考虑所有可能的选择,包括选择规避风险还是接受风险,或是尽可能降低风险或转移风险。而且,在具体方案的执行上,应按重要性考虑资源的优先顺序及有效配置。
· 内部控制设计及测试 控制活动是能够有效管理风险的政策、程序及系统。管理层的主要职责是恰当地进行控制活动的设计和测试。
· 监督、鉴证与管理升级 监督是指定期对企业风险管理方案(包括单个的和整体的)进行检查,以及时发现其中的变化并进行预警。鉴证是指管理层评价内控体系是否按预期状况运行。应由独立的职能部门定期测试控制活动,以保证管理层的内控自我评估报告依据内控评估结果,且鉴证内控已进行恰当的设计和有效的运行。管理升级是指当风险一旦超过某个特定的临界值或者存有不良动机时公司应启动的流程,即将风险提升到公司适当的授权级别,以得到迅速的解决。
· 维护并持续改进 风险智能模型应保持连续性,这主要取决于人员的能力、流程和系统。改进总是可能的,所以应对风险管理过程进行日常评估,并在此基础上进行持续改进。