logo
24小时服务热线

400-166-9580

企业上市内部控制的措施和风险有哪些

首页:前海中天资本 栏目:常见问题 时间:2022年05月27日 09:21:29

内部控制是上市公司重要的组成部分,近年来随着经济的迅速发展,建立上市公司的内部控制迫在眉睫。那么企业上市内部控制的措施和风险有哪些?我们一起来看看吧。

企业上市内部控制目标

1.不同内部控制目标体系的比较

在我国内部控制规范体系中,内部控制建设目标可以归纳为:战略目标、经营目标、合规目标、资产安全目标和财务报告目标等五个目标。

同时,COSO在《企业风险管理整合框架》(以下简称ERM)中将风险管理的目标分成四类,即战略目标、经营目标、报告目标和合规目标。

比较上述三大体系的目标,可以发现我国内部控制体系目标有如下特点:

第一,整合了IC和ERM框架。我国的内部控制目标是综合IC和ERM框架的要求,对企业实施内部控制体系提出了更高要求。

第二,强调资产安全目标。我国的基本规范之所以强调资产安全目标,并单独作为一个内部控制目标,主要是因为国有资产的增值保值是我国特有的国情。

第三,没有强调非财务报告目标。IC2013更新了原有IC中的财务报告目标,采用了ERM中的报告目标,拓宽了报告的外延范围,强调合理保证非财务报告和内部管理报告等信息的真实完整。

因此,我国内部控制体系实际上约等同于ERM。但是,IC强调“确定目标”是“内部控制的前提条件”(即“目标既定论”),而不属于内部控制本身;ERM强调“应用于战略制定并贯穿于企业之中”(即“目标设定论”),并体现在其风险管理八要素中的目标设定、事项识别等要素中。所以,不能简单将全面风险管理的八要素视为内部控制五要素的细分。

2.内部控制目标的实务分类

从内部控制实务的角度看,IC的报告目标可以拆解为财务报告目标和非财务报告目标。其中非财务报告目标可以作为信息与沟通要素融入到相应的战略目标、经营目标和合规目标中。

同时,资产安全目标也可以拆解为两部分,即“用于保护资产安全且与财务报告可靠性目标相关的控制”和“其他资产安全相关的控制”。对于前者可纳入财务报告目标的内部控制建设中;对于后者则可纳入经营目标的内部控制建设中。

经过上述重分类后,从建设和实施的角度,可以将内部控制建设目标界定为:财务报告目标、合规目标、经营目标和战略目标等四个目标。其内涵各不相同,因此梳理和确定上述具体目标体系的方法也不尽相同。

3.从一般内部控制目标到具体内部控制目标

内部控制建设是否能体现企业的特色,关键就在于内控建设是基于一般内部控制目标开展的,还是基于具体内部控制目标开展的。如果是基于一般内部控制目标开展,则会围绕部门职责和流程来进行风险评估,建设成果可能很丰富,但因为没有深入业务,对经营效率和效果以及战略提升的帮助并不很大,因而无法让企业高管层满意。

基于具体内部控制目标的建设,则是以企业KPI为核心,构建绩效指标体系,并对指标体系进行风险评估,进而优化流程。在据以绩效指标进行风险评估时,往往会发现很多基于职能和流程无法发现的风险,例如在对销售指标进行风险评估时,可能会发现销售人员的销售技巧不足导致业务开发业绩不达标。

更多资讯:企业上市内部控制要素

企业上市内部控制风险

《中央企业全面风险管理指引》及其相关评价规定则进一步将风险划分为战略风险、财务风险、市场风险、运营风险和法律风险五大类,并且每大类内部又分解为一级、二级和三级风险。

以销售活动为例:

销售活动面临的最大风险是销售不足(图1)。销售不足的原因可能是产品定位问题(战略风险),也可能是竞争者提供了更具优势的解决方案(市场风险),或客户受资金不足而出现的需求不足(运营风险)等。针对客户资金不足问题,我们可以采取担保政策,也可以采取信用管理政策。如果采取信用管理政策,则随之而来的就是如何确定客户的授信额度问题。如授信过高(财务风险)则会导致后期坏账和催款成本激增;如授信不足(运营风险),又无法对销售起到刺激作用,因此,需要一个授信额度的审批程序来规范授信过程。

解决这个困境的方法就是在原有条块横向分割的基础上,再按风险影响的涉及面纵向划分为:战略性风险、战术性风险和操作性风险三个层次。

仍以销售活动为例,销售不足为战略性风险;授信不足或过高为战术性风险;授信审批没有按照要求执行则为操作性风险。构建自上而下的风险指标体系即符合企业目标管理、绩效管理和流程管理的原理,又能通过追踪至操作性风险来检查是否所有战略性风险和战术性风险都已得到有效控制。

实务中,可以将原有的横向风险清单作为索引工具,这样既便于合规性检查,又便于员工按图索骥,理解相关风险的具体控制措施及其在整个业务循环中的前后配合协调工作。

更多资讯:企业上市内部控制漏洞

企业上市内部控制措施

1.控制措施的具体内容

在实务中,经常会有企业的管理层特别是高管,抱怨内部控制体系就是增加一堆表格和签字,但却没有人能解释为什么要签字;同时,企业管理层真正希望解决的问题,却几乎没有触及到。

造成这种局面的直接原因就是缺乏对风险层次的清晰认识,进而导致在内部控制建设过程中只局限在操作性的业务流程层面,而忽略了或者无法将针对战略性风险和战术性风险的控制措施落实到位。

战略性风险的主要控制措施是完善决策机制和企业定位,常见的内部控制措施包括决策程序、决策标准和决策能力的建设。企业战略目标的涉及面从抽象到具体可以包括愿景、定位、规划和产品,因此,对战略风险的管控措施更多是从资产组合、决策/定位和培养竞争优势等着手。

战略性风险的内部控制建设成果可以体现在公司治理文件、集团管控模式、企业的战略定位和商业模式等载体中。

战术性风险的主要控制措施就是完善管理机制,常见的内部控制措施包括岗位设置、预算管理、运营分析、绩效管理和预警机制等。

其建设成果可以体现在岗责体系、流程体系/价值链(即一级流程)和基本管理制度等载体中。

操作性风险的主要控制措施是作业动作,常见的具体措施包括不相容职责分离、授权/审批、查证/核对/复核、财产保护和会计系统控制等。

其建设成果可以体现在权限指引、具体管理制度、标准操作流程(对流程体系的细化和分解)和业务表单等载体中。

在企业管理中,这三个层次的管理活动是层层推导的,因此,同样的战略定位可能因为不同的策略而需要不同的管理机制和业务流程,进而需要不同的控制措施。

比如,同样以创新战略作为战略性风险的控制措施,索尼公司将研发团队分为三个小组,第三组的任务就是淘汰前面两组的产品;而3M公司则鼓励员工利用20%的工作时间和公司的资源去做自己的发明创造。两者落实战略的管理机制不同,对应的流程活动和控制措施也将大相径庭;但两者最终都在市场上取得了成功。

2.将控制措施嵌入管理过程

法约尔在管理史上首先研究并定义了管理的要素,包括:计划、组织、命令、协调和控制。所以,内部控制不是抛开原有的管理体系另起炉灶,而“是管理过程的一部分”。

内部控制建设最直观的成果就是内部控制手册,其核心内容是风险控制矩阵和流程图等。

正确理解内部控制手册的使用应当包括两个层面。

第一,内部控制手册使用者主要是内部审计人员和外部审计师,供其在内控自我评价和内控审计鉴证时快速确定关键控制点;

第二,在内部控制手册完成后,企业需要将风险控制矩阵中的控制措施,更新到原有的制度和流程文件中去,并且以划线标注或编号标注等方式体现出哪些是控制措施。对于非内部审计部门而言,内部控制手册在日常工作中,只能作为一种索引工具使用。

(挂牌上市:www.qhzj8.com)
前海中天资本版权声明:

本站部分文章来自网络,版权归属于原作者或网站,如有侵权请立即与我们联系。

返回顶部