成都商务服务交流群

中国《内部控制基本规范》之内部环境

IPO内控2019-03-17 14:38:08


点击标题下「蓝色微信名」可快速关注

内部环境是指为指导各层级员工执行其内部控制责任以及进行决策的标准、流程和结构,能够为与主体目标相关风险的评估、控制活动的执行、信息与沟通的应用和监督活动的实施提供支持。


内部环境是其他内控要素的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。


1治理结构 


治理结构是由股东、董事会和经理层等形成的一定的相互关系,它们依据法律赋予的权利、责任、利益相互分工,并相互制衡。在内控中,主要是对股东(大)会、董事会、监事会、经理层的职责以及议事规则进行规范,大的原则为:

(1)股东(大)会享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权

(2)董事会对股东(大)会负责,依法行使企业的经营决策权。

(3)监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。

(4)经理层负责组织实施股东(大)会、董事会决议事项,主持企业的生产经营管理工作。

在《内部控制应用指引第1号-组织架构》对治理结构设置以及议事规则有具体的指导。

我国企业的公司治理一直是个难题,不仅在中小企业,在大中型上市公司同样存在,本来股东会、董事会、监事会、管理层是有明确的议事规则和制衡关系的,但往往会出现某些人逾越规则,不按规则办事的情况,这就是典型的凌驾于内部控制之上,导致内部控制失效的情形,这个公司治理展开来讲都能写好几本书了。

COSO内控框架原则2:董事会应展现出其独立于管理层,并对内部控制的开展和成效实施监督,可以看出其更为关注董事会所起的作用,要求董事会独立于管理层,并具备相关的技能和专业知识来实施监督工作。


2机构设置与权责分配


组织架构分为两方面,一方面是负责内部控制的组织架构设计,另一方面则是公司运作的组织架构,先看内控的组织架构为:

(1)董事会负责内部控制的建立健全和有效实施。

(2)监事会对董事会建立和实施内部控制进行监督。

(3)经理层负责组织领导企业内部控制的日常运行。

(4)成立专门机构或指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。

(5)董事会下设审计委员会,负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。

也即建立和健全内控是董事会的职责,董事会指导管理层执行,管理层需设立或指定合适的部门负责具体实施,期间,董事会下设的审计委员会起监督职能,这一整个链条是董事会建立和实施内控的链条,监事会再对董事会执行内控的情况进行监督。这是内部控制的组织机构和职责分工设置。

接下来,再看企业运营的组织机构设置和职责分工,这方面,《内部控制基本规范》未做过多着墨,仅做出原则性的要求,即;企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。因为企业的机构设置和职责分工,是根据每个企业的不同情况而不同,你很难做一个固定的模式要往所有企业去套,同时,如何让机构设置和权责分配适合企业的发展,本身也是一个非常大的课题,涉及到各个方面,内部控制也无法在此面面俱到。

不过这里对职责分工有要求,即需要明确职责权限,将全力与责任落实到各责任单位。职责权限不明,这是很多企业存在的通病,也是笔者在做内控建设咨询时遇到的常见问题。在企业还在发展初期时,根本不会对职责权限很明确,很多情况是一个人做多个岗位的事,没有说某个岗位做某些事情,等到发展到一定规模,这个做事习惯已经养成,要改,也是一件比较困难的事情。但是不改也是不行的,从内控建设来说,这是建设的基础,后续的控制活动,很多都是建立在职责权限之上,如不形容职务分离、授权体系、流程等等,所以在做内控体系建设时,梳理职责权限是必不可少的一项工作。

机构设置和权责分配同样在《内部控制应用指引第1号-组织架构》里给予了实施指导意见。

COSO内控框架原则3:管理层为实现目标,应在董事会的监督下确立组织架构、汇报路线、合理的权利与责任,这里所说的,就是组织的运行架构了,而非内控的架构,可能是中国的内控建设刚起步,所以在《内部控制基本规范》中对内控的组织架构和权责单独做了明确的规定。


3内部审计


《内部控制基本规范》对内部审计方面的要求,主要是在内部控制范围内的,对内部控制的有效性进行监督检查,但内部审计的实际工作范畴可能并不局限于此。

值得注意的是,对内部审计机构的汇报路径,这里强调了一点,即对监督检查中发现的内部控制重大缺陷,内部审计机构有权直接向董事会及其审计委员会、监事会报告,这一点在做内部控制建设的流程及职权设置时需加以注意。

在发布《内部控制基本规范》之后,紧接着,发布了《企业内部控制评价指引》,对内部控制的监督检查,可以参考此指引来执行。

COSO内控框架原则5:组织为实现目标,应要求员工承担内部控制的相关责任,内部审计也是从要求员工承担实施内部控制的职责出发,监督是否按要求执行,但COSO内控框架此原则不仅局限于内部审计这一方法,其还建议通过组织架构、权力与责任强化问责机制、建立绩效衡量、激励和奖励机制。


4人力资源政策


人力资源政策列举了人力资源应包含的大部分内容,包括一般的招聘、培训、辞退、员工绩效考核、晋升、岗位轮换、保密协议等,同时强调企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准。

在实际建设中,人力资源主题,在同类型企业来说,流程方面基本不存在较大的差别,但不同类型的企业,尤其是在重资产行业和知识行业差别就非常大,后一个靠人来做业务,人可能就是企业最大的“资产”,所以人力这块成为其重点建设内容。

同时,在人力资源这块,国家有相关的法律法规需要各个企业遵守的,在合规方面,一定要在建设中充分考虑,在IPO审核时,人力方面的合规是肯定会被审查的。

COSO内控框架原则4:组织应展现出其对吸引、培养和留用符合组织目标要求的人才的承诺,其主要关注点在政策及实践应反映出对实现目标所需胜任能力的要求、评估胜任能力并改善不足、吸引、培养和留用人才,以及规划与准备后续人才。

COSO的内控框架原则中的内容,在《企业内部控制应用指引第3号-人力资源》中均有对应条文。


5企业文化


一说到企业文化,大家就感觉这是一个比较“虚”的东西,它很难说具体是一个什么,百度百科上的定义为:是一个组织由其价值观、信念、仪式、符号、处事方式等组成的其特有的文化形象,简单而言,就是企业在日常运行中所表现除的各方各面。

在《内部控制基本规范》中,对企业文化,增加了要强化风险意识,风险管理是内部控制的灵魂,所以在内部控制建设中,要将风险管理融入到企业的文化中,使企业所有员工都有风险意识。其次,董、监、高在企业文虎建设中发挥主导作用,企业高层的行为对员工的影响是潜在且巨大的,如同父母对孩子的影响,制度写的再完美,高层带头违反,也是没用的,制度没有写,高层按照道德习惯遵守,员工也会自觉遵守,所以董监高的作用毋庸置疑,在COSO里也是强调高层基调的重要性。最后强调了企业要加强法制教育,这是在中国大环境下增加了一个特色吧。

COSO内控框架原则1:组织应展现对诚信和道德价值的承诺,可以理解为是企业文化的一部分,其主要关注贯穿整个组织的“高层基调”以及全员必须遵守的“行为准则”。

《企业内部控制应用指引第5号-企业文化》即是指导企业文化方面的内控建设意见。

除了以上提到的应用指引外,内部环境方面的应用指引还包括另外两个,分别是《企业内部控制应用指引第1号-发展战略》和《企业内部控制应用指引第4号-社会责任》。发展战略主要包含战略的制定和实施的内容,社会责任则包括安全生产、产品质量、环境保护与资源节约以及促进就业与员工权益保护。



公众号

IPO内控


分析IPO审核内控问题

分享企业内控建设经验和知识





Copyright © 成都商务服务交流群@2017