第四章 中粮油内部控制改进对策——基于COSO新框架
一、细化企业道德规范标准,增加道德规范“约束力”
诚信道德对于企业的控制环境产生重大的影响;而细化企业的道德规范标准,树立诚信与廉洁的企业文化,对于企业员工的行为会有直接的影响,企业员工拥有职业良知与社会的正面评价对于树立诚信文化也有促进作用;若企业员工能够坚守道德规范标准,就能够为控制环境营造良好的氛围,从而使内部控制得到落实。中粮油在诚信承诺方面需要在公司政策中明确员工遵从职业操守及道德规范并进行恰当的宣贯,并设立专门部门岗位或者专门人员负责企业的职业操守及道德规范方面的相关管理工作;将道德规范标准执行情况进行细分,从而将遵循诚信规范的行为纳入那企业员工考核的标准中,尤其是对于管理层员工的考核,促进管理层对于诚信承诺的态度,由管理层向下传递诚信经营的企业氛围,并将执行情况细分指标,从而与员工的绩效考核挂钩,对员工的诚信行为有推动及制约作用,进一步向其全体员工提出清晰并且积极的职业操守及道德规范期望。对于偏离公司政策的行为加大处罚力度,并对相关的处理措施进行书面记录,作为资料保存,以便日后查阅。通过外部约束力量确实落实内部控制的执行力度,提升内部控制执行力度的空间,使得中粮油全体员工能够自觉遵守规范,达到企业内部控制的目标,同时树立企业良好的品牌形象。
二、制定全面的企业目标,扩大“财务报告”范畴
中粮油需要制定全面的企业目标,企业应逐步将非财务目标纳入指标体系,包括:顾客满意度指标;产品和服务的质量指标;公司发展潜力指标,如员工满意度和稳定性、员工技能培训、团队合作精神,管理有效性等;公司的研发创新能力,如研发投入、新产品开发能力等;公司技术目标等等,更加清晰的了解企业的发展动态,及时做出应对措施。
中粮油需要针对企业的战略目标,管理层需要准确的识别风险因素,设定风险忍受能力指标,分析风险的定量与定性指标,依据分析结果采取相应的应对措施;对于风险变动的相关信息进行不间断关注,及时调整应对措施,完善突发事件应急机制;为确保控制活动行之有效,企业需要实时监控检查内部控制实施状况,并对建设与实施过程中的有关问题进行记录,以书面文件、电子文档等适当形式妥善保存,保证文件资料的可查阅与可验证性[34]。通过组织企业内部控制自我评价与内控审计等手段,对各类变化及影响进行识别和评价,并对变化因素的识别和评价,及时的对内控体系进行调整和更新。中粮油在财务报告的方面,需要进一步扩大报告范围,满足内部与外部利益相关者的需求。根据企业制定的全面的目标,充实企业的财务报告内容,在原有财报的基础上,进一步细分出市场调查分析报告、资产使用情况报告、人力资源分析报告、内部控制评价报告及其他的非财务报告,以保证能够满足企业经营发展的各项指标需求。
三、完善管理监督机制,提升企业“反舞弊”能力
监督机制是内部控制体系运行的保障。所以加强监督机制和管理力度至关重要。中粮油需要加强董事会的监督力度,通过提高独立董事的人数比例、强化专业背景来加强独立性,确保独立董事的作用,提高公司透明度,从而加强监督力度,确保各项汇报内容的完善及内部监控机制的顺利运行;实施外部专业机构审计,这主要是指委托公司以外的中介机构(如会计师事务所),对公司下属企业进行全面审计或专项审计。究其原因是对公司内部审计的很好的补充,可以解决内部审计过程中的局限性问题,从而提升审计的质量和工作效率;可以通过专业知识的培训,帮助和督促企业更好的进行内部控制体系建设与实施;可以使审计结论更具权威性和影响力,满足利益相关者的需求;经营管理者激励不足的问题可以通过股权激励制度来解决,股票期权为企业高层管理者带来高回报,起到了明显的激励效果,促进高层管理人员发挥自身能力,使得经营业绩出众,实施股权激励计划的公司业绩会有显着提高,股权激励制度将管理层的远期收益与企业的持续发展相结合,对于管理层的短期行为有一定的抑制作用,减少管理层的道德风险,维护企业的经济利益[35]。中粮油要加大内部审计的监督力度,内审人员可不受限制地访问所有数据文件的业务记录和个人数据,发挥监督职责;总审计师可直接向审计委员会报告审计事项,向CFO汇报日常行政事宜,总审计师被授权直接与董事会沟通相关事项,确保企业具有较高的内部审计的独立性。对于内控体系缺陷的认定,也是中粮油监督机制一个重要部分。中粮油应当建立内控体系缺陷认定机制,内控缺陷认定的标准应保持平稳,同时也应不断发展进步,若需要修改标准则需经董事会的批准并记录在案,并在修改标准的当年,需要对修改内容在内控自评报告中予以说明,以便于报表使用者了解其内容;完善监管措施的配套方案能够很好的应对内部控制信息强制披露执行力不足这一问题,加大惩罚手段的力度,才能够避免信息披露形式化、表面化[36]。对于内控缺陷认定应考虑原则与规则结合的思路,应使用定量判别标准来识别内控缺陷的程度;对会计层面的内控缺陷,应该用定量指标,通过一系列指标量化分析内控缺陷对财务报表产生的影响,从而对内控缺陷是否为一般、重要或重大做出判断;对公司层面内控缺陷认定,无法用量化的指标进行区分,因为公司层面的内控缺陷会对公司的效益、效率及合法合规产生影响,这并不是单纯的指标可以区分的,因此,建议用定性指标去认定。内部控制缺陷的分类应是与五大要素对应,分类总结出内控缺陷,控制缺陷下细分二级科目,可以根据上市公司较多发生且较难审计的业务类型来进行列示,如控制环境要素缺陷下设管理层信誉类、管理层舞弊类、核心员工缺失类等;风险评估要素缺陷下面设置内部风险评估类、外部风险评估类、经营风险评估类等;完善内控缺陷汇报途径,对于发现的内控缺陷,员工不仅要向部门相关负责人报告,同时还要向至少高一级的主管领导报告,从而及时的对内控缺陷采取有效的措施[37]。鉴于部分信息的特殊性、敏感性,企业应建立其他信息沟通渠道。因此,制定重大事件、特大事件报告系统非常必要;在工作中发现内控缺陷及问题,应当及时以书面文件或电子邮件的形式向上级汇报;内部控制部门定期或不定期地向管理层汇报新出现的风险,由管理层定期或不定期的向董事会进行汇报,及时应对缺陷。
中粮油在反舞弊方面设立了举报政策,也积极开展反腐倡廉工作,但是工作力度需要进一步加大,需要结合业务特征及资产暴露水平,在内控体系设计时充分考虑各类舞弊风险,加大对举报人的保护力度,保证监督力度,使举报政策及反腐倡廉等一系列举措能够确实得到实施;在具体业务流程方面,明确业务流程的相关控制政策,并将控制政策具体到流程设计当中,在具体流程中落实内控制度,从而指导企业具体流程的内控实施[38]。在业务活动中,财务报告的可靠性需要有效的财务报告程序进行控制,因此,对于财务报告应评估应包含以下几方面:
编制报表的输入,输出的过程,信息技术的使用,调整和合并抵销分录的类型和数量,参与管理,董事会监督报表的参与程度与积极性。
四、夯实企业控制活动,强化企业“风险应对”机制
对于内部控制业务流程的建设,中粮油应适时制订全体员工的培训专题,根据不同员工的职责分步骤分内容进行内控规范体系的培训,让员工能够深入学习内部控制制度,各部门各司其职,分工明确,使企业的内部控制得以全面执行;建设内部控制体系的过程中,企业需要按照业务控制的不同要求,通过IT信息技术中的权限管理功能,对用户的系统操作权限做出限制,做到不相容职务的分离,避免权限紊乱;可以将企业业务环节、风险点和审批程序植入系统中,实现系统程序的自动识别与控制,减少人为因素的操控,用户操作时会在系统中自动留下控制痕迹,便于对控制活动操作情况进行监控或者审计检查[39]。企业内部也应建立完整的内部控制制度体系和清晰的业务流程,将控制相关要求在岗位职责说明中加以明确;最核心控制要求经责任人亲自签字确认。对各职能部门员工进行责任分工,合理分配权限,明确划分各部门的责任与利益,防止权力滥用,避免权力真空;通过各种手段,包括制度汇编、公司业务流程图、内部控制权限指引等,促使员工正确行使职权,完善沟通机制,确保及时解决员工在工作中遇到的问题。
中粮油需要从整个企业的角度来识别实现目标所涉及的风险,分析风险,并据此决定应如何管理这些风险。在明确其目标之后,应该采取主动积极的管理措施对各类风险进行有效搜集、确认、分类和评价,才能有针对性的设计、执行各种控制措施。评价威胁组织目标实现的风险时,考虑潜在的舞弊。由于主观意图,隐蔽,合谋欺诈风险,严重危害的特点,舞弊不同于一般的风险。只有完善企业风险搜集、确认、分类和评价流程,才能够建立完善的企业风险应对机制,有效应对可能出现的风险。
五、强化信息与沟通,扩宽企业“多元化”信息渠道
企业的信息搜集是企业内部控制实施的重要依据。信息质量(包括及时性、完整性和准确性)的高低对控制措施的实施效果会产生巨大影响。中粮油应当建立完善信息获取的渠道和信息产生的方法、工具,进一步地明确信息输入、输出的标准、口径以及控制措施。建立风险搜集渠道,变单一信息渠道来源为多渠道信息来源,实现信息化建设。对于各个业务流程之间的需要分析其执行岗位的信息需求,建立搜集信息的归集、分类、传递、反馈渠道,将信息进行合理高效的处理,使得信息最大化的得到利用,并对信息质量进行持续跟踪评价,以此逐步改善渠道信息的质量,使信息渠道保持畅通,从而达到高效率的沟通;企业应建立完善的内部信息网络,使企业管理层能够更加有效的获取信息,对信息进行处理。
积极进行外部沟通能够推动内控体系的实施,所以中粮油需要构建专业的外部风险分析团队,加大对审计监察部的建设,并聘请业内专家对于风险评估做出分析判断,实现与被审计对象的信息系统对接,审计对象的实时动态监测,实现在线审计向事前预防,事中控制和事后反馈的转变,使审计更大的发挥其风险监控职能;建立对外沟通内控信息搜集与评价机制,建立内控信息对外沟通与反馈机制;建立涵盖企业风险数据库相关管理机制,对公司主要方面的风险识别、评估、记录。建立良好的IT技术控制系统,不仅提升相关信息的真实性,及时有效性和信息传输的可靠性,减少信息拥堵,还对各业务流程的运作持续监督,及时对流程运行进行有效性评估,指出有效的措施,保证公司内部控制的有效执行,为公司战略的实现做出应有的贡献。
六、加强IT人才队伍建设,提高“信息技术”相关性
现代信息社会,企业要在市场竞争中获得生存位置,掌握核心的科技至关重要。信息技术涉及几乎所有的领域,包括农业、商业、制造业、政府机构等。目前,随着网络,信息处理,人工智能和多媒体成为信息技术的核心,信息技术已成为世界经济的发展和科学技术的发动机。信息技术的高速运算能力,加快了信息处理的速度,提高了效率,为企业的内部控制建设提供更有利的支持,及时解决会计记录与会计核算、会计控制的脱节现象,将会计活动融入业务流程当中,达到及时有效的处理。而如何将信息技术有利运用,不仅仅只是技术和软件就能够解决,关键在于技术人才的建设,只有培养核心技术人才,将人才与技术相结合,通过技术人才熟练运用技术和应用软件,才能够发挥信息技术的强大作用,对于IT人才队伍的建设,也是中粮油现阶段内部控制体系建设的一个重要节点,对员工进行信息技术培训,了解与学习基础的信息技术的知识。
完善内部控制体系不仅需要建设,中粮油还需要对系统进行及时的维护更新,遵循不相容职位分离的内控原则,将系统的软件与硬件的管理交予不同员工,程序编程人员、系统维护人员以及系统操作人员之间协作,将系统维护更新人员杈利与职责进行分离,建立不相容职务分离原则、采取措施对企业的会计系统、预算、财产保全、内部报告进行控制,建立并遵循制度。同时,由于人为的原因比如失误、人为错误、舞弊等导致的系统漏洞与系统失灵,需要制定严格的制度加以防范,对员工进行严格的培训,减少失误,并对舞弊采取严厉的惩罚手段,达到抑制效果。全面分离业务决策者与经办者职责权限,将授权、办理、检查等各个环节都分离开来,减少舞弊的可能性。对企业运行状态中的信息技术系统的进行实时监控,并加大监控力度,增强访问控制,隔离控制,加密和密码控制,有效地防止未经授权的人员对系统资源的非法使用,包括硬件、软件、数据文件和相关的文件。运用技术手段分离不同用户的操作界面,对特殊信息进行加密,做到信息的保密,只有被授权的用户可以查看信息;对于网络信息及时备份,避免突发事件导致的信息丢失,造成企业的信息泄露,制定突发事件应急预案,保证信息的安全性。
系统维护是指对于系统定期进行检查,检查软件时候需要更新,硬件设备与通信设备是否需要维修等一系列的问题,保证系统的良性运作;对于需要进行大规模更新调整的系统功能,需要向上级领导请示,经过周密详细的计划,将维护原因、维护步骤以及维护结果与影响等内容以书面文件的形式,提交上级批准后方可进行维护工作,维护过程需要专业人员进行,并安排专业技术人员进行监督控制,并进行详细记录;对于操作软件的更新与修改,不能让系统操作人员参与,以免舞弊现象的产生,所有的维护过程的相关内容都需要打印资料,提交文件进行存档,以备日后查阅,在对系统进行维护时,还需要注意病毒黒客的攻击,对病毒风险进行实时控制。