3.6 加强内部控制监督
3.6.1监控检查持续化
持续监控植根于公司经营活动之中,实时、动态地应对变化的情况,能够更迅速地识别问题。在正常的经营过程中,许多活动包括差异分析、对来自不同渠道的信息的比较以及应对非预期的突发事件等均属于持续监控,包括日常性管理行为和监督行为,以及其员工履行职责对内部控制体系的运行效果和质量进行评价的行为。因此,它比个别评价更加有效。具体做法如下:
(1)湖南移动通信公司的各级管理人员通过在日常工作中对业务流程运行情况进行监控,取得经营分析数据作为内部控制运行正常的证据。管理层可对运营数据中与其期望不符或可疑的事项提出质疑。
(2)按照公司确定的重大风险损失事件标准,湖南移动通信公司各部门和所属各子公司均在日常工作中及时了解和跟踪公司内部发生的重大事项,并从发生过程、造成的损失或影响、产生原因、事件的处理以及防止同类事件再次发生所采取的对策等方面进行整理分析。相关的重大风险损失事件亦在相应范围内通报,相互借鉴,以防重蹈旧辙。
(3)对于关键的职责,湖南移动通信公司应明确职责分工并赋予管理人员监督职责,对管理层人员在内部控制工作的实施和财务信息的准确性等方面的监督职能建立领导问责制。各层级的管理人员应对所负责范围内的内部控制工作的运行情况进行监控,如出现差错应承担相应的责任。比如:相关部门在上报经营业绩数据和财务报告时,都需要有上级管理人员确认签字,以建立领导问责制。
(4)通过检查各市州分公司报送的巡检报告、进度月报等来对各类系统的运行状况和服务质量进行考核。检查结果将作为各个市州信息技术部门的考核或绩效指标的打分依据,同时将上报省公司管理层,并在全省范围内通报。由于每个项目均会记录参与的相关人员,因此对项目的考核指标将会间接影响到相关部门员工的绩效考核的评定。
3.6.2增强内部审计独立性
(1)建立完善的规范制度,这是湖南移动通信公司内部审计有效运行的保障及基础。目前,国际很多内审机构都颁布了内部审计方面的审计标准和专门的制度规范,并会根据实际发展情况对制度不断更新完善。制度规范不仅是社会中各类企业有序运转的保证,更是社会经济健康发展的必要条件。健全的规范制度不仅是能保证内部审计的正常有效开展,更是在约束审计人员的行为及保护内部审计结果的客观性、独立性方面有重要作用[38].湖南移动通信公司要尽快根据公司现状制定与之相适应的内部审计程序和规范制度,统一流程及规范,并有效实施,从而及时发现、有效防范公司内控风险,减少徇私舞弊及行为差错的出现。不完善的内部审计规范制度,不仅会增加审计人员的工作量,让其无章可循,提升审计的难度,而且会大大增加公司的风险。现在湖南移动通信公司己经初步建立内部审计规范制度的框架,但仍有很大改进完善的空间,如在实施审计项目时很多细节方面不够完善,整体的审计信息系统还有很多欠缺。因此湖南移动通信公要加强对员工在内部审计理论方面的培训,让全体员工加强对以风险为导向的内部审计理论的学习,提高执行人的专业素养,进一步完善修订内部审计规章制度,确保执行效果。对于执行过程中发现的制度缺陷,要同步修改、及时完善。在制度建设上,湖南移动通信公司可以借鉴国内外优秀公司先进经验,吸收适合本公司的方式方法并消化,让优秀的经验转化为适合本公司的审计制度。尤其要加强学习国际上的先进规章制度,这不仅利于湖南移动通信公司内部审计制度与国际的接轨,更是公司进一步发展的重大助力。
除了在公司层面上建立内部审计规范制度,湖南移动通信公司更应该加强对内部审计实施质量的监控。风险控制是风险导向型内部审计的核心,在内部审计相关项目实施的过程中也应该注重把风险作为导向。湖南移动通信公司虽然现在制定并实施《内部审计项目质量监控规范》,但现有的规范仅泛泛规定采用自我控制、实时督导、事后评估检测和外部审计四种方法对项目质量进行控制,并没有制定具体的实施方式和规定。因此,湖南移动通信公司要对具体实施的方式途径作出规范。首先,针对实施内部审计项目的全过程,包括制作审计方案、采集审查证据、撰写审计底稿、出具评估检查报告在内的各个环节进行控制,并要强调对重大风险点的重点关注;其次,对采取外包审计的项目要制定独立的规范制度,对审计质量进行监控。审计项目外包虽然是巳经将审计项目的主要工作或全部工作委托外部审计机构来实施,但这并不代表这公司不用对这些审计项目的实施情况和效果进行监控。同样,对外包审计项目也需要对其方案制定、方案实施等全过程进行监控,注意其中的风险点,严格规范外部审计的流程和程序,全面预防审计风险,确保审计效果和质量。
(2)改善湖南移动通信公司组织结构。在我国,内部审计在企业中的设置模式有五种(见表3.1)。湖南移动通信公司要让内审部门成为一个完全独立的机构,拥有绝对的公正性和独立性。提高内审部的独立性,不仅仅是规章制度及职权设置上对内部审计职责进行明确,更需要提升内审部在公司中的地位。想要内审部门在公司中脱离隶属层级低的问题,关键是要在法律层次上让其提高独立性,让内内审部越过经理层直接对治理层负责[39].而后,釆用建立制度的方式对内审部门的职责职权进行明确,让内审部不再是一个虚设的机构,而有着实实在在的权力。
同时,要要求公司上下对内部审计工作足够重视,让内审工作的执行是凌驾于各个部门之上的,帮助内审部门打开公司各职能科室间的隔阂,让全公司上下都能全力配合内审部来幵展工作。
湖南移动通信公司应通过改革内部审计的组织架构,让内部审计结果不仅向公司的管理层进行汇报反馈,增设向审计委员会反馈,这样不仅保证了内部审计的监督职能,更增加其评价的职能。采用这样的组织架构后,确保了内部审计的公正性和独立性,让内部审计不仅为公司管理服务,更能推动公司治理的改善。
3.6.3建立有效的监控机制
公司应建立风险管理闭环中的关键环节一监控机制,对风险识别、风险评估、风险应对等风险管理活动进行过程监控,同时也从不同的角度、不同的层面测试效验风险管控的有效性[49].湖南移动通信公司应明确监督检查的责任部门和管理层次,风险管理监督部门与执行部门按分工各司其职,实现“裁判员”与“运动员”的相互约束、相互制衡的机制。其次,湖南移动通信公司应明确监督检查频率及检查范围,对于关键业务流程和对风险评估中为重大风险的控制点或流程重点关注,加大检查频率和监督力度。
第一道防线:各职能部门和专业线条的自查自测
各职能部门和专业线条作为湖南移动通信公司内部控制管理中第一道防线,主要采用的是自我监督的管控方式。省公司各控制点责任部门制定测试计划和方案,安排各分公司中对口业务线条的人员按省公司规定的频率自查本部门内部控制公司幵展情况,各部门根据本部门控制点的重要性和风险点,增加关键业务流程的自测频率。
第二道防线:内部控制职能机构的监督与检查
财务部作为湖南移动通信公司内部控制管理中归口的职能机构,是公司内部控制管理中第二道防线。财务部主要是从风险评估和管控的角度,定期对各业务部门的实施情况进行检查,监督各部门是否有针对性对关键的风险点采取有效的风险应对策略,并检查各应对方案的实施情况和实施效果。
第三道防线:内审部的监督与审计
内审部做为湖南移动通信公司内部控制管理中第三道防线,拥有着“裁判员”这一独立的身份,其主要负责对公司的内部控制工作进行评价及监督。内审部通过专项审计、SOX内控测试、内部审计风险评估等形式对子公司内部控制和风险管理进行内部控制监督评价,及时发现问题,提出整改意见。
