管理答疑
????編者按:針對讀者提出的涉及管理方面的問題,本刊編輯部邀請專家予以解答。讀者也可以在本刊的網站2meike.com上獲取本欄目內容。如有任何建議或有意參與,請通過 [email protected] 與本欄目編輯聯系。本期回答問題的專家是德勤企業風險管理服務華北區主管合伙人趙善強。趙先生擅長涉及綜合條款的大型項目管理。目前,他是中國企業內控準備及與薩班斯法案相關服務的團隊領導人。德勤是中國大陸及港澳地區居領導地位的專業服務機構之一,為中國國內企業、跨國公司以及高成長的企業提供全面的審計、稅務、企業管理咨詢和財務咨詢服務。 ????作者: 《財富》(中文版) ????問: 我是某上市公司的財務總監,我們的企業正在進行內控(內部控制)體系建設,我想了解一下目前中國上市公司在內控建設和執行上的一些情況,并請專家給予我們一些建議。這方面是否有其他上市公司的先進經驗值得我們學習和借鑒? ????答:德勤(中國)于 2007 年 6 月份以問卷方式開展過一項有關中國上市公司內控現狀的調查,可以提供給你們作為參考。調查中,共有 86 家上市公司的董事會秘書、財務總監或相當職位的高級管理人員提供了反饋信息。調查結果顯示,中國上市公司的內控現狀如下: ????對監管要求的了解程度和遵循程度。超過七成(74%)的上市公司清楚了解監管機構對內控的要求。但是,受訪企業中只有 20% 的公司認為自身現有的內控體系設計能夠滿足監管要求。另外,55% 的公司認為內控體系設計不能完全滿足要求,其中部分企業不能確定自身是否有足夠的專業人員開展內控項目;剩余 25% 的公司認為現有的內控體系設計不能確定是否滿足或認為不能滿足監管要求。 ????內控設計(主要針對通用計算機控制的設計)。在企業內控體系的設計方面,上市公司普遍存在一些弱點,盡管 74% 的公司認為自己已經設計了部分或全部的通用計算機控制(比如,系統開發與變更、信息系統安全等),但 69% 的公司不能完全確定其通用計算機控制設計的有效性。 ????內控文檔記錄。在收集的問卷中,有 25% 的公司認為,建立內控體系時,需要對公司整體控制情況和所有重要的業務流程進行描述,其他企業不能確定關鍵控制活動是否已被準確、完整地記錄下來。在內控文檔的更新方面,大約 75% 的企業并不一定及時更新內控文檔。 ????內控設計和執行有效性的評估。在內控的設計和執行有效性方面,有 73% 的公司不能確定內控是否有效;30% 的公司認為,自身不能獨立判斷內控設計與執行的有效性,需要專業機構和專業人士協助評估。 ????內控缺陷的識別、整改和報告。79% 的公司不確定是否能夠識別內控的缺陷,但 71% 的公司認為,會在發現缺陷后立即進行改善。73% 的公司認為自身已建立了有效的或較為有效的報告渠道。 ????內控自我評估報告的編制。34% 的公司認為自身可以獨立編寫符合證交所要求的內部控制自我評估報告,45% 的公司認為自身只具備部分的報告編寫能力,其余公司無法確定自身的報告編寫能力。 ????對內控的重視程度及對評估結果的關注程度。26% 的公司認為自身非常重視內控體系,對內控評估結果非常關注,并且將內控評估結果納入到定期業績考評中;另外,有 27% 的公司不關注或不能確定是否關注內控的評估結果。 ????內控長效管理機制的建立。72% 的公司不完全認同其自身已建立了持續監控內控有效性的機制;20% 的公司認為需要利用外部專業人員來協助內控的檢查、監督與評估等工作;30% 的公司認為需要部分利用外部專業人員來協助這方面的工作。 ????我們認為,由于各自不同的發展歷程,中國的上市公司管理水平的差異化是現階段的國情,因此許多公司的內控在短期內未能完全符合監管機構的要求是可以理解的。我們覺得以下 7 點值得上市公司關注: ????1. 企業,尤其是上市公司,應將內控建設工作由被動變為主動,把監管要求作為提高自身管理水平的契機,自行制定實施時間表并開展工作,而不是認為內控只是為了滿足監管要求。 ????2. 內控制度的建立和體系的健全,亟需得到公司高級管理層的重視。公司高級管理層的重視程度,對內控體系的建立與健全非常重要。可以將內部的管理需求與外部的監管要求相結合,并將其管理理念運用于內控體系的建設。 ????3. 關注內控文檔的記錄與更新。很多企業認為,進行內控文檔的記錄并將所有重要的業務流程加以描述,是非常繁瑣的事情,且隨公司業務及流程的變化,更新內控文檔也耗時費力。但我們認為,建立內控體系,需要對公司的具體控制活動和所有重要的業務流程進行描述,因為內控文檔是進行內控制度建設和企業員工具體執行內控制度的依據,也是公司進行內控有效性評估和編制內控自我評估報告的基礎。由于內控是動態的,帶有時效性,過去有效的內控在將來可能不一定有效,所以更新內控文檔也非常重要。 ????4. 重視對識別的內控缺陷及時整改的環節。調查顯示,71% 的受訪公司認為,一旦發現內控缺陷,將立即改善。這反映出企業只要知道存在內控的缺陷,一般都會采取適當的行動,以降低風險。這一點值得正在進行內控體系建設的公司借鑒。公司內控體系的建設,最終是為了改善現有控制的缺陷,降低公司面臨的風險,以提升管理水平。 ????5. 重視內控自我評估報告。內控自我評估報告雖然是為滿足監管機構要求對外披露的內控評估結果報告,但必定是公司尤其是上市公司對外披露內控建設及評估結果的重要渠道,也代表了公司的公開形象。上市公司必須理解,內控自我評估報告必須是基于管理層的內控自我評估結果編制的,不應與內控有效性評價脫節;對內控自我評估報告的理解應與監管機構的要求一致;應充分掌握編寫內控自我評估報告的方法,理解報告的編制基礎和推導依據。 ????6. 建立內控長效機制。在建立長效機制的過程中,以下因素應予以重點關注:(1)公司不應誤以為內控僅僅是為滿足監管要求而做的一次性工作,而應與日常管理緊密結合,成為日常經營管理的重要組成部分;(2)公司應搭建長效管理機構來開展內控相關工作,形成匯報機制和日常監控手段等;(3)加強對內控有效性的認識,提高內控在公司中的運行效果,從而進一步集中各種有利資源,進行內控長效管理。 ????7. 加強人才的培養及必需的內控培訓。評價內控的設計和執行有效性及對內控缺陷的識別,均需使用專業的方法并結合最佳實踐。這要求企業必須有具備內控專業知識和能力的人員,以對現有控制的設計和執行作出評價,并對內控缺陷進行識別。若在開始階段不具備此類人員,公司可以考慮尋求專業機構的幫助,在運用專業方法方面實施知識轉移,如接受更多的專業培訓,并通過不斷實踐增強這方面的能力。 ????問:我在一家國有企業主管風險管理工作,我不太了解如何有效地進行風險管理,專家能否就此提供一些建議? ????答:在中國企業中,風險管理工作只能說剛剛起步,但全球化趨勢和企業業務的日益復雜化等因素從各個側面加大了公司可能面臨的風險,也使得風險管理工作迫在眉睫。進行有效的風險管理,公司可以借鑒德勤提出的風險智能模型,構建公司風險管理體系。這一模型如附圖所示,旨在告訴企業如何通過管理風險實現保值增值。 ????風險智能模型從三個層級來描述風險管理,提供了一個進行有效風險管理工作的方法: ????第一級:外部因素。風險智能模型的最外圈橙色箭頭表示可能對企業造成負面影響的外部因素,包括消費者偏好的改變、政治壓力、監管要求、競爭者行為等。外部因素的主要特點是日益增長的不確定性、復雜性、相關性和變化速度日益加快。 ????第二級:風險管理能力。風險智能模型的紫色外圈代表了企業的風險管理能力,通過相互影響的四大方面來衡量。一個方面的薄弱,可能會反映出企業系統性的薄弱。風險管理的四大方面是: ????· 治理 指公司及時和有效地進行風險回報計算、做出風險決策及執行這些決策的能力。具體內容包括董事會及其專門委員會、管理層、內部審計和風險管理職能部門的角色和職責;高層的風險管理基調;風險管理政策,如風險偏好及風險容忍度;道德準則及授權機制等。 ????· 人員 關注風險管理能力及相關的風險,如擁有人員的適當數量、進行有效培訓以及提升風險管理意識等。 ????· 流程 包括進行有效運營所必須的操作流程和基礎業務流程,以實現保值增值的目的。 ????· 技術 此方面強調的是企業開發可行的系統,在全公司內進行風險信息的分析與溝通,以幫助進行有效的決策和及時的風險應對。 ????第三級:風險管理的七大步驟。風險智能模型的中間藍色和綠色內圈表明,要想成為風險智能型企業,需要七大步驟: ????· 制定和運用戰略 戰略通常是為實現企業的保值增值目標而制定,如追求收入增長、擴大經營利潤、資產有效使用及實現預期目標等。 ????· 識別風險 內部和外部風險都會危及企業目標的實現。我們應采取情景分析等方式識別風險,并考慮風險事件之間的連鎖反應,而不應把風險事件孤立看待。這包括影響未來增長目標實現的風險和對現有資產威脅的風險。 ????· 評估和計量風險 要考慮:1)風險事件可能造成負面影響的程度以及發生的可能性;2)現有風險減輕措施及現有控制后的風險敞口。 ????· 風險應對 風險應對方案應考慮所有可能的選擇,包括選擇規避風險還是接受風險,或是盡可能降低風險或轉移風險。而且,在具體方案的執行上,應按重要性考慮資源的優先順序及有效配置。 ????· 內部控制設計及測試 控制活動是能夠有效管理風險的政策、程序及系統。管理層的主要職責是恰當地進行控制活動的設計和測試。 ????· 監督、鑒證與管理升級 監督是指定期對企業風險管理方案(包括單個的和整體的)進行檢查,以及時發現其中的變化并進行預警。鑒證是指管理層評價內控體系是否按預期狀況運行。應由獨立的職能部門定期測試控制活動,以保證管理層的內控自我評估報告依據內控評估結果,且鑒證內控已進行恰當的設計和有效的運行。管理升級是指當風險一旦超過某個特定的臨界值或者存有不良動機時公司應啟動的流程,即將風險提升到公司適當的授權級別,以得到迅速的解決。 ????· 維護并持續改進 風險智能模型應保持連續性,這主要取決于人員的能力、流程和系統。改進總是可能的,所以應對風險管理過程進行日常評估,并在此基礎上進行持續改進。 相關稿件
|
|
500強情報中心
|
深入財富中文網
|
