第一篇:遵循萨氏法案建内控制度联通经验
中国联通按萨班斯法案404条款的要求把内控的调子定得很高,主要是公司治理的需要,因为中国联通既是境外上市公司又是境内上市公司。这两个层面的上市公司都需要建立内部控制制度,以满足境内、境外上市公司监管法规的要求,维护投资者的利益和公司诚信。萨班斯法案对在美国上市的公司有很强的约束力,它既有实质性的要求,又有改善内部控制环境的员工素质和道德规范要求。实质性的要求,即建立信息披露的控制程序,体现在萨班斯法案302条款中。中国联通在2003年就已经开始贯彻302条款,建立一套完整的流程。而达到302条款要求的关键是要做好基础工作,在对外披露信息文件的形成过程中就建立起一种责任制度,形成行动上的监督。这种监督不是上级对下级的考核,而完全是由会计信息产生和报告单位自己发表的一个“声明书”,承诺提交的会计信息真实、完整。这一流程保证了下级提供的会计报表、每个报表项目所对应的会计记录以及会计记录所对应的相关经济活动都是真实可靠的、是经过层层核对的。到了总部之后,会经过一个包括CFO在内的信息披露审核委员会审核、讨论。只有建立了这一程序和责任体系才符合萨班斯法案30
2、404条款要求。通过履行信息披露程序,最大限度控制会计信息的错误和舞弊行为,提高投资者的投资信心和会计信息的可信度。
事前的准备
中国联通从2003年年底开始准备按照404条款完善公司的内部控制制度。首先是梳理会计政策、业务流程和揭示风险。按照404条款建立内控体系要符合境外的会计准则,而我们一直都是按照中国国内的会计法、会计准则和会计制度来做的,他们之间的差异需要调整。比如,负债单位利息支出资本化和费用化的界线,国内要求以特定的借款用途用于特定投资项目来界定,在达到预定可使用状态前可以进行资本化。而香港和美国是按照实质性判断,无论用于固定资产投资的资金投资项目贷款还是流动资金贷款或其他带息负债,只要用于这个项目的投资所产生的资金成本就应当由该项目来承担。
第二是转变观念,从另一个角度说就是对内控评价或认定标准的认识。过去我们大都依赖红头文件,但是红头文件的指示和要求都很原则,由于执行单位或执行人的理解差异,会有很大的灵活“空间”,企业操作起来就没有了标准。如强调“加强物资管理”,过去红头文件很少规定怎么管理?管理到什么样程度?而按照内控的要求,第一,需要明确建立库管制度,规定采购、验收、保管、出库、损失估计、财产安全和盘点、报告、对账等程序规范;第二,要合理储备物资,这就要确定物资的最高储备限额和最低储备定额,既要避免积压、跌价风险,又要保证供应。这就具体到了标准上。
从2004年开始,中国联通按照COSO框架的要求完善公司的内部控制制度。虽然由于联通在海外上市,建立的内部控制制度必须符合COSO框架的要求,但我们这么做不仅仅是外部的要求,从企业自我发展来说也是非常迫切和必要的。一方面,围绕防范达致经营效果和效率、财务报告真实性、遵从法律法规三个目标的各类风险为目的,在控制环境、控制活动、风险评估、信息与沟通和监督五个方面建立一套渗透所有业务和场所的内部控制制度和管控机制;另一方面,要改变国有企业对风险管理的认识和管理者态度,建立和维护的是一套有效的内控制度和执行程序及分散的控制责任体系,而不是仅靠领导讲话和指示作为经济活动的管理标准和工作规则。当然首先要设定内控制度建设目标,进而形成方案。目标包括阶段工作内容、完成成果和时限。方案是经过独立董事、审计委员会审批的,并聘请一家境外咨询机构提供咨询。
联通审计委员会的独立董事们曾要求我们聘请境外的审计机构不定期设计内控制度,但是境外审计机构和我们的观点在很多方面有很激烈的碰撞。他们站在外部审计师的角度认为,内控要首先以信息的真实性为前提,即所有资产的价值都是真实的。而我们国内准则要求有些资产的受益期限是需要通过判断决定的,比如哪些费用属于期间费用,哪些费用可以递延,受益期多长等,都需要判断。但审计师有时对这种判断不认可,比如公司对这项资产使用年限的会计估计是7年,而审计师认为是5年。审计师往往也会从防范自身审计风险的角度强调这个资产有没有潜在风险。为什么我们与审计师会有碰撞,因为管理层有企业积累和发展的需求,唯有一定的利润才能实现、支撑企业的发展和公司对投资者的责任。我们希望公司的利润每年都有适当的增长,所以我们的会计估计都是依赖恰当的管理上的判断来确定的。这种估计既要考虑到审计师的职业判断,也要考虑国家对行业相关资产的规定及管理层对所使用资产经济寿命和服务期限的判断。现在我们的内控建设,主要还是坚持以公司自己为主、外部咨询师为辅,因为我们真正了解企业面对的风险和应设计的控制措施和控制目标。
内控方案批准后由财务部门牵头实施。在实施过程中我们深深体会到,财务部门很难完成这个任务。就像预算一样,内控贯穿在整个企业错综复杂的流程和关系中,不单单是财务的事情。财务是一个记录、反映和监督的过程,组织对外信息披露的任务责无旁贷,而监督又有两个方面,财务可以完成会计信息和经济活动的日常监督,但是其他一些经济行为的监督财务就做不到了。比如,通信计费由负责计费系统的维护部门管理,他们每月向财务部门报告的应收收入是否准确,必须依赖于计费部门IT系统总体控制和应用控制水平。可以说,监督这项职能赋予了财务很大的责任,但实施起来不尽如人意。根本原因在于影响企业财务报告(内控成果)的因素不仅是会计业务和财务管理水平,还有所有部门的业务,而企业却没有建立起一个普遍的控制制度,所以仅仅依靠一个部门完成是不可能的。又如,错记通话费会出现1倍或几倍的赔付,虽然不排除有人员记录错误的原因,但很多时候是由于系统的更新和扩容或者设计缺陷造成的,是属于技术原因。还有一些原因,比如绩效考核制度,比如对经营者的业绩只以收入为指标进行考核,不正确的业绩观的驱动会导致作弊和虚假收入的出现,因此反舞弊也是内控的目标之一。中国联通过去没有这方面的相关制度,对此我们针对有实质控制权力的人,包括总公司高级管理层、各省管理层和一些关键岗位的部门,建立了一套反舞弊的管理办法,在履行控制程序时去发现、避免造假的发生。可以说这种控制不仅仅是一个作业层面的控制,还包括对高级管理人员行为的控制,而所要控制的对象应该选择重要的部门和业务。
内控首先要保证企业达到下列三个目标:一是提高经营效率和效果;二是保证财务报告真实性;三是保障法律法规的遵从性。内部控制实质上是对影响上述目标实现而对可预见的风险进行揭示,针对个别风险制定有效的控制措施和可接受的风险控制目标,并形成完整的内控制度体系、责任体系和运行及监督机制。从实践和公司的情况来说,我们认为经营效益和效率是公司当前控制的重点。财务报告的真实性通过完善的制度完全可以解决,但影响效益和效果所涉及的经济活动太多了,不是财务一个部门能做到的。因此,公司建立了一个由“一把手”任内控建设领导小组组长、CFO组织内控办公室的主要业务、相关业务部门负责人为成员的组织架构来实施控制。本篇论文.,感谢原作者!实施的第一项工作就是培训,端正态度,正确认识什么是内控,为什么要进行内控。之所以有萨班斯法案,大家都以为是美国惹的祸?实际上不仅仅是美国,我们自身确实存在很多问题。比如我们的损失浪费确实很大,是影响所有国有企业发展的一个重要因素;我们国家现行制度规定企业的重大问题由集体决策,集体决策的结果就是谁也不承担责任或推卸个人责任,等等。这种培训是让每位员工都有内控制度的意识和责任,认识到这是工作的一部分,首先从思想上得到重视。
内控是以制度的形式存在的,我们前边也提到,集体决策的结果是谁也不负责,所以内部控制先要完善制度:建立反舞弊制度和对所有业务流程的控制制度。更重要的是控制环境。控制环境就是包括管理层在内的公司员工形成一种内控的理念,建立全员风险控制责任。
在联通山东分公司的试点
梳理流程,找出风险点
在设计阶段首先要做的是梳理流程,定义流程。对每一项经济业务的初始点和终点都做出描述,并将相关环节串起来形成流程关系。然后找出哪些是重要的业务活动。流程中所有的作业环节必须明确作业内容及其目标和标准,而且这个标准应该是可量化的。由于每个流程会涉及到很多环节,涉及到几个部门,所以每个流程中的各个环节都有一个任务描述,即对流程的说明,包括这个岗位是做什么的、应该做到什么程度、什么时候完成、可能发生什么问题、发生时如何处理等。当然这简简单单的说明后面是公司制度和规定的支持。
比如审批流程。假设我们要申请购买一个笔记本电脑,需要经过一个审批流程。以前是先看公司有没有现成的授权审批制度。如果没有,则按约定俗成的做法:由使用部门写申请,然后上级领导逐级签字,到财务部门看看有没有预算,再由分管业务的副总裁签字,财务副总裁还得签字,最后再转给老总签字,可以看出审批程序很复杂。这笔业务同意了,在签合同和借款的时候还要经过这样一轮重复审批,回来拿发票报账时又经一轮审批。一件事情同样的程序批了三四次。我们的人工是有成本的,每个员工一天都在跑批这个,领导案头也全是这样的待批文件,哪里还谈得上效率!哪里还谈得上经济效益!因此,公司需要建立一个授权审批流程,这就涉及到必须要建立内部日常的授权审批规则。首先在制度上以我国内部会计控制规范明确的两点,即授权审批和不相容岗位分离为基础,建立授权审批制度,明确哪些事项由谁来审批,包括审批权限和审批程序。这一制度的前提是有严格和规范的预算制度。在发生一项经济活动之前必须履行预算审批。审批通过后,在执行时只要相关业务部门负责人签字就可以,不需再重复审批。其实审批权不一定都集中高层就一定能有效控制,谁签这个字谁就要承担全部责任。而以前我们的做法是把责任模糊了,部门签完字到上一级,上一级签完再到上一级,最后一把手签字。出了问题责任是谁的?一把手最后签的字,但是他对这件事情也许不是很清楚。这种控制严不严?这么多领导签字,应该很严格了吧!但是我们没有真正做到实质性的控制,只是一种权力的游戏!只有把这个权力放到一个恰当的职位做最终审批,赋予他监督的权力,同时也承担相应的责任,才最有效。而他的行为和胜任能力则需通过公司的干部监管部门来考核。
再如决策程序。过去决策层对业务的决策随心所欲,没有一个科学的评估程序。比如业务部门设计了一种买100送50的套餐项目,没有经过任何评估,分管领导一批,一夜之间就推出了这个新业务。这个行销方案能获得多少用户?新增用户带来的收入是否可以补偿放弃收入机会的损失?是否会引起用户放弃原来定制的业务?和竞争对手有什么差异?和政府的政策有没有什么违背的地方?有没有不正当竞争?是否政府管制项目?这些问题谁来评估?是否对这些可能产生的风险设计了有效的控制措施?对这些问题首先应该做一个综合的风险评估,制定控制措施和可接受的风险目标,然后再做决策。现在往往是听说哪个地方、哪家公司价格降了,咱们不降不行,你降,我也降。我们的考核机制和决策规则究竟控制了什么?有时为了争取一个用户不惜代价,因为考核指标就是看发展的用户数,并不考虑争取这个用户花了多少钱,能给公司带来多少利润。针对类似的问题,山东分公司的各个业务部门首先揭摆风险,梳理业务流程,再经过专家梳理和总部各个部门一起认定,确定哪些流程列入内控范围,最后一共提出200多个大的风险。然后我们对每一个流程按照三个构成要素建立制度文档:一个是流程图,描述了所有业务的流程关系和所经过的从起点到终点的岗位,并标明哪一个环节有风险点和控制点;一个是流程描述,对所有岗位环节的任务(做什么、怎么做、什么时间完成等)进行描述;还有一个是风险描述及控制文档。
继续分解风险
在各个部门的具体运行环节中,他们还要根据自己的业务流程可能包含的大的风险继续分解,具体到部门中是什么样的风险。比如我们规定用户信息录入时重要的用户信息必须健全,按照用户登记卡的信息进行登记后,在开通后的第二天必须回复一个电话来确认其联系电话和地址的真实可靠。目的就是控制用户的欠费。我们业务的特点是先服务后付费,欠费风险很大,联通一年欠费有几十个亿,这是影响效益的关键问题。那么我们在程序上就围绕控制用户欠费建立相关责任,在流程中的关键部分控制风险。首先明确这个流程当中有什么风险,把欠费的风险分解到几个部门去,主要是业务部门。流程中哪个环节存在这个风险就应该描述出来,标在流程中,提醒这个岗位负责防范。
再比如公司的价格管理。一项服务项目的设计必须有足够的支撑,因为价格过低可能会导致发展用户群出现亏损。针对这个问题,我们要求在制定价格时必须几个部门一起介入,拿出方案。财务部门拿出成本计算依据,计费部门提出计费技术支持方案,评估在价格上违不违背政府的管制,竞争对手反映如何。从几个方面评估,最后进行决策。这样就避免了盲目制定价格导致经营亏损的情况。针对这个风险我们也建立了相关制度。首先我们要评估现有的制度是否还有效。过去有些规定很原则,没办法量化。要量化就要花很大力量去收集文件,建立标准。如果以前没有这方面的制度,我们就要求公司业务部门把这个制度补上,明确要建立制度,不能用流程代替制度。
风险也是针对我们公司面临的问题,大家在一起揭示风险,进行梳理。怎么梳理呢?风险是哪个部门的,就把哪个部门的风险落实到哪个流程上,在哪个流程中就落实到哪个环节。这就把风险控制责任落实到一个个具体环节。有多少个环节就建立多少个控制活动。对控制活动我们在制度上进行描述。一是风险是什么,控制措施是什么,控制责任人是谁。这实际上是归纳,是风险提示,标明这项活动的风险是什么?实施怎样的控制?是接触性的控制还是预见性的控制?比如财务报表的风险,一个问题可能涉及几个风险,有财务报告真实性的风险,
本篇论文.,感谢原作者!有经营效率和效果的风险,有法律法规的风险。在这一张图上都要表示出来:它是什么风险,风险级别程度。我们一定要关注重点风险。在我们设计的制度当中,就像美国911之后发布的安全信号一样,用橙色、绿色、白色区别风险程度。哪些部门、哪些单位是重点,哪个关键流程是重点,我们都把它标示出来,重点监督、关注这些风险。
设置记录性文档
设计当中还有一个重要环节,就是每一个环节要有一个记录性文档。记录性文档分几种,一种是审批单,它记录审批依据、审批人责任。通过审批单我们就知道这是一个什么报告或什么申请。这种文档是传递性的。还有一种完全是记录性的。我们要求每个月要进行存货盘点,建立盘点表。这个盘点表就是记录文档。这个文档要求记录实际盘点的数量、金额和盘赢、盘亏比较,以及存货的质量、是否存在品质残次、是否存在积压滞销、是否存在跌价损失。这个文档非常重要,因为它不仅对外部审计师进行事后复核有很重要的作用,302条款也要求所有记录性文档必须是可供复核的。不像我们过去问仓库管货员:每月盘点了吗?他说盘点了,拿本账对对数就行了。事后也没办法认定他是不是每个月都进行盘点。我们的制度要求虽然可能浪费一些成本,但是很必要。每个月有一个盘点表,看到盘点表我就承认你做了盘点,没有盘点表我就不承认你执行了内控责任。所以这个记录文档是非常关键的。我们在制度上要求必须有记录性文档。管理制度上明确了,我们会依据明确的文档格式来认证。这其实就是相关的内部控制措施。
监督执行
监督制度确立以后,上级怎么执行也必须建立一种有约束的机制。上级要经常监督下级掌握本岗位的工作任务、面对的风险和公司设计的控制措施并执行这个内部制度。所有人员都把自己那块读懂了就足够了。我们把所有的控制责任建立到每个人头上,每个岗位上。这个岗位可能一岗多人,但是只要在这个岗位上工作,就要熟悉这个岗位的业务流程和相关的风险控制。过去很多企业规定每个年度末财务部门要组织进行财产清查,我们的内控制度就不是这样。我们要求分管存货或资产管理的部门应该主动进行盘点,把盘点结果、差异报给财务部门。过去是我们组织他们进行清仓查库,组织盘点,现在要求物管部门有义务定期提供财产清查报告、差异报告。如果存在损失,还要写出说明。过去依赖财务部门去做,不但做不过来,大家还都在应付你。过去新员工上岗,只告诉他坐在哪里,电话多少,大概讲讲怎么做,而没有讲他应该做什么,做到什么程度,有什么责任,将来有什么提升的机会。现在我们要求上级有义务做到这些,然后监督下级。让每个员工熟悉自己,自己约束自己。
就像我们一直以来宣传的那样,经营是有风险的,不能指望这个企业没有风险就收益好,关键是怎样驾驭风险,就是把风险详细地揭示出来。让从事这个岗位的人员知道这个岗位有什么风险,去关注它。我们常常出现的情况是,一个文件当中已经讲了,但有些人员根本不知道他应该控制这个风险,领导签个字,然后存档,没有人来具体控制。对此,我们的内部制度要求每一个流程要把风险细化,分解到每个流程及相关环节中,并加一个标识,提示该岗位员工有什么风险,见了这个风险怎么控制,由谁来控制,落实到位。我们建立的岗位职责也是人力资源部门建立的岗位责任制度,是企业完整的架构,统一的标准。内控制度的岗位职责是这个岗位做什么,做到什么标准?比如收入报告应该次月几号提供,要具体量化才能保证实现。以前只是知道做什么,没有明确做到什么程度。
我们事实上构成了一个内控制度的整体,明确了每一个流程必须包括的控制要素。这些要素说起来很容易,做起来是非常难的。因为有很多东西是约定俗成的,就这么做。找制度,没有;制度什么时候定的,不知道。师傅教徒弟,就是这么做的。执行制度最难的就是习惯改革。我们规定,建立了这套流程和制度规范,就必须按这个执行。不管现在的效果如何,必须按章办事,这是你的职责。至于评价这个控制活动和具体控制目标的差异,特别是制度设计上的缺陷,有相关部门的相关人员来做。已有的制度不遵守,或自己认为这样做效果更好,自己就给改了,大家都这么做,实际上就把这个制度废掉了。这就是我们国有企业控制方式和境外企业控制方式的不同。境外企业的规定很细,哪怕一点点事项,都有最详细的解释。例如通信业,我们规定用户欠费一个月以上停机,那么次月就不得计费,也就不能确认收入了。但企业出于某种利益驱动,就要出账、报告收入。欠费了,我照样计费;停机了我也照样计收入,结果这个用户存不存在都不知道,计费收入无法保证收回。对此,我们会在内控制度中详细描述用户欠费停机的次月起就要停止计他的月租费,把他具体量化。反过来,假如用户欠费但未停机,根据我们的信用制度,我们要求每一个省级分公司或市级分公司必须把它量化。应该根据每一个消费者交费信用的经历来判断,长期交费信用好的,时间有多长应该有一个评估,在多长时间内交多少钱,有信用额度,建立和维护欠费自动停机控制程序,并且必须有专人来维系这个欠费用户。有些特殊用户临时出国了,没办法交费,这期间他会来电话通知“我暂缓再交费。”这种情况是允许的。特别是有些政府机关本月经费没有下来,这些客户虽然欠费但有信用基础。这种情况下,还需维系这些用户的存在,不能说欠费我就停机。
山东分公司的内控制度涉及到400多个流程,用了半年多的时间,可见建设内控制度确实不容易。主要是观念上的差异。我们建立的内控制度也有别于ISO9000.ISO9000只是一个流程图,反映流程关系,不是以控制风险为目标去实现应该达到的控制活动。从企业角度讲,控制目标是降低资产损失、利益流失方面的风险,这是我们关注的重点。下一步公司打算在全国进行推广。首先要进行动员、培训。第一步是进行高层培训,由我们公司的董事长来讲,从企业自我发展的角度认识内控的必要性。各个部门要针对部门所管辖范围内存在的影响经营效率和效果的风险去分析、认识内控的必要性。各个部门的老总也要讲今年准备在内控上做哪些工作,要完成什么样的目标。内控办公室负责讲内控制度设计的规范性和具体要求。我们境外的律师从萨班斯法案404条款及监管要求、出台背景和约束以及执行方面的影响来讲;审计师从管理建议上,针对我们公司存在的管理上的缺陷来讲。通过几个角度进行培训,让领导真正认识和理解404条款的重要性。
在全国推广的过程中,山东分公司的内控制度范本可供各省级分公司参考。这个范本适用于省级分公司,但是不能完全照搬,不能代替各省应当建立的符合本单位特征的内控制度。因为生产组织不一样,管理手段也有差异,同样的风险可能在这里存在,在那里更突出一些;可能一个风险在山东仅是一个部门的一个控制点上,在其他地方几个部门都有这个风险。因此,他们必须梳理风险:一个是通过分析评估来揭示,一个是预见。预见风险和现存的风险要进行归纳,同等对待,建立相关控制。国有企业的管理往往习惯于出了问题再说,亡羊补牢。按照这个逻辑就是待问题已经发生了再建立控制措施,预见的风险并没有纳入事先控制的范围,这就很难保证有效地控制风险。
完善的内
本篇论文.,感谢原作者!控制度设计虽然是一项重要突破,但关键是如何组织落实。落实当中要把这个制度分解到每个人,把这个制度体系分解成责任体系,这样的内控制度才是完善和有效的。我们有信心争取年底前把内控制度设计完成,以制度来完善现有的作业。明年解决年报所出现的问题,然后用一年的时间进一步完善。我们中国联通的内部控制制度应该说刚刚开始做,距离一些在美国上市公司的做法和成果还有很多缺陷和不足。
本篇论文.,感谢原作者!遵循萨氏法案建内控制度联通经验责任编辑:飞雪 阅读:人次xiexiebang.com范文网【www.xiexiebang.com】
第二篇:美国上市公司-关于学习萨班斯法案内控合规心得体会
美国上市公司-关于萨班斯法案内控合规心得体会
自**公司在美国纳斯达克成功上市以来,合规工作也全面展开。**公司自上而下高度重视萨班斯合规工作,为了更加有效、快速的实现**公司全面合规,经**公司领导研究决定,在各个省级公司建立内控标准示范店,以内控标准店为模板,迅速完成全省所辖单位的萨班斯合规工作。温县公司有幸成为河南公司内控标准店。
2010年5月13日,在****全力配合下开始了首家萨班斯内控标准店的验收工作,财务主要针对《**公司财务管理制度》以及《会计实务指南》的相关条款进行逐条比对,确保正确贯彻执行;业务主要针对销售流程和客户档案的完整性及真实性做出指导;行政针对入职、离职流程进行了核对。
内控小组在检查中强调:
1、内控标准店要在**公司及省级公司的领导指引下,肩负起本省内控合规工作的指导与示范工作,尽快使本省的内控工作合规;
2、要建立良好的沟通联动机制,便于审计中心将不断发展、不断提升的内控标准尽速传达到省级公司与各内控标准店,并由此迅速推广到所有连锁店,使**公司能够持续合规;
3、事实证明,内控合规工作并不困难,只要大家提高认识、加强执行力、按章办事就可以很快合规,从而大大提升公司素质和形象。
对目前我单位萨班斯内审合规工作普遍存在的问题进行剖析。强调了内审工作对于上市公司的重要性,鼓励单位经理坚定信心、踏实工作、坚持原则,通过在省级公司树立“内控标准店”以及在审计中心与省公司的指导下共同完成萨班斯内审合规工作。
行政部对人事薪资、固定资产等等方面进行剖析,并对日常工作常见问题进行解读和应对讲解;业务部对客户档案、GPS监控及各项业务台帐进行了分析、讲解;财务部对资金、财务报告、投资管理、税金等4项流程进行了解讲,并对工作中常点错误进行了点评。经过我们最近一周的整改和努力,财务、行政审计已经合规,业务上存在了较为难补的问题,经过几天的努力,加上省公司的大力协助,公司全体员工的加班加点,耗费了大量的人力财力,终于将以前不注意的细节和不按章执行的种种错误基本整改结束。通过这次检查,使我们深刻认识到,只要我们提高了认识、加强了执行力、按章办事肯定会合规。不仅会提高公司的素质和形象,同时也提高了我们的工作能力。作为第一批开业的老公司,我深深的感到愧疚。每天都在从事着业务工作,我只是单纯的盯在销售数量上,没有从意识上带领员工走入开元,深入体会理解**公司的内涵,造成员工对于政策的理解和把握出现了偏差,对公司多方面存在的问题没有清楚地认识,及时整改,只是在例会中一带而过,不但没有将业绩提上去,问题却出现了一大堆,主要存在的问题有:„„„„„„这些都是前期工作不认真、不按规章制度执行所造成的。看似工作敬业,其实是亡羊补牢,早知是这样,何必前期没有提车前不把工作做好呢?为了合规补档案,五一没有一个人休息,双休日更不用说了,看似每个人任劳任怨,没有一句怨言,但是我们扪心自问,这又是何苦呢?我们前期把工作做扎实了,还有现在的牺牲吗?我剥夺了员工休息的权利,这是我做经理的严重失职。
在内控检查的同时,**公司领导专程来到我公司,对我单位目前的状况进行批评和指导,从多方面对我们的工作进行了讲解,从员工队伍素质到业务专业知识的学习,从为人处事的细节到**公司整体的发展规划,对于单位暴露出的问题,都一一涉及,面面讲到。通过细心讲解指导,使我深刻认识到自身的错误和不足,**公司的每一个规章制度都是我们日常工作的指引,只有按照**公司的要求工作,才能顺利圆满完成**公司下达的任务和期望,只有认真学习理解了各项政策,才能真正做到懂规矩守规矩。通过这次合规检查,我也意识到自己存在的问题,意识到自己身上的不足和责任,今后一定要在思想上高度重视,行动上不折不扣执行,提高单位的执行力和团队的战斗力,向**公司交上一份圆满合格的答卷!
第三篇:内控制度经验、做法与效果
单位在内控的建立与实施过程中,紧密结合本单位工作实际,以问题为导向,有效实现了权力制衡,使单位领导从源头上规避了经济责任风险。主要做法是:
一、组建领导小组,作为内控抓手
单位内控是一个复杂的体系,工作涉及到预算业务、收支业务、采购业务、资产管理、建设项目、合同管理、内外监督等各项经济活动,需要内部各部门的 协作和配合。我单位在工作中意识到单位领导重视是推动实施内控的关键。工作中与党风廉政建设密切结合,使单位领导树立起风险防控意识,为内控工作的推进奠定了基础。成立了由局长任组长、副局长、纪检副书记任副组长、财务室负责人为成员的内部控制规范领导小组。对内部控制的建立和实施情况进行监督,及时发现并指出内部控制管理中的问题和薄弱环节,督促落实内部控制的整改计划和措施,确保内部控制体系的有效运行。
二、构建内控机制,保障内控实施
一建立了单位层面的内控运行制约机制。主要包括个方面的内容:内控
管理职责分工,经济活动决策机制,关键岗位责任机制,关键人员资质能力,财 务信息编报要求,信息技术应用要求,经济活动风险评估,内部控制监督评价。
二梳理了单位主要经济业务管理制度及流程。针对预决算管理、经费收
支管理、政府采购管理、以及资产管理等业务模块,在规章制度方面,梳理制度 文件,汇编成册。三
通过信息化对制度和流程进行“固化”。要保障内控真正落地,信息化是实施内控的最重要手段。我单位在信息系统建设中将内控理念嵌入信息系统中,将制度和流程进行“固化”并达到常态化,真正实现从“人治”管理向“法治”管理和科学管理的转变。内控规范建设政策性强、涉及面广、工作量大且具有相当难度和专业性的工作,单位自身开展内控建设缺乏精力和专业知识和信息化手段,很难保证内控建设的效率和效果。下一步管理中将自我纠正、自我完善和持续改进,确保内控规范实施取得良好效果。
第四篇:CIO如何借SOX经验建合规IT内控体系
CIO如何借SOX经验建合规IT内控体系? 2009年05月26日01:57
来源:我有话说 查看评论(0)好文我顶(0)
由于我国的《企业内部控制基本规范》要在2009年7月才开始施行,因此这次的上市公司CIO高层论坛上热点讨论和借鉴的是美国于2002年发布的《萨班斯—奥克斯利法案》(简称SOX法案)。
经济危机使到2009年依然是一个充满变数的一年。近日我参加了一个上市公司CIO的专题研讨会,主题是如何建立合规的IT内控体系,以符合上市公司的规范。起因是面对即将于2009年7月实施的《企业内部控制基本规范》,上市公司均急需一套普遍适用的IT内部控制方法以满足《企业内部控制基本规范》的要求,和协助IT部门建立合规的IT内部控制机制。
但是,从研讨会上大家讨论的情况来看,目前国内大部分上市公司在内控风险防范意识方面,特别是对合规的IT内控体系的重视程度还严重不足,IT内部管控措施也经常执行不到位,这使得许多上市公司很容易陷入违规的财务操作风险危机之中。而且,经济危机的漫延也在警示我们:财务违规风险如影随形,无处不在。因此,如何通过IT内控体系与合规管理来防范和降低上市公司的财务违规风险,是企业高层领导和CIO目前最迫切需要解决的难题。
一.什么是SOX法案的合规性?
由于我国的《企业内部控制基本规范》要在2009年7月才开始施行,因此这次的上市公司CIO高层论坛上热点讨论和借鉴的是美国于2002年发布的《萨班斯—奥克斯利法案》(简称SOX法案)。SOX法案的产生源自于上市公司操作的不规范和公司丑闻的披露,它要求上市公司针对产生财务交易的所有作业流程,都做到能见度、透明度、控制、通讯、风险管理和欺诈防范,且这些流程必须详细记录到可追查交易源头的地步。因此,SOX法案明确提出了所有上市公司都必须加强和建立有效的内部控制框架,以确保上市公司遵守证券法律和提高公司披露信息的准确性和可靠性。
在2008年6月,我国财政部、证监会、银监会、保监会及审计署委联合发布了被称为“中国版萨班斯法案”的《企业内部控制基本规范》,此规范将于2009年7月起首先在上市企业中实施。其中,该规范第37条规定:“企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。”
与我国的《企业内部控制基本规范》第37条规定相比较,在“美国版萨班斯法案”中也有类似条款,比如第404条款规定:企业必须了解那些可能影响财务报告流程的风险,并必须要实施恰当的控制以阻止财务违法行为。此外,SOX法案第404条款还要求,企业需建立一个基础设施,以确保所有的记录和数据不会被毁灭、丢失、未经授权的变更和错误的使用。由于IT和财务报告的关联性,故IT也需要加强控制以达到SOX法案的合规要求。因此,上市公司在建立符合《萨班斯—奥克斯利法案》要求的企业风险管理与内部控制的工作中,60%在财务控制上,而40%是在IT控制上的。所以,SOX法案在合规方面也要求企业必须落实到对IT的有效管理控制上来。
二.从SOX合规性看我国IT内控规范
(1)为什么内控合规必须以IT为突破口?
无论是美国的SOX法案还是我国的《企业内部控制基本规范》涉及的东西都比较多,在这里我们主要关注的是IT内控方面的内容。在很多公司内部,财务报告流程是由IT系统驱动的。无论是ERP系统还是其它系统,都与财务交易中的开始、批准、记录、处理和报告等活动紧密集成。比如财务报告保存在财务系统里,财务系统的数据从业务系统来,业务系统的数据也存放在相关的数据库里,数据库又是保存在服务器上,服务器还可能跟网络互联。因此,在财务信息操作上只要有一丝的漏洞,都可能是被IT系统出卖的。因此,合规的问题不再只是CEO、CFO的职责,IT部门在这方面也将渐渐承担主角。简单的说,IT是保证财务报告内部控制有效性的基础。
虽然,我国的《企业内部控制基本规范》要求企业实现的内控是以战略为导向的全面内控,但该规范包括的范围相当广泛,仅内控这项内容就包括:企业层面、业务流程与IT一般控制与IT应用控制。其中涉及到企业运营的方方面面:从企业战略管理、财务管理、供应链管理、生产管理到人力资源管理、OA办公管理等。由于所有的业务都可能产生数据,而如何确保数据的及时收集、准确与完整性都离不开IT系统的支撑。因此,如何把IT内控与企业内控管理统一起来,是合规《企业内部控制基本规范》的一个关键点。也就是说,在内控合规方面,IT就是一个最佳的突破口。
(2)借鉴SOX合规对IT内控的要求
SOX法案对IT内控要求主要有两个方面:一个是IT应用控制(ITApplicationControl),是因为大多数上市公司在一定程度上都依赖IT系统来运作业务,IT系统对业务流程的控制作用非常大,因此必须对业务流程所依赖的IT系统进行某些控制,其中特别是针对支持财务报告的特定IT应用。另一方面是IT一般控制(ITGenerallyControl),是因为上市公司必然有一个完整的IT系统做支撑,所以对于支撑公司运作的IT基础技术架构平台,必须进行有效管理控制。其中主要是针对基本的IT基础设施控制,包括物理和逻辑网络安全、数据库管理、系统开发、变更控制、灾难恢复等。
SOX法案是一部典型的法律文件,它既不是管理手册,也不是行动指南。它只规定了上市公司在整体或业务层面上必须达到的要求,却没有指明上市公司应该如何达到法案规定的水平。比如SOX法案要求企业的IT内控必须有效,但落实到具体IT控制方面SOX法案则完全没有给出任何的指导意见。例如,上市公司需要什么样的IT控制,如何进行IT控制和IT内控效力如何评估等全都不在SOX法案范围之内。
但根据上市公司内控需求和SOX法案的合规性管理描述,IT部门的主要职责和活动应该包括:①是深入了解公司的内控项目和财务汇报流程,②确定与内控活动或财务汇报流程相对应的IT系统;③是分析和辨别这些IT系统带来的风险,并对此进行监控以保证控制措施的长期效力;④是将控制措施文档化和IT化,并进行测试;⑤是及时地对IT控制进行必要的升级和变更,以配合公司内控或财务汇报流程的变化;⑥是作为一个重要的职能部门,IT部门应该全程参与公司SOX法案合规管理项目。
三.如何打造合规的IT内控体系?
从IT控制的范围来说,IT内控通常包括IT内控环境、IT运维、IT系统和数据的访问、系统开发和系统变更等部分。IT控制有一个治理框架,即COBIT框架。COBIT全称是信息及相关技术的控制目标(Controltives for Information andrelatedTechnology)。COBIT是将IT流程、IT资源与企业的策略与目标联系起来,在企业业务战略指导下,对信息及相关资源进行规划与处理。因此,有IT专家认为,企业要建立合规的IT内部控制,必须要先打造一个合规的IT内控体系。
(1)确定合规的IT内控范围
第一步是先确定合规的IT内控范围,它是指根据《企业内部控制基本规范》的要求,从全局角度去考虑、分析、规划需要控制的事情和范围。这是IT内部控制中最为关键的内容,包括风险形势评估、风险识别、风险分析和风险评价等几部分。一般来说,确定IT内控的范围可以分为这几个步骤:首先确定财务报告流程中的核心要素;其次,识别关键的业务流程;最后,根据财务交易活动确定关键的IT流程和IT支持系统,从而确定IT内控范围。
(2)对选定的IT内控范围进行风险评估
风险评估可使上市公司更加清晰地认识到,意外事件的发生将如何限制业务目标的达成。风险评估的目的是要辨别IT合规性的潜藏内在风险与残存风险。当在IT内控时可能会碰到很多风险时,通常的做法是要把可能的风险划分一个优先级,对于优先级高的风险要给以更多的关注,例如财务违规操作流程和影响上市公司股价波动的信息透露的流程。包括风险判断标准、风险发生的可能性、风险发生的危险度、风险预防措施、风险消除措施等几个方面进行评估。在IT内控合规过程中,很多东西都是未知的,要把握这种不确定性,唯有把这种不确定性深深嵌入到IT内控风险评估中才可能会得到有效的控制。
(3)进行内部IT审计
通常来说,合规控制对于上市公司和IT系统来说有三种控制:公司级控制、应用控制和通用控制,这三种控制的范围、手段方法和力度是不同的。因此,在控制文档设计完毕后,上市公司需要自行先进行一次IT内部审计。IT内控审计主要有:IT制度与流程手册、系统变更(包括应用系统及基础设施)、逻辑访问(包括应用系统及基础设施)、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等。对于测试不合格的IT控制,应该及时纠正缺陷,完善IT控制体系的设计与提高IT运维的质量,以确保其有效性。
(4)报告管理层IT内控审计情况
在IT内控审计完成后,应该立即形成正式的书面审计结论,并向管理层报告情况,以方便管理层及时调整和调配IT内控的资源和策略,尽快将风险防患于未然之中。例如将IT内控审计的计划、行动和结果进行整理和分析,形成IT内控审计管理报告。
俗话说“凡事预则立,不预则废”。在《企业内部控制基本规范》合规过程中,一个成功的IT内控体系可以防止和减少许多潜在问题的发生和影响。正如居安思危,有备无患一样。一个优秀的CIO应在IT内控和合规之间达成一种平衡,从而大大减小内部风险对整个公司所造成的影响。