前言
近年來,中國企業(yè)百花齊放,成長型企業(yè)作為潛力股,尋求上市融資的需求也不斷攀升。成長型企業(yè)具備發(fā)展增速快、招聘限制少等特點(diǎn),企業(yè)關(guān)注點(diǎn)集中于業(yè)績和銷售的增長,但缺乏經(jīng)驗(yàn)豐富的內(nèi)控人員參與到內(nèi)控體系建設(shè)中,致使企業(yè)內(nèi)控相對薄弱。公司尋求上市,除需對其財(cái)務(wù)報(bào)告進(jìn)行審計(jì)外,內(nèi)控審計(jì)也尤為重要。
面對監(jiān)管機(jī)構(gòu)的嚴(yán)格把關(guān),成長型企業(yè)是否一定要達(dá)到成熟企業(yè)的狀態(tài)才能上市呢?其實(shí)未必,例如針對美股而言,財(cái)政年度收入總額低于10億美元的擬上市企業(yè)、公眾持股市值低于7500萬美元的小型上市公司及海外私人發(fā)行人的公司等在上市5年內(nèi)可延期執(zhí)行SOX審計(jì)。延期執(zhí)行審計(jì)并不代表企業(yè)就能忽視內(nèi)控合規(guī),以上措施是監(jiān)管機(jī)構(gòu)給企業(yè)提供的成長和提升內(nèi)控水平的時(shí)間窗口,目的是給予成長型企業(yè)充足的時(shí)間向資本市場擬定的內(nèi)控標(biāo)準(zhǔn)靠攏。內(nèi)控體系的建設(shè)中尤為重要的是企業(yè)的管理層審閱,成長期作為企業(yè)發(fā)展的關(guān)鍵時(shí)期,企業(yè)在把業(yè)務(wù)發(fā)展放在首位的同時(shí),內(nèi)部管控也不能忽視。因此財(cái)務(wù)內(nèi)審制度,管理層審閱體系的建設(shè)是成長型企業(yè)必須著力的重要領(lǐng)域。
1
管理層審閱機(jī)制建設(shè)的核心原則
成長型企業(yè)往往行業(yè)多元化,組織架構(gòu)差異大,內(nèi)部控制跨度廣,如何打造全面高效的管理層審閱機(jī)制,贏得投資市場的青睞,一直是許多企業(yè)覺得棘手但又不知道如何下手的問題所在。面對管理層審閱機(jī)制建立的種種問題,若想實(shí)現(xiàn)低投資高回報(bào),企業(yè)需要以風(fēng)險(xiǎn)控制為中心軸,高中基層齊心協(xié)力,無論準(zhǔn)備在哪個(gè)市場登陸上市,首要的問題就是吃透管理層審閱機(jī)制建設(shè)的三大核心原則:
秉持風(fēng)險(xiǎn)意識(shí),穩(wěn)中求勝
管理層需強(qiáng)化風(fēng)險(xiǎn)意識(shí),精準(zhǔn)識(shí)別財(cái)報(bào)發(fā)生錯(cuò)報(bào)誤報(bào)的高風(fēng)險(xiǎn)流程,穩(wěn)抓流程控制設(shè)計(jì)有效性與執(zhí)行力度,實(shí)現(xiàn)精細(xì)化、多維度、高效率的管理,及時(shí)進(jìn)行查漏補(bǔ)缺,為企業(yè)內(nèi)控審閱機(jī)制的建設(shè)添磚加瓦。
采取科學(xué)方法,注意留痕
管理層掌握主動(dòng)權(quán),定期、定量、定論評(píng)估企業(yè)內(nèi)部控制運(yùn)行情況,結(jié)合實(shí)際劃分風(fēng)險(xiǎn)等級(jí),采取高風(fēng)險(xiǎn)領(lǐng)域高頻評(píng)估、低風(fēng)險(xiǎn)領(lǐng)域低頻評(píng)估相結(jié)合的方法論,尤其注重評(píng)估過程的留痕與證據(jù)的保存,防范審計(jì)風(fēng)險(xiǎn),以備不時(shí)之需,實(shí)現(xiàn)企業(yè)內(nèi)控與公司戰(zhàn)略方向一致。
使用技術(shù)工具,精準(zhǔn)定位
管理層在面對海量業(yè)財(cái)數(shù)據(jù)時(shí),如使用傳統(tǒng)的流程復(fù)核和數(shù)據(jù)抽樣方法,有時(shí)會(huì)費(fèi)時(shí)費(fèi)力,且無法做到全面分析。在風(fēng)險(xiǎn)評(píng)估階段,應(yīng)考慮增加新技術(shù)的使用,例如機(jī)器人、過程自動(dòng)化、數(shù)據(jù)挖掘等;在內(nèi)控設(shè)計(jì)和實(shí)施中,應(yīng)利用公司的信息系統(tǒng)環(huán)境多部署新技術(shù)和IT工具,提高內(nèi)控的自動(dòng)化程度。雙管齊下,提高效率的同時(shí),對內(nèi)控缺陷進(jìn)行精準(zhǔn)定位。
2
成長型企業(yè)管理層審閱體系建設(shè)關(guān)注點(diǎn)
企業(yè)對于風(fēng)險(xiǎn)偏好的認(rèn)知各持己見,不同的風(fēng)險(xiǎn)偏好可采取迥異的控制手段:人工控制、自動(dòng)控制、依賴信息技術(shù)功能的手工控制是當(dāng)下企業(yè)綜合運(yùn)用的控制手段:
在當(dāng)今業(yè)務(wù)流程高度系統(tǒng)化的情況下,系統(tǒng)控制的水平高低、效果好壞是企業(yè)在資本市場站穩(wěn)腳跟的重要評(píng)判標(biāo)準(zhǔn)。因此,系統(tǒng)控制與依賴于信息技術(shù)的人工控制是管理層審閱的重中之重。
信息技術(shù)的發(fā)展正在推動(dòng)企業(yè)業(yè)務(wù)的發(fā)展。諸多公司部署信息系統(tǒng)、實(shí)施系統(tǒng)控制、優(yōu)化業(yè)務(wù)流程以提高財(cái)報(bào)的公信力,獲取投資者的青睞。成長型企業(yè)也深諳此道,在業(yè)務(wù)發(fā)展迅速的同時(shí)配合企業(yè)信息技術(shù)的快速引進(jìn),但信息系統(tǒng)管理復(fù)雜度高,所以企業(yè)在內(nèi)控管理層審閱機(jī)制體系建設(shè)中經(jīng)常會(huì)出現(xiàn)三方面的疏漏,忽略了應(yīng)該執(zhí)行的管理和控制:
(一) 系統(tǒng)引進(jìn)速度快,管理層審閱不全面
成長型企業(yè)在初期若沒有一個(gè)全面的IT規(guī)劃,隨著業(yè)務(wù)場景的增多,企業(yè)不斷引進(jìn)新系統(tǒng),管理層往往忽視一些細(xì)節(jié),導(dǎo)致審閱不夠全面。
企業(yè)隨著業(yè)務(wù)擴(kuò)張,在引進(jìn)新系統(tǒng)的同時(shí)會(huì)將不同的系統(tǒng)連接起來,系統(tǒng)間關(guān)系搭建復(fù)雜,產(chǎn)生多個(gè)數(shù)據(jù)接口,數(shù)據(jù)接口的安全是不可避免的審查環(huán)節(jié):
信息系統(tǒng)在一個(gè)企業(yè)的生產(chǎn)運(yùn)營過程中并非是一成不變的,一方面由于業(yè)務(wù)的發(fā)展,企業(yè)會(huì)尋求功能更先進(jìn)和完善的系統(tǒng),以提高系統(tǒng)對業(yè)務(wù)的支撐;另一方面也可能由于企業(yè)并購導(dǎo)致需要整合其他全新的系統(tǒng)。無論何種情況,都會(huì)涉及到新舊系統(tǒng)切換,而這其中的數(shù)據(jù)遷移風(fēng)險(xiǎn)控制與管理層審閱也顯得尤為重要:
(二)外包使用程度高,有效審閱未達(dá)標(biāo)
成長型企業(yè)出于成本考慮,更偏向于第三方外包服務(wù)。財(cái)務(wù)系統(tǒng)上云、客服外包等情況越來越常見。必須注意的是,盡管工作職能或流程外包了,企業(yè)本身依然該對此流程的內(nèi)部控制負(fù)責(zé)。眾多案例顯示,有些管理意識(shí)較強(qiáng)的成長型企業(yè)已經(jīng)會(huì)主動(dòng)要求第三方外包服務(wù)商提供獨(dú)立的審計(jì)報(bào)告,例如國際常見的SOC(System and Organization Controls)報(bào)告。但某些外包供應(yīng)商本身也屬于成長型企業(yè),未必能提供一份可供依賴的SOC報(bào)告,這時(shí)就需要企業(yè)管理層對外包服務(wù)商處理企業(yè)數(shù)據(jù)的過程及系統(tǒng)的安全性、保密性、可用性,甚至隱私保護(hù)性和過程完整性進(jìn)行自評(píng)審。也就是說, 管理層審閱應(yīng)覆蓋第三方外包服務(wù)商,以確保內(nèi)控審閱對業(yè)務(wù)流程的范圍覆蓋完整性。
(三)權(quán)限分配遭忽視,審閱不夠規(guī)范
用戶權(quán)限管理是企業(yè)管理的必關(guān)注項(xiàng),除了傳統(tǒng)的在系統(tǒng)中增加用戶賬號(hào)權(quán)限以及離職用戶權(quán)限刪除之外,在實(shí)踐中以下這些管理層審閱不夠規(guī)范的問題也非常常見:
其一是管理層審閱未涉及轉(zhuǎn)崗用戶:由于轉(zhuǎn)崗用戶并非離職,因此在轉(zhuǎn)崗權(quán)限更新時(shí)財(cái)務(wù)內(nèi)審制度,管理層可能只關(guān)注權(quán)限新增需求,忽略舊崗位權(quán)限清理,用戶權(quán)限審閱也僅僅針對新增和離職用戶,并未關(guān)注用戶的權(quán)限冗余或權(quán)限沖突等情況。
其二是管理層審閱未關(guān)注用戶權(quán)限沖突:用戶權(quán)限沖突主要發(fā)生在幾個(gè)場景:
(1)系統(tǒng)中用戶角色權(quán)限設(shè)置沖突,如賦予用戶的角色內(nèi)包含其崗位不應(yīng)持有的權(quán)限;
(2)一人持有多個(gè)不同但存在沖突權(quán)限的賬號(hào)進(jìn)行操作,即形式上顯示不沖突而實(shí)質(zhì)上擁有沖突,如管理層未實(shí)質(zhì)檢查各賬號(hào)的真實(shí)持有人,出現(xiàn)一個(gè)人就持有錄入和審核兩個(gè)賬號(hào)的情況,最終導(dǎo)致業(yè)務(wù)并未通過有效的審核。一般的成長型企業(yè)常常會(huì)忽視角色內(nèi)權(quán)限變更及一人持有多個(gè)賬號(hào)的情況。
其三是管理層未有高效科學(xué)的審閱方法:遇到系統(tǒng)數(shù)量多、需要審閱的用戶和權(quán)限都比較復(fù)雜,但實(shí)際可進(jìn)行審閱的人員又不充足時(shí),很多企業(yè)不知如何科學(xué)高效地設(shè)計(jì)和開展審核流程,可能導(dǎo)致審閱過程浮于表面,未能實(shí)質(zhì)查找到問題的情況。例如;靠人工檢查范圍有限且審閱效率低下、對系統(tǒng)內(nèi)信息利用不充分而導(dǎo)致審閱確定范圍不準(zhǔn)、顆粒度過粗,或者大量進(jìn)行重復(fù)工作。
針對以上問題,管理層可以設(shè)計(jì)一套可行的用戶權(quán)限管理控制制度,例如轉(zhuǎn)崗流程需經(jīng)過新舊兩個(gè)崗位主管領(lǐng)導(dǎo)審批;及時(shí)禁用非持有權(quán)限;系統(tǒng)增加更多的日志記錄權(quán)限變更的操作等,更為重要的是,管理層應(yīng)重視對角色內(nèi)權(quán)限的審閱及用戶沖突的排查,設(shè)計(jì)一套較為合理的用戶審閱流程,考慮充分利用系統(tǒng)已有的信息并使用一些自動(dòng)化篩選和分析工具,對每一次的審閱進(jìn)行留痕,確保下次審閱時(shí)可在上次的基礎(chǔ)上迭代,提高審閱效率。
結(jié)語
內(nèi)部控制的法案和要求看似復(fù)雜,但其精髓并不是要企業(yè)準(zhǔn)備一堆繁文縟節(jié),也不是必須一步到位,而是為企業(yè)更持久的運(yùn)營打下堅(jiān)實(shí)的基礎(chǔ)。從長遠(yuǎn)角度看,更可說是企業(yè)上市的福音,這劑企業(yè)內(nèi)控的預(yù)防針,讓成長型企業(yè)在享受上市福利的同時(shí)內(nèi)部管控更為科學(xué)嚴(yán)謹(jǐn)。根基更為深穩(wěn)、續(xù)航能力更強(qiáng)的企業(yè)才能發(fā)展長虹。
更多財(cái)稅咨詢、上市輔導(dǎo)、財(cái)務(wù)培訓(xùn)請關(guān)注理臣咨詢官網(wǎng) 素材來源:部分文字/圖片來自互聯(lián)網(wǎng),無法核實(shí)真實(shí)出處。由理臣咨詢整理發(fā)布,如有侵權(quán)請聯(lián)系刪除處理。