前言
近年來,中國企業(yè)百花齊放,成長型企業(yè)作為潛力股,尋求上市融資的需求也不斷攀升。成長型企業(yè)具備發(fā)展增速快、招聘限制少等特點,企業(yè)關注點集中于業(yè)績和銷售的增長,但缺乏經(jīng)驗豐富的內(nèi)控人員參與到內(nèi)控體系建設中,致使企業(yè)內(nèi)控相對薄弱。公司尋求上市,除需對其財務報告進行審計外,內(nèi)控審計也尤為重要。
面對監(jiān)管機構的嚴格把關,成長型企業(yè)是否一定要達到成熟企業(yè)的狀態(tài)才能上市呢?其實未必,例如針對美股而言,財政年度收入總額低于10億美元的擬上市企業(yè)、公眾持股市值低于7500萬美元的小型上市公司及海外私人發(fā)行人的公司等在上市5年內(nèi)可延期執(zhí)行SOX審計。延期執(zhí)行審計并不代表企業(yè)就能忽視內(nèi)控合規(guī),以上措施是監(jiān)管機構給企業(yè)提供的成長和提升內(nèi)控水平的時間窗口,目的是給予成長型企業(yè)充足的時間向資本市場擬定的內(nèi)控標準靠攏。內(nèi)控體系的建設中尤為重要的是企業(yè)的管理層審閱,成長期作為企業(yè)發(fā)展的關鍵時期,企業(yè)在把業(yè)務發(fā)展放在首位的同時,內(nèi)部管控也不能忽視。因此財務內(nèi)審制度,管理層審閱體系的建設是成長型企業(yè)必須著力的重要領域。
1
管理層審閱機制建設的核心原則
成長型企業(yè)往往行業(yè)多元化,組織架構差異大,內(nèi)部控制跨度廣,如何打造全面高效的管理層審閱機制,贏得投資市場的青睞,一直是許多企業(yè)覺得棘手但又不知道如何下手的問題所在。面對管理層審閱機制建立的種種問題,若想實現(xiàn)低投資高回報,企業(yè)需要以風險控制為中心軸,高中基層齊心協(xié)力,無論準備在哪個市場登陸上市,首要的問題就是吃透管理層審閱機制建設的三大核心原則:
秉持風險意識,穩(wěn)中求勝
管理層需強化風險意識,精準識別財報發(fā)生錯報誤報的高風險流程,穩(wěn)抓流程控制設計有效性與執(zhí)行力度,實現(xiàn)精細化、多維度、高效率的管理,及時進行查漏補缺,為企業(yè)內(nèi)控審閱機制的建設添磚加瓦。
采取科學方法,注意留痕
管理層掌握主動權,定期、定量、定論評估企業(yè)內(nèi)部控制運行情況,結合實際劃分風險等級,采取高風險領域高頻評估、低風險領域低頻評估相結合的方法論,尤其注重評估過程的留痕與證據(jù)的保存,防范審計風險,以備不時之需,實現(xiàn)企業(yè)內(nèi)控與公司戰(zhàn)略方向一致。
使用技術工具,精準定位
管理層在面對海量業(yè)財數(shù)據(jù)時,如使用傳統(tǒng)的流程復核和數(shù)據(jù)抽樣方法,有時會費時費力,且無法做到全面分析。在風險評估階段,應考慮增加新技術的使用,例如機器人、過程自動化、數(shù)據(jù)挖掘等;在內(nèi)控設計和實施中,應利用公司的信息系統(tǒng)環(huán)境多部署新技術和IT工具,提高內(nèi)控的自動化程度。雙管齊下,提高效率的同時,對內(nèi)控缺陷進行精準定位。
2
成長型企業(yè)管理層審閱體系建設關注點
企業(yè)對于風險偏好的認知各持己見,不同的風險偏好可采取迥異的控制手段:人工控制、自動控制、依賴信息技術功能的手工控制是當下企業(yè)綜合運用的控制手段:
在當今業(yè)務流程高度系統(tǒng)化的情況下,系統(tǒng)控制的水平高低、效果好壞是企業(yè)在資本市場站穩(wěn)腳跟的重要評判標準。因此,系統(tǒng)控制與依賴于信息技術的人工控制是管理層審閱的重中之重。
信息技術的發(fā)展正在推動企業(yè)業(yè)務的發(fā)展。諸多公司部署信息系統(tǒng)、實施系統(tǒng)控制、優(yōu)化業(yè)務流程以提高財報的公信力,獲取投資者的青睞。成長型企業(yè)也深諳此道,在業(yè)務發(fā)展迅速的同時配合企業(yè)信息技術的快速引進,但信息系統(tǒng)管理復雜度高,所以企業(yè)在內(nèi)控管理層審閱機制體系建設中經(jīng)常會出現(xiàn)三方面的疏漏,忽略了應該執(zhí)行的管理和控制:
(一) 系統(tǒng)引進速度快,管理層審閱不全面
成長型企業(yè)在初期若沒有一個全面的IT規(guī)劃,隨著業(yè)務場景的增多,企業(yè)不斷引進新系統(tǒng),管理層往往忽視一些細節(jié),導致審閱不夠全面。
企業(yè)隨著業(yè)務擴張,在引進新系統(tǒng)的同時會將不同的系統(tǒng)連接起來,系統(tǒng)間關系搭建復雜,產(chǎn)生多個數(shù)據(jù)接口,數(shù)據(jù)接口的安全是不可避免的審查環(huán)節(jié):
信息系統(tǒng)在一個企業(yè)的生產(chǎn)運營過程中并非是一成不變的,一方面由于業(yè)務的發(fā)展,企業(yè)會尋求功能更先進和完善的系統(tǒng),以提高系統(tǒng)對業(yè)務的支撐;另一方面也可能由于企業(yè)并購導致需要整合其他全新的系統(tǒng)。無論何種情況,都會涉及到新舊系統(tǒng)切換,而這其中的數(shù)據(jù)遷移風險控制與管理層審閱也顯得尤為重要:
(二)外包使用程度高,有效審閱未達標
成長型企業(yè)出于成本考慮,更偏向于第三方外包服務。財務系統(tǒng)上云、客服外包等情況越來越常見。必須注意的是,盡管工作職能或流程外包了,企業(yè)本身依然該對此流程的內(nèi)部控制負責。眾多案例顯示,有些管理意識較強的成長型企業(yè)已經(jīng)會主動要求第三方外包服務商提供獨立的審計報告,例如國際常見的SOC(System and Organization Controls)報告。但某些外包供應商本身也屬于成長型企業(yè),未必能提供一份可供依賴的SOC報告,這時就需要企業(yè)管理層對外包服務商處理企業(yè)數(shù)據(jù)的過程及系統(tǒng)的安全性、保密性、可用性,甚至隱私保護性和過程完整性進行自評審。也就是說, 管理層審閱應覆蓋第三方外包服務商,以確保內(nèi)控審閱對業(yè)務流程的范圍覆蓋完整性。
(三)權限分配遭忽視,審閱不夠規(guī)范
用戶權限管理是企業(yè)管理的必關注項,除了傳統(tǒng)的在系統(tǒng)中增加用戶賬號權限以及離職用戶權限刪除之外,在實踐中以下這些管理層審閱不夠規(guī)范的問題也非常常見:
其一是管理層審閱未涉及轉崗用戶:由于轉崗用戶并非離職,因此在轉崗權限更新時財務內(nèi)審制度,管理層可能只關注權限新增需求,忽略舊崗位權限清理,用戶權限審閱也僅僅針對新增和離職用戶,并未關注用戶的權限冗余或權限沖突等情況。
其二是管理層審閱未關注用戶權限沖突:用戶權限沖突主要發(fā)生在幾個場景:
(1)系統(tǒng)中用戶角色權限設置沖突,如賦予用戶的角色內(nèi)包含其崗位不應持有的權限;
(2)一人持有多個不同但存在沖突權限的賬號進行操作,即形式上顯示不沖突而實質上擁有沖突,如管理層未實質檢查各賬號的真實持有人,出現(xiàn)一個人就持有錄入和審核兩個賬號的情況,最終導致業(yè)務并未通過有效的審核。一般的成長型企業(yè)常常會忽視角色內(nèi)權限變更及一人持有多個賬號的情況。
其三是管理層未有高效科學的審閱方法:遇到系統(tǒng)數(shù)量多、需要審閱的用戶和權限都比較復雜,但實際可進行審閱的人員又不充足時,很多企業(yè)不知如何科學高效地設計和開展審核流程,可能導致審閱過程浮于表面,未能實質查找到問題的情況。例如;靠人工檢查范圍有限且審閱效率低下、對系統(tǒng)內(nèi)信息利用不充分而導致審閱確定范圍不準、顆粒度過粗,或者大量進行重復工作。
針對以上問題,管理層可以設計一套可行的用戶權限管理控制制度,例如轉崗流程需經(jīng)過新舊兩個崗位主管領導審批;及時禁用非持有權限;系統(tǒng)增加更多的日志記錄權限變更的操作等,更為重要的是,管理層應重視對角色內(nèi)權限的審閱及用戶沖突的排查,設計一套較為合理的用戶審閱流程,考慮充分利用系統(tǒng)已有的信息并使用一些自動化篩選和分析工具,對每一次的審閱進行留痕,確保下次審閱時可在上次的基礎上迭代,提高審閱效率。
結語
內(nèi)部控制的法案和要求看似復雜,但其精髓并不是要企業(yè)準備一堆繁文縟節(jié),也不是必須一步到位,而是為企業(yè)更持久的運營打下堅實的基礎。從長遠角度看,更可說是企業(yè)上市的福音,這劑企業(yè)內(nèi)控的預防針,讓成長型企業(yè)在享受上市福利的同時內(nèi)部管控更為科學嚴謹。根基更為深穩(wěn)、續(xù)航能力更強的企業(yè)才能發(fā)展長虹。
更多財稅咨詢、上市輔導、財務培訓請關注理臣咨詢官網(wǎng) 素材來源:部分文字/圖片來自互聯(lián)網(wǎng),無法核實真實出處。由理臣咨詢整理發(fā)布,如有侵權請聯(lián)系刪除處理。