前言
近年来,中国企业百花齐放,成长型企业作为潜力股,寻求上市融资的需求也不断攀升。成长型企业具备发展增速快、招聘限制少等特点,企业关注点集中于业绩和销售的增长,但缺乏经验丰富的内控人员参与到内控体系建设中,致使企业内控相对薄弱。公司寻求上市,除需对其财务报告进行审计外,内控审计也尤为重要。
面对监管机构的严格把关,成长型企业是否一定要达到成熟企业的状态才能上市呢?
其实未必,例如针对美股而言,财政年度收入总额低于10亿美元的拟上市企业、公众持股市值低于7500万美元的小型上市公司及海外私人发行人的公司等在上市5年内可延期执行SOX审计。延期执行审计并不代表企业就能忽视内控合规,以上措施是监管机构给企业提供的成长和提升内控水平的时间窗口,目的是给予成长型企业充足的时间向资本市场拟定的内控标准靠拢。内控体系的建设中尤为重要的是企业的管理层审阅,成长期作为企业发展的关键时期,企业在把业务发展放在首位的同时,内部管控也不能忽视。因此,管理层审阅体系的建设是成长型企业必须着力的重要领域。
1. 管理层审阅机制建设的核心原则
成长型企业往往行业多元化,组织架构差异大,内部控制跨度广,如何打造全面高效的管理层审阅机制,赢得投资市场的青睐,一直是许多企业觉得棘手但又不知道如何下手的问题所在。面对管理层审阅机制建立的种种问题,若想实现低投资高回报,企业需要以风险控制为中心轴,高中基层齐心协力,无论准备在哪个市场登陆上市,首要的问题就是吃透管理层审阅机制建设的三大核心原则:
秉持风险意识,稳中求胜
管理层需强化风险意识,精准识别财报发生错报误报的高风险流程,稳抓流程控制设计有效性与执行力度,实现精细化、多维度、高效率的管理,及时进行查漏补缺,为企业内控审阅机制的建设添砖加瓦。
采取科学方法,注意留痕
管理层掌握主动权,定期、定量、定论评估企业内部控制运行情况,结合实际划分风险等级,采取高风险领域高频评估、低风险领域低频评估相结合的方法论,尤其注重评估过程的留痕与证据的保存,防范审计风险,以备不时之需,实现企业内控与公司战略方向一致。
使用技术工具,精准定位
管理层在面对海量业财数据时,如使用传统的流程复核和数据抽样方法,有时会费时费力,且无法做到全面分析。在风险评估阶段,应考虑增加新技术的使用,例如机器人、过程自动化、数据挖掘等;在内控设计和实施中,应利用公司的信息系统环境多部署新技术和IT工具,提高内控的自动化程度。双管齐下,提高效率的同时,对内控缺陷进行精准定位。
2. 成长型企业管理层审阅体系建设关注点
企业对于风险偏好的认知各持己见,不同的风险偏好可采取迥异的控制手段:人工控制、自动控制、依赖信息技术功能的手工控制是当下企业综合运用的控制手段:
人工控制,即以人工方式执行内部控制,如员工手工填写纸质申请单,交由领导审批签字。
自动控制,即由计算机自动执行的内部控制,如员工在企业自动化办公系统中线上提交资产采购申请,系统自动流转至领导进行审批。
依赖于信息技术的人工控制,即杂糅了人工控制与系统控制,如依赖网银系统导出的对账单与资金管理系统的收付记录自动匹配后,对于匹配不成功的记录逐笔在系统上进行人工勾兑。
在当今业务流程高度系统化的情况下,系统控制的水平高低、效果好坏是企业在资本市场站稳脚跟的重要评判标准。因此,系统控制与依赖于信息技术的人工控制是管理层审阅的重中之重。
信息技术的发展正在推动企业业务的发展。诸多公司部署信息系统、实施系统控制、优化业务流程以提高财报的公信力,获取投资者的青睐。成长型企业也深谙此道,在业务发展迅速的同时配合企业信息技术的快速引进,但信息系统管理复杂度高,所以企业在内控管理层审阅机制体系建设中经常会出现三方面的疏漏,忽略了应该执行的管理和控制:
系统引进速度快,管理层审阅不全面
成长型企业在初期若没有一个全面的IT规划,随着业务场景的增多,企业不断引进新系统,管理层往往忽视一些细节,导致审阅不够全面。
企业随着业务扩张,在引进新系统的同时会将不同的系统连接起来,系统间关系搭建复杂,产生多个数据接口,数据接口的安全是不可避免的审查环节:
设计层面:针对接口设计,管理层必须妥善统筹内外部开发及测试人员,严格审查接口设计的合理性,定期检测接口传输数据的准确性及一致性。
执行层面:实操过程中,管理层应设计定期监督数据接口机制,合理运用信息化手段,如安装监控系统,定期生成检测报告并执行报告审阅,亦可人工定期进行数据准确性和一致性的校准并生成报告,管理层定期审阅报告并留痕。
信息系统在一个企业的生产运营过程中并非是一成不变的,一方面由于业务的发展,企业会寻求功能更先进和完善的系统,以提高系统对业务的支撑;另一方面也可能由于企业并购导致需要整合其他全新的系统。无论何种情况,都会涉及到新旧系统切换,而这其中的数据迁移风险控制与管理层审阅也显得尤为重要:
构建切换策略:企业应基于自身实际需求,构建数据迁移的“整体 详细业务”规划,并由管理层对任务实施时间进度表进行定期监控,以确保迁移计划进展及时。
迁移前期监控:在数据迁移前期的清洗、校验和测试过程中,高级管理层与业务管理层除了应对业务和技术文档进行监控审批之外,还应关注敏感数据迁移流程并进行适当监督和审阅。
迁移核对审阅:企业应明确数据迁移及核对流程的相关负责人职责,并由管理层对数据迁移及核对流程进行合理性审阅,以及对数据迁移之后的问题处理进行持续跟进监控。
外包使用程度高,有效审阅未达标
成长型企业出于成本考虑,更偏向于第三方外包服务。财务系统上云、客服外包等情况越来越常见。必须注意的是,尽管工作职能或流程外包了,企业本身依然该对此流程的内部控制负责。
众多案例显示,有些管理意识较强的成长型企业已经会主动要求第三方外包服务商提供独立的审计报告,例如国际常见的SOC报告。但某些外包供应商本身也属于成长型企业,未必能提供一份可供依赖的SOC报告,这时就需要企业管理层对外包服务商处理企业数据的过程及系统的安全性、保密性、可用性,甚至隐私保护性和过程完整性进行自评审。也就是说, 管理层审阅应覆盖第三方外包服务商,以确保内控审阅对业务流程的范围覆盖完整性。
权限分配遭忽视,审阅不够规范
用户权限管理是企业管理的必关注项,除了传统的在系统中增加用户账号权限以及离职用户权限删除之外,在实践中以下这些管理层审阅不够规范的问题也非常常见:
其一是管理层审阅未涉及转岗用户:由于转岗用户并非离职,因此在转岗权限更新时,管理层可能只关注权限新增需求,忽略旧岗位权限清理,用户权限审阅也仅仅针对新增和离职用户,并未关注用户的权限冗余或权限冲突等情况。
其二是管理层审阅未关注用户权限冲突:用户权限冲突主要发生在几个场景:
系统中用户角色权限设置冲突,如赋予用户的角色内包含其岗位不应持有的权限;
一人持有多个不同但存在冲突权限的账号进行操作,即形式上显示不冲突而实质上拥有冲突,如管理层未实质检查各账号的真实持有人,出现一个人就持有录入和审核两个账号的情况,最终导致业务并未通过有效的审核。一般的成长型企业常常会忽视角色内权限变更及一人持有多个账号的情况。
其三是管理层未有高效科学的审阅方法:遇到系统数量多、需要审阅的用户和权限都比较复杂,但实际可进行审阅的人员又不充足时,很多企业不知如何科学高效地设计和开展审核流程,可能导致审阅过程浮于表面,未能实质查找到问题的情况。例如;靠人工检查范围有限且审阅效率低下、对系统内信息利用不充分而导致审阅确定范围不准、颗粒度过粗,或者大量进行重复工作。
针对以上问题,管理层可以设计一套可行的用户权限管理控制制度,例如转岗流程需经过新旧两个岗位主管领导审批;及时禁用非持有权限;系统增加更多的日志记录权限变更的操作等,更为重要的是,管理层应重视对角色内权限的审阅及用户冲突的排查,设计一套较为合理的用户审阅流程,考虑充分利用系统已有的信息并使用一些自动化筛选和分析工具,对每一次的审阅进行留痕,确保下次审阅时可在上次的基础上迭代,提高审阅效率。
结语
内部控制的法案和要求看似复杂,但其精髓并不是要企业准备一堆繁文缛节,也不是必须一步到位,而是为企业更持久的运营打下坚实的基础。从长远角度看,更可说是企业上市的福音,这剂企业内控的预防针,让成长型企业在享受上市福利的同时内部管控更为科学严谨。根基更为深稳、续航能力更强的企业才能发展长虹。
欢迎联系我们。