內部控制是由企業董事會、管理當局以及其他員工為達到財務報告的可靠性、經營活動的效率和效果、相關法律法規的遵循等三個目標而提供合理保證的過程。內部控制包括五項要素,即控制環境、風險評估、控制活動、信息與溝通和監督。做好企業內控工作,強化內控評審職能,促進公司健康、持續發展是一項擺在每一個上市公司面前刻不容緩的任務。
2002年7月30日,美國總統布什簽發了國會通過的《薩班斯法案》,旨在敦促在美國上市的公司提供可靠的財務報告,以保護投資者利益。其中404條款要求上市公司對企業現在、將來存在的風險進行定期評估,按時報告,并要求外部審計師對企業的內部控制進行測試和評價并公布報告。
中國聯通公司作為一家在美國上市的公司,以解決當前影響公司經營效益、財務信息真實性以及可能導致出現實質性漏洞的26個問題為重點,以細化的82個整改落實目標的完成情況及351個關鍵控制點的控制效果為內容,全面推進內控建設與評審工作。內蒙古分公司在總部的領導下,認真開展此項工作,在實踐和思考方面均取得了較為顯著的成果。
一、領導重視、部門配合是做好內控工作的強力保障
內部控制是以實現公司發展戰略為目標,提高經濟效益為中心,防范和控制經營風險為目的,規范公司各種業務流程為內容而建立的一整套責任體系。因此內部控制要求既能強化基礎管理工作,又能提升經濟效益,是一項宏大的系統工程。內蒙古分公司領導極其重視內控工作,曾多次召開全區電視會議和現場辦公會議,研究部署內控整改工作,制定《內控獎懲辦法》,落實整改責任制。分管領導親臨現場,監督指導工作,一邊梳理,一邊整改,協調有關部門從源頭上解決問題。例如對公司普遍關注的有價電話卡及預收賬款和應收賬款會業相符等問題,分管領導多次召集計劃、財務、市場、計費和審計等部門協調研究解決辦法,逐一突破,許多疑難問題化難為易,最終全部問題得到徹底解決。
二、轉變觀念,提高認識是做好內控工作的堅實基礎
企業的內控建設與評審工作多年前就已提出,但沒有引起足夠的重視,因為《薩班斯法案》404條款的提出,此項工作才受到了前所未有的關注。作為新生事物,大都需要一個認識過程,接受過程,需要有一個不斷學習、持續實踐的過程。內蒙古分公司也是一樣,隨著評審工作的不斷深入,內控辦的不斷督導和系統培訓,原有流程的不斷理順,遺留問題的不斷解決,其產生的效果逐步體現出來,人們的觀念也就開始逐漸轉變,認識逐步到位。例如對租機用戶資料的整理,給客戶維系和清欠工作提供了可靠的信息資源;雙清(計劃外項目、在建工程項目)工作的徹底清理,解決了多年遺留的疑難問題。對于大多數人來說,內控工作雖然在短期內加大了工作量,但因為切實解決了實質性的問題,提高了管理水平,所以從長遠計議,員工可以輕裝上陣,提高工作效率。這樣通過轉變觀念,提高認識,內控工作不斷克服一個又一個的困難,跨越一個又一個的臺階。
三、重點突破,全面開展是強化內控職能的高效舉措
按照外部審計師重點經營場所的選取標準,凡達到集團公司收入4‰的地市分公司要作為直接評審對象,其余單位要對重要風險點進行抽查。為了全面提高內控工作水平,內蒙古分公司把要求達到收入標準的省公司本部、呼和浩特分公司作為強化內控評審職能的重點單位來開展工作,以起到示范和引路的作用,對沒有達到抽檢標準的其他分公司也要求認真做好內控基礎工作。除此之外,省公司和地市分公司的多數業務是關聯的,如預存款會業對賬,固定資產盤點和往來賬款的清理等。有些事項可以從省公司直接調取數據分析各地市的情況,如客戶資料信息,代理費管理系統等。如果只抓部分單位,其他單位內控工作必然滯后,從而影響整體管理水平,因此只有統一行動,重點突破,全面評審才能真正做好內控工作。
四、優化流程,控制風險是強化內控職能的終極目標
內控整改不僅要求發現問題的現象,而且要求分析問題的本質,針對產生問題的原因,提出解決問題的對策。內控的最終目標就是要優化流程,控制風險,不出現重要缺陷和實質性漏洞。一年來,總部組織大量的人力在全國范圍內以及省分內控辦在本省的范圍內多次進行督導評審,外部審計師也進行了反復測試,總部最終形成了一套完整的控制文檔,即控制環境的23個關鍵控制點、ERP控制活動的349個關鍵控制點(非ERP是321個)以及信息系統的相應控制措施。內蒙古分公司以總部下達的上述標準作為執行依據,根據本地實際情況,制定并多次修改內控流程,反復測試控制措施和步驟,不斷補充和完善樣本量,建立健全了能夠控制市場經營、工程建設、信息系統、計劃財務和綜合管理等一系列風險的內控制度,同時鞏固和提高了內控執行的有效性,最大限度地降低風險,保證公司不出現重要缺陷和實質性漏洞,進而強化企業內部控制職能,實現控制風險的終極目標。
經過一年來的內控建設和整改工作,我們深刻體會到以下幾點:
1、內控工作具有強制性。《薩班斯法案》是一部保護投資者的法律,具有強制性。因此任何在美國上市的公司都必須嚴格執行。不論管理者是否情愿,也不管企業管理水平高低,都必須無條件提供經過外部審計師進行評估的管理層內控報告。
2、內控是為經營發展服務的。內控是控制整個經營活動中可能發生的風險,防止在經營過程中出現信息失真和不切實際的財務報告。內控不是束縛經營的,而是為經營發展服務的。
3、內控不能照搬照抄,不能為了內控而內控。內部控制是緊緊圍繞影響公司經營效益提升及財務報告真實性的重要舉措,注重研究探討問題產生的原因并尋求解決辦法。因此做內控是為了控制風險,不能搞形式主義,應該根據本單位的業務情況制定風險控制措施,把復雜問題簡單化,使工作流程制度化。總之,經過廣大干部員工長期不懈地努力,最終建立起風險防范的長效機制,保證公司各項經營活動健康、持續和穩定發展。(作者:中國聯通審計部內蒙古分部 樊樹興)
