中国联通内部控制评审建设的做法和启示
内部控制评审(以下简称“内控评审”)是指对内部控制制度的健全性和执行有效性进行审查和评价,旨在发现和改进内部控制薄弱环节,促进公司强化管理,提高经营效益,实现健康可持续发展。萨班斯法案第404条款对此提出了严格而明确的要求,即公司管理层要对本公司内控制度的有效性作出自我评审,向资本市场签署内控有效性声明;而管理层对内部控制的评价,担任公司年报审计的会计公司应当对其进行测试并提出独立评审意见,覆盖范围包括内控设计及执行的有效性。中国联通作为在上海、香港和纽约上市的公司,自2005年末开始就把内控评审作为保证内控建设有效性的一项重大项目来抓,经过两年多的摸索、实践,逐步建立健全了内控评审体系,积累了一些经验。
中国联通内控评审建设及实施过程
一、制定评审工作计划
中国联通在2006年初根据公司的业务特点,制定了内控评审工作计划,明确了各个层面以及各个部门的职责:总部各部门、各省分公司的主要负责人是内控建设工作的第一责任人,从总部到各省级分公司、各地市级分公司均要设立内控办公室,负责具体的组织协调工作。在确定评审范围时,重点关注重要会计科目、重要经营场所、重要业务流程、流程风险评估、关键控制及相互之间的匹配关系,还制定了统一的记录、测试和报告标准及对应的测试方法。为保证评审工作的有效执行,在确定测试执行人员、职责分工后,明确分段测试具体时间,如应当在年末以前就对其年末流程和程序进行复核,以确保年末流程和程序设计的有效性等。
二、确定重要经营场所的覆盖率
1、确定重要经营场所的原则
中国联通根据经营场所相关财务状况和经营状况、出现重大错报的风险、该经营场所的业务流程/循环和内控程序在集中处理或共享服务环境中所占的比重,把被评审经营场所分为四类,即:A类:单一地市重要的经营场所(公司资产或收入金额占公司总额的0.4%以上);B类:具有特殊风险会计科目的经营场 所;C类:汇总后被认为重要的经营场所;D类:单一地市不重要或汇总后仍不重要的经营场所。根据2006年6月30日上市公司合并财务报表数据,被评审的 经营场所中A类公司占60.3%,保证了管理层直接评审的公司覆盖公司资产或收入总额达到了60%以上。
2、确定重要经营场所的数量
(1)按照自上而下的原则,省分公司为必审单位;
(2)按照重要性原则,省会城市和资产或收入规模占全国汇总的0.4%以上的地市分公司为必审单位;
(3)按照风险的重要程度,以前年度发生过财务报告错报、舞弊行为,或公司内、外各项检查、审计中发现重大问题的地市分公司为必审单位;
(4)各省随机选择一个C类地市分公司对其公司层面控制的有效性(包括期末关账程序、财务报表分析、监控、反舞弊程序等总体控制活动)进行独立评估。但一旦被抽查到的C类地市分公司出现任何例外,审计师和公司管理层必须对所有C类地市公司的所有关键控制进行测试。
3、确定评审组织方式
任何成功的活动都离不开正确的、与实际相结合的组织方式。中国联通将评审分为总部直接评审和各省级分公司组织评审、委托评审三种方式。
(1)总部直接评审。总部派出10个评审组对中国联通所属31个省分公司、27个省会分公司以及资产或收入占全国总额0.4%以上的30个地市 分公司、联通红筹公司下的联通国际、联通(澳门)子公司及10个华盛省分公司进行现场评审;
(2)对总部层面各部门的评审,委托会计师事务所按总部层面的关键控制点进行现场评审;
(3)其余的地市分公司由总部委托所在省分公司评审。
三、确定评审面内部控制
按照控制方式分为:公司层面控制、信息系统控制、业务流程控制。中国联通内控评审相应的也从这三个方面分别开展。
1、公司层面控制(即控制环境)的评审公司
层面控制是整个内控活动的前提和基础,对公司内控的效率和效果起关键作用。中国联通公司层面控制分总部、省级分公司、市级分公司三个层面,对其评审包括以下13项主要内容:员工行为准则、审计委员会的监督、会计政策和程序手册、期末财务报告(其中财务报告程序和期末结账程序是重要的一项测试 项目)、董事会及高级管理层的监督、人力资源管理、权限与职责分配、反舞弊、风险评估、经营业绩分析、内部审计职能、管理层的自我评估、信息披露委员会。
2、信息系统控制的评审信息
系统控制是指管理和控制公司内部与信息技术有关的活动,它是渗透到公司各个管理环节的控制措施。信息系统控制评审的内容包括两个部分:信息 系统总体控制、信息系统应用控制。中国联通的经营资料和经营所得绝大部分依靠计费系统、营账系统中的运算结果反映。尤其是各项业务收入报告,各项资费套餐 的计费及分析,代理佣金的计提、稽核和支付,有价卡、手机终端等资产的进销存管理,这些复杂的数据必须依靠信息系统的支撑才能完成。因此,中国联通的信息系统控制内控评审关注的重点是:各个相关的IT系统应用控制是否按照规定的内容提供与形成财务报告相关的数据。如月末财务确认收入数据是否通过系统形成;代理佣金,手机摊销,积分管理的核算、支付、审批、稽核等功能是否通过系统实现。
3、业务流程控制(控制活动)的评审
业务流程控制是指在业务层面上确保管理层的指令得到实施的政策和程序。业务流程控制评审的内容按照财务报告重要科目的对应关系来设置,中国联通 公司通过系统梳理从业务活动发生起点到最终形成财务报告的全过程,将业务流程控制(控制活动)的评审分为以下6个部分:资本性支出、收入、成本费用、资金 及资产、财务及信息披露、其他共性部分。
四、确定关键控制点
根据重要性原则,内控评审主要围绕关键控制点进行。中国联通全国各个分公司中,目前只有山东、浙江和广东三个省实施ERP系统管理,所以在确定关键控制点时按是否实施ERP系统分别确定:ERP省分公司关键控制点共有676个点、非ERP省分公司共有583个点、华盛公司共有63个点;总部各部 门共有392个点。
五、组织评审人员培训
中国联通公司在进行内控评审前,组织评审人员进行了集中培训,对参与培训的人员明确内控建设评审工作的整体要求,要求参与培训的人员重点掌握内 控建设评审的方法和对关键控制点的分析评价,统一评价标准,并教育评审人员要遵循以下5项原则:独立性、客观性、规范性、全面性的原则,自上而下的原则, 关注重点的原则,注重效果的原则,注重文档记录的原则。
六、评审实施
各评审小组成员要根据《中国联通省级分公司内部控制规范》所确定的控制措施编制《内控评审工作底稿》,依据该《底稿》的具体要求对《内控制度规范》设计的健全性与执行的有效性进行现场测试。
1、中国联通公司内控评审的主要内容
包括控制环境评审、控制活动评审和IT信息系统控制评审。
(1)公司层面控制(控制环境)评审。
①检查《员工职业道德守则》、《不相容职务相互分离暂行规定》、《风险评估管理办法》及《反舞弊暂行规定》等制度的培训和规范执行情况;
②检查经营信息定期分析、财务数据出现重大波动的分析报告,主要经济活动授权审批,经营发展目标实施以及人力资源政策等控制要求的落实执行情况。
(2)控制活动评审。
围绕资本性支出、收入、成本费用、资金及资产、财务及信息披露以及其他共性6个影响财务信息真实性的业务流程,检查各分公司内控制度的健全性及执行的有效性;依据控制活动发生的频率,抽取一定数量的样本,测试各项控制措施的执行情况和效果。
①在检查内控设计是否健全时,主要检查内部控制是否结合被测评省分公司的实际并涵盖了公司经营管理中需关注的重点问题及重点风险;内控制度是否明确了公司各项经营活动的管理要求;风险控制 措施是否存在缺陷和漏洞,能否防范经营管理中的不规范行为,有效降低和控制经营管理中的风险;是否制定了清晰、明确的业务流程,流程的起点、终点以及中间涉及的各控制点、控制标准、各个岗位间的职责分工是否明确。
②在检查内控执行是否有效时,主要检查各项经营活动是否按已制定的流程文档规范执行;实际执行 与流程文档的描述存在什么差异;实际执行中各项流程文档是否有效地涵盖和控制了经营活动中的主要风险点;各级公司各个岗位的相关人员是否理解掌握内控流程 文档的控制要求、本岗位的主要职责、主要风险点以及相应的控制措施;能否有效地控制当前公司经营过程中存在的风险,解决公司在经营活动中的突出问题。
③在检查执行过程是否保留了完整和可靠的文档记录时,要注意验证每个业务控制环节,核实实际执行情况与流程图、流程描述及风险控制文档的描述是否一致;验证业 务活动所经过的流程和控制是否有完整和可靠的文档记录,是否保留了控制实施证据。
④在验证业务控制流程设计和执行的一致性时,从业务发生开始,抽取一定数 量的样本,通过对用户入网资料的审核、服务的开通、网络运行、网间结算、计费出账、确认收入等一直到坏账的追缴、收回及生成会计报表的全过程测评,验证业 务控制流程设计和执行是否一致。
(3)IT信息系统控制评审。
围绕信息系统总体控制和应用控制的要求,中国联通对系统开发及变更管理、数据备份管理、日常维护管理、安全管理、系统自动控制、系统用户权限和电子表格管控等情况进行检查,同时针对各省分公司IT管控指标达标率进行评审。
2、为保证公司资金安全,中国联通在进行内控各环节的评审的同时,也对资金安全状况进行了调查。内容包括非正常开立银行账户或存款、3个月以上(含3个月)银行未达账项、12个月以上应收款项等。
3、中国联通在完成上述工作的基础上,统一了现场评审需提交的主要工作文档,要求各评审小组按照文档内容的要求填写完整,并经评审人员、评审小组负责人、被测评单位签字盖章确认,以利于评审各环节的责任认定。
4、在现场评审工作中,中国联通从以下3个方面入手,确保评审的有效性:
(1)强调时点:内控评审不同于传统财务报表审计,后者可以通过结账日后的调整实现财务报表的公允反映。而内控是否有效(包括设计的有效、执行的有效以及保留准确、完整的文档记录)是基于财务报告结账日(即资产负债表日)是否存在并有效地执行了控制活动,并保留执行后的文档记录,因此整改完成日 不能迟于财务报告结账日。
(2)强调文档记录的重要性:包括业务流程文档、控制活动证据和评审工作底稿,缺一不可,而且文档的记录必须准确、完整、详实,以备外部审计师审阅。开始评审工作前,控制活动责任人必须将重要控制活动证据按次序准备齐全。
(3)强调评审工作底稿:评审工作底稿应满足美国公认审计准则的基本要求,以作为外部审计师用以评价公司自我评估是否有效的基础。中国联通要求各评审小组对不同阶段进行的测试工作底稿分别妥善保管,以备日后进行整改后的更新测试参考。
七、提交评审报告
中国联通要求各评审小组在评审现场结束后一周内提交评审报告和现场评审工作文档,并对评审报告的编制提出了具体的要求,即评审小组出具的评审报告要说明分公司内部控制建设的总体概况、整改目标完成进度,并详细描述未整改的问题,与业务流程相关的关键控制点设计和执行的缺陷,以及有关问题对财务报 告的影响,分析问题形成的原因、存在的风险和对分公司整改的具体要求。
八、评估测试结果
为了确认内控是否有效运行,中国联通还要求各评审小组在测试后编制一个有关所有内控缺陷、重要缺陷和实质性漏洞的清单,记录每个缺陷的原因并且评估必要的纠正行动,还要对每个纠正后的内控缺陷进行重新测试,以证明它的运行有效性,从而为财务报表认定提供支持。
中国联通内控评审建设的实施效果和启示中国联通内控评审实施两年来,为公司内控建设取得阶段性的重要成果提供了坚实的保障。在对香港披露的2006年度内控评审报告中,普华审计机构对中国联通内部控制建设和评审结果给予了肯定并出示了无保留意见,同时,公司以零缺陷报告顺利通过了萨班斯法案审计。通过对中国联通内控评审建设的实例分析,笔者认为内控评审的质量直接决定了内控建设的效果。结合上述分析,笔者谈几点心得和建议,以供参考与讨论。
第一,内控工作具有强制性,不能以个人意志为转移。萨班斯法案是一部保护投资者的法律,具有强制性。因此任何在美国上市的公司都必须严格执行。不论管理者是否情愿,也不管企业管理水平高低,都必须无条件提供经过外部审计师进行评估的管理层内控报告。
第二,内控的目的是推动公司高效运转,不能为了内控而内控。内部控制是提升公司经营效益及财务报告真实性的重要举措,注重研究探讨问题产生的原 因并寻求解决办法。因此做内控不能搞形式主义,应该根据本单位的业务情况制定具体的风险控制措施,把复杂问题简单化,使工作流程制度化,更好地为经营发展服务。
第三,内控评审的各环节应规范化、格式化、明确化,不能随意认定。中国联通在2006年度内控评审建设中,从重要经营场所覆盖率、样本量、工作底稿、关键控制点到现场工作记录、文档依据登记表和缺陷评估表等均设定了明确的格式和标准,使得公司在实施与评审时有法可依、有据可查。而统一的工作底稿也便于评审人员和被审人员的沟通,同时评审人、责任人、整改时限等细化要求也便于认定和考核。