问:在上市公司内部控制体系建设方面,有无成功案例?
答:以下是德勤协助成功完成的一家中国上市公司的内部控制体系建设项目情况:
项目背景
该客户是中国国内四大通信运营商之一,项目目标为:
1. 满足国际资本市场监管要求,满足《萨班斯法》要求。
2. 进行内控体系建设,进一步统一公司制度和流程,加强全集团的内部控制及全面风险管理。
项目解决方案
德勤内控项目组深入研究法案要求,根据国际通信行业风险管理和内部控制的最佳实践,结合客户的实际情况,将内控体系建设工作分为以下六大步骤推行:
1. 调研及制定计划:选定不同层级公司调研,按照法案要求并结合公司现有制度,识别重大风险领域,确定内控范围及目标,制定内控实施方案。
2. 评估及定义:分析公司层面和流程层面的风险和重要性程度、确定内控成功关键要素,设计内控管理循环模型以及管控工具,定义内控标准语言,将内控工作分解到具体流程和控制要点。通过试点公司测试修正内控模板,使标准模版更具适用性和可操作性。
3. 推广及培训:组建内控项目工作组,培训内控知识和标准模版,通过本地化流程描述、流程图、风险控制矩阵等工作进行梳理,建立起适用于集团、省、地(市)公司不同层级,互为一体的标准化闭环管理体系。
4. 测试及整改:基于法案标准,建立标准测试程序和测试方法,通过多轮测试发现内控缺陷并提出管理建议,对缺陷进行整改,逐步完善内控体系。在内控推广、测试过程中完成知识转移,提高客户对内控的意识,将内控落实到日常工作中,实现内控工作常态化。
5. 优化及提高:根据国内外最新内控监管要求以及行业动态,在新业务环境下重新判定风险和影响,协助客户定期更新控制矩阵、优化标准模版,构建风险管理的长效机制。
6. 加强基础管理:借助上市公司建立起的内控体系和管理经验,推进非上市公司内控基础管理工作,为企业经营目标的实现提供有效助力。
项目收益
1. 2007 年 5 月 31 日以零缺陷的测试结果通过了外部审计机构对其财务报告的内控审计,成为率先通过美国《萨班斯法》404 条款的国内电信运营商。
2. 被国资委列为“企业风险管理研究项目”成员单位和国有通信企业内控工作试点单位。
3. 2006 年 12 月,该公司报送的《基于全面风险管理的内部控制体系构建与实施》内控创新项目被评为第 13 届全国企业管理现代化创新成果一等奖。
4. 通过内控建设,该公司内部初步建立起了一套基于全面风险管理、符合国内外监管及法律要求的内部控制体系,企业法人治理结构日趋完善,信息披露质量不断提高,基础管理和执行力明显加强,企业运营效率日益提升。