1、1Y 集团内部控制案例分析【摘要】内部控制在企业经营管理中扮演者越来越重要的角色,鉴于企业内部控制基本规范体现了国内内部控制的最新概念,本文运用其五要素(控制环境、风险防范、控制活动、信息沟通、内部监督)的分析框架,对 Y 集团进行内部控制缺陷诊断,并提出相关的改善建议。【关键词】Y 集团 内部控制 案例分析 Y 集团是于 1988 年创建于广州,2003 年将总部迁至上海并更名为“Y 集团有限公司”的中国首批 5A 级“综合服务型物流企业” 。公司是以为铁路运输、公路快运、航空海运、城际配送、仓储货贷及物流方案策划等业务为主导,集实业投资和国际贸易为一体的综合性现代化企业集团。具备“以铁路干
2、线运输为基础,公路快运为延伸,区域配送为深度渗透”的多层次、广覆盖的物流网络,形成了独具特色的运输服务网络体系。 一、Y 集团内部控制的现状和存在问题 (一)控制环境方面 集团尚未按照上市公司治理要求,制定完善的组织架构。公司尚未对制度文件实施定期审核。例如,有很多挂网文件可能已过时或失效。Y集团制定了岗位职责说明 ,对各岗位职责进行规范。然而,在实际操作过程中,很多工作都是本着大家庭的原则,由很多员工共同处理完成2的。例如,集装箱操作人员可能与箱管人员交叉工作,都会制作集装箱的分理班列清单、分理日报表等。 (二)风险防范方面 公司经营管理层具有一定的风险防范意识和风险辨识能力,主要表现在重大
3、项目的投资决策和重要的管理决策上,同时,在对经营风险和财务风险的防范上,公司也建立了较为完善的制度,但在日常管理上,公司的风险防范还有问题。如 Y 集团成都分公司各基地仓库都未安装摄像头,由于东站使用开放式仓库,货物经常被盗。仓库的基础设施建设也需要加强,如东站仓库的顶棚被雷雨掀翻,可能造成货损货差。 (三)控制活动方面 总的来讲,公司控制活动存在的主要问题是缺乏系统规范的内部控制制度和程序。在一些关键的管理活动上公司建立了较为明确的制度体系,但在其他某些方面,还没有建立明确的内部控制制度和程序。如收入确认的相关控制方面,到站公司单证操作员在 Y 集团业务系统中点击客户签收后,即在业务系统中确
4、认该笔收入。在此过程中,缺乏相应的控制确保到站公司单证操作员及时在系统中点击确认。运作职责分工的相关控制方面,集团规定只有调度员才有调度的权限,但是由于综合运输部调度员人手有限,且晚上不下班,集团给综合运输部单证员开通了调度权限,职责分工存在缺陷。 (四)信息沟通方面 信息部尚未建立信息系统风险的识别与评估制度和流程体系,也未对信息部门组织架构、人员或关键系统应用发生重大变动时进行风险评3估与应对。集团对远程登录企业内部网络及系统缺乏有效控制。远程登录账号的申请主要是在立项报告内申报审批,不做单独申请;同时,现阶段信息部仅对下级公司远程登陆异常进行处理,未对远程登录账号实施定期审核的控制。 (
5、五)内部监督方面 公司设有内控部门,但是目前内控部人员对公司运作规范以及公司信息披露等相关知识了解较少。Y 集团内控部作为企业内部监督机构,同时负责企业管理制度的制定,不符合职责分工的原则。加上管理层对内部控制重视度不够,内控人员的专业胜任能力有待提高,使得审计机构缺乏应有的独立性。 二、Y 集团内部控制存在问题导致的风险和影响 (一)控制环境方面 未建立完善的上市公司治理架构,未明确管理层和治理层的监管职责,可能导致整体控制环境失效,进而影响所有控制活动的实施,同时上市公司治理架构的不完善将直接影响公司上市进程。大家庭原则可能在一定程度上提高了工作效率,但同时也增加了权责不清、职责分工不当、
6、职责分工的控制被逾越的风险。 (二)风险防范方面 日常管理中的风险问题不容小觑。仓库自身安全不尽如人意,仓库人员较为杂乱,没有门禁,任何人都可以进入。且一个仓管员可能看管两个或两个以上仓库,若对仓库货物的存放没有监控,可能会大大增加货物失窃的风险。若仓库顶棚整体被风雨掀翻,影响较大,造成的经济4损失我们无法估量。 (三)控制活动方面 缺乏系统规范的内部控制制度和程序对企业带来的风险和损失可能不可估量。例如,若单证操作员未及时在系统中确认客户签收,可能增加少确认收入的风险;对职责分工缺乏控制,可能增加权责不清、职责分工不当、职责分工的控制被逾越的风险;同时,对职责分工缺乏控制,可能增加舞弊的风险
7、;内控部缺乏独立性,可能会导致内部监督机制无效。 (四)信息沟通方面 缺乏信息系统风险评估程序,可能导致公司对原有发现的风险或新增的风险防范不足或不及时,进而可能影响业务经营目标的实现。远程访问账号不当授权或非法访问可能增加关键业务系统和业务数据未经授权访问的风险。系统资源不足或功能不完善,无法有效支撑公司业务数据的处理与传递,可能增加公司决策失误、经营效率低下等风险。 (五)内部监督方面 内控部缺乏独立性,可能会导致内部监督机制无效。管理层对内控的重视程度不够容易使内控人员出现倦怠心理,对工作缺乏热情和积极性,不利于有效地展开工作。内控人员的专业胜任能力若无法满足企业要求,其监督力度尤其是对
8、高级管理人员的监管力度必将大大受到限制。三、Y 集团内部控制的完善 (一)控制环境方面 5Y 集团应该尽快根据上市公司的治理要求,完善公司组织架构。在公司组织架构完善后,建立相应的制度和流程,明确管理层的管理职能和治理层的决策职能。特别地,在组织架构完善后,公司需按照上市公司治理的要求,定期或不定期开展董事会、监事会及董事会下属委员会会议,并保留相应的会议记录。 (二)风险防范方面 公司经营管理层不仅在重大项目的投资决策和重要的管理决策上要具有一定的风险防范意识和风险辨识能力,在对经营风险和财务风险的防范上也要建立完善的制度,日常管理中的风险更要防范。例如,管理层可以考虑为 Y 集团成都分公司
9、各仓库安装摄像头,加强仓库的基础设施建设,考虑租赁牢固的仓库,或坚固仓库顶棚,同时对发现的偷窃等恶意破坏行为进行严厉惩罚。 (三)控制活动方面 为了有效规避由系统规范的内部控制制度和程序缺陷带来的风险和损失,Y 集团应该在各项管理活动中建立明确的内部控制制度和程序。例如,增加对收入确认相关的控制,同时管理层将财务截止的概念宣贯至业务部门,并考虑对系统录入的及时性进行检查和考核。加强职责分工的相关控制,可以考虑使用对每个岗位定义 A/B 角色的方法,代替目前权责划分不清晰的方法。 (四)信息沟通方面 为了防范信息沟通方面的风险,管理层可以考虑定期(建议每年)对公司及业务经营层面的主要信息技术风险
10、进行评估,调整相关的防范6措施以应对仍然存在的缺陷。可以考虑要求网络管理负责人定期(建议每三个月)审核用户远程登录账号是否合理,以及是否存在无人使用的用户账号,审核完成后审核结果需填写在远程登录权限检查表中,并由实施检查人员予以签字确认。同时,加强应用系统的功能开发和上线进度以更好的支撑业务发展;在系统无法支持的情况下,管理层可以考虑明确并优化仓储数据归集、计算、传递的过程,以增加仓储数据传递的及时性和有效性。 (五)内部监督方面 管理层可以考虑,加强内控部的独立性并加强对内控部的重视程度,提高内部审计人员工作的积极性。加强对工作人员的培训,使其专业胜任能力得到提高以加强监督力度,发现公司的更多问题并解决问题。重视内控文化,建立适应企业长远发展的机制,包括企业精神、价值观念、企业目标、企业制度、企业环境,形成有自己特色的经营理念,对管理人员的考核不但要考核业务能力,还需考核管理能力和道德水平,使整个公司的运行都处于相互制约的可控文化环境。 作者简介:吕悦婷(1990-) ,女,汉族,江西宜春人,毕业于上海交通大学,研究方向:内部审计。