上海上市公司监管通讯第11期.docVIP

上海上市公司监管通讯 （2012年第11期） 上海证监局 2012年 【编者按】为贯彻落实《企业内部控制基本规范》及其配套指引（以下简称“内控规范”）要求，2012年2月27日，上海证监局下发了《关于做好上海辖区上市公司实施内控规范有关工作的通知》（沪证监公司字[2012]41号），做出相关部署。截至2012年7月31日 为促进辖区上市公司进一步明确内控规范实施的相关要求，切实推进内控规范实施工作，上海证监局结合对内控规范试点公司的现场检查、内控规范实施工作调研情况，归纳总结了上市公司内控规范实施过程中的常见问题，并进行解析，供各上市公司参考借鉴。 内控规范实施常见问题解析 一、内控建设方面 1.关于风险管理和内控制度的对接 内控规范实施过程中，部分公司根据国资委颁发的《全面风险管理指引》进行了全面风险管理建设，但是在《内控手册》中未体现对风险的评估与分析，风险管理与内控建设之间没有明确的衔接。 解析：《企业内部控制基本规范》及其配套指引，充分吸收了全面风险管理的理念和方法，强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险，促进企业实现发展战略，风险管理的目标也是促进企业实现发展战略，二者都要求将风险控制在可承受范围之内。企业应按照《企业内部控制基本规范》第二十八条“企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内”将风险评估与内部控制有机结合。 在实际工作中，一些企业的内部控制和风险管理工作由不同机构负责。对此，企业可以对有关机构和业务进行整合，从工作内容、目标、要求以及具体工作执行的方法、程序等方面，将内部控制建设和风险管理工作有机结合起来，避免职能交叉、资源浪费和重复劳动，降低企业管理成本，提高工作效率和效果。 2.关于内控制度的制定 部分公司着手建设内控制度的时间较早，《内控手册》编制时间较早，内容基本涵盖了公司主要业务，但是尚未根据《企业内部控制基本规范》及配套指引的相关规定进行修改完善，如对部分控制点描述较为含糊, 流程图上未明确具体的流程负责人，控制负责人未指定到具体负责岗位，对各项业务活动的内控规范散落在各项具体业务制度和指引中等。 解析：企业应按照《企业内部控制基本规范》第十四条“企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权”的规定建设、维护和更新《内控手册》。 3.关于内控管理人员的配备 目前大部分公司在专业内控人才储备及实践方面仍显不足，制约了公司在内控管理方面的进一步提高。部分公司在内控建设方面的人力资源投入不够，有专业经验的内控专职人员较少，个别重要子公司没有设置内控岗位。 解析：内控管理是一项既全面，专业性又强的工作，要求内控管理专业人员具备内部控制相关理念和知识，熟练掌握流程分析工具的同时，还应具备较为丰富的业务知识以及较强的组织协调能力。辖区一半以上公司已聘请或拟聘请内控咨询机构，协助上市公司开展内控建设工作，但外部咨询不能代替管理层的职责，要建立内控管理的长效机制，必须有内控方面的人才储备。 （二）内控评价方面 1.关于自我评价工作方法 从对2011年内控试点公司专项检查的情况来看，部分公司尚未制定内部控制评价工作办法，明确规定内控自我评价的实施部门、评价范围、具体程序等内容。如有的公司内控评价依赖各单位的自评和互评，评价内容集中在控制活动和信息与沟通，未关注和评价内部环境、风险评估、内部监督等重要内控评价内容；有的公司未对评价范围进行重要性分析，缺乏根据风险评估结果及其对企业的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节的书面文档记录。 解析：《企业内部控制评价指引》第四条明确，“企业应当根据评价指引，结合内部控制设计与运行的实际情况，制定具体的内部控制评价办法，规定评价的原则、内容、程序、方法和报告形式等，明确相关机构或岗位的职责权限，落实责任制，按照规定的办法、程序和要求，有序开展内部控制评价工作”。 2.关于内控缺陷的认定标准 公司在内控自我评价工作中，对内控缺陷等级的认定较为主观，存在未制定具体认定标准，或者缺陷认定标准较模糊等问题。如有的公司未制定重大缺陷、重要缺陷及一般缺陷的具体认定标准，也缺乏对控制缺陷的综合影响分析，仅汇总下属子公司在内控自查和互查中发现的问题和不足，就依据该问题汇总得出公司未存在重大缺陷的结论。 解析：《企业内部控制评价指引》第十六条指出，企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由内控评价部门进