作者:梁晟耀
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
全面风险管理实务操作指南试读:
作者简介
梁晟耀Cosox创始人,2006年创建国内唯一专注于内部控制与全面风险管理的专业网站Cosox(www.cosox.cn),十余年围内、香港、美国纽交所、纳斯达克上市公司和央企集团总部内审、内控和全面风险管理工作经验。曾为永新视博、比克电池、用友软件、中航地产、宝利来、中茵股份、农产品、中国农林低碳、中国联通、步步高电子、深圳建科院、华坚集团、天津天堰科技、金帝集团等数十家央企、民企及美国(ADR)、香港(H股)、国内(A股)各行业上市公司提供过咨询服务,在内部控制和风险管理方面积累了丰富的实践经验。著有《企业内部控制基本规范合规实务指南》。前言超越SOX404
2011年12月25日,圣诞节。
华为总裁任正非如期发表了2012年新年献词《一江春水向东流》,在照搬、模仿和学习西方企业管理数十年后,中国企业家原创管理思想在这篇文章中得到充分展现,可以说是中国原创企业管理思想的一个里程碑。
在此文中,任正非指出,我们对未来的无知源于无法解决的问题,面对未来的风险,我们只能用规则的确定来对付结果的不确定;要矢志不移地继续推动组织朝向长期价值贡献的方向去改革。
2002年7月,美国通过萨班斯法案(SOX)[1];2006年6月,我国国资委印发《中央企业全面风险管理指引》;2008年6月,财政部等五部委颁布中国版萨班斯(C-SOX)——《企业内部控制基本规范》;2012年5月,国资委发布《关于加快构建中央企业内部控制体系有关事项的通知》;同年11月,财政部发布《行政事业单位内部控制规范(试行)》。无论是公司治理还是政府治理,无一例外地都做出同样的选择——内部控制,这就是规则的确定。
一、SOX404≠内部控制
萨班斯法案404条款(简称“SOX404”)要求建设以COSO五要素(控制环境、风险评估、控制活动、信息与沟通、监控)为基础,从公司、流程和信息系统三个层面,以风险管理为导向建立公司内部控制体系。通过对公司管理和业务运营状况及其可能对财务报表的影响进行复核、测试和不断的完善,保证财务报表的可靠性、经营活动的合法合规性。总体来看,SOX404主要还是针对财务报告内部控制(InternalControloverFinancialReporting,ICFR)。
内部控制作为公司治理的关键环节和经营管理的重要举措,在企业发展壮大过程中具有举足轻重的作用。但从现实情况看,许多企业管理松弛、内控弱化、风险频发,资产流失、营私舞弊、损失浪费等问题比较突出。经济健康发展迫切呼唤加强内部控制。内部控制涉及的领域已非常广泛,覆盖公司层面、业务层面和信息系统层面等几乎所有的公司活动,远远突破原来的内部牵制、会计控制等范围。显然,SOX404具有很大的局限性。
中国版萨班斯(C-SOX),即《企业内部控制基本规范》及其配套指引,就是在参考借鉴SOX404即美国COSO内部控制框架的基础上,根据中国的实际情况作了一些调整,特别是摆脱了拘泥于财务报告内部控制的局限,形成了中国企业内部控制规范体系。
二、内部控制与全面风险管理
1.两者密不可分
内部控制与全面风险管理是相互依存、不可分割的有机整体,内部控制是全面风险管理工作的基础和手段,风险防范和控制是内部控制的核心目标。
国资委下发的《中央企业全面风险管理指引》,全面风险管理体系包括目标设定、事项识别、风险应对(风险管理策略、风险解决方案等)、风险管理信息系统和内部控制系统,如图0-1所示。可见,全面风险管理体系的核心组成部分之一即是内部控制系统。
内部控制系统是指围绕风险管理策略目标,针对企业战略、规划、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、研发生产、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。图0-1 内控、风险管理及企业管理的关系
2.内部控制是对风险的补偿
风险是客观存在的,只要企业从事某项业务,就会面临该业务领域的相关风险,比如,企业进行海外并购就必然面临海外政治经济风险、文化差异风险、法律风险等。良好的内部控制可以大大降低风险发生的可能性和影响程度。因此,如果企业设置了良好的内部控制体系并且有效运行,则风险敞口就会大大缩小,将风险控制在企业可承受范围之内。
3.风险和控制此消彼长
控制能够减少风险发生的可能性和影响程度,可以减少过度的风险带来的财务损失、企业声誉损失、运营效率低下和人员健康损害。反过来,如果控制过度,则不但增加了企业的成本,而且可能因为增加流程的复杂性而造成控制失误,并且容易引起官僚作风,如图0-2所示。图0-2 风险与控制的平衡
公司在制定解决风险的内控方案时,一方面要满足合规的要求,同时坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;另一方面对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施,避免控制不足或者控制过度。
前述的确定的规则,即内部控制体系,解决的是“正确地做事”(Do Things Right),但其“结果也是不确定的”,这就是风险,而全面风险管理是要解决“做正确的事”(Do Right Things),将两者合二为一,这样才能推动企业朝向长期价值贡献的方向前行。本书《全面风险管理实务操作指南》,尝试提供将全面风险管理和内部控制融为一体的风险控制体系(Risk Control System,RCS)建设操作实务。
三、从SOX404到全面风险管理
SOX404只是基于遵守法律法规,满足监管机构的规定,对于企业来说这是最起码的要求。中国当下的现实不容乐观,相当多中国企业还在为满足这个要求而努力,所以国家层面依法治国才会被屡屡提上议事日程,企业层面《企业内部控制基本规范》将经营管理合法合规列为首要目标和最基本的要求。企业提高经营效率,需要将风险控制融入到日常经营管理中,提高执行力,降低不确定因素对实现目标的影响,也是应有之义。而将风险控制融入战略管理,提高决策水平和资源分配能力,创造价值,这是更高层次的追求,如图0-3所示。图0-3 风险控制体系不同的发展阶段
从SOX404到全面风险管理,就是要建立一个免疫系统。就像天然具有“自我净化”功能的小河水一样,清澈见底的河水遇到下雨、排涝或被扔进杂物时会变混浊,但一段时间后又会自动变清。全面风险管理的目的就是让企业的组织体系具备类似河水的自然而然的净化功能和免疫能力,有了免疫力的公司自然更能抵御风险,更有可能基业长青。死亡迟早会到来的,这是组织的宿命,不断延长企业的生命是我们努力的方向。[1]2002年7月30日美国总统布什签署《2002年公众公司会计改革和投资者保护法案》(ThePublic Company Accounting and Investor Protection Act of 2002),该法案由参议院银行委员会主席萨班斯(Paul Sarbanes)和众议院金融服务委员会主席奥克斯利(Mike Oxley)联合提出,所以又被称作《2002年萨班斯—奥克斯利法案》(The Sarbanes-Oxley Act of 2002),简称萨班斯法案(SOX)。第一章总论
随着企业内外部经营环境变革日趋剧烈,内部控制与风险管理在保证战略目标实现,防止经营绩效的大幅波动,防范负面风险等方面开始发挥越来越重要的作用。
本书旨在提供一套科学系统的风险控制体系(以下简称“风控体系”)建设的方法和工具,为公司风控体系建设、运行和维护提供指引,促使公司朝着战略目标迈进,并使这一过程中出现的意外情况最小化。一、本书结构
本书包括六章,即总论、内部环境、风险评估、控制活动、信息与沟通及监控。
1.总论
阐述风控体系的建设目标,并以财政部等五部委《企业内部控制基本规范》及《企业内部控制配套指引》和国资委《中央企业全面风险管理指引》为依据,从内部环境、风险评估、控制活动、信息与沟通和监控5个方面对风控体系进行简要说明。
2.内部环境
描述了内部环境的概念,并从描述内部环境的概念及要素,从行为准则(Code of Conduct)、公司治理、组织与权责分配、员工胜任能力、管理理念与企业文化、人力资源政策和反舞弊等方面对内部环境各要素关注要点、控制措施进行阐述。
3.风险评估
描述风险和风险评估的基本概念,从风险评估原则、基本程序、公司层面风险评估及应对、流程层面风险评估及应对等方面对风险评估关注要点及相应措施进行阐述,建立风险数据库,绘制风险地图,提出风险管理策略和风险解决方案。
4.控制活动
描述控制活动的概念及分类,从控制活动实施、控制活动有效性评价和权限指引3个方面对控制活动的关注要点及相应措施进行阐述,搭建业务流程框架,编制风险控制矩阵和权限指引表,将风险评估确定的风险管理策略和风险解决方案,落实到控制活动中。
5.信息与沟通
描述了信息与沟通的概念及要素,从信息采集、信息沟通、信息系统等方面对内控关注要点及相应措施进行了说明,重点对信息系统控制进行了阐述。
6.监控
描述了监控的概念及要素,并从日常监督、专项监督、缺陷跟踪和内部控制评价等方面对内控关注要点及相应措施进行了阐述,重点阐述各类控制的测试方法及步骤等,并制定了相关模板。
以上各部分与公司企业文化和制度体系相辅相成,共同构成了支撑公司有效运营的风控体系。二、风控体系依据与标准
为了确保风控体系建设的规范化、标准化及合规化,本书的编制参考了目前国内、国际通行的内部控制与风险管理标准,包括财政部等五部委《企业内部控制基本规范》及《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》等配套指引、国资委《中央企业风险管理指引》、港交所《企业管治常规守则》和《内部监控与风险管理的基本架构》,以及美国COSO《内部控制整合框架》(美国萨班斯法案内控标准)和COSO《企业风险管理整合框架》。
1.财政部等五部委《企业内部控制基本规范》及配套指引
2008年6月,财政部会同证监会、审计署、银监会、保监会制定并发布了《企业内部控制基本规范》(简称《基本规范》),基本借鉴了美国COSO框架,即以1992年COSO《内部控制整合框架》5要素为框架,同时在内容上体现了2004年COSO《企业风险管理整合框架》8要素框架的实质。
2010年4月,财政部等五部委又联合颁布了《企业内部控制配套指引》,包括《企业内部控制应用指引》(18项)、《企业内部控制评价指引》和《企业内部控制审计指引》3个指引。《企业内部控制应用指引》是对企业按照内控原则和内控“5要素”建立健全本企业内部控制所提供的指引。应用指引可以划分为3类,即内部环境类指引、控制活动类指引、控制手段类指引,基本涵盖了企业人流、物流、资金流和信息流等各项业务和事项,在配套指引乃至整个内部控制规范体系中占居主体地位。《企业内部控制评价指引》是为企业管理层对本企业内部控制有效性进行自我评价提供的指引。《企业内部控制审计指引》是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。
3 个指引之间既相互独立,又相互联系,形成一个有机整体,连同此前发布的《基本规范》,统称“企业内部控制规范体系”(简称“内控规范”),标志着形成了结构合理、层次分明、衔接有序、方法科学、体系完备的企业内部控制规范体系如图1-1所示[1]。图1-1 企业内部控制规范体系
2.国资委《中央企业全面风险管理指引》
2006年6月,国资委根据《企业国有资产监督管理暂行条例》(国务院令第378 号)关于“国有及国有控股企业应当加强监控和风险控制”的要求,出台了《中央企业全面风险管理指引》(简称《风险指引》),旨在进一步加强和完善国有资产监管工作,深化国有企业改革,加强风险管理,促进企业持续、稳定、健康发展。《风险指引》分10章,共70条,对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理信息系统等方面进行了详细阐述,如图1-2所示,要求各中央企业把风险管理作为企业各项管理工作的主线,将风险管理要求融入企业管理和业务流程中去,尽快建立和完善全面风险管理体系。《风险指引》指出,全面风险管理是企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,建立健全全面风险管理体系,包括风险管理策略、风险管理组织体系、风险管理信息系统和内部控制系统,从而为实现风险管理总体目标提供合理保证的过程和方法。图1-2 《中央企业全面风险管理指引》内容框架
3.港交所《企业管治守则》及《内部监控与风险管理的基本架构》
2004年11月,香港联合交易所(简称“港交所”)公布了《企业管治常规守则》(港交所上市规则附录14,2011年10月进行了修订,更名为《企业管治守则》,简称《守则》)。《守则》要求上市公司董事会应确保上市公司的内部监控系统稳健妥善而且有效,以保障股东的投资和上市公司的资产。董事必须至少一年评估一次上市公司和其附属公司内部监控系统运作的有效性。在《企业管治报告》中向股东们汇报董事已经完成有关评估。评估应涵盖所有重要的监控方面,包括财务、运营、合规性控制和风险管理职能。
2005年,港交所邀请香港会计师公会(简称“公会”)制定进一步指引,以协助上市公司了解及实施《守则》内有关内部监控的规定,并制订其内部监控程序。公会接受港交所邀请,制定了《内部监控与风险管理的基本架构》(简称《内部监控架构》),为上市公司提供内部监控基本架构的一般指引及建议。《内部监控架构》采用了《COSO 内部控制整合框架》所提供的模式、定义及概念性架构,明确内部监控系统是为企业实现营运的效益及效率、财务汇报的可靠性、遵守适用的法律规则三个目标而提供合理保证的程序,并提出完善内部监控系统的5个互相关联的要素:监控环境、风险评估、监控活动、资讯及沟通、监察。
2014年6月20日,港交所刊发咨询文件,同年12月下旬发布咨询总结,确定了修订内容,将于2016年1月1日或之后开始的会计期间生效[2]。修订后的《守则》更注重风险管理,强调内部监控中为风险管理的重要元素;清晰界定董事会、董事委员会及管理层在风险管理及内部监控中的角色与职责,以明确他们的问责;提升发行人风险管理及内部监控系统的披露责任,即相关的政策、程序以及每年成效检讨的详情,以提高发行人在风险管理及内部监控方面的透明度;提升发行人内部审核的责任,以加强对发行人风险管理及内部监控系统的监察。
4.COSO《内部控制整合框架》及《企业风险管理整合框架》
COSO是美国及虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)的英文缩写。
COSO是自愿性的私人组织,致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。1985年,由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务报告委员会。该委员会旨在探讨财务报告中舞弊产生的原因,并寻求解决措施。两年后,该委员会提出了很多有价值的建议。基于该委员会的建议,其赞助机构成立了COSO委员会,专门研究内部控制问题。
反虚假财务报告委员会于1987年签署了报告,号召研究并制定一个统一的内部控制框架。1992年9月,COSO委员会提出了报告《内部控制整体框架》(1994年进行了增补),即《COSO内部控制整合框架》(简称COSO-IC/1992)。2013年5月4日,COSO发布新版《内部控制整合框架》(简称COSO-IC/2013)[3]。COSO内部控制框架被广泛地选择作为构建和完善内控体系的标准。虽然COSO内部控制框架并非唯一的内部控制框架,但却是美国证券交易委员会唯一推荐使用的内部控制框架。《萨班斯—奥克斯利法案》第 404 条款的“最终细则”也明确表明COSO内部控制框架可以作为评估公司内部控制的标准。
COSO内部控制框架提出了5个互相关联的组成要素,根据公司的规模和结构,公司可采用不同的方式来实施这些组成要素,但是所有公司都必须涉及这5个组成要素。因此,在对内部控制进行评估时,管理层必须考虑以下每个组成要素。
· 控制环境。控制环境是内部控制的基础,是有效实施内部控制的保障,直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。控制环境确定了公司的总体态度,是内部控制所有其他组成要素的基础。控制环境包括职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权利和责任的分配、人力资源政策与措施、董事会与审计委员会以及反舞弊等内容。
· 风险评估。风险评估是识别及分析影响公司目标实现的风险的过程,是风险管理的基础。在风险评估中,应识别和分析对实现目标具有负面作用和机遇的风险。
· 控制活动。控制活动是确保管理层的指令得到贯彻执行的必要措施,存在于整个机构内所有级别和职能部门。包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等活动。
· 信息与沟通。信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时地传递,以便员工履行职责。信息不仅包括内部产生的信息,还包括与公司经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使公司的员工能及时取得他们在执行、管理和控制公司经营过程中所需的信息,并交换这些信息。
· 监控。监控是对风控体系有效性进行评估的持续过程,包括持续监控、独立评价和缺陷报告等。
在2001年以后,特别是安然事件发生以后,企业风险管理成为焦点而备受关注,由此也需要一个强有力的框架以有效地识别、评估和管理风险。2004年9月,COSO委员会发布《企业风险管理整合框架》(简称COSO-ERM/2004),在内部控制的基础上,扩展、提供了一个更强有力的框架来,更广泛地专注企业的全面风险管理。该框架不会取代内控框架,而是将内控框架与其融合为一体。公司仍可以决定依靠这个企业风险管理框架去满足企业内控的需要,通过采用更全面的风险管理方法使企业持续发展。
企业风险管理由8项相互关联的要素组成,它们来自管理层经营企业的方式,并融入管理过程本身。这些要素包括以下几点。
· 内部环境。内部环境包含了一个企业的基调,为该企业管理层和员工审视和应对风险的方式制定基础,包括风险管理理念和风险偏好、行为准则以及进行经营活动所处的环境。
· 目标制定。在管理层能够识别影响目标实现的潜在事件之前,企业必须已制定目标。企业风险管理确保管理层使制定目标的流程到位,并保持选择的目标支持企业的使命并与此并行不悖,同时这些目标也与企业的风险偏好相一致。
· 事项识别。必须识别出影响企业实现目标的各种外部和内部事件,并区分风险和机遇。可以在管理层制定企业战略目标的过程中对机遇加以考虑。
· 风险评估。应对风险进行分析,考虑其发生的可能性和影响,以作为确定应如何管理风险的基础。还应对企业固有风险及剩余风险进行评估。
· 风险应对。管理层选择风险反应方案:规避风险、承受风险、降低风险或分担风险,采取一系列措施使风险维持在企业的风险承受范围之内。
· 控制活动。确立和实施政策程序,以有助于确保风险解决方案得以有效地贯彻执行。
· 信息与沟通。相关信息以某种形式在一定时限内被识别、获得和传达沟通,以便使员工履行自己的职责。从广义上讲,有效的沟通也应自上而下、自下而上地进行,贯穿整个企业。
· 监控。监控整个企业风险管理过程,并根据需要做出修改。通过持续性监控活动、独立评价或两者兼而有之来完成监控。三、风控体系方法论
1.目标—风险—控制三角模型
实践表明,风控体系不是在企业管理系统之外再加一个系统,而是要融合在企业日常管理的各个环节中:企业要把风控体系和战略规划结合起来,要把风控体系和项目发展结合起来,要把风控体系和经营管理结合起,把风控工作变成企业重要的基础管理工作,使风控文化和理念渗透到企业经营管理的各个环节。换言之,一套组织科学、流程顺畅、执行严密的企业管理系统,本身就能够有效地防范风险。因此,将风控体系与其他管理系统(ISO、6σ……)进行融合是应有之义。
企业普遍认识到全面风险管理与内部控制是不可分割的关系,即内部控制是全面风险管理的重要组成部分,风险管理必须落实到企业的各项业务和管理活动中,落实到企业的各项内控制度和流程中,建立“目标—风险—控制”的有效对接,如图1-3所示,将风险管理真正融入其他的日常经营管理中,才能切实发挥实效。图1-3就是本书方法论的一个概括。图1-3 目标—风险—控制关系
在实际操作中,应选择通过一定方式解构企业,然后按照这一方式将上述方法论付诸实施:
· 任何公司都是流程的集合;
· 任何公司的流程都可以从公司层面、业务层面和IT层面3个方面进行分解,如图1-4所示;
· 流程是若干作业的集合,而其中能够满足某些控制目标的作业则构成了所谓的“控制活动”;
· 关键控制(Key Controls)活动的定义及原因:对于一个大型集团企业,控制活动众多,因此必须基于成本效益平衡原则,根据风险评估结果,由相关业务流程管理人员和项目组成员共同判断某一个控制活动是否属于“关键控制活动”。对于控制活动执行有效性测试,更多是针对关键控制活动进行;
· 整个风控体系,就是若干关键控制活动在实现对应风险控制的情况下实现某种控制目标的运行过程,包括控制的设计有效性和执行有效性两个方面;
· 风控体系要求从一个给定的风险将会发生的可能性和潜在影响的角度来评估风险,但企业风险管理还要求关注相互关联的风险,强调有必要从“组合”的角度考虑复合风险,从而关注一个单独的事项可能会怎样产生多重风险。
· 内部控制是企业风险管理不可分割的部分,建立健全内部控制体系是提升企业风险管理能力的重要途径,以风险管理为导向(风险评估)是内部控制活动设计的起点和终点。图1-4 流程三个层面的分解(1)公司层面控制(Entity Level Control,ELC)
公司层面控制属于公司高层的控制范畴,参照COSO框架,我们可以按照内部控制的5要素,亦即控制环境、风险评估、控制活动、信息与沟通、监控,从若干公司高层控制的要素角度展开这个部分的内容,这些要素包括审计委员会、内部审计、管理政策与程序的一体化建立、举报机制、业绩报告的分析性复核等。从这个意义上讲,公司层面控制非常类似公司治理这个概念,解决的是股东、董事会和企业高管层的权责分配和激励约束机制的问题。
需要说明的是,公司层面控制是企业的“生存土壤”或“基石”,具有一般性特点,即难以将公司层面某个控制活动与流程层面的某个风险点、财务报告科目或者披露事项进行一对一的匹配,举例而言:
· 公司在不同层面、不同流程、不同部门是否具有完整、准确而且相互协同的管理政策与程序,从而在原则和细则层面分别指导不同的控制活动的执行,这是一个控制环境的问题;
· 公司应该建立从高到低的风险评估机制,以便所有的控制设计和执行,都是风险导向的,这对于将有限的资源用于重点的管理领域,非常重要;
· 所有的业务经营成果最终都要通过财务信息得以反映,那么在公司层面,每个期间的结账、报告和会计准则差异调整以及利用分析性复核技术识别可能存在的问题,就构成了公司高层的独特的控制活动;
· 在一个大型集团公司,在内部控制方面,无论是控制设计、实施还是执行有效性,没有良好的信息沟通机制是难以真正实现科学管理的,因此企业的培训、沟通、举报以及相应的信息化支撑平台等就构成了公司层面控制中的“信息与沟通”要素的内容;
· 内部控制的一个基本原则是“相互牵制”,因此内部监督必不可少。在所有的监督机制中,审计委员会、独立董事的任职资格、内部审计的独立性、内审人员的专业胜任能力等,都构成了公司层面控制中“监督”的具体内容。
公司层面控制并非严格按照流程和步骤机械化地展开,在设计和执行上具有一定的灵活性。正是由于公司层面控制或者公司治理中的控制活动具有灵活性和非标准化特点,反而容易造成一种软性和非技术化的误解,因此其重要性和实际执行效果经常被低估或忽略。实践证明,无论是财务报告目标还是经营战略和营运效率效果目标,效果的保证最终是通过公司治理和公司层面控制活动实现的,而业务流程层面的控制更多关注的是操作性风险,其影响也更多地表现为效率问题,而不是效果。(2)业务层面控制
一般可以按照以下步骤进行流程分解和分析:
· 按照流程分解企业,得到一级、二级甚至三级的流程框架;
· 按照流程的各个步骤的顺序进行风险评估;
· 进行访谈和文档审阅,了解各个流程控制活动的现状;
· 结合风险评估结果进行差异分析,评价控制活动设计有效性,并针对可能的问题提出改进建议。
由此可见,流程层面控制,行业专属性的流程分解和控制活动分析是核心和关键。(3)IT层面控制
IT控制是一系列IT控制政策或措施的总称,它们与组织结构、IT治理、应用系统及其运行环境相关,并通过支持信息系统持续恰当运行来保证应用系统控制的有效性。
IT控制主要包括IT公司层面控制、IT总体控制(IT General Control,ITGC)和应用程序控制(IT Application Control,ITAC),并与业务控制融为一体发挥作用,如图1-5所示。
① IT公司层面控制:
· 政策制定。公司整体的IT治理架构、决策机制和IT基本策略。
· 信息与沟通。IT制度的发布,沟通机制与管理程序。
· 风险评估。建立风险评估流程和IT风险控制矩阵,包括信息资产评估程序,流程风险评估。
· 监控检查。建立IT监控措施,内部IT审核、管理评审、专项检查等措施。
② IT总体控制(ITGC):
· 信息系统的开发和实施。开发与实施活动的管理、项目启动、需求分析与设计、系统自行开发管理。
· 信息系统的建设与软件包的选择。测试和质量保证、数据转换、上线、文档与培训等。
· 信息系统的变更和维护。授权和跟踪变更申请、系统编程、测试和质量保证、迁移到生产环境的授权、文档和培训、变更管理等。
信息系统的操作和运行。对系统操作的总体控制、批量处理、备份管理、管理数据中心环境、第三方管理、账号与权限管理、用户培训、服务水平协议、问题管理、事件管理等。
系统和数据的访问安全。信息安全组织和管理、信息安全策略和流程、数据操作、数据批量处理、数据安全、操作系统安全、内部网络安全、边界网络安全、物理安全等。
应用系统的控制。系统的安全管理,访问控制,流程和系统的完整性,数据管理与数据质量等。
③ IT应用程序控制:
应用系统中的程序化控制,负责执行控制有关的特定活动,往往是与业务控制相生相伴的。例如在输入过程中,对主要栏目中的被输入的数据进行错误检查或验证。图1-5 IT控制总体架构
传统的内部控制一般都重视流程层面控制,而忽略对IT层面的控制。随着企业对信息技术依存度的提高,IT层面控制对公司整体内控体系的重要性将越来越高。
综上所述,任何企业的内控体系都可以从三个层面进行分解,而每个层面又都可以按照一定的标准继续分解。无论怎样分解,三个层面的控制最终都要落实到“目标—风险—控制”的设计与执行这个基本思路上。四、风控体系主要内容
1.内部环境
内部环境是风控体系建设的基础,是有效实施风控的保障,直接影响着风控的贯彻执行、公司经营目标及整体战略目标的实现。内部环境确定了公司对风控体系建设的总体态度,是风控所有其他组成要素的基础。
公司内部环境包括行为准则、公司治理、组织与权责分配、员工胜任能力、管理理念与企业文化、人力资源政策和反舞弊等内容。(1)行为准则
公司的目标及目标实现的方式基于该公司的优先选择、价值判断和管理层的经营风格。这些优先选择和价值判断反映出公司管理层的诚信及其信奉的行为准则。行为准则是企业控制环境至关重要的因素,它影响设计、管理和监督其他要素。(2)公司治理
建立规范的公司治理结构(包括董事会、监事会和管理层),并制定相应的议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。(3)组织与权责分配
在治理结构所确定的组织框架基础上,设立满足公司经营管理所需要的职能机构。对于组织内的全部活动合理有效地分配职责和权限,并为执行任务和承担职责的组织成员特别是关键岗位的人员,提供和配备所需的资源,并确保他们的经验和知识与职责权限相匹配。要使所有员工知道他们的职责和权限。(4)员工胜任能力
员工胜任能力就是反映员工完成工作任务所需的知识和技能。工作任务需要具备什么样的知识和技能的员工来完成,通常是管理层根据公司的目标和实现这些目标的战略和计划,在胜任能力和成本之间进行平衡后做出的决策。(5)人力资源政策
制定完善的员工招聘、培训、辞退与辞职、薪酬、考核、晋升与奖惩、关键岗位的强制休假和定期轮岗、重要岗位员工离岗的限制等政策及程序,健全公司管理人员的任用选拔、管理考核和激励监督机制,有效地保证风控在公司中的顺利实施。(6)管理理念与企业文化
管理层的管理理念和企业文化,体现公司的经营宗旨、价值观念和行为准则,影响公司的管理方式,包括对各种风险的态度;将风险管理意识转化为员工的共同认识和自觉行动,提高全员风险意识。(7)反舞弊机制
公司应建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。
2.风险评估
风险是指未来的不确定性对公司实现其目标的影响。风险评估是及时识别、科学分析和评估影响公司目标实现的各种不确定因素并制定应对策略的过程,是实施风控的重要环节。在风险评估中,既要识别和分析对实现目标具有阻碍作用的风险,也要发现对实现目标具有积极影响的机遇。
公司应制定完善的风险评估规范,明确风险评估的范围、程序和方法,规范公司的风险评估工作。(1)风险评估范围
公司针对战略目标、经营目标、报告目标、合规目标和资产安全目标,分别确认风险评估的范围。(2)风险评估的基本程序
①目标设定与初始信息收集。公司在进行风险评估时,需根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。围绕公司战略目标和相关目标以及风险管理要求,相关职能部门、业务单位和风险控制部门广泛、持续收集与公司风险及风险管理相关的各种内、外部信息,包括收集历史数据和未来信息,关注宏观经济与经营环境、竞争对手、新技术与新产品、海外经营、公司重组、业务整合、会计政策、信息系统、资本运作等方面已经发生和将要发生的变化情况。
②风险识别。风险识别是指查找公司各项重要经营管理活动及其重要业务流程中存在的影响目标实现的风险和机遇的过程。公司应动态识别影响公司战略目标及相关目标实现的、内部和外部的各种不确定性因素。其中,带负面影响的因素代表风险,需要对其进行分析和应对;带积极影响的因素代表机遇,在制定目标和政策实施过程中应对其加以考虑并把握。
③风险分析。风险分析是针对识别出的风险,进一步分析风险发生的可能性和对公司实现目标的影响程度的过程。公司可以综合运用定性和定量的方法,对风险发生的可能性和影响程度进行分析、评价,并按照风险分析结果确定风险重要性水平,识别公司重大风险,确定风险管理的优先顺序。
④风险应对。风险应对是针对风险发生的原因、风险重要性水平,考虑风险之间的关系并把握机遇,综合运用风险规避、风险降低、风险分担和风险承受等策略,确定风险应对策略的过程。(3)风险数据库
公司按照规定的程序和方法开展风险评估后,识别出公司层面和流程层面的风险事项,结合风险发生的层次、重要性水平和应对策略,建立与维护公司层面和业务流程层面的风险数据库。
3.控制活动
控制活动是指公司根据风险评估结果,采用相应的控制措施,将风险控制在可容忍度之内。控制活动是确保管理层关于风险应对策略得以贯彻执行的政策和程序,存在于公司所有级别的分支机构和职能部门,包括不相容职务分离、授权审批、会计系统、财产保护、预算、运营分析、绩效考评、突发事件应急等。
公司应根据风控目标,将控制措施与风险应对策略相结合,针对各类风险或每一项重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。
公司应当按照各有关部门和业务单位的职责分工,组织实施控制措施。针对面临的各项风险,按照风险应对策略,建立相应的风险控制政策和措施,规范业务流程,并编制相关的工作文档。(1)控制活动的实施
①规范业务流程,制定业务活动层面风控措施。控制活动通过针对公司各个业务主要流程设计和实施一系列政策、制度、规章和措施,对影响业务流程目标实现的各种风险进行有效地管理和控制。公司应通过确定业务流程体系框架、记录业务流程和内部控制情况、建立关键控制和一般控制等主要步骤来规范业务流程层面的控制活动。
②分解重大风险,将公司层面重大风险与业务流程进行对接。为确保公司层面重大风险的管理能够落到实处,公司应根据各重大风险涉及的相关业务内容和控制目标,将公司层面重大风险进行层层分解,识别导致重大风险的众多风险事项,并将其与业务流程进行对接,评估与重大风险对接的流程的全流程控制措施是否存在和有效,保证风险管理工作真正落实。(2)控制活动有效性评价
公司应根据监控的政策和程序,定期对控制活动的有效性进行评价,查找控制缺陷,并进行改进和完善,确保控制活动的持续有效性。(3)权限指引
权限指引是企业风控的重要组成部分,具体描述了企业授权制度是如何构成、应用和监控,公司内各级批准权限是如何界定的。公司应当设置科学、明确的权限指引表,明确各项重大决策、经营活动的审批权限,确保决策的科学性以及经营的效果和效率。
4.信息与沟通
信息与沟通是公司及时、准确地收集、传递与内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通,以促使职责的履行。信息是指与公司经营相关的财务及非财务信息,不仅包括内部产生的信息,还包括与公司经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制能使员工及时取得他们在执行、管理和控制公司经营过程中所需的信息。公司建立符合发展战略并与经营管理活动一体化的信息系统,为风险管理提供足够的信息资源和顺畅的沟通渠道。(1)信息采集
公司应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性,即公司应持续不断地识别、收集、整理与归纳来自内部与外部、经营与管理的各种信息,针对不同的信息来源和信息类型,明确各种信息的收集人员、收集方式、传递程序、报告途径和加工与处理要求,确保经营管理各种信息资源得到及时、准确、完整收集。(2)沟通
信息沟通是指内部控制相关信息在公司内部各管理级次、责任单位、业务环节之间,以及公司与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。
公司应建立适当的渠道,与公司的相关方如供应商、客户、律师、股东、监管机构、外部审计师,就相关信息进行必要的外部沟通。(3)信息系统
公司应将信息技术应用于风控各项工作,运用信息系统对经营管理进行过程控制和信息的采集、存储、加工、分析、测试、传递、报告和披露等;满足公司风控相关信息报告制度和公司对外信息披露相关制度的要求。
信息系统应实现信息在各职能部门、业务单位之间的集成与共享,既能满足单项业务风控要求,也能满足公司整体和跨职能部门、业务单位的风控综合要求。①建立信息系统总体控制(ITGC)。建立包括信息系统内部环境、信息安全、信息系统项目建设管理等方面内容的信息系统总体控制规范与规章制度。
②建立信息系统应用控制(ITAC)。全面识别应用系统相关风险,建立完善的应用系统控制规范,对应用系统的权限管理、自动控制进行有效管理。
5.监控
监控是对公司风控建立与实施情况进行监督检查,评价风控有效性并及时加以改进的过程,包括日常监督、专项监督、风控评价和缺陷跟踪等。(1)日常监督
日常监督是指公司对建立与实施风控的情况进行常规、持续的监督检查。公司应制定风控体系运行与维护管理制度,明确经授权的日常监督机构的职责权限,规范日常监督的程序、方法和要求,定期维护公司规章制度,将风控工作纳入公司各级管理层的业绩考核,构建风控体系运行长效机制。(2)专项监督
专项监督是指在公司发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对风控的某个或者某些方面进行有针对性的评价。(3)内部控制评价
公司应结合监控情况,建立定期的风控评价制度,明确风控评价的机构和职责权限,规范评价的方式、范围、程序和频率,并编制相应的风控评价报告。(4)缺陷跟踪
公司应明确报告缺陷的职责、报告的内容,对报告缺陷的程序及跟进措施等方面进行规范;制定风控缺陷认定规范,明确缺陷定义及分类,以及缺陷评估内容、方法和标准等。[1]2012年5月,国资委与财政部联合发布《关于加快构建中央企业内部控制体系有关事项的通知》,标志着国资委全面认可和接受企业内部控制规范体系,即《企业内部控制基本规范》及其配套指引。[2]具体修改条文,详见附录A。[3]其简介详见附录B。第二章内部环境
内部环境是风控体系的基础,是有效实施风控的保障,直接影响着公司风控的贯彻执行、公司经营目标及整体战略目标的实现。内部环境确定了公司的总体态度,是风控体系所有其他组成要素的基础。
内部环境包括行为准则、公司治理、组织与权责分配、员工胜任能力、管理理念与企业文化、人力资源政策和反舞弊等内容。一、行为准则
公司的目标及目标实现的方式基于该公司的优先选择、价值判断和管理层的经营风格。这些优先选择和价值判断反映出公司管理层的诚信及其信奉的行为准则。行为准则是企业控制环境至关重要的因素,它影响设计、管理和监督其他要素。
行为准则的内容包括以下几点。
1.职业道德规范的制定及推行
管理层应该制定全面的职业道德规范,并向员工进行传达,让员工熟知和理解这些规定。
管理层应该在言谈和行动中表现出对职业道德规范的遵循。具体包括:
· 职业道德规范的内容是全面的,并针对利益冲突、非法或其他不当付款、不正当竞争、内幕交易等做出规定。
· 公司对职业道德规范进行有效的宣传推广。
· 员工知晓什么行为是可接受的,什么是不可接受的,以及当遇到不当行为时应该采取的行动。
2.“高层管理基调”的建立“高层管理基调”的建立包括有详尽的道德指导和在公司上下进行充分沟通指导。具体包括:
· 管理层通过一言一行,在公司范围内传达对职业道德规范的遵循。
· 员工感觉到被同仁敦促做正确事情的压力。
· 管理层对存在问题的迹象予以适当关注。
3.与利益相关方的关系
管理层与员工、供应商、客户、投资者、债权人、保险公司、竞争对象和审计师等进行交往时,应当遵守职业道德规范,并且要求其他人同样遵守道德标准,与客户、供应商、员工和其他相关方的日常业务建立在诚实和公允的基础上。
4.违规处理
针对违反政策和道德标准的情况及时采取适当的措施。具体包括:
· 管理层对公司的违规行为应进行回应。
· 对违规行为进行处理,处理的原则和结果应在公司上下进行传达。
· 员工确信如果违规要承担后果。
5.管理层对干预或逾越既定控制的态度
· 管理层就需要进行干预的情形和进行干预的频率制定方针制度。
· 管理层对控制制度的干预被适当地记录和解释。
· 明确禁止管理人员逾越既定控制。
以上所提到的“干预”是指为了合法的目的而偏离既定的规章和程序的行为,当出现特殊的和非标准的交易和事件时,管理层的干预是合理的;“越权”是指为了不合法的目的而不遵守既定的规定和程序。
6.实现目标的压力
绩效目标,特别是短期目标的确定是合理的;薪酬与绩效目标的实现挂钩程度是合理的。具体包括:
· 不存在偏激的奖惩制度,影响员工对道德标准的遵守。
· 升职和薪金不能仅基于短期绩效目标的实现。
· 实施控制以减少其他形式存在的诱惑。
企业实例
蒂森克虏伯集团[1]行为准则(摘录)
1.商业行为
遵守法律
遵守法律法规对我们而言是负责的商业行为的最重要的基本原则。我们应时刻遵守法律的禁止性规定和要求,即使这将对公司或个人带来短期的商业上的不利或困难。在当地法律比蒂森克虏伯适用的规则更加严格时,应优先适用当地法律。
避免利益冲突
在蒂森克虏伯,商业决策应仅为公司最大利益做出。任何个人,包括亲属或其他关联方的事务或其他业务或非业务活动所带来的利益冲突,均应避免。如出现此种冲突,应按照法律以及集团政策处理。处理冲突应当公开透明。
公平竞争
蒂森克虏伯品牌代表着技术能力、创新、以客户为导向和积极、负责的员工。这些因素是我们能在全球竞争中获得良好声誉和集团长期商业成功的基础。
对于反贿赂和反垄断规则的违反威胁到了这些成功的因素,因而将不被容许(零容忍)。对于我们而言,贿赂和垄断协议不是赢得业务的手段。我们宁可放弃合同、牺牲内部目标,也不愿违反法律行事。
随着合规项目的实施,蒂森克虏伯已采取了广泛措施,以确保遵循有关反贿赂和反垄断的法规及以其为基础的集团方针。违法、违规行为是不被容许的,并将导致对有关人员的制裁。所有董事会成员、高级管理人员以及所有其他员工必须意识到,对于反贿赂和反垄断规则的违反,对蒂森克虏伯及他们个人,都意味着巨大的风险。所有员工应在其职责范围内积极配合执行蒂森克虏伯的合规项目。
预防洗钱
蒂森克虏伯履行对预防洗钱的法律义务,不参与洗钱活动。如有疑问,任何员工都应将有洗钱嫌疑的、不正常的、尤其是涉及现金的金融交易,汇报给相关财务、法律或者合规部门审查。
2.对同事和员工的行为
平等对待和不歧视
机会平等、互相信任与尊重的文化对我们而言有重要的意义。我们在员工招募、升职、培训和发展中,促进机会平等并防止歧视。无论性别、年龄、肤色、文化、种族、性取向、残疾、宗教信仰还是世界观,我们对所有员工一视同仁。
员工权利
我们拒绝任何形式的强制劳动以及雇用童工。我们认可所有员工在一国法律基础上组成工会和员工代表组织的权利。我们认可所有员工拥有得到适当薪酬的权利。工资与其他福利应至少符合所在国家或当地的法定标准或一国经济领域/行业与地区的标准。
职业健康和安全
我们员工的安全与健康是与我们产品质量与商业成功同等重要的公司目标。劳动安全与健康保护是所有业务流程不可或缺的环节,应包含于从规划阶段之始的所有技术、经济与社会等考虑因素中。
每一位员工都应促进其所在工作环境下的安全与健康,并遵守健康和安全规定。所有管理人员都有义务教导并支持他们的员工履行这一职责。
蒂森克虏伯分包商的员工应同样适用对于蒂森克虏伯员工的安全标准。这也是选择分包商并与其共事时应当考虑的因素。
3.社会中的行为
可持续性及环境和气候保护
对我们而言,可持续性、环境和气候保护以及资源有效利用是重要的公司目标。不管是开发新产品与服务,还是运营生产设备,我们应确保将所有对环境与气候的影响降到最低,让我们的产品为客户就环境和气候的保护做出积极的贡献。
每位员工都应通过其个人行为,承担保护自然资源和帮助保护环境和气候的责任。
捐款
我们积极承担社会责任,并为其以不同方式付出努力。我们仅以公司的利益为前提进行捐款以及承担其他形式的社会责任。
公共场合的行为与沟通
我们尊重对个人权利和隐私的保护。所有员工应意识到即使是在其私人生活中,他们也有可能被视为蒂森克虏伯的一部分和代表,从而被要求其在公共场合(尤其是面对媒体时)的行为举止应维护公司的形象与声誉。在表达个人观点时,我们应注意不应将个人言论与我们在蒂森克虏伯集团中的职能或工作混为一谈。
4.对信息的处理
报告
蒂森克虏伯建立在强大的价值观基础之上:可靠、诚实、真诚和正直。因此我们认为,就公司的业务状况,在我们对投资者、员工、客户、业务伙伴、公众及政府机构的报告和沟通中保持公开和可信十分重要。
每位员工应确保集团的所有对内和对外报告、记录和其他文件均遵守适用的法律规则和标准,并因此在任何时候都做到完整和准确,并在正确的时间根据系统要求予以发布。
公司保密信息/内部信息
我们采取必要的措施,适当保护保密信息与商业文件不被未经授权的同事与其他第三方获得和查看。
集团员工如掌握不被公众所知的事实和情形等具体信息,而该信息一旦公开将给蒂森克虏伯金融工具在证券市场上的价格造成重大影响时,则员工不应基于该内部信息买卖蒂森克虏伯集团的股票或其他金融工具,也不应传递该信息,无论是故意泄露或出于对其应尽注意义务的重大疏忽。
数据保护和信息安全
保护个人信息,特别是员工、客户与供应商的个人信息,对蒂森克虏伯来说尤为重要。
我们只在为完成工作任务确有必要,或法律要求的情况下才收集并处理个人信息。只有在当事人同意并且法律许可的情形下,才可以收集或处理个人信息。
5.公司财产的保护
我们适当、谨慎地使用公司的财产和资源,并保护它们不受损失、不被盗窃或滥用。我们公司的知识产权代表蒂森克虏伯的竞争优势,因此是我们珍贵的资产,我们应防止任何第三方未经授权而接近它们。
除非得到明确的许可,我们应仅为商业目的,而非出于个人原因使用公司的有形和无形资产。我们员工与其管理者共同承担责任,确保公务出差的性质和范围与差旅目的相符,并在考虑时间和成本因素的情况下有效率地计划和实施。
6.实施与联系方式
我们的管理层因处于特别的榜样地位,尤其应承担依照行为准则行事的责任。在对这些规则的理解有任何问题时,他们是第一联络人,他们应确保所有员工了解并理解行为准则。
作为其管理职责的一部分,他们应预防出现不当行为,并通过适当的措施避免其职责范围内出现违反规则的行为。员工与管理层之间良好的和信任的关系反映在坦诚公开的沟通与相互支持中。
如对此行为准则有进一步的问题,所有员工以及第三方(客户、供应商等)可联系我们(E-mail)。如发现蒂森克虏伯集团任何个人和单位可能违反反贿赂和反垄断规则,也可以通过蒂森克虏伯举报热线进行报告。
所有信息都将得到严格的保密。二、公司治理
考虑到管理层可能逾越内部控制,一个积极有效的公司治理能够起到重要的监督作用。在确保有效的内部控制方面,董事会及审计委员会与监事会起到至关重要的作用。
1.独立性
董事会和监事会独立于管理层,可以对管理层的决策提出建设性的必要的质疑。具体包括:
· 对管理层的决定(如经营决策、重大交易)进行推断并提出质疑,对经营结果进行质询(如预算执行差异)。
· 有权询问和详查公司的经营活动,提出不同观点,并在认为必要时采取适当的行动。
2.审计委员会
建立董事会审计委员会,他们在专业和资历方面能够有效地处理相关的重要问题。审计委员会由公司独立董事组成并由其中一位担任主任委员,其中至少有1名具有会计审计或相关财务管理专长的成员。
3.董事的学识和经验
董事具有足以履行其职责的知识和经验。具体包括:董事拥有足够的知识、行业经验和时间,从而有效地开展工作。
4.与内、外部审计师的会面频率和时间
· 审计委员会单独与首席财务官(CFO)、会计人员、内部审计师和外部审计师会面的频率和时间,对讨论财务报告流程、内部控制与企业风险管理体系,以及管理层绩效的合理性等提出重大意见和建议。
· 董事会/审计委员会和监事会每年审核内部和外部审计师的工作范围。
5.及时充分地获得信息
为董事会/审计委员会和监事会及时充分地提供信息,以便其及时监督管理层的目标和战略、公司的财务状况和经营成果,以及重大协议的条款等。具体包括:
· 董事会定期收到关键信息,如财务报告、主要的市场变化趋势、重大合同和谈判信息。
· 董事相信其得到了适当的信息。
6.获知和调查不正当行为
为董事会及审计委员会提供充分、及时的信息,以便其及时获知敏感信息调查不当行为(如重大的法律诉讼、监管机构调查、贪污、挪用公款、滥用公司财产、违反内部人员交易法规、非法支付等)。具体包括:
· 存在告知董事会重大问题的程序。
· 及时沟通信息。
7.薪酬政策的监控
监控高级管理人员和内部审计部门负责人的薪酬,聘用和终止上述高级管理人员的雇用。具体包括:
· 薪酬委员会批准所有管理层与绩效挂钩的激励计划。
· 薪酬委员会在咨询审计委员会意见的前提下,确定内部审计负责人的薪酬和任免事宜。
8.建立适当的“高层基调”
高层基调(Tone of the Top)主要是指公司管理层的行为准则等。具体包括:
· 董事会及审计委员与监事会充分参与、评价“高层基调”的有效性。
· 董事会及审计委员与监事会采取行动以保证适当的“高层基调”。
· 董事会及审计委员与监事会明确地强调管理层应该遵守的行为准则。
9.监督管理层对审计发现的跟进
试读结束[说明:试读内容隐藏了图片]