在企业的内控检查与评估工作中,我们一般会根据缺陷的等级评定,编制缺陷认定表,主要方式就是检查测试人员通过访谈、穿行测试、抽样检查等评价方法,分析出企业层面和业务层面控制存在的缺陷后,分类填写收集到的所有异常情况,进行汇总并形成发现问题汇总表。
一、编制缺陷认定表
在检查评估完成后,检查组要对已发现的缺陷建议在《内部缺陷认定表》中进行记录及标注,将相关缺陷点及其支持性文件进行统一标号,由风控审计部归档保存。最后汇总内部控制缺陷的同时,检查人员应给出整改建议,制定具体的整改计划,保证公司内部控制体系的持续有效运行。
XXXX股份有限公司内控缺陷认定表
在检查测试过程中发现内部控制缺陷后并编制《缺陷认定表》后,检查组还应对内控缺陷进行缺陷原因分析,分析该缺陷存在的主要原因,确定缺陷产生到底是由于控制活动缺失、控制活动本身缺乏执行性,还是人为执行不利、审批不当等,并针对所发现的问题、流程管控缺陷,提出整改建议。
二、内控缺陷整改建议的基本原则
内控评估与检查组在提出内控缺陷整改建议时不应该泛泛而谈,而应该针对内控缺陷产生的根本原因,本着一定的原则提出整改建议,主要的原则如下:
1、针对性原则:内控缺陷整改建议要直截了当,直接指向缺陷产生的根源,然后对产生缺陷的根源进行整改,避免“表面整改”。
2、可操作性原则:内控缺陷整改建议要求整改措施要具体明确,责任具体到部门、岗位或者个人。
3、风险匹配原则:内控缺陷整改建议要求整改力度与缺陷等级相适应,避免“过度整改”。这里面实际上也包含一个内控强度问题,在内控整改中不能因为整改而带来过大成本投入,甚至整改投入高于整改收益。
4、闭环管理原则:整改建议应该不仅仅是提出要求,而且要提出具体的整改目标,整改工作完成的时限以及整改完成的验证标准,从此来判断整改工作的完成情况,实现“PDCA闭环管理”。
5、系统性原则:在内控缺陷整改建议中,特别要避免“头痛医头、脚痛医脚”,要深挖内控缺陷发生的系统性问题,从流程联动角度实现整改效果。
6、合规性原则:由于内控与合规在企业大风控体系中不可分割的关系,因此在内控缺陷整改中要遵循“合规性”原则,所有的整改方案与整改措施,都要符合法律法规以及监管的要求。
7、长效性原则:内控缺陷整改既要有短时间内的及时补救措施,通过“临时补救”、“就事论事”的方式避免缺陷一直存在给企业管理带来的损失,又要兼顾“机制固化”,通过机制变化来举一反三,避免类似缺陷再次发生。
三、设计类内控缺陷整改的基本逻辑
1、设计类缺陷就是指“设计不完整”
“设计类缺陷”是指公司在设计内控体系时,可能存在设计漏洞,使某些风险的防范措施缺失或并不完整,必要的控制手段或者控制手段的必要成分缺失,导致这个控制不能满足控制目标从而导致公司发生损失的可能性增加。存在下列情况之一的,一般可以认定为设计缺陷:
(1)内控体系内容违反国家或公司有关政策法规和制度;
(2)内控体系内容没有基本覆盖本单位生产经营的全过程;
(3)内控体系内容非常不符合成本效益原则;
(4)内控体系内容非常不符合本单位实际情况。
在监管机构(如证监会、交易所)在对上市公司的检查中,以上类型的问题是监管机构重点关注对象,常见于上市公司《行政处罚决定书》《监管问询函》等公开文件中。
通过以上分析,我们可以认识到设计缺陷的核心共性是制度未覆盖关键风险点、未分离不相容岗位、审批流程缺失或权限不合理。设计类缺陷可能导致的风险包括上市公司财务舞弊、资产损失、信息披露违规等问题。
总结一下就是,几乎所有的设计类缺陷就是“未覆盖、不相容、不合理”,以及因此造成内控体系的不完整而带来经营管理风险。
2、设计类缺陷整改基本逻辑
由于前边已经提到了设计类缺陷就是内控体系“未覆盖(所有的风险)、(职务)不相容不符合内控要求、(内控措施与方法设计)不合理”等三个特征,因此我们还是要从“职责分离、补充制度、流程优化”等三个方面来修正设计类缺陷。同时对于新修正的内控体系进行动态监控以及信息系统的固化。
“相应职责分离→制度明确标准→流程分离权责→动态监控风险→系统固化执行” 五个环节,弥补了原内控体系设计中 “无标准、无分工、无监督” 的缺陷,使内部控制系统从 “被动救火” 转为 “主动防控”,以符合《企业内部控制基本规范》对 “不相容岗位分离”、“风险导向管理” 的要求。
四、案例:某上市公司设计类缺陷整改建议
1、背景资料
某上市公司在内部评价中存在以下问题:未制定《供应商准入与评级管理办法》,对供应商资质审核、动态评估等环节缺乏制度约束,导致长期与不合格供应商合作,出现原材料质量不达标、采购价格偏高等风险。根据以上问题,评估组提出以下是具体整改建议:
2、缺陷定位与风险分析
(1)设计缺陷表现:制度未覆盖供应商准入标准(如资质要求、产能门槛)、未明确审核责任部门(如采购部、质量部、法务部的分工)、缺乏定期评级与淘汰机制。
(2)潜在风险:采购质次价高、合同纠纷、供应链中断等。
2、整改目标
通过完善制度设计,实现 “供应商全生命周期管理规范化”,确保合作供应商资质合规、价格公允、履约能力稳定。
3、具体整改措施
(1)制定专项管理制度,明确核心要素
出台《供应商准入与评级管理办法》,明确以下内容:
准入标准:区分原材料、服务类供应商,规定必须具备的资质(如营业执照、生产许可证、质量认证体系证书)、最低产能要求、过往3年无重大违法违规记录等硬性指标。
禁止合作情形:将关联方供应商、失信被执行人名单企业、曾发生重大质量事故的供应商纳入“黑名单”,明确禁止准入。
(2)设计多部门协同的准入审批流程
建立 “采购部初审→质量部验厂→法务部合规审核→总经理终审” 的四级审批机制:
采购部:收集供应商基本资料,核实是否符合准入标准;
质量部:实地考察生产环境、检测设备,出具《质量评估报告》;
法务部:审核供应商合同条款合规性,排查潜在法律风险;
总经理:对年度新增供应商名单进行终审,单笔合作金额超 500 万元的需提交董事会审议。
(3)建立动态评级与淘汰机制
每季度由采购部牵头,联合财务部(审核价格合理性)、生产部(反馈原材料使用情况)开展供应商评级:
评级指标:质量合格率(权重 40%)、交货及时率(30%)、价格竞争力(20%)、售后服务(10%);
评级结果分为 A/B/C 三级,C 级供应商暂停合作,连续两个季度为 C 级的直接淘汰。
(4)强化信息系统支持
在 ERP 系统中新增 “供应商管理模块”,实现供应商资质文件到期自动预警(如营业执照、认证证书有效期前 30 天提醒);
评级结果与采购订单挂钩(如 C 级供应商无法生成采购订单);
所有审核流程线上留痕,操作日志不可篡改。
5、整改目标
短期:3个月内完成现有供应商资质复核,淘汰不符合标准的供应商(预计比例不低于 10%);
长期:通过半年的运行,使原材料质量合格率提升至 99% 以上,采购价格平均下降 3%-5%,杜绝因供应商问题导致的生产中断。
