前言近年來，中國企業(yè)如雨后春筍般成長，成長型企業(yè)成為潛在股票，對上市融資的需求也在上升。 成長型企業(yè)具有發(fā)展迅速，招聘限制少的特點。 企業(yè)的重點是績效和銷售的增長，但是缺乏經(jīng)驗豐富的內(nèi)部控制人員參與內(nèi)部控制體系的建設(shè)，使得企業(yè)內(nèi)部控制相對薄弱。 除了審計財務(wù)報告外，內(nèi)部控制審計對于尋求上市的公司尤其重要。

面對監(jiān)管機構(gòu)的嚴(yán)格控制，成長型企業(yè)是否必須達(dá)到要上市的成熟企業(yè)的狀態(tài)？

不一定是正確的。 例如，對于美國股票，總收入低于10億美元的公司，公開市值低于7500萬美元的小型上市公司以及具有海外私人發(fā)行人的公司可以在上市后5年內(nèi)推遲Sox審計。 延遲實施審計并不意味著企業(yè)可以忽略內(nèi)部控制合規(guī)性。 上述措施是監(jiān)管機構(gòu)為企業(yè)發(fā)展和提高內(nèi)部控制水平提供的時間窗口。 目的是給成長型企業(yè)足夠的時間使其接近資本市場制定的內(nèi)部控制標(biāo)準(zhǔn)。 在內(nèi)部控制體系的建設(shè)中，對企業(yè)的管理評審尤為重要。 作為企業(yè)發(fā)展的關(guān)鍵時期，企業(yè)的成長時期把企業(yè)發(fā)展放在首位，而內(nèi)部控制則不容忽視。 因此，管理評審制度的建設(shè)是成長型企業(yè)的重要領(lǐng)域。

1.建立管理評審機制的核心原則

成長型企業(yè)往往具有多元化的產(chǎn)業(yè)，不同的組織結(jié)構(gòu)和廣泛的內(nèi)部控制范圍。 如何建立一個全面，有效的管理評審機制來贏得投資市場的青睞，一直是許多企業(yè)遇到困難但又不知道如何啟動的問題。 面對建立管理評審機制時遇到的種種問題，企業(yè)要想實現(xiàn)低投入，高回報，就必須以風(fēng)險控制為中心，在上，下級共同努力。 不管它們要在哪個市場上市，第一個問題就是要充分了解管理評審機制構(gòu)建的三個核心原則：

堅持風(fēng)險意識并贏得穩(wěn)定

管理需要加強風(fēng)險意識，準(zhǔn)確識別 財務(wù)報表錯報的高風(fēng)險流程，牢牢把握流程控制設(shè)計的有效性和執(zhí)行力，實現(xiàn)精細(xì)化，多維化，高效的管理，及時檢查漏失，彌補不足，為內(nèi)部控制審查機制的建設(shè)做出貢獻(xiàn) 企業(yè)。

采用科學(xué)的方法，注意標(biāo)記

，管理層應(yīng)主動定期，定量，結(jié)論性地評估企業(yè)內(nèi)部控制的運行情況，根據(jù)實際情況劃分風(fēng)險等級，采用 在高風(fēng)險領(lǐng)域中進(jìn)行高頻評估與在低風(fēng)險領(lǐng)域中進(jìn)行低頻評估相結(jié)合的方法，要特別注意評估過程的痕跡和證據(jù)的保存，防止審計風(fēng)險。 在緊急情況下，實現(xiàn)企業(yè)內(nèi)部控制和公司協(xié)議的戰(zhàn)略方向。

擴展全文

使用技術(shù)工具準(zhǔn)確地定位

面對大量財務(wù)數(shù)據(jù)，例如使用傳統(tǒng)的流程??審查和數(shù)據(jù)采樣方法，

管理有時會遇到困難，無法進(jìn)行全面分析。 在風(fēng)險評估階段，應(yīng)考慮使用新技術(shù)，例如機器人，過程自動化，數(shù)據(jù)挖掘等； 在內(nèi)部控制的設(shè)計和實現(xiàn)中，應(yīng)使用公司的信息系統(tǒng)環(huán)境來部署更多的新技術(shù)及其工具，以提高內(nèi)部控制的自動化程度。 兩種提高效率的方法，可以同時準(zhǔn)確定位內(nèi)部控制缺陷。

2.成長型企業(yè)管理評審制度建設(shè)重點

。 企業(yè)對風(fēng)險偏好有不同的看法。 可以通過不同的方式來控制不同的風(fēng)險偏好：手動控制，自動控制和基于信息技術(shù)功能的手動控制是當(dāng)前企業(yè)使用的控制手段：

手動控制是指內(nèi)部控制是手動進(jìn)行的。 例如，員工手動填寫紙質(zhì)申請表，然后將其提交給領(lǐng)導(dǎo)以供批準(zhǔn)和簽名。 自動控制是指計算機自動執(zhí)行的內(nèi)部控制。 例如，如果員工在企業(yè)自動化辦公系統(tǒng)的中心線上提交了資產(chǎn)購買申請，則系統(tǒng)將自動將其轉(zhuǎn)移給負(fù)責(zé)人以供批準(zhǔn)。 手動控制取決于信息技術(shù)，信息技術(shù)是手動控制和系統(tǒng)控制的結(jié)合。 例如，將在線銀行系統(tǒng)導(dǎo)出的對帳單與資金管理系統(tǒng)的收款和付款記錄自動匹配后，在系統(tǒng)中手動逐一確認(rèn)未成功匹配的記錄。

在當(dāng)今高度系統(tǒng)化的業(yè)務(wù)流程中，系統(tǒng)控制的水平和效果是企業(yè)在資本市場中站穩(wěn)腳跟的重要標(biāo)準(zhǔn)。 因此，取決于信息技術(shù)的系統(tǒng)控制和手動控制是管理審查的重中之重。

信息技術(shù)的發(fā)展正在促進(jìn)企業(yè)業(yè)務(wù)的發(fā)展。 許多公司部署信息系統(tǒng)，實施系統(tǒng)控制并優(yōu)化業(yè)務(wù)流程以提高財務(wù)報表的信譽，從而贏得投資者的青睞。 成長中的企業(yè)也熟悉這種方式。 但是，隨著業(yè)務(wù)的飛速發(fā)展和企業(yè)信息技術(shù)的迅速引入，信息系統(tǒng)管理的復(fù)雜性越來越高。 因此，內(nèi)部控制管理評審機制體系的建設(shè)往往存在三點遺漏，忽略了應(yīng)實施的管理和控制：

（I）系統(tǒng)引入速度快，管理評審不全面

如果

成長型企業(yè) 初期沒有全面的IT計劃，隨著業(yè)務(wù)場景的增加，企業(yè)不斷引入新系統(tǒng)，管理層經(jīng)常忽略某些細(xì)節(jié)，從而導(dǎo)致審查不完整。 隨著業(yè)務(wù)的擴展，企業(yè)將在引入新系統(tǒng)的同時連接不同的系統(tǒng)。 系統(tǒng)之間的關(guān)系很復(fù)雜，導(dǎo)致存在多個數(shù)據(jù)接口。 數(shù)據(jù)接口的安全性是不可避免的審查環(huán)節(jié)：

設(shè)計級別：對于接口設(shè)計，管理層必須適當(dāng)協(xié)調(diào)內(nèi)部和外部開發(fā)與測試人員，嚴(yán)格審查接口設(shè)計的合理性，并定期測試接口傳輸?shù)臏?zhǔn)確性和一致性。 數(shù)據(jù)。 執(zhí)行層：在實際操作過程中，管理層應(yīng)設(shè)計定期的監(jiān)督數(shù)據(jù)接口機制，合理使用基于信息的手段，例如安裝監(jiān)控系統(tǒng)，定期生成測試報告和審查報告，手動校準(zhǔn)數(shù)據(jù)準(zhǔn)確性 以及報告的一致性和生成，并且管理層應(yīng)定期審查報告并留下痕跡。

信息系統(tǒng)在企業(yè)的生產(chǎn)和運營過程中并非一成不變。 一方面，由于業(yè)務(wù)的發(fā)展，企業(yè)將尋求更先進(jìn)，更完善的系統(tǒng)來提高系統(tǒng)對業(yè)務(wù)的支持。 另一方面，由于企業(yè)的并購，可能還需要集成其他全新的系統(tǒng)。 無論如何，它將涉及新舊系統(tǒng)的切換，其中數(shù)據(jù)遷移風(fēng)險控制和管理審查尤為重要：

建立切換策略：企業(yè)應(yīng)根據(jù)其實際需求建立“整體+詳細(xì)業(yè)務(wù)” 計劃數(shù)據(jù)遷移，并且管理層應(yīng)定期監(jiān)視任務(wù)實施計劃，以確保遷移計劃的及時進(jìn)行。 遷移前監(jiān)控：在數(shù)據(jù)遷移的早期清理，驗證和測試過程中，高級管理層和業(yè)務(wù)管理人員不僅應(yīng)監(jiān)控和批準(zhǔn)業(yè)務(wù)和技術(shù)文檔，還應(yīng)注意敏感的數(shù)據(jù)遷移過程并進(jìn)行適當(dāng)?shù)谋O(jiān)督 和審查。 遷移檢查和審查：企業(yè)應(yīng)確定數(shù)據(jù)遷移和檢查過程的相關(guān)負(fù)責(zé)人的責(zé)任，管理層應(yīng)審查數(shù)據(jù)遷移和檢查過程的合理性以及持續(xù)的跟進(jìn)和監(jiān)視 數(shù)據(jù)遷移后的問題處理。

（2）高度使用外包，對不合格的

成長型企業(yè)進(jìn)行有效審查，出于成本方面的考慮，偏愛第三方外包服務(wù)。 云和客戶服務(wù)外包在金融系統(tǒng)中越來越普遍。 必須指出的是，盡管工作職能或流程是外包的，但企業(yè)本身仍然負(fù)責(zé)此流程的內(nèi)部控制。 許多情況表明，一些具有較強管理意識的成長型企業(yè)積極要求第三方外包服務(wù)提供商提供獨立的審計報告，例如國際通用的SOC（系統(tǒng)和組織控制）報告。 但是，某些外包供應(yīng)商也是成長型企業(yè)，可能無法提供可靠的SOC報告。 在這種情況下，需要企業(yè)管理層對外包服務(wù)提供商處理企業(yè)數(shù)據(jù)和系統(tǒng)的過程的安全性，機密性，可用性，甚至隱私保護(hù)和過程完整性進(jìn)行自我評估。 也就是說，管理評審應(yīng)涵蓋第三方外包服務(wù)提供商，以確保內(nèi)部控制評審所涵蓋的業(yè)務(wù)流程范圍的完整性。

（3）權(quán)限分配被忽略，審核未標(biāo)準(zhǔn)化，

用戶權(quán)限管理是企業(yè)管理的必要考慮，除了傳統(tǒng)的在系統(tǒng)中添加用戶帳戶權(quán)限和刪除辭職用戶權(quán)限外， 實踐中，管理評審的以下問題也很普遍：

其中之一是管理評審不涉及轉(zhuǎn)移的用戶：由于轉(zhuǎn)移的用戶沒有辭職，因此管理層可能只關(guān)注新的許可需求， 忽略舊的位置權(quán)限清除，并且用戶權(quán)限審閱僅針對新用戶和已辭職的用戶，而不關(guān)注用戶的權(quán)限冗余或權(quán)限沖突。

第二個是管理評審沒有注意用戶權(quán)限沖突：用戶權(quán)限沖突主要發(fā)生在幾種情況下：

（1）用戶角色權(quán)限設(shè)置在系統(tǒng)中發(fā)生沖突，例如賦予角色 用戶擁有該職位不應(yīng)擁有的權(quán)限；

（2）一個人擁有多個賬戶，這些賬戶具有不同但相互沖突的操作權(quán)限，也就是說，形式上沒有沖突，但本質(zhì)上是沖突。 例如，如果管理層無法檢查每個帳戶的真實持有人，則一個人擁有兩個帳戶用于輸入和審核，最終導(dǎo)致企業(yè)無法通過有效審核。 通常，成長中的企業(yè)通常會忽略一個人擁有多個帳戶的角色和情況下的權(quán)限更改。

第三點是管理層沒有一種有效且科學(xué)的審查方法：當(dāng)存在大量系統(tǒng)時，需要審查的用戶和權(quán)限更加復(fù)雜，但是可以審查的實際人數(shù)卻沒有 足夠多的企業(yè)不知道如何科學(xué)有效地設(shè)計和執(zhí)行審核流程，這可能導(dǎo)致審核流程浮出水面，而無法從根本上發(fā)現(xiàn)問題。 例如，由于人工檢查的范圍有限和審查效率低，系統(tǒng)中信息使用不足，審查范圍不準(zhǔn)確，粒子太粗糙或重復(fù)性工作很多。 鑒于上述問題，管理層可以設(shè)計一套可行的用戶權(quán)限管理控制系統(tǒng)，例如，轉(zhuǎn)移過程需要由負(fù)責(zé)新舊職位的負(fù)責(zé)人批準(zhǔn)； 非持有機構(gòu)應(yīng)及時被禁用； 系統(tǒng)增加了更多的日志操作來記錄權(quán)限的變化，更重要的是，管理人員應(yīng)注意角色內(nèi)權(quán)限的審查以及用戶沖突的故障排除，并設(shè)計一套更合理的用戶審查流程，充分利用 系統(tǒng)現(xiàn)有信息的優(yōu)勢，并使用一些自動篩選和分析工具在每個評論上留下標(biāo)記，以確�？梢栽谏弦粋�評論的基礎(chǔ)上重復(fù)進(jìn)行下一個評論，并提高評論效率