2023年复星集团内控和内审体系考察汇报.docx

复星集团内控和内审体系考察汇报 一、复星简介 复星从1992年创业，到2023年已开展成为覆盖医药、房地产开发、钢铁、矿业、零售、效劳业及战略投资领域的大型控股型集团，账面价值322.5亿元人民币，管理资产超过1350亿元人民币，20年实现20230万倍的资产增长。资产的迅猛增长，与其商业模式的创新是有密切关联的。复星提出“中国动力嫁接全球资源〞的投资理念，实行非关联产业组合模式，产业开展经历了产业投资、到股权投资、股权治理、股权控制，现已迈入“投资分析+大产业整合〞的新阶段；目前已形成产业投资、战略与pe投资、资产管理三大业务支柱，旗下上市公司主要有复地、复星医药、豫园商城、南钢股份、招金矿业等。 二、复星风险管理架构与机构设置 管控架构和商业模式决定企业风险，企业风险决定内控框架。对集团公司而言，复星风险管理架构分为集团本部公司治理控制系统和产业公司治理控制系统。对单体公司而言，复星公司治理控制系统又分为业务控制系统（由各职能部门和事业部构成，针对经营风险）、财务控制系统（由财务核算和财务控制等构成，针对财务风险）、审计控制系统（由审计委员会和审计部门构成，针对信息不对称风险）。在审计体系上，复星审计由集团本部、各产业公司（南钢、医药、复地、海矿、豫园、德邦）、各产业公司下属企业三级审计部门组成。在本部层面，复星风险管理架构分为审计、法务、安监和董秘四局部（因为复星是香港上市公司，按照联交所规定，必须设董秘一职，负责股东大会筹备、关联交易与信息披露工作）。其中，本部审计分为审计一部（7人）和审计二部（13人）两个部门，人员配置比率，比国内同等资产量级的集团公司要高。 在逻辑体系上，复星风控由风险评估（识别风险）、内控自评（控制自查）、内控测试（审计检查）、专项审计（专项检查）、跟踪改善（后续审计）五局部组成。 三、复星风控特点 （1）战略地位高，重要性强。复星是多元化的投资控股集团，每年都会有大量的股权投资业务，投资并购会产生子公司，要求复星对子公司的法人治理结构、财务预算、会计核算、财务报表及相关信息进行管控，这都需要内审部门发挥作用。复星规划2023年内资产管理量到达1万亿，为保障战略目标的实现，复星审计向ge审计学习，定位于“成为集团价值投资的核心评价力量，支持集团多元化投资战略和价值提升〞。第一，审计条线的人员要配合集团投资业务战略的实施，承担起投资前的财务尽职调查，把控好投资前、投资中的风险控制。第二，内部审计在投资后要成为综合管理的抓手，通过对流程审计、专项审计和财务审计等，识别被投资企业的战略风险、经营风险和财务风险，进而评价被投资企业和集团条线管理部门为减少风险而设置的管理控制是否适当、有效，通过改善控制流程，帮助被投资企业实现战略目标和经营目标。 （2）充分授权，独立性强。复星股东大会是最高权力机构，集团本部董事会向股会大会负责，本部董事会向控股、参股公司派出董事，并在董事会内部设立行使监督职能的审计委员会，并且审计委员会成员主要由外部独立董事组成，它有权督导所属子公司的内部审计工作，最终形成母子公司的审计机构以董事会为核心，围绕董事会的决策从事审计活动。这种模式的优点是审计机构具有较强的独立性和权威性，有利于内部审计机构参与企业重大经营决策，如各审计部负责人列席总经理办公会议，便于及时了解公司的经营情况和重大决策。复星审计系统完全独立于业务管理体系，不受产业经营决策层的影响。同时，复星对下级审计部门的考核，通过考核下级企业的董事会实现，表达了考核的严格性。 （3）审计董事会领导模式，“三线〞报告体系。复星本部和下属公司的审计部门都隶属于同级董事会，类似英美国家的审计董事会领导模式；从权威性上来看，审计董事会领导模式低于监事会领导模式，高于总经理（或副总经理）领导模式。实现审计董事会领导模式的集团，下属公司的审计部门一般实行双重报告，即在报给所属单位领导的同时，也直接报告给集团总部审计部。与此形成比照的是，复星审计类似“三线〞报告体系，即下属公司审计部门将同级董事会作为主报告路线，本部内部审计部门和本公司ceo作为次报告路线。作为改进措施，复星下属公司审计部门将逐步将本公司ceo作为主报告路线，而将同级董事会和本部内部审计部门作为次报告路线。 （4）风控范围广。如前所述，复星控制系统（单体公司）分为公司治理控制系统、财务控制系统、业务控制系统和审计控制系统。其中，财务控制系统除全面预算管理、账务收入支出的标准管理、业务资料的复核审查外、还包括重大业务的财务可行性分析和重大业务的后评估分析。业务控制系统包括业务环节、事务环节、信息系统和专项控制四类。审计控制系统包括内控审计工作、专项审计工作和条线管理工作。其中，内控审计工作分为股权投资审计、财务收支审计、工程管理审计、公司治理审计、金融管理审计、税务管理审计、采购管理审计和资产管理审计；专项审计工作包括集团工程审计和产业工程审计复核；条线管理工作包括制度标准制定工作、条线检查评价工作和条线培训工作。 （5）分工合作、分类审计、审计一体化。①分工合作：董事会负责企业的战略风险，上级审计机构负责公司治理层面控制审计、重要业务控制审计和各管理层行为审计，本级审计机构负责各项业务控制审计。②分类审计：对产业公司和企业按照控股、控制、参股等不同方式，并根据其审计力量的配置情况将其划分为六类审计企业，分别实施不同的审计策略，并以此确定三级审计部门的审计范围和审计重点。③审计一体化：由于企业风险的一体化特征，复星通过“条线〞合作和“条线〞管理实现了审计一体化（管理、技术、标准、人员的全方位合作）。集团层面风险涉及产业、企业控制效果评价的，由集团、产业、企业审计体系合作完成，纳入产业/企业年度审计方案；产业层面风险涉及企业控制效果评价的，由产业、企业审计体系合作完成，纳入企业年度审计方案。 （6）流程审计为主，专项审计为辅。流程审计主要关注流程的整体控制效果，专项审计主要专注关键控制点的实际控制效果，专项审计基于流程审计结果，是流程审计的补充（财务审计不是审计的重要关注点。因为复星及下属产业多为上市公司，财务比较透明，财务真实性根本不存在问题）。二者相辅相成，从个别的风险控制点到流程风险的控制，实现内部控制审计的全面覆盖。 （7）开展审计课题，提升专业能力。复星将审计职能提高到投资决策层面，实现了财务审计向管理审计的跨越。高定位必然要求高素质。为提升审计人员专业能力，复星每年都开展大规模的审计课题研究，包括对股权投资流程、证券投资流程、互联网的平安管理等方面的研究，逐步提升审计能力。课题研究小组成员跨产业在全集团范围内招募，并且鼓励各个产业公司审计人员参与。各个课题由各产业公司审计部负责人或审计骨干人员担任小组组长，并且每月向集团审计部汇报研究进度和研究成果。集团审计部对研究结果进行审核和辅导并在成果确定后开展培训，使研究成果最大限度地在产业内普及。 四、复星内审工作困惑 1、风险的判断与决策层的判断有差距。因为全局视野和战略眼光的不同，内控部门对风险的判断，常常出现与复星决策层有偏差的问题，每年内控方案达成率只有80%；在审计的咨询转型和价值提升上，距离集团高层的要求，还有缺乏之处。这对内审“成为集团价值投资的核心评价力量〞的目标定位造成影响。 2、介入到业务的前沿，审计独立性疑义。复星审计在由传统财务审计向流程审计转变的过程中，深度介入被审计单位的业务操作流程和管理职能的执行情况。虽然审计部得到充分授信，但是由于对具体业务的不熟悉，审计部门的评估报告难免受到经营部门的干预，完全的独立、客观性立场受到影响。 3、多元化集团的风险防范未到位。复星定位于投资管控，并不直接介入各产业的运营管理，并且所辖产业多元化、跨地域，管控难度高，对风险部门的风险防范要求极高。但是，复星的风险评估只限于集团本部，下属产业还未充分开展。同时，审计的落实机制、汇报机制、监督机制不够健全，导致审计风险点无落实、落实无汇报、落实无监督等问题发生。 第7页 共7页