原始[眼观察

前言近年来，中国企业如雨后春笋般成长，成长型企业成为潜在股票，对上市融资的需求也在上升。 成长型企业具有发展迅速，招聘限制少的特点。 企业的重点是绩效和销售的增长，但是缺乏经验丰富的内部控制人员参与内部控制体系的建设，使得企业内部控制相对薄弱。 除了审计财务报告外，内部控制审计对于寻求上市的公司尤其重要。

面对监管机构的严格控制，成长型企业是否必须达到要上市的成熟企业的状态？

不一定是正确的。 例如，对于美国股票，总收入低于10亿美元的公司，公开市值低于7500万美元的小型上市公司以及具有海外私人发行人的公司可以在上市后5年内推迟Sox审计。 延迟实施审计并不意味着企业可以忽略内部控制合规性。 上述措施是监管机构为企业发展和提高内部控制水平提供的时间窗口。 目的是给成长型企业足够的时间使其接近资本市场制定的内部控制标准。 在内部控制体系的建设中，对企业的管理评审尤为重要。 作为企业发展的关键时期，企业的成长时期把企业发展放在首位，而内部控制则不容忽视。 因此，管理评审制度的建设是成长型企业的重要领域。

1.建立管理评审机制的核心原则

成长型企业往往具有多元化的产业，不同的组织结构和广泛的内部控制范围。 如何建立一个全面，有效的管理评审机制来赢得投资市场的青睐，一直是许多企业遇到困难但又不知道如何启动的问题。 面对建立管理评审机制时遇到的种种问题，企业要想实现低投入，高回报，就必须以风险控制为中心，在上，下级共同努力。 不管它们要在哪个市场上市，第一个问题就是要充分了解管理评审机制构建的三个核心原则：

坚持风险意识并赢得稳定

管理需要加强风险意识，准确识别 财务报表错报的高风险流程，牢牢把握流程控制设计的有效性和执行力，实现精细化，多维化，高效的管理，及时检查漏失，弥补不足，为内部控制审查机制的建设做出贡献 企业。

采用科学的方法，注意标记

，管理层应主动定期，定量，结论性地评估企业内部控制的运行情况，根据实际情况划分风险等级，采用 在高风险领域中进行高频评估与在低风险领域中进行低频评估相结合的方法，要特别注意评估过程的痕迹和证据的保存，防止审计风险。 在紧急情况下，实现企业内部控制和公司协议的战略方向。

扩展全文

使用技术工具准确地定位

面对大量财务数据，例如使用传统的流程??审查和数据采样方法，

管理有时会遇到困难，无法进行全面分析。 在风险评估阶段，应考虑使用新技术，例如机器人，过程自动化，数据挖掘等； 在内部控制的设计和实现中，应使用公司的信息系统环境来部署更多的新技术及其工具，以提高内部控制的自动化程度。 两种提高效率的方法，可以同时准确定位内部控制缺陷。

2.成长型企业管理评审制度建设重点

。 企业对风险偏好有不同的看法。 可以通过不同的方式来控制不同的风险偏好：手动控制，自动控制和基于信息技术功能的手动控制是当前企业使用的控制手段：

手动控制是指内部控制是手动进行的。 例如，员工手动填写纸质申请表，然后将其提交给领导以供批准和签名。 自动控制是指计算机自动执行的内部控制。 例如，如果员工在企业自动化办公系统的中心线上提交了资产购买申请，则系统将自动将其转移给负责人以供批准。 手动控制取决于信息技术，信息技术是手动控制和系统控制的结合。 例如，将在线银行系统导出的对帐单与资金管理系统的收款和付款记录自动匹配后，在系统中手动逐一确认未成功匹配的记录。

在当今高度系统化的业务流程中，系统控制的水平和效果是企业在资本市场中站稳脚跟的重要标准。 因此，取决于信息技术的系统控制和手动控制是管理审查的重中之重。

信息技术的发展正在促进企业业务的发展。 许多公司部署信息系统，实施系统控制并优化业务流程以提高财务报表的信誉，从而赢得投资者的青睐。 成长中的企业也熟悉这种方式。 但是，随着业务的飞速发展和企业信息技术的迅速引入，信息系统管理的复杂性越来越高。 因此，内部控制管理评审机制体系的建设往往存在三点遗漏，忽略了应实施的管理和控制：

（I）系统引入速度快，管理评审不全面

如果

成长型企业 初期没有全面的IT计划，随着业务场景的增加，企业不断引入新系统，管理层经常忽略某些细节，从而导致审查不完整。 随着业务的扩展，企业将在引入新系统的同时连接不同的系统。 系统之间的关系很复杂，导致存在多个数据接口。 数据接口的安全性是不可避免的审查环节：

设计级别：对于接口设计，管理层必须适当协调内部和外部开发与测试人员，严格审查接口设计的合理性，并定期测试接口传输的准确性和一致性。 数据。 执行层：在实际操作过程中，管理层应设计定期的监督数据接口机制，合理使用基于信息的手段，例如安装监控系统，定期生成测试报告和审查报告，手动校准数据准确性 以及报告的一致性和生成，并且管理层应定期审查报告并留下痕迹。

信息系统在企业的生产和运营过程中并非一成不变。 一方面，由于业务的发展，企业将寻求更先进，更完善的系统来提高系统对业务的支持。 另一方面，由于企业的并购，可能还需要集成其他全新的系统。 无论如何，它将涉及新旧系统的切换，其中数据迁移风险控制和管理审查尤为重要：

建立切换策略：企业应根据其实际需求建立“整体+详细业务” 计划数据迁移，并且管理层应定期监视任务实施计划，以确保迁移计划的及时进行。 迁移前监控：在数据迁移的早期清理，验证和测试过程中，高级管理层和业务管理人员不仅应监控和批准业务和技术文档，还应注意敏感的数据迁移过程并进行适当的监督 和审查。 迁移检查和审查：企业应确定数据迁移和检查过程的相关负责人的责任，管理层应审查数据迁移和检查过程的合理性以及持续的跟进和监视 数据迁移后的问题处理。

（2）高度使用外包，对不合格的

成长型企业进行有效审查，出于成本方面的考虑，偏爱第三方外包服务。 云和客户服务外包在金融系统中越来越普遍。 必须指出的是，尽管工作职能或流程是外包的，但企业本身仍然负责此流程的内部控制。 许多情况表明，一些具有较强管理意识的成长型企业积极要求第三方外包服务提供商提供独立的审计报告，例如国际通用的SOC（系统和组织控制）报告。 但是，某些外包供应商也是成长型企业，可能无法提供可靠的SOC报告。 在这种情况下，需要企业管理层对外包服务提供商处理企业数据和系统的过程的安全性，机密性，可用性，甚至隐私保护和过程完整性进行自我评估。 也就是说，管理评审应涵盖第三方外包服务提供商，以确保内部控制评审所涵盖的业务流程范围的完整性。

（3）权限分配被忽略，审核未标准化，

用户权限管理是企业管理的必要考虑，除了传统的在系统中添加用户帐户权限和删除辞职用户权限外， 实践中，管理评审的以下问题也很普遍：

其中之一是管理评审不涉及转移的用户：由于转移的用户没有辞职，因此管理层可能只关注新的许可需求， 忽略旧的位置权限清除，并且用户权限审阅仅针对新用户和已辞职的用户，而不关注用户的权限冗余或权限冲突。

第二个是管理评审没有注意用户权限冲突：用户权限冲突主要发生在几种情况下：

（1）用户角色权限设置在系统中发生冲突，例如赋予角色 用户拥有该职位不应拥有的权限；

（2）一个人拥有多个账户，这些账户具有不同但相互冲突的操作权限，也就是说，形式上没有冲突，但本质上是冲突。 例如，如果管理层无法检查每个帐户的真实持有人，则一个人拥有两个帐户用于输入和审核，最终导致企业无法通过有效审核。 通常，成长中的企业通常会忽略一个人拥有多个帐户的角色和情况下的权限更改。

第三点是管理层没有一种有效且科学的审查方法：当存在大量系统时，需要审查的用户和权限更加复杂，但是可以审查的实际人数却没有 足够多的企业不知道如何科学有效地设计和执行审核流程，这可能导致审核流程浮出水面，而无法从根本上发现问题。 例如，由于人工检查的范围有限和审查效率低，系统中信息使用不足，审查范围不准确，粒子太粗糙或重复性工作很多。 鉴于上述问题，管理层可以设计一套可行的用户权限管理控制系统，例如，转移过程需要由负责新旧职位的负责人批准； 非持有机构应及时被禁用； 系统增加了更多的日志操作来记录权限的变化，更重要的是，管理人员应注意角色内权限的审查以及用户冲突的故障排除，并设计一套更合理的用户审查流程，充分利用 系统现有信息的优势，并使用一些自动筛选和分析工具在每个评论上留下标记，以确保可以在上一个评论的基础上重复进行下一个评论，并提高评论效率