第一节 内部控制概述
一、COSO委员会关于内部控制的定义与框架
成立于1985年的COSO(Committee of Sponsoring Organization)委员会为美国全国舞弊报告委员会提供支持。该组织包括美国会计协会和美国注册会计师协会。
COSO委员会对内部控制的定义是“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率,财务报告的可靠性和遵守适用的法律法规。”
COSO委员会提出了内部控制的三项目标和五大要素。内部控制的三项目标包括:取得经营的效率和有效性;确保财务报告的可靠性;遵循适用的法律法规。内部控制的五大要素包括:控制环境、风险评估、控制活动、信息与沟通、监控。
二、我国内部控制规范体系
2008年6月28日,财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》;2010年4月26日,财政部、证监会、审计署、银监会及保监会联合发布了《企业内部控制配套指引》,其中包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。基本规范、应用指引、评价和审计指引三个类别构成一个相辅相成的整体,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。
第二节 内部控制的要素
一、控制环境
1.COSO《内部控制框架》关于控制环境要素的要求与原则
要求:
控制环境决定了企业的基调,直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和架构,是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能;管理哲学和经营风格;权责分配方法、人事政策;董事会的经营重点和目标等。
原则:
企业对诚信和道德价值观做出承诺;
董事会独立于管理层,对内部控制的制定及其绩效施以监控;
管理层在董事会的监控下,建立目标实现过程中所涉及的组织架构、报告路径以及适当的权利和责任;
企业致力于吸引、发展和留任优秀人才,以配合企业目标达成;
企业根据其目标,使员工各自负担起内部控制的相关责任。
2.我国《企业内部控制基本规范》关于内部环境要素的要求
企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制;
企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作;
企业应当在董事会下设立审计委员会;
企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位;
企业应当加强内部审计工作,保证内部审计机构设置、人员配置和工作的独立性;
企业应当制定和实施有利于企业可持续发展的人力资源政策;
企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质;
企业应当加强文化建设,培育积极向上的价值观和社会责任感;
企业应当加强法制教育。
二、风险评估
1.COSO《内部控制框架》关于风险评估要素的要求与原则
要求:
风险评估的前提是使经营目标在不同层次上相互衔接,保持一致。风险评估指识别、分析相关风险以实现既定目标,从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化,需要确立一套机制来识别和应对由这些变化带来的风险。
原则:
企业制定足够清晰的目标,以便识别和评估有关目标所涉及的风险;
企业从整个企业的角度来识别实现目标所涉及的风险,分析风险,并据此决定应如何管理这些风险;
企业在评估影响目标实现的风险时,考虑潜在的舞弊行为;
企业识别并评估可能会对内部控制系统产生重大影响的变更。
2.我国《企业内部控制基本规范》关于风险评估要素的要求
企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估;
企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度;
企业识别内部风险,应当关注人力资源因素、管理因素、自主创新因素、财务因素、环保因素以及其他风险因素;
企业识别外部因素,应当关注经济因素、法律因素、社会因素、科学技术因素、自然环境因素以及其他有关的外部因素;
企业应当采用定性与定量等方法,确定关注重点和优先控制的风险,并确保风险分析结果的准确性;
企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略;
企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制;
企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
三、控制活动
1.COSO《内部控制框架》关于控制活动要素的要求与原则
要求:
控制活动要素包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。
原则:
企业选择并制定有助于将目标实现、风险降低至可接受水平的控制活动;
企业为用以支持目标实现的技术选择并制定一般控制政策;
企业通过政策和程序来部署控制活动。
2.我国《企业内部控制基本规范》关于控制活动要素的要求
企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内;
不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制;
授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任;
会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整;
财产保护控制要求企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全;
预算控制要求企业实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束;
运营分析控制要求企业建立运营情况分析制度;
绩效考评控制要求企业建立和实施绩效考评制度;
企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制;
企业应当建立重大风险预警机制和突发事件应急处理机制。
四、信息与沟通
1.COSO《内部控制框架》关于信息与沟通要素的要求与原则
要求:
公允的信息必须被确认、捕获并以一定形式及时传递,以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告,以助于经营和控制企业。信息系统不仅处理内部产生的信息,还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。
原则:
企业获取或生成和使用相关的高质量信息,以支持内部控制其他要素发挥效用;
企业于内部沟通的内部控制信息,包括内部控制目标和职责范围,必须能够支持内部控制的其他要素发挥效用;
企业就影响内部控制其他要素发挥效用的事项与外部方进行沟通。
2.我国《企业内部控制基本规范》关于信息与沟通要素的要求
企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行;
企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性;
企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈;
企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用;
企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序;
企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。
五、监控
1.COSO《内部控制框架》关于监控要素的要求与原则
要求:
可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。内部控制的缺陷应该自下而上进行汇报,性质严重的应上报最高管理层和董事会。
原则:
企业选择、制定并实行持续及/或单独的评估,以判定内部控制各要素是否存在且发挥效用;
企业及时评估内部控制缺陷,并将有关缺陷及时通报给负责整改措施的相关方,包括高级管理层和董事会(如适当)。
2.我国《企业内部控制基本规范》关于内部监督要素的要求
企业应当根据本规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求;
企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告;
企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告;
企业应当以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。
第三节 内部控制的应用
一、组织架构
《企业内部控制应用指引第1号——组织架构》所称组织架构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
二、发展战略
《企业内部控制应用指引第2号——发展战略》所称发展战略,是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的长远发展目标与战略规划。
制定与实施发展战略需要关注的主要风险有:缺乏明确发展战略或发展战略实施不到位,可能导致企业盲目发展,难以形成竞争优势,丧失发展机遇和动力;发展战略过于激进,脱离企业实际能力或偏离主业,可能导致企业过度扩张,甚至经营失败;发展战略因主观原因频繁变动,可能导致资源浪费,甚至危及企业的生存和持续发展。
三、社会责任
《企业内部控制应用指引第4号——社会责任》所称社会责任,是指企业在经营发展过程中应当履行的社会职责和义务,主要包括安全生产、产品质量(含服务)、环境保护、资源节约、促进就业、员工权益保护等。
四、资金活动
《企业内部控制应用指引第6号——资金活动》所称资产活动,是指企业筹资、投资和资金营运等活动的总称。
资金活动需要关注的主要风险:筹资决策不当,引发资本结构不合理或无效融资,可能导致资金链断裂或资金使用效益低下;资金调度不合理、营运不畅,可能导致企业陷入财务困境或资金冗余;资金活动管控不严,可能导致资金被挪用、侵占、抽逃或遭受欺诈。
五、采购业务
《企业内部控制应用指引第7号——采购业务》所称采购,是指购买物资(或接受劳务)及支付款项等相关活动。
采购业务需要关注的主要风险:采购计划安排不合理,市场变化趋势预测不准确,造成库存短缺或积压,可能导致企业生产停滞或资源浪费;供应商选择不当,采购方式不合理,招投标或定价机制不科学,授权审批不规范,可能导致采购物资质次价高,出现舞弊或遭受欺诈;采购验收不规范,付款审核不严,可能导致采购物资、资金损失或信用受损。
六、资产管理
《企业内部控制应用指引第8号——资产管理》所称资产,是指企业拥有或控制的存货、固定资产和无形资产。
资产管理需关注的主要风险:存货积压货短缺,可能导致流动资金占用过量、存货价值贬损或生产中断;固定资产更新改造不够、使用效能低下、维护不当、产能过剩,可能导致企业缺乏竞争力、资产价值贬损、安全事故频发或资源浪费;无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患,可能导致企业法律纠纷、缺乏可持续发展能力。
企业应当加强各项资产管理,全面梳理资产管理流程,及时发现资产管理中的薄弱环节,切实采取有效措施加以改进,并关注资产减值迹象,合理确认资产减值损失,不断提高企业资产管理水平。企业应当重视和加强各项资产的投保工作,采用招标等方式确定保险人,降低资产损失风险,防范资产投保舞弊。
七、销售业务
《企业内部控制应用指引第9号——销售业务》所称销售,是指企业出售商品(或提供劳务)及收取款项等相关活动。
销售业务需要关注的主要风险:销售政策和策略不当,市场预测不准确,销售渠道管理不当等,可能导致销售不畅、库存积压、经营难以为继;客户信用管理不到位,结算方式选择不当,账款回收不力等,可能导致销售款项不能收回和遭受欺诈;销售过程存在舞弊行为,可能导致企业利益受损。
企业应当结合实际情况,全面梳理销售业务流程,完善销售业务相关管理制度,确定适当的销售政策和策略,明确销售、发货、收款等环节的职责和审批权限,按照规定的权限和程序办理销售业务,定期检查分析销售过程中的薄弱环节,采取有效控制措施,确保实现销售目标。
八、工程项目
《企业内部控制应用指引第11号——工程项目》所称工程项目,是指企业自行或者委托其他单位所进行的建造、安装工程。
共享项目需要关注的主要风险:立项缺乏可行性研究或者可行性研究流于形式,决策不当,盲目上马,可能导致难以实现预期效益或项目失败;项目招标暗箱操作,存在商业贿赂,可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案;工程造价信息不对称,技术方案不落实,概预算脱离实际,可能导致项目投资失控;工程物资质次价高,工程监理不到位,项目资金不落实,可能导致工程质量低劣,进度延迟或中断;竣工验收不规范,最终把关不严,可能导致工程交付使用后存在重大隐患。
企业应当建立和完善工程项目各项管理制度,全面梳理各个环节可能存在的风险点,规范工程立项、招标、造价、建设、验收等环节的工作流程,明确相关部门和岗位的职责权限,做到可行性研究与决策、概预算编制与审核、项目实施与价款支付、竣工决算与审计等不相容职务相互分离,强化工程建设全过程的监控,确保工程项目的质量、进度和资金安全。
九、担保业务
《企业内部控制应用指引第12号——担保业务》所称担保,是指企业作为担保人按照公平、自愿、互利的原则与债权人约定,当债务人不履行债务时,依照法律规定合同协议承担相应法律责任的行为。
办理担保业务需要关注的主要风险:对担保申请人的资信状况调查不深;对被担保人出现财务困难或经营陷入困境等状况监控不力,应对措施不当,可能导致企业承担法律责任;担保过程中存在舞弊行为,可能导致经办审批等相关人员涉案或企业利益受损。
企业应当依法制定和完善担保业务政策及相关管理制度,明确担保的对象、范围、方式、条件、程序、担保限额和禁止担保等事项,规范调查评估、审核批准、担保执行等环节的工作流程,按照政策、制度、流程办理担保业务,定期检查担保政策的执行情况及效果,切实防范担保业务风险。
十、财务报告
《企业内部控制应用指引第14号——财务报告》所称财务报告,是指反映企业某一特定日期财务状况和某一会计期间经营成果、现金流量的文件。
编制、对外提供和分析利用财务报告需要关注的主要风险:编制财务报告违反会计法律法规和国家统一的会计准则制度,可能导致企业承担法律责任和声誉受损;提供虚假财务报告,误导财务报告使用者,造成决策失误,干扰市场秩序;不能有效利用财务报告,难以及时发现企业经营管理中存在的问题,可能导致企业财务和经营风险失控。
企业应当严格执行会计法律法规和国家统一的会计准则制度,加强对财务报告编制、对外提供和分析利用全过程的管理,明确相关工作流程和要求,落实责任制,确保财务报告合法合规、真实完整和有效利用。总会计师或分管会计工作的负责人负责组织领导财务报告的编制、对外提供和分析利用等相关工作。企业负责人对财务报告的真实性、完整性负责。
十一、全面预算
《企业内部控制应用指引第15号——全面预算》所称全面预算,是指企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。
实行全面预算管理需关注的主要风险:不编制预算或预算不健全,可能导致企业经营缺乏约束或盲目经营;预算目标不合理、编制不科学,可能导致企业资源浪费或发展战略难以实现;预算缺乏刚性、执行不力、考核不严,可能导致预算管理流于形式。
企业应当加强全面预算工作的组织领导,明确预算管理体制以及各预算执行单位的职责权限、授权批准程序和工作协调机制。企业应当设立预算管理委员会履行全面预算管理职责,其成员由企业负责人及内部相关部门负责人组成。
十二、合同管理
《企业内部控制应用指引第16号——合同管理》所称合同,是指企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议。企业与职工签订的劳动合同,不适用本指引。
合同管理需关注的主要风险:未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈,可能导致企业合法权益受到侵害;合同未全面履行或监控不当,可能导致企业诉讼失败、经济利益受损;合同纠纷处理不当,可能损害企业利益、信誉和形象。
企业应当加强合同管理,确定合同归口管理部门,明确合同拟定、审批、执行等环节的程序和要求,定期检查和评价合同管理中的薄弱环节,采取相应控制措施,促进合同有效履行,切实维护企业的合法权益。
第四节 内部控制评价与审计
一、内部控制评价
内部控制自我评价是 由企业董事会和管理层实施的。进行评价的具体内容应围绕《基本规范》提及的内部控制五个要素,即内部环境、风险评估、控制活动、信息与沟通、内部监督,以及《基本规范》及《应用指引》中的内容。
1.内部控制评价应当遵循的原则
全面性原则、重要性原则、客观性原则。
2.内部控制评价的内容
企业应当确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价;
开展内部环境评价;
开展风险评估机制评价;
开展控制活动评价;
开展信息与沟通评价;
开展内部监督评价;
内部控制评价工作应当形成工作底稿。
3.内部控制评价的程序
内部控制评价程序一般包括:制定评价控制方案、组织评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。
4.内部控制缺陷的认定
内部控制缺陷的分类包括
按照内部控制缺陷的本质分类:设计缺陷、运行缺陷。
按照内部控制严重程度分类:重大缺陷、重要缺陷、一般缺陷。
内部控制认定程序与整改
如果评价工作人员在实施测试中发现控制差异,应分析差异是否属于控制缺陷及评价其严重程度。如果审查了解控制差异的起因和后果后,断定控制目标未能达到,同时,评价工作组人员不能增加其他测试程序证明已发现的差异不能代表所有内控的情况,将形成缺陷的结论。管理层应评价其严重程度在其年度自我评价报告中的披露,并有责任对有关控制缺陷进行整改,做出补救措施。
5.内部控制评价报告
《评价指引》要求企业在评价报告中至少披露以下内容:
董事会对内部控制报告真实性的声明;
内部控制评价工作的总体情况;
起步控制评价的依据;
内部控制评价的范围;
内部控制评价的程序和方法;
内部控制缺陷及其认定情况;
内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;
内部控制有效性的结论。
二、企业内部控制审计
1.内部控制的审计要求
2008年发布的《基本规范》要求上市公司和非上市大中型企业聘请符合资格的会计师事务所,根据规范及配套办法和相关执业准则,对企业财务报告内部控制的有效性进行审计并出具审计报告。上市公司聘请的会计师事务所应当具有证券、期货业务资格。为企业内部控制提供评价服务的会计师事务所,不得同时为同一企业提供内部控制审计服务。
2.注册会计师的责任与角色
注册会计师应对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露。
三、审计委员会在内部控制中的作用
1.审计委员会与内部控制
审计委员会是企业董事会下设立的专门委员会。审计委员会负责审查企业内部控制,监控内部控制的有效实施和内部控制的自我评价情况,协调内部控制及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。
2.审计委员会履行职责的方式
建议审计委员会每年至少举行三次会议,并于审计周期的主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次,讨论与审计相关的事宜,但无须管理层出席。审计委员会成员之间的不同意见如无法内部调解,应提请董事会解决。
3.审计委员会与合规
审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保企业履行对外报告的义务。审计委员会应结合企业财务报告的编制情况,对重大的财务报告事项和判断进行复核。
4.审计委员会与内部审计
审计委员会应该检查内部审计的有效性,并批准对内部审计主管的任命和解聘,还应确保内部审计部门能直接与董事会主席接触。审计委员会收到关于内部审计部门工作的定期报告,复核和监察管理层对内部审计的调查结果的反应。审计委员会还应确保内部审计部门提出的建议已执行。审计委员会有助于保持内部审计部门对压力或干涉的独立性。审计委员会将在四个主要方面对内部审计进行复核,即组织中的地位、职能范围、技术才能和专业应尽义务。
5.向股东报告内部控制
企业董事会应维持完善的内部控制系统,以保护股东投资及公司资产安全,并将企业业绩及内部控制情况告知股东。
(文章首发于微信订阅号:木叶笔记)