企业内部控制基本规范及三个指引.docx
《企业内部控制基本规范及三个指引.docx》由会员分享,可在线阅读,更多相关《企业内部控制基本规范及三个指引.docx(242页珍藏版)》请在冰豆网上搜索。
企业内部控制基本规范及三个指引
第一部分 内部控制规范的背景及框架介绍
一、我国《企业内部控制基本规范》出台的背景
1999年修订的《会计法》第一次以法律的形式对建立健全内部控制提出原则要求,第27条规定:
各企业应当建立、健全本企业内部会计监督制度。
企业内部会计监督制度应当符合下列要求:
①记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确,并相互分离、相互制约;②重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约程序应当明确;③财产清查的范围、期限和组织程序应当明确;④对会计资料定期进行内部审计的办法和程序应当明确。
财政部从2001年开始连续制定发布了《内部会计控制规范——基本规范》等7项内部会计控制规范,2001年以来,财政部先后发布《基本规范(试行)》(2001)和涉及货币资金(2001)、采购与付款(2002)、销售与收款(2002)、工程项目(2003)、担保(2004)、对外投资(2004)的六个具体控制规范,同时印发了固定资产、存货、筹资、成本费用、预算等控制规范的征求意见稿。
中国人民银行于2002年9月7日制定发布了《商业银行内部控制指引》。
2005年1月,银监会又发布《商业银行内部控制评价试行办法》。
2003年12月,审计署发布第5号令《审计机关内部控制测评准则》(简称《准则》),提出建立健全内部控制并保证其有效实施是被审计单位的责任,审计人员的责任是对内部控制的健全性和有效性进行评价。
《准则》借鉴COSO报告,将内部控制定义为被审计单位为了维护资产的安全、完整,确保会计信息的真实、可靠,保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规,而制定和实施相关政策、程序和措施的过程。
内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。
2005年11月,国务院批转证监会发布《关于提高上市公司质量意见》。
2006年,上海证券交易所根据证监会《关于提高上市公司质量意见》等法律法规,制定发布了《上市公司内部控制指引》。
同年,深圳证券交易所也发布了《上市公司内部控制指引》。
2006年6月,中央国资委根据《企业国有资产监督管理暂行条例》(国务院令第378号)关于“国有及国有控股企业应当加强内部监督和风险控制”的要求,国务院国有资产监督管理委员会出台了《中央企业全面风险管理指引》(简称《指引》),旨在进一步加强和完善国有资产监管工作,深化国有企业改革,加强风险管理,促进企业持续、稳定、健康发展。
2007年3月,证监会出台《关于开展加强上市公司治理专项活动有关事项的通知》,要求上市公司本着实事求是的原则,严格对照《公司法》、《证券法》等有关法律、行政法规,以及《公司章程》、《董事会议事规则》等内部规章制度,对公司100个重要治理事项进行自查,其中涉及内部控制的自查事项有15项。
同年,证监会发布《关于做好上市公司2007年年度报告及相关工作的通知》,提出上市公司应在2007年年报中全面披露公司内部控制建立健全的情况,包括建立健全内部控制的工作计划及其实施情况、内部控制检查监督部门的设置和人员到位情况、董事会对内部控制有关工作的安排、相关的责任追究机制,同时强调上市公司应充分发挥审计委员会的监督作用,维护审计的独立性。
2007年6月,银监会重新修订了《商业银行内部控制指引》。
与此前央行发布的《控制指引》相比,银监会发布的《控制指引》更加符合现代商业银行运作的特点。
2006年7月15日,财政部、国资委、证监会、审计署、银监会和保监会联合发起成立企业内部控制标准委员会,同时设立了由86名专家组成的内部控制咨询委员会。
2006年11月8日,企业内部控制标准委员会发布了《企业内部控制规范——基本规范》和17个具体规范的征求意见稿,面向咨询专家和社会公众广泛征求意见。
2008年6月28日,五部委联合发布了我国首部《企业内部控制基本规范》,将于2009年7月1日起首先在上市公司范围内施行,并鼓励非上市的其他大中型企业执行。
2010年4月26日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》。
该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。
实施时间表:
自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。
二、企业内部控制规范的框架结构及主要内容
(一)《企业内部控制基本规范》的内容
《企业内部控制基本规范》共7章50条,主要内容包括:
1.内部控制的目标
基本规范将内部控制定义为:
“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
”
借鉴COSO框架,基本规范将内部控制的目标归纳为五个方面:
①合理保证企业经营管理合法合规;②合理保证企业资产安全;③合理保证企业财务报告及相关信息真实完整;④提高经营效率和效果;⑤促进企业实现发展战略。
2.内部控制的原则和实施体系
基本规范提出,建立与实施内部控制应当遵循五项原则,即全面性、重要性、制衡性、适应性和成本效益原则。
同时规定了内部控制的实施体系:
(1)以法制为推动。
(2)以企业实施为主体。
(3)以政府监管和社会评价为保障。
3.内部控制的要素
借鉴COSO框架,基本规范将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督5大方面。
(二)企业内部控制应用指引
五部委在发布《企业内部控制基本规范》的同时,还发布了《企业内部控制应用指引》,共18项。
从项目构成看,主要包括3类:
1.财务报表直接或间接体现的项目,或者就是对财务报表与信息披露的内在要求。
如资金活动、采购业务、资产管理、销售业务、工程项目、担保业务、财务报告等;
2.对财务报表、财务管理有重大影响的项目,如全面预算、合同管理、业务外包等;
3.为生成财务报表提供人力和技术支撑的项目,如组织架构、发展战略、人力资源、社会责任、企业文化、信息系统、内部信息传递等。
(三)企业内部控制评价指引
企业内部控制评价指引旨在为企业董事会和管理层对企业内部控制有效性进行评价提供专业规范和指导。
内控应用规范在企业的执行运用情况如何,是否还有缺陷,如何改进,以确保内部控制的有效运行,客观上需要进行有效性的评价。
《企业内部控制评价指引》主要内容包括评价的原则和组织、评价的内容和标准、评价的程序和方法、缺陷认定和评价报告等。
企业对内部控制评价过程中发现的问题,应当从定量和定性等方面进行衡量,判断是否构成内部控制缺陷。
对内部控制缺陷进行分类分析。
内部控制缺陷一般可分为设计缺陷和运行缺陷。
(四)企业内部控制审计指引
企业内部控制审计指引旨在为注册会计师执行企业内部控制审计业务提供专业规范和指导。
根据指引的规定,注册会计师在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响:
①与企业相关的风险;②相关法律法规和行业概况;③企业组织结构、经营特点和资本结构等相关重要事项;④企业内部控制最近发生变化的程度;⑤与企业沟通过的内部控制缺陷;⑥重要性、风险等与确定内部控制重大缺陷相关的因素;⑦对内部控制有效性的初步判断;⑧可获取的、与内部控制有效性相关的证据的类型和范围。
注册会计师应当以风险评估为基础,选择拟测试的控制,确定测试所需收集的证据。
内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。
三、企业内部控制规范的学习和运用
(一)内部控制设计的步骤
1.了解和评估控制环境
控制环境对内部控制的效果起到促进或削弱的因素,企业在设计内部会计控制制度时,首先就应当对内部条件和外部环境进行研究和分析。
2.建立内部控制结构
企业在建立内部控制时,注意各个控制环节和组织结构的联系性,发挥各个组成部分的协同效应,同时要求内部控制制度要能够有效监控经营活动过程,预防和发现风险并及时纠正。
3.确定各个业务循环的流程
4.找到关键风险控制点
关键的控制点是指业务流程和企业经营活动中容易产生风险的环节,要想找到关键控制点首先要对各个业务流程进行风险评估,经过风险排序后确定关键点。
(二)内部控制设计中应注意的问题
1.控制活动与控制目标的一致性
2.保证内部会计控制的有效实施
3.形成内部控制的企业文化
第二部分 内部控制配套指引概述
《企业内部控制配套指引》的三大亮点。
第一,年度会计报表审计跟财务报告内部控制是什么关系?
在新的指引里面有一个大突破,提出整合审计概念,没有禁止两个业务单独来做,可以做整合审计,把两者有机地结合起来。
其次,审计的思路更明确了。
财务报告内部控制审计怎么审?
原来审核指导意见较为简单,而现在更多的讲审计策略,强调公平导向审计策略。
第三,“自上而下的审计思路也是以前没有的”。
首先要考虑如何实现整体层面的内部控制,然后决定下一步业务流程层面怎么实施。
“三大亮点由一个主题串起来,就是遵循成本的问题。
这三点都是为了帮助会计师事务所降低成本,整合审计”。
内部控制配套指引解读
一、关于应用指引
应用指引可以划分为三类,即内部环境类指引、控制活动类指引、控制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。
(一)内部环境类指引
内部环境是企业实施内部控制的基础,支配着企业全体员工的内控意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。
内部环境类指引有5项,包括组织架构、发展战略、人力资源、企业文化和社会责任等指引。
第一,关于组织架构。
组织架构是企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
组织架构应用指引明确提出如下要求:
一是,企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。
二是,企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
三是,企业应当根据组织架构的设计规范,对现有治理结构和内部机构设置进行全面梳理,确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。
四是,企业拥有子公司的,应当建立科学的投资管控制度。
对子公司控制一直是企业集团层面关注的一个重要问题,组织架构应用指引在综合调研的基础上提出此项要求,对实务操作具有重要指导作用。
第二,关于发展战略。
发展战略是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的长远发展目标与战略规划。
发展战略应用指引,就上述重要风险有针对性地提出了应对措施。
一是,要求企业健全组织机构,在董事会下设立战略委员会,或指定相关机构负责发展战略管理工作。
二是,明确要求企业应在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标,而不是靠拍脑袋,盲目制定发展战略。
三是,强调战略规划应当根据发展目标制定,明确发展的阶段性和发展程度,确定每个发展阶段的具体目标、工作任务和实施路径。
四是,要求董事会从全局性、长期性和可行性等角度,严格审议战略委员会提交的发展战略方案,之后再报经股东(大)会批准实施。
五是,设立了发展战略实施后评估制度,要求战略委员会加强对发展战略实施情况的监控,定期收集和分析相关信息。
对发现明显偏离发展战略的情况,要求及时报告;对确需对发展战略作出调整的情形,明确要求企业要遵循规定的权限和程序调整发展战略。
第三,关于人力资源。
人力资源是指企业组织生产经营活动而录(任)用的各种人员,包括董事、监事、高级管理人员和全体员工。
人力资源对实现企业发展战略起到重要的智力支持作用
人力资源应用指引强调:
一是,企业应当根据人力资源总体规划,结合生产经营实际需要,制定年度人力资源需求计划。
二是,企业应当根据人力资源能力框架要求,明确各岗位的职责权限、任职条件和工作要求,通过公开招聘、竞争上岗等多种方式选聘优秀人才。
三是,企业确定选聘人员后,应当依法签订劳动合同,建立劳动用工关系;已选聘人员要进行试用和岗前培训,试用期满考核合格后,方可正式上岗。
四是,企业应当建立和完善人力资源的激励约束机制,设置科学的业绩考核指标体系,对各级管理人员和全体员工进行严格考核与评价,并制定与业绩考核挂钩的薪酬制度。
五是,企业应当建立健全员工退出(辞职、解除劳动合同、退休等)机制,明确退出的条件和程序,确保员工退出机制得到有效实施。
第四,关于社会责任。
社会责任是指企业在经营发展过程中应当履行的社会职责和义务,主要包括安全生产、产品质量(含服务,下同)、环境保护、资源节约、促进就业、员工权益保护等。
社会责任应用指引提出了积极应对措施:
一是,要求企业设立安全管理部门和安全监督机构,建立严格的安全生产管理体系、操作规范和应急预案,强化安全生产责任追究制度,切实做到安全生产。
二是,要求企业规范生产流程,建立严格的产品质量控制和检验制度,严把质量关,禁止缺乏质量保障、危害人民生命健康的产品流向社会。
三是,要求企业提高员工的环境保护和资源节约意识,建立环境保护与资源节约制度,认真落实节能减排责任,积极开发和使用节能产品,发展循环经济,降低污染物排放,提高资源综合利用效率。
四是,要求企业依法保护员工的合法权益,保障员工依法享有劳动权利和履行劳动义务,保持工作岗位相对稳定,积极促进充分就业。
最后,企业应当按照“产学研用”相结合的社会需求,积极创建实习基地,大力支持社会有关方面培养、锻炼社会需要的应用型人才;同时,应积极履行社会公益方面的责任和义务,关心帮助社会弱势群体,支持慈善事业。
第五,关于企业文化。
企业文化是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神,以及在此基础上形成的行为规范的总称。
企业文化应用指引明确提出以下管控措施:
一是,要求企业积极培育具有自身特色的企业文化,充分体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神,以及团队协作和风险防范意识,以此引导和规范员工行为,打造以主业为核心的企业品牌,形成整体团队的向心力,促进企业长远发展。
二是,要求企业重视并购重组后的企业文化建设,平等对待被并购方的员工,促进并购双方的文化融合。
三是,要求董事、监事、经理和其他高级管理人员在企业文化建设中发挥主导和垂范作用,以自身的优秀品格和脚踏实地的工作作风,带动影响整个团队,共同营造积极向上的企业文化环境。
四是,要求企业加强企业文化的宣传贯彻,促进文化建设在内部各层级的有效沟通,并确保全体员工共同遵守;同时,要求企业文化建设融入生产经营全过程,切实做到文化建设与发展战略的有机结合,增强员工的责任感和使命感,规范员工行为方式,使员工自身价值在企业发展中得到充分体现。
(二)控制活动类指引
控制活动类应用指引,包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告等9个指引。
第一,关于资金活动。
资金活动是指企业筹资、投资和资金营运等活动的总称。
资金是企业生产经营循环的血液,是企业生存和发展的基础,决定着企业的竞争能力和可持续发展能力。
企业资金活动中可能存在的风险无一不是重要风险,一旦转变为现实,危害重大。
概括讲,企业资金活动面临的重要风险包括:
筹资决策不当,引发资本结构不合理或无效融资,可能导致企业筹资成本过高或债务危机;企业投资决策失误,引发盲目扩张或丧失发展机遇,可能导致资金链断裂或资金使用效益低下;资金调度不合理、营运不畅,可能导致企业陷入财务困境或资金冗余;资金活动管控不严,可能导致资金被挪用、侵占、抽逃或遭受欺诈。
第二,关于采购业务。
采购是指购买物资(或接受劳务)及支付款项等相关活动。
企业在办理采购业务时不同程度地存在以下问题:
采购计划安排不合理,市场变化趋势预测不准确,造成库存短缺或积压,导致企业生产停滞或资源浪费;供应商选择不当,采购方式不合理,招投标或定价机制不科学,授权审批不规范,致使采购物资质次价高,出现舞弊或遭受欺诈;采购验收不规范,付款审核不严,造成采购物资、资金损失或信用受损。
第三,关于资产管理。
加强各项资产管理,保证资产安全完整,提高资产使用效能,有利于维持企业正常生产经营,有利于促进企业发展战略的实现。
第四,关于销售业务。
销售是指企业出售商品(或提供劳务)及收取款项等相关活动。
企业应当加强销售、发货、企业销售过程中存在的重要风险主要包括:
销售政策和策略不当,市场预测不准确,销售渠道管理不当等,导致销售不畅、库存积压、经营难以为继;客户信用管理不到位,结算方式选择不当,账款回收不力等,造成销售款项不能收回或遭受欺诈;销售过程存在舞弊行为,可能导致企业利益受损。
第五,关于研究与开发。
研究与开发是指企业为获取新产品、新技术、新工艺等所开展的各种研发活动,是企业进行自主创新的重要手段。
企业通过研发新产品和新技术,创造新工艺,能够增强核心竞争力,促进发展战略实现。
第六、关于工程项目。
工程项目是企业自行或者委托其他单位所进行的建造、安装活动。
工程项目通常与企业发展战略密切相关,周期较长,并涉及大额资金及物资的流转,存在较大的不确定性和风险。
第七,关于担保业务。
担保是企业按照公平、自愿、互利的原则向被担保人提供一定方式的担保并依法承担相应法律责任的行为。
第八,关于业务外包。
业务外包是企业利用专业化分工优势,将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织(承包方)完成的经营行为。
第九,关于财务报告。
财务报告是企业财务信息对外报告的重要形式之一。
对上市公司而言,财务报告是投资者进行决策的重要依据;对国有企业,则可能成为政府进行经济决策时关注的重要信息来源。
(三)控制手段类指引
控制手段类指引偏重于“工具”性质,往往涉及企业整体业务或管理。
此类指引有4项,包括全面预算、合同管理、内部信息传递和信息系统等指引。
第一,关于全面预算。
全面预算是企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。
全面预算作为一种全方位、全过程、全员参与编制与实施的预算管理模式,通过将企业的资金流与实物流、信息流相整合优化了企业的资源配置,提高了资金的使用效率。
第二,关于合同管理。
合同是企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议。
市场经济就是合同经济。
然而,合同管理往往又是企业内部控制中最为疏忽和薄弱的环节之一。
第三,关于内部信息传递。
内部信息传递是企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。
《企业内部控制基本规范》十分重视信息与沟通这一控制要素,多次强调内部信息传递的重要性。
第四,关于信息系统。
信息系统是信息内部传递和信息对外报告的技术手段,是企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
二、关于内部控制评价指引
内部控制评价指引,着重从以下方面就企业如何做好内部控制自我评价工作提出指导性意见:
第一,关于内部控制评价的内容。
围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对内部控制有效性进行全面评价。
第二,关于内部控制评价的组织。
基本规范及评价指引要求企业授权内部审计机构或者其他专门机构作为内部控制评价机构,负责内部控制评价的具体组织实施工作。
这实际上就为内部控制评价工作的开展设置了专门的职能机构。
第三,关于内部控制缺陷的认定。
对于财务报告内部控制缺陷,可由该缺陷可能导致财务报表错报的重要程度来确定,这种重要程度主要取决于两方面因素:
一是该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报;二是该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。
第四,关于内部控制评价报告。
企业在评价报告中至少披露以下内容:
一是董事会对内部控制报告真实性的声明,实质就是董事会全体成员对内部控制有效性负责;
二是内部控制评价工作的总体情况,即概要说明;
三是内部控制评价的依据;
四是内部控制评价的范围;
五是内部控制评价的程序和方法;
六是内部控制缺陷及其认定情况,主要描述适用本企业的内部控制缺陷具体认定标准,并声明与以前年度保持一致;
七是内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;
八是内部控制有效性的结论。
第五,关于内部控制评价报告的披露或报送。
应当以12月31日作为年度内部控制评价报告的基准日,并于基准日后4个月内报出内部控制评价报告。
三、关于内部控制审计指引
内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
总则和附则
《企业内部控制基本规范》由总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则7章,共50条组成。
其中核心内容就是内部控制要素:
内部环境、风险评估、控制活动、信息与沟通、内部监督。
一、条款和结构
《企业内部控制基本规范》(以下简称《基本规范》)总则和附则共有13条规定,概括起来主要明确了以下几个方面的内容:
(一)《基本规范》第1条,明确了企业内部控制基本规范的立法依据。
(二)《基本规范》第2条、第50条,明确了企业内部控制基本规范的适用范围和开始执行时间。
(三)《基本规范》第3、第4条,明确了企业内部控制的目标和原则。
(四)《基本规范》第5条,明确了企业内部控制的5要素。
(五)《基本规范》第6条、第7条、第8条、第48条、第49条,明确了企业在建立和实施内部控制的过程中同时应该依据相关的法律法规的规定。
(六)《基本规范》第9条、第10条,明确了国务院有关部门对企业建立和实施的内部控制承担监督职责,并明确了企业需要委托会计师事务所对内部控制的有效性发表意见。
二、新旧变化分析
2008年发布的《企业内部控制基本规范》,是根据2006年11月8日企业内部控制标准委员会发布的《企业内部控制规范——基本规范》征求意见稿确定的,与2001年财政部发布的《内部会计控制规范——基本规范(试行)》(简称《基本规范(试行)》比较而言,主要存在以下变化:
(一)发文机构变化
《基本规范(试行)》发文机构为财政部。
《基本规范》为财政部、证监会、审计署、银监会、保监会联合发文。
(二)立法宗旨有所变化,法律依据进一步明确
升级会员 