管理会计之内部控制.docx
《管理会计之内部控制.docx》由会员分享,可在线阅读,更多相关《管理会计之内部控制.docx(58页珍藏版)》请在冰豆网上搜索。
管理会计之内部控制
管理会计——企业内部控制
◇内容框架
1.企业内部控制基本规范
2.企业内部控制应用
3.企业内部控制评价与审计
【问题链接1】企业内部控制是企业用来控制谁的?
A.高层管理者
B.基层管理者
C.全体的员工
【答案】企业风险
【解析】企业是指依法设立的以营利为目的从事生产经营活动的独立核算的经济组织。
企业内部控制是为确保实现企业目标而实施的程序、政策和环境等。
企业内部控制应确保识别可能阻碍实现企业目标的风险因素并采取预防措施;企业内部控制只是一个为了达到目标的手段,其本身并不是目标。
【问题链接2】请问目前您所任职的公司有内部控制吗?
A.可能有
B.没见过
C.不清楚
【答案】肯定有
【解析】一个正常运营中的企业都有内部控制,
且合理的内部控制一定比不合理的内部控制要多。
◇成功的做法尚未制度化;
◇良好的制度尚未流程化;
◇有效的流程尚未信息化;
◇现有的信息尚未系统化。
【问题链接3】本公司已经通过三项国际管理体系认证(ISO9001质量管理体系认证、ISO14001环境管理体系认证和OHSAS18001职业安全健康管理体系认证),还有必要实施内部控制吗?
企业实施内部控制的宗旨是什么?
【答案】有必要!
内部控制,让管理更有效!
【解析】为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益。
内部控制、会计审计准则和政府监管已经并称为资本市场的“三驾马车”。
☆企业内部控制规范体系框架
第一节 企业内部控制基本规范
一、内部控制定义
内部控制是由企业董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程。
◇实现了由结果控制向过程控制的转化;
◇实现了由执行层面向决策层面的转化;
◇实现了由会计控制向企业控制的转化;
◇实现了由微观细节向风险导向的转化。
二、内部控制目标
内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
◇企业安全——严禁企业违法经营或非法获利;
◇资产安全——企业现金资产和实物资产安全;
◇信息安全——财务报告及信息的真实和完整;
◇效率效果——企业因流程改变而使资源重组;
◇发展战略——促进实现发展战略是终极目标。
三、内部控制原则
内部控制原则是企业建立与实施内部控制应当遵循的基本准绳,包括:
全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。
(一)全面性原则
内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项,实现全过程、全员性控制,不存在内部控制空白点。
千里之堤,溃于蚁穴;要避免内部控制出现盲区和空白,实现企业全面、全员、全过程控制。
【案例思考】1995年,巴林银行的倒闭成为国际金融界的爆炸性新闻。
尽管时间已过去20年,但是,巴林事件所折射出的银行管理体制上的问题,在今天仍有借鉴意义。
尤其是,在里森的损失达到5000万英镑时,巴林银行总部曾派人调查里森的账目。
于是,里森假造花旗银行有5000万英镑存款。
查了一个月的账,竟然,没有人去调查花旗银行账目,以至于没有人发现花旗银行账户中根本就没有5000万英镑存款。
后来,里森认为这些人的疏忽简直就是犯罪。
【案例解析】巴林银行的倒闭看起来像是因为个人的越权行为所致;实际不然,巴林银行事件反映出现代跨国银行管理和内部控制的缺陷与漏洞。
(二)重要性原则
内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域,并采取更为严格的控制措施,确保不存在重大缺陷。
企业对“三重一大”事项实行集体决策和联签制度,就是重要性原则的体现。
(重大事项的决策、重要干部的任免、重要项目的安排和大额资金的使用)
【案例思考】甲集团对其某一子公司进行重组,需要在方案A和方案B中间选择一套执行,经过公司领导班子集体讨论,最后选择方案A。
在实施过程中,发现重组条件已经发生改变,方案B更有利,于是,集团董事长决定改用方案B。
【案例解析】对于“三重一大”问题,任何个人不得单独进行决策或者擅自改变集体决策意见。
(三)制衡性原则
内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制,同时兼顾运营效率。
制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节,同时还要求履行内部控制监督职责的机构或人员具有良好的独立性。
【案例思考】某公司董事会下设的审计委员会负责审查内部控制、监督内部控制的有效实施等工作,并由审计部经理兼任审计委员会主席;审计部调整职责定位,在开展传统财务审计、经济责任审计的同时,对内部控制的建立与实施进行监督检查和评价。
【案例解析】该公司由审计部经理兼任审计委员会主席不恰当。
理由:
审计委员会主席应当由独立董事担任。
或:
审计委员会主席应该具有独立性。
或:
审计部经理兼任审计委员会主席违背了制衡性原则。
◆董事会不懂事;
◆监事会不管事;
◆个人高度集权;
◆集体分担责任。
(四)成本效益原则
内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
成本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。
对成本效益原则的判断需要从企业整体利益出发,尽管某些控制会影响工作效率,但可能会避免整个企业面临更大损失,此时仍应实施相应控制。
【案例思考】某小型企业员工数量较少,仅有1名会计人员负责记账和编制报表。
出于成本效益原则的考虑,企业指定该会计人员兼任出纳工作。
【案例解析】根据制衡性原则,会计和出纳应当相互分离。
但是,考虑到企业规模较小的实际情况,从节约运营成本和促进企业经营效率最大化的角度出发,企业可以这样做,但是,企业管理层必须定期或不定期对上述人员的工作进行独立的监督检查。
(五)适应性原则
内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整。
适应性原则要求企业建立与实施内部控制应当具有前瞻性,适时地对内部控制系统进行评估,发现可能存在的问题,并及时采取措施予以补救。
四、内部控制要素
内
部
控
制
要
素
内部环境
重要基础
风险评估
重要环节
控制活动
具体方式
信息与沟通
重要条件
内部监督
重要保证
(一)内部环境
规定企业的纪律与架构,影响经营管理目标的制定,塑造企业文化氛围并影响员工的控制意识,是企业建立与实施内部控制的基础。
内部环境主要包括治理结构、机构设置及权责分配、内部审计机制、人力资源政策、企业文化等。
①治理结构
企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确董事会、监事会和经理层在决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。
企业董事会负责内部控制的建立健全和有效实施。
监事会对董事会建立与实施内部控制进行监督。
经理层负责组织领导企业内部控制的日常运行。
②审计委员会
企业应当在董事会下设立审计委员会。
审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。
审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。
③机构设置权责分配
企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。
企业内部机构设置虽然没有统一的模式,但是,所采用的组织结构应当有利于提升管理效能,保证信息通畅流动。
④内部审计机制
企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。
企业内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。
内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。
◆企业的上层要——有思路!
(制衡)
◆企业的中层要——有办法!
(执行)
◆企业的基层要——能听话!
(服务)
⑤人力资源政策
人力资源政策应当有利于企业可持续发展,一般包括员工的聘用、培训、辞退与辞职;员工的薪酬、考核、晋升与奖惩;关键岗位员工的强制休假制度和定期岗位轮换制度;对掌握国家秘密或重要商业秘密的员工离岗的限制性规定等内容。
企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工重要标准,切实加强员工培训和继续教育,不断提升员工素质。
◆有德有才,破格重用
◆有德无才,培养使用
◆有才无德,限制录用
◆无德无才,坚决不用
⑥企业文化
企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念。
董事、监事、经理及其他高级管理人员应在塑造良好的企业文化中应发挥关键作用。
◆齐王好紫衣,
◆天下紫布贵;
◆楚王好细腰,
◆天下皆饿死!
⑦法制观念
企业应当加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。
◇有人问韦尔奇:
“在GE(通用电气)你最担心什么?
”“什么事会使你彻夜不眠?
”
◇韦尔奇答道:
“其实并不是GE的业务使我担心,而是有什么人做了从法律上看非常愚蠢的事而给公司的声誉带来污点并把他们自己和他们的家庭毁于一旦。
”
【案例思考】某公司董事会一致通过了优化内部环境的决议,包括:
严格规范公司治理结构,各类业务事项均应提交董事会或股东大会审核批准;调整机构设置和权责分配,做到所有不相容岗位或职务严格分离、相互制约、相互监督。
【解析】
(1)各类业务事项均应提交董事会或股东大会审核批准的观点不恰当。
理由:
各类业务事项应按规定的权限和程序进行审核批准。
或:
重要业务事项才需提交董事会或股东大会审核批准。
(2)所有不相容岗位或职务严格分离的观点不恰当。
理由:
不符合成本效益原则。
(二)风险评估
风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险,合理确定风险应对策略,是实施内部控制的重要环节。
风险评估主要包括目标设定、风险识别、风险分析和风险应对。
①目标设定
风险是指一个潜在事项的发生对目标实现产生影响的可能性。
风险与可能被影响的控制目标相关联。
企业必须制定与生产、销售、财务等业务相关的目标,设立辨认、分析和管理相关风险的机制,以了解企业所面临的来自内部和外部的各种不同风险。
②风险识别
企业识别内部风险:
董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;组织机构、经营方式、资产管理、业务流程等管理因素;研究开发、技术投入、信息技术运用等自主创新因素;财务状况、经营成果、现金流量等财务因素;营运安全、员工健康、环境保护等安全环保因素等。
企业识别外部风险:
经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;法律法规、监管要求等法律因素;安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;技术进步、工艺改进等科学技术因素;自然灾害、环境状况等自然环境因素等。
③风险分析
在充分识别各种潜在风险因素后,要对固有风险,即不采取任何防范措施可能造成的损失程度进行分析,同时,重点分析剩余风险,即采取了相应应对措施之后仍可能造成的损失程度。
企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
④风险应对
企业在分析了相关风险发生的可能性和影响程度后,结合风险承受度,权衡风险与收益,确定风险应对策略。
常用的风险应对策略有:
风险规避、风险承受、风险降低和风险分担。
风险应对策略的选择与企业风险偏好密切相关,为此企业应当合理分析和掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。
风险应对策略往往综合运用并及时调整。
风险规避
企业对超出风险承受度的风险,通过放弃或停止与该风险相关的业务活动以避免和减轻损失的策略。
风险降低
企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。
风险分担
企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。
风险承受
企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
(三)控制活动
控制活动是指企业根据风险应对策略,采用相应的控制措施,将风险控制在可承受度之内,是实施内部控制的具体方式。
常见的控制措施有:
不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
◇以审批为手段
◇以制衡为灵魂
◇以制度为依据
①不
相容
职务
分离
控制
不相容职务是指那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为的职务。
企业在设计内部控制系统时,首先应确定哪些岗位和职务是不相容的;其次要明确规定各个机构和岗位的职责权限,使不相容岗位和职务之间能够相互监督、相互制约,形成有效的制衡机制。
◇授权审批与执行业务
◇执行业务与监督审核
◇执行业务与相应记录
◇财物保管与相应记录
◇授权批准与监督检查
②授权审批控制
常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权,用以规范经济业务的权力、条件和有关责任者,其时效性一般较长。
特别授权是企业在特殊情况、特定条件下对办理例外的非常规性交易事项的权力、条件和责任的应急性授权。
◇常规授权要有指引
◇特别授权要防滥用
③
会
计
系
统
控
制
会计系统控制主要是通过对会计主体所发生的各项经济业务进行记录、归集、分类、编报等而进行的控制。
会计系统控制要求企业严格执行国家统一的会计准则制度规定进行会计核算,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。
企业应当依法设置会计机构,配备会计从业人员。
◆从事会计工作的人员,必须取得会计从业资格证书。
会计机构负责人应当具备会计师以上专业技术职务资格。
大中型企业应当设置总会计师。
设置总会计师的企业,不得设置与其职权重叠的副职。
④财产保护控制
财产保护控制要求企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。
企业应当严格限制XX的人员接触和处置财产,包括限制对资产本身的接触和通过文件批准方式对资产使用或分配的间接接触。
一般情况下,对货币资金、有价证券、贵重物品、存货等变现能力强的资产必须限制无关人员的直接接触。
◆实体性资产要盘点
既看安全又看效率
◆权力性资产要对账
函证不能代替账单
⑤预算控制
预算是企业未来一定时期内经营、资本、财务等各方面的收入、支出、现金流的总体计划。
预算控制要求企业实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
⑥运营分析控制
运营分析控制要求企业建立运营情况分析制度,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
⑦绩效考评控制
绩效考评控制要求企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
⑧重大风险预警机制突发事件应急处理机制
企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
(四)信息与沟通
企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。
信息与沟通是实施内部控制的重要条件。
主要包括信息质量、沟通制度、信息系统、反舞弊机制。
①信息质量
企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。
企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道获取内部信息。
企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道获取外部信息。
②沟通制度
企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。
信息沟通过程中发现的问题,应当及时报告并加以解决。
重要信息应当及时传递给董事会、监事会和经理层。
③信息系统
企业可以建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。
企业利用信息技术对信息进行集成和共享的同时,还应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
④反舞弊机制
舞弊是指企业董事、监事、经理、其他高级管理人员、员工或第三方使用欺骗手段获取不当或非法利益的故意行为,它是需要企业重点加以控制的领域之一。
企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。
反舞弊工作的重点领域包括:
XX或者采取其他不法方式侵占、挪用企业资产,牟取不当利益;在财务会计报告和信息披露等方面存在虚假记载、误导性陈述或者重大遗漏等;董事、监事、经理及其他高级管理人员滥用职权;相关机构或人员串通舞弊。
为确保反舞弊工作落到实处,企业应当建立举报投诉制度和举报人保护制度并应当及时传达至全体员工。
(五)内部监督
企业应当制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。
内部监督分为日常监督和专项监督。
日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。
专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。
(续)内部监督
企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。
内部控制缺陷包括设计缺陷和运行缺陷。
企业应当跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。
(续)内部监督
企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。
内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。
国家有关法律法规另有规定的,从其规定。
企业应当以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。
【知识拓展】内部控制的局限性:
◇内控再优良也不代表管理者出色;
◇内控再严密也无法阻挡员工串通;
◇给企业做内控就如同给人做养生。
曲突徙薪
◇2005年上海警方成功破获一起侵入超市收银系统、利用软件删除交易记录,侵占台资企业上海乐购超市多家门店397万元巨额营业款的团伙犯罪案,37名犯罪嫌疑人已相继落网。
◆史蒂文·阿伯雷齐特:
企业舞弊的产生是由压力、机会和自我合理化三要素组成。
就像必须同时具备一定热度、燃料、氧气这三要素才能燃烧一样,缺少上述任何一项要素都不可能真正形成企业舞弊。
第二节 企业内部控制应用
企业层面控制
是指对企业控制目标的实现具有重大影响,与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。
企业内部控制应用指引目前规范了五类与内部环境直接相关的有关控制。
包括组织架构、发展战略、人力资源、社会责任和企业文化。
业务层面控制
是指综合运用各种控制手段和方法,针对具体业务和事项实施的控制。
由于企业性质、规模、经营范围和业务特点千差万别,关注多数企业普遍存在的业务控制。
(一)组织架构
组织架构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
1.组织架构设计与运行中的主要风险
(1)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。
(2)内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。
2.组织架构设计环节的关键控制点及控制措施
(1)董事会、监事会和经理层的职责权限、任职条件、议事规则、工作程序等应当根据国家有关法律法规的规定予以明确,企业的决策权、执行权和监督权应当相互分离,形成制衡。
(2)企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。
任何个人不得单独进行决策或者擅自改变集体决策意见。
(3)企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
(4)企业应当按照不相容职务相互分离的要求,对各机构的职能进行科学合理的分解,确定具体岗位的名称、职责和工作要求等,明确各个岗位的权限和相互关系。
组织架构中的不相容职务通常包括:
可行性研究与决策审批;决策审批与执行;执行与监督检查等。
(5)企业应当制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件,使员工了解和掌握组织架构设计及权责分配情况,正确履行职责。
3.组织架构运行环节的关键控制点及控制措施
(1)全面梳理治理结构和内部机构。
前者应当重点关注董事、监事、经理及其他高级管理人员的任职资格和履职情况