企业内部控制操作实务.docx
《企业内部控制操作实务.docx》由会员分享,可在线阅读,更多相关《企业内部控制操作实务.docx(37页珍藏版)》请在冰豆网上搜索。
企业内部控制操作实务
企业内部控制操作实务
目 录
一、内部控制的定义和发展
二、企业内部控制内容的五个要素
三、企业内部控制的应用
四、企业内部控制评价的程序
五、企业内部控制的审计
六、审计委员会在企业中的监察角色
七、内部控制与公司治理
第一节 内部控制的定义和发展
一、内部控制的定义
内部控制是指为确保实现企业目标而实施的程序和政策。
内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。
内部控制和风险管理是出色的公司治理极为重要的组成部分。
出色的公司治理意味着董事会必须对企业的所有风险加以识别和管理。
就风险管理而言,内部控制系统涉及企业财务、运营、遵守法律法规及其他方面。
内部控制系统包括两个因素,分别是内部环境和控制政策与程序。
内部环境:
企业内对于内部控制的态度及内部控制意识,代表整个企业对于内部控制的价值观。
控制政策及程序:
嵌入企业运营中的具体的内部控制。
其设计目的在于,尽可能确保业务行为是有序且有效的。
对内部控制定义的不同认识与分析
(一)COSO委员会对内部控制的定义
COSO是全国虚假财务报告委员会下属的发起人委员会(TheCommitteeofSponsoringOrganizationsofTheNationalCommissionofFraudulentFinancialReporting)的英文缩写。
根据《萨班斯法案》第404节条款以及美国证券交易委员会(SEC)的相应实施标准,要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。
公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:
运营的效益和效率,财务报告的可靠性和遵守适用的法律法规。
(二)美国上市公司会计监督管理委员会对内部控制的定义
所谓财务报告内部控制,是指在企业主要的高级管理人员、主要财务负责人或行使类似职能的人员的监督下设计的一套流程,并由公司的董事会、管理层和其他人批准生效,该流程可以为财务报告的可靠性及根据公认会计原则编制的对外财务报表提供合理保证。
(三)特恩布尔委员会对内部控制的定义
控制的主要组成部分包括为企业的有效运营提供辅助条件,使企业有能力对阻碍目标实现的重大风险作出反应。
此外,内部控制还应能确保对内和对外报告的质量。
而且,内部控制还应能确保法规及企业内部有关业务开展的政策得以遵守。
(四)中国《企业内部控制基本规范》对内部控制的定义
财政部、证监会、审计署、银监会和保监会于2008年6月联合发布的《企业内部控制基本规范》中指出:
内部控制是由企业董事会、证监会、经理层和全体员工实施的、旨在实现控制目标的过程。
内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和结果,促进企业实现发展战略。
【要点提示】从上述的定义中可以看出,内部控制是为确保实现企业目标而实施的程序和政策,包括内部环境和控制政策与程序。
内部控制主要涉及企业财务、运营、遵守法律法规等方面。
典型例题:
【多选题1】下列有关内部控制的概述正确的有( )。
A.就风险管理而言,内部控制系统涉及企业财务、运营、遵守法律法规及其他方面
B.内部控制系统包括两个因素:
内部环境和控制政策与程序
C.只要实施了优良的内部控制系统,企业目标就一定能实现
D.内部控制是一个过程,而非目标
【答案】ABD
【解析】实施内部控制系统能够为实现企业目标提供合理保证。
【多选题2】内部控制关注的方面包括( )。
A.报告及相关信息
B.经营效率和结果
C.遵守法规和法律
D.员工的福利问题
【答案】ABC
【解析】内部控制是指为确保实现企业目标而实施的程序和政策。
就风险管理而言,内部控制系统涉及企业财务、运营、遵守法律法规及其他方面。
【多选题3】一般来讲,内部控制系统包括两个因素,分别是( )。
A.内部环境
B.控制政策与程序
C.控制目标
D.控制结果
【答案】AB
【解析】不同时期和不同组织提出的内部控制,其具体要素存在着一定的差异。
但是如果题目没有明确说明依据,只是泛泛提出内部控制系统的两个要素,则内部控制系统的两个因素分别是内部环境和控制政策与程序。
二、内部控制的演变与发展
(一)内部控制在20世纪80年代的控制理论
美国注册会计师协会于1998年5月发布的《企业准则公告第55号》中,用“内部控制结构”的概念取代了“内部控制制度”。
公告认为内部控制结构由下列三个因素组成:
(1)控制环境
(2)会计制度
(3)控制程序
(二)内部控制在成熟阶段的研究成果
COSO委员会于1992年9月发布了《内部控制——整合框架》,1994年进行了增补,简称《内部控制框架》,即COSO内部控制框架,这份报告堪称内部控制发展史上的里程碑。
COSO内部控制框架将内部控制分为五个相互关联的组成部分:
控制环境、风险评估、控制活动、信息与沟通、监察等。
1.控制环境:
内部审计师协会(TheInstituteofInternalAuditors,IIA)对控制环境的定义是:
“董事会与管理层对待公司内部控制的重要性的态度及采取的行动”。
2.风险评估:
识别和分析影响目标实现的风险(包括与监管和运营环境不断变化有关的风险),以此来确定降低和管理此类风险的依据。
3.控制活动:
确保管理层的决策与指示得以执行的政策和程序。
企业内部各层面均存在控制活动,包括组织控制、职责划分、调节和复核、实物控制、授权和批准、计算和会计、人员控制、监督及管理控制。
4.信息与沟通:
在人员能够履行责任的方式及时间范围内,识别、取得和报告经营、财务与法律遵守的相关信息的有效程序和系统。
5.监察:
持续评估内部控制系统的充分性及表现情况的程序。
COSO的上述定义对内部控制的基本概念提供了一些深入的见解,特别是:
(1)内部控制是一个实现目标的程序及方法,而其本身并非目标;
(2)内部控制只提供合理保证,而非绝对保证;
(3)内部控制要由企业中各级人员实施与配合。
COSO利用一个三维模型(见图)来描述一个机构内的内部控制系统。
该模型在水平方向上分为五层,垂直方向有三个组成部分和跨越第三维的多个椎体。
这种模型的结构是5×3×2,它们彼此之间是相互连接的。
图 COSO内部控制框架
典型例题
【多选题】下列要素包括在COSO内部控制框架中的有( )。
A.控制环境
B.风险评估
C.控制活动
D.信息与沟通
【答案】ABCD
【解析】COSO内部控制框架包括控制环境、风险评估、控制活动、信息与沟通、监察五项内容。
(三)中国内部控制的发展状况及对企业带来的影响
1.中国内部控制的发展
2006年7月,受国务院委托,财政部牵头,由财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会。
许多监管部门、大型企业、行业组织、中介机构、科研院所积极的领导和专家学者积极参与,为构建我国企业内部控制标准体系提供了组织和机制保障。
(1)《企业内部控制基本规范》(简称《内控规范》)
《内控规范》要求企业建立内部控制体系时应符合以下目标:
①合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整;
②提高经营效率和效果;
③促进企业实现发展战略。
《内部规范》借鉴了美国COSO报告为代表的国际内部控制框架,并结合中国国情,要求企业所建立与实施的内部控制,应当包括下列五个要素:
①内部环境
②风险评估
③控制活动
④信息与沟通
⑤内部监督
(2)《企业内部控制配套指引》
包括《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》。
标志着“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体,结构合理、层次分明、衔接有序、方法科学、体系完备”的企业内部控制规范体系建设目标基本建成。
2.《内控规范》对企业的影响
内控规范的发布是中国在公司治理方面的一个重要里程碑,体现了中国经济与全球经济的进一步接轨和整合。
随着中国资本市场的发展与壮大,与之配套的公司治理和监督机制的需求日益增加;而随着中国企业的做大做强,企业对于内、外部的风险需要更系统有力的控制。
一方面,《内控规范》为中国企业建立内部控制体系提供了一个标准的框架,在理念、实施和制度层面为企业提供了基础。
而在另一方面,内部控制作为一个相对较新的课题,为首次系统地建立与实施内部控制的企业提供了新的挑战。
【要点提示】COSO内部控制框架是内部控制发展史上的里程碑。
COSO内部控制框架构成了美国《萨班斯——奥克斯利法案》关于内部控制评估内容的基础,也是中国内部控制框架制定的重要依据。
COSO内部控制框架对企业管理者、审计师和其他人士非常重要,应熟悉该框架的内容。
典型例题:
【多选题】下列各项中,属于建立内部控制时应当符合的目标有( )。
A.合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整
B.识别、评估和控制风险
C.提高经营效率和效果
D.促进企业实现发展战略
【答案】ACD
【解析】内部控制目标包括:
合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整;提高经营效率和效果;促进企业实现发展战略。
选项B识别、评估和控制风险是方式、是手段,而不是内部控制的目标。
第二节 企业内部控制内容的五个要素
我国《内控规范》指出,企业建立与实施有效的内部控制,应当包括下列五个要素
(1)内部环境
(2)风险评估
(3)控制活动
(4)信息与沟通
(5)内部监督
一、内部环境
(一)组织结构
组织结构能够为规划、执行、控制和监督活动提供框架,以实现企业整体目标。
企业在设计组织架构时应遵守四大原则:
(1)建立规范的公司治理结构股东(大)会享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权
董事会对股东(大)会负责、依法行使企业的经营决策权、并按股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序,为董事会科学决策提供支持
监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责
经理层负责组织实施股东(大)会、董事会决议事项、主持企业的生产经营管理工作
【注意】
企业在处理“三重一大”问题上,即
①重大决策;
②重大事项;
③重要人事任免;
④大额资金使用。
应当按照规定的权限和程序实行集体决策审批或者联签制度。
任何个人不得单独进行决策或者擅自改变集体决策意见。
(2)合理设置内部职能机构
合理设置内部职能包括在董事会下设立审计委员会和加强内部审计工作,保证内部审计机关设置、人员配备和工作的独立性。
【补充定义】内部审计:
根据中国内部审计协会的解释,内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
内部审计的范围主要包括财务会计、管理会计和内部控制检查。
机构职责
审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制的自我评价情况,协调内部控制及其他相关事宜等。
审计委员会负责人应具备相应的独立性、良好的职业操守和专业胜任能力
内部审计机关需结合内部审计监督,对企业内部控制的有效性进行监督检查。
监督检查工作中发现任何内部控制缺陷,应按照企业内部审计工作程序进行报告。
如果发现的内部控制缺陷属于重大缺陷,机构有权直接向董事会及其审计委员会、监事会报告
(3)企业应当根据组织结构的设计规范,对现有治理结构和内部机构设置进行全面梳理,确保企业治理结构、内部职能机构设置和运行机制等符合现代企业制度要求。
企业梳理治理结构,应当重点关注董事、监事、经理及其他高级管理人员的任职资格和履行情况,以及董事会、监事会和经理层的运行效果。
(4)加强对子公司的监控,重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重大事项。
(二)权力和责任的分配
权力的分配本质上是指按照工作描述确定责任,根据组织结构图形成责任。
常见问题:
在组织机构的设置及书面说明和规定、未有体现不相容职务相互分离的要求;没有明确清晰的岗位说明书,职责划分不清晰;权力不适当下放等。
企业应当制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或文件,使员工了解和掌握组织架构设计及权责分配情况,正确履行职责。
内部环境的强弱取决于各人员对其将负有多大责任的了解。
(三)管理哲学和经营风格与战略的发展
企业发展战略的重要风险:
缺乏明确的发展战略或发展战略实施不到位,可能导致企业盲目发展,难以形成竞争优势,丧失发展机遇和动力。
发展战略过于激进,脱离企业实际能力或偏离主业,可能导致企业过度扩张,甚至经营失败。
发展战略因主观原因频繁变动,可能导致资源浪费,甚至危及企业的生存和持续发展。
针对以上风险的应对措施(第二号指引):
1.要求企业在董事会下设立战略委员会,或指定相关机构负责发展战略管理工作,履行相应职责。
2.进行充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标。
3.战略规划应根据企业的发展目标制定,明确发展的阶段性和发展程度,确定每个发展阶段的具体目标、工作任务和实施路径。
4.在宏观环境发生重大变化时,企业应按照规定权限和程序调整发展战略。
5.要求董事会严格审议战略委员会提交的发展战略方案,重点关注其全局性、长期性和可行性。
(四)人力资源政策和实务
人力资源缺乏或过剩、结构不合理、开发机制不健全,可能导致企业发展战略难以实现。
人力资源激励约束制度不合理、关键岗位人员管理不完善,可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。
人力资源退出机制不当,可能导致企业面临法律诉讼或企业声誉受损。
人力资源政策和实务可在多方面实践:
(1)招聘和雇佣
(2)新员工的试用期和岗前培训制
(3)建立员工培训长效机制、提升员工素质
(4)绩效评估
(5)辞职、解除劳动合同、退休等
(五)企业文化与沟通
缺乏积极向上的企业文化,可能导致员工丧失对企业的信心和认同感,企业缺乏凝聚力和竞争力;
缺乏开拓创新、团队协作和风险意识,可能导致企业发展目标难以实现,影响可持续发展;
缺乏诚实守信的经营理念,可能导致舞弊事件的发生,造成企业损失,影响企业信誉;
如果在企业并购重组时,忽视企业间的文化差异和理念冲突,可能导致并购重组失败。
企业在建设文化环境时可考虑以下几方面:
(1)积极培育具有自身特色的企业文化
(2)重视并购重组后的企业文化建设
(3)要求高级管理人员在企业文化建设中发挥主导和垂范作用
(4)加强企业文化的宣传贯彻,有效沟通,共同遵守,融入生产经营全过程
(六)社会责任
安全生产措施不到位,责任不落实,可能导致企业发生安全事故。
产品质量低劣,侵害消费者利益,可能导致企业巨额赔偿、形象受损,甚至破产。
环境保护投入不足,资源耗费大,造成环境污染或资源枯竭,可能导致企业巨额赔偿、缺乏发展后劲,甚至停业。
促进就业和员工权益保护不够,可能导致员工积极性受挫,影响企业发展和社会稳定。
企业可通过完善以下业务层面以实现社会责任:
1.安全生产;
①建章建制,即用于监督管理控制
②加大在人力、物力、资金、技术等方面的投入
③加强安全教育
④实施预警报告及在重大生产安全事故时立刻启动应急机制
2.产品质量;
3.环境保护与资源节约;
4.促进就业,依法保护员工的合法权益;
5.重视产学研用结合、公益事业、慈善事业等。
典型例题:
【单选题】在我国的内部控制框架中,作为其他要素基础的是( )。
A.内部环境
B.风险评估
C.控制活动
D.监察
【答案】A
【解析】内部环境是企业实施内部控制的基础,其他内部控制因素的根基。
【多选题】下列属于内部环境建设内容的有( )
A.授权审批
B.信息传递
C.组织结构
D.社会责任
【答案】CD
【解析】内部环境涉及组织结构、权力和责任的分配、管理哲学和经营风格与战略的发展、人力资源政策和实务、企业文化与沟通、社会责任等六大方面。
二、风险评估
企业内部风险包括:
(1)人力资源因素;
(2)管理因素;
(3)自主创新因素;
(4)财务因素;
(5)安全环保因素。
内部控制架构中,风险评估程序:
(1)采用定性与定量相结合的方法,评估风险发生的可能性或频率,以及其为企业带来的影响程度;
(2)对识别的风险进行分析和排序。
典型例题:
【多选题】下列有关风险评估说法不正确的是( )。
A.风险评估一定是正规的量化风险评估程序
B.风险评估是一个具有前瞻性的过程
C.管理层在内部控制的整体评估中位置较轻
D.风险评估首先是要评估风险发生的可能性或概率
【答案】ACD
【解析】风险评估可能是正规的量化风险评估程序,也可能是不太正规的方法;管理层是内部控制整体评估的重要一环;风险评估的第一步是估计风险的重要性。
ACD不正确。
【单选题】风险评估的最佳时机应该是( )。
A.制定年度计划或定期计划的过程
B.具体执行过程中
C.年度预算编制时
D.业绩考核时
【答案】A
【解析】制定年度计划或定期计划的过程是风险评估的最佳时机。
三、控制活动
控制活动包括多种政策和程序,有助于确保所需的行动得以有效且适时地执行,处理风险以实现企业目标所需要的行动得以实施。
控制活动可分为运营、财务报告及合规三个类别,但它们之间有时可能会出现重叠。
控制活动的类型:
命令式控制为雇员提供指南
预防性控制设计活动旨在防止发生不希望出现的事情
侦察式控制在不希望出现的事情发生时能够加以识别
纠正性控制当不希望出现的事情发生时,应识别程序的缺陷,并主动采取措施加以解决问题
常见的内部控制活动包括:
(一)不相容职务分离控制
要求企业全面系统性分析、梳理业务流程中的不相容职务,防止具有欺骗性的活动发生或未被查出。
在有效的公司治理层面上,应防止一个人取得董事会的支配地位。
在企业中如果某些职位尚未或无法分离,应由管理层进行详细的监察审核,作为一种补偿性控制。
(二)授权审批控制
企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
(三)会计系统控制
企业严格执行我国统一的会计准则制度、明确会计凭证、会计账簿和财务会计报告的处理程序。
(四)调节和复核
调节,是指雇员将不同数据连接在一起,识别并找出差异,并且在必要时采取纠正措施。
业绩复核,是指管理层将当前的业绩与预算、以前期间或其他基准相比较,以此反映目标的完成情况。
应对其中的差异进行调查,以确定哪些纠正行动是必要的。
(五)财产保护控制
保护实物资产不被偷盗或未经许可而获得及被使用的措施和程序,包括建立财产日常管理制度和定期清查制度。
(六)预算控制
明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
(七)营运分析控制
企业应建立营运分析制度,管理层可综合运用生产、投资、筹资、财务等方面信息,通过不同种类方法,对营运情况进行分析,发现存在的问题,及时查明及改进。
(八)绩效考评控制
对企业内部各责任单位和全体员工的绩效进行定期考核和客观评价,将考评结果作为确定员工薪酬以及晋升、评优等依据。
【补充资料】日常业务中不相容职务分离控制分离原则不相容职务
不得由一人办理货币资金业务的全过程
(1)会计职务与出纳职务分离,出纳人员不得兼任稽核、会计档案保管和收入、支出、费用、债权、债务账目的登记工作;
(2)会计职务与审计职务分离;
(3)支票保管职务与印章保管职务分离;
(4)支票审核职务与支票签发职务分离,支票签发职务由出纳担任,其他会计人员不得兼任;
(5)银行印鉴保管职务、企业财务章保管职务、人名章保管职务分离,不得由一人保管支付款项所需的全部印章
不得由同一部门或个人办理合同业务的全过程
(1)合同签署(或委托签署)职务与条款订立职务分离;
(2)条款订立职务与法律顾问职务分离;
(3)合同谈判职务与合同定价职务分离;
(4)合同履行职务与收付款职务分离;
(5)合同审计职务与上述职务分离
不得由同一部门或个人办理固定资产采购业务的全过程
(1)批准采购业务与采购经办职务分离;
(2)询价定价职务与确定供应商职务分离;
(3)采购职务与验收职务分离;
(4)付款审批职务与付款执行职务分离;
(5)采购职务、入库登记职务、会计记录职务分离
不得由同一部门或个人办理投资业务的全过程
(1)投资计划的编制职务与投资审批的职务分离;
(2)投资业务的操作职务与会计记录职务分离;
(3)有价证券的保管职务与会计记录职务分离;
(4)投资股利、利息的经办职务与会计核算职务分离
直系亲属“回避”
(1)企业领导人的直系亲属不得担任本企业的会计机构负责人、会计主管职务;
(2)会计机构负责人、会计主管人员的直系亲属不得在本企业会计机构中担任出纳职务;
(3)纪委委员的直系亲属不得担任本企业或下属企业的主要领导人职务
典型例题:
【单选题】在我国内部控制框架中,控制活动的类别可分为( )。
A.运营、财务报告及合规三个类别
B.运营、信息及合规三个类别
C.信息、财务报告及监察三个类别
D.运营、信息及监察三个类别
【答案】A
【解析】控制活动可分为运营、财务报告及合规三个类别。
【单选题】下列属于预防性控制的是( )。
A.每月末给债务单位寄发对账单
B.为机加工人员制定操作业务规范守则
C.复核毛利率的合理性
D.如果没有付款,办理发货业务时,计算机系统会提示并记录,终止业务
【答案】D
【解析】选项B为命令式控制,命令式的控制可为雇员提供指南;选项D属于预防性控制,预防性控制旨在防止发生不希望出现的事情;选项A和C属于侦察式控制,侦察式控制旨在不希望出现的事情发生时能够加以识别;纠正性控制指当不希望出现的事情发生时,应识别程序的缺陷,并主动采取措施加以解决问题。
【单选题】某企业由于规模较小,人员紧张,因此存在一定程度的职务模糊,为了降低风险,公司经理对无法实现职务分离的岗位内容