企业内部控制基本知识.docx
《企业内部控制基本知识.docx》由会员分享,可在线阅读,更多相关《企业内部控制基本知识.docx(76页珍藏版)》请在冰豆网上搜索。
企业内部控制基本知识
第一讲企业内部控制基本知识
内容提要
一、内部控制的产生和发展
二、我国企业内部控制制度建设的背景
三、我国制定企业内部控制规范体系的基本原则
四、《企业内部控制基本规范》条文讲解
引言
我国内部审计具体准则第5号——内部控制审计定义:
内部控制是指组织内部为实现经营目标,保护资产安全完整,保证遵循国家法律法规,提高组织运营的效率及效果,而采取的各种政策和程序。
我国《独立审计具体准则第9号-内部控制与审计风险》中对内部控制的定义:
内部控制是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。
综合定义:
内部控制是为合理保证单位内部经济活动的有效性、经济信息的可靠性和法律法规的遵循性,而自行检查、制约和调整内部各项活动的自律系统。
现代内部控制理论属于管理学科范畴,产权经济学、系统控制论和现代信息技术是其重要的理论支柱。
一、内部控制的产生和发展
(一)内部牵制阶段人类自有了群体活动,就有了一定的内部控制。
1、内部牵制的萌芽时期
-古埃及人每当将货币存入银库时,首先由记录官在银库外加以记录,然后接受银库出纳官的监察和登记。
-罗马帝国的双人记账制。
2、我国西周时期(公元前1100至前770年),赋财的掌管和使用分离,标志内部牵制制度基本形成
朱熹在评述《周礼理其财之所出》指出“一毫财赋之出入,数人之耳目通焉”。
美国会计史学家迈克尔.查特菲尔德对此给予了高度评价。
3、十五世纪末,借贷记账法在西方得到广泛运用,标志内部牵制走向成熟。
意大利等地商品经济发展,类似银行的贷金业兴起,一部分人出资委托一部分人在海外经营等,使所有者与经营者分离,于是出现了以查错防弊为目的,以职务分离和账目核对为主要作法,以钱、账、物等为主要控制对象的内部牵制。
借贷记账法是当时进行账目核对的一种有效方法。
在现代的内部控制理论中,内部牵制仍占有很重要的地位,并成为现代内部控制理论中有关组织控制、职务分离控制的基础。
(二)内部控制制度阶段
19世纪中叶至20世纪初叶,产业革命相继在英美等国完成,出现了生产社会化,资本大众化的形成,对保护投资者和债权人的经济利益的要求日益强烈,为了提高企业会计资料的可信度和加强各项经济活动的内部管理,企业界和学术界开始了全面企业管理的探索。
(如泰罗制)。
于是,以职务分工和账户核对为主要内容的内部牵制,逐渐演变为由组织结构、职务分离、业务程序、处理手续等因素构成的内部控制制度。
-1936年,美国会计师协会(AIA)首次在文告中使用了内部控制”一词。
-1949年,美国注册会计师协会(AICPA)的审计程序委员会首次对内部控制作出权威定义:
“一个企业为保护资产完整、保证会计数据的正确和可靠、提高经营效率、贯彻管理部门既定决策,所制订的政策、程序、方法和措施。
”按照这个定义,内部控制就突破了财务会计的范围。
-1958年其发布的《独立审计人员评价内部控制的范围》的报告,其中将内部控制分为内部会计控制和内部管理控制,这就是人们所熟知的内部控制制度“二分法”的由来。
-1986年最高审计机关国际组织(INTOSAI)在第12届国际审计会议上发表《总声明》,赋予内部控制新的涵义,即“作为完整的财务和其他控制体系,包括组织结构、方法程序和内部审计。
它是由管理者根据总体目标而建立的,目的在于帮助企业的经营活动合理化,具有经济性、效率性和效果性;保证管理决策的贯彻;维护资产和资源的安全;保证会计记录的准确和完整,并提供及时、可靠的财务和管理信息。
”这个概念相当的宽泛,几乎达到无所不包
的地步。
(三)内部控制结构阶段西方学术界对内部会计控制和内部管理控制进行研究时,逐步发现内部会计控制和内部管
理控制这两者是不可分割、相互联系的。
美国注册会计师协会(AICPA)于1988年发布《审
计准则文告第55号》,以“内部控制结构”取代“内部控制”一词。
内部控制结构的内容:
1、控制环境;2、会计制度;3、控制程序变化:
正式将内部控制环境纳入内部控制范畴;不再区分会计控制和管理控制。
(四)内部控制——整体框架阶段
COSO(TheCommitteeofSponsoringOrganizationoftheTreadwayCommission)是隶属于美国国会的反对虚假财务报告委员会(NCFR)主持发起组织的委员会,是一个通过商业道
德、有效的内部控制和公司治理结构以致力于改善财务报告的美国民间组织。
COSO形成于
1985年,研究导致虚假财务报告的偶发因素,并为上市公司及其独立审计师,为SEC(美国
证券交易委员会)和其他监管机构以及教育机构提供建议。
该委员会由美国五个主要财务职业协会共同主办:
AAA(美国会计学会)、AICPA(美国注册会计师协会)、FEI(财务经理协会)、IIA(内部审计师协会)和NAA(全国会计师协会,现为IMA管理会计师协会)。
它完全独立于各主办组织,代表来自于工业、公共会计、投资公司和NYSE(纽约证券交易所)。
1992年,COSO委员会提出专题报告《内部控制一一整体框架》(1994年进行
了增补)。
COSO委员会指出,内部控制是由企业董事会、经理和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。
提出了内部控制整体框架包括五个要素:
1、控制环境;2、风险评估;3、控制活动;4、信息
与沟通;5、监督。
这标志着内部控制进入了一个新境界,它不仅进一步丰富了控制环境和会计系统的基本内涵,而且形成了特定目标指导下的由五个要素共同构成的一个整体框架:
控制环境为基础,风险评估为依据,控制活动为手段,信息与沟通为载体,监督为保证。
(五)企业风险管理--整体框架阶段2001-2002年,美国相继爆发了安然、施乐、世通等超级大公司的一系列财务丑闻,给
资本市场和投资者信心造成前所未有的打击。
美国毅然出台了著名的法案-《萨班斯--奥
克斯利法案》(PCAOB)。
COSO委员会对企业的内部控制问题进行了系统的研究,他们认为
由于经济环境变化,尤其是市场竞争和不确定性加剧,在原内部控制整体框架下企业的内部控制体系仍具有以三个方面的主要缺陷:
没有明确企业战略与企业内部控制之间的关系,仍将其视为管理工具而非管理本身;没有明确企业应当在综合考虑成本效益的基础之上建立内部控制;它只能为企业经营提供合理的保证。
进而提出了全面风险管理(ERM框架)。
全面风险管理(ERM框架)是一个过程。
这个过程受董事会、管理层和其他人员的影响。
这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。
”ERM
框架有三个维度,第一维是企业的目标;第二维是全面风险管理要素;第三维是企业的各个层级。
第一维企业的目标有四个,即战略目标、经营目标、报告目标和合规目标。
第二维全面风险管理要素有8个,即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。
第三个维度是企业的层级,包括整个企业、各职能部门、各条业务线及下属各子公司。
ERM三个维度的关系是:
全面风险管理的8个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上8个方面进行风
险管理。
二、我国企业内部控制制度建设的背景
内部控制作为公司治理的关键环节和经营管理的重要举措,在企业发展壮大中具有举足轻重的作用。
但从现实情况看,我国许多企业管理松弛、内控弱化、风险频发,资产流失、营私舞弊、损失浪费等问题还比较突出。
为了引导企业进一步加强内部控制,1999年修订的
《会计法》,第一次以法律的形式对建立健全内部控制提出原则要求,财政部随即连续制定发
布了《内部会计控制规范一一基本规范》等7项内部会计控制规范,审计署、国资委、证监
会、银监会、保监会以及上海、深圳证券交易所等也从不同角度对加强内部控制提出明确要求。
多年来,强化内部控制成为理论界和实业界的重要话题,很多企业也初步建立和实施了内部控制制度。
但是,随着市场经济的发展和企业环境的变化,企业面对的市场风险,内部控制的内涵应有所扩展;同时,政府各部门对企业的内控要求也有待于进一步协调,以便为进行内部控制自我评估和外部评价提供统一标准。
各级领导高度重视企业内部控制制度建设。
温家宝总理在十届全国人大四次会议上作《政府工作报告》时强调,要“完善公司治理,健全内控机制”;2004年底和2005年6月,国务
院领导同志连续两次就强化企业内部控制问题作出重要批示,其中,2005年6月,在财政部、
国资委和证监会联合上报的《关于借鉴〈萨班斯法案〉完善我国上市公司内部控制制度的报告》上作出批示,同意“由财政部牵头,联合证监会及国资委,积极研究制定一套完整公认的企业内部控制指引”;2006年7月15日,财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会,许多监管部门、大型企业、行业组织、中介机构、科研院所的领导和专家学者积极参与,为构建我国企业内部控制标准体系提供了组织和机制保障;与此同时,按照科学民主决策精神,公开选聘了86名咨询专家,组织开展了一系列内部控制科研课题,为构建我国内控标准体系提供技术支撑和理论支持。
2008年6月28日,财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范发布会暨首届企业内部控制高层论坛。
会议发布了《企业内部控制基本规范》
(以下简称基本规范),自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。
执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事物所对内部控制的有效性进行审计。
会上并就贯彻实施基本规范作出了部署,对加强企业内部控制进行了深入研讨和经验交流。
财政部副部长王军指出:
基本规范的制定发布和若干配套指引的公开征求意见,是继我国企业会计准则、企业审计准则正式颁布和顺利实施之后,财政、审计、证券监管、银行监管、保险监管和国有资产管理部门以实际行动贯彻落实科学发展观、促进企业和资本市场又好又快发展的又一重大举措。
财政部将会同国务院有关部门着力抓好基本规范的贯彻实施工作。
他强调,下一阶段要重点抓好以下六方面的工作:
一是着力抓好实施准备工作,研究制定具体实施办法,采取有效措施降低企业实施成本,稳步扩大基本规范实施范围;二是着力加强宣传培训,为贯彻实施基本规范营造良好的舆论氛围和社会环境;三是着力健全内控规范体系,逐步建立一套以基本规范为统领,以评价指引、应用指引和内部控制鉴证指引等配套办法为补充的内控标准体系,并不断完善以法制为推动、以企业实施为主体、以政府监管和社会评价为保障、以各方面积极参与为促进的内控实施体系;四是着力巩固科学民主决策机制,充分调动各方面的积极性、主动性和创造性,为建设高质量的内控标准体系提供强大智力支持;五是着力推进内控国际趋同,通过促成我国内部控制标准与国际内部控制框架的趋同乃至等效,为支持我国企业走出去提供积极支持;六是着力发挥体系联动效应,研究分析会计准则、审计准则、内控规范、会计教育与人才评价、信息化建设之间的联动关系,最大限度地发挥整体联动效应,更好地为经济社会可持续发展服务。
三、我国制定企业内部控制规范体系的基本原则
(一)立足国情,实行创新作为企业建立健全内部控制制度的基础依据和基本参照,企业内部控制规范必须与我国企业所处的具体环境相协调,必须与国家有关法律法规相协调,必须与企业经营管理实践相协调。
企业内部控制规范只有扎根于我国经济、社会、法律、文化环境和企业鲜活实践,才能具有强大的生命力,才能发挥应有的积极作用。
同时,经济全球化趋势的不断发展、国际国内两个市场、两种资源的有效利用、“请进来”、“走出去”战略的深入实施,又要求我们必须放眼世界、兼收并蓄,取其所长、为我所用。
因此,只有认真梳理、总结、提炼我国企业经营管理制度和做法经验,科学研究、分析国外内部控制发展动态、框架模式和成熟实践,并在此基础上强化创新意识和超越意识,着力体现中国魅力,才能切合实际,既使我国企业内部控制规范与国际发展潮流保持协调,又能增强我国在内部控制国际协调与趋同中的影响力和话语权。
本着这一原则,我国在起草过程中合理借鉴了以美国COS(报告为代表的国外内部控制框架,并根据我国国情进行了较大调整和改进。
对国外内部控制框架,尤其是COSO!
架的借鉴,主要体现在基本规范中。
基本规范在形式上借鉴了COSC报告5要素框架,同时在内容上体现了风险管理8要素框架的实质。
主要
考虑是:
内控基本框架,好比会计要素一样,都存在国际趋同问题,借鉴国际上较为成熟的内控框架,能够使我们一开始就站在一个较高的起点上,并为我国境外上市公司,特别是在美上市公司符合上市地内控监管要求提供有益参考。
至于是5要素还是8要素,综合考虑,5要素框架相对较成熟、较稳定,包括美国证监会等推荐、参照的框架仍是5要素框架,同时,从长远发展趋势看,也应适当体现8要素框架的先进理念。
在借鉴国外内控框架的同时,我国力求创新并取得点滴成果:
一是内容创新。
基本规范中的5要素框架并未照抄照搬国外的框架,而是根据我国的实际情况作了较大调整,并在内容上大大充实,在表达方式上符合我国法规特点、文化传统和语言习惯,使国外提出的较为宏观、抽象的内控理念转变为了具有针对性、实用性的内控规定。
二是体系创新。
除基本规范之外,目前国家有关部门正在征求意见,起草应用指引、评价指引和内部控制鉴证指引等配套办法,以形成全方位、立体性推进内控体系。
我国的企业内控体系,将是一个层次分明、内容完整、衔接有序、整体互动的有机统一体。
三是机制创新。
我国的内控体系建设任务,是各部门、各方面通力合作、合力推进的,这使得内控问题从立法规范、标准建设、宣传培训、组织实施到监督检查等有一个良好的沟通协作机制,避免了单纯从某一局部、某一方面入手可能造成的局限和被动。
基本规范
应用指引
评价指引
鉴证指引
(应用指引包括组织架构、发展战略、人力资源、企业文化、社会责任、资金、采购、资产、销售、研发、工程项目、全面预算、合同、内部报告、信息系统等内容,正在征求意见过程中)
(二)突出重点,解决问题
经过多年的发展,内部控制涉及的领域已非常广泛,覆盖公司层面、业务层面的几乎所有活动,远远突破原来的内部牵制、会计控制的范围。
但作为由政府部门制定的企业内部控制规范,如果一开始就面面俱到、事无巨细,可能事倍功半,难于操作。
只有选择现阶段企业存在的突出问题和市场经济难以解决的问题加以规定,才能做到重点突出,才能取得突破,
并带动其他方面逐步规范起来。
因此,我国在对有条件的企业根据市场自由竞争的需要建立全面内部控制和全面风险管理的同时,对一般性企业,至少先确保财务报告的真实可靠,并着重就影响财务报告真实可靠的重要业务与事项进行了规范,引导企业建立健全以财务报告内部控制为核心的内控机制。
(三)降低成本,稳步推进
在我国,内部控制虽然不是一个新话题,但毕竟现代意义上的内部控制与先前的内部牵制有着本质区别,特别是我国企业在法制意识、制度基础、风险理念、经营风格等方面与欧美企业还存在较大差异。
把内部控制作为贯穿企业经营管理与风险控制全过程的系统工程来建设,在我国仍处于探索阶段、起步阶段,还需要一个加强引导、深化认识的过程,还需要一个逐步适应、分步实施、不断完善的过程。
因此,企业内部控制规范的制定和有关监管措施的出台,必须考虑企业的接受程度和承受能力,必须考虑企业的实施成本。
我国境外上市公司为达到上市地内控监管要求而付出的巨大成本,以及有关国家对相关内控监管要求的激烈论争,为我们提供了诸多思考和启示。
在调研过程中,许多企业流露出对实施成本偏高、相关专业人才缺乏等问题的担心,也对政出多门、要求不一、企业无所适从表示顾虑。
虽然强化企业内部控制是趋势、是方向、是进步,但难以一蹴而就。
操之过急,可能事与愿违,陷于被动。
在现阶段,应当在宣传普及内部控制先进理念和方法的基础上,先在一部分企业实施企业内部控制规范,逐步成熟后再扩大实施面。
四、《企业内部控制基本规范》条文讲解
《企业内部控制基本规范》共7章50条,包括总则、内部环境、风险评估、控制活动、
信息与沟通、内部监督和附则等内容。
第一章总则
(一)制定宗旨:
为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,
制定依据:
依据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他有关法律法规。
)适用范围:
适用于中华人民共和国境内设立的大中型企业。
小企业和其他单位可以参
照本规范建立与实施内部控制。
大中型企业和小企业的划分标准根据国家有关规定执行。
(三)企业内部控制定义:
本规范所称内部控制,是由企业董事会、证监会、经理层和全
体员工实施的、旨在实现控制目标的过程。
(四)内部控制的目标:
是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
(五)一般原则:
1、全面性;2、重要性;3、制衡性;4、适应性;5、成本效益。
(六)五大要素:
(一)内部环境;
(二)风险评估;(三)控制活动;(四)信息与沟通;(五)内部监督。
(七)实施要求:
1、总要求:
企业应当根据有关法律法规、本规范及其配套方法,制定本企业内部控制制度并组织实施。
2、对内控信息技术手段要求:
企业应当运用信息技术加强内部控制,建立与经营管理
相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自
动控制,减少或消除认为操纵因素。
3、对实施主体内控机制建设的要求:
企业应当根建立内部控制实施的激励约束机制,
将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效
实施。
(八)国家监督职责:
国务院有关部门可以根据法律法规、本规范及其配套办法,明确贯彻实施本规范的具体要求,对企业建立与实施内部控制的情况进行监督检查。
(九)社会监督职责:
接受企业委托从事内部控制审计的会计师事务所,应当根据本规范及其配套办法和相关执业准则,对企业内部控制的有效性进行审计,出具审计报告。
会计师事务所及其签字的从业人员应当发表的内部控制审计意见负责。
为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。
第二章内部环境
(一)企业内部基本职责和权限
1、股东(大)会享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。
2、董事会对股东(大)会负责,依法行使企业的经营决策权。
3、监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。
4、经理层负责组织实施股东(大)会、董事会决议事项,主持企业的生产经营管理工作。
(二)内部控制中各领导层职责:
董事会负责内部控制的建立健全和有效实施,监事会对董事会建立与实施内部控制进行监督、经理层负责组织领导企业内部控制的日常运行。
(三)审计委员会职责:
1、审核企业内部控制及其实施情况,并向董事会作出报告。
2、指导企业内部审计机构的工作,监督检查企业的内部审计制度及其实施情况。
3、处理有关投诉与举报,督促企业建立畅通的投诉与举报途径。
4、审核企业的财务报告及有关信息披露内容。
5、负责内部审计与外部审计之间的沟通协调。
(四)对内设机构的要求:
企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。
企业应当通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。
(五)内部审计机构:
设立专门的内部审计机构的企业,应当保证内部审计机构具有相应的独立性,并配备与履行内部审计职能相适应的人员和工作条件。
未设立内部审计机构的企业,应
当由董事会授权或者企业章程规定的有关机构承担上述职责。
内部审计机构原则上不得置于财会机构的领导之下或者与财会机构合署办公。
内部审计工作的开展。
内部审计机构依照法律规定和企业授权开展审计监督,其工作范围不应受到人为限制。
内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者董事会报告。
内部审计工作人员任职资格。
内部审计人员应当具备内审人员从业资格,拥有与工作职责相匹配的道德操守和专业胜任能力。
(六)人力资源政策:
1、员工的聘用、培训、辞退与辞职;2、员工的薪酬、考核、晋升与奖惩;3、关键岗位员工的强制休假和定期岗位轮换制度;4、掌握国家秘密或重要商业秘密的员工离岗的限制性规定;5、有关人力资源的其他政策。
(七)企业文化:
培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业,开拓创新的团队协作精神,树立现代管理理念,强化风险意识。
董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。
企业员工应当遵守员工行为守则。
认真履行岗位职责。
(八)法制建设:
企业应当加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。
第三章风险评估
(一)设定的控制目标,确定相应的风险承受度。
(二)内部风险因素:
1、董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。
2、组织机构、经营方式、资产管理、业务流程等管理因素。
3、研究开发、技术投入、信息技术运用等自主创新因素。
4、财务状况、经营成果、现金流量等财务因素。
5、其他有关内部风险因素。
(三)外部风险因素:
1、经济形式、产业政策、融资环境、市场竞争、资源供给等经济因素。
2、法律法规、监督要求等法律因素。
3、安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
4、技术进步、工艺改进等科学技术因素。
5、自然灾害、环境状况等自然环境因素。
6、其他有关外部风险因素。
(四)定量分析方法:
对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,将风险评估的整个过程和结果量化。
(五)定性分析方法:
是凭借分析者的经验,或者业界的标准和惯例,为风险管理诸要素(资产价值,威胁的可能性,弱点被利用的容易度,现有控制措施的效力等)的大小或高低程度定性分级,例如“高”、“中”、“低”三级。
定性分析的操作方法包括小组讨论(例如Delphi方法)、检查列表(Checklist)、问卷(Questionnaire)、人员访谈(Interview)、调查(Survey)等。
(六)
升级会员 