企业内部控制基本规范及三个指引企业内部控制评价指引.docx
《企业内部控制基本规范及三个指引企业内部控制评价指引.docx》由会员分享,可在线阅读,更多相关《企业内部控制基本规范及三个指引企业内部控制评价指引.docx(21页珍藏版)》请在冰豆网上搜索。
企业内部控制基本规范及三个指引企业内部控制评价指引
一、内部控制评价产生的历程:
1978年,美国柯恩委员会(CohenCommission)就建议企业管理当局在披露财务报告时,提交一份关于内部控制系统的评价报告,说明管理当局对公司会计系统及其控制的评估,包括对控制系统固有限制及公司对独立注册会计师认定的重大缺陷做出反应的描述,并要求独立注册会计师对该报告进行证明。
1987年,全美反舞弊财务报告委员会在其报告中也提出了类似的建议,虽然全美反舞弊财务报告委员会未对内部控制提出结论,但其报告立刻引起了广泛的反应。
1992年在《内部控制——整体框架》中提出了内部控制报告的框架。
美国柯恩委员会(Cohen)报告、全美反舞弊财务报告委员会报告、COSO报告均认为,内部控制报告应着重说明控制系统的有效性。
在1979年和1998年,美国证券交易委员会(SEC)分别提议强制要求提供内部控制报告。
1989年,美国政府审计署(GAO)也曾提议在存贷机构紧急援助议案中,应规定管理当局和审计人员报告内部控制,但都没有形成最终议案。
2001年以来,美国安然、世通等许多著名公司暴露出的一系列财务舞弊问题引起了社会公众的关注,严重影响了公众对公司会计实务、财务报告的信心以及投资者的信心,迫于这种压力和形势。
2002年7月,美国国会通过并颁布了SOX法案,致力于治理财务丑闻和财务报告中可能出现的问题,目的是为了恢复公众对公司会计实务和财务报告的信心。
SOX法案结合公司的财务报告全面提高了对上市公司内部控制的要求,把过去的很多自愿和选择性做法变成了法定的、强制性的要求,其中302节和404节尤为具体,对内部控制的评价和报告进行了明确的规定和要求。
美国上市公司内部控制的评价和报告体系应当包括:
公司管理层对财务报告内部控制的有效性进行评价,对内向审计委员会报告,对外发布公开报告;注册会计师对财务报告内部控制进行的审计,对管理层财务报告内部控制有效性评价发表鉴证意见以及对公司财务报告内部控制的有效性发表意见等两个方面。
二、管理层对财务报告内部控制评价
(一)管理层对财务报告内部控制评价标准
管理层断定公司财务报告内部控制有效的限度:
如果管理层识别出公司财务报告内部控制中的一个或多个重要弱点,管理层就不能确定公司的财务报告内部控制是有效的。
管理层的报告必须包含对管理层在评价过程中确定的公司财务报告内部控制中所有重要弱点的披露。
(二)管理层对财务报告内部控制评价内容和方法:
对公司财务报告内部控制的评估必须根据既能评价内部控制的设计又能测试内部控制运行有效性的程序进行。
要受到这种评价的控制包括但不限于:
1.对发起交易、记录、处理和调节账户余额、交易分类和披露以及财务报告中包含的相关认定的控制;2.与非常规和非系统交易的动机和处理相关的控制;3.与适当会计政策的选择和应用相关的控制;4.与防止、识别和发现舞弊相关的控制。
(三)公司在实践评价并形成有关财务报告内部控制有效性的评价结论时,要求保存证据,为管理层对财务报告内部控制有效性的评价结论提供合理的支持。
这些证据可以证明:
1.对内部控制是用来防止或发现重要错报或遗漏的评价;2.对测试进行了适当的规划和实施;3.测试的结果得到了适当考虑。
(四)为什么要进行内部控制的自我评价:
内部控制自我评价提倡的是以研讨会的方式让全体员工参与内部控制的建设。
不仅有助于降低成本,而且符合人本管理的理念。
因此,内部控制自我评价对企业的重要性不言而喻。
《企业内部控制基本规范》第二章内部环境中要求审计委员会负责“审查企业内部控制,监督内部控制的有效实施和自我评价情况”,内部控制自我评价的现实意义是什么?
如何具体实施内部控制自我评价等问题是每个企业应该关注的重要问题。
(五)内部控制自我评价的概述:
《企业内部控制规范-基本规范》所称的内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
某公司的内部控制评价办法是这样定义的,“内部控制评价是指对内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。
”
建议将内部控制运行结果评价修改为对内部控制运行过程评价。
企业内部控制的“控制自我评估”,是指每个企业不定期或定期地对自己的内部控制系统进行评估,评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。
其基本的特征是:
1)关注业务的过程和控制的成效;2)由管理部门和职员共同进行;3)用结构化的方法开展评估活动。
“控制自我评估”是为提高组织内部控制的自我意识所做的努力,这种活动经常以研讨会的形式进行。
目的:
是使人们了解哪里存在缺陷以及可能引致的后果,然后让他们自己采取行动改进这种状况,而不是坐等内部审计人员站出来。
研究表明,实施“控制自我评估”的方法对于一个企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等有着积极的作用。
内部控制自我评价是指公司管理层和员工共同在公司内部为实现目标、控制风险,而进行的内部控制系统的有效性和恰当性实施的自我评价方法。
有效的内部控制自我评价是一个对内部控制效果的监督和测试的持续过程。
(六)内部控制自我评价工作开展
评价工作必须获得公司所有阶层/级别支持,通常要成立并维持强而有效的指导委员会,对其成员要进行持续的培训以确保其胜任水平,要大力加强指导委员会的权力以确保政令的畅通,可以先以某些部门、业务单元作为试点,及时总结经验,使方案得到完善,然后大面积推开。
评估、汇报及持续改善是确保效益的重要元素。
对涉及内控评价的各个方面,必须清楚界定各角色职责并传达到位,
有效沟通必不可少,不仅包括公司内部与管理层的沟通,公司内部各个部门之间的沟通,还包括与独立审计师沟通,了解双方的项目范围及工作方式,对项目的重要、潜在的问题及时交流。
及早将注意力集中到关键的问题,关注与财务报表有联系的事项以及有可能导致重大错误的流程及其影响范围。
另外,要建立相应的内控评价工作制度,并指定特定机构、人员负责并监督制度的贯彻实施;安排适当培训,加强有关人员对内部控制的认识与控制负责人的责任意识,确保知识与技术的传递;要学会利用适当的工具,以确保内控评价工作系统有效地进行;合理的项目组织与管理,明确项目的主导部门,与各部门的合作与协调方法,对项目进度的监控及形成定期的工作结果报告渠道。
注意文档记录。
由于内控评价的过程都要留下文档记录,作为所做工作的证据,以便日后外部审计人员的审核评价以及明确责任,对所做评价的记录必须十分谨慎。
尤其要注意避免在缺少对风险进行有效评估的情况下记录内控缺陷。
对于需要按照监管要求实施内部控制评价的企业,为了在有限的时间内富有成效地完成大量相关工作,高级管理层需要对该工作给予足够的重视,必须十分清楚有关的内控规范要求以及监管部门的具体部署。
企业应当根据评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
企业董事会应当对内部控制评价报告的真实性负责。
三、企业内部控制评价指引的讲解
第一节 框架概述
《企业内部控制评价指引》分为5章27条,从内部控制评价的各个方面阐述了其具体内容:
(一)第一章总则(第1~4条)。
说明内部控制评价指引制定的依据、定义、遵循的原则等方面。
第1条,说明内部控制评价指引出台的目的和依据,主要的依据为《企业内部控制基本规范》。
第2条,指出内部控制评价的定义,内部控制评价是针对内部控制有效性的评价、报告过程。
第3条,说明企业实施内部控制评价应遵循的原则。
即全面性原则、重要性原则和客观性原则。
第4条,指明企业依据内部控制评价指引应当履行的职责,并明确企业董事会应当对内部控制评价报告的真实性负责。
(二)第二章内部控制评价的内容(第5~11条)。
首先明确内部控制评价的内容是与五要素(内部环境、风险评估、控制活动、信息与沟通、内部监督)相联系的,然后分别阐述了对该五要素进行评价时,应当遵循的依据和要求,最后指明内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容。
(三)第三章内部控制评价的程序(第12~15条)。
第12条,内部控制评价工作开展的程序。
程序:
制定评价方案→组成评价工作组→实施现场测试→认定控制缺陷→汇总评价结果→编制评价报告
第13条,明确拟订的评价工作方案要报经董事会或其授权机构审批后实施。
第14条,评价工作组的成员及回避事项。
第15条,内部控制评估和测试的方法。
包括个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法。
(四)第四章内部控制缺陷认定(第16~19条)。
第16~17条,内部控制缺陷的分析、判断因素和程度的划分。
内部控制的缺陷一般划分为设计缺陷和运行缺陷。
内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。
第18条,内部控制评价工作的质量交叉复核。
第19条,对内部控制评价工作中发现的内部控制缺陷进行分析,并报告相关部门。
重大缺陷应当由董事会予以最终认定。
(五)第五章内部控制评价报告(第20~27条)。
第20~21条,内部控制评价报告应分别就五要素进行设计,并就相关内容作出披露。
第22条,内部控制评价报告中至少应当披露的内容。
第23~26,内部控制评价报告报送部门、报告基准日及报送时限。
第27条,建立内部控制评价工作档案管理制度。
第二节 重要条款解读
一、内部控制评价概述
内部控制评价是企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求,结合企业实际情况,对战略目标、经营管理效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。
(一)内部控制评价的目标
企业内部控制评价的目标是通过对企业内部控制体系的健全性、合理性和有效性的评价,促使企业切实加强内部控制体系的建设并认真执行,并保证内部控制体系得以持续、有效的改进。
1.强化内部控制意识,建立健全内部控制机制,严格落实各项控制措施,确保内部控制体系有效运行。
2.提高风险管理水平,为实现企业发展战略和经营目标提供保障。
3.增强企业业务、财务和管理信息的真实性、完整性和及时性。
4.保障企业资产的安全和完整。
5.确保企业各项活动的合法合规性。
6.为企业的风险管理提供信息服务和决策支持。
内部控制的目标:
1)提高企业运营的效果和效率。
2)财务报告的可靠性和完整性。
3)法律法规和合同的遵循性。
(二)内部控制评价的原则
在《企业内部控制评价指引》中规定:
企业实施内部控制评价,应当遵循下列原则:
1.全面性原则。
评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
企业内部控制是否完整是评价标准中首要的一条,同时又是基础。
若内部控制的完整性都达不到,则内部控制的合理性与有效性就无从谈起了。
2.重要性原则。
评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
客观的评价内部控制,及时发现问题,及时予以更正,以使企业良好发展下去。
3.客观性原则。
评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
在对某一企业评价其内部控制的适用性时,要注意控制点的设置是否合理,有没有安排过多或不必要的控制点;在每一个需要控制的地方是否都建立了控制环节;控制职能是否划分清楚;人员间的分工和牵制是否恰当,既不能分工过细,又能起到相互牵制的作用。
同时,内部控制的适用性要以经济性为限制条件。
企业设置内部控制切忌照抄照搬,因此应当考虑企业内控设计和执行时的适应性和经济性。
因为,企业所处行业、组织规模、交易性质、经济技术条件、人员素质等方面存在着很大的差异,不同的企业就应当根据其不同的特点设置内部控制制度。
(三)内部控制评价的组织机构
企业内部控制评价是一项难度非常大的工作,需要强有力的组织保障。
应该是企业最高级次的组织和人员进行总体负责。
董事会下设审计委员会,在行政系统——经营管理系统设置审计机构;审计委员会成员由董事长、非执行董事、总审计长和非公司董事(外聘)等组成。
二、内部控制评价的内容
具体内容由内部控制要素评价标准和作业层级评价标准两部分组成,其中要素评价标准可分为5个方面,即控制环境、风险评估、控制活动、信息与沟通、监督;作业层级评价标准因其繁琐复杂,难以穷尽,如以生产性企业为例进行框架构建,可分为5个业务循环,即销售业务循环、购货业务循环、生产业务循环、薪金业务循环和理财业务循环。
在内部控制评价的具体标准中,要素评价标准以作业层级评价标准为基础。
(一)内部控制五要素的评价
《企业内部控制基本规范》颁布后,企业内部控制评价有了统一的标准,企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。
1.内部环境的评价。
企业控制环境。
控制环境设定了一个组织的基调,影响其员工的控制意识。
企业控制环境决定其他控制要素能否发挥作用,是内部控制其他控制要素发挥作用的基础,直接影响到企业内部控制的贯彻和执行以及企业内部控制目标的实现,是企业内部控制的核心。
任何新生事物的成长,都要有与之适应的土壤。
我国大多数企业的公司治理结构不合理,鉴于一股独大现象的严重性和普遍性,使得公司董事会、监事会以及独立董事制度的作用发挥非常有限,审计委员会和内审部门的监管职能也无法正常行使,究其原因,中国设立监事会和建立独立董事制度,是基于上市公司的要求,从形式上满足规定,但是从《公司法》中对于监事会成员的要求可以看出,监事会成员与董事会成员的身份和地位是比较悬殊的,他们是依附于董事会和CEO的,因此很难发挥其应有的作用,如果监事会不对董事会的行为提出反对意见的时候,它还会成为董事会的保护伞。
企业组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
2.风险评估的评价。
企业组织开展风险评估机制评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
企业风险。
企业管理层应对影响企业目标实现的内、外部各种风险进行分析,考虑其可能性和影响程度,制定必要的对策。
在对企业风险防范作测评时,应重点关注企业是否建立完整的风险评估体系,是否建立审计委员和风险管理部门,是否对经营风险、财务风险、市场风险、政策法规风险和道德风险等进行持续监控;是否对已发现的企业各类风险有控制措施,如内控制度执行情况的检查和监督,以及相关制度是否向子公司延伸,以确保子公司的经营安全。
同时,还要关注对相关业务项目及已知风险点是否进行定期检查评估、提示及完善,如在日常经营风险管理中对“重大采购二次询价”、建立“不合格供应黑名单”是否有实时监控。
是否对客户建立资信信息档案、是否定期梳理与公司发展战略不符的业务或项目等等。
内部审计关注风险识别的充分性;风险分析的恰当性;风险应对策略的充分性、有效性。
首先,应对企业的固有风险进行评估。
确定对固有风险的风险反应模式才能够确定对固有风险的管理措施。
其次,管理者应在对固有风险采取有关管理措施的基础上,对企业的残存风险进行评估。
对风险影响的分析则可采用简单算术平均数、最差的情形下的估计值或事项的分布等技术来分析企业风险评估的方法,分为定量分析和定性分析两种。
企业无须对所有的风险采用同样一种评估方法,可根据不同的风险目标确定相应的风险评估方法,达到成本最低情况下的效益最大化目的。
(1)风险发生的概率很低,损失程度也很小。
(2)风险发生的概率很高,但损失程度很小。
(3)风险发生的概率很低,但造成的损失很大。
(4)风险发生的概率很高,造成的损失也很大。
风险评估与舞弊行为:
随着经济的发展和外部环境的复杂化,企业面临的风险也越来越大,而风险评估是提高企业内部控制效率和效果的关键,因此对企业面临的风险进行合理的评估是很有必要的。
风险评估是一个动态的过程,主要分为三个步骤:
第一,估计风险的严重程度;第二,评估风险发生的可能性(或频率);第三,考虑应如何管理风险。
可见,通过风险评估过程,可以及时发现企业经营过程中风险高发点和财务报表存在重大错报和漏报的可能性。
以医院为例阐述风险评估方面的评价:
为避免管理风险,要求每个项目均进行预决算审计。
我们审计了:
车库改造工程、1号楼安保监控系统改造工程、1号楼消防系统改造工程、1号楼11层净化手术部净化系统及设备管理维护、拆除及修补工程。
对工程、设备维修审计,我们关注合同保修期,承包与分包的执行力。
如:
2009年4月7日,按院部要求审计科对《1号楼11层净化手术部净化系统及设备管理维护合同》进行内部审计调查。
基本情况:
医院的1号楼11层洁净手术室安装工程是上海某洁净工程有限公司施工的。
2008年竣工投入使用。
工程最后审定价约为1,648,085.00元(区财政局提供数据)。
2009年3月份科室提出该净化系统及设备需要进行管理维修,医院与该公司暂签了1个2年期的“维护”合同,合同价款(人民币大写)暂定贰拾肆万元整(240,000.00元)。
调查说明:
我们从后保科处得到了该系统的原“工程分包施工合同”的复印件。
合同为三方合同,即总包单位某建设工程发展有限公司,分包单位某洁净工程有限公司,建设单位是我们医院。
工程分包项目基本情况明确反映,本专业分包合同保修期为2年。
2009年科室提出该净化系统及设备需要进行管理维修属于合同保修期范围内,正常维护。
调查建议:
医院(目前)无需与上海某洁净工程有限公司签订“维护合同”。
2008年竣工的项目2年的维修期,应执行合同约定。
认真阅读合同,可以避免医院成本重复支出。
医院在收入一定的情况下,履行减少支出的职责,有利于医院发展。
医院的风险评估是提供符合公认会计原则的财务报告有关风险的确认、分析和管理。
风险评估过程必须判明医院完成既定的目标存在的外部风险,分析各风险的类型和程度,为风险管理提供依据。
医院管理层应制订计划、程序或行动来避免具体风险。
3.控制活动的评价。
企业组织开展控制活动评价,应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。
企业控制活动。
企业管理层为确保风险对策有效执行和落实,所采取的措施和程序,主要包括批准、授权、验证、协调、复核、定期盘点、记录核对、财产的保护、职责的分离、绩效考核等内容。
控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。
控制措施一般包括:
不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
控制措施的实施就形成了内部控制制度,这是内部审计评价的重要内容。
评价不相容职务分离控制的实施,内部审计应当系统分析业务流程中的控制点;评价授权审批控制的实施,内部审计对企业编制的常规授权权限指引进行审查;内部审计通过对财产的记录、盘点资料、报表等定期或不定期的进行重点抽查,审查相关手续、记录是否完整,账务处理是否及时正确来评价企业财产保护措施实施情况;关注企业预算控制的有效性,一方面是预算编制的可行性、准确性,另一方面是可行准确的预算得到了切实的执行;评价营运情况,分析制度的有效运行,关注其是否能合理分析企业获取的各类信息,改善企业运营状况,将风险控制在可承受度之内;内部审计要关注企业是否建立科学有效的绩效考评制度,是否以考评结果为依据决定企业员工的岗位安排。
在对企业控制活动测试时,要重点审核组织机构方面采取的控制活动。
在组织结构方面重点审核:
机构、岗位及职责权限是否合理设置和分工,不相容职务是否相互分离,是否成立相关法律事务部门和职能,对采购与验收等环节是否设置相互监督制度,做到人员分离。
针对信息系统设置相应的控制环节和程序。
控制活动是管理者为了确保管理指令能够得以有效实施而制定的各项政策和程序。
政策是控制活动应遵循的原则,程序是具体的控制活动。
我国存在着授权不足的现象,这样容易出现侵权行为,使得管理层逾越到内部控制之上,从而导致舞弊行为的发生。
此外,如控制活动设计不合理、缺乏完整有效执行的规章制度,企业的各项政策和程序就难以发挥有效作用,也可能会给有舞弊动机的人以可乘之机。
以医院为例阐述控制活动的评价:
对医院中心实验室的审计工作。
医院中心实验室成立于2000年,成立初期院部并没有“建账立制”的要求,在规范流程上有一些欠缺之处。
而实验室从成立开始就自发地建立了自己的“台帐”,同时对一些“合同协议”用自己的方式方法进行管理。
几年后实验室又成立了“药物临床试验机构”,同时科室每年都有自己的课题与科研经费。
经过对中心实验室基金、药物临床试验基金和课题经费的审计,发现主要存在以下薄弱环节:
财务科没有分项目核算每项“基金”,造成基金的收、付、存“统账”;“统账制”核算,财务监督管理比较薄弱,合同协议档案保管不规范。
具体表现在中心实验室基金使用方面:
财务科账务处理记录“其他应付款”,不分具体项目核算。
使用临床试验基金方面:
财务方面不够规范,会计科目“专用基金-科研基金-药物临床试验经费-中心实验室”设置欠规范。
表现为项目基金实行“流水账”核算,各项目没有建立对应核算关系,不能反映各项目基金的取得、使用、结余。
随着年份的增加,分类分项目比较困难,财务科监控力度渐显弱化,不便于检查、考核、细化账务管理。
档案管理欠规范:
多年的项目协议与合同均有中心实验室科室自己保管,审计核对协议或合同缺乏核对资料。
不符合“档案管理登记试行办法”的有关规定。
合同或协议没有明确编号,历年的合同或协议“对应”区分比较困难。
科研基金的使用:
课题经费“统账”核算,分类分项困难。
分析其原因科室反映主要是一些预实验项目或已立项尚未批准的科研项目启动基金无法落实。
(二)内部审计开展内部控制评价的途径
4.信息与沟通的评价。
企业开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本企业的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的
升级会员 