搜索
企业内部控制配套指引20讲第19讲山东财政学院主讲:教授硕士导师赵英林进入21世纪后,美国的安然、世通、朗讯等公司相继爆出丑闻,震惊整个世界,投资人对上市公司的财务报告出现空前的信任危机。美国国会立即出台《萨班斯法案》(简称SOX法案),法案的404条款要求证券委员会出台相关规定:1.公司的CEO/CFO应当对内部控制有效性进行保证,明示责任,并向股东在年度终了出具评价报告,公开披露;2.聘请审计师审计内部控制报告,审计师要确保审计的真实有效。我国上市公司琼民源、银广夏、中关村、ST宏光等等,也相继爆出的会计管理舞弊问题,其中绝大多数都与管理不善、内部控制缺失直接相关。因此,国家财政部、国资委、证监会、审计署、银监会和保监会联合发起成立企业内部控制标准委员会。准备制定企业内部控制标准,确保财务报告真实可靠。2006年,11月8日,企业内部控制标准委员会发布了《企业内部控制规范—基本规范》和17个具体规范的征求意见稿。2008年6月28日,财政部、证监会、审计署、银监会、保监会五部委联合发布了我国首部《企业内部控制基本规范》,原定于2009年7月1日起首先在上市公司范围内实施,后因世界性金融危机影响又暂定于2010年实施,再发布一系列内部控制指引。2010年4月15日中华人民共和国财政部、证监会、审计署、银监会、保监会五部门又联合发布(财会〔2010〕11号)文件,通知印发《企业内部控制应用指引-第1号组织架构》等18项应用指引、《企业内部控制评价指引》、《企业内部控制审计指引》(简称为企业内部控制配套指引)。我今天讲的就是《企业内部控制评价指引》。指引要求企业年终(12.31)必须编制内部控制评价报告,这是董事会的责任,内部控制是企业财务报告真实、可信的保障。并经注册会计师事务所审计鉴证,出具鉴证报告,4月30日前披露。第十九讲:企业内部控制评价指引内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价,形成评价结论,出具评价报告的过程。在这一讲,我主要讲述5个大问题,即:1.框架概述;2.内部控制评价概述;3.内部控制评价原则和内容;4.内部控制评价的程序和方法;5.内部控制评价报告。一、框架概述财政部颁发的《企业内部控制评价指引》分为5章27条,从内部控制评价的各个方面阐述了其具体内容,具体框架如下:第一章总则(第1~4条)1.内部控制评价指引出台的目的和依据,主要的依据是《企业内部控制基本规范》。2.内部控制评价的定义和要求.3.内部控制评价的原则:全面性、重要性、独立性。4.企业要对内部控制实施进行评价,强调企业的负责人对内部控制评价结论的真实性负责。第二章内部控制评价内容(第5~11条)1.内部控制评价应重点关注的内容。2.风险评估作为评价重点。3.应用指引应作为评价的依据。4.对企业信息开展与沟通、对内部控制的监督作出评价。5.内部控制评价活动的负责机构,主要为企业内部审计结构,也可以借助外部中介机构和专家的能力.6.内部控制评价要建立工作底稿。第三章内部控制评价的程序(第12~15条)1.内部控制评价一般程序。2.拟定工作方案。3.内部控制评价方法:个别访谈、调查问卷、专题讨论、穿行测试、统计抽样、比较分析等。第四章内部控制缺陷认定(第16-19条)1.内部控制缺陷的划分:按其严重程度分为重大缺陷、重要缺陷和一般缺陷。2.内部控制评价工作组的工作要求。3.编制内部控制缺陷汇总表。4.重大缺陷由董事会最终认定.5.重大缺陷要采取应对措施,并追究责任。第五章内部控制评价报告(第20~27条)1.内部控制评价报告的格式、内容。2.内部控制评价报告的审批机构:企业经理层审核、董事会审定。3.内部控制评价报告的基准日及报出日:以12月31日或6月30为基准日。内部控制评价报告应于基准日后4个月报出。4.内部控制评价工作档案制度。二、内部控制评价概述内部控制评价是指企业董事会(或类似决策机构)或其授权机构,对内部控制设计与运行的有效性进行综合评价的过程。企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求,结合企业实际情况,对战略目标、经营管理效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。(一)内部控制评价的目标企业内部控制评价的目标是通过对企业内部控制体系的健全性、合理性和有效性的评价,促使企业切实加强内部控制体系的建设并认真执行,并保证内部控制体系得以持续、有效的改进。1.强化内部控制意识,建立健全内部控制机制,严格落实各项控制措施,确保内部控制体系有效运行。2.提高风险管理水平,为实现企业发展战略和经营目标提供保障。3.增强企业业务、财务和管理信息的真实性、完整性和及时性。4.保障企业资产的安全和完整。5.确保企业各项活动的合法合规性。6.为企业的风险管理提供信息服务和决策支持。(二)内部控制评价的要求每个企业的情况不同,设置的内部控制制度有所差异,对于内部控制评价也是一样,应当根据《企业内部控制基本规范》和评价指引的规定,结合企业的实际情况,制定出内部控制评价办法,并明确内部控制评价的原则和内容、程序和方法、以及报告形式等相关内容,确保内部控制评价工作落到实处。企业主要负责人应当对内部控制评价结论的真实性负责。同时企业应当建立内部控制评价结果分析、利用和考核制度,将内部控制评价结果和整改情况作为内部绩效考评的重要依据。所以,内部控制评价的结果是企业业绩评价的基础,为企业业绩评价工作的开展和完善提供有力的保证。三、内部控制评价的原则和内容(一)内部控制评价的原则1.基本原则企业实施内部控制评价,应当遵循的基本原则为全面性、重要性和独立性原则,确保评价工作标准统一、客观公正。全面性原则,是指评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。重要性原则,是指全面评价的基础上关注重要高风险领域。独立性原则,是指评价工作应当与内部控制的设计与运行相互分离。2.延伸原则风险导向原则。内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。一致性原则。内部控制评价应当采用统一、可比的评价方法和标准,保证评价结果的可比性。公允性原则。内部控制评价应当以事实为依据,评价结果应当有适当的证据支持。成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。这些原则都是非常重要的,但是内部控制就是要控制风险,所以应坚持以风险为基础的原则,来促进企业构建以风险为基础的内部控制体系。要求内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单位、重要业务领域或流程环节。(二)内部控制评价的内容内部控制评价主要由以下五个要素为核心内容进行评价:1.内部环境的评价。对企业内部环境的评价应注意的焦点是操守及价值观、执行能力、董事会及监事会下属的审计委员会、管理哲学和经营风格、组织结构、权责分配、人力资源政策及实行七个方面。具体评价重点包括经营活动的复杂程度、管理权限的集中程度、管理行为守则的健全性和有效性、管理层对逾越既定控制程度的态度、组织文化的内容及组织成员对此的理解与认同、法人治理结构的健全性和有效性、组织各阶层人员的知识与技能、组织结构和职责划分的合理性、重要岗位人员的权责相称程度及其胜任能力、员工聘用程序及培训制度、员工业绩考核与激励机制。2.风险评估的评价。对企业风险评估的评价,应注意的是风险评估整体目标的制定、作业层级目标的制定、风险分析和对变化的管理等。具体评价的重点是被评价企业对抗风险的能力和风险管理的具体办法及效果。3.控制活动的评价。关注对企业的每个作业环节是否都定有适当的政策和程序,现有的已确认的控制活动均被适当执行。具体评价的重点是控制活动建立的适当性、控制活动对风险的识别和规避、控制活动对组织目标实现的作用、控制活动执行的有效性。4.信息与沟通的评价。主要关注:①就员工的任务和控制责任进行沟通的有效性;②建立可用来报告不当、可疑行为的沟通渠道;③管理阶层对员工提出的提高生产力和质量及其他类似的改进建议的接受程度;④组织内沟通(如,采购部门和生产部门之间的沟通)的适当性,以及信息能使员工有效履行其责任的完整性、及时性和充分性;⑤是否建立了与供应商、销售商及其他外界人上畅通沟通的渠道;⑥外界对本企业的了解程度;⑦管理阶层从顾客、供应商、管理机构或其他外界团体处获取信息后,所采取的追查行动的及时性和适当性。具体评价的要点:获取财务信息、非财务信息的能力、信息处理的及时性和适当世、信息传递渠道的便捷与畅通、管理信息系统的安全可靠性。5.内部监督的评价。包括日常监督评价、专项监督评价和缺陷报告评价。[案例]毕马威(KPM)在其内控指南中提出,董事会和管理层在对企业内部控制进行年度评价时.至少应该考虑以下所列的这些问题:1.内部控制评价中应考虑的问题(1)风险评估企业是否有明确的目标,并且已经与员工沟通,给员工在风险评估和控制问题中提供了有效的方向?例如:编制包括业绩指标的预算。显著的经营风险、财务风险和其他风险是否已经被认定和评估?认定和评估风险的基准是否是持续适用的?(显著风险可能包括和市场、信用、流动性、技术、法律和声誉等)管理层和企业中其他员工是否清楚地了解董事会可接受的风险?(2)控制环境和控制措施董事会对已认定的风险是否有应对策略?是否制定了处理风险的政策?企业文化、行动守则、人力资源政策和绩效考核系统是否支持企业目标和风险管理以及内部控制系统?在企业内部,高级管理人员是否通过行动和政策来展示必要的胜任能力、正在和营造互相信任的氛围?权责是否明确?决策和执行的人员是否合适?决策和执行是否很好地协调运作?企业是否和员工沟通企业对他们的期望,以及自由行动的界限?企业的员工是否具有支持企业目标和有效管理风险使企业目标实现的知识、技术和工具?内部控制体系是如何调整以适应新的风险以及如何改正内控缺陷的?(3)信息和沟通董事会和管理层能否及时地接收来自企业内外的关于违反企业目标的信息及其可能带来的风险?例如:员工的态度和顾客的满意度等信息。信息缺乏和相关的信息系统是否被重新评估为目标及其风险的改变或者被重新评估为缺陷?周期报告包括半年报和年报的程序是否有效地传达企业的现状和前景?是否建立了个人报告内控制度漏洞或其他不合适之处的沟通渠道?(4)内部监督企业是否制定了全面风险管理和内部控制的监督程序?这些监督程序是否具有监控企业重新评估风险及有效地调整控制以适应企业目材、业务和内部环境改变的能力?是否存在有效的后续程序保证内控体系的改变以适应风险的变化?与董事会(或董事会专门委员会)沟通风险和控制事件监控程序的有效性的方式是否合适?应该包括及时地报告任何显著的内控失效和控制弱点。是否存在内控监督和向董事会报告重大风险的具体安排?这些可能包括违法违规行为或者对公司的声誉和财务状况产生负面影响的行为。2.内部控制评价中应特别关注的内容(1)企业内部控制评价应当以内部环境为基础,重点关注:治理结构是否形同虚设;发展战略是否可行;机构设置是否重叠;权责分配是否明晰;不相容岗位是否分离;人力资源政策和激励约束机制是否科学合理;企业文化是否促进员工勤勉尽责;社会责任是否有效履行等。(2)企业内部控制评价应当以生产经营活动为重点,至少关注:资金的筹集、投放和营运过程是否存在资金链断裂;资产运行中是否存在效能低下或资产流失;采购与销售环节是否存在舞弊行为;研发项目是否经过科学论证;工程项目是否存在商业贿赂等。(3)企业内部控制评价应当兼顾控制手段,至少关注:全面预算是否具有约束力;合同履行是否存在纠纷;信息系统是否与内部控制有机结合;内部报告是否及时传递和有效沟通等。三、内部控制评价的程序和方法在这部分程序与方法中,我要讲述六个大问题:第一内部控制评价的组织机构;第二,内部控制评价的方法;第三,内部控制评价的程序;