企业风险企业风险管理服务季刊创刊号2010.7研讨会-平安集团内部控制项目经验分享中国内部控制报告制度应对思路中美日企业内部控制报告制度比较防范IT外包风险,提升IT外包价值企业内部控制实务1-内部控制的基本概念礼物(ThePresent)内部控制自我评价(CSA)特集中国内部控制报告制度正式启动内控配套指引三驾马车全面提速内控体系建设2010年中国上市公司内部控制调查分析报告研究室连载推荐书籍企业风险用语前言首先,本人十分感谢各位抽空阅读此份[企业风险]的创刊号。本期的内容将会集中讨论现时境外境内主要市场的企业内部控制法规。企业内部控制体系的健全和发展在一定程度上得益于国家法律法规的有效推动。美国于2002年颁布的《萨斯班–奥克斯利法案》(Sarbanes-OxleyAct,简称“萨班斯法案”)及日本于2006年颁布的《金融工具与交易法》对上市企业的内部控制提出了严格的要求。这些法案的产生都为国外上市公司加强公司治理和内部控制监控力度起到了积极的作用。至于我国财政部等五部委亦于2008年联合发布了《企业内部控制基本规范》,更于2010年4月联合发布了“关于印发企业内部控制配套指引的通知”,并同时推出了三项配套指引,即《企业内部控制应用指引》、《企业内部控制评价指引》及《企业内部控制审计指引》(下称“配套指引”)。中国公司对企业内部控制提升公司治理水平的重要性认识深刻。德勤中国公司治理中心于2010年2月及3月针对约100家中国上市公司进行的一项调查显示,84%的上市公司认为加强并完善内部控制程序是提升公司治理水平的最佳方法。然而,在配套指引推出之前许多企业发现基本规范很难得到落实。新颁布的配套指引涵盖企业经营管理的各个方面,为企业提升公司内控水平提供了更加清晰的指导。适当的应用指引将有助于提升中国企业的财务报告质量和可靠性,降低商业欺诈风险和提高投资者的信心。在中国内向型及外向型投资不断增长的形势下,公司治理已经成为企业当前面临的一个重要课题。有效的内控将有助于提升公司财务信息的质量与可靠性,这是资本市场参与者决策的重要依据。德勤作为一家居领导地位的专业服务机构之一,我们希望此刊物能给企业对公司治理及内部控制有更深入的了解。敬颂商祺刘伟杰德勤中国企业风险管理服务全国主管合伙人2010年7月,创刊号企业风险德勤中国,企业风险管理服务出版企业风险出版委员会刘伟杰廖福良薛梓源黄皓礼林允纲方烨蒋黎虹编制原国太郎孙永杰冯芷翠赵理谈亮金睿何萍庄宇杰吴坚隽冯文珊梁小慧目录特集中国内部控制报告制度正式启动内控配套指引“三驾马车”全面提速内控体系建设2010年中国上市公司内部控制调查分析报告研讨会-平安集团内部控制项目经验分享中国内部控制报告制度应对思路中美日企业内部控制报告制度比较研究室防范IT外包风险,提升IT外包价值连载企业内部控制实务1-内部控制的基本概念推荐书籍礼物(ThePresent)企业风险用语内部控制自我评价(CSA)27152126313639412010/07季刊创刊号企业风险1特集内控配套指引“三驾马车”全面提速内控体系建设王菁经理廖杰熙高级顾问德勤北京事务所企业风险管理服务三架马车。构建企业、注册会计师和有关监管部门三位一体的、有效的内外部监督评价体系是确保企业内部控制规范体系顺利实施的重要保证。粗中有细,风险导向应用指引可被划分为三类,即内部环境类指引、控制活动类指引和控制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项,并在企业战略、董事会职责、风险评估、员工薪酬、诚实守信、受托责任和审计等问题设定了良好实务标准。与各国的内控相关法规相比,应用指引可谓开创性地在监管制度层面提出如此细致的要求。但将正式发布的配套指引与征求意见稿(第一版)相对比,可以看出,配套指引无论从体量上还是具体条款的尺度上,都适当“松绑”更加精炼化,侧重于提出要求,不再是事无巨细的一刀切,而是为企业选择控制活动留下了必要的发挥空间。强化监督,确保落实内部控制评价指引和内部控制审计指引的发布,表明了监管部门高度重视对于内控基本规范和应用指引执行情况的监督。在企业内部控制实务中,对内部控制有效性进行评价是极为重要的一环。《企业内部控制评价指引》为企业开展内部控制自我评价提供了一个共同遵循的标准,为参与国际竞争的中国企业在内部控法规体系-内外兼收,突出中国特色众所周之,企业由于所处地域、行业、规模的不同,所面临的市场环境和所营造的企业文化也存在较大差别,因此,借鉴发达市场经济国家或地区相关规范经验,科学构建中国企业内部控制制度,是我国企业内部控制规范体系建设的重要命题和挑战。本次发布的配套指引参照世界主要市场经济体的通行做法,结合国内相关法规,在保持框架大体一致的前提下,科学地总结了我国先进企业的风险管控实务,一方面力图将我国企业内部控制规范体系的建设与国际接轨;另一方面,立足于我国经济、社会、法律、文化和企业的鲜活实践,印有强烈的中国特色。纲举目张,自成体系基本规范为纲,配套指引为目,纲举目张,形成了具有统一性、公认性和权威性的中国企业内部控制规范体系。应用指引为企业按照《基本规范》中规定的“五个内控原则和五个内控要素”建立健全本企业的内部控制体系提供指导,在配套指引乃至整个内部控制规范体系中占据主体地位。企业内部控制评价指引为企业管理层对本企业内部控制有效性进行自我评价提出了明确规定。企业内部控制审计指引为注册会计师执行内部控制审计提供技术标准和依据。三大指引相互独立,又相互联系,为《企业内部控制基本规范》的实施提供了全面而深入的指导,可谓推动企业构建内部控制体系的继2008年6月28日,财政部等五部委联合发布《企业内部控制基本规范》(下称“基本规范”)之后,历时近2年的充分论证和征求意见,五部委于2010年4月26日联合发布“关于印发企业内部控制配套指引的通知”,同时发布三项配套指引,即《企业内部控制应用指引》、《企业内部控制评价指引》及《企业内部控制审计指引》(下称“配套指引”)。配套指引的出台无疑是中国会计史上的又一里程碑,不但标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成并逐渐走向成熟,也为中国企业的长期发展和提升经营管理水平提供了良好的指导。然而,如何理解和把握配套指引的主要内容和精神实质,中国企业如何运用配套指引建立健全内部控制体系并行之有效,注册会计师如何利于配套指引开展内部控制审计工作,对于企业和注册会计师来说,既是契机,也是挑战。2特集制建设方面提出自律性要求,有利于提高投资者、社会公众乃至国际资本市场对中国企业素质的信任度。内部控制审计指引对规范注册会计师执行企业内部控制审计业务提出了明确要求。着重从审计时点、审计原则、审计范围、审计方式、对他人工作的利用、评价控制缺陷、审计报告出具等方面就如何做好内部控制审计提供技术标准和依据。配套指引的制定对企业内部控制评价和审计提出了美国和日本从未提到过的特别要求,要求企业对内部控制的有效性进行全面评价,要求注册会计师不仅对财务报告内部控制的有效性发表审计意见,还要披露非财务报告内部控制的重大缺陷。《内部控制审计指引》明确指出,注册会计师不仅应当对公司财务报告内部控制有效性发表审计意见,同时还应当向投资者提示非财务报告内部控制重大缺陷。注册会计师认为非财务报告内部控制缺陷为重大缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进;同时应当在内部控制审计报告中,增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险。发展现状-内控实施与评价的绊脚石东航、南航等航空公司燃油套期保值出现巨亏,四川长虹的坏账风波,中国平安海外投资陷入无底洞……,这些事件背后所隐藏的问题都是相似的,即内部控制的缺失或无效。继2007、2008后,德勤于2009继续对中国上市公司的内部控制调查分析,调查分析表明:内部控制实施工作中存在一定盲目性为应对目前的经济环境,同时满足监管机构的监管要求,大部分企业都采取了积极的措施。调查结果中仅有5.88%的企业拟组织内部控制负责人参加专业机构开办的内部控制培训班。参加专业内部控制培训,有助于内部控制负责“广义”内控,不局限于财务报告相关的控制人充分认识内部控制的作用,更加深入、全面、系统地了解内部控制的知识和技能。从这个角度来讲,大部分企业虽然渴望建立健全内部控制,并且也已经开始了行动,但却忽视了一个非常重要的因素,即管理层对内部控制的认识。如果管理层对企业内部控制的认识不到位、不正确,那么,内部控制实施的效果将必然受到严重影响。因此,很有必要鼓励管理层多参加专业的内部控制培训,提高和端正对内部控制的认识,为企业更有效地实施内部控制提供坚实的控制环境基础。内控建设中仍存在一些老问题当前,企业内部控制存在的问题突出体现在内控制度执行效果没有达到预期;缺乏与内部控制相关的信息系统;内控制度执行不力。调查显示约58.82%的企业认为,内部控制制度的执行效果没有达到预期,这成为现阶段企业内部控制存在的最突出问题;约52.94%的企业认为,缺乏与内部控制相关的信息系统,成为企业内部控制存在的主要问题之一;另有约41.18%的企业认为,内部控制制度的执行不力也是企业内部控制存在的主要问题之一。这些突出的问题,与2008年度的调查结果相吻合。可见,一年的时间过去了,这些老问题并没有得到实质性的改善。内部控制评价报告的编制基础有待加强几乎所有的被调查企业都编制并披露了2008年度内部控制评价报告,尽管与沪深两市的要求有关,但与以前年度相比,这是个令人可喜的现象。但通过与被调查企业的沟通,我们也发现,虽然都编制并披露了内部控制评价报告,但是其中73.33%的企业在编制内部控制评价报告前,对企业内部控制进行了全面自查并保存了检查的证据或工作底稿,仍有26.67%的企业在编制内部控制评价报告前并未对企业自身的内部控制进行全面自查并保存检查的证据或工作底稿。由此说明,这些企业编制内部控制评价报告的程序不够规范,所得结论没有充分、适当的证据支持,其评价报告的可靠性难以保证。部分企业内部控制评价报告的编制仅依赖于各部门或各子公司上报的内部控制自评报告。并且,大多数企业表示对内部控制的评价程序不甚清楚。可以看出,企业需要一整套关于内部控制评价的指导性强的操作指南,同时,对企业内部控制评价实践的培训也显得非常必要。2010/07季刊创刊号企业风险3特集内部控制审计实践不足在与被调查的上市公司进行沟通了解到,约29.41%的企业聘请了独立会计师对其2008年度的内部控制进行审计并出具了内部控制审计报告,且均获得了标准无保留意见。虽然监管部门未强制要求企业内部控制接受外部审计,但对于内部控制设计和运行有效的企业来说,如果其聘请外部审计并获得一份标准无保留意见的审计报告,则会向投资者传递一种企业内部控制规范,管理有效的积极信息,继而提升企业价值。值得注意的是,仍有约70.59%的企业未进行内部控制外部审计。一方面,这可能与审计费用的考虑有关,但另一方面,是不是也可能意味着,大多数企业仍对其自身内部控制有效性的信心不足?中国企业-内控工作,任重道远一直以来,对中国上市企业来说,内部控制的建立与实施缺少一套适合我国国情的标准与指导方针,导致企业管理层对内部控制的了解和认识不够深刻和准确,内部控制工作达不到预期效果,增加了成本费用,却得不到应有的收益,这种情况更进一步导致管理者不能正确客观地认识内部控制的作用。而且在实际操作过程中,企业更加重视流程层面的控制活动,而忽视了内部控制环境的这一重要基础,这也反映出企业管理层对内部控制的认识还不够到位,同时,中国企业传统的“重管理轻治理”的现象依然没有得到实质性的改善。现如今,配套指引的正式发布无疑为中国企业内控的建立与发展打了一针强心剂,为企业加强内部控制建设和降低风险提供了有效的工作指导。为确保企业内控规范体系平稳顺利实施,财政部等五部门在配套指引发布之际,为中国企业制定了实施时间表,即自2011年1月1