搜索
业务循环中的内部控制(一)主讲:陈美玲第一部分:内部控制基础概念(一)内部控制的含义(二)内部控制的要素(三)如何设计及完善内控体系(一)内部控制的含义百度百科定义:内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。为了实现其经营目标,保护资产的安全完整。保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段和措施的总称。内部控制的目的在于改善经营管理、提高经济效益。它是因加强经济管理的需要而产生的,是随着经济的发展而发展完善的。最早的控制主要着眼于保护财产的安全完整,会计信息资料的正确可靠,侧重于从钱物分管、严格手续、加强复核方面进行控制。随着商品经济的发展和生产规模的扩大,经济活动日趋复杂化,才逐步发展成近代的内部控制系统。COSO委员会对内部控制的定义是“公司的董事会、管理层级其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率,财务报告的可靠性和遵守使用的法律法规”。COSO委员会的上述定义对内部控制的基本概念提供了一些深入的见解,并特别指出:1.内部控制是一个实现目标的程序及方法,而其本身并非目标;2.内部控制只提供合理保证,而非绝对保证;3.内部控制要有企业中各级人员实施与配合。我国现有的制度规范《企业内部控制基本规范》《企业内部控制配套指引》《企业内部控制评价指引》和《企业内部控制审计指引》基本规范、应用指引、评价指引和审计指引三类类别构成一个相辅相成的整体,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。《企业内部控制基本规范》规定内部控制的目标、要素、原则和总体要求,是内部控制的总体框架,在内部控制标准体系中起统领作用。《企业内部控制基本规范》要求企业建立内部控制体系时应符合以下目标:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整;提供经营效率和效果;促进企业实现发展战略。《应用指引》针对组织结构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统共18项企业主要业务的内部领域或内部手段,提出了建议性的应用指引,为企业以及外部审核人,建立于评价内部体系提供了参照性标准。(二)内部控制的要素COSO内部控制三项目标和五大要素。三项目标:合规(遵循适用的法律法规),运营(取得经营的效率和有效性)、财务报告(确保财务报告的可靠性)五大要素:控制环境、风险评估、控制活动、信息与沟通、监控。《基本规范》借鉴了COSO委员会内部控制整合报告为代表的国际内部控制框架,并结合中国国情,要求企业所建立于实施的内部控制,应当包括下列5个要素:(1)内部环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)内部监督。1.COSO《内部控制框架》关于控制环境要素的要求与原则控制环境:员工的正直、道德价值观和能力、管理当局的理念和经营风格、管理当局确立权威性和责任、组织和开发员工的方法等。控制环境决定了企业的基调,直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架,是其他四要素的基础。控制环境包括员工诚信度、职业道德和才能;管理哲学和经营风格;权责分配方法、人事政策;董事会的经营重点和目标等。应当坚持以下原则:(1)企业对诚信和道德价值观做出承诺。(2)董事会独立于管理层,对内部控制的制定及其绩效施以监控。(3)管理层在董事会的监控下,建立目标实现过程中所涉及的组织结构、报告路径以及适当的权利和责任。(4)企业致力于吸引、发展和留任优秀人才,以配合企业目标达成。(5)企业根据其目标,使员工各自担负起内部控制的相关责任。2.COSO《内部控制框架》关于风险评估要素的要求与原则风险评估:为了达到组织目标而对相关的风险所进行的辨别与分析。COSO《内部控制框架》关于风险评估要素的要求为:每个企业都面临诸多来自内部和外部的各类风险。风险评估的先决条件是已建立了各种目标,并联接到主体内不同的层级。风险评估指识别、分析相关风险以实现既定目标;从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化,需要确立一套机制来识别和应对由这些变化带来的风险。根据2013年修订发布的COSO内部控制框架,风险评估要素应当坚持以下原则:(1)企业制定足够清晰的目标,以便识别、评估有关目标所涉及的风险。(2)企业从整个企业的角度来识别实现目标所涉及的风险,分析风险,并据此决定应如何管理这些风险。(3)企业在评估影响目标实现的风险时,考虑潜在的舞弊行为。(4)企业识别并评估可能会对内部控制系统产生重大影响的变更。3.COSO《内部控制框架》关于控制活动要素的要求与原则控制活动:为了确保实现管理当局的目标而采取的政策和程序,包括审批、授权、验证、确认、经营业务的复核、资产的安全性等。COSO《内部控制框架》关于控制活动要素的要求为:控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险,实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。根据2013年修订发布的COSO内部控制框架,控制活动要素应当坚持以下原则:(1)企业选择并制定有助于将目标实现风险降低至可接受水平的控制活动。(2)针对信息技术,组织应选择并执行一般控制活动以支持其目标的实现。(3)企业通过政策和程序来部署控制活动;政策用来确定所希望的目标;程序则将政策付诸行动。4.COSO《内部控制框架》关于信息与沟通要素的要求与原则信息与沟通:为了保证员工履行职责而必须识别、获取的信息以及沟通。COSO《内部控制框架》关于信息与沟通要素的要求为:公允的信息必须被确认、捕获并以一定形式及时传递,以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告,以有助于经营和控制企业。同时,与外部诸如客户、供应商、管理当局和股东之间也需要有效的沟通。信息系统不仅处理内部产生的信息,还包括与企业经营决策和对外报告相关的外部事项、行为和条件等。有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息,认真了履行控制职责。员工必须理解自身在整个内控系统中的位置,理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。业务循环中的内部控制(二)根据2013年修订发布的COSO内部控制框架,信息与沟通要素应当坚持以下原则:(1)企业获取或生产和使用相关的高质量信息,以支持内部控制其他要素发挥效用。(2)企业于内部沟通的控制信息,包括内部控制目标和职责范围,必须能够支持内部控制的其他要素发挥效用。(3)企业就影响内部控制其他要素发挥效用的事项与外部方进行沟通。5.COSO《内部控制框架》关于监控要素的要求与原则监控:对内部控制实施质量的评价,主要包括经营过程中的持续监控,即日常管理和监督、员工履行组织的行动等,也包括个别评价或者是两者的结合。COSO《内部控制框架》关于监控要素的要求为:内部控制系统需要被监控,即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。持续性的监控行为发生在企业的日常经营过程中,包括企业的日常管理和监督行为、员工履行各自职责的行为。独立评估活动的广度和频度有赖于风险评估结果和日常控制程序的有效性,以及管理层的其他考虑。企业应当依据监管机构、标准制定机构或者管理层和董事会所设定的标准,对各种发现进行评估,必要时应当向管理层和董事会报告各缺陷。根据2013年修订发布的COSO内部控制框架,监控要素应当坚持以下原则:(1)企业选择、制定并实行持续及/或单独的评估,以判定内部控制各要素是否存在且发挥效用。(2)企业及时评估内部控制缺陷,并将有关缺陷及时通报给负责整改的相关方,包括高级管理层和董事会(如适当)。(三)如何设计及完善内控体系1.全面梳理现有治理结构和内部结构设置,确保企业治理结构、内部机构和运行机制符合企业的自身情况。(前提符合现代企业制度要求)治理机构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、相互推诿扯皮,运行效率低下。(1)企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。(人员构成、知识机构、能力素质)(2)企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。(根据具体标准由企业自行确定)。(3)企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。(4)企业应当对各机构的职能进行科学合理的分解,确定具体岗位的名称、职责和工作要求等,明确各个岗位的权限和相互关系。企业在确定职权和岗位分工过程中,应当体现不相容职务相互分离的要求。不相容职务通常包括:可行性研究与决策审批;决策审批与执行;执行与监督检查等。(5)企业应当制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件,使员工了解和掌握组织架构设计及权责分配情况,正确履行职责。(6)重点关注内部机构设置合理性和运行的高效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率低下的,应当及时解决。(7)企业拥有子公司的,应当建立科学的投资管控制度。(8)企业应当定期对组织架构设计与运行的效率和效果进行全面评估,发现组织架构设计与运行中存在缺陷的,应当进行优化调整。2.梳理业务流程,尤其明确职能部门之间工作衔接部分。流程梳理是指围绕企业的内部要素与外部要素,对整个企业的业务特点和管理现状进行深入细致的分析、整理、提炼,明确管理的关键点。因为各企业有不同的情况,工作重点也不尽相同,所有流程梳理工作并没有一个统一的模式和标准。但至少应包括以下几个方面:(1)认清企业目标,进行全面流程调研。流程调研要求首先对企业现有的所有流程摸清摸透,深入了解企业的运营模式,总结出企业的流程准则。如果要达到比较好的流程调研效果,建议由第三方咨询公司为主,辅以对公司业务了解全面的自身人员进行。(2)在原有业务流程的基础上,提炼出能够与信息化相融合的新流程,提高管理效率。这个阶段要求有完整的流程图,并清楚描述各流程所涉及的部门、人员、表单等,定义各工作步骤的工作规范,明确各流程的控制点等。新流程还必须与各部门相关人员充分讨论修改,听取各方面的意见,以减少落实推行的阻力。(3)效果评估,持续改进。流程梳理改进完成后应该进行持续的监控评估,评价其是否达到当初企业所设定的目标,并且在运作过程中会出现不同的变化情况,需要对流程进行改进或重新定义。由此可见,流程梳理优化的过程并不是一蹴而就的,需要企业持续不断地关注、改进。3.制定规章制度、流程。企业的规章制度是体现企业与劳动者在共同劳动,工作中所必须遵守的劳动行为规范的总和。依法制定规章制度是企业内部的“立法”,是企业规范运行和行使人权的重要方式之一,企业应最大限度地利用和行使好法律赋予的这一权利。规范管理,能使企业经营有序,增强企业的竞争实力;制定规章制度能使员工行为合矩,提高管理效率。总之,制定企业规章制度是建立现代企业制度的需要;是规范指引企业部门工作与职工行为的需要;是完善“劳动合同制”,解决劳动争议不可缺少的有力手段。但是要注意,制定规章制度要紧密结合企业自身情况,并严格依法进行,应做到“合理、合法、全面、