21世纪初,根据第二次修订的《会计法》,财政部制定发布了单位内部会计控制规范,包括《内部会计控制规范——基本规范(试行)》和《内部会计控制规范——货币资金(试行)》等一系列具体规范,实施效果很好。在此基础上,结合国内国外经济发展形势变化,借鉴国际先进经验和做法,经过近十年的不断探索和完善,逐渐形成了企业内部控制规范体系,由《企业内部控制基本规范》(以下简称《基本规范》)和配套指引组成。《基本规范》在企业内部控制规范体系中处于最高层次,起统驭作用,建立了内部控制的总体框架和基本要求,是制定配套指引和完善企业内控制度的依据。配套指引是《基本规范》的具体化,包括系列应用指引、评价指引和审计指引。
《基本规范》共七章五十条,各章分别是:总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。
一、关于总则
总则既是《基本规范》的总说明,也是配套指引乃至整个内控规范体系的总要求。总则规定了企业内部控制规范体系的基本问题,包括制定与实施内部控制规范的意义、制定依据、适用范围、内控目标、原则、要素、组织实施、监督检查,以及引入注册会计师审计等制度安排。
(一)内部控制的意义和依据
《基本规范》第一条阐明了制定与实施内部控制规范的意义。
第一、加强和规范企业内部控制的需要。一般而言,各类存续企业大都建立了相应的
管理制度
档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载
,但是需要根据内控规范要求,对原有制度进行修改、完善和提升;对于新建企业,更需要依据内部控制规范,构建企业内控制度和管控流程。
第二、有助于全面提升企业经营管理水平和风险防范能力,促进企业可持续发展。
全面提升企业经营管理水平和风险防范能力是内控体系的核心问题,尤其是在当前我国应对国际金融危机、加快转变经济发展方式的时代背景下,内控规范体系对于提升企业核心竞争力,促进企业在后金融危机时期可持续发展,具有特别重要的现实意义和深远的历史意义。
第三、有利于维护社会主义市场经济秩序和社会公众利益。
企业尤其是上市公司是创造社会财富的市场经济主体和宏观经济的细胞。调整产业结构,转变发展方式,提升发展质量,维护市场经济秩序和社会公众利益,从企业做起至关重要。广大企业也只有不断强化内部控制,才能实现维护市场经济秩序和社会公众利益的目标。
根据《基本规范》第一条规定,制定企业内部控制规范的基本依据是《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他有关法律法规。企业内部控制规范体系与上述法律法规是协调一致的。从某种程度上讲,企业内控规范是贯彻落实上述法律法规,保证各类经济活动合法合规的具体制度和办法。
(二)企业内部控制规范的实施范围和时间安排
《基本规范》第二条明确规定,企业内部控制规范适用于中华人民共和国境内设立的大中型企业。
首先是上市的大中型企业,包括境内外同时上市的公司和主板上市公司。具体实施时间要求为:自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。
对非上市公司的大中型企业,包括国有企业、国有控股企业和外商投资企业等,鼓励提前执行。小企业和其他单位可以参照企业内部控制规范建立与实施内部控制。
对于其他单位包括行政事业单位和非营利组织,财政部将待企业内控规范体系建设与实施有序推开后,择机推进非企业单位的内控规范研究制定工作。
大中型企业和小企业的划分
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
按照国家有关规定执行。目前一般参照国家经贸委、国家计委、财政部、国家统计局《关于印发中小企业标准暂行规定的
通知
关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知
》(国经贸中小企[2003] 143号)的规定执行。
表1-1 统计上大中小型企业划分标准
行业名称
指标名称
计算单位
大型
中型
小型
工业企业
从业人员数
人
2000及以上
300-2000以下
300以下
销售额
万元
30000及以上
3000-30000以下
3000以下
资产总额
万元
40000及以上
4000-40000以下
4000以下
建筑业企业
从业人员数
人
3000及以上
600-3000以下
600以下
销售额
万元
30000及以上
3000-30000以下
3000以下
资产总额
万元
40000及以上
4000-40000以下
4000以下
批发业企业
从业人员数
人
200及以上
100-200以下
100以下
销售额
万元
30000及以上
3000-30000以下
3000以下
零售业企业
从业人员数
人
500及以上
100-500以下
100以下
销售额
万元
1500及以上
1000-1500以下
1000以下
交通运输业企业
从业人员数
人
3000及以上
500-3000以下
500以下
销售额
万元
30000及以上
3000-30000以下
3000以下
邮政业企业
从业人员数
人
1000及以上
400-1000以下
400以下
销售额
万元
30000及以上
3000-30000以下
3000以下
住宿和餐饮业企业
从业人员数
人
800及以上
400-800以下
400以下
销售额
万元
15000及以上
3000-15000以下
3000以下
(三)内部控制的定义和目标
《基本规范》第三条明确指出,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
首先,这一定义强调了企业领导者尤其是董事会、监事会和经理层在建立与实施内部控制中的重要作用。如果企业领导者对于内部控制没有足够的认识和高度的重视,内部控制是难以有效实施的。
其次,明确了内部控制是全体员工的共同责任。企业的各级管理层和全体员工都应当树立现代管理理念,强化风险意识,以主人翁的姿态积极参与内部控制的建立与实施,并主动承担相应的责任,而不是被动地遵守内部控制相关规定。
最后,指明了内部控制是一个过程。内部控制是对企业生产经营过程的控制,也是对实现企业发展目标过程的控制。同时,内部控制又是一个不断优化完善的过程,只有起点,没有终点,必须坚持不懈、持之以恒地持续改进。
《基本规范》第三条第二款规定了内部控制的目标为五个方面:
一是合理保证企业经营管理合法合规;
二是维护资产安全;
三是保证财务报告及相关信息真实完整;
四是提高经营效率和效果;
五是促进企业实现发展战略。
企业经营管理合法合规,强调的是企业要在法律允许的经营范围内开展经营活动,严禁违法经营、非法获利。
资产安全主要是防止资产流失。要确保企业的各项存款等货币资金的安全,防止被挪用、转移、侵占、盗窃。同时还要保护实物资产,防止低价出售,要充分发挥资产效能,提高资产管理水平。
财务报告及相关信息反映了企业的经营业绩,乃至企业的价值增值过程。财务报告反映企业的过去与现状,并可预测企业的未来发展,是投资人进行投资决策、债权人进行信贷决策、管理者进行管理决策和宏观经济调控部门进行政策决策的重要依据。同时,财务报告作为社会公共产品,其真实完整地体现了企业履行的社会责任。
提高经营效率和效果构成企业内部控制的重要目标。企业建立和实施内部控制的内在要求之一是相互制衡、相互监督,这一要求看似与提高效率效果相矛盾,实际上是协调一致的。因为忽视控制的经营管理,将导致重大风险的发生,可能造成企业难以为继,最终降低了经营的效率效果。因此,企业必须正确认识和处理强化内部控制与提高效率效果的关系。
促进企业实现发展战略是内部控制的最高目标,也是终极目标。只要企业在内控上下工夫,切实保证经营管理合法合规、资产安全完整、财务报告及相关信息真实可靠、经营效率效果稳步提高,就一定能提高核心竞争力,促进实现发展战略。
在上述五个控制目标中,企业经营管理合法合规、资产安全完整、财务报告及相关信息真实完整是内部控制的基础目标。我国早期的内部控制是从基础目标开始的。在现代市场经济条件下,建立现代企业制度,促进企业长远发展,不仅要求企业必须围绕这3个基础目标真抓实干,而且必须在提高经营效率和效果上更上一层楼,最终促进企业实现发展战略。
(四)内部控制的原则
《基本规范》第四条规定了企业建立与实施内部控制的五项原则:
一是全面性原则;二是重要性原则;三是制衡性原则;四是适应性原则;五是成本效益原则。
全面性原则强调内部控制应当贯穿决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项。
重要性原则要求内部控制在兼顾全面的基础上,格外关注重要业务事项和高风险领域。
制衡性原则要求内部控制在治理结构、机构设置及权责分配、业务流程等方面相互制约、相互监督,同时兼顾运营效率。相互制衡是建立和实施内部控制的核心理念,更多地体现为不相容机构、岗位或人员的相互分离和制约。
适应性原则要求内部控制与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整。
成本效益原则要求实施内部控制必须权衡成本与效益,以适当的成本实现有效控制。
(五)内部控制的要素
《基本规范》第五条规定了内部控制的五要素,即内部环境、风险评估、控制活动、信息与沟通和内部监督。
内部控制五要素是立足我国国情、借鉴国际经验的产物。
1958年10月,美国会计师协会下属审计程序委员会发布《审计程序公告第29号》,将内部控制分为管理控制和会计控制。
1988年,美国注册会计师协会发布《审计准则公告第55号》,提出了“三分法”的概念,即内部控制包括控制环境、会计系统和控制程序三个部分。
1992年,美国COSO委员会发布《内部控制整体框架》(COSO报告),认为内部控制由控制环境、风险评估、控制活动、信息与沟通、监督五要素构成。
安然事件爆发后,出于全面加强风险管理的考虑,2004年美国COSO委员会制定了《企业风险管理整合框架》,在五要素的基础上,将风险评估拆分、细化为目标设定、事项识别、风险评估和风险应对,从而形成八要素的框架。
尽管如此,美国上市公司按照萨班斯法案404条款的要求进行财务报告内部控制管理层评价和注册会计师审计时,其评价和审计的依据仍是1992年COSO报告的五要素。
根据我国实际情况,《基本规范》确立的仍是内部控制的五要素,但吸收了COSO八要素的全部成分。《基本规范》与包括COSO内控框架在内的世界领先的内部控制框架在所有主要方面保持了一致。
我国内部控制规范体系的目标、对象和要素的关系,如图1所示。
图1 内部控制目标、对象和要素三位一体图
(六)内部控制的组织实施
内部控制规范建设是一项系统工程,内部控制的实施更为关键。《基本规范》的第六条至第十条分别从企业、政府部门、中介机构三个不同的角度对确保企业内部控制的有效实施提出严格要求。
第一, 企业建立和实施内部控制,至少要做好三个方面的工作。
一是按照《基本规范》第六条的规定,根据有关法律法规、本规范及配套指引,制定本企业的内部控制制度并组织实施。企业主要负责人应当重视内控工作,加强组织领导,成立工作组,组织专门人员,制定工作
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
,结合本企业实际情况,对企业内控制度和管控流程进行全面梳理优化。
二是按照《基本规范》第七条的规定,根据修订后的企业内控制度和管控流程,组织软件专业人员对现有的信息系统进行改造升级,将优化后的流程固化到信息系统中,促进内部控制流程与信息系统的有机结合,从而实现对业务和事项的自动控制,减少或消除人为操纵因素。
三是根据《基本规范》第八条的规定,建立和完善实施内部控制的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。
第二,企业应当聘请注册会计师对内部控制的建立与实施情况进行审计,并出具审计报告。对于内部控制的设计和评价工作,企业可以聘请中介机构提供专业咨询服务,并积极做好配合工作。企业可以聘请同一家会计师事务所开展财务报告和内部控制整合审计,以促进审计资源的有效利用。
为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。
第三,强化政府有关监管部门对企业建立与实施内部控制的行政监督。根据《基本规范》第九条规定,国务院有关部门,包括财政部、审计署、证监会、银监会、保监会、国资委等政府监管部门,应当根据有关法律法规和内部控制规范,明确贯彻实施内部控制规范的具体要求,并对企业建立与实施内部控制情况进行监督检查。
二、关于内部环境
《基本规范》第五条规定,内部环境是企业建立与实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
(一)组织架构
在内部环境中居于基础地位的是组织架构,包括治理结构、内部机构设置和权责分配。企业实行现代企业制度,必须建立健全治理结构,科学设置内部机构,合理分配职责权限。
《基本规范》第十一条明确规定,企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,包括股东大会对重大事项的表决权、董事会的经营决策权、监事会的监督权、经理层的组织实施等,以形成科学有效的职责分工和制衡机制。
关于机构设置及权责分配,《基本规范》第十四条规定,企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。
《基本规范》第十二条和第十三条规定了董事会、监事会、经理层在内部控制建立与实施方面的职责权限。
一是强调了董事会对内部控制的建立健全和有效实施负责。监事会对董事会建立与实施内部控制进行监督。董事会下设立审计委员会,审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。
二是经理层负责组织领导企业内部控制的日常运行。有条件的企业应当成立专门机构,或者指定适当的机构,具体负责组织协调内部控制的建立实施及日常管理工作。
(二)人力资源
人力资源作为内部环境的重要组成部分,是指企业在建立和完善组织架构的基础上,如何充分发挥“人”的作用。
《基本规范》第十六条和第十七条规定,企业应当制定和实施有利于企业可持续发展的人力资源政策,明确了人力资源政策的主要内容,强调要将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。
(三)企业文化
《基本规范》第十八条和第十九条对企业文化建设提出了基本要求,规定企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导团队协作精神,树立现代管理理念,强化风险意识;同时,强调董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用,强调高管人员应增强法律观念和意识,严格依法决策、依法办事、依法监督。
(四)内部审计
《基本规范》第十五条规定,企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计在内部控制中的职责主要是对内部控制的有效性进行监督检查,对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。
在实务中,部分企业建立了专门的内部控制机构,也有一部分企业没有建立内部控制机构,而是由内部审计机构代为履行内部控制相关职责。企业应当按照内部控制监督检查与评价独立于内部控制的设计和运行的原则,逐步建立健全权责明晰的内部控制相关机构或强化内部审计机构在内部控制监督检查与评价中的作用。
三、关于风险评估
风险评估由目标设定、风险识别、风险分析和风险应对构成。风险评估是内部控制的重要环节,在企业生产经营过程中,只有进行科学的风险评估,自觉地将风险控制在可承受范围之内,才能实现企业的可持续发展。
企业总是在应对各类风险和挑战的过程中赢得生存和发展。
(一)目标设定
《基本规范》第二十条规定,企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。这里所指的设定的控制目标主要是指总则中规定的内部控制五目标。
(二)风险识别
风险识别是在目标设定的基础上,密切关注内外部主要风险因素。
《基本规范》第二十二条和第二十三条列示了企业内外部各种风险因素。配套指引中的系列应用指引列出了企业至少应当关注的主要风险,这些风险是在企业内部控制实施过程中,通过日常或定期的评估程序与方法加以识别。这些风险因素具体化为各项应用指引中的主要风险。在企业生产经营过程中,应将各类风险进行分类整理,形成企业的风险清单。
(三)风险分析
根据《基本规范》第二十四条的规定,风险分析是指在风险识别的基础上,采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
风险的定性分析,是指通过观察与分析,借助于经验和判断对风险进行分析的方法。该方法主要是通过问卷、面谈及研讨会等形式进行风险分析,依靠专业人员的经验和直觉,或者行业标准及惯例等,对风险相关要素的大小或高低程度进行定性分级。
风险的定量分析,是指运用一些数据分析模型,将有关风险及其影响予以量化,在此基础上判断风险重要性程度的方法,如敏感度分析法和盈亏平衡分析法等。
(四)风险应对
风险应对是指风险应对策略的选择。根据《基本规范》第二十五条的规定,企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。
风险应对策略包括风险规避、风险降低、风险分担和风险承受。
1、规避风险。通过避免受未来可能发生事件的影响而消除风险。规避风险的办法有:
通过公司政策、限制性制度和标准,阻止高风险的经营活动、交易行为、财务损失和资产风险的发生。
通过重新定义目标,调整战略及政策,或重新分配资源,停止某些特殊的经营活动。
在确定业务发展和市场扩张目标时,避免追逐“偏离战略”的机会。
审查投资方案,避免采取导致低回报、偏离战略,以及承担不可接受的高风险的行动。
通过撤出现有市场或区域,或者通过出售、清算、剥离某个产品组合或业务,规避风险。
2、接受风险。维持现有的风险水平。
不采取任何行动,将风险保持在现有水平。
根据市场情况许可等因素,对产品和服务进行重新定价,从而补偿风险成本。
通过合理设计的组合工具,抵消风险。
3、降低风险。利用政策或措施将风险降低到可接受的水平。方法有:
将金融资产、实物资产或信息资产分散放置在不同地方,以降低遭受灾难性损失的风险。
借助内部流程或行动,将不良事件发生的可能性降低到可接受的程度,以控制风险。
通过给
计划
项目进度计划表范例计划下载计划下载计划下载课程教学计划下载
提供支持性的证明文件并授权合适的人做决策,应对偶发事件。必要时,可定期对计划进行检查,边检查边执行。
4、分担风险。将风险转移给资金雄厚的独立机构。
保险。在明确的风险战略的指导下,与资金雄厚的独立机构签订保险合同。
再保险。如有必要,可与其他保险公司签订合同,以减少投资风险。
转移风险。通过结盟或合资,投资于新市场或新产品,获取回报。
补偿风险。通过与资金雄厚的独立机构签订风险分担合同,补偿风险。
以目标设定为基础,企业在进行风险识别、风险分析之后,通过实施风险应对策略,排除了风险规避、风险分担和风险承受,凸显了风险降低,需要采取相应的措施,将风险控制在可承受范围之内。
配套指引中的系列应用指引明确企业至少应当关注的风险点,并经过风险识别、分析之后,结合应对策略,重点对风险降低作出了规定,即系列应用指引提出的各项控制措施。
风险评估广泛存在于企业经营管理活动中,贯穿并体现于每一项应用指引,从而有效地解决了风险评估的操作性问题。因此,没有必要单独规定风险评估应用指引。
四、关于控制活动
控制活动是指结合具体业务和事项,运用相应的控制政策和程序,或称控制手段实施控制。
《基本规范》第二十八条规定,企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。
(一)不相容职务分离控制
《基本规范》第二十九条规定,不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。不相容职务分离是企业内部控制基本的控制手段。
不相容职务是指那些不能由一个部门或人员兼任,否则可能弄虚作假或易于掩盖其作弊行为的职务。
一般情况下,企业的经济业务活动通常可以划分为申请、审批、执行、记录四个步骤。如果每一个步骤都由相对独立的人员或部门分别实施或执行,就能够保证不相容职务的分离。
一般应当加以分离的不相容职务有:授权审批职务与执行业务职务、执行业务职务与监督审核职务、执行业务职务与相应的记录职务、财物保管职务与相应的记录职务、授权批准职务与监督检查职务等。
做到不相容职务的分离,应当考虑以下几个方面:
一是每类经济业务的发生与完成,不论是简单还是复杂,必须经过两个或两个以上的部门或人员,并保证业务循环中的有关部门和有关人员之间进行检查与核对;
二是权力与职责应当明确地授予具体的部门和人员;
三是对于重要权力的行使必须接受定期独立的检查等。
(二)授权审批控制
《基本规范》第三十条规定,授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
基本规范将授权分为常规授权和特别授权两种,明确要求制定常规授权的权限指引,对于特别授权,更是要对其范围、权限、程序和责任等四个方面作出严格界定,防止特别授权被滥用。
对于企业重大的业务和事项,要求实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。至于对重大的业务和事项的判定,需要企业根据本企业的经济业务情况具体确定。
1.授权批准的形式
按授权批准的形式,可以分为常规授权和特别授权。
(1)常规授权是对办理常规业务时权利、条件和责任的规定,是对企业日常经营管理活动中按照既定的职责和程序进行的授权。企业对于常规授权可以通过编制岗位职责手册、权限指引等方式予以公布,提高权限的透明度,加强对权限行使的监督和管理。
(2)特别授权是指企业在特殊情况、特定条件下进行的授权,通常是临时性的,如在洽谈投资、收购兼并、对外担保等重要经济业务中需要临时作出某项承诺,以及超过常规授权限制的交易,都需要特别授权。
2.授权审批控制的内容
授权批准控制的内容一般包括:
一是授权批准的范围。授权批准的范围通常包括企业所有常规性业务活动,从业务的预算编制、执行、业绩报告以及事后的考核等,均应授权相关岗位人员办理。
二是授权批准的层次。企业应当根据经济业务的重要性和金额大小确定不同的授权批准层次。应当根据具体情况的变化,不断对有关制度进行修正,适当调整授权层次。
三是授权批准的责任。
四是授权批准的程序,即规定每一类经济业务的审批程序,以便按照程序办理审批,避免越级审批或违规审批。
3.授权审批控制的实施
任何授权都应当以法律、法规和企业规章制度为依据,一方面需要避免权限过于集中,即所谓的“一支笔”制度,另一方面也要避免盲目授权,使有关人员逃避管理责任。授权一旦确定后,企业各级管理人员应当在授权范围内行使职权和承担责任。
(三)会计系统控制
《基本规范》第三十一条规定,会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。
会计系统控制主要是对企业发生的经济业务事项进行确认、计量和报告过程所实施的控制。
财务报告及相关信息真实完整是内部控制的重要目标之一。
《基本规范》第三十一条第二、三款对会计机构和会计人员作出规定,企业应当依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。
大中型企业应当设置总会计师。设置总会计师的企业,不得设置与其职权重叠的副职。
(四)财产保护控制
保证资产安全是《基本规范》规定的内控目标之一。
《基本规范》第三十二条规定,财产保护控制要求企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。
财产记录控制是指应当妥善保管涉及资产的各种文件资料,避免记录受损、被盗、被毁。
实物保管控制主要是限制接近控制和财产保险控制。
其中,限制接近即严格限制未经授权人员对资产的接触,只有经过授权批准的人员才能接触资产,同时还包括对授权使用和处置资产的文件加以限制。
财产保险控制主要是运用财产投保(如火灾险、盗窃险等),降低财产运行风险,确保财产安全。
定期盘点是指定期对实物资产进行盘点,并将盘点结果与会计记录进行比较。企业应当建立盘点制度,明确盘点流程和责任人,确保财产安全。定期盘点控制一般包括:
(1)定期与会计记录核对。实物资产盘点与会计记录核对一致在很大程度上保证了资产的安全。
(2)进行差异调查和调整。实物盘点结果与有关记录之间的差异应由独立于保管和记录职务的人员进行调查。
(五)预算控制
《基本规范》第三十三条规定,预算控制要求企业实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
1.设置预算管理委员会——内部控制机构
预算管理委员会,其成员由各重要职能部门经理组成,并吸收高层管理人员以及董事会、监事会成员组成主席团,主席团根据企业的战略目标制定最终的预算。各部门对部门预算负责,管理层对企业总体预算负责,分别形成管理层与各部门的考核标准。
2.确定预算目标——内部控制的直接目标
预算目标是企业战略的具体体现,它可以是财务指标,如净资产收益率、经济增加值;也可以是财务指标和非财务指标的结合。不同的预算目标反映了不同的企业价值取向。
3.预算的编制与实施——事前内部控制
预算编制是预算目标的具体落实,即将其分解为责任目标下达给各子公司的过程。预算的编制应以企业的预算目标为基础,尽量做到全面、系统、完整。凡与企业经营目标有关的经济业务和事项,均应通过预算加以反映,并要注意各项预算之间的协调平衡。
4.预算的执行与监控——事中内部控制
预算的控制作用主要体现在以下两个方面:①运用预算指标对各项生产经营活动进行日常控制,保证一切活动严格按预算执行;②环境等因素的变化使得原有的预算失去存在基础时所进行的预算调整。预算编制好以后,在企业内部就具备了“法律效力”,企业的各项经营活动都应根据预算进行。同时,预算执行过程中还应做好预算执行情况的记录,进行有关预算信息的收集与反馈。
5.预算的修订与考评——内部控制绩效的评价
为了保证预算的科学性和适用性,必须建立合理的预算调节机制。一般将预算调整分为两类:目标调整和内部调整。对前者应规定严格的限制条件,除了突发的特殊事项需要进行调整以外,一般每年只调整一次;后者属于企业内部资源的调整,并不影响企业的经营目标,调整频率可以适当增减。
在考核时,企业应适应员工不同层次的要求,采用多元化的奖惩方式,采用动态评价模式,这样做可以使之成为全体员工创造价值增值的动力。
(六)运营分析控制
《基本规范》第三十四条规定,运营分析控制要求企业建立运营情况分析制度,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
1.分析对象
应包括营运能力、偿债能力、盈利能力、筹资能力等。
2.信息收集
在进行运营情况分析时,应当充分收集与分析对象相关的信息.
3.分析方法
企业应选择适当的方法对信息加以分析,全面系统地评价企业的运营状况。常见的分析方法有因素分析法、对比分析法、比率分析法、趋势分析法等。
(七)绩效考评控制
《基本规范》第三十五条规定,绩效考评控制要求企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
企业应建立一个有效的绩效评估体系,该绩效评估体系应当体现:
一是与企业战略目标的一致性。
二是目标的明确性。
三是可接受性,使得绩效考评系统能够被员工接受,同时公平地对待每一位员工。
四是考评结果要与被考评者的奖惩相挂钩,定期发布考评通报,考评结果要与员工的薪酬、职务晋升、评优、降级、调岗、辞退等相挂钩,树立正确的用人导向。
(八)重大风险预警和突发事件应急处理机制
《基本规范》第三十七条规定,企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制订应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
1.重大风险预警机制
重大风险往往影响到企业的生存和发展。对于可能影响经营活动的重大风险,应该建立预警机制。
2.突发事件应急处理机制
突发事件是指突然发生,造成或者可能造成重大人员伤亡,财产损失,危及企业生产经营的紧急事件。
事前预防是指采取有效的防范措施,尽可能防止突发事件的发生,包括对可能发生的突发事件相关信息进行收集、整理和分析,并根据分析结果进行规划,作出警示。
突发事件的应急处理是指发生有关事件后,企业内部的责任人员能够迅速作出反应并采取有效措施降低事件可能造成的损失和影响。
事后处理是指在突发事件处理结束后对原有状态的恢复,以及对相关部门或人员进行奖惩。
五、关于信息与沟通
《基本规范》第三十八条规定,企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。
信息与沟通是指企业及时、准确、完整收集整理与企业经营管理相关的各种内外部信息,并借助信息技术,促使这些信息以恰当的方式在企业各个层级之间进行及时传递、有效沟通和正确使用的过程。
(一)信息与沟通的基本要求
《基本规范》第三十九条规定,企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。
信息的有用性是指在规定的时间内,将正确的信息传递到正确的人手中。具体包括:
第一,信息的内容是恰当的;
第二,企业各级管理人员能够及时获取所需的各种内外部信息;
第三,向不同级别的管理人员汇报详细程度不同的信息;
第四,信息是最新的和容易获取的。
信息收集的内容包括内部信息和外部信息。
《基本规范》第三十九条第二款规定,企业内部可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。企业外部可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。
信息的质量是影响企业管理决策科学性和正确性的重要因素。信息加工是对所收集的零散的、非系统的必须信息进行必要的筛选、整理和加工,确保信息的有用性。
《基本规范》第四十条规定,企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。
(二)充分发挥信息技术在信息与沟通中的重要作用
《基本规范》第四十一条规定,企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。
(三)反舞弊
《基本规范》第四十二条规定,企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。
1.明确反舞弊工作的责任归属
审计委员会或董事会授权机构负责企业反舞弊的指导工作。企业管理层负责建立反舞弊机制,并组织实施反舞弊工作。企业应指定具体组织并执行反舞弊工作的部门,可以是审计、监察、内部控制部门等。
2.明确反舞弊工作的重点领域
《基本规范》第四十二条第四款规定了企业反舞弊工作的重点领域和关键环节,包括:未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益的行为;在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等行为;董事、监事、经理及其他高级管理人员滥用职权的行为;相关机构或人员串通舞弊的行为。
3.规范舞弊案件的举报、调查和报告程序
企业应当书面记录舞弊案件举报的主要内容,以供管理层、董事会及其审计委员会检查。
涉及管理层的举报案件,应当报公司董事会及其审计委员会批准后,再进行有关调查。对于实名举报案件,无论是否立项调查,企业都应当向举报人反馈调查结果。
有关舞弊案件的调查结果和反舞弊常设机构的工作报告应当及时向管理层、董事会及其审计委员会报告。
4.舞弊的补救措施和处罚
《基本规范》第四十三条规定,企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。
(1)举报投诉制度
举报投诉制度是指企业内部建立的、鼓励员工对企业内部各类违法或不当行为进行举报,并由专门机构对举报投诉内容进行调查处理的一系列政策、程序和方法。
(2)举报人保护制度
企业应当建立举报人保护制度,采取严密的事前、事中、事后保护措施,防止出现打击报复,造成举报人受到人身伤害、名誉损害或各种损失。
六、关于内部监督
内部监督是企业内部控制得以有效实施的机制保障,在内部控制构成要素中,具有十分重要的作用。需要说明的是,受成本效益原则影响,内部监督只能对内部控制有效性的合理结论提供支持。
内部监督与内部控制其他要素相互联系、互为补充,共同促进企业实现控制目标。
第一,内部监督以内部环境为基础,并与内部环境有极强的互动关系。
第二,内部监督与风险评估、控制活动形成了三位一体的闭环控制系统。
第三,内部监督离不开信息与沟通的支持。
《基本规范》第四十四条规定,企业应当制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。
(一)内部监督的机构及职责
按照监督主体的职责和性质,内部监督机构分为:
1.专职的内部监督机构
一般情况下,企业可以授权内部审计机构具体承担内部控制监督检查的职能。专职内部监督机构根据需要开展日常监督和专项监督,对内部控制有效性作出整体评价和提出整改计划,督促其他有关机构整改。
2.其他机构的监督职责
企业应当在组织架构设计与运行环节明确内部各机构、各岗位的内部监督关系,以便于监督职能的履行。内部各机构监督应在其职责范围内,承担内部控制相关具体业务操作规程及权限设计的责任,并在日常工作中严格执行。
(二)内部监督程序
内部监督的程序一般为:
1.建立健全内部监督制度。
2.实施监督,预防和发现内部控制缺陷。对内部控制建立与实施情况进行监督检查,最直接的动机是查找出企业内部控制存在的问题和薄弱环节。
3.分析和报告内部控制缺陷。内部控制缺陷的报告对象至少应包括与该缺陷直接相关的责任单位、负责执行整改措施的人员、责任单位的上级单位。
4.对内部控制缺陷的整改。
(三)内部监督的方法
《基本规范》将内部监督分为日常监督和专项监督。
1.日常监督
日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。实务中,按照监督的主体,一般分为管理层监督、单位(机构)监督、内部控制机构监督、内部审计监督等。
(1)管理层监督
董事会召开董事会议或专业委员会会议,获取来自经理层的风险评估与控制活动信息。
经理层召开经理办公会、生产例会、经济活动分析例会等,收集、汇总内部各机构的经营管理信息,持续监督内部各机构的工作进展、风险评估和控制情况。
董事会(或授权审计委员会)、经理层组织实施内部控制评价,听取内部控制评价报告,获取内部控制设计和运行中存在的缺陷,积极采取整改措施并督促整改,促进实现内部控制目标。
(2)单位(机构)监督
企业所属单位及内部各机构召开部门例会或运营分析会等,汇集来自本单位(机构)内外部的有关信息,分析并报告存在的问题,对日常经营管理活动进行监控。
企业所属单位及内部各机构对内部控制设计与运行情况开展自我测评,至少每年检查一次。
(3)内部控制机构监督
有条件的企业,应当设置专门的内控机构。
内部控制机构还可以通过控制自我评估的方法,召集有关管理层和员工就企业内控制度设计和执行中存在的特定问题进行面谈和讨论,同时可以通过开展问卷调查和管理结果分析等方式进行监督测试。
(4)内部审计监督
制定内部审计计划,定期组织生产经营审计、内部控制专项审计和专项调查等,并向董事会或经理层提出管理建议。
内部审计机构对审计中发现的违反国家法律法规和企业章程规定的事项提出审计建议,作出审计决定,并对审计建议和审计决定的落实情况进行跟踪监督。
2.专项监督
根据《基本规范》第四十四条第二款规定,专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位等发生较大调整或变化的情况下,对内部控制的某一或某些方面进行有针对性的监督检查。
专项监督的范围和频率取决于以下因素:
一是风险评估的结果。
二是变化发生的性质和程度。
三是日常监督的有效性。
专项监督一般包括三个阶段:
一是计划阶段,主要任务包括规定监督的目标和范围;
二是执行阶段,主要任务包括获得对业务单元或业务流程活动的了解;
三是报告和纠正措施阶段。
需要强调的是,企业内部控制(审计)机构、财务机构和其他内部机构都有权参与专项监督工作,也可以聘请外部中介机构参与其中,但参与专项监督的人员必须具备相关专业知识和一定的工作经验,且不得参与对自身负责的业务活动的评价。
(四)内部监督的要求
1.对监督人员的要求
负责监督的人员应具有胜任能力和客观性。一般而言,客观性依自我监督、同级监督、上级监督和完全独立监督而逐级增强。
2.监督应考虑的控制和信息的适当、充足程度
企业应根据风险评估,识别内部控制中的关键控制,收集判断内部控制有效性的有说服力的信息,从而进一步明确监督程序,以及需执行的频率。
关键控制应考虑以下因素:复杂程度较高的控制;需要高度判断力的控制;已知的控制失效;相关人员缺少实施某一控制所必需的资质或经验;管理层凌驾于某一控制活动之上;某一项控制失效是重大的,且无法被及时地识别并整改。
适当的信息必须是相关的、可靠的、及时的和充分的。
按照信息的相关性,可以分为两种:一种是直接信息,可以证实控制的运行情况,另一种是间接信息,是指在控制执行中可以表明其发生改变或无效的其他所有信息,这些信息包括但不限于:控制运行的统计数据;关键风险指标;关键绩效指标;行业同比数据。
信息的可靠性是指信息应当是准确的、可验证的、客观的(即无偏见信息的程度)。
信息的及时性是指信息必须在一定的时间范围内生成并使用,从而能够预防控制缺陷,或者在这些控制缺陷产生不利影响之前,就及时发现并予以整改。
信息的充分性是指针对某一控制点的业务记录中,有多少样本纳入了监督测试的范围。
(五)内部控制缺陷及自我评价报告
1.内部控制缺陷
所谓内部控制缺陷,是指内部控制的设计存在漏洞,不能有效防范错误与舞弊,或者内部控制的运行存在弱点和偏差,不能及时发现并纠正错误与舞弊的情况。根据《基本规范》第四十五条规定,内部控制缺陷包括设计缺陷和运行缺陷。
设计缺陷是指企业缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。
运行缺陷是指现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力导致无法有效地实施控制。
企业应当根据《基本规范》第四十五条规定,制定内部控制缺陷认定标准,从定性和定量等方面进行衡量,判断是否构成设计缺陷或运行缺陷,以及缺陷是属于一般缺陷、重要缺陷还是重大缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标;
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标;
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
内部监督中发现的重大缺陷,应当追究责任单位或责任人的责任。
企业应对发现的内部控制缺陷拟定整改工作方案,明确整改的目标、内容、程序、方法和时限要求,并跟踪其实施情况。
2.自我评价报告
《基本规范》第四十六条规定,企业应当结合内部监督情况,当期(一般于年度终了)对内部控制的有效性进行自我评价,出具或披露年度自我评价报告。
(六)内部控制文档记录与保管
《基本规范》第四十七条规定,企业应当以书面或者其他适当的形式妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。也就是说,内部控制建立与实施过程应当“留有痕迹”,内部控制文档不足本身也可视作为一项控制缺陷。按照内部控制要素分类,相关文档记录包括:
1.内部环境文档,一般包括组织结构图、权限体系表、岗位职责说明、员工守则、董事会和监事会成员履历、发展战略规划、企业文化手册、人力资源政策等。
2.风险评估文档,一般包括风险评估流程、风险评估过程记录、风险评估报告、风险矩阵等。
3.控制活动文档,一般包括系列应用指引中的各项流程控制文档,具体由企业经营活动实际情况确定。
4.信息与沟通文档,一般包括客户调查问卷、财务报告、经营分析报告、董事会及专业委员会会议、经理办公会议、财务例会等重要会议纪要、举报投诉记录等。
5.内部监督文档,一般包括往来款项询证函、资产盘点报告、审计计划、审计项目计划、年度内部审计工作总结、审计报告、审计意见书、审计决定书、整改情况说明材料、员工合理化建议记录、专项监督实施方案和过程记录、专项监督报告、内部控制自我监督检查及测试记录、内部控制自我评价报告等。
按照文档形成过程进行分类,相关文档也可分为控制的设计文档、执行文档和测试文档。设计文档应该按照“谁设计、谁保留”的原则,由设计责任部门保留,内部控制机构(部门)保留企业整体层面控制设计文档,部门和单位保留操作细则和本部门岗位职责和权限指引等,保存期限一般为10年;执行文档由执行机构保留,保存期限遵从有关专业要求;测试文档按照“谁测试、谁保留”的原则,由负责测试的部门保留,保存期限为一般10年。
七、关于附则
附则主要涉及三个方面的主要内容:一是关于解释权;二是关于配套办法;三是关于基本规范的实施时间。
浙公网安备 33021202002483