内部控制基本规范
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇内部控制基本规范范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
内部控制基本规范范文第1篇
2008年6月28日,财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范会,会议了《企业内部控制基本规范》(以下简称《基本规范》),自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。
《基本规范》在企业内控体系中处于最高层次,起统驭作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素等基本要求,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据。《基本规范》的颁布实施,必将对我国企业及资本市场的发展产生深远影响。
内控是为了企业的生存发展而存在的,是促成企业目标实现的一种重要方法和手段,内部控制的目的是在合理的范围内保证企业基本目标的实现。盈利是企业生存和发展的基础,如果不能盈利,就连自身的生存都难保证,其他目标更无从谈起。企业要想实现盈利,就必须控制风险,必须建立有效的内控体系。企业要改善现有的管理水平,就必须借助于内控体系,完善的内控体系是促进管理落实的手段,可以促进企业实现发展目标。
同时,健全有效的内部控制,有利于提高财务信息质量,提升财务报告的有效性,这对于保证投资者对高质量财务信息的需求,体现资本市场“公开、公平、公正”的原则,保护投资者合法权益具有至关重要的意义;有利于上市公司遵守国家法律、法规、规章及其他相关规定,堵塞管理漏洞,保障公司资产的安全,有效提高公司风险防范能力,减少乃至避免舞弊事件的发生;有利于提高经营效率和效益,提升企业经营管理水平、盈利能力和持续发展能力,增强公司竞争力,从而提高上市公司质量,最大限度地回报股东和社会。
面对国际市场日趋激烈的经济竞争环境,我国企业要“走出去”,进入国际产业和资本市场投资,必须苦练内功、强化内控、防范风险,这样才能立于不败之地。可以说,企业内控体系的建立与实施,为我国企业“走出去”提供了“安全网”和“防火墙”。
实施《基本规范》对企业提出了诸多要求。
在以人为本的现代化企业管理中,员工的地位日趋重要,员工也越来越看重工作的环境,特别是软环境,比如:企业文化、管理理念、管理层是否关注员工的工作和日常生活以及员工的职业生涯发展等。另一方面,制度再周全也不可能凡事都规范到位,制度可以规定员工出工,但无法规定员工出力。因此,企业管理控制的核心是企业中的人及活动,只有提高了人的主观能动性,才能加强内部控制实施效果。
企业文化作为一种无形的精神力量与源泉,影响着企业员工的思维方式和行为活动。优秀的企业文化可以促进企业发展,防止企业衰败;不良的企业文化也可能阻碍企业发展,甚至导致企业倒闭。因此,企业必须培养自身的优良文化,将企业文化与内控制度的建立有机的结合起来,从而更好地推动企业发展。
职业道德属于非法律性质的道德范畴,不履行职业道德并不一定违法,但是职业人如不履行职业道德,必将遭到淘汰。公司应提供职业道德方面的指导,使所有员工在日常或特定的环境下能保持正常的判断;制定公司的行为准则,并传达给全体员工,将员工不诚实和不讲道德标准的动机与机会降到最低。职业道德有许多范畴,不同岗位的人员职业道德不一定相同,《国际会计职业道德准则》中对会计从业人员提出8条准则,内容包括:廉正、客观、独立、保密、技术标准、业务能力、工作胜任、道德自律。我国《会计法》第39条也规定会计人员应当遵守职业道德,提高业务素质。提高员工的职业道德特别是财务人员的职业道德将有助于企业内控制度的建立与实施。
企业内部控制体系的构建是一项重大而复杂的系统工程,在这个过程中我们要牢牢把握住正确的发展方向,实施过程中应注意以下几方面。
摘 要】企业内部控制体系的构建是一项重大而复杂的系统工程,在这个过程中我们要牢牢把握住正确的发展方向,实施过程中应注意以下几方面:一是立足国情、符合实际。二是把握方向、注意动态。三是稳步推进、逐步发展。
【关键词】企业内部控制 基本规范
2008年6月28日,财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范会,会议了《企业内部控制基本规范》(以下简称《基本规范》),自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。
《基本规范》在企业内控体系中处于最高层次,起统驭作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素等基本要求,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据。《基本规范》的颁布实施,必将对我国企业及资本市场的发展产生深远影响。
内控是为了企业的生存发展而存在的,是促成企业目标实现的一种重要方法和手段,内部控制的目的是在合理的范围内保证企业基本目标的实现。盈利是企业生存和发展的基础,如果不能盈利,就连自身的生存都难保证,其他目标更无从谈起。企业要想实现盈利,就必须控制风险,必须建立有效的内控体系。企业要改善现有的管理水平,就必须借助于内控体系,完善的内控体系是促进管理落实的手段,可以促进企业实现发展目标。
同时,健全有效的内部控制,有利于提高财务信息质量,提升财务报告的有效性,这对于保证投资者对高质量财务信息的需求,体现资本市场“公开、公平、公正”的原则,保护投资者合法权益具有至关重要的意义;有利于上市公司遵守国家法律、法规、规章及其他相关规定,堵塞管理漏洞,保障公司资产的安全,有效提高公司风险防范能力,减少乃至避免舞弊事件的发生;有利于提高经营效率和效益,提升企业经营管理水平、盈利能力和持续发展能力,增强公司竞争力,从而提高上市公司质量,最大限度地回报股东和社会。
面对国际市场日趋激烈的经济竞争环境,我国企业要“走出去”,进入国际产业和资本市场投资,必须苦练内功、强化内控、防范风险,这样才能立于不败之地。可以说,企业内控体系的建立与实施,为我国企业“走出去”提供了“安全网”和“防火墙”。
实施《基本规范》对企业提出了诸多要求。
内部控制基本规范范文第2篇
一、梳理企业现有治理结构、完善组织设计及部门设置
图1 内控环境构建流程
合理的公司治理结构既是内控环境的组成部分,又是内控体系得以顺利实现的基础,所以上市公司首先应该明确自己的战略目标,根据战略目标规范治理结构,对现有组织结构、部门职责进行全方位的梳理,同时还要按照五部委的《内控规范》设立相应的内控部门及部门职责。其次,上市公司还应在上述基础上对公司所有的规章制度进行查缺补漏,整合成符合公司实际需求的制度体系。
二、建立内部控制系统
世界上不存在两个完全相同的企业,即便是同一行业中的两个企业,销售同类型的产品,都会在运营管理中体现出不同的文化特色、管理风格,这就决定了每个企业一定会有自己所特有的内控环境,因而其内部控制系统也一定是各有差异、各具特色。
企业内部控制的主要目标是为了经营合规合法、运作高效率、控制风险。为此,构建企业内部控制系统应该是一个长期、动态持续的过程,一般可以分为以下几阶段:
1.对企业风险进行系统评估。
图2 企业风险评估体系
风险评估是被国内企业最容易忽视的环节,而实际上,这个环节却是建立企业内控体系的一个至关重要的前提。企业应当基于所处行业的特色和企业自身的业务特征,利用专业的评估工具对企业的内外风险进行量化的分析,对风险可能发生的频率和后果赋值,计量风险的严重程度,同时设定企业对风险的容忍限度,对诊断出的所有风险进行排序,随后建立相应的风险数据库及风险应对策略。
2.建立书面的内部管理手册。
图3 企业内部管理手册建立流程
在前述建立的风险数据库的前提下,企业的任务是对应于上述风险数据库对企业整个运营管理流程进行分类,针对具体业务流程(明细程度可能根据企业的控制目标具体界定)确定关键岗位、职责表,描述关键控制点及相关的关键控制活动,分析不相容职务表(详见“立信锐思――如何企业内部管理手册”)。
企业的内部管理手册应该是系统的、可操作的,所以在内部管理手册的最后应当有相应控制活动的对应内审程序及职责表,以便于企业持续的监督,也就是在内控设计有效的基础上确保执行的有效性。
3.对企业内部管理手册的执行进行持续监督。
在以往的国有上市公司内控失败的案例中,很多企业已经制订了防范风险的控制制度,这些制度设计虽不能避免所有的风险,但至少可以保证不会导致企业破产清算,难以持续经营。他们的失败不在于缺乏制度,而在于缺乏监督,致使制度形同虚设,舞弊肆虐、管理完全失效。
企业在建立了内部管理手册以后,由专门的、职责独立的内审部门负责日常的监督,并及时直接地向企业内部控制委员会汇报、实施有效控制。
对企业来说,仅实施日常监督是不够的,内部控制委员会还要制定专项监督制度,对企业的非经常性项目进行不定期的监督,以防止预想之外的风险发生。
4.根据企业的外部环境及内部业务的变化对内控体系进行动态更新。
企业在业务发展的过程中会发生大小各异的内部变化,小到低层员工的变动,大到经营模式的变化,这些变动累积到一定程度会导致原有的风险手册和内控管理手册不再符合企业的实际,特别是2008年全球金融危机,企业面临着及其严酷的竞争环境,该环境加剧了企业风险的可变性。因此,企业的内控体系也应该是一个动态更新的过程。
这个动态更新的过程即可以是渐进式的(当内外部变化不是非常剧烈时),也可以急进的、全新式的(当内外部发生的革命性的变化时)。
规范公司内部控制制度的执行和评价报告制度是公司首次执行公司内部控制评价报告制度最困难的一件任务。首次执行大规模的动态更新对于许多公司来说,并不是一件易事。
我们建议企业在首次建立内控体系或重大动态更新时选择第三方的权威中介机构,既可以借助其专业知识为企业量身定做内控体系,也可以通过培训方式培养企业自身的内控理念和意识。
三、对外披露:内控自我评估及内控鉴证
1.内控自我评估。
企业根据国家有关法律、行政法规或者有关监管规则的规定提交并披露(以财务报告为主的)内部控制自我评估报告时,还应当在该报告中披露以下内容:
(1)声明企业董事会对建立健全和有效实施内部控制负责,并履行了指导和监督职责,能够保证财务报告的真实可靠和资产的安全完整。
(2)声明已经遵循有关的标准和程序对内部控制设计与运行的健全性、合理性和有效性进行了自我评估。
(3)对开展内部控制自我评估所涉及的范围和内容进行简要描述。
(4)声明通过内部控制自我评估,可以合理保证本企业的内部控制不存在重大缺陷。
(5)如果在自我评估过程中发现内部控制存在重大缺陷,应当披露有关的重大缺陷及其影响,并专项说明拟采取的改进措施。
(6)保证除了已披露的内部控制重大缺陷之外,不存在其他重大缺陷。
(7)自资产负债表日至内部控制自我评估报告报出日之间(以下简称报告期内)如果内部控制的设计与运行发生重大变化的,应当说明重大变化情况及其影响。
(8)依法及时披露的内部控制自我评估报告,经董事会审议批准后公布。
2.内控鉴证。
内部控制基本规范范文第3篇
【关键词】萨班斯;企业内部控制基本规范;思考
一、萨班斯法案的主要内容
美国布什政府出台的《2002年公众会计改革和投资者保护法案》,简称《萨班斯法案》,它的主要内容涉及加强上市公司董事及高层管理人员的责任、要求上市公司设立审计委员会、强化上市公司财务信息披露义务、加大对违法行为处罚的力度等。法案第302款要求公司首席执行官和财务总监对财务报告“完全符合证券交易法,以及在所有重大方面公允地反映了财务状况和经营成果”予以签字保证。法案第404款要求公众公司年度报告中应包含内部控制报告,强调公司管理层有责任建立和维护内部控制系统并保证相应控制程序的充分有效以及对最近财政年度末的内部控制体系和控制程序有效性做出评价,并要求独立审计师对公司高管层做出的内部控制评价出具鉴证报告。
二、我国内部控制的现状和问题
我国政府从20世纪90年代后期才开始重视企业内部控制。1996年12月财政部《独立审计具体准则第9号――内部控制和审计风险》(于1997年1月1日施行)。1997年5月,中国人民银行颁布第一个关于内部控制的行政规定《加强金融机构内部控制的指导原则》。1999年10月修改后的《会计法》提出各单位应当建立、健全本单位内部会计监督制度。证监会2000年底要求商业银行应建立健全内部控制制度,并就其内部控制制度的完整性、合理性和有效性做出说明,还应聘请会计师事务所进行评价,以内部控制评价报告的形式做出报告。财政部2001年6月颁布了《内部会计控制规范――基本规范(试行)》和《内部会计控制规范――货币资金(试行)》。证监会2001年要求公司监事会在监事会对公司依法运作情况发表独立意见时,应包含公司是否建立完善的内部控制等内容。上交所2006年度的《上市公司内部控制指引》指出,公司在内部控制检查中如发现内部控制存在重大缺陷或存在重大风险,公司董事会应向本所报告该事项,经认定,公司董事会应及时公告。公司董事会应披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。深交所2006年9月28日《上市公司内部控制指引》,要求深市主板上市公司自2006年9月28日至2007年6月30日期间建立起完备的内部控制制度,并从2007年年报开始,按照要求披露内控制度制定和实施情况。2006年7月15日,财政部发起成立企业内部控制标准委员会,研究推进企业内部控制规范体系建设问题。2008年6月28日,财政部、证监会、审计署、银监会、保监会联合了《企业内部控制基本规范》,标志着企业内部控制规范体系建设取得重大突破。基本规范原来计划安排在2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。但是由于上市公司目前的内部现状使得执行起来难度比较大,被迫推迟到2010年1月1日,出具内控自我评价报告则可以推迟2010年年底。
目前,我国关于内部控制的法律法规如《会计法》、《内部会计控制规范》等已经颁布,但是这些法规在实践中由于缺乏相应的监督机制,内部控制的规定如同一纸空文,企业并没有将其付诸到实践中,造成许多单位的内部控制形同虚设,无助于提高企业财务报表的可靠性。从而,我国企业的内部控制相对于一些跨国公司而言,显得有的薄弱,很多公司的内部控制完全是按照管理层的决定,从而导致我国企业内部控制存在一系列问题,主要问题如下:
(一)控制环境管理混乱
我国企业普遍缺乏标准的内部控制环境,大多数企业尽管建立了内部控制机制,但缺乏规范和完整的内控标准,从而导致内控环境管理存在很多混乱之处。
(二)风险管理意识淡薄
我国企业最近几年屡屡在资本市场上折臂,从而导致了巨额的亏损,而这些企业问题的出现或多或少的与企业缺乏必要的内部控制有关,公司的经营失败主要原因是无视制度的存在,不按制度行事,没有对资本市场上的风险有充分的认识。
(三)内部审计薄弱
内部审计作为公司内部控制重要的一环,扮演着非常重要的作用,然而我国企业的内部审计部门势单力薄,内部审计从业人员的独立性也遭到质疑,很多企业的内部审计人员工作并不是向审计委员会直接汇报,而是向管理层汇报,从而使得企业内部审计的职能并没有得到应有的发挥。
由此可见,我国内部控制信息披露的现状是流于形式,还没有能够真正揭示出上市公司的内部控制缺陷,难以起到提高财务报告质量、提升公司治理水平、保护中小投资者等作用。
三、萨班斯法案对我国执行《企业内部控制基本规范》影响的思考
企业内部控制规范体系的实施给不少企业带来脱胎换骨的影响,意味着中国企业内控规范体系建设正在向国际标准靠拢。通过对美国上市公司执行萨班斯法案的成功实践进行研究后发现,《萨班斯-奥克斯利法案》中最难操作、最复杂、耗费成本最高的条款是404条款,即管理层对内部控制评价。统计资料显示,大型美国公司仅在“404合规工作”第一年建立内部控制系统的平均成本就高达430万美元,成本包括:内部人员35000工时的投入、130万美元的外部顾问和软件费用,以及150万美元的额外审计费用。这是许多企业对建立内部控制体系望而生畏的重要原因之一。因此,我国上市公司在内部控制基本规范的执行中可从以下方面入手:
(一)尽早启动内部控制建设的计划。根据经验,1年半的时间对一个企业实施有效的内部控制相当紧迫,越早启动,意味着越少的成本投入。
(二)建立内部控制建设的工作团队。按照基本规范的要求,明确董事会、监事会以及各级管理层在内部控制中的责任,规范审计委员会以及内部审计职能的独立性。同时建立以高级管理层为领导的基本工作团队,确保内部控制的设计、监督、实施相互分离,相互牵制。
(三)开展内部培训,培养和建立自己的内部控制专业人才队伍,解决本企业内部控制体系设计与执行,建立流程管理信息系统和开展内部控制有效性自我评估价与外部审计的人才需求。
(四)企业内控建设团队应从重要性、风险发生的可能性等指标出发,从企业(集团)整体的角度,全面梳理企业风险领域,确定对企业整体而言的高风险领域。从重点领域着手,再推广到整体的范围。
(五)关注内部控制基本规范指引的建设与更新。企业一方面要关注现有政策内的明确要求(如证券交易所内控指引中提出的关注领域)一方面需要时刻关注指引内容的变化与要求。在某种情况下,对政策要求的误判,可能会直接造成企业成本的增加,甚至浪费。
参考文献:
[1]胡向丽,钟亮.萨班斯法案对我国内部控制建设的启示[J].华东科技大学学报,2007(2).
[2]李芳.萨班斯法案404条款的执行与启示[J].中国注册会计师,2006(7).
[3]阎达五,杨有红.内部控制框架的构建[J].会计研究,2001(2).
[4]刘华.萨班斯法案对我国的启示[J].法制与社会,2006(9).
内部控制基本规范范文第4篇
[关键词]内部控制 基本规范 控制环境
一 企业内部控制基本规范及三个指引的介绍
2008年6月28日,财政部、审计署、证监会、银监会联合颁布了《企业内部控制基本规范》(以下简称《基本规范》),该法规文件被称为“中国版的萨班斯法案”’。正式官方文件于2008年5月22日以通知形式下发“关于印发《企业内部控制基本规范》的通知财会[200817号”。理解《基本规范》时也需要考虑《通知》中相关要求。为配合《基本规范》的实施,财政部还颁布了三个指引性文件,即《企业内部控制评价指引》、《企业内部控制应用指引》、《企业内部控制鉴证指引》,并公开征集意见。以下将对《基本规范》和三个《指引》作简单介绍。
(一)《基本规范》主要内容介绍
《基本规范》包括七章、50条条款。第一章规定了规范的范围、适用性以及企业开展年度评价的要求。第二章至第六章规定了企业内部控制需要考虑的重要因素,包括:内部环境、风险评估、控制活动、信息与沟通和内部监督。第七章规定了规范的生效日期,并指出规范的配套办法将由相关部门另行制定。《基本规范》的主要内容包括:
(1)生效日期:自2009年7月1日起实施(基本规范第五十条)。
(2)适用范围:适用于中华人民共和国境内设立的大中型企业(基本规范第二条)。
(3)内部控制的定义及要素:基本规范中定义的内部控制要素与COSO委员会1992年的内部控制整体框架的整体框架基本一致。并融合了COS02004年的企业风险管理整合框架的概念。因此,《基本规范》包含COSO上述两个公告的重要原则。另外,基本规范中定义的内部控制包含全部控制要素,其范围比sox中规定的“财务报告相关的内部控制”更为广泛。
(3)内部控制职责:董事会负责内部控制的建立健全和有效实施,监事会对内部控制的建立和实施进行监督。经理层负责组织领导企业内部控制的日常运行(基本规范第十二条)。
(4)管理层年度自我评价:通知中要求执行基本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告。
(5)执行时需考虑的事项:《基本规范》鼓励运用信息技术和自动控制来加强企业内部控制(基本规范第七条),并要求企业建立内部控制实施的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施(基本规范第八条)。
(6)审计意见: 《基本规范》中未强制企业获取内部控制有效性的审计意见,因而管理层可以考虑是否进行外部审计。接收委托从事内部控制审计的会计师事务所,应根据本规范和其他配套办法等法规,对内部控制的有效性进行审计(基本规范第十条)。
(二)三个《指引》的概要
为配合《基本规范》的实施,财政部同时颁布了三个《指引》,并公开征集意见,其概要如下:
《企业内部控制评价指引》:由财政部制定,用于指导企业管理层对内部控制有效性进行年度评价,包括内部控制的评价程序、方法、缺陷认定和评价报告等。
《企业内部控制应用指引》:由财政部制定,用于指导企业管理层实施内部控制。该指引设置了22个独立文件,包含具体的运营流程和内部控制要素。
《企业内部控制鉴证指引》:由中国注册会计师协会制定,主要用于指导接受企业委托从事内部控制审计的会计师事务所,从事企业内部控制有效性鉴证业务的方法、程序和要求等。
二 我国目前内部控制规范体系建设中存在问题
(一)企业对内部控制的内涵认识不清
企业普遍认为内部控制就是内部控制制度,是企业用以防止发生错误和舞弊或者是用以应付有关部门及主管单位检查而制定的各项规章制度。在内部控制实际运行过程中,企业往往认为有关的职责分工、审批授权制度就是内部控制制度;完成有关部门或主管单位所要求的内部控制制度制定工作,就是实施了企业内部控制,对内部控制只注重制度建设而不重视制度执行,缺乏对内部控制实际执行效果的考核与评价。而按照COSO的ICIF框架对于内部控制的定义:企业内部控制是受企业董事会、管理当局和其他员工的影响,目的在于实现经营效果和效率、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程,应由控制环境、风险评估、控制活动、信息与沟通、监督五个方面的内容构成。COSO框架强调内部控制是为了保证企业目标的实现而实施的控制过程,要围绕五个要素来构建内部控制框架,是一项比较复杂的系统工程。
(二)企业内部控制的相关规范重叠复杂,缺乏统一性
我国原有的企业内部控制评估标准主要依据财政部于2001年6月颁布的《内部会计控制规范基本规范(试行)》以及按业务环节设置的《货币资金》(2001)、《采购及付款》(2003)、《销售及收款》(2003)等7个具体规范来设计。其他的还有证监会于2006年颁布的《上市公司内部控制指引》、《首次公开发行股票并上市管理办法》(中国证监会第32号);国资委于2006年颁布《中央企业财务内部控制评价工作指引(2006年度试点用)》;上交所于2006年6月颁布《上海证券交易所上市公司内部控制指引》,到目前为止尚未正式强制执行;深交所于2006年9月颁布《深圳证券交易所上市公司内部控制指引》,2007年7月1号生效,到目前为止尚未正式强制执行;保监会于2007年4月颁布《保险公司风险管理指引(试行)》;银监会于2007年7月颁布《商业银行内部控制指引》,以指导商业银行内部控制管理。可见,我国不同的政府管理机构各自颁布不同的内部控制的指导原则、指引、规范,这些不同的内部控制规范形式多样、标准不一,增大了内部控制规范之间的协调成本,也不利于构建统一的企业内部控制规范体系。
(三)忽视内部控制环境建设
按照COSO的ICIF框架,控制环境是内部控制框架体系的第一要素,被视为其他控制要素的基础。按照ICIF框架的定义,内部控制环境是指一个企业的基调和氛围,对内部控制形成外部约束,并直接影响企业员工的控制意识。控制环境因素主要包括管理层的经营理念和经营风格,企业员工的道德价值观和工作胜任能力,管理当局的授权和职责分工方法,人力资源的组织与开发,董事会的关注和指导力度等。控制环境是内部控制能否生效的重要因素之一,控制环境的失效必然会直接导致内部控制的失效。由于我国企业普遍存在着大股东或关键人控制问题,内部控制环境未得到应有的重视,很多企业还未开展内部控制环境建设,如公司治理方面存在严重缺陷,管理层关键人凌驾于规章制度之上,内审部门无法肩负起监督职责等。而《证券公司内部控制指
引》、《商业银行内部控制指引》、《上市公司内部控制指引》等虽然都将控制环境列为内部控制规范的要素之一,但也仅仅是对COSO的ICIF框架内容的简单移植。要使内部控制环境在内部控制体系中得到完善,并发挥内部控制环境应有的作用,还需从改进公司治理、更新管理层经营理念、加强员工职业道德教育等基础工作做起。
(四)内部控制的控制环境之公司治理结构还有待于完善
正如前面所述,公司治理是内部控制的环境要素之一,是内部控制的基础与依据,完善的公司治理有助于企业建立了良好的内部控制环境。可见,公司治理结构是内部控制能否发挥作用的关键因素之一,很大程度上将影响内部控制的有效性。我国由于历史和制度原因,还存在着国有股一股独大、内部人控制、监事会形同虚设、内审人员不能依照规章发挥和履行监督职能等公司治理方面的严重缺陷。这些因素必将削弱我国企业内部控制制度的有效性。
(五)内部控制法律框架尚未正式形成,目前正处于起步阶段
从上述已有的内部控制的法律规范以及即将实施的法律规范来看,普遍存在立法层次低、内容分散、缺乏衔接和完整性等特点,而内部控制理论框架的研究也是最近几年兴起,学者对内部控制的内涵、目标等因素的争论较多,尚未形成统一的认识和成熟的理论。
三 完善我国内部控制规范体系的几点建议
(一)提高企业对内部控制的认识和理解,营造良好的内部控制氛围
要同宣传新会计准则、新税法那样,对内部控制进行广泛宣传和推介,改变目前人们普遍将内部控制看做是一项制度性建设的错误观念,使企业管理层和广大员工充分认识到内部控制的包含企业经营活动各个环节的控制过程和活动,是一项复杂的系统工程。只有提高企业管理层和员工对内部控制的认识和理解,才能形成一个良好的内部控制氛围,从而促进内部控制规范的建设和实施。
(二)统一内部控制规范,建立统一的内部控制框架体系
为了改变我国内部控制规范建设中各自为政的现状,建议由财政部牵头,由企业内部控制标准委员会具体负责,对现有财政部、证监会、中国人民银行、国资委、上海证券交易所、深圳证券交易所等部门和机构制订出台的内部控制方面的规范、制度、指引等进行重新梳理和整合,统一内部控制的概念、目标、要素、原则、程序、评价标准等基本内容,制定出适用范围宽泛的内部控制整体框架,作为各类企业内部控制体系建设的参照标准。各部门或机构在履行其各自管理职能时,可以对管辖范围内的企业提出内部控制建设方面的具体要求,但建设内部控制所依据的规范框架应该是统一的。此次财政部、审计署、证监会、银监会联合颁布了《企业内部控制基本规范》,正是为统一内部控制规范,建立统一的内部控制框架体系奠定了坚实的基础。
(三)完善法人治理结构,优化内部控制环境
法人治理结构在很大程度上影响着企业的健康运行和企业目标的实现,并且会对企业内部控制体系的建立与完善产生影响。企业应从完善法人治理结构人手,充分发挥股东会、董事会、监事会的职能;改善股权结构,解决我国企业股权过度集中带来的问题;完善企业内部制衡机制和内部激励机制;增强内部审计部门的独立性,充分发挥其监督评价职能。在改进法人治理结构的同时,还应加强对企业高管人员的培训,使企业管理层树立正确的经营理念和较强的风险管理意识;加强对企业员工的职业道德建设。通过这些基础性工作,优化企业内部控制环境,以保证企业内部控制制度的顺利实施。
内部控制基本规范范文第5篇
关键词:内部控制 评价规范
一、引言
内部控制作为公司治理的关键环节和经营管理的重要举措,在企业发展壮大中具有举足轻重的作用。但从现实情况看,许多企业管理松弛、内控弱化、风险频发,资产流失、营私舞弊、损失浪费等问题还比较突出;从2010年企业随年报披露的内部控制信息来看,有些企业没有披露其内部控制自我评价报告,有少数企业甚至对其内部控制信息没有以任何形式进行披露,而披露了内部控制信息的企业也存在披露的内控的内容不统一,评价的标准不统一,其内部控制自我评价报告的格式、评价的对象、评价结论的表述、评价结论的时效性等方面也存在不一致。鉴于此,本文从《上海证券交易所上市公司内部控制指引》(以下简称“沪指引”)、《深圳证券交易所上市公司内部控制指引》(以下简称“深指引”)、《企业内部控制基本规范》(以下简称“基本规范”)及其由《企业内部控制评价指引》、《企业内部控制应用指引》和《企业内部控制审计指引》组成的《企业内部控制配套指引》入手,比较、分析了三方内部控制评价标准所规范的内部控制内涵、设计及施行、检查与监督及自我评价的披露等几个方面,从而为我国企业完善内部控制的制定和实施实践提供依据,也为我国监管机构进一步完善内部控制法律法规、提高外部监管的效果和效率提供参考。“沪指引”从2006年7月1日施行,适用于在上海证券交易所上市的公司;“深指引”于2007年7月1日起施行,适用于深圳证券交易所主板上市的公司,但不含中小企业板上市公司;“基本规范”于2009年7月1日施行,适用于中华人民共和国境内设立的大中型企业,但是小企业和其他单位可以参照本规范建立与实施内部控制。基本规范的配套指引自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行,在此基础上,择机在中小板和创业板上市公司施行,并鼓励非上市大中型企业提前执行。从中可以看出,“基本规范”及其配套指引虽然施行时间最晚,但适用范围最广,而“沪指引”和“深指引”都仅适用于上市公司。
二、内部控制内涵比较研究
( 一 )内部控制的定义 “沪指引”所称内部控制是指,“上市公司为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排,是由公司董事会、管理层及全体员工共同参与的一项活动。”“深指引”所指内部控制为,“上市公司董事会、监事会、高级管理人员及其他有关人员为实现下列目标而提供合理保证的过程: 遵守国家法律、法规、规章及其他相关规定;提高公司经营的效益及效率;保障公司资产的安全;确保公司信息披露的真实、准确、完整和公平。”“基本规范”认为,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略等控制目标的过程。比较三方对内部控制的定义不难看出:(1)目的不一致。“沪指引”是为了保证公司战略目标的实现;“深指引”和“基本规范”是为了实现特定目标而提供的合理保证,但是两者所指的特定目标却存在些许差异,“深指引”是为了提高公司经营的效益及效率、确保公司信息披露的真实、准确、完整和公平,而基本规范却认为是提高经营效率和效果、合理保证财务报告及相关信息真实完整、促进企业实现发展战略。(2)性质不同。“沪指引”认为内部控制既是一项活动也是一种制度安排,而“深指引”和“基本规范”却认为内部控制是一个过程。(3)参与人的不同。“沪指引”和“基本规范”认为是全员参与,而“深指引”却认为只是“董事会、监事会、高级管理人员及其他有关人员”参与,范围明显不同。
( 二 )内部控制的责任人 “沪指引”和“深指引”都明确指出公司董事会应对公司内部控制制度的制定和有效执行负责,“沪指引”更是认为“董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。”虽然“基本规范”一直只称“企业”,没有指明具体的责任人,但在《企业内部控制评价指引》中有提到“企业董事会应当对内部控制评价报告的真实性负责”,在《企业内部控制审计指引》中也明确指出“建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任”。
三、内部控制自我评价规范比较研究
( 一 )建立内部控制自我评价规范应考虑的因素 “深指引”基本上完全借鉴了COSO全面风险管理8要素框架的思想,仅只是把COSO中的“风险应对”调整为“风险对策”,但是就此具体的解释而言,两者差别不大。“沪指引”也借鉴了COSO8要素框架的思想,但是却认为是“风险确认和风险管理策略选择”,而不是“事项识别和风险应对”。“风险确认”仅指考虑了风险,而“事件”识别不仅要识别“风险”也要识别“机会”; “风险对策”是一种风险控制措施,而“风险管理策略选择”却是一种风险管理策略,这有着较为本质的区别,“控制措施”显得较为被动,“管理策略”是主动行为。在对8项要素的解释上,“深指引”和“沪指引”都只是解释了要素的涵义,没有对该要素所包含的具体内容进行说明。“基本规范”在虽然在形式上借鉴了COSO 报告5要素框架,但却在内容上体现了风险管理8要素框架的实质。把原COSO 报告5要素框架中的“控制环境”修正为“内部环境”,却包含了8要素中“目标设定和内部环境” 的内容,其中的“风险评估”实际上包含了“风险识别、风险评估及风险应对”的内容。此外,“基本规范”还对各要素所包含的具体内容给出了较为详细的说明。不管是具体内容,还是内部控制体系,“基本规范”都进行了本质的创新。因此,三方规范对建立和实施内控制度时应考虑的因素本质上并没有不同,只是规范的详细程度不同。
( 二 )上市公司内部控制经营活动 “沪指引”认为上市公司内部控制通常应涵盖的主要经营活动环节有:销售及收款、采购和付款、生产环节、研发环节固定资产管理、资金管理(包括投资融资管理)、担保环节、研发环节、关联交易人力资源管理和信息系统管理等,并依次对所有环节涉及的具体经济业务活动进行了简要说明。该指引没有直接对重要控制活动给出分析,但是却以“专项风险的内部控制” 对控股子公司管理控制的内容及金融衍生品交易的控制活动应遵循的要求进行了详细阐述。“深指引”在公司内部控制通常应涵盖的主要经营活动环节上与“沪指引”没有大的区别,只是“沪指引”考虑了生产环节、研发环节和担保环节,“深指引”考虑了存货管理、财务报告、信息披露环节。与“沪指引”不同,“深指引”并没有对各项经营活动环节的具体内容进行说明,而是以“重点关注的控制活动”的形式对控股子公司的管理控制、关联交易、对外担保、募集资金的使用、重大投资、信息披露等控制活动,从遵循的原则、所涉及的各项具体控制活动等方面进行了详细的规范说明。此外,“沪指引”和“深指引”对除涵盖经营活动各环节的控制外的贯穿于经营活动各环节之中的各项管理制度,所指内容相同,表述上却存在差异。《内部控制应用指引》把公司内部控制通常应涵盖的主要经营活动环节和重要控制活动没有严格区分,一并按照企业内部控制原则和“五要素”框架,通过《内部控制应用指引》第6号到第14号规范了企业涉及的9项具体业务活动实施的控制,即资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告。9项应用指引分别从各项业务活动的内涵、所要达到的目标、每项业务活动各环节的经济业务活动及相应的控制点,从事各项经济业务活动所面临的风险及应采取的应对措施等方面进行了详细的规范。实际上,企业重要控制活动应贯穿于企业主要经营活动环节中,两者有着本质的不同,但却不能将两者严格割裂开来。“沪指引”简要阐述了企业内部控制应涵盖的主要经营活动环节,但却没有指出其中所面临的风险及采取的应对策略;“深指引”除了提到企业内部控制应涵盖的主要经营活动环节外,更是从遵循的原则及应达到的目标量方面分别详细阐述了6项企业应重点关注的控制活动,但是却没有指出其内涵和各业务活动各环节的经济业务活动及相应的控制点,更没有指出该项经济活动所面临的风险及应采取的应对措施;而9项内部控制指引却弥补了前面两者的不足,更在其中处处体现了内部控制“五要素”框架的思想。
( 三 )内部控制自我评价规范控制手段 控制手段是企业在实施内部控制的过程中为实现控制目标所采取的各项方法和措施的总和。一般来讲,内部控制的控制手段或措施有两类:一类是针对某项单一的控制活动或控制点,保证其有效性而一贯应采取的控制手段,如:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等;另一类往往针对的是企业整体业务或管理活动的控制,可以采用的控制手段有全面预算、合同管理、内部信息传递和信息系统等。“基本规范”结合各项控制手段的要求和企业在该项控制措施下应采取的具体控制措施,对前类控制措施进行了详细说明;《企业内部控制应用指引》的第15号至18对第二类指引从控制措施的适用范围、条件、目的、实施过程中各环节面临的风险及应采取的应对措施进行了详细的规范。“沪指引”没有单独就此进行明确规范,只是在“专项风险的内部控制”部分,结合具体内容给出了具体的控制措施。“深指引”除了在“重点控制活动”部分结合具体内容给出了具体的控制措施外,还明确指出“……建立相应的授权、检查和逐级问责制度,确保其在授权范围内履行职能;设立完善的控制架构,并制定各层级之间的控制程序,保证董事会及高级管理人员下达的指令能够被严格执行。”
( 四 )内部控制自我评价规范风险管理 “沪指引”仅指在“专项风险的内部控制”部分就控股子公司、金融衍生品交易的风险管理作了较为详细的界定,其他风险的内部控制只是一笔带过。“深指引”从整体上笼统进行了说明,“公司应建立完整的风险评估体系,对经营风险、财务风险、市场风险、政策法规风险和道德风险等进行持续监控,及时发现、评估公司面临的各类风险,并采取必要的控制措施。”“基本规范”不仅从整体上针对企业所面临的内部和外部风险的识别、分析和规避等方面进行了提纲挈领的说明,更是把风险管理的思想嵌入到9项控制活动类应用指引的每项控制活动的每个控制点,更符合实际,体现了全面风险管理的理念。
( 五 )内部控制自我评价规范监督 检查监督作为内部控制要素之一,是企业自行检查内部控制运行情况的重要举措。但是,“沪指引”、“深指引”及“基本规范”却对检查监督的目的、主体、方法、频率等方面进行了不同的规范。检查监督的目的。“沪指引” 发现内控制度是否存在缺陷和实施中是否存在问题,并及时予以改进;“深指引” 发现内部控制缺陷和异常事项,评估其执行的效果和效率,并及时提出改进建议;“基本规范”下分为日常监督和专项监督,日常监督是对企业建立与实施内部控制的情况进行常规、持续的监督检查,专项监督是对企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。检查监督的主体。“沪指引”下公司应确定专门职能部门负责日常检查监督,配备专门的检查监督人员,并且公司董事会应对内部控制的检查监督工作提供指导及审阅内部控制检查监督工作报告;“深指引” 认为应设立专门负责监督检查的内部审计部门;“基本规范” 下内部审计机构或经授权的其他监督机构都可以。检查监督的方法。“沪指引”所认为的内部控制检查监督的方法实际上是包含了检查监督程序及方法的一整套规章制度。“深指引”没有涉及到检查监督的方法问题。“基本规范”也没有对监督检查的方法进行规范,但“企业内部控制评价指引”中明确指出,内部控制评价程序一般包括:制定评价方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节,具体在对被评价单位进行现场测试时,可以综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法。
四、内部控制信息披露研究比较研究
( 一 )不定期内部控制信息披露 “沪指引”规定,公司在内部控制检查监督中发现内部控制存在重大缺陷或存在重大风险时,应及时向董事会报告,董事会应及时向上海证券交易所报告,经交易所认定,董事会应及时对外公告,披露说明内部控制出现缺陷的环节、后果、相关责任追究以及拟采取的补救措施。“深指引” 要求:“公司内部审计部门如发现公司存在重大异常情况,可能或已经遭受重大损失时,应立即报告公司董事会并抄报监事会。公司董事会应提出切实可行的解决措施,必要时应及时报告本所并公告。”“基本指引”只在“信息与沟通”部分笼统地谈到,没有说明是否对外披露以及披露的内容或以何种方式进行披露或报告的问题。
( 二 )定期内部控制信息披露 定期内部控制信息披露一般与年度财务报告的披露相联系,且以内部控制评价报告的形式进行披露。在此基础上,“沪指引”要求披露会计师事务所对内部控制自我评估报告的核实评价意见;“深指引”规定:“注册会计师在对公司进行年度审计时,应就公司财务报告内部控制情况出具评价意见,公司应于每个会计年度结束后四个月内将内部控制自我评价报告和注册会计师评价意见报送本所,与公司年度报告同时对外披露。”而“基本规范”要求,企业的内部控制审计报告应与内部控制评价报告同时对外披露或报送,且企业内部控制审计报告也应当同时对外披露或报送。。虽然如此,但三方规范却对内部控制披露信息内容上存在一些不同,而且所披露内部控制评价报告的格式、内容及披露时间等有不同的规定。内部控制评价报告的格式。“沪指引”和“深指引”均没有对内部控制自我评价报告的格式进行规范。只有“企业内部控制评价指引”以参考格式的形式对此进行了规范,认为内部控制评价报告应包括以下要素:标题、管理当局声明、收件人、评价依据、披露内容、评价结论、报告人单位及签名、报告日期等。内部控制评价报告的内容。“沪指引”规定的内容包括:内部控制的制定和运行情况;检查监督工作情况;内控制度及其实施过程中出现的重大风险及其处理情况;对本年度内部控制检查监督工作计划完成情况的评价;完善内控制度的有关措施;下一年度内部控制有关工作计划。“深指引”下的内容为:内部控制的制定和运行情况,是否存在缺陷;本指引重点关注的控制活动的自查和评估情况;内部控制缺陷和异常事项的改进措施(如适用);上一年度的内部控制缺陷及异常事项的改善进展情况(如适用);公司董事会和监事会针对注册会计师在进行年度审计时对内部控制有效性表示异议涉及的事项做出专项说明(如适用)。《企业内部控制评价指引》下,应分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对内部控制评价过程、缺陷认定、整改情况、有效性结论等相关内容作出披露。此外,如果内部控制评价报告基准日至内部控制评价报告发出日之间发生了影响内部控制有效性的因素,内部控制评价部门应根据其性质和影响程度对评价结论进行相应调整。显然,三者在内部控制自我评价的内容上存在相同点,但也有所不同。内部控制评价报告对外报出的时间。“沪指引”没有对内部控制评价报告的对外报出时间作出明确规定。“深指引”规定,应于每个会计年度结束后四个月内将内部控制自我评价报告报送本所,并对外披露。《企业内部控制评价指引》规定,以12月31日作为基准日,年度内部控制评价报告应于基准日后4个月内报出,这与“深指引”的规定本质上相同的。从上面的分析比较中,我们不难看出,《企业内部控制基本规范》及其配套指引无论是制度要求的口径和范围,还是具体要素和业务活动的内容及相互关系,较《上交所上市公司内部控制指引》、《深交所上市公司内部控制指引》都有了较大的改进。但是,上述规范都是基于现时条件下对内部控制执行有效性作出的评价,也没有对内部控制评价应采用何种方法作出系统规范的说明,而且,除了本文比较分析的规范外,因内部控制体系涉及内容广,如《内部会计控制规范――基本规范》(试行)、《关于加强上市公司治理专项活动有关事项的通知》、《深圳证券交易所主板上市公司规范运作指引》及《关于做好上市公司××年年度报告披露工作的通知》等也涉及到了对内部控制体系中某一方面内容的规范,容易形成评价和监管的多种标准。这些法规的执行范围相互交叉, 法规的内容相互联系但又不完全相同, 同一个公司可能同时适用不只一个内部控制规范。在对公司内部控制进行评价时缺乏统一的评价依据,不仅会影响企业内部控制的设计,也会影响运行效果和效率,自然其评价结论也会不具有比较性,这会影响外部投资者的决策,造成不同的经济后果。这样的现实,不仅降低了法规的实务操作性,也势必会转换为执行过程中的阻力。
*本文系湖北省科技厅项目“湖北省高新技术企业利用资本市场研究”(项目编号:2010DEA015-1)的阶段性成果
参考文献:
[1]上海证券交易所:《上海证券交易所上市公司内部控制指引》(2006年)。
[2]深圳证券交易所:《深圳证券交易所上市公司内部控制指引》(2007年)。
[3]财政部、证监会、审计署、、银监会、保监会:《企业内部控制基本规范》(2008年)。
[4]财政部、证监会、审计署、、银监会、保监会:《企业内部控制评价指引(2010年)。
[5]财政部、证监会、审计署、、银监会、保监会:《企业内部控制应用指引》(2010年)。
