21世纪初,根据第二次修订的《会计法》,财政部制定发布了单位内部会计控制规范,包括《内部会计控制规范——基本规范(试行)》和《内部会计控制规范——货币资金(试行)》等一系列具体规范,实施效果很好。在此基础上,结合国内国外经济发展形势变化,借鉴国际先进经验和做法,经过近十年的不断探索和完善,逐渐形成了企业内部控制规范体系,由《企业内部控制基本规范》(以下简称《基本规范》)和配套指引组成。《基本规范》在企业内部控制规范体系中处于最高层次,起统驭作用,建立了内部控制的总体框架和基本要求,是制定配套指引和完善企业内控制度的依据。配套指引是《基本规范》的具体化,包括系列应用指引、评价指引和审计指引,将在后续章节中逐一进行讲解。本章重点对《基本规范》加以解读。
《基本规范》共七章五十条,各章分别是:总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。
一、关于总则
总则既是《基本规范》的总说明,也是配套指引乃至整个内控规范体系的总要求。总则规定了企业内部控制规范体系的基本问题,包括制定与实施内部控制规范的意义、制定依据、适用范围、内控目标、原则、要素、组织实施、监督检查,以及引入注册会计师审计等制度安排。
(一)内部控制的意义和依据
《基本规范》第一条阐明了制定与实施内部控制规范的意义。一是加强和规范企业内部控制的需要。一般而言,各类存续企业大都建立了相应的管理制度,但是需要根据内控规范要求,对原有制度进行修改、完善和提升;对于新建企业,更需要依据内控规范,构建企业内控制度和管控流程。二是有助于全面提升企业经营管理水平和风险防范能力,促进企业可持续发展。全面提升企业经营管理水平和风险防范能力是内控体系的核心问题,尤其是在当前我国应对国际金融危机、加快转变经济发展方式的时代背景下,内控规范体系对于提升企业核心竞争力,促进企业在后金融危机时期可持续发展,具有特别重要的现实意义和深远的历史意义。三是有利于维护社会主义市场经济秩序和社会公众利益。企业尤其是上市公司是创造社会财富的市场经济主体和宏观经济的细胞。调整产业结构,转变发展方式,提升发展质量,维护市场经济秩序和社会公众利益,从企业做起至关重要。广大企业也只有不断强化内部控制,才能实现维护市场经济秩序和社会公众利益的目标。
根据《基本规范》第一条规定,制定企业内部控制规范的基本依据是《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他有关法律法规。企业内部控制规范体系与上述法律法规是协调一致的。从某种程度上讲,企业内控规范是贯彻落实上述法律法规,保证各类经济活动合法合规的具体制度和办法。
(二)企业内部控制规范的实施范围和时间安排
《基本规范》第二条明确规定,企业内部控制规范适用于中华人民共和国境内设立的大中型企业。首先是上市的大中型企业,包括境内外同时上市的公司和主板上市公司。具体实施时间要求为:自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。对非上市公司的大中型企业,包括国有企业、国有控股企业和外商投资企业等,鼓励提前执行。小企业和其他单位可以参照企业内部控制规范建立与实施内部控制。对于其他单位包括行政事业单位和非营利组织,财政部将待企业内控规范体系建设与实施有序推开后,择机推进非企业单位的内控规范研究制定工作。
大中型企业和小企业的划分标准按照国家有关规定执行。目前一般参照国家经贸委、国家计委、财政部、国家统计局《关于印发中小企业标准暂行规定的通知》(国经贸中小企[2003]143号)的规定执行。如表1-1所示,其中大型和中型企业须同时满足所列各项条件的下限指标。上市公司不区分规模,均应执行基本规范。
表1-1 统计上大中小型企业划分标准
(三)内部控制的定义和目标
《基本规范》第三条明确指出,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
首先,这一定义强调了企业领导者尤其是董事会、监事会和经理层在建立与实施内部控制中的重要作用。如果企业领导者对于内部控制没有足够的认识和高度的重视,内部控制是难以有效实施的。其次,明确了内部控制是全体员工的共同责任。企业的各级管理层和全体员工都应当树立现代管理理念,强化风险意识,以主人翁的姿态积极参与内部控制的建立与实施,并主动承担相应的责任,而不是被动地遵守内部控制相关规定。最后,指明了内部控制是一个过程。内部控制是对企业生产经营过程的控制,也是对实现企业发展目标过程的控制。同时,内部控制又是一个不断优化完善的过程,只有起点,没有终点,必须坚持不懈、持之以恒地持续改进。
《基本规范》第三条第二款规定了内部控制的目标为五个方面。一是合理保证企业经营管理合法合规;二是维护资产安全;三是保证财务报告及相关信息真实完整;四是提高经营效率和效果;五是促进企业实现发展战略。
企业经营管理合法合规强调的是企业要在法律允许的经营范围内开展经营活动,严禁违法经营、非法获利。
资产安全主要是防止资产流失。要确保企业的各项存款等货币资金的安全,防止被挪用、转移、侵占、盗窃。同时还要保护实物资产,防止低价出售,要充分发挥资产效能,提高资产管理水平。
财务报告及相关信息反映了企业的经营业绩,乃至企业的价值增值过程。财务报告反映企业的过去与现状,并可预测企业的未来发展,是投资人进行投资决策、债权人进行信贷决策、管理者进行管理决策和宏观经济调控部门进行政策决策的重要依据。同时,财务报告作为社会公共产品,其真实完整地体现了企业履行的社会责任。
提高经营效率和效果构成企业内部控制的重要目标。企业建立和实施内部控制的内在要求之一是相互制衡、相互监督,这一要求看似与提高效率效果相矛盾,实际上是协调一致的。因为忽视控制的经营管理,将导致重大风险的发生,可能造成企业难以为继,最终降低了经营的效率效果。因此,企业必须正确认识和处理强化内部控制与提高效率效果的关系。
促进企业实现发展战略是内部控制的最高目标,也是终极目标。只要企业在内控上下工夫,切实保证经营管理合法合规、资产安全完整、财务报告及相关信息真实可靠、经营效率效果稳步提高,就一定能提高核心竞争力,促进实现发展战略。
在上述五个控制目标中,企业经营管理合法合规、资产安全完整、财务报告及相关信息真实完整是内部控制的基础目标。我国早期的内部控制是从基础目标开始的。在现代市场经济条件下,建立现代企业制度,促进企业长远发展,不仅要求企业必须围绕这3个基础目标真抓实干,而且必须在提高经营效率和效果上更上一层楼,最终促进企业实现发展战略。
(四)内部控制的原则
《基本规范》第四条规定了企业建立与实施内部控制的五项原则:一是全面性原则;二是重要性原则;三是制衡性原则;四是适应性原则;五是成本效益原则。
全面性原则强调内部控制应当贯穿决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项。千里之堤溃于蚁穴。企业建立和实施内部控制应当避免存在盲区和空白,一定要将相关控制渗透到决策、执行、监督等各个管理环节,实现全面、全员、全过程控制。
重要性原则要求内部控制在兼顾全面的基础上,格外关注重要业务事项和高风险领域。这一原则强调企业建立与实施内部控制应当突出重点、兼顾一般,着力防范可能对企业产生“伤筋动骨”的重大风险。比如,企业通常强调的“三重一大”,正是这一原则的充分体现。又如,企业开展并购重组尤其是跨国并购重组过程中,就应当根据重要性原则,重点防范并购中的评估论证、定价机制、文化融合等重大风险。
制衡性原则要求内部控制在治理结构、机构设置及权责分配、业务流程等方面相互制约、相互监督,同时兼顾运营效率。相互制衡是建立和实施内部控制的核心理念,更多地体现为不相容机构、岗位或人员的相互分离和制约。无论是在企业决策、执行环节,还是在监督环节,如果做不到不相容岗位相互分离和制约,将会造成滥用职权或串通舞弊,导致内部控制的失败,给企业经营发展带来重大隐患。
适应性原则要求内部控制与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整。这一原则强调的是企业建立与实施内部控制绝非一蹴而就,要克服一劳永逸的思想,做到与时俱进,在保持相对稳定的基础上不断加以优化改进。在当今日益激烈的市场竞争环境中,经营风险更具复杂性和多变性。企业应当根据内外部环境的变化,适时地对内部控制加以调整和完善,防止出现“道高一尺、魔高一丈”的现象。
成本效益原则要求实施内部控制必须权衡成本与效益,以适当的成本实现有效控制。实施内部控制是要花费成本的,尤其是按照内部控制规范的要求,聘请注册会计师实施内部控制审计或引入外部咨询机构进行内部控制设计和评价工作,难免增加企业成本。但从企业可持续发展的角度来权衡利弊,只有建立一套科学有效的内部控制体系并狠抓有效实施,才能真正做大做强,打造成“百年老店”,在激烈的市场竞争中立于不败之地。风物长宜放眼量。企业应当克服短视之见,立足长远,抓好内部控制的建立与实施。
(五)内部控制的要素
《基本规范》第五条规定了内部控制的五要素,即内部环境、风险评估、控制活动、信息与沟通和内部监督。
内部控制五要素是立足我国国情、借鉴国际经验的产物。1958年10月,美国会计师协会下属审计程序委员会发布《审计程序公告第29号》,将内部控制分为管理控制和会计控制。1988年,美国注册会计师协会发布《审计准则公告第55号》,提出了“三分法”的概念,即内部控制包括控制环境、会计系统和控制程序三个部分。1992年,美国COSO委员会发布《内部控制整体框架》(COSO报告),认为内部控制由控制环境、风险评估、控制活动、信息与沟通、监督五要素构成。安然事件爆发后,出于全面加强风险管理的考虑,2004年美国COSO委员会制定了《企业风险管理整合框架》,在五要素的基础上,将风险评估拆分、细化为目标设定、事项识别、风险评估和风险应对,从而形成八要素的框架。尽管如此,美国上市公司按照萨班斯法案404条款的要求进行财务报告内部控制管理层评价和注册会计师审计时,其评价和审计的依据仍是1992年COSO报告的五要素。根据我国实际情况,《基本规范》确立的仍是内部控制的五要素,但吸收了COSO八要素的全部成分。正因为如此,美国COSO委员会在《基本规范》发布会上的贺信中明确指出,《基本规范》与包括COSO内控框架在内的世界领先的内部控制框架在所有主要方面保持了一致。
我国内部控制规范体系的目标、对象和要素的关系,如图1-1所示。
(六)内部控制的组织实施
内部控制规范建设是一项系统工程,内部控制的实施更为关键。《基本规范》的第六条至第十条分别从企业、政府部门、中介机构三个不同的角度对确保企业内部控制的有效实施提出严格要求。
第一,企业建立和实施内部控制,至少要做好三个方面的工作。一是按照《基本规范》第六条的规定,根据有关法律法规、本规范及配套指引,制定本企业的内部控制制度并组织实施。企业主要负责人应当重视内控工作,加强组织领导,成立工作组,组织专门人员,制定工作方案,结合本企业实际情况,对企业内控制度和管控流程进行全面梳理优化。二是按照《基本规范》第七条的规定,根据修订后的企业内控制度和管控流程,组织软件专业人员对现有的信息系统进行改造升级,将优化后的流程固化到信息系统中,促进内部控制流程与信息系统的有机结合,从而实现对业务和事项的自动控制,减少或消除人为操纵因素。三是根据《基本规范》第八条的规定,建立和完善实施内部控制的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。
第二,企业应当聘请注册会计师对内部控制的建立与实施情况进行审计,并出具审计报告。对于内部控制的设计和评价工作,企业可以聘请中介机构提供专业咨询服务,并积极做好配合工作。企业可以聘请同一家会计师事务所开展财务报告和内部控制整合审计,以促进审计资源的有效利用。但为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。
第三,强化政府有关监管部门对企业建立与实施内部控制的行政监督。根据《基本规范》第九条规定,国务院有关部门,包括财政部、审计署、证监会、银监会、保监会、国资委等政府监管部门,应当根据有关法律法规和内部控制规范,明确贯彻实施内部控制规范的具体要求,并对企业建立与实施内部控制情况进行监督检查。
二、关于内部环境
《基本规范》第五条规定,内部环境是企业建立与实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。内部环境影响着企业内部控制的方方面面,是内部控制其他四个构成要素的基础,在企业内部控制建立与实施中发挥着基础性作用。现代企业如果没有良好的内部环境,内部控制就会形同虚设。
(一)组织架构
在内部环境中居于基础地位的是组织架构,包括治理结构、内部机构设置和权责分配。企业实行现代企业制度,必须建立健全治理结构,科学设置内部机构,合理分配职责权限。
《基本规范》第十一条明确规定,企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,包括股东大会对重大事项的表决权、董事会的经营决策权、监事会的监督权、经理层的组织实施等,以形成科学有效的职责分工和制衡机制。上述规定是与《公司法》等有关法律法规协调一致的。在实践中,尽管上市公司和实行现代企业制度的非上市企业普遍按照上述有关要求不断完善治理结构,但仍存在决策和执行的交叉问题,如董事会和经理层的职权重叠、相互混淆。如何处理好两者之间的关系,需要在实践中进一步探索,妥善加以解决。从内部控制角度来讲,决策权和经营权相分离,体现了内部控制理念。董事会和经理层应当厘清定位,履行各自相应的职责。董事会应更多地从战略角度对企业发展的重大问题进行决策,经理层应落实董事会决议,更多地抓好决策执行。
关于机构设置及权责分配,《基本规范》第十四条规定,企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。这就要求企业编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。
《基本规范》第十二条和第十三条规定了董事会、监事会、经理层在内部控制建立与实施方面的职责权限。一是强调了董事会对内部控制的建立健全和有效实施负责。监事会对董事会建立与实施内部控制进行监督。董事会下设立审计委员会,负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。二是经理层负责组织领导企业内部控制的日常运行。有条件的企业应当成立专门机构,或者指定适当的机构,具体负责组织协调内部控制的建立实施及日常管理工作。比如,中石油成立内部控制部,中石化在企业改革与管理部设立了内控处,具体牵头组织内部控制相关工作。
鉴于治理结构、机构设置及权责分配问题在内部控制建立与实施方面的基础性作用,财政部等五部委在配套指引中单独制定了《企业内部控制应用指引第1号——组织架构》,明确了组织架构方面的主要风险点及相关内部控制措施。
(二)人力资源
人力资源作为内部环境的重要组成部分,是指企业在建立和完善组织架构的基础上,如何充分发挥“人”的作用。“人”是企业中最重要最活跃的因素,是企业发展的源泉和动力,也是某些风险的制造者和内部控制的实施者。再好的制度,也需要“人”去执行。好的制度必须配备结构合理的优秀人力资源。《基本规范》第十六条和第十七条规定,企业应当制定和实施有利于企业可持续发展的人力资源政策,明确了人力资源政策的主要内容,强调要将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。通常情况下,人力资源管理最应关注的是留住、用好“人才”,首先是管理团队,其次是专业技术团队,然后是企业全体员工。因此,在配套指引中单独制定了《企业内部控制应用指引第3号——人力资源》,全面论述了人力资源在企业发展中的重要作用,提出了人力资源管理中的主要风险点及控制措施。
(三)企业文化
企业文化作为软实力,其在企业经营发展中的深层次影响和决定性作用日益显现出来。《基本规范》第十八条和第十九条对企业文化建设提出了基本要求,规定企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导团队协作精神,树立现代管理理念,强化风险意识;同时,强调董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用,强调高管人员应增强法律观念和意识,严格依法决策、依法办事、依法监督。因此,在企业内部控制配套指引中单独制定了《企业内部控制应用指引第5号——企业文化》,明确了企业文化建设的风险点及主要管控措施。
(四)内部审计
《基本规范》突出了内部审计独立于内部控制设计与执行的地位和作用。《基本规范》第十五条规定,企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计在内部控制中的职责主要是对内部控制的有效性进行监督检查,对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。
在实务中,部分企业建立了专门的内部控制机构,也有一部分企业没有建立内部控制机构,而是由内部审计机构代为履行内部控制相关职责。企业应当按照内部控制监督检查与评价独立于内部控制的设计和运行的原则,逐步建立健全权责明晰的内部控制相关机构或强化内部审计机构在内部控制监督检查与评价中的作用。
除此之外,发展战略和社会责任也属于内部环境的重要组成部分。考虑到发展战略同属于控制目标,社会责任同属于控制活动,在配套指引中专门制定了《企业内部控制应用指引第2号——发展战略》和《企业内部控制应用指引第4号——社会责任》两个内部环境类应用指引,明确了企业制定、实施发展战略和履行社会责任的主要风险点及管控措施。
三、关于风险评估
风险评估由目标设定、风险识别、风险分析和风险应对构成。风险评估是内部控制的重要环节,在企业生产经营过程中,只有进行科学的风险评估,自觉地将风险控制在可承受范围之内,才能实现企业的可持续发展。现代企业面临激烈的市场竞争,风险无处不在。企业要生存发展,就必然要面对来自内外部的各种各样的风险。换句话说,企业总是在应对各类风险和挑战的过程中赢得生存和发展。风险并不可怕,可怕的是没有风险意识,不知晓风险,不能准确地识别风险,不能采取有效的风险应对策略。忽视风险盲目发展,必然导致企业处于不利地位甚至破产倒闭。不做事不发展看似没有风险,然而逆水行舟不进则退,不发展本身也是一种风险。风险评估贯穿于企业生产经营过程的始终,也贯穿于内部控制的始终。
(一)目标设定
《基本规范》第二十条规定,企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。这里所指的设定的控制目标主要是指总则中规定的内部控制五目标。如前所述,企业实现了内部控制的五个方面的目标,就能够实现可持续发展,就能够转变发展方式。实现企业经营的合法合规,需要进行风险评估;实现资产安全目标,需要进行风险评估;实现财务报告及相关信息真实完整,需要进行风险评估;实现提高经营效率和效果,需要进行风险评估;实现企业发展战略,需要进行风险评估。所以风险评估首先要设定目标。目标设定后,要根据既定目标有计划地全面、系统、持续地收集内外部相关信息。企业可以利用信息化手段,加大信息收集量,提高信息的准确性和及时性,以使企业结合实际情况,及时进行风险评估。
(二)风险识别
风险识别是在目标设定的基础上,密切关注内外部主要风险因素。《基本规范》第二十二条和第二十三条列示了企业内外部各种风险因素。配套指引中的系列应用指引列出了企业至少应当关注的主要风险,这些风险是在企业内部控制实施过程中,通过日常或定期的评估程序与方法加以识别。这些风险因素具体化为各项应用指引中的主要风险。在企业生产经营过程中,应将各类风险进行分类整理,形成企业的风险清单。
(三)风险分析
根据《基本规范》第二十四条的规定,风险分析是指在风险识别的基础上,采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
风险的定性分析,是指通过观察与分析,借助于经验和判断对风险进行分析的方法。定性分析一般不需要运用大量的统计资料,使用起来简单易行。该方法主要是通过问卷、面谈及研讨会等形式进行风险分析,依靠专业人员的经验和直觉,或者行业标准及惯例等,对风险相关要素的大小或高低程度进行定性分级。在不需要进行量化时,或者进行定量分析需要的数据无法取得,以及出于成本效益原则考虑采用定量分析方法不经济时,一般应采用定性分析。
风险的定量分析,是指运用一些数据分析模型,将有关风险及其影响予以量化,在此基础上判断风险重要性程度的方法,如敏感度分析法和盈亏平衡分析法等。定量分析需要对构成风险的各个要素和潜在损失程度赋予数值或货币金额,使风险分析的整个过程和结果均被量化。定量分析的方法通常能够提供更高的精确度,往往应用在复杂的经济活动分析中,是对定性分析方法的补充。
(四)风险应对
风险应对是指风险应对策略的选择。根据《基本规范》第二十五条的规定,企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。
风险应对策略包括风险规避、风险降低、风险分担和风险承受。
以目标设定为基础,企业在进行风险识别、风险分析之后,通过实施风险应对策略,排除了风险规避、风险分担和风险承受,凸显了风险降低,需要采取相应的措施,将风险控制在可承受范围之内。配套指引中的系列应用指引明确企业至少应当关注的风险点,并经过风险识别、分析之后,结合应对策略,重点对风险降低作出了规定,即系列应用指引提出的各项控制措施。
风险评估广泛存在于企业经营管理活动中,贯穿并体现于每一项应用指引,从而有效地解决了风险评估的操作性问题。因此,没有必要单独规定风险评估应用指引。
四、关于控制活动
控制活动是指结合具体业务和事项,运用相应的控制政策和程序,或称控制手段实施控制。《基本规范》第二十八条规定,企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等。
(一)不相容职务分离控制
《基本规范》第二十九条规定,不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。不相容职务分离是企业内部控制基本的控制手段。
不相容职务是指那些不能由一个部门或人员兼任,否则可能弄虚作假或易于掩盖其作弊行为的职务。不相容职务分离措施的理念基础是两个或两个以上的部门或人员无意识地犯有同样错误的可能性很小,而有意识地合伙作弊的可能性低于一个部门或人员舞弊的可能性。
企业应首先根据各项经济业务与事项的流程和特点,系统完整地分析、梳理该经济业务与事项涉及的不相容职务,并结合岗位职责分工采取分离措施。有条件的企业,可以借助计算机信息技术系统,通过权限设定等方式实现不相容职务的相互分离。一般情况下,企业的经济业务活动通常可以划分为申请、审批、执行、记录四个步骤。如果每一个步骤都由相对独立的人员或部门分别实施或执行,就能够保证不相容职务的分离。一般应当加以分离的不相容职务有:授权审批职务与执行业务职务、执行业务职务与监督审核职务、执行业务职务与相应的记录职务、财物保管职务与相应的记录职务、授权批准职务与监督检查职务等。
做到不相容职务的分离,应当考虑以下几个方面:一是每类经济业务的发生与完成,不论是简单还是复杂,必须经过两个或两个以上的部门或人员,并保证业务循环中的有关部门和有关人员之间进行检查与核对;二是权力与职责应当明确地授予具体的部门和人员;三是对于重要权力的行使必须接受定期独立的检查等。在实务中,如何判断什么样的职务必须分离,分离的度如何把握,应当要由具有丰富经验的专业人员从发生错误或舞弊的可能性及其影响程度来综合判断。
(二)授权审批控制
《基本规范》第三十条规定,授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。基本规范将授权分为常规授权和特别授权两种,明确要求制定常规授权的权限指引,对于特别授权,更是要对其范围、权限、程序和责任等四个方面作出严格界定,防止特别授权被滥用。对于企业重大的业务和事项,要求实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。至于对重大的业务和事项的判定,需要企业根据本企业的经济业务情况具体确定。
授权审批控制要求企业各级人员必须经过适当的授权才能执行有关经济业务,未经授权和批准不得处理有关业务。授权审批控制应当实现:一是企业所有人员未经授权,不能行使相应权力;二是企业的所有业务未经授权不能执行;三是对于审批人超越授权范围的审批业务,经办人员有权拒绝办理,并向上级授权部门报告。
1.授权批准的形式
按授权批准的形式,可以分为常规授权和特别授权。
(1)常规授权是对办理常规业务时权利、条件和责任的规定,是对企业日常经营管理活动中按照既定的职责和程序进行的授权。一般表现为由管理层制定整个组织应当遵循的相关制度,内部员工在日常业务处理过程中,按照规定的权限范围和岗位职责自行办理或执行各项业务。比如主管采购的副经理负责审批1000万元以上的大额采购、采购部门负责人负责审批500万~1000万元的采购,等等。企业对于常规授权可以通过编制岗位职责手册、权限指引等方式予以公布,提高权限的透明度,加强对权限行使的监督和管理。
(2)特别授权是指企业在特殊情况、特定条件下进行的授权,通常是临时性的,如在洽谈投资、收购兼并、对外担保等重要经济业务中需要临时作出某项承诺,以及超过常规授权限制的交易,都需要特别授权。
2.授权审批控制的内容
授权批准控制的内容一般包括:
一是授权批准的范围。授权批准的范围通常包括企业所有常规性业务活动,从业务的预算编制、执行、业绩报告以及事后的考核等,均应授权相关岗位人员办理。
二是授权批准的层次。企业应当根据经济业务的重要性和金额大小确定不同的授权批准层次。授权批准在层次上应当考虑连续性,要将可能发生的情况全面纳入授权批准体系。同时,应当根据具体情况的变化,不断对有关制度进行修正,适当调整授权层次。
三是授权批准的责任。应当明确被授权者在履行权利时应当对哪些方面负责,避免授权责任不清,出现问题后无法追究责任的情况发生。
四是授权批准的程序,即规定每一类经济业务的审批程序,以便按照程序办理审批,避免越级审批或违规审批。如对于货币资金业务,企业通常应当建立的授权审批程序包括:支付申请、支付审批、支付复核和办理支付等。
3.授权审批控制的实施
任何授权都应当以法律、法规和企业规章制度为依据,一方面需要避免权限过于集中,即所谓的“一支笔”制度,另一方面也要避免盲目授权,使有关人员逃避管理责任。企业的各项授权应予书面化,并通知到所有流程中的相关人员,以确保业务按照授权执行,避免在企业内部由于个别人员比较强势而导致授权混乱或“有法不依”的情况。授权一旦确定后,企业各级管理人员应当在授权范围内行使职权和承担责任。
(三)会计系统控制
《基本规范》第三十一条规定,会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。
会计系统控制主要是对企业发生的经济业务事项进行确认、计量和报告过程所实施的控制。从企业日常会计核算工作的内容来看,主要包括会计机构的设置、填制会计凭证的控制、合理设置和登记会计账簿的控制以及依法编制财务报告的控制等。
财务报告作为会计信息系统运行的最后一个环节,担负着满足会计信息使用者需要的重任。财务报告及相关信息真实完整是内部控制的重要目标之一,因此,在配套指引中专门针对财务报告制定了应用指引,指出财务报告环节的风险、明确财务会计报告的处理程序及在资产清查、结账、财务报告编制方案、对外提供及分析等环节的控制措施,保证会计资料真实完整。
《基本规范》第三十一条第二、三款对会计机构和会计人员作出规定,企业应当依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。在会计机构内部应分别设置会计、出纳,根据凭证传递和处理程序、账簿登记和报表编制的流程区分不相容岗位,确保原始凭证与记账凭证、会计凭证与账簿、账簿与报表之间的核对。
大中型企业应当设置总会计师。设置总会计师的企业,不得设置与其职权重叠的副职。总会计师应组织领导本单位的财务管理、成本管理、预算管理、会计核算和会计监督等方面的工作,参与本单位重要经济问题的分析和决策,总会计师还应具体组织本单位执行国家有关的财经法律、法规等。
(四)财产保护控制
保证资产安全是《基本规范》规定的内控目标之一。《基本规范》第三十二条规定,财产保护控制要求企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。
财产记录控制是指应当妥善保管涉及资产的各种文件资料,避免记录受损、被盗、被毁。首先,应严格限制接近记录的人员,以保持保管、批准和记录职务分离的有效性。其次,各种记录应妥善保存,尽可能减少记录受损、被盗或被毁的可能性。最后,某些重要资料,应当留存备份记录,以便在遭受意外损失或毁坏时重新恢复。
实物保管控制主要是限制接近控制和财产保险控制。其中,限制接近即严格限制未经授权人员对资产的接触,只有经过授权批准的人员才能接触资产,同时还包括对授权使用和处置资产的文件加以限制。主要包括:对货币资金、有价证券、存货等变现能力较强的资产,限制无关人员的直接接触,保证存放的安全;限制接近未使用票据并按规定正确注销已使用的票据;限制接近计算机,终端代码和数据库等。财产保险控制主要是运用财产投保(如火灾险、盗窃险等),降低财产运行风险,确保财产安全。
定期盘点是指定期对实物资产进行盘点,并将盘点结果与会计记录进行比较。企业应当建立盘点制度,明确盘点流程和责任人,确保财产安全。定期盘点控制一般包括:
(1)定期与会计记录核对。实物资产盘点与会计记录核对一致在很大程度上保证了资产的安全。盘点流程通常应先盘点实物,再核对账册,以防止盘盈资产的流失。典型的盘点和复核方法有:定期审核现金记录、定期核对银行存款余额调节表、债权债务明细和与对方单位的对账记录、定期盘点票据、复核永续盘存记录与定期清点结果等。
(2)进行差异调查和调整。实物盘点结果与有关记录之间的差异应由独立于保管和记录职务的人员进行调查。盘点结果如与会计记录不一致,应通过详细调查分析原因、查明责任,并根据资产性质、差异数额及产生原因等,采取保护性控制。
企业应当根据资产的性质确定盘点的频率,如货币资金、有价证券、存货等流动资产、相对于企业持有的固定资产等长期性资产,盘点的频率应更高一些。
鉴于资产安全的重要性,企业内部控制配套指引单独规范了《企业内部控制应用指引第8号——资产管理》。
(五)预算控制
《基本规范》第三十三条规定,预算控制要求企业实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。鉴于《企业内部控制应用指引第15号——全面预算》已作出详尽规定,在此不再赘述。
(六)运营分析控制
《基本规范》第三十四条规定,运营分析控制要求企业建立运营情况分析制度,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
实务中,运营分析控制应与全面预算控制等结合使用,特别是作为预算分析环节的重要补充,同时也是风险评估的重要方面。
1.分析对象
企业在分析运营情况之前,应明确具体的分析对象,至少应包括营运能力、偿债能力、盈利能力、筹资能力等。
2.信息收集
在进行运营情况分析时,应当充分收集与分析对象相关的信息,有关信息既包括企业内部的,也包括企业外部的,既包括财务的也包括非财务的,既包括定量信息也包括定性信息。企业可以通过财务会计资料、经营管理资料、调研报告等渠道获取内部信息;可以通过行业协会、中介机构、市场调查以及有关监管部门等渠道获取外部信息。
3.分析方法
企业应选择适当的方法对信息加以分析,全面系统地评价企业的运营状况。常见的分析方法有因素分析法、对比分析法、比率分析法、趋势分析法等。
运营与分析控制贯穿于系列应用指引的控制措施之中,企业应当通过实施应用指引,有效地应用运营与分析控制。
(七)绩效考评控制
《基本规范》第三十五条规定,绩效考评控制要求企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
企业应建立一个有效的绩效评估体系,该绩效评估体系应当体现:一是与企业战略目标的一致性,绩效评估体系应当与企业发展战略、企业目标和企业文化的要求相一致,发挥绩效考评的导向性作用,保证企业总体目标的实现。二是目标的明确性,绩效评估体系要为被考评对象提供一种明确的指导,告诉员工要达到什么目标,以及如何才能达到这些目标。三是可接受性,使得绩效考评系统能够被员工接受,同时公平地对待每一位员工。考核政策、办法和程序应公开透明,公布给所有的员工,让每一个被考核者和考核者均了解考核的重点和考核指标的含义,给员工提供自我评价和提升的机会,将员工的个人目标与企业的整体目标加以协调和相互联系。四是考评结果要与被考评者的奖惩相挂钩,定期发布考评通报,考评结果要与员工的薪酬、职务晋升、评优、降级、调岗、辞退等相挂钩,树立正确的用人导向。
绩效考评应当与全面预算控制结合使用,特别是作为预算考评环节的重要补充。此外,绩效考评也是人力资源控制的重要内容。或者说,绩效考评控制贯穿于系列应用指引的控制措施之中。企业应当通过实施应用指引,有效地运用绩效考评控制。
(八)重大风险预警和突发事件应急处理机制
《基本规范》第三十七条规定,企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制订应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
1.重大风险预警机制
重大风险往往影响到企业的生存和发展。对于可能影响经营活动的重大风险,如金融企业的信息系统崩溃风险、采掘企业的安全生产风险、海外投资的汇率风险、食品企业的食品安全风险等,企业应当建立有效的防范机制。比如,建立重大风险预警机制和突发事件应急处理机制,明确界定哪些风险是重大风险,哪些事项一旦出现必须启动应急处理机制,应急预案、预警机制等相关的政策和方案应非常明确地传达到相关人员,一旦出现紧急情况,企业能够在第一时间作出反应,将损失降到最低。
2.突发事件应急处理机制
突发事件是指突然发生,造成或者可能造成重大人员伤亡,财产损失,危及企业生产经营的紧急事件。企业应采取各种措施,建立健全预防和应对突发事件的有效机制。突发事件的应急管理机制包括事前的预防、发生突发事件的应急处理及事后相关措施的改进等几个方面。
事前预防是指采取有效的防范措施,尽可能防止突发事件的发生,包括对可能发生的突发事件相关信息进行收集、整理和分析,并根据分析结果进行规划,作出警示。
突发事件的应急处理是指发生有关事件后,企业内部的责任人员能够迅速作出反应并采取有效措施降低事件可能造成的损失和影响。如金融、保险、民航等信息化程度比较高的企业,应指定具体部门和人员负责信息系统受袭或崩溃等突发事件的反应和处置机制。
事后处理是指在突发事件处理结束后对原有状态的恢复,以及对相关部门或人员进行奖惩。
五、关于信息与沟通
《基本规范》第三十八条规定,企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。
信息与沟通是指企业及时、准确、完整收集整理与企业经营管理相关的各种内外部信息,并借助信息技术,促使这些信息以恰当的方式在企业各个层级之间进行及时传递、有效沟通和正确使用的过程。
信息与沟通贯穿于内部控制体系的内部环境、风险评估、控制活动、内部监督四个基本要素,同时又是四个基本要素的重要工具,为企业内部控制的有效运行提供信息保证,从而有助于提高企业内部控制的效率和效果。
《企业内部控制应用指引第17号——内部信息传递》和《企业内部控制应用指引第18号——信息系统》,就信息与沟通相关问题作出具体规定。
(一)信息与沟通的基本要求
《基本规范》第三十九条规定,企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。
信息的有用性是指在规定的时间内,将正确的信息传递到正确的人手中。具体包括:第一,信息的内容是恰当的;第二,企业各级管理人员能够及时获取所需的各种内外部信息;第三,向不同级别的管理人员汇报详细程度不同的信息;第四,信息是最新的和容易获取的。
信息收集的内容包括内部信息和外部信息。内部信息是指来源于企业内部,由各项经营管理活动产生的信息,主要包括:企业经营目标、工作计划、人力资源政策、规章制度、生产信息、经营信息、财务信息、员工举报信息以及信息系统产生的信息等;外部信息是指由企业外部产生,对企业的生产经营管理具有一定影响作用的信息。具体包括宏观经济形势、行业信息、技术进步趋势、竞争对手状况、法律法规信息以及来自政府监管部门的信息等。此外,企业还应当注意非正式信息的收集。非正式信息是指通过非官方的、私下的沟通渠道来传递的信息,或通过与客户、供应商、监管部门的交谈等沟通方式获取的信息。非正式信息的特点是信息传递速度快、效率高。
信息收集的渠道来自于企业内部和外部,《基本规范》第三十九条第二款规定,企业内部可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。企业外部可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。
信息的质量是影响企业管理决策科学性和正确性的重要因素。信息加工是对所收集的零散的、非系统的必须信息进行必要的筛选、整理和加工,确保信息的有用性。
信息只有得以良好的传递和沟通才能真正发挥作用。《基本规范》第四十条规定,企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。
(二)充分发挥信息技术在信息与沟通中的重要作用
《基本规范》第四十一条规定,企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。
《企业内部控制应用指引第18号——信息系统》已作出详尽规定,在此不再赘述。
(三)反舞弊
《基本规范》第四十二条规定,企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。
1.明确反舞弊工作的责任归属
审计委员会或董事会授权机构负责企业反舞弊的指导工作。企业管理层负责建立反舞弊机制,并组织实施反舞弊工作。企业应指定具体组织并执行反舞弊工作的部门,可以是审计、监察、内部控制部门等。反舞弊工作包括受理舞弊举报、组织舞弊调查、出具处理意见及向管理层和审计委员会或董事会授权机构作出报告等事项。
2.明确反舞弊工作的重点领域
《基本规范》第四十二条第四款规定了企业反舞弊工作的重点领域和关键环节,包括:未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益的行为;在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等行为;董事、监事、经理及其他高级管理人员滥用职权的行为;相关机构或人员串通舞弊的行为。
3.规范舞弊案件的举报、调查和报告程序
企业应当建立举报热线电话、电子邮件、举报信箱等,作为员工或社会各方反映、举报舞弊案件的渠道,并将其公布于众。企业应当书面记录舞弊案件举报的主要内容,以供管理层、董事会及其审计委员会检查。
企业应当规范舞弊案件的调查程序,以便对舞弊案件及时进行处理和纠正。负责反舞弊工作的部门应当会同内部控制部门、法律部门等共同进行评估,作出是否调查的决定。涉及管理层的举报案件,应当报公司董事会及其审计委员会批准后,再进行有关调查。对于实名举报案件,无论是否立项调查,企业都应当向举报人反馈调查结果。
有关舞弊案件的调查结果和反舞弊常设机构的工作报告应当及时向管理层、董事会及其审计委员会报告。
4.舞弊的补救措施和处罚
《基本规范》第四十三条规定,企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。
(1)举报投诉制度
举报投诉制度是指企业内部建立的、鼓励员工对企业内部各类违法或不当行为进行举报,并由专门机构对举报投诉内容进行调查处理的一系列政策、程序和方法。
举报投诉是信息沟通的重要手段之一,企业员工处于经营活动的第一线,能够及时发现经营活动及内部控制实施过程中存在的不足、问题和缺陷以及舞弊行为,并能就完善内部控制体系提出合理化建议和改进意见。为此,企业应当建立和完善举报投诉制度,确保举报投诉成为企业有效掌握信息的重要途径。
(2)举报人保护制度
为了切实保护投诉人,维护举报人的合法权益,企业应当建立举报人保护制度,采取严密的事前、事中、事后保护措施,防止出现打击报复,造成举报人受到人身伤害、名誉损害或各种损失。
六、关于内部监督
内部监督是企业内部控制得以有效实施的机制保障,在内部控制构成要素中,具有十分重要的作用。内部控制作为由企业各层级员工共同参与实施的完整系统,是一个不断调整、逐步完善、持续优化的动态过程。因此,在此过程中,不论是内部控制制度的建立与实施,还是内部控制系统的评价与报告,均离不开恰当的监督,从而帮助董事会及经理层预防、发现和整改内部控制设计与运行中存在的问题和薄弱环节,以便及时加以改进,确保内部控制体系得以有效运行。需要说明的是,受成本效益原则影响,内部监督只能对内部控制有效性的合理结论提供支持。
内部监督与内部控制其他要素相互联系、互为补充,共同促进企业实现控制目标。第一,内部监督以内部环境为基础,并与内部环境有极强的互动关系。管理层就内部控制及监督的重要性传达积极的基调,要求定期沟通、对于发现的控制问题积极采取措施等,将直接有益于内部监督的开展。反过来,加大内部监督力度,又有利于进一步优化企业的内部环境,为实现控制目标提供充分保障。第二,内部监督与风险评估、控制活动形成了三位一体的闭环控制系统。企业根据风险评估结果和风险应对策略,制定并实施控制活动,再通过事前、事中和事后的内部监督,对风险评估的适当性和控制活动的有效性进行检查评价和优化调整,进而形成了一套严密、高效的闭环控制系统。第三,内部监督离不开信息与沟通的支持。通过适当的信息收集、传递、反馈渠道,获取足够的相关信息来验证内部控制的有效性,并将发现的问题及时报告给有关方面以促进其整改。所有这些监督活动,均需要良好的信息与沟通机制予以保障。
《基本规范》第四十四条规定,企业应当制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。
(一)内部监督的机构及职责
按照监督主体的职责和性质,内部监督机构分为:
1.专职的内部监督机构
为保证内部监督的客观性,内部监督应由独立于控制执行的机构进行内部监督。一般情况下,企业可以授权内部审计机构具体承担内部控制监督检查的职能。当企业内部审计机构因人手不足、力量薄弱等原因无法有效对内部控制履行监督职责时,企业可以成立专门的内部监督机构,或授权其他监督机构(如监察部门等)履行相应的职责。专职内部监督机构根据需要开展日常监督和专项监督,对内部控制有效性作出整体评价和提出整改计划,督促其他有关机构整改。
2.其他机构的监督职责
内部监督不仅是内部审计机构(或经授权的其他监督机构)的职责,企业内部任何一个机构甚至个人在控制执行中,都应当在内部控制建立与实施过程中承担起相应的监督职责。比如,财会部门对销售部门的赊销行为负有财务方面的监督职能;财会部门负责人对本部门的资产、业务、财务和人事具有监督职责;财会部门内部的会计岗和出纳岗也具有相互监督的职责,等等。企业应当在组织架构设计与运行环节明确内部各机构、各岗位的内部监督关系,以便于监督职能的履行。内部各机构监督应在其职责范围内,承担内部控制相关具体业务操作规程及权限设计的责任,并在日常工作中严格执行。进行定期的管理活动,利用内部和外部数据所做的同行业比较和趋势分析及其他日常活动,将监督嵌入到企业常规的、循环发生的经营活动中;企业应进行定期的测试、监督活动,及时发现环境变化、执行中出现的偏差,及时更新初始控制;企业应建立、保持与内部控制机构有效的信息沟通机制,及时传递内部控制设计和执行是否有效的相关信息。
(二)内部监督程序
内部监督的程序一般为:
1.建立健全内部监督制度。内部监督的制度主要内容包括但不限于:明确监督的组织架构、岗位设置、岗位职责、相关权限、工作方法、信息沟通的方式以及各种表格及报告样本等。
2.实施监督,预防和发现内部控制缺陷。对内部控制建立与实施情况进行监督检查,最直接的动机是查找出企业内部控制存在的问题和薄弱环节。一方面,针对已经存在的内部控制缺陷,及时采取应对措施,减少控制缺陷可能给企业带来的损害。比如,在监督检查中发现销售人员直接收取货款的控制缺陷,应采取对客户进行核查和对应收账款进行分析等方法加以补救。另一方面,针对潜在的内部控制缺陷,采取相应的预防性控制措施,尽量限制缺陷的产生,或者当缺陷发生时,尽可能降低风险和损失,比如,在监督检查中发现企业对汇率风险缺少控制,经理层应及时设立外汇交易止损系统,预防风险扩大。
3.分析和报告内部控制缺陷。内部控制缺陷的报告对象至少应包括与该缺陷直接相关的责任单位、负责执行整改措施的人员、责任单位的上级单位。针对重大缺陷,内部监督机构有权直接上报董事会及其审计委员会和监事会。
4.对内部控制缺陷的整改。通过内部监督,可以发现内部控制建立与实施中存在的问题和缺陷,进而采取相应的整改计划和措施,切实落实整改,促进内部控制系统的改进。
(三)内部监督的方法
《基本规范》将内部监督分为日常监督和专项监督。通常情况下,企业应当综合运用日常监督和专项监督的方法,提高内部控制设计与运行的有效性,促进实现内部控制目标。
1.日常监督
日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。实务中,按照监督的主体,一般分为管理层监督、单位(机构)监督、内部控制机构监督、内部审计监督等。
(1)管理层监督
董事会和经理层充分利用内部信息与沟通机制,获取适当的、足够的相关信息来验证内部控制是否有效设计和运行,并对日常经营管理活动进行持续监督,包括但不限于以下措施:
董事会召开董事会议或专业委员会会议,获取来自经理层的风险评估与控制活动信息。可以利用内部审计、外聘专家及外部审计师、政府监管的力量,也可以通过询问非管理层员工、客户(供应商)等方式,持续监督经理层权力行使情况。
经理层召开经理办公会、生产例会、经济活动分析例会等,收集、汇总内部各机构的经营管理信息,持续监督内部各机构的工作进展、风险评估和控制情况。经理层听取员工的合理化建议,不断完善员工合理化建议机制,明确相应的责任部门、单位、征集方式、评审办法、奖励措施等内容,对员工提出的问题予以及时解决。
董事会(或授权审计委员会)、经理层组织实施内部控制评价,听取内部控制评价报告,获取内部控制设计和运行中存在的缺陷,积极采取整改措施并督促整改,促进实现内部控制目标。
(2)单位(机构)监督
企业所属单位及内部各机构定期对职权范围内的经济活动实施自我监督,向经理层直接负责,包括但不限于以下措施:
企业所属单位及内部各机构召开部门例会或运营分析会等,汇集来自本单位(机构)内外部的有关信息,分析并报告存在的问题,对日常经营管理活动进行监控。
企业所属单位及内部各机构对内部控制设计与运行情况开展自我测评,至少每年检查一次。企业所属单位及内部各机构对与本单位(机构)环境变化、相关的新增业务单元以及业务性质变化、业务变更导致重要性改变的业务活动进行跟进确认,评价并进一步完善相关的内部控制。
(3)内部控制机构监督
有条件的企业,应当设置专门的内控机构。内部控制机构结合单位(机构)监督、内外部审计、政府监管部门的意见等情况,根据风险评估结果,对企业认定的重大风险的管控情况及成效开展持续性的监督。
内部控制机构还可以通过控制自我评估的方法,召集有关管理层和员工就企业内控制度设计和执行中存在的特定问题进行面谈和讨论,同时可以通过开展问卷调查和管理结果分析等方式进行监督测试。
(4)内部审计监督
内部审计机构接受董事会或经理层委托,对日常生产经营活动实施审计检查,包括但不限于以下措施:
制定内部审计计划,定期组织生产经营审计、内部控制专项审计和专项调查等,主要对企业董事、高级管理人员和下属单位负责人的廉洁从业状况、管理制度的落实情况、内部控制的实际效果等进行监督检查,并向董事会或经理层提出管理建议。
内部审计机构对审计中发现的违反国家法律法规和企业章程规定的事项提出审计建议,作出审计决定,并对审计建议和审计决定的落实情况进行跟踪监督。
内部审计机构应当接受审计委员会的监督指导,定期或应要求向董事会及其审计委员会、监事会、经理层报告工作。
2.专项监督
根据《基本规范》第四十四条第二款规定,专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位等发生较大调整或变化的情况下,对内部控制的某一或某些方面进行有针对性的监督检查。
专项监督的范围和频率取决于以下因素:一是风险评估的结果。重要业务事项和高风险领域所需的专项监督频率通常较高;对于风险发生的可能性较低但影响程度大的业务事项(突发事件),进行日常监督的成本很高,为此应更多地依赖专项监督。二是变化发生的性质和程度。当内部控制各要素发生变化,可能对内部控制有效性产生较大影响的情形下,企业应当组织实施独立的专项监督,专门就该变化的影响程度进行分析研究。三是日常监督的有效性,日常监督根植于企业日常、反复发生的经营活动中,如果日常监督扎实有效,可以迅速应对环境的变化,对专项监督的需要程度就越低;反之,对专项监督则需要强度就高。
专项监督一般包括三个阶段:一是计划阶段,主要任务包括规定监督的目标和范围;确定具有该项监督权力的主管部门和人员;确定监督小组、辅助人员和主要业务单元联系人;规定监督方法、时间、实施步骤;就监督计划达成一致意见。二是执行阶段,主要任务包括获得对业务单元或业务流程活动的了解;了解业务单元或流程的内部控制程序是如何设计运作的;应用可比一致的方法评价内部控制程序;通过与企业内部审计标准的比较来分析结果,并在必要时采取后续措施;记录内部控制缺陷和拟定的纠正措施;与适当的人员复核和验证调查结果。三是报告和纠正措施阶段,主要任务包括与业务单元或业务流程的管理人员以及其他适当的管理人员复核结果;从业务单元或业务流程的管理人员处获得情况说明和纠正措施;将管理反馈写入最终的评价报告。
需要强调的是,企业内部控制(审计)机构、财务机构和其他内部机构都有权参与专项监督工作,也可以聘请外部中介机构参与其中,但参与专项监督的人员必须具备相关专业知识和一定的工作经验,且不得参与对自身负责的业务活动的评价。
(四)内部监督的要求
1.对监督人员的要求
负责监督的人员应具有胜任能力和客观性。胜任能力是监督人员在内部控制和相关流程方面的知识、技能和经验。客观性是指在不考虑可能的个人后果,且不会为了追求个人利益或者自我保护而操纵结果时,负责监督的人员执行监督和提供信息的公允程度。一般而言,客观性依自我监督、同级监督、上级监督和完全独立监督而逐级增强。
2.监督应考虑的控制和信息的适当、充足程度
企业应根据风险评估,识别内部控制中的关键控制,收集判断内部控制有效性的有说服力的信息,从而进一步明确监督程序,以及需执行的频率。
关键控制应考虑以下因素:复杂程度较高的控制;需要高度判断力的控制;已知的控制失效;相关人员缺少实施某一控制所必需的资质或经验;管理层凌驾于某一控制活动之上;某一项控制失效是重大的,且无法被及时地识别并整改。适当的信息必须是相关的、可靠的、及时的和充分的。
按照信息的相关性,可以分为两种:一种是直接信息,可以证实控制的运行情况,一般可通过观察执行中的控制、重新执行控制或者直接评估控制执行等方式获得;另一种是间接信息,是指在控制执行中可以表明其发生改变或无效的其他所有信息,这些信息包括但不限于:控制运行的统计数据;关键风险指标;关键绩效指标;行业同比数据。如,企业运营分析的结果属于监督的间接信息。一般来说,间接信息需要推理后才能作出控制有效性的结论,因此识别控制缺陷的能力相对直接信息较弱,包括已存在的控制缺陷可能因为不够重大而无法被作为异常情况识别出来,或者间接信息可能已经随着时间的推移失去了识别异常的能力。
信息的可靠性是指信息应当是准确的、可验证的、客观的(即无偏见信息的程度)。信息的及时性是指信息必须在一定的时间范围内生成并使用,从而能够预防控制缺陷,或者在这些控制缺陷产生不利影响之前,就及时发现并予以整改。
信息的充分性是指针对某一控制点的业务记录中,有多少样本(例如,从1000张会计凭证中选择30张)纳入了监督测试的范围。企业至少应在以下情况下考虑增加监督样本量:近期频繁出现偏差的控制;发生频率不固定的控制;执行监督的人员不熟悉控制程序,或因惯性执行控制可能弱化控制效果;较为复杂的控制;需要运用重大判断的控制;涉及舞弊或管理层凌驾风险的控制等。
(五)内部控制缺陷及自我评价报告
1.内部控制缺陷
日常监督和专项监督的目的是预防和发现内部控制缺陷。所谓内部控制缺陷,是指内部控制的设计存在漏洞,不能有效防范错误与舞弊,或者内部控制的运行存在弱点和偏差,不能及时发现并纠正错误与舞弊的情况。根据《基本规范》第四十五条规定,内部控制缺陷包括设计缺陷和运行缺陷。
设计缺陷是指企业缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。缺少实现控制目标必需的控制,即在企业生产经营过程中的某些环节、某些方面无章可循,长此以往可能导致经营秩序混乱、决策失误、账目不清,降低企业的风险抵御能力,甚至使企业最终破产倒闭。现存控制设计不适当,即企业建立的内部控制制度不符合生产经营活动的实际情况,或生搬硬套其他企业的内部控制制度,或内部控制制度陈旧过时、与其他管理制度自相矛盾,不能适应内外部环境的变化。
运行缺陷是指现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力导致无法有效地实施控制。控制未按设计意图运行,即企业表面上建立健全了内部控制制度,但制度仅体现在书面文件上,既无宣传又无落实,员工在实际生产经营过程中仍按照惯有的思维模式和行动方式开展活动,致使内部控制制度流于形式;执行者未获得必要授权或缺乏胜任能力,即企业内部存在权限不明、职责不清的情形,执行者没有充分的执行权、监督者没有足够的监督权,导致控制运行受阻,以及实施内部控制的员工素质跟不上、胜任能力不够,无法正确理解和运用相关内部控制制度,致使控制运行失效。
企业应当根据《基本规范》第四十五条规定,制定内部控制缺陷认定标准,从定性和定量等方面进行衡量,判断是否构成设计缺陷或运行缺陷,以及缺陷是属于一般缺陷、重要缺陷还是重大缺陷。重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标;重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标;一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的具体认定标准,参见《企业内部控制评价指引》及相关讲解。
企业对于内部监督中发现的内部控制缺陷,应当授权内部审计机构(或履行其他内部监督职责的机构)进行整理汇总,分析缺陷的性质和产生的原因并提出改进建议,采取适当的形式和程序及时向董事会、监事会或者经理层报告,确保缺陷责任单位或责任人员的直接上级或更高层级及时知悉有关风险和控制信息。内部监督中发现的重大缺陷,应当追究责任单位或责任人的责任。
企业应对发现的内部控制缺陷拟定整改工作方案,明确整改的目标、内容、程序、方法和时限要求,并跟踪其实施情况。整改后的控制运行一段时间后,应当对其进行核查以确认整改工作的效果以及控制运行的有效性。
2.自我评价报告
内部控制自我评价是内部监督的一种实现形式,是建立在日常监督和专项监督基础上,定期对内部控制的有效性进行综合评价并出具自我评价报告的过程。《基本规范》第四十六条规定,企业应当结合内部监督情况,当期(一般于年度终了)对内部控制的有效性进行自我评价,出具或披露年度自我评价报告。除此之外,企业还可以根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等,自行确定是否需要扩大内部控制自我评价的频率和范围。内部控制自我评价的目标和原则、范围和内容、程序和方法、缺陷和报告等,参见《企业内部控制评价指引》及相关讲解。
(六)内部控制文档记录与保管
《基本规范》第四十七条规定,企业应当以书面或者其他适当的形式妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。也就是说,内部控制建立与实施过程应当“留有痕迹”,内部控制文档不足本身也可视作为一项控制缺陷。按照内部控制要素分类,相关文档记录包括:
1.内部环境文档,一般包括组织结构图、权限体系表、岗位职责说明、员工守则、董事会和监事会成员履历、发展战略规划、企业文化手册、人力资源政策等。
2.风险评估文档,一般包括风险评估流程、风险评估过程记录、风险评估报告、风险矩阵等。
3.控制活动文档,一般包括系列应用指引中的各项流程控制文档,具体由企业经营活动实际情况确定。
4.信息与沟通文档,一般包括客户调查问卷、财务报告、经营分析报告、董事会及专业委员会会议、经理办公会议、财务例会等重要会议纪要、举报投诉记录等。
5.内部监督文档,一般包括往来款项询证函、资产盘点报告、审计计划、审计项目计划、年度内部审计工作总结、审计报告、审计意见书、审计决定书、整改情况说明材料、员工合理化建议记录、专项监督实施方案和过程记录、专项监督报告、内部控制自我监督检查及测试记录、内部控制自我评价报告等。
按照文档形成过程进行分类,相关文档也可分为控制的设计文档、执行文档和测试文档。设计文档应该按照“谁设计、谁保留”的原则,由设计责任部门保留,内部控制机构(部门)保留企业整体层面控制设计文档,部门和单位保留操作细则和本部门岗位职责和权限指引等,保存期限一般为10年;执行文档由执行机构保留,保存期限遵从有关专业要求;测试文档按照“谁测试、谁保留”的原则,由负责测试的部门保留,保存期限为一般10年。
七、关于附则
附则主要涉及三个方面的主要内容:一是关于解释权;二是关于配套办法;三是关于基本规范的实施时间。
(一)解释
《基本规范》第四十八条规定,本规范由财政部会同国务院其他有关部门解释。这主要是指在内部控制规范执行过程中出现争议或其他重大问题时,应当由财政部门会同审计、证券监管、银行监管、保险监管等国务院有关部门对规范进行解释或作出补充修订。
(二)配套办法
本规范所称的配套办法是指由系列应用指引、评价指引和审计指引所组成的配套指引,即:2010年4月15日,财政部等五部委联合发布的《企业内部控制配套指引》(财会〔2010〕11号)。本次联合发布的配套指引具有通用性,对于某些特殊业务,如银行业务、保险业务、证券业务等,因为时机尚不成熟,相关内容还需要进一步研究完善。
(三)实施时间
《基本规范》第五十条规定,本规范自2009年7月1日起实施。在实际工作中,一些具备条件的企业已经按照《基本规范》的要求,对本企业的内部控制制度进行了梳理完善并开始实施,但引入注册会计师审计的制度安排尚未到位,原因之一是当时没有出台相应的配套指引。制定一套符合企业实际情况、操作性较强的配套指引是一个艰苦的过程,并需要足够的宣传培训和前期准备时间。因此,企业内控规范的实施时间比原计划有所推迟。2010年4月15日,财政部会同有关部门正式发布《企业内部控制配套指引》,连同《基本规范》,标志着中国企业内部控制体系建成。为了确保企业内控规范的有效实施,财政部等五部委科学确定了内控实施的时间安排,并全面启动了内部控制培训等相关工作。上市公司和非上市的大中型企业,应当积极行动起来,做好实施前的各项准备工作。企业内控规范从2011年开始分步实施,力争用三年左右的时间,基本实现中国的大中型企业全面实施内部控制体系的目标,全面提升所有大中型企业的经营管理水平和风险防范能力,促进企业做大做强,为我国经济社会健康发展作出贡献。