第一篇:美国通用汽车公司内部控制——实施萨班斯法案404条款的案例分析
美国通用汽车公司内部控制
——实施萨班斯法案404条款的案例分析
一、萨班斯法案404条款对内部控制的要求
近年来美国安然公司倒闭,施乐公司、世界通信公司作假,直接导致了一部新法案即《萨班斯──奥克斯利法案》的出台。这是一部涉及会计职业监管、公司治理、证券市场监管等多方面改革的重要法律。该法案的颁布意味着目前所有在美国上市的公司,包括在美国注册的上市公司和在外国注册而于美国上市的公司,都必须遵守该法案。其中争议最大、对企业影响最深的就是有关企业内部控制规定的404条款。该条款严格界定了上市公司管理层对公司内部控制承担的责任和义务,要求在美国的上市公司必须建立和保持一套完整的与财务报告相关的内部控制系统和程序,同时管理层应对财务年度期末与公司财务报告相关的内部控制系统及程序的有效性做出评价,而且评价结果还需经过外部审计师的审计,并对管理层的内控报告出具鉴证报告,以达到内部和外部双重监控的目的。
根据404条款的要求,每个公司都要详细描述其所有工作岗位的职责以及每项工作的流程,并确保各个流程的所有环节都有相应的内控制度作保证,如果没有相应的内控制度或内控制度不够完善,还要指出问题所在,并且外部审计师必须参与上述工作的调查与验证。因此,为了达到404条款的要求,公司管理层需要进行如下内部控制评估方面的工作:
1.确认需要测试的控制措施,包括对所有重要财务报表科目及信息披露的相关会计认定所采取的控制措施;
2.评估由于控制措施失效而导致会计报表错记的可能性及错记的严重性,以及其他控制措施实现相同控制目标的程度;
3.确认应纳入评估范围的具体公司地址或业务单元,并对所有会计报表重要项目及信息披露的相关会计认定、所实施的控制措施在设计及实践方面的有效性进行评估;
4.确认在内部控制系统中所发现的不足,是否会构成重大缺陷或实质性漏洞,并就主要发现的内部控制系统不足与相关方面进行沟通,评估这些主要发现是否与评估结果相一致。
二、法案出台后美国通用汽车公司内部控制基本框架结构
美国通用汽车公司是美国主要工业垄断组织之一,也是世界汽车制造业中最大的跨国公司。其总部设在密歇根州底特律市。它在美国25个州、88个城市中设有127个工厂,在加拿大的5个城市中设有13个工厂。在其他36个国家中设有分支机构,建立了31个制造、装配汽车的工厂。通用汽车公司的产品主要是小客车、载重汽车和大客车,此外还生产柴油机、发动机、变速器、火花塞、车灯、散热器、发电机等零部件产品。它所生产的各种型号的汽车,从低价汽车到高质高价汽车,都在市场上占有重要的地位。作为跨国企业,通用汽车公司在海外企业的销售额、资产额和雇员人数都占公司总额的30%左右。它在30多个国家和地区直接从事汽车制造、装配和销售业务。主要的子公司有英国的沃克斯霍尔汽车公司、德国的亚当·奥佩尔汽车公司、澳大利亚的通用──霍尔登汽车公司、巴西通用汽车公司、阿根廷通用汽车公司和南非通用汽车公司等。为了加强产品在市场上的竞争能力,通用汽车公司非常重视科学研究和技术发展工作。近年来,每年的科研与发展费用约为其销售额的3%,相当于其纯收益的1/3以上。萨班斯法案颁布后,公司采取了一系列措施改善公司的内部控制,以期达到萨班斯法案404条款的要求。本文以下内容将分别介绍美国通用汽车公司在萨班斯法案出台后的内部控制基本框架结构和采取的内控措施。
(一)季度确信证明
季度确信证明是美国通用汽车公司进行内部控制的一个基本工具。每个季度,子公司的总经理和财务总监都要将季度确信证明签字确认后寄给总公司的首席财务官。季度确信证明的作用相当于在大型企业内部搞了一个小型的404条款。不同的是宣誓人改为分支机构的CEO和CFO;宣誓对象改为总公司的首席执行官。美国通用汽车公司在全世界拥有五百多家子公司,其分支机构很多、经营范围很大、地域跨度很大、隐藏的经营风险也很大。通过季度确信证明,该公司把对外的强制约束改为内部的强制约束,从而最大可能地降低了内部控制风险。
按照季度确信证明的要求,美国通用汽车公司的子公司需在如下几个方面向总公司提出书面保证:1.季度财务报告是按照公认会计准则编制并出示的;2.季度财务报告的编制是遵守了本公司会计手册所要求的会计政策的;3.重大交易事项均已及时、准确记录;4.充分适应的会计内部控制制度在正常运转;5.对法令法规无违背行为;6.负债和或有损失均已充分入账,并为以下项目计提了充分适当的资产减值准备:任何价格上的未决事项、重大的争议、担保或召回事项、合同及加工损失、雇员赔偿及其他事项;7.损益表和资产负债表反映了所有的调整和估计事项(只包括那些正常发生的调整和估计事项),这些调整和估计事项是为了公允反映财务状况和经营成果所必需的;8.所有重大的背离和例外事项均已揭示,并已采取或计划采取更正措施。
每季度末,各个子公司的财务部将把季末最后一个月的试算平衡表引出来,并在此基础上完成季度确信证明的所有内容。季度确信证明的基本程序包括以下几个方面:
1.总账。对于美国以外的子公司,将依据美国的会计准则和总公司的会计政策所做的调整分录和合并试算平衡表一并报送。
2.现金。发送所有的银行户头的余额调节表。
3.应收账款。发送应收账款的账龄报表,并且回答下述几个问题:应收账款的账龄报表是否与总账相符;账龄超过60天的应收账款是否采取了行动;收到的现金是否及时入账;季度末是否有预提的应收账款,如有,其中未开票的有多少?未定价的有多少?回收费有多少?不适用的有多少?
4.存货。发送存货价值表及循环盘点表;发送最近的存货实物盘点表;检查是否存在未入账债务;检查循环盘点的差异是否已调整并入账;检查任何差异项目,如销售退回、质检扣留、重新返工等是否已及时向供应商收取回收费;最近一次或计划的存货需要在什么时间完成。
5.其他资产和客户工装。发送留存在客户手中的工装清单,发送工程项目统计表,预计可回收的工程成本有多少;检查工程项目的预计支出是否会超预算;检查已完工的工程项目损益是否已在损益表中体现或计提了准备;检查所有已完工的工程项目是否及时办理了工程结算。
6.产权、厂房和机器设备。检查已报废的固定资产是否及时从总账中清除;检查新增固定资产是否及时提取折旧。
7.应付账款。发送应付账款的账龄报表;检查供应商的对账表是否与账龄报表相符;检查应付账款的统计截止时间是否与月结和存货实物盘点时间相吻合;检查仓库收货是否及时,检查发票是否及时入账;检查因销售退回、质检扣留、重新返工等原因向供应商收取的回收费是否及时入账。
8.预提费用。发送预提费用清单;检查是否为雇员索赔计提了足够的准备;检查工薪的预提是否合理;检查是否为最近与供应商的价格谈判计提了足够的准备;检查是否为尚未开票的运费计提了足够的准备;检查其他账龄过长的预提项目。
9.所得税。检查所得税账户是否按最新的税务法规和当年的经营结果进行调整;检查是否因当地公认的会计准则与美国公认的会计准则的差异而计提递延税款。
10.集团内往来。检查是否与所有有往来的集团内公司进行了对账,对方的确认书是否有签字;检查是否将所有集团内往来业务调整到专门的集团内往来账户;检查在途货物是否记录为发货单位的发出商品,直到对方单位收到货物为止。
11.汇兑损益。检查是否所有的外汇收支记录在季度末均已发送给司库;检查月末是否所有的外汇往来账户均已按集团颁布的月末汇率进行调汇;检查汇兑损益是否正确记录在经营利润之外。
(二)职权分割调查
职权分割调查是美国通用汽车公司进行内部控制的又一个基本工具。它用来补充季度确信证明没有捕捉到的领域。每个季度,美国通用汽车公司的五百多家子公司都要做职权分割调查。和季度确信证明的程序一样,子公司的总经理和财务总监将签字确认后的职权分割调查寄给总公司的首席财务官。职权分割调查将帮助公司评估自己的内部控制环境的好坏及内部控制制度的有效性。
职权分割调查的主要内容包括以下几个循环:销售、应收账款现金收款循环;应付账款、现金支付循环;财务循环;项目投资循环;工资薪金循环等。各职能部门首先将职权调查名字填在各个调查循环表中。如果一个人的名字出现在多栏,或其名字多次出现在同一栏,则意味着该处可能存在内控弱点,需要采取减弱职权/职能重叠的措施。并且各职能部门应将该措施写在职权分割调查的更正措施栏处。对于子公司的财务控制部门,需对子公司的职权分割调查做出如下评价:职权/职能的分析是否经本公司适当的、独立的相关职能部门管理层签字认可;所有的财务报表是否与预测、预算及上一年财务报表进行对比分析;所有的重大差异是否均己分析出原因;重大差异的原因是否经过管理层审阅。
在完成职权分割调查的填写后,相关职能部门,通常是财务控制部门需对公司的职权分割调查做出总评价,并报财务总监和总经理审阅签字。子公司的财务总监和总经理审阅签字后,报地区一级财务总监和总经理审阅签字。地区一级的财务总监和总经理审阅签字后,报总公司财务总监备案。
(三)内控自我测试
季度确信证明和职权分割调查均为总公司每季度强制要求各子公司操作的程序。而内控自我测试是分公司在季度确信证明和职权分割调查的基础上,结合自己的环境,开发的一套内控制度。内控自我测试覆盖销售──应收账款──现金收款循环、应付账款──现金支付循环、筹资与投资循环、担保循环、成本与费用循环等五大循环。对于每一个循环均要求制订详细的执行制度。
下面将详细介绍美国通用汽车公司在中国的×××子公司按照内控自我测试的要求建立的公司财务支出管理规则,并以此来解释内控自我测试的制定方法。
1.资金计划管理
公司每年10月底前完成下年度财政预算的编制,经董事会批准后下达到各有关部门。各部门应以此为基础,结合生产经营活动的具体情况于每月27日前制订出次月的资金开支计划并上报财务部。财务部根据整个公司财务收支情况做出综合平衡后经控制员审核报总经理批准执行。各部门对资金开支的真实合法性负责,财务部对全公司资金运用的合法合理性负监督责任。
2.财务支出签字审批权限
(1)经营性的常规费用支出:销售部差旅费需要经过控制员审核,销售部经理签字批准;销售部其他费用若单笔金额(即一张原始凭据的金额)在人民币2000元以下须经控制员审核,销售部经理签字批准。单笔金额在人民币2000元以上的还须报总经理签字批准;人员工资方面的费用也需要控制员审核,总经理批准;对于其他部门交际应酬费如餐费、礼品、娱乐等费用须经部门经理签字,控制员审核,总经理批准;其他部门的其他费用均需要控制员审核,部门经理批准,对于单笔金额在人民币200元以上的还须报总经理签字批准。
(2)固定资产投资项目:须经财务部编号,领用人和部门经理签字,控制员审核,总经理批准。
(3)汽油费、车辆维修费以及电话费除按上述程序审批外,还需经专门的负责人签字审核。
(4)税款:由经办人签字,财务部经理批准。
(5)外购材料的货款:外购材料的供应商必须经公司按有关程序评定认可,未经认可的供应商的货款不得支付。进口部分由采购员和采购数据录入员共同审核价格,若发现有误,采购员和采购数据录入员应在价格差异表上签字,并由采购员与供应商联系解决;若未能在付款期内解决,付款时应将差额部分扣除,付款手续报财务部经理签字。国内采购部分,由数据录入员审核价格,如发现有误,应及时将发票退与供应商,付款手续报财务部经理签字。
3.借款及报账程序
(1)经办人因事先不能取得发票或收据需借款时,应填写借款单,详细注明借款日期、用途、金额和借款人,借出支票还须写明对方单位名称及其开户银行和账号,若单位及金额无法确定的应加注限额,其中金额部分涂改无效;
(2)借款单按上述财务支出签字审批权限的规定送请相关人员签字同意后方可到出纳处领款;
(3)出纳人员必须见借款单手续齐备后才予以付款,并在单上签名和加盖付讫章;
(4)出纳人员应建立支票领用登记制度,领取时借款人必须同时在支票登记簿上签名;
(5)借款的报账期限:借款人必须在业务结束后3个工作日内报账,出纳员有责任监督执行。
4.授权签字
总经理、销售部经理以及控制员可以授权其他人行使签字审批权,但应将授权委托书交财务部,授权委托书应注明受托人、授权范围和期限。特殊情况下,若不能及时取得上述人员的签字,出纳员可酌情办理,但事后应由经办人负责补办手续,经办人若不能取得该手续,其后果由经办人承担。
三、法案出台后美国通用汽车公司采取的内部控制措施
萨班斯法案出台后,美国通用汽车公司要求五百多家子公司与在美国的公司一起展开行动。全球统一标准、统一管理、统一时间,这是执行法案的基础,并且所有的子公司均要求按照下述时间表完成任务。
高层项目启动会2003/05/14──开发执行工具包2003/05/14~16──内控自我测试及差距分析2003/06──执行工具包,过程描述,例外分析报告2003/06/27──改正行动完成2003/07/25──美国通用汽车公司自我检查和外部审计师检查2003/07~2003/09──年底美国通用汽车公司自我检查和外部审计师检查2003/09~2003/12。
其中的执行工具包是美国通用汽车公司委托外部审计师开发的有关内部控制300个问题的调查问卷。下面将详细介绍执行工具包的内容及实施情况。
(一)执行工具包的考察项目
执行工具包的考察项目主要包括以下五个环节:1.支出循环即采购、收货、应付账款、工薪和现金报销;2.生产循环即存货、销售成本、报废、工装、产权、工厂和机器设备;3.收入循环即订单录入、信贷批准、出票、销售退回和折让、其他业务收入、应收、发货、客户记录维护、长期降价协议以及非现金调整;4.会计和报表循环即会计政策、财务报表准备、总账会计;5.会计信息系统。
(二)执行工具包的控制目标
执行工具包的控制目标有效地保证了上述五项考察项目的顺利实施与执行,其具体内容如下:
1.完全性。即确保每一笔有效的交易均记录在案。完全性还包括在恰当的会计期间,以恰当的会计方式,进行恰当的会计记录。
2.精确性。即确保每一笔有效的交易均以正确的金额及时记录在恰当的会计账户里。
3.有效性。确保记录在案的交易合法合规,并得到管理层的一般授权即确保只有得到授权的人才能接触到实物资产和信息系统,以保证资产的安全;在职权分割方面,确保交易的记录人不是交易的进行人;在错误解决方面,确保在每个层面发现的错误均能立刻得到改正。并且,能够根据错误的性质汇报给不同的管理层。
(三)执行工具包的例外报告
对于在执行工具包中发现的问题和控制弱点需提出例外报告。例外报告由两部分组成,即补偿控制措施和更正行动。
1.补偿控制措施即要求在执行工具包中发现的不适用于本公司的问题均需提出补偿控制措施。补偿控制措施包括问题的性质分析、责任区、责任人以及目标完成时间。
2.更正行动即要求在执行工具包中发现的例外问题均需采取更正行动。执行工具包所提出的所有问题,均设立了三个答案:是,不适用,否。“是”是由美国通用汽车公司邀请咨询师提供的标准流程,该标准流程已充分考虑到公司业务处理中可能发生的内控弱点,并针对内控弱点设计了关键控制节点;“不适用”意味着当地化战胜了国际化,对于“不适用”于本公司的问题均需提出补偿控制措施;“否”说明公司的业务处理流程存在着明显的内控弱点,公司必须采取包括问题的性质分析、责任区、责任人以及目标完成时间的更正行动并且要求按月向总公司报告完成情况。
四、结语
一直以来, 中国上市公司在内部控制方面相对国外一些大型跨国公司显得非常薄弱,故萨班斯法案404条款对于在美国上市的中国企业提出了更大的挑战。本文详细介绍了美国通用汽车公司的内部控制体系,希望中国在美上市公司学习借鉴大型跨国公司在企业内部控制体系方面的先进经验,如季度确信证明、职权分割调查、内控自我测试等。当然,国外跨国公司的内部控制制度并不是尽善尽美,仍然存在很多漏洞和不足,而且不同的国家具有不同的国情,所以中国在美上市公司应该根据公司自身的特点和实际情况,结合国外先进的内控经验,设计研发适合本公司的内部控制制度。总之,相信中国上市公司经过努力必将冲出萨班斯法案的桎梏,在美国市场成功上市。
作者单位:东北财经大学
第二篇:萨班斯法案对企业内部控制.
萨班斯法案对企业内部控制
可 低影响程度 [NextPage] 5.3我国企业内部控制建设的步骤
要完善中国企业的内部控制体系,职称论文发表我们还有很长的路要走,这需要很大的人力、物力和时间资源,而且内控体系的完善不是1个1次性的工作,也不是公司中几个人的工作,它需要全员参与,需要对内部控制不断进行监督和复核,从而达到降低风险,实现企业计划的目的。下面是企业在建设内部控制体系时需要走过的几个步骤:
5.3.1 内部控制环境的建设 1.公司治理结构
目前我国公司法人治理结构存在很大缺陷,表现在: 产权结构1元化、1股独大、内部人控制现象严重、董事会形同虚设等。美国企业的所有权过于分散,而我们的问题是股权过于集中,结果都造成了内部人控制。因此,我们应在产权明晰的基础上完善公司治理结构,解决“内部人控制”问题。调整持股结构,分散大股东股权,建立股东制衡机制,解决“1股独大”问题; 进1步健全独立董事会制度,完善独立董事责任追究制与考核机制; 完善监事会制度,从监事会人员构成的独立性、专业性以及如何实施全程监督等方面加强监事会建设,根本上解决企业内部控制失控的病根。
2.法制大环境
在上市公司内部控制报告制度方面,SOX强制规定上市公司要上报内部控制报告及进行注册会计师审计,而我国目前对于内部控制报告要求还是相当宽松的,过去中国证监会仅要求会计师事务所对拟上市的金融类企业和拟增发的上市公司的内部控制的完整性、合理性及有效性出具意见。在实际操作中,接受执行发行审计业务的会计师事务所仅就与会计报表编制有关的内部控制是否存在重大缺陷发表意见。由此导致上市公司内部控制报告质量太差,大多数公司的内部控制报告流于形式的现象,也就不足为奇了。尽管 2006 年 6月 5日,上海证券交易所出台了《上海证券交易所上市公司内部控制指引》。该指引和SOX在达到内控目标方面是1致的,只是这个指引还没有具体的操作细则出来,也不像SOX已经上升到法律的高度。因此,内部控制到底做到怎么样,做多少才合适,还缺乏权威的认定,因此,我们应借鉴SOX,进1步细化公司内部控制报告的要求,并建立公司管理层责任追究制度,以保证内部报告有效性与有用性。
在对单位负责人和财务主管进行会计舞弊的惩罚力度方面,我国 《会计法》、《企业财务会计报告条例》等法规规定,单位负责人、单位主管会计工作的负责人、会计机构负责人应在财务会计报告上签名盖章。中国证监会在案件查处时,1直严格依法对所有负有责任的以上人员作出处罚,但并没要求他们事先公开做出承诺。前不久证监会修改后的《年报准则》规定,2005年上市公司公布年报时,公司负责人、主管会计工作负责人及会计机构负责人(会计主管人员)必须声明:“保证报告中财务报告的真实、完整”,便是借鉴了SOX要求上市公司公开披露信息中附有首席执行官和首席财务主管的承诺函的规定。但这还是远远不够的,相对于SOX的1系列严厉惩罚措施,我国对于会计舞弊事件中当事人的惩罚措施无疑过于仁慈,SOX中对于公司首席执行官、财务主管最高可处以500万美圆的罚款或20年监禁,只有这样的力度才能成为真正威慑会计舞弊者的铁拳。
在我国,《会计法》、《审计法》、《独立审计准则》等虽然都有论及建立健全内部控制体系,但是没有具体可行的规定,尚不能够形成内部控制整体框架。目前,证监会仅要求证券公司根据“证券公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审,没有对证券公司之外的其它公司管理层进行财务报告内部控制有效性评价提出强制性规定。因此,应尽快加强企业内部控制有效性评价方面的立法工作,以及内部审计和独立审计等行业准则的规定,为提高企业内部控制管理提供外部监督和指导。加强立法工作,使财务报告内部控制有效性的评价做到有法可依。
3.公司的内控文化
企业文化是随着现代工业文明的发展,企业组织在1定的民族文化传统中逐渐形成的具有企业特征的基本观念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方法和行为方式的总和。企业文化往往是现存的1种无形的力量,影响企业成员的思维方法和行为方式。在企业成长的过程中,文化对企业产生的许多影响都被纳入企业行为的原始部位,处于行为动机的意识层面之下,以至于文化的作用往往被人们所忽视。企业文化在企业经营管理中的重要性,是其不可避免的影响着企业的内部控制,企业在培养自身文化时,应避免1种只注重内部短期的企业文化,保持1种健康的文化氛围,使其与公司战略目标趋于1致。企业文化包括道德及行为标准以及如何在业务中沟通与强化该标准,企业中正式的政策文件等只能书面表达管理阶层想让什么发生,而企业化则决定什么会发生。COSO 报告特别强调“人”在内部控制中的作用,1个企业的人力资源政策直接影响到企业中每1个人的业绩和表现。良好的人力资源政策,对培养企业的员工,提高企业员工的素质,更好地贯彻执行内部控制有很大的帮助,并对公司员工进行讲解程序,提高员工的风险和控制意识。全国人大 2000年7月 发布《关于加强金融机构内部控制的指导原则》,这是我国第1个关于内部控制的行政规定。高发生可能 1996年12月 毕业论文 国务院 生 能提供有建设意义的内控整改计划和方案
[NextPage] 世界1流公司 2006年9月28日 性 高发生可能 2001年6月 2000年 高影响程度 工作重点花费在核实信息、查证数据上 证监会 [NextPage] 5.3.2 内部控制风险的识别和评估
内控部门可以通过的风险管理目标设立来帮助锁定内控计划的关键活动,然后需要仔细研究控制活动并识别出每1个活动所涉及的风险。在这1步中,内控部门要尽量识别出每个控制活动所涉及的所有风险,而不要去评估风险的可能性和影响。当然,会影响到公司运营的外部风险也同样需要加以识别。1旦你已经完成了识别风险的工作,内控部门就需要把他们收集、整理并记录下来。接下来要进行风险评估,这是提高企业内部控制效果的关键。当今企业间竞争越来越激烈,企业经营风险不断提高,其内部控制的机制也需要相应地提高。而我们对于内部控制的研究,我们须以环境及其风险的分析入手。企业管理者运用1系列的风险评估的方法、技术、程序等对企业的风险进行全面的分析,判断企业所受的风险性质与程度。董事会和管理人员充分认识和评价企业所面临的风险,及时采取措施控制和化解风险,减少损失。
内控部门需要对所有列在风险登记簿上的风险进行评估其严重性,从而决定是否需要采取减轻的措施。我们有许多方法来对风险进行分类。其中,1种风类方法是将其发生的可能性和发生后对计划影响的严重性(上面的步骤已近制定的)来进行分类。我们也可以用下面的表格对风险进行评估分类:
中国上市公司 2006年6月5日 发起成立“会计师事务所内部治理指导委员会” 发布《证券公司内部控制指引》,要求证券公司健全内部控制机制,完善内部控制,以规范公司经营行为;要求证券公司应当按照指引的要求,建立运行高效,制定科学合理、切实有效的内部控制。
发布《关于上市公司做好各项资产减值准备等有关事项的通知》,开始要求上市公司建立内部控制。
业务流同信息流整合度不高,同财务系统集成低
在确定流程和进行测试的过程中,关键问题是看对每1个风险点是否有相应的控制措施,如果没有则要及时反馈到相应部门,要求该部门设计出应有的控制措施或给出1个合理的解释,直到所有的风险都得到控制为止。
上述工作是在安永的协助下进行。刘代春介绍,外聘咨询机构的主要职责是帮助中国人寿制定项目计划,并对404项目组进行培训,帮助他们确定重要流程和重要会计科目。而中国人寿1直聘请的外部审计机构是普华永道会计师事务所,404项目无疑使中国人寿在原有聘请外审机构的基础上又增加了咨询成本。
巨大的工作量也带来1定的挑战。1试点机构404项目组的成员表示,项目开展的最初半年每天都要工作10几个小时,反复查找风险点、进行测试,并与外省机构交叉检查。对于分支机构遍布全国城乡的中国人寿来说,这无疑是个牵动全身的浩大工程。中国人寿在每个省设有分公司,分公司下设地、市级支公司,总、分、支公司都有相应的业务和财务部门,单把流程写清楚就不是易事。为此,中国人寿总公司从各分公司抽调人员、省分公司则从地市级支公司抽调人员参与404项目。
5.2 中美企业内部控制比较
由于中国企业在内部控制方面的起步较晚,所以中国企业在内部控制实施方面也就自然落后于美国1流的上市公司,下表是中美两国公司在内部控制上的比较:
有健全、完善的制度性管理条例、细则和程序
发布征求《上市公司内部控制指引》意见的通知,揭开了中国上市公司内部控制体系制度建设的序幕 发布《独立审计具体准则第9号1内部控制和审计风险》 发布部门 中国人民银行 发布《内部会计控制规范1基本规范(试行)》和《内部会计控制规范1货币资金(试行)》 在细则、条例等制度的建设上滞后
2001年2月 发布《中央企业全面风险管理指引》
财政部 深交所 能
通过上面列的这个时间表,我们不难发现,从1996年到2005年间总共颁布了10次与内部控制相关的法律法规,而在2006年这1年间,与内控相关的法规就出台5次,并同年成立了2个与内部控制相关的委员会。而这1连串法规的出台或多或少都与SOX有关,因为从2006年7月15日开始,所有在美国上市的外国企业,必须执行《萨班斯1奥克斯利法案》,这意味着中国在美上市公司的内部控制建设直接受到了美国法律的约束 的 财政部 低发生可能 [NextPage]
提供有建设意义的内控整改计划和方案明显不足
内审薄弱,缺乏内部控制专员 发起成立“企业内部控制标准委员会” 业务流同信息流高度整合,同财务报告高集成
证监会 中注协 发布《内部会计控制规范——采购与付款(试行)))和《内部会计控制规范1销售与收款(试行)》 2006年7月15日
外部审计结合内部控制 2003年11月 财政部 时 间 发布《首次公开发行股票并上市管理办法》第29条规定,发行人有CPA出具无保留的内部控制报告没,证监会首次对上市公司内部控制提出具体要求。发布《会计法》,首次以法律的形式对企业的内部控制做出相应的规定,将其纳入企业内部会计监督制度。发 发布《内部会计控制规范1存货(试行)》《内部会计控制规范1担保(征求意见稿)》和《内部会计控制规范1成本费用(征求意见稿)》
高影响程度
证监会 2006年6月6日 2006年5月 2005年10月19日 规范内容 从上面的列表我们发现,我国内部控制的建设和发展开始于20世纪90年代,主要由政府、证监会和行业监管机构制定的内部有关法律、法规和指引来推动。我们可以将它们分为3个层次:
第1个层次是全国人大和财政部颁布的1些法律、法规。1996年颁布的《独立审计具体准则第9号1内部控制和审计风险》,2000年新修订的《会计法》,以及2001年到2003年陆续出台的《内部会计控制规范》都属于这1层次。而这些法律法规的出台对于中国企业关于内部控制概念的植入起到了1定的积极作用。
第2个层次是中国证监会的有关规定,作为证券公司、投资基金公司的监管机构,中国的证监会出台了《公开发行证券公司信息披露编报规则》,要求商业银行、保险公司、证券公司必须建立健全内部控制,并对内部控制的完整性、合理性和有效性做出说明。并于2001年发布《证券公司内部控制指引》,要求证券公司健全内部控制机制,完善内部控制,以规范公司经营行为。而在2006年又发布《首次公开发行股票并上市管理办法》第29条规定,发行人有CPA出具无保留的内部控制报告没,证监会首次对上市公司内部控制提出具体要求。这1层面虽然针对的只是以证券类公司为主,但已经将内控的概念逐步完善,已经和国际内控框架的概念趋同。
第3个层次是各行业的监管机构对本行业颁布的内控文件,如中国人民银行1997年发布《关于加强金融机构内部控制的指导原则》,国资委于2006年发布《中央企业全面风险管理指引》。同样在2006年,沪深两地的证交所都发布了《上市公司内部控制指引》来规范上市公司内部控制的制定和实际操作。
4.2.2 中美内部控制规定的比较
上述内部控制规范的制定与出台,对于改善我国企业内部控制的现状,加强会计控制,完善信息披露制度以及保证资本市场的有效运行有着非常重要的意义。但与目前国际上最为权威的内部控制框架 COSO 相比较,还有很大差距。
1.内部控制的目标比较
从现有的内部控制规范来看,我国对于企业内部控制的目标定位,基本上是处于内部控制目标层次的最低级,只包括:保证会计资料真实、完整;保护单位资产的安全、完整;确保国家有关法律法规和单位规章制度的贯彻执行。与 COSO 报告相比,没有提及内部控制提高经营效率,促进企业经营管理,实现企业目标等,所以我国的规范更多着眼于监督而不是企业的内部管理。
2.内部控制规范内容范围比较
与较为成熟的内部控制理论 COSO 报告确定的5大要素—控制环境、风险评估、控制活动、信息与沟通以及监督相比较,我国内部控制的范围过于狭窄。我国现有的内部控制规范的内容主要集中于会计领域,《会计法》、《内部会计控制规范》等法律法规主要是从会计控制的角度来规范内部控制;独立审计准则中的定位也是着重于企业的会计责任方面。随着我国市场经济的进1步发展,企业作为市场经济主体的意识和要求必然加强,相应地企业内部控制的内容和范围也越来越宽泛,不但企业内部的控制权的问题,企业的供产销,包括企业的外围环境、文化理念、经营思想等控制环境因素与风险因素都应纳入企业内部控制的内容和范围。“内部控制的研究绝对不能局限于会计审计领域,它与经济学、管理学、法学、政治学、社会学等均有密切关系,而且对后者而言,应该比前者重要得多。”
3.内部控制评价的比较
内部控制评价是对内部控制执行有效性的检测。对于管理层的对内部控制的评价,担任公司年审的会计事务所应当对其进行测试和评价。目前我国内部控制的评价体系尚未建立,已制定和出台的内部控制规范,这方面的内容尚未作为主要部分予以重视。只有建立1套完善的、符合实际的、具有可操作性的评价指标体系,才能保证企业内部控制的有效性。
4.内部控制规范体系比较
《会计法》和《内部会计控制规范》都是从某个方面对内部控制做出规定,造成对内部控制缺乏系统研究,无法形成1个成型的内部控制规范框架体系,因此对企业内部控制建设的普遍意义指导不大。在内容层次上,虽然目前《内部会计控制规范》己陆续出台了几个具体业务的规范,但到形成1套完整的内部控制体系要求,还有相当的距离。
5、我国企业内部控制的建设
5.1法案对我国在美上市公司的影响
404 条款被认为是 SOX 法案所有条款中最严厉、最昂贵的条款,这是因为该条款要求公司都要将任何1个岗位的职务、职责描述得1目了然,而这项工作需要大量材料和文件支持。同时,为了达到 404 条款的要求,上市公司要保证在对交易进行财务记录的每1个环节都有相应的内部控制制度(例如产品销售的条件、记录付款的时间和人员等)。此外,还要指出内部控制的缺陷所在。显然,要完成这些工作绝非易事,特别是对于组织分散,业务范围复杂的大型公司而言,组织越分散,业务越复杂就意味着要做的工作越繁杂,这促使他们不得不投入更多来实施 404 条款所要求的内部控制措施。而业务简单、管理集中的小型公司虽然实施工作会相对简单,却恰恰可能是受到最猛烈冲击的。受规模所限,他们在执行 404 条款中更显捉襟见肘,所要花费的遵循成本可能将占收入更大的比重。
对于在美国上市的外国公司来说,SEC批准404条款生效的时间从原定的2005年7月15日推迟至2006年7月15日。尽管404条款生效时间推迟了1年,但对于我国在美上市的大型国有企业来说,时间仍然10分紧迫。建立健全企业内部控制体系既要满足SOX法案的要求,更重要的是以此为契机,完善企业内部控制系统,增强财务报告真实性,增长公司治理的经验,增强国际竞争的能力。因此,我国公司与相关监管部门应重视此项工作,认真考虑如何将企业内部控制制度与国际通行的内部控制体系相结合,加紧建立健全符合我国国情的内部控制体系。
2006年7月15日开始对在美国上市的海外公司生效包括中国石油,中国人寿在内的40余家中国公司被纳入该法案的实施范围。经过几年的建设试行、实施和完善,中国企业的内部控制完善得如何,在此,本文将以下面3个公司的例子作1说明:
2005年12月27日.中国石油签署发布《内部控制管理手册》标志着与国际规范接轨的公司内部控制体系开始正式运行。中国石油股份公司上市以来按照现代企业制度的要求和与国际规范接轨的原则,在转变经营理念、推进制度创新和管理创新方面采取了1系列措施,迈出了坚实的步伐。严格按照回报标准集中优选投资项目财务管理实行“1个全面,3个集中”,推行“4统1”的销售管理体制.通过推进电子商务实现大宗物资集中采办。这些措施对于规范公司各项管理,防范经营风险、提升公司价值发挥了显著作用。
特别是从2003年开始,公司以国内和上市地有关法规的颁布为契机.充分依托已有的管理优势, 采用国际上被广泛认可的COSO(反虚假财务报告委员会的赞助组织委员会)框架基础, 着手建立内部控制体系。两年来, 围绕内控体系建设的总体目标和各阶段部署克服各种困难做了大量卓有成效的工作取得了阶段性成果。制定了内控体系框架编制完成内部控制管理手册.实现了设计有效.开展体系试运行和符合性检查及时整改发现的问题为正式运行做好了准备,通过广泛宣传和加强培训使各级干部和全体员工对内控体系的了解逐步加深认识不断提高部分骨干管理人员已基本熟悉和掌握了风险识别和控制实施方法。初步形成了1支具有较强业务能力的内控工作队伍。
中油股份公司总裁蒋洁敏在签署发布《内部控制管理手册》的会议上指出“我们的设计总体是有效的关键问题是执行有力。只要执行有力,就能通过;反之执行不力就很难通过。《内部控制管理手册》必须百分之百执行这是2006车管理的硬任务”。
《内部控制管理手册》2006年1月1日正式发布实施以来中国石油按照内控工作目标围绕“执行有力”,积极探索有效方法,大力推动内控工作扎实深入地展开。他们开展内控手册的宣传贯彻培训和各个层次内控实施培训进1步落实工作职责和岗位责任,完善了工作网络,建立了内部控制考核监督机制。从公司总部各部门到地区公司各基层单位内控体系的各项要求得到了进1步落实。从4月10日开始,中国石油的管理层测试和外部审计全面展开测试进展顺利,审计已获通过。
基本在同1时间,华能国际于2003年也正式启动全面改进内控工作的404项目。4年来,华能国际开创性地设计了《内部控制手册》;建立了内部控制组织体系;加强了公司和电厂两个层面的内部控制工作体系;完善并促进了管理制度建设,建立了符合公司管理特点的内部控制程序。
为改进内控,华能国际付出了巨大的人力和物力,有近千人直接投入到这项工作。内部控制缺陷的数量从2005年11月普华审计预演的数千条到2007年1月普华永道第3轮审计的0缺陷。2007年4月,普华永道对华能国际内控工作正式出具了无保留意见的审计报告。至此,华能国际成为第1家通过美国《萨班斯法案》404条款的在美上市的央企控股公司。
而中国人寿也于2005年初启动了旨在加强内部控制建设的“404项目”。中国人寿内控合规部副总经理刘代春介绍,因为自身没有经验,因而聘请了外资会计师事务所为其提供咨询服务。后据记者了解,为其担任404项目咨询工作的是4大外资会计师事务所之1的安永会计师事务所。
“404项目”分3批在中国人寿全系统推进,北京、江苏、河南和山东4个省市作为第1批开展试点。“因为没有经验,初始不能全国同步进行,出现问题的话成本控制有1定难度。”1404项目组成员表示。
试点机构从各部门抽调人员组成项目组,首先要做的工作是梳理业务和财务流程,把所有的流程都写出来,并画出流程图,找出风险点,看是否有相应的措施对其进行控制。以承保流程为例,从客户投保,到承保、出单、客户签回执、公司核销回执,再到财务入账,从头至尾,把整个流程尽可能细化地落于纸端。
“分公司项目组写好后再在几个试点机构间进行交流,看自己有哪些没写出来,或者该列为重点的没有列出来,发现问题后重新再写。”上述人士说,“光流程就写了近3个月。”
之后要做的工作是进行测试:采用抽查法先抽出1笔业务从头至尾检查是否有漏掉的环节,如果有环节被漏掉就可能存在被忽视了的风险。考虑到1笔业务并不足以说明目前的控制确实有效,之后还会抽出几10个样本,用同样的方法对这1大笔业务进行再测试。
2006年5月17日 对计划的影响程度(财务成本)
这个步骤让内控部门对风险有了进1步的识别,并发现主要的风险。上面这个表只有两个坐标轴,也只有高和低至分,而内控部么可以选择更多的参数。风险被分为4类,坐下角的风险可以被认为是在可接受的风险标准之内的。在右上角中的风险是被认为要立刻采取措施的,这类风险有高的法生可能性,而它们1旦发生对我们在运营方面的影响又将是巨大的,它们还可能带来1系列法律问题。而剩下的两个象限就可以不需要马上采取行动,但是这并不意味着内控部门就无动于衷,要防止它们变成右上角的风险。在完成了上面这个风险评估表后,内控部门同样需要在风险登记簿进行更新。
5.3.3 计划和实施内部控制活动
在完成了主要风险的识别和后,我们需要解决的问题是如何去控制管理这些主要的风险。这个步骤的目的是要达成控制活动的方法和制定1个计划来规定相应得责任人和时间表来使控制计划得以顺利地实施。1般而言,上面表中在左下角的风险并不需要增加控制活动,在右上角中的风险是被认为要立刻采取1个或多个措施的,因为这类风险有高的法生可能性,而它们1旦发生对我们在运营方面的影响又将是巨大的,它们还可能带来1系列法律问题。而剩下的两个象限就可以采取1些控制来降低它的风险。
内部控制部门所需要做的是减少风险,而这可以通过减少风险发生的可能性或是减少其发生后的影响来实现。如果现有的控制活动对风险控制没有起到应有的作用,那么就要设立新的控制活动来替代,而控制活动可以分为以下几类: 预防性的:如职权的分离,设置密码和准入; 跟踪性的:如异常报告,帐务核对; 威慑性的:如程序文件,监督审核; 更正性的:如备份程序;
控制活动包括两个要素:政策与程序。政策规定应该做什么,程序则使政策产生效果,政策是程序的基础。要结合公司的组织结构,业务流程,起草适合上市公司运营的内部控制制度,尤其是细则和控制测试的标准,这也是内部控制体系中最重要的控制点之1。程序建设步骤如下:
首先,构造企业的业务循环,将业务循环又细分为业务流程,再将流程分为若干个作业,在业务循环模型构造的基础上,分析该业务在运行中可能出现的错误和舞弊。
然后,提出内部控制关键控制点,所谓关键控制点,是指在1个业务处理过程中起着重要作用的那些控制环节,如果没有这些控制环节,业务处理过程很可能出现错误和弊端,达不到既定目标。
最后,再设置内部控制文本,以流程图或调查表的形式描述内部控制。在美国上市公司的中国公司为应对萨班斯法案的最后期限要求所做的大量工作之1就是完善内部流程、控制条例、审核程序和风险测试的文本资料。主要借助外部顾问公司进行实施。
5.3.4 内部控制的监督
监督是1种随着时间的推移而评估制度执行质量的过程,对于内部控制实施的评审不是1个1次性的活动,我们需要定期地对内部控制进行评审和复核以确保控制活动得到了有效的实施,主要风险有了减少,并没有新的风险产生。公司可以通过第3方的审核来确保现在所有的风险都是在可控风险标准之内的。监督可通过日常的、持续的监督活动来完成。也可以通过进行个别的、单独的评估来实现,或者两者结合。在内部控制监督中,有两项职能发挥着重要作用:
1.内部审计,它既是企业内部控制的1个部分,也是监督内部控制其他环节的1个主要力量。在现代企业管理过程中,内部审计人员被赋予了新的职责和使命,美国著名内部控制专家迈克尔•海默教授曾说过:“内部审计机构应将自己视为公司的1种资源,在帮助管理者当局更有效地达到预期控制目标的过程中发挥作用,内部审计师的使命将从简单的我们实施审计向我们帮助创建1些程序,以期达到组织成功所需要的内部控制水平的方向发展”。因此,内审的职能和外部审计有所不同,内审将更注重企业的经营管理所面临的风险,并及时提出风险和改进的建议。而我国的企业大多只完成每年外审的年检,对内审的力度还有所不足。
2.内部控制,在美国企业中,企业专门设立内部控制部门,可以不定期或定期对自己的内部控制系统进行评估。评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。评估的基本特征是:关注业务的过程和控制的成效,由管理部门和职员共同进行,自我评估是为提高组织内部控制的自我意识所作的努力,这种活动经常以研讨会的形式进行。设计内部自我评估的目的是使人们了解哪里存在有缺陷以及可能引起的后果,然后让他们自己采取行动改进这种状况,而不是坐等内部审计人员。因此,我国企业可试行定期或不定期的进行控制自我评估,以便经常发现和解决内部控制过程中出现的问题。
5.3.5 内部控制信息的传递
企业应设立1个良好的信息与沟通系统,1个良好的信息和沟通系统可以使企业及时掌握企业营运的状况和组织中发生的事情。信息系统的好坏直接影响到企业内部控制的效率和效果。比如,企业会计系统的每个环节都是1个控制的过程,企业的信息系统包括企业的财务信息系统和管理信息系统。企业的财务信息系统以会计为主,提供有关企业财务方面的信息,而管理信息系统还提供很多非财务的信息。1个健全的信息系统应该能够提供内容适当、及时、正确的信息。
同样,要推广内部控制的思想和理念,并较快的纳入实践,公司就需要建立起1个好的信息系统来支持内控工作的上传下达。当然,好的信息系统同样可以保障发现风险漏洞后的及时通告和改进。在这块工作中,我国企业的信息化整合还有待改进。下面这个图正好形象反印了信息交流在内部控制建设中的作用:
结论:
从2006年7月15日开始,所有在美国上市的外国企业,已经必须执行《萨班斯——奥克斯利法案》。而在同1天,我国财政部也已经别有深意地发起成立了“企业内部控制标准委员会”,中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。
我们可以发现,美国萨班斯法案的实施对中国企业的内部控制和会计信息披露也已经产生了1定的影响:1来是针对已经或准备在美国上市的中国企业必须达到法案的要求;2是针对在我国的资本市场,如果不能尽快完善内部控制和信息披露机制,那么将会导致股东利益受损和证券市场的泡沫。
萨班斯法案的出台把企业内部控制的建设问题提到了法律的高度,同时也加强了管理层的责任,通过企业内部控制的完善及每年进行的符合性测试,这些努力也许并不能消除所有企业面临的风险,但是它却可以帮助企业把风险控制到1个可接受的标准范围之内,从而有效地减少企业所面临的风险。实施404条款后,对于投资者而言,良好的控制环境、完善的控制程序、有效的信息沟通、无处不在的监督使他们的权益得到了很好的保护,财务报告披露的信息更加真实可靠,投资信心大大增强。
因此,从企业长远的角度来看待企业目标的话,内部控制的作用也就是要帮助企业更好地实现企业的经营目标。我国的企业应该借此机会,加强内部控制的建设,为企业的长远发展做好内部制度规范上的准备;同时,我国的有关部门也要加紧相关法律法规的建设,并同时加大相关执法的力度,从而营造1个好的内部控制的大环境。
注释:
文宗瑜 李铭:“萨班斯法案的启示”,《首席财务官》2006年11月刊,P73 友联时骏管理顾问:《企业内部控制和风险管理》, 复旦大学出版社2005, P2 Internal Control — Integrated Framework,COSO,July 1994 Edition 李蕾:《企业内部控制及其应用》,中国优秀硕士学位论文全文数据库,2006,P5 张文贤,孙琳:《内部控制会计制度设计:理论•实务•案例》,立信会计出版社,2004,P18 张文贤,孙琳:《内部控制会计制度设计:理论•实务•案例》,立信会计出版社,2004,P1 臧晓辉:“萨班斯法案应对策略”,《首席财务官》 2006年11期, P78 陈飞:《萨班斯法案对我国内部控制的影响》,中国优秀硕士学位论文全文数据库,2005,P10 Joseph F.Beraraino: Enron, A Wake-up Call, The Wall Street Journal 2001,12,4 Sarbanes-Oxley Act 中国注册会计师协会:美国萨班斯法案,2003 ZETA-CIA研究中心:《2002年萨班斯-奥克斯利法案(中英对照本)》,法律出版社,2005,4 汤云为:“终结财务丑闻”,《后安然时代》,中国财政经济出版社,2003 年,P560 友联时骏管理顾问: 《企业内部控制和风险管理》, 复旦大学出版社2005, P104
第三篇:SOX简介、萨班斯法案
建立符合SOX法案以及企业内部控制基本规范的内部审计思路
2009-10-19 17:18 文鸿义 【大 中 小】【打印】【我要纠错】
随着企业规模的扩大以及社会经济环境的要求,对企业内部控制的制度建设正日益受到广泛关注,而作为内部控制最基本的一个环节内部审计,也正逐渐提上日程,并越来越多受到重视。本文根据美国颁布的《萨班斯-奥克斯利法案》以及我国颁布的《企业内部控制基本规范》有关企业内部审计的要求,来探讨建立企业内部审计的思路。
一、SOX法案的产生背景及缘由
SOX法案即《萨班斯-奥克斯利法案》。在一般人眼中,美国一直是一个法治比较完备,企业管理相对规范、高效,社会诚信良好的国家。但是 , 2001年出现的安然事件,以及由此发现的一系列美国著名大公司在公司治理和财务管理力方面的问题,引发了美国社会特别是经济界、金融界的诚信危机。安然公司的造假主要依靠三种途径,一是通过资本重组,建立了超过3000多个各类子公司、孙公司、合伙公司在内的复杂的公司结构体系,以便使公司进行大规模违规融资活动。二是通过内部各类公司之间的复杂的关联交易,随意制造营业收入和利润。三是创造出一套非常复杂的公司财务结构,使用了被称为SPE(特殊目的主体)的金融工具和其他资产负债表进行表外融资。
首先,我们从安然的故事中看到了一个缺乏责任的董事会。如公司董事长兼首席执行官肯莱利用个人的影响通过巨额资助竞选。此外,公司与董事利益相互交织互相利用安然公司签订了多份与独立董事的咨询服务和产品销售的业务合同,还向独立董事任职的非盈利机构大量捐款。这种利益交织的情况下独立董事对公司管理层的监督形同虚设。在缺乏监督和制约的条件下,公司就会被个人操纵和利用成为内部人牟取个人利益的手段。
另一个扮演着不光彩角色的是安达信公司。安达信从20世纪80年代中开始承担安然的外部审计业务到90年代又承担了其内部审计业务。这样,安达信一手为安然作帐,用另一手为其查帐。当会计师事务所为同一个客户同时提供审计和咨询两种服务时,其审计的独立性就可能因此受到影响。
包括安然在内的一系列公司假账丑闻的发生,已经不是个别公司的问题,而是美国公司制度的缺陷。这个缺陷主要表现在公司治理结构的不平衡和外部监督的缺失。在这样一个背景下,《萨班斯-奥克斯利法案》于2002年7月30日正式出台。它以维护广大投资者利益为宗旨,对惩治公司财务欺诈、规范企业行为和加强资本市场监管等方面做出了更加严厉、更加全面的规定。
该法案的核心是通过立法加强对财务制度和企业内部的控制,并增加企业财务透明度和及时对各种缺陷进行修复。如果企业被认定未达到萨班斯法案的要求,将可能使企业受到严重处罚,包括高额罚款以及管理层个人形式责任追究。
二、法案涉及财务内部控制的主要内容
通过仔细观察萨班斯法案,对企业的财务审计工作产生的重大影响主要集中在其中的302条款和404条款。即:
(1)首席执行官(CEO)和首席财务官(CFO)诚信声明。按照萨班斯法案302和404条款,公司(这里主要是上市公司)的首席执行官和首席财务官必须在对外公布财务报告时发表有关该财务报告真实性的诚信声明,并作为该财务报告的必要组成部分。该声明主要包括以下几个方面的内容:(1)CEO和CFO已经审查核实了公司的财务报表和财务报告;(2)在CEO和CFO所了解的范围内,该财务报表和财务报告真实完整地反映了该公司在本会计期间内的财务状况,不包含任何虚假的信息,也不存在误导各利益相关者的成分I(3)该财务报表和其他财务信息公允地反映了本会计期间的资产负债、经营损益以及现金流量等状况,(4)CEO和CFO要对本公司的内控情况和采取的内控措施作出评估,并声明该公司内控体系的有效性。
(2)302条款对企业财务审计的影响。作为提供社会中介鉴证服务的会计师事务所,在对企业的财务进行审计过程中,应当秉承客观,独立、公正的原则。302条款要求上市公司CEO和CFO必须发表财务会计报告诚信声明,这就在一定程度上约束了企业的造假冲动,会计师事务所可以理直气壮地对企业的财务状况实施客观、独立和公正的审计,有利于提高企业的财务会计信息质量和审计质量。
(3)404条款及其对企业财务审计的影响。萨班斯法案404条款的主要内容是要求企业的CEO和CFO必须对本企业的内控系统的有效性发表诚信声明,同时,为保证企业CEO和CFO声明的真实可靠,要求会计师事务所应当对企业内控系统的有效性进行测试评估,而且,此项测试应当成为会计师事务所进行企业财务审计的重要内容之一,但对企业内控系统有效性的测试不是一项独立的审计业务。与过去相比,这无疑大大增加了财务审计的工作量,也对会计师事务所的执业能力和执业水平提出了更高的要求。
三、法案对我们国内公司建立内部控制制度的指导意义
根据该法案,自2006年7月15日开始,所有在美国上市的外国企业,必须执行《萨班斯——奥克斯利法案》。而同一天,我国财政部发起成立了“企业内部控制标准委员会”,中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。
我们可以发现,美国萨班斯法案的实施对中国企业的内部控制和会计信息披露也已经产生了一定的影响:一来是针对已经或准备在美国上市的中国企业必须达到法案的要求;二是针对在我国的资本市场,如果不能尽快完善内部控制和信息披露机制,那么将会导致股东利益受损和证券市场的泡沫。
因此,探讨萨班斯法案对中国企业内部控制建设的影响至少有以下两层意义:
1、理论意义:我国自20世纪90年代起便开始加大政府对内部控制的推动作用,现有的法律法规和行政规范中多项涉及到内部控制的内容,尤其表现在内部审计方面。同时也要看到,我国的内部会计规范才刚开始,一套完整的内部控制规范体系的建立还有待时日。因此相对比较完善的美国内部控制理论,尤其是2002年颁布的《萨班斯一奥克斯利法案》,对我国内部控制制度的建立具有一定的启发和参考、借鉴意义。
2、实务意义:所有在美国证券交易委员会(SEC)备案的公司,包括在美国注册的上市公司和在外国注册而在美国上市的公司,都必须符合《萨班斯一奥克斯利法案》的要求。而众多准备在美国上市的中国企业还没有意识到法案对其上市的重大影响,即使是已经在美国上市的中国公司,仍有部分不十分清楚法案的具体要求以及如何应对。与此同时,在中国上市的公司也要逐步建立起一套行之有效的内部控制体系来应对企业面临的各种风险,提高企业管理的质量。
四、我国相关内部控制规范对内部审计的要求
内部控制规范在我国相对晚些,如在二00五年十二月十一日,国务院国有资产监督管理委员会发布《关于加强中央企业内部审计工作的通知》(国资发评价[2005]304号)明确指出“内部审计是审计监督的重要组成部分,加强企业内部审计,是建立健全现代企业制度不可或缺的重要环节,是推动企业转变经营机制、依法经营、规范管理、增强市场竞争力、实现健康快速发展的重要手段。”并要求各中央企业要充分认识内部审计工作的重要性,高度重视内部审计工作,切实加强领导。要将内部审计工作纳入企业重要议程,保障内部审计工作有效开展,在企业营造尊重审计、支持审计、自觉接受审计的工作环境,充分发挥内部审计工作在完善企业内部控制、防范经营风险、提高经营管理水平方面的作用。”与此同时,国务院国有资产监督管理委员会还要求企业需进一步建立完善企业内部控制机制,为实现经营管理目标,确保财务信息真实可靠、资产安全完整,提高资产运营效率与效益服务。具体提出了四项内部控制要求:即一要建立和完善内部控制体系,科学设置组织结构,健全内部控制制度。二要加强经营风险评估,增强企业适应环境和防范风险的能力。三要加强对内部控制执行的监督和检查,内部审计部门应当组织开展内部控制有效性的评价工作,充分发挥内部审计在内部控制中的监督作用。四要按照现代企业制度要求,探索与完善企业内部控制有
效性审计和评价工作方法,不断完善企业内部控制体系,促进提高企业管理水平。
此外,二OO八年五月二十二日发布的《企业内部控制基本规范》(财会[2008]7号)也明确指出,中华人民共和国境内设立的大中型企业 应根据该规范建立内部控制。对于小企业和其他单位可以参照本规范建立与实施内部控制。该规范明确了内部控制是企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
基本规范要求企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。并特别指出,企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。企业应当根据该规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。
企业应当制定内部控制缺陷认定标准,结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。
从以上内容可以看到,企业内部审计部门的地位是多么重要。且基本规范再次明确了内部审计在内部控制中的地位和作用,将内部审计提高到了极其重要的地位。这些规范的颁布,为企业内部审计部门加强内部控制管理,明确自身责任,提供了依据,也为内部审计工作提供了广阔舞台。
五、建立符合SOX法案以及企业内部控制基本规范的内部审计工作思路
为切实履行内部审计职责,发挥内部审计在内部控制中的作用,结合企业实际,本人初步拟定了建立符合SOX法案以及企业内部控制基本规范的内部审计工作思路,以供参考。
(一)内部审计的目的是加强公司及所属公司的管理和监督,维护财经法纪,改善经营管理,提高经济效益。
(二)内部审计应在公司总经理或董事会下设的审计委员会的直接领导下,对公司各部门以及公司所属单位的财务收支和经济效益等进行监督,独立行使审计职权,对总经理或审计委员会负责并报告工作,在业务上同时受上级审计计机构的领导和地方审计机关的监督。
(三)内部审计的任务:
1、主要任务有:
(1)对公司及所属公司的资金、财产的完整安全进行监督审计。
(2)对公司及所属公司的财务收支计划、投资和经费的预算,信贷计划,外汇收 支计划和经济合同的执行以及经济效益进行审计监督。
(3)对公司及所属公司的会计报表进行内部审计。
(4)对公司及所属公司的经营责任的审计评议,配合上级审计机构对公司主要领导人及所属公司的主要领导人的离任经济责任进行审计。
(5)对公司及其他所属各公司基建工程项目的概(预)算的执行、建设成本的真实性和经济效益进行审计。
(6)对公司及所属公司的内部控制制度的健全、有效及执行情况进行监督检查。
(7)对严重违反财经纪律,侵占国家、公司资产,严重损失浪费等损害国家、公司利益的行为进行专案审计。
(8)贯彻执行有关审计法规,制定或参与研究本公司及所属公司有关的规章制度。
(9)办理公司领导、上级审计机构交办的其他审计事项,以及配合上级审计部门和外部会计师事务所对公司及所属公司进行审计。
2、内部审计主要职权
(1)根据内部审计工作的需要,被审计单位应按时向审计部报送有关计划、预算、决算报表和文件资料等。
(2)检查实物、凭证、帐册、有关文件和资料。
(3)参与有关的会议。
(4)索取有关的证明材料。
(5)对正在进行的严重违反财经法纪、严重损失浪费行为作出临时制止的决定。
(6)对阻挠、破坏审计工作以及拒绝提供有关资料的,经公司领导批准可以采取必要的临时措施,并提出追究有关人员责任的建议。
(7)监督被审计单位严格执行审计决定。
(8)对审计工作中的重大事项有权直接向上级审计机构如实反映。
(9)对违反财经法纪和大量浪费的被审计单位的直接责任人员和单位负责人,可建议公司总经理给予行政处分,情节特别严重的可建议移送司法机关依法追究刑事责任。
3、内部审计主要工作程序
(1)内部审计部门在年初应根据上级审计部门的部署结合公司的具体情况确定审计工作计划,报请总经理或董事会批准后实施。
(2)在实施审计计划时应拟订审计方案,审计范围、内容、方式和时间,并通知被审计单位要求提供必要的工作条件。
(3)在审计中必须做好工作底稿,记录审计过程,各种旁证材料齐全,作好调查记录并应有相关人员的签名盖章。
(4)审计中如有争议应如实反映给领导,必须依法有据,实事求是地提出解决办法,切忌主观、武断。
(5)每项审计工作结束最迟不得超过两个星期提出内部审计报告。
4、内部审计报告的总体要求及运行程序
内部审计报告的总体要求:事实清楚、数据确实、依法有据、建议恰当。
审计报告在征求补充被审计单位意见后(不是同意审计报告),报送公司经理办公会审定、由董事会批准后,下达审计结论和处理决定,通知被审计单位执行。被审计单位在听取内部审计部门审计报告征求意见后有不同意见时,应首先对事实和数据是否确切可提出补充意见,经内部审计部门查明后修改或补充,对审计报告引用的法规依据、处理建议的内容等也可以提出不同的看法,内部审计部门应根据事实,可以予以采纳或维护原审计报告。审计报告经批准下达后,被审计单位对审计报告提出的整改意见必须执行。内部审计部门必须在一定时期内向总经理、董事会报告被审计单位的执行情况。
审计报告下达后由于情况变化和有新的重要数据遗漏,经查明事实后,被审计单位应向内部审计部门报告的同时向总经理报告,由总经理或审计委员会决定原审计报告是否修改或继续执行。
每个审计报告以及审计工作底稿等附件必须在二个月内整理装订成册,并移交档案部门归档备查。
5、奖惩条例
(1)对审计工作成绩显著的工作人员以及在揭发检举中的有功人员给予表扬和奖励,具体奖励办法另行制定。
(2)审计人员泄漏机密,或以权谋私、参与舞弊行为者应给予警告或一至三月工资罚款的行政处分,情节严重、构成犯罪的提请司法机关依法追究其刑事责任。(3)对打击、报复审计人员的,不论其职位高低,先在公司内部由总经理视情节严重情况给予警告、罚款、降薪降职等行政处分,情节特别严重的报上级部门处理,情节特别严重的由司法机关依法追究其法律责任。
附:
公司内部审计流程图
审计工作计划
审计管理 审计档案管理
审计业绩考核
内部审计
审计准备
审计实施
审计作业
审计报告
后续跟踪审计或监督执行
第四篇:美国萨班斯法案与我国内部控制基本规范的比较及启示
美国萨班斯法案与我国内部控制基本规范的比较及启示
东北财经大学会计学院 王棣华/张小苓
中国会计报 2012-04-20 14:15:06
对《萨班斯法案》与我国内部控制规范进行比较和分析,吸收有用经验,有利于更好地完善我国企业内控体系,规范资本市场,重塑投资者信心。
加大对证券行业的监管
成立独立的监管机构。我们应该借鉴美国《萨班斯法案》的关于公众公司——监察委员会的条款,在我国建立一个独立的监管机构,从社会各界吸收精英人士。
促进跨国监管合作。随着资本在不同国家之间的流动,相应的各种经济犯罪也层出不穷。因此,应该加强各国之间的合作,严厉打击各种跨国犯罪行为,维持世界经济的新秩序。
加强注会行业的监管
促进会计师事务所做大做强。修改后的《中华人民共和国合伙企业法》,自2007年6月1日开始实行,特殊的普通合伙制被纳入合伙企业的组织形式中,这成为会计师事务所做大做强的理想选择。
对会计师事务所实行轮查制度。对注册会计师行业的监管国外大都实施轮查制度,美国《萨班斯法案》规定,对上市公司超过100名的会计师事务所每年检查一次,对少于100名的会计师事务所每3年检查一次。我国对会计师事务所的检查存在的问题主要是多头监管和重复检查。随着注册会计师行业的发展和现在我国会计师事务所合并浪潮的盛行,现在应该可以开始实施轮查制度。
禁止会计师事务所从事违反独立性的工作。我国的会计师事务所为了“走出去”就必须提高执业质量,独立性就成为一个不可避免的问题。因此,应该借鉴《萨班斯法案》,不允许会计师事务所从事可能影响独立性的非审计业务,但为了我国会计师事务所的发展,应该批准在不影响独立性的前提下允许其从事非审计业务。
加大对审计工作底稿的保管责任。《萨班斯法案》为了应对蓄意破坏审计工作底稿的情况,规定会计师事务所应该对所审计或复核的工作底稿至少保存5年,如违反此项规定将被处以罚款或20年的监禁或者予以并罚。因此,必须明确会计师事务所对审计底稿的保管责任。
加强对公司的监管
增加会计责任承诺内容。目前资本市场上的犯罪大都是涉及高级管理人员。因此,应该在高管层增加会计责任承诺内容,这有利于加强企业内部控制,建立良好的内部控制氛围。
加大公司的信息披露力度。我国要求公司披露的信息一般除了财务报表涉及的信息,现在刚增加的内容就是内部控制有效性报告,但实施效果不是很显著。建议加大公司信息披露力度,尽可能所有的上市公司都要强制实施。
充分发挥审计委员会的作用。美国《萨班斯法案》大大加强了审计委员会在内部监管中的权力,巩固了审计委员会的地位,有利于保证会计信息真实、公允和内部治理结构有效。我国现在很多公司都设有内部审计部门,但是内部审计部门并没有起到应有的作用。我国引入审计委员会制度时间较短,缺乏相关配套法律和运作规范,审计委员会工作无章可循。另外,我国审计委员会制度推行力度不够,没有具体操作指南和检验标准,一些公司的审计委员会只是一个形式,没有起到应有的作用。
加大对公司高管犯罪的惩罚力度。我国关于对高管犯罪的处罚没有具体的法律和规范,就是提及到处罚措施的时候也没有明确的描述,这对打击我国高管犯罪是不利的。加大对高管犯罪的处罚力度,制定相关法律,用法律来保护投资者的权利。(本文获年中国企业内部控制建设有奖征文活动三等奖,有删节)2011
第五篇:公司内部控制实施案例
AB公司内部控制实施案例
AB公司为上市公司,为符合上市公司内控法规要求,提高企业经营管理水平和风险防范能力,促进企业可持续发展,根据财政部、证监会等五部委印发的企业内部控制基本规范及配套指引的要求,聘请外部咨询公司,2011年3月起着手进行内控体系建设工作。根据《企业内部控制基本规范》及其配套指引要求,结合国外公司经验,企业内部控制体系建设通常分为4个阶段,内部控制梳理、内部控制整改固化、内部控制自我评价和内部控制审计,其中前3个阶段是内控建设核心工作,需由企业主导完成,内控审计由审计师在企业配合下实施。
为做实做好内控规范体系建设工作,公司于2011年3月正式成立内控工作领导小组,由公司董事长牵头,高层领导主管、总部各部门负责人及各分子公司总经理作为组员,负责组织领导公司内部控制规范化建设工作。2011年3月中旬召开内控实施项目启动会,对公司内控建设工作进行了部署和动员,并制定公司内控实施计划及工作方案。
一、建立内控建设组织架构,明确相关人员职责。
内部控制建设作为一项长期系统性地工程,并非一蹴而就,公司决定建立一种长效领导机制持续运作。公司内控体系建设组织架构图如下,并明确董事长为内部控制实施工作的第一责任人;公司总经理、副总经理为内控实施的具体负责人。
(一)内控领导小组职责
经公司董事会审议通过,公司成立风险管理委员会,成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管及专业人士,作为内控工作领导小组。风险管理委员会对董事会负责,主要履行以下职责:
(1)负责营造良好的内部控制建设环境;
(2)负责制定公司内部控制战略规划,提出总体建设方案;
(3)负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;
(4)部署内部控制建设、执行及监督活动等;
(5)审议《内控手册》的编制、修改及更新;
(6)提交《内部控制评价报告》;
(7)协调公司内部控制建设的重大事项;
(8)考核内部控制建设的相关人员,保持公司整体利益和方向的一致性。
(二)内控项目小组职责
1、公司在风险管理委员会下设立风险管理委员会办公室作为内控项目组,主要履行下列职责:
(1)全面贯彻执行风险管理委员会关于内部控制建设的精神和方针;1
(2)制定公司内部控制建设阶段性的目标及实施方案,提交风险管理委员会审核;
(3)负责内部控制建设的有效实施和运行,落实内部控制建设的具体责任;
(4)研究提出《内部控制评价报告》;
(5)负责公司《内控手册》的编制、修改及更新;
(6)审核在内部控制建设过程中存在的问题,督促各部门进行整改。
2、公司在风险管理委员会办公室细分为4大系统,即风控系统、战略与证券系统、财务系统和运营系统,明确各系统的具体职责。
3、风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供应链中心、法律事务部、研发中心、制造中心及战略人力资源部,配备33名专职人员。各业务单位、职能部门及子公司(事业部)在风险管理委员会办公室的指导下共同参与、实施内控建设工作。
4、审核委员会作为公司内部控制体系有效性的监督机构,监督内部控制的有效实施和内部控制自我评价情况,审核及监督外部审计机构是否独立客观及审计程序是否有效,审核公司的财务信息及其披露,协调内部控制审计及其他相关事宜。
(三)责任部门及工作预算
与内控工作小组相对应,公司确认了内部控制建设的责任部门,即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供应链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次内控项目工作制定了相关预算,包括内控咨询、内控审计及人力成本费用、培训费用等。为保证内控建设工作的专业化、系统化和合理化,公司聘请询公司作为外部咨询机构为公司提供专业支持,协助公司梳理、构建及完善内部控制总体架构,帮助公司识别内部控制存在的薄弱环节和主要风险,有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。风控系统人员将全程参与风险识别及评估、编制风险清单及控制矩阵、内控缺陷整改、开展内控评价等工作,为公司培养内部控制建设及评价人才。
二、内控体系建设工作具体推进
内部控制建设工作,公司将分为五个阶段,时间从2011年4月1日至2012年1月31日,总体安排如下:
(一)确定内控实施范围(2011年4月10日前完成)
根据证监局文件精神,结合公司实际,本次内控实施范围为AB公司及两家子公司。
按照《企业内部控制基本规范》及其配套指引要求,结合公司业务性质,公司将重点关注发展战略、组织架构、人力资源等公司层面3大流程,以及信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。
(二)风险识别及评估(2011年5月31日前完成)
1、流程梳理:公司通过访谈、审阅文档或问卷调查等方式梳理流程,明确上述12大流程的相应子流程,完善组织架构和审批授权指引,根据统一的模板编制业务流程图。在流程梳理过程中,及时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未分离或权限设置不合理等内控缺失的工作流程,采取相应的措施规范操作流程,避免内部舞弊等重大风险出现,提高工作效率。
2、风险识别:结合《企业内部控制基本规范》及相关配套指引所列示的风险、公司客户审核要求、内审报告、提案改善、质量事故等初始资料,从风险发生的可能性和影响程度,对子流程中涉及到的每个控制点进行综合分析,识别固有风险,评价风险等级,形成风险清单。
3、文档记录:根据风险等级,识别流程中的关键控制活动,并在流程图中进行编号;编制流程描述、风险控制矩阵等内控文档对控制活动和控制点进行记录。
4、查找内控缺陷:将公司现有制度和控制措施流与风险清单进行比对,通过穿行测试、控制测试等手段,获取关于内控设计和运行有效性的证据,查找内控缺陷,形成《风险数据库》和《内控风险诊断和评价报告》。对发现的重大缺陷及时报告董事会及管理层,管理层对发现的内部控制缺陷应及时制定内控缺陷整改方案。
(三)确定内控缺陷整改方案(2011年6月30日前完成)
1、编制《内部控制管理建议书》:公司对发现的内控缺陷进行分类分析,确定内控缺陷的重要性程度,区分设计缺陷和运行缺陷,形成《内部控制管理建议书》。
2、制定内控缺陷整改方案:公司根据《内部控制管理建议书》和具体的控制缺陷,提出整改时间及责任部门、人员,形成内控缺陷整改方案。
3、提交审议:内控缺陷整改方案应当经过风险管理委员会审议通过。
(四)内控缺陷整改(2011年9月30日前完成)
1、落实整改、提交报告:责任部门将按照内控缺陷整改方案对发现的缺陷进行逐一整改,完善公司各项内部控制管理制度和控制措施,提交《内控缺陷整改报告》;内控项目组连同中介机构对缺陷整改情况进行运行有效性测试,形成《内控运行测试报告》。
2、编制《内部控制手册》:内控项目组根据风险清单和各项内控文档等资料,编制《内部控制手册》,并对手册内容进行实施辅导和推进执行。
3、编制《内控自我评估工作指引》:内控项目组编制《内控自我评估工作指引》,为下一步内控自我评价工作的开展奠定基础。
4、提交审议:《内控缺陷整改报告》、《内控运行测试报告》、《内部控制手册》及《内控自我评估工作指引》应报风险管理委员会审议。
(五)内控持续推进和内控自我评价
公司在内控体系成果完成后,将予以持续推进,并根据辖区证监局要求,公司将于每季度结束后的10个工作日内,向证监局报送内控进展情况说明,并在定期报告中予以披露。每季度进展情况说明至少包括该季度内控建设工作的开展情况、与工作方案中计划进度的对照情况、差异原因以及拟采取的解决措施等。
通过以上工作,公司初步建立健全了内部控制体系,有效提高了内控管理水平。
三、内控体系“落地”的保障措施
AB公司在完成内控体系初步建设完成后具体推行过程中,一些部门和员工或因对新的内控制度理解不够,或因由于长期工作习惯难以改变,或因内控制度变革触及自身利益而不愿遵循,使得内控制度在一段时期内一直都不能落到实处。如何真正将内控体系有效执行下去,并保持内控体系的持续完善和提高,是管理层迫切需要解决的难题。
为了切实将内控制度体系真正“落地”,AB公司通过全方位内控培训、加强内控检查与监督、完善考核及激励机制以及借助第三方专业机构的持续辅导等措施,有力地保证了内控建设的持续维护,公司的内控建设取得了卓有成效的进展。具体来说,采取的主要措施有:
(一)完善内控工作组织架构,成立内控部,强化审计部,建立推进内控工作的组织机构和运行机制。
通过对国际大企业内控建设的现状和过程的全面考察,AB公司发现要实行有效的内部控制,必须建立相配套的组织架构。为此,公司由管理高层成立了内控工作领导小组,各子公司管理层对应的成立内控管理小组;在部门设置上,AB公司新成立了内控部,各下属子公司根据其规模大小设立内控部或内控负责岗,负责内控建设工作;在内控监督上,转变了原有的审计部的职责,增加了内控评价和检查的功能,并由公司董事会的审计委员会直接领导,在规模较大的子公司同时设立内部审计专员,负责子公司的内控自查。
(二)注重内控环境建设,进行全方位内控培训。
公司通过一系列的培训和辅导,提高各层级管理人员和基础员工对内控理念的认识,营造有利的内控工作开展的文化环境。首先,公司抓好以普及内控基本知识、营造内控实施环境的宣传工作。公司内控部组织编制了《内控宣传册》,在公司各职
能部门和下属公司主要管理干部范围内发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对内控的理解和认识,减少内控推进的思想阻力。
其次,公司根据内控规范实施的进度,围绕内部控制的各个方面,开展了包括基础理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训,对内控制度的编制和实施起了极大的推进作用。
(三)建立内控推进的沟通机制,保证内控建设持续性和问题解决的及时性。自内控制度建设正式推进以来,为了保证推进的执行力,公司开展了全方位的信息沟通机制,实现了信息的实时传递,和通畅的上传下达。
首先,AB公司建立了周例会制度。内控领导小组每周组织内控工作例会,由公司董事或审计委员会主任主持,参与者包括内控领导小组成员、内控部、审计部、财务部、各子公司的内控负责人等。总部各职能部门及各子公司必须在会上以书面形式上报“内控工作一周报告”,汇报内控的进展情况、存在的问题、解决的方案、遇到的困难以及需要股份给予协助的事项,并由内控领导小组组长对相关的具体问题提出意见和工作指导,会后AB公司内控部负责对每家子公司进行回复,保证所有的问题都能得到及时有效的解决。所有会议记录和相关文件在会后抄送AB公司的总经理和董事会,并抄送相关子公司的管理层,保证管理高层对内控进展的时刻了解。
其次,公司建立了内控体系的月度工作总结。每月末各个子公司的内控负责人就内控开展情况进行工作总结,由内控部在AB公司管理层、子公司管理层以及相关内控负责人之间进行通报,督促各子公司的内控执行力。
第三,建立了重大项目的单独汇报机制。各子公司的内控负责人对于子公司内控建设中发现的重大问题要求及时向内控领导小组和AB公司内控部进行汇报,以实时处理可能的重大风险。此外,AB公司公司的内控部长、审计部长、财务总监的联系方式向子公司的所有内控负责人和内控专员公开,作为信息直接传递的一个重要渠道,帮助AB公司及时了解下属子公司内控风险。
(四)完善内控评价检查机制,建立了多层次的内控检查体系。
为了保证内控制度的落地和真正有效的执行,公司从各子公司到AB公司的内控部和审计部,再到外部独立的第三方中介,建立了全方位的内控评价和检查体系。AB公司内控部对各业务循环定期开展内控检查,通过发放内控调查清单以及内控专员的现场检查,发现子公司在内控建设中的不足,并及时下发风险联系函、风险关注函和风险警示函,以帮助子公司及时进行内控整改和完善。其中联系函主要是对子公司联系函件的回复为主;关注函主要是对子公司发生的业务表示关注,一般要求对方在一定时间内给出书面说明;警示函是在关注函的基础上对于重大风险或执行不到位的情况给予警告。
AB公司审计部对各子公司每年开展两次的内控评价。为了实现评价的量化和标准化,审计部编制了内控评价底稿通过检查,对子公司形成内控建设的量化评价,并针对检查中发现的问题出具改进建议,并要求各子公司在规定的时间内予以整改,总部内控部对子公司整改措施和整改质量进行全程的监督,整改完成后,审计部及时予以复查,确保审计中发现的问题能及时整改。
(五)将内控建设纳入绩效考核,通过奖惩机制实现内控的有效性。
首先,为有效发挥各下属子公司的管理者在内控推进中的作用和积极性,自200×年开始,AB公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中,明确了管理班子对于内部控制建设的责任和关键任务。通过这种绩效考核,激励管理层切实关注和推动内控的执行工作,从而为内控工作的推进建立良好环境。
其次,对于AB公司向各子公司委派的重要人员也直接与内控建设挂钩。公司出台了《委派内控人员绩效考核管理办法》,对各个子公司的内控负责人实施全面的内控建设考核,明确了委派的内控人员的绩效考核指标、考核方式和奖惩机制,进一步促进了委派内控人员的工作落实力度;其次,对于股份委派的财务负责人,也在其考核的总分中(100分制)纳入了相当比重的的内控建设的相关内容,从财务职能加强了对子公司的内控推进。
(六)充分发挥专业中介机构力量
AB公司在开始建立内控体系即聘请的专业咨询公司提供咨询服务,在整个体系建立过程中,充分发挥咨询公司专业力量,并聘请专业顾问对公司人员进行培训,提高公司人员内控理念和技能。在内控体系初步建立之后,仍继续与咨询公司保持合作,借助咨询公司在专业及独立性方面优势,共同推进公司内控持续建设工作,在内控持续建设工作中,专业咨询公司提供了大量了专业意见和培训辅导服务,帮助公司完善各项成果,使得公司的内控持续建设取得了令人瞩目的成效。