第一篇:财政部会计司解读《企业内部控制评价指引》
切实做好内部控制评价,不断实现内部控制自我提升—财政部会计司解读《企业内部控制评价指引》
《周易》:“君子终日乾乾,夕惕若,厉,无咎。”是说君子能整天整日显示出自强不息的行为状态,是因为到晚间,也要保持戒慎,即检查自己在白天的所作所为,不要把过错带进第二天。对内部控制的建立、实施进行评价,是优化内部控制自我监督机制的一项重要制度安排,是内部控制的重要组成部分,与内部控制的建立、实施,共同构成有机循环。《企业内部控制基本规范》第四十六条:“企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告”。因此,为促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,专门制定了《企业内部控制评价指引》(下称“《评价指引》”)。
《评价指引》第二条规定,企业内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。
一、内部控制评价概述
(一)内部控制评价的作用第一,内部控制评价有助于企业自我完善内控体系。内部控制评价是通过评价、反馈、再评价,报告企业在内部控制建立与实施中存在的问题,并持续地进行自我完善的过程。通过内部控制评价查找、分析内部控制缺陷并有针对性地督促落实整改,可以及时堵塞管理漏洞,防范偏离目标的各种风险,并举一反三,从设计和执行等全方位健全优化管控制度,从而促进企业内控体系的不断完善。
第二,内部控制评价有助于提升企业市场形象和公众认可度。企业开展内部控制评价,需形成评价结论,出具评价报告。通过自我评价报告,将企业的风险管理水平、内部控制状况以及与此相关的发展战略、竞争优势、可持续发展能力等公布于众,树立诚信、透明、负责任的企业形象,有利于增强投资者、债权人以及其他利益相关者的信任度和认可度,为自己创造更为有利的外部环境,促进企业的长远可持续发展。
第三,内部控制评价有助于实现与政府监管的协调互动。政府监管部门有权对企业内部控制建立与实施的有效性进行监督检查。事实上,在有关政府部门,比如审计机关开展的国有企业负责人离任经济责任审计中,已将企业内部控制的有效性,以及企业负责人组织领导内控体系建立与实施情况纳入审计范围,并日益成为十分重要的一部分。尽管政府部门实施企业内控监督检查有其自身的做法和特点,但监督检查的重点部位是基本一致的,比如大多涉及重大经营决策的科学性、合规性以及重要业务事项管控的有效性等。实施企业内控自我评价,能够通过自查及早排查风险、发现问题,并积极整改,有利于在配合政府监管中赢得主动,并借助政府监管成果进一步改进企业内控实施和评价工作,促进自我评价与政府监管的协调互动。
(二)内部控制评价的对象内部控制评价是对内部控制有效性发表意见。所谓内部控制有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。其中,内部控制设计的有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行的有效性,是指现有内部控制按照规定程序得到了正确执行。评价内部控制运行的有效性,应当着重考虑以下几个方面:(1)相关控制在评价期内是如何运行的;(2)相关控制是否得到了持续一致的运行;(3)实施控制的人员是否具备必要的权限和能力。
需要强调的是,即使同时满足设计有效性和运行有效性标准的内部控制,受内部控制固有局限影响,也只能为内部控制目标的实现提供合理保证,而不能提供绝对保证,不应不切实际地期望内部控制能够绝对保证内部控制目标的实现,也不应以内部控制目标的最终实现情况和程度作为唯一依据直接判断内部控制设计和运行的有效性。
(三)内部控制评价的原则内部控制评价的原则是开展评价工作应该注意的原则,与内部控制的原则不完全相同。根据《评价指引》第三条规定,企业对内部控制评价至少遵循以下原则:全面性原则、重要性原则和客观性原则。
1.全面性原则。全面性原则强调的是内部控制评价的涵盖范围应当全面,具体来说,是指内部控制评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
2.重要性原则。重要性原则强调内部控制评价应当在全面性的基础之上,着眼于风险,突出重点。具体来说,主要体现在制订和实施评价工作方案、分配评价资源的过程之中,它的核心要求主要包括两个方面:一是要坚持风险导向的思路,着重关注那些影响内部控制目标实现的高风险领域和风险点;二是要坚持重点突出的思路,着重关注那些重要的业务事项和关键的控制环节,以及重要业务单位。
3.客观性原则。客观性原则强调内部控制评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计和运行的有效性。只有在内部控制评价工作方案制定、实施的全过程中始终坚持客观性,才能保证评价结果的客观性。
(四)内部控制评价的组织形式和职责安排《评价指引》第四条规定,企业应当根据本评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
企业内部控制评价办法应当结合《企业内部控制基本规范》第四十四条的规定,具体明确内部控制评价的组织形式,特别明确各有关方面在内部控制评价中的职责安排,处理好内部控制评价和内部监督的关系,定期由相对独立的人员对内部控制有效性进行科学的评价,界定内部控制缺陷认定标准,保证内部控制评价有序地开展。
1.内部控制评价的组织形式企业可以授权内部审计机构或专门机构(下称“内部控制评价机构”)负责内部控制评价的具体组织实施工作。
内部控制评价机构必须具备一定的设臵条件:一是能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;二是具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;三是与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约,在效率效果上满足企业对内部控制系统进行监督与评价所提出的有关要求;四是能够得到企业董事会和经理层的支持,有足够的权威性来保证内部控制评价工作的顺利开展。
具体来说,企业可根据自身特点,决定是否单独设臵专门的内部控制评价机构。对于单独设有专门内部控制机构的企业,也可以由内部控制机构来负责内部控制评价的具体组织实施工作。
为了保证评价的独立性,负责内部控制设计和评价的部门应适当分离。
企业可以委托会计师事务所等中介机构实施内部控制评价。此时,董事会(审计委员会)应加强对内部控制评价工作的监督与指导。从业务性质上讲,中介机构受托为企业实施内部控制评价是一种非保证服务,内部控制评价报告的责任仍然应由企业董事会承担。另外,为保证审计的独立性,为企业提供内部控制审计的会计师事务所,不得同时为同一家企业提供内部控制评价服务。
2.有关方面在内部控制评价中的职责和任务无论采取何种组织形式,董事会、经理层和内部控制评价机构在内部控制评价中的职能作用不会发生本质的变化。一般来说:(1)董事会对内部控制评价承担最终的责任。《评价指引》第四条第二款规定,企业董事会应当对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。董事会或审计委员会应听取内部控制评价报告,审定内控重大缺陷、重要缺陷整改意见,对内部控制部门在督促整改中遇到的困难,积极协调,排除障碍。监事会应审议内部控制评价报告,对董事会建立与实施内部控制进行监督。
(2)经理层负责组织实施内部控制评价工作,实际操作中,可以授权内部控制评价机构组织实施,并积极支持和配合内部控制评价的开展,创造良好的环境和条件。经理层应结合日常掌握的业务情况,为内部控制评价方案提出应重点关注的业务或事项,审定内部控制评价方案和听取内部控制评价报告,对于内部控制评价中发现的问题或报告的缺陷,要按照董事会或审计委员会的整改意见积极采取有效措施予以整改。
(3)内部控制评价机构根据授权承担内部控制评价的具体组织实施任务,通过复核、汇总、分析内部监督资料,结合经理层要求,拟订合理评价工作方案并认真组织实施;对于评价过程中发现的重大问题,应及时与董事会、审计委员会或经理层沟通,并认定内部控制缺陷,拟订整改方案,编写内部控制评价报告,及时向董事会、审计委员会或经理层报告;沟通外部审计师,督促各部门、所属企业对内、外部内控评价进行整改;根据评价和整改情况拟订内部控制考核方案。
(4)各专业部门应负责组织本部门的内控自查、测试和评价工作,对发现的设计和运行缺陷提出整改方案及具体整改计划,积极整改,并报送内部控制机构复核,配合内控机构(部门)及外部审计师开展企业层面的内控评价工作。
(5)企业所属单位,也应逐级落实内部控制评价责任,建立日常监控机制,开展内控自查、测试和定期检查评价,发现问题并认定内部控制有缺陷,需拟订整改方案和计划,报本级管理层审定后,督促整改,编制内部控制评价报告,对内部控制的执行和整改情况进行考核。
企业内部控制评价办法中的原则、内容、程序、方法和报告形式参考本解读其他部分的规定。
二、关于内部控制评价的内容
(一)内部控制评价的内容和工作底稿设计《评价指引》第五条到第十条具体介绍了内部控制评价内容。内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行,企业应结合《企业内部控制基本规范》、各项应用指引以及本企业的内部控制制度,确定具体评价内容,对内部控制设计与运行情况进行全面评价。
内部环境评价应当包括组织架构、发展战略、人力资源、企业文化、社会责任等方面。组织架构评价可以重点从机构设臵的整体控制力、权责划分、相互牵制、信息流动路径等方面进行;发展战略可以重点从发展战略的制定合理性、有效实施和适当调整三方面进行;人力资源评价应当重点从企业人力资源引进结构合理性、开发机制、激励约束机制等方面进行;企业文化评价应从建设和评估两方面进行,从而促进诚信、道德价值观的提升,为内部控制的完善夯实人文基础;社会责任可以从安全生产、产品质量、环境保护与资源节约、促进就业、员工权益保护等方面进行。
风险评估评价应当对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。
控制活动评价应对企业各类业务的控制措施与流程的设计有效性和运行有效性进行认定和评价。
信息与沟通评价应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行认定和评价。
内部监督评价应当对管理层对于内部监督的基调、监督的有效性及内部控制缺陷认定的科学、客观、合理进行认定和评价。
重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥作用。
企业应当以内部控制五要素为基础,建立内部控制核心指标体系,在以上评价内容的基础上,层层分解、展开,进一步细化,以下列举了可供参考核心指标(见第4版附件1)。对于内容不能详尽的,如控制活动涉及方方面面的业务,可以另外按业务列表增加。
具体评价内容确定后,根据《评价指引》第十一条规定,内部控制评价工作应形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。工作底稿可以是通过一系列评价表格加以实现。
三、关于内部控制评价的程序
《评价指引》第十二条至第十四条对企业组织内部控制评价程序和人员、预算作出具体规定。
(一)内部控制评价的一般程序内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。概括而言,主要分为以下几个阶段:1.准备阶段(1)制定评价工作方案。内部控制评价机构应当根据企业内部监督情况和管理要求,分析企业经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制定科学合理的评价工作方案,经董事会批准后实施。评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既以全面评价为主,也可以根据需要采用重点评价的方式。
(2)组成评价工作组。评价工作组是在内部控制评价机构领导下,具体承担内部控制检查评价任务。内部控制评价机构根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员实施评价。评价工作组成员应当吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。企业应根据自身条件,尽量建立长效内部控制评价培训机制。
2.实施阶段(1)了解被评价单位基本情况。充分与企业沟通企业文化和发展战略、组织机构设臵及职责分工、领导层成员构成及分工等基本情况。
(2)确定检查评价范围和重点。评价工作组根据掌握的情况进一步确定评价范围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。
检查重点和分工情况可以根据需要进行适时调整。
(3)开展现场检查测试。评价工作组根据评价人员分工,综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试,按要求填写工作底稿、记录相关测试结果,并对发现的内部控制缺陷进行初步认定。
3.汇总评价结果、编制评价报告阶段评价工作组汇总评价人员的工作底稿,初步认定内部控制缺陷,形成现场评价报告。评价工作底稿应进行交叉复核签字,并由评价工作组负责人审核后签字确认。评价工作组将评价结果及现场评价报告向被评价单位进行通报,由被评价单位相关责任人签字确认后,提交企业内部控制评价机构。
内部控制评价机构汇总各评价工作组的评价结果,对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总;对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。
内部控制评价机构以汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制工作整体情况,客观、公正、完整地编制内部控制评价报告,并报送企业经理层、董事会和监事会,由董事会最终审定后对外披露。
4.报告反馈和跟踪阶段对于认定的内部控制缺陷,内部控制评价机构应当结合董事会和审计委员会要求,提出整改建议,要求责任单位及时整改,并跟踪其整改落实情况;已经造成损失或负面影响的,企业应当追究相关人员的责任。
(二)内部控制评价的频率企业每年应对内部控制进行评价并予以披露。但是内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的,从其规定。
另外,如果内部监督程序无效,或所提供信息不足以说明内部控制有效,应增加评价的频率。
(三)内部控制评价的方法《评价指引》第十五条规定,内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
1.个别访谈法个别访谈法主要用于了解公司内部控制的现状,在企业层面评价及业务层面评价的了解阶段经常使用。访谈前应根据内部控制评价需求形成访谈提纲,撰写访谈纪要,记录访谈的内容。
2.调查问卷法调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围,包括企业各个层级员工,应注意事先保密性,题目尽量简单易答(如答案只需为“是”、“否”、“有”、“没有”等等)。
3.穿行测试法穿行测试法是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程(例如,在保险公司的内部控制评价中,选取一笔保险新单,追踪其从投保申请到财务入账的全过程),以此了解控制措施设计的有效性,并识别出关键控制点。
4.抽样法抽样法分为随机抽样和其他抽样。
随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。
5.实地查验法实地查验法主要针对业务层面控制,它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。
6.比较分析法比较分析法是指通过数据分析,识别评价关注点的方法。数据分析可以是与历史数据、行业(公司)标准数据或行业最优数据等进行比较。
7.专题讨论法专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。
此外,还可以使用观察、重新执行等方法,也可以利用信息系统开发检查方法,或利用实际工作和检查测试经验。对于企业通过系统采用自动控制、预防控制的,应在方法上注意与人工控制、发现性控制的区别。
四、内部控制缺陷的认定
内部控制缺陷是描述内部控制有效性的一个负向的维度。企业开展内部控制评价,主要工作内容之一就是要找出内部控制缺陷并有针对性地进行整改。
内部控制缺陷认定在一定程度上决定内部控制评价的成效,且具有一定难度,还需要运用职业判断。为了指导企业科学、合理地认定内部控制缺陷,切实帮助企业有效开展内部控制评价,《评价指引》第十六条至第十九条对内部控制缺陷的分类、认定作出专门的解释。
(一)内部控制缺陷的分类1.按照内部控制缺陷成因或来源,内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指企业缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。
内部控制存在设计缺陷和运行缺陷,会影响内部控制的设计有效性和运行有效性。
2.按照影响企业内部控制目标实现的严重程度,内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中作出内部控制无效的结论。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危及内部控制的整体有效性,但也应当引起董事会、经理层的充分关注。
一般缺陷,是指除重大缺陷、重要缺陷以外的其他控制缺陷。
将内部控制评价中发现的内部控制缺陷划分为重大缺陷、重要缺陷和一般缺陷,需要借助一套可系统遵循的认定标准,认定过程中还需要内部控制评价人员充分运用职业判断。一般而言,如果一个企业存在的内部控制缺陷达到了重大缺陷的程度,我们就不能说该企业的内部控制是整体有效的。
3.按照具体影响内部控制目标的具体表现形式,还可以将内部控制缺陷分为财务报告缺陷和非财务报告缺陷。
(二)内部控制缺陷的认定标准1.内部控制缺陷的重要性和影响程度《评价指引》第十六条规定,企业对内部控制缺陷的认定,应当以构成内部控制的内部监督要素中的日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价机构进行综合分析后提出认定意见,按照规定的权限和程序进行审核,由董事会予以最终确定。
首先,内部控制评价从属于内部监督,是监督结果的总体体现。在企业正常的生产经营中,内部控制评价倚重内部监督;其次,充分利用日常监督与专项监督结果的基础上,至少每年由内部控制评价机构对内部控制的五要素相对独立地进行评价,全面地、综合地分析,提出认定意见,报董事会审定;第三,企业应当根据评价指引,结合自身情况和关注的重点,自行确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。第四,根据具体认定标准认定企业存在的内部控制缺陷,由董事会最终审定。企业在确定内部控制缺陷的认定标准时,应当充分考虑内部控制缺陷的重要性及其影响程度。
内部控制缺陷的重要性和影响程度是相对于内部控制目标而言的。按照对财务报告目标和其他内部控制目标实现的影响的具体表现形式,下面区分财务报告内部控制缺陷和非财务报告内部控制缺陷分别阐述内部控制缺陷的认定标准。
2.财务报告内部控制缺陷的认定标准财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。由于财务报告内部控制的目标集中体现为财务报告的可靠性,因而财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。
换句话说,财务报告内部控制的缺陷,是指不能及时防止或发现并纠正财务报告错报的内部控制缺陷。
将财务报告内部控制的缺陷划分为重大缺陷、重要缺陷和一般缺陷,所采用的认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报告错报的重要程度。这种重要程度主要取决于两个方面的因素:(1)该缺陷是否具备合理可能性导致企业的内部控制不能及时防止或发现并纠正财务报告错报。合理可能性是指大于微小可能性(几乎不可能发生)的可能性,确定是否具备合理可能性涉及评价人员的职业判断。(2)该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。另外,一些迹象通常表明财务报告内部控制可能存在重大缺陷:(1)董事、监事和高级管理人员舞弊;(2)企业更正已公布的财务报告;(3)注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;(4)企业审计委员会和内部审计机构对内部控制的监督无效。
一般而言,如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中的重大错报,就应将该缺陷认定为重大缺陷。重大错报中的“重大”,涉及企业管理层确定的财务报告的重要性水平。
一般企业可以采用绝对金额法(例如,规定金额超过10000元的错报应当认定为重大错报)或相对比例法(例如,规定超过资产总额1%的错报应当认定为重大错报)来确定重要性水平。如果企业的财务报告内部控制存在一项或多项重大缺陷,就不能得出该企业的财务报告内部控制有效的结论。
一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视的错报,就应将该缺陷认定为重要缺陷。不构成重大缺陷和重要缺陷的内部控制缺陷,应认定为一般缺陷。
3.非财务报告内部控制缺陷的认定标准非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。这些目标一般包括战略目标、资产安全、经营目标、合规目标等。非财务报告评价应当作为企业内部控制评价的重点。
非财务报告内部控制缺陷认定具有涉及面广、认定难度大的特点。企业可以根据风险评估的各项工作,对《企业内部控制应用指引》中每一篇应用指引所阐述的风险,根据自身的实际情况、管理现状和发展要求,加以细化或按内部控制原理补充,参照财务报告内部控制缺陷的认定标准,合理确定定性和定量的认定标准,根据其对内部控制目标实现的影响程度认定为一般缺陷、重要缺陷和重大缺陷。其中:定量标准,即涉及金额大小,既可以根据造成直接财产损失绝对金额制定,也可以根据其直接损失占本企业资产、销售收入及利润等的比率确定;定性标准,即涉及业务性质的严重程度,可根据其直接或潜在负面影响的性质、影响的范围等因素确定。以下迹象通常表明非财务报告内部控制可能存在重大缺陷:(1)国有企业缺乏民主决策程序,如缺乏“三重一大”决策程序;(2)企业决策程序不科学,如决策失误,导致并购不成功;(3)违犯国家法律、法规,如环境污染;(4)管理人员或技术人员纷纷流失;(5)媒体负面新闻频现;(6)内部控制评价的结果特别是重大或重要缺陷未得到整改。(7)重要业务缺乏制度控制或制度系统性失效。
为避免企业操纵内部控制评价报告,非财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更。
需要强调的是,在内部控制的非财务报告目标中,战略和经营目标的实现往往受到企业不可控的诸多外部因素的影响,企业的内部控制只能合理保证董事会和管理层了解这些目标的实现程度。因而,在认定针对这些控制目标的内部控制缺陷时,我们不能只考虑最终的结果,而主要应该考虑企业制定战略、开展经营活动的机制和程序是否符合内部控制要求,以及不适当的机制和程序对企业战略及经营目标实现可能造成的影响。
(三)内部控制缺陷的报告与整改1.内部控制缺陷报告的格式和途径《评价指引》第十九条规定,企业内部控制评价机构应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见(针对财务报告内部控制的缺陷,一般还应当反映缺陷对财务报告的具体影响),并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。
内部控制缺陷报告应当采取书面形式,可以单独报告,也可以作为内部控制评价报告的一个重要组成部分。一般而言,内部控制的一般缺陷、重要缺陷应定期(至少每年)报告,重大缺陷应立即报告。对于重大缺陷和重要缺陷及整改方案,应向董事会(审计委员会)、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形,例如存在与管理层舞弊相关的内部控制缺陷,或存在管理层凌驾于内部控制之上的情形,应当直接向董事会(审计委员会)、监事会报告。
对于一般缺陷,可以与企业经理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。
2.内部控制缺陷整改方案及期限企业对于认定的内部控制缺陷,应当及时采取整改措施,切实将风险控制在可承受度之内,并追究有关机构或相关人员的责任。
企业内部控制评价机构应当就发现的内部控制缺陷提出整改建议,并报经理层、董事会(审计委员会)、监事会批准。获批后,应制定切实可行的整改方案,包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年的,整改目标应明确近期和远期目标以及相应的整改工作内容。
五、关于内部控制评价报告
内部控制评价报告是内部控制评价的最终体现,按照编制主体、报送对象和时间,分为对内报告和对外报告。对外报告的内容、格式等强调符合披露要求,时间具有强制性,对内报告则主要以符合企业董事会(审计委员会)、经理层需要为主,编制主体层级更多、内容上更加详尽、格式更加多样,时间可以定期或不定期。《评价指引》第二十条规定,企业应当根据《企业内部控制基本规范》、应用指引和本指引,设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告编制程序和要求,按照规定的权限报经批准后对外报出。
(一)内部控制评价报告的内容和格式《评价指引》第二十一条和二十二条规定了对外披露的内容,内部控制评价对外报告一般包括以下内容:1.董事会声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任,保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。
2.内部控制评价工作的总体情况。明确企业内部控制评价工作的组织、领导体制、进度安排,是否聘请会计师事务所对内部控制有效性进行独立审计。
3.内部控制评价的依据。说明企业开展内部控制评价工作所依据的法律法规和规章制度。
4.内部控制评价的范围。描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项,及重点关注的高风险领域。内部控制评价的范围如有所遗漏的,应说明原因,及其对内部控制评价报告真实完整性产生的重大影响等。
5.内部控制评价的程序和方法。描述内部控制评价工作遵循的基本流程,以及评价过程中采用的主要方法。
6.内部控制缺陷及其认定。描述适用本企业的内部控制缺陷具体认定标准,并声明与以前年度保持一致或做出的调整及相应原因;根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。
7.内部控制缺陷的整改情况。对于评价期间发现、期末已完成整改的重大缺陷,说明企业有足够的测试样本显示,与该重大缺陷相关的内部控制设计且运行有效。针对评价期末存在的内部控制缺陷,公司拟采取的整改措施及预期效果。
8.内部控制有效性的结论。对不存在重大缺陷的情形,出具评价期末内部控制有效结论;对存在重大缺陷的情形,不得作出内部控制有效的结论,并需描述该重大缺陷的性质及其对实现相关控制目标的影响程度,可能给公司未来生产经营带来相关风险。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的,企业须责成内部控制评价机构予以核实,并根据核查结果对评价结论进行相应调整,说明董事会拟采取的措施。
内部控制评价报告的参考格式(见附件2)。
对内报告的格式、内容应该在符合以上要求的基础上进一步详尽地设计和表达。
(二)内部控制评价报告的编制和报送《评价指引》第二十三条规定,企业应当根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评价报告。
1.评价报告的编制(1)内部控制评价报告的编制时间企业应当根据内部控制评价结果和整改情况,编制内部控制评价报告。内部控制评价报告分为定期内部控制评价报告和非定期内部控制评价报告。
企业应该定期进行内部控制评价并发布内部控制评价报告。企业至少应该每年进行一次内部控制评价并由董事会对外发布内部控制评价报告。年度内部控制评价报告应当以12月31日作为基准日。
非定期内部控制评价报告可以是因特殊事项或原因(如企业因目标变化或提升)而对外发布的内部控制评价报告,也可以是企业针对发现的重大缺陷专项内部控制评价等向董事会(审计委员会)或经理层报送的内部报告(即内部控制缺陷报告)。
(2)内部控制评价报告的编制主体内部控制评价报告的编制主体包括单个企业和企业集团的母公司。单个企业内部控制评价报告指某一企业以自身经营业务和管理活动为辐射范围编制的内部控制评价报告,属于对内报告;企业集团母公司内部控制评价报告是企业集团的母公司在汇总、复核、评价、分析后,以母公司及下属(或控股子公司)的经营业务和管理活动为辐射范围编制的内部控制评价报告,是对企业集团内部控制设计有效性和运行有效性的总体评价,可以是对内或对外报告。
2.评价报告的报送《评价指引》第二十四条至二十六条规定了评价报告及内部控制审计报告对外报送的要求。
此外,企业内部控制评价报告应按规定报送有关监管部门,例如国有控股企业应按要求报送国有资产监督管理部门和财政部门、金融企业应按规定报送银行业监督管理部门和保险监督管理部门、公开发行证券的企业应报送证券监督管理部门。
(三)内部控制评价报告的披露和使用1.评价报告的披露公司的价值创造能力不仅取决于现有的经营基础和目前的盈利水平,更主要取决于公司的决策科学性和管控能力。公众公司必须向社会披露内部控制评估报告,满足投资者及利益相关者了解企业治理水平、管理规范化和抵御各类风险的能力的需要,更好地服务于他们做出投资决策和相关决策。
2.评价报告的使用企业内部控制评价对外报告的使用者包括政府有关监管部门、投资者以及其他利益相关者、中介机构和研究机构等。对内报告的使用者主要是企业董事会(审计委员会)、各层级管理者以及有关监管部门。
内部控制评价是企业董事会对本企业内部控制有效性的自我评价,具有一定的主观性,在此基础上形成的内部控制评价报告也因此只能作为有关方面了解企业内部控制设计与运行情况的途径之一。在使用内部控制评价报告时,还应注意与内部控制注册会计师审计报告、内部控制监管信息、财务报告信息等相关信息结合使用,以起到全面分析、综合判断、相互验证的效果。
《评价指引》第二十七条规定,建立内部控制评价工作档案管理制度。内部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管,年度报告应永久保存。附件1:内部控制评价的核心指标 附件2:内部控制评价报告的参考格式
.××股份有限公司20××年度内部控制评价报告
××股份有限公司全体股东:根据《企业内部控制基本规范》等法律法规的要求,我们对本公司(下称“公司”)内部控制的有效性进行了自我评价。
一、董事会声明
公司董事会及全体董事保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带责任。
建立健全并有效实施内部控制是公司董事会的责任;监事会对董事会建立与实施内部控制进行监督;经理层负责组织领导公司内部控制的日常运行。
公司内部控制的目标是:„一般包括合理保证经营合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略‟。由于内部控制存在固有局限性,故仅能对达到上述目标提供合理保证。
二、内部控制评价工作的总体情况
公司董事会授权内部审计机构„或其他专门机构‟负责内部控制评价的具体组织实施工作,对纳入评价范围的高风险领域和单位进行评价„描述评价工作的组织领导体制,一般包括评价工作组织结构图、主要负责人及汇报途径等‟。
公司„是/否‟聘请了专业机构„中介机构名称‟实施内部控制评价,并编制内部控制评价报告;公司„是/否‟聘请会计事务所„会计师事务所名称‟对公司内部控制有效性进行独立审计。
三、内部控制评价的依据
本评价报告旨在根据中华人民共和国财政部等五部委联合发布的《企业内部控制基本规范》(下称“基本规范”)及《企业内部控制评价指引》(下称“评价指引”)的要求,结合企业内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,对公司截至20××年12月31日内部控制的设计与运行的有效性进行评价。
四、内部控制评价的范围
内部控制评价的范围涵盖了公司及其所属单位的各种业务和事项,重点关注下列高风险领域:„列示公司根据风险评估结果确定的前“十大”主要风险‟纳入评价范围的单位包括:„描述公司及其所属单位的明确范围‟纳入评价范围的业务和事项包括(根据实际情况充实调整):
(一)组织架构
(二)发展战略
(三)人力资源
(四)社会责任
(五)企业文化
(六)资金活动
(七)采购业务
(八)资产管理
(九)销售业务
(十)研究与开发
(十一)工程项目
(十二)担保业务
(十三)业务外包
(十四)财务报告
(十五)全面预算(十六)合同管理(十七)内部信息传递(十八)信息系统上述业务和事项的内部控制涵盖了公司经营管理的主要方面,不存在重大遗漏。
(如存在重大遗漏)公司本年度未能对以下构成内部控制重要方面的单位或业务(事项)进行内部控制评价:„逐条说明未纳入评价范围的重要单位或业务(事项),包括单位、或业务(事项)描述、未纳入的原因、对内部控制评价报告真实完整性产生的重大影响等‟
五、内部控制评价的程序和方法
内部控制评价工作严格遵循基本规范、评价指引及公司内部控制评价办法规定的程序执行„描述公司开展内部控制检查评价工作的基本流程‟。
评价过程中,我们采用了(个别访谈、调查问题、专题讨论、穿行测试、实地查验、抽样和比较分析)等适当方法,广泛收集公司内部控制设计和运行是否有效的证据,如实填写评价工作底稿,分析、识别内部控制缺陷„说明评价方法的适当性及证据的充分性‟。
六、内部控制缺陷及其认定
公司董事会根据基本规范、评价指引对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险水平等因素,研究确定了适用本公司的内部控制缺陷具体认定标准,并与以前年度保持了一致„描述公司内部控制缺陷的定性及定量标准‟,或作出了调整„描述具体调整标准及原因‟。
根据上述认定标准,结合日常监督和专项监督情况,我们发现报告期内存在„数量‟个缺陷,其中重大缺陷„数量‟个,重要缺陷„数量‟个。重大缺陷分别为:„对重大缺陷进行描述,并说明其对实现相关控制目标的影响程度‟。
七、内部控制缺陷的整改情况
针对报告期内发现的内部控制缺陷(含上一期间未完成整改的内部控制缺陷),公司采取了相应的整改措施„描述整改措施的具体内容和实际效果‟。对于整改完成的重大缺陷,公司有足够的测试样本显示,与重大缺陷„描述该重大缺陷‟相关的内部控制设计且运行有效(运行有效的结论需提供90天内有效运行的证据)。
经过整改,公司在报告期末仍存在„数量‟个缺陷,其中重大缺陷„数量‟个,重要缺陷„数量‟个。重大缺陷分别为:„对重大缺陷进行描述‟。
针对报告期末未完成整改的重大缺陷,公司拟进一步采取相应措施加以整改„描述整改措施的具体内容及预期达到的效果‟。
八、内部控制有效性的结论
公司已经根据基本规范、评价指引及其他相关法律法规的要求,对公司截至20××年12月31日的内部控制设计与运行的有效性进行了自我评价。
(存在重大缺陷的情形)报告期内,公司在内部控制设计与运行方面存在尚未完成整改的重大缺陷„描述该缺陷的性质及其对实现相关控制目标的影响程度‟。由于存在上述缺陷,可能会给公司未来生产经营带来相关风险„描述该风险‟。
(不存在重大缺陷的情形)报告期内,公司对纳入评价范围的业务与事项均已建立了内部控制,并得以有效执行,达到了公司内部控制的目标,不存在重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间„是/否‟发生对评价结论产生实质性影响的内部控制的重大变化。„如存在,描述该事项对评价结论的影响及董事会拟采取的应对措施‟。
我们注意到,内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。„简要描述下一年度内部控制工作计划‟未来期间,公司将继续完善内部控制制度,规范内部控制制度执行,强化内部控制监督检查,促进公司健康、可持续发展。
第二篇:财政部会计司解读企业内部控制评价指引
切实做好内部控制评价,不断实现内部控制自我提升
—— —财政部会计司解读《企业内部控制评价指引》
作者: 来源: 字数:7801 《周易》:“君子终日乾乾,夕惕若,厉,无咎。”是说君子能整天整日显示出自强不息的行为状态,是因为到晚间,也要保持戒慎,即检查自己在白天的所作所为,不要把过错带进第二天。对内部控制的建立、实施进行评价,是优化内部控制自我监督机制的一项重要制度安排,是内部控制的重要组成部分,与内部控制的建立、实施,共同构成有机循环。《企业内部控制基本规范》第四十六条:“企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告”。因此,为促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,专门制定了《企业内部控制评价指引》(下称“《评价指引》”)。
《评价指引》第二条规定,企业内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。
一、内部控制评价概述
(一)内部控制评价的作用第一,内部控制评价有助于企业自我完善内控体系。内部控制评价是通过评价、反馈、再评价,报告企业在内部控制建立与实施中存在的问题,并持续地进行自我完善的过程。通过内部控制评价查找、分析内部控制缺陷并有针对性地督促落实整改,可以及时堵塞管理漏洞,防范偏离目标的各种风险,并举一反三,从设计和执行等全方位健全优化管控制度,从而促进企业内控体系的不断完善。
第二,内部控制评价有助于提升企业市场形象和公众认可度。企业开展内部控制评价,需形成评价结论,出具评价报告。通过自我评价报告,将企业的风险管理水平、内部控制状况以及与此相关的发展战略、竞争优势、可持续发展能力等公布于众,树立诚信、透明、负责任的企业形象,有利于增强投资者、债权人以及其他利益相关者的信任度和认可度,为自己创造更为有利的外部环境,促进企业的长远可持续发展。
第三,内部控制评价有助于实现与政府监管的协调互动。政府监管部门有权对企业内部控制建立与实施的有效性进行监督检查。事实上,在有关政府部门,比如审计机关开展的国有企业负责人离任经济责任审计中,已将企业内部控制的有效性,以及企业负责人组织领导内控体系建立与实施情况纳入审计范围,并日益成为十分重要的一部分。尽管政府部门实施企业内控监督检查有其自身的做法和特点,但监督检查的重点部位是基本一致的,比如大多涉及重大经营决策的科学性、合规性以及重要业务事项管控的有效性等。实施企业内控自我评价,能够通过自查及早排查风险、发现问题,并积极整改,有利于在配合政府监管中赢得主动,并借助政府监管成果进一步改进企业内控实施和评价工作,促进自我评价与政府监管的协调互动。
(二)内部控制评价的对象内部控制评价是对内部控制有效性发表意见。所谓内部控制有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。其中,内部控制设计的有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行的有效性,是指现有内部控制按照规定程序得到了正确执行。评价内部控制运行的有效性,应当着重考虑以下几个方面:(1)相关控制在评价期内是如何运行的;(2)相关控制是否得到了持续一致的运行;(3)实施控制的人员是否具备必要的权限和能力。
需要强调的是,即使同时满足设计有效性和运行有效性标准的内部控制,受内部控制固有局限影响,也只能为内部控制目标的实现提供合理保证,而不能提供绝对保证,不应不切实际地期望内部控制能够绝对保证内部控制目标的实现,也不应以内部控制目标的最终实现情况和程度作为唯一依据直接判断内部控制设计和运行的有效性。
(三)内部控制评价的原则内部控制评价的原则是开展评价工作应该注意的原则,与内部控制的原则不完全相同。根据《评价指引》第三条规定,企业对内部控制评价至少遵循以下原则:全面性原则、重要性原则和客观性原则。
1.全面性原则。全面性原则强调的是内部控制评价的涵盖范围应当全面,具体来说,是指内部控制评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
2.重要性原则。重要性原则强调内部控制评价应当在全面性的基础之上,着眼于风险,突出重点。具体来说,主要体现在制订和实施评价工作方案、分配评价资源的过程之中,它的核心要求主要包括两个方面:一是要坚持风险导向的思路,着重关注那些影响内部控制目标实现的高风险领域和风险点;二是要坚持重点突出的思路,着重关注那些重要的业务事项和关键的控制环节,以及重要业务单位。
3.客观性原则。客观性原则强调内部控制评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计和运行的有效性。只有在内部控制评价工作方案制定、实施的全过程中始终坚持客观性,才能保证评价结果的客观性。
(四)内部控制评价的组织形式和职责安排《评价指引》第四条规定,企业应当根据本评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
企业内部控制评价办法应当结合《企业内部控制基本规范》第四十四条的规定,具体明确内部控制评价的组织形式,特别明确各有关方面在内部控制评价中的职责安排,处理好内部控制评价和内部监督的关系,定期由相对独立的人员对内部控制有效性进行科学的评价,界定内部控制缺陷认定标准,保证内部控制评价有序地开展。
1.内部控制评价的组织形式企业可以授权内部审计机构或专门机构(下称“内部控制评价机构”)负责内部控制评价的具体组织实施工作。
内部控制评价机构必须具备一定的设置条件:一是能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;二是具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;三是与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约,在效率效果上满足企业对内部控制系统进行监督与评价所提出的有关要求;四是能够得到企业董事会和经理层的支持,有足够的权威性来保证内部控制评价工作的顺利开展。
具体来说,企业可根据自身特点,决定是否单独设置专门的内部控制评价机构。对于单独设有专门内部控制机构的企业,也可以由内部控制机构来负责内部控制评价的具体组织实施工作。
为了保证评价的独立性,负责内部控制设计和评价的部门应适当分离。
企业可以委托会计师事务所等中介机构实施内部控制评价。此时,董事会(审计委员会)应加强对内部控制评价工作的监督与指导。从业务性质上讲,中介机构受托为企业实施内部控制评价是一种非保证服务,内部控制评价报告的责任仍然应由企业董事会承担。另外,为保证审计的独立性,为企业提供内部控制审计的会计师事务所,不得同时为同一家企业提供内部控制评价服务。
2.有关方面在内部控制评价中的职责和任务无论采取何种组织形式,董事会、经理层和内部控制评价机构在内部控制评价中的职能作用不会发生本质的变化。一般来说:(1)董事会对内部控制评价承担最终的责任。《评价指引》第四条第二款规定,企业董事会应当对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。董事会或审计委员会应听取内部控制评价报告,审定内控重大缺陷、重要缺陷整改意见,对内部控制部门在督促整改中遇到的困难,积极协调,排除障碍。监事会应审议内部控制评价报告,对董事会建立与实施内部控制进行监督。
(2)经理层负责组织实施内部控制评价工作,实际操作中,可以授权内部控制评价机构组织实施,并积极支持和配合内部控制评价的开展,创造良好的环境和条件。经理层应结合日常掌握的业务情况,为内部控制评价方案提出应重点关注的业务或事项,审定内部控制评价方案和听取内部控制评价报告,对于内部控制评价中发现的问题或报告的缺陷,要按照董事会或审计委员会的整改意见积极采取有效措施予以整改。
(3)内部控制评价机构根据授权承担内部控制评价的具体组织实施任务,通过复核、汇总、分析内部监督资料,结合经理层要求,拟订合理评价工作方案并认真组织实施;对于评价过程中发现的重大问题,应及时与董事会、审计委员会或经理层沟通,并认定内部控制缺陷,拟订整改方案,编写内部控制评价报告,及时向董事会、审计委员会或经理层报告;沟通外部审计师,督促各部门、所属企业对内、外部内控评价进行整改;根据评价和整改情况拟订内部控制考核方案。
(4)各专业部门应负责组织本部门的内控自查、测试和评价工作,对发现的设计和运行缺陷提出整改方案及具体整改计划,积极整改,并报送内部控制机构复核,配合内控机构(部门)及外部审计师开展企业层面的内控评价工作。
(5)企业所属单位,也应逐级落实内部控制评价责任,建立日常监控机制,开展内控自查、测试和定期检查评价,发现问题并认定内部控制有缺陷,需拟订整改方案和计划,报本级管理层审定后,督促整改,编制内部控制评价报告,对内部控制的执行和整改情况进行考核。
企业内部控制评价办法中的原则、内容、程序、方法和报告形式参考本解读其他部分的规定。
二、关于内部控制评价的内容
(一)内部控制评价的内容和工作底稿设计《评价指引》第五条到第十条具体介绍了内部控制评价内容。内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行,企业应结合《企业内部控制基本规范》、各项应用指引以及本企业的内部控制制度,确定具体评价内容,对内部控制设计与运行情况进行全面评价。
内部环境评价应当包括组织架构、发展战略、人力资源、企业文化、社会责任等方面。组织架构评价可以重点从机构设置的整体控制力、权责划分、相互牵制、信息流动路径等方面进行;发展战略可以重点从发展战略的制定合理 性、有效实施和适当调整三方面进行;人力资源评价应当重点从企业人力资源引进结构合理性、开发机制、激励约束机制等方面进行;企业文化评价应从建设和评估两方面进行,从而促进诚信、道德价值观的提升,为内部控制的完善夯实人文基础;社会责任可以从安全生产、产品质量、环境保护与资源节约、促进就业、员工权益保护等方面进行。
风险评估评价应当对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。
控制活动评价应对企业各类业务的控制措施与流程的设计有效性和运行有效性进行认定和评价。
信息与沟通评价应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行认定和评价。
内部监督评价应当对管理层对于内部监督的基调、监督的有效性及内部控制缺陷认定的科学、客观、合理进行认定和评价。
重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥作用。
企业应当以内部控制五要素为基础,建立内部控制核心指标体系,在以上评价内容的基础上,层层分解、展开,进一步细化,以下列举了可供参考核心指标(见第4版附件1)。对于内容不能详尽的,如控制活动涉及方方面面的业务,可以另外按业务列表增加。
具体评价内容确定后,根据《评价指引》第十一条规定,内部控制评价工作应形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。工作底稿可以是通过一系列评价表格加以实现。
三、关于内部控制评价的程序
《评价指引》第十二条至第十四条对企业组织内部控制评价程序和人员、预算作出具体规定。
(一)内部控制评价的一般程序内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。概括而言,主要分为以下几个阶段:1.准备阶段(1)制定评价工作方案。内部控制评价机构应当根据企业内部监督情况和管理要求,分析企业经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制定科学合理的评价工作方案,经董事会批准后实施。评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既以全面评价为主,也可以根据需要采用重点评价的方式。
(2)组成评价工作组。评价工作组是在内部控制评价机构领导下,具体承担内部控制检查评价任务。内部控制评价机构根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员实施评价。评价工作组成员应当吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。企业应根据自身条件,尽量建立长效内部控制评价培训机制。
2.实施阶段(1)了解被评价单位基本情况。充分与企业沟通企业文化和发展战略、组织机构设置及职责分工、领导层成员构成及分工等基本情况。
(2)确定检查评价范围和重点。评价工作组根据掌握的情况进一步确定评价范围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。
检查重点和分工情况可以根据需要进行适时调整。
(3)开展现场检查测试。评价工作组根据评价人员分工,综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试,按要求填写工作底稿、记录相关测试结果,并对发现的内部控制缺陷进行初步认定。
3.汇总评价结果、编制评价报告阶段评价工作组汇总评价人员的工作底稿,初步认定内部控制缺陷,形成现场评价报告。评价工作底稿应进行交叉复核签字,并由评价工作组负责人审核后签字确认。评价工作组将评价结果及现场评价报告向被评价单位进行通报,由被评价单位相关责任人签字确认后,提交企业内部控制评价机构。
内部控制评价机构汇总各评价工作组的评价结果,对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总;对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。
内部控制评价机构以汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制工作整体情况,客观、公正、完整地编制内部控制评价报告,并报送企业经理层、董事会和监事会,由董事会最终审定后对外披露。
4.报告反馈和跟踪阶段对于认定的内部控制缺陷,内部控制评价机构应当结合董事会和审计委员会要求,提出整改建议,要求责任单位及时整改,并跟踪其整改落实情况;已经造成损失或负面影响的,企业应当追究相关人员的责任。
(二)内部控制评价的频率企业每年应对内部控制进行评价并予以披露。但是内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的,从其规定。
另外,如果内部监督程序无效,或所提供信息不足以说明内部控制有效,应增加评价的频率。
(三)内部控制评价的方法《评价指引》第十五条规定,内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
1.个别访谈法个别访谈法主要用于了解公司内部控制的现状,在企业层面评价及业务层面评价的了解阶段经常使用。访谈前应根据内部控制评价需求形成访谈提纲,撰写访谈纪要,记录访谈的内容。
2.调查问卷法调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围,包括企业各个层级员工,应注意事先保密性,题目尽量简单易答(如答案只需为“是”、“否”、“有”、“没有”等等)。
3.穿行测试法穿行测试法是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程(例如,在保险公司的内部控制评价中,选取一笔保险新单,追踪其从投保申请到财务入账的全过程),以此了解控制措施设计的有效性,并识别出关键控制点。
4.抽样法抽样法分为随机抽样和其他抽样。
随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。
5.实地查验法实地查验法主要针对业务层面控制,它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。
6.比较分析法比较分析法是指通过数据分析,识别评价关注点的方法。数据分析可以是与历史数据、行业(公司)标准数据或行业最优数据等进行比较。
7.专题讨论法专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。
此外,还可以使用观察、重新执行等方法,也可以利用信息系统开发检查方法,或利用实际工作和检查测试经验。对于企业通过系统采用自动控制、预防控制的,应在方法上注意与人工控制、发现性控制的区别。
四、内部控制缺陷的认定
内部控制缺陷是描述内部控制有效性的一个负向的维度。企业开展内部控制评价,主要工作内容之一就是要找出内部控制缺陷并有针对性地进行整改。
内部控制缺陷认定在一定程度上决定内部控制评价的成效,且具有一定难度,还需要运用职业判断。为了指导企业科学、合理地认定内部控制缺陷,切实帮助企业有效开展内部控制评价,《评价指引》第十六条至第十九条对内部控制缺陷的分类、认定作出专门的解释。
(一)内部控制缺陷的分类1.按照内部控制缺陷成因或来源,内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指企业缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。
内部控制存在设计缺陷和运行缺陷,会影响内部控制的设计有效性和运行有效性。
2.按照影响企业内部控制目标实现的严重程度,内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中作出内部控制无效的结论。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危及内部控制的整体有效性,但也应当引起董事会、经理层的充分关注。
一般缺陷,是指除重大缺陷、重要缺陷以外的其他控制缺陷。
将内部控制评价中发现的内部控制缺陷划分为重大缺陷、重要缺陷和一般缺陷,需要借助一套可系统遵循的认定标准,认定过程中还需要内部控制评价人员充分运用职业判断。一般而言,如果一个企业存在的内部控制缺陷达到了重大缺陷的程度,我们就不能说该企业的内部控制是整体有效的。
3.按照具体影响内部控制目标的具体表现形式,还可以将内部控制缺陷分为财务报告缺陷和非财务报告缺陷。
(二)内部控制缺陷的认定标准1.部控制缺陷的重要性和影响程度《评价指引》第十六条规定,企业对内部控制缺陷的认定,应当以构成内部控制的内部监督要素中的日常监督和专项监督为基础,结合内部控制评价,由内部控制评价机构进行综合分析后提出认定意见,按照规定的权限和程序进行审核,由董事会予以最终确定。
首先,内部控制评价从属于内部监督,是监督结果的总体体现。在企业正常的生产经营中,内部控制评价倚重内部监督;其次,充分利用日常监督与专项监督结果的基础上,至少每年由内部控制评价机构对内部控制的五要素相对独立地进行评价,全面地、综合地分析,提出认定意见,报董事会审定;第三,企业应当根据评价指引,结合自身情况和关注的重点,自行确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。第四,根据具体认定标准认定企业存在的内部控制缺陷,由董事会最终审定。企业在确定内部控制缺陷的认定标准时,应当充分考虑内部控制缺陷的重要性及其影响程度。
内部控制缺陷的重要性和影响程度是相对于内部控制目标而言的。按照对财务报告目标和其他内部控制目标实现的影响的具体表现形式,下面区分财务报告内部控制缺陷和非财务报告内部控制缺陷分别阐述内部控制缺陷的认定标准。
2.财务报告内部控制缺陷的认定标准财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。由于财务报告内部控制的目标集中体现为财务报告的可靠性,因而财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。
换句话说,财务报告内部控制的缺陷,是指不能及时防止或发现并纠正财务报告错报的内部控制缺陷。
将财务报告内部控制的缺陷划分为重大缺陷、重要缺陷和一般缺陷,所采用的认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报告错报的重要程度。这种重要程度主要取决于两个方面的因素:(1)该缺陷是否具备合理可能性导致企业的内部控制不能及时防止或发现并纠正财务报告错报。合理可能性是指大于微小可能性(几乎不可能发生)的可能性,确定是否具备合理可能性涉及评价人员的职业判断。(2)该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。另外,一些迹象通常表明财务报告内部控制可能存在重大缺陷:(1)董事、监事和高级管理人员舞弊;(2)企业更正已公布的财务报告;(3)注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;(4)企业审计委员会和内部审计机构对内部控制的监督无效。
一般而言,如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中的重大错报,就应将该缺陷认定为重大缺陷。重大错报中的“重大”,涉及企业管理层确定的财务报告的重要性水平。
一般企业可以采用绝对金额法(例如,规定金额超过10000元的错报应当认定为重大错报)或相对比例法(例如,规定超过资产总额1%的错报应当认定为重大错报)来确定重要性水平。如果企业的财务报告内部控制存在一项或多项重大缺陷,就不能得出该企业的财务报告内部控制有效的结论。
一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视的错报,就应将该缺陷认定为重要缺陷。不构成重大缺陷和重要缺陷的内部控制缺陷,应认定为一般缺陷。
3.非财务报告内部控制缺陷的认定标准非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。这些目标一般包括战略目标、资产安全、经营目标、合规目标等。非财务报告评价应当作为企业内部控制评价的重点。
非财务报告内部控制缺陷认定具有涉及面广、认定难度大的特点。企业可以根据风险评估的各项工作,对《企业内部控制应用指引》中每一篇应用指引所阐述的风险,根据自身的实际情况、管理现状和发展要求,加以细化或按内部控制原理补充,参照财务报告内部控制缺陷的认定标准,合理确定定性和定量的认定标准,根据其对内部控制目标实现的影响程度认定为一般缺陷、重要缺陷和重大缺陷。其中:定量标准,即涉及金额大小,既可以根据造成直接财产损失绝对金额制定,也可以根据其直接损失占本企业资产、销售收入及利润等的比率确定;定性标准,即涉及业务性质的严重程度,可根据其直接或潜在负面影响的性质、影响的范围等因素确定。以下迹象通常表明非财务报告内部控制可能存在重大缺陷:(1)国有企业缺乏民主决策程序,如缺乏“三重一大”决策程序;(2)企业决策程序不科学,如决策失误,导致并购不成功;(3)违犯国家法律、法规,如环境污染;(4)管理人员或技术人员纷纷流失;(5)媒体负面新闻频现;(6)内部控制评价的结果特别是重大或重要缺陷未得到整改。(7)重要业务缺乏制度控制或制度系统性失效。
为避免企业操纵内部控制评价报告,非财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更。
需要强调的是,在内部控制的非财务报告目标中,战略和经营目标的实现往往受到企业不可控的诸多外部因素的影响,企业的内部控制只能合理保证董事会和管理层了解这些目标的实现程度。因而,在认定针对这些控制目标的内部控制缺陷时,我们不能只考虑最终的结果,而主要应该考虑企业制定战略、开展经营活动的机制和程序是否符合内部控制要求,以及不适当的机制和程序对企业战略及经营目标实现可能造成的影响。
(三)内部控制缺陷的报告与整改1.内部控制缺陷报告的格式和途径《评价指引》第十九条规定,企业内部控制评价机构应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见(针对财务报告内部控制的缺陷,一般还应当反映缺陷对财务报告的具体影响),并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。
内部控制缺陷报告应当采取书面形式,可以单独报告,也可以作为内部控制评价报告的一个重要组成部分。一般而言,内部控制的一般缺陷、重要缺陷应定期(至少每年)报告,重大缺陷应立即报告。对于重大缺陷和重要缺陷及整改方案,应向董事会(审计委员会)、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形,例如存在与管理层舞弊相关的内部控制缺陷,或存在管理层凌驾于内部控制之上的情形,应当直接向董事会(审计委员会)、监事会报告。
对于一般缺陷,可以与企业经理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。
2.内部控制缺陷整改方案及期限企业对于认定的内部控制缺陷,应当及时采取整改措施,切实将风险控制在可承受度之内,并追究有关机构或相关人员的责任。
企业内部控制评价机构应当就发现的内部控制缺陷提出整改建议,并报经理层、董事会(审计委员会)、监事会批准。获批后,应制定切实可行的整改方案,包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年的,整改目标应明确近期和远期目标以及相应的整改工作内容。
五、关于内部控制评价报告
内部控制评价报告是内部控制评价的最终体现,按照编制主体、报送对象和时间,分为对内报告和对外报告。对外报告的内容、格式等强调符合披露要求,时间具有强制性,对内报告则主要以符合企业董事会(审计委员会)、经理层需要为主,编制主体层级更多、内容上更加详尽、格式更加多样,时间可以定期或不定期。《评价指引》第二十条规定,企业应当根据《企业内部控制基本规范》、应用指引和本指引,设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告编制程序和要求,按照规定的权限报经批准后对外报出。
(一)内部控制评价报告的内容和格式《评价指引》第二十一条和二十二条规定了对外披露的内容,内部控制评价对外报告一般包括以下内容:1.董事会声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任,保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。
2.内部控制评价工作的总体情况。明确企业内部控制评价工作的组织、领导体制、进度安排,是否聘请会计师事务所对内部控制有效性进行独立审计。
3.内部控制评价的依据。说明企业开展内部控制评价工作所依据的法律法规和规章制度。
4.内部控制评价的范围。描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项,及重点关注的高风险领域。内部控制评价的范围如有所遗漏的,应说明原因,及其对内部控制评价报告真实完整性产生的重大影响等。
5.内部控制评价的程序和方法。描述内部控制评价工作遵循的基本流程,以及评价过程中采用的主要方法。
6.内部控制缺陷及其认定。描述适用本企业的内部控制缺陷具体认定标准,并声明与以前保持一致或做出的调整及相应原因;根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。
7.内部控制缺陷的整改情况。对于评价期间发现、期末已完成整改的重大缺陷,说明企业有足够的测试样本显示,与该重大缺陷相关的内部控制设计且运行有效。针对评价期末存在的内部控制缺陷,公司拟采取的整改措施及预期效果。
8.内部控制有效性的结论。对不存在重大缺陷的情形,出具评价期末内部控制有效结论;对存在重大缺陷的情形,不得作出内部控制有效的结论,并需描述该重大缺陷的性质及其对实现相关控制目标的影响程度,可能给公司未来生产经营带来相关风险。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的,企业须责成内部控制评价机构予以核实,并根据核查结果对评价结论进行相应调整,说明董事会拟采取的措施。
内部控制评价报告的参考格式(见附件2)。
对内报告的格式、内容应该在符合以上要求的基础上进一步详尽地设计和表达。
(二)内部控制评价报告的编制和报送《评价指引》第二十三条规定,企业应当根据内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评价报告。
1.评价报告的编制(1)内部控制评价报告的编制时间企业应当根据内部控制评价结果和整改情况,编制内部控制评价报告。内部控制评价报告分为定期内部控制评价报告和非定期内部控制评价报告。
企业应该定期进行内部控制评价并发布内部控制评价报告。企业至少应该每年进行一次内部控制评价并由董事会对外发布内部控制评价报告。内部控制评价报告应当以12月31日作为基准日。
非定期内部控制评价报告可以是因特殊事项或原因(如企业因目标变化或提升)而对外发布的内部控制评价报告,也可以是企业针对发现的重大缺陷专项内部控制评价等向董事会(审计委员会)或经理层报送的内部报告(即内部控制缺陷报告)。
(2)内部控制评价报告的编制主体内部控制评价报告的编制主体包括单个企业和企业集团的母公司。单个企业内部控制评价报告指某一企业以自身经营业务和管理活动为辐射范围编制的内部控制评价报告,属于对内报告;企业集团母公司内部控制评价报告是企业集团的母公司在汇总、复核、评价、分析后,以母公司及下属(或控股子公司)的经营业务和管理活动为辐射范围编制的内部控制评价报告,是对企业集团内部控制设计有效性和运行有效性的总体评价,可以是对内或对外报告。
2.评价报告的报送《评价指引》第二十四条至二十六条规定了评价报告及内部控制审计报告对外报送的要求。
此外,企业内部控制评价报告应按规定报送有关监管部门,例如国有控股企业应按要求报送国有资产监督管理部门和财政部门、金融企业应按规定报送银行业监督管理部门和保险监督管理部门、公开发行证券的企业应报送证券监督管理部门。
(三)内部控制评价报告的披露和使用1.评价报告的披露公司的价值创造能力不仅取决于现有的经营基础和目前的盈利水平,更主要取决于公司的决策科学性和管控能力。公众公司必须向社会披露内部控制评估报告,满足投资者及利益相关者了解企业治理水平、管理规范化和抵御各类风险的能力的需要,更好地服务于他们做出投资决策和相关决策。
2.评价报告的使用企业内部控制评价对外报告的使用者包括政府有关监管部门、投资者以及其他利益相关者、中介机构和研究机构等。对内报告的使用者主要是企业董事会(审计委员会)、各层级管理者以及有关监管部门。
内部控制评价是企业董事会对本企业内部控制有效性的自我评价,具有一定的主观性,在此基础上形成的内部控制评价报告也因此只能作为有关方面了解企业内部控制设计与运行情况的途径之一。在使用内部控制评价报告时,还应注意与内部控制注册会计师审计报告、内部控制监管信息、财务报告信息等相关信息结合使用,以起到全面分析、综合判断、相互验证的效果。
《评价指引》第二十七条规定,建立内部控制评价工作档案管理制度。内部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管,报告应永久保存。
第三篇:财政部解读《企业内部控制评价指引》
财政部解读《企业内部控制评价指引》
财政部会计司解读《企业内部控制评价指引》是为促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,专门制定。
《周易》:“君子终日乾乾,夕惕若,厉,无咎。”是说君子能整天整日显示出自强不息的行为状态,是因为到晚间,也要保持戒慎,即检查自己在白天的所作所为,不要把过错带进第二天。对内部控制的建立、实施进行评价,是优化内部控制自我监督机制的一项重要制度安排,是内部控制的重要组成部分,与内部控制的建立、实施,共同构成有机循环。《企业内部控制基本规范》第四十六条:“企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告”。因此,为促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,专门制定了《企业内部控制评价指引》(下称“《评价指引》”)。
《评价指引》第二条规定,企业内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。
一、内部控制评价概述
(一)内部控制评价的作用
第一,内部控制评价有助于企业自我完善内控体系。内部控制评价是通过评价、反馈、再评价,报告企业在内部控制建立与实施中存在的问题,并持续地进行自我完善的过程。通过内部控制评价查找、分析内部控制缺陷并有针对性地督促落实整改,可以及时堵塞管理漏洞,防范偏离目标的各种风险,并举一反三,从设计和执行等全方位健全优化管控制度,从而促进企业内控体系的不断完善。
第二,内部控制评价有助于提升企业市场形象和公众认可度。企业开展内部控制评价,需形成评价结论,出具评价报告。通过自我评价报告,将企业的风险管理水平、内部控制状况以及与此相关的发展战略、竞争优势、可持续发展能力等公布于众,树立诚信、透明、负责任的企业形象,有利于增强投资者、债权人以及其他利益相关者的信任度和认可度,为自己创造更为有利的外部环境,促进企业的长远可持续发展。
第三,内部控制评价有助于实现与政府监管的协调互动。政府监管部门有权对企业内部控制建立与实施的有效性进行监督检查。事实上,在有关政府部门,比如审计机关开展的国有企业负责人离任经济责任审计中,已将企业内部控制的有效性,以及企业负责人组织领导内控体系建立与实施情况纳入审计范围,并日益成为十分重要的一部分。尽管政府部门实施企业内控监督检查有其自身的做法和特点,但监督检查的重点部位是基本一致的,比如大多涉及重大经营决策的科学性、合规性以及重要业务事项管控的有效性等。实施企业内控自我评价,能够通过自查及早排查风险、发现问题,并积极整改,有利于在配合政府监管中赢得主动,并借助政府监管成果进一步改进企业内控实施和评价工作,促进自我评价与政府监管的协调互动。
(二)内部控制评价的对象
内部控制评价是对内部控制有效性发表意见。所谓内部控制有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。其中,内部控制设计的有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行的有效性,是指现有内部控制按照规定程序得到了正确执行。评价内部控制运行的有效性,应当着重考虑以下几个方面:(1)相关控制在评价期内是如何运行的;(2)相关控制是否得到了持续一致的运行;(3)实施控制的人员是否具备必要的权限和能力。
需要强调的是,即使同时满足设计有效性和运行有效性标准的内部控制,受内部控制固有局限影响,也只能为内部控制目标的实现提供合理保证,而不能提供绝对保证,不应不切实际地期望内部控制能够绝对保证内部控制目标的实现,也不应以内部控制目标的最终实现情况和程度作为唯一依据直接判断内部控制设计和运行的有效性。
(三)内部控制评价的原则
内部控制评价的原则是开展评价工作应该注意的原则,与内部控制的原则不完全相同。根据《评价指引》第三条规定,企业对内部控制评价至少遵循以下原则:全面性原则、重要性原则和客观性原则。
1.全面性原则。全面性原则强调的是内部控制评价的涵盖范围应当全面,具体来说,是指内部控制评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
2.重要性原则。重要性原则强调内部控制评价应当在全面性的基础之上,着眼于风险,突出重点。具体来说,主要体现在制订和实施评价工作方案、分配评价资源的过程之中,它的核心要求主要包括两个方面:一是要坚持风险导向的思路,着重关注那些影响内部控制目标实现的高风险领域和风险点;二是要坚持重点突出的思路,着重关注那些重要的业务事项和关键的控制环节,以及重要业务单位。
3.客观性原则。客观性原则强调内部控制评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计和运行的有效性。只有在内部控制评价工作方案制定、实施的全过程中始终坚持客观性,才能保证评价结果的客观性。
(四)内部控制评价的组织形式和职责安排
《评价指引》第四条规定,企业应当根据本评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
企业内部控制评价办法应当结合《企业内部控制基本规范》第四十四条的规定,具体明确内部控制评价的组织形式,特别明确各有关方面在内部控制评价中的职责安排,处理好内部控制评价和内部监督的关系,定期由相对独立的人员对内部控制有效性进行科学的评价,界定内部控制缺陷认定标准,保证内部控制评价有序地开展。
1.内部控制评价的组织形式
企业可以授权内部审计机构或专门机构(下称“内部控制评价机构”)负责内部控制评价的具体组织实施工作。内部控制评价机构必须具备一定的设置条件:一是能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;二是具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;三是与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约,在效率效果上满足企业对内部控制系统进行监督与评价所提出的有关要求;四是能够得到企业董事会和经理层的支持,有足够的权威性来保证内部控制评价工作的顺利开展。
具体来说,企业可根据自身特点,决定是否单独设置专门的内部控制评价机构。对于单独设有专门内部控制机构的企业,也可以由内部控制机构来负责内部控制评价的具体组织实施工作。为了保证评价的独立性,负责内部控制设计和评价的部门应适当分离。
企业可以委托会计师事务所等中介机构实施内部控制评价。此时,董事会(审计委员会)应加强对内部控制评价工作的监督与指导。从业务性质上讲,中介机构受托为企业实施内部控制评价是一种非保证服务,内部控制评价报告的责任仍然应由企业董事会承担。另外,为保证审计的独立性,为企业提供内部控制审计的会计师事务所,不得同时为同一家企业提供内部控制评价服务。
2.有关方面在内部控制评价中的职责和任务
无论采取何种组织形式,董事会、经理层和内部控制评价机构在内部控制评价中的职能作用不会发生本质的变化。一般来说:
(1)董事会对内部控制评价承担最终的责任。《评价指引》第四条第二款规定,企业董事会应当对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。董事会或审计委员会应听取内部控制评价报告,审定内控重大缺陷、重要缺陷整改意见,对内部控制部门在督促整改中遇到的困难,积极协调,排除障碍。监事会应审议内部控制评价报告,对董事会建立与实施内部控制进行监督。
(2)经理层负责组织实施内部控制评价工作,实际操作中,可以授权内部控制评价机构组织实施,并积极支持和配合内部控制评价的开展,创造良好的环境和条件。经理层应结合日常掌握的业务情况,为内部控制评价方案提出应重点关注的业务或事项,审定内部控制评价方案和听取内部控制评价报告,对于内部控制评价中发现的问题或报告的缺陷,要按照董事会或审计委员会的整改意见积极采取有效措施予以整改。
(3)内部控制评价机构根据授权承担内部控制评价的具体组织实施任务,通过复核、汇总、分析内部监督资料,结合经理层要求,拟订合理评价工作方案并认真组织实施;对于评价过程中发现的重大问题,应及时与董事会、审计委员会或经理层沟通,并认定内部控制缺陷,拟订整改方案,编写内部控制评价报告,及时向董事会、审计委员会或经理层报告;沟通外部审计师,督促各部门、所属企业对内、外部内控评价进行整改;根据评价和整改情况拟订内部控制考核方案。
(4)各专业部门应负责组织本部门的内控自查、测试和评价工作,对发现的设计和运行缺陷提出整改方案及具体整改计划,积极整改,并报送内部控制机构复核,配合内控机构(部门)及外部审计师开展企业层面的内控评价工作。
(5)企业所属单位,也应逐级落实内部控制评价责任,建立日常监控机制,开展内控自查、测试和定期检查评价,发现问题并认定内部控制有缺陷,需拟订整改方案和计划,报本级管理层审定后,督促整改,编制内部控制评价报告,对内部控制的执行和整改情况进行考核。
企业内部控制评价办法中的原则、内容、程序、方法和报告形式参考本解读其他部分的规定。
二、关于内部控制评价的内容
(一)内部控制评价的内容和工作底稿设计
《评价指引》第五条到第十条具体介绍了内部控制评价内容。内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行,企业应结合《企业内部控制基本规范》、各项应用指引以及本企业的内部控制制度,确定具体评价内容,对内部控制设计与运行情况进行全面评价。
内部环境评价应当包括组织架构、发展战略、人力资源、企业文化、社会责任等方面。组织架构评价可以重点从机构设置的整体控制力、权责划分、相互牵制、信息流动路径等方面进行;发展战略可以重点从发展战略的制定合理性、有效实施和适当调整三方面进行;人力资源评价应当重点从企业人力资源引进结构合理性、开发机制、激励约束机制等方面进行;企业文化评价应从建设和评估两方面进行,从而促进诚信、道德价值观的提升,为内部控制的完善夯实人文基础;社会责任可以从安全生产、产品质量、环境保护与资源节约、促进就业、员工权益保护等方面进行。
风险评估评价应当对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。
控制活动评价应对企业各类业务的控制措施与流程的设计有效性和运行有效性进行认定和评价。
信息与沟通评价应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行认定和评价。
内部监督评价应当对管理层对于内部监督的基调、监督的有效性及内部控制缺陷认定的科学、客观、合理进行认定和评价。
重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥作用。
企业应当以内部控制五要素为基础,建立内部控制核心指标体系,在以上评价内容的基础上,层层分解、展开,进一步细化,以下列举了可供参考核心指标(见附件1)。对于内容不能详尽的,如控制活动涉及方方面面的业务,可以另外按业务列表增加。
具体评价内容确定后,根据《评价指引》第十一条规定,内部控制评价工作应形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。工作底稿可以是通过一系列评价表格加以实现。
三、关于内部控制评价的程序
《评价指引》第十二条至第十四条对企业组织内部控制评价程序和人员、预算作出具体规定。
(一)内部控制评价的一般程序
内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。概括而言,主要分为以下几个阶段:
1.准备阶段
(1)制定评价工作方案。内部控制评价机构应当根据企业内部监督情况和管理要求,分析企业经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制定科学合理的评价工作方案,经董事会批准后实施。评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既以全面评价为主,也可以根据需要采用重点评价的方式。
(2)组成评价工作组。评价工作组是在内部控制评价机构领导下,具体承担内部控制检查评价任务。内部控制评价机构根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员实施评价。评价工作组成员应当吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。企业应根据自身条件,尽量建立长效内部控制评价培训机制。
2.实施阶段
(1)了解被评价单位基本情况。充分与企业沟通企业文化和发展战略、组织机构设置及职责分工、领导层成员构成及分工等基本情况。
(2)确定检查评价范围和重点。评价工作组根据掌握的情况进一步确定评价范围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整。
(3)开展现场检查测试。评价工作组根据评价人员分工,综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试,按要求填写工作底稿、记录相关测试结果,并对发现的内部控制缺陷进行初步认定。其它内部待定
第四篇:64财政部会计司解读《企业内部控制应用指引第4号——社会责任》
履行社会责任是企业应尽的义务和使命
——财政部会计司解读《企业内部控制应用指引第4号——社会责任》 一般认为,企业就是创造利润的,利润最大化或股东财富最大化是企业发展的唯一目标,社会责任是政府的事情,与己无关。这种观点和定位有失偏颇。企业创造利润或实现股东财富最大化固然重要,但在经济社会高速发展的当今时代,尤其是我国作为发展中国家,大力发展社会主义市场经济,企业作为重要的市场主体,如果不顾一切地追逐利润而不履行社会责任,显然不符合科学发展观与建设和谐社会的要求。即使是西方发达国家,企业也要履行社会责任。履行社会责任是企业应尽的义不容辞的义务,也是企业的光荣使命。因此,在企业内部控制应用指引中,从实现企业与社会协调发展的要求出发,单独规定了社会责任指引,旨在促进企业发展中不能忘记履行社会责任。
一、企业为什么要履行社会责任本指引所称的社会责任,是指企业在经营发展过程中应当履行的社会职责和义务,主要包括安全生产、产品质量(含服务)、环境保护、资源节约、促进就业、员工权益保护等。根据本指引对社会责任的描述,企业履行社会责任至少具有如下意义:
(一)企业创造利润或财富与履行社会责任是统一的有机整体企业创造利润或财富,要依法纳税、向股东分红,并向管理者和员工发放年薪或工资,企业创造的利润或财富越多,上缴税收和分红就越多,年薪和工资也就随之升高,从而为国家、股东和员工作出贡献,同时促进客户发展,等等。这在本质上也属于履行社会责任。在这一过程中,要做到安全生产,提升产品质量,重视环境保护和资源节约,促进就业和保护员工权益,属于企业直接为社会相关方面作出贡献。两者之间的目标是一致的,不应将两者对立起来。正确处理两者的关系,实现两者的有机统一,企业才能进入良性发展的轨道。反之,如果单纯为了追求利润或财富而不履行社会责任,就难以实现发展战略。
(二)企业履行社会责任是提升发展质量的重要标志,也是实现可持续长远发展的根本所在随着我国经济的高速发展,党中央和国务院十分强调转变发展方式,归根到底是要求提升发展质量问题。履行社会责任是企业提升发展质量的重要标志。众所周知,如果企业做不到安全生产,事故频繁,人员伤亡,必然是欲速则不达甚至关闭;如果企业产品质量低劣,损害消费者利益,很快将失去市场,或者在全国乃至国际市场造成负面影响,定会导致停产;如果以牺牲环境为代价追逐利润,这就违背了企业发展宗旨;如果环境污染影响人类健康,这是犯罪行为。
以浪费资源为代价追求速度和效益,必然危及子孙后代,如此等等。
由此可见,企业在制定和实现发展战略过程中,应当充分考虑履行社会责任的要求,否则,企业必然短命。企业只有重视和履行社会责任,才能从根本上转变发展方式,提升发展质量,实现持续长远发展的目标。
(三)企业履行社会责任,是打造和提升企业形象的重要举措企业形象是指企业的社会认同度,包括国内认同度和国际认同度。社会认同度高的企业必然是优质企业。企业如何提升社会认同度呢?有的企业通过广告宣传,有的企业通过包装手段,形式有多种多样。但是,这都不能持久,真正提升企业形象取决于履行社会责任。如果一个企业切实做到安全生产,产品质量第一,环境保护符合国家质量标准,避免掠夺性开发资源,促进社会就业等等,从发展质量上下功夫,苦练内功,重视内涵,在认真履行社会责任的前提下实现发展目标,或将履行社会责任作为发展战略的重要组成部分,这样的优质企业才能从根本上改变和不断提升企业形
象,在此基础上的企业形象必然被社会广泛认可。
二、企业应当履行哪些社会责任《企业内部控制应用指引第4号—— —社会责任》规定企业履行的社会责任包括安全生产、产品质量、环境保护、资源节约、促进就业、员工权益保护等方面。这是就一般企业而言,特殊行业的企业应履行的社会责任不完全相同。
(一)安全生产企业如何实现安全生产,社会责任指引规定了以下方面:一是建章建制,建立健全安全生产管理机构。近年来,国家立法部门相继制定了《安全生产法》等近30部关于安全生产的专门法律和行政法规,企业应当依据国家有关安全生产方面的法律法规规定,结合本企业生产经营的特点,建立健全安全生产方面的规章制度、操作规范和应急预案。建章建制的关键是落实到位。近年来的重大安全事故频发,原因并不是没有建章建制,而是在巨大的经济利益驱动下,无视规章制度。人为因素往往是重大安全事故频发的重要原因,这是值得深思的。如果将国家和企业制定的一系列涉及安全生产的规章制度落实到位,就能够杜绝安全事故的发生。
二是不断加大安全生产投入和经常性维护管理。企业特别是高危行业的企业,应当将安全生产投入列为首位,“磨刀不误砍柴功”,急于求成、急功近利是不足取的。
企业一定要重视安全生产投入,将员工的生命安全视为头等大事,加大安全生产的技术更新,保证投入安全生产所需的资金、人力、财物及时和足额到位。企业还应组织开展生产设备的经常性维护管理,及时排除安全隐患,切实做到安全生产。
三是开展员工安全生产教育,实行特殊岗位资格认证制度。加强对员工进行安全生产培训教育至关重要。通过培训教育,让员工牢固树立“安全第一、预防为主”的思想,提高他们防范灾害的技能和水平。培训教育应当经常化、制度化,做到警钟长鸣,不能有丝毫放松和懈怠。对于特殊作业人员和特殊资质要求的生产岗位,因工作接触的不安全因素较多,危险性较大,容易发生事故,必须依法实行资格认证制度,持证上岗。
四是建立安全生产事故应急预警和报告机制。企业必须要建立事故应急处理预案,建立专门的应急指挥部门,配备专业队伍和必要的专业器材等,在发生安全生产事故时做到临危不乱,按照预定程序有条不紊地处理好发生的安全生产事故,尽快消除事故产生的影响,同时按照国家有关规定及时报告,不得迟报、谎报和瞒报。安全生产必须实行严格的责任追究制度。
(二)产品质量产品质量是企业长久发展的生命线。如何保证产品质量,结合社会责任指引要求,企业至少应做到以下方面:一是建立健全产品质量标准体系。产品质量的危害不言而喻,一害自己,二害他人,“损人不利已”。为了更加有效地提升产品质量,企业应当根据国家法律法规规定,结合企业产品特点,制定完善产品质量标准体系,包括生产设备条件、生产技术水平、原料组成、产品规格、售后服务等,努力为社会提供优质安全健康的产品和服务,最大限度地满足消费者的需求,对社会和公众负责。
二是严格质量控制和检验制度。从原材料进厂,一直到产品销售等各个环节和流程,都必须有严格的质量控制标准作保证。企业应当加强对产品质量的检验,严禁未经检验合格的产品流入市场。如果每个企业都能把好市场准入关口,严防假冒伪劣产品进入市场,不仅对企业自身有利,而且能够推动社会进步。
三是加强产品售后服务。企业售后服务不仅是一种经营,更是一种文化、一种理念,是企业与客户、消费者沟通、联系的一个纽带。企业通过优质的售后服务,促进与客户、消费者的关系更加紧密,树立企业形象,提高产品信誉,扩大产品影响,培养客户的忠诚度。企业应当把售后服务作为企业采取有效竞争策略、提高产品服务增值的重要手段,重视和加强售后服务,创新售后服务方法,力争做到件件有结果、有分析、有整改、有考核。
对有缺陷的产品,应当采取及时召回、实行“三包”等,赢得消费者对企业产品的信赖和支持,维护消费者合法权益。
(三)环境保护与资源节约为建设资源节约型、环境友好型企业,社会责任指引从以下方面提出了要求:一是转变发展方式,实现清洁生产和循环经济。企业要在快速增长中破解资源与环境的双重约束,在市场竞争中争取主动,必须转变发展方式,重视生态保护,调整产业结构,发展低碳经济和循环经济。加大对环保工作的人力、物力、财力的投入和技术支持,不断改进工艺流程,加强节能减排,降低能耗和污染物排放水平,实现清洁生产。加强对废气、废水、废渣的自行回收、利用和处置等综合治理,推动生产、流通和消费过程中对资源的减量化、再利用、资源化,以最小的资源消耗、最少的废物排放和最小的环境代价来换取最大的经济效益。
二是依靠科技进步和技术创新,着力开发利用可再生资源。企业发展离不开能源和资源。随着我国经济的高速发展,能源、资源对企业经济发展的“瓶颈”制约作用也越来越凸显。企业只有不断增强自主创新能力,通过技术进步推动替代技术和发展替代产品、可再生资源,降低资源消耗和污染物排放,实现低投入、低消耗、低排放和高效率,才能有效实现资源节约和环境保护。
三是建立完善监测考核体系,强化日常监控。资源节约和环境保护人人有责。只有建立环境保护和资源节约监测考核体系,完善激励与约束机制,明确职责,各司其职、各尽其责,严格监督,落实岗位责任制,才能保证环境保护和资源节约等各项工作落到实处。企业要加强日常监控,定期开展监督检查,发现问题,及时采取措施予以纠正。发生紧急、重大环境污染事件时,应当立即启动应急机制,同时根据国家法律法规规定,及时上报,并依法追究相关责任人的责任。
(四)促进就业促进员工就业是企业社会责任的重要体现。保障就业、稳定就业,是社会稳定和发展的大计。中国是世界上人口最多的国家,又是世界上最大的发展中国家。面对宠大的人口数量,国民经济还相对薄弱,要让尽可能多的劳动者享受改革发展的成果,促进社会稳定和谐,就要最大限度地创造就业,这不仅是各级政府的责任,也是企业应尽的义务。中国的企业家身上不能只流淌着金钱和利润的血液,更应流淌着道德的血液,应该做超越资本运营者的更高层次的企业家。
为此,配套指引对企业促进充分就业作出了明确规定。
企业作为就业工作的最大载体,应当以宽广的胸怀接纳各方人士,为国家和社会分担困难,促进充分就业。在各级政府培训提高劳动者专业技能和素质、鼓励企业扩大就业方面给予税收等优惠待遇同时,企业应结合实际需要,转变陈旧或功利的用人观念,在满足自身发展的情况下,公开招聘、公平竞争、公正录用,为社会提供尽可能多的就业岗位,特别是建筑企业、服务型企业、商业零售企业、劳动服务企业等劳动密集型企业,应当成为吸纳农民工就业的主体。企业在录用员工时,不能因民族、种类、性别、宗教信仰不同而受歧视,要保证劳动者依法享有平等就业和自主择业的权利。
(五)保护员工合法权益员工是企业生存发展的内在动力。不断提高员工的素质,维护员工的合法权益,既是社会和谐稳定的需要,也是企业长远发展的需要。企业应当尊重员工,关爱员工,维护员工权益,促进企业与员工的和谐稳定和共同发展。为此,社会责任指引作出了以下要求:一是建立完善科学的员工培训和晋升机制。培训的目的是让员工得到尽快发展。企业应当保证晋升对每个人的公平、公正,每个人主宰自己的命运,适应快、能力强的人能迅速掌握各阶段的技能,自然能得到更快的晋升。不同员工个性化的培训,保持员工及时获得必要的知识储备,才能通过公平竞争和优越的机会吸引大批有能力的员工为企业真诚服务。
二是建立科学合理的员工薪酬增长机制。薪酬的高低,无疑是吸引和争夺人才的一个关键性因素。企业应当遵循按劳分配、同工同酬的原则,结合内外部因素和员工自身表现等,建立科学有效的薪酬正常增长机制,最大限度地激发员工工作热情、敬业精神和工作绩效。员工工资等薪酬应当及时发放,员工各类社会保险应当及时足额缴纳,不得无故拖欠和克扣。企业应当重视和关注,积极缩小高管薪酬与员工的收入差距,促进企业高管人员与员工的薪酬有机协调统一。
三是维护员工的身心健康。现代社会的激烈竞争和快节奏,导致员工身心高度紧张,承受过重的职业压力,很多员工处于亚健康状态。企业应当关心员工身体健康,保障员工充分的休息休假权利,广泛开展娱乐休闲活动。加强职工代表大会和工会组织建设,通过企业内部员工热线、信访接待、内部媒体、员工建议箱等渠道,保证员工与企业上层的信息畅通,帮助员工减压,不断提高员工的身体素质。要加强对职业病的预防、控制和消除,贯彻落实国家有关职业卫生的法律法规,加强生产安全管理工作,定期对劳动者进行体检,建立职业健康档案等,预防、控制和有效消除职业危害,确保员工身心健康。
(六)重视产学研用结合党和政府历来高度重视产学研用结合工作,企业、高校和科研机构在实践中积极探索产学研用结合的有效模式和机制,取得了明显成效,支撑了我国产业技术进步和相关行业的发展,尤其是推动教育改革和应用型人才培养。为促进企业重视加强产学研用结合,社会责任指引作出了明确规定。
企业应当重视产学研用结合,牢固确立企业技术创新主体地位这个核心,把产学研用结合的基点放在人才培养方面。要充分运用市场机制和手段,积极开展与高校和科研院所的战略合作,联合创建国家重点实验室、工程中心等研发和产业化基地,实行优势互补,激发科研机构的创新活力。要重视和加强与高校和科研院所人才培养和交流,加速科技成果的转化和产业化,引导技术创新要素聚集到企业创造社会财富过程中来,使企业获得持续创新的能力。同时促进应用型人才的培养,确保企业发展中亟需人才不断得到补充。
(七)支持慈善事业中华民族具有深厚的慈善文化传承,乐善好施、扶贫济困、安老助孤、帮残助医、支教助学等慈善爱心活动,是中华民族传统美德和人类社会文明的重要组成部分。大力推动企业支持社会慈善爱心活动,对于组织调动社会资源、调节贫富差距、缓解社会矛盾、促进社会公平、构建和谐社会具有重要而深远的意义。
因此,社会责任指引要求企业重视支持慈善事业,扶助社会弱势群体。
“予人玫瑰,手有余香”。通过捐赠等慈善公益事业,企业能够达到无与伦比的广告效应,既能享受税收优惠,又能提升企业的形象和消费者的认可度与赞誉度,提高市场占有率。著名的王老吉饮料公司2007年销售收入是46亿元,2008年捐赠汶川地震灾区后,全年销售收入实现96亿元,1亿元的捐赠换来了50亿元的收入。“仰承福泽,报效桑梓”。企业在关注公司自身发展的同时,应当勇于承担社会责任,积极支持慈善事业,奉献爱心和善举,扶助社会弱势群体,把参与慈善活动作为创新产品和服务的潜在市场,将慈善行为与企业发展目标有机地联系起来,不断增强自身参与社会慈善事业发展的积极性和可持续性,以实际行动践行企业公民的责任和义务。
三、企业如何履行社会责任企业重视并切实履行社会责任,既是为企业前途、命运负责,也是为社会、为国家、为人类负责。企业应当高度重视履行社会责任,积极采取措施促进社会责任的履行。
(一)企业负责人要高度重视强化企业履行社会责任,很大程度上取决于企业负责人的意识和态度。企业负责人应当高度重视这项工作,树立社会责任意识,把履行社会责任提上企业重要议事日程,经常研究和部署社会责任工作,加强社会责任全员培训和普及教育,不断创新管理理念和工作方式,努力形成履行社会责任的企业价值观和企业文化。
(二)建立和完善履行社会责任的体制和运行机制要把履行社会责任融入企业发展战略,落实到生产经营的各个环节,明确归口管理部门,建立健全预算安排,逐步建立和完善企业社会责任指标统计和考核体系,为企业履行社会责任提供坚实的基础与保障。
(三)建立企业社会责任报告制度发布社会责任报告,是企业履行社会责任的重要组成部分。发布企业社会责任报告,让股东、债权人、员工、客户、社会等各方面知晓自己在社会责任领域所做的工作、所取得的成就,可以增强企业的战略管理能力,使企业由外而内地深入审视与社会的互动关系,全面提高企业服务能力和水平,提高企业的品牌形象和价值。
第五篇:财政部会计司解读《企业内部控制应用指引第1号——组织架构》
《企业内部控制应用指引第1号——组织架构》指出,组织架构是指企业按照国家有关法律法规、股东(大)会决议、企业章程,结合本企业实际,明确董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。其中,核心是完善公司治理结构、管理体制和运行机制问题。为什么要制定组织架构指引?该指引的主要内容有哪些?对组织架构的设计和运行等提出了哪些要求?本文就此进行解读。
一、关于组织架构指引的现实和长远意义
一个现代企业,无论是处于新建、重组改制还是存续状态,要实现发展战略,就必须把建立和完善组织架构放在首位或重中之重。否则,其他方面都无从谈起。
第一,建立和完善组织架构可以促进企业建立现代企业制度。
一个企业怎样才能永远保持成功呢?这就要靠制度。这个制度就是现代企业制度。它是以完善的企业法人制度为基础,以有限责任制度为保证,以公司制企业为主要形式,以产权清晰、权责明确、政企分开、管理科学为条件的现代企业制度。可见,现代企业制度的核心是组织架构问题;或者,一个实施现代企业制度的企业,应当具备科学完善的组织架构。也可以说,建立现代企业制度必须从组织架构开始。从发达市场经济国家企业和我国现代企业的实践证明,公司治理、管理体制和运行机制是永恒的主题。
第二,建立和完善组织架构可以有效防范和化解各种舞弊风险。
串谋舞弊是企业经营发展过程中难以避免的一颗“毒瘤”,也是内部控制建设的难点之一。2004年11月发生的震惊中外的中航油(新加坡)股份公司期权交易巨亏案就是一个典型。
第三,建立和完善组织架构可以为强化企业内部控制建设提供重要支撑。
组织架构是企业内部环境的有机组成部分,也是企业开展风险评估、实施控制活动、促进信息沟通、强化内部监督的基础设施和平台载体。一个科学高效、分工制衡的组织架构,可以使企业自上而下地对风险进行识别和分析,进而采取控制措施予以应对,可以促进信息在企业内部各层级之间、企业与外部利益相关者之间及时、准确、顺畅的传递,可以提升日常监督和专项监督的力度和效能。
二、关于组织架构指引的主要内容
组织架构指引着力解决企业应如何进行组织架构设计和运行,核心是如何加强组织架构方面的风险管控。组织架构指引的主要内容包括:制定指引的必要性和依据,组织架构的本质、设计和运行过程中应关注的主要风险以及如何设计和运行组织架构等,分三章共十一条。关于组织架构的本质,可从治理结构和内部机构两个层面理解。
其中,治理结构即企业治理层面的组织架构。它是企业成为可以与外部主体发生各项经济关系的法人所必备的组织基础,具体是指企业根据相关的法律法规,设置不同层次、不同功能的法律实体及其相关的法人治理结构,从而使得企业能够在法律许可的框架下拥有特定权利、履行相应义务,以保障各利益相关方的基本权益。内部机构则是企业内部机构层面的组织架构。
它是指企业根据业务发展需要,分别设置不同层次的管理人员及其由各专业人员组成的管理团队,针对各项业务功能行使决策、计划、执行、监督、评价的权力并承担相应的义务,从而为业务顺利开展进而实现企业发展战略提供组织机构的支撑平台。企业应当根据发展战略、业务需要和控制要求,选择适合本企业的内部组织机构类型。
关于组织架构设计和运行的主要风险,组织架构指引从治理结构和内部机构两个角度作了描述。
(一)从治理结构层面看,主要风险在于:治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。具体表现为:一是,股东大会是否规范而有效地召开,股东是否可以通过股东大会行使自己的权利;二是,企业与控股
股东是否在资产、财务、人员方面实现相互独立,企业与控股股东的关联交易是否贯彻平等、公开、自愿的原则;三是,对与控股股东相关的信息是否根据规定及时完整地披露;四是,企业是否对中小股东权益采取了必要的保护措施,使中小股东能够和大股东同等条件参加股东大会,获得与大股东一致的信息,并行使相应的权利;五是,董事会是否独立于经理层和大股东,董事会及其审计委员会中是否有适当数量的独立董事存在且能有效发挥作用;六是,董事对于自身的权利和责任是否有明确的认知,并且有足够的知识、经验和时间来勤勉、诚信、尽责地履行职责;七是,董事会是否能够保证企业建立并实施有效的内部控制,审批企业发展战略和重大决策并定期检查、评价其执行情况,明确设立企业可接受的风险承受度,并督促经理层对内部控制有效性进行监督和评价;八是,监事会的构成是否能够保证其独立性,监事能力是否与相关领域相匹配;九是,监事会是否能够规范而有效地运行,监督董事会、经理层正确履行职责并纠正损害企业利益的行为;十是,对经理层的权力是否存在必要的监督和约束机制。
(二)从内部机构层看,主要风险在于:内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮、运行效率低下。具体表现为:一是,企业内部组织机构是否考虑经营业务的性质,按照适当集中或分散的管理方式设置;二是,企业是否对内部组织机构设置、各职能部门的职责权限、组织的运行流程等有明确的书面说明和规定,是否存在关键职能缺位或职能交叉的现象;三是,企业内部组织机构是否支持发展战略的实施,并根据环境变化及时作出调整;四是,企业内部组织机构的设计与运行是否适应信息沟通的要求,有利于信息的上传、下达和在各层级、各业务活动间的传递,有利于为员工提供履行职权所需的信息;五是,关键岗位员工是否对自身权责有明确的认识,有足够的胜任能力去履行权责,是否建立了关键岗位员工轮换制度和强制休假制度;六是,企业是否对 董事、监事、高级管理人员及全体员工的权限有明确的制度规定,对授权情况是否有正式的记录;七是,企业是否对岗位职责进行了恰当的描述和说明,是否存在不相容职务未分离的情况;八是,企业是否对权限的设置和履行情况进行了审核和监督,对于越权或权限缺位的行为是否及时予以纠正和处理。
三、关于组织架构的设计
组织架构的设计主要是针对按《公司法》新设立企业,以及《公司法》颁布前存在的企事业单位转为公司制企业而言的。已按《公司法》运作的企业,重点应放在如何健全机制确保组织架构有效运行。
企业在设计组织架构时,必须考虑内部控制的要求,合理确定治理层及内部各部门之间的权力和责任并建立恰当的报告关系。既要能够保证企业高效运营,又要能适应内部控制环境的需要进行相应的调整和变革。具体而言,至少应当遵循以下原则:一要依据法律法规;二要有助于实现发展战略;三要符合管理控制要求;四要能够适应内外环境变化。
(一)企业治理结构的设计
1.企业治理结构设计一般要求
治理结构涉及股东(大)会、董事会、监事会和经理层。企业应当根据国家有关法律法规的规定,按照决策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序等。
从内部控制建设角度看,新设企业或转制企业如果一开始就在治理结构设计方面存在缺陷,必然会对以后企业的长远发展造成严重损害。比如,在组织架构指引起草调研过程中,我们发现,部分上市公司在董事会下没有设立“真正意义上”的审计委员会,其成员只是“形式上”符合有关法律法规的要求,难以胜任工作,甚至也“不愿”去履行职能。比如,部分上市公司监事会成员,或多或少地与上市董事长存在某种关系,在后续工作中难以秉公办事,直接或间接损害了股东尤其是小股东的合法权益。
再比如,有些上市公司因为在上市改制时组织架构设计不合理,出于照顾等方面因素让某人担任董事长,而实际上公司总经理才是幕后真正的“董事长”。凡此种种,都值得引起企业关注,应当在组织架构设计时尽力避免。也正因为如此,组织架构指引明确,董事会、监事会和经理层的产生程序应当合法合规,其人员构成、知识结构、能力素质应当满足履行职责的要求。
2.上市公司治理结构的特殊要求
上市公司治理结构的设计,应当充分反映其“公众性”。其特殊之处主要表现在:一是建立独立董事制度。上市公司董事会应当设立独立董事,独立董事应独立于所受聘的公司及其主要股东。独立董事不得在上市公司担任除独立董事外的其他任何职务。独立董事应按照有关法律法规和公司章程的规定,认真履行职责,维护公司整体利益,尤其要关注中小股东的合法权益不受损害。独立董事应独立履行职责,不受公司主要股东、实际控制人以及 其他与上市公司存在利害关系的单位或个人的影响。
二是董事会专门委员会的特殊要求。上市公司董事会下设的审计委员会、薪酬与考核委员会中,独立董事应当占多数并担任负责人,审计委员会中至少还应有一名独立董事是会计专业人士。在董事会各专业委员会中,审计委员会对内部控制的建立健全和有效实施尤其发挥着重要作用。审计委员会对董事会负责并代表董事会对经理层进行监督,侧重加强对经理层提供的财务报告和内部控制评价报告的监督,同时通过指导和监督内部审计和外部审计工作,提高内部审计和外部审计的独立性,在信息披露、内部审计和外部审计之间建立起了一个独立的监督和控制机制。
三是设立董事会秘书。上市公司应当设立董事会秘书,董事会秘书为上市公司的高级管理人员,直接对董事会负责,并由董事长提名,董事会负责任免。在上市公司实务中,董事会秘书是一个重要的角色,其负责公司股东大会和董事会会议的筹备,文件保管以及公司股东资料的管理,办理信息披露事务等事宜。
3.国有独资企业治理结构设计的特殊要求
国有独资企业是我国比较独特的企业群体,其治理结构设计应充分反映其特色。主要表现在:一是,国有资产监督管理机构代行股东(大)会职权。国有独资企业不设股东(大)会,由国有资产监督管理机构行使股东(大)会职权。
国有独资企业董事会可以根据授权部分行使股东(大)会的职权,决定公司的重大事项,但公司的合并、分立、解散、增加或者减少注册资本和发行公司债券,必须由国有资产监督管理机构决定。
二是,国有独资企业董事会成员中应当包括公司职工代表。董事会成员由国有资产监督管理机构委派;但是,董事会成员中的职工代表由公司职工代表大会选举产生。国有独资企业董事长、副董事长由国有资产监督管理机构从董事会成员中指定产生。
三是,国有独资企业监事会成员由国有资产监督管理机构委派;但是监事会成员中的职工代表由公司职工代表大会选举产生。监事会主席有国有资产监督管理机构从监事会成员中指定产生。
四是,外部董事由国有资产监督管理机构提名推荐,由任职公司以外的人员担任。外部董事在任期内,不得在任职企业担任其他职务。外部董事制度对于规范国有独资公司治理结构、提高决策科学性、防范重大风险具有重要意义。
(二)内部机构的设计
内部机构的设计是组织架构设计的关键环节。只有切合企业经营业务特点和内部控制要求的内部机构,才能为实现企业发展目标发挥积极促进作用。具体而言:一是,企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责
过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
二是,企业应当对各机构的职能进行科学合理的分解,确定具体岗位的名称、职责和工作要求等,明确各个岗位的权限和相互关系。
在内部机构设计过程中,应当体现不相容岗位相分离原则,努力识别出不相容职务,并根据相关的风险评估结果设立内部牵制机制,特别是在涉及重大或高风险业务处理程序时,必须考虑建立各层级、各部门、各岗位之间的分离和牵制,对因机构人员较少且业务简单而无法分离处理某些不相容职务时,企业应当制定切实可行的替代控制措施。
三是,企业应当制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件,使员工了解和掌握组织架构设计及权责分配情况,正确履行职责。值得特别指出的是,就内部机构设计而言,建立权限指引和授权机制非常重要的。有了权限指引,不同层级的员工就知道该如何行使并承担相应责任,也利于事后考核评价。“授权”表明的是,企业各项决策和业务必须由具备适当权限的人员办理,这一权限通过公司章程约定或其他适当方式授予。
企业内部各级员工必须获得相应的授权,才能实施决策或执行业务,严禁越权办理。按照授权对象和形式的不同,授权分为常规授权和特别授权。常规授权一般针对企业日常经营管理过程中发生的程序性和重复性工作,可以在由企业正式颁布的岗(职)位说明书中予以明确,或通过制定专门的权限指引予以明确。特别授权一般是由董事会给经理层或经理层给内部机构及其员工授予处理某一突发事件(如法律纠纷)、作出某项重大决策、代替上级处理日常工作的临时性权力。
(三)对“三重一大”的特殊考虑
在实务中,无论是上市公司还是其他企业发生的重大经济案件中,不少都牵涉到“三重一大”问题,即“重大决策、重大事项、重要人事任免及大额资金使用”问题。
为此,组织架构指引明确要求,企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。此项要求是我国部分企业优秀管理经验的总结,可以有效避免“一言堂”、“一支笔”现象。特别是,“三重一大”事项实行集体决策和联签制度有利于促进国有企业完善治理结构和健全现代企业制度。
四、关于组织架构的运行
组织机构运行涉及新企业治理结构和内部机构的运行,也涉及对存续企业组织架构的全面梳理。
为此,组织架构指引明确提出,企业应当根据组织架构的设计规范,对现有治理结构和内部机构设置进行全面梳理,确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。
如何梳理?从治理结构层面看,应着力从两个方面入手。一是,关注董事、监事、经理及其他高级管理人员的任职资格和履职情况。
就任职资格而言,重点关注行为能力、道德诚信、经营管理素质、任职程序等方面。就履职情况而言,着重关注合规、业绩以及履行忠实、勤勉义务等方面。二是关注董事会、监事会和经理层的运行效果。
这方面要着重关注:董事会是否按时定期或不定期召集股东大会并向股东大会报告;是否严格认真地执行了股东大会的所有决议;是否合理地聘任或解聘经理及其他高级人员等。监事会是否按照规定对董事、高级管理人员行为进行监督;在发现违反相关法律法规或损害公司利益时,是否能够对其提出罢免建议或制止纠正其行为等。经理层是否认真有效地组织实施董事会决议;是否认真有效地组织实施董事会制定的生产经营计划和投资方案;是否能够完成董事会确定的生产经营计划和绩效目标等。
从内部机构层面看,应着力关注内部机构设置的合理性和运行的高效性。从合理性角度梳理,应重点关注:内部机构设置是否适应内外部环境的变化;是否以发展目标为导向;是否满足专业化的分工和协作,有助于企业提高劳动生产率;是否明确界定各机构和岗位的权利和责任,不存在权责交叉重叠,不存在只有权利而没有相对应的责任和义务的情况等。从运行的高效性角度梳理,应重点关注:内部各机构的职责分工是否针对市场环境的变化作出及时调整。特别是当企业面临重要事件或重大危机时,各机构间表现出的职责分工协调性,可以较好地检验内部机构运行的效率。此外,还应关注权力制衡的效率评估,包括机构权力是否过大并存在监督漏洞;机构权力是否被架空;机构内部或各机构之间是否存在权力失衡等。梳理内部机构的高效性,还应关注内部机构运行是否有利于保证信息的及时顺畅流通,在各机构间达到快捷沟通的目的。评估内部机构运行中的信息沟通效率,一般包括信息在内部机构间的流通是否通畅,是否存在信息阻塞;信息在现有组织架构下流通是否及时,是否存在信息滞后;信息在组织架构中的流通是否有助提高效率,是否存在沟通舍近求远。当企业发展壮大为集团公司时,对组织架构进行梳理应给予足够重视。为此,组织架构指引强调:企业拥有子公司的,应当建立科学的投资管控制度,通过合法有效的形式履行出资人职责、维护出资人权益,重点关注子公司特别是异地、境外子公司的发展战略、财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。这一方面是呼应组织架构设计的要求,同时也是现行企业实务中特别值得注意的问题。
企业在对治理结构和内部机构进行全面梳理的基础上,还应当定期对组织架构设计和运行的效率与效果进行综合评价,其目的在于发现可能存在的缺陷,及时优化调整,使公司的组织架构始终处于高效运行状态。
总之,只有不断健全公司法人治理结构,持续优化内部机构设置,才能为风险管理奠定扎实基础,才能提升经营管理效能,才能在当今激烈的国内外市场经济竞争中保持健康可持续发展。