第一篇:财政部关于印发企业内部控制规范体系实施中相关问题解释第1号的通知
财政部关于印发企业内部控制规范体系实施中相关问题解释第1号的通知 财会[2012]3号
中共中央直属机关事务管理局,铁道部、国务院机关事务管理局,解放军总后勤部、武警部队后勤部,各省、自治区、直辖市、计划单列市财政厅(局),新疆生产建设兵团财务局,各中央管理企业、上市公司:
《企业内部控制基本规范》(财会[2008]7号)及其配套指引已于2011年1月1日起在境内外同时上市的公司和部分在境内主板上市的公司实施和试点。具体执行过程中,企业反映了一些问题,我部会同证监会、审计署、银监会、保监会对这些问题进行了研究,并征求了有关上市公司、咨询公司等单位的意见,在此基础上制定了《企业内部控制规范体系实施中相关问题解释第1号》。经会签证监会、审计署、银监会、保监会,现予印发。
附件:企业内部控制规范体系实施中相关问题解释第1号
财政部
二〇一二年二月二十三日
附件:
企业内部控制规范体系实施中相关问题解释第1号
根据财政部等五部委的要求,《企业内部控制基本规范》(财会[2008]7号)及其配套指引已于2011年1月1日起在境内外同时上市的69家公司实施。同时,财政部、证监会又选择了200多家在境内主板上市的公司进行试点。实施一年总体进展顺利,但也存在一定问题。为推动《企业内部控制基本规范》及其配套指引的顺利实施,现对有关问题解释如下:
1.如何把握企业内部控制规范体系的强制性与指导性的关系?
答:在实施试点中,一些企业反映,《企业内部控制基本规范》及其配套指引的规定是否需要逐条执行。
《企业内部控制基本规范》是内部控制建设与实施应该遵循的基本原则和总体要求,具有强制性,纳入实施范围的企业应当遵照执行。《企业内部控制配套指引》(财会[2010]11号,包括18个应用指引、1个评价指引和1个审计指引)是对《企业内部控制基本规范》相关规定的进一步补充和说明,具有指导性和示范性,纳入实施范围的企业可以结合所在行业要求和企业自身特点,参照配套指引的规定开展内部控制建设与实施工作。
2.已经完全按照境外监管机构要求建设与实施内部控制的境内外同时上市的公司,是否需要执行我国的企业内部控制规范体系?
答:目前,许多国家和地区对公众公司内部控制都有相关的规定和要求。我国企业内部控制规范体系在充分借鉴国际上先进经验和做法的同时,更多地适应了我国国情,尤其是充分考虑了我国目前法律法规体系、公司治理结构、企业管理体制、风险管控实务等具体情况,提出了内部控制的目标、原则、要素等,且不局限于财务报告内部控制,更多突出全面内部控制的要求。因此,境内外同时上市的公司应当在满足境外监管机构要求的基础上,对照我国企业内部控制规范体系,特别是应当围绕《企业内部控制基本规范》提出的内部控制五目标,对相关控制措施进行适当调整或补充完善。
3.企业按照企业内部控制规范体系建设与实施内部控制,是否还需要遵守我国行业主管部门和市场监管部门对内部控制的有关要求?
答:《企业内部控制基本规范》及其配套指引是对不同行业、各类企业提出的一般性要求,具有普适性。行业主管或监管部门对所辖企业的内部控制管理规定,是不同行业内部控制的特殊要求,也是《企业内部控制基本规范》的重要补充。企业应当按照《企业内部控制基本规范》及其配套指引规定和行业管理、市场监管的要求,建设与实施内部控制。
4.如何协调好内部控制与风险管理的关系?
答:《企业内部控制基本规范》及其配套指引,充分吸收了全面风险管理的理念和方法,强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险,促进企业实现发展战略,风险管理的目标也是促进企业实现发展战略,二者都要求将风险控制在可承受范围之内。因此,内部控制与风险管理二者不是对立的,而是协调统一的整体。
在实际工作中,一些企业的内部控制和风险管理工作由不同机构负责。对此,企业可以对有关机构和业务进行整合,从工作内容、目标、要求以及具体工作执行的方法、程序等方面,将内部控制建设和风险管理工作有机结合起来,避免职能交叉、资源浪费、重复劳动,降低企业管理成本,提高工作效率和效果。
5.对于《企业内部控制配套指引》尚未规范的领域,应如何处理?
答:由于企业所面临的客观环境和自身的经营管理活动比较复杂,目前的《企业内部控制配套指引》仅对企业常见的、一般性生产经营过程的主要方面和环节进行了规范。在建设与实施内部控制的过程中,对于《企业内部控制配套指引》尚未规范的业务领域,企业应当遵循《企业内部控制基本规范》的原则和要求,按照内部控制建设与实施的基本原理和一般方法,从企业经营目标出发,识别和评估相关风险,梳理关键业务流程,根据风险评估的结果,制定和执行相应控制措施。
6.如何权衡内部控制的实施成本与预期效益?
答:企业按照《企业内部控制基本规范》及其配套指引的要求建设与实施内部控制,必然需要支付一定的成本,可能会发生内部控制制度和流程的设计与实施费用、聘请专业机构提供咨询服务费用、建立融入内部控制要求的信息系统费用、聘请会计师事务所开展内部控制审计费用,等等。建设与实施内部控制应当从提高企业长期效益出发,从促进企业可持续发展出发,将内部控制作为一项常规性工作,贯穿于企业管理之中,加大投入。同时,应当按照重要性原则,关注重要业务事项和高风险领域,抓住关键风险控制点。集团性企业可以采取分类试点、逐步推广的方式,选择下属不同类型的企业试点,形成范本,减少重复建设。
聘请会计师事务所开展内部控制审计是建设与实施内部控制的重要环节,是检验内部控制有效性的重要手段和有力保证。内部控制审计费用是企业实施内部控制规范体系应当承担的成本,企业应安排相应经费确保审计工作的及时、有效开展。内部控制审计是一项区别于财务报告审计的独立业务,企业应就该项业务与会计师事务所签订单独的业务约定书。同时,企业也应权衡审计成本与审计效益,在业务约定书中明确有关费用标准,并对会计师事务所审计资源的投入和审计质量提出明确要求。
7.如何协调好内部控制与其他管理体系的关系?
答:内部控制贯穿于整个企业管理,与其他管理体系相辅相成、密不可分,是企业管理的重要组成部分。企业现有管理体系的设计、运行以及审核认证需要遵循已经发布的国家标准或行业标准。这些标准与企业内部控制规范体系的原则和要求并不矛盾。在实际工作中,个别企业的内部控制体系建设与管理体系运行发生冲突,原因可能是企业采用的方式方法出现了偏差,如简单照搬内部控制应用指引的规定,没有考虑企业的实际情况,为控制而控制,导致控制设计不合理,出现控制过度或控制冗余;也可能是企业经营管理部门对内部控制的重要性认识不足,不愿意受到更多的牵制和监督,从而以影响经营效率和目标为借口,拒绝必要的内部控制;等等。对此,企业应当立足管理现状,全面梳理各项管理制度和管理体系,从管理体制、机制以及落实各级权利责任等方面,将内部控制的要求融入各项管理体系中,形成内部控制的长效机制,使内部控制真正为经营管理服务;应当从总体目标出发,通过培训教育提高企业经营管理人员对内部控制的理解和认识,将内部控制的要求纳入绩效考核体系以加强执行;可以利用信息技术固化业务流程,提高业务处理效率和信息共享水平,从而尽可能减少内部控制与其他经营管理体系的冲突。
8.企业如何确定内部控制缺陷的认定标准?
答:查找并纠正企业内部控制设计和运行中的缺陷,是开展企业内部控制评价的一项重要工作,是不断完善企业内部控制的重要手段。由于企业所处行业、经营规模、发展阶段、风险偏好等存在差异,《企业内部控制基本规范》及其配套指引没有对内部控制缺陷的认定标准进行统一规定。企业可以根据《企业内部基本规范》及其配套指引,结合企业规模、行业特征、风险水平等因素,研究确定适合本企业的内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。企业确定的内部控制缺陷标准应当从定性和定量的角度综合考虑,并保持相对稳定。通过不断的实践,总结经验,形成一套行之有效的内部控制缺陷认定方法。
企业在开展内部控制监督检查中,对发现的内部控制缺陷,应当及时分析缺陷性质和产生原因,并提出整改方案,采取适当形式向董事会、监事会或者管理层报告。对于重大缺陷,企业应当在内部控制评价报告中进行披露。
财政部将会同证监会、审计署、银监会、保监会等有关部门,根据首次执行和试点情况,分行业、分类型总结企业的内部控制缺陷认定标准,供参考。
9.实施《企业内部控制基本规范》及其配套指引的企业,是否需要设置专门的内部控制机构?
答:根据《企业内部控制基本规范》的规定,企业董事会负责内部控制的建立健全和有效实施。为便于董事会履行好企业内部控制规范体系的设计、建立、运行与改进方面的职责,董事会应当指定专门委员会负责指导内部控制建设与实施工作。一般情况下企业应当成立专门机构负责组织协调内部控制的建立实施及日常工作。
对于少数企业受制于岗位编制、专业人员等条件限制,目前尚不具备成立专门的内部控制管理机构的,可暂将内部控制管理职能划归现有机构。随着企业内部控制建设的持续深入和相关条件的不断成熟,企业应考虑成立专门机构,保证有足够的资源支持和协调内部控制工作的开展,确保内部控制工作的相对独立性。
10.如何编制和披露企业内部控制评价报告?
企业内部控制评价是企业董事会对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。开展内部控制评价,可以及时发现和纠正企业内部控制建设与实施中存在的问题,并持续自我完善。企业可以独立开展内部控制评价工作,也可以委托不承担本企业内部控制审计的中介机构协助开展内部控制评价工作。
根据《企业内部控制基本规范》、《企业内部控制评价指引》的要求,我们制定了企业内部控制评价报告的格式,供企业编制评价报告时参考,企业也可以根据实际情况对具体的报告方式作适当调整,但有关内容原则上应体现在年度报告中。
附:
XX公司20xx年度内部控制评价报告
xx公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和要求,结合本公司(以下简称公司)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们对公司内部控制的有效性进行了自我评价。
一、董事会声明
公司董事会及全体董事保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带责任。
建立健全并有效实施内部控制是公司董事会的责任;监事会对董事会建立与实施内部控制进行监督;经理层负责组织领导公司内部控制的日常运行。
公司内部控制的目标是:[一般包括合理保证经营合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略]。由于内部控制存在固有局限性,故仅能对实现上述目标提供合理保证。
二、内部控制评价工作的总体情况
公司董事会授权内部审计机构[或其他专门机构]负责内部控制评价的具体组织实施工作,对纳入评价范围的高风险领域和单位进行评价[描述评价工作的组织领导体制,一般包括评价工作组织结构图、主要负责人及汇报途径等]。
公司[是/否]聘请了专业机构[中介机构名称]提供内部控制咨询服务;公司[是/否]聘请了专业机构[中介机构名称]协助开展内部控制评价工作;公司[是/否]聘请会计师事务所[会计师事务所名称]对公司内部控制进行独立审计。
三、内部控制评价的范围
内部控制评价的范围涵盖了公司及其所属单位的主要业务和事项[列明评价范围占公司总资产比例或占公司收入比例等],重点关注下列高风险领域:
[列示公司根据风险评估结果确定的内部控制前“十大”主要风险]
纳入评价范围的单位包括:
[无需罗列单位名称,而是描述纳入评价范围单位的行业性质、层级等]
纳入评价范围的业务和事项包括(根据实际情况调整,未尽事项可以充实):
(一)组织架构
(二)发展战略
(三)人力资源
(四)社会责任
(五)企业文化
(六)资金活动
(七)采购业务
(八)资产管理
(九)销售业务
(十)研究与开发
(十一)工程项目
(十二)担保业务
(十三)业务外包
(十四)财务报告
(十五)全面预算
(十六)合同管理
(十七)内部信息传递
(十八)信息系统
上述业务和事项的内部控制涵盖了公司经营管理的主要方面,不存在重大遗漏。
(如存在重大遗漏)公司本年度未能对以下构成内部控制重要方面的单位或业务(事项)进行内部控制评价:
[逐条说明未纳入评价范围的重要单位或业务(事项),包括单位或业务(事项)描述、未纳入的原因、对内部控制评价报告真实完整性产生的重大影响等]
四、内部控制评价的程序和方法
内部控制评价工作严格遵循基本规范、评价指引及公司内部控制评价办法规定的程序执行[描述公司开展内部控制检查评价工作的基本流程]。
评价过程中,我们采用了(个别访谈、调查问题、专题讨论、穿行测试、实地查验、抽样和比较分析)等适当方法,广泛收集公司内部控制设计和运行是否有效的证据,如实填写评价工作底稿,分析、识别内部控制缺陷[说明评价方法的适当性及证据的充分性]。
五、内部控制缺陷及其认定
公司董事会根据基本规范、评价指引对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,研究确定了适用本公司的内部控制缺陷具体认定标准,并与以前年度保持了一致[描述公司内部控制缺陷的定性及定量标准],或作出了调整[描述具体调整标准及原因]。
根据上述认定标准,结合日常监督和专项监督情况,我们发现报告期内存在[数量]个缺陷,其中重大缺陷[数量]个,重要缺陷[数量]个。重大缺陷分别为:[对重大缺陷进行描述,并说明其对实现相关控制目标的影响程度]。
六、内部控制缺陷的整改情况
针对报告期内发现的内部控制缺陷(含上一期间未完成整改的内部控制缺陷),公司采取了相应的整改措施[描述整改措施的具体内容和实际效果]。对于整改完成的重大缺陷,公司有足够的测试样本显示,与重大缺陷[描述该重大缺陷]相关的内部控制设计且运行有效(运行有效的结论需提供90天内有效运行的证据)。
经过整改,公司在报告期末仍存在[数量]个缺陷,其中重大缺陷[数量]个,重要缺陷[数量]个。重大缺陷分别为:[对重大缺陷进行描述]。
针对报告期末未完成整改的重大缺陷,公司拟进一步采取相应措施加以整改[描述整改措施的具体内容及预期达到的效果]。
七、内部控制有效性的结论
公司已经根据基本规范、评价指引及其他相关法律法规的要求,对公司截至20xx年12月31日的内部控制设计与运行的有效性进行了自我评价。
(存在重大缺陷的情形)报告期内,公司在内部控制设计与运行方面存在尚未完成整改的重大缺陷[描述该缺陷的性质及其对实现相关控制目标的影响程度]。由于存在上述缺陷,可能会给公司未来生产经营带来相关风险[描述该风险]。
(不存在重大缺陷的情形)报告期内,公司对纳入评价范围的业务与事项均已建立了内部控制,并得以有效执行,达到了公司内部控制的目标,不存在重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间[是/否]发生对评价结论产生实质性影响的内部控制的重大变化。[如存在,描述该事项对评价结论的影响及董事会拟采取的应对措施]。
我们注意到,内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。[简要描述下一年度内部控制工作计划]未来期间,公司将继续完善内部控制制度,规范内部控制制度执行,强化内部控制监督检查,促进公司健康、可持续发展。
董事长:[签名]
XX公司
20xx年xx月xx日
第二篇:关于印发企业内部控制规范体系实施中相关问题解释第2号的通知
关于印发企业内部控制规范体系实施中相关问题解释第2号的通知
财会〔2012〕18号
中共中央直属机关事务管理局,铁道部、国务院机关事务管理局,解放军总后勤部、武警部队后勤部,各省、自治区、直辖市、计划单列市财政厅(局),新疆生产建设兵团财务局,各中央管理企业、上市公司:
《企业内部控制基本规范》(财会〔2008〕7号)和《企业内部控制配套指引》(财会〔2010〕11号)已于2011年在境内外同时上市的公司平稳实施。对实施中出现的问题,2012年2月我部会同相关部门通过印发《企业内部控制规范体系实施中相关问题解释第1号》(财会〔2012〕3号)加以明确,对推动企业内部控制规范体系有效实施发挥了积极的作用。随着境内主板上市公司2012年正式实施内部控制规范体系,也出现了一些新情况、新问题,如内控组织实施、内控实施的进度与重点、内控人才队伍培养、小型企业内控建设等,需要研究解决。为此,我部会同证监会、审计署、银监会、保监会、国资委,对这些新情况、新问题进行了认真研究,并征求了有关上市公司、咨询机构和有关部门的意见,形成了《企业内部控制规范体系实施中相关问题解释第2号》。经会签证监会、审计署、银监会、保监会、国资委,现予印发。
附件:企业内部控制规范体系实施中相关问题解释第2号
财政部
2012年9月24日
附件
企业内部控制规范体系实施中相关问题解释第2号
企业内部控制规范体系正式实施一年多来,总体平稳,但在具体实施过程中,部分企业还存在理解认识上的不到位和实际执行上的偏差。为了稳步推进企业内部控制规范体系贯彻实施,经研究,现就有关问题解释如下:
1.企业应如何正确把握内部控制的组织实施工作?
答:企业在开始实施内部控制时,应当按照《企业内部控制基本规范》(财会〔2008〕7号)(以下简称基本规范)确定的内部控制目标、要素、原则和具体要求开展工作,强化组织领导,夯实内部控制基础。董事会负责内部控制的建立健全和有效实施,监事会对董事会建立与实施内部控制进行监督,经理层负责组织领导企业内部控制的日常运行,全体员工广泛参与内部控制的具体实施。企业的内部控制部门应结合实际,制定内部控制体系建设的分阶段目标,围绕内部控制的五个要素扎实开展工作,深入宣传、认真执行、严格监督、严肃考核,保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,规避生产经营风险。随着实施工作的不断深入,企业应当加强内部控制全员、全面、全过程管理,进一步推动管理创新,不断提升管理水平,有效防控经营风险,保证实现价值目标,最终促进企业实现发展战略。
企业应当结合所在行业要求和自身特点,按照基本规范的要求,参照《企业内部控制配套指引》(财会〔2010〕11号)(以下简称配套指引)的规定开展内部控制实施工作。目前配套指引针对企业一般性的业务和重点环节制定了原则性的要求,未涵盖行业特点突出的具体业务。在实施过程中,企业应当全面执行基本规范,以配套指引为参考,结合行业管理要求,从自身经营管理的实际出发,识别和评估相关风险,加强对关键和重点业务的控制,保持信息沟通的顺畅,对实施效果做好监督评价,努力构建一套符合实际、业务规范、控制合理、管理有效的内部控制体系。
2.不同的企业应如何把握好内部控制实施工作的进度和重点?
答:对于即将启动或刚刚启动内部控制实施工作的上市公司、国有企业和集团企业,应按照相关业务主管部门、监管部门等的要求加快推动,并根据企业实际全面实施;对于已经在部分下属分公司和子公司建立了较为完善的内部控制体系的企业,应当总结和借鉴已经开展内部控制建设的分公司和子公司的经验和做法,将其推广至全公司范围;对于已经在全公司范围内建立起覆盖全过程、各层级内部控制体系的企业,应将工作重心放在内部控制的持续改进上,充分运用内部控制自我评价的方法和手段,按照有关要求对实施情况进行常规、持续的监督检查,查找实施中的缺陷与不足,促进内部控制的持续改进和不断优化。
对于非上市的企业或企业集团,应从实际情况出发,根据下属公司的经营性质、业务规模等特点制定切实可行的内部控制实施方案,分类分步推进,全面启动内部控制建设与实施工作。企业集团也可以根据业务板块、管理特点等,先在部分企业建立起较为完善的内部控制体系,再逐步建立覆盖企业集团的内部控制体系,体现集团管控的要求。
3.企业应如何改善内部控制专业人才缺乏的状况?
答:为解决企业内部控制专业人才紧缺状况,企业可以抽调财会、审计和生产管理等业务骨干开展内部控制管理工作,同时应当有计划地培养内部控制专业人才。一是通过参加政府部门、中介机构、企业内部举办的培训学习等,促使内控人员掌握相关知识;二是让从事内部控制的专业人员,在工作实践中不断探索学习,以内部控制基础理论、基本规范及配套指引为指针,借鉴其他企业的经验,结合实际,自我学习、自我积累,探索创新,不断提升个人的业务能力和企业的内控管理水平;三是在聘请中介机构开展内部控制咨询、审计服务时,充分利用中介机构的专业力量,通过业务沟通交流和参与实际运作来锻炼培养企业专业人才队伍。
企业领导要高度重视内部控制专业人才队伍建设,在强调全员参与内部控制的基础上,采取多种措施,建立激励机制,鼓励从事内部控制的专业人员岗位成才。对于为企业内部控制建设做出贡献的专业人员应当给予奖励,以调动内部控制专业人才队伍的工作积极性。
4.集团性企业应如何确定内部控制评价的范围?
答:集团性企业在确认内部控制评价范围时,应当遵循全面性、重要性、客观性原则,在对集团总部及下属不同业务类型、不同规模的企业进行全面、客观评价的基础上,关注重要业务单位、重大事项和高风险业务。
重要业务单位一般以资产、收入、利润等作为判定标准。包括集团总部、资产占合并资产总额比例较高的分公司和子公司,营业收入占合并营业收入比例较高的分公司和子公司以及利润占合并利润比例较高的分公司和子公司等。
重大事项一般是指重大投资决策项目,兼并重组、资产调整、产权转让项目,期权、期货等金融衍生业务,融资、担保项目,重大的生产经营安排,重要设备和技术引进,采购大宗物资和购买服务,重大工程建设项目,预算内大额度资金调动和使用,以及其他大额度资金运作事项等。
高风险业务一般是指经过风险评估后确定为较高或高风险的业务,也包括特殊行业及特殊业务,国家法律、法规有特殊管制或监管要求的业务等。
5.企业在选择中介机构协助开展内部控制体系建设与实施工作时,应重点考虑哪些因素?
答:企业建设与实施内部控制,应当按照基本规范及配套指引的要求,原则上要立足于行业特点和企业实际,倡导自上而下、自主开展内部控制建设与实施工作。
如果企业确有需要选择中介机构协助开展工作,可重点考虑以下几个因素:一是中介机构的专业性,如内控咨询团队的专业知识及项目管理经验等;二是服务内容与企业需求的匹配程度,如实施方案是否符合企业实际情况等;三是团队的配置水平,如人员数量是否适当、团队的整体知识结构、过去的成功案例情况及客户评价等;四是服务报价合理性等,企业对收费明显偏离合理性的中介机构,应防范服务质量风险。
企业在聘请中介机构协助开展内部控制体系建设与实施工作中,应当采取有效的方式保护企业核心商业秘密和国家机密,防范泄密风险。
6.企业应采用何种组织形式开展内部控制评价工作?
答:内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。同时也是企业内部涉及业务面广、专业性强的工作,包括日常检查评价和专项检查评价。
企业可以授权内部审计机构具体实施内部控制有效性的定期评价工作。由于内部审计机构在企业内部处于相对独立的地位,该机构的工作内容、性质和人员的业务专长与内部控制评价工作有着密切的关联,因此内部审计机构可以负责内部控制评价的具体实施工作。
成立了专门的内部控制机构的企业,由内部控制机构负责组织协调内部控制的建立实施及日常管理工作,其工作直接向董事会或类似权力机构负责。企业的内部控制机构可以组织实施内部控制评价工作。内部控制机构可以组织审计、财务、生产管理等专业人员,对内部控制全面或某一方面进行日常和专项检查评价,也可以对认定的重大风险进行专项监督,定期出具内部控制评价报告,报董事会或类似权力机构审核。
企业也可以根据自身特点,成立内部控制评价工作的非常设机构,比如,抽调内部审计、内部控制等相关机构的人员组成内部控制评价小组,具体组织实施内部控制评价工作。此外,企业可以委托中介机构实施内部控制评价。
7.企业应如何对待内部控制评价中发现的缺陷?
答:内部控制缺陷按照成因分为设计缺陷和运行缺陷。对于设计缺陷,应从企业内部的管理制度入手查找原因,需要更新、调整、废止的制度要及时进行处理,并同时改进内部控制体系的设计,弥补设计缺陷的漏洞。对于运行缺陷,则应分析出现的原因,查清责任人,并有针对性地进行整改。
内部控制缺陷按照影响程度分为重大缺陷、重要缺陷和一般缺陷。对于重大缺陷,应当由董事会予以最终认定,企业要及时采取应对策略,切实将风险控制在可承受度之内。对于重要缺陷和一般缺陷,企业应当及时采取措施,避免发生损失。
企业应当编制内部控制缺陷认定汇总表,结合实际情况对内部控制缺陷的成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见和改进建议,确保整改到位,并以适当形式向董事会、监事会或者经理层报告。
对于因内部控制缺陷造成经济损失的,企业应当查明原因,追究相关部门和人员的责任。
8.如果会计师事务所将其内部控制咨询业务和内部控制审计业务进行分离后,是否可以为同一企业提供内部控制审计和咨询服务?
答:基本规范及配套指引的发布实施,拓宽了会计师事务所的业务领域。随着2012年国内主板上市公司分类分批实施,内部控制咨询、内部控制评价、内部控制审计的需求会很大。当前,我国会计师事务所在内部控制咨询和内部控制审计方面的专业人才和技术力量有限。据了解,很多会计师事务所为了执行基本规范第十条的规定,主动开展了内部体制机制整合。
会计师事务所在受聘为企业提供有关内部控制咨询或审计服务时,应坚持独立性原则,严格遵守《中国注册会计师职业道德守则》要求,不得与具有网络关系的中介机构同时为同一企业提
供内部控制咨询和审计服务。
有的会计师事务所采取内部隔离方式,即在内部成立咨询部门和审计部门,两个部门之间相互独立,人员不交叉使用,在形式上建立了内部的“防火墙”。这种方式难以有效地将内部控制咨询和内部控制审计业务进行分离,不符合独立性要求。
也有会计师事务所新设立了具有法人资格的咨询机构,如果新设立的咨询机构与原事务所构成网络关系,则违反独立性原则,也不能同时为同一家企业提供内控咨询和审计服务。
9.注册会计师在开展内部控制审计时应如何安排时间?
答:按照配套指引中《企业内部控制审计指引》的要求,注册会计师在确定测试的时间安排时,应当尽量在接近企业内部控制自我评价基准日实施测试,实施的测试需要涵盖足够长的时间。企业应按照要求及时委托会计师事务所开展内部控制审计业务,保证按期对外披露或报送内部控制审计报告。首次进行内部控制审计时,企业和注册会计师应当在当期会计的上半年即开始准备该的内部控制审计工作,从而保证整改后的控制运行有足够长的时间。对于认定为缺陷的业务,如果企业在基准日前对其进行了整改,但整改后的业务控制尚没有运行足够长的时间,注册会计师应当将其认定为内部控制在审计基准日存在缺陷。注册会计师在接受或开展内部控制审计业务时,应当尽早与企业沟通内部控制审计计划,并合理安排内部控制测试的时间。在连续进行内部控制审计的过程中,注册会计师应当考虑以前执行内部控制审计时所了解的情况以及当年企业发生的相关变化,在此基础上确定适当的内部控制审计工作方案和时间安排。
10.与大、中型企业相比,小型企业在实施内部控制时应有哪些特殊的考虑?
答:小型企业通常是指具有业务比较单
一、所有权和管理权集中、管理层级较少、部门设置简单等特征的企业。小型企业根据基本规范及配套指引实施内部控制时,在保证有效性的基础上,可结合企业特点进行适当调整。
小型企业的管理层级一般较少,所有权、决策权和管理权较为集中,治理层通常密切参与公司日常经营及管理活动,使企业的控制力和执行力得到了提高,但也容易导致决策失误或舞弊风险,因此要提高董事会的集体决策能力,加强企业决策过程的控制。
小型企业应明确内部控制目标,准确评估经营风险,建立健全各项制度,将决策过程和各项业务流程制度化、规范化;明确不同层级部门和人员的权限和职责,强化岗位制衡,做到适度授权和分权;重点关注与企业资金、资产、资本、财务报告等关键业务有关的风险的控制。
小型企业应提高财务、会计和审计人员的素质,培养和聘用内部控制专业人才,加强对财务会计工作和财务报告的重视程度。小型企业的机构设置简单,管理资源易于整合,可以根据企业所面临的主要风险和相关控制的效果,适当简化内部控制体系建设,灵活设计、选择控制流程和控制活动,达到有效控制风险和防范舞弊的目的。
基于效率的考虑,小型企业应当提高信息技术的应用,结合业务风险和信息系统风险评估,加强信息系统控制的应用,采取手工控制与自动控制相结合的方式,将风险控制在可承受度之内。小型企业应建立健全内部控制的监督机制,持续监控和定期评价内部控制的有效性,尤其要对会计信息、资金运转、资产安全、采购及销售等方面加强监控,及时发现和纠正缺陷,确保内部控制在企业不同成长阶段、不同环境下的持续有效改进。
第三篇:企业内部控制规范体系实施中相关问题——解释第1号
企业内部控制规范体系实施中相关问题——解释第1号
(一)主讲老师:王小强
一、内控规范体系的强制性与指导性
1.如何把握企业内部控制规范体系的强制性与指导性的关系?
在实施试点中,一些企业反映,《企业内部控制基本规范》及其配套指引的规定是否需要逐条执行。
为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,根据国家有关法律法规,财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》,现予印发,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。
第二条 本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。
——财会[2008]7号
自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。请各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。
执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。上市公司聘请的会计师事务所应当具有证券、期货业务资格;非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。
——财会[2010]11号
答:在实施试点中,一些企业反映,《企业内部控制基本规范》及其配套指引的规定是否需要逐条执行。
《企业内部控制基本规范》是内部控制建设与实施应该遵循的基本原则和总体要求,具有强制性,纳入实施范围的企业应当遵照执行。《企业内部控制配套指引》(财会[2010]11号,包括18个应用指引、1个评价指引和1个审计指引)是对《企业内部控制基本规范》相关规定的进一步补充和说明,具有指导性和示范性,纳入实施范围的企业可以结合所在行业要求和企业自身特点,参照配套指引的规定开展内部控制建设与实施工作。
5.对于《企业内部控制配套指引》尚未规范的领域,应如何处理?
答:由于企业所面临的客观环境和自身的经营管理活动比较复杂,目前的《企业内部控制配套指引》仅对企业常见的、一般性生产经营过程的主要方面和环节进行了规范。在建设与实施内部控制的过程中,对于《企业内部控制配套指引》尚未规范的业务领域,企业应当遵循《企业内部控制基本规范》的原则和要求,按照内部控制建设与实施的基本原理和一般方法,从企业经营目标出发,识别和评估相关风险,梳理关键业务流程,根据风险评估的结果,制定和执行相应控制措施。《企业内部控制基本规范》的原则和要求,按照内部控制建设与实施的基本原理和一般方法,从企业经营目标出发,识别和评估相关风险,梳理关键业务流程,根据风险评估的结果,制定和执行相应控制措施
生产管理 经营目标:
(1)生产经营活动符合国家有关法律、法规和公司内部规章制度。
(2)生产计划等均得到适当的授权审批,符合公司的实际生产能力和发展需求。
(3)生产过程管理严格规范,及时协调解决生产过程中出现的各种问题,保证生产经营活动安全、稳定。(4)验收手续完备、程序规范,确保产品质量符合行业标准、公司规定。相关风险:(1)生产经营活动违反国家有关法律、法规,导致政府管理部门的处罚;违反公司内部规章制度,造成经济损失。(2)生产计划未得到授权批准或随意变更,造成资源浪费。
(3)生产过程管理不严格、协调不当或随意更改产品工艺,造成产品不合格、产成品不符合客户的配置要求,从而给公司造成极大的人力、物料浪费和资金损失。
(4)验收程序不规范、标准不明确,可能导致不合格产品流向市场,影响企业的长期发展。
二、内控规范体系与其他规范体系的协调
2.已经完全按照境外监管机构要求建设与实施内部控制的境内外同时上市的公司,是否需要执行我国的企业内部控制规范体系?
2004年11月,香港联合交易所颁布了《企业管制常规守则》,要求香港上市公司须健全有效的内部控制制度,也规定董事必须至少每年审查其内部控制制度的有效性,审查内容应覆盖公司内部所有重大的控制,可以包括财务、业务和合法合规以风险管理职能等方面。
——《企业管制常规守则》
2005年6月,香港会计师公会(HKCPA)受香港联交所之邀,发布了《内部监控与风险管理指引》。在基本层面上,该指引强调,有效监控的首要条件,是公司必须确保拥有清晰的、经董事会同意且高级管理层及雇员清楚了解的目标。其次,公司应对可能妨碍其达致目标的风险进行识别、评估及按优先次序排列,然后制定程序,进行有效管理。最后,鉴于经营情况不断改变,必须对内部监控系统进行持续的监察和检查修正。香港会计师公会还特别强调,加强企业管治不单是执行法规,也是为了树立及培养道德规范和健康的企业文化。设立完善的内部监控系统与评估其有效性,并非只是为了遵守不必要和繁复的监管规定,而是要实施有效的机制以帮助公司实现其企业目标,以满足股东和其他利益相关者的期望。
——《内部监控与风险管理指引》
302条款:强调上市公司财务报告的真实性,上市公司的首席执行官和首席财务官在其和中期财务报表中必须签名并认证,其财务报表完全符合萨班斯法案中有关规定,并不含有任何不真实的并导致其财务报表误导公众的重大错误或遗漏。
404条款:要求公司管理层和外部审计师,每年在年报中就在美上市公司与财务报告相关的内部控制分别做出评价和报告。根据该条款的要求,在美上市企业要依据一个恰当且被广泛接受的内部控制理论框架,来评估公司财务报告内部控制的有效性。在美国,被推荐使用的理论框架就是COSO框架。
906条款:首席执行官和首席财务官在明知公司申报的包括财务报表在内的定期报告有不真实的财务信息的情况下仍签署书面声明,将被处以可高达100万美元罚款和上至10年的监禁;如果属于“有意欺诈”性质,提供虚假财务报告,将被处以可高达500万美元罚款和上至20年的监禁。
——《萨班斯法案》
1998年1月,英国财务报告理事会(FRC)、伦敦股票交易所(LSE)、英国工业联合会(CBI)、英国企业董事协会(IOD)、会计团体咨询委员会(CCAB)、全英养老金协会(NAPF)、英国保险学会(ABI)等机构,以伦敦股票交易所的名义发布了一部旨在规范公司治理的法规,即“综合准则”(the combined code),其中有三条规定明确提出所有上市公司要建立健全内部控制:一是公司董事会负责建立健全一套完整的企业内部控制制度,以保护投资者的投资和公司的资产;二是董事会负责每年检查和评价一次内部控制制度的有效性,并向股东报告,内控系统的检查范围应涵盖所有控制,包括财务、运营、合规、风险等方面;三是没有设立内部审计职能的公司应随时评估公司各方面对内部审计工作的需求。
此外,伦敦股票交易所的“上市规则”(the listing rule)中对披露内部控制情况做了如下规定:上市公司在年报中要报告执行内部控制制度的情况,如果没有建立健全内部控制或部分建立了内部控制,要说明详细原因。
——公司治理综合准则
2005年,新加坡财政部发布修订后的《公司监管守则》,其中要求董事会的职责包括“建立谨慎及有效地控制系统评估与管制风险”。
——公司监管守则
答:目前,许多国家和地区对公众公司内部控制都有相关的规定和要求。我国企业内部控制规范体系在充分借鉴国际上先进经验和做法的同时,更多地适应了我国国情,尤其是充分考虑了我国目前法律法规体系、公司治理结构、企业管理体制、风险管控实务等具体情况,提出了内部控制的目标、原则、要素等,且不局限于财务报告内部控制,更多突出全面内部控制的要求。因此,境内外同时上市的公司应当在满足境外监管机构要求的基础上,对照我国企业内部控制规范体系,特别是应当围绕《企业内部控制基本规范》提出的内部控制五目标,对相关控制措施进行适当调整或补充完善。
3.企业按照企业内部控制规范体系建设与实施内部控制,是否还需要遵守我国行业主管部门和市场监管部门对内部控制的有关要求?
答:《企业内部控制基本规范》及其配套指引是对不同行业、各类企业提出的一般性要求,具有普适性。行业主管或监管部门对所辖企业的内部控制管理规定,是不同行业内部控制的特殊要求,也是《企业内部控制基本规范》的重要补充。企业应当按照《企业内部控制基本规范》及其配套指引规定和行业管理、市场监管的要求,建设与实施内部控制。
4.如何协调好内部控制与风险管理的关系?
全面风险管理主要应用于企业管理领域,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
——《中央企业全面风险管理指引》
按COSO框架,两者的联系为:
(1)全面风险管理涵盖了内部控制。COSO框架中明确地指出全面风险管理体系框架包括内控,将之作为一个子系统。
(2)内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。同时,维持充分的内控系统也是许多法律法规的合规要求。因此,满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。
内部控制与全面风险管理的差异为:
(1)两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标,而全面风险管理则贯穿于管理过程的各个方面,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。
(2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。
(3)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的目标。这些内容都是现行的内部控制框架所不能做到的。
从发展趋势来看,随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。
答:《企业内部控制基本规范》及其配套指引,充分吸收了全面风险管理的理念和方法,强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险,促进企业实现发展战略,风险管理的目标也是促进企业实现发展战略,二者都要求将风险控制在可承受范围之内。因此,内部控制与风险管理二者不是对立的,而是协调统一的整体。
在实际工作中,一些企业的内部控制和风险管理工作由不同机构负责。对此,企业可以对有关机构和业务进行整合,从工作内容、目标、要求以及具体工作执行的方法、程序等方面,将内部控制建设和风险管理工作有机结合起来,避免职能交叉、资源浪费、重复劳动,降低企业管理成本,提高工作效率和效果。
7.如何协调好内部控制与其他管理体系的关系?
答:内部控制贯穿于整个企业管理,与其他管理体系相辅相成、密不可分,是企业管理的重要组成部分。企业现有管理体系的设计、运行以及审核认证需要遵循已经发布的国家标准或行业标准。这些标准与企业内部控制规范体系的原则和要求并不矛盾。
目标方面
联系:都为了防范经营风险,都是经营管理体系的重要组成部分。
区别:ISO体系关注质量领域,从维护客户的利益出发来思考问题,防范质量信息欺诈现象的发生;内控规范关注与资产、资金流以及物流直接相关的过程,是从维护股东的利益出发来实施管控,尤其是财务报告数据的真实性和公允性,防范财务信息欺诈的发生。
人力资源方面
联系:两者都涉及人力资源管理
区别:ISO体系原则性的提出了能力管理、培训要求、员工激励、员工满意度测量、离职调查分析等等;而内控规范所涉及的规定则更具体全面,涉及人力资源管理的各个方面流程的要求。
采购方面
联系:对于供应商的评价选择、合同控制、验收控制则是两者都包含。
区别:ISO体系对采购计划、合同审批、事后付款条件审核、采购不相容岗位分享、定期轮岗等方面没有明确要求。
管控要点方面
联系:ISO体系与内控规范在销售、采购、存货、合同等过程有重叠。区别:ISO体系无涉及财务方面的规定,内控规范关注与资金流直接相关的资金管理、筹资投资管理、成本费用等;
答:在实际工作中,个别企业的内部控制体系建设与管理体系运行发生冲突,原因可能是企业采用的方式方法出现了偏差,如简单照搬内部控制应用指引的规定,没有考虑企业的实际情况,为控制而控制,导致控制设计不合理,出现控制过度或控制冗余;也可能是企业经营管理部门对内部控制的重要性认识不足,不愿意受到更多的牵制和监督,从而以影响经营效率和目标为借口,拒绝必要的内部控制;等等。
对此,企业应当立足管理现状,全面梳理各项管理制度和管理体系,从管理体制、机制以及落实各级权利责任等方面,将内部控制的要求融入各项管理体系中,形成内部控制的长效机制,使内部控制真正为经营管理服务;应当从总体目标出发,通过培训教育提高企业经营管理人员对内部控制的理解和认识,将内部控制的要求纳入绩效考核体系以加强执行;可以利用信息技术固化业务流程,提高业务处理效率和信息共享水平,从而尽可能减少内部控制与其他经营管理体系的冲突。
三、有关内控规范体系建设的成本效益原则 6.如何权衡内部控制的实施成本与预期效益?
答:企业按照《企业内部控制基本规范》及其配套指引的要求建设与实施内部控制,必然需要支付一定的成本,可能会发生内部控制制度和流程的设计与实施费用、聘请专业机构提供咨询服务费用、建立融入内部控制要求的信息系统费用、聘请会计师事务所开展内部控制审计费用,等等。建设与实施内部控制应当从提高企业长期效益出发,从促进企业可持续发展出发,将内部控制作为一项常规性工作,贯穿于企业管理之中,加大投入。同时,应当按照重要性原则,关注重要业务事项和高风险领域,抓住关键风险控制点。集团性企业可以采取分类试点、逐步推广的方式,选择下属不同类型的企业试点,形成范本,减少重复建设。聘请会计师事务所开展内部控制审计是建设与实施内部控制的重要环节,是检验内部控制有效性的重要手段和有力保证。内部控制审计费用是企业实施内部控制规范体系应当承担的成本,企业应安排相应经费确保审计工作的及时、有效开展。内部控制审计是一项区别于财务报告审计的独立业务,企业应就该项业务与会计师事务所签订单独的业务约定书。同时,企业也应权衡审计成本与审计效益,在业务约定书中明确有关费用标准,并对会计师事务所审计资源的投入和审计质量提出明确要求。
四、有关内控的机构设置
9.实施《企业内部控制基本规范》及其配套指引的企业,是否需要设置专门的内部控制机构?
答:根据《企业内部控制基本规范》的规定,企业董事会负责内部控制的建立健全和有效实施。为便于董事会履行好企业内部控制规范体系的设计、建立、运行与改进方面的职责,董事会应当指定专门委员会负责指导内部控制建设与实施工作。一般情况下企业应当成立专门机构负责组织协调内部控制的建立实施及日常工作。
对于少数企业受制于岗位编制、专业人员等条件限制,目前尚不具备成立专门的内部控制管理机构的,可暂将内部控制管理职能划归现有机构。随着企业内部控制建设的持续深入和相关条件的不断成熟,企业应考虑成立专门机构,保证有足够的资源支持和协调内部控制工作的开展,确保内部控制工作的相对独立性。
五、有关内控评价
8.企业如何确定内部控制缺陷的认定标准?
答:查找并纠正企业内部控制设计和运行中的缺陷,是开展企业内部控制评价的一项重要工作,是不断完善企业内部控制的重要手段。由于企业所处行业、经营规模、发展阶段、风险偏好等存在差异,《企业内部控制基本规范》及其配套指引没有对内部控制缺陷的认定标准进行统一规定。企业可以根据《企业内部基本规范》及其配套指引,结合企业规模、行业特征、风险水平等因素,研究确定适合本企业的内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。企业确定的内部控制缺陷标准应当从定性和定量的角度综合考虑,并保持相对稳定。通过不断的实践,总结经验,形成一套行之有效的内部控制缺陷认定方法。
企业在开展内部控制监督检查中,对发现的内部控制缺陷,应当及时分析缺陷性质和产生原因,并提出整改方案,采取适当形式向董事会、监事会或者管理层报告。对于重大缺陷,企业应当在内部控制评价报告中进行披露。
财政部将会同证监会、审计署、银监会、保监会等有关部门,根据首次执行和试点情况,分行业、分类型总结企业的内部控制缺陷认定标准,供参考。67家公司中,13家上市公司未披露公司是否制定内控缺陷认定标准,54家公司以不同形式、不同程度披露了公司存在内控缺陷认定标准。在这54家公司中,有22家公司披露其制定了内控缺陷认定标准,但是没有详细描述内控缺陷认定标准的具体情况;有32家公司详细描述了公司内控缺陷认定标准,其中有27家公司披露了定量与定性相结合的内控缺陷认定标准,有3家公司披露了定性认定标准,有2家公司披露了定量认定标准。
(1)定量标准一般是以某一财务报表指标作为计算基础,以该指标的一定比例作为衡量重要与否的标准,如:营业收入潜在错报≥营业收入总额的0.5%、利润总额潜在错报≥利润总额的5%、所有者权益潜在错报≥所有者权益总额的0.5%等等。
(2)定性标准:如:董事、监事和高级管理人员舞弊;注册会计师发现当期财务报告存在重大错报而内部控制在运行过程中未能发现该错报;审计委员会和内部审计机构对内部控制的监督无效;重要业务缺乏制度控制或制度系统性失效;重要职权和岗位分工中没有体现不相容职务相分离的要求;企业战略、投资、募集资金等重大决策、重大事项、重大人事任免及大额资金的管理程度不科学并造成严重损失;以前评价过程中曾经有过舞弊或错误导致重大错报的经历,公司没有在合理的时间内改正所发现的重大缺陷和重要缺陷;等
10.如何编制和披露企业内部控制评价报告?
企业内部控制评价是企业董事会对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。开展内部控制评价,可以及时发现和纠正企业内部控制建设与实施中存在的问题,并持续自我完善。企业可以独立开展内部控制评价工作,也可以委托不承担本企业内部控制审计的中介机构协助开展内部控制评价工作。
根据《企业内部控制基本规范》、《企业内部控制评价指引》的要求,我们制定了企业内部控制评价报告的格式,供企业编制评价报告时参考,企业也可以根据实际情况对具体的报告方式作适当调整,但有关内容原则上应体现在报告中。
有关内控评价
XX公司20xx内部控制评价报告 引言
一、董事会声明
二、内部控制评价工作的总体情况
三、内部控制评价的范围
四、内部控制评价的程序和方法
五、内部控制缺陷及其认定
六、内部控制缺陷的整改情况
七、内部控制有效性的结论
第四篇:企业内部控制规范体系实施中相关问题解释第2号
财政部
关于印发企业内部控制规范体系实施中
相关问题解释第2号的通知
财会〔2012〕18号
中共中央直属机关事务管理局,铁道部、国务院机关事务管理局,解放军总后勤部、武警部队后勤部,各省、自治区、直辖市、计划单列市财政厅(局),新疆生产建设兵团财务局,各中央管理企业、上市公司:
《企业内部控制基本规范》(财会〔2008〕7号)和《企业内部控制配套指引》(财会〔2010〕11号)已于2011年在境内外同时上市的公司平稳实施。对实施中出现的问题,2012年2月我部会同相关部门通过印发《企业内部控制规范体系实施中相关问题解释第1号》(财会〔2012〕3号)加以明确,对推动企业内部控制规范体系有效实施发挥了积极的作用。随着境内主板上市公司2012年正式实施内部控制规范体系,也出现了一些新情况、新问题,如内控组织实施、内控实施的进度与重点、内控人才队伍培养、小型企业内控建设等,需要研究解决。为此,我部会同证监会、审计署、银监会、保监会、国资委,对这些新情况、新问题进行了认真研究,并征求了有关上市公司、咨询机构和有关部门的意见,形成了《企业内部控制规范体系实施中相关问题解释第2号》。经会签证监会、审计署、银监会、保监会、国资委,现予印发。
附件:企业内部控制规范体系实施中相关问题解释第2号
财政部
2012年9月24日
—1— 附件
企业内部控制规范体系实施中相关问题解释第2号
企业内部控制规范体系正式实施一年多来,总体平稳,但在具体实施过程中,部分企业还存在理解认识上的不到位和实际执行上的偏差。为了稳步推进企业内部控制规范体系贯彻实施,经研究,现就有关问题解释如下:
1.企业应如何正确把握内部控制的组织实施工作?
答:企业在开始实施内部控制时,应当按照《企业内部控制基本规范》(财会〔2008〕7号)(以下简称基本规范)确定的内部控制目标、要素、原则和具体要求开展工作,强化组织领导,夯实内部控制基础。董事会负责内部控制的建立健全和有效实施,监事会对董事会建立与实施内部控制进行监督,经理层负责组织领导企业内部控制的日常运行,全体员工广泛参与内部控制的具体实施。企业的内部控制部门应结合实际,制定内部控制体系建设的分阶段目标,围绕内部控制的五个要素扎实开展工作,深入宣传、认真执行、严格监督、严肃考核,保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,规避生产经营风险。随着实施工作的不断深入,企业应当加强内部控制全员、全面、全过程管理,进一步推动管理创新,不断提升管理水平,有效防控经营风险,保证实现价值目标,最终促进企业实现发展战略。
企业应当结合所在行业要求和自身特点,按照基本规范的要求,参照《企业内部控制配套指引》(财会〔2010〕11号)(以下简称配套指引)的规定开展内部控制实施工作。目前配套指引针对企业一般性的业务和重点环节制定了原则性的要求,未涵盖行业特点突出的具体业务。在实施过程中,企业应当全面执行基本规范,以配套指引为参
—2— 考,结合行业管理要求,从自身经营管理的实际出发,识别和评估相关风险,加强对关键和重点业务的控制,保持信息沟通的顺畅,对实施效果做好监督评价,努力构建一套符合实际、业务规范、控制合理、管理有效的内部控制体系。
2.不同的企业应如何把握好内部控制实施工作的进度和重点?
答:对于即将启动或刚刚启动内部控制实施工作的上市公司、国有企业和集团企业,应按照相关业务主管部门、监管部门等的要求加快推动,并根据企业实际全面实施;对于已经在部分下属分公司和子公司建立了较为完善的内部控制体系的企业,应当总结和借鉴已经开展内部控制建设的分公司和子公司的经验和做法,将其推广至全公司范围;对于已经在全公司范围内建立起覆盖全过程、各层级内部控制体系的企业,应将工作重心放在内部控制的持续改进上,充分运用内部控制自我评价的方法和手段,按照有关要求对实施情况进行常规、持续的监督检查,查找实施中的缺陷与不足,促进内部控制的持续改进和不断优化。
对于非上市的企业或企业集团,应从实际情况出发,根据下属公司的经营性质、业务规模等特点制定切实可行的内部控制实施方案,分类分步推进,全面启动内部控制建设与实施工作。企业集团也可以根据业务板块、管理特点等,先在部分企业建立起较为完善的内部控制体系,再逐步建立覆盖企业集团的内部控制体系,体现集团管控的要求。
3.企业应如何改善内部控制专业人才缺乏的状况?
答:为解决企业内部控制专业人才紧缺状况,企业可以抽调财会、审计和生产管理等业务骨干开展内部控制管理工作,同时应当有计划地培养内部控制专业人才。一是通过参加政府部门、中介机构、企业内部举办的培训学习等,促使内控人员掌握相关知识;二是让从事内部控制的专业人员,在工作实践中不断探索学习,以内部控制基础理论、基本规范及配套指引为指针,借鉴其他企业的经验,结合实际,—3— 自我学习、自我积累,探索创新,不断提升个人的业务能力和企业的内控管理水平;三是在聘请中介机构开展内部控制咨询、审计服务时,充分利用中介机构的专业力量,通过业务沟通交流和参与实际运作来锻炼培养企业专业人才队伍。
企业领导要高度重视内部控制专业人才队伍建设,在强调全员参与内部控制的基础上,采取多种措施,建立激励机制,鼓励从事内部控制的专业人员岗位成才。对于为企业内部控制建设做出贡献的专业人员应当给予奖励,以调动内部控制专业人才队伍的工作积极性。
4.集团性企业应如何确定内部控制评价的范围?
答:集团性企业在确认内部控制评价范围时,应当遵循全面性、重要性、客观性原则,在对集团总部及下属不同业务类型、不同规模的企业进行全面、客观评价的基础上,关注重要业务单位、重大事项和高风险业务。
重要业务单位一般以资产、收入、利润等作为判定标准。包括集团总部、资产占合并资产总额比例较高的分公司和子公司,营业收入占合并营业收入比例较高的分公司和子公司以及利润占合并利润比例较高的分公司和子公司等。
重大事项一般是指重大投资决策项目,兼并重组、资产调整、产权转让项目,期权、期货等金融衍生业务,融资、担保项目,重大的生产经营安排,重要设备和技术引进,采购大宗物资和购买服务,重大工程建设项目,预算内大额度资金调动和使用,以及其他大额度资金运作事项等。
高风险业务一般是指经过风险评估后确定为较高或高风险的业务,也包括特殊行业及特殊业务,国家法律、法规有特殊管制或监管要求的业务等。
5.企业在选择中介机构协助开展内部控制体系建设与实施工作时,应重点考虑哪些因素?
答:企业建设与实施内部控制,应当按照基本规范及配套指引的
—4— 要求,原则上要立足于行业特点和企业实际,倡导自上而下、自主开展内部控制建设与实施工作。
如果企业确有需要选择中介机构协助开展工作,可重点考虑以下几个因素:一是中介机构的专业性,如内控咨询团队的专业知识及项目管理经验等;二是服务内容与企业需求的匹配程度,如实施方案是否符合企业实际情况等;三是团队的配臵水平,如人员数量是否适当、团队的整体知识结构、过去的成功案例情况及客户评价等;四是服务报价合理性等,企业对收费明显偏离合理性的中介机构,应防范服务质量风险。
企业在聘请中介机构协助开展内部控制体系建设与实施工作中,应当采取有效的方式保护企业核心商业秘密和国家机密,防范泄密风险。
6.企业应采用何种组织形式开展内部控制评价工作?
答:内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。同时也是企业内部涉及业务面广、专业性强的工作,包括日常检查评价和专项检查评价。
企业可以授权内部审计机构具体实施内部控制有效性的定期评价工作。由于内部审计机构在企业内部处于相对独立的地位,该机构的工作内容、性质和人员的业务专长与内部控制评价工作有着密切的关联,因此内部审计机构可以负责内部控制评价的具体实施工作。
成立了专门的内部控制机构的企业,由内部控制机构负责组织协调内部控制的建立实施及日常管理工作,其工作直接向董事会或类似权力机构负责。企业的内部控制机构可以组织实施内部控制评价工作。内部控制机构可以组织审计、财务、生产管理等专业人员,对内部控制全面或某一方面进行日常和专项检查评价,也可以对认定的重大风险进行专项监督,定期出具内部控制评价报告,报董事会或类似权力机构审核。
—5—
企业也可以根据自身特点,成立内部控制评价工作的非常设机构,比如,抽调内部审计、内部控制等相关机构的人员组成内部控制评价小组,具体组织实施内部控制评价工作。
此外,企业可以委托中介机构实施内部控制评价。
7.企业应如何对待内部控制评价中发现的缺陷?
答:内部控制缺陷按照成因分为设计缺陷和运行缺陷。对于设计缺陷,应从企业内部的管理制度入手查找原因,需要更新、调整、废止的制度要及时进行处理,并同时改进内部控制体系的设计,弥补设计缺陷的漏洞。对于运行缺陷,则应分析出现的原因,查清责任人,并有针对性地进行整改。
内部控制缺陷按照影响程度分为重大缺陷、重要缺陷和一般缺陷。对于重大缺陷,应当由董事会予以最终认定,企业要及时采取应对策略,切实将风险控制在可承受度之内。对于重要缺陷和一般缺陷,企业应当及时采取措施,避免发生损失。
企业应当编制内部控制缺陷认定汇总表,结合实际情况对内部控制缺陷的成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见和改进建议,确保整改到位,并以适当形式向董事会、监事会或者经理层报告。
对于因内部控制缺陷造成经济损失的,企业应当查明原因,追究相关部门和人员的责任。
8.如果会计师事务所将其内部控制咨询业务和内部控制审计业务进行分离后,是否可以为同一企业提供内部控制审计和咨询服务?
答:基本规范及配套指引的发布实施,拓宽了会计师事务所的业务领域。随着2012年国内主板上市公司分类分批实施,内部控制咨询、内部控制评价、内部控制审计的需求会很大。当前,我国会计师事务所在内部控制咨询和内部控制审计方面的专业人才和技术力量有限。据了解,很多会计师事务所为了执行基本规范第十条的规定,主动开展了内部体制机制整合。
—6—
会计师事务所在受聘为企业提供有关内部控制咨询或审计服务时,应坚持独立性原则,严格遵守《中国注册会计师职业道德守则》要求,不得与具有网络关系的中介机构同时为同一企业提供内部控制咨询和审计服务。
有的会计师事务所采取内部隔离方式,即在内部成立咨询部门和审计部门,两个部门之间相互独立,人员不交叉使用,在形式上建立了内部的“防火墙”。这种方式难以有效地将内部控制咨询和内部控制审计业务进行分离,不符合独立性要求。
也有会计师事务所新设立了具有法人资格的咨询机构,如果新设立的咨询机构与原事务所构成网络关系,则违反独立性原则,也不能同时为同一家企业提供内控咨询和审计服务。
9.注册会计师在开展内部控制审计时应如何安排时间?
答:按照配套指引中《企业内部控制审计指引》的要求,注册会计师在确定测试的时间安排时,应当尽量在接近企业内部控制自我评价基准日实施测试,实施的测试需要涵盖足够长的时间。
企业应按照要求及时委托会计师事务所开展内部控制审计业务,保证按期对外披露或报送内部控制审计报告。首次进行内部控制审计时,企业和注册会计师应当在当期会计的上半年即开始准备该的内部控制审计工作,从而保证整改后的控制运行有足够长的时间。对于认定为缺陷的业务,如果企业在基准日前对其进行了整改,但整改后的业务控制尚没有运行足够长的时间,注册会计师应当将其认定为内部控制在审计基准日存在缺陷。注册会计师在接受或开展内部控制审计业务时,应当尽早与企业沟通内部控制审计计划,并合理安排内部控制测试的时间。
在连续进行内部控制审计的过程中,注册会计师应当考虑以前执行内部控制审计时所了解的情况以及当年企业发生的相关变化,在此基础上确定适当的内部控制审计工作方案和时间安排。
10.与大、中型企业相比,小型企业在实施内部控制时应有哪些特
—7— 殊的考虑?
答:小型企业通常是指具有业务比较单
一、所有权和管理权集中、管理层级较少、部门设臵简单等特征的企业。小型企业根据基本规范及配套指引实施内部控制时,在保证有效性的基础上,可结合企业特点进行适当调整。
小型企业的管理层级一般较少,所有权、决策权和管理权较为集中,治理层通常密切参与公司日常经营及管理活动,使企业的控制力和执行力得到了提高,但也容易导致决策失误或舞弊风险,因此要提高董事会的集体决策能力,加强企业决策过程的控制。
小型企业应明确内部控制目标,准确评估经营风险,建立健全各项制度,将决策过程和各项业务流程制度化、规范化;明确不同层级部门和人员的权限和职责,强化岗位制衡,做到适度授权和分权;重点关注与企业资金、资产、资本、财务报告等关键业务有关的风险的控制。
小型企业应提高财务、会计和审计人员的素质,培养和聘用内部控制专业人才,加强对财务会计工作和财务报告的重视程度。小型企业的机构设臵简单,管理资源易于整合,可以根据企业所面临的主要风险和相关控制的效果,适当简化内部控制体系建设,灵活设计、选择控制流程和控制活动,达到有效控制风险和防范舞弊的目的。
基于效率的考虑,小型企业应当提高信息技术的应用,结合业务风险和信息系统风险评估,加强信息系统控制的应用,采取手工控制与自动控制相结合的方式,将风险控制在可承受度之内。
小型企业应建立健全内部控制的监督机制,持续监控和定期评价内部控制的有效性,尤其要对会计信息、资金运转、资产安全、采购及销售等方面加强监控,及时发现和纠正缺陷,确保内部控制在企业不同成长阶段、不同环境下的持续有效改进。
—8—
第五篇:企业内部控制规范体系实施中相关问题解释第1号、第2号
企业内部控制规范相关问题解释
从七个方面解读
1.为什么建?
2.谁来建?
3.什么时候建?
4.在哪里建?
5.谁负责?
6.建什么?
7.如何建?
内容提要
1.行政事业单位内部控制建设的根本问题
2.《行政事业单位内控控制建设规范》解读
1.行政事业单位内控建设根本问题
——为什么要推行内控建设?
什么是内部控制? 财政部
2012年11月29日颁布
为什么行政事业单位要建设内控? 政策导向 1.深化改革
2.改革的前沿阵地也开始转向政治体制
为什么行政事业单位要建设内控?
深化政治体制改革的原因
“政治体制变革大大滞后于经济体制变革,带来严重的社会问题,影响中国现代化进程和融入世界文明主流,对国家有效治理和持续发展均不利。”
--摘自经济学家演讲稿
为什么行政事业单位要建设内控?
政治体制改革目标
建设服务型政府 与“为人民服务”
有何区别?
“深化行政体制改革,建设职能科学、结构优化、廉洁高效、人民满意的服务型政府。”
----十八大
什么是服务型政府?
“服务型政府是遵循社会本位和公民本位理念,在整个社会民主秩序的框架下,通过法定程序,以公正执法为标志,按着公民意志组建起来,以为人民服务为宗旨并承担责任的政府。服务型政府把为社会、为公众服务作为政府存在、运行和发展的基本宗旨。”
《中共中央关于全面深化改革若干重大问题的决定》
“
四、加快转变政府职能必须切实转变政府职能,深化行政体制改革,创新行政管理方式,增强政府公信力和执行力,建设法治政府和服务型政府。”
服务型政府建成的必要条件
思想转变推动行为转变,行为转变体现思想转变。服务型政府建成的必要条件 思想转变是根本!
1.理解政府权力的来源(委托代理关系)2.“政府行权本质是维护人民权益” 服务型政府建设的必要条件 行为转变
1.行政事业单位建设内部控制是行为转变起点。
2.从权利约束开始。
“把权利关进制度的笼子”
“制度管理而不是人治”
“弱化个人的影响力”
《中共中央关于全面深化改革若干重大问题的决定》
十、强化权力运行制约和监督体系
坚持用制度管权管事管人,让人民监督权力,让权力在阳光下运行,是把权力关进制度笼子的根本之策。必须构建决策科学、执行坚决、监督有力的权力运行体系,健全惩治和预防腐败体系,建设廉洁政治,努力实现干部清正、政府清廉、政治清明。”
我国行政事业单位行权状态
1.政府职能转变还不到位,对微观经济运行干预过多,社会管理和公共服务仍比较薄弱;
2.部门职责交叉、权责脱节和效率不高;
3.政府机构设置不尽合理;
4.行政运行和管理制度不够健全;
5.对行政权力的监督制约机制还不完善,滥用职权、以权谋私、贪污腐败等现象仍然存在。
----《关于深化行政管理体制改革的意见》
行政事业单位内控建设逻辑
1.服务型政府建设的内在需求
2.行政事业单位提高内部管理水平的需求
3.行政事业单位走群众路线的重要体现
4.廉政风险防控机制建设的需要
5.实现财政规范化科学化信息化需求
2.行政事业单位内控建设规范解读
推行内控规范的单位
审判机关
人大机关
行政机关
政协机关
党的机关
监察机关
各民主党派机关
人民团体
事业机关
WHO? 谁来负责
全体员工参与!
第六条 单位负责人对本单位内部控制的建立健全和有效实施负责。
WHEN? 何时推行?
时间点
1.2012年11月29日
事业单位内部控制基本规范.pdf
2.2014年1月1日
WHERE? 在哪里推行?
九类单位内部
第二条 本规范适用于各级党的机关、人大机关、行政机关、政协机关、审判机关、检察机关、各民主党派机关、人民团体和事业单位(以下统称单位)经济活动的内部控制。
WHAT? 建设什么?
为实现内部控制目标,建设内部控制体系。
具体体现为:
1.内控制度
2.实施措施
3.执行程序
HOW? 如何建设?
建设着眼点
第三条 本规范所称内部控制,是指单位为实现控制目标,通过制定制度、实施措施和执行程序,对经济活动的风险进行防范和管控。
内控建设目标
第四条 单位内部控制的目标主要包括:合理保证单位经济活动合法合规、资产安全和使用有效、财务信息真实完整,有效防范舞弊和预防腐败,提高公共服务的效率和效果。
内控建设目标图解
内控建设基本原则
1.全面性原则:贯穿
2.重要性原则:两个重
3.制衡性原则:牵制
4.适应性原则:个性化、动态化
内控建设重点
主要经济业务
第十一条
预算管理
收支管理
政府采购管理
资产管理
建设项目管理
合同管理
内控建设步骤
第七条 单位应当根据本规范建立适合本单位实际情况的内部控制体系,并组织实施。具体工作包括梳理单位各类经济活动的业务流程,明确业务环节,系统分析经济活动风险,确定风险点,选择风险应对策略,在此基础上根据国家有关规定建立健全单位各项内部管理制度并督促相关工作人员认真执行。
步骤一:梳理单位各类业务活动的业务流程
步骤二:明确业务环节
步骤三:系统分析经济活动风险
步骤四:确定风险点
步骤五:选择风险应对策略
步骤六:在此基础上根据国家有关规定建立健全单位各项内部管理制度
步骤七:督促相关人员认真执行
内控建设方法
第1种方法:不相容岗位相互分离。
合理设置内部控制关键岗位,明确划分职责权限,实施相应的分离措施,形成相互制约、相互监督的工作机制
第2种方法:内部授权审批控制。
明确各岗位办理业务和事项的权限范围、审批程序和相关责任,建立重大事项集体决策和会签制度。相关工作人员应当在授权范围内行使职权、办理业务。
第3种方法:归口管理。
根据本单位实际情况,按照权责对等的原则,采取成立联合工作小组并确定牵头部门或牵头人员等方式,对有关经济活动实行统一管理。
第4种方法:预算控制。
强化对经济活动的预算约束,使预算管理贯穿于单位经济活动的全过程。
第5 种方法:财产保护控制。
建立资产日常管理制度和定期清查机制,采取资产记录、实物保管、定期盘点、账实核对等措施,确保资产安全完整。
第6 种方法:会计控制。
建立健全本单位财会管理制度,加强会计机构建设,提高会计人员业务水平,强化会计人员岗位责任制,规范会计基础工作,加强会计档案管理,明确会计凭证、会计账簿和财务会计报告处理程序。
第7 种方法:单据控制。
要求单位根据国家有关规定和单位的经济活动业务流程,在内部管理制度中明确界定各项经济活动所涉及的表单和票据,要求相关工作人员按照规定填制、审核、归档、保管单据。
第8 种方法:信息内部公开。
建立健全经济活动相关信息内部公开制度,根据国家有关规定和单位的实际情况,确定信息内部公开的内容、范围、方式和程序。
内控体系建设层面
(一)单位层面内部控制
(二)业务层面内部控制
(一)单位层面内部控制(13条-18条)
把握两点
1.本质是控制环境建设:
13条 组织架构;
14条 工作机制:决策、执行、监督;
15条 明确岗位职责,做到不相容岗位分离;
16条 关键岗位人员素质要求;
17条 进一步强调会计控制;
18条 信息化建设促进内控建设。
2.强调使用重要的控制方法
首先:
设置内控职能部门或者确定牵头部门
功能:
①负责组织协调单位内控日常工作
②研究提出单位内控体系建设方案或规划
③研究提出单位内部跨部门在重大决策、重大风险、重大事件和重要业务流程的内控方案;
④组织协调跨部门重大风险评估工作;
⑤提出风险管理策略和跨部门协调机制。
强调内部审计、纪检监察部门重要性
中国特色&区别于企业
第18条 强调内部控制信息化建设
1.内控信息化含义:将内控理念、控制流程、控制方法等要素通过信息化手段固化到信息系统中,从而实现内控体系的系统化和常态化。
2.如何实现?
外力协助
两种类型:一般计算机控制和具体应用控制。
(二)业务层面内部控制(按业务类型分别设计和实施)
如何设计和实施内部控制?
设计和实施路径
总结
九个数字