下载文档原格式
财政部企业内部控制配套指引财政部企业内部控制配套指引企业内部控制是指企业为实现经营目标而建立的一系列制度、方法和措施,用于规范和管理企业的经营活动,保护企业的财产安全、提高经营效益、防范风险。
财政部作为我国财政管理的主管部门,为了加强企业内部控制的规范化建设,制定了财政部企业内部控制配套指引。
本文将对财政部企业内部控制配套指引的主要内容进行介绍。
一、指引的背景和意义财政部企业内部控制配套指引是根据我国《企业会计准则》和《企业内部控制基本规范》等法律法规的要求,以及国际上通行的企业内部控制理论和实践经验,结合我国财政部门的特点和需要,制定的一套适用于财政部门的企业内部控制指引。
指引的制定旨在帮助财政部门建立健全的内部控制体系,提高财政资金的管理效率和风险防控能力,确保财政资源的合理配置和有效使用。
二、指引的主要内容1. 内部控制的基本原则:指引明确了内部控制的基本原则,包括明确责任、风险评估、控制活动、信息与沟通、监督与评价等。
财政部门应根据自身的实际情况,结合内部控制的基本原则,建立适合的内部控制制度和流程。
2. 内部控制的组成要素:指引对内部控制的组成要素进行了详细说明,包括控制环境、风险评估、控制活动、信息与沟通、监督与评价等。
财政部门应根据自身的特点和需要,合理配置各个组成要素,确保内部控制的全面性和有效性。
3. 内部控制的建设流程:指引对内部控制的建设流程进行了系统的阐述,包括规划设计、制度落地、执行运行、监督评价等。
财政部门应按照指引的要求,逐步完善内部控制的各个环节,确保内部控制的有效实施和持续改进。
4. 内部控制的评价和验证:指引对内部控制的评价和验证进行了详细说明,包括风险评估、控制活动的有效性评价、信息系统的可靠性验证等。
财政部门应按照指引的要求,定期进行内部控制的评价和验证,及时发现和解决存在的问题,提高内部控制的效能和稳定性。
三、指引的实施和效果财政部企业内部控制配套指引的实施需要财政部门的积极配合和主动参与。
财政部会计司解读《企业内部控制应用指引第15号——全面预算》强化全面预算管理促进实现发展战略全面预算是指企业对一定期间的经营活动、投资活动、财务活动等作出的预算安排。
全面预算作为一种全方位、全过程、全员参与编制与实施的预算管理模式,凭借其计划、协调、控制、激励、评价等综合管理功能,整合和优化配置企业资源,提升企业运行效率,成为促进实现企业发展战略的重要抓手。
正如美国著名管理学家戴维·奥利所指出的那样:全面预算管理是为数不多的几个能把组织的所有关键问题融合于一个体系之中的管理控制方法之一。
制定和实施《企业内部控制应用指引第15号——全面预算》,旨在引导和规范企业加强全面预算管理各环节的风险管控,促进全面预算管理在推动企业实现发展战略过程中发挥积极作用。
本文就此进行解读。
一、如何正确认识和理解全面预算正确认识和理解全面预算的内涵、本质及作用,应当把握以下几个方面:(一)全方位、全过程、全员参与编制与实施的预算管理模式全面预算的“全方位”,体现在企业的一切经济活动,包括经营、投资、财务等各项活动,以及企业的人、财、物各个方面,供、产、销各个环节,都必须纳入预算管理。
因此,全面预算是由经营预算(也称业务预算)、投资预算、筹资预算、财务预算等一系列预算组成的相互衔接和勾稽的综合预算体系。
全面预算的“全过程”,体现在企业组织各项经济活动的事前、事中和事后都必须纳入预算管理,即全面预算不仅限于预算编制、分解和下达,而是由预算编制、执行、分析、调整、考核、奖惩等一系列环节所组成的管理活动。
全面预算的“全员”参与,指企业内部各部门、各单位、各岗位,上至最高负责人,下至各部门负责人、各岗位员工都必须参与预算编制与实施。
(二)企业实施内部控制、防范风险的重要手段和措施全面预算的本质是企业内部管理控制的一项工具,即预算本身不是最终目标,而是为实现企业目标所采用的管理与控制手段,从而有效控制企业风险。
全面预算的制定和实施过程,就是企业不断用量化的工具,使自身所处的经营环境与拥有的资源和企业的发展目标保持动态平衡的过程,也是企业在此过程中所面临的各种风险的识别、预测、评估与控制过程。
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
二、信息系统的开发企业根据发展战略和业务需要进行信息系统建设,首先要确立系统建设目标,根据目标进行系统建设战略规划,再将规划细化为项目建设方案。
选择外购调试或业务外包方式的,应当采用公开招标等形式择优选择供应商或开发单位。
选择自行开发信息系统的,信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。
企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,增进开发单位与企业内部业务部门的日常沟通和协调,组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线运行。
三、信息系统的运行与维护信息系统的运行与维护主要包含三方面的内容:日常运行维护、系统变更和安全管理。
(一)日常运行维护的关键控制点和主要控制措施日常运行维护的目标是保证系统正常运转,主要工作内容包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。
这一环节的主要风险是:第一,没有建立规范的信息系统日常运行管理规范,计算机软硬件的内在隐患易于爆发,可能导致企业信息系统出错。
第二,没有执行例行检查,导致一些人为恶意攻击会长期隐藏在系统中,可能造成严重损失。
第三,企业信息系统数据未能定期备份,可能导致损坏后无法恢复,从而造成重大损失。
主要控制措施:第一,企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
切实做好内部控制评价,不断实现内部控制自我提升——财政部会计司解读《企业内部控制评价指引》来源:中国财经报《周易》:“君子终日乾乾,夕惕若,厉,无咎。
”是说君子能整天整日显示出自强不息的行为状态,是因为到晚间,也要保持戒慎,即检查自己在白天的所作所为,不要把过错带进第二天。
对内部控制的建立、实施进行评价,是优化内部控制自我监督机制的一项重要制度安排,是内部控制的重要组成部分,与内部控制的建立、实施,共同构成有机循环。
《企业内部控制基本规范》第四十六条:“企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告”。
因此,为促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,专门制定了《企业内部控制评价指引》(下称“《评价指引》”)。
《评价指引》第二条规定,企业内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。
一、内部控制评价概述(一)内部控制评价的作用第一,内部控制评价有助于企业自我完善内控体系。
内部控制评价是通过评价、反馈、再评价,报告企业在内部控制建立与实施中存在的问题,并持续地进行自我完善的过程。
通过内部控制评价查找、分析内部控制缺陷并有针对性地督促落实整改,可以及时堵塞管理漏洞,防范偏离目标的各种风险,并举一反三,从设计和执行等全方位健全优化管控制度,从而促进企业内控体系的不断完善。
第二,内部控制评价有助于提升企业市场形象和公众认可度。
企业开展内部控制评价,需形成评价结论,出具评价报告。
通过自我评价报告,将企业的风险管理水平、内部控制状况以及与此相关的发展战略、竞争优势、可持续发展能力等公布于众,树立诚信、透明、负责任的企业形象,有利于增强投资者、债权人以及其他利益相关者的信任度和认可度,为自己创造更为有利的外部环境,促进企业的长远可持续发展。
第三,内部控制评价有助于实现与政府监管的协调互动。
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应当指引第18号——信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
财政部会计司解读企业内部控制审计指引1 规范内控审计行为促进内控有效实施——财政部会计司、中注协解读《企业内部控制审计指引》实施企业内部控制注册会计师审计,是促进企业尤其是上市公司扎实贯彻《企业内部控制基本规范》和《企业内部控制配套指引》的重要制度安排,是注册会计师行业开拓执业领域、进一步做大做强新的增长点。
为了规范注册会计师内部控制审计业务,明确工作要求,保证执业质量,根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则,财政部制定了《企业内部控制审计指引》(以下简称审计指引)。
财政部等五部委制定的《企业内部控制基本规范》和《企业内部控制应用指引》是注册会计师衡量企业内部控制是否有效的基础标准。
注册会计师在执行内部控制审计时,除遵守审计指引外,还应当遵守中国注册会计师相关执业准则。
审计指引共7章35条,并附有4份不同意见类型的内部控制审计报告,阐明了什么是内部控制审计、如何执行内部控制审计工作等问题。
本文对审计指引的几个重点问题进行解读。
一、内部控制审计概述(一)实施内部控制审计的必要性内部控制作为企业的一项重要管理活动,主要试图解决三方面的基本问题,即财务报告及相关信息的可靠性、资产的安全完整以及对法律法规的遵循;与此同时,促进提高经营的效率效果,并促进实现企业的发展战略。
安然、世通等一系列公司财务报表舞弊事件发生后,人们认识到健全有效的内部控制对预防此类事件的发生至关重要。
各国政府监管机构、企业界和会计职业界对内部控制的重视程度也进一步提升,从注重财务报告本身可靠性转向注重对保证财务报告可靠性机制的建设,也就是通过过程的有效保证结果的有效。
资本市场上的投资者甚至社会公众要求企业披露其与内部控制相关的信息,并要求经过注册会计师审计以增强信息的可靠性。
但是,在财务报表审计中,只有在以下两种情况下才强制要求对内部控制进行测试:在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);或者仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。
财政部会计司解读《企业内部控制应用指引第14号——财务报告》财政部会计司最近发布了《企业内部控制应用指引第14号,财务报告》。
该指引对企业内部控制在财务报告过程中的应用进行了解读和指导,对企业加强内部控制提供了具体的指引。
首先,该指引明确了财务报告过程中的内部控制目标和原则。
指引指出,财务报告的主要目标是提供真实、准确、全面、及时和可理解的财务信息。
为实现这一目标,企业需要建立内部控制制度,确保财务报告的可靠性和准确性。
内部控制应根据企业的特点和规模来设计,确保风险的有效管理和内部控制的适度。
其次,指引明确了财务报告过程中的关键控制点。
指引列出了财务报告过程中的关键环节,包括会计政策选择和变更、会计估计和计算方法、重大会计处理和决策、审计调整和财务报表披露。
企业需要对这些环节进行有效的内部控制,包括建立适当的审计委员会和内部审计制度,确保财务报告的真实性和准确性。
再次,指引提出了财务报告过程中的风险评估和控制策略。
指引指出,企业需要针对财务报告过程中的风险进行评估,并制定相应的控制策略。
风险评估应考虑财务报告的重要性、风险影响的概率和影响程度等因素。
企业可以通过建立风险管理制度、加强内部审计和监督等方式,提高财务报告的可靠性和准确性。
最后,指引对财务报告内部控制的监督和评价提出了建议。
指引要求企业建立有效的监督和评价制度,包括内部审计、独立董事的监督和外部审计等。
企业应定期进行内部控制的自我评估,并委派专业机构对内部控制进行评价。
同时,企业还应及时披露内部控制的评价结果,以提高财务报告的透明度和可靠性。
总的来说,财政部会计司发布的《企业内部控制应用指引第14号,财务报告》为企业加强内部控制提供了具体的指引。
企业应根据指引要求,建立有效的内部控制制度,确保财务报告的可靠性和准确性。
在财务报告过程中,企业还应进行风险评估和控制策略制定,并建立监督和评价制度。
只有这样,企业才能提供真实、准确、全面、及时和可理解的财务信息,增强投资者和其他利益相关者对企业的信任和信心。
财政部会计司解读《企业内部控制应用指引》系列目录财政部会计司解读《企业内部控制应用指引第1号——组织架构》 (2)财政部会计司解读《企业内部控制应用指引第2号——发展战略》 (14)财政部会计司解读《企业内部控制应用指引第3号——人力资源》 (28)财政部会计司解读《企业内部控制应用指引第4号——社会责任》 (39)财政部会计司解读《企业内部控制应用指引第5号——企业文化》 (51)财政部会计司解读《企业内部控制应用指引第6号——资金活动》 (60)财政部会计司解读《企业内部控制应用指引第7号——采购业务》 (86)财政部会计司解读《企业内部控制应用指引第8号——资产管理》 (97)财政部会计司解读《企业内部控制应用指引第9号——销售业务》 (117)财政部会计司解读《企业内部控制应用指引第1号——组织架构》发布时间:2010-05-10健全组织架构奠定内控基础《企业内部控制应用指引第1号——组织架构》指出,组织架构是指企业按照国家有关法律法规、股东(大)会决议、企业章程,结合本企业实际,明确董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
其中,核心是完善公司治理结构、管理体制和运行机制问题。
为什么要制定组织架构指引?该指引的主要内容有哪些?对组织架构的设计和运行等提出了哪些要求?本文就此进行解读。
一、关于组织架构指引的现实和长远意义一个现代企业,无论是处于新建、重组改制还是存续状态,要实现发展战略,就必须把建立和完善组织架构放在首位或重中之重。
否则,其他方面都无从谈起。
第一,建立和完善组织架构可以促进企业建立现代企业制度。
一个企业怎样才能永远保持成功呢?这就要靠制度。
这个制度就是现代企业制度。
它是以完善的企业法人制度为基础,以有限责任制度为保证,以公司制企业为主要形式,以产权清晰、权责明确、政企分开、管理科学为条件的现代企业制度。
可见,现代企业制度的核心是组织架构问题;或者,一个实施现代企业制度的企业,应当具备科学完善的组织架构。
保障企业资产安全全面提升资产效能――财政部会计司解读《企业内部控制应用指引第8号一一资产管理》资产作为企业重要的经济资源,是企业从事生产经营活动并实现发展战略的物质基础。
资产管理贯穿于企业生产经营全过程,也就是通常所说的实物流”管控。
在企业早期的资产管理实践中,如何保障货币性资产的安全是内部控制的重点。
在现代企业制度下,资产业务内部控制已从如何防范资金挪用、非法占用和实物资产被盗拓展到重点关注资产效能,充分发挥资产资源的物质基础作用。
鉴于资产管理的重要性,《企业内部控制基本规范》将合理保证资产安全作为内部控制目标之一,同时单独制定了《企业内部控制应用指引第8号一一资产管理》,着重对存货、固定资产和无形资产等资产提出了全面风险管控要求,旨在促进企业在保障资产安全的前提下,提高资产效能。
本文就此进行解读。
一、资产管理的总体要求为促进实现资产管理目标,资产管理指引要求企业加强各项资产管控,全面梳理资产管理流程,及时发现资产管理中的薄弱环节,采取有效措施及时加以改进。
(一)全面梳理资产管理流程一般工商企业,存货、固定资产和无形资产在资产总额中占比最大。
无论是新企业或是存续企业,为组织生产经营活动,都需要或已经制定了相关资产管理制度,按照严格的制度管理各项资产。
为了保障资产安全、提升资产管理效能,企业应当全面梳理资产流程。
在梳理过程中,既要注意从大类上区分存货、固定资产和无形资产,又要分别对存货、固定资产和无形资产等进行细化和梳理。
比如,存货需要从原材料、在产品、半成品、产成品、商品、周转材料等进行梳理;固定资产需要从房屋建筑物、机器设备和其他固定资产进行梳理;无形资产需要从专利权、非专利技术、商标权、特许权、土地使用权等进行梳理。
企业梳理资产管理流程,应当贯穿各类存货、固定资产和无形资产从进入到退出”各个环节。
比如,对存货通常可以从验收入库、仓储保管、出库、盘点和处置等环节进行梳理。
梳理存货、固定资产和无形资产管理流程,不仅要对照现有管理制度,检查相关管理要求是否落实到位,而且应当审视相关管理流程是否科学、是否能够较好地保证物流顺畅、是否能够不断减少物流风险、是否能够不断降低相关成本费用、各项资产是否最大限度地发挥了应有的效能,等等。
企业内部控制评价指引发文机关:中国保险监督管理委员会(已撤销),财政部,中国证券监督管理委员会,审计署,中国银行业监督管理委员会(已撤销)发布日期:2010.04.15生效日期:2010.04.15时效性:现行有效文号:财会〔2010〕11号企业内部控制评价指引第一章 总 则第一条为了促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,根据有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
第三条企业实施内部控制评价至少应当遵循下列原则:(一)全面性原则。
评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
(二)重要性原则。
评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
(三)客观性原则。
评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
第四条企业应当根据本评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
企业董事会应当对内部控制评价报告的真实性负责。
第二章 内部控制评价的内容第五条企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。
第六条企业组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
第七条企业组织开展风险评估机制评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用page 1 of 4指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
目录财政部解读《企业内部控制评价指引》 (2)一、内部控制评价概述 (2)(一)内部控制评价的作用 (2)(二)内部控制评价的对象 (3)(三)内部控制评价的原则 (3)(四)内部控制评价的组织形式和职责安排 (3)1、内部控制评价的组织形式 (4)2.有关方面在内部控制评价中的职责和任务。
(4)二、关于内部控制评价的内容 (5)三、关于内部控制评价的程序 (6)(一)内部控制评价的一般程序 (6)1.准备阶段 (6)2.实施阶段 (6)3.汇总评价结果、编制评价报告阶段 (6)4.报告反馈和跟踪阶段 (7)(二)内部控制评价的频率 (7)(三)内部控制评价的方法 (7)1.个别访谈法 (7)2.调查问卷法 (7)3.穿行测试法 (8)4.抽样法 (8)5.实地查验法 (8)6.比较分析法 (8)7.专题讨论法 (8)四、内部控制缺陷的认定 (8)(一)内部控制缺陷的分类 (9)(二)内部控制缺陷的认定标准 (9)1.内部控制缺陷的重要性和影响程度 (9)2.财务报告内部控制缺陷的认定标准 (10)3.非财务报告内部控制缺陷的认定标准 (10)(三)内部控制缺陷的报告与整改 (11)1.内部控制缺陷报告的格式和途径 (11)2.内部控制缺陷整改方案及期限 (11)五、关于内部控制评价报告 (11)(一)内部控制评价报告的内容和格式 (12)(二)内部控制评价报告的编制和报送 (12)1.评价报告的编制 (12)2.评价报告的报送 (13)(三)内部控制评价报告的披露和使用 (13)1.评价报告的披露 (13)2.评价报告的使用 (13)附件1:内部控制评价核心指标 (14)附件2:××股份有限公司20××年度内部控制评价报告 (18)财政部解读《企业内部控制评价指引》来源:中国会计报发布时间:2010-7-30 作者:财政部会计司财政部会计司解读《企业内部控制评价指引》是为促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,专门制定。
《周易》:“君子终日乾乾,夕惕若,厉,无咎。
”是说君子能整天整日显示出自强不息的行为状态,是因为到晚间,也要保持戒慎,即检查自己在白天的所作所为,不要把过错带进第二天。
对内部控制的建立、实施进行评价,是优化内部控制自我监督机制的一项重要制度安排,是内部控制的重要组成部分,与内部控制的建立、实施,共同构成有机循环。
《企业内部控制基本规范》第四十六条:“企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告”。
因此,为促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,专门制定了《企业内部控制评价指引》(下称“《评价指引》”)。
《评价指引》第二条规定,企业内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。
一、内部控制评价概述(一)内部控制评价的作用第一,内部控制评价有助于企业自我完善内控体系。
内部控制评价是通过评价、反馈、再评价,报告企业在内部控制建立与实施中存在的问题,并持续地进行自我完善的过程。
通过内部控制评价查找、分析内部控制缺陷并有针对性地督促落实整改,可以及时堵塞管理漏洞,防范偏离目标的各种风险,并举一反三,从设计和执行等全方位健全优化管控制度,从而促进企业内控体系的不断完善。
第二,内部控制评价有助于提升企业市场形象和公众认可度。
企业开展内部控制评价,需形成评价结论,出具评价报告。
通过自我评价报告,将企业的风险管理水平、内部控制状况以及与此相关的发展战略、竞争优势、可持续发展能力等公布于众,树立诚信、透明、负责任的企业形象,有利于增强投资者、债权人以及其他利益相关者的信任度和认可度,为自己创造更为有利的外部环境,促进企业的长远可持续发展。
第三,内部控制评价有助于实现与政府监管的协调互动。
政府监管部门有权对企业内部控制建立与实施的有效性进行监督检查。
事实上,在有关政府部门,比如审计机关开展的国有企业负责人离任经济责任审计中,已将企业内部控制的有效性,以及企业负责人组织领导内控体系建立与实施情况纳入审计范围,并日益成为十分重要的一部分。
尽管政府部门实施企业内控监督检查有其自身的做法和特点,但监督检查的重点部位是基本一致的,比如大多涉及重大经营决策的科学性、合规性以及重要业务事项管控的有效性等。
实施企业内控自我评价,能够通过自查及早排查风险、发现问题,并积极整改,有利于在配合政府监管中赢得主动,并借助政府监管成果进一步改进企业内控实施和评价工作,促进自我评价与政府监管的协调互动。
(二)内部控制评价的对象内部控制评价是对内部控制有效性发表意见。
所谓内部控制有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。
其中,内部控制设计的有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行的有效性,是指现有内部控制按照规定程序得到了正确执行。
评价内部控制运行的有效性,应当着重考虑以下几个方面:(1)相关控制在评价期内是如何运行的;(2)相关控制是否得到了持续一致的运行;(3)实施控制的人员是否具备必要的权限和能力。
需要强调的是,即使同时满足设计有效性和运行有效性标准的内部控制,受内部控制固有局限影响,也只能为内部控制目标的实现提供合理保证,而不能提供绝对保证,不应不切实际地期望内部控制能够绝对保证内部控制目标的实现,也不应以内部控制目标的最终实现情况和程度作为唯一依据直接判断内部控制设计和运行的有效性。
(三)内部控制评价的原则内部控制评价的原则是开展评价工作应该注意的原则,与内部控制的原则不完全相同。
根据《评价指引》第三条规定,企业对内部控制评价至少遵循以下原则:全面性原则、重要性原则和客观性原则。
1.全面性原则。
全面性原则强调的是内部控制评价的涵盖范围应当全面,具体来说,是指内部控制评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
2.重要性原则。
重要性原则强调内部控制评价应当在全面性的基础之上,着眼于风险,突出重点。
具体来说,主要体现在制订和实施评价工作方案、分配评价资源的过程之中,它的核心要求主要包括两个方面:一是要坚持风险导向的思路,着重关注那些影响内部控制目标实现的高风险领域和风险点;二是要坚持重点突出的思路,着重关注那些重要的业务事项和关键的控制环节,以及重要业务单位。
3.客观性原则。
客观性原则强调内部控制评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计和运行的有效性。
只有在内部控制评价工作方案制定、实施的全过程中始终坚持客观性,才能保证评价结果的客观性。
(四)内部控制评价的组织形式和职责安排《评价指引》第四条规定,企业应当根据本评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
企业内部控制评价办法应当结合《企业内部控制基本规范》第四十四条的规定,具体明确内部控制评价的组织形式,特别明确各有关方面在内部控制评价中的职责安排,处理好内部控制评价和内部监督的关系,定期由相对独立的人员对内部控制有效性进行科学的评价,界定内部控制缺陷认定标准,保证内部控制评价有序地开展。
1、内部控制评价的组织形式企业可以授权内部审计机构或专门机构(下称“内部控制评价机构”)负责内部控制评价的具体组织实施工作。
内部控制评价机构必须具备一定的设置条件:一是能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;二是具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;三是与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约,在效率效果上满足企业对内部控制系统进行监督与评价所提出的有关要求;四是能够得到企业董事会和经理层的支持,有足够的权威性来保证内部控制评价工作的顺利开展。
具体来说,企业可根据自身特点,决定是否单独设置专门的内部控制评价机构。
对于单独设有专门内部控制机构的企业,也可以由内部控制机构来负责内部控制评价的具体组织实施工作。
为了保证评价的独立性,负责内部控制设计和评价的部门应适当分离。
企业可以委托会计师事务所等中介机构实施内部控制评价。
此时,董事会(审计委员会)应加强对内部控制评价工作的监督与指导。
从业务性质上讲,中介机构受托为企业实施内部控制评价是一种非保证服务,内部控制评价报告的责任仍然应由企业董事会承担。
另外,为保证审计的独立性,为企业提供内部控制审计的会计师事务所,不得同时为同一家企业提供内部控制评价服务。
2.有关方面在内部控制评价中的职责和任务。
无论采取何种组织形式,董事会、经理层和内部控制评价机构在内部控制评价中的职能作用不会发生本质的变化。
一般来说:(1)董事会对内部控制评价承担最终的责任。
《评价指引》第四条第二款规定,企业董事会应当对内部控制评价报告的真实性负责。
董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。
董事会或审计委员会应听取内部控制评价报告,审定内控重大缺陷、重要缺陷整改意见,对内部控制部门在督促整改中遇到的困难,积极协调,排除障碍。
监事会应审议内部控制评价报告,对董事会建立与实施内部控制进行监督。
(2)经理层负责组织实施内部控制评价工作,实际操作中,可以授权内部控制评价机构组织实施,并积极支持和配合内部控制评价的开展,创造良好的环境和条件。
经理层应结合日常掌握的业务情况,为内部控制评价方案提出应重点关注的业务或事项,审定内部控制评价方案和听取内部控制评价报告,对于内部控制评价中发现的问题或报告的缺陷,要按照董事会或审计委员会的整改意见积极采取有效措施予以整改。
(3)内部控制评价机构根据授权承担内部控制评价的具体组织实施任务,通过复核、汇总、分析内部监督资料,结合经理层要求,拟订合理评价工作方案并认真组织实施;对于评价过程中发现的重大问题,应及时与董事会、审计委员会或经理层沟通,并认定内部控制缺陷,拟订整改方案,编写内部控制评价报告,及时向董事会、审计委员会或经理层报告;沟通外部审计师,督促各部门、所属企业对内、外部内控评价进行整改;根据评价和整改情况拟订内部控制考核方案。
(4)各专业部门应负责组织本部门的内控自查、测试和评价工作,对发现的设计和运行缺陷提出整改方案及具体整改计划,积极整改,并报送内部控制机构复核,配合内控机构(部门)及外部审计师开展企业层面的内控评价工作。
