企业内部控制
一、内部控制与风险管理日益融合
学者们一般把内部控制的发展历程划分为五个不同的阶段:内部牵制(internal check)阶段、内部控制制度(internal control system)阶段、内部控制结构(internal control structure)阶段、内部控制整体框架(internal control integrated framework)阶段、风险管理整体框架(risk management integrated framework)阶段。
根据《柯氏会计辞典》(Kohler’s Dictionary for Accountant)的定义,内部牵制是指“以提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计”。内部牵制的主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。在经历了1929—1933年“大危机”之后,美国于1934年颁布《证券交易法》(Securities Exchange Act of 1934),首次以法律的形式明确企业对建立和评价财务报告内部控制(internal control over financial reporting)的责任。
随着抽样审计的推广,注册会计师行业对发展内部控制起到了重要的推动作用。内部控制从早期较为简单的内部牵制逐渐演变为涉及组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内部控制制度体系。美国注册会计师协会(American Institute of Certified Public Accountants,AICPA)于1958年10月发布的第29
Accountants,AICPA)于1958年10月发布的第29号审计程序公告(Statement of Auditing
Procedures,SAP)《独立审计人员评价内部控制的范围》(Scope of the Independent Auditor’s Review of Internal Control)[19]和1972年发布的第54号审计准则公告(SAS 54)《审计师对内部
控制的研究与评估》(The Auditor’s Study and
Evaluation of Internal Control)中,将内部控制划分为会计控制(accounting control)和管理控制(administrative control)两个部分。其中,会计控制是直接与资产保护和财务记录相关的控制,管理控制主要关注运营效率和执行管理政策。
内部控制发展到内部控制结构阶段的标志是
AICPA在1988年发布的第55号审计准则公告(SAS 55)《财务报表审计中对内部控制结构的考虑》(Consideration of the Internal Control Structure in a Financial Statement Audit)。SAS 55首次提出了“内部控制结构”的概念,指出内部控制结构包括三要素:控制环境(control environment)、会计系统(accounting system)和具体控制程序(specific control procedures)。
1985年,美国成立了“反虚假财务报告委员会”(National Commission on Fraudulent Financial Reporting,NCFR,即Treadway委员
会1
)。1992年,NCFR下属的“COSO委员
会”(Committee of Sponsoring Organizations of the Treadway Commission,COSO)发布报告《内部控制:整体框架》(Internal Control:Integrated Framework,IC框架),风险管理正式成为内部
Framework,IC框架),风险管理正式成为内部控制研究的核心要素。受其影响,AICPA于1996年发布第78号审计准则公告(SAS 78)《财务报表审计中对内部控制的考虑:对55号审计准则公告的修订》(Consideration of Internal Control in a Financial Statement Audit:An Amendment to SAS 55),全面接受了COSO报告的观点;英格兰和威尔士特许会计师协会(Institute of Chartered Accountant in England and Wales,ICAEW)下属的公司治理财务委员会(Cadbury委员会)于1994年11月发布的《内部控制和财务报告》(Internal Control and Financial Reporting,也称“Cadbury报告”)、ICAEW 下属的公司内部控制工作小组(Turnbull小组)于1999年9月发布的《内部控制——关于联合规则的董事指南》(Internal control:Guidance for Directors on the Combined Code,也称“Turnbull指南”)、加拿大特许会计师协会(CICA)下属的控制标准委员会(Criteria of Control Board,CoCo)于1995年11月发布的《控制指南》(Guidance on Control),都在很大
程度上借鉴了1992版COSO报告的研究成果2。
进入21世纪,尤其是在“安然事件”等财务欺诈案爆发后,内部控制研究的重点侧重于寻求企业内部管理需要与外部市场监管要求之间的均衡,财务报告内部控制再次成为评估的对象和关注的焦点。2004年9月,COSO委员会发布报告《企业风险管理:整体框架》(Enterprise Risk Management:Integrated Framework,ERM框架),标志着内部控制进入了“风险管理整体框
架),标志着内部控制进入了“风险管理整体框架”阶段。风险管理和内部控制开始相提并论、边界模糊,就像2004版COSO报告在序言中指
出,“公司不仅可以借助ERM框架来满足它们内部控制的需要,还可以借此转向一个更加全面的风险管理过程”。
通过以上梳理内部控制的发展历程可以看出,内部控制与风险管理日益走向融合,它们在基本目标、实施主体、控制对象和控制程序上逐渐表现出高度的一致性。王宏(2008)对内部控制与风险管理的关系进行了恰当的总结:风险管理是着眼点,内部控制是着力点,二者相互联系、相互交织,实际上是相互补充、相互促进的关系。
二、美国的内部控制研究
1.审计准则中的内部控制概念
内部控制概念的发展是整个内部控制发展轨迹的缩影。
最早定义内部控制的是1936年美国会计师协会(American Institute of Accountants,AIA)的《独立公众会计师对财务报表的审查》(Examination of Financial Statements by Independent Public Accountants),该报告将内部控制定义为“为了保护公司现金及其他资产的安全、检查账簿记录准确性而在公司内部采用的各种手段和方法”。
1949年AICPA审计程序委员会在《内部控制:协调制度诸要素及其对管理当局和独立公众会计师的重要性》(Internal control:Elements of
会计师的重要性》(Internal control:Elements of Coordinated System and its Importance to Management and the Independent Public Accountants)中,将内部控制定义为“为了保证财产的安全完整,检查会计资料的准确性和可靠性,提高企业的经营效率以及促进企业贯彻既定的经营方针,所设计的总体规划及所采用的与总体规划相适应的一切方法和措施”。
1958年,AICPA发布SAP 29《独立审计人员评价内部控制的范围》,将内部控制划分为会计控制和管理控制两个部分,后经1972年SAS
54《审计师对内部控制的研究与评估》予以完善。其中,会计控制是直接与资产保护和财务记录相关的控制,包括所有旨在保护资产、确保会计记录的可靠性以及用来为下列事项提供合理保证的组织计划、程序和记录;管理控制(或称内部业务控制)主要关注运营效率和执行管理政策,包括统计分析、业绩报告、培训项目和质量控制程序等。
1988年,AICPA发布SAS 55《财务报表审计中对内部控制结构的考虑》,以“内部控制结构”代替“内部控制”,认为企业的内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序,提出内部控制的三要素:控制环境、会计系统和控制程序。其中,控制环境反映管理当局对控制的态度和行为,包括管理哲学、经营风格、组织机构、董事会及审计委员会的职能、人力资源政策、确定权责的方法等;会计系统是指对各项经济业务确认、计量、记录、分析和编制
对各项经济业务确认、计量、记录、分析和编制报表的方法,包括鉴定和登记经济业务、对各项业务进行适当分类作为编制报表的依据、计量业务的货币价值、确定会计期间、在报表中恰当地表述有关内容等;具体控制程序是指所采用的控制政策和方法,包括对经济业务和活动的授权审批、明确员工的职责分工、充分而必要的凭证、账簿设置和记录、资产和相关记录的接触控制、对业务的独立审核等。
2.1992版COSO报告
1985年,由美国会计学会(American Accounting Association,AAA)、美国注册会计师协会(AICPA)、内部审计师协会(Institute of Internal Auditors,IIA)、财务经理协会(Financial Executive Institute,FEI)和管理会计学会(Institute of Management Accountants,IMA)等多个专业团体发起成立了美国“反虚假财务报告委员会”(NCFR,Treadway委员会),探讨包括内部控制不健全在内的产生虚假财务报告的原因。1987年,NCFR要求所有上市公司在其年度报告中提供内部控制报告,披露公司管理层对内部控制有效性的评估。
1992年,NCFR下属的COSO委员会发布《内部控制:整体框架》(Internal
Control:Integrated Framework,IC框架)。COSO报告分为四个部分:实施概览(Executive Summary)、框架(Framework)、对外报告(Reporting to External Parities)和评估工具(Evaluation Tools),将内部控制定义为“由企业董事会、管理层和其他员工实施的,为保证财务
董事会、管理层和其他员工实施的,为保证财务报告的可靠性、经营的效率和效果以及现行法规的遵循等目标而达成的提供合理保证的过程”。COSO报告指出:内部控制是一个过程,是实现结果的方法而非结果本身;内部控制是由人来实施的,涉及组织内每个层级的人;内部控制为企业管理层和董事会提供合理的保证而非绝对保证;内部控制可以划分为一种或多种类别,这些类别既相互区分又相互交叠。
COSO报告提出了许多新的、有价值的观点
3
,划分了内部控制的五要素:控制环境(control environment)、风险评估(risk assessment)、控制活动(control activity)、信息与沟通(information and communication)和监督(monitoring)。控制环境构成了一个单位的氛围(tone),风险评估通过识别(identification)、分析与实现目标相关的风险实施管理,控制活动是针对所确认的风险采取必要的措施,信息与沟通是确保认真履行控制职责的保证,监督是指评估控制系统质量的程序。COSO报告首次将内部控制从原有的平面结构发展为立体框架,强调风险评估在内部控制中的重要作用,代表了当时国际上在该领域的最高研究水平,产生了重大的国际影响。
3.萨奥法案及其后续影响
2001年冬至2002年夏,“安然”和“世通”等财务欺诈案相继曝光,特别是安达信会计师事务所(Arthur Andersen)的卷入,震撼了全球资本市场。美国证券监管机构、会计准则制定机构和会
场。美国证券监管机构、会计准则制定机构和会计职业团体对资本市场的监管进行了深刻反思。2002年7月,美国国会颁布《2002年公众公司会计改革和投资者保护法案》(Public Company Accounting Reform and Investor Protection Act of 2002),即著名的《萨班斯—奥克斯利法案》
(Sarbanes-Oxley Act,简称“萨奥法案”)4
,在会
计职业监管、公司治理和证券市场监管等方面进行了全面调整,强调公司管理层对建立和维护内部控制系统的责任;同时,组建公众公司会计监督委员会(Public Company Accounting Oversight Board,PCAOB),其主要职责包括:审计准则的制定、会计师事务所的注册、对CPA行业的监
督、对审计失败事件的调查和处罚5。
萨奥法案重申了对“财务报告内部控制”的有效性进行审计,涉及该问题的条款主要有302条款和404条款。
第302条款关于“公司对财务报告的责任”规定,公司的首席执行官或首席财务官(或履行类似职责的人员)按照1934年《证券交易法》的要求提交的年度报告或季度报告中应证明以下事实:第一,签发报告的官员已经复核过该报告;第二,该官员应确认该报告不包含对某个重要事实的任何不真实的声明,也没有遗漏对某个重要事实必要的声明;第三,该报告在所有重要方面公允地反映了公司在报告期的财务状况和经营成果;第四,该官员应对建立和维持内部控制负责,评价报告发布前90天内内部控制的有效性,
责,评价报告发布前90天内内部控制的有效性,并在定期报告中披露该评估结果;第五,该官员已经向审计师和公司董事会的审计委员会(或履行相同职责的其他人员)披露了内部控制设计或运行上的所有重大缺陷和薄弱环节,及这些缺陷对公司记录、处理、汇总和报告财务数据的能力产生的负面影响,披露了管理层或其他在内部控制中发挥重要作用的人员的所有舞弊行为;第六,该官员已经在报告中指出内部控制或其他影响内部控制的因素在评估后是否发生重大变动,包括对重大缺陷或薄弱环节的改进措施。
第404条款关于“管理层对内部控制的评估”规定:第一,作为一项强制性规则,公司提供的年度报告中均应包括一份内部控制报告,声明管理层对建立和维持适当的、基于财务报告目的的内部控制框架和程序的责任,基于最近的财政年度末对内部控制的有效性进行评估;第二,担任公司年报审计任务的会计公司应对管理层进行的内部控制评估进行测试和评价。
为了落实第404条款的要求,2004年3月9日,PCAOB发布第2号审计准则《与财务报表审计联合实施的财务报告内部控制审计》(An Audit of Internal Control over Financial Reporting Performed in Conjunction with An Audit of Financial Statements),6月17日经SEC批准后实施。但该准则过于繁杂,PCAOB对其实施情况并不满
意6
,深受其累的上市公司也纷纷通过各种方式
向SEC和PCAOB施加压力,指责404条款是“过度监管”的典型。2002年至2004年间,美国372家公
监管”的典型。2002年至2004年间,美国372家公司因无法忍受如此严厉的监管和高昂的遵循成本而退市。鉴于此,2006年12月15日,美国有关方面宣布推迟部分公司执行404条款的具体时间。2007年5月23,SEC批准通过《针对财务报告内部控制的管理层报告的规则修订》(Amendment to Rules Regarding Management’s Reports on Internal Control Over Financial Reporting),并随后发布《SEC对遵循1934年证券交易法13(a)或15(d)要求的针对财务报告内部控制的管理层报告的指引》(Commission Guidance Regarding Management’s Reports on Internal Control over Financial Reporting under Section 13(a) or 15(d) of Securities Exchange Act of 1934),于6月27日起实施。作为对第2号审计准则的完善,2007年5月24日,PCAOB发布第5号审计准则《与财务报表审计相结合的财务报告内部控制审计》(An Audit of Internal Control over Financial Reporting that is Integrated with An Audit of Financial
Statements)7
,SEC于7月25日批准了该准则,于
2007年11月15日起实施。
4.2004版COSO报告
2004年9月,Treadway委员会发布了全新的COSO报告《企业风险管理:整体框架》(Enterprise Risk Management:Integrated
Framework,ERM框架)8
,ERM框架认为,企
业风险管理是一个过程,受董事会、管理层和其他人员影响,在战略制定中用以确认可能影响企
他人员影响,在战略制定中用以确认可能影响企业的潜在事项和管理其风险偏好中的风险,提供关于实现企业目标的合理保证,内部控制是风险管理的一部分。
ERM框架提出了风险管理的四个目标:战略目标、营运的效率效果目标(含资产保护目标)、财务报告的可靠性目标和法律规章的遵循性目标;增加了风险管理的三个要素:“目标设定”(objective setting)、“事项识别”(event identification)、和风险应对(risk response),使基于1992版COSO报告中的“五要素”发展为“八要素”。目标设定要求企业管理层采取恰当的程序去设定风险管理目标,确保所设定目标与主体的使命相衔接、与主体的风险容量相适应;事项识别即识别因包含风险或机会而可能对目标实现产生影响的潜在事项,包括经济因素、自然因素、政治因素、社会因素、技术革新因素等外部因素,以及组织结构、人员素质、业务流程、信息系统等内部因素;风险评估是指分析和辨认实现目标可能发生的负面风险,以形成对它们实施管理的依据;风险应对是指管理层在评估了相关风险的可能性和重要性,以及成本效益之后,选择一系列策略使剩余风险处于期望的风险容量以内9
。
为了帮助小型上市公司评估和报告其内部控制,2006年6月,COSO委员会发布《财务报告内部控制——对小型上市公司的指南》(Internal Control over Financial Reporting:Guidance for Smaller Public Companies),提出了小型上市公
司建立内部控制的20条原则。
ERM框架是在1992版COSO报告(IC框架)基础上的发展和升华,第一,继承和强化了IC框架中的风险理念,从风险管理的目标维度和要素维度构建了一个风险管理的立体框架,并且提出,内部控制是风险管理的一部分;第二,将“控制环境”要素调整为“内部环境”更为严谨,因为控制环境包括了内部环境和外部环境两个方面,而外部环境并不在企业的可控制范围之内;第三,发展了风险管理要素,提高了ERM框架对企业风险管
理实务的指导作用和可操作性10
。
三、其他国家和组织的内部控制研究
COSO报告产生了重大的国际影响,许多国家和组织在建立内部控制框架时都一定程度上借鉴了COSO的成果,其中加拿大的CoCo、英国的Cadbury和Turnbull等比较有代表性。
加拿大特许会计师协会(CICA)早期认为内部控制是“由组织体制的设计和企业管理人员制定的所有协调制度组成,以实现管理目标,促进业务有秩序、有效率地开展,保证资产安全、会计记录可靠并及时提供准确的财务资料”。1995年11月,CICA所属的控制标准委员会(CoCo)发布报告《控制指南》(Guidance on Control),将“内部控制”的概念扩展到“控制”,将其定义
为“一个企业中的要素集合体,包括资源、系统、过程、文化、结构和任务等,这些要素结合在一起以达成该企业的目标”。CoCo指南认为,控制
包括四个基本要素:目标(purpose)、承诺(commitment)、能力(capability)、监督和学习(monitoring & learning),并设定了各要素的评估标准共20项。
1994年11月,英格兰和威尔士特许会计师协会(ICAEW)下属的公司治理财务委员会(即Cadbury委员会)发布《内部控制和财务报告》(Cadbury报告),认为整个控制体系(包括财务控制和其他控制)是为了运营的效果和效率、内部财务控制和遵守法律法规提供合理保证。
1999年9月,ICAEW下属的公司内部控制工作小组(即Turnbull小组)发布《内部控制——关于联合规则的董事指南》(Turnbull指南),把风险管理、内部控制和商业目标相互联系起来,认为风险管理是整个企业全体人员的责任,董事会应当在获得信息和做出承诺的基础上检查相关制度的有效性,确保风险管理流程已经成为公司日常程序的组成部分,并能够在遇到风险时做出快速反应,同时加强内部审计或采取其他替代机制以确保公司经营目标的实现。
Turnbull小组在2004年修订Turnbull指南时提出了董事会在建立和评价内部控制系统的构成要素时应考虑的各种因素:公司所面临风险的性质和程度、公司要承担的可接受风险的程度和种类、风险转化为现实的可能性、公司降低风险发生的能力,等等。2005年10月,Turnbull小组发布《内部控制——关于联合规则的修订董事指南》(Internal control:Revised Guidance for Directors on the Combined Code),认为内部控制系统包括
on the Combined Code),认为内部控制系统包括公司的政策、过程、任务和行为等方面,反映了控制环境、控制活动、信息与沟通、以及监督内部控制系统持续有效性的过程。
1998年9月,巴塞尔银行监管委员会(Basel Committee on Banking Supervision,BCBS)发布《银行组织中内部控制系统的框架》(Framework for the Internal Control Systems in Banking Organizations),认为银行内部控制“是董事会、高级管理人员和所有层次的职员实施的一个过程”,由管理人员监察与控制文化、风险评估、控制活动、信息与沟通、监控等五个要素组成,其目标包括营业目标(即营业的效率和效果)、信息目标(即财务信息和管理信息的可靠性和完整性)、合规目标(即适用法律法规的符合性),并提出了适应银行业内部控制的13条原则。
四、我国的内部控制研究
自1992年实行社会主义市场经济体制以来,尤其是2001年12月11日加入世界贸易组织(World Trade Organization ,WTO)以来,我国在内部控制理论研究和规范制定上逐步与国际接轨,取得了较为丰富的成果。
1.关于规范制定
1999年10月31日,第九届全国人民代表大会常务委员会第十二次会议通过修订的《会计
法》11
,第一次以法律的形式对建立健全内部控
制提出原则要求。2000年6月22日,财政部发布
制提出原则要求。2000年6月22日,财政部发布《内部会计控制规范——基本规范(试行)》和《内部会计控制规范——货币资金(试行)》。2000年11月,中国证监会发布《公开发行证券公司信息披露编报规则》,要求公开发行证券的商业银行、保险公司、证券公司建立健全内部控制制度,并在招股说明书正文中说明其内部控制制度的完整性、合理性和有效性,同时委托会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价,出具评价报告。财政部于2001年至2004年间连续制定发布了《内部会计控制规范——基本规范》等规范,审计署、证监会、银监会以及上海、深圳证券交易所等也从不同角度对加强内部控制提出明确要求。
2006年7月15日,财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会(China Internal Control Standards Committee,CICSC),着手内部控制规范的研究和制定。2007年3月,CICSC发布《企业内部控制规范——基本规范》和17项具体规范的征求意见稿。2008年5月,《企业内部控制基本规范》发布,指出“内部控制是指由企业董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动:(1)企业战略;(2)经营的效率和效果;(3)财务报告及管理信息的真实、可靠和完整;(4)资产的安全完整;(5)遵循国家法律法规和有关监管要求”,并提出了内部控制五要素:内部环境、风险评
并提出了内部控制五要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。2010年4月26日,《企业内部控制配套指引》、《企业内部控制评价指引》和《企业内部控制审计指引》发布,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。
2.关于理论研究
李连华、聂海涛(2007)总结了1985年至2005年间我国内部控制研究的结构特征和三条研究主线:内部控制概念研究、内部控制框架研究和内部控制效果研究。事实上,对研究范畴的分类可以更细一些。
内部控制的本质方面,我国的学者分别从控制论、系统论和企业组织理论等不同角度进行了阐述。吴水澎等(2000)认为,内部控制是具有一定目的性的动态过程,是散布在企业作业中的一连串行动,与风险概念紧密相联;环境控制和风险评估是提高企业内部控制效率和效果的关键。于增彪等(2001)认为内控制度是一种授权体系与责任体系,是一种最优化、最简捷和最理性的作业方式或作业标准,是衡量组织风险的基础。刘明辉、张宜霞(2002)和林钟高、郑军(2007)认为企业内部控制的本质是为了取得低交易费用收益同时弥补企业契约的不完备性而设计的控制机制。谷祺、张相洲(2003)认为内部控制是由制度、市场、文化三个维度构成的有机
控制是由制度、市场、文化三个维度构成的有机系统。张砚(2005)认为内部控制具有行为引导功能和权力制衡功能,经历了从“自控制”到“他控制”,进而到更高层次“自控制”的过程。
内部会计控制方面,阎达五、杨有红(2001)认为,保证资产安全和会计信息真实是内部控制发展的主线,而会计控制(含财务控制)始终是内部控制的核心;张先治、张晓东(2004)认为建立以管理控制为主导的内部控制系统是我国内部控制发展的方向;阎达五、宋建波(2000)区分了“会计控制”和“对会计的控制”,认为会计控制能够协调所有者和经营者之间的利益冲突;冯巧根(2000)将会计控制分为出资者对经营者的控制、出资者的外部控制和会计审计系统对企业业务组织系统的控制等三个层次,认为会计控制本质上体现了委托代理关系;张俊民(2001)建议按照公司治理结构层次和会计控制目标的内容层次对会计控制具体目标进行层次划分和设计;张纯(2004)认为建立、健全企业财务预测管理体系是完善我国企业内部控制会计机制的关键。
内部控制与公司治理的关系方面,阎达五、杨有红(2001)认为内部控制框架与公司治理机制的关系是内部管理监控系统与制度环境的关系;程新生(2003;2004)认为公司治理机制是实施会计控制的基础,提出以科学决策和效率经营为核心,以决策机制、激励机制、监督约束机制为纽带,建立治理型内部控制;杨有红、胡燕(2004)认为公司治理与内部控制都产生于委托代理问题,内部控制系统局限性的克服还有赖于
代理问题,内部控制系统局限性的克服还有赖于公司治理与内部控制两者间的无缝对接。李连华(2005)将以上观点归为“环境论”。他分析了“环境论”的合理性和不足,将两者的关系描述为“嵌合论”,认为公司治理结构与内部控制制度关联的“共时结构”是提高内部控制效果的根本途径。谢志华(2007)对以上研究进行了总结,认为从历史的演变来看,内部控制、公司治理和风险管理三者具有同一性,先有内部控制,再有公司治理,后有风险管理,它们都是为了控制企业可能面临的各种风险而产生的,所以没有必要制定三种规范,而应该将其整合为一种统一的规范。他提出了包括程序方法、责任主体、流程环节和控制目标在内的“四维”风险控制整合框架。
内部控制与审计的关系方面,方红星(2002)认为内部控制迅猛发展,同审计模式的变革形成了密切的互动关系,乃至基本耦合;陈关亭、张少华(2003)通过设计问卷来调查上市公司内部控制的披露及其审核问题,认为我国应当强制要求所有上市公司在年报中披露内部控制报告,并要求注册会计师对该报告发表审核意见;陈毓圭(2004)认为,风险导向审计不是制度基础审计之外的方法,而是制度基础审计的发展;周勤业、王啸(2005)认为,现代审计是建立在内部控制基础上的抽样审计,合理确定审计程序的性质和范围、提高审计效率的关键在于考察内部控制的有效性。
内部控制的设计和完善方面,刘志远、刘洁(2001)阐述了信息技术条件下企业内部控制的新特点与新问题,主张把信息作为控制的关键资
新特点与新问题,主张把信息作为控制的关键资源,利用信息技术来构建与完善内部控制系统;
于增彪等(2001)将内控制度的设计分为整体设计和单项设计,提出了整体设计和单项设计的不同思路;郭道扬(2004)提出了以产权控制为中心的内部控制制度三层次:以所有者或投资者为中心的内部控制、以经营者为中心的内部控制和以财务、会计与内部审计管理者为中心的内部控制;杨有红、赵佳佳(2005)认为对具体业务的内部控制程序和方法的设计重点应放在分离不相容职务、规范授权机制和健全内部审计监督三方面;陈志斌(2004)建议实施“问责制”以保证内部控制制度的有效实施,责任界定是问责制的核心环节;杨雄胜(2006)认为良好的控制系统首先必须解决信息保障问题,信息是制衡权力的基础,应建立适合内部控制需要的信息系统。戴彦(2006)建议围绕“资金流”构建内部控制制度的评价体系,强化对行为的规范和引导,全员参与评价过程,合理选择和设计评价指标。
五、企业内部控制基本规范
[1] AICPA.Statement of Auditing Procedures No.29,Scope of the
Independent Auditor’s Review of Internal Control.1958
. Statement of Auditing Standards No.54,The Auditor’s Study and Evaluation of Internal Control.1972
. Statement of Auditing Standards No.55,Consideration of the Internal Control Structure in a Financial Statement Audit.1988
Internal Control Structure in a Financial Statement Audit.1988
.Internal control:Integrated Framework.1992
[5] AICPA. Statement of Auditing Standards No.78,Consideration of
Internal Control in a Financial Statement Audit:An Amendment to SAS 55.1996
. Internal Control and Financial Reporting.1994
[7] .Internal control:Guidance for Directors on the Combined
Code.1999
. Guidance on Control.1995
. Enterprise Risk Management:Integrated Framework.2004
王宏.基于国际视野与科学发展的我国内部控制框架体系研究.西南财经大学博士学位论文,2008
AIA. Examination of Financial Statements by Independent Public Accountants. 1936
AICPA. Internal control:Elements of Coordinated System and its Importance to Management and the Independent Public Accountants.1949
US Congress.Public Company Accounting Reform and Investor Protection Act of 2002.2002
. Auditing Standard No.2,An Audit of Internal Control over Financial Reporting Performed in Conjunction with An Audit of Financial Statements.2004
SEC.Amendment to Rules Regarding Management’s Reports on Internal Control Over Financial Reporting.2007
https://www.360docs.net/doc/395138178.html,mission Guidance Regarding Management’s Reports on Internal Control over Financial Reporting under Section 13(a) or 15(d) of Securities Exchange Act of 1934.2007
. Auditing Standard No.5,An Audit of Internal Control over Financial Reporting that is Integrated with An Audit of Financial Statements.2007
COSO.Internal Control over Financial Reporting:Guidance for Smaller Public Companies.2006
(完整版)企业内部控制的作用及意义
企业内部控制制度是指企业为了保证业务活动的有效进行,保护企业资产的安全和完整,防止、发现以及纠正错误和舞弊,保证会计资料的真实、合法和完整而制定和实施的政策与程序。内部控制的根本目的在于加强企业管理、合理分权;保证会计资料的真实合法、保护企业财产的安全完整。广义地讲,一个企业的内部控制是指企业内部管理控制系统,包括为保证企业正常经营所采取的一系列必要的管理措施。内部控制制度是现代企事业单位对经济活动进行科学管理而普遍采用的一种控制机制。贯穿于企业经营活动的各个方面,只要存在企业经营活动和经营管理,就需要有一定的内部控制制度与之相适应。 然而,从当前的实际情况看,许多中小企业内部控制制度相当不完善,存在了非常突出的问题,从而导致企业效率低下,影响了中小企业的经济效益,甚至影响了企业资产的安全性,严重阻碍了中小企业的发展,笔者试图运用专业的知识探究解决此问题的方法。 一、目前中小企业存在的内部控制问题 中小企业一般指资产规模不大,人员不多,管理幅度相对较小的企业。在具体的管理中授权方面要么过大,要么过小,甚至有一部分以家族式管理为主。该类企业数量众多,规模大小不一,组织结构多采用直线制或直线职能制——对于业务活动简单、稳定的小企业,一般采用直线制结构进行垂直管理,不设专门的职能机构,是一种最简单的集中式管理。对于中型企业,一般采用直线职能制结构进行管理,即以直线制为基础在厂长(经理)的领导下,设置相应的职能部门,厂长(经理)统一指挥与职能部门参谋、指导相结合,做到管理工作专门化。这样,既能保证统一领导,又可以发挥职能部门的作用,弥补了领导在专业知识和能力方面的不足,协助领导做出决策。但是,中小企业在内部控制方面出现了很多问题,直接或者间接的影响了企业的发展,具体表现如下: (一)内部控制制度不健全。目前,多数中小企业的内部控制制度不够全面,没有覆盖企业中所有部门和人员,没有渗透到企业各个业务领域和业务操作系统。尤其在财务部门,小企业会计工作秩序混乱,核算不实而造成的会计信息失真现象极为严重。如不少企业常规票据、印章分管制度,会计人员分工中的“内部牵 制原则”均未建立,甚至一些小企业连正规的财会部门也没有建立,会计、出纳 及财务审核一切工作均由一个人包办。原始凭证的取得和填制本身就不合法,以此为依据编制的记账凭证、登记账簿、编制的财务报表及进行的一系列财务分析等也就毫无意义。一些企业为了达到一些不可告人的目的,人为捏造会计数据、设置“小金库”、乱摊成本,隐瞒收入,虚报利润、恶意偷逃税款,为国家的宏观控制制造了相当的麻烦。究其原因,主要为以下三个方面: 1、与领导有关,领导本身就缺乏法制观念; 2、与组织结构有关; 3、与制度体系有关。从而使部门之间缺乏有效的协调和牵制,往往会造成管理脱节,产生漏洞。
内部控制五要素
按美国的COSO委员会提出的《内部控制-整合框架》分为以下五要素: 1、控制环境 2、风险评估 3、控制活动 4、信息与沟通 5、监察 中国的《内控规范》借鉴了美国的COSO委员会提出的《内部控制-整合框架》,并结合中国国情,要求企业所建立与实施的内部控制,应当包括下列五个要素: 1、内部环境 2、风险评估 3、控制活动 4、信息与沟通 5、内部监督 详解: 有效的内部控制至少应当包括以下五项基本要素: 1、内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审
计机构设置、反舞弊机制等。 2、风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。 3、控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 4、信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。 5、监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要
企业内部控制手册
《企业内部控制手册》 项目说明书
一、项目的目的 按照财政部等五部委联合发布的《企业内部控制基本规范》和配套指引的要求,制定上市公司(以下简称“公司”)内部控制手册,建立、健全并执行行之有效的公司内部控制体系,确保公司的持续健康发展。 为了进一步全面落实科学发展观,加强内部控制,公司各级管理部门从保护经济资源的安全完整出发,确保经济信息的正确可靠,协调经济行为、控制经济活动,利用××内部因分工而产生的相互制约、相互联系的关系,形成的一系列具有控制职能的方法、措施、程序,并予以规范化、系统化,使之组成一个严密的、完整的、有效的、以财务控制为核心、以风险控制为导向的内部控制体系。 二、内部控制的组织形式 内部控制建设是一项系统工程,需要企业董事会、监事会、经理层及内部各职能部门共同参与并承担相应的职责。按照现有上市公司的要求,未来××组织形式中应包括(含建议成份): (1)董事会 董事会对内部控制的建立健全和有效实施负责,定期召开董事会议,商讨内部控制建设中的重大问题并作出决策。内部控制建立与实施对企业组织架构最直接的影响就是加大了董事会及其全体董事的责任,具体包括:科学选择经理层并对其实施有效监督;清晰了解企业内部控制的范围;就企业的最大风险承受度形成一致意见;及时知悉企业重大的风险以及经理层是否恰当地予以应对。 (2)审计委员会
审计委员会是董事会下设的专业委员会。内部控制建立与实施对审计委员会的人员构成、议事规则、报告机制等均有重要影响,要求审计委员会负责人及其成员必须具备相应的独立性、良好的职业操守和专业胜任能力。审计委员会在内部控制中的职责一般包括:审查企业内部控制的设计;监督内部控制有效实施;领导开展内部控制自我评价;与中介机构就内部控制审计和其他相关事宜进行沟通协调等。 (3)监事会 监事会对董事会建立与实施内部控制进行监督。监事会监督不同于审计委员会对经理层的监督,是一种层次更高、独立性更高的再监督。监事会主席及其成员应当定期参加董事会及其审计委员会召开的涉及内部控制的会议,如对董事会及其审计委员会有关内部控制的决策持有异议,或认为董事会和经理层成员存在舞弊行为,还可提议召开独立的监事会议。 (4)经理层 经理层负责组织领导企业内部控制的日常运行。经理作为企业经营管理活动的最高执行者,在内部控制建设过程中尤其承担着重要责任,包括:贯彻董事会及其审计委员会对内部控制的决策意见;为其他高级管理人员提供内部控制方面的领导和指引;定期与采购、生产、营销、财务、人事等主要职能部门和业务单元的负责人进行会谈,对他们控制风险的措施及效果进行督导和核查等。 (5)内部控制部门 企业建立与实施内部控制,可以根据需要成立专门的内部控制工
企业内部控制基本规范(doc22个)4
企业内部控制基本规范(doc22个)4
企业内部控制具体规范第xx号——对外投资 (征求意见稿) 第一章总则 第一条为了引导企业加强对外投资内部控制,规范对外投资行为,防范对外投资风险,保证对外投资的安全,提高对外投资的效益,根据《企业内部控制规范——基本规范》以及国家有关法律法规,制定本规范。 第二条本规范所称对外投资,主要是指企业根据投资计划进行的长期股权投资,包括子公司投资、联营企业投资和合营企业投资。 企业除长期股权投资以外的投资,可以参照本规范及《企业内部控制具体规范第xx号——货币资金》进行控制。 第三条企业在建立和实施对外投资内部控制中,至少应当强化对以下关键方面或者关键环节的风险控制,并采取相应的控制措施:(一)职责分工、权限范围和审批程序应当明确,机构设置和人员配备应当科学合理; (二)投资项目建议书和可行性研究报告的内容应当真实,支持投资建议和可行性的依据与理由应当充分、可靠; (三)对外投资实施方案应当科学完整,投资合同或协议的签订应当征求法律顾问的意见,对投资项目的跟踪管理应当全面及时,投资收益的确认应当符合规定,投资权益证书的管理应当严格有效,计
对外投资中主要业务环节的责任人员、风险点和控制措施等。 对实际发生的对外投资业务,企业应当设置相应的记录或凭证,如实记载各环节业务的开展情况,加强内部审计,确保对外投资全过程得到有效控制。 企业应当加强对审批文件、投资合同或协议、投资方案书、对外投资处置决议等文件资料的管理,明确各种文件资料的取得、归档、保管、调阅等各个环节的管理规定及相关人员的职责权限。 第三章对外投资可行性研究、评估与决策控制 第八条企业应当加强对外投资可行性研究、评估与决策环节的控制,对投资项目建议书的提出、可行性研究、评估、决策等作出明确规定,确保对外投资决策合法、科学、合理。 企业因发展战略需要,在原对外投资基础上追加投资的,仍应严格履行控制程序。 第九条企业应当编制对外投资项目建议书,由相关部门或人员对投资建议项目进行分析与论证,对被投资企业资信情况进行尽责调查或实地考察,并关注被投资企业管理层或实际控制人的能力、资信等情况。对外投资项目如有其他投资者,应当根据情况对其他投资者的资信情况进行了解或调查。 第十条企业应当由相关部门或人员或委托具有相应资质的专
企业内部控制制度
浅谈企业内部控制制度的重要性 摘要:企业内部控制制度是企业内部各层次、各环节整体科学高效的管理控制制度的有机体系,是由一系列控制政策和程序所组成的系统。目的是保证生产经营活动有序、高效的运行,保证企业资产的完整与安全,防范各种经营风险,及时防止和纠正错误与弊端,保证会计资料的真实完整,经营运作信息的及时准确。 关键词:企业内部控制制度 在当前知识经济的时代下,特别是我国加入WTO以后,我国企业将直接面对外国企业特别是跨国公司的挑战,对外贸易越来越频繁,企业经营所遇到的各种风险也越来越多,加之企业经营改制中存在的不完善的运作,企业的压力越来越大,面临的危机越来越严峻。因此一个企业要想在这样的经济潮流中生存、竞争、发展就必须提高自身的竞争能力,而建立健全企业内部的控制制度,是提高企业经济效益,提高自身竞争能力的关键所在。 企业内部控制制度是企业内部各层次、各环节整体科学高效的管理控制制度的有机体系,是由一系列控制政策和程序所组成的系统。目的是保证生产经营活动有序、高效的运行,保证企业资产的完整与安全,防范各种经营风险,及时防止和纠正错误与弊端,保证会计资料的真实完整,经营运作信息的及时准确。它是通过企业内部高层管理者乃至每一名员工在明确分工的基础上进行的科学高效的相互制约的行为规范。 一、科学合理完整的内部控制制度是现代企业发展的现实需要 企业制定内部控制制度,首先必须确保国家有关法律、法规和企业内部管理制度的贯彻执行,并使之有机地结合起来,形成一个科学严谨的经营管理循环。就制定内控制度而言,我认为企业的高层领导在企业经营的设计理念上就应该高度树立制定内控制度的观点和意识,注意从建章建制向整体框架的构建与认真实施转变,做事应兼顾国家、集体、个人的利益,积极主动、科学严谨的制定有序高效的内部控制制度体系。经济越发展,内部控制制度就越重要。企业上至领导下至每一位员工、在每项业务和环节上都必须按内
企业内部控制基本规范考试答案
试卷类型:限时测试试卷考试时间:150分钟查看成绩 一、单项选择题(本类题共10小题,每小题4分,共40分。每小题备选答案中,只有一个符合题意的正确答案。) 1.企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业外部之间进行有效沟通的是()。 A.内部监督 B.风险评估 C.控制活动 D.信息与沟通 A B C D 【答案错误】× 2.下列各项中,企业战略目标一般是()。 A.稳定的 B.动态的 C.具体的 D.详细的 A B C D 【正确答案】:A 【解析】: 企业战略目标一般是稳定的,但是它的具体目标却是动态的。具体目标会随着内部和外部条件的变化而重新调整,以便和战略目标相协调。 3.企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略的是()。 A.内部环境 B.风险评估 C.控制活动 D.内部监督 A B C D 【答案错误】× 4.下列各项中,属于销售与收款业务的相关岗位及人员设置重点检查的内容是()。 A.是否存在销售与收款业务不相容职务混岗的现象 B.销售合同的授权批准手续是否齐全
C.信用政策、价格政策的执行是否合理合法D.坏账的确认、批准和坏账准备的计提情况
A B C D 【正确答案】:A 【解析】:监督销售与收款业务相关岗位及人员的设置情况,应重点检查是否存在销售与收款业务不相容职务混岗的现象。 5.下列各项中,属于企业风险中最常见的形态是()。 A. 财产风险 B. 人身风险 C. 责任损失风险 D. 财务风险 A B C D 【正确答案】:A 【解析】: 我们将企业的风险概括为:财产风险、人身风险和责任损失风险等。财产损失是企业风险中最常见的形态。 6.下列各项中,属于授权批准控制要求的是()。 A.单位应合理设置会计及相关工作岗位,明确职责权限 B.单位内部的各级管理层必须在授权范围内行使职权和承担责任 C.单位应明确账、证、表的处理程序 D.单位应建立和完善会计档案保管和会计工作交接办法 A B C D 【答案错误】× 7.专项监督的范围和频率应当根据风险评估结果以及一项监督的有效性等予以确定,这项监督指的是()。 A.日常监督 B.专项监督 C.审计监督 D.所有权监督 A B C D 【答案错误】×
企业内部控制的经典案例
企业内部控制的经典案例 --巨人集团的兴衰 一、公司背景 巨人集团曾经是我国民营企业的佼佼者,一度在市场上叱咤风云,该企业以闪电般的速度崛起后,又以流星般的速度迅速在市场上沉落了。1989年8月,史玉柱用先打广告后付款的方式,将其研制的M-6401桌面排版印刷系统软件推向市场,赚进了经商生涯中的第一桶金,奠定了巨人集团创业的基石。1991年4月,珠海巨人新技术公司成立;1993年7月,巨人集团下属全资子公司38个,成为中国第二大民营高科技企业;1994年年初,号称中国第一高楼的巨人大厦一期工程动土,同年史玉柱当选为“中国改革风云人物”;但1997年年初,巨人大厦在只完成了相当于三层楼高的首层大堂后停工,各方债主纷纷上门,老“巨人”的资金链断裂,负债2.5亿元的史玉柱黯然离开,巨人集团破产。 二、老“巨人”的衰弱----内部控制的紊乱 (一)内部环境 巨人集团有董事会,但形同虚设。史玉柱手下的几位副总都没有股份,在集团讨论重决策时,他们很少坚持自己的意见,他们也无权干预史玉柱的错误决策。因此,在巨人集团的高层没有一种权力制约,巨人集团实行的是“一个人说了算的机制。另一方面,权利都集中在史玉柱一人手中,因此,监事会实质上也无法起到任何监督和制衡的作用。集团的快速扩张,资产规模的快速膨胀,也是的内部的管理变
得浮躁而混乱。同时,巨人集团从几个人发展到上千人,人员素质、组织结构以及企业文化都在不断磨合;由于缺乏规范的基础性内部控制,各类违规、违纪、违法案件,诸如截留、坐支、挪用公款、搞虚假广告等问题屡见不鲜;最终酿成了资金断流、经营难以为继的局面,甚至在危急时刻,“巨不肥”带来的利润还被一些人私分,如此可见,巨人集团的内部环境存在着多大的漏洞。 (二)风险评估 由于缺乏必要的财务危机意识和预警机制,老“巨人”的债务结构始终处在一种不合理的状态。。在巨人营销最辉煌的时期,每月市场回款可达3 000万~5 000万元。以如此高额的营业额和流动额,完全可以陆续申请流动资金贷款,并逐渐转化为在建项目的分段抵押贷款。但史玉柱一向以零负债为荣,以不求银行为傲。一味指望用保健品的利润积累来盖大厦,这成了巨人突发财务危机的致命伤。到1996年下半年,资金紧张时,由于缺乏与银行的信贷联系,加上正赶上国家宏观调控政策的影响,巨人陷入了全面的金融危机。 企业积极管理和应对风险的关键,在于评估风险、量化风险,针对风险根源和计量采取不同的风险管理策略。巨人集团每一次遇到危机时,都没有对企业面临的内外风险进行评估,没有看清楚纯粹风险损失有多大,如何把握机会风险,而仅仅是跟进社会上的热点行业,盲目涉足多元化经营,而导致现金流缺乏,同时缺乏危机意识,最终未能控制好财务风险和经营风险。巨人集团向保健品和房地产行业多元化发展的目标,与巨人集团的管理能力、资金能力和技术能力产
会计事务所与企业内部控制制度4.doc
会计事务所与企业内部控制制度4 会计事务所与企业内部控制制度 (一)强化会计师事务所对企业内部控制的监督作用 强化会计师事务所的外部监督能够促使企业不断完善内部控制制度。财政、税务、审计等部门要加强彼此间的信息交流,形成有效的监督合力,抓好对注册会计师执业质量的监管,充分发挥会计师事务所的外部监督作用。注册会计师在执行独立审计业务过程中对被审计单位的内部控制进行了解、测试和评估后,应将其发现的内部控制重大缺陷告知被审计单位的管理当局。会计师事务所应揭露企业内部控制制度存在的问题和漏洞,揭露因内部控制薄弱而造成的某些经济损失或经济违法行为等,并对揭露的各种消极因素及时进行制止、处罚,还应将情节严重的有关责任人移交司法机关处理。 (二)会计师事务所出具管理建议书,完善企业内部控制制度 管理建议书是注册会计师在完成审计工作后,针对审计过程中已注意到的,可能导致被审计单位财务报表产生重大错误报告的内部控制重大缺陷提出书面建议。提交管理建议书是注册会计师的职业责任,是对被审计单位提供的最有价值的服务之一。由于注册会计师的职业特点,在审计过程中按规定需要检查被审计单位的内部控制系统,能够了解被审计单位经营管理中的关键所在。注册会计师出具的管理建议书能够指明企业内部控制设计及运行方面的重大缺陷,以及相应的改进措施。这种意见最及时、
有效,能够促使被审计单位加强内部控制,改善工作,以防止弊端的发生。企业可以充分利用注册会计师出具的管理建议书了解其内部控制的不足,不断完善内部控制制度,提高企业管理的专业化程度和管理效率。 (三)会计师事务所对企业内部控制进行专门审核 由于管理建议书仅指出了注册会计师在审计过程中注意到的内部控制的重大缺陷,其所提建议不具有强制性和公证性,所以管理建议书不应被视为注册会计师对被审计单位内部控制整体发表的鉴证意见。为了进一步对企业内部控制进行评价和建议,笔者提出,企业还应委托注册会计师出具针对其内部控制整体框架的期间性内部控制审核报告。 美国和中国台湾已相应建立了定期聘请注册会计师对内部控制制度予以评价的模式,我国也应借鉴这一先进经验。注册会计师执行内部控制审核的目标是:对被审核单位管理当局关于与会计报表相关的内部控制有效性的书面认定的公允性发表意见。注册会计师采用询问、观察、检查、重新执行等方法进行企业内部控制审核评价,并提出相关的管理意见,有以下两方面的作用: 一方面,有利于完善内部控制系统。注册会计师对企业内部控制系统的检查和评价,其对象和目的就在于内部控制的完善性上。这里所指的完善性,就是指内部控制系统是否健全、是否严密。在执行内部审核的过程中,注册会计师需要做大量的收集、整理、分析和评价工作。因此,通过注册会计师对企业内部控制的调查,就能够明确被审计单位内部控制系统是否完善。如果被调查的企业内部控制尚不完善,注册会计师可以提出改进建议或
公司内部控制制度 (一)
公司内部控制制度 (一) 内部控制管理制度 总则 第一条为规范和加强公司内部控制,提高公司经营管理水平和风险防范能力,促进公 司可持续发展,保护投资者的合法权益,根据《公司法》、《证券法》、《企业内部控制基本规 范》、《上海证券交易所股票上市规则》、《上海证券交易所上市公司内部控制指引》等法律法 规、业务规则以及《公司章程》的相关规定,制定本制度。 第二条本制度所称内部控制,是指由公司董事会、监事会、管理层以及全体员工实施 的、旨在实现控制目标的过程。 第三条内部控制的目标是: (一)合理保证公司经营管理合法合规。 (二)保障公司的资产安全。 (三)保证公司财务报告及相关信息真实完整。 (四)提高经营效率和效果。 (五)促进公司实现发展战略。 第四条公司建立与实施内部控制制度,应遵循下列原则: (一)全面性原则。内部控制贯穿决策、执行和监督全过程,覆盖公司及其所属单位的 各种业务和事项。 (二)重要性原则。内部控制在全面控制的基础上,关注重要业务事项和高风险领域。 (三)制衡性原则。内部控制在治理结构、机构设置及权责分配、业务流程等方面形成 相互制约、相互监督,同时兼顾运营效率。 (四)适应性原则。内部控制与公司经营规模、业务范围、竞争状况和风险水平等相适 应,并随着情况的变化及时加以调整。 (五)成本效益原则。内部控制权衡实施成本与预期效益,以适当的成本实现有效控制。 第五条公司建立与实施有效的内部控制,包括下列基本要素: (一)目标设定,是指董事会和管理层根据公司的风险偏好设定战略目标。 (二)内部环境,是指公司实施内部控制的基础,包括治理结构、机构设置及权责分配、 内部审计、人力资源政策、公司文化等。 (三)风险确认,是指董事会和管理层确认影响公司目标实现的内部和外部风险因素。 (四)风险评估,是指公司及时识别、系统分析经营活动中与实现内部控制目标相关的 风险,合理确定风险应对策略。 (五)风险管理策略选择,是指董事会和管理层根据公司风险承受能力和风险偏好选择 风险管理策略。 (六)控制活动,控制活动是指公司根据风险评估结果,采用相应的控制措施,将风险 控制在可承受度之内。 (七)信息与沟通,信息与沟通是指公司及时、准确地收集、传递与内部控制相关的信 息,确保信息在公司内部、公司与外部之间进行有效沟通。 (八)内部监督,是指公司对内部控制建立与实施情况进行监督检查,评价内部控制的 有效性,发现内部控制缺陷,应当及时加以改进。 第六条公司内部控制活动涵盖公司所有的营运环节,包括但不限于:销售及收款、采购和费用及付款、固定资产管理、存货管理、 预算管理、资金管理、重大投资管理、财务报 告、成本和费用控制、信息披露、人力资源管理和系统信息管理等。
汇总企业内部控制规范案例
上市公司实施内部控制成功案例简介 整理表 姓名: 职业工种: 申请级别: 受理机构: 填报日期: A4打印/ 修订/ 内容可编辑
上市公司实施内部控制成功案例简介 按照财政部、证监会等五部委的联合发文规定,境内外同时上市的公司于2011年开始实施内部控制规范,在上海、深圳证券交易所主板上市的公司于2012年开始实施。实施内部控制规范的公司,应进行内部控制建设和自我评价,并出具自我评价报告。根据日常监管和调研发现,部分上市公司在内部控制建设和自我评价等方面有其突出的特点和成功的经验。现将中国海洋石油股份有限公司(以下简称“中海油”)和中国建筑股份有限公司(以下简称“中国建筑”),有关情况进行简要介绍,供参考。 一、中海油内部控制建设情况 中海油,同时在美国和香港两地上市,按照美国《萨班斯法案》的要求,自2006年上市开始,每年都在年度报告中披露内部控制自我评价报告和审计报告。中海油在不断总结分析、创新企业管理模式的基础上,将内部控制的精神实质全面融入了企业的生产经营和管理之中,有效地防范了重大风险,讫今未发生过投资决策失误、重大安全事故及重大违法违纪案件。 (一)明确的内部控制工作长期目标
与一般上市公司实施内部控制不同的是,中海油除满足监管要求的同时,以实施《萨班斯法案》为契机,建立一套与公司战略目标相配套、适应公司实际的内部控制及风险管理体系,作为中海油内部控制建设的长期目标。 (二)拥有足够权威和权限的专业团队 中海油自2003年启动内部控制工作,成立了由法规主任(执行董事)和财务总监联合领导的内部控制专职团队,在财务管理部下设风控办,各业务部门均设立内部控制岗位。几年来,内部控制专职团队一直主导着公司各项流程、制度的定期梳理和持续改善工作,定期与一线业务部门一起讨论流程或制度的改善方案,报请批准后发布执行。没有内部控制专职团队的意见,任何流程和制度不得随意更改。这一机制从根本上确保了内部控制的有效实施。 (三)持续推进内部控制工作的进一步深化 中海油内部控制实施工作分为两个阶段,每个阶段的侧重点有所不同。第一阶段(2003-2005年)以财务报告内部控制为核心,不断完善相关制度建设,符合不同监管要求。2006年上市后顺利地通过了内部控制有效性审计,进入内部控制实施工作的第二阶段,即构建全面风险管理体系。
第六章 企业内部控制应用指引第4号.doc
第六章企业内部控制应用指引第4号--社会责任 第一节企业为什么要履行社会责任 履行社会责任是企业应尽的义不容辞的义务,也是企业的光荣使命。 西方发达国家,企业履行社会责任意识都很强。 一般认为,企业就是创造利润的,利润最大化或股东财富最大化是企业发展的唯一目标,社会责任是政府的事情,与己无关。这种观点和定位有失偏颇。 企业履行社会责任的意义 (一)企业创造利润或财富与履行社会责任是统一的有机整体。 (二)企业履行社会责任是提升发展质量的重要标志,也是实现可持续长远发展的根本所在。 --责任引领未来 (三)企业履行社会责任,是打造和提升企业形象的重要举措。 --实现企业与社会、自然的和谐相融 第二节企业应履行哪些社会责任 《企业内部控制应用指引第4号——社会责任》规定一般企业履行的社会责任包括: (1)安全生产 (2)产品质量 (3)环境保护 (4)资源节约 (5)促进就业 (6)员工权益保护等方面 支持慈善事业、支援灾区、扶穷助困等。 特殊行业的企业可能还应履行特别的社会责任。 第三节企业在履行社会责任方面的风险(一)
至少应当关注在履行社会责任方面的风险: (一)安全生产措施不到位,责任不落实,可能导致企业发生安全事故。 (二)产品质量低劣,侵害消费者利益,可能导致企业巨额赔偿、形象受损,甚至破产。 (三)环境保护投入不足,资源耗费大,造成环境污染或资源枯竭,可能导致企业巨额赔偿、缺乏发展后劲,甚至停业。 (四)促进就业和员工权益保护不够,可能导致员工积极性受挫,影响企业发展和社会稳定。 案例: (一)特大矿难频发。 第四节企业在履行社会责任方面的风险(二) (二)墨西哥湾原油泄漏事件是美国历史上最严重的环境灾难。 (三)深圳东部华侨城“太空迷航”迷了航。 (四)其他事件(食用油)。 第五节如何履行好社会责任(一) (一)总体原则 企业应当重视履行社会责任,切实做到经济效益与社会效益、短期利益与长远利益、自身发展与社会发展相互协调,实现企业与员工、企业与社会、企业与环境的健康和谐发展。(指引第四条) (二)基本要求 (1)企业负责人要增强意识和端正态度。 (2)要统筹规划、真抓实干。 把履行社会责任融入企业发展战略,落实到生产经营的各个环节和部门,落实到预算安排和统计、考核体系。 (3)建立企业社会责任报告制度、形成互动。 (三)具体措施
企业内部控制的10种方法
企业内部控制的10种方法 《会计法》明确提出各单位应当建立、健全本单位的内部会计监督制度的要求,并提出会计工作中职务分离、重大事项决策与执行程式、财産清查和定期内部审计等规定,这些要求和规定从其实质内容来讲,就是要加强各单位的内部控制。其目的在於建立和完善符合现代管理要求的内部组织结构,形成科学的决策机制、执行机制和监督机制,确保单位经营管理目标的实现;建立行之有效的风险控制系统,强化风险管理,确保单位各项业务活动的健康运行,堵塞漏洞、消除隐患,防止并及时发现和纠正各种欺诈、舞弊行爲,保护单位财産的安全完整;规范单位会计行爲,保证会计资料真实、完整,提高会计资讯质量,确保国家有关法律法规和单位内部规章制度的贯彻执行。要实现上述目标,笔者认爲,只有在内部控制结构和内部控制成分的基础上运用各种内部控制方法才能真正将内部控制落到实处。 加强内部控制是贯彻《会计法》及提高企业管理水平、增强企业竞争力的客观要求。研究和运用内部控制的各种方法是建立和完善内部控制制度的一项极其重要的内容。 一、组织规划控制 组织规划是对企业组织机构设置、职务分工的合理性和有效性所进行的控制。企业组织机构有两个层面:一是法人的治理结构问题,涉及董事会、监事会、经理的设置及相关关系,二是管理部门设置及其关系,对财务管理来说,就是如何确定财务管理的广度和深度,由此産生集权管理和分级管理的组织模式。职务分工主要解决不相容职务分离。所谓不相容职务分离是指那些由一个人担任,即可能发生错误和弊端又可掩盖其错误和弊端的职务。企业内部主要不相容职务有:授权批准职务、业务经办职务、财産保管职务、会计记录职务和审核监督职务。这五种职务之间应实行如下分离:(1)授权批准职务与执行业务职务相分离。(2)业务经办职务与审核监督职务分离。 (3)业务经办职务与会计记录职务分离。(4)财産保管职务与会计记录职务分离。(5)业务经办职务与财産保管职务相分离。 要建立健全组织规划控制,目前必须解决两个问题: (1)设立管理控制机构。例如,目前有些上市公司中依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益尝试。机构设置因单位的经营特点和经营规模而异,很难找到一个通用模式。比如设立价格委员会的企业大都是规模很大、采用集中采购方式且采购价格变动较大的企业,这些企业设立价格委员会能够有效加强采购环节的价格监督与控制。再比如,对於规模大、技术含量很高、高知人员云集、按劳取酬的企业,通过设立报酬委员会进行管理层持股及股票期权问题研究,能够提高报酬计划按劳取酬科学性、加强报酬计划执行中的透明度和监控力度。(2)推行职务不相容制度,杜绝高层管理人员交叉任职。交叉任职主要体现在董事长和总经理爲一人,董事会和总经理班子人员重叠。在上市公司中,这一问题虽有了较大的改变,但从公司制企业的总体上看,仍普遍存在。这种交叉任职的後果是董事会与总经理班子之间权责不清、制衡力度锐减。关键人大权独揽,一人具有几乎无所不管的控制权,且常常集控制权、执行权和监督权於一身,并有较大的任意性。交叉任职违背了内部控制的基本原则,必然带来权责含糊,易於造成办事程式由一个人操纵的现象出现。事实上,资金调拨、资産处置、对外投资等方面出现的问题重要原因之一在於交叉任职,董事会缺乏独立性。因此,建立内部控制框架首先要在组织机构设置和人员配备方面做到董事长和总经理分设、董事会和总经理班子分设,避免人员重叠。 二、授权批准控制
内部控制概念 要素 原则 方法
内部控制是指一个单位的各级管理层,为了保护其经济资源的安全、完整,确保经济和会计信息的正确可靠,协调经济行为,控制经济活动,利用单位内部分工而产生的相互制约,相互联系的关系,形成一系列具有控制职能的方法、措施、程序,并予以规范化,系统化,使之成为一个严密的、较为完整的体系.是用来协调经济行为、控制经济活动,从而形成一系列具有控制职能的方法、措施、程序,并予以规范化,系统化,使之成为一个严密的、较为完整的体系。它有几项构成要素构成。 内部控制的构成要素包括以下几项: 一、内部环境 内部环境是内部控制存在和发展的空间, 是内部控制赖以生存的土壤, 控制环境的好坏 直接决定着其他控制要素能否发挥作用。内部环境包括了: 1、董事会; 2、监事会; 3、组织结构; 4、授权和分配责任的方法; 5、审计委员会及内部审计; 6、人力资源政策和实务; 7、员工; 8、企业文化。 二、风险评估 风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。 常用的方法主要包括: 1、风险因素分析法 风险因素分析法是指对可能导致风险发生的因素进行评价分析,从而确定风险发生概率大小的风险评估方法。 其一般思路是: 调查风险源→识别风险转化条件→确定转化条件是否 具备→估计风险发生的后果→风险评价。 2、模糊综合评价法 3、内部控制评价法 内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关,因而这种方法主要在控制风险的评估中使用。注册会计师对于企业内部控制所做出的研究和评价可分为三个步骤: 4、分析性复核法
企业内部控制五要素
企业内部控制五要素 有效的内部控制至少应当包括以下五项基本要素: 1、内部环境:内部环境是影响、制约企业内部控制建立与执行各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。 2、风险评估:风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不正确因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定,风险识别、风险分析和风险应对。 3、控制活动:控制活动是根据风险评估结果、结合风险应对策略采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制活动结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 4、信息与沟通:信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关的沟通机制等。 5、对控制的监督。监督检查是企业对其内部控制的健全性、合理性有效进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行连续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。 五要素之间的关系 1、内部环境是基础,是企业建设内部控制的土壤,是一切内控制度、流程、控制点得以实施的根本条件。一个企业内控好坏,首先应对其内控环境进行评价,如果环境不好,就需要更仔细和深入的进行建设,换句话说,如果环境建设得好,具备良好的风险意识和内控文化,即使一些小方面存在控制不足,也并不重要。 2、风险评估、控制活动、信息沟通。这是内控体系核心三个环节。
企业内部控制与风险管理的五个关键要素
第八讲企业内部控制与风险管理的五个关键要素控制论、系统论、信息论这三论构成了现代企业管理的理论基础,健全有效的内部控制不仅能够合理保证企业的生产经营和管理活动合法合规,提高企业各类报告的真实性、可靠性和完整性。而且可以改进企业的运营水平和风险防范能力,提高企业的管理效率。改善企业运营的效率和效果,帮助企业实现发展战略,促进企业的可持续发展。 内部控制要素在内部控制框架中居于核心地位,直接影响着内部控制的设计、实施和评价。在要素层面,一般认为内部控制有五大要素内部环境、风险评估、控制活动、信息与沟通、内部监督。说的在形象化一点,企业就像是一个人,内部环境就是人的头,风险评估、控制活动、信息与沟通、内部监督分别是人的四肢,只有头脑清晰,四肢健全的的健康“人”才能走的更长远。 内部环境是构成企业内部控制赖以存在的基础,一般认为包括企业目标及发展战略、组织架构及权责配置、人力资源政策及实践、企业社会责任、企业文化等等。 风险评估要素是企业设计和实施控制活动的依据,一般认为包括内部控制目标的设定、风险识别、风险分析和风险应对。 针对企业识别出来的风险企业需要开展控制活动。 控制活动要素一般认为包括不相容职务分离、授权审批控制、全面预算管理、会计系统控制、信息系统控制。 企业在风险评估和开展控制活动过程中,随时需要信息、需要沟通,包括内部信息、外部信息、内部沟通、外部沟通。 企业内部控制设计和运行的有效性随时需要监督,内部监督既是内部控制的构成要素之一,又是对内部控制其他要素的一种再控制,是保障内部控制有效性的关键。企业可通过持续监督、定期评估或两者并用来实现这个过程。 内部控制的主要领域,包括企业整体层面的控制、业务活动的控制、对子公司的控制、对分支机构的控制四个层次。 企业内部控制和风险管理的五个关键点,是建立所有企业管理的基础。
公司内部控制自我评价报告
公司内部控制自我评价报告 欧普康视科技股份有限公司全体股东: 根据《企业内部控制基本规范》及其配套指引的规定和其他内部控制监管要求(以下简称“企业内部控制规范体系”),结合欧普康视科技股份有限公司(以下简称“公司”或“欧普康视”)内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,我们对公司20×× 年 12 月 31 日(内部控制评价报告基准日)的内部控制有效性进行了评价。 一、重要声明 按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导公司内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。 公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业战略目标的实现。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。 二、内部控制评价结论 根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。 根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未发现非财务报告内部控制重大缺陷。自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
企业内部控制之安全管理0001
第 4 章 企业内部控制 社会责任 1.安全委员会由总经理直接领导 ,由生产部经理、安全部经理、各车间负责人及其他相关部门构成 ,负 4. 3企业安全生产控制 4. 3. 3 安全生产管理制度 安全生产是企业保证员工人身、财产安全的重要途径 ,企业应当根据国家安全生产的相关法律法 规,结合本企业实际情况,建立严格的安全生产管理体系、操作规范和应急预案 ,强化安全生产责任追究 制度,切实做到安全生产。下面是某公司制定的安全生产管理制度 ,供读者参考。 安全生产管理制度 第1章总则 第1条目的 为加强本公司生产工作的劳动保护 ,改善劳动条件,保护员工在生产过程中的人身安全和财产安全 ,根 据 《中华人民共和国安全生产法》的有关规定和劳动保护的相关法律法规 ,结合本公司实际情况,特制定本制 度。 第2条安全生产管理原则 公司安全生产工作必须贯彻“安全第一 ,预防为主” 的方针,坚持“谁主管、谁负责”的原则 ,坚持生产 经营管理要服从安全需要的原则 ,实现安全生产和文明生产。 第2章安全生产责任制 ,对公司安全生产工作负责,必须认真贯彻落实国家制定的劳动保护条 ,严格审批安全生产工作规则、 安全生产条例、安全生产制度和安全生 产技术措施等规章制度并监督各部门的执行。 第3条总经理职责 总经理是安全生产的第一责任人 例和安全生产的政策法令及规章制度
第4 章企业内部控制社会责任第4条安全管理委员会职责 1.安全委员会由总经理直接领导,由生产部经理、安全部经理、各车间负责人及其他相关部门构成,负
责安全生产的领导、监督、检查和评比考核工作。 2.安全委员会负责制定安全生产相关规章制度,并监督实施。 3.深入生产现场,定期组织安全生产和劳动纪律的检查监督及宣传教育工作,掌握安全生产工作情况并制定改善措施。 4.检查违章指挥和违章作业,发现险情及时处理,并责令部门或个人暂停生产,迅速制定处理方案并组 织实施。 5.审查生产现场各工序组织设计中的安全生产技术措施,对不符合安全要求和缺少针对性的措施提出 完善意见。 6.制定安全生产考核标准与奖惩措施,并监督执行。 第5条生产经理岗位安全管理职责 1.贯彻执行公司安全管理制度,落实各项安全生产规程的要求。 2.拟定各项安全生产工作规则、安全操作标准,并监督执行。 3.定期组织安全生产检查,督促整改安全生产工作中的不足之处,并参与组织安全生产竞赛活动。 4.主持重大工伤事故的现场调查和处理,拟定并落实整改措施。 5.监督执行员工安全生产教育、法制教育,领导和督促安全生产工作。 第6条专职安全员的职责 各生产车间设专职安全员,负责直接监督、指导生产车间的安全生产。安全员实行安全委员会委任制 专职安全员由各车间提名,报安全委员会确定后委任,并下达委任书。 第7条相关职能部门的相关职责 相关职能部门的安全生产管理职责如下表所示。
企业内控指引(全套1-18)
附件1: 企业内部控制应用指引 企业内部控制应用指引第1号——组织架构 第一章总则 第一条 为了促进企业实现发展战略,优化治理结构、管理体制和运行机制,建立现代企业制度,根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》,制定本指引。 第二条 本指引所称组织架构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。 第三条 企业至少应当关注组织架构设计与运行中的下列风险:(一)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。 (二)内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。 第二章组织架构的设计 第四条 企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保
决策、执行和监督相互分离,形成制衡。 董事会对股东(大)会负责,依法行使企业的经营决策权。可按照股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序,为董事会科学决策提供支持。 监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。 经理层对董事会负责,主持企业的生产经营管理工作。经理和其他高级管理人员的职责分工应当明确。 董事会、监事会和经理层的产生程序应当合法合规,其人员构成、知识结构、能力素质应当满足履行职责的要求。 第五条 企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。 重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。 第六条 企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。 第七条 企业应当对各机构的职能进行科学合理的分解,确定具