KPMG毕马威内控配套指引讲解
《企业内部控制制配套指引》实施解读
一、《企业内部控制配套指引》主要内容解析
二、企业的合规遵循挑战
三、合规之路该如何计划
四、经验分享
企业内部控制基本规范
企业内部控制应用指引 企业内部控制评价指引 企业内部控制审计指引
《应用指引》
、《评价指引》和《审计指引》构成 企业 内部控制配套指引 用于指导企业如何更加有效实施基本 规范。
《企业内部控制应用指引》:共 18
项,用以指导企业开展内部控 制建设,并为企业及事务所的内 部控制评价及审计提供参考。内 容包含制定该项指引的总体目标、 涉及事项的定义、相关风险描述、 业务流程规范和关键控制点要求 等标准性内容。
《企业内部控制评价指引》:用 以指导企业开展内部控制评价, 以满足基本规范的实施要求。内 容包含评价原则、评价制度要求、 评价的内容、评价的程序、缺陷 的认定、评价报告。 《企业内部控制审计指引》:用 以规范注册会计师执行企业内部
控制审计业务。内容包含审计目 标、计划审计工作、实施审计工 作、评价控制缺陷、完成审计工 作、出具审计报告、记录审计工 作、审计报告参考格式。 《基本规范》从内部环境、风险评估、控制活
动、信息与沟通以及内部监督五大要素的角 度,对于中国企业应如何建立、维持有效的内
部控制提出了原则性的要求,建立了具有中国 特色的内部控制框架。
2008 年 6 月 28
日发布
2010 年 4 月 26
日发布
一、《企业内部控制配套指引》主要内容解析
财务报告
内部控制有效性
的外部审计
内部控制有效性的自我评价内控体系的建设和实施企业
?按照《评价指引》的相关要求,对内部控制的有效性进行自我评价
?评价对象包括企业建立和实施的财务和非财务内部控制,需对这些内部控制的设计和执行有效性进行评价
企业
?从《基本规范》规定的五大要素出发,参照《应用指引》的具体要求,建立和实施完善的内部控制体系
审计师:
?按照《审计指引》的要求,对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露
?评价对象为企业建立和实施的财务报告内部控制
《企业内部控制配套指引》
适用企 业
境、内外同时上市的公司
在上海证券交易所、深圳证券交易所主板上市公司实施
中小板和创业板上市公司
非上市大中型企业
第一个合
规报告年
度
《企业内部控制应用指引》:共18项,用以指导企业开展内部控制建设,并为企业及事务所的内部控制评价及审计提供参考。内容包含制定该项指引的总体目标、涉及事项的定义、相关风险描述、业务流程规范和关键控制点要求等标准性内容。应用指引条目如下:
1-组织架构2-发展战略3-人力资源4-社会责任5-企业文化6-资金活动7-采购业务8-资产管理9销售业务10研究与开发11工程项目12担保业务
13业务外包14财务报告15全面预算16合同管理17内部信息传
递
18信息系统
根据各具体指引所规范内容的不同,可以将应用指引分为三类:
内部环境类(5个)控制活动类(9个)控制手段类(4个)
?组织架构?发展战略?人力资源?社会责任?企业文化?资金活动? 工程项目
?采购业务? 担保业务
?资产管理? 业务外包
?销售业务? 财务报告
?研究与开发
?全面预算
?合同管理
?内部信息传递
?信息系统
目标:对于流程控制目标的整体
要求。
企业可参考指引中所述目标,从
定性和定量两个角度细化本企业
各流程的具体控制目标,作为流
程风险评估的基础
定义:对于流程所涉及业务范
围的定义。
企业应根据自身实际业务情
况,对流程所涉及的业务范围
进行明确定义。
风险:流程中可能涉及的主要风
险。
企业可考虑参考指引中所述风
险,采用一定的风险评估方法,
识别、评估本企业流程可能涉及
的重大风险,并作为内控建设的
基础
对于流程控制的整体要求。应
作为企业设计本流程内部控制
体系的整体性原则。主要业务环节及具体内控要求。企业可参考这些具体要求,结合本企业实际情况,制定细化的内部控制步骤和程序,包括明确内控执行的岗位和人员、频率、文档、问题跟进措施等。
在应用指引使用过程中应注意以下问题: ?应用指引仅是对于主要业务流程环节和内部控制提出了原则性的要求
?18项应用指引涵盖了制造企业常见的重要业务领域,但是对于具体企业来说,
肯定会存在一些应用指引无法涵盖的业务活动。因此企业需要根据基本规范和应用指引的总体原则和企业实际的风险情况,对自身业务、风险和内部控制进行详细梳理,而不能仅仅依赖应用指引进行内控体系的建设。(例如对于银行业来说,并没有专门的指引对商业银行的核心业务流程,例如存款业务、贷款业务、资金业务、中间业务等进行明确规定)
?企业可以参考应用指引的架构和内容,细化制定本企业的内部控制手册
章节关注点
第一章总则?内部控制评价的最终责任机构是企业董事会或类似权力机构
?企业内部控制评价的原则:全面性、重要性、客观性
?企业应根据评价指引及实际情况,制定具体的内部控制评价办法
第二章内部控制评价的内容?企业内部控制评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素,并包含内部控制设计和运行两个方面
?内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容
第三章内部控制评价的程序?企业可以授权内部审计部门或专门机构负责内部控制评价的具体组织实施工作
?评价工作方案应报经董事会或其授权机构审批后实施
?评价工作组成员对本部门的内部控制评价工作应当实行回避制度
?企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所,不得同时为同一
企业提供内部控制评价服务
第四章内部控制缺陷的认定?内部控制缺陷包括设计缺陷和运行缺陷
?内部控制缺陷的认定应当以日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价部门进行
综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定
?内部控制缺陷可以分为重大缺陷、重要缺陷和一般缺陷(但具体认定标准由企业根据指引中原则自行确定)
?企业应对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核;缺陷应向董事会、监事会
或者经理层报告;重大缺陷应当由董事会予以最终认定;对于重大缺陷应追究有关部门或相关人员的责任第五章内部控制评价报告?对报告的主要内容进行了要求。报告应当报经董事会或类似权力机构批准后对外披露
董事会须对内部控制有效性的评价负责。董事会应审批评价工作方案,对重大缺陷
进行认定,对评价报告进行批准,并出具内部控制报告真实性的声明。- 评价指引
新董事会应向审计师提供声明书,声明董事会认可其对建立健全和有效实施内部控制负责。并与审计师沟通审计师确认的重大
缺陷和重要缺陷等重要内控事项。
- 审计指引
企业内部控制评价指引
- 指引所称内部控制评价,是指企业董事会(或类似权力机构)对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
关键条文概述
配套指引对董事会的要求
董事会是企业内部控制体系的重要组成部分。董事会依法行使企业的经营决策权,对企业重大经济事项进行审批。-应用指引企业内部控制应用指引
-
董事会对股东(大)会负责,依法行使企业的经营决策权。可按照股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序,为董事会科学决策提供支持。
-
董事会(或类似权力机构)应对发展战略方案,重大研究项目,重大工程项目的立项,重大担保业务,重大业务外包方案,和全面预算草案进行审批。
董事会负责内部控制的建立健全和有效实
施-基本规范,具体体现在:
新
新
- 企业董事会应当对内部控制评价报告的真实性负责。
- 企业内部控制评价部门应当拟订评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或其授权机构审批后实施。
- 企业内部控制评价部门应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、
监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。
- 内部控制评价报告应当披露董事会对内部控制报告真实性的声明。
- 内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。
企业内部控制审计指引
- 董事会应向注册会计师提交书面声明,声明董事会认可其对建立健全和有效实施内部控制负责。- 注册会计师以书面形式与董事会沟通其在审计过程中识别的重大缺陷和重要缺陷;审计范围受到限制的情况及对审计委员会和内部审计机构对内部控制的监督无效的认定。
比较内容配套指引的要求美国萨班斯法案第404条款香港企业管制常规守则C2.1条款
主要实施要求③企业应当对内部控制的有效性进行
自我评价,并披露年度自我评价报
告;
③企业应当聘请会计师事务所对财务
报告内部控制的有效性发表审计意
见③公司管理层申明对建立和维持适当
财务报告内控结构及控制程序的责
任,并在其提交的年报中对内控有
效性做出评价
③审计师须对管理层遵循情况进行测
试和评价,并出具评价报告
③董事应至少每年检讨一次上市公司及其
附属公司的内部监控系统是否有效,并
在企业管治报告中向股东汇报已经完成
的有关检讨。有关检讨应涵盖所有重要
的监控方面,包括财务监控、运作监控
及合规监控以及风险管理功能。
③没有对与内控审计的具体要求
是否给出评价指引
③ 企业内部控制评价指引③ SEC给出了“管理层评价指引”,
但并不强制企业遵循,提供了可接
受的一种遵循途径
③ 没有颁布专门的评价指引,仅在
香港会计师公会为此专门制定的《内
部监控和风险管理的基本框架》中,
对于检讨程序有原则性规定
评价责任机构③ 董事会(或类似权力机构)③ 管理层③ 董事
评价结论的判定标准③ 未明确说明内控有效性结论的判
定标准
③ 存在一个或多个实质性漏洞,
内部控制即告无效
③ 未要求评价工作给出评价结论
二、企业的合规遵循挑战
?基本规范和配套指引为原则性指引,且专业性强,有些企业可能会觉得理解起来,操作起来有难度。
?除财务报告内部控制有效性外,企业还需评价企业在合法合规、资产安全、经营的效率和效果以及发展战略方面内部控制的有效性,内容广泛,任务重。?对于2011 和2012年即将为第一个遵循年度,遵循时间紧迫。
?指引中没有对缺陷分类的具体认定标准,企业需自己确定,工作难度高。?指引中缺乏
对企业内部
控制有效性
的结论的判
断标准的说
明,操作起
来将有一定
难度。
外部法规带来
的挑战
?对于首年上
市企业无豁
免条款,对
于上市时间短、内控基础稍差的企
业来说,挑战很大。
?非生产制造类型企业,特别是银行
、保险、证券公司、基金公司等特
殊行业对应用指引的借鉴会有一定
的局限性,遵循挑战较大
?审计指引中没有对缺陷的具体定义
,可能存在企业与审计师在缺陷认
定上的分歧。
?审计指引中没有针对“财务报告内部
控制”的内涵和外延的明确规定,可
能引发企业与审计师的意见分歧。
遵循基本规范和配套指引的挑战来自外部法规的挑战
……
来自企业 自身的挑战
知识与观念
架构与实务
IT
系统
项目管理
? 治理层对内控要求不了解,指导和监督内控工作不到位
? 经理层和其他高级管理人员不理解建设内部控制的意义,认
为内部控制阻碍经营效率,将内控工作做成 “ 两张皮
”
? 企业员工不理解什么是内控,不清晰自己的内控责任,无法 自觉维护内控有效性。
? 企业缺乏足够的具备所需知识、 技能的内控维护和监督队伍
?
缺乏对内控缺陷进行判断的经验
?
从未系统地按五要素框架进行内控架构的梳理,评估,缺 乏相关的知识和经验。 ?
从未进行过系统的风险评估工作 ?
缺乏全面的、规范的规章制度对内部控制设计情况进行记
录 ?
系统与业务发展脱节,不能对公司战略的实施提供良好支撑 ?
业务系统和财务系统脱节,信息一致性和可用性无法得到保 证 ?
信息系统存在明显的安全漏洞
?
系统开发和变更控制薄弱 ?
出于利用人工流程的便捷和灵活性 的目的,回避信息系统内部控制
?
第一年的遵循工作规模大,涉及面 广,要求企业具备组织、管理大型 项目的丰富经验
? 缺乏完善的监督机制,导致内部控制执 行不力 ?
内部控制的运行缺乏书面证据 ?
反舞弊程序和控制薄弱
?
低估遵循项目难度,遵循工作不能按时间表进行,或缺乏 对工作成果的质量控制 ?
未能有效计划、控制遵循成本
三、合规之路该如何计划
一般而言,企业可考虑通过以下六个步骤来实现对基本规范和配套指引的遵循:
对于已经启动和推进遵循方案的企业:
?应根据三项指引重新审视既定的遵循方案并视情况进行必要调整。其中,境内外同时上市的企业应准确理解已经实施的境外上市地监管规定与即将实施的中国规定之间的差异,并据以考虑是否需要开展补充性工作。
?应积极与监管机构互动,获得监管机构对于所遇到的重大问题的指导,并促使监管机构进一步发布有关解释公告。