2010年高级会计师考试大纲(七)
第七章 企业内部控制
一、内部控制的目标、原则与要素
(一)内部控制目标
内部控制是由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
1.促进遵循国家法律法规
守法和诚信是企业健康发展的基石。逾越法律的短期发展终将付出沉重代价。内部控制要求企业必须将发展置于国家法律法规允许的基本框架之下,在守法的基础上实现自身的发展。
2.促进维护资产安全
资产安全是投资者、债权人和其他利益相关者普遍关注的重大问题,是企业可持续发展的物质基础。良好的内部控制,应当为资产安全提供扎实的制度保障。
3.促进提高信息报告质量
可靠及时的信息报告能够为企业提供准确而完整的信息、支持企业经营管理决策和对营运活动及业绩的监控;同时,保证对外披露的信息报告的真实、完整,有利于提升企业的诚信度和公信力,维护企业良好的声誉和形象。
4.促进提高经营效率和效果
它要求企业结合自身所处的特定的内外部环境,通过建立健全有效的内部控制,不断提高经营活动的盈利能力和管理效率。
5.促进实现发展战略
这是内部控制的终极目标。它要求企业将近期利益与长远利益结合起来,在企业经营管理中努力作出符合战略要求、有利于提升可持续发展能力和创造长久价值的策略选择。
(二)内部控制原则
内部控制原则是企业建立与实施内部控制应当遵循的基本指针。
1.全面性原则
内部控制应当贯穿决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项,实现全过程、全员性控制,不存在内部控制空白点。
2.重要性原则
内部控制应当在兼顾全面的基础上,关注重要业务事项和高风险领域,并采取更为严格的控制措施,确保不存在重大缺陷。重要性原则的应用需要一定的职业判断,企业应当根据所处行业环境和经营特点,从业务事项的性质和涉及金额两方面来考虑是否及如何实行重点控制。
3.制衡性原则
内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节;同时,还要求履行内部控制监督职责的机构或人员具有良好的独立性。
4.适应性原则
内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整。适应性原则要求企业建立与实施内部控制应当具有前瞻性,适时地对内部控制系统进行评估,发现可能存在的问题,并及时采取措施予以补救。
5.成本效益原则
内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。成本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。对成本效益原则的判断需要从企业整体利益出发,尽管某些控制会影响工作效率,但可能会避免整个企业面临更大损失,此时仍应实施相应控制。
(三)内部控制要素
1.内部环境
内部环境规定企业的纪律与架构,影响经营管理目标的制定,塑造企业文化氛围并影响员工的控制意识,是企业建立与实施内部控制的基础。内部环境主要包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
(1)治理结构。企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确董事会、监事会和经理层在决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。
(2)机构设置及权责分配。企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。企业内部机构设置虽然没有统一模式,但所采用的组织结构应当有利于提升管理效能,并保证信息通畅流动。
(3)内部审计机制。企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。
(4)人力资源政策。人力资源政策应当有利于企业可持续发展,一般包括员工的聘用、培训、辞退与辞职;员工的薪酬、考核、晋升与奖惩;关键岗位员工的强制休假制度和定期岗位轮换制度;对掌握国家秘密或重要商业秘密的员工离岗的限制性规定等内容。企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。
(5)企业文化。企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识和法制观念。董事、监事、经理及其他高级管理人员在塑造良好的企业文化中发挥关键作用。
2.风险评估
风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险,合理确定风险应对策略,实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(1)目标设定。风险是指一个潜在事项的发生对目标实现产生影响的可能性。风险与可能被影响的控制目标相关联。企业必须制定与生产、销售、财务等业务相关的目标,设立可辨认、分析和管理相关风险的机制,以了解企业所面临的来自内部和外部的各种不同风险。
(2)风险识别。企业不仅要识别内部风险,还要识别与控制目标相关的各类外部风险。企业识别内部风险,一般关注:董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;组织机构、经营方式、资产管理、业务流程等管理因素;研究开发、技术投入、信息技术运用等自主创新因素;财务状况、经营成果、现金流量等财务因素;营运安全、员工健康、环境保护等安全环保因素等。企业识别外部风险,一般关注:经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;法律法规、监管要求等法律因素;安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;技术进步、工艺改进等科学技术因素;自然灾害、环境状况等自然环境因素等。
(3)风险分析。在充分识别各种潜在风险因素后,要对固有风险,即不采取任何防范措施可能造成的损失程度进行分析,同时,重点分析剩余风险,即采取了相应应对措施之后仍可能造成的损失程度。企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
(4)风险应对。企业在分析了相关风险的可能性和影响程度后,结合风险承受度,权衡风险与收益,确定风险应对策略。常用的风险应对策略有:风险规避,即改变或回避相关业务,不承担相应风险;风险承受,即比较风险与收益后,愿意无条件承担全部风险;风险降低,即采取一切措施降低发生不利后果的可能性;风险分担,即通过购买保险、外包业务等方式来分担一部分风险。风险应对策略的选择与企业风险偏好密切相关,为此企业应当合理分析、掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。风险应对策略往往需结合运用。
3.控制活动
控制活动是指企业根据风险应对策略,采用相应的控制措施,将风险控制在可承受度之内,是实施内部控制的具体方式。常见的控制措施有:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
(1)不相容职务分离控制。所谓不相容职务,是指那些如果由一个人担任既可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为的职务。不相容职务一般包括:授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等。对于不相容的职务如果不实行相互分离的措施,就容易发生舞弊等行为。不相容职务分离的核心是“内部牵制”,因此,企业在设计内部控制系统时,首先应确定哪些岗位和职务是不相容的;其次要明确规定各个机构和岗位的职责权限,使不相容岗位和职务之间能够相互监督、相互制约,形成有效的制衡机制。
(2)授权审批控制。授权审批是指企业在办理各项经济业务时,必须经过规定程序的授权批准。授权审批形式通常有常规授权和特别授权之分。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权,用以规范经济业务的权力、条件和有关责任者,其时效性一般较长。特别授权是企业在特殊情况、特定条件下对办理例外的、非常规性交易事项的权力、条件和责任的应急性授权。企业必须建立授权审批体系,编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。对于重大的业务和事项,企业应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或擅自改变集体决策。
(3)会计系统控制。会计作为一个信息系统,对内能够提供经营管理的诸多信息,对外可以向投资者、债权人等提供用于投资等决策的信息。会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等而进行的控制。其内容主要包括:①依法设置会计机构,配备会计从业人员,建立会计工作的岗位责任制,对会计人员进行科学合理的分工,使之相互监督和制约;②按照规定取得和填制原始凭证;③设计良好的凭证格式;④对凭证进行连续编号;⑤规定合理的凭证传递程序;⑥明确凭证的装订和保管手续责任;⑦合理设置账户,登记会计账簿,进行复式记账;⑧按照《会计法》和国家统一的会计准则制度的要求编制、报送、保管财务会计报告。
(4)财产保护控制。财产是企业资金、财物及民事权利义务的总和,按是否具有实物形式,分为有形财产(如资金、财物)和无形财产(如著作权、发明权),按民事权利义务,分为积极财产(如金钱、财物及各种权益)和消极财产(如债务)。保障财产安全特别是资产安全,是内部控制的重要目标之一。财产保护控制的措施主要包括:①财产记录和实物保管。关键是要妥善保管涉及资产的各种文件资料,避免记录受损、被盗、被毁。对重要的文件资料,应当留有备份,以便在遭受意外损失或毁坏时重新恢复,这在计算机处理条件下尤为重要。②定期盘点和账实核对。它是指定期对实物资产进行盘点,并将盘点结果与会计记录进行比较。盘点结果与会计记录如不一致,可能说明资产管理上出现错误、浪费、损失或其他不正常现象,应当分析原因、查明责任、完善管理制度。③限制接近。它是指严格限制未经授权的人员对资产的直接接触,只有经过授权批准的人员才能接触该资产。限制接近包括限制对资产本身的接触和通过文件批准方式对资产使用或分配的间接接触。一般情况下,对货币资金、有价证券、贵重物品、存货等变现能力强的资产必须限制无关人员的直接接触。
(5)预算控制。预算是企业未来一定时期内经营、资本、财务等各方面的收入、支出、现金流的总体计划。预算控制的内容涵盖了企业经营活动的全过程,企业通过预算的编制和检查预算的执行情况,可以比较、分析内部各单位未完成预算的原因,并对未完成预算的不良后果采取改进措施。在实际工作中,预算编制不论采用自上而下或自下而上的方法,其决策权都应落实在内部管理的最高层,由这一权威层次进行决策、指挥和协调。预算确定后由各预算单位组织实施,并辅之以对等的权、责、利关系,由内部审计等部门负责监督预算的执行。分解预算控制的主要环节有:①确定预算的项目、标准和程序;②编制和审定预算;③预算指标的下达和责任人的落实;④预算执行的授权;⑤预算执行过程的监控;⑥预算差异的分析和调整;⑦预算业绩的考核和奖惩。
(6)运营分析控制。运营分析是对企业内部各项业务、各类机构的运行情况进行独立分析或综合分析,进而掌握企业运营的效率和效果,为持续的优化调整奠定基础。运营分析控制要求企业建立运营情况分析制度,综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方面,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
(7)绩效考评控制。绩效考评是对所属单位及个人占有、使用、管理与配置企业经济资源的效果进行的评价。企业董事会及经理层可以根据绩效考评的结果进行有效决策,引导和规范员工行为,促进实现发展战略和提高经营效率效果。绩效考评控制的主要环节有:①确定绩效考评目标,绩效考评目标应当具有针对性和可操作性;②设置考核指标体系,考核指标既要有定量指标,以反映评价客体的各种数量特征,又要有定性指标,以说明各项非数量指标的影响,同时,针对不同的评价指标赋予相应的权重,体现各项评价指标对绩效考评结果的影响程度和重要程度;③选择考核评价标准,评价标准是反映评价指标优劣的具体参照物和对比尺度,企业可以根据评价目标选用不同的评价标准,如历史标准、预算标准、行业标准等;④形成评价结果,根据评价指标和评价标准,对企业全体员工的业绩进行定期考核和客观评价,在此基础上形成评价结论;⑤制定奖惩措施,企业应当将绩效考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗和辞退等的依据。
除上述常见控制措施外,企业还需建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案,明确责任人员、规范处理程序,确保突发事件得到及时妥善处理。
4.信息与沟通
信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通,是实施内部控制的重要条件。信息与沟通的要件主要包括:信息质量、沟通制度、信息系统、反舞弊机制。
(1)信息质量。信息是企业各类业务事项属性的标识,是确保企业经营管理活动顺利开展的基础。企业日常生产经营需要收集各种内部信息和外部信息,并对这些信息进行合理筛选、核对、整合,提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息;还可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。
(2)沟通制度。信息的价值必须通过传递和使用才能体现。企业应当建立信息沟通制度,将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。重要信息须及时传递给董事会、监事会和经理层。
(3)信息系统。为提高控制效率,企业可以运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。企业利用信息技术对信息进行集成和共享的同时,还应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
(4)反舞弊机制。舞弊是指企业董事、监事、经理、其他高级管理人员、员工或第三方使用欺骗手段获取不当或非法利益的故意行为,它是需要企业重点加以控制的领域之一。企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。反舞弊工作的重点包括:①未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益;②在财务会计报告和信息披露等方面存在虚假记载、误导性陈述或者重大遗漏等;③董事、监事、经理及其他高级管理人员滥用职权;④相关机构或人员串通舞弊。为确保反舞弊工作落到实处,企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。
5.内部监督
内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,对于发现的内部控制缺陷,及时加以改进,是实施内部控制的重要保证。内部监督包括日常监督和专项监督。
(1)日常监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。日常监督的常见方式包括:①在日常生产经营活动中获得能够判断内部控制设计与运行情况的信息;在与外部有关方面沟通过程中获得有关内部控制设计与运行情况的验证信息;②在与员工沟通过程中获得内部控制是否有效执行的证据;③通过账面记录与实物资产的检查比较对资产的安全性进行持续监督;④通过内部审计活动对内部控制有效性进行持续监督。
(2)专项监督。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或某些方面进行有针对性的监督检查。专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。专项监督应当与日常监督有机结合,日常监督是专项监督的基础,专项监督是日常监督的补充,如果发现某专项监督需要经常性地进行,企业有必要将其纳入日常监督之中。
日常监督和专项监督情况应当形成书面报告,并在报告中揭示存在的内部控制缺陷。内部监督形成的报告应当有畅通的报告渠道,确保发现的重要问题能及时送达至治理层和经理层;同时,应当建立内部控制缺陷纠正、改进机制,充分发挥内部监督效力。企业应当在日常监督和专项监督的基础上,定期对内部控制的有效性进行自我评价,出具自我评价报告。内部控制自我评价的方式、范围、程序和频率,除法律法规有特别规定的,一般由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。
(四)内部控制的组织实施
1.内部控制的组织形式
内部控制建设是一项系统工程,需要企业董事会、监事会、经理层及内部各职能部门共同参与并承担相应的职责。
(1)董事会
董事会对内部控制的建立健全和有效实施负责,定期召开董事会议,商讨内部控制建设中的重大问题并作出决策。内部控制建立与实施对企业组织架构最直接的影响就是加大了董事会及其全体董事的责任,具体包括:科学选择经理层并对其实施有效监督;清晰了解企业内部控制的范围;就企业的最大风险承受度形成一致意见;及时知悉企业最重大的风险以及经理层是否恰当地予以应对。
(2)审计委员会
审计委员会是董事会下设的专业委员会。内部控制建立与实施对审计委员会的人员构成、议事规则、报告机制等均有重要影响,要求审计委员会负责人及其成员必须具备相应的独立性、良好的职业操守和专业胜任能力。审计委员会在内部控制中的职责一般包括:审查企业内部控制的设计;监督内部控制有效实施;领导开展内部控制自我评价;与中介机构就内部控制审计和其他相关事宜进行沟通协调等。
(3)监事会
监事会对董事会建立与实施内部控制进行监督。监事会监督不同于审计委员会对经理层的监督,是一种层次更高、独立性更高的再监督。监事会主席及其成员应当定期参加董事会及其审计委员会召开的涉及内部控制的会议,如对董事会及其审计委员会有关内部控制的决策持有异议,或认为董事会和经理层成员存在舞弊行为,还可提议召开独立的监事会议。
(4)经理层
经理层负责组织领导企业内部控制的日常运行。经理作为企业经营管理活动的最高执行者,在内部控制建设过程中尤其承担着重要责任,包括:贯彻董事会及其审计委员会对内部控制的决策意见;为其他高级管理人员提供内部控制方面的领导和指引;定期与采购、生产、营销、财务、人事等主要职能部门和业务单元的负责人进行会谈,对他们控制风险的措施及效果进行督导和核查等。
(5)内部控制部门
企业建立与实施内部控制,可以根据需要成立专门的内部控制工作团队,以项目组的形式运作;也可以成立内部控制专职机构(或岗位),专门负责内部控制在企业内部各部门间的组织协调和日常性事务工作。内部控制专职机构的职责一般包括:制定内部控制手册并组织落实;确定各职能部门或业务单元对于内部控制的权利和义务;指导内部控制与其他经营计划和管理活动的整合;向董事会及其审计委员会或经理层报告内部控制建设进展情况和存在的问题等。
(6)内部审计部门
内部审计部门在评价内部控制的有效性,以及提出改进建议等方面起着关键作用。企业应当授予内部审计部门适当的权力以确保其独立地履行审计职责;对内部审计部门负责人的任免应当慎重;内部审计部门负责人与董事会或审计委员会应保持畅通沟通;应当赋予内部审计部门追查异常情况的权力和提出处理处罚建议的权力。
(7)财会部门
财会部门在保证与财务报告相关的内部控制有效性方面,发挥着十分重要的作用。企业开展内部控制工作,要求财会部门不能将眼光仅仅局限于财务活动,而应贯穿企业经营管理的全过程,在制定发展战略、分析评估风险和作出决策等环节扮演好关键的助手和参谋角色。为此,企业经理层应当赋予财会部门负责人参与相应决策的权力,并支持和指导其关注经营管理的更广范畴。
(8)其他职能部门
企业内部各职能部门(或业务单位)及其全体员工都应当在建立与实施内部控制过程中承担相应职责并发挥积极作用。如法律部门应当建立法律顾问制度和重大法律纠纷案件备案制度,做好法律宣传和解释工作,确保企业合法经营;人事部门应当建立举报人保护制度,确保投诉举报机制有效运行,并成为企业反舞弊的重要手段,等等。企业可以根据需要在各职能部门(或业务单位)内部设立内部控制岗位,专门负责与本部门相关的内部控制工作,并定期与内部控制职能部门进行沟通。企业经理层应当重视全体员工在内部控制中的作用,为员工反映诉求提供信息通道。
2.内部控制的设计程序
(1)对企业的组织体系、机构设置、营业范围、经营方式、主要业务、营运情况、管理水平、员工情况、财务状况、经营成果以及所处的外部环境等进行全面总结和分析。
(2)按照一定的方法,合理归集、构建适应企业经营管理状况和内部控制要求的相关子系统,包括组织架构、发展战略、人力资源、企业文化、社会责任等内部环境系统;资金活动、采购业务、资产管理、销售业务、研究开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统等业务活动系统。
(3)对各相关子系统进行认真研究和梳理,确定各子系统运行过程中的主要风险、关键环节和关键控制点,并针对每一个关键环节和关键控制点制定有效的控制措施。
(4)用文字、流程图、风险控制文档等多种形式将各相关子系统及其业务和事项的风险类型、控制目标、关键控制点、控制措施、控制频率加以规定和说明,形成与经营管理制度有机结合的内部控制。
运用计算机信息技术手段实施内部控制的企业,在建立健全本企业内部控制时,应当充分考虑手工控制与计算机信息技术控制的特点和差异,但不得因实行计算机信息技术控制而免除或减少必要的控制程序。
3.内部控制的实施体系
内部控制的实施体系由三个层面构成:
(1)以标准建设为推动,即由财政部门同相关政府部门联合研究制定一套科学的、权威的、统一的企业内部控制规范体系,国务院部门和系统在此基础上,根据法律法规和行业监管规则,制定相关政策性文件,明确特定行业、特殊类型企业建立与实施内部控制的具体要求。
(2)以企业实施为主体,企业应当根据有关法律法规和企业内部控制规范体系,制定本企业的内部控制制度并组织实施,同时建立内部控制的自我评价和激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。
(3)以政府监管和社会评价为补充,财政、审计、证券、银行、保险等政府监管部门应对企业建立与实施内部控制的情况进行监督检查,会计师事务所应对企业内部控制的有效性进行审计,并出具内部控制审计报告。
二、企业层面控制
企业层面控制,是指对企业控制目标的实现具有重大影响,与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。在此,侧重介绍与内部环境直接相关的有关控制。
(一)组织架构控制
组织架构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
1.组织架构设计与运行中的主要风险
(1)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。
(2)内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。
2.组织架构设计环节的关键控制点及控制措施
(1)董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序等应当根据国家有关法律法规的规定予以明确,企业的决策权、执行权和监督权应当相互分离,形成制衡。其中:
①董事会对股东(大)会负责,依法行使企业的经营决策权。可按照股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序,为董事会科学决策提供支持。
②监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。
③经理层对董事会负责,主持企业的生产经营管理工作。经理和其他高级管理人员的职责分工应当明确。
董事会、监事会和经理层的产生程序应当合法合规,其人员构成、知识结构、能力素质应当满足履行职责的要求。
(2)企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。
(3)企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
(4)企业应当按照不相容职务相互分离的要求,对各机构的职能进行科学合理的分解,确定具体岗位的名称、职责和工作要求等,明确各个岗位的权限和相互关系。
组织架构中的不相容职务通常包括:可行性研究与决策审批;决策审批与执行;执行与监督检查等。
(5)企业应当制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件,使员工了解和掌握组织架构设计及权责分配情况,正确履行职责。
3.组织架构运行环节的关键控制点及控制措施
(1)企业应当根据组织架构的设计规范,对现有治理结构和内部机构设置进行全面梳理,确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。
①在梳理治理结构的过程中,应当重点关注董事、监事、经理及其他高级管理人员的任职资格和履职情况,以及董事会、监事会和经理层的运行效果。治理结构存在问题的,应当采取有效措施加以改进。
②在梳理内部机构设置过程中,应当重点关注内部机构设置的合理性和运行的高效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率低下的,应当及时解决。
(2)企业拥有子公司的,应当建立科学的投资管控制度,通过合法有效的形式履行出资人职责、维护出资人权益,重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。
(3)企业应当定期对组织架构设计与运行的效率和效果进行全面评估,发现组织架构设计与运行中存在缺陷的,及时优化调整。组织架构调整应当充分听取董事、监事、高级管理人员和其他员工的意见,按照规定的权限和程序进行决策审批。
(二)发展战略控制
发展战略,是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的长远发展目标与战略规划。
1.发展战略制定与实施中的主要风险
(1)缺乏明确的发展战略或发展战略实施不到位,可能导致企业盲目发展,难以形成竞争优势,丧失发展机遇和动力。
(2)发展战略过于激进,脱离企业实际能力或偏离主业,可能导致企业过度扩张,甚至经营失败。
(3)发展战略因主观原因频繁变动,可能导致资源浪费,甚至危及企业的生存和持续发展。
2.发展战略制定环节的关键控制点及控制措施
(1)企业应当在充分调查研究、科学分析预测和广泛征求意见的基础上,综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素,制定发展目标。
(2)企业应当根据发展目标制定战略规划,明确企业发展的阶段性和发展程度,确定每个发展阶段的具体目标、工作任务和实施路径。
(3)企业可以在董事会下设立战略委员会,或指定相关机构负责发展战略规划管理工作,履行相应职责。企业发展战略委员会对发展目标和战略规划进行可行性研究和科学论证,形成发展战略建议方案。
(4)董事会应当严格审议战略委员会提交的发展战略方案,重点关注其全局性、长期性和可行性。董事会在审议方案中如果发现重大问题,应当责成战略委员会对方案作出调整。企业的发展战略方案经董事会审议通过后,报经股东(大)会批准实施。
3.发展战略实施环节的关键控制点及控制措施
(1)企业应当根据战略规划,制定年度工作计划,编制全面预算,将年度目标分解、落实;同时完善发展战略管理制度,确保发展战略有效实施。
(2)企业应当采取组织结构调整、人员调配、财务安排、薪酬分配、信息沟通、管理和技术变革等配套保障措施,确保发展战略的有效实施。
(3)企业应当重视发展战略的宣传工作,通过内部各层级会议和教育培训等有效方式,将发展战略及其分解落实情况传递到内部各管理层级和全体员工。
(4)企业应当加强对发展战略实施情况的监控和评估,定期收集和分析相关信息,对于明显偏离发展战略的情况,应当及时进行内部报告;由于经济形势、产业政策、技术进步、行业状况以及不可抗力等因素发生重大变化,确需对发展战略作出调整的,应当按照规定程序调整发展战略。
(三)人力资源控制
人力资源,是指企业组织生产经营活动而录(任)用的各种人员,包括董事、监事、高级管理人员和全体员工。企业应当重视人力资源建设,根据发展战略,结合人力资源现状和未来需求预测,制定人力资源总体规划和能力框架体系,优化人力资源整体布局,明确人力资源的引进、开发、使用、培养、考核、激励、退出等管理要求,实现人力资源的合理配置,全面提升企业核心竞争力。
1.人力资源管理中的主要风险
(1)人力资源缺乏或过剩、结构不合理、开发机制不健全,可能导致企业发展战略难以实现。
(2)人力资源激励约束制度不合理、关键岗位人员管理不完善,可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。
(3)人力资源退出机制不当,可能导致法律诉讼或企业声誉受损。
2.人力资源引进与开发环节的关键控制点及控制措施
(1)企业应当根据人力资源总体规划,结合生产经营实际需要,制定年度人力资源需求计划,完善人力资源引进制度,规范工作流程,按照计划、制度和程序组织人力资源引进工作。
(2)企业应当根据人力资源能力框架要求,明确各岗位的职责权限、任职条件和工作要求,遵循德才兼备、以德为先和公开、公平、公正的原则,通过公开招聘、竞争上岗等多种方式选聘优秀人才,重点关注选聘对象的价值取向和责任意识。
(3)企业应当依法与选聘人员签订劳动合同,建立劳动用工关系。对于在产品技术、市场、管理等方面掌握或涉及关键技术、知识产权、商业秘密或国家机密的工作岗位,应当与该岗位员工签订有关岗位保密协议,明确保密义务。
(4)企业应当建立选聘人员试用期和岗前培训制度,对试用人员进行严格考察,试用期满考核合格后,方可正式上岗;试用期满考核不合格者,应当及时解除劳动关系。
(5)企业应当重视人力资源开发工作,建立员工培训长效机制,营造尊重知识、尊重人才和关心员工职业发展的文化氛围,加强后备人才队伍建设,促进全体员工的知识、技能持续更新,不断提升员工的服务效能。
3.人力资源使用与退出环节的关键控制点及控制措施
(1)企业应当建立和完善人力资源的激励约束机制,设置科学的业绩考核指标体系,对各级管理人员和全体员工进行严格考核与评价,以此作为确定员工薪酬、职级调整和解除劳动合同等的重要依据。
(2)企业应当制定与业绩考核挂钩的薪酬制度,切实做到薪酬安排与员工贡献相协调,体现效率优先,兼顾公平。
(3)企业应当制定各级管理人员和关键岗位员工定期轮岗制度,明确轮岗范围、轮岗周期、轮岗方式等,形成相关岗位员工的有序持续流动,全面提升员工素质。
(4)企业应当按照有关法律法规规定,结合企业实际,建立健全员工退出(辞职、解除劳动合同、退休等)机制,明确退出的条件和程序,确保员工退出机制得到有效实施。对考核不能胜任岗位要求的员工,应当及时暂停其工作,安排再培训,或调整工作岗位,安排转岗培训;仍不能满足岗位职责要求的,应当按照规定的权限和程序解除劳动合同。
(5)企业应当与退出员工依法约定保守关键技术、商业秘密、国家机密和竞业限制的期限,确保知识产权、商业秘密和国家机密的安全。企业关键岗位人员离职前,应当根据有关法律法规的规定进行工作交接或离任审计。
(6)企业应当定期对年度人力资源计划执行情况进行评估,总结人力资源管理经验,分析存在的主要缺陷和不足,完善人力资源政策,促进企业整体团队充满生机和活力。
(四)社会责任控制
社会责任,是指企业在经营发展过程中应当履行的社会职责和义务,主要包括安全生产、产品质量(含服务)、环境保护、资源节约、促进就业、员工权益保护等。企业应当重视履行社会责任,切实做到经济效益与社会效益、短期利益与长远利益、自身发展与社会发展相互协调,实现企业与员工、企业与社会、企业与环境的健康和谐发展。
1.履行社会责任中的主要风险
(1)安全生产措施不到位,责任不落实,可能导致企业发生安全事故。
(2)产品质量低劣,侵害消费者利益,可能导致企业巨额赔偿、形象受损,甚至破产。
(3)环境保护投入不足,资源耗费大,造成环境污染或资源枯竭,可能导致企业巨额赔偿、缺乏发展后劲甚至停业。
(4)促进就业和员工权益保护不够,可能导致员工积极性受挫,影响企业发展和社会稳定。
2.安全生产环节的关键控制点及控制措施
(1)企业应当建立严格的安全生产管理体系、操作规范和应急预案,强化安全生产责任追究制度,切实做到安全生产。
(2)企业应当设立安全管理部门和安全监督机构,负责企业安全生产的日常监督管理工作。
(3)企业应当重视安全生产投入,在人力、物力、资金、技术等方面提供必要的保障,健全检查监督机制,确保各项安全措施落实到位,不得随意降低保障标准和要求。
(4)企业应当贯彻预防为主的原则,采用多种形式增强员工安全意识,重视岗位培训,对于特殊岗位实行资格认证制度。
(5)发生生产安全事故时,企业应当按照安全生产管理制度妥善处理,排除故障,减轻损失,追究责任。重大生产安全事故应当启动应急预案,同时按照国家有关规定及时报告,严禁迟报、谎报和瞒报。
3.产品质量环节的关键控制点及控制措施
(1)企业应当根据国家和行业相关产品质量的要求,从事生产经营活动,切实提高产品质量和服务水平,努力为社会提供优质安全健康的产品和服务,最大限度地满足消费者的需求,对社会和公众负责,接受社会监督,承担社会责任。
(2)企业应当规范生产流程,建立严格的产品质量控制和检验制度,严把质量关,禁止缺乏质量保障、危害人民生命健康的产品流向社会。
(3)企业应当加强产品的售后服务。售后发现存在严重质量缺陷、隐患的产品,应当及时召回或采取其他有效措施,最大限度地降低或消除缺陷、隐患产品的社会危害。妥善处理消费者提出的投诉和建议,切实保护消费者权益。
4.环境保护与资源节约环节的关键控制点及控制措施
(1)企业应当建立环境保护与资源节约制度,提高环境保护与资源节约意识,认真落实节能减排责任,积极开发和使用节能产品,发展循环经济,降低污染物排放,提高资源综合利用效率,并通过宣传教育等有效形式,不断提高员工的环境保护和资源节约意识。
(2)企业应当重视生态保护,加大对环保工作的人力、物力、财力的投入和技术支持,不断改进工艺流程,降低能耗和污染物排放水平,实现清洁生产。
(3)企业应当重视资源节约和资源保护,利用国家产业结构调整相关政策,加快高新技术开发和传统产业改造,切实转变发展方式,着力开发利用可再生资源,防止对不可再生资源进行掠夺性或毁灭性开发,实现低投入、低消耗、低排放和高效率。
(4)企业应当建立环境保护和资源节约的监控制度,定期开展监督检查,发现问题,及时采取措施予以纠正。污染物排放超过国家有关规定的,企业应当承担治理或相关法律责任。发生紧急、重大环境污染事件时,应当启动应急机制,及时报告和处理,并依法追究相关责任人的责任。
5.促进就业与员工权益保护环节的关键控制点及控制措施
(1)企业应当依法保护员工的合法权益,贯彻人力资源政策,保护员工依法享有劳动权利和履行劳动义务,保持工作岗位相对稳定,积极促进充分就业,切实履行社会责任。避免在正常经营情况下批量辞退员工,增加社会负担。
(2)企业应当与员工签订劳动合同并依法履行,遵循按劳分配、同工同酬的原则,建立科学的员工薪酬制度和激励机制,不得克扣或无故拖欠员工薪酬。
(3)企业应当建立高级管理人员与员工薪酬的正常增长机制,切实保持合理水平,维护社会公平。
(4)企业应当及时办理员工社会保险,足额缴纳社会保险费,保障员工依法享受社会保险待遇。企业应当按照有关规定做好健康管理工作,预防、控制和消除职业危害;按期对员工进行健康监护,对从事有职业危害作业的员工进行职业性健康监护。企业应当遵守法定的劳动时间和休息休假制度,确保员工的休息休假权利。
(5)企业应当加强职工代表大会和工会组织建设,维护员工合法权益,积极开展员工职业教育培训,创造平等发展机会。尊重员工人格,杜绝性别、民族、宗教、年龄等各种歧视,保障员工身心健康。
(6)企业应当按照产学研用相结合的社会需求,积极创建实习基地,大力支持社会有关方面培养、锻炼社会需要的应用型人才。企业应当积极履行社会公益方面的责任和义务,关心帮助社会弱势群体,支持慈善事业。
(五)企业文化控制
企业文化,是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神,以及在此基础上形成的行为规范的总称。
1.企业文化建设中的主要风险
(1)缺乏积极向上的企业文化,可能导致员工丧失对企业的信心和认同感,企业缺乏凝聚力和竞争力。
(2)缺乏开拓创新、团队协作和风险意识,可能导致企业发展目标难以实现,影响可持续发展。
(3)缺乏诚实守信的经营理念,可能导致舞弊事件的发生,造成企业损失,影响企业信誉。
(4)忽视企业间的文化差异和理念冲突,可能导致并购重组失败。
2.企业文化培育环节的关键控制点及控制措施
(1)企业应当积极培育具有自身特色的企业文化,引导和规范员工行为,打造以主业为核心的企业品牌,形成整体团队的向心力,促进企业长远发展。
(2)企业应当培育体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神,以及开拓创新、团队协作和风险防范意识。
(3)企业应当总结优良传统,挖掘文化底蕴,提炼核心价值,确定文化建设的目标和内容,形成企业文化规范,使其构成员工行为守则的重要组成部分。
(4)董事、监事、经理和其他高级管理人员应当在企业文化建设中发挥主导和垂范作用,以自身的优秀品格和脚踏实地的工作作风,带动影响整个团队,共同营造积极向上的企业文化氛围。企业应当促进文化建设在内部各层级的有效沟通,加强企业文化的宣传贯彻,确保全体员工共同遵守。
(5)企业文化建设应当融入生产经营全过程,切实做到文化建设与发展战略的有机结合,增强员工的责任感和使命感,规范员工行为方式,使员工自身价值在企业发展中得到充分体现。
(6)企业应当重视并购重组过程中的文化建设,平等对待被并购方的员工,促进并购双方的文化融合。
3.企业文化评估环节的关键控制点及控制措施
(1)企业应当建立企业文化评估制度,明确评估的内容、程序和方法,落实评估责任制,避免企业文化建设流于形式。
(2)企业文化评估应当重点关注董事、监事、经理和其他高级管理人员在企业文化建设中的责任履行情况、全体员工对企业核心价值的认同感、企业经营管理行为与企业文化的一致性、企业品牌的社会影响力、参与企业并购重组各方文化的融合度,以及员工对企业未来发展的信心。
(3)企业应当重视文化评估结果,巩固和发扬文化建设成果,针对评估过程中发现的问题,研究影响企业文化建设的不利因素,分析深层次的原因,及时采取措施加以改进。
三、业务层面控制
业务层面控制,是指综合运用各种控制手段和方法,针对具体业务和事项实施的控制。由于企业性质、规模、经营范围和业务特点千差万别。在此,侧重介绍多数企业普遍存在的部分控制。
(一)资金活动控制
资金活动,是指资金流入与流出企业,以及资金在企业内部流转的总称,包括筹资、投资和资金营运等活动。企业应当科学确定投融资战略目标和规划,建立和完善严格的资金授权、批准、审验等相关管理制度,加强资金活动的集中归口管理,明确筹资、投资、营运等各环节的职责权限和岗位分离要求,定期或不定期检查和评价资金活动情况,落实责任追究制度,确保资金安全和有效运行。
1.资金活动中的主要风险
(1)筹资决策不当,引发资本结构不合理或无效融资,可能导致企业筹资成本过高或债务危机。
(2)投资决策失误,引发盲目扩张或丧失发展机遇,可能导致资金链断裂或资金使用效益低下。
(3)资金调度不合理、营运不畅,可能导致企业陷入财务困境或资金冗余。
(4)资金活动管控不严,可能导致资金被挪用、侵占、抽逃或遭受欺诈。
2.筹资活动中的关键控制点及控制措施
(1)企业应当根据筹资战略目标和规划,结合年度全面预算,拟订筹资方案,明确筹资用途、规模、结构和方式等相关内容,对筹资成本和潜在风险作出充分估计。境外筹资还应考虑所在地的政治、经济、法律、市场等因素。
(2)企业应当对筹资方案进行科学论证,不得依据未经论证的方案开展筹资活动。重大筹资方案应当形成可行性研究报告,全面反映风险评估情况。
(3)企业应当对筹资方案进行严格审批,重点关注筹资用途的可行性和相应的偿债能力。重大筹资方案,应当按照规定的权限和程序实行集体决策或者联签制度。筹资方案需经有关部门批准的,应当履行相应的报批程序。筹资方案发生重大变更的,应当重新进行可行性研究并履行相应审批程序。
(4)企业应当根据批准的筹资方案,严格按照规定权限和程序筹集资金。银行借款或发行债券,应当重点关注利率风险、筹资成本、偿还能力以及流动性风险等;发行股票应当重点关注发行风险、市场风险、政策风险以及公司控制权风险等。
(5)企业应当严格按照筹资方案确定的用途使用资金。由于市场环境变化等确需改变资金用途的,应当履行相应的审批程序。严禁擅自改变资金用途。
(6)企业应当严格执行筹资合同约定的条款,加强债务偿还和股利支付环节的管理,对偿还本息和支付股利等作出适当安排。股利分配方案应当经过股东(大)会批准。
3.投资活动中的关键控制点及控制措施
(1)企业应当根据投资目标和规划,合理安排资金投放结构,科学确定投资项目,拟订投资方案,明确投资目标、规模、方式、资金来源,重点关注投资项目的风险和收益。企业选择投资项目应当突出主业,谨慎从事股票投资或衍生金融产品等高风险投资。
(2)企业应当加强对投资方案的可行性研究,重点对投资目标、规模、方式、资金来源、风险与收益等作出客观评价。
(3)企业应当按照规定的权限和程序对投资项目进行决策审批。重大投资项目,应当按照规定的权限和程序实行集体决策或者联签制度。投资方案发生重大变更的,应当重新进行可行性研究并履行相应审批程序。
(4)企业应当根据批准的投资方案,与被投资方签订投资合同或协议,明确出资时间、金额、方式、双方权利义务和违约责任等内容,按规定的权限和程序审批后履行。
(5)企业应当指定专门机构或人员对投资项目进行跟踪管理,关注被投资方的财务状况、经营成果、现金流量以及投资合同履行情况,发现异常情况,应当及时报告并妥善处理。
(6)企业应当加强投资收回和处置环节的控制,对投资收回、转让、核销等决策和审批程序作出明确规定。
4.资金营运环节的关键控制点及控制措施
(1)企业应当加强资金营运的过程管理,统筹协调内部各机构的资金需求,切实做好资金在采购、生产、销售等各环节的综合平衡,全面提升资金营运效率。
(2)企业应当严格按照预算要求组织协调资金调度,确保资金及时收付,实现资金的合理占用和营运的良性循环。严禁资金体外循环。
(3)企业应当定期组织召开资金调度会或资金安全检查,对资金预算执行情况进行综合分析,发现异常情况,及时采取措施妥善处理,避免资金冗余或资金链断裂。
(4)企业应当加强对营运资金的会计系统控制,严格规范资金的收支条件、程序和审批权限。
(5)企业办理资金业务,应当遵守现金和银行存款管理的有关规定,不得由一人办理货币资金全过程业务,严禁将办理资金业务的相关印章和票据集中一人保管。
(二)采购业务控制
采购,是指购买物资(或接受劳务)及支付款项等相关活动。企业应当结合实际情况,全面梳理采购业务流程,建立和完善采购业务相关的管理制度,统筹安排采购计划,明确请购、审批、购买、验收、付款、采购后评估等环节的职责和审批权限,按照规定的审批权限和程序办理采购业务,定期检查和评价采购过程中的薄弱环节,采取有效控制措施,确保物资采购满足企业生产经营需要。
1.采购活动中的主要风险
(1)采购计划安排不合理,市场变化趋势预测不准确,造成库存短缺或积压,可能导致企业生产停滞或资源浪费。
(2)供应商选择不当,采购方式不合理,招投标或定价机制不科学,授权审批不规范,可能导致采购物资质次价高,出现舞弊或遭受欺诈。
(3)采购验收不规范,付款审核不严,可能导致采购物资、资金损失或信用受损。
2.购买环节的关键控制点及控制措施
(1)企业应当建立采购申请制度,明确相关部门或人员的职责权限及相应的请购和审批程序。
(2)企业应当严格按照预算执行进度办理请购手续。对于超预算和预算外采购项目,应先履行预算调整程序,由具备相应审批权限的部门或人员审批后,再行办理请购手续。
(3)企业应当建立科学的供应商评估和准入制度,确定合格供应商清单,与选定的供应商签订质量保证协议,建立供应商管理信息系统,对供应商提供物资或劳务的质量、价格、交货及时性、供货条件及其资信、经营状况等进行实时管理和综合评价,根据评价结果对供应商进行合理选择和调整。
(4)企业应当根据市场情况和采购计划,采取招标采购、询价或定向采购、直接购买等方式合理选择采购方式。
(5)企业应当建立采购定价机制,采取协议采购、招标采购、谈判采购、询比价采购等多种方式合理确定采购价格。
(6)企业应当根据确定的供应商、采购方式、采购价格等情况拟订采购合同,明确双方权利、义务和违约责任,并按照规定权限签订采购合同。
(7)企业应当建立严格的采购验收制度,确定检验方式,由专门的验收机构或验收人员对购买物资(劳务)进行验收,出具验收证明。验收过程中发现的异常情况,负责验收的机构或人员应当及时报告,查明原因并及时处理。
(8)企业应当加强物资采购供应过程的管理,做好采购业务各环节的记录,确保采购业务的可追溯性。及时跟踪合同履行情况,对有可能影响生产或工程进度的异常情况,应出具书面报告并及时提出解决方案。
3.付款环节的关键控制点及控制措施
(1)企业应当加强采购付款的管理,完善付款流程,明确付款审核人的责任和权力,严格审核采购预算、合同、相关单据凭证、审批程序等相关内容,审核无误后按照合同规定及时办理付款。企业在付款过程中,应当严格审查采购发票的真实性、合法性和有效性。发现虚假发票的,应查明原因,及时报告处理。企业应当重视采购付款的过程控制和跟踪管理,发现异常情况,应当拒绝付款,避免出现资金损失和信用受损。
(2)企业应当加强预付账款和定金的管理,涉及大额或长期的预付款项,应当定期进行追踪核查,发现有疑问的预付款项,应当及时采取措施。
(3)企业应当加强对采购活动的会计系统控制,详细记录供应商情况、请购申请、采购合同、采购通知、验收证明、入库凭证、商业票据、款项支付等情况,确保会计记录、采购记录与仓储记录核对一致。企业应当指定专人通过函证等方式,定期与供应商核对应付账款、应付票据、预付账款等往来款项。
(4)企业应当建立退货管理制度,对退货条件、退货手续、货物出库、退货货款回收等做出明确规定,并在与供应商的合同中明确退货事宜,及时收回退货货款。涉及符合索赔条件的退货,应在索赔期内及时办理索赔。
(三)资产管理控制
资产,是指企业拥有或控制的存货、固定资产和无形资产。企业应当加强各项资产管理,全面梳理资产管理流程,及时发现资产管理中的薄弱环节,切实采取有效措施加以改进,并关注资产减值迹象,合理确认资产减值损失。重视各项资产的投保工作,采用招标等方式确定保险人,降低资产损失风险,防范资产投保舞弊。
1.资产管理中的主要风险
(1)存货积压或短缺,可能导致流动资金占用过量、存货价值贬损或生产中断。
(2)固定资产更新改造不够、使用效能低下、维护不当、产能过剩,可能导致企业缺乏竞争力、资产价值贬损、安全事故频发或资源浪费。
(3)无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患,可能导致企业法律纠纷、缺乏可持续发展能力。
2.存货管理环节的关键控制点及控制措施
(1)企业应当采用先进的存货管理技术和方法,规范存货验收程序和方法,对入库存货的质量、数量、技术规格等方面进行查验,验收无误方可入库。
(2)企业应当建立存货保管制度,定期对存货进行检查,加强存货的日常保管工作,严格限制未经授权的人员接触存货。
(3)企业应当明确存货发出和领用的审批权限,大批存货、贵重商品或危险品的发出应当实行特别授权。仓储部门应当根据经审批的销售(出库)通知单发出货物。
(4)企业应当根据各种存货采购间隔期和当前库存,综合考虑企业生产经营计划、市场供求等因素,充分利用信息系统,合理确定存货采购日期和数量,确保存货处于最佳库存状态。
(5)企业应当详细记录存货入库、出库及库存情况,做到存货记录与实际库存相符,并定期与财会部门、存货管理部门进行核对。
(6)企业应当建立存货盘点清查制度,结合本企业实际情况确定盘点周期、盘点流程等相关内容,核查存货数量,及时发现存货减值迹象。企业至少应当于每年年度终了开展全面盘点清查,盘点清查结果应当形成书面报告。盘点清查中发现的存货盘盈、盘亏、毁损、闲置以及需要报废的存货,应当查明原因、落实并追究责任,按照规定权限批准后处置。
3.固定资产管理环节的关键控制点及控制措施
(1)企业应当制定固定资产目录,对每项固定资产进行编号,按照单项资产建立固定资产卡片,详细记录各项固定资产的来源、验收、使用地点、责任单位和责任人、运转、维修、改造、折旧、盘点等相关内容。
(2)企业应当严格执行固定资产日常维修和大修理计划,定期对固定资产进行维护保养,切实消除安全隐患。
(3)企业应当强化对生产线等关键设备运转的监控,严格操作流程,实行岗前培训和岗位许可制度,确保安全运转。
(4)企业应当加大技改投入,不断促进固定资产技术升级,淘汰落后设备,切实做到保持本企业固定资产技术的先进性和企业发展的可持续性。
(5)企业应当规范固定资产抵押管理,确定固定资产抵押程序和审批权限等。
(6)企业应当建立固定资产清查制度,至少每年进行全面清查。对固定资产清查中发现的问题,应当查明原因,追究责任,妥善处理。
(7)企业应当加强固定资产处置的控制,关注固定资产处置中的关联交易和处置定价,防范资产流失。
4.无形资产管理环节的关键控制点及控制措施
(1)企业应当加强对品牌、商标、专利、专有技术、土地使用权等无形资产的管理,分类制定无形资产管理办法,落实无形资产管理责任制,促进无形资产有效利用。
(2)企业应当加强无形资产权益保护,梳理外购、自行开发以及其他方式取得的各类无形资产的权属关系,防范侵权行为和法律风险。企业购入或者以支付土地出让金等方式取得的土地使用权,应当取得土地使用权有效证明文件。
(3)企业应当定期对专利、专有技术等无形资产的先进性进行评估,淘汰落后技术,加大研发投入,促进技术更新换代,不断提升自主创新能力,努力做到核心技术处于同行业领先水平。
(4)企业应当加强品牌建设,加强声誉管理,通过提供高质量产品和优质服务等多种方式,不断打造和培育主业品牌,维护和提升企业品牌的社会认可度。
(四)销售业务控制
销售,是指企业出售商品(或提供劳务)及收取款项等相关活动。企业应当全面梳理销售业务流程,建立和完善销售业务相关的管理制度和办法,确定良好的销售政策和策略,明确销售、发货、收款等环节的职责和审批权限,按照规定的审批权限和程序办理销售业务,定期检查分析销售过程中的薄弱环节,采取有效控制措施,确保实现企业销售目标。
1.销售活动中的主要风险
(1)销售政策和策略不当、市场变化预测不准确、销售渠道管理不当等,可能导致销售不畅、库存积压、经营难以为继。
(2)客户信用调查不到位,结算方式选择不当,账款回收不力等,可能导致销售款项不能收回或遭受欺诈。
(3)销售过程存在舞弊行为,可能导致企业利益受损。
2.销售环节的关键控制点及控制措施
(1)企业应当加强市场调查,合理确定定价机制和信用方式,根据市场变化及时调整销售策略,灵活运用销售折扣、销售折让、信用销售、代销和广告宣传等多种策略和营销方式,不断提高市场占有率。企业应当健全客户信用档案,关注重要客户资信变动情况,采取有效措施,防范信用风险。对于境外客户和新开发客户,应当建立严格的信用保证制度。
(2)企业在销售合同订立前,应当与客户进行业务洽谈、磋商或谈判,关注客户信用状况、销售定价、结算方式等相关内容。重大的销售业务谈判应当吸收财会、法律等专业人员参加,并形成完整的书面记录。
(3)销售合同应当明确双方的权利和义务,审批人员应当对销售合同草案进行严格审核。重要的销售合同,应当征询法律顾问或专家的意见。
(4)企业销售部门应当按照经批准的销售合同开具相关销售通知。发货和仓储部门应当对销售通知进行审核,严格按照所列项目组织发货,确保货物的安全发运。企业应当加强销售退回管理,分析销售退回原因,及时妥善处理。企业应当严格按照发票管理规定开具销售发票。严禁开具虚假发票。
(5)企业应当做好销售业务各环节的记录,填制相应的凭证,设置销售台账,实行全过程的销售登记制度。
(6)企业应当完善客户服务制度,加强客户服务和跟踪,提升客户满意度和忠诚度,不断改进产品质量和服务水平。
3.收款环节的关键控制点及控制措施
(1)企业应当完善应收款项管理制度,严格考核,实行奖惩。销售部门负责应收款项的催收,催收记录(包括往来函电)应妥善保存;财会部门负责办理资金结算并监督款项回收。
(2)企业应当加强商业票据管理,明确商业票据的受理范围,严格审查商业票据的真实性和合法性,防止票据欺诈。
(3)企业应当加强对销售、发货、收款业务的会计系统控制,详细记录销售客户、销售合同、销售通知、发运凭证、商业票据、款项收回等情况,确保会计记录、销售记录与仓储记录核对一致,并应当指定专人定期与客户核对应收账款、应收票据、预收账款等往来款项。
(4)企业应当加强应收款项坏账的管理。应收款项全部或部分无法收回的,应当查明原因,明确责任,并严格履行审批程序,按照国家统一的会计准则制度进行处理。
(五)研究与开发控制
研究与开发,是指企业为获取新产品、新技术、新工艺等所开展的各种研发活动。企业应当根据发展战略,结合市场开拓和技术进步要求,科学制定研发计划,强化研发全过程管理,规范研发行为,促进研发成果的转化和有效利用,不断提升企业自主创新能力。
1.研究与开发活动中的主要风险
(1)研究项目未经科学论证或论证不充分,可能导致创新不足或资源浪费。
(2)研发人员配备不合理或研发过程管理不善,可能导致研发成本过高、舞弊或研发失败。
(3)研究成果转化应用不足、保护措施不力,可能导致企业利益受损。
2.立项与研究环节的关键控制点及控制措施
(1)企业应当根据研发计划,提出研究项目立项申请,开展可行性研究,编制可行性研究报告。
(2)企业应当按照规定的权限和程序对研发项目进行审批,重大研究项目应当报经董事会或类似权力机构集体审议决策。
(3)企业应当加强对研究过程的管理,跟踪检查研究项目进展情况,评估各阶段研究成果,提供足够的经费支持,确保项目按期、保质完成。
(4)研究项目委托外单位承担的,应当采用招标、协议等适当方式确定受托单位,签订外包合同,约定研究成果的产权归属、研究进度和质量标准等相关内容。与其他单位合作进行研究的,应当对合作单位进行尽职调查,签订书面合作研究合同,明确双方投资、分工、权利义务、研究成果产权归属等。
(5)企业应当建立和完善研究成果验收制度,组织专业人员对研究成果进行独立评审和验收。对于需要申请专利的研究成果,应当及时办理有关专利申请手续。
(6)企业应当建立严格的核心研究人员管理制度,明确界定核心研究人员范围和名册清单,签署符合国家有关法律法规要求的保密协议。
3.开发与保护环节的关键控制点及控制措施
(1)企业应当加强研究成果的开发,形成科研、生产、市场一体化的自主创新机制,促进研究成果转化。研究成果的开发应当分步推进,通过试生产充分验证产品性能,在获得市场认可后方可进行批量生产。
(2)企业应当建立研究成果保护制度,加强对专利权、非专利技术、商业秘密及研发过程中形成的各类涉密图纸、程序、资料的管理。禁止无关人员接触研究成果。
(3)企业应当建立研发活动评估制度,加强对立项与研究、开发与保护等过程的全面评估,总结研发管理经验,分析存在的薄弱环节,不断改进和提升研发活动的管理水平。
(六)工程项目控制
工程项目,是指企业自行或者委托其他单位所进行的建造、安装工程。企业应当建立和完善工程项目各项管理制度,全面梳理各个环节可能存在的风险点,规范工程立项、招标、造价、建设、验收等环节的工作流程,明确相关部门和岗位的职责权限,做到可行性研究与决策、概预算编制与审核、项目实施与价款支付、竣工决算与审计等不相容职务相互分离,强化工程建设全过程的监控,确保工程项目的质量、进度和资金安全。
1.工程项目管理中的主要风险
(1)立项缺乏可行性研究或者可行性研究流于形式,决策不当,盲目上马,可能导致难以实现预期效益或项目失败。
(2)项目招标暗箱操作,存在商业贿赂,可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案。
(3)工程造价信息不对称,技术方案不落实,概预算脱离实际,可能导致项目投资失控。
(4)工程物资质次价高,工程监理不到位,项目资金不落实,可能导致工程质量低劣,进度延迟或中断。
(5)竣工验收不规范,最终把关不严,可能导致工程交付使用后存在重大隐患。
2.工程立项环节的关键控制点及控制措施
(1)企业应当指定专门机构归口管理工程项目,根据发展战略和年度投资计划,提出项目建议书,开展可行性研究,编制可行性研究报告。
(2)企业应当组织规划、工程、技术、财会、法律等部门的专家对项目建议书和可行性研究报告进行充分论证和评审,出具评审意见,作为项目决策的重要依据。企业可以委托具有相应资质的专业机构对可行性研究报告进行评审,但从事项目可行性研究的专业机构不得再从事可行性研究报告的评审。
(3)企业应当按照规定的权限和程序对工程项目进行决策,决策过程应有完整的书面记录。重大工程项目的立项,应当报经董事会或类似权力机构集体审议批准。总会计师或分管会计工作的负责人应当参与项目决策。
(4)企业应当在工程项目立项后、正式施工前,依法取得建设用地、城市规划、环境保护、安全、施工等方面的许可。
3.工程招标环节的关键控制点及控制措施
(1)工程项目一般应当采用公开招标的方式,择优选择具有相应资质的承包单位和监理单位。
(2)企业应当依法组织工程招标的开标、评标和定标工作,并接受有关部门的监督。
(3)企业应当依法组建评标委员会。评标委员会由企业的代表和有关技术、经济方面的专家组成。评标委员会应当客观、公正地履行职务、遵守职业道德,对所提出的评审意见承担责任。企业应当采取必要的措施,保证评标在严格保密的情况下进行。评标委员会应当按照招标文件确定的标准和方法,对投标文件进行评审和比较,择优选择中标候选人。
(4)企业应当按照规定的权限和程序从中标候选人中确定中标人,及时向中标人发出中标通知书,在规定的期限内与中标人订立书面合同,明确双方的权利、义务和违约责任。
4.工程造价环节的关键控制点及控制措施
(1)企业应当加强工程造价管理,明确初步设计概算和施工图预算的编制方法,按照规定的权限和程序进行审核批准,确保概预算科学合理。
(2)企业应当向设计单位提供详细的设计要求和基础资料,进行有效的技术、经济交流。
(3)企业应当建立设计变更管理制度。因过失造成设计变更的,应当追究相关责任人的责任。
(4)企业应当组织工程、技术、财会等部门的相关专业人员或委托具有相应资质的中介机构对编制的概预算进行审核,重点审查编制依据、项目内容、工程量的计算、定额套用等是否真实、完整和准确。概预算按照规定的权限和程序审核批准后执行。
5.工程建设环节的关键控制点及控制措施
(1)企业应当加强对工程建设过程的监控,实行严格的概预算管理,切实做到及时备料,科学施工,保障资金,落实责任,确保工程项目达到设计要求。
(2)企业应当加强工程物资采购环节的管理和监督,确保工程物资采购符合设计标准和合同要求。严禁不合格工程物资投入工程项目建设。重大设备和大宗材料的采购应当根据有关招标采购的规定执行。
(3)企业应当实行严格的工程监理制度,委托经过招标确定的监理单位,在施工质量、工期、进度、安全和资金使用等方面实施监督。
(4)企业财会部门应当加强与承包单位的沟通,准确掌握工程进度,根据合同约定,按照规定的审批权限和程序办理工程价款结算,不得无故拖欠。
(5)企业应当严格控制工程变更,确需变更的,应当按照规定的权限和程序进行审批。重大的项目变更应当按照项目决策和概预算控制的有关程序和要求重新履行审批手续。因工程变更等原因造成价款支付方式及金额发生变动的,应当提供完整的书面文件和其他相关资料,并经财会部门审核后方可付款。
6.工程验收环节的关键控制点及控制措施
(1)企业收到承包单位的工程竣工报告后,应当及时编制竣工决算,开展竣工决算审计,未实施竣工决算审计的工程项目,不得办理竣工验收手续。
(2)企业应当及时组织设计、施工、监理等有关单位进行竣工验收。验收合格的工程项目,应当编制交付使用财产清单,及时办理资产移交手续。
(3)企业应当按照国家有关档案管理的规定,及时收集、整理工程建设各环节的文件资料,建立完整的工程项目档案。
(4)企业应当建立完工项目后评估制度,重点评价工程项目预期目标的实现情况和项目投资效益等,并以此作为绩效考核和责任追究的依据。
(七)担保业务控制
担保,是指企业作为担保人按照公平、自愿、互利的原则与债权人约定,当债务人不履行债务时,依照法律规定和合同协议承担相应法律责任的行为。企业应当依法制定和完善担保业务政策及相关管理制度,明确担保的对象、范围、方式、条件、程序、担保限额和禁止担保等事项,规范调查评估、审核批准、担保执行等环节的工作流程,按照政策、制度、流程办理担保业务,定期检查担保政策的执行情况及效果,切实防范担保业务风险。
1.担保业务活动中的主要风险
(1)对担保申请人的资信状况调查不深,审批不严或越权审批,可能导致企业担保决策失误或遭受欺诈。
(2)对被担保人出现财务困难或经营陷入困境等状况监控不力,应对措施不当,可能导致企业承担法律责任。
(3)担保过程中存在舞弊行为,可能导致经办审批等相关人员涉案或企业利益受损。
2.调查评估与审批环节的关键控制点及控制措施
(1)企业应当对担保申请人进行资信调查和风险评估,并出具书面报告。重点关注:担保业务是否符合国家法律法规和本企业担保政策等相关要求;担保申请人的资信状况;担保申请人用于担保和第三方担保的资产及其权利归属;企业要求担保申请人提供反担保的,还应当对与反担保有关的资产状况进行评估。企业自身不具备条件的,可委托中介机构对担保业务进行资信调查和风险评估工作。
(2)企业对担保申请人出现以下情形之一的,不得提供担保:担保项目不符合国家法律法规和本企业担保政策的;已进入重组、托管、兼并或破产清算程序的;财务状况恶化、资不抵债、管理混乱、经营风险较大的;与其他企业存在较大经济纠纷,面临法律诉讼且可能承担较大赔偿责任的;与本企业已经发生过担保纠纷且仍未妥善解决的,或不能及时足额交纳担保费用的。
(3)企业应当建立担保授权和审批制度,规定担保业务的授权批准方式、权限、程序、责任和相关控制措施,在授权范围内进行审批,不得超越权限审批。重大担保业务,应当报经董事会或类似权力机构批准。
(4)企业应当加强对子公司担保业务的统一监控。企业内设机构未经授权不得办理担保业务。
(5)企业为关联方提供担保的,与关联方存在经济利益或近亲属关系的有关人员在评估与审批环节应当回避。对境外企业进行担保的,应当遵守外汇管理规定,并关注被担保人所在国家的政治、经济、法律等因素。
(6)被担保人要求变更担保事项的,企业应当重新履行调查评估与审批程序。
3.执行与监督环节的关键控制点及控制措施
(1)企业应当根据审核批准的担保业务订立担保合同,明确被担保人的权利、义务、违约责任等相关内容,并要求被担保人定期提供财务报告与有关资料,及时通报担保事项的实施情况。担保申请人同时向多方申请担保的,应在担保合同中明确约定本企业的担保份额和相应责任。
(2)企业应当加强担保合同的日常管理,定期监测被担保人的经营情况和财务状况,对被担保人进行跟踪和监督,了解担保项目的执行、资金的使用、贷款的归还、财务运行及风险等情况,确保担保合同有效履行。
(3)企业应当加强对担保业务的会计系统控制,及时足额收取担保费用,建立担保事项台账,详细记录担保对象、金额、期限、用于抵押和质押的物品或权利以及其他有关事项。企业财会部门应当持续关注被担保人的财务状况、经营成果、现金流量以及担保合同的履行情况,对于被担保人出现财务状况恶化、资不抵债、破产清算等情形的,应当根据国家统一的会计准则制度规定,合理确认预计负债和损失。
(4)企业应当加强对反担保财产的管理,妥善保管被担保人用于反担保的财产和权利凭证,定期核实财产的存续状况和价值,发现问题及时处理,确保反担保财产安全完整。
(5)企业应当建立担保业务责任追究制度,对在担保中出现重大决策失误、未履行集体审批程序或不按规定管理担保业务的部门及人员,严格追究相应的责任。
(6)企业应当在担保合同到期时,全面清查用于担保的财产、权利凭证,按照合同约定及时终止担保关系。企业应当妥善保管担保合同、与担保合同相关的主合同、反担保函或反担保合同,以及抵押、质押的权利凭证和有关原始资料,切实做到担保业务档案完整无缺。
(八)业务外包控制
业务外包,是指企业利用专业化分工优势,将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织(简称承包方)完成的经营行为。外包业务通常包括:研发、资信调查、可行性研究、委托加工、物业管理、客户服务、IT服务等。企业应当建立和完善业务外包管理制度,规定业务外包的范围、方式、条件、程序和实施等相关内容,明确相关部门和岗位的职责权限,强化业务外包全过程的监控,防范外包风险,充分发挥业务外包的优势。
1.业务外包活动中的主要风险
(1)外包范围和价格确定不合理、承包方选择不当,可能导致企业遭受损失。
(2)业务外包监控不严、服务质量低劣,可能导致企业难以发挥业务外包的优势。
(3)业务外包存在商业贿赂等违法行为,可能导致企业相关人员涉案。
2.承包方选择环节的关键控制点及控制措施
(1)企业应当综合考虑成本效益原则,权衡利弊,避免将核心业务外包。
(2)企业应当根据年度生产经营计划和业务外包管理制度,结合确定的业务外包范围,拟定实施方案,按照规定的权限和程序审核批准。总会计师或分管会计工作的负责人应当参与重大业务外包的决策。重大业务外包方案应当提交董事会或类似权力机构审批。
(3)企业应当按照批准的业务外包实施方案,遵循公开、公平、公正的原则,择优选择外包业务的承包方。采用招标方式选择承包方的,应当符合招标投标法的相关规定。
(4)企业应当综合考虑内外部因素,合理确定外包价格,严格控制业务外包成本,切实做到符合成本效益原则。
(5)企业应当按照规定的权限和程序从候选承包方中确定最终承包方,并签订业务外包合同。
(6)企业外包业务需要保密的,应当在业务外包合同或者另行签订的保密协议中明确规定承包方的保密义务和责任,要求承包方向其从业人员提示保密要求和应承担的责任。
3.外包业务实施环节的关键控制点及控制措施
(1)企业应当加强业务外包实施的管理,严格按照业务外包制度、工作流程和相关要求,组织开展业务外包,并采取有效的控制措施,确保承包方严格履行业务外包合同。
(2)企业应当做好与承包方的对接工作,加强与承包方的沟通与协调,及时搜集相关信息,发现和解决外包业务日常管理中存在的问题。对于重大业务外包,企业应当密切关注承包方的履约能力,建立相应的应急机制,避免业务外包失败造成本企业生产经营活动中断。
(3)企业应当根据国家统一的会计准则制度,加强对外包业务的核算与监督,做好业务外包费用结算工作。
(4)企业应当对承包方的履约能力进行持续评估,有确凿证据表明承包方存在重大违约行为,导致业务外包合同无法履行的,应当及时终止合同。承包方违约并造成企业损失的,企业应当按照合同对承包方进行索赔,并追究责任人责任。
(5)业务外包合同执行完成后需要验收的,企业应当组织相关部门或人员对完成的业务外包合同进行验收,出具验收证明。验收过程中发现异常情况,应当立即报告,查明原因,及时处理。
(九)财务报告控制
财务报告,是指反映企业某一特定日期财务状况和某一会计期间经营成果、现金流量的文件。企业应当严格执行会计法律法规和国家统一的会计准则制度,加强对财务报告编制、对外提供和分析利用全过程的管理,明确相关工作流程和要求,落实责任制,确保财务报告合法合规、真实完整和有效利用。
1.财务报告过程中的主要风险
(1)编制财务报告违反会计法律法规和国家统一的会计准则制度,可能导致企业承担法律责任和声誉受损。
(2)提供虚假财务报告,误导财务报告使用者,造成决策失误,干扰市场秩序。
(3)不能有效利用财务报告,难以及时发现企业经营管理中存在的问题,可能导致企业财务和经营风险失控。
2.财务报告编制环节的关键控制点及控制措施
(1)企业编制财务报告,应当重点关注会计政策和会计估计,对财务报告产生重大影响的交易和事项的处理应当按照规定的权限和程序进行审批。企业在编制年度财务报告前,进行必要的资产清查、减值测试和债权债务核实。
(2)企业应当按照国家统一的会计准则制度规定,根据登记完整、核对无误的会计账簿记录和其他有关资料编制财务报告,做到内容完整、数字真实、计算准确,不得漏报或者随意进行取舍。
(3)企业财务报告列示的资产、负债、所有者权益金额应当真实可靠。各项资产计价方法不得随意变更,如有减值,应当合理计提减值准备,严禁虚增或虚减资产;各项负债应当反映企业的现时义务,不得提前、推迟或不确认负债,严禁虚增或虚减负债;所有者权益应当反映企业资产扣除负债后由所有者享有的剩余权益,严禁虚假出资、抽逃出资、资本不实。
(4)企业财务报告应当如实列示当期收入、费用和利润。各项收入的确认应当遵循规定的标准,不得虚列或者隐瞒收入,推迟或提前确认收入;各项费用、成本的确认应当符合规定,不得随意改变费用、成本的确认标准或计量方法,虚列、多列、不列或者少列费用、成本;企业不得随意调整利润的计算、分配方法,编造虚假利润。
(5)企业财务报告列示的各种现金流量由经营活动、投资活动和筹资活动的现金流量构成,应当按照规定划清各类交易和事项的现金流量的界限。
(6)附注是财务报告的重要组成部分,对反映企业财务状况、经营成果、现金流量的报表中需要说明的事项,做出清晰的说明。企业应当按照国家统一的会计准则制度编制附注。
(7)企业集团应当编制合并财务报表,明确合并财务报表的合并范围和合并方法,如实反映企业集团的财务状况、经营成果和现金流量。
(8)企业编制财务报告,应当充分利用信息技术,提高工作效率和工作质量,减少或避免编制差错和人为调整因素。
3.财务报告对外提供环节的关键控制点及控制措施
(1)企业应当依照法律法规和国家统一的会计准则制度的规定,及时对外提供财务报告。
(2)企业财务报告编制完成后,应当装订成册,加盖公章,由企业负责人、总会计师或分管会计工作的负责人、财会部门负责人签名并盖章。
(3)财务报告须经注册会计师审计的,注册会计师及其所在的会计师事务所出具的审计报告,应当随同财务报告一并提供。企业对外提供的财务报告应当及时整理归档,并按有关规定妥善保存。
4.财务报告分析利用环节的关键控制点及控制措施
(1)企业应当重视财务报告分析工作,定期召开财务分析会议,充分利用财务报告反映的综合信息,全面分析企业的经营管理状况和存在的问题,不断提高经营管理水平。总会计师或分管会计工作的负责人应当在财务分析和利用工作中发挥主导作用。
(2)企业应当分析企业的资产分布、负债水平和所有者权益结构,通过资产负债率、流动比率、资产周转率等指标分析企业的偿债能力和营运能力;分析企业净资产的增减变化,了解和掌握企业规模和净资产的不断变化过程。
(3)企业应当分析各项收入、费用的构成及其增减变动情况,通过净资产收益率、每股收益等指标,分析企业的盈利能力和发展能力,了解和掌握当期利润增减变化的原因和未来发展趋势。
(4)企业应当分析经营活动、投资活动、筹资活动现金流量的运转情况,重点关注现金流量能否保证生产经营过程的正常运行,防止现金短缺或闲置。
(5)企业定期的财务分析应当形成分析报告,构成内部报告的组成部分。财务分析报告结果应当及时传递给企业内部有关管理层级,充分发挥财务报告在企业生产经营管理中的重要作用。
(十)全面预算控制
全面预算,是指企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。企业应当加强全面预算工作的组织领导,明确预算管理体制以及各预算执行单位的职责权限、授权批准程序和工作协调机制。企业应当设立预算管理委员会履行全面预算管理职责。
1.预算管理中的主要风险
(1)不编制预算或预算不健全,可能导致企业经营缺乏约束或盲目经营。
(2)预算目标不合理、编制不科学,可能导致企业资源浪费或发展战略难以实现。
(3)预算缺乏刚性、执行不力、考核不严,可能导致预算管理流于形式。
2.预算编制环节的关键控制点及控制措施
(1)企业应当建立和完善预算编制工作制度,明确编制依据、编制程序、编制方法等内容,确保预算编制依据合理、程序适当、方法科学,避免预算指标过高或过低。全面预算草案的编制工作应当在预算年度开始前完成。
(2)企业应当根据发展战略和年度生产经营计划,综合考虑预算期内经济政策、市场环境等因素,按照上下结合、分级编制、逐级汇总的程序,编制年度全面预算。
(3)企业预算管理委员会应当对预算管理工作机构在综合平衡基础上提交的预算方案进行研究论证,从企业发展全局角度提出建议,形成全面预算草案,并提交董事会。
(4)企业董事会审核全面预算草案,应当重点关注预算科学性和可行性,确保全面预算与企业发展战略、年度生产经营计划相协调。企业全面预算应当报经股东(大)会审议批准。批准后,应当以文件形式下达执行。
3.预算执行环节的关键控制点及控制措施
(1)企业应当加强对预算执行的管理,明确预算指标分解方式、预算执行审批权限和要求、预算执行情况报告等,落实预算执行责任制,确保预算刚性,严格预算执行。
(2)企业全面预算一经批准下达,各执行单位应当认真组织实施,将预算指标层层分解,从横向和纵向落实到内部各部门、各环节和各岗位,形成全方位的预算执行责任体系。企业应当将年度预算细分为季度、月度预算,通过实施分期预算控制,实现年度预算目标。
(3)企业应当根据全面预算管理要求,组织各项生产经营活动和投融资活动,严格预算执行和控制。
(4)企业预算管理工作机构应当加强与各预算执行单位的沟通,运用财务信息和其他相关资料监控预算执行情况,采用恰当方式及时向决策机构和各预算执行单位报告、反馈预算执行进度、执行差异及其对预算目标的影响,促进企业全面预算目标的实现。
(5)企业预算管理工作机构和各预算执行单位应当建立预算执行情况分析制度,定期召开预算执行分析会议,通报预算执行情况,研究、解决预算执行中存在的问题,提出改进措施。
(6)企业批准下达的预算应当保持稳定,不得随意调整。由于市场环境、国家政策或不可抗力等客观因素,导致预算执行发生重大差异确需调整预算的,应当履行严格的审批程序。
4.预算考核环节的关键控制点及控制措施
(1)企业应当建立严格的预算执行考核制度,对各预算执行单位和个人进行考核,切实做到有奖有惩、奖惩分明。
(2)企业预算管理委员会应当定期组织预算执行情况考核,将各预算执行单位负责人签字上报的预算执行报告和已掌握的动态监控信息进行核对,确认各执行单位预算完成情况。必要时,实行预算执行情况内部审计制度。
(3)企业预算执行情况考核工作,应当坚持公开、公平、公正的原则,考核过程及结果应有完整的记录。
(十一)合同管理控制
合同,是指企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议。企业应当加强合同管理,确定合同归口管理部门,明确合同拟定、审批、执行等环节的程序和要求,定期检查和评价合同管理中的薄弱环节,采取相应控制措施,促进合同有效履行,切实维护企业的合法权益。
1.合同管理中的主要风险
(1)未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈,可能导致企业合法权益受到侵害。
(2)合同未全面履行或监控不当,可能导致企业诉讼失败、经济利益受损。
(3)合同纠纷处理不当,可能损害企业信誉和形象。
2.合同订立环节的关键控制点及控制措施
(1)企业对外发生经济行为,应当订立书面合同。合同订立前,应当充分了解合同对方的主体资格、信用状况等有关内容,确保对方当事人具备履约能力。对于影响重大、涉及较高专业技术或法律关系复杂的合同,应当组织法律、技术、财会等专业人员参与谈判。谈判过程中的重要事项和参与谈判人员的主要意见,应当予以记录并妥善保存。
(2)企业应当根据协商、谈判等的结果,拟订合同文本,按照自愿、公平原则,明确双方的权利义务和违约责任,做到条款内容完整,表述严谨准确,相关手续齐备,避免出现重大疏漏。
(3)企业应当对合同文本进行严格审核,重点关注合同的主体、内容和形式是否合法,合同内容是否符合企业的经济利益,对方当事人是否具有履约能力,合同权利和义务、违约责任和争议解决条款是否明确等。对影响重大或法律关系复杂的合同文本,应当组织内部相关部门进行审核。相关部门提出不同意见的,应当认真分析研究,慎重对待,并准确无误地加以记录;必要时应对合同条款作出修改。
(4)企业应当按照规定的权限和程序与对方当事人签署合同。正式对外订立的合同,应当由企业法定代表人或由其授权的代理人签名或加盖有关印章。授权签署合同的,应当签署授权委托书。
(5)企业应当建立合同专用章的保管制度。合同经编号、审批及企业法定代表人或由其授权的代理人签署后,方可加盖合同专用章。
(6)企业应当加强合同信息安全保密工作,未经批准,不得以任何形式泄露合同订立与履行过程中涉及的商业秘密或国家机密。
3.合同履行环节的关键控制点及控制措施
(1)企业应当遵循诚实信用原则严格履行合同,对合同履行实施有效监控,强化对合同履行情况及效果的检查、分析和验收,确保合同全面有效履行。
(2)在合同履行过程中发现有显失公平、条款有误或对方有欺诈行为等情形,或因政策调整、市场变化等客观因素,已经或可能导致企业利益受损,应当按规定程序及时报告,并经双方协商一致,按照规定权限和程序办理合同变更或解除事宜。
(3)企业应当加强合同纠纷管理,在履行合同过程中发生纠纷的,应当依据国家相关法律法规,在规定时效内与对方当事人协商并按规定权限和程序及时报告。合同纠纷经协商一致的,双方应当签订书面协议。合同纠纷经协商无法解决的,应当根据合同约定选择仲裁或诉讼方式解决。
(4)企业财会部门应当根据合同条款审核后办理结算业务。未按合同条款履约的,或应签订书面合同而未签订的,财会部门有权拒绝付款,并及时向企业有关负责人报告。
(5)合同管理部门应当加强合同登记管理,充分利用信息化手段,定期对合同进行统计、分类和归档,详细登记合同的订立、履行和变更等情况,实行合同的全过程封闭管理。
(6)企业应当建立合同履行情况评估制度,至少于每年年末对合同履行的总体情况和重大合同履行的具体情况进行分析评估,对分析评估中发现的合同履行中存在的不足,应当及时加以改进。
(十二)内部信息传递控制
内部信息传递,是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。企业应当加强内部信息传递,全面梳理内部信息传递过程中的薄弱环节,建立科学的内部信息传递机制,明确内部信息传递的内容、保密要求及密级分类、传递方式、传递范围以及各管理层级的职责权限等,促进内部报告的有效利用,充分发挥内部报告的作用。
1.内部信息传递过程中的主要风险
(1)内部报告系统缺失,功能不健全,内容不完整,可能影响生产经营有序运行。
(2)内部信息传递不通畅、不及时,可能导致决策失误、相关政策措施难以落实。
(3)内部信息传递中泄露商业秘密,可能削弱企业核心竞争力。
2.内部报告形成环节的关键控制点及控制措施
(1)企业应当根据发展战略、风险控制和业绩考核要求,科学规范不同级次内部报告的指标体系,采用经营快报等多种形式,全面反映与企业生产经营管理相关的各种内外部信息。内部报告应当简洁明了、通俗易懂、传递及时,便于企业各管理层级和全体员工掌握相关信息,正确履行职责。
(2)企业应当制定严密的内部报告流程,充分利用信息技术,强化内部报告信息集成和共享,将内部报告纳入企业统一信息平台,构建科学的内部报告网络体系。企业内部各管理层级应当指定专人负责内部报告工作,重要风险信息应及时上报,并可以直接报告高级管理人员。
(3)企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响,广泛收集、分析、整理外部信息,并通过内部报告传递到企业内部相关管理层级,以便采取应对策略。
(4)企业应当拓宽内部报告渠道,通过落实奖励措施等多种有效方式,广泛收集合理化建议。企业应当重视和加强反舞弊机制建设,通过设立员工信箱、投诉热线等有效方式,鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。
3.内部报告使用环节的关键控制点及控制措施
(1)企业各级管理人员应当充分利用内部报告管理和指导企业的生产经营活动,及时反映全面预算执行情况,协调企业内部相关部门和各单位的运营进度,严格绩效考核和责任追究,确保企业实现发展目标。
(2)企业应当有效利用内部报告进行风险评估,准确识别和系统分析企业生产经营活动中的内外部风险,确定风险应对策略,实现对风险的有效控制。对于内部报告反映出的生产经营管理中存在的突出问题和重大风险,应当启动应急预案。
(3)企业应当制定严格的内部报告保密制度,明确保密内容、保密措施、密级程度和传递范围,防止泄露商业秘密。
(4)企业应当建立内部报告的评估制度,定期对内部报告的形成和使用进行全面评估,重点关注内部报告的及时性、安全性和有效性。
(十三)信息系统控制
信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。
1.信息系统开发、运行与维护过程中的主要风险
(1)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
(2)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
(3)系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
2.信息系统开发环节的关键控制点及控制措施
(1)企业应当根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。
(2)企业可以采取自行开发、外购调试、业务外包等方式开发信息系统。选定外购调试或业务外包方式的,应当采用公开招标等形式择优确定供应商或开发单位。
(3)企业开发信息系统,应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。企业应当在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。
(4)企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,组织开发单位与内部各单位的日常沟通和协调,督促开发单位按照建设方案、计划进度和质量要求完成编程工作,对配备的硬件设备和系统软件进行检查验收,组织系统上线运行等。
(5)企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试,确保在功能、性能、控制要求和安全性等方面符合开发需求。
(6)企业应当切实做好信息系统上线的各项准备工作,培训业务操作和系统管理人员,制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的,还应制定详细的数据迁移计划。
3.信息系统运行与维护环节的关键控制点及控制措施
(1)企业应当加强信息系统运行与维护的管理,制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
(2)企业应当建立信息系统变更管理流程,信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置。
(3)企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度,采用相应技术手段保证信息系统运行安全有序。企业应当建立信息系统安全保密和泄密责任追究制度。
(4)企业应当建立用户管理制度,加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作。
(5)企业应当综合利用防火墙、路由器等网络设备,漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段,加强网络安全,防范来自网络的攻击和非法侵入。对于通过网络传输的涉密或关键数据,应采取加密措施,确保信息传递的保密性、准确性和完整性。
(6)企业应当建立系统数据定期备份制度,明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。
(7)企业应当加强服务器等关键信息设备的管理,建立良好的物理环境,指定专人负责检查,及时处理异常情况。未经授权,任何人不得接触关键信息设备。
四、内部控制评价
企业董事会或类似权力机构应当定期对内部控制的有效性进行全面评价、形成评价结论、出具评价报告。内部控制有效性是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。
设计有效性是指是指为实现控制目标所必需的内部控制要素都存在并且设计恰当。评价内部控制设计的有效性,应充分考虑:(1)是否为防止、发现并纠正财务报告重大错报而设计了相应的控制;(2)是否为合理保障资产安全而设计了相应的控制;(3)相关控制的设计是否能够保证企业遵循适用的法律法规;(4)相关控制的设计是否有助于企业提高经营效率和效果,实现发展战略。
运行有效性是指现有内部控制按照规定程序得到了正确执行。评价内部控制运行的有效性,应充分考虑:(1)相关控制在评价期内是如何运行的;(2)相关控制是否得到了持续一致的运行;(3)实施控制的人员是否具备必要的权限和能力;(4)相关控制运行的方式,一般包括人工控制和自动控制、预防性控制和发现性控制。
(一)内部控制评价的原则
企业对内部控制设计与运行的有效性实施评价,应当遵循下列原则:
1.全面性原则
内部控制评价应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项,对实现控制目标的各个方面进行全面、系统、综合评价。
2.重要性原则
内部控制评价应当在全面评价的基础上,以风险为导向,根据风险发生的可能性及其对实现控制目标的影响程度,确定需要评价的重要业务单位、重大业务事项和高风险领域。
3.客观性原则
内部控制评价应当结合企业的行业环境、发展阶段、经营规模、业务特点等经营实际,准确揭示经营管理中的风险状况,以事实为依据,如实反映内部控制设计与运行的有效性,确保评价结果有充足且适当的证据支持。
(二)内部控制评价的内容与核心指标
企业应当从内部环境、风险评估、控制活动、信息与沟通、内部监督等要素入手,结合企业业务特点和管理要求,确定内部控制评价的具体内容,建立内部控制评价的核心指标体系,对内部控制设计与运行情况进行全面评价。下面以表格形式对内部控制评价的内容和核心指标体系作一直观、概要的介绍。
评价内容与核心指标 业务描述 有效性(缺陷) 评价记录
一、内部环境
(一)组织架构
1.董事会及各专门委员会、监事会和经理层的职责权限、任职资格和议事规则是否明确
2.是否科学界定了董事会、监事会、经理层在建立与实施内部控制中的职责分工
3.董事会是否采取必要的措施促进和推动企业内部控制工作
4.组织机构设置是否与企业业务特点相一致并符合内部控制的要求
5.是否明确了权责分配、制定了权限指引并保持权责行使的透明度
6.是否定期梳理、评估企业治理结构和内部机构设置,发现问题及时采取措施加以优化调整
(二)发展战略
1.企业是否制定科学合理的发展目标和战略规划
2.是否对发展战略进行可行性研究和科学论证,并报董事会和股东(大)会审议批准
3.是否制定年度工作计划,编制全面预算,确保发展战略的有效实施
4.是否采取有效方式将发展战略及其分解落实情况传递到内部各管理层级和全体员工
5.是否及时监控发展战略实施情况,并根据环境变化及时对发展战略做出调整
(三)人力资源政策
1.人力资源政策是否有利于企业可持续发展和内部控制的有效执行
2.是否制定并实施关于员工聘用、培训、辞退与辞职、薪酬、考核、健康与安全、晋升与奖惩等方面的管理制度
3.是否对关键岗位员工有强制休假制度或定期轮岗制度等方面的安排
4.是否对掌握国家秘密或重要商业秘密的员工离岗有限制性的规定
5.是否将有效执行内部控制纳入企业绩效考评体系
(四)社会责任
1.是否建立严格的安全生产管理体系、操作规范和应急预案,切实做到安全生产
2.是否建立严格的产品质量控制和检验制度,并妥善处理消费者提出的投诉和建议
3.是否采取措施促进环境保护、生态建设和资源节约并实现节能减排目标
4.是否依法保护员工的合法权益,保持工作岗位相对稳定,积极促进充分就业
(五)企业文化
1.企业是否重视文化建设、法制教育、员工培训等工作并采取措施予以落实
2.企业董事、监事、经理及其他高级管理人员是否在文化建设和履行社会责任中起到表率作用
3.企业是否制定高级管理人员职业道德准则和员工行为守则
4.是否建立法律顾问制度和重大法律纠纷案件备案制度,并在企业重大经营业务事项及其合同协议等签订、履行过程中有效发挥法制部门的作用
(六)内部审计
1.内部审计的独立性是否得以保障,审计委员会和内部审计机构是否独立、充分地履行监督职责
2.审计委员会成员履行监督职责的意见表述是否客观并有据可查
3.内部审计机构是否按照审计计划完成内部审计工作并提出审计意见
二、风险评估
(一)风险识别
1.是否建立健全风险评估机制,根据设定的控制目标,全面系统持续地收集相关信息
2.是否运用适当的技术和工具,准确、持续识别影响战略目标实现的内外部风险
3.是否结合企业的风险偏好,确定相应的风险承受度
(二)风险分析
1.是否运用适当的方法和技术分析风险发生的可能性和影响程度,评估其固有风险和剩余风险
2.是否对评估的风险进行排序,确定重点关注和优先控制的风险
3.是否运用适当的方法和技术对风险进行持续监控,及时对风险进行再识别和再评估
(三)风险应对
1.是否结合剩余风险与风险承受度,权衡风险与收益,确定风险应对策略
2.对于相互关联的风险,是否从风险组合观出发,综合制定风险应对措施
3.是否分析、掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,并采取适当的控制措施
4.是否持续收集与风险变化相关的信息,进行风险识别和分析,及时调整风险应对策略
三、控制活动
(一)控制活动的设计
1.是否综合运用手工控制与自动控制、预防性控制与发现性控制等方法,对各类业务事项的主要风险和关键环节设置了必要的控制措施
2.各项控制措施的设计是否与风险应对策略相适应
(二)控制活动的运行
1.针对各类业务事项的主要风险和关键环节所制定的各类控制方法和控制措施是否得以有效实施
2.对不相容职务应分离而未分离的情形,是否采取了替代控制措施予以弥补
3.是否存在超越权限或不按程序和权限办理业务事项的情况
4.特别授权是否履行相应程序并及时予以确认
5.企业重大决策、重大事项、重要人事任免及大额资金支付业务等是否实行集体决策审批或者会签制度
(三)特殊性控制活动
1.企业是否针对非常规性、非系统性业务事项制定相应的控制措施,并定期对其执行情况进行检查分析
2.是否建立重大风险预警机制和突发事件应急处理机制,相关应急预案的处置程序和处理结果是否有效
四、信息与沟通
(一)信息质量
1.企业是否及时、准确、充分地获取与经营管理和内部控制相关的信息
2.是否采取措施确保内部信息与外部信息的有用性
(二)沟通制度
1.企业是否建立科学规范的信息沟通制度,信息的收集、处理和传递程序是否透明高效
2.信息在企业内部各层级之间、企业与外部有关方面之间的沟通是否有效
3.董事会、监事会和经理层是否能够及时掌握经营管理和内部控制的重要信息并进行应对
4.员工诉求是否有顺畅的反映渠道
(三)信息系统
1.企业是否建立与经营管理相适应的信息系统,利用信息技术提高对业务事项的自动控制水平
2.在信息系统的开发过程中,是否对信息技术风险进行识别、评估和防范
3.信息系统的一般控制是否涵盖信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全、硬件设备、操作人员等方面,确保信息系统安全稳定运行
4.信息系统的应用控制是否紧密结合业务事项进行,达到利用信息技术固化流程、提高效率、减少或消除人为操纵因素的目的,确保业务事项运行的规范性和科学性
5.信息系统是否建立并保持相关信息交流与沟通的记录
(四)反舞弊机制
1.企业是否建立健全并有效实施反舞弊机制
2.举报投诉制度和举报人保护制度是否及时准确传达至企业全体员工
3.对舞弊事件和举报所涉及的问题是否及时妥善地作出处理
五、内部监督
(一)内部监督制度
1.企业是否建立内部监督制度,通过日常监督和专项监督相结合的方法促进内部控制的有效运行
2.是否制定内部控制自我评价办法和考核奖惩办法,明确评价主体、职责权限、工作程序和有关要求,定期组织开展内部控制自我评价工作并按规定报送内部控制自我评价报告
(二)内控缺陷认定
1.企业是否制定科学的内部控制缺陷认定标准并予以一贯的执行
2.是否对控制缺陷进行全面、深入地研究分析,提出并实施整改方案
3.是否及时向董事会、监事会或经理层报告内部控制重大缺陷并按规定予以披露
4.对发现的内部控制重大缺陷,是否追究相关责任单位和责任人的责任
5.是否建立内部控制缺陷信息数据库,并对历年发现的内部控制缺陷及其整改情况进行跟踪检查
(三)控制文档记录
1.是否采取书面或其他适当方式对内部控制的建立与实施情况进行记录
2.是否妥善保存内部控制相关记录和资料,确保内部控制建立与实施过程的可验证性
3.对暂未建立健全的有关内部控制文档或记录,是否有证据表明确已实施了有效控制或者替代控制措施
(三)内部控制评价的程序
企业开展内部控制评价工作,一般程序为:设置内部控制评价部门、制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。
1.设置内部控制评价部门
企业通常授权内部审计部门或者其他专门机构作为内部控制评价部门,负责内部控制评价的具体组织实施工作。内部控制评价部门必须具备一定的设置条件:
(1)能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;
(2)具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;
(3)与企业其他职能机构就监督与评价内部控制系统保持沟通协调,在工作中相互配合、相互制约,在效率上满足企业对内部控制系统进行监督与评价所提出的有关要求;
(4)能够得到企业董事会和经理层的支持,有足够的权威性来保证内部控制评价工作的顺利开展。
2.制定评价工作方案
内部控制评价部门应当根据企业实际情况和管理要求,分析企业经营管理过程中的高风险领域和重要业务事项,制定科学合理的评价工作方案,经董事会批准后实施。评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既可以全面评价为主,也可以根据需要采用重点评价的方式,一般而言,内部控制建立与实施初期,实施全面综合评价有利于推动内部控制工作的深入有效开展;内部控制系统趋于成熟后,企业可在全面评价的基础上,更多地采用重点评价或专项评价,以提高内部控制评价的效率和效果。
3.组成评价工作组
评价工作组在内部控制评价部门领导下,具体承担内部控制检查评价任务。内部控制评价部门根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员,组成评价工作组,具体实施内部控制评价工作。评价工作组成员应当吸收企业内部相关机构熟悉情况的业务骨干参加。实施评价工作前,评价人员需要接受相关培训,培训内容一般包括内部控制专业知识及相关规章制度、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准、评价人员的权利义务、纪律要求及评价中需重点关注的问题等。
4.实施现场测试
评价工作组根据评价工作方案确定的内部控制评价范围,入驻被评价单位,实施现场测试。现场测试的一般步骤为:
(1)了解被评价单位基本情况。评价工作组与被评价单位进行充分沟通,了解其经营业务范围、评价期间内生产经营计划和预算完成情况、组织机构设置及职责分工、领导层成员构成及分工、财务管理及会计核算体制、内部控制工作概况、最近一次内部控制评价(或审计)发现问题的整改情况等。
(2)确定检查评价范围和重点。评价工作组根据掌握的情况确定评价范围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整。
(3)开展现场检查测试。评价工作组根据评价人员分工,综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试,按要求填写工作底稿、记录相关测试结果,并对发现的内部控制缺陷进行初步认定。评价人员应遵循客观、公正、公平原则,如实反映检查测试中发现的问题,并及时与被评价单位进行沟通。
(4)编制现场评价报告。评价工作组汇总评价人员的工作底稿,形成现场评价报告。评价工作底稿应进行交叉复核签字,并由评价工作组负责人审核后签字确认。
(5)提交现场评价结论。评价工作组将评价结果及现场评价报告向被评价单位进行通报,由被评价单位相关责任人签字确认后,提交企业内部控制评价部门。
5.汇总评价结果
内部控制评价部门汇总各评价工作组的评价结果,对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总,对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。对于认定的内部控制缺陷,内部控制评价部门应当提出整改建议,要求责任单位及时整改,并跟踪其整改落实情况;已经造成损失或负面影响的,企业应当追究相关人员的责任。
6.编报评价报告
内部控制评价部门以汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制工作整体情况,客观、公正、完整地编制内部控制评价报告,并报送企业经理层、董事会和监事会,由董事会最终审定后对外披露或以其他形式加以合理利用。
(四)内部控制评价的方法
企业在开展内部控制检查评价工作过程中,应当根据评价内容和被评价单位具体情况,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,广泛收集被评价单位内部控制设计和运行是否有效的证据。评价方法的选择应当有利于保证证据的充分性和适当性。证据的充分性是指获取的证据能够为形成内部控制评价结论提供合理保证;证据的适当性是指获取的证据与相关控制的设计与运行有关,并能可靠地反映控制的实际状况。
1.个别访谈法
个别访谈法主要用于了解企业及其所属单位内部控制的基本情况。评价人员在访谈前应根据内部控制评价目标和要求形成访谈提纲,如有必要可先提供被访谈人员进行准备,被访谈人员主要为单位领导、相关机构负责人或一般岗位员工。评价人员在访谈工作结束后应撰写访谈纪要,如实记录访谈的内容。
2.调查问卷法
调查问卷法常见于内部环境评价。调查问卷一般包括填列项目、控制描述和支持性文档等内容。其中,“填列项目”基于企业实际情况,明确被评价单位或对象需要填列的内部控制评价内容;“控制描述”是指被评价单位或对象针对评价内容,考虑是否存在相关的控制,并如实填写相关控制的设计与运行情况;“支持性文档”要求被评价单位或对象列示相关控制所涉及的支持性文档,如对领导层是否重视内控工作进行评价,需要列示有关会议纪要、审阅记录等文档;对企业文化进行评价,需要列示企业文化手册、员工行为守则等文档。
3.专题讨论法
专题讨论法通常用于控制活动评价,是指通过召集与业务流程相关的管理人员就业务流程的特定环节或某类具体问题进行讨论及评估的一种方法。专题讨论法既是一种常见的控制评价方法,也是形成缺陷整改方案的重要途径。对于同时涉及财务、业务、信息技术等方面的控制缺陷,往往需要由内部控制专职机构组织召开专题讨论会议,综合内部各机构、各方面的意见,研究确定缺陷整改方案。
4.穿行测试法
穿行测试法是指在内部控制系统中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程,以此来了解整个业务流程状况,识别出其中的关键控制环节,评估相关控制设计与运行的有效性。
5.实地查验法
实地查验法是指企业对财产进行盘点、清查,以及对存货等实物资产的出入库环节进行现场查验,主要用于对资产安全性目标的实现情况所作的评价。实地查验法通常应与抽样法结合运用。企业对财产进行实地查验,需要制定统一的测试工作表,并从特定的样本库中抽取若干测试样本,与业务记录、财务单证等进行核对验证,以此判断与资产安全目标相关的各项控制的有效性。
6.抽样法
抽样法是指企业针对具体的业务流程,按照业务发生频率及固有风险的高低,从确定的样本库中抽取一定比例的业务样本,对业务样本的控制水平进行判断,进而对整个业务流程的内部控制有效性作出评价。抽样法是控制测试的常用方法,分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。应用抽样法时应注意样本库须包含符合测试要求的所有样本,测试人员首先应对样本库的完整性进行确认。
7.比较分析法
比较分析法是指通过分析、比较数据间的关系、趋势或比率等来取得评价证据的方法。企业可以将评价过程中取得的数据与历史数据、行业标准数据或最优数据等进行比较,找出其中异常波动的情形,并重点对异常区间的内部控制有效性进行检查评价。
(五)内部控制缺陷认定
1.内部控制缺陷的定义与分类
内部控制缺陷是评价内部控制有效性的负向维度,如果内部控制的设计或运行无法合理保证内部控制目标的实现,即意味着存在内部控制缺陷。内部控制缺陷按不同的分类方式分为:设计缺陷与运行缺陷;财务报告内部控制缺陷与非财务报告内部控制缺陷;重大缺陷、重要缺陷与一般缺陷。
(1)设计缺陷和运行缺陷
内部控制缺陷按其成因分为设计缺陷和运行缺陷。设计缺陷是指内部控制设计不科学、不适当,即使正常运行也难以实现控制目标。运行缺陷是指内部控制设计比较科学、适当,但在实际运行过程中没有严格按照设计意图执行,导致内部控制运行与设计相脱节,未能有效实施控制、实现控制目标。
(2)财务报告内部控制缺陷和非财务报告内部控制缺陷
内部控制缺陷按其表现形式分为财务报告内部控制缺陷和非财务报告内部控制缺陷。财务报告内部控制缺陷,是指在会计确认、计量、记录和报告过程中出现的,对财务报告的真实性和完整性产生直接影响的控制缺陷,一般可分为财务(会计)报表缺陷、会计基础工作缺陷和与财务报告密切关联的信息系统控制缺陷等。非财务报告内部控制缺陷,是指虽不直接影响财务报告的真实性和完整性,但对企业经营管理的合法合规、资产安全、营运的效率和效果等控制目标的实现存在不利影响的其他控制缺陷。
(3)重大缺陷、重要缺陷和一般缺陷
内部控制缺陷按其严重程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷,是指一个或多个控制缺陷的组合,可能严重影响企业内部控制的有效性,进而导致企业无法及时防范或发现严重偏离控制目标的情形。重要缺陷,是指一个或多个控制缺陷的组合,其严重程度虽低于重大缺陷,但仍有较大可能导致企业无法及时防范或发现偏离控制目标的情形,须引起企业重视和关注。一般缺陷,是指除重大缺陷、重要缺陷之外的其他控制缺陷。
2.内部控制缺陷的认定标准
企业对内部控制评价过程中发现的内部控制缺陷,应当综合分析缺陷的成因、表现形式及重要程度,并按照一定的标准将各项内部控制缺陷分别认定为重大缺陷、重要缺陷和一般缺陷。内部控制缺陷的认定标准和认定结果将直接影响内部控制有效性的结论。一般而言,如果一个企业存在的内部控制缺陷达到了重大程度,就不能认定该企业的内部控制是有效的。由于财务报告内部控制缺陷与非财务报告内部控制缺陷分别影响不同控制目标的实现,其表现形式各异,为此,财务报告内部控制缺陷的认定标准与非财务报告内部控制缺陷的认定标准也有所区别。
(1)财务报告内部控制缺陷的认定标准
财务报告内部控制缺陷的认定标准由该缺陷可能导致财务报表错报的重要程度来确定,这种重要程度主要取决于两方面因素:第一,该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报;第二,该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。
①重大缺陷。如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止、发现并纠正财务报表中的重大错报,就应将该缺陷认定为重大缺陷。合理可能性是指大于微小可能性(几乎不可能发生)的可能性,对合理可能性的理解涉及评价人员的职业判断,且这种判断在不同评价期间应保持一致。重大错报中的“重大”,涉及企业确定的财务报表的重要性水平。一般而言,企业可以采用绝对金额法(如规定金额超过10 000元的错报应当认定为重大错报)或相对比例法(例如,规定超过净利润5%的错报应当认定为重大错报)来确定重要性水平。如果企业的财务报告内部控制存在一项或多项重大缺陷,就不能得出该企业的财务报告内部控制有效的结论。
②重要缺陷。如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止、发现并纠正财务报表中虽然未达到和超过重要性水平、但仍应引起董事会和经理层重视的错报,就应将该缺陷认定为重要缺陷。重要缺陷并不影响企业财务报告内部控制的整体有效性,但是应当引起董事会和经理层的重视。对于这类缺陷,应当及时向董事会和经理层报告,因此也称为“应报告情形”。
③一般缺陷。不构成重大缺陷和重要缺陷的财务报告内部控制缺陷,应认定为一般缺陷。
(2)非财务报告内部控制缺陷的认定标准
企业可以根据自身的实际情况,参照财务报告内部控制缺陷的认定标准,合理确定非财务报告内部控制缺陷的定量和定性认定标准。其中:定量标准,既可以根据缺陷造成直接财产损失的绝对金额制定,也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定;定性标准,可以根据缺陷潜在负面影响的性质、范围等因素确定。非财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更。
(3)常见的内部控制重大缺陷情形
当有确凿证据表明企业在评价期末存在下列情形之一时,通常应认定为内部控制重大缺陷:
①企业财务报表已经或者很可能被注册会计师出具否定意见或者拒绝表示意见。
②企业审计委员会和内部审计机构未能有效发挥监督职能。
③企业董事、监事和高级管理人员已经或者涉嫌舞弊,或者企业员工存在串谋舞弊情形并给企业造成重要损失和不利影响。
④企业在财务会计、资产管理、资本运营、信息披露、产品质量、安全生产、环境保护等方面发生重大违法违规事件和责任事故,给企业造成重要损失和不利影响,或者遭受重大行政监管处罚。
上述控制缺陷如果对企业财务报表的真实可靠性产生影响,则为财务报告内部控制重大缺陷;如果不影响财务报表的真实可靠,则为非财务报告内部控制重大缺陷。
3.内部控制缺陷的报告和整改
企业内部控制评价部门应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督过程中发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,按照规定的权限和程序进行审核后予以最终认定。
(1)内部控制缺陷报告
内部控制缺陷报告应当采取书面形式。对于一般缺陷和重要缺陷,通常向企业经理层报告,并视情况考虑是否需要向董事会及其审计委员会、监事会报告;对于重大缺陷,应当及时向董事会及其审计委员会、监事会和经理层报告。如果出现不适合向经理层报告的情形,如存在与经理层舞弊相关的内部控制缺陷,或存在经理层凌驾于内部控制之上的情形等,应当直接向董事会及其审计委员会、监事会报告。企业应根据内部控制缺陷的影响程度合理确定内部控制缺陷报告的时限,一般缺陷、重要缺陷应定期报告,重大缺陷即时报告。
(2)内部控制缺陷整改
企业对于认定的内部控制缺陷,应当制定内部控制缺陷整改方案,按规定权限和程序审批后执行;对于认定的重大缺陷,还应及时采取应对策略,切实将风险控制在可承受度之内,并追究有关机构或相关人员的责任。内部控制缺陷整改方案一般包括整改目标、内容、步骤、措施、方法和期限等,整改期限超过一年的,还应在整改方案中明确近期目标和远期目标以及对应的整改工作任务等。
(六)内部控制评价报告
1.内部控制评价报告的内容
内部控制评价报告是内部控制评价工作的结论性成果,一般包括下列内容:
(1)董事会对内部控制报告真实性的声明。声明董事会及全体董事对报告内容的真实性承担个别及连带责任,保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。
(2)内部控制评价工作的总体情况。明确企业内部控制评价工作的组织形式、领导体制、进度安排和汇报途径等。
(3)内部控制评价的依据。说明企业开展内部控制评价工作所依据的法律法规和规章制度,一般包括《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业制定的内部控制制度和内部控制评价办法等。
(4)内部控制评价的范围。描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项。内部控制评价的范围应当包括企业经营管理的主要方面,不存在重大遗漏。
(5)内部控制评价的程序和方法。描述内部控制评价工作遵循的基本流程,以及评价过程中采用的主要方法。
(6)内部控制缺陷及其认定。描述适用本企业的内部控制缺陷具体认定标准,并声明与以前年度保持一致;根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。
(7)内部控制缺陷的整改情况。针对评价期末存在的内部控制缺陷,阐明公司拟采取的整改措施及预期效果。对于评价期间发现、期末已完成整改的重大缺陷,说明企业有足够的测试样本显示,与该重大缺陷相关的内部控制目前保持了设计与运行有效。
(8)内部控制有效性的结论。对不存在重大缺陷的情形,出具评价期末内部控制有效结论;对存在重大缺陷的情形,不得作出内部控制有效的结论,并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的影响程度。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的,企业须责成内部控制评价部门予以核实,并根据核查结果对评价结论进行相应调整。
2.内部控制评价报告的编制
(1)编制时间
内部控制评价报告按照编制时间的不同,分为定期报告和不定期报告。定期报告是指企业至少每年进行一次内部控制评价工作,编制评价报告,并由董事会对外发布或以其他方式加以合理利用。年度内部控制评价报告以12月31日作为基准日。不定期报告是指企业出于特定目的或针对特定事项而临时开展内部控制评价工作并编制评价报告。不定期报告的编制时间和编制频率由企业根据实际情况确定。
(2)编制主体
内部控制评价报告的编制主体包括单个企业和企业集团的母公司。单个企业内部控制评价报告是指某一企业以自身经营业务和管理活动为基础编制的内部控制评价报告;企业集团内部控制评价报告是企业集团的母公司以母公司及控股子公司的经营业务和管理活动为基础编制的内部控制评价报告,是对企业集团内部控制设计与运行有效性的总体评价。
(3)编制程序
内部控制评价部门对工作底稿进行复核,根据认定并按照规定的权限和程序审批确定的内部控制缺陷,判断内部控制的有效性。
内部控制评价部门搜集整理编制内部控制评价报告所需的相关资料。
内部控制评价部门根据有关资料撰写内部控制评价报告。
内部控制评价报告上报经理层审核、董事会审批后确定。
3.内部控制评价报告的报送
内部控制评价报告报经董事会批准后对外披露或报送相关主管部门。上市公司年度内部控制评价报告必须向社会公开披露,接受社会监督,为投资者和社会公众决策提供依据;非上市企业的内部控制评价报告须按规定报送财政等监管部门,接受政府的监督检查。内部控制评价报告通常应于基准日后4个月内报出。
4.内部控制评价报告的使用
内部控制评价报告的使用者包括政府监管部门、投资者及其他利益相关者、中介机构和研究机构等。
(1)政府监管部门根据内部控制评价报告可以了解《企业内部控制基本规范》及其配套指引的实施情况,通过不同企业、不同行业内部控制评价报告的分析比较,可以发现内部控制相关法律法规实施中存在的问题,作为进一步健全内部控制法律法规体系、优化内部控制执行机制的重要依据。
(2)投资者及其他利益相关者根据内部控制评价报告可以了解企业内部控制水平,评估企业抗风险能力和持续经营实力,从而为投资决策和正确行使相关权利奠定基础。必要时,投资者及其他利益相关者还可依据内部控制评价报告,有的放矢地进行调查研究和实地考察,促进企业持续完善内部控制系统。
(3)中介机构和研究机构可以通过研究分析内部控制评价报告,知悉企业内部控制发展现状,在综合运用比较分析、趋势分析等方法的基础上形成并发布内部控制研究报告,服务于监管部门、投资者和社会公众。
内部控制评价是企业董事会对本企业内部控制有效性的自我评价,具有一定的主观性,因此,在此基础上形成的内部控制评价报告只能作为有关方面了解企业内部控制设计与运行情况的途径之一。在使用内部控制评价报告时,还应注意与内部控制审计信息、内部控制监管信息、财务报告信息等相关信息结合使用,切实做到全面分析、综合判断、相互验证。
五、内部控制审计
(一)内部控制审计的定义
内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。内部控制审计是内部控制外部评价的重要形式之一。
1.内部控制审计与内部控制评价
内部控制审计属于注册会计师外部评价,内部控制评价属于企业董事会自我评价,两者有着本质的区别。首先,两者的责任主体不同。建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任;在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。其次,两者的评价目标不同。内部控制评价是企业董事会对各类内部控制目标实施的全面评价;内部控制审计是注册会计师侧重对财务报告内部控制目标实施的审计评价。最后,两者的评价结论不同。企业董事会对内部控制整体有效性发表意见,并在内部控制评价报告中出具内部控制有效性结论;注册会计师仅对财务报告内部控制的有效性发表意见,对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
虽然内部控制审计与内部控制评价具有上述区别,但两者往往依赖同样的证据、遵循类似的测试方法、使用同一基准日,因此也必然存在一些内在的联系。在内部控制审计过程中,注册会计师可以根据实际情况对企业内部控制评价工作进行评估,判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用程度,从而相应减少本应由注册会计师执行的工作。
2.内部控制审计与财务报表审计
内部控制审计与财务报表审计的目标不同。前者是对被审计单位内部控制设计与运行的有效性进行审计,并重点就财务报告内部控制的有效性发表审计意见;后者是对财务报表是否按照国家统一的会计准则制度的规定编制、是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量发表审计意见。审计目标的不同导致两者在审计程序上也有着较大区别。但由于两者均关注财务报告质量和审计风险,审计过程中形成的审计证据又可以相互支持、相互利用,为此,注册会计师在计划和执行内部控制审计工作时,可以根据实际情况将内部控制审计与财务报表审计进行整合,以降低审计成本、提高审计质量。在整合审计中,注册会计师应当对内部控制设计与运行的有效性进行测试,以同时实现两类目标:(1)获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见;(2)获取充分、适当的证据,支持其在财务报表审计中对控制风险的评价结果。
3.内部控制审计与内部控制监管
内部控制监管是指政府监管部门根据国家有关法律法规和监管要求,以《企业内部控制基本规范》及其配套指引为依据,对企业内部控制建立与实施情况进行监督检查和评价。内部控制监管与内部控制审计作为内部控制外部评价的两种主要形式,相互支持,相互促进,共同保障企业内部控制的有效建立与实施。比如,财政部门可以从规范公司治理、健全内控机制,加强会计监督、提高信息质量等角度,对企业内部控制设计与运行的有效性提出监管要求。同时,可以会同国家审计机关对行政事业单位和国有企业使用财政资金过程中的内部控制情况实施监管评价。
(二)内部控制审计的程序
1.计划审计工作
注册会计师需恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。
计划审计工作时,注册会计师应当评价有关事项对内部控制及其审计工作的影响:(1)与企业相关的风险;(2)相关法律法规和行业概况;(3)企业组织结构、经营特点和资本结构等相关重要事项;(4)企业内部控制最近发生变化的程度;(5)与企业沟通过的内部控制缺陷;(6)重要性、风险等与确定内部控制重大缺陷相关的因素;(7)对内部控制有效性的初步判断;(8)可获取的、与内部控制有效性相关的证据的类型和范围。
注册会计师应当充分认识风险评估在计划审计工作中的作用,以风险评估为基础,选择拟测试的控制,确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注应越多。
注册会计师应当在计划审计阶段对企业董事会的内部控制评价工作进行评估,判断是否在内部控制审计工作中利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能应由注册会计师执行的工作。注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,应当对其专业胜任能力和客观性进行充分评价。一般而言,与某项控制相关的风险越高,他人工作的可利用程度就越低,注册会计师应当更多地对该项控制亲自进行测试。需要强调的是,注册会计师对发表的审计意见独立承担责任,其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。
2.实施审计工作
注册会计师按照自上而下的方法实施审计工作,将企业层面控制和业务层面控制的测试结合进行。
(1)测试企业层面控制。注册会计师测试企业层面的控制,在把握重要性原则的基础上,一般关注:与内部环境相关的控制;针对董事会、经理层凌驾于控制之上的风险而设计的控制;企业的风险评估过程;对内部信息传递和财务报告流程的控制;对控制有效性的内部监督和自我评价。
(2)测试业务层面控制。注册会计师测试业务层面的控制,在把握重要性原则的基础上,结合企业实际、内部控制相关法律法规要求和企业层面控制的测试情况,重点对企业生产经营活动中的重要业务与事项的控制进行测试。注册会计师需关注信息系统对内部控制及风险评估的影响。
(3)测试与舞弊风险相关的控制。注册会计师在测试企业层面控制和业务层面控制时,应评价内部控制是否足以应对舞弊风险。舞弊风险因素是指注册会计师在了解被审计单位及其内部环境时识别的、可能表明存在舞弊动机、压力或机会的事项或情况,以及被审计单位对可能存在的舞弊行为的合理化解释。与舞弊风险相关的控制通常包括:针对重大的非常规交易的控制;针对关联方交易的控制;与管理层的重大会计政策和会计估计相关的控制;针对期末财务报告中编制的分录和作出的调整的控制;能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制等。注册会计师应当根据舞弊风险评估结果,对上述控制实施有针对性的测试。
(4)测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的;如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的运行是有效的。
(5)获取内部控制有效设计与运行的证据。注册会计师在测试内部控制设计与运行的有效性时,可综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法,获取充分、适当的证据以支持审计结论。与内部控制相关的风险越高,注册会计师需要获取的证据越多。为确保证据的充分性和适当性,注册会计师通常需对测试时间安排进行权衡,既要尽量在接近企业内部控制自我评价基准日实施测试,又要保证实施的测试能够涵盖足够长的期间。注册会计师对于内部控制运行偏离设计的情况(即控制偏差),应确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。在连续审计中,注册会计师有必要考虑以前年度执行内部控制审计时了解的情况,以合理确定测试的性质、时间安排和范围。
3.评价控制缺陷
注册会计师对内部控制缺陷的分类和认定标准与企业内部控制自我评价中内部控制缺陷的分类和认定标准类似,相对而言,注册会计师更关注财务报告内部控制缺陷的认定。注册会计师在对内部控制设计与运行的有效性进行测试的基础上,需评价其识别的各项内部控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷并影响其审计结论。在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时,注册会计师还应评价补偿性控制(替代性控制)的影响。
(1)财务报告内部控制缺陷。表明企业财务报告内部控制可能存在重大缺陷的迹象,主要包括:
①注册会计师发现董事、监事和高级管理人员舞弊;
②企业更正已经公布的财务报表;
③注册会计师发现当期财务报表存在重大错报,而在内部控制运行过程中未能发现该错报;
④企业审计委员会和内部审计机构对内部控制的监督无效。
(2)非财务报告内部控制缺陷。注册会计师对在审计过程中注意到的非财务报告内部控制缺陷,区别具体情况予以处理:
①注册会计师认为非财务报告内部控制缺陷为一般缺陷的,应当与企业进行沟通,提醒企业加以改进,但无需在内部控制审计报告中说明。
②注册会计师认为非财务报告内部控制缺陷为重要缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进,但无需在内部控制审计报告中说明。
③注册会计师认为非财务报告内部控制缺陷为重大缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进;同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险。
4.完成审计工作
(1)取得书面声明。注册会计师完成审计工作后,需取得经企业签署的书面声明。书面声明通常包括下列内容:
①企业董事会认可其对建立健全和有效实施内部控制负责;
②企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的结论;
③企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础;
④企业已向注册会计师说明识别出的所有内部控制缺陷,并单独说明其中的重大缺陷和重要缺陷;
⑤企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷,是否已经采取措施予以解决;
⑥企业在内部控制自我评价基准日后,内部控制是否发生重大变化,或者产生对内部控制具有重要影响的其他因素。
企业如果拒绝提供或以其他不当理由回避书面声明,注册会计师应将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。
(2)沟通控制缺陷。注册会计师应与企业沟通审计过程中识别的所有控制缺陷,重大缺陷和重要缺陷须以书面形式与董事会和经理层沟通。注册会计师认为企业审计委员会和内部审计机构对内部控制监督无效的,应以书面形式直接与董事会和经理层沟通。书面沟通需在注册会计师出具内部控制审计报告之前进行。
(3)形成审计意见。注册会计师对获取的证据进行评价,形成对内部控制有效性的意见,出具审计报告。
(三)内部控制审计报告
1.审计报告内容
标准内部控制审计报告包括下列要素:
(1)标题;
(2)收件人;
(3)引言段;
(4)企业对内部控制的责任段;
(5)注册会计师的责任段;
(6)内部控制固有局限的说明段;
(7)财务报告内部控制审计意见段;
(8)非财务报告内部控制重大缺陷描述段;
(9)注册会计师的签名和盖章;
(10)会计师事务所的名称、地址及盖章;
(11)报告日期。
2.审计意见类型
(1)无保留审计意见。发表无保留审计意见必须同时符合两个条件:①企业按照内部控制有关法律法规以及企业内部控制制度要求,在所有重大方面建立并实施有效的内部控制;②注册会计师按照有关内部控制审计准则的要求计划和实施审计工作,在审计过程未受到限制。
(2)带强调段的无保留意见。注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请审计报告使用者注意的,应在审计报告中增加强调事项段予以说明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对财务报告内部控制发表的审计意见。
(3)否定意见。注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,应对财务报告内部控制发表否定意见。注册会计师出具否定意见的内部控制审计报告中需包括重大缺陷的定义、重大缺陷的性质及其对财务报告内部控制的影响程度等内容。
(4)无法表示意见。注册会计师审计范围受到限制的,应当解除业务约定或出具无法表示意见的内部控制审计报告,在报告中指明审计范围受到限制,无法对内部控制有效性发表意见。注册会计师在已执行的有效程序中发现内部控制存在重大缺陷的,应当在“无法表示意见”的审计报告中对已发现的重大缺陷做出详细说明。
3.审计期后事项
期后事项是指在企业内部控制评价基准日并不存在、但在该基准日之后至审计报告日之前内部控制可能发生变化,或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或影响因素,并获取企业关于这些情况的书面声明。注册会计师知悉对企业内部控制评价基准日财务报告内部控制有效性有重大负面影响的期后事项的,应对财务报告内部控制发表否定意见。注册会计师不能确定期后事项对内部控制有效性的影响程度的,应当出具无法表示意见的审计报告。
(youjun)
课程推荐
- 初级会计职称特色班
- 初级会计职称精品班
- 初级会计职称实验班
| 课程班次 | 课程介绍 | 价格 | 购买 |
|---|---|---|---|
特色班 |
班次特色 |
290元/一门 580元/两门 |
购买 |
- 初级会计职称机考模拟系统综合版
