2 内部控制相关理论基础
图2.1 我国内部控制规范体系
内部控制基本规范 内部控制评价指引 内部控制应用指引 内部控制审计指引 组织结构 发展战略 人力资源 社会责任 企业文化 资金活动 采 购 业 务 资 产 管 理 销售业务 研究与开发 工 程 项 目 担保业务 业务外包 财 务 报 告 全 面 预 算 合 同 管 理 内 部 信 息 传 递 信息系统 2.4.1 企业内部控制基本规范
2008年6月,财政部、证监会、审计署等五部委公布《企业内部控制基本规范》,我国的内控规范是在广泛借鉴了国际理论界研究成果的基础之上形成的,具有中国特色,在内容和框架上主要借鉴了COSO的《内部控制整合框架》,并考虑到我国的实际国情以及我国企业的实际发展状况,作出微调。在内容上兼顾了内部控制和风险管理双方的要求。下面简要介绍我国内部控制五要素:
(1) 内控环境
我国内部控制基本规范同样肯定了内部环境在内部控制制度体系中的重要地位,① 组织结构
组织结构是一个企业最直观的部门关系构架,我国内部控制基本规范要求,企业
16
是内部控制活动开展的前提。内部环境包括:组织结构、内部审计、企业文化等因素。
重庆理工大学硕士学位论文
必须根据《公司法》等相关规定,设置科学合理的适合企业实际情况的组织管理构架。以便内部控制活动的有效实施。一般来说,在我国,公司的基本组织构架主要包含:股东大会、董事会、监事会、总经理办公室、审计委员会等。
② 内部审计
在我国企业中,一般由内部审计机构来指导和监督企业内部控制实施。内审机构对企业内部控制监督中发现的重大错误和问题及时上报董事会。因此,内部审计机构的人员配备要科学合理,做到独立、公正,在知识层次和能力水平上都要做到合格。
③ 企业文化
企业文化中包含着对风险的态度等内部控制相关内容。因此,为了更好地服务内部控制建设,企业董事会、经理层等职能部门要注重企业文化的建设,以身作则,培养员工的企业认同感,号召员工共同参与到企业内部控制建设中来。
(2) 风险评估
风险管理过程中对风险的合理评估是后续风险控制活动的开展及风险决策有效进行的保证。企业只有对可能面临的风险进行一个完整的、科学的评估之后,才能够有后续的风险应对措施的出台。在企业中,首先需要由相关部门结合企业实际面临的市场环境以及经营活动中的自身情况,对来自内、外部的潜在风险进行深度剖析,然后得出一个风险评估报告,最后再根据风险评估报告制定出适合企业自身价值观的应对措施。这就形成一个比较完善的风险应对机制。
(3) 控制活动
在根据风险评估报告制定出相关的风险应对措施之后,接下来需要做的就是实施既定的控制活动,确保这些风险应对措施能够渗透在企业各个层次各个部门,能够促使全体员工去共同执行。在我国企业中,这些控制措施主要有:岗位分离、分权、会计控制、资产保全、绩效考核等。
① 岗位分离
在这个环节中,企业需要根据岗位性质的不同,以及企业自身经营特点,对相关联、存在舞弊可能性的岗位进行岗位分离,有不同的人员分别担任,使其互相监督、相互制约,降低舞弊的可能性。
② 分权
“分权”主要是对管理人员来讲的,在企业中,难免会遇到一些对企业有重大影响的决策事件,如果相关人员权力过大的话,难免会擅自决定,可能会对企业造成巨大的危害。分权制度的实施,可以保证在遇到重大事件的时候,必须通过集体讨论来决定,从而降低了风险。
③ 会计控制
会计控制也就是对财务加强管理,在企业中,财务一向都比较敏感。所以,要对
17
2 内部控制相关理论基础
会计账簿、资料的保管,以及对费用报销的审核等财务活动进行严格的控制,可以设立财务总监一职来统一管理。
④ 资产保全
管理层有职责和义务制定相关的规章制度并采取措施,确保股东利益不受侵害,保全企业资产。如:设立资产管理台账、备查簿等,定期严格盘查。发现问题及时向董事会报告。
⑤ 绩效考核
建立完善的绩效考核制度体系,能够帮助企业定期得对各部门经理层的经营业绩进行考核。通过绩效考核报告,可以了解所有管理人员的胜任能力,对连续业绩较差的经理人采取辞退等措施,对绩效好的员工给予嘉奖,这对员工可以起到激励或是鞭策的效果。
(4) 信息与沟通
在企业的日常经营过程中,信息的传递与沟通贯穿于始终,其作用不言而喻。其宗旨是为企业的内部控制、风险管理活动的实施提供可靠、及时的信息支持。快捷、准确、及时的信息传递和沟通能够帮助管理层根据突发状况作出快速反应,制定决策应对风险。因此,企业的各个部门、层级的各个岗位上的职员都要参与到信息系统中去,以计算机、报纸等公共传媒以及其他的方式去获取信息并共享信息。一旦发现重要信息,就要上传到相关部门和责任人,确保信息的及时性。
(5) 监控
监控活动主要是由企业的内部审计监察部门来执行的。一般来说,企业内审部门主要负责内部控制制度的执行和纠错。内审机构在审计过程中可以采取定期检查和突击检查两种方式,来对企业各个职能部门的内控控制执行情况进行监控,在跟进的过程中及时发现错误并提出改善意见,对于比较严重的重大缺陷,应该适时得上报董事会,做到定期查错,有错必究、不留隐患。
① 定期检查和突击检查
定期检查主要是指内部审计监察部门对企业各个部门、环节进行的定期得常态化的监控,及时得了解日常经营过程中存在的问题,并给予整改意见,完善经营管理。突击检查在企业中一般可以称作是专项审计,就是不定期得对某个部门或者是某个业务流程进行突击检查,以评估其内部控制的执行情况,采取突击检查可以有效地杜绝相关人员的弄虚作假行为。
② 内部控制的自我监督与自我评价
我国内部控制基本规范和配套指引中明确规定,企业应当制定相关部门定期对企业的内部控制执行情况进行审计,并出具内部控制测评报告。它要求企业首先要对自身内部控制的执行情况作出评价,然后向公众及有关监督部门发布自评报告,董事会
18
重庆理工大学硕士学位论文
对此报告负责。这在很大程度上体现了内部审计部门工作的严谨性和重要性。因此,内部审计部门要在内部控制执行过程中及时发现缺陷,并对其提出整改意见。确保内部控制制度执行的有效性。
新形势下,企业界以及政府部门逐渐加大了对内部控制制度建设的力度,并督促大中型企业严格执行。内部控制在我国发展时间较短,经验不足。因此就需要企业各个部门、各个层级全体员工去共同努力,通力合作,找到适合本企业自身特点的方式去执行、完善企业内部控制体系。以实现企业经营目标和战略目标。 2.4.2 内部控制配套指引
所谓配套指引实际上就是对《内部控制基本规范》在具体应用过程中可能遇到的问题进行解释和说明。它是对基本规范的补充。我国相关部门颁布的配套指引主要包括以下三种:
(1) 环境指引
企业内部环境是内部控制活动顺利开展的保障和前提,一个健康的企业内部环境能够促进内部控制制度在企业中更为有效的得以实施。所以,我国对如何完善企业自身内部控制环境给予了一定的帮助和知道。在环境指引中,主要涉及到了企业部门构架、经营目标、人事制度政策、企业责任以及企业文化等内容。指引强调了企业文化建设的重要性,指出董事会和管理层应该以身作则,鼓励和支持企业文化的建设和完善,增强企业员工的公司主人翁感和企业文化认同感。这样才能提高全体员工的积极性,鼓励员工参与到内部控制制度的实施中,促进企业经营目标的实现。 (2) 控制活动指引
笔者认为,在配套指引中,对控制活动的解释说明是最多也是最详细的。因为在内部控制中,控制活动是跟企业日常的经营事项、业务活动关联最密切的要素之一,例如:存货管理、资金运营、销售、仓储、投资活动等等。而这些事项由于种类繁多且比较复杂,所以有很大的可操作空间,所以对其给予过多的关注也是正常的。指引中对投资活动和资金的运营管理特别强调,要求企业务必谨慎,这也是考虑到在这次金融危机中国内外许多企业因投资不慎和资金管理不当,造成巨大损失。
(3) 控制方法指引
配套指引中概述了对控制方法的说明,大体上有:全面预算、合同审批、信息传递以及信息系统等。 2.4.3 自我评价指引
内部控制评价是企业全面实施内部控制的一个成果的总结,它全方位地描述了企业在一段时期内实施内部控制的基本情况以及实施效果,能够让投资者、社会公众等
19
2 内部控制相关理论基础
利益相关方更直观地了解企业的运营情况。因此它对企业来说显得十分重要。在我国,证监会等部门联合发布公告,要求上市公司必须在期末发布关于本企业的内部控制自我评价报告,但是就目前各上市公司的情况来看,这项工作还处于探索阶段。
内部控制评价活动一般由企业董事会负责,由内部审计部门或者是第三方审计单位具体执行。对企业内部控制开展情况进行全面审计,首先制定内部控制审计方案,然后开展有效性测试,其次是得出测试结果,最后给出改善建议。最终出具内部控制测评报告并由董事会签字确认对其负责。
20