部控制的职责。负责制定和贯彻道德准则,使员工清楚什么样的行为是被期望的,相信上级确实想了解问题并愿意解决问题。
(2)业务部门:负责编制业务流程和业务标准并宣贯,使员工清楚本岗位负责的内部控制如何运行及怎样与他人的工作相联系。
(3)内控部:设置检举揭发网页和受理电话,鼓励公司内部员工和合作各方检举任何所获知或遇到的违规行为,对检举揭发事件进行调查核实并提出处理意见。
(4)董事会办公室:负责安排管理层和董事会及相关委员会的沟通,包括会议安排,董事会意见反馈。
(5)各级部门和人员:按照规定从纵向和横向与相关部门和人员沟通。 6.2.3.2 外部沟通
(1)外部沟通主要是指与客户和供应商、外部监管者和外部审计师的沟通。
(2)与客户、供应商的沟通。市场营销部门、公司所属全资或控股公司的采购、销售部门通过供需见面会或订货会、谈判、签定合同等形式与客户及供应商进行沟通,是双方相互了解对产品或服务的设计、质量、市场需求及公司道德准则等。
(3)与外部监管者的沟通。公司各部门和公司所属全资或控股公司在各自职责范围内通过公文、会议等形式与外部监管者进行沟通,及时搜集跟踪法律法规、监管要求等的变化。
(4)与外部审计师的沟通。审核委员会、内控部、财务部门与外部审计师进行会晤和讨论。
(5)与资本市场的沟通。董事会和资本运营部门每年披露公司财务年报。向股东提供书面公司财务年报。
6.2.3.3 沟通的方式
沟通可以采用诸如内控手册、员工纪律守则、利益冲突守则、业务培训、备忘录、公文、会议、录像录音带等形式,又可采用口头传递消息的方式。另一种有影响力的沟通手段是管理层在领导下属工作时的言行。 6.3 信息披露
公司制定信息披露制度和管理程序文件,可成立信息披露委员会或其他委员会和工作小组,要明确其构成和职责,以负责监督披露控制和程序的操作方面的事务,并整合信息数据收集程序中产生的信息。
披露委员会向包括首席执行官和执行董事在内的高级管理层汇报工作。披露委员会和首席执行官一起讨论和审核定期报告、程序和结论的讨论稿,并回答问题、指出重点披露内容和其他事项,以及讨论和审核披露委员会对披露控制和披露程序的评估;披露委员会应得到公司的所有重大新情况的全面通告,以便对该等事件进行评估和讨论,并就重大事件的公开信息发布时间做出决定。
披露委员会应通过指定专人负责相关披露报告中某些章节(如诉讼、法规、竞争、财产、管理层对财务状况酶营业绩的讨论及分析、板块业务等章节)的起草审阅来分配起草/审阅责任。
7 监督
7.1 持续监督 7.1.1 释义
持续监督是在公司日常经营过程中进行的,包括常规的管理、监管行为,以及全体员工在履行其职责时所采取评估内部控制执行质量的行为。 7.1.2 内控关注要点
持续监督主要关注以下几个方面:
(1)在日常活动中获得内控执行的证据; (2)外部反映对内部信息的印证程度; (3)定期核对财务系统数据与实物资产;
(4)对内外部审计师关于加强内控的措施做出响应; (5)培训、会议等对内控有效性的反馈;
(6)定期询问员工是否理解并执行了公司的道德准则,员工是否执行了内控活动; (7)内审活动的有效性。
7.1.3 对持续监督的基本要求
为了保证内控体系长期有效运行,需要建立一个稳定的运作机制。
7.1.3.1 定期收集汇总各部门各单位的信息、问题,监督各方面工作的进展。例如,通过经济活动分析等方式,汇集各方面的信息,分析异常变动发生的原因,使潜在的问题及时得到反映,从而对财务报表的质量进行监控。
7.1.3.2 自我监督:各级职能部门对所分管控制活动的执行情况进行自我监督、检查,确保控制得到有效执行,同时对发现的问题做出响应。 自我监督检查常见的方式:
(1)各职能部门对本部门编制的报表进行审核、分析,验证数据的准确性;
(2)每月核对账务,如银行对账、内部往来对账等,编制余额调节表,对差异进行分析,调整账务。
7.1.3.3 业务接口监督:各业务部门对与自己业务接口部门的相关控制活动进行审核监督,以保证接口部分的数据衔接准确无差异。常见的方式有:将业务部门专业口报出的数据与财务数据进行核对。
7.1.3.4 对下监督:业务主管部门对下属单位的内部控制活动的执行情况进行检查。 业务部门对所分管业务中遇到的问题提出解决办法,并发布管理文件或修订完善制度来规范下属单位的工作,对其执行情况进行抽查和全面检查。
7.1.3.5 各专业部门从外部单位获取相关信息,验证内部控制的有效性。可以采取:
(1)与外部单位的往来账项函证,以此来确认账务数据与函证的一致性;
(2)召开客户座谈会,检查客户的投诉记录,来获取有关内部控制存在缺陷的信息,进而改善内部控制状况;
(3)公司接受外部监管者的检查监督并及时获取反馈信息,例如:接受国家审计机关的监督指导,国税、地税检查。 7.1.3.6 根据公司资产管理制度规定,各单位制定各自的资产管理制度和财产清查制度,定期对固定资产、存货、现金、汇票等进行盘点。
7.1.3.7 有效开展内部审计工作,公司管理层响应内、外部审计师的内控建议。
7.1.3.8 各有关部门及管理层通过培训、会议、调研、举报等方式从基层了解到控制实施情况及控制缺陷的反馈情况。
7.1.3.9 职能部门定期对员工道德准则的执行情况进行检查,并广泛了解道德准则的涵盖范围。
7.1.3.10 审核委员会要发挥应有的作用。审核委员会关注公司内部控制体系的完善,对内控体系的建立和运行进行监督,并对内控体系的进一步完善给予改进建议。
7.1.3.11 必须建立相应的管理制度,明确内控体系修订完善的责任主体和相关程序,建立一套制度体系来保障体系有效运行,包括激励机制、考核机制、运行机制、保障监督机制等,需要明确相关的责任主体和考评监督机制。
7.1.3.12 建立与外部审计师的沟通接口的协调机制:按照监管的要求,外部审计师每
年对公司内控体系的运行状况和管理层对内控运行状况的评价进行独立的审计。 7.2 独立评估 7.2.1 释义
持续监督经常可以提供内部控制是否有效运行的信息,但是从全面的观点看,公司有必要直接检视内部控制系统的设计和运行的有效性。这种旨在关注内控系统设计和运行的有效性而进行的评估过程就是独立评估。
管理层为了合理地确认内控系统的有效性所必须进行的独立评估的频率,取决于管理层的判断。在做出决定时管理层应考虑:变化发生的性质和程度及与变化相关的风险;实施内控的人员能力和经验;持续性监督的结果。 7.2.2 独立评估基本要求
7.2.2.1 独立评估要有内控测试的方案、标准、关键控制点清单、测试范围等工作依据。 7.2.2.2 公司内控部门开展内控专项审计或评估工作,在内控专项审计中,主要是通过将被审计单位或审计事项的内部控制运行情况通过文字叙述或流程图等书面形式重新描述出来,进行测试和评价。
7.2.2.3 为适应公司整个内控体系框架的要求,内控部门代表管理层对公司内控的运行情况进行系统评价。
7.2.2.4 建立和完善独立评估管理体系。内控部门建立和完善独立评估的管理制度,明确独立评估的责任主体和相关内容。明确独立评估的判断标准(什么条件下进行独立评估)、判断主体(谁来判断)、范围和频率等相关内容。 7.3 缺陷报告 7.3.1 释义
这里的“缺陷’’被广泛定义为内控系统中值得注意的问题。缺陷可能代表一个假想的、潜在的或实际的缺点,或一个强化内控系统的机会。向恰当的当事人提供有关内部控制缺陷的必要信息,对内部控制制度的持续有效运行十分关键。 7.3.2 汇集和报告发现的内控缺陷 7.3.2.1 内控关注要点
缺陷报告主要关注下列活动的缺陷:
(1)来源于内部或外部(如:客户、供应商、审计师、监管机构); (2)通过持续监督或独立评估的结果。 7.3.2.2 基本要求
各级财务部门在组织财务税收检查时对发现的内控缺陷采取措施。 公司内控部门及所属各单位的内控部门,通过制定审计计划和执行审计项目,对发现的控制漏洞及时上报,并形成的审计报告上报所属单位的最高管理层,并要求被审计单位进行整改,提高控制与管理水平。
纪检监察信访机制、效能监察工作以及重大事故的调查工作,能够汇集和发现公司包括内控缺陷在内的问题。
7.3.3 汇报机制的适当性 7.3.3.1 内控关注要点
主要关注下列活动:
(1)将控制缺陷向直接负责人和至少再高一个级别的人汇报; (2)特殊类型的缺陷向高级管理层和董事会汇报。 7.3.3.2 基本要求
财务汇报:财务部门经理和分管财务领导出席审核委员会例会,在例会上进行汇报,包括财务分析.(对比预算、对比上期)的内容公司所属各单位向首席执行官和公司财务部门报
告工作。
审计汇报:加强内控部门和审核委员会的沟通,审核委员会要加强对财务报告、内部审计的监督,提出管理方法和改进措施。
公司内控部对董事会及管理层负责并报告工作。公司所属各单位的内控职能部门,在本单位总经理和公司内控部的领导下,组织领导本单位的内控工作,向本单位总经理和公司内控部报告工作。
7.3.4 跟踪评估的适当性 7.3.4.1 内控关注要点
主要关注下列活动:
(1)识别出的错误交易或行为得到纠正; (2)针对问题的根本原因进行调查;
(3)实施跟进,以确保必要的纠正措施得到实施。 7.3.4.2 基本要求
(1)管理层的响应:公司管理层对监管部门就监管过程中发现的有关违反法规、财经纪律等内部控制缺陷采取措施。
(2)监察跟进评估:监察职能部门对监察信访机制、效能监察工作以及重大事故的调查工作中汇集和发现公司包括内控缺陷在内的问题,进行适当的处理,实施改进措施。
(3)审计跟进评估:公司审核委员会定期询问管理层以前发现的问题是否整改;审计机构根据审计报告出具审计意见书,下达审计决定,提出管理建议书等,并向被审计单位提出分析建议和忠告,以督促其认真履行职责;对有争议的审计处理进行审计复议;内部审计机构负责监督检查内部审计意见采纳及审计决定执行情况;对重要的审计项目,应进行后续审计。
7.4 内部审计与监督 7.4.1 释义
审计监督是一种独立的经济监督与评价活动,包括内部审计和外部审计。公司内部审计是对公司内部控制系统的所有制度、标准和程序的足够性和有效性进行监督和评价。 7.4.2 内部审计监督在内部控制中的定位
内部审计监督担当起监督、评价、鉴证公司内部控制系统的职责和任务。在三个职能中,监督是基本职能,与鉴证职能相比较,评价职能更为重要和经常履行。
相对于外部审计来说,内部审计更熟悉本公司的生产经营状况,有独立于生产、财务、会计、营销、基建、战略等职能部门和各业务单位,不参与具体的经营管理活动,对这些部门和业务单位的业务活动及其内部控制系统的建立与运行进行分析、监督与评价,并客观公正地提出建议,作为公司领导进行决策的参考依据之一。 7.4.3 内部审计的职责和权限 7.4.3.1 释义
内部审计机构的重要职责之一就是对公司的内部控制系统监督和评价并接受审核委员会领导并向其负责和报告工作。
7.4.3.2 建立内部审计操作程序和措施
明确内部审计的任务、实施原则、方法、步骤以及审计工作的管理方式及要求,以实现内部审计工作的规范化。
明确公司各部门的职责,同时使各部门了解内部审计的重要性、内部审计的职责和实施方式,以便更好地支持和配合审计工作,完善内部控制系统,提高公司管理水平,共同为实现公司的总目标而努力。
确保内部审计活动运用系统化和规范化的方法开展,并通过加强培训和管理,增强审计
人员的规范化的意识,使之自觉执行审计制度和程序。
确保内部审计活动以评价和改进风险管理、控制和治理过程的充分性、有效性和履行职责的质量为主要审计活动,把总体控制系统与公司的长远目标相联系起来,把一旦达不到目标与可能发生的风险联系起来。
7.4.3.3 内审职能部门履行财务审计的职责
对公司、职能部门、各业务单位的预算执行情况进行审计; 评价财务会计内控制度及其执行;
对违反有关财经法规和制度的问题进行专项审计; 对营销、采购的价格和渠道、结算进行审计监督等。 7.4.3.4 内审职能部门履行效益审计的职责
对绩效考核所确定的各职能部门、各业务单位、相关人员的经济责任指标及其奖惩办法进行审计评价,并提出完善措施。
对绩效考核所确定的各职能部门、各业务单位、相关人员的经济责任指标及其奖惩办法履行过程和结果进行监督和评价,所提出的审计报告应作为人力资源部门考核的依据之一。
对公司及其所属单位的生产、经营效益进行检查和评价,并提出改进建议和措施。 7.4.3.5 内审职能部门履行工程项目的职责
接受审核委员会和公司管理层委托,对申报的工程项目必要性、可行性进行审计评价和论证,并提出审计意见;
接受审核委员会和公司管理层委托,对申报的工程项目预算的合理性和先进性进行审计监督和评价;
接受审核委员会和公司管理层委托,对申报的工程项目竣工决算进行审计监督和评价; 对工程项目的管理、支出、内控体系进行审计监督。 7.4.3.6 履行内控监督和评价的权限
有权要求被审计单位和部门按时报送计划、决算、预算、报表和有关文件、资料等有关审计材料;
有权审查凭证、账簿、报表、决算、资产和财产、财务会计软件、相关资料; 有权参加管理层召开的与审计有关的会议,并可以发表有关于审计方面的意见; 有权对涉及审计的有关事项向公司内部有关单位和个人进行调查,并获取有关资料; 对正在发生的违规和违反制度行为,经首席执行官同意,有权作出制止决定; 有权对打击、报复、陷害行为进行揭露,并建议首席执行官对其恰当处理;
有权对阻挠、妨碍审计工作的行为以及拒绝提供资料的,经首席执行官批准,采取必要的临时措施,并提出追究责任意见;
有权针对审计中发生的问题,提出改进意见和纠正措施;
有权对审计中发生的重大问题、严重违法和违规行为的直接责任人员,提出处理意见。 7.4.3.7 实施重点业务循环中内控的监督与评价
按照重要优先的原则,选择对公司战略发展和当前经营效果最具影响而且风险程度较高的重点业务开展监督与评价。
7.4.3.8 内部审计与外部审计的协调
(1)内部审计与外部审计的区别:政府审计和注册会计师审计属于外部审计的范畴,内部审计在评价组织内控系统的健全性和有效性时需要与外部审计协调一致,以便使内外审计互相补充,形成完整的审计监督体系。
从一定的角度讲,内部审计对内部控制系统的建立和运行的监督与评价比外部审计更具实效,内部审计本身也是内部控制系统的一个组成部分,对于完善内部控制系统起着特殊的作用,内部审计和外部审计相辅相成,共同促进公司内部控制系统的完善和有效运行。
(2)需要做好以下协调工作:内部审计通过自身对公司内部管理和生产运营风险的熟悉优势,为外部审计提出审计工作重点,共同完善审计方案;
内部审计应要求外部审计做好财务基础审计,要求全面而且有一定的深度,为下一步内控评价奠定基础;
内部审计要对外部审计的阶段性工作结果向有关方面反馈,提高审计效率; 内部审计要通过外部审计来验证内审的质量和效果,也起到鉴证作用。