第二十章 《企业内部控制评价指引》讲解
一、关于总则
《企业内部控制评价指引》(以下简称《评价指引》)第二条规定,企业内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制评价与内部控制的建立和实施,构成有机循环。内部控制评价是优化内部控制自我监督机制的一项重要制度安排,是内部控制的重要组成部分,对于建立和实施内部控制具有十分重要的作用。
(一)内部控制评价的作用
第一,内部控制评价有助于企业自我完善内控体系。内部控制评价是通过评价、反馈、再评价,报告企业在内部控制建立与实施中存在的问题,并持续地进行自我完善的过程。通过内部控制评价查找、分析内部控制缺陷并有针对性地督促落实整改,可以及时堵塞管理漏洞,防范偏离目标的各种风险,并举一反三,从设计和执行等全方位健全优化管控制度,从而促进企业内控体系的不断完善。
第二,内部控制评价有助于提升企业市场形象和公众认可度。企业开展内部控制评价,需形成评价结论,出具评价报告。通过自我评价报告,将企业的风险管理水平、内部控制状况以及与此相关的发展战略、竞争优势、可持续发展能力等公布于众,树立诚信、透明、负责任的企业形象,有利于增强投资者、债权人以及其他利益相关者的信任度和认可度,为自己创造更为有利的外部环境,促进企业的长远可持续发展。
第三,内部控制评价有助于实现与政府监管的协调互动。政府监管部门有权对企业内部控制建立与实施的有效性进行监督检查。事实上,在有关政府部门,比如审计机关开展的国有企业负责人离任经济责任审计中,已将企业内部控制的有效性,以及企业负责人组织领导内控体系建立与实施情况纳入审计范围,并日益成为十分重要的一部分。尽管政府部门实施企业内控监督检查有其自身做法和特点,但监督检查的重点部位是基本一致的,比如大多涉及重大经营决策的科学性、合规性以及重要业务事项管控的有效性等。实施企业内控自我评价,能够通过自查及早排查风险、发现问题,并积极整改,有利于在配合政府监管中赢得主动,并借助政府监管成果进一步改进企业内控实施和评价工作,促进自我评价与政府监管的协调互动。
(二)内部控制评价的对象
内部控制评价是对内部控制有效性发表意见。所谓内部控制有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。
1.设计有效性
内部控制的设计有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计恰当。
设计有效性的根本判断标准是所设计的内部控制是否能为内部控制目标的实现提供合理保证。对于财务报告目标而言,所设计的相关内部控制是否能够防止或发现并纠正财务报告的重大错报,是判断其设计是否有效的标准;对于合规目标而言,所设计的相关内部控制是否能够合理保证遵循适用的法律法规,是判断其设计是否有效的标准;对于资产安全目标而言,所设计的内部控制是否能够合理保证资产的安全、完整,防止资产流失;对于战略、经营目标而言,由于其实现还受到许多不可控的因素(尤其是外部因素)的影响,因而判定相关内部控制的设计是否有效的标准,是所设计的内部控制是否能够合理保证董事会和经理层及时了解这些目标的合理性和实现程度、从而调整目标和改进控制措施。
设计有效性主要体现为内部控制设计的合理性和适当性。在遵循《企业内部控制基本规范》和配套指引的规定的基础上,设计的合理性是指内部控制的设计在符合内部控制基本原理的同时,本着客观、公平、公正的原则制定,对董事会、监事会、经理层和企业员工具有执行的基础和约束力。设计的适当性是指内部控制的设计是否结合企业自身的环境条件、业务范围、经营特点,进行风险识别和评估,确定主要及重大风险控制措施,从而有利于实现控制目标。
2.运行有效性
内部控制的运行有效性,是指现有内部控制按照规定程序得到了正确执行。评价内部控制的运行有效性,应当着重考虑以下几个方面:(1)相关控制在评价期内是如何运行的;(2)相关控制是否得到了持续一致的运行;(3)实施控制的人员是否具备必要的权限和能力。
评价运行有效性,就是对于设计有效的内部控制,考察其是否按设计的那样一贯执行的过程。如果评价证据表明内部控制在设计上存在缺陷,即内部控制的设计不符合设计有效性标准,那么即使内部控制按照该设计得到了一贯执行,我们也不能认为其运行是有效的。当然,如果评价证据表明内部控制的设计是有效的,但是没有按照设计的那样得到一贯执行,那么我们就可以得出其不符合运行有效性的结论。
需要强调的是,即使同时满足设计有效性和运行有效性标准的内部控制,也只能为内部控制目标的实现提供合理保证,而不能提供绝对保证。这是因为,内部控制目标实现受到许多不可控因素的影响之外,内部控制本身也存在固有局限。内部控制的固有局限主要表现为:(1)人为的判断不可避免会出现失误,从而使内部控制中的那些基于判断的决策出现失误,进而导致内部控制失效;(2)内部控制可能会由于误解、疏忽等多方面的原因失效;(3)经理层凌驾于内部控制之上可能导致内部控制失效;(4)两个或多个人的串通行为可能导致内部控制失效;(5)由于考虑和权衡内部控制的成本与效益,可能会影响内部控制的有效性。由于存在上述固有局限,在评价内部控制设计和运行的有效性时,应当立足于“合理保证”的概念,而不应不切实际地期望内部控制能够绝对保证内部控制目标的实现,也不应以内部控制目标的最终实现情况和程度作为唯一依据直接判断内部控制设计和运行的有效性。
(三)内部控制评价的原则
内部控制评价的原则是开展评价工作应该注意的原则,与内部控制的原则不完全相同。根据《评价指引》第三条规定,企业对内部控制评价至少遵循以下原则:全面性原则、重要性原则和客观性原则。
1.全面性原则。全面性原则强调的是内部控制评价的涵盖范围应当全面,具体来说,是指内部控制评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
2.重要性原则。重要性原则强调内部控制评价应当在全面性的基础之上,着眼于风险,突出重点。具体来说,主要体现在制订和实施评价工作方案、分配评价资源的过程之中,它的核心要求主要包括两个方面:一是要坚持风险导向的思路,着重关注那些影响内部控制目标实现的高风险领域和风险点;二是要坚持重点突出的思路,着重关注那些重要的业务事项和关键的控制环节,以及重要业务单位。
3.客观性原则。客观性原则强调内部控制评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计和运行的有效性。只有在内部控制评价工作方案制定、实施的全过程中始终坚持客观性,才能保证评价结果的客观性。
实务中,以下因素将影响客观性原则,包括:(1)经理层对内部控制评价认识不够,有意识或无意识地在评价方案、评价报告等方面回避存在的问题;(2)内部控制评价与设计不独立;(3)缺乏较为科学的手段,评价人员专业知识和业务能力不足,依靠印象等因素主观评价;(4)评价人员独立性不强,下属单位管理层干涉评价过程或结果,甚至有意制造障碍;(5)专业部门、审计部门与内部控制部门缺乏良好的沟通机制,内部控制评价方案不能确定最佳的检查评价范围和重点,测试样本选择不合适,以偏概全。
【例20-1】某集团公司从以下几个方面来保证内部控制评价的全面性、重要性和客观性:
在自我评价方面,各个职能部门按照职责负责日常监督,对业务按月测试和监控,并将结果反馈内部控制部门,以保证全面评价并为内部控制部门提供重点监控的基础。
针对高风险领域增加评价力度和频次,开展专项自评,加强自评工作的专业纵向指导。
年末评价时,要求根据所属单位的业务性质和收入、资产占比较大原则,确定需要的评价单位,并按照重要性原则和日常监督、专项监督情况,确定需要评价的业务流程和控制点,填写测试底稿。
在保持客观性方面:
制定了完整的内部控制评价体系,建立了领导机构和组织体系、操作程序和规范,保证组织有章、程序科学、评价有依、记录规范。
设定了评价方式方法,有明确的评价结果记录格式,并加以固化,保证填制规范,记录清晰完整。
公司以独立于内部控制部门的审计部为主每年开展巡查工作,抽查各下属单位评价工作的组织、实施和记录情况。审计人员和参加巡查人员在评价前参加内部控制评价培训,学习内部控制知识、业务流程、检查方法等内容。
另外,董事会审计委员会每季度听取内部控制方面的汇报(常和内审工作一起汇报),并强调和督促在内部控制评价工作中坚持客观性。
(四)内部控制评价的组织形式和职责安排
《评价指引》第四条规定,企业应当根据本评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
企业内部控制评价办法应当结合《企业内部控制基本规范》第四十四条的规定,具体明确内部控制评价的组织形式,特别明确各有关方面在内部控制评价中的职责安排,处理好内部控制评价和内部监督的关系,定期由相对独立的人员对内部控制有效性进行科学的评价,界定内部控制缺陷认定标准,保证内部控制评价有序地开展。
1.内部控制评价的组织形式
企业可以授权内部审计机构或专门机构(以下简称内部控制评价机构)负责内部控制评价的具体组织实施工作。内部控制评价机构必须具备一定的设置条件:一是能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;二是具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;三是与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约,在效率效果上满足企业对内部控制系统进行监督与评价所提出的有关要求;四是能够得到企业董事会和经理层的支持,有足够的权威性来保证内部控制评价工作的顺利开展。
具体来说,企业可根据自身特点,决定是否单独设置专门的内部控制评价机构。由于内部审计机构在企业内部处于相对独立的地位,加上其工作内容和业务专长与内部控制评价工作有着密切的关联,因而由内部审计机构来负责内部控制评价的具体组织实施工作是比较合理、可行的选择。对于单独设有专门的内部控制机构的企业,也可以由内部控制机构来负责内部控制评价的具体组织实施工作。一般来说,为了保证评价独立性,负责内部控制设计和评价的部门应适当分离。
在实践中,也有组织非常设内部控制评价机构,例如,抽调内部审计机构、内部控制机构等相关机构的专门人员组成内部控制评价小组,来负责内部控制评价的具体组织实施的做法。
企业可以委托会计师事务所等中介机构实施内部控制评价。此时,董事会(审计委员会)应加强对内部控制评价工作的监督与指导。从业务性质上讲,中介机构受托为企业实施内部控制评价是一种非保证服务,内部控制评价报告的责任仍然应由企业董事会承担。另外,为保证审计的独立性,为企业提供内部控制审计的会计师事务所,不得同时为同一家企业提供内部控制评价服务。
应当说明的是,内部控制有效性评价可以将内部审计工作中的审计结果作为重要的借鉴因素,以提高评价的效率和效果,但是不能作为最终评价标准。审计结果应由审计机构或内部控制评价机构专门从内部控制角度进行复核、汇总、分析,必要时需补充测试,扩大抽样业务范围和数量,作出全面的内部控制评价结果。
2.有关方面在内部控制评价中的职责和任务
无论采取何种组织形式,董事会、经理层和内部控制评价机构在内部控制评价中的职能作用不会发生本质的变化。一般来说:
(1)董事会对内部控制评价承担最终的责任。《评价指引》第四条第二款规定,企业董事会应当对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。董事会或审计委员会应听取内部控制评价报告,审定内控重大缺陷、重要缺陷整改意见,对内部控制部门在督促整改中遇到的困难,积极协调,排除障碍。监事会应审议内部控制评价报告,对董事会建立与实施内部控制进行监督。
(2)经理层负责组织实施内部控制评价,也可以授权内部控制评价机构具体组织实施,并积极支持和配合内部控制评价的开展,创造良好的环境和条件。经理层应结合日常掌握的业务情况,为内部控制评价方案提出应重点关注的业务或事项,审定内部控制评价方案和听取内部控制评价报告,对于内部控制评价中发现的问题或报告的缺陷,要按照董事会或审计委员会的整改意见积极采取有效措施予以整改。
(3)内部控制评价机构根据授权承担内部控制评价的具体组织实施任务,通过复核、汇总、分析内部监督资料,结合经理层要求,拟订合理评价工作方案并认真组织实施;对于评价过程中发现的重大问题,应及时与董事会、审计委员会或经理层沟通,并认定内部控制缺陷,拟订整改方案,编写内部控制评价报告,及时向董事会、审计委员会或经理层报告;沟通外部审计师,督促各部门、所属企业对内、外部内控评价进行整改;根据评价和整改情况拟订内部控制考核方案。
(4)各专业部门应负责组织本部门的内控自查、测试和评价工作,对发现的设计和运行缺陷提出整改方案及具体整改计划,积极整改,并报送内部控制机构复核,配合内控机构(部门)及外部审计师开展企业层面的内控评价工作。
(5)企业所属单位,也应逐级落实内部控制评价责任,建立日常监控机制,开展内控自查、测试和定期检查评价,发现问题并认定内部控制有缺陷,需拟订整改方案和计划,报本级管理层审定后,督促整改,编制内部控制评价报告,对内部控制执行和整改情况考核。
企业内部控制评价办法中的原则、内容、程序、方法和报告形式参考本讲解其他部分制定。
二、关于内部控制评价的内容
(一)内部控制评价的内容和工作底稿设计
《评价指引》第五条到第十条具体介绍了内部控制评价内容。内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行,企业应结合《企业内部控制基本规范》、各项应用指引以及本企业的内部控制制度,确定具体评价内容,对内部控制设计与运行情况进行全面评价。具体评价内容应该在建立内部控制核心指标体系的基础上展开。为了增强可操作性,本讲解根据《企业内部控制基本规范》和应用指引,设计了内部控制核心指标体系及相应的参考标准(见附件1),企业可以根据实际情况将每一个指标逐级细化,增加更加详尽、适用的内容。
具体评价内容确定后,根据《评价指引》第十一条规定,内部控制评价工作应形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。实际工作中,工作底稿一般是通过一系列评价表格来体现的,通过对每个要素核心指标的分别分解、评价,最终汇总出评价结果,具体举例如下:
【例20-2】xx公司内部控制评价内容包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个部分,在内部控制核心指标体系的基础上,根据企业内部控制制度,对每一项要素进一步细分,并制定具体的测试评价方法,其工作底稿是由汇总表、内部环境表、内部监督表和多项控制活动表组成的。
针对内部环境,根据细化的内容和测试评价方法设计的工作底稿:
企业内部环境评价表
同样,针对内部监督,根据细化的内容和测试评价方法设计的工作底稿:
企业内部监督评价表
控制活动涉及到企业多项业务流程,每一项业务流程均根据公司内部控制制度规定和相应的测试评价方法。以《一般物资采购供应业务流程》为例,设计工作底稿:
《一般物资采购供应业务流程》评价表
业务流程评价后,将各项业务流程评价结果汇总到一个统一的表格中,以便确定最终结果,并填列到汇总表中,格式如下:
年度内部控制业务流程评价汇总表
汇总表包括内部环境、内部监督、业务流程(即控制活动)和缺陷认定几个部分,格式如下:
内部控制评价汇总表
(二)具体评价案例解析
根据评价内容,以下分别以内部环境的组织架构、销售控制活动、信息与沟通、内部监督为例,列示具体的评价内容:
【例20-3】xx公司内部环境要素评价——以组织架构为例
xx公司是一家大型能源类上市公司。公司自成立以来,根据《公司法》等有关法律、法规、规范性文件及公司章程,建立健全了规范的公司组织架构。公司成立以内控人员为主,其他管理部门共同参与的评价小组,定期对公司组织架构进行专项评价。
一、组织架构评价的关注点:
1.组织架构设置的控制力和权责划分
公司组织架构的适当性,以及其提供管理活动必要的信息流动的能力。具体包括:(1)考虑公司经营业务的性质,公司的组织架构适当地集中或分散;(2)组织机构之间权限清晰、相互牵制。
2.组织架构变化的适应性
组织架构会在何种程度上随环境的变化而变化。具体包括:管理人员定期根据变化的业务或行业环境来评价公司的组织架构。
二、评价方法
评价小组主要通过访谈人力资源管理部门、查阅相关管理制度及组织架构图、审阅会议记录等方法,对公司组织架构开展专项评价。
三、评价描述
1.组织架构适应信息流通和权利集中程度
公司按照《公司法》的要求,参照国际同行业公司的通行做法,结合自身实际,建立规范的法人治理结构(包括股东大会、董事会、监事会和总裁负责的管理机构),即建立起资产所有权、经营权分离,决策权、执行权、监督权分立,股东会、董事会、监事会并存的法人制衡管理机制。对重大决策、重大事项、重要人事任免及大额资金支付业务实行集体决策审批。
公司的经营管理实行一级法人、分公司为主的体制,分级授权管理,权责统一,逐级负责。公司的行政管理实行两级管理体制,即股份公司——地区公司;业务管理实行三级管理体制,即股份公司——专业分公司——地区公司。公司对各个地区采购、销售、资金等重要业务设立统一部门,以加强专业化和集中化管理。
公司组织机构编制管理遵循“科学先进、实事求是;职责清晰、精干高效;统一归口、分级管理;规范程序、严格审批”的原则,公司有明确的部门(岗位)权责明细表,没有职能重叠的机构,实现了业务与财务、计划与执行、经办与审批、决策审批与执行等不相容部门及岗位的互相牵制。
2.组织架构变化的适应性
公司制定《xx公司机构编制管理办法》,明确人事部为公司机构编制业务的归口管理部门,地区公司人事部门为本单位机构编制业务归口管理部门,并明确界定了股份公司和地区公司机构编制管理的范围。
管理部门根据公司总体发展战略和管理定位及外部环境的变化,定期评价现有组织架构的合理性;需要做出调整的,管理部门组织评估、论证并提出机构编制调整方案,按照规定程序审批后实施。
总结建议:由于企业实行专业化集中化管理,建议各专业公司财务部门由公司委派,以加强对业务的监督,以避免权力过分集中。
应该说明的是,内部环境评价属于“软指标”,从企业层面评价内部环境具有一定局限性,且大部分企业相关制度较为完善。但是,企业如果仅仅将内部环境限于制度建设层面,而经营管理实际与之存在较大差距,甚至限制经营管理,就只能将内部环境停留在“纸面”或“墙上”。另一方面,从业务层面,任何业务流程设计和执行都不能脱离内部环境,因此,业务流程评价可以在汇总的基础上,向前追溯分析内部环境的设计与运行,如果认定是内部环境存在问题,应考虑重新调整甚至改变内部环境从企业层面评价的结果,而不能仅仅孤立地从企业层面评价内部环境。在评价内部环境时,也要注意内部环境要素之间的影响。
【例20-4】xx公司控制活动要素评价——以销售业务为例
xx公司西南分公司是一家专业化销售分公司,xx公司依照《xx年内控专项测试实施方案》,组成内控专项测试组,重点对该分公司化工产品销售业务的内部控制运行情况进行了专项评价。评价内容主要涉及销售计划、销售实施、预收货款、现收货款、销售收入核算等流程。
一、评价的关注点
1.xx公司审批年度销售配置计划(含计划调整)。分公司销售部门编制月度销售执行计划,报销售部门负责人审核。
2.分公司销售部门根据月度销售执行计划及规定的发货指令发货。
3.分公司财务部门对每天现金性货款(包括现金、支票等)的存入银行情况进行审核:将销售报表现金性货款应收数与存入银行货款的实收数进行核对,如有异常情况与销售部门联系,重大问题向财务负责人报告。
对于预收账款,分公司财务部门每半年与债权人签认预收账款余额。
4.销售部门负责组织与客户签订定期结算销售协议,经部门负责人审核后报主管领导审批。
5.分公司负责开具发票的部门依据相关单据(计量单、出库单、货款结算单等)开具销售发票并经相关岗位审核。财务部门对销售报表等原始凭证(有销售信息系统的单位需打印销售系统相关单据)进行审核(包括销售价格、销售数量、销售金额、货款结算等),确认销售收入,编制记账凭证。财务部门与相关部门月末核对当月销售数量,保证各部门销售数量的一致性。
二、评价描述
通过测试发现该分公司的销售业务循环中存在设计缺陷,即销售价格虽然执行计划,但是实际销售上下浮动审批缺乏规定;在执行方面,相关的基础工作比较规范,对于销售业务日常管理基本都能按照内部控制要求执行,但也发现一些执行控制不到位的现象,主要问题有:
1.不相容岗位未进行分离
在扩销产品购销合同的谈判和签订工作中,由业务员负责合同签订前的谈判工作,谈判主要是电话的方式,且只有业务员一人负责谈判工作,不符合谈判人员至少应有两人以上的规定。
销售产品交货单的调运计划岗和调运确认岗为一人。调运计划岗负责调运计划的编制,调运确认岗负责调运计划的审核,属于不相容岗位,不符合不相容岗位相分离的原则。
2.会计基础工作不规范
2008年4月xx号~xx号凭证原始票据不全,没有运费发票复印件。2008年5月预收上海xx公司的往来款项由于新增往来单位未批复,暂时在其他往来单位中进行了列支,月末对该单位的余额进行了往来单位调整。
3.销售价格下调幅度较大
2008年7月xx号发票价格与同种、同级产品相比,下调30%价格。
在控制活动评价中,应该包括设计有效性和执行有效性,上例是执行有效性的评价示例。评价控制活动的设计有效性,应充分考虑内部环境与控制措施的匹配性。例如,企业组织架构中设立了研发部门,应加强研发过程费用审批环节,如未设立研发部门,则应加强相应承担单位的审核控制环节,等等。又如,企业奉行创新开拓的企业文化,确立高风险承受策略,则应加强对投资项目的后评估,等等。
【例20-5】xx公司信息与沟通要素评价
一、关注要点
xx公司信息部门负责信息收集、传递及信息化建设,该信息部门制定有关信息资源管理制度,明确了各部门信息收集和传递的职责及权限,确定商业秘密范围,以加强信息管理。主要包括以下方面:
1.财务报告、经营分析、业务表现等信息的沟通;
2.行政管理和人力资源政策等信息的沟通;
3.保密信息与沟通,包括确定保密信息秘级;
4.审计信息沟通;
5.雇员提供的信息;
6.报告信息;
7.专业信息以及从客户、供应商、经营伙伴、投资者处获得的信息;
8.管理层与董事会以及职能部门间的沟通;
9.与客户、供应商、律师、股东、监管者、外部审计师的沟通;
10.明确审计、内控、财务等部门在反舞弊机制建设中的作用。
二、评价方法
查阅公司信息资源管理制度等相关制度文件,了解有关收集、报送、传阅、流转、借阅等方面的相关规定;访谈有关管理人员,了解其是否知晓相关制度文件中关于传阅、流转、借阅等方面的要求;随机抽取文件传阅、流转、借阅的记录,查看相关信息是否按规定送达相关权限的人员,以满足其使用需要。
三、评价描述
公司按照要求,按月编制财务报表、资金运行情况分析报告、预算执行情况分析报告并分别在每月5日、10日和14日前报管理层。
按照《xx公司保密管理规定》等文件的规定,总裁办(总经理办)归口负责机关机要文件传阅、流转、借阅等管理,各部门、分公司设专人或专岗负责此项工作。公司没有根据业务分析需要保密的敏感数据,ERP系统敏感数据及其授权缺乏管理。
公司审计部对公司经营管理过程及成果的真实性、合规性、合法性、效益性进行审计,对总裁和审计委员会负责并报告工作。各分公司审计部门将项目审计报告上报总经理和审计部。审计部门根据审定的审计报告出具审计意见书,下达审计决定,并对审计中发现的问题提出管理建议书。审计部将审计发现整理后,按规定如实反馈内部控制部门。
公司员工以面谈、电话、书面、邮件等方式随时向其直属上级和单位主要领导汇报工作。公司设立举报信箱、举报电话,员工以书信、电话、走访等形式反映违规违纪问题以及有关意见、建议和要求。公司组织开展合理化建议活动,在职工代表大会上听取员工经营管理、薪酬等方面的合理化建议和意见。并对合理化建议和意见进行跟进与落实,将结果公布。
管理层定期与董事会就最新的业绩、发展、风险、重要事件或事故等问题进行汇报、交流。高级管理人员定期召开各种会议,及时与相关职能部门领导、分公司负责人就生产、运营等情况进行沟通、交流。财务部门定期和各部门交流并通报财务状况、经营成果、预算执行情况等。
公司销售部门建立客户座谈会制度和客户走访制度,定期与客户进行座谈和走访,听取客户对销售政策的意见和建议,收集客户需求和客户对销售单位的意见,强化售后服务,并制定相应的政策,解决销售工作中存在的问题。采购部门通过供需见面会或订货会、谈判、签订合同等形式与供应商就产品或服务的设计、质量、市场需求等问题进行沟通。
公司聘请律师参与有关重大项目服务和法律纠纷的处理,并随时与律师沟通处理进展情况。
公司按照《公司法》规定召开股东年度会议和股东临时会议,保证股东权益。根据公司章程和上市地的监管规定依法披露公司信息,通过季度、中期和年度报告等方式,让监管者、股东等外界对公司经营状况更深入了解。
公司管理层不定期与外部审计师召开会议,商讨界定程序的相关事宜以及传达当前公司所做出的重要决定,以保证项目有效和高效的实施以及双方工作的协调性。审计委员会、内控部门、审计部门、财务部门与外部审计师进行会晤和讨论,听取外部审计师有关内部控制有效性审计方面的建议。
公司下属单位有销售和财务勾结侵占、挪用货款现象,最终造成损失金额80万元,建议财务积极寻求解决途径,加强对货款的监控,在条件允许的情况下,加强收款等环节的信息化工作。
公司下属单位有管理人员滥用职权,造成最终损失100万元,通过风险分析,控制缺乏的影响在公司可承受程度内,但是通过进一步分析企业文化,发现公司实际经营管理与提倡的企业文化不一致,诚实守信流于形式,相关控制薄弱,例如客户回访只是疲于应付,应加强相应控制。
【例20-6】xx公司内部监督要素评价:
一、关注要点
1.管理层是否愿意并定期沟通内部监督情况,积极督促整改。
2.是否建立了内部监督组织架构,并落实内部控制日常监督的职责,建立内部控制日常监控体系及日常监督程序有效性。
3.内部控制部门对高风险领域进行监控。
4.内部审计在有关财务报告的控制、监督方面发挥关键的作用。
5.内部审计部门与内部控制部门沟通顺畅,并在组织架构发生重大变化等情况下,开展专项监督。
6.内部审计部门独立性。
7.内部控制部门缺陷认定、评价报告报送机制和督促整改落实情况。
二、评价描述
1.财务总监参与月度销售会议,销售总监每季度抽取10份合同,检查是否存在未经审批的修订情况。
2.公司在《内部控制监督评价办法》中规定了各个部门日常监督的职责,横向上,职能部门在日常业务中理解并执行对其他部门的牵制,纵向上,对本部门负责业务确定重要风险点,采用信息化手段监控,按月测试异常,分析业务环境、业务性质等是否发生变化,例如,销售部门主管每月观察订单录入是否及时、准确,通过系统查看每人录入订单量变化或系统生成的错误报告,对于新增销售渠道时,该主管会增加对这方面订单的监控,对问题积极整改,并将测试结果上报本企业内部控制部门。
3.内部控制部门根据风险评估技术,结合职能部门日常监控情况,确定高风险领域进行监控,帮助实现公司目标。内部控制部门还定期召集各个专业部门负责人和执行人开会,直接沟通流程存在的问题,确定哪些属于设计有效性,哪些属于执行有效性,哪些需要其他部门配合,如何配合,等等,就此达成一致改善流程意见,提高评价的效率和效果。
4.内部审计章程描述内部审计在控制监督中的作用,在有关财务报告控制的监督方面发挥关键作用。
5.内部审计部门与内部控制部门定期沟通审计发现和内部控制设计运行情况,并在组织架构发生重大变化等情况下,共同开展内部控制专项监督。
6.内部审计部门直接受审计委员会领导,不参加任何与其监督职责相冲突的管理职能或业务职责,不实施任何控制。从业务部门转入内部审计部门的员工不能负责审计其以前负责的工作。
7.内部控制部门就内部控制情况每年四次直接向董事会(审计委员会)或管理层报告,包括内部控制开展情况、控制完善和执行情况,内部控制缺陷认定及分析,独立于其监督的部门。对内部控制缺陷按规定权限审批后,按董事会(审计委员会)或管理层意见督促整改。内部控制部门通过建立日常监控机制,在发现重大缺陷时,及时向董事会等高层汇报。
该公司内部监督有效。
三、关于内部控制评价的程序
《评价指引》第十二条至第十四条对企业组织内部控制评价程序和人员、预算作出具体规定。
(一)内部控制评价的一般程序
内部控制评价程序一般包括:制订评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。概括而言,主要分为以下几个阶段:
1.准备阶段
(1)制订评价工作方案。内部控制评价机构应当根据企业内部监督情况和管理要求,分析企业经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制订科学合理的评价工作方案,经董事会批准后实施。评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既以全面评价为主,也可以根据需要采用重点评价的方式。一般而言,内部控制建立与实施初期,实施全面综合评价有利于推动内部控制工作的深入有效开展;内部控制系统趋于成熟后,企业可在全面评价的基础上,更多地采用重点评价或专项评价,以提高内部控制评价的效率和效果。
(2)组成评价工作组。评价工作组是在内部控制评价机构领导下,具体承担内部控制检查评价任务。内部控制评价机构根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员实施评价。评价工作组成员应当吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。企业根据自身条件,尽量建立长效内部控制评价培训机制,培养内部控制评价专业人员,熟悉内部控制专业知识及相关规章制度、业务流程及需重点关注的问题、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准、评价人员的权利与义务等内容。
2.实施阶段
(1)了解被评价单位基本情况。评价工作组与被评价单位进行充分沟通,了解其经营业务范围、企业文化和发展战略、组织机构设置及职责分工、领导层成员构成及分工、评价期间内生产经营计划和预算完成情况、财务管理核算体制、内部控制工作概况、最近一年内部监督(包括内部控制评价)发现问题的整改情况等。
(2)确定检查评价范围和重点。评价工作组根据掌握的情况进一步确定评价范围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整。
(3)开展现场检查测试。评价工作组根据评价人员分工,综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试,按要求填写工作底稿、记录相关测试结果,并对发现的内部控制缺陷进行初步认定。评价人员应遵循客观、公正、公平原则,如实反映检查测试中发现的问题,并及时与被评价单位进行沟通。由于内部控制从纵向检查测试流程,因此工作中成员之间应注意互相沟通、协调,以获取更有价值的发现。
3.汇总评价结果、编制评价报告阶段
评价工作组汇总评价人员的工作底稿,初步认定内部控制缺陷,形成现场评价报告。评价工作底稿应进行交叉复核签字,并由评价工作组负责人审核后签字确认。评价工作组将评价结果及现场评价报告向被评价单位进行通报,由被评价单位相关责任人签字确认后,提交企业内部控制评价机构。
内部控制评价机构汇总各评价工作组的评价结果,对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总,对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。
内部控制评价机构以汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制工作整体情况,客观、公正、完整地编制内部控制评价报告,并报送企业经理层、董事会和监事会,由董事会最终审定后对外披露。
4.报告反馈和跟踪阶段
对于认定的内部控制缺陷,内部控制评价机构应当结合董事会和审计委员会要求,提出整改建议,要求责任单位及时整改,并跟踪其整改落实情况;已经造成损失或负面影响的,企业应当追究相关人员的责任。
(二)内部控制评价的频率
企业每年应对内部控制进行评价并予以披露。但是内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的,从其规定。另外,如果内部监督程序无效,或所提供信息不足以说明内部控制有效,应增加评价的频率。
(三)内部控制评价的方法
《评价指引》第十五条规定,内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
1.个别访谈法
个别访谈法主要用于了解公司内部控制的现状,在企业层面评价及业务层面评价的了解阶段经常使用。访谈前应根据内部控制评价需求形成访谈提纲,撰写访谈纪要,记录访谈的内容。对于同一问题应注意不同人员的解释是否相同。如分别访谈人力资源部和关键岗位员工,是否有员工流失现象。
2.调查问卷法
调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围,包括企业各个层级员工,应注意事先保密性,题目尽量简单易答(如答案只需为“是”、“否”、“有”、“没有”等等)。如:你是否认同本企业文化;你在本企业工作是否有幸福感,是否受到一视同仁,是否有发展机会;你工作中是否存在压力,能够完成公司下达的考核指标吗,等等。
3.穿行测试法
穿行测试法是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程(例如,在保险公司的内部控制评价中,选取一笔保险新单,追踪其从投保申请到财务入账的全过程),以此了解控制措施设计的有效性,并识别出关键控制。
4.抽样法
抽样法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。使用抽样法时一要注意样本库要包含符合测试要求的所有样本,测试人员应首先对样本库的完整性进行确认,二要确定选取的样本应充分和适当,充分是指测试的证据的数量应当能合理保证相关控制的有效;适当是指获取的证据应当与相关控制的设计与运行有关,并能可靠地反映控制的实际运行状况。
5.实地查验法
实地查验法主要针对业务层面控制,它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。
6.比较分析法
比较分析法是指通过数据分析,识别评价关注点的方法。数据分析可以是与历史数据、行业(公司)标准数据或行业最优数据等进行比较。例如,在保险公司内部控制评价中,通过分析月度退保数据的波动情况,识别退保异常的区间,进而对此区间的退保业务资料进行检查。
7.专题讨论法
专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。如对于同时涉及财务、业务、信息技术方面的控制缺陷,就需要由内部控制管理部门组织召开专题讨论会议,综合各部门的意见,确定整改方案。
此外,还可以使用观察、重新执行等方法,也可以利用信息系统开发检查方法,或利用实际工作和检查测试经验。对于企业通过系统采用自动控制、预防控制的,应在方法上注意与人工控制、发现性控制的区别。
四、内部控制缺陷的认定
内部控制缺陷是描述内部控制有效性的一个负向的维度。企业开展内部控制评价,主要工作内容之一就是要找出内部控制缺陷并有针对性地进行整改。
内部控制缺陷认定在一定程度上决定内部控制评价的成效,且具有一定难度,还需要运用职业判断。为了指导企业科学、合理地认定内部控制缺陷,切实帮助企业有效开展内部控制评价,《评价指引》第十六条至第十九条对内部控制缺陷的分类、认定作出专门的解释。
(一)内部控制缺陷的分类
1.按照内部控制缺陷成因或来源,内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指企业缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。
内部控制存在设计缺陷和运行缺陷,会影响内部控制的设计有效性和运行有效性。
2.按照影响企业内部控制目标实现的严重程度,内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中作出内部控制无效的结论。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危及内部控制的整体有效性,但也应当引起董事会、经理层的充分关注。
一般缺陷,是指除重大缺陷、重要缺陷以外的其他控制缺陷。
将内部控制评价中发现的内部控制缺陷划分为重大缺陷、重要缺陷和一般缺陷,需要借助一套可系统遵循的认定标准,认定过程中还需要内部控制评价人员充分运用职业判断。一般而言,如果一个企业存在的内部控制缺陷达到了重大缺陷的程度,我们就不能说该企业的内部控制是整体有效的。
3.按照具体影响内部控制目标的具体表现形式,还可以将内部控制缺陷分为财务报告缺陷和非财务报告缺陷。
(二)内部控制缺陷的认定标准
1.内部控制缺陷的重要性和影响程度
《评价指引》第十六条规定,企业对内部控制缺陷的认定,应当以构成内部控制的内部监督要素中的日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价机构进行综合分析后提出认定意见,按照规定的权限和程序进行审核,由董事会予以最终确定。
也就是说,首先,内部控制评价从属于内部监督,是监督结果的总体体现。在企业正常的生产经营中,内部控制评价倚重内部监督;其次,充分利用日常监督与专项监督结果的基础上,至少每年由内部控制评价机构对内部控制的五要素相对独立地进行评价,全面地、综合地分析,提出认定意见,报董事会审定;第三,企业应当根据评价指引,结合自身情况和关注的重点,自行确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。第四,根据具体认定标准认定企业存在的内部控制缺陷,由董事会最终审定。企业在确定内部控制缺陷的认定标准时,应当充分考虑内部控制缺陷的重要性及其影响程度。
内部控制缺陷的重要性和影响程度是相对于内部控制目标而言的。按照对财务报告目标和其他内部控制目标实现的影响的具体表现形式,下面区分财务报告内部控制缺陷和非财务报告内部控制缺陷分别阐述内部控制缺陷的认定标准。
2.财务报告内部控制缺陷的认定标准
财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。由于财务报告内部控制的目标集中体现为财务报告的可靠性,因而财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。换句话说,财务报告内部控制的缺陷,是指不能及时防止或发现并纠正财务报告错报的内部控制缺陷。
将财务报告内部控制的缺陷划分为重大缺陷、重要缺陷和一般缺陷,所采用的认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报告错报的重要程度。这种重要程度主要取决于两个方面的因素:(1)该缺陷是否具备合理可能性导致企业的内部控制不能及时防止或发现并纠正财务报告错报。合理可能性是指大于微小可能性(几乎不可能发生)的可能性,确定是否具备合理可能性涉及评价人员的职业判断。(2)该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。另外,一些迹象通常表明财务报告内部控制可能存在重大缺陷:(1)董事、监事和高级管理人员舞弊;(2)企业更正已公布的财务报告;(3)注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;(4)企业审计委员会和内部审计机构对内部控制的监督无效。
需要强调的是,内部控制缺陷的严重程度并不取决于是否实际发生了错报,而是取决于是否存在不能及时防止或发现并纠正潜在错报的可能性。换句话说,如果企业的财务报告存在错报,必然表明该企业的财务报告内部控制存在缺陷;但是,如果企业的财务报告不存在错报,也不一定表明该企业的财务报告内部控制就不存在缺陷。
一般而言,如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中的重大错报,就应将该缺陷认定为重大缺陷。重大错报中的“重大”,涉及企业管理层确定的财务报告的重要性水平。一般企业可以采用绝对金额法(例如,规定金额超过10000元的错报应当认定为重大错报)或相对比例法(例如,规定超过资产总额1%的错报应当认定为重大错报)来确定重要性水平。如果企业的财务报告内部控制存在一项或多项重大缺陷,就不能得出该企业的财务报告内部控制有效的结论。
如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视的错报,就应将该缺陷认定为重要缺陷。不构成重大缺陷和重要缺陷的内部控制缺陷,应认定为一般缺陷。
【例20-7】某集团财务报告内部控制缺陷的相关认定标准如下:
各单位应就内部控制评价中发现的内部控制不足,从定性和定量两方面考虑,判断是否构成内部控制缺陷。股份公司及其所属单位还应判断内部控制缺陷是否属于重要缺陷和重大缺陷。
内部控制缺陷是指,内部控制设计或执行存在不足,使得管理层和公司员工在履行其职责过程中,不能及时预防或发现财务报告错报。
以下任何一种情况出现,都意味着内部控制存在设计上的缺陷:(1)针对某一控制目标,缺失必要的控制点;(2)已有的内部控制设计不当,以致即使正确地按设计的要求执行了控制程序,也不能始终实现控制目标。
以下任何一种情况出现,都意味着内部控制存在执行上的缺陷:(1)设计恰当的内部控制未按照设计的要求正确执行;(2)控制执行人没有取得必要的授权或缺乏必要的胜任能力。
重要缺陷是指,该控制缺陷或控制缺陷的集合会导致年报或中期报告中存在的并非无关紧要的错报无法被预防或发现的可能性十分微小。
重大缺陷是指,该控制缺陷或控制缺陷的集合会导致年报或中期报告中的重大错报无法被预防或发现的可能性十分微小。
内部控制缺陷的认定标准包括定性标准和定量标准。
(1)定性标准。该集团规定,具有以下特征的缺陷,至少定为重大缺陷:发现公司管理层存在的任何程度的舞弊;已经发现并报告给管理层的重大内部控制缺陷在经过合理的时间后,并未加以改正;控制环境无效;影响收益趋势的缺陷;影响关联交易总额超过股东批准的关联交易额度的缺陷;外部审计发现的重大错报不是由公司首先发现的;其他可能影响报表使用者正确判断的缺陷。
(2)定量标准。该集团确定的省级公司财务报表错报(包括漏报)重要程度的定量标准见下表:
3.非财务报告内部控制缺陷的认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。这些目标一般包括战略目标、资产安全目标、经营目标、合规目标等。
非财务报告内部控制缺陷认定具有涉及面广、认定难度大的特点。企业可以根据风险评估的各项工作,对《企业内部控制应用指引》中每一篇应用指引所阐述的风险,根据自身的实际情况、管理现状和发展要求,加以细化或按内部控制原理补充,参照财务报告内部控制缺陷的认定标准,合理确定定性和定量的认定标准,根据其对内部控制目标实现的影响程度认定为一般缺陷、重要缺陷和重大缺陷。其中:定量标准,即涉及金额大小,既可以根据造成直接财产损失绝对金额制定,也可以根据其直接损失占本企业资产、销售收入及利润等的比率确定;定性标准,即涉及业务性质的严重程度,可根据其直接或潜在负面影响的性质、影响的范围等因素确定。以下迹象通常表明非财务报告内部控制可能存在重大缺陷:(1)国有企业缺乏民主决策程序,如缺乏“三重一大”决策程序;(2)企业决策程序不科学,如决策失误,导致并购不成功;(3)违犯国家法律、法规,如环境污染;(4)管理人员或技术人员纷纷流失;(5)媒体负面新闻频现;(6)重要业务缺乏制度控制或制度系统性失效;(7)内部控制评价的结果特别是重大缺陷或重要缺陷未得到整改。
为了避免企业操纵内部控制评价报告,非财务报告缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更。
需要强调的是,在内部控制的非财务报告目标中,战略和经营目标的实现往往受到企业不可控的诸多外部因素的影响,企业的内部控制只能合理保证董事会和管理层了解这些目标的实现程度。因而,在认定针对这些控制目标的内部控制缺陷时,我们不能只考虑最终的结果,而主要应该考虑企业制定战略、开展经营活动的机制和程序是否符合内部控制要求,以及不适当的机制和程序对企业战略及经营目标实现可能造成的影响。
财务报告缺陷和非财务报告缺陷其实难以做严格的区分,例如内部环境、重大安全事故等。因此,在制定标准时,应本着是否直接影响财务报告的原则来区分。另外,重大缺陷、重要缺陷的界定是相对的,对于有下属单位的集团公司,如果下属单位存在重大缺陷,并不能表明集团公司存在重大缺陷,但至少应作为重要缺陷向董事会、管理层汇报,而下属单位的重要缺陷则应视对整个集团的影响及普遍性程度确定是否属于集团重要缺陷,但下属单位重要缺陷至少应该向经理层汇报。
前已述及,可以对日常监督和专项监督发现的内部控制缺陷加以利用,作为评价内部控制有效性的因素之一,但是应注意在考核方面对职能部门或下属单位发现的内部控制缺陷并已整改的给予区别对待,以调动职能部门对内部控制工作的积极性,从而提高内部控制评价的质量和效率,对于未整改的业务层面的缺陷,应深入分析,是否属于内部环境问题并协助解决。
【例20-8】xx股份公司为在境内外上市的国有特大型企业,所属近百家分(子)公司分布全国各地及境外。xx股份公司构建了《内部控制手册》、实施细则两级内部控制制度体系,按照内部控制目标,全面梳理规范内部环境、风险评价、控制活动、信息与沟通、内部监督,2005年正式实施内部控制。内部控制的主要表现形式为业务流程及相关的内部管理制度,涉及采购、销售、投资、信息系统等近20类、60个子流程、1200多个控制点,分为财务报告相关控制点和非财务报告相关控制点,其中,财务报告相关控制点是依据财务报告计划矩阵设计,影响会计报表的存在与发生/真实性、完整性、权利与义务、估价与分摊、表达和披露、准确性;非财务报告相关控制点是为规范管理、提高管理水平,依据内部管理要求设计。
xx股份公司每年制订内部控制评价方案,经内部控制领导小组(总裁兼任组长)审批后,组成多个评价工作小组实施评价。自实施内部控制第四年开始,逐步从综合评价向重点、专项评价转变。评价工作组组长每年由总部职能部门主任以上的领导担任,副组长由总部处级人员担任,精选总部职能部门和各企业的业务骨干参加。检查前,内部控制办公室(内部控制专职机构)组织对评价人员集中培训,然后实施现场测试。现场测试按照了解被评价单位基本情况、确定检查重点、小组分工、实施抽样测试并填写工作底稿、初步认定内部控制缺陷、交叉复核、汇总分数、与被评价单位签字确认、撰写报告并讲评的流程进行。
评价采用量化评分和内部控制缺陷认定相结合的方式。综合得分满分100分,其中,内部环境评价10分,企业自查评价20分,业务流程评价70分(其中每个业务流程总分100分,每个控制点按照风险程度设定分值,汇总时将所有业务流程分数加总并按70分折算)。内部控制缺陷认定包括财务报告内部控制缺陷和非财务报告内部控制缺陷。其中,财务报告内部控制缺陷又分为影响会计报表缺陷、会计基础缺陷和财务报告相关的信息系统控制缺陷。内部控制缺陷认定后,对内部控制检查评价的综合得分进行调整,每出现一个一般缺陷,扣减总得分的1%;每出现一个重要缺陷,扣减总得分的50%;如果出现重大缺陷,综合检查得分为零。具体设计和认定举例如下:
一、财务报告内部控制缺陷认定
1.计算影响会计报表缺陷计算方法如下:
(1)按照业务发生频率高低及相关会计科目的重要性确定抽取样本数量。如样本量不足以证明控制有效性,检查人员可以重复测试和增加样本量。
业务发生频率与样本抽取数量对照关系如下:
将错报样本序号、错报样本数量和错报样本的有关情况等在《财务报告相关控制点抽样记录表》的相应栏目中填列和说明。
(3)计算潜在错报金额。
根据控制点错报样本数量和抽取样本总量,在《潜在错报率对照表》中查找对应的潜在错报率;根据潜在错报率和相应会计科目同向累计发生额,计算控制点潜在错报金额。公式如下:
潜在错报金额=相应会计科目同向累计发生额×潜在错报率
潜在错报率、潜在错报金额在《财务报告相关控制点抽样记录表》相应栏目中填列。
业务流程财务报告相关控制点潜在错报金额合计在《内部控制缺陷认定汇总表》相应栏目中填列。
(4)计算错报指标。
根据被检查单位适用业务流程潜在错报金额合计,分别按照被评价分(子)公司和股份公司两种口径计算错报指标:
错报指标1=潜在错报金额合计/被评价分(子)当期主营业务收入与期末资产总额孰高;
错报指标2=潜在错报金额合计/股份公司当期主营业务收入。
(5)影响会计报表缺陷认定等级。
一般缺陷:错报指标1⩾1‰,且错报指标2<1‰;
重要缺陷:1‰⩽错报指标2<5‰;
重大缺陷:错报指标2⩾5‰。
影响会计报表缺陷认定结果在《内部控制缺陷认定汇总表》的相应栏目中填列。
xx股份公司在xx年度对分公司的内部控制检查发现财务报告内部控制缺陷为:
xx-1分公司固定资产实物管理部门在审批修理费用时,将整套设备作为修理费材料入账。
xx-3分公司的全资子公司B,没有相关制度规定合同由法律部门参与审批或审核,也没有相关付款权限审批制度。B公司有关负责人在未经法律部门审核的情况下,先后与银行签订贷款合同(合同条款规定银行可以无条件冻结企业有效资产),获得银行贷款12400万元,并将其中8000万元委托上海C投资管理公司进行投资理财,一段时间后顺利收回,尝到了一些甜头。其后,B公司又于xx年×月至xx年×月,分三次将1.3亿元委托深圳D公司进行投资理财,在付款过程中,B公司财务部门仅凭有关负责人指令安排资金支付,未对付款严格审核,申请用款的用途名为支付货款,实为对外投资,挂在“应收账款”或“其他应收款”等往来科目核算。至案发才知道1.3亿元委托理财的资金只有区区500万元曾经真正投资在证券市场,其余资金均被D公司转账骗走。至今1.3亿元资金未追回分文,造成重大经济损失。银行对B公司追偿债务12400万元,B公司已经资不抵债、面临倒闭,数千人面临失业。
【分析】xx-1分公司内部控制程序运行失效,未恰当划分资本性支出与收益性支出。按照业务发生频率抽取样本量、潜在错报率对照表及影响会计科目同向累计发生金额计算,影响会计报表“管理费用——修理费——一般材料”科目潜在错报金额2550万元。按照潜在错报金额分别与被评价单位资产总额或主营业务收入孰高及企业总主营业务收入相比计算,错报指标分别为:错报指标1=1.4‰,错报指标2=0.06‰,认定为xx分公司影响会计报表缺陷一般缺陷,但不构成xx股份公司内部控制缺陷。
xx-3分公司内部控制设计和程序运行失效,分别存在以下问题:
(1)筹资环节
设计缺陷。没有关于对重大合同由法律事务人员审核的制度规定,导致该大额贷款无法律事务人员须参与谈判、审核合同、并出具书面法律意见,签署了银行可以无条件冻结企业有效资产、企业的生存权完全被银行所控制的不利条款合同。
(2)付款环节
设计和执行缺陷。制度设计不严密,没有关于权限的制度设计,且用款审批手续执行不严。财务部门未严格审核支付申请、款项的用途、金额、预算、支付方式、有效经济合同、履约报告书或相关证明,仅凭领导指令安排资金支付。
(3)对账环节
执行缺陷。没有按会计基础工作要求及时对账,也未发现“应收账款”或“其他应收款”实为投资。
根据以上设计和执行缺陷,认定为xx分公司财务报告控制设计缺陷和影响会计报表“长期贷款”、“应收账款”、“其他应收款”三个会计科目潜在错报金额15.78亿元,按照潜在错报金额分别与被评价单位资产总额或主营业务收入孰高及企业总主营业务收入相比计算,错报指标分别为:错报指标1=3.4‰,错报指标2=4.8‰,按照缺陷认定标准,构成该公司影响会计报表重大缺陷,但不构成xx股份公司内部控制缺陷。
2.会计基础缺陷
是指由于会计基础工作薄弱,造成凭证、账簿、现金等实物丢失或保管不善等。
续前例,xx股份公司在xx年度对分公司的内部控制检查发现会计基础缺陷为:xx-6分公司会计凭证按照“谁做账、谁保管”的原则装订、保管,多张记账凭证没有附件,甚至有的记账凭证找不到。
【分析】未按会计基础工作规范要求统一装订、保管记账凭证,使得凭证不连号,而且存在原始凭证替换、丢失的风险,认定为会计基础缺陷。
3.财务报告相关的信息系统控制缺陷
是指影响与财务报告相关的信息系统违反一般控制或应用控制相关规定,对财务报告影响较大。
续前例,xx股份公司在xx年度对分公司的内部控制检查发现财务报告相关的信息系统控制缺陷为:xx-7分公司应用管理员(BASIS管理员和权限管理员)、系统管理员(操作系统管理员、数据库管理员)、安全管理员未进行分离,且有的管理员在生产系统中同时拥有业务操作权限及开发权限,出现恶意篡改数据的事件。
【分析】内部控制程序运行失效,未严格执行系统安全管理员、系统管理员、应用系统管理员等角色设置的不相容岗位(职务)分离,认定为财务报告相关的信息系统控制缺陷。
二、非财务报告内部控制缺陷
非财务报告内部控制缺陷抽取样本数量,根据内部管理实质性测试要求确定。
评价工作组对评价工作底稿情况进行汇总,对符合非财务报告内部控制的事故事件填写在《内部控制缺陷认定汇总表》中。
非财务报告内部控制缺陷认定等级对照如下:
上述标准按照每起事故事件进行认定。如果出现多起事故事件,按照各自造成的直接财产损失及其影响程度分别认定缺陷等级。直接财产损失金额以外部审计、总部部门、被检查单位等已经认定的金额为准;如尚无处理结论,则由检查小组现场认定。
续前例,xx股份公司在xx年度对分公司的内部控制检查发现内部控制缺陷为:xx-8分公司在检查期间内发生以下事项,xx年x月x日,xx-8分公司某商品中心C门市部记账员AA反映,C门市部发出多批次商品未收回货款。接到情况反映后,该分公司立即组织专人对情况进行核查。经核实,截至AA反映日止,该商品中心经理BB从上年9月底开始,未经分公司同意、未签合同私自向LL公司发出商品9批次共计108吨,其中62吨,金额69万元的货款未收回。BB通过在ERP系统中伪造虚假入库等方式,擅自向LL公司采购并私下委托该公司代为销售某商品11批次共计205吨,其中102吨,金额125万元的货款也未收回,两项合计未收回金额194万元。
【分析】内部控制程序运行失效,体现在:
(1)验收入库及付款
违反ERP系统内虚拟工厂(虚拟库位)不得用于该商品销售业务的规定,该商品中心在没有实际收到LL公司商品的情况下,多次利用ERP系统中的虚拟工厂做虚拟库存,并打印入库单,虚增126万元库存,财务部门依据框架协议、YY公司开具的发票及虚假入库单付款。
(2)销售管理
违反了信用销售必须签订购销合同的规定。经理BB没有签订销售合同,没有对客户进行信用等级评价的情况下,私自销售商品。
(3)发货环节
仓库在向客户发货时,违反了依据该商品经营管理部门开具并盖有印章的提货通知单发货的规定。该商品中心仓库相关人员在发货时,未认真履行出库手续,听从经理BB安排,以白条代替提货通知单发货,也未及时在ERP系统中录入数据。期间,在没有收到货款情况下,采用该种发货方式向LL公司发出价值69万元商品。另在ERP系统中做虚拟出库价值63万元的商品(实际并未办理提货手续),以冲销上述采购环节虚增的入库。
(4)库存盘点环节
违反了定期盘点的相关规定。该商品中心对月末的库存商品盘点工作不认真,财务部门参与盘点的人员不负责任,没有按制度要求对所有库存商品进行全面盘点,没有逐项核实账实情况,没有落实虚拟库存的存放地点。
(5)ERP系统应用控制失效
xx分公司ERP虽然上线,但该商品业务的信用、价格、退货订单、冻结订单、产品分配等均在线下运行,未能实现实时线上控制,未能实现系统监控的作用。同时,有关人员利用ERP系统虚拟入库和出库的薄弱环节,随意出入库。形成“其他应用控制不当规定造成损失”财务报告内部控制缺陷。
(6)经了解,xx-8分公司该商品的销售、采购与物流管理全部在该商品中心,导致权利过分集中,未执行应有的内部牵制。
根据财务报告和非财务报告内部控制缺陷认定标准,认定xx-8分公司该商品中心影响会计报表“存货”、“主营业务收入”两个科目全部潜在错报1247万元,按照潜在错报金额分别与被评价单位资产总额或主营业务收入孰高及企业总主营业务收入相比计算,错报指标分别为:错报指标1=1.4‰,错报指标2=0.09‰,按照缺陷认定标准,构成该分公司影响会计报表重要缺陷,但不构成股份公司内部控制缺陷;由于ERP系统应用控制未能启用应有控制功能,导致重大损失,认定为xx-8公司财务报告相关的信息系统控制一般缺陷,由于影响会计报表缺陷已经计算,此处不再重复计算影响潜在错报金额;未执行部门牵制,造成上百万元损失,认定为xx-8分公司非财务报告内部控制一般缺陷。
所有评价资料提交内部控制评价机构后,进行汇总,认定上述内部控制缺陷无误,要求有关分公司年底前整改完毕,并于第二年年初组织复核整改情况,综合评价结果考核,对有关责任人追究责任,年报披露前,根据评价、整改、考核情况编制内部控制自我评价报告,报送股份公司经理层、董事会和监事会,由董事会最终审定后对外披露。
《内部控制缺陷认定汇总表》的参考格式如下:
内部控制缺陷认定汇总表
(三)内部控制缺陷的报告与整改
1.内部控制缺陷报告的格式和途径
《评价指引》第十九条规定,企业内部控制评价机构应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见(针对财务报告内部控制的缺陷,一般还应当反映缺陷对财务报告的具体影响),并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。
内部控制缺陷报告应当采取书面形式,可以单独报告,也可以作为内部控制评价报告的一个重要组成部分。一般而言,内部控制的一般缺陷、重要缺陷应定期(至少每年)报告,重大缺陷应立即报告。对于重大缺陷和重要缺陷及整改方案,应向董事会(审计委员会)、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形,例如存在与管理层舞弊相关的内部控制缺陷,或存在管理层凌驾于内部控制之上的情形,应当直接向董事会(审计委员会)、监事会报告。重要缺陷并不影响企业内部控制的整体有效性,但是应当引起董事会和管理层的重视。对于一般缺陷,可以与企业经理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。
【例20-9】某公司内部控制缺陷对财务报表的影响汇总表的参考格式如下:
内部控制缺陷对财务报表的影响汇总表
注:报表项目同资产负债表和利润表——国内口径。
【例20-10】某公司内部控制缺陷及改进建议汇总表的参考格式如下:
2.内部控制缺陷整改方案及期限
企业对于认定的内部控制缺陷,应当及时采取整改措施,切实将风险控制在可承受度之内,并追究有关机构或相关人员的责任。
企业内部控制评价机构应当就发现的内部控制缺陷提出整改建议,并报经经理层、董事会(审计委员会)、监事会批准。获批后,应制订切实可行的整改方案,包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年的,整改目标应明确近期和远期目标以及相应的整改工作内容。在整改工作中遇到协调困难甚至阻碍的,内部控制机构有权直接向董事会(审计委员会)报告,董事会(审计委员会)应给予足够的支持和帮助。
【例20-11】某股份公司关于内部控制缺陷整改方案及期限的具体要求如下:
股份公司采用条块结合的方式推进内部控制缺陷的整改工作,要求在报告缺陷的当年年底之前将缺陷整改到位,并保证运行一定时间。在内部控制评价工作结束后,由股份公司下发文件对评价中发现的内部控制缺陷的整改工作进行布置,归纳一些普遍性的问题,要求各省级公司对照改进,同时要求整改要区分问题类型,分析原因,并强调专业部门的参与,研究建立内部控制长效机制。各专业部门分专业下发整改通知,对归口专业问题整改提出指导和要求。对内部控制评价中发现的问题,股份公司要求各单位马上着手整改,并务必在年底前消除该类缺陷。股份公司也加强对内部控制缺陷整改的核查工作,确保整改工作取得实效。各单位按照股份公司的要求,对评估发现的缺陷(含外审发现)进行整改,截至年底主要内部控制缺陷都要求整改到位。
【例20-12】xx股份公司ERP系统缺陷整改方案。
2006~2008年,外部审计师审计多次发现xx股份公司多家分公司存在ERP系统权限管理方面的缺陷,许多用户权限过大,不相容用户或角色未充分分离,系统角色矩阵未定期审阅和维护等等。
按xx股份公司内部控制领导小组要求,应对ERP系统权限进一步整改和梳理,并以此项工作为契机,全面规范ERP系统权限风险管理,责令内部控制办公室和信息系统管理部组织制定整改方法并落实整改。有关部门在充分组织分公司讨论的基础上,提出权限整改方案和方法,先在不同类型的分公司试点,并总结试点最佳实践,初步形成权限风险防范管理办法。同时,试点企业总结认为,此项工作涉及各个部门,最终目标是实现系统中不相容岗位有效分离的长效管理机制,因此,必须由内部控制办公室组织和协调。
随后,内部控制办公室和信息系统管理部下发正式文件,说明权限整改背景和存在问题、提出权限整改目标、明确权限整改主要内容、方法和步骤,开发系统权限检查工具,落实权限整改责任,明确内部控制部门、信息部门、业务部门在权限整改工作中的分工和责任,要求各分(子)公司成立项目组,由主管内部控制的负责人牵头负责。
在各分(子)公司整改过程中,总部亦成立项目组,每周跟踪整改进度和存在问题,对存在问题召集有关专家认定后,及时反馈,保证了整改进度和质量,初步建立了ERP系统权限长效管理、监督和风险防范机制。
【例20-13】某股份公司内部控制评价结果及整改方案。
20xx年度,某股份公司内部审计部门组织实施了内部控制评价工作,在缺陷汇总、问题梳理和评价结果上报、提出整改措施并组织进行整改的基础上,编制了该年度的股份公司内部控制评价报告。
1.对评价方法和评价手段进行优化和改进
(1)筛选重点评价点、规范评价要素和评价底稿、统一抽样数量和测试标准。
(2)开发上线内部控制支撑系统,将内部控制执行和评价的责任明确到人,形成“一人一表”,提高评价工作的效率,使评价工作规范化、标准化。
(3)推进自评与日常管理工作有效结合,充分利用以往内部控制建设、评价工作和专业管理工作的结果,简化企业层面控制评价、IT一般控制和流程层面控制设计有效性评价,要求将补充评价与专业的日常监督检查、内部审计等工作结合开展。
2.评价结果
各单位上报缺陷的数量和独立评价发现的问题有一定程度的下降,本次评价发现的内部控制问题,尚不对股份公司构成显著缺陷和实质性漏洞,截至20xx年7月15日的内部控制总体是有效的。但是,通过评价中也发现在业务流程设计和执行中、IT一般控制设计和执行中的缺陷,不少问题在以往的内部控制评价和各项检查中多次暴露。
3.整改工作的要求
(1)要求各单位对内部控制执行问题按照评价报告所确定的整改措施全面改进,对股份公司重点提及的问题,结合本单位实际情况,重点整治。
(2)对于反映出的设计缺陷,各省级公司内部控制评价工作团队要积极配合内部控制建设团队进行逐项分析。确属设计缺陷需要更新原有控制政策的要及时提出修改建议,按程序修改、审定;属于执行人理解不到位,将执行上的问题理解为设计缺陷,或是由于发生组织、职能调整、推出新业务等变化,而手册描述未能及时更新导致执行人理解为设计缺陷的,要根据具体情况给予明确的解释。
(3)落实整改责任人、明确整改措施和进度安排。要求各业务部门针对本专业存在的问题深入分析缺陷原因、抓住重点,解决问题。同时更要研究建立内部控制长效机制,防范同类问题的反复发生。
(4)整改工作与各部门的日常管理工作紧密融合,杜绝内部控制工作与日常管理工作“两张皮”现象,防止整改工作流于形式,停留在补充书面记录和出具报告上。内部控制工作与日常工作结合,包含两方面的内容:一方面是专业部门从专业链条上确定一些影响比较严重的问题,以内部控制整改为契机,深入开展一些专项整治工作,规范企业运营,较少风险,并形成良好的工作机制;另一方面是在安排日常工作时,考虑改进不符合内部控制规定的习惯和行为,自觉地改进管理经营方面的弊病,争取从源头上加以遏制,或建立一定的机制制度,避免屡改屡犯。
4.专业整改举例
为解决工程建设及工程财务基础管理工作存在的问题,股份公司网络发展部、财务部等专业部门相继下发了《提高工程管理水平 确保内部控制制度执行有效的实施办法》、《工程建设项目财务管理办法》《关于做好近期工程财务相关管理工作的通知》等文件和办法,重点考核并优化转固率指标,提出专业上的改进要求,并加强在建工程内部控制巡检。
五、关于内部控制评价报告
内部控制评价报告是内部控制评价的最终体现,按照编制主体、报送对象和时间,分为对内报告和对外报告。对外报告的内容、格式等强调符合披露要求,时间具有强制性,对内报告则主要以符合企业董事会(审计委员会)、经理层需要为主,编制主体层级更多、内容上更加详尽、格式更加多样,时间可以定期或不定期。《评价指引》第二十条规定,企业应当根据《企业内部控制基本规范》、应用指引和本指引,设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告编制程序和要求,按照规定的权限报经批准后对外报出。
(一)内部控制评价报告的内容和格式
《评价指引》第二十一条和第二十二条规定了对外披露的内容,内部控制评价对外报告一般包括以下内容:
1.董事会声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任,保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。
2.内部控制评价工作的总体情况。明确企业内部控制评价工作的组织、领导体制、进度安排,是否聘请会计师事务所对内部控制有效性进行独立审计。
3.内部控制评价的依据。说明企业开展内部控制评价工作所依据的法律法规和规章制度,一般包括《企业内部控制基本规范》及《企业内部控制应用指引》、《企业内部控制评价指引》、企业制定的内部控制及相关制度、评价办法等。
4.内部控制评价的范围。描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项,及重点关注的高风险领域。内部控制评价的范围如有所遗漏的,应说明原因,及其对内部控制评价报告真实完整性产生的重大影响等。
5.内部控制评价的程序和方法。描述内部控制评价工作遵循的基本流程,以及评价过程中采用的主要方法。
6.内部控制缺陷及其认定。描述适用本企业的内部控制缺陷具体认定标准,并声明与以前年度保持一致或作出的调整及相应原因;根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。
7.内部控制缺陷的整改情况。对于评价期间发现、期末已完成整改的重大缺陷,说明企业有足够的测试样本显示,与该重大缺陷相关的内部控制设计且运行有效。针对评价期末存在的内部控制缺陷,公司拟采取的整改措施及预期效果。
8.内部控制有效性的结论。对不存在重大缺陷的情形,出具评价期末内部控制有效结论;对存在重大缺陷的情形,不得作出内部控制有效的结论,并需描述该重大缺陷的性质及其对实现相关控制目标的影响程度,可能给公司未来生产经营带来相关风险。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的,企业须责成内部控制评价机构予以核实,并根据核查结果对评价结论进行相应调整,说明董事会拟采取的措施。
内部控制评价报告的参考格式见附件2。
对内报告的格式、内容应该在符合以上要求的基础上进一步详尽地设计和表达。
(二)内部控制评价报告的编制和报送
《评价指引》第二十三条规定,企业应当根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评价报告。
1.评价报告的编制
(1)内部控制评价报告的编制时间
企业应当根据内部控制评价结果和整改情况,编制内部控制评价报告。内部控制评价报告分为定期内部控制评价报告和非定期内部控制评价报告。
企业应该定期进行内部控制评价并发布内部控制评价报告。企业至少应该每年进行一次内部控制评价并由董事会对外发布内部控制评价报告。年度内部控制评价报告应当以12月31日作为基准日。
非定期内部控制评价报告可以是因特殊事项或原因而对外发布的内部控制评价报告,例如,企业因目标变化或提升而发布的内部控制评价报告,或者针对内部控制缺陷整改而发布内部控制评价报告,或者对某一对社会影响较大事项所做的内部控制方面的承诺和说明。也可以是企业针对发现的重大缺陷专项内部控制评价等向董事会(审计委员会)或经理层报送的内部报告(即内部控制缺陷报告)。
(2)内部控制评价报告的编制主体
内部控制评价报告的编制主体包括单个企业和企业集团的母公司。单个企业内部控制评价报告指某一企业以自身经营业务和管理活动为辐射范围编制的内部控制评价报告,属于对内报告;企业集团母公司内部控制评价报告是企业集团的母公司在汇总、复核、评价、分析后,以母公司及下属(或控股子公司)的经营业务和管理活动为辐射范围编制的内部控制评价报告,是对企业集团内部控制设计有效性和运行有效性的总体评价,可以是对内或对外报告。
(3)内部控制评价报告的编制程序
首先,内部控制评价机构对工作底稿进行复核,根据认定并按照规定的权限和程序审批确定的内部控制缺陷,判断内部控制的有效性。
其次,内部控制评价机构搜集整理编制内部控制评价报告所需的相关资料。
再次,内部控制评价机构根据有关资料撰写内部控制评价报告。
最后,内部控制评价报告上报经理层审核、董事会审批后确定,下属单位内部控制评价报告还需上报母公司。
2.评价报告的报送
《评价指引》第二十四条至第二十六条规定了评价报告及内部控制审计报告对外报送的要求。
此外,企业内部控制评价报告应按规定报送有关监管部门,例如国有控股企业应按要求报送国有资产监督管理部门和财政部门、金融企业应按规定报送银行业监督管理部门和保险监督管理部门、公开发行证券的企业应报送证券监督管理部门。
(三)内部控制评价报告的披露和使用
1.评价报告的披露
公司的价值创造能力不仅取决于现有的经营基础和目前的盈利水平,更主要取决于公司的决策科学性和管控能力。公众公司必须向社会披露内部控制评估报告,满足投资者及利益相关者了解企业治理水平、管理规范化和抵御各类风险的能力的需要,更好地服务于他们做出投资决策和相关决策。
2.评价报告的使用
企业内部控制评价对外报告的使用者包括政府有关监管部门、投资者以及其他利益相关者、中介机构和研究机构等。对内报告主要是企业董事会(审计委员会)、各层级管理者以及有关监管部门。
内部控制评价是企业董事会对本企业内部控制有效性的自我评价,具有一定的主观性,在此基础上形成的内部控制评价报告也因此只能作为有关方面了解企业内部控制设计与运行情况的途径之一,而非全部。在使用内部控制评价报告时,还应注意与内部控制注册会计师审计报告、内部控制监管信息、财务报告信息等相关信息结合使用,以起到全面分析、综合判断、相互验证的效果。
《评价指引》第二十七条规定,建立内部控制评价工作档案管理制度。内部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管,年度报告应永久保存。
附件1:内部控制评价核心指标
核心指标 | 参考标准 |
一、内部环境 | |
(一)组织架构 | |
董事会、监事会、经理层的相互制衡 | 董事会及各专门委员会、监事会和经理层的职责权限、任职资格和议事规则是否明确并严格履行 |
董事会、监事会、经理层致力于内部控制建设和执行 | 1.是否科学界定了董事会、监事会、经理层在建立与实施内部控制中的职责分工 |
2.董事会是否采取必要的措施促进和推动企业内部控制工作,按照职责分工提出内部控制评价意见,定期听取内部控制报告,督促内部控制整改,修订内部控制要求 | |
组织结构设置科学、精简、高效、透明、权责匹配、相互制衡 | 1.组织结构设置是否与企业业务特点相一致,能够控制各项业务关键控制环节,各司其职、各尽其责,不存在冗余的部门或多于的控制 |
2.是否明确了权责分配、制定了权限指引并保持权责行使的透明度 | |
组织架构适应性 | 是否定期梳理、评估企业治理结构和内部机构设置,发现问题及时采取措施加以优化调整,是否定期听取董事、监事、高级管理人员和其他员工的意见,按照规定的权限和程序进行决策审批 |
组织架构对子公司的控制力 | 是否通过合法有效的形式履行出资人职责,维护出资人权益,特别关注异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项 |
(二)发展战略 | |
发展战略科学合理,既不缺乏也不激进,且实施到位 | 1.权益是否综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素制定科学合理的发展战略 |
2.是否根据发展目标制定战略规划,确定不同发展阶段的具体目标、工作目标和实施路径 | |
3.是否设立战略委员会或指定相关机构负责发展战略管理工作,是否明确战略委员会的职责和议事规驯并按规定履行职责 | |
4.是否对发展战略进行可行性研究和科学论证,并报董事会和股东(大)会审议批准 | |
发展战略有效实施 | 1.是否制定年度工作计划,编制全面预算,确保发展战略的有效实施 |
2.是否采取有效方式将发展战略及其分解落实情况传递到内部各管理层级和全体员工 | |
发展战略科学调整 | 是否及时监控发展战略实施腈况,并根据环境变化及风险评估等情况及时对发展战略科学调整 |
(三)人力资源政策 | |
人力资源结构合理、能够满足企业需要 | 1.人力资源政策是否有利于企业可持续发展和内部控制的有效执行 |
2.是否明确各岗位职责权限、任职条件和工作要求,选拔是否公开、公平、公正,是否因事设岗、以岗选人 | |
一、内部环境 | |
(三)人力资源政策 | |
人力资源开发机制健全有效 | 1.否制定并实有关员工聘用、培训、辞退与辞职、薪酬、考核、健康与安全、晋升与奖惩等方面的管理制度 |
2.是否建立员工培训长效机制,培训是否能满足职工和业务岗位需要,是否存在员工知识老化 | |
人力资源激励约束机制健全有效 | 1.是否设置科学的业绩考核指标体系,并严格考核评价,以此作为确定员工薪酬、职级调整和解除劳动合同等的重要依据 |
2.是否存在人才流失现象 | |
3.是否对关键岗位员工有强制休假或定期轮岗制度等方面的安排 | |
4.是否对掌握国家秘密或重要商业秘密的员工离岗有限制性的规定 | |
5.是否将有效执行内部控制纳入企业绩效考评体系 | |
(四)社会责任 | |
安全生产体系、机制健全有效 | l.是否建立严格的安全生产管理体系、操作规范和应急预案,切实做到安全生产 |
2.是否落实安全生产责任,对安全生产的投入,包括人力、物力等,是否能保证及时发现、排除生产安全隐患 | |
3.发生生产安全事故,是否妥善处理,排除故障,减轻损失,追究责任。是否有迟报、谎报、瞒报重大生产安全事故现象 | |
产品质量体系健全有效 | 是否建立严格的产品质量控制和检验制度并严格执行,是否有良好的售后服务,能够妥善处理消费者提出的投诉和建议 |
切实履行环境保护和资源节约责任 | 1.是否制定环境保护与资源节约制度,采取措施促进环境保护、生态建设和资源节约并实现节能减排目标 |
2.是否实施清洁生产,合理开发利用不可再生资源 | |
促进就业和保护员工权益 | 1.是否依法保护员工的合法权益,保持工作岗位相对稳定,积极促进充分就业 |
2.是否实现按劳分配、同工同酬、建立科学的员工薪酬制度和激励机制,是否建立高级管理人员与员工薪酬的正常增长机制 | |
3.是否及时办理员工社会保险,足额缴纳社会保险费 | |
4.是否维护员工健康,落实休息休假制度 | |
5.是否积极开展员工职业教育培训,创造平等发展机会 | |
(五)企业文化 | |
企业文化具有凝聚力和竞争力,促进企业可持续发展 | 1.是否采取切实有效的措施,积极培育具有自身特色的企业文化,打造以主业为核心的企业品牌,促进企业长远发展 |
2.企业董事、监事、经理及其他高级管理人员是否在文化建设和履行社会责任中起到表率作用,是否促进文化建设在内部各层级的有效沟通 | |
3.是否做到文化建设与发展战略的有机结合,使员工自身价值在企业发展中得到充分体现 | |
4.是否重视并购重组后的企业文化建设,平等对待被并购方的员工,促进并购双方的文化融合 | |
企业文化评估具有客观性、实效性 | 1.是否建立企业文化评估制度,重点对董事、监事、经理和其他高级管理人员在企业文化建设中的责任履行情况、全体员工对企业核心价值观的认同感、企业经营管理行为与企业文化的一致性、企业品牌的社会影响力、参与企业并购重组各方文化的融合度,以及员工对企业未来发展的信心做出评估 |
2.是否针对评估结果是否巩固和发扬文化建设成果,进而研究影响企业文化建设的不利因素,分析深层次的原因,及时采取措施加以改进 | |
二、风险评估 | |
目标设定 | 1.企业层面是否有明确的目标、目标是否具有广泛的认识基础、企业战略是否与企业目标相匹配 |
2.业务层面,各业务层面目标是否与企业目标一致、各业务层面目标是否衔接一致、各业务层面目标是否具有操作指导性 | |
3.是否结合企业的风险偏好,确定相应的风险承受度 | |
风险识别 | 1.目标是否层层分解并确立关键业务或事项 |
2.是否持续性的收集相关信息,内外部风险识别机制是否健全,是否识别影响公司目标实现的风险 | |
3.是否根据关键业务或事项分析关键成功因素 | |
4.是否识别影响公司目标实现的风险 | |
风险分析 | 1.风险分析技术方法的适用性 |
2.结台风险发生可能性和影响程度标准划分风险等级的准确性 | |
3.风险发生后负面影响判断的准确性 | |
风险应对 | l.风险应对策略与公司战略、企业文化的一致性 |
2.风险承受度与风险应对策略的匹配程度 | |
三、控制活动 | |
(一)控制活动的设计 | |
控制措施足以覆盖企业重要风险,不存在控制缺失、控制过度 | 1.是否针对企业内部环境设立了相应的控制措施 |
2.各项控制措施的设计是否与风险应对策略相适应 | |
3.各项主要业务控制措施是否完整、恰当 | |
4.是否针对非常规性、非系统性业务事项制定相应的控制措施,并定期对其执行情况进行检查分析 | |
5.是否建立重大风险预警机制和突发事件应急处理机制,相关应急预案的处置程序和处理结果是否有效 | |
(二)控制活动的运行 | |
控制活动运行符合控制措施规定 | 针对各类业务事项的主要风险和关键环节所制定的各类控制方法和控制措施是否得以有效实施 |
四、信息与沟通 | |
信息收集处理和传递及时、准确、适用 | 是否有透明高效的信息收集、处理、传递程序,合理筛选、核对、整合与经营管理和内部控制相关信息 |
反舞弊机制健全 | 1.是否建立键全并有效实施反舞弊机制 |
2.举报投诉制度和举报人保护制度是否及时准确传达至企业全体员工 | |
3.对舞弊事件和举报所涉及的问题是否及时、妥善地作出处理 | |
沟通顺畅 | 1.信息在企业内部各层级之间、企业与外部有关方面之间的沟通是否有效 |
2.董事会、监事会和经理层是否能够及时掌握经营管理和内部控制的重要信息并进行应对 | |
3.员工诉求是否有顺畅的反映渠道 | |
利用信息化程度 | 1.企业是否建立与经营管理相适应的信息系统,利用信息技术提高对业务事项的自动控制水平 |
2.在信息系统的开发过程中,是否对信息技术风险进行识别、评估和防范 | |
3.信息系统的一般控制是否涵盖信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全、硬件设备、操作人员等方面,确保信息系统安全稳定运行 | |
4.信息系统的应用控制是否紧密结合业务事项进行,利用信息技术固化流程、提高效率、减少或消除人为操纵因素 | |
5.信息系统是否建立并保持相关信息交流与沟通的记录 | |
五、内部监督 | |
内部监督能够覆盖并监控企业日常业务活动 | 1.管理层是否定期与内部控制机构沟通评价结果,并积极整改 |
2.是否落实职能部门和所属单位在日常监督中的责任,及时识别环境和业务变化 | |
3.日常监督的内容是否为经过分析确认的关键控制并有效控制,是否按重要程度将发现问题如实反馈给内部控制机构,是否积极采取整改措施 | |
4.日常监督用以证明内部控制有效性的信息是否适当和充分,监督人员是否具有胜任能力和客观性 | |
5.内部审计的独立性是否得以保障,审计委员会和内部审计机构是否独立、充分地履行监督职责,审计监督与内部控制沟通是否顺畅 | |
6.是否开展了必要的专项监督 | |
7.内部控制机构是否追踪重大风险和重要业务,是否制定内部控制自我评价办法和考核奖惩办法,明确评价主体、职责权限、工作程序和有关要求,定期组织开展内部控制自我评价,报送自我评价报告,合理认定内部控制缺陷并分析原因,提出整改方案建议 | |
内部控制缺陷认定科学、客观、合理且报送机制健全 | 1.内部控制机构是否制定科学的内部控制缺陷认定标准并予以——贯的执行 |
2.是否对控制缺陷进行全面、深入地研究分析,提出并实施整改方案,采取适当的形式及时向董事会、监事会或者经理层报告,督促业务部门整改,重大缺陷并按规定予以披露 | |
3.对发现的内部控制重大缺陷,是否追究相关责任单位和责任人的责任 | |
4.是否建立内部控制缺陷信息数据库,并对历年发现的内部控制缺陷及其整改情况进行跟踪检查 | |
内部控制建设与评价文档妥善保管 | 1.是否采取书面或其他适当方式对内部控制的建立与实施情况进行记录 |
2.是否妥善保存内部控制相关记录和资料,确保内部控制建立与实施过程的可验证性 | |
3.对暂未建立健全的有关内部控制文档或记录,是否有证据表明确已实施了有效控制或者替代控制措施 |
附件2:xx股份有限公司20xx年度内部控制评价报告
xx股份有限公司全体股东:
根据《企业内部控制基本规范》等法律法规的要求,我们对本公司(以下简称“公司”)内部控制的有效性进行了自我评价。
一、董事会声明
公司董事会及全体董事保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带责任。
建立健全并有效实施内部控制是公司董事会的责任;监事会对董事会建立与实施内部控制进行监督;经理层负责组织领导公司内部控制的日常运行。
公司内部控制的目标是:[一般包括合理保证经营合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略]。由于内部控制存在固有局限性,故仅能对达到上述目标提供合理保证。
二、内部控制评价工作的总体情况
公司董事会授权内部审计机构[或其他专门机构]负责内部控制评价的具体组织实施工作,对纳入评价范围的高风险领域和单位进行评价[描述评价工作的组织领导体制,一般包括评价工作组织结构图、主要负责人及汇报途径等]。
公司[是/否]聘请了专业机构[中介机构名称]实施内部控制评价,并编制内部控制评价报告;公司[是/否]聘请会计事务所[会计师事务所名称]对公司内部控制有效性进行独立审计。
三、内部控制评价的依据
本评价报告旨在根据中华人民共和国财政部等五部委联合发布的《企业内部控制基本规范》(以下简称“基本规范”)及《企业内部控制评价指引》(以下简称“评价指引”)的要求,结合企业内部控制制度和评价办法,在内部控制日常监督和专项监督的基础上,对公司截至20xx年12月31日内部控制的设计与运行的有效性进行评价。
四、内部控制评价的范围
内部控制评价的范围涵盖了公司及其所属单位的各种业务和事项,重点关注下列高风险领域:
[列示公司根据风险评估结果确定的前“十大”主要风险]
[描述公司及其所属单位的明确范围]
纳入评价范围的业务和事项包括(根据实际情况充实调整):
(一)组织架构
(二)发展战略
(三)人力资源
(四)社会责任
(五)企业文化
(六)资金活动
(七)采购业务
(八)资产管理
(九)销售业务
(十)研究与开发
(十一)工程项目
(十二)担保业务
(十三)业务外包
(十四)财务报告
(十五)全面预算
(十六)合同管理
(十七)内部信息传递
(十八)信息系统
上述业务和事项的内部控制涵盖了公司经营管理的主要方面,不存在重大遗漏。
(如存在重大遗漏)公司本年度未能对以下构成内部控制重要方面的单位或业务(事项)进行内部控制评价:
[逐条说明未纳入评价范围的重要单位或业务(事项),包括单位、或业务(事项)描述、未纳入的原因、对内部控制评价报告真实完整性产生的重大影响等]
五、内部控制评价的程序和方法
内部控制评价工作严格遵循基本规范、评价指引及公司内部控制评价办法规定的程序执行[描述公司开展内部控制检查评价工作的基本流程]。
评价过程中,我们采用了(个别访谈、调查问题、专题讨论、穿行测试、实地查验、抽样和比较分析)等适当方法,广泛收集公司内部控制设计和运行是否有效的证据,如实填写评价工作底稿,分析、识别内部控制缺陷[说明评价方法的适当性及证据的充分性]。
六、内部控制缺陷及其认定
公司董事会根据基本规范、评价指引对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险水平等因素,研究确定了适用本公司的内部控制缺陷具体认定标准,并与以前年度保持了一致[描述公司内部控制缺陷的定性及定量标准],或作出了调整[描述具体调整标准及原因]。
根据上述认定标准,结合日常监督和专项监督情况,我们发现报告期内存在[数量]个缺陷,其中重大缺陷[数量]个,重要缺陷[数量]个。重大缺陷分别为:[对重大缺陷进行描述,并说明其对实现相关控制目标的影响程度]。
七、内部控制缺陷的整改情况
针对报告期内发现的内部控制缺陷(含上一期间未完成整改的内部控制缺陷),公司采取了相应的整改措施[描述整改措施的具体内容和实际效果]。对于整改完成的重大缺陷,公司有足够的测试样本显示,与重大缺陷[描述该重大缺陷]相关的内部控制设计且运行有效(运行有效的结论需提供90天内有效运行的证据)。
经过整改,公司在报告期末仍存在[数量]个缺陷,其中重大缺陷[数量]个,重要缺陷[数量]个。重大缺陷分别为:[对重大缺陷进行描述]。
针对报告期末未完成整改的重大缺陷,公司拟进一步采取相应措施加以整改[描述整改措施的具体内容及预期达到的效果]。
八、内部控制有效性的结论
公司已经根据基本规范、评价指引及其他相关法律法规的要求,对公司截至20xx年12月31日的内部控制设计与运行的有效性进行了自我评价。
(存在重大缺陷的情形)报告期内,公司在内部控制设计与运行方面存在尚未完成整改的重大缺陷[描述该缺陷的性质及其对实现相关控制目标的影响程度]。由于存在上述缺陷,可能会给公司未来生产经营带来相关风险[描述该风险]。
(不存在重大缺陷的情形)报告期内,公司对纳入评价范围的业务与事项均已建立了内部控制,并得以有效执行,达到了公司内部控制的目标,不存在重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间[是/否]发生对评价结论产生实质性影响的内部控制的重大变化。[如存在,描述该事项对评价结论的影响及董事会拟采取的应对措施]。
我们注意到,内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。[简要描述下一年度内部控制工作计划]未来期间,公司将继续完善内部控制制度,规范内部控制制度执行,强化内部控制监督检查,促进公司健康、可持续发展。
董事长:(签名)
xx股份有限公司
20xx年xx月xx日