内部控制论文(精选8篇)
——内部控制检查评价
第一章 总 则
第一条 为了保证某某公司(以下简称“公司”)内部控制制度的建立健全和有效执行,促进公司规范运作和健康发展,根据《中华人民共和国公司法》、《中华人民共和国证券法》等国家有关法律、法规和《企业内部控制基本规范》的规定,结合本公司经营特点和所处环境,制定本制度。
第二条 本制度所称内部控制,是指公司为实现经营目标,保护资产安全完整,保证遵循国家法律法规,提高组织运营的效率及效果而采取的各种政策和程序。公司内部控制是由董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程。内部控制的目标是合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进公司实现发展战略。由于人为错误、恶意串通舞弊、环境变化及成本效益原则等因素的影响,内部控制存在固有限制,可能无法发挥其应有作用。
第三条 公司应加强宣传引导和教育培训,通过多种途径广泛宣传公司内部控制制度,引导全体员工掌握公司内部控制制度的本质要求,促进全体员工加强职业道德修养、提高专业胜任能力,自觉遵守公司内部控制制度的各项规定。
第四条 公司建立与实施内部控制,应遵循下列原则:
(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖公司及所属公司的各种业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制,同时兼顾运营效率。
(四)适应性原则。内部控制应当与公司经营规模、业务范围、竞争状况和风险水平相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。第五条 公司建立与实施有效的内部控制,应当包括下列要素:
(一)内部环境。内部环境是指公司实施内部控制的基础,一般包括治理结构、机构设置、权责分配、内部审计、人力资源政策、企业文化等。
(二)风险评估。风险评估是指公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
(三)控制活动。控制活动是指公司根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。
(四)信息与沟通。信息与沟通是指公司及时、准确地收集、传递与内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通。
(五)内部监督。内部监督是指公司对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,并应当及时加以改进。
第二章 职责分工与授权批准
第六条 公司指定内部审计部门(以下称“监督检查部门”)负责内部控制的日常监督检查工作,配备专门的内部控制监督检查人员。
第七条 建立健全内部控制并保持其有效运作,是被检查单位的责任,监督检查部门的责任是对内部控制是否存在和其有效性进行测试与评价。
第八条 内部控制监督检查是指监督检查人员在实施检查过程中对被检查单位内部控制制度的健全性、合理性及内部控制过程的有效性所进行的测试与评价活动,目的是合理保证被检查单位实现以下目标:
(一)遵守国家有关法律法规和公司内部控制制度。
(二)信息的真实、可靠。
(三)资产的安全、完整。
(四)经济有效地使用资源。
(五)提高经营效率和效果。
(六)实现经营目标。
第九条 监督检查部门向董事会及其审计委员会报告内部控制监督检查有关工作情况,同时通报监事会。公司董事会及其审计委员会对内部控制监督检查工作进行指导,审阅监督检查部门提交的内部控制监督检查评价报告。
第十条 内部控制监督检查既可以作为独立的审计项目实施,也可以作为实施其他审计项目的重要程序。
第三章 内部控制检查评价程序、方法和内容
第十一条 公司对内控制度的执行情况进行定期和不定期的检查。监督检查部门通过对内控制度执行情况的检查监督,以发现内控制度是否存在缺陷和实施中是否存在问题,评估其执行的效果和效率,并及时报告,同时应督促相关部门、单位及时予以改进,确保内控制度的有效实施。
第十二条 监督检查部门应每半结束后两个月内对公司的内部控制进行一次定期的持续性检查监督,至少包括重要业务、财务事项,收购和出售资产、关联交易、从事衍生品交易、提供财务资助、为他人提供担保、募集资金使用、委托理财等重大事项。各部门、分公司、子公司应每半结束后半个月内进行自查,并向公司监督检查部门汇报自查情况。监督检查部门还将不定期地对公司的内部控制开展各项专项检查、抽查等监督检查工作。
第十三条 监督检查部门开展内部控制检查监督工作前,应事先报告公司董事会审计委员会,并制定详细的工作计划。
第十四条 监督检查部门开展内部控制检查监督工作时,可以采取现场谈话和问卷调查、财务审计、文件审核、合同协议审查或书面报告等方式进行。
第十五条 公司各部门、分公司、子公司的负责人应负责组织相关人员按监督检查部门的要求,及时向监督检查部门提供所需的原始凭证、报表、操作规程、合同协议和书面报告等文件资料,接受监督检查部门的谈话、调查、审查等。
第十六条 公司的控制环境主要包括公司的经济性质和经营类型、管理层的经营理念、组织文化、法人治理结构和议事规则、组织结构、职责分工及人员配置、人力资源政策及其执行。公司的监督检查部门对控制环境重点审查以下方面:
(一)组织的管理哲学和经营风格。
(二)诚信原则和道德价值观。
(三)经营活动的复杂程度。
(四)管理权限的集中程度。
(五)管理层对逾越既定控制程序的态度。
(六)法人治理结构的健全性和有效性。
(七)组织结构和职责划分的合理性。
(八)组织各阶层人员的知识与技能。
(九)权责匹配程度以及人力资源政策。
(十)员工业绩考核与激励机制的有效性。
(十一)员工聘用程序及培训制度的有效性。
(十二)员工对企业文化内容的理解和认同程度。
第十七条 公司的风险评估主要包括识别和分析影响组织目标实现的各类风险、对业务流程进行风险评估、及时调整风险应对策略,建立风险管理体系。
公司的监督检查部门对风险评估重点审查以下方面:
(一)确定风险、评估风险的重要性。
(二)可能引发风险的内外因素。
(三)风险发生的可能性和预计带来的后果,对抗可能发生风险的能力。
(四)风险管理机制的健全性和有效性。
第十八条 公司的控制活动主要包括不相容职务分离、授权审批、明确业务流程、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、独立业务审核。公司的监督检查部门对控制活动重点审查以下方面:
(一)不相容职务相分离。
(二)货币资金、实物管理的关键控制点,会计记录与实物保管相互制约。
(三)销售政策的健全性和有效性,采购各环节的相互制约机制。
(四)成本费用控制政策的健全性和有效性。
(五)预算管理体系的健全性。
(六)投资决策程序的有效性,投资风险分析估计。
(七)产品研发决策程序的健全有效性,研发风险的评估。
(八)筹资活动控制的有效性。
(九)实施绩效考评的有效性。
第十九条 公司的信息与沟通主要包括建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,及时、准确、完整地记录所有信息、保证管理信息系统的安全可靠及有序运行,建立反舞弊机制。公司的监督检查部门对信息与沟通重点审查以下方面:
(一)各部门间信息的传递方式。
(二)各类经济业务的会计处理程序和所依据信息的来源。
(三)管理信息系统控制流程获取及处理信息的能力以及信息传递渠道畅通情况。
(四)信息处理的及时性、适当性,信息系统的安全可靠性。
(五)明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限。
第二十条 公司的内部监督主要包括董事会、监事会及管理层对内控制度的监督检查(内部控制的自我评估)、内部控制监督检查部门实施的独立的监督和检查。
公司的监督检查部门对内部监督重点审查以下方面:
(一)对内部控制及经营活动监督、检查和评价而实施再控制情况。
(二)内部控制自我评估系统缺陷处理情况。
(三)内部审计的设置和工作情况。
第二十一条 公司内部控制监督检查应关注的其他内容
(一)所在行业状况及近期的经营变化。
(二)管理当局的诚信、能力及发生舞弊的可能性。
(三)管理当局评价内部控制有效性的方法和证据。
(四)对重要性水平、固有风险及其他与确定内部控制重大缺陷有关的因素的初步判断。
(五)交易的性质和金额。
第二十二条 公司的内部控制监督检查部门对内部控制实施监督检查时,可对全部内部控制要素实施测试评价,也可对部分内部控制要素实施测试评价。
第二十三条 公司监督检查部门对内部控制监督检查时应遵循以下步骤:
(一)对内部控制进行调查了解,描述内部控制,初步评价内部控制风险。
(二)对内部控制的执行情况进行符合性测试及实质性测试。
(三)内部控制综合评价。
第二十四条 调查内部控制主要包括以下活动:
(一)查阅各项管理制度和相关文件。
(二)询问管理人员和其他有关人员。
(三)检查经营管理过程中形成的文件和记录。
(四)观察业务活动和内部控制的实际运行情况。
调查时,应当考虑被检查单位业务规模、复杂程度、控制类型和控制程序等,恰当地确定调查范围;关注控制环节、控制执行记录和控制程序运用的连续性。
第二十五条 描述内部控制,采用文字记录、调查表、业务流程图的形式将调查的内部控制运行情况加以记录、描述,以供测试和评价;根据现有内部控制描述有关业务的流程和控制点,与理想模式比较,结合专业判断,着重描述应设立的控制点,特别是关键控制点设立情况。
第二十六条 了解内部控制设置情况后,应当初步评价内部控制风险,确定符合性测试的范围。
(一)分析可能发生错弊的业务环节和活动领域。
(二)初步评价相关内部控制的合理性和运行的有效性。
(三)确定内部控制风险水平。第二十七条 进行符合性测试。
(一)按照业务流程检查各项内部控制规定是否得到执行。
(二)选择有关经济业务,检查流程中的关键控制点是否真正发挥作用。
(三)重新执行有关内部控制。
符合性测试可运用检查、询问、现场观察、穿行测试等方法。监督检查人员应当根据内部控制的性质及其执行的时间和频率,合理确定符合性测试的性质、时间和范围。
第二十八条 对内部控制执行情况进行符合性测试后,综合分析被检查单位内部控制的健全性和有效性,提出内部控制测试评价结果,并据此确定实质性测试的范围、重点和方法。
第二十九条 测试内部控制的健全性。依据授权原则、效益性原则,检查评价内部控制健全性,并考虑以下因素:
(一)控制措施是否存在。
(二)控制程序是否具备可操作性。
(三)是否存在失控环节,失控的性质和原因、影响。
(四)内部控制的局限性。第三十条 测试内部控制的有效性。在健全性测试基础上进行符合有效性测试,可采取检查、监盘、观察、计算、分析性复核、查询及函证等方法,测试有关经济业务活动的运行与相关内部控制的符合程度,评价内部控制措施是否得到贯彻执行;是否达到预期目标;是否存在不遵循内部控制制度处理业务的重大事项;有无因制度失控而造成重大经济损失或资产严重流失等事项。
第三十一条 在检查评价内部控制健全性和有效性时,应当考虑内部控制的固有限制。
(一)内部控制的设置和运行受制于成本效益原则。
(二)内部控制一般仅针对常规业务活动而设置。
(三)即使是设置完善的内部控制,也可能因有关人员的疏忽、误解和判断错误、相互勾结、内外恶意串通而失效。
(四)内部控制可能因执行人员滥用职权或屈从于外部压力而失效。
(五)内部控制可能因经营环境、业务性质的改变而削弱或失效。
第三十二条 综合评价内部控制。评价内部控制设置的适用性、健全性、合理性以及控制的有效性,能否保证经营目标的实现和规范化管理。
(一)评价内部控制的适用性、科学性,即内部控制是否有利于促进公司发展,有利于推进管理创新和技术创新,增强企业的核心竞争力。
(二)披露各项控制措施存在的缺陷,对相应的业务系统内部控制的影响,揭示面临的风险和可能产生的后果。
(三)对内部控制的健全性、有效性进行整体的分析与评价,针对内部控制存在的缺陷、薄弱环节,提出加强和完善的建议。
第三十三条 遵循全面性原则、重要性原则、合法性原则、制衡性原则、适时性原则、成本效益原则。在评价特定内部控制未得到遵循的风险时,监督检查人员应当考虑以下因素:
(一)交易数量和性质发生的变化,以及对特定内部控制的设计和执行产生的不利影响。
(二)内部控制发生的变化。
(三)特定内部控制的复杂程度。
(四)特定内部控制对其他内部控制有效性的依赖程度。
(五)执行或监控内部控制的关键人员发生变动。
第三十四条 监督检查人员对内部控制进行评价时应选择适当的标准:选择组织已有的标准,如果认为已有标准不合适,应向适当的管理层报告;如果管理层没有制定合适的标准,监督检查人员可以基于组织利益最大化的原则选择适当的评价标准。
第三十五条 监督检查人员应将对被检查单位内部控制调查、测试和评价的过程及结果与被检查单位进行沟通,征求被检查单位的意见。
第四章 评价报告程序、方法和内容
第三十六条 监督检查部门应对公司内部控制运行情况进行检查监督,并将检查中发现的内部控制缺陷和异常事项、改进建议及解决进展情况等形成内部控制评价报告,向董事会及其审计委员会报告并通报监事会。公司监督检查部门如发现公司存在重大异常情况,可能或已经遭受重大损失时,应立即报告公司董事会及其审计委员会并通报监事会。公司董事会应提出切实可行的解决措施。
第三十七条 监督检查部门应在每次的定期检查后及每一次的不定期检查后向公司董事会审计委员会报告内部检查工作情况和发现的问题,并于结束后四个月内向董事会及其审计委员会提交内部控制评价报告,上述报告同时通报监事会。
第三十八条 内部控制评价报告中至少应包括检查中发现的内控制度不健全、不完善之处,内部控制缺陷及实施中存在的问题,针对存在的问题建议采取的改进措施,也可以对公司内控制度下一步发展方向提出建议,以及监督检查部门认为应当写明的其他任何事项。
第三十九条 监督检查人员对于检查中发现的内部控制缺陷及实施中存在的问题,应在内部控制检查监督工作报告中据实反映,并在向审计委员会报告后进行后续追踪检查,以确定相关部门已及时采取适当的改进措施,并撰写落实情况报告,对被检查单位的整改措施进行评价。
监督检查人员针对检查中发现的内部控制缺陷及实施中存在的问题,应提出追究相关责任单位或者责任人有关责任的建议;对内部控制比较健全有效的单位,提出表扬和奖励的建议。公司应将内部控制检查所发现的内部控制缺陷及实施中存在的问题列为各部门、分公司及子公司绩效考核的重要项目之一。第四十条 公司董事会审计委员会对内部控制检查监督工作进行指导,并审阅监督检查部门提交的内部控制监督检查评价报告。
第四十一条 董事会可根据内部控制检查监督评价报告及相关信息,评价公司内部控制的建立和实施情况,形成内部控制自我评估报告。公司董事会在审议财务报告等事项的同时,可依据相关规定对公司内部控制自我评估报告形成决议,同时监事会也应对此报告进行审议。
第四十二条 公司内部控制自我评估报告至少应包括如下内容:
(一)内控制度是否建立健全;
(二)内控制度是否有效实施运行,是否存在缺陷;
(三)内部控制检查监督工作的情况,尤其是本制度中重点关注的控制活动的自查和评估情况;
(四)内控制度及其实施过程中出现的重大风险及其处理情况(如有);
(五)对本内部控制检查监督工作计划完成情况的评价;
(六)对内部控制整体情况的自我评价;
(七)完善内控制度的有关措施及下一内部控制的有关工作计划。第四十三条 终了,监督检查机构应对本内部控制检查过程中发现的内部控制的缺陷及异常事项、相应的处理建议及整改情况进行总结,在监督检查机构工作报告里专题陈述。
第四十四条 监督检查部门的工作资料,包括内部控制检查监督评价报告、工作底稿及相关资料,保存时间不少于十年。
第四十五条 注册会计师在对公司进行审计时,应参照有关主管部门的规定,就公司内部控制情况出具评价意见,如注册会计师对公司内部控制有效性表示异议的,董事会、监事会应针对该评价意见涉及事项进行核实做出专项说明,专项说明至少应包括以下内容:
(一)异议事项的基本情况;
(二)该事项对公司内部控制有效性的影响程度;
(三)公司董事会、监事会对该事项的意见;
(四)消除该事项及其影响的可能性;
(五)消除该事项及其影响的具体措施。
第五章 责任追究及奖惩
第四十六条 被检查单位应对内部控制的健全性和有效性负责,对所提供资料的真实性、完整性负责。由于被检查单位内部控制程序出现严重缺陷和出现重大违反国家财经法纪的行为,及相关人员失职导致内部控制存在重大缺陷或存在重大风险,给公司造成严重影响或损失的,由监督检查部门建议,追究被检查单位相关责任人的责任。
第四十七条 由于监督检查部门失职,导致内部控制缺陷及实施中存在的问题未被发现或提出,给公司造成严重影响或损失的,由董事会审计委员会建议,追究监督检查部门相关责任人的责任。但执行了《内部审计具体准则第17号》中第四章规定程序而未能发现的,应予免除责任。
第四十八条 被检查单位拒绝、阻碍内部控制检查,或拒绝、拖延提供相关资料或证明材料,提供虚假资料的,公司应当及时予以处理,给予通报批评、警告、辞退、索赔及追究有关责任人责任;涉嫌犯罪的,依法移交司法机关处理。
第四十九条 监督检查人员滥用职权、玩忽职守、徇私舞弊、贪污受贿、泄露秘密的,对严重内控缺陷、重大违纪、违法事项故意不披露的,以及由于未履行职责出现重大审计事项错漏、应当给予通报批评、警告、辞退及追究相关责任的处理;涉嫌犯罪的,依法移交司法机关处理。
第五十条 监督检查机构和人员为公司避免或挽回重大经济损失,提出的管理建议被采纳后取得显著经济效益,公司应给予适当的表彰和奖励。
第五十一条 公司所有员工均有权随时以书信形式、电子邮件、传真或口头等方式向公司董事会及其审计委员会或监督检查部门反映公司内部控制存在的缺陷及实施中存在的问题,针对存在的问题建议采取的改进措施,以及对公司内控制度下一步发展方向提出建议。同时,公司将视具体情形,对提供建议的员工予以奖励和鼓励。
第六章 附 则
第五十二条 本制度适用于公司及所属公司,包括公司总部、各分公司及全资子公司、控股子公司。
第五十三条 公司及所属公司可以参照本制度制定相关实施细则或具体执行办法,实施细则或执行办法不得违反本制度相关规定。实施细则或执行办法经公司总经理办公会批准后执行,并上报公司备案。
第五十四条 本制度由公司董事会负责解释和修订。
一、内部控制评价与内部控制审计
内部控制评价是对企业内部控制工作所做出的评价。《企业内部控制评价指引》将内部控制评价定义为“企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程”,并且规定“企业董事会应当对内部控制评价报告的真实性负责”。显然,该指引所称企业内部控制评价是特指企业董事会或者类似权力机构做出的自我评价,笔者称之为狭义的内部控制评价。实际上,就字面意思而言,“企业内部控制评价”并未限定谁对企业内部控制进行评价,除了《企业内部控制评价指引》规定的自我评价,企业主管部门和利益相关者、其他独立主体也可以对该企业内部控制做出评价,这些评价构成“广义的”内部控制评价。
从广义的角度看待内部控制评价,自然而然离不开“内部控制审计”。《企业内部控制审计指引》第二条规定,“本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运用的有效性进行审计”。这个规定说明,会计师事务所作为独立主体,接受委托对企业内部控制有效性进行的“审计”,即“按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见”,就是审计指引定义的内部控制审计。不可否认,对内部控制的有效性发表审计意见,本质上就是对内部控制做出的评价,属于“广义的”内部控制评价的范畴。
由于企业对自身内部控制有效性的评价与会计师事务所对企业内部控制有效性的评价从实施主体、目的、评价程序与方式方法都有不同,所以这两个“评价”工作由内部控制规范体系中《企业内部控制评价指引》、《企业内部控制审计指引》两个文件做出规范。内部控制评价作为自我评价,由企业自己完成,董事会对内控有效性所做评价负责;内部控制审计作为特定的外部评价形式,由会计师事务所完成,注册会计师对内控有效性发表的意见承担责任。笔者认为,在内部控制规范体系实施时间较短的情况下,如果从字面意思理解,把企业对自身内部控制的自我评价与会计师事务所对企业内部控制的审计混为一谈,很容易将内部控制评价和内部控制审计混淆。
二、内部控制评价与内部监督
开展内部控制评价需要“对内部控制的有效性进行全面评价”,而《企业内部控制基本规范》要求,企业建立与实施有效的内部控制,应当包括内部环境、风险评估、控制活动、信息与沟通和内部监督五大要素。其中,内部监督“是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进”。所以,进行内部控制评价,必然要熟悉“内部监督”。比较内部控制评价与内部监督的概念,发现两者的核心内容都是“评价内部控制的有效性”,如何理解二者之间的关系、有没有重复劳动?
笔者认为,企业家们的困惑一部分来自“企业内部控制评价”、“内部监督”两个概念客观存在的模糊性。第一,两者都是自我评价,两个定义没有强调彼此差异;第二,在企业实施内部控制过程中,内部监督是贯穿始终的一个要素,基本规范第六章还详细列出了日常监督、专项监督等内容,可以说是企业内部控制工作的一部分。但所谓内部控制评价又不存在日常评价与专项评价之说,而且,内部控制评价的内容还包括对“内部监督”的评价,如果套用内部监督的概念,内部控制评价是对“评价内部控制的有效性”的评价,这个表达确实不好理解。第三,在基本规范中,内部控制自我评价报告的内容出现在第五章“内部监督”部分,又让人感觉内部控制评价是内部监督的一个部分;但是内部控制评价指引要求“开展内部监督评价”、“对内部监督机制的有效性进行认定和评价”,明确表达了对包括内部监督在内的五个要素进行评价的思想,似乎不宜将内部控制评价视为内部监督的一部分。
虽然内部控制规范体系对内部监督和内部控制评价的规定,无论是条文安排方面还是概念的逻辑关系方面,都有可进一步探讨之处,但是规范体系对企业做的事情表述得很清楚:企业实施内部控制过程中,必须设置内部监督机构、健全内部监督机制、对内部控制情况进行有效监督;同时,还要根据基本规范和评价指引的要求,对包括内部监督在内的五要素进行自我评价。
三、内部监督与内部审计
内部审计是企业家们实施内部控制无法回避的有一个概念。中国内部审计协会发布的《中国内部审计准则第1101号——内部审计基本准则》将内部审计定义为“一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标”。给人的感觉是,内部审计的一部分内容是“审查和评价内部控制的有效性”,与内部控制基本规范对“内部监督”的定义“企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性”基本一致。内部审计定义中还涉及“审查和评价组织的业务活动”和“风险管理”,而内部监督同样也包括业务活动控制、风险评估和管理等。在专业机构给出的定义里,内部监督、内部审计就像一对双胞胎,难怪企业家们会惊呼“分不清内部审计和内部监督的区别”。
另外,内部控制基本规范规定,企业应“制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求”。显然,内部控制基本规范认为企业内部监督的主体主要就是内部审计机构(或经授权的其他监督机构)。也就是说,在实务工作中,内部监督主要也是由内部审计机构完成。考虑到内部监督和内部审计两个定义的高度近似、实务工作的密不可分,因此有的人干脆把两者合二为一、不分彼此,统称“内部审计监督”。
但是,两者合二为一并不能解决问题。《内部审计基本准则》第二章第六条规定,“内部审计机构和内部审计人员应当保持独立性和客观性,不得负责被审计单位的业务活动、内部控制和风险管理的决策与执行。”这一规定明确表明,内部审计机构和人员不得负责该单位内部控制的决策与执行,是独立于内部控制系统之外的一项审查评价活动。因此,内部审计当然也独立于内部监督之外,完全不是一回事更加不能相互替代。企业家们的困惑由此产生:内部控制规范体系要求企业建立与实施内部控制,而《审计基本准则》第二章第四条也要求“组织应当设置与其目标、性质、规模、治理结构等相适应的内部审计机构,并配备具有相应资格的内部审计人员”,而且,后者规定两个系统必须相对独立,未必企业必须、且确有必要同时搞两套功能近似的内部管理系统?
笔者认为,内部审计、内部控制(包括内部监督)都属于企业内部管理的范畴,整体上属于企业内部事务,由企业自主决定如何开展相关工作。对于一些涉及公众利益的单位,国家可能通过法规(规章和规范性文件)对单位的内部事务进行干预。内部控制和内部审计等所具有的外部性特征为国家干预提供了理论依据。从我国现实情况看,《中国内部审计准则》由民间机构中国内部审计协会发布,不具有法律约束力;企业内部控制规范由国家五部委联合发布,对相关企业具有强制力。因此,某一企业是否应该设置专门机构、如何开展内部审计和内部控制工作,应视行业管理部门和企业主管机关的要求而定;如果没有这方面的要求,企业可以根据内部管理的需要,自主决定开展或者不开展内部审计和内部控制工作。
四、分属内部审计和外部审计的“内部控制审计”
企业家们的困惑还来自扑朔迷离的两个“内部控制审计”。一是如前所述,企业内部控制规范体系的《企业内部控制审计指引》提出了“内部控制审计”的概念,指的是会计师事务所依照有关法规制度和审计指引的要求,对企业内部控制进行的审计;另一个是《中国内部审计准则第2201号内部审计具体准则——内部控制审计》第二条提出的,“本准则所称内部控制审计,是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。”虽然两个都叫内部控制审计,但是两者的差别还是比较明显:前者是企业内部控制规范体系的要求,本质上是内部控制的外部审计评价;后者是企业内部审计工作的一部分,本质上是企业自身对内部控制进行的内部审计评价。为便于表达,笔者将前者称为企业内部控制的外部审计,将后者称为企业内部控制的内部审计。
企业家们由此产生的又一个问题:内部控制评价、内部控制内部审计同为企业对自身内部控制进行的自我评价,应如何看待两者关系并组织实施?笔者认为,从制度规范的角度来看,内部控制评价和内部控制内部审计之间的关系,实际上就是内部控制与内部审计的关系。企业根据具体情况协调组织安排内部控制工作和内部审计工作,然后根据内部控制规范和内部审计准则的要求分别做出评价即可。不过,由于两者都是企业对内部控制进行的自我评价,评价主体、对象、采用的方法、评价的用途大同小异,在技术上可以相互借鉴。
五、内部控制、内部审计的组织实施
内部审计、内部监督、内部控制审计与内部控制评价等几项工作的组织实施,归根结底是内部控制和内部审计的实施。如何看待并处理好内部控制、内部审计的组织工作,既是企业面临的现实问题,也是无法回避的理论问题。
文献对于内部控制与内部审计的关系有不同看法:第一种观点是,认为两者是相互交织、相辅相成共同构成的一个系统,而且不存在谁主谁次、谁包含谁的问题。如,田彦霞在《对内部控制与内部审计关系的探讨》中提出,内部审计是内部控制的重要组成部分,内部审计又是对内部控制的控制,二者相辅相成,缺一不可。张先治、孙文刚在《论内部审计与管理控制的协调》中提出,内部审计与管理控制通过相互的推动作用已经耦合在一起。第二种观点是,内部审计是内部控制的一部分。如,胡以亮在《构建以内部审计为核心的内部控制框架体系》中,用北京市燃气集团构建的以内部审计为核心的内部控制框架为例,论证了应该将内部审计作为内部控制的核心观点。陈文铭在《企业的内部控制与内部审计相关问题探讨》中,将整个内部控制体系划分为三个相对独立的控制层次,第一个层次是经济业务发生部门严格按照企业内部设计的程序,相互牵制开展业务活动;第二个层次是财务部门在事后建立起第二道监控防线;第三个层次是内部审计部门要建立起以查为主的监督防线,也是监督要素中的最高层次。第三种观点是,内部控制是内部审计的一部分对象和内容。唐兆珍、何旭平在《内部审计和内部控制关系探微》中提出,内部控制是内部审计的主要产品和对象,主要依据是,国际内部审计师协会、中国内部审计协会都是将对内部控制的审计作为内部审计的一部分工作内容。第四种观点是,内部控制和内部审计是具有内在联系的两个独立体系。如,王华在《试论内部审计与内部控制体系的关系》中提出,两者之间既相互联系、又相互区别,既相互作用、又各自独立存在。
笔者认为,上述四种观点都有其合理性,实际工作中也都存在这四种做法。但是,应该注意到,内部控制、内部审计都是一个动态的、发展的、开放的概念;内部控制和内部审计的发展历史表明,两者无论是理论和实践中,还是内容和形式上,都经历了由简到繁、由单一到完善的发展过程。按照目前主流的表述,两者都将促进企业(组织)目标的实现作为自己的目标(或者目标之一),对于组织而言,这就是终极目标和最高追求;两者采用的方法并不存在绝对的边界和特殊范畴,而是都处于不断借鉴、吸纳、丰富和完善过程中。因此,从目前的情况看,企业在内部控制和内部审计的过程中,工作组织非常接近,两者发挥的作用也基本同质,如果已经实施了内部审计,也许稍加改造就能符合内部控制规范的要求;反之,如果有效实施了内部控制规范,很可能只要略微调整,也就达到内部审计工作的效果。
在实际工作中,企业可以在已经开展的内部监督、审计或者其他控制活动的基础上,根据有关方面或者自身需要做出适当完善,就能较好地实施内部控制或者内部审计。如果企业认为有必要同时组建内部审计和内部控制两套系统,也能够承受相关成本,那么也可以设置两个相互独立的机构,分别开展内部审计和内部控制。换一个粗浅的说法,如果实施有效,内部控制和内部审计无需改头换面就能做到对方能做的事。
任何事物都有质的规定性。本质是指事物本身所固有的,相对稳定的,决定着事物性质、面貌和发展的根本属性(审计理论研究课题组,2009)。对于内部控制的本质,目前理论界存在着不同的观点。一种观点认为内部控制的本质是制衡和监督,制衡是各相关的平等的权利义务主体之间的各方相互牵制或制约,监督存在于高层权利者与低层执行者之间,是上层对下层发生地管制行为(谢志华,2009);另一种观点认为内部控制的本质是一种控制机制,其中,刘明辉、张宜霞(2002)把内部控制的本质理解为:为了在取得低交易成本收益的同时弥补企业契约的不完备性,就需要在企业内部存在一个控制机制,来弥补企业契约的不完备性,以保证企业的正常运作和发展;丁友刚、胡兴国(2007)把风险控制分为外部控制和内部控制,他们认为内部控制本质上是组织的内部风险控制机制。内部控制的本质到底是什么?这是一个值得探讨的问题。鉴于此,本文将以内部控制理论的演进为视角,通过分析内部控制目标的演变,来探讨内部控制的本质。
二、内部控制理论演进
内部控制源于企业管理中的内部牵制思想,内部控制理论的发展先后经历了内部牵制、内部控制制度、内部控制结构、内部控制整合框架和企业风险管理整合框架五个阶段。
第一,内部牵制阶段。15世纪,资本主义得到了初步发展,为了满足经营管理的需要,复式记账法开始在企业财务中被采用,并随着经济的发展逐步发展起来。复式记账法的基本原理是利用账目之间的勾稽关系进行交互核对,以实现对管理钱、财、物等不同岗位的分离,自此,内部牵制思想开始应用到企业管理中。在内部牵制阶段,由于企业经营规模比较小,组织结构比较简单,企业风险主要体现在实物资产的安全性方面。而内部牵制本身就是一种风险控制措施,其目的是通过不同岗位之间的相互牵制,来提高实物资产的安全性。在内部牵制阶段,内部控制的目标是彼此牵制,纠错和防止舞弊,保护财产的安全性,很明显,降低实物资产的失窃风险是该阶段的基本目标。
第二,内部控制制度阶段。随着经济的发展,企业经营规模不断扩大,组织内部结构越来越复杂。为了适应企业经营管理的需求,理论界对内部控制展开了持续深入的研究,内部控制理论得到了突飞猛进的发展。1953年10月,美国注册会计师协会所属的审计程序委员会颁布了《审计程序说明》第19号,把内部控制分为会计控制和管理控制,标志着内部控制进入了内部控制制度阶段。内部会计控制的目的是确保企业资产的安全性、检查会计数据的准确性和可靠性,内部管理控制的目的则是提高经营效率、督促相关人员遵循既定的管理方针。在内部控制制度阶段,内部控制的目标是会计资料可靠性、经营目标经济性和资产安全性。与内部牵制阶段相比,实物资产风险控制不再是内部控制的最主要目标,财务报告风险控制和经营风险控制逐步纳入到内部控制的视野中。
第三,内部控制结构阶段。随著对内部控制理论研究的不断深入,西方学术界逐步认识到会计控制和管理控制是相互联系、不可分割的,因此在20世纪80年代提出了内部控制结构的概念。1988年,AICPA在第55号审计准则公告《会计报表审计中对内部控制结构的关注》中,用“内部控制结构”的提法替代了“内部控制”,不再区分会计控制和管理控制,并且确立了内部控制结构的三要素,即控制环境、会计系统和控制程序。从“会计控制”与“管理控制”到“内部控制结构”,使内部控制不但在范围和内容方面得到了扩充,更重要的是由政策和程序发展为包含三个构成要素的“结构”,实现了内部控制由零散到系统的转变和发展(贺密柱,2008)。内部控制实现了从企业局部风险控制到企业整体风险控制的转变,同时实物资产风险控制、财务报告风险控制和经营风险控制的理念得到了不断地强化。
第四,内部控制整合框架。20世纪80年代以后,为了防止和揭发舞弊事件,内部控制的研究更加受到重视(李凤鸣、韩晓梅,2001),在90年代美国提出内部控制整体框架思想,各界对内部控制的认知逐步得到统一(吴水澎、陈汉文、邵贤弟,2000)。1992年,COSO公布了《内部控制—整合架构》报告,该报告认为“内部控制是由董事会、管理当局和其他职员实施的一个过程,旨在为达到下列目标提供合理的保证:经营的效果和效率;财务报告的可靠性;法律法规的遵循性”。在风险控制思想认识方面,COSO报告有了进一步发展,它把合规性纳入到风险控制目标之中,并将资产实物风险控制目标融入经营风险控制和报告风险控制目标(丁友刚、胡兴国,2007)。内部控制理论发展到内部控制整合框架阶段,风险控制的主要目标演变为财务报告风险控制、经营风险控制和合规性风险控制,其中,实物资产风险控制目标已经包含在经营风险控制和财务报告风险控制目标之中。
第五,企业风险管理整合框架。2000年以来,发生了一系列令人瞩目的企业财务丑闻和经营失败事件,使投资者、公司员工和其他利益相关者遭受到了巨大的损失,社会各界关注的焦点开始集中在风险管理上,人们对加强企业风险控制的呼声更加强烈。2004年9月,COSO发布了《企业风险管理——整合框架》,该报告将内部控制与风险管理相结合,把内部控制整合框架纳入到企业风险管理整合框架之中。企业风险管理比内部控制更广泛,拓展和细化了内部控制,以便形成一个更全面地关注风险的更加强有力的概念提炼(COSO,方红星等译,2005)。
在企业风险管理整合框架阶段,风险控制从基础层面上升到战略层面,战略风险控制成为内部控制的首要目标,经营风险控制、财务报告风险控制以及合规性风险控制都服从于战略风险控制。风险整合框架的发布,使内部控制从一般意义上风险控制机制扩展至全面风险控制机制,成为企业加强管理、提高经营效率和效果,从而实现战略目标的有力手段(财政部会计司赴美国考察团,2007)。
三、内部控制本质分析
从内部控制思想的起源及其理论演进过程中,可以看出风险控制是内部控制发展的主线。风险控制是内部控制最本源的思想,它是内部控制本身所固有的,相对稳定的,决定着内部控制目标的根本属性。
本质是事物本身所固有的,它深藏于事物之内。将本质的基本含义应用到内部控制领域,就可以对内部控制的本质内涵加以界定。内部控制的本质决定了内部控制的目标,目标是本质的外在体现。内部控制发展到风险管理整合框架阶段,内部控制的目标主要包括可靠性目标、经济性目标、合规性目标、安全性目标和战略性目标,其中战略目标是企业最高层次的目标。内部控制目标的演变,是对内部控制理论的发展重要反映,是内部控制本质的外在体现。从最初的确保实物资产安全,到提高经营效率以及财务报告信息的可靠性,再到保证法律法规的遵循性,以至现阶段对企业战略风险的关注,无不体现出风险控制的理念。因此,内部控制的本质是一种风险控制机制。
风险是影响企业经营管理决策的重要因素,如何关注企业风险,实施有效地风险治理措施,是企业必须面对的重要议题。内部控制是公司内部治理机制的基石,作为一种风险控制机制,内部控制制度的完善与否以及内部控制实施效率的高低,是影响企业风险的重要因素。根据《企业内部控制基本规范》,企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。战略风险是企业最高层面的风险,要对企业风险实施有效的控制,企业必须从战略目标的角度来定义和设计内部控制体系,把内部控制理念贯穿到企业的经营和管理活动当中,建立具有风险导向的内部控制体系。
所谓风险导向的内部控制体系,是指以企业的战略风险为导向,将内部控制思想融入到企业日常活动中,通过寻找经营和管理活动中的漏洞,来识别企业日常活动中的风险点即内部控制的关键控制点,并对其实施特殊的控制措施,进而提高企业的内部控制总体水平,增强企业抵御风险的能力,从根本上化解企业的风险。要建立具有风险导向的内部控制体系,企业应当强化风险意识,树立现代管理理念,把内部控制作为企业风险治理的重要机制,通过实施有效地内部控制来降低企业风险,进而不断提升企业的价值。
参考文献:
[1]财政部会计司赴美国考察团:《美国会计国际趋同、注册会计师监管和内部控制考察报告》,《会计研究》2007年第8期。
[2]丁友刚、胡兴国:《内部控制、风险控制与风险管理——基于组织目标的概念解说与思想演进》,《会计研究》2007年第12期。
[3]COSO著,方红星等译:《企业风险管理——整合框架》,东北财经大学出版社2005年版。
[4]贺密柱:《内部控制理论演进的中外比较及其思考》,《财会通讯》(学术)2008年第2期。
[5]刘明辉、张宜霞:《内部控制的经济学思考》,《会计研究》2002年第8期。
[6]审计理论研究课题组:《审计基本理论比较:前后一贯的理论结构》,立信会计出版社2009年版。
为了提高投资的质量,防范和降低投资的管理风险,切实保障投资者的利益,启鼎创投建立了一套完整的风险控制机制以及风险管理制度。
(一)内部控制的主要内容
1、风险评估
(1)董事会下属的风险控制委员会对公司的内外部风险进行评估;
(2)执行委员会下属的风险管理委员会负责对公司经营管理中的重大突发性事件和重大危机情况进行评估,制定危机处理方案并监督实施;负责对基金投资和运作中的重大问题和重大事项进行风险评估;
(3)各级部门负责对职责范围内的业务所面临的风险进行识别和评估。
2、控制活动
控制活动包括自我控制、职责分离、监察稽核、实物控制、业绩评价、严格授权、资产分离等政策、程序或措施。
控制活动体现为:自我控制以各岗位的目标责任制为基础,是内部控制的第一道防线。在公司内部建立科学、严格的岗位分离制度、授权制度、资产分离制度,在相关部门和相关岗位间建立重要业务处理凭据传递和信息沟通制度,后续部门及岗位对前一部门及岗位负有监督责任,使相互监督制衡机制成为内部控制的第二道防线。充分发挥公司风险控制委员会对各岗位、各部门、各机构、各项业务全面监察稽核作用,建立内部控制的第三道防线。
3、信息与沟通
公司建立双向的信息交流途径,形成了自上而下的信息传播渠道和自下而上的信息呈报渠道。通过建立有效的信息交流渠道,保证了公司员工及各级管理人员可充分了解与其职责相关的信息并及时送达适当的人员进行处理。公司根据组织架构和授权制度,建立了清晰的业务报告系统。
(二)投资风险控制
1、投资研究风险的控制措施:
吸引高素质投资研究人才、金融人才、法律人才,定期进行培训,要求投资研究报告依据详实资料,并尽量进行实地研究等。
2、投资决策风险的控制措施:
(1)设立投资决策委员会,定期召开会议,研究宏观经济形势及市场状况,审核投资组合方案,决定投资原则,控制基金投资风险;
(2)由投资决策委员会确定基金经理的投资权限,即基金经理对单一证券的投资规模超过一定金额时,需经过投资决策委员会批准后方可实施;
一、内部控制报告的概述
内部控制报告(Management Reportingon Internal Control,MRIC,或直接称为Management Reporting)是指管理当局依据内部控制有效性评价的标准对本企业内部控制的设计和执行的有效性进行评估后,将结果提供给外部信息使用者的报告。它主要向社会公众声明企业的内部控制无重大缺失或存在哪些重大缺失等,让社会公众了解企业内部控制的现状。建立有效的内部控制制度是管理当局的责任。但是企业管理当局自身是否应当对本单位的内部控制制度进行评价,提供给注册会计师并包含在报告中提供给外部信息使用者,也就是企业是否应该提供内部控制报告在会计界和实务界引起了广泛的争论。
内部控制报告是管理当局解除受托责任的一种方式。它可以提高企业管理当局内部控制的意识,企业管理当局对内部控制进行评估并对外报告,可以提高企业财务报告的可靠性,在一定程度上减少舞弊的发生。同时,内部控制报告可以向报表使用者提供单纯的财务报告所不能提供的信息,有助于报表使用者进行决策。此外,它在一定程度上也可以减少注册会计师的工作量。基于上述理由,上市公司提供的内部控制报告对于增进企业内部控制,减少财务报告舞弊现象、促进与注册会计师的交流等方面都起着积极的作用,同时也表明了上市公司管理当局对建立内部控制制度、保障公司财产安全的责任和履行。因此,上市公司应当对其内部控制做出报告,以帮助投资者进行决策。
二、内部控制报告的发展概况
从20世纪50年代起,学术研究就表明,财务报告并不是债务和权益投资的全部决策因素,季度会计信息、内部控制、预测信息等逐步成为越来越重要的考虑因素。1953年美国注册会计师协会出版的(注册会计师手册)中提出了一个新建议:“在审计人员对财务报表的意见中.应包括一个对内部控制系统的意见。”这个想法引起了强烈关注。20世纪60年代,《审计程序说明书第49号——内部控制的报告》提到,管理层被赋予了决定在审计报告中是否需要说明内部控制的权利,这使得如果表达对内部控制评价的意见成为一个需要明确的问题。
1978年,美国审计师责任委员会建议管理层应提供报告确认管理层对财务报告的责任,并要求管理层对内部控制系统进行评估。评委员会提出:“此报告应该提供管理层对公司会计系统及其控制的评估,包括对控制系统固有限制及公司对独立审计师认定的重大缺陷所做出的反应和态度。”1980年,《审计准则公告第30——内部会计控制的报告》取代了《审计程序说明书第49号》,《审计准则公告第60号——审计师对关注到的内部控制结构相关事项的传达》出台,该公告要求注册会计师要与审计委员会进行充分沟通,特别在控制环境、会计制度和控制程序中存在的重大缺陷方面。1992年,由美国五家会计协会发起组织的委员会颁布了《内部控制——完整框架》,即“COSO报告”,综合考察内部控制各个方面,特别在内部控制的评估、创新、教育和研究领域,为公司、立法和监管机构提供全新的起点。1993年,美国注册会计师协会颁布了《鉴证业务准则第2号—— 财务报告外的内部控制报告》及《鉴证业务准则第3号——符合性鉴证》,对公司提供内部控制报告及注册会计师对其进行评价并表示意见提供指导1995年美国注册会计师协会发表了《审计准则公告第78号》,接受了COSO报告中对内部控制的定义。
为应对“安然”、“世通”等特大恶性财务丑闻及随后的一系列上市公司财务欺诈事件所造成的美国股市危机,重树投资者对股市的信心,美国国会于2002年7月以绝对多数通过了关于会计和公司治理一揽子改革的《萨班斯法》。其中103条款、302条款、404条款,第一次以法律的形式对财务报告内部控制的有效性提出了明确的规定。这是一个重大的转折点,对内部控制报告提出了更高的要求。
2002年10月,证券交易委员会出具了《萨班斯——奥克斯利法))404、406、407款的披
露要求提案,希望根据《萨班斯——奥克斯利法)404条款的要求,寻求过渡期的做法,并征求意见。2003年3月,美国注册会计师协会又发表了关于财务报告内部控制审计和报告征求意见稿,征求关于根据《萨班斯——奥克斯利法)404条款实施财务报告内部控制审计的意见。2003年6月,证券交易委员会根据征求意见的结果形成最终规范,颁布了《最终规则:管理层对财务报告内部控制的报告和证券交易法定期报告披露的证明》,旨在对管理层内部控制评估及注册会计师事务所的鉴证报告进行规范。半个世纪以来,法律和条例的不断更新和修正告诉我们,内部控制的评价及报告是因实际需要而产生的,是经济健康发展的保证,是对公司经营成果和财务状况的全面、透明的披露和监管。
三、内部控制报告的内容
上市公司的管理当局在对其内部控制进行自我评价后,则可出具报告,向投资者宣布其内部控制不存在重大缺陷或除某些方面外,不存在重大缺陷。内部控制报告应包括:
1、表明管理当局对内部控制的责任。管理当局应在内部控制报告中明确声明建立、健全、实施和维护企业的内部控制制度是管理当局的责任,内部控制的目标在于合理保证财务报告的可靠性、经营的效果和效率,符合适用的法律、法规。
2、企业已经确定内部控制的设计和实施是否有效的标准,并按照标准设计并颁布实施内部控制制度。如宣布“本公司已根据《内部控制基本规范》规定的原则、标准,制定并颁布实施内部控制制度”。内部控制可分为会计控制和管理控制,前者的目的是保护企业资产,检查会计数据的准确性和可靠性,后者的目的是提高经营效率,促使有关人员遵守既定的管理方针。我国目前只制定了内部会计控制规范。但是,由于内部会计控制和内部管理控制很难绝对地划清界限,所以,内部控制报告的范围不能仅仅局限于内部会计控制,还应包括内部管理控制。因此,在内部控制报告中不仅应指出建立内部会计控制制度,还应包括有无有效的内部管理控制制度,但这应建立在成本效益和重要性原则之上。
3、声明本公司已按有关标准、程序对本企业的内部控制的设计和执行的有效性进行了评估,发现无重大缺陷。如果发现重大缺陷,应指出该缺陷。
4、声明公司内部控制有效,不会发生对公司财务报告的可靠性和对公司财产的安全、完整有重大不利影响的情况。如发现某些缺陷,应指出这些缺陷,并声明,相信除上述情况外,公司内部控制有效。
5、承认内部控制具有固有限制。存在由于错误或舞弊而导致错报发生和未被发现的可能性,因此,只能对财务报告的编制及企业资产的安全和完整提供合理保证。并且,随着环境和情况的变化内部控制制度的有效性可能发生变化,对内部控制制度的遵循程度可能会降低。根据内部控制制度评价结果推测未来内部控制有效性具有一定风险。
6、管理层签名,包括董事长、总经理、财务总监等,以表示对内部控制和控制报告负责。
四、内部控制报告的作用
1、内部控制报告可以提高管理当局内部控制的意识,从而重视企业内部控制。内部控制报告必须由总经理和财务总监签名。总经理签名将提高其对财务报告和内部控制的责任感,类似地,财务总监的签名将强调他们对财务报告的作用和责任。
2、内部控制报告表明了企业高级管理人员对内部控制的义务,从而传递出企业控制环境的信号。控制环境是内部控制的一项重要要素,对财务报告的可靠性有着极其重大影响。是否提供内部控制报告在一定程度上反映了管理当局对内部控制的重视程度,也反映了其管理哲学。
3、内部控制报告是管理当局解脱受托责任的一种方式。内部控制报告的目的在于表明企业的内部控制是否有效。资源提供者将资源提供给企业,交由经理人员进行经营管理。管理当局必须尽心尽责地完成受托责任,保护资产安全完整,并向资源提供者提供财务报告以
反映受托责任的履行情况。管理当局应对内部控制负责,如果企业没有健全的内部控制制度或内部控制制度失败,导致财务报告虚假而对投资者形成误导,将承担责任。因此,建立完善的内部控制制度并保证其有效执行,是管理当局的责任。通过对内部控制制度的评估并将结果报告给投资者,实际上是向投资者表明已经履行管理职责。
4、内部控制报告可以向外部使用者提供单纯的财务报告所不能提供的信息,从而帮助用户作出决策。通过内部控制报告,用户可在一定程度上了解企业管理控制是否有效。如果企业有着良好的控制制度,则企业的经营有序而有效,能够防范经营活动中的风险。巴林银行就是因缺乏有效的内部控制制度而因一个交易员的失误倒闭。
5、可以提高企业财务报告的可靠性,在一定程度上减少舞弊的发生。一方面,在内部控制报告中,管理当局应对内部控制的设计和执行是否有效作出评价,并表明其对财务报告和资产的安全完整无重大不利影响,这实际上表明了管理当局的一种合理保证,因此,可在一定程度上减少舞弊的可能性。另一方面,通过自我评估,可发现企业内部控制中存在的问题,因此可改善企业的内部控制。
五、内部控制报告的意义
1.可以更好的满足投资者的信息需求
目前,我国上市公司的信息披露,主要是依靠经过注册会计师审计过的向社会公布的资产负债表、损益表和现金流量表等会计报表。但是,披露的这些信息仅仅是财务会计信息,对于在证券市场久经磨练的逐渐成熟的投资者来讲,都越来越不能满足他们的要求,他们需要了解公司更多的信息,特别是公司内部控制的信息。对于上市公司来讲,除了披露几经审计的会计报表外,还必须披露公司的内部控制情况。
2.可以促进管理当局更加重视企业的内部控制
建立一套完善并有效执行的内部控制制度是管理当局的职责,如果企业没有健全的内部控制制度或内部控制制度失效,导致财务报告虚假而对投资者形成误导,或企业的资产受到损失,将承担民事或刑事责任。也正因为如此,管理当局出于减轻自身责任及企业长远利益的考虑,不得不在审计人员的协助下真正关注内部控制的缺陷,实实在在的不断健全与完善自身的内部控制。
3.可以在一定程度上减少公司舞弊的发生
公司对外提供内部控制报告,一方面,管理当局应对企业的内部控制制度的设计和执行是否有效做出评估,并表明其对财务报告和资产的安全完整无重大不利影响,这实际上表明了管理当局的一种(合理)保证,因此,可以在一定程度上减少舞弊的可能性。另一方面,通过自我评估,可以发现企业内部控制中存在的问题,并采取相应措施,因此,可以改善企业的内部控制。
4.可以在一定程度上减少注册会计师的工作量
1、目前国内建立胜任力模型的方法不包括(C)
A. 演绎法B.归纳法C.分析法D.限定选项法
2.审计委员会肩负三大职责不包括:(D)
B. A监督财务报告 B保证审计质量 C评价内部控制 D审议批准董事会的报告
3.(A)是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。A.内部控制B.内部管理C.内部监督D.内部会计控制
4、胜任力是指对个人和公司绩效至关重要的,可辅导的,可观察的,可衡量的行为方式表现出来的组合是(C)的合成本.A知识,技能 B知识,品质,行为 C 知识,技能,品质 D技能,业绩,行为
5、下列选项中不属于内部环境要素的是(C)
A风险管理理念B董事会C股东会D风险偏好
6、企业的行业环境不包括以上哪个方面?(A)
A经济因素 B政府 C信贷机构 D雇员与工会
7、企业组织结构设计应遵循哪些原则。包括精简高效原则,经营目标原则,管理幅度适当原则,稳定与调整相结合原则,还有(A)
A.权,责,利一致原则B.系统规划原则C.分布投入原则D.逐步实施原则
8、下列有关内部环境的说法中错误的是(C)。
A.企业文化包含四个要素:制度文化、物质文化、行为文化、精神文化。这四者相互影响、相互作用,共同构成企业文化的完整体系
B.员工素质控制包括企业在招聘、培训、考核、晋升与奖励等方面对员工素质的控制
C.内部环境包含组织基调,具体内容包括:治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等
D.内部控制是内部审计控制的一种特殊形式,其范围主要包括财务会计、管理会计和内部控制检查
9、美国注册会计师协会于(B)发布的《审计准则公告第55号》中第一次提出了控制环境的概念,并指出控制环境是内部控制的三大素之一。
A、1987年4月
B、1988年5月
C、1988年7月
D、1989年6月
10、下面那些职责是属于技术总监监管的部门的(D)?
A市场部
B行政部
C人力资源部
D生产部
11、管理层对企业财务职能的态度,对选择会计准则的方式能够反映出管理人员的(D)和经营风格。
a.财务管理b。管理哲学c.资产安全管理d.内部控制
12、SOX法案规定,若因不当行为而被要求重编会计报表,则公司CEO与CFO应偿还公司(B)个月从公司收到的所有奖金、红利或其他奖金性或有权益性酬金以及通过买卖该公司证券而实现的收益。
A、6B、12C、24D、4813、()是组织结构设计的一个重要的原则,也是公司组织得以存在与发展的根本原因。
A、经营目标原则B、管理幅度适当原则
C、精简高效原则D、稳定与调整相结合原则答案:C14、胜任力模型的方法中(A)所建立的胜任力模型往往较难反映组织对未来的胜任力要求,比较适合组织发展处于比较高水平阶段的情境。
A、归纳法B、演绎法C、限定选项法D、分析法
15、业对高层干预及越权行为采取的控制措施不包括(B)
A 企业明确规定管理人员违反公司规定,进行越权行为,损害公司利益
B 企业明确高层不应该进行干预控制情形,并对干预,越权行为进行记录
C 企业执行详细的职责描述,权限指引,帮助各层管理人员及员工根据规定及程序开展工
作
D 企业鼓励管理人员及员工对获知的越权,违规行为进行举报。
16、(A)是企业风险管理体系的基础,它影响、制约着企业内部控制的建立与执行。
A. 内部环境 B风险评估C.控制措施D监督检查
17、(C)要求单位按照不相容职务相互分离的原则,合理设计会计及相关工作岗位,明确职责权限,形成相互制衡机制。
A.授权批准控制 B.会计系统控制 C.组织结构控制 D.内部报告控制
18、内部控制三个要素中不包括的是(C)
A.控制环境b.会计制造c.风险偏好d.控制程序
19、下面哪个工作岗位的成员是由总经理直接管理的?(C)
A市场总监B技术总监C财务总监D行政总监
20、实践中如何组建有效的董事会()
A.完善董事人选的选举和产生制度
B.弱化大股东对董事会的控制
C.设立董事会决策与监督的支持机构
D.杜绝高层管理人员交叉任职
21、下列关于会计内部监督基本要求的表述,错误的是(B)。
A、会计机构、会计人员对违反本法和国家统一的会计制度规定的会计事项,有权拒绝办理或者按照职权予以纠正
B、会计机构、会计人员发现会计账簿与实物、款项及有关资料不相符的,应当立即向单位负责人报告,请示查明原因,作出处理
C、任何单位和个人对违反《会计法》和国家统一的会计制度规定的行为,有权检举
D、各单位应当建立、建全内部会计监督制度
22、目前国内建立胜任力模型的方法只要有哪些()
A.归纳法
B.演绎法
C.限定选项法
D.识别法
23、企业组织结构设计应遵循哪些原则()
A.精简高效原则
B.权、责、利一致原则
C.经营目标原则
D.管理幅度是的原则
E.稳定与调整相结合原则
24、企业的人力资源政策至少包括几个内容()
A.员工的聘退与培训
B.员工的薪酬、考核、晋升与奖惩
C.财会等关键岗位员工的轮岗制衡要求
D.对掌握重要商业秘密或核心技术等关键岗位员工离岗的限制
性规定
25、操守和价值观如何在内部控制中发挥作用?
A建立高层案例人员的职业道德规范
B建立员工职业道德规范
C对员工遵守职业道德规范情况进行监督
D对管理层干预和越权行为的控制
答案{ABC}
26、人力资源危机一般属于管理失控状态下的危机,主要有三种类型:企业文化危机,人力资源过剩危机,还有()
A 计算机技术危机.B.人力资源短缺危机C.天灾人祸D.诉讼危机
27、企业组织结构设计应遵循的原则不包括(C)
A.权、责、利一致原则B.经营目标原则C.统一规划原则D.精简高效原则
28、企业组织结构设计应遵循的原则不包括(C)
A.权、责、利一致原则B.经营目标原则C.统一规划原则D.精简高效原则
29、目前国内建立胜任力模型的方法有:归纳法,演绎法,(A)
A。限定选项法B逻辑推导法
C审计法D假设法
30、下列不属于目前国内建立胜任力模型的主要方法是(B)
1、A.归纳法B.总结法C.演绎法D.限定选项法
31、(A)是指个人的特质,如天分、才智或理念,可以通过教授或学习来获取,同时也可以改善。
A.品质B.知识C性格D技能
32、下面哪个是内部环境要素?(C)
A 风险偏好 B 控制活动 C 控制措施 D 管理层影响
33、以下对本企业内部控制的建立健全和有效实施负责的事(B)
A经理B董事长C总会计师D总裁
34、以下是公司组织得以存在与发展的根本原因(C)
A经营目标原则B管理幅度适当原则C精简高效原则D稳定与调整相结合原则
35、通过内部审计职能,监察企业的财务风险及经营风险是以下哪一职责(D)A监督财务报告B保证审计质量C领导内部审计D评价内部控制
36、目前企业最常见的人力资源危机是(A)
A企业文化危机B人力资源过剩危机C人力资源短缺危机D企业技术危机
37、以下目前国内建立胜任力模型的方法不包括(D)
A.归纳法
B.演绎法
C.限定选项法
D.识别法38、1、(A)对本企业内部控制的建立健全和有效实施负责。
A、董事长B、经理C、总会计师D、审计委员会
39、以下选项中不属于董事会的职责的是(B)。
A 决定公司内部管理机构的设置。
B 对公司薪酬制度执行情况进行监督。
C 制定公司的利润分配方案和弥补亏损方案。
D 决定公司的经营计划和投资方案。
40、.下面属于采购与验收的控制(A).
A.采购控制
B.付款控制
C.销售控制
财政部等五部委联合发布的于2009年7月1日实施的《企业内部控制基本规范》(以下称《规范》),将内部控制目标界定为"合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。"显然这是对持续经营企业内部控制的规范,而企业破产清算的内部控制制度建设是值得我们深入研究的一个新领域。
破产清算内部控制制度,首先要解决的是其内控制度的制定主体,实施主体和监督主体。
《规范》规定,"企业应当根据有关法律法规、本规范及其配套办法,制定本企业的内部控制制度并组织实施。""董事会、监事会、经理层和全体员工是内部控制制度的实施主体""国务院有关部门可以根据法律法规、本规范及其配套办法,明确贯彻实施本规范的具体要求,对企业建立与实施内部控制的情况进行监督检查。”而破产清算中,破产企业已经移交给组织破产清算工作的管理人,破产企业原有的相关机构已经失去功能,有关破产清算内部控制的相关主体问题需要我们重新思考和设计。
破产法规定,人民法院受理破产清算申请的同时应指定管理人,人民法院应当自破产清算裁定作做出之日起五日内将该裁定送达债务人(此时称为破产人)和管理人.十日内通知已知债权人并予以公告,自债权申报期限届满之日起十五日内人民法院应召集第一次债权人会议.债权人会议可以决定设立9人以下的债权人委员会。可见,破产清算的直接关系人主要包括人民法院、管理人、破产人、债权人(债权人会议及债权人委员会)等四个方面。此外还涉及到破产企业的出资人、企业的职工、国家税收等政府部门。其中,管理人在人民法院主导下负责具体清算事务.向人民法院报告工作;破产人的法定代表人、企业财务管理人员和其他经营管理人员.应配合管理人的工作.妥善保管其占有和管理的财产.印章和账簿、文书等资料,根据人民法院、管理人的要求进行工作,并如实回答询问,列席债权人会议并如实回答债权人的询问,未经人民法院许可不得离开住所地:债权人要在规定期限内向管理人申报债权,债权人团体(债权人会议和债权人委员会)讨论表决管理人提出的破产财产变价方案和分配方案,监督管理人的清算工作;人民法院负责裁决有争议的债权申报,监督破产人的破产清算配合情况等。此时,破产人失去对企业的控制权,作为正常企业外部人的债权人已经变为破产清算期间的内部人.成为破产清算治理结构的重要组成部分。
关于破产清算内部控制制度的制定主体。人民法院只是履行法律程序的审判机关.不具有商业判断的功能;破产人失去企业的控制权,无权成为其制定主体;债权人作为破产财产分配的受益人.也不适于充当该主体,破产企业的出资人此时也只能是处于"观战"状态,无权具体插手破产清算事宜。因此,由管理人作为破产清算内部控制制度的制定主体较为合理。
关于破产清算内部控制制度的实施主体。在破产清算中,除了管理人以外.还涉及到破产人、债权人,管理人内部还涉及到财产管理组、劳动人事组、主张权利组、财务管理组.债权审查组、破产程序组、综合协调组等机构和人员设置。因此,破产清算内部控制制度的实施主体应该是管理人、破产人、债权人等多重关系人。
关于破产清算内部控制制度的监督主体。债权人是破产清算工作中重要的监督主体,管理人应该向人民法院报告清算工作,职工、政府相关部门在清算工作中也存在重要的经济利益。因此这里既包括由债权人,职工为主的内部监督和人民法院、政府部门为主的外部监督.也包括对破产清算内部控制制度实施情况的日常监督.专项监督。
当然,破产清算内部控制制度的建设也是一个系统工程,除了上述问题外,还有破产清算内控制度与破产法的关系、破产清算内部控制理论、破产清算内部控制制度的框架、破产清算内控流程、破产清算内控绩效的评价与鉴证等方面的问题值得我们研究。
[摘 要] 长期以来,由于内部控制理论的发展基本上得益于审计界的推动,内部控制理论虽然得到了很大的发展,但是在一定程度上也加深了人们对内部控制的误解,笔者通过分析内部控制的发展历程来阐述现代内部控制理论的局限,认为应当重新认识内部控制,把内部控制提升到治理控制层面上来,内部控制是治理控制的实现方式之一。
[关键词] 内部控制 治理控制 市场机制
一、内部控制理论的局限性
1949年美国会计师协会所属审计程序委员会在其专门报告《内部控制:协调制度的要素及其对管理和独立公共会计师的重要性》中首先对内部控制下了一个被公认为比较权威的定义:“内部控制包括组织的计划和企业为了保护资产,检查会计数据的准确性和可靠性,提高经营效率,以及促使遵循既定的管理方针所采用的所有方法和措施。”该报告基本上是从企业经营效率管理角度来对内部控制进行定义的。
显然,对于审计师来说这一定义显得过于广泛,超出了审计人员评价被审单位内部控制所应承担的责任,因此很快,AICPA所属的审计程序委员会1953年10月颁布了《审计程序说明》第19号,把内部控制分为会计控制和管理控制:会计控制“由组织计划和所有保护资产、保护会计记录可靠性或与此相关的方法和程序构成”,而管理控制则由“组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接相关的方法和程序构成”。
1988年的第55号审计准则公报《会计报表审计中对内部控制结构的关注》中用“内部控制结构”取代了“内部控制”,不再区分会计控制和管理控制,内部控制理论发展由此进入内部控制结构阶段。1992年COSO委员会提出的《内部控制—政体框架》被认为是最新的、最完善、最权威的内部控制理论。该报告认为“内部控制是受董事会、管理当局和其他职员的影响,旨在取得经营效果和效率、财务报告的可靠性、遵循适当的法律等目标而提供合理保证的一种过程。”该报告认为内部控制是企业经营过程的一部分,与经营过程结合在一起,并监督企业经营过程的持续进行。内部控制只是管理的一种工具,并不能取代管理。
该框架可以认为是平衡各方利益的一种折中的结果,内部控制不再仅仅局限于审计目的,把经营效果和效率作为内部控制的三大目标之一,充分考虑了管理者的需求,糅合了管理和控制之间的界限,强调了内部控制应该与企业的经营过程相结合。然而该框架依然没有考虑企业所有者对企业经营权的有效控制问题,作为所有者的股东被排除在内部控制主体之外。
二、重新认识内部控制
将内部控制束缚于会计与审计领域的研究方式,与内部控制所应有的本质要求不符,因此,有必要把内部控制从会计与审计的束缚中解放出来,恢复其本来面目,从更广阔的社会、经济、文化环境中,去研究内部控制的理论与实务问题。
COSO风险管理框架将内部控制释放到风险管理的广阔空间去寻求发挥作用的天地,更有了要把内部控制带出会计与审计羁绊的意向。风险管理框架下的内部控制观,不但大大地突破了注册会计师的工作视野,更重要的是向注册会计师审计内部控制,从观念、理论、方法及责任等方面,均提出了一系列挑战。而1998年美国出版的由Steven·J·Root所著的《超越COSO——强化公司治理的内部控制》一书,作者在书的开头就宣称:对内部控制研究必须更多地关注公司治理和业绩,需要一种比COSO框架更广泛的方法,提出要从“内部”和“控制”两个角度去重新认识内部控制。
我们认为,内部控制本质上是一种控制机制,它是和外部市场机制相对应的一个概念,“内部”和“外部”都是相对于组织(主要是指企业组织)而言的,在现代企业中,商务流程经常超越法人的界限,企业组织与市场之间、企业与企业之间难以划分出明显的界限。因而我们在理解内部控制时,也应将重点放在“控制”上。内部控制机制与外部市场机制的主要区别不在于是组织“内部”还是组织“外部”,而在于控制活动是通过市场机制间接施加影响,还是通过组织控制手段直接施加影响。
三、内部控制是治理控制的实现方式之一
公司治理结构是现代企业发展的产物,其根源于由于所有权与经营权分离所产生的“委托——代理”问题。代理人具有“道德风险”、“规避”、“搭便车”等驱动和行为。为了确保委托人的权益不被侵害和滥用,两者的契约关系需要制度上的相应安排,这种制度安排中相互作用相互制约的机制即为治理控制。治理控制的核心问题就是如何实现对企业管理者的选择、监控和激励。
如果我们对COSO整体框架提出者所处的市场环境略做探讨,就不难理解为何企业所有者以及其他利益相关者都不是COSO框架所认为的内部控制主体。美国的股东是高度分散的,而且依托一个庞大的資本市场,具有较强的流动性;董事会多是由外部人员或独立董事组成,并没有实际的股东背景。因此,作为所有者的股东很难对管理者实施直接的约束和控制,持股人只能通过“用脚投票”的方式,通过股票价格的变动来间接约束管理者,从而实现股东、董事会与经理班子之间的制衡。
综上所述,内部控制实质是和外部控制(市场机制)相对的一个概念。在所有权与经营权分离之前,股东和股东会直接实施内部控制,此时不存在公司治理的问题;两权分离产生了委托代理问题,所有者如何实现对经营者的监督和控制便成为公司治理的核心问题。依据现实的市场实践来看,所有者实现对经营权的控制机制主要有内部控制机制和市场机制两种。内部控制是治理控制的实现机制之一。在不同的市场背景下,市场机制和内部控制机制所发挥作用的空间不尽相同,从现实情况来看,“英美模式”和“德日模式”虽然治理控制的实现方式不同,但是均可以较好的实现对经营者的监督。
参考文献:
[1]秦晓:组织控制、市场控制:公司治理结构的模式选择和制度安排.管理世界,2003. 4:1~8
【内部控制论文】推荐阅读:
内部控制小论文05-26
内部控制研究论文自动控制原理论文06-04
企业内部会计控制研究论文12-15
公司内部控制优化研究论文11-14
酒店业内部控制现状分析论文02-05
国有施工企业成本的内部会计控制研究论文11-12
内部控制中的内部监督01-14
内部控制制度流程09-27
银行内部控制总结10-15
