2.2 原文讲解
《企业内部控制基本规范》的总则(以下简称《总则》)共10条,明确了基本规范的制定依据、适用范围以及企业实施内部控制的目标、原则和五要素等内容,同时也指出了应依据的相关法律法规的规定。
2.2.1 基本规范的宗旨和制定依据
基本规范的宗旨是加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益。
基本规范的制定依据是《中华人民共和国公司法》《中华人民共和国证券法》《中华人民共和国会计法》和其他有关法律法规。
2.2.2 基本规范的适用范围
基本规范适用于中华人民共和国境内设立的大中型企业,小企业和其他单位可以参照本规范建立与实施内部控制。
2.2.2.1 企业的划分标准
2017年6月30日,《国民经济行业分类》(GB/T 4754-2017)正式颁布。2017年8月29日,国家统计局印发《关于执行新国民经济行业分类国家标准的通知》(国统字〔2017〕142号),规定从2017年统计年报和2018年定期统计报表起统一使用新分类标准。具体标准如表2-2所示。
表2-2 统计上大中小微型企业划分标准
2.2.2.2 小企业的划分标准
根据《中华人民共和国所得税法实施条例》,小型微利企业(即小企业)是指从事国家非限制和禁止行业,并符合下列条件的企业:(1)工业企业,年度应纳税所得额不超过30万元,从业人数不超过100人,资产总额不超过3000万元;(2)其他企业,年度应纳税所得额不超过30万元,从业人数不超过80人,资产总额不超过1000万元。
2.2.3 内部控制的意义
基本规范的第一条阐明了制定与实施内部控制规范的意义。一是加强和规范企业内部控制的需要。一般而言,各类存续企业大都建立了相应的管理制度,但是需要根据内部控制规范要求,对原有制度进行修改、完善和提升;新建企业更需要依据内部控制规范,构建企业内部控制和管理控制的流程。二是有助于全面提升企业经营管理水平和风险防范能力,促进企业可持续发展。全面提升企业经营管理水平和风险防范能力是内部控制的核心问题,尤其是在当前我国应对国际金融危机、加快转变经济发展方式的时代背景下,内部控制规范体系对于提升企业核心竞争力,促进企业在后金融危机时期(2008年至2010年,已结束)可持续发展,具有特别重要的现实意义和深远的历史意义。三是有利于维护社会主义市场经济秩序和社会公众利益。企业尤其是上市公司是创造社会财富的市场经济主体和宏观经济细胞。在调整产业结构、转变发展方式、提升发展质量、维护市场经济秩序和社会公众利益等方面,企业起着至关重要的作用。广大企业也只有不断加强内部控制,才能实现维护市场经济秩序和社会公众利益的目标。
2.2.4 内部控制的定义和目标
基本规范的第三条明确指出,内部控制是由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
首先,这一定义强调了企业领导者尤其是董事会、监事会和经理层在建立与实施内部控制中的重要作用。如果企业领导者对于内部控制没有足够的认识和高度的重视,内部控制就难以得到有效实施。其次,这一定义明确了内部控制是全体员工的共同责任。企业的各级管理层和全体员工都应该树立现代管理理念、强化风险意识,以主人翁的姿态积极参与内部控制的建立与实施,并主动承担相应的责任,而不是被动地遵守内部控制的相关规定。最后,这一定义指明了内部控制是一个过程。内部控制是对企业生产经营过程的控制,也是对企业实现发展目标过程的控制。同时,内部控制又是一个不断优化的过程,只有起点,没有终点,要求企业必须坚持不懈、持之以恒地完善自身。
基本规范的第三条第二款规定了内部控制的目标为5个方面。一是合理保证企业经营管理合法合规;二是维护资产安全;三是保证财务报告及相关信息真实完整;四是提高经营管理效率和效果;五是促进企业实现发展战略。
企业经营合法合规强调的是企业要在法律允许的经营范围内开展经营活动,严禁违法经营、非法获利。
资产安全主要是防止资产流失。要确保企业各项存款等货币资金的安全,防止其被挪用、转移、侵占、盗窃。同时还要保护实物资产,防止低价出售,要充分发挥资产效能,提高资产管理水平。
财务报告及相关信息反映了企业的经营业绩,乃至企业的价值增值过程。财务报告反映企业的过去与现状,并可用于预测企业的未来发展,是投资人进行投资决策、债权人进行信贷决策、管理者进行管理决策和宏观经济调控部门进行政策决策的重要依据。同时,财务报告作为社会公共产品,其真实性和完整性反映了企业履行的社会责任。
提高经营效率和效果是企业内部控制的重要目标。企业建立和实施内部控制的内在要求之一是相互制衡、相互监督。这一要求看似与提高经营效率和效果相矛盾,实际上是协调一致的。忽视内部控制的经营管理,将导致重大风险的产生,可能造成企业难以为继,最终降低经营的效率和效果。因此,企业必须正确认识和处理强化内部控制与提高经营效率和效果的关系。
促进企业实现发展战略是内部控制的最高目标,也是终极目标。企业只要在内部控制上下功夫,切实保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、经营效率和效果稳步提高,就能提高核心竞争力,促进发展战略的实现。
在上述5个控制目标中,企业经营管理合法合规、资产安全、财务报告及相关信息真实完整是内部控制的基础目标。我国早期的内部控制是从基础目标开始的。在现代市场经济条件下,建立现代企业制度,促进企业长远发展,不仅要求企业必须围绕这3个基础目标真抓实干,而且企业必须在提高经营效率和效果上更上一层楼,最终才能促进企业实现发展战略。
2.2.5 内部控制的原则
内部控制的原则是企业建立与实施内部控制应当遵循的基本准则。企业建立与实施内部控制应当遵循5项原则,即全面性、重要性、制衡性、适应性和成本效益原则。
2.2.5.1 全面性原则
全面性原则有两层意思。一是全过程控制。全过程控制要求内部控制不留空白和漏洞,即对企业整个经营管理活动过程进行全面的控制。它包括被企业管理部门用于授权与指导及购货、生产等经营管理活动的各种方式,也包括核算、审核、分析各种信息及进行报告的程序与步骤等。因此,企业应针对人、财、物、信息等要素及各个业务活动领域制定全面的控制制度。二是全员控制,即对企业全体员工进行控制。企业的每一位员工既是施控主体,又是受控客体,企业应保证每一位员工,包括高层管理人员及基层执行操作人员都受到相应的控制。贯彻全面性原则可以保证企业生产经营活动的有序进行。全面性原则是建立内部控制制度的重要基本原则之一,因为在实际工作中一个细节的疏忽就可能导致企业整个经营活动的失败。
2.2.5.2 重要性原则
重要性原则要求企业关注重要业务与事项、高风险领域,特别是容易出漏洞、造成重大损失的关键控制点和容易出现舞弊行为的关键岗位。
内部控制不但应当涵盖企业内部涉及会计工作的各项业务及相关岗位,还应对业务处理过程中的关键控制点以及关键岗位进行特别防范。所谓的关键控制点,是指业务处理过程中容易出现漏洞,且一旦存在差错会给企业带来巨大损失的高风险领域。所谓的关键岗位,是指容易出现舞弊行为的岗位。对于关键控制点和关键岗位,企业应花费更大的成本,采取更严格的控制措施,使企业的内部控制风险降到最低。
2.2.5.3 制衡性原则
所谓制衡,就是创造相互制约的两极或多极,使任何一极都无法单独决定事物发展的全过程和结果。
(1)治理结构的制衡
企业治理结构包括股东(大)会、董事会、监事会和经理层。它们之间应形成权力制衡的关系。企业的股东(大)会享有法律法规和企业章程规定的合法权利,依法行使关于企业经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东(大)会负责,依法行使企业的经营决策权。监事会对股东(大)会负责,监督企业的董事、经理和其他高级管理人员依法履行职责。经理层负责组织实施股东(大)会、董事会的决议事项,主持企业的生产经营管理工作。
(2)内部机构和人员设置及权责分配的制衡
企业内部机构和人员的设置应符合制衡性原则,企业应当确保内部机构、岗位和人员的合理设置及其职责权限的合理划分,坚持不相容职务相互分离,确保不同机构和岗位之间相互制约、相互监督。企业应当根据经营目标、职能划分和管理要求,结合业务特点和内部控制要求设置内部机构,明确各职能部门、分支机构以及基层作业单位的职责权限,将权利与责任落实到各责任单位,为内部控制地有效实施创造良好条件。企业设置内部机构和岗位时,要实现不同机构和岗位之间的制衡。企业在设置人员和对人员进行权责分配时,要实现权力之间的制衡。绝对的集权能够有效地防止错误和舞弊行为的发生,但是没有效率。因此,企业必须将权力分配给相应部门的人员,同时进行权力之间的制衡。比如,将审批、执行、监督、记录等权力分配给各层次的管理者,可以防止权力的滥用。
(3)业务流程的制衡
在企业业务流程方面,企业可以根据业务流程的不同阶段,设置职能不同的岗位,使它们形成稽核或监督关系。这样可以防止错误和舞弊行为的发生,达到业务流程制衡的目的。
2.2.5.4 适应性原则
适应性原则要求企业要随着外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善内部控制。
在市场经济中,每个企业的外部环境都在不断地发生变化。环境的变化不以企业的意志为转移,所以每一个企业要想生存和发展,必须适应外部环境的变化,否则,企业将会失败。适应能力即应变能力,是一个企业生存和发展的重要条件。内部控制的建立和实施应该具有前瞻性,同时,内部控制必须随着国家法律法规、政策、制度等外部环境的改变,以及企业业务职能的调整、管理要求的提高、企业经营战略和经营方针等内部环境的变化,不断地、及时地进行调整和完善。这样才能促进企业管理水平不断提高,使内部控制真正发挥积极作用。
2.2.5.5 成本效益原则
成本效益原则要求企业在实施内部控制时花费的成本和由此产生的经济效益之间要保持适当的比例。内部控制的关键点和控制环节不是越复杂越好,选择关键控制点时,要注意其有效性。
从全面性的角度来说,内部控制的关键点和控制环节越多,采取的措施越复杂,内部控制就越严密,越能够达到防微杜渐的控制效果。但是,企业建立、维护和修订内部控制的制度、程序、措施等,都需要付出一定的代价。内部控制的环节越多,控制措施越复杂,内部控制成本也就越高。
企业在根据成本效益原则建立内部控制时,必须考虑重要性原则,运用科学的、合理的方法选择适宜数量的控制点。因为控制点太多则不经济,太少则会影响内部控制的有效性,所以企业要有目的、有重点地选择控制点。同时,企业还要努力降低内部控制的成本,即在保证内部控制有效性的前提下,尽量精简机构和人员,改进控制方法和手段,减少不必要的程序和手续,避免重复劳动,提高工作效率,节约费用。
企业在实施内部控制时,要用较少的控制成本获得较好的控制效果,保证实施内部控制所花费的代价低于因此而获得的效益,且使用各种内部控制的方法和程序的成本不应超过潜在错误或潜在风险可能造成的损失和浪费。
企业要注意各原则之间的关系,既要体现全面控制,又要注意突出重点,处理好全面性原则与重要性原则的关系;既要相互制约,又要相互适应,不断改进;既要处理好制衡性原则与适用性原则的关系,又要注重成本效益。
【例2-1】甲公司是一个小型车床生产企业。该公司规模较小,仅设有一个销售员。该销售员除了负责销售外,还负责开具账单、记账和收款。如果产品遭到退货,就不再计入存货。当退货产品再次销售时,计入其他收入。甲公司运营部的员工小李认为这样的安排存在问题,但他没有考虑好如何处理。请说明甲公司内部控制的缺陷,并提出改进该公司内部控制的措施。
【分析】甲公司内部控制的缺陷是:第一,仅设有一个销售员;第二,该销售员除了负责销售外,还负责开具账单、记账和收款;第三,公司产品遭到退货,不再计入存货;第四,当退货产品再次销售时,计入其他收入。
该公司内部控制的改进措施:第一,销售工作与财务工作应分开,销售人员负责销售,不得核算财务;第二,会计工作与出纳工作应分开;第三,应建立产品退货管理制度,遭到退货时应填写退货凭证,将产品验收入库;第四,当退货产品再次销售时,应计入主营业务收入。
2.2.6 内部控制的五要素
2.2.6.1 内部环境
内部环境规定企业的纪律与架构,影响经营管理目标的制定,塑造企业文化氛围并影响员工的内部控制意识,是企业建立与实施内部控制的基础。内部环境主要包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
(1)治理结构
企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确董事会、监事会和经理层在决策、执行、监督等方面的职责权限,形成科学、有效的职责分工和制衡机制。
(2)机构设置及权责分配
企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。企业内部机构设置虽然没有统一模式,但企业所采用的组织结构应当有利于提升管理效能,并保证信息通畅流动。
(3)内部审计
企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。
(4)人力资源政策
人力资源政策应当有利于企业可持续发展,一般包括员工的聘用、培训、辞退与辞职,员工的薪酬、考核、晋升与奖惩,关键岗位员工的强制休假制度和定期岗位轮换制度,对掌握国家秘密或重要商业秘密的员工离岗的限制性规定等内容。企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。
(5)企业文化
企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识,增强法制观念。董事、监事、经理及其他高级管理人员应在塑造良好的企业文化建设中发挥关键作用。
【例2-2】HW公司倡导诚信文化,高度重视职业道德修养,严格遵守企业和公民道德相关的法律法规。HW公司制定了员工商业行为准则,明确全体员工(包括高管)在公司商业行为中必须遵守的基本业务行为规范,并组织全员就该准则展开培训与签署遵守同意书,确保员工阅读、了解并遵从员工商业行为准则。HW公司建立了完善的治理架构,包括董事会、董事会下属专业委员会、职能部门以及各级管理团队等,各机构均有清晰的授权与明确的问责机制。在组织架构方面,HW公司将各组织的权力和职责分离,以使其相互监控与制衡。HW公司的首席财务官(Chief Financial Officer, CFO)负责全公司的内部控制管理,业务控制部门向CFO汇报内部控制缺陷和改进情况,协助CFO建设内部控制环境。内部审计部门对公司所有经营活动的控制状况进行独立的监督和评价。
2.2.6.2 风险评估
风险评估是企业及时识别、科学分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略、实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(1)目标设定
风险是指一个潜在事项的发生对目标的实现产生影响的可能性。风险与可能被影响的内部控制目标相关联。企业必须设定与生产、销售、财务等业务相关的目标,设立可辨认、分析和管理相关风险的机制,以了解企业所面临的来自内部和外部的各种不同风险。
(2)风险识别
企业不仅要识别内部风险,还要识别与内部控制目标相关的各类外部风险。企业在识别内部风险时,一般关注:董事、监事、经理及其他高级管理人员的职业操守、专业胜任能力等人力资源因素,组织机构、经营方式、资产管理、业务流程等管理因素,研究开发、技术投入、信息技术运用等自主创新因素,财务状况、经营成果、现金流量等财务因素,营运安全、员工健康、环境保护等安全环保因素。企业在识别外部风险时,一般关注:经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素,法律法规、监管要求等法律因素,安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素,技术进步、工艺改进等科学技术因素,自然灾害、环境状况等自然环境因素。
(3)风险分析
在充分识别各种潜在风险因素后,企业要对固有风险(不采取任何防范措施可能造成的损失程度)进行分析;同时,重点分析剩余风险(采取了相应应对措施之后仍可能造成的损失程度)。企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
(4)风险应对
企业在分析了相关风险的可能性和影响程度后,结合风险承受度,权衡风险与收益,确定风险应对策略。常用的风险应对策略有:风险规避,即放弃或停止相关业务,不承担相应风险;风险承受,即比较风险与收益后,愿意无条件承担全部风险;风险降低,即采取一切措施降低产生不利后果的可能性;风险分担,即通过购买保险、外包业务等方式来分担一部分风险。风险应对策略的选择与企业风险偏好密切相关,为此企业应当合理分析,掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。风险应对策略往往需结合其他措施一起使用。
【例2-3】某集团为了更好地发展,设立了专门的内部控制与风险管理部门,定期开展针对所有业务流程的风险评估,对公司面临的重要风险进行识别、监控与管理,预测外部和内部环境变化对公司造成的潜在风险,并就公司整体的风险管理策略及应对方案提交公司决策。各流程责任人负责识别、评估与管理相关的业务风险并采取相应的内部控制措施。该集团通过建立内部控制与风险问题的改进机制,能够有效管理重大风险。
2.2.6.3 控制活动
控制活动是指企业根据风险应对策略,采取相应的控制措施,将风险控制在可承受度之内,是企业实施内部控制的具体方式。常见的控制措施有:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
(1)不相容职务分离控制
所谓不相容职务,是指那些由一个人担任既可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为的职务。不相容职务一般包括:授权批准与业务经办、业务经办与会计记录,会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等。如果不对不相容的职务实行相互分离的措施,就容易发生舞弊等行为。不相容职务分离的核心是“内部牵制”,因此,企业在设计内部控制系统时,首先应确定哪些岗位和职务是不相容的;其次要明确规定各个机构和岗位的职责权限,使不相容岗位和职务之间能够相互监督、相互制约,形成有效的制衡机制。
(2)授权审批控制
授权审批是指企业在办理各项经济业务时,必须经过规定程序的授权批准。授权审批形式通常有常规授权和特别授权之分。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行授权审批,以规范经济业务的权力、条件和有关责任者,其时效性一般较长。特别授权是企业在特殊情况、特定条件下对办理例外的、非常规性交易事项的权力、条件和责任的应急性授权。企业必须建立授权审批体系,编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。对于重大的业务和事项,企业应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或擅自改变集体决策。
(3)会计系统控制
会计作为一个信息系统,对内能够提供经营管理的诸多信息,对外可以向投资者、债权人等提供用于投资等决策的信息。会计系统控制主要通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等来对其进行控制,其内容主要包括以下8个方面。
①依法设置会计机构,配备会计从业人员,建立会计工作的岗位责任制,对会计人员进行科学合理的分工,使之相互监督和制约。
②按照规定取得和填制原始凭证。
③设计良好的凭证格式。
④对凭证进行连续编号。
⑤规定合理的凭证传递程序。
⑥明确凭证的装订和保管手续责任。
⑦合理设置账户,登记会计账簿,进行复式记账。
⑧按照《中华人民共和国会计法》和国家统一的会计准则制度的要求编制、报送、保管财务会计报告。
(4)财产保护控制
财产是企业资金、财物及民事权利和义务的总和,按是否具有实物形式,分为有形财产(如资金、财物)和无形财产(如著作权、发明权);按所具有民事权利和义务,分为积极财产(如金钱、财物及各种权益)和消极财产(如债务)。保障财产安全特别是资产安全,是内部控制的重要目标之一。财产保护控制的措施主要包括以下3个方面。
①财产记录和实物保管。关键是要妥善保管涉及资产的各种文件资料,避免记录受损、被盗、被毁。对于重要的文件资料,应当留有备份,以便在意外丢失或遭受毁坏时重新恢复。这在计算机处理条件下尤为重要。
②定期盘点和账实核对。它是指定期对实物资产进行盘点,并将盘点结果与会计记录进行比对。盘点结果与会计记录如不一致,说明资产管理上可能出现错误、浪费、损失或其他不正常现象,应当分析原因、查明责任、完善管理制度。
③限制接近。它是指严格限制未经授权的人员对资产的直接接触,只有经过授权批准的人员才能接触该资产。限制接近包括限制对资产本身的直接接触和通过文件批准方式限制对资产使用或分配的间接接触。一般情况下,对于货币资金、有价证券、贵重物品、存货等变现能力强的资产,企业必须限制无关人员的直接接触。
(5)预算控制
预算是企业对未来一定时期内的收入和支出的总体计划。预算控制的内容涵盖了企业经营活动的全过程,企业通过编制预算和检查预算执行情况,可以比较、分析内部各单位未完成预算的原因,并根据未完成预算的不良后果采取改进措施。在实际工作中,预算的编制决策权属于内部管理结构的最高层,由这一权威层次进行决策、指挥和协调。预算确定后,由各预算单位组织实施,并辅之以对等的权、责、利关系,由内部审计等部门负责监督预算的执行。预算控制的主要环节有以下7步。
①确定预算的项目、标准和程序。
②编制和审定预算。
③预算指标的下达和责任人的落实。
④预算执行的授权。
⑤预算执行过程的监控。
⑥预算差异的原因分析和预算调整。
⑦预算业绩的考核和奖惩。
(6)运营分析控制
运营分析是对企业内部各项业务、各类机构的运行情况进行独立分析或综合分析,进而掌握企业运营的效率和效果,为持续的优化调整奠定基础。运营分析控制要求企业建立运营情况分析制度,综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
(7)绩效考评控制
绩效考评是对所属单位及个人占有、使用、管理与配置企业经济资源的效果进行评价。企业董事会及经理层可以根据绩效考评的结果进行有效决策,引导和规范员工行为,促进企业提高经营效率和效果,进而实现发展战略。绩效考评控制主要包括以下5个环节。
①确定绩效考评目标。绩效考评目标应当具有针对性和可操作性。
②设置考核指标体系。考核指标既要有定量指标,以反映评价客体的各种数量特征;又要有定性指标,以说明各项非数量指标的影响。同时,企业应赋予不同的考核指标相应的权重,以体现各项考核指标对绩效考评结果的影响程度和重要程度。
③选择考核评价标准。评价标准是反映评价客体优劣的具体参照物和对比尺度。企业可以根据评价目标选用不同的评价标准,如历史标准、预算标准、行业标准等。
④形成评价结果。根据考核指标和评价标准,企业对全体员工的业绩进行定期考核和客观评价,并在此基础上形成评价结果。
⑤制定奖惩措施。企业应当将绩效考评结果作为确定员工薪酬、晋升、评优、降级、调岗和辞退等的依据。
除上述常见控制措施外,企业还需建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处理程序,确保重大风险或突发事件得到及时妥善处理。
【例2-4】某大型跨国集团建立了全球流程与业务变革管理体系,发布了全球统一的业务流程架构,并基于业务流程架构任命了全球流程责任人以负责流程和内部控制的建设。全球流程责任人针对每个流程设置业务关键控制点和职责分离矩阵,并将其应用于所有子公司和业务单元;组织实施针对关键控制点的月度遵循性测试并发布测试报告,从而持续监督内部控制的有效性;围绕经营痛点、财务报告关键要求等进行流程和内部控制优化,提升运营效率和效益,为财报的准确性、可靠性及企业合规经营提供支撑,帮助企业达成业务目标;每半年进行一次半年度内部控制评估,对流程的整体设计和各业务单元流程执行的有效性进行全面评估,向审计委员会报告评估结果。
2.2.6.4 信息与沟通
信息与沟通是指企业及时、准确地收集、传递与内部控制相关的信息,确保企业内部各组织之间、企业与外部之间进行有效沟通,是实施内部控制的重要条件。信息与沟通的要件主要包括信息质量、沟通制度、信息系统、反舞弊机制。
(1)信息质量
信息是企业各类业务和事项属性的标识,是确保企业经营管理活动顺利开展的基础。企业在日常生产经营中需要收集各种内部信息和外部信息,并对这些信息进行合理筛选、核对、整合,提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道获取内部信息;还可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、客户来信和来访、网络媒体以及有关监管部门等渠道获取外部信息。
(2)沟通制度
信息的价值必须通过传递和使用才能体现。企业应当建立信息沟通制度,使内部控制相关信息在企业内部各管理层级、责任单位、业务环节之间,以及企业与投资者、债权人、客户、供应商、中介机构和监管部门等外部环境之间进行传递并以此得到他们的反馈。重要信息须及时传递给董事会、监事会和经理层。
(3)信息系统
为提高内部控制效率,企业可以运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对企业业务和事项的自动控制,减少或消除人为操纵因素。企业在利用信息技术加强内部控制的同时,还应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全、稳定的运行。
(4)反舞弊机制
舞弊是指企业董事、监事、经理、其他高级管理人员、员工或第三方使用欺骗手段获取不当或非法利益的故意行为。它是需要企业重点控制的事项之一。根据舞弊的三角理论(见图2-1),企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。舞弊行为包括以下几种。
①未经授权或者采取其他不法手段侵占、挪用企业资产,牟取不当利益。
②在财务会计报告和信息披露等方面存在虚假记载、误导性陈述或者重大遗漏等。
③董事、监事、经理及其他高级管理人员滥用职权。
④相关机构或人员串通舞弊。
为确保反舞弊工作落到实处,企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办理要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。
图2-1 舞弊的三角理论
【例2-5】某公司设立多维度的信息与沟通渠道,以及时获取来自客户、供应商等的外部信息,并建立公司内部信息的正式传递渠道,同时在公司内部网站上建立了所有员工都可以自由沟通的心声社区。公司管理层通过日常会议与各级部门定期沟通,以有效传递管理信息,保证管理层的决策有效落实。另外,公司在内部网站上发布所有业务政策和流程,由各级管理者和流程责任人定期组织业务流程和内部控制培训,确保所有员工能及时掌握信息。公司也建立了各级流程责任人之间的定期沟通机制,总结内部控制执行状况,跟进和落实内部控制问题改进计划。
2.2.6.5 内部监督
内部监督是指企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,对发现的内部控制缺陷及时加以改进,是实施内部控制的重要保证。内部监督包括日常监督和专项监督。
(1)日常监督
日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督和检查。日常监督的常见方式包括以下5种。
①在日常生产经营活动中获得能够判断内部控制建立与实施情况的信息。
②在与外部相关方面的沟通过程中获得有关内部控制建立与实施情况的验证信息。
③在与员工沟通过程中获得内部控制是否有效执行的信息。
④通过对账面记录与实物资产的检查和比较对资产的安全性进行持续监督。
⑤通过内部审计活动对内部控制的有效性进行持续监督。
(2)专项监督
专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等方面发生较大调整或变化的情况下,对内部控制的某一或某些方面进行有针对性的监督检查。专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。专项监督应当与日常监督有机结合,日常监督是专项监督的基础,专项监督是日常监督的补充。如果某专项监督需要经常性地进行,则企业有必要将其纳入日常监督的范围之中。
企业应以书面报告的形式呈现日常监督和专项监督的情况,并在报告中揭示内部控制存在的缺陷。企业应当有畅通的内部监督报告递交渠道,确保发现的重要问题能及时送达管理层和经理层;同时,应当建立内部控制缺陷纠正、改进机制,充分发挥内部监督效力。企业应当在日常监督和专项监督的基础上,定期对内部控制的有效性进行自我评价,并出具自我评价报告。内部控制自我评价的方式、范围、程序和频率,除法律法规有特别规定的,一般由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。
内部控制五要素之间的关系如图2-2所示。内部环境是基础,风险评估是依据,控制活动是手段,信息与沟通是载体,内部监督是保证。内部控制五要素与内部控制的目标及内部控制原则之间的关系如图2-3所示。
图2-2 内部控制五要素之间的关系
图2-3 内部控制目标、要素和原则之间的关系
【例2-6】某公司为了加强内部监督,设立了内部投诉渠道、调查机制、防腐机制与问责制度,并在与供应商签订的合作协议中明确了相关规则。供应商能通过协议内提供的渠道,举报员工的不当行为,以协助公司对员工进行监督和检查。公司内部审计部门对公司整体控制状况进行独立和客观的评价,并对违反商业行为准则的经济责任行为进行调查,将审计和调查结果报告给公司高级管理层和审计委员会。此外,该公司还建立了对各级流程责任人、区域管理者的内部控制考核、问责及弹劾机制,并使其例行运作。审计委员会和公司CFO定期审视公司内部控制状况,听取内部控制问题改进计划及其执行进展的汇报,当内部控制状况不佳时,其有权要求相关流程责任人和业务管理者汇报原因及改进计划,或向人力资源部门提出问责建议或弹劾动议。