2013高级会计师考试辅导:企业内部控制
本章的主要内容包括:
一是内部控制的目标、原则与要素。
内部控制目标5个:包括促进遵循国家法律法规;促进维护资产安全、促进提高信息报告质量;促进提高经营效率和效果;促进实现发展战略。
内部控制原则5个:包括全面性原则;重要性原则;制衡性原则;适应性原则;成本效益原则。
內部控制要素5个:包括内部环境、风险评估、控制活动、信息与沟通和内部监督。
二是企业层面和业务层面控制。
企业层面控制5项内容,包括组织架构控制、发展战略控制、人力资源控制、社会责任控制和企业文化控制。
业务层面控制13项内容,包括资金活动控制、采购业务控制、资产管理控制、销售业务控制、研究与开发控制、工程项目控制、担保业务控制、业务外包控制、财务报告控制、全面预算控制、合同管理控制、内部信息传递控制和信息系统控制。
三是内部控制评价。内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
四是内部控制审计。内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
考点: 内部控制的目标、原则与要素
一、内部控制目标
內部控制的定义:內部控制是由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。
○董事会:董事会是內部控制实施的主体之一,此外,董事会、董事长也应受内部控制制约。
○实施主体:董事会是决策者,经理层是执行者,监事会是监督者,他们都是內部控制实施的主体;此外,內部控制还需要全体员工的参与实施。把监事会写进去是中国特色,因为美国公众公司没有监事会,但有独立董事;德国公司设监事会。
○过程:內部控制不能凌驾于企业经营活动之上,它必须嵌入企业生产经营的整个过程;过程是动态的,适合企业的才是最好的。
内部控制的目标:是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
(一)促进遵循国家法律法规
守法和诚信是企业健康发展的基石。逾越法律的短期发展终将付出沉重代价。内部控制要求企业必须将发展置于国家法律法规允许的基本框架之下,在守法的基础上实现自身的发展。
(二)促进维护资产安全(不同于COSO报告)
资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题,是企业可持续发展的物质基础。良好的内部控制,应当为资产安全提供扎实的制度保障。
(三)促进提高信息报告质量
可靠的信息报告能够为企业管理层提供适合其既定目的的准确而完整的信息、支持管理层的决策和对营运活动及业绩的监控;同时,保证对外披露的信息报告的真实、完整,有利于提升企业的诚信度和公信力,维护企业良好的声誉和形象。
(四)促进提高经营效率和效果
该目标要求企业结合自身所处的特定的经营、行业和经济环境,通过健全有效的内部控制,不断提高营运活动的盈利能力和管理效率。
(五)促进企业实现发展战略
这是内部控制的终极目标。它要求企业将近期利益与长远利益结合起来,在企业经营管理中努力做出符合战略要求、有利于提升可持续发展能力和创造长久价值的策略选择。
注意:上述目标之间有交叉。
二、内部控制原则
内部控制原则是企业建立与实施内部控制应当遵循的基本指针。企业建立与实施内部控制应当遵循5项原则,即全面性、重要性、制衡性、适应性和成本效益原则。
(一)全面性原则
内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项实现全过程、全员性控制,不存在内部控制空白点。
(二)重要性原则
内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域,并采取更为严格的控制措施,确保不存在重大缺陷。重要性原则的应用需要一定的职业判断,企业应当根据所处行业环境和经营特点,从业务事项的性质和涉及金额两方面来考虑是否及如何实行重点控制。
(三)制衡性原则
内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节;同时,还要求履行内部控制监督职责的机构或人员具有良好的独立性。
(四)适应性原则
内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整。适应性原则要求企业建立与实施内部控制应当具有前瞻性,适时地对内部控制系统进行评估,发现可能存在的问题,并及时采取措施予以补救。
(五)成本效益原则
内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。成本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。对成本效益原则的判断需要从企业整体利益出发,尽管某些控制会影响工作效率,但可能会避免整个企业面临更大损失,此时仍应实施相应控制。
三、内部控制要素
借鉴COSO(Committee of Sponsoring Organizations of the Treadway Commission,全美反欺诈财务报告委员会下属的发起人委员会,该委员会于1992年颁布了《內部控制—整体框架》,提出了五要素的观点。COSO内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架,同时《萨班斯法案》第 404 条款的【最终细则】也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。)报告框架,我国《企业内部控制基本规范》将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督5大方面。
(一)内部环境
企业作为一个系统,总是在一定的环境下运行的。环境分为外部环境与内部环境,无论是制定战略还是实施内部控制,企业都需要首先对内、外部环境进行认真深入的审视。
外部环境对企业内部控制的影响更多体现的是约束和规范,但不能把它作为内部控制系统的组成部分,因为它超出了企业的控制能力。
内部控制应当是一种内部行为,加强内部控制的原动力应当来源于企业自身,企业外部任何试图促使企业加强内部控制的影响因素,在企业不具备原动力的情况下,都很难取得好的效果。因此,内部环境是直接造成各企业内部控制形式和内容差异的根本原因。
内部环境规定企业的纪律与架构,影响经营管理目标的制定,塑造企业文化氛围并影响员工的控制意识,是企业建立与实施内部控制的基础。内部环境主要包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
1.治理结构
公司治理结构指的是内部治理结构,又称法人治理结构,是根据权力机构、决策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则实现对公司的治理。
治理结构是由股东大会、董事会、监事会和管理层组成的,决定公司内部决策过程和利益相关者参与公司治理的办法,主要作用在于协调公司内部不同产权主体之间的经济利益矛盾,减少代理成本。
2.机构设置与权责分配
公司制企业中股东大会(权力机构)、董事会(决策机构)、监事会(监督机构)、总经理层(日常管理机构)这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架,但并不能满足内部控制对企业组织结构的要求,内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。
所采用的组织结构应当有利于提升管理效能,并保证信息通畅流动。
3.内部审计机制
内部审计控制是内部控制的一种特殊形式。根据中国内部审计协会的解释,内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。
内部审计的范围主要包括财务会计、管理会计和内部控制检查。内部审计机制的设立包括内部审计机构设置、人员配备、工作开展及其独立性的保证等。
4.人力资源政策
人力资源政策是影响企业内部环境的关键因素,它所包括的雇用、培训、评价、考核、晋升、奖惩等业务,向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息,这些业务都与公司员工密切相关,而员工正是公司中执行内部控制的主体。
一个良好的人力资源政策,能够有效地促进内部控制在企业中的顺利实施,并保证其实施的质量。
5.企业文化
企业文化体现为人本管理理论的最高层次。企业文化重视人的因素,强调精神文化的力量,希望用一种无形的文化力量形成一种行为准则、价值观念和道德规范,凝聚企业员工的归属感、积极性和创造性,引导企业员工为企业和社会的发展而努力,并通过各种渠道对社会文化的大环境产生作用。
企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则,认真履行岗位职责。
企业应当加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重**律纠纷案件备案制度。
一般而言,董事会及企业负责人在塑造良好的内部环境中发挥关键作用。
(二)风险评估
风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险,合理确定风险应对策略,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
1.目标设定
风险是指一个潜在事项的发生对目标实现产生的影响。风险与可能被影响的控制目标相关联。企业必须制定与生产、销售、财务等业务相关的目标,设立可辨认、分析和管理相关风险的机制,以了解企业所面临的来自内部和外部的各种不同风险。
企业开展风险评估,应当准确识别与实现控制目标相关的内部风险与外部风险,确定相应的风险承受度。风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。
2.风险识别
风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节,主要回答的问题是:存在哪些风险,哪些风险应予以考虑,引起风险的主要因素是什么,这些风险所引起的后果及严重程度如何,风险识别的方法有哪些等。而其中企业在风险评估过程中,更应当关注引起风险的主要因素,应当准确识别与实现控制目标有关的内部风险和外部风险。
3.风险分析
风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断,并确定风险重要性水平的过程。企业应当在充分识别各种潜在风险因素的基础上,对固有风险,即不采取任何防范措施可能造成的损失程度进行分析,同时,重点分析剩余风险,即采取了相应应对措施之后仍可能造成的损失程度。企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
4.风险应对
企业应当在分析相关风险的可能性和影响程度基础上,结合风险承受度,权衡风险与收益,确定风险应对策略。企业应合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。
企业管理层在评估了相关风险的可能性和后果,以及成本效益之后要选择一系列策略使剩余风险处于期望的风险容限以内。常用的风险应对策略有:
(1)风险规避。
风险规避,即改变或回避相关业务,不承担相应风险,是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。例如:由于雨雪天气,航空公司取消某次航班;企业拒绝与不守信用的厂商有业务来往;新产品在试制阶段发现问题而果断地停止研发。
(2)风险承受。
风险承受,即比较风险与收益后,愿意无条件承担全部风险,是企业在权衡成本效益之后,对风险承受度之内的风险,不准备采取控制措施降低风险或者减轻损失的策略。例如:企业设有一个小型仓库,平时就存放一些待处理的设备(市场价值很小),如果为了防止这些设备被盗偷而专门雇佣一个保管员,那么这时支付保管员的费用要远高于设备的价值,显然,不符合成本效益原则,因此,对于这种存在的失窃风险企业就应该采用风险承受策略。
(3)风险降低。
风险降低,即采取一切措施降低发生不利后果的可能性,是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略,包括两类措施:风险预防和风险抑制。
(4)风险分担。
风险分担,即通过购买保险、外包业务等方式来分担一部分风险,是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。常见的措施有业务分包、购买保险等。例如:大学里学生宿舍的管理外包给物业公司负责,这是由于大学本身不具有物业管理的能力,通过外包的方式转移了与物业相关的风险;公司给某些关键设备购买财产保险来转移风险。
风险应对策略往往是结合运用的。同时企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
(三)控制活动
控制活动是指企业根据风险应对策略,采用相应的控制措施,将风险控制在可承受度之内,是实施内部控制的具体方式。常见的控制措施有:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与检查性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。
1.不相容职务分离控制
所谓不相容职务,是指那些如果由一个人担任既可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为的职务。
2.授权审批控制
授权批准是指企业在办理各项经济业务时,必须经过规定程序的授权批准。授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
3.会计系统控制
会计作为一个信息系统,对内能够向管理层提供经营管理的诸多信息,对外可以向投资者、债权人等提供用于投资等决策的信息。会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等进行的控制。
4.财产保护控制
财产保护控制是指为了确保企业财产物资安全、完整所采用的各种方法和措施。财产是企业资金、财物及民事权利义务的总和,按是否具有实物形态,分为有形财产(如资金、财物)和无形财产(如著作权、发明权),按民事权利义务,分为积极财产(如金钱、财物及各种权益)和消极财产(如债务)。财产是企业开展各项生产经营活动的物质基础,企业应采取有效措施,加强对企业财产物资的保护。
5.预算控制
预算是企业未来一定时期内经营、资本、财务等各方面的收入、支出、现金流的总体计划。预算控制是内部控制中使用得较为广泛的一种控制措施。通过预算控制,使得企业的经营目标转化为各部门、各个岗位以至个人的具体行为目标,作为各责任企业的约束条件,能够从根本上保证企业经营目标的实现。
6.运营分析控制
运营活动分析,曾被称为经营活动分析,但实际上运营活动是比经营活动范畴更广,更能够全面涵盖企业活动的提法。运营分析是对企业内部各项业务、各类机构的运行情况进行独立分析或综合分析,进而掌握企业运营的效率和效果,为持续的优化调整奠定基础。
企业运营活动分析的方法包括定性分析法和定量分析法。定性分析法可以有专家建议法、专家会议法、主观概率法和特尔菲法(通过函询的方式收集专家意见,对未来进行直观预测的一种定性方法)。定量分析法可以有对比分析法、趋势分析法、因素分析法和比率分析法。
运营分析控制要求企业建立运营情况分析制度,综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方面,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
7.绩效考评控制
绩效考评是对所属企业及个人占有、使用、管理与配置企业经济资源的效果进行的评价。绩效考评是一个过程,即首先明确企业要做什么(目标和计划),然后找到衡量工作做得好坏的标准进行监测(构建指标体系并进行监测),发现做得好的(绩效考核),进行奖励(激励机制),使其继续保持或者做得更好,能够完成更高的目标。更为重要的是,发现不好的地方,通过分析找到问题所在,进行改正,使得工作做得更好(绩效改进)。这个过程就是绩效考评过程。企业为了完成这个管理过程所构建起来的管理体系,就是绩效考评体系。
(四)信息与沟通
信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通,是实施内部控制的重要条件。企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。信息与沟通的要件主要包括:信息质量、沟通制度、信息系统、反舞弊机制。
1.信息质量
信息是企业各类业务事项属性的标识,是确保企业经营管理活动顺利开展的基础。企业日常生产经营需要收集各种内部信息和外部信息,并对这些信息进行合理筛选、核对、整合,提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息;还可以通过行业协会组织、社会中介机构、业务往来企业、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。
2.沟通制度
信息的价值必须通过传递和使用才能体现。企业应当建立信息沟通制度,将内部控制相关信息在企业内部各管理级次、责任企业、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息须及时传递给董事会、监事会和经理层。
3.信息系统
为提高控制效率,企业可以运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。企业利用信息技术对信息进行集成和共享的同时,还应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
4.反舞弊机制
舞弊是指企业董事、监事、经理、其他高级管理人员、员工或第三方使用欺骗手段获取不当或非法利益的故意行为,它是需要企业重点加以控制的领域之一。企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。
反舞弊工作的重点包括:
(1)未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益;
(2)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等;
(3)董事、监事、经理及其他高级管理人员滥用职权;
(4)相关机构或人员串通舞弊。
为确保反舞弊工作落到实处,企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办理要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。
信息与沟通的方式是灵活多样的,但无论哪种方式,都应当保证信息的真实性、及时性和有用性。
(五)内部监督
内部监督是企业对内部控制建立与实施情况监督检查,评价内部控制的有效性,对于发现的内部控制缺陷及时加以改进,是实施内部控制的重要保证。从定义出发,内部监督主要有两个方面的意义:第一,发现内控缺陷,改善内部控制体系,促进企业内部控制的健全性、合理性;第二,提高企业内部控制施行的有效性。除此之外,内部监督也是外部监管的有力支撑。最后,内部监督机制可以减少代理成本,保障股东的利益。
1.企业应当制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。
2.内部监督包括日常监督和专项监督。
(1)日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。日常监督的常见方式包括:在日常生产经营活动中获得能够判断内部控制设计与运行情况的信息;在与外部有关方面沟通过程中获得有关内部控制设计与运行情况的验证信息;在与员工沟通过程中获得内部控制是否有效执行的证据;通过账面记录与实物资产的检查比较对资产的安全性进行持续监督;通过内部审计活动对内部控制有效性进行持续监督。
(2) 专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或某些方面进行有针对性的监督检查。专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。
专项监督应当与日常监督有机结合,日常监督是专项监督的基础,专项监督是日常监督的补充,如果发现某专项监督需要经常性地进行,企业有必要将其纳入日常监督之中。
3.日常监督和专项监督情况应当形成书面报告,并在报告中揭示存在的内部控制缺陷。内部监督形成的报告应当有畅通的报告渠道,确保发现的重要问题能及时送达至治理层和经理层;同时,应当建立内部控制缺陷纠正、改进机制,充分发挥内部监督效力。
4.企业应当在日常监督和专项监督的基础上,定期对内部控制的有效性进行自我评价,出具自我评价报告。内部控制自我评价的方式、范围、程序和频率,除法律法规有特别规定的,一般由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。