篇一:内部控制评价体系
第十章
内部控制评价体系
第一节
内部控制评价的目标
如前文所述,内部控制评价,是通过评价主体对企业现有的内部控制系统的设计和执行的健全性和有效性进行审查、测试、分析和评价的活动。通过内部控制评价,企业管理层能够发现内部控制是否符合企业的生产经营特点,是否在全体员工、生产的全过程中得到了贯彻执行,是否能够保证提供真实与有用的信息,是否能够及时防范和发现错误与弊端,是否能够识别经营中的风险因素,是否有助于战略目标的实现等。从这一层面上理解,内部控制评价是内部控制的再控制,因此,其最终目的就是为了实现内部控制目标,即合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
在具体界定内部控制评价目标时,不同的评价主体对内部控制评价目标的侧重有所不同。内部评价主体,如审计委员会、管理层和内部审计部门关注所有的内部控制目标,但更侧重于经营目标和战略目标,因为他们对企业内部控制的评价是出于内部管理的需要,评价企业为达到经营效果和效率所付出努力的有效性,以及合理保证企业的内部控制制度有利于企业战略目标的实现。外部评价主体,如政府监管机构和注册会计师实施的内部控制评价一般侧重于报告目标和合规目标的实现。注册会计师在管理咨询内部控制评价中还会关注经营目标的实现。
第二节
内部控制评价的主体和客体
一、内部控制评价主体
评价主体是指由谁来实施内部控制评价。内部控制是由包括董事会、总经理、员工在内的所有人员实施的控制过程,因此,内部控制评价主体也应该由董事会、总经理和其他全体员工构成。然而,传统的内部控制自我评价方法将内部控制的评价完全交给审计人员,主要依靠内部或者外部审计人员来实施,传统内部审计方法适用于内部控制,诸如财务报告、资产与记录相分离、岗位处理等“硬控制”的评价,但无法对高层管理理念、员工胜任能力等“软控制”进行有效评价。外部审计人员由于不熟悉企业业务,有时无法对内部控制作出准确评价。因此,完整的评价主体应包括内部评价主体和外部评价主体。
(一)内部评价主体
为了保证内部控制评价的效率和效果,企业需要将评价主体进行适当分类。
1.审计委员会
借鉴美国的审计委员会制度,我国企业可在董事会下面设审计委员会机构,其是内部控制的最高管理机构。审计委员会的工作重点集中在检查和评价关键内部控制指标制定及执行的有效性,检查和评价关键员工的责任、业绩与品质,以及监督内部审计部门方面。审计委员会受公司董事长的直接领导,具有较强的独立性和权威性,其工作范围不受管理部门的限制,能够确保评价工作的顺利进行,评价结果受到足够的重视,进而提高内部审计的效率。
审计委员会通过内部审计部门来开展内部控制的具体评价工作。审计委员会可以充分利用其自身的人力资源优势,对内部审计部门的内部控制评价进行业务上的指导。当内部审计部门在工作中遇到阻力时,审计委员会可以利用自身的超然地位为内部审计部门保驾护航,可以将内部控制评价结果快速、及时地传递给董事会。
2.监事会
监事会作为企业最高的监控评价主体,主要工作是对董事和经理内部控制执行情况的评价以及对审计委员会工作的评价、指导和监督。
3.内审部门
内审部门是内部控制评价的组织者和主要参与者。由于内部审计提供的内部控制评价服务与传统审计不尽相同,这就要求内审人员的胜任能力随之转变。国际内部审计师协会(以下简称IIA)发布的《内部审计人员胜任能力框架》研究报告,对内审人员的任职条件提出了新的要求(见表10—1)。
表10—1IIA《内部审计人员胜任能力框架》提出的内审人员任职条件
知识技能
能力
分析设计技能
鉴别技能
行为技能
个人技能
人际技能
组织能力
能够熟练地根据确定的路线工作
识别问题、确定任务并构建典范的解决方案
在复杂环境中能作出准确的、有创意的判断
能应付挑战、压力、冲突、时间紧迫,以及各种变化
通过人际互动能够取得收获
运用组织网络能够取得收获
4.其他员工
内部控制评价最终应实现全员参与,即采用控制自我评估(CSA)的方式。作为评价对象的内部控制系统包含多重目标,涉及企业多个层面和各项业务,可以说每一项作业和每一个员工都是控制的对象,仅仅依靠个别部门实施评价工作显然是不够的。通过员工的广泛参与,一方面可以对企业和业务层面的各类风险进行更透彻的分析和评估,并进一步对控制政策和程序的完善性实施有效评价,另一方面可以增强员工的风险管理和内部控制意识,此种意识在原先仅处于被控制地位时是很难自觉形成的。当然,完善的控制自我评估的实施需要一定的过程。为此,企业应对员工进行适当培训。在前期阶段,可以选择某些业务作为试点,一旦成功后,再逐渐推广。
(二)外部评价主体
外部评价主体包括注册会计师和监管当局。监管当局实施的内部控制评价体现了对内部控制的强制性披露要求。2002年7月美国发布的《萨班斯-奥克斯法案》强制要求企业披露有关内部控制的信息,但是披露主体为企业和注册会计师。我国银监会颁布的《商业银行内部控制评价试行办法》是银监会及其派出机构自行实施的监管行为,当然,披露主体也就是评价主体。
注册会计师在内部控制评价方面一直起着重要的作用。但是,有观点认为,注册会计师实施内部控制评价,存在诸多不足之处:第一,不符合内部控制的原理;第二,会降低披露的准确性;第三,不利于改进内部控制;第四,不利于注册会计师行业的健康发展。笔者认为,我国可以借鉴美国的经验:现有企业管理定期对内部控制设计和执行的有效性进行评估,出具评估报告,然后再由注册会计师进行审核,其审核并不是对内部控制作出直接评价意见,而是对管理层的内部控制评价报告发表意见。
二、评价客体
内部控制评价的客体是指内部控制评价的实施对象,即对什么内容进行控制。内部控制评价客体的确定应遵循以下原则:
(一)全过程性原则
从时间范畴看,COSO报告认为,内部控制是一个过程,其有效性是该过程在特定时点的状态和情况,因此,评估者要分析内部控制设计和执行在某一时点的效果,以决定这些制度是否能对已制定目标的达成提供合理保证,同时,由于内部控制是动态变化的,因此,还要
将内部控制评价作为一个过程,内部控制评价应贯穿于企业日常业务和企业业绩评价中。
从空间范畴看,内部控制是对企业的生产经营活动全过程进行的控制,即包括对计划、营销、供应、生产、销售、财务、人力资源等方面的控制。因此,内部控制评价应当打破传统内部控制的狭隘性,拓宽内部控制的内涵,由局部的会计控制、财务控制扩展到整个企业的生产过程的控制,从而可以更系统、更全面地构建内部控制评价体系。
(二)分层次原则
COSO报告认为,内部控制体系分为公司层面和业务层面。在公司层面和业务层面都应从控制环境、风险评估、控制活动、信息与沟通和监督五个方面加以控制,但是侧重点有所不同。因此,在进行内部控制评价时,评价内容也会有所不同。
以控制环境的人力资源政策与实务为例,将COSO报告应用于公司层面控制的评价时,可以将人力资源政策划分为若干关注点,企业可以根据自身具体情况,增加或删除关注点问题。在进行业务层面内部控制评价时,企业更关注控制活动的有效性。COSO框架在公司层面内部控制的评价内容见表10—2。
表10—2COSO框架在公司层面内部控制的评价内容
COSO要素
子要素
诚信及道德观
员工胜任能力
董事会及审计委员会
管理层的经营理念与风格
组织架构
职责及权限分配
控制环境
(略)
(略)
(略)
(略)
(略)
(略)
在员工的招聘、支付薪酬、晋升、培训和解聘方面是否有一定的政策、程序和有效的流程?
员工是否清楚自己的角色、权限、责任和公司对他们的期望?
人力资源政策与实务
员工是否清楚自己与控制相关的责任?
现有的行为准则是否已得到巩固?必要时是否采取惩罚措施以严格纪律?
是否检查拟招聘员工的背景和经历以及已经获取相关检查的推荐资料?
(略)
关注点
第三节
内部控制评价的标准
内部控制评价的标准是指进行内部控制评价时遵循的范本。内部控制评价的标准分为一般标准和具体标准。
一、内部控制评价的一般标准
内部控制评价的一般标准,是指应用于内部控制评价的各个方面的标准,即内部控制制度整体运行应遵循和达到的目标,主要包括被评价企业内部控制的完整性、合理性及有效性。
1.内部控制的完整性
内部控制的完整性包含两层含义:一是企业应根据生产经营的需要,制定全面的内部控
制制度;二是企业应对生产经营活动的全过程自始至终进行控制。完整性控制是其他一般标准的基础,若企业内部控制的完整性都达不到,则内部控制的合理性与有效性就无从谈起。完整性标准要求对内部控制以不同方法进行评价时,都能呈现出一种系统性,内部控制本身并不是一种单独的管理制度或者管理活动,也不是所有管理制度或管理活动的综合体,它实质上是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。
2.内部控制的合理性
内部控制的合理性同样也包含两层含义:一是指内部控制设计和执行的适用性;二是指内部控制设计和执行的经济性。合理性是对内部控制更深一层次的要求。如果片面追求内部控制的完整性而忽略了其适用性和经济性,势必给企业带来负面影响,这样就完全违背了企业实行内部控制的初衷,更加谈不上其有效性了。
合理性要求中的适用性是首要的,各行业、各企业都有其自身的各方面的特点,所以,各企业应该根据自身的特点制定出适用的内部控制制度,完全照搬别人的控制制度是完全错误的。而内部控制的适用性要以经济性为限制条件,内部控制的最终目的是提高企业的经济效益,减少资源浪费,实现企业可持续发展。
3.内部控制的有效性
内部控制的有效性也有两层含义:一是指企业的内部控制政策和措施应符合国家法律、法规的相关规定,不能有与法律、法规相抵触的地方;二是指内部控制制度应设计完整、合理,在企业生产过程中能够得到有效贯彻执行,并实现内部控制的目标。有效性以其完整性与合理性为基础,内部控制的完整性和合理性则以其有效性为目的。在评价内部控制的有效性时,第一层含义,即不与国家法律、法规相抵触是前提,只有满足了这一点,才能考虑其执行的效果。而第二层含义对企业来说则是根本性的,也是企业的追求目标。如果只满足了合法、合规的前提,而在实践中根本不予执行或执行起来达不到预计效果,则内部控制对此企业来说就相当于不存在。
二、内部控制评价的具体标准
内部控制评价的具体标准是指应用于内部控制评价具体方面的标准,它是在一般标准指导下形成的,可分为要素标准和作业标准两个层级。内部控制具体标准是一般标准的体现,一般标准是具体标准的基础。只有先从操作性较强的具体标准入手,对具体内部控制的设计与运行有了认识之后,才能通过总结、升华,从整体上对企业内部控制的完整性、合理性和有效性作出判断。
1.内部控制要素评价标准
内部控制组成要素包括控制环境、风险评估、控制活动、信息与沟通、监督五个方面。每一个要素又分为更多的项目,例如,控制环境要素涵盖的项目就有诚信度、员工的能力、董事会和审计委员会管理哲学和经营风格、组织结构、责任的分配与授权、人力资源政策与实务等。
2.内部控制作业层次评价标准
内部控制作业层次评价标准主要是控制活动要素的细化,控制活动是确保管理阶层的指令得以实现的政策和程序,旨在帮助企业已针对风险采取了必要的行动。控制活动是针对控制点而制定的,企业一般根据其生产经营活动的特点来设计控制活动,所以,作业层级评价标准比内部控制要素评价标准更繁杂。
第四节
内部控制评价的程序和方法
一、内部控制评价的程序
内部控制评价的程序通常包括为调查、测试、评价和报告四个步骤。
(一)调查
通过审阅企业的规章制度、组织结构设置,现场询问有关人员,以及通过评价人员的实地观察等方式,调查了解内部控制系统的详细情况。在调查过程中,应掌握的与内部控制相关的信息包括:
(1)调查了解企业规模,组织结构,发展目标,内部控制的要素内容、设计与实施等一般情况;
(2)重点调查了解企业是否对不相容职务进行了分离,例如,各类经济业务是否进行适当的岗位设置和职责划分,经济活动是否执行合理的授权审批程序,内审部门是否具有独立性;
(3)调查企业是否建立系统化、文件化的控制制度,是否采取标准化业务处理程序,全体员工是否按照科学的既定程序处理业务;
(4)调查了解财务会计部门是否按标准化处理程序处理业务,员工是否有严密的组织分工,是否建立合理的业务程序,是否建立完善的会计档案管理制度,是否实施恰当的稽核和核对制度。
通过对内部控制的调查了解,对其进行综合的、一般性的评价,确定内部控制的总体框架、各构成要素,以及控制措施,了解各部门内部控制的实施情况,发现内部控制最薄弱的、最易发生问题的环节和部门,确定内部控制评价的关键点。在此基础上,将内部控制描述出来,如运用文字描述法、流程图等,并制度内部控制评价计划。
(二)测试
在调查了解内部控制制度的基础上,测试建立的内部控制制度是否正在发挥作用,是否被严格执行。内部控制测试包括健全性测试和符合性测试。
1.健全性测试
一般来说,健全的内部控制,能预防错误和弊端的发生,即使发生也容易及时发觉和纠正。内部控制的健全性包括两层含义:一方面是指企业根据自身的需要,建立全过程、全员、系统化的内部控制系统;另一方面,内部控制设计是否合理,能够为内部控制目标的实现提供合理的建议。
测试内部控制系统的健全性,总体上就是要考察企业建立的内部控制系统是否使单位内部的每个部门、人员、各项工作都在内部控制制度的管理之下,控制体系是否完整,控制措施是否衔接严密。就现实工作而言,健全性测试一般包括以下主要步骤:
第一,将调查了解到的内部控制的现状与事先确定的内部控制评价标准模式进行对比分析,以揭示企业是否已经制定了相应的科学、恰当的控制体系;
第二,当出现例外事项或内部控制失控时,企业是否及时采取了补偿性措施。当了解到内部控制缺陷没有补偿性措施或补偿性措施不能全部抵消其影响后,应该说明内控缺陷可能产生的错误和舞弊的性质、可能性及其金额,以及对整个内部控制的影响。
第三,在分析企业内部控制中所有控制缺陷及其潜在影响的基础上,评价人员即可对企业健全性程度作出评价。如果健全性测试结果显示,企业内部控制系统是健全的或基本健全的,能够保证控制目标的实现,评价人员即可以对内部控制系统予以信赖,并进一步测试其有效性。
2.符合性测试
内部控制的符合性有三层含义:其一是内部控制相关规定在实际中是否被一贯执行;其二是控制措施能否达到控制目的;其三是控制措施是否恰当、适用。符合性测试是获得评价证据以证实内部控制在实际中的合规性、有效性和适宜性。符合性测试一般包括以下三个步骤:
第一,询问并检查内部控制的运行情况。内部控制存在于企业的各个环节,通过对企业
经济业务活动的运行情况进行询问和实地考察,可以观察到企业员工是否按照内部控制的规定和程序处理业务。
第二,根据健全性测试和询问检查的结果,制定抽样测试方案,包括样本规模、抽样方法、样本范围等。
第三,对相关的资料和凭证实施抽样后,对样本进行检查,测试经办人员是否按照规定的制度和程序处理业务,有无错弊。对有些业务,根据内部控制的规章和程序,重新做一遍后同记录相对照,测试经办人员是否按照规定执行。
(三)评价
在内部控制测试的基础上,对内部控制的合法性、完整性、合理性和有效性进行综合评价。合法性是指内部控制符合国家法律法规的相关规定,不能与法律法规相抵触。完整性是指企业根据生产经营的需要,制定全面的内部控制制度,并且对生产经营活动的全过程自始至终进行内部控制。合理性是指内部控制设计和执行既具有适用性,又符合经济性。有效性是指企业的内部控制政策和措施在企业生产过程中能够得到有效贯彻执行,为遵循法律法规、保证资产安全、财务报告真实可靠、提高经营效率和效果、实现发展战略提供合理保证。内部控制的合法性是前提,只有满足了合法性的要求才能对其完整性、合理性和执行的有效性进行评价。有效性以完整性与合理性为基础,完整性和合理性则以有效性为目的。
(四)报告
对内部控制进行综合评价后,评价人员需要对内部控制的评价结果进行记录,与管理人员进行沟通,核对数据,确认事实,征求意见,提出进一步加强和完善内部控制的措施,形成评价报告,并将其传达给管理者。
评价人员编制的评价报告应包括以下内容:(1)企业内部控制制度设计和执行的基本情况,从合法性、完整性、合理性和有效性四个方面加以说明。从整体方面对企业内部控制制度作基本概括,可以使阅读者对企业的情况有一个基本的了解。(2)指出企业内部控制中存在的重大缺陷。将发现的内部控制缺陷加以归类说明,指出重点问题、关键问题,并说明这些问题会给企业带来的影响。(3)提出企业改进内部控制的建议。评价人员应当就所提出的内部控制中的缺陷,根据其产生的不同原因及相关情况,提出合理的具有建设性和操作性的意见。
根据证监会和财务部颁布的相关规定,我国内部控制评价信息披露模式见表10—3。
表10—3我国内部控制评价信息披露模式
披露主体
披露方式
企业类型
上市公司
非上市公司
有特殊需要时对特定主体披露
内部报告
受企业委托对特定主体披露内部控制鉴证报告
管理建议书
检查或审计结果公告、整改通知书、处罚决定书
整改通知书、处罚决定书
企业管理层
管理层声明和内部控制评对外披露
价报告、招股说明书、定期报告
对内披露
内部报告
对外披露
内部控制鉴证报告
注册会计师
对内披露
管理建议书
对外披露
检查或审计结果公告、整改通知书、处罚决定书
相关政府
监管部门
对内披露
整改通知书、处罚决定书
二、内部控制评价方法
常用的内部控制评价方法包括:
1.文字描述法
文字描述法是指评价人员对内部控制的健全程度和执行情况用文字来描述的方法。文字描述,一般是按不同的业务循环,分别写明各项职务所完成的各项工作、办理业务时所需要办理的各种手续等,还应阐明各项工作的负责人、经办人员,以及由他们编写和记录的文件凭证等。
文字描述法的优点是比较灵活,可对被审计单位内部控制的各个环节作出比较深入和具体的描述,不受任何限制。其缺点是有时很难用简明易懂的语言来说明各个细节,因而使文字表述显得比较冗赘,而且可能由于评价人员经验不足而遗漏内部控制设计中的重要环节。因此,文字表述法比较适用于记录控制环境和一般控制方面的情况。
2.调查表法
调查表法是指评价人员使用内部控制调查表的形式,向企业经营管理人员或有关当事人提出若干问题,要求其书面答复,根据问题的答案,了解其内部控制是否健全、完善的一种方法。采用调查表法,评价人员应该事先进行问卷设计,确定调查范围和目标,设计出所要调查的问题,然后将调查表发给企业有关人员,要求他们如实填写有关答案,最后,评价人员汇总调查表,据以评价企业的内部控制系统。
调查表分别对各个经营环节或主要业务的关键控制点所采取的措施,列出一系列征询问题,以及“是”、“否”、“缺点轻微或严重”、“不适用”等答案设专栏。有时,调查表中还设有“备注”栏,借以说明问题答案的资料来源或补充解释。表10—4是存货内部控制调查表。
表10—4存货内部控制调查表
调查内容
1.仓储部门收到材料、产品、商品时,是否对其数量进行了清点,并同收货报告单进行了核对?
2.所有入库材料、产品、商品,是否填写了入库通知单?
3.存货实物记录同账户记录的职员是否分离?
4.永续盘存制下,仓储部门实物账是否与会计部门账务定期核对?
5.存货实地盘点时,是否有独立于保管、使用、记账职能的职员参加?
(略)
是
否
不适用
符合性测试
调查表法的优点在于简便易行,评价人员能够获取明确的调查答案,可集中反映内部控制制度的缺点,引起审计人员的注意。其不足之处在于调查问题内容具有一定的局限性,分别按各经营环节或业务调查内部控制制度,缺乏整体评价,也难以说明有关问题的前因后果,难以了解到其他方面的有关信息。因此,它比较适合于了解内部控制系统中各项具体的控制点和控制措施。
3.流程图法
流程图法就是利用符号语言,把企业的组织机构、职责分工、权限范围、文件的编制与排序、各种业务处理流程等内部控制制度的内容,用一种系统程序图的形式反映出来。
流程图综合了企业业务活动中的实物流程、货币流程和信息流程,表明了企业职务分离、权责划分的状况,突出了控制点和关键控制点,便于清楚地识别出内部控制系统中存在的缺陷,并且在下期内部控制评价时,只要根据修改后的内部控制制度的实际情况,稍加变动,就能更新整个流程图。因此,流程图法是评价人员据以分析、研究和评价企业内部控制系统
的有效方式。但是,流程图绘制难度较大,绘制工作复杂,初学者不易掌握和使用,而且流程之外的控制措施,如实物控制等无法直接反映。因此,如果将流程图法与调查表法配合使用,将能更加全面、准确地反映企业的内部控制现状。
4.实地观察法
实地观察法是指身临被评价企业的工作现场,实地观察有关人员的实际工作情况,以察看其规定的控制措施是否得到严格执行的方法。评价人员在实施这一方法时,应尽可能不让被评价事项的有关人员事先察觉,这样才会取得比较理想的效果。该方法有一定的局限性,在评价实际工作中一般应结合其他技术方法一并进行。
5.证据检查法
证据检查法是评价人员抽取一定数量的账户、凭证等书面证据和其他有关证据,检查其是否存在控制措施线索,以判断内部控制是否得到有效贯彻执行的方法。企业的内部控制执行情况总要在资料文件等证据上表现出来,因此,抽取一定数量的书面证据,即可证明被评价企业制定的内部控制措施,是否在实际工作中得到执行。例如,差旅费用的报销,内部控制规定必须由发生此项业务支出的部门负责人和财务部负责人批准并签字才能办理,评价人员即可检查费用支出凭证上是否有负责人的核准意见及签字,来判断企业实际工作中是否执行了批准控制手续。
6.穿行试验法
穿行试验法,是指评价人员在符合性测试评价中,抽取某项业务循环的几笔业务,按照内部控制规定的业务处理程序,从头到尾重新执行一遍,以检查这些经济业务在办理过程中是否执行了规定的控制措施,并通过对处理结果是否相符的对比,来判断各项控制措施能否有效发挥作用的技术方法。这种方法通常只针对特别重要的业务系统,以免造成不应有的失误。
【案例10—1】航天科技内部控制评价报告1航天科技控股集团股份有限公司(以下简称“航天科技”)成立于1999年1月27日,由中国航天工业总公司作为主发起人与天通计算机应用技术中心、哈尔滨工业大学高新技术开发总公司、北京奥润办公设备技术公司、哈尔滨市通用机电技术研究所、哈尔滨通用焊接切割成套设备制造厂、哈尔滨亚科工贸有限责任公司等七家共同发起,以募集方式设立的股份有限公司。公司主要经营范围为:航天飞行器产品及发射服务、汽车和家用及工业电子产品、环保信息监测产品、微特电机等其他高新技术产品的研制、开发、生产、销售及技术咨询;技术服务、技术转让;经营本企业自产产品及技术的出口业务等。
航天科技自成立以来,一直非常重视管理制度的建设。公司先后制定了预算管理制度、绩效考核制度和内部控制制度。近年来,我国监管当局对企业内部控制日益关注。在越来越严格的监管背景下,航天科技主动地顺应形势,求新求变。2008年,公司运用国内外先进内控理论,结合自身情况,对内部控制制度进行了综合评价。
一、航天科技内部控制制度健全性和有效性评价
(一)内部控制情况综述
按照《公司法》、《证券法》等法律、法规的要求,航天科技逐步建立、健全了符合公司实际的组织制度和法人治理结构。股东大会、董事会、监事会分别按其职责行使决策权、执行权和监督权。权力机构、决策机构、监督机构与经理层之间权责分明、各司其职、相互制衡、科学决策、协调运作。公司坚持与控股股东之间在机构、人员、资产、财务、业务方面
1《航天科技控股集团股份有限公司内部控制自我评价报告》,载《证券时报》,2008-04-23,经作者整理。
切实分开,能够独立运作,自主经营,符合中国证监会关于上市公司与控股股东之间“五分开”的要求。
公司遵循科学、规范、透明的基本原则,依据公司实际情况,按照权责明确、结构合理、权力与责任对等的原则,设置了内部经营管理机构,制定了《规章制度汇编》,建立起了一整套涵盖公司管理各个方面的规章制度及相应的业务流程,做到了有章可循、按章办事、相互配合、相互制约、环环相扣,有力地促进了公司的规范运作,保证了公司生产经营活动有序进行。公司内部控制检查监督部门为公司审计部。审计部和内部审计人员独立行使职权、不受其他部门或者个人的干涉。其主要职责为对公司各项内部控制制度执行情况实施监督评价,对公司经营情况、财务情况及其他情况进行审计和监督。
公司坚持及时、充分的信息披露,对投资者在财务、管理、政策等各方面保持透明。注重加强公司与投资者和潜在投资者之间的信息沟通,促进上市公司与投资者之间的良性关系,在投资公众中建立了良好的诚信度。
(二)重要管理控制制度的实施情况
1.对控股子公司的管理控制
航天科技的子公司情况见表10—5。
表10—5航天科技子公司一览表
控股比例
58.15%70%100%51%子公司名称
北京航天益来电子科技有限公司
哈尔滨航科文化艺术品有限公司
哈尔滨博宏软件有限公司
山东航天风华电子有限公司
公司对控股子公司采取派出董事、监事、经理等方式实施有效控制,促进子公司完善法人治理结构,不存在失控的风险。本年度内,公司各控股子公司规范运作,没有违规、违法现象发生,各控股子公司基本完成了各项经营指标。
2.关联交易的内部控制
按照证监会有关规定,结合自身业务的特点,公司制定了严格的关联交易内部控制制度。
(1)明确关联交易的审批机制。划分公司股东大会、董事会对关联交易事项的审批权限,关联董事和关联股东在关联交易事项的表决时进行回避;独立董事对提交董事会审议的关联交易作事前认可,并在董事会决议后发表独立意见;公司董事会及时、准确、完整地发布关联交易公告。
2008年度公司发生的关联交易均按照控制程序执行,决策程序合法,交易价格公允,没有损害公司及其股东,特别是中小股东的利益。
(2)建立了防止大股东及其附属企业占用上市公司资金、侵害上市公司利益的长效机制。公司与关联方除经营性资金往来外,不存在大股东及其附属企业占用上市公司资金、侵害上市公司利益的情形。
3.对外投资的内部控制
公司章程和《公司重大投资决策程序》明确规定了重大投资的审批权限及决策程序,遵循合法、审慎、安全、有效的原则,控制投资风险、注重投资效益。2008年度公司重大投资活动均由董事会依据公司章程和《公司重大投资决策程序》履行了相应的审批程序及信息披露义务。
4.对外担保的内部控制
公司已在《公司章程》中明确了股东大会、董事会关于对外担保事项的审批权限,以及违反审批权限和审议程序的责任追究机制,遵循合法、审慎、互利、安全的原则,严格控制担保风险。公司制定了《对外担保管理制度》,其中,对担保对象、担保的审查与审批、担
保的权限、担保合同的订立及风险管理、担保的信息披露等作了详细的规定。本年度内,公司无对外担保事项。
5.信息披露内部控制
公司按照《上市公司信息披露管理办法》,制定了《信息披露管理制度》,对重大事件的报告、传递、审核、披露程序作出了相应的规定,并得到了较好的落实。
为加强公司与投资者和潜在投资者之间的信息沟通,促进上市公司与投资者之间的良性关系,在投资公众中建立公司的诚信度,公司及时制定了《投资者关系管理制度》和《重大信息内部报告制度》,有利于完善公司治理结构,提高公司核心竞争力,有利于实现公司价值最大化和股东利益最大化。
同时,公司制定了相应的保密机制,没有发生信息泄漏事件或发现内幕交易行为。公司取得应披露信息后,主动披露意识较强。
(三)内部会计控制的实施情况
公司按照《公司法》、《证券法》、《会计法》、新《企业会计准则》等法律、法规及其补充规定的要求制定了会计核算制度和财务管理制度,并制定了明确的会计凭证、会计账簿和财务报告的处理程序;会计岗位的设置贯彻了“不相容岗位相互分离、相互制约”的原则;对重要的会计业务和电算化操作制定并执行了明确的授权规定,按期组织对账。公司在所有重大方面保持了与财务报表相关的规范、全面及有效的内部控制。
1.货币资金控制
货币资金控制包括:货币资金管理制度、出纳岗位责任制度、授权批准制度、资金支出和费用报销制度、财务报销签字审批手续等。在资金管理方面未出现坐支现金、违规支付和账实不符的现象。
2.采购与付款控制
建立岗位责任制,明确相关岗位的职责、权限,确保不相容岗位相互分离、制约和监督。建立授权批准制度、材料领用制度、材料采购制度与存货管理制度。未出现违规采购和超计划储备的情形。
3.销售与收款控制
建立岗位责任制,明确相关岗位的职责、权限,确保不相容岗位相互分离、制约和监督。建立授权批准制度、收入确认制度、发货收款制度,加强对应收账款、应收票据的管理,及时足额收回款项。
4.固定资产和在建工程控制
对固定资产购置实行授权批准制度,严格履行审批程序,做到了工程预算由管理使用单位初审,财务负责人复审签字后,方可付款。建立了固定资产管理制度、固定资产日常维护和定期检修的维护保养制度、在建工程的预算管理制度、工程项目的决算审查、竣工验收和考核管理制度,明确有关部门和有关人员的责任。
5.成本费用控制
建立岗位责任制,明确相关岗位的职责、权限,确保不相容岗位相互分离、制约和监督。建立授权批准制度、成本费用预算制度和内部报告制度,加强对成本费用的控制和分析。
二、内部控制综合评价
公司结合自身的经营特点,建立了一套较为健全的内部控制制度并得到了有效执行,从而保证了公司各项经营活动的正常有序进行,基本达到了提高经营管理效率,保护公司资产安全完整,保证信息质量真实可靠,促进国家法律法规有效遵循和战略目标得以实现的目的。总体而言,公司的内部控制制度体现了完整性、合理性、有效性,符合中国证监会、深交所的相关要求。随着公司业务的进一步发展,外部环境的变化和管理要求的提高,公司内部控制还需不断加强和完善。
三、内部控制的改进方案
1.对控股子公司的管理控制应进一步加强
公司将制定一整套规范、完善的工作制度及相应的工作流程,对控股子公司实行对口管理,即各职能部门按照业务类别根据有关制度规定,按照管理流程进行对口管理。公司可定期或不定期地指派审计机构实施对子公司的内部审计监督。
2.公司产成品管理比较薄弱
公司加强了产成品管理力度,针对薄弱环节,修订和完善了相关内控制度及业务流程,对重要岗位进行了有效的职责划分,加强财务部门对产成品管理的介入力度,做到账账、账实相符,强化对产成品的控制权,保护公司资产的安全完整。
【案例10—2】亚新科内部控制评价标准体系2一、亚新科企业概况
(一)亚新科工业技术有限公司
亚新科工业技术有限公司(以下简称“亚新科”)是一家总部设在北京的外资企业。公司从1993年开始进入中国运营,累计现金总投资额约5亿美元。公司经过10多年的发展,目前在国内已拥有17家独资和控股合资企业,在美国有两家独资公司。公司员工总数达到2.5万人,是目前国内最大的专业汽车零部件制造集团之一。
亚新科工业技术公司的发展战略是以中国作为其发展的中心,面向国际市场。其经营战略目标是在其所有的产品领域内被公认为世界的领导者。这一发展战略与其他大型跨国公司在中国的投资项目完全不同。其他大型跨国公司通常只是将亚洲或中国作为其全球发展战略的一部分,如美国的通用汽车、德尔福汽车零部件公司等。因为这一重大差异,亚新科公司高层从1999年起确定了公司独特的经营战略,即建立一个真正的全球性公司。其独特之处在于它能够将中国与世界的精华融为一体,创建世界一流的汽车零部件公司。
亚新科作为一家纯外商投资企业,在其发展过程中,和众多外商一样,自1993年进入中国以来,由于不熟悉中国国情和当地文化历史背景而遇到许多挫折。1999年,公司股东和高层及时根据中国实际经营环境的变化,果断决定将公司从过去的纯投资型企业转变为基于技术领先的集团化经营管理型企业。公司积极采用各种现代企业管理手段,强化了对所属企业的经营管理的指导和服务,公司业绩稳步上升,发展前景光明。
(二)亚新科安徽子公司
亚新科安徽子公司是由亚新科工业技术公司在安徽宁国投资的外商独资企业,现有员工3000余人,是亚新科零部件集团重要的成员之一。公司在总经理领导下分设行政人事部、财务部、销售部、信用管理部、采购部、物流部、信息工程部、投资部。行政人事部除了负责日常行政事务、招聘、考核、薪酬外,还负责公司内部控制管理、保安、法律事务等。信用管理部负责客户资信调查、日常销售业务信用审核等,其余部门的业务和一般生产企业基本相同。
亚新科安徽子公司下设模具厂、橡塑制品厂、炼胶厂和液压工具厂四个分厂。公司的主要产品是汽车、摩托车、家电、工业工程等行业配套用的橡塑件、模具、各式修车工具产品和五金产品。目前密封件产品年生产能力已达4亿件,千斤顶产品达300万台。橡塑产品的生产均通过ISO9002、QS9000、VDA6.1、ISO/TS16949质量管理体系的认证,并已通过ISO14001环境管理体系的认证,液压千斤顶类产品的生产已通过ISO9001:2000版质量管理体系的认证。亚新科安徽子公司已经成为博世、日立、松下、三菱、德尔福、Dana、Honeywell、DRA、2于增彪、麻蔚冰、王竞达.:《亚新科工业技术公司的案例研究》.,载《新理财》,,2006(10)。
Maytag等世界一流公司的供应商,产品远销欧美、东南亚等国家和地区。本文将通过亚新科总部对安徽子公司的审计过程介绍亚新科的内控评分审计系统。
二、亚新科工业技术公司内部控制评价体系的设计思路
1999年,亚新科建立了一套完整的内控制度,即《亚新科集团内控管理程序》(AMP),共3分册88个项目。每个项目基本上由五部分组成,即目的、要求、职责图、文件与记录、参考资料。
2002年,作为《亚新科内控管理程序》的配套项目,为了对企业内控制度和管理风险进行有效评价,以便量化反映各下属企业的实际内控管理情况,使内控制度更好地发挥功效,亚新科总部又建立了内控评价体系。该评价体系是根据企业的主要业务循环并结合内控5要素对经营风险防范的相关要求,依据国家相关的法律法规、亚新科集团内控管理程序(AMP)建立的。2004年,为了使内控评价体系更具操作性及直观性,亚新科总部对内控评价体系进行了进一步修订。其目的是保证2004年度内控审计活动能够更加科学和客观,进一步真实反映企业的实际内控管理状况,并使审计评分结果能够更加精确地反映各企业间的内控管理水平差异。
具体而言,亚新科的内控评价体系是通过建立一套内控审计评分系统来实施的,即通过一定的审计方法对内控项目进行审计,对每一个内控项目按5要素进行分类,将审计中发现的问题归到每一个内控项目,再按照一定的评分方法得出内控的总体得分情况,以反映企业内控管理水平和管理风险的高低。亚新科工业技术公司内控评价体系的设计方法如下:
(一)内控审计评价范围和内容
在进行内控审计时,亚新科根据本单位及下属企业实际的业务内容并结合内控管理对经营风险防范的相关要求,确定内控审计的评价范围是企业构建的全套内控制度,并将上文提及的88个内控项目按照大类划分为13个业务循环,即综合项目、环保与职工健康安全、内部控制、信用管理、财务报告、销售与收款、采购与付款、生产与物流、法律事务、IT安全、安全保卫、投资管理、人力资源。
内控审计评价的内容是对内控制度的执行有效性进行评价。针对这一目标,对每一个项目首先按照内部控制的5要素(即控制环境、风险评估、控制活动、信息与交流、监督)进行分解,然后再将每一个要素分解为具体的评分内容,采用具体的内控审计方法对其进行评价。具体而言,一个内控项目的审计评价内容主要包括该项管理业务的管理程序建设、人员培训、风险评估、实际风险控制活动的开展情况、文档资料的收集保管、与其他部门的交流等方面,力争全面涵盖该项业务中可能存在的主要风险控制点。
(二)内控审计评价标准和方法
在对内控制度进行评价时,确定适当的评价标准非常重要。实务中可以采用如下几种内控评价标准模式:第一种是COSO报告中的5个要素标准,即将内控项目按COSO5个要素进行细分,再按照COSO中每一要素的必要条款确定评价标准;第二种是采用一般标准和具体标准作为评价标准,其中,一般标准主要指内控制度的完整、合理和有效性,而具体标准又可以划分为要素标准和作业标准;第三种是结果评价标准和过程评价标准,其中,结果评价标准主要是考核内控目标的达到程度,而过程评价标准主要指内控执行过程中的有效程度如何。亚新科在选用内控评价标准时,采用的是以COSO报告的5个要素所要求具备的基本条款作为评价标准。
在对内控项目进行审计时,以现场抽样调查为主,辅以访谈、计算核实、观察、检查等手段。实际工作时将根据具体的审计项目和内容确定。
(三)内控审计评分标准
在确定内控审计评分标准和方法时,考虑到内控评价需要定期进行,并且与前期评价相关,亚新科首先确定整体内控审计评分由三部分构成:基本项目、以前审计中发现问题纠正
情况、本次审计中发现的新问题及审计师综合印象。然后再按照每一部分的具体内容确定相应的评分标准和方法
第一部分:基本项目(该部分满分为70分)。
基本项目内审评分是指内控审计人员依据内控审计项目评分和各项目权重加权得出的审计分,是评分审计的主体。由于内控审计项目中各个具体评分内容所包含的风险不同,对每一个具体评分内容,将根据其风险大小分为高、中、低三级,同时,为了体现不同风险等级问题分值的区别,使高风险问题在整个项目值中占较大比例,低风险问题占较小比例,给每个风险等级赋予了一个权重,分别设为5,3,l。权重间距越大,不同风险等级问题的区别会越明显。这样每一个具体的评分内容的分数将根据该审计项目的总分及其风险等级来确定(即按权重分配,当审计内容增加时,在总分内容一定的情况下,会自动减少每一项审计内容的分值分配情况)。
为有效凸显企业管理水平,将企业的每个具体评分项目所对应的业务完成程度分为5级(见表10—6)。
表10—6具体评分项目业务完成程度分级
完成程度
100%75%50%20%具体含义
全部完成(或做到)。程序非常完善,完全按程序实施
完成(或做到)大部分,或基本完成(做到)。有程序,但不很完善,基本照程序实施
完成(或做到)一部分。包括有一定的程序,但程序极不完善,也未完全按程序实施
完成程度很低,大部分风险未能得到有效控制。没有书面程序,但有一定的习惯做法,完全凭习惯或主管领导指示办事。有少量的风险控制意识
完全未做,对与该业务相关的风险没有任何防范措施。没有书面程序,也没有具有控制意识的习惯做法,办事随意,各行其是,根本没有风险控制意识
0%每个审计项目的得分=∑(该审计项目中每个评分项目的权重×完成程度)
基本项目得分=∑审计项目分值×70%第二部分:以前审计中发现问题纠正情况得分(该部分满分为20分)。
这是为了跟踪运营公司及时解决已经发现的内控薄弱环节情况而进行的评价,该项得分和内控薄弱环节跟踪改进完成程度直接相关。
第二部分项目得分=20%×已经改进完成的问题数÷上年审计师提出的薄弱问题数
第三部分:外部审计师管理建议落实情况(该部分满分为10分)。
该部分是指企业的外部审计师在进行年度审计后针对企业存在的管理风险提出的改进建议。这些管理建议是否得到了被审计企业的重视并被贯彻落实的情况需要进行检查评价。
第三部分项目得分=10%×已经完成整改数÷上年度外部审计师提出的整改数
需要明确的一点是,基本项目得分、以前审计中发现问题纠正情况得分、外部审计师管理建议整改得分三个部分的得分分别占总分的70%,20%,10%。在按照上述做法得到每个部分的分值之后,三个部分得分总和即为各运营公司的内控得分。
(四)内控评价等级评定
在采用一定的内控审计方法和内控评分方法得到总体内控得分后,需要对企业的内控制度进行一个总体评价。亚新科内控评分审计采用的是百分制,审计等级按五级确定,见表10—7。
表10—审计等级
级别
第一级
第二级
第三级
第四级
第五级
分值
90分以上
71~89分
60~70分
40~59分
40分以下
优
良好
优良程度
合格但不足
不合格
差或极差
如果内控审计后得到的内控得分是90分以上,则可以认为该企业的内控执行有效性评价结果为优,如果得分是71~89分,则可以认为该企业的内控执行有效性评价结果为良好,其余结果可依此类推。
三、亚新科公司内控评分审计系统具体操作
以下以亚新科工业技术公司对安徽子公司进行的评分审计为例,说明其内控审计评分系统的具体操作过程。
(一)按照内控项目进行分类,确定每一个内控基本项目的分值
如前所述,亚新科工业技术公司的内控项目可以划分为13个业务循环,也可以称为基本项目。在内控评价体系的设计过程中,考虑到每个业务循环的风险等级和重要性不同,企业可以按照风险等级,赋予每个业务循环以不同权重。其具体权重划分见表10—8。
表10—内控项目与权重表
内控制度项目
综合项目
环保与职工健康安全
内部控制
信用管理
财务报告
销售与收款
采购与付款
生产与物流
信息安全
法律事务
安全保卫
投资管理
人力资源
小
计
目标值(权重)
5.005.005.005.0020.0012.0010.008.005.005.005.0010.005.00100.00(二)明确内控评价标准、评价方法和权重
对于内控基本项目的评价按照COSO报告中的内部控制5要素(即控制环境、风险评估、控制活动、信息与交流、监督)展开,再将每一要素按照关键控制点拆分成更为具体的内控评价指标或标准进行评价,明确其风险等级评价方法以及权重。下面以销售与收款项目评价为例,H代表高风险,M代表中等风险,L代表低风险(见表10—9)。
表10—销售管理内控项目评价标准表
内控要素
内控评价项目
公司是否建立了与亚新科内控管理程序相一致的销售管理程序?
风险等级
M评价方法
询问检查
询问检查
询问检查
询问检查
询问检查
询问检查
询问检查
询问检查
询问检查
询问检查
询问
询问
询问检查
检查测试
权重
3控制环境
是否对全体销售人员进行了必要的销售管理程序培训?
M3公司是否与所有销售人员签订了保密协议书?
是否有完整的驻外销售分机构管理程序?
风险评估
销售部是否对本部门存在的高风险领域进行过评估?对相应的高风险领域是否提出了相应的控制办法?
公司是否定期编制各类销售计划?
是否对所有重要客户定期进行信用调查?
MH35H5MH35销售合同的签订是否经过评审并按授权获得了相应的批准?
M3控制活动
销售人员是否定期与客户对账?对重要客户是否每月至少对账一次?对账差异是否能得到及时处理?
销售人员是否不准收取客户现金付款?
销售部门是否不直接控制公司的外埠仓库?
是否与财务、内控人员共同对寄存客户方的产品进行定期盘点?
所有销售发货是否都经过信用部和财务部批准?
发货单是否严格根据客户采购合同或采购订单签发?
H5HMHMM53533销售折扣和降价销售是否严格按照内部授权审批进行?
H检查
销售人员是否严格按照有关规定登记工作日志?
M检查
3销售人员部分或全部收入是否与销售回款、销售额等有关指标挂钩?
是否定期对销售人员进行利益冲突调查?
M询问检查
M询问检查
H询问检查
H询问检查
M检查
33销售资料的管理是否符合公司档案管理规定并及时归档?
5公司销售部是否定期与财务、物流等部门进行应收账款等的核对?
销售退货是否有完整的记录?
5信息与沟通
3销售分支机构或销售分部掌握的公司客户档案是否及时得到更新并归入母公司客户档案内?
销售人员是否按公司要求建立销售台账?
M询问检查
M询问检查
H询问检查
L检查
33内控部、财务部是否定期派人对销售部及驻外销售分支机构进行业务检查?
公司是否对销售计划的准确性进行考核?
监督
公司内控经理和财务部是否按期对销售部及驻外销售机构的工作进行检查监督?
51M询问检查
3(三)计算综合得分
根据基本项目得分、以前评价中发现问题纠正情况得分、本次评价中发现的新问题及外部审计师管理建议整改得分三项,综合得出内控评分数额。得分及计算过程见表10—10、10—11所示。
表10—1亚新科安徽子公司内控审计——基本项目评分表
内控制度
综合项目
环保与职工健康安全
内部控制
信用管理
目标值
5.005.005.005.00实际值
4.792.855.004.04比率(%)
95.8057.00100.0080.8财务报告
销售与收款
采购与付款
生产与物流
信息安全
法律事务
安全保卫
投资管理
人力资源
小
计
20.0012.0010.008.005.005.005.0010.005.00100.0018.7310.539.137.014.953.884.308.754.9088.8593.6587.7591.3087.6399.0077.6086.0087.5098.0088.85表10—11亚新科安徽子公司内控审计综合评分表
序号
123项
目
基本项目实际权重及得分
以前测试发现问题的纠正情况得分
外部审计师管理建议整改得分
小
计
权重
70%20%10%100%得分
62.213.015.6280.83亚新科安徽子公司内控审计的最终得分为80.83,表明该公司内部控制执行有效性为良好。
四、亚新科内控评价体系的启示
亚新科内控评价体系是亚新科从自身实际需要出发对构建内部控制评价系统所作的积极尝试。在内控评价的内容、范围、方法以及如何设计和实施内控评分系统和等级评定方法等方面,为其他企业提供了可供借鉴且具有可操作性的范例。该评价体系固然还有不足之处,但总体而言,是“出于COSO而胜于COSO”,创造性地将COSO报告所提出的原理付诸于实践,拓宽了内控制度的视野,丰富了我国内控制度的知识。在对亚新科内控评价体系研究的过程中,以下几点特别值得注意:
(一)正确界定内部控制评价的目标
从中西方内控评价的发展史中我们可以看出,原有的内控评价目标大都从审计角度出发考核企业所制定和执行的内控制度能否达到可靠性、合法合规性、经营效率和效果。而在具体执行中,其侧重点更是关注于可靠性和合法合规性,至于经营效率和效果在内控评价中受到的关注程度历来较少。
COSO委员会在《企业风险管理控制框架》中将内控目标界定为四类:战略目标、经营目标、报告目标以及合规目标,已经远远超出以往的内控规范。企业也日益认识到构建内部控制体系的目标,不但是要满足监管部门对于信息提供和披露方面的需求,更重要的是,内控制度要有助于企业战略目标、企业经营的效果和效率的实现。应该说,内控制度的立足点之一是要通过制度化规范标准的构建,来规范企业员工的行为,加强行为理性,提高企业的经济效益。由此立论,内部控制评价的目标应该是从内部控制的目标出发,来对内部控制的设计和执行进行评价,考核内部控制所规定的目标实现与否。在具体界定内部控制评价目标时,不同的评价主体可能对内部控制评价的目标有不同的界定,如监管部门推动实施的内控评价,其目标可能更多地关注内控制度所达到的报告目标和合规目标,而企业自身进行的内控评价,其目标就不应局限于报告目标和合规目标,还应该包括内控对企业战略目标和经营目标实现的作用程度。
(二)内控评价体系应以风险管理理念为基准
COSO在《企业风险管理控制框架》中将风险明确定义为“对企业战略目标实现产生负面影响的事件”,而全面风险管理则是在8个要素的基础上建立的4项目标和一套由董事会、管理层和其他组织成员制定、实施并对该4项目标产生积极影响的程序。除此之外,该框架还引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,可以在概率统计的基础上,合理地确保企业的发展战略与风险偏好相一致,增长、风险与回报相联系,从而实现全面风险管理的4项目标。
在构建内控评价体系的过程中,应该以风险管理理念为基准。风险管理成为组织管理的关键所在。内控评价的重点应该是确认风险及测试管理风险的方法,在风险导向的内控评价中,分析、确认、揭示关键性的经营风险,在评价标准、指标和权重的选择上均要把握风险管理理念,这才是内控评价的焦点。
(三)内控评价体系应选取科学合理的标准
制定内部控制评价标准是进行内部控制评价的依据和前提。缺乏科学合理的评价标准而进行的内部控制评价,其结果可能不能真实反映企业内部控制的健全和有效与否。在对内部控制进行评价时,首先必须确定的是采用何种评价标准对内控整体乃至具体的内控项目进行评价。
考虑到内部控制的战略目标、经营目标和合法合规性目标,内部控制的评价标准可以选用结果评价标准和过程评价标准。结果评价标准就是要考核内控目标的实现程度,是基于内控目标而建立的一系列结果考核指标。过程评价标准的制定可以按照内控项目来进行,按照风险管理思想,根据风险管理框架中的8个要素来设定控制标准。
(四)规范内部控制评价的内容
自内部控制产生以来,内部控制的内容就一直饱受争议。从最初的内部牵制,发展到内部控制结构,再到COSO报告的整体框架以及后来的风险管理框架,内控的范围似乎有日益扩大的趋势。由此产生的一个问题便是,内部控制评价是限于会计相关控制,还是稍大扩展到内部控制的各个环节?
笔者认为,界定内部控制评价的内容应是从评价主体和评价目标出发。如果内部控制评价是出于监管部门的硬性要求,由外部中介机构进行,考虑到我国注册会计师行业目前的执业水平,将内部控制评价范围限定在会计相关控制方面较为合理。而如果是企业自身对构建的内部控制制度作出评价,则应该考虑其构建内控制度的经营、会计和战略目标,评价的内容就不仅应该包括会计控制,而还应该包括公司治理、业务和流程控制等方面的内容。
篇二:内部控制评价体系
内部控制评价指标体系
一、高校内部控制评价指标体系设计
针对高校内部控制自身的特点,遵循全面性、合理性、科学性、可操作性的原则,设计指标体系如下:
1.组织架构:行政事业单位的组织架构是行政事业单位明确内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。组织架构包括职责分工、制度建设和关键岗位责任制。职责分工指按照不相容岗位分离的制衡原则确定高校领导和分管领导对内设部门和下属单位的管理职权划分;制度建设指高校内部控制制度的建设情况,是否各个部门、各项业务都建立了控制制度、控制程序;关键岗位责任制是对内部控制目标实现有重要影响的关键性岗位,是否明确其岗位职责权限、人员分配,以及按照规定的工作标准进行考核及奖惩。
2.决策机制:高校是否有合理的决策议事制度,详尽的决策记录制度和可操作性的决策问责制度。决策机制包括风险评估、专家论证和集体决策。风险评估指高校通过一定的技术手段找出那些影响控制目标实现的有利和不利因素,并对存有的风险隐患进行定量和定性分析,从而确定相对应的风险应对策略;专家论证指聘请专家对项目的可行性进行论证,并将论证的结果作为决策的依据;集体决策指高校对重大经济活动进行集体决策,防止决策风险和腐败行为。
3.监督机制:高校对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,对于发现的内部控制缺陷,及时加以改进。监督机制包括内部审计、纪检监察、绩效考评。内部审计指高校内部审计是否保证具有独立性、权威性,是否定期进行内部审计,内部审计发现的问题是否得到改进;纪检监察指高校是否对重要经济活动进行监督监察,是否对领导干部进行廉政教育,是否对信访案件及时处理;绩效考评指对各部门工作人员内部控制制度执行情况进行考核,并进行奖励与惩罚。
4.预算控制:对年度高校收支的规模和结构进行预计和测算,并按照省教育厅批复的预算分配资金,安排各部门的经济活动。预算控制包括预算编制控制、预算执行控制和决算与考评控制。预算编制控制指预算编制是否内容完整、项目细化、数据准确,编制过程中财务、资产、基建、人事部门是否相互沟通;预算执行控制指是否定期预算执行情况分析,是否随意调整预算,是否落实预算执行责任制;决算与考评控制指是否及时编制决算报告,决算报告是否整理归档,是否建立财务分析报告制度,是否进行预算评价,是否建立预算执行考核奖惩制度。
5.收支控制:对高校在开展教学、科研及其他活动时取得的收入和发生的支出进行控制。收支控制包括收入控制、支出控制和债务控制。收入控制指是否按物价局许可的标准收费,是否违反收支两条线,票据保管、领用、销毁制度是否完善;支出控制指支出是否经过审批,是否符合预算,是否报销票据合法,支出效益是否低下;债务控制指是否经过授权审批,是否具有跟踪管理制度,是否具有偿还能力。
6.政府采购控制:高校按照政府集中采购目录进行采购或采购限额标准以上的货物、工程和服务的行为。政府采购控制包括采购计划控制、采购招标控制、验收及结算控制。采购计划控制指高校是否根据预算合理制定采购计划,采购招标控制指高校组织分散采购时是否进行招标,是否聘请专家进行评标;验收及结算控制是否对采购资产进行预算,供货单位所提供的结算资料是否齐全。
7.资产控制:指货币资金、债权、存货、对外投资、固定资产、无形资产管理是否适当,是否健全资产管理制度,各类资产是否有相关部门归口管理。资产控制包括短期资产控制、长期资产控制和投资控制。短期资产控制包括货币资金存放是否安全,印鉴是否分开管理,货币资金核算是否不相容岗位相分离,银行账户是否统一管理,债权是否及时清理,存货领用、处置是否经过审批;长期资产控制指固定资产是否定期盘点,固定资产处置是否履行招标程序,固定资产是否有
明确的保管人,无形资产是否登记入账;投资控制指投资是否经过财政厅审批,投资收入是否收支两条线,是否设立责任追究制度。
8.工程控制:指工程立项是否进行可行性研究,设计方案是否合理,竣工验收是否规范。包括立项控制、施工控制和竣工决算控制。立项控制指立项是否进行专家论证,是否经过集体决策,是否建立审核机制;施工控制指是否实行严格的工程监理制度,是否按批准的设计图纸、技术标准及合同约定组织施工,是否按工程进度结算工程款,是否增强对设计变更、进度变更、施工条件变更鳄鱼增减工程的管理;竣工决算指进行竣工决算设计,是否及时办理固定资产移交手续。
9.合同控制:指是否明确授权审批和签署权限;是否按合同约定履行合同;合同控制包括合同订立控制和合同执行控制。合同订立控制指是否建立合同专用章保管制度,是否经过授权审批,是否充分了解对方当事人主体资格、信用状况,确保对方当事人具备履约能力,是否聘请专家参与谈判;合同执行控制指是否保质保量按期完成合同,是否按时办理合同价款结算,合同纠纷是否及时解决,合同档案是否登记,归
二、结论
综上所述,增强黑龙江省高等农业院校内部控制三个关键因素是职责分工、制度建设和风险评估。高校应首先重点运用不相容职位分离、内部授权审批控制科学划分机构功能与分工,合理设置内部控制关键岗位,明确不同部门或岗位的职责权限,实施相对应的分离措施,从而形成相互监督、相互制约的工作机制;其次建立健全内部控制相关工作程序,工作制度;再次,对业务活动各个环节进行风险评估,设置关键风险控制点,积极应对学校经济活动存有的风险。黑龙江省高等农业院校内部控制职能部门应每年组织进行内部控制评价工作,及时发现经济活动中存有的问题,有效防范舞弊和预防腐败,推进黑龙江省高等农业院校教育事业的健康发展。
内部控制评价指标体系
篇三:内部控制评价体系
内部控制评价制度
第一章
总则
第一条
编制目的和意义
作为上工申贝(集团)股份有限公司(以下简称
“上工申贝”或“公司”)内部控制体系建设的组成部分,为确保公司内部控制体系的有效运行,提高公司内部控制与经营管理水平,促进公司健康、可持续发展,为公司增加价值并提高公司运作效率,特制定《内部控制评价制度》(以下简称“本制度”)。
公司旨在通过本制度明确公司内部控制评价、评估汇总和报告的工作流程和管理体系,明确内部控制评价工作的职责体系,将内部控制评价工作落实到公司的各个层面,实现对内部控制体系有效性的持续监控。内部控制评价作为内部控制监控的重要手段之一,帮助管理层确保公司内部控制体系有效地设计并且持续有效地运作。公司内各单位要对其负责的控制活动根据本制度进行自评,内部控制评价小组要根据本制度对公司的内部控制进行独立测试。通过自评与独立测试相结合,形成有效的内部控制自我评价体系和持续监督体系,确保内部控制的持续有效,最终实现公司内部控制的总体目标。
本制度适用于公司本部及直属分公司、公司范围内的全资和控股子公司。其他参股公司可在适用情况下参照执行。
第二条
编制基础和依据
本制度依据财政部、证监会、审计署、银监会、保监会颁布的《企业内部控制基本规范》、《企业内部控制评价指引》等有关法规规定,并结合公司的具体情况编制而成。
第二章
内部控制评价的组织机构
第三条
内部控制评价组织机构
组长:董事长
副组长:总经理
成员:各业务分管副总、董秘
内部控制评价的参与主体及其各自的职责包括:
公司董事会:负责对内部控制的有效性进行全面评价、形成结论,出具报告,并对内控评价报告的真实性负责。
董事会授权公司审计部为公司内控评价部门,负责内部控制评价的具体组织实施工作,对控制缺陷进行分析、复核、报告及跟踪,向董事会、监事会或者经理层报告发现的内控缺陷。
公司审计部应组建内控评价小组,领导评价小组实施内部控制独立测试工作,并完成评价工作底稿。内控评价小组由公司审计部负责牵头,并吸纳企业内部相关职能部门(如:财务、人力资源、董办等部门)熟悉情况的业务骨干组成。也可以委托中介机构参与独立测试的工作。
公司内控评价小组工作成员:审计部骨干、财务部门骨干、人力资源部门骨干、经营管理部骨干、办公室骨干。
公司各职能部门、分公司及控股子公司:成立内控业务小组,由公司各职能部门正职、分公司及控股子公司一把手任组长,公司各职能部门副职、分公司及控股子公司的副职任内控联络员,内控业务小组主要负责实施内部控制自评工作,并填制内部控制自评问卷或底稿,上报公司审计部。
第三章
内部控制评价范围
第四条
依据全面性、重要性和客观性的原则,内部控制评价的范围是公司合并报表范围内的各级公司。
第五条
公司评价包括公司层面和业务层面开展内部控制自我评价工作。在公司层面,对内部环境、风险评估、控制活动、信息与沟通、内部监督等五个方面从内部控制的设计有效性和运行有效性两方面进行全面系统评价。在业务层面,对为确保战略目标、经营管理的效率和效果、财务报告及相关信息的真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标实现所设置的内部控制活动进行评价。
第四章
内部控制评价的整体工作流程
第六条
内部控制评价的流程
内部控制评价程序包括:制定内部控制评价工作方案、执行内部控制现场测试、汇总控制缺陷和行动计划、内部控制缺陷认定和编报评价报告等环节。
内部控制评价的整体工作流程如下图所示:
内部控制评价工作流程审计部审计委员会/董事会各职能部门/分子公司内控评价小组开始内控评价方案制定内部控制评价工作方案审计委员会审批组建内控评价小组内部控制自评内部控制独立测试执行内控测试NO设计是否有效YES运行是否有效控制缺陷和行动计划NO提出控制缺陷和整改建议内部控制缺陷认定提出整改计划和任务内控缺陷认定是否为重大缺陷YES董事会认定NO评价报告报告董事会审批结束YES
第五章
制定内部控制评价工作方案
第七条
内部控制评价工作方案
每年由公司审计部负责内部控制评价工作。公司审计部根据国家法律法规要求、公司经营特点、发展目标及年度工作重点制定内部控制评价工作方案,其中包括公司各职能部门、分公司及控股子公司对内控设计有效性和运行有效性的自我评价工作计划和内控评价小组的独立测试计划。
内部控制评价工作方案应当明确评价目的、范围、组织、标准、方法、进度安排和人员预算等内容,报经理层和董事会审计委员会审批通过。
第八条
组建内部控制评价小组
公司审计部应当根据经董事会审计委员会批准的评价方案,组成内部控制评价小组,具体实施内部控制评价工作。评价小组可以吸收公司职能部门、分公司及控股子公司(如财务、人力资源等)熟悉情况的业务骨干参加。评价小组成员对本部门的内部控制评价工作应当实行回避制度。
第六章
执行内部控制评价
第九条
内部控制评价的内容
内部控制评价包含两大部分:一是公司各职能部门、分公司及控股子公司的内控自评;二是内控评价小组的独立测试。
各职能部门、分公司及控股子公司的内控自评主要是由职能部门、分公司及控股子公司对内部控制有效性进行自我评估的过程。公司审计部负责组织协调各职能部门、分公司及控股子公司进行内控自评并在各部门、分公司及控股子公司进行内控自评的过程中提供业务指导。
内控评价小组独立测试是由内控评价小组综合运用访谈、测试和比较分析等方法,广泛收集内部控制设计和运行是否有效的证据,研究分析内部控制缺陷,对内部控制的有效性进行评价的过程。内部控制独立测试由审计部牵头组成的内控评价小组执行,各职能部门、分公司及控股子公司必须接受业务指导、予以配合和协助。
第十条
内部控制评价的对象
公司内部控制评价的对象涵盖内部环境、风险评估、控制活动、信息与沟通、内部监督等要素的所有内部控制活动及内控评价部门依据全面性、重要性和客观性的原则确定的公司合并报表范围内其他业务实体的内部控制活动。
公司内部控制手册针对各业务流程,确定了相应的风险、控制目标和控制活动。
公司内部控制手册中的风险来源于各个业务流程中的风险以及公司日常经营业务中面临的特定风险。
控制目标是指公司为达到资源合理组织、整合与利用,并规避及防范经营业务中可能的风险所须达到的目标。
控制活动根据其发生的时点,可分为预防型控制和检查型控制两大类,其中:
(一)预防型控制是事前控制,是指采取措施以预防控制目标未能实现的情况;
(二)检查型控制是事后控制,是指采取措施以发现和纠正控制目标未能实现的情况。
控制活动根据其操作方式,又可分为手工控制和系统控制两大类,其中:
(一)手工控制是通过人工操作(包括人工对系统的操作)来执行的控制活动。手工控制的有效性依赖于执行控制活动的执行人的胜任能力和尽责程度。培训和专业经验的培养对于手工控制的执行人非常重要,因为手工控制可能由于执行人缺乏培训和专业经验而导致控制活动未得到持续、有效地执行。
(二)系统控制是完全基于系统的操作和运行、不介入任何人工干预来执行的控制活动。系统控制的有效性依赖于有效的通用计算机控制环境。
第十一条
内部控制评价的结论
内部控制评价的结论将分为设计有效性和运行有效性两个方面。
(一)设计有效性
设计有效性是指为实现控制目标所必需设置的控制措施设计适当并投入实施。
设计有效性的评估结果分为四种:有效、部分有效、无效和不适用。
有效
:控制活动的设计能够完全满足控制目标。
部分有效:
控制活动的设计不能完全满足(即部分满足)控制目标。
无效
:未针对控制目标设计相关的控制活动。
不适用
:无控制目标相关的业务事项。
(二)运行有效性
运行有效性是在控制活动设计有效的前提下,得到持续有效的运行。
运行有效性的评估结果分为三种:有效、无效和不适用。
有效:控制活动得到持续有效的执行。
无效:控制活动未持续有效地执行,或者管理层突破规定的权限执行控制活动。
不适用:评估期间或测试期间内无相关业务事项发生,故该控制活动没有发生。
(三)控制缺陷类型
与内部控制的设计有效性和运行有效性相应,内部控制缺陷包括设计缺陷和运行缺陷。
设计缺陷是指缺少为实现控制目标所必需的控制,公司现有控制措施设计不适当,即使正常运行也难以完全实现控制目标。
运行缺陷是指在内部控制设计有效的前提下,没有按设计意图持续有效运行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制,导致控制目标不能完全实现。
第十二条
各职能部门、分公司及控股子公司内部控制自我评价流程
内部控制自我评价流程内控评级部门/审计部各职能部门职能部门/分子公司内控业务小组负责人/内控业务小组组长开始根据审计委员会批准的内控评价方案启动当年自评工作发放本年度《本年度自我评估表》《本年度自我评估表》发放本年度《本年度自我评估表》设计是否有效NOYES运行是否有效单位内部讨论在《内部控制自我评估表》“说明”列中填写整改方案、责任人审核《内部控制自我评估表》YES提交本年度《内部控制自我评估表》《本年度自我评估表》督促整改,确认整改结果结束
第十三条
开展内部控制自评
公司审计部根据年度内部控制评价工作方案的时间安排,发布统一通知启动公司年度内部控制自评工作。
(一)发起内部控制自我评估
每年,内部控制自评工作启动后,公司审计部向各职能部门下发《内部控制自我评估表》。
(二)执行内部控制自我评估
各职能部门、分公司及控股子公司接到《内部控制自我评估表》后,组织本部门内控业务小组针对本部门、本公司负责的控制活动,根据其日常工作的情况,确认内部控制活动是否发生变化,并对控制活动的设计有效性和运行有效性进行自我评估,并将填制完成的《内部控制自我评估表》提交给部门负责人(内控业务小组组长)审核确认。
各部门、分公司及控股子公司内控业务小组在进行内部控制自我评估时,若发现属于其他部门、其他公司负责的控制活动,须及时与审计部联系,告知不属于本部门、本公司负责的控制活动,由审计部核实后再联系相应的职能部门及公司。审计部应检查以确保各流程《内部控制自我评估表》填写的完整性。
内部控制自评工作开展过程中,各职能部门、分公司及控股子公司须按要求及时提交《内部控制自我评估表》,审计部对《内部控制自我评估表》的提交情况进行跟踪统计,对逾期未提交《内部控制自我评估表》或未按要求填写《内部控制自我评估表》的部门及公司由审计部进行考核。
第十四条
控制缺陷和行动计划
在自评工作中,设计有效性和运行有效性评估结果为“部分有效”或“无效”时,针对内部控制自评过程中发现的内部控制缺陷,各职能部门、分公司及控股子公司需要在内部(内控业务小组)开展讨论,拟定整改计划,并细分至具体整改任务,包括落实到具体整改任务责任人、预计完成时间等,在《内部控制自我评估表》“说明”列中记录控制缺陷的相关信息,包括控制缺陷描述、提取的样本信息、控制缺陷种类和问题初步改善方案。《内部控制自我评估表》经过单位负责人(内控业务小组组长)
审批确认后,交公司审计部汇总。
如整改计划和整改任务涉及多个部门而无法由单个部门单独确定时,该部门
应及时与内控评价部门进行沟通,在审计部协调下通过研讨会确定跨部门控制缺陷的整改计划,落实整改任务。
各单位的内控缺陷整改计划制订后,由部门正职、所属分管领导审批通过后,下发执行整改。
各部门正职、各公司一把手(内控业务小组组长)应定期督促、检查本部门、本公司缺陷整改进度,填写整改进度自查表,按要求报审计部。
审计部对整改结果进行核查和确认,并将整改进度和整改状态填写至《整改进度跟踪表》,交公司领导审阅。
第十五条
内部控制独立测试工作流程
内部控制评价工作组应当根据《企业内部控制基本规范》、应用指引以及公司的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,结合各部门内部控制自我评估结果对内部控制设计与运行情况进行全面监督检查。
内部控制独立测试工作流程具体步骤如下图所示。
内部控制独立测试流程各职能部门/分子公司内控业务小组内控业务小组组长内控评价小组内控评价部门/审计部内控评价小组组长开始内部控制自我评价流程执行本年度内部控制独立测试控制是否发生变动YESNO设计是否有效YES运行是否有效NONOYES填制《控制缺陷整改通知书》填制《控制缺陷整改通知书》审计部填写部分NO审批通过修改工作底稿NO审批内控独立测试底稿YESYES形成控制缺陷整改计划下发《控制缺陷整改通知书》YES审批督促整改并检查确认整改结果准备内部控制评价报告派发整改任务结束
第十六条
执行内部控制独立测试
每年,各职能部门、分公司及控股子公司完成内部控制自我评估工作后,内控自评工作小组查看各部门上报的《内部控制自我评估表》中的内部控制活动是否发生变化,内控自评工作组对于各流程中发生变化的内部控制活动进行设计有效性评估,对于未发生变化的内部控制活动直接进行执行有效性评估。
对于控制活动发生变化的流程,内控评价小组对变化后的控制活动进行有效性评估确认有效后,由审计部将变更后的控制活动更新至内部控制手册相应章节。
(一)设计有效性的评价方法
设计有效性的评估方法通常包括访谈和穿行测试。
访谈
访谈的主要目的是通过与相关人员进行访谈,了解各业务流程风险相关的控制措施的更新状况,主要步骤包括:
·
了解相关各部门的背景资料,例如部门设置,职责分工,基础业务说明,业务政策和历史稽核信息;
·
事先阅读风险、控制目标及其对应的控制活动;
·
按业务的流程顺序,列出访谈人员名单和访谈问题清单;
·
在每次访谈前,向访谈人简要描述本次访谈的内容和目的;
·
根据访谈问题清单开展访谈,初步了解业务流程和控制措施;
·
对于访谈问题清单以外的一些发现点,可以当场与受访人员深入研究;
·
访谈完毕后,可以根据访谈内容做简要汇总,将访谈中获得的控制措施与控制目标联系起来,填入工作底稿;
·
列出所需资料清单,并向被访人员索取资料和代表性业务样本。
穿行测试
内控评价小组成员对每一类交易选择一笔代表性业务,取得从业务的发起到结束的相关资料和单据,验证相关控制活动是否投入实施。,控制活动的描述是否正确,是否能充分实现控制目标。
如果设计有效性评估结果为有效,则继续进行运行有效性测试,并保留一份代表性样本支持性文件作为审计证据存档。
如果设计有效性评估结果为部分有效或无效,具体行动措施参见“第十六条
控制缺陷和行动计划”。
(二)运行有效性的测试方法
控制活动的运行有效性主要通过抽样测试的方法来获取相关结论。若控制活动设计有效,则进一步根据控制活动发生的频率确定样本量,从确定的抽样总体
中抽取样本,对控制活动的执行情况进行测试,进而对控制活动的运行有效性作出评价。
1、运行有效性测试样本量
·
手工控制
手工控制的运行有效性测试样本量根据控制活动发生的频率确定。控制活动频率包括突发的、每日多次、每天、每周、每两周、每月、每季度、每半年、每年等。根据控制活动的类型和发生频率,可参考以下最低标准样本量,对不同的控制活动进行内部控制运行有效性测试。
(1)
频率确定的控制活动的最低标准样本量
控制类型
手工控制
手工控制
手工控制
手工控制
手工控制
手工控制
控制活动发生频率
每日多次
每天
每周/每两周
每月
每季度
每年/每半年
年发生次数
>20050-20015-505-15<5样本量
25205221样本量
2515521(2)
频率不确定的控制活动的最低标准样本量
控制类型
手工控制
手工控制
手工控制
手工控制
手工控制
·
系统控制
系统控制的运行有效性选取一个样本进行测试。
2、运行有效性测试的执行
控制活动类型包括:预防型控制/检查型控制、手工/系统控制。根据不同类型的控制活动,内控评价小组组员可考虑采用不同的审计测试程序。
第十七条
内部控制独立测试工作底稿
内控评价小组组员在内部控制测试底稿中应详细记录样本编号、抽样日期、描述所见,并判断控制活动是否持续运行有效,并将测试底稿归档保存。编制的测试底稿必须经过审计部负责人审核。
内控评价小组组员完成内部控制独立测试后,应汇总所有的控制活动测试中各职能部门的自评结果与内控评价小组独立测试结果的差异,形成内部控制自我评估及独立测试结果差异汇总表,并和相关部门进行及时沟通,讨论理解上的差异并提出建议。
第十八条
控制缺陷和行动计划
当设计有效性的评估结果为“部分有效”或“无效”,或者当运行有效性的评估结果为“无效”时,内控评价小组组员应提出控制缺陷,对发现的控制缺陷提供相关的整改建议,并向相关部门发送《控制缺陷整改通知书》,及时沟通以确认控制缺陷并讨论确定整改建议。
相关部门根据整改建议,经过内部讨论一致确定整改计划并细分至整改任务,包括落实整改责任人、整改任务的优先顺序、预计完成时间等,填写完整《控制缺陷整改通知书》,经过单位负责人审批确认后,书面反馈至公司审计部汇总。
各单位的内控缺陷整改计划制订后,由部门正职、所属分管领导审批通过后,下发执行整改。
各部门正职、各公司一把手(内控业务小组组长)应定期督促、检查本部门、本公司缺陷整改进度,填写整改进度自查表,按要求报公司审计部。
公司审计部对整改结果进行核查和确认,并将整改进度和整改状态填写至《整改进度跟踪表》,交公司领导审阅。
第十九条
内部控制评价工作考评
公司年度内控评价工作将纳入各部门、分公司及控股子公司年度关键KPI指标,由审计部根据各部门、分公司及控股子公司内控评价工作情况及评价结果提出奖惩建议。
第七章
内部控制缺陷的认定
公司对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由公司审计部进行综合汇总分析后提出认定意见,按照规定的权
限和程序进行审核后予以最终认定。
第二十条
内部控制缺陷的认定程序
公司审计部应当根据各部门、分公司及控股子公司上报的《内部控制自我评估表》及内控评价小组独立测试发现的内部控制缺陷编制《内部控制缺陷认定汇总表》,结合内部控制缺陷及其持续整改情况对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,按照以下标准提出认定意见。
第二十一条
内部控制缺陷的认定标准
内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷:
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
公司审计部按照定量及定性的标准,对内部控制评价过程中发现的内部控制缺陷进行认定。
对于财务报告内部控制缺陷,通过定量的方式予以确定。由该缺陷可能导致财务报表错报的重要程度来确定,这种重要程度主要取决于两方面因素:一是该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报;二是该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。内控评价部门借鉴公司财务报表重要性水平来确定财务报告内部控制缺陷的定量认定标准。
对于非财务报告内部控制缺陷,综合采用定量或定性的标准来对内部控制缺陷进行认定。
1、财务报告内部控制缺陷的认定标准
定性标准
重大缺陷:单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报告中的重大错报。出现下列情形的,认定为重大缺陷:
(1)控制环境无效;
(2)董事、监事和高级管理人员舞弊行为;
(3)外部审计发现当期财务报告存在重大错报,公司在运行过程中未能发现该错报;
(4)已经发现并报告给管理层的重大缺陷在合理的时间后未加以改正;
(5)公司审计委员会和审计部对内部控制的监督无效;
(6)其他可能影响报表使用者正确判断的缺陷。
重要缺陷:单独缺陷或连同其他缺陷导致不能及时防止或发现并纠正财务报告中虽然未达到和超过重要性水平,仍应引起管理层重视的错报。
一般缺陷:不构成重大缺陷或重要缺陷的其他内部控制缺陷。
定量标准
重大缺陷
营业收入
营业收入总额的潜在错报
0.5%≤错报
利润总额
利润总额的5%≤潜在错报
错报
资产总额
资产总额的0.5%潜在错报
≤错报
所有者权益
所有者权益总额潜在错报
的0.5%≤错报
重要缺陷
营业收入总额的0.2%≤错报<营业收入总额的0.5%利润总额的2%≤错报<利润总额的5%
资产总额的0.2%≤错报<资产总额的0.5%所有者权益总额的0.2%≤错报<所有者权益总额0.5%一般缺陷
错报<营业收入总额的0.2%错报<利润总额的2%错报<资产总额的0.2%
错报<所有者权益总额的0.2%2、非财务报告内部控制缺陷的认定标准
公司分别按定性标准和定量标准划分确定重大缺陷、重要缺陷和一般缺陷。
定性标准
出现以下情形的,认定为重大缺陷,其他情形按影响程度分别确定为重要缺陷或一般缺陷。
(1)违犯国家法律、法规或规范性文件;
(2)重大决策程序不科学;
(3)制度缺失可能导致系统性失效;
(4)重大或重要缺陷不能得到整改;
(5)其他对公司影响重大的情形。
定量标准
缺陷认定
重大缺陷
直接财产损失金额
1000万元以上
重大负面影响
对公司造成较大负面影响并以公告形式对外披露
重要缺陷
100万元-1000万元(含或受到国家政府部门处1000万元)
罚但对未公司造成负面影响
一般缺陷
100万元(含100万元)以受到省级(含省级)以下下
政府部门处罚但对未对公司造成负面影响
对于重大内部控制缺陷应提交董事会予以最终认定。公司对于内部控制评价结果中认定的重大缺陷,应当及时采取应对策略,必要时还应追究有关部门或相关人员的责任。
第八章
内部控制评价报告
第二十二条
内部控制评价报告的编制
公司审计部在协调各部门、分公司及控股子公司完成内部控制自我评估工作及内控评价小组完成独立测试工作后,应结合内部控制评价工作底稿和内部控制缺陷汇总表,形成书面的《内部控制评价报告》,每年呈交公司高级管理层、董事会审阅。
《内部控制评价报告》应包括但不限于以下重要内容:
(一)董事会对内部控制报告真实性的声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的依据。
(四)内部控制评价的范围。
(五)内部控制评价的程序和方法。
(六)内部控制缺陷及其认定情况。
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(八)内部控制有效性的结论。
(九)其它。
公司审计部还应当关注内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
第二十三条
内部控制评价报告的批准和对外披露
董事会审核批准公司审计部上报的年度内部控制自我评估报告及其相关支持信息。公司董事会应在审议年度财务报告等事项的同时,对公司内部控制自我评估报告形成决议。
董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。
第九章
附则
第二十四条
内部控制评价小组人员的学习培训
公司人力资源部应每年度为公司审计部和内控评价人员提供内外部培训机会,主要针对《企业内部控制基本规范》、应用指引以及公司的内部控制制度等内容。
第二十五条
维护和更新
本制度由公司审计部负责维护更新。公司审计部应根据公司业务变化、组织结构调整、实际风险水平等多种因素,并结合每年内部控制评估情况等确定是否需要适时更新。
第二十六条
解释应用
本制度由董事会授权公司审计部负责解释。本制度经董事会审议通过后开始执行。
