近年来,我国从国内企业的实际情况出发,吸收了国际上的先进成果,在内部控制相关制度体系的构建方面取得了显著进展。特别是2008年6月,财政部、证监会、审计署、银监会及保监会五部委联合发布了企业内部控制基本规范,从内部环境、风险评估、控制活动、信息与沟通以及内部监督五大要素的角度,对于中国企业应如何建立和维持有效的内部控制提出了原则性的要求,建立了具有中国特色的内部控制框架。同时,基本规范还要求适用企业对内部控制有效性进行自我评价,披露年度自我评价报告,并可聘请会计师事务所对内部控制的有效性进行审计。此后,财政部等五部委又于2010年4月发布了企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引作为企业内部控制基本规范的配套指引,指导企业开展内控建设和评价工作,指导审计师实施内部控制审计。
上述规范和指引均属原则性要求,企业只有在实施过程中准确理解并灵活运用这些原则,才能使企业内部控制的有关工作可以事半功倍。特别是,对于按规定须于2011年1月1日起施实企业内部控制基本规范和配套指引的企业,做好内部控制的自我评价工作并按照相关监管规定,按时、保质的披露自我评价报告更是迫在眉睫。许多企业由于是第一次从事内部控制的自我评价工作,缺乏相关工作经验或相关工作经验有限,在实践过程中,当突然遇到这样或那样的实际操作性问题时就会觉得事发突然,无从下手,难以把握,因而会非常急切地希望了解其他具有相关经验的企业和咨询机构在面对同样的问题时如何应对。在上述背景下,本课题以探讨企业在内部控制自我评价过程中可能遇到的问题为出发点,从理论应用和实例分析两个纬度展开研究。
二、思路及内容概述 第一章,内部控制概论。准确理解内部控制的内涵是研究和实施内部控制自我评价的首要前提。内部控制自我评价工作难以有效实施的问题之一是参与评价的人员没能真正了解什么是内部控制,在执行相关工作过程中,将控制活动与内部管理制度或一般经营活动相混淆。对评价对象的错误理解,导致企业内部控制自我评价工作的工作效率低,成效差,表面上看好像没有发现问题,实际上,真正的控制点没能被包括在测试范围内,而未测试控制点的失效可能引发的风险被掩盖,无人察觉。另一方面,对内部控制的不理解,也使参与内部控制自我评价工作的评价人员无法充分发挥主观能动性,积极地参与到内部控制的持续完善工作中。因此,本文在开篇对内部控制的内涵进行了介绍,以明确本文所研究的内部控制的具体含义,从而为后文的研究及观点阐述奠定基础。
第二章,内部控制自我评价的概念。在阐明内部控制的涵义后,本章节对本文的研究对象“内部控制自我评价”的概念进行界定。
第三章,内部控制自我评价的必要性。对于企业来说,实施内部控制自我评价不仅是为了应付监管机构的要求,同时也是企业自身健全内部控制体系、防范风险的需要。本章节论述了内部控制自我评价工作在内控体系建设、财务报表质量以及企业形象等三方面的重要作用,进而说明企业做好内部控制自我评价的意义。
第四章,内部控制自我评价相关法规和指引。各国政府及监管机构在为所辖企业提出该如何搭建内部控制自我评价体系的相关规定和指引前均投入了大量的人力物力,以研究并论证其将提出的指引如何才能具有实务操作性和广泛适用性,并能够切实解决企业在实施内部控制评价的过程中存在的普遍疑惑和问题。因而,这些法规和指引对于企业具有重要的借鉴意义。本章节将美国与中国有关内部控制自我评价的监管制度体系和法规要求进行了比对分析,为企业深入思考该如何搭建适用于本企业的内部控制自我评价体系提供了更为广泛的参考信息。
第五章,企业内部控制自我评价体系的建设。众多国内企业在搭建自身的内部控制评价体系的过程中往往只关注评价程序和方法这两个方面的内容,而忽略了仅有程序和方法可能无法确保评价工作能够有效地持续开展。正如建立一个有效的内部控制体系需要内部环境、风险评估、控制活动、信息与沟通和内部监督这五要素相辅相成,内部控制自我评价工作的有效进行也需要一个完整的体系来提供全方位的保障。企业可以考虑从组织与人员、风险评估、方法与程序、信息与沟通、监督与考核这五方面着手建立企业内部控制自我评价体系。本章内容从组织与人员、风险评估、方法与程序、信息与沟通、监督与考核这五个方面展开,其中各小节均从企业内部控制自我评价过程中可能存在的问题入手展开分析,提示企业予以关注。
第一章内部控制概论 第一节内部控制的定义 1992年,美国反欺诈财务报告全国委员会(National Commission on Fraudulent Financial Reporting)的发起组织委员会Committee of Sponsoring Organizations,简称COSO 发布了著名的内部控制整合框架,即“COSO报告”,提出了内部控制整体框架思想,将内部控制定义为“内部控制是一个由企业的董事会、管理层和其他人员实现的过程,旨在为下列目标提供合理保证一是财务报告的可靠性;
二是经营的效果和效率;
三是符合适用的法律法规。” COSO 报告将内部控制结构划分为五个部分,分别是控制环境、风险评估、控制活动、信息与沟通、监督。COSO报告 对于内部控制的定义在历经了多年的实践考验后,已成为国际公认的理念,COSO内部控制框架也被广泛地作为企业内部控制体系建立与评价的标准。
通过借鉴国外的先进经验和多年的实践摸索,随着企业内部控制基本规范的颁布,我国对于内部控制涵义的解读已取得了重大的突破并与国际先进理念接轨。2008年5月,财政部等五部委在联合发布的企业内部控制基本规范中对内部控制进行了如下定义“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”。内部控制目标为五个方面,即合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
这一定义首先强调了企业领导者尤其是董事会、监事会和经理层在建立与实施内部控制中的重要作用;
其次,明确了内部控制是全体员工的共同责任;
此外,明确指出内部控制是一个动态的概念,是对企业生产经营过程的控制,也是对实现企业发展目标的控制,同时还是一个不断优化、完善的过程;
最重要的是,该定义将内部控制目标在“合法合规、财务可靠、经营效率与效果”的基础上进行了细分和扩展一方面将“资产安全”目标从财务报告目标中细分出来,另一方面增加了“促进企业实现发展战略”的目标。该定义对中国企业的内控体系建设提出了进一步的要求,企业需要通过内控体系的建立和完善,在经营效率和效果方面更上一层楼,从而促进企业实现发展战略。
第二节内部控制运行过程 如前所述,内部控制不是静态的,而是一个持续优化和完善的过程。这一过程是由设计、执行、评价和改进四个环节所构成的闭环。其中 一、 内部控制的设计 企业需要针对影响目标实现的风险进行识别、评估和应对,为确保有效实施风险应对,企业需要设计一整套内部控制体系。内部控制设计是内部控制循环的基础。内部控制设计的载体通常是企业制定的各种内部控制制度。
二、 内部控制的执行 内部控制执行是对内部控制设计的运用。内部控制设计的再完美,若不加以实施就如同纸上谈兵,毫无意义。
三、 内部控制的评价 正如一个健康的人也需要定期体检一样,任何一个完善的体系都离不开有效的反馈机制,只有定期通过反馈机制对整个体系的运作状况进行综合评价,其构建者与维护者才能识别体系中的薄弱环节,以采取相应的改进措施,促进体系的不断完善。因此,要建立良好的内部控制体系也需要一套行之有效的反馈机制,即对内部控制系统的健全性、合理性和有效性进行评价,以实现对内部控制系统的“再控制”。具体而言,内部控制评价是从设计和执行两个层面对内部控制的有效性进行测试、分析,并对内部控制设计和执行是否有效做出评价。内部控制评价是内控过程中非常重要的一个环节,或者说是一个承前启后的环节。评价既是对已有控制的总结,又是未来改进控制体系的重要依据。评价过程中,通过对内部控制系统进行分析和测试,形成评价报告。评价报告既要反映内部控制的现状,还要说明内部控制的不足之处,并提出改进建议。
四、 内部控制的改进 企业管理当局应根据内控改进建议对企业的内部控制系统实施改进措施。经过改进的内部控制又将形成内部控制系统中新的组成部分,成为以后内部控制评价的对象。
内部控制系统运行的四个环节环环相扣、循环往复构成一个完整的内部控制运行过程。现实中,并不存在一劳永逸的内部控制系统,内部控制系统必须随着企业内外部环境的变化,不断改进。因此,企业应当长期持续的开展内部控制评价,及时对自身的内部控制体系加以改进以适应新的变化和要求。
第三节企业对内部控制理解的误区 虽然我国在内部控制理论方面已建立了权威的框架,但是许多企业在执行相关工作的过程中对于内部控制的理解仍然存在误区,突出表现为两方面一是将内部控制与企业内部管理制度相混淆;
二是将内部控制与业务活动相混淆,未能深刻认识到内部控制是一个完整的“体系”。以下,将以示例的方式从上述两个方面分别阐述,辅助企业正确理解内部控制的涵义并准确地将其运用到内部控制评价工作中。
一、区分内部控制与管理制度 一些企业认为,为满足日常经营管理的需要,企业已经制定了一系列内部管理制度并对企业日常经营活动提出了全面的要求,这些管理要求即构成了企业的内部控制体系。这种理解过于片面,一方面忽略了内部控制作为一个动态的“过程”,需要依赖企业全员的“实施”,另一方面没有考虑企业的内部管理制度本身是否具备操作性,可以被执行和评价。
从内部控制的定义可以看出,内部控制作为一个动态的过程,若需发挥作用,即实现战略、经营、报告、合规以及资产安全等目标,必须依赖于企业董事会、监事会、经理层和全体员工的实施。因此,内部控制是一项活动或一系列活动的组合,而不是静止在书面形态的制度和要求。如果某个制度或某项管理要求没有被实施,那么它应当仅仅被视为游离于内部控制体系之外的一篇文字而已,不构成任何内部控制。
当然,制度和要求与内部控制之间也存在联系。如果企业在实际操作中对于某项控制措施已经形成了惯例并且控制效果显著,那么管理层必然希望该项控制措施未来能够一贯有效地执行下去,不受人员更替的影响。在此情况下,管理层需要将这项良好的惯例形成书面规定,要求相关人员比照执行,同时还可以依据这一