1、企业内部控制规范体系实施中相关问题解释第1号(一)主讲老师:王小强一、内控规范体系的强制性与指导性1如何把握企业内部控制规范体系的强制性与指导性的关系?在实施试点中,一些企业反映,企业内部控制基本规范及其配套指引的规定是否需要逐条执行。为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,根据国家有关法律法规,财政部会同证监会、审计署、银监会、保监会制定了企业内部控制基本规范,现予印发,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露
2、年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。第二条 本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。 财会20087号自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。请各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。执行企业内部控制基本规范及企业内部控制配套指引的上市公司和非上市大中型企业
3、,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。上市公司聘请的会计师事务所应当具有证券、期货业务资格;非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。 财会201011号答:在实施试点中,一些企业反映,企业内部控制基本规范及其配套指引的规定是否需要逐条执行。企业内部控制基本规范是内部控制建设与实施应该遵循的基本原则和总体要求,具有强制性,纳入实施范围的企业应当遵照执行。企业内部控制配套指引(财会201011号,包括18个应用指引、1个评价指引和1个审计指引)是对企业内部
4、控制基本规范相关规定的进一步补充和说明,具有指导性和示范性,纳入实施范围的企业可以结合所在行业要求和企业自身特点,参照配套指引的规定开展内部控制建设与实施工作。5对于企业内部控制配套指引尚未规范的领域,应如何处理?答:由于企业所面临的客观环境和自身的经营管理活动比较复杂,目前的企业内部控制配套指引仅对企业常见的、一般性生产经营过程的主要方面和环节进行了规范。在建设与实施内部控制的过程中,对于企业内部控制配套指引尚未规范的业务领域,企业应当遵循企业内部控制基本规范的原则和要求,按照内部控制建设与实施的基本原理和一般方法,从企业经营目标出发,识别和评估相关风险,梳理关键业务流程,根据风险评估的结果
5、,制定和执行相应控制措施。企业内部控制基本规范的原则和要求,按照内部控制建设与实施的基本原理和一般方法,从企业经营目标出发,识别和评估相关风险,梳理关键业务流程,根据风险评估的结果,制定和执行相应控制措施生产管理经营目标:(1)生产经营活动符合国家有关法律、法规和公司内部规章制度。(2)生产计划等均得到适当的授权审批,符合公司的实际生产能力和发展需求。(3)生产过程管理严格规范,及时协调解决生产过程中出现的各种问题,保证生产经营活动安全、稳定。(4)验收手续完备、程序规范,确保产品质量符合行业标准、公司规定。相关风险:(1)生产经营活动违反国家有关法律、法规,导致政府管理部门的处罚;违反公司内
6、部规章制度,造成经济损失。(2)生产计划未得到授权批准或随意变更,造成资源浪费。(3)生产过程管理不严格、协调不当或随意更改产品工艺,造成产品不合格、产成品不符合客户的配置要求,从而给公司造成极大的人力、物料浪费和资金损失。(4)验收程序不规范、标准不明确,可能导致不合格产品流向市场,影响企业的长期发展。二、内控规范体系与其他规范体系的协调2已经完全按照境外监管机构要求建设与实施内部控制的境内外同时上市的公司,是否需要执行我国的企业内部控制规范体系?2004年11月,香港联合交易所颁布了企业管制常规守则,要求香港上市公司须健全有效的内部控制制度,也规定董事必须至少每年审查其内部控制制度的有效性
7、,审查内容应覆盖公司内部所有重大的控制,可以包括财务、业务和合法合规以风险管理职能等方面。企业管制常规守则2005年6月,香港会计师公会(HKCPA)受香港联交所之邀,发布了内部监控与风险管理指引。在基本层面上,该指引强调,有效监控的首要条件,是公司必须确保拥有清晰的、经董事会同意且高级管理层及雇员清楚了解的目标。其次,公司应对可能妨碍其达致目标的风险进行识别、评估及按优先次序排列,然后制定程序,进行有效管理。最后,鉴于经营情况不断改变,必须对内部监控系统进行持续的监察和检查修正。香港会计师公会还特别强调,加强企业管治不单是执行法规,也是为了树立及培养道德规范和健康的企业文化。设立完善的内部监
8、控系统与评估其有效性,并非只是为了遵守不必要和繁复的监管规定,而是要实施有效的机制以帮助公司实现其企业目标,以满足股东和其他利益相关者的期望。内部监控与风险管理指引302条款:强调上市公司财务报告的真实性,上市公司的首席执行官和首席财务官在其年度和中期财务报表中必须签名并认证,其财务报表完全符合萨班斯法案中有关规定,并不含有任何不真实的并导致其财务报表误导公众的重大错误或遗漏。404条款:要求公司管理层和外部审计师,每年在年报中就在美上市公司与财务报告相关的内部控制分别做出评价和报告。根据该条款的要求,在美上市企业要依据一个恰当且被广泛接受的内部控制理论框架,来评估公司财务报告内部控制的有效性
9、。在美国,被推荐使用的理论框架就是COSO框架。906条款:首席执行官和首席财务官在明知公司申报的包括财务报表在内的定期报告有不真实的财务信息的情况下仍签署书面声明,将被处以可高达100万美元罚款和上至10年的监禁;如果属于“有意欺诈”性质,提供虚假财务报告,将被处以可高达500万美元罚款和上至20年的监禁。萨班斯法案1998年1月,英国财务报告理事会(FRC)、伦敦股票交易所(LSE)、英国工业联合会(CBI)、英国企业董事协会(IOD)、会计团体咨询委员会(CCAB)、全英养老金协会(NAPF)、英国保险学会(ABI)等机构,以伦敦股票交易所的名义发布了一部旨在规范公司治理的法规,即“综合
10、准则”(the combined code),其中有三条规定明确提出所有上市公司要建立健全内部控制:一是公司董事会负责建立健全一套完整的企业内部控制制度,以保护投资者的投资和公司的资产;二是董事会负责每年检查和评价一次内部控制制度的有效性,并向股东报告,内控系统的检查范围应涵盖所有控制,包括财务、运营、合规、风险等方面;三是没有设立内部审计职能的公司应随时评估公司各方面对内部审计工作的需求。此外,伦敦股票交易所的“上市规则”(the listing rule)中对披露内部控制情况做了如下规定:上市公司在年报中要报告执行内部控制制度的情况,如果没有建立健全内部控制或部分建立了内部控制,要说明详细
11、原因。公司治理综合准则2005年,新加坡财政部发布修订后的公司监管守则,其中要求董事会的职责包括“建立谨慎及有效地控制系统评估与管制风险”。公司监管守则答:目前,许多国家和地区对公众公司内部控制都有相关的规定和要求。我国企业内部控制规范体系在充分借鉴国际上先进经验和做法的同时,更多地适应了我国国情,尤其是充分考虑了我国目前法律法规体系、公司治理结构、企业管理体制、风险管控实务等具体情况,提出了内部控制的目标、原则、要素等,且不局限于财务报告内部控制,更多突出全面内部控制的要求。因此,境内外同时上市的公司应当在满足境外监管机构要求的基础上,对照我国企业内部控制规范体系,特别是应当围绕企业内部控制
12、基本规范提出的内部控制五目标,对相关控制措施进行适当调整或补充完善。3企业按照企业内部控制规范体系建设与实施内部控制,是否还需要遵守我国行业主管部门和市场监管部门对内部控制的有关要求?答:企业内部控制基本规范及其配套指引是对不同行业、各类企业提出的一般性要求,具有普适性。行业主管或监管部门对所辖企业的内部控制管理规定,是不同行业内部控制的特殊要求,也是企业内部控制基本规范的重要补充。企业应当按照企业内部控制基本规范及其配套指引规定和行业管理、市场监管的要求,建设与实施内部控制。4如何协调好内部控制与风险管理的关系?全面风险管理主要应用于企业管理领域,是指企业围绕总体经营目标,通过在企业管理的各
13、个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。中央企业全面风险管理指引按COSO框架,两者的联系为:(1)全面风险管理涵盖了内部控制。COSO框架中明确地指出全面风险管理体系框架包括内控,将之作为一个子系统。(2)内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理,对于企业所面临的大部分运营风险,或者说对于在企业的所有业务流程之中的风险,内控系统是必要的、高效的和有效的风险管理方法。同
14、时,维持充分的内控系统也是许多法律法规的合规要求。因此,满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。内部控制与全面风险管理的差异为:(1)两者的范畴不一致。内部控制仅是管理的一项职能,主要是通过事后和过程的控制来实现其自身的目标,而全面风险管理则贯穿于管理过程的各个方面,更重要的是在事前制订目标时就充分考虑了风险的存在。而且,在两者所要达到的目标上,全面风险管理多于内部控制。(2)两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理以及报告程序等活动。而内
15、部控制所负责的是风险管理过程中间及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立,而只是对目标的制定过程进行评价,特别是对目标和战略计划制定当中的风险进行评估。(3)两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资本分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的目标。这些内容都是现行的
16、内部控制框架所不能做到的。从发展趋势来看,随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。答:企业内部控制基本规范及其配套指引,充分吸收了全面风险管理的理念和方法,强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险,促进企业实现发展战略,风险管理的目标也是促进企业实现发展战略,二者都要求将风险控制在可承受范围之内。因此,内部控制与风险管理二者不是对立的,而是协调统一的整体。在实际工作中,一些企业的内部控制和风险管理工作由不同机构负责。对此,企业可以对有关机构和业务进行整合,从工作内容、目标、要求以及具体工作执行的方法、程序等方面,将内部控制建
17、设和风险管理工作有机结合起来,避免职能交叉、资源浪费、重复劳动,降低企业管理成本,提高工作效率和效果。7如何协调好内部控制与其他管理体系的关系?答:内部控制贯穿于整个企业管理,与其他管理体系相辅相成、密不可分,是企业管理的重要组成部分。企业现有管理体系的设计、运行以及审核认证需要遵循已经发布的国家标准或行业标准。这些标准与企业内部控制规范体系的原则和要求并不矛盾。目标方面联系:都为了防范经营风险,都是经营管理体系的重要组成部分。区别:ISO体系关注质量领域,从维护客户的利益出发来思考问题,防范质量信息欺诈现象的发生;内控规范关注与资产、资金流以及物流直接相关的过程,是从维护股东的利益出发来实施
18、管控,尤其是财务报告数据的真实性和公允性,防范财务信息欺诈的发生。人力资源方面联系:两者都涉及人力资源管理区别:ISO体系原则性的提出了能力管理、培训要求、员工激励、员工满意度测量、离职调查分析等等;而内控规范所涉及的规定则更具体全面,涉及人力资源管理的各个方面流程的要求。采购方面联系:对于供应商的评价选择、合同控制、验收控制则是两者都包含。区别:ISO体系对采购计划、合同审批、事后付款条件审核、采购不相容岗位分享、定期轮岗等方面没有明确要求。管控要点方面联系:ISO体系与内控规范在销售、采购、存货、合同等过程有重叠。区别:ISO体系无涉及财务方面的规定,内控规范关注与资金流直接相关的资金管理
19、、筹资投资管理、成本费用等;答:在实际工作中,个别企业的内部控制体系建设与管理体系运行发生冲突,原因可能是企业采用的方式方法出现了偏差,如简单照搬内部控制应用指引的规定,没有考虑企业的实际情况,为控制而控制,导致控制设计不合理,出现控制过度或控制冗余;也可能是企业经营管理部门对内部控制的重要性认识不足,不愿意受到更多的牵制和监督,从而以影响经营效率和目标为借口,拒绝必要的内部控制;等等。对此,企业应当立足管理现状,全面梳理各项管理制度和管理体系,从管理体制、机制以及落实各级权利责任等方面,将内部控制的要求融入各项管理体系中,形成内部控制的长效机制,使内部控制真正为经营管理服务;应当从总体目标出
20、发,通过培训教育提高企业经营管理人员对内部控制的理解和认识,将内部控制的要求纳入绩效考核体系以加强执行;可以利用信息技术固化业务流程,提高业务处理效率和信息共享水平,从而尽可能减少内部控制与其他经营管理体系的冲突。三、有关内控规范体系建设的成本效益原则6如何权衡内部控制的实施成本与预期效益?答:企业按照企业内部控制基本规范及其配套指引的要求建设与实施内部控制,必然需要支付一定的成本,可能会发生内部控制制度和流程的设计与实施费用、聘请专业机构提供咨询服务费用、建立融入内部控制要求的信息系统费用、聘请会计师事务所开展内部控制审计费用,等等。建设与实施内部控制应当从提高企业长期效益出发,从促进企业可
21、持续发展出发,将内部控制作为一项常规性工作,贯穿于企业管理之中,加大投入。同时,应当按照重要性原则,关注重要业务事项和高风险领域,抓住关键风险控制点。集团性企业可以采取分类试点、逐步推广的方式,选择下属不同类型的企业试点,形成范本,减少重复建设。聘请会计师事务所开展内部控制审计是建设与实施内部控制的重要环节,是检验内部控制有效性的重要手段和有力保证。内部控制审计费用是企业实施内部控制规范体系应当承担的成本,企业应安排相应经费确保审计工作的及时、有效开展。内部控制审计是一项区别于财务报告审计的独立业务,企业应就该项业务与会计师事务所签订单独的业务约定书。同时,企业也应权衡审计成本与审计效益,在业
22、务约定书中明确有关费用标准,并对会计师事务所审计资源的投入和审计质量提出明确要求。四、有关内控的机构设置9实施企业内部控制基本规范及其配套指引的企业,是否需要设置专门的内部控制机构?答:根据企业内部控制基本规范的规定,企业董事会负责内部控制的建立健全和有效实施。为便于董事会履行好企业内部控制规范体系的设计、建立、运行与改进方面的职责,董事会应当指定专门委员会负责指导内部控制建设与实施工作。一般情况下企业应当成立专门机构负责组织协调内部控制的建立实施及日常工作。对于少数企业受制于岗位编制、专业人员等条件限制,目前尚不具备成立专门的内部控制管理机构的,可暂将内部控制管理职能划归现有机构。随着企业内
23、部控制建设的持续深入和相关条件的不断成熟,企业应考虑成立专门机构,保证有足够的资源支持和协调内部控制工作的开展,确保内部控制工作的相对独立性。五、有关内控评价8企业如何确定内部控制缺陷的认定标准?答:查找并纠正企业内部控制设计和运行中的缺陷,是开展企业内部控制评价的一项重要工作,是不断完善企业内部控制的重要手段。由于企业所处行业、经营规模、发展阶段、风险偏好等存在差异,企业内部控制基本规范及其配套指引没有对内部控制缺陷的认定标准进行统一规定。企业可以根据企业内部基本规范及其配套指引,结合企业规模、行业特征、风险水平等因素,研究确定适合本企业的内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。
24、企业确定的内部控制缺陷标准应当从定性和定量的角度综合考虑,并保持相对稳定。通过不断的实践,总结经验,形成一套行之有效的内部控制缺陷认定方法。企业在开展内部控制监督检查中,对发现的内部控制缺陷,应当及时分析缺陷性质和产生原因,并提出整改方案,采取适当形式向董事会、监事会或者管理层报告。对于重大缺陷,企业应当在内部控制评价报告中进行披露。财政部将会同证监会、审计署、银监会、保监会等有关部门,根据首次执行和试点情况,分行业、分类型总结企业的内部控制缺陷认定标准,供参考。67家公司中,13家上市公司未披露公司是否制定内控缺陷认定标准,54家公司以不同形式、不同程度披露了公司存在内控缺陷认定标准。在这5
25、4家公司中,有22家公司披露其制定了内控缺陷认定标准,但是没有详细描述内控缺陷认定标准的具体情况;有32家公司详细描述了公司内控缺陷认定标准,其中有27家公司披露了定量与定性相结合的内控缺陷认定标准,有3家公司披露了定性认定标准,有2家公司披露了定量认定标准。(1)定量标准一般是以某一财务报表指标作为计算基础,以该指标的一定比例作为衡量重要与否的标准,如:营业收入潜在错报营业收入总额的0.5%、利润总额潜在错报利润总额的5%、所有者权益潜在错报所有者权益总额的0.5%等等。(2)定性标准:如:董事、监事和高级管理人员舞弊;注册会计师发现当期财务报告存在重大错报而内部控制在运行过程中未能发现该错
26、报;审计委员会和内部审计机构对内部控制的监督无效;重要业务缺乏制度控制或制度系统性失效;重要职权和岗位分工中没有体现不相容职务相分离的要求;企业战略、投资、募集资金等重大决策、重大事项、重大人事任免及大额资金的管理程度不科学并造成严重损失;以前年度评价过程中曾经有过舞弊或错误导致重大错报的经历,公司没有在合理的时间内改正所发现的重大缺陷和重要缺陷;等10如何编制和披露企业内部控制评价报告?企业内部控制评价是企业董事会对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。开展内部控制评价,可以及时发现和纠正企业内部控制建设与实施中存在的问题,并持续自我完善。企业可以独立开展内部控制评价工作,也可以委托不承担本企业内部控制审计的中介机构协助开展内部控制评价工作。根据企业内部控制基本规范、企业内部控制评价指引的要求,我们制定了企业内部控制评价报告的格式,供企业编制评价报告时参考,企业也可以根据实际情况对具体的报告方式作适当调整,但有关内容原则上应体现在年度报告中。有关内控评价XX公司20xx年度内部控制评价报告引言一、董事会声明二、内部控制评价工作的总体情况三、内部控制评价的范围四、内部控制评价的程序和方法五、内部控制缺陷及其认定六、内部控制缺陷的整改情况七、内部控制有效性的结论
