課題:內部控制自我評價
一、課題背景
進入21世紀以來,美國**市場相繼爆發了安然、世界通訊、施樂、默克製藥等一系列財務造假醜聞,這些醜聞使人們對美國上市公司資訊披露的真實性產生質疑,動搖了包括美國在內的全球投資者對美國資本市場的信心,同時暴露出美國公司治理結構的不平衡和外部監督的缺失,為美國經濟前景蒙上了陰影。為了提高民眾對美國資本市場、**經濟政策的信心,消除對上市公司財務報表真實性的擔憂,2023年7月30日美國**布希簽署了《薩班斯-奧克斯利法案》(以下簡稱「薩班斯法案」)。薩班斯法案的出台不僅對美國資本市場產生了巨大的影響,它也引發了其他國家監管機構對內部控制的高度重視。
各國紛紛借鑑美國的經驗,制定了一系列的監管規定,對企業內部控制的建設、評價和披露提出相關要求。
近年來,我國從國內企業的實際情況出發,吸收了國際上的先進成果,在內部控制相關制度體系的構建方面取得了顯著進展。特別是2023年6月,財政部、證監會、審計署、銀監會及保監會五部委聯合發布了《企業內部控制基本規範》,從內部環境、風險評估、控制活動、資訊與溝通以及內部監督五大要素的角度,對於中國企業應如何建立和維持有效的內部控制提出了原則性的要求,建立了具有中國特色的內部控制框架。同時,基本規範還要求適用企業對內部控制有效性進行自我評價,披露年度自我評價報告,並可聘請會計師事務所對內部控制的有效性進行審計。
此後,財政部等五部委又於2023年4月發布了《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》作為《企業內部控制基本規範》的配套指引,指導企業開展內控建設和評價工作,指導審計師實施內部控制審計。
上述規範和指引均屬原則性要求,企業只有在實施過程中準確理解並靈活運用這些原則,才能使企業內部控制的有關工作可以事半功倍。特別是,對於按規定須於2023年1月1日起施實《企業內部控制基本規範》和配套指引的企業,做好內部控制的自我評價工作並按照相關監管規定,按時、保質的披露自我評價報告更是迫在眉睫。許多企業由於是第一次從事內部控制的自我評價工作,缺乏相關工作經驗或相關工作經驗有限,在實踐過程中,當突然遇到這樣或那樣的實際操作性問題時就會覺得事發突然,無從下手,難以把握,因而會非常急切地希望了解其他具有相關經驗的企業和諮詢機構在面對同樣的問題時如何應對。
在上述背景下,本課題以**企業在內部控制自我評價過程中可能遇到的問題為出發點,從理論應用和例項分析兩個緯度展開研究。
二、思路及內容概述
第一章,內部控制概論。準確理解內部控制的內涵是研究和實施內部控制自我評價的首要前提。內部控制自我評價工作難以有效實施的問題之一是參與評價的人員沒能真正了解什麼是內部控制,在執行相關工作過程中,將控制活動與內部管理制度或一般經營活動相混淆。
對評價物件的錯誤理解,導致企業內部控制自我評價工作的工作效率低,成效差,表面上看好像沒有發現問題,實際上,真正的控制點沒能被包括在測試範圍內,而未測試控制點的失效可能引發的風險被掩蓋,無人察覺。另一方面,對內部控制的不理解,也使參與內部控制自我評價工作的評價人員無法充分發揮主觀能動性,積極地參與到內部控制的持續完善工作中。因此,本文在開篇對內部控制的內涵進行了介紹,以明確本文所研究的內部控制的具體含義,從而為後文的研究及觀點闡述奠定基礎。
第二章,內部控制自我評價的概念。在闡明內部控制的涵義後,本章節對本文的研究物件—「內部控制自我評價」的概念進行界定。
第三章,內部控制自我評價的必要性。對於企業來說,實施內部控制自我評價不僅是為了應付監管機構的要求,同時也是企業自身健全內部控制體系、防範風險的需要。本章節論述了內部控制自我評價工作在內控體系建設、財務報表質量以及企業形象等三方面的重要作用,進而說明企業做好內部控制自我評價的意義。
第四章,內部控制自我評價相關法規和指引。,以研究並論證其將提出的指引如何才能具有實務操作性和廣泛適用性,並能夠切實解決企業在實施內部控制評價的過程中存在的普遍疑惑和問題。因而,這些法規和指引對於企業具有重要的借鑑意義。
本章節將美國與中國有關內部控制自我評價的監管制度體系和法規要求進行了比對分析,為企業深入思考該如何搭建適用於本企業的內部控制自我評價體系提供了更為廣泛的參考資訊。
第五章,企業內部控制自我評價體系的建設。眾多國內企業在搭建自身的內部控制評價體系的過程中往往只關注評價程式和方法這兩個方面的內容,而忽略了僅有程式和方法可能無法確保評價工作能夠有效地持續開展。正如建立乙個有效的內部控制體系需要內部環境、風險評估、控制活動、資訊與溝通和內部監督這五要素相輔相成,內部控制自我評價工作的有效進行也需要乙個完整的體系來提供全方位的保障。
企業可以考慮從組織與人員、風險評估、方法與程式、資訊與溝通、監督與考核這五方面著手建立企業內部控制自我評價體系。本章內容從組織與人員、風險評估、方法與程式、資訊與溝通、監督與考核這五個方面展開,其中各小節均從企業內部控制自我評價過程中可能存在的問題入手展開分析,提示企業予以關注。
2023年,美國反欺詐財務報告全國委員會(national commission on fraudulent financial reporting)的發起組織委員會(committee of sponsoring organizations,簡稱coso) 發布了著名的《內部控制——整合框架》,即「coso報告」,提出了內部控制整體框架思想,將內部控制定義為:「內部控制是乙個由企業的董事會、管理層和其他人員實現的過程,旨在為下列目標提供合理保證:一是財務報告的可靠性;二是經營的效果和效率;三是符合適用的法律法規。
」 coso 報告將內部控制結構劃分為五個部分,分別是控制環境、風險評估、控制活動、資訊與溝通、監督。coso報告對於內部控制的定義在歷經了多年的實踐考驗後,已成為國際公認的理念,coso內部控制框架也被廣泛地作為企業內部控制體系建立與評價的標準。
通過借鑑國外的先進經驗和多年的實踐摸索,隨著《企業內部控制基本規範》的頒布,我國對於內部控制涵義的解讀已取得了重大的突破並與國際先進理念接軌。2023年5月,財政部等五部委在聯合發布的《企業內部控制基本規範》中對內部控制進行了如下定義:「內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程」。
內部控制目標為五個方面,即合理保證企業經營管理合法合規、資產安全、財務報告及相關資訊真實完整,提高經營效率和效果,促進企業實現發展戰略。
這一定義首先強調了企業領導者尤其是董事會、監事會和經理層在建立與實施內部控制中的重要作用;其次,明確了內部控制是全體員工的共同責任;此外,明確指出內部控制是乙個動態的概念,是對企業生產經營過程的控制,也是對實現企業發展目標的控制,同時還是乙個不斷優化、完善的過程;最重要的是,該定義將內部控制目標在「合法合規、財務可靠、經營效率與效果」的基礎上進行了細分和擴充套件:一方面將「資產安全」目標從財務報告目標中細分出來,另一方面增加了「促進企業實現發展戰略」的目標。該定義對中國企業的內控體系建設提出了進一步的要求,企業需要通過內控體系的建立和完善,在經營效率和效果方面更上一層樓,從而促進企業實現發展戰略。
如前所述,內部控制不是靜態的,而是乙個持續優化和完善的過程。這一過程是由設計、執行、評價和改進四個環節所構成的閉環。其中:
一、 內部控制的設計
企業需要針對影響目標實現的風險進行識別、評估和應對,為確保有效實施風險應對,企業需要設計一整套內部控制體系。內部控制設計是內部控制迴圈的基礎。內部控制設計的載體通常是企業制定的各種內部控制制度。
二、 內部控制的執行
內部控制執行是對內部控制設計的運用。內部控制設計的再完美,若不加以實施就如同紙上談兵,毫無意義。
三、 內部控制的評價
正如乙個健康的人也需要定期體檢一樣,任何乙個完善的體系都離不開有效的反饋機制,只有定期通過反饋機制對整個體系的運作狀況進行綜合評價,其構建者與維護者才能識別體系中的薄弱環節,以採取相應的改進措施,促進體系的不斷完善。因此,要建立良好的內部控制體系也需要一套行之有效的反饋機制,即對內部控制系統的健全性、合理性和有效性進行評價,以實現對內部控制系統的「再控制」。具體而言,內部控制評價是從設計和執行兩個層面對內部控制的有效性進行測試、分析,並對內部控制設計和執行是否有效做出評價。
內部控制評價是內控過程中非常重要的乙個環節,或者說是乙個承前啟後的環節。評價既是對已有控制的總結,又是未來改進控制體系的重要依據。評價過程中,通過對內部控制系統進行分析和測試,形成評價報告。
評價報告既要反映內部控制的現狀,還要說明內部控制的不足之處,並提出改進建議。
四、 內部控制的改進
企業管理當局應根據內控改進建議對企業的內部控制系統實施改進措施。經過改進的內部控制又將形成內部控制系統中新的組成部分,成為以後內部控制評價的物件。
內部控制系統執行的四個環節環環相扣、迴圈往復構成乙個完整的內部控制執行過程。現實中,並不存在一勞永逸的內部控制系統,內部控制系統必須隨著企業內外部環境的變化,不斷改進。因此,企業應當長期持續的開展內部控制評價,及時對自身的內部控制體系加以改進以適應新的變化和要求。
雖然我國在內部控制理論方面已建立了權威的框架,但是許多企業在執行相關工作的過程中對於內部控制的理解仍然存在誤區,突出表現為兩方面:一是將內部控制與企業內部管理制度相混淆;二是將內部控制與業務活動相混淆,未能深刻認識到內部控制是乙個完整的「體系」。以下,將以示例的方式從上述兩個方面分別闡述,輔助企業正確理解內部控制的涵義並準確地將其運用到內部控制評價工作中。
一、區分內部控制與管理制度
一些企業認為,為滿足日常經營管理的需要,企業已經制定了一系列內部管理制度並對企業日常經營活動提出了全面的要求,這些管理要求即構成了企業的內部控制體系。這種理解過於片面,一方面忽略了內部控制作為乙個動態的「過程」,需要依賴企業全員的「實施」,另一方面沒有考慮企業的內部管理制度本身是否具備操作性,可以被執行和評價。
從內部控制的定義可以看出,內部控制作為乙個動態的過程,若需發揮作用,即實現戰略、經營、報告、合規以及資產安全等目標,必須依賴於企業董事會、監事會、經理層和全體員工的實施。因此,內部控制是一項活動或一系列活動的組合,而不是靜止在書面形態的制度和要求。如果某個制度或某項管理要求沒有被實施,那麼它應當僅僅被視為游離於內部控制體系之外的一篇文字而已,不構成任何內部控制。
當然,制度和要求與內部控制之間也存在聯絡。如果企業在實際操作中對於某項控制措施已經形成了慣例並且控制效果顯著,那麼管理層必然希望該項控制措施未來能夠一貫有效地執行下去,不受人員更替的影響。在此情況下,管理層需要將這項良好的慣例形成書面規定,要求相關人員比照執行,同時還可以依據這一書面規定衡量相關人員的工作是否到位,落實問責。
另外,對於實際操作中欠缺的控制措施,管理層亦可通過制定具備操作性的管理制度來要求相關人員照章執行,從而構成真正意義上的內部控制 。
內部控制評價指引
附件1 徵求意見稿 第一章總則 第一條為了規範企業內部控制評價,全面評估內部控制設計與運 況,編制內部控制評價報告,根據有關法律法規和 企業內部控制基本規範 制定本指引。第二條本指引所稱內部控制評價,是指企業董事會 或類似決策機構 或其授權機構,對內部控制設計與執行的有效性進行綜合評估的過程。第三條...
內部控制及控制風險評價
一 大綱 一 內部控制目標與要素 二 了解與記錄內部控制 三 內部控制測試 四 內部控制評價 五 管理建議書 二 本章重點 難點 註冊會計師編制審計計畫時,應當研究與評價被審計單位的內部控制。對擬信賴的內部控制進行符合性測試,據以確定對實質性測試的性質 時間和範圍的影響。一 內部控制目標與要素 1....
ST泰復 內部控制的自我評價
泰復實業股份 內部控制的自我評價 公司內部控制綜述 泰復實業股份 以下簡稱 公司 根據中國證監會 關於開展加強上市公司治理專項活動有關事項的通知 和深圳 交易所 上市公司內部控制指引 的有關規定,結合 上市公司治理專項活動 自查及整改過程中發現的問題,進一步加強了內部控制制度的建立健全和完善,先後建...