一、企业建立内部控制制度的必要性3
二、企业内部控制制度的建立3
(一)内部控制的建立要考虑的相关因素3
1、内部环境3
2、风险评估3
3、控制活动3
4、信息与沟通4
5、内部监督4
(二)企业内部控制点的设置4
1、企业风险控制分析4
2、企业设置关键控制点考虑因素5
3、企业关键控制点的设置5
三、企业内部控制评价7
(一)内部控制评价遵循的原则7
(二)内部控制评价方法7
(三)内部控制设计有效性评价7
(四)内部控制运行有效性评价7
(五)内部控制报告7
内 容 摘 要
随着社会主义市场经济的高速发展,企业竞争的日益激烈,企业规模越来越来,生产经营过程及环境日期益复杂,为确保企业经营决策和国家政策的贯彻执行、提高企业的经营质量,确保会计信息的真实正确、财务报表的准确可靠、资金资产的安全完整,确保实现企业发展战略,内部控制的建立在现代企业管理中的重要地位日益显现。证监会明确要求上市公司必须建立内部控制并对其有效性定期做出自我评价,并要求独立的第三方对上市公司的内部控制进行审计。因此,企业根据自身的特点建立相应的内部控制制度具有必要性及重要性。本文主要从建立内部控制制度的必要性入手,分析了企业内部控制制度的建立,重点论述了内部控制制度建立中应考虑的相关因素及关键控制点的设置,并阐述了内部控制评价中应遵循的原则、方法及内部控制报告的内容。
关键词:内控建立 内控评价
浅谈企业内部控制制度的建立和评价
一、企业建立内部控制制度的必要性
内部控制是科学的具有控制作用的制度、流程、规范。有效的内部控制制度能提升企业生产经营管理水平,增强企业应对国际金融危机的能力,因此内部控制制度的建立对企业具有非常大的重要性。现代企业不仅规模大而且经营环境及活动复杂多变,管理者不可能对所有事项都亲力亲为,这就要求管理者按企业的自身特点,分析对企业生产经营有重大影响的各项因素,因地制宜的设计一系列符合自身企业的管理制度,使企业运行有序按流程步骤运行,从而使企业生产经营中的关键环节得到控制。保证整个企业组织业绩的实现,实现企业的良性发展。
二、企业内部控制制度的建立。
(一)内部控制的建立要考虑的相关因素。
现代企业内部控制的建立,需要考虑考虑以下相关要素:
1、内部环境。内部环境是影响、制约企业内部控制制度建立与实施的基础,是企业的纪律及架构。
内部环境主要从以下多个方面进行考虑:企业的法人治理结构是否完善,内部机构设置是否符合国家的法律法规,机构间权责分配是否明确,是否制定了相应反舞弊机制,企业员工是否具有积极向上的价值观和社会责任感,是否爱岗敬业、具有团队合作意识及较强的法制观念,高级管理人员在塑造企业文化中是否发挥了关键带头作用,人力资源政策是否有利于企业可持续发展,员工的聘用及解聘是否有相关的制度,是否有薪酬及考核制度及强制休假和岗位轮换制度,是否有掌握机密的员工离岗限制规定,内部审计部门的工作内容、监督范围及频率等对内部控制的建立都具有较大的影响。上述制度建立执行越好,内部控制制度建立的环境就越好,实施的效果就越好。
2、风险评估。风险评估是为实现企业发展战略,及时识别、科学分析影响企业生产经营管理活动过程中的的各种风险,并针对这些不确定因素制定并采取应对策略,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对四个方面的内容。
3、控制活动。控制活动是根据风险评估结果确定风险应对策略,采用相应的风险控制措施,将风险控制在企业可承受的范围之内,确保企业内部控制目标得以实现。具体的控制措施制定需结合企业具体业务事项的特点,主要包括:授权审批控制、不相容职务相分离控制、预算控制、财产保护控制、会计系统控制、内部报告控制、生产经济活动分析控制、绩效考评控制、信息技术控制等。
4、信息与沟通。信息与沟通是及时、准确、完整地收集与企业生产经营管理相关的各种信息,并确保这些信息在企业相关部门之间、企业与外部相关部门之间进行及时传递、有效沟通和正确使用,是实施内部控制的重要条件。信息与沟通主要包括:信息质量、勾通制度、信息系统、反舞弊机制。
5、内部监督。内部监督是企业对其内部控制制度的设计及运行的进行检查与评估,从而评价内部控制的有效性,形成内部控制的书面报告。监督检查主要日常监督和专项监督。
(二)企业内部控制点的设置
企业根据其自身特点,分析生产经营过程中涉及的业务办理流程,从而根据业务流程中各个步骤,确定控制点,制定相应业务的内部控制流程文件,使生产经营各个环节有序按流程步骤执行,使各项业务有序进行。
在各个流程文件中,对关键控制点设置是企业内部控制成败的关键因素,不同的企业的性质、规模、业务各有其特殊点,所涉及的产品和劳务各有不同,决定了其关键控制点不同。在实务中要考虑控制点的控制目标、出现的偏差可能、控制失效的影响及责任追就、控制信息勾通反馈价值及经济合理性等有关因素。
1、企业风险控制分析
企业要按自身的生产、销售、财务等相关业务,辨析各项生产经营管理环节中来自企业内部及外部的各种相关风险。重点关注:内部方面:关注管理因素中企业组织机构、生产经营方式、资产管理、业务流程等,人力资源因素中企业高级管理者的职业操守及员工的专业胜任能力,财务状况、经营成果、现金流量等财务因素,营运安全、员工健康、环境保护等安全因素, 研究开发、技术投入、信息技术运用等自主创新因素;外部方面:国家经济形式、产业政策、融资环境、市场竞争、资源供给等经济因素;法律法规、监管要求等法律因素;安全稳定、文化传统、教育水平等社会因素,技术进步、工艺改进等科学技术因素;自然灾害、环境状况等自然环境因素等。对固有风险可能造成的损失程度进行分析,重点关注和优先控制采取控制措施后的剩余风险,采用定性及定量相结合的方法,对分险可能性及影响程度进行分析和排序,结合企业对风险的承受程度及风险偏好,分析企业董事、经理及其他高级管理人员、关键岗位员工的风险偏号,权衡风险与收益,对实施可能对企业造成重大风险影响的事项,可以采用改变和回避的相关业务事项,企业实行风险规避,不承担相关风险;通过对风险与收益进行分析后,风险较小,企业可承受相关的风险的,选择风险承受;对于采取控制措施后可降低企业发生不利后果的风险,选择风险降低;企业也可通过购买保险、外包业务等方式分担一部分风险。
2、企业设置关键控制点考虑因素
通过对企业生产经营各环节的业务进行逐项风险分析后,根据各环节重要性及风险的特点,确定为关键控制点,通过区分关键控制点与一般控制点,使企业能有效地分配管理资源,增强风险管控能力,节约成本,促使企业效益最大化。
在确定关键控制点时,要考虑的因素如下:
首先要考虑该生产经营环节的风险控制措施是否能消除风险因素或者能够将风险因素降低至企业重要性水平以下或企业可接受风险水平,如果通过风险控制措施能消除或者降低风险发生的对企业生产经营的影响,则将该环节作为关键控制点。
要考虑该控制点对应风险发生后,金额是否重大,事项的性质是否恶劣,是否导致企业的生产经营遭受重大损失,是否导致企业对外报送的财务报告信息严重失真,是否导致企业违反了国家相关的法律法规。
要考虑相关业务的特殊性,如果一个控制点涉及非常规的重大交易及复杂的审批程序,则该控制点应作为关键控制点。
要考虑控制点间的相互关系。如果一个控制点对应的风险无相关控制或控制失效,可能会引取其他控制点出现较大风险,则该控制点应作为关键控制点。
3、企业关键控制点的设置
内部控制的关键控制点要根据企业自身的特点设置。通常分为企业层面的关键控制点和业务层面的关键控制点。
企业层面控制主要与内部环境、风险评估、信息与勾通、内部监督直接相关的控制。在组织架构控制中主要有:高级管理人员的职责、任职条件、议事规则和工作程序中企业的决策权、执行权、监督权应当分离,形成制衡,企业的重大决策、重大事项、重大人事任免及大额资金支付业务是否有集体决策或联签制度。对子公司是否有投资管控制度。在企业发展战略控制中主要有:企业是否有明确的战略,是否分解传递到各管理层及全体员工。在人力资源控制中主要有:人才的引进、使用与退出制度的控制,关键技术、商业秘密、国家机密等规定。在社会责任控制中主要有:是否有重大生产事故应急预案,是否存在质量控制和检验制度,是否员工权益保障制度。在企业文化中主要有:高级管理人员在企业文化建设中的关键作用,员工核心价值认同感。
业务层面的关键控制点设置主要在:资金管理、合同管理、采购务、销售、生产成本、担保、在建工程、工程分包、研究与开发、固定资产、全面预算、财务报告、信息系统及传递等环节。各环节中的关键控制点设立应建立健全相关制度,严格执行内部牵制制度,职责清晰。在资金管理关键控制点设置环节中主要有:重大筹资、投资方案应有可行性报告,实行集体决策和联签制度。营运资金支出按规定审批并按范围支付,银行预留印鉴和网银钥匙的应职责分离保管,银行票据的购买、领用手续健全,定期核对现金、银行存款、票据。在合同管理关键控制点设置环节中主要有:影响重大、专业技术性高、法律关系复杂的合同,应有法律、技术及财务人员参加,合同履行中应先审核后办理,合同主体、内容及形式要合法。在采购及销售关键控制点设置环节中主要有:采购申请审批、货款的支付、退货、验收入库环节授权批准备制度健全,销售合同、退回按照规定程序审批,确定合理的定价和信用度,应收账款应定期对账,及时催收。在成本费用关键控制点设置环节中主要有:成本费用支出按照规定权限严格审批支付,对费用真实、合理性进行审核。在固定资产与在建工程关键控制点设置环节中主要有:购置立项、付款、处置按规定程序审批,按规定程序验收,作好工程结算。在工程项目关键控制点设置环节中主要有:专家进行项目可行性研究进行充分论证和评审。重大立项有董事会或类似权力机构集体审批,总会计师及会计主管参与项目决策,工程项目进行公开招标。在业务外包关键控制点设置环节中主要有:避免核心业务外包,重大业务外包应提交董事会或类似权力机构审批,总会计师及财务负责人应参与。在内部信息传递及信息系统关键控制点设置环节中主要有:制定严密的内部的报告流程,制定反舞弊机制,严格内部保密制度,信息系统人员不得擅自进行系统软件的删除、修改等操作,不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置,建立用户管理制度,加强网络安全,定期备份数据。未经授权,任何人不得接触关键信息设备。
三、企业内部控制评价
董事会或类似的权力机构应当定期对内部控制的有效性进行全面评价、形成评价结论、出具审计报告。董事会或类似的权力机构是内部控制设计和运行的责任主体。对内部控制评价报告的真实性负责。
(一)内部控制评价遵循的原则
企业对内部控制评价应遵循的原则为:全面性原则。评价范围应涵盖企业及其所属单位的各种业务和事项。重要性原则。企业以风险为导向,对重要业务单位、重大业务事项和高风险的领域要重点进行平价。客观性原则。企业在评价中,应准确揭示企业生产经营中的风险状况,以事实为依据,客观真实。
(二)内部控制评价方法
在内部评价工作中,企业根据评价内容和被评价单位的具体情况,综合应用个别访谈、调查问卷、穿行测试、抽样、实地查验、专题讨论和比较分析等方法,收集内部控制设计和运行是否有效的证据,获得充分和适当的证据,为内部控制报告的正确编写提供保理保证。
(三)内部控制设计有效性评价:
设计有效性评价就是评价实现控制目标所必需的内部控制要素是否都存在并且设计恰当,主要从以下几个方面进行评价:是否为防止、发现并纠正财务报告重大错报而设计了相应的控制,从而使财务报告能真实客观反映企业的资产债、经营成果及现金流量状况。是否为合理保障企业的资产安全而设计了相应的控制措施,有利于防止舞弊的发生。相关控制的设计是否能够保证企业遵循了国家相关部门法律法规的有关规定,使企业合法经营;相关控制的设计是否有助于企业提高经营效率和效果,实现企业发展战略。
(四)内部控制运行有效性评价:
运行的有效性是指评价现有内部控制是否按照规定流程设计得到了正确执行,主要从以下几个方面进行评价:相关控制流程在评价期间内是否按设计的控制流程正确运行的;相关控制流程是否得到了持续一致的运行,是否存在不按规定执行情况。实施控制的人员是否具备必要的权限和能力,是无超越权限实施的事项;相关控制措施运行的方式有人工控制和自动控制、预防性控制和发现性控制,这些控制在业务活动中是否存在。
(五)内部控制报告
通过对内部控制的设计及运行有效性进行评价,不断完善内部控制制度。对发现的内部控制缺陷进行分析,按重要性分为一般缺陷、重要缺陷、重大缺陷,针对缺陷情况出具内部控制评价报告。内部控制报告内容包括:董事会对内部控制报告真实性的声明,内部控制评价工作的总体情况、评价依据、评价范围、评价的程序和方法、缺陷及其认定,内部控制缺陷的整改情况,内部控制有效性的结论。
总之,企业根据自身性质,充分结合自身的管理特点,分析影响企业发展的一般风险和关键风险,根据风险采取相对应的控制措施,建立有利于企业发展战略的内部控制制度,通过对内部控制制度的定期的评价,找出内部控制制度设计和运行中的不足,不断完善,提高企业的管理水平和风险意识。企业应建立内部控制制度并对其有效性进行评价,这对增强企业的竞争能力具有重要的作用。
参 考 文 献
财政部 审计署 中国保险监督管理委员会 中国银行业监督管理委员会 中国证券监督管理委员会,《企业内部控制基本规范》,2008年5月22日。
财政部 证监会 审计署 银监会 保监会,《企业内部控制配套指引》,2010年4月15日。
财政部 证监会 审计署 银监会 保监会,《企业内部控制评价指引》,2010年4月15日。
“企业内部控制编委员会”,《企业内部控制基本规范及配套指引案例讲解》,立信会计出版社,2011年4月。
鲍国明,《内部经济责任审计》,中国时代经济出版社,2012年7月第1版。
6、韩传模,《内部审计质量管理的探索与实践》,《中国内部审计》2013年第1期。
