本站原创
摘要:一个完整的理论框架只有兼顾政策要求与企业需求,才能有效付诸实施。文章首先回顾、总结了我国内部控制规范系统建设近十年的相关政策文件,继而以政策要求为导向,结合上市公司的实际需求,提出了内控系统构建的理论框架与实践差异,进而对内控专门机构设置、关键流程与重要风险点的确定、人工控制测试抽样、控制缺陷认定等难点问题进行讨论。
关键词:内控系统构建;流程;专门机构;认定标准
依据文件适用的范围,可将以上9个文件划分为三类:第一类为企业内控规范文件(2个);第二类为各交易所适用的内控规范文件(2个);第三类为普适性内控规范文件(包括《基本规范》、《配套指引》、2个解释公告和1个通知,共5个)是针对各行业各上市公司提出的一般性要求。第一类和第二类文件是对第三类普适性文件的重要补充,上市公司应以第三类文件为基础,参照第一类、第二类文件的适用条款构建内控系统。遗憾的是,以上文件均未对我国上市公司内控系统构建的框架作出明确指导或说明,而这正是上市公司在构建内部控制系统过程中迫切需要的。
2. 内控系统构建的实践差异。在企业内部控制建设实务中,内控系统构建的逻辑框架通常与表2的理论框架存在差异,主要表现在第一环节的第3项内容“识别流程中的关键控制活动,编制风险控制矩阵”,在实务中,该项工作内容通常需进一步改进并细化为以下工作内容:3.1开展制度缺口分析与控制差异分析;3.2完善控制措施设计,绘制业务流程图,编制内控手册;3.3内控手册实施与反馈。导致这一差异的主要原因是:一方面,企业在全面开展内部控制建设工作前鲜有关于各业务流程的描述文件,如标准操作流程(SOP)等;另一方面,企业现有内部控制基础薄弱,没有设计或执行应有的控制活动。因此,在确定重点与优先控制的风险点后,企业需以识别的关键风险点为基础,开展控制差异分析,比较“现有控制措施”与“预期控制措施”的差异,分析存在的漏洞,进而完善内部控制设计,填补制度设计缺口,绘制业务流程图(常用Visio专业软件)。在设计“预期控制措施”时,企业应根据实际经营管理情况,全面梳理各项相关规章管理制度,将内部控制的核心要求融入到各项管理系统当中,使内部控制真正为经营管理怎么写作,提高经营的效率和效果;在绘制业务流程图时,应清晰地描述各项业务活动在各相关部门中如何发生、处理、记录及披露的过程,并有效嵌入复核、授权审批、岗位分离、定期经营分析等控制活动。具备条件的企业可以充分运用信息技术平台固化各业务流程,提高业务处理效率,增进信息共享的广度和深度,还可以减少内部控制与其他经营管理系统的冲突。
3. 内控系统构建的专门机构。内部控制系统框架的有效性和合理性最终在实施过程中得以体现,内控系统在实施过程中应由谁负责组织、协调?根据《基本规范》的要求,董事会负责企业内部控制的建立健全与有效实施,董事会指定专门委员会负责企业内部控制建设工作。一部分上市公司董事会下设风险管理委员会,风险管理
2.人工控制测试抽样。控制的测试程度会根据相应控制具有的特点而变化,如该控制是自动控制还是人工控制。其中,人工控制测试是内部控制建设过程中的重点和难点,通常需结合询问、观察、检查、重新执行四种测试方法进行。人工控制是否有效需在不同的业务情况下检查某个特定的经营场所或业务单位的控制(即“抽样”),这个过程的确定是整个人工控制测试的核心环节,内控团队应选择合适的测试样本量,这一过程并不一定要求应用严格的统计抽样,但可以借鉴统计抽样的相关理论,把抽样风险降至最低。测试或选样的范围主要基于内控团队对相关控制重要性的判断及其希望从测试中获得的保证程度。表3结合笔者的实务经验与普华永道内控团队提供的经验数据(2012),整理了人工控制抽样的一些经验数据,作为参考。需要提醒的是,在抽样之前,内控团队还应考虑通过其他途径获得的证据,如自我评估的结果,内部审计证据,以及从内部监督过程中收集的证据,继而做出抽样决策。多种证据的结合使用有助于提高控制有效性的保证程度。
3. 内控缺陷认定标准的设定。一项具体业务内部控制措施的有效性包括设计有效性与执行有效性两部分,内部控制措施
参考文献:
作者简介:陈少华,厦门大学管理学院会计系教授、博士生导师;彭青,厦门大学管理学院会计系博士生。
关键词:内控系统构建;流程;专门机构;认定标准
一、 引言
为防止上市公司在内部控制建设与实施过程中出现“走过场”现象,2012年8月14日,财政部联合证监会发布通知,对原定于2012年在主板上市公司全面实施内部控制规范系统的规定进行更改,变更后,仅要求和地方国有控股上市公司在2012年执行相关规定,允许非国有控股等其他上市公司分步、分批于2013年、2014年公布年报时再批露内部控制评价报告、审计报告(财政部、证监会,2012)。原执行路径于2010年出台《企业内部控制配套指引》(下称“配套指引”)时敲定,《配套指引》联同2008年发布的《企业内部控制基本规范》(下称“基本规范”)标志着具有中国特色的,融合COSO内控经验的中国内部控制规范系统基本成型。然而,内部控制的两个主要文件均未对我国上市公司内部控制系统如何构建作出明确指导或说明,上市公司内控系统构建工作任重道远,本文基于政策要求与企业需求视角,融合COSO《企业风险管理——整合框架》的先进经验,试图整理我国上市公司内部控制系统构建的基本框架,以期为相关理论探讨与企业实务添砖加瓦。二、 中国内部控制十年政策评析
COSO于1992年发布《内部控制--整合框架》,逐渐在世界范围内成为内控权威文献,相继被各国审计准则制定机构、监管机构广泛学习和借鉴。2004年,COSO发布《企业风险管理——整合框架》,相比1992年框架,其扩展了企业风险管理的主要目标,将风险管理“五要素”扩展为“八要素”,进一步突出和强调风险管理的重要性。在COSO风险管理框架先进经验的指导下,我国内部控制法律、法规建设工作取得了长足的发展和进步,自2004年以来,相关部门单独或联合颁布了一系列具有指导性和示范性的政策文件,简要归纳如表1。依据文件适用的范围,可将以上9个文件划分为三类:第一类为企业内控规范文件(2个);第二类为各交易所适用的内控规范文件(2个);第三类为普适性内控规范文件(包括《基本规范》、《配套指引》、2个解释公告和1个通知,共5个)是针对各行业各上市公司提出的一般性要求。第一类和第二类文件是对第三类普适性文件的重要补充,上市公司应以第三类文件为基础,参照第一类、第二类文件的适用条款构建内控系统。遗憾的是,以上文件均未对我国上市公司内控系统构建的框架作出明确指导或说明,而这正是上市公司在构建内部控制系统过程中迫切需要的。
三、 上市公司内部控制系统构建的框架
1. 内控系统构建的理论框架。上市公司构建合理、完善的内控系统具有积极的意义:合理保证财务报告及其相关重要信息的真实性、完整性,保护投资者与其他利益相关者的利益;有效提高企业经营的效率和效果;促进企业发展战略目标的达成;合理保证企业经营合法、合规及主要资产的安全。目前,我国内部控制法规均未对上市公司内部控制系统的构建流程作出指导说明,根据COSO《内部控制——整合框架》、《基本规范》、《配套指引》的基本要求,参照 及陈国记(2012)等学者的观点,上市公司内控系统构建的理论框架大体可以提炼为三个环节,见表2。2. 内控系统构建的实践差异。在企业内部控制建设实务中,内控系统构建的逻辑框架通常与表2的理论框架存在差异,主要表现在第一环节的第3项内容“识别流程中的关键控制活动,编制风险控制矩阵”,在实务中,该项工作内容通常需进一步改进并细化为以下工作内容:3.1开展制度缺口分析与控制差异分析;3.2完善控制措施设计,绘制业务流程图,编制内控手册;3.3内控手册实施与反馈。导致这一差异的主要原因是:一方面,企业在全面开展内部控制建设工作前鲜有关于各业务流程的描述文件,如标准操作流程(SOP)等;另一方面,企业现有内部控制基础薄弱,没有设计或执行应有的控制活动。因此,在确定重点与优先控制的风险点后,企业需以识别的关键风险点为基础,开展控制差异分析,比较“现有控制措施”与“预期控制措施”的差异,分析存在的漏洞,进而完善内部控制设计,填补制度设计缺口,绘制业务流程图(常用Visio专业软件)。在设计“预期控制措施”时,企业应根据实际经营管理情况,全面梳理各项相关规章管理制度,将内部控制的核心要求融入到各项管理系统当中,使内部控制真正为经营管理怎么写作,提高经营的效率和效果;在绘制业务流程图时,应清晰地描述各项业务活动在各相关部门中如何发生、处理、记录及披露的过程,并有效嵌入复核、授权审批、岗位分离、定期经营分析等控制活动。具备条件的企业可以充分运用信息技术平台固化各业务流程,提高业务处理效率,增进信息共享的广度和深度,还可以减少内部控制与其他经营管理系统的冲突。
3. 内控系统构建的专门机构。内部控制系统框架的有效性和合理性最终在实施过程中得以体现,内控系统在实施过程中应由谁负责组织、协调?根据《基本规范》的要求,董事会负责企业内部控制的建立健全与有效实施,董事会指定专门委员会负责企业内部控制建设工作。一部分上市公司董事会下设风险管理委员会,风险管理
摘自:本科毕业论文致谢www.udooo.com
委员会下设风险管理部负责牵头落实企业内部控制建设与推进工作,以保证工作的专业性和独立性;一部分上市公司在董事会下设总经理领导的内部控制工作小组(或称为“风控中心”),并由总经理委托董事会风险管理委员会管理,内部控制的工作实际由风险管理委员会组织、协调,这样的架构设计(由总经理领导)有助于体现内部控制工作的权威,减少内部控制推进过程中与经营管理系统的摩擦。内部控制构建专门机构的组织形式并没有一个固化的模式,企业可以根据现有的治理结构、结合管理层特征设计合理的机构模式。少数企业受现有岗位编制、专业人才储备等条件限制,可能尚不具备成立内控专门机构的条件,可以暂时把内控管理职能划归至现有机构,如内部审计部门,简化组织架构。总之,不同企业应根据企业规模、组织架构等基本情况成立专门机构负责组织协调内部控制的建立实施及日常工作(五部委,2012)。四、 上市公司内部控制系统构建的难点
1. 关键流程梳理与重要风险点的确定。外部审计过程中涉及的“内部控制”主要是指与“财务报告及相关重要信息真实完整”这一目标相关的内部控制,简称“财务报告内部控制”不包括与资产安全等其他四个目标相关的内部控制。证券监管机构对2011年实施和试点内控建设的单位,要求先从“财务报告内部控制”切入,即外部审计过程中经常提及的“内部控制”,已经完成财务报告内部控制的公司,鼓励将范围扩展到全面内控建设。在构建与财务报告相关的内部控制时,需确定与财务报告相关的重要会计科目与附注披露事项,继而梳理、确定与这些重要的会计科目、披露事项对应的关键的业务流程,识别和分析风险类型,明确重点与优先控制的风险点。一般选择合并财务报表税前利润的5%作为确认重要会计科目的定量标准。定性标准则包括:会计科目核算的业务的交易数量和复杂程度,存在较大错误或舞弊的可能性,导致重大财产损失的可能性,存在较多的会计估计或经验判断的会计科目,与或有负债相关的会计科目,与新发生的金额较大的交易或行为相关的会计科目,与关联交易相关的会计科目。如果根据定量或定性因素确认某项会计科目(如固定资产)是重要的,需注意这一会计科目的附属科目(如累计折旧)也是重要的。对于披露事项的确认,由于财务报告中的每项附注都是报告使用者关心的事项,因此,企业应将财务报告的报表附注全部确认为重要的披露事项。流程和梳理与重要风险点的确定是内部控制构建过程中的重点也是难点,流程的梳理有赖于风险管理或内部控制工作者对公司业务的了解,这个过程可能要耗费大量的人力、物力。重要风险点的确定则有赖于内控工作者对业务的了解程度、专业能力及独立性。以上两项工作的有效完成是保障上市公司内控建设质量的基础。2.人工控制测试抽样。控制的测试程度会根据相应控制具有的特点而变化,如该控制是自动控制还是人工控制。其中,人工控制测试是内部控制建设过程中的重点和难点,通常需结合询问、观察、检查、重新执行四种测试方法进行。人工控制是否有效需在不同的业务情况下检查某个特定的经营场所或业务单位的控制(即“抽样”),这个过程的确定是整个人工控制测试的核心环节,内控团队应选择合适的测试样本量,这一过程并不一定要求应用严格的统计抽样,但可以借鉴统计抽样的相关理论,把抽样风险降至最低。测试或选样的范围主要基于内控团队对相关控制重要性的判断及其希望从测试中获得的保证程度。表3结合笔者的实务经验与普华永道内控团队提供的经验数据(2012),整理了人工控制抽样的一些经验数据,作为参考。需要提醒的是,在抽样之前,内控团队还应考虑通过其他途径获得的证据,如自我评估的结果,内部审计证据,以及从内部监督过程中收集的证据,继而做出抽样决策。多种证据的结合使用有助于提高控制有效性的保证程度。
3. 内控缺陷认定标准的设定。一项具体业务内部控制措施的有效性包括设计有效性与执行有效性两部分,内部控制措施
源于:论文发表网www.udooo.com
有效性评价的基本逻辑是:该业务存在的主要风险是什么?公司是否制定了相应的控制措施?该控制措施设计是否合理有效,即是否可以有效预防或控制风险?设计合理的控制措施是否得到有效执行?执行中发现的问题是否及时、有效处理?控制剩余风险是否在企业可接受的范围内?在以上过程中,通常综合采用询问、观察、穿行测试、实地查验等方法广泛收集公司内部控制设计与运行是否有效的证据。当然,对于一些特定的风险领域控制,风险管理团队需考虑采用特定途径与方法对内控有效性进行验证,如,对于质量管理,企业可能需要熟悉产品或相关制造工艺的专家的参考;针对信息安全,企业可能需要聘请专业人员进行技术检查。在控制测试结束后,企业需参照内控缺陷认定标准对内控缺陷分类判定并整改,由于企业所处行业、规模、风险偏好等存在差异,《基本规范》和《配套指引》均未对内部控制缺陷的认定标准进行统一规定,使得内部控制缺陷认定标准的设定成为内部控制建设工作中的又一难点。企业可以根据《基本规范》和《配套指引》相关要求,结合所处行业特征、企业规模,研究确定适合企业的内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准,这些标准可以是定性标准,也可以是定量标准,通常使用定性与定量方法结合制定标准。定性标准指就被评价的控制问题,谨慎地考虑相关的事实依据并且结合职业判断以确定其严重程度,进而对缺陷等级进行判定。定量标准指就问题导致的“严重程度”进行量化,并且与客观的、适度的尺度进行对比,进而判断缺陷等级。例如,可以从内控缺陷造成后果的“影响程度”和“发生的可能性”两个维度综合确定三类缺陷的标准。五、 小结
企业内部控制系统构建是一个循序渐进的过程,在实践过程中,内控建设相关部门和人员需把握以下要领:第一,管理层应充分重视内控系统构建工作,并保持对内控建设与实施工作的持续关注;第二,企业应根据组织架构特点设置内控建设专门机构,保证内控建设工作的专业性和独立性;第三,内控建设机构应理顺企业内控系统构建的基本流程,落实每一环节的工作,保证建设工作的稳步推进,并充分认识到内部建设过程中的难点,如关键流程与重要风险点的确定,人工控制测试抽样,内控缺陷认定标准的设定。参考文献:
1. 五部委.企业内部控制规范系统实施中相关问题解释第1号,2012.
2. 财政部、证监会.2012主板上市公司分步分批实施内控基本规范系统的通知,2012.3. 六部委.企业内部控制规范系统实施中相关问题解释第2号,2012.
4. 陈国记.关于企业内部控制构建若干思考.财会通讯(综合),2012,(12).
5. 普华永道.<企业内部控制基本规范>管理层实务操作指南.北京:中国财政经济出版社,2012.作者简介:陈少华,厦门大学管理学院会计系教授、博士生导师;彭青,厦门大学管理学院会计系博士生。