谈组织实施企业内部制约评价组织实施
最后更新时间:2024-02-15
作者:用户投稿
本站原创
点赞:23922
浏览:107292
本站原创
点赞:23922
浏览:107292
论文导读:
【摘要】 本文围绕设立内部控制评价机构、制定评价工作方案、确定具体评价内容、界定缺陷认定标准、综合利用不同方法获取内部控制评价内容、汇总评价结果、提出整改措施、编制评价报告等方面全面论述了企业内部控制评价的组织实施。
【关键词】 内部控制评价组织实施
2010年4月财政部等五部委下发了企业内部控制配套指引,自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。同时鼓励非上市大中型企业提前执行。企业内部控制评价是内部控制体系的重要组成部分,是企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制评价是对内部控制有效性发表意见,包括设计的有效性和运行的有效性,检查内控设计是否合理,运行是否得当。企业每年应对内部控制进行评价并予以披露。但是内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。一般而言,内部控制建立与实施初期,实行全面综合评价,内部控制系统成熟后更多采用重点评价或专项评价。《评价指引》第四条规定,企业应当根据本评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
(2)发展战略。检查企业的发展目标和战略规划是否科学合理;发展战略是否经过可行性研究和科学论证,并经董事会和股东大会审议通过;是否制定年度工作计划,编制全面预算;是否将发展战略分解落实到各级管理层及全体员工;是否根据环境变化对发展战略及时调整等。
(3)人力资源政策。检查人力资源政策是否利于企业发展和内部控制执行;是否实施了员工聘用、培训、辞退与辞职、薪酬、考核、健康与安全、晋升与奖惩等方面的管理制度;关键岗位是否实行了强制休假和定期轮岗制度;对掌握国家机密或重要商业秘密的员工是否有限制性规定;是否将内部控制纳入绩效考核体系。
(4)社会责任。检查是否建立了安全生产体系、操作规范及应急预案等;是否有严格的产品质量控制和检验制度,并妥善处理消费者投诉;环境保护、神态建设、资源节约等有关措施是否到位,并实现节能减排目标;员工的合法权益是否得到保护,工作岗位是否稳定。
(5)企业文化。检查企业文化建设、法制教育、员工培训等措施是否到位;董事会、监事会、经理及其他高级管理人员是否在文化建设和社会责任中起到表率作用;是否制定了高级管理人员职业道德准则和员工行为准则;是否建立了法律顾问制度和重大法律纠纷案件备案制度等等。
(6)内部审计。检查审计委员会和内部审计机构是否独立地履行职责;审计委员会履行职责的意见表述是否客观并有据可查;内部审计机构是否完成了审计工作并提出审计意见。
(2)风险分析。检查是否运用适当的技术和方法分析风险发生的可能性和影响程度,评估其固有风险和剩余风险;是否对风险进行排序,确定重点关注和优先控制的风险;是否运用适当的方法和技术对风险进行持续监控,及时对风险进行在识别、再评估。
(3)风险应对。检查是否结合剩余风险和风险承受度权衡风险与收益,确定风险应对策略;对于相互关联的风险能否制定综合应对措施;是否掌握董事会、经理及其他高级管理人员、关键岗位员工的风险偏好,并采取适当的控制措施;是否持续地收集与风险相关的信息,及时调整源于:论文参考文献www.7ctime.com
风险应对策略。
(2)控制活动的运行。检查各类控制方法和控制措施是否得以有效实施;对不相容岗位未予以分离的情形是否采取了补救措施;是否存在超越权限或不按程序和权限业务的情况;特别授权是否履行相应程序;“三重一大”(重大决策、重大事项、重要人事任免及大额资金支付业务)是否实行集体决策或联签制度。
(3)特殊性控制活动。检查企业是否针对非常规性、非系统性业务事项制定了相应的控制措施,并定期对执行情况进行分析;是否建立了重大风险预警机制和突发事件应急处理机制,相关应急预案的处置程序和论文导读:财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更。企业可以根据风险评估的各项工作,对《企业内部控制应用指引》中每一篇应用指引所阐述的风险,根据自身的实际情况、管理现状和发展要求,加以细化或按内部控制原理补充,参照财务报告内部控制缺陷的认定标准,合理确定定性和定量的认定标准,
处理结果是否有效。
(1)信息质量。检查是否及时、准确、充分地获取与经营管理和内部控制相关的信息;是否采取措施确保内部信息与外部信息的有用性。
(2)沟通制度。检查企业是否建立了科学规范的信息沟通制度,信息的收集、处理、和传递程序是否透明、高效;能否在企业内部各层级之间、企业与外部之间进行有效沟通;董事会、监事会、经理层能否及时掌握经营管理和内部控制的重要信息并加以应对;员工诉求渠道是否顺畅。
(3)信息系统。检查企业的信息系统是否适合经营管理需要,能否以此提高自动控制水平;对具有信息技术的风险识别、评估、防范;信息系统能否安全稳定运行并确保业务运行的规范性和科学性;是否有信息交流与沟通的记录。
(4)反舞弊机制。检查企业是否建立健全并有效实施反舞弊机制;投诉制度和人保护制度是否及时、准确传达至全体员工;对舞弊事件和所涉及的问题能否妥善处理等。
(2)内部控制缺陷的认定。检查企业内部控制缺陷标准是否科学;对内部控制缺陷是否制定了整改方案并落实;能否及时向董事会、监事会、经理层报告内部控制重大缺陷并按规定予以披露;能否对重大缺陷的责任单位和责任人追究责任;是否建立了缺陷信息数据库,并对历年发现的缺陷及整改情况进行。
(3)控制文档记录。检查是否采取书面或其他适当方式对内部控制的建立与实施进行记录;是否妥善保存内部控制相关记录和资料,确保内部控制的可验证性;对暂未建立的文档或记录是否有证据表明已实施了有效控制或替代控制措施。
将财务报告内部控制的缺陷划分为重大缺陷、重要缺陷和一般缺陷,所采用的认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报告错报的重要程度。这种重要程度主要取决于两个方面的因素:一是该缺陷是否具备合理可能性导致企业的内部控制不能及时防止或发现并纠正财务报告错报。合理可能性是指大于微小可能性(几乎不可能发生)的可能性,确定是否具备合理可能性涉及评价人员的职业判断。二是该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。另外,一些迹象通常表明财务报告内部控制可能存在重大缺陷:董事、监事和高级管理人员舞弊;企业更正已公布的财务报告;注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效。如果企业的财务报告内部控制存在一项或多项重大缺陷,就不能得出该企业的财务报告内部控制有效的结论。
企业可以根据风险评估的各项工作,对《企业内部控制应用指引》中每一篇应用指引所阐述的风险,根据自身的实际情况、管理现状和发展要求,加以细化或按内部控制原理补充,参照财务报告内部控制缺陷的认定标准,合理确定定性和定量的认定标准,根据其对内部控制目标实现的影响程度认定为一般缺陷、重要缺陷和重大缺陷。以下迹象通常表明非财务报告内部控制可能存在重大缺陷:国有企业缺乏决策程序,如缺乏“三重一大”决策程序;企业决策程序不科学,如决策失误,导致并购不成功;违犯国家法律、法规,如环境污染;管理人员或技术人员纷纷流失;媒体负面新闻频现;内部控制评价的结果特别是重大或重要缺陷未得到整改;重要业务缺乏制度控制或制度系统性失效。
及固有风险的高低,从确定的样本库中抽取一定比例的样本,对其控制水平进行判断,进而对整个业务流程的内部控制有效性作出评价。实地查验法主要针对业务层面控制,对资产安全性目标的实现情况作出判断。它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。比较分析法是指通过分析、比较数据间的关系、趋势或比率等,识别评价关注点的方法。数据分析可以是与历史数据、行业(公司)标准数据或行业最优数据等进行比较。专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。对于同时涉及财务、业务、信息技术等方面的控制缺陷,常通过此方法来综合各机构、各方面的意见,研究确定整改方案。源于:论文大纲怎么写www.7ctime.com
【摘要】 本文围绕设立内部控制评价机构、制定评价工作方案、确定具体评价内容、界定缺陷认定标准、综合利用不同方法获取内部控制评价内容、汇总评价结果、提出整改措施、编制评价报告等方面全面论述了企业内部控制评价的组织实施。
【关键词】 内部控制评价组织实施
2010年4月财政部等五部委下发了企业内部控制配套指引,自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。同时鼓励非上市大中型企业提前执行。企业内部控制评价是内部控制体系的重要组成部分,是企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制评价是对内部控制有效性发表意见,包括设计的有效性和运行的有效性,检查内控设计是否合理,运行是否得当。企业每年应对内部控制进行评价并予以披露。但是内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。一般而言,内部控制建立与实施初期,实行全面综合评价,内部控制系统成熟后更多采用重点评价或专项评价。《评价指引》第四条规定,企业应当根据本评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
一、设立内部控制评价机构
企业可以授权内部审计机构或专门机构(下称“内部控制评价机构”)负责内部控制评价的具体组织实施工作。具体来说,企业可根据自身特点,决定是否单独设置专门的内部控制评价机构。对于单独设有专门内部控制机构的企业,也可以由内部控制机构来负责内部控制评价的具体组织实施工作。但是,为了保证评价的独立性,负责内部控制设计和评价的部门应适当分离。另外,企业也可以委托会计师事务所等机构实施内部控制评价,同时注意为企业提供内部控制审计的会计师事务所不得为同一家企业提供内部控制评价服务,以确保审计的独立性。二、制定评价工作方案
内部控制评价机构根据企业实际情况和管理要求,全面分析经营过程中的高风险领域和重要业务事项,制定评价方案,明确评价范围、工作任务、人员组织、进度安排、费用预算等,经董事会批准后实施。组织相关岗位的业务骨干参加评价工作,并就有关事项进行事前培训。三、确定具体评价内容
企业应当从内部环境、风险评估、控制活动、信息与沟通、内部监督五要素入手,结合企业业务特点和管理要求,确定内部控制评价的具体内容,对内部控制的设计和运行进行全面评价。1、内部环境
(1)组织架构。检查董事会、监事会、经理层的任职资格、职责权限以及议事规则是否合理;组织架构设置是否与企业业务特点、内部控制要求相符;职责分工与权责分配是否明确等等。(2)发展战略。检查企业的发展目标和战略规划是否科学合理;发展战略是否经过可行性研究和科学论证,并经董事会和股东大会审议通过;是否制定年度工作计划,编制全面预算;是否将发展战略分解落实到各级管理层及全体员工;是否根据环境变化对发展战略及时调整等。
(3)人力资源政策。检查人力资源政策是否利于企业发展和内部控制执行;是否实施了员工聘用、培训、辞退与辞职、薪酬、考核、健康与安全、晋升与奖惩等方面的管理制度;关键岗位是否实行了强制休假和定期轮岗制度;对掌握国家机密或重要商业秘密的员工是否有限制性规定;是否将内部控制纳入绩效考核体系。
(4)社会责任。检查是否建立了安全生产体系、操作规范及应急预案等;是否有严格的产品质量控制和检验制度,并妥善处理消费者投诉;环境保护、神态建设、资源节约等有关措施是否到位,并实现节能减排目标;员工的合法权益是否得到保护,工作岗位是否稳定。
(5)企业文化。检查企业文化建设、法制教育、员工培训等措施是否到位;董事会、监事会、经理及其他高级管理人员是否在文化建设和社会责任中起到表率作用;是否制定了高级管理人员职业道德准则和员工行为准则;是否建立了法律顾问制度和重大法律纠纷案件备案制度等等。
(6)内部审计。检查审计委员会和内部审计机构是否独立地履行职责;审计委员会履行职责的意见表述是否客观并有据可查;内部审计机构是否完成了审计工作并提出审计意见。
2、风险评估
(1)风险识别。检查是否具备健全的风险评估机制并根据控制目标全面、系统、持续地收集相关信息;是否运用适当的技术和工具,准确、持续识别影响战略目标实现的内外部风险;是否结合企业的风险偏好确定了相应的风险承受度。(2)风险分析。检查是否运用适当的技术和方法分析风险发生的可能性和影响程度,评估其固有风险和剩余风险;是否对风险进行排序,确定重点关注和优先控制的风险;是否运用适当的方法和技术对风险进行持续监控,及时对风险进行在识别、再评估。
(3)风险应对。检查是否结合剩余风险和风险承受度权衡风险与收益,确定风险应对策略;对于相互关联的风险能否制定综合应对措施;是否掌握董事会、经理及其他高级管理人员、关键岗位员工的风险偏好,并采取适当的控制措施;是否持续地收集与风险相关的信息,及时调整源于:论文参考文献www.7ctime.com
风险应对策略。
3、控制活动
(1)控制活动的设计。检查是否对各类业务事项的主要风险和关键环节设计了必要的控制措施;各项控制措施的设计是否与风险应对策略相适应。(2)控制活动的运行。检查各类控制方法和控制措施是否得以有效实施;对不相容岗位未予以分离的情形是否采取了补救措施;是否存在超越权限或不按程序和权限业务的情况;特别授权是否履行相应程序;“三重一大”(重大决策、重大事项、重要人事任免及大额资金支付业务)是否实行集体决策或联签制度。
(3)特殊性控制活动。检查企业是否针对非常规性、非系统性业务事项制定了相应的控制措施,并定期对执行情况进行分析;是否建立了重大风险预警机制和突发事件应急处理机制,相关应急预案的处置程序和论文导读:财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更。企业可以根据风险评估的各项工作,对《企业内部控制应用指引》中每一篇应用指引所阐述的风险,根据自身的实际情况、管理现状和发展要求,加以细化或按内部控制原理补充,参照财务报告内部控制缺陷的认定标准,合理确定定性和定量的认定标准,
处理结果是否有效。
4、信息与沟源于:论文怎么写www.7ctime.com
通(1)信息质量。检查是否及时、准确、充分地获取与经营管理和内部控制相关的信息;是否采取措施确保内部信息与外部信息的有用性。
(2)沟通制度。检查企业是否建立了科学规范的信息沟通制度,信息的收集、处理、和传递程序是否透明、高效;能否在企业内部各层级之间、企业与外部之间进行有效沟通;董事会、监事会、经理层能否及时掌握经营管理和内部控制的重要信息并加以应对;员工诉求渠道是否顺畅。
(3)信息系统。检查企业的信息系统是否适合经营管理需要,能否以此提高自动控制水平;对具有信息技术的风险识别、评估、防范;信息系统能否安全稳定运行并确保业务运行的规范性和科学性;是否有信息交流与沟通的记录。
(4)反舞弊机制。检查企业是否建立健全并有效实施反舞弊机制;投诉制度和人保护制度是否及时、准确传达至全体员工;对舞弊事件和所涉及的问题能否妥善处理等。
5、内部监督
(1)内部监督制度。检查企业是否通过日常监督和专项监督相结合的方式来促进内部控制有效运行;是否制定内部控制自我评价办法和考核奖惩办法,定期开展自我评价并按规定报送自我评价报告。(2)内部控制缺陷的认定。检查企业内部控制缺陷标准是否科学;对内部控制缺陷是否制定了整改方案并落实;能否及时向董事会、监事会、经理层报告内部控制重大缺陷并按规定予以披露;能否对重大缺陷的责任单位和责任人追究责任;是否建立了缺陷信息数据库,并对历年发现的缺陷及整改情况进行。
(3)控制文档记录。检查是否采取书面或其他适当方式对内部控制的建立与实施进行记录;是否妥善保存内部控制相关记录和资料,确保内部控制的可验证性;对暂未建立的文档或记录是否有证据表明已实施了有效控制或替代控制措施。
四、界定缺陷认定标准
《评价指引》第十六条规定,企业对内部控制缺陷的认定,应当以构成内部控制的内部监督要素中的日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价机构进行综合分析后提出认定意见,按照规定的权限和程序进行审核,由董事会予以最终确定。因此,企业应当首先根据评价指引,结合自身情况和关注的重点,自行确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。然后,根据具体认定标准认定企业存在的内部控制缺陷,由董事会最终审定。1、财务报告内部控制缺陷的认定标准
财务报告内部控制的缺陷,是指不能及时防止或发现并纠正财务报告错报的内部控制缺陷。一般而言,如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中的重大错报,就应将该缺陷认定为重大缺陷;如果虽未达到和超过重要性水平,但仍应引起董事会和管理层重视的错报,就应将该缺陷认定为重要缺陷;不构成重大缺陷和重要缺陷的内部控制缺陷,应认定为一般缺陷。将财务报告内部控制的缺陷划分为重大缺陷、重要缺陷和一般缺陷,所采用的认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报告错报的重要程度。这种重要程度主要取决于两个方面的因素:一是该缺陷是否具备合理可能性导致企业的内部控制不能及时防止或发现并纠正财务报告错报。合理可能性是指大于微小可能性(几乎不可能发生)的可能性,确定是否具备合理可能性涉及评价人员的职业判断。二是该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。另外,一些迹象通常表明财务报告内部控制可能存在重大缺陷:董事、监事和高级管理人员舞弊;企业更正已公布的财务报告;注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效。如果企业的财务报告内部控制存在一项或多项重大缺陷,就不能得出该企业的财务报告内部控制有效的结论。
2、非财务报告内部控制缺陷的认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。这些目标一般包括战略目标、资产安全、经营目标、合规目标等。非财务报告评价是企业内部控制评价的重点,同时,为避免企业操纵内部控制评价报告,非财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更。企业可以根据风险评估的各项工作,对《企业内部控制应用指引》中每一篇应用指引所阐述的风险,根据自身的实际情况、管理现状和发展要求,加以细化或按内部控制原理补充,参照财务报告内部控制缺陷的认定标准,合理确定定性和定量的认定标准,根据其对内部控制目标实现的影响程度认定为一般缺陷、重要缺陷和重大缺陷。以下迹象通常表明非财务报告内部控制可能存在重大缺陷:国有企业缺乏决策程序,如缺乏“三重一大”决策程序;企业决策程序不科学,如决策失误,导致并购不成功;违犯国家法律、法规,如环境污染;管理人员或技术人员纷纷流失;媒体负面新闻频现;内部控制评价的结果特别是重大或重要缺陷未得到整改;重要业务缺乏制度控制或制度系统性失效。
五、综合利用不同方法获取内部控制评价内容
《评价指引》第十五条规定,内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。个别访谈法主要用于了解公司内部控制的基本现状,在企业内部评价的了解阶段经常使用,被访谈人员主要为单位领导、相关机构负责人、一般岗位员工。调查问卷法主要用于企业层面评价或者说内部环境评价,要尽量扩大调查对象范围,应包括企业各个层级员工,同时注意事先保密性,题目尽量简单易答。调查问卷一般包括填列项目、控制描述、支持性文档等内容。穿行测试法是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程,以此了解控制措施设计的有效性,并识别出关键控制点。抽样法是针对具体业务流程,按照业务发生频率论文导读:及固有风险的高低,从确定的样本库中抽取一定比例的样本,对其控制水平进行判断,进而对整个业务流程的内部控制有效性作出评价。实地查验法主要针对业务层面控制,对资产安全性目标的实现情况作出判断。它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。比较分析法是指通过分析、比较数据间的关系、趋势或比率等,识别评价关注点的方法。数据分析可以是与历史数据、行业(公司)标准数据或行业最优数据等进行比较。专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。对于同时涉及财务、业务、信息技术等方面的控制缺陷,常通过此方法来综合各机构、各方面的意见,研究确定整改方案。源于:论文大纲怎么写www.7ctime.com