企业内部控制知识点总结
内部控制是以制衡为灵魂,以审批为手段的,又要兼顾效率。单讲企业风险管理时,讲的是企业所有的风险;而讲内部控制时面临的风险,往往讲的是企业内部的可控风险。有效的内部控制将使企业管理更有效,因此,企业需要建立和实施内部控制。
一、企业内部控制规范体系框架
1、内部控制5目标
合理保证企业经营管理合法合规、资产安全、财务报告与相关信息真实完整、提高经营效率和结果、促进企业实现发展战略。
这5个目标缺一不可,并且只能是合理保证。因为内部控制存在固有的局限性,受客观资源和人自身的主观因素影响,如:越权和串通。
2、内部控制5原则
全面性(全过程全员控制);
重要性(三重一大);
制衡性(灵魂,集体决策);
适应性(动力);
成本效益原则。
全面性原则和重要性原则是一对,制衡性原则和成本效益原则是一对,适应性原则强调企业内部控制不是一蹴而就的。注意5原则相互之间的内在联系。
3、内部控制5要素
1)内部环境,是企业建立与实施内部控制的基础。包括:治理结构、机构设置及权责分配、内部审计机制、人力资源政策、企业文化。
内部控制应当是一种内部行为,加强内部控制的原动力应当来源于企业自身,企业外部任何试图促使企业加强内部控制的影响因素,在企业不具备原动力的情况下,都很难取得好的效果。因此,内部环境是直接造成各企业内部控制形式和内容差异的根本原因。内部环境规定企业的纪律和架构,影响经营管理目标的制定,塑造企业文化氛围并影响员工的控制意识,是企业建立与实施内部控制的“基础”。
2)风险评估,是实施内部控制的重要环节,包括:目标设定、风险识别、风险分析和风险应对。
3)控制活动,是指企业根据风险应对策略,采用相应的控制措施,将风险控制在可承受度之内,是实施内部控制的具体方式。包括:不相容职务相分离、授权审批控制、会计系统控制、财产保护控制、预算控制(股东大会审批)、运营分析控制(分析的目的在于将来)、绩效考核控制(设置考核指标体系,考核什么就收获什么)、建立重大风险预警机制和突发事件应急处理机制。
其中,不相容职务一般包括:授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查等。不相容职务分离的核心是“内部牵制”,首先应确定哪些岗位和职务是不相容的;其次要明确规定各个机构和岗位的职责权限,使不相容岗位和职务之间能够相互监督、相互制约,形成有效的制衡机制。因资源限制等原因无法实现不相容职务相分离的,企业应当采取抽查交易文档、定期资产盘点等替代性控制措施。
授权审批控制:授权审批形式通常有常规授权和特别授权之分。企业必须建立授权审批体系,编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。对于重大的业务和事项,企业应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或擅自改变集体决策。
4)信息与沟通,是实施内部控制的重要条件,包括:信息质量(提高信息的有用性)、沟通制度(重要信息须及时传递给董事会、监事会和经理层)、信息系统、反舞弊机制(为确保反舞弊工作落到实处,企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌控信息的重要途径;举报投诉制度和举报人保护制度应当及时传达至全体员工)。
5)内部监督:是实施内部控制、防止内部控制流于形式的重要保证,包括:日常监督、专项监督。企业应当在日常监督和专项监督的基础上,定期对内部控制的有效性进行自我评价,出具自我评价报告。
二、企业内部控制体系建设
1、企业内部控制建设的组织形式
内部控制建设是一项系统工程,需要企业董事会、审计委员会、监事会、经理层及内部各职能部门共同参与并承担相应的职责。
1)董事会:对内部控制的建立健全和有效实施负责。就企业的最大风险承受度形成一致意见。
2)审计委员会:向董事会负责,独立评价、有效监督(对经理层,注意与监事会的区别)。审计委员会主任,应由会计专业背景的独立董事来担当,应具备相应的独立性,德才兼备,以德为先。
3)监事会:是一种层次更高、独立性更强的再监督,对董事会建立与实施内部控制进行监督。
4)经理层:负责企业内部控制日常运行(向董事会、监事会报告)。
5)内部控制部门:专门负责内部控制在企业内部各部门间的组织协调和日常性事务工作。
6)内部审计部门:评价内部控制的有效性,提出改进建议(保持独立性,应隶属于董事会及其审计委员会,不应隶属于总经理或财务总)。
7)财会部门:在保证与财务报告相关的内部控制有效性方面,发挥着十分重要的作用。(只是一个职能部门)
8)其他职能部门:应当在建立与实施内部控制过程中,承担相应职责并发挥积极作用。
2、企业层面控制:5项
组织架构控制(企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,即三重一大,应当按照规定的权限和程序实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策意见)、发展战略控制、人力资源控制、社会责任控制、企业文化控制。
3、业务层面控制:13项
资金活动控制、采购业务控制、资产管理控制、销售业务控制、研究与开发控制、工程项目控制、担保业务控制、业务外包控制、财务报告控制、全面预算控制、合同管理控制、内部信息传递控制、信息系统控制。
三、企业内部控制评价与审计
(一)内部控制评价
1、内部控制评价的原则:企业对内部控制设计与运行的有效性实施评价,应当遵循全面性、重要性、客观性原则。
2、内部控制评价的内容:应从内部环境、风险评估、控制活动、信息与沟通、内部监督等要素入手,结合企业业务特点和管理要求,确定内部控制评价的具体内容,建立内部控制评价的核心指标体系,对内部控制涉及与运行情况进行全面评价。
3、内部控制评价的程序
4、内部控制评价的方法
5、内部控制缺陷认定
6、内部控制评价报告:定期报告,至少每年1次;不定期报告,由企业根据实际情况确定。内部控制评价报告,经董事会批准后对外披露或报送相关主管部门。上市公司年度内部控制评价报告必须向社会公开披露,接受社会监督,为投资者和社会公众决策提供依据。非上市企业的内部控制评价报告,须按规定报送财政等监管部门,接受政府的监督检查,内部控制评价报告通常应于基准日后4个月内报出。
(二)企业内部控制审计
1、对内部控制审计的理解
内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计,并重点就财务报告内部控制的有效性发表审计意见。
内部控制审计是一项专门的鉴证业务,注册会计师也可将内部控制审计与财务报表审计整合进行(即整合审计)。
2、内部控制审计与内部控制评价的区别和联系
内部控制审计属于注册会计师外部评价,内部控制评价属于企业董事会自我评价,两者有着本质的区别。
注册会计师仅对财务报告内部控制的有效性发表意见,对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”,对重大缺陷的性质及其对实现控制目标的影响程度进行披露(但不改变审计意见类型)。
而内部控制评价,是企业董事会对各类内部控制目标实施的全面评价。建立健全和有效实施内部控制,评价内部控制的有效性是董事会的责任。企业董事会对内部控制整体有效性发表意见,并在内部控制评价报告中出具内部控制有效性结论。
3、内部控制审计报告
审计意见类型:无保留审计意见、带强调段的无保留意见、否定意见、无法表示意见。企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。
四、常见的内部控制缺陷有哪些?
1、毕马威研究我国在美国上市的企业执行404条款存在的主要问题:
1)内部环境和内部监督等要素存在较大薄弱环节,比如高级管理人员的道德和素质、内部审计功能的发挥等;
2)缺乏风险评价体系;
3)信息与沟通存在不畅情况,比如缺乏与基层的沟通、新业务出现后财务介入滞后等。
2、普华永道研究我国在美国上市的企业执行404条款存在的主要问题:
1)无效的审计委员会;
2)缺乏有高级管理层推动的全公司范围内的内部控制管理程序;
3)缺乏反舞弊和举报机制;
4)会计政策和程序过时、不一致,没有完整记录或缺乏沟通;
5)针对非常规、非系统性的特殊交易的账务处理控制不完善;
6)缺乏正式的风险管理程序;
7)缺乏有效运行并记录完整的企业层面内部控制;
8)财务报告和信息披露编制流程失效;
9)对分支机构内部控制无效;
10)缺乏对信息系统的有效控制。