第六章 风险管理框架下的内部控制 第三节 内部控制基本规范 一、内部控制的目标
《基本规范》将内部控制定义为:由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
《基本规范》将内部控制的目标归纳为五个方面: (1)合理保证企业经营管理合法合规; (2)合理保证企业资产安全;
(3)合理保证企业财务报告及相关信息真实完整; (4)提高经营效率和效果; (5)促进企业实现发展战略。 该定义反映了以下基本概念:
内部控制是一个过程,它是实现目的的手段,而非目的本身;内部控制受人的影响,它不仅仅是政策手册和图表,而且涉及企业各层次的人员;内部控制只能向企业董事会和经理层提供合理的保证,而非绝对的保证;内部控制是为了实现五类既相互独立又相互联系的目标。 二、内部控制的原则
中国企业的内部控制建设面临着外部环境、文化理念、管理层经营哲学、各种竞争等多方面的环境变量与因素的影响,企业的内部控制体系也需将众多的因素与风险纳入控制范围予以考虑。在纷繁复杂的环境与因素影响下,企业构建并实施内部控制体系,应当遵循以下基本原则:
(一)全面性原则
所谓全面性,就是强调内部控制应当贯穿决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项。
需要注意到:内部控制是一种机制,是一个制度安排,包含了上至企业的文化、治理结构、员工守则等文化道德和公司治理层面,下到政策制度、操作流程、营运工具、内部审计、业绩考核等操作细节层面,并需要有强劲的管理子系统作支撑。所以,在构建内部控制体系时,应将该体系贯穿于决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项,也应考虑各子体系之间各自的独立性和相互联系,使之成为一个有机体,协同合作,更充分地发挥内部控制体系的作用。 (二)重要性原则
所谓重要性,就是指在全面控制的基础上,内部控制应该关注重要业务事项和高风险领域。这就要求企业在内部控制建设的过程中要仔细甄别,应当在全面控制的基础上,关注重要业务事项和高风险领域,并根据自己企业的需要挑选适合企业现状的要素、子系统和控制流程,以保证内部控制建设过程中的简洁。甄别出需要的要素、子系统和流程后,应该进一步识别出关键流程的控制关键,辨清关键控制点的关键流程,以清晰的政策、简洁的流程框定出关键的控制程序。 (三)制衡性原则
所谓制衡性,就是指内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。内部控制规范的基本要求是在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制,同时兼顾运营效率。制衡作为一种机制是内部控制的重要构成部分,但是切忌一味地、片面地强调制衡,在权利分配和业务流程设置上过度制约,会影响企业的效率。 (四)适应性原则
1
所谓适应性,就是强调内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。一个内部控制体系如果不具有可操作性,不能在实践中被应用,则这个内部控制体系设计得再完美、再严密,也是没有实用价值的,也不能给企业带来控制效益。因此,可操作性是构建内部控制体系应遵循的一条重要原则,要达到适用性原则,企业的内部控制建设应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。 (五)成本效益原则 所谓成本效益原则,又称为成本与效率效果原则,就是指内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。内部控制对防范企业活动的错弊和风险只能是起到合理的保证作用,应当权衡实施成本为与预期收益,所有设置控制点应达到控制收益大于控制成本;当有些业务可以不断增加控制点来达到较高的控制程序,就应考虑用多少控制点能使控制收益减去控制成本的值最大化;当控制收益难以确定时,应考虑在满足既定控制的前提下,使控制成本最小化。
否则,企业建立的内部控制制度越严密,内部控制能力越强,为此要付出的运行和维护等成本越大,企业的收益就越会受到影响。同时控制过于严密对企业的效率也会产生影响,也将减少企业的效益。
三、内部控制的实施体系
《企业内部控制基本规范》规定了内部控制的实施体系。 (一)以法制为推动
强调要研究制定内部控制的规范体系,国务院有关部门也可以根据法律法规、本规范及其配套办法制定有关政策性文件,明确贯彻实施规范的具体要求。 (二)以企业实施为主体
企业应当根据有关法律法规、规范及其配套办法,制定本企业的内部控制制度并组织实施。在组织实施内部控制制度时,应当充分利用信息技术手段,并建立内部控制实施的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。 (三)以政府监管和社会评价为保障 为推动企业有效实施内部控制规范,政府有关部门应对企业建立与实施内部控制的情况进行监督检查,会计师事务所应对企业内部控制的有效性进行审计,并出具内部控制审计报告。 四、内部控制的要素
借鉴COSO框架,基本规范将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督五大方面。 (一)内部环境
内部环境是企业实施内部控制的基础。基本规范将内部环境的要素归纳为六个方面,即公司治理结构、内部机构设置与职责分工、内部审计、人力资源政策、企业文化和法制环境。同时明确,企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。 (二)风险评估
风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。企业应当根据设定的控制目标,全面系统、持续地收集相关信息,结合实际情况,及时进行风险评估。基本规范将风险评估的要素归纳为四个方面,即确定风险承受度、识别风险(包括内部和外部风险)、风险分析和风险应对。 (三)控制活动
控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。基本规范将控制活动或控制措施概括为7个方面,即不相容职务分离控制、授权审批控制、会
2
计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。同时规定企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制订应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。
(四)信息与沟通
信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。基本规范主要围绕内部和外部信息的收集、信息在内部和对外部相关者间的传递、信息技术平台、反舞弊机制、举报投诉制度和举报人保护制度等展开。 (五)内部监督
内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。基本规范主要针对内部监督的类型和方式、内部控制自我评价和缺陷认定机制、内部控制记录制度等进行规定。 典型例题: 单项选择题:
1、内部控制架构强调风险分析并非一个理论过程,而且常常对实体的整体成功起到至关重要的作用。在内部控制架构中,风险评估的第一步是( )。 A.考虑如何对风险进行管理 B.估计风险的重要性
C.考虑采用何种风险应对措施 D.评估风险发生的可能性或概率 【答案】B
【解析】COSO内部控制架构将风险评估描述成一个可以分为三步的程序。第一步是估计风险的重要性;第二步是评估风险发生的可能性或概率;第三步是考虑如何对风险进行管理,以及应采取何种行动。
2、以下各项中会妨碍信息与沟通进行的是( )。 A.高级管理层向雇员传达清晰的信息 B.公司建立公开的沟通渠道
C.若雇员上报错误的信息要为此承担责任
D.雇员应当遵循的政策及程序应当在公司内从上至下传达 【答案】C 【解析】选项C可能会创造出一个让雇员惧怕因上报有关信息而遭受惩罚的环境,将与沟通的目标相违背。 多项选择题:
1、内部控制的要素包括以下哪项( ) A.内部环境 B.风险评估 C.控制活动 D.信息与沟通 【答案】ABCD
【解析】借鉴COSO框架,基本规范将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督五大方面。 2、《基本规范》将内部控制的目标归纳为五个方面,以下属于这五方面的有( ) A.合理保证企业经营管理合法合规 B.合理保证企业资产安全
3
C.合理保证企业财务报告及相关信息真实完整 D.提高经营效率和效果 【答案】ABCD 【解析】《基本规范》将内部控制的目标归纳为五个方面:(1)合理保证企业经营管理合法合规;
(2)合理保证企业资产安全;
(3)合理保证企业财务报告及相关信息真实完整; (4)提高经营效率和效果; (5)促进企业实现发展战略。
3、企业构建并实施内部控制体系,应当遵循哪些基本原则( ) A.全面性原则 B.成本效益原则 C.重要性原则 D.制衡性原则 【答案】ABCD
【解析】在纷繁复杂的环境与因素影响下,企业构建并实施内部控制体系,应当遵循以下基本原则:(一)全面性原则(二)重要性原则(三)制衡性原则(四)适应性原则(五)成本效益原则
第四节 内部控制应用指引 一、组织架构
《企业内部控制应用指引第1号——组织架构》所称组织架构,是指企业按照国家有关法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。 (一)组织架构设计与运行中需关注的主要风险 (1)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。
(2)内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。 (二)内部控制要求与措施 1、组织架构的设计。
(1)企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。 董事会对股东(大)会负责,依法行使企业的经营决策权。可按照股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序,为董事会科学决策提供支持。
监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。 经理层对董事会负责,主持企业的生产经营管理工作。经理和其他高级管理人员的职责分工应当明确。
董事会、监事会和经理层的产生程序应当合法合规,其人员构成、知识结构、能力素质应当满足履行职责的要求。
(2)企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。
4
(3)企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。 (4)企业应当对各机构的职能进行科学合理的分解,确定具体岗位的名称、职责和工作要求等,明确各个岗位的权限和相互关系。企业在确定职权和岗位分工过程中,应当体现不相容职务相互分离的要求。
不相容职务通常包括:可行性研究与决策审批;决策审批与执行;执行与监督检查等。 (5)企业应当制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件,使员工了解和掌握组织架构设计及权责分配情况,正确履行职责。 2、组织架构的运行。
(1)企业应当根据组织架构的设计规范,对现有治理结构和内部机构设置进行全面梳理,确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。
企业梳理治理结构,应当重点关注董事、监事、经理及其他高层管理人员的任职资格和履职情况,以及董事会、监事会和经理层的运行效果。治理结构存在问题的,应当采取有效措施加以改进。
企业梳理内部机构设置,应当重点关注内部机构设置的合理性和运行的高效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率低下的,应当及时解决。
(2)企业拥有子公司的,应当建立科学的投资管控制度,通过合法有效的形式履行出资人职责、维护出资人权益,重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。
(3)企业应当定期对组织架构设计与运行的效率和效果进行全面评估,发现组织架构设计与运行中存在缺陷的,应当进行优化调整。企业组织架构调整应当充分听取董事、监事、高级管理人员和其他员工的意见,按照规定的权限和程序进行决策审批。 二、发展战略
《企业内部控制应用指引第2号——发展战略》所称发展战略,是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的长远发展目标与战略规划。 (一)制定与实施发展战略需关注的主要风险
(1)缺乏明确的发展战略或发展战略实施不到位,可能导致企业盲目发展,难以形成竞争优势,丧失发展机遇和动力。
(2)发展战略过于激进,脱离企业实际能力或偏离主业,可能导致企业过度扩张,甚至经营失败。
(3)发展战略因主观原因频繁变动,可能导致资源浪费,甚至危及企业的生存和持续发展。 (二)内部控制要求与措施 1.发展战略的制定。
(1)企业应当在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标。企业在制定发展目标过程中,应当综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素。
(2)企业应当根据发展目标制定战略规划。战略规划应当明确发展的阶段性和发展程度,确定每个发展阶段的具体目标、工作任务和实施路径。
(3)企业应当在董事会下设立战略委员会,或指定相关机构负责发展战略管理工作,履行相应职责。企业应当明确战略委员会的职责和议事规则,对战略委员会会议的召开程序、表决方式、提案审议、保密要求和会议记录等作出规定,确保议事过程规范透明、决策程序科学民主。战略委员会应当组织有关部门对发展目标和战略规划进行可行性研究和科学论证,形
5
成发展战略建议方案;必要时,可借助中介机构和外部专家的力量为其履行职责提供专业咨询意见。战略委员会成员应当具有较强的综合素质和实践经验,其任职资格和选任程序应当符合有关法律法规和企业章程的规定。
(4)董事会应当严格审议战略委员会提交的发展战略方案,重点关注其全局性、长期性和可行性。董事会在审议方案中如果发现重大问题,应当责成战略委员会对方案作出调整。企业的发展战略方案经董事会审议通过后,报经股东(大)会批准实施。 2.发展战略的实施。
(1)企业应当根据发展战略,制订年度工作计划,编制全面预算,将年度目标分解、落实;同时完善发展战略管理制度,确保发展战略有效实施。
(2)企业应当重视发展战略的宣传工作,通过内部各层级会议和教育培训等有效方式,将发展战略及其分解落实情况传递到内部各管理层级和全体员工。
(3)战略委员会应当加强对发展战略实施情况的监控,定期收集和分析相关信息,对于明显偏离发展战略的情况,应当及时报告。
(4)由于经济形势、产业政策、技术进步、行业状况以及不可抗力等因素发生重大变化,确需对发展战略作出调整的,应当按照规定权限和程序调整发展战略。 三、人力资源
《企业内部控制应用指引第3号——人力资源》所称人力资源,是指企业组织生产经营活动而录(任)用的各种人员,包括董事、监事、高级管理人员和全体员工。 (一)人力资源管理需关注的主要风险 (1)人力资源缺乏或过剩、结构不合理、开发机制不健全,可能导致企业发展战略难以实现。 (2)人力资源激励约束制度不合理、关键岗位人员管理不完善,可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。
(3)人力资源退出机制不当,可能导致法律诉讼或企业声誉受损。 (二)内部控制要求与措施
企业应当重视人力资源建设,根据发展战略,结合人力资源现状和未来需求预测,建立人力资源发展目标,制定人力资源总体规划和能力框架体系,优化人力资源整体布局,明确人力资源的引进、开发、使用、培养、考核、激励、退出等管理要求,实现人力资源管理的合理配置,全面提升企业核心竞争力。
1.人力资源的引进与开发
(1)企业应当根据人力资源总体规划,结合生产经营实际需要,制订年度人力资源需求计划。完善人力资源引进制度,规范工作流程。按照计划、制度和程序组织人力资源引进工作。 (2)企业应当根据人力资源能力框架要求,明确各岗位的职责权限、任职条件和工作要求,遵循德才兼备、以德为先和公开、公平、公正的原则,通过公开招聘、竞争上岗等多种方式选聘优秀人才,重点关注选聘对象的价值取向和责任意识。企业选拔高级管理人员和聘用中层及以下员工,应当切实做到因事设岗、以岗选人,避免因人设事或设岗,确保选聘人员能够胜任岗位职责要求。企业选聘人员应当实行岗位回避制度。
(3)企业确定选聘人员后,应当依法签订劳动合同,建立劳动用工关系。企业对于在产品技术、市场、管理等方面掌握或涉及关键技术、知识产权、商业秘密或国家机密的工作岗位,应当与该岗位员工签订有关岗位保密协议,明确保密义务。
(4)企业应当建立选聘人员试用期和岗前培训制度,对使用人员进行严格考察,促进选聘员工全面了解岗位职责,掌握岗位基本技能,适应工作要求。试用期满考核合格后,方可正式上岗;试用期满考核不合格者,应当及时解除劳动关系。
(5)企业应当重视人力资源开发工作,建立员工培训长效机制,营造尊重知识、尊重人才
6
和关心员工职业发展的文化氛围后备人才队伍建设,促进全体员工的知识、技能持续更新,不断提升员工的服务效能。 2.人力资源的使用与退出。
(1)企业应当建立和完善人力资源的激励约束机制,设置科学的业绩考核指标体系,对各级管理人员和全体员工进行严格考核与评价,以此作为确定员工薪酬、职级调整和解除劳动合同等的重要依据,确保员工队伍处于持续优化状态。
(2)企业应当制定与业绩考核挂钩的薪酬制度,切实做到薪酬安排与员工贡献相协调,体现效率优先,兼顾公平。
(3)企业应当制定各级管理人员和关键岗位员工的轮岗制度,明确轮岗范围、轮岗周期、轮岗方式等,形成相关岗位员工的有序持续流动,全面提升员工素质。
(4)企业应当按照有关法律法规规定,结合企业实际,建立健全员工退出(辞职、解除劳动合同、退休等)机制,明确退出的条件和程序,确保员工退出机制得到有效实施。企业对考核不能胜任岗位的员工,应当要求其暂停其工作,安排再培训,或调整工作岗位,安排转岗培训;仍不能满足岗位职责要求的,应当按照规定的权限和程序解除劳动合同。企业应当与退出员工依法约定保守关键技术、商业秘密、国家安全机密和竞业限制的期限,确保知识产权、商业秘密和国家机密的企业关键人员离职前,应当根据有关法律法规的规定进行工作交换或离任审计。
(5)企业应当定期对年度人力资源计划执行情况进行评估,总结人力资源管理经验,分析存在的主要缺陷和不足,完善人力资源政策,促进企业整体团队充满生机和活力。
7
因篇幅问题不能全部显示,请点此查看更多更全内容