1992年9月,美国的COSO委员会(全美反舞弊性财务报告委员会发起组织)发布《内部控制—整体框架》明确规定:“内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”同时,该《框架》提出了内部控制五要素理论,即:“企业建立与实施有效的内部控制,应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督。”可以说,这是全球内部控制理论体系发展的最基础文件。
2008年6月,我国财政部、证监会、审计署、原银监会、原保监会联合发布《企业内部控制基本规范》(财会〔2008〕7号)并后续印发了《关于印发企业内部控制配套指引的通知》(财会〔2010〕11号)明确规定:“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”同时,该《基本规范》要求按照内部控制五要素构建内部控制管理体系。由此开启了我国内部控制体系建设与发展的步伐。
在内容及对象上,内控兼具全面性和重要性。全面性体现在内控要求对全员、全流程、全业务与管理环节的全面内部控制,人员涵盖董事会、监事会、经理层及全体员工,甚至还包括派遣和辅助人员等,流程贯穿决策、执行、监督、评价等全部流程环节,覆盖所有业务、事项和环节。重要性体现在在全面内部控制的基础上,内控注重重要业务、重点人员、重点领域、重要风险、敏感地带、薄弱环节和经营管理漏洞等方面。
在形式上,内控具有内部制衡性和过程控制性。内部制衡性体现在内控通过构建内部环境,对内部治理结构、机构设置及权责分配、业务流程等方面活动实现控制,设置有效的内部控制管理防线,实现相互控制、监督和制约。过程控制性体现在内控重视对过程的控制,发现过程中风险、漏洞、不足和薄弱环节,构建决策、执行、监督、评价等管理措施,实现控制目标。
在效果上,内控具有适应性和经济性。适应性体现在内控与企业所在行业、经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况不断变化动态调整,趋向于变化性和灵活性。经济性体现在内控目的一方面在于保证经营管理合法合规、资产及财务安全,防控内部操作风险等;另一方面在于提高经营效率和效果,实现企业发展战略,以适当成本时效有效控制。
内控通过构建内部环境、完善执行、加强监督、科学评价等方式,实现对全员、全流程和全业务等方面控制活动,但是内控重视过程控制,具有内部性,需要平衡内部控制与管理效益的关系,易于内卷化,对于结果管理和外部风险的关注和重视不够,所以对于外部性风险管控无能为力。
内部环境:是影响、制约企业内部控制建立与执行各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
风险评估:是及时识别、科学分析和评价影响企业内部控制目标实现的各种不正确因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定,风险识别、风险分析和风险应对。
控制活动:是根据风险评估结果、结合风险应对策略采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制活动结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
信息与沟通:是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关的沟通机制等。
监督检查:是企业对其内部控制的健全性、合理性有效进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行连续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。
国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系,所以具体内容与外资企业的SOX404体系差不多。具体来讲主要包含如下几个文件:内控手册,风险数据库,内控评价手册。
内控手册为对每一个作业流程的描述,内容含流程描述、流程图、授权说明、运营分析等。
风险数据库是作业可能导致风险的现象描述的汇总。所涉及的风险一般指导致公司资产不安全,作业内容不合规合法,运营效率低下,财务报表数据不真实等。
内控评价手册具体含三部分,第一部分检查制度设计合理或文档的齐全性,第二部分检查控制过程,第三部分检查会计账务处理控制。
全面性原则:要求内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位各种业务和事项;
重要性原则:要求内部控制应当重点关注重要业务事项和高风险领域,切实防范重大风险;
制衡性原则:要求内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率;
适应性原则:要求内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整;
成本效益原则:要求内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
目的不同:内控体系是以会计报告为主要目的,ISO质量体系是以产品质量为主。
控制活动不同:在现阶段五部委提供的18项指引来看,内控体系缺少生产过程控制;而ISO质量体系则以产品质量为主,涵盖产供销价值链,但是缺少会计系统控制。
设计部门不同:在ISO体系内不存在财务部门,以研发、生产、采购、销售部门为主;内控体系几乎涵盖公司各个部门。
要求不同:内控体系是国家强制要求,而ISO只是产品运营体系的一个认证,非强制要求。
组织架构:首先建立内控小组,为了使内控体系得到有效落实和贯彻,内控小组组长最好由总经理或董事长担任。主要作业由内审人员负责。
业务运作:内控小组对各部门提交的制度进行对标和梳理。并根据内控指引对现有作业流程的描述进行评价,同时开展小组会议对各职能部门未设置的流程及有缺钱的流程进行优化。内控小组根据调整后流程进行内控手册的编制和流程图绘制,最后形成内控手册,由总经理授权下发。
内控小组等类似部门不定期进行内控评价,并根据各职能部门的变化对内控手册进行优化等。
内控检查的主要目的时间里明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。主要的作业模式就是控制点有没有建立。
内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段,合适业务事项是否真实合理。
在建立内控体系之前,首先有个制度对标的过程,而这个过程是建立在调研开始前对公司现有制度建设情况的了解以及各模块划分的基础上,同时对制度设计期间的不足、缺陷做备查。
类似于我们平时通过五部委的18个指引,其实在18个指引的解读里,已经有对各个环节的要求,制度的对标对应的结论有:整个作业流程未形成书面的制度、作业流程缺少某个控制环节、控制环节缺少重要的控制点。对于单个控制点的评价:责任人是否明确、表单是否表达清楚、控制痕迹有没有、审批是否重复和异常等。
大致有这几点:制度设计、流程(包含正常与异常流程)、不相容职责分离、表单审核、关键控制点是否确实等检查。与内审的主要区别在于内控是流程的完整和有效,内审主要检查内容是评价所发生事项的合理真实性。
内控体系评价分三个模块:分别为制度有效性评价和运营评价,运营评价分已有作业痕迹评价和系统作业评价。作业痕迹评价主要评价在内控评价期间已经形成的作业表单和流程。系统作业评价主要评价为现有系统评价,实际上类似于信息系统的白箱子测试,即通过新的数据的输入、处理和输出,了解现有系统运营作业情况。
一般通过审查现有的流程作业制度和文字,通过职责不相容分离、授权审批以及制度的完整性来评价。实施企业内控制度评价应遵循全面性、重要性、独立性原则,确保评价工作标准统一、客观公正。根据所收集的证据进行合理判断。
对检查期间已经形成的表单或者作业流程进行评价,如果企业内部自行检查提取表单即可,一般可以通过对现有的内控制度或者内控手册的核对来确认是否存在异常。
有效性的评价分四种情况:存在控制强点、存在控制弱点、存在控制缺失、不适用。其中需要说明的事存在控制弱点,即部分作业表单有审核或者有记录,部分表单无审核无记录等。
检查的对象包含控制环境和控制活动,控制环境所需资料:可通过获取如组织架构来评价组织架构,通过获取如CIS来评价企业文化,公司战略的评价可以通过公司高层会议或董事会、股东会的类似决策资料来评价等等;控制活动的评价所需资料:可以通过流程中所需要的各表单来确认。
内控系统运行有效性评价可以理解为穿行测试,除了一般性的政策流程的检查还应包含现有系统有效性评价中可能为体现出来的特殊情况。例如检查1-12月表单和流程,但均未体现有政策流程,通过这种补充检查即可获知特殊作业流程是否可以正常运转。