企业内部控制规范体系实施中相关问题—解释第2号
一、内控规范体系建设有关问题之一
1.企业应如何正确把握内部控制的组织实施工作?
答:企业在开始实施内部控制时,应当按照《企业内部控制基本规范》(财会[2008]7号)(以下简称基本规范)确定的内部控制目标、要素、原则和具体要求开展工作,强化组织领导,夯实内部控制基础。
董事会负责内部控制的建立健全和有效实施,监事会对董事会建立与实施内部控制进行监督,经理层负责组织领导企业内部控制的日常运行,全体员工广泛参与内部控制的具体实施。(组织保障)
企业的内部控制部门应结合实际,制定内部控制体系建设的分阶段目标,围绕内部控制的五个要素扎实开展工作,深入宣传、认真执行、严格监督、严肃考核,保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,规避生产经营风险。随着实施工作的不断深入,企业应当加强内部控制全员、全面、全过程管理,进一步推动管理创新,不断提升管理水平,有效防控经营风险,保证实现价值目标,最终促进企业实现发展战略。
企业应当结合所在行业要求和自身特点,按照基本规范的要求,参照《企业内部控制配套指引》(财会[2010]11号)(以下简称配套指引)的规定开展内部控制实施工作。目前配套指引针对企业一般性的业务和重点环节制定了原则性的要求,未涵盖行业特点突出的具体业务。在实施过程中,企业应当全面执行基本规范,以配套指引为参考,结合行业管理要求,从自身经营管理的实际出发,识别和评估相关风险,加强对关键和重点业务的控制,保持信息沟通的顺畅,对实施效果做好监督评价,努力构建一套符合实际、业务规范、控制合理、管理有效的内部控制体系。
2.不同的企业应如何把握好内部控制实施工作的进度和重点? 建设进度:工作重点
拟启动或刚刚启动:按照相关业务主管部门、监管部门等的要求加快推动,并根据企业实际全面实施;
已有试点经验:应当总结和借鉴已经开展内部控制建设的分公司和子公司的经验和做法,将其推广至全公司范围;
已建成全覆盖:将工作重心放在内部控制的持续改进上,充分运用内部控制自我评价的方法和手段,按照有关要求对实施情况进行常规、持续的监督检查,查找实施中的缺陷与不足,促进内部控制的持续改进和不断优化。
对于非上市的企业或企业集团,应从实际情况出发,根据下属公司的经营性质、业务规模等特点制定切实可行的内部控制实施方案,分类分步推进,全面启动内部控制建设与实施工作。企业集团也可以根据业务板块、管理特点等,先在部分企业建立起较为完善的内部控制体系,再逐步建立覆盖企业集团的内部控制体系,体现集团管控的要求。
3.企业应如何改善内部控制专业人才缺乏的状况?
应急措施:抽调财会、审计和生产管理等业务骨干开展内部控制管理工作 长效机制:通过参加政府部门、中介机构、企业内部举办的培训学习等,促使内控人员掌握相关知识;
长效机制:让从事内部控制的专业人员,在工作实践中不断探索学习,以内部控制基础理论、基本规范及配套指引为指针,借鉴其他企业的经验,结合实际,自我学习、自我积累,探索创新,不断提升个人的业务能力和企业的内控管理水平;
长效机制:在聘请中介机构开展内部控制咨询、审计服务时,充分利用中介机构的专业力量,通过业务沟通交流和参与实际运作来锻炼培养企业专业人才队伍。
企业领导要高度重视内部控制专业人才队伍建设,在强调全员参与内部控制的基础上,采取多种措施,建立激励机制,鼓励从事内部控制的专业人员岗位成才。对于为企业内部控制建设做出贡献的专业人员应当给予奖励,以调动内部控制专业人才队伍的工作积极性。
二、内控评价有关问题之一
4.集团性企业应如何确定内部控制评价的范围?
答:集团性企业在确认内部控制评价范围时,应当遵循全面性、重要性、客观性原则,在对集团总部及下属不同业务类型、不同规模的企业进行全面、客观评价的基础上,关注重要业务单位、重大事项和高风险业务。
三、内控规范体系建设有关问题之二
5.企业在选择中介机构协助开展内部控制体系建设与实施工作时,应重点考虑哪些因素?
答:企业建设与实施内部控制,应当按照基本规范及配套指引的要求,原则上要立足于行业特点和企业实际,倡导自上而下、自主开展内部控制建设与实施工作。
如果企业确有需要选择中介机构协助开展工作,可重点考虑以下几个因素:一是中介机构的专业性,如内控咨询团队的专业知识及项目管理经验等;二是服务内容与企业需求的匹配程度,如实施方案是否符合企业实际情况等;三是团队的配置水平,如人员数量是否适当、团队的整体知识结构、过去的成功案例情况及客户评价等;四是服务报价合理性等,企业对收费明显偏离合理性的中介机构,应防范服务质量风险。 企业在聘请中介机构协助开展内部控制体系建设与实施工作中,应当采取有效的方式保护企业核心商业秘密和国家机密,防范泄密风险。
四、内控评价有关问题之二
6.企业应采用何种组织形式开展内部控制评价工作?
答:内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。同时也是企业内部涉及业务面广、专业性强的工作,包括日常检查评价和专项检查评价。
企业可以授权内部审计机构具体实施内部控制有效性的定期评价工作。由于内部审计机构在企业内部处于相对独立的地位,该机构的工作内容、性质和人员的业务专长与内部控制评价工作有着密切的关联,因此内部审计机构可以负责内部控制评价的具体实施工作。 成立了专门的内部控制机构的企业,由内部控制机构负责组织协调内部控制的建立实施及日常管理工作,其工作直接向董事会或类似权力机构负责。企业的内部控制机构可以组织实施内部控制评价工作。内部控制机构可以组织审计、财务、生产管理等专业人员,对内部控制全面或某一方面进行日常和专项检查评价,也可以对认定的重大风险进行专项监督,定期出具内部控制评价报告,报董事会或类似权力机构审核。
企业也可以根据自身特点,成立内部控制评价工作的非常设机构,比如,抽调内部审计、内部控制等相关机构的人员组成内部控制评价小组,具体组织实施内部控制评价工作。
此外,企业可以委托中介机构实施内部控制评价。 7.企业应如何对待内部控制评价中发现的缺陷? 内控缺陷成因
设计缺陷:查找原因,更新、调整、废止制度,改进内部控制体系的设计;
运行缺陷:分析原因,查清责任人,有针对性地进行整改; 内控缺陷影响程度
重大缺陷:董事会予以最终认定,及时采取应对策略,切实将风险控制在可承受度之内
重要缺陷、一般缺陷:及时采取措施,避免发生损失。 答:内部控制缺陷按照成因分为设计缺陷和运行缺陷。对于设计缺陷,应从企业内部的管理制度入手查找原因,需要更新、调整、废止的制度要及时进行处理,并同时改进内部控制体系的设计,弥补设计缺陷的漏洞。对于运行缺陷,则应分析出现的原因,查清责任人,并有针对性地进行整改。
内部控制缺陷按照影响程度分为重大缺陷、重要缺陷和一般缺陷。对于重大缺陷,应当由董事会予以最终认定,企业要及时采取应对策略,切实将风险控制在可承受度之内。对于重要缺陷和一般缺陷,企业应当及时采取措施,避免发生损失。
企业应当编制内部控制缺陷认定汇总表,结合实际情况对内部控制缺陷的成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见和改进建议,确保整改到位,并以适当形式向董事会、监事会或者经理层报告。
对于因内部控制缺陷造成经济损失的,企业应当查明原因,追究相关部门和人员的责任。
五、内控审计有关问题
8.如果会计师事务所将其内部控制咨询业务和内部控制审计业务进行分离后,是否可以为同一企业提供内部控制审计和咨询服务? 答:基本规范及配套指引的发布实施,拓宽了会计师事务所的业务领域。随着2012年国内主板上市公司分类分批实施,内部控制咨询、内部控制评价、内部控制审计的需求会很大。当前,我国会计师事务所在内部控制咨询和内部控制审计方面的专业人才和技术力量有限。据了解,很多会计师事务所为了执行基本规范第十条的规定,主动开展了内部体制机制整合。 会计师事务所在受聘为企业提供有关内部控制咨询或审计服务时,应坚持独立性原则,严格遵守《中国注册会计师职业道德守则》要求,不得与具有网络关系的中介机构同时为同一企业提供内部控制咨询和审计服务。
有的会计师事务所采取内部隔离方式,即在内部成立咨询部门和审计部门,两个部门之间相互独立,人员不交叉使用,在形式上建立了内部的“防火墙”。这种方式难以有效地将内部控制咨询和内部控制审计业务进行分离,不符合独立性要求。
也有会计师事务所新设立了具有法人资格的咨询机构,如果新设立的咨询机构与原事务所构成网络关系,则违反独立性原则,也不能同时为同一家企业提供内控咨询和审计服务。
9.注册会计师在开展内部控制审计时应如何安排时间? 答:按照配套指引中《企业内部控制审计指引》的要求,注册会计师在确定测试的时间安排时,应当尽量在接近企业内部控制自我评价基准日实施测试,实施的测试需要涵盖足够长的时间。
企业应按照要求及时委托会计师事务所开展内部控制审计业务,保证按期对外披露或报送内部控制审计报告。首次进行内部控制审计时,企业和注册会计师应当在当期会计年度的上半年即开始准备该年度的内部控制审计工作,从而保证整改后的控制运行有足够长的时间。对于认定为缺陷的业务,如果企业在基准日前对其进行了整改,但整改后的业务控制尚没有运行足够长的时间,注册会计师应当将其认定为内部控制在审计基准日存在缺陷。注册会计师在接受或开展内部控制审计业务时,应当尽早与企业沟通内部控制审计计划,并合理安排内部控制测试的时间。
在连续进行内部控制审计的过程中,注册会计师应当考虑以前年度执行内部控制审计时所了解的情况以及当年企业发生的相关变化,在此基础上确定适当的内部控制审计工作方案和时间安排。
六、对小型企业的特殊考略
10.与大、中型企业相比,小型企业在实施内部控制时应有哪些特殊的考虑?
答:小型企业通常是指具有业务比较单
一、所有权和管理权集中、管理层级较少、部门设置简单等特征的企业。小型企业根据基本规范及配套指引实施内部控制时,在保证有效性的基础上,可结合企业特点进行适当调整。
小型企业的管理层级一般较少,所有权、决策权和管理权较为集中,治理层通常密切参与公司日常经营及管理活动,使企业的控制力和执行力得到了提高,但也容易导致决策失误或舞弊风险,因此要提高董事会的集体决策能力,加强企业决策过程的控制。
小型企业应明确内部控制目标,准确评估经营风险,建立健全各项制度,将决策过程和各项业务流程制度化、规范化;明确不同层级部门和人员的权限和职责,强化岗位制衡,做到适度授权和分权;重点关注与企业资金、资产、资本、财务报告等关键业务有关的风险的控制。 小型企业应提高财务、会计和审计人员的素质,培养和聘用内部控制专业人才,加强对财务会计工作和财务报告的重视程度。小型企业的机构设置简单,管理资源易于整合,可以根据企业所面临的主要风险和相关控制的效果,适当简化内部控制体系建设,灵活设计、选择控制流程和控制活动,达到有效控制风险和防范舞弊的目的。 基于效率的考虑,小型企业应当提高信息技术的应用,结合业务风险和信息系统风险评估,加强信息系统控制的应用,采取手工控制与自动控制相结合的方式,将风险控制在可承受度之内。
小型企业应建立健全内部控制的监督机制,持续监控和定期评价内部控制的有效性,尤其要对会计信息、资金运转、资产安全、采购及销售等方面加强监控,及时发现和纠正缺陷,确保内部控制在企业不同成长阶段、不同环境下的持续有效改进。
