2008年6月28日,财政部、证监会等联合发布了《企业内部控制基本规范》(以下简称基本规范)。基本规范自2009年7月1日起率先在上市公司范围内施行。在施行基本规范过程中,应明确三个问题。

一、明确内部控制的主体和控制目标

《企业内部控制基本规范》明确指出,企业内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程。

传统的理论认为,内部控制属于公司管理层面的控制,内部控制的主体是董事会、监事会、审计委员会、审计部门层面的管理和监督人员。新执行的基本规范明确界定了控制主体的范围,上到董事会、监事会,下至全体员工都是内部控制的主体。董事会对公司内部控制的建立和执行进行指导;监事会对公司内部控制的具体实施进行监督,相关经理直接负责组织领导公司内部控制的日常运行;员工参与并监督内部控制过程。把全体员工列为控制主体是基本规范的一大特色。内部控制既包括会计控制,也包括管理控制。我国一直重视员工参与企业管理,职工代表大会制度和国有独资及国有控股公司职工代表参加董事会和监事会制度是一项民主管理制度,也是加强企业管理、促进企业健康发展的一项基本制度。

全体员工参与企业内部控制是指,在一定程度上让员工参加企业的决策过程和管理监督工作,员工与企业的管理者处于平等的地位,研究和讨论企业的内部控制问题,这是对员工的一种精神激励,有利于发挥员工的主人翁精神,为实现企业控制目标奠定了群众基础。

员工参与内部控制应当采取一定的形式,可以采取分享决策权、代表参与、员工股份所有制和质量圈等形式。质量圈是由一组员工和管理者组成的共同承担责任的一个工作群体。采取一定的形式,让员工参与内部控制是全面实施内部控制基本规范的重要保障。

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。保证企业经营管理合法合规、资产安全是企业内部控制的基本要求。保证财务报告及相关信息的真实完整是信息可靠性基本特征的具体体现,也是满足财务报告及相关信息使用者的起码要求。提高经营效率和效果是日常内部控制的基本目标,促进企业实现发展战略是内部控制的最终目标。

日常内部控制是一项经常性的工作,“提高经营效率和效果”中所讲的效率是指投入与产出的关系。效率注重的是目标执行的过程。效果注重的是结果。对于给定的投入,如果能获得更多的产出,就说明效率提高。然而,仅仅有效率是不够的,内部控制还必须使控制活动实现预定的目标,即追求活动的效果。当控制主体实现了企业的控制目标,控制就是有效的。

二、明确内部控制原则

实施内部控制应当明确理解和贯彻以下原则。

1.全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。全面性原则一方面要求企业根据生产经营的需要,对设置的所有内部控制点进行全面关注;另一方面也要求对企业经营活动的全过程进行自始至终的控制。如果内部控制的全面性达不到,则内部控制的有效性就无从谈起。内部控制必须渗透到企业经营管理的各项业务过程和各个操作环节,涵盖所有的部门和岗位。

2.重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。内部控制人员应恰当判断重要性程度和业务事项及风险的性质。重要性的判断离不开特定的环境。在不同企业、不同时期,重要性程度的判断标准不同。判断重要性程度与开展内部控制的工作效率有密切联系,确定恰当的重要性程度有利于降低内部控制成本和提高工作效率。判断业务事项和风险性质可以从关联人的动机和主客观条件、业务事项的金额大小和期限的长短上进行判断。涉及到舞弊、违法与违规的行为事项,即使涉及的金额再小,也属于重要事项和高风险事项。对于舞弊者存在主观动机,运用主客观条件违法、违规的业务事项,属于舞弊者为达到某种目的的故意行为,因此具有重要性,应值得重点关注。如果不是由于舞弊产生的业务事项,一般根据金额大小和期限长短来判定重要程度。金额大的业务事项要比金额小的重要。在业务事项金额基本相同的情况下,期限长的事项比期限短的事项重要。如长期投资事项比短期采购事项重要,因为前者对企业未来发展影响更大。

3.制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面相互制约、相互监督,同时兼顾运营效率。企业不同部门、岗位设置和权责落实应当科学合理,确保不同部门、岗位之间权责明确和有利于相互制约、相互监督。制衡性原则要求企业每项业务的过程都要经过授权、批准、执行、记录和检查步骤。在相互制衡的控制下,为实现有效控制的目的,企业任何部门或个人不能独揽业务处理的全过程,应由不同的部门或人员去完成。具体要求是:授权进行某项经济业务的职务与执行该项业务的职务分离,执行某项经济业务的职务与批准该项业务的职务分离,执行某项经济业务的职务与记录该项业务的职务分离,保管某项财产的职务与记录该项财产的职务分离,保管与记录某项资产的职务与账实核对的职务分离。
4.适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。企业内部控制制度和方法应随着外部情况、企业部门的调整和管理要求的改变而改变。遵循适应性主要从三个方面考虑:其一,要适应国家法律政策、财政与金融政策、产业政策和市场竞争程度的变化;其二,要适应企业战略发展规划的调整、内部资源现状和管理政策的变化;其三,内部控制模式及其相应的制度与方法不是千篇一律、一成不变的,要适应企业的治理结构、产权关系和企业规模。上市公司与非上市公司、中小企业与大型企业的内部控制的模式应该有一定的差异,应遵循适应性和成本效益原则来设计考虑。

5.成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。成本效益原则是经济学中一个最基本的原则,经济学中所讲的理性经济人总是以较小的成本去获得较大的经济效益。内部控制是企业为实现既定的经营目标,而在内部建立和实施的各种控制方法、措施和程序等所形成的控制机制。建立和运用控制机制需要付出一定的成本,如设计控制环节、设置岗位、配备人员,确保各控制环节的运行等都必须付出一定的代价。但如果不建立和实施控制机制,会发生由于控制缺失出现的损失。只要企业建立和实施内部控制的效果大于其成本,就是经济合理,就应当设置和运行该项控制;反之,则不应当采用该项控制。在当今追求价值最大化的经营管理理念的环境中,企业建立和实施内部控制时,应考虑内部控制的成本与效益问题,在可能获得的收益与可能产生的损失之间做出理性的判断。

三、明确内部控制要素

实施内部控制应当明确理解运用以下控制要素。

1.内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则。公司股东大会享有法律法规和企业章程规定的合法权利,并依法享有对企业经营方针、财务政策等重大事项的表决权。董事会对股东大会负责,依法行使企业的经营决策权。企业在董事会下设审计委员会,审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制的自我评价情况,协调内部控制审计及其他相关事宜等。监事会对股东大会负责,监督董事、经理和其他高级管理人员依法履行职责,并对董事会建立与实施内部控制进行监督。经理层负责组织实施股东大会、董事会决议事项,主持企业经营管理工作。企业应当通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。

企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告。

2.风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。

企业应当根据设定的控制目标,全面、系统、持续地收集相关信息,结合实际情况,及时进行风险评估。企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度,包括整体风险承受能力和业务层面的可接受风险水平。

风险分析人员采用一定的分析方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险,按照严格规范的程序开展风险分析评估工作,确保风险分析结果的准确性。

企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动,以避免和减轻损失的策略。风险降低是企业在权衡成本效益之后,准备采取适当的控制措施,降低风险或者减轻损失,将风险控制在风险承受度之内的策略。风险分担是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。

3.控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。

企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。会计系统控制要求企业严格执行统一的会计准则和会计制度,加强会计基础工作,明确会计处理程序,保证会计资料真实完整。财产保护控制要求企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。预算控制要求企业实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。运营分析控制要求企业建立运营情况分析制度,经理层应当综合运用经营、投资、筹资、财务等方面的信息,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。绩效考评控制要求企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果与员工的利益结合。
4.信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。

企业可以通过各种信息源获取内部信息和外部信息,应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人等有关方面之间进行沟通和反馈。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定地运行。

5.内部监督。企业应当制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。

内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制设计缺陷和运行缺陷,并进行跟踪、整改。

企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率应根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等确定。

四、结束语

企业在实施《企业内部控制基本规范》过程中,只有明确理解上述问题,并正确运用内部控制相关理论与方法,才能建立和完善内部控制制度,从而有效地对企业会计活动和其他管理活动进行管控。

【参考文献】

[1] 财政部等.企业内部控制基本规范[S].2008.

[2] 李凤鸣.审计学原理[M].复旦大学出版社,2008.

[3] 程新生.企业内部控制[M].高等教育出版社,2008.