春晖投行在线/规范性文件一览

关于印发企业内部控制配套指引的通知
 财会[2010]11号  

中直管理局,铁道部、国管局,总后勤部、武警总部,各省、自治区、直辖市、计划单列市财政厅(局)、审计厅(局),新疆生产建设兵团财务局、审计局,中国证监会各省、自治区、直辖市、计划单列市监管局,中国证监会上海、深圳专员办,各保监局、保险公司,各银监局、政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、资产管理公司,各省级农村信用联社,银监会直接管理的信托公司、财务公司、租赁公司,有关中央管理企业:

  为了促进企业建立、实施和评价内部控制,规范会计师事务所内部控制审计行为,根据国家有关法律法规和《企业内部控制基本规范》(财会[2008]7号),财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》(以下简称企业内部控制配套指引),现予印发,自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。请各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。

  执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。上市公司聘请的会计师事务所应当具有证券、期货业务资格;非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。

  执行中有何问题,请及时反馈我们。

  附件:1.企业内部控制应用指引

     2.企业内部控制评价指引

     3.企业内部控制审计指引                         

                     财政部 证监会 审计署 银监会 保监会
                           二○一○年四月十五日



全面提升企业经营管理水平的重要举措

——财政部会计司司长刘玉廷解读《企业内部控制配套指引》

  4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》(以下简称配套指引)。该配套指引连同2008年5月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。同时,鼓励非上市大中型企业提前执行。执行企业内部控制规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。政府监管部门将对相关企业执行内部控制规范体系的情况进行监督检查。这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措,也是我国应对国际金融危机的重要制度安排。本人作为配套指引这一重大系统工程“建设”的直接参与者,拟就如何理解和把握其主要内容和精神实质进行解读,供大家参考。

  配套指引由21项应用指引(此次发布18项,涉及银行、证券和保险等业务的3项指引暂未发布)、《企业内部控制评价指引》和《企业内部控制审计指引》组成。其中,应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中占居主体地位;企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引;企业内部控制审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。三者之间既相互独立,又相互联系,形成一个有机整体。

  一、关于应用指引

  应用指引可以划分为三类,即内部环境类指引、控制活动类指引、控制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。

  (一)内部环境类指引

  内部环境是企业实施内部控制的基础,支配着企业全体员工的内控意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。内部环境类指引有5项,包括组织架构、发展战略、人力资源、企业文化和社会责任等指引。

  第一,关于组织架构。组织架构是企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。企业要实施发展战略,必须要有科学的组织架构,主要包括治理结构和内部机构设置。如果企业治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,就可能发生经营失败;此外,如果内部机构设计不科学,权责分配不合理,也可能导致机构重叠、职能交叉或缺失,运行效率低下。为防范和化解组织架构设计和运行中存在的这些重要风险,组织架构应用指引明确提出如下要求:一是,企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。同时强调,企业的重大决策、重大事项、重要人事任免及大额资金支付业务等(即通常所说的“三重一大”),应当按照规定的权限和程序实行集体决策审批或者联签制度;任何个人不得单独进行决策或者擅自改变集体决策意见。二是,企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。三是,企业应当根据组织架构的设计规范,对现有治理结构和内部机构设置进行全面梳理,确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。四是,企业拥有子公司的,应当建立科学的投资管控制度,通过合法有效的形式履行出资人职责、维护出资人权益,重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。对子公司控制一直是企业集团层面关注的一个重要问题,组织架构应用指引在综合调研的基础上提出此项要求,对实务操作具有重要指导作用。

  第二,关于发展战略。发展战略是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的长远发展目标与战略规划。企业作为市场经济的主体,要想求得长期生存和持续发展,关键在于制定并有效实施适应外部环境变化和自身实际情况的发展战略。调查中我们发现,有些企业缺乏明确的发展战略或发展战略实施不到位,结果导致企业盲目发展,难以形成竞争优势,丧失发展机遇和动力;也有些企业发展战略过于激进,脱离企业实际能力或偏离主业,导致过度扩张、经营失控甚至失败;还有一些企业发展战略频繁变动,导致资源严重浪费,最后危及企业的生存和持续发展。为此,我们制定了发展战略应用指引,就上述重要风险有针对性地提出了应对措施。一是,要求企业健全组织机构,在董事会下设立战略委员会,或指定相关机构负责发展战略管理工作。同时,对战略委员会的成员素质、工作规范也提出了相应要求。二是,明确要求企业应在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标,而不是靠拍脑袋,盲目制定发展战略。在制定目标过程中,应综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素。三是,强调战略规划应当根据发展目标制定,明确发展的阶段性和发展程度,确定每个发展阶段的具体目标、工作任务和实施路径。四是,要求董事会从全局性、长期性和可行性等维度,严格审议战略委员会提交的发展战略方案,之后再报经股东(大)会批准实施。四是,从抓实施的角度,要求企业根据发展战略,制定年度工作计划,编制全面预算,将年度目标分解、落实,确保发展战略有效实施。五是,设立了发展战略实施后评估制度,要求战略委员会加强对发展战略实施情况的监控,定期收集和分析相关信息。对发现明显偏离发展战略的情况,要求及时报告;对确需对发展战略作出调整的情形,明确要求企业要遵循规定的权限和程序调整发展战略。

  第三,关于人力资源。人力资源是指企业组织生产经营活动而录(任)用的各种人员,包括董事、监事、高级管理人员和全体员工。现代企业竞争的关键在于人力资源的竞争。人力资源对实现企业发展战略起到重要的智力支持作用,实现人力资源的合理配置,可以全面提升企业核心竞争力。如果人力资源缺乏或过剩、结构不合理、开发机制不健全,企业发展战略可能难以实现;如果人力资源激励约束制度不合理、关键岗位人员管理不完善,则可能导致人才流失、经营效率低下;而如果人力资源退出机制不当,又可能导致法律诉讼或企业声誉受损。为防范和化解人力资源管理中存在的这些重要风险,人力资源应用指引强调:一是,企业应当根据人力资源总体规划,结合生产经营实际需要,制定年度人力资源需求计划。也就是说,人力资源要符合发展战略需要,符合生产经营对人力资源的需求,尽可能做到“不缺人手,也不养闲人。二是,企业应当根据人力资源能力框架要求,明确各岗位的职责权限、任职条件和工作要求,通过公开招聘、竞争上岗等多种方式选聘优秀人才。这项要求实际上意在强调,企业要选合适的人,要按公开、严格的程序去选人,防止“人情招聘”、暗箱操作。三是,企业确定选聘人员后,应当依法签订劳动合同,建立劳动用工关系;已选聘人员要进行试用和岗前培训,试用期满考核合格后,方可正式上岗。四是,企业应当建立和完善人力资源的激励约束机制,设置科学的业绩考核指标体系,对各级管理人员和全体员工进行严格考核与评价,并制定与业绩考核挂钩的薪酬制度。如何留住引进来的优秀人才,对企业至关重要。这项要求就是对此提出的指引,企业应当予以足够关注。五是,企业应当建立健全员工退出(辞职、解除劳动合同、退休等)机制,明确退出的条件和程序,确保员工退出机制得到有效实施。只有退出机制健全,退出条件和程序清楚,才能够防范和化解当前企业人力资源退出方面存在的诸多问题,使企业人力资源管理步入良性循环的轨道。

  第四,关于社会责任。社会责任是指企业在经营发展过程中应当履行的社会职责和义务,主要包括安全生产、产品质量(含服务,下同)、环境保护、资源节约、促进就业、员工权益保护等。企业认真履行社会责任,对于实现其与社会、环境的全面协调可持续发展具有重要促进作用。为促进和规范企业履行社会责任,我们制定了社会责任应用指引,针对当前企业在履行社会责任方面存在的薄弱环节,梳理出四个方面的重要风险,即:安全生产措施不到位,责任不落实,可能导致企业发生安全事故;产品质量低劣,侵害消费者利益,可能导致企业巨额赔偿、形象受损,甚至破产;环境保护投入不足,资源耗费大,造成环境污染或资源枯竭,可能导致企业巨额赔偿、缺乏发展后劲,甚至停业;促进就业和员工权益保护不够,可能导致员工积极性受挫,影响企业发展和社会稳定。针对这些重要风险,社会责任应用指引提出了积极应对措施:一是,要求企业设立安全管理部门和安全监督机构,建立严格的安全生产管理体系、操作规范和应急预案,强化安全生产责任追究制度,切实做到安全生产。二是,要求企业规范生产流程,建立严格的产品质量控制和检验制度,严把质量关,禁止缺乏质量保障、危害人民生命健康的产品流向社会。三是,要求企业提高员工的环境保护和资源节约意识,建立环境保护与资源节约制度,认真落实节能减排责任,积极开发和使用节能产品,发展循环经济,降低污染物排放,提高资源综合利用效率。四是,要求企业依法保护员工的合法权益,保障员工依法享有劳动权利和履行劳动义务,保持工作岗位相对稳定,积极促进充分就业。最后,针对目前少数企业对公益事业(比如接纳大学生实习等)、慈善事业等漠不关心的情况,社会责任应用指引指出,企业应当按照“产学研用”相结合的社会需求,积极创建实习基地,大力支持社会有关方面培养、锻炼社会需要的应用型人才;同时,应积极履行社会公益方面的责任和义务,关心帮助社会弱势群体,支持慈善事业。

  第五,关于企业文化。企业文化是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神,以及在此基础上形成的行为规范的总称。企业文化是企业的灵魂,渗透于企业的一切经营管理活动之中,是推动企业持续发展的不竭动力。现实中,有些企业之所以经营不成功,往往是在企业文化建设方面存在严重问题。比如,企业缺乏积极向上的企业文化,导致员工丧失对企业的信心和认同感,缺乏凝聚力和竞争力;企业缺乏开拓创新、团队协作和风险意识,导致企业发展目标难以实现,影响可持续发展;企业缺乏诚实守信的经营理念,导致舞弊事件的发生,造成企业损失,影响企业信誉,等等。针对企业文化建设中存在的这些重要风险,企业文化应用指引明确提出以下管控措施:一是,要求企业积极培育具有自身特色的企业文化,充分体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神,以及团队协作和风险防范意识,以此引导和规范员工行为,打造以主业为核心的企业品牌,形成整体团队的向心力,促进企业长远发展。这项应对措施同时也表明,打造企业主业品牌应当作为企业文化建设中的重要内容。二是,要求企业重视并购重组后的企业文化建设,平等对待被并购方的员工,促进并购双方的文化融合。这是基于当前企业并购实务中企业文化融合过程中特别提供的指引,应引起相关企业的高度重视。三是,要求董事、监事、经理和其他高级管理人员在企业文化建设中发挥主导和垂范作用,以自身的优秀品格和脚踏实地的工作作风,带动影响整个团队,共同营造积极向上的企业文化环境。这充分说明,企业文化建设既要注重“上下结合”,更应注重企业治理层和经理层的示范作用。四是,要求企业加强企业文化的宣传贯彻,促进文化建设在内部各层级的有效沟通,并确保全体员工共同遵守;同时,要求企业文化建设融入生产经营全过程,切实做到文化建设与发展战略的有机结合,增强员工的责任感和使命感,规范员工行为方式,使员工自身价值在企业发展中得到充分体现。也就是说,企业文化建设不能停留在企业最高层,不能停留在文本上,不能停留在泛泛地宣贯上,不能脱离生产经营过程,不能背离发展战略,而应融入企业的肌体、汇入企业的血脉。

  (二)控制活动类指引

  企业在改进和完善内部环境控制的同时,还应对各项具体业务活动实施相应的控制。为此,我们制定了控制活动类应用指引,包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告等9个指引。

  第一,关于资金活动。资金活动是指企业筹资、投资和资金营运等活动的总称。资金是企业生产经营循环的血液,是企业生存和发展的基础,决定着企业的竞争能力和可持续发展能力。企业资金活动中可能存在的风险无一不是重要风险,一旦转变为现实,危害重大。概括讲,企业资金活动面临的重要风险包括:筹资决策不当,引发资本结构不合理或无效融资,可能导致企业筹资成本过高或债务危机;企业投资决策失误,引发盲目扩张或丧失发展机遇,可能导致资金链断裂或资金使用效益低下;资金调度不合理、营运不畅,可能导致企业陷入财务困境或资金冗余;资金活动管控不严,可能导致资金被挪用、侵占、抽逃或遭受欺诈。针对上述风险,资金活动应用指引分别对筹资、投资和资金营运活动提出下列管控措施:一是,要求企业根据筹资目标和规划,结合年度全面预算,拟订筹资方案,并对筹资方案进行科学论证;重大筹资方案还应当形成可行性研究报告,全面反映风险评估情况。二是,要求企业对筹资方案进行严格审批后,按照规定权限和程序筹集资金。同时,严格按照筹资方案确定的用途使用资金,防止资金挪用;确需改变资金用途的,应当履行相应的审批程序。三是,要求企业加强债务偿还和股利支付环节的管理,对偿还本息和支付股利等作出适当安排,防止发生违约风险,导致诉讼损失。四是,要求企业根据投资目标和规划,合理安排资金投放结构,科学确定投资项目,拟订投资方案,重点关注投资项目的收益和风险;选择投资项目应当突出主业,谨慎从事衍生金融产品等高风险投资。本次国际金融危机中,我国少数企业从事的投资项目偏离主业,同时又缺乏相关专业人才和风险管控经验,导致企业发生巨亏。这些教训值得我们认真汲取。五是,对于采用并购方式进行投资的企业,要求其严格控制并购风险,重点关注并购对象的隐性债务、承诺事项、可持续发展能力、员工状况及其与本企业治理层及管理层的关联关系,合理确定支付对价,确保实现并购目标。这项要求对于后危机时期我国企业境外并购具有很好的提示作用。六、要求企业加强对投资方案的可行性研究,并按照规定的权限和程序对投资项目进行决策审批;审批后,与被投资方签订投资合同或协议,明确出资时间、金额、方式、双方权利义务和违约责任等内容。七是,要求企业加强投资收回和处置环节的控制;对于到期无法收回的投资,应当建立责任追究制度。八是,要求企业应当加强资金营运全过程的管理,统筹协调内部各机构在生产经营过程中的资金需求,切实做好资金在采购、生产、销售等各环节的综合平衡,实现资金营运的良性循环,提升资金营运效率。

  第二,关于采购业务。采购是指购买物资(或接受劳务)及支付款项等相关活动。调查中我们发现,部分企业在办理采购业务时不同程度地存在以下问题:采购计划安排不合理,市场变化趋势预测不准确,造成库存短缺或积压,导致企业生产停滞或资源浪费;供应商选择不当,采购方式不合理,招投标或定价机制不科学,授权审批不规范,致使采购物资质次价高,出现舞弊或遭受欺诈;采购验收不规范,付款审核不严,造成采购物资、资金损失或信用受损。为此,我们制定了采购业务应用指引,要求企业加强请购、审批、购买、验收、付款、采购后评估等环节的风险管控,确保物资采购满足企业生产经营需要。一是,要求企业的采购业务尽量集中,避免多头采购或分散采购,以提高采购业务效率,降低采购成本,堵塞管理漏洞。二是,要求企业建立采购申请制度,依据购买物资或接受劳务的类型,确定归口管理部门,明确相关部门或人员的职责权限及相应的请购和审批程序。三是,要求企业建立科学的供应商评估和准入制度,根据市场情况和采购计划合理选择采购方式,建立科学的采购物资定价机制,并根据确定的供应商、采购方式、采购价格等情况签订采购合同,明确双方权利、义务和违约责任。四是,要求企业建立严格的采购验收制度,确定检验方式,由专门的验收机构或验收人员进行验收;对于验收过程中发现异常情况,应当查明原因并及时处理。五是,要求企业加强采购付款的管理,明确付款审核人的责任和权利,严格审核采购预算、合同、相关单据凭证、审批程序等内容,审核无误后按照合同规定及时办理付款。六是,要求企业建立退货管理制度,对退货条件、退货手续、货物出库、退货货款回收等作出明确规定,并在采购合同中明确退货事宜,及时收回退货货款。

  第三,关于资产管理。加强各项资产管理,保证资产安全完整,提高资产使用效能,有利于维持企业正常生产经营,有利于促进企业发展战略的实现。当前,在企业存货、固定资产和无形资产等资产的管理实务中,存在的问题主要包括:存货积压或短缺,造成流动资金占用过量、存货价值贬损或生产中断;固定资产更新改造不够、使用效能低下、维护不当、产能过剩,致使企业缺乏竞争力、资产价值贬损、安全事故频发或资源浪费;无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患,导致法律纠纷、缺乏可持续发展能力。为防范和化解资产管理中存在的这些重要风险,资产管理应用指引针对性提出了如下应对措施:一是,要求企业采用先进的存货管理技术和方法,规范存货管理流程,明确存货取得、验收入库、原料加工、仓储保管、领用发出、盘点处置等环节的管理要求,充分利用信息系统,强化会计、出入库等相关记录,确保存货管理全过程的风险得到有效控制。二是,要求企业根据各种存货采购间隔期和当前库存,综合考虑企业生产经营计划、市场供求等因素,合理确定存货采购日期和数量,确保存货处于最佳库存状态。三是,要求企业加强房屋建筑物、机器设备等各类固定资产的维护、清查、处置管理,重视固定资产的技术升级和更新改造,不断提升固定资产的使用效能,确保固定资产处于良好运行状态。四是,要求企业强化对生产线等关键设备运转的监控,严格操作流程,实行岗前培训和岗位许可制度,确保设备安全运转。五是,要求企业严格执行固定资产投保政策,及时办理投保手续。六是,要求企业规范固定资产抵押管理,确定固定资产抵押程序和审批权限等。七是,要求企业加强对品牌、商标、专利、专有技术、土地使用权等无形资产的管理,促进无形资产有效利用,充分发挥无形资产对提升企业核心竞争力的作用。

  第四,关于销售业务。销售是指企业出售商品(或提供劳务)及收取款项等相关活动。企业应当加强销售、发货、收款等环节的管理,采取有效控制措施,规范销售行为,扩大市场份额,确保实现销售目标。企业销售过程中存在的重要风险主要包括:销售政策和策略不当,市场预测不准确,销售渠道管理不当等,导致销售不畅、库存积压、经营难以为继;客户信用管理不到位,结算方式选择不当,账款回收不力等,造成销售款项不能收回或遭受欺诈;销售过程存在舞弊行为,可能导致企业利益受损。销售业务应用指引就此提出了相应的管控措施:一是,要求企业加强市场调查,合理确定定价机制和信用方式,根据市场变化及时调整销售策略,灵活运用多种策略和营销方式,促进销售目标实现,不断提高市场占有率。二是,要求企业与客户进行业务洽谈、磋商或谈判,关注客户信用状况、销售定价、结算方式等相关内容,并签署销售合同,明确双方的权利和义务。三是,要求企业销售部门按照经批准的销售合同开具相关销售通知,发货和仓储部门严格按照销售通知所列项目组织发货,确保货物的安全发运。四是,完善客户服务制度,加强客户服务和跟踪,提升客户满意度和忠诚度,不断改进产品质量和服务水平。五是,完善应收款项管理制度,明确销售、财会等部门的职责,并严格考核,实行奖惩。六是,要求企业加强应收款项坏账的管理;应收款项全部或部分无法收回的,应当查明原因,明确责任。

  第五,关于研究与开发。研究与开发是指企业为获取新产品、新技术、新工艺等所开展的各种研发活动,是企业进行自主创新的重要手段。企业通过研发新产品和新技术,创造新工艺,能够增强核心竞争力,促进发展战略实现。但是,研究与开发活动通常隐含着重大风险。比如,研究项目未经科学论证或论证不充分,可能导致创新不足或资源浪费;研发人员配备不合理或研发过程管理不善,可能导致研发成本过高、舞弊或研发失败;研究成果转化应用不足、保护措施不力,可能导致企业利益受损。就此,研究与开发应用指引提出了如下管控措施:一是,企业应当结合研发计划,提出研究项目立项申请,开展可行性研究,编制可行性研究报告。二是,研究项目应当按照规定的权限和程序进行审批,重大研究项目应当报经董事会或类似权力机构集体审议决策。三是,企业应当加强对研究过程的管理,合理配备专业人员,严格落实岗位责任制,确保研究过程高效、可控。四是,企业应当建立和完善研究成果验收制度,组织专业人员对研究成果进行独立评审和验收。五是,企业应当明确界定核心研究人员范围和名册清单,签署保密协议,并在劳动合同中约定研究成果归属、离职条件、离职移交程序、离职后保密义务、离职后竞业限制年限及违约责任等内容。研发骨干人员的管理,应当引起研发型企业的高度重视。六是,企业应当加强研究成果的开发与保护,形成科研、生产、市场一体化的自主创新机制,促进研究成果转化为实际生产力。

  第六,关于工程项目。工程项目是企业自行或者委托其他单位所进行的建造、安装活动。工程项目通常与企业发展战略密切相关,周期较长,并涉及大额资金及物资的流转,存在较大的不确定性和风险。如果工程立项缺乏可行性研究或者可行性研究流于形式,决策不当,盲目上马,很可能导致难以实现预期效益或项目失败;如果项目招标暗箱操作,存在商业贿赂,则可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案;如果工程造价信息不对称,技术方案不落实,概预算脱离实际,又可能导致项目投资失控;倘若工程物资质次价高,工程监理不到位,项目资金不落实,还可能导致工程质量低劣,进度延迟或中断;最后,如果竣工验收不规范,最终把关不严,还会导致工程交付使用后存在重大隐患。为此,工程项目应用指引明确指出,企业必须强化对工程建设全过程的监控,制定和完善工程项目各项管理制度,明确相关机构和岗位的职责权限,规范工程立项、招标、造价、建设、验收等环节的工作流程及控制措施,保证工程项目的质量和进度:一是,企业应当根据发展战略和年度投资计划,提出项目建议书,编制可行性研究报告,并组织内部相关机构专业人员进行充分论证和评审,在此基础上,按照规定的权限和程序进行决策。重大工程项目应当报经董事会或类似决策机构集体审议批准;任何个人不得单独决策或擅自改变集体决策意见。二是,企业应当采用公开招标的方式,择优选择具有相应资质的承包单位和监理单位,规范工程招标的开标、评标和定标工作,不得将应由一个承包单位完成的工程肢解为若干部分发包给几个承包单位。三是,企业应当加强工程造价的管理,明确初步设计概算、施工图预算的编制方法,按照规定的权限和程序进行审核和批准,确保概预算科学合理。四是,企业应当加强对工程建设过程的监控,实行严格的概预算管理和工程监理制度,切实做到及时备料,科学施工,保障资金,落实责任,确保工程项目达到设计要求。工程建设过程中涉及项目变更的,应当严格审批;重大项目变更还应当按照项目决策和概预算控制的有关程序和要求重新履行审批手续。五是,企业收到承包单位的工程竣工报告后,应当及时编制竣工决算,开展竣工决算审计,办理竣工验收手续。企业还应当建立完工项目后评估制度,重点评价工程项目预期目标的实现情况和项目投资效益等,并以此作为绩效考核和责任追究的依据。

  第七,关于担保业务。担保是企业按照公平、自愿、互利的原则向被担保人提供一定方式的担保并依法承担相应法律责任的行为。对外担保涉及被担保人和提供担保人(企业)。如果企业对担保申请人的资信状况调查不深,审批不严或越权审批,可能导致企业担保决策失误或遭受欺诈;如果对被担保人在担保期内出现财务困难或经营陷入困境等状况监控不力,应对措施不当,又可能会导致企业承担法律责任;如果被担保人和提供担保人在担保过程中存在舞弊行为,则会导致经办审批等相关人员涉案或企业利益受损。为此,一般情况下,企业应当严格限制担保业务活动,如确需对外提供担保的,应当在担保业务政策及相关管理制度中明确担保的对象、范围、方式、条件、程序、担保限额和禁止担保等事项,规范调查评估、审核批准、担保执行等环节的工作流程及控制措施,确实防范担保业务风险。担保业务应用指引就此提出具体要求:一是,企业应当对担保申请人进行资信调查和风险评估,并出具书面报告。企业自身不具备条件的,应委托中介机构对担保业务进行调查和评估。对于符合条件的担保申请人,经办人员应当在职责范围内,按照审批人员批准意见办理担保业务;对于审批人超越权限审批的担保业务,经办人员有权拒绝办理。二是,企业应当加强对子公司担保业务的统一监控,企业内设机构未经授权不得办理担保业务;企业为关联方提供担保的,与关联方存在经济利益或近亲属关系的有关人员在评估与审批环节应当予以回避。三是,企业应当根据审核批准的担保业务订立担保合同,定期监测被担保人的经营情况和财务状况,了解担保项目的执行、资金的使用、贷款的归还、财务运行及风险等情况,确定担保合同有效履行。四是,企业应当加强对担保业务的会计系统控制,建立担保事项台账,及时足额收取担保费用;规范对反担保财产的管理,妥善保管被担保人用于反担保的财产和权利凭证,定期核实财产的存续状况和价值,发现问题及时处理。五是,企业应当在担保合同到期时,全面清理用于担保的财产、权利凭证,按照合同约定及时终止担保关系。

  第八,关于业务外包。业务外包是企业利用专业化分工优势,将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织(承包方)完成的经营行为。目前,业务外包活动已经广泛应用于电信、手机、金融等各行各业,为企业优化资源配置、加速业务重组、提高经营效率提供了活力。但是,企业在将业务外包的同时,也承担着一些重大风险,主要包括:外包范围和价格确定不合理,承包方选择不当,可能导致企业遭受损失;业务外包监控不严、服务质量低劣,可能导致企业难以发挥业务外包的优势;业务外包存在商业贿赂等舞弊行为,可能导致企业相关人员涉案。为此,业务外包应用指引明确指出,存在业务外包活动的企业应当着手建立和完善业务外包管理制度,规定业务外包的范围、方式、条件、程序和实施等相关内容,明确相关机构和岗位的职责权限,强化业务外包全过程的监控,防范外包风险,充分发挥业务外包的优势。具体来讲,一是,要求企业合理确定外包业务范围,综合考虑成本效益原则,权衡利弊,避免将核心业务外包。二是,要求企业拟定业务外包实施方案,按照规定的权限和程序审核批准。重大外包业务方案应当提交董事会或类似决策机构审批。三是,要求企业按照批准的业务外包实施方案,择优选择外包业务的承包方,签订外包合同,合理确定外包价格,严格控制外包业务成本,切实做到相关业务外包后的成本在保证质量的前提下低于原经营方式。外包业务涉及保密的,还要求企业在外包业务合同或另行签订的保密协议中明确规定承包方的保密义务和责任。四是,要求企业加强业务外包实施的管理,注重与承包方的沟通与协调,并对承包方的履约能力进行持续评估。有确凿证据表明承包方存在重大违约行为,导致外包业务合同无法履行的,企业应当及时终止合同并更换承包方;承包方违约并造成企业损失的,企业应当进行索赔,并追究相关责任人责任。

  第九,关于财务报告。财务报告是企业财务信息对外报告的重要形式之一。对上市公司而言,财务报告是投资者进行决策的重要依据;对国有企业,则可能成为政府进行经济决策时关注的重要信息来源。总结我国企业尤其是上市公司近年来财务舞弊和财务管理失误等方面的案例,财务报告应用指引概括出以下相关重要风险:企业财务报告的编制违反会计法律法规和国家统一的会计准则制度,导致企业承担法律责任、遭受损失和声誉受损;企业提供虚假财务报告,误导财务报告使用者,造成报告使用者的决策失误,干扰市场秩序;企业不能有效利用财务报告,难以及时发现企业经营管理中的问题,还可能导致企业财务和经营风险失控。为有效防范财务报告过程中的风险,财务报告应用指引明确提出如下要求:一是,要求企业编制财务报告时,重点关注会计政策和会计估计;对财务报告产生重大影响的交易和事项的处理,还要按照规定的权限和程序进行审批。二是,要求企业按照国家统一的会计准则制度规定,根据登记完整、核对无误的会计账簿记录和其他有关资料编制财务财告,做到内容完整、数字真实、计算准确,不得漏报或者随意进行取舍;企业集团还应编制合并财务报表,明确合并财务报表的合并范围和合并方法,如实反映企业集团的财务状况、经营成果和现金流量。三是,要求企业依照法律法规和国家统一的会计准则制度的规定,及时对外提供财务报告;财务报告须经注册会计师审计的,注册会计师及其所在的事务所出具的审计报告应当随同财务报告一并提供。四是,要求企业重视财务报告分析工作,定期召开财务分析会议,充分利用财务报告反映的综合信息,全面分析企业的经营管理状况和存在问题,不断提高经营管理水平。同时明确,这些要求也是依据内控五要素中“信息与沟通”的相关规定提出的要求。总会计师或分管会计工作的负责人应当在财务分析和利用工作中发挥主导作用;财务分析报告结果应当及时传递给企业内部有关管理层级。

  (三)控制手段类指引

  控制手段类指引偏重于“工具”性质,往往涉及企业整体业务或管理。此类指引有4项,包括全面预算、合同管理、内部信息传递和信息系统等指引。

  第一,关于全面预算。全面预算是企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。全面预算作为一种全方位、全过程、全员参与编制与实施的预算管理模式,通过将企业的资金流与实物流、信息流相整合优化了企业的资源配置,提高了资金的使用效率。然而,企业要想使全面预算管理达到预期的效果,必须要特别关注和防范预算管理中的风险,主要包括:不编制预算或预算不健全,可能导致企业经营缺乏约束或盲目发展;预算目标不合理、编制不科学,可能导致企业资源浪费或发展目标难以实现;预算缺乏刚性、执行不力、考核不严,可能导致预算管理流于形式。为此,全面预算应用指引要求企业在加强全面预算工作的组织领导,明确预算管理体制以及各预算执行单位的职责权限、授权批准程序和工作协调机制的基础上,着重做到以下几点:一是,企业应当建立和完善预算编制工作制度,明确编制依据、编制程序、编制方法等内容,确保预算编制依据合理、程序适当、方法科学,避免预算指标过高或过低。二是,企业应当根据发展战略和年度生产经营计划,综合考虑预算期内经济政策、市场环境等因素,按照上下结合、分级编制、逐级汇总的程序,编制年度全面预算。企业预算管理委员会应当对预算管理工作机构在综合平衡基础上提交的预算方案进行研究论证,从企业发展全局角度提出建议,形成全面预算草案,并提交董事会审核。企业全面预算按照相关法律法规及企业章程的规定报经审议批准后,应当以文件形式下达。三是,企业应当加强对预算执行的管理。全面预算一经下达,各预算执行单位必须以此为依据,认真组织各项生产经营和投融资活动,严格预算执行和控制。企业预算工作机构和各预算执行单位还应当建立预算执行情况分析制度,定期召开预算执行分析会议,妥善解决预算执行中存在的问题。四是,企业应当建立严格的预算执行考核制度,对各预算执行单位和个人进行考核,切实做到有奖有惩、奖惩分明。必要时,企业可实行预算执行情况内部审计制度。

  第二,关于合同管理。合同是企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议。合同包括书面合同和口头合同。在市场经济环境下,合同已成为企业最常见的契约形式,甚至可以说,市场经济就是合同经济。然而,合同管理往往又是企业内部控制中最为疏忽和薄弱的环节之一。如果企业未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈,会导致企业合法权益受到侵害;如果合同未全面履行或监控不当,又可能导致企业诉讼失败,经济利益受损;如果合同纠纷处理不当,则会损害企业利益、信誉和形象。为此,我们制定了合同管理应用指引,有针对性地提出:一是,企业对外发生经济行为,除即时结清方式外,应当订立书面合同。对于影响重大、涉及较高专业技术或法律关系复杂的合同,应当组织法律、技术、财会等专业人员参与谈判,必要时可聘请外部专业人员参与相关工作;谈判过程中的重要事项和参与谈判人员的主要意见,应当予以纪录并妥善保存。二是,企业应当根据协商、谈判结果,拟定合同文本,明确双方的权利义务和违约责任,并严格进行审核。合同文本须报经国家有关主管部门审查或备案的,应当履行相应程序。三是,企业应当按照规定的权限和程序与对方当事人签署合同。正式对外订立的合同,应当由企业法定代表人或其授权代理人签名或加盖有关印章。属于上级管理权限的合同,下级单位不得签署。四是,企业应当加强合同信息安全保密工作,未经批准,不得以任何形式泄漏合同订立与履行过程中涉及的商业机密或国家机密。五是,企业应当遵循诚实信用原则严格履行合同,对合同履行实施有效监控,发现有显失公平、条款有误或对方有欺诈行为等情形,或因政策调整、市场变化等客观因素,已经或可能导致企业利益受损,应当按照规定程序及时报告,并经双方协商一致,按照规定权限和程序办理合同变更或解除事宜;存在合同纠正情形的,应依据国家相关法律法规,在规定时效内与对方当事人协商并按照规定权限和程序及时报告,协商无法解决的,根据合同约定选择仲裁或诉讼方式解决。六是,企业应当建立合同履行情况评估制度,至少于每年年末对合同履行的总体情况和重大合同履行的具体情况进行分析评估,对分析评估中发现的不足或问题应及时加以改进。

  第三,关于内部信息传递。内部信息传递是企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。《企业内部控制基本规范》十分重视信息与沟通这一控制要素,多次强调内部信息传递的重要性。为此,我们专门制定了内部信息传递应用指引,梳理出相关重要风险:如果企业内部报告系统缺失、功能不健全,内容不完整,可能会影响生产经营有序运行;如果内部信息传递不通畅、不及时,则可能导致企业决策失误、相关政策措施难以落实;如果内部信息传递中泄露商业秘密,则会削弱企业核心竞争力。针对这些重要风险,内部信息传递应用指引要求企业建立科学的内部信息传递机制,明确内部信息传递的内容、保密要求、传递方式以及各管理层级的职责权限等,促进内部报告的有效利用,充分发挥内部报告的作用。一是,企业应当根据发展战略、风险控制和业绩考核要求,科学规范不同级次内部报告的指标体系,采用经营快报等多种形式,全面反映与企业生产经营管理相关的各种内外部信息。二是,企业应当制定严密的内部报告流程,充分利用信息技术,强化内部报告信息集成和共享,将内部报告纳入企业统一信息平台,构建科学的内部报告网络体系。三是,企业应当拓宽内部报告的渠道,通过落实奖惩措施等多种有效方式,广泛收集合理化建议。四是,企业应当重视内部报告的使用。企业各级管理人员应当充分利用内部报告管理和指导企业的生产经营活动,及时反映全面预算执行情况,协调企业内部相关部门和各单位的运营进度;企业应当有效利用内部报告进行风险评估,准确识别和系统分析企业生产经营活动中的内外部风险,确定风险应对策略。

  第四,关于信息系统。信息系统是信息内部传递和信息对外报告的技术手段,是企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。通过信息系统强化内部控制,有利于减少人为因素,提高控制的效率和效果。同时也应意识到,信息系统自身也存在风险,需要加强管理和控制。首先,信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;其次,系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;最后,系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。为此,信息系统应用指引应当结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险。一是,企业应当根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。二是,企业开发信息系统,应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。三是,企业应当加强信息系统开发全过程的跟踪管理,组织开发单位与内部各单位的日常沟通和协调,督促开发单位按时保质完成编程工作,对配备的硬件设备和系统软件进行检查验收,组织系统上线运行等。企业还应当组织独立于开发单位的专业人员对开发完成的信息系统进行验收测试,并做好信息系统上线的各项准备工作。四是,企业应当加强信息系统运行与维护的管理,制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。五是,企业应当重视信息系统运行中的安全保密工作,确定信息系统的安全等级,建立不同等级信息的授权使用制度、用户管理制度和网络安全制度,并定期对数据进行备份,避免损失。对于服务器等关键信息设备,未经授权,任何人不得接触。

  二、关于内部控制评价指引

  内部控制评价是指企业董事会或类似决策机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。在企业内部控制实务中,内部控制评价是极为重要的一环。《企业内部控制基本规范》及18项应用指引,立足中国经济、社会、文化及管理的现实,无论是制度要求的口径和范围,还是具体要素和业务活动的内容及相互关系,较世界主要市场经济体的通行做法,在保持框架大体一致的前提下,又有很多适应我国社会主义市场经济发展要求的特色。因此,如何科学评价中国企业内部控制制度、不简单照搬发达市场国家或地区的现成做法,成为我国企业内部控制规范体系建设的重要命题和挑战。《企业内部控制评价指引》的制定发布,为企业开展内部控制自我评价提供了一个共同遵循的标准,为参与国际竞争的中国企业在内部控制建设方面提供了自律性要求,有利于提高投资者、社会公众乃至国际资本市场对中国企业素质的信任度。

  内部控制评价指引,着重从以下方面就企业如何做好内部控制自我评价工作提出指导性意见:

  第一,关于内部控制评价的内容。评价指引对内部控制评价内容的有关规定,是我国内部控制规范体系建设的一大创新。发达市场经济国家或地区的通行做法一般要求企业对与财务报告相关的内部控制有效性进行自我评价,评价指引则在此基础上更进一步,要求企业根据基本规范、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对内部控制有效性进行全面评价,包括财务报告内部控制有效性和非财务报告内部控制有效性。这一制度创新得到了国内企业董事长和总会计师的广泛认可和好评,认为其真正抓住了企业“一把手”关心重视的焦点,最大限度地释放了内部控制的作用和效力;与此同时,也受到了国际社会的关注。在2008年底召开的南非内部控制国际研讨会上,有国际专家专门对评价指引的这一创新进行了评述,认为其是对时下国际金融危机最“积极有效”的应对。

  第二,关于内部控制评价的组织。内部控制评价工作能否有效实施,很大程度上取决于企业是否具备强有力的组织领导体制。内部控制评价工作对大多数国内企业而言仍是新生事物,为切实指导企业做好该项工作,评价指引专门就内部控制评价的组织领导体制作出明确要求。首先,基本规范及评价指引要求企业授权内部审计机构或者其他专门机构作为内部控制评价机构,负责内部控制评价的具体组织实施工作。这实际上就为内部控制评价工作的开展设置了专门的职能机构。同时,为了确保内部控制评价机构职能的有效发挥,基本规范及评价指引要求内部控制评价机构必须具备一定的设置条件:一是能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;二是具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;三是与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约,在效率上满足企业对内部控制系统进行监督与评价所提出的有关要求;四是能够得到企业董事会和经理层的支持,通常直接接受董事会及其审计委员会的领导和监事会的监督,有足够的权威性来保证内部控制评价工作的顺利开展。其次,在设置内部控制评价机构的基础上,还要求企业成立专门的评价工作组,接受内部控制评价机构的领导,具体承担内部控制评价工作的组织。评价指引要求内部控制评价机构根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员,组成评价工作组,具体实施内部控制评价工作。评价工作组成员应当吸收企业内部相关机构熟悉情况的业务骨干参加。实施评价工作前,评价人员需要接受相关培训,培训内容一般包括内部控制专业知识及相关规章制度、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准、评价人员的权利与义务及评价中需重点关注的问题等。通过内部控制职能机构和评价工作组这种矩阵式的组织设置,可以有效促进内部控制评价工作的开展。

  第三,关于内部控制缺陷的认定。内部控制缺陷的认定,特别是非财务报告内部控制缺陷的认定,是企业内部控制评价工作中面临的重大挑战之一。对于财务报告内部控制缺陷,可由该缺陷可能导致财务报表错报的重要程度来确定,这种重要程度主要取决于两方面因素:一是该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报;二是该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。因此,财务报告内部控制缺陷一般可以通过定量的方式予以确定。相对而言,非财务报告内部控制缺陷的认定很难形成统一的标准,企业可以根据自身的实际情况,参照财务报告内部控制缺陷的认定标准,合理确定非财务报告内部控制缺陷的定量和定性认定标准。其中:定量标准,既可以根据缺陷造成直接财产损失的绝对金额制定,也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定;定性标准,可以根据缺陷潜在负面影响的性质、范围等因素确定。财政部将在即将发布的内部控制规范讲解中,对内部控制缺陷的认定,尤其是非财务报告内部控制缺陷的认定作出更具指导性的说明。需要强调的是,为避免企业操纵内部控制评价报告,非财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更。

  第四,关于内部控制评价报告。在评价指引发布前,上海、深圳证券交易所的部分上市公司已经尝试对外披露内部控制评价报告。但由于缺少统一的指导,这些对外披露的评价报告格式五花八门、质量参差不起,少则2、3页,多则数百页,不具可比性,也不利于报告使用者理解。为此,评价指引专门对内部控制评价报告进行规范,要求企业在评价报告中至少披露以下内容:一是董事会对内部控制报告真实性的声明,实质就是董事会全体成员对内部控制有效性负责;二是内部控制评价工作的总体情况,即概要说明;三是内部控制评价的依据,一般指基本规范、评价指引及企业在此基础上制定的评价办法;四是内部控制评价的范围,描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项;五是内部控制评价的程序和方法;六是内部控制缺陷及其认定情况,主要描述适用本企业的内部控制缺陷具体认定标准,并声明与以前年度保持一致,同时,根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷;七是内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;八是内部控制有效性的结论,对不存在重大缺陷的情形,出具评价期末内部控制有效结论,对存在重大缺陷的情形,不得作出内部控制有效的结论,并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。财政部将在内部控制规范讲解中对内部控制评价报告的内容提供进一步指引,包括探索引入使用内部控制评价表,作为对内部控制评价报告的进一步补充。所谓内部控制评价表,就是对评价过程中形成的评价工作底稿的全面整理和综合汇总,是企业对内部控制各构成要素的结论性评估表格,一般由评价内容、业务描述、有效性/缺陷、评价记录等栏目组成。通过使用内部控制评价表,可以使不同企业的内部控制评价报告更具可比性,同时也有利于报告使用者阅读和理解。

  第五,关于内部控制评价报告的披露或报送。评价指引要求,内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。企业应当以12月31日作为年度内部控制评价报告的基准日,并于基准日后4个月内报出内部控制评价报告。对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素,企业应当根据其性质和影响程度对评价结论进行相应调整。需要说明的是,评价指引起草工作组在调研过程中发现,部分企业担心内部控制评价报告可能存在信息过度披露问题。财政部等部门已经根据调研反馈意见对应用指引和评价指引进行了调整,此次发布的应用指引和《企业内部控制评价指引》实际上只要求企业对控制缺陷尤其是重大缺陷作出说明,不涉及企业内部其他保密信息,与此同时,在内部控制规范体系的贯彻实施过程中,财政部等部门还将持续关注类似问题,确保在满足法律法规和监管要求的前提下,尽量减少企业负担。

  三、关于内部控制审计指引

  内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。它是企业内部控制规范体系实施中引入的强制性要求,既有利于促进企业健全内部控制体系,又能增强企业财务报告的可靠性。美国、日本等国家曾先后做出过类似的制度安排。为了规范注册会计师执行企业内部控制审计业务,我们特别制定了《企业内部控制审计指引》。

  内部控制审计指引,着重从以下方面就如何做好内部控制审计业务提出明确要求或强调说明:第一,关于审计责任划分。该指引明确指出,建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任,但对内部控制的有效性发表审计意见,则是注册会计师的责任。第二,关于审计范围。该指引强调,注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证。同时进一步指出,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。这些规定传达出一个重要的信息,即:注册会计师审计的范围应当覆盖企业内部控制整体而不限于财务报告内部控制。这与要求企业完整而全面地贯彻实施内部控制规范体系是相一致的。但是,考虑到注册会计师在内部控制审计过程中的风险责任承担能力限制,该指引要求注册会计师针对企业财务报告内部控制有效性发表审计意见,而对相关审计过程中注意到的非财务报告内部控制重大缺陷,则要求其增加描述段予以说明。第三,关于整合审计。该指引指出,注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行。整合审计可以提升效率,也是国际上普遍采用的方法,我们鼓励这种做法。需要特别指出的是,此处所指的“整合”,不包括注册会计师对同一家企业既做咨询又做审计的情形。在《企业内部控制基本规范》中对此已有明确规定,即:“为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务”。第四,关于利用被审计单位人员的工作。有效利用被审计单位人员的工作成果,尤其是自我评价结论,可以减少审计成本。但是,如何才能做到既有效利用又能够保持独立性,是一个两难的问题。就此,该指引提出如下要求:一是,注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作;二是,注册会计师应当对企业内部审计人员、内部控制评价人员和其他相关人员的专业胜任能力和客观性进行充分评价,与某项控制相关的风险越高,可利用程度就越低,注册会计师应当更多地对该项控制亲自进行测试;三是,注册会计师应当对发表的审计意见独立承担责任,其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。第五,关于审计方法。该指引要求注册会计师按照自上而下的方法实施审计工作,并将方法作为识别风险、选择拟测试控制的基本思路。同时,该指引强调,在实施审计工作时,可以将企业层面控制和业务层面控制的测试结合进行。第六,关于评价控制缺陷。该指引对内部控制缺陷的划分与《企业内部控制评价指引》的规定是相一致的。对于如何识别内部控制重大缺陷,该指引要求注册会计师先评价其所识别出的各项内部控制缺陷的严重程度,以此确定这些缺陷单独或组合起来,是否构成重大缺陷。为便于注册会计师进行职业判断,该指引提供了进一步相关指引。比如,在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制(替代性控制)的影响;又比如,将表明内部控制可能存在重大缺陷的迹象作了系统概括,主要包括:注册会计师发现董事、监事和高级管理人员舞弊;企业更正已经公布的财务报表;注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效。注册会计师应当将审计过程中发现的所有控制缺陷与企业进行沟通,对其中的重大缺陷和重要缺陷应以书面形式与董事会和经理层沟通。注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的,还应当就此以书面形式直接与董事会和经理层沟通。所有这些书面沟通应当在注册会计师出具内部控制审计报告之前进行。第七,关于审计报告出具。如何出具内部控制审计报告,是大多数注册会计师所关心的问题。与审计范围相对应,该指引要求注册会计师出具的审计报告涉及财务报告内部控制和非财务报告内部控制两大方面;同时,还提供了四种内部控制审计报告参考格式,分别是:标准内部控制审计报告、带强调意见段的无保留意见内部控制审计报告、否定意见内部控制审计报告和无法表示意见审计报告。对非财务报告内部控制缺陷的处理,该指引分别不同情况特别提出如下要求:注册会计师认为非财务报告内部控制缺陷为一般缺陷的,应当与企业进行沟通,提醒企业加以改进,但无需在内部控制审计报告中说明;注册会计师认为非财务报告内部控制缺陷为重要缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进,但无需在内部控制审计报告中说明;注册会计师认为非财务报告内部控制缺陷为重大缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进;同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险。这些说明,较好地解除了注册会计师一直以来担心的问题,从而有利于注册会计师顺利地开展内部控制审计业务。

  四、关于企业执行内部控制规范体系的准备工作

  重视和加强实施前的各项准备工作,是确保内部控制规范体系顺利实施的重要前提。为了确保企业内部控制规范体系的顺利贯彻实施,各有关部门、单位要积极行动起来,认真扎实地做好实施前的各项工作。

  第一,各级财政部门要把宣传培训、学习贯彻内部控制规范体系作为当前及今后一段时间会计和注册会计师行业管理的一项中心工作,精心组织,周密安排,切实抓紧抓好,抓出成效。一要加强内部控制专业团队建设,指定专人负责,落实责任制,重视和培养业务骨干,全面熟悉和掌握内部控制规范的内容,做好对企业、会计师事务所等有关单位的政策业务指导;二要不断深化内部控制规范的宣传培训工作,先培训上市公司和具有证券期货业务资格的会计师事务所,随后将培训范围逐步扩大到所有大中型企业和大中型会计师事务所。同时,要将内部控制规范纳入会计人员等专业人员继续教育范围,并作为高级会计师专业技术资格考试和注册会计师考试的重要内容。

  第二,各上市公司和相关大中型企业,应当切实抓紧建立健全本单位的内部控制制度体系并按规定要求稳步有效实施。一是,公司董事会或类似机构对此应予高度重视,真正担当起建立健全和有效实施内部控制规范体系的责任;同时,组成专门领导班子,加强对公司内部控制建设工作的指导。二是,公司应当统筹规划,缜密安排,根据《企业内部控制基本规范》及《企业内部控制配套指引》规定,结合经营特点和管理要求,对现行内控制度和管理要求进行梳理优化,健全适合本单位实际的内部控制制度。三是,开展全员培训,在公司范围内掀起“人人学内控、人人讲内控、个个受约束”的良好氛围。公司应当积极参加财政部门、中国会计学会等部门或机构组织的正规培训,不参加社会上追逐盈利目的非正规内部控制规范培训活动。四是,加大对企业信息系统的改造或新建投入,充分运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对各类业务和事项的自动控制,减少或消除人为操纵因素。五是,在公司范围内选择管理基础较好的分(子)公司或业务单位等开展内部控制制度试点,发现并及时解决运行过程中存在的问题,总结经验,逐步推广到全公司范围。

  第三,会计师事务所应当把握好企业内部控制规范发布实施的好机会,拓展业务领域。一要积极组织相关内部培训或参加财政部门等单位组织的正规内部控制规范培训,进一提升自身执业能力。二要合理调配资源,优化业务结构,组建专业团队。三要深入研究内部控制审计方法,建立健全内部控制审计质量控制标准。

  五、关于企业内部控制规范体系实施的监督评价

  构建企业、注册会计师和有关监管部门三位一体的、有效的内外部监督评价体系是确保企业内部控制规范体系顺利实施的重要保证。

  第一,企业应当重视和发挥审计委员会对内部控制实施的监督作用,赋予审计委员会监督内部控制有效实施和内部控制自我评价情况、协调内部控制审计等方面的职能。通常情况下,企业可以授权内部审计机构具体承担内部控制监督检查的职能,接受董事会和审计委员会的领导。同时,企业应当建立内部控制执行情况与员工绩效考核挂钩的制度,并严格执行。

  第二,注册会计师要严格遵循企业内部控制规范提出的各项要求,开展内部控制审计业务。要强化内部控制审计的独立性,保持应有的职业谨慎态度,遵守职业道德规范,在内部控制审计业务与内部控制咨询业务之间建立牢固的“防火墙”,禁止针对同一客户既承担内部控制审计业务,同时又承担内部控制咨询和代行内部控制自我评价业务。

  第三,财政部等有关监管部门要将内部控制规范实施有关的政策指导与监督检查结合起来,在为企业、会计师事务所提供良好服务的同时,密切关注和跟踪企业和会计师事务所执行内部控制规范的情况,建立迅速高效的预警、反应和处理机制,妥善处理好内部控制规范实施过程中产生的各种问题。其次,要加强对企业和会计师事务所执行内部控制规范体系的监督检查力度,对违反内部控制规范要求的单位或个人依法严肃处理;要加强部门沟通,协调监管政策,规范监管口径,形成监管合力,提高监管效能。

  行百里者半九十。我们应当清醒地认识到,推进企业内部控制规范体系贯彻实施是一项艰巨的系统工程,下一步的任务更加繁重。同时,我们也应当满怀豪情!只要我们继续保持实事求是、脚踏实地的工作作风,精心组织,就一定能够将企业内部控制规范体系学习好、宣传好、实施好,进一步促进企业提升管理水平和风险能力,进一步促进我国经济持续健康快速发展!

规范内控审计行为 促进内控有效实施

——财政部会计司、中注协解读《企业内部控制审计指引》



实施企业内部控制注册会计师审计,是促进企业尤其是上市公司扎实贯彻《企业内部控制基本规范》和《企业内部控制配套指引》的重要制度安排,是注册会计师行业开拓执业领域、进一步做大做强新的增长点。为了规范注册会计师内部控制审计业务,明确工作要求,保证执业质量,根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则,财政部制定了《企业内部控制审计指引》(以下简称审计指引)。财政部等五部委制定的《企业内部控制基本规范》和《企业内部控制应用指引》是注册会计师衡量企业内部控制是否有效的基础标准。注册会计师在执行内部控制审计时,除遵守审计指引外,还应当遵守中国注册会计师相关执业准则。

审计指引共7章35条,并附有4份不同意见类型的内部控制审计报告,阐明了什么是内部控制审计、如何执行内部控制审计工作等问题。本文对审计指引的几个重点问题进行解读。

一、内部控制审计概述
(一)实施内部控制审计的必要性

内部控制作为企业的一项重要管理活动,主要试图解决三方面的基本问题,即财务报告及相关信息的可靠性、资产的安全完整以及对法律法规的遵循;与此同时,促进提高经营的效率效果,并促进实现企业的发展战略。安然、世通等一系列公司财务报表舞弊事件发生后,人们认识到健全有效的内部控制对预防此类事件的发生至关重要。各国政府监管机构、企业界和会计职业界对内部控制的重视程度也进一步提升,从注重财务报告本身可靠性转向注重对保证财务报告可靠性机制的建设,也就是通过过程的有效保证结果的有效。资本市场上的投资者甚至社会公众要求企业披露其与内部控制相关的信息,并要求经过注册会计师审计以增强信息的可靠性。

但是,在财务报表审计中,只有在以下两种情况下才强制要求对内部控制进行测试:在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);或者仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。可见,注册会计师对内部控制的了解和测试不足以对内部控制发表意见,难以满足信息使用者的需求。因此,内部控制审计逐渐发展起来,很多国家要求注册会计师对内部控制设计和运行的有效性进行审计或鉴证。例如,美国《萨班斯——奥克斯利法案》404条款和日本《金融商品交易法》要求审计师对企业管理层对财务报告内部控制的评价进行审计;我国《企业内部控制基本规范》要求会计师事务所对企业内部控制的有效性进行审计,出具审计报告,并专门制定《企业内部控制审计指引》规范内部控制审计工作。

(二)各国对内部控制审计的要求

1.其他国家对内部控制审计的要求。我们对内部控制审计进行了国际比较研究,选择了在内部控制规范制定领域一直走在世界前沿的几个国家和地区,包括美国、日本、欧盟、加拿大和英国,对上述各国及地区出台的内控审计标准进行了比较研究。研究结论表明:

(1)美国和日本均以法案形式强制要求对企业财务报告内部控制进行审计;欧盟、加拿大、英国未强制要求进行内控审计,但英国等国的上市规则要求审计师对管理层作出的内部控制声明进行形式上的审阅。

(2)强制要求进行内部控制审计的国家,如美国和日本,内部控制审计与年度财务报表审计整合进行。其中美国要求由同一家会计师事务所将内部控制审计与财务报表审计整合进行,而日本则不仅如此,要求同一个审计师从计划审计工作、实施审计程序获取审计证据、评价审计证据的充分性和适当性,直到发表审计意见的整个过程中,将两种审计作为一个整体进行。

2.我国对内部控制审计的要求。《企业内部控制基本规范》及配套指引的发布,要求执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注。

这意味着,企业内部控制审计业务由原来的一次性业务或面向少数企业的业务(A股企业原先仅在IPO时需要,或者赴美国和日本等地上市企业需要,或者金融证券等高风险行业需要),变成了与财务报表审计一样的经常性业务,每年需执行一次。

对于执行内部控制审计的会计师事务所来讲,对公司上市前要进行内部控制审计,上市后也要进行内部控制审计。

(三)内部控制审计的定义

内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。

1.企业内部控制审计基于特定基准日。注册会计师基于基准日(如年末12月31日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。例如,注册会计师可能在5月份对企业的内部控制进行测试,发现问题后提请企业进行整改,如6月份整改,企业的内部控制在整改后要运行一段时间(如至少一个月),8月份注册会计师再对整改后的内部控制进行测试。因此,虽然是对企业12月31日(基准日)内部控制的设计和运行发表意见,但这里的基准日不是一个简单的时点概念,而是体现内部控制这个过程向前的延续性。注册会计师所采用的内部控制审计的程序和方法,也体现了这种延续性。

2.财务报告内部控制与非财务报告内部控制。审计指引第四条第二款规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

财务报告内部控制,是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。主要包括下列方面的政策和程序:

(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项;

(2)合理保证按照企业会计准则的规定编制财务报表;

(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;

(4)合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。

非财务报告内部控制,是指除财务报告内部控制之外的其他控制,通常是指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制。

3.企业内控责任与注册会计师审计责任的关系。审计指引第三条规定,建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。

两者之间的关系和会计责任与审计责任的区分保持一致,即:建立健全和有效实施内部控制是企业董事会(或类似决策机构,下同)的责任;按照《企业内部控制审计指引》的要求,在实施审计工作的基础上对企业内部控制的有效性发表审计意见,是注册会计师的责任。换言之,内控本身有效与否是企业的内控责任,是否遵循审计指引开展内控审计并发表恰当的审计意见是注册会计师的审计责任。因此,注册会计师在实施内控审计之前,应当在业务约定书中明确双方的责任;在发表内控审计意见之前,应当取得经企业签署的内控书面声明。

(四)整合审计

审计指引第五条规定,注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(以下简称整合审计)。

理解这一规定,要明确两点,一是内部控制审计与财务报表审计是两种不同的审计业务,两种审计的目标不同;二是内部控制审计与财务报表审计可以整合起来进行。

1.内部控制审计与财务报表审计的异同。内部控制审计要求对企业控制设计和运行的有效性进行测试,财务报表审计中,也要求了解企业的内部控制,并在需要时测试控制,这是两种审计的相同之处,也是整合审计中应整合的部分,但由于两种审计的目标不同,审计指引要求在整合审计中,注册会计师对内部控制设计与运行的有效性进行测试,要同时实现两个目的:

(1)获取充分、适当的证据,支持在内部控制审计中对内部控制有效性发表的意见;

(2)获取充分、适当的证据,支持在财务报表审计中对控制风险的评估结果。

2.两种审计的整合。财务报告内部控制审计与财务报表审计通常使用相同的重要性(或重要性水平),在实务中两者很难分开。因为注册会计师在审计财务报表时需获得的信息在很大程度上依赖注册会计师对内部控制有效性得出的结论。注册会计师可以利用在一种审计中获得的结果为另一种审计中的判断和拟实施的程序提供信息。

实施财务报表审计时,注册会计师可以利用内部控制审计的结果来修改实质性程序的性质、时间安排和范围,并且可以利用该结果来支持分析程序中所使用的信息的完整性和准确性。在确定实质性程序的性质、时间安排和范围时,注册会计师需要慎重考虑识别出的控制缺陷。

实施内部控制审计时,注册会计师需要评估财务报表审计时实质性程序中发现问题的影响。最重要的是,注册会计师需要重点考虑财务报表审计中发现的财务报表错报,考虑这些错报对评价内控有效性的影响。

二、计划审计工作
(一)总体要求

审计指引第六条指出,注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。

整合审计中项目组人员的配备比较关键。在计划审计工作时,项目合伙人需要统筹考虑审计工作,挑选相关领域的人员组成项目组,同时对项目组成员进行培训和督导,以合理安排审计工作。

在计划整合审计工作时,注册会计师需要评价下列事项对财务报表和内部控制是否有重要影响,以及有重要影响的事项将如何影响审计工作:

1.与企业相关的风险,包括在评价是否接受与保持客户和业务时,注册会计师了解的与企业相关的风险情况以及在执行其他业务时了解的情况;

2.相关法律法规和行业概况;

3.企业组织结构、经营特点和资本结构等相关重要事项;

4.企业内部控制最近发生变化的程度;

5.与企业沟通过的内部控制缺陷;

6.重要性、风险等与确定内部控制重大缺陷相关的因素;

7.对内部控制有效性的初步判断;

8.可获取的、与内部控制有效性相关的证据的类型和范围。

此外,注册会计师还需要关注与评价财务报表发生重大错报的可能性和内部控制有效性相关的公开信息,以及企业经营活动的相对复杂程度。

(二)重视风险评估的作用

按照审计指引第八条规定,在内部控制审计中,注册会计师应当以风险评估为基础,确定重要账户、列报及其相关认定,选择拟测试的控制,以及确定针对所选定控制所需收集的证据。

风险评估的理念及思路应当贯穿于整合审计过程的始终。实施风险评估时,可以考虑固有风险及控制风险。在计划审计工作阶段,对内部控制的固有风险进行评估,作为编制审计计划的依据之一;根据对控制风险评估的结果,调整计划阶段对固有风险的判断,这是个持续的过程。

内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。内部控制不能防止或发现并纠正由于舞弊导致的错报风险,通常高于其不能防止或发现并纠正由错误导致的错报风险。注册会计师应当更多地关注高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。

在进行风险评估以及确定审计程序时,企业的组织结构、业务流程或业务单元的复杂程度可能产生的重要影响均是注册会计师需要考虑的因素。

(三)利用其他相关人员的工作

在计划审计工作时,注册会计师需要评估是否利用他人(包括企业的内部审计人员、内部控制评价人员、其他人员以及在董事会及其审计委员会指导下的第三方)的工作以及利用的程度,以减少可能本应由注册会计师执行的工作。

如果决定利用内部审计人员的工作,注册会计师应当按照《中国注册会计师审计准则第1411号——利用内部审计人员的工作》的规定办理。

如果拟利用他人的工作,注册会计师则需要评价该人员的专业胜任能力和客观性。专业胜任能力即具备某种专业技能、知识或经验,有能力完成分派的任务;客观性则是公正、诚实地执行任务的能力。专业胜任能力和客观性越高,可利用程度就越高,注册会计师就可以越多地利用其工作。当然,无论人员的专业胜任能力如何,注册会计师都不应利用那些客观程度较低的人员的工作。同样地,无论人员的客观程度如何,注册会计师都不应利用那些专业胜任能力较低的人员的工作。通常认为,企业的内部审计人员拥有更高的专业胜任能力和客观性,注册会计师可以考虑更多地利用这些人员的相关工作。

在内部控制审计中,注册会计师利用他人工作的程度还受到与被测试控制相关的风险的影响。与某项控制相关的风险越高,可利用他人工作的程度就越低,注册会计师就需要更多地对该项控制亲自进行测试。

如果其他注册会计师负责审计企业的一个或多个分部、分支机构、子公司等组成部分的财务报表和内部控制,注册会计师应当按照《中国注册会计师审计准则第1401号——对集团财务报表审计的特殊考虑》的规定,确定是否利用其他注册会计师的工作。

三、实施审计工作
(一)自上而下的方法

审计指引第十条规定,注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。

自上而下的方法按照下列思路展开:

1.从财务报表层次初步了解内部控制整体风险;

2.识别企业层面控制;

3.识别重要账户、列报及其相关认定;

4.了解错报的可能来源;

5.选择拟测试的控制。

在财务报告内控审计中,自上而下的方法始于财务报表层次,以注册会计师对财务报告内部控制整体风险的了解开始,然后,注册会计师将关注重点放在企业层面的控制上,并将工作逐渐下移至重大账户、列报及相关的认定。这种方法引导注册会计师将注意力放在显示有可能导致财务报表及相关列报发生重大错报的账户、列报及认定上。之后,注册会计师验证其了解到的业务流程中存在的风险,并就已评估的每个相关认定的错报风险,选择足以应对这些风险的业务层面控制进行测试。在非财务报告内控审计中,自上而下的方法始于企业层面控制,并将审计测试工作逐步下移到业务层面控制。

自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的连续思维过程,但并不一定是注册会计师执行审计程序的顺序。

(二)识别企业层面控制

从财务报表层次初步了解财务报告内部控制整体风险是自上而下方法的第一步。通过了解企业与财务报告相关的整体风险,注册会计师首先可以识别出为保持有效的财务报告内部控制而必需的企业层面内部控制。此外,由于对企业层面内部控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围,因此,注册会计师可以考虑在执行业务的早期阶段对企业层面内部控制进行评价。

1.评价企业层面控制的精确度。不同的企业层面控制在性质和精确度上存在着差异,这些差异可能对其他控制及其测试产生影响。

(1)某些企业层面控制,如企业经营理念、管理层的管理风格等与控制环境相关的控制,对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。

(2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠正相关认定的错报。当这些控制运行有效时,注册会计师可以减少对其他控制的测试。

(3)某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其他控制。

2.企业层面控制的内容

(1)与内部环境相关的控制。内部环境,即控制环境,包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。

(2)针对管理层(董事会、经理层)凌驾于控制之上的风险而设计的控制。该控制对所有企业保持有效的内部控制都有重要影响。注册会计师可以根据对企业舞弊风险的评估作出判断,选择相关的企业层面控制进行测试,并评价这些控制能否有效应对管理层凌驾于控制之上的风险。

(3)企业的风险评估过程。风险评估过程包括识别与财务报告相关的经营风险和其他经营管理风险,以及针对这些风险采取的措施。首先,企业的内部控制能够充分识别企业外部环境(如在经济、政治、法律法规、竞争者行为、债权人需求、技术变革等方面)存在的风险;其次,充分且适当的风险评估过程需要包括对重大风险的估计、对风险发生可能性的评估以及确定应对风险的方法。注册会计师可以首先了解企业及其内部环境的其他方面信息,以初步了解企业的风险评估过程。

(4)对内部信息传递和财务报告流程的控制。财务报告流程的控制可以确保管理层按照适当的会计准则编制合理、可靠的财务报告并对外报告。

(5)对控制有效性的内部监督和自我评价。企业对控制有效性的内部监督和自我评价可以在企业层面上实施,也可以在业务流程层面上实施,包括:对运行报告的复核和核对、与外部人士的沟通、对其他未参与控制执行人员的监控活动,以及将信息系统记录数据与实物资产进行核对等。

此外,企业层面控制还包括:集中化的处理和控制,包括共享的服务环境;监控经营成果的控制;针对重大经营控制以及风险管理实务而采取的政策。

(三)测试控制设计和运行的有效性

审计指引第十四条规定,注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的。如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的运行是有效的。

设计不当的控制可能表明控制存在缺陷甚至重大缺陷,注册会计师在测试控制运行的有效性时,首先要考虑控制的设计。注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。注册会计师测试控制有效性实施的程序,按提供证据的效力,由弱到强排序为:询问、观察、检查和重新执行。其中询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。执行穿行测试通常足以评价控制设计的有效性。

(四)与控制相关的风险与拟获取证据的关系

在测试所选定控制的有效性时,注册会计师需要根据与控制相关的风险,确定所需获取的证据。与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的证据就越多。

与某项控制相关的风险受下列因素的影响:

(1)该项控制拟防止或发现并纠正的错报的性质和重要程度;

(2)相关账户、列报及其认定的固有风险;

(3)相关账户或列报是否曾经出现错报;

(4)交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;

(5)企业层面控制(特别是对控制有效性的内部监督和自我评价)的有效性;

(6)该项控制的性质及其执行频率;

(7)该项控制对其他控制(如内部环境或信息技术一般控制)有效性的依赖程度;

(8)该项控制的执行或监督人员的专业胜任能力,以及其中的关键人员是否发生变化;

(9)该项控制是人工控制还是自动化控制;

(10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。

针对每一相关认定,注册会计师都需要获取控制有效性的证据,以便对内部控制整体的有效性单独发表意见,但注册会计师没有责任对单项控制的有效性发表意见。

对于控制运行偏离设计的情况(即控制偏差),注册会计师需要考虑该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。

注册会计师通过测试控制有效性获取的证据,取决于实施程序的性质、时间安排和范围的组合。就单项控制而言,注册会计师应当根据与该项控制相关的风险,适当确定实施程序的性质、时间安排和范围,以获取充分、适当的证据。

测试控制有效性实施的程序,其性质在很大程度上取决于拟测试控制的性质。某些控制可能存在文件记录,反映其运行的有效性,而另外一些控制,如管理理念和经营风格,可能没有书面的运行证据。对缺乏正式运行证据的企业或企业的某个业务单元,注册会计师可以通过询问并结合运用观察活动、检查非正式的书面记录和重新执行某些控制等程序,获取有关控制有效性的充分、适当的证据。

对控制有效性的测试涵盖的期间越长,提供的控制有效性的证据越多。注册会计师需要获取内部控制在企业内部控制自我评价基准日前足够长的期间内有效运行的证据。对控制有效性的测试实施的时间安排越接近企业内部控制自我评价基准日,提供的控制有效性的证据越有力。因此,审计指引第十七条规定,注册会计师在确定测试的时间安排时,应当在下列两个因素之间作出平衡,以获取充分、适当的证据:

(1)尽量在接近企业内部控制自我评价基准日实施测试;

(2)实施的测试需要涵盖足够长的期间。

在企业内部控制自我评价基准日之前,管理层可能为提高控制效率、效果或弥补控制缺陷而改变企业的控制。如果新控制实现了相关控制目标,运行足够长的时间,且注册会计师能够测试并评价该项控制设计和运行的有效性,则无需测试被取代的控制。如果被取代控制设计和运行的有效性对控制风险的评估有重大影响,注册会计师则需要测试该项控制的有效性。

注册会计师执行内部控制审计业务通常旨在对企业内部控制自我评价基准日(通常为年末)内部控制的有效性发表意见。如果已获取有关控制在期中运行有效性的证据,注册会计师应当确定还需要获取哪些补充证据,以证实在剩余期间控制的运行情况。在将期中测试的结果更新至年末时,注册会计师需要考虑下列因素,以确定需获取的补充证据:

(1)期中测试的特定控制的有关情况,包括与控制相关的风险、控制的性质和测试的结果;

(2)期中获取的有关证据的充分性、适当性;

(3)剩余期间的长短;

(4)期中测试之后,内部控制发生重大变化的可能性及其变化情况。

(五)连续审计时的特殊考虑

在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,还需要考虑以前年度执行内部控制审计时了解的情况。

影响连续审计中与某项控制相关的风险的因素除第(四)部分“风险与拟获取证据的关系”中所列的10项因素外,还包括:

(1)以前年度审计中所实施程序的性质、时间安排和范围;

(2)以前年度对控制的测试结果;

(3)上次审计之后,控制或其运行流程是否发生变化,尤其是考虑IT环境的变化。

在考虑上述所列的风险因素以及连续审计中可获取的进一步信息之后,只有当认为与控制相关的风险水平比以前年度有所下降时,注册会计师在本年度审计中才可以减少测试。

为保证控制测试的有效性,使测试具有不可预见性,并能应对环境的变化,注册会计师需要每年改变控制测试的性质、时间安排和范围。每年在期中不同的时段测试控制,并增加或减少所执行测试的数量和种类,或者改变所使用测试程序的组合等。

四、评价控制缺陷
(一)评价控制缺陷的总体要求

如果某项控制的设计、实施或运行不能及时防止或发现并纠正财务报表错报,则表明内部控制存在缺陷。如果企业缺少用以及时防止或发现并纠正财务报表错报的必要控制,同样表明存在内部控制缺陷。

内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制,或者现有控制设计不适当,即使正常运行也难以实现控制目标。运行缺陷是指设计适当的控制没有按设计意图运行,或者执行人员缺乏必要授权或专业胜任能力,无法有效实施控制。

内部控制存在的缺陷,按严重程度分为重大缺陷、重要缺陷和一般缺陷。

重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。具体到财务报告内部控制上,就是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表重大错报的一个或多个控制缺陷的组合。

重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。具体就是内部控制中存在的、其严重程度不如重大缺陷、但足以引起企业财务报告监督人员关注的一个或多个控制缺陷的组合。

一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。

注册会计师需要评价其注意到的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷。但是,在计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。

下列迹象可能表明企业的内部控制存在重大缺陷:

(1)注册会计师发现董事、监事和高级管理人员舞弊;

(2)企业更正已经公布的财务报表;

(3)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;

(4)企业审计委员会和内部审计机构对内部控制的监督无效。

财务报告内部控制控制缺陷的严重程度取决于:

(1)控制缺陷导致账户余额或列报错报的可能性;

(2)因一个或多个控制缺陷的组合导致潜在错报的金额大小。

控制缺陷的严重程度与账户余额或列报是否发生错报无必然对应关系,而取决于控制缺陷是否可能导致错报。评价控制缺陷时,注册会计师需要根据财务报表审计中确定的重要性水平,支持对财务报告控制缺陷重要性的评价。注册会计师需要运用职业判断,考虑并衡量定量和定性因素。同时要对整个思考判断过程进行记录,尤其是详细记录关键判断和得出结论的理由。而且,对于“可能性”和“重大错报”的判断,在评价控制缺陷严重性的记录中,注册会计师需要给予明确地考量和陈述。

(二)评价控制缺陷举例

1.单个控制缺陷的识别。下面以未按时进行公司间对账为例,举例说明如何评价财务报告内部控制的控制缺陷。

例如,某公司每月处理大量的公司间常规交易。公司间的单项交易并不重大,主要是涉及资产负债表的活动。公司制度要求逐月进行公司间对账,并在业务单元间函证余额。注册会计师了解到,目前公司没有按时开展对账工作,但公司管理层每月执行相应的程序对挑选出的大额公司间账目进行调查,并编制详细的营业费用差异分析表来评估其合理性。

基于上述情况,注册会计师可以确定此控制缺陷为重要缺陷。因为,由于该控制缺陷引起的财务报表错报可以被合理地预计为介于重要和重大之间,由于公司间单项交易并不重大,这些交易限于资产负债表科目,而且每月执行的补偿性控制应该能够发现重大错报。

仍用上例,如果公司每月处理的大量公司间交易涉及广泛的业务活动,包括涉及公司间利润的存货转移,研究开发成本向业务单元的分摊,公司间单项交易常常是重大的。公司制度要求逐月进行公司间对账,并在业务单元间函证余额。注册会计师了解到,目前公司没有按时开展对账工作,这些账目经常出现重大差异。而且,公司管理层没有执行任何补偿性控制来调查重大的公司间账目差异。

基于上述情况,注册会计师可以确定此控制缺陷为重大缺陷。因为,由于该控制缺陷引起的财务报表错报可以被合理地预计为是重大的,由于公司间单项交易常常是重大的,而且涉及大范围活动。另外,在公司间账目上尚未对账的差异是重要的,由于这种错报常常发生,财务报表错报可能出现,而且补偿性控制无效。

2.多个控制缺陷的识别示例

例如,注册会计师识别出以下控制缺陷:

(1)对特定信息系统访问控制的权限分配不当;

(2)存在若干明细账不合理交易记录(交易无论单个还是合计都是不重要的);

(3)缺乏对受不合理交易记录影响的账户余额的及时对账。

上述每个缺陷均单独代表一个重要缺陷。基于这一情况,注册会计师可以确定这些重要缺陷合并构成重大缺陷。因为,就个别重要缺陷而言,这些缺陷有一定可能性,各自导致金额未达到重要性水平的财务报表错报。可是,这些重要缺陷影响同类会计账户,有一定可能性导致不能防止或发现并纠正重大错报的发生。因此,这些重要缺陷组合在一起符合重大缺陷的定义。

五、完成审计工作
(一)形成审计意见

注册会计师需要评价从各种来源获取的证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,以形成对内部控制有效性的意见。在评价证据时,注册会计师需要查阅本年度与内部控制相关的内部审计报告或类似报告,并评价这些报告中提到的控制缺陷。

只有在审计范围没有受到限制时,注册会计师才能对内部控制的有效性形成意见。如果审计范围受到限制,注册会计师需要解除业务约定或出具无法表示意见的内部控制审计报告。

(二)获取管理层书面声明

注册会计师需要取得经企业认可的书面声明,书面声明需要包括下列内容:

(1)企业董事会认可其对建立健全和有效实施内部控制负责;

(2)企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的结论;

(3)企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础;

(4)企业已向注册会计师披露识别出的内部控制所有缺陷,并单独披露其中的重大缺陷和重要缺陷;

(5)对于注册会计师在以前年度审计中识别的、已与审计委员会沟通的重大缺陷和重要缺陷,企业是否已经采取措施予以解决;

(6)在企业内部控制自我评价基准日后,内部控制是否发生重大变化,或者存在对内部控制具有重要影响的其他因素。

此外,书面声明中还包括导致财务报表重大错报的所有舞弊,以及不会导致财务报表重大错报,但涉及管理层和其他在内部控制中具有重要作用的员工的所有舞弊。

如果企业拒绝提供或以其他不当理由回避书面声明,注册会计师需要将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。同时,注册会计师需要评价,企业拒绝提供书面声明对其他声明(包括在财务报表审计中获取的声明)的可靠性产生的影响。

注册会计师需要按照《中国注册会计师审计准则第1341号——书面声明》的规定,确定声明书的签署者、声明书涵盖的期间以及何时获取更新的声明书等。

(三)沟通相关事项

注册会计师需要与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷,需要以书面形式与董事会和经理层沟通。《中国注册会计师审计准则第1152号——向治理层和管理层通报内部控制缺陷》要求注册会计师以书面形式及时向治理层通报审计过程中识别出的值得关注的内部控制缺陷。其中,值得关注的内部控制缺陷包括重大缺陷和重要缺陷。

对于重大缺陷,注册会计师需要以书面形式与企业的董事会及其审计委员会进行沟通。如果认为审计委员会和内部审计机构对内部控制的监督无效,注册会计师需要就此以书面形式直接与董事会和经理层沟通。

对于重要缺陷,注册会计师需要以书面形式与审计委员会沟通。

虽然并不要求注册会计师执行足以识别所有控制缺陷的程序,但是,注册会计师需要沟通其注意到的内部控制的所有缺陷。如果发现企业存在或可能存在舞弊或违反法规行为,注册会计师需要按照《中国注册会计师审计准则第1141号——财务报表审计中对舞弊的考虑》、《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》的规定,确定并履行自身的责任。

六、出具审计报告
(一)标准内部控制审计报告

当注册会计师出具的无保留意见的内部控制审计报告不附加说明段、强调事项段或任何修饰性用语时,该报告称为标准内部控制审计报告。标准内部控制审计报告包括下列要素:

1.标题。内部控制审计报告的标题统一规范为“内部控制审计报告”。

2.收件人。内部控制审计报告的收件人是指注册会计师按照业务约定书的要求致送内部控制审计报告的对象,一般是指审计业务的委托人。

3.引言段。内部控制审计报告的引言段说明企业的名称和内部控制已经过审计。

4.企业对内部控制的责任段。企业对内部控制的责任段说明,按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定,建立健全和有效实施内部控制,并评价其有效性是企业董事会的责任。

5.注册会计师的责任段。注册会计师的责任段说明,在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露是注册会计师的责任。

6.内部控制固有局限性的说明段。内部控制无论如何有效,都只能为企业实现控制目标提供合理保证。内部控制实现目标的可能性受其固有限制的影响,注册会计师需要在内部控制固有局限性的说明段说明,内部控制具有固有局限性,存在不能防止和发现错报的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制审计结果推测未来内部控制的有效性具有一定风险。

7.财务报告内部控制审计意见段。如果符合下列所有条件的,注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告:

(1)企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求,在所有重大方面保持了有效的内部控制;

(2)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。

8.非财务报告内部控制重大缺陷描述段。对于审计过程中注意到的非财务报告内部控制缺陷,如果发现某项或某些控制对企业发展战略、法规遵循、经营的效率效果等控制目标的实现有重大不利影响,确定该项非财务报告内部控制缺陷为重大缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进;同时在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险,但无需对其发表审计意见。

9.注册会计师的签名和盖章。

10.会计师事务所的名称、地址及盖章。

11.报告日期。

如果内部控制审计和财务报表审计整合进行,注册会计师对内部控制审计报告和财务报表审计报告需要签署相同的日期。

(二)非标准内部控制审计报告

1.带强调事项段的非标准内部控制审计报告。注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请内部控制审计报告使用人注意的,需要在内部控制审计报告中增加强调事项段予以说明。注册会计师需要在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对财务报告内部控制发表的审计意见。

2.否定意见的内部控制审计报告。注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,需要对财务报告内部控制发表否定意见。注册会计师出具否定意见的内部控制审计报告,还需要包括下列重大缺陷的定义、重大缺陷的性质及其对财务报告内部控制的影响程度。

3.无法表示意见的内部控制审计报告。注册会计师只有实施了必要的审计程序,才能对内部控制的有效性发表意见。注册会计师审计范围受到限制的,需要解除业务约定或出具无法表示意见的内部控制审计报告,并就审计范围受到限制的情况,以书面形式与董事会进行沟通。

注册会计师在出具无法表示意见的内部控制审计报告时,需要在内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效性发表意见,并单设段落说明无法表示意见的实质性理由。注册会计师不应在内部控制审计报告中指明所执行的程序,也不应描述内部控制审计的特征,以避免对无法表示意见的误解。注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的,需要在内部控制审计报告中对重大缺陷做出详细说明。

4.期后事项与非标准内部控制审计报告。在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前(以下简称期后期间)内部控制可能发生变化,或出现其他可能对内部控制产生重要影响的因素。注册会计师需要询问是否存在这类变化或影响因素,并获取企业关于这些情况的书面声明。

注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的,需要对财务报告内部控制发表否定意见。注册会计师不能确定期后事项对内部控制有效性的影响程度的,需要出具无法表示意见的内部控制审计报告。

在出具内部控制审计报告之后,如果知悉在审计报告日已存在的、可能对审计意见产生影响的情况,注册会计师需要按照《中国注册会计师审计准则第1332号——期后事项》的规定办理。

审计指引第三十四条和第三十五条要求注册会计师编制内部控制审计工作底稿,完整记录审计工作情况。