审计 评估 咨询
服务热线:13920599695
建立健全和实施有效的内部控制,在企业经营管理活动中,具有极其重要的意义:
1.加强内部控制是建立现代企业制度的要求。
2.加强内部控制是企业正确决策的组织保障。
3.加强内部控制是贯彻执行政策法规的保证。
4.加强内部控制是保证会计信息真实准确的基础。
5.加强内部控制是保证企业资产安全完整的手段。
6.加强内部控制是激励职工不断创新的推动力。
1、《中华人民共和国公司法》
2、《中华人民共和国会计法》
3、《企业内部控制基本规范》及配套指引
4、企业内部控制审计指引实施意见(2026年1月29日修订)
5、《关于做好2025年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅监督〔2025〕24号)
6、内部控制 整合框架(2013)
内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
1.合理保证企业经营管理合法合规。
2.堵塞漏洞、消除隐患,防止并及时发现、纠正错误及舞弊行为,保护单位资产的安全、完整。
3.规范单位会计行为,保证财务报告及相关信息真实完整。
4.提高经营效率和效果,促进企业实现发展战略。
企业风险管理与内部控制是一个动态、不断反馈与完善的过程。
结合企业风险管理视角下COSO模型,我们认为可以从“组织架构、授权体系、制度体系、实际执行”等四个关键维度,首先诊断了解公司的内控管理现状,识别与分析风险、挖掘管理重点后,开展全面审计工作。具体路径如下图所示:
各单位根据相关法律法规、企业内部控制规范及配套办法,结合本单位实际经营情况制定本单位内部控制制度。
|
序号 |
名称 |
内容 |
|
1 |
组织架构 |
企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。 |
|
2 |
发展战略 |
企业在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的长远发展目标与战略规划。 |
|
3 |
人力资源 |
企业组织生产经营活动而录(任)用的各种人员,包括董事、监事、高级管理人员和全体员工。 |
|
4 |
社会责任 |
企业在经营发展过程中应当履行的社会职责和义务,主要包括安全生产、产品质量(含服务,下同)、环境保护、资源节约、促进就业、员工权益保护等。 |
|
5 |
企业文化 |
企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神,以及在此基础上形成的行为规范的总称。 |
|
6 |
资金活动 |
企业筹资、投资和资金营运等活动的总称。 |
|
7 |
采购业务 |
企业购买物资(或接受劳务)及支付款项等相关活动。 |
|
8 |
资产管理 |
企业拥有或控制的存货、固定资产和无形资产。 |
|
9 |
销售业务 |
企业出售商品(或提供劳务)及收取款项等相关活动。 |
|
10 |
研究与开发 |
企业为获取新产品、新技术、新工艺等所开展的各种研发活动。 |
|
11 |
工程项目 |
企业自行或者委托其他单位所进行的建造、安装工程。 |
|
12 |
担保业务 |
企业作为担保人按照公平、自愿、互利的原则与债权人约定,当债务人不履行债务时,依照法律规定和合同协议承担相应法律责任的行为。 |
|
13 |
业务外包 |
企业利用专业化分工优势,将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织(以下简称承包方)完成的经营行为。 |
|
14 |
财务报告 |
反映企业某一特定日期财务状况和某一会计期间经营成果、现金流量的文件。 |
|
15 |
全面预算 |
企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。 |
|
16 |
合同管理 |
企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议。 |
|
17 |
内部信息传递 |
企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。 |
|
18 |
信息系统 |
企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。 |
控制序列:
企业内控建设应当以经营的效率与效果为主导目标,以财务报告可靠、资产安全与经营合规为三个保障目标,在此基础上,建设实务将围绕内控组织的设置与内控建设的五要素展开。
组织是体系运行的基本保障。通常的内控组织包括董事会与经营层两个层面,强调内部控制的建设与实施是董事会的责任,并且下设审计(风险)管理专门委员会加强管理。此外,内控组织的设置特别强调经理层是企业内控建设的具体实施者与责任人,各经营管理部门按照职能归口进行内部控制的建设与实施。
内部环境是企业内部控制建设与运行的载体,在建设内部控制机制时,首先要诊断与完善内部环境。一方面,内部环境的完善可以为控制活动的设计与运行奠定基础,另一方面,内部环境的诊断可以加强控制活动与内部环境的匹配性,有利于控制活动的顺畅运行。
通常,内部环境的诊断与完善包括六个方面的内容:治理结构、机构设置、权责分配、内部审计、人力资源政策、企业文化。其中,机构设置、权责分配与内部审计的定位三个方面必须先行完善,后续的控制活动设计与运行才会顺畅。治理结构、人力资源政策与企业文化三个方面,可以伴随控制活动的运行同步完善。
风险评估是内部控制体系化建设的重要表现,是后续内控措施设计的重要依据。根据成本效益原则,企业应当针对评估的重要风险强化内部控制措施,有效降低风险。对于次要风险,企业应当简化控制活动与流程设计,承担相关的风险,体现经营的效率与效果为主导目标的内控建设理念。
风险评估包括风险辨识与风险评估两个阶段:
1.在风险辨识阶段,围绕内部控制目标识别影响目标实现的不确定性因素,辨别企业风险并进行分类,形成企业的风险管理库。通常,企业的风险可以划分为战略风险、市场风险、运营风险、财务风险与法律风险五类,并在此基础上进一步细分。
2.在风险评估阶段,当运用二维风险评估坐标图,从影响程度与发生频率两个维度评估风险,并将风险点界定为重大风险、中风险与低风险。依据行业特点与目标设置等确定风险评估的标准,评估标准应当注意定量与定性标准相结合。
在实务中我们强调,处于不同行业的企业,或是同一行业的不同企业,或是同一企业处于不同的发展阶段,其风险评估结果各不相同。为此,企业应当至少每年评估一次风险,及时发现新环境、新业务带来的新风险,动态地调整风险评估结果,进而动态地调整控制活动规范,让原本静止的内控制度动起来,始终踏上企业发展的节奏。
控制活动是内控体系实施的核心要素,企业在规范控制活动的过程中,形成内部控制政策与程序手册(下简称内控手册)。
在设计控制活动时,树立与经营管理活动相融合的设计理念,首先界定企业的控制活动循环,然后将内部控制措施嵌入控制活动中,完善经营管理活动的制度流程设计,形成企业的内控手册。内控手册分模块设计,每一模块一般包括五个方面的内容:
第一,管理目标。围绕内部控制的目标,企业在设计内控手册时,首先应当明确控制活动的管理目标。例如采购付款循环,其管理目标应当包括保障物资供应、提高采购效率、降低资金占用、控制采购成本、保证核算准确等。
第二,管理机构及职责。该部分将控制活动涉及的组织及职责清晰界定,以确保后续流程运行的顺畅性。
第三,授权审批矩阵。该部分应当明确控制活动涉及的所有权限在董事会、经理层与各职能部门间的划分,并且明确各级审批责任。
第四,控制活动要求。该部分一般以制度文本的形式书写,明确控制活动各控制环节的内控要求,作为相关经营管理流程设计的基础。
第五,比照上述几部分,各经营管理部门应当重新梳理与完善业务流程,针对关键风险点强化控制措施,确保组织职责、授权审批、内控要求落实到经营流程中,保证管理目标的实现。
在内控手册的设计过程中,特别强调与企业现有的经营管理活动相融合的设计理念,切忌脱离原有制度流程设计孤立的内控手册。
信息与沟通是指在内控建设中,保证在恰当的时机让恰当的岗位获取适当的信息。信息与沟通的设计应当贯穿于内部环境、风险评估与控制活动的始终,例如风险评估报告的报告程序,控制活动中的控制文档设计,都体现了信息与沟通要素的建立与健全。
内部监督置于五要素之末,是内控管理闭环的体现。为此,内部监督也可以视为五要素之首,是内部环境、风险评估、控制活动、信息与沟通要素持续完善的基础。内部监督手段包括风险预警、内部评价与绩效考核,三者缺一不可。
风险预警是较新的管理工具,通过预警指标的报告与跟踪,可以突破企业传统的内部审计在时间与空间上的限制,运用现代企业高效的信息集合手段,帮助管理层从浩如烟海的数据中提炼关键信息,捕捉企业易于忽略或是下级管理者企图隐瞒的临界数据,及时发现并采取措施防范风险。风险预警系统的设计包括选择指标项、设定临界值、跟踪分析报告与修正临界数据四项工作。企业应当结合自身的行业特点与管理重点设定风险预警指标,并且逐步积累临界值。
内部控制的自我评价是基本规范的要求,也是内部审计的重要组成部分。内部评价手段完善的关键是建立评价标准与评价流程,明确内控缺陷的认定标准,规范评价报告。
此外,绩效考核强调将内部控制建设与运行的有效性纳入企业的绩效考核,以促进内控体系的实施。
