《先进医疗器械与康复辅具公司内部控制评估【参考】.docx》由会员分享,可在线阅读,更多相关《先进医疗器械与康复辅具公司内部控制评估【参考】.docx(138页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、泓域/先进医疗器械与康复辅具公司内部控制评估先进医疗器械与康复辅具公司内部控制评估xxx(集团)有限公司目录一、 项目概况4二、 公司概况6公司合并资产负债表主要数据7公司合并利润表主要数据7三、 组织架构7四、 企业文化13五、 控制的层级制度17六、 内部环境如何发挥作用19七、 内部控制缺陷的认定20八、 内部控制评价的组织与实施22九、 内部监督的内容32十、 内部监督比较39十一、 审计范围与审计目标40十二、 评价控制缺陷与报告42十三、 内部控制的种类46十四、 控制活动的基本原理51十五、 运营分析控制52十六、 财产保护控制58十七、 控制手段类业务流程60十八、 控制活动类
2、业务流程66十九、 公司治理的特征82二十、 公司治理的影响因子84二十一、 内部控制的演进89二十二、 内部控制演进过程总结103二十三、 公司治理原则的内容105二十四、 公司治理原则的概念111二十五、 项目风险分析112二十六、 项目风险对策114二十七、 组织架构分析116劳动定员一览表117二十八、 法人治理118二十九、 SWOT分析131一、 项目概况(一)项目基本情况1、承办单位名称:xxx(集团)有限公司2、项目性质:技术改造3、项目建设地点:xxx4、项目联系人:姜xx(二)主办单位基本情况公司满怀信心,发扬“正直、诚信、务实、创新”的企业精神和“追求卓越,回报社会” 的
3、企业宗旨,以优良的产品服务、可靠的质量、一流的服务为客户提供更多更好的优质产品及服务。本公司秉承“顾客至上,锐意进取”的经营理念,坚持“客户第一”的原则为广大客户提供优质的服务。公司坚持“责任+爱心”的服务理念,将诚信经营、诚信服务作为企业立世之本,在服务社会、方便大众中赢得信誉、赢得市场。“满足社会和业主的需要,是我们不懈的追求”的企业观念,面对经济发展步入快车道的良好机遇,正以高昂的热情投身于建设宏伟大业。公司始终坚持“人本、诚信、创新、共赢”的经营理念,以“市场为导向、顾客为中心”的企业服务宗旨,竭诚为国内外客户提供优质产品和一流服务,欢迎各界人士光临指导和洽谈业务。公司不断建设和完善企
4、业信息化服务平台,实施“互联网+”企业专项行动,推广适合企业需求的信息化产品和服务,促进互联网和信息技术在企业经营管理各个环节中的应用,业通过信息化提高效率和效益。搭建信息化服务平台,培育产业链,打造创新链,提升价值链,促进带动产业链上下游企业协同发展。(三)项目建设选址及用地规模本期项目选址位于xxx,占地面积约94.00亩。项目拟定建设区域地理位置优越,交通便利,规划电力、给排水、通讯等公用设施条件完备,非常适宜本期项目建设。(四)项目总投资及资金构成本期项目总投资包括建设投资、建设期利息和流动资金。根据谨慎财务估算,项目总投资44895.47万元,其中:建设投资37064.29万元,占项
5、目总投资的82.56%;建设期利息433.98万元,占项目总投资的0.97%;流动资金7397.20万元,占项目总投资的16.48%。(五)项目资本金筹措方案项目总投资44895.47万元,根据资金筹措方案,xxx(集团)有限公司计划自筹资金(资本金)27182.18万元。(六)申请银行借款方案根据谨慎财务测算,本期工程项目申请银行借款总额17713.29万元。(七)项目预期经济效益规划目标1、项目达产年预期营业收入(SP):92000.00万元。2、年综合总成本费用(TC):71180.84万元。3、项目达产年净利润(NP):15252.52万元。4、财务内部收益率(FIRR):27.38%
6、。5、全部投资回收期(Pt):4.91年(含建设期12个月)。6、达产年盈亏平衡点(BEP):30158.85万元(产值)。(八)项目建设进度规划项目计划从可行性研究报告的编制到工程竣工验收、投产运营共需12个月的时间。二、 公司概况(一)公司基本信息1、公司名称:xxx(集团)有限公司2、法定代表人:姜xx3、注册资本:1350万元4、统一社会信用代码:xxxxxxxxxxxxx5、登记机关:xxx市场监督管理局6、成立日期:2014-4-177、营业期限:2014-4-17至无固定期限8、注册地址:xx市xx区xx(二)公司主要财务数据公司合并资产负债表主要数据项目2020年12月2019
7、年12月2018年12月资产总额15473.2712378.6211604.95负债总额5751.754601.404313.81股东权益合计9721.527777.227291.14公司合并利润表主要数据项目2020年度2019年度2018年度营业收入73246.3658597.0954934.77营业利润14228.9111383.1310671.68利润总额12945.3510356.289709.01净利润9709.017573.036990.49归属于母公司所有者的净利润9709.017573.036990.49三、 组织架构在我国内部控制框架中,组织架构、发展战略、人力资源、社会责
8、任和企业文化均属于企业层面的控制(环境控制或基础控制),其风险及应对有别于业务层面的控制(应用控制)。(一)组织架构的内涵及风险应对1、组织架构影响因素分析2010年,五部委联合发布了企业内部控制配套指引。18个企业内部控制应用指引(简称应用指引)中有5个属于企业层面的内部环境类指引,包括组织架构、发展战略、人力资源、社会责任和企业文化。应用指引中内部环境类指引与基本规范中内部环境构成因素一一对应,同时,丰富了基本规范的内涵并提升了我国内部环境构成因素体系的层次。组织架构指引认为组织架构是一项制度安排,明确了股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作
9、程序和相关要求,主要包括治理结构和内部机构设置。机构设置与权责分配互为因果,内部审计本身就属于组织的内部机构,因此,组织架构应包括治理结构、机构设置、权责分配和内部审计四个因素。在治理结构上,将股东大会纳入内部环境范畴(如发展战略方案需经股东会批准实施)。内部环境类指引紧扣发展战略做文章,企业要实施发展战略,必须要有科学的组织架构,履行一定的社会责任,配置合理的人力资源,形成积极向上的企业文化。从发展战略角度看,企业的根本目的不是利润最大,也不仅仅是企业价值最大,而是更广义的社会责任最大。企业应履行社会责任,实现战略目标。2、组织架构的主要风险组织架构的风险主要来自两方面。(1)治理结构形同虚
10、设,缺乏科学决策、良性运行机制和执行力,可能发生经营失败(2)内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失,运行效率低下。3、组织架构风险的主要应对措施针对以上风险采取的主要应对措施有以下几个。(1)企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡机制。同时企业在重大决策、重大事项、重要人事任免及大额资金支付业务等(即通常所说的“三重一大”)方面,应当按照规定的权限和程序实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策意见。(2)企业应当按照科学、精简
11、、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。(3)企业应当根据组织架构的设计规范,对现有治理结构和内部机构设置进行全面梳理,确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。(4)拥有子公司的企业,应当建立科学的投资管控制度,通过合法有效的形式履行出资人职责、维护出资人权益,重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系
12、建设等重要事项。对子公司控制一直是企业集团层面关注的一个重要问题,组织架构应用指引在综合调研的基础上提出此项要求,对实务操作具有重要指导作用。(二)治理结构公司制企业中股东大会(权力机构)、董事会(决策机构)、监事会(监督机构)、总经理层(日常管理机构)这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架,但并不能满足内部控制对企业组织结构的要求,内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。企业内部控制基本规范第十四条规定:企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成
13、科学有效的职责分工和制衡机制。因此,企业应当根据国家有关法律法规,结合企业自身股权关系和股权结构,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序;确保决策、执行和监督相互分离、有机协调;确保董事会、监事会和经理层能够按照法律、法规和企业章程的规定行使职权。企业应当在企业章程中规定股东大会对董事会的授权原则,授权内容应当明确具体。(三)机构设置及责权分配任何企业要达成其整体目标,必须构建一定的组织机构。企业的组织机构提供了计划、执行、控制和监督活动的框架,确立了适当的沟通和协调渠道,保证了组织中成员具有与其所履行职责相适应的知识、经验和能力。对于企业而言,要根据公司的具体发展
14、战略确定组织结构。企业内部控制基本规范第十四条要求企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权力与责任落实到各责任单位。组织机构是通过提供完整的架构作用于组织实现其目标的能力;是规定组织内部责任与授权的线型结构;是确认责任分配和授权的关键领域;功能是确认报告路径:机构设置必须覆盖计划、执行、控制、监督等组织活动的全部,其中,控制与监督的区别是,控制是保证正确执行计划的组织安排,而监督是控制有效的组织安排;组织结构设计的哲学意义是“是什么”“做什么”“如何做”;机构设置要保证合理的流水线模式,部门设置少一个不够用、多一个又冗余,部门功能必须是线型的、支持的,而非拦截的。关键
15、回答三个问题:所有的事是否都有人做?行为者是否充分授权行事?所有行为是否有人承担责任?组织结构设计不确定:对权力定义不清或定义错误,导致权力的涣散。权力与责任不对称,权力结构不稳定,权力成为公开招标物导致权力者互相冲突和耍政治手腕。企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权力与责任落实到各责任单位。企业应当通过编制内部管理手册,使全体员工了解内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。按照基本规范的要求,机构设置及内控职责分工如下:(1)监事会对董事会建立与实施内部控制进行监督。(2)监事会对董事会建立与实施内部控制进行监督。(3)经理层负责组织
16、领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。(4)审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。(四)内部审计内部审计是公司内部的一种独立客观的监督、评价和咨询活动,通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和提出建议,促进改善公司运行的效率效果、实现公司发展目标。企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部
17、控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。四、 企业文化企业文化是指企业在生产经营实践中逐步形成的、被整个团队所认同并遵守的价值观、经营理念和企业精神,以及在此基础上形成的行为规范的总称。良好的企业文化对企业有直接的促进作用。根据经验得知,各项制度都有失效的时候,而当制度失效的时候,企业经营靠的就是企业文化。它作为一个企业的中枢神经,支配着人们的思维方式、行为方式。建设企业文化,培育积极向上的价值观、诚实守信的经营理念、为社会创造财富并积极履行社会责
18、任的企业精神,可以增强员工对企业的认同感,增强企业的竞争力。企业内部控制基本规范第十八条规定,企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。在我国,关于企业文化的表现形式最流行的观点是将其划分为4个方面:物质文化、行为文化、制度文化和精神文化。企业物质文化是指以客观物体及其相应组合为表现形式的文化。它由企业的物质环境、生产设备、最终产品与包装设计等构成。由于物质文化的表现形式相对直观、容易“触摸”,所以,物质文化也被称为“表层文化”。如日本丰田汽车表现出的是省油“小型”“质量可靠”的文化;IBM计算机表现
19、出的则是“经典”“可靠”“性能优异”的文化。企业行为文化是指企业员工在生产经营、学习娱乐中产生的活动文化。它包括企业经营、教育宣传、人际关系活动、文娱体育活动中产生的文化现象。它是企业经营作风、精神面貌、人际关系的动态体现,也是企业精神、企业价值观的折射。行为文化比物质文化“隐藏”得相对深一些。但也比较容易观察与感知,所以它仍然属于“浅层文化”。如海尔的售后服务人员及时、快速、优质的售后服务行为,所表现出的“真诚到永远”的文化。企业制度文化是由企业制度形态、组织形态和管理形态构成的外显文化,一般包括企业的经营制度和企业的管理制度。一方面,它是精神文化这一抽象东西的具体体现;另一方面,它也是指导
20、和约束员工行为文化和物质文化建设的纲领性东西。制度文化是精神文化与物质文化的“中介”,属于“中层文化”。企业精神文化是指在内外部环境的影响下,企业在长期的生产经营过程中形成的精神成果和文化观念。它主要由经营哲学、道德观念以及企业价值观等因素构成。它是企业各种活动的指导思想,属于“核心文化”。企业文化是企业的灵魂,渗透于企业的一切经营管理活动之中,是推动企业持续发展的不竭动力。(一)企业文化的主要风险企业应当明确企业文化面临的主要风险,以及这些风险可能导致的后果。(1)企业缺乏积极向上的企业文化,导致员工丧失对企业的信心和认同感,缺乏凝聚力和竞争力。(2)缺乏开拓创新、团队协作和风险意识,导致企
21、业发展目标难以实现,影响可持续发展。(3)企业缺乏诚实守信的经营理念,导致舞弊事件的发生,造成企业损失,影响企业信誉。(二)企业文化风险的应对措施针对上述风险及影响,企业采取的应对措施包括以下几个方面。(1)积极培育具有自身特色的企业文化,充分体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神,以及团队协作和风险防范意识,以此引导和规范员工行为,打造以主业为核心的企业品牌,形成整体团队的向心力,促进企业长远发展。这项应对措施同时也表明,打造企业主业品牌应当作为企业文化建设中的重要内容。(2)重视并购重组后的企业文化建设,平等对待被并购方的员工,促进并
22、购双方的文化融合。这是基于当前企业并购实务中企业文化融合问题特别提供的指引,应引起相关企业的高度重视。(3)要求董事、监事、经理和其他高级管理人员在企业文化建设中发挥主导和垂范作用,以自身的优秀品格和脚踏实地的工作作风,带动影响整个团队,共同营造积极向上的企业文化环境。这充分说明,企业文化建设既要注重“上下结合”,更应注重企业治理层和经理层的示范作用。(4)要求企业加强企业文化的宣传贯彻,促进文化建设在内部各层级的有效沟通,并确保全体员工共同遵守;同时,要求企业文化建设融入生产经营全过程,切实做到文化建设与发展战略的有机结合,增强员工的责任感和使命感,规范员工行为方式,使员工自身价值在企业发展
23、中得到充分体现。也就是说,企业文化建设不能停留在企业最高层,不能停留在文本上,不能停留在泛泛的宣贯上,不能脱离生产经营过程,不能背离发展战略,而应融入企业的肌体、汇入企业的血脉。五、 控制的层级制度内部控制不是在真空中存在的,它涉及人员、政策和程序,是对组织自身的一种控制环境。内部控制是主观的,因为它依赖于管理层认为控制有多重要,是否选择有效的战略,如何监督和实施控制。内部控制的每一个有意义的检查都必须考虑环境。由管理层建立的内部环境会对一个组织的控制程序与技术的有效性产生重要的影响。控制环境的形成会受到很多因素的制约。有些因素清晰可见,如正式的公司政策声明或内部审计职能。有些因素是无形的,如
24、职业胜任能力和人员的诚实性。国际注册内部控制师通用知识与技能指南把内部控制视为一个三级分类的控制层级制度。在层级制度的顶端是内部环境,即“公司治理”另外两个层级控制措施的执行与效果。在内部环境控制之下是系统控制,最底层的是交易处理控制。控制措施的有效性是从内部环境开始向下移动的。换句话说,如果环境控制是薄弱的,其他层级的控制将不会有效。例如,如果管理层不创建一个希望员工能保护数据安全性的环境,员工或许不关心保存密码的重要性。在一个松散的内部环境控制中,个人可能把密码标签贴在计算机终端上。如果对系统的控制措施是薄弱的,交易处理的控制措施将同样是薄弱的。有效地控制是董事会和组织中每个员工的责任。管
25、理层创建一个内部环境是很重要的,在这一环境中每个员工都认为控制是很重要的,并且成为控制的积极参与者,以确保那些需要控制的事项真正得到控制。执行管理层有责任创建有益于控制措施实施、监督控制和处罚违反控制行为的环境。在创建控制措施并确保控制措施得到贯彻执行方面,管理层必须提出有效的内部环境控制的属性和管理层的职责。董事会负有监督内部环境的责任,并强调解决违反控制的行为。董事会应当要求首席执行官提供内部环境的适当保证。所有重大的违反控制的行为和对这些行为采取的纠正行动都应当通知董事会。为了有助于实现这些控制职责,董事会任命独立审计师和内部审计师帮助他们评价控制措施是否适当,并保证他们遵守控制措施。中
26、级管理层有责任对他们的职能领域建立控制目标。例如,信息技术部门可能设立一个控制目标,要求所有软件在安装进入系统之前,应接受单独的测试;应收账款管理部门可能设立一个目标,要求所有已开发票的物品,不管是款项已收讫还是需要催收,都应该在应收款项中予以适当地记录。员工有责任执行和操作控制措施。在大多数的组织内,信息技术部门职员的工作涉及职能领域中的全体员工,这有助于信息技术部门确定所需要控制的程度。六、 内部环境如何发挥作用内部环境经常被称为公司治理的一部分,并且被视为是将那不同的相关活动维系在一起的“胶水”。也许你正在某种环境中工作,已经识别出无法很好开展工作的有关活动。例如,一个部门可能急需某种产
27、品,但无法立刻得到,因为在适当的采购计划文书完成审批之前,采购部门不能订购相关产品。我们举一个简单的例子来说明内部环境是如何为保证所有团队在一起工作并为完成组织使命提供基础的。案例中是一个零售组织典型的商业循环。该组织采购商品用于销售;采购的商品销售给客户;开发票给客户;然后回收资金。收回的资金再次被用于重复这样的循环周期。内部环境有助于保证为相关的但又各自不同的活动建立重叠的控制目标。例如,某一重叠的控制目标包括为销售给客户的所有物品开出发票,并且不再采购那些客户不需要的物品。七、 内部控制缺陷的认定1、内部控制缺陷的分类对于内部控制缺陷的分类,在第一节“内部监督”中已做相关阐述,这里不再赘
28、述。需要强调的是,企业对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价部门或机构进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。对于按严重程度分类的内部控制,内部控制评价部门或机构和管理层应当合理确定相关目标发生偏差的可容忍水平,从而对严重偏离的情形予以确定。2、内部控制认定程序与整改如果评价工作人员在实施测试中发现控制差异,应分析差异是否属于控制缺陷并评价其严重程度。如果审查了解控制差异的起因和结果后,断定控制目标未能达到。同时,评价工作组人员不能通过增加其他测试程序证明已发现的差异不能代表所有内控的情况,将形成缺陷的结论。管
29、理层应评价其严重程度并在其年度自我评价报告中披露,同时,有责任对有关控制缺陷进行整改,做出补救措施。由于控制缺陷可以分为设计缺陷和执行缺陷,因此,整改方案应根据缺陷的不同类别制定不同的整改方法。对于需整改的内控设计缺陷,企业需在已有的内控管理制度体系中补充相关规定或修改原有规定,按照企业既定的管理制度报批程序对做出的补充或修改进行审批。对于需整改的内控执行缺陷,企业需加强内控的执行力度,要求控制执行人严格按照相关规定执行。对于重大缺陷和重要缺陷的整改方案,应向董事会(审计委员会)、监事会或经理层报告,并由董事会、监事会或经理层审定。如果出现不适合向经理层报告的情形,例如,存在与管理层舞弊相关的
30、内部控制缺陷,内部控制评价组应当直接向董事会(审计委员会)、监事会报告。重要缺陷并不影响企业内部控制的整体有效性,但是应当引起董事会和管理层的重视。对于一般缺陷,可以向企业管理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。八、 内部控制评价的组织与实施内部控制评价是由企业董事会和管理层实施的。进行评价的具体内容应围绕企业内部控制基本规范中提及的内部控制五个要素即内部环境、风险评估、控制活动、信息与沟通、内部监督,以及企业内部控制基本规范及企业内部控制应用指引中的内容。在确定具体内容后,企业应制定内部控制评价程序,对内部控制有效性进行全面评价,包括财务报告内部控制有效性和非财务
31、报告内部控制有效性;同时为内部评价工作形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、关键风险点、采取的控制措施、有关证据资料以及认定结果等;企业还应在评价工作中明确内部控制缺陷的认定准则;完成评价后,企业应当准备一份内部控制自我评价报告,在其年报中进行披露:企业董事会应当对内部控制评价报告的真实性负责。(一)内部控制评价的相关概念内部控制评价一般是指由专门的机构或人员,通过对单位内部控制系统的了解、测试和分析,对其完整性、合理性及有效性提出意见,并进行报告,以利于单位进一步健全和完善内部控制体系。我国企业内部控制基本规范第四十六条指出:企业应当结合内部监督情况,定期对内部控制的有
32、效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。(二)内部控制评价应当遵循的原则根据企业内部控制评价指引第三条的规定,内部控制评价应遵循以下3个原则。1、全面性原则评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。2、重要性原则评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。3、客观性原则评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。(三)内部控制评价的内容根据企业内部控制评价指引的要求,内部控制
33、评价涉及以下7个方面。(1)企业应当根据企业内部控制基本规范、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。(2)企业组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。(3)企业组织开展风险评估机制评价,应当以企业内部控制基本规范有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进
34、行认定和评价。(4)企业组织开展控制活动评价,应当以企业内部控制基本规范和各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。(5)企业组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本企业的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。(6)企业组织开展内部监督评价,应当以企业内部控制基本规范有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本企业的内部控制制度,对内部监督机
35、制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。(7)内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。(四)内部控制评价的程序根据企业内部控制评价指引第十二条的要求,企业应按照内部控制评价办法规定程序,有序开展内部控制评价工作。内部控制评价程序一般包括制订评价控制方案、组成评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。在这里重点讲解制订评价控制方案、组成评
36、价工作组、实施评价工作与测试、汇总评价结果四个环节。1、制订评价控制方案企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。承担内部控制评价的部门或机构应具备以下条件。(1)能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;(2)具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;(3)与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约;(4)能够得到企业董事会和经理层的支持,通常直接接受董事会及其审计委员会的领导和监事会的监督,有足够的权威性来保证内部控制评价工作的顺利开展。内部控制评价部门或机构应根据内部监督情况和要
37、求,制订评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或其授权审批后实施。这是一个进行内部控制评估前的全面计划,提供内部控制评价的效率和效果。2、组成评价工作组内部控制评价部门或机构在评价方案获得批准后,需要组织评价工作组,具体承担内部控制检查评价任务。评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。企业可根据自身的条件建立内部控制培训机制,为评价工作组成员提供培训,使其尽快掌握内部控制知识,熟悉企业业务流程及应关注重点、评价工作流程、方法以及工作底稿准备的要求。对于拥有内部审计
38、部门的企业来说,内审部门很有可能也同样地担当内部控制评价组的工作。但如果企业决定利用外聘会计师事务所为其提供内部控制评价服务,根据企业内部控制基本规范的要求,则该事务所不应同时为企业提供内部控制的审计服务。3、实施评价工作与测试评价工作组需通过了解企业层面基本情况、各业务层面的主要流程,识别有关主要风险后,才能开展实施及测试设计和运行有效性的内部控制工作。(1)了解公司层面基本情况。评价工作组与被评价单位进行充分沟通,了解其经营业务范围、企业文化、发展战略、组织结构、人力资源等内部环境及内部控制内容中五个要素的运作情况。(2)了解各业务层面的主要流程及风险。在这一阶段,评价工作组把工作重点放在
39、主要业务流程上,如资金管理流程、销售流程和采购流程等。为支持评估工作与相关测试有效进行,企业应建立全面文档记录。文档记录可以帮助评价工作组了解各个主要业务领域的流程,识别相关的风险关注点及可能存在的内部控制措施。评价工作组可审阅的内控流程文档可能有以下几种。风险控制矩阵文档。关注点在于复核风险流程的合理性,例如,文档是否包含了流程面临的所有风险、列示的风险是否得到定期或及时的更新、对于各项风险的重要性水平分析是否合理,以及复核控制点的识别,关键控制点、重要控制点、一般控制点的判断是否合适。流程图文档。关注点在于流程图是否与实际操作及风险控制矩阵描述相符合,流程图是否清楚地标示所有风险点及控制点
40、,流程图中责任部门、岗位以及其他管理机构是否表述清晰、表述的流程路径是否清晰、是否存在交叉,以及内容是否涵盖所有流程实际操作及相应的控制活动。审批权限表文档。关注点在于部门及岗位的描述是否准确、权限的划分和设置是否合理。评价工作组应识别业务流程中的关键业务或固有风险,提出对于每一重大流程在交易过程中“可能出错”而产生重大错误的问题在这些控制点上识别降低风险的控制,这些控制应当能够为防止发生重要的错误或者能发现并更正错误提供合理保证。有些控制可能并不显而易见,可能是电子化或者是人工的,并且同时是高层及基层实施。这些关注点将是评价工作组进行设计或运行有效性并做出结论的地方。例如,银行账户管理中,银
41、行账户的开立、变更及撤销未经合理的审批及授权,对于该风险点应该采取相应控制措施,提交给银行的开立账户申请书需要经过公司总经理书面批准(签章),提交给银行的变更账户申请需要经过财务经理和总经理审批,提交给银行的撤销账户申请需要经过财务经理和总经理审批。再以资金管理流程为例,企业面临的一个关键业务风险可能是客户需求的波动,当客户需求下降时,企业收入减少,进而发生资金的短缺并增加对营运资金需求的压力,资金需求将会直接导致银行融资或企业债券融资的增加进而导致企业的财务费用成本增加。固有风险是指假设不存在相关的内部控制,某一业务风险事项发生的可能性。例如,某企业所处行业的性质决定该类企业资金、在建工程与
42、固定资产的交易比存货(通常为一些低值易耗品)的交易更容易出现差错。一些产生经营风险的外部因素也可能影响固有风险,如“节能减排”的目标要求企业投资建立高效率、低消耗的新型生产线,并对旧装备进行技术改造,这些都会影响资金流。在各重要流程中,管理层可能已实施不同程度的控制以应对风险。例如,在资金管理流程、银行账户的开立的风险点中,可能有的控制措施是要求提交给银行的开立账户申请书需要经过公司总经理书面批准或签章。(3)确定检查评价范围和重点。评价工作组根据掌握的情况确定评价范围、检查重点和抽样数量,进行分工与测试。评价范围、方式、程序和频率,将因企业经营业务调整、经营环境、风险水平等因素而异。(4)开
43、展现场检查测试。评价工作组可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法,收集被评价单位内部控制设计与运行是否有效的证据,按照要求填写工作底稿、记录有关测试结果。如果发现内部控制出现缺陷,则需与管理层沟通,对有关缺陷进行认定并进行记录。个别访谈。评价工作组人员可以个别访谈企业或被评价单位的不同人员,了解公司内部控制的现状与运行。个别访谈通常用于企业层面与业务层面评价的阶段。调查问卷。调查问卷多用于企业层面的评价,通过扩大对象范围,如企业中的全体员工,收集简单结果,如对公司企业文化的认同。专题讨论。这是一种集合企业中有关专业人员就内部控制执行情况或控制问题进
44、行的分析和讨论。穿行测试。穿行测试是指在流程中任意选取一项交易为样本,获取原始单据,跟踪交易从最初起源,到会计处理、信息系统和财务报告编制,直到这项交易在财务报表中报告出来的全过程。通过执行“穿行测试”,评价工作人员可获取对一个流程的了解,查找潜在的内控设计问题并识别出相关控制。实地查验。这是一个用于业务层面评价的方法。例如,评价工作人员进行实地盘点以测试企业记录存货的数量,或有关控制的有效性。抽样。抽样方法可以分为随机抽样和其他抽样法。随机抽样一般被认为是最具有代表性或是基于统计学的取样方式,从样本库中抽取一定数量的样本,进行控制测试,以获取有关控制的运行状况。随机选取通常是采用计算机来完成
45、。其他抽样如分层抽样、整群抽样及系统抽样等。比较分析。这是一种通过数据分析,识别评价关注点的方法。例如,通过比较月度的销售情况,识别异常区间,进行检查。审阅与检查。这也是在业务层面评价的常用方法,通过核对有关证据而获取有关控制的运行状况,如选择某些调节表上的差异,追溯到相应的单据记录(如银行对账单)或检查调节表是否有相关负责人签字。4、汇总评价结果评价工作组人员应当在其工作底稿中,记录评价所实施的程序及有关结果。企业内部控制评价工作组应当建立评价质量交叉复核制度,有关评价报告应由评价工作组负责人严格审核确认;与被评价单位进行通报,在提交内部控制评价部门或机构前得到被评价单位相关责任人签字确认。
46、如果在评价工作中发现所有差异,如穿行测试及控制测试中发现的与访谈结果的差异、与流程手册的差异,也应在汇总中适当地记录。企业内部控制评价部门或机构应编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。九、 内部监督的内容(一)内部监督及其职能企业内部监督一般应由内部审计承担。内部审计作为企业内部控制
47、的一部分,能够协调管理层更有效地履行其责任,提高企业的运作效率并增强其活动的附加值。内部审计是由被审计单位内部的机构或人员,对其内部控制的有效性、财务信息的真实完整性以及经营活动的效率和效果等开展的一种评价活动,是与独立审计、政府审计并列的三种审计类型之一。它的目的是发现并预防错误和舞弊,提高企业的运作效率,为企业增加价值。它采取系统化、规范化的方法对企业的内部控制、风险管理进行检查和评价,并提供建议等咨询服务,来提高他们的效率,从而帮助实现企业的目标。企业内部审计的职能如下。(1)监督职能。监督职能是内部审计的基本职能。(2)控制职能。内部审计机构是集团的一个重要职能部门,它独立于其他各部门和其他控制系统,是对其他控制的一种再控制,与其他控制形式相比,更具有独立性、权威性和全面性。内部审计又是内部控制的特殊构成要素,是对内部控制实施的再控制。(3)评价职能。通过内部审计可以熟悉子公司的生产经营情况和财务状况,并且由于内部审计部门独立于子公司,更能客观、公正地评价子公司的管理情况和运行业绩。(4)服务职能。内部审计可以通过事前、事中和事后控制为管理当局的决策、计划、控制提供依据,这些都充分体现了内部审计的服务职能。企业制定内部审计规范,明确审计的范围、责任和计划,以此为基础合理配置审计人员,并要求