《红木家具公司内部监督与评价方案【范文】.docx》由会员分享,可在线阅读,更多相关《红木家具公司内部监督与评价方案【范文】.docx(74页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、泓域/红木家具公司内部监督与评价方案红木家具公司内部监督与评价方案目录一、 内部控制评价的组织与实施3二、 内部控制评价工作底稿与报告13三、 评价控制缺陷与报告15四、 审计范围与审计目标19五、 公司治理与内部控制的区别21六、 公司治理与内部控制的联系23七、 内部控制演进过程总结26八、 内部控制的演进28九、 产业环境分析42十、 必要性分析44十一、 公司简介45十二、 SWOT分析46十三、 法人治理53十四、 项目风险分析67十五、 项目风险对策69发展规划70(一)公司发展规划70根据公司的发展规划,未来几年内公司的资产规模、业务规模、人员规模、资金运用规模都将有较大幅度的增
2、长。随着业务和规模的快速发展,公司的管理水平将面临较大的考验,尤其在公司迅速扩大经营规模后,公司的组织结构和管理体系将进一步复杂化,在战略规划、组织设计、资源配置、营销策略、资金管理和内部控制等问题上都将面对新的挑战。另外,公司未来的迅速扩张将对高级管理人才、营销人才、服务人才的引进和培养提出更高要求,公司需进一步提高管理应对能力,才能保持持续发展,实现业务发展目标。71一、 内部控制评价的组织与实施内部控制评价是由企业董事会和管理层实施的。进行评价的具体内容应围绕企业内部控制基本规范中提及的内部控制五个要素即内部环境、风险评估、控制活动、信息与沟通、内部监督,以及企业内部控制基本规范及企业内
3、部控制应用指引中的内容。在确定具体内容后,企业应制定内部控制评价程序,对内部控制有效性进行全面评价,包括财务报告内部控制有效性和非财务报告内部控制有效性;同时为内部评价工作形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、关键风险点、采取的控制措施、有关证据资料以及认定结果等;企业还应在评价工作中明确内部控制缺陷的认定准则;完成评价后,企业应当准备一份内部控制自我评价报告,在其年报中进行披露:企业董事会应当对内部控制评价报告的真实性负责。(一)内部控制评价的相关概念内部控制评价一般是指由专门的机构或人员,通过对单位内部控制系统的了解、测试和分析,对其完整性、合理性及有效性提出意见,并
4、进行报告,以利于单位进一步健全和完善内部控制体系。我国企业内部控制基本规范第四十六条指出:企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。(二)内部控制评价应当遵循的原则根据企业内部控制评价指引第三条的规定,内部控制评价应遵循以下3个原则。1、全面性原则评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。2、重要性原则评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。3、客观性原则评价工作
5、应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。(三)内部控制评价的内容根据企业内部控制评价指引的要求,内部控制评价涉及以下7个方面。(1)企业应当根据企业内部控制基本规范、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。(2)企业组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。(3)企业组织开展风险评估机制评价,应当以企业内部控制基本规范有关
6、风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。(4)企业组织开展控制活动评价,应当以企业内部控制基本规范和各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。(5)企业组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本企业的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。(6)企业组织开展内部监督
7、评价,应当以企业内部控制基本规范有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本企业的内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。(7)内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。(四)内部控制评价的程序根据企业内部控制评价指引第十二条的要求,企业应按照内部控制评价办法规定程序,有序开展内部控制评价工作。内部控制评价程序一般包括制订评
8、价控制方案、组成评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。在这里重点讲解制订评价控制方案、组成评价工作组、实施评价工作与测试、汇总评价结果四个环节。1、制订评价控制方案企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。承担内部控制评价的部门或机构应具备以下条件。(1)能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;(2)具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;(3)与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约;(4)能够得到企业董事会和经理层的支持,通常直接接受
9、董事会及其审计委员会的领导和监事会的监督,有足够的权威性来保证内部控制评价工作的顺利开展。内部控制评价部门或机构应根据内部监督情况和要求,制订评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或其授权审批后实施。这是一个进行内部控制评估前的全面计划,提供内部控制评价的效率和效果。2、组成评价工作组内部控制评价部门或机构在评价方案获得批准后,需要组织评价工作组,具体承担内部控制检查评价任务。评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。企业可根据自身的条件建立内部控制培训机制,为评价
10、工作组成员提供培训,使其尽快掌握内部控制知识,熟悉企业业务流程及应关注重点、评价工作流程、方法以及工作底稿准备的要求。对于拥有内部审计部门的企业来说,内审部门很有可能也同样地担当内部控制评价组的工作。但如果企业决定利用外聘会计师事务所为其提供内部控制评价服务,根据企业内部控制基本规范的要求,则该事务所不应同时为企业提供内部控制的审计服务。3、实施评价工作与测试评价工作组需通过了解企业层面基本情况、各业务层面的主要流程,识别有关主要风险后,才能开展实施及测试设计和运行有效性的内部控制工作。(1)了解公司层面基本情况。评价工作组与被评价单位进行充分沟通,了解其经营业务范围、企业文化、发展战略、组织
11、结构、人力资源等内部环境及内部控制内容中五个要素的运作情况。(2)了解各业务层面的主要流程及风险。在这一阶段,评价工作组把工作重点放在主要业务流程上,如资金管理流程、销售流程和采购流程等。为支持评估工作与相关测试有效进行,企业应建立全面文档记录。文档记录可以帮助评价工作组了解各个主要业务领域的流程,识别相关的风险关注点及可能存在的内部控制措施。评价工作组可审阅的内控流程文档可能有以下几种。风险控制矩阵文档。关注点在于复核风险流程的合理性,例如,文档是否包含了流程面临的所有风险、列示的风险是否得到定期或及时的更新、对于各项风险的重要性水平分析是否合理,以及复核控制点的识别,关键控制点、重要控制点
12、、一般控制点的判断是否合适。流程图文档。关注点在于流程图是否与实际操作及风险控制矩阵描述相符合,流程图是否清楚地标示所有风险点及控制点,流程图中责任部门、岗位以及其他管理机构是否表述清晰、表述的流程路径是否清晰、是否存在交叉,以及内容是否涵盖所有流程实际操作及相应的控制活动。审批权限表文档。关注点在于部门及岗位的描述是否准确、权限的划分和设置是否合理。评价工作组应识别业务流程中的关键业务或固有风险,提出对于每一重大流程在交易过程中“可能出错”而产生重大错误的问题在这些控制点上识别降低风险的控制,这些控制应当能够为防止发生重要的错误或者能发现并更正错误提供合理保证。有些控制可能并不显而易见,可能
13、是电子化或者是人工的,并且同时是高层及基层实施。这些关注点将是评价工作组进行设计或运行有效性并做出结论的地方。例如,银行账户管理中,银行账户的开立、变更及撤销未经合理的审批及授权,对于该风险点应该采取相应控制措施,提交给银行的开立账户申请书需要经过公司总经理书面批准(签章),提交给银行的变更账户申请需要经过财务经理和总经理审批,提交给银行的撤销账户申请需要经过财务经理和总经理审批。再以资金管理流程为例,企业面临的一个关键业务风险可能是客户需求的波动,当客户需求下降时,企业收入减少,进而发生资金的短缺并增加对营运资金需求的压力,资金需求将会直接导致银行融资或企业债券融资的增加进而导致企业的财务费
14、用成本增加。固有风险是指假设不存在相关的内部控制,某一业务风险事项发生的可能性。例如,某企业所处行业的性质决定该类企业资金、在建工程与固定资产的交易比存货(通常为一些低值易耗品)的交易更容易出现差错。一些产生经营风险的外部因素也可能影响固有风险,如“节能减排”的目标要求企业投资建立高效率、低消耗的新型生产线,并对旧装备进行技术改造,这些都会影响资金流。在各重要流程中,管理层可能已实施不同程度的控制以应对风险。例如,在资金管理流程、银行账户的开立的风险点中,可能有的控制措施是要求提交给银行的开立账户申请书需要经过公司总经理书面批准或签章。(3)确定检查评价范围和重点。评价工作组根据掌握的情况确定
15、评价范围、检查重点和抽样数量,进行分工与测试。评价范围、方式、程序和频率,将因企业经营业务调整、经营环境、风险水平等因素而异。(4)开展现场检查测试。评价工作组可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法,收集被评价单位内部控制设计与运行是否有效的证据,按照要求填写工作底稿、记录有关测试结果。如果发现内部控制出现缺陷,则需与管理层沟通,对有关缺陷进行认定并进行记录。个别访谈。评价工作组人员可以个别访谈企业或被评价单位的不同人员,了解公司内部控制的现状与运行。个别访谈通常用于企业层面与业务层面评价的阶段。调查问卷。调查问卷多用于企业层面的评价,通过扩大对象
16、范围,如企业中的全体员工,收集简单结果,如对公司企业文化的认同。专题讨论。这是一种集合企业中有关专业人员就内部控制执行情况或控制问题进行的分析和讨论。穿行测试。穿行测试是指在流程中任意选取一项交易为样本,获取原始单据,跟踪交易从最初起源,到会计处理、信息系统和财务报告编制,直到这项交易在财务报表中报告出来的全过程。通过执行“穿行测试”,评价工作人员可获取对一个流程的了解,查找潜在的内控设计问题并识别出相关控制。实地查验。这是一个用于业务层面评价的方法。例如,评价工作人员进行实地盘点以测试企业记录存货的数量,或有关控制的有效性。抽样。抽样方法可以分为随机抽样和其他抽样法。随机抽样一般被认为是最具
17、有代表性或是基于统计学的取样方式,从样本库中抽取一定数量的样本,进行控制测试,以获取有关控制的运行状况。随机选取通常是采用计算机来完成。其他抽样如分层抽样、整群抽样及系统抽样等。比较分析。这是一种通过数据分析,识别评价关注点的方法。例如,通过比较月度的销售情况,识别异常区间,进行检查。审阅与检查。这也是在业务层面评价的常用方法,通过核对有关证据而获取有关控制的运行状况,如选择某些调节表上的差异,追溯到相应的单据记录(如银行对账单)或检查调节表是否有相关负责人签字。4、汇总评价结果评价工作组人员应当在其工作底稿中,记录评价所实施的程序及有关结果。企业内部控制评价工作组应当建立评价质量交叉复核制度
18、,有关评价报告应由评价工作组负责人严格审核确认;与被评价单位进行通报,在提交内部控制评价部门或机构前得到被评价单位相关责任人签字确认。如果在评价工作中发现所有差异,如穿行测试及控制测试中发现的与访谈结果的差异、与流程手册的差异,也应在汇总中适当地记录。企业内部控制评价部门或机构应编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内
19、,并追究有关部门或相关人员的责任。二、 内部控制评价工作底稿与报告(一)内部控制评价工作底稿根据企业内部控制评价指引第十一条的要求,内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。(二)内部控制评价报告根据企业内部控制基本规范企业内部控制评价指引的相关规定,企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。1、内部控制评价报告的内容根据企业内部控制评价指引第二十二条的规定,内部控制评价报告至少应当披露下列内容:(1
20、)董事会对内部控制报告真实性的声明;(2)内部控制评价工作的总体情况;(3)内部控制评价的依据;(4)内部控制评价的范围:(5)内部控制评价的程序和方法;(6)内部控制缺陷及其认定情况;(7)内部控制的整改情况及对重大缺陷拟采取的整改措施;(8)内部控制有效性的结论。2、报告时间及要求内部控制评价报告应当报经董事会或类似权力机构批准后与审计报告一起对外披露。企业应当以12月31日作为年度内部控制评价报告的基准日,内部控制评价报告应当在基准日后4个月内报出。企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评
21、价结论进行相应调整。三、 评价控制缺陷与报告(一)评价控制缺陷注册会计师需要评价其注意到的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷。但是,在计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。企业内部控制可能存在重大缺陷情形有:(1)注册会计师发现董事、监事和高级管理人员舞弊;(2)企业更正已经公布的财务报表;(3)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;(4)企业审计委员会和内部审计机构对内部控制的监督无效。财务报告内部控制缺陷的严重程度取决于:控制缺陷导致账户余额或列报错报的可能性;因一个或多
22、个控制缺陷的组合导致潜在错报的金额大小。控制缺陷的严重程度与账户余额或列报是否发生错报无必然对应关系,而取决于控制缺陷是否可能导致错报。评价控制缺陷时,注册会计师需要根据财务报表审计中确定的重要性水平,支持对财务报告控制缺陷重要性的评价。注册会计师需要运用职业判断,考虑并衡量定量和定性因素,同时要对整个思考判断过程进行记录,尤其是详细记录关键判断和得出结论的理由。而且,对于“可能性”和“重大错报”的判断,在评价控制缺陷严重性的记录中,注册会计师需要给予明确的考量和陈述。(二)内部控制缺陷的报告1、对内报告内部控制缺陷报告应当采取书面形式。对于一般缺陷和重要缺陷,通常向企业经理层报告,并视情况考
23、虑是否需要向董事会及其审计委员会、监事会报告;对于重大缺陷,应当及时向董事会及其审计委员会、监事会和经理层报告。如果出现不适合向经理层报告的情形,如存在与经理层舞弊相关的内部控制缺陷,或存在经理层凌驾于内部控制之上的情形等,应当直接向董事会及其审计委员会、监事会报告。企业应根据内部控制缺陷的影响程度合理确定内部控制缺陷报告的时限,一般缺陷、重要缺陷应定期报告,重大缺陷即时报告。2、对外报告我国企业内部控制审计指引第四条规定:注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段
24、”予以披露。内部控制信息披露服务于投资者的权益保护以及投资者对企业投资回报的预期。财务报告之所以是投资决策的重要依据,原因在于它有助于投资者评估企业未来产生现金流量的金额、时间和不确定性从而服务于投资决策。但是,依据财务数据对企业前景的预期能否成为现实、差异的波动方向取决于对未来不确定因素的管控。内部控制的有效性以及缺陷的严重程度决定着它管控未来风险的能力以及预期变为现实的可靠程度。对外披露内控缺陷信息是企业必须承担的义务。但是,无论从法律赋予管理层的义务层面讲,还是受托者对委托者承担的道义责任层面讲,并不是所有的内部控制缺陷都必须对外披露。对外披露的缺陷应该是对投资者制定投资决策、修正以往投
25、资决策产生影响的缺陷信息。缺陷的披露实际上起风险提示的作用,只有较大可能偏离目标且危害程度较严重的缺陷才有必要对外披露。3、注册会计师内部控制审计意见类型企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。具体又可分为无保留意见、带强调段的无保留意见、否定意见和无法表示意见四种类型。(1)无保留审计意见。发表无保留审计意见必须同时符合两个条件:企业按照内部控制有关法律法规以及企业内部控制制度要求,在所有重大方面建立并实施有效的内部控制;注册会计师按照有关内部控制审计准则的要求计划和实施审计工作,在审计过程未受到限制。(2)带强调段的无保留意见。注册会计师认为财务报告内部控制虽不
26、存在重大缺陷,但仍有一项或者多项重大事项需要提请审计报告使用者注意的,应在审计报告中增加强调事项段予以说明。该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对财务报告内部控制发表的审计意见。(3)否定意见。注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,否则应对财务报告内部控制发表否定意见。注册会计师出具否定意见的内部控制审计报告中需包括重大缺陷的定义、重大缺陷的性质及其对财务报告内部控制的影响程度等内容。(4)无法表示意见。注册会计师审计范围受到限制的,应当解除业务约定或出具无法表示意见的内部控制审计报告,在报告中指明审计范围受到限制,无法对内部控制有效性
27、发表意见。注册会计师在已执行的有效程序中发现内部控制存在重大缺陷的,应当在“无法表示意见”的审计报告中对已发现的重大缺陷做出详细说明。四、 审计范围与审计目标内部控制作为企业中一项重要的管理活动,用来促进提高经营的效率效果,实现企业的发展战略。一些国家和地区,如美国、日本、欧盟等对内部控制审计已提出强制性要求。同样,我国企业内部控制基本规范中除了要求企业为其内部控制的设计与运行情况进行全面的评价、披露年度自我评价报告外,在第十条中明确指出:上市公司和非上市大中型企业聘请符合资格的会计师事务所,根据规范及配套办法和相关执业准则,对企业财务报告内部控制的有效性进行审计并出具审计报告。会计师事务所及
28、其签字的从业人员应当对发布的内部控制审计意见负责。为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。(一)内部控制审计的定义内部控制审计是通过对被审计单位的内控制度的审查、分析测试、评价,确定其可信程度,从而对内部控制是否有效做出鉴定的一种现代审计方法。内部控制审计是内部控制的再控制,它是企业改善经营管理、提高经济效益的自我需要。一般地,企业内部审计部门负责内部控制审计,也可以委托不负责年审的会计师事务所开展内部控制审计。(二)内部控制审计的范围内部控制审计的范围限于特定日期与财务报表相关的内部控制。通常,注册会计师对某特定日期的内部控制进行审核。特定日期可以是会计
29、年度结束日,也可以是某中期结束日。注册会计师对某特定日期的内部控制审核时,应在接近于此日期之前的一段时间内对内部控制进行了解和测试,并对该日期的内部控制有效性发表审核意见。(三)内部控制审计的目标1、内控审计目标的具体界定内部控制审计的目标是检查并评价内部控制的合法性、充分性、有效性及适宜性。内部控制的合法性、充分性、有效性及适宜性,具体表现为其能够保障资产、资金的安全,即保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。2、内控审计目标与财务报表审计目标的联系与区别(1)两者的联系。内部控制审计的前四个目标实际就是财务报表审计的具体目标。企业管理层对外提供的资产负债表,表上反映有
30、多少资产,其明示或暗示了这样几个声明:资产负债表上反映的资产是存在的、是完整的、是属于自身的、金额是正确的。相应地,外部财务报表审计的具体目标也就是鉴证企业管理层的这些声明是否属实。(2)两者的区别。财务报表审计直接评价的是财务报表,或者说直接评价资产、资金本身的安全状态,其目标对象是资产、资金本身,而内部控制审计直接评价的是内部控制能否保障资产、资金的安全,其目标对象是内部控制,而资产、资金只是作为中间的观察对象而存在。财务报表审计主要评价财务报表所反映的存量资产、资金的“静的安全”,一般不评价资产、资金的“动的安全”,即不评价资产、资金在流转中的增值性;而由于内部控制既要保障资产、资金“静
31、的安全”,又要保障其“动的安全”,所以内部控制审计既检查资产、资金的“静的安全”,又检查资产、资金的“动的安全”。五、 公司治理与内部控制的区别1、两者的具体目标不同公司治理的目的是保证经济运行系统中的公平和效率,具体地说,就是在所有者(股东)、管理人和其他利益关系人之间建立起合乎公平和效率的经济机制。在这个机制之下,所有者必须提供企业生产经营所需要的基本资金,并享有对企业的最终控制权和剩余分配权;管理者必须尽责工作,不能利用职务之便侵害投资人的利益;企业在追求自身利益的同时不能损害其他利益关系人的权益。而内部控制的目的则是为了保证企业资产安全、会计信息真实完整和经营效率的提高。2、两者的控制
32、主体不同公司治理的主体是股东、董事会、经理层以及其他利益关系人(债权人、社区、政府),包括企业内、外部各有关方面;而内部控制的主体主要是董事会、经理层以及其他员工等,控制主体仅限于公司内部,而且控制重点主要集中于CEO及其之下的业务系统。3、两者所涉及的管理内容不同公司治理的管理内容主要涉及股东、董事会、监事会、总经理之间的委托代理合同关系、控制权的配置(股权结构安排)、剩余分配权的安排等;而内部控制的管理内容主要是环境控制、风险评估、控制活动、信息沟通、内部监督等。4、两者所使用的手段不同公司治理的手段主要有监督和激励两种;而内部控制的手段侧重于职务分离、授权审批、会计系统、财产保护、全面预
33、算、运营分析、绩效考评等控制措施。公司治理在管理思想上重视行为和动机的抑制与激励;而内部控制在管理思想上重视流程控制。5、两者所归属的法规体系不同公司治理的内容主要体现在公司法、证监会颁布的上市公司治理准则、交易所的上市公司治理规则以及企业章程之中;而内部控制则主要体现于会计法和五部委颁布的企业内部控制基本规范、内部控制配套指引以及企业内部控制制度之中。六、 公司治理与内部控制的联系公司治理和内部控制两者之间存在着很多相同点和大部分的相互交叉与重叠区域,在企业的管理实践中,两者存在着一定的关联性。具体在以下几个方面。(一)具有同源性公司治理与内部控制都与现代公司两权分离所引发的代理问题密切相关
34、。由于交易信息的不对称性,以及契约的不完备性直接导致了“委托代理问题”的出现,因而公司治理与内部控制在一定程度上来说具有同源性。两权分离之后,如果所有决策相关信息在委托代理双方之间的分布是均衡的,那么不论经营者与所有者的目标函数一致与否,经营者都不敢做出违背所有者利益的行为。然而现实的情况是信息双方总是处于不对称地位,委托人对代理人的行为、决策并不十分清楚,代理人的行为选择往往会偏离委托人的目标,甚至会严重损害委托人利益。因此,客观上要求有一整套相应的制度安排来解决这种利益冲突,公司治理便应运而生。而内部控制作为一种系统的制约机制,其产生根源同样是所有者与经营者间、企业内部上下级间的信息不对称
35、,当委托人授权代理人从事某项活动时,为了保证代理人的行为能够符合委托人利益最大化的要求,客观上就要求有相应的措施和手段来加以控制。公司治理的核心是要有效地解决在契约不完备时企业剩余控制权和剩余索取权的分配问题,而内部控制在本质上也是为了在节约交易费用的同时增强企业契约的完备性,进而保证企业剩余控制权和剩余索取权能实现最大化。在契约不完备的情况下,对企业控制权优化配置的共同追求,本身也说明了公司治理与内部控制具有同源性。(二)具有共同载体公司治理机制与内部控制制度作为一系列制度安排,要想发挥其作用就必须依附于一定的组织载体。脱离企业这个组织,公司治理与内部控制就好比是“镜中花,水中月”,不论公司
36、治理结构多么完善,也不管内部控制多么健全,都只是凭空而论,不能发挥实际作用,更谈不上实现企业的目标。从另外一个角度看,公司治理的完善与企业内部控制的加强也必须依靠会计信息这个共同载体。真实、完整、及时的会计信息既是实施内部控制的必要前提,也是公司治理发挥作用的基本条件;而只有公司治理机制有效,内部控制健全,才能保证会计信息的真实、完整和及时,两者相辅相成。总之,企业组织和会计信息是公司治理与内部控制的两个共有载体。组织为公司治理与内部控制提供了依附的实体,而会计信息则为依附在组织身上的两种制度安排提供了沟通和交流的平台。两者缺一不可,共同为公司治理与内部控制的互动提供了先决条件。(三)存在着交
37、叉区域首先,控制主体存在交叉性。公司治理的主体是“股东董事会总经理”委托代理链上的各个节点。如吴敬琏教授把公司治理结构定义为由所有者、董事会和高级管理人员组成的一种组织结构。其中董事会是核心,而内部控制的主体是“董事会总经理职能经理执行岗位”委托代理链中的节点,核心在于总经理。因此,董事会和总经理既是公司治理结构的主体,也是内部控制的主体。其次,适用对象的交叉性。在三种基本企业形式中,独资企业和合伙企业只有管理和控制问题,没有治理问题,因为其所有权与控制权通常是合一的。但是对公司制企业来说,公司治理和内部控制问题都存在,需要同时解决治理问题和控制问题,并需要注意两者的有效对接。再次,总目标的一
38、致性。两者的具体目标统一于企业目标之下,即最终实现企业价值最大化。内部控制的目标是公司治理结构目标的进一步延伸和具体化;公司治理结构所追求的公平和效率目标,是建立在内部控制的目标即信息真实、资产安全和效益提高基础上的。否则,在一个虚假信息泛滥、资产被盗严重、管理效率低下的企业中,去实现公司治理的目标无异于痴人说梦。最后,两者在内容上存在关联性。在公司治理结构三种权力的实施过程中,除了监督权主要由股东、监事会行使而独立于企业的业务系统外,决策权和执行权都要落实到具体的部门、岗位和个人,并通过内部控制制度加以规范和管理。七、 内部控制演进过程总结从内部控制概念及理论演变的过程上分析可以推断出以下几
39、点。1、内部控制的目标范围由小到大,目标层次由低到高早期的内部牵制关注于资产的安全与完整、财务信息的可靠性以防弊为主要目标。而制度二分法及结构分析法则在此基础上把内部控制目标延伸到了提高业务效率,促进经营方针、组织计划的贯彻,以防弊和兴利为共同目标。内部控制整体框架则明确提出了内部控制为经营效率、财务信息可靠、遵循性三个方面提供合理保证。ERM框架将目标分为战略目标、经营目标、报告目标及遵循性目标四种类型。在内部控制整体框架基础上增加了战略目标,并将报告目标扩展为企业所有对内和对外报告。ERM框架明确提出终极目标为增加利益相关者的价值。由此可见,内部控制目标日益扩展,层次由管理的业务层上升到自
40、战略层而下的整个管理过程。2、内部控制的架构由一维的扁平结构演变为三维的立体架构制度二分法将内部控制划分为内部管理控制制度与内部会计控制制度,这是一种简单的“扁平式”的分类。内部控制结构首次提出了“结构”的概念,认为内部控制由三个要素组成了一个三角结构。内部控制整体框架在此基础上丰富了要素,并且明确了要素之间的关系和相互作用。ERM框架则提出了立方体的三维结构。四个目标代表水平面,八个要素代表垂直面,企业整体层、部门、经营单元及附属公司代表纵深面。3、内部控制要素由模糊变为清晰且细化内部控制结构首次提出了构成要素,包括控制环境、控制程序及会计制度。内部控制整体框架扩大了要素内容,包括控制环境、
41、控制活动、风险评估、监控以及信息与沟通五大要素,提出了许多之前没有包括的要素,如风险评估及监控。ERM框架对整合框架进行了细化,提出了内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通及监控八个要素。4、内部控制与公司管理的边界越来越融合从内部控制的演变过程可以看到,内部控制从公司管理的职能之一演变为与公司管理逐渐融合。传统的内部控制职能中,内部牵制承担的是控制的一小部分职责,内部会计控制在保护财产安全及财务信息可靠方面发挥控制职能,内部管理控制则注重于与组织计划的相符以及业务效率等方面。演变后的内部控制结构首次提出了控制环境的要素,在控制环境中包括董事会及其专门委员会、管
42、理思想及经营作风,已涉入战略管理的层次,只是被动反映其静态内容。内部控制整体框架除此以外提及的风险评估要素,要求识别对组织目标能产生影响的各种风险进行评估其影响程度及发生的可能性,对以风险为导向的战略管理的相关内容进行初探。ERM框架则全面反映了公司风险管理的具体内容,从战略目标设定时考虑风险一直到风险识别、风险评估、风险应对以及具体的控制活动,该框架隐含的控制已和公司管理相融合,涉及公司管理的所有层次,控制与管理的职能和界限已经模糊。八、 内部控制的演进内部控制起源于内部牵制,其发展演进过程经历了内部控制制度、制度分野、内部控制结构、内部控制整体框架和企业风险管理框架5个阶段。(一)内部控制
43、制度1、内部会计控制概念的提出19291933年的世界性经济危机后,美国于1934年颁布了证券交易法,在证券交易法中首先提出了“内部会计控制”的概念。1936年,美国会计师协会在其发布的注册会计师对财务报表的审查公告中首次提出审计师在制定审计程序时,应审查企业的内部牵制和控制并且从财务审计的角度把内部控制定义为“保护公司现金和其他资产,检查账簿记录事务的准确性,而在公司内部采用的手段和方法”。这是第一次对内部控制进行定义,这里明确规定了内部控制只是作为“会计资料准确性”的保障措施。这反映了作为会计职业界对内部控制工作应解决问题的关注层面,与人们对“内部控制”的理解及当时内部控制的实务是有一定的
44、差距的。因此,这一定义未能为人们所广泛接受,也未引起会计职业界对内部控制应有的重视。2、夯实在评价内部控制基础上的抽样审计1939年1月,美国证券交易委员会对罗宾斯公司审计案做出了结论,指出当时的审计标准(即注册会计师对财务报表审查)是不适当的,审计方法的使用连表面的目的也达不到。这个结论促使美国注册会计师协会建立了审计程序委员会,并于1939年5月提出了名为审计程序的扩展的文件,对当时的审计程序做了修订,其中把强化内部控制制度审计作为主要内容。1941年,美国社会各界已普遍意识到企业内部控制的重要性,认为企业经营范围和规模的变化使得管理必须依靠大量的反映经济活动的分析资料和报告;健全的内部控
45、制有助于防止工作人员出现差错,减少发生不合规现象的可能性;审计部门在审计费用的严格限制下,如果不依靠客户的内部控制系统,那么对大部分企业进行审计是不可能的。在理论上明确了内部控制的主要目标是“防错纠弊”,没有内部控制的企业就不具备基本的审计条件,第一次把内部控制作为现代审计的一个必要前提。但是,有关内部控制至此尚未形成一个权威的定义。3、历史上第一个被广泛接受的内部控制权威定义1949年,美国注册会计师协会所属的审计程序委员会,在其公布的内部控制:一个协调的系统要素及其对管理层和独立公共会计师的重要性的研究报告中,对内部控制做了专门的定义。这个定义成为人类社会有史以来第一个被广泛接受的权威定义
46、,内部控制包括组织的计划和企业为了保护资产、检查会计数据的准确性和可靠性、提高经营效率以及促使遵循既定的管理方针等所采用的所有方法和措施。该报告是从企业经营管理的角度来定义内部控制的,内容不局限于与会计和财务部门直接有关的控制,还包括预算控制、成本控制、定期报告、统计分析、培训计划和内部审计以及技术与其他领域的经营活动,从理论上给出了内部控制的宽泛内涵。该定义得到了公司经理们的普遍赞同,也就是说,审计界给出的内部控制定义从当时管理者的角度来说也是适用的。然而,1949年美国注册会计师协会把内部控制定义为保证目标实现的方法和措施,这是一个理想化的概念,这个定义把内部控制看成万能的工具,即只要实施
47、了内部控制,目标就一定能实现。另外,在财务报表审计中,注册会计师应对内部控制检查到什么程度,该定义在这些方面提供的指导却很少,使得很多从业者对这个近乎无限的内部控制定义感到无所适从。(二)制度分野1、内部控制分为会计控制和管理控制审计界提出内部控制概念的目的是为了满足财务审计的需要,与管理人员对内部控制的理解不一致,因此,审计人员认为1949年的定义内容过于宽泛,超出了他们评价被审计单位所应承担的责任。迫于这种压力,也为了满足审计人员在审计中对内部控制进行检查的业务需要,美国注册会计师协会所属的审计程序委员会于1953年颁发了审计程序说明第19号,对内部控制定义做了正式修正,把内部控制分为会计
48、控制和管理控制,会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此相关的方法和程序构成。会计控制包括授权与批准制度,记账、编制财务报表、保管财务资产等职务分离,财产的实物控制以及内部审计等控制。管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻或与此直接有关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接的关系,包括统计分析、时效研究、经营报告、雇员培训计划和质量控制等。把内部控制分为会计控制和管理控制,目的是为了明确注册会计师审查企业内部控制的范围。2、注册会计师应主要关注会计有关控制1963年,审计程序委员会在审计程序说明第33号中进一步指出,“注册会计师应主要检查会计控制。”会计控制一般对财务记录产生直接的、重要的影响,审计人员必须对它做出评价。管理控制通常只对财务记录产生间接影响,因此审计人员可以不对其做评价,只是在足以影响财务记录可靠性时才予以审计。这次修正后的内部控制定义,大大缩小了注册会计师的责任范围,但对于“会计控制”的保护资产和保证财务