还剩43页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
浙江工业大学硕士学位论文某央企省级公司的内部控制评价体系建设探索研究生学位论文学号研究生姓名学科、专业MBA学院经贸管理学院指导教师浙江工业大学研究生院(筹)制2013年08月11日填目录TOC\o1-3\h\z\u1前言
51.1论文选题的背景、目的和意义
51.2国内外关于该课题的研究现状及趋势
71.3研究计划72控制和内部控制评价相关概念
112.1内部控制和内部控制评价的基本概念
112.2内部控制和内部控制评价理论的历史发展
122.
2.1内部控制的发展历程
122.
2.2国外内部控制理论的最新进展
132.
2.3我国内部控制的最新发展
142.
2.4内部控制评价理论的发展
142.3内部控制的五要素183某央企省级公司的基本情况和内部控制要求
213.1某央企省级公司的基本情况
213.
1.1发展历程
213.
1.2经营范围
213.
1.3资产规模
213.2某央企省级公司建立内部控制的必要性
223.
2.1加强内部控制有利于公司深化体制改革
223.
2.2加强内部控制有利于国有资产的有效管理
223.
2.3加强内部控制有利于适应新的经济环境需要
223.
2.4加强内部控制管理有利于防范经济违法事件的发生234某央企省级公司内部控制评价现状
254.1某央企省级公司内部控制评价的总体情况
254.
1.1内部环境方面
254.
1.2风险评估方面
254.
1.3控制活动方面
264.
1.4信息与沟通方面
274.
1.5内部监督方面
274.2某央企省级公司内部控制评价体系存在的主要问题
274.
2.1企业内部控制的目标不明确
284.
2.2企业领导对内部控制建设不够重视
284.
2.3内部控制风险意识较淡薄,管理体系不完善
284.
2.4内部控制评价制度不够健全
284.
2.5内部控制评价机构不健全,监督乏力
294.
2.6内部控制忽视信息流通295某央企省级公司内部控制评价体系建设构想
315.1总体构想
315.
1.1提出明确的内部控制目标和评价体系实施规划
315.
1.2制定内控评价体系建设指导思想和基本思路
315.
1.3建立与实施内部控制评价应遵循的原则
325.
1.4实施范围
325.2风险的评估与管理
335.
2.1建立风险信息库
335.
2.2规范风险分类体系
335.
2.3制定统一的风险评估规范
335.
2.4收集风险信息
345.
2.5围绕重点领域环节,开展风险识别
345.
2.6围绕确定风险等级,开展风险评估
345.3内部监督
345.
3.1制定统一的执行评价规范
355.
3.2建立内控执行责任机制
355.
3.3建立内控评价改进机制
355.
3.4完善协同监督机制
355.4组织保障和实施安排
365.
4.1组织保障
365.
4.2实施步骤376结论与启示39参考文献41附录43致谢45某央企省级公司的内部控制评价体系建设探索1前言
1.1论文选题的背景、目的和意义美国安然公司倒闭案和世通公司财务欺诈案,促使企业的风险管理问题受到全社会的关注2002年7月,美国国会通过萨班斯法案,要求所有在美国上市的公司必须建立和完善内控体系该法案被称为是美国自1934年以来最重要的公司法案,在其影响下,世界各国纷纷出台类似的方案,加强公司治理和内部控制规范,加大信息披露的要求,加强企业全面风险管理中国在内部控制方面的研究始于20世纪80年代一些学者将风险管理和安全系统工程理论引入中国,在少数企业中试用并取得比较满意的效果但中国大部分企业缺乏对风险管理的认识,也没有建立专门的风险管理机构并进行制度建设2006年经国务院批准,成立了企业内部控制标准委员会同年6月6日,国资委发布了《中央企业全面风险管理指引》,这是我国第一个全面风险管理和内部控制方面的指导性文件,意味着中国走上了风险管理的中心舞台2008年6月28日,财政部、证监会、审计署、银监会、保监会等五部门联合发布了《企业内部控制基本规范》,并自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行《规范》的发布,标志着我国企业内部控制规范体系建设取得重大突破,有业内人士和媒体甚至称之为中国版的“萨班斯法案”为推动中央企业扎实开展管理提升活动,加快构建内部控制体系,夯实基础管理工作,促进实现做强做优、培育具有国际竞争力的世界一流企业的发展目标,在前期推广实施内部控制工作的基础上,国资委和财政部以国资发评价〔2012〕68号《关于加快构建中央企业内部控制体系有关事项的通知》,着重要求各中央企业要力争用两年时间,按照《企业内部控制基本规范》和配套指引的要求,建立规范、完善的内部控制体系2006年10月,国家国资委针对中国国有企业管理中普遍存在的“六乱”现象,即乱投资、乱担保、乱扩张、乱理财、乱借款、乱放权,正式印发了《中央企业全面风险管理指引》《指引》要求,企业应本着从实际出发,务求实效的原则,以对重大风险、重大事件(指重大风险发生后的事实)的管理和重要流程的内部控制为重点,积极开展全面风险管理工作该指引是国务院国资委全面落实科学发展观,坚持可持续发展,履行出资人职责,指导和促进企业管理创新,增强企业竞争力,促进企业健康、稳步发展的重要文件同时也是对加强企业的风险管理具有指导意义的一个技术性较强的管理规范某中央企业曾经按照国资委和五部委的要求,分别贯彻落实全面风险管理和内部控制工作,均制定了工作方案和具体措施,并选择了相关的省公司进行试点,以总结经验、推广落实2012年某中央企业根据财政部和国资委对中央企业提出的新要求,要求公司各单位建立以风险管理为导向、内部控制为手段、信息技术为支撑的全面覆盖、全员参与、全程管控、高效协同、防范有力的全面风险管理和内部控制体系旨在实现四个方面的目标一是确保风险控制与公司战略目标相适应并在可承受的范围内,保障资产安全二是确保遵守国家有关法律法规、公司规章制度,保障经营管理合规合法;三是确保财务报告、内外部信息沟通及相关信息真实、可靠;四是确保公司各项决策部署有效执行,提高经营活动的效率和效果,促进战略目标实现随着我国大力推进企业内部控制体系建设,“得控则强,轻控则弱,失控则乱”的管理理念已经深入人心健全、有效的内部控制体系与实施全面风险管理可以有效地防范和规避经营风险,并在企业内部有效地形成预防机制、纠错机制、激励机制和合作机制,通过这些机制的有机结合,有助于保证企业的可持续性发展同时,许多金融危机时的案例也表明了假若企业未能充分利用持续监督程序以支持内部控制有效执行,则会极大导致内控建设和执行的失败,这推动了全球市场监管部门对公司内部控制系统监督问题的进一步关注在此背景下,COSO委员会于2009年1月发布了监督内部控制系统的指南GuidanceonMonitoringInternalControlSystems,以下简称监督指南该指南以风险导向为核心理念,以将监督有效地植入公司的持续控制过程为根本目标,从而能最小化内部控制失败并提高决策所需信息的可靠性,它在实质上推动了内部控制监督要素的应用性发展监督指南包括三卷第一卷指南,提出了监督的特征和目的,并给出了一个有效监督的模型;第二卷应用,是第一卷的具体展开,详细描述了第一卷提出的监督模型的具体应用;第三卷案例介绍了4个小案例和3个综合案例,阐述了指南中所提出的概念在企业的实际应用COSO的监督模型对改进我国企业内部控制具有重要的借鉴意义有鉴于此,本文将在对监督要素概念发展过程进行梳理的基础上,系统地引介了COSO监督模型的核心内涵,并创新性将其应用在公司的内控中内部控制管理是企业为防范控制经营风险、确保健康可持续发展而进行的管理活动,是企业经营管理的重要组成部分从实务上来讲,作为内控五要素之一的监督要素仅停留于概念和原则阐述,未能为企业设计和执行监督程序提供有效的工具,从而成为企业内部控制失败的主要原因因此,借鉴国内外最佳实践,构建完善、高效的内控评价体系,迅速提升内控管理水平,保证公司内控体系的顺利实施,势在必行
1.2国内外关于该课题的研究现状及趋势内控评价和监督作为内部控制系统的要素之一,既与其它要素共同作用以实现内部控制的目标,同时又对整个内部控制系统的运行状况进行监控,它是对控制的再控制1992年COSO委员会发布了内部控制整合框架,在该框架中监督作为内部控制的五要素之一,是指对内部控制系统在一定时期内的运行质量进行评估的过程企业可以通过持续性的监督活动、单独评估或两者并用来实现这个过程2004年,COSO委员会在1992年框架的基础上结合萨班斯奥克斯利法案发布了ERM框架,ERM框架对内部控制的内涵进行了扩展,监督作为企业风险管理的八要素之一,是对企业风险管理进行监控以确定企业风险管理的运行是否有效的过程,监督对象在目标、方法、内容等方面进行了扩展,但仍遵循了内部控制监督的基本原则和方法,如持续监督和单独评估方法的使用,评价的主体、过程和方法,对文档的要求,对报告指引的要求等考虑到较小型上市公司难以承受按大型公司同样的标准执行萨班斯法案404条款,COSO委员会于2006年发布了较小型公众公司财务报告内部控制指南该指南从内部控制整合框架中提炼了20个基本原则,其中的第19和20条原则特别针对监督要素1持续和独立的评估使管理层确定内控的其他要素是否随着时间在继续发挥作用;2及时地识别和沟通内部控制缺陷,将其报告给负责采取纠正行动的部门和恰当的管理层、治理层因此,该指南把监督要素描述成评估内部控制系统在整体应对或减轻企业实现目标的重大风险方面的有效性这样一个过程这个过程观阐明了监督并不是为了对个别的控制要素孤立运行的有效性得出结论,监督可以在不同的层级上运行,即监督的过程观针对上市公司过高的SOX执行成本,COSO委员会认为有必要为有效监督内部控制和遵循萨班斯法案404条款提供更多的指南随着监督越来越成为企业高效运转和可持续性经营的基础性保证机制,监督要素在内部控制系统中的重要性不断加强正是基于上述考虑,COSO委员会于2009年1月发布了监督内部控制系统的指南,专门对监督要素进行了系统、全面的阐述,为企业如何更好地运用监督职能提供了系统的操作指南监督指南提供了监督要素具体应用的原则和方法,以帮助企业更有效地设计、执行和评估监督程序,第一次实现了监督要素从概念阐述到理论模型的跨越式发展
1.3研究计划
(一)论文研究的目标、内容、技术路线本文解剖对象为某央企省级公司,探讨企业如何提高监督的效果和效率,如何建立内控监督评价和绩效体系迅速提升内控管理水平本文通过文献检索、参阅相关专业期刊以及实证案例等展开研究,主要采用以下四种方法
1.文献法在论文撰写初期,拟定论文研究方向,通过查阅相关文献和期刊,从整体上把握企业内控监督评价和绩效体系,梳理自己的认识和理解并提出观点2.实证研究在论文撰写期间,跟踪观察某央企的企业内控监督评价和绩效体系的建设过程,使本文研究与实际紧密结合,保证研究与实际相对应,使得言之有物
(二)论文写作提纲第一部分绪论研究背景、目的和内容;第二部分相关文献与基础理论第三部分某央企内部控制体系概况第四部分某央企内控监督评价体系第五部分结论与展望
(三)拟突破的重点和难点如何将风险评估的技术和方法融入内部控制评价和监督体系的设计中是一个难点,企业并未真正掌握风险评估的技术和方法也未根据风险的可能性和重要性对其进行排序,更不用提在设计监督程序时利用风险评估的结果来提高监督的效率在设计监督程序以获得关于内部控制运行情况的信息时,缺少对关键控制和有说服力的信息的判断,未能根据实际情况的变化来选择监督程序,而是依葫芦画瓢,按部就班,僵化地应用老一套监督程序,造成程序多余或缺失必要的程序,导致监督低效因此,这将成为本文讨论的难点
(四)论文创新之处COSO监督模型能使企业充分运用监督要素,在促进内部控制有效运行的同时有利于降低对外报告的成本新的并购、商业活动和IT系统会使控制系统面临更多的压力,有效的监督是降低企业关键内部控制失效的核心流程,COSO监督模型为此提供了一种通行的方法目前,我国还未针对监督要素出台专门的应用指引,COSO的监督模型对改进我国企业内部控制具有重要的借鉴意义我国自2009年7月1日起施行的企业内部控制基本规范中对监督要素的规定仅是原则层面的,对于企业具体执行监督的指导还远远不够,在其它相关指引中体现的监督要素也缺乏系统性和完整性美国公众公司执行SOX404条款的艰难历程对我国是一个警示,之所以出现企业在披露内部控制有效性时成本过大的问题,重要原因之一在于内部控制系统的监督检查没有规范化,缺乏平时积累如何有效地执行监督程序,并充分利用监督的结果来支持对内部控制的评估是企业值得关注的问题因此,为了指导企业如何提高监督的效果和效率,建立内控监督评价和绩效体系对于贯彻企业内部控制基本规范的理念、维护企业内部控制的执行、促进企业内部控制实施的效果和效率起着承上启下的作用2控制和内部控制评价相关概念
2.1内部控制和内部控制评价的基本概念内部控制的概念从最初内部牵制发展到后来的内部控制框架,经历了多个阶段的发展不同的阶段、国家、法律法规对于内部控制概念的规定也有所不同,下面列出的是不同法规报告中关于内部控制的相关概念1994年,COSO(TheCommitteeofSponsoringOrganizationoftheTreadwayCommission)对其之前发布的《内部控制一—整体框架》报告进行了增补该报告被认为是内部控制理论里程碑式的发展和完善,它认为“内部控制是由董事会、经理阶层和其他员工所实施的为营运效率效果、财务报告的可靠性、相关法规的遵行性等目标的达成而提供合理保证的过程”
[1]2001年6月,财政部发布《内部会计控制规范——基本规范》(下称“基本规范”)基本规范将内部控制定义为“内部控制是指单位为了保证各项业务活动的有效进行、确保资产的安全完整、防止欺诈和舞弊行为、实现经营管理目标等而制定和实施的一系列具有控制职能的方法、措施和程序”
[2]2003年,中国内部审计协会借鉴了COSO报告的基础上发布《内部审计具体准则第5号——内部控制审计》(下称“内部控制审计”)内部控制审计将内部控制定义为“组织内部为实现经营目标,保护资产安全完整,保证遵循国家法律法规,提高组织运营的效率及效果,而采取的各种政策和程序”
[3]2004年9月,COSO发布了《企业风险管理——综合框架》该报告把内部控制定义为“一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程”
[4]2008年6月28日,我国财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》该规范明确界定了内部控制的内涵,即“内部控制是指由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程”
[5]
2.2内部控制和内部控制评价理论的历史发展
2.
2.1内部控制的发展历程内部控制的发展阶段经历主要包括内部牵制阶段、内部控制制度(两分法)阶段、内部控制结构阶段、内部控制整合框架阶段和风险管理阶段五个阶段
1、内部牵制阶段一般认为,上世纪40年代以前,内部控制仅停留在内部牵制阶段所谓内部牵制,是指提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计
[6]内部牵制思想认为两个或两个以上的员工同时负责一个职位,那么发生错误或者舞弊的可能性比一个员工单独负责的可能性要小,因此内部控制的着眼点在于职责分工和业务流程,并对其记录工作实行交叉控制具体来说,内部牵制主要通过人员配备和职责划分、业务流程设计、簿记系统记录等来完成
2、内部控制制度阶段20世纪40年代至70年代,内部牵制概念逐渐发展成为内部控制制度或称为内部控制两分法这个阶段的内控体系的形成主要受下面两方面的影响一是企业管理的需要,企业为改变传统的生产方式以及经营模式,需要采用更加科学和完善的控制方式,引入更加全面的控制制度;另外,为了适应当时社会经济的关系,保护投资者和债权人的经济利益,各国陆续出台了各种与企业内部控制相关的法律法规文件、报告等,对企业会计内部控制以及各种经济活动的内部管理制度的形成起到推动作用同时,这一阶段内部控制的目标除了保护组织财产的安全之外,还增加了提供会计信息的可靠性、提高经营效率和遵循既定的管理方针等
3、内部控制结构阶段20世纪80年代至90年代初,内部控制的发展进入了内部控制结构阶段在这个阶段审计模式的发展与变革客观上仍旧是推动内部控制发展的决定性力量这一阶段以AICPA于1988年5月发布的《审计准则公告第55号》SACNO.55为标志该公告以“内部控制结构”概念取代了“内部控制制度”,并认为内部控制结构由“控制环境”、“会计制度”和“控制程序”三要素构成
[7]这一阶段不再区别会计内部控制和管理内部控制,跳出了“制度二分法”的圈子,特别强调管理者对内部控制制度的态度、认识和行为等控制环境的重要作用
4、内部整合框架阶段1992年COS0报告提出了内部控制的三项目标和五大要素,标志着内部控制进入了一个崭新的发展阶段,堪称内部控制发展史上的里程碑COSO报告提出了完整的控制框架,即内部控制框架由控制环境、风险评估、控制活动、信息与沟通和监控五个要素构成内部控制整体框架提供了一个普遍认可、内涵统一的内部控制概念和评价方法,其涵盖的范围比以往任何一个概念都更为广泛人们对内部控制的认识经历了一个从最初含义模糊狭窄到后来内涵清晰完整的过程,这也是与特定社会历史条件相联系的随着企业性质、管理制度及经营实践等诸多因素不断发展的影响,内部控制理论必将进一步向前发展
5、风险管理阶段2001年,美国组织委员会委托普华永道开发一个对于管理当局评价和改进他们所在组织的企业风险管理的简便易行的框架,2004年9月《企业风险管理——整合框架》正式文本发布企业全面风险管理整合框架拓展了内部控制的内容,更有力、更广泛地关注于企业风险管理这一领域尽管全面风险管理框架也将内部控制框架涵盖在其中,并且很多学者开始将全面风险管理框架与内部控制系统结合起来研究,但是内部控制仍然以其完整的体系、可操作性和富有实效而占据极其重要的地位
2.
2.2国外内部控制理论的最新进展国外的内部控制理论产生于20世纪初期,其发展过程大致经历了内部牵制、二分结构、内部控制结构、内部控制五要素整体框架、全面风险管理框架等几个阶段,详见图
2.1国外的内部控制理论从80年代开始就引入了内部控制环境的概念,并将其视为内部控制最重要的构成和基础图
2.1
[8]国外内部控制及风险管理理论的发展
2.
2.3我国内部控制的最新发展我国对于内部控制理论的研究起步较晚,直到20世纪末,国内内部控制评价工作仍停留在对内部管理制度执行情况的一般了解上,2000年以后,快速走向健全,特别是2008年财政部等五部委颁布的《企业内部控制基本规范》是我国内部控制理论研究的里程碑在基本规范中对内部控制作出了明确的定义“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”我国的内部控制理论发展情况见图
2.2图
2.2国内内部控制及风险管理理论的发展将国内外关于内部控制内涵的研究发展史对比可发现,我国对内部控制内涵的定义,及制定的内部控制规范与COSO报告中的理论基本趋同,但并不全然相同,这主要是因为我国的特殊国情造成的事实上《萨班斯——奥克斯法案》(Sarbanes.OxleyAct)对我国民营企业而言操作成本太高,我国大多数中小型家族企业在现在的国情下难以承受;加上公司治理体系不健全,很多家族企业上市后基础较薄弱,实际运营中难以达到萨班斯法案的要求
2.
2.4内部控制评价理论的发展自20世纪90年代起我国政府开始大力推进企业内部控制建设陆续出台了相关内部控制规范、指引等文件其中一些规范对内部控制评价也进行了规定1996年财政部发布《独立审计具体准则第9号——内部控制和审计风险》1997年1月1日开始施行该准则从制度基础审计的角度要求对企业内部控制进行评价要求注册会计师对企业的内部控制情况进行审查并对内部控制的定义、内容包括控制环境、会计系统和控制程序等做了相关规定2000年发布的《公开发行证券公司信息披露编报规则》第一号、第三号、第五号,要求商业银行、保险公司、证券公司建立健全内部控制制度同时要求注册会计师对其内部控制制度及风险管理系统的完整性、合理性和有效性做出说明并进行评价提出改进建议并以内部控制评价报告的形式作出报告针对近年来国内商业银行频繁发生重大金融案件银监会于2004年9月颁布了《商业银行内部控制评价试行办法》该办法指出内部控制评价包括过程评价和结果评价过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等体系要素的评价结果评价是对内部控制主要目标实现程度的评价2006年6月上海证券交易所颁布了《上海证券交易所上市公司内部控制指引》要求董事会对公司内部控制制度的建立和实施情况作自我评价并出具评估报告会计师事务所应参照主管部门有关规定对公司内部控制自我评估进行核实评价更为重要的是,财政部联合五部委在2010年颁布的《内部控制评价指引》可以被视为我国内部控制评价理论发展方面的一个里程碑《企业内部控制评价指引》的制定发布,为企业开展内部控制自我评价提供了一个共同遵循的标准,为参与国际竞争的中国企业在内部控制建设方面提供了自律性要求,有利于提高投资者、社会公众乃至国际资本市场对中国企业素质的信任度内部控制评价指引着重从以下方面就企业如何做好内部控制自我评价工作提出指导性意见第一,关于内部控制评价的内容评价指引对内部控制评价内容的有关规定,是我国内部控制规范体系建设的一大创新发达市场经济国家或地区的通行做法一般要求企业对与财务报告相关的内部控制有效性进行自我评价,评价指引则在此基础上更进一步,要求企业根据基本规范、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对内部控制有效性进行全面评价,包括财务报告内部控制有效性和非财务报告内部控制有效性这一制度创新得到了国内企业董事长和总会计师的广泛认可和好评,认为其真正抓住了企业“一把手”关心重视的焦点,最大限度地释放了内部控制的作用和效力;与此同时,也受到了国际社会的关注在2008年底召开的南非内部控制国际研讨会上,有国际专家专门对评价指引的这一创新进行了评述,认为其是对时下国际金融危机最“积极有效”的应对第二,关于内部控制评价的组织内部控制评价工作能否有效实施,很大程度上取决于企业是否具备强有力的组织领导体制内部控制评价工作对大多数国内企业而言仍是新生事物,为切实指导企业做好该项工作,评价指引专门就内部控制评价的组织领导体制作出明确要求首先,基本规范及评价指引要求企业授权内部审计机构或者其他专门机构作为内部控制评价机构,负责内部控制评价的具体组织实施工作这实际上就为内部控制评价工作的开展设置了专门的职能机构同时,为了确保内部控制评价机构职能的有效发挥,基本规范及评价指引要求内部控制评价机构必须具备一定的设置条件一是能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;二是具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;三是与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约,在效率上满足企业对内部控制系统进行监督与评价所提出的有关要求;四是能够得到企业董事会和经理层的支持,通常直接接受董事会及其审计委员会的领导和监事会的监督,有足够的权威性来保证内部控制评价工作的顺利开展其次,在设置内部控制评价机构的基础上,还要求企业成立专门的评价工作组,接受内部控制评价机构的领导,具体承担内部控制评价工作的组织评价指引要求内部控制评价机构根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员,组成评价工作组,具体实施内部控制评价工作评价工作组成员应当吸收企业内部相关机构熟悉情况的业务骨干参加实施评价工作前,评价人员需要接受相关培训,培训内容一般包括内部控制专业知识及相关规章制度、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准、评价人员的权利与义务及评价中需重点关注的问题等通过内部控制职能机构和评价工作组这种矩阵式的组织设置,可以有效促进内部控制评价工作的开展第三,关于内部控制缺陷的认定内部控制缺陷的认定,特别是非财务报告内部控制缺陷的认定,是企业内部控制评价工作中面临的重大挑战之一对于财务报告内部控制缺陷,可由该缺陷可能导致财务报表错报的重要程度来确定,这种重要程度主要取决于两方面因素一是该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报;二是该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小因此,财务报告内部控制缺陷一般可以通过定量的方式予以确定相对而言,非财务报告内部控制缺陷的认定很难形成统一的标准,企业可以根据自身的实际情况,参照财务报告内部控制缺陷的认定标准,合理确定非财务报告内部控制缺陷的定量和定性认定标准其中定量标准,既可以根据缺陷造成直接财产损失的绝对金额制定,也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定;定性标准,可以根据缺陷潜在负面影响的性质、范围等因素确定财政部将在即将发布的内部控制规范讲解中,对内部控制缺陷的认定,尤其是非财务报告内部控制缺陷的认定作出更具指导性的说明需要强调的是,为避免企业操纵内部控制评价报告,非财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更第四,关于内部控制评价报告在评价指引发布前,上海、深圳证券交易所的部分上市公司已经尝试对外披露内部控制评价报告但由于缺少统一的指导,这些对外披露的评价报告格式五花八门、质量参差不起,少则
2、3页,多则数百页,不具可比性,也不利于报告使用者理解为此,评价指引专门对内部控制评价报告进行规范,要求企业在评价报告中至少披露以下内容一是董事会对内部控制报告真实性的声明,实质就是董事会全体成员对内部控制有效性负责;二是内部控制评价工作的总体情况,即概要说明;三是内部控制评价的依据,一般指基本规范、评价指引及企业在此基础上制定的评价办法;四是内部控制评价的范围,描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项;五是内部控制评价的程序和方法;六是内部控制缺陷及其认定情况,主要描述适用本企业的内部控制缺陷具体认定标准,并声明与以前年度保持一致,同时,根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷;七是内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;八是内部控制有效性的结论,对不存在重大缺陷的情形,出具评价期末内部控制有效结论,对存在重大缺陷的情形,不得作出内部控制有效的结论,并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度财政部将在内部控制规范讲解中对内部控制评价报告的内容提供进一步指引,包括探索引入使用内部控制评价表,作为对内部控制评价报告的进一步补充所谓内部控制评价表,就是对评价过程中形成的评价工作底稿的全面整理和综合汇总,是企业对内部控制各构成要素的结论性评估表格,一般由评价内容、业务描述、有效性/缺陷、评价记录等栏目组成通过使用内部控制评价表,可以使不同企业的内部控制评价报告更具可比性,同时也有利于报告使用者阅读和理解第五,关于内部控制评价报告的披露或报送评价指引要求,内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门企业应当以12月31日作为年度内部控制评价报告的基准日,并于基准日后4个月内报出内部控制评价报告对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素,企业应当根据其性质和影响程度对评价结论进行相应调整需要说明的是,评价指引起草工作组在调研过程中发现,部分企业担心内部控制评价报告可能存在信息过度披露问题财政部等部门已经根据调研反馈意见对应用指引和评价指引进行了调整,此次发布的应用指引和《企业内部控制评价指引》实际上只要求企业对控制缺陷尤其是重大缺陷作出说明,不涉及企业内部其他保密信息,与此同时,在内部控制规范体系的贯彻实施过程中,财政部等部门还将持续关注类似问题,确保在满足法律法规和监管要求的前提下,尽量减少企业负担以上是从政府已经出台的规范文件来看我国内部控制评价的发展我国学者对内部控制评价研究也进行了一些研究目前我国学者对于内部控制评价方面的研究并不多比较早期的学者阎金愕1998根据国外内部控制评价的新发展并针对国内内部控制评价的薄弱点在阐述内部控制、内部控制评价、内部控制评价应用等基本理论问题的基础上结合实例探讨内部控制评价应用实务近年来我国学者主要是从评价标准、评价步骤、评价方法和借助案例这四个方面来对内部控制评价进行研究总体来看我国内部控制评价的研究和规范建设起步较晚对企业内部控制评价问题缺乏统一和权威的标准、对评价的具体内容和范围缺乏切实可行的操作指南这对有效实施内部控制评价造成了极大的障碍我国学者对内部控制的研究逐步从理论研究向应用研究转变1997年刘明辉、朱荣恩等学者研究的内部控制评价只是作为一种审计方式其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险据以确定实质性测试的性质、时间和范围还没有作为一项专项鉴证业务而使用企业自身也没有对内部控制评价产生关注从2000以后学者们逐步涉及评价的定性和定量分析方法方面的研究模糊综合评价法、离差最大化法、BP神经网络技术被应用到内部控制评价上面并结合实例探讨了内部控制评价应用实务新COSO报告的发布后开创了内部控制的一个新纪元国外企业正开始按照这个新的框架探索建立及完善自己公司的内部控制制度如何借鉴新COSO报告来完善内部控制评价体系的研究势必也是一个新的发展趋势
2.3内部控制的五要素内部控制理论的发展在内部控制整体框架阶段达到了成熟,虽然COSO在2004年以后又将五要素框架发展成了八要素框架,但是由于八要素框架过于复杂,并基于我国基本国情的考虑,对于我国家族民营上市企业而言,应用内部控制五要素整体框架的理论来建立内部控制体系更为合适内部控制整体框架包含了控制环境、风险评估、控制活动、信息与沟通和监督五个要素,它的内涵构成以及与八要素框架的区别详见图
2.3内部控制五要素相辅相成,互相作用控制环境是根基,风险评估是重要环节,控制活动是必要手段,信息与沟通是实现渠道,监督是有效保证图
2.3
[9]内部控制五要素框架与八要素框架的比较3某央企省级公司的基本情况和内部控制要求
3.1某央企省级公司的基本情况
3.
1.1发展历程某央企省级公司的前身为该省电业管理局、水利电力局水利、电力几经合并、分离后,1977年其中的电力部分分离出来成立了省级电力工业局1990年,国家电力工业体制进一步改革成立省级电力公司(与省级电力工业局两块牌子、一套人马)1998年改组为国家电力公司的全资子公司2004年注册登记变更出资人,成为某央企总部的全资子公司
3.
1.2经营范围某央企省级公司作为央企的全资子公司,负责该省电网的建设、运行、管理和经营公司主要经营业务包括电力生产供应,组织发电,输变电工程的设计施工和建设,电力设备修造、维修等;兼营业务包括重点电力基建项目和所属电力企业所需的电力设备、金属材料、木材、电线电缆的调拨、销售;经营批准的进出口业务;信息系统集成、软件开发、销售、运行、维护,技术改造、技术服务、咨询,培训服务等公司重点发展电网外,还拥有电力建设管理、施工、设计、修造、试验、教育培训、多种经营等方面的力量成为以发展电力为主、产业门类众多的综合性企业也是该省经营规模最大的工业企业之一截止2010年底,公司下设20个职能部门,直接投资及直接管理企业共32家其中全资公司13个,公司所属分公司(分支机构)19个,并管理着61家县供电企业
3.
1.3资产规模至2013年末,公司资产总额895亿元,资产负债率
73.98%;公司已拥有500千伏变电站31座、容量6425万千伏安、线路6300千米;220千伏变电站230座、容量8394万千伏安、线路13000千米通过9回500千伏线路分别与上海、江苏、安徽及福建电网相连,向家坝-上海特高压直流途经浙江,基本形成以500千伏为主网架、以220千伏为支撑的电网结构全年完成售电量2405亿千瓦时,全年全社会用电量达到3117亿千瓦时,统调最高负荷5063万千瓦,最高外购电力1530万千瓦,占统调最高负荷的
30.2%;全年外购电量584亿千瓦时,占全社会用电量的
18.7%;属于电量不能自足,对外来电能依存度较高的省份之一公司管辖范围有员工近10万人
3.2某央企省级公司建立内部控制的必要性
3.
2.1加强内部控制有利于公司深化体制改革国资委根据国家整体发展战略和企业的实际,提出“十二五”时期企业改革发展的核心目标是“做强做优企业、培育具有国际竞争力的世界一流企业”要实现以上目标,确保战略落地,企业必须拥有健全完备、运行高效的内部控制体系作为根本保障内部控制体系的建立有助于推动企业建立完善公司治理结构,落实“三重一大”决策制度,优化资源配置,提高运行效率与效果,确保实现企业发展战略总体上讲,加强内部控制建设既是电力公司落实国资委管理提升活动、实现管理提升的重要举措,也是深化该央企总部“两个转变”、推进“三集五大”建设、防范经营风险、实现科学发展的内在要求
3.
2.2加强内部控制有利于国有资产的有效管理2012年,国资委在中央企业全面开展以“强基固本、控制风险,转型升级、保值增值,做强做优、科学发展”为主题的管理提升活动,并将内部控制建设工作纳入中央企业管理提升活动重要内容内部控制可以将企业发展战略、管理理念、控制要求融入公司治理、企业文化、岗位授权、制度规范和业务流程,通过风险评估、风险预警、信息沟通、流程监控、有效性评价、缺陷改进等控制活动,推动企业管理从单一制度管理向体系化管理转变、从传统管理向风险管理转变、从事后监督向过程监督转变、从职能条块化管理向全流程管理转变,实现企业管理水平全面提升
3.
2.3加强内部控制有利于适应新的经济环境需要国际金融危机对世界经济的影响极其深远,全球经济进入一个与制度改革同步的缓慢复苏时代,部分欧元区国家主权债务危机进一步蔓延,国际经济与政治、外交因素交织在一起,企业将面临一个更加复杂多变、经济增长低速波动的国际环境从国内情况看,外需减少、房地产调控和高速铁路等基础设施建设放缓等因素导致国内经济增速放缓,货币收紧政策的滞后影响将更加充分地显现出来今年以来,国际市场大宗商品和原材料价格在波动中持续上扬,财务费用急剧增加,人工成本刚性增长,导致企业营业收入增幅回落,整体经济效益出现下滑在低增长、高成本时期,市场经营盈利空间受到挤压,靠规模增长拉动效益增长的优势减弱,更多的是靠细分市场、差异经营、内部挖潜、培育价值链等方式取得优于竞争对手的优势企业必须通过优化资源配置,提高财务资源的使用效率;加大成本费用的控制,扩大企业盈利空间;规范企业经营管理,有效应对经营风险强化内部控制工作,建立规范的内部控制体系,有助于通过完善公司治理避免决策失误给企业造成损失通过规范化、标准化、精益化、信息化管理降本增效,通过提高运行效率提升核心竞争能力,通过合规经营确保持续健康发展,并最终实现创造价值、“保增长”的目标
3.
2.4加强内部控制管理有利于防范经济违法事件的发生为保障企业健康持续发展,国资委要求企业加强全面风险管理,切实防范经营管理中的各类风险和经济违法事件以风险管理为导向是内部控制的宗旨,有效防范风险、确保企业资产安全和依法合规经营是内部控制的重要目标;风险识别、风险评估和风险防范是建立和完善内部控制体系的基本要素;防范舞弊事件的发生是内部控制的重要目标因此,强化内部控制工作,构建以内部控制为手段、以风险管理为导向的有机体系是确保防范经济违法事件发生的有效机制,是确保风险管理要求落地的重要途径与方法4某央企省级公司内部控制评价现状
4.1某央企省级公司内部控制评价的总体情况
4.
1.1内部环境方面
1、治理结构某央企省级公司(以下简称省公司)根据国家有关法律法规和该央企总部的相关规定,建立规范的公司治理结构和议事规则,明确党组会议、总经理办公会议、党政联席会议和管理层在决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制
2、机构设置及权责分配省公司结合企业经营特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位
3、内部审计机制省公司重视内部审计工作,保证内部审计在机构设置、人员配备和工作上的独立性
4、人力资源政策省公司人力资源政策有利于企业可持续发展,包括员工的聘用、培训、辞退与辞职;员工的薪酬、考核、晋升与奖惩将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质
5、企业文化省公司重视企业文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识和法制观念公司领导和中层干部在塑造良好的企业文化中发挥关键作用
4.
1.2风险评估方面省公司全面深入贯彻央企总部建设“一强三优”现代公司发展战略和省政府“创新强省,创业富民”的战略部署,坚持“三抓一创”的工作思路,积极推进集约化发展、精细化管理、规范化运作,并辅以具体策略和业务流程层面的计划将企业经营目标明确地传达到每一位员工建立了有效的风险评估过程,制定与生产、销售、财务等业务相关的目标,设立可辨认、分析和管理相关风险的机制,有效识别与控制目标相关内部风险和外部风险采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定重点关注和优先控制的风险在分析了相关风险发生的可能性和影响程度后,结合风险承受度,权衡风险与收益,确定风险应对策略
4.
1.3控制活动方面省公司根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制省公司制定的具体控制措施有不相容职务相分离、授权审批、会计系统、资产安全控制、预算、运营分析、绩效考评和重大风险预警机制等
1、不相容职务相分离省公司在设计内部控制系统时,明确授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查等是不相容的岗位和职务;同时明确规定各个机构和岗位的职责权限,使不相容岗位和职务之间能够相互监督、相互制约,形成有效的制衡机制
2、授权审批省公司建立完善的授权审批体系,制定了资金费用审批权限规定以及“三重一大”事项议事规则,规范授权的范围、权限、程序和责任,严格控制授权限额对于重大的业务和事项,实行总经理办公会议或党政联席会议集体决策审批或者联签制度,任何个人不得单独进行决策或擅自改变集体决策
3、会计系统省公司依法设置会计机构,配备会计从业人员,建立会计工作的岗位责任制,对会计人员进行科学合理的分工,使之相互监督和制约按照规定取得和填制原始凭证;对凭证进行连续编号;规定合理的凭证传递程序;明确凭证的装订和保管手续责任;合理设置账户,登记会计账簿;按照《会计法》和国家统一的会计准则制度的要求编制、报送、保管财务会计报告
4、资产安全控制省公司妥善保管涉及资产的各种文件资料,严防记录受损、被盗、被毁,对计算机处理条件下信息文件及时保存和备份,以便在遭受意外损失或毁坏时重新恢复;定期对实物资产进行盘点,并将盘点结果与会计记录进行比较,对差异进行分析、查明责任、完善管理制度;对货币资金、有价证券、贵重物品、存货等变现能力强的资产限制无关人员的直接接触
5、预算省公司制定了全面预算管理实施办法,对预算管理的组织与职责做出具体规定,分工明确,对预算的编制、调整、审批、执行、分析、监督和考核进行了规定和约束;成立预算管理委员会,负责预算的决策、指挥和协调;预算确定后由各预算单位或部门组织实施,并辅之以对等的权、责、利关系,由财务部负责监督预算的执行,并将预算偏差纳入年度绩效考核范围
6、运营分析省公司建立运营情况分析制度,综合收集、分析和利用生产、销售、采购、投融资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进
7、绩效考评省公司建立较为全面的绩效考核实行细则,绩效考评目标具有针对性和可操作性,考核指标包括定量指标和定性指标,针对不同的评价指标赋予相应的权重,体现各项评价指标对绩效考评结果的影响程度和重要程度合理选择评价标准,对企业全体员工的业绩进行定期考核和客观评价,在此基础上形成评价结论,并将绩效考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗和辞退等的依据
8、建立重大风险预警机制和突发事件应急处理机制省公司明确风险预警标准,对可能发生的重大风险或突发事件,制订应急预案,明确责任人员、规范处理程序,确保突发事件得到及时妥善处理
4.
1.4信息与沟通方面省公司及时准确地收集、整理、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通
1、信息质量省公司通过财务会计资料、经营管理资料、调研报告、专项信息、办公网络等渠道,获取内部信息;通过行业协会组织、社会中介机构、市场调查、网络媒体以及有关监管部门等渠道,获取外部信息;并对这些信息进行合理筛选、核对、整合,提高信息的有用性
2、沟通制度省公司建立信息沟通制度,将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部债权人、用电企业、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈重要信息需及时传递给局领导以及上级主管部门
3、信息系统省公司运用信息技术加强内部控制,建立与经营管理相适应的协同办公信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制同时加强对信息系统开发与维护、网络安全等方面的控制,保证信息系统安全稳定运行
4、反舞弊机制省公司建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序建立举报投诉制度和举报人保护制度,并及时传达至全体员工
4.
1.5内部监督方面省公司审计部门负责定期对内部控制建立与实施情况进行日常或专项监督检查,评价内部控制的有效性,对于发现的内部控制缺陷,及时加以改进
4.2某央企省级公司内部控制评价体系存在的主要问题电力工业作为高风险产业不仅源自于其自身的自然垄断性、公共事业性、技术资金密集型、运作连续性、供求随时平衡性、投资额巨大、建设周期长、沉没成本高等固有特点而且还与厂网分开,发、供、用电人为分离而造成市场主体及利益相关者众多电力交易买卖繁杂电力运营复杂等而使不确定性加大而从竞争、受益与风险三者相互关系的经济学解读中得知在打破垄断、降低成本、抑制电价的同时无疑也会增加电力市场风险近年来,该央企省级公司由财务部牵头,结合省公司经营管理的实际情况以及电力系统特殊的业务流程,对公司本部、各地(市)局以及多家县局的内部控制的设计和执行进行测试评价;经评价发现各省公司内部控制设计总体上是健全的、合理的,内部控制执行总体上是有效的但在具体设计、执行过程中也还存在着一些偏差和缺陷,具体情况如下
4.
2.1企业内部控制的目标不明确企业内部控制目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略
[10]但大部分省公司下属单位未能充分理解企业内部控制目标,仅以省公司或各地(市)局的管理思路和考核目标作为企业的控制目标,未能根据企业自身发展需求和实际管理状况制订企业内部控制目标
4.
2.2企业领导对内部控制建设不够重视电力公司领导者对企业建立内部控制的认识存在较大的偏差,部分领导认识不到位,内控意识不强,有的甚至认为内部控制建设仅仅是财务部门的事,建立所谓的企业内控制度只是为了应付上级部门的检查因此存在即使有内控制度也未能有效执行,使得企业内控流于形式
4.
2.3内部控制风险意识较淡薄,管理体系不完善一个电力公司应该有良好的风险评估信息披露系统和风险预警系统,只有这样才能把企业的投资和经营风险降到最低从浙江省电力公司现状来看,电力公司治理人员风险意识淡薄,缺乏有效的风险评估机制和科学合理的风险预警机制,对风险投资缺乏严格有效的投资决策审批机制电力市场竞争日益激烈,各种不确定的市场因素普遍存在,电力公司面临许多客观存在的风险,而电力公司对的市场风险的忽视,使电力公司在运营过程中会遭遇更多的风险
4.
2.4内部控制评价制度不够健全电力公司具有投资大、设施分散、资金密集的特点,其内控制度的健全与否关系着企业持续经营、服务社会经济的成败命运国家针对电力公司颁布了一系列的法律法规,但仍有部分企业不照章行事,造成企业内部控制评价制度执行不严、有法不依的现象
4.
2.5内部控制评价机构不健全,监督乏力目前公司尚未建立专门的内部控制评价部门,财务部门往往是内部控制建设、评价中的牵头协调部门,且内部审计的监督职能严重弱化,内部审计部门的地位和权威性不高,内部审计人员的综合素质也参差不齐财务与审计人员在企业中所处的地位往往决定他们内控建设中难以独立承担起全面管理的重任另外,财务与审计人员由于业务上的限制,难以全面了解和掌握各业务环节的风险控制点,更多的只是侧重于财务管理方面事实证明,财务或审计部门难以推动其他职能部门制度和风险点的变革,未能做到定期对内部控制建立与实施情况进行日常或专项监督检查,无法全面评价内部控制的有效性,难以发现内部控制深层次的缺陷
4.
2.6内部控制忽视信息流通一个良好的管理信息系统,有利于使企业及时掌握营运状况,提供全面、及时、正确的信息,对电力公司的运营和控制是必不可少的经过若干年的建设,电力信息化应用有了一定的基础,但是受管理机制和技术支撑的约束,各个系统之间条块分割仍然严重,信息流通仍然不畅,已经影响到了电力公司在发展中的运作效率电力系统财务人员最困惑的就是,自己无法了解前端业务,没有权限进行前端业务查询,难以从源头规避各类外部检查风险5某央企省级公司内部控制评价体系建设构想
5.1总体构想强化内部控制是实现强基固本、提升效率、防范风险,推动企业管理变革,的重要途径,是确保企业战略目标实现的重要举措全面启动内部控制建设是落实国资委管理提升活动的重要任务,是深化总部“两个转变”、推进“三集五大”建设的内在要求,是优化资源配置、防范经营风险、实现科学发展的重要保障电力公司在长期发展过程中,在内部控制方面已经积累了比较丰富的实践经验,构建新的内部控制体系是在原有基础上的深化和拓展,不是完全打破过去做法、重新开始的全新过程因此,省级电力公司(以下简称省公司)建设内部控制评价体系主要是遵循《企业内部控制基本规范》及配套指引规定和该央企总部的统一部署,以整合提升为主要手段,以内控五要素为基础,以风险管理为导向,立足顶层设计和公司实际,梳理分析公司现状,对比查找管理差异,整合各业务内控建设成果,弥补、完善现有内部控制体系,推进内部控制由条块化管理向体系化管理转变,由多标准、多形式管理向统一规范管理转变通过规范业务流程,健全内控工作机制,加强队伍建设,建设专业化内控管理平台,强化评价监督和持续改进,力争尽快建成全面覆盖、全员参与、全程管控、高效协同、防范有力的内部控制体系,保障公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,不断提高企业经营效率和效益,促进公司发展战略目标的实现
5.
1.1提出明确的内部控制目标和评价体系实施规划明确电力公司的内部控制目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略电力公司内部控制评价体系的实施规划具体可以分为一是,合理保证公司经营管理合法合规;二是,确保将经营风险控制在公司可承受的范围内;三是,确保公司财务报告及相关信息真实完整;四是,确保公司规章制度和各项决策部署得以贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,促进公司实现发展战略;五是,确保建立针对各项重大风险发生后的危机处理计划,保护公司不因灾害性风险或人为失误而遭受重大经济损失
5.
1.2制定内控评价体系建设指导思想和基本思路电力公司内控建设的指导思想是以科学发展观为指导,紧紧围绕建设“一强三优”现代公司战略目标,通过实施内部控制评价的基本流程,培育良好的风险管理文化,建立健全基于全面风险管理的内部控制评价体系电力公司内部控制评价体系建设的基本思路在已有的内部控制体系的基础上,对现行业务流程进行梳理,分析评价公司的内部控制和全面风险管理的现状,完成风险识别、分析、评价,建立风险数据库,制定内部控制评价矩阵,实现内部控制评价的规范化和标准化,保证内部控制评价的可操作性
5.
1.3建立与实施内部控制评价应遵循的原则
1、顶层设计与协同配合内部控制评价体系建设是一项系统工程,涉及到公司的方方面面,必须统筹设计、协同配合省公司层面统一规划内部控制评价框架,统一制定内部控制评价标准,统一规范重要业务流程,统一推进内部控制评价体系建设;各基层单位、各部门结合本单位实际和本专业特点协同配合推进内部控制评价体系建设,按照统一制定的规范、标准和规则,细化具体内部控制评价体系建设方案和框架,做好上下协同与横向协同配合
2、全面覆盖与突出重点内部控制评价体系建设必须从公司全业务领域着手,实现业务流程全过程评价,做到横向到边;将所有子企业纳入统一评价体系建设范畴,做到纵向到底同时,强化关键岗位、重要业务、重点流程的评价标准建设和规范实施,确定关键控制节点、关键控制措施、实现对重要风险的有效管控,对业务处理过程中的关键控制点落实到评价、监督、反馈等各环节
3、分步实施与逐层推进内部控制评价体系建设是关乎全局、自上而下、全员参与的系统性工程,并非一蹴而就建设过程要分阶段开展,有序建成较为完善的内部控制评价体系在管理层级上,要自上而下逐层推进,从省公司本部、直属单位、市(县)公司层层落实建设任务,明确具体工作内容和要求,落实责任部门和责任人,明确时间进度和工作节点
5.
1.4实施范围内部控制评价体系建设要求做到普遍性规定与行业特点有机结合,做到业务全面性和重要性的结合,要求注重成本效益,重点做好对重要业务流程和重要风险的控制因此,省公司应在立足于现行有效的管理体系和制度,按照重要性原则,充分考虑行业间和企业间的差异,确定内部控制评价体系的实施范围省公司内部控制评价体系的实施范围是管理层级上贯穿到底,覆盖省公司本部及其下属单位,业务范围以重点业务领域和特殊业务为主,实现跨部门、跨业务的全过程内部控制评价省公司本部统一确定重点业务流程和特殊业务,下属各单位根据需要可适当调整,着力抓好资金、投资、采购、基建、营销(销售)、产权管理、人力资源管理、质量管理、安全生产等关键业务流程控制,尤其是涉及财务(资金)的相关业务的内部控制评价
5.2风险的评估与管理风险评估是企业实施内部控制评价的重要环节,是指企业及时识别、系统分析经营活动中影响内控目标实现的各类风险,合理确定风险应对策略的过程近年来,省公司贯彻国资委和某央企总部关于加强全面风险管理工作的要求,着力建立健全风险管理常态化机制,坚持依法从严治企,开展经营诊断分析等,风险防控能力显著增强省公司在内部控制体系建设中需要重点要做好以下工作
5.
2.1建立风险信息库依据公司战略目标和内外部经营环境,以公司层面和业务层面为基准,覆盖重点经营、特殊经营和基础控制业务,全方位开展风险信息的收集,辨识与电力交易结算、物资招投标管理、仓储、配送、业扩报装、电费核算及回收、工程项目管理等相关的重点经营类业务风险,与国际、金融及产业等相关的特殊经营类业务风险,与预算、资金、资产、股权投资、合同、信息系统等相关的基础控制类业务风险,编制各单位、各业务风险列表,明确风险责任部门,提出管理策略和解决方案,并与内部控制相关要求对接,建立公司规范统一的风险信息库
5.
2.2规范风险分类体系根据风险评估结果,参照国际通用的分类方法,基于公司战略目标,由上而下,层层分解,将公司层、业务层风险与分解细化的分类目标相对应,建立公司四级风险分类体系,统一风险分类、定义及评估标准;制定风险分类管理工作规则,明确风险名称变更、类别增减等审批程序
5.
2.3制定统一的风险评估规范结合省公司风险评估工作需求,参考风险信息库及分类体系,研究制定风险评估规范,明确评估方法,确定定性与定量风险评估标准,建立风险预警指标库,划清工作界面,细化落实岗位责任,优化工作流程
5.
2.4收集风险信息通过开展业务调研,围绕内部控制要求确定实施内部控制的重点业务,对比分析现有内控建设成果明确内控在组织架构、企业文化、发展战略、经营活动等方面的合规情况,分析对比差异,补充和完善现有内控体系,形成内控手册结合调研和诊断分析情况,明确建设任务与内容,加强内部控制培训与宣传,营造领导重视、全员参与的内部控制建设实施氛围同时将收集到的风险信息,作为搭建全面风险管理信息系统的数据基础,形成初步的调研资料
5.
2.5围绕重点领域环节,开展风险识别公司充分运用全面风险管理和内部控制框架的理论成果,按照公司风险防控模板,采取定期集中识别和不定期动态收集的方式识别内控风险每年进行一次集中风险识别,同时高度重视通过对关键业务流程的实时监控和预警系统动态收集风险信息,保证风险信息和数据的持续更新在风险信息识别过程中,要把握内控风险依存于业务风险、又具有自身规律的特点,找准内控风险与业务流程的结合点
5.
2.6围绕确定风险等级,开展风险评估采用定性(问卷调查、集体讨论、专家咨询等)或定量(统计推论、数据分析等)的方式,对识别出的内控风险按照发生的概率、造成的后果两个维度进行评估,划分风险等级,为确定内控风险的管控次序和防控策略提供依据对识别评估出的内控风险,按级别制定风险管理策略,提出和实施风险管理解决方案公司结合自身实际和业务特点,统一确定风险偏好和风险承受度,逐一设定内控风险的预警指标和阈值(承受限度)对于重大风险及启动预警的风险,明确防控责任,制定解决方案,及时采取风险承担、风险规避、风险降低、风险控制等策略加以管控
5.3内部监督内部监督是企业实施内部控制的重要保证,是指企业对内部控制建设与实施情况进行监督检查,评价内部控制的有效性,发现缺陷并加以改进,包括日常监督、协同监督和内控评价等内容近年来,公司加强财务稽核、审计等日常监督,积极开展“安全年”活动、工程建设领域突出问题专项治理等协同监督,构建纵向贯通、横向协同、覆盖全面的协同监督机制公司建立体系化、标准统一的内部控制评价规范,以及内控执行责任机制和评价改进机制,促进内部控制持续完善提升
5.
3.1制定统一的执行评价规范在完善业务流程和职责体系的基础上,明确公司进行内部控制自我评价的程序、方法、范围、内部控制缺陷的分类、标准等,明确与内控执行评价相衔接的绩效考核标准等内容,设计内部控制执行评价基本框架按照执行评价基本框架要求,组织开展各专业内部控制缺陷认定及抽样测试工作,研究制定统一的执行评价规范,明确缺陷标准、检查方法、检查程序、抽样规则、责任追究、整改程序等内容
5.
3.2建立内控执行责任机制省公司应修订完善内部控制责任和考核相关制度,明确单位负责人为内部控制“第一责任人”;分解落实内部控制责任到专业、到部门,明确专业部门的内控职责;细化内部控制责任到岗位,明确员工个人的内控职责,建立全员参与、各司其责、相互配合、齐抓共管的内部控制责任体系建立内部控制执行考核制度加大内部控制执行考核力度,将内部控制执行情况纳入年度企业负责人业绩考核体系,与领导干部履职评估结果挂钩;建立内部控制岗位考核制度,将内部控制责任与个人岗位考核、评优评先挂钩;建立内部控制重大缺陷追究制度,对评价发现存在重大内控缺陷的给予扣分或降级处理
5.
3.3建立内控评价改进机制建立内部控制自我评价制度公司每年应进行内部控制评价工作,明确评价范围、评价内容、评价方式、程序步骤、时间节点,组织各部门、各单位开展内部控制自评工作,编报内部控制自评报告建立内部控制评价检查制度,在内部控制自评的基础上,公司对下属单位开展评价检查工作,履行控制测试、穿行测试等评价程序,评价内部控制设计、执行的有效性,确认内部控制缺陷,出具内部控制评价检查意见建立内部控制缺陷整改督导制度,定期跟踪和抽查各单位内部控制整改工作,通报缺陷整改情况和进度,督促各单位优化流程、完善关键控制点及控制措施,并及时修订内部控制规范建立内部控制典型经验推广制度,总结各单位内部控制缺陷及改进情况,建立内部控制案例库;通过评比筛选各单位内部控制工作创新与亮点,形成公司管理典型经验,并加以全面推广
5.
3.4完善协同监督机制坚持标本兼治、综合治理、惩防并举、注重预防的方针,统一协调整合审计、监察、财务、法律等内部监督力量,构建协调配合、信息互通、形成合力、监督到位的纵向贯通、横向协同、覆盖全面的协同监督机制,将内部控制运行情况纳入经济责任审计、专项审计、财务稽核、党风廉政建设责任制检查重要内容,划分各级审计、监察、财务、法律等部门在内部控制工作职责界面,明确内部控制协同监督责任,主动履行内部控制监督职责,强化对重点子企业、基层子企业和重点领域、关键环节的联合监督检查,提高对舞弊、违规、违纪等内部控制风险的防范与控制能力
5.4组织保障和实施安排
5.
4.1组织保障
1、组织人员保障省公司本部和各下属单位均要成立内部控制评价体系建设组织机构,配备具有丰富工作经验或内部控制评价工作经历的业务骨干,统筹推动本单位的内部控制评价体系建设工作各部门要指定专门处室、配备本专业内部控制评价体系建设工作人员,支持和配合开展本专业内部控制评价体系建设同时,可以采取借用外脑的形式,选聘经验丰富的外部专业咨询团队,拓展内部控制评价体系建设视野,吸收外部建设经验,保证内部控制评价体系建设工作的专业化、系统化和合理化内部控制评价体系建设实施经费要纳入年度预算,统筹安排,包括内部控制评价体系建设咨询、内部控制评价及人力成本费用、培训费用等
2、信息技术保障在公司SGERP信息平台不断完善的基础上,完善各专业信息系统,按照内部控制评价体系标准要求将内部控制评价措施嵌入业务系统,强化自动化控制,强化专业内部控制监督和流程监控;实施信息系统集成,丰富和完善企业级数据仓库,为内部控制信息管理系统提供相关数据,同时加强内部控制信息系统与其他专业信息系统的信息整合和数据集成,实现信息共享
3、运行机制保障内部控制评价体系建设涉及面广、需要全员参与公司要求各单位要统筹安排,加强沟通协调,及时反馈和解决工作中出现的问题与困难定期上报实施进展情况,各单位每月定期以书面形式向公司办公室报告一次工作进展情况;定期编写实施情况简报,办公室于每月结束后的几个工作日内,整理汇总各单位内部控制评价体系建设实施情况,编写内部控制建设简报上报领导小组并下发
4、考核机制保障加大考核问责机制的建立,将内部控制评价体系建设与管理作为各单位“一把手”工程,强化对企业负责人的监督和考核,将内部控制评价体系建设与管理情况纳入企业负责人业绩考核范畴,并写入内部控制评价体系企业责任承诺书;公司财务稽核、内部审计将内部控制评价体系建设与管理情况纳入重要监督内容,对内部控制体系中存在重大缺陷和例外事项情况,根据情节的严重和影响程度,对企业负责人进行考核扣分和责任追究,保障内部控制规范建设与持续优化提升
5.
4.2实施步骤内部控制建设实施应分为现状诊断与方案编制、流程梳理与规范建立、规范实施与工作验收、评价提升与持续完善四个阶段
(一)现状诊断与方案编制阶段
1、开展业务调研对公司所属的11个地市供电局及其县局、直属单位开展内部控制工作调研,总结实践经验
2、确立业务框架围绕内部控制要求确定实施内部控制的重点业务,参照内部控制应用指引及公司经营业务范围,确立经营业务框架
3、对比分析现有内控建设成果,编制内部控制评价体系建设实施方案结合调研和诊断分析情况,明确建设任务与内容,编制内部控制评价体系建设实施方案
5、项目启动宣讲组织召开内部控制评价体系建设启动会议,加强内部控制评价体系培训与宣传,营造领导重视、全员参与的内部控制评价体系建设实施氛围
(二)流程梳理与规范建立阶段
1、梳理关键流程,编制内部控制评价矩阵识别业务层面的风险点和关键控制点,分析业务内容、权限范围、审批程序和工作职责,绘制内控控制评价矩阵
2、整合完善制度(标准)规范对比查找制度(标准)管理缺陷,完善制度(标准)规范,编制与重点业务流程相配套的“一本制度”
4、编制内部控制评价标准编制流程控制评价规范和风险评估规范
(三)规范实施与工作验收阶段
1、全面实施与应用内控评价规范开展内控啊评击规范实施应用培训,推进内控评价规范在业务信息系统固化工作,强化对业务流程关键控制点的自动监控
2、建设统一的内部控制评价体系信息化工作平台由省公司主导,采取试点实施、逐步推广的方式,建设一级部署的内部控制评价信息系统,满足在线集中开展风险管理与内部控制评价工作需求
3、建立健全内部控制评价工作机制建立完善内控信息沟通机制、内控执行责任机制、内控评价改进机制和协同监督机制,确保内部控制有效执行
4、组织开展内部控制评价体系建设验收制定内部控制评价体系建设验收方案,明确验收方式、验收标准等内容,组织开展自验收和现场验收
(四)评价提升与持续完善阶段
1、组织开展内部控制自我评价公司制定下发内部控制评价工作计划,组织各部门、各单位开展自我评价,编制自评报告
2、组织开展内部控制评价检查组建评价工作小组,对各单位执行控制测试、穿行测试等评价程序,确认内部控制缺陷,出具内部控制评价检查意见
3、缺陷改进与持续完善督促各单位做好缺陷整改,及时修订内部控制规范
4、编报内部控制评价报告编制内部控制评价报告,报经公司内控委员会审批后,上报国资委6结论与启示本文以内部控制框架为主线,结合某央企省公司的实际情况,设想构建以全面风险管理为导向的、适合省公司的内部控制评价体系,并结合具体的案例分析,对央企省级公司在内部控制评价体系建设方面有一定的借鉴意义本文主要采用理论与实际相结合的方法,由于收集的资料和接触的案例有限,因此本文中构建的内部控制体系不一定完全适用于每一个央企的省公司,每个公司在构建自己的内部控制评价体系时都还应结合本身的情况进行修改,从而建立适合公司自身实际情况的内部控制评价体系其次,本文是结合理论及实务两方面,有关实务方面的案例论述及研究,受到理论研究深度、经验和判断能力的影响,或许有见解不妥而流于主观之嫌虽然,本文有上述种种局限,但由于风险导向下某央企省公司内部控制评价体系的构建与实施的探索和实践有待于进一步深化,所以希望本文在研究过程中获得的结论与建议,在若干方面仍能够具有较高的参考价值参考文献
[1]ApplegateD.andT.Wills.IntegratingtheCOSO[J].InternalAuditor200305:60-66
[2]COSOGuidanceonMonitoringInternalControlSystems[M].2009:20-25
[3]MarkB.CurtisFrederickH.Wu.TheComponentsofaComprehensiveFrameworkofInternalControlp[J].TheCPAJournal200010:30-32
[4]RWestCZech.InternalFinancialControlsintheUSCatholicChurch[J].JournalofForensicAccounting20086:13-16
[5]陈伟胜.公司治理与内部控制关系研究[J].经济师,2005
(10)87-88
[6]程新生.公司治理内部控制组织结构互动关系研究[J].会计研究,2004
(4)14-18
[7]方宏星译.《企业风险管理整合框架》(美)COSO制定发布[M].东北东北财经大学出版社,20053-4
[8]郭永清夏大慰.基于公司治理的内部控制整合研究[J].商业经济与管理,20097-8
[9]李维安曹廷求.股权结构治理机制与城市银行绩效——来自山东,河南两省的调查证据[J].经济研究,2005124-15
[10]李晓妮马慧.内部控制与公司治理的整合[J].会计之友,2009
(48)10-12
[11]刘蓉.从企业社会责任角度看内部控制失效及对策思索[J].会计之友下旬刊,2009
(09)52-53
[12]刘霞.论改善企业内部控制环境[J].沿海企业与科技,2005
(07)22-24
[13]余燕芳.浅议公司治理与内部控制的关系[J].中国商界,2009
(2)20~30
[14]张雷.关于我国上市公司治理结构问题的几点思考[J].中国乡镇企业会计,20108181-181
[15]张维迎.企业理论与中国企业改革[M].北京北京大学出版社,19995-5附录致谢PAGE2^1COSO,《内部控制一—整体框架》增补版[R],美国,1994年^2财政部,《内部会计控制规范——基本规范》[R],北京,2001年^3中国内部审计协会,《内部审计具体准则第5号——内部控制审计》[R],北京,2003年^4COSO,《企业风险管理——综合框架》[M],美国,2004年^5财政部、证监会等,《企业内部控制基本规范》[M],北京,2008年^6朱荣恩,徐建新.《现代企业内部控制制度》[M].北京中国审计出版社,1996,19^7杜晓玲,基于风险管理的内部控制研究[D],成都西南财经大学,2007年17^8Committee of Sponsoring Organizations of the Treadway CommissionInterna Control-Integrated Framework,1992^9Committee of Sponsoring Organizations of the Treadway CommissionInterna Control-Integrated Framework,1992^10财政部、证监会等.《企业内部控制基本规范》[M].北京,2008年.。