2010年国家五部委《企业内部控制配套指引》简介
1.目的及对上市公司的要求
《企业内部控制配套指引》的发布是我国内部控制的又一次飞跃,被称为“中国的萨班斯法案”,其发布的目的是为了促进企业建立、实施和评价内部控制,规范会计师事务所内部控制审计行为。它包括三个指引,即《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》(简称《企业内部控制配套指引》)。该配套指引包括资金、采购、存货、销售、工程项目、固定资产、无形资产、长期股权投资、筹资、预算、成本费用、担保、合同协议、业务外包、对子公司的控制、财务报告编制与披露、人力资源政策、信息系统一般控制、衍生工具、企业并购、关联交易、内部审计等22个方面,对企业内部控制进行了更加广泛和详细的规范。
该配套指引将于2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上交所、深交所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行,并鼓励非上市大中型企业提前执行。
2.企业内部控制应用指引
(1)组织架构。组织架构是指企业按照国家有关法律法规、股东(大)会决议和章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。该指引从组织架构的设计和组织架构的运行两个方面进行了规范。
(2)发展战略。发展战略是指企业在对现实情况和未来趋势进行综合分析和科学预测的基础上,制定并实施的长远发展目标与战略规划。该指引从发展战略的制定和发展战略的实施两个方面进行了规范。
(3)人力资源。人力资源是指企业组织生产经营活动而录(任)用的各种人员,包括董事、监事、高级调理人员和全体员工。该指引从人力资源的引进与开发以及人力资源的使用与退出两个方面进行了规范。
(4)社会责任。社会责任是指企业在经营发展过程中应当履行的社会职责和义务,主要包括安全生产、产品质量(含服务,下同)、环境保护、资源节约、促进就业、员工权益保护等。该指引从安全生产、产品质量、环境保护与资源节约、促进就业与员工权益保护四个方面进行了规范。
(5)企业文化。企业文化是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神,以及在此基础上形成的行为规范的总称。该指引从企业文化的建设和企业文化的评估两个方面进行了规范。
(6)资金活动。资金活动是指企业筹资、投资和资金营运等活动的总称。该指引从筹资、投资、营运三个方面进行了规范。
(7)采购业务。采购是指购买物资(或接受劳务)及支付款项等相关活动。该指引从购买和付款两个方面进行了规范。
(8)资产管理。资产是指企业拥有或控制的存货、固定资产和无形资产。该指引从存货、固定资产、无形资产三个方面进行了规范。
(9)销售业务。销 售是指企业出售商品(或提供劳务)及收取款项等相关活动。该指引从销售和收款两个方面进行了规范。
(10)研究与开发。研究与开发是指企业为获取新产品、新技术、新工艺等所开展的各种研发活动。该指引从立项与研究以及开发与保护两个方面进行了规范。
(11)工程项目。工程项目是指企业自行或者委托其他单位所进行的建造、按照工程。该指引从工程立项、工程招标、工程造价、工程建设和工程验收五个方面进行了规范。
(12)担保业务。担保是指企业作为担保人按照公平、自愿、互利的原则与债权人约定,当债务人不履行职责时,依照法律规定和合同协议承担相应法律责任的行为。该指引从调查评估与审批以及执行与监控两个方面进行了规范。
(13)业务外包。业务外包是指企业利用专业化分工优势,将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织(以下简称承包方)完成的一种经营行为。该指引从承包方选择、业务外包实施两个方面进行了规范。
(14)财务报告。财务报告是指反映企业某一特定日期财务状况和某一会计期间经营成果、现金流量的文件。该指引从财务报告的编制、财务报告的对外提供和财务报告的分析利用三个方面进行了规范。
(15)全面预算。全面预算是指企业对一定期间经营活动、投资活动、财务活动等做出的预算安排。该指引从预算编制、预算执行和预算考核三个方面进行了规范。
(16)合同管理。合同是指企业与自然人、法人及其他组织等平等个体之间设立、变更、终止民事权利义务的协议。该指引从合同的订立和合同的履行两个方面进行了规范。
(17)内部信息传递。内部信息传递是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。该指引从内部报告的形成和内部报告的使用两个方面进行了规范。
(18)信息系统。信息系统是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。该指引从信息系统的开发、信息系统的运行与维护两个方面进行了规范。
3.内部控制评价指引
内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
企业实施内部控制评价至少应当遵循全面性原则、重要性原则和客观性原则。
(1)内部控制评价的内容包括内部环境、风险评估、控制活动、信息与沟通、内部监督等五要素。
(2)内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编制与上报评价报告等环节。企业可以授权内部审计职能部门门或专门机构(以下简称内部控制评价部门)负责内部控制评价的具体组织实施工作。
(3)内部控制缺陷的认定。内部控制缺陷包括设计缺陷和运行缺陷。企业对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价部门进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。
(4)内部控制评价报告至少应当披露下列内容:董事会对内部控制报告真实性的声明;内部控制评价工作的总体情况;内部控制评价的依据;内部控制评价的范围;内部控制评价的程序和方法;内部控制缺陷及其认定情况;内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;内部控制有效性的结论。
4.内部控制审计指引
内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
(1)计划审计工作。在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响:与企业相关的风险;相关法律法规和行业概况;企业组织结构、经营特点和资本结构等相关重要事项;企业内部控制最近发生变化的程度;与企业沟通过的内部控制缺陷;重要性、风险等与确定内部控制重大缺陷相关的因素;对内部控制有效性的初步判断;可获取的、与内部控制有效性相关的证据的类型和范围。
(2)实施审计工作。注册会计师测试企业层面控制,应当把握重要性原则,至少应当关注:与内部环境有关的控制;针对董事会、经理层凌驾于控制之上的风险而设计的控制;企业的风险评估过程;对内部信息传递和财务报告流程的控制;对控制有效性的内部监督和自我评价。
(3)评价控制缺陷。内部控制可能存在重大缺陷的迹象,主要包括:注册会计师发现董事、监事和高级管理人员舞弊;企业更正已经公布的财务报表;注册会计师发现财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效。
(4)完成审计工作。注册会计师完成空城计工作后,应当取得经企业签署的书面声明。书面声明应当包括以下内容:企业董事会认可其对建立健全和有效实施内部控制负责;企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的结论;企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础;企业已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷;企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷,是否已经采取措施予以解决;企业在内部控制自我评价基准日后,内部控制是否发生重大变化,或者存在对内部具有重要影响的其他因素。
(5)出具审计报告。注册会计师在完全内部控制审计工作后,应当出具内部控制审计报告。标准内部控制审计报告应当包括下列要素:标题;收件人;引言段;企业对内部控制的责任段;注册会计师的责任段;内部控制固有局限性的说明段;财务报告内部控制审计意见段;非财务内部控制重大缺陷描述段;注册会计师的签名和盖章;会计师整条所的名称、地址及盖章;报告日期。
(6)记录审计工作。注册会计师应当在审计工作底稿中记录下列内容:内部控制审计计划及重大修改情况;相关风险评估和选择拟测试的内部控制的主要过程及结果;测试内部控制设计与运行有效性的程序及结果;对识别的控制缺陷的评价;形成的审计结论和意见;重要事项。