您现在的位置:首页 > >

第6章 内部控制评价与审计2+风险管理、内部控制与公司治理


(三)内部控制评价的程序 1.制定评价控制方案。 企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。该评价部门或机构应 具备以下条件: (1)能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力; (2)具体与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养; (3)与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相 互配合、相互制约; (4)能够得到企业董事会和经理层的支持,来保证内部控制评价工作的顺利开展。 2.组成评价工作组 内部控制评价部门或机构在评价方案获得批准后,需要组织评价工作组,具体承担内部控制 检查评价任务。 3.实施评价工作与测试 评价工作组需通过了解企业公司层面基本情况、各业务层面的主要流程、识别有关主要风险 后,才能开展实施及测试设计和运行有效性的内部控制工作。 (1)了解公司层面基本情况。 (2)了解各业务层面的主要流程及风险。在这一阶段,评价工作组把工作重点放在主流程 中,如资金管理流程、销售流程和采购流程等。 ①风险控制矩阵文档。关注点在于复核风险流程的合理性。 ②流程图文档。关注点在于流程图是否与实际操作及风险控制矩阵描述相符合等,以及相应 的控制活动。 ③审批权限表文档。关注点在于部门及岗位的描述是否准确、权限的划分和设置是否合理。 (3)确定检查评价范围和重点。 (4)开展现场检查测试。评价工作组可综合运用个别访谈、调查问卷、专题讨论、穿行测 试、实地查验、抽样和比较分析等评价方法,收集被评价单位内部控制设计与运行是否有效 的证据,按照要求填写工作底稿、记录有关测试结果。 4.汇总评价结果。 评价工作组人员应当在其工作底稿中,记录评价所实施的程序及有关结果。 (四)内部控制缺陷的认定 1.内部控制缺陷的分类。 (1)按照内部控制缺陷的本质分类。 按照内部控制本质上的不同,可以把内部控制缺陷分为设计缺陷和运行缺陷。设计缺陷是指 企业缺少为实现控制目标的必需控制。设计缺陷既可以是系统的设计缺陷,也可以是系统外 手工控制的设计缺陷。而运行缺陷是指设计合理及有效的内部控制,但在运作上没有被正确 的执行。 (2)按照内部控制严重程度分类。 内部控制评价工作组应当根据现场测试获取的证据,对内部控制缺陷进行初步认定,并按其 影响分为重大缺陷、重要缺陷和一般缺陷。 ①重大缺陷(也称实质性漏洞),是指一个或多个控制缺陷的组合,可能严重影响内部整体 控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。 ②重要缺陷是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及 时防范或发现严重偏离整体控制目标的严重程度依然重大,需引起管理层关注。 ③一般缺陷是指除重要缺陷、重大缺陷外的其他缺陷。 2.内部控制认定程序与整改。
1

如果评价工作人员在实施测试中发现控制差异,应分析差异是否属于控制缺陷及评价其严重 程度。 对于重大缺陷和重要缺陷的整改方案,应向董事会(审计委员会)、监事会或经理层报告并 审定。一般缺陷,可以与企业管理层报告,并视情况考虑是否需要向董事会(审计委员会)、 监事会报告。 (五)内部控制评价报告 《评价指引》要求在评价报告中至少披露以下内容: (1)董事会对内部控制报告真实性的声明,实质就是董事会全体成员对内部控制有效性负 责。 (2)内部控制评价工作的总体情况,即概要说明。 (3)内部控制评价的依据,一般指《内控规范》、《评价指引》及企业在此基础上制定的评 价办法。 (4)内部控制评价的范围,描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的 业务事项。 (5)内部控制评价的程序和方法。 (6)内部控制缺陷及其认定情况,主要描述适用于企业的内部控制缺陷具体认定标准。 (7)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。 (8)内部控制有效性的结论。 二、企业内部控制审计 (一)内部控制的审计要求 内部控制作为企业中一项重要的管理活动,用来促进提高经营的效率效果,实现企业的发展 战略。我国在 2008 年发布的《基本规范》中除了要求企业为其内部控制的设计与运行情况 进行全面的评价、披露年度自我评价报告外,还要求上市公司和非上市大中型企业聘请符合 资格的会计师事务所,根据规范及配套办法和相关执业准则,对企业财务报告内部控制的有 效性进行审计并出具审计报告。 (二)注册会计师的责任与角色 《审计指引》中重申建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的 责任。而在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。 注册会计师要在实施审计工作的基础上,获取充分、适当的证据,对内部控制的有效性发表 的意见并提供合理保证。 注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行(以 下简称“整合审计”)。在整合审计中注册会计师应当对内部控制设计与运行的有效性进行测 试,以同时实现下列目标: (1)获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见。 (2)获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。 三、审计委员会在内部控制中的作用 (一)审计委员会与内部控制 《基本规范》第十三条要求企业在董事会下设立审计委员会。 一般来说,审计委员会的组成应全部由独立的、非行政董事组成,他们至少拥有相关的财务 经验。审计委员会的职能是监督、评估和复核企业内的其他部门和系统。董事会关于内部控 制的主要目标会授权给审计委员会负责。在一般情况下,审计委员会负责整个风险管理过程, 包括确保内部控制系统是充分且有效的。 (二)审计委员会履行职责的方式 审计委员会应满足其职责的要求。建议审计委员会每年至少举行三次会议,并于审计周期的
2

主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次,讨论与审计相关的事 宜,但无需管理层出席。审计委员会主席可能特别希望与其他关键人员(比如董事会主席, 首席执行官,财务总监,高级审计合伙人和内部审计主管)进行私下会面。 此外,审计委员会应每年对其权限及其有效性进行复核,并就必要的人员变更向董事会报告。 (三)审计委员会与合规 审计委员会的主要活动之一是核查对外报告规定的遵守情况。 (四)审计委员会和内部审计 确保充分且有效的内部控制是审计委员会的义务,其中包括负责监督内部审计部门的工作。 审计委员会还确保内部审计部门提出建议已执行。审计委员会有助于保持内部审计部门对压 力或干涉的独立性。审计委员会及内部审计师需要确保内部审计部门正在有效运作。 它将在四个主要方面对内部审计进行复核,即组织中的地位,职能范围,技术才能和专业应 尽义务。 1.内部审计活动 企业应根据现行职业准则执行内部审计活动。内部审计职能部门的组成,取决于企业的规模, 复杂性,经营活动范围和风险概况,以及董事会为审计部门分配的责任。 内部审计师必须对他们所审计的活动保持独立性。 2.内部审计师在企业中的地位。 内部审计师的主要作用是,独立且客观地复核及评价企业的活动。审计师应将相关结果向董 事会或其下属的审计委员会以及高级管理层报告。 内部审计师必须保持客观性和独立性。这意味着内部审计可向高级管理层或审计委员会报告, 内部审计师不必担心因提交不利的报告而受到指责。 3.内部审计师的职能范围。 外聘审计师应被允许不受限制地使用企业的账簿记录或进入控制系统。 内部审计的目的有若干个,包括评价会计、运营及行政控制的可靠性、充分性及有效性等。 越来越多的内部审计师为企业增加新产品或服务提供建设性的商业建议。 4.内部审计报告 内部审计完成后,最后一项工作即编制审计报告。通常审计报告包括工作目标、审计师已实 施的程序概述、审计意见及建议。 (五)审计委员会与外聘审计师 审计委员会应承担就任命、重新任命或解聘、外聘审计师向董事会提出建议的主要责任,监 督新审计师的选择过程,批准外聘审计师的业务条款及审计服务的报酬。审计委员会应复核 审计师的审计工作范畴,并确信该审计范畴是充分的,并确保于每次年审开始之时已为审计 制订了适当的计划。审计委员会执行审计工作完成后的复核。 (六)向股东报告内部控制 企业董事会应维持完善的内部控制系统,以保护股东投资及公司资产安全,并将企业业绩及 内部控制情况告知股东。 股东是企业的所有者,因此,他们有权知悉内部控制系统是否充分,是否足以保障他们的投 资。董事会如要为股东提供其所需的保证,则应对集团内部控制系统的有效性展开复核,并 至少每年向股东汇报一次。 【第五节要点提示】 1、掌握内部控制评价的内容,掌握内部控制自我评价是由企业董事会和管理层实施的。进 行评价的具体内容应围绕《基本规范》提及的内部控制五个要素来进行。 2、掌握企业内部控制审计的内容,掌握注册会计师的责任与角色等内容。 3、理解审计委员会在内部控制中的作用的内涵。
3

第六节 风险管理、内部控制与公司治理 一、公司治理 对于一些家族控制的公司和一些中小型企业来说,随着业务的日益扩张,它们可能缺乏有效 管理公司所需要的各种技能,它们可能需要寻求外部资本而放弃一部分的所有权。此情形可 能意味着企业的控制权将从企业家转移到职业管理者手中,公司的所有权也可能分散到成千 上万、从不过问公司的日常管理的股东手中。企业的所有者希望管理者运用决策技能运作公 司,使公司股东的回报最大化。 管理者接受委托作为决策专家,为了获得报酬而为企业的所有者承担制定决策的责任时,代 理关系就会形成。当管理者制定决策所追求的目标与委托人的目标相冲突时,代理问题就会 出现。 (一)公司治理概念 公司治理是用来管理利益相关者之间的关系,决定并控制企业战略方向和业绩的一套机制。 公司治理的核心是寻找各种方法确保有效地制定战略决策,公司治理反映了企业的文化、政 策、如何处理利益相关者之间的关系及其价值观。良好的公司治理有一些重要的目标。 (二)公司治理的基本原则 公司治理中有一个非常重要的部分是面对责任、受托责任、对股东和其他人的数据披露,审 计及控制机制。公司治理的负责人应该遵守各方面的原则。有效的公司治理原则主要包括: (1)建立完善的组织结构; (2)明确董事会的角色和责任; (3)提倡正直及道德行为; (4)维护财务报告的诚信及外部审计的独立性; (5)及时披露信息和提高透明度; (6)鼓励建立内部审计部门; (7)尊重股东的权利; (8)确认利益相关者的合法权益; (9)鼓励提升业绩; (10)公平的薪酬和责任。 1.建立完善的组织结构。 企业治理结构的设计应符合《公司法》及其他法律法规的要求。为了奠定管理和监督的的坚 实基础,应该规范和披露董事会及管理层的职能。 (1)董事会和管理层的作用。 董事会应该以书面形式明确董事会与管理层之间的权责分工,即董事会保留的职能和其授权 管理层代其执行的职能。 (2)董事及高级管理人员个人责任的分配。 董事及高级管理人员清楚地理解企业对他们的期望是适当的。 2.明确董事会的角色和责任。 设计一个有效率、规模适当和信守承诺的董事会可以使其充分履行职责和义务。 (1)引入独立董事。 公司治理实践方面最重要的部分之一就是董事会的独立问题。独立性之所以关键,是因为它 可以确保董事会在为利益相关者的最佳利益行动时保持足够的客观性。董事会中大部分成员 应当是独立董事。 独立董事的职责可以分为四种不同的角色,即战略角色、监督或绩效角色、风险角色和人事 管理角色。 ①战略角色。战略角色是指独立董事是董事会的正式成员,因此有权利也有责任为企业的战
4

略成功作出贡献,从而保护股东的利益。 ②监督或绩效角色。独立董事应当执行董事对已制定的决策和企业业绩承担责任。 ③风险角色。风险角色是指独立董事应当确保企业设有充分的内部控制系统和风险管理系统。 ④人事管理角色。人事管理角色是指独立董事应对董事会执行成员管理的有关责任进行监督。 (2)董事会主席的作用。 董事会主席负责领导董事会,以便有效地组织和行使董事会的职能,并通报董事会会议中产 生的所有有关董事的问题。董事会主席的角色还应扩展至配合独立董事的工作,促进执行董 事与独立董事之间建立良好的关系,并对企业领导的责任进行明确的分工。 3.提倡正直及道德行为。 良好的公司治理最终需要诚信的人员。企业可建立一套行为守则,以指导董事、首席执行官 (或相应职务)、首席财务官(或相应职务)及任何其他关键管理人员的行为。如果企业明 确声明董事和关键管理人员能够遵守行为守则,投资者的信心就会得到增强。 4 . 维护财务报告的诚信及外部审计的独立性。 企业应该设置一个独立的结构以核实和维护企业财务报告的诚信。它要求建立一审查和授权 的结构,以保证企业的财务状况得到真实可靠的披露。该结构应当包括负责审查和审计的审 计委员会和一个能够确保外部审计师独立性和胜任能力的程序。 5.及时披露信息和提高透明度。 企业应向投资者披露重要信息,提高他们获得董事会运营企业的信息的方便性,这被认为是 一个改善公司治理的方式。信息披露的内容包括但不限于三大部分: 一是财务会计信息。 二是非财务会计信息,包括企业经营状况、企业目标、政策、董事会成员和关键管理人员及 其薪酬、重要可预见的风险因素、公司治理结构及原则等。 三是审计信息,包括注册会计师的审计报告、监事会报告、内部控制制度评估等。 ①为了告知股东公司治理结构,政策和执行的力度,上市公司及大型非上市公司可在其年度 报告中提供一份公司治理的声明。 ②为了提高董事薪酬的可比性和透明度,尤其是薪酬与企业的业绩的关联程度,应当在“绩 效基础”和“非绩效基础”之间分析董事的薪酬,并披露有关董事股票期权的资料。 总括而言,一个强有力的披露制度是以市场为基础的监督企业行为的关键特征,是股东有效 行使其表决权能力的先决条件。 6.鼓励建立内部审计部门。 审计委员会应当向董事会就任免内部审计人员提供建议。内部审计部门应独立于外部审计师。 7.尊重股东的权利。 为了尊重股东的权利,企业应当设计和披露沟通政策,以促进和股东之间的有效沟通,并鼓 励股东有效地参与股东大会。 8.确认利益相关者的合法权益。 企业对于非股东的权益相关者,如员工、客户或顾客和社会整体具有很多法律及其他义务。 9.鼓励提升业绩。 董事和主要管理人员应具备有关的知识和信息,他们必须有效地履行职责,而且个人和集体 的业绩也需要进行定期和公平的审查。 10.公平的薪酬和责任。 企业应确保薪酬具有充分合理的水平和结构,以及其同公司和个人绩效的关系。 披露企业的薪酬政策,以使投资者了解: (1)这些政策的成本和收益; (2)董事和主要管理人员的薪酬同企业业绩之间的关系。披露薪酬政策是薪酬报告的基本
5

要求。维护股东和市场的利益要求管理层薪酬和其成本效益具有一个透明的易理解的框架。 薪酬政策的透明度应当表现为充分有效的披露。 二、风险管理、内部控制、公司治理三者关系 企业风险管理的框架下,风险管理、内部控制、公司治理三者的关系可以从以下四个方面来 体现。 (一)管理范围的协调 风险管理框架下的内部控制是站在企业战略层面分析、评估和管理风险,是把对企业监督控 制从细节控制提升到战略层面及公司治理层面。风险管理比内部控制的范围要广泛得多,如 图 6-6 所示。

(二)前动与后动的平衡 在风险管理框架下的内部控制既包括:提前预测和评估各种现存和潜在风险,从企业整体战 略的角度确定相应的内控应对措施来管理风险,达到控制的效果,又包括在问题或事件发生 后采取后动反应,积极采取修复性和补救性的行为。显然,在未发生风险负面影响前即采取 措施,更能够根据事件或风险的性质,降低风险的损失,降低成本,提高整体管理效率。 (三)治理、风险、控制的整合 依照风险管理的整体控制思维,扩展内部控制的内涵和外延,将治理、风险和控制作为一个 整体为组织目标的实现提供保证。 (四)“从上到下”控制基础和“从下到上”风险基础执行模式的融合 风险管理框架下的内部控制(风险管理)既包括管理层以下的监督控制,又包括管理层以上 的治理控制,按照内部控制五要素分析内部治理控制如表 6-1 所示。 表 6-1 风险管理框架下的公司内部治理控制

内部控制要素

公司治理中的体现(举例,并不全面)

6

控制环境
风险评估
控制 活动 信息 沟通

1. 股东(大)会、董事会、监事会、经理的职责定位与授权; 2. 董事会内部职责分工与授权,如内设的战略、执行、审计、
薪酬、提名、专业委员会等; 3. 董事会、监事会与经理团队的沟通氛围; 4. 股东与董事会的风险偏好; 5. 董事长主持董事会工作,其职业修养与专业能力将影响治
理效果; 6. 董事、监事能力; 7. 独立董事的独立性。
1. 战略、目标、重大经营计划等决策需对内、对外风险充分 评估;
2. 为具体治理活动设计控制措施前需要进行风险评估。
1. 治理结构本身的牵制机制设计,如董事会的设立、独立董 事制度、审计委员会设立等;
2. 企业战略和目标的制定与决策程序; 3. 通过听取业绩报告,董事会对经理战略执行的过程控制; 4. 董事长对经理的决策授权与监督; 5. 董事、监事、经理的考核激励控制; 6. 公司章程,董事会及其下属委员会、监事会的议事规则; 7. 信息披露的控制程序。 1. 股东、董事、监事履行职责时,必须适时得到充分的相关
信息; 2. 董事会与经理团队应建立正常沟通机制,适时了解战略和
目标的执行情况,及时采取行动; 3. 股东分散、不参与企业的经营管理,董事会应按规定适时
披露相关信息,保障所有股东的合法权益。

7

监督

1. 董事会(或审计委员会)聘请独立第三方对经理履行职责 情况的检查;
2. 监事会对董事会与经理的监督检查。

【第六节要点提示】 1、掌握风险管理、内部控制与公司治理的相关概念和方法等内容。 2、掌握公司治理的 10 项基本原则。 3、理解企业风险管理的框架下,风险管理、内部控制、公司治理三者的关系可以从四个方 面来体现的。 第六章 风险管理框架下的内部控制小结

8

9



热文推荐
友情链接: 大学学习资料 人文社科 经营营销资料 工程资料大全 IT文档 自然科学