企业内部控制配套指引全文完整内容
企业内部控制配套指引已经颁布,该指引共有十八项
一、企业层面的内部控制
第1号—组织架构 本版指引在总则中对组织架构做了明确定义,指出了企业应当关注的风险,接下来阐述了在组织架构的设计与运行两环节中控制要素的内容。其中在指明企业应关注的风险时应将(一)与(二)次序调换以对应设计与运行两方面。第三章第十条关于对子公司的控制,我认为此项内容不属于组织架构的定义范畴,由于《企业内部控制基本规范》使用范围主要是我国境内大中型企业,作为对《基本规范》内容细化的《应用指引》不应当将对子公司的控制的内容在组织架构项下寥寥几笔一带而过,而是应该自成一项,详细阐述在对子公司的控制中各项控制要素的内容。
第2号—发展战略 包括发展战略的制定和实施两个环节的内控内容。其中在第二章第优条第二段中“企业应当制定战略委员会的议事规则和决策程序”,战略委员会是董事会下设的专门工作机构,它不具备做决策的权利,只是负责对公司长期发展战略和重大投资决策进行研究并提出建议。
第3号—人力资源主要从人力资源的引进与开发、人力资源的使用与退出两方面明确了控制内容。其中第二章第优条第三段“企业选聘人员应当实行岗位回避”,此内容写法过于简单,不利于使用者理解。第三章关于人力资源使用的内容过于简洁,建议补充人力资源考核政策和薪酬与激励政策。
第4号—社会责任 涵盖了安全生产、产品质量、环境保护与资源节约和促进就业与员工权益保护四个责任领域的内部控制内容。在总则第三条最后一段中仅说明了员工权益保护不够可能导致的后果,应补充促进就业不够可导致的后果“社会负担加重”。
第5号—企业文化 主要阐述了在企业文化的培育和企业文化的评估两环节中各项控制要素的内容。
二、业务层面的内部控制
第6号—资金活动 主要阐述了筹资、投资和营运三环节内部控制的内容。其中第一条制定本指引的目的中“防范资金链断裂风险”应表述为“防范资金风险”,资金风险属于财务风险的一种。第十二条第三段中《企业内部控制应用指引》15号不是证券期货业务。第十四条第一段最后一句“以及投资和并购风险是否可控等”应改为“以及投资和并购风险是否可承受”,因为系统风险是不可控的,且此种表述与企业风险管理规定相一致。第二十条第二段最后一句“提高资金效益”应调整为“提高资金使用效益”。
第7号—采购业务 本版将前一版指引中的职责分工与授权批准、请购与审批控制、采购与验收控制和付款控制五个方面合并精简为购买和付款两方面内容。虽然在结构层次上简洁明了,但是在内容上却过于精简,我认为企业在学习使用本版指引多半会感到吃力和费解,对于在企业业务层面风险较高的采购业务而言,需要在本项详细阐明的控制要素不能过于简洁。本版现有内容中第二条企业采购业务至少应当关注的风险应增加“采购未经适当审批或超越授权审批,可能因重大差错、舞弊、欺诈而导致损失”。第四条最后一句“确保物资采购满足企业生产经营需要”应调整为“确保物资采购高效满足企业生产经营需要”,采购高效满足生产经营需要才是执行采购业务内部控制的最终目的。
第8号—资产管理 本版第8号内容是由前一版中存货、固定资产、无形资产三项内容合并精简而成,同样的结构简洁内容不饱满。在第十八条最后一段中提请本版指引制定者思考“企业应该如何关注自身在固定资产处置中的关联交易和处置定价”。
第9号—销售 与第7号—采购业务有同样的利弊。在此不再赘述。
第10号—研究与开发 主要从立项与研究、开发与保护两方面明确了控制内容。其中第二条关于研究与开发的定义应该按《企业会计准则》中研究开发的定义来表述,即“研究是指企业为获取并理解新的科学或技术知识而进行的独创性的有计划调查。开发是指企业在进行商业性生产或使用前,将研究成果或其他知识应用于某项计划或设计,以生产出新的或具有实质性改进的材料、装置、产品等。”第八条内容应并入第七条。
第11号—工程项目、第12号—担保业务与第13号--业务外包三项内容均应补充有关会计系统控制的条款。
第14号—财务报告 包括了从财务报告的编制到财务报告的对外提供再到财务报告的分析利用三环节的内控内容。其中第三条风险(一)中最后一句“遭受损失和声誉受损”应修改为“企业效益和声誉受损”。第三章“财务报告的对外提供”应改为“财务报告的报送和披露”,并相应修改其内容。
第15号—全面预算、第16号—合同管理和第17号—内部信息传递三项内容中应将第17号—内部信息传递第二章“内部报告的形成”修改为“内部报告的形成与传递”,并对添加关于内部报告传递的控制要素内容。
第18号—信息系统 涵盖了信息系统的开发、运行与文护中的控制内容。从《企业内部控制基本规范》实施来看,从美国萨班斯法案成功经验来看,大概有40%左右的工作量是在IT领域,所以对于信息系统的控制应该是重中之重,在指引中应该从内部控制五要素详细进行阐述。本版指引中对于信息系统的控制内容表述不够详尽,应借鉴前一版指引中的相关内容加以扩充。
三、评价与审计
《企业内部控制评价指引》的出台有助于促进企业全面评价内部控制的设计与运行情况,及时发现企业内部控制缺陷,提出和实施改进方案,确保内部控制有效运行,揭示和防范经营风险。
另外,从注册会计师的角度出发,企业内控《规范》和相关《指引》的出台,是重要的制度安排,注册会计师的业务也从财务报告审计扩展到企业经营风险、管理等方面的审计,要求注册会计师在关注企业财务报表的同时,关注企业经营风险和管理漏洞。
四、《企业内部控制基本规范》与《内部会计控制规范》比较
2006年财政部发布了《内部会计控制规范》基本规范及几个具体规范,有的作为试行文件发布,有的作为征求意见稿发布。这些规范无论在结构上,还是操作性上,都不错,给企业财务部门做好会计控制工作提供了较好的指导。可惜还没有形成完整的体系。
2008年五部委发布《企业内部控制基本规范》,意图上看,是借鉴了西方企业内部控制的五要素论,八要素论,把内部控制从会计控制层面向企业控制层面提升,重点突出了风险管理理念,强调全面风险管理和风险关键点控制。但是应用指引草案的质量总体上与内部会计控制规范还有差距,最终效果与财政部的初衷可能会出入很大。其实,内部控制的核心还是业务循环控制,与业务流程控制有关的应用指引可以参考内部会计控制具体规范。
五、对指引结构框架建议
每项指引的第一章均为总则,具体又分为制定依据、内涵和风险点列示三条。但有的指引有第四条,“企业应当…”;有的就没有第四条。如果从指引整体的一致性考虑,能否第一章均为四条内容。
优、本人修改模版
对每一个指引的修改基本上都有总体评价,除了进行修改之外,对修改、增加、删改的理由加以说明。
有些逻辑上我认为不顺的地方也提出调整意见。
特别是有的地方出现“硬伤”,比如第6号指引资金活动,第22页:“第十二条……企业开展证券自营业务投资应当符合《企业内部控制应用指引第15号——证券期货业务》中的有关规定和要求。”在征求意见稿中第15号指引不是证券期货业务。