大鹏大张伟关系:内部控制活动执行基础与内容

内部控制活动执行基础与内容
 
内部控制管理体系内涵的控制活动(ontrol activities)指：企业管理层根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内，是实施内部控制的具体方式。常见的控制措施有：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、重大风险预警机制和突发事件应急处理机制等。换言之，内部控制活动是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权(uthorization)、证实、调整、经营绩效评价、资产保护和职责分离等。企业可依据以下两篇文件为基础，参酌企业、行业特色与需求，制定内部控制管理体系相关的文件，以为执行和内部审计的依据。
 一、中国《企业内部控制基本规范》的构成要素
相关于内部控制体系的演进过程，有诸多文献、巨著可供参考，并非我们讨论的范围，我们所关心的是内部控制体系的主体架构，它是在管理体系整合过程不可或缺的三个基础之一；查阅2008年6月28日，财政部、证监会、审计署、银监会、保监会联合正式发布《企业内部控制基本规范》的内容，除明确指出企业要建立与实施有效的内部控制；主体架构酌用了1992年美国COSO委员会提出报告的《内部控制——整体框架》为基础，具体内容包括：
1.内部环境：内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
2.风险评估：风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。
3.控制活动：控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。
4.信息与沟通：信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。
5.内部监督：内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。
二、COSO报告《内部控制——整体架构》(Internal Control——Integrated Framework) 的构成要素(请参照附图)：
1992年，COSO委员会提出《内部控制——整体框架》的报告，本报告的观点于1995年AICPA 发布的《审计准则公告-第78号》(SAS -No.78)全面接受，具体内容包括：
1.控制环境(Control environment)：任何企业的核心是企业中的人及其活动。人的活动在环境中进行，人的品性包括操守、价值观和能力等，它们既是构成环境的重要要素之一，又与环境相互影响、相互作用。环境要素是推动企业发展的引擎，也是其他一切要素的核心。其在管理体系应展现的具体要点为：
(1)董事会/管理阶层/员工的操守及价值观——企业文化、公司章程、经营方针与策略管理过程；
(2)管理阶层/员工的策略执行能力——重要管理与技术人员名册建立过程；
(3)董事会及监察人的业务执行能力——董事会与监察人员名册；
(4)管理阶层管理哲学及企业经营形态；
(5)企业组织架构；
(6)企业权责分派；
(7)企业人力资源政策及执行。
2.风险评估(risk appraisal)：企业必须制定目标，该目标必须和销售、生产、行销、财务等作业相结合。为此，企业也必须设立可辨认、分析和管理相关风险的机制，以了解自身所面临的风险，并适时加以处理。其在管理体系应展现的具体要点为：
(1)制定企业整体目标；
(2)制定作业层级目标；
(3)建立风险分析及风险管理机制；
(4)建立危机处理、紧急处理机制——对改变进行管理的机制。
3.控制活动(control activity)：企业必须制定控制的政策及程序，并予以执行，以帮助管理阶层保证“为保证其控制目标的实现，其用以辨认并用以处理风险所必须采取的行动业已有效落实”。 其在管理体系应展现的具体要点包括：
(1)销售收款过程标准(至少应包括但不限于)；
①订单处理作业
②授信管理作业
③发货运送及销货退回处理作业
④开立销货发票作业
⑤应收帐款及记录作业
⑥收款作业(包括应收客票及现金收取之执行记录)
⑦客诉处理作业
⑧业务员、经销商管理作业
(2)采购及付款过程标准(至少应包括但不限于)；
①请购作业
②采购作业(包括原料、物料、固定资产及杂项)
③验收作业
④请款作业
⑤退(换)货作业
⑥应付帐款及记录作业
⑦付款作业
⑧零用金(备用金)管理作业
⑨供货商管理作业
(3)生产过程标准(包括安全生产) (至少应包括但不限于)；
①生产计划及排程作业
②开立制令清单及领料作业
③制程管理作业
④质量管理作业
⑤存货进、出入库作业
⑥存货管理及记录作业
⑦生产成本管理作业
⑧安全、卫生管理作业
⑨机械保养管理作业
⑩食品相关行业应有HACCP计划(ISO22000体系)
(4)人事薪工过程标准(至少应包括但不限于)；
①人事数据/档案管理理作业
②人力资源规划作业
③人员招募、雇用、请(休)假、加班、训练、考核、升迁、 辞退(退休)、保险等作业
④决定薪资率、计时、薪资表编制作业
⑤薪资发放、各项代扣(缴)款及记录作业
(5)财务融资过程标准(至少应包括但不限于)；
①借款额度审核作业
②借款合约订定作业
③公司债发行及本、息记录作业
④抵(质)押管理及记录作业
⑤股务处理作业
⑥保证、承兑、租赁等管理及记录作业
⑦税务处理作业
⑧信息凭证保管、处理作业
(6)固定资产购置\处分过程标准(至少应包括但不限于)；
①固定资产增添作业
②固定资产处分作业
③固定资产报废作业
④固定资产保管、移转及记录作业
⑤固定资产折旧提列作业
(7)投资过程标准(至少应包括但不限于)；
①投资分析与风险评估作业
②有價證券、不動產、衍生性商品之投資決策、 買賣、保管、記錄作業
③持股超過百分之五十以上被投資公司其內部控制之直接、間接監督作業
(8)研究发展过程标准(至少应包括但不限于)：
①基礎研究作業
②產品設計、變更作業(包括設計開發之規劃、输入、输出、审查与查证、确认与管制)
③技術研究、發展作業
④產品試作與測試作業
⑤研發資訊及文件處理作業
⑥研发过程各項作業之記錄與保管作業
(9)信息处理电脑化过程标准(E. D. P ) (至少应包括但不限于)；
①信息部门与使用者权责划分作业
②信息部门之功能权责划分作业
③系统开发与程序修改控制作业
④编制系统文书之控制作业
⑤程序及数据之存取控制作业
⑥数据输出入控制作业
⑦数据处理控制、档案及设备之安全控制作业
⑧硬件及软件购置控制作业
⑨使用及维护控制作业
⑩系统复原计划及测试程序之控制作业
(10)公章、财务章等各种戳章使用过程标准；
①戳章使用申请作业
②戳章保管、盘点作业
(11)出纳票据领用过程标准；
(12)预算编制、执行、考核过程标准(预算管理)；
①预算编制模式与管理流程作业
②预算编制主体与目标作业
③预算编制基础、依据与编制流程和编制方法作业
④预算调整作业
⑤预算执行与考核作业
⑥预算执行差异分析与改善追踪作业
⑦预算编制流程改善作业
(13)资产管理过程标准；
(14)背书保证、负债承诺及或有事项过程标准；
(15)职务授权及代理人过程标准；
(16)资金贷予他人过程标准；
(17)信息管理过程标准；
(18)法律事务管理过程标准；
(19)环境保护管理过程；
(20)其他过程标准(上述未涵盖而企业应视需要自行增列的过程标准)。
4.信息和沟通(information and communication)：围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。其在管理体系应展现的具体要点包括：
(1)信息的搜集、整理编制、管理过程；
(2)信息的流通过程。
5.监督(monitoring)。整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。其在管理体系应展现的具体要点包括：
(1)持续性的监督过程；
指管理人员日常目视管理、单据审核、会议等作业。
(2)个别监督过程；
指个人辅导、约谈作业，内部稽核核作业。
(3)缺失的报道、异常改善过程。
①各项过程记录作业；
②内部审计报告、缺失改善确认记录
③客诉处理过程记录
内部控制讲究的是证据，要有审核轨迹可以追寻，因此一般过程记录应保留3年以上(不包括特殊案件凭证)，产品生产凭证至少应超过该产品使用、保固年限以上(凭证保留应遵循相关法规处理)。

         企业建立内部控制基本原则
 企业在建立和设计内部控制框架时必须遵循和依据的客观规律和基本法则，称为内部控制的基本原则。具体包括：
1.合法性原则
       企业在建立、维护和修订其内部控制制度时，一定要遵循国家的各项方针政策，符合有关法律的要求。总体而言，中国先后出台的有关内部控制的规范文件主要有：
(1)1996年12月财政部发布了《独立审计具体准则第9号——内部控制和审计风险》；
(2)1997年5月中国人民银行颁布了《加强金融机构内部控制的指导原则》；(3)中国证监会在l999年发布《关于上市公司做好各项资产减值准备等有关事项的通知》
(4)2000年发布的《公开发行证券公司信息披露编报规则》第1号、第3号、第5号；
(5)1999年颁布、2000年7月实施的《中华人民共和国会计法》，
(6)2005年修订出台了新的《中华人民共和国公司法》。
(7)2008年6月，财政部、证监会、审计署、银监会、保监会五部委联合发布《企业内部控制基本规范》，该规范将于2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。
2.全面性与系统性原则
　　内部控制是一种机制，是一个制度安排，包含了上至企业的文化、治理结构、员工守则等文化道德和公司治理层面，下到政策、流程、工具、内审、考核等操作细节层面，并需要有强劲的管理次级系统作支撑，故而构建内部控制体系时，除了考虑各次级体系在设计目标上的一致性外，还应当使内部控制贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项，也应当考虑各次级系统之间各自的独立性和彼此之间的相互联系，使之成为一个有机体，协同合作，更充分地发挥内部控制体系的作用。
3.重要性、相关性与有效原则
　   内部控制是一个庞大的系统，由很多的要素和子系统组成，但并不是所有的企业在任何时点都需要全部的要素和次系统以及相关的政策程序和流程。所以，企业在内部控制建设的过程中要辩识确认，应当在全面控制的基础上，关注重要业务事项和高风险领域，并根据自己企业的需要挑选适合企业现状的要素、子系统和政策流程，以保证建设过程中的简洁。甄别出需要的要素、子系统和流程后，应该进一步识别出关键流程的控制关键，辨清关键控制点的关键流程，以清晰的政策、简洁的流程框定出关键的控制程序。这样的建设过程符合企业的实际需要，避免了不必要的时间浪费、人力资源浪费和财力的浪费。
　　其次应考量的是，由于构成企业内部控制的各项具体制度由目标一致性和有机的整体性所决定，无论将内部控制制度怎样划分，这些内部控制的具体制度都会出现互相联系、互相影响和互相促进的现象，因此，在设计各项具体制度时，必须注意彼此之间的互相衔接、相辅相成。不能出现彼此对立或者矛盾的现象，从而影响制度的整体性。
4.成本与效率效果原则
　　企业内部控制的制定、执行都要付出成本，但内部控制对防范企业活动的错弊和风险只能是起到合理的保证作用，所以内部控制应当权衡实施成本与预期收益，即无论采取哪种控制都应考虑控制收益大于控制成本的基本要求，所有设置控制点应达到控制收益大于控制成本；当有些业务可以不断增加控制点来达到较高的控制程序，就应考虑采用多少控制点能使控制收益减去控制成本的值最大化；当控制收益难以确定时，应考虑在满足既定控制的前提下，使控制成本最小化。否则，企业建立的内部控制制度越严密，内部控制能力越强，企业为此所要付出的运行和维护等成本越大，企业的效益就会受到影响；同时，由于控制过于严密而对企业的效率也会产生影响，这也将减少企业的效益。
5.适用性原则
       一个内部控制体系如果不具有可操作性，不能在实践中被应用，则这个内部控制体系设计得再完美、体系再严密，也是没有实际使用价值的，也不能给企业带来控制效益。因此，可操作性是构建内部控制体系应遵循的一条重要原则，要达到适用性原则，企业的内部控制建设应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。
　　加强控制已经成为国有企业面临的迫切课题，在建设内部控制体系时，应当充分考虑中国的国情，符合国企的实际情况。国际上权威的“COSO内部控制框架”和美国的萨班斯法案等，不一定适应中国的国情，因为我国的政治、经济、法律、文化等背景与西方有着很大的差异，不能全面照搬西方的模式，应立足国情、大胆借鉴、为我所用，从我国企业战略管理、治理结构的高度建设国有企业的内部控制体系。
6.制衡性原则
       内部控制规范的基本要求是在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制，同时兼顾运营效率。制衡作为一种机制是内部控制的重要构成，但是切忌一味地、片面地强调制衡，在权力分配和业务流程设置上过度制约，会影响企业的效率。
7.合理性、前瞻性原则
　  企业内部控制体系，不应局限于现有的内容，应当具有适当的前瞻性，充分吸收国际上关于企业内部控制建设方面的成功经验，引导企业加强控制，提高管理水平。企业的内部控制不是独立运作的，内部控制的有效运行，一方面依赖内部控制机制本身的合理性，另一方面依赖良好的控制环境和管理基础。只有具备了良好的内部控制支撑系统，内部控制才能彰显出它的管理效率和风险控制能力。