如何应对《企业内部控制基本规范》

——企业内部控制体系建设

作 者:

作者简介:
李若山,复旦大学管理学院;杨芳,立信锐思内控中心。

原文出处:
审计与理财

内容提要:


期刊代号:F1011
分类名称:财务与会计导刊(实务版)
复印期号:2009 年 07 期

关 键 词:

字号:

      一、梳理企业现有治理结构、完善组织设计及部门设置

      合理的公司治理结构既是内控环境的组成部分,又是内控体系得以顺利实现的基础,所以上市公司首先应该明确自己的战略目标,根据战略目标规范治理结构,对现有组织结构、部门职责进行全方位的梳理,同时还要按照五部委的《内控规范》设立相应的内控部门及部门职责。其次,上市公司还应在上述基础上对公司所有的规章制度进行查缺补漏,整合成符合公司实际需求的制度体系。

      二、建立内部控制系统

      1.对企业风险进行系统评估。风险评估是国内企业最容易忽视的环节,而实际上,这个环节却是建立企业内控体系的一个至关重要的前提。企业应当基于所处行业的特色和企业自身的业务特征,利用专业的评估工具对企业的内外风险进行量化的分析,对风险可能发生的频率和后果赋值,计量风险的严重程度,同时设定企业对风险的容忍限度,对诊断出的所有风险进行排序,随后建立相应的风险数据库及风险应对策略。

      2.建立书面的内部管理手册。在前述建立的风险数据库的前提下,企业的任务是对应于上述风险数据库对企业整个运营管理流程进行分类,针对具体业务流程确定关键岗位、职责表,描述关键控制点及相关的关键控制活动,分析不相容职务表。企业的内部管理手册应该是系统的、可操作的,所以在内部管理手册的最后应当有相应控制活动的对应内审程序及职责表,以便于企业持续的监督,也就是在内控设计有效的基础上确保执行的有效性。

      3.对企业内部管理手册的执行进行持续监督。企业在建立了内部管理手册以后,由专门的、职责独立的内审部门负责日常的监督,并及时直接地向企业内部控制委员会汇报、实施有效控制。内部控制委员会还要制定专项监督制度,对企业的非经常性项目进行不定期的监督,以防止预想之外的风险发生。

      4.根据企业的外部环境及内部业务的变化对内控体系进行动态更新。企业在业务发展的过程中会发生大小各异的内部变化,小到低层员工的变动,大到经营模式的变化,这些变动累积到一定程度会导致原有的风险手册和内控管理手册不再符合企业的实际,特别是2008年全球金融危机,企业面临着极其严酷的竞争环境,该环境加剧了企业风险的可变性。因此,企业的内控体系也应该是一个动态更新的过程。

      我们建议企业在首次建立内控体系或重大动态更新时选择第三方的权威中介机构,既可以借助其专业知识为企业量身定做内控体系,也可以通过培训方式培养企业自身的内控理念和意识。

      三、对外披露:内控自我评估及内控鉴证

      1.内控自我评估。

      (1)声明企业董事会对建立健全和有效实施内部控制负责,并履行了指导和监督职责,能够保证财务报告的真实可靠和资产的安全完整。

      (2)声明已经遵循有关的标准和程序对内部控制设计与运行的健全性、合理性和有效性进行了自我评估。

      (3)对开展内部控制自我评估所涉及的范围和内容进行简要描述。

      (4)声明通过内部控制自我评估,可以合理保证本企业的内部控制不存在重大缺陷。

      (5)如果在自我评估过程中发现内部控制存在重大缺陷,应当披露有关的重大缺陷及其影响,并专项说明拟采取的改进措施。

      (6)保证除了已披露的内部控制重大缺陷之外,不存在其他重大缺陷。

      (7)自资产负债表日至内部控制自我评估报告报出日之间(以下简称报告期内)如果内部控制的设计与运行发生重大变化的,应当说明重大变化情况及其影响。

      (8)依法及时披露的内部控制自我评估报告,经董事会审议批准后公布。

      2.内控鉴证。

      根据国家有关法律、行政法规规定或者监管协议约定应当实行内部控制审计或者评价的企业,应对内部控制审计或者评价工作予以配合。接受委托执行内部控制审计或者评价业务的社会中介机构,应当严格遵照相关法律法规、执业准则和本规范的规定办理相关业务,保持客观独立性,并对出具的内部控制审计或者评价报告的合法性、公允性负责。

相关文章: