《智能手机公司内部控制手册_参考.docx》由会员分享,可在线阅读,更多相关《智能手机公司内部控制手册_参考.docx(124页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、泓域/智能手机公司内部控制手册智能手机公司内部控制手册目录一、 项目简介3二、 公司治理与内部控制的区别7三、 公司治理与内部控制的融合9四、 内部控制演进过程总结12五、 内部控制的演进14六、 控制活动类业务流程28七、 控制手段类业务流程43八、 控制活动的基本原理49九、 内部控制的种类50十、 财产保护控制55十一、 绩效考评控制57十二、 公司治理结构的概念59十三、 股权结构与公司治理结构61十四、 监事64十五、 监事会67十六、 管理层的责任70十七、 高级管理人员72十八、 内部控制的局限性75十九、 内部控制的重要性79二十、 内部控制与企业风险管理的关系分析82二十一、
2、 企业风险管理85二十二、 产业环境分析94二十三、 必要性分析97二十四、 项目风险分析97二十五、 项目风险对策100二十六、 法人治理结构101发展规划分析116(一)公司发展规划1161、公司未来发展战略116公司秉承“不断超越、追求完美、诚信为本、创新为魂”的经营理念,贯彻“安全、现代、可靠、稳定”的核心价值观,为客户提供高性能、高品质、高技术含量的产品和服务,致力于发展成为行业内领先的供应商。116一、 项目简介(一)项目单位项目单位:xx有限公司(二)项目建设地点本期项目选址位于xxx,占地面积约60.00亩。项目拟定建设区域地理位置优越,交通便利,规划电力、给排水、通讯等公用设
3、施条件完备,非常适宜本期项目建设。(三)建设规模该项目总占地面积40000.00(折合约60.00亩),预计场区规划总建筑面积74893.14。其中:主体工程50450.40,仓储工程8288.28,行政办公及生活服务设施8977.50,公共工程7176.96。(四)项目建设进度结合该项目建设的实际工作情况,xx有限公司将项目工程的建设周期确定为24个月,其工作内容包括:项目前期准备、工程勘察与设计、土建工程施工、设备采购、设备安装调试、试车投产等。(五)项目提出的理由1、符合我国相关产业政策和发展规划近年来,我国为推进产业结构转型升级,先后出台了多项发展规划或产业政策支持行业发展。政策的出台
4、鼓励行业开展新材料、新工艺、新产品的研发,促进行业加快结构调整和转型升级,有利于本行业健康快速发展。2、项目产品市场前景广阔广阔的终端消费市场及逐步升级的消费需求都将促进行业持续增长。3、公司具备成熟的生产技术及管理经验公司经过多年的技术改造和工艺研发,公司已经建立了丰富完整的产品生产线,配备了行业先进的染整设备,形成了门类齐全、品种丰富的工艺,可为客户提供一体化染整综合服务。公司通过自主培养和外部引进等方式,建立了一支团结进取的核心管理团队,形成了稳定高效的核心管理架构。公司管理团队对行业的品牌建设、营销网络管理、人才管理等均有深入的理解,能够及时根据客户需求和市场变化对公司战略和业务进行调
5、整,为公司稳健、快速发展提供了有力保障。4、建设条件良好本项目主要基于公司现有研发条件与基础,根据公司发展战略的要求,通过对研发测试环境的提升改造,形成集科研、开发、检测试验、新产品测试于一体的研发中心,项目各项建设条件已落实,工程技术方案切实可行,本项目的实施有利于全面提高公司的技术研发能力,具备实施的可行性。现阶段中国智能手机市场品牌商竞争格局已趋于成熟,智能手机产业链中游品牌商主要为国产品牌华为、vivo、OPPO、小米和国外品牌苹果和三星。但作为成熟行业,智能手机产业链较长,产业链不同环节中也存在较多上市公司。(六)建设投资估算1、项目总投资构成分析本期项目总投资包括建设投资、建设期利
6、息和流动资金。根据谨慎财务估算,项目总投资25371.75万元,其中:建设投资20168.45万元,占项目总投资的79.49%;建设期利息529.52万元,占项目总投资的2.09%;流动资金4673.78万元,占项目总投资的18.42%。2、建设投资构成本期项目建设投资20168.45万元,包括工程费用、工程建设其他费用和预备费,其中:工程费用17062.55万元,工程建设其他费用2537.37万元,预备费568.53万元。(七)项目主要技术经济指标1、财务效益分析根据谨慎财务测算,项目达产后每年营业收入48500.00万元,综合总成本费用39171.59万元,纳税总额4553.02万元,净利
7、润6812.93万元,财务内部收益率19.69%,财务净现值7783.21万元,全部投资回收期6.10年。2、主要数据及技术指标表主要经济指标一览表序号项目单位指标备注1占地面积40000.00约60.00亩1.1总建筑面积74893.14容积率1.871.2基底面积25200.00建筑系数63.00%1.3投资强度万元/亩324.722总投资万元25371.752.1建设投资万元20168.452.1.1工程费用万元17062.552.1.2工程建设其他费用万元2537.372.1.3预备费万元568.532.2建设期利息万元529.522.3流动资金万元4673.783资金筹措万元2537
8、1.753.1自筹资金万元14565.123.2银行贷款万元10806.634营业收入万元48500.00正常运营年份5总成本费用万元39171.596利润总额万元9083.907净利润万元6812.938所得税万元2270.979增值税万元2037.5410税金及附加万元244.5111纳税总额万元4553.0212工业增加值万元15409.7213盈亏平衡点万元20524.47产值14回收期年6.10含建设期24个月15财务内部收益率19.69%所得税后16财务净现值万元7783.21所得税后二、 公司治理与内部控制的区别1、两者的具体目标不同公司治理的目的是保证经济运行系统中的公平和效率
9、,具体地说,就是在所有者(股东)、管理人和其他利益关系人之间建立起合乎公平和效率的经济机制。在这个机制之下,所有者必须提供企业生产经营所需要的基本资金,并享有对企业的最终控制权和剩余分配权;管理者必须尽责工作,不能利用职务之便侵害投资人的利益;企业在追求自身利益的同时不能损害其他利益关系人的权益。而内部控制的目的则是为了保证企业资产安全、会计信息真实完整和经营效率的提高。2、两者的控制主体不同公司治理的主体是股东、董事会、经理层以及其他利益关系人(债权人、社区、政府),包括企业内、外部各有关方面;而内部控制的主体主要是董事会、经理层以及其他员工等,控制主体仅限于公司内部,而且控制重点主要集中于
10、CEO及其之下的业务系统。3、两者所涉及的管理内容不同公司治理的管理内容主要涉及股东、董事会、监事会、总经理之间的委托代理合同关系、控制权的配置(股权结构安排)、剩余分配权的安排等;而内部控制的管理内容主要是环境控制、风险评估、控制活动、信息沟通、内部监督等。4、两者所使用的手段不同公司治理的手段主要有监督和激励两种;而内部控制的手段侧重于职务分离、授权审批、会计系统、财产保护、全面预算、运营分析、绩效考评等控制措施。公司治理在管理思想上重视行为和动机的抑制与激励;而内部控制在管理思想上重视流程控制。5、两者所归属的法规体系不同公司治理的内容主要体现在公司法、证监会颁布的上市公司治理准则、交易
11、所的上市公司治理规则以及企业章程之中;而内部控制则主要体现于会计法和五部委颁布的企业内部控制基本规范、内部控制配套指引以及企业内部控制制度之中。三、 公司治理与内部控制的融合公司治理与内部控制既有不同点,也有相同点,既有分离区域,也有交叉领域。离开公司治理结构,内部控制就没有完整性,当然也就不可能取得风险管理方面的成功;同时,公司治理结构同样也离不开内部控制制度,如果没有完善的内部控制做支撑,公司治理结构所追求的公平与效率的目标也必然会落空。可以看到,公司治理与内部控制实质上是一种互动关系,即有效的公司治理对完善内部控制至关重要;反过来,健全有效的内部控制通过产生高质量的会计信息也能优化公司治
12、理机制。1、内部控制与公司治理不是主体与环境的关系迄今为止,公司治理和内部控制的关系在理论上仍未有统一定论。AICPA的审计准则第55号和COSO的内部控制一整体框架这两个研究报告均把董事会及其对待内部控制的态度认定为内部控制的控制环境,由于董事会是现行公司治理结构的核心,所以很多人认为公司治理结构是内部控制的环境要素,内部控制框架与公司治理机制是内部管理监控系统与制度环境的关系。这种认识是否正确也是值得商榷的。首先,根据哲学环境论的有关知识,环境是与主体相对应并外在于主体的。如果将两者的关系定义为环境论,那么就意味着公司治理与内部控制是两个完全独立的没有重叠和交叉的主体。其次,环境论降低了公
13、司治理对于内部控制所具有的重要意义。按照哲学内外因理论,内因是事物发展变化的根本原因,外因只起一定的促进作用。环境作为非决定性的外部影响因素,其需要通过内部因素的转化才能起作用。这样人们就会有意或者无意地把公司治理结构的影响及其意义缩小。最后,环境论也忽视了内部控制对公司治理的重要性,或者说没有看到内部控制对公司治理具有一定的反向促进作用。公司治理与内部控制并非完全独立,存在着联系与区别。因此,内部控制与公司治理不是主体与环境的关系,而是“你中有我、我中有你”的相互包含、相互融合的关系。2、离开公司治理结构,内部控制就没有完整性公司治理机制有效,才能保证不同层次控制目标的一致性,只有从源头实施
14、内部控制,才能维护各利益相关者的利益;公司治理不能很好地解决所有者和经营者之间的代理问题,则企业管理当局就没有足够的动力去改进内部控制,再好的内部控制也无法提供“合理保证”。内部控制与公司治理不能割裂,需将内部控制纳入公司治理路径之上。两权合一时,股东和股东会直接实施内部控制;两权分离时,利益相关者通过董事会或监事会间接控制,由股东会或董事会设计监控制度,考核、评价经理层绩效。公司治理机制有效,才能保证不同层次控制目标的一致性;只有从源头实施内部控制,才能维护各利益相关者的权益。有效的内部控制应当能够维护所有利益相关者的合法权益,而不是维护某一类或少数利益相关者的权益。3、有效的内部控制是完善
15、公司治理的重要保障从公司治理角度认识内部控制,是正确认识内部控制的本质、发挥内部控制作用的前提,企业内部控制内涵和外延得以升华正是内部治理结构作用的结果。内部控制是在公司治理解决了股东、董事会、监事会、经理之间的权、责、利划分之后,作为经营者的董事会和经理为了保证受托责任的履行,而做出的主要面向次级管理人员的控制。有效的内部控制是完善公司治理的重要保障,如果内部控制失效,其提供的会计信息也就无法真实反映企业的财务状况和经营成果,企业的经营者就无法进行正确的决策。健全有效的内部控制能够确保公司管理行为符合国家法律法规,有利于董事会行使控制权从而提高公司治理效率。健全有效的内部控制可以提供真实可靠
16、的财务信息,有利于所有者和管理者之间的制衡,有利于保障债权人等利益相关者利益,实现共同治理。在我国,事实上企业控制权相当大程度转移到管理者手中,良好的内部控制是公司法人主体正确处理各个利益相关者关系、实现公司治理目标的重要保证。总之,如果内部控制不能与公司治理兼容,将导致治理成本骤增;如果没有健全的内部控制,公司治理留下的空间将导致机会主义行为,由此可能演变为制约公司发展的顽疾。四、 内部控制演进过程总结从内部控制概念及理论演变的过程上分析可以推断出以下几点。1、内部控制的目标范围由小到大,目标层次由低到高早期的内部牵制关注于资产的安全与完整、财务信息的可靠性以防弊为主要目标。而制度二分法及结
17、构分析法则在此基础上把内部控制目标延伸到了提高业务效率,促进经营方针、组织计划的贯彻,以防弊和兴利为共同目标。内部控制整体框架则明确提出了内部控制为经营效率、财务信息可靠、遵循性三个方面提供合理保证。ERM框架将目标分为战略目标、经营目标、报告目标及遵循性目标四种类型。在内部控制整体框架基础上增加了战略目标,并将报告目标扩展为企业所有对内和对外报告。ERM框架明确提出终极目标为增加利益相关者的价值。由此可见,内部控制目标日益扩展,层次由管理的业务层上升到自战略层而下的整个管理过程。2、内部控制的架构由一维的扁平结构演变为三维的立体架构制度二分法将内部控制划分为内部管理控制制度与内部会计控制制度
18、,这是一种简单的“扁平式”的分类。内部控制结构首次提出了“结构”的概念,认为内部控制由三个要素组成了一个三角结构。内部控制整体框架在此基础上丰富了要素,并且明确了要素之间的关系和相互作用。ERM框架则提出了立方体的三维结构。四个目标代表水平面,八个要素代表垂直面,企业整体层、部门、经营单元及附属公司代表纵深面。3、内部控制要素由模糊变为清晰且细化内部控制结构首次提出了构成要素,包括控制环境、控制程序及会计制度。内部控制整体框架扩大了要素内容,包括控制环境、控制活动、风险评估、监控以及信息与沟通五大要素,提出了许多之前没有包括的要素,如风险评估及监控。ERM框架对整合框架进行了细化,提出了内部环
19、境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通及监控八个要素。4、内部控制与公司管理的边界越来越融合从内部控制的演变过程可以看到,内部控制从公司管理的职能之一演变为与公司管理逐渐融合。传统的内部控制职能中,内部牵制承担的是控制的一小部分职责,内部会计控制在保护财产安全及财务信息可靠方面发挥控制职能,内部管理控制则注重于与组织计划的相符以及业务效率等方面。演变后的内部控制结构首次提出了控制环境的要素,在控制环境中包括董事会及其专门委员会、管理思想及经营作风,已涉入战略管理的层次,只是被动反映其静态内容。内部控制整体框架除此以外提及的风险评估要素,要求识别对组织目标能产生影响的各
20、种风险进行评估其影响程度及发生的可能性,对以风险为导向的战略管理的相关内容进行初探。ERM框架则全面反映了公司风险管理的具体内容,从战略目标设定时考虑风险一直到风险识别、风险评估、风险应对以及具体的控制活动,该框架隐含的控制已和公司管理相融合,涉及公司管理的所有层次,控制与管理的职能和界限已经模糊。五、 内部控制的演进内部控制起源于内部牵制,其发展演进过程经历了内部控制制度、制度分野、内部控制结构、内部控制整体框架和企业风险管理框架5个阶段。(一)内部控制制度1、内部会计控制概念的提出19291933年的世界性经济危机后,美国于1934年颁布了证券交易法,在证券交易法中首先提出了“内部会计控制
21、”的概念。1936年,美国会计师协会在其发布的注册会计师对财务报表的审查公告中首次提出审计师在制定审计程序时,应审查企业的内部牵制和控制并且从财务审计的角度把内部控制定义为“保护公司现金和其他资产,检查账簿记录事务的准确性,而在公司内部采用的手段和方法”。这是第一次对内部控制进行定义,这里明确规定了内部控制只是作为“会计资料准确性”的保障措施。这反映了作为会计职业界对内部控制工作应解决问题的关注层面,与人们对“内部控制”的理解及当时内部控制的实务是有一定的差距的。因此,这一定义未能为人们所广泛接受,也未引起会计职业界对内部控制应有的重视。2、夯实在评价内部控制基础上的抽样审计1939年1月,美
22、国证券交易委员会对罗宾斯公司审计案做出了结论,指出当时的审计标准(即注册会计师对财务报表审查)是不适当的,审计方法的使用连表面的目的也达不到。这个结论促使美国注册会计师协会建立了审计程序委员会,并于1939年5月提出了名为审计程序的扩展的文件,对当时的审计程序做了修订,其中把强化内部控制制度审计作为主要内容。1941年,美国社会各界已普遍意识到企业内部控制的重要性,认为企业经营范围和规模的变化使得管理必须依靠大量的反映经济活动的分析资料和报告;健全的内部控制有助于防止工作人员出现差错,减少发生不合规现象的可能性;审计部门在审计费用的严格限制下,如果不依靠客户的内部控制系统,那么对大部分企业进行
23、审计是不可能的。在理论上明确了内部控制的主要目标是“防错纠弊”,没有内部控制的企业就不具备基本的审计条件,第一次把内部控制作为现代审计的一个必要前提。但是,有关内部控制至此尚未形成一个权威的定义。3、历史上第一个被广泛接受的内部控制权威定义1949年,美国注册会计师协会所属的审计程序委员会,在其公布的内部控制:一个协调的系统要素及其对管理层和独立公共会计师的重要性的研究报告中,对内部控制做了专门的定义。这个定义成为人类社会有史以来第一个被广泛接受的权威定义,内部控制包括组织的计划和企业为了保护资产、检查会计数据的准确性和可靠性、提高经营效率以及促使遵循既定的管理方针等所采用的所有方法和措施。该
24、报告是从企业经营管理的角度来定义内部控制的,内容不局限于与会计和财务部门直接有关的控制,还包括预算控制、成本控制、定期报告、统计分析、培训计划和内部审计以及技术与其他领域的经营活动,从理论上给出了内部控制的宽泛内涵。该定义得到了公司经理们的普遍赞同,也就是说,审计界给出的内部控制定义从当时管理者的角度来说也是适用的。然而,1949年美国注册会计师协会把内部控制定义为保证目标实现的方法和措施,这是一个理想化的概念,这个定义把内部控制看成万能的工具,即只要实施了内部控制,目标就一定能实现。另外,在财务报表审计中,注册会计师应对内部控制检查到什么程度,该定义在这些方面提供的指导却很少,使得很多从业者
25、对这个近乎无限的内部控制定义感到无所适从。(二)制度分野1、内部控制分为会计控制和管理控制审计界提出内部控制概念的目的是为了满足财务审计的需要,与管理人员对内部控制的理解不一致,因此,审计人员认为1949年的定义内容过于宽泛,超出了他们评价被审计单位所应承担的责任。迫于这种压力,也为了满足审计人员在审计中对内部控制进行检查的业务需要,美国注册会计师协会所属的审计程序委员会于1953年颁发了审计程序说明第19号,对内部控制定义做了正式修正,把内部控制分为会计控制和管理控制,会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此相关的方法和程序构成。会计控制包括授权与批准制度,记账、编制财务报
26、表、保管财务资产等职务分离,财产的实物控制以及内部审计等控制。管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻或与此直接有关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接的关系,包括统计分析、时效研究、经营报告、雇员培训计划和质量控制等。把内部控制分为会计控制和管理控制,目的是为了明确注册会计师审查企业内部控制的范围。2、注册会计师应主要关注会计有关控制1963年,审计程序委员会在审计程序说明第33号中进一步指出,“注册会计师应主要检查会计控制。”会计控制一般对财务记录产生直接的、重要的影响,审计人员必须对它做出评价。管理控制通常只对财务记录产生间接
27、影响,因此审计人员可以不对其做评价,只是在足以影响财务记录可靠性时才予以审计。这次修正后的内部控制定义,大大缩小了注册会计师的责任范围,但对于“会计控制”的保护资产和保证财务记录可靠性仍然缺乏统一的认识。为了消除这种认识分歧带来的对审计责任问题的模糊认识,1972年,美国注册会计师协会对会计控制又提出并通过了一个较为严格的定义:会计控制是组织计划和所有与下面直接相关的方法和程序:保护资产,即在业务处理和固定资产处置过程中,保护资产免遭过失错误、故意致错或舞弊造成的损失;保证对外界报告的财务资料的可靠性。3、对会计控制和管理控制的重新定义1973年的审计程序公告第1号对会计控制和管理控制再一次做
28、了重新定义:“管理控制包括但不限于组织的计划以及与导致管理层批准交易的决策过程相关的程序和记录。交易的批准是一种直接和实现组织目标的责任相联系的管理职能,是对经济业务进行会计控制的起点。会计控制由组织的计划以及与保障资产和财务记录的可靠性相关,为以下各点提供合理保证而制定的程序和记录组成:经济业务的执行符合管理部门的一般授权或特殊授权的要求;经济业务的记录必须有利于按照公认会计原则或其他标准编制财务报表落实资产责任:只有在得到管理部门批准的情况下,才能接触资产;按照适当的间隔期限,将财产的账面记录与实物资产进行对比,一经发现差异,应采取相应的补救措施。”值得注意的是,内部控制以交易为主要对象,
29、使内部控制具有可操作性。与1949年的定义相比,这些定义过于消极,仅仅从财务审计的实际出发,范围过于狭隘,把过多的精力和目标放在了查错防弊上,人为地限制了内部控制理论与实践的发展,最终的结果是审计师与管理者对内部控制的认识和理解出现了分歧和差异,分化出了审计视角的内部控制和管理视角的内部控制,这一阶段即为制度分野阶段。(三)内部控制结构随着内部控制活动在实践中的运用,人们发现内部控制并非神丹妙药。20世纪70年代初,美国政府在对水门事件的调查中,发现某些公司为了做成贸易和保持贸易关系,竞贿赂某些外国政府官员和政党。而为了掩盖这些不合法支出,他们往往伪造会计记录,或另设账外记录。有鉴于此,197
30、7年后,美国政府就将“每个公司必须设计和建立有效的内部控制制度”以立法形式在反国外行贿法中予以颁布。这是第一次强制性地将建立内部控制制度纳入法律管辖的范围。同时,审计人员在短时间内,要对被审计单位的财务状况和经营情况做出正确评价,也需要依赖被审计单位相关的内部控制制度。否则,审计风险将难以控制。因此,审计与内部控制联系日趋紧密。1985年,反虚假财务报告委员会(通常称为Treadway委员会)成立,1987年,Treadway委员会提交了研究报告,在报告中指出防止虚假财务报告需从报告产生的环境着手,即从最高管理当局开始;所有上市公司需保持良好内部控制,以发现和防范虚假财务报告行为。该委员会还建
31、议,其赞助机构成立COSO委员会,专门研究内部控制问题。(四)内部控制整体框架20世纪90年代,随着美国财务破产事件发生概率的增加和财务舞弊调查的不断深入,内部控制研究取得了新的进展。1992年,COSO委员会提出内部控制一整体框架,并于1994年进行了修订。这就是著名的“COSO报告(简称COSO92)”,它被称为是最广泛认可的关于内部控制整体框架的国际标准。在COSO委员会出具这个报告之前,不同的人对内部控制有不同的见解,由于内部控制内涵的广泛性和多样性使得难以对内部控制有一个公认的了解,这就造成了经商人员、立法者、监管机构和其他有关方的困惑,同时导致企业由于沟通有误和期望不同产生问题。所
32、以COSO内部控制框架是建立在考虑管理层和其他方面的需求和期望的基础上,把对内部控制不同的概念整合到一个框架当中,从而达成对内部控制的共识,确定内部控制的构成要素,试图提供一个标准,无论公司规模大小、公众的还是私人的、营利的还是非营利的业务和企业,都可以参考此标准评估他们的控制系统及如何改进,从而帮助公司和企业管理层更好地控制组织的活动。1、内部控制定义与目标COSO认为“内部控制是由董事会、管理当局和其他职员实施的一个过程,旨在为经营的效率和效果、财务报告的可靠性、相关法令的遵循提供合理保证”。内部控制服务于很多重要目标,人们要求越来越好的内部控制系统和内部控制的相关报告。内部控制也越来越被
33、视为解决各种潜在问题的有效方法。COSO报告指出,内部控制是为实现以下三类目标提供合理保证的:经营的效率和效果、财务报告的可靠性、相关法令的遵循性。第一类目标针对企业的基本业务目标,包括业绩和盈利目标及资产的安全性;第二类目标关注于企业公开发布的财务报告,包括中期和简要财务报表;第三类目标涉及企业所适用的法律及法规的遵循。相互有别、又有交叉的分类满足了不同的需要,表明了不同执行人员的直接责任,此分类也便于区分从每一类内部控制中得到我们所期望的东西。达到这些目标在很大程度上依赖于外部各方标准的设定,取决于企业如何控制其内部行为,但是经营目标的取得,并不完全在公司的控制范围之内,内部控制不能避免错
34、误地判断或决定或者可能导致经营目标无法实现的外部事件。对于这些目标,内部控制系统只有在管理层和董事会在监督职责的范围内及时地指导公司向目标迈进的时候,才能提供合理的保证。内部控制是对企业的整个经营管理活动进行监督与控制的过程,企业的经营活动是永不停止的,企业的内部控制过程也因此不会停止。企业内部控制不是一项制度或一个机械的规定,而是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。2、内部控制因素内部控制包括5个互相关联的构成要素,它们来自管理层经营企业的方式,并贯穿于管理过程之中。这些构成要素包括控制环境、风险评估、控制活动、信息与沟通和监控。(1)控制环境。所有业务的核心都是
35、人员及他们开展经营所处,的环境,包括员工的诚实和职业道德、员工的胜任能力、董事会及监事会的参与、组织机构、权力和责任的规定等。它是由管理层倡导的一种正直、伦理道德风气、管理宗旨、经营方式和人力资源政策,使职员自觉管理其活动和履行他们的责任。管理部门应通过文字描述和范例以及采取相应的监控措施来影响全体职员,以提高他们的伦理道德水准。控制环境是所有事情赖以生存的基础。(2)风险评估。企业为实现其目的而确认分析相关风险,已构成进行风险管理的基础。通常风险来自经营环境的变化、新员工聘用、采用新的信息系统、新技术的应用、企业改组、新会计方法的采用等。管理当局应对目标完成期间与企业相关的风险进行识别、预见
36、,并采取相应避险的管理控制措施。风险评估应测定风险对货币项目及对会计主题形象或信誉方面的重要性、风险发生的概率、如何减轻风险至可以承受的水平。不过,内部控制只能防范风险,不能转嫁、承担、化解或分散风险。所以必须设定目标,整合销售、生产、营销、财务和其他活动,以便使组织协调一致地运行。(3)控制活动。控制活动是为实现内部控制目标提供合理保证而制定的各项政策、程序和规定,对所确认的风险采取必要措施,以保证单位目标实现的程序。它包括业绩评价、信息处理控制、实物控制、职务分离等。(4)信息与沟通。围绕在这些活动周围的信息与沟通系统,能及时反馈各程序执行过程中遇到的问题,使员工能够获得和交换那些执行、管
37、理和控制其经营活动所需要的信息,从而保证控制活动的正常运行。(5)监控。监控是为保证内部控制的适当性和有效性而进行的日常和定期监督、检查。根据内部控制具体实施的机制,内部控制通常又可以分为两个层面:第一个层面是企业的管理制度,又称为“管理控制系统”,它是建立在公司治理基础上,通过检查和改进有关管理政策和程序,有效控制企业运行,不断提高企业的经营效率和效益,实现投资人投入资本的保值增值;第二个层面是企业的会计制度,又称为“会计控制系统”,通过适当的业务权限设置和授权、准确的会计记录、及时的实物盘点,以及公允的报告等程序和方法,保证企业经营和财务状况信息的可靠性,保障投资人财产安全。这一层内部控制
38、制度可以认为是最具体的控制。因而会计信息的存在与有效传递,影响到控制制度有效性地发挥。(五)企业风险管理框架1、产生背景自COSO92发布以来,内部控制框架已经被世界上许多企业采用,但理论界和实务界也纷纷对该框架提出改进建议,认为其对风险强调不够,使得内部控制无法与企业风险管理相结合。因此,2001年,COSO开展了一个项目,委托普华永道开发一个对于管理当局评价和改进他们所在组织的风险管理的简便易行的框架。正是在开发这个框架的期间,2001年12月,美国能源巨头安然公司突然申请破产保护,此后上市公司和证券公司丑闻不断,特别是2002年6月的世界通信公司会计丑闻事件,彻底打击了投资者对资本市场的
39、信心。安然、环球电讯、世界通信、施乐等一批企业纷纷承认存在财务舞弊在国际资本市场上引起轩然大波,这些失败案例在很多方面值得深思。例如,管理层僭越控制、利益冲突、缺乏职责分离、透明度不足或欠缺、风险管理未加统一协调、董事会监督无效,以及会导致职能失调、渎职行为的薪酬结构失衡等,都会对企业产生影响。2、基本概念2003年,COSO发布了名为企业风险管理框架(草稿)的报告,来征求意见。2004年9月,COSO委员会在借鉴以往有关内部控制研究报告的基本精神的基础上,结合萨班斯一奥克斯利法案在财务报告方面的具体要求,正式公布企业风险管理整体框架,简称ERM框架或COSO04。ERM框架在COSO92的基
40、础上进行了适当的补充和拓展,主要包括概要、ERM的意义、框架概览、要素、局限性、相关责任等章节。该报告指出,企业风险管理是一个过程,由一个企业的董事管理当局和其他人员实施,应用于战略制定并贯穿于企业当中,旨在识别可能影响企业的潜在事项,并将风险控制在企业可接受范围之内,为企业目标的实现提供合理保证。这个定义反映了几个基本要素,它表明企业风险管理是:(1)一个过程,它持续地流动于主体之内;(2)由组织中各个层级的人员实施;(3)应用于战略制订;(4)贯穿于企业,在各个层级和单元应用,还包括采取主体层级的风险组合观;(5)旨在识别一旦发生将会影响主体的潜在事项,并把风险控制在风险容量以内;(6)能
41、够向一个主体的管理当局和董事会提供合理保证(7)力求实现一个或多个不同类型但相互交叉的目标。这个定义比较宽泛。它抓住了对于公司和其他组织如何管理风险至关重要的概念,为不同组织形式、行业和部门的应用提供了基础。第一,突出“企业”的重要性。内部控制是企业自己的事,是企业内部积极的需求,而非外部强加的压力,它直接关注特定主体既定目标的实现,并为界定企业风险管理的有效性提供了依据,这是对COSO92内部控制思想的重大突破;第二,突出“风险”的重要性。强调风险管理理念、风险文化、风险偏好(风险承受度),用于制定战略之中,并贯穿于整个企业;第三,突出“管理”的重要性。实现从控制到管理的转变,引入战略观念,
42、同时提升了董事会在战略决策中的地位和作用。3、基本框架企业风险管理包含四大目标、八个相互关联的构成要素以及贯穿于企业的各个层级和单元应用。在主体既定的使命或愿景范围内,管理当局制订战略目标、选择战略,并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的战略、经营、报告和合规四种类型的目标。企业风险管理的构成要素来源于管理当局经营企业的方式,并与管理过程结合在一起,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。这8个要素并不是简单的并列关系,它们之间存在着一定的逻辑关系,内部控制是企业风险管理的前提;从目标设定到事项识别、风险评估、风险应对、控制活
43、动,是一个风险管理的过程;信息与沟通、监控是企业风险管理的基础。根据COSO的这份研究报告,内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一体系。同时,对内部控制的要素的进一步细分和充实,使内部控制与风险管理日益融合,拓展了内部控制。六、 控制活动类业务流程为了有效保证公司各项经营活动高效地运作,保证会计信息的可靠、完整,资产安全,有效地降低公司经营风险,企业内部控制应用指引从业务层面将企业的活动分为资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告九个方面,并逐一做了说明。下面以企业内部控制应用指引为基础,介绍业务层面的九个控制
44、流程。(一)资金活动资金活动是指企业筹资、投资和资金营运等活动的总称。资金是企业生产经营循环的血液,是企业生存和发展的基础,决定着企业的竞争能力和可持续发展能力。企业资金活动中可能存在的风险无一不是重要风险,一旦转变为现实,则危害重大。概括地讲,企业资金活动面临的重要风险包括:筹资决策不当,引发资本结构不合理或无效融资,可能导致企业筹资成本过高或债务危机;企业投资决策失误引发盲目扩张或丧失发展机遇,可能导致资金链断裂或资金使用效益低下;资金调度不合理、营运不畅,可能导致企业陷入财务困境或资金冗余;资金活动管控不严,可能导致资金被挪用、侵占、抽逃或遭受欺诈。针对上述风险,资金活动应用指引分别对筹
45、资、投资和资金营运活动提出下列管控措施。(1)根据筹资目标和规划,结合年度全面预算,拟订筹资方案,并对筹资方案进行科学论证;重大筹资方案还应当形成可行性研究报告,全面反映风险评估情况。(2)对筹资方案进行严格审批后,按照规定权限和程序筹集资金。同时,严格按照筹资方案确定的用途使用资金,防止资金挪用;确需改变资金用途的,应当履行相应的审批程序。(3)加强债务偿还和股利支付环节的管理,对偿还本息和支付股利等做出适当安排,防止发生违约风险,导致诉讼损失。(4)根据投资目标和规划,合理安排资金投放结构,科学确定投资项目,拟订投资方案,重点关注投资项目的收益和风险;选择投资项目应当突出主业,谨慎从事衍生
46、金融产品等高风险投资。如,在国际金融危机中,我国少数企业从事的投资项目偏离主业,同时又缺乏相关专业人才和风险管控经验,导致企业发生巨亏。这些教训值得认真汲取。(5)严格控制采用并购方式进行投资企业的并购风险,重点关注并购对象的隐性债务、承诺事项、可持续发展能力、员工状况及其与本企业治理层及管理层的关联关系,合理确定支付对价,确保实现并购目标。这项要求对于我国企业境外并购具有很好的提示作用。(6)加强对投资方案的可行性研究,并按照规定的权限和程序对投资项目进行决策审批;审批后,与被投资方签订投资合同或协议,明确出资时间、金额、方式、双方权利义务和违约责任等内容。(7)加强对投资收回和处置环节的控
47、制;对于到期无法收回的投资,应当建立责任追究制度。(8)加强对资金营运全过程的管理,统筹协调内部各机构在生产经营过程中的资金需求,切实做好资金在采购、生产、销售等各环节的综合平衡,实现资金营运的良性循环,提升资金营运效率。(二)采购业务采购是指购买物资(或接受劳务)及支付款项等相关活动。部分企业在办理采购业务时不同程度地存在以下问题:采购计划安排不合理,市场变化趋势预测不准确,造成库存短缺或积压,导致企业生产停滞或资源浪费;供应商选择不当,采购方式不合理,招投标或定价机制不科学,授权审批不规范,致使采购物资质次价高,出现舞弊或遭受欺诈;采购验收不规范,付款审核不严,造成采购物资、资金损失或信用受损。为此,采购业务应用指引要求企业加强请购、审批、购买、验收、付款、采购后评估等环节的风险管控,确保物资采购满足企业生产经营需要。(1)企业的采购业务尽量集中,避免多头采购或分散采购,以提高采购业务效率,降低采购成本,堵塞管理漏洞。(2)建立采购申请制度,依据购买物资或接受劳务的类型,确定规管部门,明确相关部门或人员的职责权限及相应的请购和
限制150内