第五講內(nèi)部控制的規(guī)范

第五講內(nèi)部控制的規(guī)范

白華

暨南大學會計學系

引子讀書樂

人看風光我看書，

拈花一笑不可說。

心中自有乾坤在，

隨時隨地看山河。目錄一、總體概況二、企業(yè)內(nèi)部控制基本規(guī)范三、企業(yè)內(nèi)部控制配套指引

（一）總體概況

1.中國版薩班斯法案的由來2.中國內(nèi)部控制體系

1.中國版薩班斯法案的由來2002年，美國頒布《薩班斯法案》。第404節(jié)規(guī)定：(a)內(nèi)部控制方面的要求：(1)公司管理層建立和維護內(nèi)部控制系統(tǒng)的責任；(2)管理層對內(nèi)部控制系統(tǒng)的評價。(b)內(nèi)部控制評價要求：擔任公司年報審計的會計師事務(wù)所應(yīng)當對其進行評價，并出具報告。評價和報告應(yīng)當遵循SEC發(fā)布或認可的準則。中國企業(yè)內(nèi)部控制標準委員會

2006年7月15日財政部、國資委、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會發(fā)起成立中國企業(yè)內(nèi)部控制標準委員會。秘書處設(shè)在財政部會計司。2.中國內(nèi)部控制體系

2008年6月28日，《企業(yè)內(nèi)部控制基本規(guī)范》2010年4月26日，《企業(yè)內(nèi)部控制配套指引》，含《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制評價指引》和《企業(yè)內(nèi)部控制審計指引》。2012年11月29日，《行政事業(yè)單位內(nèi)部控制規(guī)范》2013年12月28日，《石油石化行業(yè)內(nèi)部控制操作指南》2014年12月23日，《電力行業(yè)內(nèi)部控制操作指南》2017年6月29日，《小企業(yè)內(nèi)部控制規(guī)范（試行）》關(guān)于做好上市公司內(nèi)部控制規(guī)范試點有關(guān)工作的通知（2011年31號文，2011年2月14日）一、實施及試點公司的范圍1、按規(guī)定實施類．境內(nèi)外同時上市的

68

家公司，按規(guī)定

2011

年應(yīng)實施內(nèi)控規(guī)范。

2、自愿試點類。選取了216家公司參加內(nèi)控規(guī)范試點。分為兩種情況：（1）指定了深圳轄區(qū)78家公司和3家央企上市公司參加內(nèi)控試點。（2）推薦了135家上市公司進行內(nèi)控試點。

二、實施要求

1、按規(guī)定實施類公司，應(yīng)嚴格按照規(guī)范的要求實施。

2、自愿試點類公司，應(yīng)按照要求。母公司及選取的子公司總資產(chǎn)、營業(yè)收入和凈利潤三項指標同時要占

2010

年合并財務(wù)報表相應(yīng)指標的

50％以上。

關(guān)于2012年主板上市公司分類分批實施企業(yè)內(nèi)部控制規(guī)范體系的通知（2012.8財政部、證監(jiān)會）

（一）中央和地方國有控股上市公司，應(yīng)于2012年全面實施企業(yè)內(nèi)部控制規(guī)范體系，報告并經(jīng)審計。（二）非國有控股主板上市公司，且于2011年12月31日公司總市值在50億元以上，同時2009年至2011年平均凈利潤在3000萬元以上的，應(yīng)在披露2013年公司年報的同時，報告并經(jīng)審計。（三）其他主板上市公司，應(yīng)在披露2014年公司年報的同時，報告并經(jīng)審計。（四）特殊情況考慮在上述規(guī)定時間范圍內(nèi)，鼓勵公司在自愿的基礎(chǔ)上提前執(zhí)行企業(yè)內(nèi)部控制規(guī)范體系的披露要求。關(guān)于加快構(gòu)建中央企業(yè)內(nèi)部控制體系有關(guān)事項的通知（國資委、財政部，2012.5）各中央企業(yè)應(yīng)當自2013年起，于每年5月31日前向國資委報送內(nèi)部控制評價報告，同時抄送派駐本企業(yè)監(jiān)事會?！蛾P(guān)于加強中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作的實施意見》（2019年10月19日，國資發(fā)監(jiān)督規(guī)[2019]101號）建立健全以風險管理為導向、合規(guī)管理監(jiān)督為重點，嚴格、規(guī)范、全面、有效的內(nèi)控體系。對內(nèi)控體系的有效性進行全面自評，客觀、真實、準確揭示經(jīng)營管理中存在的內(nèi)控缺陷、風險和合規(guī)問題，形成自評報告，并經(jīng)董事會或類似決策機構(gòu)批準后按規(guī)定報送上級單位。集團要在子企業(yè)全面自評的基礎(chǔ)上，制定年度監(jiān)督評價方案，圍繞重點業(yè)務(wù)、關(guān)鍵環(huán)節(jié)和重要崗位，組織對所屬企業(yè)內(nèi)控體系有效性進行監(jiān)督評價，確保每3年覆蓋全部子企業(yè)。委托外部審計機構(gòu)對部分子企業(yè)內(nèi)控體系有效性開展專項審計，并出具內(nèi)控體系審計報告。內(nèi)控體系監(jiān)管不到位、風險事件和合規(guī)問題頻發(fā)的中央企業(yè)，必須聘請具有相應(yīng)資質(zhì)的社會中介機構(gòu)進行審計評價，切實提升內(nèi)控體系管控水平。《2020年中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作有關(guān)事項》（2019年12月26日國資廳發(fā)監(jiān)督規(guī)[2019]44號）各中央企業(yè)要以“強內(nèi)控、防風險、促合規(guī)”為目標，進一步整合優(yōu)化內(nèi)控、風險和合規(guī)管理相關(guān)制度，完善內(nèi)控缺陷認定標準風險評估標準和合規(guī)評價標準，構(gòu)建相互融合、協(xié)同高效的內(nèi)控監(jiān)管制度體系。各中央企業(yè)要以“強內(nèi)控、防風險、促合規(guī)”為目標，進一步整合優(yōu)化內(nèi)控、風險管理和合規(guī)管理監(jiān)督工作，按一體化要求編制2019年度內(nèi)控體系工作報告，不再分別報送《中央企業(yè)內(nèi)部控制評價報告》和《中央企業(yè)年度風險管理報告》。深圳證券交易所主板上市公司規(guī)范運作指引（2015年修訂）8.7.9上市公司董事會應(yīng)當根據(jù)內(nèi)部審計部門出具的評價報告及相關(guān)資料，對與財務(wù)報告和信息披露事務(wù)相關(guān)的內(nèi)部控制制度的建立和實施情況出具年度內(nèi)部控制自我評價報告。公司監(jiān)事會和獨立董事應(yīng)當對此報告發(fā)表意見。8.7.10會計師事務(wù)所在對上市公司進行年度審計時，應(yīng)當參照有關(guān)主管部門的規(guī)定，就公司財務(wù)報告內(nèi)部控制情況出具評價意見。深圳證券交易所中小板上市公司規(guī)范運作指引（2015年修訂）8.8.2董事會或者其專門委員會應(yīng)當根據(jù)內(nèi)部審計部門出具的評價報告及相關(guān)資料，對與財務(wù)報告和信息披露事務(wù)相關(guān)的內(nèi)部控制制度的建立和實施情況出具年度內(nèi)部控制自我評價報告。8.8.3上市公司董事會應(yīng)當在審議年度報告的同時，對內(nèi)部控制自我評價報告形成決議。監(jiān)事會和獨立董事應(yīng)當對內(nèi)部控制自我評價報告發(fā)表意見，保薦機構(gòu)應(yīng)當對內(nèi)部控制自我評價報告進行核查，并出具核查意見。8.8.4上市公司在聘請會計師事務(wù)所進行年度審計的同時，應(yīng)當至少每兩年要求會計師事務(wù)所對內(nèi)部控制設(shè)計與運行的有效性進行一次審計或者鑒證，出具內(nèi)部控制審計報告或者鑒證報告。會計師事務(wù)所在內(nèi)部控制審計報告、內(nèi)部控制鑒證報告中，應(yīng)當對財務(wù)報告內(nèi)部控制的有效性發(fā)表審計意見或者鑒證意見，并披露在內(nèi)部控制審計或者鑒證過程中注意到的非財務(wù)報告內(nèi)部控制的重大缺陷。深圳證券交易所創(chuàng)業(yè)板上市公司規(guī)范運作指引（2015年修訂）8.8.2董事會應(yīng)當根據(jù)內(nèi)部審計部門出具的評價報告及相關(guān)資料，對與財務(wù)報告和信息披露事務(wù)相關(guān)的內(nèi)部控制制度的建立和實施情況出具年度內(nèi)部控制自我評價報告。8.8.4上市公司董事會應(yīng)當在審議年度報告的同時，對內(nèi)部控制自我評價報告形成決議。監(jiān)事會和獨立董事應(yīng)當對內(nèi)部控制自我評價報告發(fā)表意見，保薦人應(yīng)當對內(nèi)部控制自我評價報告進行核查，并出具核查意見。2008年6月28日，五部委發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》，自2009年7月1日起，在上市公司范圍內(nèi)施行，鼓勵非上市的大中型企業(yè)執(zhí)行。執(zhí)行本規(guī)范的上市公司，應(yīng)當對本公司內(nèi)部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業(yè)務(wù)資格的會計師事務(wù)所對內(nèi)部控制的有效性進行審計。二、企業(yè)內(nèi)部控制基本規(guī)范

企業(yè)內(nèi)部控制基本規(guī)范第一章總則第二章內(nèi)部環(huán)境第三章風險評估第四章控制活動第五章信息與溝通第六章內(nèi)部監(jiān)督第七章附則第一章總則目的和依據(jù)適用范圍：大中型企業(yè)概念界定原則：全面性、重要性、制衡性、

適應(yīng)性、成本效益性要素執(zhí)行要求第二章內(nèi)部環(huán)境內(nèi)部環(huán)境是企業(yè)實施內(nèi)部控制的基礎(chǔ)，一般包括治理結(jié)構(gòu)、機構(gòu)設(shè)置及權(quán)責分配、內(nèi)部審計、人力資源政策、企業(yè)文化等。COSO控制環(huán)境五要素和七要素誠信與道德價值觀勝任能力董事會與審計委員會管理哲學與行事作風組織結(jié)構(gòu)權(quán)責分配人力資源政策誠信與道德價值觀勝任能力與人力資源政策董事會監(jiān)督組織結(jié)構(gòu)權(quán)責分配問責制第三章風險評估風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關(guān)的風險，合理確定風險應(yīng)對策略。風險評估矩陣與風險應(yīng)對策略高可能性低低高右邊后果嚴重下邊可能性大分擔降低承受規(guī)避后果風險評估矩陣示例第四章控制活動控制活動是企業(yè)根據(jù)風險評估結(jié)果，采用相應(yīng)的控制措施，將風險控制在可承受度之內(nèi)?？刂拼胧┮话惆ǎ翰幌嗳萋殑?wù)分離控制、授權(quán)審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預(yù)算控制、運營分析控制和績效考評控制等。

第五章信息與溝通信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關(guān)的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通。反舞弊機制

第六章內(nèi)部監(jiān)督內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查，評價內(nèi)部控制的有效性，發(fā)現(xiàn)內(nèi)部控制缺陷，應(yīng)當及時加以改進。內(nèi)部監(jiān)督分為日常監(jiān)督和專項監(jiān)督。日常監(jiān)督是指企業(yè)對建立與實施內(nèi)部控制的情況進行常規(guī)、持續(xù)的監(jiān)督檢查；專項監(jiān)督是指在企業(yè)發(fā)展戰(zhàn)略、組織結(jié)構(gòu)、經(jīng)營活動、業(yè)務(wù)流程、關(guān)鍵崗位員工等發(fā)生較大調(diào)整或變化的情況下，對內(nèi)部控制的某一或者某些方面進行有針對性的監(jiān)督檢查。專項監(jiān)督的范圍和頻率應(yīng)當根據(jù)風險評估結(jié)果以及日常監(jiān)督的有效性等予以確定。第七章附則解釋權(quán)：財政部會同國務(wù)院其他有關(guān)部門。配套辦法：另行制定。實施時間：自2009年7月1日起實施。三、企業(yè)內(nèi)部控制配套指引2010年4月26日，五部委發(fā)布《企業(yè)內(nèi)部控制配套指引》。該配套指引包括：18項《企業(yè)內(nèi)部控制應(yīng)用指引》；《企業(yè)內(nèi)部控制評價指引》；《企業(yè)內(nèi)部控制審計指引》。連同此前發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》，標志著中國企業(yè)內(nèi)部控制規(guī)范體系基本建成。（一）《應(yīng)用指引》第7號——采購業(yè)務(wù)第8號——資產(chǎn)管理第9號——銷售業(yè)務(wù)第10號——研究與開發(fā)第11號——工程項目第12號——擔保業(yè)務(wù)第13號——業(yè)務(wù)外包第14號——財務(wù)報告第15號——全面預(yù)算第16號——合同管理第17號——內(nèi)部信息傳遞第18號——信息系統(tǒng)第1號——組織架構(gòu)第2號——發(fā)展戰(zhàn)略第3號——人力資源第4號——社會責任第5號——企業(yè)文化第6號——資金活動如何與《企業(yè)內(nèi)部控制基本規(guī)范》對接？（二）《評價指引》共五章27條是指企業(yè)董事會或類似權(quán)力機構(gòu)對內(nèi)部控制的有效性進行全面評價、形成評價結(jié)論、出具評價報告的過程。1.內(nèi)部控制評價主體企業(yè)董事會應(yīng)當對內(nèi)部控制評價報告的真實性負責。企業(yè)可以授權(quán)內(nèi)部審計部門或?qū)ｉT機構(gòu)（以下簡稱內(nèi)部控制評價部門）負責內(nèi)部控制評價的具體組織實施工作。專門機構(gòu)：業(yè)務(wù)和職能部門？

內(nèi)部控制管理部門？

監(jiān)管部門（財政、政府審計、監(jiān)察、

注冊會計師審計）?2.內(nèi)部控制評價的內(nèi)容和標準第五條企業(yè)應(yīng)當根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》、應(yīng)用指引以及本企業(yè)的內(nèi)部控制制度，圍繞內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督等要素，確定內(nèi)部控制評價的具體內(nèi)容，對內(nèi)部控制設(shè)計與運行情況進行全面評價。討論：《內(nèi)部控制評價核心指標和參考標準》3.內(nèi)部控制缺陷認定財務(wù)報告內(nèi)部控制缺陷和非財務(wù)報告內(nèi)部控制缺陷重大缺陷，是指一個或多個控制缺陷的組合，可能導致企業(yè)嚴重偏離控制目標。當存在任何一個或多個內(nèi)部控制重大缺陷時，內(nèi)部控制無效。重要缺陷，是指一個或多個控制缺陷的組合，其嚴重程度低于重大缺陷，但仍有可能導致企業(yè)偏離控制目標。重要缺陷不會嚴重危及內(nèi)部控制的整體有效性，但也應(yīng)當引起董事會、經(jīng)理層的充分關(guān)注。一般缺陷，是指除重大缺陷、重要缺陷以外的其他控制缺陷。根據(jù)具體認定標準認定企業(yè)存在的內(nèi)部控制缺陷，由董事會最終審定。計劃執(zhí)行內(nèi)部環(huán)境信息

評價財務(wù)報告內(nèi)部控制財務(wù)報告內(nèi)部控制缺陷認定重要程度主要取決于兩個方面的因素：（1）該缺陷是否具備合理可能性導致企業(yè)的內(nèi)部控制不能及時防止或發(fā)現(xiàn)并糾正財務(wù)報告錯報。合理可能性是指大于微小可能性（幾乎不可能發(fā)生）的可能性，確定是否具備合理可能性涉及評價人員的職業(yè)判斷。（2）該缺陷單獨或連同其他缺陷可能導致的潛在錯報金額的大小。一般企業(yè)可以采用絕對金額法（例如，規(guī)定金額超過10000元的錯報應(yīng)當認定為重大錯報）或相對比例法（例如，規(guī)定超過資產(chǎn)總額1％的錯報應(yīng)當認定為重大錯報）來確定重要性水平。財報存在重大缺陷的跡象董事、監(jiān)事和高級管理人員舞弊；企業(yè)更正已公布的財務(wù)報告；注冊會計師發(fā)現(xiàn)當期財務(wù)報告存在重大錯報，而內(nèi)部控制在運行過程中未能發(fā)現(xiàn)該錯報；企業(yè)審計委員會和內(nèi)部審計機構(gòu)對內(nèi)部控制的監(jiān)督無效。非財務(wù)報告內(nèi)部控制缺陷認定定量標準，即涉及金額大小，既可以根據(jù)造成直接財產(chǎn)損失絕對金額制定，也可以根據(jù)其直接損失占本企業(yè)資產(chǎn)、銷售收入及利潤等的比率確定；定性標準，即涉及業(yè)務(wù)性質(zhì)的嚴重程度，可根據(jù)其直接或潛在負面影響的性質(zhì)、影響的范圍等因素確定。非財報存在重大缺陷的跡象國有企業(yè)缺乏民主決策程序，如缺乏“三重一大”決策程序；企業(yè)決策程序不科學，如決策失誤，導致并購不成功；違犯國家法律、法規(guī)，如環(huán)境污染；管理人員或技術(shù)人員紛紛流失；媒體負面新聞頻現(xiàn)；內(nèi)部控制評價的結(jié)果特別是重大或重要缺陷未得到整改。重要業(yè)務(wù)缺乏制度控制或制度系統(tǒng)性失效。測試樣本量1、測試人工控制的最小樣本量區(qū)間控制運行頻率 控制運行總次數(shù) 測試的最小樣本量區(qū)間 每年1次 1 1 每季1次 4 2 每月1次 12 2-5 每周1次 52 5-15 每天1次 250 20-40 每天多次大于250次 25-602、測試自動化應(yīng)用控制的最小樣本規(guī)模只要對自動化應(yīng)用控制的運行測試一次，即可得出所測試自動化應(yīng)用控制是否運行有效的結(jié)論。

整改后控制運行的最短期間（或最少運行次數(shù)）和最少測試數(shù)量控制運行頻率 運行的期間或次數(shù)最少測試數(shù)量 每季1次 2個季度 2 每月1次 2個月 2每周1次 5周 5 每天1次 20天 20每天多次 25次（分布于涵蓋多天的期間，通常不少于15天） 25如果被審計單位在基準日前對存在重大缺陷的內(nèi)部控制進行了整改，但新控制尚沒有運行足夠長的時間，注冊會計師應(yīng)當將其視為內(nèi)部控制在基準日存在重大缺陷。