内部控制要素再认识.docVIP

内部控制要素再认识-会计 内部控制要素再认识 信永中和会计师事务所（特殊普通合伙） 谢力 务中存在过于依赖和机械模仿应用指引的倾向，并未能真正理解和吃透基本规范的原则要求。本文对此进行解读。 一、内部环境和控制活动的再认识 第一，《应用指引》更符合典型的制造业企业。 应用指引只是“针对企业一般性的业务和重点环节制定了原则性的要求，未涵盖行业特点突出的具体业务”。通过对应用指引的深入研究可以发现，应用指引针对的业务和环节更多是以一般制造业企业为蓝本的，因此，以应用指引来建设零售业、服务业、电商和金融业（应用指引共制定了21项，其中涉及银行、证券和保险等业务的3项指引暂未发布）等非制造业的内部控制体系时需要辩证运用。 第二，《应用指引》覆盖了大部分企业管理职能，但不是全部。如内部审计和税务管理就没有相关的应用指引可供参考，但这两大职能不管是从重要性角度还是从风险角度都是值得作为内部控制建设重点领域。对这类没有应用指引的领域，可以按顺序从以下方面寻找参考依据：（1）国家颁布的其他法律法规文件，如内部审计内部控制建设可以参考审计署《关于内部审计工作的规定》、国资委《中央企业内部审计管理暂行办法》和中国内部审计协会的《中国内部审计准则》等。税务管理内部控制建设则可以参考国家税务总局发布的《大企业税务风险管理指引（试行）》等；（2）上级主管部门或母公司的规章制度；（3）按照内部控制三角原理，即目标→风险→控制，参考和借鉴标杆企业优秀管理实践。 第三，《应用指引》更侧重财务报告相关内部控制和操作层面的风险控制，并对和财务报告相关内部控制密切相关的非财务报告内部控制作了少量延伸。以业务层面控制为例，销售管理中面临的重大风险之一是销售不足，《应用指引第9号销售业务》第三条虽然提到了此项风险，但没有对此提出任何针对性的风险管控措施；应用指引对大客户管理、渠道管理、销售团队管理等其他销售管理中重要的业务风险则根本没有提及。以公司层面控制为例，大部分企业都制定了绩效管理政策和流程，从操作性层面满足了内部控制的要求。虽然《应用指引第3号人力资源》要求企业“设置科学的业绩考核指标体系”，但由于没有强调并提出针对性的控制措施，而往往被企业所忽略。 如国有企业领导班子的考核指标中收入和利润指标占据绝对权重，其潜在风险就是投资冲动，以求短期内做大规模，而弱化了对投资形成资产未来减值风险的关注。类似这些战略性和战术性风险及其控制措施在不同企业之间相差甚远，因此，作为一个通用性质的指引根本无法全面覆盖。这就需要企业在进行内部控制建设中，让业务职能部门的骨干人员充分参与其中，而不是试图从应用指引中照抄照搬。 第四，《应用指引》更符合单体内部控制建设。 基本规范和应用指引中都没有针对子公司管理做专门描述，而集团化经营是现代企业的重要特征之一。 实务中对子公司的管理控制可以参考和借鉴上海证券交易所的《上市公司内部控制指引》和深圳证券交易所的《上市公司规范运作指引》等文件。 因此，企业应当全面遵循《企业内部控制基本规范》的原则和要求，以应用指引为参考，结合行业特点，从企业的管理目标出发，识别和评估相关风险，梳理关键业务流程，根据风险评估的结果，制定有效的内部环境和控制活动。 二、风险评估要素的再认识 内部控制规范对风险评估的内容、方法等做了明确要求，但对于什么时候、在哪些环节开展风险评估以及风险评估并没有明确表述。 计划阶段的风险评估。显而易见，风险评估始于战略规划的制定。企业在制定战略规划时需要评估内外部的风险和机会，针对风险制定风险应对策略，针对机会则是最大限度地进行利用。同时，将战略规划分解为年度经营计划时，也需要进行必要的风险评估，以便使日常经营活动与战略相衔接。 执行阶段的风险评估。执行阶段的风险评估具体形式主要包括内部审计、绩效管理、预算和运营分析。内部审计的职责之一就是通过日常内部审计活动发现存在的内部控制缺陷，并提出相应的管理建议，如追究相关责任人责任、修订和完善制度流程等。绩效管理既是一种日常监督活动，也是很好的风险评估活动。通过定期的绩效评价，可以督促和指导每个员工达成各自的绩效目标，以此推动企业整体目标的实现。绩效评价的结果既可以反馈至人员的招聘、辞退和培训等人事管理活动，也可以作为完善制度流程缺陷的重要依据。进行预算和运营分析的同时，也就是在进行风险评估，找出影响预算和经营指标没有达成预期的主要原因，特别是企业内部的原因，可以据以制定风险应对策略和改善计划，并根据需要完善制度流程文件。 评估阶段的风险评估。所谓评估阶段，是指年度经营评估或者阶段