积极搭建企业内控标准体系框架结构
基本规范在企业内控标准体系中处于最高层次,起统驭作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素等基本要求,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据。
基本规范共七章五十条,各章分别是:总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。
内部控制的目标。基本规范指出,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制目标定位于五个方面,包括:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。内部控制的目标定位,是在结合中国企业实际、比较其他国家和经济体企业内控目标之后作出的科学选择。
内部控制的原则。基本规范确立了企业建立并实施内部控制的五项基本原则:一是全面性原则,要求内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项;二是重要性原则,要求内部控制应当重点关注重要业务事项和高风险领域,切实防范重大风险;三是制衡性原则,要求内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率;四是适应性原则,要求内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整;五是成本效益原则,要求内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
内部控制的要素。基本规范确立了五要素的内控框架:第一,内部环境,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,这是企业实施内部控制的重要基础,表明企业实施内部控制,应先从治理结构等入手。现代企业如果没有良好的治理结构,内部控制就会形同虚设。第二,风险评估,是指企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险、合理确定风险应对策略的过程,这是企业实施内部控制的重要环节。第三,控制活动,是指企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内,这是企业实施内部控制的重要手段。第四,信息与沟通,是指企业应及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通,这是企业实施内部控制的重要条件。第五,内部监督,是指企业应对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进,这是企业实施内部控制的重要保证。
应用指引在内控体系中居于主体地位,主要包括两方面的内容:
一是针对企业主要业务与事项的应用指引。目前印发的征求意见稿,基本涵盖了资金管理、采购、销售、固定资产、存货、工程项目、无形资产、投资、筹资、预算、成本费用、担保、合同协议、业务外包、对子公司的控制、财务报告编制与披露、人力资源政策、信息系统控制、衍生工具、企业并购和关联交易等,这些都是企业最为常见、带有普遍性、迫切需要加强风险控制的业务环节和领域。随着征求意见的逐步深入,在具体项目构成上可能会作必要调整。
二是针对特殊企业或者行业的应用指引。比如,商业银行、保险公司、证券公司、信托公司、基金公司、期货公司等金融类企业,由于其经营业务特殊,涉及金融风险,与经济发展和金融安全关系重大,在内部控制方面,除遵循一般内部控制要求外,有必要规定特殊应用指引,构成应用指引的组成部分。这是非常重要的制度安排,其定位不仅是财务报告的可靠性,还定位于企业经营风险控制,范围比美国萨班斯法案更广泛