上市公司如何做好內部控制自我評價報告

北京七星華電科技集團有限責任公司 邵華標

上市公司如何做好內部控制自我評價報告

北京七星華電科技集團有限責任公司 邵華標

一、背景

2007年12月26日深圳證券交易所發(fā)布了《中小企業(yè)板上市公司內部審計工作指引》指引,要求上市公司內部審計部門要對本公司各內部機構,控股子公司的內部控制制度的完整性、合理性及實施的有效性進行檢查和評估。在公司年度報告，公司公告文件中要有公司董事會提供《內部控制自我評價報告》。我們都知道企業(yè)內部控制評價是對內部控制執(zhí)行有效性的檢測，我國的內部控制評價標準體系在2009年還沒有建立。2008年5月，22日財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯合發(fā)布了財會(2008)7號關于印發(fā)《企業(yè)內部控制基本規(guī)范》的通知，2010年4月關于印發(fā)企業(yè)內部控制配套指引的通知，其目的在于推動國內上市公司實行內部控制自我評價制度和注冊會計師審計制度，填補企業(yè)內部控制標準的空白，從而建立起了企業(yè)內部控制評價體系。

我們要對公司的內部控制進行評價，必須要有一套客觀可行的基本參照指引和標準。這套指引標準不僅可為企業(yè)自我評估和改進其內部控制以及注冊會計師發(fā)表評價意見提供依據，還可以為各方面的溝通與理解提供統一的基礎。我國在內部會計控制的建設與完善方面雖已進入起步階段，但有關內部會計控制的標準和評價體系較為薄弱，制約了企業(yè)內部控制的有效執(zhí)行。2010年4月財會（2010）11號關于印發(fā)《企業(yè)內部控制配套指引》的通知和《企業(yè)內部控制評價指引》的發(fā)布為建立一套完善的、符合實際的、具有可操作性的企業(yè)內部控制評價體系提供了保障和依據。

二、我國內部控制評價體系框架

目前我國內部控制評價體系框架分三部分；第一部分是《企業(yè)內部控制基本規(guī)范》。第二部分是《企業(yè)內部控制配套指引》目前共出臺17個應用指引 。第三部分《企業(yè)內部控制評價指引》。上述內部控制評價體系框架給我們制定一套具有統一性、公認性和完善性，既符合實際又具有可操作性的評價標準體系。

三、對公司的內部控制進行評價時關注的問題

在對內控制度進行評價時，只有先從操作性較強的具體標準入手，對具體內控制度的設計與運行有了認識之后，才能從整體上對企業(yè)內部控制的完整、合理、有效作出判斷。對具體標準的評價方法常用的有“詢問、觀察、檢查、重新執(zhí)行”。企業(yè)內部控制評價可以按下列步驟展開：

首先是企業(yè)控制環(huán)境。以《企業(yè)內部控制基本規(guī)范》為依據，對企業(yè)進行測評。主要有：企業(yè)治理結構是否完善，董事會、監(jiān)事會和股東大會等管理架構是否合法運作和科學決策；是否建立有效的激勵約束機制和樹立風險防范意識；企業(yè)管理層及業(yè)務環(huán)節(jié)是否開展內控培訓，讓內部風險防范成為高管的共識；是否培育良好的企業(yè)精神和內部控制文化，創(chuàng)造全體職工充分了解并履行職責的環(huán)境；企業(yè)高管人員和采購人員是否簽訂誠信承諾書，對所有的重要原材料及設備供應商，在購銷活動中首先簽訂陽光協議，要求其操作過程透明公開，禁止商業(yè)賄賂等行為。

其次是企業(yè)風險。企業(yè)管理層應對影響企業(yè)目標實現的內、外部各種風險進行分析，考慮其可能性和影響程度，制定必要的對策。在對企業(yè)風險防范作測評時，應重點關注企業(yè)是否建立完整的風險評估體系，是否建立審計委員和風險管理部門，是否對經營風險、財務風險、市場風險、政策法規(guī)風險和道德風險等進行持續(xù)監(jiān)控；是否對已發(fā)現的企業(yè)各類風險有控制措施，如內控制度執(zhí)行情況的檢查和監(jiān)督，以及相關制度是否向子公司延伸，以確保子公司的經營安全。

第三是企業(yè)控制活動。企業(yè)管理層為確保風險對策有效執(zhí)行和落實所采取的措施和程序，主要包括批準、授權、驗證、協調、復核、定期盤點、記錄核對、財產的保護、職責的分離、績效考核等內容。

在對企業(yè)控制活動測試時，要重點審核組織機構方面采取的控制活動和內控制度方面采取的控制活動。在組織結構方面重點審核：機構、崗位及職責權限是否合理設置和分工，不相容職務是否相互分離，是否成立相關法律事務部門和職能，對采購與驗收等環(huán)節(jié)是否設置相互監(jiān)督制度，做到人員分離。企業(yè)是否把業(yè)務流程作為內部控制制度建設的重點，設置關鍵控制點和反饋系統。在內控制度建設方面重點審核：企業(yè)是否制定了董事會的議事規(guī)則、總經理事權規(guī)則、財務管理制度、采購管理制度、投資管理制度、合同管理制度、子公司管理制度、內控檢查監(jiān)督制度等。

第四是企業(yè)信息與溝通。在對企業(yè)信息活動測試時，要重點審核公司是否已制定公司內部信息和外部信息的管理政策，確保信息能夠準確傳遞，確保董事會、監(jiān)事會、高級管理人員及內部審計部門及時了解公司及其控股子公司的經營和風險狀況，確保各類風險隱患和內部控制缺陷得到妥善處理；公司的日常業(yè)務包括資產、財務管理等是否實行流程表單化管理和建立ERP系統。

第五是企業(yè)檢查與監(jiān)督。在對企業(yè)該項活動測試時，要重點審核公司是否已制定了內部控制檢查監(jiān)督辦法，該項工作是否在董事會或審計委員會直接領導下，有風險管理部門或審計部門具體負責實施，并有相關制度。如：基建項目是否有竣工決算審計制度、主要領導的離任是否實施責任審計，重大投資、擔保、抵押、關聯交易是否建立審核會簽制度；以及是否有對公司重要物資、設備、原材料定期盤點和不定期的抽查制度，對公司現金、銀行賬戶的抽查制度等。

另外要做好兩個方面的溝通對于公司的內部控制評價也十分重要。一方面是內部溝通，主要是指公司管理層與分、子公司領導層及中層領導的溝通；另一方面是外部溝通，主要是指公司內審部門與注冊會計師之間的溝通。內部溝通的目的和作用主要在于統一思想，達成內部控制是為了加強管理能力，提高管理水平，防范管理風險的共識，提高工作效率；外部溝通的主要目的在于就公司內部控制評價過程中發(fā)現的問題充分而坦誠地相互交流，共享審計成果。

綜上所述，內審人員就可對企業(yè)內部控制作出比較客觀、公正的內部控制評價報告，我們相信通過有政府關部門的高度重視和實踐的積累，一套比較成熟的、適合中國國情的企業(yè)內部控制評價標準體系將更加完善。