主题最新回顾(发布时间:2010-11-8 16:01:29) |
---|
-- 作者:黄献华律师
-- 财政部会计司、中注协解读《企业内部控制审计指引》 规范内控审计行为 促进内控有效实施 ——财政部会计司、中注协解读《企业内部控制审计指引》 实施企业内部控制注册会计师审计,是促进企业尤其是上市公司扎实贯彻《企业内部控制基本规范》和《企业内部控制配套指引》的重要制度安排,是注册会计师行业开拓执业领域、进一步做大做强新的增长点。为了规范注册会计师内部控制审计业务,明确工作要求,保证执业质量,根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则,财政部制定了《企业内部控制审计指引》(以下简称审计指引)。财政部等五部委制定的《企业内部控制基本规范》和《企业内部控制应用指引》是注册会计师衡量企业内部控制是否有效的基础标准。注册会计师在执行内部控制审计时,除遵守审计指引外,还应当遵守中国注册会计师相关执业准则。 审计指引共7章35条,并附有4份不同意见类型的内部控制审计报告,阐明了什么是内部控制审计、如何执行内部控制审计工作等问题。本文对审计指引的几个重点问题进行解读。 一、内部控制审计概述
(一)实施内部控制审计的必要性 内部控制作为企业的一项重要管理活动,主要试图解决三方面的基本问题,即财务报告及相关信息的可靠性、资产的安全完整以及对法律法规的遵循;与此同时,促进提高经营的效率效果,并促进实现企业的发展战略。安然、世通等一系列公司财务报表舞弊事件发生后,人们认识到健全有效的内部控制对预防此类事件的发生至关重要。各国政府监管机构、企业界和会计职业界对内部控制的重视程度也进一步提升,从注重财务报告本身可靠性转向注重对保证财务报告可靠性机制的建设,也就是通过过程的有效保证结果的有效。资本市场上的投资者甚至社会公众要求企业披露其与内部控制相关的信息,并要求经过注册会计师审计以增强信息的可靠性。 但是,在财务报表审计中,只有在以下两种情况下才强制要求对内部控制进行测试:在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);或者仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。可见,注册会计师对内部控制的了解和测试不足以对内部控制发表意见,难以满足信息使用者的需求。因此,内部控制审计逐渐发展起来,很多国家要求注册会计师对内部控制设计和运行的有效性进行审计或鉴证。例如,美国《萨班斯——奥克斯利法案》404条款和日本《金融商品交易法》要求审计师对企业管理层对财务报告内部控制的评价进行审计;我国《企业内部控制基本规范》要求会计师事务所对企业内部控制的有效性进行审计,出具审计报告,并专门制定《企业内部控制审计指引》规范内部控制审计工作。 (二)各国对内部控制审计的要求 1.其他国家对内部控制审计的要求。我们对内部控制审计进行了国际比较研究,选择了在内部控制规范制定领域一直走在世界前沿的几个国家和地区,包括美国、日本、欧盟、加拿大和英国,对上述各国及地区出台的内控审计标准进行了比较研究。研究结论表明: (1)美国和日本均以法案形式强制要求对企业财务报告内部控制进行审计;欧盟、加拿大、英国未强制要求进行内控审计,但英国等国的上市规则要求审计师对管理层作出的内部控制声明进行形式上的审阅。 (2)强制要求进行内部控制审计的国家,如美国和日本,内部控制审计与年度财务报表审计整合进行。其中美国要求由同一家会计师事务所将内部控制审计与财务报表审计整合进行,而日本则不仅如此,要求同一个审计师从计划审计工作、实施审计程序获取审计证据、评价审计证据的充分性和适当性,直到发表审计意见的整个过程中,将两种审计作为一个整体进行。 2.我国对内部控制审计的要求。《企业内部控制基本规范》及配套指引的发布,要求执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注。 这意味着,企业内部控制审计业务由原来的一次性业务或面向少数企业的业务(A股企业原先仅在IPO时需要,或者赴美国和日本等地上市企业需要,或者金融证券等高风险行业需要),变成了与财务报表审计一样的经常性业务,每年需执行一次。 对于执行内部控制审计的会计师事务所来讲,对公司上市前要进行内部控制审计,上市后也要进行内部控制审计。 (三)内部控制审计的定义 内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。 1.企业内部控制审计基于特定基准日。注册会计师基于基准日(如年末12月31日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。例如,注册会计师可能在5月份对企业的内部控制进行测试,发现问题后提请企业进行整改,如6月份整改,企业的内部控制在整改后要运行一段时间(如至少一个月),8月份注册会计师再对整改后的内部控制进行测试。因此,虽然是对企业12月31日(基准日)内部控制的设计和运行发表意见,但这里的基准日不是一个简单的时点概念,而是体现内部控制这个过程向前的延续性。注册会计师所采用的内部控制审计的程序和方法,也体现了这种延续性。 2.财务报告内部控制与非财务报告内部控制。审计指引第四条第二款规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。 财务报告内部控制,是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。主要包括下列方面的政策和程序: (1)保存充分、适当的记录,准确、公允地反映企业的交易和事项; (2)合理保证按照企业会计准则的规定编制财务报表; (3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权; (4)合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。 非财务报告内部控制,是指除财务报告内部控制之外的其他控制,通常是指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制。 3.企业内控责任与注册会计师审计责任的关系。审计指引第三条规定,建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。 两者之间的关系和会计责任与审计责任的区分保持一致,即:建立健全和有效实施内部控制是企业董事会(或类似决策机构,下同)的责任;按照《企业内部控制审计指引》的要求,在实施审计工作的基础上对企业内部控制的有效性发表审计意见,是注册会计师的责任。换言之,内控本身有效与否是企业的内控责任,是否遵循审计指引开展内控审计并发表恰当的审计意见是注册会计师的审计责任。因此,注册会计师在实施内控审计之前,应当在业务约定书中明确双方的责任;在发表内控审计意见之前,应当取得经企业签署的内控书面声明。 审计指引第五条规定,注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(以下简称整合审计)。 理解这一规定,要明确两点,一是内部控制审计与财务报表审计是两种不同的审计业务,两种审计的目标不同;二是内部控制审计与财务报表审计可以整合起来进行。 1.内部控制审计与财务报表审计的异同。内部控制审计要求对企业控制设计和运行的有效性进行测试,财务报表审计中,也要求了解企业的内部控制,并在需要时测试控制,这是两种审计的相同之处,也是整合审计中应整合的部分,但由于两种审计的目标不同,审计指引要求在整合审计中,注册会计师对内部控制设计与运行的有效性进行测试,要同时实现两个目的: (1)获取充分、适当的证据,支持在内部控制审计中对内部控制有效性发表的意见; (2)获取充分、适当的证据,支持在财务报表审计中对控制风险的评估结果。 2.两种审计的整合。财务报告内部控制审计与财务报表审计通常使用相同的重要性(或重要性水平),在实务中两者很难分开。因为注册会计师在审计财务报表时需获得的信息在很大程度上依赖注册会计师对内部控制有效性得出的结论。注册会计师可以利用在一种审计中获得的结果为另一种审计中的判断和拟实施的程序提供信息。 实施财务报表审计时,注册会计师可以利用内部控制审计的结果来修改实质性程序的性质、时间安排和范围,并且可以利用该结果来支持分析程序中所使用的信息的完整性和准确性。在确定实质性程序的性质、时间安排和范围时,注册会计师需要慎重考虑识别出的控制缺陷。 实施内部控制审计时,注册会计师需要评估财务报表审计时实质性程序中发现问题的影响。最重要的是,注册会计师需要重点考虑财务报表审计中发现的财务报表错报,考虑这些错报对评价内控有效性的影响。 审计指引第六条指出,注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。 整合审计中项目组人员的配备比较关键。在计划审计工作时,项目合伙人需要统筹考虑审计工作,挑选相关领域的人员组成项目组,同时对项目组成员进行培训和督导,以合理安排审计工作。 在计划整合审计工作时,注册会计师需要评价下列事项对财务报表和内部控制是否有重要影响,以及有重要影响的事项将如何影响审计工作: 1.与企业相关的风险,包括在评价是否接受与保持客户和业务时,注册会计师了解的与企业相关的风险情况以及在执行其他业务时了解的情况; 2.相关法律法规和行业概况; 3.企业组织结构、经营特点和资本结构等相关重要事项; 4.企业内部控制最近发生变化的程度; 5.与企业沟通过的内部控制缺陷; 6.重要性、风险等与确定内部控制重大缺陷相关的因素; 7.对内部控制有效性的初步判断; 8.可获取的、与内部控制有效性相关的证据的类型和范围。 此外,注册会计师还需要关注与评价财务报表发生重大错报的可能性和内部控制有效性相关的公开信息,以及企业经营活动的相对复杂程度。 按照审计指引第八条规定,在内部控制审计中,注册会计师应当以风险评估为基础,确定重要账户、列报及其相关认定,选择拟测试的控制,以及确定针对所选定控制所需收集的证据。 风险评估的理念及思路应当贯穿于整合审计过程的始终。实施风险评估时,可以考虑固有风险及控制风险。在计划审计工作阶段,对内部控制的固有风险进行评估,作为编制审计计划的依据之一;根据对控制风险评估的结果,调整计划阶段对固有风险的判断,这是个持续的过程。 内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。内部控制不能防止或发现并纠正由于舞弊导致的错报风险,通常高于其不能防止或发现并纠正由错误导致的错报风险。注册会计师应当更多地关注高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。 在进行风险评估以及确定审计程序时,企业的组织结构、业务流程或业务单元的复杂程度可能产生的重要影响均是注册会计师需要考虑的因素。 (三)利用其他相关人员的工作 在计划审计工作时,注册会计师需要评估是否利用他人(包括企业的内部审计人员、内部控制评价人员、其他人员以及在董事会及其审计委员会指导下的第三方)的工作以及利用的程度,以减少可能本应由注册会计师执行的工作。 如果决定利用内部审计人员的工作,注册会计师应当按照《中国注册会计师审计准则第1411号——利用内部审计人员的工作》的规定办理。 如果拟利用他人的工作,注册会计师则需要评价该人员的专业胜任能力和客观性。专业胜任能力即具备某种专业技能、知识或经验,有能力完成分派的任务;客观性则是公正、诚实地执行任务的能力。专业胜任能力和客观性越高,可利用程度就越高,注册会计师就可以越多地利用其工作。当然,无论人员的专业胜任能力如何,注册会计师都不应利用那些客观程度较低的人员的工作。同样地,无论人员的客观程度如何,注册会计师都不应利用那些专业胜任能力较低的人员的工作。通常认为,企业的内部审计人员拥有更高的专业胜任能力和客观性,注册会计师可以考虑更多地利用这些人员的相关工作。 在内部控制审计中,注册会计师利用他人工作的程度还受到与被测试控制相关的风险的影响。与某项控制相关的风险越高,可利用他人工作的程度就越低,注册会计师就需要更多地对该项控制亲自进行测试。 如果其他注册会计师负责审计企业的一个或多个分部、分支机构、子公司等组成部分的财务报表和内部控制,注册会计师应当按照《中国注册会计师审计准则第1401号——对集团财务报表审计的特殊考虑》的规定,确定是否利用其他注册会计师的工作。 (一)自上而下的方法 审计指引第十条规定,注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。 自上而下的方法按照下列思路展开: 1.从财务报表层次初步了解内部控制整体风险; 2.识别企业层面控制; 3.识别重要账户、列报及其相关认定; 4.了解错报的可能来源; 5.选择拟测试的控制。 在财务报告内控审计中,自上而下的方法始于财务报表层次,以注册会计师对财务报告内部控制整体风险的了解开始,然后,注册会计师将关注重点放在企业层面的控制上,并将工作逐渐下移至重大账户、列报及相关的认定。这种方法引导注册会计师将注意力放在显示有可能导致财务报表及相关列报发生重大错报的账户、列报及认定上。之后,注册会计师验证其了解到的业务流程中存在的风险,并就已评估的每个相关认定的错报风险,选择足以应对这些风险的业务层面控制进行测试。在非财务报告内控审计中,自上而下的方法始于企业层面控制,并将审计测试工作逐步下移到业务层面控制。 自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的连续思维过程,但并不一定是注册会计师执行审计程序的顺序。 (二)识别企业层面控制 从财务报表层次初步了解财务报告内部控制整体风险是自上而下方法的第一步。通过了解企业与财务报告相关的整体风险,注册会计师首先可以识别出为保持有效的财务报告内部控制而必需的企业层面内部控制。此外,由于对企业层面内部控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围,因此,注册会计师可以考虑在执行业务的早期阶段对企业层面内部控制进行评价。 1.评价企业层面控制的精确度。不同的企业层面控制在性质和精确度上存在着差异,这些差异可能对其他控制及其测试产生影响。 (1)某些企业层面控制,如企业经营理念、管理层的管理风格等与控制环境相关的控制,对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。 (2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠正相关认定的错报。当这些控制运行有效时,注册会计师可以减少对其他控制的测试。 (3)某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其他控制。 2.企业层面控制的内容 (1)与内部环境相关的控制。内部环境,即控制环境,包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。 (2)针对管理层(董事会、经理层)凌驾于控制之上的风险而设计的控制。该控制对所有企业保持有效的内部控制都有重要影响。注册会计师可以根据对企业舞弊风险的评估作出判断,选择相关的企业层面控制进行测试,并评价这些控制能否有效应对管理层凌驾于控制之上的风险。 (3)企业的风险评估过程。风险评估过程包括识别与财务报告相关的经营风险和其他经营管理风险,以及针对这些风险采取的措施。首先,企业的内部控制能够充分识别企业外部环境(如在经济、政治、法律法规、竞争者行为、债权人需求、技术变革等方面)存在的风险;其次,充分且适当的风险评估过程需要包括对重大风险的估计、对风险发生可能性的评估以及确定应对风险的方法。注册会计师可以首先了解企业及其内部环境的其他方面信息,以初步了解企业的风险评估过程。 (4)对内部信息传递和财务报告流程的控制。财务报告流程的控制可以确保管理层按照适当的会计准则编制合理、可靠的财务报告并对外报告。 (5)对控制有效性的内部监督和自我评价。企业对控制有效性的内部监督和自我评价可以在企业层面上实施,也可以在业务流程层面上实施,包括:对运行报告的复核和核对、与外部人士的沟通、对其他未参与控制执行人员的监控活动,以及将信息系统记录数据与实物资产进行核对等。 此外,企业层面控制还包括:集中化的处理和控制,包括共享的服务环境;监控经营成果的控制;针对重大经营控制以及风险管理实务而采取的政策。 审计指引第十四条规定,注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的。如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的运行是有效的。 设计不当的控制可能表明控制存在缺陷甚至重大缺陷,注册会计师在测试控制运行的有效性时,首先要考虑控制的设计。注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。注册会计师测试控制有效性实施的程序,按提供证据的效力,由弱到强排序为:询问、观察、检查和重新执行。其中询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。执行穿行测试通常足以评价控制设计的有效性。 在测试所选定控制的有效性时,注册会计师需要根据与控制相关的风险,确定所需获取的证据。与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的证据就越多。 与某项控制相关的风险受下列因素的影响: (1)该项控制拟防止或发现并纠正的错报的性质和重要程度; (2)相关账户、列报及其认定的固有风险; (3)相关账户或列报是否曾经出现错报; (4)交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响; (5)企业层面控制(特别是对控制有效性的内部监督和自我评价)的有效性; (6)该项控制的性质及其执行频率; (7)该项控制对其他控制(如内部环境或信息技术一般控制)有效性的依赖程度; (8)该项控制的执行或监督人员的专业胜任能力,以及其中的关键人员是否发生变化; (9)该项控制是人工控制还是自动化控制; (10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。 针对每一相关认定,注册会计师都需要获取控制有效性的证据,以便对内部控制整体的有效性单独发表意见,但注册会计师没有责任对单项控制的有效性发表意见。 对于控制运行偏离设计的情况(即控制偏差),注册会计师需要考虑该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。 注册会计师通过测试控制有效性获取的证据,取决于实施程序的性质、时间安排和范围的组合。就单项控制而言,注册会计师应当根据与该项控制相关的风险,适当确定实施程序的性质、时间安排和范围,以获取充分、适当的证据。 测试控制有效性实施的程序,其性质在很大程度上取决于拟测试控制的性质。某些控制可能存在文件记录,反映其运行的有效性,而另外一些控制,如管理理念和经营风格,可能没有书面的运行证据。对缺乏正式运行证据的企业或企业的某个业务单元,注册会计师可以通过询问并结合运用观察活动、检查非正式的书面记录和重新执行某些控制等程序,获取有关控制有效性的充分、适当的证据。 对控制有效性的测试涵盖的期间越长,提供的控制有效性的证据越多。注册会计师需要获取内部控制在企业内部控制自我评价基准日前足够长的期间内有效运行的证据。对控制有效性的测试实施的时间安排越接近企业内部控制自我评价基准日,提供的控制有效性的证据越有力。因此,审计指引第十七条规定,注册会计师在确定测试的时间安排时,应当在下列两个因素之间作出平衡,以获取充分、适当的证据: (1)尽量在接近企业内部控制自我评价基准日实施测试; (2)实施的测试需要涵盖足够长的期间。 在企业内部控制自我评价基准日之前,管理层可能为提高控制效率、效果或弥补控制缺陷而改变企业的控制。如果新控制实现了相关控制目标,运行足够长的时间,且注册会计师能够测试并评价该项控制设计和运行的有效性,则无需测试被取代的控制。如果被取代控制设计和运行的有效性对控制风险的评估有重大影响,注册会计师则需要测试该项控制的有效性。 注册会计师执行内部控制审计业务通常旨在对企业内部控制自我评价基准日(通常为年末)内部控制的有效性发表意见。如果已获取有关控制在期中运行有效性的证据,注册会计师应当确定还需要获取哪些补充证据,以证实在剩余期间控制的运行情况。在将期中测试的结果更新至年末时,注册会计师需要考虑下列因素,以确定需获取的补充证据: (1)期中测试的特定控制的有关情况,包括与控制相关的风险、控制的性质和测试的结果; (2)期中获取的有关证据的充分性、适当性; (3)剩余期间的长短; (4)期中测试之后,内部控制发生重大变化的可能性及其变化情况。 在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,还需要考虑以前年度执行内部控制审计时了解的情况。 影响连续审计中与某项控制相关的风险的因素除第(四)部分“风险与拟获取证据的关系”中所列的10项因素外,还包括: (1)以前年度审计中所实施程序的性质、时间安排和范围; (2)以前年度对控制的测试结果; (3)上次审计之后,控制或其运行流程是否发生变化,尤其是考虑IT环境的变化。 在考虑上述所列的风险因素以及连续审计中可获取的进一步信息之后,只有当认为与控制相关的风险水平比以前年度有所下降时,注册会计师在本年度审计中才可以减少测试。 为保证控制测试的有效性,使测试具有不可预见性,并能应对环境的变化,注册会计师需要每年改变控制测试的性质、时间安排和范围。每年在期中不同的时段测试控制,并增加或减少所执行测试的数量和种类,或者改变所使用测试程序的组合等。 如果某项控制的设计、实施或运行不能及时防止或发现并纠正财务报表错报,则表明内部控制存在缺陷。如果企业缺少用以及时防止或发现并纠正财务报表错报的必要控制,同样表明存在内部控制缺陷。 内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制,或者现有控制设计不适当,即使正常运行也难以实现控制目标。运行缺陷是指设计适当的控制没有按设计意图运行,或者执行人员缺乏必要授权或专业胜任能力,无法有效实施控制。 内部控制存在的缺陷,按严重程度分为重大缺陷、重要缺陷和一般缺陷。 重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。具体到财务报告内部控制上,就是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表重大错报的一个或多个控制缺陷的组合。 重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。具体就是内部控制中存在的、其严重程度不如重大缺陷、但足以引起企业财务报告监督人员关注的一个或多个控制缺陷的组合。 一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。 注册会计师需要评价其注意到的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷。但是,在计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。 下列迹象可能表明企业的内部控制存在重大缺陷: (1)注册会计师发现董事、监事和高级管理人员舞弊; (2)企业更正已经公布的财务报表; (3)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报; (4)企业审计委员会和内部审计机构对内部控制的监督无效。 财务报告内部控制控制缺陷的严重程度取决于: (1)控制缺陷导致账户余额或列报错报的可能性; (2)因一个或多个控制缺陷的组合导致潜在错报的金额大小。 控制缺陷的严重程度与账户余额或列报是否发生错报无必然对应关系,而取决于控制缺陷是否可能导致错报。评价控制缺陷时,注册会计师需要根据财务报表审计中确定的重要性水平,支持对财务报告控制缺陷重要性的评价。注册会计师需要运用职业判断,考虑并衡量定量和定性因素。同时要对整个思考判断过程进行记录,尤其是详细记录关键判断和得出结论的理由。而且,对于“可能性”和“重大错报”的判断,在评价控制缺陷严重性的记录中,注册会计师需要给予明确地考量和陈述。 1.单个控制缺陷的识别。下面以未按时进行公司间对账为例,举例说明如何评价财务报告内部控制的控制缺陷。 例如,某公司每月处理大量的公司间常规交易。公司间的单项交易并不重大,主要是涉及资产负债表的活动。公司制度要求逐月进行公司间对账,并在业务单元间函证余额。注册会计师了解到,目前公司没有按时开展对账工作,但公司管理层每月执行相应的程序对挑选出的大额公司间账目进行调查,并编制详细的营业费用差异分析表来评估其合理性。 基于上述情况,注册会计师可以确定此控制缺陷为重要缺陷。因为,由于该控制缺陷引起的财务报表错报可以被合理地预计为介于重要和重大之间,由于公司间单项交易并不重大,这些交易限于资产负债表科目,而且每月执行的补偿性控制应该能够发现重大错报。 仍用上例,如果公司每月处理的大量公司间交易涉及广泛的业务活动,包括涉及公司间利润的存货转移,研究开发成本向业务单元的分摊,公司间单项交易常常是重大的。公司制度要求逐月进行公司间对账,并在业务单元间函证余额。注册会计师了解到,目前公司没有按时开展对账工作,这些账目经常出现重大差异。而且,公司管理层没有执行任何补偿性控制来调查重大的公司间账目差异。 基于上述情况,注册会计师可以确定此控制缺陷为重大缺陷。因为,由于该控制缺陷引起的财务报表错报可以被合理地预计为是重大的,由于公司间单项交易常常是重大的,而且涉及大范围活动。另外,在公司间账目上尚未对账的差异是重要的,由于这种错报常常发生,财务报表错报可能出现,而且补偿性控制无效。 2.多个控制缺陷的识别示例 例如,注册会计师识别出以下控制缺陷: (1)对特定信息系统访问控制的权限分配不当; (2)存在若干明细账不合理交易记录(交易无论单个还是合计都是不重要的); (3)缺乏对受不合理交易记录影响的账户余额的及时对账。 上述每个缺陷均单独代表一个重要缺陷。基于这一情况,注册会计师可以确定这些重要缺陷合并构成重大缺陷。因为,就个别重要缺陷而言,这些缺陷有一定可能性,各自导致金额未达到重要性水平的财务报表错报。可是,这些重要缺陷影响同类会计账户,有一定可能性导致不能防止或发现并纠正重大错报的发生。因此,这些重要缺陷组合在一起符合重大缺陷的定义。 注册会计师需要评价从各种来源获取的证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,以形成对内部控制有效性的意见。在评价证据时,注册会计师需要查阅本年度与内部控制相关的内部审计报告或类似报告,并评价这些报告中提到的控制缺陷。 只有在审计范围没有受到限制时,注册会计师才能对内部控制的有效性形成意见。如果审计范围受到限制,注册会计师需要解除业务约定或出具无法表示意见的内部控制审计报告。 注册会计师需要取得经企业认可的书面声明,书面声明需要包括下列内容: (1)企业董事会认可其对建立健全和有效实施内部控制负责; (2)企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的结论; (3)企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础; (4)企业已向注册会计师披露识别出的内部控制所有缺陷,并单独披露其中的重大缺陷和重要缺陷; (5)对于注册会计师在以前年度审计中识别的、已与审计委员会沟通的重大缺陷和重要缺陷,企业是否已经采取措施予以解决; (6)在企业内部控制自我评价基准日后,内部控制是否发生重大变化,或者存在对内部控制具有重要影响的其他因素。 此外,书面声明中还包括导致财务报表重大错报的所有舞弊,以及不会导致财务报表重大错报,但涉及管理层和其他在内部控制中具有重要作用的员工的所有舞弊。 如果企业拒绝提供或以其他不当理由回避书面声明,注册会计师需要将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。同时,注册会计师需要评价,企业拒绝提供书面声明对其他声明(包括在财务报表审计中获取的声明)的可靠性产生的影响。 注册会计师需要按照《中国注册会计师审计准则第1341号——书面声明》的规定,确定声明书的签署者、声明书涵盖的期间以及何时获取更新的声明书等。 注册会计师需要与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷,需要以书面形式与董事会和经理层沟通。《中国注册会计师审计准则第1152号——向治理层和管理层通报内部控制缺陷》要求注册会计师以书面形式及时向治理层通报审计过程中识别出的值得关注的内部控制缺陷。其中,值得关注的内部控制缺陷包括重大缺陷和重要缺陷。 对于重大缺陷,注册会计师需要以书面形式与企业的董事会及其审计委员会进行沟通。如果认为审计委员会和内部审计机构对内部控制的监督无效,注册会计师需要就此以书面形式直接与董事会和经理层沟通。 对于重要缺陷,注册会计师需要以书面形式与审计委员会沟通。 虽然并不要求注册会计师执行足以识别所有控制缺陷的程序,但是,注册会计师需要沟通其注意到的内部控制的所有缺陷。如果发现企业存在或可能存在舞弊或违反法规行为,注册会计师需要按照《中国注册会计师审计准则第1141号——财务报表审计中对舞弊的考虑》、《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》的规定,确定并履行自身的责任。 (一)标准内部控制审计报告 当注册会计师出具的无保留意见的内部控制审计报告不附加说明段、强调事项段或任何修饰性用语时,该报告称为标准内部控制审计报告。标准内部控制审计报告包括下列要素: 1.标题。内部控制审计报告的标题统一规范为“内部控制审计报告”。 2.收件人。内部控制审计报告的收件人是指注册会计师按照业务约定书的要求致送内部控制审计报告的对象,一般是指审计业务的委托人。 3.引言段。内部控制审计报告的引言段说明企业的名称和内部控制已经过审计。 4.企业对内部控制的责任段。企业对内部控制的责任段说明,按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定,建立健全和有效实施内部控制,并评价其有效性是企业董事会的责任。 5.注册会计师的责任段。注册会计师的责任段说明,在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露是注册会计师的责任。 6.内部控制固有局限性的说明段。内部控制无论如何有效,都只能为企业实现控制目标提供合理保证。内部控制实现目标的可能性受其固有限制的影响,注册会计师需要在内部控制固有局限性的说明段说明,内部控制具有固有局限性,存在不能防止和发现错报的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制审计结果推测未来内部控制的有效性具有一定风险。 7.财务报告内部控制审计意见段。如果符合下列所有条件的,注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告: (1)企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求,在所有重大方面保持了有效的内部控制; (2)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。 8.非财务报告内部控制重大缺陷描述段。对于审计过程中注意到的非财务报告内部控制缺陷,如果发现某项或某些控制对企业发展战略、法规遵循、经营的效率效果等控制目标的实现有重大不利影响,确定该项非财务报告内部控制缺陷为重大缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进;同时在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险,但无需对其发表审计意见。 9.注册会计师的签名和盖章。 10.会计师事务所的名称、地址及盖章。 11.报告日期。 如果内部控制审计和财务报表审计整合进行,注册会计师对内部控制审计报告和财务报表审计报告需要签署相同的日期。 1.带强调事项段的非标准内部控制审计报告。注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请内部控制审计报告使用人注意的,需要在内部控制审计报告中增加强调事项段予以说明。注册会计师需要在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对财务报告内部控制发表的审计意见。 2.否定意见的内部控制审计报告。注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,需要对财务报告内部控制发表否定意见。注册会计师出具否定意见的内部控制审计报告,还需要包括下列重大缺陷的定义、重大缺陷的性质及其对财务报告内部控制的影响程度。 3.无法表示意见的内部控制审计报告。注册会计师只有实施了必要的审计程序,才能对内部控制的有效性发表意见。注册会计师审计范围受到限制的,需要解除业务约定或出具无法表示意见的内部控制审计报告,并就审计范围受到限制的情况,以书面形式与董事会进行沟通。 注册会计师在出具无法表示意见的内部控制审计报告时,需要在内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效性发表意见,并单设段落说明无法表示意见的实质性理由。注册会计师不应在内部控制审计报告中指明所执行的程序,也不应描述内部控制审计的特征,以避免对无法表示意见的误解。注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的,需要在内部控制审计报告中对重大缺陷做出详细说明。 4.期后事项与非标准内部控制审计报告。在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前(以下简称期后期间)内部控制可能发生变化,或出现其他可能对内部控制产生重要影响的因素。注册会计师需要询问是否存在这类变化或影响因素,并获取企业关于这些情况的书面声明。 注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的,需要对财务报告内部控制发表否定意见。注册会计师不能确定期后事项对内部控制有效性的影响程度的,需要出具无法表示意见的内部控制审计报告。 在出具内部控制审计报告之后,如果知悉在审计报告日已存在的、可能对审计意见产生影响的情况,注册会计师需要按照《中国注册会计师审计准则第1332号——期后事项》的规定办理。 审计指引第三十四条和第三十五条要求注册会计师编制内部控制审计工作底稿,完整记录审计工作情况。 [此贴子已经被作者于2010-11-8 16:02:40编辑过]
|
主题最新回顾(发布时间:2010-11-8 15:58:27) |
---|
-- 作者:黄献华律师
-- 财政部会计司解读《企业内部控制评价指引》 切实做好内部控制评价,不断实现内部控制自我提升
一、内部控制评价概述 二、关于内部控制评价的内容 三、关于内部控制评价的程序 四、内部控制缺陷的认定 五、关于内部控制评价报告 |
主题最新回顾(发布时间:2010-11-8 15:41:10) |
---|
-- 作者:黄献华律师
-- 解读《企业内部控制应用指引第17号——内部信息传递》 解读《企业内部控制应用指引第17号——内部信息传递》
|
主题最新回顾(发布时间:2010-11-8 15:37:41) |
---|
-- 作者:黄献华律师
-- 解读《企业内部控制应用指引第10号—研究与开发》 解读《企业内部控制应用指引第10号——研究与开发》
研究与开发是企业核心竞争力的本源,是促进企业自主创新的重要体现,是企业加快转变经济发展方式的强大推动力。钱学森同志曾经说过,科技创新就是自主研发拥有曾经“买不到、买不起、买回来已落后”的核心技术;即使买到产品,也买不到产权;买到产权,买不到知识;买到知识,买不到人才。由此说明,创新、产权、知识、人才是核心资源,自主创新是第一要务。在经济全球化背景下,特别是为了抢抓后危机时期重要发展机遇,企业应坚定不移地走自主创新之路,重视和加强研究与开发,并将相关成果转化为生产力,在竞争中赢得主动权,夺得先机。《企业内部控制应用指引第10号—— —研究与开发》旨在有效控制研发风险,提升企业自主创新能力,充分发挥科技的支撑引领作用,促进实现企业发展战略。本文就此进行解读。
[此贴子已经被作者于2010-11-8 15:50:15编辑过]
|
主题最新回顾(发布时间:2010-11-8 15:12:47) |
---|
-- 作者:黄献华律师
-- 解读《企业内部控制应用指引第18号——信息系统》 解读《企业内部控制应用指引第18号——信息系统》
一、信息系统内部控制概述 《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。 现代企业的运营越来越依赖于信息系统。比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能失去生存之基。 同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。 鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应当指引第18号——信息系统》规定,企业负责人对信息系统建设工作负责。换言之,信息系统建设是“一把手”工程。只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设总体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。 二、信息系统的开发 企业根据发展战略和业务需要进行信息系统建设,首先要确立系统建设目标,根据目标进行系统建设战略规划,再将规划细化为项目建设方案。企业开展信息系统建设,可以根据实际情况,采取自行开发、外购调试或业务外包等方式。选择外购调试或业务外包方式的,应当采用公开招标等形式择优选择供应商或开发单位。选择自行开发信息系统的,信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,增进开发单位与企业内部业务部门的日常沟通和协调,组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线运行。 (一)制定信息系统开发的战略规划 信息系统开发的战略规划是信息化建设的起点,战略规划是以企业发展战略为依据制定的企业信息化建设的全局性、长期性规划。制定信息系统战略规划的主要风险是:第一,缺乏战略规划或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。第二,没有将信息化与企业业务需求结合,降低了信息系统的应用价值。信息孤岛现象是不少企业信息系统建设中存在的普遍问题,根源在于这些企业往往忽视战略规划的重要性,缺乏整体观念和整合意识,常常陷于头痛医头,脚痛医脚,这就导致有的企业财务管理信息系统、销售管理信息系统、生产管理信息系统、人力资源管理系统、办公自动化系统等各自为政、孤立存在的现象,削弱了信息系统的协同效用,甚至引发系统冲突。 主要控制措施:第一,企业必须制定信息系统开发的战略规划和中长期发展计划,并在每年制定经营计划的同时制定年度信息系统建设计划,促进经营管理活动与信息系统的协调统一。第二,企业在制定信息化战略过程中,要充分调动和发挥信息系统归口管理部门与业务部门的积极性,使各部门广泛参与,充分沟通,提高战略规划的科学性、前瞻性和适应性。第三,信息系统战略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配,避免相互脱节。 (二)选择适当的信息系统开发方式 信息系统的开发建设是信息系统生命周期中技术难度最大的环节。在开发建设环节,要将企业的业务流程、内控措施、权限配置、预警指标、核算方法等固化到信息系统中,因此开发建设的好坏直接影响信息系统的成败。 开发建设主要有自行开发、外购调试、业务外包等方式。各种开发方式有各自的优缺点和适用条件,企业应根据自身实际情况合理选择。 1.自行开发 自行开发是企业依托自身力量完成整个开发过程。其优点是开发人员熟悉企业情况,可以较好地满足本企业的需求,尤其是具有特殊性的业务需求。通过自行开发,还可以培养锻炼自己的开发队伍,便于后期的运行和维护。其缺点是开发周期较长、技术水平和规范程度较难保证,成功率相对较低。因此,自行开发方式的适用条件通常是企业自身技术力量雄厚,而且市场上没有能够满足企业需求的成熟的商品化软件和解决方案。比如百度的搜索引擎系统就偏重于自行开发。 2.外购调试 外购调式的基本做法是企业购买成熟的商品化软件,通过参数配置和二次开发满足企业需求。其优点是开发建设周期短;成功率较高;成熟的商品化软件质量稳定,可靠性高;专业的软件提供商实施经验丰富。其缺点是难以满足企业的特殊需求;系统的后期升级进度受制于商品化软件供应商产品更新换代的速度,企业自主权不强,较为被动。外购调试方式的适用条件通常是企业的特殊需求较少,市场上已有成熟的商品化软件和系统实施方案。比如大部分企业的财务管理系统、ERP系统、人力资源管理系统等多采用外购调试方式。 3.业务外包 信息系统的业务外包是指委托其他单位开发信息系统,基本做法是企业将信息系统开发项目外包出去,由专业公司或科研机构负责开发、安装实施,由企业直接使用。其优点是企业可以充分利用专业公司的专业优势,量体裁衣,构建全面、高效满足企业需求的个性化系统;企业不必培养、维持庞大的开发队伍,相应节约了人力资源成本。其缺点是沟通成本高,系统开发方难以深刻理解企业需求,可能导致开发出的信息系统与企业的期望产生较大偏差;同时,由于外包信息系统与系统开发方的专业技能、职业道德和敬业精神存在密切关系,也要求企业必须加大对外包项目的监督力度。业务外包方式的适用条件通常是市场上没有能够满足企业需求的成熟的商品化软件和解决方案,企业自身技术力量薄弱或出于成本效益原则考虑不愿意维持庞大的开发队伍。 (三)自行开发方式的关键控制点和主要控制措施 虽然信息系统的开发方式有自行开发、外购调试、业务外包等多种方式,但基本流程大体相似,通常包含项目计划、需求分析、系统设计、编程和测试、上线等环节。 1.项目计划环节 战略规划通常将完整的信息系统分成若干子系统,并分阶段建设不同的子系统。比如,制造企业可以将信息系统划分为财务管理系统、人力资源管理系统、MRP系统(销售、采购、库存、生产)、计算机辅助设计和制造系统、客户关系系统、电子商务系统等若干子系统。项目就是指本阶段需要建设的相对独立的一个或多个子系统。 项目计划通常包括项目范围说明、项目进度计划、项目质量计划、项目资源计划、项目沟通计划、风险对策计划、项目采购计划、需求变更控制、配置管理计划等内容。项目计划不是完全静止、一成不变的,在项目启动阶段,可以先制定一个较为原则的项目计划,确定项目主要内容和重大事项,然后根据项目的大小和性质以及项目进展情况进行调整、充实和完善。项目计划环节的主要风险是:信息系统建设缺乏项目计划或者计划不当,导致项目进度滞后、费用超支、质量低下。 主要控制措施:第一,企业应当根据信息系统建设整体规划提出分阶段项目的建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。第二,企业可以采用标准的项目管理软件(比如Office Project)制定项目计划,并加以跟踪。在关键环节进行阶段性评审,以保证过程可控。第三,项目关键环节编制的文档应参照《GB8567-88计算机软件产品开发文件编制指南》等相关国家标准和行业标准进行,以提高项目计划编制水平。 2.需求分析环节 需求分析的目的是明确信息系统需要实现哪些功能。该项工作是系统分析人员和用户单位的管理人员、业务人员在深入调查的基础上,详细描述业务活动涉及的各项工作以及用户的各种需求,从而建立未来目标系统的逻辑模型。这一环节的主要风险是:第一,需求本身不合理,对信息系统提出的功能、性能、安全性等方面的要求不符合业务处理和控制的需要。第二,技术上不可行、经济上成本效益倒挂,或与国家有关法规制度存在冲突。第三,需求文档表述不准确、不完整,未能真实全面地表达企业需求,存在表述缺失、表述不一致甚至表述错误等问题。 主要控制措施:第一,信息系统归口管理部门应当组织企业内部各有关部门提出开发需求,加强系统分析人员和有关部门的管理人员、业务人员的交流,经综合分析提炼后形成合理的需求。第二,编制表述清晰、表达准确的需求文档。需求文档是业务人员和技术人员共同理解信息系统的桥梁,必须准确表述系统建设的目标、功能和要求。企业应当采用标准建模语言(例如UML),综合运用多种建模工具和表现手段,参照《GB8567-88计算机软件产品开发文件编制指南》等相关标准,提高系统需求说明书的编写质量。第三,企业应当建立健全需求评审和需求变更控制流程。依据需求文档进行设计(含需求变更设计)前,应当评审其可行性,由需求提出人和编制人签字确认,并经业务部门与信息系统归口管理部门负责人审批。 3.系统设计环节 系统设计是根据系统需求分析阶段所确定的目标系统逻辑模型,设计出一个能在企业特定的计算机和网络环境中实现的方案,即建立信息系统的物理模型。系统设计包括总体设计和详细设计。总体设计的主要任务是:第一,设计系统的模块结构,合理划分子系统边界和接口。第二,选择系统实现的技术路线,确定系统的技术架构,明确系统重要组件的内容和行为特征,以及组件之间、组件与环境之间的接口关系。第三,数据库设计,包括主要的数据库表结构设计、存储设计、数据权限和加密设计等。第四,设计系统的网络拓扑结构、系统部署方式等。详细设计的主要任务包括:程序说明书编制、数据编码规范设计、输入输出界面设计等内容。系统设计环节的主要风险是:第一,设计方案不能完全满足用户需求,不能实现需求文档规定的目标。第二,设计方案未能有效控制建设开发成本,不能保证建设质量和进度。第三,设计方案不全面,导致后续变更频繁。第四,设计方案没有考虑信息系统建成后对企业内部控制的影响,导致系统运行后衍生新的风险。 主要控制措施:第一,系统设计负责部门应当就总体设计方案与业务部门进行沟通和讨论,说明方案对用户需求的覆盖情况;存在备选方案的,应当详细说明各方案在成本、建设时间和用户需求响应上的差异;信息系统归口管理部门和业务部门应当对选定的设计方案予以书面确认。第二,企业应参照《GB8567-88计算机软件产品开发文件编制指南》等相关国家标准和行业标准,提高系统设计说明书的编写质量。第三,企业应建立设计评审制度和设计变更控制流程。第四,在系统设计时应当充分考虑信息系统建成后的控制环境,将生产经营管理业务流程、关键控制点和处理规程嵌入系统程序,实现手工环境下难以实现的控制功能,例如:对于某一财务软件,当输入支出凭证时,可以让计算机自动检查银行存款余额,防止透支。第五,应充分考虑信息系统环境下的新的控制风险,比如,要通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职务的处理权限授予同一用户。第六,应当针对不同的数据输入方式,强化对进入系统数据的检查和校验功能。比如,凭证的自动平衡校对。第七,系统设计时应当考虑在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。第八,预留必要的后台操作通道,对于必需的后台操作,应当加强管理,建立规范的操作流程,确保足够的日志记录,保证对后台操作的可监控性。 4.编程和测试环节 编程阶段是将详细设计方案转换成某种计算机编程语言的过程。编程阶段完成之后,要进行测试,测试主要有以下目的:一是发现软件开发过程中的错误,分析错误的性质,确定错误的位置并予以纠正。二是通过某些系统测试,了解系统的响应时间、事务处理吞吐量、载荷能力、失效恢复能力以及系统实用性等指标,以便对整个系统做出综合评价。测试环节在系统开发中具有举足轻重的地位。 这一环节的主要风险是:第一,编程结果与设计不符。第二,各程序员编程风格差异大,程序可读性差,导致后期维护困难,维护成本高。第三,缺乏有效的程序版本控制,导致重复修改或修改不一致等问题。第四,测试不充分。单个模块正常运行但多个模块集成运行时出错,开发环境下测试正常而生产环境下运行出错,开发人员自测正常而业务部门用户使用时出错,导致系统上线后可能出现严重问题。 主要控制措施:第一,项目组应建立并执行严格的代码复查评审制度。第二,项目组应建立并执行统一的编程规范,在标识符命名、程序注释等方面统一风格。第三,应使用版本控制软件系统(例如CVS),保证所有开发人员基于相同的组件环境开展项目工作,协调开发人员对程序的修改。第四,应区分单元测试、组装测试(集成测试)、系统测试、验收测试等不同测试类型,建立严格的测试工作流程,提高最终用户在测试工作中的参与程度,改进测试用例的编写质量,加强测试分析,尽量采用自动测试工具提高测试工作的质量和效率。具备条件的企业,应当组织独立于开发建设项目组的专业机构对开发完成的信息系统进行验收测试,确保在功能、性能、控制要求和安全性等方面符合开发需求。 5.上线环节 系统上线是将开发出的系统(可执行的程序和关联的数据)部署到实际运行的计算机环境中,使信息系统按照既定的用户需求来运转,切实发挥信息系统的作用。这一环节的主要风险是:第一,缺乏完整可行的上线计划,导致系统上线混乱无序。第二,人员培训不足,不能正确使用系统,导致业务处理错误,或者未能充分利用系统功能,导致开发成本浪费。第三,初始数据准备设置不合格,导致新旧系统数据不一致、业务处理错误。 主要控制措施:第一,企业应当制定信息系统上线计划,并经归口管理部门和用户部门审核批准。上线计划一般包括人员培训、数据准备、进度安排、应急预案等内容。第二,系统上线涉及新旧系统切换的,企业应当在上线计划中明确应急预案,保证新系统失效时能够顺利切换回旧系统。第三,系统上线涉及数据迁移的,企业应当制定详细的数据迁移计划,并对迁移结果进行测试。用户部门应当参与数据迁移过程,对迁移前后的数据予以书面确认。 (四)其他开发方式的关键控制点和主要控制措施 下面介绍其他开发方式(业务外包、外购调试)的关键控制点和主要控制措施。 在业务外包、外购调试方式下,企业对系统设计、编程、测试环节的参与程度明显低于自行开发方式,因此可以适当简化相应的风险控制措施,但同时也因开发方式的差异产生一些新的风险,需要采取有针对性的控制措施。 1.业务外包方式的关键控制点和主要控制措施 (1)选择外包服务商 这一环节的主要风险是:由于企业与外包服务商之间本质上是一种委托—代理关系,合作双方的信息不对称容易诱发道德风险,外包服务商可能会实施损害企业利益的自利行为,如偷工减料、放松管理、信息泄密等。 主要控制措施:第一,企业在选择外包服务商时要充分考虑服务商的市场信誉、资质条件、财务状况、服务能力、对本企业业务的熟悉程度、既往承包服务成功案例等因素,对外包服务商进行严格筛选。第二,企业可以借助外包业界基准来判断外包服务商的综合实力。第三,企业要严格外包服务审批及管控流程,对信息系统外包业务,原则上应采用公开招标等形式选择外包服务商,并实行集体决策审批。 (2)签订外包合同 这一环节的主要风险是:由于合同条款不准确、不完善,可能导致企业的正当权益无法得到有效保障。 主要控制措施:第一,企业在与外包服务商签约之前,应针对外包可能出现的各种风险损失,恰当拟定合同条款,对涉及的工作目标、合作范畴、责任划分、所有权归属、付款方式、违约赔偿及合约期限等问题做出详细说明,并由法律部门或法律顾问审查把关。第二,开发过程中涉及商业秘密、敏感数据的,企业应当与外包服务商签订详细的“保密协定”,以保证数据安全。第三,在合同中约定付款事宜时,应当选择分期付款方式,尾款应当在系统运行一段时间并经评估验收后再支付。第四,应在合同条款中明确要求外包服务商保持专业技术服务团队的稳定性。 (3)持续跟踪评价外包服务商的服务过程 这一环节的主要风险是:企业缺乏外包服务跟踪评价机制或跟踪评价不到位,可能导致外包服务质量水平不能满足企业信息系统开发需求。 主要控制措施:第一,企业应当规范外包服务评价工作流程,明确相关部门的职责权限,建立外包服务质量考核评价指标体系,定期对外包服务商进行考评,并公布服务周期的评估结果,实现外包服务水平的跟踪评价。第二,必要时,可以引入监理机制,降低外包服务风险。 2.外购调试方式的关键控制点和主要控制措施 在外购调试方式下,一方面,企业面临与委托开发方式类似的问题,企业要选择软件产品的供应商和服务供应商、签订合约、跟踪服务质量,因此,企业可采用与委托开发方式类似的控制措施;另一方面,外购调试方式也有其特殊之处,企业需要有针对性的强化某些控制措施。 (1)软件产品选型和供应商选择 在外购调试方式下,软件供应商的选择和软件产品的选型是密切相关的。这一环节的主要风险是:第一,软件产品选型不当,产品在功能、性能、易用性等方面无法满足企业需求。第二,软件供应商选择不当,产品的支持服务能力不足,产品的后续升级缺乏保障。 主要控制措施:第一,企业应明确自身需求,对比分析市场上的成熟软件产品,合理选择软件产品的模块组合和版本。第二,企业在软件产品选型时应广泛听取行业专家的意见。第三,企业在选择软件产品和服务供应商时,不仅要评价其现有产品的功能、性能,还要考察其服务支持能力和后续产品的升级能力。 (2)服务提供商选择 大型企业管理信息系统(例如ERP系统)的外购实施,不仅需要选择合适的软件供应商和软件产品,也需要选择合适的咨询公司等服务提供商,指导企业将通用软件产品与本企业的实际情况有机结合。这一环节的主要风险是:服务提供商选择不当,削弱了外购软件产品的功能发挥,导致无法有效满足用户需求。 主要控制措施:在选择服务提供商时,不仅要考核其对软件产品的熟悉、理解程度,也要考核其是否深刻理解企业所处行业的特点、是否理解企业的个性化需求、是否有过相同或相近的成功案例。 三、信息系统的运行与维护 信息系统的运行与维护主要包含三方面的内容:日常运行维护、系统变更和安全管理。 (一)日常运行维护的关键控制点和主要控制措施 日常运行维护的目标是保证系统正常运转,主要工作内容包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。这一环节的主要风险是:第一,没有建立规范的信息系统日常运行管理规范,计算机软硬件的内在隐患易于爆发,可能导致企业信息系统出错。第二,没有执行例行检查,导致一些人为恶意攻击会长期隐藏在系统中,可能造成严重损失。第三,企业信息系统数据未能定期备份,可能导致损坏后无法恢复,从而造成重大损失。 主要控制措施:第一,企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。第二,切实做好系统运行记录,尤其是对于系统运行不正常或无法运行的情况,应将异常现象、发生时间和可能的原因作出详细记录。第三,企业要重视系统运行的日常维护,在硬件方面,日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等,这些工作应由专人负责。第四,配备专业人员负责处理信息系统运行中的突发事件,必要时应会同系统开发人员或软硬件供应商共同解决。 (二)系统变更的关键控制点和主要控制措施 系统变更主要包括硬件的升级扩容、软件的修改与升级等。系统变更是为了更好地满足企业需求,但同时应加强对变更申请、变更成本与进度的控制。这一环节的主要风险是:第一,企业没有建立严格的变更申请、审批、执行、测试流程,导致系统随意变更。第二,系统变更后的效果达不到预期目标。 主要控制措施:第一,企业应当建立标准流程来实施和记录系统变更,保证变更过程得到适当的授权与管理层的批准,并对变更进行测试。信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行软件的删除、修改等操作;不得擅自升级、改变软件版本;不得擅自改变软件系统的环境配置。第二,系统变更程序(如软件升级)需要遵循与新系统开发项目同样的验证和测试程序,必要时还应当进行额外测试。第三,企业应加强紧急变更的控制管理。第四,企业应加强对将变更移植到生产环境中的控制管理,包括系统访问授权控制、数据转换控制、用户培训等。 (三)安全管理的关键控制点和主要控制措施 安全管理的目标是保障信息系统安全,信息系统安全是指信息系统包含的所有硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄漏,信息系统能够连续正常运行。这一环节的主要风险是:第一,硬件设备分布物理范围广,设备种类繁多,安全管理难度大,可能导致设备生命周期短。第二,业务部门信息安全意识薄弱,对系统和信息安全缺乏有效的监管手段。少数员工可能恶意或非恶意滥用系统资源,造成系统运行效率降低。第三,对系统程序的缺陷或漏洞安全防护不够,导致遭受黑客攻击,造成信息泄露。第四,对各种计算机病毒防范清理不力,导致系统运行不稳定甚至瘫痪。第五,缺乏对信息系统操作人员的严密监控,可能导致舞弊和利用计算机犯罪。 主要控制措施是: 第一,建立信息系统相关资产的管理制度,保证电子设备的安全。硬件和网络设备不仅是信息系统运行的基础载体,也是价值昂贵的固定资产。企业应在健全设备管理制度的基础上,建立专门的电子设备管控制度,对于关键信息设备(例如银行的核心数据库服务器),未经授权,不得接触。 第二,企业应成立专门的信息系统安全管理机构,由企业主要领导负总责,对企业的信息安全作出总体规划和全方位严格管理,具体实施工作可由企业的信息主管部门负责。企业应强化全体员工的安全保密意识,特别要对重要岗位员工进行信息系统安全保密培训,并签署安全保密协议。企业应当建立信息系统安全保密制度和泄密责任追究制度。 第三,企业应当按照国家相关法律法规以及信息安全技术标准,制定信息系统安全实施细则。根据业务性质、重要程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度,采用相应技术手段保证信息系统运行安全有序。对于信息系统的使用者和不同安全等级信息之间的授权关系,应在系统开发建设阶段就形成方案并加以设计,在软件系统中预留这种对应关系的设置功能,以便根据使用者岗位职务的变迁进行调整。 第四,企业应当有效利用IT技术手段,对硬件配置调整、软件参数修改严加控制。例如,企业可利用操作系统、数据库系统、应用系统提供的安全机制,设置安全参数,保证系统访问安全;对于重要的计算机设备,企业应当利用技术手段防止员工擅自安装、卸载软件或者改变软件系统配置,并定期对上述情况进行检查。 第五,企业委托专业机构进行系统运行与维护管理的,应当严格审查其资质条件、市场声誉和信用状况等,并与其签订正式的服务合同和保密协议。 第六,企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。企业应当特别注重加强对服务器等关键部位的防护;对于存在网络应用的企业,应当综合利用防火墙、路由器等网络设备,采用内容过滤、漏洞扫描、入侵检测等软件技术加强网络安全,严密防范来自互联网的黑客攻击和非法侵入。对于通过互联网传输的涉密或者关键业务数据,企业应当采取必要的技术手段确保信息传递的保密性、准确性、完整性。 第七,企业应当建立系统数据定期备份制度,明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。系统首次上线运行时应当完全备份,然后根据业务频率和数据重要性程度,定期做好增量备份。数据正本与备份应分别存放于不同地点,防止因火灾、水灾、地震等事故产生不利影响。企业可综合采用磁盘、磁带、光盘等备份存储介质。 第八,企业应当建立信息系统开发、运行与维护等环节的岗位责任制度和不相容职务分离制度,防范利用计算机舞弊和犯罪。一般而言,信息系统不相容职务涉及的人员可以分为三类:系统开发建设人员、系统管理和维护人员、系统操作使用人员。开发人员在运行阶段不能操作使用信息系统,否则就可能掌握其中的涉密数据,进行非法利用;系统管理和维护人员担任密码保管、授权、系统变更等关键任务,如果允许其使用信息系统,就可能较为容易地篡改数据,从而达到侵吞财产或滥用计算机信息的目的。此外,信息系统使用人员也需要区分不同岗位,包括业务数据录入、数据检查、业务批准等,在他们之间也应有必要的相互牵制。企业应建立用户管理制度,加强对重要业务系统的访问权限管理,避免将不相容职责授予同一用户。企业应当采用密码控制等技术手段进行用户身份识别。对于重要的业务系统,应当采用数字证书、生物识别等可靠性强的技术手段识别用户身份。对于发生岗位变化或离岗的用户,用户部门应当及时通知系统管理人员调整其在系统中的访问权限或者关闭账号。企业应当定期对系统中的账号进行审阅,避免存在授权不当或非授权账号。对于超级用户,企业应当严格规定其使用条件和操作程序,并对其在系统中的操作全程进行监控或审计。 第九,企业应积极开展信息系统风险评估工作,定期对信息系统进行安全评估,及时发现系统安全问题并加以整改。 (四)系统终结的关键控制点和主要控制措施 系统终结是信息系统生命周期的最后一个阶段,在该阶段信息系统将停止运行。停止运行的原因通常有:企业破产或被兼并、原有信息系统被新的信息系统代替。这一环节的主要风险是,第一,因经营条件发生剧变,数据可能泄密。第二,信息档案的保管期限不够长。 主要控制措施:第一,要做好善后工作,不管因何种情况导致系统停止运行,都应将废弃系统中有价值或者涉密的信息进行销毁、转移。第二,严格按照国家有关法规制度和对电子档案的管理规定(比如审计准则对审计证据保管年限的要求),妥善保管相关信息档案。 |
主题最新回顾(发布时间:2010-11-8 15:11:09) |
---|
-- 作者:黄献华律师
-- 解读《企业内部控制应用指引第16号——合同管理》 解读《企业内部控制应用指引第16号——合同管理》
合同是企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议。加强合同管理,有利于规范、约束市场主体交易行为,优化资源配置,维护市场秩序。制定和实施《企业内部控制应用指引第16号——合同管理》,旨在帮助企业规范当事人双方经营行为,维护自身合法权益、防控法律风险,促进实现内部控制目标。本文就此进行解读。 一、 合同管理的总体要求 企业需要建立一系列制度体系和机制保障,促进合同管理的作用得到有效发挥。 (一)建立分级授权管理制度 企业应当根据经济业务性质、组织机构设置和管理层级安排,建立合同分级管理制度。属于上级管理权限的合同,下级单位不得签署。对于重大投资类、融资类、担保类、知识产权类、不动产类合同上级部门应加强管理。下级单位认为确有需要签署涉及上级管理权限的合同,应当提出申请,并经上级合同管理机构批准后办理。上级单位应当加强对下级单位合同订立、履行情况的监督检查。 (二)实行统一归口管理 企业可以根据实际情况指定法律部门等作为合同归口管理部门,对合同实施统一规范管理,具体负责制定合同管理制度,审核合同条款的权利义务对等性,管理合同标准文本,管理合同专用章,定期检查和评价合同管理中的薄弱环节,采取相应控制措施,促进合同的有效履行等。 (三)明确职责分工 公司各业务部门作为合同的承办部门负责在职责范围内承办相关合同,并履行合同调查、谈判、订立、履行和终结责任。公司财会部门侧重于履行对合同的财务监督职责。 (四)健全考核与责任追究制度 企业应当健全合同管理考核与责任追究制度,开展合同后评估,对合同订立、履行过程中出现的违法违规行为,应当追究有关机构或人员的责任。 二、 合同管理流程 合同管理从大的方面可以划分为合同订立阶段和合同履行阶段。合同订立阶段包括合同调查、合同谈判、合同文本拟定、合同审批、合同签署等环节;合同履行阶段涉及合同履行、合同补充和变更、合同解除、合同结算、合同登记等环节。下图列示的合同管理流程具有一定通用性。
三、 合同各环节的主要风险点及管控措施 (一)合同调查 合同订立前,企业应当进行合同调查,充分了解合同对方的主体资格、信用状况等有关情况,确保对方当事人具备履约能力。该环节的主要风险是:忽视被调查对象的主体资格审查,准合同对象不具有相应民事权利能力和民事行为能力或不具备特定资质,与不具备代理权或越权代理的主体签订合同,导致合同无效,或引发潜在风险;在合同签订前错误判断被调查对象的信用状况,或在合同履行过程中没有持续关注对方的资信变化,致使企业蒙受损失;对被调查对象的履约能力给出不当评价,将不具备履约能力的对象确定为准合同对象,或将具有履约能力的对象排除在准合同对象之外。 主要管控措施:第一,审查被调查对象的身份证件、法人登记证书、资质证明、授权委托书等证明原件,必要时,可通过发证机关查询证书的真实性和合法性,关注授权代理人的行为是否在其被授权范围内,在充分收集相关证据的基础上评价主体资格是否恰当。第二,获取调查对象经审计的财务报告、以往交易记录等财务和非财务信息,分析其获利能力、偿债能力和营运能力,评估其财务风险和信用状况,并在合同履行过程中持续关注其资信变化,建立和及时更新合同对方的商业信用档案。第三,对被调查对象进行现场调查,实地了解和全面评估其生产能力、技术水平、产品类别和质量等生产经营情况,分析其合同履约能力。第四,与被调查对象的主要供应商、客户、开户银行、主管税务机关和工商管理部门等沟通,了解其生产经营、商业信誉、履约能力等情况。 (二)合同谈判 初步确定准合同对象后,企业内部的合同承办部门将在授权范围内与对方进行合同谈判,按照自愿、公平原则,磋商合同内容和条款,明确双方的权利义务和违约责任。该环节的主要风险是:忽略合同重大问题或在重大问题上做出不当让步;谈判经验不足,缺乏技术、法律和财务知识的支撑,导致企业利益损失;泄露本企业谈判策略,导致企业在谈判中处于不利地位。 主要管控措施:第一,收集谈判对手资料,充分熟悉谈判对手情况,做到知己知彼;研究国家相关法律法规、行业监管、产业政策、同类产品或服务价格等与谈判内容相关的信息,正确制定本企业谈判策略。第二,关注合同核心内容、条款和关键细节,具体包括合同标的的数量、质量或技术标准,合同价格的确定方式与支付方式,履约期限和方式,违约责任和争议的解决方法、合同变更或解除条件等。第三,对于影响重大、涉及较高专业技术或法律关系复杂的合同,组织法律、技术、财会等专业人员参与谈判,充分发挥团队智慧,及时总结谈判过程中的得失,研究确定下一步谈判策略。第四,必要时可聘请外部专家参与相关工作,并充分了解外部专家的专业资质、胜任能力和职业道德情况。第五,加强保密工作,严格责任追究制度。第六,对谈判过程中的重要事项和参与谈判人员的主要意见,予以记录并妥善保存,作为避免合同舞弊的重要手段和责任追究的依据。 (三)合同文本拟定 企业在合同谈判后,根据协商谈判结果,拟定合同文本。该环节的主要风险是:选择不恰当的合同形式;合同与国家法律法规、行业产业政策、企业总体战略目标或特定业务经营目标发生冲突;合同内容和条款不完整、表述不严谨准确,或存在重大疏漏和欺诈,导致企业合法利益受损;有意拆分合同规避合同管理规定等;对于合同文本须报经国家有关主管部门审查或备案的,未履行相应程序。 主要管控措施:第一,企业对外发生经济行为,除即时结清方式外,应当订立书面合同。第二,严格审核合同需求与国家法律法规、产业政策、企业整体战略目标的关系,保证其协调一致;考察合同是否以生产经营计划、项目立项书等为依据,确保完成具体业务经营目标。第三,合同文本一般由业务承办部门起草,法律部门审核;重大合同或法律关系复杂的特殊合同应当由法律部门参与起草。国家或行业有合同示范文本的,可以优先选用,但对涉及权利义务关系的条款应当进行认真审查,并根据实际情况进行适当修改。各部门应当各司其职,保证合同内容和条款的完整准确。第四,通过统一归口管理和授权审批制度,严格合同管理,防止通过化整为零等方式故意规避招标的做法和越权行为。第五,由签约对方起草的合同,企业应当认真审查,确保合同内容准确反映企业诉求和谈判达成的一致意见,特别留意“其他约定事项”等需要补充填写的栏目,如不存在其他约定事项时注明“此处空白”或“无其他约定”,防止合同后续被篡改。第六,合同文本须报经国家有关主管部门审查或备案的,应当履行相应程序。 (四)合同审核 合同文本拟定完成后,企业应进行严格的审核。该环节的主要风险是:合同审核人员因专业素质或工作态度原因未能发现合同文本中的不当内容和条款;审核人员虽然通过审核发现问题但未提出恰当的修订意见;合同起草人员没有根据审核人员的改进意见修改合同,导致合同中的不当内容和条款未被纠正。 主要管控措施:第一,审核人员应当对合同文本的合法性、经济性、可行性和严密性进行重点审核,关注合同的主体、内容和形式是否合法,合同内容是否符合企业的经济利益,对方当事人是否具有履约能力,合同权利和义务、违约责任和争议解决条款是否明确等。第二,建立会审制度,对影响重大或法律关系复杂的合同文本,组织财会部门、内部审计部、法律部、业务关联的相关部门进行审核,内部相关部门应当认真履行职责。第三,慎重对待审核意见,认真分析研究,慎重对待,对审核意见准确无误地加以记录,必要时对合同条款作出修改并再次提交审核。 (五)合同签署 企业经审核同意签订的合同,应当与对方当事人正式签署并加盖企业合同专用章。该环节的主要风险是:超越权限签订合同,合同印章管理不当,签署后的合同被篡改,因手续不全导致合同无效等。 主要管控措施:第一,按照规定的权限和程序与对方当事人签署合同。对外正式对外订立的合同应当由企业法定代表人或由其授权的代理人签名或加盖有关印章。授权签署合同的,应当签署授权委托书。第二,严格合同专用章保管制度,合同经编号、审批及企业法定代表人或由其授权的代理人签署后,方可加盖合同专用章。用印后保管人应当立即收回,并按要求妥善保管,以防止他人滥用。保管人应当记录合同专用章使用情况以备查,如果发生合同专用章遗失或被盗现象,应当立即报告公司负责人并采取妥善措施,如向公安机关报案、登报声明作废等,以最大限度消除可能带来的负面影响。第三,采取恰当措施,防止已签署的合同被篡改,如在合同各页码之间加盖骑缝章、使用防伪印记、使用不可编辑的电子文档格式等。第四,按照国家有关法律、行政法规规定,需办理批准、登记等手续之后方可生效的合同,企业应当及时按规定办理相关手续。 (六)合同履行 合同订立后,企业应当与合同对方当事人一起遵循诚实信用原则,根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。该环节的主要风险是:本企业或合同对方当事人没有恰当地履行合同中约定的义务;合同生效后,对合同条款未明确约定的事项没有及时协议补充,导致合同无法正常履行;在合同履行过程中,未能及时发现已经或可能导致企业利益受损情况,或未能采取有效措施;合同纠纷处理不当,导致企业遭受外部处罚、诉讼失败,损害企业利益、信誉和形象等。 主要管控措施:第一,强化对合同履行情况及效果的检查、分析和验收,全面适当执行本企业义务,敦促对方积极执行合同,确保合同全面有效履行。第二,对合同对方的合同履行情况实施有效监控,一旦发现有违约可能或违约行为,应当及时提示风险,并立即采取相应措施将合同损失降到最低。第三,根据需要及时补充、变更甚至解除合同。一是对于合同没有约定或约定不明确的内容,通过双方协商一致对原有合同进行补充;无法达成补充协议的,按照国家相关法律法规、合同有关条款或者交易习惯确定;二是,对于显失公平、条款有误或存在欺诈行为的合同,以及因政策调整、市场变化等客观因素已经或可能导致企业利益受损的合同,按规定程序及时报告,并经双方协商一致,按照规定权限和程序办理合同变更或解除事宜;三是对方当事人提出中止、转让、解除合同的,造成企业经济损失的,应向对方当事人书面提出索赔。第四,加强合同纠纷管理,在履行合同过程中发生纠纷的,应当依据国家相关法律法规,在规定时效内与对方当事人协商并按规定权限和程序及时报告。合同纠纷经协商一致的,双方应当签订书面协议;合同纠纷经协商无法解决的,根据合同约定选择仲裁或诉讼方式解决。企业内部授权处理合同纠纷,应当签署授权委托书。纠纷处理过程中,未经授权批准,相关经办人员不得向对方当事人作出实质性答复或承诺。 (七)合同结算 合同结算是合同执行的重要环节,既是对合同签订的审查,也是对合同执行的监督,一般由财会部门负责办理。该环节的主要风险是:违反合同条款,未按合同规定期限、金额或方式付款;疏于管理,未能及时催收到期合同款项;在没有合同依据的情况下盲目付款等。 主要管控措施:第一,财会部门应当在审核合同条款后办理结算业务,按照合同规定付款,及时催收到期欠款。第二,未按合同条款履约或应签订书面合同而未签订的,财会部门有权拒绝付款,并及时向企业有关负责人报告。 (四)合同登记 合同登记管理制度体现合同的全过程封闭管理,合同的签署、履行、结算、补充或变更、解除等都需要进行合同登记。该环节的主要风险是:合同档案不全,合同泄密,合同滥用等。 主要管控措施:第一,合同管理部门应当加强合同登记管理,充分利用信息化手段,定期对合同进行统计、分类和归档,详细登记合同的订立、履行和变更、终结等情况,合同终结应及时办理销号和归档手续,以实行合同的全过程封闭管理。第二,建立合同文本统一分类和连续编号制度,以防止或及早发现合同文本的遗失。第三,加强合同信息安全保密工作,未经批准,任何人不得以任何形式泄露合同订立与履行过程中涉及的国家或商业秘密。第四,规范合同管理人员职责,明确合同流转、借阅和归还的职责权限和审批程序等有关要求。 四、 合同管理的后评估 合同作为企业承担独立民事责任、履行权利义务的重要依据,是企业管理活动的重要痕迹,也是企业风险管理的主要载体,为此,合同管理内部控制指引强调企业应当建立合同管理的后评估制度。企业应当建立合同履行情况评估制度,至少于每年年末对合同履行的总体情况和重大合同履行的具体情况进行分析评估,对分析评估中发现合同履行中存在的不足,应当及时加以改进。 |
主题最新回顾(发布时间:2010-11-8 15:10:01) | |
---|---|
-- 作者:黄献华律师
-- 解读《企业内部控制应用指引第15号——全面预算》 解读《企业内部控制应用指引第15号——全面预算》
全面预算是指企业对一定期间的经营活动、投资活动、财务活动等作出的预算安排。全面预算作为一种全方位、全过程、全员参与编制与实施的预算管理模式,凭借其计划、协调、控制、激励、评价等综合管理功能,整合和优化配置企业资源,提升企业运行效率,成为促进实现企业发展战略的重要抓手。正如美国著名管理学家戴维·奥利所指出的那样:全面预算管理是为数不多的几个能把组织的所有关键问题融合于一个体系之中的管理控制方法之一。制定和实施《企业内部控制应用指引第15号——全面预算》,旨在引导和规范企业加强全面预算管理各环节的风险管控,促进全面预算管理在推动企业实现发展战略过程中发挥积极作用。本文就此进行解读。 一、如何正确认识和理解全面预算 正确认识和理解全面预算的内涵、本质及作用,应当把握以下几个方面: (一)全方位、全过程、全员参与编制与实施的预算管理模式 全面预算的“全方位”,体现在企业的一切经济活动,包括经营、投资、财务等各项活动,以及企业的人、财、物各个方面,供、产、销各个环节,都必须纳入预算管理。因此,全面预算是由经营预算(也称业务预算)、投资预算、筹资预算、财务预算等一系列预算组成的相互衔接和勾稽的综合预算体系。全面预算的“全过程”,体现在企业组织各项经济活动的事前、事中和事后都必须纳入预算管理,即全面预算不仅限于预算编制、分解和下达,而是由预算编制、执行、分析、调整、考核、奖惩等一系列环节所组成的管理活动。全面预算的“全员”参与,指企业内部各部门、各单位、各岗位,上至最高负责人,下至各部门负责人、各岗位员工都必须参与预算编制与实施。 (二)企业实施内部控制、防范风险的重要手段和措施 全面预算的本质是企业内部管理控制的一项工具,即预算本身不是最终目标,而是为实现企业目标所采用的管理与控制手段,从而有效控制企业风险。全面预算的制定和实施过程,就是企业不断用量化的工具,使自身所处的经营环境与拥有的资源和企业的发展目标保持动态平衡的过程,也是企业在此过程中所面临的各种风险的识别、预测、评估与控制过程。因此,《企业内部控制基本规范》将预算控制列为重要的控制活动和风险控制措施。 (三)企业实现发展战略和年度经营目标的有效方法和工具 “三分战略、七分执行”,企业战略制定得再好,如果得不到有效实施,终不能将美好蓝图和“愿景”转变为现实,甚至可能因实际运营背离战略目标而导致经营失败。通过实施全面预算,将根据发展战略制定的年度经营目标进行分解、落实,可以使企业的长期战略规划和年度具体行动方案紧密结合,从而实现“化战略为行动”,确保企业发展目标的实现。《企业内部控制应用指引第2号——发展战略》中明确规定企业应当编制全面预算。 (四)有利于企业优化资源配置、提高经济效益 全面预算是为数不多的能够将企业的资金流、实物流、业务流、信息流、人力流等相整合的管理控制方法之一。全面预算以经营目标为起点,以提高投入产出比为目的,其编制和执行过程就是将企业有限的资源加以整合,协调分配到能够提高企业经营效率效果的业务、活动、环节中去,从而实现企业资源的优化配置,增强资源的价值创造能力,提高企业经济效益。 (五)有利于实现制约和激励 全面预算可以将企业各层级之间、各部门之间、各责任单位之间等内部权、责、利关系予以规范化、明细化、具体化、可度量化,从而实现出资者对经营者的有效制约,以及经营者对企业经营活动、企业员工的有效计划、控制和管理。通过全面预算的编制,企业可以规范内部各个利益主体对企业具体的约定投入、约定效果及相应的约定利益;通过全面预算执行及监控,可以真实反馈内部各个利益主体的实际投入及其对企业的影响并加以制约;通过全面预算执行结果的考核,可以检查契约的履行情况并实施相应的奖惩,从而调动和激励员工的积极性,最终实现企业目标。 二、全面预算的组织 全面预算组织领导与运行体制健全,是防止预算管理松散、随意,预算编制、执行、考核等各环节流于形式,预算管理的作用得不到有效发挥的关键。为此,全面预算指引提出了明确的控制要求,即:企业应当加强全面预算工作的组织领导,明确预算管理体制以及各预算执行单位的职责权限、授权批准程序和工作协调机制。 (一)健全预算管理体制 企业设置全面预算管理体制,应遵循合法科学、高效有力、经济适度、全面系统、权责明确等基本原则,一般具备全面预算管理决策机构、工作机构和执行单位三个层次的基本架构。 1.全面预算管理决策机构——预算管理委员会 企业应当设立预算管理委员会,作为专门履行全面预算管理职责的决策机构。预算管理委员会成员由企业负责人及内部相关部门负责人组成,总会计师或分管会计工作的负责人应当协助企业负责人负责企业全面预算管理工作的组织领导。具体而言,预算管理委员会一般由企业负责人(董事长或总经理)任主任,总会计师(或财务总监、分管财会工作的副总经理)任副主任,其成员一般还包括各副总经理、主要职能部门(财务、战略发展、生产、销售、投资、人力资源等部门)、分(子)公司负责人等。 预算管理委员会的主要职责一般是:(1)制定颁布企业全面预算管理制度,包括预算管理的政策、措施、办法、要求等;(2)根据企业战略规划和年度经营目标,拟定预算目标,并确定预算目标分解方案、预算编制方法和程序;(3)组织编制、综合平衡预算草案;(4)下达经批准的正式年度预算;(5)协调解决预算编制和执行中的重大问题;(6)审议预算调整方案,依据授权进行审批;(7)审议预算考核和奖惩方案;(8)对企业全面预算总的执行情况进行考核;(9)其他全面预算管理事宜。 2.全面预算管理工作机构 由于预算管理委员会一般为非常设机构,企业应当在该委员会下设立预算管理工作机构,由其履行预算管理委员会的日常管理职责。预算管理工作机构一般设在财会部门,其主任一般由总会计师(或财务总监、分管财会工作的副总经理)兼任,工作人员除了财务部门人员外,还应有计划、人力资源、生产、销售、研发等业务部门人员参加。 预算管理工作机构的主要职责一般是:(1)拟订企业各项全面预算管理制度,并负责检查落实预算管理制度的执行;(2)拟定年度预算总目标分解方案及有关预算编制程序、方法的草案,报预算管理委员会审定;(3)组织和指导各级预算单位开展预算编制工作;(4)预审各预算单位的预算初稿,进行综合平衡,并提出修改意见和建议;(5)汇总编制企业全面预算草案,提交预算管理委员会审查;(6)跟踪、监控企业预算执行情况;(7)定期汇总、分析各预算单位预算执行情况,并向预算管理委员会提交预算执行分析报告,为委员会进一步采取行动拟定建议方案;(8)接受各预算单位的预算调整申请,根据企业预算管理制度进行审查,集中制定年度预算调整方案,报预算管理委员会审议;(9)协调解决企业预算编制和执行中的有关问题;(10)提出预算考核和奖惩方案,报预算管理委员会审议;(11)组织开展对企业二级预算执行单位(企业内部各职能部门、所属分(子)企业等,下同)预算执行情况的考核,提出考核结果和奖惩建议,报预算管理委员会审议;(12)预算管理委员会授权的其他工作。 3.全面预算执行单位 全面预算执行单位是指根据其在企业预算总目标实现过程中的作用和职责划分的,承担一定经济责任,并享有相应权利和利益的企业内部单位,包括企业内部各职能部门、所属分(子)企业等。企业内部预算责任单位的划分应当遵循分级分层、权责利相结合、责任可控、目标一致的原则,并与企业的组织机构设置相适应。根据权责范围,企业内部预算责任单位可以分为投资中心、利润中心、成本中心、费用中心和收入中心。预算执行单位在预算管理部门(指预算管理委员会及其工作机构,下同)的指导下,组织开展本部门或本企业全面预算的编制工作,严格执行批准下达的预算。 各预算执行单位的主要职责一般是:(1)提供编制预算的各项基础资料;(2)负责本单位全面预算的编制和上报工作;(3)将本单位预算指标层层分解,落实到各部门、各环节和各岗位;(4)严格执行经批准的预算,监督检查本单位预算执行情况;(5)及时分析、报告本单位的预算执行情况,解决预算执行中的问题;(6)根据内外部环境变化及企业预算管理制度,提出预算调整申请;(7)组织实施本单位内部的预算考核和奖惩工作;(8)配合预算管理部门做好企业总预算的综合平衡、执行监控、考核奖惩等工作;(9)执行预算管理部门下达的其他预算管理任务。 各预算执行单位负责人应当对本单位预算的执行结果负责。 企业全面预算管理组织体系的基本架构如图1所示。
图1 全面预算管理组织体系基本架构图 (二)明确各环节授权批准程序和工作协调机制 在建立健全全面预算管理体制的基础上,企业应当进一步梳理、制定预算管理工作流程,按照不相容职务相互分离的原则细化各部门、各岗位在预算管理体系中的职责、分工与权限,明确预算编制、执行、分析、调整、考核各环节的授权批准制度与程序。预算管理工作各环节的不相容岗位一般包括:预算编制与预算审批、预算审批与预算执行、预算执行与预算考核。 在全面预算管理各个环节中,预算管理部门主要起决策、组织、领导、协调、平衡的作用。企业可以根据自身的组织结构、业务特点和管理需要,责成内部生产、市场、投资、技术、人力资源等各预算归口管理部门负责所归口管理预算的编制、执行监控、分析等工作,并配合预算管理部门做好企业总预算综合平衡、执行监控、分析、考核等工作。 三、全面预算基本业务流程 企业全面预算业务的基本流程一般包括预算编制、预算执行和预算考核三个阶段。其中,预算编制阶段包括预算编制、预算审批、预算下达等具体环节;预算执行阶段设计预算指标分解和责任落实、预算执行控制、预算分析、预算调整等具体环节。这些业务环节相互关联、相互作用、相互衔接,周而复始地循环,从而实现对企业全面经济活动的控制。图2列示了各类企业全面预算的基本业务流程。 如前所述,全面预算是企业加强内部控制、实现发展战略的重要工具和手段,但同时也是企业内部控制的对象。企业应当参照图2的基本流程,结合自身情况及管理要求,制定具体的全面预算业务流程。
图2 全面预算基本业务流程图 四、预算流程主要业务风险及控制措施 (一)预算编制 预算编制是企业实施全面预算管理的起点。预算编制环节的主要风险是:第一,预算编制以财务部门为主,业务部门参与度较低,可能导致预算编制不合理,预算管理责、权、利不匹配;预算编制范围和项目不全面,各个预算之间缺乏整合,可能导致全面预算难以形成。第二,预算编制所依据的相关信息不足,可能导致预算目标与战略规划、经营计划、市场环境、企业实际等相脱离;预算编制基础数据不足,可能导致预算编制准确率降低。第三,预算编制程序不规范,横向、纵向信息沟通不畅,可能导致预算目标缺乏准确性、合理性和可行性。第四,预算编制方法选择不当,或强调采用单一的方法,可能导致预算目标缺乏科学性和可行性。第五,预算目标及指标体系设计不完整、不合理、不科学,可能导致预算管理在实现发展战略和经营目标、促进绩效考评等方面的功能难以有效发挥。第六,编制预算的时间太早或太晚,可能导致预算准确性不高,或影响预算的执行。 主要控制措施: 第一,全面性控制。一是明确企业各个部门、单位的预算编制责任,使企业各个部门、单位的业务活动全部纳入预算管理;二是将企业经营、投资、财务等各项经济活动的各个方面、各个环节都纳入预算编制范围,形成由经营预算、投资预算、筹资预算、财务预算等一系列预算组成的相互衔接和勾稽的综合预算体系。 第二,编制依据和基础控制。一是制定明确的战略规划,并依据战略规划制定年度经营目标和计划,作为制定预算目标的首要依据,确保预算编制真正成为战略规划和年度经营计划的年度具体行动方案;二是深入开展企业外部环境的调研和预测,包括对企业预算期内客户需求、同行业发展等市场环境的调研,以及宏观经济政策等社会环境的调研,确保预算编制以市场预测为依据,与市场、社会环境相适应;三是深入分析企业上一期间的预算执行情况,充分预计预算期内企业资源状况、生产能力、技术水平等自身环境的变化,确保预算编制符合企业生产经营活动的客观实际;四是重视和加强预算编制基础管理工作,包括历史资料记录、定额制定与管理、标准化工作、会计核算等,确保预算编制以可靠、翔实、完整的基础数据为依据。 第三,编制程序控制。企业应当按照上下结合、分级编制、逐级汇总的程序,编制年度全面预算。其基本步骤及其控制为:一是建立系统的指标分解体系,并在与各预算责任中心进行充分沟通的基础上分解下达初步预算目标;二是各预算责任中心按照下达的预算目标和预算政策,结合自身特点以及预测的执行条件,认真测算并提出本责任中心的预算草案,逐级汇总上报预算管理工作机构; 三是预算管理工作机构进行充分协调、沟通,审查平衡预算草案;四是预算管理委员会应当对预算管理工作机构在综合平衡基础上提交的预算方案进行研究论证,从企业发展全局角度提出进一步调整、修改的建议,形成企业年度全面预算草案,提交董事会;五是董事会审核全面预算草案,确保全面预算与企业发展战略、年度生产经营计划相协调。 第四,编制方法控制。企业应当本着遵循经济活动规律,充分考虑符合企业自身经济业务特点、基础数据管理水平、生产经营周期和管理需要的原则,选择或综合运用固定预算、弹性预算、滚动预算等方法编制预算。 第五,预算目标及指标体系设计控制。一是按照“财务指标为主体、非财务指标为补充”的原则设计预算指标体系;二是将企业的战略规划、经营目标体现在预算指标体系中;三是将企业产、供、销、投融资等各项活动的各个环节、各个方面的内容都纳入预算指标体系;四是将预算指标体系与绩效评价指标协调一致;五是按照各责任中心在工作性质、权责范围、业务活动特点等方面的不同,设计不同或各有侧重的预算指标体系。 第六,预算编制时间控制。企业可以根据自身规模大小、组织结构和产品结构的复杂性、预算编制工具和熟练程度、全面预算开展的深度和广度等因素,确定合适的全面预算编制时间,并应当在预算年度开始前完成全面预算草案的编制工作。 (二)预算审批 预算审批环节的主要风险是:全面预算未经适当审批或超越授权审批,可能导致预算权威性不够、执行不力,或可能因重大差错、舞弊而导致损失。 主要控制措施:企业全面预算应当按照《公司法》等相关法律法规及企业章程的规定报经审议批准。 (三)预算下达 预算下达环节的主要风险是:全面预算下达不力,可能导致预算执行或考核无据可查。 主要控制措施:企业全面预算经审议批准后应及时以文件形式下达执行。 (四)预算指标分解和责任落实 该环节的主要风险是:预算指标分解不够详细、具体,可能导致企业的某些岗位和环节缺乏预算执行和控制依据;预算指标分解与业绩考核体系不匹配,可能导致预算执行不力;预算责任体系缺失或不健全,可能导致预算责任无法落实,预算缺乏强制性与严肃性;预算责任与执行单位或个人的控制能力不匹配,可能导致预算目标难以实现。 主要控制措施: 第一,企业全面预算一经批准下达,各预算执行单位应当认真组织实施,将预算指标层层分解,横向将预算指标分解为若干相互关联的因素,寻找影响预算目标的关键因素并加以控制;纵向将各项预算指标层层分解落实到最终的岗位和个人,明确责任部门和最终责任人;时间上将年度预算指标分解细化为季度、月度预算,通过实施分期预算控制,实现年度预算目标。 第二,建立预算执行责任制度,对照已确定的责任指标,定期或不定期地对相关部门及人员责任指标完成情况进行检查,实施考评。可以通过签订预算目标责任书等形式明确各预算执行部门的预算责任。 第三,分解预算指标和建立预算执行责任制应当遵循定量化、全局性、可控性原则。即:预算指标的分解要明确、具体,便于执行和考核;预算指标的分解要有利于企业经营总目标的实现;赋予责任部门和责任人的预算指标应当是通过该责任部门或责任人的努力可以达到的,责任部门或责任人以其责权范围为限,对预算指标负责。 (五)预算执行控制 预算执行控制环节的主要风险是:缺乏严格的预算执行授权审批制度,可能导致预算执行随意;预算审批权限及程序混乱,可能导致越权审批、重复审批,降低预算执行效率和严肃性;预算执行过程中缺乏有效监控,可能导致预算执行不力,预算目标难以实现;缺乏健全有效的预算反馈和报告体系,可能导致预算执行情况不能及时反馈和沟通,预算差异得不到及时分析,预算监控难以发挥作用。 主要控制措施: 第一,加强资金收付业务的预算控制,及时组织资金收入,严格控制资金支付,调节资金收付平衡,防范支付风险。 第二,严格资金支付业务的审批控制,及时制止不符合预算目标的经济行为,确保各项业务和活动都在授权的范围内运行。企业应当就涉及资金支付的预算内事项、超预算事项、预算外事项建立规范的授权批准制度和程序,避免越权审批、违规审批、重复审批现象的发生。对于预算内非常规或金额重大事项,应经过较高的授权批准层(如总经理)审批。对于超预算或预算外事项,应当实行严格、特殊的审批程序,一般须报经总经理办公会或类似权力机构审批;金额重大的,还应报经预算管理委员会或董事会审批。预算执行单位提出超预算或预算外资金支付申请,应当提供有关发生超预算或预算外支付的原因、依据、金额测算等资料。 第三,建立预算执行实时监控制度,及时发现和纠正预算执行中的偏差。确保企业办理采购与付款、销售与收款、成本费用、工程项目、对外投融资、研究与开发、信息系统、人力资源、安全环保、资产购置与维护等各项业务和事项,均符合预算要求;对于涉及生产过程和成本费用的,还应严格执行相关计划、定额、定率标准。 第四,建立重大预算项目特别关注制度。对于工程项目、对外投融资等重大预算项目,企业应当密切跟踪其实施进度和完成情况,实行严格监控。对于重大的关键性预算指标,也要密切跟踪、检查。 第五,建立预算执行情况预警机制,科学选择预警指标,合理确定预警范围,及时发出预警信号,积极采取应对措施。有条件的企业,应当推进和实施预算管理的信息化,通过现代电子信息技术手段控制和监控预算执行,提高预警与应对水平。 第六,建立健全预算执行情况内部反馈和报告制度,确保预算执行信息传输及时、畅通、有效。预算管理工作机构应当加强与各预算执行单位的沟通,运用财务信息和其他相关资料监控预算执行情况,采用恰当方式及时向预算管理委员会和各预算执行单位报告、反馈预算执行进度、执行差异及其对预算目标的影响,促进企业全面预算目标的实现。 (六)预算分析 预算分析环节的主要风险是:预算分析不正确、不科学、不及时,可能削弱预算执行控制的效果,或可能导致预算考评不客观、不公平;对预算差异原因的解决措施不得力,可能导致预算分析形同虚设。 主要控制措施: 第一,企业预算管理工作机构和各预算执行单位应当建立预算执行情况分析制度,定期召开预算执行分析会议,通报预算执行情况,研究、解决预算执行中存在的问题,认真分析原因,提出改进措施。 第二,企业应当加强对预算分析流程和方法的控制,确保预算分析结果准确、合理。预算分析流程一般包括确定分析对象、收集资料、确定差异及分析原因、提出措施及反馈报告等环节。企业分析预算执行情况,应当充分收集有关财务、业务、市场、技术、政策、法律等方面的信息资料,根据不同情况分别采用比率分析、比较分析、因素分析等方法,从定量与定性两个层面充分反映预算执行单位的现状、发展趋势及其存在的潜力。 第三,企业应当采取恰当措施处理预算执行偏差。企业应针对造成预算差异的不同原因采取不同的处理措施:因内部执行导致的预算差异,应分清责任归属,与预算考评和奖惩挂钩,并将责任单位或责任人的改进措施的实际执行效果纳入业绩考核;因外部环境变化导致的预算差异,应分析该变化是否长期影响企业发展战略的实施,并作为下期预算编制的影响因素。 (七)预算调整 预算调整环节的主要风险是:预算调整依据不充分、方案不合理、审批程序不严格,可能导致预算调整随意、频繁,预算失去严肃性和“硬约束”。 主要控制措施: 第一,明确预算调整条件。由于市场环境、国家政策或不可抗力等客观因素,导致预算执行发生重大差异确需调整预算的,应当履行严格的审批程序。企业应当在有关预算管理制度中明确规定预算调整的条件。 第二,强化预算调整原则。一是预算调整应当符合企业发展战略、年度经营目标和现实状况,重点放在预算执行中出现的重要的、非正常的、不符合常规的关键性差异方面;二是预算调整方案应当客观、合理、可行,在经济上能够实现最优化;三是预算调整应当谨慎,调整频率应予以严格控制,年度调整次数应尽量少。 第三,规范预算调整程序,严格审批。调整预算一般由预算执行单位逐级向预算管理委员会提出书面申请,详细说明预算调整理由、调整建议方案、调整前后预算指标的比较、调整后预算指标可能对企业预算总目标的影响等内容。预算管理工作机构应当对预算执行单位提交的预算调整报告进行审核分析,集中编制企业年度预算调整方案,提交预算管理委员会。预算管理委员会应当对年度预算调整方案进行审议,根据预算调整事项性质或预算调整金额的不同,根据授权进行审批,或提交原预算审批机构审议批准,然后下达执行。企业预算管理委员会或董事会审批预算调整方案时,应当依据预算调整条件,并考虑预算调整原则严格把关,对于不符合预算调整条件的,坚决予以否决;对于预算调整方案欠妥的,应当协调有关部门和单位研究改进方案,并责成预算管理工作机构予以修改后再履行审批程序。 (八)预算考核 预算考核环节的主要风险是:预算考核不严格、不合理、不到位,可能导致预算目标难以实现、预算管理流于形式。其中,预算考核是否合理受到考核主体和对象的界定是否合理、考核指标是否科学、考核过程是否公开透明、考核结果是否客观公正、奖惩措施是否公平合理且能够落实等因素的影响。 主要控制措施: 第一,建立健全预算执行考核制度。一是建立严格的预算执行考核制度,对各预算执行单位和个人进行考核,将预算目标执行情况纳入考核和奖惩范围,切实做到有奖有惩、奖惩分明。二是制定有关预算执行考核的制度或办法,并认真、严格地组织实施。三是定期组织实施预算考核,预算考核的周期一般应当与年度预算细分周期相一致,即一般按照月度、季度实施考评,预算年度结束后再进行年度总考核。 第二,合理界定预算考核主体和考核对象。预算考核主体分为两个层次:预算管理委员会和内部各级预算责任单位。预算考核对象为企业内部各级预算责任单位和相关个人。界定预算考核主体和考核对象应当主要遵循以下原则:一是上级考核下级原则,即由上级预算责任单位对下级预算责任单位实施考核;二是逐级考核原则,即由预算执行单位的直接上级对其进行考核,间接上级不能隔级考核间接下级;三是预算执行与预算考核相互分离原则,即预算执行单位的预算考核应由其直接上级部门来进行,而绝不能自己考核自己。 第三,科学设计预算考核指标体系。应主要把握以下原则:预算考核指标要以各责任中心承担的预算指标为主,同时本着相关性原则,增加一些全局性的预算指标和与其关系密切的相关责任中心的预算指标;考核指标应以定量指标为主,同时根据实际情况辅之以适当的定性指标;考核指标应当具有可控性、可达到性和明晰性。 第四,按照公开、公平、公正原则实施预算考核。一是考核程序、标准、结果要公开。企业应当将全面预算考核程序、考核标准、奖惩办法、考核结果等及时公开。二是考核结果要客观公正。预算考核应当以客观事实作为依据。预算执行单位上报的预算执行报告是预算考核的基本依据,应当经本单位负责人签章确认。企业预算管理委员会及其工作机构定期组织预算执行情况考核时,应当将各预算执行单位负责人签字上报的预算执行报告和已掌握的动态监控信息进行核对,确认各执行单位预算完成情况。必要时,实行预算执行情况内部审计制度。三是奖惩措施要公平合理并得以及时落实。预算考核的结果应当与各执行单位以及员工的薪酬、职位等进行挂钩,实施预算奖惩。企业设计预算奖惩方案时,应当以实现全面预算目标为首要原则,同时还应遵循公平合理、奖罚并存的原则。奖惩方案要注意各部门利益分配的合理性,要根据各部门承担的工作难易程度和技术含量合理确定奖励差距。要奖罚并举,不能只奖不罚,并防止奖惩实施中的人情添加因素。 |
主题最新回顾(发布时间:2010-11-8 15:08:22) | ||||
---|---|---|---|---|
-- 作者:黄献华律师
-- 解读《企业内部控制应用指引第14号——财务报告》
|
主题最新回顾(发布时间:2010-11-8 15:06:18) |
---|
-- 作者:黄献华律师
-- 解读《企业内部控制应用指引第13号——业务外包》 解读《企业内部控制应用指引第13号——业务外包》
《企业内部控制应用指引第13号——业务外包》所称的业务外包,是指企业利用专业化分工优势,将日常经营中的部分业务委托给本企业以外的专业服务机构或经济组织(以下简称承包方)完成的经营行为,通常包括研发、资信调查、可行性研究、委托加工、物业管理、客户服务、IT服务等。随着社会主义市场发展及国际产业分工呈细化趋势,我国业务外包市场必将有较大发展。适应这种发展趋势,财政部研究制定了《企业内部控制应用指引第13号——业务外包》,对于规范业务外包行为,防范业务外包风险,具有重要的意义。本文就此进行解读。 一、业务外包流程 业务外包流程主要包括:制定业务外包实施方案、审核批准、选择承包方、签订业务外包合同、组织实施业务外包活动、业务外包过程管理、验收、会计控制等环节。如下图所示。该图列示的业务外包流程适用于各类企业的一般业务外包,具有通用性。企业在实际开展业务外包时,可以参照此流程,并结合自身情况予以扩充和具体化。
业务外包基本流程图
二、各环节的主要风险点及管控措施 (一)制定业务外包实施方案 制定业务外包实施方案,是指企业根据年度生产经营计划和业务外包管理制度,结合确定的业务外包范围,制定实施方案。该环节的风险主要是:企业缺乏业务外包管理制度,导致制定实施方案时无据可依;业务外包管理制度未明确业务外包范围,可能导致有关部门在制定实施方案时,将不宜外包的核心业务进行外包;实施方案不合理、不符合企业生产经营特点或内容不完整,可能导致业务外包失败。 主要管控措施:第一,建立和完善业务外包管理制度,根据各类业务与核心主业的关联度、对外包业务的控制程度以及外部市场成熟度等标准,合理确定业务外包的范围,并根据是否对企业生产经营有重大影响对外包业务实施分类管理,以突出管控重点,同时明确规定业务外包的方式、条件、程序和实施等相关内容。第二,严格按照业务外包管理制度规定的业务外包范围、方式、条件、程序和实施等内容制定实施方案,避免将核心业务外包,同时确保方案的完整性。第三,根据企业年度预算以及生产经营计划,对实施方案的重要方面进行深入评估以及复核,包括承包方的选择方案、外包业务的成本效益及风险、外包合同期限、外包方式、员工培训计划等,确保方案的可行性。第四,认真听取外部专业人员对业务外包的意见,并根据其合理化建议完善实施方案。 (二)审核批准 审核批准,是指企业应当按照规定的权限和程序审核批准业务外包实施方案。该环节的主要风险是:审批制度不健全,导致对业务外包的审批不规范;审批不严格或者越权审批,导致业务外包决策出现重大疏漏,可能引发严重后果;未能对业务外包实施方案是否符合成本效益原则进行合理审核以及做出恰当判断,导致业务外包不经济。 主要管控措施:第一,建立和完善业务外包的审核批准制度。明确授权批准的方式、权限、程序、责任和相关控制措施,规定各层级人员应当在授权范围内进行审批,不得超越权限审批。同时加大对分公司重大业务外包的管控力度,避免因分公司越权进行业务外包给企业带来不利后果。第二,在对业务外包实施方案进行审查和评价时,应当着重对比分析该业务项目在自营与外包情况下的风险和收益,确定外包的合理性和可行性。第三,总会计师或企业分管会计工作的负责人应当参与重大业务外包的决策,对业务外包的经济效益做出合理评价。第四,对于重大业务外包方案,应当提交董事会或类似权力机构审批。 (三)选择承包方 选择承包方,是指企业应当按照批准的业务外包实施方案选择承包方。该环节的主要风险是:承包方不是合法设立的法人主体,缺乏应有的专业资质,从业人员也不具备应有的专业技术资格,缺乏从事相关项目的经验,导致企业遭受损失甚至陷入法律纠纷;外包价格不合理,业务外包成本过高导致难以发挥业务外包的优势;存在接受商业贿赂的舞弊行为,导致相关人员涉案。 主要管控措施:第一,充分调查候选承包方的合法性,即是否为依法成立、合法经营的专业服务机构或经济组织,是否具有相应的经营范围和固定的办公场所。第二,调查候选承包方的专业资质、技术实力及其从业人员的履历和专业技能。第三,考察候选承包方从事类似项目的成功案例、业界评价和口碑。第四,综合考虑企业内外部因素,对业务外包的人工成本、营销成本、业务收入、人力资源等指标进行测算分析,合理确定外包价格,严格控制业务外包成本。第五,引入竞争机制,按照有关法律法规,遵循公开、公平、公正的原则,采用招标方式等适当方式,择优选择承包方。第六,按照规定的程序和权限从候选承包方中做出选择,并建立严格的回避制度和监督处罚制度,避免相关人员在选择承包方过程中出现受贿和舞弊行为。 (四)签订业务外包合同 确定承包方后,企业应当及时与选定的承包方签订业务外包合同,约定业务外包的内容和范围,双方权利和义务,服务和质量标准,保密事项,费用结算标准和违约责任等事项。该环节的主要风险是:合同条款未能针对业务外包风险做出明确的约定,对承办方的违约责任界定不够清晰,导致企业陷入合同纠纷和诉讼;合同约定的业务外包价格不合理或成本费用过高,导致企业遭受损失。 主要管控措施:第一,在订立外包合同前,充分考虑业务外包方案中识别出的重要风险因素,并通过合同条款予以有效规避或降低。第二,在合同的内容和范围方面,明确承包方提供的服务类型、数量、成本,以及明确界定服务的环节、作业方式、作业时间、服务费用等细节。第三,在合同的权利和义务方面,明确企业有权督促承包方改进服务流程和方法,承包方有责任按照合同协议规定的方式和频率,将外包实施的进度和现状告知企业,并对存在问题进行有效沟通。第四,在合同的服务和质量标准方面,应当规定外包商最低的服务水平要求以及如果未能满足标准实施的补救措施。第五,在合同的保密事项方面,应具体约定对于涉及本企业机密的业务和事项,承包方有责任履行保密义务。第六,在费用结算标准方面,综合考虑内外部因素,合理确定外包价格,严格控制业务外包成本。第七,在违约责任方面,制定既具原则性又体现一定灵活性的合同条款,以适应环境、技术和企业自身业务的变化。 (五)组织实施业务外包 组织实施业务外包,是指企业严格按照业务外包制度、工作流程和相关要求,组织业务外包过程中人、财、物等方面的资源分配,建立与承包方的合作机制,为下一环节的业务外包过程管理做好准备,确保承包方严格履行业务外包合同。企业在组织实施业务外包时,应当根据业务外包合同条款,落实双方应投入的人力资源、资金、硬件及专有资产等,明确承包方提供服务或产品的工作流程、模式、职能架构、项目实施计划等内容。该环节的主要风险是:组织实施业务外包的工作不充分或未落实到位,影响下一环节业务外包过程管理的有效实施,导致难以实现业务外包的目标。 主要管控措施:第一,按照业务外包制度、工作流程和相关要求,制定业务外包实施全过程的管控措施,包括落实与承包方之间的资产管理、信息资料管理、人力资源管理、安全保密管理等机制,确保承包方在履行外包业务合同时有章可循。第二,做好与承包方的对接工作,通过培训等方式确保承包方充分了解企业的工作流程和质量要求,从价值链的起点开始控制业务质量。第三,与承包方建立并保持畅通的沟通协调机制,以便及时发现并有效解决业务外包过程存在的问题。第四,梳理有关工作流程,提出每个环节上的岗位职责分工、运营模式、管理机制、质量水平等方面的要求,并建立对应的即时监控机制,及时检查、收集和反馈业务外包实施过程的相关信息。 (六)业务外包过程管理 根据业务外包合同的约定,承包方会采取在特定时点向企业一次性交付产品或在一定期间内持续提供服务的方式交付业务外包成果。由于承包方交付成果的方式不同,业务外包过程也有所不同,前者的业务外包过程是指承包方对产品的设计制造过程,后者的业务外包过程是指承包方持续提供服务的整个过程。该环节的主要风险是:承包方在合同期内因市场变化等原因不能保持履约能力,无法继续按照合同约定履行义务,导致业务外包失败和本企业生产经营活动中断;承包方出现未按照业务外包合同约定的质量要求持续提供合格的产品或服务等违约行为,导致企业难以发挥业务外包优势,甚至遭受重大损失;管控不力,导致商业秘密泄漏。 主要管控措施:第一,在承包方提供服务或制造产品的过程中,密切关注重大业务外包承包方的履约能力,采取承包方动态管理方式,对承包方开展日常绩效评价和定期考核。第二,对承包方的履约能力进行持续评估,包括承包方对该项目的投入是否能够支持其产品或服务质量达到企业预期目标,承包方自身的财务状况、生产能力、技术创新能力等综合能力是否满足该项目的要求。第三,建立即时监控机制,一旦发现偏离合同目标等情况,应及时要求承包方调整改进。第四,对重大业务外包的各种意外情况做出充分预计,建立相应的应急机制,制定临时替代方案,避免业务外包失败造成企业生产经营活动中断。第五,有确凿证据表明承包方存在重大违约行为,并导致业务外包合同无法履行的,应当及时终止合同,并指定有关部门按照法律程序向承包方索赔。第六,切实加强对业务外包过程中形成的商业信息资料的管理。 (七)验收 在业务外包合同执行完成后需要验收的,企业应当组织相关部门或人员对完成的业务外包合同进行验收。该环节的主要风险是:验收方式与业务外包成果交付方式不匹配,验收标准不明确,验收程序不规范,使验收工作流于形式,不能及时发现业务外包质量低劣等情况,可能导致企业遭受损失。 主要管控措施:第一,根据承包方业务外包成果交付方式的特点,制定不同的验收方式。一般而言,可以对最终产品或服务进行一次性验收,也可以在整个外包过程中分阶段验收。第二,根据业务外包合同的约定,结合在日常绩效评价基础上对外包业务质量是否达到预期目标的基本评价,确定验收标准。第三,组织有关职能部门、财会部门、质量控制部门等的相关人员,严格按照验收标准对承包方交付的产品或服务进行审查和全面测试,确保产品或服务符合需求,并出具验收证明。第四,验收过程中发现异常情况的,应当立即报告,查明原因,视问题的严重性与承包方协商采取恰当的补救措施,并依法索赔。第五,根据验收结果对业务外包是否达到预期目标作出总体评价,据此对业务外包管理制度和流程进行改进和优化。 (八)会计控制 会计控制是指企业应当根据国家统一的会计准则制度,加强对外包业务的核算与监督,并做好外包费用结算工作。该环节的主要风险是:缺乏有效的业务外包会计系统控制,未能全面真实地记录和反映企业业务外包各环节的资金流和实物流情况,可能导致企业资产流失或贬损;业务外包相关会计处理不当,可能导致财务报告信息失真;结算审核不严格、支付方式不恰当、金额控制不严,可能导致企业资金损失或信用受损。 主要管控措施:第一,企业财会部门应当根据国家统一的会计准则制度,对业务外包过程中交由承包方使用的资产、涉及资产负债变动的事项以及外包合同诉讼等加强核算与监督。第二,根据企业会计准则制度的规定,结合外包业务特点和企业管理机制,建立完善外包成本的会计核算方法,进行有关会计处理,并在财务报告中进行必要、充分的披露。第三,在向承包方结算费用时,应当依据验收证明,严格按照合同约定的结算条件、方式和标准办理支付。 |
主题最新回顾(发布时间:2010-11-8 15:04:50) | |
---|---|
-- 作者:黄献华律师
-- 解读《企业内部控制应用指引第12号——担保业务》 解读《企业内部控制应用指引第12号——担保业务》
《企业内部控制应用指引第12号——担保业务》中所称担保,是指企业作为担保人按照公平、自愿、互利的原则与债权人约定,当债务人不履行债务时,依照法律规定和合同协议承担相应法律责任的行为。担保制度起源于商品交易活动,但早期的简单商品交易,往往是以物易物,或者是钱货两清的即时交易,交易主体间失信问题不突出,也就没有担保的必要。随着商品交换形式不断发展,非即时交易大量出现,商品和货币的交付有了时间差,债权债务应运而生,随之而来的问题就是,在对债务人没有百分之百信赖的情形下,债权人需要通过某种方式确保债权的实现,而担保制度正好满足了这种需要。在现代市场经济中,担保一方面有利于银行等债权人降低贷款风险,另一方面使债权人与债务人形成了稳定可靠的资金供需关系。 但是,必须看到担保业务具有“双刃剑”特征,一些企业包括上市公司陷入担保怪圈和旷日持久的诉讼拉锯战,导致发生重大经济损失的案件时有发生。财政部会计司发布的《我国上市公司2007年执行新会计准则情况分析报告》显示,在1570家上市公司中,有287家存在预计负债,占18.28%,这287家上市公司2007年确认的预计负债总额为148.50亿元,其中,因担保事项确认的预计负债达到22.26亿元,占到了14.99%。另有研究资料表明,我国上市公司担保业务增速快、金额大、风险高、违规情况较为严重,仅2001~2004年,平均每年新增121家上市公司涉及担保事项,年均增速达到35%;截至2004年10月,837家沪市上市公司中,有180家存在违规担保情况,涉及金额为279.98亿元,违规担保金额占上市公司担保总额的26.72%;在深市505家上市公司中,涉及担保的公司311家,担保总额达420亿元,其中违规担保金额为131亿元,占担保总额的31.19%。鉴于担保业务的“双刃剑”特征,《企业内部控制应用指引第12号——担保业务》对严控担保风险提出了一系列有针对性的管控措施。 一、担保业务一般流程 企业办理担保业务,一般包括受理申请、调查评估、审批、签订担保合同、进行日常监控等流程。具体而言,一是担保申请人提出担保申请;二是担保人对担保项目和被担保人资信状况进行调查,对担保业务进行风险评估;三是担保人根据调查评估结果,结合本企业担保政策和授权审批制度,对担保业务进行审批,重大担保业务应提交董事会或类似权力机构批准;四是担保人依据既定权限和程序,与被担保人签订担保合同;五是担保人切实加强对担保合同的日常管理,对被担保人经营情况、财务状况和担保项目执行情况等进行跟踪监控;六是如果被担保人不能如期偿债,担保人应履行代为清偿义务并向被担保人追偿债务;同时,应当按照本企业担保业务责任追究制度,严格追究有关人员的责任。具体流程如下图所示,该图列示的担保流程适用于各类企业的一般担保业务,具有通用性。企业在开展担保业务时,可以参照此流程并结合自身情况予以扩充和细化。
担保业务流程图
二、担保业务关键控制点和主要控制措施 (一)受理申请 受理申请是企业办理担保业务的第一道关口,其主要风险是:企业担保政策和相关管理制度不健全,导致难以对担保申请人提出的担保申请进行初步评价和审核;或者虽然建立了担保政策和相关管理制度,但对担保申请人提出的担保申请审查把关不严,导致申请受理流于形式。 这一业务环节的主要控制措施:第一,依法制定和完善本企业的担保政策和相关管理制度,明确担保的对象、范围、方式、条件、程序、担保限额和禁止担保的事项;第二,严格按照担保政策和相关管理制度对担保申请人提出的担保申请进行审核。比如,担保申请人是否属于可以提供担保的对象。一般而言,对于与本企业存在密切业务关系需要互保的企业、与本企业有潜在重要业务关系的企业、本企业的子公司及具有控制关系的其他企业等,可以考虑提供担保,反之,则必须十分慎重。又如,对担保申请人整体实力、经营状况、信用水平的了解情况。如果担保申请人实力较强、经营良好、恪守信用,可以考虑接受申请,反之不应受理。再如,担保申请人申请资料的完备情况,如果资料完备、情况翔实,可予受理,反之不予受理。 (二)调查和评估 企业在受理担保申请后对担保申请人进行资信调查和风险评估,是办理担保业务中不可或缺的重要环节,在相当程度上影响甚至决定担保业务的未来走向。这一环节的主要风险是:对担保申请人的资信调查不深入、不透彻,对担保项目的风险评估不全面、不科学,导致企业担保决策失误或遭受欺诈,为担保业务埋下巨大隐患。 主要控制措施:第一,委派具备胜任能力的专业人员开展调查和评估。调查评估人员与担保业务审批人员应当分离。担保申请人为企业关联方的,与关联方存在经济利益或近亲属关系的有关人员不得参与调查评估。企业可以自行对担保申请人进行资信调查和风险评估,也可以委托中介机构承担这一工作,同时应加强对中介机构工作情况的监控。第二,对担保申请人资信状况和有关情况进行全面、客观的调查评估。在调查和评估中,应当重点关注以下事项:1.担保业务是否符合国家法律法规和本企业担保政策的要求,凡与国家法律法规和本企业担保政策相抵触的业务,一律不得提供担保;2.担保申请人的资信状况,包括基本情况、资产质量、财务状况、经营情况、信用程度、行业前景等;3.担保申请人用于担保和第三方担保的资产状况及其权利归属;4.企业要求担保申请人提供反担保的,还应对与反担保有关的资产状况进行评估。企业应当综合运用各种行之有效的方式方法,对担保申请人的资信状况进行调查了解,务求真实准确。比如,在对担保申请人财务状况进行调查时,要深入分析其短期偿债能力、长期偿债能力、盈利能力、资产管理能力和可持续发展能力等核心指标,从而做到胸有成竹、防患未然。涉及对境外企业提供担保的,还应特别关注担保申请人所在国家和地区的政治、经济、法律等因素,并评估外汇政策、汇率变动等可能对担保业务造成的影响。第三,对担保项目经营前景和盈利能力进行合理预测。企业整体的资信状况和担保项目的预期运营情况,构成判断担保申请人偿债能力的两大重要方面,应当予以重视。第四,划定不予担保的“红线”,并结合调查评估情况作出判断。《企业内部控制应用指引第12号——担保》明确规定了以下5类不予担保的情形:1.担保项目不符合国家法律法规和本企业担保政策的;2.担保申请人已进入重组、托管、兼并或破产清算程序的;3.担保申请人财务状况恶化、资不抵债、管理混乱、经营风险较大的;4.担保申请人与其他企业存在较大经济纠纷,面临法律诉讼且可能承担较大赔偿责任的;5.担保申请人与本企业已经发生过担保纠纷且仍未妥善解决的,或不能及时足额交纳担保费用的。各企业应当将上述5类情形作为办理担保业务的“高压线”,严格遵守、不得突破;同时,可以结合企业自身的实际情况,进一步充实、完善有关管理要求,切实防范为“带病”企业提供担保。第五,形成书面评估报告,全面反映调查评估情况,为担保决策提供第一手资料。企业应当规范评估报告的形式和内容,妥善保管评估报告,并作为日后追究有关人员担保责任的重要依据。 (三)审批 审批环节在担保业务中具有承上启下的作用,既是对调查评估结果的判断和认定,也是担保业务能否进入实际执行阶段的必经之路。这一环节的主要风险是:授权审批制度不健全,导致对担保业务的审批不规范;审批不严格或者越权审批,导致担保决策出现重大疏漏,可能引发严重后果;审批过程存在舞弊行为,可能导致经办审批等相关人员涉案或企业利益受损。 主要控制措施:第一,建立和完善担保授权审批制度,明确授权批准的方式、权限、程序、责任和相关控制措施,规定各层级人员应当在授权范围内进行审批,不得超越权限审批。企业内设机构不得以企业名义对外提供担保。企业应当加大对分公司对外提供担保的管控力度,严格限制分公司担保行为,避免因分公司违规担保为本企业带来不利后果。第二,建立和完善重大担保业务的集体决策审批制度。企业应当根据《公司法》等国家法律法规,结合企业章程和有关管理制度,明确重大担保业务的判断标准、审批权限和程序。上市公司的重大对外担保,应取得董会全体成员2/3以上签署同意或者经股东大会批准,未经董事会或者类似权力机构批准,不得对外提供重大担保。第三,认真审查对担保申请人的调查评估报告,在充分了解掌握有关情况的基础上,权衡比较本企业净资产状况、担保限额与担保申请人提出的担保金额,确保将担保金额控制在企业设定的担保限额之内。第四,从严办理担保变更审批。被担保人要求变更担保事项的,企业应当重新履行调查评估程序,根据新的调查评估报告重新履行审批手续。 (四)签订担保合同 担保合同是审批机构同意办理担保业务的直接体现,也是约定担保双方权利义务的基础载体。签订担保合同的主要风险是:未经授权对外订立担保合同,或者担保合同内容存在重大疏漏和欺诈,可能导致企业诉讼失败、权利追索被动、经济利益和形象信誉受损。 主要控制措施:第一,严格按照经审核批准的担保业务订立担保合同。合同订立经办人员应当在职责范围内,按照审批人员的批准意见拟订合同条款。第二,认真审核合同条款,确保担保合同条款内容完整、表述严谨准确、相关手续齐备。在担保合同中应明确被担保人的权利、义务、违约责任等相关内容,并要求被担保人定期提供财务报告和有关资料,及时通报担保事项的实施情况。如果担保申请人同时向多方申请担保的,企业应当在担保合同中明确约定本企业的担保份额和相应的责任。第三,实行担保合同会审联签。除担保业务经办部门之外,鼓励和倡导企业法律部门、财会部门、内审部门等参与担保合同会审联签,增强担保合同的合法性、规范性、完备性,有效避免权利义务约定、合同文本表述等方面的疏漏。第四,加强对有关身份证明和印章的管理。比如,在担保合同签订过程中,依照法律规定和企业内部管理制度,往往需要提供、使用企业法定代表人的身份证明、个人印章和担保合同专用章等。从近年来暴露出来的一些担保典型案例看,由于一些企业在有关人员身份证明、印章管理中存在薄弱环节,导致身份证明和印章被盗用,造成了难以挽回的严重后果。因此,必须加强对身份证明和印章的管理,保证担保合同用章用印符合当事人真实意愿。第五,规范担保合同记录、传递和保管,确保担保合同运转轨迹清晰完整、有案可查。 (五)日常监控 担保合同的签订,标志着企业的担保权利和担保责任进入法律意义上的实际履行阶段。切实加强对担保合同执行情况的日常监控,通过及时、准确、全面地了解掌握被担保人的经营状况、财务状况和担保项目运行情况,最大限度地实现企业担保权益,最大限度地降低企业担保责任,是一项艰巨而重要的任务。这一环节的主要风险是:重合同签订,轻后续管理,对担保合同履行情况疏于监控或监控不当,导致企业不能及时发现和妥善应对被担保人的异常情况,可能延误处置时机,加剧担保风险,加重经济损失。 主要控制措施:第一,指定专人定期监测被担保人的经营情况和财务状况,对被担保人进行跟踪和监督,了解担保项目的执行、资金的使用、贷款的归还、财务运行及风险等情况,促进担保合同有效履行。企业财会部门要及时,最好是按月或者按季收集、分析被担保人担保期内的财务报告等相关资料,持续关注被担保人的财务状况、经营成果、现金流量以及担保合同的履行情况,积极配合担保经办部门防范担保业务风险。第二,及时报告被担保人异常情况和重要信息。企业有关部门和人员在实施日常监控过程中发现被担保人经营困难、债务沉重,或者存在违反担保合同的其他各种情况,应当按照《企业内部控制应用指引第17号——内部信息传递》的要求,在第一时间向企业有关管理人员作出报告,以便于及时采取有针对性的应对措施。 (六)会计控制 担保业务直接涉及担保财产、费用收取、财务分析、债务承担、会计处理和相关信息披露等,决定了会计控制在担保业务经办中具有举足轻重的重要作用。这一环节的主要风险是:会计系统控制不力,可能导致担保业务记录残缺不全,日常监控难以奏效,或者担保会计处理和信息披露不符合有关监管要求,可能引发行政处罚。 主要控制措施:第一,健全担保业务经办部门与财会部门的信息沟通机制,促进担保信息及时有效沟通;第二,建立担保事项台账,详细记录担保对象、金额、期限、用于抵押和质押的物品或权利以及其他有关事项;同时,及时足额收取担保费用,维护企业担保权益;第三,严格按照国家统一的会计准则制度进行担保会计处理,发现被担保人出现财务状况恶化、资不抵债、破产清算等情形的,应当合理确认预计负债和损失。属于上市公司的,还应当区别不同情况依法予以公告;第四,切实加强对反担保财产的管理,妥善保管被担保人用于反担保的权利凭证,定期核实财产的存续状况和价值,发现问题及时处理,确保反担保财产安全完整;第五,夯实担保合同基础管理,妥善保管担保合同、与担保合同相关的主合同、反担保函或反担保合同,以及抵押、质押的权利凭证和有关原始资料,做到担保业务档案完整无缺。当担保合同到期时,企业要全面清查用于担保的财产、权利凭证,按照合同约定及时终止担保关系。 (七)代为清偿和权利追索 被担保人在担保期间如果顺利履行了对银行等债权人的偿债义务,且向担保企业及时足额支付了担保费用,担保合同一般应予终止,担保双方可以解除担保权利责任。但在实践中,由于各方面因素的影响,部分被担保人无法偿还到期债务,“连累”担保企业不得不按照担保合同约定承担清偿债务的责任。因此,在代为清偿后依法主张对被担保人的追索权,成为担保企业降低担保损失的最后一道屏障。这一环节的主要风险是:违背担保合同约定不履行代为清偿义务,可能被银行等债权人诉诸法律成为连带被告,影响企业形象和声誉;承担代为清偿义务后向被担保人追索权利不力,可能造成较大经济损失。 主要控制措施:第一,强化法制意识和责任观念,在被担保人确实无力偿付债务或履行相关合同义务时,自觉按照担保合同承担代偿义务,维护企业诚实守信的市场形象;第二,运用法律武器向被担保人追索赔偿权利,在此过程中,企业担保业务经办部门、财会部门、法律部门等应当通力合作,做到在司法程序中举证有力;同时,依法处置被担保人的反担保财产,尽力减少企业经济损失;第三,启动担保业务后评估工作,严格落实担保业务责任追究制度,对在担保中出现重大决策失误、未履行集体审批程序或不按规定管理担保业务的部门及人员,严格追究其行政责任和经济责任,并深入开展总结分析,举一反三,不断完善担保业务内控制度,严控担保风险,促进企业健康稳健发展。 |