泓域/航空航天器零部件公司内部控制评估航空航天器零部件公司内部控制评估xxx有限责任公司目录一、 产业环境分析 3二、 航空零部件制造业发展趋势 4三、 必要性分析 5四、 风险识别的方法 6五、 企业识别风险关注的因素 12六、 风险分析的方法 13七、 风险分析方法的选择 20八、 内部控制的重要性 21九、 内部控制的局限性 24十、 内部控制 28十一、 内部控制与企业风险管理的关系分析 31十二、 企业内部控制规范体系的结构 33十三、 企业内部控制规范的基本内容 35十四、 项目基本情况 46十五、 法人治理 48十六、 组织机构、人力资源分析 62劳动定员一览表 63十七、 项目风险分析 64十八、 项目风险对策 67一、 产业环境分析综合考虑发展形势变化、国家总体要求和吉林发展需求,“十三五”时期,要确保如期全面建成小康社会,确保转变发展方式迈出坚实步伐,确保全面深化改革取得决定性成果,确保老工业基地振兴取得新突破经济保持中高速增长在提高发展质量和效益的基础上,到2020年实现GDP和城乡居民收入比2010年翻一番,力争城镇居民收入达到全国平均水平,物价水平保持在合理区间。
区域发展更加协调国土空间主体功能进一步细化,东部绿色转型发展区、中部创新转型核心区、西部生态经济区建设深入推进,区域标志性工程取得重大进展,形成各具特色、良性互动、协调共进的区域发展格局结构调整取得实质进展投资效率和企业效益明显提升,消费对经济增长贡献率明显提高,出口实现大幅增长科技进步对经济增长贡献显著提升农业现代化实现率先突破,工业结构进一步优化,服务业发展水平显著提高户籍人口城镇化率和城镇化质量进一步提高,基本形成城乡一体化发展格局民生改善持续加强现行标准贫困人口全部脱贫,贫困县全部摘帽人民生活更加殷实富裕,收入差距缩小,中等收入人口比重上升就业岗位更加充分,公共服务体系更加健全,基本公共服务均等化水平进一步提升人均受教育年限明显提高,基本实现教育现代化人民文明素质和社会文明程度明显提高,文化事业和文化产业加快发展,公民权益得到切实保障,安全感和幸福感显著增强改革开放全面深化重点领域和关键环节改革取得决定性成果,形成同市场完全对接、充满内在活力的体制机制,建成系统完备、科学规范、运行有效的制度体系,基本建成法治政府,社会治理能力明显提高深度融入“一带一路”战略,内外联通水平明显提升,国际国内合作的深度和广度进一步拓展,形成全方位大开放格局。
生态文明建设取得新进展基本建立系统完整的生态文明制度体系,生态资源优势进一步巩固提升,环境污染得到全面控制,全面完成节能减排目标,循环经济和低碳生活模式取得积极进展,谱写出美丽中国的吉林篇章二、 航空零部件制造业发展趋势1、规模化、系列化、专业化发展航空零部件制造是航空制造业的基础性子行业,其产品具有种类繁多、工序复杂、专业性强,精度要求高,小批量多品种等特点欧美国家航空产业规模大,专业化分工明确,国内航空零部件制造企业主要采用多品种、小批量生产模式,专业化发展尚处于起步阶段国内航空零部件制造企业为提高效率、降低成本、稳定产品质量,将逐步向规模化、系列化、专业化的方向发展2、智能化、柔性化发展航空零部件具有小批量、多品种、结构复杂等特点,为提升效率、保证质量,从工艺设计入手对某一特征的工艺进行标准化和模块化,对产品、设备、工艺之间切换作业实现一定程度的自动化,提高生产效率,是航空零部件制造企业提升竞争力的重要途径在此基础上,航空零部件制造企业通过整体软硬件系统的打造,实现一定程度的智能化,逐步向柔性制造发展,提升运行效率和竞争力三、 必要性分析1、现有产能已无法满足公司业务发展需求作为行业的领先企业,公司已建立良好的品牌形象和较高的市场知名度,产品销售形势良好,产销率超过 100%。
预计未来几年公司的销售规模仍将保持快速增长随着业务发展,公司现有厂房、设备资源已不能满足不断增长的市场需求公司通过优化生产流程、强化管理等手段,不断挖掘产能潜力,但仍难以从根本上缓解产能不足问题通过本次项目的建设,公司将有效克服产能不足对公司发展的制约,为公司把握市场机遇奠定基础2、公司产品结构升级的需要随着制造业智能化、自动化产业升级,公司产品的性能也需要不断优化升级公司只有以技术创新和市场开发为驱动,不断研发新产品,提升产品精密化程度,将产品质量水平提升到同类产品的领先水准,提高生产的灵活性和适应性,契合关键零部件国产化的需求,才能在与国外企业的竞争中获得优势,保持公司在领域的国内领先地位四、 风险识别的方法风险识别是指对企业面临的各种风险进行确认的一个动态、连续的过程从风险产生的原因入手,通过各种识别方法发现客观存在的不确定性,即辨识风险,下面简要介绍几种常用的风险识别方法一)风险清单法风险清单是指由专业人员设计好风险标准的表格或者问卷,全面地罗列一个企业可能面临的风险表格多由风险管理方面的专家提供,包含人们已经识别出的最基本的各类风险该方法的优点是经济方便,适合新公司或初次构建风险管理制度的公司适用,帮助他们识别最基本的风险,降低忽略重要风险源的可能性;缺点是表格的初次制作比较费时,问卷回收率可能较低,质量难以有效控制。
二)流程图分析法流程图分析法是指首先按企业经营过程的内在逻辑制作出作业流程图,然后对其中的重要环节和薄弱之处进行调查和分析的方法基本步骤如下1)梳理单位各类经济活动的业务流程,明确业务环节;(2)设计流程图,把流程图中的风险揭示出来,确定风险点;(3)解释流程图;(4)选择风险应对策略流程图有助于识别企业经营过程中所面临的风险其优点是可以将复杂的生产过程或业务流程简单化,从而发现风险;其缺点是流程图的绘制较耗费时间,而且不可能进行定量分析从而无法判断风险发生的可能性三)现场调查法现场调查法相当于对风险进行一次全面的检查,其主要步骤如下1)调查前的准备工作包括确定调查的时间,其中需要明确开始时间、结束时间和持续时间等,还要明确调查的对象,包括调查人数等实际工作中一般应事先设计好调查表格2)进行现场调查和访问,由被调查人认真填写表格,表格填写应符合规范,避免出现不符合要求的问卷而影响调查结果3)将调查结果及时进行反馈,以便发现潜在的问题现场调查法的优点是可以获得一手的资料而不依赖他人的数据,同时在调查过程中可以与基层人员建立良好的关系缺点是耗时过多,成本过大,在调查的过程中,可能会引起一些员工的反感。
四)财务报表分析法财务报表是反映企业一定时点的财务状况、一定期间经营成果和现金流量的文件,因此分析财务报表有利于认识经营风险可能的来源财务报表分析法主要是通过分析企业的资产负债表、利润表、现金流量表和所有者权益变动表以及补充记录来识别企业潜在的风险财务报表分析法具体又分为以下几种主要方法1、趋势分析法趋势分析法是通过对一个企业连续数期的利润表和资产负债表的各个项目进行比较,求出金额和百分比增减变动的方向和幅度,以揭示当期财务状况和经营状况增减变化的性质及其趋势趋势分析法通常包括横向分析法和纵向分析法横向分析法又称水平分析法,是在会计报表中用金额、百分比的形式,将各个项目的本期或多期的金额与基期的金额进行比较分析,以观察企业经营成果与财务状况的变化趋势;纵向分析法又称垂直分析法,是对会计报表中某一期的各个项目,分别与其中一个作为基期金额的特定项目进行百分比分析,借以观察经营成果与财务状况的变化趋势2、比率分析法比率分析法就是把财务报表的某些项目同其他项目进行比较,这些金额或者数据可以选自一张财务报表,亦可以选自两张财务报表比率分析法可以分析财务报表所列示项目与项目之间的相互关系,因此运用得比较广泛。
主要有经营成果的比率分析、权益状况的比率分析、流动资产状况的比率分析3、因素分析法因素分析法也是财务报表分析中常用的一种技术方法,它是指把整体分解为若干个局部的分析方法,包括比率因素分析法和差异因素分解法比率因素分解法,是指把一个财务比率分解为若干个影响因素的方法例如,资产收益率可以分解为资产周转率和销售利润率两个比率的乘积,财务比率是财务报表分析的特有概念在实际的分析中,分解法和比较法是结合使用的,比较之后需要分解,以深入了解差异的原因分解之后还需要比较,以进一步认识其特征不断的比较和分解,构成了财务报表分析的主要过程为了解释比较分析中形成差异的原因,需要使用差异分解法例如,将产品材料成本差异分解为价格差异和数量差异差异分解法又分为定基替代法和连环替代法两种定基替代法是测定比较差异成因的一种定量方法按照这种方法,需要分别用标准值(历史的、同业企业的或预算的标准)替代实际值,以测定各个因素对财务指标的影响连环替代法是另外一种测定比较差异成因的定量分析方法按照这种方法,需要依次用标准值替代实际值,以测定各个因素对财务指标的影响五)事件树分析法事件树分析法又称故障树法,其实质是利用逻辑思维的规律和形式,从宏观的角度去分析事故形成的过程。
它的理论基础是,任何一起事故的发生,必定是一系列事件按时间顺序相继出现的结果,前一事件的出现是随后事件发生的条件,在时间的发展过程中,每一事件有两种可能的状态,即成功和失败事件树法从某一风险结果出发,运用逻辑推理的方法推导出引起风险的原因,遵循风险事件一中间事件一基本事件的逻辑结构事件树分析法的一般步骤如下:(1)定义目标,此时需要考虑影响目标的各种风险因素;(2)做出风险因果图;(3)全面考虑各风险因素之间的相互关系,从而研究对风险所采取的对策或行动方案事故树法的优点是把影响企业整体目标实现的诸多因素及其因果关系一步步清楚地列示出来,有利于下一步进行深入的风险分析该方法通常用于直接经验较少的风险识别,效果非常直观,缺点是容易产生遗漏和错误六)可行性研究可行性研究是在项目计划阶段即对风险进行定性识别的方法它的工作步骤如下:(1)检查各部分原始意图(2)发现有无偏离原始意图的情况;(3)寻找偏离原因(4)预测偏离后果该方法的优点是可在项目实施前就发现风险并加以处理;缺点是比较费时,需要详细的设计系统图的支持七)其他方法风险管理人员必须始终对新的、变化中的风险保持警惕,经常检查关键文档就是一个好方法。
关键文档包括董事会会议的详细记录、资金申请表、公司指南、年度报告等,这些文件提供的信息并非详尽,却是风险管理中使用最为频繁的信息资源面谈也是另外一个有利于风险事项识别的重要信息资源许多信息没有记录在文档文件里面,而只存在于经营管理人员和员工的头脑里与不同层次不同领域的员工进行面谈以便增加识别潜在风险事项的信息资源一般情况下,可以考虑和以下人员进行面谈:经营部门经理、首席财务官、法律顾问、人力资源部经理、基层护理人员、工人和领班、外部人员等与一般基层工人的谈话可以发现一些不安全的设备和操作方法,这些问题在正规的报告里面是不会反映出来的而通过与高层管理者的面谈,风险防范人员能够了解最高管理层可以容忍的纯粹风险程度,以及希望转移的风险风险识别是风险管理中最基础的工作,从定性的经验判断到各种定量方法,不仅要发现风险,还要进行风险因素分析,它是一个复杂的系统工程任何一种方法都不能揭示出企业面临的全部风险,更不可能揭示导致风险事故的所有因素,故应将多种方法结合使用五、 企业识别风险关注的因素(一)内部风险我国《企业内部控制基本规范》第二十二条规定,企业识别内部风险,应当关注下列因素1)董事、监事、经理及其他高级管理人员的职业操守,员工专业胜任能力等人力资源因素;(2)组织机构、经营方式、资产管理、业务流程等管理因素;(3)研究开发、技术投入、信息技术运用等自主创新因素;(4)财务状况、经营成果、现金流量等财务因素;(5)营运安全、员工健康、环境保护等安全环保因素;(6)其他有关内部风险因素。
二)外部风险我国《企业内部控制基本规范》第二十三条规定,企业识别外部风险,应当关注下列因素1)经济形势、产业政策、融资环境、市场竞争等经济因素;(2)法律法规、监管要求等法律因素;(3)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;(4)技术进步、工艺改进等科学技术因素;(5)自然灾害、环境状况等自然环境因素;(6)其他有关外部风险因素六、 风险分析的方法风险分析的方法一般包括定量分析方法和定性分析方法但当前最常用的分析方法一般都是定量和定性的混合方法,对一些可以明确赋予数值的要素直接赋予数值,对难于赋值的要素使用定性方法,这样不仅可以清晰地分析企业资产的风险情况,而且也极大地简化了分析的过程,加快了风险分析的进度一)定量分析法定量分析法就是对风险的程度用直观的数据表示出来,其主要思路是对构成风险的各个要素和潜在损失的程度赋予数值或货币金额这样风险分析的整个过程和结果都可以被量化了在度量风险的所有要素(资产价值、脆弱性级别等)中,风险分析人员计算资产暴露程度,计算控制成本以及确定所有其他值时,应尽量具有相同的客观性风险大小的判断可以根据风险暴露的大小乘以风险发生的概率加以确定。
目前比较常用的定量分析方法有:MPY(年度可能最大损失)值估计法、情景分析法、VAR(风险价值)法、敏感性分析等1、MPY值估计法MPY值估计法是评估一般危害性风险的方法,是指在某一特定年度中,单一风险单位或多个风险单位遭受一种或多种事故所致的最大总损失年度最大可信总损失与年度预期总损失不同,年度预期损失是平均损失,而年度可信总损失与风险管理人员的主观判断有关2、情景分析法情景分析法是通过假设、预测、模拟等手段生成未来情景,并分析其对目标产生影响的一种分析方法该方法根据发展趋势的多样性,通过对系统内外相关问题的系统分析,设计出多种可能的未来前景,然后用类似于撰写电影剧本的手法,对系统发展态势做出详细的情景和画面的描述当一个项目持续的时间较长时,往往要考虑各种技术、经济和社会因素的影响,可用情景分析法来预测和识别其关键风险因素及其影响程度情景分析法对以下情况特别有用:提醒决策者注意某种措施或政策可能引起的风险或危机性的后果;建议需要进行监视的风险范围;研究某些关键性因素对未来过程的影响;提醒人们注意某种技术的发展会给人们带来哪些风险3、VAR法VAR法即风险价值法,是指在正常的市场条件和给定的置信度内,某种投资组合在既定时期内所面临的市场风险大小和可能遭受的潜在最大价值损失。
VAR把对预期的未来损失的大小和该损失发生的可能性结合起来,不仅让投资者知道发生损失的规模,而且知道其发生的可能性,是一种数量化市场风险的重要度量工具VAR法利用统计技术来度量投资风险,对某个有价证券,在市场条件下,对给定的时间区间的置信水平a,VAR给出了该有价证券最大可能的预期损失,即可以保证损失不会超过VAR的概率为1—a计算VAR常用的方法主要有3种1)历史模拟法该方法是借助于计算过去一段时间内的资产组合风险收益的频度分布,通过找到历史上一段时间内的平均收益以及在既定置信水平a下的最低收益率,计算资产组合的VAR值2)方差一协方差法该方法的基本思路为:首先,利用历史数据计算资产组合的收益的方差、标准差、协方差;其次,假定资产组合收益是正态分布,可求出在一定置信水平下,反映了分布偏离均值程度的临界值;最后,建立与风险损失的联系,推导VAR值3)蒙特卡罗模拟法它是基于历史数据和既定分布假定的参数特征,借助随机产生的方法模拟出大量的资产组合收益的数值,再计算VAR值4、敏感分析法敏感分析法是指通过对项目各种不确定因素在未来发生变化时对经济效果指标影响程度的比较,找出敏感因素,提出相应对策。
它是在项目评价的不确定分析中被广泛运用的主要方法之一在项目计算期内可能发生变化的因素主要有建设投资、产品产量、产品售价、主要原材料供应及价格、劳动力价格、建设工期及外汇汇率等敏感性分析就是要分析预测这些因素单独变化或多因素变化时对项目内部收益率、静态投资回收期和借款偿还期等的影响这些影响应是用数字、图表或曲线的形式进行描述,使决策者了解不确定因素对项目评价的影响程度,确定不确定性因素变化的临界值,以便采取防范措施,从而提高决策的准确性和可靠性各因素的变化都会引起效益指标的一定变化,但其影响程度却各不相同有些因素小幅度变化,就能引起经济评价指标发生较大幅度的波动;而另一类因素即使发生了较大幅度的变化,对经济效益指标的影响也不是很大一般把前一类因素称为敏感性因素,后一类称为非敏感性因素敏感性分析的目的就是要筛选敏感性因素和非敏感性因素敏感性分析的步骤如下1)确定敏感性分析指标投资项目经济评价有一整套指标体系,在进行敏感性分析时,应选择最能反映项目经济效益的一个或几个主要指标进行分析最基本的分析指标是内部收益率,根据项目的实际情况也可选择净现值或投资回收期等指标,必要时可同时针对两个或两个以上的指标进行敏感性分析。
2)选择敏感性分析的不确定因素影响项目经济效益指标的因素很多,如产品产量、价格、经营成本、投资额、建设期和生产期等在实际的敏感性分析中,没有必要也不可能对所有因素进行分析根据项目特点,结合经验判断选择对项目影响效益较大且重要的不确定因素进行分析经验表明,应主要对销售收入、产品价格、产量、经营成本、建设投资等不确定因素进行敏感性分析3)确定不确定因素的变化范围在选择不确定因素分析基础上,还要进一步分析不确定因素的可能变动范围一般选择不确定因素变化的百分率为+5%、+10%、土15%、土20%等,对于不便用百分数表示的因素,可采用延长一段时间表示,如延长一年4)计算敏感性分析指标为较准确反映项目评价指标对不确定因素的敏感程度,分析不确定因素的变化使项目由可行变为不可行的临界数值,应计算敏感度系数和临界点指标①敏感度系数敏感度系数指项目评价指标变化的百分率与不确定因素变化的百分率之比敏感度系数高,表示项目效益对该不确定因素敏感程度高②临界点临界点是指不确定性因素的变化使项目由可行变为不可行的临界数值,可采用不确定性因素相对基本方案的变化率或相对应的具体数值表示当该不确定性因素为费用科目时,即为其增加的百分率,当其为效益科目时为降低的百分率。
临界点也可用该百分率对应的具体数值表示当不确定因素的变化超过了临界点所表示的不确定因素的极限变化时,项目将由可行变为不可行临界点的高低与计算临界点指标的初始值有关若选取基准收益率为计算临界点的指标,对于同一个项目,随着设定基准收益率的提高,临界点就会变低;而在一定的基准收益率下,临界点越低,说明该因素对项目评价指标影响越大,项目对该因素就越敏感从根本上说,临界点计算是使用插值法,也可以借助于计算机的相关软件,由于项目评价指标的变化与不确定因素变化之间不是直线关系,当通过直线图求解时也会存在一定的误差二)定性分析法定性分析法与定量分析法的区别在于不需要对资产及各相关要素的分配确定数值,而是赋予一个相对值在风险管理过程中,风险分析是最困难的风险经理往往陷入两难的境地,即为了追求准确,就必须应用复杂的概率计算方法和采用精度较高的模型,但是限于资料的稀缺和时间的紧迫,这种方法或模型就被迫放弃大多数的风险经理宁愿放弃准确度的较高要求而采用定性的预测方法,即将风险的概率估计予以主观量化据统计,75%的项目经理采用的风险分析方法是专家调查打分法例如,通过问卷、面谈及研讨会的形式进行数据收集和风险分析,这个方法涉及各业务部门的人员,这个过程带有一定的主观性,往往需要凭借专业咨询人员的经验和直觉,或者业界的标准和惯例,因此,为风险各相关要素(资产价值、威胁、脆弱性等)的大小或高低程度定等级时,可以运用定性分析方法将风险分为高、中、低三个等级。
通过这样的方法,对风险的各个分析要素赋值后,可以定性地区分这些风险的严重等级,避免了复杂的赋值过程简单且又易于操作定性分析法的步骤一般如下第一步,确定风险因素(或称威胁)发生的可能性假定把威胁的可能性定为五级第二步,通过风险分析对风险确定等级风险等级一般可以分为高、中、低三个等级,也可以分为四级或者五级第三步,根据上面两张表编制风险矩阵表企业管理层肯定不能接受H,对M要根据具体情况考虑是否应采取相应的对策来减少这种风险,对L应当能接受,但需要加强对风险的控制,不使其损失面扩大定性分析的操作方法可以多种多样,包括小组讨论(例如Delphi方法)、检查列表、问卷、人员访谈、调查等定性分析操作起来相对容易,但也可能因为操作者经验和直觉的偏差而使分析结果失准七、 风险分析方法的选择选择风险分析的方法和判断标准,应考虑行业自身特点,区别它们各自的关注点,灵活确定风险分析过程和分析方法例如,对于金融行业来说,丢失数据风险的损失比短时间业务停顿的风险所带来的损失更为严重:而对于通信行业来说,业务停顿风险带来的损失比少量数据丢失的风险更难以接受与定量分析相比较,定性分析的准确性稍好但精确性不够,定量分析则相反;定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力;定量分析依赖大量的统计数据,而定性分析没有这方面的要求;定性分析较为主观,定量分析基于客观;此外,定量分析的结果很直观,容易理解,而定性分析的结果则很难有统一的解释。
企业可以根据自身的具体情况来选择定性或定量的分析方法当前最常用的分析方法一般都是定量和定性的混合方法,对一些可以明确赋予数值的要素直接赋予数值,对难于赋值的要素使用定性方法,这样不仅更清晰地分析了资产的风险情况,也极大简化了分析的过程,加快了分析进度八、 内部控制的重要性内部控制作为现代组织管理框架的重要组成部分,是一个组织持续发展的机制和重要保证现代组织理论和管理实践表明,组织的一切管理工作,都要从建立与健全内部控制制度开始;组织的一切活动,都无法游离于内部控制之外得控则强,失控则弱,无控则乱”,内部控制的重要性主要体现在以下4个方面一)内部控制是实现企业发展战略的基础企业的发展不能是为现在而发展,而应该是为未来而发展,必须要有一个长期的目标企业的发展战略是企业对全局的一种总体设想,是从宏观的角度对企业的未来的一种较为理想的设定它所提出的是企业整体发展的总任务和总要求,它所规定的是整体发展的根本方向因此,人们所提出的企业发展战略总是高度概括的,而且着眼于未来和长远一般认为,要实现企业长远的发展战略就要有健全有效的内部控制作为支撑实践证明,在我国经济快速发展的背景下,只有建立和实施科学的内控体系,才能提升风险防范能力,实现企业可持续发展战略。
在西方,内部控制提出得较早,相关的法律法规也对此有了明确的要求而在我国,具有强制性要求的内部控制基本规范形成较晚,许多企业并没有自发地认识到建设与执行内部控制的重要性,因此,在与国外企业交往的过程中,常常由于这方面的欠缺而遭到不公正的待遇企业应该意识到,内部控制及其评价制度不只是为了满足外部强制要求,而应该最终成为一种自发的行动建设和完善内部控制体系是我国企业融入国际社会和健康、可持续发展的必由之路二)内部控制是提高企业经营管理效率的保证内部控制产生于组织管理的需要,存在于组织经营管理活动之中,是组织内部管理的重要组成部分,这就决定了内部控制的主体是组织的管理部门和具体执行各项控制措施的人员,企业内部控制划分为内部管理控制与内部会计控制两大类内部管理控制制度是指那些对会计业务、记录和报表的可靠性没有直接影响的内部控制内部会计控制是指那些对会计业务、记录和报表的可靠性有直接影响的内部控制,通过这种控制的建立,能维护财产物资的安全、完整,保证会计信息的真实、可靠,保证经营管理活动的经济性、效率性和效果性,保证各项法律和规范的遵守内部控制贯穿于企业经营管理活动的各个方面,只要企业存在经济活动和经营管理,就需要建立、健全企业的内部控制并加强内部控制。
三)内部控制是提高企业信息质量的保证众所周知,在信息化时代,信息足以决定一个企业的兴衰存亡首先,高质量的报告信息将为管理当局提供准确而完整的信息,用以支持管理当局的决策和对主体活动及业绩的监控同时,高质量的对外报告和披露有助于企业的外部投资者、债权人等利益相关者以及监管当局做出正确的决策有效的内部控制系统通过职务分离、岗位轮换、内部审计等控制方法及手段对企业信息的记录和报告过程进行全面持续的监控,及时发现和纠正各种错误与舞弊,保证企业信息能够真实完整地反映企业经营活动的实际情况反思我国近年来的一系列财务舞弊案件,如红光实业、银广夏、蓝田股份等,其组织的内部控制失效负有不可推卸的责任国内外证券市场的财务丑闻,使得广大投资者蒙上厚重的心理阴影,要求规范上市公司财务报告的呼声越来越高有效的内部控制,对于重塑投资者的信心,维护资本市场的公平和透明,进而保护投资者利益与国家经济安全意义重大四)内部控制是加强企业制度管理的根本现代企业制度是指以市场经济为基础,以完善的企业法人制度为主体,以有限责任制度为核心,以公司企业为主要形式,以产权明晰、权责明确、政企分开、管理科学为条件的新型企业制度企业是一系列“契约的联结”,由于委托人不能直接观测到代理人选择了什么行动,委托人和代理人之间存在信息不对称,具有机会主义倾向的管理当局会利用自己的信息优势,发生偷懒、不当消费等行为,以牺牲委托人的利益为代价,使自己的利益最大化。
因此,企业所有者需要监督代理人,防止代理关系下的信息不对称,降低代理成本,实现公司治理目标,从而有助于最大限度地满足企业所有者的权益同时,通过不相容职务分离控制、授权审批控制、会计系统控制、资产安全控制、绩效考评控制等手段形成各司其职、各负其责、相互制约的工作机制,逐渐推动企业管理水平与会计信息质量的提升,提升经营的效率和效果九、 内部控制的局限性依据唯物辩证法的观点,任何事物都不可能尽善尽美,内部控制也有其两面性:一方面它对企业预期目标具有控制作用:另一方面也有他的不足和缺陷,存在固有的局限性一般而言,内部控制的局限性表现在以下几个方面1、成本限制内部控制受到成本与效益原则的限制,内部控制系统所需求的保证水平有必要根据其成本而定一般来说,控制程序的成本不能超过风险或错误可能造成的损失和浪费否则,再好的控制措施和方法也将失去意义由于存在资源稀缺问题,企业必须考虑建立控制的相应成本般而言,用于衡量控制成本与收益的标准不同控制成本量化较为容易,控制效益量化则相当复杂,难免包括主观的评估在评估潜在收益时可以考虑以下特定因素:不理想情形发生的可能性、各项活动的特性、时间价值有可能对实体造成的潜在财务或经营影响。
此外,成本效益决策的复杂性还在于当控制与管理或运营过程相结合,或“纳入”管理或营运过程时,很难区分哪些是控制的成本与效益,哪些是管理或营运的成本与效益同样,若干项控制措施组合在一起,在很多时候,可用以防范或减轻某一特定的风险,但对具体单项的控制成本与效益则很难估计另外,控制成本与效益的估计,也会因单位或业务性质的不同而有所侧重高风险活动明确要求进行成本收益分析,而低风险活动则可以省略2、人为失误内部控制的设计会受到设计人员经验和知识水平的限制,因而可能存在缺陷同时,执行人员的粗心大意、精力分散、判断失误以及对指令的误解等,也可能使内部控制系统失控或陷于雍疾例如,经营决策必须在规定的时间内,根据所掌握的信息,在经营行为的压力之下通过人为判断来做出根据事后的剖析,有些基于人为判断的决策,并不能产生预期的效果,而且可能需要做出改变3、串通舞弊两人或多人的合谋活动可能导致内部控制的失效从事犯罪或者试图隐瞒某项行为的个人,通常会设法改变财务数据或其他管理信息,使其不能为内部控制系统所识别例如,执行一项重要控制职能的员工可能会与客户、供应商或其他员工串通不同级别的销售人员或部门经理有可能合谋绕过控制,以使所报告的成果达到预算或激励目标。
因此,在实际工作中,如果处于不相容职务上的相关人员相互串通、相互勾结,失去了不相容职务之间相互制约的基本前提,内部控制也就很难发挥作用4、滥用职权各种控制程序是管理工具,但任何控制程序都不能发现和防止那些负责执行监督控制的管理人员滥用职权或不当用权管理权的干预直是导致许多重大舞弊发生和财务报告失真的一个重要原因在某些情况下,对于担任控制职能的人员越权管理、滥用职权,即使具有良好设计的内部控制,也不能发挥其应有的作用内部控制作为企业管理的组成部分,理所当然地要按照管理人员的意图运行,尤其是对企业负责人的决策更具有决定性的作用决策出了问题,贯彻决策人意图的内部控制也就失去了其应有的控制作用5、制度失效内部控制制度是针对制度制定时的经济业务设计的,内部控制可能会因经营环境、业务性质的改变而削弱或失效,可能会对不正常的或未预料到的业务类型失去控制能力企业处于经常变化的环境之中,为保持竞争力,势必要经常调整经营策略,这就会导致原有的控制制度对新增的业务内容失去控制作用的情况发生6、例外事件内部控制主要是围绕着企业正常的生产经营活动,针对经常性的业务和事项进行的控制但在现实企业中,由于复杂多变的外部环境使得企业常常会面对一些意外和偶发事件,而这些业务或事项由于其特殊性和非经常性,没有现成的规章制度可循,造成了内部控制的盲点。
也就是说,内部控制的一个重大缺陷在于它不能应对例外事件企业在处理这些事项时,往往更多地凭借管理层的知识和经验以及对环境变化的感知度,这就是所谓的“例外管理原则”十、 内部控制20世纪初期建立起来的内部牵制制度虽然对企业管理起到很大的作用,但随着经济的不断发展、企业规模的扩大以及对企业管理要求的逐步提高,它的不完善之处也逐渐暴露出来尤其是20世纪30年代全球性经济危机暴露出的会计失真、经济秩序混乱等问题,引起各国政府和企业的高度重视和深刻反思一)国外对内控概念的界定明确的内控概念的提出约有70年的历史,其每次突破性发展都是由欧美引发实施的,具体的定义归纳如下1949年定义:基于保护企业资产、检查会计数据的准确性和可靠性、提高运营效率、促进管理政策的贯彻和实施而在企业内部采取的各种方法和措施1958年定义:内部控制分为内部会计控制和内部管理控制前者是关于保护企业资产、检查会计数据的准确性和可靠性的控制;后者是关于提高运营效率、促进管理政策的贯彻和实施的控制1973年的定义:内部管理控制制度包括但不限于组织机构的计划以及与管理部门进行批准决策有关的程序与记录会计控制制度包括组织机构设计以及与财产保护和财务会计记录可信性直接相关的各种措施。
1988年的定义:企业内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序内部控制结构3要素为:控制环境、会计系统、控制程序1992年的定义:为实现经营效率和效果、财务报告可信性以及相关法令的遵循等目标而提供合理保证的过程内部控制的实施者为企业董事会、经理层及其他员工从各阶段内部控制的定义可以看出内部控制发展、演进和完善的过程,对我国内部控制概念的界定具有很好的借鉴作用二)我国对内部控制概念的界定对比国外发展,我国的内控规范发展独具特色:内控规范建设是由政府各部门以“准法规”形式发布实施的,权威性强,执行快速有力;我国真正意义上的内控规范是从其核心的内部会计控制即会计监管上入手,而不是由内控框架起步的2008年6月28日五部委颁布的《企业内部控制基本规范》,将内部控制定义为:是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略在理解此概念中,需要特别注意以下几点1)内部控制的概念不再拘泥于传统意义上的概念,而是结合我国的基本实情,形式上借鉴COSO内部控制整体框架的五要素框架,同时在内容上体现企业风险管理框架的先进理念,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证的五要素框架。
2)内部控制的实施者结构为“董事会、监事会、经理层和全体员工”,体现全员特征内部控制是一个受“人”影响的过程,它是由组织内部的每一层级人员共同执行,需要全体员工的共同参与它要求企业内部的每个员工均明确自己的责任和权力,以便更好地履行其职责,提高内部控制的执行力度3)内部控制是一个“过程”而非结果,不是单一制度、机械的规定,而是一个发现问题、解决问题,并且贯彻于企业管理始终的动态过程该定义没有用“合理保证”这个词,并非说明内部控制是目标的完全保证,“过程”已体现了合理保证的核心思想,控制目标一定能实现,只是需要一个过程而“合理保证”的内涵在内部控制五大要素之中,特别是在控制活动中得到体现十一、 内部控制与企业风险管理的关系分析内部控制和企业风险管理的目的都是为了满足企业在不同环境中对不确定性的应对管理,从而达到组织预期目的以及持续发展内部控制要对风险的不确定性在应对策略方面进行具体的分解和落实,从而发挥化解风险、控制不确定性的作用,即内部控制是风险管理的业务实施和组织保障总体来说,内部控制和风险管理学科的共同发展为企业运营提供了支持,在企业的实际需求下,两个学科的交融和切入更好地为企业解决其实际运营中的各种不确定性提供了完整的解决方案。
1)内部控制和风险管理各有侧重内部控制侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险一般来说,典型的内部控制依然是为了保证资金安全和会计信息的真实可靠,会计控制是其核心,内部控制一般限于财务及相关部门,并没有渗透到企业管理过程和整个经营系统,控制只是管理的一项职能;典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益的比较,如银行的授信管理、汇率风险管理、利率风险管理等,它贯穿于管理过程的各个方面2)内部控制与风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展COSO认为,企业风险管理应用于战略制订与组织的各层次活动中它使管理者在面对不确定性时能够识别、评估和管理风险,发挥创造与保持价值的作用风险管理能够使风险偏好与战略保持一致,将风险与增值及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。
3)做好内部控制是做好风险管理的前提风险管理的目的是要防止风险、及时地发现风险、预测风险可能造成的影响,并设法把不良影响控制在最低的程度内部控制就是企业内部采取的风险管理,内部控制制度的制定依据主要是风险,在某些极端情况下(内部控制等于风险管理)甚至完全由风险因素来决定风险越大,越有必要设置适当的内部控制措施,风险相当大时,还要设置多重内部控制措施而且,做好内部控制是做好风险管理的前提企业只有从加强内部控制做起,通过风险意识的提高,尤其是提高企业中处于关键地位的中、高层管理人员的风险意识,才能使企业安全运行,否则,处于失控状态的企业最终将被激烈的市场竞争淘汰总之,企业风险管理框架建立在内部控制整体框架的基础上,内部控制则是企业风险管理必不可少的一部分风险管理框架的范围比内部控制框架的范围更为广泛,是对内部控制框架的扩展,是一个主要针对风险的更为明确的概念企业风险管理框架强调在整个企业范围内识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现,在企业战略制订阶段就予以考虑,而企业在对其下属部门进行风险管理时,应对风险进行加总,从组织的顶端、以一种全局的风险组合观来看待风险此外,根据风险管理的需要,对企业目标进行重新分类,明确战略目标在风险管理中的地位。
十二、 企业内部控制规范体系的结构2010年4月26日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》该配套指引包括18项《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成我国内部控制规范体系分两个层面,一是基本规范,二是配套指引一)基本规范《企业内部控制基本规范》是内部控制建设与实施应该遵循的基本原则和总体要求,具有强制性,纳入实施范围的企业应当遵照执行二)配套指引《企业内部控制配套指引》(包括应用指引、评价指引和审计指引)是对《企业内部控制基本规范》相关规定的进一步补充和说明具有指导性和示范性,企业可以结合所在行业要求和企业自身特点,参照配套指引的规定开展内部控制建设与实施工作配套指引包括应用指引、评价指引和审计指引,三者之间既相互独立,又相互联系,形成一个有机整体1、企业内部控制应用指引应用指引是对企业按照内部控制五大原则和内部控制五大要素建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中占据主体地位,主要包括控制环境类指引、控制活动类指引和控制手段类指引。
2、企业内部控制评价指引评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引,用于企业董事会或类似决策机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程3、企业内部控制审计指引审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则十三、 企业内部控制规范的基本内容我国企业内部控制规范的基本框架,可以概括为五大目标、五大原则和五大要素一)内部控制的目标内部控制是围绕目标展开的,因此明确目标至关重要内部控制的目标,应是整个控制系统的出发点,决定了系统运行的方式和方向《企业内部控制基本规范》中对内部控制提出了合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果以及促进企业实现发展战略的五大目标,简称为合规目标、资产安全目标、报告目标、经营目标和战略目标内部控制五大目标是一个完整的目标体系,由于各大目标在控制体系中的层级不同,其在整个目标体系中的地位和作用也有所差异1、合规目标合规目标要求企业或其他组织完全遵循国家的法律法规和监管要求,是企业成功运营的必要保证,与企业活动的合法性相关企业生存于社会这个大环境下,必须遵守社会的基本规范,包括法律规范和道德规范,必须在社会允许的范围内展开各项活动,即“小制度不能大于大法”。
因此,遵守法规、制度是企业一切活动的前提,也是首先要保证完成的目标国家有关法律、制度的落实必将依靠内部控制的有效执行加以保证一个违反国家法律法规、丧失道德底线的企业,必然会将自身置于高风险的环境中,从而对自身的生存和发展造成巨大的威胁,后果可想而知合规目标方面的关注点主要包括:公司的各项活动符合法律法规确定的要求,通常涉及知识产权、市场、价格、税收、环境、员工福利以及国际贸易等2、资产安全目标虽然在COSO框架中没有将保护资产安全作为一个主要目标,而是作为主要目标中的一个子目标,但是我国的《企业内部控制基本规范》中重新将其作为内部控制目标的一个部分,这是基于我国的国情和现状做出的必然选择,是有一定用意的我国普遍存在产权多元化现象,而且国有资产流失现象极其严重,保护资产安全和完整对资产所有者来说具有特别重大的意义资产安全与否实际上是内部控制的一个过程控制结果,是实现其他目标的物质前提因此,该目标要求内部控制能够保护主体所有资产的安全和完整资产安全目标方面的关注点主要包括:关注企业日常经营活动的效率,提高企业的生产力和竞争力,防止资产缩水,关注资产使用及处置的授权情况3、报告目标报告目标指内部控制应合理保证企业提供了真实、可靠的财务报告及其他信息。
报告目标有助于组织向投资者、债权人等利益相关者以及内部管理层提供真实、可靠、完整的信息,具体包括内部和外部、财务与非财务信息,它是内部控制目标体系的基础目标企业报告包括内部报告和外部报告,报告目标的提出更多地满足了企业外部的需求对于外部使用者来说,真实、可靠和完整的财务报告能够公允地反映企业的财务状况和经营成果,从而有利于信息使用者做出决策当然,非财务信息的重要性也是不言而喻的可靠的报告既为管理层提供了适合其既定目的的准确和完整的信息,也是外部监管的要求报告目标方面的关注点主要包括以下几个部分1)管理层决策及对公司活动、业绩监控的准确、及时、完整的信息的对内报告;(2)用于满足投资者、监管部门及其他相关信息需求者的真实、可靠、完整信息的对外报告;(3)信息的全面性,而不仅仅是财务信息4、经营目标经营目标旨在有效和高效地使用企业有限的资源,提高经营的效率和效果,实现良好的运营经营目标是企业实现其战略目标的核心和关键所在,战略目标与企业的使命相关联,战略目标只有通过分解和细化成经营目标才能得以落实因此,没有经营目标,战略目标再好也无任何意义经营目标需要反映特定企业自身及所处特定经济环境的特点,全面考虑产品质量的竞争压力、产品的生产周期和与技术变化相关的其他因素。
一般来说,经营目标引导企业的资源流向,经营目标不成熟或不明确,会造成企业资源的浪费通常情况下,良好的内部控制能够提高企业的经营效率和效果,提高单位时间产量,优化产品质量,从而提高企业的核心竞争力管理层必须确保经营目标反映现实的市场需求,并且有明确的绩效衡量指标经营目标方面的关注点主要包括以下几点1)经营目标与公司战略目标及战略计划一致;(2)经营目标适应公司所处的特定经营环境、行业和经济环境等(3)各个业务活动目标之间保持一致;(4)所有重要业务流程与业务活动目标相关;(5)适当的资源及有效配置;(6)管理层制定的公司经营目标及他们对目标的负责程度5、战略目标战略目标是基于组织整体视角的最高层次目标,其他目标都应与战略目标协调一致并服务于战略目标战略目标与企业的目标紧密相关,并且是支持企业目标实现的基础管理者为实现企业价值最大化这一根本目标,针对内外部环境,评估与目标实现相关的风险,根据风险偏好,做出一系列的反应和选择一个企业为实现其战略目标,首要的任务是在分析内外部环境的基础上制订战略,明确战略目标;其次,对风险进行识别和评估,并在制订相应风险应对措施的基础上形成战略规划;最后,将战略目标逐步分解成若干子目标,再将子目标层层分解至各个业务部门、行政部门和各生产过程。
上述过程为企业实现其战略目标提供了合理保证战略目标反映了管理层就主体如何努力为其利益相关者创造价值所做出的选择,是最高层次的目标,与其使命相关并支撑其使命战略是实现企业目标的全面性、方向性的行动计划企业在考虑实现战略目标的各种方案时,必须考虑与各种战略相伴的风险及其影响,对于同样的战略目标可以选择不同的战略加以实现,而不同的战略则具有不同的风险因此,企业在战略选择之前,有必要对当前的经营状况进行评估,分析内、外部环境因素,明确公司在行业中所处的位置及面临的机遇和挑战,不断审视当前的目标与使命战略目标方面的关注点主要包括以下几点1)管理层对企业绩效现状进行的评估,是前期战略进行监控的基础,也是企业新战略制订的基础(2)对内部和外部环境的监测分析;(3)战略目标体系;(4)战略选择遵循了必要的流程,并获得了充分地讨论;(5)企业对目标实现与现有资源状况之间的匹配程度进行的评估;(6)设定战略目标可接受程度;(7)就战略目标与企业内部员工和外部相关利益集团之间进行沟通二)内部控制的原则企业建立内部控制应遵循一定的原则,没有正确的原则指导,内部控制的设计就难免存在先天性不足的问题,其执行效率难免大打折扣。
内部控制的基本原则是建立和实施各种内部控制应遵循的具有普遍性和指导性的法则和原则,它所要解决的问题是,为了实现内部控制的目标,基于内部控制的基本假设,根据内部控制的理论基础,应当如何科学地设计和执行内部控制的问题《企业内部控制基本规范》明确指出,企业建立与实施内部控制,应当遵循全面性、重要性、制衡性、适应性、成本效益五大原则这五个原则形成一个整体,设计企业的内部控制应做到统筹兼顾,不可偏废1、全面性原则全面性原则是指内部控制应该贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项全面性原则要求内部控制覆盖全部业务活动和每项业务活动的全过程,在层次上应当涵盖企业董事会、管理层和全体员工;在对象上应当覆盖企业各项业务和管理活动;在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞具体而言,全面性原则,首先要求企业进行全过程控制,即对整个经营管理活动过程进行全面、全方位、全时段的控制,其中包括企业管理部门用以授权与指导、进行购货、生产等经营管理活动的各种方式方法,以及核算、审核、分析各种信息及进行报告的程序与步骤等其次,内部控制对全体员工都有约束力,企业应当进行全员控制。
企业的每一位成员既是内控的主体,又是内控的客体,内部控制制度应保证每一位员工包括高层管理人员到基层执行操作人员都受到相应的控制2、重要性原则重要性原则是指内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域对重要业务经济活动进行重点控制时,对一项经济业务活动的关键环节实行重点控制对关键控制点的选择,应统筹考虑会影响整个企业经营运行过程的重要操作与事项以及其是否能在重大损失出现之前显示差异,以便有利于对问题做出及时、灵敏的反应例如,在设计与执行同存货相关的内部控制制度时,可以借鉴存货ABC管理方法,根据存货数量占比和资金占比,对其中的A类存货进行重点控制在理解上,应将全面性原则和重要性原则联系起来,不能片面、分立地理解重要性是在全面性基础上的考虑,即重要业务事项一个都不能少这是内部控制合理保证目标实现以及确定控制点的前提也是成本效益原则的体现3、制衡性原则制衡性原则是指内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率内部控制的本质之一是制衡,制衡性原则是内部控制的一个灵魂性原则,是内部控制有效性的具体判断标准企业的机构、岗位设置和权责分配应当科学合理并且符合内部控制的基本要求,确保不同部门、岗位之间的权责分明和有利于相互制约、相互监督。
履行内部控制监督检查职责的部门应当具有良好的独立性任何人不得凌驾于内部控制之上制衡性原则要求人们在办理具有固定风险的经济业务事项,对涉及的不相容职务应该严格加以分离,不得由一个人或一个部门包办到底组织行为理论强调授权和权力制衡的。