内部控制是什么呢?比如说生产东西的企业,从购入原材料开始,到最后生产出东西,每一步都需要各种单据和规范,这就是内控。
就比如说原材料入库这一步吧,材料放进仓库,要有单据以防日后扯皮,这就是入库单。原材料质量和数量怎么样呢,需要检查,这就需要验收单。除了单据,还有规范。比如入库单需要谁来填,哪些人签名。验收单谁来填,谁来签名。这就属于规范。
内控能让企业不出乱。而且能大大减轻审计工作。审计按道理是要检查一整年的全部单据,工作量太大了。但是可以利用“内控”减少工作量。就是如果内控执行的好的话,就不需要检查那么多的单据了。
审计师对内控会做哪些事呢?首先是“穿行测试”,就是大大咧咧先过一遍流程,心里有数。然后根据轻重缓急挑出重要的“内控”进行测试,简称“控制测试”。就是看你内控做的怎么样。如果内控很好,那么这一块就不需要查那么多的单据了。
就比如说原材料入库这一步吧,材料放进仓库,要有单据以防日后扯皮,这就是入库单。原材料质量和数量怎么样呢,需要检查,这就需要验收单。除了单据,还有规范。比如入库单需要谁来填,哪些人签名。验收单谁来填,谁来签名。这就属于规范。
内控能让企业不出乱。而且能大大减轻审计工作。审计按道理是要检查一整年的全部单据,工作量太大了。但是可以利用“内控”减少工作量。就是如果内控执行的好的话,就不需要检查那么多的单据了。
审计师对内控会做哪些事呢?首先是“穿行测试”,就是大大咧咧先过一遍流程,心里有数。然后根据轻重缓急挑出重要的“内控”进行测试,简称“控制测试”。就是看你内控做的怎么样。如果内控很好,那么这一块就不需要查那么多的单据了。
法务、合规、内控、风控、审计的关系
公司存在的目的:生存、发展、获利。公司要实现其目的,内审、内控、风控可以说是公司的“防火墙”、“保健医生”。内审、内控、风控的落脚点要导向组织的战略目标、远景、规划,从近处说,要服务组织某阶段的发展目标(短期目标),从这个角度分析,三者目标导向是一致的。
1) 法 务
现代企业立足市场,会面对来自方方面面的风险,诸如合同行为的风险、资本运作的风险、知识产权的风险、人力资源的风险、环境保护的风险、税务筹划的风险以及公共关系的风险和诉讼仲裁的风险等等。如何防范这些风险以达到保障企业安全运营的目的,从根本上预防潜在的风险变成现实的灾难,防患于未然,这就需要建立企业法律风险管理服务机构,健全企业法律风险管理体系。大型企业往往会在内部设立法律法规室或法律事务部,以处理企业的日常法律事务。
鉴于公司的设立往往是以盈利为目的,在企业内部设立法务部门也是基于降低风险、减少损失、维护公司合法利益为出发点,因此企业法务以一切服务于公司业务、服务于生产经营为根本宗旨,以扩大服务范围、提高服务水平作为根本任务,也是就通常所说的服务于业务部门工作。
2) 合 规
国际标准化组织(ISO)在2014年12月15 日发布了国际标准ISO19600《合规管理体系-指南》对“规”有定义:组织宜以适合其规模、复杂性、结构和运营的方式制定“合规义务”文件。合规义务信息应包括合规要求,可包括合规承诺。前者包括监管机构制定发布具有强制性的法律法规、监管条例规定等,后者包括组织与社区、公共权力机构、客户签订的协议、组织要求、政策、程序、自愿原则、规程、环境的承诺等。
广义的“合规”,有三层含义,第一层是企业要在生产经营过程中要遵守法律法规,即企业要遵守公司总部所在国和经营所在国的法律规定及监管规定;第二层是企业经营要遵循企业内部规章制度,包括企业商业行为准则的规章;第三层是企业员工要遵守良好的职业操守和道德规范等。狭义的合规是指企业遵守反对商业贿赂方面的规定。
结合以上,合规的“规”应该按照三层涵义来正确理解:第一层是具有强制性的法律法规,即企业总部所在国和经营所在国的具有强制性的法律规定及监管规定;第二层是企业在生产经营活动中写入企业规制的对相关方(客户、股东、监管方、企业内部员工等)的自愿性承诺;第三层是企业要遵守良好的职业操守和道德规范、公序良俗等,这些不是强制性的,但在社会活动中普遍为大众所认同。
合规风险即企业组织集体行为和代表企业组织的个人行为是否遵守合规的“规”的不确定性。
从合规的“规”三层含义看,第一层合规风险和第三层合规风险就全面包含了企业内部控制风险内容。
3)风 控
企业风控即企业全面风险控制。2004年COSO继续提出了企业风险管理整体框架,定义企业风险管理:“企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”这个对企业风险管理的定义依然有内部控制的太多痕迹。实际中,企业风险包括市场宏观政策风险、客户偏好风险、合规风险、技术风险、质量风险、履约能力风险等。
4)内 审
内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制和治理程序的效果,帮助组织实现其目标。
从概念上分析,内部控制也有监督评价的内容;内部审计是对内部控制、风险管理与治理进行评价,确保组织正常运营,保证不偏离公司目标。
5)内控、风控、内审的关系
在集团内部管理而言,三者关系有一定的关系与作用。内部控制是风险管控和内部审计的基础,是风控和内审的根源根本,处在整个控制系统的前端。而风险管理则处在中端,它能为内部审计作业提供逻辑和方向,为内部审计确定问题(即是评估后的风险),确定审计方向(目标)提供精准定位。
内部审计是通过确认和咨询的方式,对企业运营、内部控制、风险管理和公司治理进行评估与评价,以保证企业各项业务工作按照既定目标和标准,不偏不倚地完成公司目标。
从控制方式上分析:内控、风控、内审三者是"基础一分析一评估"递进关系、因果关系。从控制方式方面总结,内部控制是事前控制,因为制度与流程是为管理而生,为防止企业管理出现问题和错漏而制订。所以,它是事前预防和控制范围;
风险管理,主要在事中进行分析评价,当然事前也可以,风险评价的基本和内容也是内部控制和制度流程,作业过程的风险就属于事中控制;就算事后分析风险也是为了事中的管控。所以,个人认为风控是事中控制的范畴。
内部审计,从三者关系而言:内审工作已经在前两者之后,是根据风险提示或结果,对内控相对应节点(关键控制点)进行确认,确认风险是否存在,是否产生损失,是否可化解或转移,按照这个过程,内审就是事后的确认与评估,属事后控制范畴。
PS:内控是点,风控是线,内审是用线把点串起来组成面。
6)合规、内控、风控的关系
一、风险管控的层级:合规-内控-风控
(1)合规是“打基础”
合规的核心:“确保公司各项生产经营活动遵循内外部的法律、制度、条例、规范、指引等”
合规的产出:合规可以起到最基本的抑制操作风险的作用
合规的短板:只能发现问题而不能解决问题
(2)内控是合规的“最高等级”
内控的核心:不但要求合规,还要考察“规”的状态(是否完善、是否有配套指引、执行过程是否完善)
内控的重点:与合规相比,合规注重结果,内控重视过程。并在此基础上发展较完善的工具和方法(COSO框架)
内控的优点:内控是抑制操作层面风险的最佳手段
内控的缺点:内控对需要站在一定管理高度的风险(如战略风险等)无能为力。(例如内控无法衡量资本市场波动会给公司带来多大风险)
(3)风控管理是风险管控的“最高形式”
风控管理的核心:“两个必须”
必须把风险管理的职能提升到高级管理层
必须设立独立于业务部门的风险管理部门
公司内各类风险相对分散、独立,设立统一的部门,站在管理层的高度来对风险进行检视,才能避免“头痛医头脚痛医脚”。
二、风控与内控的异同
(1)相同点
风控与内控本质上都是通过评估、防范、控制企业风险,从而促进企业经营目标的实现。
(2)不同点
第一两者审视风险的角度不同
风控主要围绕企业战略经营目标,“自上而下”地辨识、评估、分析风险,并提出风险预警防范和应急管理的策略和措施。
内控主要从流程合规、反舞弊角度出发,“自下而上”地诊断招标采购、销售、资金等具体运营流程中的内部控制缺陷,并进行整改。
风控好比企业的“保健医生”,主要职责是“治未病”。内控好比企业的“急诊医生”,主要职责是“治已病”。
第二两者处置风险的工具不同
风控主要采用风险地图、流程数据分析、调查问卷、控制分析、专家评分等工具。随着企业信息化程度的逐渐提高,以数据分析为核心的量化风险分析、风险评估指标体系(如REI指数)等越来越受到重视。
内控主要采用例行审计、专项审计、合规检查等形式,主要使用穿行测试、控制测试等工具,诊断重点业务、重要流程的内部控制设计及运行缺陷。
目标导向一致:战略目标导向
内审、内控、风控都是基于治理、监管等因素下的“产品”,继续追溯产生的动因。
从内部角度分析,两权分立(所有权与经营权)是重要的因素之一,从外部角度分析,组织运营要满足法律法规遵循性的要求。
内审、内控和风控对公司的运营就是一种制衡,对人的制衡,对事的制衡,对利益的制衡,制衡之外是对组织健康发展的一种促进。
公司存在的目的:生存、发展、获利。公司要实现其目的,内审、内控、风控可以说是公司的“防火墙”、“保健医生”。内审、内控、风控的落脚点要导向组织的战略目标、远景、规划,从近处说,要服务组织某阶段的发展目标(短期目标),从这个角度分析,三者目标导向是一致的。
1) 法 务
现代企业立足市场,会面对来自方方面面的风险,诸如合同行为的风险、资本运作的风险、知识产权的风险、人力资源的风险、环境保护的风险、税务筹划的风险以及公共关系的风险和诉讼仲裁的风险等等。如何防范这些风险以达到保障企业安全运营的目的,从根本上预防潜在的风险变成现实的灾难,防患于未然,这就需要建立企业法律风险管理服务机构,健全企业法律风险管理体系。大型企业往往会在内部设立法律法规室或法律事务部,以处理企业的日常法律事务。
鉴于公司的设立往往是以盈利为目的,在企业内部设立法务部门也是基于降低风险、减少损失、维护公司合法利益为出发点,因此企业法务以一切服务于公司业务、服务于生产经营为根本宗旨,以扩大服务范围、提高服务水平作为根本任务,也是就通常所说的服务于业务部门工作。
2) 合 规
国际标准化组织(ISO)在2014年12月15 日发布了国际标准ISO19600《合规管理体系-指南》对“规”有定义:组织宜以适合其规模、复杂性、结构和运营的方式制定“合规义务”文件。合规义务信息应包括合规要求,可包括合规承诺。前者包括监管机构制定发布具有强制性的法律法规、监管条例规定等,后者包括组织与社区、公共权力机构、客户签订的协议、组织要求、政策、程序、自愿原则、规程、环境的承诺等。
广义的“合规”,有三层含义,第一层是企业要在生产经营过程中要遵守法律法规,即企业要遵守公司总部所在国和经营所在国的法律规定及监管规定;第二层是企业经营要遵循企业内部规章制度,包括企业商业行为准则的规章;第三层是企业员工要遵守良好的职业操守和道德规范等。狭义的合规是指企业遵守反对商业贿赂方面的规定。
结合以上,合规的“规”应该按照三层涵义来正确理解:第一层是具有强制性的法律法规,即企业总部所在国和经营所在国的具有强制性的法律规定及监管规定;第二层是企业在生产经营活动中写入企业规制的对相关方(客户、股东、监管方、企业内部员工等)的自愿性承诺;第三层是企业要遵守良好的职业操守和道德规范、公序良俗等,这些不是强制性的,但在社会活动中普遍为大众所认同。
合规风险即企业组织集体行为和代表企业组织的个人行为是否遵守合规的“规”的不确定性。
从合规的“规”三层含义看,第一层合规风险和第三层合规风险就全面包含了企业内部控制风险内容。
3)风 控
企业风控即企业全面风险控制。2004年COSO继续提出了企业风险管理整体框架,定义企业风险管理:“企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”这个对企业风险管理的定义依然有内部控制的太多痕迹。实际中,企业风险包括市场宏观政策风险、客户偏好风险、合规风险、技术风险、质量风险、履约能力风险等。
4)内 审
内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制和治理程序的效果,帮助组织实现其目标。
从概念上分析,内部控制也有监督评价的内容;内部审计是对内部控制、风险管理与治理进行评价,确保组织正常运营,保证不偏离公司目标。
5)内控、风控、内审的关系
在集团内部管理而言,三者关系有一定的关系与作用。内部控制是风险管控和内部审计的基础,是风控和内审的根源根本,处在整个控制系统的前端。而风险管理则处在中端,它能为内部审计作业提供逻辑和方向,为内部审计确定问题(即是评估后的风险),确定审计方向(目标)提供精准定位。
内部审计是通过确认和咨询的方式,对企业运营、内部控制、风险管理和公司治理进行评估与评价,以保证企业各项业务工作按照既定目标和标准,不偏不倚地完成公司目标。
从控制方式上分析:内控、风控、内审三者是"基础一分析一评估"递进关系、因果关系。从控制方式方面总结,内部控制是事前控制,因为制度与流程是为管理而生,为防止企业管理出现问题和错漏而制订。所以,它是事前预防和控制范围;
风险管理,主要在事中进行分析评价,当然事前也可以,风险评价的基本和内容也是内部控制和制度流程,作业过程的风险就属于事中控制;就算事后分析风险也是为了事中的管控。所以,个人认为风控是事中控制的范畴。
内部审计,从三者关系而言:内审工作已经在前两者之后,是根据风险提示或结果,对内控相对应节点(关键控制点)进行确认,确认风险是否存在,是否产生损失,是否可化解或转移,按照这个过程,内审就是事后的确认与评估,属事后控制范畴。
PS:内控是点,风控是线,内审是用线把点串起来组成面。
6)合规、内控、风控的关系
一、风险管控的层级:合规-内控-风控
(1)合规是“打基础”
合规的核心:“确保公司各项生产经营活动遵循内外部的法律、制度、条例、规范、指引等”
合规的产出:合规可以起到最基本的抑制操作风险的作用
合规的短板:只能发现问题而不能解决问题
(2)内控是合规的“最高等级”
内控的核心:不但要求合规,还要考察“规”的状态(是否完善、是否有配套指引、执行过程是否完善)
内控的重点:与合规相比,合规注重结果,内控重视过程。并在此基础上发展较完善的工具和方法(COSO框架)
内控的优点:内控是抑制操作层面风险的最佳手段
内控的缺点:内控对需要站在一定管理高度的风险(如战略风险等)无能为力。(例如内控无法衡量资本市场波动会给公司带来多大风险)
(3)风控管理是风险管控的“最高形式”
风控管理的核心:“两个必须”
必须把风险管理的职能提升到高级管理层
必须设立独立于业务部门的风险管理部门
公司内各类风险相对分散、独立,设立统一的部门,站在管理层的高度来对风险进行检视,才能避免“头痛医头脚痛医脚”。
二、风控与内控的异同
(1)相同点
风控与内控本质上都是通过评估、防范、控制企业风险,从而促进企业经营目标的实现。
(2)不同点
第一两者审视风险的角度不同
风控主要围绕企业战略经营目标,“自上而下”地辨识、评估、分析风险,并提出风险预警防范和应急管理的策略和措施。
内控主要从流程合规、反舞弊角度出发,“自下而上”地诊断招标采购、销售、资金等具体运营流程中的内部控制缺陷,并进行整改。
风控好比企业的“保健医生”,主要职责是“治未病”。内控好比企业的“急诊医生”,主要职责是“治已病”。
第二两者处置风险的工具不同
风控主要采用风险地图、流程数据分析、调查问卷、控制分析、专家评分等工具。随着企业信息化程度的逐渐提高,以数据分析为核心的量化风险分析、风险评估指标体系(如REI指数)等越来越受到重视。
内控主要采用例行审计、专项审计、合规检查等形式,主要使用穿行测试、控制测试等工具,诊断重点业务、重要流程的内部控制设计及运行缺陷。
目标导向一致:战略目标导向
内审、内控、风控都是基于治理、监管等因素下的“产品”,继续追溯产生的动因。
从内部角度分析,两权分立(所有权与经营权)是重要的因素之一,从外部角度分析,组织运营要满足法律法规遵循性的要求。
内审、内控和风控对公司的运营就是一种制衡,对人的制衡,对事的制衡,对利益的制衡,制衡之外是对组织健康发展的一种促进。
德勤华永会计师事务所(特殊普通合伙)、金凌云、石弘隽:
根据《中华人民共和国证券法》的有关规定,我局对你们执业的无锡药明康德新药开发股份有限公司(以下简称药明康德或公司)年报审计项目进行了检查。经查,你们在执业过程中存在以下问题:
一、内部控制相关审计程序执行不到位
你们计划执行穿行测试,但未见相关执行穿行测试底稿。你们未按照计划分配的样本量实施控制测试,也未关注到控制测试中的异常情况。在执行资金循环控制测试时,你们未在接近基准日实施控制测试,也未进行相关审计说明。
以上不符合《中国注册会计师审计准则第1101号——注册会计师的总体目标和审计工作的基本要求》第二十八条、《中国注册会计师审计准则第1301号——审计证据》第十条、《中国注册会计师审计准则第1314号——审计抽样》第十六条的规定。
二、应收账款、合同资产及营业收入审计程序执行不到位
一是未恰当检查支持性文件。你们对未回函的应收账款执行替代测试时,未检查合同、发货单及客户签字材料等支持性文件;在执行合同资产细节测试时,对抽取的样本未复核合同、发票信息、客户确认资料等支持性文件。二是营业收入细节测试样本规模与选择不恰当。你们在计算营业收入测试样本规模时,确定部分业务风险级别与风险评估结果不一致,导致实际确定的样本规模小于应抽样本量。你们采取金额单位抽样法进行样本的选取,但存在部分大金额未被纳入样本范围的情况,抽样结果不符合金额单位抽样法的原则。
以上不符合《中国注册会计师审计准则第1301号——审计证据》第十条、《中国注册会计师审计准则第1314号——审计抽样》第十五条、第十六条的规定。
三、货币资金审计程序不到位
你们在计划审计阶段将子公司WuxiClinicalDevelopment,Inc.银行存款科目认定为重要账户,且计划对其执行银行函证程序,但你们未按计划执行相关函证,底稿中也未见说明该类账户性质不重大的审计证据。以上不符合《中国注册会计师审计准则第1312号——函证》第十二条的规定。
四、底稿记录不恰当
一是未准确记录底稿信息,部分底稿信息与支持性文件不一致。二是部分底稿未使用中文记录。以上不符合《中国注册会计师审计准则第1131号——审计工作底稿》第十条、第十六条的规定。
上述行为违反了《上市公司信息披露管理办法》(证监会令第40号)第五十二条、第五十三条的规定,其中签字注册会计师金凌云、石弘隽对相关问题负主要责任。根据《上市公司信息披露管理办法》(证监会令第40号)第六十五条的规定,我局决定对你们采取出具警示函的监督管理措施。
根据《中华人民共和国证券法》的有关规定,我局对你们执业的无锡药明康德新药开发股份有限公司(以下简称药明康德或公司)年报审计项目进行了检查。经查,你们在执业过程中存在以下问题:
一、内部控制相关审计程序执行不到位
你们计划执行穿行测试,但未见相关执行穿行测试底稿。你们未按照计划分配的样本量实施控制测试,也未关注到控制测试中的异常情况。在执行资金循环控制测试时,你们未在接近基准日实施控制测试,也未进行相关审计说明。
以上不符合《中国注册会计师审计准则第1101号——注册会计师的总体目标和审计工作的基本要求》第二十八条、《中国注册会计师审计准则第1301号——审计证据》第十条、《中国注册会计师审计准则第1314号——审计抽样》第十六条的规定。
二、应收账款、合同资产及营业收入审计程序执行不到位
一是未恰当检查支持性文件。你们对未回函的应收账款执行替代测试时,未检查合同、发货单及客户签字材料等支持性文件;在执行合同资产细节测试时,对抽取的样本未复核合同、发票信息、客户确认资料等支持性文件。二是营业收入细节测试样本规模与选择不恰当。你们在计算营业收入测试样本规模时,确定部分业务风险级别与风险评估结果不一致,导致实际确定的样本规模小于应抽样本量。你们采取金额单位抽样法进行样本的选取,但存在部分大金额未被纳入样本范围的情况,抽样结果不符合金额单位抽样法的原则。
以上不符合《中国注册会计师审计准则第1301号——审计证据》第十条、《中国注册会计师审计准则第1314号——审计抽样》第十五条、第十六条的规定。
三、货币资金审计程序不到位
你们在计划审计阶段将子公司WuxiClinicalDevelopment,Inc.银行存款科目认定为重要账户,且计划对其执行银行函证程序,但你们未按计划执行相关函证,底稿中也未见说明该类账户性质不重大的审计证据。以上不符合《中国注册会计师审计准则第1312号——函证》第十二条的规定。
四、底稿记录不恰当
一是未准确记录底稿信息,部分底稿信息与支持性文件不一致。二是部分底稿未使用中文记录。以上不符合《中国注册会计师审计准则第1131号——审计工作底稿》第十条、第十六条的规定。
上述行为违反了《上市公司信息披露管理办法》(证监会令第40号)第五十二条、第五十三条的规定,其中签字注册会计师金凌云、石弘隽对相关问题负主要责任。根据《上市公司信息披露管理办法》(证监会令第40号)第六十五条的规定,我局决定对你们采取出具警示函的监督管理措施。
✋热门推荐