序言为推动在上海证券交易所(SSE)上市的公司建立健全内部控制制度,提高公司风险管理水平,保护投资者的合法权益,上海证券交易所根据《上海证券交易所股票上市规则》等规定,制定并于2006年6月发布了《上海证券交易所上市公司内部控制制度指引》(SSE指引)。
目标SSE指引借鉴了COSO《企业风险管理-总体框架》,为上市公司内部控制制度的建立提供了具体的指导。
针对风险管理框架的建设方法可参见《甫瀚企业风险管理框架常见问题解答》。
为了各上市公司更好地执行SSE指引条款,有效地建立内部控制制度,甫瀚提出了这一建议的工作计划。
甫瀚通讯第2卷第6期《企业风险管理的实施建议》列示了实施企业风险管理的五个步骤。
其中步骤3与步骤5的内容分别为:“提升公司对一到两个关键风险的管理能力”与“提升对其他关键风险的管理能力”。
这前后两个步骤所显示的风险覆盖范围的扩展说明了在企业风险管理实施过程中建立一个试点的重要性。
本工作计划正是以如何实现财务报告信息可靠性为试点的一个例子:通过详细说明对财务报告有重大影响的业务流程,分析各关键流程中与财务报告相关的主要风险,辨别关键流程中的主要控制点,以实现财务报告信息披露的可靠性。
建议工作方式甫瀚就达成上述目标所建议采取的方法包括下列主要步骤:A. 确定财务报表要素及完成财务报表风险评估B. 选定用于执行及评估内部控制的标准C. 确定用于支持财务报告职能的关键业务流程D. 识别各关键流程中与财务报告相关的主要风险E. 识别可降低主要风险的关键控制F. 评估控制设计的有效性(实现目标)G. 评估控制运作的有效性(运作按设计进行)H. 设计并实施用以弥补内控差距及缺陷的解决方案I. 持续完善主要步骤A.确定财务报表要素及完成财务报表风险评估甫瀚建议管理层确定下列(但不限于)财务报表要素,并对其风险进行评估。
有关各报表项目的描述请参考详细的财务报表风险评估。
资产负债及股东权益股东权益收益表B.选定用于执行及评估内部控制的标准甫瀚建议采纳SSE指引认可的内部控制制度的框架,作为对内控进行评估的标准。
SSE指引分别采用公司层面、公司下属部门或附属公司层面、业务环节层面等三个层面来评现金及短期投资高高高货币资金管理环节;投资环节;财务报告环节其他流动资产低低低销货及收款环节;生产环节;财务报告环节;关联交易环节长期投资高高高投资环节;财务报告环节固定资产高中中固定资产管理环节;财务报告环节其他资产低低低采购及付款环节;研发环节;财务报告环节应付账款中中中采购及付款环节;财务报告环节;关联交易环节应计负债高高高采购及付款环节;担保与融资环节;财务报告环节其他流动负债高低中采购及付款环节;担保与融资环节;财务报告环节其他长期负债高低中担保与融资环节;财务报告环节股东权益高低中财务报告环节主营业务收入高高高销货及收款环节;财务报告环节;关联交易环节主营业务成本高高高生产环节;关联交易环节;人事管理环节;财务报告环节营业费用高中中销货及收款环节;人事管理环节;财务报告环节管理费用高中中研发环节;人事管理环节;固定资产管理环节;财务报告环节财务费用中低低投资环节;担保与融资环节;财务报告环节所得税费用高高高税务环节;财务报告环节财务报表要素重要程度固有风险整体风险评估对应的业务环节估内控。
下文具体讨论SSE指引的三个层面及其实施情况。
1.目标-内部控制的设计目的是确保下列各目标能够实现:a.经营的效果和效率b.信息披露的可靠性c.法律法规的合规性内部控制设计旨在确保上述三项目标得以实现。
其中信息披露的可靠性是其他目标的基础,上市公司建立有效的内部控制的第一步是实现财务报告信息披露的可靠性。
因此甫瀚以财务报告信息披露的可靠性为目标为上市公司内部控制框架的搭建提供了本具体工作计划。
2.公司层面的风险及控制评估甫瀚建议通过完成一项全面的“管理层控制环境问卷调查”(由上市公司内部审计师制定)来解决公司层面的风险及控制评估。
问卷调查将分发给公司下属部门及附属子公司的高中级别员工,以了解整个机构高层管理者的态度,以及员工的内控意识,为内部控制的确定及评估做好准备。
上市公司将收集有关公司层面控制的充足证据,以支持管理层的认定。
舞弊风险评估1是公司层面风险评估的重要组成部分之一。
该评估应充分考虑各种舞弊的方式以及可能发生的不正当行为。
舞弊风险评估主要包括评估可能的财务报表舞弊,盗用资产,以及非授权的或不正当的收入和费用。
上市公司将从以下几个方面对舞弊风险评估的有效性进行考量:是否具有系统的评估体系;是否考虑了所有可能的舞弊方案;是否对公司层面,重要业务部门层面及重要财务层面的舞弊风险进行评估;是否对公司层面的各类风险的可能性和重要性进行评估;是否对各类舞弊风险将导致的后果进行评估等。
3.下属部门及附属公司层面的风险及控制评估SSE指引中对附属公司的内部控制专注于监督和管理控股子公司的重大财务、经营事项。
因此,公司对附属公司的内部控制主要侧重于对控股子公司的财务报告和管理报告可靠性提供支持的有关控制。
下属部门及附属公司层面的控制主要包括:1).建立对控股子公司的控制架构,确定控股子公司章程的主要条款,选任董事、监事、经理及财务负责人。
2).根据公司的战略规划,协调控股子公司的经营策略和风险管理策略,督促控股子公司据以制定相关业务经营计划、风险管理程序。
3).制定控股子公司的业绩考核与激励约束制度。
4).制定母子公司业务竞争、关联交易等方面的政策及程序。
5).制定控股子公司重大事项的内部报告制度。
重大事项包括但不限于发展计划及预算、重大投资、收购出售资产、提供财务资助、为他人提供担保、从事证券及金融衍生品投资、签订重大合同、海外控股子公司的外汇风险管理等。
6).定期取得控股子公司月度财务报告和管理报告,并根据相关规定,委托会计师事务所审计控股子公司的财务报告。
公司应对控股子公司内控制度的实施及其检查监督工作进行评价。
1甫瀚建议公司层面的风险及控制评估应包括反舞弊,因为反舞弊方案的建立对于健康的控制环境是至关重要的,其影响了整个公司员工的内控意识。
公司可比照对控股子公司监督管理的制度,对分公司、具有重大影响的参股公司进内控制度做出安排。
4.业务流程层面的风险及控制评估基于业务流程环节,甫瀚建议通过分析各业务流程环节中存在的风险,并根据公司管理层的风险容忍度和风险偏好,对业务流程环节的风险进行控制评估。
5.内控的五个要素-用于评估SSE指引的内控三个层面包括下列五个内控组成要素:a. 控制环境: 控制环境确定了整个机构高层管理者的态度,影响员工的内控意识。
该组成部分是内部控制所有其他部分的基础,提供了纪律要求和结构b. 风险评估: 风险评估是识别及分析相关风险及其对公司目标实现的影响。
风险评估为管理层决定如何对风险进行管理设定了标准c. 控制活动: 为确保管理层的指令得到贯彻执行的政策及程序,包括核准、授权、验证、调整、复核、定期盘点、记录核对、职能分工、资产保全、绩效考核等d. 信息与沟通: 该组成部分包括若干程序和系统,以确保相关信息的确认、获取和交流必须在一定时间框架内进行,并使得员工能够各行其责e. 监 督: 包括定期评估内部控制质量的流程这五个组成部分为有效的财务报告内部控制提供了框架,同时,也为信息披露控制及程序提供了一个普遍通用的框架。
五个组成部分为财务报告内部控制的评估提供了依据。
上述三个层面代表了整个综合框架。
该框架按下述方式运作:对于任何既定目标,例如财务报告的可靠性,管理层必须同时在公司层面和各业务环节层面两个层面对内部控制的五个要素进行评估。
C.确定用于支持财务报告职能的关键业务流程根据上市公司的业务性质,以及上市公司对交易进行记录及报告的现有流程,甫瀚建议管理层将下列流程确认为关键业务环节:关键业务环节 描述1.销货及收款环节包括订单处理、信用管理、运送货物、开出销货发票、确认收入及应收账款、收到现款及其记录等2.采购及付款环节包括采购申请、处理采购单、验收货物、填写验收报告或处理退货、记录应付账款、核准付款、支付现款及其记录等3.生产环节包括拟定生产计划、开出用料清单、储存原材料、投入生产、计算存货生产成本、计算销货成本、质量控制等4.固定资产管理环节包括固定资产的自建、购置、处置、维护、保管与记录等5.货币资金管理环节包括货币资金的入账、划出、记录、报告、出纳人员和财务人员的授权等6.关联交易环节包括关联方的界定、关联交易的定价、授权、执行、报告和记录等7.担保与融资环节包括借款、担保、承兑、租赁、发行新股、发行债券等的授权、执行与记录等8.投资环节包括投资有价证券、股权、不动产、经营性资产、金融衍生品及其他长、短期投资、委托理财、募集资金使用的决策、执行、保管与记录等*甫瀚建议增加的环节上市公司内部控制制度,除包括对经营活动各环节的控制外,还应包括(但不限于)印章使用管理、票据领用管理、预算管理、资产管理、质量管理、担保管理、职务授权及代理制度、定期沟通制度、信息披露管理制度及对附属公司的管理制度等各项管理制度。
D.识别各关键流程中与财务报告相关的主要风险下文载列甫瀚就各关键业务环节确认的主要财务报告风险举例:9.研发环节包括基础研究、产品设计、技术研发、产品测试、研发记录及文件保管等10.人事管理环节包括雇用、签订聘用合同、培训、请假、加班、离岗、辞退、退休、计时、计算薪金、计算个人所得税及各项代扣款、薪资记录、薪资支付、考勤及考核等 11.财务报告环节*包括记账、结账、出具财务报告等12.税务环节*包括计提应交税金,申报、缴纳税金等13.信息管理环节(如果适用)包括信息处理部门与使用部门权责划分、信息处理部门的功能及职责划分、系统开发及程序修改的控制、程序及资料的存取、数据处理的控制、档案设备及信息的安全控制、公开信息披露活动的控制等5.错误的分类• 资本/预付款/费用 • 项目• 研发费用/一般及行政费用对开支的错误分类可能会导致高估/低估资产及经营费用。
此外,研发费用与行政费用的分类受成本中心分类的影响等。
6.低估负债对货物及无发票服务不预提相关费用,或其他未知负债,均可能会导致低估负债等。
7.发票处理不完整或不准确不准确的卖方账单及错误的应付账款数据输入如在付款前未能及时解决,均可能会导致重大的错报等。
如公司的业务及/或风险评估发生变动,上文确认的关键流程及风险也将发生相应变化。
E.识别可降低主要风险的关键控制甫瀚建议公司通过设计、实施及利用标准的会计政策及程序,集中对有关数据进行完整且准确的收集与呈报,以降低出现上述主要风险的概率。
为确保能够适当降低关键流程内的主要风险,有关该等风险的关键控制将予以确认及记录。
公司将分别在预防、检测及以系统为基础的控制层面对其关键控制进行评估。