控制的要素包括控制环境、风险识别与评估、控制活动与措施、信息沟通与反馈,监督与评价,其目标包括:保证经营的合法合规及内部规章制度的贯彻执行;防范经营风险和道德风险;保障公司资产的完全完整;保证公司业务记录、财务信息和其他信息的可靠、完整、及时;提高公司经营效率和效果。2008年6月,财政部、证监会、审计署、银监会、保监会五部委联合发布《企业内部控制基本规范》。内部控制的目标要求企业在保证经营管理合法合规、资产安全、财务报告真实完整,提高经营效率的基础上,实现企业发展战略。该内部控制基本规范的实施,无疑将推动企业内部控制体系建设,有助于防范企业风险,对保护企业资产完整、企业会计信息真实可靠和公允性将大有裨益。另外,《企业内部控制基本规范》要求公司董事会审议批准后,企业每年必须对自身的内部控制进行自我评价,并披露自我评价报告,从这一规定充分体现出内控体系的国际趋同化及发展趋势。为了应对即将生效的基本规范,上市公司及非上市的大中型企业将需要对自己的内部控制进行梳理和评估,对内控体系进行加强和完善,通过综合分析企业内部控制基本规范的政策和制度,及对企业管理运营、年度报告的影响,导出应对策略;从而帮助企业尽快掌握内部控制基本规范的要求与自我评估流程,提升企业管理水平,更好适应资本市场的变化和遵循法律法规的需求。 1.3我国企业内部控制理论和COSO的比较
1.3.1内部控制的定位。我国内部控制的发展是循序渐进的。从1996年独立审计的具体准则到最近新的内部控制相关文件,可看出对于内部控制的概念逐步完善,已跟国际内部控制框架的概念基本一致,如逐步明确了内部控制需防范经营和管理的各种风险。因此,对于内部控制定位,在理论上已与国际接轨,所需进行的工作是将内部控制文件扩展到各个行业。但在实践中,有关内部控制的定位仍有待提升,企业对于内部控制、风险管理的定位时常会让步于追求经济效益。 1.3.2.内部控制的目标。对于内部控制的目标,COSO2的内容更为广泛,包括了经营的效果和效率,而我国内部控制目标在会计法和内部会计控制基本规范中没有包含,但在最近新的内部控制相关文件中,已经定义了该部分内容,与COSO框架基本一致。
1.3.3.内部控制的要素。由于在《会计法》、《独立审计准则第9号》和《内部会计控制基本规范》中,内部控制没有设定要素,而是一般列出内部控制的内容,财政部正在征求意见的内部控制规范,已借鉴了COSO框架的五大要素。以下进行五大要素的比较:
(1)控制环境。控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素。影响控制环境的因素是多方面的:董事会、企业管理者的
2
M.S.多尔夫曼(美Mark S.Dorfman)著:《企业风险管理——整合框架》[M].方红星、王宏译,中国财政经济出版社(美)COSO制定发布,2004.
2
毕业设计(论文) 第一章 企业内部控制一般理论
素质、管理者的品行及管理哲学、道德操守和行业准则、企业文化、组织结构与权责分派体系、信息系统、人力资源政策及实务。二是管理层不重视内部控制,缺乏对管理层责任的认定和惩罚措施。三是缺乏具有操作性的道德规范与行为准则。
(2)风险评估。环境控制和风险评估,是提高企业内部控制效率和效果的关健。控制和风险的概念紧密相连。根据COSO的内部控制整合框架,及COSO委员会根据此文件补充的后续资料,发展了具体风险界定和风险评估的步骤和内容:一是商业风险模型BRM(Business Risk Model)。该模型将风险分为外部环境风险,流程风险和信息决策风险三类。二是商业风险模型的流程BRMP(Business Risk Model Process)和风险界定(Risk Map)这两个模型。三是评估风险所需的一些技(Quantitative and qualitative method)。具体来说,数量的方法采用涉及金额大小或更复杂的数学计算对风险进行排序。而定性的方法则根据经验、知识和综合判断对风险进行排序。
(3)控制活动。控制活动是确保管理层的指令得以实现的政策和程序,旨在帮助企业保证其已经针对“使企业目标不能达成的风险”采取了必要行动。控制活动出现在整个企业内的各个阶层与各种职能部门,包括审核、授权、验证、调节、复核营业绩效、保障资产安全以及职务分离等多种活动。COSO内部控制整合框架提出的控制活动按形式分,包括政策、流程、预防性控制、发现性控制、自动控制和操作手册等;按类型分,包括普遍性控制(如信息系统管理控制、安全控制、软件维护控制等)、具体控制和监控等;按目的划分,包括保证交易及信息的完整性、准确性、恰当授权和有效合法性。COSO已针对控制类型罗列了很多具体的控制,我国内部控制有关文件指引没有像COSO框架一样对控制进行明晰分类,而是根据具体业务流程对于关键控制点进行内部控制描述。这些具体控制活动基本上与COSO内部控制。
(4)信息沟通与反馈。信息沟通与反馈是指企业须按某种形式及在某个时间之内,辨别取得适当的信息,并加以沟通,使员工顺利履行其职责。COSO内部控制整合框架对信息沟通与反馈确定四个要点:一是信息类别,包括内部信息和外部信息;手工信息和计算机处理信息;正式和非正式信息。二是信息系统提供信息的目标,信息系统提供的信息应及时、有效、高质量、能满足各个层次的要求,这样的信息可用于分析问题,从而实现经营管理和战略管理目标。三是沟通方式,包括备忘录、电子系统信息、电子邮件、告示贴、视频录像等多种方式。一个良好的信息沟通系统不仅要有向下的沟通渠道,还应有向上的、横向的以及对外界的信息沟通渠道。四是信息系统,一般来说,企业信息系统包括会计信息系统和业务信息系统。业务信息系统的信息可用作会计信息系统,有些可以有其
3
毕业设计(论文) 第一章 企业内部控制一般理论
他用途;会计信息系统的信息多用于计划、预算、定价和评估等用途。与COSO内部控制框架中的信息沟通与反馈类似,国内内部控制所强调的信息沟通系统关注于财务信息,而对于业务信息系统的强调不够。实际上业务信息系统的健全对于企业风险管理和实现经营目标都有很重要的作用。
(5)监控。如前所述,企业内部控制是一个过程,这个过程通过纳入管理过程的大量制度及活动实现的,因此,要确保内部控制制度被切实的执行且执行效果良好、内部控制能够随时适应新情况等,内部控制就必须被监督。监督是一种随着时间的推移而评估制度执行质量的过程。根据COSO内部控制框架,监控的内容包括:一是监控类型。二是监督执行。三是内部审计的定位。我国内部控制体系中有关监控的规定中缺乏控制自我评估方面的内容。实践中企业亦缺乏定期或不定期的自我控制评估。
4
毕业设计(论文) 第二章 我国软件企业内部控制存在的问题及分析
第二章 我国软件企业内部控制存在问题及分析
——以某软件企业为例
2.1软件企业背景资料
软件工程是一门关于如何构建更加有效、实用、高质量的软件的技术。它涉及到程序设计语言、数据库、软件开发工具、系统平台、标准、设计模式等方面。软件工程应用于多个方面,比如电子邮件、嵌入式系统、人机界面、办公套件、操作系统、编译器、数据库、游戏、互联网。某软件公司是一家主要从事软件开发、高新技术服务的高科技企业,致力于企业及政府信息化服务,公司成立于2000年7月,注册资金500万元。公司获得四川省信息产业厅“软件企业”资格、成都科技局“高新技术企业”资格、四川省公安厅“安全技术防范工程设计安装维护二级资质”、四川省政府采购中心“定点采购单位”资格,与电子科技大学联合成立了IC设计实验室,主要承担省部级、市级政府的项目开发。2007年度公司被评为成都市软件产业产值前50强和成都市软件行业协会评为2007年度成都市软件行业优秀企业;该公司拥有20多名管理人员,30多名研发人员,600多名技术服务工程师。目前,已在四川省内设立了覆盖全川的20个分、子公司,并已在省外设立了北京、贵州、青海、河南、内蒙、新疆、重庆等分、子公司和服务机构,形成了一个立体化的市场推广和服务体系,具有遍布省内、辐射全国的销售、服务网络的市场优势。某公司自成立以来先后自2001年开始,根据中央机构编制委员会办公室对机构编制信息管理的总体思路和相关要求,公司开发了“机构编制管理信息系统”。公司自主研发“RFID”在烟草物流行业的应用软件。公司成立医保事业部,专业为保险公司开发“医保通”赔付系统。 2.2软件企业内部控制存在问题
对于财务数据的分析,验证公司资产管理、风险管理等内部控制方面存在问题。依据前文的相关理论,为查找和解决问题提供了思路。进一步分析上文案例的具体事件,可以将其存在的问题归类为货币资金管理方面、设备管理方面和工程项目管理方面,这些方面的问题正是源于内部控制的失效。另外,软件行业自身的经营特点使其面临较大风险,间接影响内部控制举措。 2.2.1软件行业因素
软件企业的经营过程中,存在着各种各样的风险,有管理的、资金的、法律的等等。要想企业能够发展壮大,首先就要避开这些随时都可能让你翻船的“暗礁”。那么软件企业的风险含哪些内容呢?
①经营风险:因原材料供应、能源、技术、产品价格、商品销售、业务结构、特许经营、汇率调整等原因,对公司经营造成的实质性影响。软件企业由于是智力密集型企业,对于材料、能源几乎没有什么司带来经营风险。另外软件企业的
5