七、担保业务控制:主要风险;评估与审批;执行与监督
担保是指企业作为担保人按照公平、自愿、互利的原则与债权人约定,当债务人不履行债务时,依照法律规定和合同协议承担相应法律责任的行为。建立健全担保内部控制制度,是规范担保行为、降低担保风险的有效途径,而在各控制关键点建立一套相互牵制、相互稽查、相互监督的内部控制体系,是企业内部控制制度的中心环节,其根本目的在于规范担保行为、防范担保风险、促进企业资金良性循环。
(一)担保业务活动中的主要风险
企业应当关注与担保业务有关的下列风险:
1.对担保申请人的资信状况调查不深,审批不严或越权审批,可能导致企业担保决策失误或遭受欺诈。
2.对被担保人出现财务困难或经营陷入困境等状况监控不力,应对措施不当,可能导致企业承担法律责任。
3.担保过程中存在舞弊行为,可能导致经办审批等相关人员涉案或企业利益受损。
企业应当依法制定和完善担保业务政策及相关管理制度,明确担保的对象、范围、方式、条件、程序、担保限额和禁止担保等事项,规范调查评估、审核批准、担保执行等环节的工作流程,按照政策、制度、流程办理担保业务,定期检查担保政策的执行情况及效果,切实防范担保业务风险。
(二)调查评估与审批环节的关键控制点及控制措施
1.企业对担保申请人出现以下情形之一的,不得提供担保:
(1)担保项目不符合国家法律法规和本企业担保政策的。
(2)已进入重组、托管、兼并或破产清算程序的。
(3)财务状况恶化、资不抵债、管理混乱、经营风险较大的。
(4)与其他企业存在较大经济纠纷,面临法律诉讼且可能承担较大赔偿责任的。
(5)与本企业已经发生过担保纠纷且仍未妥善解决的,或不能及时足额交纳担保费用的。
2.企业应当建立担保授权和审批制度,规定担保业务的授权批准方式、权限、程序、责任和相关控制措施,在授权范围内进行审批,不得超越权限审批。重大担保业务,应当报经董事会或类似权力机构批准。
其中上市公司须经股东大会审核批准的对外担保,包括但不限于下列情形:
(1)上市公司及其控股子公司的对外担保总额,超过最近一期经审计净资产50%以后提供的任何担保。
(2)为资产负债率超过70%的担保对象提供的担保。
(3)单笔担保额超过最近一期经审计净资产10%的担保。
(4)对股东、实际控制人及其关联方提供的担保。
4.企业应当采取合法有效的措施加强对子公司担保业务的统一监控。企业内设机构未经授权不得办理担保业务。
(三)执行与监督环节的关键控制点及控制措施
企业应当根据审核批准的担保业务订立担保合同。担保合同应明确被担保人的权利、义务、违约责任等相关内容,并要求被担保人定期提供财务报告与有关资料,及时通报担保事项的实施情况。担保申请人同时向多方申请担保的,企业应当在担保合同中明确约定本企业的担保份额和相应的责任。
1.企业担保经办部门应当加强担保合同的日常管理,定期监测被担保人的经营情况和财务状况,对被担保人进行跟踪和监督,了解担保项目的执行、资金的使用、贷款的归还、财务运行及风险等情况,确保担保合同有效履行。
2.企业应当加强对担保业务的会计系统控制,及时足额收取担保费用,建立担保事项台账,详细记录担保对象、金额、期限、用于抵押和质押的物品或权利以及其他有关事项。
企业财会部门应当及时收集、分析被担保人担保期内经审计的财务报告等相关资料,持续关注被担保人的财务状况、经营成果、现金流量以及担保合同的履行情况,积极配合担保经办部门防范担保业务风险。
八、业务外包控制:主要风险;承包方选择;外包业务实施
(一)业务外包活动中的主要风险
企业应当关注与业务外包有关的下列风险:
1.外包范围和价格确定不合理、承包方选择不当,可能导致企业遭受损失。
2.业务外包监控不严、服务质量低劣,可能导致企业难以发挥业务外包的优势。
3.业务外包存在商业贿赂等违法行为,可能导致企业相关人员涉案。
(二)承包方选择环节的关键控制点及控制措施
1.企业应当综合考虑成本效益原则,权衡利弊,避免将核心业务外包。
2.企业应当根据年度生产经营计划和业务外包管理制度,结合确定的业务外包范围,拟定实施方案,按照规定的权限和程序审核批准。
总会计师或分管会计工作的负责人应当参与重大业务外包的决策。重大业务外包方案应当提交董事会或类似权力机构审批。企业应当按照批准的业务外包实施方案选择承包方。
(三)外包业务实施环节的关键控制点及控制措施
1.企业应当加强业务外包实施的管理,严格按照业务外包制度、工作流程和相关要求,组织开展业务外包,并采取有效的控制措施,确保承包方严格履行业务外包合同。
2.企业应当做好与承包方的对接工作,加强与承包方的沟通与协调,及时搜集相关信息,发现和解决外包业务日常管理中存在的问题。
3.企业应当根据国家统一的会计准则制度,加强对外包业务的核算与监督,做好业务外包费用结算工作。
4.企业应当对承包方的履约能力进行持续评估,有确凿证据表明承包方存在重大违约行为,导致业务外包合同无法履行的,应当及时终止合同。
5.业务外包合同执行完成后需要验收的,企业应当组织相关部门或人员对完成的业务外包合同进行验收,出具验收证明。
九、财务报告控制:主要风险;编制;对外提供;分析利用
(一)财务报告过程中的主要风险
企业应当关注与财务报告有关的下列风险:
1.编制财务报告违反会计法律法规和国家统一的会计准则制度,可能导致企业承担法律责任和声誉受损。
2.提供虚假财务报告,误导财务报告使用者,造成决策失误,干扰市场秩序。
3.不能有效利用财务报告,难以及时发现企业经营管理中存在的问题,可能导致企业财务和经营风险失控。
(二)财务报告编制环节的关键控制点及控制措施
(三)财务报告对外提供环节的关键控制点及控制措施
(四)财务报告分析利用环节的关键控制点及控制措施
十、全面预算控制:主要风险;编制;执行;考核
全面预算,是指企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。预算控制是内部控制中使用较为广泛的一种控制措施。通过预算控制,使得企业的经营目标转化为各部门、各个岗位以至个人的具体行为目标,作为各责任单位的约束条件,能够从根本上保证企业经营目标的实现。
(一)预算管理中的主要风险
企业应当关注与预算管理有关的下列风险:
1.不编制预算或预算不健全,可能导致企业经营缺乏约束或盲目经营。
2.预算目标不合理、编制不科学,可能导致企业资源浪费或发展战略难以实现。
3.预算缺乏刚性、执行不力、考核不严,可能导致预算管理流于形式。
(二)预算编制环节的关键控制点及控制措施
1.企业应当建立和完善预算编制工作制度,明确编制依据、编制程序、编制方法等内容,确保预算编制依据合理、程序适当、方法科学,避免预算指标过高或过低。预算编制是企业实施全面预算管理的起点,也是全面预算管理的关键环节。
在编制预算的实际操作之前确定全面预算的编制起点,是任何预算编制机构首先应当解决的问题。
(1)以销售为起点
(2)以利润为起点
2.企业应当根据发展战略和年度生产经营计划,综合考虑预算期内经济政策、市场环境等因素,按照上下结合、分级编制、逐级汇总的程序,编制年度全面预算。
3.企业预算管理委员会应当对预算管理工作机构在综合平衡基础上提交的预算方案进行研究论证,从企业发展全局角度提出建议,形成全面预算草案,并提交董事会。
4.企业董事会审核全面预算草案,应当重点关注预算科学性和可行性,确保全面预算与企业发展战略、年度生产经营计划相协调。 企业全面预算应当报经股东(大)会审议批准。批准后,应当以文件形式下达执行。
(三)预算执行环节的关键控制点及控制措施
1.企业应当加强对预算执行的管理,明确预算指标分解方式、预算执行审批权限和要求、预算执行情况报告等,落实预算执行责任制,确保预算刚性,严格预算执行。
2.企业全面预算一经批准下达,各执行单位应当认真组织实施,将预算指标层层分解,从横向和纵向落实到内部各部门、各环节和各岗位,形成全方位的预算执行责任体系。
3.企业应当根据全面预算管理要求,组织各项生产经营活动和投融资活动,严格预算执行和控制。
4.企业预算管理工作机构应当加强与各预算执行单位的沟通,运用财务信息和其他相关资料监控预算执行情况,采用恰当方式及时向决策机构和各预算执行单位报告、反馈预算执行进度、执行差异及其对预算目标的影响,促进企业全面预算目标的实现。
5.企业预算管理工作机构和各预算执行单位应当建立预算执行情况分析制度,定期召开预算执行分析会议,通报预算执行情况,研究、解决预算执行中存在的问题,提出改进措施。
6.企业批准下达的预算应当保持稳定,不得随意调整。由于市场环境、国家政策或不可抗力等客观因素,导致预算执行发生重大差异确需调整预算的,应当履行严格的审批程序。调整预算由预算执行单位逐级向原预算审批机构提出书面报告,阐述预算执行的具体情况、客观因素变化情况及其对预算执行造成的影响程度,提出预算的调整幅度。
(四)预算考核环节的关键控制点及控制措施
1.企业应当建立严格的预算执行考核制度,对各预算执行单位和个人进行考核,切实做到有奖有惩、奖惩分明。
2.企业预算管理委员会应当定期组织预算执行情况考核,将各预算执行单位负责人签字上报的预算执行报告和已掌握的动态监控信息进行核对,确认各执行单位预算完成情况。必要时,实行预算执行情况内部审计制度。
3.企业预算执行情况考核工作,应当坚持公开、公平、公正的原则,考核过程及结果应有完整的记录。
十一、合同管理控制:主要风险;订立;履行
合同,是指企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议。企业应当加强合同管理,确定合同归口管理部门,明确合同拟定、审批、执行等环节的程序和要求,定期检查和评价合同管理中的薄弱环节,采取相应控制措施,促进合同有效履行,切实维护企业的合法权益。
(一)合同管理中的主要风险
企业应当关注与合同管理有关的下列风险:
1.未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈,可能导致企业合法权益受到侵害。
2.合同未全面履行或监控不当,可能导致企业诉讼失败、经济利益受损。
3.合同纠纷处理不当,可能损害企业信誉和形象。
(二)合同订立环节的关键控制点及控制措施
1.企业对外发生经济行为,应当订立书面合同。
2.企业应当根据协商、谈判等的结果,拟订合同文本,按照自愿、公平原则,明确双方的权利义务和违约责任,做到条款内容完整,表述严谨准确,相关手续齐备,避免出现重大疏漏。合同文本一般由业务承办部门起草、法律部门审核。
3.企业应当对合同文本进行严格审核,重点关注合同的主体、内容和形式是否合法,合同内容是否符合企业的经济利益,对方当事人是否具有履约能力,合同权利和义务、违约责任和争议解决条款是否明确等。
4.企业应当按照规定的权限和程序与对方当事人签署合同。
5.企业应当建立合同专用章的保管制度。合同经编号、审批及企业法定代表人或由其授权的代理人签署后,方可加盖合同专用章。
6.企业应当加强合同信息安全保密工作,未经批准,不得以任何形式泄露合同订立与履行过程中涉及的商业秘密或国家机密。
(三)合同履行环节的关键控制点及控制措施
1.在合同履行过程中发现有显失公平、条款有误或对方有欺诈行为等情形,或因政策调整、市场变化等客观因素,已经或可能导致企业利益受损,应当按规定程序及时报告,并经双方协商一致,按照规定权限和程序办理合同变更或解除事宜。
变更或解除合同应当由合同双方达成书面协议。变更或解除合同的审核程序与合同订立前的审核程序相同;解除合同还应当报有关部门办理注销手续。企业应当健全合同管理考核与责任追究制度。对合同订立、履行过程中出现的违法违规行为,应当追究有关机构或人员的责任。企业应当建立合同违约处理制度。对方违约的情形,应当按合同条款约定收取违约金;违约金不足以弥补企业损失时,应当要求对方赔偿损失,必要时应采取相应的保全措施。企业自身违约的情形,应当由合同承办部门以书面形式报告企业有关负责人,经批准后履行相应赔偿责任。
2.企业财会部门应当根据合同条款审核后办理结算业务。未按合同条款履约的,或应签订书面合同而未签订的,财会部门有权拒绝付款,并及时向企业有关负责人报告。
十二、内部信息传递控制:主要风险;报告形成;使用
内部信息传递,是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。企业应当加强内部信息传递,全面梳理内部信息传递过程中的薄弱环节,建立科学的内部信息传递机制,明确内部信息传递的内容、保密要求及密级分类、传递方式、传递范围以及各管理层级的职责权限等,促进内部报告的有效利用,充分发挥内部报告的作用。
(一)内部信息传递过程中的主要风险
企业应当关注与内部信息传递有关的下列风险:
1.内部报告系统缺失,功能不健全,内容不完整,可能影响生产经营有序运行。
2.内部信息传递不通畅、不及时,可能导致决策失误、相关政策措施难以落实。
3.内部信息传递中泄露商业秘密,可能削弱企业核心竞争力。
(二)内部报告形成环节的关键控制点及控制措施
1.企业应当根据发展战略、风险控制和业绩考核要求,科学规范不同级次内部报告的指标体系,采用经营快报等多种形式,全面反映与企业生产经营管理相关的各种内外部信息。内部报告指标体系的设计应当与全面预算管理相结合,并随着环境和业务的变化不断进行修订和完善。
2.企业应当制定严密的内部报告流程,充分利用信息技术,强化内部报告信息集成和共享,将内部报告纳入企业统一信息平台,构建科学的内部报告网络体系。企业内部各管理层级应当指定专人负责内部报告工作,重要风险信息应及时上报,并可以直接报告高级管理人员。
3.企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响,广泛收集、分析、整理外部信息,并通过内部报告传递到企业内部相关管理层级,以便采取应对策略。
4.企业应当拓宽内部报告渠道,通过落实奖励措施等多种有效方式,广泛收集合理化建议。企业应当重视和加强反舞弊机制建设,通过设立员工信箱、投诉热线等有效方式,鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。
(三)内部报告使用环节的关键控制点及控制措施
1.企业应当有效利用内部报告进行风险评估,准确识别和系统分析企业生产经营活动中的内外部风险,确定风险应对策略,实现对风险的有效控制。对于内部报告反映出的生产经营管理中存在的突出问题和重大风险,应当启动应急预案。
2.企业应当制定严格的内部报告保密制度,明确保密内容、保密措施、密级程度和传递范围,防止泄露商业秘密。
十三、信息系统控制:主要风险;开发;运用于维护
随着社会信息化进程的迅速推进,信息系统成为不少企业内部管理与控制的关键工具。因此,信息系统的可靠性、安全性已经直接影响着审计工作效率和质量。
(一)信息系统开发、运行与维护过程中的主要风险
企业应当关注与信息系统有关的下列风险:
1.信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
2.系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
3.系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
(二)信息系统开发环节的关键控制点及控制措施
现代企业内部控制系统作为系统化的信息集成系统,其建立和实施应按照信息系统的专业化方法来进行,同时,应确保系统的安全和稳定,以保证企业内部控制系统的有效运行,实现企业内部控制的目标。
企业内部控制系统的实质是企业经营和业务的信息反馈控制过程。要使企业内部控制的信息系统有效,其前提是系统传递的信息必须具有精确完整、经济可靠、灵活及时、简单安全及可验证、可访问等特性。从这个意义上说,企业的内部控制系统,其实质就是一个信息系统,是一个搜集、储存,按照特定的规则和方式加工处理有关资料,并通过反馈机制对资料的获取及处理过程加以修正,获得满足特定目的的信息的过程。
(三)信息系统运行与维护环节的关键控制点及控制措施
信息系统在投入使用前应当至少完成整体测试和用户验收测试,以确保系统的正常运转。信息系统原设计功能未能正常实现时,企业应当指定相关人员负责详细记录,并及时报告归口管理部门。归口管理部门负责系统程序修正和软件参数调整,以实现设计功能。信息系统上线后,发生的功能变更,应当参照系统开发的审批和上线程序执行。企业应当积极倡导采用预防性措施,确保计算机信息系统的持续运行。常见预防性措施包括但不限于日常检测、设立容错冗余、编制应急预案等。
1.企业应当加强信息系统运行与维护的管理,制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
2.企业应当建立用户管理制度,加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作。
【案例题3】A国有大型企业集团公司(以下简称A公司)为加强内部控制制度建设,聘请某会计师事务所在年报审计时对公司所属B、C、D、E 4家全资子公司内部控制制度的健全性和有效性进行检查与评价。检查中发现以下问题:
要求:
1.从内部控制角度,分析、判断并指出B公司、C公司、D公司、E公司内部控制中存在哪些薄弱环节?
(1)B公司对外投资决策失控。经查,该项投资发生于2004年6月,当时B公司董事长谭某经朋友介绍认识了自称是境外甲金融投资公司(以下简称甲公司)总经理的廖某,双方约定,由B公司向甲公司投入1 000万元用于投资,期限1年,收益率20%。考虑到这项投资能给本公司带来巨额回报,为避免错失良机,谭某指令财会部先将1 000万元资金汇往甲公司,之后再向董事会补办报批手续、补签投资协议。财会部汇出资金后向对方核实是否收到汇款时却始终找不到廖某。后经查实,甲公司纯系子虚乌有。
(1)B公司内部控制中存在下列薄弱环节:
①投资决策控制存在缺陷,未履行集体审议联签等决策审批程序 。
②未对投资项目进行分析论证。
③资产投出环节的控制存在缺陷,财会部在明知没有签订投资合同的情况下仍支付对外投资资金,把关不严。
(2)C公司对外担保管理松弛。2009年3月,C公司为乙公司提供100万元贷款担保,公司风险管理部李某根据总经理指示办理此事。由于李某对担保业务不熟悉,C公司也没有相应的管理制度,因此,李某仅凭感觉认为乙公司董事长是本公司总经理的亲属,不会出问题,于是办理了担保手续。此后,乙公司破产,C公司承担连带责任。
(2)C公司内部控制中存在下列薄弱环节:
①控制环境存在薄弱环节,由不熟悉担保业务的李某负责办理担保业务,不符合控制环境中有关员工胜任能力的要求。
②未对乙公司的资产质量、财务状况、经营情况等进行必要的评估。岗位分工控制存在缺陷,由李某一人办理担保业务的全过程不符合岗位分工和不相容岗位相互分离的要求。
③担保时关联方要回避,但是这里没有回避,故不正确。担保决策控制存在缺陷,没有制定担保政策和授权批准制度。
④没有签订担保合同。
(3)D公司工程项目管理混乱。2009年5月,D公司开工建设职工活动中心,2010年6月份完工。工程原定总投资3 500万元,决算金额为3 950万元。据查,该工程由D公司工会提出申请,由工会有关人员进行可行性研究,经D公司董事会审批同意并授权由工会主席张某具体负责工程项目的实施和对工程价款支付的审批。随后,张某私自决定将工程交由某个体施工队承建。在工程即将完工时,施工队负责人向张某提出,职工活动中心应有配套健身设施,建议增建保龄球馆。张某认为这一建议可取,指示工会有关人员提出工程项目变更申请,经其签字批准后实施。在工程完工后,由工会有关人员办理了竣工验收手续,由财务部门将交付使用资产登记入账。职工活动中心交付使用后,发现包括保龄球道在内的多项工程设施存在严重质量问题。
(3)D公司内部控制中存在下列薄弱环节:
①工程项目的可行性研究存在缺陷,不应仅由工会有关人员进行可行性研究。
②公司董事会授权工会主席张某全权负责工程项目实施和工程价款支付的审批,属于授权批准不当。
③工会主席私自决定施工单位,表明该公司授权批准程序存在缺陷。
④工程变更追加预算应经过董事会等决策机构的批准,不能仅由张某一人签字批准。
⑤竣工验收控制不严,不应仅由工会人员进行竣工验收。
(4)E公司重大设备采购控制不严。2009年5月,E公司决定从国外引进两台具有世界领先水平的生产设备。经某客户推荐和联系,E公司指派一副总经理带队赴国外丙公司实地考察。考察期间,考察团仅观看了所要采购设备的图片和影视资料,未进行实地考察和技术测试。双方代表经过谈判,并经各自公司授权批准,签订了采购合同。6月15日,E公司按照合同约定一次性支付了设备款。8月初,两台设备运抵E公司,并在启封、安装后立即投入生产。但在生产过程中,这两台设备多次出现故障。后经专家鉴定,这两台设备系国外淘汰多年的旧机器,丙公司仅仅更换了一些零部件、重新喷涂了油漆就将其出售给了E公司,其实际价值不及售价的十分之一。
(4)E公司内部控制中存在下列薄弱环节:
①采购环节的控制存在缺陷,未对采购设备进行实地考察和技术测试。
②固定资产验收控制存在缺陷,未组织独立的验收部门或指定专人对所购设备进行验收。
该事务所在工作结束后,向A公司管理层通报了内部控制审计的情况。针对所属全资子公司在内部控制方面存在的问题,A公司召开由集团公司领导、各部门负责人和各子公司负责人参加的专门会议进行研究。在讨论过程中,有关人员发言要点如下:
要求:
2.从内部控制角度,分析、判断A公司董事长王某、总会计师赵某、财会部经理孙某在会议发言中的观点有哪些不当之处?简要说明理由。
A公司董事长王某:这几个公司内部控制薄弱给企业和国家财产造成重大损失,教训极其深刻,值得反思。集团公司和各子公司要切实建立健全内部控制制度,不要怕程序复杂,也不要怕审批繁琐,只要能搞好内部控制,花多大代价都值得。
(1)A公司董事长王某认为只要能搞好内部控制,花多大代价都值得的观点不当。
理由:建立、实施内部控制制度应考虑成本效益原则。
A公司总会计师赵某:第一,要强化内部审计,在集团公司财会部增设审计处,专门负责对会计和内部控制制度执行情况的监督。审计处接受财会部领导,但重大问题可以直接向我汇报。第二,严格审批权限,各子公司均实行“一支笔”审批,所有财务收支,无论是工程支出还是日常零星开支,都由各子公司董事长审批。
(2)A公司总会计师赵某提出的在财会部增设审计处,并由财会部具体领导的建议不当。
理由:内部审计应具有相对独立性。
(3)A公司总会计师赵某提出上收审批权限、由各子公司董事长一人审批所有财务开支的建议不当。
理由:不符合授权批准控制的要求。
A公司财会部经理孙某:第一,建议加强对工程项目的预算管理,实行刚性预算,超预算的工程支出一律不予批准;第二,落实固定资产采购责任制,建议由各子公司技术部全权负责办理采购事宜,并建立严格的责任追究机制。
(4)A公司财会部经理孙某提出的对超预算的支出一律不予批准的意见不当。
理由:特殊情况下,根据业务工作需要,经履行审批手续后,可以调整工程项目预算。
(5)A公司财会部经理孙某提出由各子公司技术部全权办理固定资产采购业务的意见不当。
理由:违背了不相容职务相互分离的要求。
