2010年4月26日,五部委联合发布《企业内部控制配套指引》,并制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。甲公司为“纽交所”上市公司,为响应五部委的要求,2010年9月,甲公司(上市公司)召开董事会,针对新公布的相关配套指引展开讨论。会议研究决定责成甲公司管理层在现有内部控制基础上,根据《企业内部控制基本规范》及相关配套指引的制定原则和要求,有效的巩固和健全公司的内部控制制度,并报董事会批准后执行。2010年11月,甲公司管理层向董事会提交了修改后的内部控制制度,其要点如下:
(1)组织机构设立。按照国家有关法律法规、股东(大)会决议和企业章程,明确董事会、监事会、管理层和企业内部各层级机构设置、人员编制、职责权限、工作程序和相关要求的制度安排。单独设立内部审计机构,配备与其职责要求相适应的审计人员,为提高内部审计机构的管理效率,由公司财务总监直接管辖,并对总经理负责。总经理定期将内部审计机构的报告提交给公司董事会下设的审计委员会。
……
(2)建立企业文化。将文化建设融入到生产经营过程中,切实做到文化建设与发展战略的有机结合,增强员工的责任感和使命感,促使员工自身价值在企业发展中得到充分体现。将企业文化的建设与员工思想教育结合起来,提高基层员工的文化素养和内在素质,为避免资源的浪费,对已经取得大学本科以上学历的人员可不再进行培训。
……
(3)风险评估方法。公司应当采用定性的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序。根据风险分析的结果,结合风险承受度,确定风险应对策略。风险策略的选择从风险规避和风险承受两个角度出发,如果可以承受的风险,就选择风险承受,如果无法接受的,就选择风险规避。
……
(4)对外投资控制。由于金融危机的发生,海外投资项目风险加剧,为了有效的监控海外投资产生的风险,对投资项目的可行性研究和评估均由公司总经理和财务总监完成,投资的决策和执行由董事会完成;投资处置的审批由股东大会做出决定,具体执行由董事会进行;投资绩效评估和执行委托为公司提供财务报表审计业务的会计师事务所完成。
……
(5)建立内部控制制度评价制度。公司定期对与实现内部控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。公司对内部控制缺陷进行综合判断,按其严重程度分为重大缺陷、重要缺陷和一般缺陷。管理层负责重大缺陷的整改,接受董事会的监督。审计委员会负责重要缺陷的整改,接受董事会的监督。内部审计机构负责一般缺陷的整改,接受管理层的监督。为了提高内部控制制度评价的工作效率,也为了增强内部控制制度评价的工作质量,公司预备借助中介机构或外部专家实施内部控制评价,安排为公司提供内部控制审计服务的会计师事务所每年实施一次内部控制制度评价工作,并于每年的5月15日提交内部控制评价报告。
……
要求:根据《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》的要求,指出甲公司管理层提交的修改后的内部控制实施方案中各要点的不当之处,并简要说明理由。
【正确答案】:(1)不当之处:内部审计机构由公司财务总监直接管辖,并对总经理负责。总经理定期将内部审计机构的报告提交给公司董事会下设的审计委员会。
理由:内部审计的一个重要部分就是对财务信息的审计,财务会计部就是被审计部门之一,将内部审计部设置在财务会计部下,则很难保证内部审计的独立性。在这种设置方式下,内审机构只是开展部分日常性的审计工作,极大削弱了内部审计的功能和作用,独立性严重受损,因此,这种设置方式是不可取的。
为提高内部审计机构的独立性,便于其与经营管理层的沟通与监督评价,内部审计机构最好由董事会下设的审计委员会进行管理,审计委员会通过批准内部审计机构负责人的任免、工作日程、人员预备计划,费用预算的审查和批准以及和决策管理人员一起复查组织内部审计人员的业绩等方式,与决策管理部门共同承担管理内部审计部门的责任。
(2)不当之处:为避免资源的浪费,对已经取得大学本科以上学历的人员可不再进行培训。
理由:企业文化体现为人本管理理论的最高层次,是希望通过一种无形的文化力量形成一种行为准则、价值观念和道德规范,凝聚整个企业所有成员的归属感、积极性和创造性,并不能够将学历作为标准进行划分,决定是否进行文化教育。
(3)不当之处:公司应当采用定性的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序。
理由:在风险评估的方法中,不仅仅包括定性方法,还包括定量方法,企业应当采用定性和定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定应重点关注和优先控制的风险。
不当之处:风险策略的选择从风险规避和风险承受两个角度出发,如果可以承受的风险,就选择风险承受,如果无法接受的,就选择风险规避。
理由:风险应对的策略不仅仅有风险规避和风险承受,还包括风险降低和风险分担。在权衡了成本效益原则后,可以采用适当的控制措施降低风险或减轻损失,将风险控制在风险承受度之内,这是风险降低。企业可以借助他人的力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内,这是风险分担。
(4)不当之处:对投资项目的可行性研究和评估均由公司总经理和财务总监完成,投资的决策和执行由董事会完成;投资处置的审批由股东大会做出决定,具体执行由董事会进行;投资绩效评估和执行委托为公司提供审计业务的会计师事务所完成。
理由:岗位分工混乱,存在多项不相容岗位混岗现象。投资项目的可行性研究与评估、投资的决策与执行、投资处置的审批与执行、投资绩效评估与执行等均属于不相容职务。
授权不恰当,董事会与股东大会属于是决策和审核机构,不应该过多的介入到公司管理的业务执行中,这样设置,容易出现缺乏监督的业务管理和执行。
对投资绩效评估和执行不应该委托为公司提供财务报表审计业务的会计师事务所完成,对会计师事务所的独立性造成威胁,影响公司的财务报表审计业务。
(5)不当之处:管理层负责重大缺陷的整改,接受董事会的监督。审计委员会负责重要缺陷的整改,接受董事会的监督。内部审计机构负责一般缺陷的整改,接受管理层的监督。
理由:董事会负责重大缺陷的整改,接受监事会的监督。管理层负责重要缺陷的整改,接受董事会的监督。内部有关单位负责一般缺陷的整改,接受管理层的监督。
不当之处:公司预备借助中介机构或外部专家实施内部控制评价,安排为公司提供内部控制审计服务的会计师事务所每年实施一次内部控制制度评价工作,并于每年的5月15日提交内部控制评价报告。
理由:公司预备借助中介机构或外部专家实施内部控制评价时,参与企业内部控制评价的中介机构不得同时为同一企业提供内部控制审计服务。企业应当以12月31日作为年度内部控制评价报告的基准日,也可选择6月30日为基准日。内部控制评价报告应于基准日后4个月内报出。
【该题针对“企业层面控制”知识点进行考核】