在实际工作中,一些企业的内部控制和风险管理工作由不同机构负责。对此,企业可以对有关机构和业务进行整合,从工作内容、目标、要求以及具体工作执行的方法、程序等方面,将内部控制建设和风险管理工作有机结合起来,避免职能交叉、资源浪费、重复劳动,降低企业管理成本,提高工作效率和效果。
5.对于《企业内部控制配套指引》尚未规范的领域,应如何处理?
答:由于企业所面临的客观环境和自身的经营管理活动比较复杂,目前的《企业内部控制配套指引》仅对企业常见的、一般性生产经营过程的主要方面和环节进行了规范。在建设与实施内部控制的过程中,对于《企业内部控制配套指引》尚未规范的业务领域,企业应当遵循《企业内部控制基本规范》的原则和要求,按照内部控制建设与实施的基本原理和一般方法,从企业经营目标出发,识别和评估相关风险,梳理关键业务流程,根据风险评估的结果,制定和执行相应控制措施。
6.如何权衡内部控制的实施成本与预期效益?
答:企业按照《企业内部控制基本规范》及其配套指引的要求建设与实施内部控制,必然需要支付一定的成本,可能会发生内部控制制度和流程的设计与实施费用、聘请专业机构提供咨询服务费用、建立融入内部控制要求的信息系统费用、聘请会计师事务所开展内部控制审计费用,等等。建设与实施内部控制应当从提高企业长期效益出发,从促进企业可持续发展出发,将内部控制作为一项常规性工作,贯穿于企业管理之中,加大投入。同时,应当按照重要性原则,关注重要业务事项和高风险领域,抓住关键风险控制点。集团性企业可以采取分类试点、逐步推广的方式,选择下属不同类型的企业试点,形成范本,减少重复建设。
聘请会计师事务所开展内部控制审计是建设与实施内部控制的重要环节,是检验内部控制有效性的重要手段和有力保证。内部控制审计费用是企业实施内部控制规范体系应当承担的成本,企业应安排相应经费确保审计工作的及时、有效开展。内部控制审计是一项区别于财务报告审计的独立业务,企业应就该项业务与会计师事务所签订单独的业务约定书。同时,企业也应权衡审计成本与审计效益,在业务约定书中明确有关费用标准,并对会计师事务所审计资源的投入和审计质量提出明确要求。
7.如何协调好内部控制与其他管理体系的关系?
答:内部控制贯穿于整个企业管理,与其他管理体系相辅相成、密不可分,是企业管理的重要组成部分。企业现有管理体系的设计、运行以及审核认证需要遵循已经发布的国家标准或行业标准。这些标准与企业内部控制规范体系的原则和要求并不矛盾。在实际工作中,个别企业的内部控制体系建设与管理体系运行发生冲突,原因可能是企业采用的方式方法出现了偏差,如简单照搬内部控制应用指引的规定,没有考虑企业的实际情况,为控制而控制,导致控制设计不合理,出现控制过度或控制冗余;也可能是企业经营管理部门对内部控制的重要性认识不足,不愿意受到更多的牵制和监督,从而以影响经营效率和目标为借口,拒绝必要的内部控制;等等。对此,企业应当立足管理现状,全面梳理各项管理制度和管理体系,从管理体制、机制以及落实各级权利责任等方面,将内部控制的要求融入各项管理体系中,形成内部控制的长效机制,使内部控制真正为经营管理服务;应当从总体目标出发,通过培训教育提高企业经营管理人员对内部控制的理解和认识,将内部控制的要求纳入绩效考核体系以加强执行;可以利用信息技术固化业务流程,提高业务处理效率和信息共享水平,从而尽可能减少内部控制与其他经营管理体系的冲突。
8.企业如何确定内部控制缺陷的认定标准?
答:查找并纠正企业内部控制设计和运行中的缺陷,是开展企业内部控制评价的一项重要工作,是不断完善企业内部控制的重要手段。由于企业所处行业、经营规模、发展阶段、风险偏好等存在差异,《企业内部控制基本规范》及其配套指引没有对内部控制缺陷的认定标准进行统一规定。企业可以根据《企业内部基本规范》及其配套指引,结合企业规模、行业特征、风险水平等因素,研究确定适合本企业的内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。企业确定的内部控制缺陷标准应当从定性和定量的角度综合考虑,并保持相对稳定。通过不断的实践,总结经验,形成一套行之有效的内部控制缺陷认定方法。