財政部

關于印發企業內部控制規范體系實施中相關問題解釋第1號的通知

財會〔2012〕3號


中共中央直屬機關事務管理局，鐵道部、國務院機關事務管理局，解放軍總后勤部、武警部隊后勤部，各省、自治區、直轄市、計劃單列市財政廳（局），新疆生產建設兵團財務局，各中央管理企業、上市公司：
　　《企業內部控制基本規范》（財會〔2008〕7號）及其配套指引已于2011年1月1日起在境內外同時上市的公司和部分在境內主板上市的公司實施和試點。具體執行過程中，企業反映了一些問題，我部會同證監會、審計署、銀監會、保監會對這些問題進行了研究，并征求了有關上市公司、咨詢公司等單位的意見，在此基礎上制定了《企業內部控制規范體系實施中相關問題解釋第1號》。經會簽證監會、審計署、銀監會、保監會，現予印發。
　　附件：企業內部控制規范體系實施中相關問題解釋第1號　

　　
　　　　　　　　　　　　　　　　　　　　　　　　　　　 　　財政部　　
　　　
　　　　　　　　　　　　　　　　　　　　　　　 　　二〇一二年二月二十三日



附件：

企業內部控制規范體系實施中相關問題解釋第1號

　　根據財政部等五部委的要求，《企業內部控制基本規范》（財會〔2008〕7號）及其配套指引已于2011年1月1日起在境內外同時上市的69家公司實施。同時，財政部、證監會又選擇了200多家在境內主板上市的公司進行試點。實施一年總體進展順利，但也存在一定問題。為推動《企業內部控制基本規范》及其配套指引的順利實施，現對有關問題解釋如下：
　　1.如何把握企業內部控制規范體系的強制性與指導性的關系？
　　答：在實施試點中，一些企業反映，《企業內部控制基本規范》及其配套指引的規定是否需要逐條執行。
　　《企業內部控制基本規范》是內部控制建設與實施應該遵循的基本原則和總體要求，具有強制性，納入實施范圍的企業應當遵照執行�！镀髽I內部控制配套指引》（財會〔2010〕11號，包括18個應用指引、1個評價指引和1個審計指引）是對《企業內部控制基本規范》相關規定的進一步補充和說明，具有指導性和示范性，納入實施范圍的企業可以結合所在行業要求和企業自身特點，參照配套指引的規定開展內部控制建設與實施工作。
　　2.已經完全按照境外監管機構要求建設與實施內部控制的境內外同時上市的公司，是否需要執行我國的企業內部控制規范體系？
　　答：目前，許多國家和地區對公眾公司內部控制都有相關的規定和要求。我國企業內部控制規范體系在充分借鑒國際上先進經驗和做法的同時，更多地適應了我國國情，尤其是充分考慮了我國目前法律法規體系、公司治理結構、企業管理體制、風險管控實務等具體情況，提出了內部控制的目標、原則、要素等，且不局限于財務報告內部控制，更多突出全面內部控制的要求。因此，境內外同時上市的公司應當在滿足境外監管機構要求的基礎上，對照我國企業內部控制規范體系，特別是應當圍繞《企業內部控制基本規范》提出的內部控制五目標，對相關控制措施進行適當調整或補充完善。
　　3.企業按照企業內部控制規范體系建設與實施內部控制，是否還需要遵守我國行業主管部門和市場監管部門對內部控制的有關要求？
　　答：《企業內部控制基本規范》及其配套指引是對不同行業、各類企業提出的一般性要求，具有普適性。行業主管或監管部門對所轄企業的內部控制管理規定，是不同行業內部控制的特殊要求，也是《企業內部控制基本規范》的重要補充。企業應當按照《企業內部控制基本規范》及其配套指引規定和行業管理、市場監管的要求，建設與實施內部控制。
　　4.如何協調好內部控制與風險管理的關系？
　　答：《企業內部控制基本規范》及其配套指引，充分吸收了全面風險管理的理念和方法，強調了內部控制與風險管理的統一。內部控制的目標就是防范和控制風險，促進企業實現發展戰略，風險管理的目標也是促進企業實現發展戰略，二者都要求將風險控制在可承受范圍之內。因此，內部控制與風險管理二者不是對立的，而是協調統一的整體。
　　在實際工作中，一些企業的內部控制和風險管理工作由不同機構負責。對此，企業可以對有關機構和業務進行整合，從工作內容、目標、要求以及具體工作執行的方法、程序等方面，將內部控制建設和風險管理工作有機結合起來，避免職能交叉、資源浪費、重復勞動，降低企業管理成本，提高工作效率和效果。
　　5.對于《企業內部控制配套指引》尚未規范的領域，應如何處理？
　　答：由于企業所面臨的客觀環境和自身的經營管理活動比較復雜，目前的《企業內部控制配套指引》僅對企業常見的、一般性生產經營過程的主要方面和環節進行了規范。在建設與實施內部控制的過程中，對于《企業內部控制配套指引》尚未規范的業務領域，企業應當遵循《企業內部控制基本規范》的原則和要求，按照內部控制建設與實施的基本原理和一般方法，從企業經營目標出發，識別和評估相關風險，梳理關鍵業務流程，根據風險評估的結果，制定和執行相應控制措施。
　　6.如何權衡內部控制的實施成本與預期效益？
　　答：企業按照《企業內部控制基本規范》及其配套指引的要求建設與實施內部控制，必然需要支付一定的成本，可能會發生內部控制制度和流程的設計與實施費用、聘請專業機構提供咨詢服務費用、建立融入內部控制要求的信息系統費用、聘請會計師事務所開展內部控制審計費用，等等。建設與實施內部控制應當從提高企業長期效益出發，從促進企業可持續發展出發，將內部控制作為一項常規性工作，貫穿于企業管理之中，加大投入。同時，應當按照重要性原則，關注重要業務事項和高風險領域，抓住關鍵風險控制點。集團性企業可以采取分類試點、逐步推廣的方式，選擇下屬不同類型的企業試點，形成范本，減少重復建設。
　　聘請會計師事務所開展內部控制審計是建設與實施內部控制的重要環節，是檢驗內部控制有效性的重要手段和有力保證。內部控制審計費用是企業實施內部控制規范體系應當承擔的成本，企業應安排相應經費確保審計工作的及時、有效開展。內部控制審計是一項區別于財務報告審計的獨立業務，企業應就該項業務與會計師事務所簽訂單獨的業務約定書。同時，企業也應權衡審計成本與審計效益，在業務約定書中明確有關費用標準，并對會計師事務所審計資源的投入和審計質量提出明確要求。
　　7.如何協調好內部控制與其他管理體系的關系？
　　答：內部控制貫穿于整個企業管理，與其他管理體系相輔相成、密不可分，是企業管理的重要組成部分。企業現有管理體系的設計、運行以及審核認證需要遵循已經發布的國家標準或行業標準。這些標準與企業內部控制規范體系的原則和要求并不矛盾。在實際工作中，個別企業的內部控制體系建設與管理體系運行發生沖突，原因可能是企業采用的方式方法出現了偏差，如簡單照搬內部控制應用指引的規定，沒有考慮企業的實際情況，為控制而控制，導致控制設計不合理，出現控制過度或控制冗余；也可能是企業經營管理部門對內部控制的重要性認識不足，不愿意受到更多的牽制和監督，從而以影響經營效率和目標為借口，拒絕必要的內部控制；等等。對此，企業應當立足管理現狀，全面梳理各項管理制度和管理體系，從管理體制、機制以及落實各級權利責任等方面，將內部控制的要求融入各項管理體系中，形成內部控制的長效機制，使內部控制真正為經營管理服務；應當從總體目標出發，通過培訓教育提高企業經營管理人員對內部控制的理解和認識，將內部控制的要求納入績效考核體系以加強執行；可以利用信息技術固化業務流程，提高業務處理效率和信息共享水平，從而盡可能減少內部控制與其他經營管理體系的沖突。
　　8.企業如何確定內部控制缺陷的認定標準？
　　答：查找并糾正企業內部控制設計和運行中的缺陷，是開展企業內部控制評價的一項重要工作，是不斷完善企業內部控制的重要手段。由于企業所處行業、經營規模、發展階段、風險偏好等存在差異，《企業內部控制基本規范》及其配套指引沒有對內部控制缺陷的認定標準進行統一規定。企業可以根據《企業內部基本規范》及其配套指引，結合企業規模、行業特征、風險水平等因素，研究確定適合本企業的內部控制重大缺陷、重要缺陷和一般缺陷的具體認定標準。企業確定的內部控制缺陷標準應當從定性和定量的角度綜合考慮，并保持相對穩定。通過不斷的實踐，總結經驗，形成一套行之有效的內部控制缺陷認定方法。
　　企業在開展內部控制監督檢查中，對發現的內部控制缺陷，應當及時分析缺陷性質和產生原因，并提出整改方案，采取適當形式向董事會、監事會或者管理層報告。對于重大缺陷，企業應當在內部控制評價報告中進行披露。
　　財政部將會同證監會、審計署、銀監會、保監會等有關部門，根據首次執行和試點情況，分行業、分類型總結企業的內部控制缺陷認定標準，供參考。
　　9.實施《企業內部控制基本規范》及其配套指引的企業，是否需要設置專門的內部控制機構？
　　答：根據《企業內部控制基本規范》的規定，企業董事會負責內部控制的建立健全和有效實施。為便于董事會履行好企業內部控制規范體系的設計、建立、運行與改進方面的職責，董事會應當指定專門委員會負責指導內部控制建設與實施工作。一般情況下企業應當成立專門機構負責組織協調內部控制的建立實施及日常工作。
　　對于少數企業受制于崗位編制、專業人員等條件限制，目前尚不具備成立專門的內部控制管理機構的，可暫將內部控制管理職能劃歸現有機構。隨著企業內部控制建設的持續深入和相關條件的不斷成熟，企業應考慮成立專門機構，保證有足夠的資源支持和協調內部控制工作的開展，確保內部控制工作的相對獨立性。
　　10.如何編制和披露企業內部控制評價報告？
　　企業內部控制評價是企業董事會對內部控制有效性進行全面評價、形成評價結論、出具評價報告的過程。開展內部控制評價，可以及時發現和糾正企業內部控制建設與實施中存在的問題，并持續自我完善。企業可以獨立開展內部控制評價工作，也可以委托不承擔本企業內部控制審計的中介機構協助開展內部控制評價工作。
　　根據《企業內部控制基本規范》、《企業內部控制評價指引》的要求，我們制定了企業內部控制評價報告的格式，供企業編制評價報告時參考，企業也可以根據實際情況對具體的報告方式作適當調整，但有關內容原則上應體現在年度報告中。
　　附：XX公司20xx年度內部控制評價報告



附：

XX公司20xx年度內部控制評價報告

xx公司全體股東：
　　根據《企業內部控制基本規范》及其配套指引的規定和要求，結合本公司（以下簡稱公司）內部控制制度和評價辦法，在內部控制日常監督和專項監督的基礎上，我們對公司內部控制的有效性進行了自我評價。
　　一、董事會聲明
　　公司董事會及全體董事保證本報告內容不存在任何虛假記載、誤導性陳述或重大遺漏，并對報告內容的真實性、準確性和完整性承擔個別及連帶責任。
　　建立健全并有效實施內部控制是公司董事會的責任；監事會對董事會建立與實施內部控制進行監督；經理層負責組織領導公司內部控制的日常運行。
　　公司內部控制的目標是：〔一般包括合理保證經營合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進實現發展戰略〕。由于內部控制存在固有局限性，故僅能對實現上述目標提供合理保證。
　　二、內部控制評價工作的總體情況
　　公司董事會授權內部審計機構〔或其他專門機構〕負責內部控制評價的具體組織實施工作，對納入評價范圍的高風險領域和單位進行評價〔描述評價工作的組織領導體制，一般包括評價工作組織結構圖、主要負責人及匯報途徑等〕。
　　公司〔是/否〕聘請了專業機構〔中介機構名稱〕提供內部控制咨詢服務；公司〔是/否〕聘請了專業機構〔中介機構名稱〕協助開展內部控制評價工作；公司〔是/否〕聘請會計師事務所〔會計師事務所名稱〕對公司內部控制進行獨立審計。
　　三、內部控制評價的范圍
　　內部控制評價的范圍涵蓋了公司及其所屬單位的主要業務和事項〔列明評價范圍占公司總資產比例或占公司收入比例等〕，重點關注下列高風險領域：
　　〔列示公司根據風險評估結果確定的內部控制前“十大”主要風險〕
　　納入評價范圍的單位包括：
　　〔無需羅列單位名稱，而是描述納入評價范圍單位的行業性質、層級等〕
　　納入評價范圍的業務和事項包括（根據實際情況調整，未盡事項可以充實）：
　　（一）組織架構
　�。ǘ�）發展戰略
　�。ㄈ�）人力資源
　�。ㄋ模┥鐣�責任
　�。ㄎ澹┢髽I文化
　�。�六）資金活動
　�。ㄆ撸┎少彉I務
　　（八）資產管理
　�。ň牛╀N售業務
　�。ㄊ�）研究與開發
　�。ㄊ�一）工程項目
　�。ㄊ�二）擔保業務
　�。ㄊ�三）業務外包
　�。ㄊ�四）財務報告
　�。ㄊ�五）全面預算
　　（十六）合同管理
　�。ㄊ�七）內部信息傳遞
　�。ㄊ�八）信息系統
　　上述業務和事項的內部控制涵蓋了公司經營管理的主要方面，不存在重大遺漏。
　�。ㄈ绱嬖谥卮筮z漏）公司本年度未能對以下構成內部控制重要方面的單位或業務（事項）進行內部控制評價：
　　〔逐條說明未納入評價范圍的重要單位或業務（事項），包括單位或業務（事項）描述、未納入的原因、對內部控制評價報告真實完整性產生的重大影響等〕
　　四、內部控制評價的程序和方法
　　內部控制評價工作嚴格遵循基本規范、評價指引及公司內部控制評價辦法規定的程序執行〔描述公司開展內部控制檢查評價工作的基本流程〕。
　　評價過程中，我們采用了（個別訪談、調查問題、專題討論、穿行測試、實地查驗、抽樣和比較分析）等適當方法，廣泛收集公司內部控制設計和運行是否有效的證據，如實填寫評價工作底稿，分析、識別內部控制缺陷〔說明評價方法的適當性及證據的充分性〕。
　　五、內部控制缺陷及其認定
　　公司董事會根據基本規范、評價指引對重大缺陷、重要缺陷和一般缺陷的認定要求，結合公司規模、行業特征、風險偏好和風險承受度等因素，研究確定了適用本公司的內部控制缺陷具體認定標準，并與以前年度保持了一致〔描述公司內部控制缺陷的定性及定量標準〕，或作出了調整〔描述具體調整標準及原因〕。
　　根據上述認定標準，結合日常監督和專項監督情況，我們發現報告期內存在〔數量〕個缺陷，其中重大缺陷〔數量〕個，重要缺陷〔數量〕個。重大缺陷分別為：〔對重大缺陷進行描述，并說明其對實現相關控制目標的影響程度〕。
　　六、內部控制缺陷的整改情況
　　針對報告期內發現的內部控制缺陷（含上一期間未完成整改的內部控制缺陷），公司采取了相應的整改措施〔描述整改措施的具體內容和實際效果〕。對于整改完成的重大缺陷，公司有足夠的測試樣本顯示，與重大缺陷〔描述該重大缺陷〕相關的內部控制設計且運行有效（運行有效的結論需提供90天內有效運行的證據）。
　　經過整改，公司在報告期末仍存在〔數量〕個缺陷，其中重大缺陷〔數量〕個，重要缺陷〔數量〕個。重大缺陷分別為：〔對重大缺陷進行描述〕。
　　針對報告期末未完成整改的重大缺陷，公司擬進一步采取相應措施加以整改〔描述整改措施的具體內容及預期達到的效果〕。
　　七、內部控制有效性的結論
　　公司已經根據基本規范、評價指引及其他相關法律法規的要求，對公司截至20xx年12月31日的內部控制設計與運行的有效性進行了自我評價。
　�。ù嬖谥卮笕毕莸那樾危﹫蟾嫫趦�，公司在內部控制設計與運行方面存在尚未完成整改的重大缺陷〔描述該缺陷的性質及其對實現相關控制目標的影響程度〕。由于存在上述缺陷，可能會給公司未來生產經營帶來相關風險〔描述該風險〕。
　�。ú淮嬖谥卮笕毕莸那樾危﹫蟾嫫趦�，公司對納入評價范圍的業務與事項均已建立了內部控制，并得以有效執行，達到了公司內部控制的目標，不存在重大缺陷。
　　自內部控制評價報告基準日至內部控制評價報告發出日之間〔是/否〕發生對評價結論產生實質性影響的內部控制的重大變化�！踩绱嬖冢�描述該事項對評價結論的影響及董事會擬采取的應對措施〕。
　　我們注意到，內部控制應當與公司經營規模、業務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時加以調整�！埠喴�描述下一年度內部控制工作計劃〕未來期間，公司將繼續完善內部控制制度，規范內部控制制度執行，強化內部控制監督檢查，促進公司健康、可持續發展。

　　　　　　　　　　　　　　　　　　　　　　　　　　　 　董事長：〔簽名〕
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　XX公司
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　20xx年xx月xx日