在对单位负责人和财务主管进行会计舞弊的惩罚力度方面,我国 《会计法》、《企业财务会计报告条例》等法规规定, 单位负责人、单位主管会计工作的负责人、会计机构负责人应在财务会计报告上签名盖章。中国证监会在案件查处时, 一直严格依法对所有负有责任的以上人员作出处罚, 但并没要求他们事先公开做出承诺。前不久证监会修改后的《年报准则》规定,2005年上市公司公布年报时, 公司负责人、主管会计工作负责人及会计机构负责人(会计主管人员) 必须声明:“保证年度报告中财务报告的真实、完整”, 便是借鉴了SOX要求上市公司公开披露信息中附有首席执行官和首席财务主管的承诺函的规定。但这还是远远不够的, 相对于SOX的一系列严厉惩罚措施, 我国对于会计舞弊事件中当事人的惩罚措施无疑过于仁慈,SOX中对于公司首席执行官、财务主管最高可处以500万美圆的罚款或20年监禁, 只有这样的力度才能成为真正威慑会计舞弊者的铁拳。
在我国,《会计法》、《审计法》、《独立审计准则》等虽然都有论及建立健全内部控制体系,但是没有具体可行的规定,尚不能够形成内部控制整体框架。目前,证监会仅要求证券公司根据“证券公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审,没有对证券公司之外的其它公司管理层进行财务报告内部控制有效性评价提出强制性规定。因此,应尽快加强企业内部控制有效性评价方面的立法工作,以及内部审计和独立审计等行业准则的规定,为提高企业内部控制管理提供外部监督和指导。加强立法工作,使财务报告内部控制有效性的评价做到有法可依。
3.公司的内控文化
企业文化是随着现代工业文明的发展,企业组织在一定的民族文化传统中逐渐形成的具有企业特征的基本观念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方法和行为方式的总和。企业文化往往是现存的一种无形的力量,影响企业成员的思维方法和行为方式。在企业成长的过程中,文化对企业产生的许多影响都被纳入企业行为的原始部位,处于行为动机的意识层面之下,以至于文化的作用往往被人们所忽视。企业文化在企业经营管理中的重要性,是其不可避免的影响着企业的内部控制,企业在培养自身文化时,应避免一种只注重内部短期的企业文化,保持一种健康的文化氛围,使其与公司战略目标趋于一致。企业文化包括道德及行为标准以及如何在业务中沟通与强化该标准,企业中正式的政策文件等只能书面表达管理阶层想让什么发生,而企业化则决定什么会发生。COSO 报告特别强调“人”在内部控制中的作用,一个企业的人力资源政策直接影响到企业中每一个人的业绩和表现。良好的人力资源政策,对培养企业的员工,提高企业员工的素质,更好地贯彻执行内部控制有很大的帮助,并对公司员工进行讲解程序,提高员工的风险和控制意识。5.3.2 内部控制风险的识别和评估
内控部门可以通过的风险管理目标设立来帮助锁定内控计划的关键活动,然后需要仔细研究控制活动并识别出每一个活动所涉及的风险。在这一步中,内控部门要尽量识别出每个控制活动所涉及的所有风险,而不要去评估风险的可能性和影响。当然,会影响到公司运营的外部风险也同样需要加以识别。一旦你已经完成了识别风险的工作,内控部门就需要把他们收集、整理并记录下来。
接下来要进行风险评估,这是提高企业内部控制效果的关键。当今企业间竞争越来越激烈,企业经营风险不断提高,其内部控制的机制也需要相应地提高。而我们对于内部控制的研究,我们须以环境及其风险的分析入手。企业管理者运用一系列的风险评估的方法、技术、程序等对企业的风险进行全面的分析,判断企业所受的风险性质与程度。董事会和管理人员充分认识和评价企业所面临的风险,及时采取措施控制和化解风险,减少损失。
内控部门需要对所有列在风险登记簿上的风险进行评估其严重性,从而决定是否需要采取减轻的措施。我们有许多方法来对风险进行分类。其中,一种风类方法是将其发生的可能性和发生后对计划影响的严重性(上面的步骤已近制定的)来进行分类。我们也可以用下面的表格对风险进行评估分类:
发
生
的
可
能
性
高发生可能
低影响程度
高发生可能
高影响程度
低发生可能
低影响程度
低发生可能
高影响程度
对计划的影响程度(财务成本)
这个步骤让内控部门对风险有了进一步的识别,并发现主要的风险。上面这个表只有两个坐标轴,也只有高和低至分,而内控部么可以选择更多的参数。风险被分为四类,坐下角的风险可以被认为是在可接受的风险标准之内的。在右上角中的风险是被认为要立刻采取措施的,这类风险有高的法生可能性,而它们一旦发生对我们在运营方面的影响又将是巨大的,它们还可能带来一系列法律问题。而剩下的两个象限就可以不需要马上采取行动,但是这并不意味着内控部门就无动于衷,要防止它们变成右上角的风险。在完成了上面这个风险评估表后,内控部门同样需要在风险登记簿进行更新。
5.3.3 计划和实施内部控制活动
在完成了主要风险的识别和后,我们需要解决的问题是如何去控制管理这些主要的风险。这个步骤的目的是要达成控制活动的方法和制定一个计划来规定相应得责任人和时间表来使控制计划得以顺利地实施。一般而言,上面表中在左下角的风险并不需要增加控制活动,在右上角中的风险是被认为要立刻采取一个或多个措施的,因为这类风险有高的法生可能性,而它们一旦发生对我们在运营方面的影响又将是巨大的,它们还可能带来一系列法律问题。而剩下的两个象限就可以采取一些控制来降低它的风险。
内部控制部门所需要做的是减少风险,而这可以通过减少风险发生的可能性或是减少其发生后的影响来实现。如果现有的控制活动对风险控制没有起到应有的作用,那么就要设立新的控制活动来替代,而控制活动可以分为以下几类:
预防性的:如职权的分离,设置密码和准入;
跟踪性的:如异常报告,帐务核对;
威慑性的:如程序文件,监督审核; 上一页 1 2 3 4 5 6 7 8 9 10 11 下一页
本文版权归原作者所有,如需转载或摘录请注明出处:论文网
无相关信息