内控要素与高企认定

雁言税语按：7月末的一天周六有机会前往许昌听齐至德老师的内控课。齐老师几近耳顺，在辈分上我可以喊他叔叔，因其家乡多不喜将人喊大，我便称他为“齐哥”。前阶段，我开始研究高企认定专项审计指引，接触到了内控五大要素，以为自己可以应付，硬着头皮整理完与高企认定有关的实质控制，最后回过来时竟然有了一种架空的感觉。偶然一次机会，看见朋友圈齐哥的课程大纲，碰巧的是大纲当中的一块就是我目前暂缺的。我想可能天意如此，不去听课都不成。“7.27”齐哥内控课程圆满完成，感谢他不辞辛苦地为广大学子带来精彩的课程以及有关企业内控管理的解答。

内控起源和内控三维度框架

内控理论和其他学说一样不是凭空产生的，是在失败教训的经验基础之上建立的。

上世纪80年代，美国企业虚假财务报告层出不穷，致使许多大公司突现经营失败；虚假财务报告的问题引起了立法机构、政府监管机构和职业组织空前的关注。在这一背景下，1985年，美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际内部审计师协会(IIA)、管理会计师协会(IMA)、财务经理协会(FEI)发起成立了一个民间组织“反对虚假财务报告委员会”，该委员会认为应该建立一个统一的、可操作的内部控制框架。后来，这五个发起组织成立了一个委员会，即“SO”委员会，建立之初的目的是负责研究开发一个内部控制的权威性定义和指南。

SO历经数年，在1992年公布最终报告《内控整合架构》（通常被称为SO报告），在世界上第一次提出了系统性的内部控制框架，得到最广泛认可，也成为内控的始祖。SO对内部控制的定义为：受企业董事会、管理层和其他职员共同作用，为实现经营效果性和效率性、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。

借鉴内控始祖对内控控制框架的描述，该框架是三维架构：第一维是合理、有效保证经营效率和效果，财报可靠性和对法律的遵循；第二维由内控五要素（内控环境、风险评估、控制活动、信息沟通以及监控）构成，五要素相辅相成，共同发挥作用保证企业目标得以合理实现；第三维提到企业内部的任何业务单位或者经营活动同样需要五要素的相互作用，才能达到业务单位或者经营活动目标。笔者给该框架取名为“内控三维度框架”，该框架见下图：

高新技术企业内部控制VS高企认定有关的控制活动

高新技术企业内部控制是申请高新技术企业资格的单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序，有利于企业自我识别和评估重大错报风险、设计，也是注册会计师审计程序的前提。但是，高新技术企业内部控制宗旨和注册会计师审计目的截然不同，注册会计师是对申报企业编制的申报明细表作出评价，并非对企业所有的控制发表审计意见。另外，高企内部控制系统和高企认定有关的控制活动还是与些许差别，借用上面提到的“内控三维度框架”，与高企认定有关的控制活动属于内控体系的第三维度。

高新技术企业内部控制五要素：内控环境，风险评估，控制活动，信息系统和沟通，以及对控制的监督

高企内部控制是完整的体系，企业建立与实施有效的内部控制应当包括下列要素：内部环境，风险评估，控制活动，信息系统和沟通，以及对控制的监督。高企内控各要素关系如下图所示：

（一）内部环境

控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。在以业务流程为主导过程中，以下情况会被纳入到高企内部控制当中：（1）对诚信和道德价值观念的沟通与落实；（2）对胜任能力的重视；（3）治理层的参与程度；（4）管理层的理念和经营风格；（5）组织结构；（6）职权与责任的分配；（7）人力资源政策与实务。

控制环境对下一步的重大错报风险的评估具有广泛影响，也会影响进一步审计程序的性质、时间和范围。令人满意的控制环境并不能绝对防止舞弊的发生，却有助于降低发生舞弊的风险。

控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报。企业在评估重大错报风险时，应当将控制环境连同其他内部控制要素产生的影响一并考虑。例如，将控制环境与对控制的监督和具体控制活动一并考虑。

（二）风险评估

风险评估过程的作用是识别、评估和管理影响申报企业实现经营目标的各种风险。

在评价申报企业风险评估过程的设计和执行时，企业应当确定管理层如何识别与申报明细表相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。

（三）信息系统和沟通

信息系统与沟通是收集与交换申报企业执行、管理和控制业务活动所需信息的过程。信息系统与沟通的质量直接影响到管理层对经营活动作出正确决策和编制可靠申报明细表的能力。

高新技术企业应当从下列方面了解与申报明细表相关的信息系统：

（1）在申报企业经营过程中，对申报明细表具有重大影响的各类交易；（2）在信息技术和人工系统中，交易生成、记录、处理和报告的程序；（3）与交易生成、记录、处理和报告相关的会计记录、支持性信息和申报明细表中的特定项目；（4）信息系统如何获取除各类交易之外的对申报明细表具有重大影响的事项和情况的信息；（5）申报企业编制申报明细表的过程。

与申报明细表相关的沟通通常包括使员工了解各自在与申报明细表有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。企业内审部门应关注如何对与申报明细表相关的岗位职责，以及与申报明细表相关的重大事项进行沟通，还应当了解管理层与治理层（特别是审计委员会）之间的沟通，以及申报企业与外部（包括监管部门）的沟通。

（四）控制活动

控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。

在了解控制活动时，内部审计部门应当重点考虑一项控制活动单独或连同其他控制活动是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。

（五）对控制的监督

管理层的重要职责之一就是建立和维护控制并保证其持续有效运行，对控制的监督可以实现这一目标。一言以蔽之，监督就是由适当的人员在适当、及时的基础上，评估控制的设计和运行情况的过程。持续的监督活动通常贯穿于申报企业的日常经营活动与常规管理工作中。

需要指出的是：在信息来源上，申报企业可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价，以找出内部控制的优点和不足，并提出改进建议；也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。在某些情况下，外部信息（如顾客投诉和监管机构的意见）可能显示内部控制存在的问题和需要改进之处。

高新技术企业内控要素原则

内控五要素是相辅相成，不可或缺，共同作用的结果。内控到位需要满足几点要求：完整性、制衡性、重要性、适应性和成本效益原则。其中，完整性和适应性对整个体系意义重大。

完整性要求指的是具体到业务整条的证据能形成完整链条，俗话说就是能“串”起来，专业术语即“穿行测试”。

适应性，也称有效性原则，要求内部控制与企业经营规模、业务范围、竞争状况等相适应，并随时加以调整。该原则要求企业在制定内部控制时候要有前瞻性，能够适时对内控进行评估，发现问题，并制定相应解决问题的措施。

与高新技术企业申报有关的控制活动

高新技术企业内部控制体系，包括内部控制要素、研究开发费用相关的控制活动和信息系统和高新技术产品（服务）收入相关的控制活动和信息系统。前者是前提和基础，后两者是高新技术企业认定申请具化的重要组成部分。

研究开发费用、高新技术产品（服务）收入内控前期以业务流程为主线，确定可能出现差错的环节，制定纠错机制，以及必要的穿行测试。在实质控制环节，建议结合《高新技术企业认定申请书》内容，有效将具体内控措施贯彻到位，进而提高高新技术企业认定通过率。

确定控制对象与研究开发费用结构明细表或者高新技术产品（服务）收入明细表认定的对应关系，分发生、准确性、完整性、截止、分类、列报六类。具体内涵为：

发生：所申报项目的相关数据在所属会计期间已真实发生，且与申报项目有关；

完整性：所有应当记录的申报项目均已记录；

准确性：与申报项目有关的金额及其他数据均已恰当记录。

截止：所申报项目已记录于正确的会计期间。

分类：所申报项目已记录于恰当的账户。

列报：所申报项目已按照《高新技术企业认定管理工作指引》（国科发火〔2016〕195号）的规定恰当地列报和披露。

综上，与高企认定申请有关的控制活动并不是凭空产生的，它起源于企业的内部控制，是企业内控体系的重要组成部分；同时，该控制活动的完善也会反作用于企业，对整个内控系统提出更高要求。作为申请认定高新技术资格的企业，尤其是规模小的企业，如果自身内控制度不够完善，不妨借用申请认定这个契机，由小做大，以点带面来逐步完善企业自身内控体系，毕竟，合规是企业经营前提。但是，合规需要付出一定的代价，而这个代价必定需要经历一次又一次痛苦的蜕变。