1、主讲教师:李萌内部控制五要素 内部控制五大要素l 五大要素内部环境、风险评估、控制活动、信息与沟通、 内部监督l (一)内部环境。内部环境是企业实施内部控制的基(一)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。计、人力资源政策、企业文化等。(二)风险评估。风险评估是企业及时识别、系统分(二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。定风险应对策略。l (三)控制活动
2、。控制活动是企业根据风险评估(三)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受结果,采用相应的控制措施,将风险控制在可承受度之内。度之内。 (四)信息与沟通。信息与沟通是企业及时、准(四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。在企业内部、企业与外部之间进行有效沟通。(五)内部监督。内部监督是企业对内部控制建(五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效立与实施情况进行监督检查,评价内部控制的有效
3、性,发现内部控制缺陷,应当及时加以改进性,发现内部控制缺陷,应当及时加以改进。l (1)内部环境)内部环境 l 内部环境是企业实施内部控制的基础,支配着企业全体员工的内部环境是企业实施内部控制的基础,支配着企业全体员工的内控意识,影响着全体员工实施控制活动和履行控制责任的态内控意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。度、认识和行为。 l 财政部会计司司长刘玉廷解读财政部会计司司长刘玉廷解读企业内部控制配套指引企业内部控制配套指引 l 内部环境类指引有内部环境类指引有5项,包括组织架构、发展战略、人力资源项,包括组织架构、发展战略、人力资源、企业文化和社会责任等指引、企
4、业文化和社会责任等指引。l (所谓控制环境是指董事会、企业管理者的管理理念、风险偏好,企业文化等影响内部控制运行的各种因素。这是其他内部控制要素发挥作用的基础。这些因素是企业内部控制的基础。l 主要包括:管理者的经营风格和经营理念、董事会及审计委员会、组织结构与权责分派体系、人员的品行与素质、人力资源政策及实务、管理控制方法、外部影响)l (组织架构、发展战略、人力资源、企业文化和社会责任)(2 2)风险评估)风险评估 COSOCOSO报告认为,环境和风险评估是提高企业内报告认为,环境和风险评估是提高企业内控效率和效果的关键。控效率和效果的关键。 风险是指事件本身的不确定性,具客观性风险是指事
5、件本身的不确定性,具客观性 如何评估?如何评估? 首先,找出风险点,即关键控制点首先,找出风险点,即关键控制点其次,看有无有效的控制措施其次,看有无有效的控制措施 最后,提出有针对性的建议措施最后,提出有针对性的建议措施 l 具体某一业务流程具体某一业务流程:l 首先首先,了解内控;通过咨询、调查表形式(在,了解内控;通过咨询、调查表形式(在关键控制点设置问题);关键控制点设置问题);l 其次其次,检查措施执行情况,如,检查措施执行情况,如“采购采购”,有无,有无询价环节、高价购入、对库存材料质量调查,是询价环节、高价购入、对库存材料质量调查,是否购进不需要的物资、价高的物资、重复付款;否购进
6、不需要的物资、价高的物资、重复付款;l 最后最后,采取措施,审批问题,询价招标采购问,采取措施,审批问题,询价招标采购问题,验收问题,付款的批准(定单、合同、入库题,验收问题,付款的批准(定单、合同、入库单、质检报告、发票等才能付款)单、质检报告、发票等才能付款)l 整体风险评估:整体风险评估:l 以财务指标为核心的指标体系,以财务指标为核心的指标体系,l 财务风险(到期债务)经营风险、技术风险,政财务风险(到期债务)经营风险、技术风险,政策风险,市场风险,汇率、利率风险,环保风险策风险,市场风险,汇率、利率风险,环保风险。l 财政部:绩效评价体系财政部:绩效评价体系l (2 2)风险评估,)
7、风险评估, COSOCOSO报告认为,环境和风险评估是提高企报告认为,环境和风险评估是提高企业内控效率和效果的关键。业内控效率和效果的关键。 所谓风险评估指管理层识别并采取相应的行动来管理对所谓风险评估指管理层识别并采取相应的行动来管理对经营、财务报告、符合性目标有影响的内部和外部的风险。经营、财务报告、符合性目标有影响的内部和外部的风险。包括风险识别和风险分析。包括风险识别和风险分析。 企业的风险主要来源于:经营环境的变化;聘用新的人企业的风险主要来源于:经营环境的变化;聘用新的人员;采取新的或改良的信息系统;新技术的应用;新的行业员;采取新的或改良的信息系统;新技术的应用;新的行业、产品或
8、经营活动的开发;企业改组;海外经营;新会计方、产品或经营活动的开发;企业改组;海外经营;新会计方法的应用。法的应用。l 第二十条第二十条 企业应当根据设定的控制目标,全面企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时系统持续地收集相关信息,结合实际情况,及时进行风险评估。进行风险评估。l第二十一条第二十一条 企业开展风险评估,应当准确识企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。确定相应的风险承受度。风险承受度是企业能够承担的风险限度,包括整风险承受度是企业能够承担的风险限度,
9、包括整体风险承受能力和业务层面的可接受风险水平。体风险承受能力和业务层面的可接受风险水平。l第二十二条第二十二条 企业识别内部风险,应当关注下列因素企业识别内部风险,应当关注下列因素:(一)董事、监事、经理及其他高级管理人员的职业操守、(一)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。员工专业胜任能力等人力资源因素。(二)组织机构、经营方式、资产管理、业务流程等管理因(二)组织机构、经营方式、资产管理、业务流程等管理因素。素。(三)研究开发、技术投入、信息技术运用等自主创新因素(三)研究开发、技术投入、信息技术运用等自主创新因素(四)财务状况、经营成果、现金流
10、量等财务因素。(四)财务状况、经营成果、现金流量等财务因素。(五)营运安全、员工健康、环境保护等安全环保因素(五)营运安全、员工健康、环境保护等安全环保因素(六)其他有关内部风险因素。(六)其他有关内部风险因素。 l 第二十三条企业识别外部风险,应当关注下第二十三条企业识别外部风险,应当关注下列因素:列因素:(一)经济形势、产业政策、融资环境、市场竞争、(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。资源供给等经济因素。(二)法律法规、监管要求等法律因素。(二)法律法规、监管要求等法律因素。(三)安全稳定、文化传统、社会信用、教育水平(三)安全稳定、文化传统、社会信用、教育水
11、平、消费者行为等社会因素。、消费者行为等社会因素。(四)技术进步、工艺改进等科学技术因素。(四)技术进步、工艺改进等科学技术因素。(五)自然灾害、环境状况等自然环境因素。(五)自然灾害、环境状况等自然环境因素。(六)其他有关外部风险因素。(六)其他有关外部风险因素。l 第二十四条企业应当采用定性与定量相结合的方法,按照第二十四条企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。排序,确定关注重点和优先控制的风险。企业进行风险分析,应当充分吸收专业人员,组成风险分
12、企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。准确性。l 第二十五条企业应当根据风险分析的结果,结合风险承受度第二十五条企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。,权衡风险与收益,确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。
13、因个人风险偏好给企业经营带来重大损失。l 第二十六条企业应当综合运用风险规避、风险降低、风险分担第二十六条企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。和风险承受等风险应对策略,实现对风险的有效控制。风险规避是企业对超出风险承受度的风险,通过放弃或者停止风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。与该风险相关的业务活动以避免和减轻损失的策略。风险降低是企业在权衡成本效益之后,准备采取适当的控制措风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度
14、之内的策略。施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。风险分担是企业准备借助他人力量,采取业务分包、购买保险风险分担是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。等方式和适当的控制措施,将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险,在权衡成本效益之风险承受是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。后,不准备采取控制措施降低风险或者减轻损失的策略。l 第二十七条企业应当结合不同发展阶段和业务第二十七条企业应当结合不同发展阶段和业务拓展情况,持续
15、收集与风险变化相关的信息,进拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略行风险识别和风险分析,及时调整风险应对策略。l (3) 控制活动控制活动 所谓控制活动指企业对所确认的风险采取必要的措施,以所谓控制活动指企业对所确认的风险采取必要的措施,以保证企业目标得以实现的政策和程序。保证企业目标得以实现的政策和程序。l 有关控制活动包括:有关控制活动包括: 业绩评价业绩评价 信息处理:信息处理: 包括一般控制与应用控制包括一般控制与应用控制 职责分离职责分离 : 包括业务授权与业务执行;业务执行与业务包括业务授权与业务执行;业务执行与业务记录;业务记录与业务
16、稽核记录;业务记录与业务稽核 实物控制:现金、存货、固定资产、有价证券实物控制:现金、存货、固定资产、有价证券 l 控制措施一般包括:控制措施一般包括:l 1.不相容职务相互分离控制不相容职务相互分离控制l 2.授权审批控制授权审批控制l 3.会计系统控制会计系统控制l 4.财产保护控制财产保护控制l 5.预算控制预算控制l 6.运营分析控制运营分析控制l 7.绩效考评控制绩效考评控制l 8.重大风险预警机制和突发事件应急处理机制重大风险预警机制和突发事件应急处理机制l 企业可能授予其分公司购置不超过企业可能授予其分公司购置不超过50万元固定资万元固定资产的权限,只要拟购置的固定资产价格低于产
17、的权限,只要拟购置的固定资产价格低于50万万元,分公司都可以自行决定,这就是所谓的一般元,分公司都可以自行决定,这就是所谓的一般授权。对于超过授权。对于超过50万元的固定资产购置,则可能万元的固定资产购置,则可能要求分公司提前要求分公司提前3个月编制预算,并报请总公司批个月编制预算,并报请总公司批准,这就是所谓的特殊授权。准,这就是所谓的特殊授权。(4)信息与沟通)信息与沟通信息与沟通是及时、准确地收集、传递与内部控制相关的信信息与沟通是及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业外部之间进行有效沟通。重息,确保信息在企业内部、企业外部之间进行有效沟通。重要信息应当及时
18、传递给董事会、监事会和经理层。要信息应当及时传递给董事会、监事会和经理层。企业必须识别、捕捉、交流外部和内部信息企业必须识别、捕捉、交流外部和内部信息 沟通使员工了解其职责,保持对财务报告的控制沟通使员工了解其职责,保持对财务报告的控制 1.信息质量信息质量2.沟通制度沟通制度3.信息系统信息系统4.反舞弊机制反舞弊机制(5)内部监督)内部监督 内部监督是企业对内部控制建立与实施情况进行内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。缺陷,应当及时加以改进。 内部监督分为日常监督和专项监督
19、:内部监督分为日常监督和专项监督:日常性监控,如企业管理层、部门主管及相关岗位日常性监控,如企业管理层、部门主管及相关岗位的职员。的职员。 特设内部审计机构的监控,保证内部审计机构的特设内部审计机构的监控,保证内部审计机构的独立性、权威性。独立性、权威性。 日常监督日常监督是指企业对建立与实施内部控制的情况进是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。行常规、持续的监督检查。专项监督专项监督是指在企业发展战略、组织结构、经营活是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。有针对性的监督检查。
