1、内部控制体系建设基础知识2012年6月n 主题一:公司内部控制要求主题一:公司内部控制要求n 主题二:内部控制与风险管理的关系主题二:内部控制与风险管理的关系n 主题三:如何构建有效的内控体系主题三:如何构建有效的内控体系 方法论与案例方法论与案例分享分享汇 报 提 纲2008年6月财政部、证监会、审计署、银监会和保监会联合发布企业内部控制基本规范(“基本规范”) 2009年7月1日在上市公司范围内实行; 鼓励非上市的大中型企业执行; 上市公司需对内部控制的有效性进行自我评价,并披露年度自我评价报告; 可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计(非强制,可选择)企 业
2、 内 部 控 制 基 本 规 范企业内部控制基本规范配套应用指引18项评价指引审计指引实施时间与实施范围: 自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。实施要求: 执行企业内部控制规范的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。 上市公司聘请的会计师事务所应当具有证券、期货业务资格;非上市大中型企业聘请的会计师事务所也可以是不
3、具有证券、期货业务资格的大中型会计师事务所。企 业 内 部 控 制 基 本 规 范在颁布基本规范之后,财政部又颁布了三个指引性文件:内部控制应用指引内部控制评价指引内部控制鉴证指引18个指引1个指引1个指引制定/发布 部门 财政部会同国务院有关部门财政部会同国务院有关部门财政部会同中国注册会计师协会目的为管理层建立内部控制提供具体指引为企业进行内部控制有效性的自我评价提供具体指引为注册会计师对内部控制的有效性进行审计提供具体指引 自财政部等五部委于2008年6月联合颁布基本规范以来,相关部门积极完善相关的具体指引文件。企 业 内 部 控 制 基 本 规 范 基本规范定义的内部控制五要素考虑对中
4、国企业有针对性的要求,并与COSO框架下的控制要素大体一致。内部控制五要素企 业 内 部 控 制 基 本 规 范董事会董事会负责内部控制的建立健全和有效实施。监事会监事会对董事会建立与实施内部控制进行监督。经理层经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。审计委员会审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况。责 任 体 系企 业 内 部 控 制 基 本 规 范内部环境内部环境涵盖企业文化和治理、权责分配、审计委员会、内部审计、人力资源政策、职业道德规范等方面。实施时需考虑事项风险
5、评估风险评估采用全面系统的方法对内外部的风险进行评估、分析和排序,确定应对措施并就风险变化调整应对策略。信息技术信息技术运用信息技术减少或消除人为操纵因素。反舞弊机制反舞弊机制建立反舞弊机制、举报投诉制度和举报人保护制度。企业内部控制基本规范要点解读p 适用范围:适用范围:中华人民共和国境内设立的大中型企业,上市公司p 内控目标:内控目标:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果、促进企业实现发展战略p 内控要素:内控要素:内部环境/风险评估/控制活动/信息与沟通/内部监督p 激励约束:激励约束:各责任单位及全体员工实施内控的情况纳入绩效考评p 外
6、审要求:外审要求: 1)可以聘请会计师事务所对内控有效性进行审计,出具审计报告; 2)提供内控咨询的事务所,不得同时为同一企业提供内控审计服务企业内部控制基本规范要点解读(续) 强化了企业对内部控制的投入与外部监管力度强化了信息的外部沟通扩大了适用范围强化反舞弊机制与信息沟通相结合在内部监督和公司治理结构方面更好地与国际接轨企业内部控制基本规范解读-内控环境企业内部控制基本规范解读-风险评估 风险组织:* 吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性风险承受: *应准确识别与实现控制目标相关的内外部风险,确定相应的风险承受度风险对策: *根据风险分析结果
7、,结合风险承受度,权衡风险与收益,确定风险应对策略企业内部控制基本规范解读-控制活动 控制方法: *手工控制与自动控制 *预防性控制与发现性控制控制措施: *不相容职务分离/授权审批/会计系统控制/财产保护/ *预算控制/运营分析控制/绩效考评控制 等特殊机制: *建立重大风险预警机制和突发事件应急处理机制, *明确风险预警标准 *制定紧急预案, 应对可能发生的重大风险或突发事件企业内部控制基本规范解读-信息与沟通 信息沟通: * 明确内控相关信息的收集、处理和传递程序 * 重要信息应及时传递给董事会、监事会和经理层信息技术: * 利用稳定的信息系统,促进信息集成与共享反舞弊机制:* 建立反舞
8、弊机制:重在预防/突出重点/规范程序举报机制: * 建立举报投诉制度和举报人保护制度; * 设置举报专线企业内部控制基本规范解读-内部监督 监督制度: * 明确内审机构和其他内部机构在内部监督中的职责权限; * 内部监督分为日常监督和专项监督缺陷认定: * 制定内部控制缺陷认定标准; * 分析缺陷的性质和产生原因,提出整改方案,及时向董事会 监事会或经理层报告; * 内部控制缺陷包括设计缺陷和运行缺陷; * 跟踪缺陷整改情况,重大缺陷追究责任人的责任自我评价: * 定期对内控有效性进行自评,出具内控自评报告; * 内部控制自我评价的方式、范围、程序和频率,自行确 定(法律法规另有规定的,从其规
9、定)上海证券交易所上市公司内部控制指引 上海证券交易所于2008年12月4日颁布关于做好上市公司2008年履行社会责任的报告及内部控制自我评价报告披露工作的通知以及随后分别于2008年12月31日和2009年1月8日发布的关于做好上市公司2008年年度报告工作的通知和上市公司2008年年度报告工作备忘录第一号-内部报告和社会责任报告的编制和审议文件中,规定在其交易所上市的“上证公司治理板块”样本公司(231家)、发行境外上市外资股的公司(49家)及金融公司(21家),参照上海证券交易所上市公司内部控制指引或基本规范,在披露2008年年度报告时,同时披露公司内部控制的自我评价报告,并鼓励其他有条
10、件的公司进行同样的披露。此外,上海证券交易所也鼓励上市公司聘请审计机构对公司内部控制进行核实评价,并披露审计机构的核实评价意见。上海证券交易所上市公司内部控制指引摘要u融合了内部控制和风险管理框架u覆盖面广公司层面、公司下属部门及附属公司层面、公司各业务环节层面业务流程的各个方面,如:生产环节包括拟定生产计划、开出用料清单、储存原材料、投入生产、计算存货生产成本、计算销货成本、质量控制等与计算机信息系统相关的控制u专项风险的内部控制u内部控制的检查监督应包括的必备事项:收购和出售资产、关联交易、衍生品交易、提供财务资助、为他人提供担保、募集资金使用、委托理财等u内部控制的信息披露公司董事会应在
11、年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见1深圳证券交易所上市公司内部控制指引 深圳证券交易所于2008年12月31日颁布关于做好上市公司2008年年度报告工作的通知,要求在其交易所上市的公司按照基本规范和深圳证券交易所上市公司内部控制指引的规定,对内部控制的有效性进行审议评估,编写内部控制自我评价报告,并由董事会审议通过后对外披露。深圳证券交易所亦鼓励上市公司聘请审计机构就公司财务报告内部控制情况出具鉴证报告。深圳证券交易所上市公司内部控制指引摘要u融合了内部控制和风险管理框架u覆盖面广公司层面、公司下属部门及附属公司层面、公司各
12、业务环节层面业务流程的各个方面:对控股子公司管理控制、关联交易内部控制、对外担保内部控制、募集资金使用内部控制、重大投资内部控制、信息披露内部控制。u内部控制的检查和披露公司内部控制自查制度和年度内部控制自查计划公司董事会出据内部控制自我评价报告。监事会和独立董事应对此报告发表意见。注册会计师在对公司进行年度审计时,就公司财务报告内部控制情况出具评价意见。n 主题一:公司内部控制要求主题一:公司内部控制要求n 主题二:内部控制与风险管理的关系主题二:内部控制与风险管理的关系n 主题三:如何构建有效的内控体系主题三:如何构建有效的内控体系方法论与案例分方法论与案例分享享汇 报 提 纲THANK
13、YOUSUCCESS2022-5-1125可编辑n 主题一:公司内部控制要求主题一:公司内部控制要求n 主题二:内部控制与风险管理的关系主题二:内部控制与风险管理的关系n 主题三:如何构建有效的内控体系主题三:如何构建有效的内控体系 - - 方法论与案例方法论与案例分享分享汇 报 提 纲美国管理学大师开普兰、诺顿教授认为:不能衡量就不能管理;不能描述就不能衡量。内控也是如此!内控体系建设方法论的选择?以要素为对象以流程为对象无所谓谁好谁坏强调的重心不一样二者要结合现实选择内控体系建设方法论1以风险为导向2以流程为对象3以控制为手段4以制度为平台风险管理一般流程存在哪些风险?流程图分析;财务报表
14、分析;哪些风险应予以考虑?风险原因?风险后果及严重程度?建立风险数据库;风险分类管理;风险分级管理。风险评估程序以流程为对象建立业务流程目录编制业务流程图谁做什么怎么做证据战略发展管理支持经营业务如何确定主要业务流程?ARIS 平台以控制为手段上市公司进行风险评估和流程的描述,是为了以流程为载体,实现控制风险的目标。对业务流程及业务流程中存在的风险,应依据风险应对策略,设计相应的风险控制措施,并融入到具体流程描述中,实现流程、风险和控制的一致性。如何根据风险评估结果确定控制活动?目标分解到确认的主要业务流程,在业务层面进行各业务流程的风险识别及评估;在风险分析的基础上,继续进行控制活动设计和业
15、务流程的描述;在业务层面通过业务流程中的控制活动减少影响目标实现的风险。以制度为平台“以制度为平台”开展企业内部控制体系建设主要基于以下两个方面的考虑:第一,内部控制体系本身的实施需要制度作为支持平台,包括岗位职责、各部门的管理制度,以分清各部门权责,明确具体业务的规范,并组织监督内部控制体系的有效运行;第二、完善的内部控制体系不仅仅包含风险、流程和控制等显要素,还包括职业道德、反舞弊、权力和责任分配等隐性要素,必须通过制度来实施相关的要求。上市公司在内部控制过程建设过程中,应按照制度收集、分析和完善的程序,以实现公司风险、流程、控制和制度的统一。建议:机构和计划的建立是成功的关键因素风险识别/流程梳理/建立控制/完善制度是核心工作检查和监督是建设的重要组成部分董事会评估和披露是最终要求和灯塔THANK YOUSUCCESS2022-5-1149可编辑