1、1企业内部控制体系建设企业内部控制体系建设培训培训手册手册 中和正信会计师事务所有限公司中和正信会计师事务所有限公司 山东中和正信风险管理有限公司山东中和正信风险管理有限公司 20092009年年6 6月月12主要内容体系主要内容体系:一、企业内部控制理论发展概述二、企业内部控制基本规范框架结构及主要内容三、企业内部控制体系设计四、企业内部控制评价2越来越多的外部要求股东股东证券交证券交易所易所内控与全面风险管内控与全面风险管理理政府部门政府部门行业监管行业监管部门部门4 国资委:国资委:中央企业全面风中央企业全面风险管理指引险管理指引4 治理结构治理结构4 财政部:财政部:企业内部企业内部控
2、制基本规范控制基本规范4 萨班斯法案萨班斯法案4 上海证券交易所上市上海证券交易所上市公司内部控制指引公司内部控制指引4 深圳证券交易所上市深圳证券交易所上市公司内部控制指引公司内部控制指引4 4 保险公司风险管理指引(试行)保险公司风险管理指引(试行)4 商业银行操作风险管理指引商业银行操作风险管理指引4 34一、企业内部控制理论发展概述一、企业内部控制理论发展概述美国美国阶阶段段时间时间定义定义内容内容内内部部牵牵制制前3600至1936柯氏会计辞典:以任何个人或部门不能单独柯氏会计辞典:以任何个人或部门不能单独控制任何一项或一部分业务权利的方式,进控制任何一项或一部分业务权利的方式,进行
3、组织上的职责分工,使每项业务通过正常行组织上的职责分工,使每项业务通过正常发挥其他个人或部门的职能进行发挥其他个人或部门的职能进行交叉检查或交叉检查或交叉控制交叉控制。职责分工;交互检职责分工;交互检查。查。四项职能:实物牵四项职能:实物牵制、物理牵制、分制、物理牵制、分权牵制、簿记牵制权牵制、簿记牵制 内内部部控控制制1936年美国注册会计师协会第一次从财务审计角度美国注册会计师协会第一次从财务审计角度提出内部控制概念提出内部控制概念1953年美国注册会计师协会所属的审计程序委员会美国注册会计师协会所属的审计程序委员会对内部控制定义作出修改,把内部控制分为对内部控制定义作出修改,把内部控制分
4、为内部会计控制和管理控制。内部会计控制和管理控制。会计控制由会计控制由“组织计划和所有保护资产、保护会组织计划和所有保护资产、保护会计记录可靠性或与此有关的所有方法和程序构计记录可靠性或与此有关的所有方法和程序构成成”。管理控制管理控制“由组织计划和所有为提高经营效率、由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的所有方法和程序构成与此直接有关的所有方法和程序构成”。授权与批准制度;记帐、授权与批准制度;记帐、编制报表、保管、保护编制报表、保管、保护财务资产等职务分离;财务资产等职务分离;实物控制;内部审计。实
5、物控制;内部审计。统计分析;时动研究;统计分析;时动研究;经营报告;雇员培训计经营报告;雇员培训计划;质量控制等。划;质量控制等。45一、企业内部控制理论发展概述一、企业内部控制理论发展概述美国美国阶段阶段时间时间定义定义内容内容内部控内部控制结构制结构 1988美国注册会计师协会第美国注册会计师协会第55号审计准则公告提出内部号审计准则公告提出内部控制结构这个概念。企业内部控制结构包括为合理控制结构这个概念。企业内部控制结构包括为合理保证企业特定目标的实现而建立的保证企业特定目标的实现而建立的各种政策和程序各种政策和程序。控制环境;控制环境;会计系统;会计系统;控制程序。控制程序。内部控内部
6、控制整合制整合框架框架 1992内部控制是一个由企业董事会、管理层和其他员工内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证实施的、旨在为下列各类目标的实现提供合理保证的的过程过程:经营的有效性和效率、财务报告的可靠性、:经营的有效性和效率、财务报告的可靠性、符合适用的法律和法规。符合适用的法律和法规。控制环境;控制环境;风险评估;风险评估;控制活动;控制活动;信息与沟通;信息与沟通;监督。监督。企业风企业风险管理险管理整合框整合框架架 2004企业风险管理是一个企业风险管理是一个过程过程,它由一个主体的董事会、,它由一个主体的董事会、管理当局和其他人员
7、实施,应用于战略制定并贯穿管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。体目标的实现提供合理保证。1.内部环境内部环境2.目标制定目标制定3.事项识别事项识别4.风险评估风险评估5.风险反应风险反应6.控制活动控制活动7.信息与沟通信息与沟通8.监督监督6企业全面风险管理、内部控制、财务报告内部控制并存在美国,由于企业所处行业、规模大小、发展阶段、管理水平和监管机构的要求不同,导致企业全面风险
8、管理、企业内部控制、财务报告内部控制三者同时存在。监管机构和法律代表投资者的利益,考虑到成本效益原则和注册会计师的专业胜任能力,只要求注册会计师对其财务报告内部控制系统进行评价并出具鉴证意见,是一种实事求是的选择,反而一刀切要求所有企业都要建立全面风险管理体系是不现实的。这样就形成了最新理论是企业全面风险管理,法律法规要求企业建立内部控制体系,对于注册会计师的评价则仅限于财务报告内部控制。6 6 67一、企业内部控制理论发展概述一、企业内部控制理论发展概述中国中国内部牵制阶段 1978年会计人员职权条例 1984年会计人员工作规则 1986年会计工作基础规范会计控制阶段 1999年会计法将“内
9、部控制”当作会计信息“真实与完整”的基本手段之一 2001年至2004年财政部发布内部会计控制基本规范和7个具体规范企业内部控制规范体系阶段 财政部等五部委2008年6月28日发布企业内部控制基本规范企业全面风险管理阶段 2006年6月国务院国资委发布中央企业全面风险管理指引 7美国COSO的内控框架和风险管理框架监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告
10、合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1内控控制框架内控控制框架企业风险管理框架企业风险管理框架8中国中国企业内部控制基本规范企业内部控制基本规范和和中央企业全面风中央企业全面风险管理指引险管理指引财政部:企业内部控制财政部:企业内部控制国资委:中央企业全面风险管理体系国资委:中央企业全面风险管理体系风险管理的监督与改进风险管理的监督与改进 战战略略目目标标报报告告目目标标合合规规目目标标经经营营目目标标减减灾灾目目标标收集风险信息收集风险信息信信息息组组织织文文化化评估风险评估风险制定风险管理策略制定风险管理策略提出和实施风险管理解决方案提出和实施
11、风险管理解决方案风险管理的监督与改进风险管理的监督与改进 战战略略目目标标报报告告目目标标合合规规目目标标经经营营目目标标资资产产安安全全内部环境内部环境公公司司层层面面业业务务单单元元子子公公司司风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督910一、企业内部控制理论发展概述中外对比内部控制标准内部控制标准目标目标要素要素备注备注内部控制整合框架(简称COSO报告1)三个目标:经营的有效性和效率;财务报告的可靠性;符合适用的法律和法规五个要素:控制环境;风险评估;控制活动;信息与沟通;监控企业风险管理整合框架(简称COSO报告2)四个目标:在COSO报告1的基础上,增加
12、了战略目标,将财务报告目标改为报告目标;经营和合规目标未变八个要素:在COSO报告1的基础上,将控制环境目标改为内部环境要素;新增目标设定要素;将风险评估要素进一步细分为事项识别、风险评估和风险应对三个要素;其他三个要素未变内部控制是企业风险管理不可分割的一部分,这份风险管理框架涵盖了内部控制框架中央企业全面风险管理指引五个目标:在COSO报告2的基础上增加了资产保护目标未提出要素概念,第五条指出了风险管理的五大流程,基本上涵盖两个COSO报告的要素内容企业内部控制基本规范五个目标:与中央企业全面风险管理指引的目标相符五个要素:采用了COSO报告1五要素标准1011二、企业内部控制基本规范20
13、06年7月15日,财政部牵头成立跨部门的“企业内部控制标准委员会”,开始研究、制定一套具有统一性、公认性和科学性的企业内部规范研究制定内部控制规范,是经济社会发展的迫切要求,是新形势下监管部门落实科学发展观、服务企业改革与发展的重要举措国际资本市场大力强化内部控制经济健康发展迫切呼唤加强内部控制各级领导高度重视内部控制制度建设1112二、企业内部控制基本规范我国企业内部控制制度体系的基本目标:总结我国经验,借鉴国际惯例,有效利用国际国内资源,充分发挥各方面的积极作用,通过三到五年的努力,基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的内部控制制度体系,以及监管部门为主导、各
14、单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、政府监管和社会评价相结合的内部控制实施体系,推动公司、企业和其他非营利组织完善治理结构和内部约束机制,不断提高经营管理水平和可持续发展能力。1213企业内部控制基本规范框架结构及其主要内容2008年5月22日财政部、证监会、审计署、银监会、保监会以财会20087号文件发布;共七章五十条;自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行;执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。企业内部控制基本规范的发
15、布,是继2006年2月我国企业会计准则、审计准则正式颁布和顺利实施之后,财政、审计、证券监管、银行监管、保险监管和国有资产管理部门同心同德、群策群力,以实际行动落实科学发展观、促进企业和资本市场又好又快发展的又一重大举措。13企业内部控制基本规范的创新与突破构建了一个标准框架。基本规范的制定发布和若干指引的公布征求意见,科学构建了一套内部环境优化、风险评估科学、控制措施得当、信息沟通迅捷、监督制约有力的内部控制框架,初步形成了由基本规范、评价指引、应用指引和鉴证指引四个部分组成的层次分明、内容完整、衔接有序地的内部控制标准体系,有效解决了政出多门、要求不一、企业无所适从的问题。强化了一种内部控
16、制理念。内部控制不仅是一套技术和方法,更是一种精神和理念。基本规范以促进企业可持续发展、维护社会主义市场经济秩序和社会公众利益为宗旨,倡导“爱岗敬业、进取创新、团队协作和遵纪守法”的职业精神,强调建立健全教育、制度与监督并重,惩防并举、重在预防”的反舞弊长效机制,要求企业将有效实施内部控制纳入绩效考评体系,实现了由内部牵制、单一会计控制向全面、全员、全程的风险控制观念转变。14企业内部控制基本规范的创新与突破建立了一套内控措施。控制措施是企业实施内部控制的具体方式,是企业管理的载体和手段。基本规范对授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等提出了严格规范的
17、要求,进一步强化了对财务报告信息和其他管理信息的约束,提高了企业资源管理与利用的安全性和有效性,为维护投资者和社会公众利益提供了有力支持。夯实了一个制度基础。基本规范的制定实施,既是促进企业会计准则体系和其他有关法规制度有效执行的配套制度安排,同时也是推动企业内部各项规章制度令行禁止的重要机制保障。这无论对于巩固企业防范风险舞弊的“防火墙”,还是铸牢促进资本市场健康稳定发展的“安全网”,都将发挥十分重要的基础作用。15企业内部控制基本规范的创新与突破确立了一个实施模式。基本规范确立了以政府部门合力推进为主导、各单位组织实施为基础、会计师事务所等中介机构提供服务支持,自我评价、政府监管和社会评价
18、有机结合的内部控制标准建设与实施模式。这种模式有效化解了标准制定与实施过程中不同利益主体之间可能存在的矛盾和冲突,提高了内控标准的严肃性、权威性和公认性,增强了标准的执行力。构筑了一个联动平台。在环环相扣、相互关联的大会计系统之中,完备的会计法规为会计改革与发展创造良好的法制环境;健全的会计审计准则为提高会计信息质量和做好资本市场信息披露工作提供制度基础;统一的内控规范体系为确保会计审计准则有效实施和维护社会公众利益构筑一道“防火墙”;协调的会计监管为促进会计审计、内部控制目标实现提供机制保障;创新的人才评价机制和会计考试制度为会计事业的发展壮大提供人才保证;科学的信息化标准和业务规范为会计工
19、作现代化提供技术支撑。1617内部控制框架快速解读确保被识别出规避确保被识别出规避风险的控制措施可以风险的控制措施可以及时有效得到实施的及时有效得到实施的政策和程序政策和程序确认内部控制是否进确认内部控制是否进行充分的设计和执行,以行充分的设计和执行,以及是否具备有效性和适应及是否具备有效性和适应性。性。对于影响公司目标对于影响公司目标实现的内部及外部因实现的内部及外部因素的评估素的评估确保相关信息被及确保相关信息被及时识别及传递的过程时识别及传递的过程公司对于内部控制公司对于内部控制的基本态度的基本态度-”来自上来自上层的基调层的基调”战战略略目目标标报报告告目目标标合合规规目目标标经经营营
20、目目标标资资产产安安全全内部环境内部环境公公司司层层面面业业务务单单元元子子公公司司风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督18第一章 总则宗旨和立法依据:加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益。根据公司法、证券法、会计法制定。适用范围:中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。概念目标:内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实
21、完整,提高经营效率和效果,促进企业实现发展战略。1819第一章 总则企业建立与实施内部控制的原则:全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则。基本要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。1920第一章 总则组织实施企业应当根据有关法律法规、本规范及其配套办法,制定本企业的内部控制制度并组织实施。企业应当建立内部控制实施的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。国务院有关部门可以根据法律法规、本规范及其配套办法,明确贯彻实施本规范的具体要求,对企业建立和实施内部控制的情况进行监督检查。接受企业委托从事内部
22、控制审计的会计师事务所,应当根据本规范及其配套办法和相关执业准则,对企业内部控制的有效性进行审计,出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。2021第一章 总则信息技术:企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。2122第二章 内部环境公司治理结构和制衡机制:根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学
23、有效的职责分工和制衡机制。股东(大)会、董事会、监事会、经理层。内部控制的责任主体:董事会负责内部控制的建立健全和有效实施。董事会下设的审计委员会负责审查企业的内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。2223第二章 内部环境内部审计机构:对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺
24、陷,有权向董事会及其审计委员会、监事会报告。人力资源政策主要包括以下内容:员工的聘用、培训、辞退与辞职;员工的薪酬、考核、晋升与奖惩;关键岗位员工的强制休假制度和定期岗位轮 换制度;掌握国家秘密或重要商业秘密的员工离岗的 限制性规定。24第二章 内部环境道德修养、业务能力与教育培训:企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。文化建设、企业精神、管理理念和风险意识:董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则,认真履行岗位职责。法制教育、法律顾问制度和重大法律纠纷案件备案制度
25、2425第三章 风险评估基于控制目标的风险评估要求。内部风险与外部风险、企业整体风险承受能力和业务层面的可接受风险水平。内部风险因素:(一)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。(二)组织机构、经营方式、资产管理、业务流程等管理因素。(三)研究开发、技术投入、信息技术运用等自主创新因素。(四)财务状况、经营成果、现金流量等财务因素。(五)营运安全、员工健康、环境保护等安全环保因素。(六)其他有关内部风险因素。外部风险因素:(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。(二)法律法规、监管要求等法律因素。(三)安全稳定、文化传统、社会信
26、用、教育水平、消费者行为等社会因素。(四)技术进步、工艺改进等科学技术因素。(五)自然灾害、环境状况等自然环境因素。(六)其他有关外部风险因素。2526第三章 风险评估风险分析与排序(分析方法:定性与定量相结合;分析重点:风险发生的可能性及其影响程度;风险分析团队和分析程序。)风险分析结果、风险承受度与高管人员、关键岗位员工的风险偏好。风险应对策略:风险规避、风险降低、风险分担和风险承受。持续性风险评估与风险应对策略的综合运用。2627第四章 控制活动控制类型:手工控制与自动控制、预防性控制与发现性控制。控制措施:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析
27、控制和绩效考评控制等。不相容职务分离控制:要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制 授权审批控制:要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。2728第四章 控制活动会计系统控制:要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的
28、处理程序,保证会计资料真实完整。企业应当依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师。设置总会计师的企业,不得设计与其职权重叠的副职。财产保护控制:要求企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。2829第四章 控制活动预算控制:要求企业实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。运营分析控制:要求企业建立运营
29、情况分析制度,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。绩效考评控制:要求企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。2930第四章 控制活动控制措施的综合运用三类别指引:基本业务类(购、产、销、投融资;货币资金、固定资产、存货、无形资产、衍生工具等);贯穿业务类(预算、担保、合同协议、企业并购、关联交易、成本费用);支持保障类(人力资源、
30、信息技术、内部审计)。重大风险预警机制和突发事件应急处理机制。3031第五章 信息与沟通 信息收集处理制度与沟通制度。信息的有用性和内部信息、外部信息的获取渠道。信息的内部沟通和外部沟通。重要信息的传递要求。信息技术的利用和对信息系统本身的控制。反舞弊机制和工作重点:(一)未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益。(二)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。(三)董事、监事、经理及其他高级管理人员滥用职权。(四)相关机构或人员串通舞弊。举报投诉制度和举报人保护制度。3132第六章 内部监督内部控制监督制度(主体、权限、程序、方法和要求)。日
31、常监督和专项监督。内部控制缺陷认定、原因分析、报告制度、跟踪整改和责任追究。内部控制自我评价(方式、范围、程序、频率、报告)内部控制建立与实施过程的可验证性要求。3233第七章 附则主要规定了解释权限、配套办法、实施日期。33国务院国资委国有企业内部控制框架国务院国资委国有企业内部控制课题组提出了国有企业“12345内部控制基本框架”新模型。一个首要目标:运营效率与效果二层责任主体:董事会(股东)和管理层三条建设主线:治理结构、财务控制和业务控制四大基本原则:强支撑、短流程、高授权和大监督五大保障措施:改善支撑环境、加强风险管理、完善制度流程、促进信息沟通和提高监督能力343435公司层级绩效
32、指标架构图公司层级绩效指标架构图总资产总资产周转率周转率股东权益报酬率股东权益报酬率财务杠杆作用财务杠杆作用总资产报酬率总资产报酬率速动比率速动比率利息保障倍数利息保障倍数净利率净利率应收账款应收账款周转率周转率存货存货周转率周转率应付账款应付账款周转率周转率资金积压资金积压期间期间固定资产固定资产周转率周转率营业收入营业收入成长率成长率产品产品成本率成本率营业营业费用率费用率管理管理费用率费用率财务财务费用率费用率营业外营业外费用率费用率所得税所得税费用率费用率 钱从哪里来?钱从哪里来?明天会不会倒闭?明天会不会倒闭?会不会做生意?会不会做生意?会不会赚钱?会不会赚钱?3637三、企业内部控
33、制体系的设计三、企业内部控制体系的设计(一)企业建立内部控制体系的背景和要求(二)企业建立内部控制体系的标准与框架(三)企业内部控制体系总体框架(四)企业内部控制体系设计的基本流程(五)企业内部控制体系的预期效果38(一)对企业建立内部控制体系的法制要求 政府监管机构和法律法规为维护市场经济秩序和社会公众利益,要求企业加强和规范内部控制 2002年7月,美国总统布什批准了2002年上市公司会计改革和投资者保护法(萨班斯法案),要求上市公司建立内部控制体系并定期作出自我评价,同时由注册会计师出具内部控制审计报告 2006年6月,国务院国资委发布中央企业全面风险管理指引,要求中央企业建立全面风险管
34、理体系。内部控制是企业全面风险管理的组成部分和基础工作 2008年6月,财政部、审计署、证监会、保监会、银监会发布企业内部控制基本规范,适用于大中型企业,2009年7月1日起首先在上市公司范围内施行(一)加强和规范内部控制是企业实现可持续发展的内在需求内部控制是企业实现发展战略的基础工程内部控制是企业贯彻实施法律法规和内部规章制度的有力保证内部控制是企业提升营运效率效果的有效举措内部控制是企业提高财务与非财务信息质量的重要支撑内部控制是企业资产安全的重要保障3940(二)企业内部控制控制标准与框架项目依据、工具和理解企业内部控制标准与框架企业内部控制标准与框架企业内部控制建设的标准与框架,主要
35、为:财政部和证监会等企业内部控制基本规范及指引上交所上市公司内部控制指引 COSO内部控制框架(COSO1)COSO风险管理框架(COSO2)美国公众公司会计监督委员会第5号审计准则(与财务报表审计相结合的财务报告内部控制审计)内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制同风险管理必须实现有机整合,风险是内部控制的对象,内部控制是管理风险的手段。所以,我们不对内部控制和风险管理进行特别区分。COSO内部控制框架(COSO1)和风险管理框架(COSO2),均为我们所参考。41企业全面风险管理企业全面风险管理培育风险管理文化建立健全全面风险管 理体系执行
36、风险管理流程 收集风险管理初始 信息 进行风险评估 制定风险管理策略 提出和实施风险管 理解决方案 风险管理监督与改 进全面风险管理体系全面风险管理体系风险管理组织职能体系风险管理策略内部控制系统风险理财措施风险管理信息系统对现有管理进行整合对现有管理进行整合全过程 风险管理涵盖战略决策、运 营操作、审计与监督、信息 与沟通全过程全员 从董事长开始到最基层员工,都要以风险管理理论为指导,对自己的工作进行反思全部职能管理工作 风险管理涵盖战略、人力资 源、投资、财务、采购、生 产、销售、研发、合规等管 理工作每一个层级 涵盖公司治理结构和管理架 构、集团母公司层面、各个 分支机构、每个业务流程实
37、现内部实现内部控制和风险管理控制和风险管理的统一设计的统一设计42(三)企业内部控制体系总体框架战战略略目目标标报报告告目目标标合合规规目目标标经经营营目目标标资资产产安安全全内部环境内部环境公公司司层层面面业业务务单单元元子子公公司司风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督指导框架指导框架公司环境公司环境管理销售物料管理采购排产组织视图组织视图销售处理检查信用额度确定交付日期询价处理报价处理功能视功能视图图报价客户询价数据视数据视图图询价处理询价已受理询价处理完毕报价处理客户报价询价销售流程视流程视图图客户订单客户询价客户报价产品产品/服务视服务视图图4344内部
38、控制框架快速解读确保被识别出规避确保被识别出规避风险的控制措施可以风险的控制措施可以及时有效得到实施的及时有效得到实施的政策和程序政策和程序确认内部控制是否进确认内部控制是否进行充分的设计和执行,以行充分的设计和执行,以及是否具备有效性和适应及是否具备有效性和适应性。性。对于影响公司目标对于影响公司目标实现的内部及外部因实现的内部及外部因素的评估素的评估确保相关信息被及确保相关信息被及时识别及传递的过程时识别及传递的过程公司对于内部控制公司对于内部控制的基本态度的基本态度-”来自上来自上层的基调层的基调”战战略略目目标标报报告告目目标标合合规规目目标标经经营营目目标标资资产产安安全全内部环境内
39、部环境公公司司层层面面业业务务单单元元子子公公司司风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督45内部环境控制活动控制活动 控制活动是企业根据风险评控制活动是企业根据风险评估结果,采用相应的控制措估结果,采用相应的控制措施,将风险控制在可承受度施,将风险控制在可承受度之内。之内。控制措施一般包括:不相容控制措施一般包括:不相容职务分离控制、授权审批控职务分离控制、授权审批控制、会计系统控制、财产保制、会计系统控制、财产保护控制、预算控制、运营分护控制、预算控制、运营分析控制和绩效考评控制等析控制和绩效考评控制等内部监督内部监督内部监督是企业对内部控制建立与内部监督是企业
40、对内部控制建立与实施情况进行监督检查,评价内部实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷控制的有效性,发现内部控制缺陷,应当及时加以改进。,应当及时加以改进。主要包括:内部监督、缺陷认定、主要包括:内部监督、缺陷认定、控制评价和自我记录等控制评价和自我记录等风险评估风险评估风险评估是企业及时识别、风险评估是企业及时识别、系统分析经营活动中与实现系统分析经营活动中与实现内部控制目标相关的风险,内部控制目标相关的风险,合理确定风险应对策略合理确定风险应对策略风险评估是形成内部控制活风险评估是形成内部控制活动的基础动的基础信息与沟通信息与沟通 信息与沟通是企业及时、准信息与沟通是企
41、业及时、准确地收集、传递与内部控制确地收集、传递与内部控制相关的信息,确保信息在企相关的信息,确保信息在企业内部、企业与外部之间进业内部、企业与外部之间进行有效沟通。行有效沟通。主要包括信息沟通、信息技主要包括信息沟通、信息技术、反舞弊等术、反舞弊等内部环境内部环境 内部环境是企业实施内部控内部环境是企业实施内部控制的基础,一般包括治理结制的基础,一般包括治理结构、机构设置及权责分配、构、机构设置及权责分配、内部审计、人力资源政策、内部审计、人力资源政策、企业文化等企业文化等战战略略目目标标报报告告目目标标合合规规目目标标经经营营目目标标资资产产安安全全内部环境内部环境公公司司层层面面业业务务
42、单单元元子子公公司司风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督内部环境分册示例目目 录录1 1、内部控制体系建设内容、内部控制体系建设内容 概述 诚信与道德价值观 发展目标.管理理念与企业文化 风险管理策略 董事会及下属委员会 组织结构 权利和责任分配人力资源政策与措施员工胜任能力 法律顾问制度及重大法律纠纷案件备案制度.2 2、内部控制体系执行的文件及规范、内部控制体系执行的文件及规范组织结构图员工岗位职责描述权限指引审计委员会的工作程序与自评指引表说明重大法律纠纷案件备案指引控制环境涉及的制度索引46权限指引示例4748内部环境内部环境 内部环境是企业实施内部控内
43、部环境是企业实施内部控制的基础,制的基础,一般包括治理结构、机构设一般包括治理结构、机构设置及权责分配、内部审计、置及权责分配、内部审计、人力资源政策、企业文化等人力资源政策、企业文化等风险评估控制活动控制活动 控制活动是企业根据风险评控制活动是企业根据风险评估结果,采用相应的控制措估结果,采用相应的控制措施,将风险控制在可承受度施,将风险控制在可承受度之内。之内。控制措施一般包括:不相容控制措施一般包括:不相容职务分离控制、授权审批控职务分离控制、授权审批控制、会计系统控制、财产保制、会计系统控制、财产保护控制、预算控制、运营分护控制、预算控制、运营分析控制和绩效考评控制等析控制和绩效考评控
44、制等内部监督内部监督内部监督是企业对内部控制建立与内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷控制的有效性,发现内部控制缺陷,应当及时加以改进。,应当及时加以改进。主要包括:内部监督、缺陷认定、主要包括:内部监督、缺陷认定、控制评价和自我记录等控制评价和自我记录等信息与沟通信息与沟通 信息与沟通是企业及时、准信息与沟通是企业及时、准确地收集、传递与内部控制确地收集、传递与内部控制相关的信息,确保信息在企相关的信息,确保信息在企业内部、企业与外部之间进业内部、企业与外部之间进行有效沟通。行有效沟通。主要包括信息沟通、信息
45、技主要包括信息沟通、信息技术、反舞弊等术、反舞弊等战战略略目目标标报报告告目目标标合合规规目目标标经经营营目目标标资资产产安安全全内部环境内部环境公公司司层层面面业业务务单单元元子子公公司司风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督风险评估风险评估风险评估是企业及时识别、风险评估是企业及时识别、系统分析经营活动中与实现系统分析经营活动中与实现内部控制目标相关的风险,内部控制目标相关的风险,合理确定风险应对策略。合理确定风险应对策略。49风险评估分册示例目录目录1 1 内部控制体系建设内容内部控制体系建设内容1.1 概述1.2 建立风险评估机制1.3 建立并完善风险管理
46、体系2 内部控制体系执行的文件及规范内部控制体系执行的文件及规范2.1 流程描述规范2.2 业务流程目录2.3 风险评估规范2.4 重要会计科目和披露事项确认2.5 财务报表认定指南2.6 重要业务单位确认2.7 公司层面风险及对策分析程序2.8 业务活动层面风险数据库2.9 风险管理规范(试行)2.10风险评估涉及的制度索引风险分类公司层面公司层面业务(流程)层业务(流程)层面面信息系统层信息系统层面面4公司层面风险4原材料价格风险4商品价格风险4行业风险4大股东控制公司经营政策风险4同行业竞争风险4资金风险4法律风险4业务层面风险4业务流程4应用系统4信息系统总体风险4控制环境4信息安全4
47、项目建设管理4变更管理4.50风险应对风险应对风险评估的步骤风险分析风险分析风险识别风险识别目标制定目标制定战略目标经营目标财务报告目标合规目标公司层面公司层面业务(流程)层面业务(流程)层面信息系统层面信息系统层面接受接受转移分担转移分担控制控制可能性可能性影响程度影响程度关闭停业关闭停业风险承受风险承受风险分担风险分担风险降低风险降低可能性可能性影响程度影响程度风险规避风险规避优化流程优化流程内部控制内部控制财产保险财产保险计提准备计提准备动态预警动态预警关闭停产关闭停产资产出售资产出售业务外包业务外包套期保值套期保值51目标设定风险识别风险识别风险分析风险分析风险应对风险应对目标制定目标
48、制定财务报告目标财务报告目标4为公司及时提供真实、准确、为公司及时提供真实、准确、完整的经营管理信息;完整的经营管理信息;4按照按照企业会计准则企业会计准则以及上以及上市地法律监管的相关规定,为市地法律监管的相关规定,为国家相关部门和资本市场及时国家相关部门和资本市场及时提供真实、准确、完整的财务提供真实、准确、完整的财务会计报告,满足国家相关部门会计报告,满足国家相关部门和上市地证券监管机构对财务和上市地证券监管机构对财务会计报告的报送要求;会计报告的报送要求;4防止资产未经授权购置、使用防止资产未经授权购置、使用或转让出售。或转让出售。业务流程业务流程目标目标产品销售流程准确地获取销售数据
49、并及时传递到相关部门、准确确认销售收入等目标对外投资流程投资成本的确认符合相关准则的规定、投资收益及时取得并准确确认等目标52风险识别的方法风险识别风险识别风险分析风险分析风险应对风险应对目标制定目标制定外部专家法头脑风暴法问卷调查法案例分析法行业分析法财务报表分析法流程分析法53 IDS Scheer AG IDS Scheer AG www.ids- www.ids- 5454风险识别的流程示例?确定相关业务流程目录 描述业务流程财务报表认定流程分析,识别风险确定重要会计科目和披露事项确定财务报告目标存在与发生表达与披露完整性权利与义务估价与分摊54 IDS Scheer AG IDS S
50、cheer AG www.ids- www.ids- 5555重要会计科目和披露事项认定?存在与发生表达与披露完整性权利与义务估价与分摊55 IDS Scheer AG IDS Scheer AG www.ids- www.ids- 5656相关业务流程确认?存在与发生表达与披露完整性权利与义务估价与分摊5657 IDS Scheer AG IDS Scheer AG www.ids- www.ids- 5757财务报表认定财务报表认定:通过识别重要会计科目和披露事项中影响财务报告错报的主要因素,从存在与发生、完整性、估价与分摊、权利与义务、表达与披露等五个方面,针对财务报告控制目标,对在内部
