解读内部控制讲义.docx
《解读内部控制讲义.docx》由会员分享,可在线阅读,更多相关《解读内部控制讲义.docx(17页珍藏版)》请在冰点文库上搜索。
解读内部控制讲义
《企业内部控制基本规范》培训
一、第一部分内部控制概念
(一)萨班斯法案产生之背景
安然,世通等知名公司相继暴露出严重的管理层欺诈丑闻,使美国上市公司深陷信用危机。
会计系统的漏洞、管理层的失职、内部控制的缺乏以及外部审计人员的道德风险是导致管理层欺诈丑闻的根本原因。
重建公司信用,规范高级管理层与注册会计师关系和职业道德的要求刻不容缓。
2002年6月,布什总统签署的萨班斯-奥克斯利法案正式生效,该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,故简称《萨班斯-奥克斯利法案》。
该法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订,在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。
(二)出台目的
-重建公司信用,培育公众信心,振兴证券市场。
-加强公司监管,规范业务运作。
-增加财务报告与信息披露的透明度。
-确保公司管理层可以从有效监控的系统中获取重要信息。
-公司管理层必须对美国证券管理委员会要求存档的材料和向投资者公布的信息承担责任。
(三)萨宾斯法案(Sarbanes-OxleyAct)要求
–以强化内部控制为核心的要求
二、我国内部控制的发展
2006年,财政部、国资委、证监会、审计署、银监会和保监会联合发起成立企业内部控制标准委员会。
2006年,11月8日,企业内部控制标准委员会发布了《企业内部控制规范—基本规范》和17个具体规范的征求意见稿
2008年6月28日,五部委(没有国资委)联合发布了我国首部《企业内部控制基本规范》,并于2009年7月1日起首先在上市公司范围内实施。
2010年4月15日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》
自2011年1月1日起在境内外同时上市的公司施行,
自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;
在此基础上,择机在中小板和创业板上市公司施行。
三、控制概念阐述
1定义:
内部控制是指为确保实现企业目标而实施的程序和政策。
内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。
2内涵
(1)控制
现在,不是会计控制,而是风险为导向的控制,强调的是企业的管理层角度的管理控制,而会计控制是内部控制的一个组成部分。
(2)管理
风险可能来自运营效果与效率;财务报告与经营信息真实可靠;执行法律规章合理合法,内部控制应当保证为企业的有效运营,使企业有能力规避、应对风险。
(3)流程
内控是控制的一个过程,这个过程是需要全员的参与,上到董事会、管理层、监事会,下到各级员工,都需要参与进来。
(4)合理保证
内部控制是一种合理保证,但它也存在局限性,因此不是一种绝对保证
内控理念:
发展阶段:
业务流程建立和完善。
建立规范化流程,使工作例行化,减少不增值活动。
成熟阶段:
业务流程优化。
评估现有流程,优化流程,提高流程的运作效率降低流程成本。
战略转型阶段:
业务流程重组。
全面评估流程根据战略重新设计和整合流程,适应新的战略和变化。
(四)企业存在的潜在风险
(1)财务和经营信息不足:
为了防范企业法律责任,确保财务报告信息真实可靠,提升企业治理和经营管理水平,应当强化财务报告内部控制。
(2)政策、计划、程序、法律和标准贯彻:
政策规章、计划程序贯彻应站在集团整体全面角度及连续性考虑贯彻标准,防止潜在财务税务风险。
(3)资产流失:
管理者意识淡薄,经营管理不善;项目不成功未达到预期目标;资产重组并购存在漏洞;资产处置流程存在缺陷等等,造成资产流失。
(4)资源浪费和无效使用:
资源的配置的方式不合理、资源的未充分利用或过度消费性使用造成的损失。
可存在产品设计阶段;产品制造阶段等。
(5)不能达到企业的目的和目标:
未实现企业销售收入、利润、费用等经营目标。
第二部分内部系统整体架构
一个过程内部控制绝不是静态的
全体人员内部控制绝不是某一层次人员的任务
内部控制绝不是某一部门的任务
内部控制绝不是某一个单独实体的任务
三个目标合法合规+运营有效+财务可靠1、运营效果与效率
覆盖业务的发生到业务记录的全过程2、财务数据的可靠性
3、法规合约承诺遵循程度
五个要素控制环境+风险评估+控制活动+信息与沟通+监督
宏观与微观的结合、有形控制与无形控制的结合
合理保证内部控制是有局限
第三部分内部控制五要素
一、控制环境
内部环境控制是企业实施内部控制的基础,支配着企业全体员工的内控意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。
内部环境处于内部控制五大要素之首。
内部环境包含组织基调,具体内容包括:
组织架构、发展战略人力资源政策、社会责任企业文化等。
(一)组织架构的本质,可从治理结构和内部机构两个层面理解。
1、治理结构
涉及股东(大)会、董事会、监事会和经理层。
企业应当根据国家有关法律法规的规定,按照决策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序等。
2、内部机构
内部机构的设计是组织架构设计的关键环节。
只有切合企业经营业务特点和内部控制要求的内部机构,才能为实现企业发展目标发挥积极促进作用。
层级
职位
任务
内控职责
决策层
董事长、董事
企业理念文化、企业目标、中长期战略目标。
负责内部控制的建立健全和有效实施,科学对管理层进行监督。
管理层
总裁、总监
实现经营目标、组织生产、销售等。
内部控制的主体,对组织的内部控制负责。
执行层
部长、员工
解决具体问题,完成工作任务,提高工作效率。
所有员工都在实现内部控制中承担相应职责并发挥积极作用。
(1)企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
(2)企业应当对各机构的职能进行科学合理的分解,确定具体岗位的名称、职责和工作要求等,明确各个岗位的权限和相互关系。
(3)企业内部各级员工必须获得相应的授权,才能实施决策或执行业务,严禁越权办理。
3、内部审计
按照五部委规范规定,企业应当在董事会下设审计委员会,并保证审计委员会及其成员的独立性。
审计委员会在企业内部控制设计和实施中承担的职责一般包括:
①审计企业内部控制及其实施情况,并向董事会作出报告。
②指导企业内部审计机构的工作,监督检查企业的内部审计制度及其实施情况。
③处理有关投诉与举报,督促企业建立畅通的投诉与举报途径。
④审计企业的财务报告及有关信息披露内容。
⑤负责内部审计与外部审计之间的沟通协调。
未设立审计委员会的企业,应当由董事会授权或者企业章程规定的有关机构承担上述职责。
(二)发展战略
企业在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的中长期发展目标与战略规划。
发展战略可以分为发展目标和战略规划两个层次。
1、企业发展目标作为指导企业生产经营活动的准绳,通常包括:
盈利能力、生产效率、市场竞争地位、技术领先程度、生产规模、组织结构、人力资源、用户服务、社会责任等。
2、战略规划应当明确企业发展的阶段性和发展程度,制定每个发展阶段的具体目标和工作任务,以及达到发展目标必经的实施路径。
3、企业发展战略方案经董事会审议通过后,应当报经股东(大)会批准后付诸实施。
发展战略风险点:
企业缺乏明确的发展战略或发展战略实施不到位,结果导致企业盲目发展,难以形成竞争优势,丧失发展机遇和动力。
企业发展战略过于激进,脱离企业实际能力或偏离主业,导致过度扩张、经营失控甚至失败。
企业发展战略频繁变动,导致资源严重浪费,最后危及企业的生存和持续发展。
(三)人力资源政策(良好的人力资源是企业不竭的源泉)
人力资源,是指由企业董事、监事、高级管理人员和全体员工组成的整体团队的总称。
人力资源是影响企业内部环境的关键因素,它所包括的雇佣、培训、评价、考核、晋升、奖惩等业务向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息,这些业务都与企业员工密切相关,而员工正是企业中执行内部控制的主体。
人力资源政策的内容。
至少应包括:
①员工的聘退与培训。
②员工的薪酬、考核、晋升与奖惩。
③财会等关键岗位员工的轮岗制衡要求。
④对掌握重要商业秘密或核心技术等关键岗位员工离岗的限制性规定。
•员工选拔和聘用的标准。
企业应当将职业道德素养和专业胜任能力作为选拔和聘用员工的重要标准,并适当关注应聘者的价值取向和行为特征,是否与本企业的企业文化和内部控制的有关要求相适应。
•重视并加强员工培训。
企业应当制定科学、合理的培训计划,提高培训的针对性和实效性,不断提升员工的道德素养和业务素质。
•建立和完善员工激励约束机制。
企业应当通过制定合理的目标、建立明确的标准、执行严格的考核和落实配套的奖惩,促进员工责、权、利的有机统一和企业内部控制的有效执行。
(四)企业文化(核心价值的建立)
加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。
如何打造优秀的企业文化
1、要注重塑造企业核心价值观。
这种价值观和理念是一个企业的文化核心,凝聚着董事、监事、高级管理人员和全体员工的思想观念,从而使大家的行为朝着一个方向去努力,反映出一个企业的行为和价值取向。
2、要重点打造以主业为核心的品牌。
打造以主业为核心的品牌,是企业文化建设的重要内容。
企业应当将核心价值观贯穿于自主创新、产品质量、生产安全、市场营销、售后服务等方面的文化建设中,着力打造源于主业且能够让消费者长久认可、在国内外市场上彰显强大竞争优势的品牌。
3、要充分体现以人为本的理念。
企业要在企业文化建设过程中牢固树立以人为本的思想,坚持全心全意依靠全体员工办企业的方针,尊重劳动、尊重知识、尊重人才、尊重创造,用美好的愿景鼓舞人,用宏伟的事业凝聚人,用科学的机制激励人,用优美的环境熏陶人。
努力为全体员工搭建发展平台,提供发展机会,挖掘创造潜能,增强其主人翁意识和社会责任感,激发其积极性、创造性和团队精神。
4、要强化企业文化建设中的领导责任。
要建设好企业文化,领导必须高度重视,认真规划、狠抓落实,这样才能取得实效。
(五)社会责任
企业在经营发展过程中应当履行的社会职责和义务,主要包括安全生产、产品质量(含服务)、环境保护、资源节约、促进就业、员工权益保护等。
社会责任风险要素:
1、安全生产措施不到位,责任不落实,可能导致企业发生安全事故;2、产品质量低劣,侵害消费者利益,可能导致企业巨额赔偿、形象受损,甚至破产;
3、环境保护投入不足,资源耗费大,造成环境污染或资源枯竭,可能导致企业巨额赔偿、缺乏发展后劲,甚至停业;促进就业和员工权益保护不够,可能导致员工积极性受挫,影响企业发展和社会稳定。
企业重视并切实履行社会责任,既是为企业前途、命运负责,也是为社会、为国家、为人类负责。
二者是相辅相成。
二、风险评估
风险评估是组织辨认和分析与目标实现有关的过程。
风险评估提供了控制风险的基础。
内部控制中的风险评估过程必须判明企业完成既定目标存在的外部风险与内部风险,分析各种风险的类型和程度。
此处的风险评估是一个比较宽泛的概念,包括了风险管理的全过程,即设置目标、风险识别、风险分析、风险应对。
风险评估活动仍然是一个输入转化为输出的过程。
评估技术方法
评估流程
(一)设置目标
准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。
风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。
(二)风险识别
风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。
风险识别作为风险评估过程的重要环节,主要回答的问题是:
1、存在哪些风险,2、哪些风险应予以考虑,3、引起风险的主要因素是什么,4、这些风险所引起的后果及严重程度如何,风险识别的方法有哪些等。
企业的内部风险因素内部风险与外部风险:
①董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。
②组织机构、经营方式、资产管理、业务流程等管理因素。
③研究开发、技术投入、信息技术运用等自主创新因素。
④财务状况、经营成果、现金流量等财务因素。
⑤营运安全、员工健康、环境保护等安全环保因素以及其他因素。
外部风险因素:
①经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。
②法律法规、监管要求等法律因素。
③安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
④技术进步、工艺改进等科学技术因素。
⑤自然灾害、环境状况等自然环境因素以及其他因素。
(三)风险分析
通过识别出的风险,应对其进行分析。
企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
(四)风险应对
在风险识别和风险分析的基础上,企业就应该结合具体的实际情况,选择合适的风险应对策略。
企业风险应对策略有四种基本类型:
风险规避、风险降低、风险分担、风险承受。
1、风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动,避免和减轻损失的策略。
同时也是一种消极的风险应对措施,因为选择这一策略也就放弃了可能从风险中获得的收益。
2、风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。
这是风险管理中最积极主动也是最常见的一种处理方法,包括两类措施:
风险预防和风险抑制。
3、风险分担是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。
其主要措施包括业务分包、保险、出售、开脱责任合同以及合同中的转移责任条款5种。
4、风险承受是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。
这也是一种最普通、最省事的风险应对策略。
风险应对的四种策略是根据企业的风险偏好和风险承受度制定的,风险承受则意味着风险在企业可承受范围之内。
企业应该结合具体情况及时调整风险应对策略。
三、控制活动
对评估的风险去应对,而采取的控制措施。
控制措施一般包括:
职责分工控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
(一)职责分工控制
Ø总体控制要求对评估的风险去应对,而采取的控制措施。
Ø根据企业目标,按照科学、精简、高效的原则,合理设置职能部门和工作岗位,明确各部门、各岗位的职责权限,形成各司其职、各负其责、便于考核、相互制约的工作机制。
1、企业应当根据各项经济业务与事项的流程和特点,系统、完整地分析、梳理执行该经济业务与事项涉及的不相容职务,并结合岗位职责分工采取分离措施。
形成各司其职、各负其责、相互制约的工作机制。
不相容职务进行分离:
授权批准、业务经办、会计记录、财产保管、审核监督。
2、关键岗位轮换制度。
企业应当结合岗位特点和重要程度,明确财会等关键岗位员工轮岗的期限和有关要求,建立规范的岗位轮换制度。
(二)授权审批控制
《企业内部控制基本规范》第30条的规定,授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。
Ø常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。
Ø特别授权是指企业在特殊情况、特定条件下进行的授权。
企业各级管理人员应当在授权范围内行使职权和承担责任。
Ø企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。
Ø
(三)会计系统控制
《企业内部控制基本规范》第31条会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。
根据会计记录与经营业务对应关系,本期与上期的衔接关系,帐表之间的平衡及勾稽关系,对经营活动进行会计控制。
(四)财产保护控制
《企业内部控制基本规范》第32条明确了企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产的安全完整;严格限制XX的人员接触和处置财产。
严格限制XX的人员接触和处置财产。
(五)预算控制
•企业实施全面预算管理制度,明确各责任单位预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。
所以企业通过预算控制,使得经营目标转化为各部门、各个岗位以至个人的具体行为目标,作为各责任单位的约束条件,能够从根本上保证企业经营目标的实现。
•企业全面预算体系包括经营预算、资本预算和财务预算。
(六)运营分析控制
•把握企业经营是否符合预算规定的目标值发展,一旦发生偏差和问题就能找出问题所在,并根据新的情况解决问题或修正预算。
•企业建立运营情况分析控制,经理层应综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
(七)绩效考评控制
企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各部门和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。
绩效考评是一个过程,制定结合业务指标,进行考核,进行激励奖惩,使做得更好,能够完成更高的目标。
对不好的地方,通过分析找到问题所在,进行改正,使得工作做得更好。
四、信息与沟通
《企业内部控制基本规范》第38条明确了企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。
•信息搜集
•信息传递
•信息共享
•反舞弊机制、举报人投诉制度和举报人保护制度
(一)信息搜集
企业要及时的获取,确定并交流相关的信息,明确搜集的内容、方式等。
企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。
企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。
企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。
企业应结合自身特点以及成本效益原则,选择使用适合的方式搜集有价值的信息。
(二)信息传递
企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间与外部投资者、债权人、客户、供应商、中介机构和监督部门等有关方面之间进行传递和沟通。
信息沟通过程中发现的问题,应当及时报告并加以解决。
企业就应该加强信息传递过程的监督与复核、加强信息传递者和使用者的知识储备、加强对信息系统的改进以及信息传递与企业文化的结合。
这样才能更好地为企业服务。
(三)信息共享
企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。
企业的内部控制系统实质上是一个信息系统,是一个对信息进行搜集、核对、整合、传递的过程,并且通过反馈机制改进信息的搜集、处理和传递,从而形成一个灵敏的信息沟通机制,满足企业各层次对信息的需求,促进内部控制目标的实现。
企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
(四)反舞弊机制、举报人投诉制度和举报人保护制度
举报投诉制度是企业内部建立的、旨在鼓励员工对企业内部涉及内部控制方面违法行为或不当行为以匿名或明示的方式进行举报、投诉,并由专门机构对举报内容进行调查处理的一系列政策、程序和方法。
该制度属于内部控制框架中的信息与沟通要素,具有预防、制止和揭露组织活动中的违法违规行为,保证企业各项活动的合法性、合规性的功能。
五、内部监督
《企业内部控制基本规范》第5条第5款规定内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
内部监督分为日常监督和专项监督。
日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;
专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。
专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。
监督是谁的职责?
•管理层应对内控执行情况进行持续监督。
•企业审计部门进行日常监督和专项监督。
升级会员 