企业内部控制基本规范(3).ppt

主要内容,企业内部控制基本规范,一、总则,企业建立与实施内部控制，应当遵循下列原则： （一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。 （二）重要性原则。内部控制应当在全面控制基础上，关注重要业务事项和高风险领域。,（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。 （四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。 （五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制,二、内部控制五要素,（一）内部环境 （二）风险评估 （三）控制活动 （四）信息与沟通 （五）内部监督,信息与沟通,内部环境,风险评估过程,控制活动,监 控,内部环境设定了被审计单位的内部控制基调，影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。,内 部 控 制 五 要 素 ：,COSO 内 控 模 型,内部环境：治理结构,为什么需要治理 利益冲突 信息不对称,内部环境规范公司治理结构,股东大会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。 董事会对股东大会负责，依法行使企业的经营决策权。 监事会对股东大会负责，监督企业董事、经理和其他高级管理人员依法履行职责。 经理层负责组织实施股东大会、董事会决议事项，主持企业的生产经营管理工作。,建立规范的公司治理结构和议事规则,股东大会 行使企业经营方针、筹资、投资、利润分配等重大事项的表决权,董事会 对股东大会负责，依法行使企业的经营决策权,监事会 对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责,经理层 负责组织实施股东（大）会、董事会决议事项，支持企业的生产经营管理工作。,表决权,决策权,经营管理,监督,审计委员会：审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。,外部审计 内部审计,独立性,审计委员会,独立董事制度,内部环境：机构设置与责权分配,在企业组织机构设置中，应考虑自动检查与纠正的功能，其要求是： （1）每类经济业务循环，必须经过不同部门，并保证业务循环中有关部门之间相互检查。经过这样检查，能随时发现各种错弊的情况。 （2）在每类经济业务检查中，检查者不应从属于被查者领导，以保证检查的问题引起重视，并及时得到纠正。,内部环境：内部审计,企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。 内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。 内部审计机构对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。,内审部门隶属关系； 内审人员任职能力； 内审工作范围。,内部环境：人力资源政策与实务,组织应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容： （一）员工的聘用、培训、辞退与辞职。 （二）员工的薪酬、考核、晋升与奖惩。 （三）关键岗位员工的强制休假制度和定期岗位轮换制度。 （四）掌握国家秘密或重要商业秘密的员工离岗的限制性规定。 （五）有关人力资源管理的其他政策。,内部环境：人力资源政策与实务,把握员工的真实需要 激励员工的基本原则 激励要渐增 激励要及时 情景要适当 激励要公平,内部环境：人力资源政策与实务,对员工的激励方式 金钱 认可和赞赏 带薪休假 员工持股 提供个人发展和晋升机会,内部环境企业文化,一个企业的基本信念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方式和行为方式的总和。 企业文化是企业员工在长期的生产实践中培育起来，并且共同遵守的目标、价值观、行为规范的总称。,企业文化对企业产生的许多影响都被埋入企业行为的原始部位，处于行为动机的意识层面之下，以致于文化的作用往往被人们所忽视。但由于文化本身所具有的特性(无形性、软约束性、相对稳定性和连续性)，使企业文化始终以一种不可抗拒的方式影响着企业。,案例：海尔兼并红星电器厂的文化改造,内部环境：企业文化,企业应当加强文化建设，董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。,信息与沟通,内部环境,风险评估,控制活动,内部监督,风险是一种潜在的问题或损失 企业应当进行风险识别、风险分析、风险应对等程序进行。,内 部 控 制 五 要 素 ：,COSO 内 控 模 型,内部控制要素：风险评估,风险评估指企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。 企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。 企业开展风险评估，应当准确识别实现控制目标所面临的内部风险和外部风险，确定相应的风险承受度。,风险识别内部风险,应当关注下列因素： （一）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。 （二）组织机构、经营方式、资产管理、业务流程等管理因素。 （三）研究开发、技术投入、信息技术运用等自主创新因素。 （四）财务状况、经营成果、现金流量等财务因素。 （五）营运安全、员工健康、环境保护等安全环保因素。,风险识别外部风险,应当关注下列因素： （一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。 （二）法律法规、监管要求等法律因素。 （三）文化传统、社会信用、教育水平、消费者行为等社会因素。 （四）技术进步、工艺改进等科学技术因素。 （五）自然灾害、环境状况等自然环境因素。,风险分析,企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。,风险的测量（风险分析）,二个要素：损失额、可能性 举例，在三种风险区域估计有潜在损失： (1)估计有600万元的存货可能被偷盗； (2)由于产品质量差，估计有1000万元收入有潜在损失； (3)以前放出去的款项有可能收不回来，估计组织的放款业务中有2500万元的损失。,进一步考虑可能性要素的结果,风险评价模式,估计风险 严重程度,如何采取 行动,评估风险 发生可能性,风险评价模式,风险评估：风险应对,在评估了相关的风险之后，管理者要确定应怎样对风险做出反应。 企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。,风险应对策略,风险规避,风险降低,风险分担,风险承受,企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。,企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。,企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。,企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。,风险应对：风险规避,1.风险规避。任何经济单位对风险的对策，首先考虑到的是避免风险，尤其是对静态风险尽可能予以避免。凡风险所造成的损失不能由该项目可能获得利润予以抵消时，避免风险是最可行的简单方法。,风险应对：风险规避,对一些风险过大的方案应加以回避，如： 拒绝与不守信用的厂商业务往来。 放弃可能明显导致亏损的投资项目。 新产品在试制阶段发现诸多问题而果断停止试制。 对突发性、高风险，其损失巨大而又难以回避的，有意识地采取避险措施。,风险应对：风险降低,2.风险降低：企业在权衡成本效益之后，采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。,风险应对：风险降低,事先从制度、文化、决策、组织和控制上，培育企业防御风险的能力，如： 在发展新产品前，充分进行市场调研。 及时与政府部门沟通获取政策信息。 为防止仓库发生火灾购买安装灭火装置。 采用多领域、多地域、多项目、多品种的投资以分散风险。,风险应对：风险分担,3.风险分担：企业以一定代价（如保险费、赢利机会、担保费和利息），采取某种方式（如参加保险、信用担保、租赁经营、套期交易、票据贴现等等），将风险损失转嫁给他人承担，以避免可能给企业带来灾难性损失。,风险应对：风险分担,向专业性保险公司投保。 风险共担，如实行合资、联营、增发新股、发行债券、联合开发等。 风险主体转移。如通过技术转让、特许经营、战略联盟、租赁经营和业务外包转让经营风险；通过委托开发、购买专利来转移技术风险。,风险应对：风险分担,由于风险转移必然带来利益的流失，因此，企业应当在识别风险的类型和大小，权衡得失后，选择恰当的方式转移。一般地，自然风险宜用投保，较大的财务风险宜用风险共担，过大的技术风险和生产风险宜用风险主体转移。,风险应对：风险承受,4.风险承受。如果企业有足够的财力和能力承受风险损失时，可以采取风险自担和风险自保自行消化风险损失。 风险自担，就是风险损失发生时，直接将损失摊入成本或费用，或冲减利润。 风险自保，就是企业预留一笔风险金或随着生产经营的进行，有计划计提风险基金如呆账损失、大修理基金等。这适用于损失较小的风险。,风险应对策略,风险 可承受度,预防性控制及发现性控制,手工控制及自动控制,具体控制措施,Click to add Text,风险 评估结果,企业应当接合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。,信息与沟通,控制环境,风险评估,控制活动,监 控,控制活动，是指企业结合风险评估结果，运用相应的控制措施，将风险控制在可承受度之内。 1、控制活动出现在整个企业内的各个阶层与各种职能部门； 2、控制活动是针对关键控制点而制定的。 3、控制活动能够抵偿风险,内 部 控 制 五 要 素 ：,COSO 内 控 模 型,控制活动：,控制措施一般包括： 不相容职务分离控制 授权审批控制 会计系统控制 财产保护控制 预算控制 运营分析控制 绩效考评控制等,不相容职务分离控制,任何业务尤其是货币资金收支业务，绝对不能由某一个岗位经办全过程； 经济业务的责任转移环节（如外购材料验收）绝对不能由某一个岗位单独办理； 某一岗位履行职责情况绝不能由其自己说了算（如产量统计、考勤）； 任何权力的行使必须接受定期独立审查。,销售 流程,固定资产采购、验收与款项支付。,固定 资产,资金的保管、记录与清点盘查。,资金 管理,合同协议管理,不相容职务分离控制举例,销售货款的确认、回收与相关会计记录。,合同协议的拟定与审批；,合同协议管理,控制活动：授权审批控制,授权批准是指企业在处理经济业务时，必须经过授权批准以便进行控制。 授权：内部控制的出发点，是对某一大类业务或某项具体业务的权限划分。 审批：检查已确立的授权条件得到满足的真实步骤。,控制活动：授权审批控制,授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任等。,授权审批的种类,常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。这类授权通常以管理部门的文件规定一般性交易办理的条件、范围和对该交易的责任关系。,授权审批的种类,特别授权：特别授权是指企业在特殊情况、特定条件下进行的授权。适用于管理当局认为个别交易必须经批准的情况,如对于对外投资、资产重组、收购兼并、担保抵押、财务承诺、关联交易等重要经济业务事项的决策权，以及超过一般授权限制的常规交易，都需要特殊授权。 这种授权只涉及特定的经济业务处理的具体条件及有关具体人员，且应保持在较高管理层手中。,授权审批控制,一个企业的授权审批控制应做到以下两点： （1）企业各级管理人员应当在授权范围内行使职权和承担责任。 企业所有人员不经合法授权，不能行使相应权力。这是最起码的要求。不经合法授权，任何人不能审批；有权授权的人则应在规定的权限范围内行事，不得越权授权。 企业的所有业务未经授权不能执行。 （2）企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策意见。,实物保管,财产记录,定期盘点,账实核对,财产日常管理& 定期清查制度,企业应严格限制未经授权的人员接触和处置资产。,控制活动：财产保护控制,控制活动：财产保护控制,1、限制接触财产：限制非授权人接触某项资产，建立必要的防护措施，确保资产的安全完整。通常纳入严格限制接触的资产有：现金、其他易变现资产如股票、债券等有价证券、存货、支票等重要的票据、个人的印章等。 2、定期盘点清查：定期盘点和账实核对不应由担任保管或担任记录事务的人员单独进行。企业可以采用全面清查，也可以局部清查。 3、财产记录保护：即严格限制接近会计记录与业务记录的人员，对重要的数据资料应当备份。,控制活动：财产保护控制,4、保密控制：对于计算机程序和硬件操作的密码、重要的财务信息和文件，企业都要设置严密的保密控制机制，避免企业外部人员和被收买的内部人员利用这些材料牟取利益，并为企业的运行留下隐患。 5、财产保险：通过对资产投保(如火灾险、盗窃险、责任险等)，增加实物受损补偿机会；,控制活动：财产保护控制,6、财产记录监控：建立资产个体档案，对资产增减变动及时全面予以记录。加强财产所有权证的管理，改革现有低值易耗品等核销模式，减少备查簿的形式，使其价值纳入财务报表体系内，从而保证账实的一致性。,控制活动：预算控制,预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。,控制活动：预算控制,预算体系建立（项目、标准、程序） 预算编制与审定 预算指标分解与责任落实 预算执行授权 预算实施监控 预算执行分析与调整 预算业绩考核,企业目标,资本预算,投资预算,利润目标,成本预算,直接成本预算,经营预算,销售预算,间接成本预算,购置预算,采购预算,现金预算,利润预算,资产负债预算,会计系 统控制,加强会计基础 工作,严格执行国家统一的会计准则,明确会计凭证、 账簿和财务报告的 处理程序,控制活动：会计系统控制,企业会计 系统,应依法设置会计机构，配备会计从业人员；,会计机构负责人应具备会计师以上的专业技术职务资格；,企业会计系统的设置要求,大中型中央企业应设置总会计师，不得设置与其职责重叠的副职。,会计系统控制要从以下方面着手： A、建立岗位责任制。 B、可靠的凭证控制。 C、完整的簿记控制。 D、严格的核对控制。,控制活动：运营分析控制,运营分析控制：要求企业综合运用生产、购销、投资、财务等方面的信息，利用比较分析、比率分析、因素分析、趋势分析等方法，定期对企业经营管理活动进行分析，发现存在的问题，查找原因，并提出改进意见和应对措施。,控制活动：绩效考评控制,绩效考评控制：绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。,信息与沟通,控制环境,风险评估,控制活动,监 控,组织应当建立有效的信息收集系统和信息沟通渠道，确保相关信息有效传递，促进企业董事会、管理层和员工正确履行相应的职责。,内部控制的 神经系统,内 部 控 制 五 要 素 ：,COSO 内 控 模 型,信息和沟通,要识别并获取相关信息，并将这些信息与相关人员进行沟通，以有利于他们履行各自的职责。有效的沟通可以采取企业纵向的自上而下或自下而上的形式，也可以采取企业各部门横向交流的形式,信息的收集,财务会计资料 经营管理资料 调研报告 内部刊物 办公网络等渠道,行业协会组织/监管部门 社会中介机构 业务往来单位 市场调查 网络媒体等渠道,内部信息,外部信息,合理的筛选、核对、整合可提高信息的有用性。,内部沟通,企业应当采取互联网络、电子邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时传递和共享，确保董事会、管理层和企业员工之间有效沟通。,外部沟通,企业有责任建立良好的外部沟通渠道，对外部有关方面的建议、投诉和收到的其他信息进行记录，并及时予以处理、反馈。 外部沟通应当重点关注以下方面： （一）与投资者和债权人的沟通。通过股东大会、投资者会议、定向信息报告等方式； （二）与客户的沟通。企业可以通过客户座谈会、走访客户等多种形式； （三）与供应商的沟通。企业可以通过供需见面会、订货会、业务洽谈会等多种形式； （四）与监管机构的沟通； （五）与外部审计师的沟通； （六）与律师的沟通。,例：某公司会议制度：（1）定期召开高层协调会；（2）每个月应该有一个全体中层参加的例会；（3）每个月总裁跟所有的员工在一起开一次大会；（4）要求每一个部门都开一个周例会。,举报投诉制度,2. 明确举报投诉处理程序、办理时限和办理要求；,1. 设置举报