企业内部控制基本规范新变化与新要求

企业内部控制基本规范新变化与新要求,第一部分新的企业内部控制体系,3,新的企业内部控制文件已经发布,2006年7月15日，财政部、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会，同时设立了由86位专家组成的内部控制咨询委员会。2006年11月8日，企业内部控制标准委员会发布了企业内部控制规范基本规范和17个具体规范的征求意见稿。2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范，其目的是为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益。,4,征求意见正在抓紧进行,财办会20087号发出“关于征求企业内部控制评价指引、企业内部控制应用指引和企业内部控制鉴证指引意见的通知”。2008年12月31日、2009年1月8日、 2009年1月16日又分别以财会便200860号、财会便20094号、财会便20096号发出关于征求内部控制应用指引或企业内部控制评价指引意见的通知。,5,具有中国特色的企业内部控制体系,6,人需要体检是为了防范疾病与自我保健，企业进行体检是为了防范风险与可持续发展。基本规范和应用指引是企业体检标准；评价指引是企业进行“自我体检”应当具有自觉性和持续性；鉴证指引属于“外部体检”应当更具有专业性和公正性。企业内控规范是为企业构筑防范风险“防火墙”。企业应以管控风险求稳健扩张。企业风险管理最核心的目标是要促进企业健康、稳定、可持续发展。,7,我国建立企业内部控制体系基本目标 总结我国经验，借鉴国际惯例，有效利用国际国内资源，充分发挥各方面积极作用，通过三到五年的努力，基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的内部控制制度体系，以及以监管部门为主导、各单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、政府监管和社会评价相结合的内部控制实施体系，推动公司、企业和其他非营利组织完善治理结构和内部约束机制，不断提高经营管理水平和可持续发展能力。,第二部分 内部控制发展与国际趋同,9,一、内部控制初始阶段 内部牵制法,从20世纪初到20世纪40年代以前内部牵制的三大要素与四个重点,职责分工,会计记账,人员轮换,实物牵制,机械牵制,体制牵制,簿记牵制,内部牵制,10,二、内部控制建设阶段 制度二分法,20世纪40年代至80年代之间，内部控制划分为会计控制和管理控制，内部控制的内涵开始扩张与延伸。美国证券交易法首先使用“内部会计控制”作为根除经济危机中虚假会计信息泛滥的根本措施之一。内部会计控制作为企业内部控制的核心内容开始引起管理当局的高度关注。,11,三、内部控制发展阶段 结构三分法,20世纪80年代之后至90年代，内部控制由偏重研究具体的控制程序和方法发展成为对内部控制系统的全方位研究，其突出的变化和重要成果是日益重视对控制环境的研究。在结构上由控制环境、会计制度和控制程序三个要素组成。控制环境作为内部控制的外部因素来看待，而是将其视为内部控制的一个组成部分。突出会计制度控制作用，规定各项经济业务的确认、归集、分类、分析、登记和编报的方法等。,12,四、内部控制整体框架阶段 要素五分法,1992年，美国“反对虚假财务报告委员会”下属的由美国会计学会（AAA）、注册会计师协会（AICPA）、国际内部审计协会（IIA）、财务经理协会（FEI）和管理会计学会（IMA）等组织参与的发起组织成立了美国科索委员会（简称COSO），并提交了一分举世瞩目的研究报告内部控制整体框架（也称内部控制综合框架），该报告在1994年进行了增补。,13,COSO报告的主要内容,内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。重大突破：一是强调风险评估在内部控制中的重要作用；二是强调信息与沟通是强化内部控制的重要途径；三是强调对内部控制系统本身的监控是内部控制发挥作用的关键环节。,14,三个层面、三个目标和五个要素组成内部控制框架,15,五、内部控制与风险管理阶段 要素八分法,从20世纪90年代末以来，对于内部控制与风险管理研究的标志性成果，是科索委员会于2004年9月29日发布的研究报告企业风险管理整合框架（又称企业风险管理综合框架）。该研究报告将内部控制上升至全面风险管理的高度来认识，描述的企业风险管理的重要构成要素、原则与概念。该框架集中关注风险管理，为董事会与管理层识别风险、规避陷阱、把握机遇、增加股东价值提供了清晰的指南。,16,企业风险管理与内部控制,17,内部控制八要素与内部控制五要素之间的关系,内部环境,目标制定,事项识别,风险评估,风险应对,控制活动,信息沟通,监 控,内部环境,风险评估,控制活动,信息沟通,监 控,18,失控案例不断爆光，风险管理警钟常鸣,1994年德国MGRM集团高息筹资投资石油期货损失13亿美元； 1994年美国加州橘郡财务长雪铁龙以政府名义筹资,投资票据亏损18亿美元导致橘郡政府破产； 1995年里森私设账外账，投资日经期货指数损失14亿美元，直接导致巴林银行破产； 1996年住友商事有色金属业务部长滨中泰男违反公司规定，从事铜的非法交易长达10年，造成了18亿美元的亏损； 2001年的美国安然能源公司因虚假经营、虚构利润、隐瞒亏损而导致破产，从而引发作为世界“五大”之一的安达信会计师事务所的终结。 2002年世界通信公司被揭露涉嫌虚报巨额利润，仅2001年到2002年第一季度，世界通信公司凭空捏造出38.52亿美元利润 2008年法国兴业银行交易员凯维埃尔在未经授权的情况下违规操作给银行造成了近50亿欧元的损失,19,经济全球化与风险社会,1、经济全球化大大增加了风险的来源。风险在扩散的过程中，彼此间还可能产生互动关系，产生新的风险源，增强风险的后果。 2、经济全球化放大了风险的影响和潜在后果。一是相互依存的加深提高了风险后果承担者的数量；二是发达的现代通讯技术使更多的人意识到风险的潜在后果，也容易因为信息的不完整导致过度恐慌。 3、经济全球化推动了全球风险意识或文化的形成。风险社会中的风险是“文明的风险” ，面对共同的风险，人类有了基本的整体性共识。 4、经济全球化呼唤着并推动着风险治理机制的变革。,20,现代企业内部控制发展的重要启示,1、反舞弊成为加强内部控制的内在需求 2、市场经济越发展，企业内部控制更重要 3、实施风险管理是内部控制的发展趋势 4、风险控制是防范经营失败的重中之重失控导致失败是市场竞争中企业面临的最大风险之一。强调风险管理与内部控制的融合，是一种思维创新。融合好，可以和谐共赢。,第三部分 我国内部控制发展与特色,22,我国内部控制建设发展历程,1978年9月12日国务院颁布会计人员职权条例，提出“总会计师会签”制度1984年4月24日财政部发布会计人员工作规则，要求建立会计人员岗位责任制，提出出纳人员不相容职务分离的规范要求1985年1月21日通过的中华人民共和国会计法重申会计人员岗位责任制的要求1996年6月17日财政部发布会计基础工作规范，要求建立与健全包括内部牵制制度在内的会计管理制度1999年10月31日修订后的中华人民共和国会计法明确要求各单位应当建立、健全内部会计监督制度2001年6月22日起财政部陆续发布内部会计控制规范2008年6月28日发布企业内部控制基本规范,23,一、商业银行内部控制 是我国企业内部控制的重点,1997年5月，中国人民银行就印发了加强金融机构内部控制的指导原则（银发1997199号）。1997年10月，中华人民共和国财政部与中国人民银行共同发出了进一步加强银行会计内部控制和管理的若干规定。,24,2002年9月，制定了商业银行内部控制指引（中国人民银行公告第19号）。该指引明确指出：“内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制应当包括以下要素：（1）内部控制环境（2）风险识别与评估（3）内部控制措施（4）信息交流与反馈（5）监督评价与纠正。” 2005年2月1日，商业银行内部控制评价试行办法开始施行。2007年6月，银监会又重新修订商业银行内部控制指引,25,二、上市公司内部控制 是我国企业内部控制的关注点,2001年1月，中国证券监督管理委员会发布证券公司内部控制指引。2001年10月，中国证监会又发出了关于做好证券公司内部控制评审工作的通知（证监机构字2001202号）。,26,2006年7月1日施行上海证券交易所上市公司内部控制指引认为：“内部控制是指上市公司为了保证公司战略目标的实现，而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由公司董事会、管理层及全体员工共同参与的一项活动。”该指引将内控要素细分为：（1）目标设定（2）内部环境（3）风险确认（4）风险评估（5）风险管理策略选择（6）控制活动（7）信息沟通（8）检查监督8个基本要素。2006年7月又发布了证券公司融资融券业务试点内部控制指引等文件。,27,三、注册会计师审计服务对加强 企业内部控制具有审核与指导作用,1997年1月1日起实施独立审计具体准则第9号内部控制与审计风险。2002年2月中国注册会计师协会发布了内部控制审核指导意见（会协200241号）。,28,2007年1月1日起实施中国注册会计师审计准则第1211号了解被审计单位及其环境并评估重大错报风险，该准则认为：“内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序包括下列要素：（1）控制环境（2）风险评估过程（3）信息系统与沟通（4）控制活动（5）对控制的监督。”,29,四、企业内部控制 应当以内部会计控制为核心,2001年起，财政部为了促进各单位内部会计控制的建立与健全，加强内部会计监督，维护社会主义市场经济秩序，发布内部会计控制规范。内部会计控制是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。,30,内部会计控制规范,内部会计控制规范基本规范（试行）内部会计控制规范货币资金（试行）内部会计控制规范采购与付款（试行）内部会计控制规范销售与收款（试行）内部会计控制规范工程项目（试行）内部会计控制规范担保（试行）内部会计控制规范对外投资（试行）内部会计控制规范成本费用（征求意见稿）内部会计控制规范预算（征求意见稿）,第四部分 基本规范重点解读,32,一、基本规范的重要地位,基本规范自2009年7月1日起实施基本规范全文共七章五十条：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督、附则我国第一部全面规范企业内部控制的规章制度我国企业建立和实施内部控制的基础框架是统领应用指引、评价指引与鉴证指引的标准开创了中国企业内部控制体系的新局面是指导我国企业如何加强内部控制的最基本也是最主要的法律文本。,33,一、基本规范的重要地位,基本规范既有类似萨班斯法案的强制力，又有与科索报告一样对内控实务的示范作用，既对中国企业建立内控制度提出了强制性要求，又为千差万别的中国企业建立健全内控制度提供了基本框架，既吸收了内控的国际先进理念，又充分体现了中国内部控制的现实环境要求。专家认为“这一规范的出台，是中国企业按国际化标准严格自律的宣言书，更是中国企业参与国际竞争，逐步接受并自觉遵循市场经济游戏规则，不断完善企业制度、细化管理的内在要求。”世人赞誉为“中国版的萨班斯法案”。,34,二、基本规范的立法宗旨,基本规范第一条开宗明义： “为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，依据中华人民共和国公司法、中华人民共和国证券法、中华人民共和国会计法和其他有关法律法规，制定本规范。”,35,三、基本规范的适用范围,基本规范第二条指出： “本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。” 1、首先在上市公司范围内施行。 2、鼓励非上市的大中型企业执行。 3、小企业和其他单位可以参照执行。,36,四、科学界定内部控制的内涵,基本规范第三条强调： 内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制实施主体：一是董事会，二是监事会，三是经理层，四是全体员工。现代企业内部控制应当四管齐下，才能全面奏效。有助于企业树立全面、全员、全过程控制的先进理念。,37,四、科学界定内部控制的内涵,1、董事会理应是加强企业内部控制的第一责任人。 2、监事会负有对董事、经理执行公司职务时违反法律、法规或者公司章程的行为进行监督的权利，在监督投资者决策行为的同时还应当切实履行监督投资者对经营者的监管职能的落实情况。,38,四、科学界定内部控制的内涵,3、经理层直接对一个企业的经营管理活动负责，尤其是企业总经理（首席执行官）承担重要责任。 4、全体员工都应在实现内部控制中承担相应职责并发挥积极作用。管理层应当重视员工的作用，并为员工反映诉求提供信息通道。,39,五、准确定位内部控制的目标,内部控制是一个控制目标的实施过程。三要素目标论（效率性、可靠性、合法性）四要素目标论（效率性、可靠性、合法性、战略性）五要素目标论（效率性、可靠性、合法性、资产保全性、战略性）,40,五、准确定位内部控制的目标,1、合理保证企业经营管理合法合规合法性要求；2、资产安全资产保全性要求；3、财务报告及相关信息真实完整可靠性要求；4、提高经营效率和效果效率性要求；5、促进企业实现发展战略战略性要求。,41,六、合理确定内部控制的原则,1、全面性原则内部控制应当贯穿决策、执行和监督全过程，覆盖企业及所属单位的各种业务和事项。2、重要性原则内部控制应当在全面控制的基础上，关注重要业务和高风险领域。 3、制衡性原则内部控制应当在治理机构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。,42,六、合理确定内部控制的原则,4、适应性原则内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。 5、成本效益原则内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。,43,七、有效构建内部控制五要素,第一要素：内部环境内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础，一般包括治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化等。企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。,44,（1）公司治理结构,股东大会（权力机构）、董事会（决策机构）、监事会（监督机构）、总经理层（日常管理机构）董事会对股东（大）会负责，依法行使企业的经营决策权。监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。,45,（2）公司监控机制,监事会、审计委员会、内控机构和审计部门等。监事会对董事会建立与实施内部控制进行监督。董事会下设立审计委员会，审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。,46,企业应当加强内部审计工作，保证内部审计机构设置，人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查，内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。,47,内部环境是实施内部控制的基础,控制环境并不就是内部控制系统赖以存在的内外部环境，即不是内部控制的环境，它本身就是内部控制的一个组成部分，是整个内控框架的基础。它塑造组织的控制文化，影响员工的控制意识；它支撑着整个内部控制框架，是推动控制工作的发动机；它奠定组织的制度和结构，并涉及到所有活动的核心人，特别是人的控制觉悟；它还反映企业各级管理层对内部控制的要求。,48,第二要素：风险评估,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。风险评估构成要素与一般程序,目标设定,风险识别,风险分析,风险应对,49,企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。,50,经济因素,法律因素,社会因素,科学技术因素,自然环境因素,其他因素,人力资源因素,管理因素,自主创新因素,财务因素,安全环保因素,其他因素,外部风险因素,内部风险因素,风险因素,51,风险应对是指企业在评估了相关风险的可能性和后果，以及成本效益之后，选择一系列措施使剩余风险处于期望的风险容忍限度以内。风险应对策略：风险规避、风险降低、风险分担、风险承受。,52,风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。,53,风险分担是企业准备借助他人力量，采取业务分包，购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。,54,第三要素：控制活动企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。基本规范提出七大控制措施：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。,55,（1）不相容职务分离控制,不相容职务是指那些如果由一个人担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。例如：授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准上与监督检查等。不相容职务分离的核心是“内部牵制”。对财务岗位、领导岗位建立强制轮换或带薪休假制度。,56,（2）授权审批控制,授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。企业应当编制常规授权的权限指引，规范特别授权范围、权限、程序和责任，严格控制特别授权。,57,企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。,58,（3）会计系统控制,会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料的真实完整。企业应当依法设置会计机构，配备会计从业人员、从事会计工作的人员，必须取得会计从业资格证书，会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师，设置总会计师的企业，不得设置与其职权重叠的副职。,59,（4）财产保护控制,财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、帐实核对等措施，确保财产安全。 企业应当严格限制未经授权的人员接触和处置财产。,60,（5）预算控制,预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。,61,（6）运营分析控制,运营分析控制要求企业建立运营情况分析制度、经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。,62,（7）绩效考评控制,绩效考评控制要求企业建立和实施绩效考评制度。科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。,63,企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。,64,风险预警机制就是利用度量企业风险状况偏离预警线的强弱程度、发出风险警戒信号的过程。风险预警机制的建立过程通常是企业选择重点监测指标，确定风险危机警戒标准，监测和发现企业财务危机，及时警示有关负责人员，并分析企业发生财务危机的原因、企业运行潜在的问题，提出防范措施的一种制度安排。,65,建立突发事件应急处理机制及时研究清楚突发事件产生的原因从SARS到禽流感，以及特大火灾、洪灾、泥石流、矿难、地震等突发事件频繁发生，对受影响的企业来说有时是致命的加强对突发事件的管理与监控由于突发事件的影响结果不同，面临的财务问题也大相径庭。面对突发事件，企业更应当统一领导、统一指挥、集中力量处理好突发事件，努力促使企业转危为安。,66,第四要素：信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。,67,企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。内部信息：财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等。外部信息：行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道获取。,68,企业应当建立反舞弊机制，坚持惩防并举，重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。,69,反舞弊工作的重点： （1）未经授权或者采取其他不法方式侵占、挪用企业资产、牟取不当利益。 （2）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。（3）董事、监事、经理及其他高级管理人员滥用职权。 （4）相关机构或人员串通舞弊。,70,企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办理要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。,71,第五要素：内部监督,内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。内部监督分为日常监督和专项监督。企业应结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。,72,企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。,73,1）内部控制缺陷是指内部控制制度的设计存在漏洞、不能有效防范错误与舞弊，或者内部控制制度的运行存在弱点和偏差、不能及时发现并纠正错误与舞弊的情形。内部控制缺陷包括设计缺陷和运行缺陷。企业对在监督检查