企业内部控制的基本规范课件

企业内部控制鉴证二零零九年六月八日企业内部控制鉴证

第一部分内部控制和萨宾斯法案介绍

第二部分企业内部控制基本规范解读

企业内部控制的基本规范课件

内部控制和萨宾斯法案介绍

只针对萨宾斯法案的要求--和财务报告有关的部分覆盖的业务主体内部控制的专注点只针对萨宾斯法案的要求内部控制的专注点内部控制的广泛性内部控制绝对不是不是：静态的结构；某一层次人员的任务（例如：高级管理层）；某一部门的任务（例如：财务、内部审计）；某一实体的任务（例如：总部、省级公司）。内部控制是：美国反欺骗性财务报告委员会（COSO）的定义：内部控制是一个靠组织的董事会、管理层和其他员工去实现的过程，实现这一过程是为了合理的保证：

经营的效果性和效率性；财务报告的可信性；对法律和规章制度的遵循性。因此，整个集团的共同参与对于项目的成功至关重要。内部控制的广泛性内部控制绝对不是不是：美国反欺骗性财务报告委规范要求的长远益处四个关键信息质量的驱动因素是行业领先的公司进行变革的目标，这些因素是遵循规范的结果，也是价值的创造提供的数据客观，形象的表示了公司业绩财务报表更改的情况将很少发生业绩将更接近原有的预期持续的计划给管理层和投资者提供了数据用于公司应对商业环境的变化随着时间的推移，信息将快速的产生需要快速的提供给投资者相关信息简单化和标准化的信息使得更容易被理解和接受管理层要直接看到推动业务的相关因素及时可预测透明精确Earnings规范要求的长远益处四个关键信息质量的驱动因素是行业领先的公司

走进内部控制–主要内容主要内容一、基本概念阐述二、内控系统整体架构三、内部控制的实施

走进内部控制–主要内容主要内容一、基本概念阐述

一、基本概念阐述一、基本概念阐述经营回报公司管理层经营回报与风险经营回报公司管理层经营回报与风险什么是风险？风险是某一事件或行为对企业经济利益可能的威胁商业风险和管理风险什么是风险？风险是某一事件或行为对企业经济商业风险和管理风险财务和经营信息不足政策、计划、程序、法律和标准贯彻失败资产流失资源浪费和无效使用不能达到企业的目的和目标管理风险管理风险习惯上分为以下五类：财务和经营信息不足资源浪费和无效使用管理风险管理风险习惯上分经营中断法律诉讼商业欺诈竞争失败无益开支资产损失决策失误风险的后果？经营中断法律诉讼商业欺诈竞争失败无益开支资产损失决策失误风险

风险最小化加强系统的内部控制对可能的损失投保当可能的风险较大时，寻求较大的回报风险如何最小化？风险最小化加强系统的内部控制对可能的损失投保当可能的风险较

暴露的金额发生的可能性风险的大小内部控制降低内部控制如何降低风险？暴露的金额发生的风险的大小内部控制降低内部控制成功有效的内部控制风险与经营回报的良好平衡内部控制的重要性成功有效的风险与经营回报的良好平衡内部控制的重要性COSO报告《内部控制－整体架构》AICPA《审计准则公告第78》号《会计法》（第四章第27条）财政部《内部会计控制规范》 证监会《证券公司内部控制指引》证监会《商业银行内部控制指引》征求意见稿财政部等五部委《企业内部控制基本规范》内部控制的重要性（续）COSO报告《内部控制－整体架构》内部控制的重要性（续）什么是内部控制？什么是内部控制？18内部控制

-被定义为一个过程，这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证：营运的效果和效率财务报表的可靠性相关法令的遵循COSO内部控制的定义18内部控制-COSO内部控制的定义二、内部控制整体架构

二、内部控制整体架构 内控系统的整体架构企业内部控制的基本规范课件监督控制活动风险评估控制环境信息与沟通信息与沟通内控系统五要素架构目标有效率且有效果的使用公司资源财务报告

的可靠性遵循适用

的法律、法规监督控制活动风险评估控制环境信息与沟通信息与沟通内控系统五要是任何企业的核心，是企业的人以及它所处的环境

是推动企业的引擎，也是其他要素的基础控制环境的组成要素：管理哲学和经营风格---传达公司的正直、诚实的道德规范组织结构---董事会及其委员会职能职责分配和授权--权利、职责分工人事政策--保证员工正直并有能力胜任工作控制环境是任何企业的核心，是企业的人以及它所处的环境

是推动企业的引是任何企业的核心，是企业的人以及它所处的环境是推动企业的引擎，也是其他要素的基础控制环境的组成要素：管理哲学和经营风格组织结构董事会及其委员会职能职责分配和授权人事政策控制环境是任何企业的核心，是企业的人以及它所处的环境控制环境的组成要控制环境－管理哲学和经营风格审计署对23家企业的调查结果项目％金额（亿元）资产不实10.39%负债不实7.89%利润不实38.87

其中：虚报94.98%36.92

隐瞒52.89%20.53

潜亏92.77%36.06控制环境－管理哲学和经营风格控制环境－管理哲学和经营风格审计署对23家企业的调查结果项独立董事专门委员会设立审计委员会，及委员会成员资格要求审计委员会职责专门委员会与外部中介机构监事会监事会职责监事会与外部中介机构控制环境－董事会及委员会职能独立董事控制环境－董事会及委员会职能企业必须了解它所面临的风险，并加以控制。即设立可辨识、分析和管理相关风险的机制风险评估就是分析和辨识为实现企业目标所可能发生的风险。目标风险控制行为控制活动环境变化后的管理评估和更新风险评估企业必须了解它所面临的风险，并加以控制。即设立可辨识、分析和风险分为：公司整体层面的风险具体业务活动层面的风险

风险分析的步骤：评估风险的重要性评估风险发生的可能性（或发生的频率）考虑如何管理风险，即评估应采取何种行动风险评估风险分为：风险评估对应予以特别关注的环境变化保持警觉:法规或经营环境的改变新加入的员工、较高的人员流动性新的或改善过的信息系统公司经理迅速发展时期新技术的出现新业务、新产品、新的经营活动或并购公司重组跨国经营风险评估对应予以特别关注的环境变化保持警觉:风险评估次序银行/保险业/证券 制造业其他1

内部控制的质量内部控制的质量内部控制的质量2

管理人员的能力 管理人员的能力管理人员的能力3 管理人员的正直程度管理人员的正直程度管理人员的正直程度4

会计系统的近期变动单位的规模会计系统的近期变动5

单位的规模经济环境恶化业务的复杂性6

资产的流动性业务的复杂性资产的流动性7

重要人员的变动重要人员的变动单位的规模8

业务的复杂性会计系统的近期变动经济环境恶化9

快速的增长快速的增长重要人员的变动10

政府法规管理人员对完成目标的压力快速的增长近期变动 如何有效地进行风险管理各行业的前10种最主要的风险因素如何有效地进行风险管理企业必须基于风险评估的结果订立控制风险的政策及程序，并予以执行。通常可以按业务分别进行制定。现金管理资本性采购采购和付款人事和薪金营销和销售存货管理控制活动企业必须基于风险评估的结果订立控制风险的政策及程序，并予以执控制活动的类型事前 事中 事后检查性控制补偿性控制预防性控制纠正性控制

事前 事中 事后控制活动的类型控制活动的类型事前 事中 事后事前 事审批（高层审阅）保护实物资产异常报告制度关键绩效指标分析职责分工控制活动审批（高层审阅）控制活动你的批准意味着什么？你已经检查过文件的正确性、完整性以及适当性你同意文件的内容你有同意的基础，即:你，或者你指派的适当人员，而非文件的编制者，已经审核了有关信息你对自己的审批负全责控制因素活动-----审批你的批准意味着什么？控制因素活动-----审批在开展任何业务之前都应进行授权

授权以后，为了避免滥用权力，还要经常对业务流程进行审查按性质的不同分为综合授权和特别授权要对授权做好记录，并提供证明文件避免两个极端：“层层审批”和“一支笔”授权批准控制授权批准控制控制活动因素-保护实物资产例如:实物与会计记录的定期核对把文件锁起来!!!财务报表!!!保护数据中心、本地局域网控制室以 及工作站设备标签安全系统/警报系统设围墙配置保安工作证件隐藏的摄像镜头返回控制活动因素-保护实物资产例如:返回例如:超过还款期限的应收账款报告加班统计报告重复付款报告未享受到的折扣重点是发现异常情况并及时跟进控制因素活动---异常活动报告例如:控制因素活动---异常活动报告职责分离控制授权批准控制内部报告控制电子信息技术控制……一些重要的内控方法一些重要的内控方法职责分离控制一些重要的内控方法一些重要的内控方法不同人员或部门之间的职责分工可以通过一系列检查措施，例如:降低发生错误的风险，并控制人为蓄意的操纵.避免独立个人同时负责一项完整的交易的发生、授权和记录，或避免独立个人在保管资产的同时负责记录其变动.通过岗位轮换,使更多的高级管理者参与日常运营的主要活动,以外部视角来观察各个部门的运营.控制因素活动---职责分工不同人员或部门之间的职责分工可以通过一系列检查措施，例如:降工作职责存在的风险同时负责现金的收取和应收账款的会计记录可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金同时负责购货订单的审批和货物的收取可能以组织的名义为个人购入货物，在收取货物时利用职务之便将货物占为己有，同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息同时负责付款的审批和购货订单签发与审核可能会伪造购货业务并支付货款，从而贪污现金不相容职务相互分离控制－示例工作职责存在的风险同时负责现金的收取和应收账款的会计记录可能内部报告控制完善内部管理报告系统内部报告上报时间及报告路线内部报告的分析和跟进内部报告的分发控制内部报告控制内部报告的分析和跟进信息系统控制－目标提高资源使用效率有效达到企业目标保持数据完整维护资产安全信息系统控制目标符合相关的法律、法规和政策信息系统控制－目标信息系统控制－目标提高资源使用效率有效达到企业目标保持数据完提高企业信息系统的整体可信赖程度的控制信息系统的组织和管理信息系统操作数据安全危机处理与业务持续计划外包厂商管理网络支持系统软件支持应用系统安装与维护硬件支持数据库安装与支持一般信息系统控制信息系统的组织和管理信息系统操作数据安全危机处理与业务持续计贯穿在风险评估和控制活动过程中这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯，并交换这些资讯信息系统：内部、外部沟通：使员工知悉其在业务经营、财务报告及法律遵循方面的责任信息与沟通贯穿在风险评估和控制活动过程中信息与沟通信息通过信息系统识别、采集、加工和汇报信息信息系统经常被认为是经营活动的一个组成部分信息与沟通信息信息与沟通信息质量

内容相关–是不是所需要的信息?提供及时–

是不是在需要时可以及时提供?时效性–是不是最新的?正确性–数据是不是正确?可获得性–是不是可以从正常渠道轻松获得?信息与沟通信息质量

信息与沟通内部每一各人都需要了解内部控制系统的相关方面，系统如何工作，以及他（她）本人在系统中的角色和职责

外部与外部单位的交流经常能提供履行内部控制职能所需要的重要信息监查部门例如证监会、财政部等提供的审阅或检查结果能够揭示控制的弱点与股东、监管部门、金融分析师和其他外部单位的沟通应提供与其需求相关的信息，以便其比较容易地理解企业所面临的环境和风险下一步信息与沟通(续)内部下一步信息与沟通(续)监督整个内部控制的执行过程必须被监督确保内部控制制度随情况的改变而作出动态的反应应建立检查和报告体制监督是谁的职责?管理层应对内控执行情况进行持续监督内部审计部门应进行定期、不定期的个别评估监督监督整个内部控制的执行过程必须被监督监督是谁的职责?持续监控管理者审阅管理信息比较内部信息与外部信息适当的组织结构和监督责任设置信息与实务的比较利用内外部审计师的工作主动纳谏要求员工定期声明自省行为个别评价汇报内部控制缺陷返回控制环境风险评估控制活动信息与沟通监督监督持续监控返回控制环境风险评估控制活动信息与沟通监督与会计报表中所有重要科目及信息披露

相关的所有报表认定存在或发生

完整性权利和责任价值表述和披露返回与会计报表中所有重要科目及信息披露

相关的所有报表认定存在或

上市公司会计监察委员会发布第2号审计准则

对审计师工作内容的要求根据准则规定，审计师必须进行以下工作进行项目计划;评估管理层的评估过程;理解与财务报告相关的内部控制情况；测试并评估与财务报告相关的内部控制的设计有效性；测试并评估与财务报告相关的内部控制的运行有效性；以及就与财务报告相关的内部控制的有效性形成一个结论

上市公司会计监察委员会发布第2号审计准则

对审计师工上市公司会计监察委员会发布第2号审计准则

对审计师取得审计证据途径的要求评估和测试管理层的评估流程评估和测试他人（如：内部审计师）对内部控制进行的工作独立对于财务报告相关的内部控制的有效性进行测试准则规定了审计师取得审计证据的以下途径：上市公司会计监察委员会发布第2号审计准则

对审计师取得审计证上市公司会计监察委员会发布第2号审计准则对审计师的要求确认评估对象：确认需要测试的控制措施，包括对所有重要会计报表科目及信息披露的相关会计认定所采取的控制措施；评估控制的失效风险：评估由于控制措施失效而导致会计报表错记的可能性、此类错记的严重性，以及其他控制措施实现相同控制目标的程度；确认评估范畴：确认应纳入评估范围的具体公司地址或业务单元(针对拥有多个办公地点或业务单元的公司)；评估控制的有效性：对所有会计报表重要科目及信息披露的相关会计认定所实施的控制措施在设计及实践方面的有效性进行评估；评估缺陷的严重性：确认在财务报告内部控制系统中所发现的不足是否会构成重大缺陷或实质性漏洞；沟通：就主要发现与相关方面进行沟通；及形成结论：评估主要发现是否与评估结果相一致。审计师需要确定管理层是否进行了以下评估工作：上市公司会计监察委员会发布第2号审计准则对审计师的要求确认评内部控制的主体:管理层（承担的职责是计划、组织、领导其组织的活动，即对组织的内部控制负责）内部审计对管理层组织的内部控制进行监督，以协助管理层有效地履行他们的职责。管理层在内部控制中的地位和作用管理层在内部控制中的地位和作用

三、内部控制的实施

三、内部控制的实施实施内部控制制度最有效的办法业绩考核逐项复核内控是否存在于现有流程中，是否有效必要时进一步制定具体政策和管理报告考虑成本效益原则强化对内控的监督与评估实施内部控制制度实施内部控制制度最有效的办法业绩考核逐项复核内控是否存在于现实施控制时的成本效益原则企业内部控制的基本规范课件

管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病

实施内控时常出现的误区

中国：80％－组织日常财务工作70％－审核财务报表及管理报表60％－制定投融资决策55％－制定内控30％－制定公司长远规划

美国：财务管理及内部控制收购与兼并制定公司长远规划信息技术规划与各经营部门协调

调查结果－总会计师职责分布 中国： 美国：

管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病

实施内控时常出现的误区 实施内控时常出现的误区

管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病

实施内控时常出现的误区 实施内控时常出现的误区

管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病

实施内控时常出现的误区

人为因素使内控失效对控制责任的误解执行时的大意疲劳舞弊时间推移使控制措施逐渐失效

包治百病？－内控的固有局限性对控制责任的误解执行时的大意疲劳舞弊 包治百病？－内控的固有局限性管理层违规形式主义利益的冲突法律法规的意外变化竞争对手的行动经济环境变化等其它影响内控实施效果的因素企业内部控制的基本规范课件萨班斯－奥克斯利法案介绍萨班斯－奥克斯利法案介绍目录萨班斯－奥克斯利法案概述-法案之背景与目的

-法案之主要内容

-法案对于在美国上市公司的规定与影响目录(一)法案产生之背景安然，世通等知名公司相继暴露出严重的管理层欺诈丑闻，使美国上市公司深陷信用危机。会计系统的漏洞、管理层的失职、内部控制的缺乏以及外部审计人员的道德风险是导致管理层欺诈丑闻的根本原因。重建公司信用，规范高级管理层与注册会计师关系和职业道德的要求刻不容缓。2002年美国通过的《萨宾斯-奥克斯利法案》（Sarbanes-OxleyAct），是美国继安然、世通、安达信等连串公司财务丑闻事件披露后，为强化上市公司内部治理和增强资本市场信息披露而出台的一部重要法律。布什总统在签署法案时，称“它是美国证券市场发展过程中的一个里程碑”。

萨班斯－奥克斯利法案概述

(一)法案产生之背景萨班斯－奥克斯利法案概述萨班斯－奥克斯利法案概述法案的文本中大部分内容都是参议院银行委员会主席、马里兰州民主党参议员保罗·萨宾纳斯（PaulSarbanes）提出的方案，在此基础上，萨宾纳斯参议员和俄亥俄州共和党众议员麦克·奥克斯莱（MichaelOxley）共同主刀，两院于6月25日达成妥协通过了107届国会最后版本(第610号文件)，这部法案遂以两位议员的名字命名为《萨宾纳斯—奥克斯莱法案》（Sarbanes-OxleyActof2002）(以下简称《萨宾法案》)。法案推出时距安然公司会计造假案件事发仅9个月、世通公司倒闭才几个星期，美国两党这次完成立法之迅速一致，在美国立法史上堪称罕见。萨班斯－奥克斯利法案概述法案的文本中大部分内容都是参议院银行萨班斯－奥克斯利法案概述《萨宾法案》的制定出人意料的顺利，主要缘自两党对加强公司治理和保护投资者利益这个问题上认识的一致。美国一些经济分析家还认为，“《萨宾法案》某种程度上帮助布什赢得了竞选连任”。因为虽然反恐战争的胜利使布什声誉看涨，但如果反腐失当，将使其功亏一篑而重蹈老布什赢了战争、输了经济、失了连任的覆辙，所以，布什政府在反腐与反恐两条战线上同时作战，美国经济也进入了打击欺诈与惩治腐败的新时期，投资者权益保护再次被提到一个前所未有的高度为这届政府赢取了民心和信心。萨班斯－奥克斯利法案概述《萨宾法案》的制定出人意料的顺利，主萨班斯－奥克斯利法案概述这部法案被美国各界寄予了厚望，它被认为是彻底杜绝公司造假的有力武器。自从2001年底安然（Anron）公司会计造假、2002年6月世界通信（Worldcom）公司假账丑闻曝光以来，投资者信心受到重创，人们对市场诚信标准发生动摇，纽约股市连续剧烈震荡，美国整体经济也遭受拖累，就连布什的公众支持率也由2002年早期的90%左右下滑到了65%。连串丑闻引发了人们对公司治理、会计、审计、证券交易诚信和监管等问题的广泛讨论，人们开始认识到造假不是某个公司的个案，而是一个带有普遍性的问题，这可能是由于美国资本市场和企业层面存在着的系统性的缺陷所致，投资者和民众要求政府立法加以拨乱反正的呼声越来越高。在这种情况下，民主、共和两党也不得不加紧行动，快速反应，以顺应民众的呼声。萨班斯－奥克斯利法案概述这部法案被美国各界寄予了厚望，它被认萨班斯－奥克斯利法案概述

2002年6月，布什总统签署的萨班斯－奥克斯利法案正式生效，该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，故简称《萨班斯－奥克斯利法案》。该法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。法案的初衷是增强信息披露，保护投资者利益。但它出台后却引起了美国一些上市公司的争议，一些人认为该法案造成了企业的财务成本,在一定程度上已影响了外国公司在华尔街市场上市融资的决心。萨班斯－奥克斯利法案概述2002年6月，布什总统签署的萨萨班斯－奥克斯利法案概述法案出台之目的

-重建公司信用，培育公众信心，振兴证券市场。

-加强公司监管，规范业务运作。

-增加财务报告与信息披露的透明度。

-确保公司管理层可以从有效监控的系统中获取重要信息。

-公司管理层必须对美国证券管理委员会要求存档的材料和向投资者公布的信息承担责任。萨班斯－奥克斯利法案概述法案出台之目的萨班斯法案的所有内容目录萨班斯法案正文目录

第一章

公众公司会计监察委员会

第101节组建,管理条款

第102节在委员会注册

第103节审计,质量控制和独立性准则及规定

第104节对注册的会计师事务所的检查

第105节调查和惩戒程序

第106节外国注册的会计师事务所

第107节SEC对委员会的监管

第108节会计准则

第109节资金

萨班斯法案的所有内容目录萨班斯法案正文目录

第一章公众公司萨班斯法案的所有内容目录第二章审计师的独立性

第201节审计师执业范围之外的业务

第202节事前许可

第203节负责审计合伙人的轮换

第204节审计师向审计委员会报告

第205节保持一致性的修订

第206节利益的冲突

第207节关于强制轮换注册的会计师事务所的研究

第208节对SEC的授权

第209节州级管理当局的考虑

萨班斯法案的所有内容目录第二章审计师的独立性

第201节萨班斯法案的所有内容目录第三章公司的责任

第301节公众公司审计委员会

第302节公司对财务报告的责任

第303节对审计不正当的影响

第304节没收奖金及收益

第305节对公司官员及董事的处罚

第306节禁止在养老基金的管制期内进行内部交易

第307节关于律师职业责任的规定

第308节投资者公平基金

萨班斯法案的所有内容目录第三章公司的责任

第301节公众萨班斯法案的所有内容目录第四章强化财务信息披露

第401节定期报告中的披露

第402节强化利益冲突的信息披露

第403节同管理层和主要股东有关的经济业务的披露

第404节管理层对内部控制的评价

第405节例外情形

第406节高级财务管理人员的道德守则

第407节同审计委员会财务专家有关的信息披露

第408节加强定期信息披露的复核

第409节实时信息披露

萨班斯法案的所有内容目录第四章强化财务信息披露

第401节萨班斯法案的所有内容目录第五章利益冲突的分析

第501节如何管理执业证券分析师及证券交易所

第六章委员会的组成及其权利

第601节财政拨款方面的权利

第602节SEC的执业许可权

第603节联邦法院规定的市场禁入权

第604节证券经纪人和交易商的从业资格萨班斯法案的所有内容目录第五章利益冲突的分析

第501节萨班斯法案的所有内容目录第七章研究及报告

第701节审计总署对会计师事务所合并行为的研究及报告

第702节SEC对评级机构的研究及报告

第703节关于违法者和违法行为的研究和报告

第704节执法行为研究

第705节投资银行研究

萨班斯法案的所有内容目录第七章研究及报告

第701节审计萨班斯法案的所有内容目录第八章公司欺诈及其刑事责任

第801节小标题

第802节篡改文件的刑事责任

第803节违反证券欺诈法不能免除债务

第804节证券欺诈的限制性条款

第805节对联邦判决指南关于妨碍司法公正和广义欺诈犯罪的回顾

第806节保护提供欺诈证据的公众公司的雇员

第807节公众公司欺骗股东的刑事责任萨班斯法案的所有内容目录第八章公司欺诈及其刑事责任

第80萨班斯法案的所有内容目录第九章强化白领刑事责任

第901节小标题

第902节企图和阴谋进行欺诈犯罪活动

第903节邮件及电传欺诈的刑事责任

第904节违反美国《1974年退休雇员收入保障法》的刑事责任

第905节修改关于白领犯罪行为的判决指南

第906节公司对财务报告的责任

萨班斯法案的所有内容目录第九章强化白领刑事责任

第901节萨班斯法案的所有内容目录第十章公司纳税申报表

第1001节参议院要求考虑公司首席执行官签署纳税申报表

第十一章公司欺诈责任

第1101节小标题

第1102节篡改记录或者阻止官方调查

第1103节SEC的暂时冻结权

第1104节联邦判决指南的修改

第1105节SEC有权禁止有关人士担任公司官员或者董事

第1106节按照《1934年证券交易法》加重刑事责任

第1107节对举报人打击报复萨班斯法案的所有内容目录第十章公司纳税申报表

第1001节法案之主要内容

-成立独立的公众公司会计监察委员会，监管执行上市公司审计职业

-要求加强注册会计师的独立性

-要求加大公司的财务报告责任

-要求强化财务披露义务

-加重了违法行为的处罚措施

-增加经费拨款，强化美国证券管理委员会的监管职能

-要求美国审计总署加强调查研究其中与上市公司管理层直接相关的是：第302节公司对财务报告的责任第404节管理层对内部控制的评价萨班斯－奥克斯利法案概述(续)法案之主要内容

-成立独立的公众公司会计监察委员会，监管执法案之主要内容第302节公司对财务报告的责任

-要求公司首要官员及首要财务官在季度/年度报告中保证

-对信息披露的控制和程序负责（含刑事责任）

-设计必要的内部控制手段并确保其执行可使高层及时获得重要信息

-对披露控制的有效性进行评估，评估结果需存档

-不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为

-存档描述内部控制的重大变化

萨班斯－奥克斯利法案概述(续)法案之主要内容萨班斯－奥克斯利法案概述(续)萨班斯－奥克斯利法案概述(续)-介绍信息披露的控制和程序

-强调财务人员的正直和财务报告系统控制的完整性

-需披露的非财务信息包括：重要合同的签署，战略合作关系的解除以及法律诉讼

-美国证券管理委员会要求

-扩大信息披露的控制和财务报告系统内部控制程序的认证

-将内控评估日改为财务报告截止日萨班斯－奥克斯利法案概述(续)-介绍信息披露的控制和程萨班斯－奥克斯利法案概述(续)法案之主要内容第404节管理层对内部控制的评价（最严厉，对中国在美上市公司是最大挑战）

-要求公司管理层在年度报告中：

-描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任

-对财务报告系统内部控制有效性以一个公认架构进行评估（例如COSO内控架构）

-同时要求外部审计人员：

-对管理层评估结果进行鉴证

-美国证券管理委员会要求

-扩大信息披露的控制和财务报告系统内部控制程序的认证

-将内控评估日改为财务报告截止日萨班斯－奥克斯利法案概述(续)法案之主要内容萨班斯－奥克斯利法案概述(续)404条款法案第四章规定了“加强财务披露”（EnhancedFinancialDisclosure）的内容，其中的第404条款最为关键，该条款也叫内部控制条款（InternalControlReport）,主要明确了上市公司（包括场外交易市场”OvertheCounterMarket”的挂牌企业）管理层及外部审计师对于公司财务内部控制的责任和义务。---负责公司内部控制的管理层需要在公司内部各个业务环节设立至少5年的信息数据保存和保留系统，防止这些数据被篡改、盗用、删除的可能性；---公司管理层必须每年在年报中就公司产生财务报告的各个业务流程的内控系统分别做出评价和真实性报告,并向证监会提交10-K表。---外部公共审计师对于公司管理层评估过程以及内控系统结论要进行相应的独立检查并出具正式意见---任何导致财务报告信息失真的内部控制环节中的虚假数据，不论有无证据证明其是否蓄意，都要予以罚款、监禁甚至两者并处。萨班斯－奥克斯利法案概述(续)404条款美国证交会有关萨班斯法案404条款的最终条例对管理层报告书内容的要求作出外部审计师已就管理层对内部控制系统作出的评估并发表核证报告的陈述。管理层为公司设立和维持足够的财务报告内部控制系统的责任陈述；管理层为评估公司财务报告内部控制系统的有效性而采用的评估架构陈述;管理层在公司最近的财政年度做出的对公司与财务报告相关的内部控制有效性的评估包括一份公司与财务报告相关的内部控制是否有效的声明。声明必须披露管理层发现的任一公司与财务报告相关的内部控制的实质性漏洞。在公司与财务报告相关的内部控制存在某一或更多实质性漏洞时，管理层不得做出公司与财务报告相关的内部控制有效的声明；及美国证交会有关萨班斯法案404条款的最终条例对管理层报告书内对控制缺陷的评估显著缺陷该缺陷会导致年报或中期报告中的并非无关紧要的错漏无法被预防或侦测出来的可能性并非十分微小。实质性漏洞该缺陷或缺陷集合会导致年报或中期报告中的实质性错漏无法被预防或侦测出来的可能性并非十分微小。

严重显著缺陷=实质性漏洞需要作个别和整体的评估必需向审计委员会报告一个单独的实质性漏洞可能会导致否定意见404条款相关法规要求的工作对控制缺陷的评估显著缺陷实质性漏洞需要作个别和整体的评估4对财务会计制度的选择和使用的控制防范欺诈舞弊的程序和控制对非经常性和非系统性交易的控制对期末财务报表流程的控制根据上市公司会计监管委员会的第2号审计准则如果公司的内部控制在以下任何一方面存在不足，即被认为存在显著缺陷之处显著缺陷根据上市公司会计监管委员会的第2号审计准则如果公司的内部修改已发布的财务报表外部审计师在年度审计中发现的重大误报不是由该公司首先发现无效的审计委员会监管对财务报表流程可靠性至关重要的内部控制或风险评估失效处于高度监管行业中的公司，其合规控制失效(此处所述的合规控制仅限于因该合规控制失效所导致的违规对财务报告可靠性具有重大影响)发现高级管理层任何程度的舞弊已经发现并报告的重大控制不足在经过合理的时间后并未

加以改正低效率的控制环境如果出现以下情况，则意味着公司的内控存在显著缺陷之处，同时也是出现重大漏洞的一个重要信号显著缺陷和实质性漏洞的信号修改已发布的财务报表如果出现以下情况，则意味着公司的内控存在上市公司会计监察委员会发布第2号审计准则承担公司财务报告内部控制有效性的责任；采用适当的控制标准(比如COSO标准)，评价公司财务报告内部控制的有效性；以充分的证据(包括文档文件)为评估结果提供有力支持；针对公司最近财年财务报告内部控制的有效性提交书面评估。

公司管理层在对财务报告内部控制审计中的责任上市公司会计监察委员会发布第2号审计准则承担公司财务报告内部萨班斯－奥克斯利法案概述(续)此外，法案第三章专门规定了上市公司的责任，例如，为确保独立董事对上市企业运行的独立和严格的监管，在304条款对独立董事的资格、报酬也做出了严格限制。第305条还规定了公司董事和管理层薪酬（Officers&DirectorBarsPenalty）确定的办法，尤其是对股票期权（StockOption）行权、兑现的期限做了严格限制，该条规定，公司首席执行官等高层管理人员的报酬由有公司薪酬委员会决定，该委员会必须全部由与公司经理人没有关系的独立董事组成，公司给予高层管理人员或董事会成员的股票期权计划必须获得股东的批准。第306条还禁止公司管理层和董事会成员在养老基金管制期间（PensionFundBlackoutPeriod）进行内部交易（InsideTrade），并对1974年雇员退休保障法（EmployeeRetirementSecurityActOf1974）的部分条款进行了修改和增补。萨班斯－奥克斯利法案概述(续)萨班斯－奥克斯利法案概述(续)（二）针对会计行业的有关条款：1、成立上市公司会计监督委员会（PublicCompanyAccounting

OversightBoard,简称PCAOB）法案第一章就“上市公司会计监督委员会”PCAOB的组成、管理形式、执行准则、监督程序等进行了详细规定，由SEC在90天内成立一个5人组成的上市公司会计监督委员会，任何为上市公司提供审计和会计服务的会计师事务所都要在PCAOB注册登记，按照统一的审计质量控制和审计标准进行会计服务，PCAOB有权对注册的会计师事务所和审计人员进行监管、调查和惩戒。萨班斯－奥克斯利法案概述(续)萨班斯－奥克斯利法案概述(续)2、确保审计独立性（AuditorIndependence）法案第208条（a）款重申了审计和会计利益回避制度（NonAuditService），禁止为上市公司进行财务审计的注册会计师事务所为同一家公司提供税务安排、投资银行业并购安排、金融信息咨询等非审计服务，避免同一家会计师既当裁判员，又当运动员。上市公司在聘请注册会计师前需要事先向公司审计委员会（AuditingCommittee）报告，并且对会计师事务所要定期强制轮换（AuditorPartnerRotation）。审计委员会对会计师事务所的聘请、变更等事项要及时向公众披露，会计师或审计师与上市公司内部管理层或董事会有利益冲突的，要及时实行强制回避（MandatoryRotationOfPublicAccountingFirms）。PCAOB保留对上市公司审计委员会的决定加以纠正的权利。萨班斯－奥克斯利法案概述(续)2、确保审计独立性（Audit萨班斯－奥克斯利法案概述(续)3、规定审计委员会（AuditCommittee）的功能法案301条款规定，审计委员会要和上市公司首席执行官和首席财务官一样，对公司财务报告承担责任，禁止在审计过程中的不当行为。从事审计的会计师事务所要在法案颁布180天以内，向SEC的PCAOB注册登记。4、规定外部财务审计在公司内部控制中的地位和作用法案第103款规定，对管理层财务报告内部控制评估的审计师报告，需要评价公司的内部控制政策和程序是否包括详细程度合理的纪录，以准确公允地反映公司的资产交易和处置情况；内部控制是否合理保证公司对发生的交易活动进行了必要的纪录，以满足财务报告编制符合“公认会计原则”（GenerallyAcceptedAccountingPrinciples,简称GAAP）的要求；是否合理保证公司的管理层和董事会对公司的收支活动进行了合理授权。萨班斯－奥克斯利法案概述(续)3、规定审计委员会（Audit萨班斯－奥克斯利法案概述(续)此外，第806条和1107条（InformantRetaliation）规定了对揭发上市公司欺诈行为的个人提供更多的法律保护(WhistleblowerProtection)，任何公司管理层，如果被发现对为调查机构提供信息的雇员进行报复、歧视、妨碍其受雇，或其它有害行为的，将会受到罚款或10年监禁。总之，《萨宾法案》对未来企业运作、证券市场监管、会计和审计体制设置了种种严格的规定，很多内容改变了以往的监管理念和商业道德准则，是对一系列制度缺陷和漏洞的修正和弥补。由于法案严格的内容规定和颁布后即时生效的特点，迫使许多上市公司立即予以足够关注，充分体现了一种“乱世用重典”的立法思想，堪称20世纪30年代大萧条以来美国所出台的最严厉的打假法规萨班斯－奥克斯利法案概述(续)此外，第806条和1107条在美国上市的公司，不论规模，均需遵守萨班斯－奥克斯利法案的有关规定。即使上一年注册会计师出具的是无保留意见的审计报告，也不表示公司现有的内控系统已经符合法案的规定。根据法案的规定，独立审计人员还需另外证明客户公司的内部控制系统是有效的。美国国会清楚地规定，公司对其财务报告和信息披露的公允性、充分性和正确性负有责任。法案规定独立审计人员的主要职责为：证明管理层对公司财务报告系统的内部控制程序是否有效的评估是合理的。换句话说，管理层必须独立地评估，执行和监控内部控制程序（但是可以聘请独立审计人员以外的咨询人员协助就绪及评估工作）。独立审计人员则可以在一个限定的范围内对公司已有的内部控制程序提出优化建议和协助。法案对上市公司的规定和影响主要体现在公司治理、管理层责任方面的规定。法案对于在美国上市公司的规定与影响在美国上市的公司，不论规模，均需遵守萨班斯－奥克斯利法案的有董事会成员的责任风险管理和控制职业操守和公司守法透明度和信息披露法案对于在美国上市公司的规定与影响

公司治理

董事会成员的责任职业操守和公司守法法案对于在美国上市公司的规董事会成员和审计委员会有进行自我评估和接受后续教育的责任纽约证券交易所和纳斯达克证券交易所的规定公司治理的要求公司内控的失败提高了董事会接受相关培训，改进内控程序的重要性

法案要求公司对员工的职业道德作出书面规定要求审计委员会建立内部举报激励机制

职业操守和公司守法董事会成员的责任董事会成员和审计委员会有进行自我评估和接受后续教育的责任美国证券管理委员会公布了以下新的规定管理层信息与分析非通用会计准则下的财务处理资产负债表表外事项美国证券管理委员会建议成立信息披露委员会透明度和信息披露美国证券管理委员会公布了以下新的规定透明度和信息披露公司财务报告系统内部控制报告书的规定必须陈述下列情况以评估公司内部控制程序：管理层承认对公司内部控制有效性负有责任公司必须使用适当的控制标准（例如COSO)来评估内部控制的有效性公司必须提供充分的证据来支持其评估结果公司必须书面记录与提交其对内部控制有效性的评估结论

管理层责任——评估财务报告系统内部控制的有效性公司财务报告系统内部控制报告书的规定

管理层责任——评估财务管理层责任—评估财务报告系统内部控制的有效性需要提供下列证据和文件来支持评估结论：

评估需包括分支机构和业务单元的认定重要内部控制的认定重要内部控制程序的设计控制实施的有效性内控之重大失败和/或重大缺陷的认定评估结果管理层责任—评估财务报告系统内部控制的有效性需要提供下列证据在判定控制的重要性时必须考虑下列因素：控制失败将导致财务报告失真的可能性用其他控制手段达到相同控制目的的程度重要的控制包括:会计系统初始化、帐务处理、重要帐户余额记录、交易类别和披露方面的控制反舞弊控制跨部门的共同控制，缺少它，其他重要控制程序不能独立发生作用同时使用才能达到一定控制目标的重要控制程序对重大的非常规和非系统的交易监控的程序对期末财务报告步骤实施监控的程序

管理层责任——评估财务报告系统内部控制的有效性在判定控制的重要性时必须考虑下列因素：

管理层责任——评估财测试内部控制实施效果的方法：内部审计人员对内部控制有效性进行测试在管理层的领导下由其他人对内部控制的有效性进行测试使用外部服务机构的评估自我评估步骤测试需考虑的因素测试手段不能仅限于问询的方式需测试的控制程序和测试的时间可能会受到公司风险评估和监控步骤的影响所有重要的分支机构和重要的控制程序都要进行评估公司不可以使用独立审计人员对内部控制程序的测试结果来支持其作出的内部控制程序有效的结论

管理层责任——评估财务报告系统内部控制的有效性测试内部控制实施效果的方法：

管理层责任——评估财务报告系统文档记录的重要性

文档记录可以为控制程序的确定和控制的监管提供证据内部控制设计若缺乏文档记录将可能导致内部控制的重大失效或重大缺陷缺乏足够的证据来支持公司的评估结果会在外部签证报告中列为质量的重大缺陷，并签发反对意见报告管理层声明完成评估后，公司必须向它的审计师提供一份关于内部控制有效性的书面声明管理层声明必须作为一个独立的报告包括在管理当局说明书中对于拒绝出具书面的管理层声明的公司，外部审计人员必须拒绝对其内部控制系统发表意见*公司CEO和CFO对该声明书全权负责，并对不实的声明承担刑事责任管理层责任——评估财务报告系统内部控制的有效性文档记录的重要性*公司CEO和CFO对该声明书全权负责，

项目情况介绍企业内部控制的基本规范课件国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻实施本规范的具体要求，对企业建立与实施内部控制的情况进行监督检查强调外部会计师的独立性关注公司内部治理及对外信息透明、完整与正确性以强化内部控制为核心的要求规范的强制性国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻本项目的目标期望通过本项目建立一套能实现以下目标的内部控制系统：满足企业内部控制基本规范对内部控制要求；作为统一公司的制度和流程的基础；开始建立与现代企业制度相适应的公司治理结构和控制环境。本项目的目标期望通过本项目建立一套能实现以下目标的内部控制系内部控制鉴证项目进度表（初步计划）关键流程和子流程（财务报表相关内控流程）访谈提纲、时间表、记录、资料清单流程文字描述（穿行测试）流程图确认流程文字描述和流程图控制矩阵内部控制和流程差异性分析内控设计差异分析报告（问题，建议，改进方案）符合性测试计划符合性测试工作底稿内控实施差异分析报告（问题，建议，改进方案）内部控制鉴证项目进度表（初步计划）

内控项目培训---配合支持企业内部控制的基本规范课件培训内容访谈配合测试配合培训内容访谈配合访谈内容访谈配合

Ⅰ.个人形式访谈技巧与步骤

1.访谈准备

2.进入访谈

3.访谈记录

4.信息校验

5.后续跟进

Ⅱ.团队形式访谈步骤与技巧访谈内容访谈配合Ⅰ.个人形式访谈技巧与步1访谈准备进行资料准备制订访谈大纲安排访谈计划明确访谈目的了解访谈目的；确定需要准备哪些信息；按流程而不是部门决定访谈参与者；制定计划及估计所需资源;公司的战略、愿景和使命；公司的组织架构和部门岗位职责；访谈相关的运营流程；了解访谈的范围深度和时间根据所需了解信息，准备访谈概要以及相关例子；排定访谈时间根据来访者的需求调整访谈计划；进入访谈1访谈准备进行资料准备制订访谈大纲安排访谈计划明确访谈2进入访谈努力营造与他人分享信息的环境及心理氛围环境因素：安静区域个人可以放松的区域考虑潜在干扰因素心理因素：音调友好；显示出对他们的兴趣表达明确坦诚放松直接到达主题2进入访谈努力营造与他人分享信息的环境及心理氛围环境因2进入访谈---流程介绍来访者对于内部流程参与的程度没有你深入，所以要假设他们对流程了解不多。

●自上而下

●逐步分层2进入访谈---流程介绍来访者对于内部流程参与的程度没有2进入访谈—流程介绍自上而下逐层分步开始点控制点终结点流程活动控制方法相关人员产生凭证

2进入访谈—流程介绍自上而下逐层分步开始点流程活动2进入访谈----回答采访

听懂问题，明确来访者提出问题的目的，以及所希望了解的内容；直接切入主题，消除可能产生歧义之处在回答前深入思考；列举辅助案例，以便进一步解释说明。2进入访谈----回答采访听懂问题，明确来访者提出问2进入访谈—访谈收尾

在大多数访谈中，您能阐述所需间是很有限的；结束面谈时，若有任何疑问，可以向来访者补充；向来访者表达诚意，如果之后有补充，或者项目组有其他问题，会积极配合。2进入访谈—访谈收尾在大多数访谈中，您能阐述所需3信息校验

安排其它相关人士包括流程上游或下游的员工）进行交叉检查；与来访者一起审核数据。3信息校验安排其它相关人士包括流程上游4后续跟进跟进访谈还未解决的问题；提供访谈中所需资料；留下联系号码。4后续跟进跟进访谈还未解决的问题；培训内容访谈配合Ⅰ个人形式访谈步骤与技巧Ⅱ团队形式访谈步骤与技巧

1.定义与使用场合

2.步骤

3.访谈准备

4.进入访谈培训内容Ⅰ个人形式访谈步骤与技巧定义与使用场合

定义参与7-10个拥有某些共同特征的人进行团队访谈，就某些焦点问题进行深入讨论。小贴示：集体访谈需要明确的焦点及进行团队访谈必备的技巧。使用场合深入了解参与者对程序、产品及机遇等的理解、感受及思维式。如果适当提出焦点问题，集体访谈将是有用的工具。定义与使用场合定义2步骤1.了解访谈目标2.确定参与者5.生成访谈大纲4.制定访谈计划3.邀请参与者7.分析及解释具体流程8.撰写访谈纪要6.参与团队9.跟进准备实施分析报告跟进2步骤1.了解访谈目标2.确定参与者5.生成访3访谈准备

确定面谈目标确定需要准备哪些信息辨别信息访谈者决定访谈参与者制定计划及估计所需资源确定访谈提纲3访谈准备确定面谈目标4进入访谈确保不会偏离主题。

注意时间，确保团队完成任务。

每个参与者都应参与—没有人主导没有人被排除在外。仔细聆听讨论。

尊重及使用不同的角度及观点。4进入访谈

测试配合企业内部控制的基本规范课件目录●流程测试目的

●流程测试步骤目录定义流程测试是内部控制的重要组成部分实施测试的主要目的---测试运用环境与流程描述是否相符定义流程测试是内部控制的重要组成部分测试步骤明确测试目的进行资料准备审核测试样本测试步骤明确测试目的测试步骤—具体要求明确测试目的进行资料准备测试资料审核了解流程测试目的；确定需要准备哪些资料；按流程而不是部门进行资料分类；根据项目小组所选样本，提供相关凭证和文件；审核测试样本与流程描述是否相符；回答项目小组所提出的问题测试步骤—具体要求明确测试目的进行资料准备测试资料审核了解流测试步骤—具体要求主审分配测试任务测试员记录测试结果主审审核测试结果与内控部门负责人沟通测试结果项目经理确认最终测试结果审计部审核测试结果内控部风险处测试岗审核测试结果测试步骤—具体要求主审分配测试任务

控制测试

是

在本年度测试该控制该控制是否针对特别风险该控制在最近两年是否被测试过考虑是否在本年度测试该控制：控制是否有变化显示需要测试的因素，如复杂的人工控制为满足每年测试一部分控制的要求而测试

是

否

否

本审计期间测试某项控制的决策图控制测试是在本年度测试该业务层面跟单测试—记录跟单测试结果测试结果说明：名称控制措施描述测试步骤及发现备注：根据测试的需要填写备注信息。业务层面跟单测试—记录跟单测试结果测试结果说明：业务层面跟单测试—记录跟单测试结果如果在跟单测试过程中，发现了例外事项，则需要在测试处填写该例外事项所对应的共性问题的索引号。如果发现多类共性问题，要标出记号加以区分如果在跟单测试过程中发现的关控例外的处理方法例外事项全部为关键控制点的例外事项，则认为该流程不存在例外，并将对应测试任务的测试状态记录为“控制有效”业务层面跟单测试—记录跟单测试结果如果在跟单测试过程中，发现根据抽样的情况，填写实际的控制频率，应抽取样本数量，实际抽取的样本数量，样本量差异原因等信息。注：实际的控制频率如果对应控制点执行的频率与系统中的一致则不需要修改如果需要修改请在此处填写每年，每季，每月，每周，每天，每日多次

业务层面关控测试—记录样本信息和样本量差异原因根据抽样的情况，填写实际的控制频率，应抽取样本数量，业务层面业务层面关控测试—记录样本信息

和样本量差异原因内控测试抽样是种固定样本抽样，按照某个内控循环的交易频次来确定样本量，有两种不同的方法，一是按照日交易频次，二是按照年交易频次，两者实质上是一样的，形式略有差别。某个循环日平均交易频次在一次以上的，或年交易频次在1000以上的，（四大的标准略有差异，这是我服务的那家的标准），至少抽40个样本，日平均交易频次在一次以下的，或年交易频次在1000以下的，至少抽25个样本，在抽样中，如果发现一个样本错误，则扩大三倍的样本量，再发现样本错误，则该内控循环不可信赖，需做详细测试。IPO业务中有些重要的循环即使达不到年交易频次1000，也会抽40个样本。至于为什么选40和25，简而言之像前面讲的审计确信度的取值是一样的，是长期的数理统计的结果，涉及很深的高等数学的知识。业务层面关控测试—记录样本信息

和样本量差异原因内控测试抽样业务层面关控测试—记录例外信息如果测试的过程中发现了例外，需要记录例外事项的相关信息。例外事项说明：名称关键控制点例外事项详细说明及原因。例外事项类型：发现例外事项时需要选择对应的例外事项类型。其中关控测试对应的例外事项类型都以关控测试作为前缀例外事项数量改进意见：针对例外事项，填写对应的整改建议。业务层面关控测试—记录例外信息如果测试的过程中发现了例外，需

企业内部控制基本规范

企业内部控制基本规范

二00八年五月二十二日

为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，规定自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。要求执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。

企业内部控制基本规范

二00八年五月二十二日

为了加强和企业内部控制基本规范

实施的范围适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。实施的时间

自2009年7月1日起实施。

企业内部控制基本规范

实施的范围

企业内部控制基本规范

定义

内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

目标

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

企业内部控制基本规范

定义

企业内部控制基本规范

建立与实施内部控制，应当遵循的原则：

(一)全面性原则决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。

(二)重要性原则

在全面控制的基础上，关注重要业务事项和高风险领域。

（三)制衡性原则

在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

(四)适应性原则

与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

(五)成本效益原则

内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。

企业内部控制基本规范

建立与实施内部控制，应当遵循的原则：

企业内部控制基本规范

内部控制五要素：

(一)内部环境

内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

(二)风险评估

风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

(三)控制活动

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

(四)信息与沟通

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

(五)内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

企业内部控制基本规范

内部控制五要素：

企业内部控制基本规范

内部环境

建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

股东(大)会

行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。

董事会

行使企业的经营决策权。

监事会

对股东(大)会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

经理层

负责组织实施股东(大)会、董事会决议事项，主持企业的生产经营管理工作。

企业内部控制基本规范

内部环境

建立规范的公司治理结构和议

企业内部控制基本规范

内部控制的实施董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。董事会下设立审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。

审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。

企业内部控制基本规范

内部控制的实施

企业内部控制基本规范

企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。

企业内部控制基本规范

企业应当通过编制内部管理手册，使全体

企业内部控制基本规范

企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容：

(一)员工的聘用、培训、辞退与辞职。

(二)员工的薪酬、考核、晋升与奖惩。

(三)关键岗位员工的强制休假制度和定期岗位轮换制度。

(四)掌握国家秘密或重要商业秘密的员工离岗的限制性规定。

(五)有关人力资源管理的其他政策

企业内部控制基本规范

企业应当制定和实施有利于企业可持续发

企业内部控制基本规范

企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则，认真履行岗位职责。企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。

企业内部控制基本规范

企业应当将职业道德修养和专业胜任能力

企业内部控制基本规范

风险评估企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。内部风险

(一)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。

(二)组织机构、经营方式、资产管理、业务流程等管理因素。

(三)研究开发、技术投入、信息技术适用等自主创新因素。

(四)财务状况、经营成果、现金流量等财务因素。

(五)营运安全、员工健康、环境保护等安全环保因素。

(六)其他有关内部风险因素。

企业内部控制基本规范

风险评估

企业内部控制基本规范

外部风险

(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。

(二)法律法规、监管要求等法律因素。

(三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。

(四)技术进步、工艺改进等科学技术因素。

(五)自然灾害、环境状况等自然环境因素。

(六)其他有关外部风险因素。

确定风险承受度

风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

企业内部控制基本规范

外部风险

企业内部控制基本规范

风险分析

企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。确定风险应对策略

根据风险分析的结果，结合风险承受度，权衡风险与收益。

合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。通过风险规避、风险降低，风险分担和风险承受等风险应对策略，实现对风险的有效控制

企业内部控制基本规范

风险分析

企业内部控制基本规范

风险规避

是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。

风险降低

是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担

是企业准备借助他人力量，采取业务分包，购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。

风险承受

是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。

企业内部控制基本规