企业内部控制体系建设手册

11企业内部控制体系建设主要内容体系:◆一、企业内部控制理论发展概述◆二、《企业内部控制基本规范》框架结构及主要内容◆三、企业内部控制体系设计◆四、企业内部控制评价22越来越多的外部要求国资委：《中央企业全面风国资委：《中央企业全面风险管理指引》财政部：《企业内部控制基本规范》财政部：《企业内部控制基本规范》…《上海证券交易所上市公司内部控制指引》…《深圳证券交易所上市公司内部控制指引》《深圳证券交易所上市公司内部控制指引》3…3《保险公司风险管理指引（试行）》《商业银行操作风险管理指引》…内部牵制前3600至1936柯氏会计辞典：以任何个人或部门不能单独控制任何一项或一部分业务权利的方式，进行组织上的职责分工，使每项业务通过正常发挥其他个人或部门的职能进行交叉检查或交叉控制。职责分工；交互检四项职能：实物牵制、物理牵制、分权牵制、簿记牵制内部控制美国注册会计师协会第一次从财务审计角度提出内部控制概念美国注册会计师协会所属的审计程序委员会对内部控制定义作出修改，把内部控制分为内部会计控制和管理控制。会计控制由“组织计划和所有保护资产、保护会计记录可靠性或与此有关的所有方法和程序构管理控制“由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的所有方法和程序构成”。44制结构美国注册会计师协会第55号审计准则公告提出内部控制结构这个概念。企业内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序。制整合框架内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程：经营的有效性和效率、财务报告的可靠性、符合适用的法律和法规。控制环境；风险评估；控制活动；企业风整合框2004企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。3.事项识别4.风险评估5.风险反应6.控制活动7.信息与沟通8.监督企业全面风险管理、内部控制、财务报告内部控制并存66一、企业内部控制理论发展概述—中国◆内部牵制阶段1978年《会计人员职权条例》1984年《会计人员工作规则》1986年《会计工作基础规范》◆会计控制阶段1999年《会计法》将“内部控制”当作会计信息“真实与完整”的基本手段之一2001年至2004年财政部发布《内部会计控制基本规范》和7个具体规范◆企业内部控制规范体系阶段财政部等五部委2008年6月28日发布《企业内部控制基本规范》◆企业全面风险管理阶段72006年6月国务院国资委发布《中央企业全面风险管理指引》7美国COSO的内控框架和风险管理框架告告财务报合规财务报合规活 活动业动2监督活 活动业动2监督业务单业务单位A信息和沟通控制活动信息和沟通控制活动业业单位单位B单单风险评估风险评估制环境控制环境控8子公司子公司99一、企业内部控制理论发展概述——中外对比准二、企业内部控制基本规范◆2006年7月15日，财政部牵头成立跨部门的“企业内部控制标准委员会”，开始研究、制定一套具有统一性、公认性和科学性的企业内部规范◆研究制定内部控制规范，是经济社会发展的迫切要求，是新形势下监管部门落实科学发展观、服务企业改革与发展的重要举措◆国际资本市场大力强化内部控制◆经济健康发展迫切呼唤加强内部控制◆各级领导高度重视内部控制制度建设二、企业内部控制基本规范《企业内部控制基本规范》框架结构及《企业内部控制基本规范》的创新与突破《企业内部控制基本规范》的创新与突破◆建立了一套内控措施。控制措施是企业实施内部控制的具体方式，是企业管理的载体和手段。基本规范对授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等提出了严格规范的要求,进一步强化了对财务报告信息和其他管理信息的约束,提高了企业资源管理与利用的安全性和有效性，为维护投资者和社会公众利益提供了有力支持。◆夯实了一个制度基础。基本规范的制定实施，既是促进企业会计准则体系和其他有关法规制度有效执行的配套制度安排，同时也是推动企业内部各项规章制度令行禁止的重要机制保障。这无论对于巩固企业防范风险舞弊的“防火墙”，还是铸牢促进资本市场健康稳定发展的“安全网”，都将发挥十分重要的基础作用。15《企业内部控制基本规范》的创新与突破控制活动控制活动公司层面业子务公公司层面业子务公单司◆企业建立与实施内部控制的原则：全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则。◆基本要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。第一章总则—组织实施制制度并组织实施。企业应当建立内部控制实任单位和全体员工实施内部控制的情况纳入绩◆信息技术：企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。◆内部审计机构：对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权向董事会及其审计委员会、监事会报告。◆人力资源政策主要包括以下内容：——员工的聘用、培训、辞退与辞职；——员工的薪酬、考核、晋升与奖惩；——关键岗位员工的强制休假制度和定期岗位轮换制度；——掌握国家秘密或重要商业秘密的员工离岗的◆道德修养、业务能力与教育培训：企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。◆文化建设、企业精神、管理理念和风险意识：董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则，认真履行岗位职责。◆法制教育、法律顾问制度和重大法律纠纷案件备案制度第三章风险评估◆基于控制目标的风险评估要求。◆内部风险与外部风险、企业整体风险承受能力和业务层面的可接受风险水平。◆内部风险因素一）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。（二）组织机构、经营方式、资产管理、业务流程等管理因素。（三）研究开发、技术投入、信息技术运用等自主创新因素。(四）财务状况、经营成果、现金流量等财务因素。（五）营运安全、员工健康、环境保护等安全环保因素。（六）其他有关内部风险因素。◆外部风险因素一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。（二）法律法规、监管要求等法律因素。（三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。（四）技术进步、工艺改进等科学技术因素。（五）自然灾害、环境状况等自然环境因素。（六）其他有关外部风险因素。25第三章风险评估第四章控制活动职务，实施相应的分离措施，形成各司其职和事项的权限范围、审批程序和相应责任。企业范特别授权的范围、权限、程序和责任，严格控和事项，应当实行集体决策审批或者联签制度，第四章控制活动第四章控制活动◆预算控制：要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。◆运营分析控制：要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。◆绩效考评控制：要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。第四章控制活动◆控制措施的综合运用◆三类别指引：基本业务类（购、产、销、投融资；货币资金、固定资产、存货、无形资产、衍生工具等）；贯穿业务类（预算、担保、合同协议、企业并购、关联交易、成本费用）；支持保障类（人力资源、信息技术、内部审计）。◆重大风险预警机制和突发事件应急处理机制。第五章信息与沟通◆信息收集处理制度与沟通制度。◆信息的有用性和内部信息、外部信息的获取渠道。◆信息的内部沟通和外部沟通。重要信息的传递要求。◆信息技术的利用和对信息系统本身的控制。◆反舞弊机制和工作重点一）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。（二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。（三）董事、监事、经理及其他高级管理人员滥用职权。（四）相关机构或人员串通舞弊。◆举报投诉制度和举报人保护制度。◆内部控制监督制度（主体、权限、程序、方法和要求）。◆日常监督和专项监督。◆内部控制缺陷认定、原因分析、报告制度、跟踪整改和责任追究。◆内部控制自我评价（方式、范围、程序、频率、报告）◆内部控制建立与实施过程的可验证性要求。◆主要规定了解释权限、配套办法、实施日期。◆国务院国资委国有企业内部控制课题组提出了国有企业“12345内部控制基本框架”新模型。◆一个首要目标：运营效率与效果◆二层责任主体：董事会（股东）和管理层◆三条建设主线：治理结构、财务控制和业务控制◆四大基本原则：强支撑、短流程、高授权和大监督◆五大保障措施：改善支撑环境、加强风险管理、完善制度流程、促进信息沟通和提高监督能力会不会做生意？会不会赚钱？三、企业内部控制体系的设计），■内部控制是企业实现发展战略的基础工程■内部控制是企业贯彻实施法律法规和内部规章制度的有力保证■内部控制是企业提升营运效率效果的有效举措■内部控制是企业提高财务与非财务信息质量的重要支撑■内部控制是企业资产安全的重要保障（二）企业内部控制控制标准与框架企业内部控制标准与框架），对现有管理进行整合■风险管理组织职能体系■风险管理策略对现有管理进行整合■风险管理组织职能体系■风险管理策略■内部控制系统■风险理财措施■风险管理信息系统■培育风险管理文化■建立健全全面风险管理体系■执行风险管理流程—收集风险管理初始信息—进行风险评估—制定风险管理策略—提出和实施风险管理解决方案—风险管理监督与改进实现内部控制和风险管理的统一设计风险管理涵盖战略决策、运营操作、审计与监督、信息与沟通全过程从董事长开始到最基层员工，都要以风险管理理论为指导，对自己的工作进行反思■全部职能管理工作风险管理涵盖战略、人力资源、投资、财务、采购、生产、销售、研发、合规等管理工作■每一个层级涵盖公司治理结构和管理架构、集团母公司层面、各个分支机构、每个业务流程（三）企业内部控制体系总体框架产经安产经安内部环境公司层面公司层面内部监督组织视图功能视产品/服务视流程视数据视>V控制活动控制活动公司层面业子务公公司层面业子务公单司控制活动公司层面业子公司层面业子务公单司权限指引示例业子业子务公单司公司层面公司层面风险评估分册示例风险评估分册示例2.9风险管理规范（试行）ⅆⅆⅆⅆⅆⅆⅆⅆⅆⅆⅆⅆⅆⅆⅆⅆⅆⅆⅆⅆⅆⅆⅆ2.10风险评估涉及的制度索引公司层面风险原材料价格风险商品价格风险行业风险大股东控制公司经营政策风险同行业竞争风险资金风险法律风险业务层面风险业务流程应用系统信息系统总体风险控制环境信息安全项目建设管理变更管理风险评估的步骤风险评估的步骤战略目标动态预警动态预警经营目标经营目标优化流程内部控制关闭停产资产出售优化流程内部控制关闭停产资产出售财产保险财务报告套期保值计提准备业务外包合规目标合规目标目标制定目标制定风险识别风险分析风险应对业务流程产品销售流程准确地获取销售数据并及时传递到相关部门、准确确认销售收入等目标对外投资流程投资成本的确认符合相关准则的规定、投资收益及时取得并准确确认等目标风险识别的方法风险识别的方法目标制定目标制定风险识别风险分析风险应对风险识别的流程示例风险识别的流程示例确定财务报告目标确定重要会计科目和披露事项确定相关业务流程描述业务流程财务报表认定流程分析，识别风描述业务流程财务报表认定流程分析，识别风险 4455重要会计科目和披露事项认定重要会计科目和披露事项认定6相关业务流程确认6相关业务流程确认 财务报表认定财务报表认定财务报表认定：通过识别重要会计科目和披露事项中影响财务报告错报的主要因素，从存在与发生、完整性、估价与分摊、权利与义务、表达与披露等五个方面，针对财务报告控制目标，对在内部控制体系设计层面和执行层面需要关注的重要会计科目所做出的相关因素作出的确认。?788 目标制定风险识别风险分析风险应对高中低%-95%)可能（2550%)很少（525%)!!目标制定风险识别风险分析风险应对控制活动控制活动公司层面业子务公单司公司层面业子务公单司控制活动分册示例控制活动分册示例何为控制？控制是保证管理层的指令得以执行的政策或程序，涉及审批、授何为控制？控制是保证管理层的指令得以执行的政策或程序，涉及审批、授权、复核、检查验证、业绩考核、资产保全和职责分离等从ERP系统中，打印所有付款金额、付款人相同的支票的报告，即疑似重复付款报告将付款期为一年以上的帐款单独分类审核系统安全设置，确保录入订单的权限被严格控审核所有超过五千元的发票，确保得到部门经理的适当批准核对收到货物的收货数据与采购订单数据确定采购折扣 控制活动分类控制活动分类控制设计程序控制设计程序对业务流程进行风险评估后，根据业务流程相关风险，按照流程步骤进一步确定控制目标控制目标指为防范和规避风险，控制活动所要达到的具体目标。一般包括完整性目标（C）、准确性目标（A）、有效性目标（V）、接触性目标（R）等四个方面。在确定了控制目标后，对照业务流程步骤，分析确定达到控制目标的方法和途径并选择相应的控制方法，设计出达到控制目标的各项控制措施，包括制定与控制措施相关的政策和程序、控制频率、控制方法（人工或自动）以及控制证据等。设计和确认的各项控制措施和关键控制，按统一规定的控制描述标准和工具，相关控制，编制完成风险控制管理文件，包括业务流程图、风险控制文档（RCD）和程序文件等内按照控制措施，查找现有管理制度差异，制定、完善本单位、本部门相关管理制完整性控制（C）：指生产经营和财务信息数据的采集、记录和处理完整，无遗漏和重复。如：●租金未及时确认，或重复确认当期费用就会影响完整性。●把当期所有的合同信息都完整地、不重复地录入合同管理系统。●按照会计确认收入的原则，将当期所有的销售收入记录下来。●保证合并报表的原始数据包括了所有需要合并的会计核算单位的数据。准确性控制（A）：指所有信息和数据计算、归集和记录操作等准确。如：●保证账务处理的金额是准确的。●在采购业务中，合同上的价格、数量应该准确。●销售收入应当记入正确的会计期间。●发票内容与销售交易内容或合同应当一致。有效性控制（V）：指所有的生产经营活动都经过适当的授权和批准，都是真实发生的，并按规定保存有效的原始文件。如：●付款经过适当级别的审批。●记录的销售收入是真实的。●费用支出与公司的业务相关，且符合公司的费用开支标准。接触性控制（R）：指信息处理和实物资产的保护和安全控制。如：●防止存货和实物资产的偷窃和遗失。●会计人员只能在授权的情况下，编制与自己分管业务相关的会计凭证。●对企业投资实施计划的保密，防止被不相关的人员了解。 控制活动分类（续）公司层面控制控制环境范围内的内部控制，包括道德准则的建立与推行、高层管理者基调、检举揭发机制、权限和职责分工、审计委员会、IT环境与组织以及人力资源政策等；反舞弊程序与控制；风险评估流程、监督；经营活动分析、审核；期末财务报告流程；突发事件应急处理等业务活动控制业务活动控制相关应用系统控制信息系统总体控制IT基础设施数据库操作系统控制设计成果示例控制设计成果示例信息与沟通信息与沟通控制活动控制活动公司层面业子务公单司公司层面业子务公单司信息与沟通分册示例信息流汇总表示例信息流汇总表示例室文网文部态用息用息告信息系统总体控制信息系统总体控制信息系统总体控制所指的是内部控制中对信息系统相关部分的控制，保证由信息系统支持的流程控制是可靠的、生成的数据和报告是可信的信息系统总体控制信息系统总体控制信息系统日常运作信息系统控制环境信息安全变更管理项目建设管理最终用户操作信息安全变更管理项目建设管理最终用户操作等信息安全主要关注以下方面的内容信息安全主要关注以下方面的内容信息安全信息安全事件响应第三方安全管理网络安全物理安全逻辑安全信息安全管理组织计算机病毒防护信息安全事件响应第三方安全管理网络安全物理安全逻辑安全信息安全管理组织计算机病毒防护关注点控制措施实施证据涉及岗位责人，可以由信息技术部门内相关人员兼任公司层面业子公司层面业子务公单司控制设计与测试评价成果（控制设计与测试评价成果（公司层面）控制设计与测试评价成果（IT层面）控制设计与测试评价成果（IT层面）控制设计与测试评价成果（控制设计与测试评价成果（IT层面）缺陷认定及整改实施跟踪缺陷认定及整改实施跟踪从整体控制目标实现的角度出发，对发现问题进行缺陷认定，按照缺陷的影响程度定义缺陷，从设计与执行两个方面出发，将缺陷进行分类，制定缺陷整改计划并加以实施针对整改实施结果进行再测试与再评价，持续跟进与监督责任人及管理层对于缺陷事实的认可对于缺陷产生原因的判定判断缺陷为公司共性问题还是个别单位、部门独有整改计划的目标是正对缺陷产生原因，而不是针对缺陷表象整改计划符合有针对性、可衡量、可完成、符合现实情况、及时等五项原则整改计划实施结果的持续跟进与监督虑XXXX公司管理层测试报告模板示例XXXX公司管理层测试报告模板示例（四）企业内部控制设计工作流程企业内部控制体系概述设计目标：执行：设计目标：执行：满足国内外相关满足国内外相关法律法规的要求推动企业规范化顺利通过内部控制审计符合风险管理的发展趋势经项目建设委员会审议通过后发布试行企业内部控制设计流程分阶段制定详细工作计划，并随时根据实际进行调整11223366有效的工作推进方式统一设计、集中培训、试点先行、全面推广内部控制设计思路与模式■各项典型业务的内部控制管理子系统，需要针对具体业务，按照控制环境、控制目标、潜在风险、控制流程、控制要点、控制政策和控制载体构造，最后反映为内部控制流程图和内部控制政策表，即控制模式。对企业内部控制进行全面调研和审计1.哪些业务单元比要求落后？2.谁对什么负责？3.不同人的角色分配？4.不同组织之间的沟通协同1.哪些流程缺陷最严重？2.哪里有明显缺陷？3.有多少批量缺陷？过审计和评价确定企业内部控制体系的发展阶段过审计和评价确定企业内部控制体系的发展阶段控制的有效性控制的有效性发展阶段度对企业现有规章制度按内控要素进行归集整理规章制度企业内部控制基本规范梳理梳理补充完善…………按内部控制要素及子要素对企业管理进行改进和设计 框架要素 风险评估 控制活动 信息与沟通 公司治理结构公司治理结构权责分配人力资源政策企业文化法律环境风险识别风险分析风险应对策略不相容职务分离不相容职务分离授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制重大风险预警机制突发事件应急处理机制信息搜集信息搜集信息传递搭建共享信息平台反舞弊机制举报投诉制度举报人保护制组织结构组织结构施行方式内控评价档案记录对企业各业务循环进行业务梳理和流程改进编制企业业务流程描述表——以采购为例编号一级流程二级流程三级流程适用范围内部控制设计主要工作步骤5-2编制采购内部控制政策表绘制业务流程图99建立和完善相关制度及流程管理文件公司层面：组织修订原有制度N项，新制定制度M项●《董事会工作手册》●《审计委员会组织和工作规则》●《内审工作规定》●《财务分析评价制度》●《信息披露控制及披露程序原则》N类N个流程图N个风险控制文档及程序文件文件N个方法总结t培训宣讲t全面推广软件的试用和推广企业内部控制设计主要工作步骤9业务活动层面控制的验收检查工作成果：对对公司进行控制环境的测试对公司进行信息与沟通的测试对总部进行董事会等十七个主题的测试业务活动层面控制的验收检查工作成果：对对公司进行控制环境的测试对公司进行信息与沟通的测试对总部进行董事会等十七个主题的测试下发问卷调查等。主要内容：体系建设的规范性和实施的符合性验收检查主要分两个方面●业务活动层面：对关键控制及重要流程进行跟单测试和抽样测试●公司层面：对以控制环境为主的九个主题和信息沟通等内容进行测试测试人员由项目组、审计部、中介机构组成对公司层面控制的验收检查工作成果：（五）项目效果预期完成《企业内部控制评价手册》控制有效性评价程序表2、资金业务内部控制调查表3、资金业务流程4、资金业务内部控制穿行测试表5、资金业务内部控制风险矩阵表6、资金业务内部控制进一步评价程序表7、资金业务内部控制有效性评价表采购资产销售研发工程项目全面预算合同信息系统1、内部控制五要素调查表2、反舞弊调查表3、对附属公司管理调查表4、使用服务机构调查表5、遵守法律法规调查表6、财务报告流程调查表7、业绩评价与分析调查表二、企业整体层面风险调查表三、公司整体层面内部控制评价表四、公司整体层面内部控制有效性评价程序表2五、公司整体层面内部控制主要风险汇总分析表2项目效果预期——实现制度、流程和报告的统一◆企业内部控制评价有广义和狭义之分。广义的内部控制包括自我评价和外部鉴证（外部审计）在内，狭义仅指内部控制自我评价。◆内部控制评价（狭义）是指由企业董事会和管理层组织的，通常由企业内部审计机构（或专设的内部控制部门)实施或委托社会中介机构独立开展的，对企业内部控制的健全性和有效性进行评价，形成评价结论，并出具评价报告的过程。其最终目的是促进企业整体目标的实现和不断改进企业的内部控制。◆具体而言，内部控制评价是指对企业内部控制体系建设、实施和运行结果开展的调查、识别与测试、分析与评估、出具报告、沟通与整改等系统性活动，是企业自身对企业内部控制不断进行测试和完善的动态过程。106（一)企业内部控制评价的意义◆促进企业经营管理水平的提高，提高企业运行的效率和效◆促进企业提高风险管理水平，保证其发展战略和经营目标◆促进企业有效地使用所拥有的资源。◆促进企业增强业务、财务和管理信息的真实性、完整性和及时性，保证资产的安全、完整。◆促进企业各级管理者和员工强化内部控制意识，严格贯彻落实各项控制措施，确保内部控制体系得到有效运行。◆促进企业在出现业务创新、机构重组及新设等重大变化时◆全面性原则◆重要性原则◆独立性原则◆一致性原则：评价标准、范围、程序和方法保持一致；同一企业在不同时期的评价保持一致性；不同企业的内部控制保持一致性◆公允性原则（三）企业内部控制评价标准和评价机构◆内部控制评价标准包括外部标准和内部标准外部标准：财政部等五部委《企业内部控制基本规范》、美国COSO《内部控制——整合框架》内部标准：《企业内部控制管理手册》、《企业内部控制评价手册》◆评价机构：内部评价机构外部评价机构控制有效性评价程序表2、资金业务内部控制调查表3、资