内部控制的五大目标.doc

2008年，财政部、证监会、审计署、银监会、保监会联合发布了财会2008年7号企业内部控制基本规范，2010年4月26日又联合发布了企业内部控制配套指引，至此基本上构建了我国企业内部控制规范体系。我国内部控制规范体系包括基本规范和配套指引两个层次，其中配套指引又有应用指引、评价指引和审计指引三种类型。18项企业内部控制应用指引包括组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统。内部控制规范的制定与发布将为我国企业实施内部控制提供了很好的制度范本，对于规范企业经营管理行为，保证会计信息真实、完整，堵塞漏洞、消除隐患，防止并及时发现纠正错误及舞弊行为，保护企业资产的安全、完整，提高经营效率，都具有重大意义。一、为了加强和规范内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据公司法、证券法、会计法和其他有关法律法规，制定本规范。 二、本规范适合于中华人民共和国境内设立的大中型企业（小型企业和其他单位可以参照执行）。 三、本规范由企业董事会、监事会、经理及全体员工实施。目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现战略发展。 四、建立和实施内部控制，应遵循以下原则： （一）全面性原则。内控贯穿于决策、执行和监督全过程，覆盖企业及所属单位各业务和事项。 （二）重要性原则。内控在全面控制基础上应着重关注重要业务和高风险领域。 （三）制衡性原则。内控应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督。 （四）适应性原则。内控应与企业规模、业务范围、竞争状况、风险水平相适应，并适时调整。 （五）成本效益原则。内控实施应权衡成本与预期效益。 五、内控有效实施应包括下列要素： （一）内部环境（包括治理结构、机构设置、权责分配、内部审计、人力资源政策、企业文化等）。 （二）风险评估。应及时识别、系统分析、经营活动中与实现目标相关的风险，合理确定应对策略。 （三）控制活动。根据风险评估结果采取相应控制措施，将风险控制在可承受度之内。 （四）信息与沟通。及时准确地收集、传递与内控有关的信息，确保信息在内部、企业与外部之间进行有效沟通。 （五）内部监督。对内控建立实施情况进行检查、评估，发现缺陷及时改进。 六、根据有关法律法规、本规范及其配套指引，制定内控制度并组织实施。 七、企业应当运用信息技术建立信息系统，实现业务和事项的自动控制，减少人为操纵因素。 八、建立激励与约束机制，进行绩效考评，促进有效实施。 一、企业应当根据规定和章程，建立规范的公司治理结构、议事规则，明确决策、执行、监督等方面的职责权限。 （一）股东（大）会行使经营方针、筹资、投资、利润分配等重大事项的表决权。 （二）董事会对股东（大）会负责行使经营决策权。 （三）监事会对股东（大）会负责，监督董事、经理和高级管理人员依法履行职责。 （四）经理负责组织实施股东（大）会、董事会决议事项，主持日常生产经营工作。 二、董事会负责内控建立健全和有效实施。监事会负责对实施的监督。经理层负责组织领导企业内控的日常运行（企业应成立专门机构或指定适当机构具体负责协调内控的建立与实施）。 三、在董事会下设立审计委员会，负责审查内控、监督内控的实施，对内控进行自我评价，协调内控审计及其他相关事宜。 四、审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。 五、企业应通过内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况。 六、内部审计机构应当结合内部审计监督，对内控有效性进行检查。对检查中发现的缺陷按照内审程序进行报告；对检查中发现的重大缺陷有权直接向董事会及其审计委员会、监事会报告。 七、制定实施可持续发展的人力资源政策： （一）员工的聘用、培训、辞退与辞职。 （二）员工的薪酬、考核、晋升与奖惩。 （三）关键岗位员工的强制休假制度和定期岗位轮换制度。 （四）掌握国家秘密或重要商业秘密的员工离岗的限制性规定。 （五）有关人力资源管理的其他政策。 八、董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。员工应遵守行为守则，认真履行岗位职责。一、企业应当根据设定的控制目标，全面系统待续收集信息，结合实际情况，及时进行风险评估。包括内部风险和外部风险，确定风险承受度。 二、内部风险识别应关注以下要素： （一）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。 （二）组织机构、经营方式、资产管理、业务流程等管理因素。 （三）研究开发、技术投入、信息技术运用等自主创新因素。 （四）财务状况、经营成果、现金流量等财务因素。 （五）营运安全、员工健康、环境保护等安全环保因素。 三、企业识别外部风险，应关注以下要素： （一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。 （二）法律法规、监管要求等法律因素。 （三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。 （四）技术进步、工艺改进等科学技术因素。 （五）自然灾害、环境状况等自然环境因素。 四、企业应当采用定性、定量相结合的方法，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。 五、根据风险分析结果，结合风险承受度，确定风险应对策略。 六、风险应对策略包括：风险规避、风险降低、风险分担和风险承受。 七、根据不同的发展阶段和业务拓展情况，持续收集风险变化信息，进行风险识别和分析，及时调整应对策略。一、企业应建立信息与沟通制度，明确信息的收集、处理和传递程序，确保信息及时沟通。 二、对收集的内部、外部信息进行合理筛选、核对、整合，提高信息的有用性。 （一）内部信息可通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道获取。 （二）外部信息可通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道获取。 三、重要信息应及时沟通与反馈，传递给董事会、监事会和经理层。 四、利用信息技术促进信息的集成与共享，充分发挥信息技术在沟通中的作用。 五、企业建立反舞弊机制，坚持惩防并举、重在预防的原则，规范舞弊案件的举报、调查、处理、报告和补救程序。 六、反舞弊工作重点如下： （一）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。 （二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。 （三）董事、监事、经理及其他高级管理人员滥用职权。 （四）相关机构或人员串通舞弊。 七、企业应建立举报、投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求。举报投诉制度和举报人保护制度应及时传递至全体员工。一、企业应根据本规范及配套指引制定内控监督制度，明确内审机构和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。（内部监督分为日常监督和专项监督） 二、应根据内控缺陷认定标准，对监督过程中发现的内控缺陷分析性质和原因，提出整改方案，并向董事会、监事会、经理层报告。（内部缺陷包括设计缺陷和运行缺陷） 三、根据内部监督情况定期对内控的有效性进行自我评价，出具内控自我评价报告。 四、应以书面或者其他适当形式，妥善保存内控的建立与实施中的相关资料，确保内控建立与实施过程的可验证性。一、提高认识，更新理念，统一思想，特别是企业负责人要高度重视，负总责亲自抓。企业有关部门和各层次人员要厘清职责定位，积极参与支持。 二、搞好企业内控对企业的促进及总体收获： （一）防止了“冒险性会计” （二）提示出了以前不可能暴露的控制缺陷 （三）发现了会计调整事项有关的许多问题 （四）促进了在一个组织内对职责的优化分配问题 （五）提供了获取可靠结果的更好方法 （六）促使控制规范化并杜塞了安全漏洞 三、对防止和发现舞弊也很有好处： （一）为员工举报等创造了更开放的环境 （二）强调了那些可能产生舞弊的若干风险 四、对公司治理结构的好处： （一）增强了审计委员会的力度和介入程度 （二）改变了企业文化 （三）改善了“中层的调子” （四）提高了职业道德行为 五、搞好内控要特别注意澄清的几个误区： （一）不要消极看作应景之作 （二）不要习惯等同财务控制 （三）不要人为割裂风险管理 （四）不要机械对照制度条文 （五）不要偏重形式忽略真谛 （六）不要简单寄望一蹴而就 六、认真学习研究内控规范及指引，分步骤、分阶段，结合具体情况制定相适应的内控方案，促进企业可持续、健康、稳定的发展 内部控制体系的评价： 更好地促进内控的制度、规范更好地落地 更好地促进企业管理水平的提升 通过每一次评价提升一个水平建立内部控制体系 建立内部控制：其实我们的企业只要一开办就一定有内控。 建立和完善不强加区别 任何一个经济组织都有制度，但是有制度并不等于内控 一定要提高认识，尤其是提高领导的意识 通过各方面的案例（正面案例）提高认识 在美国上市的时候要404条款，其着重点在于财务报告内部控制 如果我们将重心放在404条款上，更多的工作就是合规 内控的本意：夯实基础，提升效率，促进发展目标的实现 一定要想好内控的定位、边界：不能只局限于财务报告内部控制根据各个企业的情况把它扩充到更多的地方 QHSE的含义Q:Quality质量H:Health健康S:Safety安全E:Environment环境谁需要内控，内控对谁负责 1977年，美国的反海外贿赂行为法提出：内控的责任是董事会的责任 我国的治理结构既跟美国的相似，同时吸收了德国的做法（交融性的治理结构）内控与公司治理 不要让内控与公司治理这个理论问题困扰内控的实务 公司的治理有广义和狭义之分：通常我们所讲的公司治理是一个治理结构（静态）让这个结构有效运转（动态） 良好的公司治理是内部控制的基础，是必要条件内部控制体系相关问题： 内控一条线，创新各项管理制度【上海石化】各项内控制度串起来，形成一条线【镇海炼化】升华【台塑集团】以内控为基础，把所有的东西都串起来【案例】 担保业务的流程【分析】 好处：把整个制度相互地衔接起来 内控让管理更有效内控是消极的管理：领导：兴趣不大员工：不高兴，有抵触心理 从正面去讲这个问题，让更多的领导理解内控与风险管理 内控与风险管理原本是可以融合不要搞成两张皮，搞成两张皮既害了别人，也害了自己 风险管理指引是围绕目标，为实现目标进行风险的管控（标准的风险应对）一般的企业金融企业的工作就是管理风险：理论上，金融企业替客户管理风险，它本身的经营过程也有风险实务中，把内部控制等同于操作风险的管理 在这个问题上，金融企业与一般企业有点不一样，我们需要回归、不断地探讨，因为金融企业面对的全是风险。内控与ISO900、QHSE QHSE的含义Q:Quality质量H:Health健康S:Safety安全E:Environment环境 我们企业必须遵循社会责任的国际标准如果不符合社会责任的国标就不能进入欧盟市场如果不经过ISO认证想就不能进入欧盟市场多种管理体系的融合 如何融合下一步需要做的工作QHSE内控体系 ERP 全面预算管理 【中石化的经验】周期很长需要统一语言企业的业务流程应该只有一套，可以根据不同的体系进行分类、挂接例： 【台塑集团】中西管理有效融合的典范如何开展内控 每个企业的情况不一样，大小不一样，层级不一样有的企业可能是五级：母公司 分公司 分公司 分公司 分公司有的企业两级就没了国资委倡导三级，多于三级要进行扁平化 进行审计、评价的人最好不要进行设计实务当中可能有些人现在是融合在一起干的（包括大型企业），他们慢慢分开【案例】神华集团内控操作部门与纪检监察 在企业中很难开展内控，大家一定要团结起来，形成合力。内控与信息化企业内部控制基本规范：特别强调要信息化 为什么要强调信息化？可以减少内控的成本可以使内控的原则和方法更好地固化一些网建公司顺势推出内控信息化系统，好多企业建立了这个系统乱来一定要把内控和现有的整个信息系统融合把内控的要求全部嵌入信息系统中例：【燕山石化】采用德国的SAP系统 内控不是简单地植入，是一个真正的嵌入过程 信息化永远是手段因为在信息化的过程中，很多大企业买的都是国外的系统我国的信息系统虽然标准很高，却没怎么用 信息化过程中总是不合适的地方，应该怎样解决？信息化不是万能的在购买系统时，一定要把系统的功能、可能的风险搞清楚（保密的经济数据） 信息化与非信息化之间的区别是什么？信息化不能够代替一切还有相当一部分不能信息化境内外监管要求的区别：实务当中存在的误区 内控=合规合规：境内外的监管要求在美国上市：SEC在纽交所上市：纽交所的规定质量认证、安全认证等 主要是境外（美国）上市企业的做法美国总统布什于2002 年7 月30 日签发了萨班斯法案 中国的企业在美国上市从2006年开始提交审计报告和自我评价报告2006年之前领导们担心不能过关，都非常重视过关之后，领导就不重视 如果继续遵循404条款的模式，就失去了内控的本意业务简单、管理技术很好的企业也还OK很多企业都不知道应该如何开展内控开展风控切入的模式央企（地方国有企业），2006年国资委开展的全面风险管理指引强化管理路数的模式 除了方式、方法上的方案，更多是观念上的问题 优化内部控制体系，推进全面风险管理 党组重视三级负责风控、内控领导小组：在总公司成立领导小组，由总经理任组长，管理委会全体成员参加执行小组：党组成员、纪检组长，总会计是正、副组长，成员是机关各部门的负责人 项目执行小组决定分三步走：一、以优化内控制度体系为核心，在全集团建立全面风险管理基础支持体系；二、以风险为导向，突出抓好工程项目、法律和金融等重点领域风险管理体系的建设；三、从财务内控制度体系化建设入手，优化和提升集团内控制度体系化建设水平。 企业规模的扩展、产业链条的延伸、企业的内部控制遇到了严峻的挑战。 缺乏系统的分析论证 管理制度缺乏体系化，存在“政出多门、政出多时”，仍采用传统的文件管理模式显然是落后的重人治，轻制度，制度文书多门，出新不理旧（本位主义）【台塑集团】总管理处作为独立的部门，研究制度的废立 对执行缺乏简单评价，不能系统地纠正和改进错误，不能促进系统的正常纠错和改进制度的流程 企业管理和组织形式改变，部分分公司、子公司滞后于这个集团化、现代化的步伐，原来分散的集中到集团化信息化应用越来越集中财务集中 业务是企业一定要抓的重点 管理是服务于业务的发展、服务于发展战略的 整体地梳理，总体地构建，整版地发布，整版地更新， 把管理制度和内部控制非常好地衔接在一起 第一个层级的文件：制定管理办法级 基础和依据自我评价的概述1、评价的内涵 什么叫评价？ 【分析】过程性、描述性的内容2、评价的原则 全面性 重要性 客观性 合规性 成本效益 适应性3、评价的责任主体 从评价的意义上讲，建立健全有效实施，评价含在其中 责任主体：董事会4、评价的组织实施者 评价由董事会负责任具体组织者：领导、审计委员会（代表董事会） 经理层负责组织 导向作用：倾向于让内部审计机构来进行内部控制的评价 特定的情况，经授权的其他监督机构（如监事会）也可以评价 企业现行实务：财务部、内控合规部、风险管理部评价 【案例】中石化5、内部评价与内部监督的关系 内控的五要素：内部环境、内部风险评估、控制活动、信息沟通、内部监督 自我评价与内部监督的关系：自我评价从属于内部监督，是监督结果的总体体现 自我评价要倚重日常监督和专项监督 为什么要倚重日常监督？ 为什么流于形式？ 【安全生产应急机制】6、评价的频率 重点：自行确定的原则 配套指引的发文通知明确指出：“2011年，境内外上市的企业一定要进行年度自我评价，并且披露这个报告”。1、评价的依据 企业内部控制基本规范 企业内部控制配套指引 企业的内部控制制度 其他依据：境内外上市的法律要求（如美国的解释性指南）2、评价的内容 内部环境 风险评估 控制活动 信息与沟通 内部监督 在美国上市公司的内部环境： 诚信与道德价值观 发展目标 管理理念和企业文化 风险管理策略 董事会下属委员会治理结构的问题 权利与责任的分并 人力资源的政策与措施 员工的生产能力 【内部环境】 （一）企业内部控制应用指引第1号组织架构 （二）企业内部控制应用指引第2号发展战略 （三）企业内部控制应用指引第3号人力资源 （四）企业内部控制应用指引第4号社会责任 （五）企业内部控制应用指引第5号企业文化3、风险评估 风险评估从属于内控目标。 管理风险：为了实现目标，想尽办法让不确定因素按照风险的容忍程度朝着既定的方向前进，不要太偏离目标，不要影响目标的实现。 内部控制的目标也可以分为： 公司层面 业务层面 内控是以全面风险管理为导向的内部控制。 风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。 内部最大的风险是治理层的风险。 企业是否拥有风险评估的良性的机制？ 【案例中海油】 主要做法 一、培育全员风险管理文化 二、构建全面风险管理体系 三、建立相关的管理机制 四、建立动态平衡管理机制、构建风险管理信息平台 五、量化油气地质勘探评价 六、强化建设项目风险管理 七、完善采办风险管理 八、构建预警为导向、安全与收益并重的金融风险管理体系 九、因地制宜地强化海外业务风险管理 十、强化员工执行力风险管理4、评价的内容控制活动、信息与沟通、内部监督 控制活动 工程、采购、销售等，都是在控制活动成本上下功夫 信息与沟通 信息与沟通贯穿于企业内部控制的始终 没有信息沟通就不要谈管理，也不要谈风险管控 【分析】制造风险在顶层，发现风险在中低层 如果没有很好的信息管道，内控、管理都是没有意义的 仅靠管理层拟定风险，是很危险的 良好的沟通机制才能够真正地拟定需要管控的风险 内控规划也可以把防舞弊机制放在信息沟通环节 内部监督 从评价的意义上讲，是否有监督的机制 机制运转得如何1、评价的程序 制定评价工作方案 组成评价工作组 实施现场测试 认定控制缺陷 汇总评价结果 编报评价报告2、评价的方法 个别访谈 调查问卷 专题讨论 穿行测试流程性的 实地查验 比较分析 【案例】中石化 【神华目前的状况】3、组织如何开展评价 制定测试计划，确定测试范围和样本量 做好测试记录，获取充分证据 初步认定控制缺陷 实行交叉复核，落实责任制 汇总测试结果，提出整改建议1、内控缺陷如何分类 按来源分类； 按程度分类； 按目标分类。 【案例】存在缺陷的财务数据占利润或者同类金额的总额2、内控缺陷如何认定 财务报告内部控制可能存在重大缺陷的常见迹象 非财务报告内部控制缺陷 非财务报告内部控制缺陷是重大缺陷 企业可以自己确定重大缺陷 【总结】 无论是财务报告内部控制的缺陷，还是非财务报告缺陷，均是需要职业判断的 财务报告控制缺陷内外预期统一 财务报告内部控制缺陷认定更难 标准确立后，除非更严，否则不要随便调整3、内控缺陷如何整改 如果制度不能检查，就应该废掉； 检查以及发现问题需要跟绩效挂钩，这样才能警示人们尽可能不去犯错误。1、 报告的编制 评价报告问题 报告的编制基础2、报告内容 董事会对内部控制真实性的声明 评价工作的总体情况 评价的依据 评价的范围 评价的程序和方法 缺陷及其认定情况 整改情况及重大缺陷拟采取的整改措施 内部控制有效性的结论3、报告形式 披露的格式 【案例】东方航空 【评价】煤矿、光明乳业 【案例】中石化 相关制度的完善 【案例】中国电信 量化评分 组织架构对企业的重要性 组织架构的本质 规范的治理结构 组织架构的设计失败案例给我们的深刻教训：发展战略很重要 指引解读：什么都可以失败，就是战略不能失败 【转变经济发展方式央企在行动】：中海油 为什么要制定和实施发展战略？ 如何制定发展战略？ 如何实施发展战略？ 如何实现发展战略转型？ 为什么要制定和实施发展战略？ 制定与实施发展战略的主要风险。 如何实施发展战略？ 人力资源为什么要写入内部环境中？ 人力资源中最重要的激励政策是公司治理的重要组成部分 强调人力资源政策社会责任和内控有什么关系？ 企业为什么要履行社会责任？ 企业履行社会责任面临的主要风险 【案例】中海油 【分析】社会责任有内有外 企业应当履行哪些社会责任？ 企业如何履行社会责任？ 最初，企业内部控制应用指引中没有企业文化 调研中，发现，很多企业非常看重企业文化 企业文化是内部环境里面非常重要的因素 文化是有特色的，各企业没有统一性 企业文化一定要切合企业实际情况 【大唐电信】：创新 【神东煤炭集团公司】安全 【制度和文化结合起来的典范神东煤炭集团公司】 【神华集团的神东煤矿】：从结果导向就能看出文化的好 并购重组中的企业文化整合 业务外包是一个业务指引 业务指引是站在什么角度说话的？ 【中国电信】发包具有非常严格的制度，必须服从公司的统一领导 我们没有内部审计方面的指引，但是内部审计非常重要 内部审计过程中的两点注意事项 内部审计就是内部检查，他们的工作是第三只眼睛看世界 良好的公司治理、良好的企业治理一定要强化内部审计，一定要有内部监督机制 企业一定要保持审计部的独立性，并赋予其足够的权利、资源来支撑独立性内部控制的五大目标： 维护资金的安全与完整； 防范资金活动风险； 提高资金效益； 促进企业健康发展； 保证企业战略目标的实现。1、科学决策是核心；2、制度建设是基础；3、业务流程是重点；4、风险控制点是关键；5、资金集中管理是方向。1、从资金数量、时间上合理安排和控制三类资金活动；2、合理防范和控制三类资金活动过程中的风险；3、恰当计算三类资金活动的收益成本，最有效地使用资金。 企业明确自身发展战略是关键； 完善资金的授权、批准、审验等内部控制； 加强资金集中归口管理制度； 明确筹资、投资、营运等各环节相关部门和人员的职责权限； 通过不相容岗位分离制度，形成有力的内部牵制关系； 通过严格的监督检查和项目后评价制度，跟踪资金活动内部控制的实际情况，据以修正制度、改善控制效果。 明确财会部门负责资金的日常管理，参与投入方案的可行性研究； 要强化子公司资金的集中统一监控一、筹资活动： 如何进行管控？ 到底要多少钱？