公司战略与风险管理第六章内部控制.ppt

第六章 风险管理框架下的内部控制,讲授内容：,内部控制基本规范 内部控制应用指引 内部控制评价与审计 内部控制与公司治理,第一节 内部控制基本规范,COSO是美国虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文缩写。 1985年，由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题。1992年9月，COSO委员会发布内部控制整合框架，简称COSO报告，1994年进行了增补。,一、企业内部控制理论的演变与发展,一、企业内部控制理论的演变与发展,第一节 内部控制基本规范,一、企业内部控制理论的演变与发展,第一节 内部控制基本规范,1.COSO委员会对内部控制的定义,二、内部控制的定义,内部控制是受企业的董事会、管理层和其他人员影响，为企业经营的效率和效果、财务报表的可靠性和相关法律法规的遵从性等目标的实现而提供合理保证的过程。,内控的目标,日常运营有关的目标,财务报告有关的目标,法律法规的遵从性目标,第一节 内部控制基本规范,2.中国对内部控制的定义,二、内部控制的定义,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和结果，促进企业实现发展战略。,第一节 内部控制基本规范,2.中国对内部控制的定义,二、内部控制的定义,内部控制是一个过程，它是实现目的的手段，而非目的本身； 内部控制受人的影响，它不仅仅是政策手册和图表，而且涉及企业各层次的人员； 内部控制只能向企业董事会和经理层提供合理的保证，而非绝对的保证； 内部控制是为了实现五类既相互独立又相互联系的目标。,第一节 内部控制基本规范,三、我国内部控制规范体系,2008年6月28日，财政部会同证监会、审计署、银监会、保监会制定并印发企业内部控制基本规范。自2009年7月1日起适用于中华人民共和国境内设立的大中型企业（包括上市公司）执行。同时鼓励小企业和其他单位参照其内容建立与实施内部控制。,第一节 内部控制基本规范,（一）企业内部控制基本规范,内控规范要求企业建立内部控制体系时应符合以下目标：（1）合理保证企业经营管理合法合规、（2）合理保证企业资产安全（有效、安全、完整）、（3）合理保证企业财务报告及相关信息真实完整；（4）提高经营效率和效果；（5）促进企业实现发展战略。,内控规范借鉴了以美国COSO报告为代表的国际内部控制框架，并结合中国国情，要求企业所建立与实施的内部控制，应当包括下列五个要素：（1）内部环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）内部监督。,三、我国内部控制规范体系,第一节 内部控制基本规范,企业内部控制的五个要素,第一节 内部控制基本规范,三、我国内部控制规范体系,第一节 内部控制基本规范,三、我国内部控制规范体系,（二）企业内部控制配套指引,根据国家有关法律法规，财政部在会同监事会、审计署、银监会、保监会在2008年6月发布的企业内部控制基本规范的基础上，于2010年4月26日，制定发布了企业内部控制配套指引（三大指引）。企业内部控制配套指引连同2008年6月发布的企业内部控制基本规范，共同构建了中国企业内部控制规范体系，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上交所、深交所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。,三、我国内部控制规范体系,第一节 内部控制基本规范,（二）企业内部控制配套指引,企业内部控制配套指引,企业内部控制应用指引,企业内部控制评价指引,企业内部控制审计指引,对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引,为企业管理层对本企业内部控制有效性进行自我评价提供的指引,是注册会计师和会计师事务所执行内部控制审计业务的执业准则,三、我国内部控制规范体系,第一节 内部控制基本规范,（二）企业内部控制配套指引,三、我国内部控制规范体系,第一节 内部控制基本规范,四、内部控制原则,第一节 内部控制基本规范,第二节 内部控制应用指引,一、 组织架构,组织架构是企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。 企业要实施发展战略，必须要有科学的组织结构，主要包括治理结构和内部机构设置。,企业设计组织架构应遵守的原则,企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行及监督等方面的职责权限互相分离，形成制衡。 企业在处理“三重一大”问题上，即（1）重大决策、（2）重大事项、（3）重要人事任免及大额资金使用，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。,一、 组织架构,第二节 内部控制应用指引,企业设计组织架构应遵守的原则,企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。,一、 组织架构,第二节 内部控制应用指引,企业设计组织架构应遵守的原则,企业应当对各机构的职能进行科学合理的分解，确定具体岗位名称、职责和工作要求等，明确各个岗位的权限和相互关系。 企业应当制定组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度和相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。,一、 组织架构,第二节 内部控制应用指引,企业组织架构运行应遵守的原则,企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保企业治理结构、内部职能机构设置和运行机制等符合现代企业制度要求。 企业应当到期对组织架构设计与运行的效率和效果进行全面评估，发现组织架构设计与运行中存在缺陷的，应当进行优化调整。,一、 组织架构,第二节 内部控制应用指引,企业组织架构运行应遵守的原则,企业拥有子公司的，应当建立科学的投资管控制度，通过合法有效的形式履行出资人职责、维护出资人权益，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。,一、 组织架构,第二节 内部控制应用指引,二、发展战略,第二节 内部控制应用指引,二、发展战略,第二节 内部控制应用指引,第二节 内部控制应用指引,三、人力资源,招聘和雇用。 新雇员的试用期和岗前培训制。 建立雇员员工培训长效机制、提升员工素质。 绩效评估。 辞职、解除劳动合同、退休等。,第二节 内部控制应用指引,四、社会责任,社会责任：企业在经营发展过程中应当履行的社会职责和应尽的义务。 主要包括安全生产、产品质量（含服务，合同）、环境保护与资源节约、促进就业与员工权益保护等。,第二节 内部控制应用指引,五、企业文化,企业文化是指企业在生产经营实践中逐步形成的、为整体团队并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。 企业文化一般具有导向功能、激励功能、凝聚功能、辐射功能、品牌功能。,第二节 内部控制应用指引,积极培育具有自身特色的企业文化，引导和规范员工行为，培育体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神，以及团队协作和风险防范意识。 重视并购重组后的企业文化建设，平等对待被并购方的员工，促进并购双方的文化融合。 要求董事、监事、经理和其他高级管理人员在企业文化建设中发挥主导和垂范作用，企业文化建设既要注重“上下结合”，更应注重企业治理层和经理层的示范作用。 加强企业文化的宣传贯彻，有效沟通，共同遵守，融人生产经营全过程。,第二节 内部控制应用指引,六、资金活动,资金活动是指企业筹资、投资和资金运营等活动的总称。企业资金活动中可能存在的风险无一不是重要风险，一旦转变为现实，危害重大。,第二节 内部控制应用指引,六、资金活动,第二节 内部控制应用指引,六、资金活动,第二节 内部控制应用指引,六、资金活动,第二节 内部控制应用指引,十二、担保业务,担保是企业作为担保人按照公平、自愿、互利的原则向被担保人提供一定方式的担保并依法承担相应法律责任的行为。,第二节 内部控制应用指引,十二、担保业务,第二节 内部控制应用指引,十二、担保业务,第二节 内部控制应用指引,十二、担保业务,第二节 内部控制应用指引,十三、业务外包,业务外包是企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织（承包方）完成的经营行为。,第二节 内部控制应用指引,十三、业务外包,第二节 内部控制应用指引,十三、业务外包,第二节 内部控制应用指引,十四、财务报告,财务报告是企业财务信息对外报告的重要形式之一。对上市公司而言，财务报告是投资者进行决策的重要依据；对国有企业，则可能成为政府进行经济决策时关注的重要信息来源。,第二节 内部控制应用指引,十四、财务报告,第二节 内部控制应用指引,十四、财务报告,第二节 内部控制应用指引,十五、全面预算,全面预算是企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。全面预算作为一种全方位、全过程、全员参与编制与实施的预算管理模式，通过将企业的资金流与实物流、信息流相整合优化了企业的资源配置，提高了资金的使用效率。,第二节 内部控制应用指引,十五、全面预算,第二节 内部控制应用指引,十五、全面预算,第二节 内部控制应用指引,第三节 内部控制评价与审计,内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。 在企业内部控制实务中，内部控制评价是极为重要的一环。企业内部控制评价指引的制定发布，为企业开展内部控制自我评价提供了一个共同遵循的标准，为参与国际竞争的中国企业在内部控制建设方面提供了自律性要求，有利于提高投资者、社会公众乃至国际资本市场对中国企业素质的信任度。,第三节 内部控制评价与审计,一、内部控制评价的内容,企业内部控制评价指引要求企业根据企业内部控制基本规范、企业内部控制评价指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对内部控制有效性进行全面评价，包括财务报告内部控制有效性和非财务报告内部控制有效性。,企业董事会应当对内部控制评价报告的真实性负责。,第三节 内部控制评价与审计,二、内部控制评价的程序,第三节 内部控制评价与审计,二、内部控制评价的程序,1. 制定评价控制方案,第三节 内部控制评价与审计,二、内部控制评价的程序,1. 制定评价控制方案,内部控制评价部门或机构应根据内部监督情况和要求，制定评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权审批后实施。,第三节 内部控制评价与审计,二、内部控制评价的程序,2. 组成评价工作组,第三节 内部控制评价与审计,二、内部控制评价的程序,3. 实施评价工作与测试,了解公司层面的基本情况,了解业务层面的主要流程及风险,确定检查评价范围和重点,开展现场检查测试,对企业公司层面内部控制框架和相关风险和控制进行分析。了解其经营业务范围、企业文化、发展战略、组织结构、人力资源等内部环境及内部控制内容中五个要素的运作情况。,主要业务流程中，如资金管理流程、销售流程、采购流程等。可审阅的内控流程文档有风险控制矩阵文档、流程图文档、审批权限表文档。,确定评价范围、检查重点和抽样数量，进行分工与测试。,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析。等评价方法，收集被评价单位内部控制设计与运行是否有效。,第三节 内部控制评价与审计,二、内部控制评价的程序,4. 内部控制缺陷的认定,第三节 内部控制评价与审计,二、内部控制评价的程序,4. 内部控制缺陷的认定,第三节 内部控制评价与审计,二、内部控制评价的程序,4. 内部控制缺陷的认定,第三节 内部控制评价与审计,4. 内部控制缺陷的认定,第三节 内部控制评价与审计,二、内部控制评价的程序,5. 内部控制评价报告,按照评价指引规定，企业应根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，及时编制内部控制评价报告。 内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。 企业应当以12月31日作为年度内部控制评价报告的基准日，并于基准日后4个月内报出内部控制评价报告。对于基准日至批准日之间发生的影响内部控制有效性的因素，企业应当根据其性质和影响程度对评价结论进行相应调整。,第三节 内部控制评价与审计,二、内部控制评价的程序,5. 内部控制评价报告,1.董事会对内控报告真实性的声明 2.内控评价工作的总体情况 3.内控评价的依据 4.内控评价的范围,5.内控评价的程序和方法 6.内控缺陷及其认定情况 7.内控缺陷的整改情况及重大缺陷拟采取的整改措施 8.内控有效性的结论,第三节 内部控制评价与审计,三、企业内部控制审计,内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。 内部控制审计是企业内部控制规范体系实施中引入的强制性要求，既有利于促进企业健全内部控制体系，又能增强企业财务报告的可靠性。,应注意的是上市公司聘请的会计师事务所应当具有证券、期货业务资格。同时，内控规范中表明为企业内部控制提供评价服务的会计师事务所，不得同时为同一企业提供内部控制审计服务。,（一）内部控制的审计要求,第三节 内部控制评价与审计,（二）注册会计师的责任与角色,1.审计责任划分,建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任，但对内部控制的有效性发表审计意见，则是注册会计师的责任。换言之，内控本身有效与否是企业的内控责任，是否遵循企业内部控制审计指引开展内控审计并发表恰当的审计意见是注册会计师的审计责任。,三、企业内部控制审计,第三节 内部控制评价与审计,（二）注册会计师的责任与角色,2. 审计范围界定,企业内部控制审计指引中重申建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。,注册会计师的责任是在实施审计工作的基础上，获取充分、适当的证据，对内部控制的有效应发表的意见并提供合理保证。 注册会计师会对财务报告内部控制的有效性发表审计意见，如果在审计过程中注意到的非财务报告内部控制的重大缺陷，将会在其内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。,（一）审计委员会与内部控制,内控规范第十三条要求企业应当在董事会下设立审计委员会。 审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制的自我评价情况，协调内部控制审计及其他相关事宜等。 审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。 一般来说，审计委员会的组成应全部由独立、非行政董事组成，他们至少拥有相关的财务经验。在一般情况下，审计委员会负责整个风险管理过程，包括确保内部控制系统是充分且有效的。,第三节 内部控制评价与审计,四、审计委员会在内部控制中的作用,（二）审计委员会的履责方式,董事会应决定委派给审计委员会的责任。审计委员会应每年至少举行三次会议，并于审计周期的主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次，讨论与审计相关的事宜，但无需管理层出席。审计委员会成员之间的不同意见如无法内部调解，应提请董事会解决。,审计委员会应每年对其权限及其有效性进行复核，并就必要的人员变更向董事会报告。管理层对审计委员会有告知义务，并应主动提供信息，而不应等待审计委员会索取。,第三节 内部控制评价与审计,四、审计委员会在内部控制中的作用,（三）审计委员会与合规,审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保公司履行了对外报告义务。审计委员会应结合企业财务报表的编制情况，对重大的财务报告事项和判断进行复核。,第三节 内部控制评价与审计,四、审计委员会在内部控制中的作用,（四）审计委员会与内部审计,确保充分且有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作。 审计委员会应监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性。它应该核查内部审计的有效性，并批准对内部审计主管的任命和解聘。 它还应确保内部审计部门能直接与董事会主席接触，并负有向审计委员会说明的责任。,第三节 内部控制评价与审计,四、审计委员会在内部控制中的作用,（四）审计委员会与内部审计,企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。,内部审计师应具备必要的知识、技巧以及训练，以熟练、专业地实施审计工作。内部审计师的角色不断改变，这需要他们培养分析、技术、决策及沟通技巧。审计人员至少应当具有适当的教育背景或经验，以及与所承担的责任相匹配的组织技巧和技术。,第三节 内部控制评价与审计,四、审计委员会在内部控制中的作用,（五）审计委员会与外聘审计师,1.审计委员会应承担就任命、重新任命或解聘外聘审计师向董事会提出建议的主要责任。 2.审计委员会应监督新审计师的选择过程。审计委员会应批准外聘审计师的业务条款及审计服务的报酬。 3.审计委员会复核审计师的审计工作范畴，并确信该审计范畴是充分的。 4.审计委员会应确保于每次年审开始之时已为审计制订了适当的计划。 5.审计委员会执行完工后的复核。 6.审计委员会还应为企业制定关于由外聘审计师提供非审计服务的政策，并向董事会提出相关建议。外聘审计师提供非审计服务时，不得损害外聘审计师的独立性或客观性。,第三节 内部控制评价与审计,四、审计委员会在内部控制中的作用,（六）向股东报告内部控制,审计委员会为了向股东汇报而执行的复核应涉及所有重大控制，包括财务、运营和合规控制以及风险管理系统。此外，年报亦应为股东提供有关审计委员会的工作信息。 董事会如要为股东提供所需的保证，则应对集团内部控制系统的有效性展开复核，并至少每年向股东汇报一次。 审计委员会主席应出席年度股东大会，并回答股东提出的关于审计委员会工作方面的问题。,第三节 内部控制评价与审计,四、审计委员会在内部控制中的作用,第四节 内部控制与公司治理,一、公司治理制度的概念,公司治理是用来管理利益相关者之间的关系，决定并控制企业战略方向和业绩的一套机制。 公司治理的核心是寻找各种方法确保有效地制定战略决策，管理潜在利益冲突的各方之间秩序的一种方式。因此，公司治理反映了企业的文化、政策、如何处理利益相关者之间的关系及其价值观。,公司治理结构框架应该确保董事会对公司的战略性指导和对管理人员的有效监督，并确保董事会对公司和股东负责。,第四节 内部控制与公司治理,二、公司治理的基本原则,1.建立完善的组织结构 2.明确董事会的角色和责任 3.提倡正直及道德行为 4.维护财务报告的诚信及外部审计的独立性 5.及时披露信息和提高透明度,6.鼓励建立内部审计部门 7.尊重股东的权利 8.确认利益相关者的合法权益 9.鼓励提升业绩 10.公平的薪酬和责任,第四节 内部控制与公司治理,二、公司治理的基本原则,1.建立完善的组织结构,股东（大）会,董事会,经理层,监事会,权力机构,决策机构,执行机构,监督机构,委托代理,委托代理,第四节 内部控制与公司治理,二、公司治理的基本原则,1.建立完善的组织结构,确认并公布董事会和管理层各自的作用和责任是奠定企业管理和监督的坚实基础的方法之一。 以书面形成明确董事会于管理层之间的权责分工。 分工取决于企业的规模、复杂性和所有权结构，以及其传统和企业文化。 应当适当定期审查责任平衡，确保职能分工适合于公司的需要。,第四节 内部控制与公司治理,二、公司治理的基本原则,1.建立完善的组织结构,董事会通常负责监督公司，包括企业控制和问责机制，任免首席执行官（或相应职位），批准任免财务总监（或相应职位），最终批准管理层关于企业的发展战略和业务目标； 审查和批准风险管理系统以及内部遵循和控制，行为守则和法律遵守情况，监督高管的业绩和战略的执行情况，并确保他们得到适当的资源； 审批和监督主要资本支出、资本管理、并购及资产剥离的过程； 审批和监督财务及其他报告。,第四节 内部控制与公司治理,二、公司治理的基本原则,2.明确董事会的角色和责任,设计一个有效率、规模适当和信守承诺的董事会可使其充分履行职责和义务。 引入独立董事： 董事会主席的作用：,第四节 内部控制与公司治理,二、公司治理的基本原则,2.明确董事会的角色和责任,（1）引入独立董事,独立董事：独立于公司股东且不在公司中内部任职，并与公司或公司经营管理者没有重要的业务联系或专业联系，能对公司事务做出独立判断的董事。董事会中大部分成员应当是独立董事。 可以确保董事会在为利益相关者的最佳利益行动时保持足够的客观性； 确保董事会能够行使其监督或管理的首要责任方面（而不是过分参与企业的日常管理工作）起着关键的作用。,第四节 内部控制与公司治理,二、公司治理的基本原则,2.明确董事会的角色和责任,（1）引入独立董事,董事会应根据董事们披露的利益定期评估每个董事的独立性； 每个独立董事应当向董事会报告所有相关信息； 应在年度报告的公司治理部分披露独立董事的相关信息； 董事会应当在公司年度报告中的公司治理部分披露每位董事的任期； 独立董事的变动也应当及时向市场披露。,第四节 内部控制与公司治理,二、公司治理的基本原则,2.明确董事会的角色和责任,（1）引入独立董事,独立董事的职责可以分为四种不同的角色：战略角色、监督或绩效角色、风险角色和人事管理角色。 战略角色：有权利也有责任为企业的战略成功作出贡献，从而保护股东的利益。 监督或绩效角色：使执行董事对已制定的决策和企业业绩承担责任。 风险角色：确保企业设有充分的内部控制系统和风险管理系统。 人事管理角色：对董事会执行成员管理的有关责任。,第四节 内部控制与公司治理,二、公司治理的基本原则,（1）董事会主席的作用,负责领导董事会，以便有效地组织和行驶董事会的职能，并通报董事会会议中产生的所有有关问题； 促进所有董事的有效贡献，成员之间以及和管理层之间的建设性和相互尊重的关系。应当同意并且在必要时制定董事会的议程，确保定期举行董事会议； 确保董事在董事会议召开前获得相关信息，使他们在讨论和决策前充分了解待议事项的全部情况。 配合独立董事的工作，促进执行董事和独立董事之间建立良好的关系，对企业领导的责任进行明确的分工，董事会主席和首席执行官之间的分工应经过董事会的同意,并记录在一份职责声明中。 首席执行官不应该兼任同一公司的董事会主席。,第四节 内部控制与公司治理,二、公司治理的基本原则,（1）董事会主席的作用,董事会主席是公司的代表人，常为企业建立“公众形象”。 董事会主席与股东的沟通。是以法定的年报形式进行的，在许多管辖权内，必须每年在年度股东大会和股东特别大会上以董事会主席声明的形式向股东致函。,2.明确董事会的角色和责任