《萨班斯法案》与中国内控规范差异解读毕马威内控培训

2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 美国萨班斯法案与中国 企业内部控制基本规范及配套指引 差异解读 美国萨班斯法案与中国 企业内部控制基本规范及配套指引 差异解读 二零一零年八月二零一零年八月 审计和风险咨询服务 审计 税务 咨询审计 税务 咨询 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 主要内容主要内容 一 企业内部控制基本规范及配套指引 与萨班斯法案第404条款的 比较 一 企业内部控制基本规范及配套指引 与萨班斯法案第404条款的 比较 二 分析企业现行内控手册与 企业内部控制基本规范及配套指引 相关要求可能存在的主要差距 二 分析企业现行内控手册与 企业内部控制基本规范及配套指引 相关要求可能存在的主要差距 三 合规之路该如何计划三 合规之路该如何计划 四 合规工作的组织与人力资源安排四 合规工作的组织与人力资源安排 五 信息系统辅助工具五 信息系统辅助工具 六 企业内部控制审计指引 解读六 企业内部控制审计指引 解读 本文件所载资料是为贵公司编撰 任何其他人士不得依赖本文件作任何其他用途 本公司概不就此对任何其他人士承担任何责任 未经本公司书 面同意 任何人士不得披露 引用或引述本文件的全部或部分内容 所载资料仅供一般参考用 并非针对任何个人或团体的个别情况而提供 虽然本公司已致力提供准确和及时的资料 但本公司不能保证这些资料 在阁下收取时或日后仍然准确 任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载资料行事 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 一 企业内部控制基本规范及配套指引 与萨班斯法案第 一 企业内部控制基本规范及配套指引 与萨班斯法案第404条款的比较条款的比较 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 企业内部控制配套指引 企业内部控制配套指引 企业内部控制基本规范企业内部控制基本规范 企业内部控制应用指引企业内部控制应用指引企业内部控制评价指引企业内部控制评价指引企业内部控制审计指引企业内部控制审计指引 应用指引 评价指引 和 审计指引 构成 应用指引 评价指引 和 审计指引 构成 企业内部控制配套指引企业内部控制配套指引用于指导企业如何更加有效 实施基本规范 用于指导企业如何更加有效 实施基本规范 企业内部控制应用指引 共18项 用以指导企业开展 内部控制建设 并为企业及 事务所的内部控制评价及审 计提供参考 内容包含制定 该项指引的总体目标 涉及 事项的定义 相关风险描述 业务流程规范和关键控制点 要求等标准性内容 企业内部控制评价指引 用以指导企业开展内部控制 评价 以满足基本规范的实 施要求 内容包含评价原则 评价制度要求 评价的内容 评价的程序 缺陷的认定 评价报告 企业内部控制审计指引 用以规范注册会计师执行企 业内部控制审计业务 内容 包含审计目标 计划审计工 作 实施审计工作 评价控 制缺陷 完成审计工作 出 具审计报告 记录审计工作 审计报告参考格式 基本规范 从内部环境 风险评估 控 制活动 信息与沟通以及内部监督五大要 素的角度 对于中国企业应如何建立 维 持有效的内部控制提出了原则性的要求 建立了具有中国特色的内部控制框架 2008年年6月月28日发布日发布 2010年年4月月26日发布日发布 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 2012年年12月月31日年报日年报 实 施 时 间 适 用 企 业 实 施 时 间 适 用 企 业 2011年年1月月1日日 企业内部控制配套指引 企业内部控制配套指引 2012年年1月月1日择机实施鼓励提前实施日择机实施鼓励提前实施 境 内外 同时上市 的公司 境 内外 同时上市 的公司 在上海证券 交易所 深 圳证券交易 所主板上市 公司实施 在上海证券 交易所 深 圳证券交易 所主板上市 公司实施 中小板和 创业板上 市公司 非上市大 中型企业 中小板和 创业板上 市公司 非上市大 中型企业 企业内部控制配套指引 的实施对象 企业内部控制配套指引 的实施对象 范围和时间范围和时间 第一个 合规报 告年度 第一个 合规报 告年度 2011年年12月月31日年报日年报 企业披露 年度自我 评价报告 会计师事 务所出具 内控审计 报告 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 总体总体 比较内容比较内容美国规定美国规定中国规定中国规定对比结果 供讨论 对比结果 供讨论 主要实施 要求 声明管理层建立和维持充分的财 务报告内控结构及程序的责任 并在其提交的年报中对内控有效 性做出评价 审计师须对管理层遵循情况进行 审计 并出具审计报告 企业应当对内部控制的有效性进行 自我评价 并披露年度自我评价报 告 企业应当聘请会计师事务所对财务 报告内部控制的有效性发表审计意 见 基本要求相同 实施范围在美上市的本土和外国企业在中国上市公司范围内施行 鼓励非 上市大中型企业施行 法定实施的范围相同 针对的内 部控制类 别 企业和审计师的工作均针对与财务 报告相关的内部控制 企业自我评价针对全部内部控制类别中国规定显著增加了 企业方面的工作量 审计师的工作量也可 能有所增加 遵循批次根据企业规模和注册地分批遵循 大型企业和本土企业先期遵循 小 型企业和外国企业后延 在境内外同时上市的公司首先施行 在上海证券交易所 深圳证券交易所 主板上市的公司晚一年实施 在中小 板和创业板上市的公司实施时间目前 尚未明确规定 将择机实施 均考虑到了企业内控 水平和资源状况的差 别 豁免上市首年豁免遵循管理层报告和审 计要求 尚未明确规定中国规定未对首年上 市的企业给予豁免 企业内部控制基本规范及配套指引 与萨班斯法案第404条款的比较 企业内部控制基本规范及配套指引 与萨班斯法案第404条款的比较 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 企业内部控制基本规范及配套指引 与萨班斯法案第404条款的比较 续 企业内部控制基本规范及配套指引 与萨班斯法案第404条款的比较 续 企业的内部控制评价企业的内部控制评价 比较内容比较内容美国规定美国规定中国规定中国规定对比结果 供讨论 对比结果 供讨论 是否给出内 控评价指引 SEC发布了评价指引 不强 制企业遵循 系可接受的一 种遵循途径 企业内部控制评价指引属于 基本规范的配套指引 从表达方式上判断 SEC的评价 指引的强制力弱于中国评价指 引 评价指引的 详细程度 原则性指引原则性指引相比较而言 中国指引针对实 际操作的规定性内容更多 而 美国指引的思路性讲解更加细 致 美国指引的总体篇幅显著 长于中国指引 评价责任机 构 管理层董事会 或类似权力机构 由治理层或是管理层担负内控 评价的职责 均属于国际通行 的做法 须评价的内 控范畴 内控设计和内控执行内控设计和内控执行相同 评价所采用 的内部控制 框架 未作强制要求 但必须是一 个适当的 得到一定认可的 框架 例如COSO 基本规范 应用指引及本企 业内控制度 中国企业须采用中国的内控框 架 企业评价的 总体思路 建议采用自上而下 基于风 险的思路 全面性原则 重要性原则和 客观性原则 中国规定对评价思路的相关叙 述较少 未对企业如何有效的 计划评价工作提供具体指导 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 企业的内部控制评价 续 企业的内部控制评价 续 比较内容比较内容美国规定美国规定中国规定中国规定对比结果 供讨论 对比结果 供讨论 评价所采用 的内部控制 框架 未作强制要求 但必须是一 个适当的 得到一定认可的 框架 例如COSO 基本规范 应用指引及本企业 内控制度 中国企业应采用中国的内控 框架 内控缺陷分 类 一般缺陷 显著缺陷 实质 性漏洞 分别给出了定义 企业和审计师双方定义相同 企业方和审计师方均应将缺陷 分为一般缺陷 重要缺陷和重 大缺陷三级 但仅在企业的评 价指引中对缺陷分类给出定 义 在审计指引中未给出相关 定义 美国规定下 企业和审计师 工作所针对的内部控制类别 相同 缺陷分类定义也相同 中国规定下 双方工作所针 对的内部控制类别不同 企业类别包含审计师类别 目前仅针对前者给出了缺陷 的分类定义 后者尚缺 虽 然前者包含后者 但对后者 给出定义仍存在必要性 评价结论的 判定标准 存在一个或多个实质性漏 洞 内部控制即告无效 未明确说明内控有效性结论的 判定标准 中国规定在这一问题上的模 糊可能导致不同企业间评价 结论的可比性降低 评价结论的 时间概念 评价结论针对年末时点未清晰说明 但提出了 将12 月31日作为年度内部控制评价 报告的基准日 这一概念 中国监管机构可能还需要进 一步明确评价结论是针对年 末时点还是针对整年期间 企业内部控制基本规范及配套指引 与萨班斯法案第404条款的比较 续 企业内部控制基本规范及配套指引 与萨班斯法案第404条款的比较 续 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 企业的内部控制评价 续 企业的内部控制评价 续 比较内容比较内容美国规定美国规定中国规定中国规定对比结果 供讨论 对比结果 供讨论 企业方面报告的内容要求有明确规定有明确规定美国的报告内容要求较 为简单 利于不同企业 之间的比较 中国的报 告内容要求比较全面而 综合 信息量更大 评价指引的梗概内容梗概相似 评价过程 评价的证据 衡量缺陷 评价结果的报告和披露 企业内部控制基本规范及配套指引 与萨班斯法案第404条款的比较 续 企业内部控制基本规范及配套指引 与萨班斯法案第404条款的比较 续 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 审计师的内部控制审计审计师的内部控制审计 比较内容比较内容美国规定美国规定中国规定中国规定对比结果 供讨论 对比结果 供讨论 审计意见对 象 仅就企业内部控制有 效性发表意见 不对 企业评价过程发表意 见 仅就企业内部控制有效 性发表意见 不对企业 评价过程发表意见 相同 审计意见的 时间概念 审计意见针对年末时 点 审计意见针对企业内部 控制自我评价基准日 即年末时点 相同 财务报表审 计和内部控 制审计的关 系 必须由同一家事务所 整合实施 不得将内 部控制审计作为一项 单独的业务 可以将二者整合进行 也可分别实施 整合审计的主要好处 1 财务报表审计工作能够为内控审计目 的下的职业判断提供更有效的依据 提升 审计效果 2 审计师针对内部控制所执行的程序同 时支持内控审计和财务报表审计两个目 的 对企业而言不必就同一事项分别提供 两次证据 3 标准一致 如重要性标准 减小两 项审计采用双重标准可能给报告使用者带 来困惑的风险 企业内部控制基本规范及配套指引 与萨班斯法案第404条款的比较 续 企业内部控制基本规范及配套指引 与萨班斯法案第404条款的比较 续 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 审计师的内部控制审计 续 审计师的内部控制审计 续 比较内容比较内容美国规定美国规定中国规定中国规定对比结果 供讨论 对比结果 供讨论 计划审计工作 的宗旨 着眼于发现财务报告内部 控制的实质性漏洞 而不 是全部内控缺陷 着眼于企业是否在所有重大方面 保持了有效的财务报告内部控 制 并在报告中对审计过程中注 意到的非财务报告内部控制的重 大缺陷加以描述 中国规定可能会导致审 计师的工作量增加 实施审计的总 体思路 应当采用自上而下 基于 风险的思路 应当采用自上而下 基于风险的 思路 相同 审计所采用的 内部控制框架 应当采用与管理层相同的 适当框架 与管理层相同 基本规范 应 用指引 评价指引以及企业自身 内部控制制度 相同 利用他人的工 作 允许审计师利用企业内部 审计人员 其他员工 以 及第三方的工作来减少自 身工作 允许审计师利用企业内部审计人 员 内部控制评价人员和其他相 关人员的工作 允许审计师利用他人工 作 为企业提供了降低 遵循成本的机会 审计意见种类无保留意见 否定意见 拒绝表示意见 无保留意见 否定意见 无法表 示意见 相同 审计报告的内 容要求 有明确规定有明确规定相同 企业内部控制基本规范及配套指引 与萨班斯法案第404条款的比较 续 企业内部控制基本规范及配套指引 与萨班斯法案第404条款的比较 续 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 二 分析企业现行内控手册与 企业内部控制基本规 范及配套指引 相关要求可能存在的主要差距 二 分析企业现行内控手册与 企业内部控制基本规 范及配套指引 相关要求可能存在的主要差距 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 企业内部控制基本规范企业内部控制基本规范 及应用指引及应用指引 对标分析对标分析 对标分析对标分析 行业较佳行业较佳 实务实务 对标分析是关键对标分析是关键 现行内现行内 控制度控制度 手册 手册 华华能国际能国际 内内控手册 控手册 制度制度 应用指引 评价指引和审计指引三大指引 目前尚未正式颁布 总则总则 一 内部环境 内部控制遵循原则 全面性 重要性 制衡性 适应性 成本效益 内部控制目标 合理保证企业经营管理合法合规 资产安全 财务报告及相关信息真实完 整 提高经营效 率和效果 促进企业实现战略发展 制定相关政策 设置内部机构 明确职责权限 二 风险评估 三 控制活动 四 信息与沟通 五 内部监督 确定风险承受 度 识别企业内部 外部风险 进行风险分析 制定风险应对 策略 不相容职责分 离控制 授权审批控制 会计系统控制 财产保护控制 预算控制 运营分析控制 绩效考评控制 建立信息与沟 通制度 提高信息有用 性 加强信息沟通 渠道 发挥信息技术 作用 建立反舞弊机 制 日常监督 专项监督 内控缺陷的识 别和 整 改 内控评价报告 13 内部环境内部环境类类 5个5个 组织架构 发展战略 人力资源 企业文化 社会责任 控控制活动制活动类类 9个9个 资金活动 采购业务 资产管理 销售业务 研究与开发 工程项目 担保业务 业务外包 财务报告 控制手段控制手段类类 4个4个 全面预算 合同管理 内部信息传递 信息系统 内部环境内部环境类类 5个5个 组织架构 发展战略 人力资源 企业文化 社会责任 控控制活动制活动类类 9个9个 资金活动 采购业务 资产管理 销售业务 研究与开发 工程项目 担保业务 业务外包 财务报告 控制手段控制手段类类 4个4个 全面预算 合同管理 内部信息传递 信息系统 通过对标分析工作 准确了解公司现行内控制度 通过对标分析工作 准确了解公司现行内控制度 手册与企业内部控制基本规范及应用指引相手册与企业内部控制基本规范及应用指引相 关要求的差距 并据以确定需要开展的补充性工作关要求的差距 并据以确定需要开展的补充性工作 分析现行内控制度 手册对 国内监管规定的符合度 符合度 梳理和分析未涵盖的控制目 标和风险 识别未涵盖的公司层面控制 识别未涵盖的业务流程和关 键控制点 梳理和优化流程框架 分类 确定需要调整和整合的流程 环节和控制点 将风险与控制进行有效衔接 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 指引序指引序 号号 内控配套指引描述 控制点序 内控配套指引描述 控制点序 号号 股份公司控制点描述对比结果股份公司控制点描述对比结果 5 1 1 11 1财务部每年末根据股份公司下年度的利润预 算 投资计划及有关资金安排 预测股份公司 的自有资金和长短期融资规模 编制资金预算 按规定权限报批后执行 基本一致 5 1 1 31 3股份公司 短期综合授信额度协议 由董事 长或经其授权的委托代理人与相关金融机构签 署 在总的授信额度范围内 财务部按规定权 限向各分公司 全资子公司下达票据授信额度 向控股子公司下达短期 含票据 授信额度 日常授信额度如需调整 由各分 子 公司 向财务部提出申请 财务部按规定权限审批下 达 基本一致 5 2境外筹资还应考虑所在地的政治 经济 法律 市场等因素 N AN A欠缺 6 2重大筹资方案应当形成可行性研究报告 全面反映风险评估情况 企业可以根据实 际需要 聘请具有相应资质的专业机构进 N AN A欠缺 企业内部控制应用指引第6号 资金活动股份公司内控手册企业内部控制应用指引第6号 资金活动股份公司内控手册 5 1企业应当根据筹资目标和规划 结合年度 全面预算 拟订筹资方案 明确筹资用途 规模 结构和方式等相关内容 对筹资 成本和潜在风险作出充分估计 合计第6号 资金活动第7号 采购业务 第18号 信息系统 内控指引控制点总数 合计第6号 资金活动第7号 采购业务 第18号 信息系统 内控指引控制点总数a3043723 19 控制点总数b 110783151 166 完全符合点数c 1931820 15 部分符合点数c1 2600 1 多出控制点数d 2391113 44 符合率符合率e c c1 a72 49 87 84 缺失率缺失率f 1 e 28 51 13 16 X X 公 司 X X 公 司 对标分析是关键 续 对标分析是关键 续 第6号 资金活动第6号 资金活动 1对于境外融资 应考虑所在地的政治 经济 法律 市场等因素 2重大筹资方案应当形成可行性研究报告 全面反映风险评估情况 企业可以根据实际需要 聘请具有相应资质的专业机构进行可行性研究 3企业应当严格按照筹资方案确定的用途使用资金 筹资用于投资的 应当分别按照本指引第 三章和 企业内部控制应用指引第11号 工程项目 规定 防范和控制资金使用的风险 4由于市场环境变化等确需改变资金用途的 应当履行相应的审批程序 严禁擅自改变资金用 途 5企业应当选择合理的股利分配政策 兼顾投资者近期和长远利益 避免分配过度或不足 股 利分配方案应当经过股东 大 会批准 并按规定履行披露义务 6定期与资金提供方进行账务核对 确保筹资活动符合筹资方案的要求 7境外投资还应考虑政治 经济 法律 市场等因素的影响 8企业采用并购方式进行投资的 应当严格控制并购风险 重点关注并购对象的隐性债务 承 诺事项 可持续发展能力 员工状况及其与本企业治理层及管理层的关联关系 合理确定支 付对价 确保实现并购目标 9企业应当严禁资金的体外循环 切实防范资金营运中的风险 10企业在营运过程中出现临时性资金短缺的 可以通过短期融资等方式获取资金 资金出现短 期闲置的 在保证安全性和流动性的前提下 可以通过购买国债等多种方式 提高资金效益 第7号 采购业务第7号 采购业务 1各分 子 公司应当对办理采购业务的人员定期进行岗位轮换 第8号 资产管理第8号 资产管理 1企业内部除存货管理 监督部门及仓储人员外 其他部门和人员接触存货 应当经过相关部 门特别授权 2自制存货的验收 应当重点关注产品质量 通过检验合格的半成品 产成品才能办理入库手 续 不合格品应及时查明原因 落实责任 报告处理 内控手册尚缺控制点汇总内控手册尚缺控制点汇总 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 经营管理合法合规经营管理合法合规 资产安全资产安全 财务报告及相关信息真实完整财务报告及相关信息真实完整 提高经营效率和效果提高经营效率和效果 促进企业实现发展战略促进企业实现发展战略 经营的效率和效果经营的效率和效果 财务报告的可靠性财务报告的可靠性 适用法律法规的遵循性适用法律法规的遵循性 COSO报告 企业内部控制基本规范 COSO报告 企业内部控制基本规范 企业目标企业目标 遵循萨班斯法案404条款 关注的内控目标 遵循萨班斯法案404条款 关注的内控目标 遵循企业内部控制基本规范 及配套指引关注的内控目标 遵循企业内部控制基本规范及配套指引 需涵盖企业五大目标 而不仅仅是财务报告真 实可靠性目标 遵循企业内部控制基本规范 及配套指引关注的内控目标 遵循企业内部控制基本规范及配套指引 需涵盖企业五大目标 而不仅仅是财务报告真 实可靠性目标 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 16 目标 风险和控制之间的关系目标 风险和控制之间的关系 企业目标 企业目标 可量化 可衡量 可以实现的业 务目标 风险 风险 企业面临的风险是由 内部或外部因素引起 的 对企业的现实目 标或潜在目标造成影 响的一系列不确定事 件 控制 控制 通过系统的管 理程序或活动 确保风险应对 策略的有效实 施 减少不确 定性的影响 风险应对策略 风险应对策略 企业根据自身条件和 风险偏好 风险承受 度 选择风险规避 降低 分担 承受等 适合的风险应对策略 企业建立和完善内部控制体系 其最终目的是为了控制风险 实现企业目标 企业建立和完善内部控制体系 其最终目的是为了控制风险 实现企业目标 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 17 需重点关注的目标和风险需重点关注的目标和风险 企业目标 企业目标 促进企业实现 发展战略 提高经营效率 和效果 经营管理合法 合规 资产安全 风险 风险 战略风险 运营风险 市场风 险 法律 合规风险 资产安全风险 内部控制 内部控制 发展战略 组织架构 社会责任 企业文化 人力资源 工程项目 风险应对策略 风险应对策略 企业根据自身条件 和风险偏好 风险 承受度 选择风险 承担 规避 转移 转换 对冲 补 偿 控制等适合的 风险管理总体策略 作为一家美国上市公司 在规划和筹备企业内部控制基本规范及配套指引遵循 工作时 应特别关注以下类别的目标和风险 作为一家美国上市公司 在规划和筹备企业内部控制基本规范及配套指引遵循 工作时 应特别关注以下类别的目标和风险 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 公司层面控制可能存在的主要差距公司层面控制可能存在的主要差距 以一家美国上市公司举例 该公司依据国际通用的COSO内控框架对公司层面控制进 行了系统记录 但是 与企业内部控制基本规范及配套指引的相关要求相比 可能 在内部环境方面仍存在较大的差距 例如未涵盖发展战略和社会责任 需补充和调 整组织架构和企业文化方面的内容等 发展战略发展战略 发展目标的确定 战略规划的制定 战略实施 战略监控 战略转型 组织架构组织架构 法人治理架构 重大事项集体 决策审批机制 内部职能结构 组织架构运行 对子公司管控 企业文化企业文化 企业文化的建设 企业文化的宣传 贯彻 企业文化的评估 社会责任社会责任 安全生产 环境保护 产品质量 促进就业与员 工权益保护 社会公益 示例 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 整合公司层面控制时与国内监管要求对接整合公司层面控制时与国内监管要求对接 在梳理和整合公司层面的控制时 建议 企业与国际通用的COSO内控框架以及财 政部基本规范的内控五要素进行对接 以确保同时满足境内外上市公司的相关 监管要求 左图列示了内控手册中公司层面控制部 分的目录示例 根据需要 以文字描述和风险控制矩阵 相结合的方式描述每一类公司层面控制 的内容 说明说明 公司层面的控制公司层面的控制 1 内部环境1 内部环境 1 1 发展战略 1 2 组织架构 涵盖COSO框架中的董事会及审计委员会 组织结构 职权和职责的 分配 1 3 企业文化 涵盖COSO框架中的正直守德的价值取向 管理哲学和经营风格 1 4 人力资源 涵盖COSO框架中要求的人力资源政策和实务 员工胜任能力 1 5 社会责任 2 风险评估2 风险评估 2 1风险识别 2 2 风险分析 2 3 风险应对 3 控制活动3 控制活动 可汇总业务流程中集中的处理和控制 针对期末财务报告流程的 控制 监督经营结果的控制等内容 是否需要在该部分单列 可视 企业需要而定 4 信息与沟通4 信息与沟通 4 1信息系统一般控制 4 2反舞弊 4 3报告与披露 5 内部监督5 内部监督 5 1内部审计 5 2内部控制自我评价 示例示例 19 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 流程层面控制可能存在的主要差距流程层面控制可能存在的主要差距 以一家美国上市公司举例 将现行内控制度 手册与企业内部控制基本规范及配套指引 的相关要求相比 流程层面控制方面可能存在的主要差距体现在部分业务流程 子流程 流程环节或控制点缺失或内容不充分 举例 缺失的内容 资金活动缺失的内容 资金活动 1 1 境外融资和投资 应考虑所在地的政治 经济 法律 市场等因素的影响 2 2 重大筹资方案应当形成可行性研究报告 全面反映风险评估情况 企业可以根据实际需要 聘请具有相应资质的专业机构进行可 行性研究 3 3 由于市场环境变化等确需改变资金用途的 应当履行相应的审批程序 严禁擅自改变资金用途 4 4 应当选择合理的股利分配政策 兼顾投资者近期和长远利益 避免分配过度或不足 股利分配方案应当经过股东 大 会批准 并按规定履行披露义务 5 5 采用并购方式进行投资的 应当严格控制并购风险 重点关注并购对象的隐性债务 承诺事项 可持续发展能力 员工状况及其 与本企业治理层及管理层的关联关系 合理确定支付对价 确保实现并购目标 6 6 在营运过程中出现临时性资金短缺的 可以通过短期融资等方式获取资金 资金出现短期闲置的 在保证安全性和流动性的前提 下 可以通过购买国债等多种方式 提高资金效益 缺失的内容 采购业务缺失的内容 采购业务 1 1 各分 子 公司应当对办理采购业务的人员定期进行岗位轮换 缺失的内容 担保业务缺失的内容 担保业务 1 1 不得提供担保的五种情形 2 2 为关联方提供担保的 与关联方存在经济利益或近亲属关系的有关人员在评估与审批环节应当回避 3 3 对境外企业进行担保的 应当遵守外汇管理规定 并关注被担保人所在国家的政治 经济 法律等因素 示例示例 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 流程层面控制可能存在的主要差距 续 流程层面控制可能存在的主要差距 续 缺失的内容 资产管理缺失的内容 资产管理 1 1 应当定期对专利 专有技术等无形资产的先进性进行评估 淘汰落后技术 加大研发投入 促进技术更新换代 不断提升自主创新能力 努力做到核心技术处于同行业领先水平 2 2 应当重视品牌建设 加强商誉管理 通过提供高质量产品和优质服务等多种方式 不断打造和培育主业品牌 切实 维护和提升企业品牌的 社会认可度 缺失的内容 工程项目缺失的内容 工程项目 1 1 在项目评审过程中 应当重点关注项目投资方案 投资规模 资金筹措 生产规模 投资效益 布局选址 技术 安全 设备 环境保护 等方面 核实相关资料的来源和取得途径是否真实 可靠和完整 2 2 可以委托具有相应资质的专业机构对可行性研究报告进行评审 出具评审意见 从事项目可行性研究的专业机构不得再从事可行性研究报 告的评审 3 3 在选择承包单位时 企业可以将工程的勘察 设计 施工 设备采购一并发包给一个项目总承包单位 也可以将其中的一项或者多项发包 给一个工程总承包单位 但不得违背工程施工组织设计和招标设计计划 将应由一个承包单位完成的工程肢解为若干部分发包给几个承包 单位 缺失的内容 内部信息传递缺失的内容 内部信息传递 1 1 各级管理人员应当充分利用内部报告管理和指导企业的生产经营活动 及时反映全面预算执行情况 协调企业内部相关部门和各单位的运 营进度 严格绩效考核和责任追究 确保企业实现发展目标 2 2 应当有效利用内部报告进行风险评估 准确识别和系统分析企业生产经营活动中的内外部风险 确定风险应对策略 实现对风险的有效控 制 对于内部报告反映出的问题应当及时解决 涉及突出问题和重大风险的 应当启动应急预案 3 3 应当制定严格的内部报告保密制度 明确保密内容 保密措施 密级程度和传递范围 防止泄露商业秘密 4 4 应当建立内部报告的评估制度 定期对内部报告的形成和使用进行全面评估 重点关注内部报告的及时性 安全性和有效性 缺失的内容 信息系统缺失的内容 信息系统 1 1 开发信息系统 应当将生产经营管理业务流程 关键控制点和处理规则嵌入系统程序 实现手工环境下难以实现的控制功能 2 2 在系统开发过程中 应当按照不同业务的控制要求 通过信息系统中的权限管理功能控制用户的操作权限 避免将不相容职责的处理权限 授予同一用户 示例示例 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 对风险进行系统分类 建立风险库对风险进行系统分类 建立风险库 22 一级风险一级风险一级风险定义一级风险定义 1 战略风险 由于战略制定和实施的流程 无效 低效或不充分 而影 响企业战略目标实现的风险 2 财务风险 由于财务政策 财务运作及 财务管理等方面的不恰当行 为而导致的风险 3 市场风险 由于市场环境的不利变化而 导致损失的风险 4 运营风险 因企业日常生产运营过程的 不确定性而导致损失的风险 5 法律风险 由于违反法律法规以及监管 要求的相关规定而导致的风 险 编号编号二级风险二级风险二级风险定义二级风险定义 4 1 并购整合风 险 由于集团由多种业务板块及多家公司整合而导致所属 板块 公司无法进行协同的风险 4 2营销风险 由于公司营销体系设计的不恰当或操作的不完善而导 致的风险 4 3 招标 采购 风险 由于招标 采购流程设计 执行的不恰当 以及招标 采购计划不完善导致的风险 4 4 人力资源风 险 由于在人员招聘及管理 干部选拔 薪酬管理 人力 资源发展规划 企业文化融合方面的不恰当而导致的 风险 编号编号风险事件风险事件 4 3 1重要资产采购未得到批准 导致资产采购不当或影响资金流转 4 3 2未能提出恰当的采购需求和采购计划 影响采购效率 4 3 3 供应商选择不当 导致采购的产品服务无法满足生产运营的要求 或 影响采购的效率效果 4 3 4 设备 原材料的价格和质量控制不到位 不利于控制成本 影响生产 运营 示例示例 考虑建立风险分类 形成风险库 并与内 控手册中各项具体风险保持一致 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 风险评估风险评估 基本的自上而下回应 风险的内部控制 基本的自上而下回应 风险的内部控制 固有 风险 固有 风险 固有 风险 固有 风险 固有 风险 固有 风险 固有 风险 固有 风险 固有 风险 固有 风险 固有 风险 固有 风险 固有 风险 固有 风险 固有 风险 固有 风险 剩余 风险 剩余 风险 剩余 风险 剩余 风险 剩余 风险 剩余 风险 剩余 风险 剩余 风险 剩余 风险 剩余 风险 剩余 风险 剩余 风险 剩余 风险 剩余 风险 剩余 风险 剩余 风险 管理层评估 剩余风险 管理层评估 剩余风险 业务在可承 受的风险范 围内运作 剩余风险 固有风险 控制有效性 业务在可承 受的风险范 围内运作 剩余风险 固有风险 控制有效性 在系统识别和分析影响公司目标实现的风险的基础上 企业应评估固有风险的高低 合理确 定风险应对策略和内控措施 将剩余风险控制在公司可承受范围之内 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 风险评估举例风险评估举例 风险 燃料供应不足 评价固有风险 极高 影响 较大 对业务有重大影响 严 重损害公司为客户服务的能力 发生的可能性 较大可能 可能会在很 多情况下发生 建立风险控制措施 制定采购计划 合理安排采购区域 建立供应商战略合作关系 制定安全存货库存量 评价剩余风险 中等 影响 中等 对业务有一定影响 发生的可能性 可能 可能在某时发生 M S T S T 风险评级描述风险评级描述 L H L L VL M L VL VL L L 2 2 发生的可能性 影响程度 几乎不 可能 很可能 可能 稍有 可能 几乎无 影响 轻微一般重大 几乎 确定 灾难性 VH VH VH H HH M M M 1 1 L H H H H H M S T S T 风险评级描述风险评级描述 L H L L VL M L VL VL L L 2 2 发生的可能性 影响程度 几乎不 可能 很可能 可能 稍有 可能 几乎无 影响 轻微一般重大 几乎 确定 灾难性 VH VH VH H HH M M M 1 1 L H H H H H 1 2H 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 风险评估 风险评级矩阵示例风险评估 风险评级矩阵示例 基本规范 第二十四条规定 企业应当采用定性与定量相结合的方法 按照风险发生的 可能性及其影响程度等 对识别的风险进行分析和排序 确定关注重点和优先控制的风险 基本规范 第二十四条规定 企业应当采用定性与定量相结合的方法 按照风险发生的 可能性及其影响程度等 对识别的风险进行分析和排序 确定关注重点和优先控制的风险 风险评级 发生可能性 影响程度 2个维度 风险评级 发生可能性 影响程度 2个维度 企业应当从定性及定量的角度 分别对每个风险的 发生可能性 和 影响程度 进行评 级 再将这2个维度的评级按照如下的矩阵结合 得出每个风险点的最终评级 企业应当从定性及定量的角度 分别对每个风险的 发生可能性 和 影响程度 进行评 级 再将这2个维度的评级按照如下的矩阵结合 得出每个风险点的最终评级 风险评级矩阵 影响程度 发生可能性 几乎 无影 响 轻微一般严重灾难 性 几乎确定中等高高极高极高 很可能低中等高高极高 可能低低中等高高 稍有可能极低低低中等高 几乎不可能极低极低低低中等 1极低 2低 3中等 4高 5极高 示例示例 25 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 2626 确定风险评级标准 风险影响程度示例确定风险评级标准 风险影响程度示例 1 几乎无影响2 轻微3 一般4 严重5 灾难性 1 财务损失 1 几乎无影响2 轻微3 一般4 严重5 灾难性 1 财务损失300万以下300万 1500万以下1500万 3000万3000万 6000万6000万以上 2 业务损失 对核心业务绩效的 影响 2 业务损失 对核心业务绩效的 影响 极小影响轻微影响 例如对收 入 客户 市场份额 等有轻微影响 有一定影响 但是经过一定的弥补 措施仍可能达到营运目标或关键业 绩指标 较大影响 无法达到部分营运目 标或关键业绩指标 极大影响 无法达到所有的营运 目标或关键业绩指标 3 信息错报影响3 信息错报影响 对内 外部信息使用 者不会产生影响 对信息准确性有轻微 影响 但不会影响使 用者的判断 对信息使用者有一定的影响 可能 会影响使用者对于事物性质的判断 在一定程度上可能导致错误的决 策 错误信息可能会导致使用者做出 重大的错误决策 错误信息可能会导致信息使用者 做出截然相反的决策 造成不可 挽回的决策损失 4 营运影响4 营运影响 对日常营运没有影响 仅影响内部效率 不 直接影响对外展业 对内外部均造成了一定影响 比如 关键员工或客户流失 严重损伤公司核心竞争力 严重 损害公司为客户服务的能力 重要商业活动的长期中断 影响 到持续经营能力 5 生产安全影响5 生产安全影响 轻伤 需治疗需住院治疗重伤 部分或全部丧失劳动能力1至3人 含3人 死亡事故3人以上死亡事故 6 环境影响6 环境影响 对环境或社会造成短 暂的影响 可不采取 行动 对环境或社会造成一 定的影响 应通知政 府有关部门 对环境造成中等影响 需一定时间 才能恢复 出现个别投诉事件 应 执行一定程度的补救措施 造成主要环境损害 需要相当长的时间来恢复 大 规模的公众投诉 应执行重大的 补救措施 无法弥补的灾难性环境损害 激 起公众的愤怒 潜在的大规模的 公众法律投诉 7 声誉影响7 声誉影响 负面消息在企业内部 流传 企业声誉没有 受损 负面消息在当地局部 流传 对企业声誉造 成轻微损害 负面消息在某区域流传 对企业声 誉造成中等损害 负面消息在全国各地流传 引起 公众关注 引发诉讼 对企业声 誉造成重大损害 负面消息流传世界各地 政府或 监管机构进行调查 引起重大诉 讼 对企业声誉造成无法弥补的 损害 评级 风险影响程度评估标准 评级 风险影响程度评估标准 以下是风险影响程度的评估标准示例 示例示例 注 公司董事会和管理层需定期 至少每年 对上述评估标准进行审视 并适时进行调整 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 2727 确定风险评级标准 风险发生可能性示例确定风险评级标准 风险发生可能性示例 示例示例 以下是风险发生可能性的评估标准示例 1 几乎不可能2 稍有可能3 可能4 很可能5 几乎确定 定量 一个完整财 务年度内发 生的概率 1 几乎不可能2 稍有可能3 可能4 很可能5 几乎确定 定量 一个完整财 务年度内发 生的概率 10 以下10 30 30 70 70 90 90 以上 定性事件性质定性事件性质 一般情况下不会 发生 极少情况下才发 生 某些情况下发生较多情况下发生常常会发生 风险发生可能性评估标准 评级 风险发生可能性评估标准 评级 2010 毕马威企业咨询 中国 有限公司是一家中国外商独资企业 同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员 版权所有 不得转载 中国印刷 将风险与控制进行衔接 风险控制矩阵示例将风险与控制进行衔接 风险控制矩阵示例1 示例示例 28 XX公司 风险控制矩阵 流程名称 筹资业务流程 流程负责人 资金处 版本情况 V1 0 XX公司 风险控制矩阵 流程名称 筹资业务流程 流程负责人 资金处 版本情况 V1 0 1 1 1 2资金预算编制不合理 造成 筹资不足或负债过高 2 经营风险 2 1 筹资管控风险 高分 子 公司按照股份公司下达的经营计划和预计投资规模并按照资产负 债率控制要求编制年度资金预算 分公司 全资子公司经总会计师审核后 报财务部 控股子公司按照公司章程和制度规定的职责权限审核后报财务 部 分 子 公司财务部门根据年度资金预算 结合生产经营情况及投资 计划的项目进度编制月度资金预算上报财务部 财务部结合年度资金预算 执行情况确定月度资金预算 1 2人工财务部 分 子 公 司 1 1如果筹资授权未以授权书为 标准 而是逐级授权 口头 通知 可能产生重大差错或 舞弊 欺诈行为 从而使企 业遭受损失 2 经营风险 2 1 筹资管控风险 中等涉及集团公司与金融机构签署 框架协议 或 授信额度 的 由集团财 务部资金管理处按照年度资金预算和月度计划 会同法律及相关部门与相 关金融机构洽谈集团公司贷款 框架协议 及 授信额度 事项 在与相 关金融机构协商形成 框架协议 或 授信额度 文本及合同后 签报相 关领导按照 权责指引 审批并在 框架协议 或 授信额度 合同上签 字 加盖集团公司印章 涉及所属单位与金融机构签署 框架协议 或 授信额度 的 由集团财务部相关处室审核 提出是否同意的意见 报经 相关领导按 权责指引 审签后 由所属单位根据集团财务部的审定意 2 3人工财务部 法律事务部 1 3 2 1未能及时发现差异和处理 影响财务报告 3 财务风险 3 3 财务报告风险 高各级财务部门负责借款本息的管理和核对工作 建立借款明细台账 月末 及时核对 如有差异 及时查清原因处理 核对无误后 按规定权限办理 付款审批手续 按时偿还本息 2 6人工 自动财务部 分 子 公 司 短期借款 财务费用 3 1 3 2未经审核 变更合同示范文 本中涉及权利 义务条款导 致的风险 4 法律风险 4 2 合同纠纷风险 中等财务部按照资金预算和分公司 全资子公司的实际融资需求 与有关金融 机构洽谈并办理相关融资业务手续 按规定权限签署融资合同 协议 境内外重大项目融资合同和银团贷款合同 法律事务部须参与谈判 审核 合同 并向相关部门出具书面法律意见 2 8人工财务部 分 子 公 司 4 1偿还债务未按规定权限审批 造成损失 5 资产安全风险 5 1 资产流失风险 高各级财务部门负责借款本息的管理和核对工作 建立借款明细台账 月末 及时核对 如有差异 及时查清原因处理 核对无误后 按规定权限办理 付款审批手续 按时偿还本息 2 6人工 自动财务部 分 子 公 司 风险描述描述 相关制度 索引 涉及的会