CHP6风险管理框架下的内部控制-JH.ppt

,风险管理框架下的内部控制,本章内容,内部控制与风险管理的关系我国内部控制规范体系内部控制基本规范内部控制应用指引内部控制评价与审计风险管理、内部控制与公司治理,第一节内部控制与风险管理的关系,一、企业内部控制理论的演变与发展,（一）内部牵制阶段第一阶段，起步阶段，即内部牵制阶段最初的内部控制定义就是内部牵制，它基本是以查错防弊为目的，以职务分离和账目核对为手段，以钱、账、物等会计事项为主要控制对象，其核心主要关注于会计领域,（二）内部控制制度阶段第二阶段，进化阶段，即内部控制制度阶段内部控制开始区分为内部会计控制和内部管理控制两方面，主要通过形成和推行一整套内部控制制度（方法和程序）来实施控制1972年，美国注册会计师协会审计程序委员会第54号审计程序公告对内部会计控制进行了重新定义，认为内部会计控制是组织计划以及关于保护资产安全完整和财务记录有效性的程序和记录,（三）内部控制结构阶段第三阶段，提高阶段，即内部控制结构阶段将控制环境作为一项重要内容与会计制度、控制程序一起纳人内部控制结构之中，并且不再区分内部会计控制和内部管理控制1988年4月，美国注册会计师协会发布审计准则公告第55号（SASNo.55）,规定从1990年1月起以该文告取代1972年发布的审计准则公告第1号将内部控制环境纳入内部控制范畴不再区分内部会计控制和内部管理控制,（四）内部控制整合框架阶段第四阶段，演进阶段，即内部控制整合框架阶段1992年，COSO（CommitteeofSponsoringOrganization）委员会的指导内部控制实践的纲领性文件内部控制：整合框架（ICInternalControl）内部控制发展史上的里程碑三项目标：取得经营的效率和有效性确财务报告的可靠性遵循适用的法律法规,（1）控制环境：内部审计师协会对控制环境的定义是：“董事会与管理层对待公司内部控制的重要性的态度及采取的行为”，是其它内部控制元素的根基，并提供纪律与结构，被称为企业的“最高层”（2）风险评估：识别和分析影响目标实现的风险（包括与监管和运营环境不断变化有关的风险），以此来确定如何降低和管理此类风险的依据，分为可控制风险和不可控制风险（3）控制活动：确保管理层的决策与指示得以执行的政策和程序，企业内部各层面均存在控制活动，包括组织控制、职责划分、调节和复核、实物控制、授权和批准、计算和会计、人员控制、监督及管理控制,（4）信息与沟通：在人员能够履行责任的方式及时间范围内，识别、取得和报告经营、财务与法律遵守的相关信息的有效程序和系统（5）监察：持续评估内部控制系统的充分性及表现情况的程序，内部审计部门通常是内部控制系统的主要监察人,COSO的上述定义对内部控制的基本概念提供了一些深入的见解，特别是：内部控制是一个实现目标的程序及方法，而其本身并非目标内部控制只提供合理保证，而非绝对保证内部控制要由企业中各级人员实施与配合,（五）全面风险管理阶段第五阶段，提升阶段，即全面风险管理阶段2004年，COSO发布了新的企业风睑管理整合框架（ERM，EnterpriseRiskManagement），认为全面风险管理是一个过程,特点：内部控制涵盖在企业风险管理活动之中，是其不可分割的组成部分。拓展了所需实现目标的内容（战略目标、企业编制的所有报告、引入风险偏好和风险容忍度的概念）引入风险组合观更加强调风险评估在风险管理中的基础地位扩展了控制环境的内涵，强调风险管理概念和董事会的独立性扩展了信息与沟通要素,二、内部控制与风险管理的关系,(一）内部控制包含风险管理加拿大COCO报告（1995）认为：“控制”是一个组织中支持该组织实现其目标诸要素的集合体，实质上就是内部控制，风险评估和风险管理是控制的关键要素（二）风险管理包含内部控制认为风险管理的内涵比内部控制更宽阔，内部控制是风险管理的必要环节,（三）内部控制与风险管理是一对既相互联系又相互差别的概念内部控制的目的一般包括提高经营效率，遵守国家有关法律法规和企业内部规章制度，保证信息的真实、可靠和资产的安全、完整，从而实现企业的目标风险管理则是围绕特定目标，通过各种手段对风险进行管理，为实现目标提供合理保证的过程和方法相同点：合理保证目标实现的过程差别：风险管理更偏向这一过程的前端，更偏向于对影响目标实现的因素的分析、评估与应对，是一个更为独立的过程；内部控制更加重视实施，嵌入企业各业务流程的具体业务活动中，融合在企业的各项规章制度之中,第二节我国内部控制规范体系,一、我国内部控制规范体系的建立与发展,中国企业内部控制基本规范对内部控制的定义财政部、证监会、审计署、银监会和保监会与2008年6月联合发布的企业内部控制基本规范中指出内部控制是由企业董事会、证监会、经理层和全体员工实施的、旨在实现控制目标的过程内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和结果，促进企业实现发展战略,（一）企业内部控制基本规范企业内部控制标准委员会的职责和目标是总结我国经验，借鉴国际惯例，有效利用国际国内资源，充分发挥各方面的积极作用，通过数年的努力，基本建立一套以防范风险和控制舞弊为中心，以控制标准和评价标准为主体的内部控制制度体系企业内部控制基本规范，简称内控规范，内控规范要求企业建立内部控制体系时应符合以下目标:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略,内控规范五个要素内部环境、风险评估、控制活动、信息与沟通、内部监督（二）企业内部控制配套指引包括企业内部控制应用指引（18项）、企业内部控制评价指引、企业内部控制审计指引标志着“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、层次分明、衔接有序、方法科学、体系完备”的企业内部控制规范体系建设目标基本建成,二、内部控制规范的框架体系,企业内部控制规范是一个科学的体系，基本规范、应用指引、评价和审计指引三个类别构成一个相辅相成的整体（1）企业内部控制基本规范规定内部控制的基本目标、基本荽素、基本原则和总体要求，是内部控制的总体框架，在内部控制标准体系中起统领作用（2）企业内部控制应用指引是对企业按照内部控制原则和内部控制“五要素”建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占据主体地位（3）企业内部控制评价指引和企内部控制审计指引是对企业按照内部控制原则和内部控制“五要素”建立健全本企业“事后控制”的指引，是对企业贯彻基本规范和应用指引效果的评价与检验,内控规范对企业的影响内控规范及配套指引的发布是中国在公司治理方面的一个重要里程碑，体现了中国经济与全球经济的进一步接轨和整合对企业的价值包括：优化流程和改善企业的内控有利于企业更好地理解其所面临的风险，有效规避风险更好地满足合规要求改善财务报告职能更有效地利用信息技术的投资,第三节内部控制基本规范,一、内部控制的目标,基本规范将内部控制定义为：由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程内部控制是一个过程，它是实现目的的手段，而非目的本身内部控制受人的影响，它不仅仅是政策手册和图表，而且涉及企业各层次的人员内部控制只能向企业董事会和经理层提供合理的保证，而非绝对的保证内部控制是为了实现五类既相互独立又相互联系的目标,二、内部控制的原则,全面性，就是强调内部控制应当贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项,重要性，就是指在全面控制的基础上，内部控制应该关注重要业务事项和高风险领域,制衡性，就是指内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率,适应性，就是强调内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整,成本效益原则，又称为成本与效率效果原则，就是指内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制,三、内部控制的实施体系,四、内部控制的五个要素,我国内控规范指出，企业建立与实施有效的内部控制，应当包括下列五个要素,内部环境企业实施内部控制的基础，其他内部控制因素的根基,风险评估企业实施及时识别、系统分析经营活动中与实现内部控制目标的风险，合理确定风险应对策略,控制活动企业根据风险评估结果，采用相关的控制措施，经风险控制在可承受之内,信息与沟通企业及时、准确地收集、传递与内部控制的相关信息,内部监督企业对内部控制建立于实施情况进行监督检查,第四节内部控制应用指引,一、组织结构企业内部控制应用指引第1号组织结构企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排（一）组织架构设计与运行中需关注的主要风险治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下,（二）内部控制要求与措施1.组织架构的设计（1）企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡习题（）对股东大会负责，依法行使企业的经营决策权A董事会B监事会C经理层D董事长（A）监事会对（）负责，监督企业董事、经历和其他高级管理人员依法履行职责A董事会B监事会C股东大会D经理层（C）,（2）企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度（3）企业应当按照科学、精简、高效、透明制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限（4）企业应当对各机构的职能进行科学合理的分解，确定具体岗位的名称、职责和工作要求等，明确各个岗位的权限和相互关系（5）企业应当制定组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责,2.组织架构的运行（1）企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保企业治理结构、内部职能机构设置和运行机制等符合现在企业制度要求（2）企业拥有子公司的，应当建立科学的投资管控制度，通过含法冇效的形式行出资人职责、维护出资人权益（3）企业应当定期对组织架构设计与运行的效率和效果进行全面评估，发现组织架构设计与运行中存在缺陷的，应当进行优化调整,二、发展战略,企业内部控制应用指引第2号发展战略所称发展战略，是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略规划（一）制定与实施发展战略需关注的主要风险缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展,（二）内部控制要求与措施1.发展战略的制定进行充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标战略规划应根据企业的发展目标制定，明确发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径要求企业在董事会下设立战略委员会，或制定相关机构负责发展战略管理工作，履行相应职责要求董事会严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性,2.发展战略的实施（1）企业应当根搪发展战略，制订年度工作计划，编制全面预箅，将年度目标分解、落实；同时完善发展战略管理制度，确保发展战略有效实施（2）企业应当重视发展战略的宜传工作，通过内部各层级会议和教育培训等有效方式，将发展战略及其分解落实情况传递到内部各管理层级和全体员工（3）战略委员会应当加强对发展战略实施情况的监控，定期收集和分析相关信息，对于明显偏离发展战略的情况，应当及时报告（4）由于经济形势、产业政策、技术进步、行业状况以及不可抗力等因素发生重大变化，确需对发展战略作出调整的，应当按照规定权限和程序调整发展战略,三、人力资源,企业内部控制应用指引第3号人力资源所称人力资源，是指企业组织生产经营活动而录（任）用的各种人员，包括董事、监事、高级管理人员和全体员工（一）人力资源管理需关注的主要风险（1）人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现（2）人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露（3）人力资源退出机制不当，可能导致法律诉讼或企业声誉受损,（二）内部控制要求与措施1.人力资源的引进与开发（1）企业应当根据人力资源总体规划，结合生产经营实际需要，制订年度人力资源需求计划。完善人力资源引进制度，规范工作流程（2）企业应当根据人力资源能力框架要求，明确各岗位的职责权限、任职条件和工作要求（3）企业确定选聘人员后，应当依法签订劳动合同，建立劳动用工关系（4）企业应当建立选聘人员试用期和岗前培训制度，对试用人员进行严格考察，促进选聘员工全面了解岗位职责，掌握岗位基本技能，适应工作要求（5）企业应当重视人力资源开发工作，建立员工培训长效机制,2.人力资源的使用与退出（1）企业应当建立和完善人力资源的激励约束机制，设置科学的业绩考核指标体系（2）企业应当制定与业绩考核挂钩的薪酬制度，切实做到薪酬安排与员工贡献相协调，体现效率优先，兼顾公平（3）企业应当制定各级管理人员和关键岗位员工的轮岗制度，明确轮岗范围、轮岗周期、轮岗方式等，形成相关岗位员工的有序持续流动，全面提升员工素质（4）企业应当按照有关法律法规规定，结合企业实际，建立健全员工退出（辞职、解除劳动合同、退休等）机制（5）企业应当定期对年度人力资源计划执行情况进行评估，总结人力资源管理经验，分析存在的主要缺陷和不足,习题企业人力资源管理应当关注下列风险（）A人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现B人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率底下或关键技术、商业秘密和国家机密泄露C人力资源退出机制不当，可能导致法律诉讼或企业声誉受损D以上都正确（D）,四、社会责任,企业内部控制应用指引第4号社会责任所称社会责任，是指企业在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量（含服务）、环境保护、资源节约、促进就业、员工权益保护等（一）履行社会责任方面需关注的主要风险（1）安全生产措施不到位，责任不落实，可能导致企业发生安全事故（2）产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产（3）环境保护投入不足，资源耗费大，造成环境污染或资源枯竭（4）促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定,强化内部环境中不可缺的一个元素，它代表企业管理层的形象和管理风格及责任使命感安全生产建章建制，即用于监督管理控制加大在人力、物力、资金、技术等方面的投入加强安全教育实施预警报告及在重大生产安全事故时立刻启动应急机制产品质量规范生产流程、严格检验、妥善处理投诉环境保护与资源节约促进就业，依法保护员工的合法权益重视产学研用结合、公益事业、慈善事业等,五、企业文化,企业内部控制应用指引第5号企业文化所称企业文化，是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称,5.企业文化与沟通企业文化是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称企业内部控制应用指引第5号企业文化：积极培育具有自身特色的企业文化重视并购重组后的企业文化建设要求高级管理人员在企业文化建设中发挥主导和垂范作用加强企业文化的宣传贯彻，有效沟通，共同遵守，融入生产经营全过程,（二）风险评估,风险评估是整体内部控制结构的一部分，目的在于准确识别与实现控制目标的潜在外部风险和内部风险并确定相应的风险承受程度,企业内部风险包括：人力资源因素职业操守、专业胜任能力管理因素组织机构、业务流程等自主创新因素研发、技术等财务因素现金流、经营成果安全环保因素运营安全、环境保护等风险评估是一个具有前瞻性的过程,内部控制架构中，风险评估的程序：采用定性与定量相结合的方法，评估风险发生的可能性或频率，以及其为企业带来的影响程度对识别的风险进行分析和排序综合运用适当的风险应对策略，有效的控制风险,（三）控制活动企业应当结合风险评估结果，运用相应的控制措施，将风险控制在可承受之内，目的是确保所需的行动得以有效且适时地执行分类：为雇员提供指南（命令式的控制）防止发生不希望出现的事情（预防性控制）在不希望出现的事件发生时能够加以识别（侦查式控制）不希望出现的事情发生时，应识别程序的缺陷，并主动采取措施加以解决（纠正性控制活动）,常见的控制活动：1.不相容职务分离控制（预防性控制）要求企业全面系统性分析、梳理业务流程中的不相容职务，防止具有欺骗性的活动发生或未被查出认可或发起交易处理被交易的资产记录交易2.授权审批控制企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任，目的在于防止错误的发生（预防性控制）,内控规范第30条，企业对于重大的业务和事项，应当实行集团决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策3.会计系统控制企业严格执行我国统一的会计准则制度、明确会计凭证、会计账簿和财务会计报告的处理程序内控规范第31条，从事会计工作的人员，必须取得会计从业证书，会计机关负责人应该具备会计师以上专业技术职务资格,4.调节和复核（侦查式控制）调节，是指雇员将不同数据连接在一起，识别并找出差异，并且在必要时采取纠正措施；业绩复核，是指管理层将当前的业绩与预算、以前期间或其它基准相比较，以此反映目标的完成情况，应对其中的差异进行调查，以确定哪些纠正行动是必要的5.财产保护控制保护实物资产不被偷盗或未经许可而获得即被使用的措施和程序，包括建立财产日常管理制度和定期清查制度,6.预算控制明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束7.营运分析控制企业应建立营运分析制度，管理层可综合运用生产、投资、筹资、财务等方面信息，通过不同种类方法，对营运情况进行分析，发现存在问题，及时查明及更进8.绩效考评控制对企业内部各责任单位和全体员工的绩效进行定期考核和客观评价，将考评结果作为确定员工薪酬以及晋升、评优等依据,（四）信息与沟通为了控制风险，企业有必要设立一个完善的信息与沟通机制，以获取必要的信息，并向需要该信息的所有人员及时提供，确保内部控制有效运行1.信息信息系统提供运营、财务与合规的相关信息（包括内部产生及外部提供的信息），这些信息有助于运作和控制业务，也是做出精明的决策以及对外报告所必需的系统产生的信息的质量会影响管理层作出适当决策的能力,2.沟通两个层次：高级管理层应当向雇员传递清晰的信息上级人员乐于倾听，获得重要信息的上报有效的信息与沟通系统应具备以下特点：能够生成企业经营所需要的、关于财务、运营及法规遵守的报告，帮助做出精明的商业决策、以及对外发布可靠的报告使雇员获得信息，且交流他们为实施、管理及控制运转情况所需的信息使沟通在企业全方位方式下进行,（五）内部监督内控规范第6条，企业制定内部控制监督机制，明确内部审计机关和企业内部机构在内部监督中的权责规范内部监督的程序、方法和要求企业应制定内部控制缺陷认定标准，并定期对内部控制的有效性进行自我评估及按法律法规要求委派会计师进行内部控制的审计1.监督工作内部监督可确保内部控制保持有效的运作，由适当的人员评估控制的设计及运作情况，以及采取适当的跟进行动，可分为日常监督和专项监督,日常监督：职业对建立与实施内部控制情况进行常规、持续监督检查专项监督：在企业发展战略、组织结构、经营活动、业务流程、关键岗位等发生较大调整或变化的情况下，对内部控制的某一方面或某些方面进行针对性的监督检查（1）监督方法：绩效计量；对企业运营进行测试；为控制环境、风险评估、控制活动、信息及沟通，以及控制而制定的政策及程序（2）记录：适量的文件记录能令评价变得更为有效，还有助于雇员了解系统如何运作以及他们所担当的角色，并使得在需要时修改系统变得更简单,（3）报告：所有可能影响企业实现目标的内部控制缺陷，均应向能采取必要行动的人员汇报2.自我评价管理层对内部控制系统的有效性取得合理保证，需要对内部控制系统进行自我评价，包括相关经营环境发展状况、变化程度以及伴随风险、执行控制人员的才能及经验、持续控制的结果,三、企业内部控制的应用,（一）资金活动在第6号指引（资金活动）中，资金活动指企业筹资、投资和资金运营等活动的总称，要求企业应以健全制度为基础、科学决策为核心、业务流程为重点、风险控制点为关键，集中资金管理为大前提，严格执行内控工作，以应对在流程中企业面临的主要面临的风险1.筹资活动企业应按国家法律法规、宏观经济的分析以及企业的发展战略，确立资金活动范围，并在流程中的各个关键控制点建立控制目标和控制措施,2.投资活动企业在进行项目投资时需考虑不同的风险，并在各个关键点建立关键控制目标和实施控制措施,战略性、经济性、风险性,分级授权审批制度、集体审议或联签制度、签订合同,签订筹资协议、筹资程序控制和岗位分离控制、提计、支付利息或股利、筹资业务会计记录,适时投放资金，控制资金流量和时间、职务分离制度和授权审批制度、会计记录、分析和评价，调整投资策略或投资退出策略,跟踪投资到期本金的回收、转让投资报授权批准部门批准、对到期无法收回的投资，建立责任追究制度,3.运营活动,（二）采购业务,第7号指引（采购业务）中，采购是指购买物资（或接受劳务）及支付款项等相关活动1.购买（1）编制采购计划：按生产经营需要，对比现有库存（2）请购：建立采购申请制度，并进行审批（3）供应商选择、管理与合同：选择合适的供应商，以合理的条款采购（4）验收：避免异常采购2.付款资金活动中管理现金流的一个环节（1）严格审查采购发票的真实性、合法性和有效性（2）合理选择付款方式（3）强化会计系统控制,（三）资产管理,第8号指引（资产管理）针对企业拥有存货、固定资产或无形资产是应对有关风险提出指引，以控制因存货积压货短缺或固定资产更新改造不够、使用效能低下、维护不当、产能过剩而导致的价值贬损及有关风险，或是因无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患而导致企业法律纠纷、缺乏可持续发展能力1.存货企业在日常活动中持有以备出售的产成品或商品、处在生产过程中的在产品、在生产过程或提供劳务过程中耗用的材料、物料等,（1）取得存货根据存货间隔期和当前库存，编制存货预算和采购计划（2）验收入库外购存货合同、发票等原始单据与存货的数量、质量、规格等是否一致自制存货关注产品质量其他方式存货来源、质量状况、实际价值（3）仓储保管及领用发出（4）盘点清查及销售处置,2.固定资产应用第6号指引和第11号指引（工程项目）实施验收制度制定固定资产目录，进行编号定期进行技术性评估或维修、改造严格执行投保政策或资产抵押管理每年一次全面清查资产处置3.无形资产企业通过拥有品牌、商标、专利、专有技术、土地使用权等无形资产，提升企业核心竞争力取得方式包括：外购、自行开发或其他方式取得关注无形资产的保密性,（四）销售业务,第9号指引（销售业务）针对促进企业销售稳定增长，扩大市场份额，规范销售而提出了应关注的主要风险以及相应的内部控制措施1.销售计划管理销售计划、定期分析客户开发与信用管理销售定价、订立销售合同定价或调价必须符合政策规定重要的销售合同应征询法律顾问或专家意见发货,2.收款选择适当的结算方式加强商业票据管理加强有关对销售、发货、收款业务的会计系统控制加强应收账款的管理应用资金营运相关的内控措施,（五）研究与开发,第10号指引（研究与开发），在研究与开发流程控制中应注意：建立完善的立项申请程序研究项目可行性研究过程管理签订合同或协议研究成果验收明确核心人员名单，签订保密协议建立研究开发活动评估机制,（六）工程项目第11号指引：工程立项阶段可行性研究、专家评估工程招标阶段公开招标、避免“暗箱操作”工程造价阶段避免造价信息不对称，技术方案不落实，预算脱离实际工程建设阶段质量管理工程验收阶段竣工验收不规范，最终把关不严（七）担保业务第12号指引（担保业务）中所称担保，指企业作为担保人按照公平、自愿、互利的原则与债权人约定，当债务人不履行债务时，依照法律规定和合同协议承担相应法律责任的行为包括：受理申请、调查评估、审批、签订担保合同、监控,（八）业务外包第13号指引（业务外包）所称业务外包，指企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织（即承包方）完成的经营行为明确职责权限，加强过程监控，避免核心业务外包建立和完善业务外包管理制度应用第15号指引（全面预算）确保外包方案的可行性应用第16号指引（合同管理）建立与承包方的沟通与协调对重大外包业务或各种意外情况作出预计及建立应急机制外包业务的费用结算和会计处理对承包方履约能力持续评估验收工作,（九）财务报告财务报告是企业财务信息对外报告的重要形式之一，第14号指引（财务报告）风险：企业财务报告的编制违反会计法律法规和国家统一的会计准则制度而导致企业承担法律责任和声誉受损企业提供虚假财务报告，误导财务报告使用者，造成决策失误，干扰市场秩序企业不能有效利用财务报告，难以及时发现企业经营管理中的问题，可能导致企业财务和经营风险失控,控制措施：1.财务报告的编制：其控制目标是编制一份符合法律法规和有关会计准则的报告作为对外提供或分析之用2.财务报告的对外提供：保证财务报告的总体真实性、完整性和合规性3.财务报告的分析利用：重视财务报告分析工作，定期召开财务分析会议，充分利用财务报告反映的综合信息,（十）全面预算及和合同管理,1.全面预算企业对一定期间经营活动、投资活动、财务活动等作出的预算安排，是一种全方位、全过程、全员参与编制与实施的预算管理模式关键风险包括：不编制预算或预算不健全而导致企业缺乏约束，盲目经营预算不合理，编制不科学预算缺乏刚性，执行不力、考核不严、管理流于形式对策包括：设立预算管理委员会履行全面预算管理职责明确全面预算管理机构,2.合同管理合同是企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议（1）合同订立阶段合同调查合同谈判合同文本拟定和审核合同签署（2）合同履行阶段合同执行、补充、变更与解除合同结算合同登记,四、企业内部控制评价的程序,评价指引为企业对内部控制的有效性进行全面评价，形成评价结论、出具评价报告提供指引企业主要针对内部控制五个要素，内部环境、风险评估、控制活动、信息与沟通和内部监督进行全面评价（一）内部控制评价的程序制定评价控制方案、组织评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等,1.制定评价控制方案企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作应具备的条件：能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力具备与监督和评价内控控制系统相适应的专业胜任能力和职业道德素养与企业其他职能机构就监督与评价内部控制系统方面应当保持一致能够得到企业董事会和经理层的支持,具体工作：制定评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权审批后实施2.组成评价工作组评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况，参与日常监控的负责人或业务骨干参加3.实施评价工作与测试（1）了解公司层面基本情况（内控的五个要素）,（2）了解各业务层面的主要流程及风险重点在主要业务流程（风险控制矩阵文档、流程图文档、审批权限表文档）（3）确定检查评价范围和重点（4）开展现场检查测试个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样、比较分析、审阅与检查穿行测试：在流程中任意选取一项交易为样本，获取原始单据、跟踪交易从最初起源，到会计处理，信息系统和财务报告编制，直到这项交易在财务报表中报告出来的全过程4.汇总评价结果,（二）内部控制缺陷的认定,1.内部控制缺陷的分类（1）按照内部控制的本质分类设计缺陷企业缺少为实现控制目标的必须控制，或现存的控制并不合理及未能满足控制目标运行缺陷设计合理及有效的内部控制，但在运作上没有被正确地执行（2）按照内部控制严重程度分类重大缺陷（实质性漏洞）一个或多个控制缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形,重要缺陷：一个或多个一般缺陷的组合，导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大，需引起管理层关注一般缺陷：除重大缺陷和重要缺陷外的其他缺陷2.内部控制认定程序与整改缺陷认定是一个过程建立内控缺陷认定标准识别内控缺陷评估缺陷严重程度缺陷的最终认定,（三）内部控制评价报告,按照评价指引规定，企业应根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，及时编制内部控制评价报告企业应该以12月31日作为年度内部控制评价报告的基准日，并于基准日后4个月内报出内部控制评价报告评价指引要求企业在评价报告中至少披露以下内容：董事会对内部控制报告真实性的声明内部控制评价工作的总体情况内部控制评价的依据内部控制的程序和方法内部控制缺陷及其认定情况内部控制缺陷的整改情况及重大缺陷拟采取的整改措施内部控制有效性的结论,五、企业内部控制的审计,（一）内部控制的审计要求内部控制作为企业中的一项重要的管理活动，促进提高经营的效率效果，实现企业的发展战略内控规范中表明为企业内控提供评价服务的会计师事务所，不得同时为同一企业提供内部控制的审计服务,（二）注册会计师的责任与角色内部控制审计是指会计师事务所接受委托，对特定基准日（年末日为12月31日）内部控制设计与运行的有效性进行审计审计指引中重申建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的恶人注册会计师应按照审计指引以及其他有关的审计准则要求，计划和实施审计工作，评价控制缺陷，从而整合其对内控有效性的意见,六、审计委员会在企业中的监察角色,（一）审计委员会与内部控制内控规范第30条企业在董事会下设立审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制的自我评价情况，协调内部控制及其他相关事宜等审计委员会应由独立、非行政董事组成职能：监督评估复核,企业内的其他部门和系统,（二）审计委员会履行职责的方式董事会应决定委派给审计委员会的责任，审计委员会应满足其职责的要求建议审计委员会每年至少举行三次会议，并于审计周期的主要日期举行审计委员会应每年至少与外聘及内部审计师会面一次，讨论与审计相关的事宜，但无需管理层出席,（三）审计委员会与合规审计委员会的主要活动之一是核查对外报告规定的遵守情况，一般有责任确保公司履行了对外报告义务管理层的责任是编制财务报表，审计师的责任是编制审计计划和执行审计审计委员会应倾听审计师的看法，对财务报表等相关信息进行复核（四）审计委员会与内部审计确保充分且有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作，包括：组织中的地位、职能范围、技术才能和专业应尽义务,1.内部审计活动企业应根据现行职业准则执行内部审计活动内部审计师必须对他们所审计的活动保持独立性，内部审计师或内部审计的管理者或董事应直接且定期向董事会报告内部审计人员要参与继续教育和培训2.内部审计师在企业中的地位内部审计师的主要作用是，独立且客观地复核及评价企业的活动，必须保持客观和独立,3.内部审计师的职能范围外聘审计师应被允许不受限制地使用企业的账簿记录或进入控制系统内部审计的目的有若干个，包括：评价会计、运营及行政控制的可靠性、充分性及有效性；确保银行的内部控制能使交易得以迅速及正确地记录，正确地保护资产；确定公司是否遵循了法律法规及其自己的政策；管理层是否采取了适当的步骤，来应对控制的不足4.内部审计报告,（五）审计委员会与外聘审计师,审计委员会应承担就任命、重新任命或解聘、外聘审计师向董事会提出建议的主要责任，监督新审计师的选择过程，批准外聘审计是的