企业内部控制基本规范课件

1、企业内部控制规范体系企业内部控制规范体系2012年年11月月18日日 2008 2008年年6 6月月2828日日财政部、证监会、审计署、银监会财政部、证监会、审计署、银监会、保监会、保监会联合发布了我国第一部联合发布了我国第一部企业内部控制基本规企业内部控制基本规范范，该基本规范将于，该基本规范将于20092009年年7 7月月1 1日起首先在上市公日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行。司范围内施行，并鼓励非上市的其他大中型企业执行。确立了以企业为主体、以政府监管为促进、以中介机构确立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的实施机制。审计为重

2、要组成部分的实施机制。为了为了配合配合企业内部控制基本规范企业内部控制基本规范的施行的施行，财政部草，财政部草拟了拟了企业内部控制应用指引企业内部控制应用指引（征求意见稿）、（征求意见稿）、 企业内部控制评价指引企业内部控制评价指引（征求意见稿）、（征求意见稿）、 企业内企业内部控制审计指引部控制审计指引（征求意见稿）（征求意见稿）。应用指引应用指引：以公司治理为起点，从控制环境：以公司治理为起点，从控制环境开始，到流程、控制点，到控制手段，覆盖开始，到流程、控制点，到控制手段，覆盖了了企业经营管理的方方面面和各个环节企业经营管理的方方面面和各个环节。应用指引项目由原来的应用指引项目由原来的1

3、818个项目增加到个项目增加到2121个个项目，即在原来基础上增加了项目，即在原来基础上增加了担保、财务报担保、财务报告控制、业务外包告控制、业务外包这三个与企业实际关系密这三个与企业实际关系密切的项目。切的项目。评价指引：要求企业实施内部控制时要进行自评价指引：要求企业实施内部控制时要进行自我评价，要求企业管理层特别是董事会要每年我评价，要求企业管理层特别是董事会要每年或定期对内部控制的设计和运行情况进行评价或定期对内部控制的设计和运行情况进行评价，年度终了要年度终了要出具内部控制自我评价报告出具内部控制自我评价报告. .评价指引包含内部控制自我评价报告的格式、评价指引包含内部控制自我评价报

4、告的格式、目录、工作底稿以及如何评价。目录、工作底稿以及如何评价。 见见WORD2-WORD2-自评报告案例自评报告案例审计指引：是在这套体系运用实施后，引入注册审计指引：是在这套体系运用实施后，引入注册会计师的会计师的 审计制度，要求实施内部控制的企业，审计制度，要求实施内部控制的企业，遵循应用指引进行自我评价后，出具的自我评价遵循应用指引进行自我评价后，出具的自我评价报告是否真实，报告是否真实，要由注册会计师和具有证券业务要由注册会计师和具有证券业务资格的会计师事务所进行审计并出具审计意见。资格的会计师事务所进行审计并出具审计意见。审计指引中审计指引中明确了明确了会计师事务所对企业内部控制

5、会计师事务所对企业内部控制进行审计鉴证的责任。进行审计鉴证的责任。这是一项重要的制度安排，不是象现在简单地在这是一项重要的制度安排，不是象现在简单地在原来财务报告的基础上加一个关于内部控制和风原来财务报告的基础上加一个关于内部控制和风险管理的说明段。险管理的说明段。7. 7. 我国企业内部控制规范体系图我国企业内部控制规范体系图我国企业内部控制规范体系图我国企业内部控制规范体系图控制手段控制手段5基本规范基本规范审计指引审计指引 1控制流程控制流程11控制环境控制环境5资金活动资金活动 采购业务采购业务资产管理资产管理 销售业务销售业务研究与开发研究与开发 工程项目工程项目担保业务担保业务 外

6、包业务外包业务证券期货证券期货 银行业务银行业务 保险业务保险业务评价指引评价指引 1应用指引应用指引 21组织架构组织架构 发展战略发展战略 企业文化企业文化社会责任社会责任财务报告财务报告 全面预算全面预算合同管理合同管理 内部信息传递内部信息传递7 20082008年年6 6月月2828日财政部等五部委在北京召开日财政部等五部委在北京召开“企业内企业内部控制基本规范发布会暨首届企业内部控制高层论坛部控制基本规范发布会暨首届企业内部控制高层论坛”, ,发布了五部委联合制定的发布了五部委联合制定的企业内部控制基本规范企业内部控制基本规范, ,并将于并将于20092009年年7 7月月1 1日

7、起首先在上市公司范围内施行日起首先在上市公司范围内施行。 企业内部控制基本规范企业内部控制基本规范，是继，是继20062006年年2 2月我国企月我国企业会计准则、审计准则正式颁布之后，财政、审计、证业会计准则、审计准则正式颁布之后，财政、审计、证券监管、银行监管、保险监管和国有资产管理部门合力券监管、银行监管、保险监管和国有资产管理部门合力推出的推出的促进企业监督管理和资本市场发展促进企业监督管理和资本市场发展的的又一重大举又一重大举措。措。7二、企业内部控制基本规范 内部控制内部控制5 5目标目标1 1、内部控制的概念、内部控制的概念内部控制是由企业董事会、监事会、经理层内部控制是由企业董

8、事会、监事会、经理层和全体员工实施的、旨在实现控制目标的和全体员工实施的、旨在实现控制目标的3 3、内部控制的分类、内部控制的分类(1)(1)实物控制：指实物控制：指两个或两个以上的人员两个或两个以上的人员共同掌共同掌管必要的实物工具，共同操作才能完成一定程序管必要的实物工具，共同操作才能完成一定程序的牵制。的牵制。 (2)(2)机械控制：主要采取程序制约，机械控制：主要采取程序制约，利用既定标利用既定标准或业务处理程序准或业务处理程序来控制各个部门、岗位或人员来控制各个部门、岗位或人员。 (3)(3)体制控制：通过组织规划与结构设计体制控制：通过组织规划与结构设计把各项把各项业务活动按其作业

9、环节划分后交由不同的部门或业务活动按其作业环节划分后交由不同的部门或人员，人员，实行分工负责，以防止错弊的发生。实行分工负责，以防止错弊的发生。(4)(4)簿记控制：指在簿记组织方面，簿记控制：指在簿记组织方面，利用复式记利用复式记账原理和账簿之间的勾稽关系，账原理和账簿之间的勾稽关系，互相制约、监督互相制约、监督和牵制。和牵制。内部控制内部控制5 5目标目标（1 1）促进企业经营管）促进企业经营管理合法理合法合规合规守法和诚信是单位健守法和诚信是单位健康发展的基石。康发展的基石。逾越法律的短期发展逾越法律的短期发展终将付出沉重代价。终将付出沉重代价。内部控制要求单位必内部控制要求单位必须将发

10、展置于国家法须将发展置于国家法律法规允许的基本框律法规允许的基本框架之下，在守法的基架之下，在守法的基础上实现自身的发展础上实现自身的发展（2 2）促进维护资产安全）促进维护资产安全财务财务资产安全是投资者、债权人资产安全是投资者、债权人和其他利益相关者普遍关注和其他利益相关者普遍关注的重大问题，是单位可持续的重大问题，是单位可持续发展的物质基础。良好的内发展的物质基础。良好的内部控制，应当为资产安全提部控制，应当为资产安全提供扎实的制度保障。供扎实的制度保障。（3 3）促进提高信息报告质量）促进提高信息报告质量财务财务可靠的信息报告能够为单位可靠的信息报告能够为单位管理层提供适合其既定目的管

11、理层提供适合其既定目的的准确而完整的信息、支持的准确而完整的信息、支持管理层的决策和对营运活动管理层的决策和对营运活动及业绩的监控；同时，保证及业绩的监控；同时，保证对外披露的信息报告的真实对外披露的信息报告的真实、完整，有利于提升单位的、完整，有利于提升单位的诚信度和公信力，维护单位诚信度和公信力，维护单位良好的声誉和形象。良好的声誉和形象。（4 4）促进提高）促进提高经营经营效率和效果效率和效果它要求单位结合自身所处的特它要求单位结合自身所处的特定的经营、行业和经济环境，定的经营、行业和经济环境，通过健全有效的内部控制，不通过健全有效的内部控制，不断提高营运活动的盈利能力和断提高营运活动的

12、盈利能力和管理效率管理效率（5 5）促进企业实现发展）促进企业实现发展战略战略这是内部控制的终极目标。这是内部控制的终极目标。它要求单位将近期利益与长它要求单位将近期利益与长远利益结合起来，在单位经远利益结合起来，在单位经营管理中努力作出符合战略营管理中努力作出符合战略要求、有利于提升可持续发要求、有利于提升可持续发展能力和创造长久价值的策展能力和创造长久价值的策略选择。略选择。金秋时节金秋时节内部控制内部控制5 5原则原则1. 1. 全面性全面性内部控制应当贯穿决策、执行和监督全过程，内部控制应当贯穿决策、执行和监督全过程，覆盖单位及其所属机构的各种业务和事项。覆盖单位及其所属机构的各种业务

13、和事项。2. 2. 重要性重要性内部控制应当在全面控制的基础上，关注重要内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。业务事项和高风险领域。3.3.制衡性制衡性内部控制应当在治理结构、机构设置及权责分内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。，同时兼顾运营效率。不相容职务分离授权批准会计记录财产保管业务经办审核监督4.4.适应性适应性内部控制应当与单位经营规模、业务范围、竞争内部控制应当与单位经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及状况和风险水平等相适应，

14、并随着情况的变化及时加以调整。时加以调整。5.5.成本效益成本效益内部控制应当权衡实施成本与预期效益，以适当的成本内部控制应当权衡实施成本与预期效益，以适当的成本实实现有效控制现有效控制举例：举例： 内部控制内部控制5 5要素框架要素框架监督监督控制控制活动活动风险风险评估评估控制环境控制环境信息与沟通信息与沟通信息与沟通信息与沟通内部环境内部环境目标制定事项识别风险评估风险反应控制活动信息沟通监控内部环境风险评估控制活动信息沟通内部监督( (一一) ) 内部环境内部环境实施内部控制的基础实施内部控制的基础构成了一个企业的管理氛围，是其他内部控构成了一个企业的管理氛围，是其他内部控制要素的基础

15、。制要素的基础。员工的职业道德和操守、员工的职业道德和操守、胜任能力；胜任能力；管理层的管理哲学和风格；管理层的管理哲学和风格；董事会和内部监督机构的设置；董事会和内部监督机构的设置；内部组织结构设置及责任权限的划分；内部组织结构设置及责任权限的划分；人力资源政策及执行等人力资源政策及执行等。安安 全全 感感生生 理理 需需 要要马斯洛马斯洛“需求论需求论”与激励要素与激励要素 短短 期期 长长 期期 浮浮 动动 固固 定定 现现 金金 非非 现现 金金 基本工资基本工资 法定福利法定福利 业绩奖金业绩奖金 奖奖 励励/ /分分 红红 岗位津贴岗位津贴 公司福利公司福利 能力能力 职责职责 结

16、果结果 成就感成就感 安全感安全感 归属感归属感 激激 励励 激励机制的内容激励机制的内容 方方 式式 要要 素素 考考 虑虑因因 素素 荣誉与晋升荣誉与晋升 培训与发展培训与发展 ( (二二) )风险评估风险评估风险评估是企业及时识别、系统分析经营活风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理动中与实现内部控制目标相关的风险，合理确定风险应对策略。确定风险应对策略。风险是一种潜在的问题或损失。风险是一种潜在的问题或损失。 风险评估：确定什么地方可能出现何种错误风险评估：确定什么地方可能出现何种错误，可能造成哪些影响？影响程度有多大？，可能造成哪些影响？影响程度

17、有多大？2525潜在风险潜在风险技术因素技术因素投资风险投资风险人力资源风险人力资源风险时间因素时间因素天气因素天气因素政策因素政策因素战争因素战争因素自然灾害自然灾害技术路线错误技术路线错误技术方案设计失误技术方案设计失误技术力量薄弱技术力量薄弱资源不足资源不足素质不高素质不高队伍不稳定队伍不稳定时间太紧时间太紧时间安排不合理时间安排不合理暴风雪导致不能暴风雪导致不能正常开工正常开工沙尘暴天气沙尘暴天气自然灾害自然灾害地震、台风人为灾害人为灾害投资增加投资增加投资不能按时到位投资不能按时到位政策变动政策变动政策不支政策不支持持恐怖组织活动恐怖组织活动当地有可能成为当地有可能成为美国反恐战争基

18、美国反恐战争基地地鱼刺图鱼刺图风险发生可能评级风险发生可能评级风险影响程度评级风险影响程度评级测定风险发生的概率测定风险发生的概率判断损失的可能性判断损失的可能性测定风险造成的影响测定风险造成的影响可能造成损失的程度可能造成损失的程度设定评价的关键指标设定评价的关键指标发生可能发生可能标准标准/ /定义定义低低即使不采取措施，风险即使不采取措施，风险也几乎不出现也几乎不出现中中不采取措施，风险就会不采取措施，风险就会造成损失造成损失高高不采取措施，风险很容不采取措施，风险很容易造成损失易造成损失影响程度影响程度标准标准/ /定义定义很低很低即使不采取措施，风险造即使不采取措施，风险造成的损失几

19、乎没有影响成的损失几乎没有影响低低不采取措施，风险损失不不采取措施，风险损失不对关键指标造成影响对关键指标造成影响中中不采取措施，风险损失对不采取措施，风险损失对关键指标造成影响关键指标造成影响高高不采取措施，风险损失对不采取措施，风险损失对资源造成巨大浪费资源造成巨大浪费很高很高若不采取措施，导致失败若不采取措施，导致失败2828风险发生可能性评估标准可能性可能性评评 分分1 12 23 34 45 5定量定量方法方法10%以下10%-30%30%-70%70%-90%90%以上定性定性方法方法描述描述极低低中等高极高一般情一般情况下不况下不会发生会发生在极少在极少情况下情况下才发生才发生会

20、在某会在某些情况些情况下发生下发生在较多在较多情况下情况下会发生会发生常常会常常会发生发生在之后10年内发生的可能少于1次在之后5至10内可能发生1次在之后2至5年内可能发生1次在之后1年内可能发生1次在之后1年内至少发生1次28282929风险发生影响程度评估标准影响程度评影响程度评分分1 12 23 34 45 5定量方法定量方法描述描述税前利润税前利润1%1%以下以下税前利润税前利润的的1 15%5%税前利润税前利润的的6-10%6-10%税前利润税前利润的的11-20%11-20%税前利润税前利润20%20%以上以上定性描述定性描述方法方法极轻微的轻微的中等的重大的灾难性的极低低中等高

21、极高适用于所有行业适用于所有行业企业日常企业日常运行运行不会影响企业日常运行对企业日常运营有轻度影响，造成轻微人员伤害，情况立刻受到控制对企业日常运营有中度影响，需要医疗救援，情况需要外部支持才能得到控制企业失去一些业务能力，造成严重人身伤害，情况失去控制但无致命影响重大业务失误及人身伤亡财务影响财务影响较低财务损失轻微财务损失中等财务损失重大财务损失极大财务损失声誉影响声誉影响负面消息在企业内部流传，企业声誉未受损负面消息在当地局部流传，对企业声誉造成轻微损害负面消息在某区域上流传，对企业声誉造成中等损害负面消息在全国各地流传，对企业声誉造成重大损害负面消息流传至世界各地，政府或监管机构进行

22、调查，引起社会公众关注，对企业声誉造成无法弥补的损害29293030风险发生影响程度评估标准（续表）适用于开采业和制造业的其它定性和定量标准适用于开采业和制造业的其它定性和定量标准安全短暂影响职工或公民的健康严重影响一位职工或公民健康严重影响多位职工或公民健康引致一位职工或公民死亡引致多位职工或公民死亡营运对营运影响微弱在时间、人力或成本方面不超出预算1%对营运影响轻微受到监管者责难在时间、人力或成本方面超出预算15%减慢营业运作受到法规惩罚或被罚款等在时间、人力或成本方面超出预算610%无法达到部分营运目标/关键业绩考核指标受到监管者的限制在时间、人力或成本方面超出预算1120%无法达到所有

23、的营运目标/关键业绩考核指标违规操作使业务受到中止在时间、人力或成本方面超出预算20%环境对环境或社会造成短暂的影响可不采取行动对环境或社会造成一定的影响，例如噪音、污染应通知环保部门对环境造成中等影响需一定时间才能恢复出现个别投诉事件应执行一定程度的补救措施造成主要环境损害需要相当长的时间来恢复大规模的公众投诉应执行重大的补救措施无法弥补的灾难性环境损害激起公众的愤怒潜在的大规模公众法律投诉30303131风险坐标图风险坐标图 ( (以固有风险绘制以固有风险绘制) )可能性可能性极低极低低低中等中等高高极高极高极高极高高高中等中等低低极低极低18说明：说明：1 1 人力资源风险人力资源风险2

24、 2 财务风险财务风险3 3 竞争风险竞争风险4 4 产品开发风险产品开发风险5 5 客户信用风险客户信用风险6 6 系统故障风险系统故障风险7 7 外汇风险外汇风险8 8 欺诈风险欺诈风险9 9 政治风险政治风险1010 投资风险投资风险1111 采购风险采购风险1073462 1159影影响响程程度度风险评估风险评估31313232极低极低 低低 中等中等 高高 极高极高影响程度影响程度285B B区域区域C C区域区域A A区域区域B B区域区域( (以固有风险绘制以固有风险绘制) ) 承担A A区域区域中的各项风险且不再增加控制措施 严格控制B B区区域域中的各项风险且专门补充制定各项

25、控制措施 确保降低/转移/规避C C区域区域中的各项风险且优先安排实施各项防范措施341769风险评估风险评估风险坐标图风险坐标图 可能性可能性3232( (三三) )控制活动控制活动控制活动：是指单位管理层根控制活动：是指单位管理层根据风险评估结果，采用相应的据风险评估结果，采用相应的控制措施，将风险控制在可承控制措施，将风险控制在可承受度之内，是实施内部控制的受度之内，是实施内部控制的具体方式。具体方式。控制活动是确保管理层的决策控制活动是确保管理层的决策和指令得以执行的政策和程序和指令得以执行的政策和程序企业应当根据风险评估结果，采用相应控制企业应当根据风险评估结果，采用相应控制措施将风

26、险控制在可承受度之内措施将风险控制在可承受度之内及及风险风险评估结果评估结果风险风险可承受度可承受度预防性控制预防性控制及发现性控制及发现性控制手工控制手工控制及及自动控制自动控制管理控制管理控制及及监督控制监督控制控制措施控制措施不相容职务分离控制不相容职务分离控制绩效考评控制绩效考评控制财产保护控制财产保护控制预算控制预算控制授权审批控制授权审批控制运营分析控制运营分析控制会计系统控置会计系统控置严格执行严格执行国家统一的国家统一的会计准则会计准则明确明确会计凭证、会计凭证、账簿和账簿和财务报告财务报告的处理程序的处理程序会计基础工作举例会计基础工作举例企业会计系统的设置要求企业会计系统的

27、设置要求应依法设置会计机构配应依法设置会计机构配备会计人员备会计人员会计机构负责人应具备会计机构负责人应具备会计师以上的专业技术会计师以上的专业技术职务资格职务资格大中型中央企业应设置大中型中央企业应设置总会计师，不得设置与总会计师，不得设置与其职务重叠的副职其职务重叠的副职内部会计控制三要素内部会计控制三要素职务职务分离分离授权授权控制控制会计会计记录记录( (四四) )信息与沟通信息与沟通信息与沟通是企业及时、准确收集、传递与内部信息与沟通是企业及时、准确收集、传递与内部控制相关的信息，确保信息在企业内部、企业与控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，是实施内部控制

28、的重要外部之间进行有效沟通，是实施内部控制的重要条件。条件。信息与沟通的主要环节有：确认、计量、记录有信息与沟通的主要环节有：确认、计量、记录有效的经济业务；在财务报告中恰当揭示财务状况效的经济业务；在财务报告中恰当揭示财务状况、经营成果和现金流量；保证管理层与单位内部、经营成果和现金流量；保证管理层与单位内部、外部的顺畅流通，包括与利益相关者、监管部、外部的顺畅流通，包括与利益相关者、监管部门、注册会计师、供应商等的沟通。门、注册会计师、供应商等的沟通。真实及时有用：信息与沟通的方式是灵活多样的真实及时有用：信息与沟通的方式是灵活多样的，但无论哪种方式，都应当保证信息的真实性、，但无论哪种方

29、式，都应当保证信息的真实性、及时性和有用性。及时性和有用性。( (五五) )内部监督内部监督内部监督是企业对内部监督是企业对 内部控制建立与实施情内部控制建立与实施情况进行监督检查，评价内部控制的有效性，况进行监督检查，评价内部控制的有效性，对于发现的内部控制缺陷，及时加以改进，对于发现的内部控制缺陷，及时加以改进，是实施内部控制的重要保证。是实施内部控制的重要保证。监督是由适当的人员评估内部控制的设计和运作监督是由适当的人员评估内部控制的设计和运作情况的过程。情况的过程。 注释：五要素及其相互关系注释：五要素及其相互关系 注释：五要素及其相互关系注释：五要素及其相互关系 内部监督内部监督控制

30、活动控制活动风险评估风险评估内部环境内部环境信信息息沟沟通通信信息息沟沟通通手段手段保证保证载体载体依据依据COSOCOSO内内 部部 控控 制制 的的 理理 论论美国：组织控制委员会美国：组织控制委员会 (Committee Of Sponsoring Organizations，简称：，简称：COSO) 信息与沟通信息与沟通控制环境控制环境风险评估风险评估控制活动控制活动监监 督督 COSOCOSO模型描述了环境控模型描述了环境控制、风险估计、控制活动、制、风险估计、控制活动、信息与交流以及监控等五种信息与交流以及监控等五种相互关联的控制相互关联的控制因素因素，在控，在控制企业的经营管理过程中的制企业的经营管理过程中的作用。在作用。在COS