企业内部控制基本规范讲解

萨班斯-奥克斯利法案内控知识培训之二<企业内部控制根本规范>讲解

培训的对象及目的：对象:CSST全体员工内容：五部委2021年6月颁发的<企业内部控制根本规范>目的:1〕了解企业内部控制框架，即：“五要素〞2〕如何根据“五要素〞开展内控<企业内部控制根本规范>根本知识编制者：五部委〔财政部、证监会、审计署、银监会、保监会〕实施对象：上市公司〔鼓励非上市大中型企业执行〕自２０１１年１月１日起首先在境内外同时上市的公司施行，自２０１２年１月１日起扩展到在上海证券买卖所、深圳证券买卖所主板上市的公司施行；在此根底上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提早执行。<企业内部控制根本规范>引见第一部分内部控制五要素总体引见第二部分内部控制重要关注点引见第三部分实际与实践比较内部控制定义什么叫内部控制？是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目的的过程。内部控制可分为五个要素：内部环境风险评价控制活动信息与沟通内部监视信息与沟通控制环境风险评估控制活动监控

五要素概述五要素总括涵盖要点执行方式内部环境：建立各层级职责分工和制衡机制，塑造企业的道德和诚信氛围，影响员工对内部控制的意识。内部环境是内部控制的基础。治理结构机构设置及职责分配内部审计人力资源政策企业文化明确决策、执行、监管的权力分配。明确职责权限，可通过编制内部管理手册实现。设立审计委员会和内审部门，保持独立性。可持续发展的人力资源政策，保证员工的道德诚信和职业胜任能力。积极的价值观、风险意识、法制意识。公司治理：图解总经理出资人债务人股东投资经营监事会股东会议董事会部门经理……副总经理……可分配利润法定公积金恣意公积金普通股股利未分配利润利润总额利息税后利润所得税7

五要素概述〔续〕五要素总括涵盖要点执行方式风险评估：识别企业运营目标和实际的差距所在和严重程度的手段。风险评估识别内部控制的对象识别风险、确定风险承受度确定评估方法风险应对策略持续进行全面、系统的收集信息，判断内部风险和外部风险，确定企业整体风险承受能力和业务层面的可接受风险水平。定性与定量相结合，关注重点和优先控制的风险。避免个人风险偏好影响应对策略，策略方式包括风险规避、风险降低、风险分担和风险承受。持续收集、分析与风险变化相关的信息，及时调整风险应对策略。

五要素概述〔续〕五要素总括涵盖要点执行方式控制活动：防范识别的风险所采取的政策和程序。存在于企业的各个部分、各个层面和各个部门。控制活动是内部控制的方法控制方法控制措施风险预警机制手工控制与自动控制、预防性控制与发现性控制相结合。不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。明确风险预警标准，制定应急预案。

五要素概述〔续〕五要素总括涵盖要点执行方式信息与沟通：建立保证信息能及时有效沟通的流程，贯穿于整个内部控制。信息与沟通是内部控制的传导神经建立信息与沟通机制利用信息技术促进信息的集成与共享反舞弊机制明确收集、处理和传递程序。加强对信息系统控制，保证信息系统安全稳定运行。确定反舞弊工作重点，建立举报机制。

五要素概述〔续〕五要素总括涵盖要点执行方式内部监督：测试和评估内部控制系统设计的合理性和运行的有效性。内部监督是控制内部控制制定监督制度明确控制缺陷认定标准企业自我评估明确监督机构、监督程序。分析缺陷性质和原因，提出整改方案，明确报告机制。自我评价的方式、范围、程序和频率，书面记录。内部控制框架五要素关系

内部环境风险评价控制活动内部监视职责分工、制衡机制、诚信气氛、员工认识如何控制风险建立内控的目的妨碍目的实现要素控制设计合理性控制执行有效性信息与沟通流转的信息准确完好

五个要素之间是相互影响的，不能割裂来分析风险评价、控制活动、信息与沟通、内部监视会反过来影响内部环境。风险评价、控制活动、信息与沟通、内部监视能识别内部环境的变化。<企业内部控制根本规范>引见第一部分内部控制五要素总体引见第二部分内部控制重要关注点引见第三部分实际与实践比较1内部环境2风险评价3控制活动4信息与沟通5内部监视内部控制重要关注点引见有效内部环境要素有效的公司治理构造决策、执行、监视三权分别审计委员会的监视专门组织协调内部控制建立和实施的部门有效的机构设置详细任务分解至明确的部门和岗位，权责匹配减少不用要的层级，提高效率有效内部环境要素〔续〕有效的监视机制内部审计的独立性有效的人力资源政策岗位职责明确，人力资源需求合理招聘和离任程序规范，引入竞争机制和培训方案考核制度合理，考核规范明确薪酬制度坚持和吸引优秀人才，符合法律法规职业品德涵养和专业胜任才干作为选拔规范关键岗位员工的强迫休假制度和定期岗位轮换制度掌握重要商业的员工离岗的限制性规定有效内部环境要素〔续〕积极的企业文化诚信与价值观风险认识法制认识1内部环境2风险评价3控制活动4信息与沟通5内部监视内部控制五要素的详细内容风险-是指在某一特定环境下，在某一特定时间段内，某种损失发生的能够性。内部风险包括：高管人员的职业操守、员工专业胜任才干、运营方式、财务情况、运营成果、现金流量、环境维护等；外部风险包括：经济情势、产业政策、融资环境、市场竞争、资源供应、法律法规、文化传统等。什么是风险什么是风险评价风险评价的目的风险评价的方法风险评价的产物识别风险要素、确认企业可接受的风险度继续进展、定性与定量、关注外部风险与内部风险风险评价报告、与风险对应的控制活动风险评价程序：风险识别：全面继续搜集信息，确认风险接受度风险分析：定性和定量分析相结合，对风险排序风险应对：确定风险应对战略

风险躲避风险降低风险分担风险接受放弃业务加强控制转移风险不控制1内部环境2风险评价3控制活动4信息与沟通5内部监视内部控制五要素的详细内容什么是控制活动控制活动的对象控制活动的目的控制活动的方式识别的风险点将风险降低至可接受的风险程度〔本钱效益〕及时，贯穿全程控制活动的关键适用性与执行力度控制活动的概念是：企业为了将已识别的风险降低到可接受程度所采取的一系列恰当、及时的政策和措施。控制活动的内容控制活动普通包括：不相容职责分别控制授权审批控制会计系统控制财富维护控制预算控制运营分析控制绩效考评控制不相容职责分别：指分别那些假设由一个人担任，既能够发生错误和舞弊行为，又能够掩盖其错误和弊端行为的职务。是防止舞弊的有效措施。重点是：明确的职责分工每项业务不能完全由一人经办无法实现时应有上级监视复核应分别的职责普通应包括：同一业务的授权与执行同一业务的执行与审核同一业务的执行与记录同一业务的执行与监视财富的保管与记录不相容职责分别控制授权：指权益的分解，即各个层级的审批权限，分为常规授权和特殊授权。重点是：授权制度规定上应留意：有书面的政策和程序有各级权限的限制事前审批和事后审批相结合明确的审批人员责任艰苦业务和事项的联签制度详细审批时应留意：对支持性文档的审阅签字前讯问、清查异常情况制止在签字前后进展涂改单据制止在空白单据上签字制止替代签名授权审批控制会计系统控制：执行一致的会计准那么制度，明确会计凭证、账簿和财务报告的处置程序，保证会计资料真实完好。重点是：会计人员岗位责任制会计档案管理规范化会计信息控制入账及时、准确、系统、完好规范会计处置凭证和账簿管理报告流程控制会计系统控制财富维护：对重要资产的控制措施。重点是：实物资产和无形资产，包括：容易流动的资产、可转做他用的资产、危险的资产、重要的文件、关键的系统、敏感的信息等；接触控制，包括：单独区域保管、上锁、门禁、门卫、生物识别系统、密码、数据加密等；继续记录，如存货的永续盘存记录；定期实物清点，书面清点记录；实物与记录对照，发现保管和记录问题；跟踪差别，确定能否需求进展财务数据调理。财富维护控制预算控制：执行全面预算，明确预算管理的职责权限，规范编制、审定、下达和执行程序，强化预算约束。全面预算包括：全过程、全方位、全员参与运营预算、资本预算与财务预算预算管理重点是：建立预算机构，明确报告体系建立预算编制的制度流程和编制方法建立预算分析和考核制度，防止预算松弛建立预算调整控制预算控制运营分析：建立运营情况分析制度，经过定期分析发现存在问题，及时查明缘由并加以改良。评价方式：实践与同行业对比〔横向〕现状与历史对比〔纵向〕预算与实践对比〔横向〕明确的考核目的和判别规范书面化的分析报告异常情况的跟踪运营分析控制绩效考核：建立和实施绩效考核制度，明确考核目的体系，定期进展考核并将考核结果作为确定员工薪酬及提升、评优、降级、调岗、解雇的根据。绩效考核控制是一个过程。绩效考核控制应留意：明确绩效目的进展过程辅导，沟通反响，纠正偏离绩效管理体系包括：运营目的关键业绩目的体系〔KPI〕薪酬与鼓励制度人力资源管理制度绩效考核制度绩效考核控制1内部环境2风险评价3控制活动4信息与沟通5内部监视内部控制五要素的详细内容建立信息与沟通系统的目的如何保证信息的准确性和完好性？如何保证信息的及时性？建立信息搜集、处置、传送机制建立沟通机制信息与沟通系统的方式正式的信息与沟通系统非正式的信息与沟通系统可以输入和反响信息，从复杂的计算机系统到简单的员工会议非正式的交流，包括与顾客、供应商、监管机构和员工的沟通信息与沟通系统可以分为正式和非正式：沟通的信息能否有用？及时？能协助做出风险判别和预警？能协助丈量绩效？能及时的识别、获取和处置？需求方能获取？能与相关的人沟通？确保有效信息与沟通系统要素分为两种控制类型：普通控制计算机控制环境接触控制软件开发控制运用控制输入控制进程控制输出控制计算机信息系统控制反舞弊任务重点：不法方式侵占、挪用企业资产，牟取不当利益财务报告的虚伪记载、误导性陈说或者艰苦脱漏董事、监事、经理及其他高级管理人员滥用职权机构或人员串通舞弊告发机制应思索：告发方式对告发人的维护措施告发渠道向全体员工、客户及供应商等外部利益相关方公开对于高级管理层的告发渠道直接通往审计委员会书面记录结果并定期向审计委员会报告反舞弊控制1内部环境2风险评价3控制活动4信息与沟通5内部监视内部控制五要素的详细内容内部监视的对象内部监视的目的内部监视的方式一段时间内的内部控制活动评价控制活动能否有效设计和有效执行继续监控和定期评价什么是内部监视定期评价的方式有：员工和管理层的自我评价、同业互查、内部审计充分了解控制目的明确的控制缺陷规范适用的法律法规明确的程序、方法、要求报告制度跟踪制度确保有效内部监视的要素<企业内部控制根本规范>引见第一部分内部控制五要素总体引见第二部分内部控制重要关注点引见第三部分实际与实践比较内部控制五要素内控工作指引内部环境内控组织体系制度、流程体系教育与培训风险评估风险评估与预警控制活动重点控制活动签呈整改控制证据保管信息与沟通请示与报告内部监督测试考核第三部分：实际与实践比较总结内部控制框架三维模型包括如下内容：内部控制的目的内部控制的要素内部控制的执行层次总结3.控制活动确保管理层可行的政策/流程付诸实施.措施包括审批，授权，确认，建议，业绩考核，资产平安和权限分别4.信息和沟通定期获取，确定并交流相关的信息评价内部和外部获取的信息确认从职责方面的指点到管理层