Download
1 / 78
780 likes | 914 Vues
企业内控制度的设计与运行. 潘煜双 嘉兴学院商学院副院长 教授、博士、硕士生导师 2012-06-07. 制度的重要性. 案例一: 看电视杨澜访问姚明,这两个人大家都知道,杨澜问姚明说,你现在作为美国的火箭队,你比较一下,你是中国人到美国打球这么好,为什么中国队打不好,姚明对她说了这样的一段话:“说中国的篮球队,有很多颇具天赋的球员,各自发挥,都是天才,而在美国不管你是不是天才球员,在罚球的时候教练都要拿尺子去丈量,看上去是美国队的死板,其实这是美国队为什么成为了常胜将军的原因。 (启示:制度管理,不会因人而异).
E N D
企业内控制度的设计与运行 潘煜双 嘉兴学院商学院副院长 教授、博士、硕士生导师 2012-06-07
制度的重要性 案例一: 看电视杨澜访问姚明,这两个人大家都知道,杨澜问姚明说,你现在作为美国的火箭队,你比较一下,你是中国人到美国打球这么好,为什么中国队打不好,姚明对她说了这样的一段话:“说中国的篮球队,有很多颇具天赋的球员,各自发挥,都是天才,而在美国不管你是不是天才球员,在罚球的时候教练都要拿尺子去丈量,看上去是美国队的死板,其实这是美国队为什么成为了常胜将军的原因。 (启示:制度管理,不会因人而异)
案例二:去KFC和麦当劳,为什么这样的环境我们都去,我们的现金不舍得消费但是却去消费到他们那里了,肯德基的服务员并没有中餐馆的小姐长得漂亮,但是他是三流的员工,二流的管理者,出现的是一流的流程,特别注重流程。我不知道大家去肯德基的时候有没有去它的洗手间,上面贴了一张条子,是几点到几点谁签名搞卫生了,而到中国人经营的豪华酒店和餐馆是没有这种现象的。重在制度,重在流程。所以说一个企业,要想长久经营,宁可相信流程,也不要相信个人。案例二:去KFC和麦当劳,为什么这样的环境我们都去,我们的现金不舍得消费但是却去消费到他们那里了,肯德基的服务员并没有中餐馆的小姐长得漂亮,但是他是三流的员工,二流的管理者,出现的是一流的流程,特别注重流程。我不知道大家去肯德基的时候有没有去它的洗手间,上面贴了一张条子,是几点到几点谁签名搞卫生了,而到中国人经营的豪华酒店和餐馆是没有这种现象的。重在制度,重在流程。所以说一个企业,要想长久经营,宁可相信流程,也不要相信个人。
案例三:在1770年的时候,英国人发现了澳大利亚的新大陆,一个新大陆需要人去开发,就需要运人到这个地方,这就涉及到了制度安排,刚开始的时候,这个船组是几个月运一次,这是计次数付费的,就是说跑一趟就是多少钱,这种情况下就会尽量的减少成本开支,运到了目的地就死掉了三分之一了(因为减少次数就必然增加人数),如果我们的目的是运送这些人到目的地,那么制度就变了,船组是按人交付(运到目的地的人数),还是原来的船组,但是魔鬼可以变成天使。如果一个不好的制度,天使也可能会变成魔鬼。案例三:在1770年的时候,英国人发现了澳大利亚的新大陆,一个新大陆需要人去开发,就需要运人到这个地方,这就涉及到了制度安排,刚开始的时候,这个船组是几个月运一次,这是计次数付费的,就是说跑一趟就是多少钱,这种情况下就会尽量的减少成本开支,运到了目的地就死掉了三分之一了(因为减少次数就必然增加人数),如果我们的目的是运送这些人到目的地,那么制度就变了,船组是按人交付(运到目的地的人数),还是原来的船组,但是魔鬼可以变成天使。如果一个不好的制度,天使也可能会变成魔鬼。 • 好的制度安排,就是坏人想做坏人做不成,不好的制度安排,可以诱致、诱发一个好人变成坏人。其实我们的财务制度也是这样的。
内部控制为什么会受到如此关注 • 1、2001年开始的一系列会计丑闻,包括: • 中国的银广夏、蓝天股份等; • 美国的安然、世界通信等; • 欧洲的帕玛拉特等 • 2、美国颁布的sox法案 • 是一部美国法律 • 但是管辖的是在美国上市的企业 • 3、中国企业开始关注内部控制,如 • 中石油、中石化、华能国际、中海油、中国电信、中国移动、中国联通、中国铝业、东方航空、南方航空等。 • 4、中国政府有关部门及监管机构开始关注内部控制 • 国资委 • 财政部、审计署、证监会、银监会、保监会 • 上海证券交易所、深圳证券交易所
内部控制的局限 内部控制的局限主要表现在: • 内部管理人员滥用职权、蓄意营私舞弊等,导致内部控制失去应有的控制效能。 • 内部人员相互串通作弊导致相关内部控制失去作用。 • 内部人员素质不适应岗位要求,影响内部控制功能的正常发挥。 • 成本效益问题。 • 对于不经常发生或未预计到的经济业务,原有的控制可能不适用。临时控制若不及时会影响内部控制的作用。
美国萨班斯法案 • 1.背景 • 2001年11月,安然公司财务丑闻曝光,6个月后,世通公司再度爆发丑闻,美国这一期间有338家上市公司,总计4093亿美元的资产申请破产保护。2002年7月30日美国紧急出台了公司改革法案《萨班斯—奥克斯利法案(Sarbanes-Oxleys Acts)》,又成立了一个新的监管机构(上市公司会计监督委员会PCAOB)来监管会计职业界和公司董事会。
萨班斯法案的主要内容 • SOX法案共分十一章。第一至第六章主要涉及对会计职业及公司行为的监管。第八至第十一章主要是提高对公司高管及“白领犯罪”的刑事责任。如对故意进行证券欺诈的行为最高可判处 25年入狱;CEO和 CFO必须签字保证其报送给 SEC的财务报告的合法性及公允性。 • 实际上在 SOX法案上述条款中,需要一家在美上市公司着力实施的是 302条款和 404条款。两者都要求 CEO和 CFO签字声明对建立和维护内部控制系统负有职责,并且要对控制体系及其有效性进行评价;区别在于,404条款要求外部审计师对此声明进行审计并出具意见,而 302条款则无此要求。由于不需要审计,在具体实施 302条款时管理层的压力不大,一般是通过下级对上级进行逐级承诺来实现的。而 404条款则要严格得多,其具体内容包括:
404条款内容 • (1)上市公司管理层签字声明对建立和维护财务报告相关的内部控制系统及程序的充分有效负责; • (2)在年报中对截至最近会计年度结束公司内部控制系统及控制程序的有效性做出书面评价; • (3)外部审计师应就管理层关于内部控制的评价进行核证并提交报告,核证要遵循 PCAOB发布的标准进行; • 404条款的内容十分简短,却是牵一发而动全身,力度极大。
如果外部审计师出具的结果表明某上市公司没有满足这些要求,不但公司股价会受到严重影响,而且还有可能受到摘牌和其它惩罚。如果公司管理层恶意违反 404条款,将可导致最长达 20年的监禁。虽然 SOX法案还包括很多其他内容,但从上市公司的角度看,SOX法案的遵从在很大程度上变成了对 404条款的遵从。
萨班斯法案对上市公司内部控制的要求 • 根据 COSO委员会的《内部控制-整体框架》的定义,内部控制是指企业董事会、经理层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。以单独提供的方式向外部信息使用者披露内部控制信息的方式即所谓的内部控制报告。
实际上 404条款并未要求管理层声明其采用了哪一个内部控制框架。但是 PCAOB在其2004年9月发布的第 2号审计准则中,推荐使用 COSO内部控制框架。如果使用其他内部控制框架,该框架也必须包括 COSO所包含的要素。就是说,如果使用非 COSO内部控制框架,就必须证明该框架优于COSO框架。这实际上确定了内部控制框架在遵从 COSO ,COSO在 SOX 404条款方面的绝对主导地位。
内部控制的发展 • 1.萌芽阶段 –内部牵制 (公元前3600年-20世纪40年代) • 2.发展阶段-企业内部控制制度-内部会计控制与管理控制 (20世纪40年代至70年代, 1934美国《证券交易法》,首先提出了“内部会计控制” 概念。1949,1958,1963,1972) • 3.形成阶段-企业内部控制结构-控制环境、会计系统、控制活动 (20世纪80年代至90年代,1988) • 4.成熟阶段-企业内部控制整体框架—五要素 (20世纪90年代至21世纪,1992) • 5.新发展—企业风险管理框架(ERM,2004)--八要素 (21世纪以来)
COSO内部控制框架 • 1985年,由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务执行官协会(FEI)、国际内部审计师协会(IIA)、管理会计师协会(MAA)共同赞助成立反虚假财务报告委员会(Treadway委员会),该委员会旨在探讨财务报告中的舞弊产生的原因,并寻找解决措施。该委员会虽然未对内部控制提出结论,但其研究指出50%的财务舞弊事件可全部或部分归因于内部控制不健全。 • 基于该委员会的建议,其赞助机构成立COSO委员会(Committee of Sponsoring Organization),专门研究内部控制问题。
内部控制概念 • 1992年9月,COSO委员会提出了报告《内部控制——整体框架》(1994年进行了增补), 即COSO内部控制框架。 • COSO认为:企业内部控制是由企业董事会、经理层以及其他员工共同实施的,为经营活动的效率与效果、财务报告的准确性、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监督。 • 1994年增加资产保护目标。
内部控制的目标 • (1)经营的效果和效率 • (2)财务报告的可靠性 • (3)法律法规的遵循性 • 第一类目标指企业的基本经营目标,包括业绩、盈利指标和资源保护; • 第二类目标指编制可靠的公开财务报表的,包括中期和简略财务报表,以及从这些财务报表中摘出的数据(如利润分配数据); • 第三类目标指企业经营必须符合相关的法律法规。
内部控制的五项要素: • (1)控制环境——控制环境决定了企业的基调,直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架,是其他四要素的基础。 • 控制环境包括员工的诚信度、职业道德和才能;管理哲学和经营风格;权责分配方法、人事政策;董事会的经营重点和目标等。
描述内部控制环境 任何企业的核心是企业中的人及其活动。人的活动在环境中进行,人的品性包括操守、价值观和能力等,它们既是构成环境的重要要素之一,又与环境相互影响、相互作用。环境要素是推动企业发展的引擎,也是其他一切要素的核心。 • 风险管理观念 • 风险文化 • 诚信与价值观 • 员工的胜任能力,如雇员是否能胜任质量管理要求 • 董事会或审计委员会,如董事会是否独立于管理层 • 管理哲学和经营方式,如管理层对人为操纵的或错误的记录的态度 • 组织结构,如信息是否到达合适的管理阶层
(2)风险评估——每个企业都面临诸多来自内部和外部的有待评估的风险。(2)风险评估——每个企业都面临诸多来自内部和外部的有待评估的风险。 • 风险评估的前提是使经营目标在不同层次上相互衔接,保持一致。 • 风险评估指识别、分析相关风险以实现既定目标,从而形成风险管理的基础。 • 由于经济、产业、法规和经营环境的不断变化,需要确立一套机制来识别和应对由这些变化带来的风险
(3)控制活动——控制活动指那些有助于管理层决策顺利实施的政策和程序。(3)控制活动——控制活动指那些有助于管理层决策顺利实施的政策和程序。 • 控制行为有助于确保实施必要的措施以管理风险,实现经营目标。 • 控制行为体现在企业的不同层次和不同部门中。 • 包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。
(4)信息和沟通——公允的信息必须被确认、捕获并以一定形式及时传递,以便员工履行职责。(4)信息和沟通——公允的信息必须被确认、捕获并以一定形式及时传递,以便员工履行职责。 • 信息系统不仅处理内部产生的信息,还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。 • 有效的沟通应该是自上而下、横向以及自下而上的传递。 • 所有员工必须从管理层得到清楚的信息,必须理解自身在整个内控系统中的位置,理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。 • 与外部诸如客户、供应商、管理当局和股东的之间也需要有效的沟通。
(5)监控——内部控制系统需要被监控,即对该系统有效性进行评估的全过程。(5)监控——内部控制系统需要被监控,即对该系统有效性进行评估的全过程。 • 通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。 • 持续性的监控行为发生在企业的日常经营过程中,包括企业的日常管理和监督行为、员工履行各自职责的行为。 • 独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报,性质严重的应上报最高管理层和董事会。
内部控制在中国的发展 • 1、1996年12月,中国注册会计师协会发布了《独立审计准则第9号——内部控制和审计风险》,借鉴美国SAS.No.55,提出了内部控制三要素——控制环境、会计系统和控制程序,以帮助注册会计师调查和测试内部控制,确定控制风险进而确定实质性审计测试的性质、时间与范围。 • 2、2002年2月9日,中国注册会计师协会发布《内部控制审核指导意见》,较为全面地对会计师事务所进行内部控制进行评价提供了操作指南,规范注册会计师对内部控制的审核意见,但该指南仍然没有跳出SAS.No.55号对内部控制的有关规定,该意见主要强调与会计报表相关的内部控制。 • 3、2006年2月25日,中国注册会计师协会发布《中国注册会计师审计准则第1211号——了解被审计单位及其环境,评价重大错报风险》,将被审计单位内部控制作为评价被审计单位重大错报风险的重要依据之一,第一次正式提出了内部控制的五要素,即控制环境、风险评估、信息与沟通、控制活动和监督,借鉴了COSO内部控制整体框架思想。
4、2002年美国《萨班斯—奥克斯利法案》出台,伴随国内一系列重大财务舞弊案件的发生,有关监管当局对内部控制的有关作用日益重视,上海证券交易所和深圳证券交易所在2006年6月、9月分别出台了各自的《上市公司内部控制指引》,该指引较多地借鉴了萨班斯法案的立法思想,同时利用COSO(全国虚假财务报告委员会下属的发起人委员会)《内部控制—风险管理框架》的八要素理论要求上市公司管理当局在年度报告中披露其对本公司内部控制设计和理性以及运行有效性的意见,同时要求会计师事务所对管理层的报告发表鉴证意见。至此,对于上市公司而言,我国基本建立了类似美国萨班斯法案的内部控制评价体系。4、2002年美国《萨班斯—奥克斯利法案》出台,伴随国内一系列重大财务舞弊案件的发生,有关监管当局对内部控制的有关作用日益重视,上海证券交易所和深圳证券交易所在2006年6月、9月分别出台了各自的《上市公司内部控制指引》,该指引较多地借鉴了萨班斯法案的立法思想,同时利用COSO(全国虚假财务报告委员会下属的发起人委员会)《内部控制—风险管理框架》的八要素理论要求上市公司管理当局在年度报告中披露其对本公司内部控制设计和理性以及运行有效性的意见,同时要求会计师事务所对管理层的报告发表鉴证意见。至此,对于上市公司而言,我国基本建立了类似美国萨班斯法案的内部控制评价体系。 • 5、 2008年5月22日财政部 证监会 审计署 银监会 保监会关于印发《企业内部控制基本规范》的通知(财会[2008]7号 )要求上市公司自2009年7月1日起,对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。 • 6、 2008年6月12日,财政部发布了《企业内部控制评价指引》(征求意见稿)、《企业内部控制应用指引》(征求意见稿)和《企业内部控制鉴证指引》(征求意见稿)。 • 7、《企业内部控制基本规范》拟于2010年起在境外上市公司执行。
中国上市公司内部控制的主要缺陷 • 公司治理与内部控制体系不完善; • 公司授权缺失或不合理,部门职责设置重叠低效; • 公司内部控制制度与业务开展难以有效融合; • 公司管理层与员工内部控制意识薄弱; • 公司对于内部控制制度的认识不足,缺少内部控制的相关培训和辅导; • 公司对外投资无法有效控制,导致大量投资亏损; • 集团公司的分支机构难以在业务、财务和资产上得到有效的控制; • 采购环节内部控制缺失,导致产品质量难以保障。 • 衍生金融产品投资的风险管理能力较差; • 内部审核人员配置不足、工作深度不够,无法有效执行监督职能。
财务风险识别 • 一、单项财务指标信号。原来的分析我们都是事后分析,作为一个价值创造性的财务管理,应该在有些事情发生之前,要有预见。 • 1.对外扩张瞬间膨胀。比如说巨人集团的史玉柱,保健品的现金回流是一个有限的数字,是一个有限的资源,要看到短期内的新增项目的危险,这样的情况包括了浙江绍兴的江龙控股,可能是在主业受到了阻力,主要的问题是向外扩张出现的问题。 • 2.贷款筹资突然困难。比如说原来银行贷款可以出来,现在突然出不来了,销售的回款不畅。 • 3.商品销售的突然下跌。 • 4.非常的存货积压。因为存货的原材料采购、生产产品的正常进行,但是销售不出去这也是一个库存。 • 5.货款回收大面积停滞。原来都是两三个月,到时候下家会打款过来的,现在就不行了。 • 6.交易记录的快速恶化。这里是“快速恶化”。 • 7.定时性开支没有如期支付。
二、综合指标 • 销售的利润率、销售的现金含量以及外部借款的比例,资产负债率等等方面。 • 我们把这几个方面单因素出现红灯的时候要关注,当三个指标进入红灯的时候你是危机即将到来,如果是六个以上的因素你基本上是没有方法可以救了。所以在这个问题上,单项财务指标,综合指标还有非财务指标。 • 1.财务预测在较长时间不准确。比如:过度依赖外部债权人贷款;过度依赖某家关联公司;核心人物或重要岗位突变异动。 • 我们要通过财务专业指标,还要眼观六路耳听八方,从日常的经营的预防性应对策略:建立危机意识,预防重于处理。 • 2.常规管理的倾向性应对策略。 • 强力推进资金集中管理,继续推进全面预算,强化多层责任,锁定债券风险…… • 3.差异管控下的针对性应对策略。 • 不同的集团对集权的分配方法不一样,有战略管控型的,也有财务管控型的,要针对不同的管控模式来进行相应的应对策略。
中国内部控制基本规范 • 2008年6月28日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称基本规范)。执行基本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。 • 基本规范共七章五十条,各章分别是:总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。 • 基本规范坚持立足我国国情、借鉴国际惯例,确立了我国企业建立和实施内部控制的基础框架,并取得了重大突破。
内部控制的基本要求: • 一是科学界定内部控制的内涵,强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,有利于树立全面、全员、全过程控制的理念。 • 二是准确定位内部控制的目标,要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上,着力促进企业实现发展战略。 • 三是合理确定内部控制的原则,要求企业在建立和实施内部控制全过程中贯彻全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。
续: • 四是统筹构建内部控制的要素,有机融合世界主要经济体加强内部控制的做法经验,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。 • 五是开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制,要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。
1.总则 • 主要明确了《基本规范》的颁布目的、适用对象,以及内部控制的概念、主要目的、实施原则和要求构成等。重要关注: • 主要适用对象是国内的大中型企业,而对于小型企业和其他企业单位可以参照。 • 强调内部控制是一个“旨在实现的控制目标的过程”,而不单单只是结果。好的内控应该根据企业是否在业务过程中采取了风险控制的措施来判断。 • 内部控制的目标:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果、促进企业实现发展战略。与COSO相比多了一个“资产安全”,因为很多上市公司的资产,从现金、存货到固定资产都频繁爆出舞弊行为,而在非上市公司,尤其是大中型国有企业将更为突出。
续: • 第四条《基本准则》给出了全面性(各业务层面、项目管理和子公司管理)、重要性(关注风险重大的领域)、制衡性(不相容职务的分离)、适应性(不断调整、突出变化性)、成本效益五大原则。 • 第七条《基本准则》要求对信息系统的内部控制进行分析判断。因为很多案例表明,即使在实行了ERP的企业,内部舞弊依然存在,而且往往是利用了ERP系统的权限或者后门。 • 第十条《基本准则》强调内部控制和鉴证的独立性问题,即为企业提供内部控制咨询的公司不能再为企业提供内部控制审核并发表意见。
2.内部环境的要求 • (第十一条到第十三条)在治理结构上,强调“审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等”。 • (第十四条)在机构设置和权责分配上,突出“企业应当通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配、正确行使职权。”明确业务循环中的控制目标、可能风险、防范措施等。 • (第十五条)在内部审计上,要“保证内部审计机构设置、人员配备和工作的独立性”。要求内审部门“有权直接向董事会及其审计委员会、监事会报告”所发现的问题。 • (第十六条互第十七条)在人力资源政策上,突出“关键岗位员工的强制休假制度和定期岗位轮换制度”。其目的是防范舞弊风险。 • (第十八条到第十九条)在企业文化上,强调“董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用”。
3.风险评估要求 • (第二十条到第二十三条)在风险识别方面,将企业的风险划分为内部风险和外部风险两个大类,并进而分为十二个小类,有利辩别业务循环中的风险。 • (第二十四条)在风险分析方面,要求企业“应当充分吸收专业人员,组成风险分析团队”,“按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序”。可见,风险的重要性排序将主要依赖于风险的发生频率以及严重程度两个方面。 • (第二十五条到第二十七条)在风险应对方面,指出“企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略”,只要风险在可接受的范围内,不采取措施也是一种风险应对策略。指出“企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好。”防止因个人风险偏好而影响整个企业的存亡。
4、控制活动的要求 • 《基本准则》明确了七个方面:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。强调: • (第三十条)“企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策”,其中,联签对于提高内部制衡,增加审批的谨慎性非常关键,克服“一支笔”现象。 • (第三十七条)“企业应当建立重大风险预警机制和突出事件应急处理机制”,尤其是要建立突发事件的应对制度,从书面制度教育员工甚至公司管理层如何进行危机公关。同时,对于一些重要的经营投资行为,比如期望货交易等,要建立预警线,以保证公司在遭遇不幸时,损失能够最小化。
5、信息与沟通的要求 • (第三十八条到第四十三条),要求企业“应当建立信息与沟通制度”,保证内部信息的充分有效的传递,尤其是对于舞弊行业的发现和处理,要予以重点关注。 • 重点提到信息系统下的信息沟通, 要求企业加强对“信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制”
6、持续监督的要求 • (第四十四条)在企业中,内部监督主要是由内部审计部门来负责实施,要求企业“明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求”。这就要求企业能提供一套全面的指导内部审计部门开展工作的指引。 • 内部审计部门要不断地关注和评价企业的内控状况,这一评估包括了制度的设计有效性和执行有效性,以帮助企业能持续不断地进行内控改善。 • 《基本准则》提出“企业应当以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性”,由此可见,在整个内控实施的过程中,凭证表单显得尤为重要,因为只有表单才能证明内控的被执行,才能让内控变得可复核。因而,建立一套规范的、与业务流程相匹配的书面表单是企业建立内部控制的重要环节。
中国企业内部控制配套指引 • 财政部、证监会、审计暑、银监会、保监会2010年4月15日发布内部控制配套指引。自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行,在此基础上,择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。 • 1、企业内部控制应用指引 • 2、企业内部控制评价指引 • 3、企业内部控制审计指引
企业内部控制应用指引(18个) • 第1号:组织架构。组织架构的设计,组织架构的运行。 • 第2号:发展战略。发展战略的制定,发展战略的实施。 • 第3号:人力资源。人力资源的引进与开发,人力资源的使用与退出。 • 第4号:社会责任。安全生产,产品质量,环境保护与资源节约,促进就业与员工权益保护。 • 第5号:企业文化。企业文化的建设,企业文化的评估。
第6号:资金活动。筹资,投资,营运。 • 第7号:采购业务。购买,付款。 • 第8号:资产管理。存货,固定资产、无形资产。 • 第9号:销售业务。销售,收款。 • 第10号:研究与开发。立项与研究,开发与保护。
第11号:工程项目。工程立项,工程招标,工程造价,工程建设,工程验收。第11号:工程项目。工程立项,工程招标,工程造价,工程建设,工程验收。 • 第12号:担保业务。调查评估与审批,执行与监控。 • 第13号:业务外包。承包方选择,业务外包实施。 • 第14号:财务报告。财务报告的编制,财务报告的对外提供,财务报告的分析利用。 • 第15号:全面预算。预算编制,预算执行,预算考核。
第16号合同管理:合同的订立,合同履行。 • 第17号内部信息传递:内部报告的形成,内部报告的使用。 • 第18号信息系统。信息系统的开发,信息系统的运行与维护。
企业内部控制评价指引 • 1、内部控制评价的内容(五要素)。 • 2、内部控制评价的程序(方案、工作、测试、认定缺陷、评价结果、编制评价报告)。 • 3、内部控制缺陷的认定(重大、重要和一般缺陷)。 • 4、内部控制评价报告(披露8项内容)。
企业内部控制审计指引 • 1、计划审计工作。 • 2、实施审计工作。 • 3、评价控制缺陷。 • 4、完成审计工作。 • 5、出具审计报告。 • 6、记录审计工作。 • 附录:内部控制审计报告的参考格式
思考:中国为什么不能照搬美国<萨班斯法案>? • (1) <萨班斯法案>关于内部控制的规定的操作成本太高,对规定较小的中国企业来说操作难度太大.大型美国公司仅在第一年建立内部控制系统的平均成本就高达430万美元。 • (2)公司治理方面与国际或美国企业有差距,照搬可能水土不服。 • (3)很多中国上市公司的基础还比较差,要达到<萨班斯法案>的要求太难。 • 中国联能因境外上市,2003年就已按<萨班斯法案>302条和404条建立并完善内控。
企业内部控制建设思路和要求 • 1、梳理企业现有治理结构、完善组织设计及部门设置。明确战略目标,设立相应的内控部门及部门职责,对现有制度查缺补漏。 • 2、建立内部控制系统。内部控制系统是各有差异、各具特色。主要目标是为了经营合法、运作高效率、控制风险。包括:对企业风险进行系统评估、建立书面的内部管理手册、对企业内部管理手册的执行进行持续监督、根据企业的外部环境及内部业务的变化对内控体系进行动态更新。 • 3、对外披露:内控自我评估及内控鉴证。自我评估报告应披露:内控制度实施情况,重大缺陷及影响,采取的改进措施,重大变化情况及影响等。内控鉴证是指实行内部控制审计或者评价的企业,应对内部控制审计或者评价工作予以配合。接受委托的中介机构应保持客观独立性,并对报告的合法性、公允性负责。
《内部管理手册》编制要求 • 《手册》是在企业内部控制的范畴内提出的,成为内部控制制度设计及实践的组成部分。 • 《手册》的内容集中于机构设置、岗位职责、流程、权责分配等,一方面是经营操作相关、另一方面与企业内控所关注的经营层面的主要风险相关。 • 《手册》所面对的使用对象是公司的全体员工,因而可操作性应是需要考虑的重要因素。 • 《手册》对公司的内部审计部门起到工作指导的作用,以便于公司了解自身的整体经营风险并方便审计部门对业务环节的具体操作进行审计。
《内部管理手册》与企业其他管理制度差异 • 编制目标的差异。管理制度是出于日常经营的需要,功能在于为特定的操作人员提供具体的工作指引。ISO管理体系关注产品质量。《手册》对企业经营的整体风险进行关注和防范。 • 编制框架差异。制度常常缺乏逻辑架构和整体框架,ISO缺少考虑企业经营层面的其它风险。《手册》强调对企业经营层面的所有风险的识别、分析、评估和控制,突出企业内部控制实施的可复核性。 • 《手册》是对现有制度体系的整合和提升,是从风险管理的视角对企业原有制度体系和业务流程的再梳理。
《内部管理手册》的内容构成 • 《手册》应梳理业务流程,找出业务循环的主要风险和控制目标,并明确相对应的关键控制活动和基本的不相容职务分离的要求,同时通过对特定循环的流程分析,将关键控制活动对应到具体的岗位和管理制度,最后《手册》为内部审计提供必要的工作指引。手册》组成: • 流程综述及控制目标:流程整体描述,流程控制目标。 • 明确控制要求的流程图:梳理流程图,标出关键控制环节。 • 本流程主要职责及对应岗位:明确职责与岗位。 • 不相容职责分离要求:明确职责分离要求。 • 关键控制活动分析及说明:针对各个关键控制活动进行分解说明。 • 内控测试矩阵:针对各个关键控制活动,提出内控测试方案。
《内部管理手册》的编制框架与典型步骤 • 第一步:业务循环划分。主要包括(1)销货及收款环节;(2)采购及付款环节;(3)生产环节;(4)固定资产管理环节;(5)货币资金管理环节;(6)关联交易环节;(7)担保与融资环节;(8)投资环节;(9)研发环节;(10)人事管理环节;(11)信息管理环节。 • 第二步:流程风险分析。主要包括:流程的控制目标、关键控制活动、主要涉及的岗位职责、相关的表单流转等。 • 第三步:不相容职务分析。一般而言,企业的各主要业务循环的各类活动可以划分为批准、执行、记录和控制四大类别,从岗位设置的要求来看,应该保证同一人员不同时从事以上四类中的任何两项及以上的工作。 • 第四步:内控测试矩阵。明确内控活动中所有关键控制点的主要痕迹和后果,并分别从过程和结果两个角度来检视内控实施的有效性。
