InternalControlTrainingV14(毕马威企业内部控制)

企业内部控制讲座企业内部控制讲座2012年5月22日目录一、企业内部控制基本框架二、风险评估在内部控制中的运用（一）内部控制与风险管理（二）风险管理体系介绍与实践三、内审在内部控制中的运用（）内部控制与内审（一）内部控制与内审（二）创新审计方法介绍1©2012毕马威企业咨询(中国)有限公司，是与瑞士实体—毕马威国际合作组织(毕马威国际)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。企业内部控制基本架构内部控制的发展历史内部控制发展重要里程碑美国COSO报告：内部控制——综合性框架，简称COSO报告英格兰及威尔士特许会计师协会Turnbull指南即《内部控制综香港会计师公会《内部监控和风险管理基本架构》中国财政部、证监会、审计署、银监会和保监会联合发布《企业内部简称COSO报告，即《内部控制——综合守则的董事指南》构》会联合发布《企业内部控制基本规范》1992199519992004200520062008加拿大COSO委员会《国资委发布《中央企美国COSO委员会发布加拿大委员会控制指南》简称CoSo指南国资委发布中央企业全面风险管理》员布ERM，即《企业风险管理——综合性框架》2©2012毕马威企业咨询(中国)有限公司，是与瑞士实体—毕马威国际合作组织(毕马威国际)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。企业内部控制基本架构什么是《企业内部控制基本规范》？2008年5月22日，财政部、证监会、审计署、银监会和保监会联合发布关于印发《企业内部控制基本规范》的通知《印发通知》本规范》的通知该规范自2009年7月1日起在上市公司范围内施行。执行该规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。《基本规范》2008年6月28日，由中国财政部、证监会、审计署、银监会和保监会联合发布《企业内部控制基本规范》。该规范对中国企业应该如何建立、实施有效的内部控制提出了原则性的要求。《配套指引》2010年4月26日，财政部、证监会、审计署、银监会、保监会26日联合发布了《企业内部控制配套指引》,连同此前发布的《企业内部控制基本规范》,标志着中国企业内部控制规范体系基本建成。《配套指引》包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》。制审计指引》。《企业内部控制应用指引》：主要对流程层面控制提出了具体要求，包括资金、采购、存货、销售、工程项目、固定资产、无形资产、长期股权投资、筹资、预算、成本费用、担保、合同协议、业务外包、对子公司的控制、财务报告编制与披露、人力资源政策、信息系统一般控制、衍生工具、企业并购、关联交易、内部审计部分。《企业内部控制评价指引》：用以规范企业内部控制评价工作，包括评价责任、原则、评价内容和标准、评价程序和方法、缺陷认定和评价报告等内容。企业内部控制审计指引》：用以指导注册会计师执行企业内部控制鉴证业务，包括鉴证业务的定义和责任、制定计划、实施工作、评价控制缺陷、形成意见、鉴证报告、工作底稿等内容。3©2012毕马威企业咨询(中国)有限公司，是与瑞士实体—毕马威国际合作组织(毕马威国际)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。和责计实作评价报作等企业内部控制基本架构《企业内部控制基本规范》体系总述企业内部控制基第关于印发《企业内部控制企业内部控制基本规范第一层次关于印发《企业内部控制基本规范》的通知企业内部控制应用指引第二企业内部控制评价指引企业内部控制审计指引二层次对体系的持续完善用以指导企业内部控制体系的建设，对于内部控制提出了具体的要求用以规范企业内部控制有效性的年度自我评价工作用以指导注册会计师执行企业内部控制审计鉴证业务第对体系的持续完善了具体的要求第三层次对于应用指引的解释／指南对于应用指引的解释／指南对于应用指引的解释／指南常见问题解答公告4©2012毕马威企业咨询(中国)有限公司，是与瑞士实体—毕马威国际合作组织(毕马威国际)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。企业内部控制基本架构企业内部控制配套指引的实施对象/范围和时间《企业内部控制配套指引》实施2011年1月1日部2012年1月1日择机实施鼓励提前实施时间2011年1月1日2012年1月1日择机实施鼓励提前实施适用企境、内外同时上市的公司在上海证券交易所、深圳证券交易所主板上市公司实施中小板和创业板上市公司非上市大中型企业业的公司上市公司实施市公司第会事2012年12月31日年报第一个合规报告年度2011年12月31日年报企业披露年度自我评价报告会计师事务所出具内控审计报告5©2012毕马威企业咨询(中国)有限公司，是与瑞士实体—毕马威国际合作组织(毕马威国际)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。企业内部控制基本架构《企业内部控制基本规范》的框架及要求内部控制遵循原则：全面性、重要性、制衡性、适应性、成本效益总则（一）（二）（三）（四）（五）内部控制目标：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现战略发展（）控制环境（二）风险评估（三）控制活动（四）信息与沟通（五）内部监督制定战略目标制定相关政策不相容职责分离控制确定风险承受度识别企业内部、外建立信息与沟通制度日常监督专项监督设置内部机构明确职责权限授权审批控制会计系统控制财产保护控制算控制部风险进行风险分析制定风险应对策略提高信息有用性加强信息沟通渠道发挥信息技术作用建舞机内控缺陷的识别和整改内控评价报告预算控制运营分析控制绩效考评控制建立反舞弊机制6©2012毕马威企业咨询(中国)有限公司，是与瑞士实体—毕马威国际合作组织(毕马威国际)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。附则：2009年7月1日起在上市公司范围内实施企业内部控制基本架构实施内部控制给企业带来的挑战主要特点：企业内部控制基本规范实施内部控制给企业带来的挑战由五家政府监管机构联合发布，具有较强的权威性，显示了政府提高中国企业内部控制水平的决心与美国萨班斯法案第404条款要求相比有很大的相似性：上市公司年度自我评价与独立审计相结合（后者目前尚未强１规范和明确企业内部的风险管理和内部控制组织架构与职责分工市公司年度自我评价与独立审计相结合（后者目前尚未强制要求）比萨班斯法案第404条款要求更全面：不局限于财务报告目标，而是涵盖了合法合规、资产安全、财务报告，经营效率和效果发展战略等多类目标加强企业内部风险与内控意识，形成统一的风险和内控文化２率和效果，发展战略等多类目标内控基本规范中既包含企业自我评估、会计师审计等实施要求，又包含内控建立和评估的框架要求借鉴美国COSO内部控制框架并根据国情加以创新和调风险和内控文化设计和建设灵活及完善的风险管理和内部控制２３借鉴美国COSO内部控制框架，并根据国情加以创新和调整意义：确立我国企业建立和实施内部控制的基础框架实施要求（关于印发《企业内部控制基本规范》的通知）：体系来应对现有及即将出台的法律法规要求３风险管理和内部控制体系建设与企业信息化建４实施要求（关于印发《企业内部控制基本规范》的通知）：公司应对内部控制有效性进行自我评价，披露年度自我评价报告，并可聘请具有资格的会计师事务所对内部控制的有效性进行审计风险管理和内部控制体系建设与企业信息化建设的有效结合４7©2012毕马威企业咨询(中国)有限公司，是与瑞士实体—毕马威国际合作组织(毕马威国际)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。自2009年7月1日起首先在上市公司范围内施行目录一、企业内部控制基本框架二、风险评估在内部控制中的运用（一）内部控制与风险管理（二）风险管理体系介绍与实践三、内审在内部控制中的运用（）内部控制与内审（一）内部控制与内审（二）创新审计方法介绍8©2012毕马威企业咨询(中国)有限公司，是与瑞士实体—毕马威国际合作组织(毕马威国际)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。内部控制与风险管理全面风险管理的简介全面风险管理框架（ERM）2004年9月，COSO发布了《全面风险管理－综合框架》报告。报告指出，全面风险管理是由董事会、管理层及其他人员实施，在战略制定过程中和整个企业中予以采用的事管其员，程中个中予一个过程，旨在识别可能会对企业产生影响的潜在事件，把风险控制在企业的承受能力之内，从而为企业实现以下目标提供合理保证：战略高层目标■战略：高层目标，统一并支持实现企业的使命与愿景■运营：企业资源使用的效果与效率■运营：企业资源使用的效果与效率■报告：各种报告的可靠性，包括内部与外部报告包括内部与外部报告■合规：公司对法律法规的遵循9©2012毕马威企业咨询(中国)有限公司，是与瑞士实体—毕马威国际合作组织(毕马威国际)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。内部控制与风险管理COSO框架上的演化COSO内部控制－综合框架COSO全面风险管理框架COSO内部控制综合框架COSO全面风险管理框架弥补缺口10©2012毕马威企业咨询(中国)有限公司，是与瑞士实体—毕马威国际合作组织(毕马威国际)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。来源：全面风险管理框架是一个指导性的理论框架，为公司的董事会提供了有关企业所面临的重要风险以及如何进行风险管理方面的重要信息企业风险管理本身是个由企业董事会管理要风险，以及如何进行风险管理方面的重要信息。企业风险管理本身是一个由企业董事会、管理层、和其他员工共同参与的，应用于企业战略制定和企业内部各个层次与部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内进行多层面，流程化的企业风险管理过程，它为企业目标实现提供合理保证为企业目标实现提供合理保证。全面风险管理框架并非替代内部控制框架，而是包含了内部控制框架的精髓，在内部控制的有关概念上，两者都保持了一致和连贯。目标：全面风险管理框架增加了一个新的目标：战略目标，并扩大了内部控制框架中“财务报告”目标的范围，将内部报告也涵盖在内。要素：全面风险管理框架扩展内部控制框架中“风险评估”要素为目标设定、事件识别、风险评估和风全面风险管理框架扩展内部控制框架中风险评估要素为目标设定、事件识别、风险评估和风险应对四个要素，并对与企业风险治理有关的要素进行了详细阐述。11©2012毕马威企业咨询(中国)有限公司，是与瑞士实体—毕马威国际合作组织(毕马威国际)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。内部控制与风险管理全面风险管理与内部控制在技术和方法上的比较全面风险管理框架引入“风险组合管理”的理念以及“风险偏好”和“风险容忍度”的概念全面风险管理框架引入了风险偏好、风险容忍度、压力测试与情景模拟等风险评估定量方法风险组合管理理念推动了内部控制框架向全面风险管理框架的发展，同时催生了风险组合管理技术（风险度量和应对）全面风险管理提供了风险应对的策略，并体现为风险防范、规避、分散、转嫁、抑制和补偿等具体技术方法12©2012毕马威企业咨询(中国)有限公司，是与瑞士实体—毕马威国际合作组织(毕马威国际)相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。内部控制与风险管理全面风险管理的目的一切组织存在的目的都是为股东创造最大的价值。企业加强风险管理的目的，就是为了使企业的价值最大化，为了实现企业的战略目标与运营目标，而不仅仅是经营的合法与财务报告的可靠。---《COSO全面风险管理框架》减少绩效稳减少绩效不稳定性协调和整合风险管理的各种观点增强投资者和利益相关者的信心增强投资者和利益相关者的