公司战略与风险管理第六章内部控制

第六章风险管理框架下的内部控制讲授内容：内部控制基本规范内部控制应用指引内部控制评价与审计内部控制与公司治理第一节内部控制基本规范COSO是美国虚假财务报告委员会下属的发起人委员会（TheCommitteeofSponsoringOrganizationsofTheNationalCommissionofFraudulentFinancialReporting）的英文缩写。1985年，由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题。1992年9月，COSO委员会发布《内部控制整合框架》，简称COSO报告，1994年进行了增补。一、企业内部控制理论的演变与发展一、企业内部控制理论的演变与发展内部控制的演变历程内部牵制阶段20世纪40年代以前内部控制制度阶段20世纪50年代到70年代内部控制结构阶段20世纪80年代到90年代内部控制整合框架20世纪90年代到世纪末内部控制风险管理框架2004年至今第一节内部控制基本规范一、企业内部控制理论的演变与发展第一节内部控制基本规范1.COSO委员会对内部控制的定义二、内部控制的定义内部控制是受企业的董事会、管理层和其他人员影响，为企业经营的效率和效果、财务报表的可靠性和相关法律法规的遵从性等目标的实现而提供合理保证的过程。内控的目标日常运营有关的目标财务报告有关的目标法律法规的遵从性目标第一节内部控制基本规范2.中国对内部控制的定义二、内部控制的定义内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和结果，促进企业实现发展战略。第一节内部控制基本规范2.中国对内部控制的定义二、内部控制的定义内部控制是一个过程，它是实现目的的手段，而非目的本身；内部控制受人的影响，它不仅仅是政策手册和图表，而且涉及企业各层次的人员；内部控制只能向企业董事会和经理层提供合理的保证，而非绝对的保证；内部控制是为了实现五类既相互独立又相互联系的目标。第一节内部控制基本规范三、我国内部控制规范体系2008年6月28日，财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》。自2009年7月1日起适用于中华人民共和国境内设立的大中型企业（包括上市公司）执行。同时鼓励小企业和其他单位参照其内容建立与实施内部控制。第一节内部控制基本规范（一）《企业内部控制基本规范》《内控规范》要求企业建立内部控制体系时应符合以下目标：（1）合理保证企业经营管理合法合规、（2）合理保证企业资产安全（有效、安全、完整）、（3）合理保证企业财务报告及相关信息真实完整；（4）提高经营效率和效果；（5）促进企业实现发展战略。《内控规范》借鉴了以美国COSO报告为代表的国际内部控制框架，并结合中国国情，要求企业所建立与实施的内部控制，应当包括下列五个要素：（1）内部环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）内部监督。三、我国内部控制规范体系第一节内部控制基本规范企业内部控制的五个要素内部环境风险评估控制活动信息与沟通内部监督企业实施内部控制的基础，是其他内部控制要素的根基。即：公司治理结构、内部机构设置与职责分工、内部审计、人力资源政策、企业文化和法制环境。企业及时识别、系统分析经营活动中与实现内控目标相关的风险，合理确定风险应对策略。企业根据风险评估结果，采用相关的控制措施，将风险控制在可承受范围内。企业及时准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时加以改进。第一节内部控制基本规范三、我国内部控制规范体系常见的内部控制活动不相容职务分离控制授权审批控制会计系统控制财产保护控制预算控制营运分析控制绩效考评控制第一节内部控制基本规范三、我国内部控制规范体系（二）《企业内部控制配套指引》根据国家有关法律法规，财政部在会同监事会、审计署、银监会、保监会在2008年6月发布的《企业内部控制基本规范》的基础上，于2010年4月26日，制定发布了《企业内部控制配套指引》（三大指引）。《企业内部控制配套指引》连同2008年6月发布的《企业内部控制基本规范》，共同构建了中国企业内部控制规范体系，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上交所、深交所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。三、我国内部控制规范体系第一节内部控制基本规范（二）《企业内部控制配套指引》企业内部控制配套指引企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引为企业管理层对本企业内部控制有效性进行自我评价提供的指引是注册会计师和会计师事务所执行内部控制审计业务的执业准则三、我国内部控制规范体系第一节内部控制基本规范（二）《企业内部控制配套指引》企业内部控制应用指引内部环境类指引（1～5号指引）控制活动类指引（6～14号指引）控制手段类指引（15～18号指引）组织架构、发展战略、人力资源、社会责任和企业文化。资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告。全面预算、合同管理、内部信息传递、信息系统。三、我国内部控制规范体系第一节内部控制基本规范内部控制的原则全面性原则强调内控应当贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项。重要性原则在全面控制的基础上，内控应该关注重要业务事项和高风险领域。制衡性原则内控应当在治理结构、机构设置和权力分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。适应性原则强调内控应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。成本效益原则内控应当权衡实施成本与预期效益，以适当的成本实现有效控制。四、内部控制原则第一节内部控制基本规范第二节内部控制应用指引一、组织架构组织架构是企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。企业要实施发展战略，必须要有科学的组织结构，主要包括治理结构和内部机构设置。企业设计组织架构应遵守的原则企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行及监督等方面的职责权限互相分离，形成制衡。企业在处理“三重一大”问题上，即（1）重大决策、（2）重大事项、（3）重要人事任免及大额资金使用，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。一、组织架构第二节内部控制应用指引企业设计组织架构应遵守的原则企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。一、组织架构第二节内部控制应用指引企业设计组织架构应遵守的原则企业应当对各机构的职能进行科学合理的分解，确定具体岗位名称、职责和工作要求等，明确各个岗位的权限和相互关系。企业应当制定组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度和相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。一、组织架构第二节内部控制应用指引企业组织架构运行应遵守的原则企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保企业治理结构、内部职能机构设置和运行机制等符合现代企业制度要求。企业应当到期对组织架构设计与运行的效率和效果进行全面评估，发现组织架构设计与运行中存在缺陷的，应当进行优化调整。一、组织架构第二节内部控制应用指引企业组织架构运行应遵守的原则企业拥有子公司的，应当建立科学的投资管控制度，通过合法有效的形式履行出资人职责、维护出资人权益，重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。一、组织架构第二节内部控制应用指引二、发展战略发展战略制定的要求及措施进行充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标。制定发展目标过程中，应当考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素。企业应当根据发展目标制定战略规划。战略规划应当明确发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径。第二节内部控制应用指引发展战略制定的要求及措施要求企业在董事会下设立战略委员会，或指定相关机构负责发展战略管理工作，履行相应职责。要求董事会严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性。方案经董事会审议通过后，报经股东(大)会批准实施。二、发展战略第二节内部控制应用指引发展战略实施的要求和措施企业应当根据发展战略、制订年度工作计划，编制全面预算，将年度目标分解、落实；同时完善发展战略管理制度，确保发展战略有效实施。企业应当重视发展战略的宣传，通过内部各层级会议和教育培训等有效方式，将发展战略及其分解落实情况传递到内部各管理层级和全体员工。战略委员会应当加强对发展战略实施情况的监控，定期收集和分析相关信息，对于明显偏离发展战略的情况，应当及时报告。确需对发展战略作出调整的，应当按照规定权限和程序调整发展战略。第二节内部控制应用指引三、人力资源招聘和雇用。新雇员的试用期和岗前培训制。建立雇员员工培训长效机制、提升员工素质。绩效评估。辞职、解除劳动合同、退休等。第二节内部控制应用指引四、社会责任社会责任：企业在经营发展过程中应当履行的社会职责和应尽的义务。主要包括安全生产、产品质量（含服务，合同）、环境保护与资源节约、促进就业与员工权益保护等。第二节内部控制应用指引五、企业文化企业文化是指企业在生产经营实践中逐步形成的、为整体团队并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。企业文化一般具有导向功能、激励功能、凝聚功能、辐射功能、品牌功能。第二节内部控制应用指引积极培育具有自身特色的企业文化，引导和规范员工行为，培育体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神，以及团队协作和风险防范意识。重视并购重组后的企业文化建设，平等对待被并购方的员工，促进并购双方的文化融合。要求董事、监事、经理和其他高级管理人员在企业文化建设中发挥主导和垂范作用，企业文化建设既要注重“上下结合”，更应注重企业治理层和经理层的示范作用。加强企业文化的宣传贯彻，有效沟通，共同遵守，融人生产经营全过程。第二节内部控制应用指引六、资金活动资金活动是指企业筹资、投资和资金运营等活动的总称。企业资金活动中可能存在的风险无一不是重要风险，一旦转变为现实，危害重大。资金活动的主要风险筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机；企业投资决策失误，引发盲目扩张或丧失发展机遇，可能导致资金链断裂或资金使用效益低下；资金调度不合理、营运不畅，可能导致企业陷入财务困境或资金冗余；资金活动管控不严，可能导致资金被挪用、侵占、抽逃或遭受欺诈。第二节内部控制应用指引六、资金活动要求企