萨班斯法案及基于风险管理的内部控制体系的构建与运行

萨班斯法案及基于风险管理的内部控制体系的构建与运行王志成博士第1页Logo目录1.背景与发展路径1.1内部控制的概念产生很久了1.21992年COSO委员会发布了COSO框架1.32001年开始全世界爆发了会计丑闻1.42002年美国颁布萨班斯法案1.52004年COSO委员会发布了全面风险管理框架1.62006年国资委发布中央企业全面风险管理指引1.72008年财政部等五部委发布企业内部控制基本规范1.82010年财政部等五部委发布了配套指引1.92012年5月财政部与国资委联合发布68号文1.10风险管理的基本程序2.国内监管文件解读3.建立风险导向的内部控制体系第2页Logo1.1内部控制的概念产生很久了内部控制的概念产生很久了！第3页Logo1.21992年COSO委员会发布了COSO框架信息与沟通持续监控控制活动风险评估控制环境COSO建立公司层面的目标和风险评估过程制定识别，传达会计准则变化（GAAP)及内部控制或其运行环境变化的程序参股公司层面目标建立具体的活动目标制定必要的政策和程序使该政策和程序所包含的控制在实践中得以贯彻实施管理层制定清晰明确的财务及经营目标并进行差异分析和追踪合理分配工作职责以降低舞弊风险保护文档，记录及实物资产的安全确保信息系统安全，对信息系统安全政策及程序的合规性进行监控信息系统为管理层决策提供支持开放并改善信息系统以适应公司的战略目标管理层提供保证并监控在信息系统开发和测试中的人力和财务资源的参与度管理层对所有主要数据中心建立业务持续计划/灾难恢复计划管理层对员工的责任和职责进行有效沟通并建立针对潜在问题的沟通渠道来自外部的信息在公司内部及时有效的进行沟通，使管理层能够采取及时适合的行动定期评估内部控制及人员实施内部控制管理意见，及时改进缺陷，适当回应监管部门的报告及建议管理层利用内部审计协助进行监控内控中的个别（专项）评价流程汇报内控缺陷流程管理层的正直，道德价值观和行为管理层的控制意识和运作类型管理层对员工能力的承诺董事会和审计委员会的监督组织架构已经权责的分配授权的界面应该清晰人力资源政策和实践第4页Logo1.32001年开始全世界爆发了会计丑闻安然世界通信银广夏蓝田股份帕玛拉特第5页Logo1.42002年美国颁布萨班斯法案第一章公众公司会计监察委员会第二章审计师的独立性第三章公司的责任第四章强化财务信息披露第五章利益冲突的分析第六章委员会的组成及其权利第七章研究及报告第八章公司欺诈及其刑事责任第九章强化白领刑事责任第十章公司纳税申报表第十一章公司欺诈责任第6页Logo1.52004年COSO委员会发布了全面风险管理框架内部环境风险管理理念、风险文化、董事会胜任能力评估、管理方法与经营模式风险偏好目标制定战略目标-其他相关目标-选择目标-风险偏好-风险容忍度事件识别事件-影响战略及目标的因素-方法和技术-事件相互依存性-事件类别-风险和机遇风险评估固有风险-残存风险-可能性和影响-方法和技术-相关性风险对策确认风险对策-评估风险对策-选择对策方案-风险组合观控制活动与风险对策相结合-控制活动类型-一般控制-应用控制-特定主体信息与沟通信息-战略和整合系统-沟通监控个别评估-持续评估第7页Logo1.62006年国资委发布中央企业全面风险管理指引2006年6月6日，印发《中央企业全面风险管理指引》，共有十章，七十条，全面启动国有企业风险管理。•第一章总则•第二章风险管理初始信息•第三章风险评估•第四章风险管理策略•第五章风险管理解决方案•第六章风险管理的监督与改进•第七章风险管理组织体系•第八章风险管理信息系统•第九章风险管理文化•第十章附则第8页Logo1.72008年财政部等五部委发布企业内部控制基本规范2008年6月28日五部委联合发布《企业内部控制基本规范》。第一章总则，包括定义、原则、要素等；第二章内部环境，包括公司治理、组织架构、人力资源、观念文化等；第三章风险评估，包括风险识别、风险评估、风险应对等；第四章控制活动，包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等；第五章信息与沟通，包括内部信息传递、信息系统、反舞弊机制等；第六章内部监督，包括对建立和执行内部控制的情况进行独立监督；第七章附则。第9页Logo1.82010年财政部等五部委发布了配套指引2010年4月26日，发布企业内部控制规范配套指引。要求2011年开始在境内外同时上市的公司施行，自2012在主板上市公司施行，鼓励非上市大中型企业提前施行。•企业内部控制应用指引（18项）•企业内部控制评价指引（1项）•企业内部控制审计指引（1项）第10页Logo1.92012年5月财政部与国资委联合发布68号文关于加快构建中央企业内部控制体系有关事项的通知1.中央企业要力争用两年时间，按照《企业内部控制基本规范》和配套指引的要求，建立规范、完善的内部控制体系。2.已在全集团范围内建立起内部控制体系的中央企业，应当重点抓好有效执行和持续改进工作，着力提升内部控制的健全性和有效性；3.主业资产实现整体上市或所属控股上市公司资产比重超过60%、尚未在全集团范围内启动内部控制建设工作的中央企业，应当统筹规划、协同推进全集团内部控制体系建设，着力抓好集团总部与各类子企业同步建设与稳步实施工作，于2012年建立起覆盖全集团的内部控制体系；3.其他中央企业应当抓紧启动内部控制体系建设工作，确保2013年全面完成集团内部控制体系的建设与实施工作。4.明确总体建设目标和分阶段任务，经董事会（或相应决策机构）批准后，于2012年8月31日前报国资委备案。51.10风险管理的基本程序1、年度风险管理工作通知2、进行风险识别3、实施风险评估4、更新完善风险应对策略5、制定风险管理措施6、汇总风险信息事件7、全面梳理现有制度、文件8、对风险管理体系进行监督评价9、编制全面风险管理报告第12页Logo目录1.背景与发展路径2.国内监管文件解读内部控制基本规范内部控制应用指引内部控制评价指引内部控制审计指引3.建立风险导向的内部控制体系第13页Logo2.1.1内部控制的原则重要性制衡性成本效益适应性全面性第14页Logo一般包括计划与审批、审批与执行、执行与验收、执行与记录。会计的核算是规范的内部控制的基础。规范核算是规避风险的手段；核算包括原始凭证的产生、传递、从原始凭证到记账凭证、从记账凭证到报表四个环节。运营分析控制绩效考评控制预算控制给谁做分析？分析什么？如何分析？如何报告？要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。要用制度做预算的事情。资产产生时的账实相符；资产持有期间的账实相符；资产实物管理；往来资产对账、实物资产盘点。2.1.2内部控制主要方法第15页Logo2.2指引文件目录控制环境组织架构发展战略人力资源社会责任企业文化业务控制资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告管理控制全面预算合同管理信息与沟通内部信息传递信息系统第16页Logo2.2指引总体解读1.规定容易达到还是不容易？2.是强制性的还是指导性的？3.是会计问题还是管理问题？4.是最低标准还是最高要求？5.一个部门做还是所有部门？第17页Logo2.2.1组织架构1.组织结构图、部门职责、岗位说明书，有董事会、监事会的，还应该明确职责权限、任职条件、议事规则；2.重大决策、重大事项、重大人事任免及大额资金支付业务（三重一大）的标准及集体决策或联签制度；3.权限指引；4.拥有子公司的，应该制定子公司管理制度，至少包含发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系等事项；5.对上述事项进行定期评估。2.2最低工作要求第18页Logo2.2.2发展战略——制定战略规划的企业1.战略规划应当明确发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径；2.全面预算应该和发展战略规划相互衔接；3.制定发展战略管理制度，确保发展战略有效实施；4.对发展战略实施情况的监控，定期收集和分析相关信息，根据需要做出调整。2.2最低工作要求第19页Logo2.2.3人力资源1.建立人力资源发展目标，制定人力资源总体规划和能力框架体系，明确人力资源的引进、开发、使用、培养、考核、激励、退出等管理制度；2.制定年度人力资源需求计划；企业选聘人员应当实行岗位回避制度；3.应当依法签订劳动合同；对于掌握或涉及关键技术、知识产权、商业秘密或国家机密的工作岗位，应当有保密协议；试用期和岗前培训制度；应该有轮岗制度；4.对各级管理人员和全体员工进行严格考核与评价，以此作为确定员工薪酬、职级调整和解除劳动合同等的重要依据；5.建立健全员工退出（辞职、解除劳动合同、退休等）机制，明确退出的条件和程序，确保员工退出机制得到有效实施；6.定期评估计划执行情况及人力资源管理经验。2.2最低工作要求第20页Logo2.2.4社会责任1.建立严格的安全生产管理体系、操作规范和应急预案，强化安全生产责任追究制度；设立安全管理部门和安全监督机构；2.重视岗位培训，特殊岗位实行资格认证制度；3.建立严格的产品质量控制和检验制度；4.结合企业实际情况，建立环境保护和资源节约制度，强化宣传教育，建立三废回收利用制度；建立环境保护和资源节约的监控制度；5.与职工签署劳动合同。2.2最低工作要求第21页Logo2.2.5企业文化1.确定企业文化建设的目标和内容形成企业文化规范，使其构成员工行为守则的重要组成部分；2.建立企业文化评估制度，明确评估的内容、程序和方法，落实评估责任制；2.2最低工作要求第22页Logo2.2.6资金活动1.科学确定投融资目标和规划，完善严格的资金授权、批准、审验等相关管理制度，明确筹资、投资、营运等各环节的职责权限和岗位分离要求;2.筹资应该严格论证并且经过审批；3.企业应当加强对投资方案的可行性研究，重点对投资目标、规模、方式、资金来源、风险与收益等作出客观评价。并按照权限审批；4.主要是两个层面的制度，一个是涉及到日常资金的管理，一个是涉及到资金的调度问题。2.2最低工作要求第23页Logo2.2.7采购1.完善采购业务相关管理制度，统筹安排采购计划，明确请购、审批、购买（不同的方式）、验收、付款、采购后评估、退货等环节的职责和审批权限，按照规定的审批权限和程序办理采购业务，建立价格监督机制，定期检查和评价采购过程中的薄弱环节；2.企业的采购业务应当集中，人员应该轮岗、不能一人办理全过程；3.企业应当建立科学的供应商评估和准入制度，确定合格供应商清单，2.2最低工作要求第24页Logo2.2.8资产1.资产投保；2.规范存货管理流程，明确存货取得、验收入库、原料加工、仓储保管、领用发出、盘点处置等环节的管理要求；3.固定资产管理制度和目录，规范取得、验收、使用维护、修理、改造、投保、抵押、清查、处置等；4.无形资产管理制度，明确取得、验收、使用、权证、升级、抵押、清查、处置等；2.2最低工作要求第25页Logo2.2.9销售业务1.全面梳理销售业务流程，完善销售业务相关管理制度，包括市场调查、定价、信用政策、销售合同、发票、售后服务等；2.建立应收账款管理制度，明确守信、催收、奖惩、对账、坏账；3.票据管理制度2.2.10研究与开发1.制定研发计划；2.强化全过程管理，包含立项申请、论证、审批、岗位责任制、过程跟踪、外协管理、成果验收、保密、核心人员的管理、成果保护、研发评估等；2.2最低工作要求第26页Logo2.2.11工程项目企业应当建立和完善工程项目