企业内控与全面预算管理

企业内控与全面预算管理学习手册•财政部、审计署等五部委今年颁布了《内部控制基本规范》、《内部控制应用指引》、《内部控制评价指引》等有关内部控制的法规。面对企业日益迫切的内控需求，为配合《企业内部控制配套指引》的正式出台，并结合内部控制指出预算管理在整个企业管理中的地位，从而构筑一个从战略到执行的全过程控制的管理体系，保证企业目标的逐步而持续地实现。引言总目录•内部控制介绍•预算管理介绍•预算系统与会计控制的关系•预算的编制及控制内部控制介绍课程目录•内部控制概述•内部控制的基本要素•内部控制的一个基础、三道防线•萨班斯-奥克斯利法案(SOX)概述•内部控制的成功经验•内部控制的局限性•预算在内部控制中的地位•内部控制业务流程案例分析•国内企业在内部控制方面的观念和措施弊端•案例分析6内部控制的定义:内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程。内部控制的目的(3个):为达到下列目标提供合理保证：•营运的效果和效率；•财务报表的可靠性；•相关法规的遵循。(一)内部控制概述经营回报与风险经营回报风险是某一事件或行为对企业经济利益可能产生的威胁。风险的后果•竞争失败•经营中断•法律诉讼•商业欺诈•无益开支•资产损失•决策失误等。公司管理层成功内部控制的重要性有效的内部控制风险与经营回报的良好平衡内部控制如何降低风险？暴露的金额发生的可能性风险的大小内部控制降低思考：从上述的形象比喻来看,企业的运营管理是否也需要实施内部控制?(二)内部控制的基本要素控制活动确保落实管理层的政策/流程；措施包括审批、授权、确认、建议、业绩考核、资产保全和权限分离等。监控评估内部控制系统；整合及独立的评估；管理层和监控机构的工作；内部审计。信息和沟通定期获取、确定并交流相关的信息；评审内部和外部获取的信息；信息流：职责指导管理层的总结成功的措施。控制环境营造企业环境，让公司员工建立内部控制；因素包括正直、道德价值、能力、权威和责任；是其它内部控制组成部分的基础。风险评估风险评估是因一些决定性的内部控制活动和企业目标而确认和分析相关风险的工作。所有五大元素必须同时起作用才能让内部控制有效运作监控信息和沟通控制活动控制环境业务单位乙活动一活动二风险评估业务单位甲1.控制环境是任何企业的核心，是企业的人以及它所处的环境；是推动企业的引擎，也是其他要素的基础。控制环境的组成要素：•管理哲学和经营风格；•组织结构；•董事会及其委员会职能；•职责分配和授权；•人事政策等。2.风险评估所有企业，无论其规模、结构、性质或所属行业，在其内部的所有层面都面临着风险。评估内容：发生的可能性和影响程度。评估技术：定量分析和定性分析。风险应对方案：风险回避/转移；风险降低；风险分担；风险承受。•3.控制活动企业必须依据风险评估结果订立控制风险的政策及程序，并予以执行。通常可以按业务分别进行制定。分类按层次分：公司层(ELC)和业务层控制按作用分：预防性和检查性控制按控制方式分：人工和自动控制•3.1.控制活动的类型1预防性控制2检查性控制3人工控制4自动控制事前事中事后3.2.一些重要的内控方法•职责分离控制；•授权批准控制；•内部报告控制；•电子信息技术控制；•……3.2.1.不相容职务相互分离控制－示例工作职责存在的风险同时负责现金的收取和应收账款的会计记录可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金同时负责购货订单的审批和货物的收取可能以组织的名义为个人购入货物，在收取货物时利用职务之便将货物占为己有，同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息同时负责付款的审批和购货订单签发与审核可能会伪造购货业务并支付货款，从而贪污现金3.2.2.授权批准控制在开展任何业务之前都应进行授权；授权以后，为了避免滥用权力，还要经常对业务流程进行审查；按性质的不同分为综合授权和特别授权；要对授权做好记录，并提供证明文件；避免两个极端：“层层审批”和“一支笔”。3.2.3.内部报告控制完善内部管理报告系统；内部报告上报时间及报告路线；内部报告的分发控制；内部报告的分析和跟进。3.2.4.信息系统控制－目标提高资源使用效率有效达到企业目标保持数据完整维护资产安全符合相关的法律、法规和政策4.信息与沟通贯穿在风险评估和控制活动过程中;这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的信息，并交换这些信息;信息系统：内部、外部;沟通：使员工知悉其在业务经营、财务报告及法律遵循方面的责任。5.监督整个内部控制的执行过程必须被监督；确保内部控制制度随情况的改变而作出动态的反应；应建立检查和报告体制。监督是谁的职责?•管理层应对内控执行情况进行持续监督；•内部审计部门应进行定期、不定期的个别评估。COSO内部控制框架在企业组织和管理职能上的落实，体现在“一个基础、三到防线”中。“一个基础”——风险治理结构；“三道防线”：1.第一道防线——业务单位的防线；2.第二道防线——风险管理单位的防线；3.第三道防线——内审单位的防线。一个基础加上三道防线就构成了风险管理在组织上的保障。三道防线中，每一道防线都有它的责任和职能:各个业务单位是内部控制的责任主体；风险管理单位是风险管理的监视和建议部门；内审单位的责任则是确认和报告。在三道防线中，需要特别强调业务单位的第一道防线。业务单位包含了企业大部分业务和资产，在日常工作中面临各种风险，是企业风险的前线。企业风险管理必须把手段和内控程序，融入到业务单位的工作和流程中，管控好业务单位这一道防线。(三)内部控制的一个基础、三道防线2020/7/13?2000KPMG(四)《萨班斯-奥克斯利法案》/《萨奥法》(SOX)简介在安然、世界电讯等多家上市公司丑闻曝光后,美国参众两院通过了《萨奥法》,并且专门成立了上市公司会计监督委员会（PublicCompanyAccountingOversightBoard--PCAOB）以•加强公司治理；•重建投资者信心；•提高上市公司按证券法或其它要求所作披露的准确性和可靠性。《萨奥法》不仅适用于美国公司,也适用于在美国证监会注册的外国公司，其内容主要包括•上市公司会计监督委员会的责任和角色；•上市公司的责任；•审计师独立性；•加强财务信息披露。242020/7/13?2000KPMG第404条管理层对内部控制的评审•管理层为公司设立和维持足够的财务报告内部控制系统的责任陈述；•管理层为评估公司财务报告内部控制系统的有效性而采用的评估架构陈述；•管理层就公司最近财政年度财务报告的内部控制系统的有效性作出的评审结果。第302条企业对财务报告的责任•签字人已审阅向证监会呈交的报告；•该报告不存在对重要事件的不实描述或遗漏；•确认财务报告和其它财务信息的披露在所有重要方面均公允地反映公司状况；•承担责任，建立、维护和评估内部控制，确保信息披露正确；•已经向外部审计师和审计委员会披露内部控制存在的显着缺陷之处、重大漏洞和重要岗位舞弊；•披露评估日后内部控制的重大变动和改善措施。《萨奥法》各项条例中以第302条“企业对财务报告的责任”(CorporateResponsibilityforFinancialReports)和第404条“管理层对内部控制的评审”(ManagementAssessmentofInternalControls)影响最为深远(四)《萨班斯-奥克斯利法案》/《萨奥法》(SOX)简介(续)首席财务官或首席执行官需签署书面声明上市公司年报里(Form20-F表格)必须附有管理层对内部控制的评审报告，其内容应包括另外，第404条还要求外部审计师对于与财务报告相关的内部控制和管理层对内部控制的评审进行审计，并出具审计意见。25一、内控建设需因企制宜每家企业的具体情况不同,因此企业需结合其实际的业务和管理需求对内控建设进行丰富和“本地化”：（1）公司领导和相关部门明确公司经营目标和管理重点、内部控制的基本要素和主要业务活动管控目标；从而确定相应的管理手段和控制方法，制定内控改进／实施方案；（2）充实、细化改进方案，形成具体的内部控制措施并予以落实；（3）选取试点单位进行测试／评估，并对所发现的缺陷进行整改；（4）定期测试和评估，及对所发现的问题作进一步整改。二、内控建设有效性评价不一定是大规模的测试工作管理层在确定内部控制有效性自我评价工作的范围和方法时，应该建立在管理层对内部控制日常执行情况了解的基础上，并根据企业面对的风险，选择合适的、符合成本效益的评价方法和测试范围（如企业日常的管理监督、专项检查、内部审计等），以获取充分的依据来支持评价结果。三、内控缺陷重要性评价需结合定量和定性因素(五)内部控制的成功经验(六)内部控制的局限性•1．两个以上人员共同舞弊的场合(合伙舞弊)；•2．利用权限无视内部控制的场合(管理层越权)；•3．经营者故意无视内部控制的场合(对经营者舞弊的局限)；•4．内部控制不能做到完美的高度，需要花费无限的成本(成本效益)；•5．体系不是万能的，并不是一旦建立今后永远适用的(对不定型业务的局限)。结论:由于内部控制自身存在局限性，所以无论内部控制设计和执行的再好，它也只能为企业管理提供合理的保证，而不能提供绝对的保证。一、首先全面预算管理是企业内部控制的基础。全面预算是控制环境最直接的表现形式；全面预算是风险评估的依据；全面预算是控制活动的综合框架；全面预算是信息情报传递的最高平台；检查和评估都离不开全面预算。二、其次内部控制措施要依靠全面预算管理来落实。内部控制的内容涉及组织规划控制、授权批准控制、文件记录控制、实物安全控制、职工素质控制、预算控制、业绩报告控制、内部审计等八个方面,它们相互配合、相互关联,形成企业的管理控制网络。如果以职能为主线，则可以概括为预测、决策、计划、预算、控制、评价与激励等流程。可见,全面预算与内部控制在流程上存在共性,它们互相补充、互相促进。预算是内部控制的一项重要内容，而内部控制的措施主要依靠全面预算来落实。(七)预算在内部控制中的地位(八)内部控制业务流程案例分析•举例:销售与收款业务流程中的往来账核对控制。往来账核对控制是通过定期与对方核对往来账余额，及时发现挪用、贪污企业货币资金等违法行为，以评价往来账项是否完整、准确的一种控制方法。特别应注意对于已作坏账处理的应收账款，了解是否有收回款项不入账的情况(入账完整性控制)。(九)国内企业在内部控制方面的观念和措施弊端一、内部控制制度不够健全。目前多数企业的内部控制制度不够全面，没有覆盖所有的部门和人员，没有渗透到企业各个业务领域和各个操作环节，使工作秩序混乱、核算不实而造成企业信息失真现象极为严重。二、缺乏有效的监督机制。我国已形成了包括政府监督和社会监督在内的企业外部监督体系。但如此庞大的监督体系对中小企业的监督效果却不尽如人意。三、对内控制度认识有片面性。内部控制制度是企业各个业务部门或人员，在业务运作过程中形成的相互影响、相互制约的一种动态机制，是具有控制功能的各种方式措施及程序的总称，它不是直接等同于规章制度，也不等同于内部管理，更不是组织计划。(九)国内企业在内部控制方面的观念和措施弊端(续)内部控制要以有效为前提，其关键是作为内控制度主体的经理和员工。由于一些中小企业的经理和员工对内控制度认识上存在偏差，导致企业认识不到内控制度的重要作用，造成企业的管理混乱。四、内控制度行为主体素质较低。五、内部审计职能弱化。内部审计是企业内部控制制度的一个重要组成部分。为数不少的企业没有设置内部审计机构；即使具有内审机构的企业，也是将其设置形式化。于是，各级管理部门更加有恃无恐，趁机钻了内部控制的空子。另外，内部审计机构职能的发挥从很大程度上取决于企业最高层的主观意愿。(十)案例分析中航油事件[案例]：中航油是中国航空油料集团公司（简称“中航油集团”）的海外控股子公司，2001年中航油在新加坡交易所主板上市，净资产增加到1.5