萨班斯-奥克斯利法案内控知识培训之二《企业内部控制基本规范》讲解《企业内部控制基本规范》讲解|2培训的对象及目的:•对象:CSST全体员工•内容:五部委2008年6月颁发的《企业内部控制基本规范》•目的:1)了解企业内部控制框架,即:“五要素”2)如何依据“五要素”开展内控《企业内部控制基本规范》讲解|3《企业内部控制基本规范》基本知识•编制者:五部委(财政部、证监会、审计署、银监会、保监会)•实施对象:上市公司(鼓励非上市大中型企业执行)•自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。《企业内部控制基本规范》讲解|4《企业内部控制基本规范》介绍第一部分内部控制五要素总体介绍第二部分内部控制重要关注点介绍第三部分理论与实际比较《企业内部控制基本规范》讲解|5内部控制定义什么叫内部控制?是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制可分为五个要素:•内部环境•风险评估•控制活动•信息与沟通•内部监督信息与沟通控制环境风险评估控制活动监控《企业内部控制基本规范》讲解|6五要素概述五要素总括涵盖要点执行方式内部环境:建立各层级职责分工和制衡机制,塑造企业的道德和诚信氛围,影响员工对内部控制的意识。内部环境是内部控制的基础。•治理结构•机构设置及职责分配•内部审计•人力资源政策•企业文化•明确决策、执行、监管的权力分配。•明确职责权限,可通过编制内部管理手册实现。•设立审计委员会和内审部门,保持独立性。•可持续发展的人力资源政策,保证员工的道德诚信和职业胜任能力。•积极的价值观、风险意识、法制意识。公司治理:图解总经理出资人债权人股东投资经营监事会股东会议董事会部门经理……副总经理……可分配利润法定公积金任意公积金普通股股利未分配利润利润总额利息税后利润所得税7《企业内部控制基本规范》讲解|8五要素概述(续)五要素总括涵盖要点执行方式风险评估:识别企业运营目标和实际的差距所在和严重程度的手段。风险评估识别内部控制的对象•识别风险、确定风险承受度•确定评估方法•风险应对策略•持续进行•全面、系统的收集信息,判断内部风险和外部风险,确定企业整体风险承受能力和业务层面的可接受风险水平。•定性与定量相结合,关注重点和优先控制的风险。•避免个人风险偏好影响应对策略,策略方式包括风险规避、风险降低、风险分担和风险承受。•持续收集、分析与风险变化相关的信息,及时调整风险应对策略。《企业内部控制基本规范》讲解|9五要素概述(续)五要素总括涵盖要点执行方式控制活动:防范识别的风险所采取的政策和程序。存在于企业的各个部分、各个层面和各个部门。控制活动是内部控制的方法•控制方法•控制措施•风险预警机制•手工控制与自动控制、预防性控制与发现性控制相结合。•不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。•明确风险预警标准,制定应急预案。《企业内部控制基本规范》讲解|10五要素概述(续)五要素总括涵盖要点执行方式信息与沟通:建立保证信息能及时有效沟通的流程,贯穿于整个内部控制。信息与沟通是内部控制的传导神经•建立信息与沟通机制•利用信息技术促进信息的集成与共享•反舞弊机制•明确收集、处理和传递程序。•加强对信息系统控制,保证信息系统安全稳定运行。•确定反舞弊工作重点,建立举报机制。《企业内部控制基本规范》讲解|11五要素概述(续)五要素总括涵盖要点执行方式内部监督:测试和评估内部控制系统设计的合理性和运行的有效性。内部监督是控制内部控制•制定监督制度•明确控制缺陷认定标准•企业自我评估•明确监督机构、监督程序。•分析缺陷性质和原因,提出整改方案,明确报告机制。•自我评价的方式、范围、程序和频率,书面记录。《企业内部控制基本规范》讲解|12内部控制框架五要素关系内部环境风险评估控制活动内部监督职责分工、制衡机制、诚信氛围、员工意识如何控制风险建立内控的目标阻碍目标实现因素控制设计合理性控制执行有效性信息与沟通流转的信息准确完整五个要素之间是互相影响的,不能割裂来分析1.风险评估、控制活动、信息与沟通、内部监督会反过来影响内部环境。2.风险评估、控制活动、信息与沟通、内部监督能识别内部环境的变化。《企业内部控制基本规范》讲解|13《企业内部控制基本规范》介绍第一部分内部控制五要素总体介绍第二部分内部控制重要关注点介绍第三部分理论与实际比较《企业内部控制基本规范》讲解|141内部环境2风险评估3控制活动4信息与沟通5内部监督内部控制重要关注点介绍《企业内部控制基本规范》讲解|15有效内部环境要素•有效的公司治理结构•决策、执行、监督三权分离•审计委员会的监督•专门组织协调内部控制建立和实施的部门•有效的机构设置•具体工作分解至明确的部门和岗位,权责匹配•减少不必要的层级,提高效率《企业内部控制基本规范》讲解|16有效内部环境要素(续)•有效的监督机制•内部审计的独立性•有效的人力资源政策•岗位职责明确,人力资源需求合理•招聘和离职程序规范,引入竞争机制和培训计划•考核制度合理,考核标准明确•薪酬制度保持和吸引优秀人才,符合法律法规•职业道德修养和专业胜任能力作为选拔标准•关键岗位员工的强制休假制度和定期岗位轮换制度•掌握重要商业秘密的员工离岗的限制性规定《企业内部控制基本规范》讲解|17有效内部环境要素(续)•积极的企业文化•诚信与价值观•风险意识•法制意识《企业内部控制基本规范》讲解|181内部环境2风险评估3控制活动4信息与沟通5内部监督内部控制五要素的具体内容《企业内部控制基本规范》讲解|19•风险-是指在某一特定环境下,在某一特定时间段内,某种损失发生的可能性。•内部风险包括:高管人员的职业操守、员工专业胜任能力、经营方式、财务状况、经营成果、现金流量、环境保护等;•外部风险包括:经济形势、产业政策、融资环境、市场竞争、资源供给、法律法规、文化传统等。什么是风险《企业内部控制基本规范》讲解|20什么是风险评估风险评估的目的风险评估的方法风险评估的产物识别风险因素、确认企业可承受的风险度持续进行、定性与定量、关注外部风险与内部风险风险评估报告、与风险对应的控制活动《企业内部控制基本规范》讲解|21风险评估程序:•风险识别:全面持续收集信息,确认风险承受度•风险分析:定性和定量分析相结合,对风险排序•风险应对:确定风险应对策略•风险规避•风险降低•风险分担•风险承受放弃业务加强控制转移风险不控制《企业内部控制基本规范》讲解|221内部环境2风险评估3控制活动4信息与沟通5内部监督内部控制五要素的具体内容《企业内部控制基本规范》讲解|23什么是控制活动控制活动的对象控制活动的目的控制活动的方式识别的风险点将风险降低至可接受的风险水平(成本效益)及时,贯穿全程控制活动的关键适用性与执行力度控制活动的概念是:企业为了将已识别的风险降低到可接受水平所采取的一系列恰当、及时的政策和措施。《企业内部控制基本规范》讲解|24控制活动的内容•控制活动一般包括:•不相容职责分离控制•授权审批控制•会计系统控制•财产保护控制•预算控制•运营分析控制•绩效考评控制《企业内部控制基本规范》讲解|25不相容职责分离:指分离那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和弊端行为的职务。是防止舞弊的有效措施。重点是:•明确的职责分工•每项业务不能完全由一人经办•无法实现时应有上级监督复核•应分离的职责一般应包括:•同一业务的授权与执行•同一业务的执行与审核•同一业务的执行与记录•同一业务的执行与监督•财产的保管与记录不相容职责分离控制《企业内部控制基本规范》讲解|26授权:指权力的分解,即各个层级的审批权限,分为常规授权和特殊授权。重点是:•授权制度规定上应注意:•有书面的政策和程序•有各级权限的限制•事前审批和事后审批相结合•明确的审批人员责任•重大业务和事项的联签制度•具体审批时应注意:•对支持性文档的审阅•签字前询问、追查异常状况•禁止在签字前后进行涂改单据•禁止在空白单据上签字•禁止替代签名授权审批控制《企业内部控制基本规范》讲解|27会计系统控制:执行统一的会计准则制度,明确会计凭证、账簿和财务报告的处理程序,保证会计资料真实完整。重点是:•会计人员岗位责任制•会计档案管理规范化•会计信息控制•入账及时、准确、系统、完整•标准会计处理•凭证和账簿管理•报告流程控制会计系统控制《企业内部控制基本规范》讲解|28财产保护:对重要资产的控制措施。重点是:•实物资产和无形资产,包括:容易流动的资产、可转做他用的资产、危险的资产、重要的文件、关键的系统、敏感的信息等;•接触控制,包括:单独区域保管、上锁、门禁、门卫、生物识别系统、密码、数据加密等;•持续记录,如存货的永续盘存记录;•定期实物盘点,书面盘点记录;•实物与记录对照,发现保管和记录问题;•跟踪差异,确定是否需要进行财务数据调节。财产保护控制《企业内部控制基本规范》讲解|29预算控制:执行全面预算,明确预算管理的职责权限,规范编制、审定、下达和执行程序,强化预算约束。•全面预算包括:•全过程、全方位、全员参与•经营预算、资本预算与财务预算•预算管理重点是:•建立预算机构,明确报告体系•建立预算编制的制度流程和编制方法•建立预算分析和考核制度,防止预算松弛•建立预算调整控制预算控制《企业内部控制基本规范》讲解|30运营分析:建立运营情况分析制度,通过定期分析发现存在问题,及时查明原因并加以改进。•评价方式:•实际与同行业对比(横向)•现状与历史对比(纵向)•预算与实际对比(横向)•明确的考核指标和判断标准•书面化的分析报告•异常情况的跟踪运营分析控制《企业内部控制基本规范》讲解|31绩效考核:建立和实施绩效考核制度,明确考核指标体系,定期进行考核并将考核结果作为确定员工薪酬及晋升、评优、降级、调岗、辞退的依据。绩效考核控制是一个过程。•绩效考核控制应注意:•明确绩效目标•进行过程辅导,沟通反馈,纠正偏离•绩效管理体系包括:•经营目标•关键业绩指标体系(KPI)•薪酬与激励制度•人力资源管理制度•绩效考核制度绩效考核控制《企业内部控制基本规范》讲解|321内部环境2风险评估3控制活动4信息与沟通5内部监督内部控制五要素的具体内容《企业内部控制基本规范》讲解|33建立信息与沟通系统的目的如何保证信息的准确性和完整性?如何保证信息的及时性?建立信息收集、处理、传递机制建立沟通机制《企业内部控制基本规范》讲解|34信息与沟通系统的形式正式的信息与沟通系统非正式的信息与沟通系统可以输入和反馈信息,从复杂的计算机系统到简单的员工会议非正式的交流,包括与顾客、供应商、监管机构和员工的沟通信息与沟通系统可以分为正式和非正式:《企业内部控制基本规范》讲解|35•沟通的信息是否有用?及时?•能帮助做出风险判断和预警?•能帮助测量绩效?•能及时的识别、获取和处理?•需求方能获取?•能与相关的人沟通?确保有效信息与沟通系统因素《企业内部控制基本规范》讲解|36分为两种控制类型:•一般控制•计算机控制环境•接触控制•软件开发控制•应用控制•输入控制•进程控制•输出控制计算机信息系统控制《企业内部控制基本规范》讲解|37•反舞弊工作重点:•不法方式侵占、挪用企业资产,牟取不当利益•财务报告的虚假记载、误导性陈述或者重大遗漏•董事、监事、经理及其他高级管理人员滥用职权•机构或人员串通舞弊•举报机制应考虑:•举报方式•对举报人的保护措施•举报渠道向全体员工、客户及供应商等外部利益相关方公开•对于高级管理层的举报渠道直接通往审计委员会•书面记录结果并定期向审计委员会报告反舞弊控制《企业内部控制基本规范》讲解|381内部环境2风险评估3控制活动4信息与沟通5内部监督内部控制五要素的具体内容《企业内部控制基本规范》讲解|39内部监督的对象内部监督的目的内部监督的方式一段时间内的内部