搜索
《企业内部控制配套指引》实施解读主讲人:刘维1一、《企业内部控制配套指引》主要内容解析二、配套指引对董事会的要求三、企业的合遵循挑战四、合规之路该如何规划五、合规工作的主要要求六、合规工作的组织与人力资源安排七、如何理解内部控制的重要性及其风险管理的关系2本报告所载资料是为广州市财政局编撰。任何其他人士不得依赖本报告作任何其他用途,本公司概不就此对任何其他人士承担任何责任。未经本公司书面同意,任何34企业内部控制应用指引《企业内部控制应用指引》:共18项,用以指导企业开展内部控制建设,并为企业及事务所的内部控制评价及审计提供参考。内容包含制定指引的总体目标、涉及事项的定义、相关风险描述、业务流程规范和关键控制点要求等标准性内容。企业内部控制评价指引《企业内部控制评价指引》:用以指导企业开展内部控制评价,以满足基本规范的实施要求。内容包含评价原则、评价制度要求、评价的内容、评价的程序、缺陷的认定、评价报告。企业内部控制审计指引《企业内部控制审计指引》:用以规范注册会计视执行企业内部控制审计业务。内容包含审计目标、计划审计工作、实施审计工作、评价控制缺陷、完成审计工作、出具审计报告、记录审计工作、审计报告参考格式。2008年6月28日发布《应用指引》、《评价指引》和《审计指引》构成企业内部控制配套指引用于指导企业更加有效实施基本规范。2010年4月26日发布《基本规范》从内部环境、风险评估、控制活动、信息与沟通以及内部监督五大要素的角度,对于中国企业如何建立、维持有效的内部控制提出了原则性的要求,建立了具有中国特色的内部控制框架。企业内部控制基本规范财务报告内部控制有效性的外部审计内部控制有效性的自我评价内部体系的建设和实施5审计师:按照《审计指引》的要求,对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露评价对象为企业建立和实施的财务报告内部控制企业:按照《评价指引》的相关要求,对内部控制的有效性进行自我评价评价对象包括企业建立和实施的财务和非财务内部控制,需对这些内部控制的设计和执行有效性进行评价企业:从《基本规范》规定的五大要素出发,参照《应用指引》的具体要求,建立和实施完善的内部控制体系《企业内部控制配套指引》实施时间适用企业2011年12月31日年报2012年12月31日年报第一个合规报告年度2011年1月1日2012年1月1日择机实施鼓励提前实施企业披露年度自我评价报告会计师事务所出具内控审计报告境内、外同时上市的公司在上海证劵交易所、深圳证劵交易所主板上市公司实施中小板和创业板上市公司非上市大中型企业6《企业内部控制应用指引》:共18项,用以指导企业开展内部控制建设,并为企业及事务所的内部控制评价及审计提供参考。内容包含制定该项指引的总体目标、涉及事项的定义、相关风险描述、业务流程规范和关键控制点要求等标准性内容。应用指引条目如下:根据各具体指引所规范内容的不同,可以将应用指引分为三类:内部环境类(5个)控制手段类(4个)•组织架构•发展战略•人力资源•企业文化•社会责任•全面预算•合同管理•内部信息传递•信息系统7控制活动类(9个)•资金活动•采购业务•资产管理•销售业务•研究与开发•工程项目•担保业务•业务外包•财务报告组织架构资金活动采购业务社会责任企业文化发展战略人力资源全面预算资产管理销售业务业务外包信息系统合同管理内部信息传递担保业务工程项目研究与开发财务报告目标:对于流程控制目标的整体要求。企业可参考指引中所述目标,从定性和定量两个角度细化本企业各流程的具体控制目标,作为流程风险评估的基础。风险:流程中可能涉及的主要风险。企业可考虑参考指引中所述风险,采用一定的风险评估方法,识别、评估本企业流程可能涉及的重大风险,并作为内部建设的基础。定义:对于流程所涉及业务范围的定义。企业应根据自身实际业务情况,对流程所涉及的业务范围进行明确定义。对于流程控制的整体要求。应作为企业设计本流程内部控制体系的整体性原则。主要业务环节及具体内控要求,企业可参考这些具体要求,结合本企业实际情况,制定细化的内部控制步骤和程序,包括明确内控执行的岗位和人员、频率、文档、问题跟进措施等。8在应用指引使用过程中应注意以下问题:应用指引仅是对于主要业务流程环节和内部控制提出了原则性的要求18项应用指引涵盖了制造企业常见的重要业务领域,但是对于具体企业来说,肯定会存在一些应用指引无法涵盖的业务活动。因此企业需要根据基本规范和应用指引的总体原则和企业实际的风险情况,对自身业务、风险和内部控制进行详细梳理,而不能仅仅依赖应用指引进行内控体系的建设。(例如对于银行业来说,并没有专门的指引对商业银行的核心业务流程,例如存款业务、贷款业务、资金业务、中间业务等进行明确规定)企业可参考应用指引的架构和内容,细化制定本企业的内部手册9第一章总则第二章内部控制评价的内容第三章内部控制评价的程序•内部控制评价的最终责任机构是企业董事会或类似权力机构•企业内部控制评价的原则:全面性、重要性、客观性•企业应根据评价指引及实际情况,制定具体的内部控制评价办法•企业内部控制评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素,并包括内部控制设计和运行两个方面•内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容•企业可以授权内部审计部门或专门机构负责内部控制评价的具体组织实施工作•评价工作方案应报经董事会或其授权机构审批后实施•评价工作组成员对本部门的控制评价工作应当实行回避制度•企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所,不得同时为同一企业提供内部控制评价服务1011第四章内部控制缺陷的认定第五章内部控制评价报告•内部控制缺陷包括设计缺陷和运行缺陷•内部控制缺陷的认定应当以日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价部门进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定•内部控制缺陷可以分为重大缺陷、重要缺陷和一般缺陷(但具体认定标准由企业根据指引中原则自行确定)•企业应对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核;缺陷应向董事会、监事会或者经理层报告;重大缺陷应当由董事会予以最终认定;对于重大缺陷应追究有关部门或相关人员的责任•对报告的主要内容进行要求。报告应当经董事会或类似权力机构批准后对外披露比较内容主要实施要求是否给出评价指引评价责任机构评价结论的判定标准配套指引的要求•企业应当对内部控制的有效性进行自我评价,并披露年度自我评价报告•企业应当聘请会计师事务所对财务报告内部控制的有效性发表审计意见•企业内部控制评价指引•董事会(或类似权力机构)•没明确说明内控有效性结论的判定标准美国萨班斯法案第404条款•公司管理层申明对建立和维持适当财务报告内控结构及控制程序的责任,并在其提交的年报中对内控有效性作出评价•审计师须对管理层遵循情况进行测试和评价,并出具评价报告•SEC给出了“管理层评价指引”,但并不强制企业遵循,提供了可接受的一种遵循途径•管理层•存在一个或多个实质性漏洞,内部控制即告无效1213比较内容主要实施要求是否给出评价指引评价责任机构评价结论的判定标准香港企业管制常规守则C2.1条款•董事应当每年检讨一次上市公司及其附属公司的内部监控系统是否有效,并在企业管治报告中向股东回报已经完成的有关检讨。有关检讨应涵盖所有重要的监控方面,包括财务监控、运作监控及合规监控以及风险管理功能•没有对与内控审计具体要求•没有颁布专门的评价指引,仅在香港会计师公会为之专门制定的《内部监控和风险管理的基本框架》中,对于检讨程序有原则性规定•董事•未要求评价工作给出评价结论企业内部控制标准委员会负责为建立健全我国企业内部控制标准体系提供政策指导和咨询服务企业内部控制标准会员会主席由财政部副部长担任,副主席由证监会和国资委官员担任,成员包括来自监管部门、实务界、理论界的31位专家学者第一层次第二层次第三层次•中国企业建立内部控制的基本框架•建议了内部控制体系的构成要素:内部环境、风险评估、控制活动、信息与沟通、内部监督•国际上类似的内部控制框架包括:COSO、COCO等•《企业内部控制基本规范》的实施要求•要求企业对内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请会计师事务所进行审计•国际上类似要求包括:美国萨班斯法案第404条款、日本《金融工具及交易法》等《企业内部控制基本规范》五部委关于印发《企业内部控制基本规范》的通知用以指导企业内部控制体系建设,对于内部控制提出了具体的要求用以规范企业内部控制有效性的年度自我评价工作用以指导注册会计师执行企业内部控制审计业务五部委关于印发企业内部控制配套之音的通知《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》对于应用指引的解释/指南对于评价指引的解释/指南对于审计指引的解释/指南对体系的持续完善常见问题解答公告1415董事会负责内部控制的建立健全和有效实施的基本规范,具体体现在:董事会是企业内部控制体系的重要组成部分。董事会依法行使企业的经营决策权,对企业重大经济事项进行审批。——应用指引董事会须对内部控制有效性的评价负责。董事会应审批评价工作方案,对重大缺陷进行认定,对评价报告进行批准,并出具内部控制报告真实性的声明。——评价指引董事会应当向审计师提供声明书,声明董事会认可其对建立健全和有效实施内部控制负责。并与审计是沟通确认的重大缺陷和重要缺陷等重要内控事项。——审计指引1617关键条文概述企业内部控制应用指引-董事会对股东(大)会负责,依法行使企业的经营决策权,可按照股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序,为董事会科学决策提供支持。-董事会(或类似权力机构)应对发展战略方案,重大研究项目,重大工程项目的立项,重大担保业务,重大业务外包方案,和全面预算草案进行审批。企业内部控制评价指引-指引所称内部控制评价,是指企业董事会(或类似权力机构)对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。-企业董事会应当对内部控制评价报告的真实性负责。-企业内部控制评价部门应当拟订评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报警董事会或其授权机构审批后实施。-企业内部控制评价部门应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定18企业内部控制审批指引-董事会应当注册会计师提交书面声明,声明董事会认可其对建立健全和有效实施内部控制负责-注册会计师以书面形式与董事会沟通其在审计过程中识别的重大缺陷和重要缺陷;审计范围受到限制的情况及对审计委员和内部审计机构对内部控制的监督无效的认定。-内部控制评价报告应当披露董事会对内部控制报告真实性的声明-内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门19主观意愿资源配备知识技能20主观意愿强调两个方面:内部控制的最终责任人和内部控制的日常参与者。内部控制的最终责任人:董事会内部控制的日常参与者:全体员工董事会及高级管理层立言、立行以昭示其对内部控制的充分重视,并为内部控制的建设和实施调配充分的资源董事会和其他高级管理人员不理解建设内部控制的意义,认为内部控制阻碍经营效率,将内控工作做成“两张皮”企业员工不理解什么是内控,不清晰自己的内控责任,无法自觉维护内控有效性积极消极21所有员工都充分理解并参与内部控制的建设和实施,内部控制融入企业的日常经营活动,真正为企业产生价值方法论内控建设人员需要熟悉国际通行的内部控制框架理论、国内外内部控制监管要求,并在此基础上,开发适合自身企业特点的内控建设和评价方法论。专业技能