搜索
xx上市公司内部控制制度及流程体系设计及应用2012年3月目录1.企业内控建立背景2.企业内部控制的具体设计3.XX企业的内部控制4.内部控制的实施公司内部控制制度建立背景外部政策要求:机制建设将从三个层面展开:设计并运行内控制度手册;制定内控评价办法并定期监督评价;树立内控理念并形成内控文化;•2006年6月5日,上海证券交易所发布《上海证券交易所上市公司内部控制指引》,要求沪市上市公司于2006年7月1日开始执行。其第三十二条要求:公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。•2008年5月22日,财政部与中国证监会等五部委发布《企业内部控制基本规范》,要求上市公司在2009年7月1日前按照基本规范的要求建立健全内部控制制度,在2009年度报告中披露董事会对公司内部控制有效性的自我评价报告,并由会计师事务所对公司内部控制的有效性进行审计。公司内部控制制度建立背景内部发展要求:激烈的市场竞争与持续发展的目标,要求公司管理层平衡好风险与发展的关系。公司本部与分厂、母子公司管控模式的顺畅运行,也离不开符合内控要求的授权体系,职责边界与业务流程设计。公司风险点的识别,预警;公司关键业务环节的控制与把握;公司现有制度流程的梳理完善,形成有效的循序渐进的运营系统。资产安全,经营合规提高经营效率效果提升公司风险屏蔽能力实现公司战略目标以公司内部控制系统作保障内部控制的概念1992年COSO委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission)提出并于1994年修改的《内部控制——整体框架》中对内部控制作了如下的描述:内部控制是由企业董事会、经理阶层和其他员工实施的,为:营运的效率效果财务报告的可靠性相关法令的遵循性等目标的达成而提供合理保证的过程。内部控制绝对不是:静态的结构;某一层次人员的任务(例如:高级管理层);某一部门的任务(例如:财务、内部审计);某一实体的任务(例如:总部、省级公司)。公司内部控制标准框架结合《企业内部控制基本规范》的要求,公司内部控制制度建设是由董事会、监事会、经理层和全体员工实施的,通过构建内控要素,并将控制措施融入经营活动的,旨在实现控制目标的过程,具体建设框架概括为三个纬度:目标纬度:一个主导目标:效率与效果;三个保障目标:报告可靠、资产安全与经营合规。在此基础上促进战略实现。要素纬度:五项控制要素包括:内部环境、风险评估、控制活动、信息沟通与内部监督。经营活动纬度:内控建设过程中应坚持依经营活动设计内控手册,将控制措施融入经营管理。需要强调,风险评估要素包括了目标设定、因素辨认、风险评估、风险反应四个方面。内部控制的主要特征特点一:内部控制发展的主线是保证资产安全和会计信息真实。内部控制与会计有着天然的血缘关系,会计系统应建立在内部控制程序基础之上,以保证会计数据的可靠性;另一方面,内部控制程序利用可靠的会计数据来保证资产的安全,并监督各部分的业务。企业内部控制企业会计系统企业会计数据保证会计数据可靠性•保证资产的安全•监督各部分业务内控管理不是独立于现行管理体系之外的另外一个系统;内控管理是对现有体系的整合梳理,数据的充分利用和挖掘;内控体系强化现有的制度体系、政策和流程。•内控不是独立于现行管理体系之外独立的系统,而是融合于企业的战略、文化、价值观、组织体系、制度体系、管理工具体系之中。内控制度手册有机地串联管理系统中的各个模块,深度发掘并整合企业的管理信息,强化企业的政策、程序。内部控制的主要特征特点二:企业内部控制是体现在日常经营活动中的嵌入式控制制度。人力资源政策及实务责任的分配与授权组织结构管理哲学和经营风格董事会和审计委员会职务要求的界定诚信原则和道德价值观控制环境内部控制体系的构建-控制环境企业必须了解它所面临的风险,并加以控制。即设立可辨识、分析和管理相关风险的机制风险评估就是分析和辨识为实现企业目标所可能发生的风险。目标风险控制行为控制活动环境变化后的管理评估和更新内部控制体系的构建-风险评估高中低低中高A可能性:高严重性:高需即时采取改善措施B可能性:低严重性:高考虑采取行动及备有应变计划C可能性:高严重性:低考虑采取行动D可能性:低严重性:低定期审查可能性严重性CBAD风险点的评定模型内部控制体系的构建-风险评估控制型控制型处理风险的方法是指避免、消除风险或减少风险发生频率及控制风险损失扩大的方法。主要包括避免、预防、分散、抑制等方法。①避免避免就是放弃某项活动,以此达到回避因从事该项活动可能导致风险损失的目的。例如,担心锅炉爆炸,就放弃利用锅炉烧水,改用电热炉等。这种方法的优点是彻底根除风险;其缺陷是在回避风险的同时放弃了某种经济利益。还有些根本不能避免,比如说地震。(美国很多房子都是木头的,地下都是空的)②预防预防就是在风险发生之前采取的一切减少风险发生频率的具体措施,它是通过消除或减少风险因素来实现的。具体方法有工程物理法和人类行为法。前者如精心选择建筑材料,以防止火灾风险,其重点是预防各种物质性风险因素;后者包括对设计、施工人员及住房进行教育等,其重点是预防人为风险因素。(打伞,防疫针)③分散分散指以增加风险单位数目来提高风险的可测性,以此达到降低风险成本的目的。如通过兼并、扩张、联营等手段,以此增加风险单位数目,提高风险的可测性,达到把握风险、控制风险、降低风险成本的目的。(鸡蛋放在多个篮子里)④抑制抑制是指风险事故发生时或之后采取的各种防止损失扩大的措施。例如,在建筑物上安装消防、自动喷淋系统等,就可减轻火灾损失的程度,防止损失扩大。风险防范的方法:内部控制体系的构建-风险评估人们对风险的认识,受种种因素的制约,因而对风险的预测和估计不可能达到绝对精确的地步,而各种控制型风险处理方法,都有一定的缺陷,而且,有此风险根本就不可能避免、消除。因此,任何经济单位和个人都不可能不承受风险成本。①自留自留指经济单位或个人自己承担全部风险成本的财务处理方法。自留有主动自留和被动自留之分。前者指在识别风险的基础之上,根据自己的经济承受力和经济上的合算性、可行性决定的自留,它是经济单位有意识地、主动地承担风险成本。后者则是未能识别出风险而被迫承担风险成本,它是因无法准确预测风险缺乏足够的信息的情况下的被迫行为。②转移这是指为避免承担全部风险成本,有意识地将所面临的风险及其发生可能导致的损失转移给予其他经济单位或个人承担而事先进行的一种财务安排。这种以转移风险成本为特征的财务处理方法包括非保险转移和保险转移。内部控制体系的构建-风险评估财务型:发生次数(每十年)损失数额影响轻微影响严重/暂停营运公司倒闭利用保险把风险转移保险范围保险公司预防措施…接受较低的风险,并把余下较高的风险转移内部控制体系的构建-风险评估1.筹资风险评估2.投资风险评估3.信用风险评估4.合同风险评估1.企业只能把风险控制在自己可以接受的范围内。2.风险防范控制是企业的一项基础性、经常性的工作。世界首富比尔·盖茨有一句名言,“微软离破产只有18个月”。作为世界上最强大的企业的首席执行官,仍然具有这样强烈的危机感,可见风险防范意识在美国和西方优秀企业的管理体系中确实占据着核心地位。即便如此,美国依然有雷曼兄弟、通用汽车、房地产、房地美、近30多家银行都已陆续破产。美国人有风险意识,但是并不怕风险,连死都不怕(教堂事件)。中国企业更要有危机意识。有些风险防不胜防,比如转基因大豆风险(基辛格)。内部控制体系的构建-风险评估企业风险模型竞争者敏感性股东关系资金充足性金融市场灾难性损失独立/政治法律行政管理行业信息技术风险使用权完整性相关性可得到性基础设施财务风险货币利率流动性结算再投资信用双边关系现金转移或流速改变廉政风险管理欺诈雇员欺诈非法行为无授权使用商誉授权风险领导力权力限制表现激励沟通营运风险客户满意人力资源产品开发效率能力表现差异循环时间资源商品定价过失或损失符合性业务中断健康和安全环境产品或服务失败商标或产品名侵蚀营运价格合同投入衡量结盟完整性和精确性管理报告决策信息风险财务预算和计划完整性和精确性会计信息财务报告评价税收养老基金投资评估管理报告战略环境检视业务组合价值衡量组织结构资源分配计划生命周期企业需要按照以下的“企业风险模型”设计企业内部管理及风险控制体系来全面减少企业的经营风险控制活动是由为合理保证公司目标的实现而建立的政策和程序组成的,控制活动可应用于某种交易,也可以融合应用于控制环境或会计系统的特定组成部分。常见的控制活动有:内部控制体系的构建-控制活动1.组织规划控制2.授权审批控制3.全面预算控制4.文件记录控制5.实物保护控制6.职工素质控制7.风险防范控制8.内部报告控制9.信息系统控制10.内部审计控制11.会计系统控制12.绩效考核控制贯穿在风险评估和控制活动过程中这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯,并交换这些资讯信息系统:内部、外部信息传递方式:自上而下、自下而上、平行共享沟通:使员工知悉其在业务经营、财务报告及法律遵循方面的责任内部控制体系的构建-信息与沟通信息系统的作用信息系统不仅处理企业内部所产生的各种信息,同时也处理企业与外部的事项、活动,以及与环境等有关的信息。企业的信息系统不仅是企业控制环境建设的一个重要方面,同时也是企业内部一个重要的特定控制程序,是企业内部控制的一个组成部分。一个有效的企业信息系统应能作到:保证企业内部每个人都清楚地知道其所承担的特定职责。使每名员工不仅必须了解内部控制制度的有关方面,这些方面如何生效以及自己在内部控制制度中所担负的责任,一旦有非正常事项发生,除了要关注该事项外,还必须能够分析发生原因,并采取适当的措施。信息流动与沟通内部控制体系的构建-信息与沟通信息沟通系统不仅要有向下的沟通渠道,还应有向上的、横向的以及对外界的沟通渠道:企业管理层要向全体员工发布有关认真履行各自控制职责的明确信息,使其了解自己在控制系统中的地位和作用。企业要有一条自下而上报告重大信息的有效途径,即建立开放,畅通的信息反馈渠道,以便发现内部控制系统的薄弱环节,并及时采取相应的补救措施。建立反映行为责任履行情况的报告系统,对于企业实施内部控制尤其重要。信息流动与沟通内部控制体系的构建-信息与沟通各管理系统的关系数据仓库DW供应链管理系统SCM供应商管理物流库存管理结算支付管理客户关系管理系统CRM客户界面(呼叫中心等)客户销售渠道管理客户市场销售分析办公自动化知识管理系统OA/KM文件流转发布协同工作知识经验共享发布数据挖掘、在线分析和决策支持系统DM/OLAP/DSS企业资源计划系统ERP人力资源财务制造分销系统管理企业信息平台EnterpriseInformationPlatform企业信息总线EnterpriseInformationBus制定内控评价办法并形成定期评价制度,内控机制才能形成管理闭环。内控评价的目标分两个层面:一是通过定期与不定期的评价与监督检查,保证内控政策与程序执行的有效性;二是通过发现缺陷与新增风险点,不断完善内控政策与程序手册,适应企业持续发展过程适应动态环境的内控机制自我完善的需要。内部控制体系的构建-内部监督目录1.企业内控建立背景2.企业内部控制的具体设计3.XX企业的内部控制4.内部控制的实施企业内部控制的总体设计思路:企业内部控制的设计-设计原则健全的内部控制系统借鉴内部控制理论参考内部控制成功案例根据内部控制法律法规结合企业管理实际在此基础上,设计内部控制还应遵循以下五条具体规则:整体结构原则成本效益原则程式定位原则协调配合原则相互牵制原则控制环境企业内部控制的设计-设计原则整体结构原则:各部门子控制系统各业务子控制系统企业内部控制系统各项控制要素、各业务循环及部门子控制系统,必须有机构成为企业内部控制的整体架构。企业内部控制系统,必须包括控制环境