中国内部控制标准体系内蒙古工业大学管理学院李崇刚副教授第1页第1页李崇刚副教授硕士生导师管理学(会计与审计)硕士内蒙古会计学会理事联系电话:13847126288电邮:L13624849820@tom.com第2页第2页中国内部控制标准体系简介第一部分第3页第3页中国内部控制标准体系简介(一)企业内部控制基本规范(二)企业内部控制应用指引(三)企业内部控制评价指引(四)企业内部控制审计指引第4页第4页基本规范的制定主体企业内部控制标准委员会财政部国资委证监会审计署保监会银监会联合发起成立在该委员会之下专门设立政府于非盈利组织内部控制标准咨询专家组并启动相关课题研究工作第5页第5页企业内部控制标准委员会主席副主席成员(31)财政部副部长王军证监会纪委书记李小雪国资委副主任绍宁监管部门理论界实务界第6页第6页内部控制标准体系基本规范以评价指引、应用指引、鉴证指引等配套办法为补充以其为统领是重中之重评价指引鉴证指引应用指引(征求意见稿)(征求意见稿)(征求意见稿)第7页第7页第8页第8页1、五个目标:合规性、可靠性、安全性、经济性,战略性(COSO:3个目标,无安全性和战略性)2、五个原则:全面性、重要性、制衡性、适应性、成本效益3、五个要素:内部环境、风险评估、信息与沟通、控制活动、内部监督(一)企业内部控制基本规范——1个第9页第9页(二)企业内部控制应用指引—15个1、组织框架(含治理结构、机构设置、职责分配及不相容职务分离)、发展战略、人力资源、企业文化、社会责任2、资金、资产、采购、销售、研发、工程项目3、全面预算、合同、内部报告、信息系统注:财政部等还将出台具体的操作手册或讲解材料思考问题:如何设计和应用?第10页第10页第11页第11页应用指引征求意见稿(22)财务报表项目相关指引(17)资金无形资产合同协议采购存货固定资产销售工程项目担保企业并购成本费用衍生工具筹资预算长期股权投资业务外包对子公司的控制财务报表编制相关指引(2)制度支持指引(3)财务报告编制与披露关联交易信息系统一般控制人力资源政策内部审计第12页第12页(三)企业内部控制评价指引1、管理层要提交内部控制评价报告(年度评价和专项评价)2、评价组织与实施A.谁负责:企业主要负责人B.谁实施:董事会(或类似决策机构)或其授权机构(可借助CPA或外部专家)C.遵循原则:全面性、重要性和独立性D.评价方案设计及实施E.评价方法(访谈、问卷、专题讨论、穿行测试、统计抽样、比较分析等)F.工作底稿编制与复核第13页第13页(三)企业内部控制评价指引3、年度评价和报告的内容A.评价:对整个年度、整个内部控制在某一基准日的有效性评价后,发表一个意见。B.报告:内控设计或执行方面的重大缺陷A).重大缺陷B).重要缺陷C).一般缺陷第14页第14页(三)企业内部控制评价指引4、内部控制缺陷的认定A,设计缺陷和运行缺陷企业在内部控制评价中,应对内部控制缺陷进行分类分析。1、设计缺陷:缺少为实现控制目标所必需的控制,或现存控制设计不适当、即使正常运行也难以实现控制目标。2、运行缺陷:现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。第15页第15页(三)企业内部控制评价指引B,重大缺陷、重要缺陷和一般缺陷重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标的情形。重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标的情形。一般缺陷,是指除重大缺陷、重要缺陷之外的其他控制缺陷。注意:缺陷的整改责任人不同:董事会(监事会监督)、经理层、内部有关单位第16页第16页(三)企业内部控制评价指引5、内部控制评价报告(一)组织实施内部控制评价的总体情况。(二)内部控制责任主体的声明。(三)内部控制评价的范围和内容。(四)内部控制评价的标准和依据。(五)内部控制评价的程序和方法。(六)内部控制重大缺陷及其认定情况。(七)内部控制重大缺陷的整改措施及责任追究情况。(八)内部控制有效性的结论(基准日)。注意:存在一个或多个内部控制重大缺陷的,应当作出内部控制无效的结论。第17页第17页(四)内部控制审计企业(公司)领导层要高度重视CPA和企业的责任在不断加大内部控制审计结果将成为企业的重要考核指标与财务报表审计有很大不同第18页第18页内部控制基本规范简介第二部分第19页第19页基本规范的主要内容第20页第20页基本规范的框架结构基本规范(7章50条)总则内部环境风险评估控制活动附则内部监督信息与沟通第21页第21页内部控制基本规范坚持立足我国国情,借鉴国际惯例,确立了我国企业建立和实施内部控制的基本框架。规定了内部控制的目标要素原则要求是制定应用指引和评价指引的基本依据基本规范第22页第22页内部控制实施机制的建立以企业为主体以中介机构审计为重要组成部分以政府监管为促进要求企业根据有关法律法规、本规范及其配套办法,制定本企业的内部控制制度并组织实施.要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系明确企业可以依法委托事务所对本企业内部控制的有效性进行审计,出具审计报告。事务所及其签字的业务人员应当对发表的内部控制审计意见负责。为企业内部控制提供咨询的事务所,不得同时为同一企业提供内部审计服务。国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查第23页第23页基本规范的适用范围自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。执行基本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计小企业和其他有关单位可以参照本规范建立与实施内部控制适用范围第24页第24页内部控制的定义·由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程科学的界定内部控制的内涵,有利于企业树立全面、全员、全过程控制的理念。第25页第25页内部控制的目标合理保证经营管理合法合规(合规性目标)资产安全财务报告及相关信息真是完整(报告目标)提高经营效率和效果(经营目标)着力促进企业实现发展战略(战略目标)ERM的四目标第26页第26页内部控制的5要素框架内部环境风险评估控制活动信息与沟通内部监督监控控制环境风险评估控制活动信沟通息沟通信息与第27页第27页五要素间的关系内部环境重要基础前提风险评估重要环节基础控制活动重要手段主体信息与沟通重要条件保障内部监督重要保证手段COSO第28页第28页内部环境治理结构机构设置与权责分配内部审计人力资源政策企业文化诚信的原则和道德价值观评定员工的能力董事会和审计委员会管理哲学和经营风格组织结构职责的划分与授权人力资源政策及程序COSO第29页第29页治理结构根据国家有关法律法规和企业章程:建立规范的公司治理结构和议事规则明确决策、执行、监督等方面的职责权限形成科学有效的职责分工和制衡机制企业应当做什么?第30页第30页规范的公司治理结构及其职责权限依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权依法行使企业经营决策权负责内控的建立健全与实施主持企业的生产经营管理工作负责组织实施股东大会、董事会决议事项股东大会董事会经理层监事会审计委员会监督企业董事经理和其他高级管理人员依法履行职责对董事会建立与实施内部控制进行监督负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等负责组织领导企业内部控制的日常运行第31页第31页机构设置与权责分配企业应当结合业务特点和内部控制要求设置内部机构明确职责权限将权力与责任落实到各责任单位通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。具体要求股东大会各责任单位各责任人审计委员会监事会经理层董事会内部各职能部门第32页第32页事业部制组织结构图某集团公司酒店事业部房地产事业部……某事业部某事业部客房管理部餐饮娱乐部人力资源部其他职能部门工程管理部技术管理部人力资源部其他职能部门…………第33页第33页杜邦公司组织结构图第34页第34页内部审计企业应通过设置独立的内部审计机构,配备独立的内审人员来加强内部审计工作,保证其工作的独立性。内部审计机构的职能之一结合内部审计监督,对内部控制的有效性进行监督评价;监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。第35页第35页人力资源政策员工的聘用、培训、辞退与辞职。员工的薪酬、考核、晋升与奖惩。关键岗位员工的强制休假制度和定期岗位轮换制度。掌握国家秘密或重要商业机密的员工离岗的限制性规定。有关人力资源管理的其他政策。主要包括第36页第36页人力资源政策将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准切实加强员工培训和继续教育,不断提升员工素质。选聘员工的标准第37页第37页企业文化建设企业应当加强文化建设培育积极向上的价值观和社会责任感倡导诚实守信、爱岗敬业、开拓创新和团队协作精神树立现代管理观念,强化风险意识董事、监事、经理及其其他高级管理人员应当在企业文化建设中发挥主导作用企业员工应遵守员工行为守则,认真履行岗位职责增强董事、监事、经理及其其他高级管理人员和员工的法制观念建立健全法律顾问制度和重大法律纠纷案件备案制度第38页第38页风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。□目标设定□风险识别□风险分析□风险应对主括包括ERM中四要素第39页第39页目标设定企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行分析评估。第40页第40页风险识别内部风险因素人力资源因素董事、监事、经理及其高级管理人员的职业操守、员工专业胜任能力等管理因素组织机构、经营方式、资产管理、业务流程等自主创新因素研究开发、技术投入、信息技术运用等财务因素财务状况、经营成果、现金流量等安全环保因素营运安全、员工健康、环境保护等其他有关内部风险因素第41页第41页风险识别外部风险因素经济因素经济形势、产业政策、融资环境、市场竞争、资源供给等法律因素法律法规、监管要求等社会因素安全稳定、文化传统、社会信用、教育水平、消费者行为等科学技术因素技术进步、工艺改进等自然环境因素自然灾害、环境状况等其他有关外部风险因素第42页第42页风险的分析与应对风险分析采用定性、定量相结合的方法;按照风险发生的可能性及其影响程度等;对识别的风险进行分析和排序;确定关注重点和优先控制的风险风险应对策略风险规避风险降低风险分担风险承受与ERM相同第43页第43页控制活动不相容职务分工控制授权审批控制会计系统控制预算控制财产保护控制运营分析控制绩效考评控制业绩检查信息处理实物控制职责分离主要包括COSO第44页第44页不相容职务的分工控制不相容职务分离控制要求企业全面系统地分析,梳理业务流程中所涉及的不相容职务,实施相应的分离措施;形成各司其职,各负其责,相互制约的工作机制。第45页第45页不相容职务的分工控制交易的授权和交易的执行职务的相分离交易的执行与审核监督职务的相分离交易的执行与相关资产的保管职务相分离交易的执行与会计记录职务相分离资产的保管和会计记录职务相分离注意不相容职务分离,要贯彻实质重于形式的原则第46页第46页授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围,审批程序和相应责任企业应编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权:企业在日长发经营管理活动