企业内部控制20:23:121内部控制的体系与应用框架基于财政部《企业内部控制基本规范》和《企业内部控制配套指引》的实践企业内部控制——目录——20:23:12内部控制的基本概念内部控制的内容与应用框架建立企业内部控制的程序、步骤和方法123企业内部控制——目录——内部控制的基本概念与一般理论120:23:12企业内部控制一、内控的基本概念—起源与发展20:23:12内部控制可以通俗的理解为:内部控制是在一定的环境下,单位内部控制主体为了达到其特定目标所采用的一系列的管理程序和方法。《周礼》:虑夫掌财用财之吏,渗漏乾后,或者容奸而肆欺……于是一毫财赋之出入,数人之耳目通焉。具体到职务设置上,以货币资金的控制为例,专门设置了职入官、职岁官和职币官,来分掌货币资金的收入、支出和余额,体现了内部牵制思想“在内部控制、预算和审计程序等方面,周代在古代世界是无与伦比的。”(《会计思想史》,迈克尔.查特菲尔德)以提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。企业内部控制一、内控的基本概念—从案例说起(资金控制)瑞襄公司出纳员李敏,给人印象兢兢业业、勤勤恳恳、待人热情、工作中积极肯干,不论分内分外的事,她都主动去做,受到领导的器重、同事的信任。而事实上,李敏在其工作的一年半期间,先后利用22张现金支票编造各种理由提取现金98.96万元,均未记入现金日记账,构成贪污罪。其具体手段如下:1)隐匿3笔结汇收入和7笔会计开好的收汇转账单(记账联),共计10笔销售收入98.96万元,将其提现的金额与其隐匿的收入相抵,使32笔收支业务均未在银行存款日记账和银行余额调节表中反映;2)由于公司财务印鉴和行政印鉴合并,统一由行政人员保管,李敏利用行政人员疏于监督开具现金支票;3)伪造银行对账单,将提现的整数金额改成带尾数的金额,并将提现的银行代码“11”改成托收的代码“88”。瑞襄公司在清理逾期未收汇时曾经发现有3笔结汇收入未在银行日记账和余额调节表中反映,但当时由于人手较少未能对此进行专项清查。企业内部控制一、内控的基本概念—从案例说起(资金控制)【案例分析】从本案例中可知,瑞襄公司内部控制疲软、内控监督机制失灵是李敏走上犯罪道路的重要原因。公司存在以下几个管理上的漏洞:(1)出纳兼与银行对账,提供了在编制余额调节表时擅自报销32笔支付现金业务的机会。(2)印鉴管理失控。财务印鉴与行政印鉴合并使用并由行政人员掌管,出纳在加盖印鉴时未能得到有力的监控。(3)未建立支票购入、使用、注销的登记制度。(4)对账单由出纳从银行取得,提供了伪造对账单的可能。(5)凭证保管不善,会计已开好的7笔收汇转账单(记账联)被李敏隐匿,造成此收入无法记入银行存款日记账中。(6)发现问题追查不及时。在清理逾期未收汇时发现了3笔结汇收入未在银行日记账和余额调节表中反映,但由于人手较少未能对此进行专项清查企业内部控制企业内部控制可以通俗地理解为关于企业生产管理运行的规章制度和行为准则。企业内部控制的思想最早开始于18世纪,随着企业大规模化和资本大众化的进程,企业内部控制的要求应运而生,到了20世纪,随着股份制公司的建立和规模的扩大,所有权和经营权出现了分离,出现了组织、调节、制约和监督生产经营活动的一系列方法,为了纠错查弊,开始建立了比较简单的企业内部控制制度。这是企业内控体系建立的初始阶段最早的涉及企业内部控制的规范文档是1929年美国注册会计师协会和联邦储备委员会颁布的《会计报表的验证》1936年在《独立公共会计师对会计报表审查》一文中首次将企业内部控制定义为:为保护公司现金及其他资产的安全、检查账簿记录的准确性而在公司内部采取的各种手段和方法。在1949年美国注册会计师协会又将其修订为:内部控制是企业为保证企业财产的安全完整、检查会计资料的准确性和可靠性,提高企业的经营效率及贯彻既定的经营方针,所设计的总体规划和所采取的与总体规划相适应的一切措施和方法20:23:127一、内控的基本概念—起源与发展企业内部控制到了20世纪50年代,由于全球市场经济竞争的加剧,促使内部控制扩大到企业的各个领域,其内容也愈加丰富,1963年美国审计程序委员会在其发布的“审计程序23号文件”中,对内部控制的定义做了进一步的说明,首次将内部控制划分为内部会计控制和内部管理控制,1994年美国管理会计师协会在其《内部控制结构》中,将内控定义为:内部控制是这样一个整体系统,由管理者建立的旨在以一种有序和有效的方式开展公司的业务,确保其与管理政策和规章一致,保护资产,尽量保证记录的完整性和正确性1994年美国反欺诈财务报告委员会(COSO)制定完成的“内部控制—整体框架”标志着现代企业内部控制体系的完整确立,奠定了现代企业内部控制的全新基础20:23:128一、内控的基本概念—起源与发展企业内部控制中国企业内部控制发展里程碑2002年通过的萨班斯SOX法案—公众公司会计改革与投资者保护法案2006年上海、深圳证券交易所分别颁布的上市公司内部控制指引以及后来的补充指引2008年由财政部、证监会、保监会、银监会、审计署发布的企业内部控制基本规范和配套指引2006年由国务院国有资产监督管理委员会颁布的中央企业全面风险管理指引20:23:129一、内控的基本概念—起源与发展企业内部控制嘉信软件公司员工人数1000余人,年销售毛利2亿2千万,从事电子商务交易平台软件开发。利润大于零,年度经营现金流为负全年新签合同保持20%的增长、员工人数同比增长;良好的外部市场却产生企业亏损,这是典型的企业内部管控缺陷表现特征——劳动生产率低下——讨论题(1)——企业内部控制——讨论题(2)——讨论题:集团公司下属企业发生了财会人员欺诈2万元以及经营亏损20亿,对于集团高管而言哪一件事应该倾注更多精力?是否都属于资产安全问题?企业内部控制20:23:1212一、内控的基本概念—起源与发展•内部控制方式内部控制体系是企业领导人管控企业意志的集中体现,其效果反映了企业领导人的掌控能力、以及下属员工的执行能力不同的领导人其统领手法以及风格的变化,影响着内部控制的内容及形式,但公司法人治理结构在其中起着核心作用•内部控制精要企业内部控制内部控制定义内部控制是由企业董事会、经理阶层和其他员工实施的,为资产的安全、营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。13保证资产安全和会计信息真实是企业内部控制发展的主线内部控制要义内部控制的目标呈现出多元化发展的趋势会计控制和管理控制是企业内控的核心20:23:1213一、内控的基本概念—内控定义企业内部控制一、内控的基本概念—控制目标与控制内容内部控制目标尽管企业内部控制经历了丰富多彩的发展历程,但维护资产安全、保证信息可靠、遵循法律法规、提高经营的效率和效果始终是构成内部控制的基本目标;会计控制(含财务控制)和管理控制是企业内部控制的核心控制内容业务流程操作规定流程定义环节任务分解风险点识别风险控制与应对预案操作目标20:23:1214企业内部控制一、内控的基本概念—内控管理框架企业内控管理框架目标维度:战略目标、经营目标、合规目标、报告目标要素维度:控制环境、风险评估、控制活动、信息与沟通、监控结构维度:企业整体、分支机构、业务单位与业务单元、子公司流程维度:任务制定、任务分解、任务操作、风险识别、风险应对20:23:1215企业内部控制一、内控的基本概念—内控管理框架内控体系建设五要素控制环境风险评估控制活动信息与沟通监督与反馈1.控制环境。内部控制环境是企业实施内部控制的基础,影响着组织中员工的控制意识,为内部控制界定了规则和结构。一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等内部环境要素实施要点:(1)公司治理;(2)机构与管理职能;(3)内部控制政策;(4)人力资源政策;(5)风险管理体系;(6)内部审计制度;(7)企业文化;(8)管理手册20:23:1216企业内部控制一、内控的基本概念—内控管理框架内控体系建设五要素控制环境风险评估控制活动信息与沟通监督与反馈2、风险评估。风险评估是企业科学系统识别、分析和评价影响企业各级操作目标实现的所有风险因素、局部风险因素或特定领域风险因素的过程。风险评估是企业了解风险和确定风险控制目标的依据,是企业识别控制环节和控制关键点的依据,是企业实施内部控制过程管理不可逾越的关键步骤风险评估要素实施要点:(1)风险控制目标;(2)当前风险水平(敞口);(3)风险容忍度(风险偏好);(4)关键风险;(5)风险识别、分析、评价的技术与方法;(6)风险应对20:23:1217企业内部控制一、内控的基本概念—内控管理框架内控体系建设五要素控制环境风险评估控制活动信息与沟通监督与反馈3、控制活动。控制活动是指确保管理层的要求得以实施的政策及程序。企业根据风险评估结果,通过这些政策和程序确保采取必要的措施以应对影响企业业务操作目标实现的风险,将风险控制在可承受度之内。控制活动在整个企业内部的各个级别、各个职能展开。控制活动要素实施要点:(1)风险管理策略;(2)风险控制方案;(3)风险控制程序;20:23:1218企业内部控制一、内控的基本概念—内控管理框架内控体系建设五要素控制环境风险评估控制活动信息与沟通监督与反馈4、信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通,使得企业内部控制体系在上下游环节、相关业务的不同控制流程上都能得以平滑运行,互不干扰,发挥出集体效率。信息与沟通要素实施要点:(1)信息与沟通制度;(2)信息收集;(3)信息传递与沟通;(4)信息控制;(5)信息技术20:23:1219企业内部控制一、内控的基本概念—内控管理框架内控体系建设五要素控制环境风险评估控制活动信息与沟通监督与反馈5、监督与反馈。监督与反馈是企业对内部控制体系建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,并提议改进的过程。信息与沟通要素实施要点:(1)内部控制体系运转的监督与反馈制度;(2)内部控制有效性评价;(3)内部控制缺陷认定;(4)监督与反馈报告;(5)监测技术20:23:1220企业内部控制一、内控的基本概念—内控五要素相互关系21监控控制活动风险评估控制环境信息沟通信息沟通基础手段保证载体依据企业内部控制一、内控的基本概念—内控体系建设的产出物战略目标经营目标操作目标业务流程管理风险点识别风险控制内控体系建设风险/损失事件库控制管理规范控制程序文件风险控制文档22企业内部控制一、内控的基本概念—内控体系建设的产出物控制管理规范:企业内部控制管理规范主要解决内部控制组织执行问题,规范的内容包括了业务组织描述,业务操作目标、业务的边界或与其他组织或业务的关联、业务的输入输出描述控制程序文件:控制程序文件详细的描述了业务的流程、环节点、环节点的任务(岗位说明书)以及操作要求及规则风险控制文档:风险控制文档描述了各个业务流程上的风险点、风险发生的特征、风险敞口、风险发生的频率、风险应对的策略等风险/损失事件库:企业运营操作流程中历史上发生的各类风险事件(损失事件)的集合,其中描述了事件的定义,发生背景、类别、属性、损失程度等,管理策略,应对方案等20:23:1223企业内部控制一、内控的基本概念—内控与全面风险管理风险管理内外部环境风险管理战略风险辨识与分析企业内部控制风险应对方法信息交换与沟通风险管理系统运行监控全面风险管理战略风险财务风险市场风险法律风险操作风险内部控制20:23:1224正确做事与做正确的事抬头看路与埋头拉车企业内部控制一、内控的基本概念—内控与合规风险管理合规风险管理大合规/遵从外法和内法小合规/仅遵从外法合规政策内控制度RCSA控制程序文件业务流程风险点损失事件库合规风险识别沟