业务和系统一体化,增强企业竞争力新奥燃气控股有限公司财务管理咨询项目内部控制诊断及改善报告毕博管理咨询2004年10月交付品审阅稿2004年毕博(BearingPoint)管理咨询新奥燃气与毕博公司机密文件2一、内部控制体系综述二、新奥燃气内部控制现状评价分析三、新奥燃气内部控制体系优化建议四、内部控制操作标准五、附录——《内部控制操作标准手册》目录内部控制体系综述2004年毕博(BearingPoint)管理咨询新奥燃气与毕博公司机密文件4新奥燃气控股公司作为香港联交所上市的公众公司,内部控制体系的完善程度是影响资本市场投资者对新奥燃气投资信心的关键因素之一。完善的内部控制会增强投资者对公司管理层所披露财务报告真实、全面、可靠的信心,同时内部控制也在一定程度上帮助投资者理解公司的经营效率和业绩效果是否处于健康良好的状态。内部控制对提升企业外部形象和内部管理具有重大意义反之,缺乏强有力的内部控制机制将导致企业:会计造假行为严重、会计报告失真违规违法现象无法遏制员工道德品行下降资产流失,资产安全无法保证企业员工贪污舞弊,特别是高管层舞弊专权业务运营与管理政策不一致运营效率低下内部人控制现象泛滥2004年毕博(BearingPoint)管理咨询新奥燃气与毕博公司机密文件5世界各国政府对企业的内部控制也极为重视国内主要的内部控制法规:2001年6月财政部发布《内部会计控制--基本规范(试行)》和《内部会计控制基本规范--货币资金(试行)》;2003年10月财政部发布《内部会计控制规范—工程项目(试行)》;1997年1月中国注册会计师协会实施《独立审计具体准则第9号──内部控制与审计风险》,以便于会计师事务所评估审计风险,提高审计效率,保证执业质量;内部审计具体准则第5号——内部控制审计国外主要的内部控制法规:1973年,美国国会通过了《反国外贿赂法》(ForeignCorruptPracticesAct,简称FCPA),该法案规定,每个企业应建立内部控制制度以防范该种行为发生;1992年,美国注册会计协会(AICPA)、国际内部审计师协会(IIA)、财务经理协会(FEI)、美国会计学会(AAA)、管理会计学会(IMA)共同组成的专门委员会(即COSO委员会)提出了内部控制综合框架公告;2002年7月,美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝光,美国国会发布《萨班斯-奥克斯利法案》,加强企业的财务会计信息的披露可靠性。2004年毕博(BearingPoint)管理咨询新奥燃气与毕博公司机密文件6企业内部控制的发展经历了五个历史阶段,从初始逐步走向完善,各阶段的核心思想及主要特征如下:2345内部牵制阶段内部控制阶段管理控制与会计控制并行阶段内部控制结构化阶段内部控制完整框架阶段20世纪40年代以前,内部控制就是指“内部牵制”,即:两个或两个以上的人或部门无意识地犯同样的错误机会较少;两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个或部门舞弊的可能性。控制手段包括:实物牵制、物理牵制、分权牵制、会计牵制。1949年,美国注册会计师协会的审计程序委员会在发布了一分特别报告“内部控制——一种协调制度要素及其对管理当局和独立审计人员的重要性”。该报告首次给内部控制作出如下定义:包括组织的组成结构及该组织为保护其财产安全、检查其会计资料的准确性和可靠性,提高经营效率,保证既定的管理政策得以实施而采取的所有方法和措施。1972年,AICPA下属审计准则委员会发布的第1号《审计准则公告》进一步提出了管理控制的概念:管理控制包括但不限于确保交易由管理当局授权的组织结构、程序及有关记录。这种授权是与实现组织目标这个责任联系的管理功能,并且是建立交易的会计控制的起点。这个概念将管理控制和企业目标相联系,但未将会计控制与企业目标相联系。1988年,审计准则委员会发布第55号《审计准则公告》,提出“内部控制结构”这一概念取代了内部管理控制和内部会计控制。该公告指出:内部控制结构是指为了对实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体,包括控制环境、会计系统及控制程序三个部分。1992年,著名的COSO委员会提出了“内部控制的完整框架”研究报告,1994年进行了增补。为内部控制构建了一整套框架体系。报告指出:企业所设立的目标是一个企业努力的方向,而内部控制组成要素则是为实现或达成该目标所必须的条件,两者之间存在直接的关系。每一个要素适用于所有的目标类别,也与每一个目标都有关。对于任何企业或企业中的任何部门,内部控制都极为重要。12004年毕博(BearingPoint)管理咨询新奥燃气与毕博公司机密文件7COSO报告为指导企业构建并完善内控体系奠定了方向1.明确对内部控制的“责任”。报告首次提出,组织中的每一个人都对内部控制负有责任。2.强调内部控制应该与企业的经营管理过程(通过规划、执行及监督等基本的管理过程对企业加以管理)相结合。3.强调内部控制是一个“动态过程”。报告提出,内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。4.强调“人”的重要性。内部控制受董事会、经理层、员工影响。目标、控制机制由人设置,反过来影响人的行动。5.强调“软控制”的作用。“软控制”主要指那些属于精神层面的事物,如高级管理阶层的管理风格、管理哲学、企业文化、管理意识等。6.强调风险意识。管理当局要密切注意各层次的风险。7.揉和了管理与控制的界限。报告指出,控制已不再是管理的一部分,管理和控制的职能与界限已经模糊。8.强调内部控制的分类及目标。报告将内部控制目标分为三类:与营运有关的目标;与财务报告有关的目标以及与法令遵循性有关的目标等。这有利于不同的人从不同的视角关注企业内部控制的不同方面。9.明确指出内部控制只能做到“合理”保证。不论设计及执行如何完善,内部控制只能为管理阶层及董事会提供达成企业目标的合理保证。因为,目标达成的可能性受许多先天条件不足及各种“不确定性”的影响。10.成本与效益原则。内部控制度不是要消除任何滥用职权的可能性,而是要创造一种为防范滥用职权而投入的成本与滥用职权的累计数额之比呈合理状态的机制。因此,没有不花钱的内部控制,也不存在完美无缺的内部控制。2004年毕博(BearingPoint)管理咨询新奥燃气与毕博公司机密文件8COSO报告对企业内部控制概念的阐释得到了广泛的认可和接受COSO报告很快受到了广泛的认可,世界各国及各专业团体纷纷效仿COSO报告对内部控制进行重新研究,并采用COSO报告的最新理念,发布了各自的最新公告。COSO报告(COSO及美国审计准则第319条)指出:内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及遵循各项法律法规。报告认为,内部控制整体框架主要由控制环境、风险评估、控制活动、信息与沟通、监督等五项要素构成,以确保上述三个目标的实现。监控信息和沟通控制活动风险评估控制环境2004年毕博(BearingPoint)管理咨询新奥燃气与毕博公司机密文件9这个定义反映了某些基本概念:内部控制是个流程,是达到目的的工具,不是目的本身;内部控制受到人的因素的影响,它并不只是政策手册和表格,而是组织中各个级别的人员内部控制为企业的管理层和董事会提供合理的保证,而不是绝对保证内部控制通过调整来达到一个或多个单独但又有交叉的目标。流程人合理保证目标内部控制被定义成:内部控制是一个流程,受企业中董事会、管理层和其他人员的影响,被设计出来为下列各类目标的实现提供合理的保证:1、运行的效果性和效率性2、财务报表的可靠性3、法律法规的遵循性对内部控制概念的正确理解是企业建立内控体系的前提2004年毕博(BearingPoint)管理咨询新奥燃气与毕博公司机密文件10内部控制框架是一个包含三个目标和五个要素的体系3控制活动确保管理层可行的政策/流程付诸实施.措施包括审批,授权,确认,建议,业绩考核,资产安全和权限分离5监督评估内部控制系统性能整合实时独立的评估.管理层和监督机构的工作.内部审计工作.1控制环境制造单位气氛-让公司员工建立内部控制因素包括正直,道德价值,能力,权威和责任是其他内部控制组成部分的基础4信息和沟通定期获取,确定并交流相关的信息评价内部和外部获取的信息确认从职责方面的指导到管理层对管理活动发现而形成的总结等各类内部控制成功的措施形成的信息流2风险评估风险评估是为了达到企业目标而确认和分析相关的风险,这些风险都是基于一些决定性的内部控制活动监控信息和沟通控制活动风险评估控制环境2004年毕博(BearingPoint)管理咨询新奥燃气与毕博公司机密文件11内部控制框架所包含的五个要素是指:企业内部控制体系的构建,主要由五方面组成:控制环境:包括诚信原则和道德价值观、职责要求的界定、董事会和审计委员会、管理哲学和经营风格、组织结构、责任的分配与授权7个方面风险评估:包括:企业总目标、经营目标、风险分析、应变能力内部控制活动:控制活动包括一系列内容:如审批、授权、核查、协调、经营业绩审查、财产保全和责任划分;控制活动包括一系列政策及相关实施程序;控制活动有不同类型的控制方法:如预防控制、检查控制和纠正控制等信息和交流:包括信息、交流。监督管理:包括持续监督、转型评估、重要事项报告2004年毕博(BearingPoint)管理咨询新奥燃气与毕博公司机密文件12内部控制可以按照不同的角度加以分类按照控制性质分类,可划分为具体控制(specificcontrols)、通用控制(pervasivecontrols)和监督控制(monitoringcontrols):具体控制是指直接作用于企业生产经营业务活动的具体控制,因此亦称业务控制或应用控制,如业务处理程序中的批准与授权、审核与复核、以及为保证资产安全而采用的限制接近等项控制。通用控制是指对企业经营活动赖以进行的内部环境所实施的总体控制,因而亦称基础控制或环境控制。监督控制是指检查每一项具体控制是否得以进行的控制。监督控制包括取得具体控制得以进行的直接证据或对具体控制的控制结果进行测试。通用控制监督具体控制按照控制功能分类,可以划分为预防式控制、检查性控制按照实现途径分类,可以划分为系统控制、人为控制系统检查式系统预防式人为检查式人为预防式有效有效可靠可靠不同种类的企业内部控制具有不同的效果。通常来说,系统控制比人为控制更加可靠,而预防式控制比检查式控制更加有效。2004年毕博(BearingPoint)管理咨询新奥燃气与毕博公司机密文件13管理人员滥用职权、蓄意营私舞弊如果企业内部行使控制职能的管理人员滥用职权、蓄意营私舞弊,即使具有设计良好的内部控制,也不会发挥其应有的效能。内部控制作为企业管理的一个组成部分,它理所当然地要按照其管理人员的意图运行,尤其是企业负责人的决策更是起决定作用。决策出了问题,贯彻决策人意图的内部控制也就失去了应有的控制效能。不相容职务的人员相互串通作弊内部控制的一条重要原则就是将不相容职务进行分离。在实际工作中,如果处于不相容职务上的有关人员相互串通、相互勾结,失去了不同职务相互制约的基本前提,内部控制也就很难发挥作用。人员素质不适应岗位要求内部控制是由人建立和执行,如果企业内部行使控制职能的人员在心理上、技能上和行为方式上未能达到实施内部控制的基本要求,对内部控制的程序或措施经常误解、误判,那么再好的内部控制也很难充分发挥作用。内部控制的成本效益在设计和实施内部控制时,企业必然要考虑控制成本与控制效果的关系。当实施某项业务的控制成本大于控制效果而产生损失时,就没有必要设置控制环节或控制措施,这样某些小错弊的发生就可能得不到控制。计划外业务的控制内部控制一般都是针对经常而重复发生的业务而设置的,而且一旦设置就具有相对稳定性。因此如果出现不经常发生或未预计到的经济业务,原有控制就可能不适用,临时控制(如实行专门的审