CHP6风险管理框架下的内部控制-JH

风险管理框架下的内部控制本章内容内部控制与风险管理的关系我国内部控制规范体系内部控制基本规范内部控制应用指引内部控制评价与审计风险管理、内部控制与公司治理一、企业内部控制理论的演变与发展②20世纪40年代——内部牵制20世纪50-70年代——内部控制制度20世纪80-90年代初——内部控制结构1992年——内部控制：整合框架IC2004年——企业风险管理：整合框架ERM（一）内部牵制阶段第一阶段，起步阶段，即内部牵制阶段最初的内部控制定义就是内部牵制，它基本是以查错防弊为目的，以职务分离和账目核对为手段，以钱、账、物等会计事项为主要控制对象，其核心主要关注于会计领域（二）内部控制制度阶段第二阶段，进化阶段，即内部控制制度阶段内部控制开始区分为内部会计控制和内部管理控制两方面，主要通过形成和推行一整套内部控制制度（方法和程序）来实施控制1972年，美国注册会计师协会审计程序委员会《第54号审计程序公告》对内部会计控制进行了重新定义，认为内部会计控制是组织计划以及关于保护资产安全完整和财务记录有效性的程序和记录（三）内部控制结构阶段第三阶段，提高阶段，即内部控制结构阶段将控制环境作为一项重要内容与会计制度、控制程序一起纳人内部控制结构之中，并且不再区分内部会计控制和内部管理控制1988年4月，美国注册会计师协会发布《审计准则公告第55号（SASNo.55）》,规定从1990年1月起以该文告取代1972年发布的《审计准则公告第1号》•将内部控制环境纳入内部控制范畴•不再区分内部会计控制和内部管理控制（四）内部控制整合框架阶段第四阶段，演进阶段，即内部控制整合框架阶段1992年，COSO（CommitteeofSponsoringOrganization）委员会的指导内部控制实践的纲领性文件《内部控制：整合框架》（IC——InternalControl）——内部控制发展史上的里程碑三项目标：•取得经营的效率和有效性•确财务报告的可靠性•遵循适用的法律法规（1）控制环境：内部审计师协会对控制环境的定义是：“董事会与管理层对待公司内部控制的重要性的态度及采取的行为”，是其它内部控制元素的根基，并提供纪律与结构，被称为企业的“最高层”（2）风险评估：识别和分析影响目标实现的风险（包括与监管和运营环境不断变化有关的风险），以此来确定如何降低和管理此类风险的依据，分为可控制风险和不可控制风险（3）控制活动：确保管理层的决策与指示得以执行的政策和程序，企业内部各层面均存在控制活动，包括组织控制、职责划分、调节和复核、实物控制、授权和批准、计算和会计、人员控制、监督及管理控制（4）信息与沟通：在人员能够履行责任的方式及时间范围内，识别、取得和报告经营、财务与法律遵守的相关信息的有效程序和系统（5）监察：持续评估内部控制系统的充分性及表现情况的程序，内部审计部门通常是内部控制系统的主要监察人COSO的上述定义对内部控制的基本概念提供了一些深入的见解，特别是：内部控制是一个实现目标的程序及方法，而其本身并非目标内部控制只提供合理保证，而非绝对保证内部控制要由企业中各级人员实施与配合（五）全面风险管理阶段第五阶段，提升阶段，即全面风险管理阶段2004年，COSO发布了新的《企业风睑管理——整合框架》（ERM，EnterpriseRiskManagement），认为全面风险管理是一个过程特点：•内部控制涵盖在企业风险管理活动之中，是其不可分割的组成部分。•拓展了所需实现目标的内容（战略目标、企业编制的所有报告、引入风险偏好和风险容忍度的概念）•引入风险组合观•更加强调风险评估在风险管理中的基础地位•扩展了控制环境的内涵，强调风险管理概念和董事会的独立性•扩展了信息与沟通要素二、内部控制与风险管理的关系②(一）内部控制包含风险管理加拿大COCO报告（1995）认为：“控制”是一个组织中支持该组织实现其目标诸要素的集合体，实质上就是内部控制，风险评估和风险管理是控制的关键要素（二）风险管理包含内部控制认为风险管理的内涵比内部控制更宽阔，内部控制是风险管理的必要环节（三）内部控制与风险管理是一对既相互联系又相互差别的概念内部控制的目的一般包括提高经营效率，遵守国家有关法律法规和企业内部规章制度，保证信息的真实、可靠和资产的安全、完整，从而实现企业的目标风险管理则是围绕特定目标，通过各种手段对风险进行管理，为实现目标提供合理保证的过程和方法•相同点：合理保证目标实现的过程•差别：风险管理更偏向这一过程的前端，更偏向于对影响目标实现的因素的分析、评估与应对，是一个更为独立的过程；内部控制更加重视实施，嵌入企业各业务流程的具体业务活动中，融合在企业的各项规章制度之中一、我国内部控制规范体系的建立与发展②中国《企业内部控制基本规范》对内部控制的定义财政部、证监会、审计署、银监会和保监会与2008年6月联合发布的《企业内部控制基本规范》中指出内部控制是由企业董事会、证监会、经理层和全体员工实施的、旨在实现控制目标的过程内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和结果，促进企业实现发展战略（一）《企业内部控制基本规范》企业内部控制标准委员会的职责和目标是总结我国经验，借鉴国际惯例，有效利用国际国内资源，充分发挥各方面的积极作用，通过数年的努力，基本建立一套以防范风险和控制舞弊为中心，以控制标准和评价标准为主体的内部控制制度体系《企业内部控制基本规范》，简称内控规范，内控规范要求企业建立内部控制体系时应符合以下目标:•合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整•提高经营效率和效果•促进企业实现发展战略《内控规范》五个要素•内部环境、风险评估、控制活动、信息与沟通、内部监督（二）《企业内部控制配套指引》包括《企业内部控制应用指引》（18项）、《企业内部控制评价指引》、《企业内部控制审计指引》标志着“以防范风险和控制舞弊为中心、以控制标准和评价标准为主体，结构合理、层次分明、衔接有序、方法科学、体系完备”的企业内部控制规范体系建设目标基本建成二、内部控制规范的框架体系②企业内部控制规范是一个科学的体系，基本规范、应用指引、评价和审计指引三个类别构成一个相辅相成的整体（1）《企业内部控制基本规范》规定内部控制的基本目标、基本荽素、基本原则和总体要求，是内部控制的总体框架，在内部控制标准体系中起统领作用（2）《企业内部控制应用指引》是对企业按照内部控制原则和内部控制“五要素”建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占据主体地位（3）《企业内部控制评价指引》和《企内部控制审计指引》是对企业按照内部控制原则和内部控制“五要素”建立健全本企业“事后控制”的指引，是对企业贯彻《基本规范》和《应用指引》效果的评价与检验《内控规范》对企业的影响《内控规范》及《配套指引》的发布是中国在公司治理方面的一个重要里程碑，体现了中国经济与全球经济的进一步接轨和整合对企业的价值包括：•优化流程和改善企业的内控•有利于企业更好地理解其所面临的风险，有效规避风险•更好地满足合规要求•改善财务报告职能•更有效地利用信息技术的投资一、内部控制的目标②《基本规范》将内部控制定义为：由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程•内部控制是一个过程，它是实现目的的手段，而非目的本身•内部控制受人的影响，它不仅仅是政策手册和图表，而且涉及企业各层次的人员•内部控制只能向企业董事会和经理层提供合理的保证，而非绝对的保证•内部控制是为了实现五类既相互独立又相互联系的目标二、内部控制的原则②全面性，就是强调内部控制应当贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项重要性，就是指在全面控制的基础上，内部控制应该关注重要业务事项和高风险领域制衡性，就是指内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率适应性，就是强调内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整成本效益原则，又称为成本与效率效果原则，就是指内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制三、内部控制的实施体系①实施体系以法制为推动以企业实施为主体以政府监管和社会评价为保障四、内部控制的五个要素③我国《内控规范》指出，企业建立与实施有效的内部控制，应当包括下列五个要素•内部环境——企业实施内部控制的基础，其他内部控制因素的根基•风险评估——企业实施及时识别、系统分析经营活动中与实现内部控制目标的风险，合理确定风险应对策略•控制活动——企业根据风险评估结果，采用相关的控制措施，经风险控制在可承受之内•信息与沟通——企业及时、准确地收集、传递与内部控制的相关信息•内部监督——企业对内部控制建立于实施情况进行监督检查一、组织结构②《企业内部控制应用指引第1号——组织结构》企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排（一）组织架构设计与运行中需关注的主要风险•治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略•内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下（二）内部控制要求与措施1.组织架构的设计（1）企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡习题（）对股东大会负责，依法行使企业的经营决策权A董事会B监事会C经理层D董事长（A）监事会对（）负责，监督企业董事、经历和其他高级管理人员依法履行职责A董事会B监事会C股东大会D经理层（C）（2）企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度（3）企业应当按照科学、精简、高效、透明制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限（4）企业应当对各机构的职能进行科学合理的分解，确定具体岗位的名称、职责和工作要求等，明确各个岗位的权限和相互关系（5）企业应当制定组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责2.组织架构的运行（1）企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保企业治理结构、内部职能机构设置和运行机制等符合现在企业制度要求（2）企业拥有子公司的，应当建立科学的投资管控制度，通过含法冇效的形式行出资人职责、维护出资人权益（3）企业应当定期对组织架构设计与运行的效率和效果进行全面评估，发现组织架构设计与运行中存在缺陷的，应当进行优化调整二、发展战略②《企业内部控制应用指引第2号——发展战略》所称发展战略，是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略规划（一）制定与实施发展战略需关注的主要风险•缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力•发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败•发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展（二）内部控制要求与措施1.发展战略的制定•进行充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标•战略规划应根据企业的发展目标制定，明确发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径•要求企业在董事会下设立战略委员会，或制定相关机构负责发展战略管理工作，履行相应职责•要求董事会严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性2.发展战略的实