上市公司内控体系建设工作思路与实施方案

立信锐思上市公司内控体系建设工作思路与实施方案上市公司内控体系建设实施方案与工作思路立信锐思咨询2011年2月上市公司内控体系建设实施方案与工作思路第3页上市公司内控体系建设实施方案与工作思路一、内部控制法规解读中国内部控制法规介绍企业如何应对内控法规二、企业内部控制体系的建立：工作思路与实施方案三、关于我们上市公司内控体系建设实施方案与工作思路第4页中国内部控制相关法规的发展历程97000306099801040799020508106月5日，上海证券交易所出台《上海证券交易所上市公司内部控制指引》6月6日，国务院国有资产监督管理委员会“关于印发《中央企业全面风险管理指引》的通知”9月28日，深圳证券交易所出台关于发布《上市公司内部控制指引》的通知2008年6月28日，财政部、证监会、审计署、银监会、保监会联合召开企业内部控制基本规范发布会、发布了《企业内部控制基本规范》以及配套规范的征求意见稿2009年1月，陆续发布了《企业内部控制应用指引》的数个更新稿3月3日，财政部发布关于印发《企业内部控制规范——基本规范》和17项具体规范（征求意见稿）的通知6月5日，中共中央办公厅、国务院办公厅印发了《关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见》4月26日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，标志着我国企业内部控制规范体系基本建成上市公司内控体系建设实施方案与工作思路第5页中国风险管理与内控法规概览《应用指引》具体提出18个具体流程的应用指引。在每个具体流程中规定了该指引的目的，相关定义，该流程的主要风险，岗位分工及授权批准，及主要流程的控制程序。《评价指引》具体规范了内控评价的内容和标准，评价的程序和方法，内控缺陷的认定，以及规定了评价报告的相关内容。《审计指引》指导注册会计师执行内控审计业务。企业内部控制基本规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引上市公司内控指引•上交所内控指引•深交所内控指引行业内控指引•商业银行内控指引•证券公司内控指引•保险公司内部控制基本准则行业监管机构行业监管机构财政部等五部委出台的《企业内部控制基本规范》，为企业提供了完整和公认的内部控制框架，同时以法规的形式要求上市公司对本公司内部控制的有效性进行自我评价。证交所出台了一系列的内部控制指引，为上市公司建立和实施内部控制制度提供指引。证券交易所证券交易所中央企业全面风险管理指引国资委国资委财政部等五部委财政部等五部委国资委出台的指引强调对风险的识别、分析、评估、防控和监督，为企业防控风险，建立控制体系提供指引。上市公司内控体系建设实施方案与工作思路第6页内部控制的定义内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。----《企业内部控制基本规范》2008注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。----《企业内部控制审计指引》2010上市公司内控体系建设实施方案与工作思路第7页五部委内控体系：基本思路、原则和目标全全体体员员工工管管理理层层治治理理层层信息沟通控制活动风险评估内部环境内部监督企业建立与实施有效的内控，应当包括五项要素内部控制应由企业董事会、监事会、经理层和全体员工共同实施Ø全面性原则：覆盖各种业务和事项。Ø重要性原则：关注重要业务事项和高风险领域。Ø制衡性原则：相互制约、相互监督，并兼顾运营效率。Ø适应性原则：与企业相适应，并随情况的变化及时加以调整。Ø成本效益原则：权衡实施成本与预期效益。Ø合法合规Ø资产安全Ø财务报告及相关信息真实完整Ø提高经营效率效果Ø促进企业实现发展战略*立信锐思根据《企业内部控制基本规范》整理上市公司内控体系建设实施方案与工作思路第8页五部委内控体系：整体框架企业内部控制基本规范企业内部控制应用指引组织架构发展战略人力资源社会责任企业文化资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告全面预算合同管理内部信息传递信息系统企业内部控制评价指引企业内部控制审计指引内部环境类控制活动类控制手段类上市公司内控体系建设实施方案与工作思路第9页国资委全面风险管理体系收集风险管理初始信息进行风险评估全面风险管理组织体系全面风险管理基本流程企业经营管理体系制定风险管理策略风险管理解决方案监督及改进业务流程战略管理治理结构全面风险管理文化全面风险管理信息系统*立信锐思根据《中央企业全面风险管理指引》整理上市公司内控体系建设实施方案与工作思路第10页现金流风险盈利能力风险投资风险债务风险资产负债率速动比率担保净资产比已获利息倍数现金部资产比存货周转率应收账款周转率盈余现金保障倍数净资产收益率经营性营业利润占比主营业务利润率投资收益率投资现金收益率上海国资委风险预警指标外部推动集团公司的财务风险预警母子公司重大财务事项管控母子公司财务精细化管理国资委全面风险管理：财务风险管理框架上市公司内控体系建设实施方案与工作思路第11页交易所上市公司内控指引框架交易所内控框架风险评估检查与监督控制活动目标设定内部环境信息与沟通事项识别风险对策p对控股子公司的管理控制p关联交易内部控制p对外担保的内部控制p募集资金使用的内部控制p重大投资的内部控制p信息披露的内部控制p内部控制自我评价报告应与公司年度报告同时对外披露p制定并执行公司内部控制自查制度和年度内部控制自查计划p改进内部控制缺陷和异常事项*立信锐思根据《上市公司内控指引》整理上市公司内控体系建设实施方案与工作思路第12页u《上市公司内控指引》第三条在本所上市的公司应当按照法律、行政法规、部门规章以及本所股票上市规则的规定建立健全内部控制制度，保证内控制度的完整性、合理性及实施的有效性，以提高公司经营的效果与效率，增强公司信息披露的可靠性，确保公司行为合法合规。第二十九条检查监督部门的工作资料，包括内部控制检查监督工作报告、工作底稿及相关资料，保存时间不少于十年。第三十二条公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。第十一条内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。外部法规的核心要求u五部委《企业内部控制基本规范》第六条企业应当根据有关法律法规、本规范及其配套办法、制定本企业的内部控制制度并组织实施。第十四条企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。第四十六条企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。u《企业内部控制评价指引》上市公司内控体系建设实施方案与工作思路第13页企业如何应对以上法律法规123-企业知道它所面对的主要风险吗？-例如：什么风险正在或者将会影响企业？-企业是否已对这些风险进行了管理？-企业需要就各业务单位在日常运作中所面对的风险，构建内部控制管理体系，以确保目标的实现-企业的内控管理体系是否能实现动态的自我更新？-企业要对其内部控制管理体系进行监控和测试，以确保内控管理的有效性证监会、交易所、国资委及其他监管部门的多项法规的三项核心要求：企业应对：企业应对：识别风险，制作风险数据库识别风险，制作风险数据库企业应对：企业应对：完善内控制度，编制内控手册完善内控制度，编制内控手册企业应对：企业应对：开展内控评价，完善评价底稿开展内控评价，完善评价底稿上市公司内控体系建设实施方案与工作思路第14页内部控制管理的“三步走”战略内部控制体系建设建立内部控制的基本流程,尤其是基于财务报告的内部控制，包括财务、关联交易、投融资等核心流程风险预警指标梳理与考核通过梳理、设定、监控企业的风险管理指标体系,来实现对风险的主动管理,预先控制和考核激励基于信息化的内控管理通过业务流程信息系统实现对风险的自动控制通过信息系统实现对内控管理信息的自动收集、分析、处理、呈报和利用•工作思路必须科学合理，符合企业的管理风格和管理基础•领导自上而下的推行和全体员工的理解和参与•建立合理的指标体系•建立指标信息的收集系统•根据指标体系完善绩效考核与激励•配套的内部控制管理措施•管理人员的素质和内控管理能力•重大风险损失得到初步控制;•企业经营风格从机会导向转为管理导向•实现对风险的提早发现，全面分析，考核激励和预先控制•极大提升管理的精细化程度，提高企业战略的执行力•由人工控制提升为系统自动化控制，集中控制•内控管理信息的自动收集、分析、处理、呈报和利用，节省企业内控管理的精力难点收益发展阶段目前大多数企业所处的阶段上市公司内控体系建设实施方案与工作思路第15页上市公司内控体系建设实施方案与工作思路一、内部控制法规解读二、企业内部控制体系的建立：工作思路与实施方案我们对上市公司实施内部控制体系建设需求的理解项目整体解决方案三、关于我们上市公司内控体系建设实施方案与工作思路第16页我们对上市公司内部控制体系建设需求的理解上市公司n基于财务报告的内部控制与基于全面风险管理的内部控制体系的整合n内部控制体系与全面风险管理体系的整合n《企业内部控制基本规范》及配套指引n《全面风险管理指引》n《上市公司内控指引》内部控制整合框架为了全面应对风险管理和内部控制的相关法律法规，上市公司应该构建一个内部控制的整合框架体系，做到“两个融合”。上市公司内控体系建设实施方案与工作思路第17页内控建设的整合框架模型业务分析与流程梳理识别与评价关键控制点内控梳理和建立企业各层级业务经营管理完善内控的措施和体系内控体系的实施推进内控自我评估及改进业务与流程管理战略管理公司治理下属分支机构管控加强组织领导，建立内控组织管理架构加强信息化建设，实现系统化的控制加强培训教育，提升企业的内控理念上市公司内控体系建设实施方案与工作思路第18页内控整合框架的建设步骤第一阶段：调研诊断第二阶段：体系建立第三阶段：评估改进•成立内控建设小组•对业务的深入调研•全面分析和诊断•识别所有的主要风险•梳理完善各项业务的管理制度和控制措施•编制针对风险的内控手册•对制度和手册进行辅导实施的推进•编制规范的内控评估底稿•对内控进行自我评估•编制和披露内控自我评估报告•对内控缺陷的改进和完善•聘请第三方进行内控审计上市公司内控体系建设实施方案与工作思路第19页调研诊断的工作思路上市公司内控体系建设实施方案与工作思路第20页体系建设的工作思路-企业知道它所面对的主要风险吗？-企业是否已对这些风险进行了管理？--企业的内控管理体系是否能实现动态的自我评价和更新？123风险数据库风险数据库风险管理及风险管理及内控手册内控手册控制措施评价表控制措施评价表内部控制体系文件上市公司内控体系建设实施方案与工作思路第21页评估改进的工作思路动态内控管理步骤定期监督评价内控管理部门：-对内控设计有效性进行评估；-提出调整或改进建议，出具评价和建议报告。内部审计部门：-对包括内控管理职能部门在内的各有关部门和业务单位能否按照有关规定开展内控工作及其工作效果进行监督评价。上市公司内控体系建设实施方案与工作思路第22页在各级员工中提升内部控制文化与理念在各级员工中提升内部控制文化与理念内部控制手册中与每个循环对应的核心内内部控制手册中与每个循环对应的核心内容容内控体系的成果：内部控制体系文件的整体架构XXX公司内部控制体系文件风险数据库控制文档评