1、企业内部控制基本规范,企业职业培训讲座系列之一:,-学习讲解,学习内容:企业内部控制规范体系建设与实施的重要意义企业内控规范体系的建设与实施的渐进发展过程企业内控规范体系的框架结构企业内部控制基本规范-讲解,一、企业内部控制规范体系建设与实施的重要意义,1建设与实施企业内控规范体系,是促进我国企业防范重大风险、实现可持续发展战略的必然要求近年来,企业改革日益成为整个经济体制改革的中心环节。通过联合重组、合并兼并、主辅分离等行之有效的改革措施,我国大中型企业的整体素质、运行质量、创新能力和国际竞争力有了大幅度提升。来自英国金融时报的资料显示,跻身“全球企业500强”的中国企业,在2008年已增加
2、到25家。同时也应当看到,伴随着我国企业较快的增速和迅猛发展,各种潜在的风险也曰益显现,类似中航油新加坡公司因内部控制缺失或失效引发的巨额资产损失、财务舞弊、会计造假、经营失败、破产倒闭等案例时有发生。事实证明,在我国经济快速增长的背景下,内部控制尽管不是万能的,但没有内部控制是万万不能的。只有建立和实施科学的内控体系,才能提升风险防范能力,实现企业可持续发展战略。,中国是世界上最大的发展中国家,同时也正在形成全球第三大经济体,新型和转型成为中国经济现阶段的重要特征。改革开放30年来,我国经济社会发生了翻天覆地的变化,特别是加入世界贸易组织、完成五年过渡期后,经济增长方式正由原来的资本输入逐步
3、向资本输出转变。在这一背景下,大中型企业进入国际产业和资本市场投资已成为不可逆转的趋势。面对国际市场经济竞争日趋激烈的环境,我国企业要“走出去”,必须苦练内功、强化内控、防范风险,才能立于不败之地。企业内控规范体系的建立与实施,为我国企业“走出去”提供了“安全网”和“防火墙”。,2贯彻中央“走出去”战略,促进我国企业进入国际市场、参与国际竞争,必须建立与实施严格的内部控制体系,安然事件发生后,美国迅速制定萨班斯法案,在其302和404条款中对强化企业内部控制提出了严格要求,并建立了国会立法推动、政府监管跟进、民间完善指引、企业组织实施、中介进行审计、社会提供咨询的联动机制。美国COSO委员会发
4、布的COSO报告在其中发挥了重要作用。 在欧盟,随着统一市场的建立和资本流动的加速,要求改善市场效率和有效性的呼声不断高涨,促使欧盟进一步关注公司内部控制问题,并在其改革白皮书中予以确认。根据伦敦股票交易所制定的联合规则,英格兰与威尔士特许会计师协会发布了内部控制关于“联合规则”的董事指南,要求公司董事会检查内部控制制度的有效性,完善风险应对机制。法国商法和金融证券法对公司财务报告内部控制程序作出规定,金融银行委员会条例对信贷企业实施内部控制自我评估提出明确要求,金融市场管理局还制定了内部控制条例参考框架予以推广。,3公司治理与内部控制是当今世界企业发展永恒的主题,世界各国都在为此积极探索,作
5、出应有的贡献,中国的内控体系吸收了世界各国的理论与实践经验,同时紧密结合中国实际,在内控的目标、原则、要素和组织实施等诸多方面,实现了若干重大创新。比如,由财政部等五个主要政府监管部门以法规形式联合发布基本规范,这在全世界尚属首例,这使中国内控体系具有强制性的特点。又如,中国内控基本规范明确了企业内控自我评价与社会中介进行鉴证的制度安排,自我评价与社会鉴证不局限于财务报告真实性审计,而是对实现内控目标全过程的评价和鉴证。随着内控体系建设的完成和实施,必将形成中国的“品牌”,在世界范围内产生重要影响,从而在国际上对企业内控领域有所作为、有所贡献。,企业内控规范体系建设是适应经济社会不同发展进程而
6、逐渐形成的,大体经历了内部牵制、内部会计控制和全面风险控制三个发展阶段: 第一阶段:内部牵制(19781985年) 1978年9月12日,国务院颁布会计人员职权条例,明确要求“企业的生产、技改、基建等计划和重要经济合同,应由总会计师会签”; 1984年4月24日,财政部发布会计人员工作规则,要求各单位“建立会计人员岗位责任制,切实做到事事有人管,人人有专责,办事有要求,工作有检查;会计人员岗位责任制要同本单位的经济(经营)责任制相联系,以责定权,责权明确,严格考核,有奖有惩”;“出纳人员不得兼管收入、费用、债权、债务账簿的登记工作以及稽核工作和会计档案保管工作”; 1985年1月21日,第六届
7、全国人民代表大会常务委员会第九次会议通过中华人民共和国会计法,重申了会计岗位责任制的要求。,二、企业内控规范体系的建设与实施的渐进发展过程,第二阶段:会计控制(19962004年) 20世纪90年代,经济社会加速转型,建立现代企业制度和市场经济体制开始起步。 1996年6月17日,财政部发布(会计基础工作规范,要求各单位进一步建立健全包括但不限于内部牵制割度的内部会计管理制度。 1999年10月31日,第九届全国人民代表大会常务委员会第十二次会议修订通过会计法,在其第二十七条规定:“各单位应当建立、健全本单位内部会计监督制度。单位内部会计监督制度应当符合下列要求:(一)记账人员与经济业务事项和
8、会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确,并相互分离、相互制约;(二)重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约程序应当明确; (三)财产清查的范围、期限和组织程序应当明确;(四)对会计资料定期进行内部审计的办法和程序应当明确。”上述加强单位内部会计监督的法律要求,体现了内部会计控制的本质。这一时期,财政部依法启动了内部会计控制规范的研究制定工作。 2001年6月22日,财政部以财会200141号文件正式发布内部会计控制规范基本规范(试行)和内部会计控制规范货币资金(试行)。 此后至2004年底,财政部连续发布采购与付款、销售与收
9、款、工程项目、对外投资和担保等5项内部会计控制规范,并印发了固定资产、存货、筹资、预算、成本费用等5项征求意见稿。内部会计控制规范作为会计法的配套规章,在社会上引起较大反响,成为各单位建立与实施内部控制的重要依据。,第三阶段:全面风险控制(2005至今) 进入21世纪至今,完善社会主义市场经济体制、贯彻实施中央“走出去”战略成为时代的主流。在汲取美国安然等一系列内部控制失败案例教训、总结会计控制经验的基础上,针对国内国际两个市场,需要更好地应对日益复杂的各种风险,推动会计控制向全面风险控制发展。 2004年底和2005年6月,国务院连续就强化企业内部控制问题作出重要批示,明确要求“由财政部牵头
10、,联合证监会及国资委,积极研究制定一套完整公认的企业内部控制指引”。 2005年7月20日,温家宝总理主持召开国务院常务会议,在听取监事会2004年对中央企业监督检查情况及2005年工作安排的汇报时强调,“要特别解决好资产质量不高、管理方式粗放、内控机制不完善等问题”。同年7月,财政部会计司,中国证监会会计部、上市部和国资委企业改革局等召开联席会议,研究贯彻落实国务院领导批示精神、加快推进企业内部控制制度建设相关事宜。 2006年7月15日,财政部、证监会、国资委、审计署、银监会、保监会联合发起成立我国企业内部控制标准委员会,来自监管部门、大型企业、行业组织、中介机构、科研院所的领导和专家学者
11、积极参与,为构建我国企业内部控制规范体系提供了组织和机制保障。 经过不懈努力,在各方面的积极配合和大力支持下,由财政部、证监会、审计署、银监会、保监会以财会2008 7号文件的形式联合发布了企业内部控制基本规范,取得了内控体系建设的重要阶段性成果。,三、企业内控规范体系的框架结构,本着立足我国实际、借鉴国际惯例的原则,初步搭建了我国企业内控体系的框架结构,主要由一项基本规范、系列应用指引、评价指引、鉴证指引和企业内部控制制度构成。1基本规范 基本规范在内控规范体系中处于最高层次,起统驭作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素等基本要求,是制定
12、应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据。 基本规范共七章五十条,各章分别是:总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。(1)内部控制的目标。基本规范指出,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制目标定位于五个方面,包括:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。内部控制的目标定位,是在结合中国企业实际、比较其他国家和经济体企业内控目标之后作出的科学选择。,(2)内部控制的原则。基本规范确立了企业建立并实施内部控制的五项基本原则:一是全面性原
13、则,要求内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项;二是重要性原则,要求内部控制应当重点关注重要业务事项和高风险领域,切实防范重大风险;三是制衡性原则,要求内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率;四是适应性原则,要求内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整;五是成本效益原则,要求内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。 (3)内部控制的要素。基本规范确立了五要素的内控框架:第一,内部环境,一般包括治理结构、机构设置及权责分配、内部
14、审计、人力资源政策、企业文化等,这是企业实施内部控制的重要基础,表明企业实施内部控制,应先从治理结构等入手,现代企业如果没有良好的治理结构,内部控制就会形同虚设。第二,风险评估,是指企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险、合理确定风险应对策略的过程,这是企业实施内部控制的重要环节。第三,控制活动,是指企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内,这是企业实施内部控制的重要手段。第四,信息与沟通,是指企业应及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通,这是企业实施内部控制的重要条件。第五,内部监督,是指企业
15、应对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进,这是企业实施内部控制的重要保证。,2应用指引 应用指引在内控体系中居于主体地位,主要包括两方面的内容: 一是针对企业主要业务与事项的应用指引,基本涵盖了组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统等,这些都是企业最为常见、带有普遍性、迫切需要加强风险控制的业务环节和领域。 二是针对特殊企业或者行业的应用指引,比如,商业银行、保险公司、证券公司、信托公司、基金公
16、司、期货公司等金融类企业,由于其经营业务特殊,涉及金融风险,与经济发展和金融安全关系重大,在内部控制方面,除遵循一般内部控制要求外,有必要规定特殊应用指引,构成应用指引的组成部分。3评价指引 评价指引是为企业管理层对本企业进行内部控制自我评价提供的指引和要求,包括评价内容和标准、评价程序和方法、评价报告的出具和披露等。基本规范规定,企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定,但国家有关法律法规另有规定的除外。,4审计指引 审计指引是会
17、计师事务所执行内部控制审计业务的执业准则。基本规范要求,接受委托从事内部控制鉴证的会计师事务所,应当根据基本规范及其配套办法和相关执业准则,对企业内部控制的有效性进行审计,出具审计报告。负责内部控制咨询的中介机构,不得同时为同一企业提供内部控制审计服务。需要强调的是,我国企业内部控制审计指引,不同于美国公众公司会计监管委员会(PCAOB)公布的第五号审计准则。美国内控审计的定位仍在于财务报告的真实性。就我国企业而言,这种定位失去了建立与实施内控体系的本质意义。内控审计的目标,应当与内部控制的目标相协调,财务报告真实性只是内控审计的目标之一,切实防范重大风险、促进企业实现发展战略才是内控审计的根
18、本出发点。 5企业内部控制制度 我国内控规范体系总体而言仍属于通用性框架体系。在具体实施中,企业的情况千差万别,各种因素十分复杂,各企业还必须根据基本规范和配套指引,结合企业经营特点和管理要求,建立健全本企业的内部控制制度,只有这样,才能把企业内控规范体系落到实处。,第一章 总 则总则既是基本规范的总说明,也是配套指引乃至整个内控规范体系的总要求。总则规定了企业内部控制规范体系的基本问题,包括制定与实施内部控制规范的意义、制定依据、适用范围、内控目标、原则、要素、组织实施、监督检查,以及引入注册会计师审计等制度安排。 第一条 为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进
19、企业可持续发展,维护社会主义市场经济秩序和社会公众利益,根据中华人民共和国公司法、中华人民共和国证券法、中华人民共和国会计法和其他有关法律法规,制定本规范。 基本规范第一条阐明了制定与实施内部控制规范的意义。一是加强和规范企业内部控制的需要。各类企业需要根据内控规范要求,对原有制度进行修改、完善和提升;构建企业内控制度和管控流程。二是有助于全面提升企业经营管理水平和风险防范能力,促进企业可持续发展。在当前我国应对国际金融危机、加快转变经济发展方式的时代背景下,内控规范体系对于提升企业核心竞争力,促进企业在后金融危机时期可持续发展,具有特别重要的现实意义和深远的历史意义。三是有利于维护社会主义市
20、场经济秩序和社会公众利益。调整产业结构,转变发展方式,提升发展质量,维护市场经济秩序和社会公众利益,从企业做起至关重要。广大企业也只有不断强化内部控制,才能实现维护市场经济秩序和社会公众利益的目标。,四、企业内部控制基本规范-讲解,第二条 本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的企业划分标准根据国家有关规定执行。基本规范第二条明确规定,企业内部控制规范适用于中华人民共和国境内设立的大中型企业。首先是上市的大中型企业,包括境内外同时上市的公司和主板上市公司。具体实施时间要求为:自2011年1月1日起在境内外同时上市的公
21、司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。对非上市公司的大中型企业,包括国有企业、国有控股企业和外商投资企业等,鼓励提前执行。小企业和其他单位可以参照企业内部控制规范建立与实施内部控制。对于其他单位包括行政事业单位和非营利组织,财政部将待企业内控规范体系建设与实施有序推开后,择机推进非企业单位的内控规范研究制定工作。,第三条 本规范所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高
22、经营效率和效果,促进企业实现发展战略。这一定义强调了企业领导者尤其是董事会、监事会和经理层在建立与实施内部控制中的重要作用。如果企业领导者对于内部控制没有足够的认识和高度的重视,内部控制是难以有效实施的。其次,明确了内部控制是全体员工的共同责任。企业的各级管理层和全体员工都应当树立现代管理理念,强化风险意识,以主人翁的姿态积极参与内部控制的建立与实施,并主动承担相应的责任,而不是被动地遵守内部控制相关规定。最后,指明了内部控制是一个过程。内部控制是对企业生产经营过程的控制,也是对实现企业发展目标过程的控制。同时,内部控制又是一个不断优化完善的过程,只有起点,没有终点,必须坚持不懈、持之以恒地持
23、续改进。 第二款规定了内部控制的目标为五个方面。一是合理保证企业经营管理合法合规;二是维护资产安全;三是保证财务报告及相关信息真实完整;四是提高经营效率和效果;五是促进企业实现发展战略。,第四条 企业建立与实施内部控制,应当遵循下列原则: (一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。 (二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。 (三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。 (四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争
24、状况和风险水平等相适应,并随着情况的变化及时加以调整。 (五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。,第五条 企业建立与实施有效的内部控制,应当包括下列要素: (一)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 (二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。 (三)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。 (四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相
25、关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。 (五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。,第六条 企业应当根据有关法律法规、本规范及其配套办法,制定本企业的内部控制制度并组织实施。 企业主要负责人应当重视内控工作,加强组织领导,成立工作组,组织专门人员,制定工作方案,结合本企业实际情况,对企业内控制度和管控流程进行全面梳理优化。 第七条 企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。 根据
26、修订后的企业内控制度和管控流程,组织软件专业人员对现有的信息系统进行改造升级,将优化后的流程固化到信息系统中,促进内部控制流程与信息系统的有机结合,从而实现对业务和事项的自动控制,减少或消除人为操纵因素。 第八条 企业应当建立内部控制实施的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。,第九条 国务院有关部门可以根据法律法规、本规范及其配套办法,明确贯彻实施本规范的具体要求,对企业建立与实施内部控制的情况进行监督检查。第十条 接受企业委托从事内部控制审计的会计师事务所,应当根据本规范及其配套办法和相关执业准则,对企业内部控制的有效性进行审计,出
27、具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。,第二章 内部环境第十一条 企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。 股东(大)会享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。 董事会对股东(大)会负责,依法行使企业的经营决策权。 监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。 经理层负责组织实施股东(
28、大)会、董事会决议事项,主持企业的生产经营管理工作。 从内部控制角度来讲,决策权和经营权相分离,体现了内部控制理念。董事会和经理层应当厘清定位,履行各自相应的职责。董事会应更多地从战略角度对企业发展的重大问题进行决策,经理层应落实董事会决议,更多地抓好决策执行。,第十四条 企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。 企业应当通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。第十五条 企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。 内部审计机构应当结合内部审计监督,对
29、内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。鉴于治理结构、机构设置及权责分配问题在内部控制建立与实施方面的基础性作用,财政部等五部委在配套指引中单独制定了企业内部控制应用指引第l号组织架构,明确了组织架构方面的主要风险点及相关内部控制措施。,第十六条 企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容: (一)员工的聘用、培训、辞退与辞职。 (二)员工的薪酬、考核、晋升与奖惩。 (三)关键岗位员工的强制休假制度和定期
30、岗位轮换制度。 (四)掌握国家秘密或重要商业秘密的员工离岗的限制性规定。 (五)有关人力资源管理的其他政策。第十七条 企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。,人力资源作为内部环境的重要组成部分,是指企业在建立和完善组织架构的基础上,如何充分发挥“人”的作用。“人”是企业中最重要最活跃的因素,是企业发展的源泉和动力,也是某些风险的制造者和内部控制的实施者。再好的制度,也需要“人”去执行。好的制度必须配备结构合理的优秀人力资源。 基本规范第十六条和第十七条规定,企业应当制定和实施有利于企业可持续发展的人力资源政策,明确了人力
31、资源政策的主要内容,强调要将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。通常情况下,人力资源管理最应关注的是留住、用好“人才”,首先是管理团队,其次是专业技术团队,然后是企业全体员工。 因此,在配套指引中单独制定了企业内部控制应用指引第3号人力资源,全面论述了人力资源在企业发展中的重要作用,提出了人力资源管理中的主要风险点及控制措施。,第十八条 企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。 董事、监事、经理及其他高级管理人员应当在企业文化建设中发
32、挥主导作用。 企业员工应当遵守员工行为守则,认真履行岗位职责。 第十九条 企业应当加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。 企业文化作为软实力,其在企业经营发展中的深层次影响和决定性作用日益显现出来。基本规范第十八条和第十九条对企业文化建设提出了基本要求,规定企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导团队协作精神,树立现代管理理念,强化风险意识;同时,强调董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用,强调高管人员应增强法律观念和意识,严格依法决
33、策、依法办事、依法监督。因此,在企业内部控制配套指引中单独制定了企业内部控制应用指引第5号企业文化,明确了企业文化建设的风险点及主要管控措施。,第三章 风险评估风险评估由目标设定、风险识别、风险分析和风险应对构成。风险评估是内部控制的重要环节,在企业生产经营过程中,只有进行科学的风险评估,自觉地将风险控制在可承受范围之内,才能实现企业的可持续发展。 第二十条 企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。 第二十一条 企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。 风险承受度是企业能够承担的风险限度,包括整
34、体风险承受能力和业务层面的可接受风险水平。 实现企业经营的合法合规,需要进行风险评估;实现资产安全目标,需要进行风险评估;实现财务报告及相关信息真实完整,需要进行风险评估;实现提高经营效率和效果,需要进行风险评估;实现企业发展战略,需要进行风险评估。所以风险评估首先要设定目标。目标设定后,要根据既定目标有计划地全面、系统、持续地收集内外部相关信息。企业可以利用信息化手段,加大信息收集量,提高信息的准确性和及时性,以使企业结合实际情况,及时进行风险评估。,第二十二条 企业识别内部风险,应当关注下列因素: (一)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。 (二)
35、组织机构、经营方式、资产管理、业务流程等管理因素。 (三)研究开发、技术投入、信息技术运用等自主创新因素。 (四)财务状况、经营成果、现金流量等财务因素。 (五)营运安全、员工健康、环境保护等安全环保因素。 (六)其他有关内部风险因素。 第二十三条 企业识别外部风险,应当关注下列因素: (一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。 (二)法律法规、监管要求等法律因素。 (三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。 (四)技术进步、工艺改进等科学技术因素。 (五)自然灾害、环境状况等自然环境因素。 (六)其他有关外部风险因素。,风险识别是在目标设定的
36、基础上,密切关注内外部主要风险因素。基本规范 第二十二条和第二十三条列示了企业内外部各种风险因素。配套指引中的系列应用指引列出了企业至少应当关注的主要风险,这些风险是在企业内部控制实施过程中,通过日常或定期的评估程序与方法加以识别。这些风险因素具体化为各项应用指引中的主要风险。在企业生产经营过程中,应将各类风险进行分类整理,形成企业的风险清单。,第二十四条 企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。 企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确
37、性。 风险分析是指在风险识别的基础上,采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。 风险的定性分析,是指通过观察与分析,借助于经验和判断对风险进行分析的方法。定性分析一般不需要运用大量的统计资料,使用起来简单易行。该方法主要是通过问卷、面谈及研讨会等形式进行风险分析,依靠专业人员的经验和直觉,或者行业标准及惯例等,对风险相关要素的大小或高低程度进行定性分级。在不需要进行量化时,或者进行定量分析需要的数据无法
38、取得,以及出于成本效益原则考虑采用定量分析方法不经济时,一般应采用定性分析。 风险的定量分析,是指运用一些数据分析模型,将有关风险及其影响予以量化,在此基础上判断风险重要性程度的方法,如敏感度分析法和盈亏平衡分析法等。定量分析需要对构成风险的各个要素和潜在损失程度赋予数值或货币金额,使风险分析的整个过程和结果均被量化。定量分析的方法通常能够提供更高的精确度,往往应用在复杂的经济活动分析中,是对定性分析方法的补充。,第二十五条 企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。 企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的
39、控制措施,避免因个人风险偏好给企业经营带来重大损失。 第二十六条 企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。 风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。 风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。 风险分担是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。 风险承受是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。 第二
40、十七条 企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。,风险应对是指风险应对策略的选择。根据基本规范第二十五条的规定,企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。风险应对策略包括风险规避、风险降低、风险分担和风险承受。以目标设定为基础,企业在进行风险识别、风险分析之后,通过实施风险应对策略,排除了风险规避、风险分担和风险承受,凸显了风险降低,需要采取相应的措施,将风险控制在可承受范围之内。配套指引中的系列应用指引明确企业至少应当关注的风险点,并经过风险识别、分析之后,结合应对策略,重点对风险
41、降低作出了规定,即系列应用指引提出的各项控制措施。风险评估广泛存在于企业经营管理活动中,贯穿并体现于每一项应用指引,从而有效地解决了风险评估的操作性问题。因此,没有必要单独规定风险评估应用指引。,第四章 控制活动第二十八条 企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。 控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。控制活动是指结合具体业务和事项,运用相应的控制政策和程序,或称控制手段实施控制。基本规范第二十八条规定,企业应当结合风险评
42、估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等。,第二十九条 不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。 不相容职务是指那些不能由一个部门或人员兼任,否则可能弄虚作假或易于掩盖其作弊行为的职务。不相容职务分离措施的理念基础是两个或两个以上的部门或人员无意识地犯有同样错误的可能性很小,而有意识地合伙作弊的可能性低于一
43、个部门或人员舞弊的可能性。 企业应首先根据各项经济业务与事项的流程和特点,系统完整地分析、梳理该经济业务与事项涉及的不相容职务,并结合岗位职责分工采取分离措施。可以借助计算机信息技术系统,通过权限设定等方式实现不相容职务的相互分离。企业的经济业务活动通常可以划分为申请、审批、执行、记录四个步骤。如果每一个步骤都由相对独立的人员或部门分别实施或执行,就能够保证不相容职务的分离。一般应当加以分离的不相容职务有:授权审批职务与执行业务职务、执行业务职务与监督审核职务、执行业务职务与相应的记录职务、财物保管职务与相应的记录职务、授权批准职务与监督检查职务等。 做到不相容职务的分离,一是每类经济业务的发
44、生与完成,不论是简单还是复杂,必须经过两个或两个以上的部门或人员,并保证业务循环中的有关部门和有关人员之间进行检查与核对;二是权力与职责应当明确地授予具体的部门和人员;三是对于重要权力的行使必须接受定期独立的检查等。在实务中,如何判断什么样的职务必须分离,分离的度如何把握,应当要由具有丰富经验的专业人员从发生错误或舞弊的可能性及其影响程度来综合判断。,第三十条 授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。 企业应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权是指企业在日常经营管理活动中按照
45、既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。 企业各级管理人员应当在授权范围内行使职权和承担责任。 企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。 授权审批控制要求企业各级人员必须经过适当的授权才能执行有关经济业务,未经授权和批准不得处理有关业务。授权审批控制应当实现:一是企业所有人员未经授权,不能行使相应权力;二是企业的所有业务未经授权不能执行;三是对于审批人超越授权范围的审批业务,经办人员有权拒绝办理,并向上级授权部门报告。,1授权批准的形式 按授权批准的形式,可以分为常规授权和特别授权。 (1)
46、常规授权是对办理常规业务时权利、条件和责任的规定,是对企业日常经营管理活动中按照既定的职责和程序进行的授权。一般表现为由管理层制定整个组织应当遵循的相关制度,内部员工在日常业务处理过程中,按照规定的权限范围和岗位职责自行办理或执行各项业务。比如主管采购的副经理负责审批1000万元以上的大额采购、采购部门负责人负责审批500万1000万元的采购,等等。企业对于常规授权可以通过编制岗位职责手册、权限指引等方式予以公布,提高权限的透明度,加强对权限行使的监督和管理。 (2)特别授权是指企业在特殊情况、特定条件下进行的授权,通常是临时性的,如在洽谈投资、收购兼并、对外担保等重要经济业务中需要临时作出某
47、项承诺,以及超过常规授权限制的交易,都需要特别授权。,2授权审批控制的内容 授权批准控制的内容一般包括: 一是授权批准的范围。授权批准的范围通常包括企业所有常规性业务活动,从业务的预算编制、执行、业绩报告以及事后的考核等,均应授权相关岗位人员办理。 二是授权批准的层次。企业应当根据经济业务的重要性和金额大小确定不同的授权批准层次。授权批准在层次上应当考虑连续性,要将可能发生的情况全面纳入授权批准体系。同时,应当根据具体情况的变化,不断对有关制度进行修正,适当调整授权层次。 三是授权批准的责任。应当明确被授权者在履行权利时应当对哪些方面负责,避免授权责任不清,出现问题后无法追究责任的情况发生。
48、四是授权批准的程序,即规定每一类经济业务的审批程序,以便按照程序办理审批,避免越级审批或违规审批。如对于货币资金业务,企业通常应当建立的授权审批程序包括:支付申请、支付审批、支付复核和办理支付等。 3授权审批控制的实施 任何授权都应当以法律、法规和企业规章制度为依据,一方面需要避免权限过于集中,即所谓的“一支笔制度,另一方面也要避免盲目授权,使有关人员逃避管理责任。企业的各项授权应予书面化,并通知到所有流程中的相关人员,以确保业务按照授权执行,避免在企业内部由于个别人员比较强势而导致授权混乱或“有法不依”的情况。授权一旦确定后,企业各级管理人员应当在授权范围内行使职权和承担责任。,第三十一条
49、会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。 企业应当依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。 大中型企业应当设置总会计师。设置总会计师的企业,不得设置与其职权重叠的副职。 会计系统控制主要是对企业发生的经济业务事项进行确认、计量和报告过程所实施的控制。从企业日常会计核算工作的内容来看,主要包括会计机构的设置、填制会计凭证的控制、合理设置和登记会计账簿的控制以及依法编制财务报告的控制等。 财务报告作为会计信息
50、系统运行的最后一个环节,担负着满足会计信息使用者需要的重任。财务报告及相关信息真实完整是内部控制的重要目标之一,因此,在配套指引中专门针对财务报告制定了应用指引,指出财务报告环节的风险、明确财务会计报告的处理程序及在资产清查、结账、财务报告编制方案、对外提供及分析等环节的控制措施,保证会计资料真实完整。 在会计机构内部应分别设置会计、出纳,根据凭证传递和处理程序、账簿登记和报表编制的流程区分不相容岗位,确保原始凭证与记账凭证、会计凭证与账簿、账簿与报表之间的核对。 总会计师应组织领导本单位的财务管理、成本管理、预算管理、会计核算和会计监督等方面的工作,参与本单位重要经济问题的分析和决策,总会计师还应具体组织本单位执行国家有关的财经法律、法规等。,
