1、企业内部控制基本规范及其配套指引Basic standards for enterprise internal control and supporting guidelines,安徽财经大学:安广实 教授电子信箱:,内部控制规范及配套指引 第一部分:内部控制基本规范第二部分:内部控制配套指引,第一部分:企业内部控制基本规范 2008年6月28日,财政部会同证监会、审计署、银监会、保监会联合发布了企业内部控制规范基本规范(财会20087号 ),自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。 同时,财会20087号文要求,执行本规范的上市公司,应当对本公司内部控制的有效
2、性进行自我评价,披露年度自我评价报告,并聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。,SOX法案NO.302要求管理层建立、评价和报告,关于财务报告披露的内部控制SOX法案NO.404要求管理层和注册会计师,对内部控制评价、报告,企业内部控制目标:五条内部控制目标,“是合理保证企业经营管理合法合规、资产安全、财务信息及相关信息真实完整,提高经营效率和效果,促进企业实现发展目标。”合规目标保证法律法规有效遵循资产目标保护财产物质安全完整报告目标确保信息质量真实可靠营运目标提高经营管理效率效果战略目标促进组织发展战略实现,企业内部控制原则:五项基本规范要求企业建立与实施内部
3、控制,应当遵循全面性、重要性、制衡性、适应性和成本效益五条原则。1.全面性原则2.重要性原则3.制衡性原则4.适应性原则5.成本效益原则,企业内部控制要素:五个 基本规范要求,企业建立与实施有效内部控制,应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素,其关系是:,监控,控制活动,风险评估,内部环境,信,息,沟,通,信,息,沟,通,基础,手段,保障,载体,依据,控制要素之一:内部环境内部环境,“是企业实施内部控制的基础,一般包括治理结构及其机构设置和权责分配、内部审计、人力资源政策、企业文化、反舞弊机制等。”1.治理结构(1)企业应当建立规范的公司治理结构和议事规则,明确决策
4、、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。股东(大)会享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东(大)会负责,依法行使企业的经营决策权。监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。经理层负责组织实施股东(大)会、董事会决议事项,主持企业的生产经营管理工作。,(2)企业应当明确内部控制建立健全和落地实施的职责权限,确保内部控制设计和执行的有效性。董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应
5、当成立专门机构或者指定适当的机构,具体负责组织协调内部控制的建立实施及日常工作。在我国,因治理结构问题而产生的控制失败案件比比皆是。例如,2005年9月14日,湖南省吉首市酒鬼酒公司(股本代码:000799)自曝公司董事长、总经理刘虹“失踪”,公司超过4.2亿元资金被大股东“成功控股公司”和关联方悉数转移、占用。公司资产被“掏空”、社会一片哗然。究其原因,就是刘虹既是酒鬼酒公司董事长、又是总经理,还是第一大股东“成功控股公司”董事长,集决策权、执行权、监督权于一身,治理结构缺陷,导致内部控制失败,公司资产蒙受巨大损失。,2.内部审计(1)企业应当在董事会下设立审计委员会。审计委员会负责审查企业
6、内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。 (2)企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。,3.人力资源政策企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容:(1)员工的聘用、培训、辞退与辞职。(2)员工的薪酬、考核、晋升与奖惩。(3)关键岗位员工的强制休假
7、制度和定期岗位轮换制度。(4)掌握国家秘密或重要商业秘密的员工离岗的限制性规定。(5)有关人力资源管理的其他政策。,4.企业文化(1)企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用;企业员工应当遵守员工行为守则,认真履行岗位职责。(2)企业应当加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。例一,“土皇帝”王效金:另类“古井文化”建议。制
8、定职工训令、出台古井基本法;开展“铁篦梳理”运动,梳到痛处、理到本质、梳理出内心深处的意识;大树、特树王效金形象,把“王效金语录”张贴在集团办公楼显著位,把王效金著的总要比别人好一些当作礼物,放在古井酒盒中,把王效金头像,印在古井酒瓶上,在中央和地方电视台反复播放。例二,“山西票号”独特的文化景象:对完善现代企业文化建设启示。,5.反舞弊机制企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。舞弊现象千姿百态,产生的动因纷繁复杂。舞弊产生动因的研究成果主要有:(1)舞弊的“冰
9、山”理论(2)舞弊的“三角”理论 (3)舞弊的“CONE ”理论,控制要素之二:风险评估风险评估,“是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。” 也就是说,风险评估是围绕设定的目标,所进行的风险识别、风险分析和风险应对工作。1.风险识别。企业应准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度是企业愿意承担的风险限度,也是企业风险偏好的边界,即企业目标实现过程中对差异的可接受程度。风险偏好是企业的冒险倾向,即为了实现目标企业选择承担风险或规避风危险的意愿。2.风险分析。企业应当按照风险发生的可能性及其影响程度等,对识别的
10、风险进行分析和排序,确定关注重点和优先控制的风险。,3.风险应对。企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。进行风险识别、分析和评估,应将定性与定量方法相结合。定性方法,可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。定量方法,可采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。,控制要素之三:控制活动控制活动“是企业针对风险评估结果,采取的风险控制措施,
11、以将风险控制在可接受程度之内。” 控制措施一般包括:1.不相容职务分离控制2.授权审批控制3.会计系统控制4.财产保护控制5.预算控制6.运营分析控制7.绩效考评控制,控制要素之四:信息与沟通信息与沟通“是企业及时、准确的收集、传递与内部控制相关的信息,确保其在企业内部、企业与外部之间有效沟通。”企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。1.信息企业应当对收集的各种“内部信息”和“外部信息”进行合理筛选、核对、整合,提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内
12、部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。案例一,比利时巴克曼实验工厂:“成功从信息获取开始”案例二,“天罗地网”:沃尔玛的信息监控系统,2.沟通企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。案例三,纷纷效仿:柯达的建议制具有百年历史的柯达公司从照相感光材料发迹,发展成为一个年生产软片80万英里的跨国公司,得益于“建议制”。早在1889年柯达创
13、始人乔治.伊始曼收到一个普通工人的建议,该建议呼吁生产部门把玻璃窗擦干净。伊始曼认为这是工人的积极性表现,立即公开表扬并给予了奖金。这一做法被继承下来。现在,柯达公司员工随手可取到建议表、随手放入建议箱。迄今,柯达已经收到180万条职工建议,采用60万条,每年奖励职工建议奖100多万美元。,控制要素之五:内部监督内部监督,“是企业对内部控制建立与执行情况进行检查,评价其有效性、发现其缺陷,及时加以改进。”一是制定内部控制监督制度。企业应当根据本规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。
14、二是制定内部控制缺陷认定标准。企业应当制定内部控制缺陷认定标准,包括内部控制设计缺陷标准和和内部控制运行缺陷标准。三是对内部控制进行自我评价。企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。 四报告内部控制监督结果。企业应当采取适当的形式及时向董事会、监事会或者经理层报告评价结果。案例,金库大盗为何屡屡得手?,第二部分:企业内部控制配套指引 2010年4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了企业内部控制配套指引(财会201011号)。财会201011号文,要求企业内部控制配套指引自2011年1月1
15、日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。同时,还要求,执行企业内部控制基本规范及企业内部控制配套指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。上市公司聘请的会计师事务所应当具有证券、期货业务资格;非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。,1.企业内部控制应用指引,是对企业按照内控
16、原则和内控“五要素”建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中占居主体地位。此次发布的应用指引,共18项,可分为内部环境类指引、控制活动类指引和控制手段类指引三类,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。其中:第一类,内部环境类指引,有5项,即:组织架构、发展战略、人力资源、企业文化和社会责任等指引;第二类,控制活动类指引,有9项,即:资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告等指引;第三类,控制手段类指引,有4项,即:全面预算、合同管理、内部信息传递和信息系统等指引。,2.企业内部控制评价指引,是为企业管理层对本企业内部控制有效性进行自我评价提供的指引。3.企业内部控制审计指引,是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。,谢谢!,
