《企业内部控制体系建设方法(杨帅20171211)-修改12.29》由会员分享,可在线阅读,更多相关《企业内部控制体系建设方法(杨帅20171211)-修改12.29(146页珍藏版)》请在金锄头文库上搜索。
1、,企业内部控制体系 建设的思路和方法,杨 帅,咨询技术部,不准迟到早退 不准手机铃响 不准接打电话 不准闲话咬耳,培训课堂纪律,一、企业内部控制体系的形成过程 二、企业内部控制体系与规范化管理 三、企业内部控制体系建设的理论思路 四、企业内控体系建设实施的内容和要求,主 要 内 容,一、企业内部控制体系的 形成过程,企业内部控制体系的内涵,企业内控,跟踪 评价 查失 纠偏,注:此为企业管理角度的定义,非为会计学角度的定义。,它是内部经营风险控制管理制度的总和,是通过强化对于企业组织运行过程中工作承担者各级岗位员工的无能、失职和贪腐行为的管控以降低和消除企业经营风险的管理制度体系。 途径主要是通
2、过权力审核、权力制衡、履职标准和问责约定扼制和减少岗位员工的无能、失职和贪腐行为。 其目标是保证企业的财产安全和经营安全、效益提升,并通过保证企业的持续稳定发展保证投资人的权益不受侵犯和稳定增长。,内控控什么?,内控控什么?,从内部对经营风险进行控制,以规避和减少经营风险损失。,企业内部控制体系的渊源,上世纪80年代,美国企业虚假财务报告丑闻层出不穷,许多大公司突现经营失败,立法机构、政府监管机构和职业组织对虚假财务报告问题表现出了空前的关注。 1985年,美国注册师协会等发起成立了一个民间组织“反对虚假财务报告委员会”,研究虚假财务报告的产生原因并推荐解决办法。 该委员会在调查中发现,近50
3、的财务舞弊事件可以全部或部分归咎于内部控制失败,认为应该建立一个统一的、可操作的内部控制框架。 “反对虚假财务报告委员会”的五个发起组织成立了一个委员会,即COSO,建立之初的目的是负责研究开发一个内部控制的权威性定义和指南。 COSO在1992年9月完成了这项任务,内部控制-综合性框架,通常被称为COSO报告。,8,COSO将内部控制定义为:“内部控制是受企业董事会、管理层和其他职员共同作用,为实现经营效果性和效率性、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。”其目标有三: 经营的效果和效率 财务报告的可靠性 法律法规的遵循性,9,企业内部控制体系框架,目标
4、中没有把资产安全包括进来,对于经营效果和效率的合理保证界定,也是模糊的。,控制环境(Control environment)。 它影响企业员工的行为选择意志和工作能力,是所有企业内部控制的基础。风险评价(Risk assessment)。 每个企业都面临来自内部和外部的种种风险,只有通过评价,才能确定应对方法。控制活动(Control activity)。 它是确保管理层的指令得以执行的政策及程序,是管理层识别和评估风险后,对控制这些风险所采取的针对性措施。信息与沟通(Information and communication) 。内部控制的全过程都需要高质量的信息以及顺畅的沟通。高质量信息具
5、有内容相关、正确、提供及时以及便于获取等特征。高质量的信息还须能以适当的形式及时、准确地传递至信息需求者。 内部监控(Monitoring) 。这一活动由持续监督、个别评价所组成,目的是确保企业内部控制能持续有效的达成目标。,10,内部控制的五个要素,11,内部控制的五个要素,12,内部控制设计COSO报告明确的原则,相互牵制原则。它是指一项完整的经济业务活动,必须分配给具有互相制约关系的两个或两个以上的部门(或岗位)分别完成。授权控制原则。它是指企业单位应该根据各岗位业务性质和人员要求,相应地赋予作业任务和职责权限,规定操作规程和处理手续,明确纪律规则和检查标准,以使职、责、权、利相结合。成
6、本效益原则。贯彻成本效益原则,即要求在实行内部控制花费的成本和由此而产生的经济效益之间要保持适当的比例,实行内部控制所花费的代价不能超过由此而获得的效益。协调配合原则。协调配合原则要求各部门之间、人员之间应相互配合、协调同步、紧密衔接,避免只管相互牵制而不顾办事效率的做法,导致不必要的扯皮和脱节现象。整体结构原则。企业内部控制系统,必须包括控制环境、风险评估、控制活动、信息与沟通、监督五项要素,并覆盖各项业务和部门。,企业内部控制体系的演变,2001年安然事件爆发后,美国于2002年出台了萨班斯(SOX)法案,美国证券交易会于2003年6月份就萨班斯法案第404条所制定的“最终条例”明确表示C
7、OSO内部控制框架可以作为评估企业内部控制的标准。2004年,美国公众公司会计监督委员会(PCAOB)发布了第2号审计准则,要求注册会计师对公众公司财务报告内部控制有效性进行审计,明确提出COSO内部控制框架可以作为企业内部控制体系建立的参考性标准。 2010年9月,COSO启动了企业内部控制整体框架审核与更新项目,并聘请普华永道会计师事务所(PWC)作为项目的支持方,着手新框架的制订工作。2010年9月至2011年1月,COSO在问卷调查的基础上确定对COSO内控框架进行修订和更新的思路,维护原有框架。2011年12月,COSO发布了新框架的征求意见稿,2013年5月正式发布。,萨班斯(SO
8、X)法案,萨班斯法案,又被称为萨班斯奥克斯利法案,其全称为2002年公众公司会计改革和投资者保护法案,由参议院银行委员会主席萨班斯(Paul Sarbanes)和众议院金融服务委员会(Committee on Financial Services)主席奥克斯利(Mike Oxley)联合提出,又被称作2002年萨班斯-奥克斯利法案。 2001年12月,美国最大的能源公司安然公司,突然申请破产保护,此后,公司丑闻不断,规模也“屡创新高”,特别是2002年6月的世界通信会计丑闻事件,“彻底打击了(美国)投资者对(美国)资本市场的信心”(Congress report, 2002)。为了改变这一局面
9、,美国国会和政府加速通过了萨班斯法案(以下简称SOX法案。法案的第一句话就是“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。”它对在美国上市的公司提供了合规性要求,使上市公司不得不考虑控制IT风险在内的各种风险。,2004年10月,COSO委员会对应SOX法案对内部控制一一整体架构(Internal Control一Integrated Framework)做了进一步的延伸和扩展,提出了企业风险管理整合框架(Enterprise Risk Management一Integrated Framework)。,15,内控要素,内控要素,内控目标,内控目标,内控范围,内控范围
10、,16,COSO报告2013版在框架、定义、要素、体系上与1992版的框架一致。其变化主要有五: 1细化了内控框架的结构内容。新框架最显著的变化是在旧框架的基础上,提炼出内部控制五要素的17项总体原则。每一项总体原则又由代表其重要特征的多个关注点所支持。这些关注点旨在为管理层提供具体的指引,协助其设计、实施和执行内部控制,以及评估相关原则是否存在和发挥效用。 2扩大了报告目标的范畴。 1992版框架中的内控三个目标之一是财务报告的可靠性,目的是为了满足外部监管要求,确保编制可靠的公开发表的财务报告,而新的内控框架在报告要求既要面向外部投资者、债权人和监管部门,确保报告符合有关监管要求;又要面向
11、董事会和经理层,满足企业经营管理决策的需要。在报告内容上除了包括传统的财务报告,还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。新的COSO内控框架共有四类报告目标:内部财务报告、内部非财务报告、外部财务报告以及外部非财务报告。,3强调管理层判断的适用。新的COSO框架是作为“原则”来呈现的,即强调“基于原则”由管理层判断决定其具体方式。管理层可以自由判断新框架所提供关注点的合适度或者相关度,从而使实施灵活,节省投入。4强化公司治理的理念。新框架包括了更多的公司治理中有关董事会及其下属专门委员会(包括审计委员会、薪酬委员会、提名与治理委员会等)的
12、内容,强调董事会的监督对内部控制有效性的重要作用。5增加了反舞弊与反腐败的内容。与旧框架相比,新框架包含了更多的针对舞弊与欺诈的内容,并且把管理层评估舞弊风险作为内部控制的17项总体原则之一,重点加以阐述。6充分考虑了不同商业模式和组织结构的内部控制。随着经济全球化的发展、技术的不断进步和人才竞争的加剧,企业在运营过程中更多地使用第三方提供的产品或服务,为适应价值链管理的需要,新框架专门分析了不同商业模式和组织结构下内部控制的有效性问题。,17,修订原因,大规模的治理和内部控制失效事件所带来破坏性影响不可忽视: (1)上世纪90年代金融衍生产品的彻底崩盘; (2)美国长期资本管理公司事件; (
13、3)安然丑闻 (4)近期全球金融危机,修订原因,失败案例进一步提出了内部控制需要关注的重点: (1)管理层逾越控制 (2)利益冲突 (3)缺乏职责分离 (4)透明度不足或欠缺 (5)风险管理不同统一协调 (6)董事会监督无效 (7)导致职能失调或渎职行为的薪酬结构失调等。,上述问题都说明企业对内部控制框架的预期作用越来越高,对其能防范和监测舞弊的要求不断提升,在这样的环境下,对COSO的修订势在必行。,新旧变化对比,新框架七大重要变化,明确列示了用以支持内部控制五大要素的原则。,1,2,3,4,5,6,7,明确了目标设定在内部控制中的作用。,反映了科技日益深入的相关性。,更深入地讨论了有关治理
14、的理念。,扩大了报告目标类别(范畴)。,加强了对反舞弊预期的考虑。,更加关注非财务目标。,2013版的重大变化,明确17项原则和79个关注点,2013版的重大变化,明确17项原则和79个关注点,2013版的重大变化,明确17项原则和79个关注点,2013版的重大变化,明确17项原则和79个关注点,2013版的重大变化,明确17项原则和79个关注点,2013版的重大变化,明确17项原则和79个关注点,扩展报告目标范围,内部财务报告,外部财务报告,内部非财务报告,外部非财务报告(内部控制报告,企业遵循IS09001的情况报告,可持续报告等),内部控制目标进一步扩展,明确了目 标设定在 内部控制 中
15、的作用。,COSO的新框架能够更容易被应用于设定企业目标。1992年版本框架指出,目标设定是一个管理流程,而且是内部控制的先决条件。新框架虽然保留了这个观点,但它将相关讨论内容从风险评估章节移到较前的章节,以强调目标设定并不是内部控制的一部分。,内部控制框架进一步体现时代感:,反映科技日益深入带来的变化,信息技术已经从用于处理批量交易的庞大的独立主机环境,发展为高度复杂,分散且移动的应用程序,不仅涉及实时活动,还有横跨众多系统,组织和流程,这科技会影响五要素的实施方式。,更深入地讨论了有关治理的理念。,主要涉及董事会及其下属委员会,如审计委员会,薪酬委员会和治理委员会,强调董事会监督对有效控制
16、的至关重要性,加强了对反舞弊预期的考虑,新框架关于无比的论述明显增多,并以将舞弊单独作为内部控制的一项原则来分析。,我国内部控制体系的发展过程,1999年10月31日,修订后的会计法首次以法律的形式对建立健全内部控制提出原则要求。其第四章会计监督第27条要求,各单位应当建立、健全本单位内部会计监督制度。 2001年6月22日,财政部发布内部会计控制规范基本规范(试行)、内部会计控制规范货币资金(试行)。 2006年5月17日,证监会发布首次公开发行股票并上市管理办法。第29条规定“发行人的内部控制在所有重大方面是有效的,并由注册会计师出具了无保留结论的内部控制鉴证报告”。这是中国首次对上市公司内部控制提出具体的要求。 2006年6月16日,国资委发布中央企业全面风险管理指引,对全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等进行了阐述。,
