内部控制的框架体系

《内部控制的框架体系》由会员分享，可在线阅读，更多相关《内部控制的框架体系（127页珍藏版）》请在金锄头文库上搜索。

1、公司治理与内部控制,第三章 内部控制的框架体系 （内部控制要素）,第一节 内部控制要素 第二节 内部环境 第三节 风险评估 第四节 控制活动 第五节 信息与沟通 第六节 内部监督,我国企业内部控制基本规范第三条指出：“本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”并规范了基于企业全面风险管理导向的内部控制系统五要素。,3.1 内部控制要素,根据系统论、控制论和信息论的思想，我国企业内部控制基本规范把企业内部控制系统划分为相互关联的5个要素，以充分发挥内部控制的“免疫”功能。 企业设计基于全面风险管理导向的内部控制系统时必须体现5个要素的要求。,3

2、.1 内部控制要素,我国企业内部控制基本规范第五条指出：企业建立与实施有效的内部控制，应当包括下列要素： （一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 （二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。,3.1 内部控制要素,（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。 （四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。 （五）内部

3、监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。,五要素与八要素比较图,3.2 要素一：内部环境,我国企业内部控制基本规范第二章第十一条至第十九条明确了内部环境的具体内容。,3.2 要素一：内部环境,一、公司治理结构和议事规则 企业内部控制基本规范第十一条指出：企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。 股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。,3.2

4、要素一：内部环境,董事会对股东（大）会负责，依法行使企业的经营决策权。 监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。 经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。,3.2 要素一：内部环境,同时，第十二条指出：董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。 企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。,3.2 要素一：内部环境,【解读】公司治理结构的要旨在于明确划分股东、董事会和经理人员各自权利、责任和利益，形成三

5、者之间的制衡关系。以国外现代公司为例，其公司治理结构是现代法人产权制度下的产物，其基本特征是： （1）内部机构权责分明，相互制衡（“三权分立，相互制衡 ”）。 （2）委托与代理，纵向授权。 （3）激励与约束机制并存。,3.2 要素一：内部环境,二、审计委员会 企业内部控制基本规范第十三条指出：企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。 审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。,3.2 要素一：内部环境,三、内部机构设置、岗位职责、业务流程 企业内部控制基本规范第十

6、四条指出：企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。 企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。,3.2 要素一：内部环境,四、内部审计 企业内部控制基本规范第十五条指出：企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。 内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。,3.

7、2 要素一：内部环境,五、人力资源政策 企业内部控制基本规范第十六条指出：企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容： （一）员工的聘用、培训、辞退与辞职。 （二）员工的薪酬、考核、晋升与奖惩。 （三）关键岗位员工的强制休假制度和定期岗位轮换制度。,3.2 要素一：内部环境,（四）掌握国家秘密或重要商业秘密的员工离岗的限制性规定。 （五）有关人力资源管理的其他政策。 六、职业道德修养和专业胜任能力 企业内部控制基本规范第十七条指出：企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。,3.2 要

8、素一：内部环境,七、企业文化、价值观和社会责任感 企业内部控制基本规范第十八条指出：企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。 董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。 企业员工应当遵守员工行为守则，认真履行岗位职责。,3.2 要素一：内部环境,八、法制观念 企业内部控制基本规范第十九条指出： 企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。,【注】关于内部环境类

9、内部控制应用指引,内部环境是企业实施内部控制的基础，支配着企业全体员工的内控意识，影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。内部环境类指引有5项，包括： 企业内部控制应用指引第1号：组织架构 企业内部控制应用指引第2号：发展战略 企业内部控制应用指引第3号：人力资源 企业内部控制应用指引第4号：社会责任 企业内部控制应用指引第5号：企业文化,3.3 要素二：风险评估,我国企业内部控制基本规范第三章第二十条至第二十七条明确了风险评估的具体内容。,3.3 要素二：风险评估,企业内部控制基本规范第二十条指出：企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时

10、进行风险评估。 一、风险识别 企业内部控制基本规范第二十一条指出：企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。 风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。,3.3 要素二：风险评估,（一）风险的本质 风险是未来结果对期望的偏离，即波动性。任何偏离控制目标的因素（有利或不利）都是风险的表现，这与金融投资普遍以收益率方差（或标准差）作为风险计量指标的主流分析框架相符。,3.3 要素二：风险评估,（二）风险的分类 为了有效识别和管理风险，有必要对企业所面临的风险进行明确分类。根据不同的分类标准可以将风险划分为不

11、同的类型。 可见，设立期望目标是风险评估的前提条件，只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。,3.3 要素二：风险评估,1.按风险诱发的原因分类 按诱发风险的原因，巴塞尔委员会将风险划分为八大类： （1）信用风险，是指债务人或交易对手未能履行合同所规定的义务或信用质量发生变化，影响金融产品价值，从而给债权人或金融产品持有人造成经济损失的风险。 信用风险被认为是最为复杂的风险种类，通常包括违约风险、结算风险等主要形式。,3.3 要素二：风险评估,（2）市场风险，是指由于市场价格（包括金融资产价格和商品价格）波动而导致企业遭受损失的风险。它可以分为利率风险、股票风险

12、、汇率风险和商品风险四种，其中利率风险尤为重要。,3.3 要素二：风险评估,（3） 操作风险，是指由于人为错误、技术缺陷或不利的外部事件所造成损失的风险。操作风险可以分为由人员、系统、流程和外部事件所引发的四类风险，并由此可以分为七种表现形式：内部欺诈，外部欺诈，聘用员工做法和工作场所安全性，客户、产品及业务做法，实物资产损坏，业务中断和系统失灵，交割及流程管理。 操作风险具有普遍性和非营利性。,3.3 要素二：风险评估,（4）流动性风险，是指企业无力为负债的减少或资产的增加提供融资而造成损失或破产的风险。流动性风险包括资产流动性风险和负债流动性风险。 流动性风险与信用风险、市场风险和操作风险

13、相比，形成的原因更加复杂和广泛，通常被视为一种综合性风险。 （5）国家风险，是指经济主体在与非本国居民进行国际经贸与金融往来时，由于别国经济、政治和社会等方面的变化而遭受损失的风险。,3.3 要素二：风险评估,（6）声誉风险，是指由于意外事件，企业的政策调整、市场表现或日常经营活动所产生的负面结果，可能对企业“声誉”这种无形资产造成损失的风险。 （7）法律风险，即企业在日常经营活动或各类交易发生的过程中，因为无法满足或违反法律要求，导致企业不能履行合同、发生争议诉讼或其他法律纠纷，而可能给企业造成经济损失的风险。,3.3 要素二：风险评估,（8）战略风险，是指企业在追求短期商业目的和长期发展目

14、标的系统化管理过程中，不适当的未来发展规划和战略决策可能威胁企业未来发展的潜在风险。美国货币监理署（OCC）认为，战略风险是指经营决策错误，或决策执行不当，或对行业变化束手无策，而对企业的收益或资本形成现实和长远的影响。,3.3 要素二：风险评估,2.风险的其他分类 （1）按风险事故可以将风险划分为：经济风险、政治风险、社会风险，自然风险和技术风险； （2）按损失结果可以将风险划分为：纯粹风险和投机风险； （3）按是否能够量化可以将风险划分为：可量化风险和不可量化风险；,3.3 要素二：风险评估,（4）按风险发生的范围可以将风险划分为：系统性风险和非系统性风险。 （5）按风险的可预见性可以将风

15、险划分为：预期风险、非预期风险、意外风险。 预期风险与非预期风险之间最重要的概念性区别是：预期风险是在一般正常情况下，在一定时期可预见的平均水平；非预期风险具有突发性、复杂性、持续可变性、多层次性、模糊性等特点。,3.3 要素二：风险评估,（三）风险识别的内外部因素 企业内部控制基本规范第二十二条指出，企业识别内部风险，应当关注下列因素： （1）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。 （2）组织机构、经营方式、资产管理、业务流程等管理因素。,3.3 要素二：风险评估,（3）研究开发、技术投入、信息技术运用等自主创新因素。 （4）财务状况、经营成果、现金流

16、量等财务因素。 （5）营运安全、员工健康、环境保护等安全环保因素。 （6）其他有关内部风险因素。,3.3 要素二：风险评估,企业内部控制基本规范第二十三条指出， 企业识别外部风险，应当关注下列因素： （1）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。 （2）法律法规、监管要求等法律因素。 （3）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。 （4）技术进步、工艺改进等科学技术因素。 （5）自然灾害、环境状况等自然环境因素。 （6）其他有关外部风险因素。,3.3 要素二：风险评估,（四）风险识别的分析框架,3.3 要素二：风险评估,环境风险因素，包括： （1）竞争对手风险 （2）客户风险 （3）技术创新风险 （4）敏感性风险 （5）股东关系风险 （6）资本可得性风险,（7）主权政治风险 （8）法律风险 （9）监管风险 （10）行业风险 （11）金融市场风险 （12）灾难风险,3.3 要素二：风险评估,过程风险因素，包括： 1.操作风险，如： （1）客户满意度