《企业内部控制基本规范.ppt》由会员分享,可在线阅读,更多相关《企业内部控制基本规范.ppt(97页珍藏版)》请在金锄头文库上搜索。
1、企业内部控制基本规范企业内部控制基本规范 主讲人:林可宁手机:13392052895http:/学习目的与要求学习目的与要求1.了解企业内部控制的意义、作用、特点和应当关注的风险;2. 熟悉企业内部控制的目标;3.熟悉企业内部控制的原则; 4.熟悉企业内部控制的要素. 内控的概念内控的概念内控的概念内控的概念 内部控制是指为确保实现企业目标而实施的程序内部控制是指为确保实现企业目标而实施的程序和政策。内部控制还应确保识别可能阻碍实现这些目和政策。内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。标的风险因素并采取预防措施。 COSOCOSO委员会对内部控制的定义委员会对内部控制
2、的定义“ “公司的董事会、公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率,财务报告的可靠性和施的程序:运营的效益和效率,财务报告的可靠性和遵守适用的法律法规遵守适用的法律法规” ”。 企业内部控制基本规范企业内部控制基本规范中指出,内部控制是由中指出,内部控制是由企业董事会、证监会、经理层和全体员工实施的,旨企业董事会、证监会、经理层和全体员工实施的,旨在实现控制目标的过程。内部控制的目标时合理保证在实现控制目标的过程。内部控制的目标时合理保证企业经营管理合法合规、资产安全、财务报告及相关企业经营管理合法合规
3、、资产安全、财务报告及相关信息真实完整,提高经营效益合效果,促进企业实现信息真实完整,提高经营效益合效果,促进企业实现发展战略。发展战略。 (一)控制 什么是内控思想?过去强调的是牵制,比如,会计不能兼任出纳。过去强调的是会计控制。 现在,不是会计控制,而是风险为导向的控制,强调的是企业的管理层角度的管理控制,而会计控制是内部控制的一个组成部分。 (二)管理 作为股东投资者,由于所有权和经营权进行分离。而作为投资者,要求投资获得收益,终极目的就是获得利润。因此在加强企业管理和运作中,会在方方面面有内控的思想的覆盖和渗透。 内部控制不是牵制,不是会计内控。内部控制不是牵制,不是会计内控。 内部控
4、制是一种管理,内控的理想状态是无需控内部控制是一种管理,内控的理想状态是无需控制就可以遵守规章制度。制就可以遵守规章制度。 内控是一种管理,是对风险的管理。内控是一种管理,是对风险的管理。 风险无处不在,国际风险,国家风险,政府风险,风险无处不在,国际风险,国家风险,政府风险,企业风险,家庭个人风险等,无处不在。企业风险,家庭个人风险等,无处不在。 风险无时不有,过去有,今天有,将来也会有。风险无时不有,过去有,今天有,将来也会有。 对于企业而言,风险可能来自业务经营、合规、对于企业而言,风险可能来自业务经营、合规、运营或财务方面,内部控制应当为企业的有效运营提运营或财务方面,内部控制应当为企
5、业的有效运营提供辅助条件,使企业有能力对最终目标实现的重大风供辅助条件,使企业有能力对最终目标实现的重大风险作出反应。险作出反应。 (三)流程(三)流程 内控是控制的一个过程,这个过程是需要全员内控是控制的一个过程,这个过程是需要全员 的参与,上到董事会、管理层、监事会,下到各级员的参与,上到董事会、管理层、监事会,下到各级员工,都需要参与进来。工,都需要参与进来。 通过内控要实现的目标通过内控要实现的目标 1. 1.企业的经营要合法合规企业的经营要合法合规 2. 2.企业资产要安全完整企业资产要安全完整 3. 3.企业财务报告的信息(财务信息)和其他信息要企业财务报告的信息(财务信息)和其他
6、信息要真实可靠完整真实可靠完整 4. 4.通过内控提高企业的经营效率和效果。通过内控提高企业的经营效率和效果。 从管理要效益。从管理要效益。 从产品要效益,从营销要效益,从管理要效益(从从产品要效益,从营销要效益,从管理要效益(从政府要效益)政府要效益) 5. 5.促成企业实现战略目标促成企业实现战略目标 (四)合理保证(四)合理保证 内部控制是一种合理保证,但它也存在局限性,内部控制是一种合理保证,但它也存在局限性,因此不是一种绝对保证因此不是一种绝对保证 1. 1.在一个企业的不同岗位之间要有内部控制措在一个企业的不同岗位之间要有内部控制措施,施, 如:签订合同与管理合同,会计与出纳,但这
7、如:签订合同与管理合同,会计与出纳,但这种岗位间的内控措施无法防止由于人员的串通导种岗位间的内控措施无法防止由于人员的串通导致的内控实效致的内控实效 2. 2.内控是一个管理制度内控是一个管理制度 管理是一个由上到下的管理,而管理者的控制管理是一个由上到下的管理,而管理者的控制相对较弱,同时管理者自己的情况也会决定管理相对较弱,同时管理者自己的情况也会决定管理制度的实施。制度的实施。 只准州官放火,不许百姓点灯。只准州官放火,不许百姓点灯。 3. 3.大型或小型企业在建立内部控制系统时,均大型或小型企业在建立内部控制系统时,均可能存在资源受限制的问题。可能存在资源受限制的问题。 (五)控制的特
8、点: 1控制由施控主体、受控客体和传递线路三元要素组成。 2 控制功能由指令输入和反馈共同完成。 3控制具有明确的目的性。 4控制需要凭借一定的手段。 5控制是一个动态的平衡过程。9为为什什么么控控制制+ + +控控制制什什么么谁谁来来控控制制 帮助达成帮助达成组织目标组织目标 风险风险 董事会董事会 总裁室总裁室 经理层经理层 员工层员工层 = = 内部控制规范的建设现状内部控制规范的建设现状内部控制规范的建设现状内部控制规范的建设现状 一、我国内控建设的理论方面一、我国内控建设的理论方面 我国有些企业的内部控制建设还比较到位,但总我国有些企业的内部控制建设还比较到位,但总体上,我国企业的内
9、控还比较薄弱。体上,我国企业的内控还比较薄弱。 19951995年,财政部,年,财政部,会计法会计法,单位应该,单位应该“ “加强加强内部会计监督内部会计监督” ”。 20012001年,财政部,陆续发布年,财政部,陆续发布内部会计控制规范内部会计控制规范基本规范基本规范等等7 7项内部会计控制规范。包括货币资金、项内部会计控制规范。包括货币资金、采购与付款、销售与收款、工程项目、担保、对外投采购与付款、销售与收款、工程项目、担保、对外投资等六个具体控制规范。资等六个具体控制规范。 20022002年,中国人民银行,年,中国人民银行,商业银行内部控制指商业银行内部控制指引引 2005 2005
10、年,银监会,年,银监会,商业银行内部控制评价试行商业银行内部控制评价试行办法办法 20062006年,财政部、国资委、证监会、审计署、银年,财政部、国资委、证监会、审计署、银监会和保监会联合发起成立企业内部控制标准委员会。监会和保监会联合发起成立企业内部控制标准委员会。 20062006年,年,1111月月8 8日,企业内部控制标准委员会发布日,企业内部控制标准委员会发布了了企业内部控制规范企业内部控制规范基本规范基本规范和和1717个具体规范个具体规范的征求意见稿的征求意见稿 20082008年年6 6月月2828日,五部委(没有国资委)联合发布日,五部委(没有国资委)联合发布了我国首部了我
11、国首部企业内部控制基本规范企业内部控制基本规范,并于,并于20092009年年7 7月月1 1日起首先在上市公司范围内实施。日起首先在上市公司范围内实施。 20102010年年4 4月月1515日,财政部、证监会、审计署、银监日,财政部、证监会、审计署、银监会、保监会联合发布了会、保监会联合发布了企业内部控制应用指引第企业内部控制应用指引第1 1号号组织架构组织架构等等1818项应用指引、项应用指引、企业内部控制评企业内部控制评价指引价指引和和企业内部控制审计指引企业内部控制审计指引(简称企业内(简称企业内部控制配套指引),自部控制配套指引),自20112011年年1 1月月1 1日起在境内外
12、同时日起在境内外同时上市的公司施行,自上市的公司施行,自20122012年年1 1月月1 1日起在上海证券交易日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行。择机在中小板和创业板上市公司施行。我国企业内控规范体系我国企业内控规范体系 企业内部控制基本规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引内部环境类内部环境类组织架构组织架构发展战略发展战略人力资源人力资源社会责任社会责任企业文化企业文化控制活动类资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包控制手段类
13、全面预算合同管理内部控制传递信息系统 二、实务工作的情况 美国的安然、世通、朗讯等公司相继爆出丑闻 美国立即出台萨班斯法案最重要的,404条款 1.公司的CEO/CFO应当对内部控制有效性进行保证,并向股东出示披露 2.审计师要确保审计的真实有效 我国上市公司(含在美国上市)的公司,其相继爆出的问题,其中绝大多数都与管理不善、内控缺失直接相关。 三、内控的建设任重而道远 1.领导观念不能及时转变,而不是标准无法建立很多领导者认为内控是一种束缚,而不愿意搞内控。企业经不起折腾,财务准则的变化等等,人员的落伍和淘汰。 2.管理是否能够到位 只有内控到位了,会计准则才能更容易实施到位。这种管理制度,
14、不仅仅要适用于一般的企业,还应当适用于事业单位。 总则和附则总则和附则总则和附则总则和附则 企业内部控制基本规范企业内部控制基本规范由总则、内部环境、由总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附风险评估、控制活动、信息与沟通、内部监督和附则则7 7章,共章,共5050条组成。其中核心内容就是内部控制条组成。其中核心内容就是内部控制要素:内部环境、风险评估、控制活动、信息与沟要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。通、内部监督。 一、条款和结构一、条款和结构 企业内部控制基本规范企业内部控制基本规范(以下简称(以下简称基本规基本规范范)总则和附则共有)总则和附
15、则共有1313条规定,概括起来主要明条规定,概括起来主要明确了以下几个方面的内容:确了以下几个方面的内容: (一)(一)基本规范基本规范第第1 1条,明确了企业内部控条,明确了企业内部控制基本规范的立法依据。制基本规范的立法依据。 (二)(二)基本规范基本规范第第2 2条、第条、第5050条,明确了企条,明确了企业内部控制基本规范的适用范围和开始执行时间。业内部控制基本规范的适用范围和开始执行时间。 (三)基本规范第3、第4条,明确了企业内部控制的目标和原则。 (四)基本规范第5条,明确了企业内部控制的5要素。 (五)基本规范第6条、第7条、第8条、第48条、第49条,明确了企业在建立和实施内
16、部控制的过程中同时应该依据相关的法律法规的规定。 (六)基本规范第9条、第10条,明确了国务院有关部门对企业建立和实施的内部控制承担监督职责,并明确了企业需要委托会计师事务所对内部控制的有效性发表意见。 二、新旧变化分析二、新旧变化分析 20082008年发布的年发布的企业内部控制基本规范企业内部控制基本规范,是根据,是根据20062006年年1111月月8 8日企业内部控制标准委员会发布的日企业内部控制标准委员会发布的企业内部控制规范企业内部控制规范基本规范基本规范征求意见稿确定的,与征求意见稿确定的,与20012001年财政部发布的年财政部发布的内内部会计控制规范部会计控制规范基本规范(试
17、行)基本规范(试行)(简称(简称基本规范基本规范(试行)(试行)比较而言,主要存在以下变化:比较而言,主要存在以下变化: (一)发文机构变化(一)发文机构变化 基本规范(试行)基本规范(试行)发文机构为财政部。发文机构为财政部。基本规范基本规范为为财政部、证监会、审计署、银监会、保监会联合发文。财政部、证监会、审计署、银监会、保监会联合发文。 (二)立法宗旨有所变化,法律依据进一步明确(二)立法宗旨有所变化,法律依据进一步明确 基本规范(试行)基本规范(试行)是仅仅针对内部会计控制而言,所以是仅仅针对内部会计控制而言,所以立法宗旨为促进各单位内部会计控制建设、加强内部会计监督,立法宗旨为促进各
18、单位内部会计控制建设、加强内部会计监督,维护社会主义市场经济秩序。维护社会主义市场经济秩序。基本规范基本规范是针对企业内部控是针对企业内部控制而言的,所以立法宗旨企业内部控制整体出发,为了加强和制而言的,所以立法宗旨企业内部控制整体出发,为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益。利益。 基本规范(试行)依据中华人民共和国会计法制定,基本规范根据中华人民共和国公司法、中华人民共和国证券法、中华人民共和国会计法
19、制定。 (三)适用范围变化 基本规范(试行)适用于国家机关、社会团体、公司、企业、事业单位和其他经济组织。 基本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照建立与实施内部控制。 (四)定义和目标不同(四)定义和目标不同 基本规范(试行)基本规范(试行)中内部会计控制是指单位中内部会计控制是指单位为了提高会计信息质量、保护资产的安全、完整、为了提高会计信息质量、保护资产的安全、完整、确保有关法律法规和规章制度的贯彻执行等而制定确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。和实施的一系列控制方法、措施和程序。 基本规范(试行)基本规范(试
20、行)中内部会计控制的目标:中内部会计控制的目标:规范单位会计行为,保证会计资料真实、完整;堵规范单位会计行为,保证会计资料真实、完整;堵塞漏洞、消除隐患,防止并同时发现、纠正错误及塞漏洞、消除隐患,防止并同时发现、纠正错误及舞弊行为,保护单位资产的安全、完整;确保国家舞弊行为,保护单位资产的安全、完整;确保国家有关法律法规和单位内部规章制度的贯彻执行。有关法律法规和单位内部规章制度的贯彻执行。 基本规范基本规范中内部控制,是由企业董事会、监中内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目事会、经理层和全体员工实施的、旨在实现控制目标的过程,目标是合理保证企业经营管理合
21、法合规、标的过程,目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。营效率和效果,促进企业实现发展战略。 (五)承担内部控制责任者的变化(五)承担内部控制责任者的变化 基本规范(试行)基本规范(试行)中,单位负责人对本单位内部会计控中,单位负责人对本单位内部会计控制的建立健全及有效实施负责。制的建立健全及有效实施负责。 基本规范基本规范中,董事会负责单位内部控制的建立健全和有中,董事会负责单位内部控制的建立健全和有效实施。效实施。 (六)建立和实施内部控制原则的变化(六)建立和实施内部
22、控制原则的变化 基本规范(试行)基本规范(试行)中内部会计控制应遵循的中内部会计控制应遵循的6 6个基本原则个基本原则为:内部会计控制应当符合国家有关法律法规和本规范,以及单为:内部会计控制应当符合国家有关法律法规和本规范,以及单位的实际情况;内部会计控制应当约束单位内部涉及会计工作的位的实际情况;内部会计控制应当约束单位内部涉及会计工作的所有人员,任何个人都不得拥有超越内部会计控制的权力;内部所有人员,任何个人都不得拥有超越内部会计控制的权力;内部会计控制应当涵盖单位内部涉及会计工作的各项经济业务及相关会计控制应当涵盖单位内部涉及会计工作的各项经济业务及相关岗位,并应针对业务处理过程中的关键
23、控制点,落实到决策、执岗位,并应针对业务处理过程中的关键控制点,落实到决策、执行、监督、反馈等各个环节;内部会计控制应当保证单位内部涉行、监督、反馈等各个环节;内部会计控制应当保证单位内部涉及会计工作的机构、岗位的合理设置及其职责权限的合理划分,及会计工作的机构、岗位的合理设置及其职责权限的合理划分,坚持不相容职务相互分离,确保不同机构和岗位之间权责分明、坚持不相容职务相互分离,确保不同机构和岗位之间权责分明、相互制约、相互监督;内部会计控制应当遵循成本效益原则,以相互制约、相互监督;内部会计控制应当遵循成本效益原则,以合理的控制成本达到最佳的控制效果;内部会计控制应随着外部合理的控制成本达到
24、最佳的控制效果;内部会计控制应随着外部环境的变化、单位业务职能的调整和管理要求的提高,不断修订环境的变化、单位业务职能的调整和管理要求的提高,不断修订和完善。和完善。 基本规范基本规范中企业建立和实施内部控制,应遵循的原则为:中企业建立和实施内部控制,应遵循的原则为:全面性原则、重要性原则、制衡性原则、适应性原则、成本效益全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则。原则。 (七)内容和要素的变化(七)内容和要素的变化 基本规范(试行)基本规范(试行)中将内部会计控制的内容划分为货中将内部会计控制的内容划分为货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、币资金、实物
25、资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制。在企业销售与收款、成本费用、担保等经济业务的会计控制。在企业内部控制规范中将其作为应用指引的内容划分为内部控制规范中将其作为应用指引的内容划分为2222个方面,在个方面,在基本规范中并未提及,而是从内部控制的基本规范中并未提及,而是从内部控制的5 5个组成要素方面进个组成要素方面进行了说明,即内部环境、风险评估、控制活动、信息与沟通、行了说明,即内部环境、风险评估、控制活动、信息与沟通、内部监督。内部监督。 (八)结构的变化(八)结构的变化 基本规范(试行)基本规范(试行)中单独作为一章中说明的内部会计
26、中单独作为一章中说明的内部会计控制的方法。在控制的方法。在基本规范基本规范中作为中作为5 5个要素之一的控制活动个要素之一的控制活动中的控制措施进行了阐述,具体的内容也发生了变化。中的控制措施进行了阐述,具体的内容也发生了变化。 基本规范(试行)基本规范(试行)中内部会计控制的方法:不相容职中内部会计控制的方法:不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制、务相互分离控制、授权批准控制、会计系统控制、预算控制、财产保全控制、风险控制、内部报告控制、电子信息技术控制财产保全控制、风险控制、内部报告控制、电子信息技术控制等。等。基本规范基本规范中控制活动的控制措施一般包括:不相容职
27、中控制活动的控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。预算控制、运营分析控制和绩效考评控制等。 (九)监督权限的提高(九)监督权限的提高 基本规范(试行)基本规范(试行)中承担监督检查职责的机中承担监督检查职责的机构是国务院财政部门和县级以上地方各级人民政府财构是国务院财政部门和县级以上地方各级人民政府财政部门。政部门。 基本规范基本规范中承担监督检查职责的是国务院有关中承担监督检查职责的是国务院有关部门。部门。 (十)中介机构对企业内部控制进行审计要求的(十)中
28、介机构对企业内部控制进行审计要求的变化变化 基本规范(试行)基本规范(试行)中提出企业可以聘请中介中提出企业可以聘请中介机构或相关的专业人员对内部会计控制进行评价,并机构或相关的专业人员对内部会计控制进行评价,并对重大缺陷提出书面报告。对重大缺陷提出书面报告。 基本规范基本规范中明确接受委托的中介机构为会计中明确接受委托的中介机构为会计师事务所,并要求事务所对内部控制的有效性发表意师事务所,并要求事务所对内部控制的有效性发表意见,对上市公司的内部控制评价报告必须同时提供会见,对上市公司的内部控制评价报告必须同时提供会计师事务所出具的鉴证报告。计师事务所出具的鉴证报告。 三、重点条款解读 (一)
29、基本规范适用的范围 企业内部控制基本规范第2条规定:“本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。” (二)内部控制的目标(二)内部控制的目标 基本规范将内部控制定义为:基本规范将内部控制定义为:“ “由企业董事会、监由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的事会、经理层和全体员工实施的、旨在实现控制目标的过程。过程。” ” 基本规范将内部控制的目标归纳为基本规范将内部控制的目标归纳为5 5个方面:个方面: 1. 1.合理保证企业经营管理合法合规。合理保证企业经营管理合
30、法合规。 2. 2.合理保证企业资产安全。资产安全完整是投资者、合理保证企业资产安全。资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题,是单位债权人和其他利益相关者普遍关注的重大问题,是单位可持续发展的物质基础。良好的内部控制,应当为资产可持续发展的物质基础。良好的内部控制,应当为资产安全提供扎实的制度保障。安全提供扎实的制度保障。 3. 3.合理保证企业财务报告及相关信息真实完整。合理保证企业财务报告及相关信息真实完整。 4. 4.提高经营效率和效果。要求单位结合自身所处的提高经营效率和效果。要求单位结合自身所处的特定的经营、行业和经济环境,通过健全有效的内部控特定的经营、行业
31、和经济环境,通过健全有效的内部控制,不断提高营运活动的盈利能力和管理效率。制,不断提高营运活动的盈利能力和管理效率。 5. 5.促进企业实现发展战略。促进企业实现发展战略。 (三)内部控制的原则和实施体系 基本规范提出,建立与实施内部控制应当遵循5项原则,即全面性、重要性、制衡性、适应性和成本效益原则。同时规定了内部控制的实施体系: (1)以法制为推动。 (2)以企业实施为主体。 (3)以政府监管和社会评价为保障。为推动企业有效实施内控规范,政府有关部门应对企业建立与实施内部控制的情况进行监督检查,会计师事务所应对企业内部控制的有效性进行审计,并出具内部控制审核报告。 (四)内部控制的要素(四
32、)内部控制的要素 借鉴借鉴COSOCOSO框架,基本规范将内部控制的要素归纳框架,基本规范将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内为内部环境、风险评估、控制活动、信息与沟通、内部监督部监督5 5大方面。大方面。 (五)内部控制的执行(五)内部控制的执行 从实践看,企业在内部控制制度的设计上存在很从实践看,企业在内部控制制度的设计上存在很多问题,而制度的执行力更值得关注,制度设计缺位多问题,而制度的执行力更值得关注,制度设计缺位和执行不到位、制度执行不力、流于形式的现象比较和执行不到位、制度执行不力、流于形式的现象比较严重,因此,需要重视和着力提升企业内部控制制度严重,
33、因此,需要重视和着力提升企业内部控制制度执行力。为此需要:执行力。为此需要: 1. 1.提高制度的透明度。一要探索更容易被员工理解、提高制度的透明度。一要探索更容易被员工理解、更加透明的制度表现形式,尤其是善于使用流程图和更加透明的制度表现形式,尤其是善于使用流程图和控制表的表达方式;二是要借助网络等平台,增加制控制表的表达方式;二是要借助网络等平台,增加制度在制定和宣传上的透明度;三是做好制度的讲解辅度在制定和宣传上的透明度;三是做好制度的讲解辅导工作,使员工能够理解制度和制度执行的重要性。导工作,使员工能够理解制度和制度执行的重要性。 2. 2.强化制度执行力的考核。企业应将制度执行力强化
34、制度执行力的考核。企业应将制度执行力纳入企业内部绩效考核体系。纳入企业内部绩效考核体系。 企业内部控制基本规范企业内部控制基本规范第第8 8条规定:条规定:“ “企业企业应当建立内部控制实施的激励约束机制,将各责任应当建立内部控制实施的激励约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施。体系,促进内部控制的有效实施。” ”对制度执行情对制度执行情况的考核,关键在于考核指标的设计。况的考核,关键在于考核指标的设计。 3. 3.发挥政府部门的监管作用。发挥政府部门的监管作用。企业内部控制基企业内部控制基本规范本
35、规范第第9 9条规定:条规定:“ “国务院有关部门可以根据法国务院有关部门可以根据法律法规、本规范及其配套办法,明确贯彻实施本规律法规、本规范及其配套办法,明确贯彻实施本规范的具体要求,对企业建立与实施内部控制的情况范的具体要求,对企业建立与实施内部控制的情况进行监督检查。进行监督检查。” ” 政府监督检查的必要性政府监督检查的必要性 (1 1)内部控制的固有缺陷)内部控制的固有缺陷 内部控制只能内部控制只能“ “合理保证合理保证” ”企业目标的实现,即企业目标的实现,即企业目标达成的可能性受制于制度本身的固有缺陷。企业目标达成的可能性受制于制度本身的固有缺陷。 (2 2)企业内部监督的局限性
36、)企业内部监督的局限性 目前有很多企业主要依靠内部审计部门来对本企业目前有很多企业主要依靠内部审计部门来对本企业的内部控制的健全性、合理性和有效性进行检查和评的内部控制的健全性、合理性和有效性进行检查和评价,而有些企业的内审部门隶属于财务部门,与财务价,而有些企业的内审部门隶属于财务部门,与财务部同属一人领导,内部审计在形式上就缺乏应有的独部同属一人领导,内部审计在形式上就缺乏应有的独立性。另外,在内审的职能上,很多企业的内部审计立性。另外,在内审的职能上,很多企业的内部审计工作仅仅是审核会计账目,而在内部稽查、评价内部工作仅仅是审核会计账目,而在内部稽查、评价内部控制制度是否完善和企业内各组
37、织机构执行指定职能控制制度是否完善和企业内各组织机构执行指定职能的效率等方面,却未能充分发挥应有的作用。的效率等方面,却未能充分发挥应有的作用。 政府监督检查的开展政府监督检查的开展 需要对内部控制进行监督检查的企业包括:大中需要对内部控制进行监督检查的企业包括:大中型国有及国有控股企业(未上市)、上市公司、商业型国有及国有控股企业(未上市)、上市公司、商业银行及非银行金融机构、规模以上的民营企业等。就银行及非银行金融机构、规模以上的民营企业等。就目前而言,首先重点监督商业银行及证券公司、大型目前而言,首先重点监督商业银行及证券公司、大型国有企业(如垄断性公司)、上市公司、欠大量银行国有企业(
38、如垄断性公司)、上市公司、欠大量银行贷款的民营、私营企业。贷款的民营、私营企业。 在监督检查过程中,以下几点值得注意: (1)充分利用社会中介机构的专业力量。 (2)协调运作国家监督方式,使其形成监督合力。 (3)监督检查结束后,还应对有关单位的整改情况予以重点关注。 4.发挥社会中介机构的促进作用。企业内部控制基本规范第十条规定:“接受企业委托从事内部控制审计的会计师事务所,应当根据本规范及其配套办法和相关执业准则,对企业内部控制的有效性进行审计,出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。” (1 1)内部控制鉴证是一项专门鉴证业务)内部控制鉴证是一项专门
39、鉴证业务 注册会计师在执行财务报表审计时,注册会计师在整个审注册会计师在执行财务报表审计时,注册会计师在整个审计期间都要考虑内部控制的有效性。如果不准备审计某些领域,计期间都要考虑内部控制的有效性。如果不准备审计某些领域,则无须确定这些领域的控制风险水平。而注册会计师执行内部则无须确定这些领域的控制风险水平。而注册会计师执行内部控制鉴证业务则是一项专门鉴证业务,应当事先与委托人就内控制鉴证业务则是一项专门鉴证业务,应当事先与委托人就内部控制鉴证范围达成一致意见。凡是业务约定书确定的内部控部控制鉴证范围达成一致意见。凡是业务约定书确定的内部控制鉴证范围,注册会计师都要进行鉴证。制鉴证范围,注册会
40、计师都要进行鉴证。 (2 2)内部控制鉴证的范围限于特定日期与财务报表相关的)内部控制鉴证的范围限于特定日期与财务报表相关的内部控制内部控制 通常,注册会计师对特定日期的内部控制进行鉴证。如果通常,注册会计师对特定日期的内部控制进行鉴证。如果注册会计师对某特定期间的内部控制进行鉴证,应对该期间的注册会计师对某特定期间的内部控制进行鉴证,应对该期间的内部控制进行了解和测试,并对该期间的内部控制的有效性发内部控制进行了解和测试,并对该期间的内部控制的有效性发表鉴证意见,出具长式鉴证报告。表鉴证意见,出具长式鉴证报告。 (3 3)被鉴证单位管理层应当就内部控制的有效性提供书面)被鉴证单位管理层应当就
41、内部控制的有效性提供书面认定认定 被鉴证单位管理层就内部控制的有效性提供书面认定,其被鉴证单位管理层就内部控制的有效性提供书面认定,其作用类似于财务报表,它用于明确被鉴证单位管理建立健全内作用类似于财务报表,它用于明确被鉴证单位管理建立健全内部控制并保持其有效性的责任。部控制并保持其有效性的责任。 内部控制要素解读内部控制要素解读 重要条款解读 一、内部环境 内部环境处于内部控制五大要素之首。内部环境包含组织基调,具体内容包括:治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 内部环境的主要构成要素分析 1. 1.治理结构(是源头的问题,一开始就要把它做好)治理结构(是源头的
42、问题,一开始就要把它做好) 企业内部控制基本规范企业内部控制基本规范第第1111条明确了股东(大)会享有条明确了股东(大)会享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东筹资、投资、利润分配等重大事项的表决权。董事会对股东(大)会负责,依法行使企业的经营决策权。监事会对股东(大)会负责,依法行使企业的经营决策权。监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。经理层负责组织实施股东(大)会、董
43、事会决议事履行职责。经理层负责组织实施股东(大)会、董事会决议事项,主持企业的生产经营管理工作。治理结构是由股东大会、项,主持企业的生产经营管理工作。治理结构是由股东大会、董事会、监事会和管理层组成的,决定公司内部决策过程和利董事会、监事会和管理层组成的,决定公司内部决策过程和利益相关者参与公司治理的办法,主要作用在于协调公司内部不益相关者参与公司治理的办法,主要作用在于协调公司内部不同产权主体之间的经济利益矛盾,克服或减少代理成本。同产权主体之间的经济利益矛盾,克服或减少代理成本。 2. 2.机构设置及权责分配机构设置及权责分配 我国相关法规反映出董事会在公司管理中居于核心地位,我国相关法规
44、反映出董事会在公司管理中居于核心地位,董事会应该对公司内部控制的建立、完善和有效运行负责。监董事会应该对公司内部控制的建立、完善和有效运行负责。监事会对董事会建立与实施内部控制进行监督。公司管理层对内事会对董事会建立与实施内部控制进行监督。公司管理层对内部控制制度的有效执行承担责任,其中处于不同层级的管理者部控制制度的有效执行承担责任,其中处于不同层级的管理者掌握着不同的控制权力并承担相应的责任,同时相邻层级之间掌握着不同的控制权力并承担相应的责任,同时相邻层级之间存在着控制和被控制的关系。存在着控制和被控制的关系。 3. 3.内部审计内部审计 企业内部控制基本规范企业内部控制基本规范第第15
45、15条规定,企业应当加强内部条规定,企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报部控制重大缺陷,有权直接向董事会及其审计委员
46、会、监事会报告。告。 内部审计控制是内部控制的一种特殊形式。其范围主要包括内部审计控制是内部控制的一种特殊形式。其范围主要包括财务会计、管理会计和内部控制检查。内部审计主要具有监督、财务会计、管理会计和内部控制检查。内部审计主要具有监督、评价、控制和服务评价、控制和服务4 4种职能。其作用主要是防护性作用和建设性种职能。其作用主要是防护性作用和建设性作用,防护性作用是通过内部审计的检查和评价企业内部的各项作用,防护性作用是通过内部审计的检查和评价企业内部的各项经济活动,发现那些不利于本企业目标实现的环节和方面,防止经济活动,发现那些不利于本企业目标实现的环节和方面,防止给企业造成不良后果。建设
47、性作用是通过对审查活动的检查和评给企业造成不良后果。建设性作用是通过对审查活动的检查和评价,针对管理和控制中存在的问题和不足,提出富有建设性的意价,针对管理和控制中存在的问题和不足,提出富有建设性的意见和改进方案,从而协助企业改善经营管理,提高经济效益,以见和改进方案,从而协助企业改善经营管理,提高经济效益,以最好的方式实现组织的目标。最好的方式实现组织的目标。 4. 4.人力资源政策(良好的人力资源是企业不竭的人力资源政策(良好的人力资源是企业不竭的源泉)源泉) 良好的人力资源政策对更好地贯彻和执行内部控良好的人力资源政策对更好地贯彻和执行内部控制有很大的帮助,还能确保执行企业政策和程序的人
48、制有很大的帮助,还能确保执行企业政策和程序的人员具有胜任能力和正直品行。员具有胜任能力和正直品行。企业内部控制基本规企业内部控制基本规范范第第1616条规定,企业应当制定和实施有利于企业可条规定,企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下持续发展的人力资源政策。人力资源政策应当包括下列内容:员工的聘用、培训、辞退与辞职;员工的薪列内容:员工的聘用、培训、辞退与辞职;员工的薪酬、考核、晋升与奖惩;关键岗位员工的强制休假制酬、考核、晋升与奖惩;关键岗位员工的强制休假制度和定期岗位轮换制度;掌握国家秘密或重要商业秘度和定期岗位轮换制度;掌握国家秘密或重要商业秘密的员
49、工离岗的限制性规定;有关人力资源管理的其密的员工离岗的限制性规定;有关人力资源管理的其他政策。他政策。 从某种意义上说,企业内部控制的成效取决于员从某种意义上说,企业内部控制的成效取决于员工素质的合格程度。因为任何内部控制制度的成效取工素质的合格程度。因为任何内部控制制度的成效取决于其设计水平和高素质的人员的贯彻执行。因此,决于其设计水平和高素质的人员的贯彻执行。因此,员工素质控制是内部控制的一个重要因素。员工素质员工素质控制是内部控制的一个重要因素。员工素质控制包括企业在招聘、培训、考核、晋升与奖励等方控制包括企业在招聘、培训、考核、晋升与奖励等方面对员工素质的控制。面对员工素质的控制。 企
50、业内部控制基本规范第17条规定企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。员工素质是内部控制得以有效实施的关键所在,员工的素质控制是内部环境的重要组成部分。培训则是保证和提高员工职业素质和专业胜任能力的重要方式。培训原则主要有激励、因材施教、实践、明确目标和统筹安排、合理规划等原则。当然培训完成后,培训评估是不可缺少的环节,即依据培训目标、应用科学的评估方法来评价培训的效果,只有这样,企业才能知道培训是否达到了目的。 5.企业文化(核心价值的建立) 企业文化是一切从事经济活动的组织之中形成的组织文化,是企业在长期的经营实践中形
51、成的共同思想、作风、价值观念和行为准则,是一种具有企业个性的信念和行为方式。企业文化包含四个要素:制度文化、物质文化、行为文化、精神文化。这四者相互影响、相互作用,共同构成企业文化的完整体系。因此企业内部控制基本规范第18条明确了企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。 6.法律环境 企业如果不具有较强的法律意识,不能充分认识到法律风险的存在,并对其进行有效控制,轻则给企业带来经济损失,重则会给企业带来灭顶之灾。因此企业内部控制基本规范第19条规定企业应当加强法制教育,增强董事、监事、经理及其他高级
52、管理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。 二、风险评估 风险的由来风险的由来 “风险”一词的由来,最为普遍的一种说法是,在远古时期,以打鱼捕捞为生的渔民们,每次出海前都要祈祷,祈求神灵保佑自己能够平安归来,其中主要的祈祷内容就是让神灵保佑自己在出海时能够风平浪静、满载而归;他们在长期的捕捞实践中,深深的体会到“风”给他们带来的无法预测无法确定的危险,他们认识到,在出海捕捞打鱼的生活中,“风”即意味着“险”,因此有了“风险”一词的由来。 风险大致有两种定义:一种定义强调了风风险大致有两种定义:一种定义强调了风险表现为不确定性;而
53、另一种定义则强调风险险表现为不确定性;而另一种定义则强调风险表现为损失的不确定性。若风险表现为不确定表现为损失的不确定性。若风险表现为不确定性,说明风险只能表现出损失,没有从风险中性,说明风险只能表现出损失,没有从风险中获利的可能性,属于狭义风险。而风险表现为获利的可能性,属于狭义风险。而风险表现为损失的不确定性,说明风险产生的结果可能带损失的不确定性,说明风险产生的结果可能带来损失、获利或是无损失也无获利,属于广义来损失、获利或是无损失也无获利,属于广义风险,金融风险属于此类。风险和收益成正比,风险,金融风险属于此类。风险和收益成正比,所以一般积极性进取的偏向于高风险是为了获所以一般积极性进
54、取的偏向于高风险是为了获得更高的利润,而稳健型的投资者则着重于安得更高的利润,而稳健型的投资者则着重于安全性的考虑。全性的考虑。 风险的特点风险的特点 1 1、客观性、客观性、客观性、客观性 2 2、偶然性、偶然性、偶然性、偶然性 3 3、损害性、损害性、损害性、损害性 4 4、不确定性、不确定性、不确定性、不确定性 5 5、相对性(或可变性)相对性(或可变性)相对性(或可变性)相对性(或可变性)风险频率与风险程度风险频率与风险程度 风险频率:又称损失频率,是指一定数量的标的,风险频率:又称损失频率,是指一定数量的标的,风险频率:又称损失频率,是指一定数量的标的,风险频率:又称损失频率,是指一
55、定数量的标的,在确定的时间内发生事故的次数。在确定的时间内发生事故的次数。在确定的时间内发生事故的次数。在确定的时间内发生事故的次数。 风险程度:又称损失程度,是指每发生一次事故风险程度:又称损失程度,是指每发生一次事故风险程度:又称损失程度,是指每发生一次事故风险程度:又称损失程度,是指每发生一次事故导致标的的毁损状况,即毁损价值占被毁损标的全部导致标的的毁损状况,即毁损价值占被毁损标的全部导致标的的毁损状况,即毁损价值占被毁损标的全部导致标的的毁损状况,即毁损价值占被毁损标的全部价值的百分比。价值的百分比。价值的百分比。价值的百分比。 现实生活中二者的关系是:一般是成现实生活中二者的关系是
56、:一般是成现实生活中二者的关系是:一般是成现实生活中二者的关系是:一般是成反比,反比,反比,反比, 风险频率很高,但风险程度不大;风险频率很高,但风险程度不大;风险频率很高,但风险程度不大;风险频率很高,但风险程度不大; 风险频率不风险频率不风险频率不风险频率不高,但风险程度很大。高,但风险程度很大。高,但风险程度很大。高,但风险程度很大。 风险成本风险成本 由于风险的存在和由于风险的存在和由于风险的存在和由于风险的存在和风险事故风险事故风险事故风险事故发生后人们所必须支发生后人们所必须支发生后人们所必须支发生后人们所必须支出费用的增加和预期经济利益的减少,又称风险的代出费用的增加和预期经济利
57、益的减少,又称风险的代出费用的增加和预期经济利益的减少,又称风险的代出费用的增加和预期经济利益的减少,又称风险的代价。价。价。价。 包括风险损失的实际成本,风险损失的无形成本包括风险损失的实际成本,风险损失的无形成本包括风险损失的实际成本,风险损失的无形成本包括风险损失的实际成本,风险损失的无形成本和预防、控制风险损失的成本。和预防、控制风险损失的成本。和预防、控制风险损失的成本。和预防、控制风险损失的成本。 辨认风险,经营风险,决策过程方面(目标导向辨认风险,经营风险,决策过程方面(目标导向下的风险评估)下的风险评估) 风险评估是组织辨认和分析与目标实现有关的风风险评估是组织辨认和分析与目标
58、实现有关的风险的过程。风险评估提供了控制风险的基础。内部控险的过程。风险评估提供了控制风险的基础。内部控制中的风险评估过程必须判明企业完成既定目标存在制中的风险评估过程必须判明企业完成既定目标存在的外部风险与内部风险,分析各种风险的类型和程度。的外部风险与内部风险,分析各种风险的类型和程度。此处的风险评估是一个比较宽泛的概念,包括了风险此处的风险评估是一个比较宽泛的概念,包括了风险管理的全过程,即设置目标、风险识别、风险分析、管理的全过程,即设置目标、风险识别、风险分析、风险应对。风险应对。 (一)设置目标(一)设置目标 企业内部控制基本规范企业内部控制基本规范第第2121条规定企业开展条规定
59、企业开展风险评估,应当准确识别与实现控制目标相关的内部风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受风险和外部风险,确定相应的风险承受度。风险承受度是企业能够承担的风险限度,包括整体风险承受能度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。所以企业只有根据力和业务层面的可接受风险水平。所以企业只有根据设定的风险承受度,才能全面系统持续地收集相关信设定的风险承受度,才能全面系统持续地收集相关信息,最后结合实际情况,及时进行风险评估。息,最后结合实际情况,及时进行风险评估。 (二)风险识别 风险识别实际上是收集有关损失原因、
60、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节,主要回答的问题是:存在哪些风险,哪些风险应予以考虑,引起风险的主要因素是什么,这些风险所引起的后果及严重程度如何,风险识别的方法有哪些等。而其中企业在风险评估过程中,更应当关注引起风险的主要因素,应当准确识别与实现控制目标有关的内部风险和外部风险。 企业的内部风险因素主要有:企业的内部风险因素主要有:董事、监事、经董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。力等人力资源因素。组织机构、经营方式、资产管组织机构、经营方式、资产管理、业务流程等管
61、理因素。理、业务流程等管理因素。研究开发、技术投入、研究开发、技术投入、信息技术运用等自主创新因素。信息技术运用等自主创新因素。财务状况、经营成财务状况、经营成果、现金流量等财务因素。果、现金流量等财务因素。营运安全、员工健康、营运安全、员工健康、环境保护等安全环保因素以及其他因素。环境保护等安全环保因素以及其他因素。 企业的外部风险因素主要有:企业的外部风险因素主要有:经济形势、产业经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。政策、融资环境、市场竞争、资源供给等经济因素。法律法规、监管要求等法律因素。法律法规、监管要求等法律因素。安全稳定、文安全稳定、文化传统、社会信用、教育
62、水平、消费者行为等社会因化传统、社会信用、教育水平、消费者行为等社会因素。素。技术进步、工艺改进等科学技术因素。技术进步、工艺改进等科学技术因素。自然自然灾害、环境状况等自然环境因素以及其他因素。灾害、环境状况等自然环境因素以及其他因素。 (三)风险分析(三)风险分析 通过识别出的风险,我们应对其进行分析。为此通过识别出的风险,我们应对其进行分析。为此企业内部控制基本规范企业内部控制基本规范第第2424条规定企业应当采用条规定企业应当采用定性与定量相结合的方法,按照风险发生的可能性及定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定其影响程度等,对识别
63、的风险进行分析和排序,确定关注重点和优先控制的风险。企业进行风险分析,应关注重点和优先控制的风险。企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。规范的程序开展工作,确保风险分析结果的准确性。 (四)风险应对(四)风险应对 在风险识别和风险分析的基础上,企业就应该结在风险识别和风险分析的基础上,企业就应该结合具体的实际情况,选择合适的风险应对策略。企业合具体的实际情况,选择合适的风险应对策略。企业风险应对策略有四种基本类型:风险规避、风险降低、风险应对策略有四种基本类型:风险规避、风险
64、降低、风险分担、风险承受。因此风险分担、风险承受。因此企业内部控制基本规范企业内部控制基本规范第第2626条规定企业应当综合运用风险规避、风险降低、条规定企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的风险分担和风险承受等风险应对策略,实现对风险的有效控制。有效控制。 风险规避是企业对超出风险承受度的风险,通风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。这是控制风险的一种最彻底、和减轻损失的策略。这是控制风险的一种最彻底、最有力的措施,它与其他的控制风险方法不同,最
65、有力的措施,它与其他的控制风险方法不同,是在风险事故发生之前,将所有风险因素完全消是在风险事故发生之前,将所有风险因素完全消除,从而彻底排除某一特定风险事故发生的可能除,从而彻底排除某一特定风险事故发生的可能性,同时也是一种消极的风险应对措施,因为选性,同时也是一种消极的风险应对措施,因为选择这一策略也就放弃了可能从风险中获得的收益。择这一策略也就放弃了可能从风险中获得的收益。 风险降低是企业在权衡成本效益之后,准备采风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。这是风险管理险控制在风险
66、承受度之内的策略。这是风险管理中最积极主动也是最常见的一种处理方法,包括中最积极主动也是最常见的一种处理方法,包括两类措施:风险预防和风险抑制。两类措施:风险预防和风险抑制。 风险分担是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。其主要措施包括业务分包、保险、出售、开脱责任合同以及合同中的转移责任条款5种。 风险承受是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。这也是一种最普通、最省事的风险应对策略。 风险应对的四种策略是根据企业的风险偏好和风险承受度制定的,风险规避策略在采用其他任何风
67、险应对措施都不能将风险降低到企业风险承受度以内的情况下适用;风险降低和风险分担策略则是通过相关措施,使企业的剩余风险与企业的风险承受度相一致;风险承受则意味着风险在企业可承受范围之内。企业应该结合具体情况及时调整风险应对策略。所以企业内部控制基本规范第27条规定了企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。 三、控制活动三、控制活动 对评估的风险去应对,应对风险的措施。不要仅仅是认为会对评估的风险去应对,应对风险的措施。不要仅仅是认为会计方面的不相容职务的分离。计方面的不相容职务的分离。 企业内部控制基本规范企业内部控制基
68、本规范第第2828条明确了企业应当结合风险条明确了企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。考评控制等。 (一)不相容职务分离控制(一)不相容职务分离控制 企业内部控
69、制基本规范企业内部控制基本规范第第2929条不相容职务分离控制要求条不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。所以企业进行组织规划,首先是要对不相容职务进行分离。机制。所以企业进行组织规划,首先是要对不相容职务进行分离。 如果担任不相容职务的职工之间相互串通勾结,则不相容职如果担任不相容职务的职工之间相互串通勾结,则不相容职务分离就失去作用了。但如果企业没有适当的职务分离,则发生务分离就
70、失去作用了。但如果企业没有适当的职务分离,则发生错误和舞弊的可能性更大。错误和舞弊的可能性更大。 (二)授权审批控制(二)授权审批控制 企业内部控制基本规范企业内部控制基本规范第第3030条的规定,授权审批控制要条的规定,授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权是指企业在日常
71、经营管理活动中严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。企业各级管理人员应当在授权情况、特定条件下进行的授权。企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项,应范围内行使职权和承担责任。企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。策或者擅自改变集体决策。 授权按照其形式可分为常规授权和特别授权。常规授权是
72、企授权按照其形式可分为常规授权和特别授权。常规授权是企业在日常经营管理活动中按照既定的职责和程序进行的授权。业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是对非经常经济行为进行专门研究后作出的授权。与特别授权是对非经常经济行为进行专门研究后作出的授权。与常规授权不同,特别授权的对象是某些例外的经济业务,只涉常规授权不同,特别授权的对象是某些例外的经济业务,只涉及特定的经济业务处理的具体条件及有关具体人员。及特定的经济业务处理的具体条件及有关具体人员。 (三)会计系统控制 企业内部控制基本规范第31条会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭
73、证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。会计系统是为确认、汇总、分析、分类、记录和报告企业发生的经济业务,并保持相关资产和负债的受托责任而建立的各种会计记录手段、会计政策、会计核算程序、会计报告制度和会计档案管理制度等的总称。所以很有必要对会计系统进行相关的控制。 (四)财产保护控制 企业内部控制基本规范第32条明确了企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产的安全完整;严格限制未经授权的人员接触和处置财产。这里所述的财产主要包括企业的现金、存货以及固定资产等。它们在企业资产总额中的比重较大,是企业进行经营活动的基础,
74、因此企业应加强实物资产的保管控制,保证实物资产的安全、完整。所以就应建立安全、科学的保管制度、限制接近控制、人员牵制控制以及定期盘点、进行账实核对、财产保险等。 (五)预算控制(五)预算控制 企业内部控制基本规范企业内部控制基本规范第第3333条预算控制要求企业实施条预算控制要求企业实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。所规范预算的编制、审定、下达和执行程序,强化预算约束。所以企业通过预算控制,使得经营目标转化为各部门、各个岗位以企业通过预算控制,使得经营目标转化为
75、各部门、各个岗位以至个人的具体行为目标,作为各责任单位的约束条件,能够以至个人的具体行为目标,作为各责任单位的约束条件,能够从根本上保证企业经营目标的实现。一般来说,企业全面预算从根本上保证企业经营目标的实现。一般来说,企业全面预算体系包括经营预算、资本预算和财务预算。体系包括经营预算、资本预算和财务预算。 (六)运营分析控制(六)运营分析控制 开展运营活动分析的目的就在于把握企业经营是否向着预开展运营活动分析的目的就在于把握企业经营是否向着预算规定的目标值发展,一旦发生偏差和问题就能找出问题所在,算规定的目标值发展,一旦发生偏差和问题就能找出问题所在,并根据新的情况解决问题或修正预算。一个企
76、业的成功不仅仅并根据新的情况解决问题或修正预算。一个企业的成功不仅仅依靠安全生产、扩大销售等手段,还依靠对运营成果进行总结依靠安全生产、扩大销售等手段,还依靠对运营成果进行总结分析,因此分析,因此企业内部控制基本规范企业内部控制基本规范第第3434条规定运营分析控条规定运营分析控制要求企业建立运营情况分析控制,经理层应当综合运用生产、制要求企业建立运营情况分析控制,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的分析、趋势分析等方法,定期开展运营情况分析,发
77、现存在的问题,及时查明原因并加以改进。问题,及时查明原因并加以改进。 (七)绩效考评控制 企业内部控制基本规范第35条绩效考评控制要求企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。所以说绩效考评是一个过程,即首先明确企业要做什么(目标和计划),然后找到衡量工作做得好坏的标准进行监测,发现做得好的,进行奖励,使其继续保持或者做得更好,能够完成更高的目标。另外对发现不好的地方,通过分析找到问题所在,进行改正,使得工作做得更好。该过程就是绩效考评过程。 四、信息与沟
78、通四、信息与沟通 信息与沟通涵盖在整个过程当中。如流程的设计,信息与沟通涵盖在整个过程当中。如流程的设计,如何进行合理的安排,才能达到设计的合理。如何进行合理的安排,才能达到设计的合理。 及时、准确、完整地收集、加工、整理决策所需及时、准确、完整地收集、加工、整理决策所需的信息是管理活动的重要组成部分。为此的信息是管理活动的重要组成部分。为此企业内部企业内部控制基本规范控制基本规范第第3838条明确了企业应当建立信息与沟条明确了企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。程序,确保
79、信息及时沟通,促进内部控制有效运行。这里所提到的信息是影响企业内部环境、风险评估、这里所提到的信息是影响企业内部环境、风险评估、控制活动、内部监督等方面的信息。沟通是信息系统控制活动、内部监督等方面的信息。沟通是信息系统的一部分,是组织中的信息交流。信息交流是组织结的一部分,是组织中的信息交流。信息交流是组织结构的核心,是组织存在的基础,没有信息交流就没有构的核心,是组织存在的基础,没有信息交流就没有组织。因此信息的沟通是组织稳定的基础,对一个组组织。因此信息的沟通是组织稳定的基础,对一个组织的发展具有重要作用。织的发展具有重要作用。 (一)信息搜集(一)信息搜集 企业在进行信息搜集时应明确搜
80、集的内容、方式企业在进行信息搜集时应明确搜集的内容、方式等,所以在等,所以在企业内部控制基本规范企业内部控制基本规范第第3939条规定企条规定企业应当对收集的各种内部信息和外部信息进行合理筛业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。企业可以通过选、核对、整合,提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。企业可内部刊物、办公网络等渠道,获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、以通过行业协会组织、社会中介机构、业
81、务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。因为不同企业需要的信息存在渠道,获取外部信息。因为不同企业需要的信息存在差异,各企业对每类信息的侧重点也存在差异。因此差异,各企业对每类信息的侧重点也存在差异。因此企业应结合自身特点以及成本效益原则,选择使用适企业应结合自身特点以及成本效益原则,选择使用适合的方式搜集有价值的信息。合的方式搜集有价值的信息。 (二)信息传递(二)信息传递 企业内部控制基本规范企业内部控制基本规范第第4040条规定企业应当将条规定企业应当将内部控制相关信息在企业内部各管理级次、责任单位、内部
82、控制相关信息在企业内部各管理级次、责任单位、业务环节之间与外部投资者、债权人、客户、供应商、业务环节之间与外部投资者、债权人、客户、供应商、中介机构和监督部门等有关方面之间进行沟通和反馈。中介机构和监督部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解信息沟通过程中发现的问题,应当及时报告并加以解决。所以信息传递对于企业来说也是非常重要的,但决。所以信息传递对于企业来说也是非常重要的,但是在信息传递中往往因为管理者对信息传递的认识不是在信息传递中往往因为管理者对信息传递的认识不够或传递方式的问题,使得信息传递中存在一些问题,够或传递方式的问题,使得信息传递中存在一
83、些问题,常见的有准确性问题、完整性问题、及时性问题和安常见的有准确性问题、完整性问题、及时性问题和安全性等问题,所以针对这些问题企业就应该加强信息全性等问题,所以针对这些问题企业就应该加强信息传递过程的监督与复核、加强信息传递者和使用者的传递过程的监督与复核、加强信息传递者和使用者的知识储备、加强对信息系统的改进以及信息传递与企知识储备、加强对信息系统的改进以及信息传递与企业文化的结合。这样才能更好地为企业服务。业文化的结合。这样才能更好地为企业服务。 (三)信息共享(三)信息共享 企业的内部控制系统实质上是一个信息系统,是企业的内部控制系统实质上是一个信息系统,是一个对信息进行搜集、核对、整
84、合、传递的过程,并一个对信息进行搜集、核对、整合、传递的过程,并且通过反馈机制改进信息的搜集、处理和传递,从而且通过反馈机制改进信息的搜集、处理和传递,从而形成一个灵敏的信息沟通机制,促进内部控制目标的形成一个灵敏的信息沟通机制,促进内部控制目标的实现。信息系统的发展离不开信息技术的进步和人们实现。信息系统的发展离不开信息技术的进步和人们对信息的需求的增加,在信息化社会中,信息的需求对信息的需求的增加,在信息化社会中,信息的需求无疑会持续增加,所以企业应当提高先进信息技术的无疑会持续增加,所以企业应当提高先进信息技术的应用水平,建设和完善自身的信息系统。同时,信息应用水平,建设和完善自身的信息
85、系统。同时,信息系统又是由许多子系统组成的,为了使信息流、物流、系统又是由许多子系统组成的,为了使信息流、物流、资金流在企业内部部门之间、企业与外部机构之间充资金流在企业内部部门之间、企业与外部机构之间充分流动,企业就必须依赖信息技术搭建信息共享的平分流动,企业就必须依赖信息技术搭建信息共享的平台。因此台。因此企业内部控制基本规范企业内部控制基本规范第第4141条明确了企条明确了企业应当利用信息技术促进信息的集成与共享,充分发业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、
86、数据输入与输出、信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。系统安全稳定运行。 (四)反舞弊机制、举报人投诉制度和举报人保(四)反舞弊机制、举报人投诉制度和举报人保护制度护制度 有效的信息交流机制可以对防范以及及时发现舞弊有效的信息交流机制可以对防范以及及时发现舞弊行为起到很好的作用。行为起到很好的作用。企业内部控制基本规范企业内部控制基本规范第第4242条规定企业应当建立反舞弊机制,坚持惩防并举、条规定企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域
87、、关键重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。企业弊案件的举报、调查、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点:至少应当将下列情形作为反舞弊工作的重点:未经未经授权或者采取其他不法方式侵占、挪用企业资产,牟授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益。取不当利益。在财务会计报告和信息披露等方面存在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。在的虚假记载、误导性陈述或者重大遗漏等。董事、董事、监事
88、、经理及其他高级管理人员滥用职权。监事、经理及其他高级管理人员滥用职权。相关机相关机构或人员串通舞弊。构或人员串通舞弊。 同时企业内部控制基本规范第43条规定企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。举报投诉制度是企业内部建立的、旨在鼓励员工对企业内部涉及内部控制方面违法行为或不当行为以匿名或明示的方式进行举报、投诉,并由专门机构对举报内容进行调查处理的一系列政策、程序和方法。该制度属于内部控制框架中的信息与沟通要素,具有预防、制止和揭露组织
89、活动中的违法违规行为,保证企业各项活动的合法性和合规性的功能。 五、内部监督 内部监督是内部控制体系中不可或缺的一部分,是内部控制得到有效实施的有力保障,具有非常重要的地位。可以发现内控缺陷,改善内控体系,促进企业内部控制的健全性、合理性;提高企业内部控制施行的有效性;是外部监管的有力支撑;可以减少代理成本,保障股东的利益。为此企业内部控制基本规范第5条第5款规定内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。 企业内部控制基本规范企业内部控制基本规范第第4444条规定,内部条规定,内部监督分为日常监督和专项监督。监督分为日常监督和
90、专项监督。 日常监督是指企业对建立与实施内部控制的日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;情况进行常规、持续的监督检查; 专项监督是指在企业发展战略、组织结构、专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。些方面进行有针对性的监督检查。 专项监督的范围和频率应当根据风险评估结专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。所以一般果以及日常监督的有效性等予
91、以确定。所以一般来说,风险水平较高并且重要的控制,对其进行来说,风险水平较高并且重要的控制,对其进行专项监督检查的频率应较高。当然,如果企业的专项监督检查的频率应较高。当然,如果企业的日常监督能够有效地起到监督效果,可以减少专日常监督能够有效地起到监督效果,可以减少专项监督的频率。项监督的频率。 (二)内部控制评价(二)内部控制评价 之所以对内部控制进行评价,就是为了强化内部之所以对内部控制进行评价,就是为了强化内部控制意识,建立健全内部控制机制,严格落实各项控控制意识,建立健全内部控制机制,严格落实各项控制措施,确保内部控制体系有效运行;提高风险管理制措施,确保内部控制体系有效运行;提高风险
92、管理水平,为实现企业发展战略和经营目标提供保障;增水平,为实现企业发展战略和经营目标提供保障;增强企业业务、财务和管理信息的真实性、完整性和及强企业业务、财务和管理信息的真实性、完整性和及时性;保障企业资产的安全和完整;确保企业各项活时性;保障企业资产的安全和完整;确保企业各项活动的合法合规性;为企业的风险管理提供信息服务和动的合法合规性;为企业的风险管理提供信息服务和决策支持。所以在决策支持。所以在企业内部控制基本规范企业内部控制基本规范第第4646条条中明确企业应当结合内部监督情况,定期对内部控制中明确企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。
93、的有效性进行自我评价,出具内部控制自我评价报告。以便发现和解决内部控制过程中出现的问题。以便发现和解决内部控制过程中出现的问题。 年度评价年度评价 公司的董事会要进行自我评价。并请事务所完成公司的董事会要进行自我评价。并请事务所完成审核。审核。63 监控监控控制活动控制活动风风险险评评估估控控制制环环境境信信息息沟沟通通信信息息沟沟通通基础基础手段手段保证保证条件条件依据依据64信息与沟通信息与沟通控控 制制 环环 境境风风 险险 评评 估估控控 制制 活活 动动监监 控控 内部控制设计与评价内部控制设计与评价概述领导要重视通过ERP系统等,把内控理念固化在流程中。领导重视,领导要负责 第一节
94、内部控制设计第一节内部控制设计 一、内部控制设计的原则一、内部控制设计的原则 企业建立与实施内部控制,应当遵循下列原则:企业建立与实施内部控制,应当遵循下列原则: (一)全面性原则。内部控制应当贯穿决策、执行(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和和监督全过程,覆盖企业及其所属单位的各种业务和事项。事项。 (二)重要性原则。内部控制应当在全面控制的基(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。础上,关注重要业务事项和高风险领域。 (三)制衡性原则。内部控制应当在治理结构、机(三)制衡性原则。内部控制应当在治理
95、结构、机构设置及权责分配、业务流程等方面形成相互制约、构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。相互监督,同时兼顾运营效率。 (四)适应性原则。内部控制应当与企业经营规模、(四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。况的变化及时加以调整。 (五)成本效益原则。内部控制应当权衡实施成本(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。与预期效益,以适当的成本实现有效控制。 二、内部控制设计的程序 (一)对单位内部结构和
96、外部环境能够进行深入细致的调查。 (二)按照系统理论和方法的要求划分单位内部机构。 (三)确定所属信息活动过程中的关键环节。 (四)形成内部控制的文本规定。 三、内部控制措施三、内部控制措施 (一)不相容职务分离控制(一)不相容职务分离控制 所谓不相容职务,是指那些如果由一个人担任所谓不相容职务,是指那些如果由一个人担任既可能发生错误和舞弊行为,又可能掩盖其错误和既可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为的职务。不相容职务一般包括:授权批准舞弊行为的职务。不相容职务一般包括:授权批准与业务经办、业务经办与会计记录、会计记录与财与业务经办、业务经办与会计记录、会计记录与财产保管、业务经
97、办与稽核检查、授权批准与监督检产保管、业务经办与稽核检查、授权批准与监督检查等。对于不相容的职务如果不实行相互分离的措查等。对于不相容的职务如果不实行相互分离的措施,就容易发生舞弊等行为。不相容职务分离的核施,就容易发生舞弊等行为。不相容职务分离的核心是心是“ “内部牵制内部牵制” ”,因此,单位在设计、建立内部,因此,单位在设计、建立内部控制制度时,首先应确定哪些岗位和职务是不相容控制制度时,首先应确定哪些岗位和职务是不相容的;其次要明确规定各个机构和岗位的职责权限,的;其次要明确规定各个机构和岗位的职责权限,使不相容岗位和职务之间能够相互监督、相互制约,使不相容岗位和职务之间能够相互监督、
98、相互制约,形成有效的制衡机制。形成有效的制衡机制。 (二)授权审批控制(二)授权审批控制 授权批准是指单位在办理各项经济业务时,必授权批准是指单位在办理各项经济业务时,必须经过规定程序的授权批准。授权审批形式通常有须经过规定程序的授权批准。授权审批形式通常有常规授权和特别授权之分。常规授权是指单位在日常规授权和特别授权之分。常规授权是指单位在日常经营管理活动中按照既定的职责和程序进行的授常经营管理活动中按照既定的职责和程序进行的授权,用以规范经济业务的权力、条件和有关责任者,权,用以规范经济业务的权力、条件和有关责任者,其时效性一般较长。特别授权是指单位对办理例外其时效性一般较长。特别授权是指
99、单位对办理例外的、非常规性交易事件的权力、条件和责任的应急的、非常规性交易事件的权力、条件和责任的应急性授权。单位必须建立授权审批体系,明确:性授权。单位必须建立授权审批体系,明确: 1. 1.授权审批的范围;授权审批的范围; 2. 2.授权审批的层次;授权审批的层次; 3. 3.授权审批的程序;授权审批的程序; 4. 4.授权审批的责任。授权审批的责任。 单位对于重大业务和事项,应当实行集体决算单位对于重大业务和事项,应当实行集体决算审批或者联签制度,任何个人不得单独进行决策或审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体意见。者擅自改变集体意见。 (三)会计系统控制(三)会计系
100、统控制 会计作为一个信息系统,对内能够向管理层提供会计作为一个信息系统,对内能够向管理层提供经营管理的诸多信息,对外可以向投资者、债权人经营管理的诸多信息,对外可以向投资者、债权人等提供用于投资等决策的信息。会计系统控制主要等提供用于投资等决策的信息。会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等而进行的控济业务进行记录、归集、分类、编报等而进行的控制。其内容主要包括:制。其内容主要包括: 1. 1.依法设置会计机构,配备会计从业人员。从事依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得
101、会计从业资格证书,会会计工作的人员,必须取得会计从业资格证书,会计机构负责人应当具备会计师以上专业技术职务资计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师或者财务总监,格。大中型企业应当设置总会计师或者财务总监,设置总会计师或者财务总监的单位,不得设置与其设置总会计师或者财务总监的单位,不得设置与其职权重叠的副职。职权重叠的副职。 2.建立会计工作的岗位责任制,对会计人员进行科学合理的分工,使之相互监督和制约。 3.按照规定取得和填制原始凭证。 4.设计良好的凭证格式。 5.对凭证进行连续编号。 6.规定合理的凭证传递程序。 7.明确凭证的装订和保管手续责任。 8.
102、合理设置账户,登记会计账簿,进行复式记账。 9.按照会计法和国家统一的会计准则制度的要求编制、报送、保管财务报告。 (四)财产保护控制 财产保护控制主要包括: 1.财产记录和实物保管。关键是要妥善保管涉及资产的各种文件资料,避免记录受损、被盗、被毁。对重要的文件资料,应当留有备份,以便在遭受意外损失或毁坏时重新恢复,这在计算机处理条件下尤为重要。 2.定期盘点和账实核对。它是指定期对实物资产进行盘点,并将盘点结果与会计记录进行比较。盘点结果与会计记录如不一致,可能说明资产管理上出现错误、浪费、损失或其他不正常现象,应当分析原因、查明责任、完善管理制度。 3.限制接近。它是指严格限制未经授权的人
103、员对资产的直接接触,只有经过授权批准的人员才能接触该资产。限制接近包括限制对资产本身的接触和通过文件批准方式对资产使用或分配的间接接触。一般情况下,对货币资金、有价证券、存货等变现能力强的资产必须限制无关人员的直接接触。 (五)预算控制(五)预算控制 预算控制的内容涵盖了单位经营活动的全过预算控制的内容涵盖了单位经营活动的全过程,单位通过预算的编制和检查预算的执行情况,程,单位通过预算的编制和检查预算的执行情况,可以比较、分析内部各单位未完成预算的原因,可以比较、分析内部各单位未完成预算的原因,并对未完成预算的不良后果采取改进措施,确保并对未完成预算的不良后果采取改进措施,确保各项预算的严格执
104、行。在实际工作中,预算编制各项预算的严格执行。在实际工作中,预算编制不论采用自上而下或自下而上的方法,其决策权不论采用自上而下或自下而上的方法,其决策权都应落实在内部管理的最高层,由这一权威层次都应落实在内部管理的最高层,由这一权威层次进行决策、指挥和协调。预算确定后由各预算单进行决策、指挥和协调。预算确定后由各预算单位组织实施,并辅之以对等的权、责、利关系,位组织实施,并辅之以对等的权、责、利关系,由内部审计部门等负责监督预算的执行。预算控由内部审计部门等负责监督预算的执行。预算控制的主要环节有:制的主要环节有:1.确定预算的项目、标准和程序;2.编制和审定预算;3.预算指标的下达和责任人的
105、落实;4.预算执行的授权;5.预算执行过程的监控;6.预算差异的分析和调整;7.预算业绩的考核和奖惩。 (六)运营分析控制(六)运营分析控制 运营分析控制要求单位建立运营情况分析制运营分析控制要求单位建立运营情况分析制度,管理层应当综合运用生产、购销、投资、融度,管理层应当综合运用生产、购销、投资、融资、财务等方面的信息,通过因素分析、对比分资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。发现存在的问题,及时查明原因并加以改进。 (七)绩效考评控制(七)绩效考评控制 绩效考评控
106、制要求单位科学设置考核指标体绩效考评控制要求单位科学设置考核指标体系,对单位内部各职能部门和全体员工的业绩进系,对单位内部各职能部门和全体员工的业绩进行定期考核和客观评价,并将考评结果作为确定行定期考核和客观评价,并将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗和辞员工薪酬以及职务晋升、评优、降级、调岗和辞退等的依据。退等的依据。 此外,常用的控制方法还有:内部报告控制、此外,常用的控制方法还有:内部报告控制、复核控制、人员素质控制等。复核控制、人员素质控制等。 四、有关各方面在内部控制中的职责作用四、有关各方面在内部控制中的职责作用 (一)董事会(一)董事会 董事会是公司的常设权力
107、机构,向股东大会负责,董事会是公司的常设权力机构,向股东大会负责,实行集体领导,是股份公司的权力机构和领导管理、实行集体领导,是股份公司的权力机构和领导管理、经营决策机构,是股东大会闭会期间行使股东大会职经营决策机构,是股东大会闭会期间行使股东大会职权的权力机构。对外是公司进行经济活动的全权代表,权的权力机构。对外是公司进行经济活动的全权代表,对内是公司的组织、管理的领导机构。董事会由股东对内是公司的组织、管理的领导机构。董事会由股东大会选出的董事组成。董事一般由本公司的股东担任,大会选出的董事组成。董事一般由本公司的股东担任,也有的国家允许有管理专长的专家担任董事,以有利也有的国家允许有管理
108、专长的专家担任董事,以有利于提高管理水平。于提高管理水平。 董事会在内部控制中的重要职责表现为:科学选董事会在内部控制中的重要职责表现为:科学选择恰当的管理层并对其进行监督;清晰了解管理层实择恰当的管理层并对其进行监督;清晰了解管理层实施有效的风险管理和内部控制的范围;知道并同意单施有效的风险管理和内部控制的范围;知道并同意单位的最大风险承受能力;及时知悉最重大的风险以及位的最大风险承受能力;及时知悉最重大的风险以及管理层是否恰当地予以应对。董事会负责单位内部控管理层是否恰当地予以应对。董事会负责单位内部控制的建立健全和有效实施。制的建立健全和有效实施。 (二)审计委员会(二)审计委员会 审计
109、委员会是董事会设立的专门工作机构,主要负审计委员会是董事会设立的专门工作机构,主要负责公司内、外部审计的沟通、监督和核查工作。审计委责公司内、外部审计的沟通、监督和核查工作。审计委员会的主要职责包括:审核及监督外部审计机构是否独员会的主要职责包括:审核及监督外部审计机构是否独立客观及审计程序是否有效;就外部审计机构提供非审立客观及审计程序是否有效;就外部审计机构提供非审计服务制定政策并执行;审核公司的财务信息及其披露;计服务制定政策并执行;审核公司的财务信息及其披露;监督公司的内部审计制度及其实施;负责内部审计与外监督公司的内部审计制度及其实施;负责内部审计与外部审计之间的沟通;审查公司内部控
110、制制度对重大关联部审计之间的沟通;审查公司内部控制制度对重大关联交易进行审计。交易进行审计。 审计委员会的主要目标是督促提供有效的财务报告审计委员会的主要目标是督促提供有效的财务报告, ,并控制、识别与管理许多因素对公司财务状况带来的风并控制、识别与管理许多因素对公司财务状况带来的风险。公司面临的风险涉及竞争、环境、财务、法律、运险。公司面临的风险涉及竞争、环境、财务、法律、运营、监管、战略与技术等方面。审计委员会本身无法监营、监管、战略与技术等方面。审计委员会本身无法监管所有这些风险管所有这些风险, ,应该由各方(包括董事会其他委员会)应该由各方(包括董事会其他委员会)共同合作。共同合作。
111、审计委员会负责人应当具备相应的独立性、良好的审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。职业操守和专业胜任能力。 (三)管理层(三)管理层 管理层直接对一个单位的经营管理活动负责。总经管理层直接对一个单位的经营管理活动负责。总经理在内部控制中承担重要责任,其职责包括:为高级管理在内部控制中承担重要责任,其职责包括:为高级管理人员提供领导和指引;定期与主要职能部门(营销、理人员提供领导和指引;定期与主要职能部门(营销、生产、采购、财务、人力资源等部门)的高级管理人员生产、采购、财务、人力资源等部门)的高级管理人员进行会谈,以便对他们的职责,包括他们如何管理风险进行会谈,以
112、便对他们的职责,包括他们如何管理风险等进行核查。管理层负责组织领导单位内部控制的日常等进行核查。管理层负责组织领导单位内部控制的日常运行。运行。 (四)风险管理部门(四)风险管理部门 风险管理部门及其人员的职责包括:建立风险管理风险管理部门及其人员的职责包括:建立风险管理政策;确定各业务单元对于风险管理的权力和义务;提政策;确定各业务单元对于风险管理的权力和义务;提高整个单位的风险管理能力;指导风险管理与其他经营高整个单位的风险管理能力;指导风险管理与其他经营计划和管理活动的整合;建立一套通用的风险管理语言;计划和管理活动的整合;建立一套通用的风险管理语言;帮助管理人员制订风险管理报告规程;向
113、董事会或管理帮助管理人员制订风险管理报告规程;向董事会或管理层等报告单位风险管理进展和暴露的问题。层等报告单位风险管理进展和暴露的问题。 (五)财务部门(五)财务部门 单位的财务活动应当贯穿单位经营管理全过程。财单位的财务活动应当贯穿单位经营管理全过程。财务部门负责人在制定目标、确定战略、分析风险和作出务部门负责人在制定目标、确定战略、分析风险和作出管理等决策时应扮演一个关键的角色。管理层应当赋予管理等决策时应扮演一个关键的角色。管理层应当赋予财务部门及其负责人参与决策的权力,并支持其关注经财务部门及其负责人参与决策的权力,并支持其关注经营管理的更广范畴,局限财务负责人的关注领域和知悉营管理的
114、更广范畴,局限财务负责人的关注领域和知悉范围,会削弱、制约单位的管理能力。范围,会削弱、制约单位的管理能力。 (六)内部审计部门(六)内部审计部门 内部审计部门及其人员在评价内部控制的有效性,内部审计部门及其人员在评价内部控制的有效性,以及提出改进建议方面起着关键作用。单位应当授予内以及提出改进建议方面起着关键作用。单位应当授予内部审计部门适当的权力以确保其审计职责的履行;对内部审计部门适当的权力以确保其审计职责的履行;对内部审计部门负责人的任免应当慎重;内部审计部门负责部审计部门负责人的任免应当慎重;内部审计部门负责人与董事会及其审计委员会应保持畅通沟通;应当赋予人与董事会及其审计委员会应保
115、持畅通沟通;应当赋予内部审计部门追查异常情况的权力和提出处理处罚建议内部审计部门追查异常情况的权力和提出处理处罚建议的权力。的权力。 (七)单位员工 所有员工都在实现内部控制中承担相应职责并发挥积极作用。管理层应当重视员工的作用,并为员工反映诉求提供信息通道。 第二节内部控制制度评价 内部控制评价,是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。 企业应当根据国家有关法律法规和企业内部控制基本规范的要求,结合企业实际情况,对战略目标、经营管理的效率和效果目标、财务报告及相
116、关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。 企业实施内部控制评价,应当遵循下列原则:企业实施内部控制评价,应当遵循下列原则: (一)风险导向原则。内部控制评价应当以风险评估为基础,(一)风险导向原则。内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。环节。 (二)一致性原则。内部控制评价应当采用统一可比的评价(二)一致性原则。内部控制评价应当采用统一可
117、比的评价方法和标准,保证评价结果的可比性。方法和标准,保证评价结果的可比性。 (三)公允性原则。内部控制评价应当以事实为依据,评价(三)公允性原则。内部控制评价应当以事实为依据,评价结果应当有适当的证据支持。结果应当有适当的证据支持。 (四)独立性原则。内部控制评价机构的确定及评价工作的(四)独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。组织实施应当保持相应的独立性。 (五)成本效益原则。内部控制评价应当以适当的成本实现(五)成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。科学有效的评价。 企业董事会及其审计委员会负责领导本企业的内部控制评企业董事会
118、及其审计委员会负责领导本企业的内部控制评价工作。监事会对董事会实施内部控制评价进行监督。企业可价工作。监事会对董事会实施内部控制评价进行监督。企业可以授权内部审计部门负责组织和实施内部控制评价工作。具备以授权内部审计部门负责组织和实施内部控制评价工作。具备条件的企业,可以设立专门的内部控制评价机构。条件的企业,可以设立专门的内部控制评价机构。 一、内部控制评价内容一、内部控制评价内容 (一)企业应当对与实现整体控制目标相关的内部(一)企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针
119、对性的评价。评等内部控制要素进行全面系统、有针对性的评价。评价内容包括但不限于:价内容包括但不限于: 1. 1.单位组织结构中的职责分工的健全状况。单位组织结构中的职责分工的健全状况。 2. 2.各项内部控制制度及相关措施是否健全、规范,各项内部控制制度及相关措施是否健全、规范,是否与单位内部的组织管理相吻合。是否与单位内部的组织管理相吻合。 3. 3.各项工作中的业务处理与记录程序是否规范、经各项工作中的业务处理与记录程序是否规范、经济,其执行是否有效。济,其执行是否有效。 4. 4.各项业务工作中的授权、批准、执行、记录、核各项业务工作中的授权、批准、执行、记录、核对、报告等手续是否完备。
120、对、报告等手续是否完备。 5. 5.各岗位的职权划分是否符合不相容岗位相互分离各岗位的职权划分是否符合不相容岗位相互分离的原则,其职权履行是否得到有效控制。的原则,其职权履行是否得到有效控制。 6. 6.是否有严格的岗位责任制度和奖惩制度。是否有严格的岗位责任制度和奖惩制度。 7.关键控制点是否均有必要的控制措施,其措施是否有效执行。 8.内部控制制度在执行中受管理层的影响程度。 企业实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价。内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。 企业应当根
121、据企业内部控制基本规范及其应用指引的有关规定,建立与实施内部控制,并以此为依据和标准组织开展内部控制评价工作。 (二)企业集团对被评价单位内部控制的有效性(二)企业集团对被评价单位内部控制的有效性进行评价,应当至少涉及下列内容:进行评价,应当至少涉及下列内容: 1. 1.被评价单位内部控制是否在风险评估的基础上被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的涵盖了企业层面的风险和所有重要的业务流程层面的风险。风险。 2. 2.被评价单位内部控制设计的方法是否适当,内被评价单位内部控制设计的方法是否适当,内部控制建设的时间进度安排是否科学、阶段性工作要部控制
122、建设的时间进度安排是否科学、阶段性工作要求是否合理。求是否合理。 3. 3.被评价单位内部控制设计和运行的组织是否有被评价单位内部控制设计和运行的组织是否有效,人员配备、职责分工和授权是否合理。效,人员配备、职责分工和授权是否合理。 4. 4.被评价单位是否开展内部控制自查并上报有关被评价单位是否开展内部控制自查并上报有关自查报告。自查报告。 5. 5.被评价单位是否建立有利于促进内部控制各项被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。政策措施落实和问题整改的机制。 6. 6.被评价单位在评价期间是否出现过重大风险事被评价单位在评价期间是否出现过重大风险事故等。故等。
123、 二、内部控制评价程序二、内部控制评价程序 企业应当按照制定评价方案、实施评价活动、编企业应当按照制定评价方案、实施评价活动、编制评价报告等程序开展内部控制评价。制评价报告等程序开展内部控制评价。 内部控制评价机构应当根据审批通过的评价方案内部控制评价机构应当根据审批通过的评价方案组织实施内部控制评价工作,通过适当的方法收集、组织实施内部控制评价工作,通过适当的方法收集、确认、分析相关信息,确定与实现整体控制目标相关确认、分析相关信息,确定与实现整体控制目标相关的风险及细化控制目标,并在此基础上辨识与细化控的风险及细化控制目标,并在此基础上辨识与细化控制目标相对应的控制活动,然后针对控制活动进
124、行必制目标相对应的控制活动,然后针对控制活动进行必要的测试,获取充分、相关、可靠的证据对内部控制要的测试,获取充分、相关、可靠的证据对内部控制的有效性进行评价,并做出书面记录。的有效性进行评价,并做出书面记录。 (一)建立内部控制评价机构。(一)建立内部控制评价机构。 企业应根据单位的经营规模、机构设置、经营性企业应根据单位的经营规模、机构设置、经营性质、制度状况等设置评价机构,并考虑以下原则:质、制度状况等设置评价机构,并考虑以下原则: 1. 1.能独立行使对内部控制系统建立与运行过程及结能独立行使对内部控制系统建立与运行过程及结果进行监督的权力。果进行监督的权力。 2. 2.具备与监督和评
125、价内部控制系统相适应的胜任能具备与监督和评价内部控制系统相适应的胜任能力和权威性。力和权威性。 3.与单位其他职能机构就监督与评价内部控制系统方面应是协调一致的,在工作中能够相互配合、相互制约、相互促进。 4.在效率上能够满足单位对内部控制系统进行监督与评价所提出的有关要求。 5.能够得到单位负责人的支持,并采取有效措施保证内部控制系统评价工作的有效开展。 内部控制评价机构应当根据企业整体控制目标,制定内部控制评价工作方案,明确评价目的、范围、组织、标准、方法、进度安排和费用预算等内容,报管理层和董事会审批。 (二)对内部控制制度的建立和执行情况进行调查。(二)对内部控制制度的建立和执行情况进
126、行调查。 通过审阅相关的规章制度、现场询问有关人员、实通过审阅相关的规章制度、现场询问有关人员、实地观察等调查了解内部控制制度的建立和执行的详细情地观察等调查了解内部控制制度的建立和执行的详细情况,并作出初步评价。况,并作出初步评价。 (三)对内部控制制度进行测试。(三)对内部控制制度进行测试。 内部控制评价范围的确定应当遵循风险导向、自上内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。重点是测定内部控制各个组重点业务领域或流程环节。重点是测定内部控制各个组成部分是否按规定的
127、控制步骤、方法运行,测试各控制成部分是否按规定的控制步骤、方法运行,测试各控制环节运行与其内容是否相符,检查各控制环节和控制点环节运行与其内容是否相符,检查各控制环节和控制点的内容、程序、方法等是否正常运行以及相互之间的协的内容、程序、方法等是否正常运行以及相互之间的协调配合情况等。调配合情况等。 内部控制测试的方法主要包括: 1.个别访谈法。是指企业根据检查评价需要,对被查单位员工进行单独访谈,以获取有关信息。 2.调查问卷法。是指企业设置问卷调查表,分别对不同层次的员工进行问卷调查,根据调查结果对相关项目作出评价。 3.比较分析法。是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的
128、方法。 4.标杆法。是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。 5. 5.穿行测试法。是指通过抽取一份全过程的文件,穿行测试法。是指通过抽取一份全过程的文件,来了解整个业务流程执行情况的评估评价方法。来了解整个业务流程执行情况的评估评价方法。 6. 6.抽样法。是指企业针对具体的内部控制业务流程,抽样法。是指企业针对具体的内部控制业务流程,按照业务发生频率及固有风险的高低,从确定的抽样按照业务发生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而对业务流程控制
129、运行的有效性作出性进行判断,进而对业务流程控制运行的有效性作出评价。评价。 7. 7.实地查验法。是指企业对财产进行盘点、清查,实地查验法。是指企业对财产进行盘点、清查,以及对存货出、入库等控制环节进行现场查验。以及对存货出、入库等控制环节进行现场查验。 8. 8.重新执行法。是指通过对某一控制活动全过程的重新执行法。是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。重新执行来评估控制执行情况的方法。 9. 9.专题讨论会法。是指通过召集与业务流程相关的专题讨论会法。是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论管理人员就业务流程的特定项目或具体问题进
130、行讨论及评估的一种方法。及评估的一种方法。 (四)对内部控制制度进行评价。 主要是对内部控制中具体问题,特别是对差错、浪费、损失、非授权使用或滥用职权等敏感问题进行评价,找出失控的原因,提出相应的改进、补救措施。 企业应当根据通过评估和测试获取与内部控制有效性相关的证据,并合理保证证据的充分性和适当性。证据的充分性是指获取证据的数量应当能合理保证相关控制的有效;证据的适当性是指获取的证据应当与相关控制的设计与运行有关,并能可靠地反映控制的实际运行状况。 企业应当根据所收集的证据,判断相关控制的设计与运行是否有效。企业在判断内部控制设计与运行有效性时,应当充分考虑下列因素: 1.是否针对风险设置
131、了合理的细化控制目标; 2.是否针对细化控制目标设置了对应的控制活动; 3.相关控制活动是如何运行的; 4.相关控制活动是否得到了持续一致的运行; 5.实施相关控制活动的人员是否具备必需的权限和能力。 企业在内部控制评价中,应对内部控制缺陷进行企业在内部控制评价中,应对内部控制缺陷进行分类分析。内部控制缺陷一般可分为设计缺陷和运行分类分析。内部控制缺陷一般可分为设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控缺陷。设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当、即使正常运行也难以实制,或现存控制设计不适当、即使正常运行也难以实现控制目标;运行缺陷是指现存设计完好的
132、控制没有现控制目标;运行缺陷是指现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。胜任能力以有效地实施控制。 企业对内部控制评价过程中发现的问题,应当从企业对内部控制评价过程中发现的问题,应当从定量和定性等方面进行衡量,判断是否构成内部控制定量和定性等方面进行衡量,判断是否构成内部控制缺陷。存在下列情况之一,企业应当认定内部控制存缺陷。存在下列情况之一,企业应当认定内部控制存在设计或运行缺陷:在设计或运行缺陷: 1. 1.未实现规定的控制目标;未实现规定的控制目标; 2. 2.未执行规定的控制活动;未执行
133、规定的控制活动; 3. 3.突破规定的权限;突破规定的权限; 4. 4.不能及时提供控制运行有效的相关证据。不能及时提供控制运行有效的相关证据。 (五)编写内部控制评价报告。 主要说明内部控制程序是否符合国家有关规定,是否符合单位管理方针和政策,是否满足单位经营管理的需要,是否有利于单位经营目标的实现,内部控制制度在运行中存在的漏洞或缺陷,改进的措施及具体计划和进度安排等。 企业应当结合年末控制缺陷的整改结果,编制年度内部控制评价报告。内部控制评价报告至少应当包括下列内容: 1.内部控制评价的目的和责任主体; 2.内部控制评价的内容和所依据的标准; 3.内部控制评价的程序和所采用的方法; 4.
134、 4.衡量重大缺陷严重偏离的定义,以及确定严重衡量重大缺陷严重偏离的定义,以及确定严重偏离的方法;偏离的方法; 5. 5.被评估的内部控制整体目标是否有效的结论;被评估的内部控制整体目标是否有效的结论; 6. 6.被评估的内部控制整体目标如果无效,存在的被评估的内部控制整体目标如果无效,存在的重大缺陷及其可能的影响;重大缺陷及其可能的影响; 7. 7.造成重大缺陷的原因及相关责任人;造成重大缺陷的原因及相关责任人; 8. 8.所有在评估过程中发现的控制缺陷,以及针对所有在评估过程中发现的控制缺陷,以及针对这些缺陷的补救措施及补救措施的实施计划等。这些缺陷的补救措施及补救措施的实施计划等。 企业
135、可以根据被评估的整体控制目标的不同,适企业可以根据被评估的整体控制目标的不同,适当调整评价报告的内容。在评价报告中明确财务报表当调整评价报告的内容。在评价报告中明确财务报表日之后截至内部控制评价日发生的、可能影响财务报日之后截至内部控制评价日发生的、可能影响财务报告控制目标有效性的所有重大变化。告控制目标有效性的所有重大变化。 企业定期对内部控制整体有效性进行评价、出具评价报告,并向董事会、监事会和管理层报告内部控制设计与运行环节存在的主要问题以及将要采取的整改措施,并将内部控制评价报告作为进一步完善内部控制、提高经营管理水平和风险防范能力的重要依据。企业对于内部控制评价报告中列示的问题,应当采取适当的措施进行改进,并追究相关人员的责任,管理层和董事会应当根据评价结论对相关单位、部门或人员实施适当的奖励和惩戒。
