企业内部控制建设方案-内控实操案例解析.ppt

加强内部控制是市场及企业自身发展的要求企业内部控制建设指导方案,控制失败案件回放-国外-安然事件,美国安然能源公司，一个居世界500强第7，2000年营业规模过千亿元，让世人赫然的能源巨人，几乎在一瞬间倒塌了，它溅起碎片使得美国的政治领袖和经济巨头们不得不报头规避。,控制失败案件回放-国外-巴林银行,疏于监管巴林终酿大祸：巴林巨额亏损面临破产的消息一经传出，全球金融市场为之震动，正如传媒所形容的，犹如一场“金融地震”。,控制失败案件回放-国内-郑百文,郑百文跌落发出的警示：,控制失败案件回放-国内-四川长虹,控制失败案件回放-更多,内部控制失败的后果,竞争失败（企业由于竞争的失败会遭受诸多的不利）,经营中断（企业目标无法实现）,法律诉讼（给企业带来经济和信誉损失）,商业欺诈（给企业带来经济损失）,无益开支（企业收益能力下降 利润水平下降）,资产损失（动摇持续经营能力）,决策失误（企业倒闭）,内部控制失败的原因,内部控制失败的原因,二、内部控制方面：,1、企业没有建立基本的内部控制-实践中不多2、企业建立了一定的内部控制，但不系统、不完善-部分企业3、企业虽建立健全了内部控制，但执行不力，形同虚设-部分企业（1）由于控制环境缺失，内控执行不力（2）由于工具手段落后，内控执行不力4、企业虽建立了内部控制，但缺乏考核评价机制-多数企业（制度设计、执行、考核评价）,结论：健全有效的内部控制迫在眉睫！严格按内控制度行事任重道远！,国际-萨班斯法案,1、法案颁布的背景,安然，世通等知名公司相继暴露出严重的管理层欺诈丑闻，使美国上市公司深陷信用危机。会计系统的漏洞、管理层的失职、内部控制的缺乏以及外部审计人员的道德风险是导致管理层欺诈丑闻的根本原因。重建公司信用，规范高级管理层与注册会计师关系和职业道德的要求刻不容缓。2002年6月，布什总统签署的萨班斯奥克斯利法案正式生效，该 法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，故简称萨班斯奥克斯利法案/2002年上市公司会计改革和投资者保护法。,国际-萨班斯法案,2、法案颁布的目的,萨班斯法案的出台目的就是要重建公司信用，培育公众信心，振兴证券市场。具体包括：,加强公司监管，规范业务运作。增加财务报告与信息披露的透明度。确保公司管理层可以从有效监控的系统中获取重要信息公司管理层必须对美国证券管理委员会要求存档的材料 和向投资者公布的信息承担责任。,国际-萨班斯法案,3、法案的主要内容,国际-萨班斯法案,4、第302节 公司对财务报告的责任,要求公司首要官员及首要财务官在季度/年度报告中保证 对信息披露的控制和程序负责（含刑事责任）设计必要的内部控制手段并确保其执行可使高层及时获得重要信息 对披露控制的有效性进行评估，评估结果需存档 不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为 存档描述内部控制的重大变化介绍信息披露的控制和程序 强调财务人员的正直和财务报告系统控制的完整性 需披露的非财务信息包括：重要合同的签署，战略合作关系的解除以及法律诉讼美国证券管理委员会要求扩大信息披露的控制和财务报告系统内部控制程序的认证将内控评估日改为财务报告截止日,国际-萨班斯法案,5、第404节 管理层对内部控制的评价,要求公司管理层在年度报告中 描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任 对财务报告系统内部控制有效性以一个公认架构进行评估（例如COSO内控架构）同时要求外部审计人员 对管理层评估结果进行监证美国证券管理委员会要求扩大信息披露的控制和财务报告系统内部控制程序的认证将内控评估日改为财务报告截止日,国际-萨班斯法案,6、调整后的萨班斯法案404认证时间表,国际-萨班斯法案,7、管理层的责任-评估财务报告内部控制的有效性,公司财务报告系统内部控制报告书的规定：-必须申述下列情况以评估公司内部控制程序 管理层承认对公司内部控制的有效性负有责任 公司必须使用适当的控制标准（例如COSO)来评估内部控制的有效性 公司必须提供充分的证据来支持其评估结果 公司必须书面记录与提交其对内部控制有效性的评估结论需要提供下列证据和文件来支持评估结论 评估需要包括分支机构和业务单元的认定 重要内部控制的认定 重要内部控制程序的设计 控制实施的有效性 内控之重大失败和/或重大缺陷的认定 评估结果,国际-萨班斯法案,8、法案404条款对公司董事会和管理层提出了巨大的挑战,需要投入大量的时间和资源，以确保合规公司管理层必须每年评估并报告其对财务报告的内部控制的 有效性外部审计师必须对公司管理层有关其财务报告的内部控制的 有效性的评估结果出具审计师意见应评估汇报这个新的信息披露对市场的影响公司董事会和审计委员会对管理层制定和执行404条款的计 划的程序、发现和改进工作进行监督。,国际-萨班斯法案,萨班斯法案是美国针对资本市场的信任危机问题出台的法律文件；对在美国上市的公众公司必须提供真实可靠的财务报告从法律上提出要求和约束。,中国企业：海外上市公司：应当按照萨班斯法案及coso内部控制框架等先进的内部控制理论和规范完善内部控制体系并做出评价。国内上市公司及未上市公司：应根据企业实际情况，依据国内证券交易所及财政部颁布的一系列规范来建立健全内部控制体系。,总结：中国企业应正确对待萨班斯法案,萨班斯法案旨在加强在美国上市公司的内部控制建设和监控。萨班斯法案从法律的高度规定了企业内部控制的责任人、应承担的责任、对内部控制的监督评价机制以及应向公众提供的证明其内部控制有效性的资料。它是一种外部监控手段！与企业内部控制建设的其它目标并不矛盾！,国际-coso-内部控制整体框架,Coso内部控制框架的诞生,反虚假财务报告委员会（Treadway委员会）成立于1985年反虚假财务报告委员会在1987年签署了报告号召研究并制定一个统一的内部控制框架1992年9月颁布内部控制整合框架2003年签署“COSO企业风险管理”草案2004年颁布企业风险管理整体框架,最为广泛认可的针对内部控制整合框架的国际标准,国际-coso-内部控制整体框架,Coso内部控制框架的基本内容,内部控制的定义和目标：内部控制是一个靠组织的董事会、管理层和其他员工去实现的过程，实现这一过程是为了合理的保证：（三大目标）经营的效率性和效果性财务报告的可靠性法律法规的遵循性,内部控制的要素（五个要素）：控制环境、风险评估、控制活动、信息与沟通和监督。,国际-coso-内部控制整体框架,监 督,信息与沟通,控制活动,风险评估,控制环境,法律法规的遵循性,财务报告的可靠性,经营的效果和效率,五大要素,不同层面,三方面目标,控制目标、控制要素和组织结构关系图,事业部1,业务部门1,业务部门2,国际-coso-内部控制整体框架,要素1-控制环境,控制环境是所有其他内部控制组成部分的基础要素它由反映最高管理当局、董事和企业所有者对控制以及控制对企业 重要性的全面态度的各种行为、政策和程序组成,国际-coso-内部控制整体框架,要素2-风险评估,企业必须了解它所面临的风险，并加以控制。即设立可辨识、分析和管理 相关风险的机制风险评估就是分析和辨识为实现企业目标所可能发生的风险。关注点：公司层面的目标业务活动层面的目标风险应对变化,国际-coso-内部控制整体框架,企业必须基于风险评估的结果订立控制风险的政策及程序，并予以执行。（这里的政策和程序即所说的控制活动，是确保管理阶层的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。）通常可以按业务分别进行制定。关注点：针对企业的每项业务都要有必要和恰当的政策和程序 确定控制活动被适当的实施,要素3-控制活动,国际-coso-内部控制整体框架,要素4-信息与沟通,信息与沟通的核心内容为：决定哪类信息是实现控制目标所需要的，以及以何种形式去交流信息可以帮助员工履行自己的职责信息与沟通贯穿在风险评估和控制活动过程中，对其它四个构成要素起到支持的作用,内部信息资料,信息,怎么告诉？,应该做什么？,标准是什么？,过程是什么？,可能发生什么？,发生了怎么办？,做了吗？,怎么做的？,发生了什么？,结果怎么样？,原因是什么？,告诉给谁？,沟通,外部信息资料,要素5-监督,国际-coso-内部控制整体框架,整个内部控制的执行过程必须被监督确保内部控制制度随情况的改变而做出动态的反应应建立检查和报告体系,监督是谁的职责：管理层对内部控制执行情况进行持续监督内部审计部门应进行定期、不定期的个别评估,关注点：持续监控-在日常运作过程中独立评估-对内部控制的重新审视报告缺陷-内控缺陷应该应向管理层和董事会汇报,国际-coso-全面风险管理框架,与内部控制整体框架相比的重大突破,国际-coso-全面风险管理框架,对COSO内部控制框架的认识,COSO内部控制及风险管理框架均是对企业内部控制及风险管理健全性及有效性的评价标准！是企业建立健全内部控制的基本标准和规范！是企业建立健全内部控制体系的指导框架！但并没有提供企业建立健全内部控制的具体内容和方法！,中国企业：海外上市公司：应当以coso内部控制框架/风险管理框架为标准完善企业内部控制的建设、执行和评价。国内上市公司及未上市公司：应根据企业实际情况，依据国内证券交易所及财政部颁布的一系列规范，可以采用Coso控制框架进行内控建设，也可分阶段分要素逐步建设及完善。,总结：中国企业应正确对待COSO框架,我国内部控制与企业风险管理的发展,对内控的关注始于1997年中国人行印发的加强金融机构内部控制的指导原则。2004年12月25日商业银行内部控制评价试行办法较美国SOX近20多年的出台过程，中国IC体系的发展在2005年10月以后快速形成，高密度的法规出台，在全球实属罕见。2005年10月，中国证监会出台关于提高上市公司质量意见，随之，国务院对该意见进行批转。这是国务院首次就上市公司工作批转发布文件，速度之快也让业界感受到高层对此的重视。中国证监会2006年2月3日正式颁布并实施上市公司信息披露管理办法，首次明确上市公司必须建立信息披露内部管理制度，从而将相关方的信息披露义务上升到了一个全新的高度。2006年5月17日，中国证券监督管理委员会发布第32号令首次公开发行股票并上市管理办法。该办法第29条规定“发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告”。这是中国首次对上市公司内部控制提出具体的要求。2006年6月5日，上交所出台上市公司内部控制指引，要求上市公司建立内部控制体系，自2006年7月1日全面执行。2006年6月6日，国务院国资委也发布了中央企业全面风险管理指引。为加强央企内部控制和风险管理，国资委正在积极制定中央企业内部控制管理办法、中央企业内部控制评价办法、中央企业资产损失责任追究管理办法等系列政策，并将于2007年陆续出台。2006年9月28日，深交所出台上市公司内部控制指引，敦促上市公司建立健全内部控制制度，并从2007年7月1日正式执行。2006年7月15日，财政部选择美国萨班斯法案对中国在美上市企业生效的日子，发起成立了“企业内部控制标准委员会”（CICSC）；中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。这些都标志着中国内部控制体系已经走到了最关键的时期。2007年3月2日，CICSC发布18项企业内部控制规范征求意见稿。中国即将拥有自己的“SOX”,我国内部控制相关法规-已经颁布,我国内部控制相关法规-已经颁布,我国内部控制相关法规-正在制定,目标：3-5年，基本建立一套以防范风险和控制舞弊为中心，以控制标准和评价标准为主体的内部控制制度体系。规划：包括一项基本规范、26项具体规范和应用指南。进展：已经完成17项内控具体规范的的征求意见稿，9项正在抓紧研究起草之中。,财政部：企业内部控制规范,我国内部控制相关法规-正在制定,上述法律文件的颁布均表明中国监管层对上市公司内部控制建设由提倡向明确要求的转变。证交所、国资委及财政部颁布的一系列法规中，均直接借鉴了sox法案及coso框架的内容，并逐渐提高执行的强制性和严格性！在今后制定过程中，还可能根据中国企业现状进行修订！由于企业千差万别，因此政府无法出台一套标准具体的企业内部控制制度，而只能以指引/评价标准的方式颁布规范！,中国企业：海外上市的公司：可以coso内部控制框架/风险管理框架为标准完善企业内部控制的建设、执行和评价。国内上市公司及未上市公司：可以财政部颁布的企业内控规范为标准，比较企业内控建设现状，找出差距，在第三方的指导下进行内控体系的完善。,总结：中国内部控制的法规、规范正在制定和颁布中！,对我国内部控制法规的认识,从法规出台引发的思考,各国政府出台法规强制要求企业必须保证其内部控制的合理和有效-外部监管,中国企业建立健全内部控制的目的是什么？,中国企业如何建立健全内部控制体系并有效执行？遵循何种法规或标准？,推动内部控制建设的合理分工,中国企业内部控制的建设及完善,中国企业建立健全内部控制的目的,中国企业如何建立健全内部控制？遵循何种法规或标准？,企业内部控制体系的建设,一、企业内部控制体系建设理论前提,二、企业内部控制体系的建设业务循环控制,三、企业内部控制的执行内控的实质,四、企业内部控制的监督评价内控的保障,企业内部控制体系的建设-理论前提,企业内部控制的定义,内部控制绝对不是：静态的结构某一层次人员的任务（例如：高级管理层）某一部门的任务（例如：财务、内部审计）某一实体的任务（例如：总部、省级公司）内部控制是：内部控制是一个靠组织的董事会、管理层和其他员工去实现的过 程，实现这一过程是为了合理的保证：经营的效果性和效率性；财务报告的可信性；对法律和规章制度的遵循性。,企业内部控制体系建设的目标,高层目标：满足企业战略和持续发展的目标。中层目标：改善经营管理，提高企业经营效率和管理效果。最低目标：（1）规范单位会计行为，保证会计资料真实、完整，提高会计信息质量。（从出资方/企业内部/企业集团角度）（2）堵塞漏洞，消除隐患，防止并及时发现和纠正各种欺诈、舞弊行为，保护单位财产的安全完整。（3）保证财务活动的合法性。（4）保证国家法律法规的遵守执行。,企业内部控制体系的建设-理论前提,企业内部控制体系的建设-理论前提,企业内部控制的指导原则,一、建立内部控制体系的指导原则1、合规性原则企业在制定内部控制制度时，必须遵循国家有关法律法规2、健全性原则企业内部控制系统必须规范各项经济活动，涵盖对人、财、物的全方位管理3、适用性原则企业制定何种内部控制制度以及包含哪些内容要取决于企业经营的环境和特点4、可行性原则要明确、便于操作和运行5、有效性原则企业应定期检查内部控制制度的执行情况，保证执行的有效性6、成本效益原则企业力争以最小的控制成本取得最大的控制效果,企业内部控制体系的建设-理论前提,企业内部控制的指导原则,二、设计和实施内部控制的原则1、相关牵制原则一项完整的经济业务，必须分配给具有相关制约关系的两个或两个以上的职位分别完成。2、协调配合原则在各项经营管理活动中，各部门或人员必须相互配合，各岗位和环节都应协调同步，各项业务程序和办理手续需要紧密衔接。3、程式定位原则企业单位应该根据各岗位业务性质和人员要求，相应的赋予作业任务和职责权限，规定操作规程和处理手续，明确纪律规则和检查标准，以使职、责、权、利相结合。4、审慎独立性原则公司的各机构、部门和岗位职能上必须保持独立性。内部控制制度的规定要以审慎经营、防范和化解风险为出发点。,企业内部控制体系的建设-理论前提,企业内部控制的管理流程,内部控制制度的设计,确定企业组织结构,进行职责权限划分,制定业务流程手册,内部控制的执行,内部控制的监督评价,确定审计范围,内部控制测试,内部控制评价,提供评价证据,出具内控评价报告,内部控制改善建议,企业内部控制体系的建设-理论前提,内部控制的基本方法,1、组织结构控制包括法人治理结构和组织管理结构2、授权批准控制内部控制要求企业的一切经营活动必须经过授权批准才 允许进行3、文件记录控制包括管理文件和会计记录文件4、全面预算控制现代企业内部控制离不开预算控制5、实物保全控制限制接触、定期盘点、记录监控、财产保险6、风险评估控制通过风险预警、识别、分析、评估、报告等措施对经营 风险和财务风险进行防范与控制7、员工素质控制对人的控制是第一位的控制8、内部报告控制报告是企业重要的信息载体与沟通手段9、内部审计控制对内部控制的设计及运行进行监督和评价10、计算机信息技术控制,企业内部控制体系的建设-理论前提,企业内部控制体系的构成内容-版本1,版本一（与国际基本趋同）全面控制框架1、概述2、控制环境3、风险管理4、控制活动5、信息与沟通6、内部监督,控制环境1、公司治理结构2、组织结构3、职业道德4、胜任能力5、经营理念6、人力资源,风险管理1、目标确定2、风险识别3、风险分析4、风险评估5、风险反应6、风险应变,企业内部控制体系的建设-理论前提,企业内部控制体系的构成内容,内部监督1、持续监督2、独立评估3、缺陷报告,企业内部控制体系的建设-理论前提,企业内部控制体系的构成内容-版本2,版本二（未完全与国际趋同）1、内部控制的定义2、公司内部控制现状3、内部控制体系的建设目的4、内部控制体系的内容5、内部控制的方法,企业内部控制体系的建设,一、企业内部控制体系的建设理论前提,二、企业内部控制体系的建设业务循环控制,三、企业内部控制的执行内控的实质,四、企业内部控制的监督平价内控的保障,企业内部控制体系的建设-业务循环控制,销售与收款循环内部控制制度,一、销售与收款业务中存在的风险：1、经营风险（1）随意降价导致收入减少；（2）擅自提价导致市场丢失；（3）赊销失控导致坏账增加或货款不能及时回笼；（4）货物发出不符合销售管理规定；（5）未经审核，擅自变更产品销售合同标准文件中涉及权力、义务的条款导致的风险。2、财务风险（1）虚增和截留收入；（2）多记或少记应收帐款；（3）销售收入计算错误；（4）会计科目核算错误；（5）货款回笼误入帐户；（6）应收帐款核算及帐龄分析不准确。3、合规风险（1）违反相关规定和市场规律，导致遭受处罚或损失；（2）产品销售合同不符合合同法等国家法律、法规和公司内部规章和制度的要求，造成损失。,企业内部控制体系的建设-业务循环控制,二、销售与收款内部控制的目标1、保证商品安全完整 应从货物的开票、交付发运、运输等环节确保商品的安全完整，避免商品在运输过程中发生遗失或毁损等。2、保证销售业务顺畅有效的运行 销售控制应使各业务环节、各部门间能互相核对、稽查，及时发现和纠正错误和舞弊行为。3、保证货款的及时收回及货币资金的安全与完整 计算货款应该准确、结算货款应该及时、清理货款应该有力度，以确保货款及时完整的回收，加速资金流转。对收到的现金应及时送存银行，确保其安全与完整。防止收到现金不入账等现象的发生。4、确保销售与收款业务的真实与合法 各项销售业务应符合国家的有关规定，保证其合法性。同时，对销售业务活动的有关会计记录要做到客观、真实与完整。5、保证销售退回、折扣与折让手续齐备，记录真实、完整,企业内部控制体系的建设-业务循环控制,三、职责分工控制,企业内部控制体系的建设-业务循环控制,三、职责分工控制,四、销售价格的控制 1、销售定价的控制 2、销售价格执行控制五、客户信用管理控制 1、客户档案的控制 2、客户授信的确定及修改控制 3、客户信用执行的控制六、销售合同的控制七、销售业务流程的控制 1、日常销售业务流程的控制 2、现金销售业务流程的控制八、销售退回的控制九、收款的控制,企业内部控制体系的建设-业务循环控制,企业内部控制体系的建设-业务循环控制,七、传统日常销售业务流程控制控制流程,企业内部控制体系的建设-业务循环控制,七、传统日常销售业务流程控制控制目标,1、保证客户需求信息的准确性和真实性。2、保证承接的订单与公司生产能力一致。3、保证销售给符合规定的客户（价格、信用等），保证公司资产安全。4、保证发票的开具合规合法。5、保证发票的内容准确、与合同相符。6、保证发票及时开具并准确传递给客户。7、保证发票与发货单、销售订单信息一致。,企业内部控制体系的建设-业务循环控制,七、传统日常销售业务流程控制关键控制点,1、当客户需求量达到一定金额时，业务员要取得客户书面确认的销售订单。2、销售部门负责人审核销售订单要素，包括：价格、质量、规格、交货时间等。3、如果价格超过公司指导价格，需要执行特殊的审批流程。4、对于赊销业务，须由财务部专人审核客户的信用余额，当超过信用额度不足时，或者终止订单，或者执行特殊的审批流程。5、销售部需要确定库存量和生产能力是否充足，必要时与生产部、仓储部共同审核。6、根据客户需求信息，发出发货通知单。7、财务人员定期按照经客户确认的提货单及合同价开具销售发票，汇总核对后，报财务部门审核、入账，销售部同时登记销售台账。8、收入会计与开票人员必须分离。9、业务人员定期到财务处领取发票，并在发票领用单上签字确认。10、业务员定期将发票送至客户，并要求客户确认签收。11、财务人员定期核对客户确认签收单，对差异及长期未收回的签收单进行调查。12、月末应将销售订单、发货单、出库单、发票进行核对；销售帐簿与财务帐核对。,企业内部控制体系的建设,一、企业内部控制体系的建设理论前提,二、企业内部控制体系的建设业务循环控制,三、企业内部控制的执行内控的实质,四、企业内部控制的监督平价内控的保障,多数中国企业存在内部控制的执行问题！仅有健全的内部控制制度，而不能保障其执行的有效性纸上谈兵！,确保内部控制执行有效性的方法：,1、加强企业内部控制环境的建设,2、IT手段及管理信息系统已经成为企业内部控制执行的必备工具,3、建立企业内部控制监督及考评机制是内部控制得以贯彻执行的保障。,企业内部控制的执行-内控的实质,企业内部控制体系的建设,一、企业内部控制体系的建设理论前提,二、企业内部控制体系的建设业务循环控制,三、企业内部控制的执行内控的实质,四、企业内部控制的监督评价内控的保障,企业内部控制的监督评价-评价标准,企业内部控制评价的标准：,内部控制的完整性内部控制的合理性内部控制的有效性,企业内部控制评价的内容：,遵循coso内部控制5要素遵循coso风险管理8要素遵循中国的内部控制规范。,企业内部控制的评价程序：,确定被评价单位内部控制系统的标准模式调查被评价单位内部控制系统的现状 评价单位内部控制制度的健全性测试被评价单位内部控制的有效性对内部控制制度的综合评价,企业内部控制的监督评价-评价程序,企业内部控制评价特别是大型集团企业内部控制的评价离不开信息系统的支持！,