风险管理主要框架分析和比较课件.ppt

风险管理主要框架分析和比较,目录,1,2,3,两个框架的比较分析,4,6,企业风险管理框架,内部控制整合框架,内部控制的历史演进,40年代前,70年代前,90年代,内部牵制,内部控制整体框架,内部控制制度,80年代,内部控制结构,一、内部控制的概念及历史演变过程,1.内部控制的发展过程,90年代,企业风险管理框架,第一阶段：内部牵制（Internal check) 20世纪40年代前内部控制的萌芽主要特点：以查错防弊为目的。以职务分离和账务核对为方法。以钱、账、物等会计事项为主要控制对象。,二、内部控制的概念及历史演变过程,第一阶段：内部牵制(Internal check) 内部牵制基于以下两个基本设想：（1）两个或两个以上的人或部门无意识的犯同样错误的机会是很小的；（2）两个或两个以上的人或部门有意识的合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。实践证明这些设想是合理的，内部牵制机制却是有效的减少了错误和舞弊行为，因此在现代内部控制理论中，内部牵制仍占重要的地位，成为有关组织机构控制、职务分离控制的基础。,二、内部控制的概念及历史演变过程,第一阶段：内部牵制(Internal check)阶段特点：内部牵制是以不相容职务分离为主要内容的流程设计，是内部控制的最初形式和基本形态。,第一阶段：内部牵制(Internal check) 内部牵制的表现形式实物牵制：由两个以上人员共同掌管必要的实物工具，共同完成一定程序的牵制。机械牵制：只有按照正确的程序操作机械，才能完成一定过程的操作。要求按牵制的原则进行程序设置，而且要求所有的业务活动都要建立切实可行的办理程序。制度牵制：不相容职务相分离。对于每一项经济业务的处理，都要求有二人或二人以上共同分工负责，以相互牵制，互相制约。通过组织分工来实现。簿记牵制：原始凭证与记账凭证、会计凭证与账簿、账簿与账簿、账簿与会计报表之间核对。,第二阶段：内部控制制度(Internal Control) 20世纪40年代至70年代初1936年AICPA发布的注册会计师对财务报表的审查文告中，内部控制一词作为审计术语最早出现。1949年美国审计程序委员会（CPA）发布报告：内部控制：系统协调的制度要素及其对管理层与注册会计师的重要性 ，首次对内部控制给出了权威性定义。,二、内部控制的概念及历史演变过程,“内部控制包括一个企业内部为保护财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理方针而采取的组织机构的设计和所有相互协调的方法与措施。”“该定义可能要比这个术语所包含的意义来得更广泛，它承认一个内部控制制度已超出了直接与会计和财务部门有关的内容范畴。”,1958年，美国审计程序委员会公告第29号，重新表述了内控的定义，将内部控制划分为内部会计控制和内部管理控制（制度二分法）会计控制：与财产安全和财务记录及其可靠性有直接联系。包括如授权批准制度、从事财务记录和簿记与从事经营或财产保管职务分离的控制，财产的实物控制和内部审计。管理控制：主要与经营效率和贯彻管理方针有关，通常只与财务记录有间接的关系。包括如统计分析、业绩报告、雇员培训计划和质量控制。,美国注册会计师协会审计准则委员会于1972年12月公布审计准则公告第1号(SAS1)，对内部控制定义如下：管理控制包括（但不限于）组织规划以及管理当局进行经济业务授权的决策过程有关的程序和记录。这种授权是与完成该组织目标的职责直接有关的一种管理职能，是对经济业务建立会计控制的起点。会计控制包括组织规划以及与保护财产安全和财务报表可靠性有关的程序和记录，因此它在设计上应能合理保证：1.按管理当局的一般授权或特殊授权处理各项经济业务。2.经济业务的记录必须做到：编制财务报表要遵循公认会计原则，或适用于这些报表的其他标准，保持资产会计责任的记录。3.只有经管理当局授权才能接近资产。4.在一定的间隔期间，将账面载明的资产要和实存资产进行核对，对发生的任何差异采取适当的措施。,最高审计机关国际组织（International Organization Of Supreme Audit Institutions）1986年发表的总声明：“内部控制作为完整的财务和其他控制体系，包括组织结构、方法程序和内部审计。”,国际内部审计师协会（IIA）在1947年首次将内部审计定义为：“内部审计是建立在审查财务、会计和经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务，处理财务与会计问题，有时也涉及经营管理中的问题”。1957年，IIA针对当时内部审计实践的变化，在第一次定义的基础上将内部审计的职能扩大为“为管理提供服务，是一种衡量、评价其他控制有效性的管理控制”。1971年，IIA对内部审计的第三次定义为：“内部审计是建立在审查经营活动基础上的独立评价活动，并为管理提供服务，是一种衡量、评价其它控制有效性的管理控制”。1978年，IIA对内部审计的第四次定义为：“内部审计是建立在组织内部为组织服务的独立评价活动。”1990年，IIA对内部审计的第五次定义为：“内部审计是在一个组织内部建立的一种独立评价职能，目的是作为对该组织的一种服务工作，对其活动进行审查和评价。,1993年，IIA对内部审计的第六次定义为：“内部审计是在一个组织内部建立的一种独立评价活动，并作为对该组织的活动进行审查和评价的一种服务。内部审计的目的是协助该组织的管理成员有效地履行他们的职责。为此，内部审计向他们提供与所审查的活动有关的分析、评价、建议、忠告和资料。内部审计的目的是促进有效地控制成本费用。”1999年IIA对内部审计的第七次定义为：“内部审计是一种独立、客观的确认和咨询活动，旨在为增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改进风险管理、控制和治理过程的效果，帮助组织实现其目标。” ” 从IIA的七次定义的变化可以发现，人们对内部审计的职能的认识从监督、评价再拓展到服务，从管理活动定位到控制活动，再到价值活动，其服务对象也越来越广，从简单的财务、会计活动延伸到了企业的经营活动。,阶段特点：将内部控制分为内部会计控制和内部管理控制。前者着眼于保护猜测安全及会计记录的可靠性，后者着眼于经营效率及确保贯彻既定的管理政策。,第三阶段：内部控制结构(Internal Control Structure) 20世纪70年代-90年代初（三要素） 1988年美国注册会计师协会发布审计准则公告第55号，首次以“内部控制结构” 代替 “内部控制”，指出 “企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”。 内部控制结构包括：控制环境、会计制度、控制程序。,二、内部控制的概念及历史演变过程,控制环境（环境保证)：是对企业控制的建立和实施有重大影响的一组因素的统称。 会计系统（核心)：是指公司为汇总、分析、分类、记录、报告业务处理的各种方法和记录。控制程序（运行机制)：是指为合理保证公司目标实现而建立的政策和程序。,阶段特点：1、控制环境被纳入内部控制的范围2、兼与会计控制与管理控制的不可分割线，不再区分会计控制和管理控制而同一以要素来表达。,第四阶段：内部控制整体框架 （一定义、三目标、五要素）(Internal Control一Integrated Framework ),二、内部控制的概念及历史演变过程,COSO定义的内部控制是：内部控制是由公司董事会、管理层和其他有关人员实施，为达到以下目标提供合理保证而设计的程序(COSO及美国审计准则第319条):,二、内部控制的概念及历史演变过程,内部控制被定义为一个过程.由组织的董事会、管理层和其它人员共同实施被设计以提供合理保证.有关以下目标的实现： 经营的效果(做对的事DO the right things)和效率(把事情做好Do the things right) 财务报告的可靠性 法律和法规的遵从性,过程内部控制并不是一个事项或一种情形，而是渗透到主体的活动中的一系列行为。在组织中的各个单元或职能之内或跨组织单元或职能而实施的经营过程，都是通过规划、执行和监控等基本的管理过程来加以管理的。内部控制使这些过程得以推行，并对他们的实施和持续的关联性进行监控。嵌入式的控制有助于降低成本和缩短反应时间。,人员内部控制是由主体的董事会、管理层和其他人员实施的。人员制定主体的目标，并将控制机制付诸实施。同时，内部控制也会影响人员的行动。人们必须知道他们的责任和权限。人员需要把他们所承担的责任与他们履行这些责任的方式，以及企业的目标明确而密切的联系起来。董事主要提供监督，但是也提供指导，并审批特定的交易和政策。董事会是内部控制的一个重要元素。,合理保证目标实现的可能性受到所有内部控制都存在的固有局限的影响：决策中的人为判断可能是错误的负责建立控制的人员需要考虑相应的成本和效益可能会由于简单的误差或错误等人为失误而发生故障控制会因为两个或更多人的串通而被规避管理层具有凌驾于内部控制体系之上的能力,合理保证,目标主体的目标通常被分为三类：经营(operation)目标与主体资源利用的有效性和效率有关财务报告(financial reporting)目标与编制可靠的公开财务报表有关合规(compliance)目标与主体符合适用的法律和法规有关以上三类目标互相区别又彼此交叉，根据不同的需要，可能是不同管理人员的直接责任。内部控制可以对财务报告目标与合规目标的实现提供合理保证；但对经营目标而言，内部控制只能就管理层以及履行监督职能的董事会及时了解该主体朝着它们迈进的程度进行合理保证。,控制环境（基础）风险评估（依据）控制活动 （手段）信息与沟通（载体）监督（保证）,内部控制整合框架(五要素),COSO内控框架五要素,最为广泛认可的内部控制整体框架国际标准,28,COSO控制框架：控制环境,控制环境确定影响员工控制意识的组织的“基调”。,例如：目标的实现是行政人员人事管理计划的关键部分。明确和定期的沟通以及高级行政人员个人承诺将努力建立“高级管理层的基调”。有高层管理人员对各种情形负责，以表示这个项目的重要性业务管理层和高级管理层之间的会议加强了信息共享和问题解决的紧迫性。内部审计的参与反应了高级管理层的关注和控制能力。管理层决策反应了其对适当的控制环境的承诺。,29,COSO控制框架：风险评估,风险评估是指识别和分析影响目标实现的风险，帮助确定如何进行风险管理。,例如：评估未实现目标的风险并确定高风险领域。制定改进计划以控制高风险领域。并且风险评估应该被及时更新。如果适当的话，未实现目标的风险应该与成本（包括潜在惩罚、公众形象等）平衡。所有级别的管理层都应该参与风险识别和目标确定。,30,COSO 控制框架：控制活动,控制活动是指为保证采取适当行动以控制与组织目标实现相关的风险而制定的政策和程序。,控制目标包括：完整性：所有的信息被输入并处理，且仅被处理一次。准确性：信息（包括静态数据）被正确的输入和处理.有效性：交易和更新经过适当的人员的授权和批准。存在有效的源文件以支持交易。接触的限制：只有适当的人员可以对信息进行修改。公司资产被适当的保护，以防止被窃或滥用。,31,相关的信息应该被确定和适当地沟通以保证员工承担其责任并采取适当的行动。,COSO控制框架：信息与沟通,例如：信息共享，例如通过组织内各个级别的管理人员的沟通，建立一种共同责任的意识。管理层明确定义每名员工的责任并向他们沟通。建立管理层内部和与外部各方的适当的定期沟通的流程。建立目标和标准以衡量和督促及时采取改进行动。,32,COSO 控制框架：监控,监控是不断评估内部控制系统质量的流程，包括日常管理和监管活动。,例如：负责人明确的定义并定期的审核与其职责相联系的重要事件及其时间进程以保证计划被适当的执行，以及是否采取了适当的改进行动（如果需要）。高级管理层要求相关负责人员进行进度评估以确定负责人员是否考虑了风险和改进机会。定期对内部控制环境进行独立评估。,内部控制的构成要素,34,内部控制成熟性模型,信息处理和信息生成的可靠性和完整性,错误或错报的风险,最优化的内部控制,阶段5,不可依赖的内部控制,阶段1,非正式的内部控制,阶段2,标准化的内部控制,阶段3,受监控的内部控制,阶段4,理论贡献,1.营造了一个可以共同理解的概念平台，有力地促进了内部控制思想的沟通和交流。2.提供了一套完整的内部控制评价标准。3.首次将内部控制从平面结构发展为立体框架结构。4.提出内部控制的本质是合理保证实现特定目标的过程。5.首次将风险评估、信息与沟通作为基本构成要素引入内部控制领域。6.对环境与人的重要性的强调前所未有。,第五阶段：企业风险管理整合框架（一个定义、四项目标、八种要素） 2004年，COSO 委员会已经认识到对企业风险管理概念性指南的需要，因而该委员会发起了一个建立一个概念性的、适当的风险管理框架(Enterprise Risk Management Framework )的计划，旨在支持企业建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。定义：企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。,二、内部控制的概念及历史演变过程,风险管理四项目标,与高层次的目的相关，协调并支撑主体的目标,与利用主体资源的有效性和效率相关,与主体报告的可靠性相关,经营目标,战略目标,报告目标,合规目标,与主体符合适用的法律和法规相关,风险管理框架包括八大要素：由内部控制转向风险管理内部环境目标设定事项识别风险评估风险反映控制活动信息与沟通监控,企业风险管理整合框架阶段,39,企业风险管理整合框架：内部环境,管理层确立关于风险的理念，并确定风险容量。内部环境为主体中的人们如何看待风险和着手控制确立基础，所以企业的核心都是人他们的个人品性，包括诚信、道德价值观和胜任能力以及经营所处的环境。,40,企业风险管理整合框架：目标制定,必须现有目标，管理层才能识别影响他们的实现的潜在事项。企业风险管理确保管理层采取恰当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相一致。,41,企业风险管理整合框架：事项识别,必须识别可能对主体产生影响的潜在事项。事项识别涉及到从影响目标实现的内部或外部原因中识别潜在的事项。它包括区分代表风险的事项和代表机会的事项，以及可能两者兼有的事项。机会被反馈到管理层的战略或目标制定过程中。,42,企业风险管理整合框架：风险评估,例如,要对识别的风险进行分析，以便形成确定应该如何对它们进行管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。,43,企业风险管理整合框架：风险反映,例如,员工识别和评价可能的风险应对，包括回避、承担、降低和分担风险。管理层选择一系列措施使风险与风险主体的风险容限和风险容量相协调。,44,企业风险管理整合框架：控制活动,制定和实施政策与程序以帮助确保管理层所选择的风险应对得以有效实施。,45,企业风险管理整合框架：信息与沟通,例如,相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。主体的各个层级都需要借助信息来识别。评估和应对风险。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。员工获得有关他们的职能和责任的清晰的沟通。,46,企业风险管理整合框架：监督,对企业风险管理进行全面监控，必要时加以修正，通过这种方式，他能够动态的反映，各级条件的要求而变化。监控通过持续的管理活动、对企业风险管理的专门或者两者相结合完成。,两个框架的比较分析,（一）联系1.从发展时序上企业风险管理框架是对内部控制整合框架的重要拓展和延伸，它包含了内部控制整合框架的范围和内容。2.在目标上企业风险管理框架涵盖了内部控制整合框架中的经营效率效果、财务报告和合法性三个目标。3. 在内容上企业风险管理框架的八要素包括了内部控制整合框架中的五个要素。4.在企业管理实践上内部控制是基础，风险管理只是建立在内部控制基础之上的、具有更高层次和更有综合意义的控制活动。如果离开良好的内部控制系统，所谓的风险管理只能是一句空话而已。需要说明的是，企业风险管理框架虽然较晚于内部控制整体框架产生，但是它并不是要完全替代内部控制整合框架。,两个框架的比较分析,（二）区别概括地看，相对于内部控制整合框架而言，企业风险管理框架新增加了一个观念、一个目标、两个概念和三个要素：1.提出一个新的观念风险组合观2.增加一类目标战略目标，并扩大了报告目标的范畴。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。,两个框架的比较分析,3. 针对风险度量提出两个新概念风险偏好、风险容忍度风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。风险容忍度是指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。,4增加了三个风险管理要素（，对其他要素的分析更加深入，范围上也有所扩大.,（三）从内部控制整合框架到企业风险管理框架的演进，凸显了内部控制理论发展的四大导向：第一，内部控制内涵的拓展强化了内部控制理论发展的风险导向。第二，内部控制目标层次的提高反映了内部控制理论发展的战略导向。第三，内部控制要素的扩展强化了内部控制理论的“目标风险控制”导向。第四，内部控制的责任划分与重心上移体现了内部控制理论发展的公司治理导向。,小结：内部控制发展阶段,2001,2002,2003,CombinedCode,HIH保险公司One.Tel,安然,萨班斯奥克斯利法案,世通 Qwest,Code of Corporate Governance,国际内部控制的发展与最新趋势,2004,2005,2006,公司治理 守则,第9号法案审计改革和公司信息披露法案,企业管治常规守则,内部控制规范,2007,Financial Instruments and Exchange Law,二、内部控制的概念及历史演变过程,案例,2003年3月被揭发的美国男方保健公司会计舞弊，主要发生于1996年第二季度到2002年第三季度，涉案总金额高达27亿美元。使男方保健成为仅次于世界通信的第二大“会计造假大王”2002年8月，南方保健的CEO和CFO按照萨班斯奥克斯利法案的要求，宣誓他们想SEC提交的2002年第二季度的财务资料真实可靠。宣誓后，欧文斯寝食不安。2003年3月18日，不堪重负的欧文斯终于向法院自首，供出南方保健的会计造假黑幕。,在萨班斯法案震慑下，已畏罪自首的南方保健前任和现任高管人员多达11名（其中包括前后五任CFO），超过了安然舞弊案（7名高管人员涉案）和世界通讯舞弊案（5名高管人员涉案）。然而，经过有5位前CFO和其他相关人员出庭作证，美国司法部门对南方保健CEO的指控仍以失败告终。2003年6月28日，陪审团一致裁定所以罪名不成立，法官当庭宣告被告无罪。陪审团的无罪裁决震惊了美国各界，让很多人怀疑萨班斯法案的威慑作用。南方保健的会计舞弊被揭发后，股价跌到14美元，二1998年的股价最高达到38美元，投资者损失惨重。,我国企业内部控制基本规范,内部牵制阶段,会计控制阶段,全面控制阶段,1,2,3,一、我国内部控制的发展过程,（一）第一阶段是内部牵制。这一时期计划经济占主导地位，二十世纪七十年代末至八十年代，内部牵制更加受到重视。1、1978年9月12日，国务院颁布会计人员职权条例。2、1984年4月24日，财政部发布会计人员工作规则。3、1985年1月21日，第六届全国人民代表大会常务委员会第九次会议通过中华人民共和国会计法，重申了会计岗位责任制的要求。,二、会计控制阶段： 1、1996年6月17日，财政部发布会计基础工作规范，要求各单位进一步建立健全包括但不限于内部牵制制度的内部会计管理制度。 2、1999年修订的会计法，第一次以法律的形式对建立健全内部控制提出原则要求。3、财政部随后制定发布了内部会计控制规范基本规范（试行）和内部会计控制规范货币资金（试行）等7项内部会计控制规范，要求单位加强内部会计及与会计相关的控制，形成完善的内部牵制和监督制约机制，以堵塞漏洞、消除隐患，保护财产安全，防止舞弊行为，促进经济活动健康发展。,三、全面控制阶段： 进入21世纪，随着世界范围的企业合并、资本国际化、贸易壁垒的逐渐消失和金融市场的一体化，内部控制日益成为一个世界性话题，单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向全面控制发展。企业需要站在发展全局的角度，全方位加强内部控制制度体系建设，为深化企业改革、加强经营管理、提高企业抗风险能力和可持续发展能力提供技术支持。,中国内部控制的发展,2006,(财政部)企业内部控制鉴证指引企业内部控制评价指引企业内部控制应用指引 (征求意见稿),(上交所/深交所)内部控制指引,(国资委)中央企业全面风险管理指引,2007,(财政部)企业内部控制规范-基本规范(征求意见稿),2008,(财政部)企业内部控制基本规范,（保监会）寿险公司内部控制评价办法（试行）,保险公司内部审计指引（试行）保险公司风险管理指引（试行）,(证监会）上市公司信息披露管理办法,（银监会）银行业金融机构信息系统风险管理的指引,（银监会）商业银行内部控制指引,（银监会)商业银行合规风险管理指引,（证监会）证券公司风险控制指标管理办法,（证监会）证券公司合规管理试行规定,（证监会）证券公司监督管理条例,（银监会）商业银行操作风险管理指引,1.企业健康发展迫切呼唤加强内部控制。 近年来，通过联合重组、合并兼并、主辅分离等行之有效的改革措施，我国大中型企业的整体素质、运行质量、创新能力和国际竞争力有了大幅度提升。但同时各种潜在的风险也日益显现，因内部控制缺失或失效引发的巨额资产损失、财务舞弊、会计造假、经营失败、破产倒闭等案例时有发生。 事实证明，在我国经济快速增长的背景下，内部控制尽管不是万能的，但没有内部控制是万万不能的。只有建立和实施科学的内控体系，才能提升风险防范能力，实现企业可持续发展战略。,二、企业内部控制基本规范的出台背景,（一）制定企业内部控制规范的必要性,2.国际资本市场大力强化内部控制。 安然、世通等财务舞弊和会计造假案件的发生，严重冲击了美国乃至国际资本市场的正常秩序。研究结果表明，内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。为此，许多国家通过立法强化企业内部控制，内部控制日益成为企业进入资本市场的“入门证”和“通行证”，我国境外上市企业纷纷花巨资聘请海外机构设计内部控制制度，以适应上市地的监管要求。贯彻中央“走出去”战略，促进我国企业进入国际市场、参与国际竞争，必须建立与实施严格的内部控制体系。,二、企业内部控制基本规范的出台背景,3.公司治理与内部控制是当今世界企业发展永恒的主题，世界各国都在为此积极探索，作出应有的贡献。美国: 2002年萨班斯-奥克斯利法案，其中302、404条款中对强化企业内部控制提出了严格要求。 科索COSO委员会1992年发布了内部控制整合框架，2004年发布企业风险管理整合框架。英国: 英格兰与威尔士特许会计师协会发布了内部控制关于“联合规则”的董事指南。,二、企业内部控制基本规范的出台背景,法国: 商法和金融证券法对公司财务报告内部控制程序作出规定，金融市场管理局制定了内部控制条例参考框架。日本：2006年6月颁布了金融机构与交易法，金融服务局发布了财务报告内部控制评估与审计准则和评估与审计财务报告内部控制的应用准则。中国：由财政部等五个主要政府监管部门以法规形式联合发布基本规范。,二、企业内部控制基本规范的出台背景,1、2004年底和2005年6月，国务院领导同志连续就强化企业内部控制问题作出重要批示，明确要求“由财政部牵头，联合证监会及国资委，积极研究制定一套完整公认的企业内部控制指引”。2005年7月，财政部会计司，中国证监会会计部、上市部和国资委企业改革局等召开联席会议，研究贯彻落实国务院领导批示精神、加快推进企业内部控制制度建设相关事宜。,二、企业内部控制基本规范的出台背景,（二）企业内部控制基本规范的制定过程,2、2006年7月15日，根据国务院领导的有关批示，财政部、国资委、证监会、审计署、银监会、保监会等部门联合发起成立企业内部控制标准委员会，下设8个咨询专家组，开始研究制定一套具有统一性、公认性和科学性的企业内部控制规范。 （2008年8月，为更广泛地吸收社会各界精英人才加入企业内部控制规范制定工作，财政部开始对第一届企业内部控制标准委员会委员和咨询专家进行调整。）,二、企业内部控制基本规范的出台背景,3、为了配合企业内部控制标准体系建设，财政部组织开展多项内控课题研究，为建立健全我国内控标准体系提供理论和决策支持。2008年通过中国会计学会立项的内控科研课题达30余项。4、在此基础上，2007年研究起草了企业内部控制规范基本规范和17项内部控制具体规范（征求意见稿），初步确定内控基本目标和标准框架体系。,二、企业内部控制基本规范的出台背景,5、2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范，是我国企业内部控制建设的一个重要里程碑。,二、企业内部控制基本规范的出台背景,同时，企业内部控制评价指引、应用指引、鉴证指引（征求意见稿）也一并公布，公开征求意见。标志着以基本规范为统领，以评价指引、应用指引和鉴证指引等配套办法为补充的企业内部控制标准体系初步形成。 1、基本规范规定内部控制的基本目标、基本要素、基本原则和总体要求，是制定具体规范的基本依据，在内控标准体系中起统驭作用。 2、应用指引是根据基本规范，对企业办理具体业务与事项从内部控制角度作出的具体规定。 3、评价指引：企业内部控制自我评价。 4、鉴证指引：外部审计师进行内控审计。,二、企业内部控制基本规范的出台背景,三、企业内部控制基本规范的主要内容,五个目标五个原则五个要素总计五十条五部委,“五个五”,第一章 总则,（三）财务报告及相关信息真实完整；,（四）提高经营效率和效果；,（五）促进企业实现发展战略。,（一）合理保证企业经营管理合法合规；,内部控制是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程：,控制目标,（二）资产安全；,第三条,内部控制的定义与目标,三、企业内部控制基本规范的主要内容,（一）全面性原则,（二）重要性原则,（四）适应性原则,（五）成本效益原则,企业建立与实施内部控制，应当遵循：,（三）制衡性原则,实施内部控制应当遵循的原则：,第四条,第一章 总则,三、企业内部控制基本规范的主要内容,基本规范中所描述的内部控制五要素：,内部环境,风险评估,控制活动,信息与沟通,内部监督,合 规,经 营,战 略,财 务,公司层面,业务单元,子公司,业务分部,第五条,第一章 总则,三、企业内部控制基本规范的主要内容,资产安全,治理结构机构设置及权责分配内部审计人力资源政策企业文化等,内部环境 内部环境是实施内部控制的基础，一般包括：,三、企业内部控制基本规范的主要内容,风险评估,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。,控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。,控制措施一般包括：不相容职务相互分离控制授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制,控制活动,三、企业内部控制基本规范的主要内容,信息与沟通是及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业外部之间进行有效沟通。重要信息应当及时传递给董事会、监事会和经理层。,信息与沟通,三、企业内部控制基本规范的主要内容,日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。,内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。内部监督分为日常监督和专项监督：,内部监督,三、企业内部控制基本规范的主要内容,企业实施基本规范考虑的内部因素：,第六条,企业应当根据有关法律法规、本规范及其配套办法，制定本企业的内部控制制度并组织实施。,第一章 总则,三、企业内部控制基本规范的主要内容,我国企业内部控制标准框架体系,企业实施基本规范考虑的内部因素：,企业应当运用信息技术加强内部控制，建立与经营管理相适 应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。,第八条,企业应当建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。,第一章 总则,三、企业内部控制基本规范的主要内容,企业实施基本规范考虑的外部因素：,接受企业委托从事内部控制审计的会计师事务所，应当根据 本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。,第九条,国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻实施本规范的具体要求，对企业建立与实施内部控制的情况进行监督检查。,第一章 总则,三、企业内部控制基本规范的主要内容,内部环境是实施内部控制的基础，在基本规范中主要包括以下 几点：,规范的公司治理结构和议事规则；机构设置及权责分配；审计委员会；内部审计；人力资源政策；企业文化建设；法律顾问制度及重大法律纠纷案件备案制度。,第二章 内部环境,三、企业内部控制基本规范的主要内容,建立规范的公司治理结构和议事规则,股东大会行使企业经营方针、筹资、投资、利润分配等重大事项的表决权,董事会对股东大会负责，依法行使企业的经营决策权,监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责,经理层负责组织实施股东（大）会、董事会决议事项，支持企业的生产经营管理工作。,表决权,决策权,经营管理,监督,第十一条,第二章 内部环境,三、企业内部控制基本规范的主要内容,内部控制的建立与实施,第十二条,第二章 内部环境,三、企业内部控制基本规范的主要内容,在董事会下设立独立的审计委员会。审计委员会成员的必备条件：,审计委员会,第十三条,广泛的商业经验；理解审计人员的角色；熟悉企业财务、会计和审计等方面专业知识并具备相应业务能力。,审计委员会负责人应该具备的条件：,独立性；良好的职业操守；专业胜任能力。,审计委员会成员应该具备的条件：,第二章 内部环境,三、企业内部控制基本规范的主要内容,第十六条,第二章 内部环境,三、企业内部控制基本规范的主要内容,职业道德修养及专业胜任能力,职业道德修养及专业胜任能力作为选拔和聘用员工的重要标准；加强员工培训和继续教育；提升员工素质；高级管理人员发挥主导作用，加强企业文化建设；建立并贯彻员工行为守则。,第十七条,第二章 内部环境,三、企业内部控制基本规范的主要内容,企业文化建设,高级管理人员发挥核心主导作用：管理层基调和态度是公司道德规范和文化环境建设的基础。培养积极向上的价值观和责任感；倡导诚实守信、爱岗敬业、开拓创新和团队协作精神；树立现代管理理念；强化风险意识；建立并贯彻员工行为守则。,第十八条,第二章 内部环境,三、企业内部控制基本规范的主要内容,法律顾问,作为上市公司，必须接受国家和证券监管部门颁布的法律法规监管，这是市场经济法则的客观要求，为达到这些目标，企业应当：加强法制教育；增强董事、监事、经理及其他高级管理人员和员工的法律观念；严格依法决策、依法办事、依法监督；建立健全法律顾问制度和重大法律纠纷案件备案制度。,第十九条,第二章 内部环境,三、企业内部控制基本规范的主要内容,根据控制目标开展风险评估,（二）资产安全,（三）财务报告及相关信息真实完整,（四）提高经营效率和效果,（五）促进企业实现发展战略,（一）合理保证企业经营管理合法合规,内部控制的目标,全面系统持续地收集相关信息，结合实际情况，及时进行风险评估,第二十条,第三章 风险评估,三、企业内部控制基本规范的主要内容,内部风险识别,第二十二条,三、企业内部控制基本规范的主要内容,外部风险识别,第二十三条,三、企业内部控制基本规范的主要内容,企业应当结合定性和定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。,风险评估的方法和定义,第二十四&二十五条,第三章 风险评估,三、企业内部控制基本规范的主要内容,风险应对策略,风险规避,风险降低,风险分担,风险承受,企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。,企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。,企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。,企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。,第二十六条,第三章 风险评估,三、企业内部控制基本规范的主要内容,风险可承受度,预防性控制及发现性控制,手工控制及自动控制,管理控制及监督控制,Click to add Text,风险评估结果,企业应当接合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。,第四章 控制活动,第二十八条,三、企业内部控制基本规范的主要内容,预防性控制 是为了防止错误和舞弊的发生而采取的控制:职责分离；监督性检查；正确性校验；设置权限。 发现性控制 把已经发生和存在的错误检查出来的控制：异常情况报告；编制调节表；周期性的审计；盘点。,三、企业内部控制基本规范的主要内容,手工控制手工控制是被人执行的控制程序。 例：记账凭证被复核岗会计复核后在记账凭证复核栏签字。 自动控制自动控制是指由计算机执行的控制。 例：在销售时，对于超出信用额度的客户，销售订单会被系统自动冻结。,三、企业内部控制基本规范的主要内容,不相容职务分离控制,财产保护控制,会计系统控制,运营分析控制,授权审批控制,预算控制,控制措施,绩效考评控制,控制措施,第四章 控制活动,三、企业内部控制基本规范的主要内容,销售流程,固定资产投资预算的编制与审批；固定资产采购、验收与款项支付。,固定资产,资金支付的审批与执行；资金的保管、记录与清点盘查。,资金管理,合同协议管理,不相容职务分离控制举例,客户信用管理、与销售合同协议的审批、签订；销售货款的确认、回收与相关会计记录。,合同协议的拟定与审批；合同协议的审批与执行。,合同协议管理,三、企业内部控制基本规范的主要内容,会计系统控制,会计系统控制,加强会计基础工作,严格执行国家统一的会计准则,明确会计凭证、账簿和财务报告的处理程序,第三十一条,第四章 控制活动,三、企业内部控制基本规范的主要内容,企业会计系统,应依法设置会计机构，配备会计从业人员；,会计机构负责人应具备会计师以上的专业技术职务资格；,企业会计系统的设置要求,大中型中央企业应设置总会计师，不得设置与其职责重叠的副职。,第四章 控制活动,三、企业内部控制基本规范的主要内容,财产保护控制,实物保管,财产记录,定期盘点,账实核对,第三十二条,财产日常管理& 定期清查制度,企业应严格限制未经授权的人员接触和处置资产。,第四章 控制活动,三、企业内部控制基本规范的主要内容,预算控制,实施全面的预算管理制度,明确预算中的职责权限,规范预算流程,强化预算约束,衡量业绩的基础,编制、审定、下达和执行程序,逐级落实到各责任单位,第三十三条,第四章 控制活动,三、企业内部控制基本规范的主要内容,运营分析控制,投资,财务,融资,购销,生产,运营情况分