内控讲座.ppt

1,内控体系讲座,2,主 要 内 容第一部分 萨班斯-奥克斯利法案背景、内容及影响第二部分 内部控制的发展及目标第三部分 COSO内部控制框架第四部分 控制环境 第五部分 风险管理 第六部分 控制活动第七部分 信息与沟通第八部分 监督第九部分 内控测试第十部分 要点提示,3,法案出台背景-导火线 2001年11月下旬，美国最大的能源企业安然承认自1997年以来，通过非法手段虚报利润5.86亿美元；在与关联公司内部交易中，不断隐藏债务和损失，管理层从中非法获益。消息传出，立刻引起美国金融市场的巨大动荡。安然股价从近90美元跌至不足1美元，许多中小投资者损失惨重。自安然公司财务欺诈行为被揭露以来，世通、施乐、默克制药等美国大公司会计丑闻频频曝光，投资者信心连遭打击，美国股市因此受到重创，主要股指一度跌至911恐怖袭击事件以来的最低水平。,第一部分 萨班斯-奥克斯利法案背景、内容及影响,4,法案出台背景-导火线 世界通信这只技术股中闪耀的明星，也被逐出纳斯达克市场。美国魏斯评级公司在调查了7000家公司发布的财务报告后认为，有多达1/3的美国上市公司不同程度存在捏造盈利的问题，信用危机震惊华尔街。美国布鲁金斯学会一项研究估计，会计丑闻使2002年美国经济损失了约370-420亿美元。假帐丑闻使投资者对美国资本市场和会计公司的职业道德失去了信心。,第一部分 萨班斯-奥克斯利法案背景、内容及影响,5,法案出台背景-导火线 美国一批大公司会计丑闻接连曝光，诚信危机震撼了美国及国际社会，使人们对美国式自由市场经济制度产生质疑，全球舆论的焦点集中于美国企业的假账丑闻。加强金融监管以恢复投资者信心已成为美国国会、政府和公众的一致呼声。为了提高民众对美国金融市场、政府经济政策的信心，2002年7月30日美国总统布什签署了萨班斯-奥克斯利法案。该法案对渎职和做假账的企业主管实行严厉的制裁，对上市公司实行更为严格的监管。,第一部分 萨班斯-奥克斯利法案背景、内容及影响,6,法案出台的深层次原因 一系列公司假账丑闻的发生，已经不是个别公司的问题，而是美国公司制度的缺陷。这个缺陷主要表现在公司治理结构的不平衡和外部监督的缺失。,第一部分 萨班斯-奥克斯利法案背景、内容及影响,7,法案出台的深层次原因 九十年代，美国公司制度一度被认为是最能激发人的创造力，最适合新技术发展的模式。员工股票期权激励机制和首席执行官制度被誉为美国公司近年来成功的精髓。但是：1.期权制也为公司管理层提供了抬高股价的动力。九十年代的股市繁荣，只要这些熟知公司内部情况的高级管理人员适时兑现手中的期权或股票，即使公司倒闭其利益也能得到保证，这使得公司管理者的利益和股东利益严重脱节。,第一部分 萨班斯-奥克斯利法案背景、内容及影响,8,法案出台的深层次原因 2.在公司治理结构上，对经营管理者的监督不力是造成假账丑闻的重要原因之一。九十年代是首席执行官制度的巅峰时期，名义上，首席执行官由董事会任命，但事实上，由于股权过于分散，首席执行官对董事会主席的任命有着很大影响。董事会的选举受首席执行官介绍情况的影响，并且在很多情况下，董事会主席由首席执行官兼任。这种情形的后果就是股东大会对经营管理者的控制力减弱，经营管理者为了自身利益而做出的掩盖债务、虚报利润等违法违规行为得以顺利实施，严重损害了广大投资者的利益。,第一部分 萨班斯-奥克斯利法案背景、内容及影响,9,法案出台的深层次原因 3.在公司外部监督上，外部审计对上市公司信息披露的监督功能严重缺失。审计职能因其复杂性和专业性而从公司内部分离出来成为一个独立的行业。然而，为了谋取利益，会计师一方面对上市公司进行财务审计，另一方面又为上市公司提供会计咨询服务。因此，缺乏独立的审计无法保证公司披露信息的真实性、公正性；一些审计公司不仅丧失了职业道德，而且干起了违法勾当，在上市公司接受司法调查时，审计公司帮助其销毁大批文件。长期以来，会计行业没有统一有效的监管，导致上市公司的外部监督失效。,第一部分 萨班斯-奥克斯利法案背景、内容及影响,10,第一部分 萨班斯-奥克斯利法案背景、内容及影响,广大投资者呼唤通过立法强化对企业会计审计监管、规范企业管理层行为。萨奥法案顺应而生。,11,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨班斯-奥克斯利法案的内容 萨班斯奥克斯利法案以维护广大投资者利益为宗旨，对惩治公司财务欺诈、规范企业行为和加强资本市场监管作出了规定，其内容主要包括：,12,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨班斯-奥克斯利法案的内容（一）明确了公司管理层的责任 1、明确公司管理层对披露报告真实、全面、准确负责。公司首席执行官和财务总监必须签字对财务信息的准确性负责。公司必须实时公布任何导致公司财务健康状况发生变化的事件。2、明确公司管理层对内部控制体系设计、建立、运行有效负责。在披露年度报告时，首席执行官和首席财务官就内部控制有效性发表声明。,13,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨班斯-奥克斯利法案的内容（二）加强了会计监管 萨班斯奥克斯利法案一方面加重对公司管理层违规行为的惩罚，另一方面加强对会计行业的监督。1、美国证券交易委员会（SEC）设立独立的上市公司会计监管委员会来监督会计行业，该委员会制定清晰统一的职业标准和道德规范，并具有调查渎职和违规的权力。2、给美国证券交易委员会增加新资金用来对违规行为进行调查、提高员工待遇和升级电脑技术，同时赋予其禁止不诚实的管理者重新担负企业责任的权力。,14,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨班斯-奥克斯利法案的内容（三）完善了公司审计制度 1、内部审计制度的完善 法案第301条要求所有的上市公司都必须设立审计委员会，该委员会的成员必须全部是“独立董事”。法案对审计委员会的职权进行了具体的规定。2、外部审计监管的强化 法案明文禁止上市公司的独立审计人员同时向该上市公司提供包括保管财务数据、设计和执行财务信息制度、资产评估或估价服务等与审计无关的法律或其他专业服务在内的服务业务。,15,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨班斯-奥克斯利法案的内容（四）强化上市公司信息披露的监控 SEC对上市公司信息披露审查权得到了加强。SEC将要求上市公司达到所谓的“永久性”信息披露要求，即SEC必须在三年期限内对每个上市公司提交的信息披露进行审查，并做出审查结论。,16,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨班斯-奥克斯利法案的内容（五）突出了舞弊防范 法案对欺诈和舞弊防范措施作了强制规定，要求建立“反舞弊程序和控制”并要求每年进行评估，把发现高层管理人员任何程度上的舞弊行为判定为内部控制无效。该法案第406条要求SEC制定相关规则，规定每个上市公司必须在其递交给SEC的定期报告的同时披露该公司是否已经制定了适用于高层财务人员的“道德法典”。“道德法典”必须包括以下内容：（a）诚实、道德的行为，包括私人利益与企业利益发生明显冲突时的道德准则；（b）在公众公司提交的报告中应包括充分、公正、准确、及时和易懂的信息披露；（c）要遵守政府的有关法律法规。,17,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨班斯-奥克斯利法案的内容（六）严厉了法律制裁 萨班斯-奥克斯利法案针对上市公司增加了许多严厉的法律措施，成为继20世纪30年代美国经济大萧条以来，政府制定的涉及范围最广、处罚措施最严厉的公司法律。1、董事和高层管理人员须返还因公司虚假报表取得的激励性报酬和买卖股票收益。2、对于违反财务报表披露要求的行为，个人的处罚额提高到100万美元，并可同时判处的监禁期限延长到10年，对恣意违反财务报表披露要求的公司主管处罚额高达500万美元，并可判处高达25年的监禁。,18,第一部分 萨班斯-奥克斯利法案背景、内容及影响,颁布萨班斯-奥克斯利法案的意义 1、萨班斯-奥克斯利法案的出台有利于美国规范公司行为、保护广大投资者的利益。主要表现在：首先，以法律为后盾推进市场诚信。公司主管诚信宣誓意味着增加了他们的法律责任，因为一旦他们宣誓保证他们的财务没有问题，如果事后查出公司财务存在问题，他们需要承担更大的法律责任，这就促使企业的主要领导下决心强化企业内部控制。其次，成立上市公司会计监管委员会加强会计监管，今后会计行业由专门的机构统一监管，结束了美国会计行业“自我监管”的历史，这样有利于规范会计行业运作。,19,第一部分 萨班斯-奥克斯利法案背景、内容及影响,颁布萨班斯-奥克斯利法案的意义 2、法案对审计的独立性做了强制要求，这将有助于减少上市公司与审计机构串通一气、虚报利润等造假行为。3、萨班斯奥克斯利法案规定增加SEC的资源，有助于加强监管工作。一方面美国政府给SEC以资金支持，另一方面，来自民主党和共和党的三位新成员加入SEC，帮助SEC主席制定公司改革法案，明显加强了SEC的政治力量和职权。,20,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨奥法案后续配套政策 与上市公司相关的主要条款：法案301条款：上市公司必须设立审计委员会 法案302条款：明确公司管理层对披露报告真实、全面、准确负责的责任 法案404条款：专门规范管理层在设计、建立和有效运行内部控制体系的责任,21,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨奥法案后续配套政策 按法案要求，2003年6月5日，美国证券交易委员会（SEC）颁布了财务报告内部控制系统的管理层报告书的最终条例(Final Rule)，作为萨-奥法案404条款的执行细则。2004年3月9日，美国上市公司会计监管委员会（PCAOB）最终确定了内部控制审计标准作为404条款的审计细则。最终条例审计标准均明确提到 COSO(Committee of Sponsoring Organizations of the Treadway Commission即反虚假财务报告委员会的赞助组织委员会)提出的内部控制框架可以作为企业内部控制体系建立的标准。,22,第一部分 萨班斯-奥克斯利法案背景、内容及影响,管理层的责任 PCAOB最终确定的内部控制审计标准要求公司管理层对内部控制的有效性实施评估，并且对所实施的评估进行记录和报告。管理层的总体责任包括：1、管理层必须记录与所有重要财务报表会计科目和披露事项之相关认定有关的内控设计；2、管理层必须测试与所有重要财务报表会计科目和披露事项之相关认定有关的内控，而且测试应当涵盖内部控制的全部要素。3、管理层必须执行适当程序以获得充分的证据并保留相关记录，来支持其对于公司内部控制的有效性实施的评估。,23,第一部分 萨班斯-奥克斯利法案背景、内容及影响,管理层的责任 4、管理层对内部控制实施评估是公司内部控制的一部分，它代表了公司监督内控的一个重要方面。可以使用内部审计师、公司其他人员和第三方协助其进行评估工作但不能将其对公司内部控制进行评估的责任委派给外部审计师或其它任何第三方。5、如果发现了一个或多个严重不合格（Material Weakness），管理层就不能认定公司的内部控制是有效的。6、404条款管理层报告必须披露所有严重不合格（Material Weakness）。,24,第一部分 萨班斯-奥克斯利法案背景、内容及影响,综上所述：萨班斯-奥克斯利法案要求在美上市的公司必须建立内部控制体系；建立、运行、评估、披露内控体系的责任在管理层；美国证券交易委员会（SEC）和美国上市公司会计监管委员会（PCAOB）都推荐COSO框架作为企业建立内部控制体系的标准。,25,第一部分 萨班斯-奥克斯利法案背景、内容及影响,个人观点 生成财务报告的大量信息来源于生产经营各个方面，而这大量的信息又出自或者经历众多部门、人员之手。虽然管理层承担对财务报告可靠性的责任，但是仅靠管理层成员是无力保证的。所以，建立内部控制体系，约束众多部门、人员的行为，成为管理层为此提供保证的必然选择，也是必须选择。,26,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨奥法案302条款公司对财务报告的责任 本法案生效30天内（2002年8月29日前）美国证券交易委员会（SEC）制订规则，要求向SEC提交定期报告的公司，在每一个年度或季度定期报告中就某些财务事宜(见下述提纲)附一份由公司首席执行官和首席财务官签署的书面认证文件（SEC已按国会要求于2002年8月27日正式颁布了实施细则）。,27,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨奥法案302条款公司对财务报告的责任 认证文件必须包括下述内容：签字的官员已经复核了该报告。据首席执行官和首席财务官所知，报告中不存在任何对重要事实的不真实陈述，也未遗露任何重要事项，从而保证该报告不会误导读者。据首席执行官和首席财务官所知，报告中的财务报表和财务信息，在所有重大方面公允地反映了上市公司在报告所述阶段的财务状况和运营业绩。,28,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨奥法案302条款公司对财务报告的责任 认证文件必须包括下述内容：签署的官员：（A）负责建立和维持公司内部控制体系；（B）已设计了这些内部控制以保证签署官员能够获得有关公司及其下属公司的有关重要信息，尤其是那些在定期财务报告期内的信息；（C）在编制财务报告日前90天内已评估了公司内部控制体系的有效性；（D）并以该评估为依据在报告中陈述了对公司内部控制体系有效性的评估结论。,29,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨奥法案302条款公司对财务报告的责任 认证文件必须包括下述内容：签署官员已向审计师和审计委员会披露了：（A）内部控制设计和运作中所有严重严重不合格，这些严重不合格可能影响上市公司记录、处理、汇总和报告财务数据的能力，并且已经向审计师指明了所有重要的内部控制缺陷；（B）以及任何涉及上市公司管理层或其他在内部控制体系中发挥重要作用的人员的任何欺诈行为，无论该欺诈行为严重与否。,30,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨奥法案302条款公司对财务报告的责任 认证文件必须包括下述内容：签署官员已在报告中说明自内部控制评估结束之日以后，内部控制体系或其他对内部控制具有重大影响的因素是否发生了重大变更，包括对重大缺陷或重要弱点的补救措施。,31,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨奥法案404条款公司对内部控制的评估 404条款要求证券交易委员会（SEC）制订规则，要求上市公司呈报的每一份年度报告，必须包括一份内部控制报告，该报告应：（1）写明公司管理层建立和维护一套充分的内部控制结构和程序的责任。（2）包含上市公司最近一个财务年度年末的，管理层对财务报告内部控制结构和程序有效性的评估。,32,第一部分 萨班斯-奥克斯利法案背景、内容及影响,萨奥法案404条款公司对内部控制的评估 要求上市公司的审计师依据会计监管委员会制定的标准证实并报告管理层的内部控制评估。每一个为上市公司编制和发表审计报告的注册会计师事务所，应当对管理层提供的内部控制评价进行审核和报告。该审核应当依据监管委员会颁布或采用的审核业务标准。这种审核不应当作为一项割裂的业务。,33,主 要 内 容第一部分 萨班斯-奥克斯利法案背景、内容及影响第二部分 内部控制的发展及目标第三部分 COSO内部控制框架第四部分 控制环境 第五部分 风险管理 第六部分 控制活动第七部分 信息与沟通第八部分 监督第九部分 内控测试第十部分 要点提示,34,第二部分 内部控制的发展及目标,一、内部控制的概念内部控制体系是为了有效保证企业经营效益、财务报告的可靠性和法律法规的遵循性，而自行检查、制约和调整内部业务活动的自律系统。,35,第二部分 内部控制的发展及目标,一、内部控制的概念内部控制:是为有效规避经营决策风险、违反法律法规风险、财务报告失真风险、资产安全受到威胁、营私舞弊风险，保证管理层的指令得以执行的政策、程序、措施、办法和一系列完整性控制、准确性控制、有效性控制和接触控制的活动。这些活动涉及审批、授权、复核、检查验证、业绩考核、资产保全和职责分离。,36,第二部分 内部控制的发展及目标,二、内部控制的发展 基于以下考虑，长期以来，企业高级管理层一直在寻找控制和管理企业经营的更好的方法。1、在经济全球化、信息化程度不断加深的时代背景下，资本、技术、人才和商品的流通日益加快，关系也逐步趋于复杂化，增加了社会经济中的不确定因素。企业不得不面临涉及范围更广、彼此之间的关系更加复杂的风险。要求企业要有忧患意识，建立内部控制体系，实施风险管理机制。,37,第二部分 内部控制的发展及目标,二、内部控制的发展 2、内部控制的实施有利于促进企业朝着盈利目标和成就其使命的方向发展，内部控制促进效率性，降低资产损失的风险，并有助于确保财务报告的可靠性和对于法律法规的遵循性。,38,第二部分 内部控制的发展及目标,二、内部控制的发展 3、由于内部控制服务于企业很多重要目标，建立系统完善的内部控制体系越来越多地被视为企业各种潜在问题的解决方案。作为以风险管理为核心内容的内控体系，在风险管理方面，从分散的、非连续的和小范围、局部性的旧模式，向一体化的、连续的和大视野、全方位的新模式转变，从企业整体的角度进行统筹，采用整个企业范围内的风险管理机制。,39,第二部分 内部控制的发展及目标,二、内部控制的发展 4、2002年，美国安然、世通及其他企业会计丑闻发生以后，美国总统布什签署了萨班斯奥克斯利法案。法案的404条款要求企业管理层建立对财务报告的内部控制；企业管理层必须每年对影响财务报告的有关内部控制的有效性进行评价并发表年度声明；要求独立审计师对影响财务报告的有关内部控制进行审计。这对在中国大陆、香港和海外跨国公司的子公司有重大影响。,40,第二部分 内部控制的发展及目标,二、内部控制的发展 5、中国证监会于2005年在北京组织了中国在美上市的国有企业萨班斯-奥克斯利法案研讨会。会上中国证监会表示：萨班斯奥克斯利法案的许多条文与我国的有关法规有相同或相似的规定，但其总体上更为制度化，具体要求更为严格，对公司管理层的诚信和道德操守提出了明确要求。法案第404条款的要求让管理层开始正视公司的控制缺陷，帮助企业管理层评估并增强公司内控体系。在美上市公司要做好内控建设的后续工作，将内部控制纳入公司日常化管理体系，建立起公司内控管理的长效机制。,41,第二部分 内部控制的发展及目标,二、内部控制的发展 6、萨班斯奥克斯利法案因美国财务丑闻而诞生，法案要求所有在美国的上市公司都必须建立并保持有效的内部控制体系。中国石油是一家同时在香港和美国上市的公司，也必须遵守这个要求。,42,第二部分 内部控制的发展及目标,二、内部控制的发展 7、2006年6月5日，上海证券交易所比照撒奥法案出台上海证券交易所上市公司内部控制指引，当年7月1日起施行。是我国第一部指导上市公司建立健全内控制度的文件。8、2006年6月6日，国资委出台中央企业全面风险管理指引，自印发之日起施行。意在推动中央企业开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展。,43,第二部分 内部控制的发展及目标,二、内部控制的发展 9、2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了我国第一部企业内部控制基本规范，于2009年7月1日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行。基本规范共七章五十条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。此次基本规范的印发，标志着中国企业内部控制规范体系建设取得重大突破。该规范基本上与撒奥法案一致。,44,第二部分 内部控制的发展及目标,二、内部控制的发展 10、业务流程管理 在实现财务报告风险控制目标的基础上，内控体系向业务流程管理发展。即，将业务流程、风险、控制向所有的业务层面延伸，并对相同的业务进行统一规范，达到流程统一、控制集中、界面清晰、简洁高效的目标，在实现财务报告可靠性目标的基础上，进一步为内控效率性、效果性、合规性目标提供保证。,45,第二部分 内部控制的发展及目标,二、内部控制的发展 因此，建设内部控制体系既是上市地法律法规的要求，也是国内法律法规的要求，更是进一步强化中国石油内部经营管理、全面提升管理水平的客观要求，同时能够帮助树立和维护中国石油稳健、诚信、负责任的大公司形象。2003年8月，股份公司启动404项目；2004年3月，股份公司召开了内部控制体系建设项目启动大会。公司内控体系建设自2004年4月同时启动运行。,46,第二部分 内部控制的发展及目标,三、国内内部控制建设现状 我国企业风险管理方面还处在起步阶段，只有少数企业由于境外上市的需要，按照萨奥法案的要求正在建立内部控制体系。,47,第二部分 内部控制的发展及目标,三、国内内部控制建设现状 与国际大公司相比，国内公司的差距主要表现在：1、管理理念需要进一步转换。2、风险意识需要进一步提高。3、风险管理的方法有待完善。在整个国内的全面风险管理工作还处在起步阶段，相应的标准、方法、程序和规范等，还处在实施的初期阶段。需要不断的完善，需要被广泛的接受和执行，才能真正发挥作用。,48,第二部分 内部控制的发展及目标,三、国内内部控制建设现状 4、控制执行力度仍需要加强。从各大公司已经完成的符合性检查和延伸审计的情况看，有控制不执行的现象存在的比较普遍。这些问题的存在，说明内控运行已经开始触及到多年来管理上的老习惯，触及到传统的管理理念。,49,第二部分 内部控制的发展及目标,四、中石油内部控制目标 近期目标：按照萨奥法案的要求，侧重财务报告可靠性的控制，重点关注与对外披露财务信息密切相关风险的控制，达到满足外部审计和对外披露的基本要求。,50,第二部分 内部控制的发展及目标,四、中石油内部控制目标 总体目标：贯彻落实国资委全面风险管理要求，按照集团公司建设综合性国际能源公司的战略部署，全面推进内部控制管理工作。利用三年左右的时间，建立起集团公司统一的，以风险管理为核心，较为完善和有效运行的内部控制体系，为公司又好又快发展提供有力保障。,51,第二部分 内部控制的发展及目标,四、中石油内部控制目标 集团公司内控工作总体目标，核心是全面风险管理，范围是全部重要业务流程，目的是实现全过程控制。通过加强内部控制工作，切实增强管理控制能力。管理的中心内容是控制，控制的有效性和严格性，是企业管理水平高低的最主要标志。增强管理控制能力，就是要通过科学的制度和规范的运作，使企业管理各个环节和各个方面处于受控状态，确保责任落实，执行到位。通过内控体系的不断改进、完善，实现“体系可靠、风险可控、运行可持续。”,52,主 要 内 容第一部分 萨班斯-奥克斯利法案背景、内容及影响第二部分 内部控制的发展及目标第三部分 COSO内部控制框架第四部分 控制环境 第五部分 风险管理 第六部分 控制活动第七部分 信息与沟通第八部分 监督第九部分 内控测试第十部分 要点提示,53,第三部分 COSO内部控制框架,COSO内部控制框架 美国反虚假财务报告委员会发起组织委员会（COSO委员会），经过4年的研究，于1992年9月发表报告内部控制整体框架，这个报告通常被称为COSO报告，这个报告的上篇就是COSO内部控制框架。尽管COSO内控框架并非全球唯一的内控指导性文件，但确实被大多数企业所采用的，并且是美国证券交易委员会（SEC）和美国上市公司会计监管委员会（PCAOB）推荐的满足撒奥法案404条款的内控框架，作为在美国上市公司，中国石油选择COSO内控框架作为内控体系建设的指导性文件。,54,第三部分 COSO内部控制框架,一、COSO内部控制框架对内部控制的定义 COSO内部控制框架认为，内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。,55,第三部分 COSO内部控制框架,一、COSO内部控制框架对内部控制的定义（一）对内部控制定义的理解 第一，内部控制是一个“过程”，而且是一个动态的过程。它是实现目标的手段，而不是目的本身。企业的经营活动是永不停止的，企业的内部控制过程也因此不会停止，它是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。内部控制应该与企业的经营管理过程相结合，而不是凌驾于企业的基本活动之上，它促使经营达到预期的效果，并监督企业经营过程的持续有效进行。,56,第三部分 COSO内部控制框架,一、COSO内部控制框架对内部控制的定义（一）对内部控制定义的理解 第二，内部控制受到“人”的因素的影响。它并不仅仅是政策手册和表格，不仅仅是管理人员、内部审计或董事会，而是组织中的每一个人，每一个人都对内部控制负有责任并受到内部控制的影响；是“人”建立企业的目标，并将控制机制赋予实施。确立这种观念有利于企业的所有员工明确自己的责任和权限，主动地维护及改善企业的内部控制。,57,第三部分 COSO内部控制框架,一、COSO内部控制框架对内部控制的定义（一）对内部控制定义的理解 第三，只能期望内部控制为企业的管理层和董事会提供合理的保证，而不是绝对保证。内部控制无论设计和运行得多么完善，也只能为企业的管理层和董事会提供合理的保证，而不是绝对保证，因为内部控制本身具有局限性。,58,第三部分 COSO内部控制框架,（二）COSO内部控制框架的组成要素 COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、控制活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用下面模型表示。,59,第三部分 COSO内部控制框架,60,第三部分 COSO内部控制框架,（二）COSO内部控制框架的组成要素 1、控制环境 控制环境是企业的基调、氛围，直接影响企业员工的控制意识。内控环境要素是推动企业发展的发动机，也是其他一切要素的核心，包括员工的诚信、职业道德和工作胜任能力；管理层的经营理念和经营风格；董事会或审计委员会的监管和指导力度；企业的权责分配方法和人力资源政策。可以说人及其人进行的活动是任何企业的核心，是构成内控环境的重要要素，又与环境相互影响、相互作用。,61,第三部分 COSO内部控制框架,（二）COSO内部控制框架的组成要素 2、风险评估 风险评估就是识别、分析相关风险以实现既定目标，是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险，影响企业既定目标的实现。因此必须设立一个机制来识别、分析影响目标实现的相关风险，并适时加以管理。,62,第三部分 COSO内部控制框架,（二）COSO内部控制框架的组成要素 3、控制活动 控制活动指那些有助于管理层决策顺利实施的政策和程序，是针对风险采取的控制措施。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。,63,第三部分 COSO内部控制框架,（二）COSO内部控制框架的组成要素 4、信息与沟通 是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递，以便员工履行职责。信息不仅包括内部产生的信息，还包括与企业经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。,64,第三部分 COSO内部控制框架,（二）COSO内部控制框架的组成要素 5、监督 是对内部控制系统有效性进行评估的过程，可以通过持续 性监督、独立评估或两者的结合来实现对内控系统的监督。,65,第三部分 COSO内部控制框架,（二）COSO内部控制框架的组成要素 内部控制体系五要素之间的关系我们可以理解为：企业的核心是人，人的诚信、道德价值观和胜任能力构成了企业的内部控制环境，这是企业发展的基础。每个企业都有自己的发展目标，为了目标的实现，必须分析影响因素，即进行风险评估。针对风险评估的结果需要采取相应的内控活动来控制和减少风险。同时与内控环境、风险评估和内部控制活动相关的信息应及时被获取、加工整理，并在企业内部传递，这就是信息与沟通，信息与沟通系统围绕在内控活动周围，反映企业各项管理活动的运转情况。为了保证内部控制体系的正常运转，还需要对整个内部控制过程进行监督。,66,第三部分 COSO内部控制框架,（二）COSO内部控制框架的组成要素 内部控制五要素之间的配合和联系，组成了一个完整的系统，可以灵活地随条件变化而变化。但各要素之间并非是一项要素影响下一项要素的顺序过程，而是相互关联的。任一要素都可以影响其他要素，例如对风险的评估不仅仅影响控制活动，还可能影响信息和沟通、监督行为等。,67,第三部分 COSO内部控制框架,COSO内部控制框架适用于各类企业，但是中小企业对其应用可能不同于大型企业，中小企业的内部控制可能不及大型企业正式、组织性强，但也可以是有效的。,68,主 要 内 容第一部分 萨班斯-奥克斯利法案背景、内容及影响第二部分 内部控制的发展及目标第三部分 COSO内部控制框架第四部分 控制环境 第五部分 风险管理 第六部分 控制活动第七部分 信息与沟通第八部分 监督第九部分 内控测试第十部分 要点提示,69,第四部分 控制环境,控制环境是其他控制要素的基础。内部控制环境因素包括：员工的诚信和道德价值观；员工的胜任能力；董事会和审计委员会；管理层的经营理念和经营风格；组织结构；管理层授权和职责分工、人力资源政策和措施。各项因素的具体内容如下：,70,第四部分 控制环境,一、员工的诚信和道德价值观 内部控制是由人建立、执行和维护的，人是内部控制有效运行的根本因素。人的道德价值观影响着人的行为。企业员工具有良好的道德标准并形成良好的道德氛围，对控制系统的有效运行非常重要，也有助于防范那些内控系统难以控制的行为。员工的诚信和道德价值观是指员工行为的准则，是告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。主要包括以下内容：,71,第四部分 控制环境,一、员工的诚信和道德价值观 1、利益冲突 每一个员工都有责任将公司利益放在第一位，避免私人利益与公司利益的冲突。2、合法性 公司要承诺在进行业务时是抱着诚实和诚信原则，并遵循所有适用的法律和规章制度。,72,第四部分 控制环境,一、员工的诚信和道德价值观 3、及时向指定人员报告或检举揭发违规事项。员工有义务对所发现的关于会计、内部控制或审计等的违反法律、规章制度或行为准则的问题，向道德规范委员会报告，或向披露委员会或审计委员会汇报。发现任何高级管理人员违反法律、规章制度或行为准则，应迅速向道德规范委员会等相关机构报告。对检举人应当建立保密制度，包括匿名保护。,73,第四部分 控制环境,一、员工的诚信和道德价值观 4、遵守道德准则的责任 明确员工必须遵守道德准则。对违反准则的人员建立惩罚机制，甚至解雇或免职。5、公司机遇 禁止员工通过利用公司财产、信息或职位为自己或其他人牟取商业机遇。,74,第四部分 控制环境,一、员工的诚信和道德价值观 6、保密 机密信息是一间公司最重要的资产之一。公司建立相应政策保护机密信息，包括:（a）属于公司商业性机密信息（b）属于非披露协议信息。每一个员工在入职后应执行保密协议和保护公司知识产权。员工即使在终止雇佣之后，仍然有义务保护公司的机密信息。,75,第四部分 控制环境,一、员工的诚信和道德价值观 7、公平交易 每一个员工都应该努力去公平对待顾客、供应商、竞争者、公众，并遵循商业道德规范。为了获得或维持业务而进行贿赂、回扣或其他诱惑等都是不允许的。与业务相关，偶尔赠送非政府雇员的价值较低的商业礼物的做法是可以接受的。但未得到道德委员会事先批准的情况下，赠送礼物或款待政府雇员是不允许的。员工代表公司购买商品应遵循公司的采购政策。,76,第四部分 控制环境,一、员工的诚信和道德价值观 8、公司资产的保护及恰当使用 每一个员工必须保护公司资产，包括实物资源、资产、所有权、机密信息，排除损失、失窃或误用。任何怀疑的损失、误用或失窃都应该报告给经理或法律部门。公司资产必须用于公司业务，符合公司政策。,77,第四部分 控制环境,一、员工的诚信和道德价值观 9、全面、公正、正确、及时地理解财务报告及其披露事项 因为公司必须提供完整、公正、及时和可理解的披露报告及文件，并存档或呈交给证监会以及公共传媒，所以每一个员工都有责任保证会计记录的准确性。,78,第四部分 控制环境,一、员工的诚信和道德价值观 对于企业来说，首要的工作是建立一套涵盖企业各个层面的员工职业道德规范，并使员工能够接受和理解，如道德行为手册；其次是必须让员工知晓和理解这些规定（例如：要求所有员工定期签字确认），其中高级管理层必须定期签字承诺遵守职业道德规范，这是执行的前提条件；最后就是贯彻执行。,79,第四部分 控制环境,一、员工的诚信和道德价值观 在公司内传递道德标准的最有效方式是管理层以身作则，员工对于内控的态度通常会效仿他们的领导。另外，对违反准则的员工应予以相应惩罚；建立鼓励员工揭发违规行为的机制；以及对未能汇报违规行为员工的教育培训都具有特别重要的意义。,80,第四部分 控制环境,二、胜任能力 胜任能力是要求员工具备完成工作任务所需的知识和技能，目的是保证员工能够正确理解相关规定、及时恰当分析和处理业务，这是维护内部控制有效性的必备条件。为此，管理层需要设定工作岗位的知识和技能水平要求，在招聘、选用员工时作为评选的标准或条件。在设定工作所需知识和技能时，一方面要根据工作的性质和所需的职业判断，考虑能力需求，另一方面还应考虑人力资源成本即薪酬（例如：没有必要雇佣一名电子工程师来换一只灯泡）。,81,第四部分 控制环境,二、胜任能力 管理层应当建立并不断补充完善员工岗位职责描述，健全全员职业培训和技能考核机制。应当对员工岗位职责的适应性、履职情况等进行测试；应当制定培训计划并实施，进行技能考核，相互检查印证培训考核机制及其实施的充分性。,82,第四部分 控制环境,三、董事会和审计委员会 董事会或审计委员会的职能是实施治理、指导和监督管理层的工作，如果对管理层缺乏必要的监督，管理层可能会凌驾于控制之上，甚至故意歪曲结果，因此董事会或审计委员会监督作用对确保内部控制的有效性十分重要，董事会或审计委员会作用的发挥，必须具备以下条件：,83,第四部分 控制环境,三、董事会和审计委员会 一是其设立要符合国内外法律、法规的规定，监督内控体系改进情况，确保所有工作留下证据；二要独立于管理层，不受其影响；二是具有足够知识、行业经验和时间，以便于履行职责；三能够与财务、法律、内部审计和外部审计及时沟通，得到适当信息；四是能够控制高级管理人员的薪酬，有权聘用和解聘高级管理人员。,84,第四部分 控制环境,四、管理层的管理理念和经营风格 管理层的管理理念和经营风格影响企业的管理方式，包括面对各种风险的态度。规范的制度，明确的职责，反映企业的管理理念和经营风格。它往往是企业内部一种无形的力量，影响企业成员的思维方法和行为方式，包括企业承受营业风险的种类、整个企业的管理方式、企业管理阶层对法规的反应、对企业财务的重视程度以及对人力资源的政策及看法等。它们都深深地影响着内部控制的成效。,85,第四部分 控制环境,五、组织结构 组织结构是权责分工的架构，在此架构中规划、执行、控制和监督为实现企业目标而进行的活动，每个企业都可根据自己的需要确定组织结构。规范法人治理结构，优化组织结构、明确部门职责、权限，并细化落实至各个岗位，规范组织结构编制管理工作。,86,第四部分 控制环境,六、管理层授权和职责分工 权力和责任分配是指对员工进行授权和分配责任，将企业的目标层层分解落实到每个员工的头上，从而将员工的行为与企业目标联系起来，增强员工的自主控制意识。权力与责任分配的关键是权力与责任的对等。企业需要建立完善的授权管理制度体系，建立和完善授权管理文件。,87,第四部分 控制环境,七、人力资源政策和措施 人力资源政策和措施是关于员工任用选拔、考核评价和激励监督、薪酬等方面的政策和程序，目的是聘用和维持有能力的人员，保证公司的计划得以实施，目标得以实现。因此，人力资源政策和措施应