2008年,财政部、证监会、审计署、银监会、保监会联合发布了财会[2008年]7号《企业内部控制基本规范》,2010年4月26日又联合发布了《企业内部控制配套指引》,至此基本上构建了我国企业内部控制规范体系。
我国内部控制规范体系包括基本规范和配套指引两个层次,其中配套指引又有应用指引、评价指引和审计指引三种类型。
18项《企业内部控制应用指引》包括组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统。
内部控制规范的制定与发布将为我国企业实施内部控制提供了很好的制度范本,对于规范企业经营管理行为,保证会计信息真实、完整,堵塞漏洞、消除隐患,防止并及时发现纠正错误及舞弊行为,保护企业资产的安全、完整,提高经营效率,都具有重大意义。
一、为了加强和规范内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,根据《公司法》、《证券法》、《会计法》和其他有关法律法规,制定本规范。
二、本规范适合于中华人民共和国境内设立的大中型企业(小型企业和其他单位可以参照执行)。
三、本规范由企业董事会、监事会、经理及全体员工实施。
目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现战略发展。
四、建立和实施内部控制,应遵循以下原则:(一)全面性原则。
内控贯穿于决策、执行和监督全过程,覆盖企业及所属单位各业务和事项。
(二)重要性原则。
内控在全面控制基础上应着重关注重要业务和高风险领域。
(三)制衡性原则。
内控应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督。
(四)适应性原则。
内控应与企业规模、业务范围、竞争状况、风险水平相适应,并适时调整。
(五)成本效益原则。
内控实施应权衡成本与预期效益。
五、内控有效实施应包括下列要素:(一)内部环境(包括治理结构、机构设置、权责分配、内部审计、人力资源政策、企业文化等)。
(二)风险评估。
应及时识别、系统分析、经营活动中与实现目标相关的风险,合理确定应对策略。
(三)控制活动。
根据风险评估结果采取相应控制措施,将风险控制在可承受度之内。
(四)信息与沟通。
及时准确地收集、传递与内控有关的信息,确保信息在内部、企业与外部之间进行有效沟通。
(五)内部监督。
对内控建立实施情况进行检查、评估,发现缺陷及时改进。
六、根据有关法律法规、本规范及其配套指引,制定内控制度并组织实施。
七、企业应当运用信息技术建立信息系统,实现业务和事项的自动控制,减少人为操纵因素。
八、建立激励与约束机制,进行绩效考评,促进有效实施。
一、企业应当根据规定和章程,建立规范的公司治理结构、议事规则,明确决策、执行、监督等方面的职责权限。
(一)股东(大)会行使经营方针、筹资、投资、利润分配等重大事项的表决权。
(二)董事会对股东(大)会负责行使经营决策权。
(三)监事会对股东(大)会负责,监督董事、经理和高级管理人员依法履行职责。
(四)经理负责组织实施股东(大)会、董事会决议事项,主持日常生产经营工作。
二、董事会负责内控建立健全和有效实施。
监事会负责对实施的监督。
经理层负责组织领导企业内控的日常运行(企业应成立专门机构或指定适当机构具体负责协调内控的建立与实施)。
三、在董事会下设立审计委员会,负责审查内控、监督内控的实施,对内控进行自我评价,协调内控审计及其他相关事宜。
四、审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。
五、企业应通过内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况。
六、内部审计机构应当结合内部审计监督,对内控有效性进行检查。
对检查中发现的缺陷按照内审程序进行报告;对检查中发现的重大缺陷有权直接向董事会及其审计委员会、监事会报告。
七、制定实施可持续发展的人力资源政策:(一)员工的聘用、培训、辞退与辞职。
(二)员工的薪酬、考核、晋升与奖惩。
(三)关键岗位员工的强制休假制度和定期岗位轮换制度。
(四)掌握国家秘密或重要商业秘密的员工离岗的限制性规定。
(五)有关人力资源管理的其他政策。
八、董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。
员工应遵守行为守则,认真履行岗位职责。
一、企业应当根据设定的控制目标,全面系统待续收集信息,结合实际情况,及时进行风险评估。
包括内部风险和外部风险,确定风险承受度。
二、内部风险识别应关注以下要素:(一)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。
(二)组织机构、经营方式、资产管理、业务流程等管理因素。
(三)研究开发、技术投入、信息技术运用等自主创新因素。
(四)财务状况、经营成果、现金流量等财务因素。
(五)营运安全、员工健康、环境保护等安全环保因素。
三、企业识别外部风险,应关注以下要素:(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。
(二)法律法规、监管要求等法律因素。
(三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。
(四)技术进步、工艺改进等科学技术因素。
(五)自然灾害、环境状况等自然环境因素。
四、企业应当采用定性、定量相结合的方法,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
五、根据风险分析结果,结合风险承受度,确定风险应对策略。
六、风险应对策略包括:风险规避、风险降低、风险分担和风险承受。
七、根据不同的发展阶段和业务拓展情况,持续收集风险变化信息,进行风险识别和分析,及时调整应对策略。
一、企业应建立信息与沟通制度,明确信息的收集、处理和传递程序,确保信息及时沟通。
二、对收集的内部、外部信息进行合理筛选、核对、整合,提高信息的有用性。
(一)内部信息可通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道获取。
(二)外部信息可通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道获取。
三、重要信息应及时沟通与反馈,传递给董事会、监事会和经理层。
四、利用信息技术促进信息的集成与共享,充分发挥信息技术在沟通中的作用。
五、企业建立反舞弊机制,坚持惩防并举、重在预防的原则,规范舞弊案件的举报、调查、处理、报告和补救程序。
六、反舞弊工作重点如下:(一)未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益。
(二)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。
(三)董事、监事、经理及其他高级管理人员滥用职权。
(四)相关机构或人员串通舞弊。
七、企业应建立举报、投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求。
举报投诉制度和举报人保护制度应及时传递至全体员工。
一、企业应根据本规范及配套指引制定内控监督制度,明确内审机构和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。
(内部监督分为日常监督和专项监督)二、应根据内控缺陷认定标准,对监督过程中发现的内控缺陷分析性质和原因,提出整改方案,并向董事会、监事会、经理层报告。
(内部缺陷包括设计缺陷和运行缺陷)三、根据内部监督情况定期对内控的有效性进行自我评价,出具内控自我评价报告。
四、应以书面或者其他适当形式,妥善保存内控的建立与实施中的相关资料,确保内控建立与实施过程的可验证性。
一、提高认识,更新理念,统一思想,特别是企业负责人要高度重视,负总责亲自抓。
企业有关部门和各层次人员要厘清职责定位,积极参与支持。
二、搞好企业内控对企业的促进及总体收获:(一)防止了“冒险性会计”(二)提示出了以前不可能暴露的控制缺陷(三)发现了会计调整事项有关的许多问题(四)促进了在一个组织内对职责的优化分配问题(五)提供了获取可靠结果的更好方法(六)促使控制规范化并杜塞了安全漏洞三、对防止和发现舞弊也很有好处:(一)为员工举报等创造了更开放的环境(二)强调了那些可能产生舞弊的若干风险四、对公司治理结构的好处:(一)增强了审计委员会的力度和介入程度(二)改变了企业文化(三)改善了“中层的调子”(四)提高了职业道德行为五、搞好内控要特别注意澄清的几个误区:(一)不要消极看作应景之作(二)不要习惯等同财务控制(三)不要人为割裂风险管理(四)不要机械对照制度条文(五)不要偏重形式忽略真谛(六)不要简单寄望一蹴而就六、认真学习研究内控规范及指引,分步骤、分阶段,结合具体情况制定相适应的内控方案,促进企业可持续、健康、稳定的发展内部控制体系的评价:◆更好地促进内控的制度、规范更好地落地◆更好地促进企业管理水平的提升◆通过每一次评价提升一个水平建立内部控制体系◆建立内部控制:其实我们的企业只要一开办就一定有内控。
◆建立和完善不强加区别◆任何一个经济组织都有制度,但是有制度并不等于内控◆一定要提高认识,尤其是提高领导的意识◆通过各方面的案例(正面案例)提高认识◆在美国上市的时候要404条款,其着重点在于财务报告内部控制◆如果我们将重心放在404条款上,更多的工作就是合规◆内控的本意:夯实基础,提升效率,促进发展目标的实现◆一定要想好内控的定位、边界:不能只局限于财务报告内部控制根据各个企业的情况把它扩充到更多的地方◆ QHSE的含义Q:Quality——质量H:Health——健康S:Safety——安全E:Environment——环境谁需要内控,内控对谁负责◆ 1977年,美国的《反海外贿赂行为法》提出:内控的责任是董事会的责任◆我国的治理结构既跟美国的相似,同时吸收了德国的做法(交融性的治理结构)内控与公司治理◆不要让内控与公司治理这个理论问题困扰内控的实务◆公司的治理有广义和狭义之分:通常我们所讲的公司治理是一个治理结构(静态)让这个结构有效运转(动态)◆良好的公司治理是内部控制的基础,是必要条件内部控制体系相关问题:◆内控一条线,创新各项管理制度【上海石化】各项内控制度串起来,形成一条线【镇海炼化】升华【台塑集团】以内控为基础,把所有的东西都串起来【案例】担保业务的流程【分析】好处:把整个制度相互地衔接起来◆内控让管理更有效内控是消极的管理:——领导:兴趣不大——员工:不高兴,有抵触心理◆从正面去讲这个问题,让更多的领导理解内控与风险管理◆内控与风险管理原本是可以融合不要搞成两张皮,搞成两张皮既害了别人,也害了自己◆风险管理指引是围绕目标,为实现目标进行风险的管控(标准的风险应对)——一般的企业金融企业的工作就是管理风险:——理论上,金融企业替客户管理风险,它本身的经营过程也有风险——实务中,把内部控制等同于操作风险的管理在这个问题上,金融企业与一般企业有点不一样,我们需要回归、不断地探讨,因为金融企业面对的全是风险。