1,企业内部控制基本规范新变化与新要求,李 敏,2,六、合理确定内部控制的原则,1、全面性原则 内部控制应当贯穿决策、执行和监督全过程，覆盖企业及所属单位的各种业务和事项。 2、重要性原则 内部控制应当在全面控制的基础上，关注重要业务和高风险领域。 3、制衡性原则 内部控制应当在治理机构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。,3,六、合理确定内部控制的原则,4、适应性原则 内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。 5、成本效益原则 内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。,4,七、有效构建内部控制五要素,第一要素：内部环境 内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础，一般包括治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化等。 企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。,5,（1）公司治理结构,股东大会（权力机构）、董事会（决策机构）、监事会（监督机构）、总经理层（日常管理机构） 董事会对股东（大）会负责，依法行使企业的经营决策权。 监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。 经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。,6,（2）公司监控机制,监事会、审计委员会、内控机构和审计部门等。 监事会对董事会建立与实施内部控制进行监督。 董事会下设立审计委员会，审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。 企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。,7,企业应当加强内部审计工作，保证内部审计机构设置，人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查，内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。,8,内部环境是实施内部控制的基础,控制环境并不就是内部控制系统赖以存在的内外部环境，即不是内部控制的环境，它本身就是内部控制的一个组成部分，是整个内控框架的基础。它塑造组织的控制文化，影响员工的控制意识；它支撑着整个内部控制框架，是推动控制工作的发动机；它奠定组织的制度和结构，并涉及到所有活动的核心人，特别是人的控制觉悟；它还反映企业各级管理层对内部控制的要求。,9,第二要素：风险评估,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。 风险评估构成要素与一般程序,目标设定,风险识别,风险分析,风险应对,10,企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。 企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。,11,经济因素,法律因素,社会因素,科学技术因素,自然环境因素,其他因素,人力资源因素,管理因素,自主创新因素,财务因素,安全环保因素,其他因素,外部风险因素,内部风险因素,风险 因素,12,风险应对是指企业在评估了相关风险的可能性和后果，以及成本效益之后，选择一系列措施使剩余风险处于期望的风险容忍限度以内。 风险应对策略：风险规避、风险降低、风险分担、风险承受。,13,风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。 风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。,14,风险分担是企业准备借助他人力量，采取业务分包，购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。 风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。,15,第三要素：控制活动 企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。 基本规范提出七大控制措施：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。,16,（1）不相容职务分离控制,不相容职务是指那些如果由一个人担任既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。例如：授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准上与监督检查等。 不相容职务分离的核心是“内部牵制”。 对财务岗位、领导岗位建立强制轮换或带薪休假制度。,17,（2）授权审批控制,授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。 常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。 特别授权是指企业在特殊情况、特定条件下进行的授权。 企业应当编制常规授权的权限指引，规范特别授权范围、权限、程序和责任，严格控制特别授权。,18,企业各级管理人员应当在授权范围内行使职权和承担责任。 企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。,19,（3）会计系统控制,会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料的真实完整。 企业应当依法设置会计机构，配备会计从业人员、从事会计工作的人员，必须取得会计从业资格证书，会计机构负责人应当具备会计师以上专业技术职务资格。 大中型企业应当设置总会计师，设置总会计师的企业，不得设置与其职权重叠的副职。,20,（4）财产保护控制,财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、帐实核对等措施，确保财产安全。 企业应当严格限制未经授权的人员接触和处置财产。,21,（5）预算控制,预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。,22,（6）运营分析控制,运营分析控制要求企业建立运营情况分析制度、经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。,23,（7）绩效考评控制,绩效考评控制要求企业建立和实施绩效考评制度。科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。,24,企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。 企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。,25,风险预警机制就是利用度量企业风险状况偏离预警线的强弱程度、发出风险警戒信号的过程。 风险预警机制的建立过程通常是企业选择重点监测指标，确定风险危机警戒标准，监测和发现企业财务危机，及时警示有关负责人员，并分析企业发生财务危机的原因、企业运行潜在的问题，提出防范措施的一种制度安排。,26,建立突发事件应急处理机制 及时研究清楚突发事件产生的原因 从SARS到禽流感，以及特大火灾、洪灾、泥石流、矿难、地震等突发事件频繁发生，对受影响的企业来说有时是致命的 加强对突发事件的管理与监控 由于突发事件的影响结果不同，面临的财务问题也大相径庭。面对突发事件，企业更应当统一领导、统一指挥、集中力量处理好突发事件，努力促使企业转危为安。,27,第四要素：信息与沟通 信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。 信息沟通过程中发现的问题，应当及时报告并加以解决。 重要信息应当及时传递给董事会、监事会和经理层。,28,企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。 内部信息：财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等。 外部信息：行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道获取。,29,企业应当建立反舞弊机制，坚持惩防并举，重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。,30,反舞弊工作的重点： （1）未经授权或者采取其他不法方式侵占、挪用企业资产、牟取不当利益。 （2）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。 （3）董事、监事、经理及其他高级管理人员滥用职权。 （4）相关机构或人员串通舞弊。,31,企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办理要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。,32,第五要素：内部监督,内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。 内部监督分为日常监督和专项监督。企业应结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。,33,企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。,34,1）内部控制缺陷是指内部控制制度的设计存在漏洞、不能有效防范错误与舞弊，或者内部控制制度的运行存在弱点和偏差、不能及时发现并纠正错误与舞弊的情形。内部控制缺陷包括设计缺陷和运行缺陷。 企业对在监督检查过程中发现的内部控制缺陷，应当采取适当的形式及时进行报告。同时，应当分析内部控制缺陷产生的原因，并有针对性地提出改进意见，不断健全和完善企业内部控制制度。,35,2）内部控制重大缺陷是指业已发现的内部控制缺陷可能严重影响财务会计报告的真实可靠和资产的安全完整。 对于监督检查中发现的重大缺陷或者重大风险，应当及时向董事长和经理汇报。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。,36,企业应结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。 企业实施内部控制评价一般包括对内部控制设计有效性和运行有效性的评价。内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。,37,内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。 企业应当以书面或者其他适当形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。,38,基本规范五要素关系及其作用,内部监督,控制活动,风险评估,内部环境,信,息,沟,通,信,息,沟,通,基础,手段,保证,载体,依据,39,八、创新内部控制实施机制,以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制，要求企业实行内部控制自我评价制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系 国务院有关监管部门有权对