黄飞鸿的师傅是谁:3(陈楠老师主讲)
来源:百度文库 编辑:九乡新闻网 时间:2024/04/19 19:19:33
内部控制要素解读 字体:大 中 小 打印:省纸版>> 清晰版>> 自定义>> 行距: 单倍 1.2单倍 1.5倍 1.7倍 2倍 字体: 大 中 小 隐藏: 答疑编号 手写板 重要条款解读
一、内部环境
内部环境处于内部控制五大要素之首。内部环境包含组织基调,具体内容包括:治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
内部环境的主要构成要素分析
1.治理结构(是源头的问题,一开始就要把它做好)
《企业内部控制基本规范》第11条明确了股东(大)会享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东(大)会负责,依法行使企业的经营决策权。监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。经理层负责组织实施股东(大)会、董事会决议事项,主持企业的生产经营管理工作。治理结构是由股东大会、董事会、监事会和管理层组成的,决定公司内部决策过程和利益相关者参与公司治理的办法,主要作用在于协调公司内部不同产权主体之间的经济利益矛盾,克服或减少代理成本。
2.机构设置及权责分配
我国相关法规反映出董事会在公司管理中居于核心地位,董事会应该对公司内部控制的建立、完善和有效运行负责。监事会对董事会建立与实施内部控制进行监督。公司管理层对内部控制制度的有效执行承担责任,其中处于不同层级的管理者掌握着不同的控制权力并承担相应的责任,同时相邻层级之间存在着控制和被控制的关系。
3.内部审计
《企业内部控制基本规范》第15条规定,企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。
内部审计控制是内部控制的一种特殊形式。其范围主要包括财务会计、管理会计和内部控制检查。内部审计主要具有监督、评价、控制和服务4种职能。其作用主要是防护性作用和建设性作用,防护性作用是通过内部审计的检查和评价企业内部的各项经济活动,发现那些不利于本企业目标实现的环节和方面,防止给企业造成不良后果。建设性作用是通过对审查活动的检查和评价,针对管理和控制中存在的问题和不足,提出富有建设性的意见和改进方案,从而协助企业改善经营管理,提高经济效益,以最好的方式实现组织的目标。
4.人力资源政策(良好的人力资源是企业不竭的源泉)
良好的人力资源政策对更好地贯彻和执行内部控制有很大的帮助,还能确保执行企业政策和程序的人员具有胜任能力和正直品行。《企业内部控制基本规范》第16条规定,企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容:员工的聘用、培训、辞退与辞职;员工的薪酬、考核、晋升与奖惩;关键岗位员工的强制休假制度和定期岗位轮换制度;掌握国家秘密或重要商业秘密的员工离岗的限制性规定;有关人力资源管理的其他政策。
从某种意义上说,企业内部控制的成效取决于员工素质的合格程度。因为任何内部控制制度的成效取决于其设计水平和高素质的人员的贯彻执行。因此,员工素质控制是内部控制的一个重要因素。员工素质控制包括企业在招聘、培训、考核、晋升与奖励等方面对员工素质的控制。
《企业内部控制基本规范》第17条规定企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。员工素质是内部控制得以有效实施的关键所在,员工的素质控制是内部环境的重要组成部分。培训则是保证和提高员工职业素质和专业胜任能力的重要方式。培训原则主要有激励、因材施教、实践、明确目标和统筹安排、合理规划等原则。当然培训完成后,培训评估是不可缺少的环节,即依据培训目标、应用科学的评估方法来评价培训的效果,只有这样,企业才能知道培训是否达到了目的。
5.企业文化(核心价值的建立)
企业文化是一切从事经济活动的组织之中形成的组织文化,是企业在长期的经营实践中形成的共同思想、作风、价值观念和行为准则,是一种具有企业个性的信念和行为方式。企业文化包含四个要素:制度文化、物质文化、行为文化、精神文化。这四者相互影响、相互作用,共同构成企业文化的完整体系。因此《企业内部控制基本规范》第18条明确了企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。
6.法律环境
企业如果不具有较强的法律意识,不能充分认识到法律风险的存在,并对其进行有效控制,轻则给企业带来经济损失,重则会给企业带来灭顶之灾。因此《企业内部控制基本规范》第19条规定企业应当加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。
二、风险评估
辨认风险,经营风险,决策过程方面(目标导向下的风险评估)
风险评估是组织辨认和分析与目标实现有关的风险的过程。风险评估提供了控制风险的基础。内部控制中的风险评估过程必须判明企业完成既定目标存在的外部风险与内部风险,分析各种风险的类型和程度。此处的风险评估是一个比较宽泛的概念,包括了风险管理的全过程,即设置目标、风险识别、风险分析、风险应对。
(一)设置目标
《企业内部控制基本规范》第21条规定企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。所以企业只有根据设定的风险承受度,才能全面系统持续地收集相关信息,最后结合实际情况,及时进行风险评估。
(二)风险识别
风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节,主要回答的问题是:存在哪些风险,哪些风险应予以考虑,引起风险的主要因素是什么,这些风险所引起的后果及严重程度如何,风险识别的方法有哪些等。而其中企业在风险评估过程中,更应当关注引起风险的主要因素,应当准确识别与实现控制目标有关的内部风险和外部风险。
企业的内部风险因素主要有:①董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。②组织机构、经营方式、资产管理、业务流程等管理因素。③研究开发、技术投入、信息技术运用等自主创新因素。④财务状况、经营成果、现金流量等财务因素。⑤营运安全、员工健康、环境保护等安全环保因素以及其他因素。
企业的外部风险因素主要有:①经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。②法律法规、监管要求等法律因素。③安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。④技术进步、工艺改进等科学技术因素。⑤自然灾害、环境状况等自然环境因素以及其他因素。
(三)风险分析
通过识别出的风险,我们应对其进行分析。为此《企业内部控制基本规范》第24条规定企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
(四)风险应对
在风险识别和风险分析的基础上,企业就应该结合具体的实际情况,选择合适的风险应对策略。企业风险应对策略有四种基本类型:风险规避、风险降低、风险分担、风险承受。因此《企业内部控制基本规范》第26条规定企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。
风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。这是控制风险的一种最彻底、最有力的措施,它与其他的控制风险方法不同,是在风险事故发生之前,将所有风险因素完全消除,从而彻底排除某一特定风险事故发生的可能性,同时也是一种消极的风险应对措施,因为选择这一策略也就放弃了可能从风险中获得的收益。
风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。这是风险管理中最积极主动也是最常见的一种处理方法,包括两类措施:风险预防和风险抑制。
风险分担是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。其主要措施包括业务分包、保险、出售、开脱责任合同以及合同中的转移责任条款5种。
风险承受是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。这也是一种最普通、最省事的风险应对策略。
风险应对的四种策略是根据企业的风险偏好和风险承受度制定的,风险规避策略在采用其他任何风险应对措施都不能将风险降低到企业风险承受度以内的情况下适用;风险降低和风险分担策略则是通过相关措施,使企业的剩余风险与企业的风险承受度相一致;风险承受则意味着风险在企业可承受范围之内。企业应该结合具体情况及时调整风险应对策略。所以《企业内部控制基本规范》第27条规定了企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
三、控制活动
对评估的风险去应对,应对风险的措施。不要仅仅是认为会计方面的不相容职务的分离。
《企业内部控制基本规范》第28条明确了企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
(一)不相容职务分离控制
《企业内部控制基本规范》第29条不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。所以企业进行组织规划,首先是要对不相容职务进行分离。
如果担任不相容职务的职工之间相互串通勾结,则不相容职务分离就失去作用了。但如果企业没有适当的职务分离,则发生错误和舞弊的可能性更大。
(二)授权审批控制
《企业内部控制基本规范》第30条的规定,授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。
授权按照其形式可分为常规授权和特别授权。常规授权是企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是对非经常经济行为进行专门研究后作出的授权。与常规授权不同,特别授权的对象是某些例外的经济业务,只涉及特定的经济业务处理的具体条件及有关具体人员。
(三)会计系统控制
《企业内部控制基本规范》第31条会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。会计系统是为确认、汇总、分析、分类、记录和报告企业发生的经济业务,并保持相关资产和负债的受托责任而建立的各种会计记录手段、会计政策、会计核算程序、会计报告制度和会计档案管理制度等的总称。所以很有必要对会计系统进行相关的控制。
(四)财产保护控制
《企业内部控制基本规范》第32条明确了企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产的安全完整;严格限制未经授权的人员接触和处置财产。这里所述的财产主要包括企业的现金、存货以及固定资产等。它们在企业资产总额中的比重较大,是企业进行经营活动的基础,因此企业应加强实物资产的保管控制,保证实物资产的安全、完整。所以就应建立安全、科学的保管制度、限制接近控制、人员牵制控制以及定期盘点、进行账实核对、财产保险等。
(五)预算控制
《企业内部控制基本规范》第33条预算控制要求企业实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。所以企业通过预算控制,使得经营目标转化为各部门、各个岗位以至个人的具体行为目标,作为各责任单位的约束条件,能够从根本上保证企业经营目标的实现。一般来说,企业全面预算体系包括经营预算、资本预算和财务预算。
(六)运营分析控制
开展运营活动分析的目的就在于把握企业经营是否向着预算规定的目标值发展,一旦发生偏差和问题就能找出问题所在,并根据新的情况解决问题或修正预算。一个企业的成功不仅仅依靠安全生产、扩大销售等手段,还依靠对运营成果进行总结分析,因此《企业内部控制基本规范》第34条规定运营分析控制要求企业建立运营情况分析控制,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
(七)绩效考评控制
《企业内部控制基本规范》第35条绩效考评控制要求企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。所以说绩效考评是一个过程,即首先明确企业要做什么(目标和计划),然后找到衡量工作做得好坏的标准进行监测,发现做得好的,进行奖励,使其继续保持或者做得更好,能够完成更高的目标。另外对发现不好的地方,通过分析找到问题所在,进行改正,使得工作做得更好。该过程就是绩效考评过程。
四、信息与沟通
信息与沟通涵盖在整个过程当中。如流程的设计,如何进行合理的安排,才能达到设计的合理。
及时、准确、完整地收集、加工、整理决策所需的信息是管理活动的重要组成部分。为此《企业内部控制基本规范》第38条明确了企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。这里所提到的信息是影响企业内部环境、风险评估、控制活动、内部监督等方面的信息。沟通是信息系统的一部分,是组织中的信息交流。信息交流是组织结构的核心,是组织存在的基础,没有信息交流就没有组织。因此信息的沟通是组织稳定的基础,对一个组织的发展具有重要作用。
(一)信息搜集
企业在进行信息搜集时应明确搜集的内容、方式等,所以在《企业内部控制基本规范》第39条规定企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。因为不同企业需要的信息存在差异,各企业对每类信息的侧重点也存在差异。因此企业应结合自身特点以及成本效益原则,选择使用适合的方式搜集有价值的信息。
(二)信息传递
《企业内部控制基本规范》第40条规定企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间与外部投资者、债权人、客户、供应商、中介机构和监督部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。所以信息传递对于企业来说也是非常重要的,但是在信息传递中往往因为管理者对信息传递的认识不够或传递方式的问题,使得信息传递中存在一些问题,常见的有准确性问题、完整性问题、及时性问题和安全性等问题,所以针对这些问题企业就应该加强信息传递过程的监督与复核、加强信息传递者和使用者的知识储备、加强对信息系统的改进以及信息传递与企业文化的结合。这样才能更好地为企业服务。
(三)信息共享
企业的内部控制系统实质上是一个信息系统,是一个对信息进行搜集、核对、整合、传递的过程,并且通过反馈机制改进信息的搜集、处理和传递,从而形成一个灵敏的信息沟通机制,促进内部控制目标的实现。信息系统的发展离不开信息技术的进步和人们对信息的需求的增加,在信息化社会中,信息的需求无疑会持续增加,所以企业应当提高先进信息技术的应用水平,建设和完善自身的信息系统。同时,信息系统又是由许多子系统组成的,为了使信息流、物流、资金流在企业内部部门之间、企业与外部机构之间充分流动,企业就必须依赖信息技术搭建信息共享的平台。因此《企业内部控制基本规范》第41条明确了企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
(四)反舞弊机制、举报人投诉制度和举报人保护制度
有效的信息交流机制可以对防范以及及时发现舞弊行为起到很好的作用。《企业内部控制基本规范》第42条规定企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点:①未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益。②在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。③董事、监事、经理及其他高级管理人员滥用职权。④相关机构或人员串通舞弊。
同时《企业内部控制基本规范》第43条规定企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。举报投诉制度是企业内部建立的、旨在鼓励员工对企业内部涉及内部控制方面违法行为或不当行为以匿名或明示的方式进行举报、投诉,并由专门机构对举报内容进行调查处理的一系列政策、程序和方法。该制度属于内部控制框架中的信息与沟通要素,具有预防、制止和揭露组织活动中的违法违规行为,保证企业各项活动的合法性和合规性的功能。
五、内部监督
内部监督是内部控制体系中不可或缺的一部分,是内部控制得到有效实施的有力保障,具有非常重要的地位。可以发现内控缺陷,改善内控体系,促进企业内部控制的健全性、合理性;提高企业内部控制施行的有效性;是外部监管的有力支撑;可以减少代理成本,保障股东的利益。为此《企业内部控制基本规范》第5条第5款规定内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
《企业内部控制基本规范》第44条规定,内部监督分为日常监督和专项监督。
日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;
专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。
专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。所以一般来说,风险水平较高并且重要的控制,对其进行专项监督检查的频率应较高。当然,如果企业的日常监督能够有效地起到监督效果,可以减少专项监督的频率。
(二)内部控制评价
之所以对内部控制进行评价,就是为了强化内部控制意识,建立健全内部控制机制,严格落实各项控制措施,确保内部控制体系有效运行;提高风险管理水平,为实现企业发展战略和经营目标提供保障;增强企业业务、财务和管理信息的真实性、完整性和及时性;保障企业资产的安全和完整;确保企业各项活动的合法合规性;为企业的风险管理提供信息服务和决策支持。所以在《企业内部控制基本规范》第46条中明确企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。以便发现和解决内部控制过程中出现的问题。
年度评价
公司的董事会要进行自我评价。并请事务所完成审核。
一、内部环境
内部环境处于内部控制五大要素之首。内部环境包含组织基调,具体内容包括:治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
内部环境的主要构成要素分析
1.治理结构(是源头的问题,一开始就要把它做好)
《企业内部控制基本规范》第11条明确了股东(大)会享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东(大)会负责,依法行使企业的经营决策权。监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。经理层负责组织实施股东(大)会、董事会决议事项,主持企业的生产经营管理工作。治理结构是由股东大会、董事会、监事会和管理层组成的,决定公司内部决策过程和利益相关者参与公司治理的办法,主要作用在于协调公司内部不同产权主体之间的经济利益矛盾,克服或减少代理成本。
2.机构设置及权责分配
我国相关法规反映出董事会在公司管理中居于核心地位,董事会应该对公司内部控制的建立、完善和有效运行负责。监事会对董事会建立与实施内部控制进行监督。公司管理层对内部控制制度的有效执行承担责任,其中处于不同层级的管理者掌握着不同的控制权力并承担相应的责任,同时相邻层级之间存在着控制和被控制的关系。
3.内部审计
《企业内部控制基本规范》第15条规定,企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。
内部审计控制是内部控制的一种特殊形式。其范围主要包括财务会计、管理会计和内部控制检查。内部审计主要具有监督、评价、控制和服务4种职能。其作用主要是防护性作用和建设性作用,防护性作用是通过内部审计的检查和评价企业内部的各项经济活动,发现那些不利于本企业目标实现的环节和方面,防止给企业造成不良后果。建设性作用是通过对审查活动的检查和评价,针对管理和控制中存在的问题和不足,提出富有建设性的意见和改进方案,从而协助企业改善经营管理,提高经济效益,以最好的方式实现组织的目标。
4.人力资源政策(良好的人力资源是企业不竭的源泉)
良好的人力资源政策对更好地贯彻和执行内部控制有很大的帮助,还能确保执行企业政策和程序的人员具有胜任能力和正直品行。《企业内部控制基本规范》第16条规定,企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容:员工的聘用、培训、辞退与辞职;员工的薪酬、考核、晋升与奖惩;关键岗位员工的强制休假制度和定期岗位轮换制度;掌握国家秘密或重要商业秘密的员工离岗的限制性规定;有关人力资源管理的其他政策。
从某种意义上说,企业内部控制的成效取决于员工素质的合格程度。因为任何内部控制制度的成效取决于其设计水平和高素质的人员的贯彻执行。因此,员工素质控制是内部控制的一个重要因素。员工素质控制包括企业在招聘、培训、考核、晋升与奖励等方面对员工素质的控制。
《企业内部控制基本规范》第17条规定企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。员工素质是内部控制得以有效实施的关键所在,员工的素质控制是内部环境的重要组成部分。培训则是保证和提高员工职业素质和专业胜任能力的重要方式。培训原则主要有激励、因材施教、实践、明确目标和统筹安排、合理规划等原则。当然培训完成后,培训评估是不可缺少的环节,即依据培训目标、应用科学的评估方法来评价培训的效果,只有这样,企业才能知道培训是否达到了目的。
5.企业文化(核心价值的建立)
企业文化是一切从事经济活动的组织之中形成的组织文化,是企业在长期的经营实践中形成的共同思想、作风、价值观念和行为准则,是一种具有企业个性的信念和行为方式。企业文化包含四个要素:制度文化、物质文化、行为文化、精神文化。这四者相互影响、相互作用,共同构成企业文化的完整体系。因此《企业内部控制基本规范》第18条明确了企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。
6.法律环境
企业如果不具有较强的法律意识,不能充分认识到法律风险的存在,并对其进行有效控制,轻则给企业带来经济损失,重则会给企业带来灭顶之灾。因此《企业内部控制基本规范》第19条规定企业应当加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。
二、风险评估
辨认风险,经营风险,决策过程方面(目标导向下的风险评估)
风险评估是组织辨认和分析与目标实现有关的风险的过程。风险评估提供了控制风险的基础。内部控制中的风险评估过程必须判明企业完成既定目标存在的外部风险与内部风险,分析各种风险的类型和程度。此处的风险评估是一个比较宽泛的概念,包括了风险管理的全过程,即设置目标、风险识别、风险分析、风险应对。
(一)设置目标
《企业内部控制基本规范》第21条规定企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。所以企业只有根据设定的风险承受度,才能全面系统持续地收集相关信息,最后结合实际情况,及时进行风险评估。
(二)风险识别
风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节,主要回答的问题是:存在哪些风险,哪些风险应予以考虑,引起风险的主要因素是什么,这些风险所引起的后果及严重程度如何,风险识别的方法有哪些等。而其中企业在风险评估过程中,更应当关注引起风险的主要因素,应当准确识别与实现控制目标有关的内部风险和外部风险。
企业的内部风险因素主要有:①董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。②组织机构、经营方式、资产管理、业务流程等管理因素。③研究开发、技术投入、信息技术运用等自主创新因素。④财务状况、经营成果、现金流量等财务因素。⑤营运安全、员工健康、环境保护等安全环保因素以及其他因素。
企业的外部风险因素主要有:①经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。②法律法规、监管要求等法律因素。③安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。④技术进步、工艺改进等科学技术因素。⑤自然灾害、环境状况等自然环境因素以及其他因素。
(三)风险分析
通过识别出的风险,我们应对其进行分析。为此《企业内部控制基本规范》第24条规定企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。企业进行风险分析,应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
(四)风险应对
在风险识别和风险分析的基础上,企业就应该结合具体的实际情况,选择合适的风险应对策略。企业风险应对策略有四种基本类型:风险规避、风险降低、风险分担、风险承受。因此《企业内部控制基本规范》第26条规定企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。
风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。这是控制风险的一种最彻底、最有力的措施,它与其他的控制风险方法不同,是在风险事故发生之前,将所有风险因素完全消除,从而彻底排除某一特定风险事故发生的可能性,同时也是一种消极的风险应对措施,因为选择这一策略也就放弃了可能从风险中获得的收益。
风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。这是风险管理中最积极主动也是最常见的一种处理方法,包括两类措施:风险预防和风险抑制。
风险分担是企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。其主要措施包括业务分包、保险、出售、开脱责任合同以及合同中的转移责任条款5种。
风险承受是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。这也是一种最普通、最省事的风险应对策略。
风险应对的四种策略是根据企业的风险偏好和风险承受度制定的,风险规避策略在采用其他任何风险应对措施都不能将风险降低到企业风险承受度以内的情况下适用;风险降低和风险分担策略则是通过相关措施,使企业的剩余风险与企业的风险承受度相一致;风险承受则意味着风险在企业可承受范围之内。企业应该结合具体情况及时调整风险应对策略。所以《企业内部控制基本规范》第27条规定了企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
三、控制活动
对评估的风险去应对,应对风险的措施。不要仅仅是认为会计方面的不相容职务的分离。
《企业内部控制基本规范》第28条明确了企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
(一)不相容职务分离控制
《企业内部控制基本规范》第29条不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。所以企业进行组织规划,首先是要对不相容职务进行分离。
如果担任不相容职务的职工之间相互串通勾结,则不相容职务分离就失去作用了。但如果企业没有适当的职务分离,则发生错误和舞弊的可能性更大。
(二)授权审批控制
《企业内部控制基本规范》第30条的规定,授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引,规范特别授权的范围、权限、程序和责任,严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。
授权按照其形式可分为常规授权和特别授权。常规授权是企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是对非经常经济行为进行专门研究后作出的授权。与常规授权不同,特别授权的对象是某些例外的经济业务,只涉及特定的经济业务处理的具体条件及有关具体人员。
(三)会计系统控制
《企业内部控制基本规范》第31条会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。会计系统是为确认、汇总、分析、分类、记录和报告企业发生的经济业务,并保持相关资产和负债的受托责任而建立的各种会计记录手段、会计政策、会计核算程序、会计报告制度和会计档案管理制度等的总称。所以很有必要对会计系统进行相关的控制。
(四)财产保护控制
《企业内部控制基本规范》第32条明确了企业建立财产日常管理制度和定期清查制度,采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产的安全完整;严格限制未经授权的人员接触和处置财产。这里所述的财产主要包括企业的现金、存货以及固定资产等。它们在企业资产总额中的比重较大,是企业进行经营活动的基础,因此企业应加强实物资产的保管控制,保证实物资产的安全、完整。所以就应建立安全、科学的保管制度、限制接近控制、人员牵制控制以及定期盘点、进行账实核对、财产保险等。
(五)预算控制
《企业内部控制基本规范》第33条预算控制要求企业实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。所以企业通过预算控制,使得经营目标转化为各部门、各个岗位以至个人的具体行为目标,作为各责任单位的约束条件,能够从根本上保证企业经营目标的实现。一般来说,企业全面预算体系包括经营预算、资本预算和财务预算。
(六)运营分析控制
开展运营活动分析的目的就在于把握企业经营是否向着预算规定的目标值发展,一旦发生偏差和问题就能找出问题所在,并根据新的情况解决问题或修正预算。一个企业的成功不仅仅依靠安全生产、扩大销售等手段,还依靠对运营成果进行总结分析,因此《企业内部控制基本规范》第34条规定运营分析控制要求企业建立运营情况分析控制,经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及时查明原因并加以改进。
(七)绩效考评控制
《企业内部控制基本规范》第35条绩效考评控制要求企业建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。所以说绩效考评是一个过程,即首先明确企业要做什么(目标和计划),然后找到衡量工作做得好坏的标准进行监测,发现做得好的,进行奖励,使其继续保持或者做得更好,能够完成更高的目标。另外对发现不好的地方,通过分析找到问题所在,进行改正,使得工作做得更好。该过程就是绩效考评过程。
四、信息与沟通
信息与沟通涵盖在整个过程当中。如流程的设计,如何进行合理的安排,才能达到设计的合理。
及时、准确、完整地收集、加工、整理决策所需的信息是管理活动的重要组成部分。为此《企业内部控制基本规范》第38条明确了企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。这里所提到的信息是影响企业内部环境、风险评估、控制活动、内部监督等方面的信息。沟通是信息系统的一部分,是组织中的信息交流。信息交流是组织结构的核心,是组织存在的基础,没有信息交流就没有组织。因此信息的沟通是组织稳定的基础,对一个组织的发展具有重要作用。
(一)信息搜集
企业在进行信息搜集时应明确搜集的内容、方式等,所以在《企业内部控制基本规范》第39条规定企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。因为不同企业需要的信息存在差异,各企业对每类信息的侧重点也存在差异。因此企业应结合自身特点以及成本效益原则,选择使用适合的方式搜集有价值的信息。
(二)信息传递
《企业内部控制基本规范》第40条规定企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间与外部投资者、债权人、客户、供应商、中介机构和监督部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。所以信息传递对于企业来说也是非常重要的,但是在信息传递中往往因为管理者对信息传递的认识不够或传递方式的问题,使得信息传递中存在一些问题,常见的有准确性问题、完整性问题、及时性问题和安全性等问题,所以针对这些问题企业就应该加强信息传递过程的监督与复核、加强信息传递者和使用者的知识储备、加强对信息系统的改进以及信息传递与企业文化的结合。这样才能更好地为企业服务。
(三)信息共享
企业的内部控制系统实质上是一个信息系统,是一个对信息进行搜集、核对、整合、传递的过程,并且通过反馈机制改进信息的搜集、处理和传递,从而形成一个灵敏的信息沟通机制,促进内部控制目标的实现。信息系统的发展离不开信息技术的进步和人们对信息的需求的增加,在信息化社会中,信息的需求无疑会持续增加,所以企业应当提高先进信息技术的应用水平,建设和完善自身的信息系统。同时,信息系统又是由许多子系统组成的,为了使信息流、物流、资金流在企业内部部门之间、企业与外部机构之间充分流动,企业就必须依赖信息技术搭建信息共享的平台。因此《企业内部控制基本规范》第41条明确了企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
(四)反舞弊机制、举报人投诉制度和举报人保护制度
有效的信息交流机制可以对防范以及及时发现舞弊行为起到很好的作用。《企业内部控制基本规范》第42条规定企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点:①未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益。②在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。③董事、监事、经理及其他高级管理人员滥用职权。④相关机构或人员串通舞弊。
同时《企业内部控制基本规范》第43条规定企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。举报投诉制度是企业内部建立的、旨在鼓励员工对企业内部涉及内部控制方面违法行为或不当行为以匿名或明示的方式进行举报、投诉,并由专门机构对举报内容进行调查处理的一系列政策、程序和方法。该制度属于内部控制框架中的信息与沟通要素,具有预防、制止和揭露组织活动中的违法违规行为,保证企业各项活动的合法性和合规性的功能。
五、内部监督
内部监督是内部控制体系中不可或缺的一部分,是内部控制得到有效实施的有力保障,具有非常重要的地位。可以发现内控缺陷,改善内控体系,促进企业内部控制的健全性、合理性;提高企业内部控制施行的有效性;是外部监管的有力支撑;可以减少代理成本,保障股东的利益。为此《企业内部控制基本规范》第5条第5款规定内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
《企业内部控制基本规范》第44条规定,内部监督分为日常监督和专项监督。
日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;
专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。
专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。所以一般来说,风险水平较高并且重要的控制,对其进行专项监督检查的频率应较高。当然,如果企业的日常监督能够有效地起到监督效果,可以减少专项监督的频率。
(二)内部控制评价
之所以对内部控制进行评价,就是为了强化内部控制意识,建立健全内部控制机制,严格落实各项控制措施,确保内部控制体系有效运行;提高风险管理水平,为实现企业发展战略和经营目标提供保障;增强企业业务、财务和管理信息的真实性、完整性和及时性;保障企业资产的安全和完整;确保企业各项活动的合法合规性;为企业的风险管理提供信息服务和决策支持。所以在《企业内部控制基本规范》第46条中明确企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。以便发现和解决内部控制过程中出现的问题。
年度评价
公司的董事会要进行自我评价。并请事务所完成审核。
3(陈楠老师主讲)
20章(陈 楠老师主讲)
2(陈楠老师主讲)
4(陈楠老师主讲)
继(陈 楠老师主讲)
6(陈 楠老师主讲)
7(陈 楠老师主讲)
8(陈 楠老师主讲)
9(陈 楠老师主讲)
企业内部控制基本规范及三个指引 前言(陈 楠老师主讲)绪论
继续教育《企业内部控制基本规范及三个指引》第二部分第一章(陈 楠老师主讲)
11(赵海涛老师主讲)
12(赵海涛老师主讲)
13(赵海涛老师主讲)
14(赵海涛老师主讲)
15章(赵海涛老师主讲)
16章(赵海涛老师主讲)
17章(赵海涛老师主讲)
18章(赵海涛老师主讲)
19章(赵海涛老师主讲)
10(赵海涛老师主讲)
继续教育《企业内部控制基本规范及三个指引》第一部分 总则和附则(陈楠老师主讲)
继续教育《企业内部控制基本规范及三个指引》第一部分 总则和附则(陈楠老师主讲)
继续教育《企业内部控制基本规范及三个指引》第二部分第二章(陈 楠老师主讲)