用友软件企资料新业内部控制建设指导方案

加强内部控制是市场及企业加强内部控制是市场及企业自身发展的要求自身发展的要求企业内部控制建设指导方案企业内部控制建设指导方案 第一部分第一部分 内内部控制失败警示录部控制失败警示录一系列震惊中外的内部控制失灵案再次向世人昭示：如果内控失败，风险管理不当，则难以基业常青！控制失败案件回放控制失败案件回放-国外国外-安然事件安然事件案例背景案例背景会计造假会计造假主要问题主要问题美国最大的能源公司，美国企业500强；2001年度第七位；2001年12月突然申请破产保护；导致安达信会计师事务所倒闭；首席执行官及首席财务管被联邦法院提起刑事诉讼。设立复杂的公司组织结构，通过关联方交易操纵利润；利用“特别目的实体”，隐藏企业债务；通过SPE空挂应收票据，高估资产和股东权益；利用衍生金融工具。公司文化重视短期业绩公司管理层不重视或推动内部控制制度（内部）；董事会和审计委员会对管理层采取不干预态度，缺乏对管理层有效的监督（公司治理）；管理者的奖励直接与公司股价挂钩。美国安然能源公司，一个居世界美国安然能源公司，一个居世界500500强第强第7 7，20002000年营业规模过千亿元，让年营业规模过千亿元，让世人赫然的能源巨人，几乎在一瞬间倒塌了，它溅起碎片使得美国的政治世人赫然的能源巨人，几乎在一瞬间倒塌了，它溅起碎片使得美国的政治领袖和经济巨头们不得不报头规避。领袖和经济巨头们不得不报头规避。控制失败案件回放控制失败案件回放-国外国外-巴林银行巴林银行疏于监管巴林终酿大祸疏于监管巴林终酿大祸：巴林巨额亏损面临破产的消息一经传出，全球金融市场为之震动，正如传媒所形容的，犹如一场“金融地震”。案例背景案例背景主要问题主要问题成立于1762年，倒闭前是英国历史最久、名声最显赫的商业银行；1992-1995年期间，新加坡分公司的期货交易员里森刻意隐藏了金融衍生产品交易所造成的亏损，至1995年2月总亏损累计达14亿美元。英格兰银行宣布巴林银行不得继续从事交易活动并将申请资产清理，最终被荷兰国际集团收购。内部职责划分存在严重弊端内部职责划分存在严重弊端，里森身兼双职，既担任前台首席交易员，由负责管理后线清算；公司管理层不重视对财务报表的分析工作；公司管理层不重视对财务报表的分析工作；管理层未能及时就1994年底资产负债表上显示的5000万英镑的不明差额采取行动；内部控制制度在资金管理流程方面存在缺口，内部控制制度在资金管理流程方面存在缺口，里森在过程中多次成功地向伦敦总部取得大额资金，以支付衍生产品交易亏损所需追加的保证金，但内部监察机制未能由此发现问题。控制失败案件回放控制失败案件回放-国内国内-郑百文郑百文郑百文跌落发出的警示郑百文跌落发出的警示：案例背景案例背景主要问题主要问题郑百文原来是一个单纯的百货文化用品批发站，成立于1986年；1987年6月在郑州市百货公司和郑州市钟表文化用品公司合并的基础上组建成立；1988年在全国同行业率先进行股份制改革，成为全国商业批发行业的龙头；1996年在上海证券交易所挂牌上市；1996年销售收入41亿元，名列全国同行业前茅；1997年主营规模和资产收益率等在所有商业上市公司排名第一；1998年，郑百文即在中国股市创下了每股净亏2.54元的最高记录；1999年郑百文一年亏损掉9.8亿元，2000年8月，公司公告停牌重组。虚假上市；上市后披露虚假的财务信息；风险意识薄弱，风险意识薄弱，缺乏一套合理的风险评估和控制体系；负债过高，资产负债率达159.14%；盲目扩张。控制失败案件回放控制失败案件回放-国内国内-四川长虹四川长虹案例背景案例背景主要问题主要问题1994年在上海证券交易所上市，曾一度是国内股市少有的绩优股2004年12月28日长虹发布了上市10年以来的首次预亏报告；亏损主要缘自对单一应收款帐户（美国APEX公司）的坏账准备从1998年到现在，APEX公司已经累积拖欠四川长虹4.67亿美元货款对主要经销商的运营缺乏充分了解对主要经销商的运营缺乏充分了解，对运营风险掌握不足；缺乏有效的内部控制制度，以反映应收帐款缺乏有效的内部控制制度，以反映应收帐款的回收问题；的回收问题；管理者可能刻意隐瞒已发生的损失。控制失败案件回放控制失败案件回放-更多更多案例背景案例背景主要问题主要问题中航油因石油衍生品交易巨亏5.5亿美元，11月30日向新加坡高等法院申请破产保护；内部监督机制形同虚设；集团公司控制不了下属公司的“人”权；风险管理制度不健全，未建立危机处理机制伊利乳业2004年12月，公司董事长郑俊怀等5名高管因涉嫌挪用公款谋取私利被逮捕公司治理结构出现漏洞缺乏有效的监督机制监控公司资金的不法流动巨人集团拆借8000万港币投入保健品业；投建耗资10亿元巨人大厦；对生物工程的盲目乐观盲目多元化，没有任何风险管理措施或观念，导致巨人集团的没落秦池、郑州亚细亚、三九生化、大鹏证券。内部控制失败的后果内部控制失败的后果n竞争失败（企业由于竞争的失败会遭受诸多的不利）竞争失败（企业由于竞争的失败会遭受诸多的不利）n经营中断（企业目标无法实现）经营中断（企业目标无法实现）n法律诉讼（给企业带来经济和信誉损失）法律诉讼（给企业带来经济和信誉损失）n商业欺诈（商业欺诈（给企业带来经济损失）给企业带来经济损失）n无益开支（企业收益能力下降无益开支（企业收益能力下降 利润水平下降）利润水平下降）n资产损失（动摇持续经营能力）资产损失（动摇持续经营能力）n决策失误（企业倒闭）决策失误（企业倒闭）第二部分第二部分 内内部控制失败原因分析部控制失败原因分析李金华：企业内部控制形同虚设苍白无力！内部控制失败的原因内部控制失败的原因一、外部控制方面一、外部控制方面：外部控制不健全：对企业的审计主要以财务报告审计为主，尚未开展内部控制有效性的审计政府及其它监管机构尚未建立完善的对企业内部控制的监督机制缺乏对社会审计机构的监管措施现代企业控制机制外部控制内部控制法律法规控制资本市场控制兼并收购股东大会控制董事会控制总经理控制各职能部门及生产经营单位控制内部控制失败的原因内部控制失败的原因二、内部控制方面二、内部控制方面：1、企业没有建立基本的内部控制-实践中不多2、企业建立了一定的内部控制，但不系统、不完善-部分企业3、企业虽建立健全了内部控制，但执行不力，形同虚设-部分企业 （1）由于控制环境缺失，内控执行不力 （2）由于工具手段落后，内控执行不力4、企业虽建立了内部控制，但缺乏考核评价机制-多数企业 （制度设计、执行、考核评价）结论：健全有效的内部控制迫在眉睫！结论：健全有效的内部控制迫在眉睫！严格按内控制度行事任重严格按内控制度行事任重道远！道远！第三部分第三部分 相关法规的颁布及影响相关法规的颁布及影响国际：国际：萨萨班斯法案班斯法案-全球公司治理与监管改革的基本蓝图全球公司治理与监管改革的基本蓝图COSO内部控制整体框架内部控制整体框架COSO风险管理整体框架风险管理整体框架国际国际-萨班斯法案萨班斯法案1 1、法案颁布的背景、法案颁布的背景u安然，世通等知名公司相继暴露出严重的管理层欺诈丑闻，使美国上市公司深陷信用危机。会计系统的漏洞、管理层的失职、内部控制的缺乏以及外部审计人员的道德风险是导致管理层欺诈丑闻的根本原因。u重建公司信用，规范高级管理层与注册会计师关系和职业道德的要求刻不容缓。u 2002年6月，布什总统签署的萨班斯奥克斯利法案正式生效，该 法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，故简称萨班斯奥克斯利法案/2002年上市公司会计改革和投资者保护法。国际国际-萨班斯法案萨班斯法案2 2、法案颁布的目的、法案颁布的目的萨班斯法案的出台目的就是要重建公司信用，培育公众信心，振兴证券市场。具体包括：u加强公司监管，规范业务运作。u增加财务报告与信息披露的透明度。u确保公司管理层可以从有效监控的系统中获取重要信息u公司管理层必须对美国证券管理委员会要求存档的材料 和向投资者公布的信息承担责任。国际国际-萨班斯法案萨班斯法案3 3、法案的主要内容、法案的主要内容萨班斯法案萨班斯法案主要内容主要内容成立独立的公众公司会计检查委员会成立独立的公众公司会计检查委员会要求加强注册会计师的独立性要求加强注册会计师的独立性要求加大公司的财务报告责任要求加大公司的财务报告责任要求强化财务披露义务要求强化财务披露义务加重了违法行为的处罚措施加重了违法行为的处罚措施增加经费拨款，强化美国证券管理增加经费拨款，强化美国证券管理委员会的监管职能委员会的监管职能要求美国审计总数加强调查研究要求美国审计总数加强调查研究与公司相关度最高的是302节及404节国际国际-萨班斯法案萨班斯法案4 4、第、第302302节节 公司对财务报告的责任公司对财务报告的责任n要求要求公司首要官员及首要财务官在季度公司首要官员及首要财务官在季度/年度报告中保证年度报告中保证 对信息披露的控制和程序负责（含刑事责任）设计必要的内部控制手段并确保其执行可使高层及时获得重要信息 对披露控制的有效性进行评估，评估结果需存档 不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为 存档描述内部控制的重大变化n介绍信息披露的控制和程序介绍信息披露的控制和程序 强调财务人员的正直和财务报告系统控制的完整性 需披露的非财务信息包括：重要合同的签署，战略合作关系的解除以及法律诉讼n美国证券管理委员会要求美国证券管理委员会要求扩大信息披露的控制和财务报告系统内部控制程序的认证将内控评估日改为财务报告截止日国际国际-萨班斯法案萨班斯法案5 5、第、第404404节节 管理层对内部控制的评价管理层对内部控制的评价n要求要求公司管理层在年度报告中公司管理层在年度报告中 描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任 对财务报告系统内部控制有效性以一个公认架构进行评估（例如COSO内控架构）n同时要求外部审计人员同时要求外部审计人员 对管理层评估结果进行监证n美国证券管理委员会要求美国证券管理委员会要求扩大信息披露的控制和财务报告系统内部控制程序的认证将内控评估日改为财务报告截止日国际国际-萨班斯法案萨班斯法案6 6、调整后的萨班斯法案、调整后的萨班斯法案404404认证时间表认证时间表类别类别定义定义萨班斯萨班斯404404条款认证日期条款认证日期备注备注管理层管理层审计师审计师非加速非加速申报人申报人20062006年第二季度财务报年第二季度财务报表日市场市值小于表日市场市值小于7,5007,500万美元万美元20072007年年1212月月1515日日或以后财政年度或以后财政年度20082008年年1212月月1515日日或以后财政年度或以后财政年度同样适用于美国同样适用于美国公司和美国境外公司和美国境外上市公司上市公司加速申加速申报人报人20062006年第二季度财务报年第二季度财务报告日市场市值介于告日市场市值介于7,5007,500万和万和7 7亿美元之间亿美元之间20062006年年7 7月月1515日日或以后财政年度或以后财政年度20072007年年7 7月月1515日日或以后财政年度或以后财政年度适用于美国境外适用于美国境外上市公司上市公司大型加大型加速申报速申报公司公司20062006年第二季度财务报年第二季度财务报告日市场市值大于告日市场市值大于7 7亿亿20062006年年7 7月月1515日日或以后财政年度或以后财政年度新上市新上市公司公司第一次在美国上市的公第一次在美国上市的公司司在向在向SECSEC提交第一份财务报告以前，提交第一份财务报告以前，公司不需要遵循任何（包括管理层公司不需要遵循任何（包括管理层和审计师）和审计师）404404条款的认证要求条款的认证要求同样适用于美国同样适用于美国公司和美国境外公司和美国境外上市公司上市公司国际国际-萨班斯法案萨班斯法案7 7、管理层的责任、管理层的责任-评估财务报告内部控制的有效性评估财务报告内部控制的有效性n公司财务报告系统内部控制报告书的规定：公司财务报告系统内部控制报告书的规定：-必须申述下列情况以评估公司内部控制程序必须申述下列情况以评估公司内部控制程序 管理层承认对公司内部控制的有效性负有责任 公司必须使用适当的控制标准（例如COSO)来评估内部控制的有效性 公司必须提供充分的证据来支持其评估结果 公司必须书面记录与提交其对内部控制有效性的评估结论n需要提供下列证据和文件来支持评估结论需要提供下列证据和文件来支持评估结论 评估需要包括分支机构和业务单元的认定 重要内部控制的认定 重要内部控制程序的设计 控制实施的有效性 内控之重大失败和/或重大缺陷的认定 评估结果国际国际-萨班斯法案萨班斯法案8 8、法案、法案404404条款对公司董事会和管理层提出了巨大的挑战条款对公司董事会和管理层提出了巨大的挑战n需要投入大量的时间和资源，以确保合规n公司管理层必须每年评估并报告其对财务报告的内部控制的 有效性n外部审计师必须对公司管理层有关其财务报告的内部控制的 有效性的评估结果出具审计师意见n应评估汇报这个新的信息披露对市场的影响n公司董事会和审计委员会对管理层制定和执行404条款的计 划的程序、发现和改进工作进行监督。国际国际-萨班斯法案萨班斯法案萨班斯法案是美国针对资本市场的信任危机问题出台的法律文件；萨班斯法案是美国针对资本市场的信任危机问题出台的法律文件；对在美国上市的公众公司必须提供真实可靠的财务报告从法律上提出对在美国上市的公众公司必须提供真实可靠的财务报告从法律上提出要求和约束。要求和约束。中国企业：中国企业：海外上市公司：应当按照萨班斯法案及海外上市公司：应当按照萨班斯法案及cosocoso内部控制框架等先进内部控制框架等先进的内部控制理论和规范完善内部控制体系并做出评价。的内部控制理论和规范完善内部控制体系并做出评价。国内上市公司及未上市公司：应根据企业实际情况，依据国内证国内上市公司及未上市公司：应根据企业实际情况，依据国内证券交易所及财政部颁布的一系列规范来建立健全内部控制体系。券交易所及财政部颁布的一系列规范来建立健全内部控制体系。总结：中国企业总结：中国企业应正确对待萨班斯法案应正确对待萨班斯法案萨班斯法案旨在加强在美国上市公司的内部控制建设和监控。萨班斯法案旨在加强在美国上市公司的内部控制建设和监控。萨班斯法案从法律的高度规定了企业内部控制的责任人、应承担的责萨班斯法案从法律的高度规定了企业内部控制的责任人、应承担的责任、对内部控制的监督评价机制以及应向公众提供的证明其内部控制任、对内部控制的监督评价机制以及应向公众提供的证明其内部控制有效性的资料。有效性的资料。它是一种外部监控手段！与企业内部控制建设的其它目标并不矛盾！它是一种外部监控手段！与企业内部控制建设的其它目标并不矛盾！国际国际-coso-内部控制整体框架内部控制整体框架CosoCoso内部控制框架的诞生内部控制框架的诞生l反虚假财务报告委员会（反虚假财务报告委员会（Treadway委员会）成立于委员会）成立于1985年年l反虚假财务报告委员会在反虚假财务报告委员会在1987年签署了报告年签署了报告号召研究并制定一号召研究并制定一个统一的内部控制框架个统一的内部控制框架l1992年年9月颁布月颁布内部控制整合框架内部控制整合框架l2003年签署年签署“COSO企业风险管理企业风险管理”草案草案l2004年颁布年颁布企业风险管理整体框架企业风险管理整体框架最为广泛认可的针对内部控制整合框架的国际标准最为广泛认可的针对内部控制整合框架的国际标准国际国际-coso-内部控制整体框架内部控制整体框架CosoCoso内部控制框架的基本内容内部控制框架的基本内容内部控制的定义和目标：内部控制是一个靠组织的董事会、管理层和其他员工去实现的过程，实现这一过程是为了合理的保证：（三大目标）l经营的效率性和效果性l财务报告的可靠性l法律法规的遵循性内部控制的要素（五个要素）：控制环境、风险评估、控制活动、信息与沟通和监督。国际国际-coso-内部控制整体框架内部控制整体框架监监 督督信息与沟通信息与沟通控制活动控制活动风险评估风险评估控制环境控制环境法律法规的遵循性财务报告财务报告的可靠性的可靠性经营的效果和效率五五大大要要素素不不同同层层面面三方面目标三方面目标控制目标、控制要素和组织结构关系图控制目标、控制要素和组织结构关系图事事业业部部1 1业业务务部部门门1 1业业务务部部门门2 2国际国际-coso-内部控制整体框架内部控制整体框架要素要素1-1-控制环境控制环境l控制环境是所有其他内部控制组成部分的基础要素l它由反映最高管理当局、董事和企业所有者对控制以及控制对企业 重要性的全面态度的各种行为、政策和程序组成诚信的原则和道德价值观员工胜任能力管理哲学和经营风格组织结构权责分配体系人力资源政策及实行控制环境董事会和审计委员会国际国际-coso-内部控制整体框架内部控制整体框架要素要素2-2-风险评估风险评估l企业必须了解它所面临的风险，并加以控制。即设立可辨识、分析和管理 相关风险的机制l风险评估就是分析和辨识为实现企业目标所可能发生的风险。l关注点：公司层面的目标业务活动层面的目标风险应对变化目标风险控制行为控制活动环境变化后的管理评估和更新国际国际-coso-内部控制整体框架内部控制整体框架l企业必须基于风险评估的结果订立控制风险的政策及程序，并予以执行。（这里的政策和程序即所说的控制活动，是确保管理阶层的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。）l通常可以按业务分别进行制定。l关注点：针对企业的每项业务都要有必要和恰当的政策和程序 确定控制活动被适当的实施要素要素3-3-控制活动控制活动国际国际-coso-内部控制整体框架内部控制整体框架要素要素4-4-信息与沟通信息与沟通信息与沟通的核心内容为：决定哪类信息是实现控制目标所需要的，信息与沟通的核心内容为：决定哪类信息是实现控制目标所需要的，以及以何种形式去交流信息可以帮助员工履行自己的职责以及以何种形式去交流信息可以帮助员工履行自己的职责信息与沟通贯穿在风险评估和控制活动过程中，对其它四个构成要素信息与沟通贯穿在风险评估和控制活动过程中，对其它四个构成要素起到支持的作用起到支持的作用 内部信息资料信息信息怎么告诉？应该做什么？标准是什么？过程是什么？可能发生什么？发生了怎么办？做了吗？怎么做的？发生了什么？结果怎么样？原因是什么？告诉给谁？沟沟通通外部信息资料要素要素5-5-监督监督国际国际-coso-内部控制整体框架内部控制整体框架l整个内部控制的执行过程必须被监督l确保内部控制制度随情况的改变而做出动态的反应l应建立检查和报告体系监督是谁的职责：监督是谁的职责：l l管理层对内部控制执行情况进行持续监督管理层对内部控制执行情况进行持续监督l l内部审计部门应进行定期、不定期的个别评估内部审计部门应进行定期、不定期的个别评估关注点：l持续监控-在日常运作过程中l独立评估-对内部控制的重新审视l报告缺陷-内控缺陷应该应向管理层和董事会汇报国际国际-coso-全面风险管理框架全面风险管理框架与内部控制整体框架相比的重大突破与内部控制整体框架相比的重大突破国际国际-coso-全面风险管理框架全面风险管理框架重大突破内部控制整体框架全面风险管理框架风险管理观的提出未包含提出了风险组和观、风险偏好风险容忍度等概念。增加内部控制的目标三大目标：经营的效果和效率、财务报告的可靠性和法律法规的遵循性四大目标：提出一类新的目标战略目标目标的修正目标之一保证财务报告的可靠性发展为保证报告的可靠性将报告拓展到“内部的和外部的”、“财务的和非财务的报告”深化和拓展了内部控制要素五要素：控制环境、风险评估、控制活动、信息与沟通、监督八要素：内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监督代表企业风险意识日益增强和积极、主动管理风险对对COSO内部控制框架的认识内部控制框架的认识COSOCOSO内部控制及风险管理框架均是对企业内部控制及风险管理健全性内部控制及风险管理框架均是对企业内部控制及风险管理健全性及有效性的评价标准！及有效性的评价标准！是企业建立健全内部控制的基本标准和规范！是企业建立健全内部控制的基本标准和规范！是企业建立健全内部控制体系的指导框架！是企业建立健全内部控制体系的指导框架！但并没有提供企业建立健全内部控制的具体内容和方法！但并没有提供企业建立健全内部控制的具体内容和方法！中国企业：中国企业：海外上市公司：应当以海外上市公司：应当以cosocoso内部控制框架内部控制框架/风险管理框架为标准风险管理框架为标准完善企业内部控制的建设、执行和评价。完善企业内部控制的建设、执行和评价。国内上市公司及未上市公司：应根据企业实际情况，依据国内证国内上市公司及未上市公司：应根据企业实际情况，依据国内证券交易所及财政部颁布的一系列规范，可以采用券交易所及财政部颁布的一系列规范，可以采用CosoCoso控制框架进行内控制框架进行内控建设，也可分阶段分要素逐步建设及完善。控建设，也可分阶段分要素逐步建设及完善。总结：中国企业总结：中国企业应正确对待应正确对待COSOCOSO框架框架第三部分第三部分 相关法规的颁布及影响相关法规的颁布及影响国内：国内：20052005年年1010月，自证监会月，自证监会关于提高上市公司质量关于提高上市公司质量意见意见出台起，我国集中出台了一系列与内部控制和企出台起，我国集中出台了一系列与内部控制和企业风险管理相关的制度。业风险管理相关的制度。上市公司内部控制指引上市公司内部控制指引-证交所证交所中央企业全面风险管理指引中央企业全面风险管理指引-国资委国资委企业内部控制规范征求意见稿企业内部控制规范征求意见稿-财政部财政部我国内部控制与企业风险管理的发展我国内部控制与企业风险管理的发展l对内控的关注始于1997年中国人行印发的加强金融机构内部控制的指导原则加强金融机构内部控制的指导原则。l2004年12月25日商业银行内部控制评价试行办法商业银行内部控制评价试行办法l较美国SOX近20多年的出台过程，中国IC体系的发展在2005年10月以后快速形成，高密度的法规出台，在全球实属罕见。l2005年10月，中国证监会出台关于提高上市公司质量意见关于提高上市公司质量意见，随之，国务院对该意见进行批转。这是国务院首次就上市公司工作批转发布文件，速度之快也让业界感受到高层对此的重视。中国证监会2006年2月3日正式颁布并实施上市公司信息披露管理办法上市公司信息披露管理办法，首次明确上市公司必须建立信息披露内部管理制度，从而将相关方的信息披露义务上升到了一个全新的高度。l2006年5月17日，中国证券监督管理委员会发布第32号令首次公开发行股票并上市管理办首次公开发行股票并上市管理办法法。该办法第29条规定“发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告”。这是中国首次对上市公司内部控制提出具体的要求。l2006年6月5日，上交所出台上市公司内部控制指引上市公司内部控制指引，要求上市公司建立内部控制体系，自2006年7月1日全面执行。l2006年6月6日，国务院国资委也发布了中央企业全面风险管理指引中央企业全面风险管理指引。为加强央企内部控制和风险管理，国资委正在积极制定中央企业内部控制管理办法中央企业内部控制管理办法、中央企业内部控制评价办中央企业内部控制评价办法法、中央企业资产损失责任追究管理办法中央企业资产损失责任追究管理办法等系列政策，并将于2007年陆续出台。l2006年9月28日，深交所出台上市公司内部控制指引，敦促上市公司建立健全内部控制制度，并从2007年7月1日正式执行。l2006年7月15日，财政部选择美国萨班斯法案对中国在美上市企业生效的日子，发起成立了“企业内部控制标准委员会”（CICSC）；中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。这些都标志着中国内部控制体系已经走到了最关键的时期。l2007年3月2日，CICSC发布18项企业内部控制规范征求意见稿企业内部控制规范征求意见稿。中国即将拥有自己的“SOX”我国内部控制相关法规我国内部控制相关法规-已经颁布已经颁布上海证券交上海证券交易所易所上市上市公司内部控公司内部控制指引制指引20062006年年7 7月月1 1日起实施日起实施1、要求本所上市的公司应当保证内部控制的完整性、合理性及实施的有效性。2、按照coso8要素提出内部控制框架3、对于内部控制披露的强制性强制性规定：要求上市公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。深圳证券交深圳证券交易所易所上市上市公司内部控公司内部控制指引制指引20072007年年7 7月月1 1日起实施日起实施1、明确要求：深市主板公司2007年6月30日应当逐步建立涵盖其全部经营活动的内部控制制度，并有效执行和定期进行全面自我评估，从2007年年报开始，上市公司要按照内部控制指引的要求披露内部控制制度的制定和实施情况。2、采用coso8要素框架3、指出重点关注的控制内容国资委国资委中中央企业全面央企业全面风险管理指风险管理指引引20062006年年6 6月月6 6日颁布日颁布1、目的：旨在帮助中央企业建立健全风险管理长效机制，增强企业竞争力，促进企业持续健康发展，防止国有资产流失，提高投资者投资回报水平，保护投资者利益。2、风险分类：战略风险、财务风险、市场风险、运营风险、法律风险。3、国资委要求：具备条件的企业应全面推进，尽快建立全面风险管理体系，其他企业应制定开展全面风险管理的总体规划，分步实施。4、指引对收集风险管理初始信息、风险评估、风险管理策略、风险管理解决方案、风险管理组织体系、风险管理信息系统等做了详细描述。我国内部控制相关法规我国内部控制相关法规-已经颁布已经颁布我国内部控制相关法规我国内部控制相关法规-正在制定正在制定目标：目标：3-53-5年，基本建立一套以防范风险和控制舞弊为中心，以控制标准年，基本建立一套以防范风险和控制舞弊为中心，以控制标准和评价标准为主体的内部控制制度体系。和评价标准为主体的内部控制制度体系。规划：规划：包括一项基本规范、包括一项基本规范、2626项具体规范和应用指南项具体规范和应用指南。进展：进展：已经完成已经完成1717项内控具体规范的的征求意见稿，项内控具体规范的的征求意见稿，9 9项正在抓紧研究起项正在抓紧研究起草之中。草之中。财政部：财政部：企业内部控制规范企业内部控制规范我国内部控制相关法规我国内部控制相关法规-正在制定正在制定上述法律文件的颁布均表明中国监管层对上市公司内部控制建设由上述法律文件的颁布均表明中国监管层对上市公司内部控制建设由提倡向提倡向明确要求明确要求的转变。的转变。证交所、国资委及财政部颁布的一系列法规中，均直接借鉴了证交所、国资委及财政部颁布的一系列法规中，均直接借鉴了soxsox法法案及案及cosocoso框架的内容，框架的内容，并逐渐提高执行的强制性和严格性！并逐渐提高执行的强制性和严格性！在今后制定过程中，还可能根据中国企业现状进行修订！在今后制定过程中，还可能根据中国企业现状进行修订！由于企业千差万别，因此政府无法出台一套标准具体的企业内部控由于企业千差万别，因此政府无法出台一套标准具体的企业内部控制制度，而只能以指引制制度，而只能以指引/评价标准的方式颁布规范！评价标准的方式颁布规范！中国企业：中国企业：海外上市的公司：可以海外上市的公司：可以cosocoso内部控制框架内部控制框架/风险管理框架为标准风险管理框架为标准完善企业内部控制的建设、执行和评价。完善企业内部控制的建设、执行和评价。国内上市公司及未上市公司：可以财政部颁布的企业内控规范为国内上市公司及未上市公司：可以财政部颁布的企业内控规范为标准，比较企业内控建设现状，找出差距，在第三方的指导下进行内标准，比较企业内控建设现状，找出差距，在第三方的指导下进行内控体系的完善。控体系的完善。总结：中国内部控制的法规、规范正在制定和颁布中！总结：中国内部控制的法规、规范正在制定和颁布中！对我国内部控制法规的认识对我国内部控制法规的认识从法规出台引发的思考从法规出台引发的思考各国政府出台法规强制要求企业必须保证其内部控制的合各国政府出台法规强制要求企业必须保证其内部控制的合理和有效理和有效-外部监管外部监管中国企业建立健全中国企业建立健全内部控制的目的是内部控制的目的是什么？什么？中国企业如何建立健全内部中国企业如何建立健全内部控制体系并有效执行？遵循控制体系并有效执行？遵循何种法规或标准？何种法规或标准？第四部分第四部分 中国企业内控建设中国企业内控建设分阶段进行分阶段进行有控则强、失控则弱、无控则乱！有控则强、失控则弱、无控则乱！推动内部控制建设的合理分工推动内部控制建设的合理分工n董事会对企业内部控制的建立健全及运行负有监督责任n管理层对建立健全内部控制并使之有效运行负责n内部审计机构承担对内部控制直接检查和提出建议的责任n其他员工内部控制是每一位员工的责任国资委证监会财政部政府机构政府机构企业企业中介机构中介机构n针对中央企业n制定针对内控及风险的管理控制规范n针对上市公司n制定针对内控及风险的管理控制规范n面向所有企业n制定并完善企业内部控制规范（建设和评价）咨询公司软件公司审计机构n指导企业建立符合一定要求的内部控制体系n为企业内部控制的执行和评价提供软件平台n指导企业建立IT环境下的内部控制系统n为企业内部控制有效性的评价提供监证服务中国企业内部控制的建设及完善中国企业内部控制的建设及完善中国企业建立健全内部控制的目的中国企业建立健全内部控制的目的应对法律法规及监管机构的要求是企业健康发展、平稳运行的内在要求真正目的中国企业如何建立健全内部控制？遵循何种法规或标准？中国企业如何建立健全内部控制？遵循何种法规或标准？企业分类在海外上市的公司管理水平先进的国内上市公司内控制度较完善但执行不力的国内上市公司其他国内上市公司根据萨班斯法案、coso内部控制框架Coso全面风险管理框架等先进理念和架构进行内部控制建设加强内控环境的建设利用先进工具保证内控的执行加强内控的监督和评价结合自身情况，根据我国颁布的内控规范的要求分阶段逐步完善内部控制体系借助软件公司咨询公司力量第五部分第五部分 企业内部控制体系企业内部控制体系的建设的建设内部控制内部控制现代企业制度的内在要求现代企业制度的内在要求控制活动是企业管理活动的重要组成部分控制活动是企业管理活动的重要组成部分企业内部控制体系的建设企业内部控制体系的建设一、企业内部控制体系建设一、企业内部控制体系建设理论前提理论前提二、企业内部控制体系的建设二、企业内部控制体系的建设业务循环控制业务循环控制三、企业内部控制的执行三、企业内部控制的执行内控的实质内控的实质四、企业内部控制的监督评价四、企业内部控制的监督评价内控的保障内控的保障企业内部控制体系的建设企业内部控制体系的建设-理论前提理论前提企业内部控制的定义企业内部控制的定义内部控制绝对不是：内部控制绝对不是：静态的结构某一层次人员的任务（例如：高级管理层）某一部门的任务（例如：财务、内部审计）某一实体的任务（例如：总部、省级公司）内部控制是：内部控制是：内部控制是一个靠组织的董事会、管理层和其他员工去实现的过 程，实现这一过程是为了合理的保证：经营的效果性和效率性；财务报告的可信性；对法律和规章制度的遵循性。企业内部控制体系建设的目标企业内部控制体系建设的目标u高层目标：满足企业战略和持续发展的目标。u中层目标：改善经营管理，提高企业经营效率和管理效果。u最低目标：（1）规范单位会计行为，保证会计资料真实、完整，提高会计信息质量。（从出资方/企业内部/企业集团角度）（2）堵塞漏洞，消除隐患，防止并及时发现和纠正各种欺诈、舞弊行为，保护单位财产的安全完整。（3）保证财务活动的合法性。（4）保证国家法律法规的遵守执行。企业内部控制体系的建设企业内部控制体系的建设-理论前提理论前提企业内部控制体系的建设企业内部控制体系的建设-理论前提理论前提企业内部控制的指导原则企业内部控制的指导原则一、建立内部控制体系的指导原则一、建立内部控制体系的指导原则1、合规性原则、合规性原则企业在制定内部控制制度时，必须遵循国家有关法律法规企业在制定内部控制制度时，必须遵循国家有关法律法规2、健全性原则、健全性原则企业内部控制系统必须规范各项经济活动，涵盖对人、财、物企业内部控制系统必须规范各项经济活动，涵盖对人、财、物的全方位管理的全方位管理3、适用性原则、适用性原则企业制定何种内部控制制度以及包含哪些内容要取决于企业经企业制定何种内部控制制度以及包含哪些内容要取决于企业经营的环境和特点营的环境和特点4、可行性原则、可行性原则要明确、便于操作和运行要明确、便于操作和运行5、有效性原则、有效性原则企业应定期检查内部控制制度的执行情况，保证执行的有效性企业应定期检查内部控制制度的执行情况，保证执行的有效性6、成本效益原则、成本效益原则企业力争以最小的控制成本取得最大的控制效果企业力争以最小的控制成本取得最大的控制效果企业内部控制体系的建设企业内部控制体系的建设-理论前提理论前提企业内部控制的指导原则企业内部控制的指导原则二、设计和实施内部控制的原则二、设计和实施内部控制的原则1、相关牵制原则、相关牵制原则一项完整的经济业务，必须分配给具有相关制约关系的两个一项完整的经济业务，必须分配给具有相关制约关系的两个或两个以上的职位分别完成。或两个以上的职位分别完成。2、协调配合原则、协调配合原则在各项经营管理活动中，各部门或人员必须相互配合，各岗在各项经营管理活动中，各部门或人员必须相互配合，各岗位和环节都应协调同步，各项业务程序和办理手续需要紧密衔接。位和环节都应协调同步，各项业务程序和办理手续需要紧密衔接。3、程式定位原则、程式定位原则企业单位应该根据各岗位业务性质和人员要求，相应的赋予企业单位应该根据各岗位业务性质和人员要求，相应的赋予作业任务和职责权限，规定操作规程和处理手续，明确纪律规则和检查标准，以使作业任务和职责权限，规定操作规程和处理手续，明确纪律规则和检查标准，以使职、责、权、利相结合。职、责、权、利相结合。4、审慎独立性原则、审慎独立性原则公司的各机构、部门和岗位职能上必须保持独立性。内部公司的各机构、部门和岗位职能上必须保持独立性。内部控制制度的规定要以审慎经营、防范和化解风险为出发点。控制制度的规定要以审慎经营、防范和化解风险为出发点。企业内部控制体系的建设企业内部控制体系的建设-理论前提理论前提企业内部控制的管理流程企业内部控制的管理流程内部控制制内部控制制度的设计度的设计确定企业确定企业组织结构组织结构进行职责进行职责权限划分权限划分制定业务制定业务流程手册流程手册内部控制内部控制的执行的执行内部控制内部控制的的监督评监督评价价确定审计确定审计范围范围内部控制内部控制测试测试内部控制内部控制评价评价提供评价提供评价证据证据出具内控出具内控评价报告评价报告内部控制内部控制改善建议改善建议企业内部控制体系的建设企业内部控制体系的建设-理论前提理论前提内部控制的基本方法内部控制的基本方法1、组织结构控制、组织结构控制包括法人治理结构和组织管理结构包括法人治理结构和组织管理结构2、授权批准控制、授权批准控制内部控制要求企业的一切经营活动必须经过授权批准才内部控制要求企业的一切经营活动必须经过授权批准才 允许进行允许进行3、文件记录控制、文件记录控制包括管理文件和会计记录文件包括管理文件和会计记录文件4、全面预算控制、全面预算控制现代企业内部控制离不开预算控制现代企业内部控制离不开预算控制5、实物保全控制、实物保全控制限制接触、定期盘点、记录监控、财产保险限制接触、定期盘点、记录监控、财产保险6、风险评估控制、风险评估控制通过风险预警、识别、分析、评估、报告等措施对经营通过风险预警、识别、分析、评估、报告等措施对经营 风险和财务风险进行防范与控制风险和财务风险进行防范与控制7、员工素质控制、员工素质控制对人的控制是第一位的控制对人的控制是第一位的控制8、内部报告控制、内部报告控制报告是企业重要的信息载体与沟通手段报告是企业重要的信息载体与沟通手段9、内部审计控制、内部审计控制对内部控制的设计及运行进行监督和评价对内部控制的设计及运行进行监督和评价10、计算机信息技术控制、计算机信息技术控制企业内部控制体系的建设企业内部控制体系的建设-理论前提理论前提企业内部控制体系的构成内容企业内部控制体系的构成内容-版本版本1 1版本一版本一（与国际基本趋同）（与国际基本趋同）全面控制框架全面控制框架1、概述、概述2、控制环境、控制环境3、风险管理、风险管理4、控制活动、控制活动5、信息与沟通、信息与沟通6、内部监督、内部监督控制环境控制环境1、公司治理结构、公司治理结构2、组织结构、组织结构3、职业道德、职业道德4、胜任能力、胜任能力5、经营理念、经营理念6、人力资源、人力资源风险管理风险管理1、目标确定、目标确定2、风险识别、风险识别3、风险分析、风险分析4、风险评估、风险评估5、风险反应、风险反应6、风险应变、风险应变企业内部控制体系的建设企业内部控制体系的建设-理论前提理论前提企业内部控制体系的构成内容企业内部控制体系的构成内容控制活动控制活动1、采购业务、采购业务2、存储业务、存储业务3、销售业务、销售业务4、投资业务、投资业务5、合同管理、合同管理6、物资管理、物资管理7、工程项目管理、工程项目管理8、固定资产管理、固定资产管理9、财务管理、财务管理10、人力资源与业绩、人力资源与业绩考核考核11、行政管理、行政管理12、监查审计、监查审计信息与沟通信息与沟通1、信息、信息2、沟通、沟通内部监督内部监督1、持续监督、持续监督2、独立评估、独立评估3、缺陷报告、缺陷报告企业内部控制体系的建设企业内部控制体系的建设-理论前提理论前提企业内部控制体系的构成内容企业内部控制体系的构成内容-版本版本2 2版本二版本二（未完全与国际趋同）（未完全与国际趋同）1、内部控制的定义、内部控制的定义2、公司内部控制现状、公司内部控制现状3、内部控制体系的建、内部控制体系的建设目的设目的4、内部控制体系的内、内部控制体系的内容容5、内部控制的方法、内部控制的方法内部控制活动内部控制活动1、采购及应付款控制、采购及应付款控制2、销售及应收款控制、销售及应收款控制3、生产控制、生产控制4、成本及费用控制、成本及费用控制5、货币资金的控制、货币资金的控制6、投资控制、投资控制7、筹资控制、筹资控制8、固定资产管理控制、固定资产管理控制9、工程项目控制、工程项目控制10、存货控制、存货控制11、财务管理控制、财务管理控制12、会计控制、会计控制13、人力资源控制、人力资源控制内部监督内部监督1、持续监督、持续监督2、独立评估、独立评估3、缺陷报告、缺陷报告企业根据自身企业根据自身情况分步完成情况分步完成企业内部控制体系的建设企业内部控制体系的建设一、企业内部控制体系的建设一、企业内部控制体系的建设理论前提理论前提二、企业内部控制体系的建设二、企业内部控制体系的建设业务循环控制业务循环控制三、企业内部控制的执行三、企业内部控制的执行内控的实质内控的实质四、企业内部控制的监督平价四、企业内部控制的监督平价内控的保障内控的保障企业内部控制体系的建设企业内部控制体系的建设-业务循环控制业务循环控制销售与收款循环内部控制制度销售与收款循环内部控制制度一、销售与收款业务中存在的风险：一、销售与收款业务中存在的风险：1、经营风险（1）随意降价导致收入减少；（2）擅自提价导致市场丢失；（3）赊销失控导致坏账增加或货款不能及时回笼；（4）货物发出不符合销售管理规定；（5）未经审核，擅自变更产品销售合同标准文件中涉及权力、义务的条款导致的风险。2、财务风险（1）虚增和截留收入；（2）多记或少记应收帐款；（3）销售收入计算错误；（4）会计科目核算错误；（5）货款回笼误入帐户；（6）应收帐款核算及帐龄分析不准确。3、合规风险（1）违反相关规定和市场规律，导致遭受处罚或损失；（2）产品销售合同不符合合同法等国家法律、法规和公司内部规章和制度的要求，造成损失。企业内部控制体系的建设企业内部控制体系的建设-业务循环控制业务循环控制二、销售与收款内部控制的目标二、销售与收款内部控制的目标1、保证商品安全完整 应从货物的开票、交付发运、运输等环节确保商品的安全完整，避免商品在运输过程中发生遗失或毁损等。2、保证销售业务顺畅有效的运行 销售控制应使各业务环节、各部门间能互相核对、稽查，及时发现和纠正错误和舞弊行为。3、保证货款的及时收回及货币资金的安全与完整 计算货款应该准确、结算货款应该及时、清理货款应该有力度，以确保货款及时完整的回收，加速资金流转。对收到的现金应及时送存银行，确保其安全与完整。防止收到现金不入账等现象的发生。4、确保销售与收款业务的真实与合法 各项销售业务应符合国家的有关规定，保证其合法性。同时，对销售业务活动的有关会计记录要做到客观、真实与完整。5、保证销售退回、折扣与折让手续齐备，记录真实、完整企业内部控制体系的建设企业内部控制体系的建设-业务循环控制业务循环控制三、职责分工控制三、职责分工控制所属部门所属部门职位职位职责职责不相容的职责不相容的职责销售部销售部门业务员与客户恰谈、起草合同；向客户催款；提出坏账申请；了解客户退货情况；参与客户信用额度订立。复核合同；审核客户需求信息；批准新客户。销售文员客户档案的保存与更新。与客户恰谈、起草合同；提出坏账申请；审核客户需求信息；批准新客户。销售部门负责人制定月度销售计划并监督实施；复核合同；审核客户需求信息；批准新客户及客户资料更新；按权限批准低于指导价格的销售；按权限批准客户超信用额度销售；按权限批准销售合同、销售折扣、信用额度等事项具体销售业务；开销售发票；填写销售调拨单；开具提货单。销售柜台经营人员执行柜台现销；填写销售调拨单；开具提货单。记录销售帐。企业内部控制体系的建设企业内部控制体系的建设-业务循环控制业务循环控制三、职责分工控制三、职责分工控制财务部主管会计记录应收及销售帐；应收帐款帐龄分析；记录坏账；复核及控制信用额度；收款。执行销售业务；收款工作；向欠款客户发放对帐单。开票岗开销售发票记账；出纳。相关会计定期与客户对帐，向客户发放对帐单。管理应收帐款；/收款。信用管理部负责对客户的信用调查，建立客户信用档案；核定客户的信用额度；批准销售部门提出的授信申请；制定企业的信用政策；监督各部门信用政策的执行；审核坏账申请。具体销售业务法务部相关人员审核合同；制定标准合同。具体销售业务仓储部仓库库管员备货、发货；检查退回货物。执行销售业务质检部质量检验人员检查退回货物复核及审批质量检定报告质检部负责人复核及审批质量检定报告检查退回货物四、销售价格的控制四、销售价格的控制 1、销售定价的控制、销售定价的控制 2、销售价格执行控制、销售价格执行控制五、客户信用管理控制五、客户信用管理控制 1、客户档案的控制、客户档案的控制 2、客户授信的确定及修改控制、客户授信的确定及修改控制 3、客户信用执行的控制、客户信用执行的控制六、销售合同的控制六、销售合同的控制七、销售业务流程的控制七、销售业务流程的控制 1、日常销售业务流程的控制、日常销售业务流程的控制 2、现金销售业务流程的控制、现金销售业务流程的控制八、销售退回的控制八、销售退回的控制九、收款的控制九、收款的控制企业内部控制体系的建设企业内部控制体系的建设-业务循环控制业务循环控制控制流程控制流程控制目标控制目标关键控制点关键控制点企业内部控制体系的建设企业内部控制体系的建设-业务循环控制业务循环控制七、七、传统传统日常销售业务流程控制日常销售业务流程控制控制流程控制流程企业内部控制体系的建设企业内部控制体系的建设-业务循环控制业务循环控制七、传统七、传统日常销售业务流程控制日常销售业务流程控制控制目标控制目标 1、保证客户需求信息的准确性和真实性。2、保证承接的订单与公司生产能力一致。3、保证销售给符合规定的客户（价格、信用等），保证公司资产安全。4、保证发票的开具合规合法。5、保证发票的内容准确、与合同相符。6、保证发票及时开具并准确传递给客户。7、保证发票与发货单、销售订单信息一致。企业内部控制体系的建设企业内部控制体系的建设-业务循环控制业务循环控制七、七、传统传统日常销售业务流程控制日常销售业务流程控制关键控制点关键控制点1、当客户需求量达到一定金额时，业务员要取得客户书面确认的销售订单。2、销售部门负责人审核销售订单要素，包括：价格、质量、规格、交货时间等。3、如果价格超过公司指导价格，需要执行特殊的审批流程。4、对于赊销业务，须由财务部专人审核客户的信用余额，当超过信用额度不足时，或者终止订单，或者执行特殊的审批流程。5、销售部需要确定库存量和生产能力是否充足，必要时与生产部、仓储部共同审核。6、根据客户需求信息，发出发货通知单。7、财务人员定期按照经客户确认的提货单及合同价开具销售发票，汇总核对后，报财务部门审核、入账，销售部同时登记销售台账。8、收入会计与开票人员必须分离。9、业务人员定期到财务处领取发票，并在发票领用单上签字确认。10、业务员定期将发票送至客户，并要求客户确认签收。11、财务人员定期核对客户确认签收单，对差异及长期未收回的签收单进行调查。12、月末应将销售订单、发货单、出库单、发票进行核对；销售帐簿与财务帐核对。企业内部控制体系的建设企业内部控制体系的建设一、企业内部控制体系的建设一、企业内部控制体系的建设理论前提理论前提二、企业内部控制体系的建设二、企业内部控制体系的建设业务循环控制业务循环控制三、企业内部控制的执行三、企业内部控制的执行内控的实质内控的实质四、企业内部控制的监督平价四、企业内部控制的监督平价内控的保障内控的保障多数中国企业存在内部控制的执行问题！多数中国企业存在内部控制的执行问题！仅有健全的内部控制制度，而不能保障其执行的有效性仅有健全的内部控制制度，而不能保障其执行的有效性纸上谈兵！纸上谈兵！确保内部控制执行有效性的方法：确保内部控制执行有效性的方法：1 1、加强企业内部控制环境的建设、加强企业内部控制环境的建设2 2、ITIT手段及管理信息系统已经成为企业内部控制执行的必手段及管理信息系统已经成为企业内部控制执行的必备工具备工具3 3、建立企业内部控制监督及考评机制是内部控制得以贯彻、建立企业内部控制监督及考评机制是内部控制得以贯彻执行的保障。执行的保障。企业内部控制的执行企业内部控制的执行-内控的实质内控的实质企业内部控制体系的建设企业内部控制体系的建设一、企业内部控制体系的建设一、企业内部控制体系的建设理论前提理论前提二、企业内部控制体系的建设二、企业内部控制体系的建设业务循环控制业务循环控制三、企业内部控制的执行三、企业内部控制的执行内控的实质内控的实质四、企业内部控制的监督评价四、企业内部控制的监督评价内控的保障内控的保障企业内部控制的监督评价企业内部控制的监督评价-评价标准评价标准企业内部控制评价的标准：企业内部控制评价的标准：l内部控制的完整性内部控制的完整性l内部控制的合理性内部控制的合理性l内部控制的有效性内部控制的有效性企业内部控制评价的内容：企业内部控制评价的内容：l遵循遵循cosocoso内部控制内部控制5 5要素要素l遵循遵循cosocoso风险管理风险管理8 8要素要素l遵循中国的内部控制规范。遵循中国的内部控制规范。企业内部控制的评价程序：企业内部控制的评价程序：l确定被评价单位内部控制系统的标准模式确定被评价单位内部控制系统的标准模式l调查被评价单位内部控制系统的现状调查被评价单位内部控制系统的现状 l评价单位内部控制制度的健全性评价单位内部控制制度的健全性l测试被评价单位内部控制的有效性测试被评价单位内部控制的有效性