战略第六章笔记_战略第六章笔记
战略第六章笔记由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“战略第六章笔记”。
第六章风险管理框架下的内部控制
第一节内部控制基本规范
一、内部控制的目标
《企业内部控制基本规范》将内部控制定义为:由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程。
《企业内部控制基本规范》将内部控制的目标归纳为五个方面:(1)合理保证企业经营管理合法合规;
(2)合理保证企业资产安全;
(3)合理保证企业财务报告及相关信息真实完整;
(4)提高经营效率和效果;
(5)促进企业实现发展战略。
该定义反映了以下基本概念:内部控制是一个过程,它是实现目的的手段,而非目的本身;内部控制受人的影响,它不仅仅是政策手册和图表,而且涉及企业各层次的人员;内部控制只能向企业董事会和经理层提供合理的保证,而非绝对的保证;内部控制是为了实现五类既相互独立又相互联系的目标。
二、内部控制的原则
(一)全面性原则
(二)重要性原则
(三)制衡性原则
(四)适应性原则
(五)成本效益原则。
三、内部控制的实施体系
《企业内部基本规范》规定了内部控制的实施体系。
(一)以法制为推动
(二)以企业实施为主体
(三)以政府监管和社会评价为保障
四、内部控制的要素
借鉴COSO框架,基本规范将内部控制的要素归纳为内部环境、风险评估、控制活动、信息与沟通、内部监督五大方面。
(一)内部环境----是企业实施内部控制的基础。基本规范将内部环境的要
素归纳为六个方面,即公司治理结构、内部机构设置与职责分工、内部审计、人力资源政策、企业文化和法制环境。
(二)风险评估----是企业及时识别、系统分析经营活动中与实现内部控制
目标相关的风险,合理确定风险应对策略。基本规范将风险评估的要素归纳为四个方面,即确定风险承受度、识别风险(包括内部和外部风险)、风险分析和风险应对。
(三)控制活动----是企业根据风险评估结果,采用相应的控制措施,将风
险控制在可承受度之内。基本规范将控制活动或控制措施概括为七个方面,即不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
(四)信息与沟通----是企业及时、准确地收集、传递与内部控制相关的信
息,确保信息在企业内部、企业与外部之间进行有效沟通。
(五)内部监督----是企业对内部控制建立与实施情况进行监督检查,评价
内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
第二节内部控制应用指引
《企业内部控制应用指引第1号----组织架构》
《企业内部控制应用指引第2号----发展战略》
《企业内部控制应用指引第3号----人力资源》
《企业内部控制应用指引第4号----社会责任》
《企业内部控制应用指引第5号----企业文化》
《企业内部控制应用指引第6号----资金活动》
《企业内部控制应用指引第7号----采购业务》
《企业内部控制应用指引第8号----资产管理》
《企业内部控制应用指引第9号----销售业务》
《企业内部控制应用指引第10号----研究与开发》
《企业内部控制应用指引第11号----工程项目》
《企业内部控制应用指引第12号----担保业务》
《企业内部控制应用指引第13号----业务外包》
《企业内部控制应用指引第14号----财务报告》
《企业内部控制应用指引第15号----全面预算》
《企业内部控制应用指引第16号----合同管理》
《企业内部控制应用指引第17号----内部信息传递》
《企业内部控制应用指引第18号----信息系统》
第三节内部控制评价
一、内部控制评价
内部控制自我评价是由企业董事会和管理层实施的。进行评价的具体内容应围绕《基本规范》提及的内部控制五个要素,即内部环境、风险评估、控制活动、信息与沟通、内部监督,以及《基本规范》及《应用指引》中的内容。在确定具体内容后,企业应制定内部控制评价程序,对内部控制有效性进行全面评价,包括财务报告内部控制有效性和非财务报告内部控制有效性,同时为内部评价工作形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、关键风险点、采取的控制措施、有关证据资料以及认定结果等。企业还应在评价工作中明确内容控制缺陷的认定准则。完成评价后,企业应当准备一分内部控制自我评价报告,在其年报中进行披露。企业董事会应当对内部控制评价报告的真实性负责。
(一)内部控制评价应当遵循的原则
(1)全面性原则
(2)重要性原则
(3)客观性原则。
(二)内部控制评价的内容
根据《评价指引》的要求,内部控制评价的内容涉及以下七个方面:
(1)企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内
部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计
与运行情况进行全面评价。
(2)企业组织开展内部环境评价,应当以组织架构、发展战略、人力资
源、企业文化、社会责任等应用指引为依据,结合本企业的内部控
制制度,对内部环境的设计及实际运行情况进行认定和评价。
(3)企业组织开展风险评估机制评价,应当以《企业内部控制基本规范》
有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
(4)企业组织开展控制活动评价,应当以《企业内部控制基本规范》和
各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。
(5)企业组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本企业的内部控制制度,对
信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
(6)企业组织开展内部监督评价,应当以《企业内部控制基本规范》有
关内部监督的要求,以及各项应用指引中有关日常管控的规定为依
据,结合本企业的内部控制制度,对内部监督机制的有效性进行认
定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。
(7)内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据
资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简
便易行、便于操作。
(三)内部控制评价的程序
一般包括:制订评价控制方案、组织评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。
1.制订评价控制方案
企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。该评价部门或机构应具备以下条件:
(1)能够独立行使对内部控制系统建立与运行过程及结果进行监督的权
力;
(2)具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德
素养;
(3)与企业其他职能机构就监督与评价内部控制系统方面应当保持协调
一致,在工作中相互配合、相互制约;
(4)能够得到企业董事会和经理层的支持,通常直接接受董事会及其审
计委员会的领导和监事会的监督,有足够的权威性来保证内部控制
评价工作的顺利开展。
2.组成评价工作组
评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。
3.实施评价工作与测试
(1)了解公司层面基本情况。
(2)了解各业务层面的主要流程及风险。
评价工作组可审阅的内控流程文档可能有:风险控制矩阵文档、流程图文档、审批权限表文档。
(3)确定检查评价范围和重点。
(4)开展现场检查测试。
个别访谈;调查问卷;专题讨论;穿行测试;实地查验;抽样;比较分析;审阅与检查。
4.汇总评价结果。
(四)内部控制缺陷的认定
1.内部控制缺陷的分类
(1)按照内部控制缺陷的本质分类----设计缺陷和运行缺陷。
(2)按照内部控制严重程度分类----重大缺陷(也称实质性漏洞),重要缺陷和一般缺陷。
2.内部控制认定程序与整改。
对于重大缺陷和重要缺陷的整改方案,应向董事会(审计委员会)、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形,例如,存在与管理层舞弊相关的内部缺陷,内部控制评价组应当直接向董事会(审计委员会)、监事会报告。重要缺陷并不影响企业内部控制的整体有效性,但是应当引起董事会和管理层的重视。对于一般缺陷,可以与企业管理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。
(五)内部控制评价报告
《评价指引》要求企业在评价报告中至少披露以下内容:
1.董事会对内部控制报告真实性的声明,实质就是董事会全体成员对内部控制有效性负责。
2.内部控制评价工作的总体情况,即概要说明。
3.内部控制评价的依据,一般指《内控规范》、《评价指引》及企业在此基础上制定的评价办法。
4.内部控制评价的范围,描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项。
5.内部控制评价的程序和方法。
6.内部控制缺陷及其认定情况,主要描述适用于企业的内部控制缺陷具体认定标准,并声明与以前年度保持一致,同时,根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷=重要缺陷和一般缺陷。
7.内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
8.内部控制有效性的结论,对不存在重大缺陷的情形,出具评价期末内部控制有效结论,对存在重大缺陷的情形,不得做出内部控制有效的结论,并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。
二、审计委员会在内部控制中的作用
(一)审计委员会与内部控制
审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。一般来说,审计委员会的组成应全部由独立、非行政董事组成,他们至少拥有相关的财务经验。审计委员会的职能是监督、评估和复核企业内的其他部门和系统。董事会关于内部控制的主要目标会授权给审计委员会负责。在一般情况下,审计委员会负责整个风险管理过程,包括确保内部控制系统是充分且有效的。
(二)审计委员会履行职责的方式
建议审计委员会每年至少举行三次会议,并于审计周期的主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次,讨论与审计相关的事宜,但无须管理层出席。审计委员会主席可能特别希望与其他关键人员进行私下会面。审计委员会成员之间的不同意见如无法内部调解,应提请董事会解决。此外,审计委员会应每年对其权限及其有效性进行复核,并就必要的人员变更向董事会报告。为了很好地完成这项工作,行政管理层必须向审计委员会提供恰当的信息。管理层审计委员会有告知义务,并应主动提供信息,而不应等待审计委员会索取。
(三)审计委员会与合规
审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保企业履行对外报告的义务。
(四)审计委员会与内部审计
审计委员会及内部审计师需要确保内部审计部门正在有效运作。它将在四个主要方面对内部审计进行复核,即组织中的地位、职能范围、技术才能和盐业应尽义务。
1.内部审计活动。
2.内部审计师在企业中的地位。
3.内部审计师的职能范围。
4.内部审计报告。
(五)审计委员会与外聘审计师
(六)向股东报告内部控制
第四节风险管理、内部控制与公司治理
一、公司治理
(一)公司治理概念
公司治理是用来管理利益相关者之间的关系,决定并控制企业战略方向和业绩的一套机制。公司治理的核心是寻找各种方法确保有效地制定战略决策,管理潜在利益冲突的各方之间秩序的一种方式。
公司治理反映了企业的文化、政策、如何处理利益相关者之间的关系及其价值观。
(二)公司治理的基本原则
有效的公司治理原则主要包括:
(1)建立完善的组织结构;
(2)明确董事会的角色和责任;
引入独立董事。独立董事的职责可以分为四种不同的角色,即
战略角色---是指独立董事是董事会的正式成员,因此有权利也有责任为企业的战略成功作出贡献,从而保护股东的利益。
监督或绩效角色---独立董事应当使执行董事对已制定的决策和企业业绩承担责任。
风险角色----是指独立董事应当确保企业设有充分的内部控制系统和风险管理系统。
人事管理角色----是指独立董事应对董事会执行成员管理的有关责任进行监督。这一般涉及公司董事、高级管理人员等任命和薪酬问题,也可能包括合同或纪律方面的问题及接班人计划。
(3)提倡正直及道德行为;
(4)维护财务报告的诚信及外部审计的独立性;
(5)及时披露信息和提高透明度;
所有投资者都享有平等及时地了解公司重大信息的权利。企业应向投资者披露重要信息,提高他们获得董事会运营企业的信息的方便性,这被认为是一个改善公司治理的方式。
信息披露的内容包括但不限于三大部分:一是财务会计信息,二是非财务会计信息,三是审计信息。
总括而言,一个强有力的披露制度是以市场为基础的监督企业行为的关键特征,是股东有效行使其表决权能力的先决条件。
(6)鼓励建立内部审计部门
为了提高内部审计部门的客观性和业绩,内部审计部门应该直接向董事会或者审计委员会负责。
(7)尊重股东的权利
(8)确认利益相关者的合法权益;
(9)鼓励提升业绩;(10)公平的薪酬和责任。
一、风险管理、内部控制、公司治理三者的关系
企业风险管理的框架下,风险管理、内部控制、公司治理三者的关系可以从以下四个为体现。
(一)管理范围的协调
(二)前动与后动的平衡
(三)治理、风险、控制的整合(四)“从上到下”控制基础和“从下到上”风险基础执行模式的融合。
