《铜电镀产品公司内部控制制度(范文).docx》由会员分享,可在线阅读,更多相关《铜电镀产品公司内部控制制度(范文).docx(87页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、泓域/铜电镀产品公司内部控制制度铜电镀产品公司内部控制制度xx投资管理公司目录一、 发展与创新阶段4二、 学习与借鉴阶段6三、 公司治理的框架7四、 公司治理原则的概念11五、 公司治理与内部控制的联系12六、 公司治理与内部控制的区别15七、 风险图谱17八、 风险分析的定义和目的18九、 风险的概念及其分类19十、 风险的分类和评估22十一、 风险识别的概念和内容24十二、 企业识别风险关注的因素26十三、 内部控制的种类27十四、 控制活动的基本原理32十五、 预算控制33十六、 绩效考评控制37十七、 举报投诉制度39十八、 反舞弊机制43十九、 信息与沟通的概念54二十、 信息与沟通
2、的作用56二十一、 公司概况58公司合并资产负债表主要数据58公司合并利润表主要数据59二十二、 项目简介59二十三、 发展规划63二十四、 项目风险分析69二十五、 项目风险对策72二十六、 法人治理73一、 发展与创新阶段2006年至今为我国企业内部控制的发展与创新发展阶段。随着2002年SOX法案的颁布,各国相应出台了有关内部控制的相关政策,我国也不例外。2006年6月,国资委发布了中央企业全面风险管理指引。2006年7月15日,由财政部发起成立了全国内部控制标准委员会;2006年7月,为加强上市公司内部控制,促进上市公司规范运作和健康发展,保护投资者合法权益,上海证券交易所发布了上海证
3、券交易所上市公司内部控制指引;2006年9月,深圳证券交易所发布了深圳证券交易所上市公司内部控制指引;2007年3月,财政部内部控制标准委员会发布了企业内部控制基本规范和17项企业内部控制基本规范具体规范的征求意见稿。2008年6月,财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范发布会暨首届内部控制高层论坛,会议发布了企业内部控制基本规范。同月,还发布了企业内部控制基本规范相关配套指引的征求意见稿。2010年4月,五部委联合发布企业内部控制基本规范及配套指引,包括内部控制应用指引、内部控制评价指引、内部控制审计指引。根据企业内部控制基本规范相关规定,内部控制是由企业董
4、事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程。内部控制的目标是合理保证经营的合法合规,资产安全,财务报告及相关信息的真实完整,提高经营的效率、效果,促进企业实现发展战略。内部控制的构成包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素。这些都参照了国际上已颁布的关于内部控制的相关法律法规。同时企业内部控制基本规范还规定了建立和实施内部控制的基本原则,即全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则。配套指引还规定自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行:在此基础上,
5、择机在中小板和创业板上市公司施行。同时,鼓励非上市大中型企业提前执行。执行企业内部控制规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请会计师事务所对其财务报告内部控制的有效性进行审计,并出具审计报告。目前,我国内部控制的内容和结构呈现以下特点:内部控制内容范围广泛,不仅包括会计控制也涉及管理控制和风险管理,行业特色比较明显;内部控制结构不尽相同,主要呈现出三种类型,第一种是实务型,直接针对内部控制的实务操纵进行规范,第二种是框架型结构,采用内部控制要素的形式构建内部控制的整体框架体系,类似于COSO的内部控制框架,第三种是框架与实务结合型,既描述内部控制
6、的框架结构,又描述内部控制的实务操作,两者相结合;在构成要素结构上,基本上都与COSO内部控制框架的结构和要素相同,但具体内容上又存在一些差别。二、 学习与借鉴阶段从我国内部控制发展与形成过程可以看出,我国内部控制理论与实践起步较晚、进展不顺利。我国内部控制建设过程是学习与借鉴的过程,是不断学习国际内部控制先进理念、借鉴国外内部控制成功经验的过程。在这一过程中,发挥主导作用的部门主要有全国人民代表大会常务委员会(立法机构)、财政部(主管全国会计工作)、中国注册会计师协会(注册会计师的行业组织)、中国证券监督管理委员会和银监会(之前为人民银行)。除全国人民代表大会常务委员会制定的会计法为国家法律
7、之外,其他部门颁布的内部控制法规都具有非常强的行业特色和部门特色。主要表现在:财政部颁布的内部控制法规主要针对全国会计人员和企业(如内部会计控制规范);中国注册会计师协会颁布的内部控制法规主要是为注册会计师的审计业务服务;中国证监会发布的内部控制指引、规则主要是针对证券公司的;中国人民银行以及银监会发布的内部控制指导原则、指引主要是针对商业银行的。从2001年财政部颁布内部会计控制规范一基本规范开始,截至2005年12月,我国相关部门正式颁布的关于内部控制的法规与指南汇总。这一阶段的内部控制规范与实践,主要强调内部会计控制,内部控制为会计、审计服务。以内部会计控制规范为例,该规范整个制订过程中
8、存在的问题是:控制理念比较落后,只是强制会计控制问题而忽视了管理控制;制订的组织机构不是很完整,主要是财政部和会计界在制订,其他领域参与者很少;控制规范的体系性、完整性比较差。只有11个控制规范,而且也没有相应的实施指南等;时间太长,没有计划性,影响了实施效果;制订程序也比较差,不严密、不科学。三、 公司治理的框架公司治理主要包括治理结构和治理机制两部分(见本书第二章、第三章的内容),根本目的是提高治理效率。治理结构是从静态考虑,公司治理是一种政治化、法律化的安排,具有制度性和结构性的特点,具体表现为:有关收益和风险的制度安排,有关权力分立和制衡的结构安排和组织安排。治理机制是从动态考虑,指公
9、司治理系统中持续互动的管控关系、功能和运行原理,包括监督机制、激励机制、决策机制和外部治理,表现出系统的无限开放性。按照机制设计或实施所利用资源的来源,公司治理可以简单区分为公司外部治理系统与公司内部治理系统。(一)外部治理系统外部治理系统指的是尽管机制的实施超出了公司资源的计划范围,但仍然可以用于实现公司治理目标的各种公司治理机制的总称它包括公司治理的法律和政治环境、公司控制权市场、产品和要素市场、外部代理人市场。主要目的在于权力制约和平衡,实现利益相关者利益最大化。1、公司治理的法律和政治环境公司治理是一个经济问题,但它同时也是一个法律和政治问题。公司治理的法律途径在公司治理机制中处于基础
10、性位置。各国在股权结构、资本市场和公共政策上的差异与投资者在法律上所受到的保护程度密切相关。在市场经济国家,公司治理的政治途径多是借助法律途径来实现的。2、资本市场和公司控制权市场资本市场不仅为投资者提供了一种分散风险的保险机制,还为投资者提供了关于公司业绩状况的信号。随着市场流动性的提高,其监督功能也加强,当然,资本市场对公司治理的最重要的贡献是创造了控制权市场。从该理论可以推知,公司并购后,被收购企业的管理者将被更换,然而经验表明并非如此。接管市场的存在将限制公司总经理忽视利润和所有者回报的行为,从而会约束总经理营造公司帝国的梦想。接管市场的批评者认为,接管的收益来自享受的税收优惠,与原公
11、司经理人、雇员终止合同,以及非效率的资本市场在价值评估中的错误。3、产品和要素市场产品市场是指供人们消费的最终产品和服务的交换场所及其交换关系的总称。要素市场也即生产要素市场包括生产资料市场、金融(资金)市场、劳动力市场、房地产市场、技术市场、信息市场、产权市场等。产品(要素)市场竞争不仅是市场经济条件下改善整体经济效率的十分强大的力量,同时,它在公司治理方面也发挥着重要作用。但是正如Jensen(1996)所指出的那样,产品和要素市场的监督力量对于新的和存在大量经济租或准租的活动而言十分微弱。4、外部代理人市场尤金法玛认为,如果一个企业被看成一组合约,那么企业的所有制就不重要了,完善的经理人
12、市场可以自动约束经理人的行为,并解决由所有权和控制权的分离而产生的激励问题。Gibbon和Murphy(1992)研究了当工人关注未来职业时最优的激励合约设计。他们证明,最优的激励合约将最大化包括来自职业关注的隐性激励和来自报酬合约的显性激励在内的总的激励。(二)内部治理系统内部治理系统指的是机制的设计或实施在一个企业资源计划范围内用来实现企业治理目标的各种治理机制的总称。它包括所有权结构与公司治理、董事会、大股东治理、激励报酬合约等。1、所有权结构与公司治理代理成本的存在否定了MM定理的合理性。债务的代理成本会产生两种相反的效应,第一种效应主要表现为债券会导致经理倾向于投资高风险高收益的项目
13、;另一种效应表现为,由于从声誉角度出发考虑问题,公司或经理倾向于选择相对安全、能保证还清债务的项目,而不是真正价值最大化的项目。2、董事会董事会可以理解为一个内生决定的用来缓解代理问题的制度安排,成为仍处在发展早期的董事会理论文献中揭示董事会存在原因的正式模型。按照上述模型,董事会的有效性受到其独立性的影响,而董事会的独立性则取决于已有的董事与CEO在关于CEO薪金与增补董事会人选等问题上的讨价还价。3、大股东治理法律不能给小股东以有效的保护时,大股东能获得有效的控制权,所以在世界各国大股东持股很普遍。大股东会牺牲其他投资者的利益来满足自己的偏好,尤其是当他们掌握的控制权大于其现金流量权时更是
14、倾向于追求控制权的私人收益,或“准租金”。因此,在理论上应研究大股东特征、大股东监督、大股东侵害行为、大股东控制权及合作关系问题。4、激励报酬合约在激励报酬合约的实际设计过程中需要注意以下两个问题。第在强调合约的绩效衡量的可证实性时,不要忽视关系性合约。第二,当经理人的努力是多维,且对经理人绩效的衡量不完备时,如何协调不同激励方向的冲突问题。协调激励冲突的一般原则是,在提高某种任务的激励时,可以增加该项任务本身的回报,或者通过降低另一种任务的回报实现。四、 公司治理原则的概念广义的公司治理原则包括有关公司治理的准则、报告、建议、指导方针和最佳做法等,它通过一系列规则建立一套具体的公司治理运作机
15、制,维护投资者和其他利害相关者的利益,促进公司健康发展实现公司的有效治理。公司治理原则可以帮助政府对本国公司治理方面的法律、制度和管理机制框架进行评估、改进,也可以为上市公司(甚至是非上市公司)建立良好的公司治理提供指导、借鉴,还对股票交易所、投资者和其他在建立良好的公司治理中起作用的机构提供了参考和建议。公司治理原则不具有强制约束力,其目的不在于制定详细的国家立法,而是为人们提供某种参考。比如政策制定者在审查并制定反映本国特定的经济、社会、法律和文化环境特色的有关公司治理的法律和监管框架时,可以公司治理原则为参考;再如市场参与者,可以参考公司治理原则制定自身的公司治理制度。公司治理原则是不断
16、发展的,因此应根据环境的重大变化不断重新对其进行审查。为了在这个不断变化的世界中保持竞争地位,公司必须不断创新并使自己的公司治理状况适应变化了的环境,这样才能使公司不断满足新的需求,抓住新的机遇。同样,政府有义务制定一个有效的规范框架,保持足够的灵活性,使市场能够有效地发挥作用并能对股东和利益相关者的期望做出反应。政府和市场参与者可以根据成本与收益的比例,自己决定是否采纳这些原则。五、 公司治理与内部控制的联系公司治理和内部控制两者之间存在着很多相同点和大部分的相互交叉与重叠区域,在企业的管理实践中,两者存在着一定的关联性。具体在以下几个方面。(一)具有同源性公司治理与内部控制都与现代公司两权
17、分离所引发的代理问题密切相关。由于交易信息的不对称性,以及契约的不完备性直接导致了“委托代理问题”的出现,因而公司治理与内部控制在一定程度上来说具有同源性。两权分离之后,如果所有决策相关信息在委托代理双方之间的分布是均衡的,那么不论经营者与所有者的目标函数一致与否,经营者都不敢做出违背所有者利益的行为。然而现实的情况是信息双方总是处于不对称地位,委托人对代理人的行为、决策并不十分清楚,代理人的行为选择往往会偏离委托人的目标,甚至会严重损害委托人利益。因此,客观上要求有一整套相应的制度安排来解决这种利益冲突,公司治理便应运而生。而内部控制作为一种系统的制约机制,其产生根源同样是所有者与经营者间、
18、企业内部上下级间的信息不对称,当委托人授权代理人从事某项活动时,为了保证代理人的行为能够符合委托人利益最大化的要求,客观上就要求有相应的措施和手段来加以控制。公司治理的核心是要有效地解决在契约不完备时企业剩余控制权和剩余索取权的分配问题,而内部控制在本质上也是为了在节约交易费用的同时增强企业契约的完备性,进而保证企业剩余控制权和剩余索取权能实现最大化。在契约不完备的情况下,对企业控制权优化配置的共同追求,本身也说明了公司治理与内部控制具有同源性。(二)具有共同载体公司治理机制与内部控制制度作为一系列制度安排,要想发挥其作用就必须依附于一定的组织载体。脱离企业这个组织,公司治理与内部控制就好比是
19、“镜中花,水中月”,不论公司治理结构多么完善,也不管内部控制多么健全,都只是凭空而论,不能发挥实际作用,更谈不上实现企业的目标。从另外一个角度看,公司治理的完善与企业内部控制的加强也必须依靠会计信息这个共同载体。真实、完整、及时的会计信息既是实施内部控制的必要前提,也是公司治理发挥作用的基本条件;而只有公司治理机制有效,内部控制健全,才能保证会计信息的真实、完整和及时,两者相辅相成。总之,企业组织和会计信息是公司治理与内部控制的两个共有载体。组织为公司治理与内部控制提供了依附的实体,而会计信息则为依附在组织身上的两种制度安排提供了沟通和交流的平台。两者缺一不可,共同为公司治理与内部控制的互动提
20、供了先决条件。(三)存在着交叉区域首先,控制主体存在交叉性。公司治理的主体是“股东董事会总经理”委托代理链上的各个节点。如吴敬琏教授把公司治理结构定义为由所有者、董事会和高级管理人员组成的一种组织结构。其中董事会是核心,而内部控制的主体是“董事会总经理职能经理执行岗位”委托代理链中的节点,核心在于总经理。因此,董事会和总经理既是公司治理结构的主体,也是内部控制的主体。其次,适用对象的交叉性。在三种基本企业形式中,独资企业和合伙企业只有管理和控制问题,没有治理问题,因为其所有权与控制权通常是合一的。但是对公司制企业来说,公司治理和内部控制问题都存在,需要同时解决治理问题和控制问题,并需要注意两者
21、的有效对接。再次,总目标的一致性。两者的具体目标统一于企业目标之下,即最终实现企业价值最大化。内部控制的目标是公司治理结构目标的进一步延伸和具体化;公司治理结构所追求的公平和效率目标,是建立在内部控制的目标即信息真实、资产安全和效益提高基础上的。否则,在一个虚假信息泛滥、资产被盗严重、管理效率低下的企业中,去实现公司治理的目标无异于痴人说梦。最后,两者在内容上存在关联性。在公司治理结构三种权力的实施过程中,除了监督权主要由股东、监事会行使而独立于企业的业务系统外,决策权和执行权都要落实到具体的部门、岗位和个人,并通过内部控制制度加以规范和管理。六、 公司治理与内部控制的区别1、两者的具体目标不
22、同公司治理的目的是保证经济运行系统中的公平和效率,具体地说,就是在所有者(股东)、管理人和其他利益关系人之间建立起合乎公平和效率的经济机制。在这个机制之下,所有者必须提供企业生产经营所需要的基本资金,并享有对企业的最终控制权和剩余分配权;管理者必须尽责工作,不能利用职务之便侵害投资人的利益;企业在追求自身利益的同时不能损害其他利益关系人的权益。而内部控制的目的则是为了保证企业资产安全、会计信息真实完整和经营效率的提高。2、两者的控制主体不同公司治理的主体是股东、董事会、经理层以及其他利益关系人(债权人、社区、政府),包括企业内、外部各有关方面;而内部控制的主体主要是董事会、经理层以及其他员工等
23、,控制主体仅限于公司内部,而且控制重点主要集中于CEO及其之下的业务系统。3、两者所涉及的管理内容不同公司治理的管理内容主要涉及股东、董事会、监事会、总经理之间的委托代理合同关系、控制权的配置(股权结构安排)、剩余分配权的安排等;而内部控制的管理内容主要是环境控制、风险评估、控制活动、信息沟通、内部监督等。4、两者所使用的手段不同公司治理的手段主要有监督和激励两种;而内部控制的手段侧重于职务分离、授权审批、会计系统、财产保护、全面预算、运营分析、绩效考评等控制措施。公司治理在管理思想上重视行为和动机的抑制与激励;而内部控制在管理思想上重视流程控制。5、两者所归属的法规体系不同公司治理的内容主要
24、体现在公司法、证监会颁布的上市公司治理准则、交易所的上市公司治理规则以及企业章程之中;而内部控制则主要体现于会计法和五部委颁布的企业内部控制基本规范、内部控制配套指引以及企业内部控制制度之中。七、 风险图谱风险图谱是风险分析的重要工具,通过分析公司的风险图谱,可以直观地看到公司的风险分布情况,从而确定风险管理的重要控制点和风险管理解决方案。风险图谱从风险发生的可能性和影响程度两方面对风险进行评级,风险评级要从固有风险、目标剩余风险和实际剩余风险三个层级进行。风险图谱被两条“等风险线”分隔为“红灯区”“黄灯区”和“绿灯区”(1)“红灯区”的风险大多集中在第一象限,其发生的概率和影响程度均较高。公
25、司应该根据风险的属性和风险偏好来选择风险管理方案;(2)“黄灯区”的风险,有两种情况:处于第二象限的风险更多的是一些非常事件,但影响程度较大。对于这类风险,公司应该在采取防范措施的同时,制订应急计划;处于第四象限的风险,其影响程度不是很高而发生概率偏高,这往往与日常经营和遵守法律方面的问题有关,这些风险的累计影响不可低估。对于这类风险要注意日常的管理和监控。(3)“绿灯区”的风险大多集中在第三象限,是指那些发生概率和影响程度均不太高的风险,通常在目前可以接受。公司可以取消与此风险相关的、多余的风险控制措施,从而减少成本和资源消耗以便管理更重要的风险。风险图谱不是一成不变的,公司应该定期评估风险
26、,动态地对风险图谱进行调整和更新。八、 风险分析的定义和目的我国企业内部控制基本规范第二十四条规定:企业应当采用定性定量相结合的方法,按照风险发生的可能性及影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。企业进行风险分析应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断,并确定风险重要性水平的过程。管理层根据被识别的风险的重要性来计划如何应对风险。风险分析应达到以下目的:(1)对各个风险进行比较,根据分析风险的不确定性和后果,确定风险的先后顺序;(2)
27、确定风险事件之间的关系,表面上看起来不相干的多个风险事件可能是由一个共同的风险源所造成的,因此应当理顺风险事件之间的关系;(3)进一步量化已识别风险的发生概率和后果,减少风险发生概率和后果估计的不确定性,必要时根据形势的变化重新评估风险发生的概率和可能的后果。九、 风险的概念及其分类古人说:“宜未雨而绸缪,毋临渴而掘井。”企业在生产经营的过程中,面临着诸多的风险,如果我们没有妥善地处理,风险事故一旦发生,轻则影响生产经营稳定和企业经济效益,重则危及企业的生存。因此风险评估的目的是为了给企业造就一个安全稳定的生产经营环境,这有助于增加领导层经营管理决策的正确性,进而提高企业的经济效益。(一)风险
28、的概念企业在经营活动中,会遇到各种不确定性事件,这些事件发生的概率及其影响程度是无法事先预知的,进而影响企业目标的实现。所谓风险,就是在一定环境下和一定限期内客观存在的、影响企业目标实现的各种不确定性事件。或者说,风险就是指在一个特定的时间内和一定的环境条件下,人们所期望的目标与实际结果之间的差异程度。因此,风险是一个事项将会发生并给目标实现带来负面影响的可能性。风险具有客观性、普遍性、潜在性、必然性、可识别性、可控性、损失性和不确定性等特点,风险与机会同在。COSO企业风险管理新框架(2016)指出风险是指事项发生并影响战略和业务目标之实现的可能性。该定义兼顾了正面和负面的影响,这和国际风险
29、管理标准ISO31000及中国风险管理标准GBT24353是一致的。为了与我国内部控制规范一致,本书采用COSO04的定义。(二)风险的构成要素风险一般包括以下三项构成要素。1、风险因素风险因素是指促使某一特定风险事故发生或增加其发生的可能性或扩大其损失程度的原因或条件。它是风险事故发生的潜在原因,是造成损失的内在或间接原因。例如,对于建筑物而言,风险因素是指其所使用的建筑材料的质量、建筑结构的稳定性等;对于人而言,则是指健康状况和年龄等;对于企业而言,风险因素则包括企业人员因素、结构因素、外部环境因素等。2、风险事故风险事故也称风险事件,是指造成伤害或财产损失的偶发事件是造成损失的直接的或外
30、在的原因,是损失的媒介物,即风险只有通过风险事故的发生才能导致损失。就某一事件来说,如果它是造成损失的直接原因,那么它就是风险事故;而在其他条件下,如果它是造成损失的间接原因,它便成为风险因素。例如,对于企业而言,发生仓库货物被盗是风险事故,而安保系统不健全是风险因素。3、损失在风险管理中,损失是指非故意的、非预期的、非计划的经济价值的减少。通常可以将损失分为两种形态,即直接损失和间接损失。直接损失是指风险事故导致的财产本身损失和人身伤害,这类损失又称为实质损失:间接损失则是指由直接损失引起的其他损失,包括额外费用损失、收入损失和责任损失。十、 风险的分类和评估(一)风险的分类企业所面临的风险
31、从来源上分,有企业内部和外部两个方面。外部风险包括:科技发展带来的企业技术、管理、信息等方面的风险;顾客需求或预期改变;竞争的存在;自然灾害;政治事件;经济环境的改变等。内部风险主要有:员工的素质和能力;经理人的责任改变;董事会或监督委员会的责任履行情况等。从企业能否对风险进行控制来分,风险分为可控风险和不可控风险两种。(二)风险评估风险评估是一个比较宽泛的概念,在有的内部控制或风险管理标准中,风险评估就是风险管理,包括了风险管理的全过程,可以说是风险管理的代名词。而在有的内部控制或风险管理标准中,风险评估是全面风险管理的一个步骤,包括内容有多有少,如目标确定、风险识别、风险分析、风险评价以及
32、风险应对等。1、COSO92关于风险评估概念COSO内部控制整体框架把风险评估列为内部控制的五要素之内部控制整体框架认为,风险评估是指单位为实现其目标而确认的相关风险,以构成进行风险管理的基础。单位风险可能来自于:(1)经营环境的变化;(2)聘用新的员工;(3)采用新的或改良的信息系统(4)迅猛的发展速度;(5)新技术的运用(6)新的行业、产业或经营活动的开发;(7)企业改组;(8)海外经营;(9)新的会计方法的采用。2、COSO04关于风险评估概念企业风险管理整体框架指出风险评估要对识别的风险进行分析,以便确定对他们进行管理的依据。强调风险评估是风险管理的一个步骤,相当于我国企业内部控制基本
33、规范的风险分析。3、我国企业内部控制基本规范关于风险评估概念我国企业内部控制基本规范借鉴企业风险管理整体框架,认为风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,从而合理确定风险应对策略。即为识别、分析、管理与企业活动相关的市场风险、政策风险、法律风险、汇率风险、经营风险等各种风险而建立的机制。该概念沿用COSO92的要素理念,是相对宽泛的概念,包括COSO04目标设定、事项识别、风险评估和风险应对四大要素的组合。十一、 风险识别的概念和内容(一)风险识别的概念风险识别是指对资产当前或未来所面临的和潜在的风险加以判断、归类以及对风险性质进行鉴定的过程。其目的是确认风险的
34、来源、风险的种类及风险的可能影响,以利于风险的有效管理和合理控制。对于风险识别的概念,可以从以下几个方面来理解。1、风险识别是一项动态的、连续不断的、系统性的重复过程风险事项识别需要针对环境的变化而持续进行,不可能一蹴而就,风险主体的风险仅凭一两次有限的识别是不可能解决问题的,许多复杂的和潜在的风险要经过多次调查和反复论证方能得到准确答案;随着主体的活动,新的风险也会不断产生,风险事项识别是一个连续不断的过程。2、风险识别是一个复杂的系统工程风险事项识别的系统性是指风险识别过程不可能局限在某一个专门部门或者专门的环节,事项识别要把企业作为系统看待,不仅要识别企业可能面临的各种风险,而且企业的各
35、个部门都要参与并密切配合。同时风险主体应综合考虑自身的内外部环境,结合自己的特点,设计和选择适当的事项识别方法,这无疑使得事项识别工作更具有挑战性。3、风险识别是整个风险评估过程中重要的程序之一企业内部控制基本规范第三章第二十一条规定,企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险确定相应的风险承受度。风险识别是否全面、深刻直接影响风险评估的质量,风险识别的目的就是确认所有风险的来源、种类以及发生损失的可能性,为风险分析和风险应对提供依据。风险识别过程应充分体现全面性原则。(二)风险识别的内容1、感知风险事项感知风险,即通过调查和了解识别风险的存在。例如,通过调查,了解到
36、一家运输公司面临的财产风险、人身风险和责任风险。财产风险又包括车辆财产损失、存货仓库损失、库存物损失和其他设备损失。在存货仓库损失中,可能有火灾、爆炸、洪水、暴风等多种原因形成的损失。2、分析风险事项通过归类分析,掌握风险产生的原因和条件以及风险所具有的性质。例如,存货仓库的风险因素包括洪水、暴雨、水管或其他设备破裂等;人的风险包括死亡、疾病、身体伤害、财产损失等;导致死亡的风险因素主要有自然灾害、意外事故、自杀、疾病。感知风险是识别风险的基础,分析风险是识别风险的关键。只有感知风险,才能进一步有意识、有目的地分析风险,掌握风险存在及导致风险事故发生的原因和条件。十二、 企业识别风险关注的因素
37、(一)内部风险我国企业内部控制基本规范第二十二条规定,企业识别内部风险,应当关注下列因素。(1)董事、监事、经理及其他高级管理人员的职业操守,员工专业胜任能力等人力资源因素;(2)组织机构、经营方式、资产管理、业务流程等管理因素;(3)研究开发、技术投入、信息技术运用等自主创新因素;(4)财务状况、经营成果、现金流量等财务因素;(5)营运安全、员工健康、环境保护等安全环保因素;(6)其他有关内部风险因素。(二)外部风险我国企业内部控制基本规范第二十三条规定,企业识别外部风险,应当关注下列因素。(1)经济形势、产业政策、融资环境、市场竞争等经济因素;(2)法律法规、监管要求等法律因素;(3)安全
38、稳定、文化传统、社会信用、教育水平、消费者行为等社会因素;(4)技术进步、工艺改进等科学技术因素;(5)自然灾害、环境状况等自然环境因素;(6)其他有关外部风险因素。十三、 内部控制的种类内部控制按控制内容可分为一般控制和应用控制,按控制地位可分为主导性控制和补偿性控制,按控制功能可分为预防性控制和发现性控制,按控制时序可分为原因控制、过程控制和结果控制。(一)按控制内容分为一般控制和应用控制1、一般控制般控制是指对企业经营活动赖以进行的内部环境所实施的总体控制,也称基础控制或环境控制。它包括组织控制、人员控制、业务记录以及内部审计等内容。这类控制的特征,是并不直接地作用于企业的生产经营活动,
39、而是通过应用控制对全部业务活动产生影响。(1)合法性控制,即用各种方法检查所记录的经济业务,以保证其能够如实反映经济事项。在会计基础控制方面,它主要通过由熟悉会计制度的人员审查会计文件,以确定所记录的业务是否真正发生,检查其处理过程是否与规定的程序相一致,查明业务处理是否经过授权与批准,有无越权行事等行为,以及是否进行了严格的监督和审核。(2)正确性控制,即为了确保单位每笔经济业务的发生都能够及时用正确的金额与账户记载的一种控制。它通过建立发生额计算、余额计算、账户分类检查、双重核对、事先控制与分工牵制等方法来保证会计记录的正确性。(3)完整性控制,即保证发生的一切合法的经济业务均记入控制文件
40、的一种控制。它主要通过凭证的连续编号、总额控制、登记账簿、档案管理并运用备忘录等手段来保证记录的完整性。现在,实行会计电算化的单位已由计算机解决部分完整性的控制工作。(4)一致性控制,即保证记录一致性的控制。它主要通过实地盘存、对内对外账实核对、差异分析、调账等方法来保证会计记录的一致性。2、应用控制应用控制是指直接作用于企业生产经营业务活动的具体控制,也称业务控制,如业务处理程序中的批准与授权、审核与复核以及为保证资产安全而采用的限制接近等控制。这类控制的特征,在于它们构成了生产经营业务处理程序的一部分,并都能够防止和纠正一种或几种错弊。(二)按控制地位分为主导性控制和补偿性控制1、主导性控
41、制主导性控制是指为实现某项控制目标而首先实施的控制。如凭证连续编号可以保证所有业务活动都得到记录和反映,因此,凭证连续号对于保证业务记录的完整性就是主导性控制;为实现组织的战略目标,管理层要根据组织规划指导各项生产及经营管理工作,并组织专门机构和人员进行定期或不定期的检查,对于发现的偏差进行分析,找出问题的成因、采取措施、予以纠正。这里,管理层的组织专门机构和人员开展的定期或不定期检查活动对于发现偏差就是主导性控制。预防性控制和发现性控制则是为了预防、检查和纠正不利的结果,在正常情况下,主导性控制能够防止错误和舞弊的发生,但如果主导性控制存在缺陷,不能正常运行时,就必须由其他的控制措施进行补充
42、。2、补偿性控制补偿性控制就是针对某些环节的不足或缺陷而采取的控制措施能够全部或部分弥补主导性控制的缺陷,主要是为了把风险暴露限制在一定的范围内。如果凭证没有连续编号,有些业务活动就可能得不到记录。这时,实施凭证、账证、账账之间的严格核对,就可以基本上保证业务记录的完整性,避免遗漏重大的业务事项。因此,“核对”相对于凭证“连续编号”来说,就是保证业务记录完整性的一项补偿性控制。由独立于银行存款收支业务的人员进行银行存款的核对和调整,是对收支业务中存在的薄弱环节的一种补偿性控制。一项控制和其他控制之间存在一定联系,当该项控制存在控制缺陷的时候如果其他控制执行有效,可以有效地降低该缺陷导致财务报告
43、错报的影响程度,而且所影响金额也可以明确,那么其他控制就是该控制的补偿性控制。从上述分析可见,主导性控制与预防性控制存在密切的联系,都是在实现有利结果的同时,避免不利结果的发生。但是,两者也有一定的差别。(三)按控制功能分为预防性控制和发现性控制1、预防性控制预防性控制是指为防止错误和非法行为的发生,或尽量减少其发生机会所进行的一种控制。它主要解决“如何能够在一开始就防止错弊的发生”这个问题。预防性控制是由不同人员或职能部门在履行各自职责的过程中实施的,属于操作性的控制。预防性控制措施主要包括职务分离、监督性检查、双重检查、编辑校验、合理性校验、完整性校验以及正确性校验等。2、发现性控制发现性
44、控制是指为及时查明已发生的错误和非法行为或增强企业发现错弊机会的能力所进行的各项控制。它主要是解决“如果错弊仍然发生,如何查明”的问题。如果缺乏发现性控制,当预防性控制实施存在困难时,有关人员就会为所欲为,使控制失败:更为严重的是由于组织难以及时发现存在的问题及影响,从而不能及时采取措施加以解决,从而加大损失影响范围及程度。一般认为,预防性控制优于发现性控制,因为预防性控制能够在事前防止损失的发生,降低风险。但是,真正全面地采取预防性控制是相当困难的,实际工作中风险很难百分之百地预防,所以必须将两者结合起来控制。(四)按控制时序分为原因控制、过程控制和结果控制1、原因控制原因控制也称事先控制,
45、是指企业单位为防止人力、物力、财力等资源在质和量上发生偏差,而在行为发生之前所实施的内部控制。2、过程控制过程控制也称事中控制,是指企业单位在生产经营活动过程中针对正在发生的行为所进行的控制。3、结果控制结果控制也称事后控制,是指企业单位针对生产经营活动的最终结果而采取的各项控制措施。十四、 控制活动的基本原理企业开展经营活动的目的是有效、高效地使用资源。如何保证有效、高效使用资源?一般认为,企业的资源是有限的,有限的资源一定能管控,风险应该被有效控制。如何控制?由于企业资源被各种活动(如交易、经济事项、经营业务等)使用,因此控制了活动就管理了资源。由于活动都要进入相应流程(如资金活动流程、采
46、购业务流程、资产管理流程、销售业务流程、研究与开发流程等),因此,控制活动的总体思路是:通过实施流程控制,在流程中找关键风险点(即控制点),以达到有效管控资源的目标。控制了流程也就控制了活动,企业资源融入流程后形成了企业控制架构。控制行为(政策和程序)也并非盲目实施,我国企业内部控制基本规范规定的控制程序包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制和合同控制等。不同国家、不同时期控制程序不尽相同,这是由内部控制的动态过程观确定的。COSO报告与我国企业内部控制基本规范在控制活动内容方面的比较,通过比较可以看出,两者之间没有太大的区别,预
47、算控制实际上是从授权审批控制中分离出来的政策和程序,从对授权审批控制的理解而言,预算控制属于日常经营管理活动按照既定程序和原则实施的控制。企业应当根据内部控制目标,结合风险应对策略,依据流程控制原理,综合运用控制程序,对各种业务和事项实施有效控制。控制行为的主要目的是降低风险,针对的是风险降低应对策略。十五、 预算控制我国企业内部控制基本规范第三十三条规定:预算控制要求企业实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化预算约束。预算是企业战略管理的重要组成部分,是实施企业战略目标、提高企业管理水平与经济效益的重要措施。预算控制是利用预算对
48、企业内部各部门、各单位的各种财务及非财务资源进行分配、考核和控制,以便有效地组织和协调企业的生产经营活动,完成既定的经营目标。企业应当重视预算控制工作,将预算作为制定、落实内部经济责任制的依据。预算控制有以下主要内容。1、预算编制控制在预算编制控制方面,企业应当对编制依据、编制程序、编制方法等做出明确规定,确保预算编制依据合理、程序适当、方法科学,明确预算编制机构和预算审批机构的职责权限。企业预算的编制,应坚持效益优先的原则,实行总量平衡,进行全面预算管理;坚持积极稳健的原则,确保以收定支,加强财务风险控制;坚持权责对等的原则,确保切实可行,并围绕经营战略实施。编制程序一般按照“上下结合,分级编制,逐级汇总”的程序进行,采用自上而下或自下