公司理财 内部控制

一．COSO下的内部控制定义及目标
（一）内部控制是由企业董事会、管理层和其他人员共同实施的，为经营的效率效果性、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。

（1）内部控制是一个过程，是实现目标的手段，而不是结果本身。

（2）内部控制会受到企业内部各层次人员的影响，而不是简单地制定出一本制度或规章。

（3）内部控制的目的在于实现组织的一个或几个目标。

（4）对管理层或董事会来说，内部控制提供的只是合理的保证，而非绝对的保证。

（二）COSO下的内部控制其核心内容可概括为：
五大构成要素、三大控制目标
1.COSO控制框架的五要素
COSO控制框架共有控制环境、风险评估、控制活动、信息与沟通、监控五个要素，覆盖了公司生产经营活动的所有空间和时间，包括从文化理念到考核结果的评价等各个方面。

2.COSO内部控制的目标
对于组织来说，内部控制的目的是保证组织实现以下目标：
组织运行的效果和效率：这里所谓的效果，就是实现组织目标的程度（比如组织取得利润的多寡等）；效率就是一定资源投入所带来的产出。

财务报告的可靠性和完整性：由于财务报表是综合反映企业经验效果和效率的文件，也是企业风险控制的重要依据，因此财务报告应该是可靠和完整的。

这里的可靠性是财务记录应完全忠于企业的资产财产状况、经营过程和经营结果，同时要求对财务记录进行处理的手段和方法是正确的，技术和表达是准确的；所谓完整性，就是财务报告要全面详尽地反映组织的财务状况和经营结果，而非有所保留或有所遗漏。

符合相关的法律法规和合同：法律法规和合同的执行可以从多个方面反映企业的风险。

一方面，会给企业带来较高的违法或违约成本（如罚款、索赔）；另一方面，可能隐含着对企业资产或股东利益严重的危害（如转移资产、破坏企业信誉等）。

二．企业内部控制框架
（一）内部控制定义及目标
内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

企业内部控制基本规范所描述的内部控制核心内容可概括为：五大构成要素、五大控制目标
内部控制的目标
对于组织来说，内部控制的目的是保证组织实现以下目标：
1. 企业经营管理合规合法：强调的是企业要在法律允许的经营范围内开展经营活动，严禁违法经营、非法获利。

2.资产安全：主要是防止资产流失。

3.财务报告的可靠性和完整性：由于财务报表是综合反映企业经验效果和效率的文件，也是企业风险控制的重要依据，因此财务报告应该是可靠和完整的。

这里的可靠性是财务记录应完全忠实于企业的资产财产状况、经营过程和经营结果，同时要求对财务记录进行处理的手段和方法是正确的，技术和表达是准确的；所谓完整性，就是财务报告要全面详尽地反映组织的财务状况和经营结果，而非有所保留或
有所遗漏。

4. 组织运行的效果和效率：这里所谓的效果，就是实现组织目标的程度（比如组织十分取得赢利、利润的多寡等）；效率就是一定资源投入所带来的产出。

5.促进企业实现发展战略：是内部控制的最高目标。

建立内部控制所需遵循的原则：
重要性：关注重要业务事项和高风险领域；
适应性：适应企业规模和风险水平；随情况变化及时加以调整；
制衡性：在治理结构、机构设置、权责分配、业务流程方面形成相互制约、相互监督的机制并兼顾运营效率；
成本与效率：权衡实施成本与预期效益；
全面性：贯穿决策、执行和监督全过程；覆盖企业及其所属单位各种业务和事项。

（二）内部控制构成要素
要素之一：内部环境
概念：内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。

内部环境类指引有5项。

内容：
•组织架构
组织架构是企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

企业要实施发展战略，必须要有科学的组织架构，主要包括治理结构和内部机构设置。

1.治理结构
企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

（1）股东大会的职责
股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。

（2）董事会的内控职责
董事会对股东（大）会负责，依法行使企业的经营决策权。

董事会可以根据需要设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限和工作程序，为董事会科学决策提供支持。

涉及企业重大利益的事项应由董事会集体决策。

董事会负责内部控制的建立健全和有效实施。

董事会主要有三项职责：
第一是把方向；
第二是选对人；
第三是控风险。

董事会的重要职责就是判断风险、控制风险，并承担风险决策的责任。

（3）风险管理（内部控制）委员会的内控职责
具备条件的企业，董事会可下设风险管理（内部控制）委员会。

该委员会的召集人应由不兼任总经理的董事长担任；董事长兼任总经
理的，召集人应由外部董事或独立董事担任。

该委员会成员中需有熟悉企业重要管理及业务流程的董事，以及具备内部控制监管知识或经验，具有一定法律知识的董事。

风险管理委员会对董事会负责，主要履行以下职责：
提交内部控制年度报告；
审议内部控制策略和重大风险管理解决方案；
审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；
审议内部审计部门提交的内部控制监督评价审计综合报告；
审议内部控制组织机构设置及其职责方案；
办理董事会授权的有关内部控制的其他事项。

（4）审计委员会的内控职责
企业应在董事会下设立审计委员会，在董事会领导下，审议并提交内部控制各项方案、报告。

审计委员会应当直接对董事会负责。

上市公司的审计委员会主席一般应由独立董事担任，非上市公司的审计委员会主席应由独立于企业管理层的人员担任。

审计委员会在内部控制建立和实施中承担的职责：
审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。

审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。

（5）监事会的内控职责
监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

监事会对董事会建立与实施内部控制进行监督。

监事会的人员和结构应当确保监事会能够独立有效地行使对董事、经理和其他高级管理人员及企业财务、内部控制的监督和检查。

（6）经理层的职责
经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。

经理层应当接受董事会、监事会的监督制约，并建立向董事会、监事会的报告制度。

经理和其他高级管理人员的职责分工应当明确。

经理层负责组织领导企业内部控制的日常运行。

（7）内部审计部门的内控职责
企业应当依照有关法律法规和企业章程，设立内部审计机构，配备与其职责要求相适应的审计人员，并保证内部审计机构具有相应的独立性。

内部审计机构在建立与实施内部控制中的主要职责包括：
对建立健全本企业内部控制提出意见和建议，并对内部控制的有效运行进行监督。

根据董事会、监事会或经理层授权，具体组织实施企业内部控制自我评价事宜。

协助董事会及其审计委员会，协调内部控制审计及其他相关事宜。

2．机构设置及权责分配
企业应当按照科学、精简、高效的原则，合理地设置企业内部经理层以下职能部门，明确各部门的职责权限和相互之间的责权利关系，形成各司其职、各负其责、相互协调、相互制约的工作机制。

企业应当避免设置业务重复或职能重叠的机构，将企业管理层次保持在合理水平。

企业应当对各部门的职能进行科学合理的分解，确定各具体职位的名称、职责、岗位要求和工作内容等，编制岗（职）位说明书，明确各个岗位的职责范围、主要权限、任职条件和沟通关系。

企业应当制定并公布组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或相关文件，使企业员工了解和掌握组织架构设计及权责分配情况，促进企业各层级员工明确职责分工，正确行使职权。

公司根据经营目标、职能和监管要求，明确公司各机关职能部门和专业分公司的职责；
公司在明确管理层、部门职责的基础上，组织实施员工岗位职责描述，将职责分解到具体岗位；同时公司编制权限指引，以更好地落实分级授权制度。

通过岗位职责描述和权限指引，公司对职责权限进行适当分配。

企业组织架构设计与运行应当坚持动态调整的原则，根据发展战略、业务重点、市场环境、监管要求等因素的变化不断进行优化调整。

企业应当在对现行组织架构及其运行状况进行综合分析的基础上，结合企业内外部环境变化和企业不同发展阶段的要求调整组织架构。

企业组织架构调整应当充分听取董事、监事、高级管理人员和企业员工的意见，并按程序进行决策和审批。

•发展战略
发展战略是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略规划。

企业制定与实施发展战略至少应当关注下列风险：
缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。

发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。

发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。

•人力资源政策
企业应当根据发展战略，结合人力资源现状和未来需求预测，制定人力资源总体规划，优化企业人力资源整体布局，确保人力资源供给和需求达到动态平衡，实现人力资源合理配置。

人力资源政策应当包括下列内容：
员工的聘用、培训、辞退与辞职。

员工的薪酬、考核、晋升与奖惩。

关键岗位员工的强制休假制度和定期岗位轮换制度。

掌握国家秘密或重要商业秘密的员工离岗的限制性规定。

有关人力资源管理的其他政策。

企业应当建立人力资源的激励、约束与退出机制，确保整体团队持续处于优化状态。

企业应当设置科学的业绩考核指标体系，对高级管理人员和中层以下员工的业绩进行考核与评价，以此作为确定员工薪酬、晋升、降级、辞退等的重要依据，切实做到严格考核，有奖有惩，强化对整体团队的激励与约束。

•社会责任
社会责任是指企业在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量（含服务，下同）、环境保护、资源节约、促进就业、员工权益保护等。

企业负责人要高度重视强化企业履行社会责任，很大程度上取决于企业负责人的意识和态度。

企业负责人应当高度重视这项工作，树立社会责任意识，把履行社会责任提上企业重要议事日程，经常研究和部署社会责任工作，加强社会责任全员培训和普及教育，不断创新
管理理念和工作方式，努力形成履行社会责任的企业价值观和企业文化。

建立和完善履行社会责任的体制和运行机制要把履行社会责任融入企业发展战略，落实到生产经营的各个环节，明确归口管理部门，建立健全预算安排，逐步建立和完善企业社会责任指标统计和考核体系，为企业履行社会责任提供坚实的基础与保障。

建立企业社会责任报告制度发布社会责任报告，是企业履行社会责任的重要组成部分。

发布企业社会责任报告，让股东、债权人、员工、客户、社会等各方面知晓自己在社会责任领域所做的工作、所取得的成就，可以增强企业的战略管理能力，使企业由外而内地深入审视与社会的互动关系，全面提高企业服务能力和水平，提高企业的品牌形象和价值。

•企业文化
企业文化是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。

企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。

要素之二：风险评估
1.风险概念
风险是指未来的不确定性的因素和事项对公司实现目标的影响。

2.风险的特性
风险的不确定性：风险什么时间、地点发生是没有规律的；
风险的客观性：风险是客观存在的，只要企业存在该业务，那么相对应的风险就应该存在，而不论在哪级管理层面上，也不会因为企业具有严密的控制措施而消失。

也不能因为目前没有出现问题，就判断没有此项风险。

风险的对应性：风险是与业务相对应的，不同的业务存在不同的风险，不能将甲业务的风险列在乙业务上。

风险的可控制性：风险是可以认识，并可通过采取措施加以控制。

3.风险的分类
（1）对实现目标的影响：
合规风险：没有全面执行国家法律、法规和政策规定的风险。

例如：合同条款违法，偷税，坐支现金，污染物的排放不符合国家环保规定。

战略风险：影响公司发展战略的风险；战略目标统领经营目标、报告目标、合规目标。

如：业务发展战略方向决策失误；业务扩张计划不能形成公司核心竞争力
经营风险：影响经营决策的风险。

例如：产品不能及时适应市场的变化和需求。

没能以合理的价格取得物资或服务。

报告风险：企业未完全按会计准则、制度等规定组织会计核算和披露信息，导致财务报告在完整性、准确性等方面存在问题。

例如：将资本化的支出费用化或将费用化的支出资本化。

会计记录错误（金额、科目、期间错误）。

帐实不符。

产品交接计量错误。

资产安全风险：货币资金被挪用、转移、侵占、盗窃；实物资产被低价出售等风险资金
（2）风险来源：
外部风险：来源于公司外部的风险。

识别外部风险，应重点关注：新技术发展变化、客户的需求和期望的变化、竞争对手的变化、法律法规的变化、经济形势的变化、自然灾害的影响以及其他有关的外部风险因素。

内部风险：来源于公司内部的风险。

识别内部风险，应重点关注：业务发展变化、机构调整及业务重组整合、信息系统运行状况、员工的
素质以及其他有关的内部风险因素。

（3）应对风险的层面：
公司层面风险：是从公司整体角度对实现战略目标和对公司整体声誉等方面产生负面影响的因素。

如：战略的不确定性风险、与母公司的利益冲突风险、舞弊风险等
业务层面风险：业务活动层面风险是指与公司的主要生产经营活动及管理职能有关的风险，包括采购、生产、市场营销、销售、技术开发以及研发、人力资源管理、财务管理等业务和管理活动中存在的风险
4.风险评估的一般程序
（1）风险评估的概念：是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略的过程，是风险管理的基础。

（2）风险评估的一般程序与方法
目标设置与分解：风险评估的目标为战略目标、经营目标、报告目标、合规性目标、资产安全目标
风险识别：风险识别的主要方法有小组讨论、访谈法、问卷调查法、案例分析法、参考专业机构咨询意见、征求专家意见风险识别的主要程序：a.公司层面风险识别。

是从公司战略发展的角度，识别公司层面面临的所有重大的不利因素和有利因
素，从而识别风险，发现机遇。

这些因素来自外部和内部两个方面，外部因素主要包括政治因素、经济因素、社会因素、自
然环境因素等；内部因素主要包括基础设施因素、员工因素、流程因素和技术因素等。

b.业务活动层面风险识别。

业务层面
风险识别是通过根据一定的规范、采用一定的方法对业务流程进行描述，在业务流程描述的基础上，以业务流程步骤为主线，全面识别影响目标实现的相关因素。

风险分析：a.收集信息和资料。

如：历史事件的记录、相关的调查和分析资料、现有控制和制度等信息和资料等。

b.分析风险发生的可能性:极小可能、较大可能
※发生的概率很小或者基本上不会发生，则将该项风险发生的可能性确定为极小可能发生，否则将该项风险确定为较大可能发生
c.分析风险可能产生的影响程度：极小影响、较大影响
※风险的发生在很大程度上不会影响目标的实现或者只有一些轻微的影响，则将风险影响程度确定为极小影响；如果风险的发生会对目标的实现产生一定的阻力，并且这种阻力将会增加实现目标的难度和成本，则将风险影响程度确定为较大影响。

对风险的可能性和影响评分，风险的可能性分值与影响分值之积，即为该风险的风险值。

风险评估：根据风险值对识别出的风险进行排序，以得到公司的高、中、低风险。

（附图）
对于重要性水平为低的风险，由于其发生的可能性和影响程度均为极小，公司忽略此类风险而不予关注。

对于重要性水平为
中的风险，公司将此类风险确定为一般风险并给予一般关注。

对于重要性水平为高的风险，公司将此类风险确定为重要风险
并给予重点关注。

风险反应：风险反应策略
风险规避：退出产生风险的各种活动。

如退出生产线、停止一个区域的业务、或出售
一部分经营性资产等。

风险减轻：采取行动减少风险发生的可能性或降低风险影响程度或两者同时降低。

减
轻风险一般牵涉到所有大量的日常经营决策，例如产品多样化、技术改进、
加强人员培训、资本重新分配、改进业务流程等。

风险分担：通过将风险转移或者分担部分风险来减少风险的可能性和影响。

如购买保
险、套期保值、外包业务等
风险接受：不采取任何行动去影响风险的可能性或影响。

（3）风险评估总结
采用定性、定量的方法，通过对风险的辨识、分析与评价，根据风险的度量单位与模型，考虑风险之间的关系，确定企业重大风险。

仅仅知道风险是不足够的。

企业必须对风险进行管理，将风险损失降到最低。

（4）风险评估实施过程
描述公司现有业务流程，并加以改进或重组
识别与业务流程相关的风险
拓展：流程
一．流程的含义：一组将输入转化为输出的相互关联的活动。

输入的资源包括：信息、资金、人员、技术、文档等。

最后通过流程产生所期望的结果，包括产品、服务或某种决策结果。

通过建立合理的业务流程，达到动态适应竞争加剧和环境变化的目的。

二．流程图编制标准
流程图的绘制必须使用标准的流程图符号，并遵守流程图绘制的相关规定，才能绘制出正确而清楚的流程图。

三．流程图编制步骤
第一步:填写流程说明
流程说明：
股份公司预算委员会办公室根据预算委员会要求及公司业务发展计划，结合国内外市场情况和公司生产经营实际，与专业公司结合，提出框架预算目标以及各专业公司的效益目标、股份公司筹融资预算、资本支出预算的资金来源等，报股份公司预算委员会批准后，于八月底下发关于编制下年预算的通知，下达预算编制原则和相关参数，由各专业公司组织地区公司编制下年预算。

专业公司预算委员会按股份公司预算委员会确定的框架预算目标，分解落实到地区公司，并组织各地区公司编制预算，通过上下结合的方式，审查确定地区公司预算目标。

于十月底完成地区公司预算的审查、汇总和平衡。

地区公司预算委员会按照专业公司的具体要求和提供的参数，结合地区公司的业务发展计划及
生产经营实际，组织预算编报，经专业公司预算委员会办公室审定后，于十月底完成正式预算的编报工作。

股份公司预算委员会办公室对专业公司预算进行汇总后，形成股份公司整体预算方案。

各单位编制预算，必须根据上级单位和本单位预算委员会确定的预算编制参数、原则和要求，在本年度业务运行基础上，综合考虑次年本单位发展目标、业务运行变化、机构变化情况和往年历史数据来编制。

地区公司预算经地区公司预算委员会审批后，上报专业公司预算委员会进行审批。

股份公司整体预算方案（XXXX年预算报告）由董事会批准。

第二步：基本确定涉及的各个部门绘图架构
（5）重要风险
重要风险的含义：是指对财务报告影响重大，其发生的频率、后果、影响金额较大的风险。

重要风险的形成：重要风险是在风险数据库的基础上，按照确认重点进行筛选、修改、再分析，确认重要风险。

重要风险的处理：重要风险要给予特别的关注，重要风险在进行风险控制分析是不能遗漏。

（6）风险数据库：是进行风险记录的工具。

风险数据库记录整个集团公司范围内业务层面的风险，按照流程，记录各个流程中可能出现的风险，并对风险的属性进行记录。

风险的属性有财务风险和非财务风险之分。

根据公司经营环境的发展变化，对风险数据库要进行不断地更新与维护。

目前，风险数据库有两种类型，财务报告风险数据库、投资业务风险数据库；法律风险在法律风险防范控制文档中体现，即风险控制一张表。

要素之三：控制活动
一．概念：是指企业根据风险评估结果，结合风险应对策略，确保内部控制目标得以实现的方法和手段。

包括诸如批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等。

二．控制活动的分类
1.按控制活动的手段划分，可分为人工控制和自动控制
人工控制：是以人工方式执行的控制
例如－人工核对，授权签字，信用状况核查和信用限额批准等
自动控制：是由计算机等系统自动执行的控制
例如－折旧的自动计算，报表自动计算，自动校验等。

2.按控制活动的作用划分，可分为预防性控制和发现性控制
预防性控制：是指为防止错误和非法行为的发生，或尽量减少其发生机会所进行的一种控制；
是防止问题发生所设立的机制（例如：房门的锁）
发现性控制：是指为及时查明已发生的错误和非法行为，或增强发现错误和非法行为机会的能。