内控体系建设政策介绍

要求对内控进行测试以获取充分可信的证据来支持内控评估工作
要求对识别出的内控缺失点进行评价，并准备年度评估报告
20
一、集团公司内控建设概述
2.1 财政部企业内部控制规范（续）
企业内部控制鉴证指引
目前的审计重点是“财务报告相关的内部控制“
讨论了“综合审计”的概念，但没有强制要求执行 积极倡导自上而下、基于风险的审计方法
信息和沟通
信息和沟通
wk.baidu.com
控制环境 风险评估 控制活动
风险评估 控制活动
监
监控
督
一、集团公司内控建设概述
1.1 COSO内部控制框架理论（续）
COSO五要素的关系 控制环境
控制环境是基础 风险评估是起点 控制设计是核心 信息与沟通是关键 监督是内部控制的再控制 五要素共同组成了一个完 整的内部控制系统 信息
6
一、集团公司内控建设概述
1.1 COSO内部控制框架理论（续）
COSO内部控制框架的基本内容
三大目标
五项要素
7
一、集团公司内控建设概述
1.1 COSO内部控制框架理论（续）
COSO内部控制框架的基本内容（续） 内控目标
经营目标。就是实现经营的效率和 效果，包括经营业绩和赢利性目标和 资产的合理使用等。 财务报告目标。就是要求财务报告 的真实可靠，包括公开的中期报告和 财务简报以及从报告提取的诸如收入 等的财务数据的真实性和可靠性。 合规性目标。就是要求企业经营活 动要遵守法律和法规的规定，实现经 营活动的合法合规。
控制环境 A B位 位 B 单 位 位单 单 单务 1 务 务业 2 1 务业 动业 2动 业 动 动活 活 活 活
信息和沟通 监
信息和沟通
风险评估 控制活动
风险评估 控制活动
监控
督
一、集团公司内控建设概述
1.1 COSO内部控制框架理论（续）
COSO内部控制框架的基本内容（续）
控制环境 A B位 位 B 单 位单 位 单务 务 1单 务业 2 1 务业 动业 2动 业 动 动活 活 活 活
17
一、集团公司内控建设概述
2.1 财政部企业内部控制规范（续）
为了配合《企业内部控制基本规范》的施行， 2008 年 7 月，财政部草拟了 《企业内部控制评价指引》（征求意见稿）、《企业内部控制应用指引》 （征求意见稿）和《企业内部控制鉴证指引》（征求意见稿）。 内部控制应用指引 制定 部门 目的 内部控制评价指引 内部控制鉴证指引
财政部会同国务院有 财 政 部 会 同 国 务 院 有 中国注册会计师协 关部门 关部门 会 为注册会计师对内 为管理层建立必要的 为 管 理 层 进 行 自 我 评 部控制的有效性发 内部控制提供指引 估提供指引 表意见提供指引
18
一、集团公司内控建设概述
2.1 财政部企业内部控制规范（续）
企业内部控制应用指引
涵盖了22个流程及经营范围，包括财务报告和财务管理的相
关领域（例如：销售、采购、存货、预算等）以及其他领域 （例如：信息系统总体控制、人力资源、内部审计等）
提供不相容岗位分离指导建议，及需要授权的范围建议
对所有范围内的子流程提出了需要关注的控制领域 目前正在对指引进行修订；修订的版本可能把范围拓展到26 个领域，并增加三份行业指引
一、集团公司内控建设概述
2.1 财政部企业内部控制规范
基本规范 已于2008年5月22日正式发布，自2009年7月1日起在上市 公司范围内施行，鼓励非上市的大中型企业执行，其中第六
条规定，企业应当根据有关法律法规、本规范及其配套办法
，制定本企业的内部控制制度并组织实施。
《基本控制规范》分7章，包括总则、内部环境、风险评
19
一、集团公司内控建设概述
2.1 财政部企业内部控制规范（续）
企业内部控制评价指引
要求董事会和审计委员会主导评估过程，并由监事会对此进行监督 积极采用基于风险的并且具有成本效益的方法，强调评估基础的一致性 ，强调独立性，并要求有充分的证据来支持结论目的是评估各种控制目标 的实现成果 评估要覆盖内部控制的5个要素，并且要考虑设计和执行的有效性，需要 覆盖信息系统总体控制和信息系统应用控制
估、控制活动、信息与沟通、 内部监督、附则。
16
一、集团公司内控建设概述
2.1 财政部企业内部控制规范（续）
内部控制规范规定了内部控制的基本原则、构成要素和总体 要求，对内部控制要素包括的内容进行了阐述，是制定具体规 范和应用指南的基本依据，在内控标准体系中起统驭作用。 内部控制规范的推出重点在于健全企业内控规范体系，逐步 建立一套以基本规范为统领，以评价指引、应用指引和内部控 制鉴证指引等配套办法为补充的内控标准体系，并不断完善以 法制为推动、以企业实施为主体、以政府监管和社会评价为保 障、以各方面积极参与为促进的内控实施体系。
目标设定
事件识别 风险评估
风险反应
控制活动 信息与沟通 监督
相关信息以某种形式在一定时限内被识别、获取和 沟通 通过正在执行的管理活动、个体组织风险管理程序 或者两者的结合来对整个系统进行动态校正和改变
14
一、集团公司内控建设概述
2. 国内法律、法规日益重视内部控制建设：
2004年08月 国资委《中央企业内部审计管理暂行办法》 2005年10月 2006年05月 2006年06月 2006年06月 2006年09月 2007年03月 2008年05月 2008年02月 证监会发布《关于提高上市公司质量意见的通知》 证监会《首次公开发行股票并上市管理办法》 上海证交所发布《上海证券交易所上市公司内部控制指引》 国资委员会发布《中央企业全面风险管理指引》 深圳证交所发布《深圳证券交易所上市公司内部控制指引》 证监会发布《关于开展加强上市公司治理专项活动有关事项的通知》 财政部公布《企业内部控制规范—基本规范》 国资委下发《关于开展编报<2008年中央企业全面风险管理报告>试点 工作有关事项的通知》 2008年11月 国资委下发《关于2009年中央企业开展全面风险管理工作有关事项的通 知》 2009年01月 财政部修改完善了组织架构等10个应用指引项目并征求意见，并调整修 15 改了《企业内部控制评价指引》和工程项目等5个应用指引
13
一、集团公司内控建设概述
1.2 COSO企业风险管理整体框架理论（续）
COSO风险框架要素：
内部环境
包括企业风险管理意识、企业的风险容量、董事会 的监督、诚信与道德价值观、企业员工的胜任能力、 管理层的授权和职责分工方式、人力资源政策等 识别影响目标实现的潜在事件之前，必须制定目标 识别出可能会给企业带来影响的潜在事件 找出企业面临的风险，并对风险进行分析，并将为 企业如何管理风险提供依据 管理层根据风险偏好和承受力考虑如何应对风险 建立和执行政策和程序来保证管理层所选择的风险 反应行动得到有效的执行
三大目标五大要素
四大目标八大要素
12
一、集团公司内控建设概述
1.2 COSO企业风险管理整体框架理论（续）
企业的目标可以分为四个类别： --战略性目标 --经营性目标 --报告目标 --合规性目标 企业风险管理将企业各个层面的 活动都纳入了考虑范围： --公司层面 --部门或业务单位 --分、子公司
二、内控体系建设工作概述
三、2009年内控体系建设工作
3
一、集团公司内控建设概述
国际环境 国内监管
国际资本市场大力强化内部 控制： -美国 萨班斯奥克斯利法案 -香港联交所 《公司治理实 务和公司治理报告的准则》
自 身 需 求
法律、法规日益重视内部 控制建设： -国资委 《中央企业全面 风险管理指引》 -财政部 《企业内部控制 基本规范》
5
香港
- 2004年11月
其他
- 2003年03月 - 2005年02月 试 - 2005年05月 共
咨文，以便提出公司治理标准并促进更好的监督
一、集团公司内控建设概述
1.1 COSO内部控制框架理论
COSO的含义
COSO ，是自愿性的私人组织 ，由美国注册会计师协会
(AICPA) 、内部审计协会 (IIA) 、财务经理协会(FEI) 、美 国会计学会(AAA)、管理会计学会(IMA)等多个专业团体组 成。它致力于通过强化商业道德、建立完善有效的内部控 制和法人治理结构以提高财务报告的质量。它从属于1985 年成立的反虚假财务报告委员会 (也被称为Treadway委员 会)。 COSO内部控制框架是在美国反虚假财务报告委员会的号召 下，由COSO委员会于1992 年9月提出的，1994年又进行了 增补，该框架是美国证券交易委员会唯一推荐使用的内控 框架标准。
内控要素
（3）控制活动——指那些有助于 管理层决策顺利实施的政策和程序 ，是针对风险采取的控制措施。包 括诸如批准、授权、查证、核对、 复核经营业绩、资产保护和职责分 工等活动。 （4）信息与沟通——是指企业经 营管理所需信息必须被识别、获得 并以一定形式及时传递，以便员工 履行职责。 （5）监督——是对内部控制系统 有效性进行评估的过程，它实际上 是内部控制的一种再控制。包括持 10 续监督、独立评估和缺陷报告等。
国内外监管机构对内部控制的要求、结合企业自身发展的 需求，加强管理，构建全面的内部控制体系成为支撑公司 实现可持续发展的重要基础。
4
一、集团公司内控建设概述
1.国际资本市场大力强化内部控制：
美国
2002年07月 2004年03月 2006年02月 2007年07月 美国萨班斯奥克斯利法案生效 美国（上市公司监管委员会）PCAOB审计准则第2号生效 美国证交会(SEC) 批准PCAOB审计准则第4号生效 SEC通过了修改404条款的PCAOB审计准则第5号 香港联交所公布《公司治理实务和公司治理报告的准则》 澳大利亚证券交易所(ASX)及其公司治理委员会采纳《良好公 司治理原则和最佳实务操作建议》 加拿大安大略证券委员会提出新规则，要求管理层评估并测 有关财务报告的内部控制系统(MI 52-111) 新加坡交易所就其加强上市规定和程序的计划发行了一份公
监控 控制活动 风险评估
信息
11
一、集团公司内控建设概述
1.2 COSO企业风险管理整体框架理论
2003年8月，COSO委员会发布了《企业风险管理框架》征求意 见稿，于2004年9月发布了《企业风险管理框架》终稿。
COSO内控框架 COSO风险管理框 架
发 展
在 COSO 内控框架的基 础上，增加了目标制 定、事件识别、风险 反应三个要素，将风 险管理活动的目标扩 展到战略目标。 将内控框架置于风险 管理框架之下。
把内控缺陷分为三个等级，一个或者一个以上的“重大缺陷”将会导致
审计师出具否定意见 整体的内部控制鉴证方法和国外现行的内部控制审计方法和标准非常类 似 一些关键的领域仍然在讨论和确定之中
21
一、集团公司内控建设概述
2.2 国资委的全面风险管理指引
2006年6月国资委发布了《全面风险管理指引》 该指引的出台是为了指导国资委履行出资人职责的企业(简 称中央企业)开展全面风险管理工作。 其中第九条规定，企业应本着从实际出发，务求实效的原 则，以对重大风险、重大事件(指重大风险发生后的事实)的管 理和重要流程的内部控制为重点，积极开展全面风险管理工 作。具备条件的企业应全面推进，尽快建立全面风险管理体 系；
8
一、集团公司内控建设概述
1.1 COSO内部控制框架理论（续）
COSO内部控制框架的基本内容（续）
控制环境
内控要素
（1）控制环境 ——是企业的基调、 氛围，直接影响企业员工的控制意识 ，是内部控制的基础，包括员工的诚 信、职业道德和工作胜任能力，管理 层的经营理念和经营风格，董事会或 审计委员会的监管和指导力度，企业 的权责分配方法和人力资源政策等。 （2）风险评估 ——就是识别、分析 相关风险以实现既定目标，是风险管 理的基础。每个企业都面临着诸多来 自内部和外部的风险，影响企业既定 目标的实现。因此必须设立一个机制 来识别、分析和管理影响目标实现的 9 相关风险，并适时加以管理。
内控体系建设 政策介绍
二〇〇九年三月
简介
本部分培训主要介绍国内外法律法规对内控体系建 设的要求，集团内控体系建设概况以及 2009 年内控 体系建设的工作安排。
参考资料：
内控部培训材料-理论基础 财政部《企业内部控制基本规范》
国资委《中央企业全面风险管理指引》
2
主要内容
一、集团公司内控建设背景介绍