內部環境基本框架,我國企業內部控制基本規範的第壹要素;
包括公司治理結構、內部人力資源、企業文化建設和法律教育。
中國《企業內部控制基本規範》對風險評估要素的要求;
(1)根據設定的控制目標,全面、系統、持續地收集相關信息,結合實際情況及時進行風險評估。
(二)企業進行風險評估時,應當準確識別與實現控制目標相關的內部風險和外部風險,並確定相應的風險容忍度。
(3)企業在識別內部風險時應關註以下因素:①董事、監事、經理及其他高級管理人員的職業道德、員工的專業能力等人力資源因素;②組織機構、運營模式、資產管理、業務流程等管理因素;(3)研發、技術投入、信息技術應用等自主創新要素;④財務狀況、經營成果、現金流量等財務因素;⑤作業安全、員工健康、環境保護等安全環保因素;⑥其他內部風險因素。
(4)企業在識別外部風險時應關註以下因素:①經濟因素,如經濟形勢、產業政策、融資環境、市場競爭、資源供給等;②法律法規、監管要求等法律因素;③安全穩定、文化傳統、社會信用、教育水平、消費行為等社會因素;(4)技術進步、工藝改進等科技因素;⑤自然災害、環境條件等自然環境因素;⑥其他外部風險因素。
(五)企業應當采用定性和定量相結合的方法,根據風險發生的可能性及其影響程度,對已識別的風險進行分析和排序,確定重點和優先控制的風險。企業在進行風險分析時,應充分吸收專業人士,組成風險分析團隊,按照嚴格規範的程序開展工作,確保風險分析結果的準確性。
(六)企業應當根據風險分析和風險承受能力的結果,權衡風險和收益,確定風險應對策略。企業應當合理分析和準確把握董事、經理、其他高級管理人員和關鍵崗位員工的風險偏好,並采取適當的控制措施,避免個人風險偏好對企業經營造成嚴重損失。
(7)企業應綜合運用風險規避、風險降低、風險分擔和風險容忍度實現有效的風險控制。
(八)企業應當結合不同發展階段和業務拓展,持續收集風險變化相關信息,進行風險識別和風險分析,及時調整風險應對策略。
中國《企業內部控制基本規範》對控制活動要素的要求
(1)企業應結合風險評估結果,采取人工控制與自動控制相結合、預防控制與發現控制相結合的方式,並采取相應的控制措施,將風險控制在可容忍的水平之內。控制措施壹般包括:不相容職務分離控制、授權審批控制、會計制度控制、財產保護控制、預算控制、經營分析控制和績效評價控制。
(2)不相容崗位的分離控制要求企業對業務流程中涉及的不相容崗位進行全面、系統的分析和梳理,實施相應的分離措施,形成各負其責、相互制約的工作機制。
(3)授權審批控制要求企業根據常規授權和特別授權的規定,明確各崗位在辦理業務和事項中的權限範圍、審批程序和相應責任。企業應當制定常規授權的權限指引,規範特別授權的範圍、權限、程序和責任,嚴格控制特別授權。常規授權是指企業在日常經營管理活動中,按照既定職責和程序進行的授權。特別授權是指企業在特殊情況和特定條件下的授權。
企業各級管理者應當在授權範圍內行使職權,承擔責任。企業應當實行重大業務和事項集體決策審批或者聯簽制度,任何個人不得單獨決策或者擅自改變集體決策。
(4)會計制度控制要求企業嚴格執行國家統壹的會計準則體系,加強會計基礎工作,明確會計憑證、會計賬簿和財務會計報告的處理程序,保證會計數據的真實、完整。企業應當依法設置會計機構,配備會計從業人員。會計機構負責人應當具有會計師以上專業技術資格。大中型企業應設總會計師。設有總會計師的企業,不得設置與其職權重疊的副職。
(5)財產保護控制要求企業建立日常財產管理制度和定期盤點制度,采取財產記錄、實物保管、定期盤點、賬實核對等措施,確保財產安全。企業應嚴格限制未經授權的人員接觸和處置財產。
(6)預算控制要求企業實施全面預算管理制度,明確各責任單位在預算管理中的職責和權限,規範預算編制、審批、下達和執行程序,強化預算約束。
(7)運營分析與控制要求企業建立運營分析系統。管理者要綜合運用生產、購銷、投資、融資、財務等方面的信息。,並定期運用因素分析、比較分析、趨勢分析等方法進行運營分析。,找出存在的問題,及時找出原因並改進。
(8)績效考核與控制要求企業建立和實施績效考核制度,科學設置考核指標體系,對企業內部各責任單位和員工的績效進行定期考核和客觀評價,並將評價結果作為確定員工薪酬、晉升、考核、降職、崗位調整和辭退的依據。
(九)企業應當根據內部控制目標,結合風險應對策略,綜合運用控制措施,對各項業務和事項進行有效控制。
(10)企業應當建立重大風險預警機制和突發事件應急處理機制,明確風險預警標準,針對可能出現的重大風險或突發事件制定應急預案,明確責任人員,規範處理程序,確保突發事件得到及時妥善處理。
我國《企業內部控制基本規範》對信息和溝通要素的要求;
(1)企業應當建立信息溝通系統,明確內部控制相關信息的收集、處理和傳遞程序,確保信息的及時溝通,促進內部控制的有效運行。
(2)企業應對收集的各種內外部信息進行合理的篩選、核對和整合,提高信息的有用性。企業可以通過財務會計資料、管理資料、研究報告、專題資料、內部刊物、辦公網絡等渠道獲取內部信息。企業可以通過行業協會、社會中介機構、業務單位、市場調研、信訪、網絡媒體和相關監管部門等渠道獲取外部信息。
(三)企業應在企業內部各管理層、責任單位和業務環節之間,以及企業與外部投資者、債權人、客戶、供應商、中介機構和監管部門之間溝通和反饋與內部控制相關的信息。信息溝通過程中發現的問題應及時報告和解決。重要信息應及時傳遞給董事會、監事會和管理層。
(4)企業應利用信息技術促進信息整合和共享,充分發揮信息技術在信息溝通中的作用。企業應當加強對信息系統開發與維護、訪問與變更、數據輸入與輸出、文件存儲與保管、網絡安全等環節的控制,確保信息系統安全穩定運行。
(五)企業應當建立反舞弊機制,堅持懲防結合、重在預防的原則,明確反舞弊工作的重點領域和關鍵環節以及相關機構在反舞弊工作中的職責權限,規範舞弊案件的報告、調查、處理、報告和補救程序。企業至少應將以下情形作為反舞弊工作的重點:①擅自占用、挪用企業資產或以其他非法手段謀取不當利益;②財務會計報告和信息披露中的虛假記載、誤導性陳述或者重大遺漏;(三)董事、監事、經理和其他高級管理人員濫用職權;(4)相關機構或人員串通舞弊。
(六)企業應當建立舉報投訴制度和舉報人保護制度,設立舉報專線,明確舉報投訴的程序、時限和完成要求,確保舉報投訴成為企業有效掌握信息的重要途徑。投訴舉報制度和舉報人保護制度應及時傳達給所有員工。
中國企業內部控制基本規範對內部監督要素的要求
(1)企業應當依據本準則及其配套辦法,制定內部控制和監督制度,明確內部審計機構(或其他授權監督機構)等內部機構在內部監督中的職責權限,規範內部監督的程序、方法和要求。內部監督分為日常監督和專項監督。日常監督,是指對企業內部控制的建立和執行情況進行例行的、持續的監督檢查;專項監督是指在企業的發展戰略、組織架構、業務活動、業務流程和關鍵崗位員工發生重大調整或變化時,對內部控制的某壹方面或某幾個方面進行有針對性的監督檢查。專項監管的範圍和頻率應根據風險評估結果和日常監管的有效性確定。
(二)企業應當制定內部控制缺陷認定標準,分析監督過程中發現的內部控制缺陷的性質和原因,提出整改方案,並以適當形式及時向董事會、監事會或管理層報告。內部控制缺陷包括設計缺陷和操作缺陷。企業應當跟蹤內部控制缺陷的整改情況,對內部監督發現的重大缺陷,應當追究相關責任單位或人員的責任。
(三)企業應結合內部監督,定期對內部控制的有效性進行自我評價,並出具內部控制自我評價報告。內部控制自我評價的方式、範圍、程序和頻率由企業根據業務調整、經營環境變化、業務發展和實際風險水平確定。
(四)企業應當以書面或其他適當形式妥善保存內部控制建立和實施過程中的相關記錄或資料,以確保內部控制建立和實施過程的可驗證性。