集成灶公司内部控制的基本框架分析_参考.docx
《集成灶公司内部控制的基本框架分析_参考.docx》由会员分享,可在线阅读,更多相关《集成灶公司内部控制的基本框架分析_参考.docx(78页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、泓域/集成灶公司内部控制的基本框架分析集成灶公司内部控制的基本框架分析目录一、 企业风险管理3二、 内部牵制12三、 企业内部控制规范的基本内容14四、 内部控制的相关比较26五、 内部控制的局限性29六、 内部控制的重要性32七、 起步和探索阶段36八、 发展与创新阶段37九、 公司治理的产生及动因39十、 企业的演进49十一、 公司概况54公司合并资产负债表主要数据55公司合并利润表主要数据55十二、 产业环境分析55十三、 品牌竞争处于发展初期,发展机会多56十四、 必要性分析56十五、 SWOT分析57十六、 法人治理结构64十七、 组织架构分析75劳动定员一览表76一、 企业风险管理
2、(一)企业风险管理(2004)架构1、基本框架2004年,COSO为企业风险管理确立了一个可普遍接受的定义,该定义融入众多观点并达成共识,为各组织识别风险和加强对风险的管理提供了坚实的理论基础,即企业风险管理是一个受企业董事会、管理层和其他人士影响的过程,运用于制订战略之中,并且贯穿整个企业,用以识别可能影响该企业的潜在事项,并且将风险控制在风险偏好的范围之内,为达到实体目标提供合理的保证。企业风险管理(2004)框架的主要贡献就在于,其重新界定了风险管理,即由目标、要素和组织三个维度组成的有机整体。第一维度为企业的目标,即战略目标、经营目标、报告目标和合规目标。在主体既定的使命或愿景范围内,
3、管理当局制订战略目标、选择战略,并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的战略目标、经营目标、报告目标和合规目标。战略目标与高层目标相关,和企业使命相一致,企业所有的经营管理活动必须长期有效地支持该使命。经营目标与企业运营的效果和效率相关,包括业绩和利润目标,运营变化以管理当局对结构和业绩的选择为基础,旨在使企业能够高效地使用资源。报告目标与组织报告可靠性相关,包括对内报告和对外报告,涉及财务和非财务信息。合规目标层次较低,也是最基础的目标,与组织遵循相关法律法规有关。第二维度为构成要素,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。第三
4、维度组织是企业的层级,包括主体层次、分部、业务单元及子公司。三个维度的关系是,全面风险管理的八个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理。2、构成要素第二维度企业风险管理包含八个相互关联的要素。它们来源于管理当局经营企业的方式,并与管理过程整合在一起。这些构成要素的含义如下。内部环境内部环境包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。目标设定必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目
5、标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。事项识别必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。风险评估一通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对管理当局选择风险应对回避、承受、降低或者分担风险采取一系列行动以便把风险控制在主体的风险容忍度和风险容量以内。控制活动一制订和执行政策与程序以帮助确保风险应对得以有效实施。信息与沟通一一相关的信息以确保员工履行其职责的方式和时机,能被识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中
6、的向下、平行和向上流动。监控对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程,在这个过程中几乎每一个构成要素都会影响其他构成要素。3、企业风险管理(2004)框架面临的问题企业风险管理(2004)框架在对企业风险管理进行定义时所强调的最重要也是最独具一格的一点是“贯穿整个企业,应用于战略制定中”。而这一点在实践中却被误读,甚至被无视。COSO最初在编制ERM框架时采用了类似于内部控制框架所使用的立方体。虽然COSO对立方体右侧的内
7、容进行了修改,删除了有关活动和流程,改为侧重于范围更广的实体和运营单位及分支机构,但许多企业依然试图在过于细微的层面实施该框架,例如运用于流程层面而非战略制定。许多组织机构将企业风险管理作为一种保证活动来实施,而不是将其视为一种更佳的企业管理方式,从而失去了治理效果。2008年金融危机以及2011年的日本海啸所引发的经济大萧条,“黑天鹅”“大变脸”事件频频爆发,ERM有关问题和价值的主张便开始明朗起来,令许多企业进入危机应对模式,企业风险管理的实施也因此受到企业特别是C级高管的真正重视。6月24日,COSO委员会发布企业风险管理:风险与战略和绩效的协调,以向公众征求意见,截止日期为2016年9
8、月30日。(二)企业风险管理(2016)框架的内容相对于企业风险管理(2004)框架,新版企业风险管理(风险与战略和绩效的协调)(2016)使用了构成元素加原则的结构,包括5个构成元素,细分为23条原则,2013年COSO组织更新了企业内部控制框架的部分内容,在文章的整体结构上就是采用的这种结构新的结构加强了新框架的可读性、可用性和一致性。新版ERM框架的五要素和23个原则。新版框架对ERM的定义为:组织在创造、保存、实现价值的过程中赖以进行风险管理的,与战略制订和实施相结合的文化、能力和实践。可以看到,新版框架简化了ERM的定义以方便阅读和记忆。新定义方便的是所有读者的理解,而不只是风险管理
9、从业者。新定义包括文化和能力而不只是过程,更加强调风险与价值的相结合,突出价值创造而不只是防止损失,这样也避免了和内部控制定义的界限不清。新版框架中,ERM被视为战略制定的重要组成和识别机遇、创造和保留价值的必要部分。新版框架中ERM不再是主体的一个额外的或是单独的活动,而是融入主体的战略和运营当中的有机部分。新版框架注意到了自旧版框架发布以来,组织在实践ERM过程中遇到的一些问题,包括对风险管理工作的定位,风险管理工作的范围和目标等,新版框架定义了风险管理工作的高度,包括:战略和业务目标与使命、愿景和价值观不匹配的可能性;选定的战略所隐含的意义;执行战略过程中的风险。1、风险治理和文化风险治
10、理和文化构成了ERM所有其他部分的基础。风险治理定下主体的基本基调,加强ERM的重要性并确立ERM的监管责任的分配;文化则是主体的价值观、行为准则和对风险的理解。(1)实现董事会对风险的监督。董事会对主体的风险监督负有首要责任。(2)建立治理和运作模式。在明确的责任分配下,组织应该建立完整的运营模式和汇报体系。(3)定义期望的组织行为。董事会和管理层通过定义其期望的行为将组织核心价值和对风险的态度具体化。(4)展现对诚实和道德的承诺。组织制定基调,建立员工行为准则并对偏离准则的行为做出回应。(5)加强问责。组织确保各个层级的个体在风险管理方面的职责明确,并确保其自身在提供准则和指导方面的职责明
11、确。(6)吸引、发展并留住优秀的个体。致力于根据战略和业务目标构筑人力资本,管理层通过在不同层面建立人力资源管理体系来吸引、培训、指导人才,评价和留住人才。2、风险、战略和目标设定ERM通过制订战略和业务目标的过程与主体的战略计划融合在一起。通过对商业环境的理解,组织可以得到对内在和外在因素的看法以及它们对风险的影响。组织在战略制订中确定其风险偏好,而业务目标使得战略得以实践并形成主体日常的运营。(1)考虑风险和业务环境。组织考虑业务环境对风险图谱的潜在影响;组织要理解业务环境,考虑内部和外部的环境和不同的利益相关者。(2)定义风险偏好。组织在创造、保存和实现价值的过程中定义风险偏好。(3)评
12、估可供选择的战略。组织评估可替代的战略和对风险状况的影响。(4)建立业务目标的同时考虑风险。组织建立不同层次的业务目标以制定和支持战略的同时考虑风险。(5)定义可接受的绩效浮动区间。可接受的绩效浮动也可以理解为风险容忍度。3、执行中的风险组织识别并评估可能影响其实现战略和业务目标的风险,结合企业的风险偏好,对风险按照其严重程度排分优先次序,组织选择风险应对的方法并对绩效进行监控以做出调整。这样,企业对追求战略和业务目标时所面临的风险量建立起一个组合的观念。(1)识别执行中的风险。组织识别执行过程中影响业务目标实现的风险。(2)评估风险的严重程度。风险评估的重要工具是风险热力图,热力图从风险发生
13、的可能性和影响程度两方面对风险进行评级。风险评价要从固有风险、目标剩余风险和实际剩余风险三个层级进行。(3)区分风险的优先次序。组织结合风险偏好,选定对风险排分优先等级的标准,然后对所有识别的风险进行排分。(4)识别并选择风险响应。这些控制活动在内部控制一整合框架中已经介绍。(5)评估执行中的风险。组织需要对绩效进行监测,如果绩效的浮动区间超出了可以接受的范围,则可能需要重新考虑业务目标或战略;调整目标绩效,重新进行风险评估;重新进行风险优先级的排序;重新制定风险应对措施;重新确立风险偏好。(6)建立风险的组合观。管理层需要从组织整体角度考虑风险,将组织风险作为一个整体去和实现绩效目标所需要承
14、受的风险进行对比,而不是将其视为一个个单独的、分散的风险。4、风险信息、沟通和报告沟通是在主体中不断迭代地取得并分享信息的过程。管理层利用从内部和外部取得的有效信息来支持企业风险管理工作,组织利用信息系统来捕捉、处理和管理数据和信息。通过利用应用于所有组成部分的信息,组织就风险、文化和绩效做出报告。(1)使用相关信息。组织利用支持企业风险管理的信息,首先考虑有哪些可用的信息来源,然后衡量取得这些信息的成本,最终确定需要哪些信息来源。(2)利用信息系统。信息系统可以是正式的或者是非正式的。(3)沟通风险信息。沟通的对象既包括内部的员工,也包括董事会、股东及其他外部的利益相关者。沟通方法可以是电子
15、信息、外部/第三方材料、非正式/口头、公共活动、培训和研讨会、内部文件。(4)对风险、文化和绩效进行报告。组织在各个层级对风险、文化和绩效做出报告。5、监控风险管理效果通过监控风险管理(ERM)的效果,组织可以判断ERM的各组成部分的长期运作是否良好并获知有哪些实质性的变化。(1)对重大变化进行监控。组织识别和评估可能对战略和业务目标的达成造成实质性影响的内部和外部变化。造成这些实质性影响的变化可能来自内部的原因,如快速成长、新技术或者管理层及其他人事变动;可能来自外部环境,例如法规和经济环境的变化;还可能来自组织文化方面,例如并购和重组带来的文化冲击。(2)对ERM进行监控。组织应监控ERM
16、的效果并随时准备对其进行效率上和实用性上的改善,组织同样要明确未来理想中的ERM状态,做到持续改进。二、 内部牵制内部牵制的概念最早在1905年由特克西提出。他认为内部牵制由3部分组成:职责分工、会计记录、人员轮换。这3部分内容在现代内部控制中都有所体现。柯勒会计词典中对内部牵制曾做出最全面的解释,它认为“内部牵制是指以提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人,或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有效的内部牵制得以使每项业务能完整、正确地经过规定
17、的处理程序,而在这规定的处理程序中,内部牵制机制永远是一个不可缺少的组成部分”。由此可见,内部牵制是以查错防弊为目的,以职务分离、账目核对为手段,以钱、账、物等为主要控制对象。内部牵制按照实现机制的不同,可分为分离式牵制和合作式牵制两类。(一)分离式牵制内部牵制制度的建立主要是基于两个设想,一是两个人或两个以上的人或部门无意识地犯同样错误的机会是很小的:二是两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。按照这样的设想,通过内部牵制机制,实现上下牵制,左右制约,相互监督,因而具有查错防弊这个主要功能。所谓的上下牵制是指,从纵向看,每项经济业务的处理,至少要
18、经过上下级有关人员之手,使下级受上级监督,上级受下级制约,促使上下级均能忠于职守,不可疏忽大意。所谓左右制约是指,从横向看,每项经济业务的处理,至少要经过彼此不相隶属的两个部门的处理,使每一部门工作或记录受另一部门的牵制,不相隶属的不同部门均有完整的记录,使之互相制约,自动检查,防止或减少错误和弊端;同时,通过交叉核对也能及时发现错误和弊病。分离式牵制即不相容职务相分离,所谓不相容职务是指那些如果由一个人或一个部门担任既可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为的职务。不相容职务主要有授权批准、业务经办、会计记录、财产保管和稽核检查等职务,包括岗位的不相容、部门的不相容以及流程的不相容
19、。不相容职务分离主要是指授权审批与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等不能由一个人或一个部门进行。由此可见,内部牵制主要是以不相容职务分离为主要流程设计的,是内部控制的最初形式和基本形态。其目的是为了保证财产物资的安全和完整,防止贪污、舞弊。实践证明,该设想是合理的,内部牵制确实起到了防范错弊的作用。(二)合作式牵制现代内部牵制思想还包括合作式牵制。合作式牵制是指,通过合作达到相互制约、相互监督的作用。例如,会审机制,企业面对重大决策、重大业务事项、重要的人事任免以及大额资金支付时,需要领导层集体决策、集体联签,以防止个人决策的失误:又如合
20、同会签制度,即合同在生效前不仅需要主管部门签字盖章还需要其他协作部门共同参与,会审、会签人员共同参与、共担责任,以及降低决策、合同的风险。另外,企业内部各部门之间在业务上的协助也属于合作式牵制。例如,2012年财政部颁布要求在2014年1月1日试行的行政事业单位内部控制规范中规定,重大事项需集体决策和会签。三、 企业内部控制规范的基本内容我国企业内部控制规范的基本框架,可以概括为五大目标、五大原则和五大要素。(一)内部控制的目标内部控制是围绕目标展开的,因此明确目标至关重要。内部控制的目标,应是整个控制系统的出发点,决定了系统运行的方式和方向。企业内部控制基本规范中对内部控制提出了合法合规、资
21、产安全、财务报告及相关信息真实完整、提高经营效率和效果以及促进企业实现发展战略的五大目标,简称为合规目标、资产安全目标、报告目标、经营目标和战略目标。内部控制五大目标是一个完整的目标体系,由于各大目标在控制体系中的层级不同,其在整个目标体系中的地位和作用也有所差异。1、合规目标合规目标要求企业或其他组织完全遵循国家的法律法规和监管要求,是企业成功运营的必要保证,与企业活动的合法性相关。企业生存于社会这个大环境下,必须遵守社会的基本规范,包括法律规范和道德规范,必须在社会允许的范围内展开各项活动,即“小制度不能大于大法”。因此,遵守法规、制度是企业一切活动的前提,也是首先要保证完成的目标。国家有
22、关法律、制度的落实必将依靠内部控制的有效执行加以保证。一个违反国家法律法规、丧失道德底线的企业,必然会将自身置于高风险的环境中,从而对自身的生存和发展造成巨大的威胁,后果可想而知。合规目标方面的关注点主要包括:公司的各项活动符合法律法规确定的要求,通常涉及知识产权、市场、价格、税收、环境、员工福利以及国际贸易等。2、资产安全目标虽然在COSO框架中没有将保护资产安全作为一个主要目标,而是作为主要目标中的一个子目标,但是我国的企业内部控制基本规范中重新将其作为内部控制目标的一个部分,这是基于我国的国情和现状做出的必然选择,是有一定用意的。我国普遍存在产权多元化现象,而且国有资产流失现象极其严重,
23、保护资产安全和完整对资产所有者来说具有特别重大的意义。资产安全与否实际上是内部控制的一个过程控制结果,是实现其他目标的物质前提。因此,该目标要求内部控制能够保护主体所有资产的安全和完整。资产安全目标方面的关注点主要包括:关注企业日常经营活动的效率,提高企业的生产力和竞争力,防止资产缩水,关注资产使用及处置的授权情况。3、报告目标报告目标指内部控制应合理保证企业提供了真实、可靠的财务报告及其他信息。报告目标有助于组织向投资者、债权人等利益相关者以及内部管理层提供真实、可靠、完整的信息,具体包括内部和外部、财务与非财务信息,它是内部控制目标体系的基础目标。企业报告包括内部报告和外部报告,报告目标的
24、提出更多地满足了企业外部的需求。对于外部使用者来说,真实、可靠和完整的财务报告能够公允地反映企业的财务状况和经营成果,从而有利于信息使用者做出决策。当然,非财务信息的重要性也是不言而喻的。可靠的报告既为管理层提供了适合其既定目的的准确和完整的信息,也是外部监管的要求。报告目标方面的关注点主要包括以下几个部分。(1)管理层决策及对公司活动、业绩监控的准确、及时、完整的信息的对内报告;(2)用于满足投资者、监管部门及其他相关信息需求者的真实、可靠、完整信息的对外报告;(3)信息的全面性,而不仅仅是财务信息。4、经营目标经营目标旨在有效和高效地使用企业有限的资源,提高经营的效率和效果,实现良好的运营
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 集成 公司内部 控制 基本 框架 分析 参考
限制150内