基于瑞士奶酪模型与流程整合的内部控制失效多维分析
何雪峰 许芮 韩双江
重庆理工大学财会研发中心 重庆 400050
摘要:随着现代企业制度的建立和发展,内部控制对企业而言变得越来越重要。为了提高企业内部控制安
全,将流程管理、瑞士奶酪模型与内部控制失效原因分析相结合,提出了多维内部控制失效原因分析方法。 分析结果表明:此方法能够引导调查分析人员利用“瑞士奶酪”模型全面查清内部控制各环节存在的漏洞; 流程的细致程度和完整性与分析结果的详细程度和全面性成正比;内部控制失效的原因分类的层次越深,分 析结果越详细;该模型应用在内部控制中可优化企业内部控制,提高内部控制的安全性与可靠性。
关键词:内部控制 瑞士奶酪模型 流程整合 多维分析 Abstract :With the establishment of modern enterprise system and development, internal review of the enterprise is
becoming more and more important. In order to improve Internal Review safety, a multidimensional analysis model of Internal Review expires causes was put forward by process management, “Swiss Cheese Model”and Internal Review expires, its using step s were proposed , The result indicates that the model can lead investigators to find all holes of Internal Review processes by using Swiss Cheese Model ; the detailed level and completeness of process are roportional to the detailed level and completeness of cause analysis ; the degree of Internal Review cause analysis hierarchy is proportional to the etailed level of analysis result ; when t he model is applied to Internal Review ,business Internal Review can be optimized , and the reliability and safety of Internal Review can be increased .
Key Words: Internal Contro Swiss Cheese Model Process Integration Multidimensional Analysis 内部控制是企业治理的核心,近年来受到人们普遍的关注。企业建立完善的内部控制, 有利于提高企业经营的效果的效率,有利于提高财务报告的可靠性,有利于保障企业遵守法 律法规,有利于保护财产物资的安全完整。在我国现阶段,内部控制普遍存在这样或那样的问 题,要么内控制度不健全,要么有制度不执行,导致了一些经济犯罪和重大决策失误的现象出 现。造成我国企业内部会计控制制度失效的原因是多方面的,既有内部会计控制环境缺失、 内控行为主体失范方面的原因,又有企业法人治理结构不完善及企业内部审计监督、缺位等 原因。本文利用“瑞士奶酪模型”与“流程整合”多维分析内部控制失效的原因。 利用此模型能够引导调查分析人员利用“瑞士奶酪”模型全面查清内部控制各环节存在 的漏洞;内部控制流程的细致程度和完整性与分析结果的详细程度和全面性成正比;失效原 因分类的层次越深,分析结果越详细;该模型应用在内部控制流程中可优化内部控制流程, 提高系统可靠性。
1、 基于瑞士奶酪模型分析的华夏证券公司内控失效
1.1 瑞士奶酪模型及其相关理论
“瑞士奶酪模型”由英国曼彻斯特大学精神医学教授 Reason 等于 1990 年在“Human Error”提出,有时候也被称为累计的行为效应。该模型认为,在一个组织中事故的发生有 4 个层面的因素(4 片奶酪) ,即组织影响、不安全的监督、不安全行为的前兆、不安全的操作 行为。每一片奶酪代表一层防御体系,每片奶酪上的空洞即代表防御体恤中存在的漏洞或缺
陷, 这些孔的位置和大小在不断变化。 当每片奶酪上的孔在瞬间排列在一条直线上, 形成 “事 故机会弹道” ,危险就会穿过所有防御措施的孔导致事故发生。 Reason 等认为,在一个组织中如果建立多层防御体系,各个层面的防御体系对于缺陷或 漏洞互相拦截,系统就不会因为单一的不安全行为出现故障。在导致系统出现意外或者错误 的一系列个人失败中, 包括现行失效或潜在失效。 现行失效是指与事故有直接联系的不安全 行为, 列如在内部控制失效中中的信息错误。 潜在失效也被称为寄居在组织体系中的病原体。 是指组织体系中隐藏的一些危险因素。与事故的发生没有直接联系,直到酿成事故才会被发 现。潜在失效可以跨过瑞士奶酪模型的前 3 个层面,与现行失效一起作用,导致事故发生[1]。
1.2 华夏银行内控失效案例简述
华夏证券公司[2]于 1992 年 10 月成立,注册资本为 27 亿余元,由中国工行、农行、建行、 人保五家金融机构作为主要发起人,联合其他 41 家大型企业共同组建。之后公司迅猛发展, 曾一度拥有 91 家营业部和 24 家证券服务部,并成为第一家全国交易联网券商。与此同时。 公司尚未健全的内部控制却屡遭人破坏。这一方面导致了挪用客户保证金、违规回购国债、 帐外经营和投资、违规自营和坐庄、账目造假和不清等内部风险频繁发生;另一方面使公司 丧失了应有的对银行提前收贷、融资成本高涨、实业投资损失、证券市场低迷等外部风险抵 御能力。而主管部门在对其拯救中未能对症施治,内乱外患下,公司逐渐走向衰亡。 据资料[2]显示,2005 年 12 月,公司总资产为 81.67 亿元,负债为 133.09 亿元,所有者 权益为-55.33 亿元,被中国证监会和北京市政府责令停止证券活动,撤销证券业务许可证; 2007 年 10 月,公司总资产为 38.18 亿元,负债为 89.86 亿元,所有者权益为-56.68 亿元,失 去持续经营能力,无法清偿到期债务,公司申请破产;2008 年 4 月,破产申请获证监会同意, 公司正式宣告破产。
1.3 内部控制的五个要素
《企业内部控制基本规范》规定,企业建立与实施有效的内部控制,应当包括下列要素: 内部环境、风险评估、控制活动、信息与沟通、内部监督。 内控失效的第一片奶酪:控制环境 控制环境[3]是对内部控制的建立和实施具有重要影响的内、外部环境因素的统称,是企 业内部控制体系建立的基础和有效实施的保障。内部环境是指影响企业内部控制体系建立与 作用发挥的内部因素,包括组织结构、职业道德、胜任能力、经营理念、人力资源等。外部 环境是指影响企业内部控制体系建立与作用发挥的外部因素,包括企业所面临的政治制度、 应遵循的法律法规、所处经济周期、行业变化、技术进步等。 控制环境直接影响企业文化并影响员工的控制意识,是所有其他内部控制组成要素的基 础。控制环境的因素具体包括:1、诚信的原则和道德价值观。2、评定员工的能力。3、管理 哲学和经营风格。4、组织结构。5、责任的分配与授权[3]。 华夏银行内控失效的控制环境方面表现为:1、公司治理结构极不完善。1999 年年底到 2001 年 5 月,公司董事长长期缺认,2003 年到 2004 年,公司从未召开监事会,也未设置监 事长。 2、 董事会完全被架空。 公司高管都是由上级主管部门对公司作的 “不可改变式的推荐” , 而董事会推荐沦为形式。3、风险管理理念淡薄。公司管理层缺乏风险意识和自觉的风险管理 的观念。4、职业操守极差。管理层缺乏诚信,授意或直接实施财务造假、账外经营等不道德 行为。5、人力资源政策不到位。 内控失效的第二片奶酪:风险评估 风险评估[3]是为识别、分析、管理与企业活动相关的市场风险、政策风险、法律风险、
汇率风险、经营风险等各种风险而建立的机制。企业应对收集的风险管理初始信息和各项业 务管理及其重要业务流程进行风险评估。风险评估包括风险辨识、风险分析、风险评价三个 步骤。 华夏银行内控失效的风险评估方面表现为:在风险容量方面,公司的风险承受限度严重 超过其承受能力和行业指标。在事项辨识方面,公司没有及时识别和确定影响营运安全、财 务状况和现金流量的内部因素及其风险。此外公司没有准确评估各项潜在风险发生的可能性 和严重程度,没有建立风险数据库。 内控失效的第三片奶酪:控制活动 控制活动[3]是企业为确保目标得以实现以及内部各项管理控制指令能够得以有效执行而 实施有关政策和程序,包括批准、授权、验证、核对、审核经营业绩、资产的安全保障等一 系列的活动。控制活动在企业的各个层级和职能之间都会出现,主要包括:1、企业领导层对 企业绩效进行分析。2、部门控制。3、对信息处理的控制。4、实体控制。5、绩效指标的比 较。6、分工。 华夏银行内控失效的控制活动方面表现为:在华夏证券公司,针对经济、投资银行、自 营、资产管理、金融创新等业务的控制政策和程序存在严重的设计缺陷,甚至被高管层肆意 逾越。公司还进行帐外经营和存款,违规开展自营业务,违规签订受托合同,擅自对外担保, 为客户套取现金及偷逃税收等。 内控失效的第四片奶酪:信息沟通 信息沟通[3]是企业确认、获取、处理和保存各种与企业内外部有关的信息以及将信息在 企业内部各个层面和人员中传递的过程。企业应当在建立有效的信息交流和反馈机制,确保 信息沟通渠道的畅通,实现信息在内部各层次和员工中的顺畅流通与反馈,及时、准确地向 投资者、领导层、政府主管机关和供应商等提供各种真实有效的信息。企业应当保证信息记 录、报告、会计、统计的真实性和完整性,并促使信息在内部进行有效的传递。 华夏银行内控失效的信息沟通方面表现为:封锁经营信息;编制假账;违规修改电脑数 据,如下属三家营业部违规以经纪人提成为名,异户返佣 2214.7 万元,少交大量营业税;巨 额资产变动成谜;大量债权记录不准;交易信息披露不完整,如对证券资产转让过程是否公 开拍卖等程序以及应收账款等相关信息,未作任何披露。 内控失效的第五片奶酪:监督检查 监督是指企业为确保内部控制能持续有效地运行而通过规定的检测程序和方法,对评估 内部控制设计和运行情况进行持续检测和反馈的过程。为实现有效的监控,企业应建立有效 的内部控制监督与评价体系对内部控制进行监测评价,对违规行为进行反馈与纠正。企业应 当对内部控制目标实现程度、法律、法规及监督要求的遵循程度,事故和其它不良事项的内 部控制情况等进行监督、记录及处理发现内部控制的薄弱环节,并及时进行整改和完善。监 督活动由持续监督、个别评估所组成,可确保企业内部控制能持续有效的运作。 1、持续监督。持续的监督活动在营运过程中发生,它包括例行的管理和监督活动,以及 其他员工为履行其职务所采取的行动。 2、个别评估。尽管持续监督程序可以有效的评价内部控制体系,但企业有时需要组织例 外评估以直接监视控制系统的有效性,评估持续性监督程序[3]。 华夏银行内控失效的控制活动方面表现为: 由于内部控制责任主体、 政策和程序的缺陷, 导致公司难以形成持续的实时监督;由于董事会弱化,从而不能对高管层实施有效监督,而 高管层又滥用职权。对下层机构也不能形成有效监督,甚至授意逾越控制。此外,稽核审计 部没有客观评价内部控制的缺陷,尤其是执行缺陷,更没有客观报告缺陷和有效落实改进建 议。
1.4 基于瑞士奶酪模型分析的内部控制失效
我们认为,内部控制的五个要素做为瑞士奶酪模型的五片奶酪,即五个因素,多片奶酪 叠在一起组成复杂的内部控制系统 (如图一) 。 瑞士奶酪的片状系统代表一系列防止内部控制 失效发生的防止措施,每个片状系统上面都存在意想不到的失误、缺陷或者漏洞,类似于奶 酪上的孔,这些孔也代表着潜在的失误或隐藏的不安全的行为。这些洞的位置和大小随时间 和状态的不同在不断变化。当每片奶酪上的孔碰巧排列在一条直线上,内部控制失效就会发 生。
图 1 内部控制瑞士奶酪模型
虽然通过上述“瑞士奶酪模型”分析可以得到了内控失效各层次的原因,但存在下述不 完善方面。 (1) 分析过程缺乏系统化。很多推理过程都要依靠调查人员的分析能力,从而会出现人 员素质决定结果的现象,这样得到的数据缺乏可靠性。 (2) 虽然分析过程中指明了内控失效各种原因之间的联系,但在最后总结中很难看出它 们之间的联系。如公司管理层风险意识淡薄和封锁经营信息之间的联系。 (3) 虽然各层次上均布满了内控失效存在的原因,很难进行事件重现,为从图 1 中很难 看出事件的来龙去脉。 控制环境失效的原因主要有产权不明晰、企业组织机构设置不当、企业管理层内部控制 意识淡薄、人员素质低等、不重视企业文化建设等;风险评估中主要存在的缺陷在于企业风 险意识差,缺少有效的风险管理机制;内部控制制度不健全,缺乏有效的控制措施是控制活 动中的薄弱环节;许多企业存在信息系统不统一、企业横向和纵向之间的信息沟通极不顺畅 的现象,给实施内部控制带来极大的障碍, 由于各种各样的原因,许多企业在建立内部控制制度 时,没有找准各个环节的关键控制点,或对内控只知其一不知其二,或对关键控制点视而不
见, 留下漏洞,给会计信息造假和徇私舞弊埋下了祸根; 由于各种因素的限制,许多企业的内部 监控机制未能形成体系,企业领导层对内部审计机构的重要性认识不一,导致一些内部审计 机构不具有高度的独立性、权威性,削弱了对企业管理者的内部监督作用,从而削弱了企业内 部控制的监督力度[4]。 当这五个要素(五片奶酪)中的缺陷的孔恰巧在同一条直线上,即是五个要素中的有不 安全的部分同时作用时,内部控制就会失效。所以我们基于瑞士奶酪模型分析内部控制失效 时,应该采用系统观分析内部控制失效的原因。对待事故的原因分析通常有两个观点,即个 人观和系统观。现在很多高风险行业如航空、核电方面对事故管理方面都采用了系统观。长 久以来,我们在内部控制失效后,对原因的分析,往往是采用个案式分析,追责式处罚,很 少能从系统的角度对其加以分析, 然而内部控制失效往往是系统的问题, 而非个体操作失误。 而瑞士奶酪模型能很好的从系统观去分析内部控制失效。
2、基于瑞士奶酪模型与流程整合的内控失效多维分析
2.1 多维分析模型的建立
里森模型最初是针对学者们的描述,并未明确奶酪中“洞”的确切含义,从而为调查分 析人员在应用该模型时带来了不便。为此,21 世纪初,美国维格曼(Wiegmann D) 和夏佩尔 (Shappell S) 提出人为因素分析与分类系统(human factor s analysis and classi2fication system , 简称 HFACS) 来回答奶酪中“洞”的定义 。 利用 HFACS 进行人为因素分析能够表明导致事故发生的系统原因及各原因所处的层 次,但分析时主要靠时间追溯和联想法,因此,分析结果的细致程度和可靠性取决于分析人 员的能力。业务流程是一个增值的过程,即通过输入资源,进行一系列相互关联和作用的活 动,获得特定输出的过程。其特点是把各种业务活动细化分到一个合适的程度,协同产生增 值的结果。业务流程管理(BPM) 是一种管理体系,其从业务流程的层面切入,关注流程是否 增值,用流程描述与流程改进等方法和技术,形成一套“认识流程,建立流程,优化流程, E 化流程, 运作流程” 的管理体系, 并在此基础上开始一个 “再认识流程” 的新的循环 。 可见,BPM 能够引导调查分析人员有条理地遍历各工作环节,确保调查分析的系统性和完整性[5]。 在上一部分中用瑞士奶酪模型分析内部控制失效可以比较好的得到各层次的原因,并把 它们结合起来,但依然不完善。虽然分析过程中指明了失效是由控制环境与信息沟通共同作 用下造成的,但是很难说出它们中间的缺陷点联系在何处。而且虽然各个层次上布满了内部 控制失效的原因,但是我们很难从图 1 中看出事情的来龙各种原因之间的联系,但在最后总 结中很难看出它们之间的联系,如虽然我们知道内部控制的去脉。 为此,综合这些弊端考虑,我们提出基于瑞士奶酪模型与流程整合的内部控制失效多维 分析模型。 内部控制制度是一个体系,一个有结构或由若干因素组成的整体。要实现企业的目标, 发挥企业的功能, 必须向社会提供符合顾客需要的产品或服务。 而产品或服务是过程的结果, 具体过程表现为一系列的业务流程。然而,任何实现产品或服务的过程或业务流程都需要相 应的控制系统,或者说,内部控制始终都贯穿于相关的业务流程之中[6]。同时也可以看到, 审计师对对内部控制的评价实际上就是对相关业务流程中的控制系统进行的评价。由此,我 们认为,按流程进行内部控制失效的分析是合理的。
z
x y
图2 内部控制失效原因多维分析模型
综合考虑利用奶酪模型进行内部控制失效分析的不完善之处,本文认为应该结合 BPM 的思想,挖掘企业内部控制背后的工作流程,确定各子系统之间的关系,然后针对子系统, 利用奶酪模型进行内部控制失效分析,确定各子系统原因之间的联系,经过抽象后可得出图 2 的多维内部控制失效原因分析模型。三个维度可表明下述内容 (1) z 轴表明内部控制背后存在导致失效发生的控制环境中的多个环节或多个子系统。 (2) x 轴表明各子系统均能按照里森模型分为内部控制的五个要素: 内部环境、 风险评估、 控制活动、信息与沟通、内部监督。 (3) y 轴表明各子系统各层次上又可分为不同的原因类型。
2.2 分析步骤
画出内部控制背后的工作流程该步骤表现图 2 的 z 轴。经过调查后,很容易发现内部控 制失效背后都隐藏着使内部控制失效的一个流程,该流程又由多个环节(或称为子系统) 按照 一定的顺序组成。 确定各子系统之间的关系 该步骤表现图 2z 轴上各点之间的关系。这些子系统(或者工作流程) 之间存在着多种关 系, 可能是按照时间顺序串行运作的,也可能是并行运作的,或者是交替进行的。 确定各子系统涉及的原因 该步骤表现图 2 的 xOy 平面, 即图 3。
y/漏洞
人员素质低
管理层内部控 制意识淡薄 企业组织机 构设置不当 缺乏有效风险 管理机制 缺乏有效 控制措施 横向、纵向 沟通不顺畅 审计机构不 具高级独立 性、权威性 监控机制 未成体系
产权不明晰
风险意识差
控制制度 不健全
企业信息 系统不统一
O
控制环境
风险评估
控制活动
信息沟通
监督检查
x/ 层 图3 内控失效原因分析二维图
基于瑞士奶酪模型、流程整合观下对华夏银行内控失效的原因作进一步分析: 1,系统是指相互联系、相互作用的诸元素的综合体[7],内控作为一个系统,里面有五个 元素作用互相作用。 2,在华夏银行的实例中,内控五个要素的缺陷互相影响,如公司管理层对潜在的风险的 认识和评估不够客观,造成企业风险管理淡薄,导致企业内控环境不良。 3, 我们应完善内部控制失效上报系统, 从错误中进行学习是防止错误再次发生的最好方 法,在华夏银行的经营中,公司封锁经营信息,编制假账,违规帐外经营,一半以上的债权 人对自己和他人债权的核定存在异议。 4,内部控制的一个基本原则就是“相互牵制” ,华夏银行中公司高管的聘用完全沦为人 为操作,管理人员之间缺乏应有的牵制作用,直接影响公司内控系统的安全性。 分清主次因素,采取不同的措施,针对影响内部控制失效的主要因素进行改进,可有效提高 内部控制系统的有效性。 基于瑞士奶酪模型、流程整合观念,认为研究任何内部控制失效,要分析内控系统的结 构和功能,研究系统、要素、环境三者的相互关系和变动的规律性。
3、结 语
将瑞士奶酪模型、流程整合与内部控制失效分析相结合,提出了多维内部控制失效原因 分析方法,我们可以得到: (1) 我们分析内部控制应该从系统观出发,运用此方法能够引导调查分析人员利用“瑞 士奶酪”模型全面查清内部控制各工作环节存在的漏洞。 (2) 内部控制工作流程的细致程度和完整性与分析结果的详细程度和全面性成正比,但 由于资源和技术的限制,只能将内部控制流程分解到一个合理的范围内。 (3) 失效原因分类的层次越深,分析结果越详细,因此,可以根据内部控制失效的不同
的原因分类体系。多维内部控制失效原因分析应用在内部控制中可优化内部控制,提高内部 控制可靠性。 (4) 我们应当注重企业内部控制系统观和整体化建设,构筑严密的企业内控体系,包括 事前监控、进行事后监控并建立监控防线、成立一个直接归董事会管理并独立于被审计部门 的审计委员会,这样三个层次构成一个渐进的内部控制体系。有利于及时发现问题,解决问 题,对防范和化解企业经营风险和会计风险,将具有重要意义。还应建立良好的信息沟通, 使得内部控制系统成为一个整体,做好内控的整体建设,防止内控失效。 参考文献: [1] 安秀琴 徐建萍.《基于瑞士奶酪模型对我国护理安全的思考》[J].护理研究,2010(08). [2] 陈关婷 李蓓.《华夏证券公司的免疫缺陷综合症:内部控制严重失效》[J].财务与会计 (理财版),2009(03). [3] 崔丽华.《企业内部控制要素》[J].《现代商业》,2009(23). [4] 蒙雪英,现代企业内部控制失效的成因及对策[J].《经济与社会发展》,2009(7). [5] 王永刚 王燕,人为因素的多维事故原因分析模型[J].《交通运输工程学报》,2008(4). [6] 肖序 田丽敏,按流程设计企业内部控制制度的思路[J]. 《财会通讯》 (理财版) ,2006 (8) . [7] 淦未宇 徐细雄.系统观视角循环经济内涵、特征及其发展策略研究[J].《未来与发 展》,2009(1).
切实做好内部控制评价,不断实现内部控制自我提升 ——财政部会计司解读《企业内部控制评价指引》《周易》:“君子终日乾乾,夕惕若,厉,无咎。”是说君子能整天整日显示出自强不息的行为状态,是因为到晚间,也要保持戒慎,即检查自己在白天的所作所为,不要把过错带进第二天。对内部控制的建立、实施进行评价,是优化内部控制自我监督机制的一项重要制度安排,是内部控制的重要组成部分,与内部控制的建立、实施,共同构成有机循环。《企业内部控制基本规范》第四十六条:“企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告”。因此,为促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,专门制定了《企业内部控制评价指引》(下称“《评价指引》”)。 《评价指引》第二条规定,企业内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。 一、内部控制评价概述 (一)内部控制评价的作用。 第一,内部控制评价有助于企业自我完善内控体系。内部控制评价是通过评价、反馈、再评价,报告企业在内部控制建立与实施中存在的问题,并持续地进行自我完善的过程。通过内部控制评价查找、分析内部控制缺陷并有针对性地督促落实整改,可以及时堵塞管理漏洞,防范偏离目标的各种风险,并举一反三,从设计和执行等全方位健全优化管控制度,从而促进企业内控体系的不断完善。 第二,内部控制评价有助于提升企业市场形象和公众认可度。企业开展内部控制评价,需形成评价结论,出具评价报告。通过自我评价报告,将企业的风险管理水平、内部控制状况以及与此相关的发展战略、竞争优势、可持续发展能力等公布于众,树立诚信、透明、负责任的企业形象,有利于增强投资者、债权人以及其他利益相关者的信任度和认可度,为自己创造更为有利的外部环境,促进企业的长远可持续发展。 第三,内部控制评价有助于实现与政府监管的协调互动。政府监管部门有权对企业内部控制建立与实施的有效性进行监督检查。事实上,在有关政府部门,比如审计机关开展的国有企业负责人离任经济责任审计中,已将企业内部控制的有效性,以及企业负责人组织领导内控体系建立与实施情况纳入审计范围,并日益成为十分重要的一部分。尽管政府部门实施企业内控监督检查有其自身的做法和特点,但监督检查的重点部位是基本一致的,比如大多涉及重大经营决策的科学性、合规性以及重要业务事项管控的有效性等。实施企业内控自我评价,能够通过自查及早排查风险、发现问题,并积极整改,有利于在配合政府监管中赢得主动,并借助政府监管成果进一步改进企业内控实施和评价工作,促进自我评价与政府监管的协调互动。 (二)内部控制评价的对象内部控制评价是对内部控制有效性发表意见。 所谓内部控制有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。其中,内部控制设计的有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行的有效性,是指现有内部控制按照规定程序得到了正确执行。评价内部控制运行的有效性,应当着重考
文件编码TQLY-ZD-2014-03 内部控制缺陷认定标准版次第1版 实施日期2014.4.18 制(修)定日期2014.4.08 受控状态:受控 签发人:审核人:页码第 1 页共 5 页 核稿人:起草人: 四川天齐锂业股份有限公司 内部控制缺陷认定标准 (经公司第三届董事会第五次会议审议通过) 为保证四川天齐锂业股份有限公司(以下简称公司)内部控制制度的建立健全和有效执行,促进公司规范运作和健康发展,根据《企业内部控制评价指引》有关规定和财政部对该指引的解读,结合公司规模、行业特征、风险水平等因素,制定本认定标准。 第一章内部控制缺陷的分类 第一条按照内部控制缺陷成因或来源,内部控制缺陷包括设计缺陷和运行缺陷。 设计缺陷是公司缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。按已设计的控制措施执行,存在下列情况之一的,认定为设计缺陷:(1)不能实现既定的控制目标;(2)关键控制点缺乏有效的控制措施;(3)控制措施成本过高,远远大于预期效益。 运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。存在下列情况之一的,认定为执行行缺陷:(1)未执行或未有效执行有关的控制措施;(2)未按授予的权限执行;(3)不能及时提供已遵守内部控制的有效证据。 第二条按照影响公司内部控制目标实现的严重程度,内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。 重大缺陷,是指一个或多个控制缺陷的组合,可能导致公司严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中作出内部控制无
. 内部控制流程图
. 目录 第一部分:内部控制工作开展步骤及流程 一、工作步骤 二、工作流程图 三、主要经济活动的管理结构 四、制度框架 第二部分:经济活动控制 第一节预算业务控制 一、工作步骤示意图 二、工作流程图 三、风险点及主要防控措施一览表 第二节收支业务控制 一、工作步骤示意图 二、风险点及主要防控措施一览表 第三节政府采购业务控制 一、工作步骤示意图 二、工作流程图 三、风险点及主要防控措施一览表 第四节资产业务控制 一、工作步骤示意图
二、风险点及主要防控措施一览表第五节建设项目业务控制 一、工作步骤示意图 二、风险点及主要防控措施一览表第六节合同业务控制 一、工作步骤示意图 二、工作流程图 三、风险点及主要防控措施一览表
第一部分内部控制工作开展步骤及流程 一、工作步骤 (一)成立内部控制领导组织机构 单位要单独设置内部控制职能部门或确定常设的内部控制牵头 部门,负责组织协调开展内部控制工作 (二)开展单位层面内部控制 1、建立集体议事决策制度 主要内容:议事成员构成;决策事项范围;投票表决规则;决策 纪要的撰写、流转和保存;决策事项的落实程序;监督程序、责 任追究制度等 2、建立关键岗位管理制度 主要内容:单位内部控制关键岗位;关键控制岗位责任制;关键 岗位轮岗制度和专项审计制度;关键岗位工作人员岗位条件及培 训制度等 3、建立会计机构管理制度 主要内容:会计机构设置;会计人员配置及岗位责任制;财会部 门与其他业务部门的沟通协调制度;会计业务工作流程等 4、按照单位的控制工作需要建立其他管理制度 5、按照内控规范要求建立六项主要经济活动的管理结构(见下文 )(三)开展经济活动内部控制 1、梳理单位六项经济活动的工作流程,明确工作环节,查找风 险点
XXX股份有限公司内部控制缺陷认定标准 庁?号业务活动或事项重大缺陷重要缺陷一般缺陷有效 (1) 组织架构设 计 1.未按照《公司法》 要求设置股东会、董 事会、监事会会、经 理层; 2.内部机构设置权 职交叉重叠,权利义 务不对称。 1.未明确股东会、董事 会、监事会、经理层职责 权限、任职条件、议事规 则和工作程序; 2.内部机构设置僵化,不 能满足生产经营需要; 3.授权审批结构不明晰。 1.未规定董事会、监事 会、经理层任职人员的 产生程序; 2.机构设置未及时与 业务发展相适应; 3.部分不相容岗位未 分离,未制定相应的补 偿控制措施。 1.按照《公司法》设置股东会、董事会、监事会、 经理层; 2.董事会、监事会和经理层的职责权限、任职条件、 议事规则和工作程序均明确; 3.董事会、监事会和经理层的产生有规范的程序; 4.公司内部机构的设置与公司经营业务相适应; 5.有明确业务授权审批权限指引; 6.内部机构的设置遵循了不相容岗位分离、职责权 限淸晰的原则。 运 行 1.股东会、董事会、 监事会形同虚设,未 起到相互制衡的作 用; 2.内部机构的实际 运行与15计不符,导 致业务风险未得到 有效控制。 1.股东会、董事会、监事 会未按议事规则、工作程 序开展工作; 2.董事会、监事会、经理 层成员不具备履行职务 所需的知识结构、能力素 质; 3.不相容岗位未进行相 互分离,且未分离的岗位 没有补偿控制措施。 1.董事会、监事会、经 理层成员产生程序不 符合公司制度的规定; 2.内部机构运行不顺 畅。 1.股东会、董事会、监事会、经理层各司其职,相 互制衡; 2.董事会、监事会、经理层产生程序遵守公司法的 规定和公司制度规定; 3.董事会、监事会、经理层成员的知识结构、能力 素质均能胜任该岗位工作; 4.公司内部机构的设置根据公司经营业务的变动及 时调整; 5.不相容岗位均相互分离,未分离的岗位均有补偿 控制措施; 6.各岗位均制定了岗位职责,岗位人员对工作权 限、工作程序均了解,并按岗位职责开展工作。 7.关键岗位实施了定期轮岗; 8.授权审批权限指引均得到严格执行。
龙源期刊网 https://www.doczj.com/doc/c07925122.html, 内控缺陷的认定标准影响因素及经济后果 作者:柏乐 来源:《现代企业》2017年第12期 自2002年美国颁布《萨班斯—奥克斯利法案》以来,国内外学者都对内部控制给予了广泛的关注。由于内部控制系统往往很难直接观察和判断其有效程度,这样企业披露的内部控制缺陷就成为了内部控制有效性的指示器。基于内部控制缺陷披露的重要性,我国于2008年5 月颁布了《企业内部控制基本规范》,自此我国资本市场企业内部控制信息的披露转入强制披露阶段。之后又相继出台了《企业内部控制配套指引》、《公开发行证券的公司信息披露编报规则第21号——年度内部控制评价报告的一般规定》等规范文件,标志着适合我国企业实际情况、整合国际先进经验的中国企业内部控制规范体系的基本建成。 一、内部控制缺陷的认定标准 内部控制缺陷的认定是内部控制评价工作的一个核心问题。2014年以前,国内外制定内 控准则的机构并没有将内控缺陷认定作为一个单独的评价准则出台针对性的认定标准和方法。例如美国2013年发布的COSO新框架提出基于内控五要素下的17项原则81个关注点进行内部控制缺陷认定。中国五部委颁布的《内部控制指引》基本上也是遵循了美国的做法。直到2014年1月,证监会与财务部在发布的《公开发行证券的公司信息披露编报规则指引第21号——年度内部控制评价报告的一般规定》中明确要求“披露内部控制报告的上市公司要详细披露内部控制缺陷认定的具体标准。”至此,上市公司的内部控制信息披露行为进入到强制实施阶段。之后的许多学者也对缺陷披露实际情况进行了分析,如丁友刚等(2014)研究发现目前存在问题的主要有对缺陷事件的描述不够清楚完整,缺陷认定标准缺乏一致性和科学性,对缺陷严重程度的划分标准不统一等。基于这些问题,他也提出监管部门应加强对内控缺陷认定标准的制定,并且应细化披露缺陷时认定缺陷使用的标准。 二、内部控制缺陷的披露现状 关于内部控制缺陷披露现状问题,尹律(2013)、白丹杰等(2015)经过对选取公司披露内控缺陷的统计发现相对2013年来说,2015年我国上市公司内控缺陷的披露有了明显的提高,说明自国家规范强制披露内控评价报告(2014年21号文的发布)以来,我国上市公司逐步提高了披露内控自我评价报告的数量和质量。除了定量分析以外,许多学者还对内控缺陷披露的多个方面进行了分类研究,赵耿和王永超(2014)统计分析了2011-2012年度上市公司内部控制自我评价报告中披露的内部控制缺陷,发现内部控制缺陷主要集中于内部环境的组织架构、人力资源和控制活动中的销售采购业务、资金活动、资产管理等方面,也指出了内部控制缺陷披露不具体、不完整、不规范等问题。丁家丰和郭树楠(2015)分析了2011~ 2013年度否定意见的内部控制审计报告中重大缺陷所在的业务领域。董育军,王沛(2017)以 2014 年AH 股双重上市公司为对象,在重大缺陷的认定标准研究中,将相关的内部控制缺陷分为财务报告相关的内部控制缺陷和非财务报告两个方面来分析。杨婧,郑石桥(2017)以 2015 年沪
内部控制工作开展步骤及业务流程图一、内部控制工作流程
二、主要经济活动的管理结构
三、主要经济活动内部控制流程图(一)预算管理内部控制流程图 1、工作步骤示意图 (1)预算执行 (2)预算绩效管理
2、工作流程图 3、风险点及主要措施一览表 (1)预算编制及批复 流程关键环节风险点主要防控措施责任主体 预算执行预算支出管理 没有按照批复的预算安排支 出、超预算指标安排预算支出 1、业务部门申请支出事项必须有预算指 标,再履行预算支出审批手续; 2、无预算指标或超预算指标的事项应先履 行预算追加调整程序; 3、明确单位内部预算追加调整程序。 单位负责人、预算管理委 员会,财会部门,预算执 行机构 预算收入管理 没有按照规定足额收取收入 并相应上缴财政 建立收入监控机制,按照进度组织收入并 及时上缴 收入执收部门,财会部门 预算执行 效果管理 没有进行预算执行分析,没有 建立有效沟通机制,可能导致 预算执行进度偏快或偏慢 1、建立预算执行监控机制,运用信息系统 对业务部门的预算执行情况进行监控; 2、建立预算分析机制,召开预算执行分析 会议,定期通报预算执行情况,研究存在 的问题,提出改进措施。 单位负责人,预算管理委 员会,财会部门,预算执 行机构 预算支出管理 没有按照批复的预算安排支 出、超预算指标安排预算支出 1、业务部门申请支出事项必须有预算指 标,再履行预算支出审批手续; 2、无预算指标或超预算指标的事项应先履 行预算追加调整程序; 3、明确单位内部预算追加调整程序。 单位负责人、预算管理委 员会,财会部门,预算执 行机构
一起来拆书24期:错误的瑞士奶酪模型 是人就会犯错,有些人会从错误中学习,有些人或重蹈覆辙,有些人甚至犯错后一蹶不振。 说起来,因为缺乏对错误的正确认识,我们往往混淆了不同类型的错误。要不我用大家都知道的感情为例,具体说说。 错误可以分为几种: ? 真正的错误--执行错误的流程时发生的错误,比如离婚就是在错误时间和错误 的人结合。 ? ? 中断--忘记部分流程时发生的错误,比如分手,你忘了如何对待一个人,如果 如果你想起他的好,还可以复合。 ? ? 疏忽--虽然流程正确无误,但执行不当的话,就会犯这样的错误。比如表白, 流程是对的,但是选错了对象或者时间,结果一样是错误。 ? 造成错误的原因也不同 ? 因为缺乏技能训练:缺乏搭讪技能 ? ? 因为缺乏规则培训:见面几次就毛手毛脚 ? ? 因为缺乏有关知识:情人节给女孩子送什么礼物好? ? ? 因为缺乏正确心态:我注定就没有人爱。 ? 造成错误的诱因也可以分几种:
? 跟人员有关:又被女神拒绝了。 ? ? 跟技术有关:不会玩微信,错过查找在附近的人 ? ? 跟体制有关:分在大机械学院,没有妹子怎么破? ? ? 跟其它因素:时机、气候、情绪、等等 ? 针对这些错误被詹姆斯瑞森提出一个瑞士奶酪模型。 “瑞士奶酪模型”也叫“Reason模型”或“航空事故理论模型”,主要思想是:组织活动可以分为不动层面,每个层面都有漏洞,不安全因素就像一个不间断的光源,刚好能透过所有这些漏洞时,事故就会发生。这些层面叠在一起,犹如有孔奶酪叠放在一起,所以被称为“瑞士奶酪模型”。 一个完全没有错误的世界,就好像没有洞的奶酪一样。可在真实的世界里,把奶酪切成薄片,每一层薄片都有许多洞,这些洞就是发生错误的管道。如果所犯的错误只是穿透一层,就不会被注意到或是造成什么影响。 如果这个错误造成的洞穿透多层的防卫机制,就会造成大灾难。这个模型适用于所有会因为错误造成致命后果的领域。 需要高度可靠的组织结构,会主动收集和分析到人犯错误的所有环节,努力控制这种多样性,不断地对可能的失效模式设计预防对策。 瑞士奶酪模型就是在航空业为了降低商用飞行故障率,不断研究系统降低飞行事故率基础上的航空维修人为因素管理模型基础上总结出来的。 所以瑞士奶酪模型提出后在航天、航空、海事、交通、医疗等行业引起了广泛关注和重视,在这些行业围绕这个模型核心理念发表了大量的研究论文。 瑞森的理念核心是将维修差错因素进行分级管理,认为事故的发生是由非安全的组织因素、非安全的监管因素、非安全的预先处理导致的,这个人为事故分析模型后来成为了工业标准。 人犯错误是难免的,所以瑞士奶酪模型就是要为人为失误建立一个系统保障,尽量创造一个不容易犯错的环境。
公司内部控制评价报告 TPMK standardization office【 TPMK5AB- TPMK08- TPMK2C- TPMK18】
XX股份有限公司20XX年度内部控制评价报告 董事会全体成员保证本报告内容真实、准确和完整,没有虚假记载、误导性陈述或者重大遗漏。 XX股份有限公司全体股东: XX公司董事会(以下简称“董事会”)对建立和维护充分的财务报告相关内部控制制度负责。 财务报告相关内部控制的目标是保证财务报告信息真实完整和可靠、防范重大错报风险。由于内部控制存在固有局限性,因此仅能对上述目标提供合理保证。 董事会已按照《企业内部控制基本规范》要求对财务报告相关内部控制进行了评价,并认为其在XXXX年XX月XX日(基准日)有效[或在以下方面存在重大缺陷:对重大缺陷的说明。公司已对该缺陷采取(或拟对该缺陷采取)如下整改措施: 整改措施]。 我公司聘请的[会计师事务所名称]已对公司财务报告相关内部控制有效性进行了审计,出具了[审计意见]。 我公司在内部控制自我评价过程中关注到的与非财务报告相关的内部控制缺陷情况包括[具体缺陷情况]。
董事长:(签名) XX股份有限公司 [日期] 上市公司董事关于《董事会关于公司内部控制的自我评估 报告》审议的工作底稿 一、董事对公司内部控制的自我评估应完成工作底稿,形成评估依据。 二、公司董事会秘书至少应于董事会审议公司年度报告会议通知发出时,将本底稿交给各董事。 三、该底稿应由董事亲笔填写。 四、公司应为董事填写工作底稿有关内容提供便利。 五、董事在审议内部控制自我评估报告之前,应至少关注以
下内容并形成工作底稿: 1.公司是否已经建立内部控制制度并形成书面文件? 是□否□ 2.检查监督部门设置情况 (1)公司是否已确定一个或多个专门职能部门(以下简称“检查监督部门”)负责内部控制的日常检查监督工 作? 是□否□ 如是,请说明该部门名称。 (2)如已确定检查监督部门,公司是否根据相关规定以及公司情况配备专门的内部控制检查监督人员? 是□否□ 如是,请说明配备人数。 (3)检查监督部门负责人的任免由谁决定? 3.检查监督部门报告情况 (1)检查监督部门是否定期直接向董事会或其下设审计委员会等专业委员会报告内部控制检查监督工作情况。 是□否□ 如是,请说明本年度报告次数。 (2)本年度检查监督部门发现的问题都有哪些? (3)检查监督部门对发现的问题是否提出过解决建议?
附件1: 企业内部控制评价指引 (征求意见稿) 第一章总则 第一条为规范企业内部控制评价工作,及时发现企业内部控制缺陷,提出和实施改进方案,确保内部控制有效运行,根据国家有关法律法规和《企业内部控制基本规范》,制定本指引。 第二条本指引适用于中华人民共和国境内设立的大中型企业。 第三条本指引所称内部控制评价,是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。 内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。 第四条企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求,结合企业实际情况,对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。 第五条企业实施内部控制评价,应当遵循下列原则: (一)风险导向原则。内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。 (二)一致性原则。内部控制评价应当采用统一可比的评价方法和标准,保证评价结果的可比性。 (三)公允性原则。内部控制评价应当以事实为依据,评价结果应当有适当的证据支持。 (四)独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。 (五)成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。 第六条企业董事会及其审计委员会负责领导本企业的内部控制评价工作。监事会对董事会实施内部控制评价进行监督。 第七条企业可以授权内部审计部门负责组织和实施内部控制评价工作。具备条件的企业,可以设立专门的内部控制评价机构(以下合称内部控制评价机构)。 第八条企业内部控制评价,一般包括年度评价和专项评价。 年度评价是指企业根据内部控制目标,对企业某一年度建立与实施内部控制的有效性进行的评价;专项评价是指企业在特定时点对特定范围的内部控制的有效性进行的评价。 第二章内部控制评价的内容和标准 第九条企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。 第十条企业实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价。 内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。 第十一条应用信息系统加强内部控制的企业,应当对信息系统的有效性进行评价,包括信息系统一般控制评价和信息系统应用控制评价。 一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此评价信息系统的安全性、可靠性和合理性。 应用控制评价应当结合企业业务流程特点,着重考虑信息系统中与业务流程相关的控制点,并以此评价相关应用系统操作数据的真实性、准确性和合规性。 第十二条企业应当根据《企业内部控制基本规范》及其应用指引的有关规定,建立与实施内部控制,并以此为依据和标准组织开展内部控制评价工作。
庁?号业务活动或事项重大缺陷重要缺陷一般缺陷有效 (1) 组织架构设 计 1.未按照《公司法》 要求设置股东会、董 事会、监事会会、经 理层; 2.内部机构设置权 职交叉重叠,权利义 务不对称。 1.未明确股东会、董事 会、监事会、经理层职责 权限、任职条件、议事规 则和工作程序; 2.内部机构设置僵化,不 能满足生产经营需要; 3.授权审批结构不明晰。 1.未规定董事会、监事 会、经理层任职人员的 产生程序; 2.机构设置未及时与 业务发展相适应; 3.部分不相容岗位未 分离,未制定相应的补 偿控制措施。 1.按照《公司法》设置股东会、董事会、监事会、 经理层; 2.董事会、监事会和经理层的职责权限、任职条件、 议事规则和工作程序均明确; 3.董事会、监事会和经理层的产生有规范的程序; 4.公司内部机构的设置与公司经营业务相适应; 5.有明确业务授权审批权限指引; 6.内部机构的设置遵循了不相容岗位分离、职责权 限淸晰的原则。 运 行 1.股东会、董事会、 监事会形同虚设,未 起到相互制衡的作 用; 2.内部机构的实际 运行与15计不符,导 致业务风险未得到 有效控制。 1.股东会、董事会、监事 会未按议事规则、工作程 序开展工作; 2.董事会、监事会、经理 层成员不具备履行职务 所需的知识结构、能力素 质; 3.不相容岗位未进行相 互分离,且未分离的岗位 没有补偿控制措施。 1.董事会、监事会、经 理层成员产生程序不 符合公司制度的规定; 2.内部机构运行不顺 畅。 1.股东会、董事会、监事会、经理层各司其职,相 互制衡; 2.董事会、监事会、经理层产生程序遵守公司法的 规定和公司制度规定; 3.董事会、监事会、经理层成员的知识结构、能力 素质均能胜任该岗位工作; 4.公司内部机构的设置根据公司经营业务的变动及 时调整; 5.不相容岗位均相互分离,未分离的岗位均有补偿 控制措施; 6.各岗位均制定了岗位职责,岗位人员对工作权 限、工作程序均了解,并按岗位职责开展工作。 7.关键岗位实施了定期轮岗; 8.授权审批权限指引均得到严格执行。
《企业内部控制评价指引》 第一章总则 第一条为了促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,根据有关法律法规和《企业内部控制基本规范》,制定本指引。 第二条本指引所称内部控制评价,是指企业董事会或类似权利机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。 第三条企业实施内部控制评价至少应当遵循下列原则: (一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。 (二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。 (三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。 第四条企业应当根据本评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。 企业董事会应当对内部控制评价报告的真实性负责。 第二章内部控制评价的内容 第五条企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。 第六条企业组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。 第七条企业组织开展风险评估机制评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
附件1: 企业内部控制评价指引 (征求意见稿) 第一章总则 第一条为规范企业内部控制评价工作,及时发现企业内部控制缺陷,提出和实施改进方案,确保内部控制有效运行,根据国家有关法律法规和《企业内部控制基本规范》,制定本指引。 第二条本指引适用于中华人民共和国境内设立的大中型企业。 第三条本指引所称内部控制评价,是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。 内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。 第四条企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求,结合企业实际情况,对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。 第五条企业实施内部控制评价,应当遵循下列原则: (一)风险导向原则。内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度 来确定需要评价的重点业务单元、重要业务领域或流程环节。
(二)一致性原则。内部控制评价应当采用统一可比的评价方法和标准,保证评价结果的可比性。 (三)公允性原则。内部控制评价应当以事实为依据,评价结果应当有适当的证据支持。 (四)独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。 (五)成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。 第六条企业董事会及其审计委员会负责领导本企业的内部控制评价工作。监事会对董事会实施内部控制评价进行监督。 第七条企业可以授权内部审计部门负责组织和实施内部控制评价工作。具备条件的企业,可以设立专门的内部控制评价机构(以下合称内部控制评价机构)。 第八条企业内部控制评价,一般包括年度评价和专项评价。 年度评价是指企业根据内部控制目标,对企业某一年度建立与实施内部控制的有效性进行的评价;专项评价是指企业在特定时点对特定范围的内部控制的有效性进行的评价。 第二章内部控制评价的内容和标准 第九条企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系 统、有针对性的评价。 第十条企业实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价。
内部控制自我评价管理办法(试行) 目录 第一章:总则 第二章:内部控制自我评价组织体系 第三章:内部控制自我评价内容 第四章:内部控制自我评价程序和方法 第五章:内部控制缺陷分类 第六章:内部控制缺陷认定标准 第七章:内部控制自我评价报告 第八章:内部控制缺陷认定程序 第九章:内部控制文档记录与保管 第十章:附则 第一章总则 第一条为了合理保证公司内部控制体系的建立健全及其持续有效的执行,促进公司内部控制目标的实现,达到监管机构对公司内部控制的要求,公司需要定期全面评价内部控制的设计和运行情况,揭示和防范风险。根据财政部《企业内部控制基本规范》及其指引的有关规定,制定本办法。 本办法中所称的公司包括下设全资子公司。
第二条本办法所称内部控制自我评价,是对公司内部控制的有效性进行全面评价、形成评价结论、出具评价报告 的过程。 第三条公司实施内部控制自我评价应遵循的原则: (一)全面统一原则。评价范围应覆盖公司内部控制活动 的全过 程,涉及所有部门和岗位;评价的准则、程序和方法应保持 一致。 (二)独立性原则。评价应由公司及各控股、参股公司内 部审计 机构、内部审计人员独立进行。 (三)公正性原则。评价应以事实为依据,以法律法规为 准则, 客观公正,实事求是的揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。 (四)重要性原则。评价工作应当在全面评价的基础上, 关注重 要业务单位、重大业务事项和高风险领域。 (五) 及时性原则。评价应按照规定的时间间隔持续进行,当经营管理环境发生重大变化时,应及时重新评价。 第二章内部控制自我评价组织体系第四条董事会认定内部控制重大缺陷,并审定重大缺陷 和重要缺 陷的整改意见,对在督促整改中遇到的困难进行协调,并对内部控制自我评价报告的真实性负责。 第五条总经理是内部控制自我评价工作的负责人,审定 内部控 制自我评价方案,听取内部控制自我评价报告。 第六条审计部负责内部控制评价的具体组织实施工作, 评价实施 时可以从各部门抽调具有相应胜任能力人员组建评价检查组,也可以委托中介机构实施内部控制评价。 第七条各单位部门结合日常掌握的业务情况,开展本部 门的内
Accidents, Errors and Swiss Cheese On Saturday, Asiana Airlines flight 214, a Boeing 777, crashed upon landing at San Francisco Airport. Through a combination of luck and robust aircraft design, only 2 people were killed; a surprising outcome given the photos of the wreckage. Unfortunately, many more were injured, a number in serious or critical condition. Intense speculation surrounds the cause of the crash, with theories ranging from pilot error to inoperative runway guidance systems to mechanical failure. What is known so far is that the plane made an abnormal final approach, striking it’s tail against a sea wall that precedes the runway. What’s unclear is why? The NTSB, the government body in charge of the investigation, has numerous experts on scene. Their process is methodical, sometimes taking years to establish a series of root causes and recommendations following a plane crash. In this case, the NTSB has a number of factors in its favor. The remaining pieces of the plane are immediately observable, unlike crashes that happen at sea. The black boxes have already been recovered. The crash happened in a populated area, with numerous eyewitnesses as well as video. The crew survived the crash and will be able to provide important information about the final fateful minutes of the flight. When accidents like Asiana 214 happen, people hunger for immediate and simplistic answers. Our need to feel secure fuels a desire for straightforward explanations that bring closure to mysteries. Our culture of real-time social media rapidly turns people into aviation experts, investigative sleuths and conspiracy theorists. Unfortunately, armchair speculation is rarely accurate, and ultimately the contributing factors of a crash can be diverse and complex. The intense media focus creates a false sense of insecurity, leading many to feel that commercial air travel is risky. In truth, aviation safety efforts have produced remarkable results — commercial air travel is an incredibly safe mode of transportation. Prior to Saturday, the last fatal plane crash on US soil — of a commercial jet of at least regional size — was back in 2006. The last previous fatal domestic crash involving a larger, “transatlantic” class jet —think 737′s and larger — was in 2001. During that timeframe there have been 10′s of millions of safe, uneventful flights. Much of this is due to the disciplined, evidence-based approach to safety of modern aviation.
CSB典型事故案例分析—美国德州理工大学实验室爆炸事故给我们的启示 2016-06-29老唐过程安全管理 CSB典型事故案例分析—美国德州理工大学实验 室爆炸事故给我们的启示 期号:TS139 2016-06-29 关键词 实验室、爆炸、安全管理、美国化学品安全与危害调查委员会(CSB) 摘要 本文结合美国化学品安全与危害调查委员会对美国德州理工大学实验室爆炸事故的分析,结合国内高校及工厂实验室情况,从实验室危害辨识、风险分析、实验室安全管理、实验室应急管理方面存在的不足,并提出改进措施。 1. 介绍 相对于工业领域的安全生产事故,高校、工厂实验室的安全事故往往不容易得到人们的关注,然而实验室向来被认为是校园中的危险区域,常被比喻为炸药库、生化武器库、毒药间等,稍有不慎将会造成生命财产的重大损失。
本文根据美国化学品安全与危害调查委员会(CSB-Chemical Safety Board)对美国德州理工大学实验室爆炸事故的调查研究,结合国内高校、工厂实验室情况,从实验室危害辨识及风险分析、实验室安全管理、实验室应急管理方面存在的不足,并提出改进措施,希望藉此提高高校、工厂实验室安全,避免事故的再次发生。 2. 美国德州理工大学实验室爆炸事故经过 2010年1月7日,美国德克萨斯州理工大学化学与生物化学系实验室发生了爆炸,爆炸导致1名毕业生失去了3根手指,手和脸部被烧伤,一只眼睛被化学物质烧伤。 美国德州理工大学有11个院系,在校人数超过31500人,其中化学与生物系有140名毕业生和研究生,225名在读学生,26名教师和19名职员。 美国德州理工大学化学与生物化学系1名5年级学生与1名1年级学生进行合成高氯酸肼镍衍生物(NPH)课题实验,通常为了表征新合成的高氯酸肼镍衍生物(NPH)物质活性需要进行示差扫描热量分析、落锤冲击性、热重分析等试验,而每次合成实验得到的反应物一般在50-300mg,为了避免多次合成,两名学生在没有咨询首席研究员的情况下,擅自放大合成实验规模,一次性得到了10gNPH。在实验过程中,两名学生发现少量的NPH与水和乙烷作用下,不会发生燃烧和爆炸反应,因此他们基于经验判断,更大量的NPH的危害性与少量的NPH是一样的。在放大合成实验后,5年级学生发现,NPH产品呈块状,为了得到规格一致的NPH 颗粒,他将合成得到的一半产品,约5g转移至研钵中,加入乙烷,并
XXX 股份有限公司内部控制缺陷认定标准 庁?号 业务活动或事项 重大缺陷 重要缺陷 一般缺陷 有效 1 . 未按照《公司法》 1.未明确股东会、董事 1.未规定董事会、监事1. 按照《公司法》设置股东会、董事会、监事会、 要求设置股东会、董 会、监事会、经理层职责 会、经理层任职人员的 经理层; 事会、监事会会、经 权限、任职条件、议事规 产生程序; 2. 董事会、监事会和经理层的职责权限、任职条 件、 设 理层; 则和工作程序; 2.机构设置未及时与 议事规则和工作程序均明确; 2. 内部机构设置权2.内部机构设置僵化,不 业务发展相适应; 3. 董事会、监事会和经理层的产生有规范的程序; 计 职交叉重叠,权利义 能满足生产经营需要; 3.部分不相容岗位未 4 . 公司内部机构的设置与公司经营业务相适应; 务不对称。 3.授权审批结构不明晰。 分离,未制定相应的补 5 . 有明确业务授权审批权限指引; 偿控制措施。 6 . 内部机构的设置遵循了不相容岗位分离、职责权 限淸晰的原则。 1.股东会、董事会、1.股东会、董事会、监事1.董事会、监事会、经1.股东会、董事会、监事会、经理层各司其职,相 监事会形同虚设,未会未按议事规则、工作程理层成员产生程序不互制衡; (1)组织架构 起到相互制衡的作 序开展工作; 符合公司制度的规 定; 2. 董事会、监事会、经理层产生程序遵守公司法的 用; 2.董事会、监事会、经理 2.内部机构运行不顺 规定和公司制度规定; 2.内部机构的实际 层成员不具备履行职务 畅。 3. 董事会、监事会、经理层成员的知识结构、能 力 运行与15计不符,导所需的知识结构、能力素 素质均能胜任该岗位工作; 运致业务风险未得到 质; 4. 公司内部机构的设置根据公司经营业务的变 动及 行有效控制。 3. 不相容岗位未进行相 时调整; 互分离,且未分离的岗位 5. 不相容岗位均相互分离,未分离的岗位均有 补偿 没有补偿控制措施。 控制措施; 6. 各岗位均制定了岗位职责,岗位人员对工作 权
三里岛核电站事故奶酪模型分析 NO Name ID 1 魏群16120262 2 孙昊天16125113 3 马俊俏16120247 4 金夏垚16125019 5 王怡人16125119 6 许春夜16125125 2016年12月9日
1瑞士奶酪模型 2HFACS分析2.1病原体 2.2不安全行为
在分析不安全行为,也就是直接导致事故发生的原因中发现,主要的工程安全设施都已经自动投入,对于设计方面来说确实存在问题,设备产生故障是最直接因素,但是导致事故最为根本的原因是人,一是检修工人检修完成后未将冷却系统阀门打开,二是在发生故障后操作人员未按照规则先判明泄压阀位置,直接关闭了应急堆芯冷却系统。 2.3不安全行为的前兆
对于不安全行为的前兆,分成三方面: 环境:经济滞涨,廉价的核能可以带来更大的收益,大兴核电站,根本不限制核电站的数量,导致设计建造不规范;通信、人员分布等也有问题; 操作员情况: 操作人员心理; 人员因素:操作者、检修者未按照流程进行操作,核管会审核人员和各方技术人员不专业,设计建造者水平有限; 2.4 不安全监督 监
不安全的监督主要是从核管会方面来说,审核不严,发现问题不上报汇总,由于压力负担不考虑安全问题的审核。 2.5组织影响 在组织方面,就州长和总统等处理上来说,是比较合乎常理的,州长在未下达撤离计划时,已经开始准备各种应对方案,迫于压力,难以抉择,一直在等着核管会主席的建议,并请求总统派人来支援;总统特使登顿的到来很大程度上安抚民心,并且登顿比较有主见,让他的技术顾问再重新计算,发现没有爆炸的可能,最终技术顾问推翻核管会技术人员的的爆炸论。最后总统卡特的到来更加坚定了人们的信心,是一个很好的安抚民心的公关手段。 3建议: 1、加强人员培训,配备专业技术人员;