内控与风险管理基础知识.ppt

内控与风险管理基础知识,前 言,随着全球经济一体化进程的加快，内控与风险管理的概念已经越来越清晰。特别是，经历金融风暴后，注重风险控制的意思已经在全球范围内根植在人们脑海里。 加强内控和风险管理已经成为现代经济社会和企业管理不可逆转的趋势！,前 言,某公司重组整合后，上市与未上市单位成为一个整体。按照一体化整体协调发展的模式，客观要求内部控制也要实施一体化管理。 上市单位内部控制的现状：初步建立体系，有待完善和深入推进，强化执行力。（内部控制的成熟期需要5至8年甚至更长的时间） 未上市单位内部控制的现状：刚刚起步，有待于建立完整的内控概念，逐步加快推进，缩小差距。,前 言,某公司无论是上市还是未上市单位，无论是内控专职人员还是各专业管理岗位人员，都有必要系统地了解和掌握内控与风险管理的基础知识。这是我们形成内控意识、正确执行业务流程、推进控制环境建设的前提。,前 言,什么是目标与风险？,讨,论,如何认识内部控制与风险管理？,前 言,目标：就是努力想要达到的状态、境界或目的。目标是行为的指向。 对于个人而言，由于愿景的不同可以有多种目标。 对于企业而言，有战略目标、经营目标等。例如：我们公司提出的“打造百年辽河”、“五项业务一体化整体协调发展”和“原油产量保持在1000万吨以上” 等等。 对于企业内部不同的专业部门或岗位来说，围绕企业总体要求，都与相应的目标。例如：财务管理要保证工作合规和报告真实准确；计划管理要保证完整、真实、准确、及时等。,什么是目标与风险？,前 言,风险：就是指影响目标实现的各种潜在的不确定因素。 风险可分为只带来损失的纯粹风险以及既可能带来损失又可能带来盈利的机会风险。一般情况下，我们说的是纯粹风险。 例如：企业内部有意或无意的人为差错、决策失误、操作失误、违法违规、舞弊，外部的市场环境变化、政策法规调整、地缘政治、重大灾害等都可能影响目标实现。 风险是针对目标而言，没有目标就没有所谓的“风险”！,什么是目标与风险？,前 言,内部控制： 从广义上说，是指群体或组织为达到一定的目标而采取相应控制措施和行为的过程。 从企业范畴说，按照财政部等五部委发布的企业内部控制基本规范，内部控制被定义为“是由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程”。控制目标是指企业的战略目标、经营目标、报告目标和合规目标等。,如何认识内部控制与风险管理？,前 言,前 言,内部控制： 从上述内部控制的应有含义出发，至少可以得出以下认识： 1. 内部控制是一个围绕企业目标实施的全员、全过程、动态的控制活动。 2. 内部控制关注企业经营管理合法合规、财务信息真实完整以及提高经营效率和效果，注重控制内在的人为差错和风险。 3. 过去的企业管理行为均属于内部控制范畴，现行内部控制只是系统性地规范和强化了这种行为。 4. 内部控制是企业管理应有的内在要求，是我们“应该做的工作”，不是外力强加的任务。,如何认识内部控制与风险管理？,前 言,监督,区 别 流程显现 明晰责权 落实制度 独立监督 控制风险 改进优化 强调执行,前 言,如何认识内部控制与风险管理？,风险管理：一般地讲，就是系统地管理和控制风险。按照中央企业全面风险管理指引，全面风险管理是“指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。” 通俗理解，就是控制好企业面临的内外部风险，保证目标实现。 全面风险管理是内部控制发展的高级阶段。,前 言,内部控制理论形成和发展的五个阶段：内部牵制、内部控制制度、内部控制结构、内部控制整体框架、企业风险管理框架。,国内企业大多处于内部控制整体框架阶段。集团公司（股份公司）等一批中央企业内部控制体系建设起步早，目前正处于向全面风险管理过渡阶段。,前 言,全面风险管理,内部 控制,注重从制度和业务流程层面规范管理，控制企业内部可能的人为风险,以内部控制为基础，注重系统化管理和控制企业内部和外部风险，为实现目标提供保证,主 要 内 容,一、集团公司内部控制体系建设动因 二、集团公司内部控制发展趋势 三、内部控制体系框架介绍 四、某公司内控体系建设与实施情况 五、内控部门需要开展哪些具体工作,一、集团公司内部控制体系建设动因, 上市业务满足海外上市地监管要求 战略发展的内在需要 国家监管法规的要求,一、集团公司内部控制体系建设动因,上市业务满足海外上市地监管要求 起因：安然事件 萨班斯-奥克斯利法案,一、集团公司内部控制体系建设动因,安然公司（Enron)是一家美国大型能源公司，成立于1985年,公司主要从事电力、天然气配送、管道建设等业务，是世界最大的能源交易商，名列500强第七位。2001年11月，安然非法手段虚增利润5.86亿美元，隐匿债务和损失130亿美元；2001年12月，安然正式向法院申请破产保护，破产金额高达498亿美元。,一、集团公司内部控制体系建设动因,安然事件引发一系列重量级的财务舞弊丑闻：,世界通信公司（World Com） 美国第二大长途电话公司,美国IBM公司（Xerox） 世界著名的计算机生产商,摩根大通(JP Morgan Chase& Co) 全球规模最大的金融服务集团之一,一、集团公司内部控制体系建设动因,2002年7月30日，布什总统正式签署萨班斯-奥克斯利法案 （简称萨奥法案，又称公众公司会计改革与投资者保护法案）,一、集团公司内部控制体系建设动因,萨奥法案是“罗斯福时代以来有关美国商业实践影响最为深远的改革”。,一、集团公司内部控制体系建设动因,萨奥法案的核心内容,萨奥法案的核心内容是“内部控制”，主要体现在它的“第404条款”上。,一、集团公司内部控制体系建设动因,1. 管理层有责任为企业建立和维护恰当的财务报告相关的内部控制； 2. 通过管理层自我测试，对与财务报告相关的内部控制有效性进行评估； 3. 管理层对公司与财务报告相关的内部控制有效性必须发表直接意见，并公开声明； 4. 审计师对公司内部控制进行审计测试，对管理层的自我评估报告发表评价意见，同时还将发布独立评估报告。,萨奥法案404条款要求,一、集团公司内部控制体系建设动因,萨奥法案颁布后实施,美国本土上市公司自2004年11月 起执行。,凡年销售收入在5亿美元以上在美国上市的外国公司，2006年7月15 日起执行。,一、集团公司内部控制体系建设动因, 战略发展的内在需要 集团公司发展战略 法国兴业银行事件和英国巴林银行事件启示,一、集团公司内部控制体系建设动因,集团公司的战略目标是：建设综合性国际能源公司 业务特点：上下游、内外贸、产与销一体化；业务覆盖面广，跨地区、跨行业、跨国经营；业务类型复杂、管理层次多、管理范围广；发展迅猛。,集团公司发展战略,一、集团公司内部控制体系建设动因,防范风险 保障国家 能源安全,一、集团公司内部控制体系建设动因,法国兴业银行事件,法国兴业银行事件和英国巴林银行事件启示,英国巴林银行事件,启示：全面规范管理、强化风险控制是国际化、信息化经营条件下关乎企业成败与命运的要务！,一、集团公司内部控制体系建设动因,内部控制对公司治理的作用在于规范管理、防范风险、防微杜渐。 在确立并实施“建立综合性国际能源公司”战略目标的过程中，中国石油管理层达成以下共识： 公司发展越快，风险越大，越需要完善相应的控制体系和风险防范体系，这样才能确保公司持续、有效、较快发展。,一、集团公司内部控制体系建设动因, 国家监管法规的要求 国务院国资委的监管要求 财政部等相关监管部门的要求,一、集团公司内部控制体系建设动因,2006年月6日，国资委制定并出台中央企业全面风险管理指引，明确要求中直企业要建立全面风险管理体系，完善全面风险管理机制，报送风险管理年报。(对中央企业高标准、严要求）,国务院国资委的监管要求,一、集团公司内部控制体系建设动因,2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范。要求从2009年7月1日起率先在上市公司范围内施行，鼓励未上市的其他大中型企业执行。（中国的“萨奥法案”）,财政部等相关监管部门的要求,一、集团公司内部控制体系建设动因,2010年4月26日，财政部等五部委又联合发布： 1. 企业内部控制评价指引； 2. 企业内部控制应用指引； 3. 企业内部控制审计指引。,财政部等相关监管部门的要求,一、集团公司内部控制体系建设动因,企业内部控制应用指引包括组织结构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统18个专门应用指引，覆盖企业通用管理业务。,财政部等相关监管部门的要求,一、集团公司内部控制体系建设动因,国家监管部门要求，企业内部控制配套指引，自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。鼓励非上市大中型企业提前执行。要求各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。,财政部等相关监管部门的要求,一、集团公司内部控制体系建设动因,国际环境,国内监管,防规 范范 风管 险理,二、集团公司内部控制发展趋势,2003年至2005年：上市业务初步完成内控体系设。 2006年至2007年：完成ARIS流程管理信息系统用。 2008年：完成采油厂业务流程规范、启动ERP系统建设。 2009年：全面启动未上市业务内控体系建设、推进ERP系统建设；开展分专业系统业务流程梳理与规范。 2010年：加快推进未上市业务体系建设和ERP系统建设；启动海外业务、托管企业、矿区服务内控体系建设；开展通用业务和专业管理全面风险评估（两年完成）,二、集团公司内部控制发展趋势,从上市业务到未上市业务,从国内业务到海外业务,从通用业务控制到专业系统控制,从内部控制到全面风险管理,从一般信息化控制到ERP系统控制,从手工控制到信息系统控制,三、内部控制体系框架介绍,重点关注内容, 内部控制体系的五要素及其基本含义 内部控制体系五要素相互关系 什么是重要业务风险和关键控制 什么是流程图和风险控制文档,三、内部控制体系框架介绍,（一）内部控制体系框架概况,中国石油以COSO内部控制整体框架为基础，融合COSO企业风险管理整体框架的主要内容，结合国家监管部门的要求，全面开展内部控制体系建设，覆盖全部业务，建立起包括控制环境、风险评估、控制活动、信息与沟通、监督五要素的内部控制体系。,三、内部控制体系框架介绍,COSO委员会：由美国注册会计师协会(AICPA)、内部审计协会(IIA)、财务经理协会(FEI)、美国会计学会(AAA)、管理会计学会(IMA)等多个专业团体组成，致力于建立完善有效的内部控制和法人治理结构以提高财务报告的质量。它从属于美国反虚假财务报告委员会。 1992年9月，COSO委员会提出COSO内部控制框架，1994年进行增补。该框架是美国证券交易委员会唯一推荐使用的内控框架标准。,三、内部控制体系框架介绍,（二）内部控制五要素,内部控制框架（COSO）共包含五个要素 ：,三、内部控制体系框架介绍,控制环境,控制环境确立了风险管理的总体态度，是内部控制体系的基础，是有效实施规范业务流程管理和风险控制的保障，直接影响内部控制体系的执行、公司经营目标以及整体战略目标的实现。 控制环境直接影响企业内部控制的有效性。,三、内部控制体系框架介绍,如何理解控制环境？对我们某公司而言，通俗地讲，就是大家对内控的认识态度和氛围。今天，公司各单位和部门的内控专兼职人员都能来参加培训，认真学习，就反映了大家对内控工作高度重视的态度，也从一定程度上反映了公司的控制环境。 态度，往往决定着工作的成效。 辽河某公司之所以连续四年通过外部审计和管理层测试，得益于公司领导班子对内控的重视，得益于谢文彦总经理一贯强调“依法以规治企”和内控重要性，对控制环境的积极引导。,控制环境,三、内部控制体系框架介绍,公司内控有效性评价结果表明，内控工作成效显著的，往往都是认识明确、高度重视的单位或。在去年评出的内控优秀单位中，有的坚持“雷打不动”的月度内控工作协调会，有的对内控工作严考核硬兑现，有的减少对外部测试的依赖，坚持开展月度自查。特别是，有的未上市单位，不等不靠，主动协调开展适用流程自我检查测试，有的主动分析、研究，找准问题，有针对性开展工作。 如果所有的单位都能够像这些单位一样有明确、积极的态度，公司的控制环境将会得到进一步的改善。,控制环境,三、内部控制体系框架介绍,按照内部控制体系框架，控制环境具体包含那些内容？,控制环境,三、内部控制体系框架介绍,包括诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、董事会及审计委员会、组织结构、权利和责任分配、人力资源政策与管理措施、员工胜任能力以及反舞弊机制。,控制环境十要素,三、内部控制体系框架介绍,1. 诚信与道德价值观 2. 发展目标 3. 管理理念与企业文化 4. 风险管理策略 5. 组织结构 6. 权利和责任分配 7. 人力资源政策与管理措施 8. 员工胜任能力 9. 反舞弊机制,控 制 环 境要素,三、内部控制体系框架介绍,控制环境总体上由集团公司层面负责建设，涉及地区公司建设的内容相对较少。我们的重点任务是学习、落实和执行！ 某公司已经制定未上市单位内控体系控制环境建设工作要点指引，与我们直接相关的工作内容至少应关注以下几个方面：,控制环境,三、内部控制体系框架介绍,1. 学习和宣传中国石油天然气集团公司员工职业道德规范（中油政工2008299号），覆盖全员，规范全体员工的职业道德操守和行为。,2. 针对违反政策和道德标准的违规行为进行处理，处理结果在本单位范围内通报。,3. 对重大违纪事件，组织员工进行案例分析，开展警示教育。,4. 表明对干预和越权的态度，并作好记录。允许合理的干预，绝对禁止越权。,三、内部控制体系框架介绍,为什么把诚信与道德价值观作为控制环境的第一要素？,诚信和道德价值观是控制环境的根本因素，直接影响其他内控要素的设计、执行和监督。,三、内部控制体系框架介绍,集团公司发展目标： 建设综合性国际能源公司,某公司发展目标： 原油产量保持在1000万吨以上 “5553”发展思路,“5553”发展思路 坚持五个发展：持续稳定、科技创新、质量效益、安全清洁、全面和谐 作好五篇文章：勘探增储、二次开发、科技进步、老区稳产、滩海建设 五项业务：工程技术、工程建设、装备制造、多种经营、矿区服务 建设三大某：科技大某、绿色大某、和谐大某,一定要掌握集团公司 和某公司发展目标！,三、内部控制体系框架介绍,2. 建立并落实工作逐级汇报机制。,1. 要根据生产经营、战略发展以及环境条件变化，对组织结构实施动态评估，保证组织的效率性,三、内部控制体系框架介绍,2. 在开展员工岗位职责描述的同时，将职责分解落实到具体岗位，落实分级授权制度 。,1. 公司统一编制权限指引表。,三、内部控制体系框架介绍,2. 根据生产经营工作的需要，对员工进行适当培训。,1. 落实公司下达的业绩指标，建立业绩考核体系，对员工进行业绩考核；将业绩考核作为确定员工薪酬、奖惩及任用的依据。,三、内部控制体系框架介绍,2. 员工岗位职责描述覆盖全部岗位。,1. 在公司完成“五定”的基础上，各单位对现有管理机构职能和岗位进行规范，完成各个岗位的职责权限规范描述，形成员工岗位职责描述。,三、内部控制体系框架介绍,舞弊是指以故意的行为获得不当或非法的利益。,1. 落实集团公司确定的反舞弊措施。设立举报箱、举报电话和电子举报信箱，并对外公布；建立健全对外交往工作中的群众监督举报机制。,2. 宣传并掌握某公司内部的举报方式： （1）直接举报； （2）电话举报：7299578 7821001（以纪委监察部的通知为准） （3）邮件举报： （4）信件举报：辽宁盘锦辽河某公司纪委监察处 邮 编：124010,三、内部控制体系框架介绍,“抽名烟戴名表”事件：周久耕，南京江宁房产局局长，2008年年末最红的“网络名人”。在不同会议场合上抽天价烟、戴的名表，被网友曝光。,三、内部控制体系框架介绍,房产局长抽名烟戴名表事件后南京官员悄然改变穿戴。人民时评：“别放过那些不抽名烟不戴名表的周久耕们”。 此外，云南“躲猫猫”事件、上海浦东“钓鱼执法”事件，我们看到一个强大的社会舆论监督氛围正在形成！ 我们企业内部同样需要完善的监督体系和氛围，需要每一位员工的参与，这是搞好内控的重要基础。,三、内部控制体系框架介绍,风险评估就是识别、分析相关风险以实现既定目标，是风险管理的基础。 风险评估是围绕要实现的目标开展，找出并分析影响目标实现的不确定因素，即风险。,风险评估,三、内部控制体系框架介绍,开展内控体系建设以来，风险评估一直在集团公司层面进行，并建立专门的风险数据库，作为建立内控体系和实施控制的依据。今后随着内控向全面风险管理过渡，地区公司层面也将结合业务发展实际，开展风险评估工作。 今年，某公司承担了集团公司下达的风险评估任务：“采购管理业务领域风险评估”，主要是整合集团公司和股份公司风险数据库，对物资采购、服务采购和招投标管理进行全面风险评估。,风险评估,三、内部控制体系框架介绍,风险评估遵循的基本程序和方法是：,风险评估,三、内部控制体系框架介绍,例如：季度自我检查测试,风险评估,三、内部控制体系框架介绍,控制活动是指有助于管理层决策顺利实施的政策和程序，是针对风险采取的控制措施。 按照集团公司的统一规定，某公司的控制活动，主要是借鉴国际上通行的做法，通过流程控制来实现。 与流程控制相关的概念： 1. 重要风险和关键控制 2. 流程图 3. 风险控制文档（RCD）,控制活动,三、内部控制体系框架介绍,1. 重要风险和关键控制,重要风险,关键控制,一般控制,一般风险,控制活动,三、内部控制体系框架介绍,2. 流程图 就是把现行的工作程序借助于信息系统所进行的可视化描述。 通俗地说，就是把我们工作的每一个步骤和环节用连贯的规定图标表示出来。,说明：SP、KP、MP,控制活动,三、内部控制体系框架介绍,流程图是如何绘制出来的？ 某公司流程建设管理部门（机关专业部门）根据集团公司确定的风险数据库和关键控制描述，利用ARIS流程信息管理系统对现有业务进行直观的流程化描述。,控制活动,三、内部控制体系框架介绍,流程描述和绘制过程如以下图示：,控制活动,三、内部控制体系框架介绍,集团公司内控与风险管理部职责：识别重要风险，建立重要业务风险数据库，并针对重要风险进行关键控制描述。,公司流程建设管理部门职责：依据集团公司风险数据库,对照本部门现有业务，确认风险控制措施，设计业务流程。,公司内控部门职责：依据集团公司风险数据库，要求流程建设与管理部门全面落实风险控制措施，设计简洁、适用的业务流程。,控制活动,三、内部控制体系框架介绍,公司流程建设与管理部门所确定的流程，经过内控部门审核和内控手册发布后，就成为某公司该项业务的工作标准和规范，各单位必须遵照执行。,控制活动,三、内部控制体系框架介绍,控制措施,制度,实施证据,风险,3.风险控制文档就是对业务流程中的风险和控制措施的具体描述。,控制活动,三、内部控制体系框架介绍,通过流程图和风险控制文档，可以清楚看到这项业务的工作程序、存在哪些风险、怎样控制、留下哪些证据。流程图和风险控制文档是日常办理业务的工作指南和规范标准，也是监督检查的依据。,控制活动,三、内部控制体系框架介绍,控制方法介绍：不相容职务分离控制 批准和执行业务的职务分离 如：决定或审批采购的人员不能同时兼任采购员 执行和审核业务的职务分离 如：填写销售发票的人员不能兼任审核员 执行和记录业务的职务分离 如：销售人员不能同时兼任记账员； 保管财产物资和对其进行记录的职务分离 如：出纳岗不能同时兼任记账岗；,控制活动,三、内部控制体系框架介绍,授权是企业内部控制一个重要的组成部分，是企业经营管理中权利和责任的分配和再分配。 常规授权: 指企业在日常经营管理活动中按照现有的职 责和程序进行的授权。如职能配置和岗位描述 。 特别授权: 指企业在特殊情况、特定条件下进行的授 权。如授权委托书。,授权审批控制,控制活动,三、内部控制体系框架介绍,信息与沟通：企业经营管理所需信息必须被识别、获 得并以一定形式及时传递，以便员工履行职责。 信息：来源于公司内、外部，与公司经营相关的财务 及非财务信息。 内部信息：财务、经营、规章制度、综合信息等。,1,2,外部信息：法律法规，客户、供应商信息等。,沟通：信息在公司内部各层次、各部门以及在公司与客户、供应商、监管者和股东等外部环境之间的传递。,信息与沟通,三、内部控制体系框架介绍,1,建立畅通的沟通渠道和机制，获取所需信息；,建立信息系统，为风险管理提供足够、可靠的信息资源 。,2,重视公司文件的层层传达学习；重视下情及时上达；重视利用各种会议和工作汇报加强各种信息的纵向和横向沟通与交流。,公司已经建立信息系统总体控制（GCC）和信息系统应用控制（AC）来推动这项工作。,信息与沟通,三、内部控制体系框架介绍,监督是对内部控制建立与实施情况进行检查，评价内部控制的有效性，发现控制缺陷，并及时进行改进的持续过程。,监督包括持续监督、独立评估和缺陷报告。,监 督,三、内部控制体系框架介绍,持续监督,缺陷报告,独立评估,是指公司日常经营过程中对建立与实施内部控制的情况进行常规、持续的监督检查。,是对企业内部控制设计和运行有效性的监督与评估的重要形式，通过定期组织内部控制有效性测试，形成测试报告。,是将在内部控制监督过程中所发现的内部控制缺陷，通过相应的汇报机制，自下而上进行上报的一种行为。,监 督,三、内部控制体系框架介绍,监督主要是通过测试来实现。 内部控制测试是针对集团公司总部及所属企事业单位内部控制设计和运行的有效性，由管理层授权相关部门具体实施的检查过程。,监 督,三、内部控制体系框架介绍,自我测试,单位自查,管理层测试,外部审计测试,部门检查,国际审计机构,监 督,三、内部控制体系框架介绍,信息系统测试：是对公司信息系统总体控制和应用系统控制的测试，包括对财务FMIS7.0、资产FA7.0测试。,测 试 内 容,公司层面测试：又称控制环境测试。 业务层面测试：包括跟单测试、关键控制测试。,三、内部控制体系框架介绍,例外事项是指内部控制体系设计层面和执行层面与规范、标准、要求之