内部控制与风险管理8-10章.docx

内部控制与风险管理8-10章第八章 内部控制体系的建设第一节 内部控制体系建设的目标、原则、步骤1. 内部控制体系建设的目标：（1）近期目标：满足我国会计法和国资委、财政部、证监会、证券交易所等颁布的内控规则及国外上市地的法律法规要求。（2）长期目标：建立有效、实用、具有实际操作性并兼顾效率的内部控制体系，规范业务流程，强化企业管理，全面防范企业风险，以合理保证企业战略、经营、报告和法规遵循目标的实现。2. 内部控制体系建设的原则（1） 合法性原则（2） 全面性原则（3） 重要性原则（4） 内部牵制原则 体制牵制 簿记牵制 实务牵制 机械牵制（5） 适应性原则（6） 有效性原则（7） 成本效益原则3. 内部控制体系设计步骤准备 设计 执行 测试制定缺陷标准，检查内部控制设计和执行是否存在缺陷，及时改进或纠正。将内部控制在实际工作中贯彻执行围绕方案，开展风险评估，设计控制措施，制定内部控制制度。围绕内部控制内容对内部控制现状进行分析，制定内部控制建设方案 第二节 内部控制体系建设的准备1. 内部控制体系建设的准备阶段含义：就是对企业的组织体系、机构设置、营业范围、经营方式、主要业务、营运情况、管理水平、员工情况、财务状况、经营成果以及所处的外部环境等进行全面总结和分析，以使内部控制制度适合企业的经营实际。2. 做好企业与内部控制相关的调查工作。（1） 调查了解企业的内外部环境因素 解国家所颁布的法律法规和政策。 了解行业背景与竞争对手的基本情况。 了解企业背景及内部因素。（2） 调查了解企业内部控制的基础 调查了解企业内部控制环境。 调查了解企业内部各类业务的处理程序和所采取的控制措施。 调查了解企业的财务会计信息和其他业务信息的准确性、可靠性。3. 对调查结果进行现状分析。4. 对照内控标准查找差距，提出建设方案。5. 内部控制体系的内容架构。第三节 组织架构的设计与运行1. 组织架构的设计主要是针对按公司法新设立的企业，以及公司法颁布的前存在的企事业单位转为公司制企业而言的。应当遵循以下原则：一要依据法律法规；二要有助于实现发展战略；三要符合管理控制要求；四要能够适应内外环境变化。（1） 组织架构设计的依据 战略 环境 技术 组织规模（2） 组织架构设计的原则 目标原则 职能分解原则 功能定位原则 系统性原则 信息沟通原则 制衡原则 适应性原则 稳定性原则（3） 组织架构设计的程序 确定组织目标 确定业务内容 确定组织机构 配备职务人员 规定职责权限 整体协调 勾绘出组织结构图（4） 企业治理结构设计一般要求 企业治理结构设计一般要求：企业应当根据国家有关法律法规的规定，按照决策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序等。 上市公司治理结构的特殊要求：建立独立董事制度；董事会专门委员会的特殊要求；设立董事会秘书。 国有独资企业治理结构设计的特殊要求：国有资产监督管理机构代行股东大会职权；国有独资企业董事会成员中应当包括公司职工代表；国有独资企业监事会成员由国有资产监督管理机构委派，但监事会成员中的职工代表由公司职工代表大会选举产生；外部董事由国有资产监督管理机构提名推荐，由任职公司以外的人员担任。（5） 内部机构的设计A 内部机构的基本形式 直线型组织结构 职能型组织结构 直线职能型组织结构 事业部制组织结构 矩阵结构 多维立体组织结构B 组织结构的变革趋势从总体来看，组织结构的变化趋势将是扁平化、柔性化和网络化发展。C 内部机构设计的一般要求 合理设置内部职能机构，明确各机构的职能权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。 确定具体岗位的名称、职责和工作的要求等，明确各个岗位的权限和相互关系。2.组织架构的运行 涉及新企业治理结构和内部结构的运行。也涉及对存续企业组织架构的全面梳理。如何梳理： 从治理结构层面看，一是关注董事、监事、经理及其他高级管理人员的任职资格和履职情况。二是关注董事会、监事会和经理层的运行效果。 从内部机构层面看，应着力关注内部机构设置的合理性和运行的高效性。 还应当定期对组织架构设计和运行的效率和效果进行综合评价，其目的在于发现可能存在的缺陷，及时优化调整，使公司的组织架构始终处于高效运行状态。第四节 发展战略制定1. 如何制定发展战略（1） 建立和健全发展战略委员会（2） 综合分析评价影响发展张略的内外部因素 分析外部环境，发现机会和威胁。（宏观环境分析，行业环境及竞争对手分析，经营环境分析） 分析内部环境，识别优势和劣势（企业资源分析，企业能力分析，核心竞争力分析）（3） 科学编制发展战略 制定发展目标（发展目标应当突出主业，不能过于寂静，不能盲目追逐市场热点，不能脱离企业实际） 编制战略规划（明确企业发展的阶段性和发展程度） 严格审议和批准发展战略（在审议过程中，董事会应着力关注发展战略的全局性、长期性和可行性）2. 如何实施发展战略（1） 着力加强对发展战略实施的领导（2） 着力将发展战略分解落实（3） 着力保障发展战略有效实施 要培育与发展战略相匹配的企业文化 要优化调整组织结构 要整合内外部资源 要相应调整管理方式（4） 着力做好发展战略宣传培训工作3. 如何实现发展战略转型（1） 要加强对发展战略实施的监控（2） 要根据监控情况持续优化发展战略（3） 要抢抓机遇顺利实现战略转型第五节 权限分配体系的设计1. 权责分配原则（1） 透明原则（2） 责任与权力统一原则（3） 牵制原则（4） 效率原则2. 完善权责分配应把握的重点（1） 对组织内的全部岗位设置合理有效的职责和权限（2） 为处于关键岗位的人员提供所需的全部资源，同时确保他们的知识、经验与岗位职责匹配（3） 确保所有员工明确其工作职责、被认可的方式，以及个人和组织目标的关系（4） 适当集权和分权（5） 建立权利监督机制和责任追究制度3. 分配权责内容（1） 权限分配的业务内容（2） 相关部门和人员的业务处理权限4. 对“三重一大”的特殊考虑重大决策，重大事项，重大人事任免和大额资金使用5. 描述责权分配企业应当制定组织结构图、业务流程图、岗位说明书和权限指引等内部管理制度或相关文件。第六节 人力资源政策设计1. 建立以岗位价值为基础的人力资源管理体系（1） 多通道的岗位职级体系（2） 以目标位导向、以绩效为依据的整体式绩效考核机制（3） 以价值和业绩为导向的薪酬分配机制2. 人力资源的引进与开发（1） 高管人员的引进与开发（是否符合企业发展战略，是否符合企业当前和长远需要，是否有明确的岗位设定和能力要求，是否设定了公平、公正、公开的引进方式）（2） 专业技术人员的引进与开发（既要满足企业当前实际生产经营需要，同时又要有一定的前瞻性）（3） 一般员工的引进与开发（注意招收那些具有一定技能、能够独立承担工作任务的员工，以确保产品和服务质量）3. 人力资源的使用与退出第七节 内部审计设计1. 理顺其与各种利益相关者有关的委托代理关系（1） 巩固与董事会的关系（2） 改善与管理层的关系（3） 强化与其他利益相关和的利益2. 提高内部审计低位的独立性和客观性在企业风险管理框架下，内部审计的最佳组织面膜是应该是同时向审计委员会和管理层负责的受双重领导的组织模式。3. 强化内部审计主体的胜任能力（1） 提高内部审计主体自身应具备的技能 遵守行为准则 知识、技能和专业训练 人际关系和交流 后续教育 应有的职业谨慎（2） 借鉴机构其他风险管理者的知识和经验建立风险交流会，内部审计人员应该邀请包括健康和安全、信息系统和信息技术、计划管理等已经形成了具有自身特色的风险管理经验和技术的人员。（3） 利用机构外部专家的服务外部专家的聘请可以由董事会、管理层或首席审计执行官决定。第八节 企业文化设计1. 构建企业文化的建设体系企业文化的建设，作为一个整体体系，主要包括三个方面：（1） 观念文化建设（是内部控制的基石）（2） 组织文化建设（即组织形态、生产、生活方式建设）（3） 制度文化建设（即建立企业各种规章制度）2. 如何打造优秀的企业文化（1） 注重塑造企业核心价值观（2） 重点打造以主业为核心的品牌（3） 充分体现以人为本的理念（4） 强化企业文化建设中的领导责任3. 如何解决并购重组中的文化整合（1） 企业并购失败风险主要发生在两个阶段，即企业并购交易开始前可行性研究阶段和并购完成后整合阶段。（2） 企业并购完成后，应当特别注重文化整合。一要组织架构设计环节考虑文化整合因素。二要在并购交易完成后企业运行中，进行深度的文化整合。（3） 可以考虑一下三种整合方式： 以并购方的文化进行整合； 以并购方的文化为主体、吸收被并购方文化中优秀的一面进行整合； 以并购双方的文化为基础创建全新的优秀的文化。4. 如何实现企业文化的创新（1） 着力构建企业文化评估体系在此过程中，应当把握以下原则： 全面评估与重点评估相结合，注重评估指标的导向性 定性与定量相结合，注重评估方法的科学性 内部评价与外部评价相结合，注重评估结果的有效性（2） 着力根据综合评估结果推进企业文化创新第九节 业务流程层面内部控制一般说来，主要的业务流程是由直接存在于企业的价值链条上的一系列活动及其之间的关系构成，也可细分为相关子系统，包含采购、销售等业务活动。企业主要业务流程一般包括：市场营销流程、设计开发流程、生产工作流程、质量管理流程、储运管理流程、财务管理流程、服务管理流程等。1. 业务层面控制设计的形式（1） 文字形式（2） 表格形式（3） 业务流程图形式（4） 组合方式2. 业务层面控制设计的步骤和方法（1） 确定控制目标（2） 梳理业务流程（3） 根据目标进行风险评估（4） 针对风险建立控制措施 控制措施设计要有效 控制措施设计内容要具体 控制措施设计要有所区别（5） 理顺控制措施，描述业务控制流程（6） 实行与修订第十节 业务层面内部控制的设计案例1. 采购业务流程控制（1） 梳理业务流程，建立流程目录（2） 确定采购循环的控制环境（3） 确定采购循环的控制目标（4） 评估采购业务的潜在风险（5） 梳理采购业务的控制流程（6） 确定采购流程的控制要点（7） 确定控制要点的控制 措施（8） 描述业务控制流程（9） 采购业务的后评估2. 现金支出子系统控制设计（1） 制定控制目标（2） 评估现金付款业务存在的风险（3） 梳理现金付款流程（4） 选择控制点（5） 确定控制措施（6） 现金内部会计控制流程图的描述第十一节 信息与沟通控制设计1. 信息与沟通控制的具体要求（1） 建立信息收集、加工机制（2） 完善信息传递机制（3） 加强信息技术的运用（4） 建立反舞弊机制（5） 建立投诉和举报人保护制度2. 内部信息传递控制（1） 内部信息传递的总体要求尽管有关信息的来源、内容、提供者、传递方式和渠道等各不相同，但收集和传递相关信息一般应遵循以下原则：真实准确性；及时有效性；遵守保密原则（2） 内部信息传递流程（3） 内部信息传递流程的主要风险点及管控措施 立内部报告指标体系 收集内外部信息 编制及审核内部报告 构建内部报告流转体系及渠道 内部报告有效使用及保密要求 内部报告的保管 内部报告评估（4） 反舞弊3. 信息系统控制设计（1） 制定信息系统开发的战略规划（2） 选择适当的信息系统开发方式（3） 自行开发方式的关键控制点和主要控制措施（4） 其他开发方式的关键控制点和主要控制措施4. 信息系统的运行与维护（1） 日常运行维护的关键控制点和主要控制措施（2） 系统变更的关键控制点和主要控制措施（3） 安全管理的关键控制点和主要控制措施第九章 内部控制评价第一节 内部控制评价概述1. 内部控制评价的发展历程内部控制评价最早在1987年由加拿大海湾资源公司首次提出。2. 内部控制评价的作用（1） 有助于企业自我完善内控体系（2） 有助于提升企业市场形象和公众认可度（3） 有助于实现与政府监管的协调互动3. 内部控制评价的对象内部控制评价是对内部控制有效性发表意见。所谓内部控制有效性，是指企业建立于实施内部控制对实现控制目标提供合理保证的程度，包括内部控制设计的有效性和内部控制运行的有效性。4. 内部控制评价的原则（1） 全面性原则，是指内部控制评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项（2） 重要性原则，强调内部控制评价应当在全面性的基础上，着眼于风险，突出重点。（3） 客观性原则，强调内部控制评价应当准确地解释经营管理的风险状况，如实地反映内部控制设计和运行的有效性。5内部控制评价的组织形式和职责安排（1）内部控制评价的组织形式内部控制评价机构必须具备一定的设置条件： 够独立行使对内部控制系统建立与运行过程及结果进行监督的权利 具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养 与企业其他职能机构就监督与评价内部控制系统方面应当保持一致为了保证评价的独立性，负责内部控制设计和评价的部门应适当分离。（3） 有关方面在内部控制评价中的职责和任务 董事会对内部控制评价承担最终的责任。 经理层负责组织实施内部控制评价工作。 内部控制评价机构根据授权承担内部控制评价的具体组织实施任务。 各专业部门应负责组织本部门的内控自查、测试和评价工作。 企业所属单位，也应逐级落实内部控制评价责任，简历日常监控机制。第二节 内部控制评价的内容、程序1 内部控制评价的内容内部环境：包括组织架构、发展战略、人力资源、企业文化、社会责任等风险评估：对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。控制活动：应对企业各类业务的控制措施与流程的设计有效性和运行有效性进行认定和评价。信息与沟通：信息的收集、传递的及时性、反舞弊机制的健全性等。内部监督：对管理层对于内部监督的基调、监督的有效性及内部控制缺陷。2 评价工作底稿设计包括评价要素、主要风险点、采取的控制措施、有关证据资料及认定结果3 内部控制评价程序 准备阶段 实施阶段 汇总评价结果、编制评价报告阶段 报告反馈和跟踪阶段4 内部控制评价的频率由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律另有规定的，从其规定。如果内部监督程序无效，应增加评价的频率。5 内部控制评价的方法 个别访谈法 调查问卷法 穿行测试法 抽样法 实地查验法 比较分析法 专题讨论法第三节 内部控制缺陷的认定1. 内部控制缺陷的分类（1） 按照内部控制评价缺陷成因或来源：设计缺陷和运行缺陷（2） 按照影响企业内部控制目标实现的严重程度：重大缺陷、重要缺陷、一般缺陷。（3） 按照具体影响内部控制目标的具体表现形式：财务报告缺陷和非财务报告缺陷。2. 内部控制缺陷的认定标准（1） 内部控制缺陷的重要性和影响程度（2） 财务报告内部控制缺陷的认定标准 缺陷是否具备合理可能性导致企业的内部控制不能及时防止或发现并纠正财务报告错报。 该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。（3） 非财务报告内部控制缺陷的认定标准定量标准和定性标准。3. 内部控制缺陷的报告与整改（1） 企业内部控制缺陷报告的格式和途径（2） 内部控制缺陷整改方案及期限4. 内部控制评价报告（1） 内部控制评价报告的内容和格式内容：董事会声明；内部控制评价工作的总体情况；内部控制评价的依据；范围；程序和方法；内部控制缺陷及其认定；内部控制缺陷的整改情况；内部控制有效性的结论。（2） 内部控制评价报告的编制和报送 评价报告的编制：分为定期内部控制评价报告和非定期内部控制评价报告。其编报主体包括单个企业和企业集团的母公司。 评价报告的报送：应按规定报送有关监管部门。（3） 内部控制评价报告的披露和使用第十