内部控制与企业风险控制.ppt

企业内部控制 与全面风险管理,2019/5/24,1,企业风险管理的必要性,不得不说的故事： 安然公司 巴林银行 回顾事件发生的经过 了解引致公司倒闭或严重损失的风险 从案例中吸取的教训,合俊玩具 中航油 云大科技,1 为什么我们需要内部控制？,企业规模 从“用眼睛管理”到“一眼望不到边” 竞争环境 进入了“复赛”的企业 经济环境 速度、不确定性、社会责任 代理问题 代理层级的增加 内部控制 合规经营、提升管理、持续发展,2019/5/24,3,竞争环境与企业的发展,市场环境的变化 竞争环境的变化 企业规模 我们该做什么：精细化管理,股东（委托人） 企业所有者,委托 代理 关系,经理（代理人） 企业经营者,聘用,信息不对称,代理 成本,基本的委托代理问题,公司面临的其他治理问题,公司的社会责任问题,污染 排放,偷逃税,不正当竞争,操纵市场,内部审计协会列出的9大风险因素,2019/5/24,7,管理层的能力 (Competence of management ) 管理层的道德观 (Integrity of management) 近期系统变化 (Recent changes in systems) 组织规模 (Size of unit) 资产流动性 (Liquidity of assets) 变革 (Change) 复杂程度 (Complexity) 快速增长 (Rapid growth) 规章制度是否健全 (Level of regulation),2019/5/24,8,(风险宇宙TM ),资信,制度,知识产权,财务,流动资产与 信贷,资本结构,市场,财务报告,营运,法律,生产程序,营商环境,市场结构,民风与文化,管治,策略,董事会活动,交易,并购,变卖,声誉,道德,社区责任,风险管理,董事会及 管理层业绩,组织结构,监察与沟通,执行,筹划与开发,利益有关方,供应商,政府,顾客,股东,经济情况,国家情况,市场变化,竞争对手,人才资源,雇员,沟通,有形资产,机器、厂房 与土地,其他 有形资产,负债,合约,法规,市场与销售,生产及流通,商品/服务开发,流程,估值与 选择买家,评估与甄选,尽职调查,并购后整合,资信管理,运营,组织与监察,硬件,软件,网络,无形资产,知识管理,信息,现金管理,对冲,融资,股东资本,债务,商品,利率,外汇,税务,会计,合规,风险宇宙,2 关于风险与风险管理,2019/5/24,9,10,风险与回报的平衡,风险,调整风险 后的回报,企业风险,风险的动态观 企业风险持续的流动于主体之内 风险的组合观 风险贯穿于企业，在各个层级和单元 风险识别是规避风险的基础 发现一旦发生将会影响主体的潜在事项 并把风险控制在风险容量之内 风险管理 力求实现一个或多个不同类型但相互交叉的目标它只是实现结果的一种手段，并不是结果本身。 目的是降低不确定的经营结果,风险识别和评估的思路,2019/5/24,企业风险识别Company Logo,12,为了有效地控制风险则需要对风险进行评估 一个企业都面对各种不同的内部和外部的风险，必须对这些风险进行识别和评估 风险识别和评估就是确定和分析企业实现其目标的过程中的相关风险 风险识别和评估的一个前提条件就是已确立目标, 这些目标在各个层次上相互关联并且在内部是一致的 由于经济、行业、政策法规和经营条件持续地变化, 因此需要建立机制以及时确定和处理与这些变化相关的特定风险,风险识别的思路,2019/5/24,企业风险识别Company Logo,13,哪些 风险？,企业该做什么？,企业做了什么？,剩余 风险？,原有风险的变化和新的风险对早期设计的内部控制系统施加压力.,2019/5/24,14,在这个充满风险的世界里，企业该做些什么,遵守和控制过程,企业组织的变化,内部因素,外部因素,降低成本的要求,工艺流程的改进 和变化,新的技术,企业风险识别,15,风险策略 避免 禁止交易 减少或限制交易量 离开市场 转移 套期 保险 策略性联盟 其他分担风险的安排,小心管理 投资 广泛保护的安排 订价反映风险程度 可接受 自我保险 预留储备 增加监督,风险处理策略,影响程度,大,小,2019/5/24,16,3企业内部控制基本规范,2019/5/24,17,我国内部控制的发展与国际比较,美国 内部控制理念方法的示范和内部控制立法分别由COSO报告和萨班斯法案来实现。 COSO报告传达的信息代表了内部控制的理念和方法，对企业内部控制实务起示范作用，但本身并不具备强制效力。 萨班斯法案则代表立法。 我国的情况 从我国的国情和内部控制发展的历程看，我国往往采用内部控制框架与立法两者合一的方式。,2019/5/24,18,2008年6月28日,财政部、证监会、审计署、银监会、保监会五部委联合发布。,监督检查： 政府相关监管部门，对企业建立与实施内部控制的情况进行监督检查。,外审要求： 具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计，出具审计报告,责任主体：董事会。 具体措施：内部控制的建立健全和有效实施；定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告,对上市公司要求： 应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告。,我国的企业内部控制基本规范,财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范 2010年4月，颁布配套指引 2011年1月1日，境内外上市公司执行 2012年1月1日，上交所、深交所主板上市的公司执行,2019/5/24,20,2019/5/24,21,整合风险管理框架：基本理念,风险组合观点 管理层考虑单个风险如何相互关联； 管理层从业务单元层面和实体层面决定风险组合。,COSO框架,框架的本质 建议一个共同的语言，为企业风险管理提供清晰的方向和指南。,四个目标类别 战略目标 经营目标 报告目标 合规目标,考虑组织的所有层面 企业层面 部门和分公司 业务单元层面,原 则,企业建立与实施内部控制，应当遵循下列原则： （一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。 （二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。 （三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。 （四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。 （五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。,2019/5/24,22,要 素,企业建立与实施有效的内部控制，应当包括下列要素： （一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 （二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。 （三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。 （四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。 （五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。,2019/5/24,23,2019/5/24,24,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,传达管理理念 - 责任 - 义务 - 职权 - 人力资源 - 员工发展,设定管理基调 - 诚信 - 道德观念 - 能力,要素1: 控制环境,控制要素,控制类别,内部环境通常发现的问题,治理结构不完善，不能对管理层进行独立有效的监督与控制 风险控制意识薄弱 公司组织架构与公司规模、业务不匹配 没有一套严格、统一的授权体系 财务及信息系统管理分散 没有明晰的企业文化 没有岗位说明书以及合理的员工绩效考核办法,2019/5/24,26,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,管理/控制变化,确定并分析对实现企业 目标有影响的风险,要素2: 风险评估,控制要素,控制类别,风险评估通常发现的问题,缺乏企业整体目标，包括战略目标的确定与更新 下属机构与总部目标不一致，导致对风险识别的不一致 缺乏风险识别与预警机制以及对新市场、新产品/服务的风险评估 缺乏机制来进行定期系统的风险评估,内部环境,风险评估,控制活动,信息与沟通,内部监督,2019/5/24,28,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,管理层发展方针贯彻的程序 直接的职能或活动管理 物质的控制 - 职权的分离,要素3: 控制活动,控制要素,控制类别,实现目标的管理机制,控制活动通常发现的问题,缺乏全面预算管理 缺乏有效项目管理 缺乏有效的IT控制 着重预防型控制而忽略检查型控制 缺乏对控制的文档记录,2019/5/24,30,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,要素4: 信息和沟通,控制要素,控制类别,经营和财务信息的准确性和及时性,获取内部和外部的信息,组织的沟通,信息与沟通通常发现的问题,信息系统无法满足财务、业务需要、向管理层及时提供正确相关的信息 信息系统的设计与公司战略不一致 公司上传下达不力 部门或地区之间沟通不力,内部环境,风险评估,控制活动,信息与沟通,内部监督,2019/5/24,32,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,要素5: 监控,控制要素,控制类别,连续性的行动和 一次性的活动,反映严重问题的系统,监控系统的评价,内部监督通常发现的问题,缺乏对内部控制的定期评估 内审部门没有独立性，不能有效进行监督工作 内审工作范围与计划不合理 内部控制缺陷不能及时得到纠正,内部环境,风险评估,控制活动,信息与沟通,内部监督,2019/5/24,34,企业风险管理,内部控制规范及指引的主要内容与合规性要求,内部控制基本规范 内部控制指引-企业内部控制应用指引（已发布18号）、企业内部控制评价指引、企业内部控制审计指引 重要的合规性要求,2019/5/24,35,内部环境类指引,组织架构 发展战略 人力资源 社会责任 企业文化,2019/5/24,36,控制活动类指引,资金活动 采购业务 资产管理 销售业务 工程项目 研究与开发 担保业务 业务外包 财务报告,2019/5/24,37,控制手段类指引,全面预算 合同管理 内部信息传递 信息系统,2019/5/24,38,2019/5/24,39,企业内部控制应用指引第1号组织架构,第一章 总 则 第二章 组织架构的设计 第三章 组织架构的运行,股东大会,董事会,经理,监事会,公司职工(工会),选举,选 举,聘任,选举,监督,监督,党组织,信息不对称,多层次的 委托代理问题,机会主义,2019/5/24,41,中国公司法和治理准则构建的公司治理结构,股东大会,股东,董事会,战略,审计,提名,薪酬与考核,监事会,经理人员,证 监 会,报告,产生,监督,2019/5/24,42,中国公司法对公司机关权力构架的设计,股东大会,董事会,经理 （高级职员）,监事会,股东大会是公司的权力机构。 董事长是公司的法定代表人。,公司职工(工会),选举,选 举,聘任,选举,监督,监督,负责,负责,党组织,2019/5/24,43,企业内部控制应用指引第2号发展战略,第一章 总 则（应对关注的风险） 第二章 发展战略的制定 第三章 发展战略的实施,从财务角度审视企业的战略与风险,净资产收益率（所有者权益报酬率） 总资产收益率,净资产回报率,总资产周转率,现金量,应收款周期,库存周转率,固定资产周转率,资产负债表的数据,毛利率 (折旧与税前的利润),收入税率,损益表的数据,净利润率,应付款帐龄,负债资产比率,流动资产负债比率,流动现金负债比率,财务杠杆系数,企业靠什么挣钱杜邦财务分析体系,净资产收益率 =销售净利率总资产周转率权益乘数 （赚得多） （转得快） （借的多）,杜邦分析体系,银行,超市,名酒,如何评价这些白酒企业,他们想如何取胜？,理解企业风险,风险的动态观 企业风险持续的流动于主体之内 风险的组合观 风险贯穿于企业，在各个层级和单元 风险识别是规避风险的基础 发现一旦发生将会影响主体的潜在事项 并把风险控制在风险容量之内,综合风险水平是否能接受,综合风险杠杆 财务杠杆X经营杠杆,2019/5/24,56,企业内部控制应用指引第3号人力资源,第一章 总 则（应对关注的风险） 第二章 人力资源的引进与开发 第三章 人力资源的使用与退出,2019/5/24,57,企业内部控制应用指引第4号社会责任,第一章 总 则（应对关注的风险） 第二章 安全生产 第三章 产品质量 第四章 环境保护与资源节约 第五章 促进就业与员工权益保护,2019/5/24,58,企业内部控制应用指引第5号企业文化,第一章 总 则（应对关注的风险） 第二章 企业文化的建设 第三章 企业文化的评估,2019/5/24,59,企业内部控制应用指引第6号资金活动,第一章 总 则（应对关注的风险） 第二章 筹 资 第三章 投 资 第四章 营 运,2019/5/24,60,企业内部控制应用指引第7号采购业务,第一章 总 则（应对关注的风险） 第二章 购 买 第三章 付 款,2019/5/24,61,企业内部控制应用指引第8号资产管理,第一章 总 则（应对关注的风险） 第二章 存 货 第三章 固定资产 第四章 无形资产,2019/5/24,62,企业内部控制应用指引第9号销售业务,第一章 总 则（应对关注的风险） 第二章 销 售 第三章 收 款,2019/5/24,63,企业内部控制应用指引第10号研究与开发,第一章 总 则（应对关注的风险） 第二章 立项与研究 第三章 开发与保护,2019/5/24,64,企业内部控制应用指引第11号工程项目,第一章 总 则（应对关注的风险） 第二章 工程立项 第三章 工程招标 第四章 工程造价 第五章 工程建设 第六章 工程验收,2019/5/24,65,企业内部控制应用指引第12号担保业务,第一章 总 则（应对关注的风险） 第二章 调查评估与审批 第三章 执行与监控,2019/5/24,66,企业内部控制的完善： 以担保业务为例,第一章 总 则 第二章 调查评估与审批 第三章 执行与监控,2019/5/24,67,担保业务应当关注的风险,对担保申请人的资信状况调查不深，审批不严或越权审批，可能导致企业担保决策失误或遭受欺诈。 对被担保人出现财务困难或经营陷入困境等状况监控不力，应对措施不当，可能导致企业承担法律责任。 担保过程中存在舞弊行为，可能导致经办审批等相关人员涉案或企业利益受损。,2019/5/24,68,担保业务的审批,指定相关部门负责办理担保业务，对担保申请人进行资信调查和风险评估 企业在对担保申请人进行资信调查和风险评估时，应当重点关注以下事项： （一）担保业务是否符合国家法律法规和本企业担保政策等相关要求。 （二）担保申请人的资信状况，一般包括：基本情况、资产质量、经营情况、偿债能力、盈利水平、信用程度、行业前景等。 （三）担保申请人用于担保和第三方担保的资产状况及其权利归属。 （四）企业要求担保申请人提供反担保的，还应当对与反担保有关的资产状况进行评估。 企业对担保申请人出现以下情形之一的，不得提供担保： （一）担保项目不符合国家法律法规和本企业担保政策的。 （二）已进入重组、托管、兼并或破产清算程序的。 （三）财务状况恶化、资不抵债、管理混乱、经营风险较大的。 （四）与其他企业存在较大经济纠纷，面临法律诉讼且可能承担较大赔偿责任的。 （五）与本企业已经发生过担保纠纷且仍未妥善解决的，或不能及时足额交纳担保费用的。 建立担保授权和审批制度 采取合法有效的措施加强对子公司担保业务的统一监控 企业为关联方提供担保的，与关联方存在经济利益或近亲属关系的有关人员在评估与审批环节应当回避。 对境外企业进行担保的，应当遵守外汇管理规定，并关注被担保人所在国家的政治、经济、法律等因素。 被担保人要求变更担保事项的，企业应当重新履行调查评估与审批程序。,2019/5/24,69,担保业务的日常控制,根据审核批准的担保业务订立担保合同 担保经办部门应当加强担保合同的日常管理，定期监测被担保人的经营情况和财务状况 加强对担保业务的会计系统控制 及时收集、分析被担保人担保期内经审计的财务报告等相关资料，持续关注被担保人的财务状况、经营成果、现金流量以及担保合同的履行情况，积极配合担保经办部门防范担保业务风险 加强对反担保财产的管理，妥善保管被担保人用于反担保的权利凭证，定期核实财产的存续状况和价值，发现问题及时处理，确保反担保财产安全完整。 建立担保业务责任追究制度 妥善保管担保合同、与担保合同相关的主合同、反担保函或反担保合同，以及抵押、质押的权利凭证和有关原始资料,2019/5/24,70,企业内部控制应用指引第13号业务外包,第一章 总 则（应对关注的风险） 第二章 承包方选择 第三章 业务外包实施,2019/5/24,71,企业内部控制应用指引第14号财务报告,第一章 总 则（应对关注的风险） 第二章 财务报告的编制 第三章 财务报告的对外提供 第四章 财务报告的分析利用,2019/5/24,72,企业内部控制应用指引第15号全面预算,第一章 总 则（应对关注的风险） 第二章 预算编制 第三章 预算执行 第四章 预算考核,2019/5/24,73,企业内部控制应用指引第16号合同管理,第一章 总 则（应对关注的风险） 第二章 合同的订立 第三章 合同的履行,2019/5/24,74,企业内部控制应用指引第17号内部信息传递,第一章 总 则（应对关注的风险） 第二章 内部报告的形成 第三章 内部报告的使用,2019/5/24,75,企业内部控制应用指引第18号信息系统,第一章 总 则（应对关注的风险） 第二章 信息系统的开发 第三章 信息系统的运行与维护,企业内部控制评价指引,第一章 总 则 第二章 内部控制评价的内容 第三章 内部控制评价的程序 第四章 内部控制缺陷的认定 第五章 内部控制评价报告,2019/5/24,76,2019/5/24,77,2019/5/24,78,2019/5/24,79,2019/5/24,80,企业内部控制审计指引,第一章 总 则 第二章 计划审计工作 第三章 实施审计工作 第四章 评价控制缺陷 第五章 完成审计工作 第六章 出具审计报告 第七章 记录审计工作,2019/5/24,81,5 谁对企业内部控制负责?,董事会 负责内部控制的建立健全和有效实施 经营管理层 负责组织领导企业内部控制的日常运行 监事会 对董事会建立与实施内部控制进行监督 审计委员会 审查内控,监督实施和自我评价,协调审计及其他. 内部审计机构或其他授权监督机构 负责内部控制有效性的监督检查,是主要监督工作实施者,企业内部控制基本规范,内部控制，是由董事会、监事会、经理层和全体员工共同实施的旨在实现控制目标的过程。,合理保证企业经营管理合法合规,促进企业实现发展战略,提高经营效率和效果,资产安全,财务报告及相关信息真实完整,6 企业如何落实和合规的执行内部控制指引,执行内部控制规范的关键任务 如何通过执行内部控制指引实现企业风险管理的持续改进,2019/5/24,84,执行内控规范的关键任务,时间表 2011年1月1日起在境内外同时上市的公司施行 2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行 在此基础上，择机在中小板和创业板上市公司施行 执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。 注册会计师发现在内部控制审计过程中注意到的企业非财务报告内部控制重大缺陷，应当提示投资者、债权人和其他利益相关者关注。 达到基本内部控制要求,2019/5/24,85,内部控制的持续改进- 从汉谟拉比法典说起,Page,86,这偶然吗？,沿用两千年的法典,汉谟拉比的文治武攻,内部控制的持续改进,Page,87,RISK风险,Control控制,通过管理程序或活动减少风险,可量化，可衡量，可以达到的业务目标,Objective目标,可能影响业务目标实现的事件,2019/5/24,88,企业目标, 风险和内部控制的关系,确定目标,评估风险,分析控制,目标, 风险和内部控制,2019/5/24,89,企业目标、风险和公司治理、内部控制的关系,确定目标,评估风险,行动计划/ 责任分配,分析控制,目标、风险和公司治理、内部控制,重点之一：风险评估,内部环境,风险评估,控制活动,信息与沟通,内部监督,内部环境,风险评估,控制活动,重点之二：建立公司层面控制,确立控制目标，确认关键控制，形成关键控制方档，包括框架描