企业内部控制(半天课程)（PPT80页)

00:21:12,1,内部控制的体系与应用框架,基于财政部企业内部控制基本规范和企业内部控制配套指引的实践,目录,00:21:12,内部控制的基本概念,内部控制的内容与应用框架,建立企业内部控制的程序、步骤和方法,1,2,3,企业内部控制发展与应用挑战,4,目录,内部控制的基本概念与一般理论,1,00:21:12,一、内控的基本概念起源与发展,00:21:12,内部控制可以通俗的理解为：内部控制是在一定的环境下，单位内部控制主体为了达到其特定目标所采用的一系列的管理程序和方法。,周礼：虑夫掌财用财之吏，渗漏乾后，或者容奸而肆欺于是一毫财赋之出入，数人之耳目通焉。,具体到职务设置上，以货币资金的控制为例，专门设置了职入官、职岁官和职币官，来分掌货币资金的收入、支出和余额，体现了内部牵制思想,“在内部控制、预算和审计程序等方面，周代在古代世界是无与伦比的。”（会计思想史，迈克尔.查特菲尔德）,以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。,一、内控的基本概念从案例说起（资金控制）,瑞襄公司出纳员李敏，给人印象兢兢业业、勤勤恳恳、待人热情、工作中积极肯干，不论分内分外的事，她都主动去做，受到领导的器重、同事的信任。而事实上，李敏在其工作的一年半期间，先后利用22张现金支票编造各种理由提取现金98.96万元，均未记入现金日记账，构成贪污罪。其具体手段如下：1）隐匿3笔结汇收入和7笔会计开好的收汇转账单（记账联），共计10笔销售收入98.96万元，将其提现的金额与其隐匿的收入相抵，使32笔收支业务均未在银行存款日记账和银行余额调节表中反映；2）由于公司财务印鉴和行政印鉴合并，统一由行政人员保管，李敏利用行政人员疏于监督开具现金支票；3）伪造银行对账单，将提现的整数金额改成带尾数的金额，并将提现的银行代码“11”改成托收的代码“88”。瑞襄公司在清理逾期未收汇时曾经发现有3笔结汇收入未在银行日记账和余额调节表中反映，但当时由于人手较少未能对此进行专项清查。,一、内控的基本概念从案例说起（资金控制）,【案例分析】从本案例中可知，瑞襄公司内部控制疲软、内控监督机制失灵是李敏走上犯罪道路的重要原因。公司存在以下几个管理上的漏洞：（1）出纳兼与银行对账，提供了在编制余额调节表时擅自报销32笔支付现金业务的机会。（2）印鉴管理失控。财务印鉴与行政印鉴合并使用并由行政人员掌管，出纳在加盖印鉴时未能得到有力的监控。（3）未建立支票购入、使用、注销的登记制度。（4）对账单由出纳从银行取得，提供了伪造对账单的可能。（5）凭证保管不善，会计已开好的7笔收汇转账单（记账联）被李敏隐匿，造成此收入无法记入银行存款日记账中。（6）发现问题追查不及时。在清理逾期未收汇时发现了3笔结汇收入未在银行日记账和余额调节表中反映，但由于人手较少未能对此进行专项清查,嘉信软件公司员工人数1000余人，年销售毛利2亿2千万，从事电子商务交易平台软件开发。利润大于零，年度经营现金流为负,全年新签合同保持20%的增长、员工人数同比增长；,良好的外部市场却产生企业亏损，这是典型的企业内部管控缺陷表现特征劳动生产率低下,讨论题（1）,讨论题（2）,讨论题：集团公司下属企业发生了财会人员欺诈2万元以及经营亏损20亿，对于集团高管而言哪一件事应该倾注更多精力？是否都属于资产安全问题？,企业内部控制可以通俗地理解为关于企业生产管理运行的规章制度和行为准则。企业内部控制的思想最早开始于18世纪，随着企业大规模化和资本大众化的进程，企业内部控制的要求应运而生，到了20世纪，随着股份制公司的建立和规模的扩大，所有权和经营权出现了分离，出现了组织、调节、制约和监督生产经营活动的一系列方法，为了纠错查弊，开始建立了比较简单的企业内部控制制度。这是企业内控体系建立的初始阶段最早的涉及企业内部控制的规范文档是1929年美国注册会计师协会和联邦储备委员会颁布的会计报表的验证1936年在独立公共会计师对会计报表审查一文中首次将企业内部控制定义为：为保护公司现金及其他资产的安全、检查账簿记录的准确性而在公司内部采取的各种手段和方法。在1949年美国注册会计师协会又将其修订为：内部控制是企业为保证企业财产的安全完整、检查会计资料的准确性和可靠性，提高企业的经营效率及贯彻既定的经营方针，所设计的总体规划和所采取的与总体规划相适应的一切措施和方法,00:21:12,9,一、内控的基本概念起源与发展,到了20世纪50年代，由于全球市场经济竞争的加剧，促使内部控制扩大到企业的各个领域，其内容也愈加丰富，1963年美国审计程序委员会在其发布的“审计程序23号文件”中，对内部控制的定义做了进一步的说明，首次将内部控制划分为内部会计控制和内部管理控制，1994年美国管理会计师协会在其内部控制结构中，将内控定义为：内部控制是这样一个整体系统，由管理者建立的旨在以一种有序和有效的方式开展公司的业务，确保其与管理政策和规章一致，保护资产，尽量保证记录的完整性和正确性1994年美国反欺诈财务报告委员会（COSO）制定完成的“内部控制整体框架”标志着现代企业内部控制体系的完整确立，奠定了现代企业内部控制的全新基础,00:21:12,10,一、内控的基本概念起源与发展,中国企业内部控制发展里程碑,00:21:12,11,一、内控的基本概念起源与发展,00:21:12,12,一、内控的基本概念起源与发展,内部控制方式,内部控制体系是企业领导人管控企业意志的集中体现，其效果反映了企业领导人的掌控能力、以及下属员工的执行能力,不同的领导人其统领手法以及风格的变化，影响着内部控制的内容及形式，但公司法人治理结构在其中起着核心作用,内部控制精要,13,保证资产安全和会计信息真实是企业内部控制发展的主线,内部控制要义,内部控制的目标呈现出多元化发展的趋势,会计控制和管理控制是企业内控的核心,00:21:12,13,一、内控的基本概念内控定义,一、内控的基本概念控制目标与控制内容,控制内容,业务流程操作规定,流程定义,环节任务分解,风险点识别,风险控制与应对预案,操作目标,00:21:12,14,一、内控的基本概念内控管理框架,企业内控管理框架,目标维度：战略目标、经营目标、合规目标、报告目标,要素维度：控制环境、风险评估、控制活动、信息与沟通、监控,结构维度：企业整体、分支机构、业务单位与业务单元、子公司,流程维度：任务制定、任务分解、任务操作、风险识别、风险应对,00:21:12,15,一、内控的基本概念内控管理框架,内控体系建设五要素,控制环境,风险评估,控制活动,信息与沟通,监督与反馈,控制环境。内部控制环境是企业实施内部控制的基础，影响着组织中员工的控制意识，为内部控制界定了规则和结构。一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等内部环境要素实施要点：（1）公司治理；（2）机构与管理职能；（3）内部控制政策；（4）人力资源政策；（5）风险管理体系；（6）内部审计制度；（7）企业文化；（8）管理手册,00:21:12,16,一、内控的基本概念内控管理框架,内控体系建设五要素,控制环境,风险评估,控制活动,信息与沟通,监督与反馈,2、风险评估。风险评估是企业科学系统识别、分析和评价影响企业各级操作目标实现的所有风险因素、局部风险因素或特定领域风险因素的过程。风险评估是企业了解风险和确定风险控制目标的依据，是企业识别控制环节和控制关键点的依据，是企业实施内部控制过程管理不可逾越的关键步骤风险评估要素实施要点：（1）风险控制目标；（2）当前风险水平（敞口）；（3）风险容忍度（风险偏好）；（4）关键风险；（5）风险识别、分析、评价的技术与方法；（6）风险应对,00:21:12,17,一、内控的基本概念内控管理框架,内控体系建设五要素,控制环境,风险评估,控制活动,信息与沟通,监督与反馈,3、控制活动。控制活动是指确保管理层的要求得以实施的政策及程序。企业根据风险评估结果，通过这些政策和程序确保采取必要的措施以应对影响企业业务操作目标实现的风险，将风险控制在可承受度之内。控制活动在整个企业内部的各个级别、各个职能展开。控制活动要素实施要点：（1）风险管理策略；（2）风险控制方案；（3）风险控制程序；,00:21:12,18,一、内控的基本概念内控管理框架,内控体系建设五要素,控制环境,风险评估,控制活动,信息与沟通,监督与反馈,4、信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，使得企业内部控制体系在上下游环节、相关业务的不同控制流程上都能得以平滑运行，互不干扰，发挥出集体效率。信息与沟通要素实施要点：（1）信息与沟通制度；（2）信息收集；（3）信息传递与沟通；（4）信息控制；（5）信息技术,00:21:12,19,一、内控的基本概念内控管理框架,内控体系建设五要素,控制环境,风险评估,控制活动,信息与沟通,监督与反馈,5、监督与反馈。监督与反馈是企业对内部控制体系建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并提议改进的过程。信息与沟通要素实施要点：（1）内部控制体系运转的监督与反馈制度；（2）内部控制有效性评价；（3）内部控制缺陷认定；（4）监督与反馈报告；（5）监测技术,00:21:12,20,一、内控的基本概念内控五要素相互关系,21,一、内控的基本概念内控管理原则,1、全面性原则内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项2、重要性原则内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域3、制衡性原则内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。另外，内部控制三层制约的机制要充分体现，这三层制约包括：执行层、内控管理层和审计监督层4、适应性原则内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整,00:21:12,22,一、内控的基本概念内控管理原则,5、成本效益原则内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制6、预防性原则建立内部控制体系必须突出预防为主思想，切实做到以预防为主，事先采取预防措施，防止风险发生，而不是发生风险后，再采取补救措施7、持续改进原则企业内部控制体系应通过建立、实施和改进，形成一个自我完善、持续改进的风险管理与内部控制的动态过程和长效机制8、合规性原则有效的合规管理是企业内部控制的基础，企业内部控制体系的建立首先必须满足合规性的要求,00:21:12,23,一、内控的基本概念内控管理原则,9、有效性原则内部控制机制不仅要设计合理，还应在设计时就应该考虑安排必要的监控措施和手段，以保障内部控制体系的运行有效10、独立性原则企业内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道11、权威性和优先性原则内部控制应当具有高度的权威性，任何人不得凌驾于内部控制的制约之上，内部控制存在的问题应当能够及时反馈和纠正。另外，在企业实施新业务或项目决策中应体现“内控优先”,00:21:12,24,一、内控的基本概念内控管理原则,12、可控性原则企业内部控制可改变可控风险的特征（例如风险的影响程度或频度），但不可以改变不可控风险的特征。也就是说，内部控制对可控风险可以产生直接的控制效果，对不可控风险则需要通过预先安排的控制预案实现得到危机来临时的损失最小化13、与管理过程相结合原则内部控制应当渗透到企业的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查14、风险评估先导性原则企业内部控制的建设和持续的变更改进一定是基于企业定期或不定性的风险评估的结果建议而实施的。或者说，企业对内部控制的设计和实施任何变更均应以所掌握的风险评估信息结果而作为内控行为导向性指南。风险评估是内控实施的决策基础,00:21:12,25,一、内控的基本概念内控体系建设的产出物,战略目标,经营目标,操作目标,业务流程管理,风险点识别,风险控制,内控体系建设,风险/损失事件库,控制管理规范,控制程序文件,风险控制文档,26,一、内控的基本概念内控体系建设的产出物,控制管理规范：企业内部控制管理规范主要解决内部控制组织执行问题，规范的内容包括了业务组织描述，业务操作目标、业务的边界或与其他组织或业务的关联、业务的输入输出描述控制程序文件：控制程序文件详细的描述了业务的流程、环节点、环节点的任务（岗位说明书）以及操作要求及规则风险控制文档：风险控制文档描述了各个业务流程上的风险点、风险发生的特征、风险敞口、风险发生的频率、风险应对的策略等风险/损失事件库：企业运营操作流程中历史上发生的各类风险事件（损失事件）的集合，其中描述了事件的定义，发生背景、类别、属性、损失程度等，管理策略，应对方案等,00:21:12,27,一、内控的基本概念内控与全面风险管理,风险管理内外部环境,风险管理战略,风险辨识与分析,企业内部控制,风险应对方法,信息交换与沟通,风险管理系统运行监控,全面风险管理,战略风险,财务风险,市场风险,法律风险,操作风险,内部控制,00:21:12,28,正确做事与做正确的事,抬头看路与埋头拉车,一、内控的基本概念内控与合规风险管理,合规风险管理,大合规/遵从外法和内法,小合规/仅遵从外法,合规作为内控的制约目标,00:21:12,29,一、内控的基本概念内控与操作风险管理,事先管理,员工绩效管理,内部控制,内控环境,内控目标,内控规则,合规风险管理,合规监测预警,风险暴露、经济资本、风险对冲,风险与控制自评估,操作风险/运营风险,事中管理,事后管理,沟通与监控,00:21:12,30,一、内控的基本概念内控与操作风险管理,内部控制与狭义合规及广义合规,内部控制与三道防线,内部控制与风险管理（你中有我、我中有你）,00:21:12,32,企业内部控制的体系与应用框架,内部控制的内容与应用框架,2,00:21:12,33,二、控制内容与应用框架为什么需要内控,00:21:12,34,二、控制内容与应用框架为什么需要内控,企业资产安全股东权益保护（三道防线）,法律法规使之不敢,职业道德使之不愿,内部控制使之不能,二、控制内容与应用框架内部控制支撑理论,内部控制是由企业董事会、经理阶层和其他员工实施的，为资产的安全性、营运的效率效果、财务报告的全面可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其支撑理论如下：,二、控制内容与应用框架内部控制支撑理论（1）,代理人悖论,一个没有受到完全监督的人有着从事不诚实或不合意行为的倾向,委托人与代理人之间思想和行为上的种种分歧形成了代理人悖论,经济人是具有理性的自利主义者，个人行为的基本动力是个人利益，其行为准则是既定目标的最优化,代理人悖论,经济人悖论,主观为自己、客观为别人,信任就是懒惰罗斯福,二、控制内容与应用框架内部控制支撑理论（1）,代理人悖论,X非效率理论,有限理性理论,囚徒困境,经济人悖论进一步说明只有在外部压力下才能使经济人的行为趋于最优化,囚犯A、B同时被指控犯有某一种罪行，他们的选择只有揭发或抗拒。检察官在他们分别隔离的情况下分别告知，若两人都揭发则每人判八年；若两人都抗拒则每人判两年；若一人揭发一人抗拒，揭发者者判一年、抗拒者判十年。作为经济人A、B该如何选择？,西蒙的有限理性理论认为，人的行为理性是有限的，不是完全的。完全的理性假设前提之一是可供选择的行为手段是已知的，结果也是已知的。完全的理性假设前提之二经济人有完全的知识和精密的计算能力。,莱宾斯基的X非效率理论指出，微观经济学所假设的利润极大化或成本极小化由于X非效率而不可能实现。大多数人在大多数时间内其行为是非极大化的，这主要源于人的天生惰性。只有当外部压力充分大时，才会想极大化靠近。,道德风险和信息不对称要求企业建立某种约束机制，以保障股东和其代理人的行为观点的尽可能一致性.,当委托人不能完全监督代理人的行为时，便存在一种风险：代理人可能做某些不合意的事,二、控制内容与应用框架内部控制支撑理论（2）,利益相关者理论,公司总产值最大化,股东财富最大化,经济附加值EVA最大化,公司利润最大化,企业价值最大化,股东价值最大化,二、控制内容与应用框架内部控制支撑理论（2）,利益相关者理论,股东投资人,政府监管当局,供应商其他服务者,企业员工,客户消费者,社会相关团体,利益相关者理论认为，企业应是利益相关者的企业，包括股东在内的所有利益相关者都对企业的生存和发展注入了一定的专用性投资，同时也分担了企业的一定经营风险，或为企业的经营活动付出了代价，因而都应该拥有企业的所有权,企业利益相关者的利益均衡,股东中心理论认为，股东是企业的所有者，企业的财产是由他们所投入的实物资本形成的，他们承担了企业的剩余风险，理所当然成为企业剩余索取权与剩余控制权的享有者,共赢才能长远,二、控制内容与应用框架内部控制支撑理论（3）,权变理论,权变理论要义,超Y理论（采用X或Y理论都有高效和低效的表现）,1、权变理论就是要把环境对管理的作用具体化，并使管理理论与管理实践紧密地联系起来。2、环境是自变量，而管理的观念和技术是因变量。3、权变管理理论的核心内容是环境变量与管理变量之间的函数关系就是权变关系,1、不同的人对管理方式的要求不同2、有人希望有正规化的组织与规章条例来要求自己的工作，而不愿参与问题的决策去承担责任。这种人欢迎以X理论指导管理工作。3、有的人却需要更多的自治责任和发挥个人创造性的机会，这种人则欢迎以Y理论为指导的管理方式。,二、控制内容与应用框架内部控制支撑理论（3）,领导权变理论,任何领导形态均可能有效，其有效性完全取决于是否与所处的环境相适应。影响领导者领导风格的环境因素归纳为三个方面：职位权力、任务结构和上下级关系。,费德勒模型,下属的“成熟度”对领导者的领导方式起重要作用。所以对不同“成熟度”的员工采取的领导方式有所不同，包括命令式、说服式、参与式和授权式。,情境领导理论,该理论认为只有当员工确切地知道如何达成组织目标时才能起到激励作用，领导应指明达成目标的途径，为下属实现目标扫清道路，创造条件。领导方式包括指示型、支持型、参与型和成就型,路径-目标理论,该模型将领导行为与参与决策联系在一起，由于认识到常规活动和非常规活动对任务结构的要求各不相同，领导者的行为必须加以调整以适应这些任务结构。领导风格包括独裁、磋商和群体决策。,领导者-参与模型,二、控制内容与应用框架内部控制支撑理论（4）,发展战略理论,愿景,战略目标,业务战略,职能战略,二、控制内容与应用框架内部控制支撑理论（4）,发展战略理论,企业竞争战略,需要在市场营销、研发技术、生产制造、人力资源、财务投资等方面采取何种策略和措施以支持企业愿景、战略目标、业务战略的实现？,企业未来要在哪些客户、哪些区域、哪些产品、哪些产业发展？怎样发展？,企业未来要达到一个什么样的发展目标,企业未来要去到哪里，成为一个什么样的企业,愿景,战略目标,业务战略,职能战略,业务流程再造应该创造核心竞争能力,二、控制内容与应用框架应用模型,战略目标、业务目标、流程目标、岗位目标,机制、能力,完成任务的操作序列,企业内部治理,达成目标的操作手法,目标,政策,策略,业务流程,方法/技术,内部控制体系,二、控制内容与应用框架内控覆盖面,内控体系对企业经营管理的全面覆盖,内控体系对企业经营管理的部分覆盖,根据企业内部控制体系建设的全面性原则，一个完整的企业内控系统应该覆盖企业经营管理的各个方面，无论是通过明显的控制文档规定了实现业务目标的操作流程规范，还是通过企业文化、社会道德标准形成的自我约束，规避含糊不清的操作标准是企业内部控制全面覆盖的精要,在内控体系建设中，那些在风险事件库支持下，通过控制规范、控制程序文件、风险控制文档建立起来的内控系统并非一次就可以实现全面的业务覆盖，有重点、有顺序的建立控制体系，首先在重要的业务条线上建立内控是合适的策略，也是内控建设重要性原则和适应性原则的体现,00:21:12,45,二、控制内容与应用框架内控覆盖面,组织架构,企业文化,资产管理,销售业务,社会责任,资金活动,发展战略,研究与开发,担保业务,工程项目,采购业务,人力资源,业务外包,财务报告,全面预算,合同管理,内部信息传递,信息系统,企业内控体系覆盖业务条线,00:21:12,46,00:21:12,47,二、控制内容与应用框架内控覆盖面,00:21:12,48,二、控制内容与应用框架内控覆盖面,00:21:12,49,二、控制内容与应用框架内控覆盖面,二、控制内容与应用框架控制类型,内部控制结构类型,不同的企业的经营规模、业务范围、竞争状况和风险水平适用的控制类型各有不同，当选择的控制类型与企业的实际情况不相适应时，就会出现控制不足或控制浪费的现象“环境活动双弱型”企业一般来说，存在着明显的控制不足现象，这是一个通常不值得推荐的类型，但“环境活动并重型”并一定能达到最好的控制效果,00:21:12,50,二、控制内容与应用框架应用框架,战略目标,操作目标,风险评估,控制程序,信息传递与沟通,控制效果监督与反馈,原因控制,过程控制,结果控制,00:21:12,51,二、控制内容与应用框架应用框架,具体控制类型包括：接触控制、信息/数据正确性控制、制衡控制、合规控制、效率/效益控制、安全性控制、欺诈控制、流程控制、检查控制、实物控制、行为控制、限额控制、预算控制、审计控制等,操作控制类型,预防型,引导型,探测型,纠错型,00:21:12,52,二、控制内容与应用框架应用框架,00:21:12,53,内部控制强调流程管理，但目标管理也是企业管理的重要方法，二者应用的场合是什么？,内部控制是流程管理还是目标管理？,00:21:12,54,建立企业内部控制的程序、步骤和方法,3,企业内部控制的体系与应用框架,三、实现内控的步骤程序方法建设步骤与流程,控制管理规范,控制程序文件,风险控制文档,RCSA风险与控制自评估体系,00:21:12,55,三、实现内控的步骤程序方法业务条线划分,内部控制体系覆盖的业务条线应包括但不限于如下业务条线,00:21:12,56,三、实现内控的步骤程序方法风险点识别,风险点识别是建立企业内部控制体系的难点与核心，理想的风险点识别是参考一个已有的同质企业风险事件库，但由于积累与成本的原因，往往难以实现识别风险点的方法论或基本原理如下：,目标导向风险识别：组织、项目、业务流程均有目标。任何可能危及部分目标获得的事件都被识别为风险。目标导向是COSO的基础。（集装箱案例）情景导向风险识别：在情景分析中，创造出不同的情境。情景可以是达到目的的不同方式，或作用力交互作用的分析。如市场、灾害。任何触发不希望情景的事件都被识别为风险。分类导向风险识别：此处的分类是可能风险源的一个事故结果。依据分类和实践的知识，编辑一个问题集合。对问题的回答反映出风险,00:21:12,57,三、实现内控的步骤程序方法风险点识别,经验导向风险识别：经验化为知识库，如对常见风险作成检查表，进行对照。在一些行业，可以列出已知风险。表中的每项风险可以有相应的对策。流程导向风险识别：对企业或组织的主要业务流程进行分解，发现每个流程的，各个环节是否存在风险因素，可同时进行业务流程优化。事件导向风险识别：基于已发生事件（基于理赔、专项调查），针对风险事件的资料情况，找出共性的风险因素。专业机构或专门组织分析完成，需大量占有事件资料。,00:21:12,58,三、实现内控的步骤程序方法风险点识别,风险点识别方法,调查问卷法,头脑风暴法,检查表法,专家分析DELPHI法,决策树/事故树法,预先风险分析法,情景分析法,因果分析（蝶形图）法,故障模式及影响分析,成本效益分析法,关键路径分析法,00:21:12,59,三、实现内控的步骤程序方法风险矩阵,三、实现内控的步骤程序方法风险矩阵,风险点风险发生的影响程度,三、实现内控的步骤程序方法风险矩阵,风险点风险发生的概率,三、实现内控的步骤程序方法风险矩阵,散点图或气泡图说明：X轴为影响，Y轴为可能性，通过X,Y来定位气泡所在的位置，并通过风险值来确定气泡大小。管控程度的值决定气泡的颜色（1,2,3,4,5分别对应深红，浅红，黄，淡绿，深绿）。,三、实现内控的步骤程序方法BORDA序数法,一种群决策方法，简单来说可以等价于平均序，举例如下A，B，C三人竞选，选民5人，其偏好分别表示如下选民1：ABCBorda得分为：A：3；B：2；C：1；选民2：BACBorda得分为：B：3；A：2；C：1；选民3：ACBBorda得分为：A：3；C：2；B：1；选民3：ACBBorda得分为：A：3；C：2；B：1；选民5：BCABorda得分为：B：3；C：2；A：1；综合5个选民的总Borda分：A=3+2+3+3+1=12，B=2+3+1+1+3=10，C=1+1+2+2+2=8最终ABC，所以，A当选,R3R1R5R2R4,三、实现内控的步骤程序方法风险控制方法设计,从管理的角度可以将企业的操作风险分为三类：一是可以通过程序化的业务管理就可以消除和避免的风险；二是可以转嫁给其他参与者的风险；三是在整个企业内积极管理的风险。内部控制主要用于管理第一类风险；而对于第二类风险和第三类风险，可以通过对冲机制（如买保险）或风险拨备经济资本配置等方法进行管理因此企业内部控制的风险管控目标应是尽可能通过有秩序的流程化管理，消除那些因内部管理控制缺陷而带来的损失，这是企业全面风险管理中已知风险的一部分，对冲风险不在内部控制风险应对的范畴内针对不同的业务内容和业务流程，有选择的使用各类控制措施，风险应对上可采用（1）风险规避；（2）风险降低；（3）风险转移；（4）风险承受等策略。,00:21:12,65,三、实现内控的步骤程序方法风险控制方法设计,00:21:12,66,三、实现内控的步骤程序方法风险控制方法设计,企业常见控制措施,三、实现内控的步骤程序方法良好内控体系特征,1及时内部控制体系应及早发现潜在或实际偏差以期减少损失。管理人员应对潜在问题作出预测，确保一旦出现问题就能够采取有效控制措施加以阻止并（或）予以确认和纠正2节约内部控制体系应作出“合理保证”，即以合理的较低费用实现预期的控制目标。效率与节约必须与控制的有效性一并考虑，然而，如果出于对安全、环境、敏感问题或提高信誉的考虑，某些控制应予以批准3责任感内部控制体系应促使员工对所肩负的任务表现出责任感。管理人员需要内部控制体系以使其尽职尽责，因此，他们应谙悉内部控制的目的及操作,00:21:12,68,三、实现内控的步骤程序方法良好内控体系特征,4配置内部控制措施应配置于最能发挥效力之处，如适当地置于关键过程之前、当中或结束时。5灵活性内部控制体系应能够适应因时间关系所引起的程序变化，必须经过修订才能继续有效的内部控制体系则不足取。6确认起因如果控制不但能发现问题，而且还能追本溯源，则有助于迅速实施纠正措施。7恰当控制应符合管理的需要及保证经营目标的实现,00:21:12,69,三、实现内控的步骤程序方法典型控制,00:21:12,70,五部委内控应用指引把控制内容分成十八大项，可分为三大类,三、实现内控的步骤程序方法控制建立示范（1）,建立某大型企业的销售控制体系,1、控制目标：a。保证企业的资产安全b。提高销售效率,2、销售流程,收取客户订单,给客户确定资信,签订销售合同,装运或交付货物、设备或劳务,开具销售和租赁业务帐单并记录,维护和监督应收帐款,建立有效的收帐程序,记录和控制现金收入,00:21:12,71,三、实现内控的步骤程序方法控制建立示范（1）,A类风险点识别：可能在没有有效的客户承诺的情况下制造和装运产品，或履行劳务制造订单上的产品、数量、售价、付款条件、销售或运送地址可能有误可能根据无效