企业内部控制与全面风险管理(PPT 102页)

企业内部控制与全面风险管理,2019/12/5,1,企业风险管理的必要性,不得不说的故事：安然公司巴林银行回顾事件发生的经过了解引致公司倒闭或严重损失的风险从案例中吸取的教训,合俊玩具中航油云大科技,1为什么我们需要内部控制？,企业规模从“用眼睛管理”到“一眼望不到边”竞争环境进入了“复赛”的企业经济环境速度、不确定性、社会责任代理问题代理层级的增加内部控制合规经营、提升管理、持续发展,2019/12/5,3,竞争环境与企业的发展,市场环境的变化竞争环境的变化企业规模我们该做什么：精细化管理,股东（委托人）企业所有者,委托代理关系,经理（代理人）企业经营者,聘用,信息不对称,代理成本,基本的委托代理问题,公司面临的其他治理问题,公司的社会责任问题,污染排放,偷逃税,不正当竞争,操纵市场,内部审计协会列出的9大风险因素.,2019/12/5,7,管理层的能力(Competenceofmanagement)管理层的道德观(Integrityofmanagement)近期系统变化(Recentchangesinsystems)组织规模(Sizeofunit)资产流动性(Liquidityofassets)变革(Change)复杂程度(Complexity)快速增长(Rapidgrowth)规章制度是否健全(Levelofregulation),2019/12/5,8,(风险宇宙TM),资信,制度,知识产权,财务,流动资产与信贷,资本结构,市场,财务报告,营运,法律,生产程序,营商环境,市场结构,民风与文化,管治,策略,董事会活动,交易,并购,变卖,声誉,道德,社区责任,风险管理,董事会及管理层业绩,组织结构,监察与沟通,执行,筹划与开发,利益有关方,供应商,政府,顾客,股东,经济情况,国家情况,市场变化,竞争对手,人才资源,雇员,沟通,有形资产,机器、厂房与土地,其他有形资产,负债,合约,法规,市场与销售,生产及流通,商品/服务开发,流程,估值与选择买家,评估与甄选,尽职调查,并购后整合,资信管理,运营,组织与监察,硬件,软件,网络,无形资产,知识管理,信息,现金管理,对冲,融资,股东资本,债务,商品,利率,外汇,税务,会计,合规,风险宇宙,2关于风险与风险管理,2019/12/5,9,10,风险与回报的平衡,风险,调整风险后的回报,企业风险,风险的动态观企业风险持续的流动于主体之内风险的组合观风险贯穿于企业，在各个层级和单元风险识别是规避风险的基础发现一旦发生将会影响主体的潜在事项并把风险控制在风险容量之内风险管理力求实现一个或多个不同类型但相互交叉的目标它只是实现结果的一种手段，并不是结果本身。目的是降低不确定的经营结果,风险识别和评估的思路,2019/12/,企业风险识别CompanyLogo,12,为了有效地控制风险则需要对风险进行评估一个企业都面对各种不同的内部和外部的风险，必须对这些风险进行识别和评估风险识别和评估就是确定和分析企业实现其目标的过程中的相关风险风险识别和评估的一个前提条件就是已确立目标,这些目标在各个层次上相互关联并且在内部是一致的由于经济、行业、政策法规和经营条件持续地变化,因此需要建立机制以及时确定和处理与这些变化相关的特定风险,风险识别的思路,2019/12/,企业风险识别CompanyLogo,13,哪些风险？,企业该做什么？,企业做了什么？,剩余风险？,原有风险的变化和新的风险对早期设计的内部控制系统施加压力.,2019/12/5,14,在这个充满风险的世界里，企业该做些什么,遵守和控制过程,企业组织的变化,内部因素,外部因素,降低成本的要求,工艺流程的改进和变化,新的技术,企业风险识别,15,风险策略避免禁止交易减少或限制交易量离开市场转移套期保险策略性联盟其他分担风险的安排,小心管理投资广泛保护的安排订价反映风险程度可接受自我保险预留储备增加监督,风险处理策略,影响程度,大,小,2019/12/5,16,3企业内部控制基本规范,2019/12/5,17,我国内部控制的发展与国际比较,美国内部控制理念方法的示范和内部控制立法分别由COSO报告和萨班斯法案来实现。COSO报告传达的信息代表了内部控制的理念和方法，对企业内部控制实务起示范作用，但本身并不具备强制效力。萨班斯法案则代表立法。我国的情况从我国的国情和内部控制发展的历程看，我国往往采用内部控制框架与立法两者合一的方式。,2019/12/5,18,2008年6月28日,财政部、证监会、审计署、银监会、保监会五部委联合发布。,监督检查：政府相关监管部门，对企业建立与实施内部控制的情况进行监督检查。,外审要求：具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计，出具审计报告,责任主体：董事会。具体措施：内部控制的建立健全和有效实施；定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告,对上市公司要求：应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告。,我国的企业内部控制基本规范,财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范2010年4月，颁布配套指引2011年1月1日，境内外上市公司执行2012年1月1日，上交所、深交所主板上市的公司执行,2019/12/5,20,2019/12/5,21,整合风险管理框架：基本理念,风险组合观点管理层考虑单个风险如何相互关联；管理层从业务单元层面和实体层面决定风险组合。,COSO框架,框架的本质建议一个共同的语言，为企业风险管理提供清晰的方向和指南。,四个目标类别战略目标经营目标报告目标合规目标,考虑组织的所有层面企业层面部门和分公司业务单元层面,原则,企业建立与实施内部控制，应当遵循下列原则：（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。,2019/12/5,22,要素,企业建立与实施有效的内部控制，应当包括下列要素：（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。（五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。,2019/12/5,23,2019/12/5,24,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位1,单位2,单位3,单位4,传达管理理念-责任-义务-职权-人力资源-员工发展,设定管理基调-诚信-道德观念-能力,要素1:控制环境,控制要素,控制类别,内部环境通常发现的问题,治理结构不完善，不能对管理层进行独立有效的监督与控制风险控制意识薄弱公司组织架构与公司规模、业务不匹配没有一套严格、统一的授权体系财务及信息系统管理分散没有明晰的企业文化没有岗位说明书以及合理的员工绩效考核办法,2019/12/5,26,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位1,单位2,单位3,单位4,管理/控制变化,确定并分析对实现企业目标有影响的风险,要素2:风险评估,控制要素,控制类别,风险评估通常发现的问题,缺乏企业整体目标，包括战略目标的确定与更新下属机构与总部目标不一致，导致对风险识别的不一致缺乏风险识别与预警机制以及对新市场、新产品/服务的风险评估缺乏机制来进行定期系统的风险评估,内部环境,风险评估,控制活动,信息与沟通,内部监督,2019/12/5,28,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位1,单位2,单位3,单位4,管理层发展方针贯彻的程序直接的职能或活动管理物质的控制-职权的分离,要素3:控制活动,控制要素,控制类别,实现目标的管理机制,控制活动通常发现的问题,缺乏全面预算管理缺乏有效项目管理缺乏有效的IT控制着重预防型控制而忽略检查型控制缺乏对控制的文档记录,2019/12/5,30,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位1,单位2,单位3,单位4,要素4:信息和沟通,控制要素,控制类别,经营和财务信息的准确性和及时性,获取内部和外部的信息,组织的沟通,信息与沟通通常发现的问题,信息系统无法满足财务、业务需要、向管理层及时提供正确相关的信息信息系统的设计与公司战略不一致公司上传下达不力部门或地区之间沟通不力,内部环境,风险评估,控制活动,信息与沟通,内部监督,2019/12/5,32,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位1,单位2,单位3,单位4,要素5:监控,控制要素,控制类别,连续性的行动和一次性的活动,反映严重问题的系统,监控系统的评价,内部监督通常发现的问题,缺乏对内部控制的定期评估内审部门没有独立性，不能有效进行监督工作内审工作范围与计划不合理内部控制缺陷不能及时得到纠正,内部环境,风险评估,控制活动,信息与沟通,内部监督,2019/12/5,34,企业风险管理,内部控制规范及指引的主要内容与合规性要求,内部控制基本规范内部控制指引-企业内部控制应用指引（已发布18号）、企业内部控制评价指引、企业内部控制审计指引重要的合规性要求,2019/12/5,35,内部环境类指引,组织架构发展战略人力资源社会责任企业文化,2019/12/5,36,控制活动类指引,资金活动采购业务资产管理销售业务工程项目研究与开发担保业务业务外包财务报告,2019/12/5,37,控制手段类指引,全面预算合同管理内部信息传递信息系统,2019/12/5,38,2019/12/5,39,企业内部控制应用指引第1号组织架构,第一章总则第二章组织架构的设计第三章组织架构的运行,股东大会,董事会,经理,监事会,公司职工(工会),选举,选举,聘任,选举,监督,监督,党组织,信息不对称,多层次的委托代理问题,机会主义,2019/12/5,41,中国公司法和治理准则构建的公司治理结构,股东大会,股东,董事会,战略,审计,提名,薪酬与考核,监事会,经理人员,证监会,报告,产生,监督,2019/12/5,42,中国公司法对公司机关权力构架的设计,股东大会,董事会,经理（高级职员）,监事会,股东大会是公司的权力机构。董事长是公司的法定代表人。,公司职工(工会),选举,选举,聘任,选举,监督,监督,负责,负责,党组织,2019/12/5,43,企业内部控制应用指引第2号发展战略,第一章总则（应对关注的风险）第二章发展战略的制定第三章发展战略的实施,从财务角度审视企业的战略与风险,净资产收益率（所有者权益报酬率）总资产收益率,净资产回报率,总资产周转率,现金量,应收款周期,库存周转率,固定资产周转率,资产负债表的数据,毛利率(折旧与税前的利润),收入税率,损益表的数据,净利润率,应付款帐龄,负债资产比率,流动资产负债比率,流动现金负债比率,财务杠杆系数,企业靠什么挣钱杜邦财务分析体系,净资产收益率=销售净利率总资产周转率权益乘数（赚得多）（转得快）（借的多）,杜邦分析体系,银行,超市,名酒,如何评价这些白酒企业,他们想如何取胜？,理解企业风险,风险的动态观企业风险持续的流动于主体之内风险的组合观风险贯穿于企业，在各个层级和单元风险识别是规避风险的基础发现一旦发生将会影响主体的潜在事项并把风险控制在风险容量之内,综合风险水平是否能接受,综合风险杠杆财务杠杆X经营杠杆,2019/12/5,56,企业内部控制应用指引第3号人力资源,第一章总则（应对关注的风险）第二章人力资源的引进与开发第三章人力资源的使用与退出,2019/12/5,57,企业内部控制应用指引第4号社会责任,第一章总则（应对关注的风险）第二章安全生产第三章产品质量第四章环境保护与资源节约第五章促进就业与员工权益保护,2019/12/5,58,企业内部控制应用指引第5号企业文化,第一章总则（应对关注的风险）第二章企业文化的建设第三章企业文化的评估,2019/12/5,59,企业内部控制应用指引第6号资金活动,第一章总则（应对关注的风险）第二章筹资第三章投资第四章营运,2019/12/5,60,企业内部控制应用指引第7号采购业务,第一章总则（应对关注的风险）第二章购买第三章付款,2019/12/5,61,企业内部控制应用指引第8号资产管理,第一章总则（应对关注的风险）第二章存货第三章固定资产第四章无形资产,2019/12/5,62,企业内部控制应用指引第9号销售业务,第一章总则（应对关注的风险）第二章销售第三章收款,2019/12/5,63,企业内部控制应用指引第10号研究与开发,第一章总则（应对关注的风险）第二章立项与研究第三章开发与保护,2019/12/5,64,企业内部控制应用指引第11号工程项目,第一章总则（应对关注的风险）第二章工程立项第三章工程招标第四章工程造价第五章工程建设第六章工程验收,2019/12/5,65,企业内部控制应用指引第12号担保业务,第一章总则（应对关注的风险）第二章调查评估与审批第三章执行与监控,2019/12/5,66,企业内部控制的完善：以担保业务为例,第一章总则第二章调查评估与审批第三章执行与监控,2019/12/5,67,担保业务应当关注的风险,对担保申请人的资信状况调查不深，审批不严或越权审批，可能导致企业担保决策失误或遭受欺诈。对被担保人出现财务困难或经营陷入困境等状况监控不力，应对措施不当，可能导致企业承担法律责任。担保过程中存在舞弊行为，可能导致经办审批等相关人员涉案或企业利益受损。,2019/12/5,68,担保业务的审批,指定相关部门负责办理担保业务，对担保申请人进行资信调查和风险评估企业在对担保申请人进行资信调查和风险评估时，应当重点关注以下事项：（一）担保业务是否符合国家法律法规和本企业担保政策等相关要求。（二）担保申请人的资信状况，一般包括：基本情况、资产质量、经营情况、偿债能力、盈利水平、信用程度、行业前景等。（三）担保申请人用于担保和第三方担保的资产状况及其权利归属。（四）企业要求担保申请人提供反担保的，还应当对与反担保有关的资产状况进行评估。企业对担保申请人出现以下情形之一的，不得提供担保：（一）担保项目不符合国家法律法规和本企业担保政策的。（二）已进入重组、托管、兼并或破产清算程序的。（三）财务状况恶化、资不抵债、管理混乱、经营风险较大的。（四）与其他企业存在较大经济纠纷，面临法律诉讼且可能承担较大赔偿责任的。（五）与本企业已经发生过担保纠纷且仍未妥善解决的，或不能及时足额交纳担保费用的。建立担保授权和审批制度采取合法有效的措施加强对子公司担保业务的统一监控企业为关联方提供担保的，与关联方存在经济利益或近亲属关系的有关人员在评估与审批环节应当回避。对境外企业进行担保的，应当遵守外汇管理规定，并关注被担保人所在国家的政治、经济、法律等因素。被担保人要求变更担保事项的，企业应当重新履行调查评估与审批程序。,2019/12/5,69,担保业务的日常控制,根据审核批准的担保业务订立担保合同担保经办部门应当加强担保合同的日常管理，定期监测被担保人的经营情况和财务状况加强对担保业务的会计系统控制及时收集、分析被担保人担保期内经审计的财务报告等相关资料，持续关注被担保人的财务状况、经营成果、现金流量以及担保合同的履行情况，积极配合担保经办部门防范担保业务风险加强对反担保财产的管理，妥善保管被担保人用于反担保的权利凭证，定期核实财产的存续状况和价值，发现问题及时处理，确保反担保财产安全完整。建立担保业务责任追究制度妥善保管担保合同、与担保合同相关的主合同、反担保函或反担保合同，以及抵押、质押的权利凭证和有关原始资料,2019/12/5,70,企业内部控制应用指引第13号业务外包,第一章总则（应对关注的风险）第二章承包方选择第三章业务外包实施,2019/12/5,71,企业内部控制应用指引第14号财务报告,第一章总则（应对关注的风险）第二章财务报告的编制第三章财务报告的对外提供第四章财务报告的分析利用,2019/12/5,72,企业内部控制应用指引第15号全面预算,第一章总则（应对关注的风险）第二章预算编制第三章预算执行第四章预算考核,2019/12/5,73,企业内部控制应用指引第16号合同管理,第一章总则（应对关注的风险）第二章合同的订立第三章合同的履行,2019/12/5,74,企业内部控制应用指引第17号内部信息传递,第一章总则（应对关注的风险）第二章内部报告的形成第三章内部报告的使用,2019/12/5,75,企业内部控制应用指引第18号信息系统,第一章总则（应对关注的风险）第二章信息系统的开发第三章信息系统的运行与维护,企业内部控制评价指引,第一章总则第二章内部控制评价的内容第三章内部控制评价的程序第四章内部控制缺陷的认定第五章内部控制评价报告,2019/12/5,76,2019/12/5,77,2019/12/5,78,2019/12/5,79,2019/12/5,80,企业内部控制审计指引,第一章总则第二章计划审计工作第三章实施审计工作第四章评价控制缺陷第五章完成审计工作第六章出具审计报告第七章记录审计工作,2019/12/5,81,5谁对企业内部控制负责?,董事会负责内部控制的建立健全和有效实施经营管理层负责组织领导企业内部控制的日常运行监事会对董事会建立与实施内部控制进行监督审计委员会审查内控,监督实施和自我评价,协调审计及其他.内部审计机构或其他授权监督机构负责内部控制有效性的监督检查,是主要监督工作实施者,企业内部控制基本规范,内部控制，是由董事会、监事会、经理层和全体员工共同实施的旨在实现控制目标的过程。,合理保证企业经营管理合法合规,促进企业实现发展战略,提高经营效率和效果,资产安全,财务报告及相关信息真实完整,6企业如何落实和合规的执行内部控制指引,执行内部控制规范的关键任务如何通过执行内部控制指引实现企业风险管理的持续改进,2019/12/5,84,执行内控规范的关键任务,时间表2011年1月1日起在境内外同时上市的公司施行2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行在此基础上，择机在中小板和创业板上市公司施行执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师发现在内部控制审计过程中注意到的企业非财务报告内部控制重大缺陷，应当提示投资者、债权人和其他利益相关者关注。达到基本内部控制要求,2019/12/5,85,内部控制的持续改进-从汉谟拉比法典说起,Page,86,这偶然吗？,沿用两千年的法典,汉谟拉比的文治武攻,内部控制的持续改进,Page,87,RISK风险,Control控制,通过管理程序或活动减少风险,可量化，可衡量，可以达到的业务目标,Objective目标,可能影响业务目标实现的事件,2019/12/5,88,企业目标,风险和内部控制的关系,确定目标,评估风险,分析控制,目标,风险和内部控制,2019/12/5,89,企业目标、风险和公司治理、内部控制的关系,确定目标,评估风险,行动计划/责任分配,分析控制,目标、风险和公司治理、内部控制,重点之一：风险评估,内部环境,风险评估,控制活动,信息与沟通,内部监督,内部环境,风险评估,控制活动,重点之二：建立公司层面控制,确立控制目标，确认关键控制，形成关键控制方档，包括框架描述和控制矩阵,重点之三：建立健全业务层面控制的步骤,记录涉及的制度办法、以及实