企业内部控制实施问题与案例分析-夏文贤.ppt

内部控制实施问题与案例分析夏文贤 内部控制和风险 内部控制实施问题 3 内部控制 系统 动态的过程 内部控制的定义 内部控制是一个过程内部控制由企业董事会 监事会 经理层和全体员工来实施内部控制为实现企业经营目标提供合理的保证内部控制是 由企业董事会 监事会 经理层和全体员工实施的旨在实现控制目标的过程 内部控制的目标是合理保证企业经营管理合法合规 资产安全 财务报告及相关信息真实完整 提高经营效率和效果 促进企业实现发展战略 内部控制系统框架 内部监督 信息沟通 控制活动 风险评估 内部环境 企业战略 经营效益和效果 财务报告及管理信息真实完整 资产的安全完整 遵守国家法律法规和有关监管要求 董事会 监事会 经理层 全体人员 保证信息能及时有效地沟通的流程来自高级管理层的信息政策及流程培训道德标准IT信息系统 对内部 外部影响企业的因素的评估集团层面的风险评估流程层面的风险评估 对内控制度设计充分性 执行有效性进行监督 达到控制目标的活动和经营程序授权批准日常操作流程及系统职责分离会计对帐财务和管理软件中的自动控制 企业内部控制的道德意识 是 来自高层的声音 道德标准高级管理层价值观公司治理 风险 风险定义 可能对目标的实现产生影响的事件发生的不确定性 在经营管理活动中 风险常常被定义为生产运营的弊端 失误或失败 从而给组织带来危机的可能性 风险分类方法较多 一般的分类标准 可以分为 战略风险 财务风险 市场风险 运营风险 法律风险等 风险因素 事件影响目标业绩的内外部事件 风险事件或环境负面影响实体目标业绩的可能性 机遇事件产生及正面影响目标业绩的可能性 环境影响风险物化可能性的环境或状态 正面 向上 负面 向下 风险因素 事件 环境 机遇及风险定义 事件有正面效应 负面效应或两者皆有具有负面效应的事件意味着会产生风险具有正面效应的事件可以抵消不利的影响或产生有利机会 周边环境与风险产生的可能性紧密相关例如 劳动力未经培训可能导致频繁发生事故 机遇支持创造价值或使价值持续管理层创造时机来支持战略或目标设置的程序 该行为可阐述为抓住机遇 具有负面影响的事件会抵制价值创造或者侵蚀已有价值具有负面影响的事件可能来源于看似存在正面效应的机会 如 客户需求量超过其生产能力 7 过度的风险资产的损失业务决策不流畅不守法 丑闻 过度的控制 官僚作风 生产力 复杂性 周期 非增值性活动 内部控制与风险管理的关系 风险和控制的平衡 8 剩余风险 风险敞口 多坏 多快 财务声誉法律法规健康安全环保相关利益者 可接受 趋势更好更坏没变化 固有风险 风险管理有效性 多好 多快 预防或积极准备应对及恢复提升 内部控制与风险管理的关系 风险敞口 9 通过业务流程的梳理识别确定业务风险点 通过风险影响和发生可能性的两维评估确定风险严重程度 进行风险排序 确定管理的优先顺序 采用穿行测试及执行有效性测试评估内部控制的设计和执行有效性 明确公司的经营战略与股东价值目标 在经营战略之下确定公司的风险管理战略 通过内控自我评估体系的建立 定期评估内部控制的有效性 针对识别的风险点确定相应的控制目标与控制活动 并形成内控矩阵 通过对评估薄弱环节的不断优化和改进不断提升公司的风险防范和管理能力 业务价值和业务战略 发展组织风险管理战略 Collect Collect Project Project 识别关键业务风险 Analyze Analyze Portfolio Portfolio 风险的评估和衡量 Prioritize Prioritize 明确控制目标与控制活动 持续不断改进 定期的自我评估与监控 结合现有控制措施确定经有效控制后的剩余风险 并制定风险对应策略 内部控制实施是一个系统 动态 持续改进的过程 内控有效性评估 剩余风险评估 10 内部控制实施路线图 信息化建设 11 内控实施路线图 内控梳理对标 成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范 内控梳理对标 负责内控建立健全 有效实施 和自评 经理层业务运营部门 董事会 日常监督负责组织协调内控的建立实施及日常工作 对内控体系运行进行内部独立检查 向董事会报告监督检查中发现的内控重要和重大缺陷 内审或内控自评部门 监督内控的有效实施和内控自我评价情况 审计委员会 其他专业委员会 内部独立监督 日常监督 12 内控实施路线图 内控梳理对标 续 成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范 内控梳理对标 风险识别和管理工具 企业风险地图 13 内控实施路线图 内控整改固化 记录内控缺陷设计整改方案完善内控制度更新内控文件 内控整改固化 建立内部控制缺陷认定汇总表记录内部控制缺陷成因 表现形式和影响程度以控制目标为核心 打破部门和流程局限 设计适合企业运营特点的整改方案明确整改责任部门与责任人明确整改完成期限追踪整改进度保留整改证据 14 内控实施路线图 内控整改固化 续 记录内控缺陷设计整改方案完善内控制度更新内控文件 内控整改固化 内部控制手册 业务流程图与流程文件 15 内控实施路线图 内控整改固化 续 记录内控缺陷设计整改方案完善内控制度更新内控文件 内控整改固化 内控活动与制度对接 16 内控实施路线图 内控自评 制定监督制度开展自我评价跟踪缺陷整改编制自评报告 内控自评 内控实施路线图 内控审计 进行模拟审计提供所需证据出具管理声明披露审计报告 内控审计 更系统化的测试方法 有利提高内部团队水平更专业化的整改建议 有利完善内部控制环节更客观化的缺陷评定 有利了解审计师结论更全面化的程序预演 有利资料准备与效率提高 18 内部控制实施路线图 信息化建设 19 内部控制的局限性 即使是设计最好 运行最出色的内部控制程序在其执行过程中也可能会受到多重因素的限制而不能达到其初衷下列因素能削弱或逃避内部控制的效力 意识的不专注理解错误 判断失误疏忽大意 不熟悉情况分心 疲乏等越权篡谋 20 实现企业风控工作信息化的路线图 10 企业信息化的成熟度 0 企业风险及内控工作的成熟度 10 4 风险智能管理阶段 3 自动化风险管理阶段 2 自动化管控阶段 1 初始阶段 识别当前软件中的重要控制点并进行测试采用简单的工具 对重要的数据 比如财务数据和业务数据 进行分析 引入系统化的框架体系 全面识别企业使用的ERP系统中存在的自动化控制点并对其有效性进行测试 采用信息平台 对企业的风险管理流程 包括风险识别 风险评估 内控测试等环节 进行固化和自动化 将企业的风险管理系统和ERP系统进行有效的集成 形成风险管理和业务运营的有机融合 内部控制实施存在的问题 对内控的认识及重视程度仍存不足缺乏良好内控环境 内控体系沦为摆设内控实施缺乏有效的组织支持实施内控仅定位于满足监管要求未与时俱进 持续完善优化内控内控体系与已有管理体系的融合需持续深化内控体系与管理体系割裂 出现 两张皮 现象内控工作及成果定位不清 重复工作 造成管理资源浪费 内部控制实施存在的问题 重要领域内部控制仍需持续提升优化制度建立与有效实施缺陷整改与持续优化以信息化手段固化内控规范 以系统控制逐步替代人工控制内控评价形式化 质量不高评价范围不全面 未开展实质性工作 缺陷认定标准随意性强内控报告形式化 模式化程度高内控审计局限于财务报告内控 内控审计专业水平不高 内部控制案例分析 内部控制案例 人事和信息 案例一 虚假简历人事纠纷2010年6月 王某向一家公司求职时 伪造了简历和学历签订了劳资合同 担任该公司的部门经理一职 不久后 公司发现王某难以胜任这一职位 进行了岗位调整 但在新的岗位上 王某还是被认为不能胜任 2011年10月 公司确认王某当时求职时存在简历和学历造假问题 决定对其予以开除 事后 王某要求公司赔偿经济损失 王某坚持认为 求职时其并没有伪造简历和学历 公司单方面解除劳动合同 应予给予经济补偿 并出具解除劳动关系的证明 内部控制案例 人事和信息 案例一 虚假简历人事纠纷由于不适当人员招聘 入职程序引起 聘用不适当人员风险劳资纠纷法律诉讼风险 内部控制的完善招聘初期让求职者当场签字确认简历的真实性对拟招录人员进行背景调查 背景调查的时间和内容 设置试用期编制员工手册入职手续完备 依法签订合同 请员工签收员工手册 将各项记录及时归档适当的入职前培训 内部控制案例 人事和信息 案例二 造假吃空饷冒领工资2011年 李某应聘到一家劳务派遣公司担任助理职务 主要负责为公司员工及派遣出去的劳务工办理入职 离职手续 编制工资表 代发工资 代缴社保等工作 2012年7月 李某在编制员工工资单时 私自增加了亲戚 小刘 的姓名和银行卡号 并为其编制了8000元的工资发放额 当她将工资表交给财务经理时 财务经理没有发现异常 很快地就签名确认 此后 李某胆子也逐渐大了起来 在工资单中加入多人名单 累计冒工资20多万元 内部控制案例 人事和信息 案例二 造假吃空饷冒领工资由于缺乏核对和信息沟通不畅引起 公司财产被侵占风险 内部控制的完善设置其他岗位对工资表进行复核 与财务部门的工资总额 人力资源部门的人员名单进行核对 强化工资审核审批权限和责任关键岗位轮岗机制避免内控执行中人情代替规则 内部控制案例 人事和信息 案例三 虚假打折侵吞营业款不少商家为提升客户满意度会给销售终端的店长或负责人一定的打折权限 以处理各种突发状况 某公司在核对郭某负责的门店的打折权限使用情况时发现异常 调查后证实店长通过虚假打折 折让的方法侵占营业款 具体手法是 若存在使用现金消费的顾客时 郭某在销售单据的客户联上开具实际成交金额 但在财务收据联上开具的是打折后的金额 差价被据为己有 另外发现 该店的员工均为郭某亲戚和朋友 内部控制案例 人事和信息 案例三 虚假打折侵吞营业款由于人员串通 缺乏审核和信息沟通不畅引起 公司财产被侵占风险 内部控制的完善加强授权管理 包括授权额度 授权方式管理 定期复核加强单据核对 业务部门和财务部门信息沟通改进信息系统控制改进人员安排 降低人员串通的可能性 内部控制案例 财务资产 案例四 虚假合同挪用公款2010年 业务部总监刘某在明知宋某的A公司没有供货能力的情况下 代表所服务的B公司与宋某的公司签订购货合同 并预付货款1370万元 至今尚有1200万元未归还 2010年 刘某代表B公司支付1500万元购入一批制药材料 并擅自以B公司的名义出具一份委托函要求供货方将提货单转至A公司名下 导致1500万元材料全部损失 2010年 在明知A公司没有供货能力的情况下 B公司下属子公司谎称A公司可以出货 并安排子公司与A公司签订购货合同 预付货款400万元 至今尚有300万元未归还 内部控制案例 财务资产 案例四 虚假合同挪用公款公司财务管理 采购管理 授权管理存在缺陷 同时缺乏监督机制导致 公司资金因虚假合同被挪用侵占 内部控制的完善加强合同管理 包括合同签订 合同款项支付等加强授权管理 严格控制特别授权 对于重大的业务和事项实行集体决策审批或者联签制度加强合同履行过程管理 对合同履行产生的资金流和实物进行有效的审批 监督与管理加强内部监督 确保内部审计的独立性 内部控制案例 财务资产 案例五 利用时间差截留挪用资金公司员工的报销均又雷某负责 经审核批准后由雷某向银行提供数据包以便转账 雷某在经手报销时 篡改数据包 通过打时间差 将后面报销款先达到自己预先设立的账户 过一段时间后再从自己账户划账给真正的报销人 四年间 共向其个人账户打入400多万元 公司的未到期银行承兑汇票由雷某管理 在不到1年的时间里 雷某私自利用财务印章 共将27张未到期承兑汇票提前贴现至个人账户 到期时再从个人账户专制公司账户 涉及票据金额达1900万元 内部控制案例 财务资产 案例五 利用时间差截留挪用资金公司与银行缺乏有效核对机制 经审核数据被修改 缺乏有效票管理制度导致 公司资金被挪用侵占 内部控制的完善加强财务数据的汇总 复核 改善财务资金岗位的相互牵制等公司数据与银行回单定期逐项勾对复核加强信息系统控制 经审核数据不能任意更改建立票据登记管理 定期盘点 完善票据贴现审批程序 加强财务印章管理等 内部控制案例 财务资产 案例六 计提核销数多项应收款某公司2014年应收账款 其他应收款计提坏账准备64项 涉及金额6300多万元 当年核销应收款88项 涉及金额2300多万元 核销的其他应收款涉及的类型庞杂 单项金额小 此外 还有大量的个人借款 个别代扣社保款等 内部控制案例 财务资产 案例六 计提核销多项应收款公司信用管理 应收款管理存在缺陷导致 公司资金信用风险 内部控制的完善建立完善的信用管理政策 对客户充分进行资信评估 加强授信管理 控制坏账率加强应收款催收管理加强坏账管理 对坏账的核销建立完备的审批程序并及时处理 防止账外资金 内部控制案例 销售采购 案例七 临时采购的漏洞某公司建立客户服务中心 需统一采购电脑设备 根据公司采购流程 应进行统一的招投标集中采购 具体流程包括 供应商资格审核 招标 采购 验收等 因公司主业为家电生产销售公司 电脑属临时设备采购 公司之前未建立合格供应商名单 采购部门负责人请IT部门推荐供应商名单 整个招标过程严格按公司既定程序进行 最终由IT部门抽样对购入的电脑进行验收 但服务中心运行不到半年 频繁出现电脑死机问题 进而发现采购的电脑大部分为改装后的低端机和翻新机 内部控制案例 财务资产 案例七 临时采购的漏洞公司采购过程中不相容职务未严格分离和招标资质为未严格审核导致 公司运营风险 内部控制的完善寻找供应商和采购验收不相容职务应严格分离加强供应商资质审核