《胡教授的内部控制》PPT课件

2009年售前工作总结和2010年工作规划,全面风险管理之企业内部控制认证风险管理师培训,EnterpriseInternalControl,1,一、企业内部控制的基本理论二、企业内部控制的内容及应用框架三、实现企业内部控制的步骤、程序、方法四、企业内部控制的发展与应用挑战五、企业内部控制的IT系统建设,目录,2,全面风险管理之企业内部控制,3,一、内控的基本理论起源与发展,4,企业内部控制可以通俗地理解为关于企业生产管理运行的规章制度和行为准则。企业内部控制的思想最早开始于18世纪，随着企业大规模花和资本大众化的进程，企业内部控制的要求应运而生，到了20世纪，随着股份制公司的建立和规模的扩大，所有权和经营权出现了分离，出现了组织、调节、制约和监督生产经营活动的一系列方法，为了纠错查弊，开始建立了比较简单的企业内部控制制度。这是企业内控体系建立的初始阶段最早的涉及企业内部控制的规范文档是1929年美国注册会计师协会和联邦储备委员会颁布的会计报表的验证1936年在独立公共会计师对会计报表审查一文中首次将企业内部控制定义为：为保护公司现金及其他资产的安全、检查账簿记录的准确性而在公司内部采取的各种手段和方法。在1949年美国注册会计师协会又将其修订为：内部控制是企业为保证企业财产的安全完整、检查会计资料的准确性和可靠性，提高企业的经营效率及贯彻既定的经营方针，所设计的总体规划和所采取的与总体规划相适应的一切措施和方法,一、内控的基本理论起源与发展,到了20世纪50年代，由于全球市场经济竞争的加剧，促使内部控制扩大到企业的各个领域，其内容也愈加丰富，1963年美国审计程序委员会在其发布的“审计程序23号文件”中，对内部控制的定义做了进一步的说明，首次将内部控制划分为内部会计控制和内部管理控制，1994年美国管理会计师协会在其内部控制结构中，将内控定义为：内部控制是这样一个整体系统，由管理者建立的旨在以一种有序和有效的方式开展公司的业务，确保其与管理政策和规章一致，保护资产，尽量保证记录的完整性和正确性1994年美国反欺诈财务报告委员会（COSO）制定完成的“内部控制整体框架”标志着现代企业内部控制体系的完整确立，奠定了现代企业内部控制的全新基础,一、内控的基本理论起源与发展,中国企业内部控制发展里程碑,一、内控的基本理论基本概念与框架,7,7,保证资产安全和会计信息真实是企业内部控制发展的主线,内部控制要义,内部控制的目标呈现出多元化发展的趋势,会计控制（含财务控制）是企业内控的核心,一、内控的基本理论控制目标与控制内容,控制内容,业务流程操作规定,流程定义,环节任务分解,风险点识别,风险控制与应急预案,操作目标,一、内控的基本理论内控管理框架,9,企业内控管理框架,目标维度：战略目标、经营目标、合规目标、报告目标,要素维度：控制环境、风险评估、控制活动、信息与沟通、监控,结构维度：企业整体层面、分支机构、业务单位、子公司,流程维度：任务制定、任务分解、任务操作、风险识别、风险应对,一、内控的基本理论内控管理框架,内控体系建设五要素,控制环境,风险评估,控制活动,信息与沟通,监督与反馈,控制环境。内部控制环境是企业实施内部控制的基础，影响着组织中员工的控制意识，为内部控制界定了规则和结构。一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等内部环境要素实施要点：（1）公司治理；（2）机构与管理职能；（3）内部控制政策；（4）人力资源政策；（5）风险管理体系；（6）内部审计制度；（7）企业文化；（8）管理手册,一、内控的基本理论内控管理框架,内控体系建设五要素,控制环境,风险评估,控制活动,信息与沟通,监督与反馈,2、风险评估。风险评估是企业科学系统识别、分析和评价影响企业各级操作目标实现的所有风险因素、局部风险因素或特定领域风险因素的过程。风险评估是企业了解风险和确定风险控制目标的依据，是企业识别控制环节和控制关键点的依据，是企业实施内部控制过程管理不可逾越的关键步骤风险评估要素实施要点：（1）风险控制目标；（2）当前风险水平（敞口）；（3）风险容忍度（风险偏好）；（4）关键风险；（5）风险识别、分析、评价的技术与方法；（6）风险应对,一、内控的基本理论内控管理框架,内控体系建设五要素,控制环境,风险评估,控制活动,信息与沟通,监督与反馈,2、控制活动。控制活动是指确保管理层的要求得以实施的政策及程序。企业根据风险评估结果，通过这些政策和程序确保采取必要的措施以应对影响企业业务操作目标实现的风险，将风险控制在可承受度之内。控制活动在整个企业内部的各个级别、各个职能展开。控制活动要素实施要点：（1）风险管理策略；（2）风险控制方案；（3）风险控制程序；,一、内控的基本理论内控管理框架,内控体系建设五要素,控制环境,风险评估,控制活动,信息与沟通,监督与反馈,2、信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通，使得企业内部控制体系在上下游环节、相关业务的不同控制流程上都能得以平滑运行，互不干扰，发挥出集体效率。信息与沟通要素实施要点：（1）信息与沟通制度；（2）信息收集；（3）信息传递与沟通；（4）信息控制；（5）信息技术,一、内控的基本理论内控管理框架,内控体系建设五要素,控制环境,风险评估,控制活动,信息与沟通,监督与反馈,2、监督与反馈。监督与反馈是企业对内部控制体系建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并提议改进的过程。信息与沟通要素实施要点：（1）内部控制体系运转的监督与反馈制度；（2）内部控制有效性评价；（3）内部控制缺陷认定；（4）监督与反馈报告；（5）监测技术,一、内控的基本理论内控管理框架,建立企业内控体系的基本原则,1、全面性原则内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项2、重要性原则内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域3、制衡性原则内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。另外，内部控制三层制约的机制要充分体现，这三层制约包括：执行层、内控管理层和审计监督层4、适应性原则内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整,一、内控的基本理论内控管理框架,建立企业内控体系的基本原则,5、成本效益原则内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制6、预防性原则建立内部控制体系必须突出预防为主思想，切实做到以预防为主，事先采取预防措施，防止风险发生，而不是发生风险后，再采取补救措施7、持续改进原则企业内部控制体系应通过建立、实施和改进，形成一个自我完善、持续改进的风险管理与内部控制的动态过程和长效机制8、合规性原则有效的合规管理是企业内部控制的基础，企业内部控制体系的建立首先必须满足合规性的要求,一、内控的基本理论内控管理框架,建立企业内控体系的基本原则,9、有效性原则内部控制机制不仅要设计合理，还应在设计时就应该考虑安排必要的监控措施和手段，以保障内部控制体系的运行有效10、独立性原则企业内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道11、权威性和优先性原则内部控制应当具有高度的权威性，任何人不得凌驾于内部控制的制约之上，内部控制存在的问题应当能够及时反馈和纠正。另外，在企业实施新业务或项目决策中应体现“内控优先”,一、内控的基本理论内控管理框架,建立企业内控体系的基本原则,12、可控性原则企业内部控制可改变可控风险的特征（例如风险的影响程度或频度），但不可以改变不可控风险的特征。也就是说，内部控制对可控风险可以产生直接的控制效果，对不可控风险则需要通过预先安排的控制预案实现得到危机来临时的损失最小化13、与管理过程相结合原则内部控制应当渗透到企业的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查14、风险评估先导性原则企业内部控制的建设和持续的变更改进一定是基于企业定期或不定性的风险评估的结果建议而实施的。或者说，企业对内部控制的设计和实施任何变更均应以所掌握的风险评估信息结果而作为内控行为导向性指南。风险评估是内控实施的决策基础,一、内控的基本理论内控体系建设的产出物,战略目标,经营目标,操作目标,业务流程管理,风险点识别,风险控制,内控体系建设,风险/损失事件库,控制管理规范,控制程序文件,风险控制文档,一、内控的基本理论内控体系建设的产出物,控制管理规范：企业内部控制管理规范主要解决内部控制组织执行问题，规范的内容包括了业务组织描述，业务操作目标、业务的边界或与其他组织或业务的关联、业务的输入输出描述控制程序文件：控制程序文件详细的描述了业务的流程、环节点、环节点的任务（岗位说明书）以及操作要求及规则风险控制文档：风险控制文档描述了各个业务流程上的风险点、风险发生的特征、风险敞口、风险发生的频率、风险应对的策略等风险/损失事件库：企业运营操作流程中历史上发生的各类风险事件（损失事件）的集合，其中描述了事件的定义，发生背景、类别、属性、损失程度等，管理策略，应对方案等,一、内控的基本理论内控与全面风险管理,风险管理内外部环境,风险管理战略,风险辨识与分析,企业内部控制,风险应对方法,信息交换与沟通,风险管理系统运行监控,全面风险管理,战略风险,财务风险,市场风险,法律风险,运营风险,内部控制,一、内控的基本理论内控与合规风险管理,合规风险管理,大合规/遵从外法和内法,小合规/仅遵从外法,合规作为内控的制约目标,一、内控的基本理论内控与操作风险管理,23,事先管理,员工绩效管理,内部控制,内控环境,内控目标,内控规则,合规风险管理,合规监测预警,风险暴露、经济资本、风险对冲,风险与控制自评估,操作风险/运营风险,事中管理,事后管理,沟通与监控,全面风险管理之企业内部控制,24,二、控制内容与应用框架内控覆盖面,25,内控体系对企业经营管理的全面覆盖,内控体系对企业经营管理的部分覆盖,根据企业内部控制体系建设的全面性原则，一个完整的企业内控系统应该覆盖企业经营管理的各个方面，无论是通过明显的控制文档规定了实现业务目标的操作流程规范，还是通过企业文化、社会道德标准形成的自我约束，规避含糊不清的操作标准是企业内部控制全面覆盖的精要,在内控体系建设中，那些在风险事件库支持下，通过控制规范、控制程序文件、风险控制文档建立起来的内控系统并非一次就可以实现全面的业务覆盖，有重点、有顺序的建立控制体系，首先在重要的业务条线上建立内控是合适的策略，也是内控建设重要性原则和适应性原则的体现,二、控制内容与应用框架内控覆盖面,26,组织架构,企业文化,资产管理,销售业务,社会责任,资金活动,发展战略,研究与开发,担保业务,工程项目,采购业务,人力资源,业务外包,财务报告,全面预算,合同管理,内部信息传递,信息系统,企业内控体系覆盖业务条线,二、控制内容与应用框架内控覆盖面,27,二、控制内容与应用框架内控覆盖面,28,二、控制内容与应用框架内控覆盖面,二、控制内容与应用框架控制类型,内部控制结构类型,控制环境主导型,控制活动主导型,环境及活动并重型,环境及活动双弱型,不同的企业的经营规模、业务范围、竞争状况和风险水平适用的控制类型各有不同，当选择的控制类型与企业的实际情况不相适应是，就会出现控制不足或控制浪费的现象“环境活动双弱型”企业一般来说，存在着明显的控制不足现象，这是一个通常不值得推荐的类型，但“环境活动并重型”并一定能达到最好的控制效果,二、控制内容与应用框架应用框架,31,战略目标,操作目标,风险评估,控制程序,信息传递与沟通,控制效果监督与反馈,具体控制类型包括：接触控制、信息/数据正确性控制、制衡控制、合规控制、效率/效益控制、安全性控制、欺诈控制、流程控制、检查控制、实物控制、行为控制、预算控制、审计控制等,二、控制内容与应用框架应用框架,具体控制类型包括：接触控制、信息/数据正确性控制、制衡控制、合规控制、效率/效益控制、安全性控制、欺诈控制、流程控制、检查控制、实物控制、行为控制、限额控制等,操作控制类型,预防型,引导型,探测型,纠错型,全面风险管理之企业内部控制,33,三、实现内控的步骤程序方法建设步骤与流程,控制管理规范,控制程序文件,风险控制文档,RCSA风险与控制自评估体系,三、实现内控的步骤程序方法业务条线划分,35,内部控制体系覆盖的业务条线应包括但不限于如下业务条线,三、实现内控的步骤程序方法风险点识别,36,风险点识别是建立企业内部控制体系的难点与核心，理想的风险点识别是参考一个已有的同质企业风险事件库，但由于积累与成本的原因，往往难以实现识别风险点的方法论或基本原理如下：,目标导向风险识别：组织、项目、业务流程均有目标。任何可能危及部分目标获得的事件都被识别为风险。目标导向是COSO的基础。情景导向风险识别：在情景分析中，创造出不同的情境。情景可以是达到目的的不同方式，或作用力交互作用的分析。如市场、战争。任何触发不希望情景的事件都被识别为风险。分类导向风险识别：此处的分类是可能风险源的一个事故结果。依据分类和实践的知识，编辑一个问题集合。对问题的回答反映出风险,三、实现内控的步骤程序方法风险点识别,37,经验导向风险识别：经验化为知识库，如对常见风险作成检查表，进行对照。在一些行业，可以列出已知风险。表中的每项风险可以有相应的对策。流程导向风险识别：对企业或组织的主要业务流程进行分解，发现每个流程的，各个环节是否存在风险因素，可同时进行业务流程优化。事件导向风险识别：基于已发生事件（基于理赔、专项调查），针对风险事件的资料情况，找出共性的风险因素。专业机构或专门组织分析完成，需大量占有事件资料。,三、实现内控的步骤程序方法风险点识别,风险点识别之检查表法,通过对照预先编辑和的问题集表格，发现风险所在。可作为检查对照的“经验”来源包括：规范或标准；业务规则手册质量手册；设计文件(商务计划书、可行性研究报告、初步设计)；以往类似工艺的风险分析报告；详细的业务模块工艺装置描述，带控制点的业务流程图工艺流程图；本企业或所在行业历史上出现的类似风险事件的总结报告；本企业或行业类似风险事件的理赔、处罚、自我承担等的损失分析报告，获得的机会收益分析报告；本企业和行业重大风险、关键风险清单；本企业风险管理历史；行业风险的统计；理论研究成果等,三、实现内控的步骤程序方法风险点识别,风险点识别方法,调查问卷法,头脑风暴法,检查表法,专家分析DELPHI法,决策树/事故树法,预先风险分析法,情景分析法,因果分析（蝶形图）法,故障模式及影响分析,成本效益分析法,关键路径分析法,三、实现内控的步骤程序方法风险控制方法设计,40,从管理的角度可以将企业的操作风险分为三类：一是可以通过程序化的业务管理就可以消除和避免的风险；二是可以转嫁给其他参与者的风险；三是在整个企业内积极管理的风险。内部控制主要用于管理第一类风险；而对于第二类风险和第三类风险，则一般可以通过对冲机制（如买保险）或经济资本配置等方法进行管理因此企业内部控制的风险管控目标应是尽可能通过有秩序的流程化管理，消除那些因内部管理控制缺陷而带来的损失，这是企业全面风险管理中已知风险的一部分，对冲风险不在内部控制风险应对的范畴内针对不同的业务内容和业务流程，有选择的使用各类控制措施，并在道德约束的配合下实现内部控制意义下的风险平抑,三、实现内控的步骤程序方法风险控制方法设计,41,三、实现内控的步骤程序方法良好内控体系特征,42,1及时内部控制体系应及早发现潜在或实际偏差以期减少损失。管理人员应对潜在问题作出预测，确保一旦出现问题就能够采取有效控制措施加以阻止并（或）予以确认和纠正2节约内部控制体系应作出“合理保证”，即以合理的较低费用实现预期的控制目标。效率与节约必须与控制的有效性一并考虑，然而，如果出于对安全、环境、敏感问题或提高信誉的考虑，某些控制应予以批准3责任感内部控制体系应促使员工对所肩负的任务表现出责任感。管理人员需要内部控制体系以使其尽职尽责，因此，他们应谙悉内部控制的目的及操作,三、实现内控的步骤程序方法良好内控体系特征,43,4配置内部控制措施应配置于最能发挥效力之处，如适当地置于关键过程之前、当中或结束时。5灵活性内部控制体系应能够适应因时间关系所引起的程序变化，必须经过修订才能继续有效的内部控制体系则不足取。6确认起因如果控制不但能发现问题，而且还能追本溯源，则有助于迅速实施纠正措施。7恰当控制应符合管理的需要及保证经营目标的实现,三、实现内控的步骤程序方法控制建立示范（1）,建立某大型企业的销售控制体系,1、控制目标：a。保证企业的资产安全b。提高销售效率,2、销售流程,收取客户订单,给客户确定资信,签订销售合同,装运或交付货物、设备或劳务,开具销售和租赁业务帐单并记录,维护和监督应收帐款,建立有效的收帐程序,记录和控制现金收入,三、实现内控的步骤程序方法控制建立示范（1）,A类风险点识别：可能在没有有效的客户承诺的情况下制造和装运产品，或履行劳务制造订单上的产品、数量、售价、付款条件、销售或运送地址可能有误可能根据无效订单支付销售佣金产品或劳务可能售给一未经核准或资信不足的客户，结果导致帐款无法收回装运的产品可能与客户订单不符，并可能由客户转为个人使用在制造和装运之前可能无法查明和更正订单的错误（如产品、数量、价格）不遵守政府规定可能导致巨额罚款、处罚及或出口优先权的丧失可能接受、处理了管理部门不能接受的价格及或条件的订单销货订单可能丢失、销毁或更改。保密资讯可能被利用，给公司造成损失可能无法表明拖欠订单，结果导致客户不满及或撤销订单销售和租赁合同在定价、条件、处罚条款或资信风险方面可能为管理部门所不能接受,三、实现内控的步骤程序方法控制建立示范（1）,、订单必须予以记录，记录的依据只能是客户的订货订单或其他证明客户正式订货的证据。参照风险：，、在接受或装运新客户订货之前必须对其资信加以审查。参照风险：、客户要求的货物或劳务，如未作专门规定或与客户购货承诺不符，须经财务管理部门批准之后才可处理。参照风险：、接受订单的正式确认书必须及时送至客户，除非合理的业务惯例另有其他规定。参照风险：、订单在送交生产及或装运之前，必须有适当的证明并全面审核。需经审查的项目包括：有关的合同格式，购货订单条件，装运和支付条件，资信批准，适用税赋单据及计算，价格总金额，产品的适当性以及是否遵守联邦，州及地方政府的法律和规定及出口管制要求。参照风险：，折扣和折让如超出事业总部集团管理人员所规定的数额，需经市场营销部和财务管理部门批准。参照风险：、客户订单信息必须严加保护，未经授权不得接触。参照风险：、未结清订单必须定期予以审查，以查明有无拖欠订单。拖欠订单应予以研究和解决。参照风险：、在接受销售和租赁合同之前，必须制定审查和批准政策和程序，并编制成文件。,三、实现内控的步骤程序方法控制建立示范（2）,某大型企业的内部控制制度,全面风险管理之企业内部控制,48,四、内控的发展与应用挑战内控目标的提升,49,内控以实现财务目标为目的,内控以实现绩效目标为目的,内控以成熟度模型为控制标杆,长期以来，建立一个统一的内控框架，是的企业内部的（流程）控制纳入到一个标准的衡量指标下，一直是人们追逐的目标，这就是成本或以利润为控制目标的内控体系,如果将内控目标集成为一个打分卡，或用EVA及RAROC作为统一的绩效衡量指标，那么可以将内控目标统一为绩效目标，建立完整的价值绩效分解体系将为内控建设提供明确的目标,资产安全、运行效率、合规、信息真实这四大内控目标的实现涉及到内控环境、控制活动等方方面面，这些与企业运行机制的成熟度有直接的关联，沿着成熟度方