内部控制框架与设计.ppt

企业内部控制新体系与设计企业内部控制规范解读与实施,10922864,31May2020,InternalControlinBusinessEnterprises,2,讲座大纲,上：企业内部控制规范解读与实施CH1企业内部控制的新特点CH2企业内部控制五大目标CH3企业内部控制五大要素CH4企业内部控制的局限性,31May2020,InternalControlinBusinessEnterprises,3,下：企业内部控制设计与操作CH5企业内控设计理论CH6企业内部控制设计方法CH7典型业务控制设计CH8案例分析,31May2020,InternalControlinBusinessEnterprises,4,危险的风险管理世界内部控制的新特点,法国兴业银行的内控遗产,电脑天才盖维耶尔搞垮法国兴业银行,31May2020,InternalControlinBusinessEnterprises,5,危险的风险管理世界内部控制的新特点,从2006年后期起，为了追求盈利并展示自己非凡的市场嗅觉，“电脑高手”科维尔凭借其熟知中后台控制手段的优势，通过伪造文件和邮件、盗用系统密码、篡改数据等手段，来构造虚拟的逆向交易，使原先需实质对冲的投资组合从表面上看来已相互对冲，从而掩盖了巨大的投资仓位和风险额度。2007年上半年，科维尔预期欧洲股票市场将会下跌，他开始大笔做空股市，并因此为银行赚取了巨额利润(他本人并未从违规交易中牟利)。但从2008年初开始，由于美联储大幅降息，加上考虑到历史上全球股市在1月份涨多跌少，因此，他又转为做多股市，并在欧洲各大股指期货上累积了500亿欧元的头寸。这一巨大的投资仓位已远超法兴银行自身的市值。结果全球股市在次贷危机的影响下跌势凶猛，科维尔的豪赌直接导致法兴银行高达72亿美元的亏损。这一亏损额相当于导致当年巴林银行(9.16亿英镑的巨额亏损)倒闭的交易亏损额的5倍。,31May2020,InternalControlinBusinessEnterprises,6,邯郸农行被盗案,2007/4/145100万元巨款，堆在一起是什么感觉？就算都是百元大钞，叠在一起也有50米高，总重量将近两吨，可是，这笔谁都没办法一下搬动的巨款，居然从河北邯郸市农业银行的金库里消失的无影无踪，这起银行盗窃大案，震惊全国，当中的种种细节波云诡异，迷雾重重，如此离奇的案件究竟是怎么发生的？,马向景,任晓峰,31May2020,InternalControlinBusinessEnterprises,7,邯郸农行被盗案,银行忽视对员工的思想教育和问题排查，是发生案件的源头。银行管理制度的缺失和形同虚设，是发生这起案件的漏洞。银行管理责任落实和追究不到位，是造成案件的祸根。在外人看来，银行有严密的管理体系，每项业务、每个部位都有人负责管理，应该万无一失。,31May2020,InternalControlinBusinessEnterprises,8,邯郸农行被盗案,5100万元金库巨款被盗案件之所以发生，农业银行邯郸分行负有不可推卸的责任，随着两名犯罪嫌疑人的落网，6天之后，农业银行总行也通报了对邯郸农行盗窃案的处理决定。责令农行河北省分行行长瞿建耀引咎辞职；主管会计工作的副行长邓振国、主管保卫工作的纪委书记徐跃生予以免职；邯郸分行现金管理中心在岗员工下岗接受审查。同时受到免职处理的还有邯郸分行行长、主管会计的副行长以及主管保卫工作的副行长；邯郸分行现金管理中心正、副主任也被免职。,31May2020,InternalControlinBusinessEnterprises,9,内部控制的号角在全球吹响,美国萨班斯奥克斯利法案用法律强制性手段要求上市公司以会计信息真实与完整为线索提交企业内控机制及报告体系。英国公司治理综合法典指导意见(TurnbullGuidance)的目的是帮助那些在美国证监会（SEC）注册的非美国企业应对内部控制要求，这些企业可选择采用该指导意见作为其内控框架，而SEC也认可该指南在评估内部控制有效性方面的权威性。加拿大安大略证券委员会之Multi-lateralInstrument52-109（与SOX302相似）和52-111（与SOX404相似）要求企业与年报一同提交相关内部控制报告。,31May2020,InternalControlinBusinessEnterprises,10,CH1企业内部控制新特点,31May2020,InternalControlinBusinessEnterprises,11,CH1企业内部控制概述,企业内部控制定义企业内部控制特点企业内部控制发展企业内部控制现状,31May2020,InternalControlinBusinessEnterprises,12,中国企业内部控制标准体系,基本规范和相关具体规范制定的详细解释和说明，主要是为某些特殊行业、特殊企业、特定内控程序提供操作性强的指引,31May2020,InternalControlinBusinessEnterprises,13,企业内部控制定义,内部控制是由企业董事会（决策、治理机构）、管理层和全体员工共同实施的、旨在合理保证企业战略、经营的效率和效果、财务报告及管理信息的真实、可靠和完整、资产的安全完整、遵循国家法律法规和有关监管要求的一系列控制活动。,31May2020,InternalControlinBusinessEnterprises,14,企业内部控制特点原则,内部控制由组织中各个层级的人员共同实施，从企业负责人，到各个业务分部、职能部门的负责人，直至企业每一个普通员工，都对实施内部控制负有责任。,31May2020,InternalControlinBusinessEnterprises,15,企业内部控制特点方法,内部控制在形式上表现为一整套相互监督、相互制约、彼此联结的控制方法、措施和程序，这些方法、措施和程序有助于及时识别和处理风险，促进企业实现战略发展目标，提高经营管理水平、信息报告质量、资产管理水平和法律遵循能力。,31May2020,InternalControlinBusinessEnterprises,16,内部控制框架三维体系的实质含义,31May2020,InternalControlinBusinessEnterprises,17,CH2企业内部控制目标,31May2020,InternalControlinBusinessEnterprises,18,CH2企业内部控制目标,战略目标营运目标报告目标资产目标合规目标,31May2020,InternalControlinBusinessEnterprises,19,企业内部控制的目标1/5,促进实现发展战略（战略目标）战略目标要求企业将近期利益与长远利益结合起来，在企业经营管理中努力作出符合战略要求、有利于提升可持续发展能力和创造长久价值的选择。,31May2020,InternalControlinBusinessEnterprises,20,企业内部控制的目标2/5,促进提高经营管理效果效率（营运目标）它要求企业结合自身所处的特定的经营、行业和经济环境，通过健全有效的内部控制，不断提高劳动活动的盈利能力和管理效率。,31May2020,InternalControlinBusinessEnterprises,21,企业内部控制的目标3/5,促进提高信息报告质量（报告目标）可靠的信息报告为企业管理层提供适合其既定目的的准确而完整的信息，支持管理层的决策和对营运活动及业绩的监控；同时，保证对外披露的信息报告的真实、完整，有利于提升企业的诚信度和公信力，维护企业良好的声誉和形象。报告目标要求企业通过内部控制，保证信息报告的真实、完整、可靠。,31May2020,InternalControlinBusinessEnterprises,22,企业内部控制的目标4/5,促进维护资产安全完整（资产目标）资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题，是企业可持续发展的物质基础。良好的内部控制，应当为资产安全完整提供扎实的制度保障。,31May2020,InternalControlinBusinessEnterprises,23,企业内部控制的目标5/5,促进国家法律法规有效遵循（合规目标）守法和诚信是企业健康发展的基石。逾越法律的短期发展终将付出沉重代价。合规性目标要求企业必须将发展置于国家法律法规允许的基本框架之下，在守法的基础上实现自身的发展。,31May2020,InternalControlinBusinessEnterprises,24,CH3企业内部控制五大要素,31May2020,InternalControlinBusinessEnterprises,25,2-1内部环境,企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应。它还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。,正直&道德价值胜任能力的承诺董事会&审计委员会管理层理念&经营风格组织结构权限与责任的分配人力资源政策&程序,31May2020,InternalControlinBusinessEnterprises,26,2-2目标制定,根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中，其他相关目标是指除战略目标之外的其他三个目标，其制定应与企业的战略相联系。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。企业风险管理就是提供给企业管理者一个适当的过程，既能够帮助制定企业的目标，又能够将目标与企业的任务或预期联系在一起，并且保证制定的目标与企业的风险偏好相一致。,战略目标是企业的高层次目标，与企业的任务和预期相联系并支持企业的任务和预期。经营目标是指企业经营的有效性和效率，包括业绩目标和盈利性目标，根据管理者对企业结构和经营选择的不同而变化。报告目标指企业报告的有效性，包括内部和外部报告，既涉及财务信息，也涉及非财务信息。合法性目标是指企业是否符合相关的法律和法规。,31May2020,InternalControlinBusinessEnterprises,27,2-3事项识别,不确定性的存在，即管理者不能确切地知道某一事项是否会发生、何时发生或者事项的结果，使得企业的管理者需要对这些事项进行识别。而潜在事项对企业可能有正面的影响、负面的影响或者两者同时存在。有负面影响的事项是企业的风险，要求企业的管理者对其进行评估和反应,风险是指某一对企业目标的实现可能造成负面影响的事项发生的可能性。对企业有正面影响的事项，或者是企业的机遇，或者是可以抵消风险对企业的负面影响的事项。机遇可以在企业战略或目标制定的过程中加以考虑，以确定有关行动抓住机遇。可能潜在地抵消风险的负面影响的事项则应在风险的评估和反应阶段予以考虑。,31May2020,InternalControlinBusinessEnterprises,28,2-4风险评估,风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。对于风险的评估应从企业战略和目标的角度进行。,首先，应对企业的固有风险进行评估。固有风险是指企业没有采用任何管理措施可能使企业面临的风险。确定对固有风险的风险反应模式就能够确定对固有风险的管理措施。其次，管理者应在对固有风险采取有关管理措施的基础上，对企业的残存风险进行评估。残存风险是指管理者采取有关的管理措施后仍旧存在的风险。,31May2020,InternalControlinBusinessEnterprises,29,2-5风险反应,风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险，降低风险发生的可能性或降低风险对企业的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。对于每一个重要的风险，企业都应考虑所有的风险反应方案，为风险反应方案的选择提供广泛的空间，这也是对现状提出挑战。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。,31May2020,InternalControlinBusinessEnterprises,30,2-6控制活动,确保实现组织目标以及对达成目标过程的风险进行管理的政策和程序通常包括两个要素：确定应该做什么的一个政策和影响该政策的一系列程序。可以是手工操作的或自动化的，预防式的或发现式的，高层次的或细节式的,31May2020,InternalControlinBusinessEnterprises,31,2-7信息与沟通,信息获取外部&内部信息，并衡量绩效向适当的人及时提供信息，使得他们能够完成分派的工作开发/修改信息系统以支撑公司战略管理层支持&信息系统所需的资源沟通责任的有效沟通建立对遭受怀疑的不恰当事项的报告渠道对整个业务流程沟通的充分性（这将对财务报告产生影响）对外部第三方沟通的适当追踪,31May2020,InternalControlinBusinessEnterprises,32,2-8监控,内部控制系统需被监督。监控是评价期间内部控制业绩质量的进程。监督是由适当的人员，在适当及时的基础下，评估控制的设计和运作情况的过程。它是对企业内部控制整体框架及其运行情况的跟踪、监测和调节，以自始至终确保其有效性。企业可以通过两种方式对风险管理进行监控持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内各管理层面和各部门持续得到执行。,31May2020,InternalControlinBusinessEnterprises,33,2-8监控,监控还包括对企业风险管理的记录，对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。企业风险管理的内容没有记录并不意味着风险管理无效或无法对风险管理进行评估。但是，适当的记录通常会使风险管理的监控更为有效果和有效率。当企业管理者打算向外部相关方提供关于企业风险管理效率的报告时，他们应考虑为企业风险管理设计一套记录模式并保持有关的记录,31May2020,InternalControlinBusinessEnterprises,34,2-8监控持续的监督活动,持续的监督活动在营运过程中发生，它包括例行的管理和监督活动，以及其他员工为履行其职务所采取的行动。管理阶层取得内部控制系统持续发挥功能的资料，当营运报告、财务报告与他们所得到的资料有大偏离时，可对报告提出质疑；来自外界团体的沟通，可以验证内部信息的正确性，并能及时反映问题的所在；适当的组织机构及监督活动，可用来辨识缺失；各个职务的分离，使不同员工之间可以彼此相互检查，以防止舞弊；把信息系统所记录的资料同实际资产核对；内、外部稽核人员定期提出强化内部控制系统的建议；培训课程、规划会议和其他会议，可把控制是否有效的重要信息反馈给管理阶层定期要求员工陈述他们是否了解企业的行为准则，并加以遵守，对于负责业务和财务的员工，则要求他们陈述某些特定控制是否都予执行，管理阶层或内部稽核人员还必须验证这些陈述是否确实。,31May2020,InternalControlinBusinessEnterprises,35,2-8监控个别评估,个别评估尽管持续监督程序可以有效的评价内部控制体系，但企业有时需要组织例外评估以直接监视控制系统的有效性，这种做法可评估持续性监督程序。评估的范围和频率，视风险的大小及控制的重要性而定。,31May2020,InternalControlinBusinessEnterprises,36,CH4内部控制的局限性,“完美”内部控制是如何失效的？,31May2020,InternalControlinBusinessEnterprises,37,内部控制局限性,人员素质不适应岗位要求，影响内部控制功能的正常发挥。人员相互串通作弊导致相关内部控制失去作用。很久之前的制度已不适用；对于不经常发生的经济业务，原有的控制可能不适用。管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去应有的控制效能。成本效益原则。,CH5企业内控设计理论,31May2020,InternalControlinBusinessEnterprises,39,内部控制设计理论框架,内部控制设计理论框架,内部控制设计依据,内部控制设计思想,内部控制设计原则,内部控制组织设计,内部控制内容设计,31May2020,InternalControlinBusinessEnterprises,40,5-1内部控制设计依据,国内内部控制规范,国际内部控制框架,COSO1：企业内部控制整合框架COSO2：企业风险管理整合框架美国萨班斯-奥克斯利法案,2008/6五部委企业内部控制基本规范2006/6国资委中央企业全面风险管理指引2006/9上海证交所上市公司内部控制指引2006/9深圳证交所上市公司内部控制指引2002/9,2007/7商业银行内部控制指引,31May2020,InternalControlinBusinessEnterprises,41,5-2内部控制设计思想,遵循“统筹规划、整体设计、急用先行、分步实施”的原则坚持以“源头治理”和“过程控制”为核心全面梳理现有管理制度、业务流程和职责权限准确评估现实风险和潜在风险风险管理融入日常经营管理活动实现管理工作的“五化”：程序化、标准化、规范化、系统化和制度化增强企业抵御风险能力，合理保证目标的实现,31May2020,InternalControlinBusinessEnterprises,42,5-3内部控制设计原则,5-7-1全面性原则5-3-2重要性原则5-3-3制衡性原则5-3-4适应性原则5-3-5成本效益原则,31May2020,InternalControlinBusinessEnterprises,43,5-3内部控制设计原则,全面性原则,在组织层次上，实现全人员：涵盖企业董事会、管理层和全体员工；在范围上，实现全过程：覆盖企业各项业务和管理活动，在流程上应当渗透到决策、执行、监督、反馈等各个环节；在内容上，实现全风险：包含战略风险、财务风险、市场风险、运营风险、法律风险在内的所有风险。,31May2020,InternalControlinBusinessEnterprises,44,5-3内部控制设计原则,重要性原则,内部控制应当在兼顾全面的基础上突出重点，针对重要业务与事项、高风险领域与环节采取更为严格的控制措施，确保不存在重大缺陷。,31May2020,InternalControlinBusinessEnterprises,45,5-3内部控制设计原则,制衡性原则,治理结构：股东会/董事会/组织结构和权责分配：应当科学合理并符合内部控制的基本要求，确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。,31May2020,InternalControlinBusinessEnterprises,46,5-3内部控制设计原则,适应性原则,内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求。内部控制应随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。,31May2020,InternalControlinBusinessEnterprises,47,5-3内部控制设计原则,成本效益原则,内部控制应当在保证内部控制有效性的前提下，合理权衡成本与效益的关系，争取以合理的成本实现更为有效的控制。,31May2020,InternalControlinBusinessEnterprises,48,5-4内部控制组织设计,内部控制组织设计，主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。董事会管理层风险主管财务总监内审部门其他相关部门,31May2020,InternalControlinBusinessEnterprises,49,5-4内部控制组织设计,内部审计,财务总监,总经理,董事会,风险主管,其他相关职能部门,董事会对风险管理负有监督职责，具体包括：充分了解并批准认可企业风险管理总体目标、风险偏好、风险承受度；了解风险管理制度的有效性；批准风险管理策略和重大风险管理解决方案审议，批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；了解和掌握企业面临的各项重大风险及其风险管理现状，评价管理者的风险应对是否恰当；批准重大决策的风险评估报告，批准内部审计部门提交的风险管理监督评价审计报告；向股东（大）会提交企业全面风险管理年度工作报告；督导企业风险管理文化的培育；全面风险管理其他重大事项。,31May2020,InternalControlinBusinessEnterprises,50,5-4内部控制组织设计,其他相关职能部门,内部审计,总经理,董事会,风险主管,内部审计,财务总监,总经理,董事会,风险主管,其他相关职能部门,企业总经理对全面风险管理工作的有效性向董事会负责。总经理对企业的风险管理负有最终的责任，奠定风险管理的基调，具体职责如下：研究提出全面风险管理工作报告；研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；研究提出跨职能部门的重大决策风险评估报告；研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控；负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案；负责组织建立风险管理信息系统；负责组织协调全面风险管理日常工作；负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作；办理风险管理其他有关工作。,31May2020,InternalControlinBusinessEnterprises,51,5-4内部控制组织设计,大中型企业或风险较大的企业可以设置风险主管。风险主管的职责如下：制定企业风险管理政策；指导、帮助公司、部门、职能机构进行风险管理活动；建立一套通用的风险管理语言；协助传递风险信息，制定报告规程；报告风险管理的问题，提供相关建议。,其他相关职能部门,内部审计,总经理,董事会,风险主管,内部审计,财务总监,总经理,董事会,风险主管,其他相关职能部门,31May2020,InternalControlinBusinessEnterprises,52,5-4内部控制组织设计,其他相关职能部门,内部审计,总经理,董事会,风险主管,内部审计,财务总监,总经理,董事会,风险主管,其他相关职能部门,财务总监对于企业风险管理起到非常重要的作用。财务总监参与制定企业的预算和计划，从合规、经营和报告的角度收集、报告和分析业绩。财务总监帮助确立组织的伦理行为的基调；决定公司报告系统、设计、执行和监控；对财务报表负有主要责任。,31May2020,InternalControlinBusinessEnterprises,53,5-4内部控制组织设计,内部审计在监督内部控制的实施、评价内部控制有效性以及提出改进建议方面，起着关键作用。内部审计的职责如下：评估内部控制设计本身是否健全；核查内部控制是否得到有效执行；协助管理层发现并评价重要的风险因素，帮助改进内部控制体系。,其他相关职能部门,内部审计,总经理,董事会,风险主管,内部审计,财务总监,总经理,董事会,风险主管,其他相关职能部门,31May2020,InternalControlinBusinessEnterprises,54,5-4内部控制组织设计,企业其他职能部门及各业务单位在全面风险管理工作中，应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督，主要履行以下职责：执行风险管理基本流程；研究并提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；研究并提出本职能部门或业务单位的重大决策风险评估报告；做好本职能部门或业务单位建立风险管理信息系统的工作；做好培育风险管理文化的有关工作；建立、健全本职能部门或业务单位的风险管理内部控制子系统；办理风险管理其他有关工作。,其他相关职能部门,总经理,董事会,风险主管,内部审计,财务总监,总经理,董事会,风险主管,其他相关职能部门,31May2020,InternalControlinBusinessEnterprises,55,5-5内部控制内容设计,内部控制体系公司层面内部控制业务层面内部控制,31May2020,InternalControlinBusinessEnterprises,56,COSO报告,COSO2：企业风险管理整合框架,COSO1：企业内部控制整合框架,31May2020,InternalControlinBusinessEnterprises,57,CH6内部控制设计方法,31May2020,InternalControlinBusinessEnterprises,58,主要内容,6-1组织系统图设计6-2职责划分设计6-3岗位说明书设计6-4方针和程序手册设计6-5业务流程图设计,31May20