内部控制PPT...ppt

,内部控制(InternalControl),第三组2012年10月31日,讲解分工,第一部分：走进内部控制第二部分：内部控制的五大要素和方法第三部分：案例分析-三鹿事件,赛思中国,销售总监-陆帆,市场总监-史蒂夫,销售-乔莉,市场-瑞贝卡,生活中常见的内控现象,财经重地，非请莫入库房重地，闲人免进请你签字（或留下指纹）请输入你的密码一支笔一人为私，二人为公,令人不爽公示牌,令人烦恼的手续,令人熟悉的说法和作法,内部控制的重要性,有效的内部控制,风险与经营回报的良好平衡,成功,行业的前10种最主要的风险因素（德勤统计数据）,一、内部控制的演变二、内部控制的内涵解读三、内部控制的作用和应用四、正确认识内部控制,内部控制概念的变迁,内控的产生：萌芽阶段,内部牵制职务分离账目核对交叉检查例：双人记账制西汉时期的上计制度宋规定“官职分离、职差分离”、“主库吏三年一易”,内控的发展：第二阶段,内部控制制度1949，AICPA，内部控制定义1958，AICPA，制度二分1986，INTOSAI，是完整的财务和其他控制体系,包括组织结构、方法程序和内部审计例：制度二分,会计控制：会计控制由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成。管理控制：管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录。包括对业务运作的效率、对管理政策的坚持和法律上的遵循。,内控的发展：第三阶段,内部控制结构1988，AICPA”内部控制结构“取代”内部控制“不再区分会计控制和管理控制,内控的发展：第四阶段,内部控制整体框架动态过程系统控制例：COSO模型,一、内部控制的演变二、内部控制的内涵解读三、内部控制的作用和应用四、正确认识内部控制,什么是内部控制？,清华大学会计研究所对内部控制做了如下概述：内部控制是为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性，而自行检查、制约和调整内部业务活动的自律系统。其贯穿于经营活动的全部过程，包括控制环境、风险评估、控制活动、信息与沟通，监督等要素，并受企业董事会、管理阶层及其他人员影晌。,内部控制是？,工具、方法？制度？目标？审计？,内控是.工具、方法?,Forexample：流程的控制点，评审程序，内控自我评估，考核,内控是.制度?,Forexample:不同类形的组织结构、审计体系、管理规定、流程、指导书等,内控,内控,合理地确保管理层的目的和责任得以达到。,等。,内控,内控,合理地确保管理层的目的和责任得以达到。,内控,内控,合理地确保管理层的目的和责任得以达到。,内控是.目标?,Forexample:应收账龄分析,其目的并不只是要知道客户欠账多久,而是保障货款能尽快回收.,内控,内控,由企业董事会、管理层和各阶层人员一起推动和执行,内控是.审计?,Forexample:审计项目，资询服务,审计,为管理层提供监控,提供业务部门适当的内控建议,一、内部控制的演变二、内部控制的内涵解读三、内部控制的作用和应用四、正确认识内部控制,内部控制的作用,有效地传达管理层的意见，目标和期望。提供所有被授权人员一个准则恰当的和有效地使用公司资源，并按管理层的指示来使用。为管理层准确地评估绩效和提供业务运作的真实信息保护资产和其他资源遵守法律和规章,内控应设在哪个阶层?,各岗位各部门整个公司内控应设在全公司每一个阶层。,应用在哪里？,财务控制（Financial)流程控制(Process)组织结构控制(Organizational)信息系统控制(InformationSystem)质量控制(Quality)安全控制(Safety)环境控制(Environmental),一、内部控制的演变二、内部控制的内涵解读三、内部控制的作用和应用四、正确认识内部控制,正确认识内部控制,内控只可以提供合理的保证，并不能向领导层提供绝对保证。内控主要是受公司各阶层人员的人影响，并不是全然依靠制度和指导书。内控必需要配合公司的独特环境和需求。内控的结构和控制应建设在成本和效益的基础上。内控是可以同时达成一个或多个与相交义的企业目的。,如何理解内部控制（1）,内部控制是一个过程，是实现目标的手段，而不是结果本身。内部控制会受到企业内部各层次人员的影响，而不是简单地制定出一本制度或规章。对管理曾或董事会来说，内部控制提供的只是合理的保证，而非绝对的保证。内部控制的目的在于实现组织的一个或几个目标。,如何理解内部控制（2）,内部控制绝对不是：静态的结构；某一层次人员的任务（例如：高级管理层）某一部门的任务（例如：财务、内部审计）某一实体的任务（例如：总部、省级公司）内部控制是：内部控制是一个靠组织的董事会、管理层和其他员工去实现的过程，实现这一过程是为了合理的保证：经营的效果性和效率性；财务报告的可信性；对法律和规章制度的遵循性。,内部系统的整体架构,没有内控系统的企业，就象坐在飞驰的马车上却没有手握缰绳!,企业内控系统就象牵引风筝的线，没有线的风筝是飞不起来的,Weshare!,微软总裁比尔盖茨讲：微软离破产只有180天。海尔首席执行官张瑞敏说：经营管理就要战战兢兢，如履薄冰。再能干的管理者、再优秀的企业也总会遇到各种各样的困难，关键是我们一定要有面对困难的各种准备，包括心理层面的和物质层面的。,企业内部控制,企业内部控制的五大要素企业内部控制的方法,一、企业内部控制五大要素,1992年完成的报告内部控制的整体框架从根本上统一了对内部控制的认识，其所设计的内部控制模型也被全世界公认为内部控制的标准模型。,TheCommitteeOfSponsoringOrganizationofTreadwayCommission),COSO致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。它从属于1985年成立的反虚假财务报告委员会(也被称为Treadway委员会)，是由美国注册会计师协会(AICPA)、内部审计协会(IIA)、财务经理协会(FEI)、美国会计学会(AAA)、管理会计学会(IMA)等多个专业团体组成。,coso内部控制五大要素,内部环境,目标制定,事项识别,风险评估,风险应对,控制活动,信息沟通,监控,内部环境,风险评估,控制活动,信息沟通,监控,一、内部环境,1、内部环境构成要素内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础，一般包括治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化等。它塑造组织的控制文化，影响员工的控制意识；它支撑着整个内部控制框架，是推动控制工作的发动机；它奠定组织的制度和结构，并涉及到所有活动的核心人，特别是人的控制觉悟；它还反映企业各级管理层对内部控制的要求。,主要包括：员工的诚信和道德观员工的胜任能力董事会和审计委员会管理层的经营理念和经营风格组织结构管理层授权和职责分工人力资源政策和措施,二、风险评估,风险评估是指企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。评估风险是为了有效控制风险。风险评估构成要素与一般程序,目标设定,风险识别,风险分析,风险应对,企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。,经济因素,法律因素,社会因素,科学技术因素,自然环境因素,其他因素,人力资源因素,管理因素因素,自主创新因素,财务因素,安全环保因素,其他因素,外部风险因素,内部风险因素,风险因素,风险因素,三、控制活动,企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内，以保证公司目标得以实现。,控制活动类型包括：,1、按照不同作用：分为预防性控制，纠错性控制2、按照活动的形式分为：业绩评价，如实际与预算、同期和行业标准的对比审批，授权，确认实物控制，如资产安全性，定期盘点，对计算机及数据资料的权限控制责任分离，如业务授权、业务执行、业务记录、对业绩的独立检查的职能分离,四、信息与沟通,信息与沟通是指企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。,例如：,管理层清晰定义每个员工的职责及公司政策和程序并进行充分沟通建立适当的管理层内部沟通以及公司与外部机构定期沟通的程序建立目标以便衡量进度、发现问题并及时采取改进措施,五、内部监督,内部监督是指企业对内部控制的建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷应当及时加以改进。内部监督分为日常监督和专项监督。企业应结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析其性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。,2008年9月15日上午10:00，拥有158年历史的美国第四大投资银行雷曼兄弟公司向法院申请破产保护，消息瞬间通过电视、广播和网络传遍地球的各个角落。令人匪夷所思的是，在如此明朗的情况下，德国国家发展银行10分钟之后居然按照外汇掉期协议，通过计算机自动付款系统向雷曼兄弟公司即将冻结的银行账户转入了3亿欧元，令德国社会大为震惊。几天后，一份报告显示了该银行人员在这10分钟内都忙了些什么：,案例介绍,首席执行官乌尔里奇施罗德：我知道今天要按照协议的约定转账，至于是否撤销这笔巨额交易，应该让董事会开会讨论决定。董事长保卢斯：我们还没有得到风险评估报告，无法及时做出正确的决策。董事会秘书史里芬：我打电话给国际业务部催要风险评估报告，可那里总是占线，我想还是隔一会儿再打吧。负责处理与雷曼兄弟公司业务的高级经理希特霍芬：我让文员上网浏览新闻，一旦有雷曼兄弟公司的消息就立即报告，现在我要去休息室喝咖啡了。,案例介绍,企业应当根据内部控制目标，结合风险应对策略，从控制，沟通，监督等多方面综合运用控制措施，对各种业务和事项实施有效控制。企业还应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时、妥善处理。可见内部控制对一个企业的重要性,案例分析,德国国家发展银行的失误给我们的启示：,基本规范五要素的关系及其作用,内部监督,控制活动,风险评估,内部环境,信,息,沟,通,信,息,沟,通,基础,手段,保证,载体,依据,二、内部控制的方法,内部控制的基本方法,一、组织控制（重点）四、风险控制,二、预算控制（重点）五、人力资源控制（重点）,三、文件记录控制六、内部报告控制,一、组织控制,组织控制：是指企业建立一个进行计划、协调和控制活动的整体组织框架，使企业在这个组织框架内进行有效授权和职责分工，开展各种经营活动。组织控制是一种事前控制方法，是建立授权控制、实施程序和牵制控制的基础。,1、集权结构,（一）直线制组织结构直线制是一种最简单的集权式组织结构形式，又称军队式结构。其领导关系按垂直系统建立，不设专门的职能机构，自上而下形同直线。但是当企业规模扩大时，管理工作量可能超过个人能力承受的限度，不利于集中精力研究企业管理的重大问题。适用范围：只适用于规模较小或业务活动简单、稳定的企业。,（二）职能式组织结构是按职能来组织部门分工，即从企业高层到基层，均把承担相同职能的管理业务及其人员组合在一起，设置相应的管理部门和管理职务。提高了管理的专业化程度，减轻了直线负责人的工作负担，避免了人力和物力资源的重复配置。但是这种多头管理，易造成混乱。适用范围：只适用于中小型、产品单一、外部环境比较稳定的企业。,（三）直线职能式组织结构直线职能式是一种以直线式结构为基础，在厂长(经理)领导下设置相应的职能部门，实行厂长(经理)统一指挥与职能部门参谋、指导相结合的组织结构形式。但是随着企业规模的进一步扩大，职能部门也将随之增多，于是，各部门之间的横向联系和协作将变得更加复杂和困难。适用范围：规模中等的企业。随着规模的进一步扩大，将倾向于更多的分权。,2、分权结构,（一）事业部制组织结构事业部制也称分权制结构，是一种在直线职能制基础上演变而成的现代企业组织结构形式。这种组织形式：（1）既保持了公司管理的灵活性和适应性，又发挥了事业部的主动积极性；（2）减轻了高管的压力，有利于集中精力做好企业大政方针的决策；（3）有利于培养高层管理人员；（4）便于组织专业化生产，提高生产效率，保证产品质量。,缺点是容易造成组织机构重叠、管理人员膨胀；各事业部独立性强，考虑问题时容易忽视企业整体利益适用范围：适合于那些经营规模大、生产经营业务多样化、市场环境差异大、要求较强适应性的企业。,（二）矩阵型组织结构矩阵制结构由纵横两个管理系列组成，一个是职能部门系列；另一个是为完成某一临时任务而组建的项目小组系列，纵横两个系列交叉，即构成矩阵。但是，该组织结构权责不清，项目负责人往往责任大于权限；易造成多头管理；稳定性差。,二、预算控制,（一）含义全面预算控制又称总预算，是反映企业未来某一特定时期的全部生产活动的财务计划。（二）全面预算控制的作用1、预算与战略管理：全面预算能够细化公司战略规划和年度经营计划，它是对公司整体经营活动一系列量化的计划安排。,一、全面预算控制的内涵,2、预算与绩效考核：全面预算是公司实施绩效管理的基础，是进行员工绩效考核的主要依据。3、预算与资源分配：全面预算可以促进公司各类资源的有效配置，提高资源利用效率。4、预算与风险控制：通过寻找经营活动实际结果与预算的差距，可以迅速地发现问题并及时采取相应的解决措施。通过强化内部控制，降低了公司日常的经营风险。5、预算与收入提升及成本节约：通过全面预算可以加强对费用支出的控制，有效降低公司的营运成本。,（二）全面预算的内容1、经营预算：销售预算、生产预算、成本预算和费用预算2、资本预算：投资和筹资预算3、财务预算：现金预算、预计资产负债表、预计利润表和预计现金流量表。,三、文件记录控制,文件记录控制：是企业内部控制的重要手段。健全、正确的文件记录既是其他控制(如组织规划控制、授权批准控制)有效性的保证，又是企业保持高效率经营和高质量信息的手段。其中，文件记录控制可分为管理类控制文件和会计记录类控制文件。,四、风险控制,风险控制：是指通过确定、评估及控制组织内因业务活动而必须承受的所有风险，让企业能够利用最直接而有效的途径，以实现企业的目标和使命，通过度量、控制和降低企业因承受风险带来的负面影响，帮助企业保持盈利，从而实现企业最终目标提高投资者回报。风险控制包括的内容：风险识别、风险评估和风险应对,（一）风险识别的原则1、全面性、系统性原则2、制度化、经常化原则（二）风险识别的方法1、专家调查列举法（1）头脑风暴法（2）德尔菲法2、生产流程分析法（流程图法）3、财务报表分析法4、投入产出分析法5、背景分析法,一、风险识别,（一）常用方法1、基于知识的分析方法（基线风险评估）2、基于模型的分析方法3、定量分析（二）风险评估过程1、计划和准备2、识别并评价风险3、识别并评估威胁4、识别并评估弱点5、识别并评估现有的安全措施6、评估风险,二、风险评估的方法,五、人力资源控制,招聘原则（1）公开招聘（2）全面考核（3）公平竞争（4）择优录取,一、招聘控制,（一）培训制度通过培训提升员工的工作技能、道德品质、诚信意识。（二）岗位轮换制度通过轮岗提升员工工作能力；发现差错或舞弊。（三）职业信用保险制度（信用承诺书）,二、用人控制,二、用人控制,（一）培训制度通过培训提升员工的工作技能、道德品质、诚信意识。（二）岗位轮换制度通过轮岗提升员工工作能力；发现差错或舞弊。（三）职业信用保险制度（信用承诺书）,（一）公开透明原则（二）客观考评原则（三）相关性原则（四）注重反馈原则（五）差别与公平原则（六）可行性与实用性原则,三、绩效考核与激励,六、内部报告控制,（一）组织层级相匹配原则（二）简明直接原则（三）及时原则（四）与预算管理相结合原则,一、内部报告的编制原则,（一）生产报告（二）经营报告（三）资产经营报告（四）资本经营报告体系（五）预算执行报告,二、内部报告的构成体系,案例分析从三鹿奶粉事件看中国上市公司的内部控制问题,CONTENTS,三鹿集团简介,三鹿奶粉事件回放,三鹿集团破产原因分析,启示与反思,三鹿集团简介,三鹿集团简介,三鹿奶粉事件回放,2008年9月，三鹿集团因其婴幼儿配方奶粉中掺杂致毒物质三聚氰胺被迅速推向破产的边缘，2009年2月12日，法院正式宣布三鹿集团破产。,三鹿奶粉事件回放,三鹿破产原因分析,内部环境,风险评估,内部监督,信息与沟通,控制活动,一、内部环境,内部环境是内部控制框架的基础。涵盖治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化、诚信与道德观等多方面内容。,一、内部环境,道德上,不法分子诚信缺失，道德沦丧，只顾自己利益，不顾消费者身体健康。,道德使之不愿、法律使之不敢、制度使之不能,道德上,不法分子诚信缺失，道德沦丧，只顾自己利益，不顾消费者身体健康。,道德上,企业文化企业没有做好文化建设工作，没有培育好员工的价值观和社会责任感,治理结构不合理。表面三鹿乳业56%股权，新西兰恒天然43%股权，实际96%股权掌握在900名老职工手中，实际控制人相当分散。,人力资源政策企业聘用员工考核不严，标准不当。耿氏兄弟等人才得以为非作歹。,内部审计环境不严格。早在发现问题之初没有及时纠正。并在三年多里隐瞒和纵容问题直至东窗事发。,二、风险评估,识别和分析风险的过程是一种持续及反复的过程，是有效内部控制额关键组成要素。这个要素要求企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，并合理确定风险应对策略。,在内部风险方面未对管理层、经营层及关键岗位人员的职业操守进行分析，以防止因为个人偏好而给企业带来重大损失的风险。,三鹿风险评估分析,A,B,在外部风险方面企业面临奶源短缺的风险，三鹿集团在原奶的争夺大战中，弱化了对原奶的质量控制，加大了经营风险。,在内外风险夹击下，三鹿缺少应有的风险预警机制，而建立风险预警机制是企业风险管理的基础，可以使企业在面临风险的时候立即做出应对措施。,三鹿风险评估分析,一般的企业内部控制都是针对常规事项进行设计的（如奶粉的营养成分是否达标等），而对例外事项（如添加三聚氰胺）则重视不足。这对内部控制的设计提出了挑战。显然，食品加工企业除了对原料采购、产品加工、存储储藏、物流配送等各个环节进行风险评价、分析之外，还应该就最可能产生风险的环节设立应对措施。例如风险评估时针对生产的奶粉原料中可能会含有哪些有害物质，原料提供者添加这些物质的可能性以及消费者食用这些物质的后果严重性等进行评价、排序，并从原料采购、产成品的检测验收等方面设定有针对性的指标，以提高内部控制的效率和效果。,三、控制活动,控制活动是指企业根据风险评估结果，采取相应的控制措施，将风险控制在可接受的程度之内。企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。,三鹿控制活动分析,如果三鹿集团的管理者能对日常控制活动中发现的一些不良信息进行收集、整理，并对异常现象（屡次不合格的原料提供者后来提供的都是合格原料）寻找合理解释，以进一步提高控制活动的效率效果，就不会发现不了类似“耿某”的伎俩了。,从事实看，三鹿集团能够在2007年前“屡次”查出耿某提供的牛奶不合格，说明企业拥有严格的采购验收制度并得到切实执行。,三鹿信息与沟通分析,信息的收集和传递上应做到，能够很好的将企业的精神、职业道德传递到没每一位员工的身上并贯彻执行。,内部沟通上应做到，公司的管理层定期或者不定期召开各种会议，及时与相关职能部门的领导、下属单位负责人就生产、运营等情况进行沟通、交流。,从现有的报道看，早在2008年3月三鹿集团就已经接到消费者的投诉，6月份反映的人越来越多，但直到2008年8月2日，三鹿集团才将相关信息上报给石家庄市政府。这中间已存在信息与沟通不及时、不全面的问题。根据有关规定，地方人民政府和食品安全综合监管部门接到重大食品安全事故报告后，应当立即向上级人民政府和上级食品安全综合监管部门报告，并在2小时内报告至省（区、市）人民政府，也可以直接向国务院和药监局及相关部门报告。但三鹿的实际情况是，石家庄市政府直到9月8日才将有关情况的书面报告提交给河北省政府。这种信息与沟通的延迟在一定程度上加大了毒奶粉的危害后果。,五、内部监督,该要素要求企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。监督可分为内部和外部两种。内部监督是控制有效实施和运行的重要保证，外部监督主要是指质检部门、药监局等的监督检查。*内部监督分为日常监督和专项监督。,三鹿内部监督分析,企业的监控活动中，除了日常的监控活动外，还应该有一些专项的、非常规的监控活动，从而达到发现控制缺陷的目的。,在获取了免检证书后可以在有效期内不受各地质检部门的监督检查，这显然也不符合内部控制的持续监控原则。,对于没有检测出三聚氰胺，排除去技术上的限制问题，三聚氰胺微溶于水，完全可以通过沉淀物的异常来推断存在质量问题。,三鹿集团内部监控中重要一环是通过向养殖区派出驻站员，监督原奶整个生产过程，但是三鹿集团的驻站员并没有尽到监督的责任，使不符合质量要求的原奶大量进入三