内部控制与企业风险管理

1、内部控制与企业风险管理培训内容分享一、 建立规范的内控体系公司治理1）公司治理的定义：狭义的公司治理， 是指一组连接并规范公司股东、董事会、经理 人之间责、权、利关系的制度安排。广义上，公司治理还包括公司与其他利益相关者 （如员工、客户、 供应商、债权人和社区等）之间的关系，以及有关的法律、法规和上 市规则等。 其他各方对公司治理的定义：是指由制度、关系、系统和流程组成的 框架，在此框架下，权利在公司内部得以行使和控制。它形成了对公 司及其管理者的问责机制。公司治理就是指所有者对经营者的一种监督和制衡机制。 既通过 一种制度安排，对董事会、 管理层、股东和其他利益相关者之间进行 权利和责任的合

2、理分配”2）公司治理模式 两大主流公司治理模式 市场模式盛行与英国及美国。 控制模式普遍存在于亚洲、拉丁美洲和欧洲大陆 市场模式，以外部监控为主；控制模式，监控相对集中一些，没有好 与坏的区别。良好的公司治理模式不止一个。3）中国公司治理存在的问题 股权结构不合理； 大股东及其关联方占用上市公司资金；上市公司为大股东及其关联方提供担保； 利用关联交易转移资产与利润； 募集资金使用变更； 利用内幕消息进行交易； 以及过度报酬与在职消费等。4）公司治理模式的未来趋势 逐渐加强董事会对于关键治理的监管； 对于高管继任计划投资更多以防止舞弊和腐败； 考虑将CEO和董事会主席角色分离； 董事会成员的专业

3、资质（财务、 IT 、反舞弊、风控等） 董事会承担风险监控的角色； 从风险控制角色出发对执行层进行薪酬补偿； 在对执行层薪酬补偿时听取股东意见。保证公司有一个健全以及可持续发展的 CEO继任计划变得越来越重 要！5）有效公司治理的六大要素1. 董事会的结构和组成2. 董事会的运作与成效3. 战略、计划与监督4. 有效的风险管理与规范的业务流程5. 透明与公开6. 企业道德二、内部控制和内部控制体系（COSC内控模型） 1）内部控制定义： 内部控制是由董事会批准，管理层和其他有关人员实施， （含外包服 务商，责任在管理层）为达到以下目标而提供合理保证的程序； 经营的效率和效果： 强调公司的基本经

4、营目标， 包括绩效和利润目标 及资源的安全可靠性； 财务报告的可靠性：包括可靠的财务报表及其他财务信息的披露； 法律及法规的合规性：包括公司必须遵守的法律、法规，以维护良好 的信誉，避免负面影响（公司形象的影响） 。2）内部控制五要素控制环境 风险评估 控制活动 信息和沟通 监督1. 控制环境：营造单位气氛，让公司员工建立内部控制。 因素包括正直，道德价值、能力、权威和责任。 是其他内部控制组成部分的基础。2. 风险评估：风险评估是为了达到企业目标而确认和分析相关的风险， 形成内 部控制活动的基础。3. 控制活动：确保管理活动付诸实施的政策、流程； 措施包括审批、授权、确认、建议、业绩考核、资

5、产安全和职责 分离。4. 信息和沟通：及时的获取，确定并交流相关的信息； 从内部和外部获取信息， 使得形成从职责方面的指示， 到管理层 有关管理行动的发现、 总结等各方面， 各类内部控制成功的措施信息流。5. 监督：不断评估内部控制系统的表现； 整合实施和独立的评估； 管理层和监督活动； 内部审计工作。所有的五个部分必须同时作用才能使内部控制得以有效执行。3）内部控制五部分要做的工作1. 控制环境： 企业文化；管理层的经营理念和经营风格；员工的诚信和道德观；员 工的胜任能力；董事会和审计委员会的有效性；组织结构；管理层授 权和职责分工；人力资源政策和措施。2. 风险评估： 使企业理解潜在的事件

6、对目标的实现的影响程度； 评估风险是为了有效控制风险；管理层对风险的识别； 目标实现过程中相关内、外部风险分析； 估计风险的重大程度、可能性； 从两个方面对风险进行评估 - 发生的可能性和影响程度； 随着经济、企业、 制度和操作环境的不断变化，需要建立相应机制以 发现和处理这些变化所带来的特殊风险； 综合使用定性和定量两方面来评估风险； 将时间和目标联系起来； 从固有风险和剩余风险的角度来评估风险。3. 信息和沟通：信息系统提供有关财务、 经营和法规等信息及报告， 使企业的管理控 制得以施行； 管理层以一定的形式、及时、定期获取沟通各种相关信息，使相关人 员可以履行自己的职责；沟通在组织中广泛

7、并有效的由上而下、 自下而上以及平行的进行信息 和沟通的要素：会计系统 管理层报告 技术更新4. 控制活动： 对确认的风险采取必要措施，以保证公司目标得以实现； 为管理和减少风险而制定的政策制度和程序， 确保风险应对措施和企 业目标得以落实；遍布整个企业，涉及各个层面及各项职能； 包括应用控制和信息系统总体控制。5. 监控：是评估内部运行质量的过程 内部控制设计和实施的及时评估；必要的纠正手段； 一般通过以下方法来监督企业风险管理的其他组成部分的有效性， 持续监督；独立评估；上述两者的结合。4）内部控制普遍面临的问题1. 控制环境：没有集中的控制和管理； 没有完整的，实用性的标准工作流程； 已

8、经习惯于不正式的管理程序； 改革的政策和操作与现存的政策之间的矛盾；政策和程序无法覆盖的灰色地带； （公司价值取向） 规则和政策不能有效的传达给所有的员工； 管理控制的心态，过度依赖手工控制； 政策和程序不能根据商业和市场环境的变化更新； 管理人员越权； 难以界定度身订造的业绩指标； 对于理解内部控制框架有局限 缺乏适当管理知识； 中西方管理理念的不同； 因没有足够的员工激励计划，员工流失率高； 没有充分使用外部资源； 往往是没有任何疑问的听从老板指示； 不遵守当地的法律及监管规定等。 只有适合的控制环境，没有最好的控制环境。2. 没有健全的风险管理框架和组织结构； 没有完整的风险认识和系统的

9、风险分类； 没有对风险评估方法的彻底认识； 没有预警重大风险的机制和解决突发事件的机制； 薄弱的 IT 风险管理； 缺少风险管理和内部控制的专家。3. 信息系统： 没有明确的信息系统战略； 缺乏对自动控制重要性的认识； 分散的或过时的管理信息系统；没有电子制表软件的控制方式； 没有及时、完整精确的管理信息； 在主要绩效指标基础上， 对于经常性管理的总结报告， 没有一个相对 应的提交和审查机制；没有充分认识到相关的 IT 系统的应用风险。4. 控制活动：一般控制活动的形式为：比较与分析； 业绩评价；实际与预算；同期和行业标准的对比； 对账； 审批、授权、确认、核实、检查；实物控制；资产的安全；权

10、责分离 业务流程的控制程序可以是： 手工的；自动的；手工与自动结合的；控制活动可分为： 预防性；发现性。5. 监督： 完全有单独个人或者通过不正规的讨论进行； 有限的文件；对于实际的业务情况，过分依赖书面报告的数字， 而缺乏定期的检查； 内部审计功能被局限于传统的审计，而不包括主要的管理活动； 内部审计人员不够专业，而且缺乏独立性；薄弱的管理监督机制。5）公司治理和内部控制的限制 公司治理和内部控制无法有效运作的例子 错误的判断；低效率的操作；管理人员越权； 内外、上下勾结； 成本和利益取舍。6）内部控制优化进程1. 不可靠的：不可预见的控制环境，控制设计不合理或未得到执行。2. 非正式的：内

11、部控制设计合理，存在并执行，但缺乏充分的文档记 录。3. 标准的：内部控制设计合理、存在并执行、而且具备充分的文档记 录。4. 受控的：标准的内部控制体系， 定期测试控制设计和执行的有效性， 并向管理层报告测试结果。5. 优化的：整合的内部控制体系，管理层实时监控，并对内部控制进 行持续改进。启发：管理水平并不体现在制度和流程的完善程度上， 而是体现在营 造恰当的控制环境，适合企业发展的控制环境。三、萨班斯法案内容介绍1）法案的目的 提高公司治理和促进商业道德准则的实际实施； 加强财务报告和披露的完整性和透明度； 确保公司管理层可以从一个良好的控制环境中获取重要的信息； 确保公司管理层对美国证

12、监会（SEC要求存档的材料和向投资者公 布的信息承担责任。2）法案主要内容 明确了审计委员会、管理层和审计师各自的职责及相互关系；成立了美国上市公司会计监督委员会，（PCAO） PCAO负责监督、调控，和检查对上市公司提供审计服务的会计师事务所；该法案对内部控制进行了总体表述，随后的美国证监会（ SEC以及 美国上市公司会计监督委员会（PCAOB发布的文件和准则为该法案 提供了进一步的实施细则； 该法案涉及到审计师的独立性，公司的管理，内部控制的评估，和加 强财务信息的报告等等领域； 公司管理层必须每年评估公司的与财务报告有关内部控制体系； 内部控制体系报告中要包括管理层对于建立和维护足够的与

13、财务报 告有关的内部控制结构和财务报告流程的责任； 在最新的年度财务报告中， 管理层必须评估与财务报告有关的内部控 制结构的有效性和财务报告流程有效； 外部审计师的审计（ 404条款和 103条款） 这一法案对在美国上市的外国私人公司并无重大豁免， 这将对大陆和 香港的上市公司，以及跨国公司的各个子公司产生重大影响。3）萨班斯法案其中最具影响力 2个条款302 条款汇总要求公司首席执行官（CEO和首席财务官（CFO每季度和每年宣誓， 保证其：对信息披露的控制和程序负责； 设计了内部控制制度和程序以保证及时了解企业运营的重要信息 对信息披露的控制有效性进行了评估；已将上述评估结果披露； 以向审计

14、委员会和外部审计师通报公司存在的内部控制重大缺陷和 实质性缺陷以及舞弊行为； 以披露能够对内部控制造成负面影响的内部控制或相关因素的重大 变化。404 条款汇总 要求公司管理层每年度： 声明自己对于建立和维护有效的与财务报告相关的内部控制负有责 任；对于财务报告相关的内部控制进行记录、测试和评估； 要求独立的外部审计师：根据 103 条款的要求，外部审计师需要对与财务报告的相关内部控 制的有效性发表意见，简称“直接报告”除此之外，根据 404 条款的要求，外部审计师需要对“管理层对于与 财务报告相关的内部控制有效性的声明” 给出意见，简称“间接报告 美国萨班斯申报时间要求（略） 法规最新近况小

15、型公司的豁免（略） 执行萨班斯法案为公司带来的效益（略） 四、建立健全内审职能的 10 大步骤 第一步：明确利益相关方的期望 为了建立有效的内审职能， 内审的主要利益相关方必须确定内审如何 实现期望的价值，如： 风险管理和控制有效的保证； 内部控制的效率和效果评估； 法规及公司政策的遵循性的保证； 监管法规所需要的内控有效性检查；对紧急事件的处理能力； 对内审投资的回报 提高企业各阶层对风险和控制的意识； 业务部门的咨询伙伴，并协助解决复杂问题； 优秀管理人员的来源，并作为员工职业发展的一部分； 通过与外部审计师的合作使审计成本更加有效益。 第二步：明确内审的使命 在明确利益相关方的期望价值后

16、，应建立正式的“使命声明”或在内 审章程提出该职能的目标； 控制的重点应该与利益相关方的期望值相联系；关注点： 内审的定位 定义内审的初始方向和角色：1. 该部门的定位是什么？2. 该部门的恰当工作范围是什么？ - 财务、运营或者合规性？3. 什么是该部门的风险关注点？ -地毯式的全覆盖还是只关注重点问 题？4. 该部门期望给出什么类型的保证？ -政策的合规性还是对流程与业 务的检查？5. 内部审计应如何参与变更管理？ -实施后在审阅或者作为变更小组 成员积极参与？6. 内审应怎样运行？ - 公司的业务伙伴。 第三步：制定正式的战略计划 战略计划帮助并指导建立内审职能。战略计划强调初始阶段以及

17、三到五年的财力和人力资源的需求， 考 虑使用不同方法实现预期结果的成本和收益 与其他风险和控制监控职能结合，如法律、信用、市场、安全和舞弊 风险管理等；使用外包服务以提供专业的技术、技能 建立控制自我评估程序战略计划强调沟通 对内审职责和权力的通告 企业期望对内审使命的支持 由企业审计委员会和高级管理层向内部进行初步沟通； 企业期望对解决内部审计发现的控制缺陷和问题的决心； 关注点： 需要基于风险评估的原则制定内部审计计划； 审计计划应充分考虑公司的发展预期； 在制定内部审计计划的过程中应注意不同的内部审计项目、 不同的审 计目的之间的相互利用和协调；一个好的审计计划， 准备事项清单将有效的帮

18、助提高审计计划制定的 效率和质量。第四步：风险评估和制定审计计划 对内审而言，制定系统的方法分析风险至关重要。 风险是可能影响公司实现目标的任何事情 第五步：制定当期和长期预算 在风险评估和内审计划的基础上建立核心内审预算； 建立单独的 “灵活支出账户” 基于核心内审预算的百分比或其他估计 设立；根据识别出的具体项目或需求， 确定必要的资源和技术组合以支持核心内审计划；满足突发的或企业内部一次性项目的需求；未使用资金为内控预算盈余差异， 与年度内审风险评估流程和计划的 制定流程相一致，每年估计一次。第六步：尽早开展现场工作 为了立刻体现价值，内审部门应该在几周内开始现场工作。 使用正式的快速启

19、动程序是保证尽快取得成果的有效方法。 配备足够的资源来实施现场工作。第七步：评估所需技能 考虑长期人员需求时，应注意内审是一个动态、不断变化的领域，利 用资源的车轮模型以及之前的灵活支出账户来考虑长期人员需求， 关注点：提高内部审计能力的十步方案1. 确定所需要具备的技能2. 定位那些缺乏信心的领域3. 创建一个技能库4. 进行差异分析5. 建立强大的风险分析能力6. 开展有目的的审计7. 强调职业发展规划8. 吸引内部和外部的审计人才9. 考虑采用外包内审服务10. 采用员工轮换模型 第八步：开发和取得所需的基础架构、方法或技术在作出重大基础架构决定之前，检查以下方面是很重要的： 风险评估方

20、法；审计计划框架，文档记录及检查流程； 了解和整合最佳实践； 执行内审项目的计划； 质量控制流程；追踪、解决及沟通审计发现的流程； 人力资源管理及行政管理； 关注点：内审程序、方法及审计技术； 基于风险的原则贯穿整个内审循环； ； 审计技术审计方法的选择以及审计程序的拟定都需要结合公司的战 略目标、风险偏好以及内审的定位等； 适当程度的审计程序标准化可以显著的提高审计效率， 增加审计结果 的可比性；在规划审计程序、 选定审计方法的过程中， 计算机辅助技术的应用日 益重要；审计程序标准化是一个由浅入深的渐进渐进过程 需要定期根据新的风险情况、业务情况对标准审计程序进行调整。 第九步：建立沟通机制

21、为了加强书面沟通、 报告和总结的效果， 与重要的利益相关方建立清 晰的沟通机制，应当考虑下述问题： 审计计划和结果如何与执行管理层及各级负责管理层沟通； 向审计委员会的沟通和汇报； 离开被审计单位前，与其进行审计发现的沟通；离开被审单位后，将最终审计报告的出具时间告知被审单位； 就审计报告中用到的评价级别或其他标准对所发现的问题进行沟通； 对审计发现的不同理解的处理方法； 与执行管理层及内部审计之间的定期沟通程序； 使用进度报告记录审计发现、整改方案及最终解决方案； 与公司外部审计事务所的有效沟通和配合； 在内审职能之间的有效沟通。关注点： 强化内部审计部门与审计委员会之间工作关系的五步计划1

22、. 与审计委员会定期沟通2. 帮助审计委员会理解企业所面临的风险3. 了解审计委员会成员，包括委员会新成员；4. 创造机会，使得审计委员会成员能够充分的接触内审团队；5. 将内部审计定为审计委员会随时可用的咨询顾问 第十步：考核结果 为了更加有效，内审小组必须证明工作成果，这就需要一套与步骤 1 中的利益相关方的价值驱动因素相联系的绩效评估系统。 定期跟踪并 评估内审绩效是否达到管理层的期望， 从而实现并超越主要利益相关 方的期望，这样做市非常重要的为了评估价值， 可以考虑使用平衡计分卡， 一个涉及广泛领域又突出 重点的有效工具。平衡计分卡概念是由 Drs.Robert S.Kapian 和

23、David p.Norton 在 1992 年根据考核动机这一简单前提创立的。现在这一工 具被全世界许多公司、组织及政府机构使用。平衡计分卡通过整合管理层评估系统使组织能快速、有效地实施战 略。它帮您持续的评估具体目标和活动， 同时评估奖励与个人表现之 间的关系。 每个组织应该根据框架前三步： 确认审计委员会和公司高 级管理层对内部审计的期望和定位， 明确内审部门的使命， 制定正式 的战略计划，在此基础上建立具体的内审记分卡。记分卡实例如下： 普华永道观点 内审并非与其他业务流程不一致。 如果最初明确了清晰地价值驱动因 素并制定了有效地评估标准，他的绩效和价值贡献是可以评估的。 结论：在普华永道， 我们认为通过战略框架与战术执行的结合为内审 职能建立稳固的基础， 您就可以避免在初期建立内审职能方面可能出 现的失误。在本十步框架中， 我们提炼了通过多年与众多领先公司的合作， 帮助 其建立内审职能并提高绩效获得经验。 在这些项目的实施过程中， 夲 十步法被证实对我们的客户非常有益。关注点：内部审计结果的评级评价 下列四方面因素推进了审计评级使用的增长：1. 审计委员会、高级管理层、外部审计师和监管者对内审报告及审 计发现更加关注；2. 内审的利益相关方要求审计结果更加明确、主次更加分明，以便 迅速发现需要重点关注的事项3审计委员会和高级管理层对首席审计官提供的内部审计总