全球背景下企业内部控制与风险管理培训

1、全球背景下企业内部控制与风险管理 讲座大纲 CH1企业内部控制的新特点 CH2 企业内部控制五大目标 CH3企业内部控制五大要素 CH4企业各管理层内控职责 CH5 内部控制制度建立 CH6 企业内部控制设计模板美国汽车三大巨头乞求救援 美国当地时间2008年12月10日晚，美国众议院投票通过了向美国汽车业提供140亿美元救援贷款的议案，但在通过参议院批准之前，此项贷款是否能顺利发放到车企手中仍是未知数。 美国当地时间2008年12月13日11日晚,由于美国汽车业工会拒绝接受共和党议员提出的削减工资要求,美国国会参议院否决了总额为140亿美元的汽车业救援方案。 美国金融危机AIG失败 同样是经

2、营失败，AIG的失败与1995年巴林银行倒闭事件有什么不同呢？当年巴林银行倒闭主要由“内部控制层面”的问题所致，28岁的期货期权交易部经理李森违反公司授权规定，“偷偷摸摸”地进行指数期货合约交易，从而产生巨额损失并导致巴林银行被荷兰国际集团接管。 而此次AIG百年帝国的失败却出在“战略经营层面”，因为AIG成立专门部门AIG Financial Products Corp（AIGFP）并且长期向次贷市场大量提供CDS产品并非突发事件，而应该是AIG高层在“战略经营层面”作出的决定，并且此种衍生金融业务也不违背当前美国保险业监管的规定，因此是一种“光明正大”的行为。但是在这种“光明正大”的失败面

3、前，到底谁应该为此承担责任呢？乱世用重典萨班斯奥克斯利法案 随着美国安然公司、环球电信公司会计造假丑闻的披露，暴露出美国现行公司体制中存在着弊端。为整顿上市公司秩序、维护投资者信心，美国民主党参议员萨班斯（Sar-banes）和共和党众议员奥克斯利（Oxley）联合提出了萨班斯奥克斯利法案，该法于2002年7月美国总统布什签署获得通过。 萨班斯奥克斯利法案是继美国1933年证券法、1934年证券交易法以来又一部具有里程碑意义的法律，其效力涵盖了注册于美国证监会（SEC）之下的约14，000家公司，其中包括了大量的非美国公司。 该法案的严肃性在于:公司治理被正式纳入联邦法律管辖范围，越来越多的财

4、会欺诈者无论他是CEO还是CFO都将被投入监狱。安然和世通之后，美国大公司都在丑闻深渊边如履薄冰，抓坏蛋和将前车之鉴铭刻于法律条文自然成为这一阶段的主题。 萨班斯奥克斯利法案强调了公司内控的重要性，从管理者、内部审计及外部审计等几个层面对公司内控作了具体规定，并设定了问责机制和相应的惩罚措施。成为继20世纪30年代美国经济大萧条以来，政府制定的涉及范围最广、处罚措施最严厉的公司法律。萨班斯奥克斯利法案 1.上市公司会计监管委员会 2.审计师的独立性 3.公司的职责 4.加强财务信息的披露 5.分析员的利益冲突 6.证券监管委员会的资源与权限 7.研究和报告 8.公司和刑事舞弊的责任 9.加强对

5、白领刑事犯罪的惩罚 10.公司税务申报表 11.公司的舞弊行为及其相应的责任萨班斯奥克斯利法案实质意义上市公司董事及高层管理人员的责任的加强 1.明确首席执行官和首席财务官对财务报表的书证责任：新法案要求上市公司的首席执行官（CEO）和首席财务官（CFO）对公司向美国证券交易委员会（以下简称SEC）提交的定期报表的真实准确性提供书面保证。第302条和第906条分别在民事和刑事方面直接规定了对上市公司的CEO和CFO的特别书证要求。 2.为了降低公司的经营风险，新法案禁止公司向董事和高层管理人员提供私人贷款。 3.董事和高层管理人员返还因公司虚假报表取得的激励性报酬和买卖股票收益。第404条:管

6、理层对公司内部控制的评估 要求公司年报中包括一份“内部控制报告”，该报告应： 1.明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任； 2.包含管理层在财务年度期末对公司财务报告相关内部控制体系及程序的有效性的评估。 3.受托的上市公司审计师应按照上市公司会计监管委员会对审核约定所发布或采用的准则 4.就管理层关于内部控制的评估进行鉴证并提交报告。此类鉴证约定并不构成单独的约定主体； 5.SEC在提交的法案相关的报告中这样解释此条的立法目的：“委员会不希望审计师（对内部控制报告的）评估形成单独一份约定或者因此而导致审计费用的增加。” 6.指导SEC进一步要求

7、上市公司披露其是否为高级财务官员制定职业操守规范以及该规范的内容； 7.指导SEC修改其以8-K表格进行即时披露的相关规则，从而要求上市公司对任何职业操守规范的修改或废止事项立即进行披露。内部控制实施的高昂代价 据财务经理国际(Financial Executives International, FEI )针对遵循SOX法案404节的实施成本对其公众成员公司进行了调查： 2004年7月调查了平均收入超过25亿美元的224个公众公司，计算SOX法案404节遵循成本的估计数额。结果显示，遵循成本总额估计为314万美元，被调查的公司预计，除年度审计费用外，要向审计师支付823200美元的内部控制鉴

8、证费用. 2005年3月，FEI调查了217个平均收入超过50亿美元的公众公司，来计量SOX法案404节的遵循成本。它们的总遵循成本平均为436万，其中内部成本134万美元，外部成本172万，审计费用130万。审计费用中还没有包括公司的财务报表审计费，比平均增长57%。中国企业内部控制规范制定原则 内控标准原则：立足国情，实行创新突出重点，解决问题 降低成本，稳步推进 内控标准定位：以财务报告真实可靠为主、兼顾其他控制目标的内部控制目标体系；初步构建了以控制规范为基础、以评价规范为配套的内部控制标准体系；着手探索以政府部门为引导、广大企业主动参与的内部控制实施体系。 财政部、证监会、审计署、银

9、监会、保监会 关于印发企业内部控制基本规范的通知 (财会20087号) 为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了企业内部控制基本规范，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。 二00八年五月二十二日企业内部控制五大目标企业内部控制定义 内部控制是由

10、企业董事会/监事会、管理层和全体员工共同实施的、旨在合理保证企业战略、经营的效率和效果、财务报告及管理信息的真实可靠和完整、资产的安全完整、遵循国家法律法规和有关监管要求的一系列控制活动。企业内部控制目标 1.战略目标 2.营运目标 3.报告目标 4.资产目标 5.合规目标案例：大唐电信会计信息迷雾 2006年10月28日，发布业绩预增公告，称经过公司财务部门初步测算，预计2006年全年实现盈利（上年同期亏损6.96亿元）。10月27日（周五），大唐电信收盘于10.88元，10月30日（周一）收盘于10.91元。 （600198.SH）的信任感被伤害了，一位全仓购入大唐电信的投资者遭遇了4月5

11、日跌停板后向第一财经日报表示：“我被愚弄了，大唐电信业绩不仅发生转变，而且要被*ST了。”大唐电信2007年4月5日跌停的直接原因，是其当天发布了2006年业绩预亏公告。而在五个多月前，大唐电信预计2006年将扭亏为盈。在这五个多月时间里，大唐电信股价上涨了80.97%，最高接近翻番。内部控制5要素内部控制如何降低风险？ 暴露的金额暴露的金额发生的发生的可能性可能性风险的大小风险的大小内部控制内部控制降降低低成成 功功内部控制的核心理念有效的有效的内部控制内部控制风险与经营回风险与经营回报的良好平衡报的良好平衡控制环境控制环境风险评估风险评估控制活动控制活动信息和沟通信息和沟通监控监控营营经经

12、务务财财守守遵遵单位单位 1单位单位 2单位单位 3单位单位 4控制要素控制要素控制类别控制类别 内部环境 公司治理环境公司治理环境 公司组织环境公司组织环境 人事环境人事环境 激励环境激励环境 文化道德环境文化道德环境 1.公司治理环境 负责内部控制负责内部控制的建立健全和的建立健全和有效实施有效实施负责组织领导负责组织领导内部控制日常内部控制日常运行运行结合内部审计监督，结合内部审计监督，对内部控制有效性对内部控制有效性进行监督检查进行监督检查股东会股东会董事会董事会经理层经理层监事会监事会对董事会建立与实对董事会建立与实施内部控制进行监施内部控制进行监督督职能部门职能部门执执行行线线监监

13、督督线线负责审查内部控制，监督负责审查内部控制，监督内部控制的有效实施和自内部控制的有效实施和自我评价情况，协调内部控我评价情况，协调内部控制审计制审计审计委员会审计委员会内审机构内审机构岗位人员岗位人员监督岗位监督岗位 2.公司组织环境公司组织环境（1）组织设置的原则）组织设置的原则 权责对等权责对等 统一指挥统一指挥 精干高效精干高效 目标原则目标原则 分工协作分工协作 市场适应市场适应 3.人事环境 岗位设置 作业配置 岗位关系 岗位资源配置 岗位任职资格（岗位人员选择） 特别岗位人员特殊措施 工作轮换 强制休假 特别担保 责任保险 4.激励环境1激励的基础 优奖 业绩评价 劣惩2激励的

14、方法 股权、股票期权、精神、物质 “两手都要抓，两手都要硬” 5.文化道德环境 软管理 隐形控制 制度真空的“填充物”陈同海双规思考 2007年6月，经中共中央批准，中共中央纪委、监察部对中国石油化工集团公司原总经理、党组书记陈同海严重违纪问题进行立案检查。 陈同海在担任中国石油化工集团公司副总经理、总经理和兼任中国石油化工集团股份有限公司副董事长、董事长期间，利用职务便利，为他人谋取利益，收受钱款数额巨大；利用职权为情妇谋取巨额不正当利益；生活腐化。 陈老虎在集团内的霸道是出了名的。每日挥霍4万元，一个月120万，一年就是1440万元，当纪委警告他要收敛些时，他大言不惭地说，我一年上交税款2

15、00亿，这点算什么？控制环境控制环境风险评估风险评估控制活动控制活动信息和沟通信息和沟通监控监控营营经经务务财财守守遵遵单位单位 1单位单位 2单位单位 3单位单位 4确定确定控制要素控制要素控制类别控制类别1.风险识别（1）识别内部风险应关注的因素董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。组织机构、经营方式、资产管理、业务流程等管理因素。研究开发、技术投入、信息技术运用等自主创新因素。财务状况、经营成果、现金流量等财务因素。营运安全、员工健康、环境保护等安全环保因素。其他有关内部风险因素。 （2）识别外部风险应关注的因素经济形势、产业政策、融资环境、市场竞

16、争、资源供给等经济因素。法律法规、监管要求等法律因素。安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。技术进步、工艺改进等科学技术因素。自然灾害、环境状况等自然环境因素。其他有关外部风险因素。2.风险分析 评价风险的重要程度 评估风险发生的概率 考虑应当如何管理风险，即评估需要采取的措施。 风险规避 风险降低 风险分担 风险承受 标题COSO2 企业风险管理构成内部环境内部环境 风险管理哲学风险管理哲学-风险文化风险文化-董事会董事会-诚信与道德诚信与道德-能力承诺能力承诺-管理层哲学与经营风格管理层哲学与经营风格-组织结构组织结构-责权责权划分划分-人力资源政策与实务人力资源政

17、策与实务-环境差异环境差异信息与沟通信息与沟通 信息信息-战略性与整体系统战略性与整体系统-沟通沟通 风险评估风险评估 固有风险、剩余风险固有风险、剩余风险-可能性和影响可能性和影响-定性与定量定性与定量,工作方法、技巧工作方法、技巧-相关性相关性 风险应对风险应对 确认风险应对确认风险应对-评价可能风险应对评价可能风险应对-选择应对选择应对-组合视角组合视角控制活动控制活动 结合风险应对结合风险应对-控制行动类型控制行动类型-一般控制一般控制-应用控制应用控制-子公司具体情况子公司具体情况 监控监控 持续持续-分别评价分别评价-报告不足报告不足 事项识别事项识别 事件事件-影响战略与目标之因

18、素影响战略与目标之因素-工作方法和技巧工作方法和技巧-相互依存事件相互依存事件-事件分类事件分类-风险与机遇风险与机遇 目标设定目标设定 战略目标战略目标-相关目标相关目标-选定目标选定目标-风险偏好风险偏好-风险容忍度风险容忍度 什么因素什么因素可能会可能会妨碍妨碍本部门本部门实现其关键的业务目标实现其关键的业务目标? 要成功要成功, 需要完成一些必要的工作和程序需要完成一些必要的工作和程序, 而什么而什么因素因素会会阻碍这些工作和阻碍这些工作和程序的完成和实现呢程序的完成和实现呢? 发生率发生率: 这些风险中这些风险中, 什么风险是什么风险是最可能发生的最可能发生的? 影响影响: 哪些风险

19、将对本部门哪些风险将对本部门实现其预定目标实现其预定目标的能力产生的能力产生最重大的影响最重大的影响? 有什么有什么有效的控制机制有效的控制机制可以可以减少减少这些风险及其这些风险及其影响影响? 企业风险管理架构董事会审计委员会风险管理委员会风险管理部门内部稽核 运营管理根据中国证监会要求根据中国证监会要求证券公司治理准则（试行）证券公司治理准则（试行）设计的企业风险管理架构设计的企业风险管理架构董事会风险管理委员会风险管理委员会应包括独立董事，且至少有三名成员。该委员会必须要高度独立，以监控运营单位的风险管理。其职责有： 协助管理层决定公司的风险取向 负责建立并维护有效的风险管理 负责监控风

20、险信息在公司纵向或横向报告的过程，并对有关管理人员提供必要的协助 制定风险管理的政策和策略 提供适当的培训，在公司内部建立起一种具有风险意识的企业文化 为公司的业务部门建立内部风险政策和结构 设计风险管理的流程，并对其进行审查 协调各种对组织内部风险管理问题提供建议的职能行为 制定风险应对程序，包括或有事项、业务持续方案 为董事会和利益相关者编制风险报告风险评值最高51722232425高41218192021中3613141516低22891011最低113457影响影响0.10.250.50.750.9可能性可能性基本不可能不太可能可能很可能基本会发生风险风险 1风险风险 5风险风险 4风

21、险风险 2风险风险 3风险风险 8风险风险 7风险风险 6风险评估风险评估风险应对策略可可能能性性高高减少减少避免避免低低接受接受转移转移低低高高影响影响实际的风险应对战略举例减少减少质量控制，管理与标准财务控制标准操作程序检查新员工条件研发与技术发展 应急计划 结构培训与其他程序监督避免避免决定退出某一地区当检查发现客户无信用时，决定不再与该客户进行交易决定不出售明知是一种不道德的产品接受接受成本效益原则，如针对风险制定控制与其他回应决定在一个面临绑架高风险的国家运营你无法控制接受超过 1,000,000的保险费政策为提高销售数量，接受高信用风险客户转移转移采取保险政策定期维护外包给设备管理

22、公司与供应商签订的合同应明确不能满足约定条件时，可以获得财务补偿1.与其他公司建立合资公司，与其共同开发商业机会风险应对方法 1.风险回避企业对走出整体风险承受能力或者具体业务层次上的可接受风险水平的风险，应当实行风险回避。 2.风险承担企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后无意采取进一步控制措施的，可以实行风险承担。 3.风险降低企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意单独采取进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险降低。 4.风险分担企业对在整体风险承受能力和具体业务层

23、次上的可接受风险水平之内的风险，在权衡成本效益之后愿意借助他们力量，采取包括业务分包、购买保险等进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险分担。审计的审计的范围范围企业风企业风险管理险管理预防预防与管理与管理层共同层共同参与参与重视交易重视交易遵守职能遵守职能重视过程重视过程协助管理层自我评价协助管理层自我评价内部审计职能内部审计职能管理层的期望管理层的期望侦察侦察加强加强咨询咨询目标目标 1风险风险控制控制 (A) 短期目标短期目标: 2002 年度实现利润增长10%:- 销售收入增长20%- 经营成本降低15% (B) 长期目标长期目标: 在未来五年内实现利润平均每年

24、净增长10% - 由于不可靠的和不切实际的销售预测, 在进出口业务中造成严重囤货和存货作废. - 由于履行不平等的或不利的合同条款而造成严重损失 (如赔偿损失, 名誉损害) - 由于未被授权的/给予过多的折扣造成毛利降低或直接亏损 - 严重的坏帐损失 - 有效的编制和控制经营计划和财务预算 - 采取措施增强销售预测的准确性并且只承担经过衡量并能接受的风险, 比如: 获得可靠的市场信息, 将实际情况与预算进行比较等 - 在主要的经营领域建立制度和程序 (须涵盖集团总部的制度和程序): 销售, 采购, 财会, 投资等 目标目标风险风险控制控制 有效的资金管理 产生人民币万由于以下原因造成现金流预算

25、的失效并造成资金危机, 会导致例如供应商停止供货造成生产延误而不能执行合同的信誉损失： -与供应商和客户签订不平等或不利的合同 -过长的付款条款 -经常性的没有从供应商获得赊销坏帐 (不当的信用控制和应收货款管理）错误的投资决策不必要的资金支出源于未经授权的多余的采购，不适当的付款和舞弊行为，付款错误等投机行为，如高风险的投资 资金预算的计划和控制按月份的资金预算报告（将上月的实际发生和预算相比较制定下月的预算）信用控制制度和程序, 包括信用审阅收款的制度和程序合同审阅过程对投资项目进行控制采购和付款控制防止投机行为的措施 目标目标风险风险控制控制 建立一个准确的，可靠的和及时的财务系统 由于

26、不准确，不可靠，不及时的财务会计和管理报告或信息而造成错误的管理决策, 以及在年末才反应出来的令人不悦的经营结果 由于以下因素造成的不准确，不可靠和不及时的财务和管理报告： - 不合格的，能力不够的财务经理和财务人员- 有弊病的财务系统：不完整或不相容，处理大量核算和交易但是财务系统没有实行电算化 资源的超负荷使用严格的财务和会计制度和程序财务部门的领导能力使用适当的人员教育和培训 年终结帐前的检查：检查帐目是否放映了实际情况 各种控制活动：核实查证，授权，审批，对帐(银行和供应商），责任分离，资产的安全保护 固定资产现场视察年度库存盘点周期性库存盘点现金库存抽查集团所有公司内部之间的对帐专业

27、的税收和法律检查加强内部审计部门的职能企业目标企业目标风险风险内部控制内部控制评价评价1. 2. 3. 4. 5. 小组讨论小组讨论: 请将前面讨论过的企业目标请将前面讨论过的企业目标, 风险风险, 内部控制内部控制的关系综合起来的关系综合起来, 并提出小组的见解并提出小组的见解: 控制环境控制环境风险评估风险评估控制活动控制活动信息和沟通信息和沟通监控监控营营经经务务财财守守遵遵单位单位 1单位单位 2单位单位 3单位单位 4控制要素控制要素控制类别控制类别 控制活动 不相容职务的分离 授权批准 会计系统控制 预算控制 财产安全控制 电子信息技术控制 运营分析（风险评估抑或控制活动） 绩效考

28、评1.不相容职务的分离授权授权监督监督执行执行记录记录保管保管2.授权批准 一般授权 特别授权 预警机制3.会计系统控制 会计一方面可以从流程控制的角度发挥控制作用，另一方面，可以从信息控制的角度来发挥控制作用。 建立岗位责任制 可靠的凭证控制 完整的簿记控制 严格的核对控制 规范的账务处理流程 适当的会计政策和程序4.预算控制1预算编制模式 “自上而下”式的编制模式 “自下而上”式的编制模式 “自上而下”式和“自下而上”式的相互结合2预算考核5.财产安全控制 限制接近 限制接近现金 限制接近其他易变现的资产 限制接近存货 限制接近档案资料 定期盘点和比较 保险6.电子信息技术控制 1一般控制

29、（1）数据中心运行控制（2）系统软件控制（3）访问安全控制（4）应用系统开发和维护控制 2应用控制 “制度”与“技术”之间具有互补性评估适当的控制 能做什么工作来降低发生风险的可能性? 这些工作或活动现在存在吗? 足够吗? 现有的控制活动是否明确, 独特且没有彼此重复? 效率效率: 有没有更容易的或者成本更低的控制风险的方法? 效果效果: 这些控制活动是不是有效地降低了风险?控制环境控制环境风险评估风险评估控制活动控制活动信息和沟通信息和沟通监控监控营营经经务务财财守守遵遵单位单位 1单位单位 2单位单位 3单位单位 4控制要素控制要素控制类别控制类别 信息与沟通 会计信息系统 统计信息系统

30、沟通（内部沟通、外部沟通） 常规的沟通渠道 非常规的沟通渠道 申诉、举报、网站、领导接待日 必须通过某种方式，在一定的时间之内明确、获得并传达沟通相关信息以确保人们能够履行其职责。 信息系统提供有关财务、经营和法律法规的遵守等信息的报告，这些信息使企业的管理控制成为可能。 所有员工必须从高级管理层获得明确的信息指令，即所有人都必须认真看待和履行控制职责。反舞弊机制1.反舞弊的内容 在财务报告和信息披露方面弄虚作假。未经授权、滥用职权或者采取其他不法方式侵占、挪用企业资产。在开展业务活动中非法使用企业资产牟取不当利益。企业高级管理人员舞弊给企业内部控制和经营管理可能千万的重大影响。员工单独或者串

31、通舞弊给企业造成损失。2.完善投诉、举报管理制度 企业可以设置舞弊举报热线，明确投诉、举报处理程序、办理时限和办理要求确保投诉、举报成为企业反舞弊和加强内部控制的重要途径。控制环境控制环境风险评估风险评估控制活动控制活动信息和沟通信息和沟通监控监控营营经经务务财财守守遵遵单位单位 1单位单位 2单位单位 3单位单位 4控制要素控制要素控制类别控制类别 内控系统需要监控 内控系统的监控通过以下工作实现： 进行中的监控工作 单独的评估 (内部审计) 二者的结合 内部控制的不足应当逐级向上汇报，重大问题要报最高管理层和董事会。 监控 基本规范指出，企业应当根据本规范及其配套办法，制定内部控制监督制度

32、，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。 持续性监控（一般监控或日常监控） 个别监控（专项监控） 缺陷报告（CEO、CFO、审计委员会）内部审计与内部控制企业内部审计的设立与科学定位：内部审计机构的职责：v 审计会计帐目v 稽查、评估内部控制制度v 企业内部职能部门工作效能评估v 向管理当局提出建议报告内部审计部门的定位：1、由审计委员会领导1、由监事会领导2、由董事会领导3、由财务副总或财务总监领导内部审计的主要目标：v 审查和评价业务处理授权的全面性和准确性v 审查和评价业务活动发生的真实性、合法性v 审查和评价财务

33、与会计处理程序的合法性、合理性v 审查和评价各种经济信息资料的真实与完整性v 评价经营目标的实现程度和管理控制系统的完备性内部控制的局限内部控制的局限主要表现在：内部控制的局限主要表现在：内部管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去应有的控制效能。内部管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去应有的控制效能。内部人员相互串通作弊导致相关内部控制失去作用。内部人员相互串通作弊导致相关内部控制失去作用。内部人员素质不适应岗位要求，影响内部控制功能的正常发挥。内部人员素质不适应岗位要求，影响内部控制功能的正常发挥。成本效益问题。成本效益问题。对于不经常发生或未预计到的经济业务，原有

34、的控制可能不适用。临时控制若对于不经常发生或未预计到的经济业务，原有的控制可能不适用。临时控制若不及时会影响内部控制的作用。不及时会影响内部控制的作用。各管理层内控职责 1.董事会2.管理层3.风险管理人员4.财务负责人5.内部审计人员6.企业员工 各管理层内控职责董事会1/6董事会直接影响内部环境控制基础，其在内部控制中的重要职责表现为： 1.科学选择恰当的管理层并对其进行监督；2.清晰了解管理层实施有效的风险管理和内部控制的范围；3.知道并同意企业的最大风险承受能力；4.及时知悉最重大的风险以及管理层是否恰当地予以应对。各管理层内控职责管理层2/6 管理层直接对一个企业的经营管理活动负责。

35、企业总经理（首席执行官）尤其承担重要责任，其职责包括： 1.为高级管理人员提供领导和指引； 2.定期与主要职能部门营销、生产、采购、财务、人力资源等部门的高级管理人员进行会谈，以便对他们的职责，包括他们如何管理风险，进行核查。各管理层内控职责风险管理人员3/6 风险管理人员的职责包括：1.建立风险管理政策；2.确定各业务单元对于风险管理的权利和义务；3.提高整个企业的风险管理能力；4.指导风险管理与其他经营计划和管理活动的整合；5.建立一套通用的风险管理语言；6.帮助管理人员制订报告规程；7.向总经理（首席执行官）报告进展和暴露的问题。各管理层内控职责财务负责人4/6 财务负责人的活动应当贯穿

36、企业经营管理全过程，而不仅仅是财务活动。 其在制订目标、确定战略、分析风险和作出管理决策等时应扮演一个关键的角色。 管理层应当赋予财务负责人参与决策的权力，并支持其关注经营管理的更广范畴，局限财务负责人的关注领域和知悉范围，会削弱、制约企业的管理能力。 各管理层内控职责内部审计人员5/6 内部审计人员在评价内部控制的有效性，以及提出改进建议方面起着关键作用。 企业应当授予内部审计部门适当的权力以确保其审计职责的履行；对内部审计部门负责人的任免应当慎重；内部审计部门负责人与董事会或审计委员会应保持畅通沟通；应当赋予内部审计部门追查异常情况的权力和提出处理处罚建议的权力。 各管理层内控职责企业员工

37、6/6 所有员工都在实现内部控制中承担相应职责并发挥积极作用。 管理层应当重视员工的作用，并为员工反映诉求提供信息通道。 内控的建立和执行内控的建立和执行内部控制主体内部控制主体内部控制客体内部控制客体内部控制目标内部控制目标内部控制方式内部控制方式（一）融于管理机制的内部控制要素（一）融于管理机制的内部控制要素1.内部控制主体 企业内部控制基本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 “内部”的原则性标准 内部控制主体的层次性具有层次性的内部控制主体具有层次性的内部控制主体2.内部控制客体“内部”的派生标准控制的客体包括 财产（可扩展至资源？

38、） 拥有所有权；拥有所有权； 信息 拥有控制权；拥有控制权； 交易（交易双方至少有一方属于“内部人”） 拥有使用权。拥有使用权。 3.内部控制目标 企业内部控制基本规范中，内部控制的目标是：O 合理保证企业经营管理合法合规O 资产安全O 财务报告及相关信息真实完整O 提高经营效率和效果 促进企业实现发展战略。 4.内部控制方式 基本规范要求，企业建立与实施有效的内部控制，应当包括的要素： 内部环境内部环境实施内部控制的基础（包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等） 风险评估风险评估及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。 控

39、制活动控制活动根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。 信息与沟通信息与沟通及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。 内部监督内部监督对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。融于管理体系中的内部控制手段 组织控制 组织治理 组织结构 岗位设置 流程控制 信息控制 人事控制 物理控制基本规范中的内部控制要素 内部环境内部环境 风险评估风险评估 控制活动控制活动 信息与沟通信息与沟通 内部监督内部监督（二）内部控制制度设计原则 全面性 重要性 制衡性 适应性 成本效益 （三）企业内部控制的企业内部控制的10种方法种方法1、 组织规划控制：组织规划控制： 职务不兼容制度(1)杜绝交叉任职 (2) 领导班子分设 管理