企业内部控制实施问题与案例分析-夏文贤ppt课件.ppt

1、内部控制实施问题与案例分析夏文贤,1,内部控制和风险内部控制实施问题,2,3,内部控制系统、动态的过程,内部控制的定义： 内部控制是一个过程 内部控制由企业董事会、监事会、经理层和全体员工来实施 内部控制为实现企业经营目标提供合理的保证 内部控制是：由企业董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。,内部控制系统框架,内部 监 督,信 息 沟 通,控 制 活 动,风 险 评 估,内 部 环 境,企业战略,经营效益 和效果,财务报告及管理信息真实完整,

2、资产的安全完整,遵守国家法律法规和有关监管要求,董 事 会,监 事 会,经 理 层,全体人员,保证信息能及时有效地沟通的流程 来自高级管理层的信息 政策及流程 培训 道德标准 IT信息系统,对内部、外部影响企业的因素的评估 集团层面的风险评估 流程层面的风险评估,对内控制度设计充分性，执行有效性进行监督,达到控制目标的活动和经营程序 授权 批准 日常操作流程及系统 职责分离 会计对帐 财务和管理软件中的自动控制,企业内部控制的道德意识，是“来自高层的声音” 道德标准 高级管理层价值观 公司治理,4,风险,风险定义：可能对目标的实现产生影响的事件发生的不确定性。在经营管理活动中，风险常常被定义为

3、生产运营的弊端、失误或失败，从而给组织带来危机的可能性。 风险分类方法较多，一般的分类标准，可以分为：战略风险、财务风险、市场风险、运营风险、法律风险等。,5,风险因素,事件 影响目标业绩的 内外部事件,风险 事件或环境负面影响实体目标业绩的可能性,机遇 事件产生及正面影响目标业绩的可能性,环境 影响风险物化可能性的 环境或状态,正面 向上,负面 向下,风险因素、事件、环境、机遇及风险定义,事件有正面效应、负面效应或两者皆有 具有负面效应的事件意味着会产生风险 具有正面效应的事件可以抵消不利的影响或产生有利机会,周边环境与风险产生的可能性紧密相关 例如：劳动力未经培训可能导致频繁发生事故,机遇

4、支持创造价值或使价值持续 管理层创造时机来支持战略或目标设置的程序，该行为可阐述为抓住机遇,具有负面影响的事件会抵制价值创造或者侵蚀已有价值 具有负面影响的事件可能来源于看似存在正面效应的机会，如：客户需求量超过其生产能力,6,7,过度的风险 资产的损失 业务决策不流畅 不守法 丑闻,过度的控制 官僚作风 生产力 复杂性 周期 非增值性活动,内部控制与风险管理的关系风险和控制的平衡,8,剩余风险 （风险敞口）,多坏? 多快? 财务 声誉 法律法规 健康安全环保 相关利益者,可接受? 趋势 更好 更坏 没变化,固有风险 - 风险管理有效性 =,多好? 多快? 预防或 积极准备应对及恢复 提升,内

5、部控制与风险管理的关系风险敞口,9,通过业务流程的梳理识别确定业务风险点,通过风险影响和发生可能性的两维评估确定风险严重程度，进行风险排序，确定管理的优先顺序,采用穿行测试及执行有效性测试评估内部控制的设计和执行有效性。,明确公司的经营战略与股东价值目标,在经营战略之下确定公司的风险管理战略,通过内控自我评估体系的建立，定期评估内部控制的有效性,针对识别的风险点确定相应的控制目标与控制活动，并形成内控矩阵。,通过对评估薄弱环节的不断优化和改进不断提升公司的风险防范和管理能力,业务价值 和业务战略,发展组织 风险管理战略,Collect,Collect,Project,Project,识别关键业

6、务风险,Analyze,Analyze,Portfolio,Portfolio,风险的评估和衡量,Prioritize,Prioritize,明确控制目标与控制活动,持续 不断改进,定期的自我评估与监控,结合现有控制措施确定经有效控制后的剩余风险，并制定风险对应策略,内部控制实施是一个系统、动态、持续改进的过程,内控有效性 评估,剩余风险评估,10,内部控制实施路线图,信息化建设,11,内控实施路线图内控梳理对标,成立专属部门 确定梳理范围 实施风险评估 整理现有制度 辨识内控环节 对标管理规范,内控梳理对标,负责内控建立健全，有效实施，和自评,经理层 业务运营部门,董事会,日常监督 负责组织

7、协调内控的 建立实施及日常工作,对内控体系运行进行内部独立检查;向董事会报告监督检查中发现的内控重要和重大缺陷,内审或 内控自评部门,监督内控的有效实施和内控自我评价情况,审计委员会,其他专业委员会,内部独立监督,日常监督,12,内控实施路线图内控梳理对标（续）,成立专属部门 确定梳理范围 实施风险评估 整理现有制度 辨识内控环节 对标管理规范,内控梳理对标,风险识别和管理工具企业风险地图,13,内控实施路线图内控整改固化,记录内控缺陷 设计整改方案 完善内控制度 更新内控文件,内控整改固化,建立内部控制缺陷认定汇总表 记录内部控制缺陷成因、表现形式和影响程度 以控制目标为核心，打破部门和流程

8、局限，设计适合企业运营特点的整改方案 明确整改责任部门与责任人 明确整改完成期限 追踪整改进度 保留整改证据,14,内控实施路线图内控整改固化（续）,记录内控缺陷 设计整改方案 完善内控制度 更新内控文件,内控整改固化,内部控制手册、业务流程图与流程文件,15,内控实施路线图内控整改固化（续）,记录内控缺陷 设计整改方案 完善内控制度 更新内控文件,内控整改固化,内控活动与制度对接,16,内控实施路线图内控自评,制定监督制度 开展自我评价 跟踪缺陷整改 编制自评报告,内控自评,内控实施路线图内控审计,进行模拟审计 提供所需证据 出具管理声明 披露审计报告,内控审计,更系统化的测试方法，有利提高

9、内部团队水平 更专业化的整改建议，有利完善内部控制环节 更客观化的缺陷评定，有利了解审计师结论 更全面化的程序预演，有利资料准备与效率提高,17,18,内部控制实施路线图,信息化建设,19,内部控制的局限性,即使是设计最好、运行最出色的内部控制程序在其执行过程中也可能会受到多重因素的限制而不能达到其初衷 下列因素能削弱或逃避内部控制的效力： 意识的不专注 理解错误、判断失误 疏忽大意、不熟悉情况 分心、疲乏等 越权 篡谋,20,实现企业风控工作信息化的路线图,10,企业信息化的成熟度,0,企业风险及内控工作的成熟度,10,4、风险智能管理阶段,3、自动化风险管理阶段,2、自动化管控阶段,1、初

10、始阶段,识别当前软件中的重要控制点并进行测试 采用简单的工具，对重要的数据，比如财务数据和业务数据，进行分析,引入系统化的框架体系，全面识别企业使用的ERP系统中存在的自动化控制点并对其有效性进行测试,采用信息平台，对企业的风险管理流程，包括风险识别，风险评估，内控测试等环节，进行固化和自动化,将企业的风险管理系统和ERP系统进行有效的集成，形成风险管理和业务运营的有机融合,内部控制实施存在的问题,对内控的认识及重视程度仍存不足 缺乏良好内控环境，内控体系沦为摆设 内控实施缺乏有效的组织支持 实施内控仅定位于满足监管要求 未与时俱进，持续完善优化内控 内控体系与已有管理体系的融合需持续深化 内

11、控体系与管理体系割裂，出现“两张皮”现象 内控工作及成果定位不清，重复工作，造成管理资源浪费,21,内部控制实施存在的问题,重要领域内部控制仍需持续提升优化 制度建立与有效实施 缺陷整改与持续优化 以信息化手段固化内控规范，以系统控制逐步替代人工控制 内控评价形式化，质量不高 评价范围不全面、未开展实质性工作，缺陷认定标准随意性强 内控报告形式化、模式化程度高 内控审计局限于财务报告内控，内控审计专业水平不高,22,内部控制案例分析,23,内部控制案例人事和信息,案例一：虚假简历 人事纠纷 2010年6月，王某向一家公司求职时，伪造了简历和学历签订了劳资合同，担任该公司的部门经理一职。不久后，

12、公司发现王某难以胜任这一职位，进行了岗位调整，但在新的岗位上，王某还是被认为不能胜任。2011年10月，公司确认王某当时求职时存在简历和学历造假问题，决定对其予以开除。事后，王某要求公司赔偿经济损失。王某坚持认为，求职时其并没有伪造简历和学历，公司单方面解除劳动合同，应予给予经济补偿，并出具解除劳动关系的证明。,24,内部控制案例人事和信息,案例一：虚假简历 人事纠纷 由于不适当人员招聘、入职程序引起： 聘用不适当人员风险 劳资纠纷法律诉讼风险,内部控制的完善 招聘初期让求职者当场签字确认简历的真实性 对拟招录人员进行背景调查（背景调查的时间和内容） 设置试用期 编制员工手册 入职手续完备，依

13、法签订合同，请员工签收员工手册，将各项记录及时归档 适当的入职前培训,25,内部控制案例人事和信息,案例二：造假吃空饷 冒领工资 2011年，李某应聘到一家劳务派遣公司担任助理职务，主要负责为公司员工及派遣出去的劳务工办理入职、离职手续，编制工资表，代发工资、代缴社保等工作。2012年7月，李某在编制员工工资单时，私自增加了亲戚“小刘”的姓名和银行卡号，并为其编制了8000元的工资发放额。当她将工资表交给财务经理时，财务经理没有发现异常，很快地就签名确认。此后，李某胆子也逐渐大了起来，在工资单中加入多人名单，累计冒工资20多万元。,26,内部控制案例人事和信息,案例二：造假吃空饷 冒领工资 由

14、于缺乏核对和信息沟通不畅引起： 公司财产被侵占风险,内部控制的完善 设置其他岗位对工资表进行复核（与财务部门的工资总额、人力资源部门的人员名单进行核对） 强化工资审核审批权限和责任 关键岗位轮岗机制 避免内控执行中人情代替规则,27,内部控制案例人事和信息,案例三：虚假打折 侵吞营业款 不少商家为提升客户满意度会给销售终端的店长或负责人一定的打折权限，以处理各种突发状况。某公司在核对郭某负责的门店的打折权限使用情况时发现异常，调查后证实店长通过虚假打折、折让的方法侵占营业款。具体手法是：若存在使用现金消费的顾客时，郭某在销售单据的客户联上开具实际成交金额，但在财务收据联上开具的是打折后的金额，

15、差价被据为己有。另外发现，该店的员工均为郭某亲戚和朋友。,28,内部控制案例人事和信息,案例三：虚假打折 侵吞营业款 由于人员串通、缺乏审核和信息沟通不畅引起： 公司财产被侵占风险,内部控制的完善 加强授权管理，包括授权额度、授权方式管理，定期复核 加强单据核对，业务部门和财务部门信息沟通 改进信息系统控制 改进人员安排，降低人员串通的可能性,29,内部控制案例财务资产,案例四：虚假合同 挪用公款 2010年，业务部总监刘某在明知宋某的A公司没有供货能力的情况下，代表所服务的B公司与宋某的公司签订购货合同，并预付货款1370万元，至今尚有1200万元未归还。 2010年，刘某代表B公司支付15

16、00万元购入一批制药材料，并擅自以B公司的名义出具一份委托函要求供货方将提货单转至A公司名下，导致1500万元材料全部损失。 2010年，在明知A公司没有供货能力的情况下，B公司下属子公司谎称A公司可以出货，并安排子公司与A公司签订购货合同，预付货款400万元，至今尚有300万元未归还。,30,内部控制案例财务资产,案例四：虚假合同 挪用公款 公司财务管理、采购管理、授权管理存在缺陷，同时缺乏监督机制导致： 公司资金因虚假合同被挪用侵占,内部控制的完善 加强合同管理，包括合同签订、合同款项支付等 加强授权管理，严格控制特别授权，对于重大的业务和事项实行集体决策审批或者联签制度 加强合同履行过程

17、管理，对合同履行产生的资金流和实物进行有效的审批、监督与管理 加强内部监督，确保内部审计的独立性,31,内部控制案例财务资产,案例五：利用时间差 截留挪用资金 公司员工的报销均又雷某负责，经审核批准后由雷某向银行提供数据包以便转账。雷某在经手报销时，篡改数据包，通过打时间差，将后面报销款先达到自己预先设立的账户，过一段时间后再从自己账户划账给真正的报销人。四年间，共向其个人账户打入400多万元。 公司的未到期银行承兑汇票由雷某管理。在不到1年的时间里，雷某私自利用财务印章，共将27张未到期承兑汇票提前贴现至个人账户，到期时再从个人账户专制公司账户，涉及票据金额达1900万元。,32,内部控制案

18、例财务资产,案例五：利用时间差 截留挪用资金 公司与银行缺乏有效核对机制、经审核数据被修改、缺乏有效票管理制度导致： 公司资金被挪用侵占,内部控制的完善 加强财务数据的汇总、复核，改善财务资金岗位的相互牵制等 公司数据与银行回单定期逐项勾对复核 加强信息系统控制，经审核数据不能任意更改 建立票据登记管理，定期盘点，完善票据贴现审批程序，加强财务印章管理等。,33,内部控制案例财务资产,案例六：计提核销数多项应收款 某公司2014年应收账款、其他应收款计提坏账准备64项，涉及金额6300多万元；当年核销应收款88项，涉及金额2300多万元。核销的其他应收款涉及的类型庞杂，单项金额小，此外，还有大

19、量的个人借款、个别代扣社保款等。,34,内部控制案例财务资产,案例六：计提核销多项应收款 公司信用管理、应收款管理存在缺陷导致： 公司资金信用风险,内部控制的完善 建立完善的信用管理政策，对客户充分进行资信评估，加强授信管理，控制坏账率 加强应收款催收管理 加强坏账管理，对坏账的核销建立完备的审批程序并及时处理，防止账外资金,35,内部控制案例销售采购,案例七：临时采购的漏洞 某公司建立客户服务中心，需统一采购电脑设备。根据公司采购流程，应进行统一的招投标集中采购，具体流程包括：供应商资格审核、招标、采购、验收等。因公司主业为家电生产销售公司，电脑属临时设备采购，公司之前未建立合格供应商名单，采购部门负责人请IT部门推荐供应商名单。整个招标过程严格按公司既定程序进行，最终由IT部门抽样对购入的电脑进行验收。但服务中心运行不到半年，频繁出现电脑死机问题，进而发现采购的电脑大部分为改装后的低端机和翻新机。,36,内部控制案例财务资产,案例七：临时采购的漏洞 公司采购过程中不相容职务未严格分离和招标资质为未严格审核导致： 公司运营风险,内部控制的完善 寻找供应商和采购验收不相容职务应严格分离 加强供应商资质审核，不仅进