企业内部控制与风险管控.ppt

1、企业内部控制与风险管控,Company Logo,Contents,二,内部控制基本框架,一,内部控制体系构建,三,内部控制失效分析,Company Logo,内部控制基本框架,一,Company Logo,4,经济压力、工作压力、恶习等,WHY,机会,自我合理化,舞弊理论舞弊三角形理论（冰山理论）,Company Logo,舞弊理论GONE理论,Company Logo,舞弊理论舞弊风险因子理论,Company Logo,防止舞弊有效手段内部控制,法律法规使之不敢 内部控制使之不能 企业文化使之不愿,Company Logo,内控理论发展,第一阶段 内部牵制阶段，上世纪40年代前 第二阶段

2、内部控制制度阶段 40年代末至70年代 第三阶段 制度两分阶段 80年代至90年代 第四阶段 全面风险控制阶段 90年代之后,Company Logo,我国主要内部控制法律法规,国资委中央企业财务内部控制评价工作内部指引深圳交易所中小企业板上市公司内部审计工作指引银监会商业银行内部控制指引,国资委中央企业全面风险管理指引上海证交所上市公司内部控制指引深圳证交所上市公司内部控制指引保监会寿险公司内部控制评价办法（试行）,中国人行加强金融机构内部控制的指导原则,Company Logo,中国版萨班斯法案,2009年7月1日，财政部、证监会、审计署、银监会、保监会日前联合发布的企业内部控制基本规范正

3、式生效，并在上市公司范围内实施，同时鼓励非上市的大中型企业执行 。,Company Logo,中国版萨班斯法案,企业内部控制 应用指引,企业内部 控评价指引,企业内部控 制审计指引,Company Logo,中国版萨班斯法案,控制手段类指引,控制活动类指引,内部环境类指引,组织架构 发展战略 人力资源 社会责任 企业文化.,资金活动 采购业务 资产管理 销售业务 研究及开发 工程项目 担保业务 业务外包 财务报告,全面预算 合同管理 内部信息传递 信息系统,企业内部控制应用指引,Company Logo,内部控制的定义,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的

4、过程。 如何理解内部控制？ 1、是一个过程。 2、全员参与。 3、目标导向。 4、合理保证。,Company Logo,内部控制目标,内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。,Company Logo,内部控制的目标,1、促进实现发展战略 战略目标 2、促进提高经营管理效果效率 营运目标 3、促进提高信息报告质量 报告目标 4、促进维护资产安全完整 资产目标 5、促进国家法律法规有效遵循 合规目标,Company Logo,内控系统的整体架构,Company Logo,“内部控制整体框架”的特点, 明确对内部

5、控制的“责任” 强调内部控制应该与企业的经营管理过程相结合 强调内部控制是一个“动态过程” 强调“人”的重要性 强调“软控制”的作用 强调风险意识 揉和了管理与控制的界限 强调内部控制的分类及目标 明确指出内部控制只能做到“合理”保证 成本与效益原则,Company Logo,信息与沟通,控制环境,风险评估,控制活动,监 控,内部控制构成要素,Company Logo,信息与沟通,控制环境,风险评估,控制活动,监 控,构成一个企业的氛围，是其他内部控制要素的基础,内部控制构成要素,Company Logo,是任何企业的核心，是企业的人以及它所处的环境是推动企业的引擎，也是其他要素的基础,控制环

6、境的组成要素： 管理哲学和经营风格-传达公司的正直、诚实的道德规范 组织结构-董事会及其委员会职能 职责分配和授权-权利、职责分工 人事政策-保证员工正直并有能力胜任工作,内部控制构成要素,控制5要素之一：控制环境,Company Logo,是企业道德与行为准则的凝结，以及如何将这些价值观教化员工并诉诸实际行动 内部控制作为企业文化相当脆弱 任何人不得凌驾于内部控制制度之上,控制5要素之一：控制环境,1、管理哲学和经营风格,权力的杠杆作用,内部控制构成要素,Company Logo,提倡对正义、公理、公德 的忠诚，而非狭隘的“公 司忠诚”； 公司不能置公理和正义之 上。 价值观与基本素质 知识

7、结构与技能 经验及培训,实现道德准则的具体措施： 加强员工雇佣前的筛选，使不诚 实的人没有被雇佣的机会。 “亚洲对新员工进行调查的很少， 中国则几乎没有。”,控制5要素之一：控制环境,2、 人员素质与人力资源政策,内部控制构成要素,Company Logo,组织结构的定义： 通过提供完整的架构作用于组织实现其目标的能力； 是规定组织内部责任与授权的线型结构 组织结构设计必须覆盖组织活动的全部形式： 计划与决策，执行，控制，监督 组织结构设计的2个限制： 少一个不行；多一个冗余； 部门功能必须是线型的、支持的，而非拦截的,组织结构设计原理,3、组织结构设计,控制5要素之一：控制环境,计划与决策

8、做什么的组织安排,执行 落实决策与计划的组织安排,监督 保证执行与控制 的组织安排,控制 保证执行正确安全的 组织安排,内部控制构成要素,Company Logo,组织结构的设计因素： 确认授权和责任 确认报告路径 组织设计合理的流水线模式： 三个问题： 所有的事是否都有人做？ 行为者是否充分授权行事？ 所有行为是否有人承担责任？,企业成为权力角斗场的原因： 1.组织结构设计不确定： 对权力定义不清或定义错误,导致权力的涣散； 权力与责任不对称 2.权力结构不稳定： 权力成为公开招标物； 导致冲突和耍政治手腕。,控制5要素之一：控制环境,3、组织结构设计,内部控制构成要素,Company Lo

9、go,信息与沟通,控制环境,风险评估,控制活动,监 控,风险是一种潜在的问题或损失。 风险评估： 确定什么地方可能出错，会有什么影响？,内部控制构成要素,Company Logo,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。,内部控制构成要素,控制5要素之三：风险评估,Company Logo,内部控制构成要素,风险识别,目标设定,风险分析,风险分析,-,-,控制5要素之三：风险评估,Company Logo,内部控制构成要素,风险分为： 公司整体层面的风险 具体业务活动层面的风险 风险分析的步骤： 评估风险的重要性 评估风险发生的可能性（或发

10、生的频率） 考虑如何管理风险，即评估应采取何种行动,Company Logo,内部控制构成要素,风险识别是风险管理的第一步 风险识别基本方法 现场观察法 报表分析法 案例分析法 集合意见法 专家调查法 情景分析法 业务流程分析法,控制5要素之三：风险评估,Company Logo,风险产生的环境因素 法规或经营环境的改变 新加入的员工、较高的人员流动性 新的或改善过的信息系统 公司经理迅速发展时期 新技术的出现 新业务、新产品、新的经营活动或并购 公司重组 跨国经营,风险 评估,控制5要素之三：风险评估,内部控制构成要素,Company Logo,内部控制构成要素,规避风险,预防风险,分散风险

11、,转移分险,控制5要素之三：风险评估,Company Logo,信息与沟通,控制环境,风险评估,控制活动,监 控,为防范风险所采取的措施和行动。 控制活动包括：政策、标准、流程的建立，授权、批准，复核经营业绩，保护资产，职责分离 控制活动能够抵偿风险,内部控制构成要素,Company Logo,控制5要素之三：控制活动,确保管理指令付诸实施的政策和程序，属于组织的基础行为。,内部控制构成要素,Company Logo,控制活动的类型,事前事中事后,检查性控制,补偿性控制,预防性控制 纠正性控制,事前 事中事后,Company Logo,1、不相容职务分离控制 2、授权审批控制 3、会计系统控制

12、 4、财产保护控制 5、预算控制 6、合同管理 7 、电子信息技术控制 。,内部控制构成要素,控制5要素之三：控制活动,Company Logo,概念： 一项经济业务的发生，其授权、批准、执行、记录等从头 到尾由一个部门或一个人办理时，其发生错误或非法行为 的概率趋于增大的两项及以上的功能必须分割。 资产管理和处理职能与会计记录职能分离 交易批准与交易执行分离 交易执行与交易的会计报告责任分离（会计职能的特性） IT职能与关键用户分离,控制5要素之三：控制活动,1、充分的职责分工,内部控制构成要素,Company Logo,不同人员或部门之间的职责分工可以通过一系列检查措施，例如:降低发生错误

13、的风险，并控制人为蓄意的操纵. 避免独立个人同时负责一项完整的交易的发生、授权和记录，或避免独立个人在保管资产的同时负责记录其变动. 通过岗位轮换, 使更多的高级管理者参与日常运营的主要活动, 以外部视角来观察各个部门的运营.,控制5要素之三：控制活动,1、充分的职责分工,内部控制构成要素,Company Logo,控制5要素之三：控制活动,1、充分的职责分工,内部控制构成要素,Company Logo,授权分类： 一般授权 特殊授权 授权结构： 范围,权限，程序,责任； 授权类别： 资金审批授权， 合同签订授权， 业务处理授权， 价格制订授权， 资产与信息接触授权 授权与批准的区别： 授权-

14、是对一般交易或特殊交易的政策性制度决策； 批准-是对公司授权制度的具体执行。,“职位至高者，若一味偏爱权力，只能归入从属地位；反之， 职位至低者，若考虑全局，承担责任，即为高级管理层。” -彼得德鲁克：,2、 交易与业务行为的适当授权,控制5要素之三：控制活动,内部控制构成要素,Company Logo,项目事务权限,子公司事务权限,事业部事务权限,内部控制构成要素,Company Logo,信息与沟通,控制环境,风险评估,控制活动,监 控,为了实现控制目标，保证内部控制各个要素的可靠性，有关信息必须及时沟通。 信息沟通贯穿于整个控制,内部控制的 神经系统,内部控制构成要素,Company L

15、ogo,信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。,控制5要素之四：信息与沟通,内部控制构成要素,Company Logo,贯穿在风险评估和控制活动过程中 这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯，并交换这些资讯 信息系统：内部、外部 沟通：使员工知悉其在业务经营、财务报告及法律遵循方面的责任,控制5要素之四：信息与沟通,内部控制构成要素,Company Logo,控制5要素之四：信息与沟通,1、信息 信息系统利用内部生成的数据和来自外部渠道的信息，以便为管理风险和作出与目标相关的知情的决策提供信息

16、。,内部控制构成要素,Company Logo,1、信息,信息质量 内容相关 是不是所需要的信息? 提供及时 是不是在需要时可以及时提供? 时效性 是不是最新的? 正确性 数据是不是正确? 可获得性 是不是可以从正常渠道轻松获得? 。,控制5要素之四：信息与沟通,内部控制构成要素,Company Logo,1、信息,内部 每一各人都需要了解内部控制系统的相关方面，系统如何工作，以及他（她）本人在系统中的角色和职责 外部 与外部单位的交流经常能提供履行内部控制职能所需要的重要信息 监查部门例如证监会、财政部等提供的审阅或检查结果能够揭示控制的弱点 与股东、监管部门、金融分析师和其他外部单位的沟通

17、应提供与其需求相关的信息，以便其比较容易地理解企业所面临的环境和风险 。,控制5要素之四：信息与沟通,内部控制构成要素,Company Logo,2、沟通,有效的沟通会出现在组织中向下、平行和向上的流动。全体员工要了解其在内部控制中的职责，以及个人活动与其它人员的工作之间的联系，认真担负起内部控制的责任。 有向上沟通重要信息的渠道。 与外部也要有有效的沟通。,控制5要素之四：信息与沟通,内部控制构成要素,Company Logo,信息与沟通,控制环境,风险评估,控制活动,监 控,监督和评估内部控制系统设计合理性和运行有效性。,内部控制构成要素,Company Logo,内部监督是企业对内部控制

18、建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。 内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。 专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。,内部控制构成要素,Company Logo,控制5要素之五：监控,内部控制构成要素,整个内部控制的执行过程必须被监督 确保内部控制制度随情况的改变而作出动态的反应 应建立检查和报告体制

19、,Company Logo,控制5要素之五：监控,监督行为包括三个层次、三条路径：,部门日常监督 主管日常监督,部门自我评估,内部审计,内部控制构成要素,Company Logo,内部控制体系构建,二,Company Logo,内部控制体系设计背景,Company Logo,内部控制体系设计依据,企业内部控制应用指引,财政部等五部委,企业内部控制基本规范,企业内部控制评价指引,企业内部控制审计指引,国资委,中央企业全面风险管理指引,证券交易所,行业监督机构,上市公司内控指引 上交所内控指引 深交所内控指引,行业内控指引 商业银行内控指引 证券公司内控指引 保险公司内控基本准则,财政部等五部委出

20、台的企业内部控制基本规范为企业提供了完整和公认的内部控制框架，同时以法律的形式要求上市公司对本公司内部控制的有效性进行自我评价。,国资委出台的指引强调对风险的识别、分析、评价、防控和监督，为企业防控风险，建立控制体系提供指引。,应用指南具体提出18个具体流程的应用指引。在每个具体流程中规定了该指引的目的，相关定义，该流程的主要风险，岗位分工及授权批准，及主要流程的控制程序。 评价指引具体规范了内控评价的内容和标准，评价的程序和方法，内控缺陷的认定，以及规定了评价报告的相关内容。 审计指引指导注册会计师执行内控审计业务。,深交所出台了一系列的内部控制指引，为上市公司建立和实施内部控制制度提供指引

21、。,Company Logo,内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。,内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。,内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。,内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。,内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。,全面性,重要性,制衡性,适应性,成本效益,内部控制体系设计原则,Company Logo,内部控制体系设计步骤,确定控制目标 整合控制流程 识别控制环节 确定控制

22、措施,Company Logo,（一）确定控制目标,内部控制的四项基本目标: (1)战略目标。 (2)经营目标。 (3)报告目标。 (4)合规目标。 需要指出的是，以上四项目标均为基本目标或一般目标。在每项基本控制目标下，还可细化为若干具体控制目标。,Company Logo,（二）整合控制流程,控制流程，是依次贯穿于某项业务活动始终的基本控制步骤及相应环节。控制流程，通常同业务流程相吻合，主要由控制点组成。当企业的业务流程存在控制缺陷时，则需要根据控制目标和控制原则加以整合。,Company Logo,（三）识别控制环节,实现控制目标，主要是控制容易发生偏差的业务环节。这些可能发生错弊因而需

23、要控制的业务环节，通常称为控制环节或控制点。控制点按其发挥作用的程度而论，可以分为关键控制点和一般控制点。那些在业务处理过程中发挥作用最大，影响范围最广，甚至决定全局成效的控制点，对于保证整个业务活动的控制目标具有至关重要的影响，即为关键控制点;相比之下，那些只能发挥局部作用，影响特定范围的控制点，则为一般控制点。,Company Logo,（四）确定控制措施,控制点的功能，是通过设置具体的控制技术和手续而实现的。这些为预防和发现错弊而在某控制点所运用的各种控制技术和手续等，通常被概括为控制措施。,Company Logo,内部控制体系的建立,框架,制度,表格,流程,Company Logo,

24、内部控制体系的建立,流程,制度,报表,Company Logo,内部控制体系的建立,范例分享,HOW TO DO?,Company Logo,内部控制失效分析,三,Company Logo,组织结构不合理,不相容职责不分离,授权体系不分明,执行 问题,流程设计不合理,制度体系缺失,常见内控问题,内控设计与执行缺陷,企业内控体系失效原因,Company Logo,内控固有局限,两种错误 制度性错误： 因制度设计错误而引起的差错。 人为错误： 与制度设计无关纯粹因人为因素 而产生的错误。分2类： 善意错误： 恶意错误：蓄意破坏、对抗设计 良好的控制制度。,善意人为错误 管理层或其他员工因信息不充分，时间限制或其他流程问题，业务决策和判断失误； 对工作指令理解错误，疏忽懈怠，精力不集中，疲劳或岗位调动等原因导致控制失效