风险管理与内部控制审计课件.pptx

《风险管理与内部控制审计课件.pptx》由会员分享，可在线阅读，更多相关《风险管理与内部控制审计课件.pptx（60页珍藏版）》请在三一办公上搜索。

1、风险管理与内部控制审计,1,课程内容,6,2,内部控制与职业舞弊,风险管理与内部控制审计,课程内容,3,为什么需要内部控制？,版权所有，侵权必究Copyright by 2013 all rights reserved,三鹿集团的破灭,自1993年起，三鹿奶粉产销量连续15年实现全国第一。 2007年，三鹿集团实现销售收入100.16亿元，同比增长15.3%。按三鹿自己的说法，三鹿一直在快车道上高速行驶，创造了令人振奋的“三鹿速度”。 2008年震惊中国的“三鹿牌婴幼儿配方奶粉重大安全事故” 发生了。2008年9月11日，卫生部证实：经调查，高度怀疑三鹿牌婴幼儿配方奶粉受到三聚氰胺污染。三聚氰

2、胺是一种化工原料，可导致人体泌尿系统产生结石。 三鹿毒奶粉事件持续发酵，引起广泛关注，三鹿集团声誉受到重创，市值严重下降，最终以拍卖收场。,事件回顾,版权所有，侵权必究Copyright by 2013 all rights reserved,案例总结和启示,内部控制的重要性,“内部控制能够帮助我们绕过途中的陷阱，到达目的地。 MOTOROLA总裁 加利吐克 防范、减轻业务活动中的风险! 提高企业的运行效率 防范作弊,版权所有，侵权必究Copyright by 2013 all rights reserved,内部控制为什么被忽视？,版权所有，侵权必究Copyright by 2013 all

3、 rights reserved,我的员工忠诚可靠，我相信我的员工 我们从没发生过问题 外部审计师在检查我们的财务报表 我没时间 程序耗时又没有用处 我最好还是把时间用在其它战略问题上面 ,您同意这种观点吗？,内控对战略的落地执行有用吗？,什么是内部控制？,COSO（1992）定义：内部控制是由企业的董事会、管理当局及其他人员为达到财务报告的可靠性、经营活动的效率性和效果性、相关法律法规得以遵循等三个目标而提供合理保证的过程。,企业内部控制基本规范（2008）定义：内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。控制目标：合理保证企业经营管理合法合规、资产安全、

4、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。,财务目标：保证财务报告的可靠性；经营目标：保证经营活动的效率性和效果性；遵循目标：保证相关法律法规得以遵循。,共同之处,版权所有，侵权必究Copyright by 2013 all rights reserved,为什么？,内部控制绝对不是： 静态的结构； 某一层次人员的任务（例如：高级管理层）； 某一部门的任务（例如：财务、内部审计）； 某一实体的任务（例如：总部、省级公司）。,整个集团的共同参与对于内部控制的顺利实施至关重要！,版权所有，侵权必究Copyright by 2013 all rights reserved

5、,内部控制的实质-风险管理,版权所有，侵权必究Copyright by 2013 all rights reserved,内部控制理论形成和发展的五个阶段：内部牵制、内部控制制度、内部控制结构、内部控制整体框架、企业风险管理框架。,目前应用最为广泛的是内部控制整体框架，ERM企业风险管理框架是对其的拓展，更加强调内控对风险的运用。,版权所有，侵权必究Copyright by 2013 all rights reserved,版权所有，侵权必究Copyright by 2013 all rights reserved,内部控制由谁负责？,1.组织内的内部控制,2.组织外的内部控制,内控范围？,内

6、部控制不止局限于公司内部，有时会延伸到企业外部。例如三鹿奶粉案例，对“奶农”、“奶站”的控制。,版权所有，侵权必究Copyright by 2013 all rights reserved,版权所有，侵权必究Copyright by 2013 all rights reserved,内部控制是万能的？,NO！,内部控制的局限性,内部管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去 应有的控制效能。内部人员相互串通作弊导致相关内部控制失去作用。内部人员素质不适应岗位要求，影响内部控制功能的正常发挥。即使是设置完善的内部控制，也可能因有关人员的疏忽、误解 和判断错误而失效；成本效益问题。 对于不

7、经常发生或未预计到的经济业务，原有的控制可能不适 用；临时控制若不及时会影响内部控制的作用（滞后性）。,版权所有，侵权必究Copyright by 2013 all rights reserved,SOX法案404条款要求在美上市公司管理层必须对内部控制的有效性出具自我评估报告，该报告需经注册会计师审计。 美国上市公司第一年遵循该条款的平均成本是440万美元，中国在美上市的44家公司第一年合计付出遵循成本近2亿美元。,成本高昂的萨班斯-奥克斯利法案（SOX法案）404条款,版权所有，侵权必究Copyright by 2013 all rights reserved,企业内部控制基本规范,版权所

8、有，侵权必究Copyright by 2013 all rights reserved,执行企业内控规范体系,版权所有，侵权必究Copyright by 2013 all rights reserved,(1)必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告,(3)注册会计师发现在内部控制审计过程中注意到的企业非财务报告内部控制重大缺陷，应当提示投资者、债权人和其他利益相关者关注,(2)聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告,版权所有，侵权必究Copyright by 2013 all rights reserved,COSO立方

9、体,内部控制目标,内部控制贯穿所有的业务部门,控制活动 确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。,监控不断评估内部控制系统表现。整合实时和独立的评估。管理层和监督活动。 内部审计工作。,控制环境 营造单位气氛让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础,信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流,风险评估 风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础,监控

10、,信息和沟通,控制活动,风险评估,控制环境,营运,财务报告,合规性,业,务,单,位,A,业,务,单,位,B,活,动,2,活,动,1,监控,信息和沟通,控制活动,风险评估,控制环境,营运效率效果,财务报告可靠性,法律合规性,务,单,位,A,业,务,单,位,B,活,动,2,活,动,1,业,控制环境：（Control Environment），反映单位最高管理部门，董事和所有者对控制及其重要性的态度的各种行为，政策和措施。,控制环境,版权所有，侵权必究Copyright by 2013 all rights reserved,内部控制的实质风险管理,企业必须了解它所面临的风险，并加以控制，即设立可辨

11、识、分析和管理相关风险的机制。内部控制是“企业风险管理（ERM)”不可分割的一部分风险必须直接与控制目标相关联、然后通过控制活动进行管理风险是阻碍实现目标的不确定性，用发生概率和影响程度来衡量,版权所有，侵权必究Copyright by 2013 all rights reserved,公司目标, 风险和内部控制的关系是什么?,什么叫风险？,点击添加文本,点击添加文本,点击添加文本,点击添加文本,风险管理八要素,内部环境,风险应对策略,风险规避,风险降低,风险分担,风险承受,企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略,企业在权衡成本效益之后，准备采

12、取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略,企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略,企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略,（Avoid）,（Reduce）,（Share）,（Accept）,版权所有，侵权必究Copyright by 2013 all rights reserved,影响程度,可能性,中等风险转移,高风险避免风险,中等风险降低风险,低风险接受风险,大,小,高,低,基本确定很可能有可能不大可能,风险应对策略的应用,版权所有，侵权必究Co

13、pyright by 2013 all rights reserved,控制活动,控制活动：为保障组织目标的实现，针对相关风险采取必要措施的政策和程序，控制活动包括：,职责分离/组织牵制 授权审批 会计系统控制 预算控制 财产安全控制 电子信息技术控制 绩效指标考评 。,企业必须基于风险评估的结果订立控制风险的政策 及程 序，并予以执行。通常可以按业务分别进行制定。,版权所有，侵权必究Copyright by 2013 all rights reserved,信息系统控制,信息 信息始终是企业管理活动最基本的支持，企业所有经营活动都离不开信息。沟通：沟通就是指信息的传递。沟通的分类: (1)内

14、部沟通; (2)外部沟通。沟通的方式和方法： “企业应当采取互联网络、电子邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时传递和共享，确保董事会、管理层和企业员工之间有效沟通。” (企业内部控制规范 ),信息与沟通,版权所有，侵权必究Copyright by 2013 all rights reserved,监督控制,版权所有，侵权必究Copyright by 2013 all rights reserved,内部审计与内部控制,内部审计：是企业内部的一个独立机构。内部审计目的：通过检查、评估组织内

15、部的各项活动，评估其效果和 效率，进行原因分析、提供咨询建议。,上市公司规模的日益扩大 机构和其业务的日益复杂 协助管理层更有效地履行其责任 提高企业的运作效率并增强其活动的附加值,审计会计帐目稽查、评估内部控制制度企业内部职能部门工作效能评估向管理当局提出建议报告,为什么要有内部审计？,内部审计机构的职责？,版权所有，侵权必究Copyright by 2013 all rights reserved,内控与审计、风险管理和企业管理的关系？,版权所有，侵权必究Copyright by 2013 all rights reserved,课程内容,31,职业舞弊（ACFE）,定义：利用个人职权通过

16、有预谋的误用或滥用组织资源或资产为个人谋取利益。舞弊行为可能损害组织的利益，也可能是为组织谋取利益，但这种谋取的利益是通过不正当手段获得，当该行为被曝光后，最终会给组织带来伤害。 舞弊者的范围涵盖职员（Employees）、经理层（Managers）及执行管理层（Executives/Upper management）职业舞弊的特点 是秘密的 违背了组织授予舞弊者的职责 以舞弊者直接或间接的财务利益为目的 以组织的资产、收入或储备金为代价,版权所有，侵权必究Copyright by 2013 all rights reserved,简介 世界上最大的反舞弊培训教育机构、也是迄今为止全球唯一一个

17、专门对舞弊予以查核的专业性组织 拥有37,000名会员，遍及50多个国家，会员包括：舞弊稽查师、审计师、调查员、法务会计、损失预防和安全主管、法律人员、犯罪学家、白领犯罪的研究员宗旨 减少职业舞弊和白领犯罪,版权所有，侵权必究Copyright by 2013 all rights reserved,ACFE 简介,Association of Certified Fraud Examiners 美国注册舞弊稽查师协会,舞弊三角,自我合理化,压力,机会,舞弊三角理论（ACFE）,（1）压力要素：企业舞弊者的行为动机。刺激个人为其自身利益而进行企业舞弊的压力大体上可分为几类：经济压力，恶癖的压力

18、，与工作相关的压力等。（2）机会要素：可进行企业舞弊而又能掩盖起来不被发现或能逃避惩罚的时机，主要有六种情况：缺乏发现企业舞弊行为的内部控制，无法判断工作的质量，缺乏惩罚措施，信息不对称，能力不足和审计制度不健全。（2）借口要素：真正形成企业舞弊还有最后一个要素借口(自我合理化)，即企业舞弊者必须找到某个理由，使企业舞弊行为与其本人的道德观念、行为准则相吻合，无论这一解释本身是否真正合理。企业舞弊者常用的理由有：这是公司欠我的，我只是暂时借用这笔资金、会归还的，目的是善意的，用途正当等。,版权所有，侵权必究Copyright by 2013 all rights reserved,课程内容,3

19、5,如何设计基于实质性漏洞的内部控制？,版权所有，侵权必究Copyright by 2013 all rights reserved,STEP1：明确公司目标,1.什么是公司目标？其应该包括什么？,目标：就是努力想要达到的状态、境界或目的。目标是行为的指向。 对于个人而言，由于愿景的不同可以有多种目标。 对于企业而言，有战略目标、经营目标等。 对于企业内部不同的专业部门或岗位来说，围绕企业总体要求，都与相应的目标。例如：财务管理要保证工作合规和报告真实准确；计划管理要保证完整、真实、准确、及时等。,本质目标 降低企业经营风险，以实现企业价值最大化,分项目标财务目标、经营目标和遵循目标。,业务目

20、标根据经营业务内容，如货币资金收付、采购与付款、销售与收款等具体业务设计的具体目标。,版权所有，侵权必究Copyright by 2013 all rights reserved,2.公司目标分解至业务层面：5321法,结果,行动,版权所有，侵权必究Copyright by 2013 all rights reserved,STEP2：企业风险评估,流程风险,版权所有，侵权必究Copyright by 2013 all rights reserved,3.风险识别,风险评估其实是一个输入转化为输出的过程,4.风险评估,版权所有，侵权必究Copyright by 2013 all rights

21、reserved,STEP3：制定相关控制,5.标准制定,版权所有，侵权必究Copyright by 2013 all rights reserved,6.政策制定,以流程图、二维图及文字描述的形式编制内控政策,版权所有，侵权必究Copyright by 2013 all rights reserved,如何保障内控的执行？,版权所有，侵权必究Copyright by 2013 all rights reserved,STEP4：控制执行,STEP 5：检查监督,（同前）,STEP 6：方案改进,接受差异，不做处理,修改/重建业务流程,调整关键控制点（CCP）或绩效控制标准（KPI）,迅速采取

22、纠正措施,方案改进相关措施,版权所有，侵权必究Copyright by 2013 all rights reserved,课程内容,45,点击添加文本,点击添加文本,点击添加文本,点击添加文本,风险管理审计与内部控制审计的比较,风险管理与内部控制审计实施要点 -以经济责任审计为例,1、审前调查阶段,一些事项的说明：主要工作：初步了解和评价被审计单位内部控制为后续审计工作确定重点审计方向，以提高审计的效率和质量可根据情况适当减少测试样本数量,工作步骤,组长或主审在编制审前调查方案时将内部控制审计任务予以明确各小组参加审前调查的人员根据方案进行内部控制测试各小组成员将测试结果提交至综合协调小组由综

23、合协调小组长进行汇总，向审计组主审提供对被审计单位内部控制的初步评价报告和对审计实施阶段工作重点方向的建议，供主审编制审计方案时参考。,测试方法,查阅历次内、外部审计档案，查阅企业各项内部管理制度和相关文件；询问被审计单位有关人员；检查内部控制过程中形成的凭证和记录；观察被审计单位的业务活动和内部控制的实际运行情况；选择有代表性的业务进行穿行测试。,风险判断,经初步了解后，审计组若判断被审计单位的内部控制风险高，可采用在审计实施阶段不进行内部控制测试和评价的审计策略，直接进入实质性测试。被审计单位根本没有内部控制或者内部控制信赖程度较低；存在固有风险和控制风险较高；内部控制不健全并且又没有补偿

24、控制、或者内部控制虽然存在，但通过了解发现其并未得到有效运行；企业自我监督约束机制缺失或管理层对内控的认知和重视程度低等。若审计组认为被审计单位的内部控制风险是可接受的，应考虑在审计实施阶段进行较为详细的内部控制测试和评价，并写入审计实施方案。,2、审计实施阶段,审计实施阶段，审计组应主要对被审计单位负责人履行经济责任的重点业务及其关键控制点进行符合性测试和实质性测试，评价被审计单位内部控制情况。,主要关注点,被审计单位是否按合法、合理原则，目标性原则，授权分权原则，职务分管控制原则，业务程序标准化原则，检查核对原则，效益原则等建立内部控制制度；内控制度是否全面、完善、有效；制度与制度、制度与

25、部门、部门与部门、部门与个人之间是否衔接相通，有没有不按程序或越权的行为；部门与部门之间有否横向制约程序；各职能部门是否严格执行规定的内控制度；各种制度的执行结果是否达到预期目的。,实施阶段内控测试和评价的程序,审计组各小组制订评价计划，确定人员分工及测试业务范围；通过观察、询问、填写调查表等手段进行初步了解；将测试业务进行分解，找出关键控制点，具体对业务关键控制点逐项抽样进行符合性测试，并将测试结果进行记录；确定评价标准。评价的标准是由被审计单位管理层负责制定的，内部审计人员要确定管理层是否已经建立标准以及这些标准是否适当。如果有标准，审计人员认为这些标准不适当，应对制定该标准负有责任的管理

26、层报告；如没有制定内部审计控制标准，内部审计人员应在考虑企业利益最大化的基础上，选择恰当的评价标准；根据测试结果对照评价标准进行评价；综合协调小组汇总各小组的内部控制评价报告，做为支撑审计报告相关内容的依据。,任期项目一般选取测试的范围和重点,筹资计划的编制及审批；各类重大投资、担保、资金运作的决策和审批；大宗物资采购的审批和招投标管理，重大工程项目立项审批和工程管理；大型固定资产购买审批和管理；重大销售合同的审批、价格执行、账款回收；采购计划的制订和执行；工资及福利的审批和执行等。,实务操作及案例,一些问题的说明:,该操作案例是根据某公司“内控评价体系项目”并结合任期经济责任审计的特点编写的

27、。该操作的核心是将多次经济责任审计内部控制测试累积的经验进行分析、总结，将测试的业务和关键控制点、评价标准、评分方法和体系等进行了相对固化，提高了开展内部控制审计的效率，同时兼顾了评价的科学性和客观性。审前调查阶段和审计实施阶段的内控测试是类似的，只是深度上有所区别，这里不再单独介绍审前调查阶段的内控测试。,实施阶段内控评价的重点内容,筹资计划的编制及审批；各类重大投资、担保、资金运作决策和审批；大宗物资采购的审批和招投标管理，重大工程项目立项审批和工程管理；大型固定资产购买审批和管理；重大销售合同的审批、价格执行、账款回收；采购计划的制订和执行；工资及福利的审批和执行。,具体测试步骤,1、根据测试调查表了解被审计单位内部控制现状2、根据测试工作底稿的内容要求进行逐项抽样测试,对结果进行记录3、依次对关键控制点、业务模块及综合情况进行评分4、将评价结果进行反馈,Thank you,