《企业内部控制与风险管控课件.ppt》由会员分享,可在线阅读,更多相关《企业内部控制与风险管控课件.ppt(73页珍藏版)》请在三一办公上搜索。
1、企业内部控制与风险管控,Company Logo,Contents,二,内部控制基本框架,一,内部控制体系构建,三,内部控制失效分析,Company Logo,内部控制基本框架,一,Company Logo,4,经济压力、工作压力、恶习等,WHY,机会,自我合理化,舞弊理论舞弊三角形理论(冰山理论),Company Logo,舞弊理论GONE理论,Company Logo,舞弊理论舞弊风险因子理论,Company Logo,防止舞弊有效手段内部控制,法律法规使之不敢内部控制使之不能企业文化使之不愿,Company Logo,内控理论发展,第一阶段 内部牵制阶段,上世纪40年代前 第二阶段 内部
2、控制制度阶段 40年代末至70年代 第三阶段 制度两分阶段 80年代至90年代 第四阶段 全面风险控制阶段 90年代之后,Company Logo,我国主要内部控制法律法规,国资委中央企业财务内部控制评价工作内部指引深圳交易所中小企业板上市公司内部审计工作指引银监会商业银行内部控制指引,国资委中央企业全面风险管理指引上海证交所上市公司内部控制指引深圳证交所上市公司内部控制指引保监会寿险公司内部控制评价办法(试行),中国人行加强金融机构内部控制的指导原则,Company Logo,中国版萨班斯法案,2009年7月1日,财政部、证监会、审计署、银监会、保监会日前联合发布的企业内部控制基本规范正式生
3、效,并在上市公司范围内实施,同时鼓励非上市的大中型企业执行 。,Company Logo,中国版萨班斯法案,企业内部控制应用指引,企业内部控评价指引,企业内部控制审计指引,Company Logo,中国版萨班斯法案,控制手段类指引,控制活动类指引,内部环境类指引,组织架构发展战略人力资源社会责任企业文化.,资金活动采购业务资产管理销售业务研究及开发工程项目担保业务业务外包财务报告,全面预算合同管理内部信息传递信息系统,企业内部控制应用指引,Company Logo,内部控制的定义,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。如何理解内部控制?1、是一个过程。
4、2、全员参与。3、目标导向。4、合理保证。,Company Logo,内部控制目标,内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。,Company Logo,内部控制的目标,1、促进实现发展战略 战略目标2、促进提高经营管理效果效率 营运目标3、促进提高信息报告质量 报告目标 4、促进维护资产安全完整 资产目标 5、促进国家法律法规有效遵循 合规目标,Company Logo,内控系统的整体架构,Company Logo,“内部控制整体框架”的特点, 明确对内部控制的“责任” 强调内部控制应该与企业的经营管理过程相
5、结合 强调内部控制是一个“动态过程” 强调“人”的重要性 强调“软控制”的作用 强调风险意识 揉和了管理与控制的界限 强调内部控制的分类及目标 明确指出内部控制只能做到“合理”保证 成本与效益原则,Company Logo,信息与沟通,控制环境,风险评估,控制活动,监 控,内部控制构成要素,Company Logo,信息与沟通,控制环境,风险评估,控制活动,监 控,构成一个企业的氛围,是其他内部控制要素的基础,内部控制构成要素,Company Logo,是任何企业的核心,是企业的人以及它所处的环境是推动企业的引擎,也是其他要素的基础,控制环境的组成要素:管理哲学和经营风格-传达公司的正直、诚实
6、的道德规范组织结构-董事会及其委员会职能职责分配和授权-权利、职责分工人事政策-保证员工正直并有能力胜任工作,内部控制构成要素,控制5要素之一:控制环境,Company Logo,是企业道德与行为准则的凝结,以及如何将这些价值观教化员工并诉诸实际行动内部控制作为企业文化相当脆弱 任何人不得凌驾于内部控制制度之上,控制5要素之一:控制环境,1、管理哲学和经营风格,权力的杠杆作用,内部控制构成要素,Company Logo,提倡对正义、公理、公德的忠诚,而非狭隘的“公司忠诚”;公司不能置公理和正义之上。价值观与基本素质知识结构与技能经验及培训,实现道德准则的具体措施:加强员工雇佣前的筛选,使不诚实
7、的人没有被雇佣的机会。“亚洲对新员工进行调查的很少,中国则几乎没有。”,控制5要素之一:控制环境,2、 人员素质与人力资源政策,内部控制构成要素,Company Logo,组织结构的定义: 通过提供完整的架构作用于组织实现其目标的能力; 是规定组织内部责任与授权的线型结构组织结构设计必须覆盖组织活动的全部形式: 计划与决策,执行,控制,监督组织结构设计的2个限制: 少一个不行;多一个冗余;部门功能必须是线型的、支持的,而非拦截的,组织结构设计原理,3、组织结构设计,控制5要素之一:控制环境,计划与决策做什么的组织安排,执行落实决策与计划的组织安排,监督保证执行与控制的组织安排,控制保证执行正确
8、安全的组织安排,内部控制构成要素,Company Logo,组织结构的设计因素:确认授权和责任确认报告路径组织设计合理的流水线模式: 三个问题:所有的事是否都有人做?行为者是否充分授权行事?所有行为是否有人承担责任?,企业成为权力角斗场的原因:1.组织结构设计不确定:对权力定义不清或定义错误,导致权力的涣散;权力与责任不对称2.权力结构不稳定:权力成为公开招标物;导致冲突和耍政治手腕。,控制5要素之一:控制环境,3、组织结构设计,内部控制构成要素,Company Logo,信息与沟通,控制环境,风险评估,控制活动,监 控,风险是一种潜在的问题或损失。风险评估: 确定什么地方可能出错,会有什么影
9、响?,内部控制构成要素,Company Logo,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。,内部控制构成要素,控制5要素之三:风险评估,Company Logo,内部控制构成要素,风险识别,目标设定,风险分析,风险分析,-,-,控制5要素之三:风险评估,Company Logo,内部控制构成要素,风险分为:公司整体层面的风险具体业务活动层面的风险风险分析的步骤:评估风险的重要性评估风险发生的可能性(或发生的频率)考虑如何管理风险,即评估应采取何种行动,Company Logo,内部控制构成要素,风险识别是风险管理的第一步风险识别基本方法 现
10、场观察法 报表分析法 案例分析法 集合意见法 专家调查法 情景分析法 业务流程分析法,控制5要素之三:风险评估,Company Logo,风险产生的环境因素法规或经营环境的改变新加入的员工、较高的人员流动性新的或改善过的信息系统公司经理迅速发展时期新技术的出现新业务、新产品、新的经营活动或并购公司重组跨国经营,风险评估,控制5要素之三:风险评估,内部控制构成要素,Company Logo,内部控制构成要素,规避风险,预防风险,分散风险,转移分险,控制5要素之三:风险评估,Company Logo,信息与沟通,控制环境,风险评估,控制活动,监 控,为防范风险所采取的措施和行动。控制活动包括:政策
11、、标准、流程的建立,授权、批准,复核经营业绩,保护资产,职责分离控制活动能够抵偿风险,内部控制构成要素,Company Logo,控制5要素之三:控制活动,确保管理指令付诸实施的政策和程序,属于组织的基础行为。,内部控制构成要素,Company Logo,控制活动的类型,事前事中事后,检查性控制,补偿性控制,预防性控制 纠正性控制,事前 事中事后,Company Logo,1、不相容职务分离控制2、授权审批控制3、会计系统控制4、财产保护控制5、预算控制6、合同管理7 、电子信息技术控制。,内部控制构成要素,控制5要素之三:控制活动,Company Logo,概念:一项经济业务的发生,其授权、
12、批准、执行、记录等从头到尾由一个部门或一个人办理时,其发生错误或非法行为的概率趋于增大的两项及以上的功能必须分割。资产管理和处理职能与会计记录职能分离交易批准与交易执行分离交易执行与交易的会计报告责任分离(会计职能的特性)IT职能与关键用户分离,控制5要素之三:控制活动,1、充分的职责分工,内部控制构成要素,Company Logo,不同人员或部门之间的职责分工可以通过一系列检查措施,例如:降低发生错误的风险,并控制人为蓄意的操纵.避免独立个人同时负责一项完整的交易的发生、授权和记录,或避免独立个人在保管资产的同时负责记录其变动.通过岗位轮换, 使更多的高级管理者参与日常运营的主要活动, 以外
13、部视角来观察各个部门的运营.,控制5要素之三:控制活动,1、充分的职责分工,内部控制构成要素,Company Logo,控制5要素之三:控制活动,1、充分的职责分工,内部控制构成要素,Company Logo,授权分类:一般授权特殊授权授权结构: 范围,权限,程序,责任; 授权类别:资金审批授权,合同签订授权,业务处理授权,价格制订授权,资产与信息接触授权授权与批准的区别:授权-是对一般交易或特殊交易的政策性制度决策;批准-是对公司授权制度的具体执行。,“职位至高者,若一味偏爱权力,只能归入从属地位;反之, 职位至低者,若考虑全局,承担责任,即为高级管理层。” -彼得德鲁克:,2、 交易与业务
14、行为的适当授权,控制5要素之三:控制活动,内部控制构成要素,Company Logo,项目事务权限,子公司事务权限,事业部事务权限,内部控制构成要素,Company Logo,信息与沟通,控制环境,风险评估,控制活动,监 控,为了实现控制目标,保证内部控制各个要素的可靠性,有关信息必须及时沟通。信息沟通贯穿于整个控制,内部控制的神经系统,内部控制构成要素,Company Logo,信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。,控制5要素之四:信息与沟通,内部控制构成要素,Company Logo,贯穿在风险评估和控制活动过程中这些
15、系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯,并交换这些资讯信息系统:内部、外部沟通:使员工知悉其在业务经营、财务报告及法律遵循方面的责任,控制5要素之四:信息与沟通,内部控制构成要素,Company Logo,控制5要素之四:信息与沟通,1、信息信息系统利用内部生成的数据和来自外部渠道的信息,以便为管理风险和作出与目标相关的知情的决策提供信息。,内部控制构成要素,Company Logo,1、信息,信息质量内容相关 是不是所需要的信息?提供及时 是不是在需要时可以及时提供?时效性 是不是最新的?正确性 数据是不是正确?可获得性 是不是可以从正常渠道轻松获得?。,控制5要
16、素之四:信息与沟通,内部控制构成要素,Company Logo,1、信息,内部每一各人都需要了解内部控制系统的相关方面,系统如何工作,以及他(她)本人在系统中的角色和职责外部与外部单位的交流经常能提供履行内部控制职能所需要的重要信息监查部门例如证监会、财政部等提供的审阅或检查结果能够揭示控制的弱点与股东、监管部门、金融分析师和其他外部单位的沟通应提供与其需求相关的信息,以便其比较容易地理解企业所面临的环境和风险。,控制5要素之四:信息与沟通,内部控制构成要素,Company Logo,2、沟通,有效的沟通会出现在组织中向下、平行和向上的流动。全体员工要了解其在内部控制中的职责,以及个人活动与其
17、它人员的工作之间的联系,认真担负起内部控制的责任。有向上沟通重要信息的渠道。与外部也要有有效的沟通。,控制5要素之四:信息与沟通,内部控制构成要素,Company Logo,信息与沟通,控制环境,风险评估,控制活动,监 控,监督和评估内部控制系统设计合理性和运行有效性。,内部控制构成要素,Company Logo,内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。 内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等
18、发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。 专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。,内部控制构成要素,Company Logo,控制5要素之五:监控,内部控制构成要素,整个内部控制的执行过程必须被监督确保内部控制制度随情况的改变而作出动态的反应应建立检查和报告体制,Company Logo,控制5要素之五:监控,监督行为包括三个层次、三条路径:,部门日常监督主管日常监督,部门自我评估,内部审计,内部控制构成要素,Company Logo,内部控制体系构建,二,Company Logo,内部控制体系设计背景,Company
19、Logo,内部控制体系设计依据,企业内部控制应用指引,财政部等五部委,企业内部控制基本规范,企业内部控制评价指引,企业内部控制审计指引,国资委,中央企业全面风险管理指引,证券交易所,行业监督机构,上市公司内控指引 上交所内控指引 深交所内控指引,行业内控指引商业银行内控指引证券公司内控指引保险公司内控基本准则,财政部等五部委出台的企业内部控制基本规范为企业提供了完整和公认的内部控制框架,同时以法律的形式要求上市公司对本公司内部控制的有效性进行自我评价。,国资委出台的指引强调对风险的识别、分析、评价、防控和监督,为企业防控风险,建立控制体系提供指引。,应用指南具体提出18个具体流程的应用指引。在
20、每个具体流程中规定了该指引的目的,相关定义,该流程的主要风险,岗位分工及授权批准,及主要流程的控制程序。评价指引具体规范了内控评价的内容和标准,评价的程序和方法,内控缺陷的认定,以及规定了评价报告的相关内容。审计指引指导注册会计师执行内控审计业务。,深交所出台了一系列的内部控制指引,为上市公司建立和实施内部控制制度提供指引。,Company Logo,内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。,内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。,内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变
21、化及时加以调整。,内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。,内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。,全面性,重要性,制衡性,适应性,成本效益,内部控制体系设计原则,Company Logo,内部控制体系设计步骤,确定控制目标整合控制流程识别控制环节确定控制措施,Company Logo,(一)确定控制目标,内部控制的四项基本目标: (1)战略目标。 (2)经营目标。 (3)报告目标。 (4)合规目标。 需要指出的是,以上四项目标均为基本目标或一般目标。在每项基本控制目标下,还可细化为若干具体控制目标。,Company Logo,(二
22、)整合控制流程,控制流程,是依次贯穿于某项业务活动始终的基本控制步骤及相应环节。控制流程,通常同业务流程相吻合,主要由控制点组成。当企业的业务流程存在控制缺陷时,则需要根据控制目标和控制原则加以整合。,Company Logo,(三)识别控制环节,实现控制目标,主要是控制容易发生偏差的业务环节。这些可能发生错弊因而需要控制的业务环节,通常称为控制环节或控制点。控制点按其发挥作用的程度而论,可以分为关键控制点和一般控制点。那些在业务处理过程中发挥作用最大,影响范围最广,甚至决定全局成效的控制点,对于保证整个业务活动的控制目标具有至关重要的影响,即为关键控制点;相比之下,那些只能发挥局部作用,影响
23、特定范围的控制点,则为一般控制点。,Company Logo,(四)确定控制措施,控制点的功能,是通过设置具体的控制技术和手续而实现的。这些为预防和发现错弊而在某控制点所运用的各种控制技术和手续等,通常被概括为控制措施。,Company Logo,内部控制体系的建立,框架,制度,表格,流程,Company Logo,内部控制体系的建立,流程,制度,报表,Company Logo,内部控制体系的建立,范例分享,HOW TO DO?,Company Logo,内部控制失效分析,三,Company Logo,组织结构不合理,不相容职责不分离,授权体系不分明,执行问题,流程设计不合理,制度体系缺失,常
24、见内控问题,内控设计与执行缺陷,企业内控体系失效原因,Company Logo,内控固有局限,两种错误制度性错误:因制度设计错误而引起的差错。人为错误:与制度设计无关纯粹因人为因素而产生的错误。分2类: 善意错误:恶意错误:蓄意破坏、对抗设计良好的控制制度。,善意人为错误管理层或其他员工因信息不充分,时间限制或其他流程问题,业务决策和判断失误;对工作指令理解错误,疏忽懈怠,精力不集中,疲劳或岗位调动等原因导致控制失效;环境变化的不确定性及设计与运行实际偏差的不确定性;成本与收益的考虑,人为的蓄意破坏蓄意破坏的类别:串通、勾结;管理当局凌驾于控制制度之上。,企业内控体系失效原因,Company
25、Logo,企业内控体系失效案例,经典案例: 一个年轻人搞跨的百年老店,Company Logo,1995年,1992年,20世纪初,1763年,1995年2月27日巴林银行因经营失误而倒闭,巴林总部决定派里森到新加坡分行成立期货与期权交易部门,并出任总经理 .,巴林银行荣幸地获得了一个特殊客户:英国皇室 .,弗朗西斯巴林爵士在伦敦创建了巴林银行,它是世界首家“商业银行 .,事件背景巴林银行,巴林银行,Company Logo,事件主角巴林银行,是谁把巴林银行搞垮的,参与者,里森,金.王,乔治,彼德,Company Logo,1992年夏天,伦敦总部要求里森另设立一个“错误帐户”,记录较小的错误
26、,并自行在新加坡处理, “88888”的“错误帐户 诞生,在未经授权的情况下,里森以银行的名义认购了价70的亿美元的日本股票指数期货,并以买空的做法在日本期货市场买进了价值200亿美元的短期利率债券。巴林银行因此而损失10亿美元,01,02,“1992年一1995年2月里森违规使用”88888”账户不断放进违规交易损失金额,03,事件回放巴林银行,Company Logo,-2万英镑,-6万英镑,-170万英镑,-5000万英镑,-10亿英镑,金.王错误操作,金.王操作失误后果放大,乔治错误操作,88888号帐户的损失 与日俱增,*里森对赌失败出现银行巨亏,事件回放巴林银行,Company Logo,事件分析巴林银行,控制活动问题,控制环境问题,信息与沟通问题,监督问题,风险评估问题,串通造假问题,内部控制失效是主因,Company Logo,“灭六国者六国也,非秦也。族秦者秦也,非天也。” 杜牧【阿房宫赋】,
