《企业内部控制与全面风险管理实务.ppt》由会员分享,可在线阅读,更多相关《企业内部控制与全面风险管理实务.ppt(45页珍藏版)》请在三一办公上搜索。
1、中国石油天然气股份有限公司,企业内部控制与风险管理操作实务,提纲,内部管理失控导致风险典型案例内部控制的前世今生中国的内控之路内控的法规要求对配套指引的解读内控到底怎样落地世界500强是怎么做的,一个煤老板的故事,链接:内部管理失控导致风险案件频发,长虹美国巨亏.亿美元,链接:中航油新加坡巨亏.亿美元,中铁建沙特巨亏41亿人民币,俄罗斯灰色清关群死群伤,内部管理失控导致风险案例,叙利亚战争中资企业遭受巨额损失,提纲,内部管理失控导致风险典型案例内部控制的前世今生中国的内控之路内控的法规要求对配套指引的解读内控到底怎样落地世界500强是怎么做的,法人治理结构、内部控制、风险管理的关联性,内部控制
2、的前世今生,法人治理结构,内部控制规范,全面风险管理,ISO31000,GBT24353,提纲,内部管理失控导致风险典型案例内部控制的前世今生中国的内控之路内控的法规要求对配套指引的解读内控到底怎样落地世界500强是怎么做的,小贴士企业内部控制基本规范由财政部牵头颁发,国家对风险管理的重视,2006年6月6日,国务院国有资产监督管理委员会发布中央企业全面风险管理指引要求中央企业逐步进行企业风险管理。2008年6月28日,财政部、证监会、审计署、银监会、保监会五部委发布了企业内部控制基本规范国际风险管理标准ISO31000国家标准GBT24353全面风险管理,中国的内控之路,小贴士企业风险文化中
3、最重要的是风险管理理念,中国的内控发展:主要规范,中国的内控之路,中国的内控发展:主要规范,中国的内控之路,治理还是控制?指引、施行?自愿还是强制?企业内部控制还是政府外部控制?,困惑,中国的内控之路,敢问中国内控路在何方?提升应用价值是唯一出路内控的本质不是要求企业做什么,而是能给企业带来什么强制性要求只是最初的形式,解决企业问题才是最终的根本,提纲,内部管理失控导致风险典型案例内部控制的前世今生中国的内控之路内控的法规要求对配套指引的解读内控到底怎样落地世界500强是怎么做的,小贴士企业内控制度不符合要求应当实时因应措施并报董事会及时修订,我国政府层面已经开始重视企业风险管理但存在政出多门
4、、上热下冷的阶段,中国式内控的法规要求,内部控制已经上升为国家层面的强制性要求,鼓励非上市大中型企业提前执行上市公司及相关非上市大中型企业切实做好执行前的各项准备工作,中国式内控的法规要求,内控的目标,中国式内控的法规要求,内控目标的关系,企业生存与发展,战略目标,经营目标,报告目标,分解,反映,安全目标,合规目标,前提,保证,卫士 保安,谋士 高参,中国式内控的法规要求,管理层的责任,法规的要求,对内部控制的有效性进行自我评价,披露年度自我评价报告聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告相比目前国外的内部控制要求,我国的内部控制评价的范围更为广泛,小贴士合规是企业(全
5、体)员工的共同责任并从企业(全体)员工做起,审计师的责任,对内部控制进行独立审计,出具财务报告内部控制有效性的审计意见获取充分、适当的审计证据来支持内部控制有效性的审计意见对在内部控制审计过程中所注意到的非财务报告内部控制的重大缺陷,在审计报告中予以描述披露是我国内部控制法规的一项独特的要求可以将内部控制审计和财务报表审计整合进行,法规的要求,小贴士 货运公司之风险管理中 受托运送的货品轻微破损系属(低强度、高频率的风险),提纲,内部管理失控导致风险典型案例内部控制的前世今生中国的内控之路内控的法规要求对配套指引的解读内控到底怎样落地世界500强是怎么做的,小贴士 辨识风险与分析风险应当(由不
6、同人分别进行),配套指引的整体结构,适用于企业,适用于事务所,企业内部控制应用指引概述,目前已出台的应用指引由18项指引组成,分为三个大类:内部环境类(5项)组织架构、发展战略、人力资源、社会责任、企业文化控制活动类(9项)资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告控制手段类(4项)全面预算、合同管理、内部信息传递、信息系统,对配套指引的解读,链接:某集团企业内部控制制度,链接:企业内部控制应用指引,内部环境五项指引,组织架构发展战略人力资源社会责任企业文化,目的意义链接,具体要求链接,目的意义链接,具体要求链接,目的意义链接,具体要求链接,目的
7、意义链接,具体要求链接,目的意义链接,具体要求链接,小贴士预算制度是一种控制的工具 可以藉此评估个人、各部门以及企业的整体经营绩效,小贴士内控自查的目的是 自我监督协助董事会了解内控的有效性,集体决策审批联签,重大决策,重大事项,重要人事任免,大额资金支付业务,三重一大集体决策审批联签,控制活动类(项),、资金活动(链接)、采购业务(链接)、资产管理(链接)、销售业务(链接)、研究开发(链接)、工程项目(链接)、担保业务(链接)、业务外包(链接)、财务报告(链接),控制活动,小贴士决策者在决策过程中取得的信息越多决策的正确性越大,控制手段类(项),、全面预算(链接)、合同管理(链接)、内部信息
8、(链接)、信息系统(链接),控制内容,企业内部控制应用指引准确的认识,给出了企业重要管理和业务领域的内控指导原则,非详细的内控标准或具体措施企业应避免采用简单的“检查表”方式,仅仅将指引的内容简单地添加入企业规章制度,例如:应用指引第1号组织机构“第十一条 企业应当定期对组织架构设计与运行的效率和效果进行全面评估,发现组织架构设计与运行中存在缺陷的,应当进行优化调整”避免简单引用:“整改计划:在企业制度中增加年度评估的相关管理办法”应当融会贯通:根据企业的经营规模、业务发展、分支机构设置的变化,按需对组织架构的设计和运行情况进行分析评估,对配套指引的解读,配套指引的整体结构,适用于企业,适用于
9、事务所,评价指引,内部控制评价的内容内部控制评价的组织内部控制缺陷的认定内部控制评价报告评价报告的披露或报送,配套指引的整体结构,小贴士风险管理的终极目标是为利益关系人(股东)创造价值,内部控制评价指引,内容:对内部控制有效性进行全面评价组织:专门的职能机构和评价工作组缺陷认定:需要企业根据自身情况,“合理”确定内部控制缺陷的认定标准认定标准确定后,必须在不同评价期间保持一致,不得随意变更规定了进行评价的基准日为12月31日规定了评价报告基本内容规定了评价报告的披露及报送的时间(基准日后4个月),对配套指引的解读,链接:某酒业公司内部控制自我评价报告,内部控制评价指引对内部控制缺陷的三级分类标
10、准,根据缺陷的影响程度,划分为三个级别:重大缺陷:一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标的情形重要缺陷:一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标的情形一般缺陷:除重大缺陷、重要缺陷之外的其他控制缺陷企业根据上述级别自行确定具体的认定标准目前国内外对确定认定标准的经验仅局限于对财务报告内部控制缺陷的评价,对配套指引的解读,链接XX集团公司内部控制、风险管理自查手册,企业内部控制的评价,企业内控评价要抓住重点,关注日常监督。内控评价没有固定频率,样本量等要求,都是根据企业的实际情况决定。,内控自我评价从属于内部监督,是监督结果的总体
11、体现;自我评价要倚重日常监督与专项监督;自我评价是一次性、大规模、地毯式评价和日常监督检查的结合。评价频率没有硬性要求,也不可能规定样本量。注册会计师可以提供协助,但是如何评,评什么,是企业的自主决定。,我们认为结合“地毯式”评价和日常监督检查是一个实际可行的方法,同时也能避免工作上的重复。我们所倡议的自我评价方法和监管部门的思路不谋而合。,总结,应用指引提供原则性的指导原则,不能简单用作一个“内控检查表”需要考虑并接合企业的实际情况评价指引包含“审计”的概念,需要企业灵活应用企业需要根据自身情况,确定内部控制缺陷的认定标准审计指引以财务报告内部控制为主题需要进一步明确对非财务报告缺陷评价和披
12、露的具体方法,对配套指引的解读,风险管理和内部控制的关系,关键控制的确认必须是以风险为依据每个业务流程面对多个类型的风险,因此影响:每个业务流程需要确认那几个子流程每类风险所应对的控制点,以全面风险管理为导向的内部控制体系,风险管理和内部控制的关系,营销战略及计划,项目调研,投标,报价,合同管理,生产计划,项目运行管理,发货管理,发票及应收账款管理,目标市场与客户(国内及海外市场、新兴市场)产品结构(清洁/再生能源、宏观政策)板块及整体业务量(增长率、订单数量、毛利率)营销团队(客户反馈、架构、激励等),营销计划的审批,预收款额度质保金条款其他,定价策略毛利率预测区间战略合作/外包关联公司交易
13、价格,报价审批,合同审批,投标评审会审批,生产计划审批,项目定期汇报,帐龄分析,以全面风险管理为导向的内部控制体系,提纲,内部管理失控导致风险典型案例内部控制的前世今生中国的内控之路内控的法规要求对配套指引的解读内控到底怎样落地世界500强是怎么做的,小贴士合格的风险管理者总能够发挥优势规避劣势抓住机会规避风险使企业立于不败之地,内控建设思路:因地制宜,从企业实际出发,内控到底怎样落地,内控建设思路:结合内控与风险管理,建立以全面风险管理为导向的内部控制体系,将风险管理和内部控制融合在一起,才能“相得益彰”,真正发挥风险管理和内部控制的作用,内控到底怎样落地,对实施工作的初步建议:搭建企业全面
14、风险管理导向的内部控制体系,内控到底怎样落地,对实施工作的初步建议:搭建企业全面风险管理导向的内部控制体系,确认重大风险事项及相关管理手段及控制根据企业目标确认重大的经营操作领域明确相关领域的主要风险事项,以及相关的管理机制了解企业对所确认的风险的承受的程度流程梳理和控制评价根据企业对风险的承受程度,梳理和分析流程的管理手段是否合理、足够不存在“标准”的流程考虑信息系统控制评价控制手段的设计有效性和执行有效性建立内部控制持续维护机制监督职能,如内部审计、纪检监察等职能的协同效果,内控到底怎样落地,对实施工作的初步建议:搭建企业全面风险管理导向的内部控制体系,建立可持续的评价机制:如何在确保评价
15、质量的同时平衡评价成本管理层内控评价机制的关键成功因素:高级管理层和审计委员会的支持明确业务部门和分行承担确保内控自评严肃性和真实性的责任多方面的考虑来增强内控执行状况信息搜集的真实完整管理层内控评价机制常用的方法:每年由指定部门进行相对独立的管理层内部控制测试,并根据测试结果作出管理层内控评价报告:这种评价相对独立、客观,但成本较高,以及可拓展性有较大的限制使用“内部控制自我评价”(Control Self Assessment)机制:这种评价相对灵活,能适用于不同环境,但客观性取决于求企是否达到一定的管理基础,内控到底怎样落地,对实施工作的初步建议:搭建企业全面风险管理导向的内部控制体系,
16、企业对自我评价保留充分的评价依据和相关文档和审计师积极的、开诚布公的交流各自的内控发现审计师独立审计及管理层内部控制自我评价不尽相同:方法可以不同样本量可以不同范围可以不同但:缺陷评价标准合结论需要在一定程度上保持一致,内控到底怎样落地,对实施工作的初步建议:搭建企业全面风险管理导向的内部控制体系,培训和学习:针对最新的指引及提升对内部控制理念的理解持续完善内部控制体系:内部控制不可能做到完美搭建企业内部控制评价机制:进一步结合所有和内部控制相关的活动搭建内部控制问题的相关评价标准和程序:支持在总部层面所需要进行的内部控制有效性评估试点、预演:确保工作方法符合实际需求沟通,内控到底怎样落地,提纲,内部管理失控导致风险典型案例内部控制的前世今生中国的内控之路内控的法规要求对配套指引的解读内控到底怎样落地世界500强是怎么做的,世界500强风险内控控制经验分享,环境:专门的团队高层领导主抓工具:软件模型风险量化风险识别人才:专人沟通:人脉关系,500强是怎么做的,联合能源公司(ALLIANT ENERGY)是怎么做的,谢谢大家,