《金融业内部控制.ppt》由会员分享,可在线阅读,更多相关《金融业内部控制.ppt(56页珍藏版)》请在三一办公上搜索。
1、金融业内部控制与风险管理,内容提要一、为什么要建立内部控制?二、内部控制制度与管理制度的关系三、什么是企业内部控制?四、我国内部控制规范体系五、内部控制的顶层设计六、业务层面内部控制设计七、内部控制评价,一、为什么要建立内部控制?(一)法定要求(外因)1SOX法案2001年底,美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝光,诚信危机震撼着美国及全球。为了提高公众对美国金融市场和政府经济政策的信心,2002年7月30日,美国总统布什签署了萨班斯奥斯利法案。该法案因由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出而得名。法案对美国1933年证券法、1934年证
2、券交易法作了修订,在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。法案突出了“以法治市”的理念,大幅度提高了对会计舞弊的处罚力度和对公司管理层及白领犯罪的刑事责任,同时强化了管理层内部控制的责任和义务。美国对中国公司有要求,所以监管层比较着急,匆忙推出内部控制。资本市场的敲门砖。,2ERM框架为了给公众公司提供一套遵从404条款的标准,2004年9月,COSO又提出了ERM框架。ERM框架在内涵界定、目标体系、构成要素等方面对COSO内部控制整体框架的内部控制概念进行了拓展和延伸。COSO希望通过新框架能够成为组织董事会和管理者的一个有用工具,用来衡量组织的管理团队处理风险的能
3、力,并希望框架能够成为衡量组织风险管理是否有效的一个标准。,(二)企业风险管理的需要(内因)银行业作为一个高风险行业,尽管存在强大的外部监管,如银监会的监管、社会监督、行业自律等均不失为有效的手段,但这些外部监管的防范效果最终取决于银行内部控制风险防范效能的发挥。,我国商业银行的经营风险也逐步由隐性转向显性,主要有1)信用风险:如:贷款质量下降、呆账增加、经营亏损严重、支付能力不足而引起的;2)操作风险,即从业人员欺诈与越权经营而产生的3)管理风险,决策管理层缺乏科学的管理和经营而导致的等。,(三)股东需要(外因)关注财务报表同时关注相关内部控制,二、内部控制制度与管理制度的关系现代企业不可能
4、没有内部控制制度,但是其内部控制未必达标。“控制”是管理职能之一,内部控制从属于管理制度,但是,管理制度不能代替内部控制。管理制度主要是保证经营活动有序、高效运行,可能会排斥内部控制,因为内部控制可能会降低效率。内部控制是以风险管理为目标的,它要求企业在提高经营效率的同时,要关注风险。所以,现代企业管理制度必须将内部控制机制纳入其中。,三、什么是企业内部控制?,世界公认的内部控制标准,当属COSO委员会1992年提出的内部控制整体框架。(一)内部控制整体框架。三个目标:合规性目标、经营目标、财务目标。实现三个目标需要取得以下五个要素的支持:控制环境、风险评估、控制活动、信息与交流和监督。,(二
5、)企业风险管理整体框架2004年,COSO发布企业风险管理整体框架,从企业风险管理角度重新定义了内部控制四个目标:增加了战略目标。提出了八要素:内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控。引入了风险偏好、风险容忍度等概念和方法,因此,在风险度量的基础上,有利于企业的发展战略与风险偏好相一致。,在内部控制中引入风险管理,将内部控制提升到风险管理层次,目的是突出风险管理在内部控制中的核心地位。(银行业的风险包括:信用风险、利率风险、汇率风险、流动性风险和操作风险等)全面风险管理,是指对整个银行体系内各个业务层面、各种类型风险的通盘管理。,对内部控制概念的理解第一,
6、内部控制是一个“过程。过程比结果重要,不能根据结果评价内部控制。内部控制只是一个过程告诉我们,内部控制只能提供合理保证。经营得很好的企业,内部控制可能很差;经营得很差的企业,内部控制可能很好。所以,内部控制与企业界经营好坏没有必然的联系。好企业之中,有一部分企业虽然没有内部控制的形式,但是按照内部控制的规律运行的;有一部分是因为这些企业具有巨大的竞争优势,把内部控制缺失可能出现的问题掩盖了;还有一部分是这些企业可能没有遇到重大的风险事件洗劫。,内部控制只是一个过程还告诉我们,内部控制只能提供合理保证,并不意味着内部控制是可有可无的。内部控制具有巨大的经济意义,有了内部控制能够使好企业更好;没有
7、内部控制能使坏企业更坏。所以,建立内部控制目的就是使好的更好,避免使坏的更坏。,第二,企业中的每一个人都对内部控制负有责任,并受内部控制影响内部控制受到“人”的因素的影响,组织中的每一个人都对内部控制负有责任并受到内部控制的影响。是“人”建立企业的目标,并将控制机构赋予实施;内部控制以其特有的文化优势,影响和改变着组织中的每一个人。,第三,内部控制是企业自己的“法律”,企业中的每一个人都必须尊重它内部控制是企业自己建立的法律,它贯穿整个企业的所有层级和单位,任何人都不能超越企业设立的内部控制,包括最高管理层。在遵循性方面,没有任何例外原则。没有人不被控制,没有业务不被控制。内部控制已被接受的理
8、念,就是要把风险管理变成制度,变成企业文化,变化整个企业内部所有环节应该被遵守的基本准则。,第四,内部控制是一个框架,其中的每一个要素都必须发挥作用内部控制是一个框架,系统中的每一个要素都必须发挥作用,每一个要素的缺失都可能会导致整个系统控制的失败。内部控制各要素之间没有严格的先后顺序之分,而是一个反复循环的过程关系;也没有主次之分,各要素互相支持又互相制约,构成一个框架关系。风险管理框架的整体构建也是如此。,第五,内部控制是一种增值活动、是企业价值链的重要一环内部控制需要查错纠弊,但又不限于查错纠弊,查错纠弊只是内部控制的一部分,而不是其的全部。内部控制的目标是通过公司治理、人力资源管理,识
9、别风险和机会,降低风险,增进企业价值。,第六,内部控制以风险为导向,风险的根源是目标而不是制度传统的内部控制就控制论控制,其理念认为,风险来源于薄弱的内部控制,风险大小取决于控制的强弱。所以,内部控制越强越好。风险管理理念则认为,风险源于目标,内部控制不是越强越好,或强或弱,取决于风险对于目标的影响程度。风险大,控制应强,风险小控制应弱,即所谓的遇强越强,遇弱越弱。所以,在风险既定的情况下,薄弱的内部控制有时候是可以接受的。内部控制的主旨就是,在识别影响组织的事件并在组织的风险偏好范围内管理风险。,第七,内部控制始终处于积极主动的态势,风险管理贯穿于其活动的全过程内部控制应用于战略制定,因而与
10、被动的控制不同,风险管理是一种积极的、主动的管理过程,从目标设定开始就要参与其中,而不是等目标确定之后,才被动地进行风险管理。与狭隘的控制不同,风险管理的视野更开阔,它不只是拒绝,还要接受。风险管理不仅要接受有利的机会,还要接受一定的风险,只要这些风险有助于增进企业价值。,(一)企业内部控制基本规范2008年6月28日,财政部、银监会等五部委联合发布企业内部控制基本规范。,四、我国内部控制规范体系,(二)企业内部控制配套指引 2010年4月26日,财政部等联合发布企业内部控制配套指引。2011-1-1起境内外上市公司执行,2012-1-1起主板执行,在此基础上,择机在中小板和创业板上市公司施行
11、。同时,鼓励非上市大中型企业提前执行。,21个应用指引(此次发布18个,涉及银行、证券和保险等业务的3个指引暂未发布),还有企业内部控制评价指引和企业内部控制审计指引。18个应用指引的分类:(1)内部环境类指引-5个(2)控制活动类指引-9个(3)控制手段类指引-4个注:基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。,18个应用指引的内容:,(1)内部环境类指引5个 组织框架(含治理结构、机构设置、职责分配及不相容职务分离)、发展战略、人力资源、企业文化、社会责任(含安全生产,产品质量,环境保护与资源节约等)(注:企业自我评价时要以内部环境为基础)(2)控制活动类指引9个 资金
12、活动、资产管理、采购业务、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告(注:企业自我评价时要以控制活动为重点)(3)控制手段类指引4个 全面预算、合同管理、内部信息传递、信息系统(注:企业自我评价时应当兼顾控制手段),(三)五个目标(1)合法合规(2)资产安全(3)财务报告及相关信息真实完整(4)提高经营效率和效果(5)实现发展战略,(二)五条原则(1)全面性原则内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。(2)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。(3)制衡性原则。内部控制应当在治理结构、机构设置及权责分配
13、、业务流程等方面形成相互制约、相互监督的机制。上级可以制衡下级,同级可以相互制衡,下级也可以制衡上级。(4)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。与时俱进(5)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。小型企业可以有替代控制措施。,(三)五大要素企业建立与实施有效的内部控制,应当包括下列要素:(1)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。,(2)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标
14、相关的风险,合理确定风险应对策略。1)准确评估风险(量化)。首先决定两个维度:第一个维度是评估风险发生的可能性;另一个维度是评估风险可能对企业造成的影响。其次是制定转移、避免或减低风险的策略。有些企业的老板是丈夫,会计是妻子,出事两个人一起进去,不注意分散风险。2)量化标准解释:根据某一风险在未来的发生频度,可以将风险发生的可能性划分为“几乎肯定、极可能、可能低、极低”等若干层次;对风险可能造成的影响程度按照“近乎没有、轻微、中等、重大、灾难”等级标准进行评估。其具体标准如下图所示:,图示:,(3)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。1)不相
15、容职务分离控制两个人的职务由一个人来担任,别人又不能发现问题的,就是不相容职务。要全面梳理业务流程中所涉及的不相容职务,实施相应的分离措施。有些财务部门过去的银行出纳,既是银行款项支付的经办人,又负责与银行对帐,月初从银行支出一笔钱,在月底将款项归还公司帐户,在股市形势好的前提下,可以获得丰厚的收入,是没有人能够发现的。这种不相容职务不能做到相互分离,是产生犯罪行为的温床,是各级领导要必须重视的。,2)授权审批控制各级员工只有获得相应的授权,才能实施决策或执行业务。第一,常规授权和特别授权常规授权:一般针对日常经营管理过程中发生的程序性和重复性工作,可以由岗位说明书,或权限指引予以明确。常规授
16、权的范围不宜太大,否则会削弱内部控制,但是如果范围过小,则会降低管理效率。特别授权:一般是由董事授权经理层,或经理层授权下属机构及其员工处理某一特殊事件(如法律纠纷)的临时性权力。,第二,审批审批要经过审核和批准两个阶段,就财务支出审批而言,审核指业务部门领导对该项开支的合理性提出初步意见,批准指有关领导经参考“审核”意见后进行批准。审批顺序:先下级、后上级;先定性、后定量。,(3)会计系统控制严格执行国家统一的会计准则和制度,加强会计基础工作,明确会计处理和报告程序,保证会计资料真实完整。,(4)财产保护控制1)限制接近。对货币资金、有价证券、存货等变现能力强的资产必须限制无关人员直接接触。
17、2)定期盘点。3)记录保护。妥善保管涉及资产的各种文件资料,避免记录受损、被盗、被毁;对重要的文件资料,应当备份。4)财产保险。,(5)预算控制全面预算是企业对一定期间的经营活动、投资活动、财务活动等作出的规划和安排。美国著名管理学家戴维奥利指出:全面预算管理是为数不多的几个能把组织的所有关键问题融合于一个体系之中的管理控制方法之一。全面预算作为一种全方位、全过程、全员参与的管理模式,凭借其计划、协调、控制、评价等功能,成为促进实现企业发展战略的重要抓手。,(6)运营分析控制(事后)经理层运用生产、购销、投资、筹资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,发现运营中存在的问题
18、,及时查明原因并加以改进。(7)绩效考评控制(控制的保障)科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。,(4)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。企业的内部控制活动离不开信息的沟通和传递。信息与沟通作用于企业所有业务流程,对业务层面控制效果会产生重大影响,因而信息与沟通属于企业层面控制要素。对信息与沟通的重要性和有效性不会陌生。信息真实是沟通有效性的前提。一般在公司内部,上级与下级沟通时,下级比较专心,
19、也不敢不专心。而下级与上级沟通时,有的上级做的不太好,影响下级的沟通的意愿,本来下级有很多要对你沟通,你边听边做其他的,该说的也不说了,这样的沟通效果就大打折扣。以后在听下级汇报工作时,一定要记,还要频频点头,激发对方的沟通热情。通过沟通要让所有的人都了解内部控制相关方面的内容,知道自己在这一制度中的角色和责任。,1)信息与沟通政策和程序企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。(政策)2)信息获取企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。企业可以通过行业协会组织、社
20、会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。3)信息沟通信息资源是一个企业赖以生存的重要因素之一,企业在制定决策和日常运作中需要各种形式的信息。内部信息传递是企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程,(5)内部监督。内部监督指的是对内部控制的监控,即对内部控制的评价,是对内部控制的控制。通过对内部控制的持续性监督和专项评价,寻求内部控制的持续性改善。1)内部监督分类日常监督:常规性、持续的监督检查;专项监督:在发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大变化情况下,对内控某一方面进行的有针对性的监督检查。
21、专项监督的范围和频率取决于风险评估结果以及日常监督的有效性。,2)内部控制自我评价定期对内部控制的完整性和有效性进行评价。妥善保管内控制建立与实施的记录或资料,确保内控的可验证性。3)内部审计为了履行管理层和董事会的控制责任,必须设立内部审计并保证其机构设置、人员配备和工作程序的独立性。内部审计不承担实际管理职能,相对独立于其他管理部门。在没有专门风险管理部门的情况下,替代风险管理部门。,五、内部控制的顶层设计规范制度化,制度不可复制性。(一)组织架构公司治理、风险管理机构、内部审计治理结构及机构设置:公司法人治理结构,按照公司法的规定由四个部分组成:股东会或者股东大会,由公司股东组成,所体现
22、的是所有者对公司的最终所有权;董事会,由公司股东大会选举产生,对公司的发展目标和重大经营活动作出决策,维护出资人的权益;监事会,是公司的监督机构,对公司的高管和董事、经营者的行为发挥监督作用;经理层,由董事会聘任,是经营者、执行者。,(二)管理制度(按照标准梳理制度)(三)公司文化(领导人起决定作用)(四)风险偏好应当有上下一致的风险偏好,如修水库。(五)领导人要重视往往是领导人违反内部控制,内部控制的脆弱性。我国企业的内部控制普遍很差,中国的集体决策是有问题的。一把手和副职开会,说一件事我有个不太成熟的想法,你们议一议,你只能说领导你说的好,我也是这样想的,,六、业务层面内部控制设计业务层面
23、控制是针对特定业务活动的控制。(一)梳理业务流程,绘制流程图1、梳理业务活动,建立流程目录。一级流程:贷款、担保二级流程:信用调查三级流程等风险管理以流程为基础,流程目录应当以经营管理活动过程作为主线,打破部门界限。2、绘制流程图文本化的政策及程序是控制的基石之一。审计师审查控制时,一般都会将流程图作为控制文件的一个关键部分,并且要浏览流程图。,(二)建立风险库(三)关键政策和程序(政策是制度,程序是如何做)(四)完善制度(五)控制测试,七、内部控制评价(内部)内部审计生存危机:定位财务监督,独立性难题内部审计起死回生:重新定位于审计服务内部审计独立性问题?几种模式:财务部门经理领导、财务副总
24、经理领导、总经理领导、董事会领导。IIA创新性地提出了审计机构的独立性和内审人员的客观性。内部审计应当回归于管理层领导,但内部审计不能参与制度设计(自己不能审计自己)。,(一)内部控制的评价主体董事会做为股东的受托人,取代股东成为了内部控制的直接评价者,股东只是内部控制的间接评价者。(二)内部控制评价的对象内部控制评价是对内部控制有效性发表意见。所谓内部控制有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。其中,内部控制设计的有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行的有效性,是指现有内部控制
25、按照规定程序得到了正确执行。,(三)内部控制评价的原则1全面性原则。强调内部控制评价的涵盖范围应当全面,应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。2重要性原则。强调在全面性的基础之上,着眼于风险,突出重点。其核心要求是:一要坚持风险导向的思路,着重关注那些影响内部控制目标实现的高风险领域和风险点;二是着重关注重要的业务事项和关键的控制环节。(切忌以制度为导向,造成制度冗余。)3客观性原则。强调内部控制评价工作应当如实地揭示风险,如实反映内部控制设计和运行的有效性。只有内部控制评价过程的客观性,才能保证评价结果的客观性。,(四)内部控制评价的组织形式和职责安排1组织形式
26、企业可以授权内部审计机构或专门机构负责内部控制评价的具体组织实施工作。内部控制评价机构必须具备一定的设置条件:一是独立性;二是专业胜任能力和职业道德素养;三是与企业其他职能机构保持协调,相互配合、相互制约要求;四是能够得到企业董事会和经理层的支持,有足够的权威性证评价工作开展。(内审、或者内控部门)为了保证评价的独立性,负责内部控制设计和评价的部门应适当分离。企业可以委托会计师事务所等中介机构实施内部控制评价。此时,董事会(审计委员会)应加强对内部控制评价工作的监督与指导。,2职责安排(1)董事会对内部控制评价承担最终的责任。评价指引规定,董事会对评价报告的真实性负责。董事会通过审计委员会承担
27、对内部控制评价的组织、领导、监督职责。董事会应听取内部控制评价报告、审定内控重大缺陷、重要缺陷整改意见,对内部控制部门在督促整改中遇到的困难,积极协调,排除障碍。(2)监事会应审议内部控制评价报告,对董事会建立与实施内部控制进行监督。(3)经理层负责组织实施内部控制评价工作,可以授权内部控制评价机构组织实施,并积极支持和配合内部控制评价的开展。经理层应定内部控制评价方案和听取内部控制评价报告,对于内部控制评价中发现的问题或缺陷,要按照董事会的意见予以整改。,(4)内部控制评价机构承担内部控制评价的具体实施任务,根据经理层要求,拟订工作方案并组织实施;对于评价过程中发现的重大问题,应及时与治理层
28、或管理层沟通;认定内部控制缺陷,拟订整改方案,编写评价报告,及时向董事会或经理层报告;沟通外部审计师;督促各部门进行整改。(4)各部门应负责组织本部门的内控自查、测试和评价工作,对发现的设计和运行缺陷提出整改方案及具体整改计划,积极整改,配合内控机构及外部审计师开展评价工作。(5)企业所属单位,也应逐级落实内部控制评价责任,建立日常监控机制,开展内控自查、测试和定期评价,发现问题和缺陷,需拟订整改方案,报本级管理层审定后,督促整改,编制内部控制评价报告,对内部控制的执行和整改情况进行考核。,(五)内部控制评价的方法评价指引规定,评价工作小组应当对被评价单位进行现场测试,综合运用个别访谈、调查问
29、卷、专题讨论、穿行测试、实地查验等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,如实填写工作底稿,研究分析内部控制缺陷。,(六)内部控制缺陷的分类和认定1按照缺陷成因,分为设计缺陷和运行缺陷。1)设计缺陷是指企业缺少为实现控制目标所必需的控制,或现存控制设计不当,即使正常运行也难以实现控制目标。如:有总账没有明细账,或者虽有明细账,但总账和明细账由同一人登记。2)运行缺陷是指设计有效,但是由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。如审核人员没有专业胜任能力。内部控制制度设计没有缺陷,不等于运行没有缺陷
30、。例如,财务报表有四张:资产负债表、利润表、现金流量表和所有者权益变动表,前几年有些会计人员不会填写现金流量表,就只报了三张表,有些部门领导就打电话“张三,你怎么只报了三报表,没有现金流量表?”考核罚款、来批评是肯定的,但他随后凑合填了一张现金流量表,好了,没有问题了,张三明白原来领导关注的4张表,而不看你填的对不对。这就是运行缺陷。,2按照对控制目标的影响,分为重大缺陷、重要缺陷和一般缺陷。重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。当存在一个或多个重大缺陷时,应当在评价报告中作出控制无效的结论。(如越权、舞弊、串通,牵扯面广。重要缺陷,是指一个或多个控制缺陷的组合
31、,其严重程度低于重大缺陷,但仍有可能导致企业偏离控制目标。不影响内部控制的整体有效性。如采购申请缺陷,牵扯面不大。一般缺陷,是指除重大缺陷、重要缺陷以外的其他控制缺陷。如何认定三种缺陷,需要借助一套可系统遵循的认定标准,认定过程中还需要评价人员运用职业判断。由董事会予以最终确定。,(七)内部控制缺陷的报告与整改1内部控制缺陷报告的格式和途径内部控制评价机构应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。,(七)内部控制缺陷的报告
32、与整改1内部控制缺陷报告的格式和途径内部控制评价机构应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。一般而言,内部控制的一般缺陷、重要缺陷应定期(至少每年)报告,重大缺陷应立即报告。,2内部控制缺陷整改方案及期限企业对于认定的内部控制缺陷,应当及时采取整改措施,并追究有关机构或相关人员的责任。,借鉴西方,我国银行迫切需要找出适合自己的解决方法。1.必须以全面风险管理为核心管理整个银行2.银行必须将风险管理架构在经济资本分配体系之上,
