《建设风险导向的内部控制.ppt》由会员分享,可在线阅读,更多相关《建设风险导向的内部控制.ppt(54页珍藏版)》请在三一办公上搜索。
1、一边家务,一边播放由德勤主讲、深交所传在网上的一堂关于内部控制的课,结果被德勤讲的几处闪亮观点打动。随即推荐给上司组织财务人员都听一次,却都没兴趣。但我自觉与以前了解的很多关于内部控制的、框架层面上的东东来看,这份德勤的有可取的观点,只需再加入操作层面上的实质性内容。可惜在网上的课又没法下载,就采取了截图,利用很多个短暂的午休,编辑成PPT,分享给大家仅供参考。注意:只可吸取精华观点,欢迎网友对本帖再充实、再编辑、再上传、再共享。,德勤原创 思茅编辑,议程,风险导向的内部控制概述含义,内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在为财务报告的可靠性、经营的效果和效率以及对现行法
2、规的遵循性提供合理保证COSO内部控制整合框架1992,风险导向的内部控制,就是以风险识别和风险评估为基础,管理风险,继而分析、设计和实施内部控制的过程,旨在降低风险以实现企业的既定目标。风险导向的内部控制,要求董事会与管理层将主要精力放在可能产生重大风险的环节上,而不是关注企业管理的所有细小环节。,企业一般采用风险热力图来分析风险,从而评估出风险的重要性水平,区别“一般”、“中等”、“重要”等级的风险,企业可以有重点的投入人力资源加以应对和控制。,可能性,影响程度,内部控制的概念,风险导向内部控制的概念,风险热力图的意义,内部控制“是一个过程,受企业董事会、管理当局和其他员工影响,旨在为财务
3、报告的可靠性、经营的效果和效率以及对现行法规的遵循性提供合理保证”,风险导向的内部控制概述COSO内部控制整体框架,控制环境,风险评估,控制活动,信息与沟通,持续监督,验证内部控制是否合理设计和实施及其有效性的程序,确保相关信息及时发现和沟通的程序,帮助确保及时实施风险管理措施的政策和程序,对于影响公司业绩的内部和外部因素的评估.,企业对于控制的基本态度基调,内部控制“由企业董事会、监事会、经理层和其他员工实施的,旨在为实现控制目标的过程。”财政部五部委企业内部控制基本规范,风险导向的内部控制概述中国企业内部控制整体框架,内部监督,信息与沟通,控制活动,风险评估,内部环境,包括治理结构、机构设
4、置及权责分配、内部审计、人办资源政策、企业文化等等.,企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应出风头策略。,企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。,企业及时准确地收集、传递与内部控制相关的信息,确保信息在企业内部、外部之间进行沟通。,企业针对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。,德勤对风险导向内部控制的诠释,任何公司都是流程的集合,根据风险评估加以引导并从流程视角看问题,可以有效促进部门间的沟通。,内控体系的完善即保证控制活动实现内控目标的完整性和有效性,包括控制设计和执
5、行的完整和有效,基于成本效益原则及所防范风险的高低,管理层确定“关键控制活动”并进行测试,流程是若干控制活动的集合,即能满足某些控制目标的作业即为“控制活动”,内部控制与风险管理的关系,下列因素能削弱或逃避内部控制的效力:意识不专注(如理解判断失误、疏忽、分心)、越权、篡谋,即使设计最好、运行最出色的内部控制程序在其执行过程中也可能会受到多重因素的限制而不能达到其初衷。,内部控制的局限性,内部控制与风险管理的关系,什么是风险?可能对目标的实现产生影响的事件发生的不确定性。在经营管理活动中,风险常常被定义为生产营运的弊端、失误或失败,从而给组织带来危机的可能性。,内部控制与风险管理的关系,内部控
6、制与风险管理的关系,什么是风险管理,风险和控制的平衡,内部控制与风险管理的关系,固有风险 风险管理有效性 剩余风险(风险敞口),多坏?多快?财务声誉法律法规健康安全环保相关利益者,多好?多快?预防或积极准备应对及恢复提升,可接受?趋势-更好更坏没变化,内部控制与风险管理的关系,风险敞口,德勤的理解,公司治理的核心并不是权利,而是寻找保证决策有效的途径;,风险是选择和决策的结果;,内控是针对企业内部的可控风险的有效防范体系;,真正的治理是在各种程度的确定与不确定中做决策的过程,换句话说,治理和决策是原因,风险和回报是决策的结果和回报;,风险管理的范酬大于内部控制,它还针对企业外部的各种风险要展开
7、风险的应对管理。,内部控制与风险管理的关系,中国企业所处的环境和面临的挑战,议程,中国内部控制监管要求五部委层面,信息与沟通,总则,控制环境,风险评估,控制活动,内部监督,附则,财政部、证监会、审计署、银监会、保监会于2008年6月28日联合发布了企业内部控制基本规范。内部控制:由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程。,内部控制目标,中国内部控制监管要求五部委层面,中国内部控制监管要求五部委层面,2010年4月26日,财政部、证监会、审计署、银监会、保监会联合发布了“关于印发企业内部控制配套指引的通知”。本次发布的配套指引是依据基本规范制定的,配套指引将为企业实施
8、内部控制、对内部进行自我评估及注册会计师对内部控制进行审计提供技术标准和依据。,中国内部控制监管要求,2011年1月1日,2012年1月1日,择机,境内外同时上市的公司施行,上交所深交所主板上市公司,择机在中小板、创业板上市公司施行,时间未定。鼓励非上市的其他企业提前执行,要求:建立健全内部控制体系;对内部控制进行自我评价,每年披露内部控制自我评价报告;聘请会计师事务所对内部控制进行审计;上市公司聘请的会计师事务所应当证券、期货执业资格;非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货资格的大中型会计所;第一批实施配套指引的企业将于2012年4月末前披露内部控制评价报告和内部控制审计
9、报告。,2010年7月,深交所颁布深圳证券交易所主板上市公司规范运作指引,具体内定包括:公司法理董事、监事、高级管理人员管理股东、控股股东和实际控制人行为规范信息披露募集资金管理内部控制投资者关系管理社会责任,中国内部控制监管要求交易所层面,上市前-主板要求:上市规则3A15(5A)规定,经过尽职调查,每一个保荐人有充足的理由确定和相信,发行人已经建立了足够的程序、体系和控制(包括会计和管理体系)来满足以下A和B部分:A部分:这些体系可以使发行人和他的董事遵守联交所的规则和其他相关法规B部分:这些体系足够让新申请上市企业的董事对企业及子公司上市前和上市后财务状况及前景进行合理的评估保荐人有责任
10、对发行人的财务程序、系统和控制进行内控复核,并就这些流程的充分性向香港联交所汇报。发行人必须制定适当和充分的程序、系统和控制,以遵循上市公司条例及其他相关的法律法规要求,以使发行人的董事可以对发行人及其子公司的财务状况及前景作出适当的评估。上市前-创业板要求:上市规则6A15(5)上市后-对已上市公司的要求:上市规则附录14第C21规定董事会应当每年对内部控制体系的有效性进行复核。发行人必须在其年报中公布关于企业治理的报告,建议内容包括内部控制和其复核工作的介绍。,内部控制监管要求香港,美国萨班斯法案发展历程(SOX),2001年,2002年,2001年11月安然事件,美国会出台2002年萨班
11、斯奥克斯利法案,2006年,2007年,2008年,2006年8月,美国证券交易委员会SEC对萨班斯法案条款进行修订,2006年12月,PCAOB发布管理层内控报告要求条款,2007年6月,美国证券交易委员会SEC批准PCAOB修订的审计准则第5号,内部控制监管要求美国,日本监管法规发展历程(J-SOX),内部控制监管要求日本,议程,议程,3.1内部控制基本规范解读,3.2内部控制应用指引解读,3.3内部控制评价指引解读,内部控制基本规范及配套指引解读,3.4内部控制审计指引解读,财政部等五部委联合颁布的企业内部控制基本规范及相关配套指引被视为公司内部控制的标准和依据。,基本规范中所定义的内部
12、控制为:是由企业董事会、监事会、经理层和其他员工实施的,旨在合理保证实现以下五个目标的过程:目标1:财务报告及相关信息真实完整目标2:提高经营效率和效果目标3:企业经营管理合法合规目标4:资产安全目标5:促进企业实现发展战略,基本规范中,重点考虑及关注以下主要方面:强化了企业对内部控制的投入与外部监督力度强化了信息的外部沟通扩大了适用范围强化了反舞弊机制与信息沟通相结合在内部监督和公司治理结构方面更好地与国际结轨。,内控基本规范解读企业内部控制基本规范,控制活动,治理结构、内部机构设置与职责分配,目标设定,信息与沟通,公司层面,风险评估,采购及付款,内部环境,内部信息 收集与沟通,内部监督,内
13、部控制 执行情况测试,企业文化 与道德规范,风险识别,销售与收款,股权投资,外部信息 收集与沟通,内部控制 缺陷报告,人力资源政策,风险分析,工程项目,资金业务,反舞弊机制,内部控制 缺陷的后续 跟踪与整改,内部审计机制,风险应对,变革管理,固定资产管理,合同管理,其他业务流程,财务结帐 及报告,人力资源 与薪酬,内控基本规范解读内部控制五要素,内部控制五要素内控体系构建基础,内部环境,规范公司治理结构及议事规则审议内部机构的设置,明晰职责与权利说明建立授权机制与审批权限保证内部审计机构设置、人员配备和工作的独立性制定和实施有利于企业可持续发展的人力资源政策制定员工聘用标准,加强员工培训和教育
14、成立专门机构或指定适当机构具体组织协调内控的建立实施及日常工作,内控基本规范解读内部控制五要素,风险评估,目标确定,风险确认,风险评估,风险管理策略选择建立风险评估机制以识别内部、外部风险采用定性与定量相结合办法,对风险进行分析和排序,确定关注重点和优先控制的风险根据风险评估的结果,结合风险承受度,权衡风险与收益,确定风险应对策略持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略,内控基本规范解读内部控制五要素,控制活动,建立制度、程序、职责(流程)及时完整准确的记录授权下的审批进行独立的复核核对记录与记录、记录与实物不相容职责分离采用适当措施进行资产保护有限制的系统访
15、问或接触建立业绩考核确保人员胜任,内控基本规范解读内部控制五要素,信息与沟通,匿名举报举报热线电话号码、邮箱向体员工传达举报热线电话号码、邮箱向客户、供应商等外部利益相关方公开考虑举报渠道的独立性和保密性举报及其调查结果记录在案并定期向审计委员会报告跨国,语言的考虑,内控基本规范解读内部控制五要素,内部监督,日常监督与专项监督结合制定内部控制监督制度,明确内部审计机构和其他机构在内部监督中的职责权限,规范内部监督的程序、方法和要求制定内部控制缺陷认定标准跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任定期对内部控制的有效性自我评价,出具内部控制自我评价报告以书面或其他适当形
16、式,妥善保存内部控制建立与实施过程中的相关记录或资料,确保内部控制建设与实施过程的可追溯性,内控基本规范解读内部控制五要素,议程,3.1内部控制基本规范解读,3.2内部控制应用指引解读,3.3内部控制评价指引解读,内部控制基本规范及配套指引解读,3.4内部控制审计指引解读,建立健全,内部评价,外部评价,应用指引解读内容概览,应用指引概览,结构共十八条应用指引总则:明确目的、界定范围、列示风险具体要求:就企业应如何按照内控原则“五要素”结合企业情况建立内控阐述要求,主要变化正式发布版权中特别加入了担保、财务报告、业务外包三个指引,以反映对于财务报告内部控制的关注细化了每个指引各章节的内容提出了每
17、个指引中每个章节拟定相关制度的要求增加了针对管理热点问题的相应的内控要求,如员工权益保护、社会责任,应用指引解读18个主题,发展战略,组织机构,人力资源,社会责任,企业文化,资金活动,采购业务,资产管理,销售业务,研究开发,工程项目,担保业务,业务外包,全面预算,信息系统,合同管理,内部信息传递,财务报告,应用指引解读特点,18个具体应用指引,每个指引均设专款列示风险。这此风险基本上是对近十几年中国企业产生的各种问题的一种概括。,应用指引解读特点,应用指引解读特点,应用指引解读 续,组织结构最新热点要求,企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按限定的权限和程序实行集体
18、决策审批或联签制度。企业梳理治理结构,应当重点关注董监高的任职资格及履职情况,以及董事会专门委员会运行效果。企业梳理内部机构设置,应当重点关注其设置合理性和运行的高效性,职能交叉、缺失、效率低下的,应及时解决。,企业应当确定具体岗位名称、职责、工作方式,明确各个岗位的权限和相互关系。企业拥有子公司的,应当建立科学的投资管控制度,重点关注发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内控体系建设。企业应当定期对组织架构设计、运行效率效果进行全面评估。,缺乏科学决策缺少良性运行机制执行力差难以实现发展战略权责分配不合理职能交差或缺失运行效率低下,应用指引
19、解读 续,战略规划应当明确发展的阶段性和发展程度,确定每个发展阶段的具体目标、工作任务和实施路径。战略委员会应当组织有关部门对发展目标和战略规划进行可行性研究和科学论证,形成发展战略建议方案。通过内部各层级会议和教育培训等有效方式,将发展战略及其分解落实情况传递到内部各管理层级和全体员工。,董事会应当严格审议战略委员会提交的发展战略方案,重点关注其全局性、长期性和可行性。企业发展战略经董事会审议通过后,报股东大会批准实施。应当按照规定权限和程序调整发展战略。,缺乏明确的战略战略实施不到位发展战略过于激进发展战略频繁变动资源浪费,发展战略最新热点要求,应用指引解读 续,企业应当根据人力资源能力框
20、架要求,明确各岗位的职责权限、任职条件和工作要求。企业选聘人员应当实行岗位回避制度、关键岗位和管理人员轮岗制度。依法签定劳动合同,关键岗位签定有保密协议,明确保密义务。,建立员工培训长效机制,促进全体员工的知识、技能持续更新。完善人力资源激励约束机制,设置科学的业绩指标考核体系,制定与业绩考核挂钩的制度。企业关键岗位人员离职前应当根据有关法规进行交接和离任审计。,人力资源缺乏或过剩结构不合理激励约束制度不合理关键岗位人员管理不完善关键技术或秘密泄露退出机制不当诉讼或声誉受损,人力资源最新热点要求,应用指引解读 续,企业应当设立安全管理部门和安全监督机构。建立严格的安全生产管理体系、操作规范和应
21、急预案,强化安全生产责任追究制度。企业应当重视国家产业结构相关政策,特别关注产业结构调整的发展要求,加快高新技术开发和传统产业改造,切实转变发展方式,实现低投入、低消耗、低排放和高效率。,企业应当避免在正常生产经营情况下批量辞退员工,增加社会负担。企业应当与员工签订并履行劳动合同,及时办理员工社会保险,确保员工休息休假权,对从事有职业危害作业的员工进行职业健康监护。企业应当加强职工代表大会和工会组织建设,积极创建实习基地,履行社会公益方面的责任,支持慈善事业。,发生安全事故产品质量低劣环境污染员工权益保护不足巨额赔偿或罚款声誉受损,社会资源最新热点要求,应用指引解读 续,企业应当制定培育体现企
22、业特色的发展愿景、价值观、经营理念、企业精神和风险防范意识。企业应当重视并购重组后的企业文化建设。形成企业文化规范,使其构成员工行为守则的重要组成部分。,企业文化评估,应当重点观点关注董、监、高在企业文化建设中的责任履行情况。企业应当促进文化建设在内部各层级的有效沟通,加强企业文化宣传贯彻,确保全体员工共同遵守。,员工丧失信心企业缺乏凝聚力缺少团队协作缺少风险意识缺乏诚信理念理念冲突,企业文化最新热点要求,应用指引解读 续,总会计师或分管会计工作负责人应当参与投融资决策过程。企业有子公司的,应当采取合法有效措施,强化对子公司资金业务的统一监控。有条件的企业集团,应当探索财务公司、资金结算中心等
23、资金集中管控模式。重大筹资方案应当形成可行性研究报告,全面反映风险评估情况。企业采用并购方式投资的,应当重点关注并购对象的隐性债务、承诺事项、可持续发展能力、员工状况及其与本企业管理层的关联关系,合理确实并购对价。,严格按照筹资方案确定的用途使用资金,由于市场环境变化等确需改变资金用途的,应当履行相应的审批程序,严禁擅自改变资金用途。企业应当加强债务偿还和股利支付环节的管理。企业应当指定专门机构或人员对投资项目进行追踪管理,定期组织投资效益分析,关注被投资方的财务状况、经营成果、现金流量及投资活动履行情况。不得帐外设帐,严禁收款不入帐、设立“小金库”,筹资成本过高债务危机资金链断裂资金使用效率
24、低下资金挪用、侵占,资金活动最新热点要求,应用指引解读 续,组织独立于申请及立项审批之外的专业机构及人员进行论证,出具评估意见。企业与其他单位合作进行研究的,应当对合作单位进行尽职调查,签订书面合作研究合同,明确双方投资、分工、权利义务、研究成果产权归属等。企业对于通过验收的研究成果,可以委托相关机构进行审查,确认是否申请专利或作为非专利技术、商业秘密进行管理。,企业应当建立严格的核心研究人员管理制度。企业应当建立研究成果保护制度。企业应当建立研发活动评估制度,加强对立项与研究、开发与保护等过程的全面评估。,创新不足资源浪费研发成本过高舞弊转化应用不足利益受损,研究与开发最新热点要求,议程,3
25、.1内部控制基本规范解读,3.2内部控制应用指引解读,3.3内部控制评价指引解读,内部控制基本规范及配套指引解读,3.4内部控制审计指引解读,建立健全,内部评价,外部评价,内部控制体系建设与评价方法,检查内控自评质量、向管理层报告结果、董事会决议、外审、披露,改进和跟踪内部控制运行缺陷,开展内控自我评价,建立内控自我评估工作流程,内控自评、审计、决议、披露,内部控制体系建设与评价方法,影响内部控制工作的关键成功要素,议程,内控体系维护与监控,内控组织架构稳定化,内控培训规范化,内控文档“统一”与“同步化”,内控监督检查制度化,内控沟通评价制度化,内控流程固化,公司设置内控组织,高层任组长,设立
26、内控专员将内控工作成效作为考核内容之一,规范内控师任职要求,包括接受培训学时、任职考试内容以及持续教育,保持内控文档手册及其他管理体系文档的一致性和同步更新,内审部门将内控测试检查,纳入年度工作计划公司内控自测试人员能力培养确保独立性,内审部门负责根据监管要求,制定内控评价报告标准建立内控管理部门、审计委员会以及监管机构的沟通机制,适时考虑将内控管理流程固化在系统中,便于信息的实时同步与共享,内部控制体系的维护与监控,流程执行责任人(业务主管与职员),业务流程负责人(业务线管理线),运营管理层(总部或下属公司),董事会,执行控制活动报告内控缺陷改进内控缺陷,管理和监控内控效果负责内控的持续改进检查内控的自我评估,高管基调(内控环境)确保建立相关政策与制度内控的总负责人,职能完善,内部控制体系的维护与监控,执行保障内部控制不同于文件、制度、手册或者流程图、流程描述,而是企业人员日常从事的工作,内部控制体系的实施是一个长期动态的过程。,内部控制体系的维护与监控,企业内部控制的几大误区,扬汤止沸,德勤原创 思茅编辑,特提请那些喜欢到处做秀装逼的“伪会计师”,别窃取德勤以及广大视野网友的劳动成果。,
