1、企業(yè)內(nèi)部控制與風險管控,Company Logo,Contents,二,內(nèi)部控制基本框架,一,內(nèi)部控制體系構建,三,內(nèi)部控制失效分析,Company Logo,內(nèi)部控制基本框架,一,Company Logo,4,經(jīng)濟壓力、工作壓力、惡習等,WHY,機會,自我合理化,舞弊理論舞弊三角形理論（冰山理論）,Company Logo,舞弊理論GONE理論,Company Logo,舞弊理論舞弊風險因子理論,Company Logo,防止舞弊有效手段內(nèi)部控制,法律法規(guī)使之不敢 內(nèi)部控制使之不能 企業(yè)文化使之不愿,Company Logo,內(nèi)控理論發(fā)展,第一階段 內(nèi)部牽制階段，上世紀40年代前 第二階段

2、內(nèi)部控制制度階段 40年代末至70年代 第三階段 制度兩分階段 80年代至90年代 第四階段 全面風險控制階段 90年代之后,Company Logo,我國主要內(nèi)部控制法律法規(guī),國資委中央企業(yè)財務內(nèi)部控制評價工作內(nèi)部指引深圳交易所中小企業(yè)板上市公司內(nèi)部審計工作指引銀監(jiān)會商業(yè)銀行內(nèi)部控制指引,國資委中央企業(yè)全面風險管理指引上海證交所上市公司內(nèi)部控制指引深圳證交所上市公司內(nèi)部控制指引保監(jiān)會壽險公司內(nèi)部控制評價辦法（試行）,中國人行加強金融機構內(nèi)部控制的指導原則,Company Logo,中國版薩班斯法案,2009年7月1日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會日前聯(lián)合發(fā)布的企業(yè)內(nèi)部控制基本規(guī)范正

3、式生效，并在上市公司范圍內(nèi)實施，同時鼓勵非上市的大中型企業(yè)執(zhí)行 。,Company Logo,中國版薩班斯法案,企業(yè)內(nèi)部控制 應用指引,企業(yè)內(nèi)部 控評價指引,企業(yè)內(nèi)部控 制審計指引,Company Logo,中國版薩班斯法案,控制手段類指引,控制活動類指引,內(nèi)部環(huán)境類指引,組織架構 發(fā)展戰(zhàn)略 人力資源 社會責任 企業(yè)文化.,資金活動 采購業(yè)務 資產(chǎn)管理 銷售業(yè)務 研究及開發(fā) 工程項目 擔保業(yè)務 業(yè)務外包 財務報告,全面預算 合同管理 內(nèi)部信息傳遞 信息系統(tǒng),企業(yè)內(nèi)部控制應用指引,Company Logo,內(nèi)部控制的定義,內(nèi)部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的

4、過程。 如何理解內(nèi)部控制？ 1、是一個過程。 2、全員參與。 3、目標導向。 4、合理保證。,Company Logo,內(nèi)部控制目標,內(nèi)部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務報告及相關信息真實完整，提高經(jīng)營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。,Company Logo,內(nèi)部控制的目標,1、促進實現(xiàn)發(fā)展戰(zhàn)略 戰(zhàn)略目標 2、促進提高經(jīng)營管理效果效率 營運目標 3、促進提高信息報告質(zhì)量 報告目標 4、促進維護資產(chǎn)安全完整 資產(chǎn)目標 5、促進國家法律法規(guī)有效遵循 合規(guī)目標,Company Logo,內(nèi)控系統(tǒng)的整體架構,Company Logo,“內(nèi)部控制整體框架”的特點, 明確對內(nèi)部

5、控制的“責任” 強調(diào)內(nèi)部控制應該與企業(yè)的經(jīng)營管理過程相結合 強調(diào)內(nèi)部控制是一個“動態(tài)過程” 強調(diào)“人”的重要性 強調(diào)“軟控制”的作用 強調(diào)風險意識 揉和了管理與控制的界限 強調(diào)內(nèi)部控制的分類及目標 明確指出內(nèi)部控制只能做到“合理”保證 成本與效益原則,Company Logo,信息與溝通,控制環(huán)境,風險評估,控制活動,監(jiān) 控,內(nèi)部控制構成要素,Company Logo,信息與溝通,控制環(huán)境,風險評估,控制活動,監(jiān) 控,構成一個企業(yè)的氛圍，是其他內(nèi)部控制要素的基礎,內(nèi)部控制構成要素,Company Logo,是任何企業(yè)的核心，是企業(yè)的人以及它所處的環(huán)境是推動企業(yè)的引擎，也是其他要素的基礎,控制環(huán)

6、境的組成要素： 管理哲學和經(jīng)營風格-傳達公司的正直、誠實的道德規(guī)范 組織結構-董事會及其委員會職能 職責分配和授權-權利、職責分工 人事政策-保證員工正直并有能力勝任工作,內(nèi)部控制構成要素,控制5要素之一：控制環(huán)境,Company Logo,是企業(yè)道德與行為準則的凝結，以及如何將這些價值觀教化員工并訴諸實際行動 內(nèi)部控制作為企業(yè)文化相當脆弱 任何人不得凌駕于內(nèi)部控制制度之上,控制5要素之一：控制環(huán)境,1、管理哲學和經(jīng)營風格,權力的杠桿作用,內(nèi)部控制構成要素,Company Logo,提倡對正義、公理、公德 的忠誠，而非狹隘的“公 司忠誠”； 公司不能置公理和正義之 上。 價值觀與基本素質(zhì) 知識

7、結構與技能 經(jīng)驗及培訓,實現(xiàn)道德準則的具體措施： 加強員工雇傭前的篩選，使不誠 實的人沒有被雇傭的機會。 “亞洲對新員工進行調(diào)查的很少， 中國則幾乎沒有?！?控制5要素之一：控制環(huán)境,2、 人員素質(zhì)與人力資源政策,內(nèi)部控制構成要素,Company Logo,組織結構的定義： 通過提供完整的架構作用于組織實現(xiàn)其目標的能力； 是規(guī)定組織內(nèi)部責任與授權的線型結構 組織結構設計必須覆蓋組織活動的全部形式： 計劃與決策，執(zhí)行，控制，監(jiān)督 組織結構設計的2個限制： 少一個不行；多一個冗余； 部門功能必須是線型的、支持的，而非攔截的,組織結構設計原理,3、組織結構設計,控制5要素之一：控制環(huán)境,計劃與決策

8、做什么的組織安排,執(zhí)行 落實決策與計劃的組織安排,監(jiān)督 保證執(zhí)行與控制 的組織安排,控制 保證執(zhí)行正確安全的 組織安排,內(nèi)部控制構成要素,Company Logo,組織結構的設計因素： 確認授權和責任 確認報告路徑 組織設計合理的流水線模式： 三個問題： 所有的事是否都有人做？ 行為者是否充分授權行事？ 所有行為是否有人承擔責任？,企業(yè)成為權力角斗場的原因： 1.組織結構設計不確定： 對權力定義不清或定義錯誤,導致權力的渙散； 權力與責任不對稱 2.權力結構不穩(wěn)定： 權力成為公開招標物； 導致沖突和耍政治手腕。,控制5要素之一：控制環(huán)境,3、組織結構設計,內(nèi)部控制構成要素,Company Lo

9、go,信息與溝通,控制環(huán)境,風險評估,控制活動,監(jiān) 控,風險是一種潛在的問題或損失。 風險評估： 確定什么地方可能出錯，會有什么影響？,內(nèi)部控制構成要素,Company Logo,風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關的風險，合理確定風險應對策略。,內(nèi)部控制構成要素,控制5要素之三：風險評估,Company Logo,內(nèi)部控制構成要素,風險識別,目標設定,風險分析,風險分析,-,-,控制5要素之三：風險評估,Company Logo,內(nèi)部控制構成要素,風險分為： 公司整體層面的風險 具體業(yè)務活動層面的風險 風險分析的步驟： 評估風險的重要性 評估風險發(fā)生的可能性（或發(fā)

10、生的頻率） 考慮如何管理風險，即評估應采取何種行動,Company Logo,內(nèi)部控制構成要素,風險識別是風險管理的第一步 風險識別基本方法 現(xiàn)場觀察法 報表分析法 案例分析法 集合意見法 專家調(diào)查法 情景分析法 業(yè)務流程分析法,控制5要素之三：風險評估,Company Logo,風險產(chǎn)生的環(huán)境因素 法規(guī)或經(jīng)營環(huán)境的改變 新加入的員工、較高的人員流動性 新的或改善過的信息系統(tǒng) 公司經(jīng)理迅速發(fā)展時期 新技術的出現(xiàn) 新業(yè)務、新產(chǎn)品、新的經(jīng)營活動或并購 公司重組 跨國經(jīng)營,風險 評估,控制5要素之三：風險評估,內(nèi)部控制構成要素,Company Logo,內(nèi)部控制構成要素,規(guī)避風險,預防風險,分散風險

11、,轉移分險,控制5要素之三：風險評估,Company Logo,信息與溝通,控制環(huán)境,風險評估,控制活動,監(jiān) 控,為防范風險所采取的措施和行動。 控制活動包括：政策、標準、流程的建立，授權、批準，復核經(jīng)營業(yè)績，保護資產(chǎn)，職責分離 控制活動能夠抵償風險,內(nèi)部控制構成要素,Company Logo,控制5要素之三：控制活動,確保管理指令付諸實施的政策和程序，屬于組織的基礎行為。,內(nèi)部控制構成要素,Company Logo,控制活動的類型,事前事中事后,檢查性控制,補償性控制,預防性控制 糾正性控制,事前 事中事后,Company Logo,1、不相容職務分離控制 2、授權審批控制 3、會計系統(tǒng)控制

12、 4、財產(chǎn)保護控制 5、預算控制 6、合同管理 7 、電子信息技術控制 。,內(nèi)部控制構成要素,控制5要素之三：控制活動,Company Logo,概念： 一項經(jīng)濟業(yè)務的發(fā)生，其授權、批準、執(zhí)行、記錄等從頭 到尾由一個部門或一個人辦理時，其發(fā)生錯誤或非法行為 的概率趨于增大的兩項及以上的功能必須分割。 資產(chǎn)管理和處理職能與會計記錄職能分離 交易批準與交易執(zhí)行分離 交易執(zhí)行與交易的會計報告責任分離（會計職能的特性） IT職能與關鍵用戶分離,控制5要素之三：控制活動,1、充分的職責分工,內(nèi)部控制構成要素,Company Logo,不同人員或部門之間的職責分工可以通過一系列檢查措施，例如:降低發(fā)生錯誤

13、的風險，并控制人為蓄意的操縱. 避免獨立個人同時負責一項完整的交易的發(fā)生、授權和記錄，或避免獨立個人在保管資產(chǎn)的同時負責記錄其變動. 通過崗位輪換, 使更多的高級管理者參與日常運營的主要活動, 以外部視角來觀察各個部門的運營.,控制5要素之三：控制活動,1、充分的職責分工,內(nèi)部控制構成要素,Company Logo,控制5要素之三：控制活動,1、充分的職責分工,內(nèi)部控制構成要素,Company Logo,授權分類： 一般授權 特殊授權 授權結構： 范圍,權限，程序,責任； 授權類別： 資金審批授權， 合同簽訂授權， 業(yè)務處理授權， 價格制訂授權， 資產(chǎn)與信息接觸授權 授權與批準的區(qū)別： 授權-

14、是對一般交易或特殊交易的政策性制度決策； 批準-是對公司授權制度的具體執(zhí)行。,“職位至高者，若一味偏愛權力，只能歸入從屬地位；反之， 職位至低者，若考慮全局，承擔責任，即為高級管理層?！?-彼得德魯克：,2、 交易與業(yè)務行為的適當授權,控制5要素之三：控制活動,內(nèi)部控制構成要素,Company Logo,項目事務權限,子公司事務權限,事業(yè)部事務權限,內(nèi)部控制構成要素,Company Logo,信息與溝通,控制環(huán)境,風險評估,控制活動,監(jiān) 控,為了實現(xiàn)控制目標，保證內(nèi)部控制各個要素的可靠性，有關信息必須及時溝通。 信息溝通貫穿于整個控制,內(nèi)部控制的 神經(jīng)系統(tǒng),內(nèi)部控制構成要素,Company L

15、ogo,信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通。,控制5要素之四：信息與溝通,內(nèi)部控制構成要素,Company Logo,貫穿在風險評估和控制活動過程中 這些系統(tǒng)使企業(yè)內(nèi)的人員能取得他們在執(zhí)行、管理和控制企業(yè)營運時必須的資訊，并交換這些資訊 信息系統(tǒng)：內(nèi)部、外部 溝通：使員工知悉其在業(yè)務經(jīng)營、財務報告及法律遵循方面的責任,控制5要素之四：信息與溝通,內(nèi)部控制構成要素,Company Logo,控制5要素之四：信息與溝通,1、信息 信息系統(tǒng)利用內(nèi)部生成的數(shù)據(jù)和來自外部渠道的信息，以便為管理風險和作出與目標相關的知情的決策提供信息

16、。,內(nèi)部控制構成要素,Company Logo,1、信息,信息質(zhì)量 內(nèi)容相關 是不是所需要的信息? 提供及時 是不是在需要時可以及時提供? 時效性 是不是最新的? 正確性 數(shù)據(jù)是不是正確? 可獲得性 是不是可以從正常渠道輕松獲得? 。,控制5要素之四：信息與溝通,內(nèi)部控制構成要素,Company Logo,1、信息,內(nèi)部 每一各人都需要了解內(nèi)部控制系統(tǒng)的相關方面，系統(tǒng)如何工作，以及他（她）本人在系統(tǒng)中的角色和職責 外部 與外部單位的交流經(jīng)常能提供履行內(nèi)部控制職能所需要的重要信息 監(jiān)查部門例如證監(jiān)會、財政部等提供的審閱或檢查結果能夠揭示控制的弱點 與股東、監(jiān)管部門、金融分析師和其他外部單位的溝通

17、應提供與其需求相關的信息，以便其比較容易地理解企業(yè)所面臨的環(huán)境和風險 。,控制5要素之四：信息與溝通,內(nèi)部控制構成要素,Company Logo,2、溝通,有效的溝通會出現(xiàn)在組織中向下、平行和向上的流動。全體員工要了解其在內(nèi)部控制中的職責，以及個人活動與其它人員的工作之間的聯(lián)系，認真擔負起內(nèi)部控制的責任。 有向上溝通重要信息的渠道。 與外部也要有有效的溝通。,控制5要素之四：信息與溝通,內(nèi)部控制構成要素,Company Logo,信息與溝通,控制環(huán)境,風險評估,控制活動,監(jiān) 控,監(jiān)督和評估內(nèi)部控制系統(tǒng)設計合理性和運行有效性。,內(nèi)部控制構成要素,Company Logo,內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制

18、建立與實施情況進行監(jiān)督檢查，評價內(nèi)部控制的有效性，發(fā)現(xiàn)內(nèi)部控制缺陷，應當及時加以改進。 內(nèi)部監(jiān)督分為日常監(jiān)督和專項監(jiān)督。日常監(jiān)督是指企業(yè)對建立與實施內(nèi)部控制的情況進行常規(guī)、持續(xù)的監(jiān)督檢查；專項監(jiān)督是指在企業(yè)發(fā)展戰(zhàn)略、組織結構、經(jīng)營活動、業(yè)務流程、關鍵崗位員工等發(fā)生較大調(diào)整或變化的情況下，對內(nèi)部控制的某一或者某些方面進行有針對性的監(jiān)督檢查。 專項監(jiān)督的范圍和頻率應當根據(jù)風險評估結果以及日常監(jiān)督的有效性等予以確定。,內(nèi)部控制構成要素,Company Logo,控制5要素之五：監(jiān)控,內(nèi)部控制構成要素,整個內(nèi)部控制的執(zhí)行過程必須被監(jiān)督 確保內(nèi)部控制制度隨情況的改變而作出動態(tài)的反應 應建立檢查和報告體制

19、,Company Logo,控制5要素之五：監(jiān)控,監(jiān)督行為包括三個層次、三條路徑：,部門日常監(jiān)督 主管日常監(jiān)督,部門自我評估,內(nèi)部審計,內(nèi)部控制構成要素,Company Logo,內(nèi)部控制體系構建,二,Company Logo,內(nèi)部控制體系設計背景,Company Logo,內(nèi)部控制體系設計依據(jù),企業(yè)內(nèi)部控制應用指引,財政部等五部委,企業(yè)內(nèi)部控制基本規(guī)范,企業(yè)內(nèi)部控制評價指引,企業(yè)內(nèi)部控制審計指引,國資委,中央企業(yè)全面風險管理指引,證券交易所,行業(yè)監(jiān)督機構,上市公司內(nèi)控指引 上交所內(nèi)控指引 深交所內(nèi)控指引,行業(yè)內(nèi)控指引 商業(yè)銀行內(nèi)控指引 證券公司內(nèi)控指引 保險公司內(nèi)控基本準則,財政部等五部委出

20、臺的企業(yè)內(nèi)部控制基本規(guī)范為企業(yè)提供了完整和公認的內(nèi)部控制框架，同時以法律的形式要求上市公司對本公司內(nèi)部控制的有效性進行自我評價。,國資委出臺的指引強調(diào)對風險的識別、分析、評價、防控和監(jiān)督，為企業(yè)防控風險，建立控制體系提供指引。,應用指南具體提出18個具體流程的應用指引。在每個具體流程中規(guī)定了該指引的目的，相關定義，該流程的主要風險，崗位分工及授權批準，及主要流程的控制程序。 評價指引具體規(guī)范了內(nèi)控評價的內(nèi)容和標準，評價的程序和方法，內(nèi)控缺陷的認定，以及規(guī)定了評價報告的相關內(nèi)容。 審計指引指導注冊會計師執(zhí)行內(nèi)控審計業(yè)務。,深交所出臺了一系列的內(nèi)部控制指引，為上市公司建立和實施內(nèi)部控制制度提供指引

21、。,Company Logo,內(nèi)部控制應當在治理結構、機構設置及權責分配、業(yè)務流程等方面形成相互制約、相互監(jiān)督，同時兼顧運營效率。,內(nèi)部控制應當在全面控制的基礎上，關注重要業(yè)務事項和高風險領域。,內(nèi)部控制應當與企業(yè)經(jīng)營規(guī)模、業(yè)務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時加以調(diào)整。,內(nèi)部控制應當權衡實施成本與預期效益，以適當?shù)某杀緦崿F(xiàn)有效控制。,內(nèi)部控制應當貫穿決策、執(zhí)行和監(jiān)督全過程，覆蓋企業(yè)及其所屬單位的各種業(yè)務和事項。,全面性,重要性,制衡性,適應性,成本效益,內(nèi)部控制體系設計原則,Company Logo,內(nèi)部控制體系設計步驟,確定控制目標 整合控制流程 識別控制環(huán)節(jié) 確定控制

22、措施,Company Logo,（一）確定控制目標,內(nèi)部控制的四項基本目標: (1)戰(zhàn)略目標。 (2)經(jīng)營目標。 (3)報告目標。 (4)合規(guī)目標。 需要指出的是，以上四項目標均為基本目標或一般目標。在每項基本控制目標下，還可細化為若干具體控制目標。,Company Logo,（二）整合控制流程,控制流程，是依次貫穿于某項業(yè)務活動始終的基本控制步驟及相應環(huán)節(jié)。控制流程，通常同業(yè)務流程相吻合，主要由控制點組成。當企業(yè)的業(yè)務流程存在控制缺陷時，則需要根據(jù)控制目標和控制原則加以整合。,Company Logo,（三）識別控制環(huán)節(jié),實現(xiàn)控制目標，主要是控制容易發(fā)生偏差的業(yè)務環(huán)節(jié)。這些可能發(fā)生錯弊因而需

23、要控制的業(yè)務環(huán)節(jié)，通常稱為控制環(huán)節(jié)或控制點?？刂泣c按其發(fā)揮作用的程度而論，可以分為關鍵控制點和一般控制點。那些在業(yè)務處理過程中發(fā)揮作用最大，影響范圍最廣，甚至決定全局成效的控制點，對于保證整個業(yè)務活動的控制目標具有至關重要的影響，即為關鍵控制點;相比之下，那些只能發(fā)揮局部作用，影響特定范圍的控制點，則為一般控制點。,Company Logo,（四）確定控制措施,控制點的功能，是通過設置具體的控制技術和手續(xù)而實現(xiàn)的。這些為預防和發(fā)現(xiàn)錯弊而在某控制點所運用的各種控制技術和手續(xù)等，通常被概括為控制措施。,Company Logo,內(nèi)部控制體系的建立,框架,制度,表格,流程,Company Logo,

24、內(nèi)部控制體系的建立,流程,制度,報表,Company Logo,內(nèi)部控制體系的建立,范例分享,HOW TO DO?,Company Logo,內(nèi)部控制失效分析,三,Company Logo,組織結構不合理,不相容職責不分離,授權體系不分明,執(zhí)行 問題,流程設計不合理,制度體系缺失,常見內(nèi)控問題,內(nèi)控設計與執(zhí)行缺陷,企業(yè)內(nèi)控體系失效原因,Company Logo,內(nèi)控固有局限,兩種錯誤 制度性錯誤： 因制度設計錯誤而引起的差錯。 人為錯誤： 與制度設計無關純粹因人為因素 而產(chǎn)生的錯誤。分2類： 善意錯誤： 惡意錯誤：蓄意破壞、對抗設計 良好的控制制度。,善意人為錯誤 管理層或其他員工因信息不充分，時間限制或其他流程問題，業(yè)務決策和判斷失誤； 對工作指令理解錯誤，疏忽懈怠，精力不集中，疲勞或崗位調(diào)動等原因導致控制失效