卜范涛企业内部控制与全面风险管理实务

《卜范涛企业内部控制与全面风险管理实务》由会员分享，可在线阅读，更多相关《卜范涛企业内部控制与全面风险管理实务（45页珍藏版）》请在金锄头文库上搜索。

1、中国石油天然气股份有限公司,企业内部控制与风险管理操作实务,授课人：卜范涛,提纲,内部管理失控导致风险典型案例 内部控制的前世今生 中国的内控之路 内控的法规要求 对配套指引的解读 内控到底怎样落地 世界500强是怎么做的,一个煤老板的故事,链接：内部管理失控导致风险案件频发,长虹美国巨亏.亿美元,链接：中航油新加坡巨亏.亿美元,中铁建沙特巨亏41亿人民币,俄罗斯灰色清关群死群伤,内部管理失控导致风险案例,叙利亚战争中资企业遭受巨额损失,提纲,内部管理失控导致风险典型案例 内部控制的前世今生 中国的内控之路 内控的法规要求 对配套指引的解读 内控到底怎样落地 世界500强是怎么做的,法人治理结

2、构、内部控制、风险管理的关联性,内部控制的前世今生,法人治理 结构,内部控制 规范,全面风险 管理,ISO31000,GBT24353,提纲,内部管理失控导致风险典型案例 内部控制的前世今生 中国的内控之路 内控的法规要求 对配套指引的解读 内控到底怎样落地 世界500强是怎么做的,小贴士 企业内部控制基本规范 由财政部牵头颁发,国家对风险管理的重视,2006年6月6日，国务院国有资产监督管理委员会发布中央企业全面风险管理指引要求中央企业逐步进行企业风险管理。 2008年6月28日，财政部、证监会、审计署、银监会、保监会五部委发布了企业内部控制基本规范 国际风险管理标准ISO31000 国家标

3、准GBT24353全面风险管理,中国的内控之路,小贴士 企业风险文化中最重要的是 风险管理理念,中国的内控发展：主要规范,中国的内控之路,中国的内控发展：主要规范,中国的内控之路,治理还是控制？ 指引、施行？自愿还是强制？ 企业内部控制还是政府外部控制？,困惑,中国的内控之路,敢问中国内控路在何方？提升应用价值是唯一出路 内控的本质不是要求企业做什么，而是能给企业带来什么 强制性要求只是最初的形式，解决企业问题才是最终的根本,提纲,内部管理失控导致风险典型案例 内部控制的前世今生 中国的内控之路 内控的法规要求 对配套指引的解读 内控到底怎样落地 世界500强是怎么做的,小贴士 企业内控制度不

4、符合要求应当 实时因应措施 并报董事会及时修订,我国政府层面已经开始重视企业风险管理 但存在政出多门、上热下冷的阶段,中国式内控的法规要求,内部控制已经上升为国家层面的强制性要求,鼓励非上市大中型企业提前执行 上市公司及相关非上市大中型企业切实做好执行前的各项准备工作,中国式内控的法规要求,内控的目标,中国式内控的法规要求,内控目标的关系,企业生存与发展,战略目标,经营目标,报告目标,分解,反映,安全目标,合规目标,前提,保证,卫士 保安,谋士 高参,中国式内控的法规要求,管理层的责任,法规的要求,对内部控制的有效性进行自我评价，披露年度自我评价报告 聘请会计师事务所对财务报告内部控制的有效性

5、进行审计并出具审计报告 相比目前国外的内部控制要求，我国的内部控制评价的范围更为广泛,小贴士 合规是企业（全体）员工 的共同责任 并从企业（全体）员工 做起,审计师的责任,对内部控制进行独立审计，出具财务报告内部控制有效性的审计意见 获取充分、适当的审计证据来支持内部控制有效性的审计意见 对在内部控制审计过程中所注意到的非财务报告内部控制的重大缺陷，在审计报告中予以描述披露是我国内部控制法规的一项独特的要求 可以将内部控制审计和财务报表审计整合进行,法规的要求,小贴士 货运公司之风险管理中 受托运送的货品轻微破损系属 （低强度、高频率的风险 ）,提纲,内部管理失控导致风险典型案例 内部控制的前

6、世今生 中国的内控之路 内控的法规要求 对配套指引的解读 内控到底怎样落地 世界500强是怎么做的,小贴士 辨识风险与分析风险应当 （由不同人分别进行 ）,配套指引的整体结构,适用于企业,适用于事务所,企业内部控制应用指引概述,目前已出台的应用指引由18项指引组成，分为三个大类： 内部环境类（5项） 组织架构、发展战略、人力资源、社会责任、企业文化 控制活动类（9项） 资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告 控制手段类（4项） 全面预算、合同管理、内部信息传递、信息系统,对配套指引的解读,链接：某集团企业内部控制制度,链接：企业内部控制应用指

7、引,内部环境五项指引,组织架构 发展战略 人力资源 社会责任 企业文化,目的意义链接,具体要求链接,目的意义链接,具体要求链接,目的意义链接,具体要求链接,目的意义链接,具体要求链接,目的意义链接,具体要求链接,小贴士 预算制度是一种控制的工具 可以藉此评估个人、各部门 以及企业的整体经营绩效,小贴士 内控自查的目的是 自我监督 协助董事会了解内控的有效性,集体决策审批 联签,重大决策,重大事项,重要人事任免,大额资金支付业务,三重一大集体决策 审批 联签,控制活动类（项）,、资金活动（链接） 、采购业务（链接） 、资产管理（链接） 、销售业务（链接） 、研究开发（链接） 、工程项目（链接）

8、、担保业务 （链接） 、业务外包 （链接） 、财务报告 （链接）,控制活动,小贴士 决策者在决策过程中 取得的信息越多 决策的正确性越大,控制手段类（项）,、全面预算 （链接） 、合同管理（链接） 、内部信息 （链接） 、信息系统 （链接）,控制内容,企业内部控制应用指引准确的认识,给出了企业重要管理和业务领域的内控指导原则，非详细的内控标准或具体措施 企业应避免采用简单的“检查表”方式，仅仅将指引的内容简单地添加入企业规章制度，例如： 应用指引第1号组织机构 “第十一条 企业应当定期对组织架构设计与运行的效率和效果进行全面评估，发现组织架构设计与运行中存在缺陷的，应当进行优化调整” 避免简单

9、引用： “整改计划：在企业制度中增加年度评估的相关管理办法” 应当融会贯通： 根据企业的经营规模、业务发展、分支机构设置的变化，按需对组织架构的设计和运行情况进行分析评估,对配套指引的解读,配套指引的整体结构,适用于企业,适用于事务所,评价指引,内部控制评价的内容 内部控制评价的组织 内部控制缺陷的认定 内部控制评价报告 评价报告的披露或报送,配套指引的整体结构,小贴士 风险管理的终极目标 是为利益关系人（股东） 创造价值,内部控制评价指引,内容：对内部控制有效性进行全面评价 组织：专门的职能机构和评价工作组 缺陷认定： 需要企业根据自身情况，“合理”确定内部控制缺陷的认定标准 认定标准确定后

10、，必须在不同评价期间保持一致，不得随意变更 规定了进行评价的基准日为12月31日 规定了评价报告基本内容 规定了评价报告的披露及报送的时间（基准日后4个月）,对配套指引的解读,链接：某酒业公司内部控制自我评价报告,内部控制评价指引对内部控制缺陷的三级分类标准,根据缺陷的影响程度，划分为三个级别： 重大缺陷：一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形 重要缺陷：一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形 一般缺陷：除重大缺陷、重要缺陷之外的其他控制缺陷 企业根据上述级别自行确定具体的认定标准 目前国内外对确定认定标准的经验仅

11、局限于对财务报告内部控制缺陷的评价,对配套指引的解读,链接XX集团公司内部控制、风险管理自查手册,企业内部控制的评价,企业内控评价要抓住重点，关注日常监督。内控评价没有固定频率，样本量等要求，都是根据企业的实际情况决定。,内控自我评价从属于内部监督，是监督结果的总体体现；自我评价要倚重日常监督与专项监督；自我评价是一次性、大规模、地毯式评价和日常监督检查的结合。 评价频率没有硬性要求，也不可能规定样本量。注册会计师可以提供协助，但是如何评，评什么，是企业的自主决定。,我们认为结合“地毯式”评价和日常监督检查是一个实际可行的方法，同时也能避免工作上的重复。我们所倡议的自我评价方法和监管部门的思路

12、不谋而合。,总结,应用指引 提供原则性的指导原则，不能简单用作一个“内控检查表” 需要考虑并接合企业的实际情况 评价指引 包含“审计”的概念，需要企业灵活应用 企业需要根据自身情况，确定内部控制缺陷的认定标准 审计指引 以财务报告内部控制为主题 需要进一步明确对非财务报告缺陷评价和披露的具体方法,对配套指引的解读,风险管理和内部控制的关系,关键控制的确认必须是以风险为依据 每个业务流程面对多个类型的风险，因此影响： 每个业务流程需要确认那几个子流程 每类风险所应对的控制点,以全面风险管理为导向的内部控制体系,风险管理和内部控制的关系,营销战略 及计划,项目调研,投标,报价,合同管理,生产计划,

13、项目运行 管理,发货管理,发票及应收 账款管理,目标市场与客户（国内及海外市场、新兴市场） 产品结构（清洁/再生能源、宏观政策） 板块及整体业务量（增长率、订单数量、毛利率） 营销团队（客户反馈、架构、激励等）,营销计划的审批,预收款额度 质保金条款 其他,定价策略 毛利率预测区间 战略合作/外包 关联公司交易价格,报价审批,合同审批,投标评审会审批,生产计划审批,项目定期汇报,帐龄分析,以全面风险管理为导向的内部控制体系,提纲,内部管理失控导致风险典型案例 内部控制的前世今生 中国的内控之路 内控的法规要求 对配套指引的解读 内控到底怎样落地 世界500强是怎么做的,小贴士 合格的风险管理者

14、总能够 发挥优势规避劣势 抓住机会规避风险 使企业立于不败之地,内控建设思路：因地制宜，从企业实际出发,内控到底怎样落地,内控建设思路：结合内控与风险管理,建立以全面风险管理为导向的内部控制体系，将风险管理和内部控制融合在一起，才能“相得益彰”，真正发挥风险管理和内部控制的作用,内控到底怎样落地,对实施工作的初步建议： 搭建企业全面风险管理导向的内部控制体系,内控到底怎样落地,对实施工作的初步建议： 搭建企业全面风险管理导向的内部控制体系,确认重大风险事项及相关管理手段及控制 根据企业目标确认重大的经营操作领域 明确相关领域的主要风险事项，以及相关的管理机制 了解企业对所确认的风险的承受的程度

15、 流程梳理和控制评价 根据企业对风险的承受程度，梳理和分析流程的管理手段是否合理、足够 不存在“标准”的流程 考虑信息系统控制 评价控制手段的设计有效性和执行有效性 建立内部控制持续维护机制 监督职能，如内部审计、纪检监察等职能的协同效果,内控到底怎样落地,对实施工作的初步建议： 搭建企业全面风险管理导向的内部控制体系,建立可持续的评价机制：如何在确保评价质量的同时平衡评价成本 管理层内控评价机制的关键成功因素： 高级管理层和审计委员会的支持 明确业务部门和分行承担确保内控自评严肃性和真实性的责任 多方面的考虑来增强内控执行状况信息搜集的真实完整 管理层内控评价机制常用的方法： 每年由指定部门

16、进行相对独立的管理层内部控制测试，并根据测试结果作出管理层内控评价报告：这种评价相对独立、客观，但成本较高，以及可拓展性有较大的限制 使用“内部控制自我评价”（Control Self Assessment）机制：这种评价相对灵活，能适用于不同环境，但客观性取决于求企是否达到一定的管理基础,内控到底怎样落地,对实施工作的初步建议： 搭建企业全面风险管理导向的内部控制体系,企业对自我评价保留充分的评价依据和相关文档 和审计师积极的、开诚布公的交流各自的内控发现 审计师独立审计及管理层内部控制自我评价不尽相同： 方法可以不同 样本量可以不同 范围可以不同 但：缺陷评价标准合结论需要在一定程度上保持一致,内控到底怎样落地,对实施工作的初步建议： 搭建企业全面风险管理导向的内部控制体系,培训和学习：针对最新的指引及提升对内部控制理念的理解 持续完善内部控制体系：内部控制不可能做到完美 搭建企业内部控制评价机制：进一步结合所有和内部