《胡教授的内部控制》由会员分享,可在线阅读,更多相关《胡教授的内部控制(58页珍藏版)》请在金锄头文库上搜索。
1、2009年售前工作总结和2010年工作规划,全面风险管理之企业内部控制 认证风险管理师培训,Enterprise Internal Control,1,一、企业内部控制的基本理论 二、企业内部控制的内容及应用框架 三、实现企业内部控制的步骤、程序、方法 四、企业内部控制的发展与应用挑战 五、企业内部控制的IT系统建设,目录,2,全面风险管理之企业内部控制,3,一、内控的基本理论起源与发展,4,企业内部控制可以通俗地理解为关于企业生产管理运行的规章制度和行为准则。企业内部控制的思想最早开始于18世纪,随着企业大规模花和资本大众化的进程,企业内部控制的要求应运而生,到了20世纪,随着股份制公司的建
2、立和规模的扩大,所有权和经营权出现了分离,出现了组织、调节、制约和监督生产经营活动的一系列方法,为了纠错查弊,开始建立了比较简单的企业内部控制制度。这是企业内控体系建立的初始阶段 最早的涉及企业内部控制的规范文档是1929年美国注册会计师协会和联邦储备委员会颁布的会计报表的验证 1936年在独立公共会计师对会计报表审查一文中首次将企业内部控制定义为:为保护公司现金及其他资产的安全、检查账簿记录的准确性而在公司内部采取的各种手段和方法。在1949年美国注册会计师协会又将其修订为:内部控制是企业为保证企业财产的安全完整、检查会计资料的准确性和可靠性,提高企业的经营效率及贯彻既定的经营方针,所设计的
3、总体规划和所采取的与总体规划相适应的一切措施和方法,一、内控的基本理论起源与发展,到了20世纪50年代,由于全球市场经济竞争的加剧,促使内部控制扩大到企业的各个领域,其内容也愈加丰富,1963年美国审计程序委员会在其发布的“审计程序23号文件”中,对内部控制的定义做了进一步的说明,首次将内部控制划分为内部会计控制和内部管理控制,1994年美国管理会计师协会在其内部控制结构中,将内控定义为:内部控制是这样一个整体系统,由管理者建立的旨在以一种有序和有效的方式开展公司的业务,确保其与管理政策和规章一致,保护资产,尽量保证记录的完整性和正确性 1994年美国反欺诈财务报告委员会(COSO)制定完成的
4、“内部控制整体框架”标志着现代企业内部控制体系的完整确立,奠定了现代企业内部控制的全新基础,一、内控的基本理论起源与发展,中国企业内部控制发展里程碑,一、内控的基本理论基本概念与框架,7,7,保证资产安全和会计信息真实是企业内部控制发展的主线,内部控制要义,内部控制的目标呈现出多元化发展的趋势,会计控制(含财务控制)是企业内控的核心,一、内控的基本理论控制目标与控制内容,控制内容,业务流程操作规定,流程定义,环节任务分解,风险点识别,风险控制与 应急预案,操作目标,一、内控的基本理论内控管理框架,9,企业内控管理框架,目标维度: 战略目标、经营目标、合规目标、报告目标,要素维度: 控制环境、风
5、险评估、控制活动、信息与沟通、监控,结构维度: 企业整体层面、分支机构、业务单位、子公司,流程维度: 任务制定、任务分解、任务操作、风险识别、风险应对,一、内控的基本理论内控管理框架,内控体系建设五要素,控制环境,风险评估,控制活动,信息与沟通,监督与反馈,控制环境。内部控制环境是企业实施内部控制的基础,影响着组织中员工的控制意识,为内部控制界定了规则和结构。一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等内部环境要素实施要点:(1)公司治理;(2)机构与管理职能;(3)内部控制政策;(4)人力资源政策;(5)风险管理体系;(6)内部审计制度;(7)企业文化;(8)管理
6、手册,一、内控的基本理论内控管理框架,内控体系建设五要素,控制环境,风险评估,控制活动,信息与沟通,监督与反馈,2、风险评估。风险评估是企业科学系统识别、分析和评价影响企业各级操作目标实现的所有风险因素、局部风险因素或特定领域风险因素的过程。风险评估是企业了解风险和确定风险控制目标的依据,是企业识别控制环节和控制关键点的依据,是企业实施内部控制过程管理不可逾越的关键步骤风险评估要素实施要点:(1)风险控制目标;(2)当前风险水平(敞口);(3)风险容忍度(风险偏好);(4)关键风险;(5)风险识别、分析、评价的技术与方法;(6)风险应对,一、内控的基本理论内控管理框架,内控体系建设五要素,控制
7、环境,风险评估,控制活动,信息与沟通,监督与反馈,2、控制活动。控制活动是指确保管理层的要求得以实施的政策及程序。企业根据风险评估结果,通过这些政策和程序确保采取必要的措施以应对影响企业业务操作目标实现的风险,将风险控制在可承受度之内。控制活动在整个企业内部的各个级别、各个职能展开。控制活动要素实施要点:(1)风险管理策略;(2)风险控制方案;(3)风险控制程序;,一、内控的基本理论内控管理框架,内控体系建设五要素,控制环境,风险评估,控制活动,信息与沟通,监督与反馈,2、信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通,使
8、得企业内部控制体系在上下游环节、相关业务的不同控制流程上都能得以平滑运行,互不干扰,发挥出集体效率。信息与沟通要素实施要点:(1)信息与沟通制度;(2)信息收集;(3)信息传递与沟通;(4)信息控制;(5)信息技术,一、内控的基本理论内控管理框架,内控体系建设五要素,控制环境,风险评估,控制活动,信息与沟通,监督与反馈,2、监督与反馈。监督与反馈是企业对内部控制体系建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,并提议改进的过程。信息与沟通要素实施要点:(1)内部控制体系运转的监督与反馈制度;(2)内部控制有效性评价;(3)内部控制缺陷认定;(4)监督与反馈报告;(5)监测
9、技术,一、内控的基本理论内控管理框架,建立企业内控体系的基本原则,1、全面性原则内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项 2、重要性原则内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域 3、制衡性原则内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。另外,内部控制三层制约的机制要充分体现,这三层制约包括:执行层、内控管理层和审计监督层 4、适应性原则内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整,一、内控的基本理论内控管理框架,建立企业内控体系的基本
10、原则,5、成本效益原则内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制 6、预防性原则建立内部控制体系必须突出预防为主思想,切实做到以预防为主,事先采取预防措施,防止风险发生,而不是发生风险后,再采取补救措施 7、持续改进原则企业内部控制体系应通过建立、实施和改进,形成一个自我完善、持续改进的风险管理与内部控制的动态过程和长效机制 8、合规性原则有效的合规管理是企业内部控制的基础,企业内部控制体系的建立首先必须满足合规性的要求,一、内控的基本理论内控管理框架,建立企业内控体系的基本原则,9、有效性原则内部控制机制不仅要设计合理,还应在设计时就应该考虑安排必要的监控措施和手段,以保障
11、内部控制体系的运行有效 10、独立性原则企业内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道 11、权威性和优先性原则内部控制应当具有高度的权威性,任何人不得凌驾于内部控制的制约之上,内部控制存在的问题应当能够及时反馈和纠正。另外,在企业实施新业务或项目决策中应体现“内控优先”,一、内控的基本理论内控管理框架,建立企业内控体系的基本原则,12、可控性原则企业内部控制可改变可控风险的特征(例如风险的影响程度或频度),但不可以改变不可控风险的特征。也就是说,内部控制对可控风险可以产生直接的控制效果,对不可控风险则需要通过预先安排的控制预案实
12、现得到危机来临时的损失最小化 13、与管理过程相结合原则内部控制应当渗透到企业的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查 14、风险评估先导性原则企业内部控制的建设和持续的变更改进一定是基于企业定期或不定性的风险评估的结果建议而实施的。或者说,企业对内部控制的设计和实施任何变更均应以所掌握的风险评估信息结果而作为内控行为导向性指南。风险评估是内控实施的决策基础,一、内控的基本理论内控体系建设的产出物,战略 目标,经营 目标,操作 目标,业务流程管理,风险点识别,风险 控制,内控体系建设,风险/损失事件库,控制管理规范,控制程序文件,风险控
13、制文档,一、内控的基本理论内控体系建设的产出物,控制管理规范:企业内部控制管理规范主要解决内部控制组织执行问题,规范的内容包括了业务组织描述,业务操作目标、业务的边界或与其他组织或业务的关联、业务的输入输出描述 控制程序文件:控制程序文件详细的描述了业务的流程、环节点、环节点的任务(岗位说明书)以及操作要求及规则 风险控制文档:风险控制文档描述了各个业务流程上的风险点、风险发生的特征、风险敞口、风险发生的频率、风险应对的策略等 风险/损失事件库:企业运营操作流程中历史上发生的各类风险事件(损失事件)的集合,其中描述了事件的定义,发生背景、类别、属性、损失程度等,管理策略,应对方案等,一、内控的
14、基本理论内控与全面风险管理,风险管理内外部环境,风险管理战略,风险辨识与分析,企业内部控制,风险应对方法,信息交换与沟通,风险管理系统运行监控,全面风险管理,战略风险,财务风险,市场风险,法律风险,运营风险,内部控制,一、内控的基本理论内控与合规风险管理,合规风险管理,大合规/遵从外法和内法,小合规/仅遵从外法,合规作为内控的制约目标,一、内控的基本理论内控与操作风险管理,23,事先管理,员工绩效管理,内部控制,内控环境,内控目标,内控规则,合规风险管理,合规监测预警,风险暴露、经济资本、风险对冲,风险与控制自评估,操作风险/运营风险,事中管理,事后管理,沟通与监控,全面风险管理之企业内部控制
15、,24,二、控制内容与应用框架内控覆盖面,25,内控体系对企业经营管理的全面覆盖,内控体系对企业经营管理的部分覆盖,根据企业内部控制体系建设的全面性原则,一个完整的企业内控系统应该覆盖企业经营管理的各个方面,无论是通过明显的控制文档规定了实现业务目标的操作流程规范,还是通过企业文化、社会道德标准形成的自我约束,规避含糊不清的操作标准是企业内部控制全面覆盖的精要,在内控体系建设中,那些在风险事件库支持下,通过控制规范、控制程序文件、风险控制文档建立起来的内控系统并非一次就可以实现全面的业务覆盖,有重点、有顺序的建立控制体系,首先在重要的业务条线上建立内控是合适的策略,也是内控建设重要性原则和适应
16、性原则的体现,二、控制内容与应用框架内控覆盖面,26,组织架构,企业文化,资产管理,销售业务,社会责任,资金活动,发展战略,研究与开发,担保业务,工程项目,采购业务,人力资源,业务外包,财务报告,全面预算,合同管理,内部信息传递,信息系统,企业内控体系覆盖业务条线,二、控制内容与应用框架内控覆盖面,27,二、控制内容与应用框架内控覆盖面,28,二、控制内容与应用框架内控覆盖面,二、控制内容与应用框架控制类型,内部控制结构类型,控制环境主导型,控制活动主导型,环境及活动并重型,环境及活动双弱型,不同的企业的经营规模、业务范围、竞争状况和风险水平适用的控制类型各有不同,当选择的控制类型与企业的实际情况不相适应是,就会出现控制不足或控制浪费的现象 “环境活动双弱型”企业一般来说,存在着明显的控制不足现象,这是一个通常不值得推荐的类型,但“环境活动并重型”并一定能达到最好的控制效果,二、控制内容与应用框架应用框架,31,战略目标,操作目标,风险评估,控制程序,信息传递与沟通,控制效果监督与反馈,具体控制类型包括:接触控制、信息/数据正确性控制、制衡控制、合规控制、效率/效益控制、安全性控制、欺诈控制、流程控制、检查控制、实物控制、行为控制、预算控制、审计控制等,
