内部控制与企业风险控制

《内部控制与企业风险控制》由会员分享，可在线阅读，更多相关《内部控制与企业风险控制（101页珍藏版）》请在金锄头文库上搜索。

1、企业内部控制 与全面风险管理,2018/10/14,1,企业风险管理的必要性,不得不说的故事： 安然公司 巴林银行回顾事件发生的经过 了解引致公司倒闭或严重损失的风险 从案例中吸取的教训,合俊玩具 中航油 云大科技,1 为什么我们需要内部控制？,企业规模 从“用眼睛管理”到“一眼望不到边” 竞争环境 进入了“复赛”的企业 经济环境 速度、不确定性、社会责任 代理问题 代理层级的增加 内部控制 合规经营、提升管理、持续发展,2018/10/14,3,竞争环境与企业的发展,市场环境的变化 竞争环境的变化 企业规模我们该做什么：精细化管理,股东（委托人） 企业所有者,委托 代理 关系,经理（代理人）

2、 企业经营者,聘用,信息不对称,代理 成本,基本的委托代理问题,公司面临的其他治理问题,公司的社会责任问题,污染 排放,偷逃税,不正当竞争,操纵市场,内部审计协会列出的9大风险因素,2018/10/14,7,管理层的能力 (Competence of management )管理层的道德观 (Integrity of management)近期系统变化 (Recent changes in systems)组织规模 (Size of unit)资产流动性 (Liquidity of assets)变革 (Change)复杂程度 (Complexity)快速增长 (Rapid growth)规章

3、制度是否健全 (Level of regulation),2018/10/14,8,(风险宇宙TM ),资信,制度,知识产权,财务,流动资产与 信贷,资本结构,市场,财务报告,营运,法律,生产程序,营商环境,市场结构,民风与文化,管治,策略,董事会活动,交易,并购,变卖,声誉,道德,社区责任,风险管理,董事会及 管理层业绩,组织结构,监察与沟通,执行,筹划与开发,利益有关方,供应商,政府,顾客,股东,经济情况,国家情况,市场变化,竞争对手,人才资源,雇员,沟通,有形资产,机器、厂房 与土地,其他 有形资产,负债,合约,法规,市场与销售,生产及流通,商品/服务开发,流程,估值与 选择买家,评估与

4、甄选,尽职调查,并购后整合,资信管理,运营,组织与监察,硬件,软件,网络,无形资产,知识管理,信息,现金管理,对冲,融资,股东资本,债务,商品,利率,外汇,税务,会计,合规,风险宇宙,2 关于风险与风险管理,2018/10/14,9,10,风险与回报的平衡,风险,调整风险 后的回报,企业风险,风险的动态观 企业风险持续的流动于主体之内 风险的组合观 风险贯穿于企业，在各个层级和单元 风险识别是规避风险的基础 发现一旦发生将会影响主体的潜在事项 并把风险控制在风险容量之内 风险管理 力求实现一个或多个不同类型但相互交叉的目标它只是实现结果的一种手段，并不是结果本身。 目的是降低不确定的经营结果,

5、风险识别和评估的思路,2018/10/,企业风险识别Company Logo,12,为了有效地控制风险则需要对风险进行评估一个企业都面对各种不同的内部和外部的风险，必须对这些风险进行识别和评估风险识别和评估就是确定和分析企业实现其目标的过程中的相关风险风险识别和评估的一个前提条件就是已确立目标, 这些目标在各个层次上相互关联并且在内部是一致的由于经济、行业、政策法规和经营条件持续地变化, 因此需要建立机制以及时确定和处理与这些变化相关的特定风险,风险识别的思路,2018/10/,企业风险识别Company Logo,13,哪些 风险？,企业该做什么？,企业做了什么？,剩余 风险？,原有风险的变

6、化和新的风险对早期设计的内部控制系统施加压力.,2018/10/14,14,在这个充满风险的世界里，企业该做些什么,遵守和控制过程,企业组织的变化,内部因素,外部因素,降低成本的要求,工艺流程的改进 和变化,新的技术,企业风险识别,15,风险策略避免 禁止交易 减少或限制交易量 离开市场转移 套期 保险 策略性联盟 其他分担风险的安排,小心管理 投资 广泛保护的安排 订价反映风险程度可接受 自我保险 预留储备 增加监督,风险处理策略,影响程度,大,小,2018/10/14,16,3企业内部控制基本规范,2018/10/14,17,我国内部控制的发展与国际比较,美国 内部控制理念方法的示范和内部

7、控制立法分别由COSO报告和萨班斯法案来实现。 COSO报告传达的信息代表了内部控制的理念和方法，对企业内部控制实务起示范作用，但本身并不具备强制效力。 萨班斯法案则代表立法。 我国的情况 从我国的国情和内部控制发展的历程看，我国往往采用内部控制框架与立法两者合一的方式。,2018/10/14,18,2008年6月28日,财政部、证监会、审计署、银监会、保监会五部委联合发布。,监督检查： 政府相关监管部门，对企业建立与实施内部控制的情况进行监督检查。,外审要求： 具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计，出具审计报告,责任主体：董事会。 具体措施：内部控制的建立健全和有效

8、实施；定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告,对上市公司要求： 应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告。,我国的企业内部控制基本规范,财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范 2010年4月，颁布配套指引 2011年1月1日，境内外上市公司执行 2012年1月1日，上交所、深交所主板上市的公司执行,2018/10/14,20,2018/10/14,21,整合风险管理框架：基本理念,风险组合观点 管理层考虑单个风险如何相互关联； 管理层从业务单元层面和实体层面决定风险组合。,COSO框架,框架的本质 建议一个共同的语言，为

9、企业风险管理提供清晰的方向和指南。,四个目标类别战略目标 经营目标 报告目标 合规目标,考虑组织的所有层面 企业层面 部门和分公司 业务单元层面,原 则,企业建立与实施内部控制，应当遵循下列原则： （一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。 （二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。 （三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。 （四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及

10、时加以调整。 （五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。,2018/10/14,22,要 素,企业建立与实施有效的内部控制，应当包括下列要素： （一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 （二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。 （三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。 （四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保

11、信息在企业内部、企业与外部之间进行有效沟通。 （五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。,2018/10/14,23,2018/10/14,24,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,传达管理理念- 责任- 义务 - 职权 - 人力资源 - 员工发展,设定管理基调- 诚信- 道德观念 - 能力,要素1: 控制环境,控制要素,控制类别,内部环境通常发现的问题,治理结构不完善，不能对管理层进行独立有效的监督与控制 风险控制意识薄弱 公司组织架构与公

12、司规模、业务不匹配 没有一套严格、统一的授权体系 财务及信息系统管理分散 没有明晰的企业文化 没有岗位说明书以及合理的员工绩效考核办法,2018/10/14,26,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,管理/控制变化,确定并分析对实现企业目标有影响的风险,要素2: 风险评估,控制要素,控制类别,风险评估通常发现的问题,缺乏企业整体目标，包括战略目标的确定与更新 下属机构与总部目标不一致，导致对风险识别的不一致 缺乏风险识别与预警机制以及对新市场、新产品/服务的风险评估 缺乏机制来进行定期系统的风险评估,内部环境,风险评估,控制

13、活动,信息与沟通,内部监督,2018/10/14,28,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,管理层发展方针贯彻的程序 直接的职能或活动管理物质的控制- 职权的分离,要素3: 控制活动,控制要素,控制类别,实现目标的管理机制,控制活动通常发现的问题,缺乏全面预算管理 缺乏有效项目管理 缺乏有效的IT控制 着重预防型控制而忽略检查型控制 缺乏对控制的文档记录,2018/10/14,30,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,要素4: 信息和沟通,控制要素,控制类

14、别,经营和财务信息的准确性和及时性,获取内部和外部的信息,组织的沟通,信息与沟通通常发现的问题,信息系统无法满足财务、业务需要、向管理层及时提供正确相关的信息 信息系统的设计与公司战略不一致 公司上传下达不力 部门或地区之间沟通不力,内部环境,风险评估,控制活动,信息与沟通,内部监督,2018/10/14,32,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,要素5: 监控,控制要素,控制类别,连续性的行动和 一次性的活动,反映严重问题的系统,监控系统的评价,内部监督通常发现的问题,缺乏对内部控制的定期评估 内审部门没有独立性，不能有效

15、进行监督工作 内审工作范围与计划不合理 内部控制缺陷不能及时得到纠正,内部环境,风险评估,控制活动,信息与沟通,内部监督,2018/10/14,34,企业风险管理,内部控制规范及指引的主要内容与合规性要求,内部控制基本规范 内部控制指引-企业内部控制应用指引（已发布18号）、企业内部控制评价指引、企业内部控制审计指引 重要的合规性要求,2018/10/14,35,内部环境类指引,组织架构 发展战略 人力资源 社会责任 企业文化,2018/10/14,36,控制活动类指引,资金活动 采购业务 资产管理 销售业务 工程项目 研究与开发 担保业务 业务外包 财务报告,2018/10/14,37,控制手段类指引,全面预算 合同管理 内部信息传递 信息系统,2018/10/14,38,2018/10/14,39,企业内部控制应用指引第1号组织架构,第一章 总 则 第二章 组织架构的设计 第三章 组织架构的运行,股东大会,董事会,经理,监事会,公司职工(工会),选举,选 举,聘任,选举,监督,监督,党组织,信息不对称,多层次的 委托代理问题,机会主义,2018/10/14,41,中国公司法和治理准则构建的公司治理结构,股东大会,股东,董事会,战略,审计,提名,薪酬与考核,监事会,经理人员,证 监 会,报告,产生,监督,2018/10/14,42,中国公司法对公司机关权力构架的设计,