《内部控制与风险管理:案例与操作.ppt》由会员分享,可在线阅读,更多相关《内部控制与风险管理:案例与操作.ppt(147页珍藏版)》请在金锄头文库上搜索。
1、内部控制与风险管理内部控制与风险管理案例与操作案例与操作为什么要说内控“基本规范”与”配套指引” 近近10 多年来,中国商界风云诡谲,每隔多年来,中国商界风云诡谲,每隔一两年便有一些庞大而知名的企业轰然倒地。一两年便有一些庞大而知名的企业轰然倒地。在在大败局大败局的众多案例中,的众多案例中,那些曾经不可那些曾经不可一世的企业家们缺乏现实的控制感和控制艺一世的企业家们缺乏现实的控制感和控制艺术大概是最为致命的弱项术大概是最为致命的弱项 仰融无法控仰融无法控制华晨、唐万新无法控制德隆、顾雏军无法制华晨、唐万新无法控制德隆、顾雏军无法控制科龙、宋如华无法控制托普、李经纬和控制科龙、宋如华无法控制托普
2、、李经纬和赵新先无法控制他们一手创办的健力宝和三赵新先无法控制他们一手创办的健力宝和三九,等等,九,等等,一切悲剧都潜伏着惊人一致的逻一切悲剧都潜伏着惊人一致的逻辑。辑。1981 年,当有点口吃的杰克年,当有点口吃的杰克韦尔奇被任命韦尔奇被任命为为GE 新总裁后,他跑到洛杉矶附近的一个新总裁后,他跑到洛杉矶附近的一个小城市去拜访当世最伟大的管理学家彼得小城市去拜访当世最伟大的管理学家彼得德鲁克,他问的第一个问题就是:德鲁克,他问的第一个问题就是:“我怎么我怎么控制控制GE下面的上千家公司?下面的上千家公司?” 一切伟大的治理都是从学习控制开始的。一切伟大的治理都是从学习控制开始的。吴晓波吴晓波
3、大败局大败局“基本规范”的5个55个目标5个原则5个要素50条5个部门合规、资产、报告、经营、战略全面性、重要性、制衡性、适应性、成本效益内控环境、风险评估、控制活动、内控环境、风险评估、控制活动、信息与沟通、内部监督信息与沟通、内部监督7章(总则+五要素+附则)5“配套指引”的实施62011-1-1,在境内外同时上市的公司,在境内外同时上市的公司2012-1-1,沪深主板,沪深主板择机,中小板和创业板择机,中小板和创业板鼓励,非上市大中型企业鼓励,非上市大中型企业“配套指引”的结构7核心,核心,“如何如何控制控制”,设计,设计(建设)(建设)评价指引评价指引审计指引审计指引应用指引应用指引公
4、司管理层自公司管理层自我评价我评价CPA外部审外部审计(鉴证、计(鉴证、审核)审核)咨询、培训咨询、培训审计审计注册会计师的新业务注册会计师的新业务事务所不能事务所不能同时做同时做配套指引的结构8评价指引评价指引审计指引审计指引应用指引应用指引1.组织架构组织架构2.发展战略发展战略3.人力资源人力资源4.社会责任社会责任5.企业文化企业文化控制环境类控制环境类控制手段类控制手段类控制活动类控制活动类6.资金活动资金活动7.采购业务采购业务8.资产管理资产管理9.销售业务销售业务10.研究与开发研究与开发11.工程项目工程项目12.担保业务担保业务13.业务外包业务外包14.财务报告财务报告
5、15.全面预算全面预算16.合同管理合同管理17.内部信息内部信息传递传递18.信息系统信息系统 来龙去脉来龙去脉框架体系框架体系路线方向路线方向1、西方内控的五段路2、中国的内控之路3、内控理论1 西方内控的五段路到源头去,到师傅那儿去内部控制的五段路12192040年代194070年代21世纪以来内部内部牵制牵制内控内控制度制度全面风全面风险管理险管理复杂性198090年代内控内控结构结构1990年代内控整内控整体框架体框架二分法二分法三分法三分法五要素五要素八要素八要素 ? ?内部牵制阶段以“物”为目的;账目核对;设立不兼容岗位13192040年代年代1女出纳贪污拆迁款250余万元14获
6、刑无期获刑无期 她负责公她负责公章、拆迁章、拆迁款领取表、款领取表、通知拆迁通知拆迁户签字领户签字领款;款;重复记账重复记账案例案例内部控制制度阶段以“表”为目的内控评价成为抽样审计的出发点,开始超出会计范畴。15194070年代年代2会计记录会计控制管理控制直接间接要评价不评价内部控制结构阶段以“法”为目的水门事件1979反国外贿赂法1979年,SEC新要求161974,尼克松尼克松辞职辞职198090年代年代31988年,AICPA,审计准则公告第55号内部控制结构内部控制结构内部控制结构内部控制结构控制环境控制环境控制环境控制环境会计制度会计制度会计制度会计制度控制程序控制程序控制程序控
7、制程序经营作风、人事政经营作风、人事政策、责任会计、内策、责任会计、内部审计部审计确认、归集、分类、确认、归集、分类、分析、登记、列报分析、登记、列报授权、职责分工、授权、职责分工、原始记录、接触控原始记录、接触控制、复核制、复核17内控是为合理保证企业特定目标的实现而建立的各种政策和程序。内部控制整体框架阶段1985,Treadway委员会 1987,COSO成立1992,发布“内部控制:整体框架”,1994修订1996年,AICPA全面接受COSO报告181990年代年代4COSO是谁?美国会计学会美国注册会计师协会财务经理协会管理会计师协会内部审计师协会19COSO “整体框架”20监督
8、监督控制活动控制活动风险评估风险评估信息沟通信息沟通报告目标报告目标报告目标报告目标经营目标经营目标经营目标经营目标合规目标合规目标合规目标合规目标控制环境控制环境从理论模型到实务操作项目要素公司、单位、部门各层1、2业务流程/ 循环1、2作业 1. 控制环境1.1无论设计、自评、外审,都要问,体现三大目标的各项制度:有没有?完整性好不好?合理性运行否?有效性1.1.1222不同企业分项目不同,对各要素、控制点的提问不同。不同企业分项目不同,对各要素、控制点的提问不同。自上而下自上而下值得强调的新观点动态:动态过程,管控融合软化:环境影响,软性控制全面:全员控制,强调责任平衡:合理保证,成本效
9、益23“鹿”死谁手?运用内控五要素看三鹿事件内控环境:股权分散,管理层强势风险评估:采购原料奶的质量控制活动:跑马圈地;无应急处理机制信息与沟通:从隐瞒、否认到推卸责任内部监督:04年“大头娃娃”、05年“早产奶”24案例案例在其他国家加拿大COCO,1995英国ICAEW,1999,Turnbull报告巴塞尔银行监管委员会,199725全面风险管理阶段2001,安然事件2002,SOX法案2004,ERM262000以来以来5安然事件罪过安然:债务和权益的假账安达信:独立性;销毁审计档案对审计的影响:审计模式是制度基础还是风险导向审计;如何确保独立性27SOX法案:乱世重典,逼娼为良自出兵阿
10、富汗以来,美国国会最协调一致的行动是在2002-7-15全票通过公众公司会计改革及投资者保护法“萨班斯奥克斯利法案”(Sarbanes-Oxley Act)。28其关键在于财务报告的可靠性。提供不实财务报告的,有可能被处以1020年监禁的重刑与持枪抢劫的最高刑罚相同。SOX法案第404条款要求公司年报中包括一份“内部控制报告”,该报告应明确:管理层负责建立内控管理层评估内控的有效性29中国企业的美式挑战?中国企业的美式挑战?企业风险管理(ERM)的定义由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围
11、内管理风险的,为企业目标的实现提供合理保证的过程。30CRO,首席风险官,首席风险官为啥?为啥?谁做?谁做?做啥?做啥?ERM相比94版框架的变化目标:增加战略目标,报告目标变广风险观念:提出企业总体层面的风险组合环境:提出风险偏好、风险容忍度概念要素:从控制环境到内部环境,更宽新增目标设定、事项识别、风险应对三个要素32小结33目标越来越高,范围越来越宽;从单一机构主导,到多方合作;丑闻、灾难促发进步;美国即西方,美国即国际。中国人的特点对于内控的影响规则与人情精确与模糊坦率与委婉冒险与中庸解剖与系统34请评阅请评阅兰德公司对中国人的评价兰德公司对中国人的评价面子,信仰,诚信,教育面子,信仰
12、,诚信,教育2 中国的内控之路中国的内控发展:主要规范证监会证券公司内部控制指引2001-1中国人民银行商业银行内部控制指引2002-9财政部7项内部会计控制规范(试行) 200104中注协企业内部控制审核指导意见2002-2银监会商业银行内部控制评价试行办法 2004-836中国的内控发展:主要规范上交所上交所上市公司内部控制指引2006-5深交所深交所上市公司内部控制指引2006-9 国资委中央企业全面风险管理指引2006-6五部委企业内部控制基本规范 2008-5-22五部委企业内部控制应用指引(18项)、审计指引、评价指引 2010-4-2637政出多门38小结:中国式内控发展的特点3
13、9政出多门,群雄割据;自上而下,上热下冷;邯郸学步,亦步亦趋。困惑40治理还是控制?治理还是控制?指引、施行?自愿还是强制?指引、施行?自愿还是强制?企业内部控制还是政府外部控制?企业内部控制还是政府外部控制?上交所2006年指引的执行情况强制要求披露内控制度实施情况,结果却被许多公司不理不睬。业绩好的公司披露得多;注册会计师鉴证报告,全部通过,都没有重大缺陷! “报喜不报忧,家丑不外扬”“要我做”,不是“我要做”41“基本规范”的尴尬要求:2009-7-1,上市公司实施42“兄弟们,兄弟们,上!上!”到底审不审?到底审不审?实施了吗?实施了吗?不实施怎么办?不实施怎么办?头儿中国的企业内部控
14、制标准委员会的领导:主席:王军秘书长:刘玉廷COSO的主席:Larry Rittenberg,美国威斯康辛大学安永教授43事儿442008-10,中国神华内部控制与风险管理实践的基础性成果2010-6-15,所属2家企业挪用煤矿维简费4924万元,用于购置非生产用车辆、办公设备等支出20082008年年6 6月月2525日日-28-28日,由中日,由中国内部审计师协会举办、中国内部审计师协会举办、中天恒会计师事务所协办的中天恒会计师事务所协办的中国神华内控专题培训班国神华内控专题培训班案例案例内控软件商动起来了用友NC 内控与风险管理解决方案暨用友NC5.5 产品穆迪KMV公司宣布,由其研发的
15、Risk Analyst(风险分析)简体中文版将正式进入中国市场SAP明确表示可以提供一揽子解决方案45CPA怎么办?大势所趋,早作准备任重道远,路漫漫兮培育和挖掘需求,做好营销谁需要内控?为什么需要?需要什么样的内控?463 内控理论内控的定义、类型内控目标、作用为为什什么么控控制制+ + +控控制制什什么么谁谁来来控控制制 帮助达成帮助达成组织组织目标目标风险风险:人,物与资人,物与资金,信息金,信息 董事会董事会 总裁室总裁室 经理层经理层 员工层员工层 = =内部控制的类型491 1预防性控制预防性控制2 2检查性控制检查性控制3 3纠正性控制纠正性控制4 4补偿性控制补偿性控制事前事
16、前事中事中事后事后内控的目标COSO 1994ERM 2004基本规范战略目标经营目标报告目标合规目标安全目标50内控目标的关系51企业生存与发展企业生存与发展战略目标战略目标经营目标经营目标报告目标报告目标分解分解反映反映安安全全目目标标合合规规目目标标前提前提保证保证卫士卫士 保安保安谋士谋士 高参高参合规目标:“小会计”玩转2亿元2004年10月18日,北京市第一中级人民法院审理国家自然科学基金委员会会计卞中贪污挪用公款一案。19952003年的8年贪污和挪用26笔,近2亿元, 占整个基金会年掌控经费的1/10 。被判处死缓,剥夺政治权利终身,并处没收个人全部财产。52卞中其人卞中其人:
17、其貌不其貌不扬;独来独往;沉扬;独来独往;沉默寡言;对女友宣默寡言;对女友宣称自己是中国首富称自己是中国首富案例案例大戏如何上演?内控缺陷:经费管理处无人监督、查账,一人掌控,14年没有内部审计,基金委严重失察办案人员:“查到最后感觉偌大一个基金委,拨款权实际上就掌握在一个会计手中”。手法:打包拨款,退汇重拨,以拨代收;伪造银行进账单、对账单53案例案例经营目标54管理企业就好比驾驶一辆车,车速越快,越需要好的控制系统。美管理学家 罗伯特安东尼内控的作用:错弊三角理论55职业道德职业道德法律法规法律法规内部控制内部控制不愿不愿不敢不敢不能不能机会机会借口借口压力压力内控的作用:GONE理论与三
18、角论一样的,还是机会!强调“贪婪”!56机会机会O需要需要N贪婪贪婪G暴露暴露E时间:2007年4月14日14时许;地点:河北邯郸市农业银行金库案值:近5100万元现金人民币被盗(一个多月)身份:两疑犯为银行现金管理中心管库员农行河北省分行行长瞿建耀:“不出事是偶然,出事是必然。” 疑犯任晓峰:“我在逃跑的时候连饭都没心思吃,但是我看到彩票投注点就想下车买点,没什么其他想法,就是手痒痒。”57案例案例内控要素的意义内部控制有效性的标准:每个构成要素的存在,合理,和有效运行这样,就能使董事会和管理层获得有关实现既定目标的合理保证。5960有效的控制在很大程度上取决于选择关键控制点。1、内控环境内
19、控环境概述治理结构机构设置/组织架构发展战略内部审计人力资源政策企业文化社会责任62内部控制与公司治理治理解决(内外、大小)股东之间、股东与经营者之间关系内控帮助董事会、高管“向下”的问题治理是根源、是体制63治理是“神仙打仗”,内控解决不了公司治理的问题。“中航油事件”的反思中航油新加坡公司于2001年底获批在新加坡上市。在取得中国航油集团公司授权后,自2003年开始做油品套期保值业务。但总裁陈久霖擅自从事石油衍生品期权交易。2004年12月,投机亏损5.54亿美元,向新加坡证交所申请停牌,向当地法院申请破产保护,成为继巴林银行破产以来最大的投机丑闻。64案例案例“中航油事件”的反思“我们成
20、立独立的风险管理部门,使风险管理日常化、制度化。公司成立跨部门的风险管理委员会;公司聘请了世界上最大的安永会计师事务所制定了风险管理手册及财务手册;采用目前世界上最先进的风险管理系统Kiodex Risk Workbench 系统。”“损失20万美元以上的交易要提交风险管理委员会评估。累计损失超过35万美元的交易须得到总裁同意才能继续。而任何将导致50万美元以上损失的交易将自动平仓。”65案例案例“中航油事件”的反思当年的新加坡交易所“最佳治理公司”!形式上十分完备、规范的公司治理并不能保证一定有效。66案例案例陈久霖权力过大陈久霖权力过大中信泰富事件2008年10月20日,港交所蓝筹股中信泰
21、富发布警示公告:为锁定公司位于澳洲铁矿项目的开支成本,公司曾与银行签订的澳元累计目标可赎回远期合约,由于金融危机已产生147亿港元浮亏,其中逾8亿元于今年入账。董事长荣智健权力集中,有“家族化”影子独立董事制度失效高管天价薪酬助推冒进决策67案例案例迪康药业的败局战略决策失误:过度扩张、盲目多元化200103年,构筑医药制造、医药流通、零售百货、金融信托四大产业平台。包括成商集团和衡平信托 “用人不疑”成败局,授权弃权迪康集团董事长曾雁鸣对空降的曾永江贸然放权;忠诚、信任不能替代科学决策68案例案例发展战略摩托罗拉的兴衰,铱星计划微软与戴尔成都康桥眼科成都迈普69内审:向辛西娅库柏致敬!200
22、2年2月,安达信已认可世通公司2001年会计报表。内部审计部副总经理辛西娅库柏在履行审计公务中发现,2002年一季度及2001年资本账户有几笔可疑费用转入,以前是作为当期费用列支的。经核实,公司共少计了费用39亿美元,辛西娅库柏直接向董事会审计委员会主席进行了报告,案件由此牵出。2005年7月13日,世通前CEO以诈骗罪被判25年徒刑。70案例案例人力资源政策高薪酬打垮了通用汽车?马明哲的6600万,限薪令711 1 岗位职责与人力资源需求计划岗位职责与人力资源需求计划2 2 招聘、培训与离职招聘、培训与离职3 3 人力资源考核政策人力资源考核政策4 4 薪酬、激励和职业发展政策薪酬、激励和职
23、业发展政策5 5 企业文化建设与法制建设企业文化建设与法制建设人力资源管理的四大力量72竞聘上岗、末位竞聘上岗、末位淘汰、轮岗待岗淘汰、轮岗待岗等等薪酬体系设计、职业生薪酬体系设计、职业生涯管理与升迁异动制度、涯管理与升迁异动制度、分权与授权系统分权与授权系统推动力推动力绩效考核体系、绩效考核体系、职务评估体系、职务评估体系、员工行为守则和员工行为守则和员工手册等员工手册等职位说明书与任职位说明书与任职资格标准职资格标准、关关键业绩指标键业绩指标、培培训开发体系训开发体系压力压力控制力控制力拉力拉力企业文化73紧张感必须由最高领导人制造。一个公司如果不能以各种方式保持危机意识的话,员工斗志就会
24、明显下降。美日产和雷诺的CEO极度驾驭 作者,卡洛斯戈恩 其他案例战略扩张巨人集团TCL海外并购澳柯玛华源系治理科龙电器实达电脑东北高速企业文化海尔邯钢华为综合郑百文亚细亚琼民源银广夏74最新的案例腾中重工与悍马吉利与沃尔沃75内控环境关注要点老板晚饭请谁?财务、内审陪饭局,坐哪儿?762、风险评估风险评估概述控制目标风险识别风险分析风险应对78固有风险与剩余风险风险偏好风险容忍度风险组合观风险识别的方法与因素现场调查法风险清单分析法(列表检查法),Checklist财务状况分析法组织结构图分析法流程图法事故树法(故障树法)可行性研究内部风险考虑因素外部风险考虑因素79风险分析的程序 规划数据
25、收集技术方法选择实施分析结果存档80风险分析的方法定性方法问卷调查、集体讨论、专家咨询、情景分析、标杆比较、管理层访谈定量方法统计推论、计算机模拟、事件树综合方法81风险分析的方法:可能性描述评分12345一定时期发生概率10%以下1030%3070%7090%90%文字描述1极低低中等高极高文字描述2一般不会发生极少发生某些情况发生较多发生经常发生文字描述310年内少于1次510年可能1次25年可能1次1年内可能1次1年内至少1次82风险分析的方法:风险坐标图83可能性可能性影响影响程度程度轻微轻微严重严重小小大大承担承担,如赊销如赊销规避规避,如违规如违规严控严控,跑,跑冒滴漏冒滴漏严控严
26、控,如事故如事故风险应对的策略风险规避:拒绝,放弃风险降低:如,分步购、建风险分担:耐克的外包风险承受:无计划的单纯自留有计划的自发保险,如,减值准备84云铜股票案85案例案例风险评估关注要点2.1风险管理文化董事会和经理及其他高级管理人员是否重视建立具有风险意识的企业文化,积极促进企业风险管理水平、员工风险管理素质的提升?经理及其他高级管理人员是否经常对员工强调风险管理的重要性?企业是否对员工组织过关于风险管理方面的培训?2.2风险管理工作流程企业是否在风险管理工作方面建立了风险辨识、评估、应对、监控、管理改进的工作流程,并在企业内部持续运转?企业是否建立了风险评估机制,定期对企业和部门层面
27、进行系统的风险辨识分析?企业是否对主要风险发生的可能性及潜在后果进行了量化分析?员工是否定期向上级提交与其岗位相关的风险状况报告?各部门之间是否能充分沟通及协调工作,从而有效支持企业发展与生产运营?862.3风险管理组织企业是否设置专职岗位或专门机构负责风险管理工作?企业在员工的职位描述中是否明确了风险管理职能?员工是否清楚其职责范围内的工作目标?2.4风险管理策略员工是否理解并认同企业的愿景、使命和战略目标,并努力完成各级战略目标?企业是否有明确的制度和政策来指导具体风险管理工作?经理及其他高级管理人员是否明确知道企业愿意承担哪些风险,承担风险的最低限度和不能超过的最高限度?有风险事件发生时
28、,员工是否知道如何根据企业已制定的风险对策进行应对?员工是否能较为容易地获得有关风险管理的建议和指导?2.5风险管理信息系统企业内是否建立了覆盖企业主要业务部门的管理信息系统?现有管理信息系统对于风险管理的报告是否准确有效的,能对潜在风险起到预警作用?企业是否根据自身所处行业、管理水平等因素制订可能发生的重大风险和突发事件的处理预案?3、控制活动控制活动概述不相容职务分离授权审批控制会计系统控制财产保护控制限制接近;财产清查;保险;对账预算控制运营分析控制绩效考评控制重大风险预警机制和突发事件应急处理机制89组织、人员、业务、财务组织、人员、业务、财务组织架构控制不相容职务分离授权审批控制岗位
29、责任制(沟通)轮岗强制休假作业流程90不相容职务分离中海集团2008年3亿元流失中海韩国子公司财务部经理兼审计李克江91案例案例授权批准授权批准业务经办业务经办审核监督审核监督财产保管财产保管会计记录会计记录不相容职务主要有五个:业务申请业务申请运营分析控制刘姝威与蓝田股份案例钟朝宏与长经开案例92案例案例绩效考评控制会计指标EVA:2001,TCL集团平衡计分卡:中外运敦豪DHL93案例案例控制活动关注要点资金活动存货资产管理固定资产管理无形资产管理采购与付款销售与收款、信用工程项目研究与开发对外投资筹资成本费用担保业务外包对子公司的控制关联交易预算合同协议财务报告信息系统94控制活动关注要
30、点资金:预防被盗窃、诈骗和挪用;收与支 采购:断料断货;质次价高;进项税发票销售:积压;发货;催账;价格舞弊 工程项目:盲目上马;商业贿赂影响工程质量和安全;项目资金导致延期或中断固定资产:盲目购建;闲置投资:95例:资金控制3.1.1职责分工与授权批准资金支付的审批与执行的不相容岗位是否分离?资金的保管、记录与盘点清查的不相容岗位是否分离?资金的会计记录与审计监督的不相容岗位是否分离?出纳人员是否兼任稽核、会计档案保管和收入、支出、费用、债权债务账目的登记工作?对办理资金的关键岗位,是否进行必要岗位轮换?申请支付时,企业有关部门或个人,是否提前向经授权的审批人提交资金支付申请,注明款项的用途
31、、金额、预算、限额、支付方式等内容,并附有效经济合同协议、原始单据或相关证明?963.1.1职责分工与授权批准是否存在审批人超越其职责、权限和相应程序对支付申请进行审批的情况?是否存在支付复核出错的情况?各类支付单据是否及时登记现金日记账或银行存款日记账?是否存在未经授权的部门或人员办理资金业务或直接接触资金的现象?是否按照审批人的审批意见办理资金业务?是否存在利用审批人的审批意见进行违规、舞弊的行为?3.1.2现金和银行存款的控制3.1.3票据及有关印章的管理4、信息与沟通99信息不畅,腐败滋生。透明国际研究中心主任杰瑞米波普信息与沟通概述信息:来源;对IT的利用沟通:对内与对外反舞弊机制举
32、报制度100信息的搜集与传递内部信息企业使命、战略财务政策人力资源政策规章制度财务信息与经营信息员工提供的信息外部信息调查网络咨询采访交换101沟通:对内与对外102上帝赋予人们两只耳朵,而嘴只有一张听取别人意见的时间应该是自己说话时间的两倍。沟通案例TCL笔记本电脑战略失败:2006年出现巨亏,2007年底对外转让。拿破仑的军队103案例案例反舞弊机制管理层舞弊与员工舞弊企业文化、员工压力【富士康X连跳】沟通,信访举报104信息与沟通关注要点4.1信息收集加工传递与报告及内外部沟通企业是否根据经营目标等建立与其经营活动相适应的信息系统及制度,持续性地收集经营活动所生成的各种信息?如编制生产、
33、销售、采购、资金等各类报表。企业是否通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道获取外部信息?企业是否将所收集的来自于不同渠道和信息源,零散的、非系统的信息进行必要的筛选、整理和加工,以便提供生产经营管理作参考?企业是否建立信息向下传递机制,使企业内部参与经营活动各个方面和全体人员了解企业实现经营目标方面的信息,明确各自职责,了解自身在内部控制体系中的地位和作用?企业是否建立信息向上传递机制,使企业员工能够及时将其在经营活动中所了解的重要信息向管理层及董事会等方面传递?1054.1信息收集、加工、传递与报告及内外部沟通企业是否建立信息横向传递
34、机制,特别是要使信息在管理层与企业董事会及其委员会之间进行沟通?企业是否建立良好的外部沟通渠道,加强与外部投资者、客户、供应商、中介机构和监管部门等有关方面之间的沟通和反馈?企业是否对信息系统的开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面进行控制,保证信息系统安全、稳定地运行?4.2反舞弊机制、投诉和举报人保护制度企业是否建立反舞弊机制,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序?企业是否建立举报投诉制度,设置举报专线,明确举报投诉处理程序、办理时限和办结要求,确保举报、投诉成为企业有效掌握信息
35、的重要途径?企业是否建立举报人保护制度,保护投诉人的积极性,维护举报人的利益 ?5、内部监督内部监督概述方式:日常监督和专项监督程序:制定缺陷认定标准;分析;报告内控自我评价108内部监督的方式日常监督获得内控执行的证据内外信息印证账实对比内、外审计响应管理层监督内控执行定期考核员工内部审计专项监督高风险且重要的项目内控环境的变化109基础基础补充补充内控缺陷设计缺陷例:中信银行网银系统现重大漏洞,2009年运行缺陷例:国际股市 “乌龙指”事件:2005年日本;2010美股110内部监督关注要点5.1内部监督机构和人员企业是否设置独立的内部监督机构(部门或岗位)?内部监督机构是否形成机制,开展
36、日常监督检查和专项监督检查工作?内部监督人员是否是否胜任工作?5.2内部监督的内容与程序内部监督是否评价业务流程、岗位责任及目标任务、制约关系、责任追究等的执行情况?内控有效性的评价是否公正、客观,并且是完整、可靠的?内部控制的自我评价方式、范围等是否根据企业业务调整、环境变化等而做出相应的改变?内控自我评价结果是否以恰当的方式传达给董事会或其他相关人员,以对过度的风险进行控制,并获取改善效率的机会?内部监督相关的记录或资料是否保存完整,以便对所实施的评价进行趋势研究?111设计、自评、外审“对中国的企业谈内部控制简直是对牛弹琴,搞所谓的内控测试有如跳大神,建立所谓的内控制度更像土财主穷西装。
37、”某网友1131、内控设计内控设计的原则与依据原 则相互牵相互牵制原则协调配合原则岗位匹配原则成本效益原则整体结构原则原则依 据借鉴内部控制理论参考内部控制范例根据内部控制法规结合企业管理实际115内部控制设计步骤调研访谈整合控制流程鉴别控制环节确定控制措施116规划与确定规划与确定目标目标流程诊断优化流程诊断优化手册与培训手册与培训定期评价与定期评价与修改调整修改调整内控设计的形式内部控制调查表内部控制流程图选定符号确定主线和重点编制流程图说明内部控制手册内部控制自查表参考资料流程手册管理全案自查手册内控评分表117流程图要素:流程范围、目标;涉及部门;特定政策;流程说明,工作内容与步骤;职
38、责分工,部门间关系;业务文档一般要求:分层级;清晰规范;避免交叉;完整,不遗漏118开始开始用款人填写报销单或请款单并签名用款人填写报销单或请款单并签名各业务部门负责人审核签字各业务部门负责人审核签字财务负责人核准财务负责人核准管理层在授权范围内审批管理层在授权范围内审批财务部会计审核并编制记账凭证财务部会计审核并编制记账凭证出纳付款出纳付款结束结束资金支付业务流程销售与收款业务流程120销售部门销售部门会计部门会计部门仓储部门仓储部门接受客户接受客户订单订单开出销售单开出销售单信用审核信用审核开出销售发票,开出销售发票,通知仓库发货通知仓库发货记账,追记账,追讨账款讨账款顾客顾客接受通知,接
39、受通知,发货发货流程图的另一种画法1212、内控自评内控自评概述评价内容:五要素的有效性评价组织:专门机构和人员内控缺陷的认定:尤其非财务报告类;定量与定性评价报告:工作底稿;评价表1232008年,年,6家中央企业编报家中央企业编报“年度全面年度全面风险管理报告风险管理报告”,属国资委的试点。,属国资委的试点。亚新科公司内控评价体系的构建亚新科工业技术有限公司是一家生产汽车零部件的外资公司,注册地在北京。在1999年就已建立了一套完整的内控制度,在2002年又构建了一套相对完整的内控审计评分系统。124亚新科的内控评价程序125划分划分13个内个内控项目,确控项目,确定每一个内定每一个内控控
40、基本项目基本项目的分值的分值将每一要素按将每一要素按关键控制点拆关键控制点拆分成分成具体指标具体指标,明确评价标准、明确评价标准、方法和权重,方法和权重,逐一评分逐一评分汇总汇总计算各个计算各个要素得分,再要素得分,再按各要素权重按各要素权重计算内控综合计算内控综合评分评分亚新科的内控项目划分及权重内控项目权重综合项目5环保与职工健康安全5内部控制5信用管理5财务报告20销售与收款12采购与付款10内控项目权重生产与物流8信息安全5法律事务5安全保卫5投资管理10人力资源5合计合计100126内控要素内控评价项目风险等级评价方法权重控制环境部门是否建立了销售管理程序是否对全体销售人员进行了销售
41、管理程序的培训风险评估亚新科的内控评分表 (例:销售)亚新科的内控评分标准级别分值优良度190分以上优27189良好36070合格44059不及格540分以下极差1281293、内控外审 ?一点感想从“与财务报告相关的内控系统”开始。重视“管理建议书”。多问。“一个傻瓜提出的问题,十个聪明人都答不过来。”形成正确完善的内控的框架,对照实际。先对企业的内控进行“有罪推定”,再通过测试证明其有效。1314、内控局限内部控制的局限成本限制;合谋、串通;有规不依管理层凌驾于内控之上;屈从于外部压力而失效;人为错误精力分散、身体不适、粗心大意理解错误、判断失误、曲解指令133内部控制的局限经济活动的不断
42、变化内控仅针对常规业务活动因经营环境、业务性质的改变而削弱或失效。134内控不是公证处。内控局限:成本限制一项对321家企业的调查结果称,每家需要遵守SOX法案的美国大型企业第一年实施其404条款的总成本将超过460万美元:3.5万小时的内部人员投入、130万美元的外部顾问和软件费用、150万美元的额外审计费用。通用电气公司表示,为了404条,花费已经高达3000万美元。135案例案例内控局限:串通锦华分厂舞弊案,工人偷成千万富翁136案例案例内控局限:防范分支机构一把手子公司章程或类似文件须有限制性条款民主文化上任前培训定期谈话高薪养廉举报制度1375、中小企业内控中小企业各阶段内控要点优点
43、1 吃苦耐劳,团队信任,凝聚力强2 灵活多变,不拘泥制度,反应快,效率高不足1 规模有限2 难以做高端优点1 有较好的企业文化、规则、流程,易复制与模仿2 资源丰富、能抗风险不足1 官僚作风,流程可能刻板,迟钝2 较高的控制成本139创业期创业期转型期转型期成熟期成熟期最容易最容易出问题出问题!微型企业的内控企业特点:产品或服务比较单一,管理点不多;会计停留在记账、报税的层次;业务的灵活性会产生许多账外项目,核算不完整内控办法:充分利用会计系统,会计人员必须熟悉业务并且诚实可靠。加强管理层监管。管理者或业主本人对日常业务进行频繁接触,担负起许多日常工作,尽可能少授权,“事必躬亲”,或事后尽快复
44、核。关键的控制点:例如合同订立、收付款、重要发票、银行票据、印鉴等必须掌握在管理者或业主手中。140小型企业的特点客源趋于稳定,组织机构简单,制度建设刚起步;会计有了初步分工,如出纳与会计岗位;产生了采购和行政等一些职能岗位。注重业务扩张,最具权威的部门往往是市场营销部门,财务人员为之服务而难以控制,短期收益与长远发展有矛盾。141小型企业的内控办法简单的财务制度和授权措施,如制定费用标准、借款限额、采购专人负责等重点考虑以下几个环节:选择关键的成本费用项目、业务活动或环节、重要的要素或资源。例如:报销审批、资金调度、银行对账单、交接手续、电脑操作密码等,重要员工,管理层应熟悉其信用背景,对其
45、表现评价、实际能力和缺点等方面建立员工档案。尽量从多渠道获得关于内控系统的报告。在重大项目上,多听取一些专业人士的意见。142中型企业的内控企业特点:组织结构随市场扩大而壮大,资金、存货运作量变大;控制的实施仍停留在事后;会计环节上已能做到准确核算,定期核对、盘查各项资产,能够提供完整的会计信息。内控办法:内控制度开始向各个工作节点上渗透,广泛参与到业务流程的事中控制,紧贴业务建立起一套控制制度。建立内部牵制制度,包括适当授权、不相容职责分离、凭证和记录、独立检查等环节。注意成本效益原则。143成熟期企业的内控全面的内控体系单独设立内审岗位或内审部门,也可外包给会计师事务所。144回顾一下历史与理论内控五要素设计与评审展望一下内控在中国还在启蒙只有起点,没有终点147感谢聆听!感谢聆听!Thanks for your time!
