《Slide 1中铁二局集团电务工程有限公司》由会员分享,可在线阅读,更多相关《Slide 1中铁二局集团电务工程有限公司(80页珍藏版)》请在金锄头文库上搜索。
1、中铁二局股份有限公司中铁二局股份有限公司-企业内部控制基本规范企业内部控制基本规范理论与实践理论与实践发展发展 创新创新 品牌品牌 中国领先的内部控制中国领先的内部控制/ /风险管理解决方案提供商风险管理解决方案提供商 相关相关资历资历戴先生具备戴先生具备9 9年以上的内部控制和风险管理专业服务经验,服年以上的内部控制和风险管理专业服务经验,服务过众多大型中央企业及跨国集团,所涉及的行业包括制造行务过众多大型中央企业及跨国集团,所涉及的行业包括制造行业、房地产行业、化工行业、制药行业、金融行业等。他负责业、房地产行业、化工行业、制药行业、金融行业等。他负责过多家国内大型上市企业的全面风险管理咨
2、询及内部控制合规过多家国内大型上市企业的全面风险管理咨询及内部控制合规咨询(咨询(A A股上市股上市企业内部控制基本规范企业内部控制基本规范合规、港股上市合规、港股上市PN21PN21合规以及美股上市萨班斯法案合规以及美股上市萨班斯法案404404合规)、还负责过多家合规)、还负责过多家大型上市企业的内部控制鉴证项目。大型上市企业的内部控制鉴证项目。戴先生拥有丰富的为大型国内上市企业提供咨询及鉴证服务的戴先生拥有丰富的为大型国内上市企业提供咨询及鉴证服务的经验,他所服务的这些集团企业大多具有下属分子公司众多,经验,他所服务的这些集团企业大多具有下属分子公司众多,经营跨越多个领域,管理幅度和难度
3、均较高等特质。经营跨越多个领域,管理幅度和难度均较高等特质。戴先生所服务过的大型国内上市公司以中央企业和大型国企为戴先生所服务过的大型国内上市公司以中央企业和大型国企为主,他十分熟悉中央企业及国有企业的管理逻辑和管理语言,主,他十分熟悉中央企业及国有企业的管理逻辑和管理语言,有极强的沟通能力和项目管理能力。有极强的沟通能力和项目管理能力。 戴艺戴艺迪博企业风险管理技术有限公司迪博企业风险管理技术有限公司 咨询事业部咨询事业部 副总经理副总经理国际经济法法学学士国际经济法法学学士兰卡斯特大学管理学硕士兰卡斯特大学管理学硕士国际注册内部审计师国际注册内部审计师服务过的主要客户服务过的主要客户上海电
4、气集团上海电气集团上海机电股份上海机电股份万科集团万科集团中国移动通信有限公司中国移动通信有限公司武汉邮电科学院武汉邮电科学院戴尔戴尔外高桥船厂外高桥船厂中美史克中美史克瑞穗银行瑞穗银行三菱银行三菱银行交通银行交通银行目录目录国内外内控相关政策介绍一一. .本项目计划安排及实施经验分享三三. .内部控制基本规范的内容二二. .国际相关法规的发展与最新趋势国际相关法规的发展与最新趋势萨班斯奥克萨班斯奥克斯利法案斯利法案公司治理守则第9号法案审计改革和公司信息披露法案内部控制规范金融工具与交易法金融工具与交易法企业管治常规守则企业管治常规守则公司治理联合准则公司监管守则-实物牵制-薄记牵制COSO
5、COSO内部控制内部控制整体框架整体框架内控评价内控评价内部审计内部审计19401940s s19401940s1970s1970s s19801980s1990s1990s s19901990s s内部牵制内部牵制内部控制内部控制结构完善结构完善-控制环境-会计系统-控制程序-控制环境-风险评估-控制活动-信息沟通-监督-建立内控-数据准确一致-内控可靠性相关理论的发展相关理论的发展1763年,弗朗西斯巴林爵士在伦敦创建了巴林银行,它是世界首家“商业银行” 20世纪初,巴林银行获得一个特殊客户:英国皇室。由于巴林银行的卓越贡献,巴林家族先后获得了五个世袭的爵位,从而奠定巴林银行显赫的地位在1
6、803年,刚刚诞生的美国从法国手中购买南部的路易斯安纳州时,所有资金就出自巴林银行巴林银行巴林银行1995年初,发现新加坡分行的期货和期权交易亏损超过8.6亿英磅,而巴林银行的资本金和储备才4.7亿英磅,因而宣布破产,之后被国际荷兰集团以一英镑收购。-实物牵制-薄记牵制COSOCOSO内部控制内部控制整体框架整体框架内控评价内控评价内部审计内部审计19401940s s19401940s1970s1970s s19801980s1990s1990s s19901990s s2121世纪世纪内部牵制内部牵制内部控制内部控制结构完善结构完善-控制环境-会计系统-控制程序-控制环境-风险评估-控制活
7、动-信息沟通-监督-建立内控-数据准确一致-内控可靠性-控制环境-目标设置-事件辨识-风险评估-风险反应-控制活动-信息沟通-监督企业全面企业全面风险管理风险管理COSO ERMCOSO ERM框架框架相关理论的发展相关理论的发展C-soxC-soxC-soxC-sox简介简介简介简介20012001200720072002200220032003公司治理公司治理联合准则联合准则HIHHIH保保险公司险公司One.TeOne.Tel l安然安然萨班斯萨班斯奥克奥克斯利法斯利法案案世通世通 Qwest Qwest 公司监公司监管守则管守则200420042005200520062006公司治理公
8、司治理 守则守则第第9 9号法案号法案审计改革审计改革和公司信和公司信息披露法息披露法案案 企业管治企业管治常规守则常规守则内部控制内部控制规范规范金融工金融工具与交具与交易法易法内部会内部会计控制计控制规范规范国际内部控制的发展与最新趋势国际内部控制的发展与最新趋势 中国内部控制的发展中国内部控制的发展20062006( (财政部财政部) )企业内部控制鉴证指引企业内部控制鉴证指引企业内部控制评价指引企业内部控制评价指引企业内部控制应用指引企业内部控制应用指引 ( (征求意见稿征求意见稿) )( (上交所上交所/ /深深交所交所) )内部控制指内部控制指引引( (国资委国资委) )中央企业中
9、央企业全面风险全面风险管理指引管理指引20072007( (财政部财政部) )企业内部控制企业内部控制规范规范- -基本规范基本规范( (征求意见稿征求意见稿) )20082008( (财政部财政部) )企业企业内部控制内部控制基本规范基本规范(保监会)(保监会)寿险公司内寿险公司内部控制评价部控制评价办法(试行)办法(试行)保险公司保险公司内部审计内部审计指引(试行)指引(试行)保险公司保险公司风险管理风险管理指引(试行)指引(试行)( (证监会)证监会)上市公司上市公司信息披露信息披露管理办法管理办法(银监会)(银监会)银行业银行业金融机构金融机构信息系统信息系统风险管理风险管理的指引的指
10、引(银监会)(银监会)商业银行商业银行内部控制内部控制指引指引(银监会(银监会) )商业银行商业银行合规风险合规风险管理指引管理指引(证监会)(证监会)证券公司证券公司风险控制风险控制指标管理指标管理办法办法(证监会)(证监会)证券公司合证券公司合规管理试行规管理试行规定规定(证监会)(证监会)证券公司监证券公司监督管理条例督管理条例(银监会)(银监会)商业银行操商业银行操作风险管理作风险管理指引指引C-soxC-soxC-soxC-sox简介简介简介简介时间时间主要事件主要事件20052005年年6 6月月财政、国资、证监联合上报财政、国资、证监联合上报关于借鉴关于借鉴 完善完善我国上市公司
11、内部控制制度的报告我国上市公司内部控制制度的报告20062006年年5 5月月(上交所上交所/ /深交所深交所)上市公司)上市公司内部控制指引内部控制指引20062006年年7 7月月1515日日成立企业内部控制标准委员会成立企业内部控制标准委员会20072007年年3 3月月2 2日日基本规范基本规范和和1717项具体规范的征求意见稿发布项具体规范的征求意见稿发布20082008年年5 5月月2222日日企业内部控制基本规范企业内部控制基本规范颁布颁布20082008年年7 7月月1 1日日企业内部控制鉴证指引(征求意见稿)发布企业内部控制鉴证指引(征求意见稿)发布20082008年年7 7
12、月月1515日日企业内部控制评价指引及应用指引(征求意见稿)发布企业内部控制评价指引及应用指引(征求意见稿)发布20102010年年4 4月月1515日日企业内部控制配套指引企业内部控制配套指引颁布颁布20112011年年2 2月月1414日日关于做好上市公司内部控制规范试点有关工作的通知关于做好上市公司内部控制规范试点有关工作的通知加快的监管步伐加快的监管步伐C-soxC-sox简介简介C-soxC-soxC-soxC-sox最新动向(一)最新动向(一)最新动向(一)最新动向(一)C-soxC-sox合规第一年合规第一年 2011 2011年年1.1.合规公司范围的扩大:合规公司范围的扩大:
13、6868家上市家上市公司合规,变成公司合规,变成384384家上市公司家上市公司合规。合规。2.2.合规公司多样性的增加:合规公司多样性的增加:6868家两家两地上市的均为大型国企(红筹股地上市的均为大型国企(红筹股公司),公司),384384家中上市公司中,家中上市公司中,有国企有民营,有大型公司,也有国企有民营,有大型公司,也有中小型公司。有中小型公司。6868家境内外家境内外同时上市的同时上市的公司公司6868家境内外家境内外+ +216216家主动试点家主动试点的合规公司的合规公司C-soxC-soxC-soxC-sox最新动向(二)最新动向(二)最新动向(二)最新动向(二)政策解读和
14、具体操作指引的频出,重心由宏观到微观政策解读和具体操作指引的频出,重心由宏观到微观1.1.财政部针对基本规范应用指引财政部针对基本规范应用指引逐一作出详细解读,并在官方逐一作出详细解读,并在官方网站上刊登;网站上刊登;2.2.财政部设立重点科研项目,与财政部设立重点科研项目,与各大会计师事务所的专家组成各大会计师事务所的专家组成课题小组,耗时课题小组,耗时6 6个月,完成个月,完成企业内部控制审计企业内部控制审计- -政策解读政策解读与操作指引与操作指引;3.3.中注协正在组建专家组,进一中注协正在组建专家组,进一步细化内部控制审计的工作底步细化内部控制审计的工作底稿要求和模板。稿要求和模板。
15、C-soxC-soxC-soxC-sox最新动向(三)最新动向(三)最新动向(三)最新动向(三)上市公司的内控情况演进上市公司的内控情况演进根据迪博连续三年发布的根据迪博连续三年发布的中国上市公司内部控制白皮书中国上市公司内部控制白皮书,有以,有以下研究发现:下研究发现:发现一发现一发现二发现二发现三发现三A股上市公司,总体内部控制水平偏低。高水平:1%中等水平:52%低水平:47%有以下特性的公司内控水平较高:1、披露自我评估报告2、披露内控鉴证报告3、设立内审部4、非ST股5、未受违法违规处罚6、指数成分股多元回归分析结果:1、内控水平与公司规模无关(去年正相关);2、上市时间与内控水评负
16、相关;3、公司盈利水平与内控水平正相关。C-soxC-soxC-soxC-sox最新动向(四)最新动向(四)最新动向(四)最新动向(四)“中国概念股中国概念股”崩盘与崩盘与C-soxC-sox的联想的联想自今年自今年3 3月以来,月以来,2424家在美上市的中国公司的审计师提出辞职或曝家在美上市的中国公司的审计师提出辞职或曝光审计对象的财务问题,光审计对象的财务问题,1919家在美上市中国公司遭停牌或摘牌。所家在美上市中国公司遭停牌或摘牌。所有中国概念股均大跌,中国概念股在美有中国概念股均大跌,中国概念股在美IPOIPO基本暂停。基本暂停。美国安然美国安然美国世通美国世通英国巴林银行英国巴林银
17、行日本八佰伴日本八佰伴香港百富勤香港百富勤中航油中航油法国兴业银行法国兴业银行三鹿集团三鹿集团中信泰富中信泰富合俊集团合俊集团雷曼兄弟雷曼兄弟AIGAIG百年老店的崩塌百年老店的崩塌关键词:关键词:风险风险百年老店百年老店一夜崩溃一夜崩溃汇丰集团主席庞.约翰:过去摧毁一座金融帝国可能需要一个很长的过程,但是现在,即使是经营了上百年的金融帝国也可以在一夜之间倾塌目空一切目空一切盲目扩张盲目扩张漠视危机漠视危机药石乱投药石乱投随风而逝随风而逝“为规模所累为规模所累”企业名单企业名单吉姆柯林斯大企业的五个阶段风险管理风险管理危机管理危机管理企业内部控制基本规范企业内部控制基本规范财政部、证监会、审计
18、署、银监会、保监会于2008年6月28日联合发布了企业内部控制基本规范,共七章五十条。要求上市公司于2009年7月1日起开始实施,执行基本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。q成立“企业内部控制标准委员会” q企业内部控制基本规范q企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告;会计师事务所对企业的内部控制自我评价结果进行审计发表鉴证意见财政部财政部证监会证监会等等5 5部委部委q上海证券交易所上市公司内部控制指引 q董事会评价公司内部控制的建
19、立和实施情况,形成内部控制自我评估报告q董事会在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见上交所上交所q深圳证券交易所上市公司内部控制指引 q董事会评估内部控制有效性,出具内部控制报告q公司可聘请会计师事务所对公司内部控制有效性进行专项审核q公司将内部控制报告和注册会计师专项审核报告报送深交所,并同时在指定网站上披露深交所深交所q中央企业全面风险管理指引q中央企业根据自身实际情况贯彻执行。董事会负责督导指引的实施 q开展全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中国资委国资委中国内部控制法规
20、的发展中国内部控制法规的发展二二. . 内部控制基本规范的内容内部控制基本规范的内容风险管理风险管理? ?内部控制内部控制? ?p风险来自你不知道自己正在做什么风险来自你不知道自己正在做什么! ! 沃伦沃伦. .巴菲特巴菲特p我我们冒险通常不是出于自信,而是出于无知和对不确定性们冒险通常不是出于自信,而是出于无知和对不确定性的无知的无知丹尼丹尼. .卡尼曼卡尼曼 基本内容基本内容基本内容基本内容第一章 总则10条第二章 内部环境9条第三章 风险评估8条第四章 控制活动10条第五章 信息与沟通6条第六章 内部监督4条第七章 附则3条内部控制的定义与目标内部控制的定义与目标内部控制的定义与目标内部
21、控制的定义与目标( ( ( (第三条)第三条)第三条)第三条) (三)财务报告及相关信息真实完整;(三)财务报告及相关信息真实完整; (四)提高经营效率和效果;(四)提高经营效率和效果; (五)促进企业实现发展战略。(五)促进企业实现发展战略。 (一)合理保证企业经营管理合法合规;(一)合理保证企业经营管理合法合规;内部控制是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程: 控控制制目目标标 (二)资产安全;(二)资产安全;基本内容基本内容基本内容基本内容第一章 总则10条第二章 内部环境9条第三章 风险评估8条第四章 控制活动10条第五章 信息与沟通6条第六章 内部监
22、督4条第七章 附则3条有效的内部控制有效的内部控制有效的内部控制有效的内部控制内部环境内部环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督经经 营营公公司司层层面面业业务务单单元元子子公公司司业业务务分分部部战战 略略财财 务务合合 规规对内部控制的误解对内部控制的误解误解误解: :就是一套强有力的政策和程序。就是一套强有力的政策和程序。是内部审计部门的责任。是内部审计部门的责任。控制就是财务控制。控制就是财务控制。仅针对负面情况而言,就像一个仅针对负面情况而言,就像一个“你不应你不应该做什么该做什么”的清单。的清单。是对过去事的检查是对过去事的检查会占用那些核心业务人
23、员的时间,如生产、会占用那些核心业务人员的时间,如生产、销售和客户服务。销售和客户服务。能提供绝对的保证能提供绝对的保证系统代表保证系统代表保证内部环境内部环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督经经 营营公公司司层层面面业业务务单单元元子子公公司司业业务务分分部部战战 略略财财 务务内部环境内部环境 治理结构机构设置及权责分配审计委员会内部审计人力资源政策企业文化法律顾问及重大纠纷备案制度合合 规规有效的风控体系有效的风控体系有效的风控体系有效的风控体系 建立规范的公司治理结构和议事规则建立规范的公司治理结构和议事规则* *股东大会行使企业经营方针、筹资、投资
24、、利润分配等重大事项的表决权董事会对股东大会负责,依法行使企业的经营决策权监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责经理层负责组织实施股东(大)会、董事会决议事项,支持企业的生产经营管理工作。表决权决策权经营管理监督第十一条* 注释:摘自企业内部控制基本规范 内部控制的建立与实施*董事会董事会监事会监事会经理层经理层执行层执行层建立健全内部控制并有效实施。对董事会建立与实施的内部控制进行监督。组织领导企业内部控制的日常运行。专门机构或适当机构负责组织协调内部控制的建立实施及日常工作。第十二条* 注释:摘自企业内部控制基本规范独立权利审计行业知识具备审计知识和经验
25、来准确地判断审计结果独立于管理和营运单位,能做出客观的分析和判断得到高级管理层的有效支持,有效推动内审的策划与实行具备行业知识来有效地执行审计程序公正公正良好的内审职能的特质第十四条职业道德修养及专业胜任能力*职业道德修养及专业胜任能力作为选拔和聘用员工的重要标准;加强员工培训和继续教育;提升员工素质;高级管理人员发挥主导作用,加强企业文化建设;建立并贯彻员工行为守则。第十七条* 注释:摘自企业内部控制基本规范高级管理人员发挥核心主导作用:管理层基调和态度是公司道德规范和文化环境建设的基础。培养积极向上的价值观和责任感;倡导诚实守信、爱岗敬业、开拓创新和团队协作精神;树立现代管理理念;强化风险
26、意识;建立并贯彻员工行为守则。企业文化建设第十八条* 注释:摘自企业内部控制基本规范诺基亚迅速做出反应,并且建立了一个诺基亚迅速做出反应,并且建立了一个危急应对计划,这个计划使产品得以维危急应对计划,这个计划使产品得以维持相对的生命力。持相对的生命力。爱立信对此毫无准备且不能足够迅爱立信对此毫无准备且不能足够迅速地反应以保证它的市场地位。速地反应以保证它的市场地位。诺基亚在击垮了爱立信之后增加了市诺基亚在击垮了爱立信之后增加了市场份额,并巩固了它在手机市场上的场份额,并巩固了它在手机市场上的领导地位。领导地位。爱立信损失了爱立信损失了4 4亿美元的潜在收入(尽管其亿美元的潜在收入(尽管其中一部
27、分可以得到保险索赔),但更严重中一部分可以得到保险索赔),但更严重的是在这场手机战役中丢掉了战略领域。的是在这场手机战役中丢掉了战略领域。此后,爱立信退出了手机制造,只负责那此后,爱立信退出了手机制造,只负责那些低于些低于1010亿的业务,并改变了主要原件的亿的业务,并改变了主要原件的采购。采购。案例案例问题容易出在哪里问题容易出在哪里问题容易出在哪里问题容易出在哪里内部环境内部环境内部环境内部环境对于员工道德准则和行为守则的具体规定(1 1)分散的管理模式(2 2)机构、岗位设置与分析(4 4)缺乏明确的人力资源管理制度(3 3)对于内部控制的忽视(5 5)企业普遍对于员工道德准则和行为守则
28、进行广泛宣讲,但有些企业在这方面缺乏具体的规定,某些内容不全面,缺乏足够的权威性,也不会要求员工定期签署。对于违纪情况没有系统的程序进行跟进和处理。最终可能导致这些准则和守则仅仅停留在纸面上。对于分散经营的分子公司没有有效的集中管理机制,仅仅关注其利润和效益,而忽略了内部控制与管理。各分子公司独立运作,影响企业整体的发展方向和目标的实现。对于人力资源管理缺乏明确的规章制度,特别是在绩效考核方面。人力资源管理缺乏透明性,操作过程缺乏文档记录。缺乏对机构和岗位设置的分析,可能存在部门资源与人员配置不合理的情况。各部门没有明确清晰的岗位说明书,职责划分不清晰。当业务需要和内部控制需要出现矛盾时,没有
29、经过严谨的分析和评估并获得批准,就逾越内部控制规定而选择业务需要。 内部环境内部环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督经经 营营公公司司层层面面业业务务单单元元子子公公司司业业务务分分部部战战 略略财财 务务内部环境内部环境 风险评估风险评估 风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。合合 规规外部风险识别*外部风险识别经济因素经济因素自然环境因素自然环境因素社会因素社会因素行业技术因素行业技术因素经济形势产业政策融资环境法律法规监管要求安全稳定文化传统社会信用教育水平消费者行为技术进步工艺改进自然灾害环境状
30、况法律因素法律因素市场竞争资源供给第二十三条* 注释:摘自企业内部控制基本规范内部风险识别*内部风险识别管理因素管理因素人力资源因素人力资源因素自主创新因素自主创新因素财务因素财务因素组织结构经营方式资产管理业务流程营运安全员工健康环境保护研究开发技术投入信息技术财务状况经营成果现金流量职业操守专业胜任能力团队精神安全环保因素安全环保因素第二十二条* 注释:摘自企业内部控制基本规范说明说明: :1 人力资源风险2 财务风险3 竞争风险4 产品开发风险5 客户信用风险6 系统故障风险7 外汇风险8 欺诈风险9 政治风险10 投资风险11 采购风险根据风险发生的可能性和影响程度评价标准,从定量和定
31、性两个角度对企业各类风险进行评价,形成风险坐标图。风险管理基本流程-风险评估风险评估风险评估风险评估风险评估第二十四条全球全球十大企业十大企业风险风险全球全球十大十大风险风险( (括号内为括号内为20092009年的风年的风险排位险排位) )信贷紧缩 (2)监管与合规 (1)不断深化的经济衰退 (新)环境保护 (9)行业的新竞争对手 (16)削减成本 (8)人才管理 (11)并购交易 (7)冗余的商业模式 (新)声誉风险 (22) 风险应对策略*风险规避风险降低风险分担风险承受企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。企业在权衡成本效益之后,准备
32、采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。第二十六条* 注释:摘自企业内部控制基本规范问题容易出在哪里问题容易出在哪里问题容易出在哪里问题容易出在哪里风险评估风险评估风险评估风险评估没有开展系统的风险评估工作(1 1)缺乏对于内部控制的分析和梳理(2 2)没有开展系统的风险评估工作,对企业所面临的主要风险进行识别、分析和评估。可能各个部门单独进行相关的风险评估工作,但没
33、有系统化并提升到整个公司层面,形成各个部门间的风险信息共享。没有根据风险评估对内部控制进行系统的分析和梳理,现有的规章制度更多是从操作的角度,而不是从风险控制的角度对业务进行规定。因此对体系和流程中存在风险和问题没有全面的了解和评估,在设计体系和流程过程中缺乏具备相关专业知识的人员的参与,导致内控缺陷存在。同时,由于没有一套统一的内控体系和标准,企业无法对内部控制的有效性进行评价,只能靠以往经验和管理层个人的水平。过度控制反而会导致内部控制成为形式主义及内控无效的情况。内部环境内部环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督经经 营营公公司司层层面面业业务务单单元元
34、子子公公司司业业务务分分部部战战 略略财财 务务内部环境内部环境 风险评估风险评估 控制活动控制活动 n不相容职务相互分离控制n授权审批控制n会计系统控制n财产保护控制n预算控制n运营分析控制n绩效考评控制合合 规规不相容职务分离控制财产保护控制会计系统控制运营分析控制授权审批控制预算控制控制控制措施措施绩效考评控制 控制措施举例* 注释:摘自企业内部控制基本规范第二十九条第三十五条控制控制 简单的说,控制就是流程中的重要节点,是一种可以减轻企简单的说,控制就是流程中的重要节点,是一种可以减轻企业风险的活动业风险的活动控制的作用控制的作用 控制可以合理确保重大差错不会发生或降低发生的可控制可以
35、合理确保重大差错不会发生或降低发生的可能性能性为何我们要在汽车上安装制动系统?为何我们要在汽车上安装制动系统?为何我们每年要对汽车进行强制车检为何我们每年要对汽车进行强制车检?控制活动控制活动手工控制手工控制手工控制是被人执行的控制程序。手工控制是被人执行的控制程序。例:对投资可行性研究报告的讨论和批准例:对投资可行性研究报告的讨论和批准自动控制自动控制自动控制是指由计算机执行的内控程序。自动控制是指由计算机执行的内控程序。例:在销售时,对于超出信用额度的客例:在销售时,对于超出信用额度的客户,销售订单会被系统自动冻结户,销售订单会被系统自动冻结控制活动(续)控制活动(续)预防性控制预防性控制
36、设计的一些程序以防范错误或舞弊的发生设计的一些程序以防范错误或舞弊的发生, , 是防止错误发生或损失的第一道防线,通是防止错误发生或损失的第一道防线,通常发生于差错出现之前。常发生于差错出现之前。例:事前对投资项目的可行性研究例:事前对投资项目的可行性研究检查性控制检查性控制检查性控制的目的在于发现在处理过程检查性控制的目的在于发现在处理过程中被预防性控制所遗漏的错误中被预防性控制所遗漏的错误, , 起到监起到监督预防性控制可靠性的作用,通常发生督预防性控制可靠性的作用,通常发生于差错出现之后。于差错出现之后。例:定期对投资实施后评价程序例:定期对投资实施后评价程序控制活动(续)控制活动(续)
37、控制活动(续)控制活动(续)问题容易出在哪里问题容易出在哪里问题容易出在哪里问题容易出在哪里控制活动控制活动控制活动控制活动缺乏对于内部控制的制度化(1 1)没有良好的内控执行文档(2 2)财务业务数据分析不深入和具体(4 4)没有充分考虑权责分离原则(3 3)过分依赖手工控制而忽略信息系统控制(5 5)没有系统的内部控制制度,规章制度对于内部控制指导方面仅停留在理论层面,或者过于简单,缺乏操作性和指导性,导致理解和执行的多样性。内控的执行只能根据个人的理解,同一规则可能有不同的操作。对于内部控制的执行过程缺乏文档记录,缺乏对于内部控制执行问责的机制。控制的执行过分依赖个人的自觉性和口头沟通,
38、因此无法评价内部控制执行的有效性。权责分离原则是内部控制的重要手段之一。一些企业在岗位设置、人员安排方面没有充分考虑这一原则,导致重要控制缺失。特别是在信息化程度较高的企业,权责分离无效所导致的风险会大大增加。财务业务数据分析工作也是内部控制手段之一。通过数据分析,对不合理的波动和变化进行调查,及时发现内部控制方面的问题。一些企业对于数据分析工作流于形式,不够深入具体,没有起到应有的分析作用。过多地依靠手工控制,而非系统控制,使得人为疏失造成的内部控制缺陷较多。关注预防性控制而忽略检查性控制(6 6)过多的规章制度,缺乏对企业政策规定的定期梳理(8 8)缺乏全面系统的授权体系(7 7)预算流于
39、形式(9 9)更关注事前的审阅、批准的控制,但缺乏对检查实际执行是否严格的按照审批程序进行的控制。对于某些领域,仅仅存在事前预防性控制可能不能达到控制的目标。没有一套全面系统的授权体系,对于各项业务的授权标准进行规定,可能导致逾越控制机制的行为发生。过多的规章制度,缺乏对企业政策规定的定期梳理没有有效的预算管理体系,对实际与预算差异没有有效的跟进解决机制。内部环境内部环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督经经 营营公公司司层层面面业业务务单单元元子子公公司司业业务务分分部部战战 略略财财 务务内部环境内部环境 风险评估风险评估 控制活动控制活动 信息与沟通信息
40、与沟通信息与沟通是及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业外部之间进行有效沟通。重要信息应当及时传递给董事会、监事会和经理层。合合 规规德国德国国家发展银行事件国家发展银行事件德国德国国家发展银行事件国家发展银行事件事件时间表事件时间表7月10日雷曼兄弟财务状况持续恶化,关于其即将破产的谣言甚嚣尘上。KFW与雷曼兄弟签订外汇掉期协议,根据该协议,KFW将于9月15日向雷曼兄弟支付约三亿欧元。该条款在KFW的自动交易系统中进行了设置。 9月12日,周五KFW相关部门对于雷曼兄弟处于财务状况恶化以及破产可能性的警觉,召开会议商讨下周一的付款是否继续进行,但未达成共识。同
41、时决定于9月1日(周一)上午9点30分举行跟进会议。 9月15日,周一,早晨6点雷曼兄弟宣布破产9月15日,周一,早晨8点37分KFW电子交易系统按照原先设定的程序向雷曼兄弟支付三亿欧元*以上时间均已统一为法兰克福当地时间。9月14日晚Bloomberg报道了华尔街已经在准备雷曼兄弟破产的新闻事件调查事件调查银行周一早上8点上班,即使在这个时候他们还是有37分钟的机会来避免此次事件的发生,但不幸的是法律事务所的调查员先后询问了银行各个部门的数十名职员,几天后,他们向国会和财政部递交了一份调查报告。报告并不复杂深奥,只是记载了被询问人员在这段时间内忙了些什么 事件调查(续)事件调查(续)董事会董
42、事会首席执行官首席执行官国际业务部国际业务部结算部结算部信贷部信贷部公关部公关部董事会秘书史里芬董事会秘书史里芬:我打电话给国际业务部催要风险评估报告,可那里总是占线,我想还是隔一会儿再打吧。董事长保卢斯董事长保卢斯:我们还没有得到风险评估报告,无法及时做出正确的决策。 事件调查(续)事件调查(续)董事会董事会首席执行官首席执行官国际业务部国际业务部结算部结算部信贷部信贷部公关部公关部首席执行官乌尔里奇首席执行官乌尔里奇施罗德:施罗德:我知道今天要按照协议约定转账,至于是否撤销这笔巨额交易,应该让董事会讨论决定。 事件调查(续)事件调查(续)董事会董事会首席执行官首席执行官国际业务部国际业务部
43、结算部结算部信贷部信贷部公关部公关部国际业务部经理克鲁克:国际业务部经理克鲁克:周五晚上准备带上全家人去听音乐会,我得提前打电话预订门票。 国际业务部副经理伊梅尔曼:国际业务部副经理伊梅尔曼:忙于其他事情,没有时间去关心雷曼兄弟公司的消息。 负责处理与雷曼兄弟公司业务的高级经理希负责处理与雷曼兄弟公司业务的高级经理希特霍芬:特霍芬:我让文员上网浏览新闻,一旦有雷曼兄弟公司的消息就立即报告,现在我要去休息室喝杯咖啡了。 文员施特鲁克:文员施特鲁克:我在网上看到了雷曼兄弟公司向法院申请破产保护的新闻,马上就跑到希特霍芬的办公室,可是他不在,我就写了张便条放在办公桌上,他回来后会看到的。事件调查(续
44、)事件调查(续)董事会董事会首席执行官首席执行官国际业务部国际业务部结算部结算部信贷部信贷部公关部公关部结算部经理德尔布吕克:结算部经理德尔布吕克:今天是协议规定的交易日子,我没有接到停止交易的指令,那就按照原计划转账吧。事件调查(续)事件调查(续)董事会董事会首席执行官首席执行官国际业务部国际业务部结算部结算部信贷部信贷部公关部公关部信贷部经理莫德尔:信贷部经理莫德尔:我在走廊里碰到了施特鲁克,他告诉我雷曼兄弟公司的破产消息,但是我相信希特霍芬和其他职员的专业素养,一定不会犯低级错误,因此也没必要提醒他们。事件调查(续)事件调查(续)董事会董事会首席执行官首席执行官国际业务部国际业务部结算部
45、结算部信贷部信贷部公关部公关部公关部经理贝克:公关部经理贝克:雷曼兄弟公司破产是板上钉钉的事,我想跟乌尔里奇施罗德谈谈这件事,但上午要会见几个克罗地亚客人,等下午再找他也不迟,反正不差这几个小时。企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。*应对信息系统的有效性进行评价,评价内容包括信息系统一般控制和信息系统应用控制。 信息技术信息技术评价信息技术评价着重考虑与信息系统开发、程序变更、系统维护、系统和数据安全有关的信息技术控制目标是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此评价信息系统的安全性、可靠性和合理性。着重考虑信息系统中与业务
46、流程相关的控制点,并以此评价相关应用系统操作数据的真实性、准确性和合规性。一般控制评价一般控制评价应用控制评价应用控制评价第四十一条* 注释:摘自企业内部控制基本规范乐购超市案件乐购超市案件乐购超市案件乐购超市案件超市原有的收银系统被资讯组工作超市原有的收银系统被资讯组工作人员装入了一个攻击性的补丁程序。人员装入了一个攻击性的补丁程序。收银员启动该程序时,自动删除收银员启动该程序时,自动删除当日当日2020左右的销售记录。左右的销售记录。超市负责人在盘点货物时发现销超市负责人在盘点货物时发现销售的货物和收到的货款不符。售的货物和收到的货款不符。短短一年时间内,先后侵吞乐购超短短一年时间内,先后
47、侵吞乐购超市真北店、金山店、七宝店市真北店、金山店、七宝店374374万万余元。余元。问题容易出在哪里问题容易出在哪里信息与沟通信息与沟通信息科技管理缺乏系统和体系(1 1)缺乏有效的沟通机制(2 2)缺乏针对信息科技的管理机制,如系统开发、程序变更、系统的访问控制以及计算机操作。信息科技管理缺乏战略规划,使得信息科技的组织结构、管理机制适合企业长期发展。随着企业对信息科技更多的依赖以及信息科技本身的复杂性,企业需要加强对于信息科技的控制与管理,以国际标准建立一套全面的信息科技管理体系。通常在信息科技管理方面发现的内部控制缺陷需要较长的时间进行整改。部门之间权责划分不明确,没有定期沟通的机制,
48、导致问题的产生和解决都没有部门进行跟进。外部反馈信息没有在企业内部有效被传达处理。内部内部环境境风险评估估控制活控制活动信息与沟通信息与沟通内部内部监督督经 营公公司司层面面业务单元元子子公公司司业务分分部部战 略略财 务内部环境 风险评估 内部监督n内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。内部监督分为日常监督和专项监督控制活动 信息与沟通合合 规内部控制监督制度 企业应制定内部控制监督制度,明确内部审计机构和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。*内部控制监督制度是企业内部控制的重要组成部分,
49、贯穿于内部控制活动的各个环节,是确保企业内部控制高效运行的重要保障。第四十四条* 注释:摘自企业内部控制基本规范1.在目前的次债危机中,大部分商业银行所面临的多是信用风险,这是由于贷款人违约率不断提高而导致的风险。而法兴银行所暴露出来的是典型的银行操作风险,这纯粹是银行在内部管理上存在的疏漏所导致的; 2.外部的次债危机和内部的监管不力,使法国兴业银行共亏损超过100亿美元,次债损失30亿美元,2008年内部舞弊损失71亿美元,法国兴业银行已处于崩溃边缘。法国兴业银行法国兴业银行问题容易出在哪里问题容易出在哪里问题容易出在哪里问题容易出在哪里内部监督内部监督内部监督内部监督有效的内部审计职能是
50、内控机制的重要组成部分(1 1)内审人员配置与工作开展(2 2)控制缺陷的整改没有有效跟进(4 4)内部控制监督没有与绩效考核情况相结合(3 3)缺乏专门的内部控制检查制度(5 5)一个独立、有效的内审职能是有效内控体系的重要组成部分。内审部应该具备一定的独立性,工作以业务流程里的内部控制系统为检查和评价重点,着重于评价企业整个经营过程中的经济性、效率和效果,并关注信息科技审计工作。内审员工缺乏足够的经验和知识开展内审工作。内审计划没有通过风险评估而关注最需要关注的领域。内审工作范围不能覆盖企业各个层面。没有将内部控制监督结果与绩效考核情况相结合,使得监督工作失去其权威性。发现的内控缺陷没有及
51、时进行整改,也没有对整改进展和结果进行跟进与检查。总部对下属机构的检查更多的是对财务的检查,而没有充分考虑到内部控制检查的重要性。 内部控制缺陷认定标准企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。*其中,内部控制缺陷包括:q设计缺陷q运行缺陷第四十五条* 注释:摘自企业内部控制基本规范 认定内控缺陷以后,应当分析缺陷的性质和产生的原因 根据内控缺陷的性质分为:一般缺陷;重要缺陷:一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现严重偏离整体控制目标的
52、严重程度依然重大,需引起管理层关注;重大缺陷(也称实质性漏洞) :一个或多个一般缺陷的组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形;4 4内控评价机构和管理层应当合理确定相关目标发生偏差的可容忍水平,从而对严重偏离的情形予以确定。基本规范中要求,企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。*内部控制自我评价第四十六条* 注释:摘自企业内部控制基本规范 内部控制自我评价的主要措施和程序计划执行报告和纠正措施确定评价目标和范围;确定评价小组、辅助人员和主要业务单元联系人;规定评价方法、完成时间和实施步骤
53、;就评价计划与相关人员、管理层达成一致意见。理解需要进行评价的业务单元或流程活动;了解业务单元或流程的风险及相应控制点;通过与公司内部审计标准的比较来分析结果,并在必要时采取后续措施;记录控制缺陷和建议整改方案。与业务单元或流程的管理人员沟通确认内部控制自我评价的复核结果;从业务单位或业务流程的管理人员处获得说明和整改方案;把管理层反馈写入最终的评价报告。内部控制文件保管企业应当以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。*第四十七条* 注释:摘自企业内部控制基本规范内部环境内部环境风险评估风险评估控制活动控制活动信息与沟
54、通信息与沟通内部监督内部监督经经 营营公公司司层层面面业业务务单单元元子子公公司司业业务务分分部部战战 略略财财 务务内部环境内部环境 治理结构机构设置及权责分配内部审计人力资源政策企业文化等风险评估风险评估 风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。内部监督内部监督n内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。内部监督分为日常监督和专项监督控制活动控制活动 n不相容职务相互分离控制n授权审批控制n会计系统控制n财产保护控制n预算控制n运营分析控制n绩效考评控制信息与沟通信息与
55、沟通信息与沟通是及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业外部之间进行有效沟通。重要信息应当及时传递给董事会、监事会和经理层。合合 规规内部控制的定义内部控制的定义内部控制的定义内部控制的定义 (三)财务报告及相关信息真实完整;(三)财务报告及相关信息真实完整; (四)提高经营效率和效果;(四)提高经营效率和效果; (五)促进企业实现发展战略。(五)促进企业实现发展战略。 (一)合理保证企业经营管理合法合规;(一)合理保证企业经营管理合法合规;内部控制是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程: 控控制制目目标标 (二)资产安全;(二)资
56、产安全;对风险管理和内部控制的误解和事实对风险管理和内部控制的误解和事实误解误解: :就是一套强有力的政策和程序。就是一套强有力的政策和程序。是内部审计部门的责任。是内部审计部门的责任。控制就是财务控制。控制就是财务控制。仅针对负面情况而言,就像一个仅针对负面情况而言,就像一个“你不应你不应该做什么该做什么”的清单。的清单。是对过去事的检查是对过去事的检查会占用那些核心业务人员的时间,如生产、会占用那些核心业务人员的时间,如生产、销售和客户服务。销售和客户服务。能提供绝对的保证能提供绝对的保证系统代表保障系统代表保障事实事实: :始于一个强有力的控制环境。始于一个强有力的控制环境。虽然内部审计师在系统控制中扮演着重要的虽然内部审计师在系统控制中扮演着重要的角色,管理层仍是内部控制的基本责任人。角色,管理层仍是内部控制的基本责任人。涉及管理的方方面面涉及管理的方方面面是期望保证正确的事情发生。是期望保证正确的事情发生。着眼于未来着眼于未来内部控制应当融入而非凌驾于经营过程。内部控制应当融入而非凌驾于经营过程。不能提供绝对的保证不能提供绝对的保证系统能提高管理能力,但不是保障系统能提高管理能力,但不是保障从心所欲,不逾矩谢谢!有问题吗谢谢!有问题吗谢谢!有问题吗谢谢!有问题吗?
