《企业内部控制与全面风险管理实务》由会员分享,可在线阅读,更多相关《企业内部控制与全面风险管理实务(45页珍藏版)》请在金锄头文库上搜索。
1、中国石油天然气股份有限公司企业内部控制与风险管理操作实务版权所有未经允许不得复制提纲内部管理失控导致风险典型案例内部控制的前世今生中国的内控之路内控的法规要求对配套指引的解读内控到底怎样落地世界500强是怎么做的版权所有未经允许不得复制一个煤老板的故事版权所有未经允许不得复制链接:内部管理失控导致风险案件频发长虹美国巨亏.亿美元链接:中航油新加坡巨亏.亿美元中铁建沙特巨亏41亿人民币俄罗斯灰色清关群死群伤内部管理失控导致风险案例叙利亚战争中资企业遭受巨额损失版权所有未经允许不得复制提纲内部管理失控导致风险典型案例内部控制的前世今生中国的内控之路内控的法规要求对配套指引的解读内控到底怎样落地世界
2、500强是怎么做的版权所有未经允许不得复制法人治理结构、内部控制、风险管理的关联性法人治理结构、内部控制、风险管理的关联性内部控制的前世今生法人治理结构内部控制规范全面风险管理ISO31000GBT24353版权所有未经允许不得复制提纲内部管理失控导致风险典型案例内部控制的前世今生中国的内控之路内控的法规要求对配套指引的解读内控到底怎样落地世界500强是怎么做的小贴士小贴士企业内部控制基本规范由财政部牵头颁发版权所有未经允许不得复制国家对风险管理的重视2006年6月6日,国务院国有资产监督管理委员会发布中央企业全面风险管理指引要求中央企业逐步进行企业风险管理。2008年6月28日,财政部、证监
3、会、审计署、银监会、保监会五部委发布了企业内部控制基本规范国际风险管理标准ISO31000国家标准GBT24353全面风险管理中国的内控之路小贴士小贴士企业风险文化中最重要的是风险管理理念版权所有未经允许不得复制中国的内控发展:主要规范证监会证券公司内部控制指引2001-1中国人民银行商业银行内部控制指引2002-9财政部7项内部会计控制规范(试行) 200104中注协企业内部控制审核指导意见2002-2银监会商业银行内部控制评价试行办法2004-8中国的内控之路版权所有未经允许不得复制中国的内控发展:主要规范上交所上交所上市公司内部控制指引2006-5深交所深交所上市公司内部控制指引2006
4、-9 国资委中央企业全面风险管理指引2006-6五部委企业内部控制基本规范 2008-5-22五部委企业内部控制应用指引(18项)、审计指引、评价指引 2010-4-26中国的内控之路版权所有未经允许不得复制治理还是控制?治理还是控制?指引、施行?自愿还是强制?指引、施行?自愿还是强制?企业内部控制还是政府外部控制?企业内部控制还是政府外部控制?困惑中国的内控之路敢问中国内控路在何方?提升应用价值是唯一出路内控的本质不是要求企业做什么,而是能给企业带来什么强制性要求只是最初的形式,解决企业问题才是最终的根本版权所有未经允许不得复制提纲内部管理失控导致风险典型案例内部控制的前世今生中国的内控之路
5、内控的法规要求对配套指引的解读内控到底怎样落地世界500强是怎么做的小贴士小贴士企业内控制度不符合要求应当实时因应措施并报董事会及时修订版权所有未经允许不得复制我国政府层面已经开始重视企业风险管理但存在政出多门、上热下冷的阶段证监会会证券公司内部控制指引券公司内部控制指引2001-1中国人民银行商业银行内部控制指引2002-9财政部7项内部会计控制规范(试行) 200104中注协企业内部控制审核指导意见2002-2银监会商业银行内部控制评价试行办法2004-8上交所上交所上市公司内部控制指引2006-5深交所深交所上市公司内部控制指引2006-9 国资委中央企业全面风险管理指引2006-6五部
6、委企业内部控制基本规范 2008-5-22五部委企业内部控制应用指引、审计指引、评价指引 2010-4-26国家标准GBT42353-2009全面风险管理2009中国式内控的法规要求版权所有未经允许不得复制内部控制已经上升为国家层面的强制性要求企业类型实施时间境内外同时上市的公司 2011年1月1日:企业以2011年12月31日为基准日,进行并完成自我评价,披露报告;审计师需要就该基准日进行独立审计并完成审计报告上海证券交易所上市的公司、深圳证券交易所主板上市的公司2012年1月1日:企业以2012年12月31日为基准日,进行并完成自我评价,披露报告;审计师需要就该基准日进行独立审计并完成审计
7、报告中小板和创业板上市公司 择机待定鼓励非上市大中型企业提前执行上市公司及相关非上市大中型企业切实做好执行前的各项准备工作中国式内控的法规要求版权所有未经允许不得复制内控的目标COSO 1994ERM 2004基本规范战略目标经营目标报告目标合规目标安全目标中国式内控的法规要求版权所有未经允许不得复制内控目标的关系企业生存与发展企业生存与发展战略目标战略目标经营目标经营目标报告目标报告目标分解分解反映反映安安全全目目标标合合规规目目标标前提前提保证保证卫士卫士 保安保安谋士谋士 高参高参中国式内控的法规要求版权所有未经允许不得复制管理层的责任法规的要求对内部控制的有效性进行自我评价,披露年度自
8、我评价报告聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告相比目前国外的内部控制要求,我国的内部控制评价的范围更为广泛小贴士小贴士合规是企业(全体)员工的共同责任并从企业(全体)员工做起版权所有未经允许不得复制审计师的责任对内部控制进行独立审计,出具财务报告内部控制有效性的审计意见获取充分、适当的审计证据来支持内部控制有效性的审计意见对在内部控制审计过程中所注意到的非财务报告内部控制的重大缺陷,在审计报告中予以描述披露是我国内部控制法规的一项独特的要求可以将内部控制审计和财务报表审计整合进行法规的要求小贴士小贴士货运公司之风险管理中受托运送的货品轻微破损系属(低强度、高频率的风
9、险)版权所有未经允许不得复制提纲内部管理失控导致风险典型案例内部控制的前世今生中国的内控之路内控的法规要求对配套指引的解读内控到底怎样落地世界500强是怎么做的小贴士小贴士辨识风险与分析风险应当(由不同人分别进行)版权所有未经允许不得复制配套指引的整体结构其他监管要求应用指引由内部环境、控制活动、控制手段三大类,18个指引组成,企业可以根据实际情况进行增减审计指引审计师进行外部独立审计时使用评价指引适用于所有企业,包括:总则评价内容评价程序缺陷认定评价报告基本规范50条适用于企业适用于事务所版权所有未经允许不得复制企业内部控制应用指引概述目前已出台的应用指引由18项指引组成,分为三个大类:内部
10、环境类(5项)-组织架构、发展战略、人力资源、社会责任、企业文化控制活动类(9项)-资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告控制手段类(4项)-全面预算、合同管理、内部信息传递、信息系统对配套指引的解读链接:某集团企业内部控制制度链接:企业内部控制应用指引版权所有未经允许不得复制内部环境五项指引组织架构发展战略人力资源社会责任企业文化目的意义链接具体要求链接目的意义链接具体要求链接目的意义链接具体要求链接目的意义链接具体要求链接目的意义链接具体要求链接小贴士小贴士预算制度是一种控制的工具可以藉此评估个人、各部门以及企业的整体经营绩效小贴士小贴士
11、内控自查的目的是自我监督协助董事会了解内控的有效性版权所有未经允许不得复制集体决策集体决策审批审批联签联签 重大决策重大事项重要人事任免大额资金支付业务三重一大集体决策审批联签三重一大集体决策审批联签版权所有未经允许不得复制控制活动类(项)、资金活动(链接)、采购业务(链接)、资产管理(链接)、销售业务(链接)、研究开发(链接) 、工程项目(链接) 、担保业务 (链接)、业务外包 (链接)、财务报告 (链接)控制活动小贴士小贴士决策者在决策过程中取得的信息越多决策的正确性越大版权所有未经允许不得复制控制手段类(项)、全面预算 (链接)、合同管理(链接) 、内部信息 (链接)、信息系统 (链接)
12、控制内容版权所有未经允许不得复制企业内部控制应用指引准确的认识给出了企业重要管理和业务领域的内控指导原则,非详细的内控标准或具体措施企业应避免采用简单的“检查表”方式,仅仅将指引的内容简单地添加入企业规章制度,例如:应用指引第1号组织机构“第十一条 企业应当定期对组织架构设计与运行的效率和效果进行全面评估应当定期对组织架构设计与运行的效率和效果进行全面评估,发现组织架构设计与运行中存在缺陷的,应当进行优化调整”避免简单引用:避免简单引用:“整改计划:在企业制度中增加年度评估的相关管理办法”应当融会贯通:应当融会贯通:-根据企业的经营规模、业务发展、分支机构设置的变化,按需对组织架构的设计和运行
13、情况进行分析评估对配套指引的解读版权所有未经允许不得复制配套指引的整体结构其他监管要求应用指引由内部环境、控制活动、控制手段三大类,18个指引组成,企业可以根据实际情况进行增减审计指引审计师进行外部独立审计时使用评价指引适用于所有企业,包括:总则评价内容评价程序缺陷认定评价报告基本规范50条适用于企业适用于事务所版权所有未经允许不得复制评价指引-内部控制评价的内容-内部控制评价的组织-内部控制缺陷的认定-内部控制评价报告-评价报告的披露或报送配套指引的整体结构小贴士小贴士风险管理的终极目标是为利益关系人(股东)创造价值版权所有未经允许不得复制内部控制评价指引内容:对内部控制有效性进行全面评价组
14、织:专门的职能机构和评价工作组缺陷认定:-需要企业根据自身情况,“合理”确定内部控制缺陷的认定标准-认定标准确定后,必须在不同评价期间保持一致,不得随意变更规定了进行评价的基准日为12月31日规定了评价报告基本内容规定了评价报告的披露及报送的时间(基准日后4个月)对配套指引的解读链接:某酒业公司内部控制自我评价报告版权所有未经允许不得复制内部控制评价指引对内部控制缺陷的三级分类标准根据缺陷的影响程度,划分为三个级别:-重大缺陷:一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标的情形-重要缺陷:一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标的情形
15、-一般缺陷:除重大缺陷、重要缺陷之外的其他控制缺陷企业根据上述级别自行确定具体的认定标准目前国内外对确定认定标准的经验仅局限于对财务报告内部控制缺陷的评价对配套指引的解读链接XX集团公司内部控制、风险管理自查手册版权所有未经允许不得复制企业内部控制的评价企业内控评价要抓住重点,关注日常监督。内控评价没有固定频率,样本量等要求,都是根据企业的实际情况决定。 内控自我评价从属于内部监督,是监督结果的总体体现;自我评价要倚重日常监督与专项监督;自我评价是一次性、大规模、地毯式评价和日常监督检查的结合。评价频率没有硬性要求,也不可能规定样本量。注册会计师可以提供协助,但是如何评,评什么,是企业的自主决
16、定。我们认为结合“地毯式”评价和日常监督检查是一个实际可行的方法,同时也能避免工作上的重复。我们所倡议的自我评价方法和监管部门的思路不谋而合。版权所有未经允许不得复制总结应用指引-提供原则性的指导原则,不能简单用作一个“内控检查表”-需要考虑并接合企业的实际情况评价指引-包含“审计”的概念,需要企业灵活应用-企业需要根据自身情况,确定内部控制缺陷的认定标准审计指引-以财务报告内部控制为主题-需要进一步明确对非财务报告缺陷评价和披露的具体方法对配套指引的解读版权所有未经允许不得复制风险管理和内部控制的关系关键控制的确认必须是以风险为依据每个业务流程面对多个类型的风险,因此影响:-每个业务流程需要
17、确认那几个子流程-每类风险所应对的控制点生产计划采购计划采购申请招标采购合同存货管理付款申请结算入账编制报表风险领域财务报告错报合法合规生产安全以全面风险管理为导向的内部控制体系版权所有未经允许不得复制风险管理和内部控制的关系营销战略及计划项目调研投标报价合同管理生产计划项目运行管理发货管理发票及应收账款管理目标市场与客户(国内及海外市场、新兴市场)产品结构(清洁/再生能源、宏观政策)板块及整体业务量(增长率、订单数量、毛利率)营销团队(客户反馈、架构、激励等)营销计划的审批预收款额度质保金条款其他定价策略毛利率预测区间战略合作/外包关联公司交易价格报价审批合同审批投标评审会审批生产计划审批项
18、目定期汇报帐龄分析以全面风险管理为导向的内部控制体系版权所有未经允许不得复制提纲内部管理失控导致风险典型案例内部控制的前世今生中国的内控之路内控的法规要求对配套指引的解读内控到底怎样落地世界500强是怎么做的小贴士小贴士合格的风险管理者总能够发挥优势规避劣势抓住机会规避风险使企业立于不败之地版权所有未经允许不得复制内控建设思路:因地制宜,从企业实际出发内控到底怎样落地内部控制体系以企业发展战略为目标以全面风险管理为导向以基本规范、应用指引和其他监管要求为准绳整合现有管理制度与资源版权所有未经允许不得复制内控建设思路:结合内控与风险管理建立以全面风险管理为导向的内部控制体系,将风险管理和内部控制
19、融合在一起,才能“相得益彰”,真正发挥风险管理和内部控制的作用企业发展目标经营风险财务报告风险战略风险资产安全风险合规风险内部控制评价重大风险事项事项1事项2事项n管控1管控2管控X风险事项和相关控制不一定存在一一对应的关系内控到底怎样落地版权所有未经允许不得复制对实施工作的初步建议:搭建企业全面风险管理导向的内部控制体系风险领域确认重大风险事项确认相关管理手段及控制流程梳理和控制评价控制设计评价控制执行评价编制、发布控制评价报告编制、发布控制评价报告内控到底怎样落地版权所有未经允许不得复制对实施工作的初步建议:搭建企业全面风险管理导向的内部控制体系确认重大风险事项及相关管理手段及控制-根据企
20、业目标确认重大的经营操作领域-明确相关领域的主要风险事项,以及相关的管理机制-了解企业对所确认的风险的承受的程度流程梳理和控制评价-根据企业对风险的承受程度,梳理和分析流程的管理手段是否合理、足够-不存在“标准”的流程-考虑信息系统控制-评价控制手段的设计有效性和执行有效性建立内部控制持续维护机制-监督职能,如内部审计、纪检监察等职能的协同效果内控到底怎样落地版权所有未经允许不得复制对实施工作的初步建议:搭建企业全面风险管理导向的内部控制体系建立可持续的评价机制:如何在确保评价质量的同时平衡评价成本管理层内控评价机制的关键成功因素:-高级管理层和审计委员会的支持-明确业务部门和分行承担确保内控
21、自评严肃性和真实性的责任-多方面的考虑来增强内控执行状况信息搜集的真实完整管理层内控评价机制常用的方法:-每年由指定部门进行相对独立的管理层内部控制测试,并根据测试结果作出管理层内控评价报告:这种评价相对独立、客观,但成本较高,以及可拓展性有较大的限制-使用“内部控制自我评价”(Control Self Assessment)机制:这种评价相对灵活,能适用于不同环境,但客观性取决于求企是否达到一定的管理基础内控到底怎样落地版权所有未经允许不得复制对实施工作的初步建议:搭建企业全面风险管理导向的内部控制体系企业对自我评价保留充分的评价依据和相关文档和审计师积极的、开诚布公的交流各自的内控发现审计
22、师独立审计及管理层内部控制自我评价不尽相同:-方法可以不同-样本量可以不同-范围可以不同但:缺陷评价标准合结论需要在一定程度上保持一致内控到底怎样落地版权所有未经允许不得复制对实施工作的初步建议:搭建企业全面风险管理导向的内部控制体系培训和学习:针对最新的指引及提升对内部控制理念的理解持续完善内部控制体系:内部控制不可能做到完美搭建企业内部控制评价机制:进一步结合所有和内部控制相关的活动搭建内部控制问题的相关评价标准和程序:支持在总部层面所需要进行的内部控制有效性评估试点、预演:确保工作方法符合实际需求沟通内控到底怎样落地版权所有未经允许不得复制提纲内部管理失控导致风险典型案例内部控制的前世今生中国的内控之路内控的法规要求对配套指引的解读内控到底怎样落地世界500强是怎么做的版权所有未经允许不得复制世界500强风险内控控制经验分享环境:专门的团队高层领导主抓工具:软件模型风险量化风险识别人才:专人沟通:人脉关系500强是怎么做的联合能源公司(ALLIANTENERGY)是怎么做的版权所有未经允许不得复制谢谢大家
