《《金融业内部控制》PPT课件》由会员分享,可在线阅读,更多相关《《金融业内部控制》PPT课件(56页珍藏版)》请在金锄头文库上搜索。
1、金融业内部控制与风险管理金融业内部控制与风险管理内容提要内容提要一、为什么要建立内部控制?二、内部控制制度与管理制度的关系三、什么是企业内部控制?四、我国内部控制规范体系五、内部控制的顶层设计六、业务层面内部控制设计七、内部控制评价一、为什么要建立内部控制?一、为什么要建立内部控制? (一)法定要求(外因)(一)法定要求(外因)1SOX法案法案2001年底,美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝年底,美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝光,诚信危机震撼着美国及全球。为了提高公众对美国金融市场和政府经济光,诚信危机震撼着美国及全球。为了提高公众对美国金融市场
2、和政府经济政策的信心,政策的信心,2002年年7月月30日,美国总统布什签署了日,美国总统布什签署了萨班斯萨班斯奥斯利法奥斯利法案案。该法案因由美国众议院金融服务委员会主席奥克斯利和参议院银行委。该法案因由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出而得名。法案对美国员会主席萨班斯联合提出而得名。法案对美国1933年年证券法证券法、1934年年证券交易法证券交易法作了修订,在会计职业监管、公司治理、证券市场监管等方作了修订,在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。法案突出了面作出了许多新的规定。法案突出了“以法治市以法治市”的理念,大幅度提高
3、了对的理念,大幅度提高了对会计舞弊的处罚力度和对公司管理层及白领犯罪的刑事责任,同时强化了管会计舞弊的处罚力度和对公司管理层及白领犯罪的刑事责任,同时强化了管理层内部控制的责任和义务。理层内部控制的责任和义务。美国对中国公司有要求,所以监管层比较着急,匆忙推出美国对中国公司有要求,所以监管层比较着急,匆忙推出内部控制。内部控制。资本市场的敲门砖。资本市场的敲门砖。2ERM框架框架为了给公众公司提供一套遵从为了给公众公司提供一套遵从404条款的标准,条款的标准,2004年年9月,月,COSO又提出了又提出了ERM框架。框架。ERM框框架在内涵界定、目标体系、构成要素等方面对架在内涵界定、目标体系
4、、构成要素等方面对COSO内部控制内部控制整体框架整体框架的内部控制概的内部控制概念进行了拓展和延伸。念进行了拓展和延伸。COSO希望通过新框架能希望通过新框架能够成为组织董事会和管理者的一个有用工具,用够成为组织董事会和管理者的一个有用工具,用来衡量组织的管理团队处理风险的能力,并希望来衡量组织的管理团队处理风险的能力,并希望框架能够成为衡量组织风险管理是否有效的一个框架能够成为衡量组织风险管理是否有效的一个标准。标准。(二)企业风险管理的需要(内因)(二)企业风险管理的需要(内因)银行业作为一个高风险行业,尽管存在强银行业作为一个高风险行业,尽管存在强大的外部监管,如银监会的监管、社会监大
5、的外部监管,如银监会的监管、社会监督、行业自律等均不失为有效的手段,但督、行业自律等均不失为有效的手段,但这些外部监管的防范效果最终取决于银行这些外部监管的防范效果最终取决于银行内部控制风险防范效能的发挥。内部控制风险防范效能的发挥。我国商业银行的经营风险也逐步由隐性转我国商业银行的经营风险也逐步由隐性转向显性,主要有向显性,主要有1)信用风险:如:贷款质量下降、呆账增)信用风险:如:贷款质量下降、呆账增加、经营亏损严重、支付能力不足而引起加、经营亏损严重、支付能力不足而引起的;的;2)操作风险,即从业人员欺诈与越权经营)操作风险,即从业人员欺诈与越权经营而产生的而产生的3)管理风险,决策管理
6、层缺乏科学的管理)管理风险,决策管理层缺乏科学的管理和经营而导致的等。和经营而导致的等。(三)股东需要(外因)(三)股东需要(外因)关注关注财务报表财务报表同时关注同时关注相关内部控制相关内部控制 二、内部控制制度与管理制度的关系二、内部控制制度与管理制度的关系现现代代企企业业不不可可能能没没有有内内部部控控制制制制度度,但但是是其其内内部部控制未必达标。控制未必达标。“控控制制”是是管管理理职职能能之之一一,内内部部控控制制从从属属于于管管理理制度,但是,管理制度不能代替内部控制。制度,但是,管理制度不能代替内部控制。管管理理制制度度主主要要是是保保证证经经营营活活动动有有序序、高高效效运运
7、行行,可可能能会会排排斥斥内内部部控控制制,因因为为内内部部控控制制可可能能会会降降低低效率。效率。内内部部控控制制是是以以风风险险管管理理为为目目标标的的,它它要要求求企企业业在在提高经营效率的同时,要关注风险。提高经营效率的同时,要关注风险。所所以以,现现代代企企业业管管理理制制度度必必须须将将内内部部控控制制机机制制纳纳入其中。入其中。三、什么是企业内部控制?三、什么是企业内部控制?世界公认的内部控制标准,当属世界公认的内部控制标准,当属COSO委委员会员会1992年提出的年提出的内部控制内部控制整体框整体框架架。(一)(一)内部控制内部控制整体框架整体框架。三个目标:合规性目标、经营目
8、标、财务三个目标:合规性目标、经营目标、财务目标。目标。实现三个目标需要取得以下五个要素的支实现三个目标需要取得以下五个要素的支持:控制环境、风险评估、控制活动、信持:控制环境、风险评估、控制活动、信息与交流和监督。息与交流和监督。(二)(二) 企业风险管理企业风险管理整体框架整体框架2004年,年,COSO发布发布企业风险管理企业风险管理整体框整体框架架,从企业风险管理角度重新定义了内部控制,从企业风险管理角度重新定义了内部控制四个目标:增加了战略目标。四个目标:增加了战略目标。提出了八要素:内部环境、目标制定、事项识别、提出了八要素:内部环境、目标制定、事项识别、风险评估、风险反应、控制活
9、动、信息和沟通、风险评估、风险反应、控制活动、信息和沟通、监控。监控。引入了风险偏好、风险容忍度等概念和方法,因引入了风险偏好、风险容忍度等概念和方法,因此,在风险度量的基础上,有利于企业的发展战此,在风险度量的基础上,有利于企业的发展战略与风险偏好相一致。略与风险偏好相一致。在内部控制中引入风险管理在内部控制中引入风险管理,将内部控制,将内部控制提升到风险管理层次,目的是突出风险管提升到风险管理层次,目的是突出风险管理在内部控制中的核心地位。理在内部控制中的核心地位。(银行业的风险包括:信用风险、利率风(银行业的风险包括:信用风险、利率风险、汇率风险、流动性风险和操作风险等)险、汇率风险、流
10、动性风险和操作风险等)全面风险管理,全面风险管理,是指对整个银行体系内各是指对整个银行体系内各个业务层面、各种类型风险的通盘管理。个业务层面、各种类型风险的通盘管理。 对内部控制概念的理解对内部控制概念的理解第一,内部控制是一个第一,内部控制是一个“过程。过程比结果重要,过程。过程比结果重要,不能根据结果评价内部控制。内部控制只是一个不能根据结果评价内部控制。内部控制只是一个过程告诉我们,内部控制只能提供合理保证。经过程告诉我们,内部控制只能提供合理保证。经营得很好的企业,内部控制可能很差;经营得很营得很好的企业,内部控制可能很差;经营得很差的企业,内部控制可能很好。所以,内部控制差的企业,内
11、部控制可能很好。所以,内部控制与企业界经营好坏没有必然的联系。好企业之中,与企业界经营好坏没有必然的联系。好企业之中,有一部分企业虽然没有内部控制的形式,但是按有一部分企业虽然没有内部控制的形式,但是按照内部控制的规律运行的;有一部分是因为这些照内部控制的规律运行的;有一部分是因为这些企业具有巨大的竞争优势,把内部控制缺失可能企业具有巨大的竞争优势,把内部控制缺失可能出现的问题掩盖了;还有一部分是这些企业可能出现的问题掩盖了;还有一部分是这些企业可能没有遇到重大的风险事件洗劫。没有遇到重大的风险事件洗劫。内内部部控控制制只只是是一一个个过过程程还还告告诉诉我我们们,内内部部控控制制只只能能提提
12、供供合合理理保保证证,并并不不意意味味着着内内部部控控制制是是可可有有可可无无的的。内内部部控控制制具具有有巨巨大大的的经经济济意意义义,有有了了内内部部控控制制能能够够使使好好企企业业更更好好;没没有有内内部部控控制制能能使使坏坏企企业业更更坏坏。所所以以,建建立立内内部部控控制制目目的的就就是是使使好好的的更更好好,避避免免使坏的更坏。使坏的更坏。第二,企业中的每一个人都对内部控制负第二,企业中的每一个人都对内部控制负有责任,并受内部控制影响有责任,并受内部控制影响内部控制受到内部控制受到“人人”的因素的影响,组织的因素的影响,组织中的每一个人都对内部控制负有责任并受中的每一个人都对内部控
13、制负有责任并受到内部控制的影响。是到内部控制的影响。是“人人”建立企业的建立企业的目标,并将控制机构赋予实施;内部控制目标,并将控制机构赋予实施;内部控制以其特有的文化优势,影响和改变着组织以其特有的文化优势,影响和改变着组织中的每一个人。中的每一个人。第三,内部控制是企业自己的第三,内部控制是企业自己的“法律法律”,企业中的每一个人都必须尊重它企业中的每一个人都必须尊重它内部控制是企业自己建立的法律,它贯穿内部控制是企业自己建立的法律,它贯穿整个企业的所有层级和单位,任何人都不整个企业的所有层级和单位,任何人都不能超越企业设立的内部控制,包括最高管能超越企业设立的内部控制,包括最高管理层。在
14、遵循性方面,没有任何例外原则。理层。在遵循性方面,没有任何例外原则。没有人不被控制,没有业务不被控制。内没有人不被控制,没有业务不被控制。内部控制已被接受的理念,就是要把风险管部控制已被接受的理念,就是要把风险管理变成制度,变成企业文化,变化整个企理变成制度,变成企业文化,变化整个企业内部所有环节应该被遵守的基本准则。业内部所有环节应该被遵守的基本准则。第四,内部控制是一个框架,其中的每一第四,内部控制是一个框架,其中的每一个要素都必须发挥作用个要素都必须发挥作用内部控制是一个框架,系统中的每一个要内部控制是一个框架,系统中的每一个要素都必须发挥作用,每一个要素的缺失都素都必须发挥作用,每一个
15、要素的缺失都可能会导致整个系统控制的失败。内部控可能会导致整个系统控制的失败。内部控制各要素之间没有严格的先后顺序之分,制各要素之间没有严格的先后顺序之分,而是一个反复循环的过程关系;也没有主而是一个反复循环的过程关系;也没有主次之分,各要素互相支持又互相制约,构次之分,各要素互相支持又互相制约,构成一个框架关系。风险管理框架的整体构成一个框架关系。风险管理框架的整体构建也是如此。建也是如此。第五,内部控制是一种增值活动、是企业第五,内部控制是一种增值活动、是企业价值链的重要一环价值链的重要一环内部控制需要查错纠弊,但又不限于查错内部控制需要查错纠弊,但又不限于查错纠弊,查错纠弊只是内部控制的
16、一部分,纠弊,查错纠弊只是内部控制的一部分,而不是其的全部。内部控制的目标是通过而不是其的全部。内部控制的目标是通过公司治理、人力资源管理,识别风险和机公司治理、人力资源管理,识别风险和机会,降低风险,增进企业价值。会,降低风险,增进企业价值。第六,内部控制以风险为导向,风险的根源是目第六,内部控制以风险为导向,风险的根源是目标而不是制度标而不是制度传统的内部控制就控制论控制,其理念认为,风传统的内部控制就控制论控制,其理念认为,风险来源于薄弱的内部控制,风险大小取决于控制险来源于薄弱的内部控制,风险大小取决于控制的强弱。所以,内部控制越强越好。风险管理理的强弱。所以,内部控制越强越好。风险管
17、理理念则认为,风险源于目标,内部控制不是越强越念则认为,风险源于目标,内部控制不是越强越好,或强或弱,取决于风险对于目标的影响程度。好,或强或弱,取决于风险对于目标的影响程度。风险大,控制应强,风险小控制应弱,即所谓的风险大,控制应强,风险小控制应弱,即所谓的遇强越强,遇弱越弱。所以,在风险既定的情况遇强越强,遇弱越弱。所以,在风险既定的情况下,薄弱的内部控制有时候是可以接受的。内部下,薄弱的内部控制有时候是可以接受的。内部控制的主旨就是,在识别影响组织的事件并在组控制的主旨就是,在识别影响组织的事件并在组织的风险偏好范围内管理风险。织的风险偏好范围内管理风险。第七,内部控制始终处于积极主动的
18、态势,第七,内部控制始终处于积极主动的态势,风险管理贯穿于其活动的全过程风险管理贯穿于其活动的全过程内部控制应用于战略制定,因而与被动的内部控制应用于战略制定,因而与被动的控制不同,风险管理是一种积极的、主动控制不同,风险管理是一种积极的、主动的管理过程,从目标设定开始就要参与其的管理过程,从目标设定开始就要参与其中,而不是等目标确定之后,才被动地进中,而不是等目标确定之后,才被动地进行风险管理。与狭隘的控制不同,风险管行风险管理。与狭隘的控制不同,风险管理的视野更开阔,它不只是拒绝,还要接理的视野更开阔,它不只是拒绝,还要接受。风险管理不仅要接受有利的机会,还受。风险管理不仅要接受有利的机会
19、,还要接受一定的风险,只要这些风险有助于要接受一定的风险,只要这些风险有助于增进企业价值。增进企业价值。(一)企业内部控制基本规范2008年6月28日,财政部、银监会等五部委联合发布企业内部控制基本规范。四、四、我国内部控制规范体系我国内部控制规范体系(二)(二)企业内部控制配套指引企业内部控制配套指引 2010年年4月月26日,财政部等联合发布日,财政部等联合发布企企业内部控制配套指引业内部控制配套指引。2011-1-12011-1-1起境内外上市公司执行,起境内外上市公司执行,2012-2012-1-11-1起主板执行,在此基础上,择机在中小起主板执行,在此基础上,择机在中小板和创业板上市
20、公司施行。同时,鼓励非板和创业板上市公司施行。同时,鼓励非上市大中型企业提前执行。上市大中型企业提前执行。2121个应用指引(此次发布个应用指引(此次发布1818个个,涉及银行、证券,涉及银行、证券和保险等业务的和保险等业务的3 3个指引暂未发布)个指引暂未发布),还有,还有企业企业内部控制评价指引内部控制评价指引和和企业内部控制审计指引企业内部控制审计指引。1818个应用指引的分类:个应用指引的分类:(1)内部环境类内部环境类指引指引-5个个(2)控制活动类控制活动类指引指引-9个个(3)控制手段类控制手段类指引指引-4个个注:基本涵盖了注:基本涵盖了企业资金流、实物流、人力流和企业资金流、
21、实物流、人力流和企业资金流、实物流、人力流和企业资金流、实物流、人力流和信息流信息流信息流信息流等各项业务和事项。等各项业务和事项。1818个应用指引的内容:个应用指引的内容:(1 1)内部环境类指引)内部环境类指引5 5个个 组织框架(含治理结构、机构设置、职责分配及不相(含治理结构、机构设置、职责分配及不相容职务分离)、容职务分离)、发展战略、人力资源、企业文化、社会责任(含安全生产,产品质量,环境保护与资源节约等)(含安全生产,产品质量,环境保护与资源节约等) (注:企业自我评价时要以内部环境为基础)(2 2)控制活动类指引)控制活动类指引9 9个个 资金活动、资产管理、采购业务、销售业
22、务、研究与开发、工程项目、担保业务、业务外包、财务报告 (注:企业自我评价时要以控制活动为重点)(3 3)控制手段类指引)控制手段类指引4 4个个 全面预算、合同管理、内部信息传递、信息系统 (注:企业自我评价时应当兼顾控制手段)(三)五个目标(三)五个目标(1)合法合规)合法合规(2)资产安全)资产安全(3)财务报告及相关信息真实完整)财务报告及相关信息真实完整(4)提高经营效率和效果)提高经营效率和效果(5)实现发展战略)实现发展战略(二)五条原则(二)五条原则(1)全面性原则)全面性原则内部控制应当贯穿决策、执行和监督全过程,覆盖企内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属
23、单位的各种业务和事项。业及其所属单位的各种业务和事项。(2)重要性原则。内部控制应当在全面控制的基础)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。上,关注重要业务事项和高风险领域。(3)制衡性原则。内部控制应当在治理结构、机构)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相设置及权责分配、业务流程等方面形成相互制约、相互监督的机制。互监督的机制。上级可以制衡下级,同级可以相上级可以制衡下级,同级可以相互制衡,下级也可以制衡上级。互制衡,下级也可以制衡上级。 (4)适应性原则。内部控制应当与企业经营规模、)适应性原则。内部控制
24、应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。况的变化及时加以调整。与时俱进与时俱进 (5)成本效益原则。内部控制应当权衡实施成本与)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。小型企业可预期效益,以适当的成本实现有效控制。小型企业可以有替代控制措施。以有替代控制措施。 (三)五大要素(三)五大要素企业建立与实施有效的内部控制,应当包括下列要素:(1)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。(2)风
25、险评估。风险评估是企业及时识别、系统分析经)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。险应对策略。1)准确评估风险(量化)。首先决定两个维度:第一个)准确评估风险(量化)。首先决定两个维度:第一个维度是评估风险发生的可能性;另一个维度是评估风险维度是评估风险发生的可能性;另一个维度是评估风险可能对企业造成的影响。其次是制定转移、避免或减低可能对企业造成的影响。其次是制定转移、避免或减低风险的策略。风险的策略。有些企业的老板是丈夫,会计是妻子,出事两个人一起有些企业的老板是丈夫,会计是妻
26、子,出事两个人一起进去,不注意分散风险。进去,不注意分散风险。2)量化标准解释:根据某一风险在未来的发生频度,可)量化标准解释:根据某一风险在未来的发生频度,可以将风险发生的可能性划分为以将风险发生的可能性划分为“几乎肯定、极可能、可几乎肯定、极可能、可能低、极低能低、极低”等若干层次;对风险可能造成的影响程度等若干层次;对风险可能造成的影响程度按照按照“近乎没有、轻微、中等、重大、灾难近乎没有、轻微、中等、重大、灾难”等级标准等级标准进行评估。其具体标准如下图所示:进行评估。其具体标准如下图所示: 图示:转移接受避免小心管理工作可能性几乎肯定极可能可能极低近乎没有 轻微 中等 重大 灾难影响
27、程度(3)控制活动。控制活动是企业根据风险评估结果,采)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。用相应的控制措施,将风险控制在可承受度之内。1)不相容职务分离控制)不相容职务分离控制两个人的职务由一个人来担任,别人又不能发现问题的,两个人的职务由一个人来担任,别人又不能发现问题的,就是不相容职务。就是不相容职务。要全面梳理业务流程中所涉及的不相容职务,实施相应要全面梳理业务流程中所涉及的不相容职务,实施相应的分离措施。的分离措施。有些财务部门过去的银行出纳,既是银行款项支付的经有些财务部门过去的银行出纳,既是银行款项支付的经办人,又负责与银行对帐
28、,月初从银行支出一笔钱,在办人,又负责与银行对帐,月初从银行支出一笔钱,在月底将款项归还公司帐户,在股市形势好的前提下,可月底将款项归还公司帐户,在股市形势好的前提下,可以获得丰厚的收入,是没有人能够发现的。这种以获得丰厚的收入,是没有人能够发现的。这种不相容不相容职务职务不能做到不能做到相互分离相互分离,是产生犯罪行为的温床,是各,是产生犯罪行为的温床,是各级领导要必须重视的。级领导要必须重视的。 2)授权审批控制)授权审批控制各级员工只有获得相应的授权,才能实施决策或执行业各级员工只有获得相应的授权,才能实施决策或执行业务。务。第一,常规授权和特别授权第一,常规授权和特别授权常规授权:一般
29、针对日常经营管理过程中发生的程序性常规授权:一般针对日常经营管理过程中发生的程序性和重复性工作,可以由岗位说明书,或权限指引予以明和重复性工作,可以由岗位说明书,或权限指引予以明确。常规授权的范围不宜太大,否则会削弱内部控制,确。常规授权的范围不宜太大,否则会削弱内部控制,但是如果范围过小,则会降低管理效率但是如果范围过小,则会降低管理效率。特别授权:一般是由董事授权经理层,或经理层授权下特别授权:一般是由董事授权经理层,或经理层授权下属机构及其员工处理某一特殊事件(如法律纠纷)的临属机构及其员工处理某一特殊事件(如法律纠纷)的临时性权力。时性权力。第二,审批第二,审批审批要经过审核和批准两个
30、阶段,就财务支出审批而言,审批要经过审核和批准两个阶段,就财务支出审批而言,审核指业务部门领导对该项开支的合理性提出初步意见,审核指业务部门领导对该项开支的合理性提出初步意见,批准指有关领导经参考批准指有关领导经参考“审核审核”意见后进行批准。意见后进行批准。审批顺序:先下级、后上级;先定性、后定量。审批顺序:先下级、后上级;先定性、后定量。(3)会计系统控制)会计系统控制严格执行国家统一的会计准则和制度,加强会计基础工严格执行国家统一的会计准则和制度,加强会计基础工作,明确会计处理和报告程序,保证会计资料真实完整。作,明确会计处理和报告程序,保证会计资料真实完整。(4)财产保护控制)财产保护
31、控制1)限制接近。对货币资金、有价证券、存货等变现能力)限制接近。对货币资金、有价证券、存货等变现能力强的资产必须限制无关人员直接接触。强的资产必须限制无关人员直接接触。2)定期盘点。)定期盘点。3)记录保护。妥善保管涉及资产的各种文件资料,避免)记录保护。妥善保管涉及资产的各种文件资料,避免记录受损、被盗、被毁;对重要的文件资料,应当备份。记录受损、被盗、被毁;对重要的文件资料,应当备份。4)财产保险。)财产保险。(5)预算控制)预算控制全面预算是企业对一定期间的经营活动、全面预算是企业对一定期间的经营活动、投资投资活动、财活动、财务活动等作出的规划和安排。务活动等作出的规划和安排。美国著名
32、管理学家戴维美国著名管理学家戴维奥利指出:全面预算管理是为数奥利指出:全面预算管理是为数不多的几个能把组织的所有关键问题融合于一个体系之不多的几个能把组织的所有关键问题融合于一个体系之中的管理控制方法之一。中的管理控制方法之一。全面预算作为一种全方位、全过程、全员参与的管理模全面预算作为一种全方位、全过程、全员参与的管理模式,凭借其计划、协调、控制、评价等功能,成为促进式,凭借其计划、协调、控制、评价等功能,成为促进实现企业发展战略的重要抓手。实现企业发展战略的重要抓手。(6)运营分析控制(事后)运营分析控制(事后)经理层运用生产、购销、投资、筹资、财务等方面的信经理层运用生产、购销、投资、筹
33、资、财务等方面的信息,通过因素分析、对比分析、趋势分析等方法,发现息,通过因素分析、对比分析、趋势分析等方法,发现运营中存在的问题,及时查明原因并加以改进。运营中存在的问题,及时查明原因并加以改进。(7)绩效考评控制(控制的保障)绩效考评控制(控制的保障)科学设置考核指标体系,对企业内部各责任单位和全体科学设置考核指标体系,对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价,将考评结果作为员工的业绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。等的依据。(4)信息与沟通。信息与沟通是企业及
34、时、准确地收集、)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。业与外部之间进行有效沟通。企业的内部控制活动离不开信息的沟通和传递。信息与企业的内部控制活动离不开信息的沟通和传递。信息与沟通作用于企业所有业务流程,对业务层面控制效果会沟通作用于企业所有业务流程,对业务层面控制效果会产生重大影响,因而信息与沟通属于企业层面控制要素。产生重大影响,因而信息与沟通属于企业层面控制要素。对信息与沟通的重要性和有效性不会陌生。信息真实是对信息与沟通的重要性和有效性不会陌生。信息真实是
35、沟通有效性的前提。一般在公司内部,上级与下级沟通沟通有效性的前提。一般在公司内部,上级与下级沟通时,下级比较专心,也不敢不专心。而下级与上级沟通时,下级比较专心,也不敢不专心。而下级与上级沟通时,有的上级做的不太好,影响下级的沟通的意愿,本时,有的上级做的不太好,影响下级的沟通的意愿,本来下级有很多要对你沟通,你边听边做其他的,该说的来下级有很多要对你沟通,你边听边做其他的,该说的也不说了,这样的沟通效果就大打折扣。以后在听下级也不说了,这样的沟通效果就大打折扣。以后在听下级汇报工作时,一定要记,还要频频点头,激发对方的沟汇报工作时,一定要记,还要频频点头,激发对方的沟通热情。通过沟通要让所有
36、的人都了解内部控制相关方通热情。通过沟通要让所有的人都了解内部控制相关方面的内容,知道自己在这一制度中的角色和责任。面的内容,知道自己在这一制度中的角色和责任。1)信息与沟通政策和程序)信息与沟通政策和程序企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。(政理和传递程序,确保信息及时沟通,促进内部控制有效运行。(政策)策)2)信息获取)信息获取企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办
37、公网络等渠道,获取内部信息。内部刊物、办公网络等渠道,获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。息。3)信息沟通)信息沟通信息资源是一个企业赖以生存的重要因素之一,企业在制定决策和信息资源是一个企业赖以生存的重要因素之一,企业在制定决策和日常运作中需要各种形式的信息。内部信息传递是企业内部各管理日常运作中需要各种形式的信息。内部信息传递是企业内部各管理层级之间通过内部报告形式传递生产经营管
38、理信息的过程层级之间通过内部报告形式传递生产经营管理信息的过程(5)内部监督。内部监督指的是对内部控制的监控,即)内部监督。内部监督指的是对内部控制的监控,即对内部控制的评价,是对内部控制的控制。对内部控制的评价,是对内部控制的控制。通过对内部控制的持续性监督和专项评价,寻求内部控通过对内部控制的持续性监督和专项评价,寻求内部控制的持续性改善。制的持续性改善。1)内部监督分类)内部监督分类日常监督:常规性、持续的监督检查;日常监督:常规性、持续的监督检查;专项监督:在发展战略、组织结构、经营活动、业务流专项监督:在发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大变化情况下,对内控
39、某一程、关键岗位员工等发生较大变化情况下,对内控某一方面进行的有针对性的监督检查。方面进行的有针对性的监督检查。专项监督的范围和频率取决于风险评估结果以及日常监专项监督的范围和频率取决于风险评估结果以及日常监督的有效性。督的有效性。2)内部控制自我评价)内部控制自我评价定期对内部控制的完整性和有效性进行评价。定期对内部控制的完整性和有效性进行评价。妥善保管内控制建立与实施的记录或资料,确保内控的妥善保管内控制建立与实施的记录或资料,确保内控的可验证性。可验证性。3)内部审计)内部审计为了履行管理层和董事会的控制责任,必须设立内部审为了履行管理层和董事会的控制责任,必须设立内部审计并保证其机构设
40、置、人员配备和工作程序的独立性。计并保证其机构设置、人员配备和工作程序的独立性。内部审计不承担实际管理职能,相对独立于其他管理部内部审计不承担实际管理职能,相对独立于其他管理部门。门。在没有专门风险管理部门的情况下,替代风险管理部门。在没有专门风险管理部门的情况下,替代风险管理部门。五、内部控制的顶层设计规范制度化,制度不可复制性。规范制度化,制度不可复制性。(一)组织架构(一)组织架构公司治理、风险管理机构、内部审计公司治理、风险管理机构、内部审计治理结构及机构设置:治理结构及机构设置:公司法人治理结构,按照公司法的规定由四个部分组成:公司法人治理结构,按照公司法的规定由四个部分组成: 股东
41、会或者股东大会,由公司股东组成,所体现的是所有者对公股东会或者股东大会,由公司股东组成,所体现的是所有者对公司的最终所有权;司的最终所有权;董事会,由公司股东大会选举产生,对公司的发展目标和重大经董事会,由公司股东大会选举产生,对公司的发展目标和重大经营活动作出决策,维护出资人的权益;营活动作出决策,维护出资人的权益;监事会,是公司的监督机构,对公司的高管和董事、经营者的行监事会,是公司的监督机构,对公司的高管和董事、经营者的行为发挥监督作用;为发挥监督作用;经理层,由董事会聘任,是经营者、执行者。经理层,由董事会聘任,是经营者、执行者。(二)管理制度(按照标准梳理制度)(二)管理制度(按照标
42、准梳理制度)(三)公司文化(领导人起决定作用)(三)公司文化(领导人起决定作用)(四)风险偏好(四)风险偏好应当有上下一致的风险偏好,如修水库。应当有上下一致的风险偏好,如修水库。(五)领导人要重视(五)领导人要重视往往往往是是领领导导人人违违反反内内部部控控制制,内内部部控控制制的的脆脆弱弱性性。我我国国企企业业的的内内部部控控制制普普遍遍很很差差,中中国国的的集集体体决决策策是是有有问问题题的的。一一把把手手和和副副职职开开会会,说说一一件件事事我我有有个个不不太太成成熟熟的的想想法法,你你们们议议一一议议,你你只只能能说说领领导导你说的好,我也是这样想的,你说的好,我也是这样想的, 六、
43、业务层面内部控制设计业务层面控制是针对特定业务活动的控制。业务层面控制是针对特定业务活动的控制。(一)梳理业务流程,绘制流程图(一)梳理业务流程,绘制流程图1、梳理业务活动,建立流程目录。、梳理业务活动,建立流程目录。一级流程:贷款、担保一级流程:贷款、担保二级流程:信用调查二级流程:信用调查三级流程等三级流程等风险管理以流程为基础,流程目录应当以经营管理活动风险管理以流程为基础,流程目录应当以经营管理活动过程作为主线,打破部门界限。过程作为主线,打破部门界限。2、绘制流程图、绘制流程图文本化的政策及程序是控制的基石之一。审计师审查控文本化的政策及程序是控制的基石之一。审计师审查控制时,一般都
44、会将流程图作为控制文件的一个关键部分,制时,一般都会将流程图作为控制文件的一个关键部分,并且要浏览流程图。并且要浏览流程图。(二)建立风险库(二)建立风险库(三)关键政策和程序(政策是制度,程序是如何做)(三)关键政策和程序(政策是制度,程序是如何做)(四)完善制度(四)完善制度(五)控制测试(五)控制测试七、内部控制评价(内部)内部审计生存危机:定位财务监督,独立性难题内部审计生存危机:定位财务监督,独立性难题内部审计起死回生:重新定位于审计服务内部审计起死回生:重新定位于审计服务内部审计独立性问题?内部审计独立性问题?几种模式:财务部门经理领导、财务副总经理领几种模式:财务部门经理领导、财
45、务副总经理领导、总经理领导、董事会领导。导、总经理领导、董事会领导。IIAIIA创新性地提出了审计机构的独立性和内审人创新性地提出了审计机构的独立性和内审人员的客观性。员的客观性。内部审计应当回归于管理层领导,但内部审计不内部审计应当回归于管理层领导,但内部审计不能参与制度设计(自己不能审计自己)。能参与制度设计(自己不能审计自己)。(一)内部控制的评价主体(一)内部控制的评价主体董事会做为股东的受托人,取代股东成为了内部控制的董事会做为股东的受托人,取代股东成为了内部控制的直接评价者,股东只是内部控制的间接评价者。直接评价者,股东只是内部控制的间接评价者。(二)内部控制评价的对象(二)内部控
46、制评价的对象内部控制评价是对内部控制有效性发表意见。内部控制评价是对内部控制有效性发表意见。所谓内部控制有效性,是指企业建立与实施内部控制对所谓内部控制有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。其中,内部控制设的有效性和内部控制运行的有效性。其中,内部控制设计的有效性,是指为实现控制目标所必需的内部控制要计的有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行的有效性,是指素都存在并且设计恰当;内部控制运行的有效性,是指现有内部控制按照规定程序得到
47、了正确执行。现有内部控制按照规定程序得到了正确执行。(三)内部控制评价的原则(三)内部控制评价的原则1全面性原则。强调内部控制评价的涵盖范围应当全面,全面性原则。强调内部控制评价的涵盖范围应当全面,应当包括内部控制的设计与运行,涵盖企业及其所属单应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。位的各种业务和事项。2重要性原则。强调在全面性的基础之上,着眼于风险,重要性原则。强调在全面性的基础之上,着眼于风险,突出重点。其核心要求是:一要坚持风险导向的思路,突出重点。其核心要求是:一要坚持风险导向的思路,着重关注那些影响内部控制目标实现的高风险领域和风着重关注那些影响内部控制
48、目标实现的高风险领域和风险点;二是着重关注重要的业务事项和关键的控制环节。险点;二是着重关注重要的业务事项和关键的控制环节。(切忌以制度为导向,造成制度冗余。)(切忌以制度为导向,造成制度冗余。)3客观性原则。强调内部控制评价工作应当如实地揭示客观性原则。强调内部控制评价工作应当如实地揭示风险,如实反映内部控制设计和运行的有效性。只有内风险,如实反映内部控制设计和运行的有效性。只有内部控制评价过程的客观性,才能保证评价结果的客观性。部控制评价过程的客观性,才能保证评价结果的客观性。(四)内部控制评价的组织形式和职责安排(四)内部控制评价的组织形式和职责安排1组织形式组织形式企业可以授权内部审计
49、机构或专门机构企业可以授权内部审计机构或专门机构负责内部控制评价的具体组负责内部控制评价的具体组织实施工作。织实施工作。内部控制评价机构必须具备一定的设置条件:一是独立性;二是专内部控制评价机构必须具备一定的设置条件:一是独立性;二是专业胜任能力和职业道德素养;三是与企业其他职能机构保持协调,业胜任能力和职业道德素养;三是与企业其他职能机构保持协调,相互配合、相互制约要求;四是能够得到企业董事会和经理层的支相互配合、相互制约要求;四是能够得到企业董事会和经理层的支持,有足够的权威性证评价工作开展。(内审、或者内控部门)持,有足够的权威性证评价工作开展。(内审、或者内控部门)为了保证评价的独立性
50、,负责内部控制设计和评价的部门应适当分为了保证评价的独立性,负责内部控制设计和评价的部门应适当分离。离。企业可以委托会计师事务所等中介机构实施内部控制评价。此时,企业可以委托会计师事务所等中介机构实施内部控制评价。此时,董事会(审计委员会)应加强对内部控制评价工作的监督与指导。董事会(审计委员会)应加强对内部控制评价工作的监督与指导。2职责安排职责安排(1)董事会对内部控制评价承担最终的责任。)董事会对内部控制评价承担最终的责任。评价指评价指引引规定,董事会对评价报告的真实性负责。董事会通规定,董事会对评价报告的真实性负责。董事会通过审计委员会承担对内部控制评价的组织、领导、监督过审计委员会承
51、担对内部控制评价的组织、领导、监督职责。董事会应听取内部控制评价报告、审定内控重大职责。董事会应听取内部控制评价报告、审定内控重大缺陷、重要缺陷整改意见,对内部控制部门在督促整改缺陷、重要缺陷整改意见,对内部控制部门在督促整改中遇到的困难,积极协调,排除障碍。中遇到的困难,积极协调,排除障碍。(2)监事会应审议内部控制评价报告,对董事会建立与)监事会应审议内部控制评价报告,对董事会建立与实施内部控制进行监督。实施内部控制进行监督。(3)经理层负责组织实施内部控制评价工作,可以授权)经理层负责组织实施内部控制评价工作,可以授权内部控制评价机构组织实施,并积极支持和配合内部控内部控制评价机构组织实
52、施,并积极支持和配合内部控制评价的开展。经理层应定内部控制评价方案和听取内制评价的开展。经理层应定内部控制评价方案和听取内部控制评价报告,对于内部控制评价中发现的问题或缺部控制评价报告,对于内部控制评价中发现的问题或缺陷,要按照董事会的意见予以整改。陷,要按照董事会的意见予以整改。(4)内部控制评价机构承担内部控制评价的具体实施任务,根据经)内部控制评价机构承担内部控制评价的具体实施任务,根据经理层要求,拟订工作方案并组织实施;对于评价过程中发现的重大理层要求,拟订工作方案并组织实施;对于评价过程中发现的重大问题,应及时与治理层或管理层沟通;认定内部控制缺陷,拟订整问题,应及时与治理层或管理层
53、沟通;认定内部控制缺陷,拟订整改方案,编写评价报告,及时向董事会或经理层报告;沟通外部审改方案,编写评价报告,及时向董事会或经理层报告;沟通外部审计师;督促各部门进行整改。计师;督促各部门进行整改。(4)各部门应负责组织本部门的内控自查、测试和评价工作,对发)各部门应负责组织本部门的内控自查、测试和评价工作,对发现的设计和运行缺陷提出整改方案及具体整改计划,积极整改,配现的设计和运行缺陷提出整改方案及具体整改计划,积极整改,配合内控机构及外部审计师开展评价工作。合内控机构及外部审计师开展评价工作。(5)企业所属单位,也应逐级落实内部控制评价责任,建立日常监)企业所属单位,也应逐级落实内部控制评
54、价责任,建立日常监控机制,开展内控自查、测试和定期评价,发现问题和缺陷,需拟控机制,开展内控自查、测试和定期评价,发现问题和缺陷,需拟订整改方案,报本级管理层审定后,督促整改,编制内部控制评价订整改方案,报本级管理层审定后,督促整改,编制内部控制评价报告,对内部控制的执行和整改情况进行考核。报告,对内部控制的执行和整改情况进行考核。(五)内部控制评价的方法(五)内部控制评价的方法评价指引评价指引规定,评价工作小组应当对规定,评价工作小组应当对被评价单位进行现场测试,综合运用个别被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、访谈、调查问卷、专题讨论、穿行测试、实地查验等
55、方法,充分收集被评价单位内实地查验等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,如实部控制设计和运行是否有效的证据,如实填写工作底稿,研究分析内部控制缺陷。填写工作底稿,研究分析内部控制缺陷。(六)内部控制缺陷的分类和认定(六)内部控制缺陷的分类和认定1按照缺陷成因,分为设计缺陷和运行缺陷。按照缺陷成因,分为设计缺陷和运行缺陷。1)设计缺陷是指企业缺少为实现控制目标所必需的控制,或现存控)设计缺陷是指企业缺少为实现控制目标所必需的控制,或现存控制设计不当,即使正常运行也难以实现控制目标。如:有总账没有制设计不当,即使正常运行也难以实现控制目标。如:有总账没有明细账,或者虽有明细账
56、,但总账和明细账由同一人登记。明细账,或者虽有明细账,但总账和明细账由同一人登记。2)运行缺陷是指设计有效,但是由于运行不当(包括由不恰当的人)运行缺陷是指设计有效,但是由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。如审核人员没有专业胜任贯有效运行等)而形成的内部控制缺陷。如审核人员没有专业胜任能力。能力。内部控制制度设计没有缺陷,不等于运行没有缺陷。例如,财务报内部控制制度设计没有缺陷,不等于运行没有缺陷。例如,财务报表有四张:资产负债表、利润表、现金流量表
57、和所有者权益变动表,表有四张:资产负债表、利润表、现金流量表和所有者权益变动表,前几年有些会计人员不会填写现金流量表,就只报了三张表,有些前几年有些会计人员不会填写现金流量表,就只报了三张表,有些部门领导就打电话部门领导就打电话“张三,你怎么只报了三报表,没有现金流量表张三,你怎么只报了三报表,没有现金流量表?”考核罚款、来批评是肯定的,但他随后凑合填了一张现金流量考核罚款、来批评是肯定的,但他随后凑合填了一张现金流量表,好了,没有问题了,张三明白原来领导关注的表,好了,没有问题了,张三明白原来领导关注的4张表,而不看你张表,而不看你填的对不对。这就是运行缺陷。填的对不对。这就是运行缺陷。 2
58、按照对控制目标的影响,分为重大缺陷、重要缺陷和按照对控制目标的影响,分为重大缺陷、重要缺陷和一般缺陷。一般缺陷。重大缺陷,是指一个或多个控制缺陷的组合,可能导致重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。当存在一个或多个重大缺陷时,企业严重偏离控制目标。当存在一个或多个重大缺陷时,应当在评价报告中作出控制无效的结论。(如越权、舞应当在评价报告中作出控制无效的结论。(如越权、舞弊、串通,牵扯面广。弊、串通,牵扯面广。重要缺陷,是指一个或多个控制缺陷的组合,其严重程重要缺陷,是指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致企业偏离控制目标。度低于重大缺
59、陷,但仍有可能导致企业偏离控制目标。不影响内部控制的整体有效性。如采购申请缺陷,牵扯不影响内部控制的整体有效性。如采购申请缺陷,牵扯面不大。面不大。一般缺陷,是指除重大缺陷、重要缺陷以外的其他控制一般缺陷,是指除重大缺陷、重要缺陷以外的其他控制缺陷。缺陷。如何认定三种缺陷,需要借助一套可系统遵循的认定标如何认定三种缺陷,需要借助一套可系统遵循的认定标准,认定过程中还需要评价人员运用职业判断。由董事准,认定过程中还需要评价人员运用职业判断。由董事会予以最终确定。会予以最终确定。(七)内部控制缺陷的报告与整改(七)内部控制缺陷的报告与整改1内部控制缺陷报告的格式和途径内部控制缺陷报告的格式和途径内
60、部控制评价机构应当编制内部控制缺陷内部控制评价机构应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会意见,并以适当的形式向董事会、监事会或者经理层报告。或者经理层报告。(七)内部控制缺陷的报告与整改(七)内部控制缺陷的报告与整改1内部控制缺陷报告的格式和途径内部控制缺陷报告的格式和途径内部控制评价机构应当
61、编制内部控制缺陷认定汇内部控制评价机构应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。监事会或者经理层报告。一般而言,内部控制的一般缺陷、重要缺陷应定一般而言,内部控制的一般缺陷、重要缺陷应定期(至少每年)报告,重大缺陷应立即报告。期(至少每年)报告,重大缺陷应立即报告。2内部控制缺陷整改方案及期限内部控制缺陷整改方案及期限企业对于认定的内部控制缺陷,应当及时企业对于认定的内部控制缺陷,应当及时采取整改措施,并追究有关机构或相关人采取整改措施,并追究有关机构或相关人员的责任。员的责任。借鉴西方,我国银行迫切需要找出适合自己的解借鉴西方,我国银行迫切需要找出适合自己的解决方法。决方法。1.必须以全面风险管理为核心管理整个银行必须以全面风险管理为核心管理整个银行2.银行必须将风险管理架构在经济资本分配体系银行必须将风险管理架构在经济资本分配体系之上之上
