全球背景下企业内部控制与风险管理课件

全球背景下

企业内部控制与风险管理

讲座大纲

CH1企业内部控制的新特点CH2企业内部控制五大目标CH3企业内部控制五大要素CH4企业各管理层内控职责CH5内部控制制度建立CH6企业内部控制设计模板

美国汽车三大巨头乞求救援

美国当地时间2008年12月10日晚，美国众议院投票通过了向美国汽车业提供140亿美元救援贷款的议案，但在通过参议院批准之前，此项贷款是否能顺利发放到车企手中仍是未知数。美国当地时间2008年12月13日11日晚,由于美国汽车业工会拒绝接受共和党议员提出的削减工资要求,美国国会参议院否决了总额为140亿美元的汽车业救援方案。乱世用重典——《萨班斯·奥克斯利法案》

随着美国安然公司、环球电信公司会计造假丑闻的披露，暴露出美国现行公司体制中存在着弊端。为整顿上市公司秩序、维护投资者信心，美国民主党参议员萨班斯（Sar-banes）和共和党众议员奥克斯利（Oxley）联合提出了《萨班斯—奥克斯利法案》，该法于2002年7月美国总统布什签署获得通过。《萨班斯—奥克斯利法案》是继美国1933年《证券法》、1934年《证券交易法》以来又一部具有里程碑意义的法律，其效力涵盖了注册于美国证监会（SEC）之下的约14，000家公司，其中包括了大量的非美国公司。该法案的严肃性在于:公司治理被正式纳入联邦法律管辖范围，越来越多的财会欺诈者――无论他是CEO还是CFO都将被投入监狱。安然和世通之后，美国大公司都在丑闻深渊边如履薄冰，抓坏蛋和将前车之鉴铭刻于法律条文自然成为这一阶段的主题。《萨班斯—奥克斯利法案》强调了公司内控的重要性，从管理者、内部审计及外部审计等几个层面对公司内控作了具体规定，并设定了问责机制和相应的惩罚措施。成为继20世纪30年代美国经济大萧条以来，政府制定的涉及范围最广、处罚措施最严厉的公司法律。《萨班斯—奥克斯利法案》1.上市公司会计监管委员会2.审计师的独立性3.公司的职责4.加强财务信息的披露5.分析员的利益冲突6.证券监管委员会的资源与权限7.研究和报告8.公司和刑事舞弊的责任9.加强对白领刑事犯罪的惩罚10.公司税务申报表11.公司的舞弊行为及其相应的责任《萨班斯—奥克斯利法案》实质意义

上市公司董事及高层管理人员的责任的加强1.明确首席执行官和首席财务官对财务报表的书证责任：新法案要求上市公司的首席执行官（CEO）和首席财务官（CFO）对公司向美国证券交易委员会（以下简称SEC）提交的定期报表的真实准确性提供书面保证。第302条和第906条分别在民事和刑事方面直接规定了对上市公司的CEO和CFO的特别书证要求。2.为了降低公司的经营风险，新法案禁止公司向董事和高层管理人员提供私人贷款。3.董事和高层管理人员返还因公司虚假报表取得的激励性报酬和买卖股票收益。内部控制实施的高昂代价

据财务经理国际(FinancialExecutivesInternational,FEI)针对遵循SOX法案404节的实施成本对其公众成员公司进行了调查：2004年7月调查了平均收入超过25亿美元的224个公众公司，计算SOX法案404节遵循成本的估计数额。结果显示，遵循成本总额估计为314万美元，被调查的公司预计，除年度审计费用外，要向审计师支付823200美元的内部控制鉴证费用.2005年3月，FEI调查了217个平均收入超过50亿美元的公众公司，来计量SOX法案404节的遵循成本。它们的总遵循成本平均为436万，其中内部成本134万美元，外部成本172万，审计费用130万。审计费用中还没有包括公司的财务报表审计费，比平均增长57%。中国企业内部控制规范制定原则内控标准原则：立足国情，实行创新突出重点，解决问题降低成本，稳步推进

内控标准定位：以财务报告真实可靠为主、兼顾其他控制目标的内部控制目标体系；初步构建了以控制规范为基础、以评价规范为配套的内部控制标准体系；着手探索以政府部门为引导、广大企业主动参与的内部控制实施体系。

财政部、证监会、审计署、银监会、保监会关于印发《企业内部控制基本规范》的通知(财会[2008]7号)

为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。

二00八年五月二十二日

企业内部控制目标

1.战略目标2.营运目标3.报告目标4.资产目标5.合规目标案例：大唐电信会计信息迷雾

2006年10月28日，发布业绩预增公告，称经过公司财务部门初步测算，预计2006年全年实现盈利（上年同期亏损6.96亿元）。10月27日（周五），大唐电信收盘于10.88元，10月30日（周一）收盘于10.91元。（600198.SH）的信任感被伤害了，一位全仓购入大唐电信的投资者遭遇了4月5日跌停板后向《第一财经日报》表示：“我被愚弄了，大唐电信业绩不仅发生转变，而且要被*ST了。”大唐电信2007年4月5日跌停的直接原因，是其当天发布了2006年业绩预亏公告。而在五个多月前，大唐电信预计2006年将扭亏为盈。在这五个多月时间里，大唐电信股价上涨了80.97%，最高接近翻番。内部控制5要素企业目标经营效率会计报告可信性遵循法律法规控制过程内部控制控制环境风险评估信息与交流控制行为监督实施者董事会经理层其他员工成功内部控制的核心理念有效的内部控制风险与经营回报的良好平衡控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4传达管理理念-责任-义务

-职权

-人力资源

-员工发展设定管理基调-诚信-道德观念-能力要素1:控制环境控制要素控制类别

内部环境公司治理环境公司组织环境人事环境激励环境文化道德环境2.公司组织环境（1）．组织设置的原则权责对等统一指挥精干高效目标原则分工协作市场适应3.人事环境岗位设置作业配置岗位关系岗位资源配置岗位任职资格（岗位人员选择）特别岗位人员特殊措施工作轮换强制休假特别担保责任保险4.激励环境1．激励的基础优——————奖业绩评价劣——————惩2．激励的方法股权、股票期权、精神、物质

“两手都要抓，两手都要硬”

陈同海双规思考2007年6月，经中共中央批准，中共中央纪委、监察部对中国石油化工集团公司原总经理、党组书记陈同海严重违纪问题进行立案检查。陈同海在担任中国石油化工集团公司副总经理、总经理和兼任中国石油化工集团股份有限公司副董事长、董事长期间，利用职务便利，为他人谋取利益，收受钱款数额巨大；利用职权为情妇谋取巨额不正当利益；生活腐化。陈老虎在集团内的霸道是出了名的。每日挥霍4万元，一个月120万，一年就是1440万元，当纪委警告他要收敛些时，他大言不惭地说，我一年上交税款200亿，这点算什么？控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4管理/控制变化确定并分析对实现企业目标有影响的风险要素2:风险评估控制要素控制类别2.风险分析评价风险的重要程度评估风险发生的概率考虑应当如何管理风险，即评估需要采取的措施。风险规避风险降低风险分担风险承受标题COSO2企业风险管理构成内部环境风险管理哲学-风险文化-董事会-诚信与道德-能力承诺-管理层哲学与经营风格-组织结构-责权划分-人力资源政策与实务-环境差异信息与沟通信息-战略性与整体系统-沟通风险评估固有风险、剩余风险-可能性和影响-定性与定量,工作方法、技巧-相关性风险应对确认风险应对-评价可能风险应对-选择应对-组合视角控制活动结合风险应对-控制行动类型-一般控制-应用控制-子公司具体情况监控持续-分别评价-报告不足事项识别事件-影响战略与目标之因素-工作方法和技巧-相互依存事件-事件分类-风险与机遇目标设定战略目标-相关目标-选定目标-风险偏好-风险容忍度

评估关键的风险风险是您实现业务目标的现存的或潜在的障碍

什么因素可能会妨碍本部门实现其关键的业务目标?

要成功,需要完成一些必要的工作和程序,

而什么因素会阻碍这些工作和程序的完成和实现呢?

发生率:这些风险中,什么风险是最可能发生的?

影响:哪些风险将对本部门实现其预定目标的能力产生最重大的影响?

有什么有效的控制机制可以减少这些风险及其影响?企业风险管理架构董事会审计委员会风险管理委员会风险管理部门内部稽核

运营管理根据中国证监会要求《证券公司治理准则（试行）》设计的企业风险管理架构董事会——风险管理委员会风险管理委员会应包括独立董事，且至少有三名成员。该委员会必须要高度独立，以监控运营单位的风险管理。其职责有：协助管理层决定公司的风险取向

负责建立并维护有效的风险管理

负责监控风险信息在公司纵向或横向报告的过程，并对有关管理人员提供必要的协助制定风险管理的政策和策略提供适当的培训，在公司内部建立起一种具有风险意识的企业文化为公司的业务部门建立内部风险政策和结构

设计风险管理的流程，并对其进行审查协调各种对组织内部风险管理问题提供建议的职能行为制定风险应对程序，包括或有事项、业务持续方案为董事会和利益相关者编制风险报告风险评值最高51722232425高41218192021中3613141516低22891011最低11345 7影响0.10.250.50.750.9可能性基本不可能不太可能可能很可能基本会发生风险1风险5风险4风险2风险3风险8风险7风险6风险评估风险应对策略可能性高减少避免低接受转移低高影响实际的风险应对战略举例减少质量控制，管理与标准财务控制标准操作程序检查新员工条件研发与技术发展应急计划结构培训与其他程序监督避免决定退出某一地区当检查发现客户无信用时，决定不再与该客户进行交易决定不出售明知是一种不道德的产品接受成本效益原则，如针对风险制定控制与其他回应决定在一个面临绑架高风险的国家运营——你无法控制接受超过£1,000,000的保险费政策为提高销售数量，接受高信用风险客户转移采取保险政策定期维护外包给设备管理公司与供应商签订的合同应明确不能满足约定条件时，可以获得财务补偿与其他公司建立合资公司，与其共同开发商业机会风险应对方法1.风险回避―企业对走出整体风险承受能力或者具体业务层次上的可接受风险水平的风险，应当实行风险回避。2.风险承担―企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后无意采取进一步控制措施的，可以实行风险承担。3.风险降低―企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意单独采取进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险降低。4.风险分担―企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意借助他们力量，采取包括业务分包、购买保险等进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险分担。平衡风险和内部控制管理审计的范围企业风险管理预防与管理层共同参与重视交易遵守职能重视过程协助管理层自我评价内部审计职能管理层的期望侦察加强咨询举例:企业目标,风险和内部控制的关系目标1风险控制

(A)短期目标:

2002年度实现利润增长10%:-销售收入增长20%-经营成本降低15%

(B)长期目标:

在未来五年内实现利润平均每年净增长10%

-由于不可靠的和不切实际的销售预测,在进出口业务中造成严重囤货和存货作废.

-由于履行不平等的或不利的合同条款而造成严重损失(如赔偿损失,名誉损害)

-由于未被授权的/给予过多的折扣造成毛利降低或直接亏损

-严重的坏帐损失

-有效的编制和控制经营计划和财务预算

-采取措施增强销售预测的准确性并且只承担经过衡量并能接受的风险,比如:获得可靠的市场信息,将实际情况与预算进行比较等

-在主要的经营领域建立制度和程序(须涵盖集团总部的制度和程序):销售,采购,财会,投资等

举例:企业目标,风险和内部控制的关系目标２风险控制

有效的资金管理

－产生人民币ＸＸＸ万－由于以下原因造成现金流预算的失效并造成资金危机,会导致例如供应商停止供货造成生产延误而不能执行合同的信誉损失：-与供应商和客户签订不平等或不利的合同-过长的付款条款-经常性的ＣＯＤ／没有从供应商获得赊销－坏帐(不当的信用控制和应收货款管理）－错误的投资决策－不必要的资金支出源于未经授权的／多余的采购，不适当的付款和舞弊行为，付款错误等－投机行为，如高风险的投资

－资金预算的计划和控制－按月份的资金预算报告（将上月的实际发生和预算相比较制定下月的预算）－信用控制制度和程序,包括信用审阅－收款的制度和程序－合同审阅过程－对投资项目进行控制－采购和付款控制－防止投机行为的措施

目标３风险控制

建立一个准确的，可靠的和及时的财务系统

－由于不准确，不可靠，不及时的财务／会计和管理报告或信息而造成错误的管理决策,以及在年末才反应出来的令人不悦的经营结果

－由于以下因素造成的不准确，不可靠和不及时的财务和管理报告：

-不合格的，能力不够的财务经理和财务人员-有弊病的财务系统：不完整或不相容，处理大量核算和交易但是财务系统没有实行电算化

－资源的超负荷使用－严格的财务和会计制度和程序－财务部门的领导能力－使用适当的人员－教育和培训

－年终结帐前的检查：检查帐目是否放映了实际情况

－各种控制活动：核实查证，授权，审批，对帐(银行和供应商），责任分离，资产的安全保护

－固定资产现场视察－年度库存盘点／周期性库存盘点－现金库存抽查－集团所有公司内部之间的对帐－专业的税收和法律检查－加强内部审计部门的职能举例:企业目标,风险和内部控制的关系企业目标风险内部控制评价1.

2.

3.

4.

5.

小组讨论:请将前面讨论过的企业目标,风险,内部控制的关系综合起来,并提出小组的见解:

讨论:企业目标,风险和内部控制的关系企业目标,风险和内部控制的关系是什么?确定目标评估风险行动计划/责任分配分析控制目标,风险和内部控制控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4管理层发展方针贯彻的程序直接的职能或活动管理物质的控制

-职权的分离要素3:控制活动控制要素控制类别实现目标的管理机制控制活动不相容职务的分离授权批准会计系统控制预算控制财产安全控制电子信息技术控制运营分析（风险评估抑或控制活动）绩效考评1.不相容职务的分离授权监督执行记录保管2.授权批准一般授权特别授权预警机制3.会计系统控制会计一方面可以从流程控制的角度发挥控制作用，另一方面，可以从信息控制的角度来发挥控制作用。建立岗位责任制可靠的凭证控制完整的簿记控制严格的核对控制规范的账务处理流程适当的会计政策和程序4.预算控制1．预算编制模式“自上而下”式的编制模式“自下而上”式的编制模式“自上而下”式和“自下而上”式的相互结合2．预算考核5.财产安全控制限制接近限制接近现金限制接近其他易变现的资产限制接近存货限制接近档案资料定期盘点和比较保险6.电子信息技术控制1．一般控制（1）数据中心运行控制（2）系统软件控制（3）访问安全控制（4）应用系统开发和维护控制2．应用控制“制度”与“技术”之间具有互补性评估适当的控制能做什么工作来降低发生风险的可能性?这些工作或活动现在存在吗?足够吗?现有的控制活动是否明确,独特且没有彼此重复?效率:有没有更容易的或者成本更低的控制风险的方法?

效果:这些控制活动是不是有效地降低了风险?为管理和减少风险而制定的政策制度和程序控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4要素4:信息和沟通控制要素控制类别经营和财务信息的准确性和及时性获取内部和外部的信息组织的沟通信息与沟通会计信息系统统计信息系统沟通（内部沟通、外部沟通）常规的沟通渠道非常规的沟通渠道申诉、举报、网站、领导接待日信息和沟通

人们往往认识不到信息和沟通是和控制相关联的必须通过某种方式，在一定的时间之内明确、获得并传达沟通相关信息以确保人们能够履行其职责。信息系统提供有关财务、经营和法律法规的遵守等信息的报告，这些信息使企业的管理控制成为可能。所有员工必须从高级管理层获得明确的信息指令，即所有人都必须认真看待和履行控制职责。反舞弊机制1.反舞弊的内容在财务报告和信息披露方面弄虚作假。未经授权、滥用职权或者采取其他不法方式侵占、挪用企业资产。在开展业务活动中非法使用企业资产牟取不当利益。企业高级管理人员舞弊给企业内部控制和经营管理可能千万的重大影响。员工单独或者串通舞弊给企业造成损失。2.完善投诉、举报管理制度企业可以设置舞弊举报热线，明确投诉、举报处理程序、办理时限和办理要求确保投诉、举报成为企业反舞弊和加强内部控制的重要途径。控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4要素5:监控控制要素控制类别连续性的行动和一次性的活动反映严重问题的系统监控系统的评价监控是确定控制结构是否有效及最大可能减少意外不测的关键内控系统需要监控内控系统的监控通过以下工作实现：进行中的监控工作单独的评估(内部审计)

二者的结合内部控制的不足应当逐级向上汇报，重大问题要报最高管理层和董事会。监控基本规范指出，企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。持续性监控（一般监控或日常监控）个别监控（专项监控）缺陷报告（CEO、CFO、审计委员会）内部审计与内部控制企业内部审计的设立与科学定位：内部审计机构的职责：审计会计帐目稽查、评估内部控制制度企业内部职能部门工作效能评估向管理当局提出建议报告内部审计部门的定位：1、由审计委员会领导1、由监事会领导2、由董事会领导3、由财务副总或财务总监领导内部审计的主要目标：审查和评价业务处理授权的全面性和准确性审查和评价业务活动发生的真实性、合法性审查和评价财务与会计处理程序的合法性、合理性审查和评价各种经济信息资料的真实与完整性评价经营目标的实现程度和管理控制系统的完备性内部控制的局限内部控制的局限主要表现在：内部管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去应有的控制效能。内部人员相互串通作弊导致相关内部控制失去作用。内部人员素质不适应岗位要求，影响内部控制功能的正常发挥。成本效益问题。对于不经常发生或未预计到的经济业务，原有的控制可能不适用。临时控制若不及时会影响内部控制的作用。

各管理层内控职责

1.董事会

2.管理层

3.风险管理人员

4.财务负责人

5.内部审计人员

6.企业员工

各管理层内控职责——董事会1/6董事会直接影响内部环境控制基础，其在内部控制中的重要职责表现为：

1.科学选择恰当的管理层并对其进行监督；2.清晰了解管理层实施有效的风险管理和内部控制的范围；3.知道并同意企业的最大风险承受能力；4.及时知悉最重大的风险以及管理层是否恰当地予以应对。各管理层内控职责——管理层2/6管理层直接对一个企业的经营管理活动负责。企业总经理（首席执行官）尤其承担重要责任，其职责包括：1.为高级管理人员提供领导和指引；2.定期与主要职能部门——营销、生产、采购、财务、人力资源等部门的高级管理人员进行会谈，以便对他们的职责，包括他们如何管理风险，进行核查。各管理层内控职责——风险管理人员3/6风险管理人员的职责包括：1.建立风险管理政策；2.确定各业务单元对于风险管理的权利和义务；3.提高整个企业的风险管理能力；4.指导风险管理与其他经营计划和管理活动的整合；5.建立一套通用的风险管理语言；6.帮助管理人员制订报告规程；7.向总经理（首席执行官）报告进展和暴露的问题。各管理层内控职责——财务负责人4/6财务负责人的活动应当贯穿企业经营管理全过程，而不仅仅是财务活动。其在制订目标、确定战略、分析风险和作出管理决策等时应扮演一个关键的角色。管理层应当赋予财务负责人参与决策的权力，并支持其关注经营管理的更广范畴，局限财务负责人的关注领域和知悉范围，会削弱、制约企业的管理能力。

各管理层内控职责——内部审计人员5/6内部审计人员在评价内部控制的有效性，以及提出改进建议方面起着关键作用。企业应当授予内部审计部门适当的权力以确保其审计职责的履行；对内部审计部门负责人的任免应当慎重；内部审计部门负责人与董事会或审计委员会应保持畅通沟通；应当赋予内部审计部门追查异常情况的权力和提出处理处罚建议的权力。各管理层内控职责——企业员工6/6所有员工都在实现内部控制中承担相应职责并发挥积极作用。管理层应当重视员工的作用，并为员工反映诉求提供信息通道。内控的建立和执行内部控制主体内部控制客体内部控制目标内部控制方式（一）融于管理机制的内部控制要素1.内部控制主体

《企业内部控制基本规范》所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。“内部”的原则性标准内部控制主体的层次性具有层次性的内部控制主体2.内部控制客体——“内部”的派生标准控制的客体包括财产（可扩展至资源？）★拥有所有权；信息★拥有控制权；交易（交易双方至少有一方属于“内部人”）

★拥有使用权。

3.内部控制目标《企业内部控制基本规范》中，内部控制的目标是：合理保证企业经营管理合法合规资产安全财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略。4.内部控制方式《基本规范》要求，企业建立与实施有效的内部控制，应当包括的要素：内部环境——实施内部控制的基础（包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等）风险评估——及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。控制活动——根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。信息与沟通——及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。内部监督——对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。融于管理体系中的内部控制手段组织控制组织治理组织结构岗位设置流程控制信息控制人事控制物理控制《基本规范》中的内部控制要素内部环境

风险评估控制活动信息与沟通内部监督（二）内部控制制度设计原则全面性重要性制衡性适应性成本效益（三）企业内部控制的10种方法1、组织规划控制：职务不兼容制度(1)杜绝交叉任职(2)领导班子分设管理控制机构；(1)法人治理结构;(2)管理部门设置2、授权批准控制；(1)批准范围;(2)批准层次(3)批准的责任;(4)批准的程序3、全面预算控制：(1)预算体系的建立;(2)预算的编制和审定;(3)预算的下达及落实(4)预算执行的授权;(5)预算执行的监控(6)预算差异的分析和调整(7)预算业绩的考核

4、会计控制系统(1)建立健全内部会计管理规范和监