企业内部控制与风险管理(内部培训)

企业内部控制与风险管理(内部培训)2023/5/27企业内部控制与风险管理(内部培训)Page2目录第一章:内部控制综述1、内部环境2、风险评估3、风险控制4、信息与沟通5、监督第二章职业舞弊第三章:内部控制的建立第四章:业务模块内部控制第五章：鸿星尔克内部控制建议企业内部控制与风险管理(内部培训)店铺案例-11、喜欢赚差价的艾米艾米是公司一名普通店长，每个月工资收入3000-5000千，而实际每个月她还能从这个店赚到5000-1万外快。每个月外快来自两部分，会员顾客差价和促销活动差价。店铺是自己收银，这为他行为提供便利。A会员每次购买服装达到一定金额可享受折上折优惠，对于那些非会员且用现金支付的顾客购买的商品，每次艾米都自己偷偷办的会员结账，这样可以赚钱12%差价B每个月店铺活动都进行几次调整，在折扣下调期间，艾米会报之前顾客正价，或者高折扣商品先做退货，全额退款处理。在按照低折扣进行入单，这样又可以赚取20%差价。当然这个不是艾米自己一个人完成的，她有几个姐妹协助自己完成这些工作，有时候为了防止公司抽查，他们还会多半几张VIP轮流使用。企业内部控制与风险管理(内部培训)店铺案例-2永争第一的尼克尼克是某店一名普通导购，她所在的店铺是我们定位为大店店铺，有10位销售店员。在店长、督导甚至公司管理层眼里，尼克是一个不可多得的销售高手，因为他每个月销售都是第一名，从第一月来到这个店的时候就是第一名。但是，有一天这个店铺店长离职了，换了个新店长，从此以后尼克的销售业绩下滑得非常厉害，有时候竟然排名最后几名。督导和区域经理分别找她了解过原因，还曾把她调到其他店工作，但效果还是不好。你们认为是什么原因？企业内部控制与风险管理(内部培训)1、同样上一天的班，在周一上和周六上效果是否一样？2、同样上7个小时的班，在周六8:00-15:00和15:00-21.30是否一样？企业内部控制与风险管理(内部培训)1、一个真实的例子一、内部控制综述企业内部控制与风险管理(内部培训)2、内部控制被忽视的理由我们的员工忠实可靠,我相信我们的员工我们从没有发生过问题内部的审计在检查我们的财务报表程序耗时又没有用处我们最好把时间用在其他的运营问题上我没时间一、内部控制综述企业内部控制与风险管理(内部培训)一、内部控制综述3、COSO立方体企业内部控制与风险管理(内部培训)一、内部控制综述内部控制是一个过程该过程受企业的董事会、管理层和其他人员的影响目的:为下列目标的实现提供合理保证1、运营目标2、报告目标3、遵循目标4、COSO新版框架的定义企业内部控制与风险管理(内部培训)5、目标解释1、运营目标组织运营的效果和效率,包括运营和财务的绩效目标,资产安全不受损失..2、报告目标:内外部财务报告的可靠性、及时性/透明度3、遵循目标一、内部控制综述企业内部控制与风险管理(内部培训)Page11二、控制环境对建立、或加强或削弱特定政策、程序效率产生影响的各种要素要通过塑造企业文化、营造一种氛围,从而影响员工实施内部控制的自觉性.是其他内部控制要素的基础,直接影响到企业战略及经营目标.1、控制环境企业内部控制与风险管理(内部培训)

1.1治理结构总裁办:制定内部控制的实施纲要,集团管理模式优化:1、组织结构：三权的分立2、总经办：承上启下:监督与反馈\组织3、执行控制：执行结果的定期汇报，4、财务:监督二、控制环境企业内部控制与风险管理(内部培训)Page132组织能力建议：持续向上内部管理机制。1、目标、执行、控制、监督、激励2、三权的分立，权责对等1、目标的讨论2、目标的审核3、各职能部门目标方向统一企业的组织风险:1、结构形同虚设2、执行力差3、缺乏良性运行机制4、缺乏科学决策5、权责分配不合理6、机构重叠7、岗位交叉或缺失8、推委扯皮9、运行效率低下二、控制环境企业内部控制与风险管理(内部培训)Page143企业文化内部控制一、定义：团队认同并遵守的价值观、经营理念、企业文化精神；形成的行为规范的总称形成企业竞争力关键：文化与行为保持一致二、风险1、缺乏积极向上丧失对企业的信心、认同、缺乏凝集力和竞争力2、缺乏开拓创新/团队协作/风险意识3、缺乏诚实守信：导致舞弊三：高层人员在企业文化中影响力1：高级管理人员发挥核心主导作用：管理层基调和态度是公司道德规范和文化环境建设的基础2：企业文化建设：服从、认同、内化一、内部控制综述企业内部控制与风险管理(内部培训)Page154、人力资源一、风险：1、人才过剩2、人才匮乏（专业程度不够）3、人才结构不合理4、开发机制不健全二、人力资源约束与激励机制不合理1、关键岗位管理不完善（1）人才流失（2）效率低下2、绩效考核（1）考核指标不明确（2）形式主义（3）考核结果缺乏有效应用一、内部控制综述企业内部控制与风险管理(内部培训)8、缺乏良好的控制环境缺乏绩效考核对内部控制与风险管理的引导机制法人治理结构不健全，内部控制的外部约束较弱公司治理结构中责任不到位缺乏良好的控制环境高管层缺乏自主控制意识没有形成重视风险的控制文化一、内部控制综述企业内部控制与风险管理(内部培训)三、风险评估风险:有关风险的辩认和分析，是控制风险建立基础。影响目标实现的不确定性因素。风险必须与控制目标相关联风险偏好与风险的承受度企业内部控制与风险管理(内部培训)1、风险识别第三章内部控制建立企业内部控制与风险管理(内部培训)内部风险识别管理因素组织结构经营方式资产管理业务流程安全环保因素营运安全员工健康环境保护自主创新因素研究开发技术投入信息技术财务因素财务状况经营成果现金流量人力资源因素职业操守专业胜任能力团队精神三、风险评估2.1内部风险识别企业内部控制与风险管理(内部培训)外部风险识别经济因素经济形势产业政策融资环境市场竞争资源供给法律因素法律法规监管要求社会因素安全稳定文化传统社会信用教育水平消费者行为行业技术因素技术进步工艺改进自然环境因素自然灾害环境状况2.2:外部风险识别三、风险评估企业内部控制与风险管理(内部培训)各行业的前10种最主要的风险因素（德勤统计数据）次序银行/保险业/证券制造业其他1内部控制的质量内部控制的质量内部控制的质量2管理人员的能力管理人员的能力管理人员的能力3管理人员的正直程度管理人员的正直程度管理人员的正直程度4会计系统的近期变动单位的规模会计系统的近期变动5单位的规模经济环境恶化业务的复杂性6资产的流动性业务的复杂性资产的流动性7重要人员的变动重要人员的变动单位的规模8业务的复杂性会计系统的近期变动经济环境恶化9快速的增长快速的增长重要人员的变动10政府法规管理人员对完成目标的压力快速的增长2.3:主要风险三、风险评估企业内部控制与风险管理(内部培训)4、风险对策避免风险：可能亏损店不开降低风险:信用控制、抵押分散风险:投保险接受风险：小风险、剩余风险三、风险评估企业内部控制与风险管理(内部培训)Page23四、控制活动定义:在风险评估的基础上保证管理层的指令得到贯彻执行的政策和程序；包括审批、授权、验证、调节、经营评价、资产保护等职责的分离的活动企业内部控制与风险管理(内部培训)职务分离的目的：确保没有一个人被赋予过多的责任：无人能利用其正当工作地位进行犯罪和非法隐瞒。2、职务分离授权资产保管执行资产处置维护记录的受托报告责任交易授权维护记录的受托报告责任资产保管四、控制活动企业内部控制与风险管理(内部培训)销售流程固定资产投资预算的编制与审批；固定资产采购、验收与款项支付。固定资产资金支付的审批与执行；资金的保管、记录与清点盘查。资金管理合同协议管理客户信用管理、与销售合同协议的审批、签订；销售货款的确认、回收与相关会计记录。合同协议的拟定与审批；合同协议的审批与执行。合同协议管理2.1不相容职务分离控制举例四、控制活动企业内部控制与风险管理(内部培训)3、财产保护控制实物保管财产记录定期盘点账实核对财产日常管理&定期清查制度

企业应严格限制未经授权的人员接触和处置资产。四、控制活动企业内部控制与风险管理(内部培训)员工薪酬调岗评优职务晋升辞退降级绩效考评结果4、建立和实施绩效考评制度四、控制活动企业内部控制与风险管理(内部培训)（1）常规的授权：范围/权限/程序/责任（2）特别授权5.授权审批的控制6.会计系统控制7.预算控制8.运营分析控制建立运营分析制度:显示与监督\督促（1）财务报告的控制：报告的审核的变动（2）会计凭证的控制（3）会计帐簿控制（4）会计复核控制（1）全面的预算管理系统（2）全面预算管理制度四、控制活动企业内部控制与风险管理(内部培训)说一套，做一套，制度放空炮：执行力较弱虽然有相关的制度，但执行力较弱。很多出问题的案例往往都不是因为制度缺乏规定，而恰恰是制度有明文规定却未能遵照执行。解决途径：将内部控制制度“固化”于企业信息系统，使员工必须遵循和执行事先设定好的业务流程和操作标准：文化建设，促使员工自觉遵循对内部控制执行情况加以检查监督，并制定相应的奖惩措施。4.1现状问题四、控制活动企业内部控制与风险管理(内部培训)经常将效率作为弱化或逾越内部控制的理由：涉及到原有利益格局的打破和调整将各项职能都较给某一个部门或某一个人去执行，没有必要的授权批准和审核，在效率上可能会很高，但由此产生的风险也急剧上升。因此，为了防止一些重大风险给企业带来灾难性损失，牺牲一定程度的效率是控制风险所必须付出的成本。、现实中经常碰到的情形是，在企业推行新的内部控制制度，往往会涉及到原有利益格局的打破和调整，这时一些管理人员便表明上以影响效率为由来反对内部控制新举措推行，实际是由于个人或部门利益受到影响。

不能过分强调成本因素而忽视内部控制制度的建设，应当合理权衡内部控制的成本和效率的关系。4.2现状问题四、控制活动企业内部控制与风险管理(内部培训)领导“一只笔”审批：缺乏完善内控制度和流程保障。事无巨细都由领导来审批，疲于应付，审批“一只笔”变成签字“一只笔”；缺乏相关信息，控制流于形式，“一只笔”就会失去控制作用，审批就会演变成一种过场；加大了责任，也不利于对领导的制约和监督，可能导致腐败。合理的内部控制应当按照重要性程度大小，适当分层授权，逐级审批。4.3现状问题四、控制活动企业内部控制与风险管理(内部培训)内部控制制度“救火式”的较多制度体系缺乏系统性和完整性，甚至政出多门，相互打架。很多企业的内部控制制度都是在发展中逐步建立起来，经常是发现管理中出现了某种问题，于是相应地出台一个制度来规范。只能防范已发生过的风险，而对未发生的风险则考虑不足。这样的制度体系无论在内容上还是形式上，都缺乏系统性和完整性企业应有一套规范的制度制定程序和形式规范，包括制度的编号、格式、分类、内容、审批程序、执行及其他应注意事项进行统一的规范化管理，并以书面形式予以约束。4.4控制活动-现状问题四、控制活动企业内部控制与风险管理(内部培训)五、信息与沟通1、定义：识别、捕捉处理并报告内外部信息有效将信息向公司内部(横向或纵向)及公司外部传递企业内部控制与风险管理(内部培训)Page34五、信息与沟通2、建立信息与沟通机制一：确保及时沟通，促进内控的有效运行1、信息收集2、信息传递二、信息系统1、内部（1）采购（2）销售交易（3）内部营业活动（4）会计制度：确认/记录/归类/报告与披露2、外部三、沟通信息及时提供给适当人员四、建立反舞弊机制1、滥用职权2、财务报告3、未经授权4、不当得利五、完善投诉与举保人保护制度企业内部控制与风险管理(内部培训)3、信息的质量内容恰当?信息及时吗?信息是现时的吗?信息是正确的吗?信息是可以取得的吗?五、信息与沟通企业内部控制与风险管理(内部培训)六、监督1、定义：内部审计:对内控体系的运行进行监控，评价该体系的在一个期间内的运行质量的过程是一种独立、客观、的确认和咨询的活动目的增加价值和改善组织的运营,通过应用系统的规范的方法、评价并改善风险管理、控制和治理的效果,帮助组织实现其目标企业内部控制与风险管理(内部培训)3、内部控制监督制度企业应制定内部控制监督制度，明确内部审计机构和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求内部控制监督制度是企业内部控制的重要组成部分，贯穿于内部控制活动的各个环节，是确保企业内部控制高效运行的重要保障六、监督企业内部控制与风险管理(内部培训)4、内部控制缺陷认定标准设计缺陷:由于内部控制本身设计的问题而带来的技术性缺陷,往往因为设计人员知识缺乏、对业务环境和事项不熟悉而产生的.运行缺陷:在内部控制施行的过程中由于偏离内部控制标准或执行不力而产生的缺陷.六、监督企业内部控制与风险管理(内部培训)七、内部控制评价1、定义：监督内部控制体系的设计和运行是否有效,以实现控制目标查找、分析内部控制缺陷并督促落实整改。及时堵塞管理漏洞、持续揭示和防范风险,保证内部控制设计、执行随环境变化而改进企业内部控制与风险管理(内部培训)7、内部控制的局限性一、组织建立的目标出现的问题二、人为判断错误三、管理层的三方串通四、管理层凌驾于内部控制之上五、成本效益原则六、突发事件七、内部控制评价企业内部控制与风险管理(内部培训)第二章职业舞弊定义：利用个人职权,通过预谋的滥用组织资源为个人谋取利益关键特征1、秘密的2、违背雇员对组织的信托义务3、直接或间接为个人谋取利益4、耗费企业资产或资源或收入企业内部控制与风险管理(内部培训)2、职业舞弊的危害由于舞弊导致的平均损失相当与一个公司的平均年收入%?第二章职业舞弊企业内部控制与风险管理(内部培训)讨论:什么样的人会职业舞弊?1、贪心2、有需求3、有机会4、不检查第二章职业舞弊企业内部控制与风险管理(内部培训)3、职业舞弊理论3.1“破窗”理论

犯罪学家凯琳著名的“破窗理论”说的是：一座城市建筑物的窗户玻璃被人打破了，如果得不到及时修复，别人就可能得到某种暗示性的纵容去打烂更多的玻璃，其结果是在麻木不仁的氛围中，这座城市的建筑物就会出现越来越多的破窗。第二章职业舞弊企业内部控制与风险管理(内部培训)3.2冰山理论能看到的只是表面很少的一部分——行为，而更大一部分的内在世界却藏在更深层次，第二章职业舞弊企业内部控制与风险管理(内部培训)3.3三角理论：自我合理化第二章职业舞弊企业内部控制与风险管理(内部培训)资金收入不入帐虚假支付资产转移利于冲突行贿受贿敲诈非法赠予虚假收入收入与成本确认时间差腐败盗用资产虚假报表4、职业舞弊类型第二章职业舞弊企业内部控制与风险管理(内部培训)5、问题讨论问：防止舞弊是否是内控的主要目标？答：不是，但为了实现内控的主要目标，各种控制活动在执行过程往往会达到防止舞弊的作用问：防止舞弊主要通过何种途径实现？答：主要通过营造或改善企业的控制环境，其次是通过具体的控制活动和监督第二章职业舞弊企业内部控制与风险管理(内部培训)第三章内部控制建立企业内部控制与风险管理(内部培训)一、谁来主导内控第三章内部控制建立企业内部控制与风险管理(内部培训)5个标尺1、量化（多长，才算长）2、细化（职责的细化）3、流程化（肯德基的洗抹布）3个步骤结果：如果完成了，会达成什么样的结果（如企业文化—人员流失率减少行动：需要采取什么样的行动才能达成目标2个答案合同协议管理数量、质量（如B品率）、安全（环境）\成本、时间SMART（具体、可衡量、相关、时间、可完成）1个原则二、确认目标第三章内部控制建立1、目标的重要性企业内部控制与风险管理(内部培训)三:风险识别1、核心业务领域、地区、单位、部门、流程、岗位2、占收入、费用、或利润比重较大的项目3、对实现企业目标影响重大的领域4、对已经存在明显的隐患领域5、有检举、投诉、纠纷的领域6、长期没有进行内外部审计的单位7、没有管理流程、绩效不明、分工不清的单位第三章内部控制建立企业内部控制与风险管理(内部培训)Page533.1风险评估方法：第三章内部控制建立固有风险与剩余风险企业内部控制与风险管理(内部培训)Page543.2风险评估方法：序号项目固有风险剩余风险

影响可能性总计影响可能性总计减低风险1流程/制度不完善不科学1000020%20001000010%100010002职业舞弊4000005%200004000003%1200080003运行机制1000030%3000100005%50025004执行差1000030%30001000010%100020005运行效率低下1000030%30001000015%150015006推委扯皮1000020%20001000010%100010007监督不到位300030%900300010%3006008结构型同虚设1000010%1000100005%5005009权责分配不合理100020%200100010%10010010激励机制不合理100020%200100010%10010011缺乏积极向上50020%10050010%505012缺乏开拓创新50020%10050010%505013缺乏守信100015%150100010%1005014人才结构不合理100015%150100010%1005015考核结果缺乏有效应用100015%150100010%10050

合计

35950

1840017550第三章内部控制建立企业内部控制与风险管理(内部培训)风险评估四:风险识别方法个别会谈调查表研讨会企业内部控制与风险管理(内部培训)五:标准制定1、识别关键绩效区(重要部门和关键流程)2、确定绩效控制点3、设定绩效控制标准六:政策制定第三章内部控制建立企业内部控制与风险管理(内部培训)七、内控政策的记录1、二维表2、流程图3、文字表述第三章内部控制建立企业内部控制与风险管理(内部培训)八、控制执行按标准严格执行内控政策需制定的内控政策同相关人员进行充分沟通人员的培训严格的执行第三章内部控制建立企业内部控制与风险管理(内部培训)九、执行的制度设计再好的内部控制,如果没有得到始终如一的严格执行,就是一文空纸.第三章内部控制建立企业内部控制与风险管理(内部培训)十、如何确保内控的执行?第三章内部控制建立1、制度宣导（1）培训（2）制度制定前的充分沟通2、执行(1)建立执行性的文化(2)选择执行性的人才(3)执行性的制度：增加违反成本3、高级管理者以身作责（榜样的力量是无穷）企业内部控制与风险管理(内部培训)十一、效果检测检测内控执行效果A:执行过程中的检测:主动检测:如定期对各部门工作报告进行复核:预算执行情况的定期复核被动检测:如突发事件其他反馈(员工、供应商、客户)单独的评估(内控评价)自我评估内部审计外部审计第三章内部控制建立企业内部控制与风险管理(内部培训)风险1、战略过于激进（1）脱离实际能力（2）偏离主业2、主观原因频繁变动：导致资源浪费战略发展内部控制战略实施1、制定年度目标2、编制全面预算3、战略宣导：信息传递4、实施监督1、战略发展内部控制定义：制定长远的发展目标与战略规划第四章:业务模块内部控制企业内部控制与风险管理(内部培训)管理制度会计系统控制定期检查票据及印章的管理1、帐户的开立2、银行对帐单

1、授权/批准/审验2、职责与权限：定期轮岗3、岗位分离（1）支付审批与执行（2）保管、记录、盘点（3）会计记录与审计监督4、建立责任追究制度1、规范资金的收支2、程序3、审批权限

1、预留印签管理：分开管理（1）个人章：授权保管（2）财务章：专人保管2、票据的管理资金管理风险2、资金的内部控制风险：1、筹资决策不当2、投资决策不当3、调度不合理4、管控不严：挪用、占用、抽逃第四章:业务模块内部控制企业内部控制与风险管理(内部培训)一、授权分离：请购/审批/购买/验收/审核/付款/采购评估1、记帐与保管2、审核及执行3、授权与执行原则：1、纵向：独立不同部门的完成2、横向：上下级的监督（二）建立价格监督机制付款采购合同管理购买1、采购业务的集中2、采购员的定期轮换3、不得同一人完成采购全程（小额采购除外）4、请购制度5、请购各环节的记录，以备追述审计。.1、全方位的内部审计（1）签约审计：虚假采购/盲目采购（2）结算审计：是否按合同付款（3）消耗审计：计划与实际的差异2、审查采购合同价格3、采购成本风险对策（1）采购市场调查与信息收集（2）建立严格采购制度：明确责任与关系（3）报价及价格审批超过金额的必须有3个以上供应商报价。（4）建立供应尚档案的准入机制（5）建立价格档案及价格评价体系3、采购业务内部控制风险1、计划不合理：短缺或积压2、供应商选择不当：招标及定价机制不科学，授权审批不规范3、验收不规范1、依据付款凭证而不是采购凭证2、明确付款审核人的权利与义务授权/岗位分离第四章:业务模块内部控制企业内部控制与风险管理(内部培训)规范管理流程1、取得、验收、发出/盘点：强化会计的出入库等相关记录2、建立存货岗位责任制3、重视验收工作：规范验收程序与方法4、建立存货保管制度（1）储存条件及保险5、详细的出入库、盘点记录6、明确权限：（1）领用（2）发出4、资产管理内部控制风险：积压或短缺：资金占用及存货贬值第四章:业务模块内部控制资产管理内部控制岗位分工与授权1、请购、审批、执行2、采购、验收、付款、3、保管与记录4、发出申请、审批、记录5、处置申请、审批、记录企业内部控制与风险管理(内部培训)应收帐款管理制度信用的审批制度销售1、新客户：信用的保证制度2、加强销售的退回管理1、严格考核2、实施奖罚：合理的清收奖励制度3、销售部门负责收款4、会计系统的控制（1）销售、发货、回款.1、销售与信用的审核分开2、销售业务的授权制度5、销售业务的内部控制风险1、销售过程的舞弊2、客户信用管理不到位：款项回收不力3、销售政策不当（1）渠道管理不当（2）市场预测不准A：销售不畅B：货品的积压第四章:业务模块内部控制企业内部控制与风险管理(内部培训)合同管理合同订立合同履行合同相关制度1