内部控制与企业风险控制课件

企业内部控制

与全面风险管理2023/7/11企业风险管理的必要性不得不说的故事：安然公司巴林银行回顾事件发生的经过了解引致公司倒闭或严重损失的风险从案例中吸取的教训合俊玩具中航油云大科技1

为什么我们需要内部控制？企业规模从“用眼睛管理”到“一眼望不到边”

竞争环境进入了“复赛”的企业经济环境速度、不确定性、社会责任代理问题代理层级的增加内部控制合规经营、提升管理、持续发展2023/7/13竞争环境与企业的发展市场环境的变化竞争环境的变化企业规模我们该做什么：精细化管理股东（委托人）企业所有者委托代理关系经理（代理人）企业经营者聘用信息不对称代理成本基本的委托代理问题公司面临的其他治理问题公司的社会责任问题污染排放偷逃税不正当竞争操纵市场

内部审计协会列出的9大风险因素…..2023/7/17

管理层的能力

(Competenceofmanagement)

管理层的道德观(Integrityofmanagement)

近期系统变化(Recentchangesinsystems)

组织规模(Sizeofunit)

资产流动性(Liquidityofassets)

变革(Change)

复杂程度(Complexity)

快速增长(Rapidgrowth)

规章制度是否健全(Levelofregulation)2023/7/18(风险宇宙TM)资信制度知识产权财务流动资产与信贷资本结构市场财务报告营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规风险宇宙2

关于风险与风险管理2023/7/1910风险与回报的平衡风险回报风险与回报成正比

？风险调整风险后的回报冒险程度

–

不够进取冒险程度–

高危冒险程度–

理想范围企业风险风险的动态观—企业风险持续的流动于主体之内风险的组合观—风险贯穿于企业，在各个层级和单元风险识别是规避风险的基础发现一旦发生将会影响主体的潜在事项并把风险控制在风险容量之内风险管理力求实现一个或多个不同类型但相互交叉的目标——它只是实现结果的一种手段，并不是结果本身。目的是降低不确定的经营结果风险识别和评估的思路2023/7/1企业风险识别CompanyLogo12为了有效地控制风险则需要对风险进行评估

一个企业都面对各种不同的内部和外部的风险，必须对这些风险进行识别和评估

风险识别和评估就是确定和分析企业实现其目标的过程中的相关风险

风险识别和评估的一个前提条件就是已确立目标,这些目标在各个层次上相互关联并且在内部是一致的

由于经济、行业、政策法规和经营条件持续地变化,

因此需要建立机制以及时确定和处理与这些变化相关的特定风险风险识别的思路2023/7/1企业风险识别CompanyLogo13哪些风险？企业该做什么？企业做了什么？剩余风险？原有风险的变化和新的风险对早期设计的内部控制系统施加压力….2023/7/114在这个充满风险的世界里，企业该做些什么遵守和控制过程企业组织的变化内部因素外部因素

降低成本的要求工艺流程的改进和变化

市场竞争执法者观点的改变新的技术企业风险识别15风险策略避免禁止交易减少或限制交易量离开市场转移套期保险策略性联盟其他分担风险的安排小心管理投资广泛保护的安排订价反映风险程度可接受自我保险预留储备增加监督风险处理策略影响程度大小可能性转移避免小心管理可接受高低2023/7/1163《企业内部控制基本规范》2023/7/117我国内部控制的发展与国际比较美国内部控制理念方法的示范和内部控制立法分别由COSO报告和萨班斯法案来实现。COSO报告传达的信息代表了内部控制的理念和方法，对企业内部控制实务起示范作用，但本身并不具备强制效力。萨班斯法案则代表立法。我国的情况从我国的国情和内部控制发展的历程看，我国往往采用内部控制框架与立法两者合一的方式。2023/7/1182008年6月28日,财政部、证监会、审计署、银监会、保监会五部委联合发布。监督检查：政府相关监管部门，对企业建立与实施内部控制的情况进行监督检查。外审要求：具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计，出具审计报告责任主体：董事会。具体措施：内部控制的建立健全和有效实施；定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告对上市公司要求：应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告。我国的《企业内部控制基本规范》财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》2010年4月，颁布《配套指引》2011年1月1日，境内外上市公司执行2012年1月1日，上交所、深交所主板上市的公司执行2023/7/1202023/7/121整合风险管理框架：基本理念风险组合观点管理层考虑单个风险如何相互关联；管理层从业务单元层面和实体层面决定风险组合。COSO框架框架的本质建议一个共同的语言，为企业风险管理提供清晰的方向和指南。四个目标类别战略目标经营目标报告目标合规目标考虑组织的所有层面企业层面部门和分公司业务单元层面原则企业建立与实施内部控制，应当遵循下列原则：

（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。

（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。

（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。

（四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。

2023/7/122要素企业建立与实施有效的内部控制，应当包括下列要素：

（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。

（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

（五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

2023/7/1232023/7/124控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4传达管理理念-责任

-义务

-职权

-人力资源

-员工发展设定管理基调-诚信

-道德观念-能力要素1:控制环境控制要素控制类别内部环境通常发现的问题治理结构不完善，不能对管理层进行独立有效的监督与控制风险控制意识薄弱公司组织架构与公司规模、业务不匹配没有一套严格、统一的授权体系财务及信息系统管理分散没有明晰的企业文化没有岗位说明书以及合理的员工绩效考核办法2023/7/126控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4管理/控制变化确定并分析对实现企业目标有影响的风险要素2:风险评估控制要素控制类别风险评估通常发现的问题缺乏企业整体目标，包括战略目标的确定与更新下属机构与总部目标不一致，导致对风险识别的不一致缺乏风险识别与预警机制以及对新市场、新产品/服务的风险评估缺乏机制来进行定期系统的风险评估内部环境风险评估控制活动信息与沟通内部监督2023/7/128控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4管理层发展方针贯彻的程序直接的职能或活动管理物质的控制

-职权的分离要素3:控制活动控制要素控制类别实现目标的管理机制控制活动通常发现的问题缺乏全面预算管理缺乏有效项目管理缺乏有效的IT控制着重预防型控制而忽略检查型控制缺乏对控制的文档记录内部环境风险评估控制活动信息与沟通内部监督2023/7/130控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4要素4:信息和沟通控制要素控制类别经营和财务信息的准确性和及时性获取内部和外部的信息组织的沟通信息与沟通通常发现的问题信息系统无法满足财务、业务需要、向管理层及时提供正确相关的信息信息系统的设计与公司战略不一致公司上传下达不力部门或地区之间沟通不力内部环境风险评估控制活动信息与沟通内部监督2023/7/132控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4要素5:监控控制要素控制类别连续性的行动和一次性的活动反映严重问题的系统监控系统的评价内部监督通常发现的问题缺乏对内部控制的定期评估内审部门没有独立性，不能有效进行监督工作内审工作范围与计划不合理内部控制缺陷不能及时得到纠正内部环境风险评估控制活动信息与沟通内部监督2023/7/134

控制监督风险控制目标设定信息和沟通风险评估风险应对信息和沟通信息和沟通

企业风险管理内部控制规范及指引的主要内容与合规性要求内部控制基本规范内部控制指引-企业内部控制应用指引（已发布18号）、企业内部控制评价指引、企业内部控制审计指引

重要的合规性要求2023/7/135内部环境类指引组织架构发展战略人力资源社会责任企业文化2023/7/136控制活动类指引资金活动采购业务资产管理销售业务工程项目研究与开发担保业务业务外包财务报告2023/7/137控制手段类指引全面预算合同管理内部信息传递信息系统2023/7/1382023/7/139企业内部控制应用指引第1号——组织架构第一章总则第二章组织架构的设计第三章组织架构的运行股东大会董事会经理监事会公司职工(工会)选举选举聘任选举监督监督党组织信息不对称多层次的委托代理问题机会主义2023/7/141

中国公司法和治理准则构建的公司治理结构股东大会股东董事会战略审计提名薪酬与考核监事会经理人员证监会报告产生监督2023/7/142中国公司法对公司机关权力构架的设计股东大会董事会经理（高级职员）监事会股东大会是公司的权力机构。董事长是公司的法定代表人。公司职工(工会)选举选举聘任选举监督监督负责负责党组织2023/7/143企业内部控制应用指引第2号——发展战略第一章总则（应对关注的风险）第二章发展战略的制定第三章发展战略的实施从财务角度审视企业的战略与风险净资产收益率（所有者权益报酬率）总资产收益率净资产回报率总资产周转率现金量应收款周期库存周转率固定资产周转率资产负债表的数据毛利率(折旧与税前的利润)收入税率损益表的数据净利润率应付款帐龄负债资产比率流动资产负债比率流动现金负债比率财务杠杆系数企业靠什么挣钱—杜邦财务分析体系净资产收益率

=销售净利率×总资产周转率×权益乘数（赚得多）（转得快）（借的多）杜邦分析体系银行超市名酒如何评价这些白酒企业他们想如何取胜？

总目标

分解指标

责任指标杜邦财务分析体系在经营目标规划中的应用：净资产收益率的分解资产周总转率处置无用设备保证设备全年正常运转存货周转率应收账款周转率货币回笼率退货率废品率劳动生产率

销售净利率销售收入支持销售增长措施：新产品开发广告及促销

人员培训及招聘流动资产投资固定资产投资制造成本控制在销售的%

直接材料消耗量控制直接材料价格控制人工工时控制小时工资率控制制造费用控制变动销售费用率固定销售费用控制管理费用率财务费用率税费率

权益乘数负债规模理解企业风险风险的动态观—企业风险持续的流动于主体之内风险的组合观—风险贯穿于企业，在各个层级和单元风险识别是规避风险的基础发现一旦发生将会影响主体的潜在事项并把风险控制在风险容量之内综合风险水平是否能接受综合风险杠杆财务杠杆X经营杠杆2023/7/156企业内部控制应用指引第3号——人力资源第一章总则（应对关注的风险）第二章人力资源的引进与开发第三章人力资源的使用与退出2023/7/157企业内部控制应用指引第4号——社会责任第一章总则（应对关注的风险）第二章安全生产第三章产品质量第四章环境保护与资源节约第五章促进就业与员工权益保护2023/7/158企业内部控制应用指引第5号——企业文化第一章总则（应对关注的风险）第二章企业文化的建设第三章企业文化的评估2023/7/159企业内部控制应用指引第6号——资金活动第一章总则（应对关注的风险）第二章筹资第三章投资第四章营运2023/7/160企业内部控制应用指引第7号——采购业务第一章总则（应对关注的风险）第二章购买第三章付款2023/7/161企业内部控制应用指引第8号——资产管理第一章总则（应对关注的风险）第二章存货第三章固定资产第四章无形资产2023/7/162企业内部控制应用指引第9号——销售业务第一章总则（应对关注的风险）第二章销售第三章收款2023/7/163企业内部控制应用指引第10号——研究与开发第一章总则（应对关注的风险）第二章立项与研究第三章开发与保护2023/7/164企业内部控制应用指引第11号——工程项目第一章总则（应对关注的风险）第二章工程立项第三章工程招标第四章工程造价第五章工程建设第六章工程验收2023/7/165企业内部控制应用指引第12号——担保业务第一章总则（应对关注的风险）第二章调查评估与审批第三章执行与监控2023/7/166企业内部控制的完善：

以担保业务为例第一章总则第二章调查评估与审批第三章执行与监控2023/7/167担保业务应当关注的风险对担保申请人的资信状况调查不深，审批不严或越权审批，可能导致企业担保决策失误或遭受欺诈。对被担保人出现财务困难或经营陷入困境等状况监控不力，应对措施不当，可能导致企业承担法律责任。担保过程中存在舞弊行为，可能导致经办审批等相关人员涉案或企业利益受损。2023/7/168担保业务的审批指定相关部门负责办理担保业务，对担保申请人进行资信调查和风险评估企业在对担保申请人进行资信调查和风险评估时，应当重点关注以下事项：（一）担保业务是否符合国家法律法规和本企业担保政策等相关要求。（二）担保申请人的资信状况，一般包括：基本情况、资产质量、经营情况、偿债能力、盈利水平、信用程度、行业前景等。（三）担保申请人用于担保和第三方担保的资产状况及其权利归属。（四）企业要求担保申请人提供反担保的，还应当对与反担保有关的资产状况进行评估。企业对担保申请人出现以下情形之一的，不得提供担保：（一）担保项目不符合国家法律法规和本企业担保政策的。（二）已进入重组、托管、兼并或破产清算程序的。（三）财务状况恶化、资不抵债、管理混乱、经营风险较大的。（四）与其他企业存在较大经济纠纷，面临法律诉讼且可能承担较大赔偿责任的。（五）与本企业已经发生过担保纠纷且仍未妥善解决的，或不能及时足额交纳担保费用的。建立担保授权和审批制度采取合法有效的措施加强对子公司担保业务的统一监控企业为关联方提供担保的，与关联方存在经济利益或近亲属关系的有关人员在评估与审批环节应当回避。对境外企业进行担保的，应当遵守外汇管理规定，并关注被担保人所在国家的政治、经济、法律等因素。被担保人要求变更担保事项的，企业应当重新履行调查评估与审批程序。2023/7/169担保业务的日常控制根据审核批准的担保业务订立担保合同担保经办部门应当加强担保合同的日常管理，定期监测被担保人的经营情况和财务状况加强对担保业务的会计系统控制及时收集、分析被担保人担保期内经审计的财务报告等相关资料，持续关注被担保人的财务状况、经营成果、现金流量以及担保合同的履行情况，积极配合担保经办部门防范担保业务风险加强对反担保财产的管理，妥善保管被担保人用于反担保的权利凭证，定期核实财产的存续状况和价值，发现问题及时处理，确保反担保财产安全完整。建立担保业务责任追究制度妥善保管担保合同、与担保合同相关的主合同、反担保函或反担保合同，以及抵押、质押的权利凭证和有关原始资料2023/7/170企业内部控制应用指引第13号——业务外包第一章总则（应对关注的风险）第二章承包方选择第三章业务外包实施2023/7/171企业内部控制应用指引第14号——财务报告第一章总则（应对关注的风险）第二章财务报告的编制第三章财务报告的对外提供第四章财务报告的分析利用2023/7/172企业内部控制应用指引第15号——全面预算第一章总则（应对关注的风险）第二章预算编制第三章预算执行第四章预算考核2023/7/173企业内部控制应用指引第16号——合同管理第一章总则（应对关注的风险）第二章合同的订立第三章合同的履行2023/7/174企业内部控制应用指引第17号——内部信息传递第一章总则（应对关注的风险）第二章内部报告的形成第三章内部报告的使用2023/7/175企业内部控制应用指引第18号——信息系统第一章总则（应对关注的风险）第二章信息系统的开发第三章信息系统的运行与维护企业内部控制评价指引第一章总则第二章内部控制评价的内容第三章内部控制评价的程序第四章内部控制缺陷的认定第五章内部控制评价报告2023/7/1762023/7/1772023/7/1782023/7/1792023/7/180企业内部控制审计指引第一章总则第二章计划审计工作第三章实施审计工作第四章评价控制缺陷第五章完成审计工作第六章出具审计报告第七章记录审计工作2023/7/1815

谁对企业内部控制负责?董事会负责内部控制的建立健全和有效实施经营管理层负责组织领导企业内部控制的日常运行监事会对董事会建立与实施内部控制进行监督审计委员会审查内控,监督实施和自我评价,协调审计及其他.内部审计机构或其他授权监督机构负责内部控制有效性的监督检查,是主要监督工作实施者《企业内部控制基本规范》内部控制，是由董事会、监事会、经理层和全体员工共同实施的旨在实现控制目标的过程。合理保证企业经营管理合法合规促进企业实现发展战略提高经营效率和效果资产安全财务报告及相关信息真实完整6企业如何落实和合规的执行内部控制指引执行内部控制规范的关键任务如何通过执行内部控制指引实现企业风险管理的持续改进2023/7/184执行《内控规范》的关键任务时间表2011年1月1日起在境内外同时上市的公司施行2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行在此基础上，择机在中小板和创业板上市公司施行执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师发现在内部控制审计过程中注意到的企业非财务报告内部控制重大缺陷，应当提示投资者、债权人和其他利益相关者关注。达到基本内部控制要求2023/7/185内部控制的持续改进-

从汉谟拉比法典说起Page86这偶然吗？沿用两千年的法典汉谟拉比的文治武攻内部控制的持续改进Page87RISK风险Control控制通过管理程序或活动减少风险可量化，可衡量，可以达到的业务目标Objective目标可能影响业务目标实现的事件2023/7/188企业目标,风险和内部控制的关系确定目标评估风险分析控制目标,风险和内部控制2023/7/189企业目标、风险和公司治理、内部控制的关系确定目标评估风险行动计划/责任分配分析控制目标、风险和公司治理、内部控制重点之一：风险评估内部环境风险评估控制活动信息与沟通内部监督内部环境风险评估控制活动重点之二：建立公司层面控制确立控制目标，确认关键控制，形成关键控制方档，包括框架描述和控制矩阵内部环境风险评估控制活动信息与沟通内部监督重点之三：建立健全业务层面控制的步骤记录涉及的制度办法、以及实施证据结合控制目标，梳理现行制度和办法，制定关键控制措施，落实控制责任，明确到部门和岗位识别每个流程的关键控制点及其控制目标绘制每个子流程的控制流程图确定重要业务流程及其子流程结合控制目标，梳理现行制度和办法，制定关键控制措施，落实控制责任，明确到部门和岗位识别每个流程的关键控制点及其控制目标绘制每个子流程的控制流程图确定重要业务流程及其子流程结合控制目标，梳理现行制度和办法，制定关键控制措施，落实控制责任，明确到部门和岗位识别每个流程的关键控制点及其控制目标绘制每个子流程的控制流程图确定重要业务流程及其子流程关键之一：业务层面关键控制文档——流程图关键之二：业务层面关键控制文档——控制矩阵关键控制编号控制目标关键控制责任部门控制方法控制频率实施证据制度索引1确保欠款信息准确并及时有效回收每月5号前,运销处财务科会计编制欠款统计表,财务科长审核后,提交各片区分公司评估片区销售分公司经理对用户欠款风险等级进行评估,填制分公司业务用户风险评估表,并向客户及时催收货款评定为高风险的客户,经运销处授权领导及股份公司授权领导审批后,片区销售分公司经理书面通知运销处调度员停止发货运销处财务科人工每月应收账款情况说明及其相关附表(欠款统计表***分公司有业务用户风险评估表)《XX股份有限公司应收账款管理制度》2确保长期性挂账的应收账款得到及时处理每年末,运销处财务科会计对应收账款进行账龄分析,编制坏账情况统计表,运销处财务科长及运销处长审核后,向股份公司提交用户坏账损失报告.运销处财务科人工每年应收账款账龄分析表用户坏账损失报告《XX股份有限公司应收账款管理制度》关键之三：控制缺陷与改进建议序号业务流程名称子流程名称发现改进建