内控管理：企业内部控制讲义

风险管理是企业管理的纲•昨天的竞争靠成本，谁成本低，谁就有竞争力•今天的竞争靠技术，谁能创新技术，不断地研发出技术附加值高的新产品，谁就有竞争力•明天的竞争靠风险管理，谁少犯错误，谁不犯大错误•成本和技术只是决定快慢，而风险管理决定的是生死——神华股份公司的总经理凌文2012-11-26课程大纲一、正确认识风险管理与内部控制1、风险管理与内部控制的内涵2、我国内部控制基本规范3、内部控制及配套指引解读二、企业风险的识别、评价和风险管理策略三、企业内部控制体系建设1、企业内部控制体系建设的基本思路2、企业内部控制体系建设的流程与方法3、企业内部控制的制度化、流程化与岗位化4、企业内部控制的描述与改进3 立、和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业以能否为企业带来盈利等机会为标志，将风险分为纯粹风险和机会风险金和资产安全及账簿记录的准确性经营效率融入了控制环境及控制程序4.4.一体化控制：形成COSO框架，增加了遵从性目标风险管理与内部控制权威机构2012-11-267之所以要设置内部控制，就是促使企业在迈向获利目标的路上，达成管理理念，并把路上的意外惊吓减到最少。COSO2SOXCOSO1COSO2COSO2SOXCOSO1COSO2（《企业风险管理——整合明确指出，风险管二者相互融合公众公司会计改革和投资者保护法案COSOCOSO1—COSO2（内部控制—企业风险管理）作业层面公司层面作业层面公司层面信息与沟通控制活动风险评估三个层面、三个目标和五个要素分信息与沟通务位企体次业公四个层面、四个目标和八个要素美国美国“萨班斯—奥克斯利法案”•2002年6月18日美国国会参议院银行委员会以17票赞成对4票反对通过由奥克斯利和参议院银行委员会主席萨班斯联合提出的会计改革法案——《2002上市公司会计改革与投资者保护法案》。•这一议案在美国国会参众两院投票表决通过后，由布什总统在2002年7月30日签署成为正式法律，称作《2002年萨班斯-奥克斯利法案》。2012-11-26“萨班斯法案”的主要内容：•“峻法”：规定如果与财务报告有关的内部控制中有一个或多个重要缺陷，管理层就不能对财务报告的内部控制有效性作出评估结论，而且，管理层应该披露自最近一个会计年度末以来财务报告内部控制方面的所有重要缺陷。•“严刑”：公司首席执行官和首席财务官必须对财务报告的真实性宣誓，一旦公司提供了不实财务报告，这两名高管就要负相应的刑事责任，最高可能被处以10年或20年监禁的重刑,而这和美国持枪抢劫的最高刑罚是一样的。2012-11-262012-11-26企业内部控制企业内部控制基本规范上市公司2006国务院国资委2006国务院国资委2006上海深圳证券交易所财政部、证监会、审计署、银监会、保监会2012.2.23财政部企业内部控制规范体系实施中相关问题解释第1号企业内部控制基本规范企业内部控制评价指引企业内部控制审计指引企业内部控制现状企业内部控制评价指引企业内部控制审计指引企业内部控制现状促进实现发展战略促进实现发展战略高层级目标提高经营效率和效果提高经营效率和效果财务报告及相关信息真实完整财务报告及相关信息真实完整 资产安全 资产安全较低层级目标 经营管理合法合规 企业及时识别、系统分析经营活企业及时识别、系统分析经营活合理确定风险应对策略基础，包括治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化采用相应的控制措施，将采用相应的控制措施，将风险控制在可承受度之内控制活动企业对内部控制建立实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进信息与沟通企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通L监控L监控整个规范体系的基石，概念框架整个规范体系的基石，概念框架企业内部控制基本规范相互独立，相互联系为注册会计师和会计师事务所执行内部控制审计业务的执业准则对企业建立健全企业为注册会计师和会计师事务所执行内部控制审计业务的执业准则对企业建立健全企业为企业管理层对本企业内部控制有效性进行自我评价提供的指引1、是对十八项1、是对十八项关注业务2、是对每项业务的重点3、是对内部控制的基本应用指引类别具体指引第1号——组织架构第2号——发展战略第3号——人力资源第4号——社会责任第5号——企业文化控制活动类第6号——资金活动第7号——采购业务第8号——资产管理第9号——销售业务第10号——研究与开发第11号——工程项目第12号——担保业务第13号——业务外包第14号——财务报告控制手段类第15号——全面预算第16号——合同管理第17号——内部信息传递第18号——信息系统对内部控制的有效性进行全面自我评价，披露年度自我评价报告聘请具有证券、期货业务资格的会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。注册会计师不仅应当对公司财务报告内部控制有效性发表审计意见，同时还应当向投资者提示非财务报告内部控制重大缺陷。注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中，增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制规范施行时间表2011年2012年2011年创业板上市公司施行 风险管理过程图企业风险的识别•2010年中央企业全面风险管理模本•2010年—2011年财政部企业内部控制基本规范配套指引解读设定风险管理流程o设定风险管理流程o目的及目标o共同语言o结构评估风险评估风险o验明o来源o量度决策资料不断的改善管理能力订立策略决策资料不断的改善管理能力o避免o减低o接受o转移o利用监察风险管理表现设计或引进管理能力监察风险管理表现估计风险评估风险如何采取严重程度发生可能性行动•风险识别-头脑风暴（集体讨论）-专家咨询-问卷调查、管理层访谈；-行业参照、行业标杆比较；-业务流程分析；-情境分析（最好和最差情境）；-事件分析；-政策分析•定量方法可采用统计推论(如集中析法)、失效模式与影响分析、事件树分析等。风险是您实现业务目标的现存的或潜在的障碍•什么因素可能会妨碍本部门实现其关键的业务目标?•要成功,需要完成一些必要的工作和程序,而什么因素会阻碍这些工作和程序的完成和实现呢?•发生率:这些风险中,什么风险是最可能发生的?•影响:哪些风险将对本部门实现其预定目标的能力产生最重大的影响?•有什么有效的控制机制可以减少这些风险及其影响?•把风险发生可能性的高低、风险发生后对目标的影响程度，作为两个维度绘制在同一个平面上为管理和减少风险而制定的政策制度和程序2012-11-26八大关键环节董事会是内部控制和风险管理的第一责任人，是企业内部控制文化的缔造者八大关键环节2、重要风险的管控策略3、重大事件的应对4、重要信息的披露5、重大决策的制定 8、风险管理文化的培育量度什么，就会得到什么，董事会行为取向决定公司管理的行为取向量度什么，就会得到什么，董事会行为取向决定公司管理的行为取向风险管理策略2012-11-2638减少风险与集中风险•减少风险的措施就是降低风险的严重程度和发生的可能性。例如投资一个几百亿的项目，可以先对一条生产线进行投资，然后再根据实践的情况逐步加大对项目的投资，减少一次性的风•集中风险就是利用更大更高的区位来对抗风险。企业集团利用资金的集中能够解决很多问题。是确定控制结构是否有效及最大可能减少意外不测的关键进行中的监控工作单独的评估(内部审计) 风险管控自我清洁自我改善价值管理 风险管控自我清洁自我改善价值管理助推企业梳理流程完善制度细分职责自检内审内控必须以企业价值为核心，围绕企业价值设计内控体系，并进行系统的监督检查。所以，内控不是让企业增加负担，而是让企业提高效益。公司治理公司管理风险管理内部控制公司治理的关键是董事会，而董事会的职能公司治理的关键是董事会，而董事会的职能从本质上看就是控制风险。内部控制解决的是常规性风险，风险管理解决的是非常规性风险——周放生（国务院国资委企业改革局）风险管理风险管理不可替代；渗透其中4343谁对企业内部控制负责？谁对企业内部控制负责？深入理解内控规范内涵，深入理解内控规范内涵，做自己的内控评价与改进评价与改进测试与监督测试与监督流程与制度的执行制度健全与完善流程与制度的执行内控的表现形式-流程及其他思考：），话（电子邮件）…提升企业内控建设水平的方式控制制度化随着组织结构的则必须形成成文没有流程化的制度往往有缺陷且难以发成的组织结构变化，使得流程经常不符合流程化解释随意化。不能到达岗位的流程化是说明流程；通过岗位的流程化生产部门仓储保管采购部门资金管理提出请购计划编制请购2.仓储保管部门根据库存材料最低存量的需要提3.采购部门根据各部门的请购单编制采购计划4.资金管理部门审查采购计划符合经营目标并在5.采购部门根据已审核的采购计划组织进货↓请购单请购单2请购单请购单请购单请购单33采购计划采购计划采购计划采购计划44!采购计划!采购计划55内控已经深入到了每一名职员的实际工作中•例如，一名人员出差，没有内部控制制度执行前，该员工可能只要将报销的单据直接交给财务，财务核对后就可拨款给该职员。但按照美国《萨法》规定，这种报销活动则需要记录各项内容：出差原因、出差过程、资金使用情况、公司是否授权给该员工出差，该员工是否拿到了相应的出差报销费用等，以便备查。•如一家公司的采购部门，采购员从网上提出采购申请开始，依次经过形成采购计划、确定采购价格、审批签订执行合同、质量监造、运输及保险、质检入库、支付货款等业务环节，都需清晰