内部控制与风险管理

1、内控与风险培训课程：内部控制与风险管理,主讲人：张寅（教授）2013年3月,第一部分内部控制系统设计原理,第一部分内部控制系统设计原理,第一节内部控制概论第二节内部控制系统设计的意义和原则第三节内部控制系统设计的内容,第一节内部控制概论,一、内部控制的概念二、内部控制的要素三、内部控制的固有局限,一、内部控制的概念,内部控制是为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性，而自行检查、制约和调整内部业务活动的自律系统。,内部控制并不仅限于企业单位，同样也存在于其他各类经济组织和行政事业单位中。,二、内部控制的要素,（一）控制环境（二）风险评估（三）控制活动（四）信息与沟通（

2、五）监督,（一）控制环境,诚信的原则和道德价值观评定员工的能力董事会和审计委员会管理哲学和经营风格组织结构责任的分配与授权人力资源政策及实务,提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意识，是所有其它内部控制组成要素的基础,（二）风险评估,目标。企业的整体目标，通常是由企业的理念及其所追求的价值所决定的，而与之相配合的是企业下一级各部门的具体目标。风险。辨识和分析风险的过程是一种持续反复的过程，也是有效内部控制的关键组成要素。环境变化后的管理。,分析和辨认实现所定目标可能发生的风险,（三）控制活动,高层经理人员分析企业绩效直接部门管理对信息处理的控制实体控制绩效指标的比较分工（责任

3、划分）,是确保管理阶层的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。,（四）信息与沟通,信息系统。处理企业内部信息和外部信息。沟通。企业的信息系统提供有效信息给适当的人员，通过沟通，使员工能够知悉其营业、财务报告及遵循法律的责任。,（五）监督,持续的监督活动。包括例行的管理和监督活动，以及其他员工为履行其职务所采取的行动;个别评估。企业有时需要组织例外评估以直接监视控制系统的有效性，这种做法可评估持续性监督程序。报告缺陷。内部控制的缺失应由下往上报告，某些缺失应报给高层管理阶层及董事会。,由适当的人员，在适当及时的基础下，评估控制的设计和运作情况

4、的过程。,三、内部控制的固有局限,行使控制职能的管理人员滥用职权、蓄意营私舞弊不相容职务的人员相互串通作弊行使控制职能的人员素质不适应岗位要求实施内部控制的成本效益问题出现不经常发生或未预计到的经济业务,第二节内部控制系统设计的意义和原则,一、内部控制制度设计的意义二、内部控制制度设计的原则,内部控制制度设计就是为了保证企业各项业务活动的有效进行，确保资产的安全完整，防止欺诈和舞弊行为，实现经营管理目标而制定和实施的一系列具有控制职能的方法、措施和程序。,一、内部控制制度设计的意义,保证职工恪尽职守，保证业务活动按适当的授权进行，提高企业的经营效率保证会计记录和数据资料的正确性、真实性，从而保

5、证会计信息的质量保护企业财产的安全和完整，防止资产被盗用、浪费和无效率地使用保证企业各项政策以及党和国家各项政策、法令、法律的贯彻和执行为开展审计工作创造条件,二、内部控制制度设计的原则,适合控制环境的原则,按控制目标设计内部控制措施的原则,有效控制风险的原则,不相容职务分离控制的原则,业务授权处理的控制原则,财产及文件记录的安全控制原则,主要有公司治理的结构，管理层的管理思想和风险理念，对遵纪守法的态度、企业组织机构的设置及分工、员工的业务素质和道德品质、培训和考核制度，职工防范风险、化解风险的意识，以及对内部控制设计的认识、对达成控制目标的自觉性和积极性,第三节内部控制系统设计的内容,一、

6、内部控制的类型二、内部控制系统设计的总体思路三、内部控制制度的设计步骤四、企业内部控制系统设计的主要业务流程,一、内部控制的类型,（一）组织规划控制（二）授权批准控制（三）文件记录控制（四）全面预算控制（五）实物保全控制（六）职工素质控制（七）风险防范控制（八）内部报告控制（九）电算化控制（十）内部审计控制,按关键控制点的不同,（一）组织规划控制,对企业组织机构设置的控制,对职务分工的合理性和有效性所进行的控制,法人的治理结构；管理部门设置及其关系,授权批准职务与执行职务相分离业务经办职务与审核监督职务相分离业务经办职务与会计记录相分离财产保管职务与会计记录职务相分离业务经办职务与财产保管职务

7、相分离,（二）授权批准控制,明确授权批准方式：一般授权和特殊授权,建立授权批准体系,授权批准的范围授权批准的层次授权批准的责任授权批准的程序,（三）文件记录控制,建立组织机构职能图和授权审批权限一览表建立全员岗位说明书业务程序手册统一会计政策凭证编号统一会计科目,（四）全面预算控制,预算体系的建立，包括预算项目、标准和程序预算的编制和审定预算指标的下达及相关责任人或部门的落实预算执行的授权预算执行过程的监控预算差异的分析与调整预算业绩的考核,为达到企业既定目标编制的经营、资本、财务等年度收支总体计划,（五）实物保全控制,限制接近定期盘点记录保护财产保险财产记录监控,（六）职工素质控制,建立严格

8、招聘程序制定员工工作规范定期对员工进行培训定期对职工业绩进行考核，加强奖惩力度对重要岗位员工（如采购、销售、出纳）应建立职业信用保险机制工作岗位轮换,（七）风险防范控制,筹资风险评估投资风险评估信用风险评估合同风险评估,是企业一项基础性和经常性的工作，企业必要时可设置风险评估部门或岗位，专门负责有关风险的识别、规避和控制,（八）内部报告控制,建立内部管理报告体系常用的内部报告有：资金分析报告、经营分析报告、费用分析报告、资产分析报告、投资分析报告、财务分析报告等。,应体现部门的经营责任，符合“例外”管理要求,（九）电算化控制,一般控制：主要是对电算化系统构成（人、硬件、软件）及环境实施的控制应

9、用控制：对电算化处理活动进行的控制,（十）内部审计控制,内部审计是内部控制的一种特殊形式，它是一个企业内部经济活动和管理制度是否、合理和有效的独立评价机构按目的，内部审计可分为财务审计、经营审计和管理审计内部审计在企业应保持相对独立性，应独立于其他经营管理部门,二、内部控制系统设计的总体思路,组织规划：需要考虑企业的控制目标、控制环境和控制程序，确定企业的管理跨度与管理层级，并建立经济责任制度和岗位职责制度。,项目确定：主要考虑企业远景、战略和经营目标的要求；管理的“粗细”；涵盖会计控制、管理控制、业务控制和法规执行控制等。,流程设计：遵循相对的“流程一作业一任务”三个因素之间的依次关系进行。

10、,三、内部控制制度的设计步骤,（一）明确控制目标（二）设计控制流程（三）鉴别控制环节（四）设置控制措施,组织、项目设计的最实质内容就是流程的设计,（一）明确控制目标,维护财产物资的完整性保证会计信息的准确性保证财务活动的合法性保证经营决策的贯彻执行保证生产经营活动的经济性、效率性和效果性保证国家法律法规的遵守执行,（二）设计控制流程,控制流程，通常同业务流程相吻合，主要由控制点（控制环节）组成当企业的业务流程存在控制缺陷时，则需要根据控制目标和控制原则加以设计,可能发生错弊因而需要控制的业务环节,（三）鉴别控制环节,控制点按其发挥作用的程度而论，可以分为关键控制点和一般控制点关键控制点和一般控

11、制点在一定条件下是可以相互转化的,（四）设置控制措施,控制措施：为预防和发现错弊而在某控制点所运用的各种控制技术和手段实际工作中，必须根据控制目标和对象设置相应的控制技术和手段,四、企业内部控制系统设计的主要业务流程,（一）货币资金业务内部控制（二）采购与付款业务内部控制（三）生产过程内部控制（四）销售与收款业务内部控制（五）实物资产的内部控制（六）筹资与投资业务内部控制,第二部分新的企业内部控制体系,新的企业内部控制法规已经建立,我国有些企业的内部控制建设还比较到位，但总体上，我国企业的内控还比较薄弱。1995年，财政部，会计法，单位应该“加强内部会计监督”。2001年，财政部，陆续发布内部

12、会计控制规范基本规范等7项内部会计控制规范。包括货币资金、采购与付款、销售与收款、工程项目、担保、对外投资等六个具体控制规范。,新的企业内部控制法规已经建立,2002年，中国人民银行，商业银行内部控制指引2005年，银监会，商业银行内部控制评价试行办法2006年，财政部、国资委、证监会、审计署、银监会和保监会联合发起成立企业内部控制标准委员会。2006年，11月8日，企业内部控制标准委员会发布了企业内部控制规范基本规范和17个具体规范的征求意见稿。2008年6月28日，五部委（没有国资委）联合发布了我国首部企业内部控制基本规范，并于2009年7月1日起首先在上市公司范围内实施。,新的企业内部控

13、制法规已经建立,2010年4月15日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制应用指引第1号组织架构等18项应用指引、企业内部控制评价指引和企业内部控制审计指引（简称企业内部控制配套指引），自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。,具有中国特色的企业内部控制体系,人需要体检是为了防范疾病与自我保健，企业进行体检是为了防范风险与可持续发展。基本规范和应用指引是企业体检标准；评价指引是企业进行“自我体检”应当具有自觉性和持续性；审计指引属于“外部体检”

14、应当更具有专业性和公正性。企业内控规范是为企业构筑防范风险“防火墙”。企业应以管控风险求稳健扩张。企业风险管理最核心的目标是要促进企业健康、稳定、可持续发展。,总结我国经验，借鉴国际惯例，有效利用国际国内资源，充分发挥各方面积极作用，通过三到五年的努力，基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的内部控制制度体系，以及以监管部门为主导、各单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、政府监管和社会评价相结合的内部控制实施体系，推动公司、企业和其他非营利组织完善治理结构和内部约束机制，不断提高经营管理水平和可持续发展能力。,我国建立企业内部控制体系基本目标,第

15、三部分内部控制发展与国际趋同,COSO报告的主要内容,内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。重大突破：一是强调风险评估在内部控制中的重要作用；二是强调信息与沟通是强化内部控制的重要途径；三是强调对内部控制系统本身的监控是内部控制发挥作用的关键环节。,三个层面、三个目标和五个要素组成内部控制框架,内部控制与风险管理阶段,从20世纪90年代末以来，对于内部控制与风险管理研究的标志性成果，是科索委员会于2004年9月29

16、日发布的研究报告企业风险管理整合框架（又称企业风险管理综合框架）。该研究报告将内部控制上升至全面风险管理的高度来认识，描述的企业风险管理的重要构成要素、原则与概念。该框架集中关注风险管理，为董事会与管理层识别风险、规避陷阱、把握机遇、增加股东价值提供了清晰的指南。,企业风险管理与内部控制,内部控制八要素与内部控制五要素之间的关系,内部环境,目标制定,事项识别,风险评估,风险应对,控制活动,信息沟通,监控,内部环境,风险评估,控制活动,信息沟通,监控,失控案例不断爆光，风险管理警钟常鸣,1994年德国MGRM集团高息筹资投资石油期货损失13亿美元；1994年美国加州橘郡财务长雪铁龙以政府名义筹资

17、,投资票据亏损18亿美元导致橘郡政府破产；1995年里森私设账外账，投资日经期货指数损失14亿美元，直接导致巴林银行破产；1996年住友商事有色金属业务部长滨中泰男违反公司规定，从事铜的非法交易长达10年，造成了18亿美元的亏损；2001年的美国安然能源公司因虚假经营、虚构利润、隐瞒亏损而导致破产，从而引发作为世界“五大”之一的安达信会计师事务所的终结。2002年世界通信公司被揭露涉嫌虚报巨额利润，仅2001年到2002年第一季度，世界通信公司凭空捏造出38.52亿美元利润2008年法国兴业银行交易员凯维埃尔在未经授权的情况下违规操作给银行造成了近50亿欧元的损失,经济全球化与风险社会,1、经

18、济全球化大大增加了风险的来源。风险在扩散的过程中，彼此间还可能产生互动关系，产生新的风险源，增强风险的后果。2、经济全球化放大了风险的影响和潜在后果。一是相互依存的加深提高了风险后果承担者的数量；二是发达的现代通讯技术使更多的人意识到风险的潜在后果，也容易因为信息的不完整导致过度恐慌。3、经济全球化推动了全球风险意识或文化的形成。风险社会中的风险是“文明的风险”，面对共同的风险，人类有了基本的整体性共识。4、经济全球化呼唤着并推动着风险治理机制的变革。,现代企业内部控制发展的重要启示,1、反舞弊成为加强内部控制的内在需求2、市场经济越发展，企业内部控制更重要3、实施风险管理是内部控制的发展趋势

19、4、风险控制是防范经营失败的重中之重失控导致失败是市场竞争中企业面临的最大风险之一。强调风险管理与内部控制的融合，是一种思维创新。融合好，可以和谐共赢。,第四部分基本规范重点解读,一、基本规范的重要地位,基本规范自2009年7月1日起实施基本规范全文共七章五十条：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督、附则我国第一部全面规范企业内部控制的规章制度我国企业建立和实施内部控制的基础框架是统领应用指引、评价指引与鉴证指引的标准开创了中国企业内部控制体系的新局面是指导我国企业如何加强内部控制的最基本也是最主要的法律文本。,一、基本规范的重要地位,基本规范既有类似萨班斯法案的强制力，又

20、有与科索报告一样对内控实务的示范作用，既对中国企业建立内控制度提出了强制性要求，又为千差万别的中国企业建立健全内控制度提供了基本框架，既吸收了内控的国际先进理念，又充分体现了中国内部控制的现实环境要求。专家认为“这一规范的出台，是中国企业按国际化标准严格自律的宣言书，更是中国企业参与国际竞争，逐步接受并自觉遵循市场经济游戏规则，不断完善企业制度、细化管理的内在要求。”世人赞誉为“中国版的萨班斯法案”。,二、基本规范的立法宗旨,基本规范第一条开宗明义：“为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，依据中华人民共和国公

21、司法、中华人民共和国证券法、中华人民共和国会计法和其他有关法律法规，制定本规范。”,三、基本规范的适用范围,基本规范第二条指出：“本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。”1、首先在上市公司范围内施行。2、鼓励非上市的大中型企业执行。3、小企业和其他单位可以参照执行。,四、科学界定内部控制的内涵,基本规范第三条强调：内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制实施主体：一是董事会，二是监事会，三是经理层，四是全体员工。现代企业内部控制应当四管齐下，才能全面奏效。有助于企业树立全面、全员、全过程控制的先进理念。,四、科学界定内部控制的内涵,1、董事会理应是加强企业内部控制的第一责任人。2、监事会负有对董事、经理执行公司职务时违反法律、法规或者公司章程的行为进行监督的权利，在监督投资者决策行为的同时还应当切实履行监督投资者对经营者的监管职能的落实情况。,四、科学界定内部控制的内涵,3、经理层直接对一个企业的经营管理活动负责，尤其是企业总经理（首席执行官）承担重要责任。4、全体员工都应在实现内部控制中承担相应职责并发挥积极作用。管理层应当重视员工的作用，并为员工反映诉求提供信息通道。,五、准确定位内部控制的目标,内部控制是一个控制