全球背景下企业内部控制与风险管理(PPT 87页)bzry.pptx

全球背景下企业内部控制与风险管理 讲座大纲CH1企业内部控制的新特点CH2 企业内部控制五大目标CH3企业内部控制五大要素CH4企业各管理层内控职责CH5 内部控制制度建立CH6 企业内部控制设计模板美国汽车三大巨头乞求救援 美国当地时间2008年12月10日晚，美国众议院投票通过了向美国汽车业提供140亿美元救援贷款的议案，但在通过参议院批准之前，此项贷款是否能顺利发放到车企手中仍是未知数。美国当地时间2008年12月13日11日晚,由于美国汽车业工会拒绝接受共和党议员提出的削减工资要求,美国国会参议院否决了总额为140亿美元的汽车业救援方案。美国金融危机AIG失败 同样是经营失败，AIG的失败与1995年巴林银行倒闭事件有什么不同呢？当年巴林银行倒闭主要由“内部控制层面”的问题所致，28岁的期货期权交易部经理李森违反公司授权规定，“偷偷摸摸”地进行指数期货合约交易，从而产生巨额损失并导致巴林银行被荷兰国际集团接管。而此次AIG百年帝国的失败却出在“战略经营层面”，因为AIG成立专门部门AIG Financial Products Corp（AIGFP）并且长期向次贷市场大量提供CDS产品并非突发事件，而应该是AIG高层在“战略经营层面”作出的决定，并且此种衍生金融业务也不违背当前美国保险业监管的规定，因此是一种“光明正大”的行为。但是在这种“光明正大”的失败面前，到底谁应该为此承担责任呢？乱世用重典萨班斯奥克斯利法案 随着美国安然公司、环球电信公司会计造假丑闻的披露，暴露出美国现行公司体制中存在着弊端。为整顿上市公司秩序、维护投资者信心，美国民主党参议员萨班斯（Sar-banes）和共和党众议员奥克斯利（Oxley）联合提出了萨班斯奥克斯利法案，该法于2002年7月美国总统布什签署获得通过。萨班斯奥克斯利法案是继美国1933年证券法、1934年证券交易法以来又一部具有里程碑意义的法律，其效力涵盖了注册于美国证监会（SEC）之下的约14，000家公司，其中包括了大量的非美国公司。该法案的严肃性在于:公司治理被正式纳入联邦法律管辖范围，越来越多的财会欺诈者无论他是CEO还是CFO都将被投入监狱。安然和世通之后，美国大公司都在丑闻深渊边如履薄冰，抓坏蛋和将前车之鉴铭刻于法律条文自然成为这一阶段的主题。萨班斯奥克斯利法案强调了公司内控的重要性，从管理者、内部审计及外部审计等几个层面对公司内控作了具体规定，并设定了问责机制和相应的惩罚措施。成为继20世纪30年代美国经济大萧条以来，政府制定的涉及范围最广、处罚措施最严厉的公司法律。萨班斯奥克斯利法案1.上市公司会计监管委员会2.审计师的独立性3.公司的职责4.加强财务信息的披露5.分析员的利益冲突6.证券监管委员会的资源与权限7.研究和报告8.公司和刑事舞弊的责任9.加强对白领刑事犯罪的惩罚10.公司税务申报表11.公司的舞弊行为及其相应的责任萨班斯奥克斯利法案实质意义上市公司董事及高层管理人员的责任的加强 1.明确首席执行官和首席财务官对财务报表的书证责任：新法案要求上市公司的首席执行官（CEO）和首席财务官（CFO）对公司向美国证券交易委员会（以下简称SEC）提交的定期报表的真实准确性提供书面保证。第302条和第906条分别在民事和刑事方面直接规定了对上市公司的CEO和CFO的特别书证要求。2.为了降低公司的经营风险，新法案禁止公司向董事和高层管理人员提供私人贷款。3.董事和高层管理人员返还因公司虚假报表取得的激励性报酬和买卖股票收益。第404条:管理层对公司内部控制的评估 要求公司年报中包括一份“内部控制报告”，该报告应：1.明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任；2.包含管理层在财务年度期末对公司财务报告相关内部控制体系及程序的有效性的评估。3.受托的上市公司审计师应按照上市公司会计监管委员会对审核约定所发布或采用的准则 4.就管理层关于内部控制的评估进行鉴证并提交报告。此类鉴证约定并不构成单独的约定主体；5.SEC在提交的法案相关的报告中这样解释此条的立法目的：“委员会不希望审计师（对内部控制报告的）评估形成单独一份约定或者因此而导致审计费用的增加。”6.指导SEC进一步要求上市公司披露其是否为高级财务官员制定职业操守规范以及该规范的内容；7.指导SEC修改其以8-K表格进行即时披露的相关规则，从而要求上市公司对任何职业操守规范的修改或废止事项立即进行披露。内部控制实施的高昂代价 据财务经理国际(Financial Executives International,FEI)针对遵循SOX法案404节的实施成本对其公众成员公司进行了调查：2004年7月调查了平均收入超过25亿美元的224个公众公司，计算SOX法案404节遵循成本的估计数额。结果显示，遵循成本总额估计为314万美元，被调查的公司预计，除年度审计费用外，要向审计师支付823200美元的内部控制鉴证费用.2005年3月，FEI调查了217个平均收入超过50亿美元的公众公司，来计量SOX法案404节的遵循成本。它们的总遵循成本平均为436万，其中内部成本134万美元，外部成本172万，审计费用130万。审计费用中还没有包括公司的财务报表审计费，比平均增长57%。中国企业内部控制规范制定原则 内控标准原则：立足国情，实行创新突出重点，解决问题 降低成本，稳步推进 内控标准定位：以财务报告真实可靠为主、兼顾其他控制目标的内部控制目标体系；初步构建了以控制规范为基础、以评价规范为配套的内部控制标准体系；着手探索以政府部门为引导、广大企业主动参与的内部控制实施体系。财政部、证监会、审计署、银监会、保监会 关于印发企业内部控制基本规范的通知 (财会20087号)为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了企业内部控制基本规范，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。二00八年五月二十二日企业内部控制五大目标企业内部控制定义 内部控制是由企业董事会/监事会、管理层和全体员工共同实施的、旨在合理保证企业战略、经营的效率和效果、财务报告及管理信息的真实可靠和完整、资产的安全完整、遵循国家法律法规和有关监管要求的一系列控制活动。企业内部控制目标 1.战略目标 2.营运目标 3.报告目标 4.资产目标 5.合规目标案例：大唐电信会计信息迷雾 2006年10月28日，发布业绩预增公告，称经过公司财务部门初步测算，预计2006年全年实现盈利（上年同期亏损6.96亿元）。10月27日（周五），大唐电信收盘于10.88元，10月30日（周一）收盘于10.91元。（600198.SH）的信任感被伤害了，一位全仓购入大唐电信的投资者遭遇了4月5日跌停板后向第一财经日报表示：“我被愚弄了，大唐电信业绩不仅发生转变，而且要被*ST了。”大唐电信2007年4月5日跌停的直接原因，是其当天发布了2006年业绩预亏公告。而在五个多月前，大唐电信预计2006年将扭亏为盈。在这五个多月时间里，大唐电信股价上涨了80.97%，最高接近翻番。内部控制5要素内部控制如何降低风险？暴露的金额暴露的金额发生的发生的可能性可能性风险的大小风险的大小内部控制内部控制降降低低成成 功功内部控制的核心理念有效的有效的内部控制内部控制风险与经营回风险与经营回报的良好平衡报的良好平衡控制环境控制环境风险评估风险评估控制活动控制活动信息和沟通信息和沟通监控监控营营经经务务财财守守遵遵单位单位1单位单位2单位单位3单位单位4传达管理理念传达管理理念传达管理理念传达管理理念-责任责任责任责任-义务义务义务义务-职权职权职权职权 -人力资源人力资源人力资源人力资源 -员工发展员工发展员工发展员工发展设定管理基调设定管理基调设定管理基调设定管理基调-诚信诚信诚信诚信 -道德观念道德观念道德观念道德观念-能力能力能力能力要素要素1:控制环境控制环境控制要素控制要素控制类别控制类别 内部环境公司治理环境公司治理环境公司组织环境公司组织环境人事环境人事环境激励环境激励环境文化道德环境文化道德环境 1.公司治理环境 负负责责内内部部控控制制的的建建立立健健全全和和有效实施有效实施负负责责组组织织领领导导内内部部控控制制日日常常运行运行结结合合内内部部审审计计监监督督，对对内内部部控控制制有有效效性性进行监督检查进行监督检查股东会股东会董事会董事会经理层经理层监事会监事会对对董董事事会会建建立立与与实实施施内内部部控控制制进进行行监监督督职能部门职能部门执执行行线线监监督督线线负负责责审审查查内内部部控控制制，监监督督内内部部控控制制的的有有效效实实施施和和自自我我评评价价情情况况，协协调调内内部部控控制审计制审计审计委员会审计委员会内审机构内审机构岗位人员岗位人员监督岗位监督岗位 2.公司组织环境公司组织环境（1）组织设置的原则）组织设置的原则权责对等权责对等统一指挥统一指挥精干高效精干高效目标原则目标原则分工协作分工协作市场适应市场适应 3.人事环境岗位设置作业配置岗位关系岗位资源配置岗位任职资格（岗位人员选择）特别岗位人员特殊措施 工作轮换 强制休假 特别担保 责任保险 4.激励环境1激励的基础 优奖 业绩评价 劣惩2激励的方法 股权、股票期权、精神、物质 “两手都要抓，两手都要硬”5.文化道德环境软管理隐形控制制度真空的“填充物”陈同海双规思考 2007年6月，经中共中央批准，中共中央纪委、监察部对中国石油化工集团公司原总经理、党组书记陈同海严重违纪问题进行立案检查。陈同海在担任中国石油化工集团公司副总经理、总经理和兼任中国石油化工集团股份有限公司副董事长、董事长期间，利用职务便利，为他人谋取利益，收受钱款数额巨大；利用职权为情妇谋取巨额不正当利益；生活腐化。陈老虎在集团内的霸道是出了名的。每日挥霍4万元，一个月120万，一年就是1440万元，当纪委警告他要收敛些时，他大言不惭地说，我一年上交税款200亿，这点算什么？控制环境控制环境风险评估风险评估控制活动控制活动信息和沟通信息和沟通监控监控营营经经务务财财守守遵遵单位单位1单位单位2单位单位3单位单位4管理管理管理管理/控制变化控制变化控制变化控制变化确定确定并分析对实现企业并分析对实现企业并分析对实现企业并分析对实现企业目标有影响的风险目标有影响的风险目标有影响的风险目标有影响的风险要素要素2:风险评估风险评估控制要素控制要素控制类别控制类别1.风险识别（1）识别内部风险应关注的因素董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。组织机构、经营方式、资产管理、业务流程等管理因素。研究开发、技术投入、信息技术运用等自主创新因素。财务状况、经营成果、现金流量等财务因素。营运安全、员工健康、环境保护等安全环保因素。其他有关内部风险因素。（2）识别外部风险应关注的因素经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。法律法规、监管要求等法律因素。安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。技术进步、工艺改进等科学技术因素。自然灾害、环境状况等自然环境因素。其他有关外部风险因素。2.风险分析 评价风险的重要程度评估风险发生的概率考虑应当如何管理风险，即评估需要采取的措施。风险规避 风险降低 风险分担 风险承受 标题COSO2 企业风险管理构成内部环境内部环境 风险管理哲学风险管理哲学-风险文化风险文化-董事会董事会-诚信与道德诚信与道德-能力承诺能力承诺-管理层哲学与经营风格管理层哲学与经营风格-组织结构组织结构-责责权划分权划分-人力资源政策与实务人力资源政策与实务-环境差异环境差异信息与沟通信息与沟通 信息信息-战略性与整体系统战略性与整体系统-沟通沟通 风险评估风险评估 固有风险、剩余风险固有风险、剩余风险-可能性和影响可能性和影响-定性与定量定性与定量,工作方法、技巧工作方法、技巧-相关性相关性 风险应对风险应对 确认风险应对确认风险应对-评价可能风险应对评价可能风险应对-选择应对选择应对-组合视角组合视角控制活动控制活动 结合风险应对结合风险应对-控制行动类型控制行动类型-一般控制一般控制-应用控制应用控制-子公司具体情况子公司具体情况 监控监控 持续持续-分别评价分别评价-报告不足报告不足 事项识别事项识别 事件事件-影响战略与目标之因素影响战略与目标之因素-工作方法和技巧工作方法和技巧-相互依存事件相互依存事件-事件分类事件分类-风险与机遇风险与机遇 目标设定目标设定 战略目标战略目标-相关目标相关目标-选定目标选定目标-风险偏好风险偏好-风险容忍度风险容忍度 评估关键的风险评估关键的风险风险是您实现业务目标的现存的或潜在的障碍风险是您实现业务目标的现存的或潜在的障碍风险是您实现业务目标的现存的或潜在的障碍风险是您实现业务目标的现存的或潜在的障碍什么因素什么因素可能会可能会妨碍妨碍本部门本部门实现其关键的业务目标实现其关键的业务目标?要成功要成功,需要完成一些必要的工作和程序需要完成一些必要的工作和程序,而什么而什么因素因素会会阻碍这些工作阻碍这些工作和程序的完成和实现呢和程序的完成和实现呢?发生率发生率:这些风险中这些风险中,什么风险是什么风险是最可能发生的最可能发生的?影响影响:哪些风险将对本部门哪些风险将对本部门实现其预定目标实现其预定目标的能力产生的能力产生最重大的影响最重大的影响?有什么有什么有效的控制机制有效的控制机制可以可以减少减少这些风险及其这些风险及其影响影响?企业风险管理架构董事会审计委员会风险管理委员会风险管理部门内部稽核 运营管理根据中国证监会要求证券公司治理准则（试行）设计的企业风险管理架构根据中国证监会要求证券公司治理准则（试行）设计的企业风险管理架构董事会风险管理委员会风险管理委员会应包括独立董事，且至少有三名成员。该委员会必须要高度独立，以监控运营单位的风险管理。其职责有：协助管理层决定公司的风险取向 负责建立并维护有效的风险管理 负责监控风险信息在公司纵向或横向报告的过程，并对有关管理人员提供必要的协助制定风险管理的政策和策略提供适当的培训，在公司内部建立起一种具有风险意识的企业文化 为公司的业务部门建立内部风险政策和结构 设计风险管理的流程，并对其进行审查协调各种对组织内部风险管理问题提供建议的职能行为制定风险应对程序，包括或有事项、业务持续方案为董事会和利益相关者编制风险报告风险评值最高51722232425高41218192021中3613141516低22891011最低113457影响影响0.10.250.50.750.9可能性可能性基本不可能不太可能可能很可能基本会发生风险风险 1风险风险 5风险风险 4风险风险 2风险风险 3风险风险 8风险风险 7风险风险 6风险评估风险评估风险评估风险评估风险应对策略可可能能性性高高减少减少避免避免低低接受接受转转移移低低高高影响影响实际的风险应对战略举例减少减少质量控制，管理与标准财务控制标准操作程序检查新员工条件研发与技术发展 应急计划 结构培训与其他程序监督避免避免决定退出某一地区当检查发现客户无信用时，决定不再与该客户进行交易决定不出售明知是一种不道德的产品接受接受成本效益原则，如针对风险制定控制与其他回应决定在一个面临绑架高风险的国家运营你无法控制接受超过 1,000,000的保险费政策为提高销售数量，接受高信用风险客户转移转移1.采取保险政策2.定期维护外包给设备管理公司3.与供应商签订的合同应明确不能满足约定条件时，可以获得财务补偿4.与其他公司建立合资公司，与其共同开发商业机会风险应对方法 1.风险回避企业对走出整体风险承受能力或者具体业务层次上的可接受风险水平的风险，应当实行风险回避。2.风险承担企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后无意采取进一步控制措施的，可以实行风险承担。3.风险降低企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意单独采取进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险降低。4.风险分担企业对在整体风险承受能力和具体业务层次上的可接受风险水平之内的风险，在权衡成本效益之后愿意借助他们力量，采取包括业务分包、购买保险等进一步的控制措施以降低风险、提高收益或者减轻损失的，可以实行风险分担。平衡风险和内部控制管理平衡风险和内部控制管理审计的审计的范围范围企业风企业风险管理险管理预防预防与管理与管理层共同层共同参与参与重视交易重视交易遵守职能遵守职能重视过程重视过程协助管理层自我评价协助管理层自我评价内部审计职能内部审计职能管理层的期望管理层的期望侦察侦察加强加强咨询咨询举例举例:企业目标企业目标,风险和内部控制的关系风险和内部控制的关系目标目标1风险风险控制控制(A)短期目标短期目标:2002年度实现利润增长10%:-销售收入增长20%-经营成本降低15%(B)长期目标长期目标:在未来五年内实现利润平均每年净增长10%-由于不可靠的和不切实际的销售预测,在进出口业务中造成严重囤货和存货作废.-由于履行不平等的或不利的合同条款而造成严重损失(如赔偿损失,名誉损害)-由于未被授权的/给予过多的折扣造成毛利降低或直接亏损-严重的坏帐损失-有效的编制和控制经营计划和财务预算-采取措施增强销售预测的准确性并且只承担经过衡量并能接受的风险,比如:获得可靠的市场信息,将实际情况与预算进行比较等-在主要的经营领域建立制度和程序(须涵盖集团总部的制度和程序):销售,采购,财会,投资等举例举例:企业目标企业目标,风险和内部控制的关系风险和内部控制的关系目标目标风险风险控制控制有效的资金管理产生人民币万由于以下原因造成现金流预算的失效并造成资金危机,会导致例如供应商停止供货造成生产延误而不能执行合同的信誉损失：-与供应商和客户签订不平等或不利的合同-过长的付款条款-经常性的没有从供应商获得赊销坏帐(不当的信用控制和应收货款管理）错误的投资决策不必要的资金支出源于未经授权的多余的采购，不适当的付款和舞弊行为，付款错误等投机行为，如高风险的投资资金预算的计划和控制按月份的资金预算报告（将上月的实际发生和预算相比较制定下月的预算）信用控制制度和程序,包括信用审阅收款的制度和程序合同审阅过程对投资项目进行控制采购和付款控制防止投机行为的措施目标目标风险风险控制控制建立一个准确的，可靠的和及时的财务系统由于不准确，不可靠，不及时的财务会计和管理报告或信息而造成错误的管理决策,以及在年末才反应出来的令人不悦的经营结果由于以下因素造成的不准确，不可靠和不及时的财务和管理报告：-不合格的，能力不够的财务经理和财务人员-有弊病的财务系统：不完整或不相容，处理大量核算和交易但是财务系统没有实行电算化资源的超负荷使用严格的财务和会计制度和程序财务部门的领导能力使用适当的人员教育和培训年终结帐前的检查：检查帐目是否放映了实际情况各种控制活动：核实查证，授权，审批，对帐(银行和供应商），责任分离，资产的安全保护固定资产现场视察年度库存盘点周期性库存盘点现金库存抽查集团所有公司内部之间的对帐专业的税收和法律检查加强内部审计部门的职能举例举例:企业目标企业目标,风险和内部控制的关系风险和内部控制的关系企业目标企业目标风险风险内部控制内部控制评价评价1.2.3.4.5.小组讨论小组讨论:请将前面讨论过的企业目标请将前面讨论过的企业目标,风险风险,内部控制内部控制的关系综合起来的关系综合起来,并提出小组的见解并提出小组的见解:讨论讨论:企业目标企业目标,风险和内部控制的关系风险和内部控制的关系企业目标企业目标,风险和内部控制的关系是什么风险和内部控制的关系是什么?确定目标确定目标评估风险评估风险行动计划行动计划/责任分配责任分配分析控制分析控制目标目标目标目标,风险和内部控制风险和内部控制风险和内部控制风险和内部控制控制环境控制环境风险评估风险评估控制活动控制活动信息和沟通信息和沟通监控监控营营经经务务财财守守遵遵单位单位1单位单位2单位单位3单位单位4管理层发展方针贯彻的程序管理层发展方针贯彻的程序管理层发展方针贯彻的程序管理层发展方针贯彻的程序-直接的职能或直接的职能或直接的职能或直接的职能或活动活动活动活动管理管理管理管理-物质的控制物质的控制物质的控制物质的控制 -职权的分离职权的分离职权的分离职权的分离要素要素3:控制活动控制活动控制要素控制要素控制类别控制类别实现目标的管理机制实现目标的管理机制实现目标的管理机制实现目标的管理机制 控制活动不相容职务的分离授权批准会计系统控制预算控制财产安全控制电子信息技术控制运营分析（风险评估抑或控制活动）绩效考评1.不相容职务的分离授权授权监督监督执行执行记录记录保管保管2.授权批准一般授权特别授权预警机制3.会计系统控制 会计一方面可以从流程控制的角度发挥控制作用，另一方面，可以从信息控制的角度来发挥控制作用。建立岗位责任制可靠的凭证控制完整的簿记控制严格的核对控制规范的账务处理流程适当的会计政策和程序4.预算控制1预算编制模式“自上而下”式的编制模式“自下而上”式的编制模式“自上而下”式和“自下而上”式的相互结合2预算考核5.财产安全控制限制接近 限制接近现金 限制接近其他易变现的资产 限制接近存货 限制接近档案资料定期盘点和比较保险6.电子信息技术控制 1一般控制（1）数据中心运行控制（2）系统软件控制（3）访问安全控制（4）应用系统开发和维护控制2应用控制“制度”与“技术”之间具有互补性评估适当的控制能做什么工作来降低发生风险的可能性?这些工作或活动现在存在吗?足够吗?现有的控制活动是否明确,独特且没有彼此重复?效率效率:有没有更容易的或者成本更低的控制风险的方法?效果效果:这些控制活动是不是有效地降低了风险?为管理和减少风险而制定的政策制度和程序为管理和减少风险而制定的政策制度和程序为管理和减少风险而制定的政策制度和程序为管理和减少风险而制定的政策制度和程序控制环境控制环境风险评估风险评估控制活动控制活动信息和沟通信息和沟通监控监控营营经经务务财财守守遵遵单位单位1单位单位2单位单位3单位单位4要素要素4:信息和沟通信息和沟通控制要素控制要素控制类别控制类别经营和财务信息的准确经营和财务信息的准确经营和财务信息的准确经营和财务信息的准确性和及时性性和及时性性和及时性性和及时性获取内部和外部的信息获取内部和外部的信息获取内部和外部的信息获取内部和外部的信息组织的沟通组织的沟通组织的沟通组织的沟通 信息与沟通会计信息系统统计信息系统沟通（内部沟通、外部沟通）常规的沟通渠道 非常规的沟通渠道 申诉、举报、网站、领导接待日信息和沟通信息和沟通人们往往认识不到信息和沟通是和控制相关联的人们往往认识不到信息和沟通是和控制相关联的人们往往认识不到信息和沟通是和控制相关联的人们往往认识不到信息和沟通是和控制相关联的必须通过某种方式，在一定的时间之内明确、获得并传达沟通相关信息以确保人们能够履行其职责。信息系统提供有关财务、经营和法律法规的遵守等信息的报告，这些信息使企业的管理控制成为可能。所有员工必须从高级管理层获得明确的信息指令，即所有人都必须认真看待和履行控制职责。反舞弊机制1.反舞弊的内容 在财务报告和信息披露方面弄虚作假。未经授权、滥用职权或者采取其他不法方式侵占、挪用企业资产。在开展业务活动中非法使用企业资产牟取不当利益。企业高级管理人员舞弊给企业内部控制和经营管理可能千万的重大影响。员工单独或者串通舞弊给企业造成损失。2.完善投诉、举报管理制度 企业可以设置舞弊举报热线，明确投诉、举报处理程序、办理时限和办理要求确保投诉、举报成为企业反舞弊和加强内部控制的重要途径。控制环境控制环境风险评估风险评估控制活动控制活动信息和沟通信息和沟通监控监控营营经经务务财财守守遵遵单位单位1单位单位2单位单位3单位单位4要素要素5:监控监控控制要素控制要素控制类别控制类别连续性的行动和连续性的行动和连续性的行动和连续性的行动和一次性的活动一次性的活动一次性的活动一次性的活动反映严重问题的系统反映严重问题的系统反映严重问题的系统反映严重问题的系统监控系统的评价监控系统的评价监控系统的评价监控系统的评价监控监控是确定控制结构是否有效及最大可能减少意外不测的关键是确定控制结构是否有效及最大可能减少意外不测的关键是确定控制结构是否有效及最大可能减少意外不测的关键是确定控制结构是否有效及最大可能减少意外不测的关键内控系统需要监控内控系统的监控通过以下工作实现：进行中的监控工作单独的评估(内部审计)二者的结合内部控制的不足应当逐级向上汇报，重大问题要报最高管理层和董事会。监控基本规范指出，企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。持续性监控（一般监控或日常监控）个别监控（专项监控）缺陷报告（CEO、CFO、审计委员会）内部审计与内部控制企业内部审计的设立与科学定位：内部审计机构的职责：审计会计帐目稽查、评估内部控制制度企业内部职能部门工作效能评估向管理当局提出建议报告内部审计部门的定位：1、由审计委员会领导1、由监事会领导2、由董事会领导3、由财务副总或财务总监领导内部审计的主要目标：审查和评价业务处理授权的全面性和准确性审查和评价业务活动发生的真实性、合法性审查和评价财务与会计处理程序的合法性、合理性审查和评价各种经济信息资料的真实与完整性评价经营目标的实现程度和管理控制系统的完备性内部控制的局限内部控制的局限主要表现在：内部控制的局限主要表现在：内部管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去应有的控制效能。内部管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去应有的控制效能。内部人员相互串通作弊导致相关内部控制失去作用。内部人员相互串通作弊导致相关内部控制失去作用。内部人员素质不适应岗位要求，影响内部控制功能的正常发挥。内部人员素质不适应岗位要求，影响内部控制功能的正常发挥。成本效益问题。成本效益问题。对于不经常发生或未预计到的经济业务，原有的控制可能不适用。临时控制若对于不经常发生或未预计到的经济业务，原有的控制可能不适用。临时控制若不及时会影响内部控制的作用。不及时会影响内部控制的作用。各管理层内控职责1.董事会2.管理层3.风险管理人员4.财务负责人5.内部审计人员6.企业员工各管理层内控职责董事会1/6董事会直接影响内部环境控制基础，其在内部控制中的重要职责表现为：1.科学选择恰当的管理层并对其进行监督；2.清晰了解管理层实施有效的风险管理和内部控制的范围；3.知道并同意企业的最大风险承受能力；4.及时知悉最重大的风险以及管理层是否恰当地予以应对。各管理层内控职责管理层2/6 管理层直接对一个企业的经营管理活动负责。企业总经理（首席执行官）尤其承担重要责任，其职责包括：1.为高级管理人员提供领导和指引；2.定期与主要职能部门营销、生产、采购、财务、人力资源等部门的高级管理人员进行会谈，以便对他们的职责，包括他们如何管理风险，进行核查。各管理层内控职责风险管理人员3/6 风险管理人员的职责包括：1.建立风险管理政策；2.确定各业务单元对于风险管理的权利和义务；3.提高整个企业的风险管理能力；4.指导风险管理与其他经营计划和管理活动的整合；5.建立一套通用的风险管理语言；6.帮助管理人员制订报告规程；7.向总经理（首席执行官）报告进展和暴露的问题。各管理层内控职责财务负责人4/6 财务负责人的活动应当贯穿企业经营管理全过程，而不仅仅是财务活动。其在制订目标、确定战略、分析风险和作出管理决策等时应扮演一个关键的角色。管理层应当赋予财务负责人参与决策的权力，并支持其关注经营管理的更广范畴，局限财务负责人的关注领域和知悉范围，会削弱、制约企业的管理能力。各管理层内控职责内部审计人员5/6 内部审计人员在评价内部控制的有效性，以及提出改进建议方面起着关键作用。企业应当授予内部审计部门适当的权力以确保其审计职责的履行；对内部审计部门负责人的任免应当慎重；内部审计部门负责人与董事会或审计委员会应保持畅通沟通；应当赋予内部审计部门追查异常情况的权力和提出处理处罚建议的权力。各管理层内控职责企业员工6/6 所有员工都在实现内部控制中承担相应职责并发挥积极作用。管理层应当重视员工的作用，并为员工反映诉求提供信息通道。内控的建立和执行内控的建立和执行内部控制主体内部控制主体内部控制客体内部控制客体内部控制目标内部控制目标内部控制方式内部控制方式（一）融于管理机制的内部控制要素（一）融于管理机制的内部控制要素1.内部控制主体 企业内部控制基本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。“内部”的原则性标准内部控制主体的层次性具有层次性的内部控制主体具有层次性的内部控制主体2.内部控制客体“内部”的派生标准控制的客体包括财产（可扩展至资源？）拥有所有权；拥有所有权；信息 拥有控制权；拥有控制权；交易（交易双方至少有一方属于“内部人”）拥有使用权。拥有使用权。3.内部控制目标 企业内部控制基本规范中，内部控制的目标是：合理保证企业经营管理合法合规 资产安全 财务报告及相关信息真实完整 提高经营效率和效果 促进企业实现发展战略。4.内部控制方式 基本规范要求，企业建立与实施有效的内部控制，应当包括的要素：内部环境内部环境实施内部控制的基础（包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等）风险评估风险评估及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。控制活动控制活动根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。信息与沟通信息与沟通及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。内部监督内部监督对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。融于管理体系中的内部控制手段组织控制 组织治理 组织结构 岗位设置流程控制信息控制人事控制物理控制基本规范中的内部控制要素内部环境内部环境 风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督（二）内部控制制度设计原则全面性重要性制衡性适应性成本效益（三）企业内部控制的企业内部控制的10种方法种方法1、组织规划控制：组织规划控制：职务不兼容制度(1)杜绝交叉任职 (2)领导班子分设 管理控制机构；(1)法人治理结构;(2)管理部门设置2、授权批准控制；授权批准控制；(1)批准范围;(2)批准层次(3)批准的责任;(4)批准的程序3、全面预算控制：全面预算控制：(1)预算体系的建立;(2)预算的编制和审定;(3)预算的下达及落实(4)预算执行的授权;(5)预算执行的监控(6)预算差异的分析和调整(7)预算业绩的考核 4、会计控制系统会计控制系统(1)建立健全内部会计管理规范和监督制度(2)统一会计政策(3)统一会计科目(4)明确会计处理的程序和方法5、财产保全控制财产保全控制(1)限制直接接触;(2)定期盘点;(3)记录保护(4)财产保险;(5)财产记录监控6 、人力资源控制人力资源控制(1)建立严格的招聘程序;(2)制订员工工作规范(3)定期培训(4)加强和考核奖惩制度;(5)对重要岗位员工建立职业信用保险机制(6)工作岗位轮换;(7)提高工资和福利,加强沟通 7、风险防范控制风险防范控制(1)筹资风险评估;(2)投资风险评估(3)信用风险评估;(4)合同风险评估8、内部报告控制内部报告控制(1)资金分析报告;(2)经营分析报告;(3)费用分析报告(4)资产分析报告;(5)投资分析报告;(6)财务分析报告9、管理信息系统控制管理信息系统控制(1)加强对电子信息系统本身的控制(2)运用信息手段控制系统,减少和消除内部人为控制的影响10、内部审计控制内部审计控制根据我国公司法,董事会应对内部控制系统负责。（四）内部控制的实施与优化1.内部控制的实施内部控制的实施 态度态度设计是令企业“有法可依”；实施则是“有法必依”不能因为有对某一内部控制措施的经济合理性的质疑，而赞成一件违反程序的事情。我们要分清楚规则内选择和对规则的选择的区别。当然，这并不是鼓励“将错就错”，而是强调纠错本身的程序合法性。这一点不仅适用于普通员工，更要求管理者“身体力行”。2.内部控制的优化 财务指标+非财务指标 内部控制优化的依据 内控制度的实例演示采购和付款控制流程图采购和付款控制流程图采购和付款控制流程图采购和付款控制流程图总经理总经理总经理总经理配送中心配送中心配送中心配送中心主管主管主管主管采购员采购员采购员采购员1.1 采购政策采购政策2.2 选择供应商2.5 供应商档案修改权2.4建立供应商档案2.3质检员参与（二）内控制度的实例演示（续）请购人请购人请购人请购人配送中心配送中心配送中心配送中心主管主管主管主管采购员采购员采购员采购员4.1 填制采购申请单事业部事业部事业部事业部经理经理经理经理总经理总经理总经理总经理3.1 签订合同的要求3.2 合同审批的权限签订合同的要求合同审批的权限签订的合同4.2 批准采购申请单4.2 核准采购申请单4.6 存档4.4 登记4.3 选定供应商4.8 取消或修改订单未完成订单未完成订单4.9 审核“销售-收款”业务活动的内控制度流程 应收会计应收会计财务财务/信管委信管委出纳出纳总经理总经理草签合同信管委会签总账检查销售部门销售部门销售合同财务检查审批客户客户送货入账收款月末对帐月末对帐月末对帐下月到期应收款财务审核追款对帐单财务审核追款催款入账总账检查本月收款统计（）（）（）（）“费用支出”业务活动的内控制度流程 成本会计成本会计财务主管财务主管出纳出纳总经理总经理业务部门业务部门费用支出计划检查审批计划内借款/报销申请审核计划外借款/报销申请审核审批支出入账支出入账检查分析统计（）（）（）（）