内部控制框架与设计.ppt

《内部控制框架与设计.ppt》由会员分享，可在线阅读，更多相关《内部控制框架与设计.ppt（69页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、内部控制框架与设计内部控制框架与设计讲座大纲上：企业内部控制规范解读与实施上：企业内部控制规范解读与实施CH1 企业内部控制的新特点企业内部控制的新特点CH2 企业内部控制五大目标企业内部控制五大目标CH3 企业内部控制五大要素企业内部控制五大要素CH4 企业内部控制的局限性企业内部控制的局限性2下：企业内部控制设计与操作下：企业内部控制设计与操作CH5企业内控设计理论企业内控设计理论CH6企业内部控制设计方法企业内部控制设计方法CH7典型业务控制设计典型业务控制设计CH8案例分析案例分析3危险的风险管理危险的风险管理世界内部控制的新特点世界内部控制的新特点 法国法国兴业银行的内控行的内控遗产

2、电脑天才盖维耶尔搞垮法国兴业银行 4危险的风险管理危险的风险管理世界内部控制的新特点世界内部控制的新特点从从2006年后期起，年后期起，为了追求盈利并展示自己非凡的市了追求盈利并展示自己非凡的市场嗅嗅觉，“电脑高手高手”科科维尔凭借其熟知中后台控制手段的凭借其熟知中后台控制手段的优势，通，通过伪造文件和造文件和邮件、盗用系件、盗用系统密密码、篡改数据等手段，来构造虚改数据等手段，来构造虚拟的逆向交易，使原的逆向交易，使原先需先需实质对冲的投冲的投资组合从表面上看来已相互合从表面上看来已相互对冲，从而掩盖了巨大冲，从而掩盖了巨大的投的投资仓位和位和风险额度。度。2007年上半年，科年上半年，科维

3、尔预期欧洲股票市期欧洲股票市场将会下跌，他开始大笔做空将会下跌，他开始大笔做空股市，并因此股市，并因此为银行行赚取了巨取了巨额利利润(他本人并未从他本人并未从违规交易中牟利交易中牟利)。但从但从2008年初开始，由于美年初开始，由于美联储大幅降息，加上考大幅降息，加上考虑到到历史上全球股史上全球股市在市在1月份月份涨多跌少，因此，他又多跌少，因此，他又转为做多股市，并在欧洲各大股指做多股市，并在欧洲各大股指期期货上累上累积了了500亿欧元的欧元的头寸。寸。这一巨大的投一巨大的投资仓位已位已远超法超法兴银行自身的市行自身的市值。结果全球股市在次果全球股市在次贷危机的影响下跌危机的影响下跌势凶猛，

4、科凶猛，科维尔的豪的豪赌直接直接导致法致法兴银行高达行高达72亿美元的美元的亏损。这一一亏损额相当于相当于导致当年巴林致当年巴林银行行(9.16亿英英镑的巨的巨额亏损)倒倒闭的交易的交易亏损额的的5倍。倍。5邯郸农行被盗案2007/4/145100万元巨款，堆在一起是万元巨款，堆在一起是什么感什么感觉？就算都是百元大？就算都是百元大钞，叠在一起也有，叠在一起也有50米高，米高，总重量将近两吨，可是，重量将近两吨，可是，这笔笔谁都没都没办法一下搬法一下搬动的巨的巨款，居然从河北邯款，居然从河北邯郸市市农业银行的金行的金库里消失的无影无里消失的无影无踪，踪，这起起银行盗窃大案，震行盗窃大案，震惊全

5、国，当中的种种惊全国，当中的种种细节波波云云诡异，迷异，迷雾重重，如此离重重，如此离奇的案件究竟是怎么奇的案件究竟是怎么发生的生的？马向景任晓峰 6邯郸农行被盗案1.银行忽行忽视对员工的思想教育和工的思想教育和问题排排查，是是发生案件的源生案件的源头。2.银行管理制度的缺失和形同虚行管理制度的缺失和形同虚设，是，是发生生这起案件的漏洞。起案件的漏洞。3.银行管理行管理责任落任落实和追究不到位，是造和追究不到位，是造成案件的成案件的祸根。在外人看来，根。在外人看来，银行有行有严密的管理体系，每密的管理体系，每项业务、每个部位都、每个部位都有人有人负责管理，管理，应该万无一失。万无一失。7邯郸农行

6、被盗案5100万元金万元金库巨款被盗案件之所以巨款被盗案件之所以发生，生，农业银行邯行邯郸分行分行负有不可有不可推卸的推卸的责任，随着两名犯罪嫌疑人的落网，任，随着两名犯罪嫌疑人的落网，6天之后，天之后，农业银行行总行行也通也通报了了对邯邯郸农行盗窃案的行盗窃案的处理决定。理决定。责令令农行河北省分行行行河北省分行行长瞿建耀引咎辞瞿建耀引咎辞职；主管会；主管会计工作的副行工作的副行长邓振国、主管保振国、主管保卫工作的工作的纪委委书记徐徐跃生予以免生予以免职；邯；邯郸分行分行现金管理金管理中心在中心在岗员工下工下岗接受接受审查。同。同时受到免受到免职处理的理的还有邯有邯郸分行行分行行长、主管会主

7、管会计的副行的副行长以及主管保以及主管保卫工作的副行工作的副行长；邯；邯郸分行分行现金管理中金管理中心正、副主任也被免心正、副主任也被免职。8内部控制的号角在全球吹响美国美国萨班斯班斯奥克斯利法案奥克斯利法案用法律用法律强制性手段要求上市公司以会制性手段要求上市公司以会计信息真信息真实与完整与完整为线索提交企索提交企业内控机制及内控机制及报告体系。告体系。英国英国公司治理公司治理综合法典合法典指指导意意见(Turnbull Guidance)的目的是的目的是帮助那些在美国帮助那些在美国证监会（会（SEC）注册的非美国企）注册的非美国企业应对内部控制要求，内部控制要求，这些企些企业可可选择采用采

8、用该指指导意意见作作为其内控框架，而其内控框架，而SEC也也认可可该指指南在南在评估内部控制有效性方面的估内部控制有效性方面的权威性。威性。加拿大安大略加拿大安大略证券委券委员会之会之Multi-lateral Instrument 52-109（与（与SOX302相似）和相似）和52-111（与（与SOX404相似）要求企相似）要求企业与年与年报一同提一同提交相关内部控制交相关内部控制报告。告。9CH1 企业内部控制新特点10CH1 企业内部控制概述1.企企业内部控制定内部控制定义2.企企业内部控制特点内部控制特点3.企企业内部控制内部控制发展展4.企企业内部控制内部控制现状状11应用指南应

9、用指南具体规范具体规范中国企业内部控制标准体系基本规范基本规范基本基本规范和相关具体范和相关具体规范制定的范制定的详细解解释和和说明，主要是明，主要是为某些某些特殊行特殊行业、特殊企、特殊企业、特定内控、特定内控程序提供操作性程序提供操作性强的指引的指引根据基本根据基本规范，范，对企企业办理具体理具体业务与事与事项从从内部控制角度作出的具内部控制角度作出的具体体规定。定。规定内部控制的基本目定内部控制的基本目标、基本要素、基本原基本要素、基本原则和和总体体要求，是制定具体要求，是制定具体规范和范和应用指南的基本依据，在内控用指南的基本依据，在内控标准体系中起准体系中起统驭作用作用 12企业内部

10、控制定义内部控制是由企内部控制是由企业董事会董事会（决策、治理机构）、管（决策、治理机构）、管理理层和全体和全体员工共同工共同实施施的、旨在合理保的、旨在合理保证企企业战略、略、经营的效率和效果、的效率和效果、财务报告及管理信息的真告及管理信息的真实、可靠和完整、可靠和完整、资产的的安全完整、遵循国家法律安全完整、遵循国家法律法法规和有关和有关监管要求的一管要求的一系列控制活系列控制活动。13企业内部控制特点原则内部控制由内部控制由组织中各个中各个层级的的人人员共同共同实施，从企施，从企业负责人，人，到各个到各个业务分部、分部、职能部能部门的的负责人，直至企人，直至企业每一个普通每一个普通员工

11、，都工，都对实施内部控制施内部控制负有有责任。任。14企业内部控制特点方法内部控制在形式上表内部控制在形式上表现为一整套相一整套相互互监督、相互制督、相互制约、彼此、彼此联结的控的控制方法、措施和程序，制方法、措施和程序，这些方法、些方法、措施和程序有助于及措施和程序有助于及时识别和和处理理风险，促，促进企企业实现战略略发展目展目标，提高提高经营管理水平、信息管理水平、信息报告告质量、量、资产管理水平和法律遵循能力。管理水平和法律遵循能力。15内部控制框架三维体系的实质含义监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单

12、单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务内内 部部 环环 境境风风 险险 评评 估估控控 制制 活活 动动信信 息息 沟沟 通通监监 控控16CH2 企业内部控制目标17CH2 企业内部控制目标1.战略目略目标2.营运目运目标3.报告目告目标4.资产目目标5.合合规目目标18企业内

13、部控制的目标 1/5促促进实现发展展战略（略（战略目略目标）战略目略目标要求企要求企业将近期利益将近期利益与与长远利益利益结合起来，在企合起来，在企业经营管理中努力作出符合管理中努力作出符合战略略要求、有利于提升可持要求、有利于提升可持续发展展能力和能力和创造造长久价久价值的的选择。监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境

14、营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务内内 部部 环环 境境风风 险险 评评 估估控控 制制 活活 动动信信 息息 沟沟 通通监监 控控19企业内部控制的目标 2/5促促进提高提高经营管理效果效率管理效果效率（营运目运目标）它要求企它要求企业结合自身所合自身所处的特的特定的定的经营、行、行业和和经济环境，境，通通过健全有效的内部控制，不健全有效的内部控制，不断提高断提高劳动活活动的盈利能力和的盈利能力和管理效率。管理效率。监控监控信息和沟通信息和沟通控制活动控制活动风险

15、评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务内内 部部 环环 境境风风 险险 评评 估估控控 制制 活活 动动信信 息息 沟沟 通通监监 控控20企业内部控制的目标 3/5促促进提高信息提高信息报告告质量（量（报

16、告告目目标）可靠的信息可靠的信息报告告为企企业管理管理层提供适合其既定目的的准确而提供适合其既定目的的准确而完整的信息，支持管理完整的信息，支持管理层的决的决策和策和对营运活运活动及及业绩的的监控；控；同同时，保，保证对外披露的信息外披露的信息报告的真告的真实、完整，有利于提升、完整，有利于提升企企业的的诚信度和公信力，信度和公信力，维护企企业良好的声誉和形象。良好的声誉和形象。报告告目目标要求企要求企业通通过内部控制，内部控制，保保证信息信息报告的真告的真实、完整、完整、可靠。可靠。监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规

17、性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务内内 部部 环环 境境风风 险险 评评 估估控控 制制 活活 动动信信 息息 沟沟 通通监监 控控21企业内部控制的目标 4/5促促进维护资产安全完整（安全完整（资产目目标）资产安全完整是投安全完整是投资者、者、债权人和其他利益相

18、关者普遍关注人和其他利益相关者普遍关注的重大的重大问题，是企，是企业可持可持续发展的物展的物质基基础。良好的内部控。良好的内部控制，制，应当当为资产安全完整提供安全完整提供扎扎实的制度保障。的制度保障。监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2

19、活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务内内 部部 环环 境境风风 险险 评评 估估控控 制制 活活 动动信信 息息 沟沟 通通监监 控控22企业内部控制的目标 5/5促促进国家法律法国家法律法规有效遵循（合有效遵循（合规目目标）守法和守法和诚信是企信是企业健康健康发展的基石。展的基石。逾越法律的短期逾越法律的短期发展展终将付出沉重将付出沉重代价。合代价。合规性目性目标要求企要求企业必必须将将发展置于国家法律法展置于国家法律法规允允许的基本的基本框架之下，在守法的基框架之下，在守法的基础上上实现自自身的身的发展。展。监控监控信息和沟通信息和沟通控制活动

20、控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务内内 部部 环环 境境风风 险险 评评 估估控控 制制 活活 动动信信 息息 沟沟 通通监监 控控23CH3 企业内部控制五大要素企业内部控制五大要素242

21、-1内部环境 企企业的内部的内部环境是其他所有境是其他所有风险管理要管理要素的基素的基础，为其他要素提供其他要素提供规则和和结构。构。企企业的内部的内部环境不境不仅影响企影响企业战略和目略和目标的制定、的制定、业务活活动的的组织和和对风险的的识别、评估和反估和反应。它。它还影响企影响企业控制控制活活动、信息和沟通系、信息和沟通系统以及以及监控活控活动的的设计和和执行。行。正直&道德价值胜任能力的承诺董事会&审计委员会管理层理念&经营风格组织结构权限与责任的分配人力资源政策&程序252-2目标制定 根据企根据企业确定的任确定的任务或或预期，管理者制期，管理者制定企定企业的的战略目略目标，选择战略

22、并确定其略并确定其他与之相关的目他与之相关的目标并在企并在企业内内层层分解分解和落和落实。其中，其他相关目其中，其他相关目标是指除是指除战略目略目标之之外的其他三个目外的其他三个目标，其制定，其制定应与企与企业的的战略相略相联系。系。管理者必管理者必须首先确定企首先确定企业的目的目标，才能，才能够确定确定对目目标的的实现有潜在影响的事有潜在影响的事项。企企业风险管理就是提供管理就是提供给企企业管理者一管理者一个适当的个适当的过程，既能程，既能够帮助制定企帮助制定企业的的目目标，又能，又能够将目将目标与企与企业的任的任务或或预期期联系在一起，并且保系在一起，并且保证制定的目制定的目标与与企企业的

23、的风险偏好相一致。偏好相一致。战略目标是企业的高层次目标，与企业的任务和预期相联系并支持企业的任务和预期。经营目标是指企业经营的有效性和效率，包括业绩目标和盈利性目标，根据管理者对企业结构和经营选择的不同而变化。报告目标指企业报告的有效性，包括内部和外部报告，既涉及财务信息，也涉及非财务信息。合法性目标是指企业是否符合相关的法律和法规。262-3事项识别 不确定性的存在，即管理者不能确不确定性的存在，即管理者不能确切地知道某一事切地知道某一事项是否会是否会发生、何生、何时发生或者事生或者事项的的结果，使得企果，使得企业的管理者需要的管理者需要对这些事些事项进行行识别。而潜在事而潜在事项对企企业

24、可能有正面的影可能有正面的影响、响、负面的影响或者两者同面的影响或者两者同时存在。存在。有有负面影响的事面影响的事项是企是企业的的风险，要求企要求企业的管理者的管理者对其其进行行评估和估和反反应 风险是指某一对企业目标的实现可能造成负面影响的事项发生的可能性。对企业有正面影响的事项，或者是企业的机遇，或者是可以抵消风险对企业的负面影响的事项。机遇可以在企业战略或目标制定的过程中加以考虑，以确定有关行动抓住机遇。可能潜在地抵消风险的负面影响的事项则应在风险的评估和反应阶段予以考虑。272-4风险评估 风险评估可以使管理者了解潜在事估可以使管理者了解潜在事项如何影响企如何影响企业目目标的的实现。管

25、理。管理者者应从两个方面从两个方面对风险进行行评估估风险发生的生的可能性可能性和影响。和影响。风险发生的可能性是指某一特定事生的可能性是指某一特定事项发生的可能性，影响生的可能性，影响则是指事是指事项的的发生将会生将会带来的影响。来的影响。对于于风险的的评估估应从企从企业战略和目略和目标的角度的角度进行。行。首先，首先，应对企企业的的固有固有风险进行行评估。固有估。固有风险是是指企指企业没有采用任何管理没有采用任何管理措施可能使企措施可能使企业面面临的的风险。确定。确定对固有固有风险的的风险反反应模式就能模式就能够确定确定对固有固有风险的管理措施。的管理措施。其次，管理者其次，管理者应在在对固

26、有固有风险采取有关管理措施的采取有关管理措施的基基础上，上，对企企业的的残存残存风险进行行评估。残存估。残存风险是是指管理者采取有关的管理指管理者采取有关的管理措施后仍旧存在的措施后仍旧存在的风险。282-5风险反应 风险反反应可以分可以分为规避避风险、减少、减少风险、共担、共担风险和接受和接受风险四四类。规避避风险是指采取措施退出会是指采取措施退出会给企企业带来来风险的活的活动。减少减少风险是指减少是指减少风险发生的可能性、减少生的可能性、减少风险的影响或两者同的影响或两者同时减少。减少。共担共担风险是指通是指通过转嫁嫁风险或与他人共担或与他人共担风险，降低，降低风险发生的生的可能性或降低可

27、能性或降低风险对企企业的影响。的影响。接受接受风险则是不采取任何行是不采取任何行动而接受可能而接受可能发生的生的风险及其影响。及其影响。对于每一个重要的于每一个重要的风险，企，企业都都应考考虑所有的所有的风险反反应方案，方案，为风险反反应方案的方案的选择提供广泛的空提供广泛的空间，这也是也是对现状提出挑状提出挑战。有效。有效的的风险管理要求管理者管理要求管理者选择可以使企可以使企业风险发生的可能性和影响都生的可能性和影响都落在落在风险容忍度之内的容忍度之内的风险反反应方案。方案。292-6控制活动确保确保实现组织目目标以及以及对达成目达成目标过程的程的风险进行管理的政策和程序行管理的政策和程序

28、通常包括两个要素：确定通常包括两个要素：确定应该做什么的一个政策和影响做什么的一个政策和影响该政策的一系政策的一系列程序。列程序。可以是手工操作的或自可以是手工操作的或自动化的，化的，预防式的或防式的或发现式的，高式的，高层次的或次的或细节式的式的302-7信息与沟通信息获取外部取外部&内部信息，并衡量内部信息，并衡量绩效效向适当的人及向适当的人及时提供信息，使得他提供信息，使得他们能能够完成分派的工作完成分派的工作开开发/修改信息系修改信息系统以支撑公司以支撑公司战略略管理管理层支持支持&信息系信息系统所需的所需的资源源沟通责任的有效沟通任的有效沟通建立建立对遭受遭受怀疑的不恰当事疑的不恰当

29、事项的的报告渠道告渠道对整个整个业务流程沟通的充分性（流程沟通的充分性（这将将对财务报告告产生影响）生影响）对外部第三方沟通的适当追踪外部第三方沟通的适当追踪312-8监控内部控制系内部控制系统需被需被监督。督。监控是控是评价期价期间内部控制内部控制业绩质量的量的进程。程。监督是由适当的人督是由适当的人员，在适当及，在适当及时的基的基础下，下，评估控估控制的制的设计和运作情况的和运作情况的过程。程。它是它是对企企业内部控制整内部控制整体框架及其运行情况的跟踪、体框架及其运行情况的跟踪、监测和和调节，以自始至，以自始至终确保其有效性。确保其有效性。企企业可以通可以通过两种方式两种方式对风险管理管

30、理进行行监控控持持续监控和个控和个别评估估。持。持续监控和个控和个别评估都是用来保估都是用来保证企企业的的风险管理在企管理在企业内各管理内各管理层面和各部面和各部门持持续得得到到执行行。322-8监控 监控控还包括包括对企企业风险管理的管理的记录，对企企业风险管理管理进行行记录的程度根据企的程度根据企业的的规模、模、经营的复的复杂性和其他因性和其他因素的影响而有所不同。素的影响而有所不同。企企业风险管理的内容没有管理的内容没有记录并不意味着并不意味着风险管理无效管理无效或无法或无法对风险管理管理进行行评估。但是，适当的估。但是，适当的记录通常会通常会使使风险管理的管理的监控更控更为有效果和有效

31、率。有效果和有效率。当企当企业管理者打算向外部相关方提供关于企管理者打算向外部相关方提供关于企业风险管理管理效率的效率的报告告时，他，他们应考考虑为企企业风险管理管理设计一套一套记录模式并保持有关的模式并保持有关的记录 332-8监控持续的监督活动持持续的的监督督活活动在在营运运过程程中中发生生，它它包包括括例例行行的的管管理理和和监督督活活动，以以及及其其他他员工工为履行其履行其职务所采取的行所采取的行动。1.管管理理阶层取取得得内内部部控控制制系系统持持续发挥功功能能的的资料料，当当营运运报告告、财务报告告与与他他们所得到的所得到的资料有大偏离料有大偏离时，可，可对报告提出告提出质疑；疑；

32、2.来自外界来自外界团体的沟通，可以体的沟通，可以验证内部信息的正确性，并能及内部信息的正确性，并能及时反映反映问题的所在；的所在；3.适当的适当的组织机构及机构及监督活督活动，可用来辨，可用来辨识缺失；缺失；4.各个各个职务的分离，使不同的分离，使不同员工之工之间可以彼此相互可以彼此相互检查，以防止舞弊；，以防止舞弊；5.把信息系把信息系统所所记录的的资料同料同实际资产核核对；6.内、外部稽核人内、外部稽核人员定期提出定期提出强化内部控制系化内部控制系统的建的建议；7.培培训课程、程、规划会划会议和其他会和其他会议，可把控制是否有效的重要信息反，可把控制是否有效的重要信息反馈给管理管理阶层8

33、.定定期期要要求求员工工陈述述他他们是是否否了了解解企企业的的行行为准准则，并并加加以以遵遵守守，对于于负责业务和和财务的的员工工，则要要求求他他们陈述述某某些些特特定定控控制制是是否否都都予予执行行，管管理理阶层或或内内部部稽稽核核人人员还必必须验证这些些陈述是否确述是否确实。342-8监控个别评估个个别评估估尽尽管管持持续监督督程程序序可可以以有有效效的的评价价内内部部控控制制体体系系，但但企企业有有时需需要要组织例例外外评估估以以直直接接监视控控制制系系统的的有有效效性性，这种种做做法法可可评估估持持续性性监督程序。督程序。评估估的的范范围和和频率率，视风险的的大大小小及及控控制制的的重

34、重要性而定。要性而定。35CH4 内部控制的局限性“完美完美”内部控制是如何失效的？内部控制是如何失效的？36成本限制成本限制人员素质人员素质串通舞弊串通舞弊滥用职权滥用职权非经常事项非经常事项修订不及时修订不及时内部控制的局限内部控制的局限内部控制局限性内部控制局限性 人员素质不适应岗位要求，影响内部人员素质不适应岗位要求，影响内部控制功能的正常发挥。控制功能的正常发挥。人员相互串通作弊导致相关内部控制人员相互串通作弊导致相关内部控制失去作用。失去作用。很久之前的制度已不适用；很久之前的制度已不适用；对于不经常发生的经济业务，原有的对于不经常发生的经济业务，原有的控制可能不适用。控制可能不适

35、用。管理人员滥用职权、蓄意营私舞弊等，管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去应有的控制效能。导致内部控制失去应有的控制效能。成本效益原则。成本效益原则。37CH5 企业内控设计理论企业内控设计理论内部控制设计理论框架内内部部控控制制设设计计理理论论框框架架内部控制设计依据内部控制设计思想内部控制设计原则内部控制组织设计内部控制内容设计395-1内部控制设计依据国内内部控制规范国际内部控制框架lCOSO1：企业内部控制整合框架：企业内部控制整合框架lCOSO2：企业风险管理整合框架：企业风险管理整合框架l美国美国萨班斯萨班斯-奥克斯利法案奥克斯利法案l2008/6 2008/6 五部

36、委五部委企业内部控制基本规范企业内部控制基本规范l2006/6 2006/6 国资委国资委中央企业全面风险管理指引中央企业全面风险管理指引 l2006/9 2006/9 上海证交所上海证交所上市公司内部控制指引上市公司内部控制指引l2006/9 2006/9 深圳证交所深圳证交所上市公司内部控制指引上市公司内部控制指引l2002/9,2007/7 2002/9,2007/7 商业银行内部控制指引商业银行内部控制指引405-2内部控制设计思想遵循遵循“统筹筹规划、整体划、整体设计、急用先行、分步、急用先行、分步实施施”的原的原则坚持以持以“源源头治理治理”和和“过程控制程控制”为核心核心全面梳理

37、全面梳理现有管理制度、有管理制度、业务流程和流程和职责权限限准确准确评估估现实风险和潜在和潜在风险风险管理融入日常管理融入日常经营管理活管理活动实现管理工作的管理工作的“五化五化”：程序化、：程序化、标准化、准化、规范化、系范化、系统化和制度化和制度化化增增强企企业抵御抵御风险能力，合理保能力，合理保证目目标的的实现415-3内部控制设计原则5-7-1全面性原全面性原则5-3-2重要性原重要性原则5-3-3制衡性原制衡性原则5-3-4适适应性原性原则5-3-5成本效益原成本效益原则425-3内部控制设计原则全面性原则在组织层次上，实现全人员：涵盖企业董事会、管理层和全体员工；在范围上，实现全过

38、程：覆盖企业各项业务和管理活动，在流程上应当渗透到决策、执行、监督、反馈等各个环节；在内容上，实现全风险：包含战略风险、财务风险、市场风险、运营风险、法律风险在内的所有风险。内内内内控控控控设设设设计计计计原原原原则则则则全面性全面性重要性制衡性适应性成本效益435-3内部控制设计原则重要性原则内部控制应当在兼顾全面的基础上突出重点，针对重要业务与事项、高风险领域与环节采取更为严格的控制措施，确保不存在重大缺陷。内内内内控控控控设设设设计计计计原原原原则则则则全面性全面性重要性制衡性适应性成本效益445-3内部控制设计原则制衡性原则治理结构：股东会/董事会/组织结构和权责分配：应当科学合理并符

39、合内部控制的基本要求，确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。内内内内控控控控设设设设计计计计原原原原则则则则全面性全面性重要性制衡性适应性成本效益455-3内部控制设计原则适应性原则内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求。内部控制应随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。内内内内控控控控设设设设计计计计原原原原则则则则全面性重要性制衡性适应性成本效益465-3内部控制设计原则成本效益原则内部控制应当在保证内部控制有效性的前提下，合理权衡成本与效益的关系，争取以合理的成本实现更为有效的控制。内

40、内内内控控控控设设设设计计计计原原原原则则则则全面性重要性制衡性适应性成本效益475-4内部控制组织设计内部控制内部控制组织设计，主要包括，主要包括规范的公司法人治理范的公司法人治理结构，构，风险管理管理职能部能部门、内部、内部审计部部门和法律事和法律事务部部门以及其他有关以及其他有关职能部能部门、业务单位的位的组织领导机构及其机构及其职责。董事会董事会管理管理层风险主管主管财务总监内内审部部门其他相关部其他相关部门485-4内部控制组织设计内部审计内部审计财务总监财务总监总经理总经理董事会董事会风险主管风险主管其他相关职能部门其他相关职能部门董事会对风险管理负有监督职责，具体包括：董事会对风

41、险管理负有监督职责，具体包括：充分了解并批准认可企业风险管理充分了解并批准认可企业风险管理总体目标、风险偏好、风险承受度；总体目标、风险偏好、风险承受度；了解风险管理制度的有效性；了解风险管理制度的有效性；批准风险管理策略和重大风险管理批准风险管理策略和重大风险管理解决方案审议，批准重大决策、重大解决方案审议，批准重大决策、重大风险、重大事件和重要业务流程的判风险、重大事件和重要业务流程的判断标准或判断机制；断标准或判断机制；了解和掌握企业面临的各项重大风了解和掌握企业面临的各项重大风险及其风险管理现状，评价管理者的险及其风险管理现状，评价管理者的风险应对是否恰当；风险应对是否恰当；批准重大决

42、策的风险评估报告，批批准重大决策的风险评估报告，批准内部审计部门提交的风险管理监督准内部审计部门提交的风险管理监督评价审计报告；评价审计报告；向股东（大）会提交企业全面风险向股东（大）会提交企业全面风险管理年度工作报告；管理年度工作报告；督导企业风险管理文化的培育；督导企业风险管理文化的培育；全面风险管理其他重大事项。全面风险管理其他重大事项。495-4内部控制组织设计 其他相关职能部门其他相关职能部门内部审计内部审计总经理总经理董事会董事会风险主管风险主管内部审计内部审计财务总监财务总监总经理总经理董事会董事会风险主管风险主管其他相关职能部门其他相关职能部门企业总经理对全面风险管理工作的有效

43、性向董事会负企业总经理对全面风险管理工作的有效性向董事会负责。总经理对企业的风险管理负有最终的责任，责。总经理对企业的风险管理负有最终的责任，奠定风险管理的基调，具体职责如下：奠定风险管理的基调，具体职责如下：研究提出全面风险管理工作报告；研究提研究提出全面风险管理工作报告；研究提出跨职能部门的重大决策、重大风险、重出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断大事件和重要业务流程的判断标准或判断机制；机制；研究提出跨职能部门的重大决策风险评估研究提出跨职能部门的重大决策风险评估报告；报告；研究提出风险管理策略和跨职能部门的重研究提出风险管理策略和跨职能部门的重大风险

44、管理解决方案，并负责该方案的组大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控；织实施和对该风险的日常监控；负责对全面风险管理有效性评估，研究提负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案；出全面风险管理的改进方案；负责组织建立风险管理信息系统；负责组织建立风险管理信息系统；负责组织协调全面风险管理日常工作；负责组织协调全面风险管理日常工作；负责指导、监督有关职能部门、各业务单负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管位以及全资、控股子企业开展全面风险管理工作；理工作；办理风险管理其他有关工作。办理风险管理其他有关工作。505-4内部

45、控制组织设计大中型企大中型企业或或风险较大的企大的企业可以可以设置置风险主管。主管。风险主管的主管的职责如下：如下：制定企制定企业风险管理政策；管理政策；指指导、帮助公司、部、帮助公司、部门、职能机构能机构进行行风险管理活管理活动；建立一套通用的建立一套通用的风险管理管理语言；言；协助助传递风险信息，制定信息，制定报告告规程；程；报告告风险管理的管理的问题，提供相关建，提供相关建议。其他相关职能部门其他相关职能部门内部审计内部审计总经理总经理董事会董事会风险主管风险主管内部审计内部审计财务总监财务总监总经理总经理董事会董事会风险主管风险主管其他相关职能部门其他相关职能部门515-4内部控制组织

46、设计其他相关职能部门其他相关职能部门内部审计内部审计总经理总经理董事会董事会风险主管风险主管内部审计内部审计财务总监财务总监总经理总经理董事会董事会风险主管风险主管其他相关职能部门其他相关职能部门财务总监对于企于企业风险管理起到非常重管理起到非常重要的作用。要的作用。财务总监参与制定企参与制定企业的的预算和算和计划，划，从合从合规、经营和和报告的角度收集、告的角度收集、报告告和分析和分析业绩。财务总监帮助确立帮助确立组织的的伦理行理行为的基的基调；决定公司；决定公司报告系告系统、设计、执行和行和监控；控；对财务报表表负有主要有主要责任。任。525-4内部控制组织设计内部内部审计在在监督内部控制

47、的督内部控制的实施、施、评价价内部控制有效性以及提出改内部控制有效性以及提出改进建建议方面，起着关方面，起着关键作用。作用。内部内部审计的的职责如下：如下：评估内部控制估内部控制设计本身是否健全；本身是否健全；核核查内部控制是否得到有效内部控制是否得到有效执行；行；协助管理助管理层发现并并评价重要的价重要的风险因素，帮助改因素，帮助改进内部控制体系。内部控制体系。其他相关职能部门其他相关职能部门内部审计内部审计总经理总经理董事会董事会风险主管风险主管内部审计内部审计财务总监财务总监总经理总经理董事会董事会风险主管风险主管其他相关职能部门其他相关职能部门535-4内部控制组织设计企企业其他其他职

48、能部能部门及各及各业务单位在全面位在全面风险管理工作中，管理工作中，应接受接受风险管理管理职能部能部门和内和内部部审计部部门的的组织、协调、指、指导和和监督，督，主要履行以下主要履行以下职责：执行行风险管理基本流程；管理基本流程；研究并提出本研究并提出本职能部能部门或或业务单位重大决位重大决策、重大策、重大风险、重大事件和重要、重大事件和重要业务流程的流程的判判断断标准或判断机制；准或判断机制；研究并提出本研究并提出本职能部能部门或或业务单位的重大位的重大决决策策风险评估估报告；告；做好本做好本职能部能部门或或业务单位建立位建立风险管理管理信信息系息系统的工作；的工作；做好培育做好培育风险管理

49、文化的有关工作；管理文化的有关工作；建立、健全本建立、健全本职能部能部门或或业务单位的位的风险管管理内部控制子系理内部控制子系统；办理理风险管理其他有关工作。管理其他有关工作。其他相关职能部门其他相关职能部门总经理总经理董事会董事会风险主管风险主管内部审计内部审计财务总监财务总监总经理总经理董事会董事会风险主管风险主管其他相关职能部门其他相关职能部门545-5内部控制内容设计内部控制体系内部控制体系公司公司层面内部控制面内部控制业务层面内部控制面内部控制55COSO报告COSO2：企：企业风险管理整合框架管理整合框架监控监控信息与沟通信息与沟通控制活控制活动风险应对风险分析分析风险识别目目标设

50、定定内部内部环境境战 略略报 告告遵遵 循循运运 营分分、子子公公司司业业务务单单位位公公司司层层面面分分支支机机构构监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务监