1、内控与风险管理基础知识内控与风险管理基础知识 随着全球经济一体化进程的加快,内控与风险管理的概念已经越来越清晰。特别是,经历金融风暴后,注重风险控制的意思已经在全球范围内根植在人们脑海里。 加强内控和风险管理已经成为现代经济社会和企业管理不可逆转的趋势! 某公司重组整合后,上市与未上市单位成为一个整体。按照一体化整体协调发展的模式,客观要求内部控制也要实施一体化管理。 上市单位内部控制的现状:初步建立体系,有待完善和深入推进,强化执行力。(内部控制的(内部控制的成熟期需要成熟期需要5 5至至8 8年甚至更长的时间)年甚至更长的时间) 未上市单位内部控制的现状:刚刚起步,有待于建立完整的内控概念
2、,逐步加快推进,缩小差距。 某公司无论是上市还是未上市单位,无论是内控专职人员还是各专业管理岗位人员,都有必要系统地了解和掌握内控与风险管理的基础知识。这是我们形成内控意识、正确执行业务流程、推进控制环境建设的前提。 什么是目标与风险?什么是目标与风险?讨讨论论 如何认识内部控制与风险管理?如何认识内部控制与风险管理? 目标:目标:就是努力想要达到的状态、境界或目的。目标是行为的指向。 对于个人而言,由于愿景的不同可以有多种目标。 对于企业而言,有战略目标、经营目标等。例如:我们我们公司提出的公司提出的“打造百年辽河打造百年辽河”、“五项业务一体化整体协调发展五项业务一体化整体协调发展”和和“
3、原油产量保持在原油产量保持在10001000万吨以上万吨以上” ” 等等。等等。 对于企业内部不同的专业部门或岗位来说,围绕企业总体要求,都与相应的目标。例如:财务管理要保证工作合规和报财务管理要保证工作合规和报告真实准确;计划管理要保证完整、真实、准确、及时等。告真实准确;计划管理要保证完整、真实、准确、及时等。什么是目标与风险? 风险:风险:就是指影响目标实现的各种潜在的不确定因素。 风险可分为只带来损失的纯粹风险以及既可能带来损失又可能带来盈利的机会风险。一般情况下,我们说的是纯粹风险。 例如:企业内部有意或无意的人为差错、决策失误、操企业内部有意或无意的人为差错、决策失误、操作失误、违
4、法违规、舞弊,外部的市场环境变化、政策法规调整、作失误、违法违规、舞弊,外部的市场环境变化、政策法规调整、地缘政治、重大灾害等都可能影响目标实现。地缘政治、重大灾害等都可能影响目标实现。 风险是针对目标而言,没有目标就没有所谓的“风险风险”!什么是目标与风险? 内部控制:内部控制: 从广义上说,是指群体或组织为达到一定的目标而采取相应控制措施和行为的过程。 从企业范畴说,按照财政部等五部委发布的企业内部控制基本规范,内部控制被定义为“是由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程”。控制目标是指企业的战略目标、经营目标、报告目标和战略目标、经营目标、报告目标和合规目
5、标合规目标等等。如何认识内部控制与风险管理?企业 目标战略目标经营目标报告目标合规目标 内部控制:内部控制: 从上述内部控制的应有含义出发,至少可以得出以下认识: 1.1. 内部控制是一个围绕企业目标实施的全员、全过程、动态的控制活动。 2.2. 内部控制关注企业经营管理合法合规、财务信息真实完整以及提高经营效率和效果,注重控制内在的人为差错和风险。 3.3. 过去的企业管理行为均属于内部控制范畴,现行内部控制只是系统性地规范和强化了这种行为。 4.4. 内部控制是企业管理应有的内在要求,是我们“应该做的工作”,不是外力强加的任务。如何认识内部控制与风险管理?专业部门业务管理管理监督监督公司内
6、控监督过去过去管理管理现有现有控制控制外部机构集团公司监督区区 别别流程显现明晰责权落实制度独立监督控制风险改进优化强调执行如何认识内部控制与风险管理? 风险管理:一般地讲,就是系统地管理和控制风险。按照中央企业全面风险管理指引,全面风险管理是“指企指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系
7、、风险管理信息系统和内部控制系统,风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。从而为实现风险管理的总体目标提供合理保证的过程和方法。” 通俗理解,就是控制好企业面临的内外部风险,保证目标实现。 全面风险管理是内部控制发展的高级阶段。 内部控制理论形成和发展的五个阶段:内部牵制、内部控制制度、内部控制结构、内部控制整体框架、企业风险管理框架。国内企业大多处于内部控制整体框架阶段。集团公司(股份公司)等一批中央企业内部控制体系建设起步早,目前正处于向全面风险管理过渡阶段。 全面风险管理全面风险管理内部内部控制控制注重从制度和业务流程
8、层面规范管理,控制企业内部可能的人为风险以内部控制为基础,注重系统化管理和控制企业内部和外部风险,为实现目标提供保证 一、集团公司内部控制体系建设动因一、集团公司内部控制体系建设动因二、集团公司内部控制发展趋势二、集团公司内部控制发展趋势三、内部控制体系框架介绍三、内部控制体系框架介绍四、某公司内控体系建设与实施情况四、某公司内控体系建设与实施情况五、内控部门需要开展哪些具体工作五、内控部门需要开展哪些具体工作一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因 一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因 萨班斯-奥克斯利法案一、集团公司内部控制体系建设动因集团公司内
9、部控制体系建设动因 安然公司(安然公司(Enron)Enron)是一家美国大型能源公司,成立于1985年,公司主要从事电力、天然气配送、管道建设等业务,是世界最大的能源交易商,名列500强第七位。2001年11月,安然非法手段虚增利润5.86亿美元,隐匿债务和损失130亿美元;2001年12月,安然正式向法院申请破产保护,破产金额高达498亿美元。安然事件一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因安然事件引发一系列重量级的财务舞弊丑闻: 世界通信公司(World Com) 美国第二大长途电话公司美国第二大长途电话公司美国IBM公司(Xerox) 世界著名的计算机生产商世界著名
10、的计算机生产商摩根大通(JP Morgan Chase& Co) 全球规模最大的金融服务集团全球规模最大的金融服务集团之一之一 一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因萨班斯-奥克斯利法案 20022002年年7 7月月3030日日,布什总统正式签署萨班斯-奥克斯利法案 (简称萨奥法案,又称公众公司会计改革与投资者保护法案)一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因萨奥法案是“罗斯福时代以来有关美国商业实践影响最为深远的改革”。美国政府对萨奥法案的评价一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因萨奥法案的核心内容 萨奥法案的核心内容是“内部
11、控制”,主要体现在它的“第404条款”上。 一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因1. 管理层有责任为企业建立和维护恰当的财务报告相关的内部控制;2. 通过管理层自我测试,对与财务报告相关的内部控制有效性进行评估;3. 管理层对公司与财务报告相关的内部控制有效性必须发表直接意见,并公开声明;4. 审计师对公司内部控制进行审计测试,对管理层的自我评估报告发表评价意见,同时还将发布独立评估报告。萨奥法案404条款要求一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因萨奥法案颁布后实施美 国 本 土 上市 公 司 自2004年11月起 执 行 。凡年销售收入在5亿美元
12、以上在美国上市的外 国 公 司 ,2006年7月15日起执行。一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因法国兴业银行事件和英国巴林银行事件启示一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因 集团公司的战略目标是:集团公司的战略目标是:建设综合性国际能源公司 业务特点:业务特点:上下游、内外贸、产与销一体化;业务覆盖面广,跨地区、跨行业、跨国经营;业务类型复杂、管理层次多、管理范围广;发展迅猛。集团公司发展战略一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因国际能源公司在国内举足轻重,关系国家能源安全在国外迅速扩张,影响重大市场环境日趋复杂,风险日益增
13、加国内业务国际业务国际业务防范风险保障国家能源安全一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因法国兴业银行事件和英国巴林银行事件启示启示:启示:全面规范管理、强化风险全面规范管理、强化风险控制是国际化、信息化经营条件控制是国际化、信息化经营条件下关乎企业成败与命运的要务!下关乎企业成败与命运的要务!一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因 内部控制对公司治理的作用在于规范管理、防范风险、防微杜渐。 在确立并实施战略目标的过程中,中国石油管理层达成以下共识: 公司发展越快,风险越大,越需要完善相应公司发展越快,风险越大,越需要完善相应的控制体系和风险防范体系,
14、这样才能确保公司持续、的控制体系和风险防范体系,这样才能确保公司持续、有效、较快发展。有效、较快发展。一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因国务院国资委的监管要求 财政部等相关监管部门的要求一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因 20062006年月年月6 6日,日,国资委制定并出台国资委制定并出台中央企中央企业全面风险管理指引业全面风险管理指引,明确要求中直企业要建立全面风险管理体系,完善全面风险管理机制,报送风险管理年报。(对中央企业高标准、严要求对中央企业高标准、严要求)国务院国资委的监管要求一、集团公司内部控制体系建设动因集团公司内部控制体系
15、建设动因 20082008年年6 6月月2828日,财政部、证监会、审计署、银监日,财政部、证监会、审计署、银监会、保监会联合发布了会、保监会联合发布了企业内部控制基本规范企业内部控制基本规范。要求从2009年7月1日起率先在上市公司范围内施行,鼓励未上市的其他大中型企业执行。(中国的中国的“萨奥法案萨奥法案”)财政部等相关监管部门的要求一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因 20102010年年4 4月月2626日,财政部等五部委又联合发布:日,财政部等五部委又联合发布: 1. 1. 企业内部控制评价指引企业内部控制评价指引; 2. 2. 企业内部控制应用指引企业内部控
16、制应用指引; 3. 3. 企业内部控制审计指引企业内部控制审计指引。财政部等相关监管部门的要求一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因 企业内部控制应用指引包括组织结构、发展组织结构、发展战略、人力资源、社会责任、企业文化、资金活动、战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统合同管理、内部信息传递、信息系统18个专门应用指引,覆盖企业通用管理业务。 财政部等
17、相关监管部门的要求一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因 国家监管部门要求,企业内部控制配套指引,自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。鼓励非上市大中型企业提前执行。要求各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。 财政部等相关监管部门的要求一、集团公司内部控制体系建设动因集团公司内部控制体系建设动因国际环境国内监管防规范范风管险理二、集团公司内部控制发展趋势二、集团公司内部控制发展趋势 20032003年至年至20052005年:年:上市业务初步完成内控体系设。 200
18、62006年至年至20072007年:年:完成ARIS流程管理信息系统用。 20082008年:年:完成采油厂业务流程规范、启动ERP系统建设。 20092009年:年:全面启动未上市业务内控体系建设、推进ERP系统建设;开展分专业系统业务流程梳理与规范。 20102010年:年:加快推进未上市业务体系建设和ERP系统建设;启动海外业务、托管企业、矿区服务内控体系建设;开展通用业务和专业管理全面风险评估(两年完成两年完成) 二、集团公司内部控制发展趋势二、集团公司内部控制发展趋势从上市业务到未上市业务从国内业务到海外业务从通用业务控制到专业系统控制从内部控制到全面风险管理从一般信息化控制到ER
19、P系统控制从手工控制到信息系统控制不不断断强强化化三、内部控制体系框架介绍三、内部控制体系框架介绍重点关注内容重点关注内容 内部控制体系的五要素及其基本含义 内部控制体系五要素相互关系 什么是重要业务风险和关键控制 什么是流程图和风险控制文档三、内部控制体系框架介绍 (一)内部控制体系框架概况 中国石油以COSO内部控制整体框架为基础,融合COSO企业风险管理整体框架的主要内容,结合国家监管部门的要求,全面开展内部控制体系建设,覆盖全部业务,建立起包括控制环境、风险评估、控制活动、信控制环境、风险评估、控制活动、信息与沟通、监督息与沟通、监督五要素的内部控制体系。 三、内部控制体系框架介绍三、
20、内部控制体系框架介绍 COSOCOSO委员会:委员会:由美国注册会计师协会(AICPA)、内部审计协会(IIA)、财务经理协会(FEI)、美国会计学会(AAA)、管理会计学会(IMA)等多个专业团体组成,致力于建立完善有效的内部控制和法人治理结构以提高财务报告的质量。它从属于美国反虚假财务报告委员会。 1992年9月,COSO委员会提出COSO内部控制框架,1994年进行增补。三、内部控制体系框架介绍 (二)内部控制五要素内部控制框架(COSO)共包含五个要素 :监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A
21、A业业务务单单位位B B活活动动2 2活活动动1 1监督信息和沟通控制活动风险评估控制环境经营财务报告合规性战略COSO框架是美国证券交易委员会唯一推荐使用的内部控制框架。三、内部控制体系框架介绍控制环境 控制环境确立了风险管理的总体态度总体态度,是内部控制体系的基础,是有效实施规范业务流程管理和风险控制的保障,直接影响内部控制体系的执行、公司经营目标以及整体战略目标的实现。 控制环境直接影响企业内部控制的有效性。三、内部控制体系框架介绍 如何理解控制环境?对我们某公司而言,通俗地讲,就是大家对内控的认识态度和氛围。今天,公司各单位和部门的内控专兼职人员都能来参加培训,认真学习,就反映了大家对
22、内控工作高度重视的态度,也从一定程度上反映了公司的控制环境。 态度,往往决定着工作的成效。 辽河某公司之所以连续四年通过外部审计和管理层测试,得益于公司领导班子对内控的重视,得益于谢文彦总经理一贯强调“依法以规治企”和内控重要性,对控制环境的积极引导。控制环境三、内部控制体系框架介绍 公司内控有效性评价结果表明,内控工作成效显著的,往往都是认识明确、高度重视的单位或。在去年评出的内控优秀单位中,有的坚持“雷打不动”的月度内控工作协调会月度内控工作协调会,有的对内控工作严考核硬兑现严考核硬兑现,有的减少对外部测试的依赖,坚持开展月度自查月度自查。特别是,有的未上市单位,不等不靠,主动协调开展适用
23、流程自我检查测试,有的主动分析、研究,找准问题,有针对性开展工作。 如果所有的单位都能够像这些单位一样有明确、积极的态度,公司的控制环境将会得到进一步的改善。控制环境三、内部控制体系框架介绍 按照内部控制体系框架,控制环境具体包含那些内容?控制环境三、内部控制体系框架介绍包括诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、董事会及审计委员会、组织结构、权利和责任分配、人力资源政策与管理措施、员工胜任能力以及反舞弊机制。诚信与道德诚信与道德价值观价值观管理理念与管理理念与企业文化企业文化 Text发展目标发展目标 Text控制环境控制环境风险管理风险管理策略策略 组织结构组织结构
24、权利和责任权利和责任的分配的分配 人力资源政策人力资源政策与管理措施与管理措施 员工胜任员工胜任能力能力 反舞弊机制反舞弊机制 控制环境十要素由于由于董事会及审计委员会不适用于某公司,我们只关注其中九个要素。说明THANK YOUSUCCESS2022-5-11可编辑三、内部控制体系框架介绍1. 诚信与道德价值观2. 发展目标3. 管理理念与企业文化4. 风险管理策略5. 组织结构6. 权利和责任分配7. 人力资源政策与管理措施8. 员工胜任能力9. 反舞弊机制控制环境要素三、内部控制体系框架介绍 控制环境总体上由集团公司层面负责建设,涉及地区公司建设的内容相对较少。我们的重点任务是学习、落实
25、和执行! 某公司已经制定未上市单位内控体系控制环境未上市单位内控体系控制环境建设工作要点指引建设工作要点指引,与我们直接相关的工作内容至少应关注以下几个方面:控制环境三、内部控制体系框架介绍1.1. 学习和宣传中国石油天然气集团公司员工职业道德规范(中油政工2008299号),覆盖全员,规范全体员工的职业道德操守和行为。诚信与道德价值观 要让全体员工确切地知道违规将受到什么处罚。 2. 2. 针对违反政策和道德标准的违规行为进行处理,处理结果在本单位范围内通报。 要让员工确信违规后必定会受到处罚。3. 3. 对重大违纪事件,组织员工进行案例分析,开展警示教育。4.4. 表明对干预和越权的态度,
26、并作好记录。允许合理的干预,允许合理的干预,绝对禁止越权。绝对禁止越权。三、内部控制体系框架介绍为什么把诚信与道德价值观作为控制环境的第一要素?,直接影响其他内控要素的设计、执行和监督。三、内部控制体系框架介绍集团公司发展目标:发展目标某公司发展目标:坚持五个发展:坚持五个发展:持续稳定、科技创新、质量效益、安全清洁、全面和谐作好五篇文章:作好五篇文章:勘探增储、二次开发、科技进步、老区稳产、滩海建设五项业务:五项业务:工程技术、工程建设、装备制造、多种经营、矿区服务建设三大某:建设三大某:科技大某、绿色大某、和谐大某一定要掌握集团公司和某公司发展目标!三、内部控制体系框架介绍组织结构2. 2
27、. 建立并落实工作逐级汇报机制。1. 1. 要根据生产经营、战略发展以及环境条件变化,对组织结构实施动态评估,保证组织的效率性三、内部控制体系框架介绍权利与责任分配2. 2. 在开展员工岗位职责描述的同时,将职责分解落实到具体岗位,落实分级授权制度 。1. 1. 公司统一编制权限指引表。三、内部控制体系框架介绍人力资源政策与措施2.2. 根据生产经营工作的需要,对员工进行适当培训。1.1. 落实公司下达的业绩指标,建立业绩考核体系,对员工进行业绩考核;将业绩考核作为确定员工薪酬、奖惩及任用的依据。三、内部控制体系框架介绍员工胜任能力2. 员工岗位职责描述覆盖全部岗位。1. 在公司完成“五定”的
28、基础上,各单位对现有管理机构职能和岗位进行规范,完成各个岗位的职责权限规范描述,形成员工岗位职责描述。三、内部控制体系框架介绍舞弊舞弊是指以故意的行为获得不当或非法的利益。反舞弊机制1. 落实集团公司确定的反舞弊措施。设立举报箱、举报电话和电子举报信箱,并对外公布;建立健全对外交往工作中的群众监督举报机制。 鼓励全体员工和合作方检举任何所获知或遇到的违规行为。!2. 宣传并掌握某公司内部的举报方式:(1)直接举报;(2)电话举报:7299578 7821001(以纪委监察部的通知为准)(3)邮件举报: (4)信件举报:辽宁盘锦辽河某公司纪委监察处 邮 编:124010三、内部控制体系框架介绍
29、“抽名烟戴名表”事件:周久耕,南京江宁房产局局长,2008年年末最红的“网络名人”。在不同会议场合上抽天价烟、戴的名表,被网友曝光。 三、内部控制体系框架介绍 房产局长抽名烟戴名表事件后南京官员悄然改变穿戴。人民时评:“别别放放过过那些不抽名那些不抽名烟烟不戴名表的不戴名表的周久耕周久耕们们”。 此外,云南“躲猫猫躲猫猫”事件、上海浦东“钓鱼钓鱼执法执法”事件,我们看到 我们企业内部同样需要完善的监督体系和氛围,需要每一位员工的参与,这是搞好内控的重要基础。三、内部控制体系框架介绍 风险评估风险评估就是识别、分析相关风险以实现既定目标,是风险管理的基础。 风险评估风险评估是围绕要实现的目标开展
30、,找出并分析影响目标实现的不确定因素,即风险。风险评估三、内部控制体系框架介绍 开展内控体系建设以来,风险评估一直在集团公司层面进行,并建立专门的风险数据库风险数据库,作为建立内控体系和实施控制的依据。今后随着内控向全面风险管理过渡,地区公司层面也将结合业务发展实际,开展风险评估工作。 今年,某公司承担了集团公司下达的风险评估今年,某公司承担了集团公司下达的风险评估任务:任务:“采购管理业务领域风险评估采购管理业务领域风险评估”,主要是整合集,主要是整合集团公司和股份公司风险数据库,对物资采购、服务采购团公司和股份公司风险数据库,对物资采购、服务采购和招投标管理进行全面风险评估。和招投标管理进
31、行全面风险评估。风险评估三、内部控制体系框架介绍 风险评估遵循的基本程序和方法是:目标制定风险识别风险分析风险应对风险评估三、内部控制体系框架介绍添加衣物风险分析风险应对目标制定风险识别及时感冒摔跤迟到摔跤迟到感冒摔跤迟到感冒提早出发穿防滑鞋低高例如:季度自我检查测试风险评估三、内部控制体系框架介绍 控制活动控制活动是指有助于管理层决策顺利实施的政策和程序,是针对风险采取的控制措施。 按照集团公司的统一规定,某公司的控制活动,主要是借鉴国际上通行的做法,通过流程控制来实现。 与流程控制相关的概念: 1. 1. 重要风险和关键控制重要风险和关键控制 流程图流程图 风险控制文档(风险控制文档(RC
32、DRCD)控制活动三、内部控制体系框架介绍 重要风险和关键控制风险分析风险应对摔跤迟到感冒摔跤迟到感冒提早出发添加衣物穿防滑鞋低高重要风险关键控制一般控制一般风险控制活动三、内部控制体系框架介绍 流程图流程图 就是把现行的工作程序借助于信息系统所进行的可视化描述。 通俗地说,就是把我们工作的每一个步骤和环节用连贯的规定图标表示出来。 控制活动三、内部控制体系框架介绍 流程图是如何绘制出来的? 某公司流程建设管理部门(机关专业部门)根据集团公司确定的风险数据库和关键控制描述,利用ARIS流程信息管理系统对现有业务进行直观的流程化描述。控制活动三、内部控制体系框架介绍 流程描述和绘制过程如以下图示
33、: 控制活动集团公司风险数据库风险确认关键控制描 述一般控制描 述集团公司统一规定职能部门自行确定流程图三、内部控制体系框架介绍集团公司内控与风险管理部职责:集团公司内控与风险管理部职责:识别重要风险,建立重要业务风险数据库,并针对重要风险进行关键控制描述。 公司流程建设管理部门职责:公司流程建设管理部门职责:依据集团公司风险数据库,对照本部门现有业务,确认风险控制措施,设计业务流程。 公司内控部门职责:公司内控部门职责:依据集团公司风险数据库,要求流程建设与管理部门全面落实风险控制措施,设计简洁、适用的业务流程。 控制活动三、内部控制体系框架介绍 公司流程建设与管理部门所确定的流程,经过内控
34、部门审核和内控手册发布后,就成为某公司该项业务的工作标准和规范,各单位必须遵照执行。控制活动三、内部控制体系框架介绍控制措施控制措施制度制度实施证据实施证据风险风险风险控制文档风险控制文档就是对业务流程中的风险和控制措施的具体描述。控制活动三、内部控制体系框架介绍 通过流程图和风险控制文档,可以清楚看到这项业务的工作程序、存在哪些风险、怎样控制、留下哪些证据。流程图和风险控制文档是日常办理业务的工作指南和规范标准,也是监督检查的依据。控制活动三、内部控制体系框架介绍控制方法介绍:批准和执行业务的职务分离批准和执行业务的职务分离如:决定或审批采购的人员不能同时兼任采购员 执行和审核业务的职务分离
35、执行和审核业务的职务分离如:填写销售发票的人员不能兼任审核员 执行和记录业务的职务分离执行和记录业务的职务分离如:销售人员不能同时兼任记账员; 保管财产物资和对其进行记录的职务分离保管财产物资和对其进行记录的职务分离如:出纳岗不能同时兼任记账岗; 控制活动三、内部控制体系框架介绍 授权是企业内部控制一个重要的组成部分,是企业经营管理中权利和责任的分配和再分配。 常规授权: 指企业在日常经营管理活动中按照现有的职责和程序进行的授权。如职能配置和岗位描述 。 特别授权: 指企业在特殊情况、特定条件下进行的授权。如授权委托书。控制活动三、内部控制体系框架介绍 信息与沟通:企业经营管理所需信息必须被识
36、别、获得并以一定形式及时传递,以便员工履行职责。 信息:来源于公司内、外部,与公司经营相关的财务及非财务信息。 内部信息:财务、经营、规章制度、综合信息等。 1 12 2 外部信息:法律法规,客户、供应商信息等。 沟通:信息在公司内部各层次、各部门以及在公司与客户、供应商、监管者和股东等外部环境之间的传递。信息与沟通三、内部控制体系框架介绍1 1建立畅通的沟通渠道和机制,获取所需信息;建立畅通的沟通渠道和机制,获取所需信息; 建立信息系统,为风险管理提供足够、可靠的信息资源建立信息系统,为风险管理提供足够、可靠的信息资源 。2重视公司文件的层层传达学习;重视下情及时上达;重视利用各种会议和工作
37、汇报加强各种信息的纵向和横向沟通与交流。公司已经建立信息系统总体控制(GCC)和信息系统应用控制(AC)来推动这项工作。信息与沟通三、内部控制体系框架介绍 是对内部控制建立与实施情况进行检查,评价内部控制的有效性,发现控制缺陷,并及时进行改进的持续过程。包括持续监督、独立评估和缺陷报告。监 督三、内部控制体系框架介绍 持续监督缺陷报告独立评估是指公司日常经营过程中对建立与实施内部控制的情况进行常规、持续的监督检查。是对企业内部控制设计和运行有效性的监督与评估的重要形式,通过定期组织内部控制有效性测试,形成测试报告。是将在内部控制监督过程中所发现的内部控制缺陷,通过相应的汇报机制,自下而上进行上
38、报的一种行为。监 督三、内部控制体系框架介绍 监督主要是通过测试来实现。 内部控制测试是针对集团公司总部及所属企事业单位内部控制设计和运行的有效性,由管理层授权相关部门具体实施的检查过程。监 督三、内部控制体系框架介绍测 试自我测试单位自查管理层测试外部审计测试部门检查国际审计机构集团公司某公司流程建设部门各二级单位监 督三、内部控制体系框架介绍 信息系统测试:信息系统测试:是对公司信息系统总体控制和应用系统控制的测试,包括对财务FMIS7.0、资产FA7.0测试。测测 试试 内内 容容 公司层面测试:公司层面测试:又称控制环境测试。 业务层面测试:业务层面测试:包括跟单测试、关键控制测试。
39、跟单测试跟单测试就是把一项业务从头跟到尾,主要检查的是流程设计是否有效。 关键控制测试关键控制测试就是对风险控制文档中的关键控制措施的检查,是测试审计的重要内容。 三、内部控制体系框架介绍 例外事项是指内部控制体系设计层面和执行层面与规范、标准、要求之间存在的偏差。一般缺陷重要缺陷例外事项实质性漏洞监 督三、内部控制体系框架介绍 1. 识别出高级管理层中的任何程度的舞弊行为; 2. 对已签发的财务报告进行重报以反映对错报的更正; 3. 审计师发现的、最初未被公司财务报告内部控制识别的当期财务报告中的重大错报; 4. 审计委员会对公司的对外财务报告和财务报告内部控制监督无效。 实质性漏洞认定的定
40、性标准三、内部控制体系框架介绍 缺陷类型 标准实质性漏洞重要缺陷一般缺陷集团公司合并报表税前利润3 0.5(含)30.5企事业单位总资产3 0.5(含)30.5缺陷评估定量标准划分区间三、内部控制体系框架介绍内部控制五要素的关系内部控制五要素的关系u控制环境是基础u风险评估是起点u控制活动是核心u信息与沟通是关键u监督是内部控制的再控制风险评估控制环境信息控制活动监控信息Add Your Textour Text(一)某公司内控体系建设与实施概况三、某公司内控体系建设与实施情况20042004年开展内控体系建设年开展内控体系建设20062006年内控体系正式运行年内控体系正式运行2007200
41、7年完成年完成ARISARIS系统应用系统应用20082008年法律风险防控、年法律风险防控、业务流程规范化业务流程规范化连续四年通过外部审计和管理层测试20092009年全面业流程梳理年全面业流程梳理目前,公司内部控制体系共有风险875个。三、某公司内控体系建设与实施情况共有控制措施1689个,现有末级流程325个。三、某公司内控体系建设与实施情况四、某公司内控体系建设与实施情况Add Your Text(二)内控体系有效运行取得的显著成效一是促进了管理职能的明晰二是提高了工作效率三是推动了管理制度的进一步规范四是统一了实施证据五是形成了内控文化 四、某公司内控体系建设与实施情况Add Yo
42、ur Text上市单位内控实践对未上市单位的启示:上市单位内控实践对未上市单位的启示:1. 正确认识和理解内控是做好内控工作的前提2. 领导重视是内控工作有效开展的决定因素3. 理念的转变对内控工作至关重要4. 监督检查是提升内控执行力的重要手段四、某公司内控体系建设与实施情况Add Your Text蒋总在2006年内控工作视频会上要求: 执行, 执行 ,再执行集团公司党组成员、总会计师王国樑樑指出: 监督检查出执行力! 四、某公司内控体系建设与实施情况Add Your Text执行是内部控制的灵魂和生命力!执行是内部控制的灵魂和生命力! 加强内控与风险管理已经是大势所趋。 希望通过今天对内控与风险管理知识的点滴介绍和交流,能给大家今后的工作带来有益的启示和帮助!THANK YOUSUCCESS2022-5-11可编辑
