1、企业内部控制与风险管理企业内部控制与风险管理周新迁周新迁20201010年年7 7月月主主 要要 内内 容容一、内部控制理论实务演变与发展二、中国石化内部控制体系简介三、内部控制自我评估与内部审计评价四、如何做好企业内部控制与风险管理五、讨论互动 第一部分 内部控制理论实务演变与发展内控是理论和实务的结合1萌芽期。萌芽期。以内部牵制为主要内容,以职务分离和账目核对为手法,以钱、账、物等会计事项为主要对象,基本是以差错防弊、消除虚假会计信息为目标。 2发展期。发展期。以内部会计控制与内部管理控制为主要特征, 开始突破财务会计的范围。1949年,美国注册会计师协会(AICPA)首次将内部控制界定为
2、“一个企业为保护资产完整、保证会计数据的正确和可靠、提高经营效率、贯彻管理部门既定决策,所制订政策、程序、方法和措施”。1953年美国审计程序委员会(CAP)将内部控制分为内部会计控制和内部管理控制。3成熟期。成熟期。1992年美国内部控制发起机构委员会(COSO)内部控制-整体框架,提出营运、财务、遵循三个方面的内控目标 。4推广期。推广期。2002年7月萨班斯-奥克斯利法案, 其404条款旨在加强上市公司内控制度并保证财务报告可靠性。2004年9月COSO企业风险管理-整合框架。C:信息传递B:风险评估D: 控制活动E: 独立的监督A:控制环境内部控制整体框架-控制五要素主要是最高管理层对
3、企业内部控制的态度、理念、观点与哲学等。对企业内部风险的评估、识别、管理与防范。对业务流程的正确反映、计量、披露与传递。防止在控制中出现信息不对称现象。在业务流程中严格区分不相容职务分离。明确岗位责任以及清晰的业务流程。有一个高层次的、有执行能力的独立监督部门。如上级主管部门下的内部审计与风险管理委员会等。内部控制的五要素涵盖了企业的内部控制的五要素涵盖了企业的“人、财、物及组织人、财、物及组织”等个方等个方面的内容面的内容SOX404条款 1. 强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任; 2.管理层最近财政年度末对内部控制体系及控制程序有效性的评价; 3.担任公司年报
4、审计的会计公司应当对其进行测试和评价,并出具评价报告。 企业风险管理-整合框架一、基本框架一、基本框架内部环境目标设定事项识别风险评估风险应对控制活动信息与沟通监控二、目标二、目标战略、经营、报告、合规三、层面三、层面公司主体事业部业务单元分子公司 第二部分 中国石化内部控制体系简介 内控制度体系内控制度体系 股份公司内控手册 内控制度体系用以指导日常工作,同时也是开展内控自我评估,内控独立评估和外部审计师内控审计的依据。总部及分子公司的实施细则 其他管理制度、办法股份公司内控手册股份公司内控手册第一部分 总则第二部分 内部控制业务流程第三部分 内部控制矩阵第五部分 内部控制检查评价与考核办法
5、第四部分 内部控制权限指引第六部分 附则 内控建设成果内控建设成果l强化基础管理工作,走向系统化、制度化、流程化,实现了各项经营管理活动有规则、有流程、有标准、有监督、有记录l建立了分级授权责任体系,强化了股份公司各专业部门对下的监督管理职能l建立了以专业线为主的垂直管理、指导、监督机制,形成了上级对下级指导、检查,下级对上级负责的专业管理格局l树立和增强了内部控制整体框架的概念,深化了对内部控制的认识,提高了全员内控意识l针对一些重大内控问题开展整改工作,持续提升管理水平 第三部分 内部控制自我评估审计独立评价自我评估独立评估评估体评估体内控责任人实施全覆盖的审查日常的基础工作第一道关内审人
6、员实施重点抽查自评基础上的监督工作第二道关以自评推进内控建设和执行,夯实基础工作,落实精确化管理。以自评推进内控建设和执行,夯实基础工作,落实精确化管理。内控评估体系内控评估体系自我评估的程序自我评估的程序制定评估实施方案股份公司内控评估工作团队下达方案部署工作开展自我评估股份公司各部门股份公司所属单位汇总本部及下属单位自评结果形成本单位自评报告上报自评报告领导小组审议审核后提交内控股份公司内控办我评估报告汇总形成自依据改进计划落实改进措施依据改进计划落实改进措施自我评估组织机构自我评估组织机构内部控制领导小组内部控制评估工作团队评估实施部门领导机构内控办牵头,财务、信息、法律、各事业部等部门
7、负责人及相关人员组成流程评估综合牵头部门业务流程责任部门牵头进行对特定流程内控设计有效性的评估,并汇总流程执行有效性评估结果对本部门所负责的控制点的设计和执行有效性进行评估 内部控制审计评价是通过检查内部控制体系的完整性、执行的有效性、运行的效益性、风险识别的持续性,进行调查、测试、分析、审核、评价的活动,使内部控制制度与企业的治理结构、约束机制相结合,从而形成自我完善机制,促进企业有效控制经营风险,为企业增加价值服务。 内部控制的审计评价要体现内部审计是企业内部管理的再管理、监督的再监督,不仅包括公司经营管理层面,还要包括公司战略层面。内控独立评价的目的内控独立评价的目的THANK YOUS
8、UCCESS2022-5-11可编辑 理顺一个工作流程 建立二个工作方案 健全三个评价体系 处理好四个重点关系内控独立评价体系内容内控独立评价体系内容达到“独立、标准、简洁、高效”的审计评估目标。独立评价流程独立评价流程制定独立评价方案、下达通知书组织实施独立评价编制独立评估报告、征求被评价单位意见工作底稿内部审计机构内部审计机构下达独立评价意见被评估单位反馈执行情况后续评价(必要时)内部控制领导小组审定制定年度独立评价计划检查控制环境和部门控制点执行情况。 控制环境的检查主要检查管理层的风险评估流程;对经营结果的监督控制措施;公司财务报告流程;公司最高管理机构通过的重大业务控制和实施的重大风
9、险管理政策;集中于公司层面的流程和控制点等,评估公司层面内部控制设计的有效性。从内控是动态管理的角度出发,审视业务的变化、目标的变化、风险的变化,检查公司是否制定及时调整控制措施的政策。 独立评价工作方案独立评价工作方案-对公司总部层面对公司总部层面进行业务风险分析,确定审计重点进行业务风险分析,确定审计重点 确定评估对象。应考虑所属单位发生重大错漏的可能性以及对公司财务数据的相对重要性。首先确定具有较高内控失效风险的单位,根据业务性质、内外部环境影响因素、控制环境的有效性、业务性质和交易量发生的变化、管理层遭受的压力及变动情况、以往是否出现过重大内控缺陷、接受内控评估及内部部审计等检查的时间
10、间隔进行判断。其次考虑对公司具有重大影响的单位,如某单位资产规模或销售收入占公司总资产或总收入的5%以上。 建立风险因素及其衡量标准,分析确定高风险业务流程和主要交易类型。 建立内部控制检查测试方法库建立内部控制检查测试方法库 规范评估要素、统一抽样数量和测试标准、明确评价方法。 内控独立评估工作方案内控独立评估工作方案-对所属企业对所属企业 内部控制设计有效性评价标准内部控制设计有效性评价标准 内部控制全面性和可操作性评审 内部控制成本效益评审。 权责和奖惩评审 内部控制运行有效性评价标准内部控制运行有效性评价标准 内部控制环境评审 内部控制活动评审 信息与沟通评审 监督评价与纠正评审 建立
11、内部控制评价等级体系建立内部控制评价等级体系 内控独立评估内控独立评估三个评价标准体系三个评价标准体系 第四部分 如何搞好企业内部控制与风险管理优化内控建设工作优化内控建设工作1. 内控不是新事物内控不是新事物 内控工作不能追求形式2. 内控与日常管理工作融合内控与日常管理工作融合 内控规则一定要符合企业的实际情况,避免与日程管理工作两张皮,要固化在日常管理工作中。3. 明确内控责任,增强意识,培养习惯明确内控责任,增强意识,培养习惯 内控责任要能明确到机构、岗位和个人,通过内控责任追究机制和内控建设、评估工作,逐步增强广大员工内控意识,形成按内控办事的习惯4. 内控是动态的内控是动态的 审视
12、业务的变化、目标的变化、风险的变化,及时调整控制措施。优化内控建设工作(续)优化内控建设工作(续)5. 应特别关注衔接环节的控制应特别关注衔接环节的控制 重视跨部门、业务、流程的内控,重视业务与业务数据、业务与财务数据的核对机制和异常处理规则6. 重视重视IT一般控制一般控制重视系统的开发和变更、超级用户访问权限等7.平衡控制与效率平衡控制与效率 内控建设过程是持续优化业务处理流程的过程工作中“走过场”产生无效工作量,使内控工作成果打折扣8. 形成良好的内控运行机制形成良好的内控运行机制 健全内控制度建设、执行、评估(检查)、改进的机制,形成内控的闭环系统建设是基础风险导向是原则监督执行是关键
13、持续改进是保障改进企业内部控制与风险管理改进企业内部控制与风险管理好制度可以让坏人变好,坏制度可以使好人变坏完善的内部控制是企业成熟的标志好的内部控制塑造企业文化,增强核心竞争力系统建设是基础企业面临日益复杂的内外部环境,可持续发展成为企业追求的目标风险是潜在的不确定性,预则立,不预则废重视风险,就是要将风险控制在可以接受的水平上风险导向是原则内部控制是企业的自律系统关键是形成内部控制的运行机制促进与公司治理结构的结合监督执行是保证内部控制存在固有的局限性 人为失误 串通舞弊 管理越权 成本与效益 不确定性内控是动态的过程内控管理本身是人性管理持续改进是保障内控理论与实务的最新发展 1. 内部
14、控制与企业的风险管理相结合 2. 内部控制与公司治理和组织结构相对接 3. 从管理学和经济控制论入手丰富内部控制理论 4. 把传统的建立在实体经济基础上内部控制拓展到信息经济 5. 加强内部控制的监控我国内控理论和实务取得快速发展 建立内部标准体系:l 财政部、审计署等联合对大中型企业财政部、审计署等联合对大中型企业 企业内部控制基本规范(2008年) 内部控制应用指引(2010年) 内部控制评价指引(2010年) 内部控制审计指引(鉴证) (2010年)l 国资委对中央企业的要求国资委对中央企业的要求 中央企业全面风险管理指引 (2006年6月)内部控制体系发展三阶段内部控制体系发展三阶段第一阶段 要我做第二阶段 我要做第三阶段 做我要THANK YOUSUCCESS2022-5-11可编辑
