1、企业内部控制内部控制的体系与应用框架基于财政部企业内部控制基本规范和企业内部控制配套指引的实践1ppt课件企业内部控制目录内部控制的基本概念内部控制的内容与应用框架建立企业内部控制的程序、步骤和方法123企业内部控制发展与应用挑战4企业内部控制目录内部控制的基本概念与一般理论1企业内部控制一、内控的基本概念起源与发展内部控制可以通俗的理解为:内部控制是在一定的环境下,单位内部控制主体为了达到其特定目标所采用的一系列的管理程序和方法。周礼:虑夫掌财用财之吏,渗漏乾后,或者容奸而肆欺于是一毫财赋之出入,数人之耳目通焉。具体到职务设置上,以货币资金的控制为例,专门设置了职入官、职岁官和职币官,来分掌
2、货币资金的收入、支出和余额,体现了内部牵制思想“在内部控制、预算和审计程序等方面,周代在古代世界是无与伦比的。”(会计思想史,迈克尔.查特菲尔德)u以提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。企业内部控制一、内控的基本概念从案例说起(资金控制)u瑞襄公司出纳员李敏,给人印象兢兢业业、勤勤恳恳、待人热情、工作中积极肯干,不论分内分外的事,她都主动去做,受到领导的器重、同事的信任。而事实上,李敏在其工作的一年
3、半期间,先后利用22张现金支票编造各种理由提取现金98.96万元,均未记入现金日记账,构成贪污罪。u其具体手段如下:1)隐匿3笔结汇收入和7笔会计开好的收汇转账单(记账联),共计10笔销售收入98.96万元,将其提现的金额与其隐匿的收入相抵,使32笔收支业务均未在银行存款日记账和银行余额调节表中反映;2)由于公司财务印鉴和行政印鉴合并,统一由行政人员保管,李敏利用行政人员疏于监督开具现金支票;3)伪造银行对账单,将提现的整数金额改成带尾数的金额,并将提现的银行代码“11”改成托收的代码“88”。瑞襄公司在清理逾期未收汇时曾经发现有3笔结汇收入未在银行日记账和余额调节表中反映,但当时由于人手较少
4、未能对此进行专项清查。企业内部控制一、内控的基本概念从案例说起(资金控制)【案例分析】 从本案例中可知,瑞襄公司内部控制疲软、内控监督机制失灵是李敏走上犯罪道路的重要原因。 公司存在以下几个管理上的漏洞: (1)出纳兼与银行对账,提供了在编制余额调节表时擅自报销32笔支付现金业务的机会。 (2)印鉴管理失控。财务印鉴与行政印鉴合并使用并由行政人员掌管,出纳在加盖印鉴时未能得到有力的监控。 (3)未建立支票购入、使用、注销的登记制度。 (4)对账单由出纳从银行取得,提供了伪造对账单的可能。 (5)凭证保管不善,会计已开好的7笔收汇转账单(记账联)被李敏隐匿,造成此收入无法记入银行存款日记账中。
5、(6)发现问题追查不及时。在清理逾期未收汇时发现了3笔结汇收入未在银行日记账和余额调节表中反映,但由于人手较少未能对此进行专项清查企业内部控制嘉信软件公司员工人数1000余人,年销售毛利2亿2千万,从事电子商务交易平台软件开发。利润大于零,年度经营现金流为负全年新签合同保持20%的增长、员工人数同比增长;良好的外部市场却产生企业亏损,这是典型的企业内部管控缺陷表现特征劳动生产率低下讨论题(1)企业内部控制讨论题(2)讨论题:集团公司下属企业发生了财会人员欺诈2万元以及经营亏损20亿,对于集团高管而言哪一件事应该倾注更多精力?是否都属于资产安全问题?企业内部控制u企业内部控制可以通俗地理解为关于
6、企业生产管理运行的规章制度和行为准则。企业内部控制的思想最早开始于18世纪,随着企业大规模化和资本大众化的进程,企业内部控制的要求应运而生,到了20世纪,随着股份制公司的建立和规模的扩大,所有权和经营权出现了分离,出现了组织、调节、制约和监督生产经营活动的一系列方法,为了纠错查弊,开始建立了比较简单的企业内部控制制度。这是企业内控体系建立的初始阶段u最早的涉及企业内部控制的规范文档是1929年美国注册会计师协会和联邦储备委员会颁布的会计报表的验证u1936年在独立公共会计师对会计报表审查一文中首次将企业内部控制定义为:为保护公司现金及其他资产的安全、检查账簿记录的准确性而在公司内部采取的各种手
7、段和方法。在1949年美国注册会计师协会又将其修订为:内部控制是企业为保证企业财产的安全完整、检查会计资料的准确性和可靠性,提高企业的经营效率及贯彻既定的经营方针,所设计的总体规划和所采取的与总体规划相适应的一切措施和方法一、内控的基本概念起源与发展企业内部控制u到了20世纪50年代,由于全球市场经济竞争的加剧,促使内部控制扩大到企业的各个领域,其内容也愈加丰富,1963年美国审计程序委员会在其发布的“审计程序23号文件”中,对内部控制的定义做了进一步的说明,首次将内部控制划分为内部会计控制和内部管理控制,1994年美国管理会计师协会在其内部控制结构中,将内控定义为:内部控制是这样一个整体系统
8、,由管理者建立的旨在以一种有序和有效的方式开展公司的业务,确保其与管理政策和规章一致,保护资产,尽量保证记录的完整性和正确性u1994年美国反欺诈财务报告委员会(COSO)制定完成的“内部控制整体框架”标志着现代企业内部控制体系的完整确立,奠定了现代企业内部控制的全新基础一、内控的基本概念起源与发展企业内部控制中国企业内部控制发展里程碑2002年通过的萨班斯SOX法案公众公司会计改革与投资者保护法案2006年上海、深圳证券交易所分别颁布的上市公司内部控制指引以及后来的补充指引2008年由财政部、证监会、保监会、银监会、审计署发布的企业内部控制基本规范和配套指引2006年由国务院国有资产监督管理
9、委员会颁布的中央企业全面风险管理指引一、内控的基本概念起源与发展企业内部控制一、内控的基本概念起源与发展 内部控制方式内部控制方式内部控制体系是企业领导人管控企业意志的集中体现,其效果反映了企业领导人的掌控能力、以及下属员工的执行能力不同的领导人其统领手法以及风格的变化,影响着内部控制的内容及形式,但公司法人治理结构在其中起着核心作用 内部控制精要内部控制精要企业内部控制内部控制定义内部控制是由企业董事会、经理阶层和其他员工实施的,为资产的安全、营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。13保证资产安全和会计信息真实是企业内部控制发展的主线内部控制要义
10、内部控制的目标呈现出多元化发展的趋势会计控制和管理控制是企业内控的核心一、内控的基本概念内控定义企业内部控制一、内控的基本概念控制目标与控制内容内部控制目标尽管企业内部控制经历了丰富多彩的发展历程,但维护资产安全、保证信息可靠、遵循法律法规、提高经营的效率和效果始终是构成内部控制的基本目标;会计控制(含财务控制)和管理控制是企业内部控制的核心控制内容业务流程操作规定流程定义环节任务分解风险点识别风险控制与应对预案操作目标企业内部控制一、内控的基本概念内控管理框架企业内控管理框架目标维度:战略目标、经营目标、合规目标、报告目标要素维度:控制环境、风险评估、控制活动、信息与沟通、监控结构维度:企业
11、整体、分支机构、业务单位与业务单元、子公司流程维度:任务制定、任务分解、任务操作、风险识别、风险应对企业内部控制一、内控的基本概念内控管理框架内控体系建设五要素控制环境风险评估控制活动信息与沟通监督与反馈1. 控制环境。内部控制环境是企业实施内部控制的基础,影响着组织中员工的控制意识,为内部控制界定了规则和结构。一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等 内部环境要素实施要点: (1)公司治理;(2)机构与管理职能;(3)内部控制政策;(4)人力资源政策;(5)风险管理体系;(6)内部审计制度;(7)企业文化;(8)管理手册 企业内部控制一、内控的基本概念内控管理
12、框架内控体系建设五要素控制环境风险评估控制活动信息与沟通监督与反馈2、风险评估。风险评估是企业科学系统识别、分析和评价影响企业各级操作目标实现的所有风险因素、局部风险因素或特定领域风险因素的过程。风险评估是企业了解风险和确定风险控制目标的依据,是企业识别控制环节和控制关键点的依据,是企业实施内部控制过程管理不可逾越的关键步骤 风险评估要素实施要点: (1)风险控制目标;(2)当前风险水平(敞口);(3)风险容忍度(风险偏好);(4)关键风险;(5)风险识别、分析、评价的技术与方法;(6)风险应对 企业内部控制一、内控的基本概念内控管理框架内控体系建设五要素控制环境风险评估控制活动信息与沟通监督
13、与反馈3、控制活动。控制活动是指确保管理层的要求得以实施的政策及程序。企业根据风险评估结果,通过这些政策和程序确保采取必要的措施以应对影响企业业务操作目标实现的风险,将风险控制在可承受度之内。控制活动在整个企业内部的各个级别、各个职能展开。 控制活动要素实施要点: (1)风险管理策略;(2)风险控制方案;(3)风险控制程序;企业内部控制一、内控的基本概念内控管理框架内控体系建设五要素控制环境风险评估控制活动信息与沟通监督与反馈4、信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通,使得企业内部控制体系在上下游环节、相关业务的不
14、同控制流程上都能得以平滑运行,互不干扰,发挥出集体效率。 信息与沟通要素实施要点: (1)信息与沟通制度;(2)信息收集;(3)信息传递与沟通;(4)信息控制;(5)信息技术企业内部控制一、内控的基本概念内控管理框架内控体系建设五要素控制环境风险评估控制活动信息与沟通监督与反馈5、监督与反馈。监督与反馈是企业对内部控制体系建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,并提议改进的过程。 信息与沟通要素实施要点: (1)内部控制体系运转的监督与反馈制度;(2)内部控制有效性评价;(3)内部控制缺陷认定;(4)监督与反馈报告;(5)监测技术企业内部控制一、内控的基本概念内控五
15、要素相互关系 监控监控控制活动控制活动风险评估风险评估控制环境控制环境信信息息沟沟通通信信息息沟沟通通基础基础手段手段保证保证载体载体依据依据企业内部控制一、内控的基本概念内控管理原则1、全面性原则 内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项2、重要性原则 内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域3、制衡性原则 内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。另外,内部控制三层制约的机制要充分体现,这三层制约包括:执行层、内控管理层和审计监督层4、适应性原则 内部控制应当与企业经营规模、业
16、务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整企业内部控制一、内控的基本概念内控管理原则5、成本效益原则 内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制6、预防性原则 建立内部控制体系必须突出预防为主思想,切实做到以预防为主,事先采取预防措施,防止风险发生,而不是发生风险后,再采取补救措施7、持续改进原则 企业内部控制体系应通过建立、实施和改进,形成一个自我完善、持续改进的风险管理与内部控制的动态过程和长效机制8、合规性原则 有效的合规管理是企业内部控制的基础,企业内部控制体系的建立首先必须满足合规性的要求企业内部控制一、内控的基本概念内控管理原则9、有效性原则
17、 内部控制机制不仅要设计合理,还应在设计时就应该考虑安排必要的监控措施和手段,以保障内部控制体系的运行有效10、独立性原则 企业内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道11、权威性和优先性原则 内部控制应当具有高度的权威性,任何人不得凌驾于内部控制的制约之上,内部控制存在的问题应当能够及时反馈和纠正。另外,在企业实施新业务或项目决策中应体现“内控优先”企业内部控制一、内控的基本概念内控管理原则12、可控性原则 企业内部控制可改变可控风险的特征(例如风险的影响程度或频度),但不可以改变不可控风险的特征。也就是说,内部控制对可控风险
18、可以产生直接的控制效果,对不可控风险则需要通过预先安排的控制预案实现得到危机来临时的损失最小化13、与管理过程相结合原则 内部控制应当渗透到企业的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查14、风险评估先导性原则 企业内部控制的建设和持续的变更改进一定是基于企业定期或不定性的风险评估的结果建议而实施的。或者说,企业对内部控制的设计和实施任何变更均应以所掌握的风险评估信息结果而作为内控行为导向性指南。风险评估是内控实施的决策基础企业内部控制一、内控的基本概念内控体系建设的产出物战略目标经营目标操作目标业务流程管理风险点识别风险控制内控体系建设
19、风险/损失事件库控制管理规范控制程序文件风险控制文档企业内部控制一、内控的基本概念内控体系建设的产出物u控制管理规范:企业内部控制管理规范主要解决内部控制组织执行问题,规范的内容包括了业务组织描述,业务操作目标、业务的边界或与其他组织或业务的关联、业务的输入输出描述u控制程序文件:控制程序文件详细的描述了业务的流程、环节点、环节点的任务(岗位说明书)以及操作要求及规则u风险控制文档:风险控制文档描述了各个业务流程上的风险点、风险发生的特征、风险敞口、风险发生的频率、风险应对的策略等u风险/损失事件库:企业运营操作流程中历史上发生的各类风险事件(损失事件)的集合,其中描述了事件的定义,发生背景、
20、类别、属性、损失程度等,管理策略,应对方案等企业内部控制一、内控的基本概念内控与全面风险管理风险管理内外部环境风险管理战略风险辨识与分析企业内部控制风险应对方法信息交换与沟通风险管理系统运行监控全面风险管理战略风险财务风险市场风险法律风险操作风险内部控制正确做事与做正确的事抬头看路与埋头拉车企业内部控制一、内控的基本概念内控与合规风险管理合规风险管理大合规/遵从外法和内法小合规/仅遵从外法合规政策内控制度RCSA控制程序文件业务流程风险点损失事件库合规风险识别沟通与交流改进与监控合规作为内控的制约目标企业内部控制一、内控的基本概念内控与操作风险管理事先管理员工绩效管理内部控制内控环境内控目标内
21、控规则合规风险管理合规监测预警风险暴露、经济资本、风险对冲风险与控制自评估操作风险/运营风险事中管理事后管理沟通与监控企业内部控制一、内控的基本概念内控与操作风险管理内部控制与狭义合规及广义合规内部控制与三道防线内部控制与风险管理(你中有我、我中有你)内部控制更多的理解企业内部控制企业内部控制的体系与应用框架内部控制的内容与应用框架2企业内部控制内部控制是企业经管理的必然要求 监管当局要求 提高企业竞争能力没有规矩不成方圆保护资产安全二、控制内容与应用框架为什么需要内控企业内部控制二、控制内容与应用框架为什么需要内控企业资产安全股东权益保护(三道防线)法律法规使之不敢职业道德使之不愿内部控制使
22、之不能企业内部控制二、控制内容与应用框架内部控制支撑理论代理人悖论利益相关者理论权变理论战略发展理论u内部控制是由企业董事会、经理阶层和其他员工实施的,为资产的安全性、营运的效率效果、财务报告的全面可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其支撑理论如下:企业内部控制二、控制内容与应用框架内部控制支撑理论(1)代理人悖论一个没有受到完全监督的人有着从事不诚实或不合意行为的倾向委托人与代理人之间思想和行为上的种种分歧形成了代理人悖论经济人是具有理性的自利主义者,个人行为的基本动力是个人利益,其行为准则是既定目标的最优化主观为自己、客观为别人信任就是懒惰罗斯福企业内部控制二、控制内
23、容与应用框架内部控制支撑理论(1)代理人悖论X非效率理论有限理性理论囚徒困境 经济人悖论进一步说明只有在外部压力下才能使经济人的行为趋于最优化囚犯A、B同时被指控犯有某一种罪行,他们的选择只有揭发或抗拒。检察官在他们分别隔离的情况下分别告知,若两人都揭发则每人判八年;若两人都抗拒则每人判两年;若一人揭发一人抗拒,揭发者者判一年、抗拒者判十年。作为经济人A、B该如何选择? 西蒙的有限理性理论认为,人的行为理性是有限的,不是完全的。 完全的理性假设前提之一是可供选择的行为手段是已知的,结果也是已知的。完全的理性假设前提之二经济人有完全的知识和精密的计算能力。 莱宾斯基的X非效率理论指出,微观经济学
24、所假设的利润极大化或成本极小化由于X非效率而不可能实现。 大多数人在大多数时间内其行为是非极大化的,这主要源于人的天生惰性。只有当外部压力充分大时,才会想极大化靠近。道德风险和信息不对称要求企业建立某种约束机制,以保障股东和其代理人的行为观点的尽可能一致性. u当委托人不能完全监督代理人的行为时,便存在一种风险:代理人可能做某些不合意的事企业内部控制二、控制内容与应用框架内部控制支撑理论(2)利益相关者理论 公司总产值最大化 股东财富最大化 经济附加值EVA最大化公司利润最大化企业价值最大化股东价值最大化企业内部控制二、控制内容与应用框架内部控制支撑理论(2)利益相关者理论股东投资人政府监管当
25、局供应商其他服务者企业员工客户消费者社会相关团体利益相关者理论认为,企业应是利益相关者的企业,包括股东在内的所有利益相关者都对企业的生存和发展注入了一定的专用性投资,同时也分担了企业的一定经营风险,或为企业的经营活动付出了代价,因而都应该拥有企业的所有权企业利益相关者的利益均衡股东中心理论认为,股东是企业的所有者,企业的财产是由他们所投入的实物资本形成的,他们承担了企业的剩余风险,理所当然成为企业剩余索取权与剩余控制权的享有者共赢才能长远企业内部控制二、控制内容与应用框架内部控制支撑理论(3)权变理论 权变理论要义 超Y理论(采用X或Y理论都有高效和低效的表现) 1、 权变理论就是要把环境对管
26、理的作用具体化,并使管理理论与管理实践紧密地联系起来。 2、 环境是自变量,而管理的观念和技术是因变量。 3、 权变管理理论的核心内容是环境变量与管理变量之间的函数关系就是权变关系 1、不同的人对管理方式的要求不同 2、有人希望有正规化的组织与规章条例来要求自己的工作,而不愿参与问题的决策去承担责任。这种人欢迎以X理论指导管理工作。 3、有的人却需要更多的自治责任和发挥个人创造性的机会,这种人则欢迎以Y理论为指导的管理方式。企业内部控制二、控制内容与应用框架内部控制支撑理论(3)领导权变理论任何领导形态均可能有效,其有效性完全取决于是否与所处的环境相适应。影响领导者领导风格的环境因素归纳为三个
27、方面:职位权力、任务结构和上下级关系。费德勒模型下属的“成熟度”对领导者的领导方式起重要作用。所以对不同“成熟度”的员工采取的领导方式有所不同,包括命令式、说服式、参与式和授权式。情境领导理论该理论认为只有当员工确切地知道如何达成组织目标时才能起到激励作用,领导应指明达成目标的途径,为下属实现目标扫清道路,创造条件。领导方式包括指示型、支持型、参与型和成就型路径-目标理论该模型将领导行为与参与决策联系在一起,由于认识到常规活动和非常规活动对任务结构的要求各不相同,领导者的行为必须加以调整以适应这些任务结构。领导风格包括独裁、磋商和群体决策。领导者-参与模型企业内部控制二、控制内容与应用框架内部
28、控制支撑理论(4)发展战略理论波特五力模型(竞争能力模型)潜在竞争者进入能力替代品替代能力供应商讨价还价能力行业内竞争者竞争能力购买者讨价还价能力愿景战略目标业务战略职能战略企业内部控制二、控制内容与应用框架内部控制支撑理论(4)发展战略理论需要在市场营销、研发技术、生产制造、人力资源、财务投资等方面采取何种策略和措施以支持企业愿景、战略目标、业务战略的实现?企业未来要在哪些客户、哪些区域、哪些产品、哪些产业发展?怎样发展?企业未来要达到一个什么样的发展目标企业未来要去到哪里,成为一个什么样的企业愿景战略目标业务战略职能战略业务流程再造应该创造核心竞争能力企业内部控制二、控制内容与应用框架应用
29、模型 战略目标、业务目标、流程目标、岗位目标机制、能力完成任务的操作序列企业内部治理达成目标的操作手法目标目标政策政策策略策略业务流程业务流程方法方法/技术技术内部控制体系企业内部控制二、控制内容与应用框架内控覆盖面内控体系对企业经营管理的全面覆盖内控体系对企业经营管理的部分覆盖根据企业内部控制体系建设的全面性原则,一个完整的企业内控系统应该覆盖企业经营管理的各个方面,无论是通过明显的控制文档规定了实现业务目标的操作流程规范,还是通过企业文化、社会道德标准形成的自我约束,规避含糊不清的操作标准是企业内部控制全面覆盖的精要在内控体系建设中,那些在风险事件库支持下,通过控制规范、控制程序文件、风险
30、控制文档建立起来的内控系统并非一次就可以实现全面的业务覆盖,有重点、有顺序的建立控制体系,首先在重要的业务条线上建立内控是合适的策略,也是内控建设重要性原则和适应性原则的体现企业内部控制二、控制内容与应用框架内控覆盖面组织架构企业文化资产管理销售业务社会责任资金活动发展战略研究与开发担保业务工程项目采购业务人力资源业务外包财务报告全面预算合同管理内部信息传递信息系统企业内控体系覆盖业务条线企业内部控制组织架构组织架构设计、组织架构运行发展战略发展战略制定、发展战略实施人力资源人力资源的引进与开发、人力资源的使用与退出社会责任安全生产、产品质量、环境保护与资源节约、促进就业与员工权益保护企业文化
31、企业文化建设、企业文化评估资金活动筹资、投资、营运采购业务购买、付款二、控制内容与应用框架内控覆盖面企业内部控制资产管理存货、固定资产、无形资产销售业务销售、收款研究与开发立项与研究、开发与保护工程项目工程立项、工程招标、工程造价、工程建设、工程验收担保业务调查评估与审批、执行与监控业务外包承包方选择、业务外包实施财务报告财务报告编制、财务报告对外提供、财务报告的分析利用二、控制内容与应用框架内控覆盖面企业内部控制全面预算预算编制、预算执行、预算考核合同管理合同订立、合同履行内部信息传递内部报告形成、内部报告使用信息系统信息系统开发、信息系统的运行与维护二、控制内容与应用框架内控覆盖面企业内部
32、控制二、控制内容与应用框架控制类型内部控制结构类型控制环境主导型控制活动主导型环境及活动并重型环境及活动双弱型u不同的企业的经营规模、业务范围、竞争状况和风险水平适用的控制类型各有不同,当选择的控制类型与企业的实际情况不相适应时,就会出现控制不足或控制浪费的现象u“环境活动双弱型”企业一般来说,存在着明显的控制不足现象,这是一个通常不值得推荐的类型,但“环境活动并重型”并一定能达到最好的控制效果企业内部控制二、控制内容与应用框架应用框架战略目标操作目标风险评估控制程序信息传递与沟通控制效果监督与反馈原因控制过程控制结果控制企业内部控制二、控制内容与应用框架应用框架具体控制类型包括:接触控制、信
33、息/数据正确性控制、制衡控制、合规控制、效率/效益控制、安全性控制、欺诈控制、流程控制、检查控制、实物控制、行为控制、限额控制、预算控制、审计控制等操作控制类型预防型引导型探测型纠错型企业内部控制二、控制内容与应用框架应用框架内部控制强调流程管理,但目标管理也是企业管理的重要方法,二者应用的场合是什么?内部控制是流程管理还是目标管理?企业内部控制建立企业内部控制的程序、步骤和方法3企业内部控制的体系与应用框架企业内部控制三、实现内控的步骤程序方法建设步骤与流程战略目标分解为经营目标经营目标分解为业务条线工作目标工作目标分解为业务流程操作目标定义业务流程节点和工作面识别工作面风险点风险点分析评价
34、风险应对设计设计控制程序控制管理规范控制程序文件风险控制文档RCSA风险与控制自评估体系企业内部控制三、实现内控的步骤程序方法业务条线划分1. 组织架构 2. 发展战略3. 人力资源4. 社会责任5. 企业文化6. 资金活动7. 采购业务8. 资产管理9. 销售业务10. 研究与开发11. 工程项目12. 担保业务13. 业务外包14. 财务报告15. 全面预算16. 合同管理17. 内部信息传递18. 信息系统内部控制体系覆盖的业务条线应包括但不限于如下业务条线企业内部控制三、实现内控的步骤程序方法风险点识别u风险点识别是建立企业内部控制体系的难点与核心,理想的风险点识别是参考一个已有的同质
35、企业风险事件库,但由于积累与成本的原因,往往难以实现u识别风险点的方法论或基本原理如下:目标导向风险识别目标导向风险识别:组织、项目、业务流程均有目标。任何可能危及部分目标获得的事件都被识别为风险。目标导向是COSO的基础。(集装箱案例)情景导向风险识别情景导向风险识别:在情景分析中,创造出不同的情境。情景可以是达到目的的不同方式,或作用力交互作用的分析。如市场、灾害。任何触发不希望情景的事件都被识别为风险。分类导向风险识别分类导向风险识别:此处的分类是可能风险源的一个事故结果。依据分类和实践的知识,编辑一个问题集合。对问题的回答反映出风险企业内部控制三、实现内控的步骤程序方法风险点识别经验导
36、向风险识别经验导向风险识别:经验化为知识库,如对常见风险作成检查表,进行对照。在一些行业,可以列出已知风险。表中的每项风险可以有相应的对策。流程导向风险识别流程导向风险识别:对企业或组织的主要业务流程进行分解,发现每个流程的,各个环节是否存在风险因素,可同时进行业务流程优化。事件导向风险识别事件导向风险识别: 基于已发生事件(基于理赔、专项调查),针对风险事件的资料情况,找出共性的风险因素。专业机构或专门组织分析完成,需大量占有事件资料。企业内部控制三、实现内控的步骤程序方法风险点识别风险点识别方法调查问卷法头脑风暴法检查表法专家分析DELPHI法决策树/事故树法预先风险分析法情景分析法因果分
37、析(蝶形图)法故障模式及影响分析成本效益分析法关键路径分析法企业内部控制三、实现内控的步骤程序方法风险矩阵项目名称可能性可能造成的损失风险值管控程度R149362R282162R353152.5R427144R562123R68184R77173R87174R97171R1090.54.51R1180.541R123133.5企业内部控制三、实现内控的步骤程序方法风险矩阵风险点风险发生的影响程度企业内部控制三、实现内控的步骤程序方法风险矩阵风险点风险发生的概率企业内部控制三、实现内控的步骤程序方法风险矩阵散点图或气泡图说明:X轴为影响,Y轴为可能性,通过X,Y来定位气泡所在的位置,并通过风险值
38、来确定气泡大小。管控程度的值决定气泡的颜色(1,2,3,4,5分别对应深红,浅红,黄,淡绿,深绿)。企业内部控制三、实现内控的步骤程序方法BORDA序数法一种群决策方法,简单来说可以等价于平均序,举例如下A,B,C三人竞选,选民5人,其偏好分别表示如下选民1:ABC Borda得分为:A: 3; B: 2; C:1;选民2:BAC Borda得分为:B :3; A: 2; C:1;选民3:ACB Borda得分为:A: 3; C: 2; B:1;选民3:ACB Borda得分为:A: 3; C: 2; B:1;选民5:BCA Borda得分为:B: 3 ;C :2; A:1;综合5个选民的总B
39、orda分:A=3+2+3+3+1=12,B=2+3+1+1+3=10,C=1+1+2+2+2=8最终ABC,所以,A当选R1R2R3R4R5(11)(9)(15)(8)(10)R3R1R5R2R4企业内部控制三、实现内控的步骤程序方法风险控制方法设计u从管理的角度可以将企业的操作风险分为三类:一是可以通过程序化的业务管理就可以消除和避免的风险;二是可以转嫁给其他参与者的风险;三是在整个企业内积极管理的风险。内部控制主要用于管理第一类风险;而对于第二类风险和第三类风险,可以通过对冲机制(如买保险)或风险拨备经济资本配置等方法进行管理u因此企业内部控制的风险管控目标应是尽可能通过有秩序的流程化管
40、理,消除那些因内部管理控制缺陷而带来的损失,这是企业全面风险管理中已知风险的一部分,对冲风险不在内部控制风险应对的范畴内u针对不同的业务内容和业务流程,有选择的使用各类控制措施,风险应对上可采用(1)风险规避;(2)风险降低;(3)风险转移;(4)风险承受等策略。企业内部控制三、实现内控的步骤程序方法风险控制方法设计企业内部控制体系设计程序:财务类目标操作类目标管理类目标工作流程设计风险节点控制控制程序文件控制管理规范流程管理重新设计(测试与调整)风险控制文档解决内控组织执行问题解决内控标准控制依据问题解决内控执行基础问题企业内部控制三、实现内控的步骤程序方法风险控制方法设计不相容职务分离控制
41、授权控制常规授权临时授权财产保护控制会计控制凭证记录运营分析控制预算控制绩效考评控制企业常见控制措施企业内部控制三、实现内控的步骤程序方法良好内控体系特征1及时内部控制体系应及早发现潜在或实际偏差以期减少损失。管理人员应对潜在问题作出预测,确保一旦出现问题就能够采取有效控制措施加以阻止并(或)予以确认和纠正2节约内部控制体系应作出“合理保证”,即以合理的较低费用实现预期的控制目标。效率与节约必须与控制的有效性一并考虑,然而,如果出于对安全、环境、敏感问题或提高信誉的考虑,某些控制应予以批准3责任感内部控制体系应促使员工对所肩负的任务表现出责任感。管理人员需要内部控制体系以使其尽职尽责,因此,他
42、们应谙悉内部控制的目的及操作企业内部控制三、实现内控的步骤程序方法良好内控体系特征4配置内部控制措施应配置于最能发挥效力之处,如适当地置于关键过程之前、当中或结束时。5灵活性内部控制体系应能够适应因时间关系所引起的程序变化,必须经过修订才能继续有效的内部控制体系则不足取。6确认起因如果控制不但能发现问题,而且还能追本溯源,则有助于迅速实施纠正措施。7恰当控制应符合管理的需要及保证经营目标的实现企业内部控制三、实现内控的步骤程序方法典型控制 控制环境类 控制活动类 控制工具类组织架构、发展战略、人力资源、企业文化和社会责任.资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、
43、业务外包、财务报告全面预算、合同管理、内部信息传递、信息系统五部委内控应用指引把控制内容分成十八大项,可分为三大类企业内部控制三、实现内控的步骤程序方法控制建立示范(1)建立某大型企业的销售控制体系1、控制目标:a。保证企业的资产安全 b。提高销售效率2、销售流程收取客户订单给客户确定资信签订销售合同装运或交付货物、设备或劳务开具销售和租赁业务帐单并记录维护和监督应收帐款建立有效的收帐程序记录和控制现金收入企业内部控制三、实现内控的步骤程序方法控制建立示范(1)A类风险点识别:可能在没有有效的客户承诺的情况下制造和装运产品,或履行劳务制造订单上的产品、数量、售价、付款条件、销售或运送地址可能有
44、误可能根据无效订单支付销售佣金产品或劳务可能售给一未经核准或资信不足的客户,结果导致帐款无法收回装运的产品可能与客户订单不符,并可能由客户转为个人使用在制造和装运之前可能无法查明和更正订单的错误(如产品、数量、价格)不遵守政府规定可能导致巨额罚款、处罚及或出口优先权的丧失可能接受、处理了管理部门不能接受的价格及或条件的订单销货订单可能丢失、销毁或更改。保密资讯可能被利用,给公司造成损失可能无法表明拖欠订单,结果导致客户不满及或撤销订单销售和租赁合同在定价、条件、处罚条款或资信风险方面可能为管理部门所不能接受企业内部控制三、实现内控的步骤程序方法控制建立示范(1)、订单必须予以记录,记录的依据只
45、能是客户的订货订单或其他证明客户正式订货的证据。参照风险:, 、在接受或装运新客户订货之前必须对其资信加以审查。参照风险: 、客户要求的货物或劳务,如未作专门规定或与客户购货承诺不符,须经财务管理部门批准之后才可处理。参照风险: 、接受订单的正式确认书必须及时送至客户,除非合理的业务惯例另有其他规定。参照风险: 、订单在送交生产及或装运之前,必须有适当的证明并全面审核。需经审查的项目包括:有关的合同格式,购货订单条件,装运和支付条件,资信批准,适用税赋单据及计算,价格总金额,产品的适当性以及是否遵守联邦,州及地方政府的法律和规定及出口管制要求。参照风险:, 折扣和折让如超出事业总部集团管理人员
46、所规定的数额,需经市场营销部和财务管理部门批准。参照风险: 、客户订单信息必须严加保护,未经授权不得接触。参照风险: 、未结清订单必须定期予以审查,以查明有无拖欠订单。拖欠订单应予以研究和解决。参照风险: 、在接受销售和租赁合同之前,必须制定审查和批准政策和程序,并编制成文件。企业内部控制三、实现内控的步骤程序方法控制建立示范(2)某大型企业的内部控制制度企业内部控制企业内部控制发展与应用挑战4企业内部控制的体系与应用框架企业内部控制四、内控的发展与应用挑战信息披露塞班斯法案国资委深沪交所企业应向各类利益相关者真实全面的披露企业的经营状况企业内部控制体系建设、运行、维护企业经营者独裁管理者经营
47、班子绩效以及各种利益考量是报告合规的最大障碍企业内部控制四、内控的发展与应用挑战内控目标的提升内控以实现财务目标为目的内控以实现绩效目标为追求内控以成熟度模型为控制标杆良好的企业内部控制应能明显的提升企业的财务指标性能良好的企业内部控制应能明显的提升企业的劳动生产率良好的企业内部控制应能明显的改善运行机制的成熟度企业内部控制四、内控的发展与应用挑战成熟度目标的实现控制工作进度和质量发现和培养人才检讨环节领导的工作决策失误全面监测和分析企业的薪酬福利政策岗位能力分析与配置(组织成熟度)成熟度管理使企业业绩得以改善和提升强化员工向心力保证持续发展企业内部控制四、内控的发展与应用挑战内控体系有效性文化与组织架构控制环境治理各个业务条线管控人力资源/绩效管理什么样的内部控制是合理有效的内部控制体系建设?企业全员的参与以及繁重的内控体系建设,势必要回答一个不容回避的问题.企业内部控制讨论题:企业内部控制对企业经营管理成效的贡献度?(1)合理保证企业经营管理合法合规合法性要求;(2)资产安全资产保全性要求;(3)财务报告及相关信息真实完整可靠性要求;(4)提高经营效率和效果效率性要求;(5)促进企业实现发展战略战略性要求。内部控制的五大目标(摘自教科书)
