企业内部控制与风险管理.ppt

内部控制与风险管理,培 训 内 容,内部控制综述 职业舞弊 内控的建立和执行,COSO内部控制整合框架 内部环境 内部控制的实质风险管理 内部控制活动 信息与沟通 内部审计,内部控制综述,一个真实的案例,发生在一家世界级的组织中（新家坡航空） 由一名工作人员所为，没有任何串通和合谋 （Teo Cheng Kiat 张俊杰） 长达十三年之久（1987-2000） 几乎每天都在进行 每笔贪污金额从10新元到5000新元不等 单在1999年就有1590万新元 在2000年的头18天内就有180万新元 贪污总金额3500万新元（折合人民币1.82亿） 发生了什么？,内部控制被忽视的理由,我的员工忠诚可靠，我相信我的员工 我们从没发生过问题 外部审计师在检查我们的财务报表 我没时间 程序耗时又没有用处 我最好还是把时间用在其他战略问题上面 ,那么内控到底是什么？,COSO对内部控制的定义： 内部控制是一个过程，该过程受到机构董事会、管理层和其他人员的影响，其目的为下列目标的实现提供合理的保证 运营的效果和效率 报告的可靠性 遵守适用的法律和法规 战略目标,注：COSO是指美国反对虚假财务报告委员会所属的内部控制专门研究委员会发起机构委员会（Committee of Sponsoring Organizations of the Treadway Commission， 简称COSO）,COSO内部控制的核心观念,内部控制是一个过程，是实现目标的手段，而不是结果本身 内部控制受到人的影响，而不仅仅是一套制度手册或是规章 对管理层或董事会而言，内部控制提供的仅是合理的保证，而不是绝对的保证 内部控制的目的在于实现企业一个或几个目标，但这些目标可能会有重复和交叉,组织内的内部控制,组织外的内部控制,谢宾斯基三角,战略伙伴,内部控制不局限在内部它延伸到产业链的边缘,COSO报告：人员在内部控制中的职责,董事会 管理层 内部审计师 内部其他人员 外部人员,自上而下,全员参与,各司其责,CEO对整个控制系统负责，对董事会负责,设计治理结构，指导监管的进行,评价、监控,有助、独立、更具有可靠性,明确职责，积极主动参与、配合实施,业务部门的 工作范畴,建立和完善内 控政策是哪个 部门的工作？,内控职能部门 的工作范畴,牵头 协助 协调 审查,MOTOROLA的三件法宝,竞争优势,六 希 格 玛,全面 缩短 运作 周期,内部控制,内部控制能够帮助我们绕过途中的陷阱，到 达目的地。MOTOROLA总裁 加利.吐克,基石,必须和经营理念相结 合才能形成竞争优势,内控体系不是一成不变 的，因时因地因人而变,内部控制的局限性,内部人员（包括内控/内审人员）素质不适应岗位要求造成判断失误、执行偏差 内部控制的单向性：管理层滥用职权、蓄意因营私舞弊等 合伙同谋、串通作弊 成本效益原则 内部控制的滞后性,内控系统的整体架构-COSO立方体,内 部 环 境,目 标 制 定,事 项 识 别,风 险 评 估,风 险 反 应,控 制 活 动,监 督,信 息 与 沟 通,业 务 活 动 1,业 务 活 动 2,事 业 部 1,事 业 部 2,遵守适用的 法律和法规,报告的 可靠性,运营的效 果和效率,战略目标,内部控制 的八要素,内部控制 贯穿所有 业务部门,内部控制的目标,COSO内部控制构成八要素,内部环境：最基本的要素，指风险管理哲学和风险偏好；员工诚实性和道德观；以及企业经营环境。 目标制定：包括企业生产经营，资金等等各项指标的制定是企业的管理导向 事项识别：对企业的事项按照轻重缓急进行分类 风险评估：导致上述目的无法实现的风险的识别和分析；变革管理 风险反应：对风险评估的考核和检验 控制活动：控制政策、程序、方法；信息系统控制 信息与沟通：建立完善信息系统，以提供上述目标实现状况的信息，公司内部及外部信息的及时充分沟通 监督：对内控的有效性进行的持续监控；对内控系统进行独立评价；对控制缺陷的报告,内部环境都包括什么？,董事会与审计委员会 诚信及道德价值观 管理哲学及经营风格 组织结构 胜任能力承诺 权责分配 人力资源,内部控制的实质-风险管理,内部控制是“企业风险管理”不可分割的一部分 风险必须直接与控制目标相关联、然后通过控制活动进行管理 风险是阻碍实现目标的不确定性，用发生概率和影响程度来衡量,评估风险发 生的概率,评估风险的 影响程度,风险地图,定 性 分 析,定 量 分 析,风险评估,工具,固有风险 剩余风险,固有风险 是指公司经营动作中必定存在的风险， 企业的风险控制活动会影响此类风险 发生的可能性及其影响,剩余风险 是指那些运用了所有的控制和风险管 理技术以后而留下来的，未被管理的 风险,风险评估基础,风 险 特 点,开辟新市场的 可行性报告 大额采购的招 标制度,操 作 方 式,实 例,避免风险,全面预算管理 固定资产定期盘点 财务报销基本流程 和规定 外部/内部审计,买各类保险 同种原材料有 多个供应商 关键信息的备份,员工突然离职 客户突然取消 合作意向,通过内部控制政 策规范业务行为 通过定期检查 避免重大风险,建立内控系统 外部/内部审计 建立作业流程,转移自身风险 到第三方 分散防范措施,有预防措施 接受风险,发生概率高 风险危害巨大 属于非常规业务 风险可以控制,降低风险,分散风险,接受风险,发生概率高 风险危害中等 属于常规业务 风险可以控制,发生概率低 风险危害巨大 单方不可控制,发生可能性低 风险危害小 清楚风险来源,风险对策,风险对策的应用,发生概率,影 响 程 度,低,高,大,小,不大可能 有可能 很可能 基本确定,重大负面影响 很大负面影响 较大负面影响 轻小负面影响,高风险,避免 降低,中等风险,低风险,中等风险,降低,分散,接受,危机管理,实质达成共识,内部控制活动,高层管理人员的复核 中层管理人员的直接管理或参与 实物的控制 会计系统控制 预算控制 绩效指标考核 职责分离/组织牵制 信息系统控制 ,职责分离,检 查,授权,批准,执行,记录,财产保管,组织牵制,组织牵制,信息系统控制,网络,操作系统,数据库,应用程序,安全性黑客病毒攻击 操作备份（异地同步备份） 变更授权,预防性控制VS检查性控制,预防性控制 所有大额的支票必须要 有两名审核人员的签名 选择供应商，要求从核 准的供应商目录中选择 批准付款前将发票与验 收报告相核对 在付款前，审查发票的 数字计算是否正确,检查性控制 编制银行存款余额调节 表 将供应商的对账单与应 付账款记录核对 实物盘点，在盘点过程 中密切存货的积压、变 质等情况 实地观察工资发放及随 机抽查部分工资数据,控制活动比较,系 统 检查性控制,系 统 预防性控制,人 工 检查性控制,人 工 预防性控制,更 可 靠,更 可 靠,更及时,更及时,信息与沟通,识别、捕捉、处理并报告内外部信息 有效地将信息向公司内部（横向与纵向）及公司外部传递,信息的质量,沟通的途径,非正式的聊天 电话 正式的会议 电话会议,网络聊天 手机短信 电子邮件 信函/传真 备忘录 公司内部网络公告 公司杂志 正式报告 ,语音沟通,书面沟通,国际内部审计师协会（IIA）在1999年对内部审计重新定义 内部审计（译）：是一种独立、客观的保证和咨询活动，旨在增加组织价值和改善组织的运营。它通过应用系统的、专业的方法，评价和改善风险管理、控制和治理过程的有效性，帮助组织实现其目标 这一新定义将内部审计的范围延伸到风险管理和公司治理，认为内部审计是针对内部控制及治理过程的有效性进行评价和改善所必需的。,内部审计,IIA内审的报告关系,职能性报告：审计执行主管（CAE）应直接向审计委 员会、董事会或其他类似机构报告 行政性报告：向CEO报告,董事会,CEO,审计委员会,内部审计,外部审计,内部审计的灵魂是什么？,独立性 客观性,内审与内控的关系,内部控制是内部审计的主要职责,内部审计是内部控制的重要组成部分,内审,内控,职业舞弊,定义：利用个人职权通过有预谋的误用或滥用组织资源或资产为个人谋取利益。 舞弊者的范围涵盖了职员、经理层及执行管理层 职业舞弊的特点 是秘密的 违背了组织授予舞弊者的职责 以舞弊者直接或间接的财务利益为目的 以组织的资产、收入或储备金为代价,职业舞弊理论,“GONE”理论：Greed（贪婪），Opportunity（机会），Need（需求）， Exposure（暴露） 冰山理论：舞弊的原因就象海面上漂浮的冰山，水下部分是最危险的 舞弊三角理论,为什么？,自我合理化,压力,机会,职业舞弊类型,腐败,盗用资产,虚假财务报表,现金,利益冲突,行贿爱贿,非现金资产,非法赠与,经济敲诈,窃取现金,收入/收款/退 款等平入账或 降低入账金额,虚假支付,存货,信息,证券,隐瞒负债,虚假收入,不当计价,不当披露,收入/成本 确认时间差,各类型舞弊的分布状况,摘自：”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,占百分比,平均损失（万美元）,舞弊者所在部门及平均损失,摘自：”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,单位：KUSD,高管（13.5%） 董事会（1.4%） 法务（0.5%） 采购（6.2%） 财务（4.2%） 市场公关（2.0%） 仓库（4.7%） 人力资源（1.3%） 会计（22.0%） 生产（1.7%） 运营（18.0%） 研发（0.8%） 销售（13.5%） IT（2.8%） 客服（7.2%） 内审（0.2%）,舞弊者的异常行为,摘自：”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,单位：%,生洗水平明显超出收入水平 财务困难 个人职责范围不愿意别人介入 与客户/供应商交往过于密切 追求利益的生活态度 离婚/家庭问题 易怒、多疑、防御性 成瘾问题 拒绝休假 昔日雇佣相关问题 抱怨收入不公平 组织内压力过大 昔日法律问题 生活环境不稳定 家庭或周围人对其成功的过度压力 抱怨缺乏权力,职务舞弊与工作时间,摘自：”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,反舞弊措施及其效果,摘自：”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,初次发现舞弊的方式,举报 管理层审核 内部审计 暴露 对账 文件审查 外部审计 监控 警方发现 自首 IT控制,发 现 类 型,摘自：”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,举报来源,摘自：”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,举报比例(%),舞弊与内控的关系,问：舞弊所造成的危害主要在哪些方面？,答：通常除虚假财务报表外，其他舞弊所造成的财产损失是比较小的，但它会极大地危害企业的控制环境，尤其是对舞弊行为未进行恰当的处罚时，会动摇整个企业的控制体系。,答：不是，但是为了实现内控的主要目标，各种控制活动在执行过程中会同时达到防止舞弊的作用。,答：主要是通过营造或改善企业的控制环境，其次是通过具体的控制活动和监督来实现,问：防止舞弊是否是内控的主要目标？,问：防止舞弊主要通过何种途径实现？,建立内部控制的步骤,阶段.确认目标 1.明确公司目标 2.目标分解至业 务层面,V.效果检测 8.检测执行效 果并查找原因 9.方案改进,阶段.风险评估 3.风险识别 4.风险评估,阶段.政策制定 5.标准确定 6.政策制定,阶段.控制执行 7.按标准严格执行 内控政策,阶段.确认目标,3个步骤 量化：能量化的尽量量化 细化：不能量化的要细化（针对内容繁杂的工作） 流程化：不能细化的尽量流程化（针对性质单一的工作） 2个答案 结果：完成这样的目标，最终期望的结果是什么 行动：完成这样的结果，需要采取哪些行动 1个原则（SMART） Specific 具体的 Measurable 可衡量的 Achievable 可实现的 Relevant 相关的 Timeline 时间表,阶段.确认目标,2.公司目标分解至业务层面（5321法），5个标尺） 数量 产量、次数、频率、销售额、利润率、 客户保持率等 质量 准确性、满意度、通过率、达标率、创 新性、投诉率等 环境/安全/健康 事故次数、事故级别、损失金额、伤残 率、发病率、废弃物等排放标准 成本 成本节约率、投资回报率、折旧率、费 用控制率等 时间 期限、天数、及时性、推出新产品同期 服务时间等,阶段.风险评估,3.风险识别个步骤 核心业务领域、地区、单位、部门、流程、岗位 占收入、费用或利润比重较大的项目 对实现企业目标影响重大的领域 已经存在明显的隐患领域 有举报、投诉、纠纷的领域 长期没有进行过内、外部审计的单位 没有管理流程、绩效不明、分工不清的单位 4.风险评估,风险识别方法,个别会谈 调查表 研讨会 头脑风暴法（15-25人） 名义群体法（调查表头脑风暴） 德尔菲法（匿名） 电子会议法,阶段.政策制定,5.标准确定 A.识别关键绩效区(KPA-Key Performance Area, 主要为重要部门和关键操作流程) B.确定绩效控制点(CCP-Critical Control Point) C.设定绩效控制标准(KPI-Key Performance Indicator),即量化或非量化的指标 6.政策制定 以流程图、二维表及文字描述的形式编制内控政策 二维表：对内部控制的关键控制点进行记录 流程图：用符号和图形来表述内部控制的程序及 关键路径 文字表述：对内部控制的健全程度的执行情况的 书面叙述,二维表,注意要点 以财务报表的认定为出发点 重点放在主要风险领域，避免无关痛痒 的事务 控制点的描述要尽可能简单 优点：能够对业务对象提供一个简括说明； 省时省力，权责明晰 缺点：对内部控制只能按项目分别考察， 不能提供一个完整看法,流程图,流程：一系列跨越时间和地点的有次序的工作行为 有开始、结束和明确定义的输入 、输出等 主要元素包括： 重要的资料来源，输出文档、报告和记录 重要的资料文档、凭证和记录 重要的处理程序，包括修正与重新处理程序 职责的划分 常用符号,阶段.控制执行,7.按标准严格执行内控政策 已制定的内控政策同相关人员进行 充分沟通 人员的培训 严格执行,如何确保内控的执行,执行性的企业文化 执行性的人才 执行性的制度,养成执行的习惯,“高压线”法则：控制政策是公司的高压线，任何人触犯都要受到处罚,警告性原则： 一致性原则： 公平性原则：,高压线电力十足。不用手去摸 也知道，是会灼伤人的,任何时候碰到高压线，肯定会 被灼伤的,任何人碰到高压线，肯定会被 灼伤的,8.检测执行效果并查找原因 A.执行过程中的检测 主动检测：工作报告、预算执行情况的复核 被动检测：突发事件、其他反馈 B.单独的评估 自我评估 内部审计 外部审计,阶段V.效果检测,9.方案改进 迅速采取纠正措施 修改/重建业务流程 调整绩效控制点（CCP） 或绩效控制标准（KPI） 接受差异，不做处理,阶段V.效果检测,2008年9月5日上午10点，拥有158年历史的美国第四大投资银行雷曼兄弟公司向法院申请破产保护，消息瞬间传遍地球的各个角落。令人惊诧的是，10分钟后德国国家发展银行居然通过自动付款系统，向雷曼兄弟公司即将冻结的隐患账户转入了3亿欧元，毫无疑问，这将是肉包子打狗有去无回。 转账风波曝光后，德国社会舆论哗然，纷纷指责德国国家发展银行是迄今“最愚蠢的银行”。法律事务所的调查员随后进行了调查，结果发现，从宣布破产到自动划款这10分钟时间里，与此相关的每个工作人员“都有责任”,谁造就了德国最愚蠢的银行？,首席执行官乌尔里奇.施罗德说：“这笔巨额交易是事先约定好的，但是否要撤销，应该有董事会决定。” 董事长保卢斯说：“我们当时还没有得到风险评估报告，因此无法及时做出正确的决策。” 董事会秘书史里芬说：“我曾向国际业务部催要风险评估报告，可电话总是占线，我想等会儿再打。” 国际业务部经理克鲁克说：“星期五晚上准备带上全家人去听音乐会，因此刚过10点的时候，我一直打电话预定门票。“,负责处理与雷曼兄弟公司业务的高级经理希特霍芬说：“我让文员上网浏览新闻，一旦有雷曼兄弟公司的消息就立即报告。布置完任务之后，我去休息室喝了杯咖啡。” 文员施特鲁克说：“10时03分，看到雷曼兄弟公司申请破产保护的新闻后，我马上就跑到希特霍芬的办公室，可他喝咖啡去了。我给他留了张便条，他回来后自然会看到。” 结算部经理德尔布吕克说：“我一直没有接到停止交易的指令，那就按照原计划转账吧！” 结算部是自动付款系统操作员曼斯坦因说：“虽然我知道雷曼已经破产，但让我执行转账操作，我就什么也没再问。”,信贷部经理莫德尔说：“我从施特鲁克那里知道了这个消息。但是我相信其他职员的专业素养，一定不会犯低级错误，因此我就没再多嘴。” 德国经济评论家哈恩说：“上到董事长，下到操作员，没有一个人是愚蠢的。可悲的是，几乎在同一时间，每个人开了点小差，加在一起就创造出了，德国最愚蠢的银行。”实际上，只有当中有一个人认真负责一点，这场悲剧就不会发生。演绎一场悲剧，短短10分钟就已足够。,有责任心的人,