内控方法论与案例(

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,P,126,版权所有 1993-2009 金蝶软件(中国)有限公司,回归和谐 稳健成长,内控和风险管理咨询方法论和案例,金蝶软件（中国）有限公司,张红文,金蝶研究院 高级研究员,中注协会员 高级会计师,Email：zhanghw,11/27/2024,1,讲师简介,简况：,张红文，高级会计师、中国注册会计师协会会员。,现任：,金蝶研究院高级研究员，从事集团财务管理模式研究；历任规划部门经理负责规划了金蝶K/3及EAS集团财务管理软件；历任产品市场部门经理为招商局、中金岭南等数十家大型、超大型集团企业财务管理信息化提供过专业服务。,曾任：,公司财会部长、科长等职，服务于江西省医药集团、广东科龙集团，从事财务管理实务工作十余年。,著述：,出版个人著作集团财务管理新思维,目录,内控与风险管理基础理论,内控与风险管理实务框架,内控与风险管理案例解析,风险的概念,19世纪，西方古典经济学家就提出了风险的概念，认为风险是经营活动的副产品，经营者的收入是其在经营活动承担风险的报酬。,20年代初，美国经济学家奈特把风险与不确定性作了明确区分，指出风险是可测定的不确定性。认为风险存在着一定的统计规律，奠定了现代保险学的理论基础。,80年代初，日本学者武井勋认为风险是特定环境中和特定期间内自然存在的导致经济损失的变化。本定义包括三种要素：第一，风险与不确定性有差异；第二，风险是客观存在的；第三，风险可以被测量。,风险的概念：,风险是可测定的不确定性,具体风险的测定具有主观性与客观性,风险的结果有正面与负面两方面的影响，正面可以带来收益，负面可能带来损失,三国故事空城计,史上著名的三大泡沫事件,荷兰郁金香泡沫,英国南海泡沫,法国密西西比泡沫,1593年克卢修斯受聘担任荷兰莱顿大学植物园的主管将郁金香带到了荷兰。,1630年，荷兰的一朵郁金香花根售价是今天的76,000美元；,六星期后一位初到荷兰的水手误食一枚价值五万美元的“永远的奥古斯都”的郁金香球茎，,价格回落到每只1美元；,1720年初，为了刺激股票发行，南海公司制造“新闻”、接受投资者分期付款购买新股，股价由129英镑一路狂,飚到1000英镑以上,，,严重背离公司业绩。,1720,年,7,月起，内幕人士与政府官员大举抛售，南海公司股价一落千丈，,12,月跌至每股,124,英镑，南海泡沫破灭。,1719年7月25日，约翰劳的印度公司取得了皇家造币厂的承包权，8月取得农田间接税的征收权。,从1719年5月开始，推动法国股票价格连续上升了13个月，股票价格从500里弗尔涨到一万多里弗尔，涨幅超过了20倍。,从1720年5月法国股市开始崩溃，连续下跌13个月，跌幅为95%。,荷兰：法庭就淹没在郁金香的官司之中,政府护盘未果,强行终止所有合同,最终所有的“苦果”只能由投机者自己咽下。,法国：政府参与其中,信用严重受创;百姓卷入其中蒙受损失，投资信心受创。,英国：不知情的投资人陷入悲惨世界，损失惨重的还有英国经济和政府信用。,内部牵制,以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有效的内部牵制以便使各项业务能完整正确地经过规定的处理程序，而在这规定的处理程序中，内部牵制机能永远是一个不可缺少的组成部分。,柯氏会计辞典,1,2,3,4,两个假设,三个构成要素,四项基本职能,五种不相容职务,两个或两个以上的人或部门无意识地犯同样的错误机会较少；,两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。,L.R.Dicksee最早于1905年提出内部牵制（Internal Check）时认为，内部牵制由三个要素构成：职责分工；会计记录；人员轮换。,实物牵制,如钥匙交两个以上的持有，,物理牵制,如银库大门按非正确手续操作就会报警、,分权牵制,每项业务由不同的人或部门去执行、,簿记牵制,如明细帐与总帐定期核对。,授权批准、业务经办、会计记录、财产保管、稽核。,内部控制,“保护公司现金和其他资产，检查薄记事务的准确性，而在公司内部采用的手段和方法”,1936年AICPA的定义,内部控制包括组织的计划和企业为了保护资产，检查会计数据的准确性和可靠性，提高经营效率，以及促使遵循既定的管理方针等所采用的所有方法和措施。,1949年AICPA的定义,吉姆斯, D ,威廉森在,现代主计长手册,第五版中指出：“为了合理地保障企业特定目标的实现，企业管理当局制定了许多政策和程序。这个政策和程序集合就是内部控制制度。”,现代主计长手册,1953年10月，AICPA把内部控制分为会计控制和管理控制,会计控制“由组织计划和所有保护资产、保护会计记录可靠性或与此相关的方法和程序构成。,包括：授权与批准制度；记账、编制财务报表、保管财务资产等职务的分离；财产的实物控制；内部审计等；,管理控制“由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接相关的方法和程序构成。,通常只与财务记录发生间接的关系，包括统计分析、时动分析、经营报告、雇员培训计划和质量控制等。,内部控制结构,内部控制结构是指为了对实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体，包括控制环境、会计系统及控制程序三个部分。,1988年美国审计准则委员会第55号审计准则公告,控制环境,会计系统,控制程序,控制环境是对企业控制的建立和实施有重大影响的一组因素的统称。它们包括：,管理哲学和经营风格；,组织结构；,董事会的职能；,授权和分配责任的方式,管理控制方法；,内部审计；,人事政策和实务；,外部影响。,会计系统是企业为了汇总、分析、分类、记录和报告企业交易，并保持对相关资产与负债而建立的方法和记录。一个的效的会计系统应能做到以下几点：,确认并记录所有真实的交易；,及时且充分详细地描述交易，以便在财务报表上对交易作恰当的分类；,计量交易的价值，以便在财务报表 上记录其恰当的货币金额；,确定交易发生的期间，以便将交易记录在适当的会计期间；,在财务报表中恰当地表达的披露交易及相关事项。,控制程序同其他两个要素一样，也是为了合理保证公司目标的实现而建立的政策和程序，它既可以单独应用，也可以融合于控制环境或会计系统的特定组成部分。控制程序主要包括：,恰当授权；,职责分离,凭证和记录；,按近控制；,独立检查。,内部控制整合框架,1985年，由AICPA、IIA、FEI、AAA、IMA等共同发起成立了“全国舞弊性财务报告委员会”（即Treadway委员会）。两年后，根据该会的建议，其赞助机构又成立了专门研究内部控制问题的组织，即COSO委员会。,COSO的目的是制定一个服务于公司、独立公共会计师、立法者和监管部门需要的内部控制定义，为公司评价其内部控制系统的有效性提供一个参照标准的广泛框架。,1992年，COSO发布了内部控制整合框架,“内部控制是由董事会、管理当局和其他职员实施（effect）的一个过程（process），旨在为下列各类目标的实现提供合理保证：经营效果和效率；财务报告的可靠性；遵循适用的法律和法规”。,“将对内部控制的不同概念整合到一个框架中，从而达到对内部控制的共识，确定控制的构成要素”；,试图“建立一个适用于各方需求的通用的定义；提供一个标准，无论规模大小、公众还是私人的、盈利性的还是非盈利性的业务和企业，均可以参照该标准评估他们的控制系统并决定如何改进”；,从而“帮助公司和企业的管理层更好地控制组织的活动”。,1994年COSO委员会提出对外报告的修改篇，扩大了内部控制涵盖范围，增加了与保障资产安全有关的控制，得到了美国审计署(GeneralAccountingOffice，GAO)的认可。 ；,“保护资产防止未经授权的取得、使用或处置的控制是一个过程，它是由组织的董事会、管理层及其他人员实现的，用来为防止或及时发现那些对财务报告有重大影响的未经授权取得、使用或处置资产的行为提供合理保证的”。,内部控制整合框架,监控,信息和沟通,控制活动,风险评估,控制环境,营运,财务报告,合规性,业务单位A,业务单位B,活动2,活动1,信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。,信息和交流,（information and communication）,包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。,控制环境,（Control environment）,确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。,风险评估,（risk assessment）,帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。,控制活动,（control activities）,监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。,监控,（monitoring）,COSO内部控制整合框架：三目标、五要素,世界之交的挑战,2000,上世纪末,本世纪初,07年开始，全球经济因“次贷危机”这座冰山彻底改变了前进的航程。,贝尔斯登破产,两房面临破产困境,雷曼兄弟倒闭、美林被收购,AIG寻求政府救助,高盛、摩根士丹利无奈转寻商业银行兼并,“金融海啸”波及欧洲，影响全球。,1997年6月开始，一场金融危机在亚洲爆发，打破了亚洲经济急速发展的景象，亚洲一些经济大国的经济开始萧条。,1997年7月7日，泰国宣布放弃固定汇率制，实行浮动汇率制，引发了一场遍及东南亚的金融风暴。,1998年初，印尼金融风暴再起。,1998年8月初，美国股市动荡、日元汇率下跌，国际炒家对香港发动新一轮进攻。,前车之鉴：安然破产,2000年,美国最大的石油和天然气企业,当年的营业收入超过1000亿美元,雇佣员工2万人,美国财富500强第七名,2001年末,宣布第三季度6.4亿美元的亏损,隐瞒了5亿美元的债务,1997年以来虚报利润5.8亿美元,股价由年初80美元跌至年末80美分,此前10个月董事及高管红利3.2亿,分析调查,安然的董事会及审计委员会均采取不干预(“hands-off”) 监控政策,事件发生之后，部分董事表示不太了解安然的财务状况、 期货及期权的业务,安然重视短期的业绩指标,安然管理高层常常藐视或推翻公司制定的内控制度,前车之鉴：世通倒闭,2001年,美国第二大电信公司,美国财富500强中排名前l00位,2002年,世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法,在1998年至2002年期间，虚报利润110亿美元。,股价从最高的96美元暴跌至90美分,年末申请破产保护,世通的4名主管(包括公司的CEO和CFO)承认串谋讹诈，被联邦法院刑事起诉。,调查发现,世通的董事会持续赋予公司的CEO(Bernard Ebbers) 绝对的权力，让他一人独揽大权,美国证监会的调查报告指出：世通完全没有制衡机制,世通的董事会并没有负起监督管理层的责任,世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金,美国世通公司前CEO埃贝斯出庭受审,前车之鉴:巴林破产,英国巴林银行：20世纪90年代前英国最大的银行之一，有超过200年的历史。,19921994年期间，巴林银行新加坡分行总经理里森(Nick Lesson)从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动，累积亏损超过10亿美元，导致巴林银行于1995年2月破产，最终被荷兰ING收购。,调查发现,巴林银行的高层对里森在新加坡的业务并不了解,高层对财务报告不重视,缺乏职责划分的机制，里森身兼巴林新加坡分行的交易员和结算员,。,里森在自传中说：“有一群人本来可以揭穿并阻止我的把戏，但他们没有这么做。我不知道他们在监督上的疏忽与罪犯的疏忽之间的界限何在，也不清楚他们是否对我负有什么责任。”,前车之鉴：金融海啸中的五大投行,企业风险管理整合框架,2001年，COSO委托普华开发一个企业管理层评价和改进企业风险管理的框架；2003年，COSO发布企业风险管理框架（草稿）；2004年9月，COSO正式发布企业风险管理整合框架。,企业风险管理是“一个过程，它由一个主体的董事会、管理当局和其他人员实现（effect）的，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，为主体目标的实现提供合理保证” 。,内部控制已经包含在企业风险管理当中，而且是企业风险管理的一个组成部分，企业风险管理比内部控制宽泛，是在内部控制的基础上的拓展和精心设计，以形成一个更加充分关注风险的更“健壮”的概念体系。,COSO不打算、也的确没有用企业风险管理框架取代内部控制框架，而是将内部控制框架纳入其中，公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要，还可以借此转向一个更加全面的风险管理过程。,企业风险管理整合框架,目标：从各种角度来考虑,因素：从相联的各种过程来考虑,地点：从组织的各个层次考虑,与内部控制整合框架的差异与联系：,从二者的框架结构看，ERM增加了战略目标；增加了目标设定，事件识别和风险对策三个要素。,从二者的实质内容看,一是内部控制仅是管理的一项职能，而全面风险管理贯穿于管理过程的各个方面；,二是全面风险管理框架涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险，包括风险和机会；而内部控制框架没有区分风险和机会；,三是由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，在风险度量的基础上有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资源分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的四项目标。,全面风险管理涵盖了内部控制。,美国萨班斯法案,SOX法案302节“公司对财务报告的责任”,签字官员,（A）对建立及保持内部控制负责；,（B）设计了所需的内部控制，以保证这些官员能知道该公司及其纳入合并报表的子公司的所有重大信息，尤其是报告期内的重大信息；,（C）评价公司的内部控制在签署报告前90天内的有效性；,（D）在该定期报告中发布他们上述评价的结论。,签字官员已向公司的审计师及董事会下属的审计委员会（或担任同等职务的人员）披露了如下内容：,（A）内部控制的设计或运行中，对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷。并向公司的审计师指出内部控制的重大缺陷。,（B）在内部控制中担任重要职位的人员或其他雇员的欺诈行为，不论行为的影响是否重大。,签字官员应在报告中指明在他们对内部控制评价后，内部控制是否发生了重大变化，或是其他可能对内部控制产生重要影响的因素，包括对内部控制的重大缺陷或重要缺点的更正措施。,美国萨班斯法案,SOX法案404节“管理层对内部控制的评价”,(a),内部控制方面的要求SEC应当相应的规定，要求按1934年证券交易法第13节(a)或15节(d)编制的年度报告中包括内部控制报告，包括：,(1) 强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；,(2) 发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价；,(b) 内部控制评价报告对于本节(a)中要求的管理层对内部控制的评价，担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。,内部控制评价、审计,公司管理层对财务报告内部控制有效性的评价,注册会计师对财务报告内部控制的审计,注册会计师的审计报告,对内部控制有效性的审计意见,内部控制的,对外报告,内部控制的,对内报告,内部控制报告,浙江工商大学张宜霞美英上市公司内部控制评价与报告体系的比较研究,美国SEC“财务报告内部控制”,2003年6月， 美国SEC发布“财务报告内部控制”；,一个过程，它是由公司首席执行官和首席财务官或履行类似职能的人设计的或在其监督之下的，并由公司董事会、管理层和其他人员实施的，为财务报告的可靠性和按照公认会计原则编制对外财务报表提供合理保证；,财务报告内部控制包括的政策和程序要：,与保持适当详尽、准确和公允反映公司资产的交易和处置的记录相关；,合理保证对交易进行了必要的记录以容许按照公认会计原则编制财务报表，以及公司的收入和支出只根据公司管理层和董事的授权进行；,合理保证防止或及时发现未经批准取得、使用或处置那些可能会对财务报表产生重要影响的公司资产。,美国PCAOB审计准则,2004年发布标题为与财务报表审计相关的财务报告内部控制审计,管理当局的责任：,对公司财务会计报告内部控制的有效性负责；,使用适当的控制标准（如COSO标准）；,评价公司财务会计报告内部控制的有效性；,提供足够的证据、包括记录编制来支持评价，以及在公司最近的财政年度末，就公司财务会计报告内部控制的有效性出具书面评价。,评价内控有效性的程序：,确定需要测试的控制措施；,评价控制失败导致财务报表错报的可能性、错报的重要性；,评价控制措施的设计和实施有效性；,确定已识别的内控缺失是否构成重要缺失或实质性薄弱；,将发现传达给相关方；,对发现是否支持其评价进行评估。,PCAOB2号准则,2007年6月发布审计准则五号，对缺陷、重大缺陷和实质性缺陷的定义在二号准则的基础上进行了修改和说明。,缺陷,指当控制的设计或运行不允许管理层或雇员实施他们的职能来及时防止错报的发生，从而发生了内部控制缺陷。缺陷分为设计缺陷和运行缺陷。,重大缺陷,内部控制对于财务报告的缺陷或缺陷的组合，没有实质性缺陷那么来重，但是重要到能够吸引对于财务报告负责检查的人员的注意力。,实质性缺陷,财务报告内部控帽方面的一项缺陷，或者一组缺陷的组合，使得在合理的可能性水平上，公司年度或者中期的财务报告的实质性错报无法及时被阻止或察觉到。,PCAOB5号准则,国际内控与风险管理趋势,内部控制制度,AICPA把内控划会计控制和组织控制。,-建立内控,-数据准确一致,-内控可靠性,内部牵制,依据串通舞弊的可能性较小，提出五种不相容职务分离原则，实现实物与簿记牵制。,三大目标,-经营效果和效率,-财务报告的可靠性,-遵循适用的法律和法规,五大要素,-控制环境,-风险评估,-控制活动,-信息沟通,-监控,（1994年 ，,保护资产,）,四大目标,-战略实现,-经营效果和效率,-财务报告的可靠性,-遵循适用的法律和法规,八大要素,-内部环境,-目标设置,-事件识别,-风险评估,-风险反应,-控制活动,-信息与沟通,-监控,内部控制结构,AICPA内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序；,-,控制环境,-会计系统,-控制程序,（三要素）,内部控制整合框架,风险管理整合框架,1936年,1988年,1994年,2004年,2002年：SOX法案,2003年6月：SEC “财务报告内部控制”,2004年：,PCAOB2号准则,2007年6月： PCAOB5号准则,全球经济危机下中国企业的新挑战,合俊倒闭,中信巨亏,三鹿破产,更早前的案例,2004年中航油炒作原油期货，巨亏5.5亿美元；,银广夏造假、达尔曼资金黑洞、托普神话、德隆危机,美国金融危机波及中国实体经济企业倒闭第一案。,高管“不知情的”澳元累计认购期权合约公允价值损失约186亿港元。,三聚氰氨毒害一批婴幼儿，摧毁了三鹿，也损害了中国乳品行业。,前车之鉴：合俊倒闭,香港合俊控股集团成立于1996年，香港联交所上市企业，其主力生产基地就是设在樟木头镇的2家工厂，产品70%以上销往美国，包括为全球最大的玩具商美泰公司提供OEM（贴牌加工）业务。,合俊大事记,1995年：胡锦斌接下1700万港元的订单。一年后，合俊集团在东莞成立。,2004年：在合俊开始挺进成人玩具市场。,2006年9月：合俊集团在香港联交所上市，股票代码为02700。,2007年9月：合俊集团买入福建天安矿业股份。,2008年8月，为了缓解资金紧张，合俊以2700万元出售其在清远市佛冈的一块土地。,最近一次合俊公布中期业绩，股东亏损2亿元，每股亏损0.44元，不派中期息。8月15日，危机终于爆发。,2008年10月15日合俊集团旗下两工厂倒闭,约6500名员工失业，事发后，政府将先行垫付2400万元工资。,从影响和知名度来看，这被称为“,美国金融危机波及中国实体经济企业倒闭第一案,。”,前车之鉴：中信巨亏,中信泰富的前身泰富发展有限公司成立于1985年。,1986年通过新景丰公司获得上市地位，同年2月泰富发行2.7亿股新股予中国国际信托投资（香港集团）有限公司,1991年泰富正式易名为中信泰富。,荣智健称“不知情”遭到质疑,2008年10月20日中信泰富首告因澳元贬值跌破锁定汇价澳元累计认购期权合约公允价值损失约147亿港元，至今,巨额亏损已扩大到186亿港元,。,12月2日，中信泰富公开披露的股东通函显示，过去两年中，中信泰富分别与花旗银行香港分行、渣打银行、Rabobank、NATIXIS、瑞信国际、美国银行、巴克莱银行、法国巴黎银行香港分行、摩根士丹利资本服务、汇丰银行、Calyon、德意志银行等13家银行共签下24款外汇累计期权合约。,前车之鉴：三鹿倒闭,2008年报月12日官方初步认定：三鹿“问题奶粉”为不法分子在原奶收购中添加,三聚氰胺,所致 已传唤78人;,2008年9月18日，国家工商行政管理总局发出紧急通知，要求各地工商部门对市场上含三聚氰胺的液态奶，立即责令停止销售、下架退市。,2008年9月19日，国家处理三鹿牌婴幼儿配方奶粉事件领导小组召开第二次全体会议，全国各地已退市问题奶粉3215.1吨。,国务院办公厅日发出通知，要求各地区、各部门认真贯彻落实党中央、国务院的决策部署，以对人民群众高度负责的精神，进一步做好婴幼儿奶粉事件处置工作。,2008年12月31日，,原董事长受审,。,2009年02月13日，,三鹿集团正式破产,。,2009年03月04日，三元以6.1650亿元拍得三鹿资产。,企业内部控制基本规范,五目标,五原则,五要素,全面性原则,重要性原则,制衡性原则,适应性原则,成本效益原则,合法合规,资产安全,财务报告,经营绩效,战略实现,七项一般控制措施,不相容职务分离控制,授权审批控制,会计系统控制,财产保护控制,预算控制,运营分析控制,绩效考评控制,财政部、证监会、审计署、银监会、保监会五部委共同发布,内部环境,风险评估,控制活动,信息与沟通,内部监督,五个五：五目标、五原则、五要素、五部委发布共五十条,内部控制应用指引,1组织架构及权责分配（治理结构、机构设置、权责分配、内部审计、总分公司等内容）,2母子公司（母子公司治理结构下母公司对子公司的控制问题）,3安全环保与社会责任（理念、制度、投入、管理、检查等内容）,4人力资源管理（扩充原内容，对人力资源进行全方位、全过程控制）,5货币资金（扩充内容，不局限于收付程序的审批，对资金管理中的高风险问题进行提示）,6采购与销售（购销高风险业务环节控制，对以下各业务与事项的控制相似）,7工程及实物资产,8研发及无形资产,9筹资,10对外投资,11运营管理（生产经营过程控制）,12信用管理（授信管理问题，包括对往来客户、分子公司等的授信政策和管理等）,13预算管理,14担保与投保,15合同协议与法律事务,16重组与并购,17关联交易,18内部报告与信息系统（侧重内部报告机制建设和信息系统安全控制，包括反舞弊问题等）,19对外报告（含信息披露）,20银行业务（含信托业务）,21保险业务,22证券业务（含基金业务）,应用指引项目构成（征求意见稿）,内部控制评价指引,内部控制评价，是指由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。,企业实施内部控制评价，包括对内部控制设计有效性和运行有效性的评价。,信息系统的有效性评价包括信息系统一般控制评价和信息系统应用控制评价。,企业集团对被评价单位内部控制的有效性的评价。,内部控制评价的内容和标准,内部控制评价工作方案,内部控制评价工作程序,内部控制评估和测试的方法,内部控制有效性相关的证据,内部控制有效性相关的判断,内部控制评价证据保存,内部控制评价证据报告,内部控制评价的程序和方法,内部控制缺陷分类（一般可分为设计缺陷和运行缺陷）,内部控制缺陷判的断则,内部控制缺陷判的整改,年度内部控制评价报告,内部控制缺陷认定和评价报告,总则,适用范围、概念、基本原则、评价组织,内部控制鉴证指引,企业内部控制鉴证，是指会计师事务所接受委托，对企业与财务报告相关的内部控制的有效性进行鉴证，并发表鉴证意见。,企业内部控制鉴证指引是注册会计师执行企业内部控制(以下简称内部控制)鉴证业务的业务规范。,制定鉴证计划,实施鉴证工作,评价控制缺陷,评价控制缺陷,完成鉴证工作,鉴证,报告,工作,底稿,总则,国资委风险管理指引,目的：,明确要求中央企业要重视和开展全面风险管理；,明确什么是全面风险管理；,指导企业如何开展全面风险管理工作。,主要内容：,第一章总则,第二章风险管理初始信息,第三章风险评估,第四章风险管理策略,第五章风险管理解决方案,第六章风险管理的监督与改进,第七章风险管理组织体系,第八章风险管理信息系统,第九章风险管理文化,第十章附则,风险管理文化,全面风险管理体系,风险管理基本流程,一个流程,一个体系,一种文化,全面风险管理框架,全面风险的目标,五个目标,五个目标,风险控制在目标承受范围内,确保与股东的财务信息沟通,确保经营活动的效率与效果,重大风险的危机处理,合法合规,目录,内控与风险管理基础理论,内控与风险管理实务框架,内控与风险管理案例解析,一、企业内控与风险管理需求简析,需求,价值,障碍,动力,观念,企业内控与风险管理观念的转变,低层次/经营层次。风险监控是内部审计人员的职能。,风险是一个需要控制的负面因素。,风险管理在企业各部分个别展开,风险管理的责任被委派到低层次的人员,风险的衡量是主观的,无组织以及杂乱的风险管理职能,注重,操作,董事会关注,是CEO的工作 (也是董事会的监管),风险其实是一个机会,在整个企业范围内进行一体化的风险管理,风险管理的责任由高级和部门管理人员承担,风险的数化,风险管理被纳入所有企业管理系统,内控与风险管理的三大动力,管控需要,环境变化,法规要求,企业,国际：COSO、SOX等,国内：企业内控规范、指引等,全球经济一体化,全球经济危机,提高战略执行力的需要,强化企业（集团）管理控制,内控与风险管理的三大需求,公司层面：,流程层面：,将内部控制嵌入管理流程，实现管理和业务过程的内部控制。,法规层面：,建立和遵从内控制度的相关记录与报告。,建立公司内控与风险管理环境。,监控内控与风险管理体系的运行。,违规防范,降低认证成本,风险管理,实现稳健经营,内部控制,强化战略执行,三大需求是企业的普遍需求；,其中内部控制是各类企业的基本需求；,上市类公司及国资委企业出于法规的要求对风险管理有较高要求；,金融类公司出于国际、国内法规要求对违规防范（合规管理）有更高要求。,内控与风险管理的三大价值,回归和谐,稳健成长,法规遵从,以客户为导向，优化重组流程，确保业务流程协调一致、高效运行；,引入风险意识，将内部控制嵌入企业日常管理与业务流程中；,以战略为目标，整合优化流程，实现企业战略执行与内部运营的和谐。,以战略为导向，纳入风险管理意识，建立企业内控与风险管理环境；,以内控体系为基础，建立全面的风险监控体系；,以风险预警为手段，全面监控企业战略风险，确保企业稳健成长。,以相关政策法规为指南，建立内控与风险管理体系；,以内控与风险管理体系为保障，确保企业运行符合相关政策法规要求；,以内控与风险管理体系的合理设计与有效运行为基础，履行法规要求的记录与报告责任。,内控与风险管理的三大障碍,缺乏良好的控制环境,法人治理结构不健全，内部控制的外部约束较弱；,公司治理结构中责任不到位；,缺乏绩效考核对内部控制与风险管理的引导机制,高管层缺乏自主控制意识,没有形成重视风险的控制文化,缺乏内部控制方法理论,缺乏理论指导，以最佳实践为参考，注重对事件本身的控制，忽视对责任人的行为尤其是高管层行为的控制；,没有完善的行权、职责、反馈、改进规范；,把内控看成一套制度，而不是过程，缺乏动态理念。,崇尚经验式管理,对管理的有效性和制度的适当性缺乏评价标准,制度拟定部门从自身利益考虑，造成跨部门流程断裂或交叉,对重要的职责与权限划分有较大的随意性，重权力划分，轻责任归属,缺乏系统的风险评估方法和工具,缺乏定期反馈和修正机制,就内部控制建设而言，目前国企最缺乏的是制度化的风险评估以及科学的风险应对策略。,内部控制环境是内部控制是否有效的关键因素。,内控方法论应在行为管理学理论基础上创新发展,二、内控与风险管理方案模型,信息化平台,建立内控与风险管理基础环境,风险评估,识别定位衡量,评价,内部控制流程,设计/实施,内部控制流程,监控,监控持续改善,制定风险管理策略,回避分担降低承担,信息与沟通,设定目标,1、内部环境基本框架,管理层,CEO,第,三,道防线,第,二,道防线,第一道防线,业务部门,董事会,风险管理,内部审计,审计委员会,风险管理,委员会,一个基础 三道防线 一种文化,企业风险管理文化,OECD公司治理结构原则,保护股东权利,平等对待股东,利害相关者的作用,及时准确地披露信息,董事会的责任,一个基础：公司治理结构,狭义的公司治理是指一组联结并规范公司股东、董事会、经理人之间责、权、利关系的制度安排。,广义上，公司治理还包括公司与其他利益相关者（Stakeholder，如员工、客户、供应商、债权人和社区等）之间的关系，以及有关的法律、法规和上市规则等。,公司治理提供了对风险由上而下的监控与管理。,近年多个国家都订立了公司治理的最佳守则：,美国：纽约证交所最佳治理守则,英国：Cadbury/Hampel Report、The Combined Code,加拿大：Dey Report,OECD Report,这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任,公司治理结构的内控职责,企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。,股东（大）会,董事会,经理层,监事会,享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。,对股东（大）会负责，依法行使企业的经营决策权。,负责风险与内控建立健全和有效实施。,负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。,负责组织领导企业内控与风险管理的日常运行。,对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。,对董事会建立与实施内控与风险管理进行监督。,三道防线：风险管理组织体系,业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线,企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线,第二道防线是风险管理委员会,风险管理部职责包括：,编制规章制度,对各业务单位的风险进行组合管理,度量风险和评估风险的界限,建立风险信息系统和预警系统 、厘定关键风险指标,负责风险信息披露、沟通、协调员工培训和学习的工作,按风险与回报的分析，为各业务单位分配经济资本金,第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题。,内部审计的三大功能：,财务监督，包括财务帐的可用性、内部管理和制度的执行。,经营诊断，包括管理审计以及效率和效益审计、检查和诊断经营和管理过程中的偏差和失误。,咨询顾问，包括企业风险管理和发展策略方面的咨询、调查领导关心的热点问题和管理薄弱环节。,风,险,业务单位防线,第二道防线,第一道防线,第三道防线,风险管理单位防线,内审单位防线,风险管理组织体系及其职责,内容,董事会,风险管理委员会,总经理,风险管理专职部门,其他职能部门,监督部门,工作报告,审议工作报告,在董事会领导下，审议并提交风险管理各项方案、报告,主持全面风险管理日常工作,提出风险管理工作报告,执行风险管理基本流程和制度规范。负责本部门工作。,开展监督评价，出具评价报告,风险策略,确定风险管理总体目标和策略,提出风险管理策略,风险评估,批准重大风险评估报告,研究提出跨部门重大风险评估报告,控制决策,重大风险控制决策,研究提出跨部门重大风险管理方案,监督评价,批准监督评价报告,负责有效性评估提出改进方案,组织机构,批准,组织协调日常工作,2、设定目标：企业战略经营架构图,战略形成,外部环境分析,客户满意程度,主要成功因素,风险评估,理想及使命确定,战略定位,战略改进,评估和控制,特定战略,执行,经营计划,内部因素分析,行业/市场竞争分析,全球最佳借鉴,诊断,成文,执行,评估,SWOT,分析,中国重点国有企业领导人员培训-企业变革框架安达信公司企业咨询部 施能自 二一年十月十九日,核心价值观,行为规范/法人治理结构,运营管理,战略管理,愿景,企业文化,中国管理模式金字塔,愿景指标化(量化、非量化指标)，不再是一句口号,愿景指标与企业的财务目标、盈利、成长及股东价值有关；,愿景指标逐步分解为下面的四个维度的指标，这些指标最终在愿景指标得到反映,衡量战略的具体指标和标准,包含战略要素、衡量指标、战略举措,战略指标分解为运营指标与行动方案,将各项战略指标转化为具体的可以操作的运营指标，每项战略指标可以分解出多项运营指标,每项运营指标包含衡量指标、运营举措、责任人,建立支撑运营的治理结构指标,多为管理制度、激励制度等管理类定性指标,为其他四个方面的宏大目标提供基础架构，是驱使前述指标获得卓越成效的动力,两个主要范畴：1) 企业文化：企业的灵魂 ；2) 核心价值观：公司学习、进步、创新的动力源泉。,中国管理模式的金字塔指标,金蝶行业对标研究战略金蝶研究院吴生平,5.1 创建持续创新、勇于变革、富有弹性的企业文化,5.2 提高员工满意度,5.3 营造激励性的创新文化,3.1 提高技术创新水平,3.2 提高对市场的洞察力，以市场引导销售,3.3 提高供应链管理水平,3.4 提高客户关系管理水平,3.5 建立并持续改善紫光流程和制度,2.1 增长战略：提高市场份额,2.2 生产率战略：提升人均生产率,2.3 成本战略：降低单产成本,2.4 企业和品牌战略：提高经销商满意度,2.5 市场盈利战略,1.1 企业行业地位,1.2 企业盈利指标,1.3 企业发展指标,从企业使命引伸而来的关键成功因素,愿景,战略管理,运营管理,治理结构,关键指标体系,企业文化,4.1 建立有效的激励机制,4.2 建立网络化的治理结构,4.3 健全内部控制制度,4.4加强透明化管理,金蝶行业对标研究战略金蝶研究院吴生平,战略目标样本,以公司的产品、服务和健康信息来源来提高公司顾客的生活品质；以永远求新为公司发展的企业核心,愿景,使命,价值观,提升在中国行业,在国际的领导地位,创新团队,以人为本,追求卓越,战略目标,关键绩效指标,加强政府,关系管理,健全零售及采购体系,降低营运成本与费用,增强员工技能并加强团队精神,销售额,市场份额,品牌知晓度,存货周期,采购成本,商品结构,员工流动率,员工满意度,营运收入,利润,销售费用占总收入比例,应收帐款周转率,建立客户关系管理系统及电子商务,客户满意度,内容贡献,电子商务收入,实现国际化集团公司,投资收益率,组织及协办政府活动的次数,提供明确的目标导向,提供可衡量的指标以保证战略目标的实现,中国重点国有企业领导人员培训-企业变革框架安达信公司企业咨询部 施能自 二一年十月十九日,3、风险识别：企业风险模型,竞争者敏感性股东关系资金充足性 金融市场,灾难性损失独立政治法律行政管理行业,环境风险,信息技术风险,使用权 完整性相关性 可得到性 基础设施,财务风险,货币利率,流动性结算,再投资信用,双边关系,现金转移或流速改变,廉政风险,管理欺诈雇员欺诈,非法行为无授权使用商誉,授权风险,领导力权力,限制 表现激励,沟通,营运风险,客户满意人力资源,产品开发效率,能力表现差异,循环时间资源,商品定价过失或损失,符合性业务中断,健康和安全 环境,产品或服务失败,商标或产品名侵蚀,流程风险,营运,价格合同投入衡量,结盟完整性和精确性,管理报告,决策信息风险,财务,预算和计划完整性和精确性,会计信息财务报告评价,税收养老基金,投资评估管理报告,战略,环境检视业务组合,价值衡量组织结构,资源分配计划,生命周期,企业需要按照以下的“企业风险模型”设计企业内部管理及风险控制体系来全面减少企业的经营风险。,阿瑟安德森公司对商务风险的简明定义,中国重点国有企业领导人员培训-企业变革框架安达信公司企业咨询部 施能自 二一年十月十九日,环境风险,竞争者,敏感性,股东关系,资本的可获得性,灾难性损失,政策法规风险,行业风险,金融市场风险,竞争者令企业失去原有的市场竞争优势,企业无法对变化的环境作出有效及时的反应,直接关系到企业在资本市场上的筹资能力,公司可能无法筹措到足够的资金来支持自身发展,自然灾害给企业造成巨大的损失,由政策法规的不可测性及变化给企业带来损失,由于行业有关要素变化，使企业丧失在行业中的优势地位,由于金融市场的价格波动给企业的金融性资产造成损失,流程风险-营运风险,1、客户满意,由于对客户服务不够重视造成营业额下降,2、人力资源,岗位人员资格和能力不够,3、产品开发,新产品无法被市场接受,4、效率,企业效率底下令成本高居,5、能力,企业生产能力过剩或者不足,6、表现差异,企业的运作水平与国际先进水准之间还存在巨大的差距,7、时间拖延,业务流程耗时过多,8、存货遗失,由于管理不当，存货的遗失给企业业绩造成巨大的损失,9、符合,由于员工的失误，产品不符合市场需要，无法完成企业预期目标,10、业务中断,由于原材料供应中断、有经验人员流失等原因造成的业务中断,流程风险-营运风险（续）,11、采 购,企业可能由于缺乏材料供应商的选择余地造成采购成本偏高,12、商品定价,定价的不合理，由于市场价格的波动给企业带来可能的损失,13、产品或服务失败,由于某种产品的失败给企业的整个形象造成影响,14、环 境,由于企业破坏环境而受到第三方或政府的罚款,15、健康和安全,由于对安全生产不够重视造成员工的伤亡给企业造成不必要的损失,16、商标被侵蚀,由于产品或服务的质量不佳，造成企业名誉受损,流程风险-财务风险,1,2,3,4,5,货币风险,利率风险,流动性,现金转移速度,国际结算,6,再投资,7,信用,利率波动可能会增加企业的借款费用和减少投资项目的产出,资产变现能力差可能企业陷入财务危机,现金的回笼速度直接影响企业对现金的使用效率,企业资金在两国市场上运作，可能由于两个市场结算时间不同给企业的现金流带来影响,资金在短期高回报投资项目结束回笼后无法再次获得相同回报的投资机会,货币汇率的波动直接影响企业的业绩,客户长期拖欠货款造成企业现金被大量挤占,流程风险-授权风险,业务流程的负责人没有领导力,员工或者不能尽职或者做本不应由其完成的工作,管理层超越职权限制，滥用权利,由于表现评估制度不合理致使员工对工作缺乏兴趣,公司内部上下以及横向沟通不够造成内部合作不够紧密,1、领导力,3、限 制,4、表现激励,5、沟 通,2、职 权,流程风险-信息处理 /技术风险,1. 使用权,对数据使用的权限设置不够安全,造成机密的泄漏,2. 整合性,由于系统不集成造成公司的数据不具整合性给管理造成困难,4. 可得到性,急需的数据无法得到,3. 相关性,所收集的数据与管理所需的数据无关,流程风险-廉政风险,1.管理欺诈,管理层在会计报表中作假蒙骗总公司领导和投资者,廉政风险,2.雇员欺诈,雇员私自挪用公司资产造成企业重大损失,3.非法行为,管理人员或员工擅自以公司名义作出违法行为使企业蒙受损失,4.无授权使用,员工未经授权，为其他目的使用公司资产,决策信息风险-营运风险,1、定价风险,定价不合理造成对企业业绩的影响,公司可能由于没能按期完成合同，造成公司被大量罚款和最终失去某个客户,由于缺乏可靠的衡量标准，造成管理层决策较为随意，容易造成决策失误给企业带来损失,公司流程中所执行的目标和业绩考核标准与公司总体的目标所要求的不相符合,向有关不门递交的报告不完整,.,不正确,.,不及时，使企业遭受有关方面的罚款等,2、,合同执行,3、,衡 量,4、,符合性,5、,管理报告,决策信息风险-财务,1、预算和计划,预算和计划不切实际，无法执行。,企业财务数据不够完整和准确，无法全面真实地反映企业经营状况。,过渡依赖于会计信息对企业经营状况作出判断，忽视其他的因素如客户满意度等,由于企业没能按时按期依法纳税，遭到税务机关的罚款,福利基金的不足造成员工缺乏工作积极性,管理层在缺乏财务数据和相关信息的基础上作出投资评估，往往造成投资的失败,2、完整性和准确性,3、会计信息,4、税 收,5、福利基金,6、投资评估,决策信息风险-战略,无法及时发现竞争环境所发生的变化，及时调整战略,。,企业没有良好的业务组合来实现其业绩的最大化,管理层没能从战略角度评估某项业务,组织衡量标准只关注短期业绩或与业务战略不一致,组织架构与变化了的企业战略不相适应,资源分配无法维持企业在市场中的有利地位,企业没能依照产品的生命周期及时调整自身的战略,1、环境监视,2、业务组合,3、价值评估,4、衡量标准,5、组织结构,6、资源分配,7、生命周期,风险识别方法,风险识别的基本方法：风险清单,潜在损失一览表：通过预先设计的表格进行分析识别。,保单检视表：将保险公司现行出售的保险单所列出的风险与风险分析调查表的项目综合而成的问卷式表格。,资产暴露分析表：表内的内容分为资产和损失暴露两大类，不仅局限于可保风险，也包含不可保的纯风险。,风险识别的辅助方法：,财务报表分析法：从损失暴露入手，找出可能对这些损失暴露有影响的风险源。,流程图法：根据业务或管理流程来识别风险。,事故树法：遵循逻辑学演绎分析原则，从结果分析原因。,调查问卷法：通过向被调查人员询问分析可能引起事项的内部和外部因素。,小组讨论或访谈法：通过一对一的访谈或小组会议了解分析存在的风险。,增量或临界触发器法：将当前交易或事件与预定标准进行比较，提醒管理者对这些事件的关注。,过往损失事件数据法：对过往损失或失败事件建立数据库进行统计分析，帮助趋势分析和识别损失或失败的缘由。,实地检查法：通过实地调查查明损失或失败可能的原因。,风险列表,风险分类,风险名称,风险描述,风险的影响,涉及的部门,涉及的流程,控制目标,XX公司风险列表,各行业的前10种最主要的风险因素（德勤统计数据）,次序,银行/保险业/证券,制造业,其他,1,内部控制的质量,内部控制的质量,内部控制的质量,2,管理人员的能力,管理人员的能力,管理人员的能力,3,管理人员的正直程度,管理人员的正直程度,管理人员的正直程度,4,会计系统的近期变动,单位的规模,会计系统的近期变动,5,单位的规模,经济环境恶化,业务的复杂性,6,资产的流动性,业务的复杂性,资产的流动性,7,重要人员的变动,重要人员的变动,单位的规模,8,业务的复杂性,会计系统的近期变动,经济环境恶化,9,快速的增长,快速的增长,重要人员的变动,10,政府法规,管理人员对完成目标的压力,快速的增长,4、风险评估,。,。,。,。,。,。,。,。,。,。,risk1,Risk2,。,。,综合信息框架,风险图谱,风险识别,风险分析,风险初步判断,确认风险事件,风险定义归类,红灯区,黄灯区,绿灯区,可能性,重要性,风险列表,分析结果,风险表现分析,风险影响分析,风险动因分析,风险关系分析,风险发生,可能性评价,风险影响,程度评价,风险评价,风险模型,重大风险模型,。,。,。,风险评估报告,摘自风险管理与内部控制金蝶集团 翁晓文2008年6月,风险评估是在风险识别的基础上对风险