企业内部控制与风险管理.ppt

内部控制与风险管理 培训内容 内部控制综述职业舞弊内控的建立和执行 COSO内部控制整合框架内部环境内部控制的实质 风险管理内部控制活动信息与沟通内部审计 内部控制综述 一个真实的案例 发生在一家世界级的组织中 新家坡航空 由一名工作人员所为 没有任何串通和合谋 TeoChengKiat张俊杰 长达十三年之久 1987 2000 几乎每天都在进行每笔贪污金额从10新元到5000新元不等单在1999年就有1590万新元在2000年的头18天内就有180万新元贪污总金额3500万新元 折合人民币1 82亿 发生了什么 内部控制被忽视的理由 我的员工忠诚可靠 我相信我的员工我们从没发生过问题外部审计师在检查我们的财务报表我没时间程序耗时又没有用处我最好还是把时间用在其他战略问题上面 那么内控到底是什么 COSO对内部控制的定义 内部控制是一个过程 该过程受到机构董事会 管理层和其他人员的影响 其目的为下列目标的实现提供合理的保证 运营的效果和效率 报告的可靠性 遵守适用的法律和法规 战略目标 注 COSO是指美国反对虚假财务报告委员会所属的内部控制专门研究委员会 发起机构委员会 CommitteeofSponsoringOrganizationsoftheTreadwayCommission 简称COSO COSO内部控制的核心观念 内部控制是一个过程 是实现目标的手段 而不是结果本身内部控制受到人的影响 而不仅仅是一套制度手册或是规章对管理层或董事会而言 内部控制提供的仅是合理的保证 而不是绝对的保证内部控制的目的在于实现企业一个或几个目标 但这些目标可能会有重复和交叉 组织内的内部控制 组织外的内部控制 谢宾斯基三角 战略伙伴 内部控制不局限在内部它延伸到产业链的边缘 COSO报告 人员在内部控制中的职责 董事会管理层内部审计师内部其他人员外部人员 自上而下 全员参与 各司其责 CEO对整个控制系统负责 对董事会负责 设计治理结构 指导监管的进行 评价 监控 有助 独立 更具有可靠性 明确职责 积极主动参与 配合实施 业务部门的工作范畴 建立和完善内控政策是哪个部门的工作 内控职能部门的工作范畴 牵头协助协调审查 MOTOROLA的三件法宝 竞争优势 六希格玛 全面缩短运作周期 内部控制 内部控制能够帮助我们绕过途中的陷阱 到达目的地 MOTOROLA总裁加利 吐克 基石 必须和经营理念相结合才能形成竞争优势 内控体系不是一成不变的 因时因地因人而变 内部控制的局限性 内部人员 包括内控 内审人员 素质不适应岗位要求造成判断失误 执行偏差内部控制的单向性 管理层滥用职权 蓄意因营私舞弊等合伙同谋 串通作弊成本效益原则内部控制的滞后性 内控系统的整体架构 COSO立方体 内部环境 目标制定 事项识别 风险评估 风险反应 控制活动 监督 信息与沟通 业务活动1 业务活动2 事业部1 事业部2 遵守适用的法律和法规 报告的可靠性 运营的效果和效率 战略目标 内部控制的八要素 内部控制贯穿所有业务部门 内部控制的目标 COSO内部控制构成八要素 内部环境 最基本的要素 指风险管理哲学和风险偏好 员工诚实性和道德观 以及企业经营环境 目标制定 包括企业生产经营 资金等等各项指标的制定是企业的管理导向事项识别 对企业的事项按照轻重缓急进行分类风险评估 导致上述目的无法实现的风险的识别和分析 变革管理风险反应 对风险评估的考核和检验控制活动 控制政策 程序 方法 信息系统控制信息与沟通 建立完善信息系统 以提供上述目标实现状况的信息 公司内部及外部信息的及时充分沟通监督 对内控的有效性进行的持续监控 对内控系统进行独立评价 对控制缺陷的报告 内部环境都包括什么 董事会与审计委员会诚信及道德价值观管理哲学及经营风格组织结构胜任能力承诺权责分配人力资源 内部控制的实质 风险管理 内部控制是 企业风险管理 不可分割的一部分风险必须直接与控制目标相关联 然后通过控制活动进行管理风险是阻碍实现目标的不确定性 用发生概率和影响程度来衡量 评估风险发生的概率 评估风险的影响程度 风险地图 定性分析 定量分析 风险评估 工具 固有风险剩余风险 固有风险是指公司经营动作中必定存在的风险 企业的风险控制活动会影响此类风险发生的可能性及其影响 剩余风险是指那些运用了所有的控制和风险管理技术以后而留下来的 未被管理的风险 风险评估基础 风险特点 开辟新市场的可行性报告大额采购的招标制度 操作方式 实例 避免风险 全面预算管理固定资产定期盘点财务报销基本流程和规定外部 内部审计 买各类保险同种原材料有多个供应商关键信息的备份 员工突然离职客户突然取消合作意向 通过内部控制政策规范业务行为通过定期检查避免重大风险 建立内控系统外部 内部审计建立作业流程 转移自身风险到第三方分散防范措施 有预防措施接受风险 发生概率高风险危害巨大属于非常规业务风险可以控制 降低风险 分散风险 接受风险 发生概率高风险危害中等属于常规业务风险可以控制 发生概率低风险危害巨大单方不可控制 发生可能性低风险危害小清楚风险来源 风险对策 风险对策的应用 发生概率 影响程度 低 高 大 小 不大可能有可能很可能基本确定 重大负面影响很大负面影响较大负面影响轻小负面影响 高风险 避免降低 中等风险 低风险 中等风险 降低 分散 接受 危机管理 实质 达成共识 内部控制活动 高层管理人员的复核中层管理人员的直接管理或参与实物的控制会计系统控制预算控制绩效指标考核职责分离 组织牵制信息系统控制 职责分离 检查 授权 批准 执行 记录 财产保管 组织牵制 组织牵制 信息系统控制 网络 操作系统 数据库 应用程序 安全性 黑客 病毒攻击操作 备份 异地同步备份 变更 授权 预防性控制VS检查性控制 预防性控制所有大额的支票必须要有两名审核人员的签名选择供应商 要求从核准的供应商目录中选择批准付款前将发票与验收报告相核对在付款前 审查发票的数字计算是否正确 检查性控制编制银行存款余额调节表将供应商的对账单与应付账款记录核对实物盘点 在盘点过程中密切存货的积压 变质等情况实地观察工资发放及随机抽查部分工资数据 控制活动比较 系统检查性控制 系统预防性控制 人工检查性控制 人工预防性控制 更可靠 更可靠 更及时 更及时 信息与沟通 识别 捕捉 处理并报告内外部信息有效地将信息向公司内部 横向与纵向 及公司外部传递 信息的质量 沟通的途径 非正式的聊天电话正式的会议电话会议 网络聊天手机短信电子邮件信函 传真备忘录公司内部网络公告公司杂志正式报告 语音沟通 书面沟通 国际内部审计师协会 IIA 在1999年对内部审计重新定义内部审计 译 是一种独立 客观的保证和咨询活动 旨在增加组织价值和改善组织的运营 它通过应用系统的 专业的方法 评价和改善风险管理 控制和治理过程的有效性 帮助组织实现其目标这一新定义将内部审计的范围延伸到风险管理和公司治理 认为内部审计是针对内部控制及治理过程的有效性进行评价和改善所必需的 内部审计 IIA内审的报告关系 职能性报告 审计执行主管 CAE 应直接向审计委员会 董事会或其他类似机构报告行政性报告 向CEO报告 董事会 CEO 审计委员会 内部审计 外部审计 内部审计的灵魂是什么 独立性客观性 内审与内控的关系 内部控制是内部审计的主要职责 内部审计是内部控制的重要组成部分 内审 内控 职业舞弊 定义 利用个人职权通过有预谋的误用或滥用组织资源或资产为个人谋取利益 舞弊者的范围涵盖了职员 经理层及执行管理层职业舞弊的特点 是秘密的 违背了组织授予舞弊者的职责 以舞弊者直接或间接的财务利益为目的 以组织的资产 收入或储备金为代价 职业舞弊理论 GONE 理论 Greed 贪婪 Opportunity 机会 Need 需求 Exposure 暴露 冰山理论 舞弊的原因就象海面上漂浮的冰山 水下部分是最危险的舞弊三角理论 为什么 自我合理化 压力 机会 职业舞弊类型 腐败 盗用资产 虚假财务报表 现金 利益冲突 行贿爱贿 非现金资产 非法赠与 经济敲诈 窃取现金 收入 收款 退款等平入账或降低入账金额 虚假支付 存货 信息 证券 隐瞒负债 虚假收入 不当计价 不当披露 收入 成本确认时间差 各类型舞弊的分布状况 摘自 2010ACFEReporttotheNationonOccupationalFrandandAbuse 占百分比 平均损失 万美元 舞弊者所在部门及平均损失 摘自 2010ACFEReporttotheNationonOccupationalFrandandAbuse 单位 KUSD 高管 13 5 董事会 1 4 法务 0 5 采购 6 2 财务 4 2 市场公关 2 0 仓库 4 7 人力资源 1 3 会计 22 0 生产 1 7 运营 18 0 研发 0 8 销售 13 5 IT 2 8 客服 7 2 内审 0 2 舞弊者的异常行为 摘自 2010ACFEReporttotheNationonOccupationalFrandandAbuse 单位 生洗水平明显超出收入水平财务困难个人职责范围不愿意别人介入与客户 供应商交往过于密切追求利益的生活态度离婚 家庭问题易怒 多疑 防御性成瘾问题拒绝休假昔日雇佣相关问题抱怨收入不公平组织内压力过大昔日法律问题生活环境不稳定家庭或周围人对其成功的过度压力抱怨缺乏权力 职务舞弊与工作时间 摘自 2010ACFEReporttotheNationonOccupationalFrandandAbuse 反舞弊措施及其效果 摘自 2010ACFEReporttotheNationonOccupationalFrandandAbuse 初次发现舞弊的方式 举报管理层审核内部审计暴露对账文件审查外部审计监控警方发现自首IT控制 发现类型 摘自 2010ACFEReporttotheNationonOccupationalFrandandAbuse 举报来源 摘自 2010ACFEReporttotheNationonOccupationalFrandandAbuse 举报比例 舞弊与内控的关系 问 舞弊所造成的危害主要在哪些方面 答 通常除虚假财务报表外 其他舞弊所造成的财产损失是比较小的 但它会极大地危害企业的控制环境 尤其是对舞弊行为未进行恰当的处罚时 会动摇整个企业的控制体系 答 不是 但是为了实现内控的主要目标 各种控制活动在执行过程中会同时达到防止舞弊的作用 答 主要是通过营造或改善企业的控制环境 其次是通过具体的控制活动和监督来实现 问 防止舞弊是否是内控的主要目标 问 防止舞弊主要通过何种途径实现 建立内部控制的步骤 阶段 确认目标1 明确公司目标2 目标分解至业务层面 V 效果检测8 检测执行效果并查找原因9 方案改进 阶段 风险评估3 风险识别4 风险评估 阶段 政策制定5 标准确定6 政策制定 阶段 控制执行7 按标准严格执行内控政策 阶段 确认目标 3个步骤 量化 能量化的尽量量化 细化 不能量化的要细化 针对内容繁杂的工作 流程化 不能细化的尽量流程化 针对性质单一的工作 2个答案 结果 完成这样的目标 最终期望的结果是什么 行动 完成这样的结果 需要采取哪些行动1个原则 SMART Specific具体的 Measurable可衡量的 Achievable可实现的 Relevant相关的 Timeline时间表 阶段 确认目标 2 公司目标分解至业务层面 5321法 5个标尺 数量产量 次数 频率 销售额 利润率 客户保持率等质量准确性 满意度 通过率 达标率 创新性 投诉率等环境 安全 健康事故次数 事故级别 损失金额 伤残率 发病率 废弃物等排放标准成本成本节约率 投资回报率 折旧率 费用控制率等时间期限 天数 及时性 推出新产品同期服务时间等 阶段 风险评估 3 风险识别个步骤 核心业务领域 地区 单位 部门 流程 岗位 占收入 费用或利润比重较大的项目 对实现企业目标影响重大的领域 已经存在明显的隐患领域 有举报 投诉 纠纷的领域 长期没有进行过内 外部审计的单位 没有管理流程 绩效不明 分工不清的单位4 风险评估 风险识别方法 个别会谈调查表研讨会 头脑风暴法 15 25人 名义群体法 调查表 头脑风暴 德尔菲法 匿名 电子会议法 阶段 政策制定 5 标准确定A 识别关键绩效区 KPA KeyPerformanceArea 主要为重要部门和关键操作流程 B 确定绩效控制点 CCP CriticalControlPoint C 设定绩效控制标准 KPI KeyPerformanceIndicator 即量化或非量化的指标6 政策制定以流程图 二维表及文字描述的形式编制内控政策 二维表 对内部控制的关键控制点进行记录 流程图 用符号和图形来表述内部控制的程序及关键路径 文字表述 对内部控制的健全程度的执行情况的书面叙述 二维表 注意要点 以财务报表的认定为出发点 重点放在主要风险领域 避免无关痛痒的事务 控制点的描述要尽可能简单优点 能够对业务对象提供一个简括说明 省时省力 权责明晰缺点 对内部控制只能按项目分别考察 不能提供一个完整看法 流程图 流程 一系列跨越时间和地点的有次序的工作行为有开始 结束和明确定义的输入 输出等主要元素包括 重要的资料来源 输出文档 报告和记录 重要的资料文档 凭证和记录 重要的处理程序 包括修正与重新处理程序 职责的划分常用符号 阶段 控制执行 7 按标准严格执行内控政策 已制定的内控政策同相关人员进行充分沟通 人员的培训 严格执行 如何确保内控的执行 执行性的企业文化执行性的人才执行性的制度 养成执行的习惯 高压线 法则 控制政策是公司的高压线 任何人触犯都要受到处罚 警告性原则 一致性原则 公平性原则 高压线电力十足 不用手去摸也知道 是会灼伤人的 任何时候碰到高压线 肯定会被灼伤的 任何人碰到高压线 肯定会被灼伤的 8 检测执行效果并查找原因A 执行过程中的检测 主动检测 工作报告 预算执行情况的复核 被动检测 突发事件 其他反馈B 单独的评估 自我评估 内部审计 外部审计 阶段V 效果检测 9 方案改进 迅速采取纠正措施 修改 重建业务流程 调整绩效控制点 CCP 或绩效控制标准 KPI 接受差异 不做处理 阶段V 效果检测 2008年9月5日上午10点 拥有158年历史的美国第四大投资银行 雷曼兄弟公司向法院申请破产保护 消息瞬间传遍地球的各个角落 令人惊诧的是 10分钟后德国国家发展银行居然通过自动付款系统 向雷曼兄弟公司即将冻结的隐患账户转入了3亿欧元 毫无疑问 这将是肉包子打狗有去无回 转账风波曝光后 德国社会舆论哗然 纷纷指责德国国家发展银行是迄今 最愚蠢的银行 法律事务所的调查员随后进行了调查 结果发现 从宣布破产到自动划款这10分钟时间里 与此相关的每个工作人员 都有责任 谁造就了德国最愚蠢的银行 首席执行官乌尔里奇 施罗德说 这笔巨额交易是事先约定好的 但是否要撤销 应该有董事会决定 董事长保卢斯说 我们当时还没有得到风险评估报告 因此无法及时做出正确的决策 董事会秘书史里芬说 我曾向国际业务部催要风险评估报告 可电话总是占线 我想等会儿再打 国际业务部经理克鲁克说 星期五晚上准备带上全家人去听音乐会 因此刚过10点的时候 我一直打电话预定门票 负责处理与雷曼兄弟公司业务的高级经理希特霍芬说 我让文员上网浏览新闻 一旦有雷曼兄弟公司的消息就立即报告 布置完任务之后 我去休息室喝了杯咖啡 文员施特鲁克说 10时03分 看到雷曼兄弟公司申请破产保护的新闻后 我马上就跑到希特霍芬的办公室 可他喝咖啡去了 我给他留了张便条 他回来后自然会看到 结算部经理德尔布吕克说 我一直没有接到停止交易的指令 那就按照原计划转账吧 结算部是自动付款系统操作员曼斯坦因说 虽然我知道雷曼已经破产 但让我执行转账操作 我就什么也没再问 信贷部经理莫德尔说 我从施特鲁克那里知道了这个消息 但是我相信其他职员的专业素养 一定不会犯低级错误 因此我就没再多嘴 德国经济评论家哈恩说 上到董事长 下到操作员 没有一个人是愚蠢的 可悲的是 几乎在同一时间 每个人开了点小差 加在一起就创造出了 德国最愚蠢的银行 实际上 只有当中有一个人认真负责一点 这场悲剧就不会发生 演绎一场悲剧 短短10分钟就已足够 有责任心的人