《内控建设与评价》

0企业内部控制建设及评价交流2020年2月28日1内控哪个环节出了问题，如何用内控去防范？？为什么SOX重拳打击虚假财务信息，又来了金融危机？为什么麦当劳肯德基始终一尘不染，小胖墩总是爱去？为什么巴林银行交易员能够越权，越权交易暴露滞后？为什么在同一市场中，同类企业经营现金流反差很大？中国移动社会责任报告跟垃圾短信是否存在必然联系？为什么中信泰富事前备受追捧，事后却成负面典型？为什么国内企业虚收入安在，安然世通却倒闭了？为什么富士康跳楼连连，大家还蜂拥而入？为什么内控制度你写你的，他做他的？为什么高科技企业发展中都变味了2交流提纲内部控制建设流程内部控制工作的机制要素内部控制评价流程内部控制的基本要素和基调内部控制工作机制国内外企业内控工作经验简介内控问题案例及启示3内部控制的基本要素价值观执行力管理格调权限设置信息沟通运行机制目标内部控制基本要素体系4302及906条财务报告及信息披露404条财务报告及信息披露302条及906条证明书管理层对于404条的内控报告外部审计报告道德条款公司监控内控自评政策及程序编写及记录内控文件内控评价对内控不足之处改进外部审计：1、对管理层评价的认证；2、对内控的评价企业特性决定了内控的基调监管环境：资本市场、五部委、国资委风险偏好管理风格SOX体现上市公司内控的真谛5内部控制工作组织机构四个层级的职责设定启动与调研方案设计实施规划评估验收内控领导小组各职能部门内控建设团队审计/监察联络人虚拟团队市场部牵头建设部牵头财务部牵头市场组资本组财务组IT组信息部牵头项目管理1.培训及知识转移2.试点、推广、全面实施3.IT系统设计和上线4.流程、监控体系设计5.内部控制手册的编制6.……董事会及审核委员会内控评价团队6搭建内控支撑系统内控支撑系统内控组织机构细则管理职责分解内控自评缺陷整改领导小组内控团队相关领导内控管理员内控手册内控细则控制点内控资料库细则修订分解至牵头部门分解至执行部门分解至执行人评价责任分解进度监控审核汇总执行人自评检查人评价缺陷确认及导入整改任务分配整改过程跟踪整改结果反馈缺陷统计分析控制库一人一表缺陷库权限配置作用：实现内控建设和评价的流程化、规范化功能：控制点执行和评价责任动态分解，评价重点筛选和方法固化设计：与公司OA等各系统有效衔接7内控责任体系内控责任管理办法授权审批权限设定内控责任分解整体层面责任分解业务流程层面责任分解责任追究机构内控工作领导小组各业务和管理部门内控工作团队审计部门内控评价工作团队口头批评书面批评通报批评绩效处罚行政处罚刑事责任考核手段问题严重程度一般重要重大8建立有效的制度体系《内控管理办法》《内控评价办法》《内控责任追究办法》《内控岗位职责说明书》《内控缺陷限期整改责任书》《违规积分管理办法》《内控自我评价工作考核细则》《内控制度执行情况考核办法》管理和促进内控落实的制度和措施内控开展情况，内控问题纳入经营者绩效考核体系内控考核由股份公司内部控制领导小组统一组织实施内控建设团队、评价团队、内审部门分别提出考核意见上级单位负责对下级单位的内控工作进行监督检查各单位内部控制领导小组负责对本单位的内控工作监督检查内控工作监督考核9内控建设理论框架国际上具影响力的内部控制框架中国不断加强内部控制及风险管理的监管要求•1992，美国COSO报告：内部控制——综合性框架，简称COSO；•1995，加拿大COCO委员会《控制原则标准》，简称COCO原则；•1999，英国Turnbull指南《内部控制——综合守则的董事指南》；•2004，美国COSO委员会发布ERM，即《企业风险管理-综合性框架》；•2004，香港联交所《企业管治常规守则》及《企业管治报告》。•1996，财政部《独立审计具体准则第9号——内部控制和审计风险》；•1997，中国人民银行《加强金融机构内部控制的指导原则》；•1999，保监会《保险公司内部控制制度建设指导原则》；•1999，全国人大常委会《会计法》；•2001，证监会《证券公司内部控制指引》；•2001，财政部《内部会计控制规范——基本规范（试行）》等；•2002，中国人民银行《商业银行内部控制指引》；•2006，国资委《中央企业全面风险管理指引》；•2006，财政部牵头成立“中国内部控制标准委员会”；•2006、2007，深交所、上交所内控指引；•2008，财政部等五部委联合发布《企业内控基本规范》。…………?国内外思路差异10COSO内控框架监督信息与沟通控制活动风险应对风险评估事项识别目标设定内部环境COSO内部控制整体框架(1992)COSO企业风险管理框架(2004)监督信息与沟通控制活动风险评估控制环境弥补缺口子公司营业单位部门公司层面其他内控体系COCOTurnbull“中国COSO”，全面风险管理日本......ISOxxx属于思路/原则/方向层面内控表现为一系列的程序（process)和政策（policy)相当于企业内控的“宪法”属于防御性制度体系管理体系的建立要遵循COSO宪法管理体系一般应该满足一定的形式。11内控定义内控基本规范全面风险管理COSO内控框架本办法所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。本指引所称内部控制系统，指围绕风险管理策略目标，针对企业战略、规划……环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率，财务报告的可靠性和遵守适用的法律法规。COSO风险管理企业的董事会、管理层和其他员工共同参与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活动，用于确定可能影响企业的潜在事项，并在其风险偏好范围内管理风险，从而对企业目标实现提供合理保证。?内控定义的共性约定12国内外企业内控建设工作总结通常的实施方法实施牵头部门内控的成本实施难点关键成功要素13内部控制建设流程内部控制的设计步骤风险评估流程与技术建立信息与沟通机制公司层面控制举例14内控建设基本方法相互牵制原则协调配合原则程式定位原则成本效益原则全面系统原则标准、有效适用、务实全面、协调及时、预见灵活、弹性内控制度设计基本原则内控制度设计基本要求内控制度设计步骤拟定控制目标确定控制措施分析、整合控制流程鉴别重要控制环节风险评估15拟定控制目标公司愿景战略规划计划制定目标的假设前提SOWT?多少企业直奔流程主体？不同企业特性不同目标用工：工作环境，薪酬计量和发放，安全生产目标具体化多细的目标多高的目标企者不立，跨者不行16公司层面风险评估风险：任何可能影响组织实现其目标的事项威胁不确定因素机会战略风险财务/市场风险经营性的/法律法规性的风险风险包括:恶性事件不确定事件机会事件主要风险因素•管理层的能力•管理层的道德观•近期系统变化•组织规模•资产流动性•变革•复杂程度•快速增长•规章制度是否健全风险评估方法专家讨论法调查分析法风险地图法财务指标分析法17公司层面风险评估确定关键风险的核心，是确定风险的可能性和影响程度两大指标通过评估风险的重要性和紧迫性两个维度，确定每个风险在模型中的位置从风险因素在风险图谱的不同位置，确定关键风险关键风险由于其重要性高、紧迫性高，因此一般需要重点管控风险图谱示例风险图谱346781012590.51.52.53.54.55.50.51.52.53.54.55.5很低较低中等较高很高发生可能性影响程度很小较小一般较大很大需关注的关键风险图谱中绿色区域图谱中黄色区域图谱中红色区域风险区域低风险一般风险关键风险风险分级18公司层面风险评估评分12345定性等级划分极低低中等高极高文字描述定量一定时期风险事件发生的概率风险事件发生频率风险事件的数量评分12345风险影响程度描述极低低中等高极高定量对收入的影响损失或费用占税前利润比定性对企业声誉的影响安全方面的影响程度企业日常运营风险发生可能性风险影响程度19公司层面风险评估指标3指标2指标1定量指标3指标2指标1定性54321评分风险影响程度评估标准表（2）定量指标选取1个即可注：（1）具体指标值将随风险类型、不同省份的情况而变化指标3指标2指标1定量指标3指标2指标1定性54321评分风险可能性评估标准：风险评估标准表指标3指标2指标1定量指标3指标2指标1定性54321评分风险影响程度评估标准表（2）定量指标选取1个即可注：（1）具体指标值将随风险类型、不同省份的情况而变化指标3指标2指标1定量指标3指标2指标1定性54321评分风险可能性评估标准：风险评估标准表20公司层面风险评估###########10###########9###########8###########7###########6###########5###########4###########3###########2###########1平均……专家4专家3专家2专家1平均……专家4专家3专家2专家1影响程度发生可能性风险名称编号###########10###########9###########8###########7###########6###########5###########4###########3###########2###########1平均……专家4专家3专家2专家1平均……专家4专家3专家2专家1影响程度发生可能性风险名称编号将评估结果对应到风险图谱，落在红色区域的为关键风险，加以重点控制21风险分析及判断从整体业务层面分析从业务性质层面分析从财务报表层面分析从会计科目层面分析从会计科目认定分析业务和财务分析映射风险评估切入点判断风险影响风险的直接影响风险的潜在影响22内控建设基本方法控制流程——是依次贯穿于某项业务活动始终的基本控制步骤及相应环节通常与业务流程相吻合，主要由控制点组成当企业的业务流程存在缺陷时，需要根据控制目标和控制原则加以整合分析、整合控制流程资金支出控制流程举例（流程及控制点责任分解）支付申请支付审批支付复核办理支付用款部门审批人员会计部门出纳部门23内控建设基本方法鉴别目的——实现控制目标，主要控制容易发生偏差的业务环节控制环节或控制点——那些可能发生错弊因而需要控制的业务环节关键控制点——作用大，影响广，甚至决定全局成效的控制点一般控制点——只发挥局部作用，影响特定范围的控制点鉴别重要控制环节控制活动类型——授权、审批、复核及核对、资产实物控制、差异分析报告、职责分离、信息处理控制、业绩评价、职责分工等控制措施——为预防和发现错弊而在某控制点所运用的各种控制技术和手续等确定控制措施预防控制，检查控制；主控制，冗余控制；基础控制，应用控制；手工控制，自动控制24企业内控建设实施流程央企内控建设项目实例项目前期准备现状描述及讨论制订并实施修补计划对内控缺陷提修改建议编写内控手册（初稿）管理层审定现状及修改建议试行内控手册（初稿）检查试行情况总结汇报、完善内控手册企业内控体系总公司内控手册总部及分公司的实施细则配套的权限列表其他公司制度、办法25国外企业内控建设工作经验借鉴企业可以采用不同的方式记录内部控制业务流程描述的方式—有利于打破企业内部不同部门之间的条块界线流程图表的方式—能够直观地表现业务事项发生发展的逻辑关系编写控制点列表的方式—有利于内控记录持续更新、添加或删减控制点使用软件系统辅助404条款遵循工作促进404条款遵循工作流程的标准化便于管理层汇总、分析404条款遵循工作的情况及成果提供404条款遵循工作的即时信息降低404条款遵循工作管理成本、显著提高工作效率?中国企业基本业务