第六章风险管理下的内部控制

公司战略与风险管理康妮kn_connie@163.com第六章风险管理下的内部控制风险管理下的内部控制内部控制基本规范内部控制评价内部控制的目标内部控制原则内部控制的实施体系内部控制评价原则内容程序审计委员会在内部控制中的作用缺陷认定报告框架结构图内部控制应用指引（18项）风险管理、内部控制与公司治理内部控制的要素•第一节内部控制基本规范本节主要内容简介：内部控制的目标内部控制的原则内部控制的实施体系内部控制的要素•—、内部控制的目标（掌握）《基本规范》将内部控制定义为：•由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。•该定义反映了以下基本概念：内部控制是一个过程，它是实现目的的手段，而非目的本身；内部控制受人的影响，它不仅仅是政策手册和图表，而且涉及企业各层次的人员；内部控制只能向企业董事会和经理层提供合理的保证，而非绝对的保证；内部控制是为了实现五类既相互独立又相互联系的目标。•《基本规范》将内部控制的目标归纳为五个方面：（1）合理保证企业经营管理合法合规；（2）合理保证企业资产安全；（有效、安全、完整）（3）合理保证企业财务报告及相关信息真实完整；（4）提高经营效率和效果；（5）促进企业实现发展战略。•二、内部控制的原则（掌握）（一）全面性原则贯穿决策、执行和监督的全过程覆盖企业及其所属单位各种业务和事项（二）重要性原则在全面控制的基础上，内部控制应该关注重要业务事项和高风险领域。（三）制衡性原则内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（五）成本效益原则又称为成本与效率效果原则，就是指内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。•三、内部控制的实施体系（掌握）•（一）以法制为推动•（二）以企业实施为主体•（三）以政府监管和社会评价为保障•四、内部控制的要素（重点掌握）•（一）内部环境是企业实施内部控制的基础。•【六大要素】：·公司治理结构·内部机构设置与职责分工·内部审计·人力资源政策·企业文化·法制环境•1.公司治理结构•【股东（大）会】享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。•【董事会】对股东（大）会负责，依法行使企业的经营决策权。•【监事会】对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。•【经理层】负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。•与内部控制的关系：•【董事会】负责内部控制的建立健全和有效实施。•【监事会】对董事会建立与实施内部控制进行监督。•【经理层】负责组织领导企业内部控制的日常运行。•企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。•2.内部机构设置与职责分工•企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。•企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。•3.内部审计•企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。•内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。•内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告。•对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。•4.人力资源政策•（1）员工的聘用、培训、辞退与辞职。•（2）员工的薪酬、考核、晋升与奖惩。•（3）关键岗位员工的强制休假制度和定期岗位轮换制度。•（4）掌握国家秘密或重要商业秘密的员工离岗的限制性规定。•（5）有关人力资源管理的其他政策。•企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。•5.企业文化•企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。•董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。•企业员工应当遵守员工行为守则，认真履行岗位职责。•6.法制环境•企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。•（二）风险评估•企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。•风险评估的要素归纳为四个方面，即确定风险承受度、识别风险（包括内部和外部风险）、风险分析和风险应对。•企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。•风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。•企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。•企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。•企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。•（三）控制活动•企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。•控制活动或控制措施概括为7个方面，即不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。•（四）信息与沟通•企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。•主要围绕内部和外部信息的收集、信息在内部和对外部相关者间的传递、信息技术平台、反舞弊机制、举报投诉制度和举报人保护制度等展开。•（五）内部监督•内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。基本规范主要针对内部监督的类型和方式、内部控制的自我评价和缺陷认定机制、内部控制记录制度等进行规定。•第二节内部控制应用指引•一、组织架构•《企业内部控制应用指引第1号——组织架构》所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。•（一）组织架构设计与运行中需关注的主要风险•治理结构层面的风险：治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。•内部机构层面的风险：内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。•（二）内部控制要求与措施•1.组织架构的设计（5条）（1）治理结构——董事会、监事会、经理层（职责权限、工作程序等）（2）企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。（3）内部职能机构及职责（4）工作岗位及职责（不相容职务分离）（5）企业应当制定组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或相关文件。2.组织架构的运行（1）全面梳理——符合现代企业制度要求治理结构（人员任职资格和履职情况、运行效果）组织结构（设置合理性、运行高效性）（2）尤其关注子公司（3）全面评估（设计及运行的效率和效果）•二、发展战略•《企业内部控制应用指引第2号——发展战略》所称发展战略，是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略规划。•什么都可以出错，战略不能出错；•什么都可以失败，战略不能失败。•（一）制定与实施发展战略需关注的主要风险•（1）缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。•（2）发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。•（3）发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。•（二）内部控制要求与措施•1.发展战略的制定•（1）企业应当在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标。•（2）企业应当根据发展目标制定战略规划。•（3）企业应当在董事会下设立战略委员会，或指定相关机构负责发展战略管理工作，履行相应职责。•（4）董事会应当严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性。•企业的发展战略方案经董事会审议通过后，报经股东（大）会批准实施。•2.发展战略的实施•（1）发展战略的分解（年度工作计划，全面预算）•（2）发展战略的宣传（发展战略及其分解落实情况传递到内部各管理层级和全体员工）•（3）监控——战略委员会•（4）调整——按照规定权限和程序•三、人力资源•《企业内部控制应用指引第3号——人力资源》所称人力资源，是指企业组织生产经营活动而录（任）用的各种人员，包括董事、监事、高级管理人员和全体员工。•政治路线确定之后，干部就是决定的因素——毛泽东•（一）人力资源管理需关注的主要风险•（1）人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。•——企业决策层和执行层的高管人员•（2）人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。•——专业技术人员•（3）人力资源退出机制不当，可能导致法律诉讼或企业声誉受损。•——企业辞退员工、解除员工劳动合同等而引发的劳动纠纷•（二）内部控制要求与措施•1.人力资源的引进与开发•2.人力资源的使用与退出•四、社会责任•《企业内部控制应用指引第4号——社会责任》所称社会责任，是指企业在经营发展过程中应当履行的社会职责和义务。•【主要包括】安全生产、产品质量（含服务）、环境保护、资源节约、促进就业、员工权益保护等。•（一）履行社会责任方面需关注的主要风险•（1）安全生产措施不到位，责任不落实，可能导致企业发生安全事故。•（2）产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产。•（3）环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业。•（4）促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。•（二）内部控制要求与措施•1.安全生产•2.产品质量•3.环境保护与资源节约•4.促进就业与员工权益保护•五、企业文化•《企业内部控制应用指引第5号——企业文化》所称企业文化，是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。•美国兰德公司研究：世界500强企业之所以强，关键在于文化制胜。•企业文化在促进企业发展战略实现过程中的灵魂和支柱作用•（一）企业文化建设需关注的主要风险•（1）缺乏积极向上的企业文化，可能导致员工丧失对企业的信心和认同感，企业缺乏凝聚力和竞争力。•（2）缺乏开拓创新、团队协作和风险意识，可能导致企业发展目标难以实现，影响可持续发展。•（3）缺乏诚实守信的经营理念，可能导致舞弊事件的发生，造成企业损失，影响企业信誉。•（4）忽视企业间的文化差异和理念冲突，可能导致并购重组失败。•（二）内部控制要求与措施•1.企业文化的建设•2.企业文化的评估•六、资金活动•《企业内部控制应用指引第6号——资金活动》所称资金活动，是指企业筹资、投资和资金营运等活动的总称。•资金是企业生产经营循环的血液，是企业生存和发展的基础。•资金活动