企业内部控制实施问题与案例分析-夏文贤

内部控制实施问题与案例分析夏文贤内部控制和风险——内部控制实施问题3内部控制——系统、动态的过程•内部控制的定义：内部控制是一个过程内部控制由企业董事会、监事会、经理层和全体员工来实施内部控制为实现企业经营目标提供合理的保证内部控制是：由企业董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。内部控制系统框架内部监督信息沟通控制活动风险评估内部环境董事会监事会经理层全体人员保证信息能及时有效地沟通的流程•来自高级管理层的信息•政策及流程•培训•道德标准•IT信息系统对内部、外部影响企业的因素的评估•集团层面的风险评估•流程层面的风险评估对内控制度设计充分性，执行有效性进行监督达到控制目标的活动和经营程序•授权•批准•日常操作流程及系统•职责分离•会计对帐•财务和管理软件中的自动控制企业内部控制的道德意识，是“来自高层的声音”•道德标准•高级管理层价值观•公司治理风险•风险定义：可能对目标的实现产生影响的事件发生的不确定性。在经营管理活动中，风险常常被定义为生产运营的弊端、失误或失败，从而给组织带来危机的可能性。风险分类方法较多，一般的分类标准，可以分为：战略风险、财务风险、市场风险、运营风险、法律风险等。风险因素事件影响目标业绩的内外部事件风险事件或环境负面影响实体目标业绩的可能性机遇事件产生及正面影响目标业绩的可能性环境影响风险物化可能性的环境或状态正面－向上负面－向下风险因素、事件、环境、机遇及风险定义•事件有正面效应、负面效应或两者皆有•具有负面效应的事件意味着会产生风险•具有正面效应的事件可以抵消不利的影响或产生有利机会•周边环境与风险产生的可能性紧密相关•例如：劳动力未经培训可能导致频繁发生事故•机遇支持创造价值或使价值持续•管理层创造时机来支持战略或目标设置的程序，该行为可阐述为抓住机遇•具有负面影响的事件会抵制价值创造或者侵蚀已有价值•具有负面影响的事件可能来源于看似存在正面效应的机会，如：客户需求量超过其生产能力7•过度的风险–资产的损失–业务决策不流畅–不守法–丑闻•过度的控制–官僚作风–生产力–复杂性–周期–非增值性活动内部控制与风险管理的关系——风险和控制的平衡8剩余风险（风险敞口）多坏?多快?财务声誉法律法规健康安全环保相关利益者可接受?趋势更好更坏没变化固有风险-风险管理有效性=多好?多快?预防或积极准备应对及恢复提升内部控制与风险管理的关系——风险敞口9通过业务流程的梳理识别确定业务风险点通过风险影响和发生可能性的两维评估确定风险严重程度，进行风险排序，确定管理的优先顺序采用穿行测试及执行有效性测试评估内部控制的设计和执行有效性。明确公司的经营战略与股东价值目标在经营战略之下确定公司的风险管理战略通过内控自我评估体系的建立，定期评估内部控制的有效性针对识别的风险点确定相应的控制目标与控制活动，并形成内控矩阵。通过对评估薄弱环节的不断优化和改进不断提升公司的风险防范和管理能力业务价值和业务战略发展组织风险管理战略CollectCollectProjectProject识别关键业务风险AnalyzeAnalyzePortfolioPortfolio风险的评估和衡量PrioritizePrioritize明确控制目标与控制活动持续不断改进定期的自我评估与监控结合现有控制措施确定经有效控制后的剩余风险，并制定风险对应策略内部控制实施是一个系统、动态、持续改进的过程内控有效性评估剩余风险评估10内部控制实施路线图内控梳理对标内控整改固化内控自评制定监督制度跟踪缺陷整改开展自我评价编制自评报告记录内控缺陷设计整改方案完善内控制度更新内控文件成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控审计进行模拟审计提供所需证据出具管理声明披露审计报告信息化建设11内控实施路线图－内控梳理对标成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控梳理对标内控整改固化内控自评内控审计内控梳理对标负责内控建立健全，有效实施，和自评经理层业务运营部门董事会日常监督负责组织协调内控的建立实施及日常工作对内控体系运行进行内部独立检查;向董事会报告监督检查中发现的内控重要和重大缺陷内审或内控自评部门监督内控的有效实施和内控自我评价情况审计委员会其他专业委员会内部独立监督日常监督12内控实施路线图－内控梳理对标（续）成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控梳理对标风险识别和管理工具－企业风险地图内控梳理对标内控整改固化内控自评内控审计13内控实施路线图－内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化•建立内部控制缺陷认定汇总表•记录内部控制缺陷成因、表现形式和影响程度•以控制目标为核心，打破部门和流程局限，设计适合企业运营特点的整改方案•明确整改责任部门与责任人•明确整改完成期限•追踪整改进度•保留整改证据内控梳理对标内控整改固化内控自评内控审计14内控实施路线图－内控整改固化（续）记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化内部控制手册、业务流程图与流程文件内控梳理对标内控整改固化内控自评内控审计15内控实施路线图－内控整改固化（续）记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化内控活动与制度对接内控梳理对标内控整改固化内控自评内控审计16内控实施路线图－内控自评制定监督制度开展自我评价跟踪缺陷整改编制自评报告内控自评内控梳理对标内控整改固化内控自评内控审计内审部/评价部门评价工作组评估工作组负责人执行评价评估控制执行/设计的有效性明确具体工作任务复核评价工作底稿综合分析控制缺陷人员组织计划进度安排计划费用预算是否签字确认评价底稿是否BEnd评价结果批准明确评价范围AB与评价工作组讨论并重新评价与控制活动执行人和业务领域负责人共同讨论改进建议填写评价工作底稿编制内控缺陷认定汇总表控制缺陷类别认定形成认定意见董事会重大缺陷最终认定审阅批准内部控制评价报告内审部/评价部门评价工作方案经董事会或其授权机构内控实施路线图－内控审计进行模拟审计提供所需证据出具管理声明披露审计报告内控审计•更系统化的测试方法，有利提高内部团队水平•更专业化的整改建议，有利完善内部控制环节•更客观化的缺陷评定，有利了解审计师结论•更全面化的程序预演，有利资料准备与效率提高内控梳理对标内控整改固化内控自评内控审计18内部控制实施路线图内控梳理对标内控整改固化内控自评制定监督制度跟踪缺陷整改开展自我评价编制自评报告记录内控缺陷设计整改方案完善内控制度更新内控文件成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控审计进行模拟审计提供所需证据出具管理声明披露审计报告信息化建设19内部控制的局限性即使是设计最好、运行最出色的内部控制程序在其执行过程中也可能会受到多重因素的限制而不能达到其初衷下列因素能削弱或逃避内部控制的效力：•意识的不专注理解错误、判断失误疏忽大意、不熟悉情况分心、疲乏等•越权•篡谋20实现企业风控工作信息化的路线图10企业信息化的成熟度0企业风险及内控工作的成熟度104、风险智能管理阶段3、自动化风险管理阶段2、自动化管控阶段1、初始阶段•识别当前软件中的重要控制点并进行测试•采用简单的工具，对重要的数据，比如财务数据和业务数据，进行分析•引入系统化的框架体系，全面识别企业使用的ERP系统中存在的自动化控制点并对其有效性进行测试•采用信息平台，对企业的风险管理流程，包括风险识别，风险评估，内控测试等环节，进行固化和自动化•将企业的风险管理系统和ERP系统进行有效的集成，形成风险管理和业务运营的有机融合内部控制实施存在的问题•对内控的认识及重视程度仍存不足缺乏良好内控环境，内控体系沦为摆设内控实施缺乏有效的组织支持实施内控仅定位于满足监管要求未与时俱进，持续完善优化内控•内控体系与已有管理体系的融合需持续深化内控体系与管理体系割裂，出现“两张皮”现象内控工作及成果定位不清，重复工作，造成管理资源浪费内部控制实施存在的问题•重要领域内部控制仍需持续提升优化制度建立与有效实施缺陷整改与持续优化以信息化手段固化内控规范，以系统控制逐步替代人工控制•内控评价形式化，质量不高评价范围不全面、未开展实质性工作，缺陷认定标准随意性强内控报告形式化、模式化程度高•内控审计局限于财务报告内控，内控审计专业水平不高内部控制案例分析内部控制案例——人事和信息•案例一：虚假简历人事纠纷2010年6月，王某向一家公司求职时，伪造了简历和学历签订了劳资合同，担任该公司的部门经理一职。不久后，公司发现王某难以胜任这一职位，进行了岗位调整，但在新的岗位上，王某还是被认为不能胜任。2011年10月，公司确认王某当时求职时存在简历和学历造假问题，决定对其予以开除。事后，王某要求公司赔偿经济损失。王某坚持认为，求职时其并没有伪造简历和学历，公司单方面解除劳动合同，应予给予经济补偿，并出具解除劳动关系的证明。内部控制案例——人事和信息•案例一：虚假简历人事纠纷由于不适当人员招聘、入职程序引起：聘用不适当人员风险劳资纠纷法律诉讼风险•内部控制的完善招聘初期让求职者当场签字确认简历的真实性对拟招录人员进行背景调查（背景调查的时间和内容）设置试用期编制员工手册入职手续完备，依法签订合同，请员工签收员工手册，将各项记录及时归档适当的入职前培训内部控制案例——人事和信息•案例二：造假吃空饷冒领工资2011年，李某应聘到一家劳务派遣公司担任助理职务，主要负责为公司员工及派遣出去的劳务工办理入职、离职手续，编制工资表，代发工资、代缴社保等工作。2012年7月，李某在编制员工工资单时，私自增加了亲戚“小刘”的姓名和银行卡号，并为其编制了8000元的工资发放额。当她将工资表交给财务经理时，财务经理没有发现异常，很快地就签名确认。此后，李某胆子也逐渐大了起来，在工资单中加入多人名单，累计冒工资20多万元。内部控制案例——人事和信息•案例二：造假吃空饷冒领工资由于缺乏核对和信息沟通不畅引起：公司财产被侵占风险•内部控制的完善设置其他岗位对工资表进行复核（与财务部门的工资总额、人力资源部门的人员名单进行核对）强化工资审核审批权限和责任关键岗位轮岗机制避免内控执行中人情代替规则内部控制案例——人事和信息•案例三：虚假打折侵吞营业款不少商家为提升客户满意度会给销售终端的店长或负责人一定的打折权限，以处理各种突发状况。某公司在核对郭某负责的门店的打折权限使用情况时发现异常，调查后证实店长通过虚假打折、折让的方法侵占营业款。具体手法是：若存在使用现金消费的顾客时，郭某在销售单据的客户联上开具实际成交金额，但在财务收据联上开具的是打折后的金额，差价被据为己有。另外发现，该店的员工均为郭某亲戚和朋友。内部控制案例——人事和信息•案例三：虚假打折侵吞营业款由于人员串通、缺乏审核和信息沟通不畅引起：公司财产被侵占风险•内部控制的完善加强授权管理，包括授权额度、授权方式管理，定期复核加强单据核对，业务部门和财务部门信息沟通改进信息系统控制改进人员安排，降低人员串通的可能性内部控制案例——财务资产•案例四：虚假合同挪用公款2010年，业务部总监刘某在明知宋某的A公司没有供货能力的情况下，代表所服务的B公司与宋某的公司签订购货合同，并预付货款1370万元，至今尚有1200万元未归还。2010年，刘某代表B公司支付1500万元购入一批制药材料，并擅自以B公司的名义出具一份委托函要求供货方将提货单转至A公司名下，导致1500万元材料全部损失。2010年，在明知A公司没有供货能力的情况下，B公司下属子公司谎称A公司可以出货，并安排子公司与A公司签订购货合同，预付货款400万元，至今尚有300万元未归还。内部控制案例——财务资产•案例四：虚假合同挪用公款公司财