企业内部控制构建与运行暨评价(讲义)

基于风险的企业内部控制构建、运行暨评价杨奕风险管理是企业管理的纲•昨天的竞争靠成本，谁成本低，谁就有竞争力•今天的竞争靠技术，谁能创新技术，不断地研发出技术附加值高的新产品，谁就有竞争力•明天的竞争靠风险管理，谁少犯错误，谁不犯大错误，谁就有竞争力。•成本和技术只是决定快慢，而风险管理决定的是生死——神华股份公司总经理凌文正确认识风险管理与内部控制企业风险的识别、评价及风险管理策略企业财务风险识别与控制企业内部控制体系建设实务内部控制描述、评价与改善目录风险是任何可能影响某一组织实现其目标的事项，风险是一种不确定性。我们不可能生活在远离风险的真空地带，但可以通过业务多样性和良好的运营系统来控制风险—GE公司现任董事长兼首席执行官杰夫.伊梅尔特风险——可知可控可承受内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。风险风险管理由企业董事会与管理层共同设立、和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平，从而帮助企业达至其目标以能否为企业带来盈利等机会为标志，将风险分为纯粹风险和机会风险内部控制的历史演进1.内部牵制：保护现金和资产安全及账簿记录的准确性2.内部控制：增加了管理控制以提高经营效率3.内部控制框架：融入了控制环境及控制程序4.一体化控制：形成COSO框架，增加了遵从性目标西方内部控制与风险管理规范COSO21992年2002年2004年COSO2（《企业风险管理——整合框架》（2004）中明确指出，风险管理包含内部控制，二者相互融合COSO1SOX公众公司会计改革和投资者保护法案之所以要设置内部控制，就是促使企业在迈向获利目标的路上，达成管理理念，并把路上的意外惊吓减到最少。标题内部环境目标设定风险识别风险评估风险应对控制活动信息与沟通监控子公司业务单位分支机构企业整体层次COSO1COSO2COSO1—COSO2（内部控制—企业风险管理）三个层面、三个目标和五个要素作业层面规法守遵靠可表报效效率果内部环境风险评估控制活动信息与沟通监控公司层面部门层面四个层面、四个目标和八个要素COSO的关键2013版COSO框架内容04品牌建设实施——1992年版本框架隐晦地提出了内部控制的核心原则，而2013版本框架则明确地列出了17项原则，这些原则都较为宽泛，以适用于盈利组织（包括上市公司和私营公司）、非盈利组织、政府机构以及其他类型组织。每一原则都由多个关注点所支持，这些关注点代表着这些原则的相关特点。各个要素和各项原则组合起来就构成了内部控制的准则，而各个关注点则为管理层提供指引。17条原则我国内部控制法律规范2006国务院国资委2008五部委2010五部委中央企业全面风险管理指引，上市公司内部控制指引企业内部控制基本规范企业内部控制配套指引财政部、证监会、审计署、银监会、保监会2006上海深圳证券交易所2012.2.23财政部企业内部控制规范体系实施中相关问题解释第1号内部控制规范体系企业内部控制基本规范相互独立，相互联系解释审计指引评价指引应用指引对企业建立健全企业内部控制所提供的指引，是具体的操作指南和范本，主体地位为企业管理层对本企业内部控制有效性进行自我评价提供的指引为注册会计师和会计师事务所执行内部控制审计业务的执业准则基本规范——内部控制原则基本规范——内部控制的目标提高经营效率和效果财务报告及相关信息真实完整资产安全经营管理合法合规较低层级目标促进实现发展战略高层级目标内部监督内部环境风险评估控制活动信息与沟通内部控制要素基本规范——内部控制要素融合了八要素与风险管理指引的精神内部环境是企业实施内部控制的基础，包括治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化企业及时识别、系统分析经营活动中与实现内部控制目标风险，合理确定风险应对策略企业根据风险评估结果、采用相应的控制措施，将风险控制在可承受度之内企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通企业对内部控制建立实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进监控控制活动风险评估内部环境信息沟通信息沟通基础手段保证载体依据五要素的关系企业内部控制应用指引框架体系应用指引类别具体指引内部环境类第1号——组织架构第2号——发展战略第3号——人力资源第4号——社会责任第5号——企业文化控制活动类第6号——资金活动第7号——采购业务第8号——资产管理第9号——销售业务第10号——研究与开发第11号——工程项目第12号——担保业务第13号——业务外包第14号——财务报告控制手段类第15号——全面预算第16号——合同管理第17号——内部信息传递第18号——信息系统注意：1、是对十八项关注业务的内控建设要求，而不是全部2、是对每项业务的重点风险、关键控制的要求，而不是全部3、是对内部控制的基本要求，而不是高标准企业层面的控制业务层面的控制强制事项强制要求自我评价对内部控制的有效性进行全面自我评价，披露年度自我评价报告内控审计聘请具有证券、期货业务资格的会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。注册会计师不仅应当对公司财务报告内部控制有效性发表审计意见，同时还应当向投资者提示非财务报告内部控制重大缺陷。注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中，增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。内部控制规范施行时间表2011年1月1日2012年1月1日择机随时在境内外同时上市的公司施行在上海、深圳证券交易所主板上市公司施行在中小板和创业板上市公司施行鼓励非上市大中型企业提前执行谁对企业内部控制负责？组织架构：确保决策、执行、监督相互分离，形成制衡重大决策重大事项重要人事任免大额资金支付业务•按照规定的权限和程序•集体决策审批或者联签制度•任何个人不得单独进行决策或者擅自改变集体决策意见三重一大内部控制环境正确认识风险管理与内部控制企业风险的识别、评价及风险管理策略企业财务风险识别与控制企业内部控制体系建设实务内部控制描述、评价与改善目录24管理当局采取恰当的程序去设定目标，保证选定的目标支持主体的使命，并与其相衔接，以及与它的风险容量相适应。风险管理目标的设定风险管理流程图1、建立初始信息框架广泛持续搜集责任人：业务单位职能部门全员股东对企业风险管理最关心的四个问题：企业知道它所面对的主要风险吗？例如：什么风险正在或将会影响企业的业务？企业的品牌新产品、新市场的开发战略联盟客户或供应链的管理理想的情况：企业能开发一套标准的、共通的风险语言，从而识别企业所面对的风险，并就其严重的程度进行排序。共通的风险语言亦有利于企业上下层就风险的管理进行沟通企业是否已对这些风险设置内部控制？企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险)，构建内部控制(包括预防性控制及觉察性控制)，以确保企业能实现目标和符合各方面的法律、法规理想的情况：企业就其所面对的风险和采取的内控，编制一套完整的文档，并借鉴国际最佳的实务不断进行检讨企业的内部控制有效吗？企业要对其内控系统不间断地进行监控和测试，以确保其对风险控制的能力理想的情况：企业把各类风险控制在可接受的水平，并在这基准上赚取合理的回报哪一些内部控制必须改进？企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施理想的情况：企业能建立一套具前瞻性的信息管理系统和预警系统，使企业能及时识别新生的风险，并对相关的业务计划、政策和程序进行修正30•战略性风险是指公司因作出战略性错误的决定而导致经济上的损失•战略性风险是业务单位、高级管理层和董事会的共同责任•常见的战略性风险包括：–企业的目标与方针–市场潜在的威胁–业务的范围(深度与广度)–品牌及形象的建立战略性风险–与战略性伙伴的合作–投资和融资的策略–员工的素质和雇员关系–企业的信息及监控系统31•操作风险是指企业内部流程、人为错误或外部因素而令公司产生经济损失的风险，它包括了公司的流程风险、人为风险、系统风险、事件风险和业务风险等•流程风险是指交易流程中出现错误而引致损失的风险，流程包括如：销售、定价、记录、确认、出货/提供服务等环节。流程风险也包括合规性风险•人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而引致损失的风险•系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的风险•事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险•业务风险是指因市场或竞争环境出现预期以外的变化而引致损失的风险，所涉及的问题包括市场策略、客户管理、产品开发、销售渠道和定价等领域操作风险风险信息搜集方法风险的识别常用方法•风险识别-头脑风暴（集体讨论）-专家咨询-问卷调查、管理层访谈；-行业参照、行业标杆比较；-业务流程分析；-情境分析（最好和最差情境）；-事件分析；-研讨会；-调查与审计-政策分析•定量方法可采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。风险是您实现业务目标的现存的或潜在的障碍•什么因素可能会妨碍本部门实现其关键的业务目标?•要成功,需要完成一些必要的工作和程序,而什么因素会阻碍这些工作和程序的完成和实现呢?•发生率:这些风险中,什么风险是最可能发生的?•影响:哪些风险将对本部门实现其预定目标的能力产生最重大的影响?•有什么有效的控制机制可以减少这些风险及其影响?2、风险评估：35风险评价——风险发生的可能性评分可能性说明5几乎肯定在未来12个月内，这项风险几乎肯定会出现至少1次4极可能在未来12个月，这项风险极可能出现1次3可能在未来2至10年内，这项风险可能出现1次2低在未来10至100年内，这项风险可能出现至少1次1极低这项风险出现的可能性极低，估计在100年内出现的可能性少于1次36评分损失程度说明5灾难令企业失去继续运作的能力(或占税前利润达20%)4重大对于企业在争取完成其策略性计划和目标，造成重大影响(5-10%税前利润)3中等对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍(至5%税前利润)2轻微对于企业在争取完成其策略性计划和目标，只造成轻微影响(至1%税前利润)1近乎没有影响程度十分轻微风险评价——风险对企业造成的影响37评分有效性说明5极度过头处理方法能直接针对该项风险，但相信会令企业业绩“倒退”或成本过高4过头处理方法能直接针对该项风险，但由于需要投入大量资源或/及将其他资源转到处理该项风险上，会对企业的效率造成影响3适中处理方法有效针对该项风险，同时并不影响企业的效率2低效处理方法针对该项风险的效果不理想，或投入处理该风险的资源不充分或/及对投入的资源未有适当利用1近乎没有效果处理方法的效果十分低，可能是由于企业根本没有处理方法，又或处理手法不当风险评价——风险处理方法的效果风险坐标图•把风险发生可能性的高低、风险发生后对目标的影响程度，作为两个维度绘制在同一个平面上2015‐3‐9393、制定风险管理策略风险规避回避、停止或退出蕴含某风险的商业活动或商业环境退出某一市场以避免激烈竞争拒绝与信用不好的交易对手进行交易外包某项对工人健康安全风险较高的工作停止生产可能有潜在客户安全隐患的产品回避政治动荡的地区禁止各业务单位在金融市场进行投机，只准套期保值不准员工访问某些网站或下载某些内容风险转移通过合同将风险转移到第三方，企业对转移后的风险不再拥有所有权保险非保险型的风险转移：将风险可能导致的财务损失负担转移给非保险机构。例如服务保证书风险证券化：通过证券化保险风险构造的保险连接型证券（