内控基础知识.ppt

《内控基础知识.ppt》由会员分享，可在线阅读，更多相关《内控基础知识.ppt（83页珍藏版）》请在三一办公上搜索。

1、内控基础知识简介,目录,内控体系建设背景国内法律法规的要求内控体系建设的具体内容,自上世纪90年代开始，国内外发生了一系列由于内控缺失而导致的企业危机事件，国外的例如巴林银行、安然公司、世通公司的倒闭，国内的例如德隆帝国垮台、格林柯尔系崩塌和中航油巨额亏损案等。为防止此类事件发生，维护广大投资者利益，美国在2002年颁布了萨班斯奥克斯利法案。2008年6月由财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范，2009年7月1日起在上市公司实施，鼓励未上市的大中型企业执行。确立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的实施机制，被称为“中国版萨奥法案”，这

2、意味着中国内部控制制度建设取得了重大突破，并将对公司、证券以及国有资产管理等相关制度产生深远影响。,前 言,背景介绍-内部控制的定义,传统上对内控的认识 组织为了减少决策失误和工作缺陷而实施的控制（如内部监督、管理手册、规章制度）,现代内控理论内部控制是一个系统化的框架，它建立在风险管理的基础上，包括内控环境、风险分析、控制活动、信息与沟通、监督五大要素,内部控制,COSO框架下的内部控制定义,内部控制是受企业董事会、管理层和其他人员影响，为实现经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。,COSO内部控制框架的五大要素,控制活动 确保管理活动付诸实施的

3、政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。,监督不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。内部审计工作。,控制环境 营造单位气氛让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础,信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流,风险评估 风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础,所有的五个部分必须同时作用才能使内部控制得以产生影响,目录,内控体系建设背景国内法

4、律法规的要求内控体系建设的具体内容,国内法律法规发布情况,1、财政部内部会计控制规范的要求 2001年6月起,内部会计控制-基本规范（试行）,内部会计控制规范-货币资金（试行）,内部会计控制规范-采购与付款（试行）,内部会计控制规范-销售与收款（试行）,内部会计控制规范-工程项目（试行）,内部会计控制规范-担保（试行）,内部会计控制规范-对外投资（试行）,2、国务院企业国有资产监督管理暂行条例（378号令）2003年5月,国务院企业国有资产监督管理暂行条例（378号令）,规定了国有及国有控股企业应当加强内部监督和风险控制，依照国家有关规定建立健全财务、审计、公司法律顾问和职工民主监督制度,国内

5、法律法规发布情况,3、国资委中央企业内部审计管理暂行办法2004年8月,国资委中央企业内部审计管理暂行办法,要求企业应对企业内部控制程序进行检查、审查。,国内法律法规发布情况,国内法律法规发布情况,国资委中央企业全面风险管理指引,旨在推动中央企业开展全面风险管理工作，加强包括内部控制在内的风险防范和控制。,4.中央企业全面风险管理指引 2006年6月,国内法律法规发布情况,要求在上市公司实施内部控制基本规范,鼓励非上市的其他大中型企业执行,5.企业内部控制基本规范 2008年6月,五部委企业内部控制基本规范,国内法律法规发布情况,要求自2011年1月1日起首先在境内外同时上市的公司施行；201

6、2年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行。在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。,6.企业内部控制配套指引 2010年4月,五部委企业内部控制配套指引,小结,企业发展的经验教训警示,企业提升管理 水平自身要求,形势所迫及更好发展参与国际竞争,国内法律、法规的要求,要求集团公司开展内控建设,小结,全面提升公司科学管理水平,促进公司发展目标的实现,强化公司在生产经营过程中防范风险的能力,贯彻落实集团公司内部控制体系建设的工作要求,要求渤海钻探开展内控建设,小结,通过以上讲解我们可以了解到：建立内控体系是国际大趋势，是国内法律

7、法规的要求，是集团公司的要求，是一项必须做而且必须做好的工作。,目录,内控体系建设背景国内法律法规的要求内控体系建设的具体内容,内控体系建设的具体内容,控制环境,风险评估,控制活动,信息与沟通,监督,共五个部分,分为,渤海钻探公司内控体系办公室二一一年三月,控制环境,简介,培训目的：1.了解控制环境部分包括的主要内容 2.明确控制环境部分的主要工作成果,主要内容,一、基本概念二、体系建设主要工作成果,一、基本概念,（一）控制环境控制环境是指企业实施内部控制并使其持续发挥作用的环境。控制环境确立公司风险管理的总体态度，是内部控制体系的基础，是有效实施风险管理的保障，直接影响内部控制体系的执行、公

8、司经营目标及整体战略目标的实现。,控制环境：是企业的整体气氛影响员工的控制意识提供纪律约束和架构是其他要素的基础,一、基本概念,一、基本概念,（二）控制环境建设内容控制环境包括诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、组织结构、权利和责任分配、人力资源政策、员工胜任能力以及反舞弊机制等内容。,主要内容,一、基本概念二、体系建设工作主要成果,二、体系建设工作主要成果,（一）组织结构图（二）岗位工作明书（三）权限指引表（四）控制环境涉及的制度索引,27,小结：,内部控制环境是推动企业发展的引擎，是内部控制其他要素发挥作用的基础，是全员实施控制活动、履行控制责任的氛围。如果没有一

9、个比较好的控制环境，再好的内控制度都是流于形式，一切内控措施都是空谈。,风险评估,渤海钻探公司内控体系办公室二一一年三月,简介,风险评估部分主要围绕基本业务流程目录、重要业务流程目录及风险数据库进行详述。目的是为各单位相关人员了解公司基本流程目录、重要业务流程目录，更好的应用风险数据库提供指导。,控制活动 为管理和减少风险而制定的政策制度和程序贯穿整个公司范围、所有层次以及所有职能措施包括审批、授权、复核经营业绩、资产保护和职责分工,监督评估内部控制运行有效性定期监控执行情况与独立评估相结合发现内控不足的改进报告,控制环境 是其他内部控制组成部分的基础认定整个组织的基调，影响着员工的控制意识包

10、括员工胜任能力、组织结构、人力资源政策等因素,信息和沟通确保经营和财务信息的准确性、完整性和及时性获取内部和外部的信息有效的内部、外部信息沟通与交流,以促成有效的控制活动,风险评估风险评估是对相关风险进行识别分析，确定体系建设目标、是开展控制活动相关工作的基础,监控,信息和沟通,控制活动,风险评估,控制环境,营运,财务报告,合规性,业,务,单,位,A,业,务,单,位,B,活,动,2,活,动,1,内部控制体系框架回顾,主要内容,一、风险评估概述二、业务流程目录 三、风险数据库,风险评估的一般程序风险评估的概念 风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应

11、对策略的过程，是风险管理的基础。在风险评估中，既要识别和分析对实现目标具有阻碍作用的风险，也要发现对实现目标具有积极影响的机遇。风险评估的一般程序与方法,一、风险评估概述,建立风险评估的基础目标设置与分解风险识别风险分析风险评价风险应对,一、风险评估概述,风险评估的一般程序与方法,建立风险评估的基础目标设置与分解风险识别风险分析风险评价风险应对,在公司内部建立通用的风险管理语言和标准，包括建立公司风险的定义；风险管理的定义；构建风险类型；明确风险偏好和风险承受度的概念；确立评估风险的标准。,一、风险评估概述,风险评估的一般程序与方法,目标类型战略目标经营目标报告目标合规性目标,建立风险评估的基

12、础目标设置与分解风险识别风险分析风险评价风险应对,建立风险评估的基础目标设置与分解风险识别风险分析风险评价风险应对,一、风险评估概述,风险评估的一般程序与方法,风险识别的主要方法,小组讨论访谈法问卷调查法案例分析法参考专业机构咨询意见征求专家意见,风险识别的主要程序,公司层面风险识别。是从公司战略发展的角度，识别公司层面面临的所有重大的不利因素和有利因素，从而识别风险，发现机遇。这些因素来自外部和内部两个方面，外部因素主要包括政治因素、经济因素、社会因素、自然环境因素等；内部因素主要包括基础设施因素、员工因素、流程因素和技术因素等。业务活动层面风险识别。业务层面风险识别是通过根据一定的规范、采

13、用一定的方法对业务流程进行描述，在业务流程描述的基础上，以业务流程步骤为主线，全面识别影响目标实现的相关因素。,建立风险评估的基础目标设置与分解风险识别风险分析风险评价风险应对,一、风险评估概述,风险评估的一般程序与方法,分析风险发生的可能性,分析风险可能产生的影响程度,极小可能较大可能,发生的概率很小或者基本上不会发生，则将该项风险发生的可能性确定为极小可能发生，否则将该项风险确定为较大可能发生,极小影响较大影响,风险的发生在很大程度上不会影响目标的实现或者只有一些轻微的影响，则将风险影响程度确定为极小影响；如果风险的发生会对目标的实现产生一定的阻力，并且这种阻力将会增加实现目标的难度和成本

14、，则将风险影响程度确定为较大影响。,收集信息和资料,如：历史事件的记录、相关的调查和分析资料、现有控制和制度等信息和资料等。,对风险的可能性和影响评分，风险的可能性分值与影响分值之积，即为该风险的风险值,建立风险评估的基础目标设置与分解风险识别风险分析风险评价风险应对,一、风险评估概述,风险评估的一般程序与方法,风险重要性水平的判断,根据风险值对识别出的风险进行排序，以得到公司的高、中、低风险。对于重要性水平为低的风险，由于其发生的可能性和影响程度均为极小，公司忽略此类风险而不予关注。对于重要性水平为中的风险，公司将此类风险确定为一般风险并给予一般关注。对于重要性水平为高的风险，公司将此类风险

15、确定为重要风险并给予重点关注。,建立风险评估的基础目标设置与分解风险识别风险分析风险评价风险应对,一、风险评估概述,风险评估的一般程序与方法,风险应对策略（1）风险规避：退出产生风险的各种活动。如退出生产线、停止一个区域的业务、或出售一部分经营性资产等。（2）风险减轻：采取行动减少风险发生的可能性或降低风险影响程度或两者同时降低。减轻风险一般牵涉到所有大量的日常经营决策，例如产品多样化、技术改进、加强人员培训、资本重新分配、改进业务流程等。（3）风险分担：通过将风险转移或者分担部分风险来减少风险的可能性和影响。如购买保险、套期保值、外包业务等。（4）风险接受：不采取任何行动去影响风险的可能性或

16、影响。,二、业务流程目录,（一）流程架构总体介绍（二）基本业务流程目录（三）重要业务流程目录,（一）流程架构总体介绍,流程架构：是对各单位全部业务流程有机联系的结构化反映。流程架构设计的指导思想：集团公司流程架构设计目标是以公司整体战略发展为导向，以积极稳妥推进未上市企业内控体系建设为出发点，参考国际通行的流程架构设计标准，借鉴国际大公司和股份公司的先进经验，构建统一规范、可持续优化的业务流程架构。流程架构设计是开展内控体系建设的一项重要内容，也是反映集团公司整体业务走向、满足不同管理层次需求的重要工作。,41,（一）流程架构介绍-通用业务流程目录,集团公司通用业务流程目录,按照业务分类不同，

17、分为 战略发展流程：SP 核心业务流程：KP 经营管理流程：MP,一级流程编号：依据集团公司经营的业务范围，横向上将业务分为40个一级流程，企事业单位照该编号体系将自身业务流程进行分类，不允许对该编号体系进行增减或修改。（目前选用27个）,二、业务流程目录,（一）流程架构总体介绍（二）基本业务流程目录（三）重要业务流程目录,对应集团公司下发的通用业务流程目录，在保证一级、二级、三级流程基本不变的基础上，结合渤海钻探的具体业务进行修改和完善，确定渤海钻探的基本业务流程目录。,（二）基本业务流程目录,（二）基本业务流程目录,基本业务流程目录编制原则及注意事项1、统一性与个性原则建设单位在集团公司通

18、用业务流程目录的基础上，编制本单位基本业务流程目录。从集团公司通用业务流程目录中选择本单位适用的业务，将适用的一、二、三级流程直接作为本单位的一级、二级和三级流程。通用流程目录中现有的一级流程、二级流程、三级流程的名称和编号不能进行修改。各单位结合实际确定四级、五级流程目录名称及编码（投资业务的目录除外）。,（二）基本业务流程目录,2、全面性与重要性原则基本业务流程目录整体上是对公司的所有生产经营业务及管理行为进行归类。但由于公司业务范围较为宽泛，只对公司目前涉及的与生产经营业务及管理行为相关的进行归类梳理，而对公司总体经营管理影响不大的环节，就没有必要设置成末级流程。如存货管理中的内部调拨流

19、程，由于目前我公司业务涉及量很小，因此经与物资管理部门沟通，未将其做为末级流程单独反映。,（二）基本业务流程目录,3、完整性与系统性原则流程目录是以生产经营过程作为主线来设置的，体现了流程的完整性和系统性。流程目录打破了经营管理的“部门”的概念，而更多地从流程本身的完整性来加以考虑。当流程发生交叉时，则从相关性和系统性出发，确定下级流程的归属问题。通过末级流程间的引用，实现所有流程的完整。,（二）基本业务流程目录,4、编制四、五级流程目录名称及编号注意事项流程名称与流程中实际描述的业务活动相吻合流程编号可根据其上级流程编号进行顺序编号，并且有一个唯一的流程编号（不允许2个或2个以上的流程使用同

20、一个流程编号）非末级流程目录应避免存在流程图，每个末级流程目录有且仅有一个流程图 公司全部流程目录原则上不得超过五级,（二）基本业务流程目录工作成果,根据集团公司通用业务流程目录结合公司实际业务编制完成了渤海钻探公司基本业务流程目录。2011版手册中基本业务流程目录包含一级流程27个，在用末级流程420个。,二、业务流程目录,（一）流程架构总体介绍（二）基本业务流程目录（三）重要业务流程目录,渤海钻探公司根据集团公司重要业务流程目录及KCD，确定了公司重要业务流程目录。重要业务流程目录包含一级流程22个，末级流程231个,（三）重要业务流程目录工作成果,主要内容,一、风险评估概述二、业务流程目

21、录 三、风险数据库,风险数据库是进行风险记录的工具。风险数据库记录整个集团公司范围内业务层面的风险，按照流程，记录各个流程中可能出现的风险，并对风险的属性进行记录。风险的属性有财务风险和非财务风险之分。根据公司经营环境的发展变化，对风险数据库要进行不断地更新与维护。目前，风险数据库有两种类型，财务报告风险数据库、经营风险数据库；法律风险在法律风险防范控制文档中体现，即风险与控制在一张表中体现。,三、风险数据库,财务报告风险数据库讲解,三、风险数据库,三、风险数据库,经营业务风险数据库模版,三、风险数据库,法律风险,三、风险数据库工作成果,根据集团公司风险数据库，结合企业实际情况进行了风险识别、

22、风险评估工作，编制完成了渤海钻探工程公司业务层面风险数据库（包括财务报告风险数据库及经营风险数据库）识别风险822个，其中重要风险391个。编制完成法律风险防控领域与流程对照表，识别法律风险源251个。,控制活动,渤海钻探公司内控体系办公室二一一年三月,培训目的：1、了解控制活动的相关概念；2、明确业务流程梳理后形成的工作成果。,简介,控制活动 为管理和减少风险而制定的政策制度和程序贯穿整个公司范围、所有层次以及所有职能措施包括审批、授权、复核经营业绩、资产保护和职责分工,监控,信息和沟通,控制活动,风险评估,控制环境,营运,财务报告,合规性,业,务,单,位,A,业,务,单,位,B,活,动,2

23、,活,动,1,内部控制体系框架回顾,一、基本概念二、控制活动部分主要工作成果,主要内容,控制活动的概念 控制活动是结合风险评估结果，运用相应的控制管理措施，将风险控制在可承受度之内，确保管理层关于风险应对方案得以贯彻执行的政策和程序。包括授权、批准、查证、核对、报告、内部审计、重大风险预警、企业法律顾问、经营业绩评价和资产保护措施等活动,一、基本概念,一、基本概念二、控制活动部分主要工作成果,主要内容,63,控制活动包括两方面内容：风险控制管理文件流程图 风险控制管理文档证据表单控制活动涉及的制度索引注：此部分内容将在第二大部分“2011版内控手册新增内容”中详细介绍,控制活动部分主要工作成果

24、,64,控制活动涉及的制度索引,65,控制活动涉及的制度索引,说明：控制活动部分的制度索引是按基本业务流程目录一级流程目录(MP02部分是按二级流程目录编制的)顺序归纳了各业务流程内容所引用的制度文件，方便使用者使用和核对。,66,小结：,控制活动部分是公司内控手册的核心部分，以流程图和风险控制管理文档为主体内容。是将公司各业务领域流程化和程序化的具体体现。希望全体员工会后认真学习领会该部分的具体内容并在工作中严格遵照执行。,渤海钻探公司内控体系办公室二一一年三月,信息与沟通,一、信息与沟通概念二、信息与沟通部分主要工作成果,主要内容,控制活动 为管理和减少风险而制定的政策制度和程序贯穿整个公

25、司范围、所有层次以及所有职能措施包括审批、授权、复核经营业绩、资产保护和职责分工,监督评估内部控制运行有效性定期监控执行情况与独立评估相结合发现内控不足的改进报告,控制环境 是其他内部控制组成部分的基础认定整个组织的基调，影响着员工的控制意识包括员工胜任能力、组织结构、人力资源政策等因素,信息和沟通确保经营和财务信息的准确性、完整性和及时性获取内部和外部的信息有效的内部、外部信息沟通与交流,以促成有效的控制活动,风险评估风险评估是对相关风险进行鉴别以及分析，以达成企业目标、形成决定控制活动的基础,监控,信息和沟通,控制活动,风险评估,控制环境,营运,财务报告,合规性,业,务,单,位,A,业,务

26、,单,位,B,活,动,2,活,动,1,内部控制体系框架回顾,主要内容,一、信息与沟通概念二、主要工作成果,（一）信息与沟通相关概念,1、信息与沟通 企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。公司建立和完善信息与沟通机制，形成相应的会议制度、议事制度、报告机制，明确相关信息的收集、处理和传递程序，确保信息沟通及时、有效。,2、信息 信息是指来源于公司外部及内部，与经营相关的信息。针对不同的信息来源和信息类型，明确各种信息的收集人员、收集方式、传递程序、报告途径和加工与处理要求，确保经营管理各种信息资源得到及时、准确、完整收集。企业应当对收集的

27、各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。按信息来源不同，可将公司内部控制重点关注的信息分为内部信息和外部信息。内部信息主要包括：财务信息、经营信息、规章制度信息、综合信息等。外部信息主要包括：国家法律法规，国内外监管机构信息，以及客户、供应商、竞争对手的信息等。,（一）信息与沟通相关概念,3、沟通 沟通是指信息在公司内部各层次、各部门之间以及公司与客户、供应商、监管者等外部环境之间的传递。公司建立上下级纵向及部门之间横向的信息沟通渠道，确保公司目标、风险策略、风险现状、控制管理措施、员工职责、经营状况、市场变化等各种信息在公司内部得到有效的传达,（一）信息与沟通相关概

28、念,4、信息系统 建立符合发展战略并与经营管理活动一体化的信息系统，为内部控制提供足够的信息资源和顺畅的沟通渠道。,（一）信息与沟通相关概念,主要内容,一、信息与沟通概念二、主要工作成果,三、主要工作成果,1、业务活动与应用系统索引目录2、关键权限与通用角色对照表及通用角色与系统终端用户对照表（FMIS、AMIS）3、应用系统使用情况统计表4、电子表格汇总表5、人力资源系统职责分离矩阵6、ERP系统职责分离矩阵7、信息与沟通涉及的制度索引,小结：,简要的讲，信息与沟通就是信息的上传下达，如何将信息传递到管理层以利决策，同时将管理层意图传达到执行者使之运用到工作中去。信息系统是指建立与经营管理活

29、动一体化的，为内部控制提供足够信息资源的沟通渠道，是利用计算机对信息进行获取、分析、处理及报告的程序化平台。信息系统的运用促进了信息的集成与共享，提高了信息传递与沟通的效率和效果。1、信息系统总体控制和应用控制的实施与应用在本次培训的第四部分介绍；该部分内容主要在集团公司统一分册中有相关规定 2、公司内控手册中信息与沟通部分规范的内容主要是应用控制、相关制度的索引及FMIS、AMIS、ERP、HR系统权限分配的相关设置规则。,渤海钻探公司内控体系办公室二一一年三月,监 督,主要内容,一、概念二、主要工作成果,是对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时进行改进的持续过程。包括持续监督、独立评估和缺陷报告等。,概 念,说明：监督部分的的控制测试内容在第四大部分再做详细介绍。,主要内容,一、概念二、主要工作成果,形成的主要工作成果：监督涉及的制度索引注：该部分“持续监督、独立评估和缺陷报告”的具体内容集团公司统一分册有相应规范,工作成果,谢谢大家,