企业风险管理与内部控制培训.ppt

《企业风险管理与内部控制培训.ppt》由会员分享，可在线阅读，更多相关《企业风险管理与内部控制培训.ppt（75页珍藏版）》请在三一办公上搜索。

1、,主讲人:石 昊广西祥浩投资管理咨询有限责任公司副总经理广西财政厅企业内部控制项目咨询专家组成员,企业风险管理与内部控制简介,主要内容,企业风险管理与内部控制理论风险管理与内部控制定义内部控制理论发展历程内部控制配套指引如何进行企业风险管理与内部控制建设企业内控实践案例设计思路与标准实施建议,风险管理与内部控制定义,第三条本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。-中央企业全面风险

2、管理指引,第四条本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。-中央企业全面风险管理指引,收集风险管理初始信息,进行风险评估,提出和实施风险管理解决方案,进行风险管理的监督与改进,持续培训，提高风险意识,高层重视、项目纳入年度管理计划,风险管理基本流程包括以下主要工作,制定风险管理策略,内部控制定义,本规范所称内部控制，是由企业董事会、监事会、

3、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。,玄之又玄,内部控制是个过程，具有永续性和更新性内部控制全员参与，不局限于管理层或财务部内部控制涉及五大目标，资产安全具有中国特色，运营效益和发展战略扩充外延（业务操作财务报告合规）,（一）五目标,战略目标：促进企业实现发展战略营运目标：提高经营效率和效果报告目标：财务报告及相关信息真实完整资产目标：资产安全合规目标：合理保证企业经营管理合法合规,（二）五要素,树机构定机制分职责内部环境重要基础为实践目标存在什么风险风险评

4、估重要环节为应对风险执行什么措施控制活动重要手段为促进内部控制有效运行信息与沟通重要条件为保障内部控制实施内部监督重要保证,内部环境,内部环境：内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。一般包括：治理结构、机构设置、权责分配、内部审计、人力资源政策、企业文化。内部环境是内部控制的基础，只有良好的基础才可能构建可靠的内部控制。,风险评估,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。风险评估是内部控制的基础，是内部控制的成败的关键。风险评估包括：目标设定、风险识别、风险分析、风险应对,控制活动,企业应当结

5、合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、重大风险预警和突发事件应急处理机制。,信息与沟通,企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。信息与沟通一般包括：信息收集、信息沟通、信息系统、反舞弊机制。,看得见，摸得着,企业在日常管理中制定的政策文件制度办法流程说明表格单据等等不存在独立于管理的内控，有管理就有内控（管理半径约为人），内

6、控使管理更有效不存在独立于文件（制度）汇编的内控手册,内部控制理论发展历程,内部牵制(1940年代以前)：账目相互核对，不相容岗位分离内部控制制度(1940-1970年代)：内部会计控制、内部管理控制内部控制结构(1988)：控制环境、会计制度和控制程序内部控制整体框架(COSO,1992)：五要素企业风险管理框架(COSO,2004)：八要素,发展历程,萌芽期内部牵制（）,所谓内部牵制是指一个人不能完全支配账户，另一个人也不能独立地加以控制的制度蒙哥马利审计理论与实践（）,发展期内部控制制度（）,企业内部控制二分法，,内部会计控制,内部管理控制,过渡期内部控制结构（）,企业内部控制结构包括为

7、提供取得企业特定目标的合理保证而建立的各种政策和程序控制环境会计系统控制程序,成熟期框架（）,控制环境,风险评估,控制活动,信息与沟通,监控,最新企业风险管理框架,公司层面,分支机构,分、子公司,业务板块,监控,信息与沟通,控制活动,风险应对,风险分析,风险识别,目标设定,内部环境,（ERM）,战略,运营,报告,遵循,企业风险管理整体框架,聪明的中国人,在内部控制、预算和审计程序等方面，周代在古代世界是无与伦比的-美国会计史学家迈克尔.查特菲尔德20世纪汉学大师李约瑟以毕生精力研究中国文化，撰写鸿篇巨著中国科技与文明，声称：“全世界都认识到他们身受到来自中国的恩惠。”科技最发达的美国拥有第一流

8、的科学技术专家13万人，其中华人就有3万；在著名的阿波罗登月工程中，1/3的高级工程师是华人；全世界12大银行家，华人即有5位；全球船舶吨位总数的大半为海外华人所有。,古已有之,虎符强干弱枝利出一孔风闻言事（网络议政）异地为官（河南当地粮食系统人士表示，一些中储粮市县级的直属库中，连续七八年直属库主任、副主任没有调整也屡见不鲜。）东厂、西厂（反舞弊机制）,柳传志的管理三要素,中国企业的教父级人物2008年再度出山，挽救了正在经受国际化阵痛的联想。目前，联想集团的母公司联想控股已成成一家“生产企业的企业”，旗下涵盖了消费电子、IT服务、风险投资、房地产和私人股权投资等业务，并向农业领域进军。他2

9、008年回归后，联想PC业务不仅迅速扭亏为盈，并靠新兴市场的出色业绩跻身世界两强，今年又先后并购德国Medion公司和日本NEC公司的个人电脑业务，由此进入门槛最高的日本市场。他总结了“建班子、定战略、带队伍”的“管理三要素”，用自己的言传身教培养出新一代明星企业家，将联想建成“没有家族的家族企业”，都将成为未来中国企业宝贵的精神财富。,聪明反被聪明误,长期以来内部控制规范政出多门，现实中，至少存在包括证监会、财政部、国资委、人民银行、证券交易所等部门或主管单位发布的关于内部控制或风险管理的规范文件。,十年磨一剑,自1999年新会计法提出单位负责人有责任建立和维护内部会计控制开始，2001年发

10、布五项内部会计控制（试行），2008年发布基本规范，2010年发布配套指引，历经十余年美国萨班斯法亦在2001年安然会计丑闻、2002年世通公司倒闭后不久（2002年7月）出台，东西方在公司治理和运营管理方面，某种程度趋同,一山不容二虎，除非一公和一母,正如财政部副部长王军介绍说，新发布的基本规范为中国企业首次构建了一个企业内部控制的标准框架，有效解决政出多门、要求不一、企业无所适从的问题，有利于提高内部控制监管效率、降低监管成本，有利于优化企业管理和增强企业竞争实力，有利于保障经济安全、维护资本市场稳定。这个文件制订得比较超前，集成了国内外、包括很多中介机构对风险管理研究的成果，水平是比较高

11、的。这个文件的性质是一个指引，一个指导性文件，并没有强制约束力，目的是给中央企业一个导向和促进的作用。,内部控制配套指引,企业内部控制配套指引,自2011年1月1日起在海内外同时上市的公司施行，自2012年1月1日起在上交所、深交所上市的主板公司施行18项应用指引、1项评价指引、1项审计指引、金融类（银行、证券、保险）待发,18项应用指引,内部环境类：组织架构、发展战略、人力资源、社会责任、企业文化控制活动类：资金活动、采购业务、资产管理、销售业务、研究开发、工程项目、担保业务、业务外包、财务报告控制手段类：全面预算、合同管理、信息传递、信息系统,应用指引,评价指引,企业董事会或类似决策机构对

12、内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制是一个过程，而不只是一个结果，为更好实施这个过程，要求企业持续对内部控制进行全面评价。主要结构：总则：明确目的、界定范围、列示评价原则内部控制评价的内容内部控制评价的程序内部控制缺陷的认定内部控制评价报告,审计指引,会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。如果是评价指引是内部监督，则审计指引是外部监督。主要结构：总则：明确目的、界定范围计划审计工作实施审计工作评价控制缺陷完成审计工作出具审计报告记录审计工作,逻辑关系,以组织结构为前提，以发展战略为核心，以全面预算为保障，推进各项控制活动“政治路

13、线确定以后，干部就是决定一切的因素”-毛泽东全面预算管理是为数不多的几个能把组织的所有关键问题融合于一个体系中的管理控制方法之一-美国著名管理学家戴维.奥利设计、自评价、外评价（审计）,七类控制措施贯穿,不相容职务分离授权审批会计系统财产保护预算营运分析绩效考评,内控规范与会计准则区别,两个80%内控规范及其配套指引，是经验结晶，而非抽象理论（COSO框架），有可操作性内控制度并非理论，而是企业在规模扩张过程中，为了更好地运营企业而想出的一些办法。-德勤华北区企业风险管理服务主管合伙人赵善强,内控规范与内部会计控制规范区别,目标外延更广，要经营效率和发展战略体例不按会计科目设置，资金管理（含投

14、资、筹资、营运资金），资产管理（含存、无形资产、固定资产），预算为全面预算内部会计控制规范等征求意见稿中的精华-成本费用、对子公司的控制、内部审计,内控规范与全面风险管理区别,国际风险管理协会认为“风险管理系统与内部控制系统并没有原则性的区别；风险管理与内部控制正在趋同”COSO八要素框架称为“企业风险管理框架”（Enterprise Risk Management Framework）风险与控制的关系简单地说就是风险减去控制就等于剩余风险。财政部会计司司长刘玉廷：内部控制的目标是防范和控制风险并促进企业实现发展战略，风险管理也是为了促进企业实现发展战略，要求将风险控制在可承受范围之内。两者之

15、间不是对立的，而是协调、统一的整体。.因此，尽管名称变了，但控制、管理风险的本质未变，实质上仍然是内部控制。,风险管理与内控有机结合,企业内部控制基本规范及其配套指引，充分吸收了全面风险管理的理念和方法，强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险，促进企业实现发展战略，风险管理的目标也是促进企业实现发展战略，二者都要求将风险控制在可承受范围之内。因此，内部控制与风险管理二者不是对立的，而是协调统一的整体。-企业内部控制规范体系实施中相关问题解释第1号（财会20123号）各中央企业要力争用两年时间，按照企业内部控制基本规范和配套指引的要求，建立规范、完善的内部控制体系。各中

16、央企业应当自2013年起，于每年5月31日前向国资委报送内部控制评价报告，同时抄送派驻本企业监事会。-关于加快构建中央企业内部控制体系有关事项的通知（国资发评价201268号）,如何进行企业内部控制建设,内控建设，方兴未艾,各省开始试点，广西选取柳工、柳钢、中信大锰、交投集团、五洲交通5家进行试点先例既开，来日方长财务总监（财务负责人）话题、培训内容的转变行政事业单位内部控制规范征求意见稿（2011-11-10）,企业内控实践案例,两种模式,企业主导模式 烟草系统、中国电信中介主导模式 广西某集团70万内控手册上墙,内控手册“上墙”的间接危害,该集团A中层在2008年1月至5月期间，利用职务之

17、便，以及公司销售管理和产品出库内控方面的漏洞，通过自己填单，自己盖储运部公章，然后就发货给客户的方式，私自在各仓库出售某大宗商品合计4470吨，金额合计1414.35万元。一人身兼销售员和仓管员，左手提货单公章，后手出库公章该集团内控手册2006年12月完稿，此后培训，多“打瞌睡”。内控手册对销售提货流程和存货盘点流程均有明确规定，但无人执行。,如何保证内控的执行,制度细化至岗位，附职责说明、流程图、表格、填写说明制度动态化，每一部门设制度专员负责起草本部门修改建议，部门间定期讨论，定期修改制度考核，对于大部分员工，流程即业绩（财务、人力、审计等后台部门），考核落实到个人,一些国企内控执行不力

18、，其中一个重要的原因就是违规成本太小，没有惩罚机制保证制度的实施，或者即使制定了惩罚措施也没有实际执行。历史从来证明，要求和教育100条，不如有1条惩罚措施，更能够刺激人的灵魂。-著名经济学家华生（价格双轨制、国资委设立、股权分置改革提出者）,中国VS美国,绿大地造假，有期徒刑1-3年，缓刑2-4年；责任人无罚款蓝田股份造假，董事长有期徒刑3年，缓刑4年,安然造假，前CEO被判24年零4个月世通公司造假，前CEO被判25年,在安然造假案审判后，美国司法部发表了一项简短声明。声明指出，安然破产案的审判结果表明，打击企业犯罪如同打击街头犯罪一样，监管层会毫不手软。,内控十大常见漏洞-总结,出纳领取

19、对账单，调节余额她来编 领导同志一支笔，事无巨细啥都批 销售业务控制好，没他企业很苦恼 文本制度不可少，流程图表更重要 救火制度频颁布，各自为政把令出,内控十大常见漏洞-总结,临时休假或出差，无规无律乱安排 笔试面试乃基础，背景调查易疏忽 关键岗位强轮换，带薪休假执行难 成本压缩太过分，内部控制无人问 说一套来做一套，制度如同放空炮,中石化员工被曝卷千万购油款跑路,2011年8月26日，中石化山西晋中石油公司(以下简称晋中石化)任命的头牌客户经理、销售状元吴波卷购油款上千万元跑路，中石化晋中公司至今既不报案，对众多买油客户也不给交代。”客户购油款打到客户经理账户里的可能性很小。公司如果因为银行

20、转账不方便，需要员工转账，也需要特别申请的。“不过，还有一种可能是，某个客户经理已经在公司工作了较长时间，与客户的关系很好，可能会假借公司账户正在查账，暂时不能使用等理由，让客户打到他自己的账户里面，然后再帮忙转账，这样来设计一个圈套。”2011年8月23日-25日，吴波通过财务赊销油款328万元，事发后，面对如此大的资金缺口，晋中石化不是积极报案、调查处理，而是于8月31日挪用其他渠道的公款补平账,Growth,Start,Jump,2011至2006,2005至1998,1998以前,就事论事，零星分散,加强内控，持之以恒,系统经验，内控梳理,成功经验-青岛啤酒案例,就事论事，零星分散,在

21、过去很长一段时间里（1998年之前），青岛啤酒没有预算，没有年度的经营目标，没有费用的控制。1998年，青岛啤酒的销售收入达到15亿元，但应收账款就达5亿元，给财务造成很大压力。痛定思痛，青岛啤酒出台规定，任何人任何单位都不准对外赊销“总之就是发生了什么问题就去解决什么问题，没有形成一个体系。”-集团副总裁、总会计师孙玉国,系统经验，内控梳理,青岛啤酒对内控进行了一些梳理，形成了一些系统性的东西，也可说是一些初步的、尝试性、稍微有点系统性的经验。相继建立和完善了200余项内部管理制度，190余项操作流程，各个部门均建立了相应的控制制度和管理流程，内部管理制度涵盖了生产经营的各个方面，较好地保证

22、了控制目标的实现。,加强内控，持之以恒,从2006年起，青岛啤酒开始认真研究如何进一步完善公司的内控制度和体系问题，并着手于三方面：建立内部控制框架；对公司的内部控制进行系统评估；建立内控合规工作机制，保证内控工作长效运转。孙玉国认为，确立内部控制框架是开展内控工作的前提，青岛啤酒内部控制框架充分考虑了COSO(I)、COSO(II)的要素要求，并涵盖公司治理以及风险管理对企业管理变革的要求，具有一定的扩展性和延展性；对COSO框架内的要素进行提炼和重新分类，使之更为贴近业务流程的实际运行，并可以应用于一般企业的业务流程。2007年，青岛啤酒聘请内部控制专业咨询机构，并开展了系统和全面的风险辨

23、识评估工作，进一步提升公司的内部控制和风险管理水平。,选股票，选内控,2008年初，中国股市由牛转熊，绝大多数上市公司的股票遭到市场的抛弃。在这种情况下，青岛啤酒却决定在4月发行15亿元分离交易可转债。出乎意料的是，这次市场认购非常踊跃，申购金额超过4000亿，中签率仅为0.3%。2011年6月-7月，震荡市中上涨趋势明显（600600），至今走势平稳,设计思路与标准,内控体系设计的总体思路,描述,评价,优化,梳理企业重要业务流程，识别重大风险，描述企业现在正在实施的内部控制制度、政策、措施,将现有的政策、制度、控制措施等与风险清单进行对比，评价风险减去控制后的剩余风险，查找内控缺陷,根据18

24、项指引、同行业先进企业成功经验结合企业的特点、历史文化背景等针对内控存在的缺陷制订优化方案,描述,优化,评价,企业内部控制体系设计及建设基本遵循三大步骤，亦是内控体系建设的重点及难点：,内控设计三大步骤,内控设计基本流程,内控设计涉及的部门,制度建设部门（办公室）牵头全员参与内审部门监督，将内控执行纳入内部审计范围牵头部门与事务所思路一致，并具有一定的权威性，可协调各部门意见,设计标准,财政部等五部分联合发布的企业内部控制基本规范及其配套指引作为主要内控缺陷鉴别和优化标准，同时结合中介或企业审计、管理经验，听取被访谈人员合理建议，结合企业实际，进行内控设计。整个设计，贯彻“内控制度化、制度流程

25、化、流程岗位化”的现代管理思想。内控环境是基础，业务流程为抓手。,实施建议,“一把手”工程,领导班子重视是内控有效实施的前提。公司设立内部控制领导小组（简称“内控领导小组”），组长由总经理担任，设副组长若干人，组成成员包括各职能部门负责人和下属分（子）公司负责人，内控领导领导小组下设专职办公室（简称“内控办公室”），作为公司内部控制工作日常管理机构，具体负责组织全公司内部控制建设情况，每年敦促各部门提出各自内部制度修订意见，协调跨部门制度修订，配合内审部门对内部控制执行情况进行监督检查和评价，内部控制手册更新及培训等工作。,企业莺歌燕舞的时候改革是比较难的，真正陷入困境，职工知道亏损了，自己的

26、饭碗有危险了，企业内部对改革的承受力会明显增强。-邵宁推动内部整合是需要削山头的，会触及一些人的既得利益，需要有足够的推动力。大庆油田：”单位好不好，关键看领导；班子行不行，首先看前两名,尊重传统，尊重实践,尊重传统原则：对各部门现行制度进行完善，现行流程制度化，而非推倒重来；尊重实践原则：新制度先粗后细，边实行边改进。内控手册提供了内控建设的框架和方向，各职能部门和下属子公司应以此为指导，进行进一步的制度修订和细化，变“要我内控”为“我要内控”。,企业主导，中介指导,内部控制应由企业主导，中介机构辅助。内部控制的最终实施者是企业全体员工，最终责任者是公司领导班子。中介机构在内控设计和培训中，

27、仅能提供框架、思路和建议，内控能否有效实施，主动权和决定权都在作为实施主体的企业。,以点带面，逐步推进,内控实施不可贪大求快，要循序渐进。企业应在重大事项、重要业务领域和重要风险点先行试点，积累经验、培养人才，具备条件后再全面推进。对风险评估，先定性后量化对信息化建设，先梳理，后固化,风险量化的困难,方法误差数据信息系统整合管理,企业的情况很复杂，致使建立的风险度量不能够准确反映企业的实际情况,很多情况下，企业的有关风险的数据不足，质量不好,企业的信息传递不够理想，导致需要的信息未能及时到达,在数据和管理水平的现实条件下，不能与现存的管理连接，有效应用结果,先梳理、后固化,分阶段实施，先梳理，

28、后固化。,企业内控要取得成效，一般要经历数年，要花费一定的成本。同时，将权限设置、岗位职责、审批流程等内控措施固化到信息系统，实现自动控制为主、人工控制为辅，是内控建设的趋势。,与考核挂钩,配套制度修订细化和内控执行应成为具体管理要求，与考核挂钩。,配套制度的修订细化，应作为硬性要求，如每年在制定年度经营计划的同时，可要求各部门制定年度制度建设计划，将每年完善几项制度，什么时候完成，由谁完成进行明确，并纳入绩效考核。对执行情况，要强调“流程即效益”，内控手册及配套制度，要落到实处，将流程和控制点的执行情况纳入公司半年度和年度考核表。,祥浩内控咨询期待与您合作,南宁总部：广西南宁市青秀区金湖路59号地王国际商会中心32层业务负责人：黎荣果 手机：15607713535 邮箱：网址：,