建立与完善内部控制体系.ppt

《建立与完善内部控制体系.ppt》由会员分享，可在线阅读，更多相关《建立与完善内部控制体系.ppt（112页珍藏版）》请在三一办公上搜索。

1、第 1 页,建立与完善内部控制体系,合规部风险管理处,第 2 页,介绍提纲,1.加强风险管理与完善内部控制的重要意义2.有关风险管理与内部控制的一些基本概念3.完善的内部控制框架体系应该包括哪些内容？4.首次评估与改进内部控制体系的目标、意义与成果？5.开展内部控制评价与改进工作的基本方法？,第 3 页,1.1国外典型风险事件及其影响1.2国外有关风险管理与内部控制的监管演进历程1.3国内有关风险管理与内部控制的监管演进历程1.4保险行业有关风险管理与内部控制的监管演进历程1.5保险监管部门的其他与内控相关的监管要求,1.加强风险管理与完善内部控制的重要意义,第 4 页,案例1：安然（Enro

2、n）,1.1国外典型风险事件及其影响,辉煌业绩世界最大的能源公司，500强排名第七，曾被称为“美国最有创新精神的公司”严重问题2001年末，安然宣布第三季度亏损6.4亿美元。美国证监会进行调查，发现该公司1997以来虚报利润5.8亿美元。2001年末安然申请破产保护。在之前10个月内，公司因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利。2006，安然主席及CEO被美国法院认定有罪，前创始人受多项指控，其中4项银行欺诈罪将导致最高120年监禁的判决；前CEO受19项指控最终判24年监禁；CFO也被判刑10年。半年多时间，股市市值缩水2.5万亿美元；安然公司破产直接导致美国金融

3、机构损失200亿美元。,第 5 页,1.1国外典型风险事件及其影响,案例1：安然（Enron）,深层原因会计舞弊：通过财务作假和滥用会计方法，隐瞒亏损，掩盖债务和巨大的交易风险(1997以来虚报利润5.8亿美元)，误导投资人以牟取私利。业务集中：业务集中在的“能源衍生品交易”，公司出现任何信用风险后，带来一连串灾难性后果，造成现金流困难。恶性扩张：追求“管理创新”，自封“世界领先公司”，业务不断扩张，从天然气、电力业务，到风力、水力、投资、木材、广告、互联网宽带业务等，无所不包。,第 6 页,1.1国外典型风险事件及其影响,案例2：世通（WorldCom）,辉煌业绩美国第二大电信巨头，500强

4、排名第九严重问题由于投资失败和会计舞弊等原因，2000年初宣布破产，高管受到司法指控；公司股票由最高时的96美元跌至不足1美元，最后惨跌至7美分。深层原因投资失败：高管好大喜功，盲目投资，为谋求全美电信业老大的地位，兼并多家经营不良的公司，过度进行网络投资，给公司的最终垮台埋下伏笔。会计舞弊：前首席执行官在当政期间虚报约38亿美元利润，个人从公司挪用数亿美元购买股票，造成巨额亏损。,第 7 页,1.1国外典型风险事件及其影响,案例3：巴林银行,辉煌业绩巴林银行在90年代前是英国最大的银行之一，有超过200年的历史。严重问题1992-1994年期间，巴林银行新加坡分行总经理里森在从事日本大阪及新

5、加坡交易所之间的日经指数期货套期对冲和债券买卖活动中，因为看好日本经济并买入股指期货，没料到日本大地震导致股市大跌，而其做多的股指期货导致了14亿美元的亏损。巴林银行于1995年2月破产。,第 8 页,1.1国外典型风险事件及其影响,深层原因内控失效，缺乏有效的职责划分和上级对下级从事业务的监控机制。里森一人身兼交易与清算二职，其本来的交易职责是代巴林客户买卖衍生性商品，并替巴林从事套利两项工作，基本上没有太大风险（因为代客操作的风险由客户自己承担，交易员只是赚取佣金，而套利行为亦只赚取市场间的差价）。通过清算部门每天的结算工作，银行对其交易员和风险的情况也可予以有效了解并掌握。但不幸的是，里

6、森却一人身兼交易与清算二职，冲突业务无法隔离，内部控制有效性严重缺失。,案例3：巴林银行,第 9 页,1.1国外典型风险事件及其影响,案例4：兴业银行,辉煌业绩法国兴业银行是在欧元区排名第四、法国排名第二的大型金融集团。严重问题在2007年至2008年间，一名熟悉内部交易监管程序的交易员（杰洛米 科维尔）利用精通的专业知识和对交易流程的熟悉，以虚假买卖手法大量购入欧洲股指期货500亿欧元，造成49亿欧元(约71.4亿美元)的损失，制造了金融史上最大的一笔交易亏损，被一些经济学家称为银行业的“911”。,第 10 页,1.1国外典型风险事件及其影响,案例4：兴业银行,深层原因对交易人员交易行为的

7、监控和核查不够严格：2006至2007年间连续多次违规操作，这些操作曾经多次被作为异常数据监测到，相关风险及监控部门如风险管理部、财务部、直接上司都曾参与调查，但核查时都被杰洛米用各种借口或通过编制反向虚假交易蒙混过关。缺乏后台与前台完全隔离规则的遵守：杰洛米 2005年由后台工作调入投资部成为交易员，熟知后台和风险控制。信息系统的安全及密码保护控制不到位。强制休假制度没有达到应有目的：杰洛米在2007年只有4天休假，并且休假期间也没有人接手他经手的业务,第 11 页,知名企业失败案例与内部控制缺陷密切相关内部控制能够做到事前防范，及时发现苗头并予以补救案例：魏文王和扁鹊 的对话，谁的医术高明

8、？事后控制不如事中控制，事中控制不如事前控制,强化内部控制是有效防范风险的重要手段,风险事件的反思？,第 12 页,1.2国外有关风险管理与内部控制的监管演进历程,第 13 页,COSO框架体系,1985年，由美国注册会计师协会（AICPA）、美国会计协会（AAA）、财务经理人协会（FEI）、内部审计师协会（IIA）、管理会计师协会（IMA）联合创建了反虚假财务报告委员会（通常称为Treadway委员会），旨在探讨财务报告中产生舞弊的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO（The Committee of Sponsoring Organizations of

9、 The National Commission of Fraudulent Financial Reporting）委员会，专门研究内部控制问题。1992年9月，COSO委员会发布了内部控制整合框架（COSO-IC），简称COSO报告，1994年进行了增补。由于COSO内部控制整合框架提出的内部控制理论和体系集内部控制理论和实践发展之大成，成为现代内部控制最具权威性的框架，因此在业内备受推崇，在美国及全球得到广泛推广和应用。,1.2国外有关风险管理与内部控制的监管演进历程,第 14 页,COSO框架体系,COSO内部控制整合框架把内部控制划分为五个相互关联的要素,1.2国外有关风险管理与内部

10、控制的监管演进历程,第 15 页,COSO框架体系,1.2国外有关风险管理与内部控制的监管演进历程,第 16 页,针对安然、世通等财务欺诈事件，美国国会出台了2002年公众公司会计改革和投资者保护法案。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作2002年萨班斯奥克斯利法案（简称萨班斯法案或者“SOX法案”）。该法案对美国1933年证券法、1934年证券交易法作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。法案于2002年7月30日签署生效。对在美国上市的境外公司(FPI)并无重大豁免，对在香港/中国大陆的FPI(中国

11、企业在美国上市的)和海外跨国公司(MNC)的子公司都需要遵从。,萨班斯法案,1.2国外有关风险管理与内部控制的监管演进历程,第 17 页,对有限公司有重大影响的主要是第 302 条款、第 404条款和第 906条款,萨班斯法案,第 302 条款 要求公司的 CEO 和 CFO 在财务报告上签字，保证财务报告不存在重大错报、漏报，在所有重大方面公允地反映公司在该报告期末的财务状况及该报告期内的经营成果。同时要求 CEO、CFO 对相关批露的内部控制有效性进行评价。,1.2国外有关风险管理与内部控制的监管演进历程,第 18 页,对有限公司有重大影响的主要是第 302 条款、第 404条款和第 90

12、6条款,萨班斯法案,第 404 条款 404 条款的核心内容是严格界定了上市公司管理层对公司内部控制需承担的责任和义务。公司的年报中需要增加管理层关于公司内部控制情况的报告。该报告包括：明确阐明公司管理层有责任建立和保持一套完整的与财务报告相关的内部控制系统和程序；管理层应对财务年度期末与公司财务报告相关的内部控制系统及程序的有效性做出评价。公司全体管理层对报告负责。公司外部审计师对管理层的内控报告出具鉴证报告。,1.2国外有关风险管理与内部控制的监管演进历程,第 19 页,萨班斯法案,对有限公司有重大影响的主要是第 302 条款、第 404条款和第 906条款,图：302条款和404条款异同

13、,1.2国外有关风险管理与内部控制的监管演进历程,第 20 页,萨班斯法案,对有限公司有重大影响的主要是第 302 条款、第 404条款和第 906条款,表：302条款和404条款异同,1.2国外有关风险管理与内部控制的监管演进历程,第 21 页,萨班斯法案,对有限公司有重大影响的主要是第 302 条款、第 404条款和第 906条款,第 906 条款 明确规定上市公司管理层（CEO和CFO等）对舞弊和欺诈负有刑事责任，如：认证失实的财务报告，最高给予100万美元罚款、10年监禁；故意认证虚假报表，最高给予500万美元罚款、20年监禁。,1.2国外有关风险管理与内部控制的监管演进历程,第 22

14、 页,1.3国内有关风险管理与内部控制的监管演进历程,第 23 页,2008年6月28日，财政部、证监会、审计署、银监会和保监会联合召开企业内部控制基本规范发布会，发布了企业内部控制基本规范和三个配套指引的征求意见稿（尚在征求意见，即将下发，分别是应用指引、评价指引和审计指引）企业内部控制基本规范要求上市公司从2009年7月1日开始实施(根据最新消息，已经延缓至2011年1月1日起开始实施)，鼓励非上市的大中型企业执行。执行基本规范的上市公司，要对本公司内部控制的有效性进行自我评价、披露年度自我评价报告，并可聘请会计师事务所对内部控制的有效性进行审计。,企业内部控制基本规范,1.3国内有关风险

15、管理与内部控制的监管演进历程,第 24 页,企业内部控制基本规范的主要内容 企业内部控制基本规范主要包括总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则等七个部分，其中内部环境、风险评估、控制活动、信息与沟通、内部监督基本借鉴了COSO 报告的理论研究成果，即以五要素为框架，适当体现了“企业风险管理-整体框架”中提出的八要素理念。,企业内部控制基本规范,1.3国内有关风险管理与内部控制的监管演进历程,第 25 页,企业内部控制基本规范的基本定位,企业内部控制基本规范,1.3国内有关风险管理与内部控制的监管演进历程,第 26 页,应用指引（征求意见稿）介绍 对包括资金、采购、存货、

16、销售、工程项目、固定资产、无形资产、筹资、预算、成本费用、担保、合同协议、业务外包、对子公司的控制、财务报告编制与披露、人力资源政策、信息系统、衍生工具、企业并购、关联交易、内部审计、保险业务、证券业务、银行业务在内的各项具体业务制订了实施内部控制的具体指引。公司需要按照应用指引的相关要求去建立和完善内部控制体系，工作的主体应该是公司各个职能部门，但需要在内控、风险或内审部门的指导下进行。,企业内部控制基本规范,1.3国内有关风险管理与内部控制的监管演进历程,第 27 页,评价指引（征求意见稿）介绍内容主要包括内部控制评价的内容和标准、内部控制评价的程序和方法、内部控制缺陷认定和评估报告。评价

17、指引要求企业内部要定期对公司的内部控制设计与运行状况进行评价，出具评价报告，发现在内部控制上存在的缺陷，提出和实施改进方案，确保内部控制有效运行。这部分工作通常由公司内部的内控、风险或内审部门承担。,企业内部控制基本规范,1.3国内有关风险管理与内部控制的监管演进历程,第 28 页,审计指引（征求意见稿）介绍要求会计师事务所使用与财务报表审计相同的重要性水平，按照规定的方法和程序，对公司内部控制体系进行审计测试，最终就被审计公司的内部控制是否有效发表审计意见（包括无保留意见、否定意见、无法表示意见）。审计指引主要是指导和约束执行内控审计任务的外部中介机构。,企业内部控制基本规范,1.3国内有关

18、风险管理与内部控制的监管演进历程,第 29 页,1.4保险行业有关风险管理与内部控制的监管演进历程,第 30 页,从2008年开始，保监会持续加强对保险市场的监管，出台了系列重要监管举措。1.在财产保险行业开展整顿市场秩序工作（“70号文”）2.实行分类监管（08年年底下发关于实施保险公司分类监管有关事项的通知为标志，逐步形成和完善以偿付能力为核心的分类评级监管机制，并对不同级别的企业采取不同的监管措施）3.财务业务数据真实性检查4.打击三假-结论：市场秩序整顿工作包括的很多内容、分类监管监测的很多指标针对的主要风险和问题都与公司风险管理与内部控制建设体系是否完善有效（包括设计是否有效和执行是

19、否有效）相关。,1.5保险监管部门的其他与内控相关的监管要求,第 31 页,关于实施保险公司分类监管有关事项的通知,五大类指标：偿付能力充足率；公司治理及内控合规风险；财务风险；资金运用风险；业务经营风险。A类公司：风险低，保监会不采取特别的监管措施。B类公司：风险中等，保监会采取一项或多项监管措施：监管谈话、监管提示函、现场检查等措施。C类和D类公司：风险较高，保监会采取全面检查、调整管理人员、限制业务范围更为严格的监管措施。,1.5保险监管部门的其他与内控相关的监管要求,第 32 页,介绍提纲,1.加强风险管理与完善内部控制的重要意义2.有关风险管理与内部控制的一些基本概念3.完善的内部控

20、制框架体系应该包括哪些内容？4.首次评估与改进内部控制体系的目标、意义与成果？5.开展内部控制评价与改进工作的基本方法？,第 33 页,2.1内部控制的涵义2.2风险管理的涵义2.3风险管理与内部控制的异同2.4风险管理与内部控制的关系,2.有关风险管理与内部控制的一些基本概念,第 34 页,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果、促进企业实现发展战略。,COSO定义,企业内部控制基本规范定义,内部控制是由董事会、管理当局和其他职员实施的一个过程，旨在

21、为下列各类目标的实现提供合理保证:经营效果和效率；财务报告的可靠性；遵循适用的法律和法规。,2.1内部控制的涵义,第 35 页,2.1内部控制的涵义,1.内部控制是融入在企业经营管理活动之中的一系列行为，不是一个额外的附加体系内部控制是经营管理活动的一部分内部控制的对象是经营管理过程的主体和活动内部控制要融入经营管理的每个环节内部控制要从被动到主动内部控制要从附加到融入,如何理解内部控制涵义？,第 36 页,2.内部控制强调“全员参与”全体员工都担负内部控制实施的责任管理者要带头垂范,2.1内部控制的涵义,如何理解内部控制涵义？,第 37 页,2.1内部控制的涵义,如何理解内部控制涵义？,3.

22、内部控制责任体系董事会：对内部控制的建立健全和有效实施负最终责任。审计委员会：负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。监事会：对董事会建立与实施内部控制进行监督。管理层：负责组织领导企业内部控制的日常运行；企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。内审部门：结合内部审计监督，对内部控制的有效性进行监督检查。,第 38 页,COSO定义企业风险管理是一个过程，它是由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体

23、的风险容量之内，并为主体目标的实现提供合理保证。,2.2风险管理的定义,第 39 页,内控是风险管理的重要组成部分和基础内部控制是企业风险管理的不可分割的一部分；内部控制是风险管理的一个子系统，是不可或缺的部分，是实施风险管理的重要保证。,2.3风险管理与内部控制的异同,第 40 页,风险管理的外延要比内部控制大从范围看，内部控制针对的风险大多是可控纯粹风险,其控制对象是企业中的个人，其控制目的是规范员工的行为，其控制范围是企业的业务和管理流程,内部控制一般是管理企业内部运作过程中的风险，通过规范化的操作减少业务运作的不确定性；而风险管理不仅包括上面的内容，还包括对公司面临的外部风险的管理，例

24、如政策风险、市场风险以及行业风险等等。从内容看，风险管理包括战略目标的设定、风险分析与评价方法的建立和选择、管理者的聘用等等，其活动不全是内部控制的内容；而内部控制一般不会涉及管理的目标。从工具看，内部控制是通过规范性的制度设计，改进和规范业务运作流程，明确相关人员的责任；而风险管理所采用的工具，不仅包括建立规章制度、规范业务操作流程，还包括运用不同的金融市场工具，如期货、期权、掉期等衍生工具，以达到利用资本市场来分散风险的目的。,第 41 页,内控解决的是流程问题，包括业务流程、管理流程中的风险控制，解决的是“正确地做事”。内控解决的是合规性、真实性问题。内控侧重操作风险大部分的金融灾难都归

25、结于市场风险与信用风险，以及与之相关的内控失效，即操作风险,2.4风险管理与内部控制的关系,第 42 页,全面风险管理解决的不仅是流程问题，更是要解决战略决策问题、应急处理问题；不仅要解决当前的问题，更要预测和应对将来可能发生的问题；不但要解决“正确地做事”，关键是还要解决“做正确的事”。全面风险管理解决的是决策的体制问题、制度设计问题，防止重大决策失误，防止出现重大危机问题。全面风险管理要对结果的好坏负责。侧重宏观层面风险要关注宏观层面风险向操作风险的转化,2.4风险管理与内部控制的关系,第 43 页,2.4风险管理与内部控制的关系,第 44 页,介绍提纲,1.加强风险管理与完善内部控制的重

26、要意义2.有关风险管理与内部控制的一些基本概念3.完善的内部控制框架体系应该包括哪些内容？4.首次评估与改进内部控制体系的目标、成果与意义？5.开展内部控制评价与改进工作的基本方法？,第 45 页,3.1内部控制3.2风险评估3.3控制活动3.4信息与沟通3.5内部监督,3.完善的内部控制框架体系应该包括哪些内容？,第 46 页,内部环境-具体内容：治理结构机构设置及权责分配内部审计人力资源政策企业文化,-内部环境-内部控制基础设定组织管理的基调影响着员工的控制意识其他四个内控要素的基础最终影响内部控制的效果,3.1内部环境,第 47 页,1.治理结构是最高层次的权责架构有效治理结构要求股东大

27、会、董事会、监事会和经理层之间权责明确、运作规范、相互制约2.机构设置及权责分配精简高效、权责清晰、相互制约决策、执行、审批、监督等职责权限的界定3.内部审计组织机构内在制衡-相对独立,3.1内部环境,第 48 页,聘用：坚持德才兼备，以德为先培训：提高岗位绩效辞退与辞职：交接手续薪酬、考核、晋升与奖惩：激励约束强制休假制度和定期岗位轮换掌握国家秘密或重要商业秘密的员工离岗的限制性规定,4.人力资源控制,3.1内部环境,第 49 页,3.1内部环境,5.企业文化柔性控制。用文化引导、影响和约束人的行为内控合规理念。内控合规创造价值 全面内控人人有责 从管理层做起风险导向的管理理念和经营风格 违

28、规必究,第 50 页,2004年12月，公司披露在石油投机交易中损失5.5亿美元 2005年，首席执行官陈x也被发现有内部交易的舞弊行为2002年3月公司制订了风险管理手册，风险管理手册规定任何新产品交易必须经董事会批准，但期权交易董事会从未批准过。2003年审计委员会报告说要制定期权交易指引，但这份文件却一直没有出台CEO两次替换掉总公司委任的财务经理CEO本人既负责日常风险管理，同时也是交易的最终决策人交易未向集团公司报告，交易者没有被恰当监控,中航油案例,3.1内部环境,第 51 页,CEO个人说了算，替换掉由总公司委任的财务经理；未经批准从事高风险交易。董事会没有起到应有作用，对CEO

29、缺乏有效地监督制约。决策与执行没有很好的分离，CEO既是交易的执行者也是交易的最终决策人。企业文化有问题。隐瞒不报。,中航油案例,3.1内部环境,第 52 页,2004年12月，国资委主任李荣融说中航油问题“归根到底都是治理结构的问题，没有制约的权力就会带来腐败；否则发现问题及时制止，即使有损失也不会这么大，一定要吸取教训”2007年10月，李荣融在接受凤凰卫视专访中，又一次提到中航油事件，说“他们那个风险手册规定得很清楚，不是没有风险管理，有，但是这本手册等于没用，都是一个人说了算，该报告的都不报告，反过来董事该履职的，也没有履到职。”普华永道作为特别审计机构，对其巨额亏损原因进行调查后，在

30、报告中写到：原中航油总裁陈久霖在公司中“营造隐瞒的文化”，管理层向董事会和审计委员会隐瞒了石油期权交易。,中航油案例,3.1内部环境,第 53 页,风险评估：识别、分析、应对风险识别保险(特有)风险：定价风险、准备金风险、巨灾风险金融市场风险：利率风险、汇率风险信用风险：应收保费、再保摊回操作风险：系统、流程、外部、人员,3.2风险评估,第 54 页,3.2风险评估,风险评估：识别、分析、应对风险分析：评估风险影响，确定关注的重点领域影响程度发生频率,第 55 页,3.2风险评估,风险评估：识别、分析、应对风险应对：确定风险应对策略风险规避:承保黑名单、老车贷险风险承受:自留业务风险降低:强化

31、核保、核赔风险分担:共保、再保,第 56 页,3.3控制活动,按照控制与事件发生的时间关系分类：事前控制：预防性控制财务专用章与人名章分开保管；客户信用审核携带公章外出展业，经上级公司批准事中事后：发现性控制银行对账；凭证复核；财产盘点自动控制 VS.手工控制自动预防：刚性控制自动发现：实时监控&自动预警,控制活动是落实风险应对策略的手段和方法。,第 57 页,出纳麻某工作努力当地分公司熟悉财务工作的一名好员工！但，事实的真相却是,作为分公司的出纳，同时也是一家县级支公司的财务主管挪用贪污公司资金超过百万财务中心主任的一次对账，导致麻某离岗潜逃为什么公司没能更早发现？,分支机构一个真实的案例,

32、3.3控制活动,第 58 页,执行定期轮岗或者休假的制度，使其他人有机会接任出纳的工作岗位（人力资源控制）出纳岗位与财务主管的岗位分离（不相容职务分离控制）向客户发函确认应收保费，或者与销售人员确认应收保费并由主管进行审核（财产保护控制）对现金进行突击盘点，对银行余额调节表进行审核（财产保护控制）设定应收保费控制目标，进行异常控制（预算控制）,3.3控制活动,分支机构一个真实的案例：如何强化控制,第 59 页,3.3控制活动,第 60 页,3.3控制活动,Separation of functions:职责分离Dual entries:双重记录Reconciliation:复核Tickler

33、systems:定时器系统Controls over amendment:改动控制Confirmation(outside)Verification of priceAuthorizationSettlementAudit(I&E),第 61 页,不相容职务？如果由一个人担任，可能发生错误或者不当行为，同时又有可能对这些行为进行掩盖的职务。不相容职务分离基础假设两个或以上的人无意识地犯同样错误的可能性较小两个或两个以上的人有意识地串通舞弊的可能性低于单独一个人舞弊的可能性,1、不相容职务分离控制,3.3控制活动,第 62 页,反面实例：某支公司出纳员姚某贪污挪用170多万,3.3控制活动,1、

34、不相容职务分离控制,第 63 页,反面实例：某支公司出纳员姚某贪污挪用170多万,缺陷：资金收支与银行对账两个事项由同一人做因而有机会舞弊，又可以掩盖舞弊事实应对：他人领取银行对账单核对账目揭露问题财务中心对账轮岗轮休，工作交接发现问题 实施岗位分离和制约防止舞弊,3.3控制活动,1、不相容职务分离控制,第 64 页,不相容职务控制运用：梳理业务流程，确定业务流程中有哪些岗位和操作 分析哪些岗位和事项之间存在联系和牵制，而且容易出现错误和舞弊结合岗位职责分工采取分离措施 关注员工在公司内的人际关系，坚持回避原则,3.3控制活动,1、不相容职务分离控制,第 65 页,常见不相容职务：财产：保管、

35、记录、盘点承保：展业、出单、核保理赔：查勘、定损、核损、理算、核赔财务：会计与出纳、收支与对账、支票与印章IT系统：数据录入与数据库管理单证：单证管理与出单兼职可以吗？控制措施与管理模式相适应,3.3控制活动,1、不相容职务分离控制,第 66 页,授权审批控制就是业务必须由被授权的人去执行实施要求：所有经营活动纳入授权管理范围，事先明确各项活动的授权者、明确被授权者的职责权限。工作效率 VS.管控力度 常规授权 VS.特别授权强调书面授权授权书及转授权书、岗位职责说明书、权责规范手册其他制度中的授权：资金管理、大商风管理、理赔,2、授权审批控制,3.3控制活动,第 67 页,合理把握授权范围和

36、尺度权限过小影响经营活动效率和被授权者积极主动性权限过大有可能对某些重要事项失去控制：固定资产规模控制监督授权执行情况保持动态授权、差异化管控风险管控能力强、对工作效率要求高，则放权授权执行情况差，则收权、集中化管控越权行为处罚,3.3控制活动,2、授权审批控制,第 68 页,会计系统控制目的是真实反映经济业务 经营结果：资产负债表、利润表、现金流量表 控制措施：程序控制、手续控制、凭证编号、复核与核对 会计软件的设计符合标准，内嵌控制措施具体要求：依法设置会计机构，配备会计人员严格执行国家统一的会计准则制度明确会计凭证、会计账薄和财务会计报告处理程序建立会计信息审核机制,3.3控制活动,3.

37、会计系统控制,第 69 页,某支公司出纳麻某，侵占挪用资金139.6万元麻某的工作：业务收付费日常费用支付管理两个账户，进行银行对账管理财务专用章、人名章、支票、装订会计凭证侵吞挪用资金方式：侵占保费私自提现,3.会计系统控制,3.3控制活动,第 70 页,该案件暴露出会计系统控制问题：职责分工不到位：出纳实际负责支公司全部财务工作。财务印鉴和支票由一人保管，有挪用机会支票登记簿没有记录支付内容和对象，支票使用、作废情况记录不清账户管理失控，没有定期获取对账单对账，未达账没有及时核对，日清月结、账实核对等未有效落实会计审核失职应收保费没有及时清理核对，实际资金已被挪用,3.3控制活动,3.会计

38、系统控制,第 71 页,某公司出纳杨某贪污挪用公款 2003-2006年期间，挪用公司资金17笔，涉案金额总计777.6万元。作案手法是：私自多买现金支票和转账支票，自己开支票盖章挪用资金；修改其他正常支票存根金额（把支付20万的改成30万）来掩盖自己挪用的资金（10万）领取银行对账单，篡改银行发生额和月末余额制造假银行对账单，调平银行余额调节表。,3.3控制活动,3.会计系统控制,第 72 页,财产保护控制 保护财产的安全与完整.具体措施：财产登记实物保管定期盘点、账实核对财产保险，转嫁风险损失,4.财产保护控制,3.3控制活动,第 73 页,预算控制就是通过预算方法实施的对经营活动的控制。

39、预算目标既是行动目标也是约束条件预算控制的过程编制预算预算执行预算的监控、分析与调整预算执行结果考核,5.预算控制,3.3控制活动,第 74 页,运营分析控制是指公司对经营活动信息进行分析，及时发现存在的问题，查明原因，采取措施。分析方法:因素分析、纵向横向对比分析、趋势分析 与竞争对手对比分析、标杆公司对比分析运营分析举例月、季、年度经营分析黑名单、灰名单库应收保费、车险、理赔数据监控,3.3控制活动,6.运营分析控制,第 75 页,7.IT控制,IT控制利用信息技术强化控制刚性控制：将内部控制需求固化各类信息系统中，强化各类管控措施保单超时补录、涉及资金流出的批退、生效保单注销、报立案注销

40、恢复、省集中案件、欠费保单赔付无缝链接：保障数据一致性，防止系统间数据修改业务、财务、收付费、再保、单证数据集中：强化运行与数据控制，防范数据操纵实现远程监控、预警责任落实：员工身份认证和权限管理,3.3控制活动,第 76 页,生产控制中心管控内容：管数据：对错误数据修正审批流程的控制管应用：对非统颁外挂应用系统的集中控制管主机：主机及数据库维护权限上收到生控中心控配置：信息系统配置权限上收到生控中控制措施分析增强了对信息系统及相关数据的控制强化了其他控制措施的落实,3.3控制活动,7.IT控制,第 77 页,信息与沟通收集和传递内控相关信息进行有效沟通，彼此理解真实意图方式：自上而下、自下而

41、上、横向、对外内控相关信息：内部信息人员信息、制度信息、经营信息、监督信息外部信息经济形势、政策法规、监管要求、行业动态,3.4信息与沟通,第 78 页,沟通要点：管理层意图及时传达，统一思路与方向权责信息要书面规范，使职责履行到位基层情况及时上传，发现问题及时采取措施平行沟通需相互服务意识，信息共享、简化流程管理者是信息沟通关键，态度、渠道、氛围、反馈沟通方式：文件、会议、内网、邮件、意见箱,3.4信息与沟通,第 79 页,内部监督对内部控制建立与实施监督检查评价内部控制是否健全、合理、有效报告缺陷、采取处理措施、责任追究内部控制缺陷设计缺陷执行缺陷,3.5内部监督,第 80 页,第 81

42、页,介绍提纲,1.加强风险管理与完善内部控制的重要意义2.有关风险管理与内部控制的一些基本概念3.完善的内部控制框架体系应该包括哪些内容？4.首次评估与改进内部控制体系的目标、意义与成果？5.开展内部控制评价与改进工作的基本方法？,第 82 页,4.1首次评估与改进内部控制体系的目标4.3首次评估与改进内部控制体系的意义4.3首次评估与改进内部控制体系的成果,4.首次评估与改进内部控制体系的目标、意义与成果,第 83 页,全面评估，摸清底细查漏补缺，完善制度切实整改，控制风险通过审计，提升形象培养人才，完善机制统一方法，降低成本,4.1首次评估与改进内部控制体系的目标,第 84 页,当前,未来

43、,内部控制,合规,风险管理,财务,内部审计,业务操作流程,管理流程,反舞弊,内部审计,法律合规,风险管理,财务,隐私,损失数据,保监会要求,内部审计,法律合规,风险管理,财务,内部审计,资本市场的监管要求,业务操作,目标设定,风险识别/评估,风险应对控制措施,缺陷整改,计划和管理,收益和理赔管理,资产和投资管理,营销和销售,人力资源管理,财务管理,合规管理,信息系统管理,内部审计,反舞弊,反洗钱,反洗钱,隐私,操作风险,保监会要求,资本市场要求,操作风险,首次内控评价与改进,4.1首次评估与改进内部控制体系的目标,第 85 页,首次评价与改进内部控制体系，像一张“网”，覆盖公司的各主要经营管理

44、环节，具有全流程、全环节、全员参与的特性。首次评价与改进内部控制体系，像一根“线”，把作业流程标准化项目、第三代核心业务系统项目、省集中工作以及经营管理的各个环节等有机地串连在一起。,4.2首次评估与改进内部控制体系的意义,第 86 页,软件需求系统控制【通过IT系统实现刚性控制，减少人工干预】,诊断缺陷改进措施【识别、评估并改进流程中的控制点，力争达到控制风险的目标】,实现标准化现状描述,1.承前启后：桥梁、纽带2.管理升级：评价、诊断、方向,4.2首次评估与改进内部控制体系的意义,第 87 页,优化流程,控制风险,微观落地,从微观操作层面去发现产生问题的根源，实现微观层面风险点与控制点的对

45、接。只有在微观层面发现了问题，才能在操作层面解决问题。,在分析和评估基础上，提出有针对性的改进建议，督促相关部门整改。,对制度和流程进行诊断和评价，找到每一个流程中的风险控制点是关键（不是对现有制度进行简单的排列组合），评价风险点、控制点的有效性是难点。,发现问题,分析问题,解决问题,4.2首次评估与改进内部控制体系的意义,第 88 页,1.价值找“病因”、开“处方”2.工具：微观层面风险点与控制点的梳理3.基础：可以利用流程标准化的成果，但还需要按照内控工作的要求进行大量的加工4.关键：范围广、流程多、层级多，需要公司上下高度重视和深度参与“病人”要配合，清楚描述病情（每一流程所有的风险点和

46、控制点在哪里？）、按照“医生”的建议接受治疗（完善控制点？）,内控评价与改进在公司管理中的角色定位-“医生”通过“望、闻、问、切”，诊断内控失效的“病因”，开出治疗的“处方”,4.2首次评估与改进内部控制体系的意义,第 89 页,内部控制手册与指南内控控制评价手册关键岗位风险管理手册对公司承保、理赔、再保险、会计核算、财务管理等重要领域信息系统对风险控制支持的改进建议对公司风险管理框架体系、组织架构、管理模式（包括风险评估、报告、预警、自我评估和考核等领域）的可行性建议,4.3首次评估与改进内部控制体系的成果,第 90 页,内部控制手册通常在流程图、风险控制矩阵等控制文档的基础上形成，内容包括

47、了对各内部控制要素和业务领域中的风险点和具体控制活动的描述、说明和总结。,4.3首次评估与改进内部控制体系的成果,第 91 页,内部控制手册,流程图,风险控制矩阵,4.3首次评估与改进内部控制体系的成果,第 92 页,介绍提纲,1.加强风险管理与完善内部控制的重要意义2.有关风险管理与内部控制的一些基本概念3.完善的内部控制框架体系应该包括哪些内容？4.首次评估与改进内部控制体系的目标、意义与成果？5.开展内部控制评价与改进工作的基本方法？,第 93 页,5.1前期工作准备（首次评价与改进内部控制体系时）5.2内控设计与执行层面的评价与整改工作,5.开展内部控制评价与改进工作的基本方法？,第

48、94 页,5.1前期工作准备,第 95 页,1.风险框架体系参考行业最佳实践、监管要求及国外经验，设计风险框架体系。风险框架体系分类越科学、层级越细，越易于以风险根源的形式展现（风险产生的深层次原因！），越有利于引导采取有效的内部控制措施。,5.1前期工作准备-搭建风险与流程框架体系,第 96 页,2.流程框架体系 流程框架体系的建立为公司今后风险控制工作的持续改进建立了基础（从哪里去控制风险？）。在搭建流程框架体系的过程中，充分借鉴保监会、财政部（企业内部控制基本规范）、证监会及其他各项监管要求，也充分利用了流程标准化、第三代核心业务系统的成果，体现了风险管理和内部控制融入公司日常管理的理念

49、。这个体系可以成为公司系统开发、流程改进、运营模式的通用标准体系。目前，流程框架中一级流程27个，二级流程120个，三级流程尚需根据进展予以优化和细化。,5.1前期工作准备-搭建风险与流程框架体系,第 97 页,3.风险与流程对应关系将流程框架与风险框架进行了匹配，以便明确某个风险体现在哪个流程中，某个流程中有哪些风险。这个匹配首先在风险类别层面进行，为下一步全面识别具体风险点与流程中的控制点的匹配打下基础。有了这个匹配，就有了内部控制“神似”的前提。,5.1前期工作准备-搭建风险与流程框架体系,第 98 页,首次内控评价与整改既要建立公司的全面风险“地图”（风险与流程框架体系）和以后持续风险

50、管理的工具，又要在实施过程中抓住重点，提出解决方案并跟踪整改。风险评估方法是实现这个目标的有效工具。,后续阶段重点关注,后续阶段次重点关注,后续阶段非重点关注,5.1前期工作准备-统一风险评估方法体系,第 99 页,从影响程度和发生可能性两个方面评估风险的高低：1.评估影响程度时，将从影响日常运营、影响企业声誉、造成财务报告的错误、引起经济责任、发生违规等多个角度综合考虑，将影响分为“极轻微”至“灾难性的”五级，分别对应1至5分的数值。2.评估发生可能性时，综合运用损失发生次数、发生概率等方法，将风险发生可能性分为“极低”到“极高”五个等级，分别对应1至5分的数值。风险高低=影响程度*发生可能