企業(yè)內(nèi)部控制與風險管理.ppt
內(nèi)部控制與風險管理,培 訓(xùn) 內(nèi) 容,內(nèi)部控制綜述 職業(yè)舞弊 內(nèi)控的建立和執(zhí)行,COSO內(nèi)部控制整合框架 內(nèi)部環(huán)境 內(nèi)部控制的實質(zhì)風險管理 內(nèi)部控制活動 信息與溝通 內(nèi)部審計,內(nèi)部控制綜述,一個真實的案例,發(fā)生在一家世界級的組織中(新家坡航空) 由一名工作人員所為,沒有任何串通和合謀 (Teo Cheng Kiat 張俊杰) 長達十三年之久(1987-2000) 幾乎每天都在進行 每筆貪污金額從10新元到5000新元不等 單在1999年就有1590萬新元 在2000年的頭18天內(nèi)就有180萬新元 貪污總金額3500萬新元(折合人民幣1.82億) 發(fā)生了什么?,內(nèi)部控制被忽視的理由,我的員工忠誠可靠,我相信我的員工 我們從沒發(fā)生過問題 外部審計師在檢查我們的財務(wù)報表 我沒時間 程序耗時又沒有用處 我最好還是把時間用在其他戰(zhàn)略問題上面 ,那么內(nèi)控到底是什么?,COSO對內(nèi)部控制的定義: 內(nèi)部控制是一個過程,該過程受到機構(gòu)董事會、管理層和其他人員的影響,其目的為下列目標的實現(xiàn)提供合理的保證 運營的效果和效率 報告的可靠性 遵守適用的法律和法規(guī) 戰(zhàn)略目標,注:COSO是指美國反對虛假財務(wù)報告委員會所屬的內(nèi)部控制專門研究委員會發(fā)起機構(gòu)委員會(Committee of Sponsoring Organizations of the Treadway Commission, 簡稱COSO),COSO內(nèi)部控制的核心觀念,內(nèi)部控制是一個過程,是實現(xiàn)目標的手段,而不是結(jié)果本身 內(nèi)部控制受到人的影響,而不僅僅是一套制度手冊或是規(guī)章 對管理層或董事會而言,內(nèi)部控制提供的僅是合理的保證,而不是絕對的保證 內(nèi)部控制的目的在于實現(xiàn)企業(yè)一個或幾個目標,但這些目標可能會有重復(fù)和交叉,組織內(nèi)的內(nèi)部控制,組織外的內(nèi)部控制,謝賓斯基三角,戰(zhàn)略伙伴,內(nèi)部控制不局限在內(nèi)部它延伸到產(chǎn)業(yè)鏈的邊緣,COSO報告:人員在內(nèi)部控制中的職責,董事會 管理層 內(nèi)部審計師 內(nèi)部其他人員 外部人員,自上而下,全員參與,各司其責,CEO對整個控制系統(tǒng)負責,對董事會負責,設(shè)計治理結(jié)構(gòu),指導(dǎo)監(jiān)管的進行,評價、監(jiān)控,有助、獨立、更具有可靠性,明確職責,積極主動參與、配合實施,業(yè)務(wù)部門的 工作范疇,建立和完善內(nèi) 控政策是哪個 部門的工作?,內(nèi)控職能部門 的工作范疇,牽頭 協(xié)助 協(xié)調(diào) 審查,MOTOROLA的三件法寶,競爭優(yōu)勢,六 希 格 瑪,全面 縮短 運作 周期,內(nèi)部控制,內(nèi)部控制能夠幫助我們繞過途中的陷阱,到 達目的地。MOTOROLA總裁 加利.吐克,基石,必須和經(jīng)營理念相結(jié) 合才能形成競爭優(yōu)勢,內(nèi)控體系不是一成不變 的,因時因地因人而變,內(nèi)部控制的局限性,內(nèi)部人員(包括內(nèi)控/內(nèi)審人員)素質(zhì)不適應(yīng)崗位要求造成判斷失誤、執(zhí)行偏差 內(nèi)部控制的單向性:管理層濫用職權(quán)、蓄意因營私舞弊等 合伙同謀、串通作弊 成本效益原則 內(nèi)部控制的滯后性,內(nèi)控系統(tǒng)的整體架構(gòu)-COSO立方體,內(nèi) 部 環(huán) 境,目 標 制 定,事 項 識 別,風 險 評 估,風 險 反 應(yīng),控 制 活 動,監(jiān) 督,信 息 與 溝 通,業(yè) 務(wù) 活 動 1,業(yè) 務(wù) 活 動 2,事 業(yè) 部 1,事 業(yè) 部 2,遵守適用的 法律和法規(guī),報告的 可靠性,運營的效 果和效率,戰(zhàn)略目標,內(nèi)部控制 的八要素,內(nèi)部控制 貫穿所有 業(yè)務(wù)部門,內(nèi)部控制的目標,COSO內(nèi)部控制構(gòu)成八要素,內(nèi)部環(huán)境:最基本的要素,指風險管理哲學(xué)和風險偏好;員工誠實性和道德觀;以及企業(yè)經(jīng)營環(huán)境。 目標制定:包括企業(yè)生產(chǎn)經(jīng)營,資金等等各項指標的制定是企業(yè)的管理導(dǎo)向 事項識別:對企業(yè)的事項按照輕重緩急進行分類 風險評估:導(dǎo)致上述目的無法實現(xiàn)的風險的識別和分析;變革管理 風險反應(yīng):對風險評估的考核和檢驗 控制活動:控制政策、程序、方法;信息系統(tǒng)控制 信息與溝通:建立完善信息系統(tǒng),以提供上述目標實現(xiàn)狀況的信息,公司內(nèi)部及外部信息的及時充分溝通 監(jiān)督:對內(nèi)控的有效性進行的持續(xù)監(jiān)控;對內(nèi)控系統(tǒng)進行獨立評價;對控制缺陷的報告,內(nèi)部環(huán)境都包括什么?,董事會與審計委員會 誠信及道德價值觀 管理哲學(xué)及經(jīng)營風格 組織結(jié)構(gòu) 勝任能力承諾 權(quán)責分配 人力資源,內(nèi)部控制的實質(zhì)-風險管理,內(nèi)部控制是“企業(yè)風險管理”不可分割的一部分 風險必須直接與控制目標相關(guān)聯(lián)、然后通過控制活動進行管理 風險是阻礙實現(xiàn)目標的不確定性,用發(fā)生概率和影響程度來衡量,評估風險發(fā) 生的概率,評估風險的 影響程度,風險地圖,定 性 分 析,定 量 分 析,風險評估,工具,固有風險 剩余風險,固有風險 是指公司經(jīng)營動作中必定存在的風險, 企業(yè)的風險控制活動會影響此類風險 發(fā)生的可能性及其影響,剩余風險 是指那些運用了所有的控制和風險管 理技術(shù)以后而留下來的,未被管理的 風險,風險評估基礎(chǔ),風 險 特 點,開辟新市場的 可行性報告 大額采購的招 標制度,操 作 方 式,實 例,避免風險,全面預(yù)算管理 固定資產(chǎn)定期盤點 財務(wù)報銷基本流程 和規(guī)定 外部/內(nèi)部審計,買各類保險 同種原材料有 多個供應(yīng)商 關(guān)鍵信息的備份,員工突然離職 客戶突然取消 合作意向,通過內(nèi)部控制政 策規(guī)范業(yè)務(wù)行為 通過定期檢查 避免重大風險,建立內(nèi)控系統(tǒng) 外部/內(nèi)部審計 建立作業(yè)流程,轉(zhuǎn)移自身風險 到第三方 分散防范措施,有預(yù)防措施 接受風險,發(fā)生概率高 風險危害巨大 屬于非常規(guī)業(yè)務(wù) 風險可以控制,降低風險,分散風險,接受風險,發(fā)生概率高 風險危害中等 屬于常規(guī)業(yè)務(wù) 風險可以控制,發(fā)生概率低 風險危害巨大 單方不可控制,發(fā)生可能性低 風險危害小 清楚風險來源,風險對策,風險對策的應(yīng)用,發(fā)生概率,影 響 程 度,低,高,大,小,不大可能 有可能 很可能 基本確定,重大負面影響 很大負面影響 較大負面影響 輕小負面影響,高風險,避免 降低,中等風險,低風險,中等風險,降低,分散,接受,危機管理,實質(zhì)達成共識,內(nèi)部控制活動,高層管理人員的復(fù)核 中層管理人員的直接管理或參與 實物的控制 會計系統(tǒng)控制 預(yù)算控制 績效指標考核 職責分離/組織牽制 信息系統(tǒng)控制 ,職責分離,檢 查,授權(quán),批準,執(zhí)行,記錄,財產(chǎn)保管,組織牽制,組織牽制,信息系統(tǒng)控制,網(wǎng)絡(luò),操作系統(tǒng),數(shù)據(jù)庫,應(yīng)用程序,安全性黑客病毒攻擊 操作備份(異地同步備份) 變更授權(quán),預(yù)防性控制VS檢查性控制,預(yù)防性控制 所有大額的支票必須要 有兩名審核人員的簽名 選擇供應(yīng)商,要求從核 準的供應(yīng)商目錄中選擇 批準付款前將發(fā)票與驗 收報告相核對 在付款前,審查發(fā)票的 數(shù)字計算是否正確,檢查性控制 編制銀行存款余額調(diào)節(jié) 表 將供應(yīng)商的對賬單與應(yīng) 付賬款記錄核對 實物盤點,在盤點過程 中密切存貨的積壓、變 質(zhì)等情況 實地觀察工資發(fā)放及隨 機抽查部分工資數(shù)據(jù),控制活動比較,系 統(tǒng) 檢查性控制,系 統(tǒng) 預(yù)防性控制,人 工 檢查性控制,人 工 預(yù)防性控制,更 可 靠,更 可 靠,更及時,更及時,信息與溝通,識別、捕捉、處理并報告內(nèi)外部信息 有效地將信息向公司內(nèi)部(橫向與縱向)及公司外部傳遞,信息的質(zhì)量,溝通的途徑,非正式的聊天 電話 正式的會議 電話會議,網(wǎng)絡(luò)聊天 手機短信 電子郵件 信函/傳真 備忘錄 公司內(nèi)部網(wǎng)絡(luò)公告 公司雜志 正式報告 ,語音溝通,書面溝通,國際內(nèi)部審計師協(xié)會(IIA)在1999年對內(nèi)部審計重新定義 內(nèi)部審計(譯):是一種獨立、客觀的保證和咨詢活動,旨在增加組織價值和改善組織的運營。它通過應(yīng)用系統(tǒng)的、專業(yè)的方法,評價和改善風險管理、控制和治理過程的有效性,幫助組織實現(xiàn)其目標 這一新定義將內(nèi)部審計的范圍延伸到風險管理和公司治理,認為內(nèi)部審計是針對內(nèi)部控制及治理過程的有效性進行評價和改善所必需的。,內(nèi)部審計,IIA內(nèi)審的報告關(guān)系,職能性報告:審計執(zhí)行主管(CAE)應(yīng)直接向?qū)徲嬑?員會、董事會或其他類似機構(gòu)報告 行政性報告:向CEO報告,董事會,CEO,審計委員會,內(nèi)部審計,外部審計,內(nèi)部審計的靈魂是什么?,獨立性 客觀性,內(nèi)審與內(nèi)控的關(guān)系,內(nèi)部控制是內(nèi)部審計的主要職責,內(nèi)部審計是內(nèi)部控制的重要組成部分,內(nèi)審,內(nèi)控,職業(yè)舞弊,定義:利用個人職權(quán)通過有預(yù)謀的誤用或濫用組織資源或資產(chǎn)為個人謀取利益。 舞弊者的范圍涵蓋了職員、經(jīng)理層及執(zhí)行管理層 職業(yè)舞弊的特點 是秘密的 違背了組織授予舞弊者的職責 以舞弊者直接或間接的財務(wù)利益為目的 以組織的資產(chǎn)、收入或儲備金為代價,職業(yè)舞弊理論,“GONE”理論:Greed(貪婪),Opportunity(機會),Need(需求), Exposure(暴露) 冰山理論:舞弊的原因就象海面上漂浮的冰山,水下部分是最危險的 舞弊三角理論,為什么?,自我合理化,壓力,機會,職業(yè)舞弊類型,腐敗,盜用資產(chǎn),虛假財務(wù)報表,現(xiàn)金,利益沖突,行賄愛賄,非現(xiàn)金資產(chǎn),非法贈與,經(jīng)濟敲詐,竊取現(xiàn)金,收入/收款/退 款等平入賬或 降低入賬金額,虛假支付,存貨,信息,證券,隱瞞負債,虛假收入,不當計價,不當披露,收入/成本 確認時間差,各類型舞弊的分布狀況,摘自:”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,占百分比,平均損失(萬美元),舞弊者所在部門及平均損失,摘自:”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,單位:KUSD,高管(13.5%) 董事會(1.4%) 法務(wù)(0.5%) 采購(6.2%) 財務(wù)(4.2%) 市場公關(guān)(2.0%) 倉庫(4.7%) 人力資源(1.3%) 會計(22.0%) 生產(chǎn)(1.7%) 運營(18.0%) 研發(fā)(0.8%) 銷售(13.5%) IT(2.8%) 客服(7.2%) 內(nèi)審(0.2%),舞弊者的異常行為,摘自:”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,單位:%,生洗水平明顯超出收入水平 財務(wù)困難 個人職責范圍不愿意別人介入 與客戶/供應(yīng)商交往過于密切 追求利益的生活態(tài)度 離婚/家庭問題 易怒、多疑、防御性 成癮問題 拒絕休假 昔日雇傭相關(guān)問題 抱怨收入不公平 組織內(nèi)壓力過大 昔日法律問題 生活環(huán)境不穩(wěn)定 家庭或周圍人對其成功的過度壓力 抱怨缺乏權(quán)力,職務(wù)舞弊與工作時間,摘自:”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,反舞弊措施及其效果,摘自:”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,初次發(fā)現(xiàn)舞弊的方式,舉報 管理層審核 內(nèi)部審計 暴露 對賬 文件審查 外部審計 監(jiān)控 警方發(fā)現(xiàn) 自首 IT控制,發(fā) 現(xiàn) 類 型,摘自:”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,舉報來源,摘自:”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,舉報比例(%),舞弊與內(nèi)控的關(guān)系,問:舞弊所造成的危害主要在哪些方面?,答:通常除虛假財務(wù)報表外,其他舞弊所造成的財產(chǎn)損失是比較小的,但它會極大地危害企業(yè)的控制環(huán)境,尤其是對舞弊行為未進行恰當?shù)奶幜P時,會動搖整個企業(yè)的控制體系。,答:不是,但是為了實現(xiàn)內(nèi)控的主要目標,各種控制活動在執(zhí)行過程中會同時達到防止舞弊的作用。,答:主要是通過營造或改善企業(yè)的控制環(huán)境,其次是通過具體的控制活動和監(jiān)督來實現(xiàn),問:防止舞弊是否是內(nèi)控的主要目標?,問:防止舞弊主要通過何種途徑實現(xiàn)?,建立內(nèi)部控制的步驟,階段.確認目標 1.明確公司目標 2.目標分解至業(yè) 務(wù)層面,V.效果檢測 8.檢測執(zhí)行效 果并查找原因 9.方案改進,階段.風險評估 3.風險識別 4.風險評估,階段.政策制定 5.標準確定 6.政策制定,階段.控制執(zhí)行 7.按標準嚴格執(zhí)行 內(nèi)控政策,階段.確認目標,3個步驟 量化:能量化的盡量量化 細化:不能量化的要細化(針對內(nèi)容繁雜的工作) 流程化:不能細化的盡量流程化(針對性質(zhì)單一的工作) 2個答案 結(jié)果:完成這樣的目標,最終期望的結(jié)果是什么 行動:完成這樣的結(jié)果,需要采取哪些行動 1個原則(SMART) Specific 具體的 Measurable 可衡量的 Achievable 可實現(xiàn)的 Relevant 相關(guān)的 Timeline 時間表,階段.確認目標,2.公司目標分解至業(yè)務(wù)層面(5321法),5個標尺) 數(shù)量 產(chǎn)量、次數(shù)、頻率、銷售額、利潤率、 客戶保持率等 質(zhì)量 準確性、滿意度、通過率、達標率、創(chuàng) 新性、投訴率等 環(huán)境/安全/健康 事故次數(shù)、事故級別、損失金額、傷殘 率、發(fā)病率、廢棄物等排放標準 成本 成本節(jié)約率、投資回報率、折舊率、費 用控制率等 時間 期限、天數(shù)、及時性、推出新產(chǎn)品同期 服務(wù)時間等,階段.風險評估,3.風險識別個步驟 核心業(yè)務(wù)領(lǐng)域、地區(qū)、單位、部門、流程、崗位 占收入、費用或利潤比重較大的項目 對實現(xiàn)企業(yè)目標影響重大的領(lǐng)域 已經(jīng)存在明顯的隱患領(lǐng)域 有舉報、投訴、糾紛的領(lǐng)域 長期沒有進行過內(nèi)、外部審計的單位 沒有管理流程、績效不明、分工不清的單位 4.風險評估,風險識別方法,個別會談 調(diào)查表 研討會 頭腦風暴法(15-25人) 名義群體法(調(diào)查表頭腦風暴) 德爾菲法(匿名) 電子會議法,階段.政策制定,5.標準確定 A.識別關(guān)鍵績效區(qū)(KPA-Key Performance Area, 主要為重要部門和關(guān)鍵操作流程) B.確定績效控制點(CCP-Critical Control Point) C.設(shè)定績效控制標準(KPI-Key Performance Indicator),即量化或非量化的指標 6.政策制定 以流程圖、二維表及文字描述的形式編制內(nèi)控政策 二維表:對內(nèi)部控制的關(guān)鍵控制點進行記錄 流程圖:用符號和圖形來表述內(nèi)部控制的程序及 關(guān)鍵路徑 文字表述:對內(nèi)部控制的健全程度的執(zhí)行情況的 書面敘述,二維表,注意要點 以財務(wù)報表的認定為出發(fā)點 重點放在主要風險領(lǐng)域,避免無關(guān)痛癢 的事務(wù) 控制點的描述要盡可能簡單 優(yōu)點:能夠?qū)I(yè)務(wù)對象提供一個簡括說明; 省時省力,權(quán)責明晰 缺點:對內(nèi)部控制只能按項目分別考察, 不能提供一個完整看法,流程圖,流程:一系列跨越時間和地點的有次序的工作行為 有開始、結(jié)束和明確定義的輸入 、輸出等 主要元素包括: 重要的資料來源,輸出文檔、報告和記錄 重要的資料文檔、憑證和記錄 重要的處理程序,包括修正與重新處理程序 職責的劃分 常用符號,階段.控制執(zhí)行,7.按標準嚴格執(zhí)行內(nèi)控政策 已制定的內(nèi)控政策同相關(guān)人員進行 充分溝通 人員的培訓(xùn) 嚴格執(zhí)行,如何確保內(nèi)控的執(zhí)行,執(zhí)行性的企業(yè)文化 執(zhí)行性的人才 執(zhí)行性的制度,養(yǎng)成執(zhí)行的習(xí)慣,“高壓線”法則:控制政策是公司的高壓線,任何人觸犯都要受到處罰,警告性原則: 一致性原則: 公平性原則:,高壓線電力十足。不用手去摸 也知道,是會灼傷人的,任何時候碰到高壓線,肯定會 被灼傷的,任何人碰到高壓線,肯定會被 灼傷的,8.檢測執(zhí)行效果并查找原因 A.執(zhí)行過程中的檢測 主動檢測:工作報告、預(yù)算執(zhí)行情況的復(fù)核 被動檢測:突發(fā)事件、其他反饋 B.單獨的評估 自我評估 內(nèi)部審計 外部審計,階段V.效果檢測,9.方案改進 迅速采取糾正措施 修改/重建業(yè)務(wù)流程 調(diào)整績效控制點(CCP) 或績效控制標準(KPI) 接受差異,不做處理,階段V.效果檢測,2008年9月5日上午10點,擁有158年歷史的美國第四大投資銀行雷曼兄弟公司向法院申請破產(chǎn)保護,消息瞬間傳遍地球的各個角落。令人驚詫的是,10分鐘后德國國家發(fā)展銀行居然通過自動付款系統(tǒng),向雷曼兄弟公司即將凍結(jié)的隱患賬戶轉(zhuǎn)入了3億歐元,毫無疑問,這將是肉包子打狗有去無回。 轉(zhuǎn)賬風波曝光后,德國社會輿論嘩然,紛紛指責德國國家發(fā)展銀行是迄今“最愚蠢的銀行”。法律事務(wù)所的調(diào)查員隨后進行了調(diào)查,結(jié)果發(fā)現(xiàn),從宣布破產(chǎn)到自動劃款這10分鐘時間里,與此相關(guān)的每個工作人員“都有責任”,誰造就了德國最愚蠢的銀行?,首席執(zhí)行官烏爾里奇.施羅德說:“這筆巨額交易是事先約定好的,但是否要撤銷,應(yīng)該有董事會決定?!?董事長保盧斯說:“我們當時還沒有得到風險評估報告,因此無法及時做出正確的決策?!?董事會秘書史里芬說:“我曾向國際業(yè)務(wù)部催要風險評估報告,可電話總是占線,我想等會兒再打?!?國際業(yè)務(wù)部經(jīng)理克魯克說:“星期五晚上準備帶上全家人去聽音樂會,因此剛過10點的時候,我一直打電話預(yù)定門票。“,負責處理與雷曼兄弟公司業(yè)務(wù)的高級經(jīng)理希特霍芬說:“我讓文員上網(wǎng)瀏覽新聞,一旦有雷曼兄弟公司的消息就立即報告。布置完任務(wù)之后,我去休息室喝了杯咖啡。” 文員施特魯克說:“10時03分,看到雷曼兄弟公司申請破產(chǎn)保護的新聞后,我馬上就跑到希特霍芬的辦公室,可他喝咖啡去了。我給他留了張便條,他回來后自然會看到?!?結(jié)算部經(jīng)理德爾布呂克說:“我一直沒有接到停止交易的指令,那就按照原計劃轉(zhuǎn)賬吧!” 結(jié)算部是自動付款系統(tǒng)操作員曼斯坦因說:“雖然我知道雷曼已經(jīng)破產(chǎn),但讓我執(zhí)行轉(zhuǎn)賬操作,我就什么也沒再問?!?信貸部經(jīng)理莫德爾說:“我從施特魯克那里知道了這個消息。但是我相信其他職員的專業(yè)素養(yǎng),一定不會犯低級錯誤,因此我就沒再多嘴?!?德國經(jīng)濟評論家哈恩說:“上到董事長,下到操作員,沒有一個人是愚蠢的。可悲的是,幾乎在同一時間,每個人開了點小差,加在一起就創(chuàng)造出了,德國最愚蠢的銀行?!睂嶋H上,只有當中有一個人認真負責一點,這場悲劇就不會發(fā)生。演繹一場悲劇,短短10分鐘就已足夠。,有責任心的人,
收藏
- 資源描述:
-
內(nèi)部控制與風險管理,培 訓(xùn) 內(nèi) 容,內(nèi)部控制綜述 職業(yè)舞弊 內(nèi)控的建立和執(zhí)行,COSO內(nèi)部控制整合框架 內(nèi)部環(huán)境 內(nèi)部控制的實質(zhì)風險管理 內(nèi)部控制活動 信息與溝通 內(nèi)部審計,內(nèi)部控制綜述,一個真實的案例,發(fā)生在一家世界級的組織中(新家坡航空) 由一名工作人員所為,沒有任何串通和合謀 (Teo Cheng Kiat 張俊杰) 長達十三年之久(1987-2000) 幾乎每天都在進行 每筆貪污金額從10新元到5000新元不等 單在1999年就有1590萬新元 在2000年的頭18天內(nèi)就有180萬新元 貪污總金額3500萬新元(折合人民幣1.82億) 發(fā)生了什么?,內(nèi)部控制被忽視的理由,我的員工忠誠可靠,我相信我的員工 我們從沒發(fā)生過問題 外部審計師在檢查我們的財務(wù)報表 我沒時間 程序耗時又沒有用處 我最好還是把時間用在其他戰(zhàn)略問題上面 ,那么內(nèi)控到底是什么?,COSO對內(nèi)部控制的定義: 內(nèi)部控制是一個過程,該過程受到機構(gòu)董事會、管理層和其他人員的影響,其目的為下列目標的實現(xiàn)提供合理的保證 運營的效果和效率 報告的可靠性 遵守適用的法律和法規(guī) 戰(zhàn)略目標,注:COSO是指美國反對虛假財務(wù)報告委員會所屬的內(nèi)部控制專門研究委員會發(fā)起機構(gòu)委員會(Committee of Sponsoring Organizations of the Treadway Commission, 簡稱COSO),COSO內(nèi)部控制的核心觀念,內(nèi)部控制是一個過程,是實現(xiàn)目標的手段,而不是結(jié)果本身 內(nèi)部控制受到人的影響,而不僅僅是一套制度手冊或是規(guī)章 對管理層或董事會而言,內(nèi)部控制提供的僅是合理的保證,而不是絕對的保證 內(nèi)部控制的目的在于實現(xiàn)企業(yè)一個或幾個目標,但這些目標可能會有重復(fù)和交叉,組織內(nèi)的內(nèi)部控制,組織外的內(nèi)部控制,謝賓斯基三角,戰(zhàn)略伙伴,內(nèi)部控制不局限在內(nèi)部它延伸到產(chǎn)業(yè)鏈的邊緣,COSO報告:人員在內(nèi)部控制中的職責,董事會 管理層 內(nèi)部審計師 內(nèi)部其他人員 外部人員,自上而下,全員參與,各司其責,CEO對整個控制系統(tǒng)負責,對董事會負責,設(shè)計治理結(jié)構(gòu),指導(dǎo)監(jiān)管的進行,評價、監(jiān)控,有助、獨立、更具有可靠性,明確職責,積極主動參與、配合實施,業(yè)務(wù)部門的 工作范疇,建立和完善內(nèi) 控政策是哪個 部門的工作?,內(nèi)控職能部門 的工作范疇,牽頭 協(xié)助 協(xié)調(diào) 審查,MOTOROLA的三件法寶,競爭優(yōu)勢,六 希 格 瑪,全面 縮短 運作 周期,內(nèi)部控制,內(nèi)部控制能夠幫助我們繞過途中的陷阱,到 達目的地。MOTOROLA總裁 加利.吐克,基石,必須和經(jīng)營理念相結(jié) 合才能形成競爭優(yōu)勢,內(nèi)控體系不是一成不變 的,因時因地因人而變,內(nèi)部控制的局限性,內(nèi)部人員(包括內(nèi)控/內(nèi)審人員)素質(zhì)不適應(yīng)崗位要求造成判斷失誤、執(zhí)行偏差 內(nèi)部控制的單向性:管理層濫用職權(quán)、蓄意因營私舞弊等 合伙同謀、串通作弊 成本效益原則 內(nèi)部控制的滯后性,內(nèi)控系統(tǒng)的整體架構(gòu)-COSO立方體,內(nèi) 部 環(huán) 境,目 標 制 定,事 項 識 別,風 險 評 估,風 險 反 應(yīng),控 制 活 動,監(jiān) 督,信 息 與 溝 通,業(yè) 務(wù) 活 動 1,業(yè) 務(wù) 活 動 2,事 業(yè) 部 1,事 業(yè) 部 2,遵守適用的 法律和法規(guī),報告的 可靠性,運營的效 果和效率,戰(zhàn)略目標,內(nèi)部控制 的八要素,內(nèi)部控制 貫穿所有 業(yè)務(wù)部門,內(nèi)部控制的目標,COSO內(nèi)部控制構(gòu)成八要素,內(nèi)部環(huán)境:最基本的要素,指風險管理哲學(xué)和風險偏好;員工誠實性和道德觀;以及企業(yè)經(jīng)營環(huán)境。 目標制定:包括企業(yè)生產(chǎn)經(jīng)營,資金等等各項指標的制定是企業(yè)的管理導(dǎo)向 事項識別:對企業(yè)的事項按照輕重緩急進行分類 風險評估:導(dǎo)致上述目的無法實現(xiàn)的風險的識別和分析;變革管理 風險反應(yīng):對風險評估的考核和檢驗 控制活動:控制政策、程序、方法;信息系統(tǒng)控制 信息與溝通:建立完善信息系統(tǒng),以提供上述目標實現(xiàn)狀況的信息,公司內(nèi)部及外部信息的及時充分溝通 監(jiān)督:對內(nèi)控的有效性進行的持續(xù)監(jiān)控;對內(nèi)控系統(tǒng)進行獨立評價;對控制缺陷的報告,內(nèi)部環(huán)境都包括什么?,董事會與審計委員會 誠信及道德價值觀 管理哲學(xué)及經(jīng)營風格 組織結(jié)構(gòu) 勝任能力承諾 權(quán)責分配 人力資源,內(nèi)部控制的實質(zhì)-風險管理,內(nèi)部控制是“企業(yè)風險管理”不可分割的一部分 風險必須直接與控制目標相關(guān)聯(lián)、然后通過控制活動進行管理 風險是阻礙實現(xiàn)目標的不確定性,用發(fā)生概率和影響程度來衡量,評估風險發(fā) 生的概率,評估風險的 影響程度,風險地圖,定 性 分 析,定 量 分 析,風險評估,工具,固有風險 剩余風險,固有風險 是指公司經(jīng)營動作中必定存在的風險, 企業(yè)的風險控制活動會影響此類風險 發(fā)生的可能性及其影響,剩余風險 是指那些運用了所有的控制和風險管 理技術(shù)以后而留下來的,未被管理的 風險,風險評估基礎(chǔ),風 險 特 點,開辟新市場的 可行性報告 大額采購的招 標制度,操 作 方 式,實 例,避免風險,全面預(yù)算管理 固定資產(chǎn)定期盤點 財務(wù)報銷基本流程 和規(guī)定 外部/內(nèi)部審計,買各類保險 同種原材料有 多個供應(yīng)商 關(guān)鍵信息的備份,員工突然離職 客戶突然取消 合作意向,通過內(nèi)部控制政 策規(guī)范業(yè)務(wù)行為 通過定期檢查 避免重大風險,建立內(nèi)控系統(tǒng) 外部/內(nèi)部審計 建立作業(yè)流程,轉(zhuǎn)移自身風險 到第三方 分散防范措施,有預(yù)防措施 接受風險,發(fā)生概率高 風險危害巨大 屬于非常規(guī)業(yè)務(wù) 風險可以控制,降低風險,分散風險,接受風險,發(fā)生概率高 風險危害中等 屬于常規(guī)業(yè)務(wù) 風險可以控制,發(fā)生概率低 風險危害巨大 單方不可控制,發(fā)生可能性低 風險危害小 清楚風險來源,風險對策,風險對策的應(yīng)用,發(fā)生概率,影 響 程 度,低,高,大,小,不大可能 有可能 很可能 基本確定,重大負面影響 很大負面影響 較大負面影響 輕小負面影響,高風險,避免 降低,中等風險,低風險,中等風險,降低,分散,接受,危機管理,實質(zhì)達成共識,內(nèi)部控制活動,高層管理人員的復(fù)核 中層管理人員的直接管理或參與 實物的控制 會計系統(tǒng)控制 預(yù)算控制 績效指標考核 職責分離/組織牽制 信息系統(tǒng)控制 ,職責分離,檢 查,授權(quán),批準,執(zhí)行,記錄,財產(chǎn)保管,組織牽制,組織牽制,信息系統(tǒng)控制,網(wǎng)絡(luò),操作系統(tǒng),數(shù)據(jù)庫,應(yīng)用程序,安全性黑客病毒攻擊 操作備份(異地同步備份) 變更授權(quán),預(yù)防性控制VS檢查性控制,預(yù)防性控制 所有大額的支票必須要 有兩名審核人員的簽名 選擇供應(yīng)商,要求從核 準的供應(yīng)商目錄中選擇 批準付款前將發(fā)票與驗 收報告相核對 在付款前,審查發(fā)票的 數(shù)字計算是否正確,檢查性控制 編制銀行存款余額調(diào)節(jié) 表 將供應(yīng)商的對賬單與應(yīng) 付賬款記錄核對 實物盤點,在盤點過程 中密切存貨的積壓、變 質(zhì)等情況 實地觀察工資發(fā)放及隨 機抽查部分工資數(shù)據(jù),控制活動比較,系 統(tǒng) 檢查性控制,系 統(tǒng) 預(yù)防性控制,人 工 檢查性控制,人 工 預(yù)防性控制,更 可 靠,更 可 靠,更及時,更及時,信息與溝通,識別、捕捉、處理并報告內(nèi)外部信息 有效地將信息向公司內(nèi)部(橫向與縱向)及公司外部傳遞,信息的質(zhì)量,溝通的途徑,非正式的聊天 電話 正式的會議 電話會議,網(wǎng)絡(luò)聊天 手機短信 電子郵件 信函/傳真 備忘錄 公司內(nèi)部網(wǎng)絡(luò)公告 公司雜志 正式報告 ,語音溝通,書面溝通,國際內(nèi)部審計師協(xié)會(IIA)在1999年對內(nèi)部審計重新定義 內(nèi)部審計(譯):是一種獨立、客觀的保證和咨詢活動,旨在增加組織價值和改善組織的運營。它通過應(yīng)用系統(tǒng)的、專業(yè)的方法,評價和改善風險管理、控制和治理過程的有效性,幫助組織實現(xiàn)其目標 這一新定義將內(nèi)部審計的范圍延伸到風險管理和公司治理,認為內(nèi)部審計是針對內(nèi)部控制及治理過程的有效性進行評價和改善所必需的。,內(nèi)部審計,IIA內(nèi)審的報告關(guān)系,職能性報告:審計執(zhí)行主管(CAE)應(yīng)直接向?qū)徲嬑?員會、董事會或其他類似機構(gòu)報告 行政性報告:向CEO報告,董事會,CEO,審計委員會,內(nèi)部審計,外部審計,內(nèi)部審計的靈魂是什么?,獨立性 客觀性,內(nèi)審與內(nèi)控的關(guān)系,內(nèi)部控制是內(nèi)部審計的主要職責,內(nèi)部審計是內(nèi)部控制的重要組成部分,內(nèi)審,內(nèi)控,職業(yè)舞弊,定義:利用個人職權(quán)通過有預(yù)謀的誤用或濫用組織資源或資產(chǎn)為個人謀取利益。 舞弊者的范圍涵蓋了職員、經(jīng)理層及執(zhí)行管理層 職業(yè)舞弊的特點 是秘密的 違背了組織授予舞弊者的職責 以舞弊者直接或間接的財務(wù)利益為目的 以組織的資產(chǎn)、收入或儲備金為代價,職業(yè)舞弊理論,“GONE”理論:Greed(貪婪),Opportunity(機會),Need(需求), Exposure(暴露) 冰山理論:舞弊的原因就象海面上漂浮的冰山,水下部分是最危險的 舞弊三角理論,為什么?,自我合理化,壓力,機會,職業(yè)舞弊類型,腐敗,盜用資產(chǎn),虛假財務(wù)報表,現(xiàn)金,利益沖突,行賄愛賄,非現(xiàn)金資產(chǎn),非法贈與,經(jīng)濟敲詐,竊取現(xiàn)金,收入/收款/退 款等平入賬或 降低入賬金額,虛假支付,存貨,信息,證券,隱瞞負債,虛假收入,不當計價,不當披露,收入/成本 確認時間差,各類型舞弊的分布狀況,摘自:”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,占百分比,平均損失(萬美元),舞弊者所在部門及平均損失,摘自:”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,單位:KUSD,高管(13.5%) 董事會(1.4%) 法務(wù)(0.5%) 采購(6.2%) 財務(wù)(4.2%) 市場公關(guān)(2.0%) 倉庫(4.7%) 人力資源(1.3%) 會計(22.0%) 生產(chǎn)(1.7%) 運營(18.0%) 研發(fā)(0.8%) 銷售(13.5%) IT(2.8%) 客服(7.2%) 內(nèi)審(0.2%),舞弊者的異常行為,摘自:”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,單位:%,生洗水平明顯超出收入水平 財務(wù)困難 個人職責范圍不愿意別人介入 與客戶/供應(yīng)商交往過于密切 追求利益的生活態(tài)度 離婚/家庭問題 易怒、多疑、防御性 成癮問題 拒絕休假 昔日雇傭相關(guān)問題 抱怨收入不公平 組織內(nèi)壓力過大 昔日法律問題 生活環(huán)境不穩(wěn)定 家庭或周圍人對其成功的過度壓力 抱怨缺乏權(quán)力,職務(wù)舞弊與工作時間,摘自:”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,反舞弊措施及其效果,摘自:”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,初次發(fā)現(xiàn)舞弊的方式,舉報 管理層審核 內(nèi)部審計 暴露 對賬 文件審查 外部審計 監(jiān)控 警方發(fā)現(xiàn) 自首 IT控制,發(fā) 現(xiàn) 類 型,摘自:”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,舉報來源,摘自:”2010 ACFE Report to the Nation on Occupational Frand and Abuse”,舉報比例(%),舞弊與內(nèi)控的關(guān)系,問:舞弊所造成的危害主要在哪些方面?,答:通常除虛假財務(wù)報表外,其他舞弊所造成的財產(chǎn)損失是比較小的,但它會極大地危害企業(yè)的控制環(huán)境,尤其是對舞弊行為未進行恰當?shù)奶幜P時,會動搖整個企業(yè)的控制體系。,答:不是,但是為了實現(xiàn)內(nèi)控的主要目標,各種控制活動在執(zhí)行過程中會同時達到防止舞弊的作用。,答:主要是通過營造或改善企業(yè)的控制環(huán)境,其次是通過具體的控制活動和監(jiān)督來實現(xiàn),問:防止舞弊是否是內(nèi)控的主要目標?,問:防止舞弊主要通過何種途徑實現(xiàn)?,建立內(nèi)部控制的步驟,階段.確認目標 1.明確公司目標 2.目標分解至業(yè) 務(wù)層面,V.效果檢測 8.檢測執(zhí)行效 果并查找原因 9.方案改進,階段.風險評估 3.風險識別 4.風險評估,階段.政策制定 5.標準確定 6.政策制定,階段.控制執(zhí)行 7.按標準嚴格執(zhí)行 內(nèi)控政策,階段.確認目標,3個步驟 量化:能量化的盡量量化 細化:不能量化的要細化(針對內(nèi)容繁雜的工作) 流程化:不能細化的盡量流程化(針對性質(zhì)單一的工作) 2個答案 結(jié)果:完成這樣的目標,最終期望的結(jié)果是什么 行動:完成這樣的結(jié)果,需要采取哪些行動 1個原則(SMART) Specific 具體的 Measurable 可衡量的 Achievable 可實現(xiàn)的 Relevant 相關(guān)的 Timeline 時間表,階段.確認目標,2.公司目標分解至業(yè)務(wù)層面(5321法),5個標尺) 數(shù)量 產(chǎn)量、次數(shù)、頻率、銷售額、利潤率、 客戶保持率等 質(zhì)量 準確性、滿意度、通過率、達標率、創(chuàng) 新性、投訴率等 環(huán)境/安全/健康 事故次數(shù)、事故級別、損失金額、傷殘 率、發(fā)病率、廢棄物等排放標準 成本 成本節(jié)約率、投資回報率、折舊率、費 用控制率等 時間 期限、天數(shù)、及時性、推出新產(chǎn)品同期 服務(wù)時間等,階段.風險評估,3.風險識別個步驟 核心業(yè)務(wù)領(lǐng)域、地區(qū)、單位、部門、流程、崗位 占收入、費用或利潤比重較大的項目 對實現(xiàn)企業(yè)目標影響重大的領(lǐng)域 已經(jīng)存在明顯的隱患領(lǐng)域 有舉報、投訴、糾紛的領(lǐng)域 長期沒有進行過內(nèi)、外部審計的單位 沒有管理流程、績效不明、分工不清的單位 4.風險評估,風險識別方法,個別會談 調(diào)查表 研討會 頭腦風暴法(15-25人) 名義群體法(調(diào)查表頭腦風暴) 德爾菲法(匿名) 電子會議法,階段.政策制定,5.標準確定 A.識別關(guān)鍵績效區(qū)(KPA-Key Performance Area, 主要為重要部門和關(guān)鍵操作流程) B.確定績效控制點(CCP-Critical Control Point) C.設(shè)定績效控制標準(KPI-Key Performance Indicator),即量化或非量化的指標 6.政策制定 以流程圖、二維表及文字描述的形式編制內(nèi)控政策 二維表:對內(nèi)部控制的關(guān)鍵控制點進行記錄 流程圖:用符號和圖形來表述內(nèi)部控制的程序及 關(guān)鍵路徑 文字表述:對內(nèi)部控制的健全程度的執(zhí)行情況的 書面敘述,二維表,注意要點 以財務(wù)報表的認定為出發(fā)點 重點放在主要風險領(lǐng)域,避免無關(guān)痛癢 的事務(wù) 控制點的描述要盡可能簡單 優(yōu)點:能夠?qū)I(yè)務(wù)對象提供一個簡括說明; 省時省力,權(quán)責明晰 缺點:對內(nèi)部控制只能按項目分別考察, 不能提供一個完整看法,流程圖,流程:一系列跨越時間和地點的有次序的工作行為 有開始、結(jié)束和明確定義的輸入 、輸出等 主要元素包括: 重要的資料來源,輸出文檔、報告和記錄 重要的資料文檔、憑證和記錄 重要的處理程序,包括修正與重新處理程序 職責的劃分 常用符號,階段.控制執(zhí)行,7.按標準嚴格執(zhí)行內(nèi)控政策 已制定的內(nèi)控政策同相關(guān)人員進行 充分溝通 人員的培訓(xùn) 嚴格執(zhí)行,如何確保內(nèi)控的執(zhí)行,執(zhí)行性的企業(yè)文化 執(zhí)行性的人才 執(zhí)行性的制度,養(yǎng)成執(zhí)行的習(xí)慣,“高壓線”法則:控制政策是公司的高壓線,任何人觸犯都要受到處罰,警告性原則: 一致性原則: 公平性原則:,高壓線電力十足。不用手去摸 也知道,是會灼傷人的,任何時候碰到高壓線,肯定會 被灼傷的,任何人碰到高壓線,肯定會被 灼傷的,8.檢測執(zhí)行效果并查找原因 A.執(zhí)行過程中的檢測 主動檢測:工作報告、預(yù)算執(zhí)行情況的復(fù)核 被動檢測:突發(fā)事件、其他反饋 B.單獨的評估 自我評估 內(nèi)部審計 外部審計,階段V.效果檢測,9.方案改進 迅速采取糾正措施 修改/重建業(yè)務(wù)流程 調(diào)整績效控制點(CCP) 或績效控制標準(KPI) 接受差異,不做處理,階段V.效果檢測,2008年9月5日上午10點,擁有158年歷史的美國第四大投資銀行雷曼兄弟公司向法院申請破產(chǎn)保護,消息瞬間傳遍地球的各個角落。令人驚詫的是,10分鐘后德國國家發(fā)展銀行居然通過自動付款系統(tǒng),向雷曼兄弟公司即將凍結(jié)的隱患賬戶轉(zhuǎn)入了3億歐元,毫無疑問,這將是肉包子打狗有去無回。 轉(zhuǎn)賬風波曝光后,德國社會輿論嘩然,紛紛指責德國國家發(fā)展銀行是迄今“最愚蠢的銀行”。法律事務(wù)所的調(diào)查員隨后進行了調(diào)查,結(jié)果發(fā)現(xiàn),從宣布破產(chǎn)到自動劃款這10分鐘時間里,與此相關(guān)的每個工作人員“都有責任”,誰造就了德國最愚蠢的銀行?,首席執(zhí)行官烏爾里奇.施羅德說:“這筆巨額交易是事先約定好的,但是否要撤銷,應(yīng)該有董事會決定。” 董事長保盧斯說:“我們當時還沒有得到風險評估報告,因此無法及時做出正確的決策?!?董事會秘書史里芬說:“我曾向國際業(yè)務(wù)部催要風險評估報告,可電話總是占線,我想等會兒再打?!?國際業(yè)務(wù)部經(jīng)理克魯克說:“星期五晚上準備帶上全家人去聽音樂會,因此剛過10點的時候,我一直打電話預(yù)定門票?!?負責處理與雷曼兄弟公司業(yè)務(wù)的高級經(jīng)理希特霍芬說:“我讓文員上網(wǎng)瀏覽新聞,一旦有雷曼兄弟公司的消息就立即報告。布置完任務(wù)之后,我去休息室喝了杯咖啡?!?文員施特魯克說:“10時03分,看到雷曼兄弟公司申請破產(chǎn)保護的新聞后,我馬上就跑到希特霍芬的辦公室,可他喝咖啡去了。我給他留了張便條,他回來后自然會看到?!?結(jié)算部經(jīng)理德爾布呂克說:“我一直沒有接到停止交易的指令,那就按照原計劃轉(zhuǎn)賬吧!” 結(jié)算部是自動付款系統(tǒng)操作員曼斯坦因說:“雖然我知道雷曼已經(jīng)破產(chǎn),但讓我執(zhí)行轉(zhuǎn)賬操作,我就什么也沒再問。”,信貸部經(jīng)理莫德爾說:“我從施特魯克那里知道了這個消息。但是我相信其他職員的專業(yè)素養(yǎng),一定不會犯低級錯誤,因此我就沒再多嘴。” 德國經(jīng)濟評論家哈恩說:“上到董事長,下到操作員,沒有一個人是愚蠢的。可悲的是,幾乎在同一時間,每個人開了點小差,加在一起就創(chuàng)造出了,德國最愚蠢的銀行?!睂嶋H上,只有當中有一個人認真負責一點,這場悲劇就不會發(fā)生。演繹一場悲劇,短短10分鐘就已足夠。,有責任心的人,
展開閱讀全文