搜索
企业内部控制流程梳理与构建张庆龙教授、博士、博士后国际注册管理咨询师、硕士生导师青联委员北京市审计局特聘专家中国审计学会教育分会理事北京市财政学会理事、中国商业会计学会理事中国内部审计协会质量监督委员会委员•E-mail:zhangql@mail.nai.edu.cn2今天上午研讨的主题•内部控制如何理解•企业生命周期与内部控制建设要点•目标管理VS流程管理•内部控制与流程梳理之间的关系•集团公司内部控制常见问题与建设中存在的问题内部控制为什么会受到如此关注2001年开始的会计丑闻会计监管理念由重结果转为结果过程并重美国出台sox法案,要求在美上市公司执行强调COSO内部控制的权威性在美上市央企执行美国法律企业失败的案例修改为全面风险管理框架企业内部控制基本规范中央企业全面风险管理指引4+=内部控制是什么?为什么控制控制什么谁来控制+帮助达成组织目标风险:人,财物,信息董事会、经理层、员工层7内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。5内控是什么……√√是门锁,是刹车√是护腕、护膝√是安全带,是保险丝√是救生圈,是防弹衣√是紧箍咒,是抓手×不是口号标语不是制度手册不是万能补药不是公证处多了一份程序,多了一份制约,才多了一份安全、多了一份保障。6内控的作用:舞弊三角理论法律法规借口压力机会不敢不愿不能职业道德内部控制内控是一套体系化的方法促进流程制度的完善,其终极目标是保障企业的经营效率与效果在内部控制多重目标下我们把运营效率与效果、实现发展战略目标提出来作为内部控制首先要保证的2大目标,其余三个目标作为基础目标处理。提高经营的效率和效果,促进实现发展战略经营的合规资产的安全财务报告的真实COSO内控框架对内部控制的定义:内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。财政部《企业内部控制基本规范》中内部控制的定义:是由董事会、监事会、经理层和全体员工实施的、旨在为实现:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略的过程。众多集团公司的内控建设内控建设历程证明:内控是一个包括建设、检查、整改、修订等在内的动态过程,而且伴随着企业业务发展、内部管理发展、经济活动环境变化持续更新附:财政部、证监会、审计署、银监会、保监会发布的内部控制要求2008年6月28日五部委联合发布《企业内部控制基本规范》。原要求自2009年7月1日起在上市公司范围内实施。2010年4月26日,发布企业内部控制规范配套指引。要求2011年开始在境内外同时上市的公司施行,自2012在主板上市公司施行,鼓励非上市大中型企业提前施行。•企业内部控制应用指引(18项)•企业内部控制评价指引(1项)•企业内部控制审计指引(1项)企业内部控制基本规范企业内部控制评价指引企业内部控制应用指引企业内部控制审计指引内部环境类组织架构发展战略人力资源社会责任企业文化控制活动类资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包控制手段类全面预算合同管理内部信息传递信息系统什么是风险管理?是什么•指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。做什么•在自愿申报的基础上,编报风险管理自我评价报告。国资委中央企业全面风险管理指引2006年6月,国资委《中央企业全面风险管理指引》中规定:“开展全面风险管理应当以对重大风险、重大事件的管理和重要流程的内部控制为重点。”风险管理初始信息风险评估风险管理策略风险管理解决方案风险管理流程风险管理的监督与改进•战略风险方面的信息•财务风险方面的信息•市场风险方面的信息•运营风险方面的信息•法律风险方面的信息•风险辨识•风险分析•风险评价•风险承担•风险规避•风险转移•风险转换•风险对冲•风险补偿•风险控制•风险解决具体目标所需的组织领导•所涉及的管理及业务流程•所需的条件、手段等资源•风险事件发生前、中、后所采取的具体应对措施以及风险管理工具•部门和业务单位自查和检验•风险管理职能部门检查和检验•内部审计部门监督评价•中介机构评价•董事会就全面风险管理工作的有效性对股东(大)会负责•风险管理委员会对董事会负责•总经理对全面风险管理工作的有效性向董事会负责•设立专职部门或确定相关职能部门履行全面风险管理职责•董事会下设立审计委员会,内审部门对审计委员会负责•其他职能部门及各业务单位接受风险管理职能部门和内部审计部门的组织、协调、指导和监督•指导和监督其全资、控股子企业•信息技术应用于风险管理实践•风险管理信息系统保障风险信息量化值的要求•风险管理信息系统的功能要求•风险管理信息系统应该实现跨部门的集成与共享•风险管理系统应确保安全、稳定运行•风险管理信息系统的建设与更新风险管理文化•风险管理文化建设的目标和任务•风险管理文化的内涵•风险管理文化和传播和培育的方法中央企业全面风险管理指引13COSO对企业风险管理的定义由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。谁做?做啥?为啥?2004,COSO出台《企业风险管理(ERM):整体框架》许多企业已设置了CRO——首席风险官内部控制与风险管理还关注由于外部环境所造成的风险。内部控制:以流程为基础,更加关注企业内部流程执行中的风险。附:内部控制的整体框架信息与沟通持续监控控制活动风险评估控制环境COSO建立公司层面的目标和风险评估过程制定识别,传达会计准则变化(GAAP)及内部控制或其运行环境变化的程序参股公司层面目标建立具体的活动目标制定必要的政策和程序使该政策和程序所包含的控制在实践中得以贯彻实施管理层制定清晰明确的财务及经营目标并进行差异分析和追踪合理分配工作职责以降低舞弊风险保护文档,记录及实物资产的安全确保信息系统安全,对信息系统安全政策及程序的合规性进行监控信息系统为管理层决策提供支持开放并改善信息系统以适应公司的战略目标管理层提供保证并监控在信息系统开发和测试中的人力和财务资源的参与度管理层对所有主要数据中心建立业务持续计划/灾难恢复计划管理层对员工的责任和职责进行有效沟通并建立针对潜在问题的沟通渠道来自外部的信息在公司内部及时有效的进行沟通,使管理层能够采取及时适合的行动定期评估内部控制及人员实施内部控制管理意见,及时改进缺陷,适当回应监管部门的报告及建议管理层利用内部审计协助进行监控内控中的个别(专项)评价流程汇报内控缺陷流程管理层的正直,道德价值观和行为管理层的控制意识和运作类型管理层对员工能力的承诺董事会和审计委员会的监督组织架构已经权责的分配授权的界面应该清晰人力资源政策和实践附:企业风险管理八大要素内部环境风险管理理念、风险文化、董事会胜任能力评估、管理方法与经营模式风险偏好目标制定战略目标-其他相关目标-选择目标-风险偏好-风险容忍度事件识别事件-影响战略及目标的因素-方法和技术-事件相互依存性-事件类别-风险和机遇风险评估固有风险-残存风险-可能性和影响-方法和技术-相关性风险对策确认风险对策-评估风险对策-选择对策方案-风险组合观控制活动与风险对策相结合-控制活动类型-一般控制-应用控制-特定主体信息与沟通信息-战略和整合系统-沟通监控个别评估-持续评估17从内部控制到风险管理(ERM)内部环境控制环境更宽1.增加战略目标,2.提出新理念:•风险组合观•风险偏好•风险容忍度控制活动风险评估信息沟通监控目标设定事项识别风险评估风险应对控制活动信息沟通监控1.监管部门要求2012年3月,国资委出台《关于中央企业开展管理提升活动的指导意见》,提出力争用2年时间,通过全面开展管理提升活动,加快推进中央企业管理方式由粗放型向集约化、精细化转变,全面提升企业管理水平,为“做强做优、培育具有国际竞争力的世界一流企业”工作奠定坚实基础。要求中央企业重点做好以下几个方面的工作:1.找准管理短板和瓶颈问题,实现重点突破。2.强化向管理要效益理念,切实加强基础管理。3.统筹推进专项提升,全面落实整改措施。4.总结固化成果,构建长效机制。关于中央企业开展管理提升活动的指导意见19•2012年5月,财政部、国资委联合下发《关于加快构建中央企业内部控制体系有关事项的通知》国资发评价〔2012〕68号•总体安排是:已在全集团范围内建立起内部控制体系的中央企业,应当重点抓好有效执行和持续改进工作,着力提升内部控制的健全性和有效性;•主业资产实现整体上市或所属控股上市公司资产比重超过60%、尚未在全集团范围内启动内部控制建设工作的中央企业,应当统筹规划、协同推进全集团内部控制体系建设,着力抓好集团总部与各类子企业同步建设与稳步实施工作,于2012年建立起覆盖全集团的内部控制体系;•其他中央企业应当抓紧启动内部控制体系建设工作,确保2013年全面完成集团内部控制体系的建设与实施工作。•各中央企业应当自2013年起,于每年5月31日前向国资委报送内部控制评价报告,同时抄送派驻本企业监事会。•各中央企业要高度重视内部控制工作,统筹协调,周密部署,抓紧推进内部控制建设与实施工作,采取有力措施保证内部控制有效执行,推动经营管理水平不断提升。关于加快构建中央企业内部控制体系有关事项的通知2012年12月文件•《关于2013年中央企业开展全面风险管理工作有关事项的通知》•一、提升风险研判能力•各中央企业要紧密围绕企业发展战略,结合“做强做优、培育具有国际竞争力的世界一流企业”核心目标的要求,加强对未来中长期所面临风险的全局性、趋势性研判,准确定位风险管理工作的方向和重点,切实为企业实现经营目标提供支撑和保障。要及时把握并深入分析国内外形势的变化,提高企业对经营环境变化的敏锐性和对发展趋势的预判能力,及时调整当期经营策略和应对措施,合理控制纯粹风险,稳妥把握机会风险。要认真总结近期企业内外部发生的各类重大风险损失事件和典型案例,从中汲取经验教训,举一反三,采取切实有效措施,杜绝类似事件在本企业重复发生。•二、加强重大风险的全过程管理•各中央企业要以重大风险管理为抓手,不断提升全面风险管理工作的实效性。要紧密围绕企业战略目标和当期经营目标开展风险评估,建立常态化风险评估机制,不断完善风险评估方法和流程,切合实际地制定重大风险评判标准。•要进一步完善重大风险的管理策略,明确风险偏好和风险承受度,据此制定重大风险的解决方案,明确重大风险的责任主体和应对措施,并合理配置资源,确保重大风险管理措施落到实处。•要建立重大风险的监控预警机制,科学设置监控指标,及时掌握、分析重大风险的变化趋势,动态调整管理策略,实现对重大风险的动态管理和有效管控。•三、将风险管理与日常经营管理有机融合•各中央企业要将全面风险管理与日常经营管理有机融合,特别要提高全面风险管理服务于重大事项决策的能力。•要注重营造良好风险管理文化氛围,加强企业风险管理政策的宣贯力度,建立风险管理工作宣传和培训常态化机制,倡导将风险意识和风险管理思想融入日常经营管理活动中,尤其是战略决策、投资并购、“三重一大”等重大事项决策过程中。•要进一步明确董事会、经理层的风险管理责任,风险管理职能部门的风险管理业务指导责任,以及审计部门的风险管理工作监督责任。要注重发挥制度和流程的规范性作用,通过固化流程将风险管理理念、方法和技术嵌入日常经营管理和重大事项决策过程中,特别是要建立重大事项的专项风险评估制度,构建风险管理服务于日常经营管理和重大事项决策的长效机制。•