搜索
@高垚博士版权所有纳税人俱乐部400-650-9936内控漏洞识别与财务应对@高垚博士版权所有纳税人俱乐部400-650-9936高垚博士复旦大学会计学博士,挪威经济管理学院(NHH)交流访问学者,注册信息系统审计师(CISA)。于2003年起从事内部控制及SOX法案相关咨询服务,作为项目总负责人主要参与了国内外股份公司内部控制、全面风险管理业务的设计、推行、测评的咨询服务。其客户主要为大型国有企业,上市公司,大型民营企业,在制造业、房地产业、基建业、高新技术企业等行业均有相当的实务背景及操作经验。曾为杉杉股份、上海烟草、安信信托、昆仑信托、云天化、云锡股份、上海城建等提供整体内控与风险管理咨询Email:gaoyao@lx-rs.comQQ讨论群:97347564@高垚博士版权所有纳税人俱乐部400-650-9936引子:现代财务人员核心修炼道路→商业模式方向盘→企业战略发动机→业务系统驾驶人员→人员及绩效管理3财务能做什么?(七大能力)算好帐看好钱管好物订好规划建好制度理好关系做好参谋@高垚博士版权所有纳税人俱乐部400-650-9936财务人员职业发展之道核算型财务→管理型财务→领导型财务(管账)(管业务、管制度)(管人)4西游记:原本是缺一不可的“五人帮”,堪称“完美团队”,但是要节约成本唐太宗必须裁掉一个人。该裁掉谁呢?@高垚博士版权所有纳税人俱乐部400-650-9936团队配置?总经理:财务总监财务经理:主办会计:出纳:5@高垚博士版权所有纳税人俱乐部400-650-9936引子:高通舞弊案高通在中国设有外商独资企业高通无线通信技术(中国)有限公司和高通无线半导体技术有限公司,两家公司的财务均由前者的财务人员负责。丁某于2006年4月进入高通公司工作,现金和支票业务都由他负责。平时,他可以接触到财务章和法人人名章等财务凭证。丁某承认,他从2010年7月开始通过互联网赌球,后来深陷其中,很快输光了自己的近20万元积蓄。为了“返本”,丁某把手伸向了公司的资金。因为公司的收支业务都是他一人负责,他去银行办理业务时,曾经多买了一本转账支票。他先在网上找好能“串支票”的人,然后通过虚构公司的业务支出项目如采购设备、礼品等开出支票,支票的收款方是“串支票”的人安排好的公司,后者把支票兑成现金,对方再除去0.7%到1%的手续费,把剩下的钱打入丁某的账户。@高垚博士版权所有纳税人俱乐部400-650-9936丁某为了掩盖犯罪,伪造了3枚银行柜员的人名章、1枚银行的业务专用章,这些印章都是用来平账的。丁某把钱支出后,银行会定期给公司发对账单,公司也会向银行询问支出的情况。使用伪造的印章,可以在公司的询证函上加盖银行的业务章和人名章,直接发回公司,这样公司就不会发现问题了。除此之外,丁某还伪造过银行对账单,他交代:“给公司的对账单都是我用公司电脑自己打印的。”“公司有审计制度,但由我负责。”丁某说。直到2011年下半年,高通公司发现收到的对账单上的余额,与公司的财务记录不符。公司高级财务经理黄某问出纳丁某是怎么回事,丁某称这是因为银行系统升级,寄过来的对账单写错了。之后,丁某向公司提供了自称是其本人从银行打印的真实的对账单。黄某表示,虽然上面没有银行公章,但大家还是相信了丁某的话。引子:高通舞弊案@高垚博士版权所有纳税人俱乐部400-650-99362011年12月6日,高通公司的开户行的工作人员告知该公司,其账户内余额不足,已经无法正常扣缴税款。接到电话后,黄某要求会计和出纳一起和自己去银行了解情况,但前往银行途中,丁某借故离开。经过核实,高通公司财务人员发现,公司的四个账户内“消失”了1100余万元,且“消失”1100余万元不是银行的“记账错误”,很可能有人冒用公司名义转款。当天是周二。周五,丁某投案自首。引子:高通舞弊案@高垚博士版权所有纳税人俱乐部400-650-9936目录一、内部控制框架及内控构建概述二、内部控制要素与内控流程建设三、内部控制体系有效落地的要点9@高垚博士版权所有纳税人俱乐部400-650-9936一、内部控制框架及内控构建概述10@高垚博士版权所有纳税人俱乐部400-650-9936内控与市场环境变化法律约束经济环境1、始发于美国的金融风暴2、我国市场经济的发展和企业的成熟1、美国资本市场安然事件的爆发2、我国五部委对上市公司的法规约束@高垚博士版权所有纳税人俱乐部400-650-9936中国风险管理与内控法规概览《应用指引》具体提出18个具体流程的应用指引。在每个具体流程中规定了该指引的目的,相关定义,该流程的主要风险,岗位分工及授权批准,及主要流程的控制程序。《评价指引》具体规范了内控评价的内容和标准,评价的程序和方法,内控缺陷的认定,以及规定了评价报告的相关内容。《审计指引》指导注册会计师执行内控审计业务。企业内部控制基本规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引上市公司内控指引•上交所内控指引•深交所上市规则•首次公开发行股票并上市管理办法•首次公开发行股票在创业板上市管理办法中国证监会财政部等五部委出台的《企业内部控制基本规范》,为企业提供了完整和公认的内部控制框架,同时以法规的形式要求上市公司对本公司内部控制的有效性进行自我评价。证交所出台了一系列的内部控制指引,为上市公司建立和实施内部控制制度提供指引。证券交易所中央企业全面风险管理指引国资委财政部等五部委国资委出台的指引强调对风险的识别、分析、评估、防控和监督,为企业防控风险,建立控制体系提供指引。@高垚博士版权所有纳税人俱乐部400-650-9936中国企业内控规范及配套指引13企业内部控制基本规范企业内部控制应用指引组织架构发展战略人力资源社会责任企业文化资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告全面预算合同管理内部信息传递信息系统企业内部控制评价指引企业内部控制审计指引内部环境类控制活动类控制手段类@高垚博士版权所有纳税人俱乐部400-650-9936上世纪40年代提出内部牵制的概念;1949年AICPA审计程序委员会提出《内部控制:一种协调制度要素及其对管理当局和独立注册会计师的重要性》首次提出内部控制概念;1958年AICPA审计程序委员会在其29号《审计程序公告》中将内部控制分为了内部会计控制和内部管理控制;1988年AICPA在其《审计准则公告》中明确提出了“内部控制结构”的概念。1992年COSO提出了内部控制整合框架。内部控制的概念演进@高垚博士版权所有纳税人俱乐部400-650-9936资本市场监管机构所定义的“财务报告内部控制”相当于五部委内部控制概念的子集。五部委的内部控制:经营的效率和效果财务报告的可靠性法律法规的遵循性经营战略的实现性公司资产的安全性证监会、交易所的内部控制:将强制性信息披露限于财务报告的内部控制。①成本效益方面的考虑②经过重重阻力后折衷的结果基于全面风险的内部控制VS基于财务报告的内部控制@高垚博士版权所有纳税人俱乐部400-650-9936基于财务报告的内部控制全面内部控制目标关注内容服务对象关于对财务报告和会计信息产生重要影响的业务流程关于与公司运营相关的所有业务流程公司股东和外部投资者,尤其是资本市场的社会公众投资者公司管理层或大股东基于财务报告的内部内控与全面内部控制的差异比较保证财务报告的真实、公允和相关合理保证经营管理的合法合规、保证资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。@高垚博士版权所有纳税人俱乐部400-650-9936企业的不同发展阶段对内控的不同需求转型阶段创业阶段成熟阶段优点一、吃苦耐劳,有非常强凝聚力二、灵活多变,对市场有极快的反映能力。三、团队之间有很好的信任,不拘泥于规章制度。效率很好!不足一、规模有限、无法承接大的机会。二、缺乏吸引优质客户的能力。优点一、具有规模,有领袖与权威,市场快速反映。二、有核心团队、有行业骨干,有一定默契。三、有一定规章制度,但主要是以信任为基础。能承担一定规模业务。有较为丰富的企业资源。不足一、新老队伍需要较长时间磨合,职业经理人难以取得信任。二、制度不健全、或有漏洞。三、企业文化正在培育过程中,不稳定。优点一、有较好的独创的企业文化氛围,易吸收社会职业管理人员。二、规则清晰、制度高于一切。三、内部流程营运明确,易复制与模仿。四、有承担大型机会的能力。有较丰富的企业资源。五、有较强的抗风险能力。不足一、可能会存在一些官僚作风。二、某些流程可能过于刻板。对一些小机会反映迟钝。三、较高的管理与控制成本。最容易出现问题!@高垚博士版权所有纳税人俱乐部400-650-9936舞弊理论-舞弊三角形理论(冰山理论)为什么会产生舞弊?压力自我合理化机会经济压力、工作压力、恶习等存在产生舞弊的环境–缺乏控制或控制无效,未对舞弊者予以处罚,缺少信息渠道等我只是暂时借用,以后会还的;这是企业欠我的;大家都这样,不拿白不拿;窃书不为偷;……………………@高垚博士版权所有纳税人俱乐部400-650-9936舞弊风险防范:新加坡公务员反贪手册终身财产申报:包括所有家庭成员所有财产,甚至家电家具;负债也得申报:公务员未担保债务超3个月工资,就得申报;陷入财务困难会丢公职:“这种人经受诱惑的能力比较弱”——不善家庭理财;说谎犯罪:下场是被开除公职永不录用,还会被取消公积金和退休金。19机会压力自我合理化@高垚博士版权所有纳税人俱乐部400-650-9936我国企业常见内控缺陷过于依赖业务人员,缺少信息的传递和积累,业务规则没有沉淀;缺少对不相容职务的系统性分析,很多关键动作一个人完成;授权机制不规范,要么过于集权,要么过于分权;公司制度体系缺乏系统性和完整性,甚至政出多门,相互打架;公司信息表单的设计和传递不规范,信息无法有效支持管理决策;分支结构管控薄弱,仅仅简单的利润考核,分支机构失控;信息系统管理薄弱,忽视对系统风险管控;……@高垚博士版权所有纳税人俱乐部400-650-9936内部控制的几个概念辨析流程VS制度风险VS内控措施VS缺陷内部控制VS风险管理内控制度VS风险数据库VS内控手册ISO制度体系VS其他管理体系VS内控体系内部控制VS公司治理@高垚博士版权所有纳税人俱乐部400-650-9936什么叫风险风险,指未来的不确定性对企业实现其经营目标的影响。--国资委《中央企业全面风险管理指引》风险的三个要素:目标,不确定性,影响RISK风险目标企业经营@高垚博士版权所有纳税人俱乐部400-650-9936风险VS内控缺陷风险:是指影响企业经营目标实现的可能发生的事件及其损失。内部控制缺陷:控制措施的不足和漏洞,可分为设计缺陷和运行缺陷。判定内部控制缺陷的前提是:引起该项缺陷的内控措施是存在的和需要的。风险管理并不是要消除所有风险,有经营就会有风险,风险与机会共存风险管理要消除的是企业经营管理中的内部控制缺陷@高垚博士版权所有纳税人俱乐部400-650-9936内部控制的定义COSO对内部控制的定义:内部控制是一个组织实体的董事会、管理人员以及其他人士参与的、旨在为实现各种目标而提供合理保证的过程。五部委对内部控制的定义:本规范所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。上交所内控指引对内部控制的定义:内部控制是指上市公司(以下简称公司)为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由公司董事会、管理层及全体员工共同参与的一项活动。人员:Who任务和范围:What目的:Why@高垚博士版权所有纳税人俱乐部400-650-9936风险管理的定义“…aprocess,effectedbyanentity'sboardofdirectors,managementandotherpersonnel,appliedinstrategysetting