建设风险导向的内部控制

CompanyLOGO一边家务，一边播放由德勤主讲、深交所传在网上的一堂关于内部控制的课，结果被德勤讲的几处闪亮观点打动。随即推荐给上司组织财务人员都听一次，却都没兴趣。但我自觉与以前了解的很多关于内部控制的、框架层面上的东东来看，这份德勤的有可取的观点，只需再加入操作层面上的实质性内容。可惜在网上的课又没法下载，就采取了截图，利用很多个短暂的午休，编辑成PPT，分享给大家仅供参考。注意：只可吸取精华观点，欢迎网友对本帖再充实、再编辑、再上传、再共享。德勤原创思茅编辑德勤原创思茅编辑议程内部控制监管要求2风险导向内部控制体系建设的指导建议4风险导向内部控制概述31内部控制基本规范及配套指引解读33内控体系维护与监控的指导建议5德勤原创思茅编辑风险导向的内部控制概述－含义内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在为财务报告的可靠性、经营的效果和效率以及对现行法规的遵循性提供合理保证——COSO内部控制整合框架1992风险导向的内部控制，就是以风险识别和风险评估为基础，管理风险，继而分析、设计和实施内部控制的过程，旨在降低风险以实现企业的既定目标。风险导向的内部控制，要求董事会与管理层将主要精力放在可能产生重大风险的环节上，而不是关注企业管理的所有细小环节。企业一般采用风险热力图来分析风险，从而评估出风险的重要性水平，区别“一般”、“中等”、“重要”等级的风险，企业可以有重点的投入人力资源加以应对和控制。可能性影响程度重要中等一般内部控制的概念风险导向内部控制的概念风险热力图的意义德勤原创思茅编辑内部控制－－“是一个过程，受企业董事会、管理当局和其他员工影响，旨在为财务报告的可靠性、经营的效果和效率以及对现行法规的遵循性提供合理保证”风险导向的内部控制概述－COSO内部控制整体框架控制环境风险评估控制活动信息和沟通监督内部控制五要素内部控制目标内部控制贯穿所有业务部门控制环境风险评估控制活动信息与沟通持续监督•验证内部控制是否合理设计和实施及其有效性的程序•确保相关信息及时发现和沟通的程序•帮助确保及时实施风险管理措施的政策和程序•对于影响公司业绩的内部和外部因素的评估.•企业对于控制的基本态度－基调德勤原创思茅编辑内部控制－“由企业董事会、监事会、经理层和其他员工实施的，旨在为实现控制目标的过程。”—财政部五部委《企业内部控制基本规范》风险导向的内部控制概述－中国企业内部控制整体框架内部监督信息与沟通控制活动风险评估内部环境•包括治理结构、机构设置及权责分配、内部审计、人办资源政策、企业文化等等.企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应出风头策略。企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。企业及时准确地收集、传递与内部控制相关的信息，确保信息在企业内部、外部之间进行沟通。企业针对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。五原则内部监督信息和沟通控制活动风险评估五要素五目标内部环境德勤原创思茅编辑德勤对风险导向内部控制的诠释任何公司都是流程的集合，根据风险评估加以引导并从流程视角看问题，可以有效促进部门间的沟通。内控体系的完善即保证控制活动实现内控目标的完整性和有效性，包括控制设计和执行的完整和有效基于成本效益原则及所防范风险的高低，管理层确定“关键控制活动”并进行测试流程是若干控制活动的集合，即能满足某些控制目标的作业即为“控制活动”德勤原创思茅编辑内部控制与风险管理的关系下列因素能削弱或逃避内部控制的效力：意识不专注（如理解判断失误、疏忽、分心）、越权、篡谋即使设计最好、运行最出色的内部控制程序在其执行过程中也可能会受到多重因素的限制而不能达到其初衷。内部控制的局限性德勤原创思茅编辑德勤原创思茅编辑内部控制与风险管理的关系按目标财务报告类风险运营类风险合法合规类风险战略类风险按成因市场风险信用风险政治风险人力资源风险健康安全风险按风险源内部风险外部风险什么是风险？可能对目标的实现产生影响的事件发生的不确定性。在经营管理活动中，风险常常被定义为生产营运的弊端、失误或失败，从而给组织带来危机的可能性。内部控制与风险管理的关系•具有负面影响的事件会抵制价值创造或或侵蚀已有价值；•具有负面影响的事件可能来源于看以存在正面效应的机会，如客户需求量超过其生产能力。•机遇支持创造价值或使价值持续；管理层创造时机来支持战略或目标设置的程序，该行为可阐述为抓住机遇。•周边环境与风险产生的可能性紧密相关；例如：劳动力未经培训可能导致频繁发生事故。•事件有正面效应、负面效应或两者皆有；•具有负面效应的事件意味着会产生风险；•具有正面效应的事件可以抵消不利的影响或产生有利机会。事件影响目标业绩的内外部事件环境影响风险物化可能性的环境或状态风险事件或环境负面影响实体目标业绩的可能性机遇事件产生及正面影响目标业绩的可能性德勤原创思茅编辑德勤原创思茅编辑•企业董事会、管理层和其他人员共同影响的一个体系，应用于战略设定及整个企业，用来识别潜在的、可能影响企业的事件，并管理风险使之满足管理层的风险偏好，为企业实现其目标提供合理保证。COSO•一个逻辑的系统的方法，包括建立风险管理基础、风险识别、风险分析、风险评估、风险应对、监督与协商、沟通与评价等，穿插于公司各个业务活动、职能部门和业务流程，使得公司能够达到损失最小化和机遇最大化。澳新标准委员会•一门能够评估、控制、利用、财政管理和监督所有来源的风险的科学，目的是为了给公司股东增加长期价值和短期价值。北美产险精算委员会（CAS）IOSCO•证券公司风险管理与控制，指用以管理市场风险、信用风险、法律风险、营运风险及流动性风险的系统，包括控制环境、控制本质与范围、执行、查核、报告五大类别，共十二个要素。内部控制与风险管理的关系什么是风险管理过度的风险－资产的损失；－业务决策不流畅；－不守法；－丑闻。过度的控制－官僚作风；－生产力下降；－复杂性；－周期；－非增值性活动风险和控制的平衡内部控制与风险管理的关系德勤原创思茅编辑固有风险－风险管理有效性＝剩余风险（风险敞口）多坏？多快？财务声誉法律法规健康安全环保相关利益者多好？多快？预防或积极准备应对及恢复提升可接受？趋势----更好更坏没变化内部控制与风险管理的关系风险敞口德勤原创思茅编辑公司治理风险管理内部控制德勤的理解公司治理的核心并不是权利，而是寻找保证决策有效的途径；风险是选择和决策的结果；内控是针对企业内部的可控风险的有效防范体系；真正的治理是在各种程度的确定与不确定中做决策的过程，换句话说，治理和决策是原因，风险和回报是决策的结果和回报；风险管理的范酬大于内部控制，它还针对企业外部的各种风险要展开风险的应对管理。内部控制与风险管理的关系德勤原创思茅编辑中国企业所处的环境和面临的挑战经营发展压力走出去战略基础管理提高中国企业在管理经验和水平等方面还存在很大差距，企业管理者有义务和职责建立科学有效的管理机制，以满足企业经营、财务、合规等方面的目标。突如其来的大型自然灾害和突发事件，使企业面临着各种风险，日常的经营管理活动也隐藏着重大不确定性。能否在风险事件发生前建立有效的管理和控制，是企业是否生存展、实现企业预期目标的关键前提条件。越来越多的中国企业加快了拓展海外业务的脚步，争先恐后地涉足跨国并购活动，以期在国际范围的资源重新配置中取得优势地位。此外，对于将要或已经在海外上市的中国企业来说，海外资本市场监管对上市公司治理有更加严格的要求。德勤原创思茅编辑议程内部控制监管要求2风险导向内部控制体系建设的指导建议4风险导向内部控制概述31内部控制基本规范及配套指引解读33内控体系维护与监控的指导建议5德勤原创思茅编辑中国内部控制监管要求———五部委层面信息与沟通企业内部控制基本规范总则控制环境风险评估控制活动内部监督附则财政部、证监会、审计署、银监会、保监会于2008年6月28日联合发布了《企业内部控制基本规范》。内部控制：由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。德勤原创思茅编辑内部控制目标促进企业实现发展战略提高经营效率和效果企业经营合法例规资产安全财务报告及相关信息真实完整中国内部控制监管要求———五部委层面德勤原创思茅编辑中国内部控制监管要求———五部委层面企业内部控制基本规范企业内部控制评价指引企业内部控制审计指引企业内部控制应用指引2010年4月26日，财政部、证监会、审计署、银监会、保监会联合发布了“关于印发企业内部控制配套指引的通知”。本次发布的配套指引是依据《基本规范》制定的，配套指引将为企业实施内部控制、对内部进行自我评估及注册会计师对内部控制进行审计提供技术标准和依据。德勤原创思茅编辑中国内部控制监管要求2011年1月1日2012年1月1日择机境内外同时上市的公司施行上交所深交所主板上市公司择机在中小板、创业板上市公司施行，时间未定。鼓励非上市的其他企业提前执行要求：建立健全内部控制体系；对内部控制进行自我评价，每年披露内部控制自我评价报告；聘请会计师事务所对内部控制进行审计；上市公司聘请的会计师事务所应当证券、期货执业资格；非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货资格的大中型会计所；第一批实施配套指引的企业将于2012年4月末前披露内部控制评价报告和内部控制审计报告。德勤原创思茅编辑2010年7月，深交所颁布《深圳证券交易所主板上市公司规范运作指引》，具体内定包括：公司法理董事、监事、高级管理人员管理股东、控股股东和实际控制人行为规范信息披露募集资金管理内部控制投资者关系管理社会责任中国内部控制监管要求———交易所层面德勤原创思茅编辑德勤原创思茅编辑上市前----主板要求：上市规则3A．15（5A）规定，经过尽职调查，每一个保荐人有充足的理由确定和相信，发行人已经建立了足够的程序、体系和控制（包括会计和管理体系）来满足以下A和B部分：A部分：这些体系可以使发行人和他的董事遵守联交所的规则和其他相关法规B部分：这些体系足够让新申请上市企业的董事对企业及子公司上市前和上市后财务状况及前景进行合理的评估•保荐人有责任对发行人的财务程序、系统和控制进行内控复核，并就这些流程的充分性向香港联交所汇报。•发行人必须制定适当和充分的程序、系统和控制，以遵循上市公司条例及其他相关的法律法规要求，以使发行人的董事可以对发行人及其子公司的财务状况及前景作出适当的评估。上市前----创业板要求：上市规则6A．15（5）上市后----对已上市公司的要求：上市规则附录14第C2．1规定董事会应当每年对内部控制体系的有效性进行复核。发行人必须在其年报中公布关于企业治理的报告，建议内容包括内部控制和其复核工作的介绍。内部控制监管要求———香港美国萨班斯法案发展历程（SOX）内部控制监管要求———美国德勤原创思茅编辑日本监管法规发展历程（J-SOX）内部控制监管要求———日本德勤原创思茅编辑议程内部控制监管要求2风险导向内部控制体系建设的指导建议4风险导向内部控制概述31内部控制基本规范及配套指引解读33内控体系维护与监控的指导建议5德勤原创思茅编辑议程3.1《内部控制基本规范》解读3.2《内部控制应用指引》解读3.3《内部控制评价指引》解读内部控制基本规范及配套指引解读3.4《内部控制审计指引》解读德勤原创思茅编辑财政部等五部委联合颁布的《企业内部控制基本规范》及相关配套《指引》被视为公司内部控制的标准和依据。基本规范中所定义的内部控制为：是由企业董事会、监事会、经理层和其他员工实施的，旨在合理保证实现以下五个目标的过程：目标1：财务报告及相关信息真实完整目标2：提高经营效率和效果目标3：企业经营管理合法合规目标4：资产安全目标5：促进企业实现发展战略基本规范中，重点考虑及关注以下主要方面：强化了企业对内部控制的投入与外部监督力度强化了信息的外部沟通扩大了适用范围强化了反舞弊机制与信息沟通相结合在内部监督和公司治理结构方