企业内部控制与风险管理1讨论内容一、内部控制简述二、需要单位重点关注的内部控制三、内部控制设计实务和探讨四、风险防范一般而言,公司的败绩都是由内部控制失败引起的。控制的重点和起点:是制度控制还是领导控制?是批准控制还是付款控制?领导常换、领导没有精力考虑细节监控问题;批准也要控制、付款也要控制,主要是批准控制案例:仪征化纤“严格控制”下的硕鼠公行1999年–2005年,公司营销部财务人员挪用5000万元仪征化纤有严格的内部管理制度?一年审计4次!;超过200元的招待费由公司负责人签字;二级单位业务人员出差,飞机票由公司主要负责人审核这是偶然事件?6年5000万;10年未换岗财务部每6个月到1年换一次岗:锻炼/提高每一个人的专业能力;防止人员离职带来的业务操作持续风险;减少一个人持续犯错误的机会一、内部控制简述企业的不同发展阶段,面临不同的风险创业阶段转型阶段成熟阶段优点优点优点一、具有规模,有领袖与权一、有较好的独创的企业文化一、吃苦耐劳,有非常强凝威,市场快速反映。氛围,易吸收社会职业管理人聚力二、有核心团队、有行业骨员。二、灵活多变,对市场有极干,有一定默契。二、规则清晰、制度高于一切。快的反映能力。三、有一定规章制度,三、内部流程营运明确,易复三、团队之间足够信任制与模仿。最易出问题不拘泥于规章制度。效能承担一定规模业务。四、有承担大型机会的能力。率很好!有较丰富的企业资源。问题!不足不足五、有较强的抗风险能力。一、规模有限、无法承接大一、新老队伍需要较长时间磨不足的机会。合,职业经理人难以取得信任。一、可能会存在一些官僚作风。二、缺乏吸引优质客户的能二、制度不健全、或有漏洞。二、某些流程可能过于刻板。力。业务来源不稳定风险;现金流入问题、生存问题三、企业文化正在培育过程对一些小机会反映迟钝。中,不稳定。发展战略不适应该阶段;老的实用制度/新的先进制度;老人、新人磨合问题;三、较高的管理与控制成本。主要是运营效率低下、能否适应竞争的需要6内部控制与舞弊理论舞弊三角形理论(冰山理论)经济压力、工作压力、恶习等压力(主观)为什么会产生舞弊?机会(客观)自我合理化存在产生舞弊的环境----缺乏控我只是暂时借用,以后会还的;制或控制无效,未对舞弊者予这是企业欠我的;以处罚,缺少信息渠道等大家都这样,不拿白不拿;窃书不为偷;7法律法规-使之不敢(但是,仍有胆大者)职业道德-使之不愿(但是,仍有不讲道德的人)内部控制-使之不能(不留漏洞,无法实施)内部控制是防止企业舞弊犯罪有效的手段之一!当然,在企业效益允许的情况下,适度提高员工的待遇有助于减轻其生活压力、从而减少舞弊动机;多灌输正确的舆论、多教育;严惩罚。财务部,视员工表现、工作量等每6-12个月涨一次工资;珍惜工作机会(OFFER)采购部,严格培训员工、外部供应商,不得索贿、受贿、行贿;违者一经发现并确认立即开除;嫌疑开除。9内部控制制度定义内部控制制度定义(1936年)为保证1.公司现金和其他资产的安全,2.检查帐簿的准确性而采取的各种措施和方法。AICPA:【独立公共会计师对财务会计报告的审查】内部控制制度定义(1949年)基于1.保护企业资产2.检查会计资料正确可靠3.提高业务效率4.促进企业经营方针、组织计划的贯彻执行而在企业内部采取的各种稽查措施-------内部控制制度定义内部控制制度可分为:内部会计控制制度内部管理控制制度【审计程序公告】SAPNO33,AICPA会计控制制度包括但不限于:组织机构设计与财产财产保护和财务会计记录可信性直接相关的各种措施,包括:1.按一般或特殊授权处理交易;2.必要的交易记录;3.财产收付须经管理当局批准;4.定期核对帐面记录与实物财产,对差错采取适当措施。内部控制制度定义管理控制制度包括但不限于:组织机构设计管理部门批准的性质与记录;批准程序的定义:1.管理部门的一种职能,2.与其完成组织目标所承担的责任相关,3.是对所有交易事项建立会计控制制度的出发点。萨班斯-奥克斯利法案(SOX)概述SOX法案又称《2002年公众公司会计改革和投资者保护法》,该法案颁布的背景是源于安然、世通等美国企业巨头会计丑闻事件的曝光。这一系列公司假账丑闻暴露出诸多上市公司治理结构不平衡和外部监督缺失,为了改变这一局面,美国国会和政府加速通过了SOX法案。该法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告;要求企业针对产生财务交易的所有作业流程,都做到透明化、可控制、有效风险管理和欺诈防治,并且这些流程必须详细记录,乃至到可追查交易源头。该法案增加了企业极为严格的审计,增加了上市公司高额的成本,使得一些国际企业对美国市场望而生畏;从而导致到美国上市的企业数量降低。萨班斯-奥克斯利法案概述(续)法案之主要内容第302节公司对财务报告的责任-要求公司首要官员及首要财务官在季度/年度报告中保证-对信息披露的控制和程序负责(含刑事责任)-设计必要的内部控制手段并确保其执行可使高层及时获得重要信息-对披露控制的有效性进行评估,评估结果需存档-不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为-存档描述内部控制的重大变化-介绍信息披露的控制和程序-强调财务人员的正直和财务报告系统控制的完整性-需披露的非财务信息包括:重要合同的签署,战略合作关系的解除以及法律诉讼-美国证券管理委员会要求-扩大信息披露的控制和财务报告系统内部控制程序的认证-将内控评估日改为财务报告截止日12萨班斯-奥克斯利法案概述(续)法案之主要内容第404节管理层对内部控制的评价-要求公司管理层在年度报告中:-描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任-对财务报告系统内部控制有效性以一个公认架构进行评估(例如COSO内控架构)-同时要求外部审计人员:对管理层评估结果进行签证-美国证券管理委员会要求-扩大信息披露的控制和财务报告系统内部控制程序的认证-将内控评估日改为财务报告截止日13中国版SOX法案上海证券交易所上市公司内部控制指引颁布时间:2006年6月5日实施对象:所有上交所的上市公司生效时间:2006年7月1日董事会对公司内控制度的建立健全、有效实施及其检查监督负责,董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。内部控制的检查监督中如发现内部控制存在重大缺陷或存在重大风险,应及时向董事会和证券交易所报告。由交易所认定是否对外发布公告。公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。17二、单位应重点关注的内部控制内控措施企业制定内控措施,一般至少包括以下内容:(一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权做出风险性决定;(二)建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等;(三)建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任;(四)建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度;(五)建立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等;(六)建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩;(七)建立重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施;(八)建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设,形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度;(九)建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约;明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任;将该岗位作为内部审计的重点等。企业应当按照各有关部门和业务单位的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。最关键的是上述制度出台后的持续执行、持续跟进。内控措施重点关注的内部控制一、对控股子公司的管理控制(一)公司应制定对控股子公司的控制政策及程序,并在充分考虑控股子公司业务特征等的基础上,督促其建立内部控制制度。(参考集团总部的内控制度适当调整)(二)公司对其控股子公司的管理控制,至少应包括下列控制活动:1、建立对各控股子公司的控制制度,明确向控股子公司委派的董事、监事及重要高级管理人员的选任方式和职责权限等;(公司章程中明确约定董事委派数量、监事委派数量、高管人员聘任方法、董事会职权、会议议事方式、对外投资及担保的审批程序等)合资企业需要关注经营权的控制风险(JT案例:客户被搞定)2、依据公司的经营策略和风险管理政策,督导各控股子公司建立起相应的经营计划、风险管理程序;(年度预算、总公司采用的程序、制度等等)3、要求各控股子公司建立重大事项报告制度和审议程序,及时向公司分管负责人报告重大业务事项、重大财务事项以及其他可能对公司股票及其衍生品种交易价格产生重大影响的信息,并严格按照授权规定将重大事项报公司董事会审议或股东大会审议;【重大事项报告(“海正药业”子公司管理制度第30条);资金支付审批权限表(见“付款及相关权限审批表”);】重点关注的内部控制4、要求控股子公司及时向公司董事会秘书报送其董事会决议、股东大会决议等重要文件,通报可能对公司股票及其衍生品种交易价格产生重大影响的事项;5、定期取得并分析各控股子公司的季度(月度)报告,包括营运报告、产销量报表、资产负债报表、损益报表、现金流量报表、向他人提供资金及提供担保报表等;(见附件:《子公司财务报告体系》;《总经理审阅报告体系》)6、建立对各控股子公司的绩效考核制度。(根据年度预算、目标考核责任书等来考核)(三)公司的控股子公司同时控股其他公司的,公司应督促其控股子公司参照本制度要求,逐层建立对其下属子公司的管理控制制度。二、关联交易的内部控制公司关联交易的内部控制应遵循诚实信用、平等、自愿、公平、公开、公允的原则,不得损害公司和其他股东的利益。关联交易容易转移利润,但是需要注意适度(避税需要而计提的佣金、特许权使用费;两头在外企业还需要注意授信银行的提防)(一)公司应按照有关法律、行政法规、部门规章以及《上市规则》等有关规定,明确划分公司股东大会、董事会对关联交易事项的审批权限,规定关联交易事项的审议程序和回避表决要求。《光明乳业管理交易管理办法》(二)公司应参照《上市规则》及其他有关规定,确定公司关联方的名单,并及时予以更新,确保关联方名单真实、准确、完整。公司及其下属控股子公司在发生交易活动时,相关责任人应仔细查阅关联方名单,审慎判断是否构成关联交易。如果构成关联交易,应在各自权限内履行审批、报告义务。注意潜在的关联方(供货比例逐渐增加情况下,工商档案)价格波动是否符合约定、市场波动情况重点关注的内部控制(三)公司在审议关联交易事项时,应做到:1、详细了解交易标的的真实状况,包括交易标的运营现状、盈利能力、是否存在抵押、冻结等权利瑕疵和诉讼、仲裁等法律纠纷;2、详细了解交易对方的诚信纪录、资信状况、履约能力等情况,审慎选择交易对方;3、根据充分的定价依据确定交易价格;关键是价格是否公允、是否明显偏离市场价格;需要调查市场价格。4、遵循《上市规则》的要求以及公司认为有必要时,聘请中介机构对交易标的进行审计或评估;公司不应对所涉交易标的状况不清、交易价格未确定、交易对方情况不明朗的关联交易事项进行审议并作出决定。重点关注的内部控制三、对外担保