企业内部控制与风险管理审计北京工商大学教授商学院院长博士生导师杨有红博士内部控制与风险管理有何异同?《企业内部控制基本规范》内容《中央企业全面风险管理指引》内容第二章内部环境第七章风险管理组织体系第九章风险管理文化第三章风险评估:目标设定事项识别风险评估风险应对第二章风险管理初始信息第三章风险评估第四章风险管理策略第四章控制活动第五章风险管理解决方案第五章信息与沟通第八章风险管理信息系统第六章内部监督第六章风险管理的监督与改进一《企业内部控制基本规范》与《中央企业全面风险管理指引》比较《企业内部控制基本规范》目标《中央企业全面风险管理指引》目标战略目标战略目标经营目标经营目标合法合规目标合法合规目标报告目标报告目标资产安全目标资产安全目标内控要素风险管理要素控制环境内部环境风险评估目标设定事项识别风险评估风险应对控制活动控制活动信息与沟通信息与沟通监督监督二美国《内部控制框架》与《风险管理框架》比较美国内控框架目标美国风险管理框架目标战略目标经营目标经营目标合法合规目标合法合规目标财务报告目标报告目标第一部分企业内部控制系统一、内部控制的定义内部控制是由董事会、监事会、经理层和全体员工实施的、旨在为实现以下控制目标的过程:经营管理合法合规资产安全财务报告及相关信息真实完整提高经营的效率和效果促进企业实现发展战略------《企业内部控制基本规范》第3条来自于外在强制性较大程度上取决于管理层的偏好、管理风险1、内部控制是一个过程,而不是目的2、这一过程贯穿企业管理的各个层面、各个单元4、这一过程为目标的实现提供合理保证3、力求实现一个或多个不同类型但相互交叉的目标如何理解内部控制是一个过程?它为目标的实现提供合理保证?----通过过程把握尽量保证结果正确案例:##交易性股票投资的控制过程证券期货部:按规定进行投资组合、严格执行每支股票投资额度以及强行平仓标准和及时报告制度。财务部:在保证资金流动性、安全性前提下提供资金额度投资部:投资策略的制定,包括风险管理有效性标准、风险承受度、股票与债券的比例等。内部审计:交易性股票投资的审计监督战略定位:中等城市和大城市二级机场间的短程航运战略路径:快捷服务+低成本运营手段:波音737直接订票+自动售票15分钟停泊无餐饮、指定座位、高等舱财务手段:成本优先分部核算资金统一控制+分部定额高薪酬+高持配案例:完美的结合二、企业实施内控中存在的问题1、将内控作为一项制度来实施,忽视内控环境的建设2、内控构建中模仿的成份较多,忽视创新和针对性3、目标、公司层内控、业务层内控拟合程度不高4、企业内控设计的精细化程度不够执行力度较弱6、内控维护和提升手段不到位5、重业务层内控建设、轻公司层内控机制构建三按框架要求建立内控体系(一)内部环境1、组织机构具备条件的企业,应设内控与风险管理职能部门、董事会可下设内控与风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任;董事长兼任总经理的,召集人应由外部董事或独立董事担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事,以及具备风险管理监管知识或经验、具有一定法律知识的董事。关注点:董事会的独立性董事的知识与经验专业委员会的设置及权力配置董事会议事规则董事会及下属委员会掌握重大信息、敏感信息的充分性与及时性董事会及下属委员会对重大问题所采取的行动2、风险管理理念范例:牢记受托责任风险管理是强制性的而非随意性的合理承担风险决策之前考虑所有形式的风险以积极的态度执行风险管理的决策与措施受托责任意味着,一个人选择了某种职业,在这种岗位上,就必须有看护他人利益的责任,如果一个人为了自身的利益,(无论其出于多么合乎人性的本能,)而违背这种信托责任,那么就一定会受到法律追究或者社会道德的谴责。3、诚信与道德价值观范例:做法律和道德都允许做的事情以最恰当的方式通过“规则盲区”以合法和合理授权的方式使用公司和客户的资源提供的产品和服务不低于我们的承诺接收和支付贿赂是我们的耻辱以尊敬、公正、礼貌对待同事和有业务往来的人支持慈善、教育、人权和社区服务活动内容现象描述/评论总体要求管理层必须通过语言和行动不断体现对高道德标准的要求,并向员工传达这样的信息:在诚信和道德价值观方面不能让步。关注点结论/需要采取的行动内部环境评估----诚信与道德价值观1、对违德行为的惩戒措施十分薄弱;2、年度预算指标过高且在奖金挂钩太紧密行为准则和道德标准:守则是否全面可操作;是否定期确认员工对守则的了解;若不存在守则,企业文化是否强调诚信与道德高层管理的基调以及通过语言和行为产生的示范效果在较高道德标准下开展业务,如针对应工作差错产生的供应商多给货、采购商多付款等事项管理层对违背道德和规定的事项的处理:是否对违反守则的行为做出反应;惩戒措施是否在员工中广泛沟通;员工是否认识到违背行为准则将承担的后果管理层对干预或凌驾既定控制的态度不切实际业绩目标的压力:是否存在极端的刺激或诱惑致使产生不必要和不公平地考验人们对道德价值观的坚持;薪酬和晋升是否与短期业绩目标结合太紧;是否存在降低诱惑可能性的控制有明确的员工守则,管理层以身作则,今后应加强对违德行为的惩戒,并改善预算系统与激励方式4、胜任能力5、权务与职责分配6、人力资源政策企业层面目标评估风险可能性评估需要采取的行动业务层面目标风险评估评估风险严重性外部因素内部因素(二)风险评估风险应对——目标、事项识别、风险评估与应对的关系事项识别选择风险应对措施确定相应的风险承受度:企业能够承担的风险限度业务层面的可接受风险水平整体风险承受能力风险降低:企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。风险分担:企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。风险规避:企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险承受:企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。风险应对措施(三)控制活动控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。**银行住房按揭贷款目标、风险、应对和控制活动目标贷款存量200亿,利息收入8.25亿风险容限5%以内风险固有风险风险应对剩余风险可能性影响可能性影响中介评估机构虚增房屋价值10%有问题贷款2亿降低风险、分担风险1%1000万房价下降,降低了还款意愿15%有问题贷款1亿2%1800万开发商假按揭8%3亿1.5%3000万控制措施1、指定优质评估机构,并对评估机构评估价值与市场价值进行持续跟踪分析2、严格执行首付标准,对在贷款发放前对每一笔贷款的首付标准进行稽核;3、发放贷款前与购房者直接沟通(面谈、面签)并通过与购房者单位核对、与税务机关核对等方法判断贷款者的真实性与还款能力。4、对逾期未支付月供者采取跟踪追款等措施5、取消房贷业务返点6、密切关注房地产企业尤其是高价圈地的开发商、脱离核心主业进入房地产的大型企业集团的杠杆率,加强对开发商、项目公司和母公司的并表风险管理7、对调查发现和经相关部门查实的存在囤地、捂房行为的开发企业,不得对其发放新增贷款,已有贷款要迅速采取保全措施。1.职务分工:主要解决不相容职务分离①授权批准职务与执行业务职务相分离;②执行业务职务与审核监督职务相分离;③执行业务职务与会计记录相分离;④财产保管职务与会计记录相分离;⑤执行业务职务与财产保管职务相分离。党委在公司治理机制中的地位和作用?党管干部与董事会选择经营管理者的关系?党委监督保障与监事会的关系?党委与董事会的关系?某单位原出纳员周某三次挪用、贪污公款达211万元,被法院以挪用公款罪和贪污罪两罪并罚判处其有期徒刑20年,但200万元的资金却难以收回。15年前,周到该单位财务科任出纳,15年的工作经历使周对该单位的财务状况了如指掌,其中的漏洞也心中有数。周说:“我可以决定提取现金的数量,支票也由我处理,可随时加盖支票印鉴。在每月同会计对账时,我同他们只对总额,而不进行明细核对。另外,我挪用公款,银行账上有反映,但我们的银行对账单有我保管,单位也不易发觉。”2.授权批准控制①授权批准的范围②授权批准的层次③授权批准的责任④授权批准的程序湖北证监局对**股份有限公司发出的限期整改通知书(节选):公司《章程》第143条第二款第3点关于董事会决策权限的规定:“交易的成交金额占公司最近一期经审计净资产的10%以上且绝对金额超过1000万元至50%以下且绝对金额不超过5000万元之间的重大交易事项”。按照公司2007年年报披露的净资产16.9亿元。上述规定相互冲突,没有任何交易事项符合上述标准,该条款的约束条件应根据公司现有规模重新合理设置。B股份有限公司的《公司章程》第一百一十条、《对外投资管理制度》第六条均规定:交易涉及资产总额占上市公司最近一期经审计总资产5%以上、绝对金额超过1000万元等由董事会批准。《董事会议事规则》第四条规定:交易涉及资产总额占上市公司最近一期经审计净资产10%以上、或绝对金额超过1000万元由董事会批准。3.文件记录控制①建立企业组织机构职能图和授权审批权限一览表②建立全员岗位说明书③业务程序手册④会计流程与会计记录4全面预算控制预算激励制度预算考评制度预算报告制度预算监控与调整制度预算编制程序与方法体系预算指标体系预算组织制度预算管理制度体系①预算体系的建立,包括预算项目、标准和程序;②预算的编制和审定;③预算指标的下达及相关责任人或部门的落实;④预算执行的授权;⑤预算执行过程的监控;⑥预算差异的分析与调整;⑦预算业绩的考核。①限制接近②定期盘点③记录保护④财产保险⑤财产记录监控6.职工素质控制①建立严格招聘程序,保证应聘人员符合招聘要求;5.实物保全控制②制定员工工作规范,用以引导考核员工行为;③定期对员工进行培训,帮助其提高业务素质,更好完成规定的任务;④加强考核和奖惩力度,应定期对职工业绩进行考核,奖惩分明;⑤对重要岗位员工(如销售、采购、出纳)应建立职业信用保险机制。⑥工作岗位轮换。7.营运分析控制资产负债比率资本性支出与收益性支出的规模与结构投资回报分析与投资预算资金在虚拟经济与实体经济之间的流动成本费用控制7.信息系统控制①一般控制②应用控制8.内部审计控制(1)独立性(2)权威性9声誉风险控制声誉与现实的差距不断变化的看法和期望内部协调不办客观评价声誉和现实分析公司声誉与实际表现的差距,采取相应措施监控期望的变化,并认清其影响认识到利益相关者期望的变化会影响公司的声誉,尽管看来不尽合理明确聚焦于声誉管理认识到这是一个不可忽视的风险,协调各部门进行主动管理,并任命专门负责人因素控制方法(四)信息与沟通2内部沟通1外部沟通某软件公司研发部做出了软件升级的计划,该计划的目标是:(1)运用可拓展商业报告语言(XBRL,ExtensibleBusinessReportingLanguage)开发完全符合会计准则的低成本的数据快速导入和转换软件;(2)运用色彩、图形和图表显示财务数据和运营数据的可视化软件。营销部马上进行了声势浩大的广告宣传活动,将公司逼入两难的进地:(1)要么将未达到升级标准的软件仓促推入市场;(2)要么无期限地推迟达到升级标准软件的上市时间。结果公司声誉大受影响。(五)监督1日常经营中的相关监督2企业内部监督机构的监督3内部控制自我评价4内部控制审计目标财务报表可靠性(生产设备减值计提准确性)风险容限5%以内风险固有风险风险应对剩余风险可能性影响可能性影响原始数据收集不确认,甚至缺乏反映收集过程的表格中等资产计价和利润计量的误差超过可接受水平见下列控制措施极低出现可接受的资产计价和利润计量误差超通过经验判断确定设备价值和减值额高低人为操纵减值从而人为调节利润高报表失去真实性的基础极低报表失去真实性的基础控制措施1、原始数据提供、减值计算、数据验证相分离2、原始数据必须来自于生产经营第一线工作人员3、对原始数据采取现场复核和历史比较的办法进行验证4、建立相对固定的计