风险管理与内部控制审计 苏斌 706708624@qq.com
课程内容 内部控制和风险管理概述 1 内部控制与职业舞弊 内部控制的完善 2 3 4 风险管理与内部控制审计 6
课程内容 内部控制和风险管理概述 1
为什么需要 内部控制? 思 考 由一个案例引发的 版权所有,侵权必究 思 考 版权所有,侵权必究 Copyright © by 2013 all rights reserved
三鹿集团的破灭 事件回顾 自1993年起,三鹿奶粉产销量连续15年实现全国第一。 2007年,三鹿集团实现销售收入100.16亿元,同比增长 15.3%。按三鹿自己的说法,三鹿一直在快车道上高速行驶, 创造了令人振奋的“三鹿速度”。 2008年震惊中国的“三鹿牌婴幼儿配方奶粉重大安全事故 ” 发生了。2008年9月11日,卫生部证实:经调查,高度怀疑 三鹿牌婴幼儿配方奶粉受到三聚氰胺污染。三聚氰胺是一种化 工原料,可导致人体泌尿系统产生结石。 三鹿毒奶粉事件持续发酵,引起广泛关注,三鹿集团声誉受 到重创,市值严重下降,最终以拍卖收场。 版权所有,侵权必究 Copyright © by 2013 all rights reserved
内部控制的重要性 案例总结 和启示 “内部控制能够帮助我们绕过途中的陷阱,到达目的地。 ——MOTOROLA总裁 加利·吐克 防范、减轻业务活动中的风险! 提高企业的运行效率 防范作弊 版权所有,侵权必究 Copyright © by 2013 all rights reserved
内部控制为什么被忽视? 我的员工忠诚可靠,我相信我的员工 我们从没发生过问题 外部审计师在检查我们的财务报表 我没时间 程序耗时又没有用处 我最好还是把时间用在其它战略问题上面 …… 您同意这种观点吗? 内控对战略的落地执行有用吗? 版权所有,侵权必究 Copyright © by 2013 all rights reserved
什么是内部控制? 共 财务目标:保证财务报告的可靠性; 同 经营目标:保证经营活动的效率性和效果性; 之 为什么? COSO(1992)定义:内部控制是由企业的董事会、管理当局及其他人员为达到财务报告的可靠性、经营活动的效率性和效果性、相关法律法规得以遵循等三个目标而提供合理保证的过程。 《企业内部控制基本规范》(2008)定义:内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。控制目标:合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。 财务目标:保证财务报告的可靠性; 经营目标:保证经营活动的效率性和效果性; 遵循目标:保证相关法律法规得以遵循。 共 同 之 处 版权所有,侵权必究 Copyright © by 2013 all rights reserved
整个集团的共同参与对于内部控制的顺利实施至关重要! 内部控制绝对不是: 静态的结构; 某一层次人员的任务(例如:高级管理层); 某一部门的任务(例如:财务、内部审计); 某一实体的任务(例如:总部、省级公司)。 整个集团的共同参与对于内部控制的顺利实施至关重要! 版权所有,侵权必究 Copyright © by 2013 all rights reserved
内部控制概述 1 COSO内部控制整合框架 控制环境 内部控制的实质-风险管理 内部控制活动 信息与沟通 内部监督 版权所有,侵权必究 Copyright © by 2013 all rights reserved
内部控制理论形成和发展的五个阶段:内部牵制、内部控制制度、内部控制结构、内部控制整体框架、企业风险管理框架。 目前应用最为广泛的是《内部控制整体框架》,ERM《企业风险管理框架》是对其的拓展,更加强调内控对风险的运用。 版权所有,侵权必究 Copyright © by 2013 all rights reserved
内部控制由谁负责? 董事会 管理层 内部审计师 外部人员 内部其他人员 Q1:谁是最终负责人? Q2:自上而下OR自下而上? 版权所有,侵权必究 Copyright © by 2013 all rights reserved
内控范围? 1.组织内的内部控制 2.组织外的内部控制 内部控制不止局限于公司内部,有时会延伸到企业外部。例如三鹿奶粉案例,对“奶农”、“奶站”的控制。 版权所有,侵权必究 Copyright © by 2013 all rights reserved
版权所有,侵权必究 Copyright © by 2013 all rights reserved
NO! 内部控制的局限性 内部控制是万能的? 内部管理人员滥用职权、蓄意营私舞弊等,导致内部控制失去 应有的控制效能。 内部人员相互串通作弊导致相关内部控制失去作用。 内部人员素质不适应岗位要求,影响内部控制功能的正常发挥。 即使是设置完善的内部控制,也可能因有关人员的疏忽、误解 和判断错误而失效; 成本效益问题。 对于不经常发生或未预计到的经济业务,原有的控制可能不适 用;临时控制若不及时会影响内部控制的作用(滞后性)。 版权所有,侵权必究 Copyright © by 2013 all rights reserved
成本高昂的《萨班斯-奥克斯利法案》(SOX法案)404条款 美国上市公司第一年遵循该条款的平 均成本是440万美元,中国在美上市的 44家公司第一年合计付出遵循成本近2 亿美元。 版权所有,侵权必究 Copyright © by 2013 all rights reserved
企业内部控制基本规范 2008年6月28日,中国财政部等五部委联合发布了《企业内部控制基本规范》 2010年4月26日,五部委联合发布《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》 要求2012年1月1日起在上交所、深交所主板上市的公司施行,择机在中小板和创业板上市公司施行;同时鼓励非上市大中型企业提前执行 这标志着中国版的“萨奥法案”已正式启动 ☆ ☆ ☆ ☆ 版权所有,侵权必究 Copyright © by 2013 all rights reserved
执行企业内控规范体系 (1)必须对本企业内部控制的有效性进行自我评价,披露年度自我评 价报告 (2)聘请具有证券期货业务资格的会计师事务所对其财务报告内部控 制的有效性进行审计,出具审计报告 (3)注册会计师发现在内部控制审计过程中注意到的企业非财务报告 内部控制重大缺陷,应当提示投资者、债权人和其他利益相关者关注 版权所有,侵权必究 Copyright © by 2013 all rights reserved
COSO立方体 内部控制目标 内部控制贯穿所有的业务部门 监控 信息和沟通 控制活动 风险评估 控制环境 监控 不断评估内部控制系统表现。 整合实时和独立的评估。 管理层和监督活动。 内部审计工作。 财务报告可靠性 营运效率效果 营运 财务报告 合规性 法律合规性 控制活动 确保管理活动付诸实施的政策/流程。 措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。 活 活 内部控制贯穿所有的业务部门 监控 监控 活 活 动 动 业 业 动 动 2 2 信息和沟通 信息和沟通 业 业 务 务 1 1 务 务 单 单 控制活动 控制活动 单 单 位 位 位 B 位 B 信息和沟通 及时地获取,确定并交流相关的信息 从内部和外部获取信息 使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流 风险评估 风险评估 A A 风险评估 风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础 控制环境 控制环境 控制环境 营造单位气氛-让公司员工建立内部控制 因素包括正直,道德价值,能力,权威和责任 是其他内部控制组成部分的基础 版权所有,侵权必究 Copyright © by 2013 all rights reserved
控制环境 控制环境:(Control Environment),反映单位最高管理部门,董事和所有者对控制及其重要性的态度的各种行为,政策和措施。 员工的胜任能力 管理理念 和经营风格 组织结构 诚信与道德准则 授权及职责划分 人力资源 政策及实施 董事会的 关注和监督 控制环境 的7个要素 版权所有,侵权必究 Copyright © by 2013 all rights reserved
内部控制的实质—风险管理 什么叫风险? 企业必须了解它所面临的风险,并加以控制,即设立可辨识、分析和管理相关风险的机制。 内部控制是“企业风险管理(ERM)”不可分割的一部分 风险必须直接与控制目标相关联、然后通过控制活动进行管理 风险是阻碍实现目标的不确定性,用发生概率和影响程度来衡量 公司目标, 风险和内部控制的关系是什么? 确定目标 评估风险 行动计划/ 责任分配 分析控制 版权所有,侵权必究 Copyright © by 2013 all rights reserved
风险管理八要素 点击添加文本 点击添加文本 点击添加文本 点击添加文本 08 01 监督 内部环境 07 02 信息与沟通 目标设定 06 05 风险对策 06 控制活动 08 监督 04 风险评估 01 02 目标设定 03 事件识别 点击添加文本 内部环境 点击添加文本 点击添加文本 点击添加文本
风险应对策略 (Avoid) (Reduce) (Share) (Accept) 企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略 风险规避 (Avoid) 企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略 风险降低 (Reduce) 企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略 风险分担 (Share) 企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略 风险承受 (Accept) 版权所有,侵权必究 Copyright © by 2013 all rights reserved
风险应对策略的应用 高风险Ⅰ避免风险 中等风险Ⅱ转移 低风险Ⅲ接受风险 中等风险Ⅳ降低风险 基本确定 很可能 有可能 不大可能 高 可能性 小 影响程度 大 版权所有,侵权必究 Copyright © by 2013 all rights reserved
控制活动 控制活动:为保障组织目标的实现,针对相关风险采取必要措施的政策和程序,控制活动包括: 授权审批 会计系统控制 预算控制 职责分离/组织牵制 授权审批 会计系统控制 预算控制 财产安全控制 电子信息技术控制 绩效指标考评 。。。。。 现金管理 资本性采购 采购和付款 人事和薪金 营销和销售 存货管理 企业必须基于风险评估的结果订立控制风险的政策 及程 序,并予以执行。 通常可以按业务分别进行制定。 版权所有,侵权必究 Copyright © by 2013 all rights reserved
信息系统控制
信息与沟通 信息 信息始终是企业管理活动最基本的支持,企业所有经营活动都离不开信息。 沟通:沟通就是指信息的传递。 沟通的分类: 信息始终是企业管理活动最基本的支持,企业所有经营活动都离不开信息。 沟通:沟通就是指信息的传递。 沟通的分类: (1)内部沟通; (2)外部沟通。 沟通的方式和方法: “企业应当采取互联网络、电子邮件、电话传真、信息快报、例行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等多种方式,实现所需的内部信息、外部信息在企业内部准确、及时传递和共享,确保董事会、管理层和企业员工之间有效沟通。” (《企业内部控制规范》 ) 版权所有,侵权必究 Copyright © by 2013 all rights reserved
监督控制 版权所有,侵权必究 Copyright © by 2013 all rights reserved
内部审计与内部控制 为什么要有内部审计? 内部审计机构的职责? 内部审计:是企业内部的一个独立机构。 内部审计目的:通过检查、评估组织内部的各项活动,评估其效果和 效率,进行原因分析、提供咨询建议。 为什么要有内部审计? 内部审计机构的职责? 上市公司规模的日益扩大 机构和其业务的日益复杂 协助管理层更有效地履行其责任 提高企业的运作效率并增强其活动的附加值 审计会计帐目 稽查、评估内部控制制度 企业内部职能部门工作效能评估 向管理当局提出建议报告 版权所有,侵权必究 Copyright © by 2013 all rights reserved
内控与审计、风险管理和企业管理的关系? 版权所有,侵权必究 Copyright © by 2013 all rights reserved
课程内容 内部控制与职业舞弊 2
职业舞弊(ACFE) 定义:利用个人职权通过有预谋的误用或滥用组织资源或资产为个人谋取利益。 舞弊行为可能损害组织的利益,也可能是为组织谋取利益,但这种谋取的利益是通过不正当手段获得,当该行为被曝光后,最终会给组织带来伤害。 舞弊者的范围涵盖职员(Employees)、经理层(Managers)及执行管理层(Executives/Upper management) 职业舞弊的特点 —是秘密的 —违背了组织授予舞弊者的职责 —以舞弊者直接或间接的财务利益为目的 —以组织的资产、收入或储备金为代价 版权所有,侵权必究 Copyright © by 2013 all rights reserved
ACFE 简介 简介 宗旨 Association of Certified Fraud Examiners 美国注册舞弊稽查师协会 ——世界上最大的反舞弊培训教育机构、也是迄今为止全球唯一一个专门对舞弊予以查核的专业性组织 ——拥有37,000名会员,遍及50多个国家,会员包括:舞弊稽查师、审计师、调查员、法务会计、损失预防和安全主管、法律人员、犯罪学家、白领犯罪的研究员 宗旨 减少职业舞弊和白领犯罪 版权所有,侵权必究 Copyright © by 2013 all rights reserved
舞弊三角理论(ACFE) (1)压力要素:企业舞弊者的行为动机。刺激个人为其自身利益而进行企业舞 弊的压力大体上可分为几类:经济压力,恶癖的压力,与工作相关的压力等。 (2)机会要素:可进行企业舞弊而又能掩盖起来不被发现或能逃避惩罚的时机 ,主要有六种情况:缺乏发现企业舞弊行为的内部控制,无法判断工作的质量,缺 乏惩罚措施,信息不对称,能力不足和审计制度不健全。 (2)借口要素:真正形成企业舞弊还有最后一个要素——借口(自我合理化), 即企业舞弊者必须找到某个理由,使企业舞弊行为与其本人的道德观念、行为准则 相吻合,无论这一解释本身是否真正合理。企业舞弊者常用的理由有:这是公司欠 我的,我只是暂时借用这笔资金、会归还的,目的是善意的,用途正当等。 压力 舞弊 三角 自我合理化 机会 版权所有,侵权必究 Copyright © by 2013 all rights reserved
课程内容 内部控制的完善 3
如何设计基于实质性漏洞的内部控制? 版权所有,侵权必究 Copyright © by 2013 all rights reserved
STEP1:明确公司目标 1.什么是公司目标?其应该包括什么? 目标:就是努力想要达到的状态、境界或目的。目标是行为的指向。 对于个人而言,由于愿景的不同可以有多种目标。 对于企业而言,有战略目标、经营目标等。 对于企业内部不同的专业部门或岗位来说,围绕企业总体要求,都与 相应的目标。例如:财务管理要保证工作合规和报告真实准确;计划 管理要保证完整、真实、准确、及时等。 业务目标 根据经营业务内容,如货币资金收付、采购与付款、销售与收款等具体业务设计的具体目标。 本质目标 降低企业经营风险,以实现企业价值最大化 分项目标 财务目标、经营目标和遵循 目标。 版权所有,侵权必究 Copyright © by 2013 all rights reserved
2.公司目标分解至业务层面:5321法 SMART 量化 结果 行动 5个标尺 3个步骤 数量 质量 时间 环境/安全 /健康 营销策略 成本 营销策略 依据 细化 量化 1 2 流程化 3 2个答案 1个原则 SMART 结果 行动 版权所有,侵权必究 Copyright © by 2013 all rights reserved
STEP2:企业风险评估 3.风险识别 流程风险 版权所有,侵权必究 Copyright © by 2013 all rights reserved
4.风险评估 输入 输出 风险评估其实是一个输入转化为输出的过程 风险 分析 活动 事项描述 度量单位 风险分析报告 评估技术方法 可能性 公司特征 评估流程 支持资源 历史数据 输出 风险分析报告 可能性 影响程度 风险评级 风险 分析 活动 版权所有,侵权必究 Copyright © by 2013 all rights reserved
STEP3:制定相关控制 5.标准制定 识别关键绩效区 (KPA-Key Performance Area,主要为重要部 门和关键流程) 确定关键控制点 (CCP-Critical Control Point) 设定绩效控制标准(KPI-Key Performance Indicator),即量化或非量化的指标 …… 核对点 记账点 审批点 结算点 审签点 审核点 编审点 复核点 版权所有,侵权必究 Copyright © by 2013 all rights reserved
对内部控制的健全程度和执行情况的书面叙述 6.政策制定 以流程图、二维图及文字描述的形式编制内控政策 流程图 用符合和图形来表述内部控制的程序及关键 二维表 对内部控制的关键控制点进行记录 文字表述 对内部控制的健全程度和执行情况的书面叙述 版权所有,侵权必究 Copyright © by 2013 all rights reserved
STEP4:控制执行 如何保障内控的执行? 建立内控 执行文化 培养内控 执行人才 明确内控 执行制度 引入以董事会领导的 监管体制 1 2 3 引入以董事会领导的 监管体制 加强对内控执行的监 督 要求对于公司内控运 作及有效性作出定期汇 报 内控执行的手段,须 融入日常的管理流程 通过讨论和培训,使 内控的实施得到“全民 ” 的支持 通过经验的分享,不 断加强内控执行的认同 性 开展内控知识培训 ,培养员工按照要 求严格执行内控制 度的意识 建立员工执行内控 奖惩机制,将内控 执行情况纳入员工 绩效考核 版权所有,侵权必究 Copyright © by 2013 all rights reserved
STEP 5:检查监督 STEP 6:方案改进 相关控制是否存在内部控制实质性漏洞? 修改/重建业务流程 迅速采取纠正措施 方案改进 (同前) STEP 6:方案改进 迅速采取纠正措施 修改/重建业务流程 方案改进 相关措施 调整关键控制点(CCP)或绩效控制标准(KPI) 接受差异,不做处理 版权所有,侵权必究 Copyright © by 2013 all rights reserved
课程内容 风险管理与内部控制审计 4
风险管理审计与内部控制审计的比较 点击添加文本 点击添加文本 点击添加文本 点击添加文本
风险管理与内部控制审计实施要点 -------以经济责任审计为例 风险管理与内部控制审计实施要点 -------以经济责任审计为例
1、审前调查阶段 一些事项的说明: 主要工作:初步了解和评价被审计单位内部控制 为后续审计工作确定重点审计方向,以提高审计的效率和质量 可根据情况适当减少测试样本数量
工作步骤 组长或主审在编制审前调查方案时将内部控制审计任务予以明确 各小组参加审前调查的人员根据方案进行内部控制测试 各小组成员将测试结果提交至综合协调小组 由综合协调小组长进行汇总,向审计组主审提供对被审计单位内部控制的初步评价报告和对审计实施阶段工作重点方向的建议,供主审编制审计方案时参考。
测试方法 查阅历次内、外部审计档案,查阅企业各项内部管理制度和相关文件; 询问被审计单位有关人员; 检查内部控制过程中形成的凭证和记录; 观察被审计单位的业务活动和内部控制的实际运行情况; 选择有代表性的业务进行穿行测试。
风险判断 经初步了解后,审计组若判断被审计单位的内部控制风险高,可采用在审计实施阶段不进行内部控制测试和评价的审计策略,直接进入实质性测试。 被审计单位根本没有内部控制或者内部控制信赖程度较低; 存在固有风险和控制风险较高; 内部控制不健全并且又没有补偿控制、或者内部控制虽然存在,但通过了解发现其并未得到有效运行; 企业自我监督约束机制缺失或管理层对内控的认知和重视程度低等。 若审计组认为被审计单位的内部控制风险是可接受的,应考虑在审计实施阶段进行较为详细的内部控制测试和评价,并写入审计实施方案。
2、审计实施阶段 审计实施阶段,审计组应主要对被审计单位负责人履行经济责任的重点业务及其关键控制点进行符合性测试和实质性测试,评价被审计单位内部控制情况。
主要关注点 被审计单位是否按合法、合理原则,目标性原则,授权分权原则,职务分管控制原则,业务程序标准化原则,检查核对原则,效益原则等建立内部控制制度; 内控制度是否全面、完善、有效; 制度与制度、制度与部门、部门与部门、部门与个人之间是否衔接相通,有没有不按程序或越权的行为; 部门与部门之间有否横向制约程序; 各职能部门是否严格执行规定的内控制度; 各种制度的执行结果是否达到预期目的。
实施阶段内控测试和评价的程序 审计组各小组制订评价计划,确定人员分工及测试业务范围;通过观察、询问、填写调查表等手段进行初步了解; 将测试业务进行分解,找出关键控制点,具体对业务关键控制点逐项抽样进行符合性测试,并将测试结果进行记录; 确定评价标准。评价的标准是由被审计单位管理层负责制定的,内部审计人员要确定管理层是否已经建立标准以及这些标准是否适当。如果有标准,审计人员认为这些标准不适当,应对制定该标准负有责任的管理层报告;如没有制定内部审计控制标准,内部审计人员应在考虑企业利益最大化的基础上,选择恰当的评价标准; 根据测试结果对照评价标准进行评价; 综合协调小组汇总各小组的内部控制评价报告,做为支撑审计报告相关内容的依据。
任期项目一般选取测试的范围和重点 筹资计划的编制及审批; 各类重大投资、担保、资金运作的决策和审批; 大宗物资采购的审批和招投标管理,重大工程项目立项审批和工程管理; 大型固定资产购买审批和管理; 重大销售合同的审批、价格执行、账款回收; 采购计划的制订和执行; 工资及福利的审批和执行等。
实务操作及案例
一些问题的说明: 该操作案例是根据某公司“内控评价体系项目”并结合任期经济责任审计的特点编写的。 该操作的核心是将多次经济责任审计内部控制测试累积的经验进行分析、总结,将测试的业务和关键控制点、评价标准、评分方法和体系等进行了相对固化,提高了开展内部控制审计的效率,同时兼顾了评价的科学性和客观性。 审前调查阶段和审计实施阶段的内控测试是类似的,只是深度上有所区别,这里不再单独介绍审前调查阶段的内控测试。
实施阶段内控评价的重点内容 筹资计划的编制及审批; 各类重大投资、担保、资金运作决策和审批; 大宗物资采购的审批和招投标管理,重大工程项目立项审批和工程管理; 大型固定资产购买审批和管理; 重大销售合同的审批、价格执行、账款回收; 采购计划的制订和执行; 工资及福利的审批和执行。
具体测试步骤 1、根据测试调查表了解被审计单位内部控制现状 2、根据测试工作底稿的内容要求进行逐项抽样测试,对结果进行记录 3、依次对关键控制点、业务模块及综合情况进行评分 4、将评价结果进行反馈
Thank you