控制5要素之三:控制活动 1、不相容职务分离控制 2、授权审批控制 3、会计系统控制 4、财产保护控制 5、预算控制 6、合同管理
一项经济业务的发生,其授权、批准、执行、记录等从头 到尾由一个部门或一个人办理时,其发生错误或非法行为 的概率趋于增大的两项及以上的功能必须分割。 资产管理和处理职能与会计记录职能分离 交易批准与交易执行分离 交易执行与交易的会计报告责任分离(会计职能的特性) IT职能与关键用户分离
内部控制的四项基本目标: (1)战略目标。 (2)经营目标。 (3)报告目标。 (4)合规目标。 需要指出的是,以上四项目标均为基本目标或一 般目标。在每项基本控制目标下,还可细化为若 干具体控制目标。
控制流程,是依次贯穿于某项业务活动始终的基 本控制步骤及相应环节。控制流程,通常同业务 流程相吻合,主要由控制点组成。当企业的业务 流程存在控制缺陷时,则需要根据控制目标和控 制原则加以整合。
• 1992年夏天,伦 敦总部要求里森另 设立一个“错误帐 户”,记录较小的 错误,并自行在新 加坡处理, “88888”的“错误 帐户 诞生
是任何企业的核心,是企业的人以及它所处的环境 是推动企业的引擎,也是其他要素的基础
信息系统利用内部生成的数据和来自外部渠道 的信息,以便为管理风险和作出与目标相关 的知情的决策提供信息。
内容相关 – 是不是所需要的信息? 提供及时 – 是不是在需要时可以及时提供? 时效性 – 是不是最新的? 正确性 – 数据是不是正确? 可获得性 – 是不是可以从正常渠道轻松获得? 。
内部控制是由企业董事会、监事会、经理层和全 体员工实施的、旨在实现控制目标的过程。 如何理解内部控制? 1、是一个过程。 2、全员参与。 3、目标导向。 4、合理保证。
内部监督是企业对内部控制建立与实施情况进行监督检查, 评价内部控制的有效性,发现内部控制缺陷,应当及时加 以改进。 内部监督分为日常监督和专项监督。日常监督是指企业对 建立与实施内部控制的情况进行常规、持续的监督检查; 专项监督是指在企业发展战略、组织结构、经营活动、业 务流程、关键岗位员工等发生较大调整或变化的情况下, 对内部控制的某一或者某些方面进行有针对性的监督检查。 专项监督的范围和频率应当根据风险评估结果以及日 常监督的有效性等予以确定。
内部控制的目标是合理保证企业经营管理合法合 规、资产安全、财务报告及相关信息真实完整, 提高经营效率和效果,促进企业实现发展战略。
1、促进实现发展战略 2、促进提高经营管理效果效率 3、促进提高信息报告质量 4、促进维护资产安全完整 5、促进国家法律法规有效遵循 战略目标 营运目标 报告目标 资产目标 合规目标
财政部等五部委 财政部等五部委出台的《企业内部控制基本规范》为企业 提供了完整和公认的内部控制框架,同时以法律的形式要 求上市公司对本公司内部控制的有效性进行自我评价。
1995年 1995年2月27日巴林银行因经营失误而 倒闭 巴林总部决定派里森到新加坡分行成 立期货与期权交易部门,并出任总经 理. 巴林银行荣幸地获得了一个特殊客户: 英国皇室 . 弗朗西斯· 巴林爵士在伦敦创建了巴林 银行,它是世界首家“商业银行 .
•控制活动包括:政策、标准 、流程的建立,授权、批准 ,复核经营业绩,保护资产 ,职责分离 •控制活动能够抵偿风险
不同人员或部门之间的职责分工可以通过一系列检查措施, 例如:降低发生错误的风险,并控制人为蓄意的操纵. 避免独立个人同时负责一项完整的交易的发生、授权和记 录,或避免独立个人在保管资产的同时负责记录其变动. 通过岗位轮换, 使更多的高级管理者参与日常运营的主要 活动, 以外部视角来观察各个部门的运营.
内部控制应 当贯穿决策 、执行和监 督全过程, 覆盖企业及 其所属单位 的各种业务
内部控制应 当在全面控 制的基础上, 关注重要业 务事项和高 风险领域。
内部控制应 当在治理结 构、机构设 置及权责分 配、业务流 程等方面形 成相互制约 、相互监督 ,同时兼顾 运营效率。
风险是一种潜在的 问题或损失。 风险评估: 确定什么地方可能 出错,会有什么影响?
风险评估是企业及时识别、系统分析经营活动中 与实现内部控制目标相关的风险,合理确定风险 应对策略。
有效的沟通会出现在组织中向下、平行和向上 的流动。全体员工要了解其在内部控制中的职 责,以及个人活动与其它人员的工作之间的联 系,认真担负起内部控制的责任。 有向上沟通重要信息的渠道。 与外部也要有有效的沟通。
• 人为错误: 与制度设计无关纯粹因人为因素 而产生的错误。分2类: 善意错误: 恶意错误:蓄意破坏、对抗设计 良好的控制制度。 善意人为错误 管理层或其他员工因信息不充 分,时间限制或其他流程问题, 业务决策和判断失误; 对工作指令理解错误,疏忽懈 怠,精力不集中,疲劳或岗位 调动等原因导致控制失效; 环境变化的不确定性及设计与 运行实际偏差的不确定性; 成本与收益的考虑 人为的蓄意破坏 蓄意破坏的类别:串通、勾结;管 理当局凌驾于控制制度之上。
内部控制应 当与企业经 营规模、业 务范围、竞 争状况和风 险水平等相 适应,并随 着情况的变 化及时加以 调整。
内部控制应 当权衡实施 成本与预期 效益,以适 当的成本实 现有效控制。
3、组织结构设计 1. 2. 1. 2. 3. 组织结构的设计因素: 确认授权和责任 确认报告路径 组织设计合理的流水线模式: 三个问题: 所有的事是否都有人做? 行为者是否充分授权行事? 所有行为是否有人承担责任? 企业成为权力角斗场的原因: 1.组织结构设计不确定: 对权力定义不清或定义错误,导 致权力的涣散; 权力与责任不对称 2.权力结构不稳定: 权力成为公开招标物; 导致冲突和耍政治手腕。
可能以组织的名义为个人购入货物,在收取货物 时利用职务之便将货物占为己有,同时不向会计 部门递交原始凭证或者在原始凭证上反映虚假信 息 可能会伪造购货业务并支付货款,从而贪污现金
1. 2. 授权分类: 一般授权 特殊授权 授权结构: 范围,权限,程序,责任; 授权类别: 资金审批授权, 合同签订授权, 业务处理授权, 价格制订授权, 资产与信息接触授权 …… 授权与批准的区别: 授权--是对一般交易或特殊交易的政策性 制度决策; 批准--是对公司授权制度的具体执行。
经营计划 子公司年度预算 项目立项 项目估概预算 合约审核 方案评审 内审 现金流管理 …
事务部战略目标 事业部经营计划 事业部预算 项目立项 资金筹集 各子公司、办事处 之间的资金分配和 平衡 内审 …
为了实现控制目标,保 证内部控制各个要素的可靠 性,有关信息必须及时沟通 。 信息沟通贯穿于整个控制
信息与沟通是企业及时、准确地收集、传递与内 部控制相关的信息,确保信息在企业内部、企业 与外部之间进行有效沟通。
企业内部控制应用指引 企业内部控制评价指引 企业内部控制审计指引 《应用指南》具体提出18个具体流程的应用指引。在每个 具体流程中规定了该指引的目的,相关定义,该流程的主 要风险,岗位分工及授权批准,及主要流程的控制程序。 《评价指引》具体规范了内控评价的内容和标准,评价的 程序和方法,内控缺陷的认定,以及规定了评价报告的相 关内容。 《审计指引》指导注册会计师执行内控审计业务。 国资委出台的指引强调对风险的识别、分析、评价、防控 和监督,为企业防控风险,建立控制体系提供指引。
每一各人都需要了解内部控制系统的相关方面,系统如何工作,以及他 (她)本人在系统中的角色和职责
与外部单位的交流经常能提供履行内部控制职能所需要的重要信息 监查部门例如证监会、财政部等提供的审阅或检查结果能够揭示控制的 弱点 与股东、监管部门、分析师和其他外部单位的沟通应提供与其需求 相关的信息,以便其比较容易地理解企业所面临的环境和风险 。
控制活动类指引 资金活动 采购业务 资产管理 销售业务 研究及开发 工程项目 担保业务 业务外包 财务报告
控制5要素之三:风险评估 风险识别是风险管理的第一步 风险识别基本方法 现场观察法 报表分析法 案例分析法 集合意见法 专家调查法 情景分析法 业务流程分析法
法规或经营环境的改变 新加入的员工、较高的人员流动性 新的或改善过的信息系统 公司经理迅速发展时期 新技术的出现 新业务、新产品、新的经营活动或并购 公司重组 跨国经营
风险分为: 公司整体层面的风险 具体业务活动层面的风险 风险分析的步骤: 评估风险的重要性 评估风险发生的可能性(或发生的频率) 考虑如何管理风险,即评估应采取何种行动
• • • • • • • • • • 明确对内部控制的“责任” 强调内部控制应该与企业的经营管理过程相结合 强调内部控制是一个“动态过程” 强调“人”的重要性 强调“软控制”的作用 强调风险意识 揉和了管理与控制的界限 强调内部控制的分类及目标 明确指出内部控制只能做到“合理”保证 成本与效益原则
控制点的功能,是通过设置具体的控制技术和手 续而实现的。这些为预防和发现错弊而在某控制 点所运用的各种控制技术和手续等,通常被概括 为控制措施。
“职位至高者,若一味偏爱权 力,只能归入从属地位;反之, 职位至低者,若考虑全局,承 担责任,即为高级管理层。” ---彼得· 德鲁克:
项目立项 项目估概预算 规划设计 招投标 现场签证 营销方案 进度/质量/成本控 制 … 预算内/外权限 单笔权限 累计权限
五部委(财政部 证监会 审计署 银监会 保监会) 《企业内部控制基本规范》
2009年7月1日,财政部、证监会、审计署、银 监会、保监会日前联合发布的《企业内部控制基 本规范》正式生效,并在上市公司范围内实施, 同时鼓励非上市的大中型企业执行 。
组织结构的定义: 通过提供完整的架构 作用于组织实现其目标的能力; 是规定组织内部责任与授权的线型 结构 组织结构设计必须覆盖组织活动 的全部形式: 计划与决策,执行,控制,监督 组织结构设计的2个限制: 1. 少一个不行;多一个冗余; 2. 部门功能必须是线型的、支持的, 而非拦截的 组织结构设计原理
• 在未经授权的情况 下,里森以银行的 名义认购了价70 的亿美元的日本股 票指数期货,并以 买空的做法在日本 期货市场买进了价 值200亿美元的短 期利率债券。巴 林银行因此而损 失10亿美元
提倡对正义、公理、公德 的忠诚,而非狭隘的“公 司忠诚”; 公司不能置公理和正义之 上。
实现道德准则的具体措施: 加强员工雇佣前的筛选,使不诚 实的人没有被雇佣的机会。 “亚洲对新员工进行调查的很少, 中国则几乎没有。”
国资委《中央企业全面风险管理指引》上海证交所 《上市公司内部控制指引》 深圳证交所《上市公司内部控制指引》 保监会《寿险公司内部控制评价办法(试行)》
国资委《中央企业财务内部控制评价工作内部指引》 深圳交易所《中小企业板上市公司内部审计工作指引》 银监会《商业银行内部控制指引》
贯穿在风险评估和控制活动过程中 这些系统使企业内的人员能取得他们在执行、管理和控 制企业营运时必须的资讯,并交换这些资讯 信息系统:内部、外部
实现控制目标,主要是控制容易发生偏差的业务环节。这 些可能发生错弊因而需要控制的业务环节,通常称为控制 环节或控制点。控制点按其发挥作用的程度而论,可以分 为关键控制点和一般控制点。那些在业务处理过程中发挥 作用最大,影响范围最广,甚至决定全局成效的控制点, 对于保证整个业务活动的控制目标具有至关重要的影响, 即为关键控制点;相比之下,那些只能发挥局部作用,影 响特定范围的控制点,则为一般控制点。
整个内部控制的执行过程必须被监督 确保内部控制制度随情况的改变而作出动态的反应 应建立检查和报告体制
监督行为包括三个层次、三条路径: 部门日常监督 主管日常监督 部门自我评估 内部审计
管理哲学和经营风格---传达公司的正直、诚实的道德规范 组织结构---董事会及其委员会职能 职责分配和授权--权利、职责分工 人事政策--保证员工正直并有能力胜任工作
是企业道德与行为准则的凝结,以及如何将这些价值观教 化员工并诉诸实际行动 内部控制作为企业文化相当脆弱 任何人不得凌驾于内部控制制度之上
行业内控指引 商业银行内控指引 证券公司内控指引 保险公司内控基本准则
深交所出台了一系列的内部控制指引,为上市公司建立和 实施内部控制制度提供指引。
内部牵制阶段,上世纪40年代前 内部控制制度阶段 40年代末至70年代 制度两分阶段 80年代至90年代 全面风险控制阶段 90年代之后IM电竞 IM电竞平台IM电竞 IM电竞平台IM电竞 电子竞技平台IM电竞 电子竞技平台IM电竞 电子竞技平台
