內部風險管理與控制

1、主要內容1引言內部控制思想中國文化特色風險管理與內部控制風險導向單位層面控制風險導向業(yè)務層面控制風險導向內部控制體系實施風險導向內部控制評價內部控制思想的演進2內部牽制內部會計控制內部控制：審計人員的困擾會計控制與管理控制：“將美玉擊成了碎片”內部控制結構：控制環(huán)境、會計系統(tǒng)、控制程序內部控制整合架構：COSO五要素風險管理整合框架：內部控制與風險管理階段時間定義內容內部控 制結構1988美國注冊會計師協會第55號審計準則公告提 出內部控制結構這個概念。企業(yè)內部控制結 構包括為合理保證企業(yè)特定目標的實現而建 立的各種政策和程序?？刂骗h(huán)境；會計系統(tǒng)； 控制程序。內部控1992內部控制是一個由企業(yè)

2、董事會、管理層和其 他員工實施的、旨在為下列各類目標的實現 提供合理保證的過程：經營的有效性和效率、 財務報告的可靠性、符合適用的法律和法規(guī)。控制環(huán)境；制整合風險評估；框架控制活動；信息與溝通；監(jiān)督。企業(yè)風2004/企業(yè)風險管理是一個過程，它由一個主體的1.內部環(huán)境險管理 整合框 架2013董事會、管理當局和其他人員實施，應用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識別可能 會影響主體的潛在事項，管理風險以使其在 該主體的風險容量之內，并為主體目標的實 現提供合理保證。目標制定事項識別風險評估風險反應控制活動7.信息與溝通8.監(jiān)督內部控制思想的演進3階段時間定義內容企業(yè)風2017企業(yè)風險管理是指組織在

3、創(chuàng)造、保持和實現1.治理與文化險管理 框架COSO- ERM價值的過程中，結合戰(zhàn)略制定和執(zhí)行，賴以進行管理風險的文化、能力和實踐。戰(zhàn)略和目標 設定績效審閱和修訂信息、溝通 和報告4內部控制思想的演進內部控制思想的演進5我國內部控制的發(fā)展內部牽制階段1978年會計人員職權條例1984年會計人員工作規(guī)則1986年會計工作基礎規(guī)范會計控制階段1999年會計法將“內部控制”當作會計信息“真實與完整”的基本手段 之一2001年至2004年財政部發(fā)布內部會計控制基本規(guī)范和7個具體規(guī)范企業(yè)內部控制規(guī)范體系階段財政部等五部委2008年6月28日發(fā)布企業(yè)內部控制基本規(guī)范企業(yè)全面風險管理階段2006年6月國務院國

4、資委發(fā)布中央企業(yè)全面風險管理指引內部控制與內部審計管理層控制層運營層股東 大會外部 審計董事 會監(jiān)事 會公 司 治 理內 部 控 制財務會計審計階段經營審計階段管理職能審計階段風險控制審計階段內部審計風 險 管 理確認咨詢61212確保被識別出規(guī)避 風險的控制措施可以 及時有效得到實施的 政策和程序確認內部控制是否進行 充分的設計和執(zhí)行，以及 是否具備有效性和適應性。對于影響公司目標 實現的內部及外部因素的評估確保相關信息被及 時識別及傳遞的過程公司對于內部控制 的基本態(tài)度-”來自 上層的基調”戰(zhàn)略目標報告目標合規(guī)目標經營目標資產安全內部環(huán)境面層元業(yè)子公務公司單司風險評估控制活動信息與溝通內部

5、監(jiān)督內控的核心理念13企業(yè)內部控制基本規(guī)范框架股東證券交 易所政府部門行業(yè)監(jiān)管 部門 國資委：中央企業(yè)全面風 險管理指引 治理結構 財政部：企業(yè)內部 控制基本規(guī)范 薩班斯法案 上海證券交易所上市 公司內部控制指引 深圳證券交易所上市 公司內部控制指引 保險公司風險管理指引（試行） 商業(yè)銀行操作風險管理指引 2008年5月22日財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會以財會 20087號文件發(fā)布；共七章五十條；自2009年7月1日起在上市公司范圍內施行，鼓勵非 上市的大中型企業(yè)執(zhí)行；執(zhí)行本規(guī)范的上市公司，應當對本公司內部控制的有效性進行自我 評價，披露年度自我評價報告，并可聘請具有證券、期貨業(yè)務資

6、格 的會計師事務所對內部控制的有效性進行審計。企業(yè)內部控制基本規(guī)范的發(fā)布，是繼2006年2月我國企業(yè)會計準則、審計準則正式頒布和順利實施之后，財政、審計、證券監(jiān)管、 銀行監(jiān)管、保險監(jiān)管和國有資產管理部門同心同德、群策群力，以 實際行動落實科學發(fā)展觀、促進企業(yè)和資本市場又好又快發(fā)展的又 一重大舉措。9企業(yè)內部控制基本規(guī)范框架企業(yè)內部控制應用指引框架10第1號組織架構第2號發(fā)展戰(zhàn)略第3號人力資源第4號社會責任第5號企業(yè)文化第6號資金活動第7號采購業(yè)務第8號資產管理第9號銷售業(yè)務企業(yè)內部控制評價指引第10號研究與開發(fā)第11號工程項目第12號擔保業(yè)務第13號業(yè)務外包第14號財務報告第15號全面預算第1

7、6號合同管理第17號內部信息傳遞第18號信息系統(tǒng)內控圣經：COSO 201711Honesty，Truth Pursuing，Diligence , Devotion to Public Duty四、風險管理與內部控制風險管理與內控的關系風險地圖有哪些風險識別的方法針對風險應采用哪些風險對策風險導向內部控制體系構建美國COSO的內控框架和風險管理框架監(jiān)控信息和溝通控制活動風險評估控制環(huán)境B動 21監(jiān)督信息和溝通控制活動 風險評估 控制環(huán)境營營運運財務財報務報告告合合規(guī)規(guī)性性位AA業(yè)業(yè) 務務 單單 位B活活動21內控控制框架13企業(yè)風險管理框架風險管理與內控的關系財政部：企業(yè)內部控制國資委：中央

8、企業(yè)全面風險管理體系戰(zhàn)略目標報告目標合規(guī)目標經營目標減災目標收集風險信息組 信 織息文 化評估風險制定風險管理策略提出和實施風險管理解決方案風險管理的監(jiān)督與改進戰(zhàn)14略目標報告目標合規(guī)目標經營目標資產安全內部環(huán)境公司層面業(yè) 務 單元子 公 司風險評估控制活動信息與溝通內部監(jiān)督中國企業(yè)內部控制基本規(guī)范和中央企業(yè)全面風險管理指引風險管理與內控的關系25股東證券交 易所政府部門行業(yè)監(jiān)管 部門 國資委：中央企業(yè)全面風 險管理指引 治理結構 財政部：企業(yè)內部 控制基本規(guī)范 薩班斯法案 上海證券交易所上市 公司內部控制指引 深圳證券交易所上市 公司內部控制指引 保險公司風險管理指引（試行） 商業(yè)銀行操作風

9、險管理指引 風險管理與內控的關系內控圣經：COSO 201716Honesty，Truth Pursuing，Diligence , Devotion to Public Duty四、風險管理與內部控制風險管理與內控的關系風險地圖有哪些風險識別的方法針對風險應采用哪些風險對策風險導向內部控制體系構建美國COSO的內控框架和風險管理框架監(jiān)控信息和溝通控制活動風險評估控制環(huán)境B動 21監(jiān)督信息和溝通控制活動 風險評估 控制環(huán)境營營運運財務財報務報告告合合規(guī)規(guī)性性位AA業(yè)業(yè) 務務 單單 位B活活動21內控控制框架18企業(yè)風險管理框架風險管理與內控的關系財政部：企業(yè)內部控制國資委：中央企業(yè)全面風險管理

10、體系戰(zhàn)略目標報告目標合規(guī)目標經營目標減災目標收集風險信息組 信 織息文 化評估風險制定風險管理策略提出和實施風險管理解決方案風險管理的監(jiān)督與改進戰(zhàn)19略目標報告目標合規(guī)目標經營目標資產安全內部環(huán)境公司層面業(yè) 務 單元子 公 司風險評估控制活動信息與溝通內部監(jiān)督中國企業(yè)內部控制基本規(guī)范和中央企業(yè)全面風險管理指引風險管理與內控的關系25股東證券交 易所政府部門行業(yè)監(jiān)管 部門 國資委：中央企業(yè)全面風 險管理指引 治理結構 財政部：企業(yè)內部 控制基本規(guī)范 薩班斯法案 上海證券交易所上市 公司內部控制指引 深圳證券交易所上市 公司內部控制指引 保險公司風險管理指引（試行） 商業(yè)銀行操作風險管理指引 風險

11、管理與內控的關系31重要會計科目和披露事項認定?存在 與發(fā) 生完整 性 IDS Scheer AG21表達 與披 露權利 與義 務估價 與分 攤31相關業(yè)務流程確認?存在 與發(fā) 生完整 性表達 與披 露權利 與義 務估價 與分 攤32 IDS Scheer AG2233財務報表認定財務報表認定：通過識別重要會計科目和披露事 項中影響財務報告錯報的主要因素，從存在與發(fā) 生、完整性、估價與分攤、權利與義務、表達與 披露等五個方面，針對財務報告控制目標，對在 內部控制體系設計層面和執(zhí)行層面需要關注的重 要會計科目所做出的相關因素作出的確認。?存在 與發(fā) 生完整 性表達 與披 露權利 與義 務估價 與

12、分 攤33 IDS Scheer AG3334流程分析，識別風險?存在 與發(fā) 生完整 性 IDS Scheer AG34表達 與披 露權利 與義 務估價 與分 攤以業(yè)務流程為主線，根據確認的各流程的具 體目標，結合重要會計科目和披露事項相關 的財務報表認定，關注影響財務報告目標的 主要因素34影響程度具體描述極高公司將很有可能無法生存。帶有潛在的災難 能導致企業(yè)崩潰。高嚴重影響業(yè)務嚴重破壞公司服務客戶的能 力。對于關鍵性的事件要求付出加倍的努力 來解決。中對企業(yè)產生重要的影響和將影響客戶，嚴重 的事件要求附加的努力來解決。低僅影響企業(yè)內部的業(yè)務。所造成的后果能被 吸收，但是要求某種管理努力使問

13、題簡化。極低對企業(yè)內部的業(yè)務的無影響、后果能通過正 常的活動被吸收?？赡苄跃唧w描述幾乎肯定（95%）前六個月發(fā)生了幾次很有可能（5095）去年發(fā)生很少幾次可能（2550）去年發(fā)生一次很少（525）前三年發(fā)生一次不可能（5）近5年不可能發(fā)生，上次發(fā)生還 是在5年前甚至更遠風險識別風險分析風險應對目標制定25風險分析風險地圖風險偏好風險承受度風險預警線風險應對策略風險識別風險分析風險應對目標制定控制關閉停業(yè)性 能 可接受轉移分擔影響程度風險承受風險分擔風險降低可能性影響程度風險規(guī)避優(yōu)化流程 內部控制財產保險計提準備26動態(tài)預警關閉停產 資產出售業(yè)務外包套期保值風險應對風險應對信息系統(tǒng)總體控制系統(tǒng)控

14、制環(huán)境：總體環(huán)境、信息與溝通、風險評估、監(jiān)控等項目建設管理：開發(fā)方法論、項目立項審批、項目啟動階段、 項目需求分析、項目設計、系統(tǒng)開發(fā)實施、系 統(tǒng)測試、數據移植、系統(tǒng)上線、項目驗收、上 線后審閱、用戶培訓、項目文檔管理等變更管理：應用系統(tǒng)日常變更、系統(tǒng)環(huán)境日常變更、緊急 變更管理等系統(tǒng)日常運作：機房環(huán)境控制、系統(tǒng)日常運作監(jiān)控、批處理作 業(yè)調度管理、數據備份與恢復、問題管理等信息安全：信息安全組織、邏輯安全、物理安全、網絡安 全、計算機病毒防護、外部第三方信息安全管 理、信息安全事件響應等信息系統(tǒng)總體控制信息系統(tǒng)控制環(huán)境信項息最 信目變系終 息建更統(tǒng)用 安設管日戶 全管理常操 理 運 作作27最

15、終用戶操作：最終用戶計算機操作安全制度、電子表格管理 等信息系統(tǒng)總體控制所指的是內部控制中對信息系統(tǒng)相關部分的控制，保證由信息系統(tǒng)支持的 流程控制是可靠的、生成的數據和報告是可信的信息安全主要關注以下方面的內容信息安全物 理 安 全網 絡 安 全邏 輯 安 全信 息 安 全 管 理 組 織計算 機病 毒防 護第三 方安 全管 理信息 安全 事件 響應2843信息安全信息安全管理組織關注點控制措施實施證 據涉及崗位根據業(yè)務需求設置信息安 全管理機構，具有清楚的 角色和職責定義，并確保 職責分離在股份公司和地區(qū)公司設立信息安全管理負 責人，可以由信息技術部門內相關人員兼任明確信息安全管理負責人的職

16、責，并確保職 責分離，例如信息安全管理負責人不應兼任 信息技術日常事務執(zhí)行工作崗位職責 說明書或 相關會議 記錄各級信息技 術部門負責 人定期（每六個月）審核本單位信息系統(tǒng)總體 控制活動的職責分離狀況，填寫職責分離 檢查表，將不符情況報相關負責人職責分 離檢查表信息安全管 理負責人企業(yè)對員工進行信息安全 教育和培訓，以確認其具 有基本的信息安全意識各級信息技術部門對員工進行信息安全教育 和培訓，并對培訓結果進行書面記錄和歸檔培訓計劃、培訓紀錄信息安全管 理負責人員工入職時，要求其簽署 遵守企業(yè)的信息安全規(guī)定 的聲明員工簽署合同或保密協議時應包含員工遵守 企業(yè)信息安全規(guī)定聲明人事部門負責“聲明”

17、的統(tǒng)一歸檔員工遵守 企業(yè)信息 安全規(guī)定 聲明人事部負責 人信息安全物 理 安 全網 絡 安 全邏 輯 安 全信 息 安 全 管 理 組 織計 算 機 病 毒 防 護外 部 第 三 方 安 全 管 理信 息 安 全 事 件 響 應2944監(jiān)督目錄1 內部控制體系建設內容 1.1 概 述 1.2 持續(xù)監(jiān)督1.3 獨立評估1.4 缺陷報告2 內部控制體系評價規(guī)范及執(zhí)行文件2.1 內部控制體系評價概述2.2 評價范圍的確定.2.3 內部控制測試.2.4 缺陷評估2.5 評價報告2. 6 內部控制體系管理規(guī)范.2. 7 監(jiān)督涉及的制度索引.30控制活動分類 “自動”控制：由系統(tǒng)自動設置控制，為避免風險采

18、取的措 施。例如：超出信用額度，系統(tǒng)自動限制發(fā)出貨物及開出 發(fā)票。 “人工”控制：由被授權的人員執(zhí)行的控制。例如：財務經 理審核銀行余額調節(jié)表。應付賬會計核對發(fā)票，入庫單及 合同。 “預防性”控制：在風險發(fā)生之前，為避免風險采取的措施。 例如：制定政策、準備備查清單、合同在執(zhí)行前需要審批， 等為預防性控制； “發(fā)現性”控制：事后做的、為及時發(fā)現問題而采取的措施 是發(fā)現性控制。例如：核對財務系統(tǒng)和資產系統(tǒng)的余額是 否一致，審核記賬憑證是否準確、編制銀行存款余額調節(jié) 表等?？刂剖侄?1控制作用控制設計程序補充完善相關 管理制度記錄控制措施確定控制措施確定控制目標32 對業(yè)務流程進行 風險評估后，根

19、 據業(yè)務流程相關 風險，按照流程 步驟進一步確定 控制目標 控制目標指為防 范和規(guī)避風險， 控制活動所要達 到的具體目標。 一般包括完整性 目標（C）、準 確性目標（A）、 有效性目標（V）、接觸性 目標（R）等四 個方面。 在確定了控制目 標后，對照業(yè)務 流程步驟，分析 確定達到控制目 標的方法和途徑 并選擇相應的控 制方法，設計出 達到控制目標的 各項控制措施， 包括制定與控制 措施相關的政策 和程序、控制頻 率、控制方法（人工或自動）以及控制證據等。 設計和確認的各 項控制措施和關 鍵控制，按統(tǒng)一 規(guī)定的控制描述 標準和工具，相 關控制，編制完 成風險控制管理 文件，包括業(yè)務 流程圖、風

20、險控 制文檔（RCD） 和程序文件等內 容。 按照控制措施， 查找現有管理制 度差異，制定、 完善本單位、本 部門相關管理制 度。48控制目標完整性控制（C）：指生產經營和財務信息數據的采集、記錄和處理完整，無遺漏和重復。如：租金未及時確認，或重復確認當期費用就會影響完整性。把當期所有的合同信息都完整地、不重復地錄入合同管理系統(tǒng)。按照會計確認收入的原則，將當期所有的銷售收入記錄下來。保證合并報表的原始數據包括了所有需要合并的會計核算單位的數據。準確性控制（A）：指所有信息和數據計算、歸集和記錄操作等準確。如：保證賬務處理的金額是準確的。在采購業(yè)務中，合同上的價格、數量應該準確。銷售收入應當記入

21、正確的會計期間。發(fā)票內容與銷售交易內容或合同應當一致。有效性控制（V）：指所有的生產經營活動都經過適當的授權和批準，都是真實發(fā)生的，并按 規(guī)定保存有效的原始文件。如：付款經過適當級別的審批。記錄的銷售收入是真實的。費用支出與公司的業(yè)務相關，且符合公司的費用開支標準。接觸性控制（R）：指信息處理和實物資產的保護和安全控制。如：防止存貨和實物資產的偷竊和遺失。會計人員只能在授權的情況下，編制與自己分管業(yè)務相關的會計憑證。對企業(yè)投資實施計劃的保密，防止被不相關的人員了解。33控制活動分類（續(xù)）公司層面業(yè)務（流程）層面 信息系統(tǒng)總體控制公司層面控制控制環(huán)境范圍內的內部控制，包括 道德準則的建立與推行、

22、高層管理者 基調、檢舉揭發(fā)機制、權限和職責分 工、審計委員會、IT環(huán)境與組織以及 人力資源政策等；反舞弊程序與控制；風險評估流程、監(jiān)督；經營活動分析、審核；期末財務報告流程；突發(fā)事件應急處理等業(yè)務活動控制業(yè)務活動控制相關應用系統(tǒng)控制信息系統(tǒng)總體控制IT 基礎設施34數據庫操作系統(tǒng)53以企業(yè)內部控制基本規(guī)范為基 礎，融合了COSO企業(yè)風險管理框 架企業(yè)內部控制體系框架建立決策、運營、監(jiān)督和信息與溝通 于一體的內部控制體系，覆蓋生產經 營的全過程和主要經營管理崗位 滿足國內外相關 法律法規(guī)的要求 推動企業(yè)規(guī)范化 管理 順利通過內部控 制審計 符合風險管理的 發(fā)展趨勢設計目標：內容：系統(tǒng)闡述內控體系

23、建設的方 法和標準，全面涵蓋了以下 五要素： 內部環(huán)境 風險評估 控制活動 信息與溝通 內部監(jiān)督執(zhí)行：經項目建設委員會審議通過后發(fā)布試行53風險評估與內控設計導向內控體系構建基本流程2543現狀描述風險分析、 評估、確認內控體系試行、完善內控體系內部 測試及審計1項目啟動6維護及改進成立項目 建設委員 會、項目 工作組前期培訓流程目錄流程圖、 RCD文檔、 程序文件風險數據 庫風險評估、 確認關鍵控制 管理文件內控體系 框架內控管理 手冊內控體系正 式運行管理層測試外部審計長期運行，持續(xù)維護 改進，提 升公司管 理水平有效的工作推進方式統(tǒng)一設計、集中培訓、試點先行、全面推廣分階段制定詳細工作計劃，并隨時根據實際進行調整36風險導向內控體系構建基本流程組織問題風控 問題流程 問題企業(yè) 調研內部控制設計主要工作步驟1對企業(yè)內部控制進行全面調研和審計37哪些業(yè)務單元比要 求落后？誰對什么負責？不同人