1、企业内部控制与风险管理审计,北京工商大学教授 商学院院长 博士生导师杨有红 博士,内部控制与风险管理有何异同?,一 企业内部控制基本规范与 中央企业全面风险管理指引比较,二 美国内部控制框架与风险管理框架比较,第一部分 企业内部控制系统,一、内部控制的定义,内部控制是由董事会、监事会、经理层和全体员工实施的、旨在为实现以下控制目标的过程:经营管理合法合规资产安全财务报告及相关信息真实完整提高经营的效率和效果促进企业实现发展战略 -企业内部控制基本规范第3条,1、内部控制是一个过程,而不是目的,2、这一过程贯穿企业管理的各个层面、各个单元,4、这一过程为目标的实现提供合理保证,3、力求实现一个或
2、多个不同类型但相互交叉的目标,如何理解内部控制是一个过程?它为目标的实现提供合理保证? -通过过程把握尽量保证结果正确,案例:#交易性股票投资的控制过程,战略定位:中等城市和大城市二级机场间的短程航运,案例:完美的结合,二、企业实施内控中存在的问题,1、将内控作为一项制度来实施,忽视内控环境的建设,2、内控构建中模仿的成份较多,忽视创新和针对性,3、目标、公司层内控、业务层内控拟合程度不高,4、企业内控设计的精细化程度不够执行力度较弱,6、内控维护和提升手段不到位,5、重业务层内控建设、轻公司层内控机制构建,三 按框架要求建立内控体系,(一) 内部环境,1、组织机构 具备条件的企业,应设内控与
3、风险管理职能部门、董事会可下设内控与风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任;董事长兼任总经理的,召集人应由外部董事或独立董事担任。该委员会成员中需有熟悉企业重要管理及业务流程的董事,以及具备风险管理监管知识或经验、具有一定法律知识的董事。,关注点:董事会的独立性董事的知识与经验专业委员会的设置及权力配置董事会议事规则董事会及下属委员会掌握重大信息、敏感信息的充分性与及时性董事会及下属委员会对重大问题所采取的行动,2、风险管理理念,范例:牢记受托责任风险管理是强制性的而非随意性的合理承担风险决策之前考虑所有形式的风险以积极的态度执行风险管理的决策与措施,3、诚信与道德价值观
4、,范例:做法律和道德都允许做的事情以最恰当的方式通过“规则盲区”以合法和合理授权的方式使用公司和客户的资源提供的产品和服务不低于我们的承诺接收和支付贿赂是我们的耻辱以尊敬、公正、礼貌对待同事和有业务往来的人支持慈善、教育、人权和社区服务活动,内部环境评估-诚信与道德价值观,1、对违德行为的惩戒措施十分薄弱; 2、年度预算指标过高且在奖金挂钩太紧密,行为准则和道德标准:守则是否全面可操作;是否定期确认员工对守则的了解;若不存在守则,企业文化是否强调诚信与道德 高层管理的基调以及通过语言和行为产生的示范效果 在较高道德标准下开展业务,如针对应工作差错产生的供应商多给货、采购商多付款等事项 管理层对
5、违背道德和规定的事项的处理:是否对违反守则的行为做出反应;惩戒措施是否在员工中广泛沟通;员工是否认识到违背行为准则将承担的后果 管理层对干预或凌驾既定控制的态度 不切实际业绩目标的压力:是否存在极端的刺激或诱惑致使产生不必要和不公平地考验人们对道德价值观的坚持;薪酬和晋升是否与短期业绩目标结合太紧;是否存在降低诱惑可能性的控制,有明确的员工守则,管理层以身作则,今后应加强对违德行为的惩戒,并改善预算系统与激励方式,4、胜任能力,5、权务与职责分配,6、人力资源政策,企业层面目标,评估风险可能性,评估需要采取的行动,(二)风险评估,目标、事项识别、风险评估与应对的关系,风 险 应 对措施,(三)
6、控制活动,控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。,*银行住房按揭贷款目标、风险、应对和控制活动,1. 职务分工:主要解决不相容职务分离 授权批准职务与执行业务职务相分离; 执行业务职务与审核监督职务相分离;,执行业务职务与会计记录相分离; 财产保管职务与会计记录相分离; 执行业务职务与财产保管职务相分离。,党委在公司治理机制中的地位和作用?,党管干部与董事会选择经营管理者的关系?,党委监督保障与监事会的关系?,党委与董事会的关系?,某单位原出纳员周某三次挪用、贪污公款达211万元,被法院以挪用公款罪和贪污罪两罪并罚判处其有期徒刑20年,但200万元的资金却难以收回。15年前
7、,周到该单位财务科任出纳,15年的工作经历使周对该单位的财务状况了如指掌,其中的漏洞也心中有数。周说:“我可以决定提取现金的数量,支票也由我处理,可随时加盖支票印鉴。在每月同会计对账时,我同他们只对总额,而不进行明细核对。另外,我挪用公款,银行账上有反映,但我们的银行对账单有我保管,单位也不易发觉。”,2. 授权批准控制 授权批准的范围 授权批准的层次 授权批准的责任 授权批准的程序,湖北证监局对*股份有限公司发出的限期整改通知书(节选): 公司章程第143 条第二款第3 点关于董事会决策权限的规定:“交易的成交金额占公司最近一期经审计净资产的10以上且绝对金额超过1000 万元至50以下且绝
8、对金额不超过5000 万元之间的重大交易事项”。,按照公司2007 年年报披露的净资产16.9 亿元。,上述规定相互冲突,没有任何交易事项符合上述标准,该条款的约束条件应根据公司现有规模重新合理设置。,B股份有限公司的公司章程第一百一十条、对外投资管理制度第六条均规定:交易涉及资产总额占上市公司最近一期经审计总资产5%以上、绝对金额超过1000万元等由董事会批准。 董事会议事规则第四条规定:交易涉及资产总额占上市公司最近一期经审计净资产10%以上、或绝对金额超过1000万元由董事会批准。,3.文件记录控制,建立企业组织机构职能图和授权审批权限一览表 建立全员岗位说明书 业务程序手册 会计流程与
9、会计记录,4 全面预算控制,预算体系的建立,包括预算项目、标准和程序; 预算的编制和审定; 预算指标的下达及相关责任人或部门的落实; 预算执行的授权; 预算执行过程的监控; 预算差异的分析与调整; 预算业绩的考核。,限制接近 定期盘点 记录保护 财产保险 财产记录监控,6 . 职工素质控制,建立严格招聘程序,保证应聘人员符合招聘要求;,5.实物保全控制,制定员工工作规范,用以引导考核员工行为; 定期对员工进行培训,帮助其提高业务素质,更好完成规定的任务; 加强考核和奖惩力度,应定期对职工业绩进行考核,奖惩分明; 对重要岗位员工(如销售、采购、出纳)应建立职业信用保险机制。 工作岗位轮换。,7.
10、营运分析控制,资产负债比率,资本性支出与收益性支出的规模与结构,投资回报分析与投资预算,资金在虚拟经济与实体经济之间的流动,成本费用控制,7. 信息系统控制 一般控制应用控制 8. 内部审计控制(1)独立性(2)权威性,9 声誉风险控制,声誉与现实的差距,不断变化的看法和期望,内部协调不办,客观评价声誉和现实分析公司声誉与实际表现的差距,采取相应措施,监控期望的变化,并认清其影响认识到利益相关者期望的变化会影响公司的声誉,尽管看来不尽合理,明确聚焦于声誉管理认识到这是一个不可忽视的风险,协调各部门进行主动管理,并任命专门负责人,因素,控制方法,(四)信息与沟通,2 内部沟通,1 外部沟通,某软
11、件公司研发部做出了软件升级的计划,该计划的目标是: (1)运用可拓展商业报告语言(XBRL,Extensible Business Reporting Language)开发完全符合会计准则的低成本的数据快速导入和转换软件; (2)运用色彩、图形和图表显示财务数据和运营数据的可视化软件。,营销部马上进行了声势浩大的广告宣传活动,将公司逼入两难的进地: (1)要么将未达到升级标准的软件仓促推入市场; (2)要么无期限地推迟达到升级标准软件的上市时间。 结果公司声誉大受影响。,(五)监督,1 日常经营中的相关监督,2 企业内部监督机构的监督,3 内部控制自我评价,4 内部控制审计,案例:,质检部:
12、提供该设备生产 产品等级品率和废品率信息,售后服务部:产品返 修率和保修支出的信息,资产管理部:同类设备市 场价格及重置成本的信息,第二部分 内部控制评价与审计,一、内部控制(自我)评价的概念,内部控制评价是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。,二、评价目标的确定,单个或整体控制目标,企业内部控制评价指引第四条规定:企业结合实际情况,对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。,四、内部控制有效性的标准,重要缺陷:是指一个或多个控制缺陷的组合,其严重
13、程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标的情形。,一般缺陷:是指除重大缺陷、重要缺陷之外的其他控制缺陷。,要使内部控制评价指引和审计指引在实践中产生预期的效果,必须解决好两个关键问题,内部控制评价和审计的核心问题是什么?,内部控制缺陷与局限性是什么关系?,-缺陷认定和严重程度评估,四、内控评价与审计应解决的两个问题,五、内控评价组织体系,六、评价程序,设定评价目标,建立评价机构,制定评价方案,实施现场测试,认定控制缺陷,汇总评价结果,编制评价报告,(一)内部控制缺陷及认定基础,(二)内部控制缺陷和内部控制局限性的关系,目标导向:看缺点或不足是否阻碍其为控制目标的实现提供合理保
14、证,两者共性: (1)两者都以目标为判断的准绳; (2)都产生于内部控制设计和运行两个环节; (3)内控失效既可能是局限性所致,也是内部控制最严重的运行缺陷。,两者区别: (1)内控缺陷是内控设计者在设计过程中未意识到缺点,以及内部控制执行过程中不按设计意图运行而产生运行结果偏差的可能;内控局限性则是设计者在设计过程中事先预留的风险敞口,以及运行过程中按照设计意图运行也无法实现控制目标的可能; (2)由于内控存在着局限性,内控只能为控制目标的实现提供合理保证,而不是绝对保证;内部控制缺陷的存在使得内部控制过程无法为控制目标的实现提供合理保证; (3)内部控制存在着因合谋和越权而失效的可能,这表
15、现为内部控制的局限性,但某一控制过程存着合谋或越权的迹象,则表现为内部控制的缺陷。,到底基于几个目标进行评价?,取决于属法规要求,还是企业自身管理要求?,(三)内部控制缺陷的识别与严重性评估,1、缺陷识别,2、缺陷严重程度评估,(1)测试识别:采用控制过程技术分析、符合性测试、实质性测试等手段识别内部控制的设计缺陷和运行缺陷,(2)迹象识别:通过所发现的已背离内部控制目标的迹象识别内部控制的设计缺陷和运行缺陷,(1)以偏离目标的可能性和偏离目标的程度作为衡量缺陷严重性的标准,(2)充分考虑缺陷组合和替代性控制的影响,(四)内部控制缺陷认定、应对,(五)内部控制缺陷的对外报告,何种影响程度的内部
16、控制缺陷应该对外揭露?-重大缺陷和重要缺陷,如何披露内部控制缺陷? (1)内部控制缺陷的认定标准; (2)缺陷对外披露的标准; (3)按认定标准和披露标准确定的应对外披露的内部控制缺陷; (4)采取的缺陷整改措施; (5)采取整改措施后的剩余风险。,(五)内部控制评价报告,(一)董事会对内部控制报告真实性的声明 (二)内部控制评价工作的总体情况 (三)内部控制评价的依据 (四)内部控制评价的范围 (五)内部控制评价的程序和方法 (六)内部控制缺陷及其认定情况 (七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施 (八)内部控制有效性的结论,沪市公司06年和07年随年报披露内部控制自我评价情况
17、统计,(六)有关内控评价数据分析,沪市公司对07年年报做出会计差错更正的公司,注1:第一种分类以是否披露自我评估报告作为标准:披露自我评估报告公司中进行会计差错更正公司数15/披露自我评估报告公司数144=10.4%;未披露自我评估报告公司中进行会计差错更正公司数150/未披露自我评估报告公司数718=20.9%。 注2:第二种分类以是否进行会计差错更正作为标准:披露自我评估报告公司中进行会计差错更正公司数15/进行会计差错更正公司数165=91%;未披露自我评估报告公司中进行会计差错更正公司数150/进行会计差错更正公司数165=909%。,自我评估与审计意见的关系,注1:第一种分类以是否披
18、露自我评估报告作为标准:披露自我评估报告公司中被出具非标意见公司数量4/披露自我评估报告公司数144=2.78%;未披露自我评估报告公司中被出具非标意见公司数量62/未披露自我评估报告公司数718=8.64%。 注2:第二种分类则以是否被出具非标审计意见作为标准:披露自我评估报告公司中被出具非标意见公司数量4/被出具非标意见公司数66=6.1%;未披露自我评估报告公司中被出具非标意见公司数量62/被出具非标意见公司数66=939%。,自我评估与受证监会处罚的关系,注1:第一种分类以是否披露自我评估报告作为标准,披露自我评估报告公司中受证监会处罚的公司数1/披露自我评估报告公司数144=0.69
19、%;未披露自我评估报告公司中受证监会处罚的公司数37/未披露自我评估报告公司数718=5.15%。 注2:第二种分类则以是否受证监会处罚作为标准:披露自我评估报告公司中受证监会处罚的公司数1/受证监会处罚公司数38=26%;未披露自我评估报告公司中受证监会处罚的公司数37/受证监会处罚公司数38=974%。,七、企业内部控制审计,1、审计财务报告内部控制的有效性,并对非财务报告内部控制有效性发表意见 注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。,2、注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。,3、注册会计师应当对发表的审计意见独立承担责任,其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。,有关评价与审计的几点建议,1评价目标的选择应强调强制性与鼓励性相统一,3细化有效性标准,提高标准的可操作性,4将经济性纳入内审评价标准,强调有效性与经济性的统一,5理顺评价中的组织关系:审计委员会领导、董秘办负责协调、审计部具体实施,2内控审计应锁定在强制性目标,谢谢各位,
