全球背景下

企業內部控制與風險管理

全球背景下

企業內部控制與風險管理1

講座大綱

CH1企業內部控制的新特點CH2企業內部控制五大目標CH3企業內部控制五大要素CH4企業各管理層內控職責CH5內部控制制度建立CH6企業內部控制設計模板

講座大綱

2

美國汽車三大巨頭乞求救援

美國當地時間2008年12月10日晚，美國眾議院投票通過了向美國汽車業提供140億美元救援貸款的議案，但在通過參議院批準之前，此項貸款是否能順利發放到車企手中仍是未知數。美國當地時間2008年12月13日11日晚,由于美國汽車業工會拒絕接受共和黨議員提出的削減工資要求,美國國會參議院否決了總額為140億美元的汽車業救援方案。

美國汽車三大巨頭乞求救援

美國當地時間2003美國金融危機——AIG失敗同樣是經營失敗，AIG的失敗與1995年巴林銀行倒閉事件有什么不同呢？當年巴林銀行倒閉主要由“內部控制層面”的問題所致，28歲的期貨期權交易部經理李森違反公司授權規定，“偷偷摸摸”地進行指數期貨合約交易，從而產生巨額損失并導致巴林銀行被荷蘭國際集團接管。而此次AIG百年帝國的失敗卻出在“戰略經營層面”，因為AIG成立專門部門AIGFinancialProductsCorp（AIGFP）并且長期向次貸市場大量提供CDS產品并非突發事件，而應該是AIG高層在“戰略經營層面”作出的決定，并且此種衍生金融業務也不違背當前美國保險業監管的規定，因此是一種“光明正大”的行為。但是在這種“光明正大”的失敗面前，到底誰應該為此承擔責任呢？美國金融危機——AIG失敗4亂世用重典——《薩班斯·奧克斯利法案》

隨著美國安然公司、環球電信公司會計造假丑聞的披露，暴露出美國現行公司體制中存在著弊端。為整頓上市公司秩序、維護投資者信心，美國民主黨參議員薩班斯（Sar-banes）和共和黨眾議員奧克斯利（Oxley）聯合提出了《薩班斯—奧克斯利法案》，該法于2002年7月美國總統布什簽署獲得通過。《薩班斯—奧克斯利法案》是繼美國1933年《證券法》、1934年《證券交易法》以來又一部具有里程碑意義的法律，其效力涵蓋了注冊于美國證監會（SEC）之下的約14，000家公司，其中包括了大量的非美國公司。該法案的嚴肅性在于:公司治理被正式納入聯邦法律管轄范圍，越來越多的財會欺詐者――無論他是CEO還是CFO都將被投入監獄。安然和世通之后，美國大公司都在丑聞深淵邊如履薄冰，抓壞蛋和將前車之鑒銘刻于法律條文自然成為這一階段的主題。《薩班斯—奧克斯利法案》強調了公司內控的重要性，從管理者、內部審計及外部審計等幾個層面對公司內控作了具體規定，并設定了問責機制和相應的懲罰措施。成為繼20世紀30年代美國經濟大蕭條以來，政府制定的涉及范圍最廣、處罰措施最嚴厲的公司法律。亂世用重典——《薩班斯·奧克斯利法案》

5《薩班斯—奧克斯利法案》1.上市公司會計監管委員會2.審計師的獨立性3.公司的職責4.加強財務信息的披露5.分析員的利益沖突6.證券監管委員會的資源與權限7.研究和報告8.公司和刑事舞弊的責任9.加強對白領刑事犯罪的懲罰10.公司稅務申報表11.公司的舞弊行為及其相應的責任《薩班斯—奧克斯利法案》6《薩班斯—奧克斯利法案》實質意義

上市公司董事及高層管理人員的責任的加強1.明確首席執行官和首席財務官對財務報表的書證責任：新法案要求上市公司的首席執行官（CEO）和首席財務官（CFO）對公司向美國證券交易委員會（以下簡稱SEC）提交的定期報表的真實準確性提供書面保證。第302條和第906條分別在民事和刑事方面直接規定了對上市公司的CEO和CFO的特別書證要求。2.為了降低公司的經營風險，新法案禁止公司向董事和高層管理人員提供私人貸款。3.董事和高層管理人員返還因公司虛假報表取得的激勵性報酬和買賣股票收益。《薩班斯—奧克斯利法案》實質意義

7第404條:管理層對公司內部控制的評估

要求公司年報中包括一份“內部控制報告”，該報告應：1.明確指出公司管理層對建立和保持一套完整的與財務報告相關的內部控制系統和程序所負有的責任；2.包含管理層在財務年度期末對公司財務報告相關內部控制體系及程序的有效性的評估。3.受托的上市公司審計師應按照上市公司會計監管委員會對審核約定所發布或采用的準則4.就管理層關于內部控制的評估進行鑒證并提交報告。此類鑒證約定并不構成單獨的約定主體；5.SEC在提交的法案相關的報告中這樣解釋此條的立法目的：“委員會不希望審計師（對內部控制報告的）評估形成單獨一份約定或者因此而導致審計費用的增加。”6.指導SEC進一步要求上市公司披露其是否為高級財務官員制定職業操守規范以及該規范的內容；7.指導SEC修改其以8-K表格進行即時披露的相關規則，從而要求上市公司對任何職業操守規范的修改或廢止事項立即進行披露。第404條:管理層對公司內部控制的評估

8內部控制實施的高昂代價

據財務經理國際(FinancialExecutivesInternational,FEI)針對遵循SOX法案404節的實施成本對其公眾成員公司進行了調查：2004年7月調查了平均收入超過25億美元的224個公眾公司，計算SOX法案404節遵循成本的估計數額。結果顯示，遵循成本總額估計為314萬美元，被調查的公司預計，除年度審計費用外，要向審計師支付823200美元的內部控制鑒證費用.2005年3月，FEI調查了217個平均收入超過50億美元的公眾公司，來計量SOX法案404節的遵循成本。它們的總遵循成本平均為436萬，其中內部成本134萬美元，外部成本172萬，審計費用130萬。審計費用中還沒有包括公司的財務報表審計費，比平均增長57%。內部控制實施的高昂代價

9中國企業內部控制規范制定原則內控標準原則：立足國情，實行創新突出重點，解決問題降低成本，穩步推進

內控標準定位：以財務報告真實可靠為主、兼顧其他控制目標的內部控制目標體系；初步構建了以控制規范為基礎、以評價規范為配套的內部控制標準體系；著手探索以政府部門為引導、廣大企業主動參與的內部控制實施體系。中國企業內部控制規范制定原則10

財政部、證監會、審計署、銀監會、保監會關于印發《企業內部控制基本規范》的通知(財會[2008]7號)

為了加強和規范企業內部控制，提高企業經營管理水平和風險防范能力，促進企業可持續發展，維護社會主義市場經濟秩序和社會公眾利益，根據國家有關法律法規，財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制基本規范》，現予印發，自2009年7月1日起在上市公司范圍內施行，鼓勵非上市的大中型企業執行。執行本規范的上市公司，應當對本公司內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計。

二00八年五月二十二日

11企業內部控制五大目標企業內部控制定義內部控制是由企業董事會/監事會、管理層和全體員工共同實施的、旨在合理保證企業戰略、經營的效率和效果、財務報告及管理信息的真實可靠和完整、資產的安全完整、遵循國家法律法規和有關監管要求的一系列控制活動。企業內部控制五大目標企業內部控制定義12

企業內部控制目標

1.戰略目標2.營運目標3.報告目標4.資產目標5.合規目標

企業內部控制目標

1.戰略目標13案例：大唐電信會計信息迷霧

2006年10月28日，發布業績預增公告，稱經過公司財務部門初步測算，預計2006年全年實現盈利（上年同期虧損6.96億元）。10月27日（周五），大唐電信收盤于10.88元，10月30日（周一）收盤于10.91元。（600198.SH）的信任感被傷害了，一位全倉購入大唐電信的投資者遭遇了4月5日跌停板后向《第一財經日報》表示：“我被愚弄了，大唐電信業績不僅發生轉變，而且要被*ST了。”大唐電信2007年4月5日跌停的直接原因，是其當天發布了2006年業績預虧公告。而在五個多月前，大唐電信預計2006年將扭虧為盈。在這五個多月時間里，大唐電信股價上漲了80.97%，最高接近翻番。案例：大唐電信會計信息迷霧14內部控制5要素企業目標經營效率會計報告可信性遵循法律法規控制過程內部控制控制環境風險評估信息與交流控制行為監督實施者董事會經理層其他員工內部控制5要素企業目標經營效率會計報告可信性遵循法律法15內部控制如何降低風險？

暴露的金額發生的可能性風險的大小內部控制降低內部控制如何降低風險？暴露的金額發生的風險的大16成功內部控制的核心理念有效的內部控制風險與經營回報的良好平衡成功內部控制的核心理念有效的風險與經營回報的良好平衡17控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單位2單位3單位4傳達管理理念-責任-義務

-職權

-人力資源

-員工發展設定管理基調-誠信-道德觀念-能力要素1:控制環境控制要素控制類別

控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單18內部環境公司治理環境公司組織環境人事環境激勵環境文化道德環境內部環境公司治理環境191.公司治理環境負責內部控制的建立健全和有效實施負責組織領導內部控制日常運行結合內部審計監督，對內部控制有效性進行監督檢查股東會董事會經理層監事會對董事會建立與實施內部控制進行監督職能部門執行線監督線負責審查內部控制，監督內部控制的有效實施和自我評價情況，協調內部控制審計審計委員會內審機構崗位人員監督崗位1.公司治理環境負責內部控制的建立健全和有效實施負責組織202.公司組織環境（1）．組織設置的原則權責對等統一指揮精干高效目標原則分工協作市場適應2.公司組織環境（1）．組織設置的原則213.人事環境崗位設置作業配置崗位關系崗位資源配置崗位任職資格（崗位人員選擇）特別崗位人員特殊措施工作輪換強制休假特別擔保責任保險3.人事環境崗位設置224.激勵環境1．激勵的基礎優——————獎業績評價劣——————懲2．激勵的方法股權、股票期權、精神、物質

“兩手都要抓，兩手都要硬”

4.激勵環境1．激勵的基礎235.文化道德環境軟管理隱形控制制度真空的“填充物”5.文化道德環境軟管理24陳同海雙規思考2007年6月，經中共中央批準，中共中央紀委、監察部對中國石油化工集團公司原總經理、黨組書記陳同海嚴重違紀問題進行立案檢查。陳同海在擔任中國石油化工集團公司副總經理、總經理和兼任中國石油化工集團股份有限公司副董事長、董事長期間，利用職務便利，為他人謀取利益，收受錢款數額巨大；利用職權為情婦謀取巨額不正當利益；生活腐化。陳老虎在集團內的霸道是出了名的。每日揮霍4萬元，一個月120萬，一年就是1440萬元，當紀委警告他要收斂些時，他大言不慚地說，我一年上交稅款200億，這點算什么？陳同海雙規思考25控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單位2單位3單位4管理/控制變化確定并分析對實現企業目標有影響的風險要素2:風險評估控制要素控制類別控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單261.風險識別（1）．識別內部風險應關注的因素★董事、監事、經理及其他高級管理人員的職業操守、員工專業勝任能力等人力資源因素。★組織機構、經營方式、資產管理、業務流程等管理因素。★研究開發、技術投入、信息技術運用等自主創新因素。★財務狀況、經營成果、現金流量等財務因素。★營運安全、員工健康、環境保護等安全環保因素。★其他有關內部風險因素。1.風險識別（1）．識別內部風險應關注的因素27

（2）．識別外部風險應關注的因素★經濟形勢、產業政策、融資環境、市場競爭、資源供給等經濟因素。★法律法規、監管要求等法律因素。★安全穩定、文化傳統、社會信用、教育水平、消費者行為等社會因素。★技術進步、工藝改進等科學技術因素。★自然災害、環境狀況等自然環境因素。★其他有關外部風險因素。（2）．識別外部風險應關注的因素282.風險分析評價風險的重要程度評估風險發生的概率考慮應當如何管理風險，即評估需要采取的措施。風險規避風險降低風險分擔風險承受2.風險分析評價風險的重要程度29標題COSO2企業風險管理構成內部環境風險管理哲學-風險文化-董事會-誠信與道德-能力承諾-管理層哲學與經營風格-組織結構-責權劃分-人力資源政策與實務-環境差異信息與溝通信息-戰略性與整體系統-溝通風險評估固有風險、剩余風險-可能性和影響-定性與定量,工作方法、技巧-相關性風險應對確認風險應對-評價可能風險應對-選擇應對-組合視角控制活動結合風險應對-控制行動類型-一般控制-應用控制-子公司具體情況監控持續-分別評價-報告不足事項識別事件-影響戰略與目標之因素-工作方法和技巧-相互依存事件-事件分類-風險與機遇目標設定戰略目標-相關目標-選定目標-風險偏好-風險容忍度

標題COSO2企業風險管理構成內部環境風險管理哲學30評估關鍵的風險風險是您實現業務目標的現存的或潛在的障礙

什么因素可能會妨礙本部門實現其關鍵的業務目標?

要成功,需要完成一些必要的工作和程序,而什么因素會阻礙這些工作和程序的完成和實現呢?

發生率:這些風險中,什么風險是最可能發生的?

影響:哪些風險將對本部門實現其預定目標的能力產生最重大的影響?有什么有效的控制機制可以減少這些風險及其影響?評估關鍵的風險風險是您實現業務目標的現存的或潛在的障礙31企業風險管理架構董事會審計委員會風險管理委員會風險管理部門內部稽核

運營管理根據中國證監會要求《證券公司治理準則（試行）》設計的企業風險管理架構企業風險管理架構董事會審計委員會風險管理委員會風險管理部門內32董事會——風險管理委員會風險管理委員會應包括獨立董事，且至少有三名成員。該委員會必須要高度獨立，以監控運營單位的風險管理。其職責有：協助管理層決定公司的風險取向

負責建立并維護有效的風險管理負責監控風險信息在公司縱向或橫向報告的過程，并對有關管理人員提供必要的協助制定風險管理的政策和策略提供適當的培訓，在公司內部建立起一種具有風險意識的企業文化為公司的業務部門建立內部風險政策和結構設計風險管理的流程，并對其進行審查協調各種對組織內部風險管理問題提供建議的職能行為制定風險應對程序，包括或有事項、業務持續方案為董事會和利益相關者編制風險報告董事會——風險管理委員會風險管理委員會應包括獨立董事，且至少33風險評值最高51722232425高41218192021中3613141516低22891011最低11345 7影響0.10.250.50.750.9可能性基本不可能不太可能可能很可能基本會發生風險評值最高51722232425高41218192021中34風險1風險5風險4風險2風險3風險8風險7風險6風險評估風險1風險5風險4風險2風險3風險8風險7風險35風險應對策略可能性高減少避免低接受轉移低高影響風險應對策略低高影響36實際的風險應對戰略舉例減少質量控制，管理與標準財務控制標準操作程序檢查新員工條件研發與技術發展應急計劃結構培訓與其他程序監督避免決定退出某一地區當檢查發現客戶無信用時，決定不再與該客戶進行交易決定不出售明知是一種不道德的產品接受成本效益原則，如針對風險制定控制與其他回應決定在一個面臨綁架高風險的國家運營——你無法控制接受超過￡1,000,000的保險費政策為提高銷售數量，接受高信用風險客戶轉移采取保險政策定期維護外包給設備管理公司與供應商簽訂的合同應明確不能滿足約定條件時，可以獲得財務補償與其他公司建立合資公司，與其共同開發商業機會實際的風險應對戰略舉例減少避免接受轉移37風險應對方法1.風險回避―企業對走出整體風險承受能力或者具體業務層次上的可接受風險水平的風險，應當實行風險回避。2.風險承擔―企業對在整體風險承受能力和具體業務層次上的可接受風險水平之內的風險，在權衡成本效益之后無意采取進一步控制措施的，可以實行風險承擔。3.風險降低―企業對在整體風險承受能力和具體業務層次上的可接受風險水平之內的風險，在權衡成本效益之后愿意單獨采取進一步的控制措施以降低風險、提高收益或者減輕損失的，可以實行風險降低。4.風險分擔―企業對在整體風險承受能力和具體業務層次上的可接受風險水平之內的風險，在權衡成本效益之后愿意借助他們力量，采取包括業務分包、購買保險等進一步的控制措施以降低風險、提高收益或者減輕損失的，可以實行風險分擔。風險應對方法1.風險回避38平衡風險和內部控制管理審計的范圍企業風險管理預防與管理層共同參與重視交易遵守職能重視過程協助管理層自我評價內部審計職能管理層的期望偵察加強咨詢平衡風險和內部控制管理審計的范圍企業風險管理預防與管理層共同39舉例:企業目標,風險和內部控制的關系目標1風險控制

(A)短期目標:

2002年度實現利潤增長10%:-銷售收入增長20%-經營成本降低15%

(B)長期目標:

在未來五年內實現利潤平均每年凈增長10%

-由于不可靠的和不切實際的銷售預測,在進出口業務中造成嚴重囤貨和存貨作廢.

-由于履行不平等的或不利的合同條款而造成嚴重損失(如賠償損失,名譽損害)

-由于未被授權的/給予過多的折扣造成毛利降低或直接虧損

-嚴重的壞帳損失

-有效的編制和控制經營計劃和財務預算

-采取措施增強銷售預測的準確性并且只承擔經過衡量并能接受的風險,比如:獲得可靠的市場信息,將實際情況與預算進行比較等

-在主要的經營領域建立制度和程序(須涵蓋集團總部的制度和程序):銷售,采購,財會,投資等

舉例:企業目標,風險和內部控制的關系目標1風險控制

(40舉例:企業目標,風險和內部控制的關系目標２風險控制

有效的資金管理

－產生人民幣ＸＸＸ萬－由于以下原因造成現金流預算的失效并造成資金危機,會導致例如供應商停止供貨造成生產延誤而不能執行合同的信譽損失：-與供應商和客戶簽訂不平等或不利的合同-過長的付款條款-經常性的ＣＯＤ／沒有從供應商獲得賒銷－壞帳(不當的信用控制和應收貨款管理）－錯誤的投資決策－不必要的資金支出源于未經授權的／多余的采購，不適當的付款和舞弊行為，付款錯誤等－投機行為，如高風險的投資

－資金預算的計劃和控制－按月份的資金預算報告（將上月的實際發生和預算相比較制定下月的預算）－信用控制制度和程序,包括信用審閱－收款的制度和程序－合同審閱過程－對投資項目進行控制－采購和付款控制－防止投機行為的措施舉例:企業目標,風險和內部控制的關系目標２風險控制

－41

目標３風險控制

建立一個準確的，可靠的和及時的財務系統

－由于不準確，不可靠，不及時的財務／會計和管理報告或信息而造成錯誤的管理決策,以及在年末才反應出來的令人不悅的經營結果

－由于以下因素造成的不準確，不可靠和不及時的財務和管理報告：

-不合格的，能力不夠的財務經理和財務人員-有弊病的財務系統：不完整或不相容，處理大量核算和交易但是財務系統沒有實行電算化

－資源的超負荷使用－嚴格的財務和會計制度和程序－財務部門的領導能力－使用適當的人員－教育和培訓

－年終結帳前的檢查：檢查帳目是否放映了實際情況

－各種控制活動：核實查證，授權，審批，對帳(銀行和供應商），責任分離，資產的安全保護

－固定資產現場視察－年度庫存盤點／周期性庫存盤點－現金庫存抽查－集團所有公司內部之間的對帳－專業的稅收和法律檢查－加強內部審計部門的職能舉例:企業目標,風險和內部控制的關系

目標３風險控制

－嚴格的財務和會計制度和程序舉例:企42企業目標風險內部控制評價1.

2.

3.

4.

5.

小組討論:請將前面討論過的企業目標,風險,內部控制的關系綜合起來,并提出小組的見解:

討論:企業目標,風險和內部控制的關系企業目標風險內部控制評價1.

2.

3.

4.

43企業目標,風險和內部控制的關系是什么?確定目標評估風險行動計劃/責任分配分析控制目標,風險和內部控制企業目標,風險和內部控制的關系是什么?確定目標評估風險行動44控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單位2單位3單位4管理層發展方針貫徹的程序直接的職能或活動管理物質的控制-職權的分離要素3:控制活動控制要素控制類別實現目標的管理機制控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單45控制活動不相容職務的分離授權批準會計系統控制預算控制財產安全控制電子信息技術控制運營分析（風險評估抑或控制活動）績效考評控制活動不相容職務的分離461.不相容職務的分離授權監督執行記錄保管1.不相容職務的分離授權執行記錄保管472.授權批準一般授權特別授權預警機制2.授權批準一般授權483.會計系統控制會計一方面可以從流程控制的角度發揮控制作用，另一方面，可以從信息控制的角度來發揮控制作用。建立崗位責任制可靠的憑證控制完整的簿記控制嚴格的核對控制規范的賬務處理流程適當的會計政策和程序3.會計系統控制會計一方面可以從流程控494.預算控制1．預算編制模式“自上而下”式的編制模式“自下而上”式的編制模式“自上而下”式和“自下而上”式的相互結合2．預算考核4.預算控制1．預算編制模式505.財產安全控制限制接近限制接近現金限制接近其他易變現的資產限制接近存貨限制接近檔案資料定期盤點和比較保險5.財產安全控制限制接近516.電子信息技術控制1．一般控制（1）數據中心運行控制（2）系統軟件控制（3）訪問安全控制（4）應用系統開發和維護控制2．應用控制“制度”與“技術”之間具有互補性6.電子信息技術控制1．一般控制52評估適當的控制能做什么工作來降低發生風險的可能性?這些工作或活動現在存在嗎?足夠嗎?現有的控制活動是否明確,獨特且沒有彼此重復?效率:有沒有更容易的或者成本更低的控制風險的方法?

效果:這些控制活動是不是有效地降低了風險?為管理和減少風險而制定的政策制度和程序評估適當的控制能做什么工作來降低發生風險的可能性?為管理和53控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單位2單位3單位4要素4:信息和溝通控制要素控制類別經營和財務信息的準確性和及時性獲取內部和外部的信息組織的溝通控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單54信息與溝通會計信息系統統計信息系統溝通（內部溝通、外部溝通）常規的溝通渠道非常規的溝通渠道申訴、舉報、網站、領導接待日信息與溝通會計信息系統55信息和溝通

人們往往認識不到信息和溝通是和控制相關聯的必須通過某種方式，在一定的時間之內明確、獲得并傳達溝通相關信息以確保人們能夠履行其職責。信息系統提供有關財務、經營和法律法規的遵守等信息的報告，這些信息使企業的管理控制成為可能。所有員工必須從高級管理層獲得明確的信息指令，即所有人都必須認真看待和履行控制職責。信息和溝通

人們往往認識不到信息和溝通是和控制相關聯的56反舞弊機制1.反舞弊的內容在財務報告和信息披露方面弄虛作假。未經授權、濫用職權或者采取其他不法方式侵占、挪用企業資產。在開展業務活動中非法使用企業資產牟取不當利益。企業高級管理人員舞弊給企業內部控制和經營管理可能千萬的重大影響。員工單獨或者串通舞弊給企業造成損失。2.完善投訴、舉報管理制度企業可以設置舞弊舉報熱線，明確投訴、舉報處理程序、辦理時限和辦理要求確保投訴、舉報成為企業反舞弊和加強內部控制的重要途徑。反舞弊機制57控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單位2單位3單位4要素5:監控控制要素控制類別連續性的行動和一次性的活動反映嚴重問題的系統監控系統的評價控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單58監控是確定控制結構是否有效及最大可能減少意外不測的關鍵內控系統需要監控內控系統的監控通過以下工作實現：進行中的監控工作單獨的評估(內部審計)二者的結合內部控制的不足應當逐級向上匯報，重大問題要報最高管理層和董事會。監控是確定控制結構是否有效及最大可能減少意外不測的關鍵59監控基本規范指出，企業應當根據本規范及其配套辦法，制定內部控制監督制度，明確內部審計機構（或經授權的其他監督機構）和其他內部機構在內部監督中的職責權限，規范內部監督的程序、方法和要求。持續性監控（一般監控或日常監控）個別監控（專項監控）缺陷報告（CEO、CFO、審計委員會）監控基本規范指出，企業應當根據本規范及其配套辦法，制定內部60內部審計與內部控制企業內部審計的設立與科學定位：內部審計機構的職責：審計會計帳目稽查、評估內部控制制度企業內部職能部門工作效能評估向管理當局提出建議報告內部審計部門的定位：1、由審計委員會領導1、由監事會領導2、由董事會領導3、由財務副總或財務總監領導內部審計的主要目標：審查和評價業務處理授權的全面性和準確性審查和評價業務活動發生的真實性、合法性審查和評價財務與會計處理程序的合法性、合理性審查和評價各種經濟信息資料的真實與完整性評價經營目標的實現程度和管理控制系統的完備性內部審計與內部控制企業內部審計的設立與科學定位：61內部控制的局限內部控制的局限主要表現在：內部管理人員濫用職權、蓄意營私舞弊等，導致內部控制失去應有的控制效能。內部人員相互串通作弊導致相關內部控制失去作用。內部人員素質不適應崗位要求，影響內部控制功能的正常發揮。成本效益問題。對于不經常發生或未預計到的經濟業務，原有的控制可能不適用。臨時控制若不及時會影響內部控制的作用。內部控制的局限內部控制的局限主要表現在：內部管理人員濫用職權62

各管理層內控職責

1.董事會

2.管理層

3.風險管理人員

4.財務負責人

5.內部審計人員

6.企業員工

各管理層內控職責

1.董事會

2.管理層

3.風險管理人63各管理層內控職責——董事會1/6董事會直接影響內部環境控制基礎，其在內部控制中的重要職責表現為：

1.科學選擇恰當的管理層并對其進行監督；2.清晰了解管理層實施有效的風險管理和內部控制的范圍；3.知道并同意企業的最大風險承受能力；4.及時知悉最重大的風險以及管理層是否恰當地予以應對。各管理層內控職責——董事會1/664各管理層內控職責——管理層2/6管理層直接對一個企業的經營管理活動負責。企業總經理（首席執行官）尤其承擔重要責任，其職責包括：1.為高級管理人員提供領導和指引；2.定期與主要職能部門——營銷、生產、采購、財務、人力資源等部門的高級管理人員進行會談，以便對他們的職責，包括他們如何管理風險，進行核查。各管理層內控職責——管理層2/665各管理層內控職責——風險管理人員3/6風險管理人員的職責包括：1.建立風險管理政策；2.確定各業務單元對于風險管理的權利和義務；3.提高整個企業的風險管理能力；4.指導風險管理與其他經營計劃和管理活動的整合；5.建立一套通用的風險管理語言；6.幫助管理人員制訂報告規程；7.向總經理（首席執行官）報告進展和暴露的問題。各管理層內控職責——風險管理人員3/666企業內部控制的基本要素課件67各管理層內控職責——內部審計人員5/6內部審計人員在評價內部控制的有效性，以及提出改進建議方面起著關鍵作用。企業應當授予內部審計部門適當的權力以確保其審計職責的履行；對內部審計部門負責人的任免應當慎重；內部審計部門負責人與董事會或審計委員會應保持暢通溝通；應當賦予內部審計部門追查異常情況的權力和提出處理處罰建議的權力。各管理層內控職責——內部審計人員5/668各管理層內控職責——企業員工6/6所有員工都在實現內部控制中承擔相應職責并發揮積極作用。管理層應當重視員工的作用，并為員工反映訴求提供信息通道。各管理層內控職責——企業員工6/669內控的建立和執行內部控制主體內部控制客體內部控制目標內部控制方式（一）融于管理機制的內部控制要素內控的建立和執行內部控制主體（一）融于管理機制的內部控制701.內部控制主體

《企業內部控制基本規范》所稱內部控制，是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。“內部”的原則性標準內部控制主體的層次性1.內部控制主體《企業內部控制基本規范》所稱內71具有層次性的內部控制主體具有層次性的內部控制主體722.內部控制客體——“內部”的派生標準控制的客體包括財產（可擴展至資源？）★擁有所有權；信息★擁有控制權；交易（交易雙方至少有一方屬于“內部人”）

★擁有使用權。

2.內部控制客體——“內部”的派生標準控制的客體包括733.內部控制目標《企業內部控制基本規范》中，內部控制的目標是：合理保證企業經營管理合法合規資產安全財務報告及相關信息真實完整提高經營效率和效果促進企業實現發展戰略。3.內部控制目標《企業內部控制基本規范》744.內部控制方式《基本規范》要求，企業建立與實施有效的內部控制，應當包括的要素：內部環境——實施內部控制的基礎（包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等）風險評估——及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。控制活動——根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。信息與溝通——及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業與外部之間進行有效溝通。內部監督——對內部控制建立與實施情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷，應當及時加以改進。4.內部控制方式《基本規范》要求，企業建立75融于管理體系中的內部控制手段組織控制組織治理組織結構崗位設置流程控制信息控制人事控制物理控制《基本規范》中的內部控制要素內部環境

風險評估控制活動信息與溝通內部監督融于管理體系中的內部控制手段組織控制《基本規范》中的內部控制76（二）內部控制制度設計原則全面性重要性制衡性適應性成本效益（二）內部控制制度設計原則全面性77（三）企業內部控制的10種方法1、組織規劃控制：職務不兼容制度(1)杜絕交叉任職(2)領導班子分設管理控制機構；(1)法人治理結構;(2)管理部門設置2、授權批準控制；(1)批準范圍;(2)批準層次(3)批準的責任;(4)批準的程序3、全面預算控制：(1)預算體系的建立;(2)預算的編制和審定;(3)預算的下達及落實(4)預算執行的授權;(5)預算執行的監控(6)預算差異的分析和調整(7)預算業績的考核（三）企業內部控制的10種方法78

4、會計控制系統(1)建立健全內部會計管理規范和監督制度(2)統一會計政策(3)統一會計科目(4)明確會計處理的程序和方法5、財產保全控制(1)限制直接接觸;(2)定期盤點;(3)記錄保護(4)財產保險;(5)財產記錄監控6、人力資源控制(1)建立嚴格的招聘程序;(2)制訂員工工作規范(3)定期培訓(4)加強和考核獎懲制度;(5)對重要崗位員工建立職業信用保險機制(6)工作崗位輪換;(7)提高工資和福利,加強溝通4、會計控制系統79

7、風險防范控制(1)籌資風險評估;(2)投資風險評估(3)信用風險評估;(4)合同風險評估8、內部報告控制(1)資金分析報告;(2)經營分析報告;(3)費用分析報告(4)資產分析報告;(5)投資分析報告;(6)財務分析報告9、管理信息系統控制(1)加強對電子信息系統本身的控制(2)運用信息手段控制系統,減少和消除內部人為控制的影響10、內部審計控制根據我國公司法,董事會應對內部控制系統負責。7、風險防范控制80（四）內部控制的實施與優化1.內部控制的實施態度——設計是令企業“有法可依”；實施則是“有法必依”不能因為有對某一內部控制措施的經濟合理性的質疑，而贊成一件違反程序的事情。我們要分清楚規則內選擇和對規則的選擇的區別。當然，這并不是鼓勵“將錯就錯”，而是強調糾錯本身的程序合法性。這一點不僅適用于普通員工，更要求管理者“身體力行”。（四）內部控制的實施與優化1.內部控制的實施81

2.內部控制的優化財務指標+非財務指標

內部控制優化的依據2.內部控制的優化82內控制度的實例演示采購和付款控制流程圖總經理配送中心主管采購員1.1采購政策采購政策2.2選擇供應商2.5供應商檔案修改權2.4建立供應商檔案2.3質檢員參與內控制度的實例演示采購和付款控制流程圖總經理配送中心主管采83（二）內控制度的實例演示（續）請購人配送中心主管采購員4.1填制采購申請單事業部經理總經理3.1簽訂合同的要求3.2合同審批的權限簽訂合同的要求合同審批的權限簽訂的合同4.2批準采購申請單4.2核準采購申請單4.6存檔4.4登記4.3選定供應商4.8取消或修改訂單未完成訂單未完成訂單4.9審核（二）內控制度的實例演示（續）請購人配送中心主管采購員4.184“銷售-收款”業務活動的內控制度流程應收會計財務/信管委出納總經理草簽合同信管委會簽總賬檢查銷售部門銷售合同財務檢查審批客戶送貨入賬收款月末對帳月末對帳月末對帳下月到期應收款財務審核追款對帳單財務審核追款催款入賬總賬檢查本月收款統計（Ⅰ）（Ⅲ）（Ⅳ）（Ⅱ）“銷售-收款”業務活動的內控制度流程應收會計財務/信管委85“費用支出”業務活動的內控制度流程成本會計財務主管出納總經理業務部門費用支出計劃檢查審批計劃內借款/報銷申請審核計劃外借款/報銷申請審核審批支出入賬支出入賬檢查分析統計（Ⅰ）（Ⅲ）（Ⅳ）（Ⅱ）“費用支出”業務活動的內控制度流程成本會計財務主管出86

謝謝！祝大家工作愉快！謝謝！祝大家工作愉快！87全球背景下

企業內部控制與風險管理

全球背景下

企業內部控制與風險管理88

講座大綱

CH1企業內部控制的新特點CH2企業內部控制五大目標CH3企業內部控制五大要素CH4企業各管理層內控職責CH5內部控制制度建立CH6企業內部控制設計模板

講座大綱

89

美國汽車三大巨頭乞求救援

美國當地時間2008年12月10日晚，美國眾議院投票通過了向美國汽車業提供140億美元救援貸款的議案，但在通過參議院批準之前，此項貸款是否能順利發放到車企手中仍是未知數。美國當地時間2008年12月13日11日晚,由于美國汽車業工會拒絕接受共和黨議員提出的削減工資要求,美國國會參議院否決了總額為140億美元的汽車業救援方案。

美國汽車三大巨頭乞求救援

美國當地時間20090美國金融危機——AIG失敗同樣是經營失敗，AIG的失敗與1995年巴林銀行倒閉事件有什么不同呢？當年巴林銀行倒閉主要由“內部控制層面”的問題所致，28歲的期貨期權交易部經理李森違反公司授權規定，“偷偷摸摸”地進行指數期貨合約交易，從而產生巨額損失并導致巴林銀行被荷蘭國際集團接管。而此次AIG百年帝國的失敗卻出在“戰略經營層面”，因為AIG成立專門部門AIGFinancialProductsCorp（AIGFP）并且長期向次貸市場大量提供CDS產品并非突發事件，而應該是AIG高層在“戰略經營層面”作出的決定，并且此種衍生金融業務也不違背當前美國保險業監管的規定，因此是一種“光明正大”的行為。但是在這種“光明正大”的失敗面前，到底誰應該為此承擔責任呢？美國金融危機——AIG失敗91亂世用重典——《薩班斯·奧克斯利法案》

隨著美國安然公司、環球電信公司會計造假丑聞的披露，暴露出美國現行公司體制中存在著弊端。為整頓上市公司秩序、維護投資者信心，美國民主黨參議員薩班斯（Sar-banes）和共和黨眾議員奧克斯利（Oxley）聯合提出了《薩班斯—奧克斯利法案》，該法于2002年7月美國總統布什簽署獲得通過。《薩班斯—奧克斯利法案》是繼美國1933年《證券法》、1934年《證券交易法》以來又一部具有里程碑意義的法律，其效力涵蓋了注冊于美國證監會（SEC）之下的約14，000家公司，其中包括了大量的非美國公司。該法案的嚴肅性在于:公司治理被正式納入聯邦法律管轄范圍，越來越多的財會欺詐者――無論他是CEO還是CFO都將被投入監獄。安然和世通之后，美國大公司都在丑聞深淵邊如履薄冰，抓壞蛋和將前車之鑒銘刻于法律條文自然成為這一階段的主題。《薩班斯—奧克斯利法案》強調了公司內控的重要性，從管理者、內部審計及外部審計等幾個層面對公司內控作了具體規定，并設定了問責機制和相應的懲罰措施。成為繼20世紀30年代美國經濟大蕭條以來，政府制定的涉及范圍最廣、處罰措施最嚴厲的公司法律。亂世用重典——《薩班斯·奧克斯利法案》

92《薩班斯—奧克斯利法案》1.上市公司會計監管委員會2.審計師的獨立性3.公司的職責4.加強財務信息的披露5.分析員的利益沖突6.證券監管委員會的資源與權限7.研究和報告8.公司和刑事舞弊的責任9.加強對白領刑事犯罪的懲罰10.公司稅務申報表11.公司的舞弊行為及其相應的責任《薩班斯—奧克斯利法案》93《薩班斯—奧克斯利法案》實質意義

上市公司董事及高層管理人員的責任的加強1.明確首席執行官和首席財務官對財務報表的書證責任：新法案要求上市公司的首席執行官（CEO）和首席財務官（CFO）對公司向美國證券交易委員會（以下簡稱SEC）提交的定期報表的真實準確性提供書面保證。第302條和第906條分別在民事和刑事方面直接規定了對上市公司的CEO和CFO的特別書證要求。2.為了降低公司的經營風險，新法案禁止公司向董事和高層管理人員提供私人貸款。3.董事和高層管理人員返還因公司虛假報表取得的激勵性報酬和買賣股票收益。《薩班斯—奧克斯利法案》實質意義

94第404條:管理層對公司內部控制的評估

要求公司年報中包括一份“內部控制報告”，該報告應：1.明確指出公司管理層對建立和保持一套完整的與財務報告相關的內部控制系統和程序所負有的責任；2.包含管理層在財務年度期末對公司財務報告相關內部控制體系及程序的有效性的評估。3.受托的上市公司審計師應按照上市公司會計監管委員會對審核約定所發布或采用的準則4.就管理層關于內部控制的評估進行鑒證并提交報告。此類鑒證約定并不構成單獨的約定主體；5.SEC在提交的法案相關的報告中這樣解釋此條的立法目的：“委員會不希望審計師（對內部控制報告的）評估形成單獨一份約定或者因此而導致審計費用的增加。”6.指導SEC進一步要求上市公司披露其是否為高級財務官員制定職業操守規范以及該規范的內容；7.指導SEC修改其以8-K表格進行即時披露的相關規則，從而要求上市公司對任何職業操守規范的修改或廢止事項立即進行披露。第404條:管理層對公司內部控制的評估

95內部控制實施的高昂代價

據財務經理國際(FinancialExecutivesInternational,FEI)針對遵循SOX法案404節的實施成本對其公眾成員公司進行了調查：2004年7月調查了平均收入超過25億美元的224個公眾公司，計算SOX法案404節遵循成本的估計數額。結果顯示，遵循成本總額估計為314萬美元，被調查的公司預計，除年度審計費用外，要向審計師支付823200美元的內部控制鑒證費用.2005年3月，FEI調查了217個平均收入超過50億美元的公眾公司，來計量SOX法案404節的遵循成本。它們的總遵循成本平均為436萬，其中內部成本134萬美元，外部成本172萬，審計費用130萬。審計費用中還沒有包括公司的財務報表審計費，比平均增長57%。內部控制實施的高昂代價

96中國企業內部控制規范制定原則內控標準原則：立足國情，實行創新突出重點，解決問題降低成本，穩步推進

內控標準定位：以財務報告真實可靠為主、兼顧其他控制目標的內部控制目標體系；初步構建了以控制規范為基礎、以評價規范為配套的內部控制標準體系；著手探索以政府部門為引導、廣大企業主動參與的內部控制實施體系。中國企業內部控制規范制定原則97

財政部、證監會、審計署、銀監會、保監會關于印發《企業內部控制基本規范》的通知(財會[2008]7號)

為了加強和規范企業內部控制，提高企業經營管理水平和風險防范能力，促進企業可持續發展，維護社會主義市場經濟秩序和社會公眾利益，根據國家有關法律法規，財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制基本規范》，現予印發，自2009年7月1日起在上市公司范圍內施行，鼓勵非上市的大中型企業執行。執行本規范的上市公司，應當對本公司內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計。

二00八年五月二十二日

98企業內部控制五大目標企業內部控制定義內部控制是由企業董事會/監事會、管理層和全體員工共同實施的、旨在合理保證企業戰略、經營的效率和效果、財務報告及管理信息的真實可靠和完整、資產的安全完整、遵循國家法律法規和有關監管要求的一系列控制活動。企業內部控制五大目標企業內部控制定義99

企業內部控制目標

1.戰略目標2.營運目標3.報告目標4.資產目標5.合規目標

企業內部控制目標

1.戰略目標100案例：大唐電信會計信息迷霧

2006年10月28日，發布業績預增公告，稱經過公司財務部門初步測算，預計2006年全年實現盈利（上年同期虧損6.96億元）。10月27日（周五），大唐電信收盤于10.88元，10月30日（周一）收盤于10.91元。（600198.SH）的信任感被傷害了，一位全倉購入大唐電信的投資者遭遇了4月5日跌停板后向《第一財經日報》表示：“我被愚弄了，大唐電信業績不僅發生轉變，而且要被*ST了。”大唐電信2007年4月5日跌停的直接原因，是其當天發布了2006年業績預虧公告。而在五個多月前，大唐電信預計2006年將扭虧為盈。在這五個多月時間里，大唐電信股價上漲了80.97%，最高接近翻番。案例：大唐電信會計信息迷霧101內部控制5要素企業目標經營效率會計報告可信性遵循法律法規控制過程內部控制控制環境風險評估信息與交流控制行為監督實施者董事會經理層其他員工內部控制5要素企業目標經營效率會計報告可信性遵循法律法102內部控制如何降低風險？

暴露的金額發生的可能性風險的大小內部控制降低內部控制如何降低風險？暴露的金額發生的風險的大103成功內部控制的核心理念有效的內部控制風險與經營回報的良好平衡成功內部控制的核心理念有效的風險與經營回報的良好平衡104控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單位2單位3單位4傳達管理理念-責任-義務

-職權

-人力資源

-員工發展設定管理基調-誠信-道德觀念-能力要素1:控制環境控制要素控制類別

控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單105內部環境公司治理環境公司組織環境人事環境激勵環境文化道德環境內部環境公司治理環境1061.公司治理環境負責內部控制的建立健全和有效實施負責組織領導內部控制日常運行結合內部審計監督，對內部控制有效性進行監督檢查股東會董事會經理層監事會對董事會建立與實施內部控制進行監督職能部門執行線監督線負責審查內部控制，監督內部控制的有效實施和自我評價情況，協調內部控制審計審計委員會內審機構崗位人員監督崗位1.公司治理環境負責內部控制的建立健全和有效實施負責組織1072.公司組織環境（1）．組織設置的原則權責對等統一指揮精干高效目標原則分工協作市場適應2.公司組織環境（1）．組織設置的原則1083.人事環境崗位設置作業配置崗位關系崗位資源配置崗位任職資格（崗位人員選擇）特別崗位人員特殊措施工作輪換強制休假特別擔保責任保險3.人事環境崗位設置1094.激勵環境1．激勵的基礎優——————獎業績評價劣——————懲2．激勵的方法股權、股票期權、精神、物質

“兩手都要抓，兩手都要硬”

4.激勵環境1．激勵的基礎1105.文化道德環境軟管理隱形控制制度真空的“填充物”5.文化道德環境軟管理111陳同海雙規思考2007年6月，經中共中央批準，中共中央紀委、監察部對中國石油化工集團公司原總經理、黨組書記陳同海嚴重違紀問題進行立案檢查。陳同海在擔任中國石油化工集團公司副總經理、總經理和兼任中國石油化工集團股份有限公司副董事長、董事長期間，利用職務便利，為他人謀取利益，收受錢款數額巨大；利用職權為情婦謀取巨額不正當利益；生活腐化。陳老虎在集團內的霸道是出了名的。每日揮霍4萬元，一個月120萬，一年就是1440萬元，當紀委警告他要收斂些時，他大言不慚地說，我一年上交稅款200億，這點算什么？陳同海雙規思考112控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單位2單位3單位4管理/控制變化確定并分析對實現企業目標有影響的風險要素2:風險評估控制要素控制類別控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單1131.風險識別（1）．識別內部風險應關注的因素★董事、監事、經理及其他高級管理人員的職業操守、員工專業勝任能力等人力資源因素。★組織機構、經營方式、資產管理、業務流程等管理因素。★研究開發、技術投入、信息技術運用等自主創新因素。★財務狀況、經營成果、現金流量等財務因素。★營運安全、員工健康、環境保護等安全環保因素。★其他有關內部風險因素。1.風險識別（1）．識別內部風險應關注的因素114

（2）．識別外部風險應關注的因素★經濟形勢、產業政策、融資環境、市場競爭、資源供給等經濟因素。★法律法規、監管要求等法律因素。★安全穩定、文化傳統、社會信用、教育水平、消費者行為等社會因素。★技術進步、工藝改進等科學技術因素。★自然災害、環境狀況等自然環境因素。★其他有關外部風險因素。（2）．識別外部風險應關注的因素1152.風險分析評價風險的重要程度評估風險發生的概率考慮應當如何管理風險，即評估需要采取的措施。風險規避風險降低風險分擔風險承受2.風險分析評價風險的重要程度116標題COSO2企業風險管理構成內部環境風險管理哲學-風險文化-董事會-誠信與道德-能力承諾-管理層哲學與經營風格-組織結構-責權劃分-人力資源政策與實務-環境差異信息與溝通信息-戰略性與整體系統-溝通風險評估固有風險、剩余風險-可能性和影響-定性與定量,工作方法、技巧-相關性風險應對確認風險應對-評價可能風險應對-選擇應對-組合視角控制活動結合風險應對-控制行動類型-一般控制-應用控制-子公司具體情況監控持續-分別評價-報告不足事項識別事件-影響戰略與目標之因素-工作方法和技巧-相互依存事件-事件分類-風險與機遇目標設定戰略目標-相關目標-選定目標-風險偏好-風險容忍度

標題COSO2企業風險管理構成內部環境風險管理哲學117評估關鍵的風險風險是您實現業務目標的現存的或潛在的障礙

什么因素可能會妨礙本部門實現其關鍵的業務目標?

要成功,需要完成一些必要的工作和程序,而什么因素會阻礙這些工作和程序的完成和實現呢?

發生率:這些風險中,什么風險是最可能發生的?

影響:哪些風險將對本部門實現其預定目標的能力產生最重大的影響?有什么有效的控制機制可以減少這些風險及其影響?評估關鍵的風險風險是您實現業務目標的現存的或潛在的障礙118企業風險管理架構董事會審計委員會風險管理委員會風險管理部門內部稽核

運營管理根據中國證監會要求《證券公司治理準則（試行）》設計的企業風險管理架構企業風險管理架構董事會審計委員會風險管理委員會風險管理部門內119董事會——風險管理委員會風險管理委員會應包括獨立董事，且至少有三名成員。該委員會必須要高度獨立，以監控運營單位的風險管理。其職責有：協助管理層決定公司的風險取向

負責建立并維護有效的風險管理負責監控風險信息在公司縱向或橫向報告的過程，并對有關管理人員提供必要的協助制定風險管理的政策和策略提供適當的培訓，在公司內部建立起一種具有風險意識的企業文化為公司的業務部門建立內部風險政策和結構設計風險管理的流程，并對其進行審查協調各種對組織內部風險管理問題提供建議的職能行為制定風險應對程序，包括或有事項、業務持續方案為董事會和利益相關者編制風險報告董事會——風險管理委員會風險管理委員會應包括獨立董事，且至少120風險評值最高51722232425高41218192021中3613141516低22891011最低11345 7影響0.10.250.50.750.9可能性基本不可能不太可能可能很可能基本會發生風險評值最高51722232425高41218192021中121風險1風險5風險4風險2風險3風險8風險7風險6風險評估風險1風險5風險4風險2風險3風險8風險7風險122風險應對策略可能性高減少避免低接受轉移低高影響風險應對策略低高影響123實際的風險應對戰略舉例減少質量控制，管理與標準財務控制標準操作程序檢查新員工條件研發與技術發展應急計劃結構培訓與其他程序監督避免決定退出某一地區當檢查發現客戶無信用時，決定不再與該客戶進行交易決定不出售明知是一種不道德的產品接受成本效益原則，如針對風險制定控制與其他回應決定在一個面臨綁架高風險的國家運營——你無法控制接受超過￡1,000,000的保險費政策為提高銷售數量，接受高信用風險客戶轉移采取保險政策定期維護外包給設備管理公司與供應商簽訂的合同應明確不能滿足約定條件時，可以獲得財務補償與其他公司建立合資公司，與其共同開發商業機會實際的風險應對戰略舉例減少避免接受轉移124風險應對方法1.風險回避―企業對走出整體風險承受能力或者具體業務層次上的可接受風險水平的風險，應當實行風險回避。2.風險承擔―企業對在整體風險承受能力和具體業務層次上的可接受風險水平之內的風險，在權衡成本效益之后無意采取進一步控制措施的，可以實行風險承擔。3.風險降低―企業對在整體風險承受能力和具體業務層次上的可接受風險水平之內的風險，在權衡成本效益之后愿意單獨采取進一步的控制措施以降低風險、提高收益或者減輕損失的，可以實行風險降低。4.風險分擔―企業對在整體風險承受能力和具體業務層次上的可接受風險水平之內的風險，在權衡成本效益之后愿意借助他們力量，采取包括業務分包、購買保險等進一步的控制措施以降低風險、提高收益或者減輕損失的，可以實行風險分擔。風險應對方法1.風險回避125平衡風險和內部控制管理審計的范圍企業風險管理預防與管理層共同參與重視交易遵守職能重視過程協助管理層自我評價內部審計職能管理層的期望偵察加強咨詢平衡風險和內部控制管理審計的范圍企業風險管理預防與管理層共同126舉例:企業目標,風險和內部控制的關系目標1風險控制

(A)短期目標:

2002年度實現利潤增長10%:-銷售收入增長20%-經營成本降低15%

(B)長期目標:

在未來五年內實現利潤平均每年凈增長10%

-由于不可靠的和不切實際的銷售預測,在進出口業務中造成嚴重囤貨和存貨作廢.

-由于履行不平等的或不利的合同條款而造成嚴重損失(如賠償損失,名譽損害)

-由于未被授權的/給予過多的折扣造成毛利降低或直接虧損

-嚴重的壞帳損失

-有效的編制和控制經營計劃和財務預算

-采取措施增強銷售預測的準確性并且只承擔經過衡量并能接受的風險,比如:獲得可靠的市場信息,將實際情況與預算進行比較等

-在主要的經營領域建立制度和程序(須涵蓋集團總部的制度和程序):銷售,采購,財會,投資等

舉例:企業目標,風險和內部控制的關系目標1風險控制

(127舉例:企業目標,風險和內部控制的關系目標２風險控制

有效的資金管理

－產生人民幣ＸＸＸ萬－由于以下原因造成現金流預算的失效并造成資金危機,會導致例如供應商停止供貨造成生產延誤而不能執行合同的信譽損失：-與供應商和客戶簽訂不平等或不利的合同-過長的付款條款-經常性的ＣＯＤ／沒有從供應商獲得賒銷－壞帳(不當的信用控制和應收貨款管理）－錯誤的投資決策－不必要的資金支出源于未經授權的／多余的采購，不適當的付款和舞弊行為，付款錯誤等－投機行為，如高風險的投資

－資金預算的計劃和控制－按月份的資金預算報告（將上月的實際發生和預算相比較制定下月的預算）－信用控制制度和程序,包括信用審閱－收款的制度和程序－合同審閱過程－對投資項目進行控制－采購和付款控制－防止投機行為的措施舉例:企業目標,風險和內部控制的關系目標２風險控制

－128

目標３風險控制

建立一個準確的，可靠的和及時的財務系統

－由于不準確，不可靠，不及時的財務／會計和管理報告或信息而造成錯誤的管理決策,以及在年末才反應出來的令人不悅的經營結果

－由于以下因素造成的不準確，不可靠和不及時的財務和管理報告：

-不合格的，能力不夠的財務經理和財務人員-有弊病的財務系統：不完整或不相容，處理大量核算和交易但是財務系統沒有實行電算化

－資源的超負荷使用－嚴格的財務和會計制度和程序－財務部門的領導能力－使用適當的人員－教育和培訓

－年終結帳前的檢查：檢查帳目是否放映了實際情況

－各種控制活動：核實查證，授權，審批，對帳(銀行和供應商），責任分離，資產的安全保護

－固定資產現場視察－年度庫存盤點／周期性庫存盤點－現金庫存抽查－集團所有公司內部之間的對帳－專業的稅收和法律檢查－加強內部審計部門的職能舉例:企業目標,風險和內部控制的關系

目標３風險控制

－嚴格的財務和會計制度和程序舉例:企129企業目標風險內部控制評價1.

2.

3.

4.

5.

小組討論:請將前面討論過的企業目標,風險,內部控制的關系綜合起來,并提出小組的見解:

討論:企業目標,風險和內部控制的關系企業目標風險內部控制評價1.

2.

3.

4.

130企業目標,風險和內部控制的關系是什么?確定目標評估風險行動計劃/責任分配分析控制目標,風險和內部控制企業目標,風險和內部控制的關系是什么?確定目標評估風險行動131控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單位2單位3單位4管理層發展方針貫徹的程序直接的職能或活動管理物質的控制-職權的分離要素3:控制活動控制要素控制類別實現目標的管理機制控制環境風險評估控制活動信息和溝通監控營經務財守遵單位1單132控制活動不相容職務的分離授權批準會計系統控制預算控制財產安全控制電子信息技術控制運營分析（風險評估抑或控制活動）績效考評控制活動不相容職務的分離1331.不相容職務的分離授權監督執行記錄保管1.不相容職務的分離授權執行記錄保管1342.授權批