《企业内部控制配套指引》实施解读省名师优质课赛课获奖课件市赛课一等奖课件.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,本资料仅供参考，不能作为科学依据。谢谢,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,本资料仅供参考，不能作为科学依据。谢谢,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,本资料仅供参考，不能作为科学依据。谢谢,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,本资料仅供参考，不能作为科学依据。谢谢,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第

2、四级,第五级,*,*,本资料仅供参考，不能作为科学依据。谢谢,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,本资料仅供参考，不能作为科学依据。谢谢,企业内部控制配套指导,实施解读,主讲人：刘维,第1页,1,一、,企业内部控制配套指导,主要内容解析,二、配套指导对董事会要求,三、企业合遵照挑战,四、合规之路该怎样规划,五、合规工作主要要求,六、合规工作组织与人力资源安排,七、怎样了解内部控制主要性及其风险管理关系,本汇报所载资料是为广州市财政局编撰。任何其它人士不得依赖本汇报作任何其它用途，本企业概不就此对任何其它人士负担任何责任。未经本企业书面同意

3、任何,主要内容,第2页,2,一、,企业内部控制配套指导,主要内容解析,第3页,3,企业内部控制应用指导,企业内部控制应用指导,：共,18,项，用以指导企业开展内部控制建设，并为企业及事务所内部控制评价及审计提供参考。内容包含制订指导总体目标、包括事项定义、相关风险描述、业务流程规范和关键控制点要求等标准性内容。,企业内部控制评价指导,企业内部控制评价指导,：用以指导企业开展内部控制评价，以满足基本规范实施要求。内容包含评价标准、评价制度要求、评价内容、评价程序、缺点认定、评价汇报。,企业内部控制审计指导,企业内部控制审计指导,：用以规范注册会计视执行企业内部控制审计业务。内容包含审计目标、计

4、划审计工作、实施审计工作、评价控制缺点、完成审计工作、出具审计汇报、统计审计工作、审计汇报参考格式。,年,6,月,28,日公布,应用指导,、,评价指导,和,审计指导,组成企业内部控制配套指导用于指导企业愈加有效实施基本规范。,年,4,月,26,日公布,什么是企业内部控制配套指导？,基本规范,从内部环境、风险评定、控制活动、信息与沟通以及内部监督五大要素角度，对于中国企业怎样建立、维持有效内部控制提出了标准性要求，建立了含有中国特色内部控制框架。,企业内部控制基本规范,第4页,4,配套指导帮助做好三件事,审计师：,按照,审计指导,要求，对财务汇报内 部控制有效性发表审计意见，并对内部控制审计过程

5、中注意到非财务汇报内部控制重大缺点给予披露,评价对象为企业建立和实施财务汇报内部控制,企业：,按照,评价指导,相关要求，对内部控制有效性进行自我评价,评价对象包含企业建立和实施财务和非财务内部控制，需对这些内部控制设计和执行有效性进行评价,企业：,从,基本规范,要求五大要素出发，参考,应用指导,详细要求，建立和实施完善内部控制体系,第5页,5,企业内部控制配套指导实施对象,/,范围和时间,企业内部控制配套指导,实施时间,适用企业,年,12,月,31,日年报,年,12,月,31,日年报,第一个合规汇报年度,年,1,月,1,日,年,1,月,1,日,择机实施,勉励提前实施,企业披露年度自我评价汇报,

6、会计师事务所出具内控审计汇报,境内、外同时上市企业,在上海证劵交易所、深圳证劵交易所主板上市企业实施,中小板和创业板上市企业,非上市大中型企业,第6页,6,企业内部控制应用指导体系架构,企业内部控制应用指导,：共,18,项，用以指导企业开展内部控制建设，并为企业及事务所内部控制评价及审计提供参考。内容包含制订该项指导总体目标、包括事项定义、相关风险描述、业务流程规范和关键控制点要求等标准性内容。应用指导条目以下：,依据各详细指导所规范内容不一样，能够将应用指导分为三类：,内部环境类（,5,个）,控制伎俩类（,4,个）,组织架构,发展战略,人力资源,企业文化,社会责任,全方面预算,协议管理,内部

7、信息传递,信息系统,控制活动类（,9,个）,资金活动,采购业务,资产管理,销售业务,研究与开发,工程项目,担保业务,业务外包,财务,汇报,组织架构,资金活动,采购业务,社会责任,企业文化,发展战略,人力资源,全方面预算,资产管理,销售业务,业务外包,信息系统,协议管理,内部信息传递,担保业务,工程项目,研究与开发,财务汇报,第7页,7,企业内部控制应用指导体系架构（续）,目标：,对于流程控制目标整体要求。,企业可参考指导中所述目标，从定性和定量两个角度细化本企业各流程详细控制目标，作为流程风险评定基础。,风险：,流程中可能包括主要风险。,企业可考虑参考指导中所述风险，采取一定风险评定方法，识别

8、评定本企业流程可能包括重大风险，并作为内部建设基础。,定义：,对于流程所包括业务范围定义。,企业应依据本身实际业务情况，对流程所包括业务范围进行明确定义。,对于流程控制整体要求。,应作为企业设计本流程内部控制体系整体性标准。,主要业务步骤及详细内控要求，,企业可参考这些详细要求，结合本企业实际情况，制订细化内部控制步骤和程序，包含明确内控执行岗位和人员、频率、文档、问题跟进办法等。,第8页,8,注意事项,在应用指导使用过程中应注意以下问题：,应用指导仅是对于主要业务流程步骤和内部控制提出了标准性要求,18,项应用指导涵盖了制造企业常见主要业务领域，不过对于详细企业来说，必定会存在一些应用指导

9、无法涵盖业务活动。所以企业需要依据基本规范和应用指导总体标准和企业实际风险情况，对本身业务、风险和内部控制进行详细梳理，而不能仅仅依赖应用指导进行内控体系建设。（比如对于银行业来说，并没有专门指导对商业银行关键业务流程，比如存款业务、贷款业务、资金业务、中间业务等进行明确要求）,企业可参考应用指导架构和内容，细化制订本企业内部手册,第9页,9,第一章 总则,第二章 内部控制评价内容,第三章 内部控制评价程序,内部控制评价最终责任机构是企业董事会或类似权力机构,企业内部控制评价标准：全方面性、主要性、客观性,企业应依据评价指导及实际情况，制订详细内部控制评价方法,企业内部控制评价应围绕内部环境、

10、风险评定、控制活动、信息与沟通、内部监督五要素，并包含内部控制设计和运行两个方面,内部控制评价工作应该形成工作底稿，详细统计企业执行评价工作内容,企业能够授权内部审计部门或专门机构负责内部控制评价详细组织实施工作,评价工作方案应报经董事会或其授权机构审批后实施,评价工作组组员对本部门控制评价工作应该实施回避制度,企业能够委托中介机构实施内部控制评价。为企业提供内部控制审计服务会计师事务所，不得同时为同一企业提供内部控制评价服务,企业内部控制评价指导体系架构,第10页,10,第四章 内部控制缺点认定,第五章 内部控制评价汇报,内部控制缺点包含设计缺点和运行缺点,内部控制缺点认定应该以日常监督和专

11、题监督为基础，结合年度内部控制评价，由 内部控制评价部门进行综合分析后提出认定意见，按照要求权限和程序进行审核后给予最终认定,内部控制缺点能够分为重大缺点、主要缺点和普通缺点（但详细认定标准由企业依据指导中标准自行确定）,企业应对内部控制缺点及其成因、表现形式和影响程度进行综合分析和全方面复核；缺点应向董事会、监事会或者经理层汇报；重大缺点应该由董事会给予最终认定；对于重大缺点应追究相关部门或相关人员责任,对汇报主要内容进行要求。汇报应该经董事会或类似权力机构同意后对外披露,第11页,11,配套指导要求与美国、香港内控监管要求简明对比,比较内容,主要实施要求,是否给出评价指导,评价责任机构,评

12、价结论判定标准,配套指导要求,企业应该对内部控制有效性进行自我评价，并披露年度自我评价汇报,企业应该聘请会计师事务所对财务汇报内部控制有效性发表审计意见,企业内部控制评价指导,董事会（或类似权力机构）,没明确说明内控有效性结论判定标准,美国萨班斯法案第,404,条款,企业管理层申明对建立和维持适当财务汇报内控结构及控制程序责任，并在其提交年报中对内控有效性作出评价,审计师须对管理层遵照情况进行测试和评价，并出具评价汇报,SEC,给出了“管理层评价指导”，但并不强制企业遵照，提供了可接收一个遵照路径,管理层,存在一个或多个实质性漏洞，内部控制即告无效,第12页,12,比较内容,主要实施要求,是否

13、给出评价指导,评价责任机构,评价结论判定标准,香港企业管制常规守则,C2.1,条款,董事应该每年检讨一次上市企业及其从属企业内部监控系统是否有效，并在企业管治汇报中向股东回报已经完成相关检讨。相关检讨应涵盖全部主要监控方面，包含财务监控、运作监控及合规监控以及风险管理功效,没有对与内控审计详细要求,没有颁布专门评价指导，仅在香港会计师公会为之专门制订,内部监控和风险管理基本框架,中，对于检讨程序有标准性要求,董事,未要求评价工作给出评价结论,第13页,13,中国企业内部控制规范体系概览,企业内部控制标准委员会负责为建立健全我国企业内部控制标准体系提供政策指导和咨询服务,企业内部控制标准会员会主

14、席由财政部副部长担任，副主席由证监会和国资委官员担任，组员包含来自监管部门、实务界、理论界,31,位教授学者,第一层次,第二层次,第三层次,中国企业建立内部控制基本框架,提议了内部控制体系组成要素：内部环境、风险评定、控制活动、信息与沟通、内部监督,国际上类似内部控制框架包含：,COSO,、,COCO,等,企业内部控制基本规范,实施要求,要求企业对内部控制有效性进行自我评价，披露年度自我评价汇报，并可聘请会计师事务所进行审计,国际上类似要求包含：美国萨班斯法案第,404,条款、日本,金融工具及交易法,等,企业内部控制基本规范,五部委关于印发,企业内部控制基本规范,通知,体系基础,用以指导企业内

15、部控制体系建设，对于内部控制提出了详细要求,用以规范企业内部控制有效性年度自我评价工作,用以指导注册会计师执行企业内部控制审计业务,五部委关于印发企业内部控制配套之音通知,企业内部控制应用指导,企业内部控制评价指导,企业内部控制审计指导,对于应用指导解释,/,指南,对于评价指导解释,/,指南,对于审计指导解释,/,指南,对体系连续完善,常见问题解答,公告,第14页,14,二、基本规范及配套指导对董事会要求,第15页,15,配套指导对董事会要求,董事会负责内部控制建立健全和有效实施基本规范，详细表达在：,董事会是企业内部控制体系主要组成部分。董事会依法行使企业经营决议权，对企业重大经济事项进行审

16、批。,应用指导,董事会须对内部控制有效性评价负责。董事会应审批评价工作方案，对重大缺点进行认定，对评价汇报进行同意，并出具内部控制汇报真实性申明。,评价指导,董事会应该向审计师提供申明书，申明董事会认可其对建立健全和有效实施内部控制负责。并与审计是沟通确认重大缺点和主要缺点等主要内控事项。,审计指导,第16页,16,关键条文概述,企业内部控制应用指导,-,董事会对股东（大）会负责，依法行使企业经营决议权，可按照股东（大）会相关决议，设置战略、审计、提名、薪酬与考评等专门委员会，明确各专门委员会职责权限、任职资格、议事规则和工作程序，为董事会科学决议提供支持。,-,董事会（或类似权力机构）应对发

17、展战略方案，重大研究项目，重大工程项目标立项，重大担保业务，重大业务外包方案，和全方面预算草案进行审批。,企业内部控制评价指导,-,指导所称内部控制评价，是指企业董事会（或类似权力机构）对内部控制有效性进行全方面评价、形成评价结论、出具评价汇报过程。,-,企业董事会应该对内部控制评价汇报真实性负责。,-,企业内部控制评价部门应该拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报警董事会或其授权机构审批后实施。,-,企业内部控制评价部门应该编制内部控制缺点认定汇总表，结合日常监督和专题监督发觉内部控制缺点及其连续改进情况，对内部控制缺点及其成因、表现形式和影响程

18、度进行综合分析和全方面复核，提出认定意见，并以适当形式向董事会、监事会或者经理层汇报。重大缺点应该由董事会给予最终认定,第17页,17,企业内部控制审批指导,-,董事会应该注册会计师提交书面申明，申明董事会认可其对建立健全和有效实施内部控制负责,-,注册会计师以书面形式与董事会沟通其在审计过程中识别重大缺点和主要缺点；审计范围受到限制情况及对审计委员和内部审计机构对内部控制监督无效认定。,-,内部控制评价汇报应该披露董事会对内部控制汇报真实性申明,-,内部控制评价汇报应该报经董事会或类似权力机构同意后对外披露或报送相关部门,第18页,18,三、企业合规遵照挑战,第19页,19,遵照基本规范和配

19、套指导挑战,来自企业本身,挑战,第20页,20,主观意愿,主观意愿强调两个方面：内部控制最终责任人和内部控制日常参加者,。,内部控制最终责任人：董事会,内部控制日常参加者：全体员工,董事会及高级管理层立言、立行以昭示其对内部控制充分重视，并为内部控制建设和实施调配充分资源,董事会和其它高级管理人员不了解建设内部控制意义，认为内部控制妨碍经营效率，将内控工作做成“两张皮”,企业员工不了解什么是内控，不清楚自己内控责任，无法自觉维护内控有效性,主动,消极,全部员工都充分了解并参加内部控制建设和实施，内部控制融入企业日常经营活动，真正为企业产生价值,第21页,21,内控建设所需知识技能,方法论,内控

20、建设人员需要熟悉国际通行内部控制框架理论、国内外内部控制监管要求，并在此基础上，开发适合本身企业特点内控建设和评价方法论。,专业技能,在内部控制梳理、建设、评价等各方面，业务、财务、,IT,等各领域，均需要相关人员含有比较丰富专业技能和经验,内控建设所需知识技能,行业经验,除科学方法论外，丰富行业经验也是内控建设不可或缺知识技能之一。不熟悉本企业所处行业普通运作规律及关键风险，可能造成所建立内控体系缺乏效率或效果,项目管理,内控建设普通以项目标形式推进，对于大型企业集团来说，内控建设人员项目管理能力非常主要,第22页,22,遵照基本规范和配套指导挑战,来自企业本身挑战,知识与观念,架构与实务,

21、治理层对内控要求不了解，指导和监督内控工作不到位,经理层和其它管理人员不了解建设内部控制意义，认为内部控制妨碍经营效率，将内控工作做成“两张皮”,企业人员百分比解什么是内控，不清楚自己内控责任，无法自觉维护内控有效性,企业缺乏足够具备所需知识、技能内控维护和监督队伍,缺乏对内控缺点进行判断经验,从未系统地按五要素框架进行内控架构梳理，评定，缺乏相关知识和经验,从未进行过系统风险评定工作,缺乏全方面、规范规章制度对内部控制设计情况进行统计,缺乏完善监督机制，造成内部控制执行不力,内部控制运行缺乏书面证据,反舞弊程序和控制微弱,第23页,23,IT,系统,项目管理,系统开发和变更控制微弱,处于利用

22、人工流程便捷和灵活性目标，回避信息系统内部控制,系统与业务发展脱节，不能对企业战略实施提供良好支撑,业务系统和财务系统脱节，信息一致性和可用性无法得到确保,信息系统存在显著安全漏洞,第一年遵照工作规模大，包括面广，要求企业具备组织、管理大型项目而丰富经验,低估遵照项目难度，遵照工作不能按时间表进行，或缺乏对工作结果质量控制,未能有效计划、控制遵照成本,第24页,24,四、合规之路该怎样规划,第25页,25,毕马威提议遵照路线,普通而言，企业可考虑经过以下六个步骤来实现对基本规范和配套指导遵照：,计划遵照工作进行方法、范围、时间表、结果和所需资源；组建项目团体；开启项目,经过风险评定、对标等方法

23、检验、评价内部控制设计情况，包含审阅内控统计是否足够,依据对设计情况评定结果，制订测试方案并实施对内控执行情况评定,归集并评定内控设计和执行方面缺点；在治理层和管理层主导下，计划和实施纠正工作,跟踪验证纠正工作结果；编制内控自我评价汇报；配合审计师进行内控审计,有计划、有步骤建立内控连续改进和内控规范连续遵照有效机制（如建立相关职能、,IT,系统和相关制度）,第26页,26,企业下一步遵照工作从哪里做起？,对于已经开启和推进遵照方案企业：,应依据三项指导重新审阅既定遵照方案并视情况进行必要调整。其中，境内外同时上市企业应准确了解已经实施境外上市地监管要求与即将实施中国要求之间差异，并据以考虑是

24、否需要开展补充性工作。,应主动与监管机构互动，取得监管机构对于所碰到重大问题指导。并促使监管机构深入公布相关解释公告。,应重视与审计时就遵照方案及其执行情况金相沟通。,第27页,27,企业下一步遵照工作从哪里做起？,对于还未开展遵照工作企业：,应尽快着手制订遵照方案，明确以下要素：,-,遵照策略,-,组织体系,-,过程、步骤及时间表,-,内部和外部资源需求及资源获取方案,-,费用预算,提议企业可考虑在法定遵照年度前一年开展试评价。,有条件企业，在首次遵照时应考虑聘请外部咨询顾问，以提升遵照效率和效果并为以后年度连续遵照奠定良好基础。,主动参加监督机构规划和实施一系列培训，以掌握监管动态。,第2

25、8页,28,企业合规之路,体系建设,年度评价和汇报,评价试行和完善,一条公路,1.,制订遵照计划,2.,对内控现实状况进行全方面梳理和统计,3.,对标基本规范和应用指导进行差距分析,4.,完善内部控制，修补差距,5.,试行内部控制有效性自我评价,6.,试行内部控制审计,7.,内部控制连续改进和完善,8.,内部控制中期审计,9.,内部控制缺点跟踪和改进,10.,年度内控有效性自我评价,11.,内部控制年中审计,12.,编制并披露内控评价汇报,第29页,29,4.,完善内部控制，修补差距（,6-7,个月）,8.,内部控制中期审计,9.,内部控制缺点跟踪和改进,10.,年度内控有效性自我评价,遵照工

26、作时间安排,项目开启,1.,制订遵照计划（,1-2,个月）,3.,对标基本规范和应用指导进行差距分析,2.,对内控现实状况进行全方面梳理和统计,（,3-5,个月）,5.,试行内部控制有效性自我评价,6.,试行内部控制审计,7.,内部控制连续改进和完善,（,3-6,个月）,年初,3,月,6,月,12.,编制并披露内控评价汇报,9,月,11.,内部控制年中审计,年,4-7,个月,1-2,个月,以上时间表为于年,1,月,1,日起实施基本规范境内外同时上市企业遵照时间表示例。其它遵照企业可在更长久间内计划和实施其遵照工作。,第30页,30,五、合规工作主要结果,第31页,31,基本规范第四十七条：企业

27、应该以书面或者其它适当形式，妥善保留内部控制建立与实施过程中相关统计或者资料，确保内部控制建立与实施过程可验证性。,依据以上标准，企业在遵照基本规范及其配套指导过程，需保留一系列工作统计，包含：,工作内容：依据,应用指导,要求，建立和实施内部控制体系,工作内容：依据,评价指导,要求，对内控有效性进行自我评价,工作内容：聘请会计师事务所对财务汇报内部控制有效性进行审计,对于企业来说，内部控制建立和实施包含两方面内容：,一是建立。企业需要以书面形式，对其各业务领域内部控制进行明确要求。常见书面形式能够包含流程描述、流程图、风险控制矩阵等,二是实施，即内控执行。企业应妥善保留相关执行统计，这些执行统

28、计包含书面文档（比如签报）、电子文档、（比如电子邮件）、信息系统统计等,自我评价工作中包括工作统计包含：,内部控制评价方法（评价指导第四条）,内部控制评价过程中相关工作底稿，比如：内部控制执行有效性测试方案、穿行测试工作底稿、控制测试工作底稿、缺点汇总表及修补计划、内控缺点认定标准等,内部控制自我评价汇报,审计汇报,合规遵照主要工作结果,第32页,32,部分合规工作结果示例,-,流程描述,流程描述,主要内容,主要用途,编制方法,对流程包括业务范围、部门范围、流程目标、流程起点和终点、各子流程,/,业务步骤发起、授权、统计、处理及汇报程序、流程中主要控制活动、对应流程责任人以及相关控制文档等进行

29、描述,对控制活动描述主要包含控制目标、控制活动发生时间、执行人、主要控制办法及其执行方法、控制活动产生结果、控制活动出现问题或差异时处理方法等,用于指导和规范企业各项业务操作程序,作为员工执行控制程序和办法指南，并有利于标准化与控制流程相关控制活动,是对流程图补充和加强,供测试人员用于内控执行有效性评价,项目组人员牵头组织相关业务部门进行编制,依据流程图，从流程起点到终点，对每个流程步骤进行详细描述,第33页,33,部分合规工作结果示例,-,流程图,34,流程图,主要内容,主要用途,编制方法,以直观方式展示各子流程,/,业务步骤发起、授权、统计、处理及汇报程序，以及流程中负责部门或岗位、以及各

30、部门,/,各步骤之间信息传递关系等,每个流程图依次由各子流程、子流程中主要活动以及各项任务组成,用于指导和规范企业各项业务操作程序，以及各部门之间信息沟通程序,用于明确各部门之间工作接口，确保业务流程和关键控制活动完整性,供测试人员用云内控执行有效性评价,可用于分析和诊疗影响流程目标实现动因，识别流程中存在问题（比如权责分配合理性、流程步骤有效性、内部监控足够性、流程活动价值性），继而进行流程优化,项目组人员牵头去组织相关业务部门进行绘制,依据项目管理委员会审批确定流程图制作标准，统一制作关键流程流程图,第34页,34,）,部分合规工作结果示例,-,风险控制矩阵,35,风险,控制矩阵,主要内容

31、主要用途,编制方法,从企业层面、流程层面和信息技术层面，分别统计内控评价过程中所识别关键控制点,统计上述关键控制点对应风险、控制活动目标、设计财务报表科目及认定,统计控制点性质、种类、频率等,统计控制点对应穿行测试和控制测试及缺点整改统计索引（如有,作为业务单元关键控制点基础文件,作为控制测试基础信息起源,作为建立目标、风险、控制、科目等对应关系基础文件,作为内部控制工作系统平台基础数据起源,项目组人员依据对各业务单元内控情况梳理结果和测试结果进行填制,第35页,35,部分合规工作结果示例,-,内部控制执行有效性测试方案,36,内部控制执行有效性测试方案,主要内容,主要用途,编制方法,统计内

32、部控制执行有效性测试控制点相关信息、样本信息及其测试步骤，包含怎样进行测试，何时进行测试以及测试责任人等,明确样本库范围、抽样方式、样本数量、抽样包括期间等内容,用于指导测试人员依据控制点性质、执行频率、主要性等原因，合理确定测试抽样方式和样本量,用于指导和规范测试人员开展控制测试详细工作,为开展控制测试提供有效方法和工具,项目组人员进行编制,项目管理委员会对控制测试方案进行审批,第36页,36,六、合规工作组织与人力资源安排,第37页,37,合规工作项目组织架构,合理项目组织架构对遵照项目标顺利实施起到了至关主要作用，我们提议合规企业建立结构化项目组织架构。以下为可选择一个组织架构。,项目指

33、导委员,项目管理办公室,项目关键小组,分支机构现场业务工作小组,总部,分支机构,企业层面控制工作小组,财务工作小组,业务工作小组,信息技术工作小组,内部审计工作小组,分支机构现场工作小组,分支机构现场工作小组,分支机构现场工作小组,分支机构现场工作小组,第38页,38,合规工作项目组织架构（续）,企业可考虑采取全员参加、分级实施、逐层汇总饭食进行内部控制体系建设和评价工作：,全员参加，,即内控建设和评价工作由总部、各级分支机构管理层和流程责任人员负责实施，集团内全部企业、分支机构，各单位全部部门和岗位，均应参加内控建设和评价工作。,分级实施，,及总部、各级分支机构分别负责组织实施本单位内部控制

34、建设和自我评价工作，并指导所属单位内控工作。,逐层汇总，,即下级单位应向上级单位上报内控建设和评价结果，上级单位在汇总下级单位和本单位建设和评价结果基础上，形成汇总内控自我评价汇报。,第39页,39,合规工作所需人力资源,组成,主要职责,项目关键团体,各部门和分支机构项目协调人,各部门和分支机构流程责任人,总部即有代表性分支机构抽调业务、财务、,IT,等部门人员,由各部门和分支机构指派，应含有一定职位层级和组织能力，能在本部门和本机构内行使组织和协调工作,各部门和分支机构内各主要业务流程均应指派一名或若干名业务骨干作为流程责任人员,负责项目标整体管理和协调,负责制订项目实施方法、标准、工具和模

35、板,负责对各部门和分支机构内控梳理和评价工作进行指导，并对结果进行质量控制,负责内控评价结果汇总和披露,负责本部门或单位内内控建设工作组织、协调和推进工作,负责本部门或单位内内控建设工作整体项目管理，包含进度管理、质量管理等,负责依据总部项目关键团体制订方法、标准、工具和模板等，实施所负责业务流程内部控制梳理和测试工作,对所负责流程内控缺点进行汇报和整改工作,第40页,40,外部咨询机构,外部咨询机构,独立评价小队,内部审计人员,由独立于流程责任人之外专职部门或机构（比如内部审计机构）负责实施内部控制独立评价,结合日常监督和专题监督，基于风险评定重点检验，对象为包括高风险领域相关控制,相对独立

36、客观评价,提供培训和各种专业技术支持,帮助进行项目所需方法、工具和模板开发,帮助进行项目管理,帮助进行内控梳理工作,帮助对所识别内控缺点提供发觉和提议,组成,主要职责,第41页,41,七、怎样了解内部控制主要性及其与风险管理关系,第42页,42,什么是内部控制,COSO,内部控制框架,内部控制是由企业董事会、管理层和其它员工实施，为实现经营效果性和效率性、财务汇报和可靠性以及适使用方法律、法规遵照性等目标提供合理确保一个过程。,企业内部控制基本规范,内部控制是由企业董事会、监事会、经理层和全体员工实施、意在实现控制目标过程。,内部控制目标是合理确保企业经营管理正当合规、资产安全、财务汇报及相

37、关信息真实完整，提升经营效率和效果，促进企业实现发展战略。,第43页,43,内部控制产生,目标,风险事件,风险应对,控制,保护手不受伤害,火烧了手,把手从火中拿出,感知火,通知大脑,传送大脑指令,收缩肌肉,？,第44页,44,内部控制产生,企业建立和完善内部控制体系，及最终目标是为控制风险，实现企业目标。合理了解目标、风险和控制之间关系，是了解企业内部控制和风险管理理念基础：,企业目标：,可量化，可衡量，能够实现业务目标,风险：,企业面临风险是由内部或外部原因引发，对企业现实目标或潜在目标造成影响一系列不确定事件,风险应对策略：,企业依据本身条件和风险偏好、风险承受度，选择风险负担、躲避、转移

38、转换、对冲、赔偿、控制等适合风险管理总体策略,控制：,经过系统管理程序或活动确保风险应对策略有效实施，降低不确定性影响,？,第45页,45,目标、风险和内部控制关系,目标：,确保仓库货物安全,风险：,发生火灾造成资产损失,风险应对策略：,躲避风险：停顿业务,转移风险：为货物购置保险或者外包第三方机构等,控制风险：消除火灾隐患，并加强消防办法,-,保持线路情况良好,-,禁止明火和潜在火种,保持灭火装置（消防栓、灭火器、消防喷头等）功效良好,内部控制：,处理“怎样确保上述应对策略有效执行”问题，比如以控制风险为例：,定时对线路进行检测，生成检测汇报，报相关管理层审阅,设置保安岗位，随时检验并消除

39、火灾隐患，并及时汇报,定时对灭火装置进行检验，生成检验汇报，及时更新陈旧设备,？,第46页,46,什么是内部控制框架,内部控制框架（或内部控制模型）通常由政府监管机构或民间含有权威性职业组织（或二者合作）建立，意图知导本国或本行业企业建立并保持良好内部控制，以帮助企业达成使命，实现目标并降低风险。,内部控制框架通常包含内部控制订义和目标、内部控制组成部分、内部控制标准、内部控制详细形式和分类等内容。,一个良好和内部控制框架因地制宜，全方面考虑一个国家或一个行业企业经营内外部环境各方面特点。,对于一个比较成熟企业来说，在长久生产经营实践中必定已经建立了比较成型内部管理制度体系。不过，通常在与内控

40、相关要素完整性、科学性等方面均会存在一些缺点。而内部控制框架，则为企业怎样建立完善内部控制体系提供了一个理论依据，而且为怎样更有效地对内控进行管理提供了指导。,一个整合内部控制框架,信息与沟通,监督,控制环境,第47页,47,国际最广泛应用内部控制框架,COSO,内部控制整合框架,监控,评定内部控制系统,整合及时独立评定,管理层和监控机构工作,内部审计,信息和沟通,定时获取、确定并交流相关信息,评审内部和外部获取信息,信息流：,职责指导管理层总结成功办法,控制环境,管理哲学和经营格调,原因包含正直、道德价值、能力、权威和责任,董事会和审计委员,人力资源政策和实务,是其它内部控制组成部分基础,控

41、制活动,明确落实管理层政策,/,流程,办法包含审批、授权、确认、提议、业绩考评、资产保全和权限分离,风险评定,风险评价是因一些决定性内部控制活动和企业目标而确认和分析相关风险,全部五大要素必须同时发挥作用，才能让内部控制有效地运作,第48页,48,案例分析：内部控制真实涵义,如前所述，内部控制不单单是详细业务操作活动，而是包含了控制环境、风险评定、控制活动、信息与沟通、内部监督等要素在内一个有机整体。一下经过详细案例，分析了在一个企业中，假如上述内控要素缺失或存在问题，将给企业带来什么样严重损失。,第49页,49,事件概要,年,1,月,24,日，法国第二大银行法国兴业银行（以下简称“法兴银行”

42、披露，因为旗下一名交易员违规投机金融衍生品，使该行,72,小时之内蒙受约合,49,亿欧元（,71.6,亿美元）巨额亏损。据称，这也是有史以来包括金额最大交易员欺诈事件。,该交易员名叫热罗姆,.,科维尔。年,1,月,28,日，他被法兴银行控以“伪造银行文件、滥用信用、非法进入系统，并在欧洲指数期货投机交易中造成该行高达,49,亿欧元巨额亏损”罪名。,年至年,1,月一年间，科维尔在他股指期货交易过程中，绕过风险监视系统监控，建立了高达,500,亿欧元期货净交易头寸，远远超出了他权限，不过,法国兴业,银行高层对这一事件却毫不知情，知道因为科维尔一个错误举动出发了电脑系统警报，才造成东窗事发。,此案

43、发生后立刻引发广泛关注，法国央行和财政部均已介入调查。外界对法兴银行，尤其是其风险控制系统疑问重重。作为全球衍生品市场领头羊，终究是市场风险还是操作风险引发了此次欺诈案？法兴银行案例将给企业带来何种启示？,第50页,50,事件始末,1,、贪图高额投机利润铤而走险,科维尔,年加入法兴银行，,年被晋升为前台交易员。晋升后科维尔身处 低风险套利交易部门，从事指数期货套利交易,套利交易是从一个市场买入资产，同事或几乎同时在另外一个市场售出，以期从不一样市场差价中获取利润。因为这是一个短线交易，且相同金融工具价值相差无几，所以这种交易名义金额巨大，但风险较小。,科维尔未取得高额投机利润，放弃了套利交易模

44、式，越权建立了大额单边投机头寸。因为在包含监督部门等多个中台部门工作过，使得他对企业交易类业务监控流程了如指掌。他采取各种手法，掩盖其单边头寸。,1.,建立虚拟逆向交易，使投资组合从表面看被对冲,2.,从操作部门盗用,IT,密码，将其虚假交易及时从系统删除，伪造文件证实虚假交易,3.,建立多个虚拟反向性交易（购置,/,出售），掩盖其越权交易收益,2,、虚假交易确认函造成东窗事发,.1.7,科维尔开始建立总体股指期货多头头寸并出现亏损，但经过虚拟方向交易保持风险中性,第51页,51,3,、管理层果断平仓稳住市场,.1.20,法兴高层决定平仓；取得央行和监管部们同意平仓后向市场披露信息,.1.23

45、连续三天平仓完成实际亏损,49,亿欧元,.1.24,早晨向媒体披露交易亏损因为多头已被全部平仓，当日股市并未受到显著影响,.1.18,银行发觉一家交易对手信用风险异常，当日，法兴银行收到来自该交易对手确实认函，成交易“正常”，引发相关部门怀疑并开始了紧急调查，发觉该确认函是科维尔而伪造,.1.19,科维尔被叫到银行问话，发觉持有欧洲股指期货头寸合约价值约,500,亿欧元，当初亏损,15,以欧元,第52页,52,原因剖析,市场风险：不利市场走向,但市场风险仅仅是违规事件暴露促发点，而不是根本原因：,科维尔职责是从事交易经过发觉基差失衡赢利，不需要预判市场走向,发行银行风险管理系统采取“风险价值

46、VAR,）作为指标，充分考虑了市场类别风险计量与管理,所以，法兴银行巨额亏损原因在于监控系统长久未能发觉交易员越权交易，市场风险不过是事件暴露诱因,操作风险才是案件发生根本原因,交易员越权欺诈交易,上级主管长久监管渎职,风险控制系统漏洞,交易员深度违规长久未被监管,第53页,53,案件发生原因深层次剖析,内部环境,-,银行从科维尔做空,年底股指期货交易中得到了巨大收益，不过这种收益是建立在巨大市场风险之下取得，法兴银行却因为巨大收益忽略了企业头寸市场风险，酿成了最终惨剧,-,出于对高额投资利润追捧，法兴银行对稽核部门例外情况汇报未给予足够重视，加上不适当薪酬激励和人力资源不足影响前中后台

47、独立性，造成交易员违规操作越加频繁,风险评定,-,高层管理员被交易带来巨大收益麻痹了头脑，忽略了企业整体寸头市场风险。假如企业用,RAROC,（经过风险调整后收益率）来衡量交易类业务收益，那么银行一定不会对科维尔建立头寸在,年底收益感到满意,第54页,54,根本、关键原因在与发行银行内部控制体系中相关要素出现了问题,内部监督,-,风险控制人员和结算人员地位较低，使得交易对后台可能会有一冲压力。这种压力造成了风险控制人员和结算人员在监控和结算交易员交易仓位时候，经常会抱着一个多一事不如少一事心态，放松了对交易员监管，位交易员进行越权交易和欺诈性交易提供了可趁之机,信息与沟通,-,交易员长达一年虚

48、拟对冲交易，系统未能有效识别并触发警报,-,中后台监控系统权限在熟知监控流程员工离开后，并没有马上更新监 控管理系统密码和权限，为企业,IT,系统受到坑骗和攻击埋下了伏笔。系统访问权限和密码能够被交易员轻易篡改，造成其作案得心应手,第55页,55,案例启示,启示一：检验业务流程漏洞，预防欺诈性交易,定时梳理业务流程，纠正内部控制漏洞：比如，在后台人员离职之后，不论是离开企业还是到其它部门任职，监控系统密码和权限要及时重置，以控制操作风险口,提升对欺诈性交易识别能力：优化内部控制流程，并增加对应控制点，比如岗位职责分离、设置,AB,角、严格审批程序等，以有效防范内部欺诈,启示二：在进行大量盈利同

49、时，不要忘记同时存在风险,假如企业用,RAROC,（经过风险调整后收益率）来衡量交易类业务收益，那么法兴银行一定不会对科维尔建立头寸在,年底收益感到满意,启示三：重视监督部门地位和权利,企业中后台人员应该赋有和前台人员一样地位和权利，企业前中后台工作人员在每项详细业务中，应该是一个平行化设置，不应该出现前台人员对中后台人员有越权管理事情发生。这同时也需要企业在薪酬和考评体系上制订对应政策，防止不适当激励和人力资源不足影响前中后台独立性及其实际效果,第56页,56,启示四：重视系统安全，防范技术风险,加强信息系统建设，针对市场环境改变适时更新和升级系统,严格设置系统访问和修改权限，确保信息安全性

50、和完整性,启示五：借鉴风险处置经验，果断从风险中止损,当风险被识别后，要果断采取办法进行应对，将风险损失控制在最低范围内,第57页,57,中央企业风险管理指导,总则,风险管理初始信息,风险评定,风险管理策略,风险处理方案,风险管理监督与改进,风险管理组织体系,风险管理信息系统,风险管理文化,第58页,58,中国企业内部控制体系框架,企业内部控制基本规范,内部监督,信息与沟通,控制活动,风险评定,内部环境,业务单元,A,业务活动,1,业务单元,B,业务单元,2,业务单元,3,经营管理正当合规,资产安全,财务汇报及相关信息真实完整,提升经营效率和效果,促进企业实现发展战略,第59页,59,内部控制