EAS内部控制与风险管理体系
EAS战略管理系统部王云
导读
风险管理系统对很多客户、机构营销实施等人员来说,都是一个新领域。
美国Committee of Sponsoring Organizations (COSO) 于2004年9月发布了《企业风险管理——整合框架》。2004版的COSO框架构建了一个较为完善的企业风险管理框架,它提供了关键原则和概念、共同的语言以及明晰的方向和指南。作为一本国际权威文献,该框架除了在美国企业中应用,也为其他国家广泛借鉴应用,同时也是金蝶EAS风险管理系统建立的重要理论标准。
适用范围
本文适用于EAS 项目实施人员。适用与EAS 所有通用版本。
请注意:本文件只作为产品介绍之用,不属于您与金蝶签署的任何协议。本文件仅包括金蝶既定策略、产品及功能方面的信息,不能以本文件作为要求金蝶履行商务条款、产品策略以及开发义务的依据。本文件内容可能随时变更,恕不另行通知。
目录
1背景 (3)
2内部控制与风险管理体系 (3)
2.1概述 (3)
2.2常用术语与概念 (4)
2.3企业风险管理整合框架 (6)
2.4内部控制基本规范 (12)
2.5国有企业内部控制框架 (13)
3体系涉及的几个重要关系 (14)
3.1内部控制与风险管理的关系 (14)
3.2风险管理与内部审计的关系 (15)
3.3指标监控、信息系统及风险管理的关系 (15)
3.4风险管理与企业管理的关系 (16)
内部控制与风险管理体系
1背景
内部控制与风险管理在国外经历了几十年的发展与演进,形成了以保障战略目标、经营目标、报告目标、合规目标为主要目标的一套相对完整的体系。在内部控制与风险管理理论的不断发展与完善的不同时期,学界与业界有着不同的解读与认识,但从目前多国的普遍研究与实践看,监管部门与集团企业管理层对内部控制与风险管理达到了前所未有的重视程度。风险管理已经成为企业管理信息系统的主线和方向,信息系统和内控风险管理趋于融合和统一。风险识别重要,而对风险的控制和预防更重要,风险与控制活动是蕴含在业务流程之中的,所以信息系统就成为风险控制的有力工具,而要有效发挥这种工具的价值,风险管理要求融入信息系统之中就成为一种必然。因此我们必须尽快学习并掌握风险管理理论体系,为把握风险管理产品、协助集团企业构建科学的内控与风险管理系统做好充分的知识准备。
2内部控制与风险管理体系
2.1概述
2001年前后爆发的一系列公司丑闻,使得各国对采用新的法律法规和上市公司监督准则来加强公司治理与风险管理的要求变得日益迫切。美国Committee of Sponsoring Organizations (COSO) 首先于2004年9月发布了《企业风险管理——整合框架》。2004版的COSO框架构建了一个较为完善的企业风险管理框架,它提供了关键原则和概念、共同的语言以及明晰的方向和指南。作为一本国际权威文献,该框架除了在美国企业中应用,也为其他国家广泛借鉴应用。 COSO框架常以下图所示的立方体形式表达。这一框架体现了企业风险管理的八个要素,同时也展现了企业目标和组织结构这两个重要维度。
这一框架体现了企业风险管理的八个要素,同时也展现了企业目标和组织结构这两个重要维度。作为企业风险管理核心的八要素,从不同方面体现了企业风险管理的重要步骤,详见上图分析。总体来讲2006年五部委颁布的《企业内部控制基本规范》的主要框架同上述COSO框架基于同样的风险管理理念,事实《基本规范》的五要素体系严格对应了92版的COSO框架。
2.2常用术语与概念
风险容量是一个主体在追求价值的过程中所愿意承担的广泛意义上的风险的数量。它反映了企业的风险管理理念,进而影响了主体的文化和经营风格。
事项是源于内部或外部的影响战略实施或目标实现的事故或事件。
风险是一个事项将会发生并给目标实现带来负面影响的可能性。
事项识别即管理当局识别将会对主体产生影响的潜在事项。确定它们是否代表机会,或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险,它要求管理当局予以评估和应对。正面影响的事项代表机会,管理当局可以将其反馈到战略和目标设定过程之中。
风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度:可能性和影响,对事项进行评估,并且通常采用定性和定量相结合的方法。
固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下,一个主体所面临的风险。
剩余风险是在管理当局的风险应对之后所残余的风险。一旦风险应对已经就绪,管理当局接下来就要考虑剩余风险。
风险应对策略包括风险回避、降低、分担和承受。在考虑应对的过程中,管理当局评估风险的可能性和影响的后果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对策略。
风险管理组织体系:组织结构和责任归属的构建与落实在企业风险管控的实施过程中有极其重要的地位。可以说是整个项目成功与否的基础。特别是对于一个周期长、涉及企业层级多、业务范围广、参与人员众多、内容复杂并需要企业全体人员尤其是企业高层管理者全力支持的项目来说。
整个风险管控的组织构成涉及了企业管理的各个层面和不同职能部门。下图展现的是基于中央国资委《全面风险管理指引》的一个典型的风险管控组织结构。
2.3企业风险管理整合框架
如上所述,2004版的企业风险管理整合框架是一本国际权威文献,该框架除了在美国企业中应用,也为其他国家广泛借鉴应用,另外也是金蝶EAS风险管理系统建立的重要理论标准。因此我们必须首先学习并把握该框架相关内容:
2.3.1内容概述
企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性,管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时,要确定承受多大的不确定性。不确定性可能会破坏或增加价值,因而它既代表风险,也代表机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会,增进创造价值的能力。
当管理当局通过制订战略和目标,力求实现增长和报酬目标以及相关的风险之间的最优平衡,并且在追求所在主体的目标的过程中高效率和有效地调配资源时,价值得以最大化。企业风险管理包括:
协调风险容量(risk appetite)与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中,需要考虑所在主体的风险容量。
增进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间进行选择提供了严密性。
抑减经营意外和损失——主体识别潜在事项和实施应对的能力得以增强,抑减了意外情况以及由此带来的成本或损失。
识别和管理多重的和贯穿于企业的风险——每一家企业都面临影响组织的不同部分的一系列风险,企业风险管理有助于有效地应对交互影响,以及整合式地应对多重风险。
抓住机会——通过考虑全面范围内的潜在事项,促使管理当局识别并积极地实现机会。
改善资本调配——获取强有力的风险信息,使得管理当局能够有效地评估总体资本需求,并改进资本配置。
企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标,防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规,还有助于避免对主体声誉的损害以及由此带来的后果。总之,企业风险管理不仅帮助一个主体到达期望的目的地,还有助于避开前进途中的隐患和意外。
2.3.2要素解析:
企业风险管理整合框架构成要素包括:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通及监督。各要素解析:
2.3.2.1 内部环境
内部环境是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构。它影响着战略和目标如何制订、经营活动如何组织以及如何识别、评估风险并采取行动。它还影响着控制活动、信息与沟通体系和监控措施的设计与运行。
内部环境受到主体的历史和文化的影响。它包含许多要素,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。董事会是内部环境的一个关键部分,它对其他的内部环境要素有重大的影响。
2.3.2.2 目标设定
目标是设定在战略层次上的,它为经营、报告和合规目标奠定了基础。目标设定是事项识别、风险评估和风险应对的前提。在管理当局识别和评估实现目标的风险并采取行动来管理风险之前,首先必须有目标。
从2004年版本的“企业风险管理整合框架”看,企业目标包括如下四类:
a)战略目标:管理层从愿景出发,制定企业战略目标。战略目标是高层次的目标,它
反映了管理层就企业如何努力为它的利益相关者创造价值所做出的选择。
b)经营目标:经营目标关系到主体经营的有效性和效率,反映主体运作所处的特定的
经营、行业和经济环境。
c)报告目标:报告目标包括可靠的对内、对外报告;对内报告为管理当局提供适合其
既定目的的准确而完整的信息;对外报告可能包括财务报表与附注披露、管理当局
的讨论与分析以及向监管机构提交的报告。
d)合规目标:企业从事经营活动所必须符合的相关法律和法规。
从2008年财政部等五部委联合颁布的“企业内部控制基本规范”看,企业目标是:企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效率,促进企业实现发展战略。即包括的五类目标:战略目标、经营目标、报告目标、合规目标及资产安全目标。相比COSO企业风险管理框架,增加了资产安全目标。
2.3.2.3 事项识别
事项是源于内部或外部的影响战略实施或目标实现的事故或事件。事项可能带来正面或负面影响,或者两者兼而有之。
在事项识别的过程中,管理当局认识到不确定性的存在,但是并不知道一个事项是否会发生,或什么时候发生,或者它所带来的确切影响。管理当局最初只考虑源于外部和内部的一系列潜在事项,而没有对它们的影响是正面的还是负面的作必要的关注。管理当局按照这种方法识别的不仅仅是具有负面影响的潜在事项,而且还包括那些代表着应该追逐的机会的事项。
事项有的明显,有的很隐晦;所产生的影响有的微不足道,有的十分重大。为了避免忽略相关的事项,最好把识别与对事项发生的可能性和它的影响的评估区分开来。
2.3.2.4 风险评估
风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度:可能性和影响程度,对事项进行评估,并且通常采用定性和定量相结合的方法。
在评估风险时,管理当局考虑预期事项和非预期事项。许多事项是常规性的和重复性的,并且已经在管理当局的计划和经营预算中提到,而其他的事项则是非预期的。管理当局评估可能对主体有重大影响的非预期的潜在事项以及预期事项的风险。
在评估风险时,管理当局既考虑固有风险,也考虑剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下,一个主体所面临的风险。剩余风险是在管理当局的风险应对之后所残余的风险。一旦风险应对已经就绪,管理当局接下来就要考虑剩余风险。
在评估风险时,对风险的可能性和影响的估计值通常利用来自过去的可观察事项的数据来确定,它提供了一个比完全主观的估计值更加客观的依据。根据一个主体自己的经验内部生成的数据可能会反映较少的主观个人偏见,并提供比来自外部渠道的数据更好的结果。但是,即使在内部生成的数据是主要输入的地方,外部数据作为一个印证或者对于增进分析可能很有用。例如,一家公司的管理当局在评估由于设备故障所导致的生产中断风险时,首先看它自己的制造设备先前发生故障的频率和影响。接下来用行业基准来补充数据。这样就能够对故障的可能性和影响进行更精确的估计,从而能够制订更有效的防护性维护计划。当利用过去的事项来对未来进行预测时,应该保持谨慎,因为影响事项的因素可能随着时间的推移而发生变化。
2.3.2.5 风险应对
在评估了相关的风险之后,管理当局就要确定如何应对。风险应对包括风险回避、降低、分担和承受。在考虑风险应对的过程中,管理当局评估对风险的可能性和影响的效果,以及成本效益,选择能够使剩余风险处于期望的风险容限以内的应对。管理当局识别所有可能存在的机会,从主体范围或组合的角度去认识风险,以确定总体剩余风险是否在主体的风险容量之内。
2.3.2.6 控制活动
控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织,遍及各个层级和各个职能机构。它们包括一系列不同的活动,例如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。
控制活动的类型的许多不同的表述,包括预防性的、检查性的、人工的、计算机的以及管理控制。控制活动还可以根据特定的控制目标来进行分类,例如确保数据处理的全面性和准确性。如:
●高层复核:高层管理当局对照预算、预测、以前期间和竞争者来复核实际的业绩。
主要的活动——例如营销冲刺、改进生产流程以及成本抑制或降低计划等——被反
映到任务实现程度的计量指标上。并对新产品开发、合营企业或筹资计划的执行进
行监控。
●直接的职能或活动管理:负责职能机构或活动的管理人员业绩报告。一位负责一家
银行的消费者贷款的管理人员审核按分行、地区和贷款(担保)种类区分的报告,
核对摘要,识别趋势,并将结果与经济统计数据和任务进行对照。分行管理人员收
到按贷款官员和地区客户分片区分的新业务数据。分行管理人员还要关注合规问
题,审核监管机构对规定金额的新存款所要求的报告。根据集中为隔夜转账和投资
所报告的净头寸,调节每日的现金流量。
●信息处理:实施一系列的控制来检查交易的准确性、完整性和授权。输入的数据要
经过联机编辑核对(on-line edit checks)或与经批准的控制文件相匹配。例如,一
个客户的指令只有在对照了经批准的客户文件和信用限额之后才能被接受。对交
易的数量化结果进行核算,对例外情况追查到底并报告给监督人员。对新系统的开
发和现有系统的改变,以及对数据、文件和程序的进入都要加以控制。
●实物控制:对设备、存货、证券、现金和其他资产进行实物性的保护,定期盘点,
并与控制记录上所反映的数额相比较。
●业绩指标:把不同系列的——经营的或者财务的——数据彼此联系起来,与对相互
关系的分析以及调查和矫正措施一起,构成了一项控制活动。例如,业绩指标包括
各个单元的员工流动率。通过调查非预期的结果或异常的趋势,管理当局可以识别
由于没有足够的能力去完成关键的流程而可能意味着实现目标的可能性较低的情
况。管理当局如何利用这种信息——仅仅用于经营决策,或是还要追查报告系统中
非预期的结果——决定着对业绩指标的分析是只能用于经营目的,还是也能同时用
于报告控制目的。
职责分离:把不同人员的职责予以分开或隔离,以便降低错误或舞弊的风险。举例来说,交易授权、记录和处理相关资产的职责就要分开。一位授权赊销的管理人员
不能负责记录应收账款或处理现金回款。同样,销售人员无权修改产品价格文件或
佣金比率。
通常执行一个控制组合来处理相关的风险应对。例如,一家公司的管理当局设定交易限额来管理与一个投资组合相关的风险,并确定旨在帮助确保不超过交易限额的控制活动。控制活动包括在之前停止特定交易的预防性控制,以及及时地识别其他交易的检查性控制。控制活动把计算机和人工控制结合起来,包括确保正确获取了所有信息的自动抽,以及使负有责任的个人能够授权或批准投资决策的途径程序。
2.3.2.7 信息与沟通
信息与沟通是企业及时、准确地收集、传递与风险管理相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。有效的信息沟通会出现信息在组织中向下、平行和向上的流动。
一个组织中的各个层次都需要信息,以便识别、评估和应对风险,以及从其他方面去经营主体和实现其目标。要利用与一个或多个目标类别相关的大量信息。来自内部和外部来源的经营信息,包括财务的和非财务的,与多个经营目标相关。例如,财务信息不仅用来编制财务报表以实现报告目的,还用于经营决策,例如监控业绩和配置资源。可行的财务信息对于计划、预算、定价、评价卖主的业绩、主体合营企业和联盟以及一系列其他的管理活动而言是十分重要的。
2.3.2.8 监控
监控是企业对内部控制与风险管理体系的建立与实施情况进行监督检查。监控可以通过持续监控、个别评价或者两者相结合来完成。
持续监控包含于一个主体正常的、反复的经营活动之中。持续监控被实时执行,动态地应对变化的情况,并且植根于主体之中。因此,它比个别评价更加有效。由于个别评价发生在事后,所以通过持续监控程序通常能够更迅速地识别问题。许多主体尽管有着良好的持续监控活动,也会定期对企业风险管理进行个别评价。如果需要经常性个别评价的主体,应该
集中精力去改进持续监控活动。
在正常的经营过程中,许多活动可以考虑到监控企业风险管理的有效性的作用。它们来自定期的管理活动,可能包括差异分析、对来自不同渠道的信息的比较,以及应对非预期的突发事件。
持续监控活动一般由直线式的经营管理人员或职能式的辅助管理人员来执行,以便对他们所接收的信息的含意予以深入考虑。通过关注关系、矛盾或其他的相应含意,他们提出问题并追查必要的其他员工,以确定是否需要矫正或其他措施。持续监控活动应与经营过程中的政策所要求执行的活动区分开来。例如,作为信息系统或会计程序所要求的步骤来执行的交易审批、账户余额调节以及验证主要文件的准确性,最好界定为控制活动。
尽管持续监控程序通常能提供有关企业风险管理的其他要素的有效性重要反馈。但是有时候采取个别评价直接关注企业风险管理的有效性可能是很有用的。它也能提供一个考察持续监控程序的持续有效性机会。
2.4内部控制基本规范
在2008年6月28日,财政部等五部委联合正式发布《企业内部控制基本规范》;基本规范自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。由于受到金融危机等经济环境影响,已将实施时间延后。届时,全体上市公司都将向交易所提交企业内部控制报告,而对于其他非上市公司则予以鼓励施行。
《企业内部控制基本规范》明确指出企业要建立与实施有效的内部控制,应当包括下列要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。如下图所示:
从上可以看出,新的企业内部控制基本规范的体系基础仍是COSO的内部控制框架;但重点突出如下内容:
1、科学界定了内部控制的内涵。强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,有利于树立全面、全员、全过程控制的理念;
2、准确定位内部控制的目标。要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果的基础上,着力促进企业实现发展战略;
3、统筹构建了内部控制的要素。有机融合世界主要经济体加强内部控制的做法经验,构建了以内部控制环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保障,相互联系、相互促进的五要素内部控制模型;
4、开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制。要求企业实行内部控制自我评价制度;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。
2.5国有企业内部控制框架
2.5.1内控与风险管理在国企开展
近年来,国资委采取了一系列措施来加强和推动风险管理在企业中的开展:
首先,推动央企逐步建立切实可行的风险管理体系。
其次,建立中国国情的企业内部控制和风险管理的制度体系。2006年至2008年,国资委、财政部等部门发布一系列的制度与规范(如《中央企业全面风险管理指引》)。
再次,加强央企内部风险管理和主要风险领域的监管。主要是落实企业内部控制和风险管理的责任,并且责任到人。如:2006年4月国资委发布了《中央企业总会计师工作职责管理暂行办法》。
最后,建立健全资产损失责任追究制度。如:2008年国资委出台了《中央企业资产损失责任追究管理办法》,进一步明确企业负责人、相关责任人在加强企业内部控制和风险管理方面的管理和监督责任;组织对企业高风险业务的管理方式、管理效率和投资结果的客观、公正的评价;对在内部管理、内部控制和风险管理方面违反国家法律法规或工作不尽职造成重大资产损失的责任人,国资委将按规定进行责任追究。
近期,再次强调并要求央企建立建全“全面风险管理管理体系”,如2009.12.14.,国资委在中央企业负责人会议中再次强调并要求持续推动企业健全全面风险管理管理体系。
由此可看出,风险管理已成为国资委对国有企业及其高管人员进行规范与考核的重要标准。由于包括央企与地方国企等在内的大中型国有企业集团也是金蝶EAS的目标客户,为此我们需要熟悉该基本框架。
2.5.2国企内部控制基本框架
国资委“国有企业内部控制研究课题组”在综合考虑国有企业特殊环境及国有企业在内部控制建设实践过程中所获取的经验与认知的同时,借鉴COSO内部控制基本框架和COSO的风险管理框架,参考萨班斯法案404条款,提出并建立了国有企业“12345内部控制基本框架”,即:
1.一个首要目标:运营效率与效果。
2.两大责任主体:主要管理人与控股股东。
3.三条建设主线:治理环境、会计财务控制和业务控制。
4.四大基本原则:强支撑、短流程、高授权、大监督。
5.五项保障措施:改善支撑环境、提高风险应对能力、完善政策流程、促进信息沟
通、提高监督能力。
基本框架从3个纬度确定了内部控制框架的基本构成,即目标、内容和措施;从两个层面确定了内部控制建设和实施的责任主体,即国有大股东和管理层;从4个角度确定了内部控制建设和实施的基本原则,即强支撑、短流程、高授权、大监督。
3体系涉及的几个重要关系
3.1内部控制与风险管理的关系
内部控制与风险管理是一对既有联系又互有差别的概念。
内部控制是为了提高经营效率与效果,遵守有关法律法规与企业内部规章制度,保证信息的真实、可靠和资产安全、完整,从而实现企业的战略目标。
风险管理包括狭义的风险管理与广义的风险管理。狭义的风险管理是企业先收集风险信息,进行风险评估,选择风险管理策略,制定风险管理方案,并对风险管理进行持续的监督和改进,同时还要构建风险管理组织体系和风险管理信息系统,营造风险管理文化。相对于内部控制,狭义的风险管理是一个更为独立的过程,更偏向对于影响目标实现的风险的识别、分析、评估与应对。
广义的风险管理涵盖内部控制,内部控制是企业风险管理不可分割的一部分。COSO委员会2004年颁布的“企业风险管理整合框架”涵盖了内部控制整合框架,构建了一个更强有力的概念和管理工具。在实际操作中,内部控制是基于风险的控制过程,内部控制活动通常嵌入到企业各业务流程的具体业务活动,融合在企业的各项规章制度中,使企业在正常运营过程中自发地防止错误,防范风险,提高效率,合理保障企业目标的实现。
3.2风险管理与内部审计的关系
风险管理与内部审计两者之间存在互相促进、互相提升的关系。
风险管理的内涵非常广泛,而且风险管理过程是一个连续不断的过程,几乎覆盖了企业周转运营的各个方面。内部审计是公司治理的四大基石之一,是风险管理的重要组成内容,是风险管理八要素中监督的重要手段,同时也是风险管理不断完善、持续改进的建议与监督主题。内部审计具体表现为:在企业内部通过审查和评价自身经营活动、财务行为、内部控制等的合法、适当、有效而开展的独立的监督评价活动。相应的,风险管理是内部审计的工作对象之一,风险管理需要内部审计对内部控制与风险管理体系的设计是否合理、执行是否有效等方面进行检查、反馈,从而实现自身的不断完善和提高。
3.3指标监控、信息系统及风险管理的关系
指标监控(BI、KDSS等)、信息系统(ERP)及狭义的风险管理构成了内部控制与风险管理体系(即全面风险管理体系),它们间的关系反映如下:
另外,我们从2004版的企业风险管理整合框架中,也可以看到COSO八要素之一“监控”,监控是内部控制机制实现效率与风险防范平衡的重要管理手段。而指标监控则是实现风险管理过程监控的重要工具,可以帮助企业从大量的财务、运营指标中,提炼出从不同方位反映企业财务经营状况的关键指标,通过与标杆指标的对比分析,捕捉管理层容易忽略的关键信息,或是下级管理者人为隐瞒的关键数据。
3.4风险管理与企业管理的关系
风险管理与企业管理也是一对相互关联、相互促进的关系。
企业管理是指由企业管理层或管理机构对企业的经济活动过程进行计划、组织、指挥、协调、控制,以提高经济效益的一系列活动的总和。管理工作有三个基本职责:计划、组织、领导。计划主要是制定组织的目标。组织就是要集中人力、物力、财力资源,按照组织的政策和计划分配到各部门各单位。领导就是运用行政职权,采取适当的措施,保证组织按照计划运转。为了实现组织的目标必须制定一整套管理制度,这套制度包购计划、组织、领导以及各项政策、规章、制度、标准和程序,这总称为内部控制。企业管理是一个非常广泛的概念,不但涉及企业的内部经营管理,而且涉及企业的外部关系。内部控制与风险管理是企业管理的重要组成内容,是企业内部为确保企业目标实现而建立起来的一系列政策、规则、程序,是从风险和控制的角度系统地将企业管理具体化,也可以说是企业管理的具体化。当然,
企业管理的方法和工具较多,如六西格玛管理、7S管理体系等,企业风险管理从内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等角度系统地提出了完善企业管理的方法。企业风险管理更为有效,企业管理水平也就会提高。相反,企业内部控制不健全,风险管理无效,企业管理水平也就薄弱。
参考文献:
2004版的企业风险管理整合框架
中央企业全面风险管理指引
企业内部控制基本规范
国有企业内部控制框架,等。
企业内部控制规范案例 一、资金内部控制 (一)某公司出纳贪污公司款项案。 A事务所在对G公司进行审计时,在对货币资金项目审计中执行如下的审计程序,到达现场前将询证函交予给出纳李某,由其到银行函证后带回,在现场审计时交给审计助理。同时提供银行对账单。对于未达账项,该公司系由出纳李某编制未达账项调整表。审计人员对于重要的未达账项进行检查。 几年之中A事务所一直在这样进行审计,该公司出纳也一直由李某担任,并配合事务所的审计工作。 后一次偶然事件中,李某临时调任,由其妻子接任出纳,在与银行对账时发现差额较大。在检查对账单时发现,该对账单系伪造的。进一步调查中,该公司发现,李某竟然贪污公款100多万元,用来开公司。几年来李某一直通过伪造银行公章在询证函上加盖确认章,对于银行对账单也同样进行伪造。且李某贪污一直隐瞒家人,其妻子父母也均不知晓。 结果:A事务所被辞聘,公司向李某追回贪污款60余万元,由于李某的父亲是该公司的老员工老技术骨干,李某的妻子也在该公司工作,因此公司仅决定向李某一家追回剩余的贪污款项,并未向李某提起诉讼。 但银行由于李某伪造银行公章,对李某提起诉讼,李某因此锒铛入狱。 思考:问题何在?风险何在? 1.传统思维,会认为A所的审计程序执行过程不当,未严格进行函证的控制。 2.新准则下,问题应当如何考虑? 1)未合理进行风险评估。 李某同时担任出纳及未达账项调整的工作,属于不相容岗位。导致风险加大。 李某连续担任出纳多年,没有及时轮岗,增加了舞弊的机会。 李某调任,而由其妻子接任,从本质角度来讲,依然不能属于合理的轮岗。 2)未能根据评估的风险来进行相应的进一步审计程序,没有对由于内部控制缺陷而可能导致的舞弊进行特殊考虑,设计并执行相应的审计程序。 3)已执行的审计程序执行过程不当,未严格进行函证的控制。 进一步:G公司对李某的“网开一面”行为,给今后舞弊留下的后患。因此,对于后任事务所而言,在审计中对于舞弊仍要给予特别的考虑和重视。 (二)杰克公司货币资金内部控制案例 杰克公司的前身是一家国有企业,始建于1978年。1998年转制为杰克公司,经过数十年的发展积累了相当丰富的工艺技术和一定的管理经验,有许多公司管理制度。公司经过多年的不间断改造、完善,提高了产品的生产能力和产品市场竞争能力,并引进了先进的生产设备。公司具有较强的新产品开发能力,主要生产5大系列28个品种120多种规格的低压和高压、低速和高速、异步和同步电动机。公司具有完整的质量保证体系,2002年通过ISO9000系列质量管理体系认证。公司年创产值2 800万元,实现利润360万元。企业现有员工600多人,30%以上具有初、中级技术资格,配备管理人员118人,专职检验人员86人,建立了技术含量较高的员工队伍。随着公司的发展壮大,在经营过程中出现了一些问题,已经影响到公司的发展。 该公司出纳员李敏,给人印象兢兢业业、勤勤恳恳、待人热情、工作中积极肯干,不论分内分外的事,她都主动去做,受到领导的器重、同事的信任。而事实上,李敏在其工作的一年半期间,先后利用22张现金支票编造各种理由提取现金98.96万元,均未记入现金日记账,构成贪污罪。 其具体手段如下: 1)隐匿3笔结汇收入和7笔会计开好的收汇转账单(记账联),共计10笔销售收入98.96万元,将其提现的金额与其隐匿的收入相抵,使32笔收支业务均未在银行存款日记账和银行余额调节表中反映; 2)由于公司财务印鉴和行政印鉴合并,统一由行政人员保管,李敏利用行政人员疏于监督开具现金支票; 3)伪造银行对账单,将提现的整数金额改成带尾数的金额,并将提现的银行代码“11”改成托收的代码“88”。杰克公司在清理逾期未收汇时曾经发现有3笔结汇收入未在银行日记账和余额调节表中反映,但当时由于人手较少未能对此进行专项清查。 李敏之所以能在一年半的时间内作案22次,贪污巨款98.96万元,主要原因在于公司缺乏一套相互牵制的、有
(A)风险与风险管理、风险管理框架下的内部控制(二) 一、单项选择题(总题数:24,分数:36.00) 1.关于内部审计的外包,正确的说法是______。 ? A.企业应指定一名保持独立性的内部审计师负责管理与外包企业的关系 ? B.此类工作常常是涉及专门领域的,比如信息技术和信托 ? C.服务提供商通常仅为具体领域执行商定程序,并将结果直接向企业的董事会报告 ? D.审计由外单位承包,所以企业不需要内部审计师 (分数:1.50) A. B. √ C. D. 企业应指定一名保持独立性的雇员(一般是内部审计师或内部审计经理或总监),负责管理与外包企业的关系;服务提供商通常仅为具体领域执行商定程序,并将结果直接向企业的内部审计经理报告。 2.关于董事会的有关说法中,不正确的是______。 ? A.董事是由股东选出的,但是董事会及其代表在挑选候选人时发挥着重要的作用 ? B.董事会成员中至少有一名是独立董事 ? C.董事长的角色还应扩展至配合非执行董事的工作,并促进执行董事与非执行董事之间建立良好的关系 ? D.提名委员会的存在不应当被看作是意味着分散或减少了董事会作为一个整体的责任 (分数:1.50) A. B. √ C. D. 董事会中大部分成员应当是独立董事。 3.奠定管理和监督的坚实基础的方法之一是确认并公布董事会和管理层各自的作用和责任。以下关于董事会和管理层各自作用和责任的说法中不正确的是______。 ? A.董事会可以任免首席执行官或相应职位 ? B.独立董事是独立于管理层,不具有任何可能会大大干扰或可以合理地认为有重大干扰的关系,从而能够不受约束地进行独立判断 ? C.内部审计部门应该独立于外部审计师 ? D.一般应由董事会审查企业财务报告的诚信和监督外部审计师的独立性 (分数:1.50) A. B. C. D. √ 审计委员会应审查企业财务报告的诚信和监督外部审计师的独立性。 4.审计委员会的职能是监督、评估和______企业内的其他部门和系统。 ? A.复核
EAS内部控制与风险管理体系 EAS战略管理系统部王云 导读 风险管理系统对很多客户、机构营销实施等人员来说,都是一个新领域。 美国Committee of Sponsoring Organizations (COSO) 于2004年9月发布了《企业风险管理——整合框架》。2004版的COSO框架构建了一个较为完善的企业风险管理框架,它提供了关键原则和概念、共同的语言以及明晰的方向和指南。作为一本国际权威文献,该框架除了在美国企业中应用,也为其他国家广泛借鉴应用,同时也是金蝶EAS风险管理系统建立的重要理论标准。 适用范围 本文适用于EAS 项目实施人员。适用与EAS 所有通用版本。 请注意:本文件只作为产品介绍之用,不属于您与金蝶签署的任何协议。本文件仅包括金蝶既定策略、产品及功能方面的信息,不能以本文件作为要求金蝶履行商务条款、产品策略以及开发义务的依据。本文件内容可能随时变更,恕不另行通知。
目录 1背景 (3) 2内部控制与风险管理体系 (3) 2.1概述 (3) 2.2常用术语与概念 (4) 2.3企业风险管理整合框架 (6) 2.4内部控制基本规范 (12) 2.5国有企业内部控制框架 (13) 3体系涉及的几个重要关系 (14) 3.1内部控制与风险管理的关系 (14) 3.2风险管理与内部审计的关系 (15) 3.3指标监控、信息系统及风险管理的关系 (15) 3.4风险管理与企业管理的关系 (16)
内部控制与风险管理体系 1背景 内部控制与风险管理在国外经历了几十年的发展与演进,形成了以保障战略目标、经营目标、报告目标、合规目标为主要目标的一套相对完整的体系。在内部控制与风险管理理论的不断发展与完善的不同时期,学界与业界有着不同的解读与认识,但从目前多国的普遍研究与实践看,监管部门与集团企业管理层对内部控制与风险管理达到了前所未有的重视程度。风险管理已经成为企业管理信息系统的主线和方向,信息系统和内控风险管理趋于融合和统一。风险识别重要,而对风险的控制和预防更重要,风险与控制活动是蕴含在业务流程之中的,所以信息系统就成为风险控制的有力工具,而要有效发挥这种工具的价值,风险管理要求融入信息系统之中就成为一种必然。因此我们必须尽快学习并掌握风险管理理论体系,为把握风险管理产品、协助集团企业构建科学的内控与风险管理系统做好充分的知识准备。 2内部控制与风险管理体系 2.1概述 2001年前后爆发的一系列公司丑闻,使得各国对采用新的法律法规和上市公司监督准则来加强公司治理与风险管理的要求变得日益迫切。美国Committee of Sponsoring Organizations (COSO) 首先于2004年9月发布了《企业风险管理——整合框架》。2004版的COSO框架构建了一个较为完善的企业风险管理框架,它提供了关键原则和概念、共同的语言以及明晰的方向和指南。作为一本国际权威文献,该框架除了在美国企业中应用,也为其他国家广泛借鉴应用。 COSO框架常以下图所示的立方体形式表达。这一框架体现了企业风险管理的八个要素,同时也展现了企业目标和组织结构这两个重要维度。
浅析内部控制与企业全面风险管理论文 一、内部控制与全面风险管理概念界定 内部控制在发展过程中经历了内部牵制、内部控制系统、内部控制结构、内部控制整合框架四个阶段。COSO于1992年9月发布的《内部控制——整合框架》中对内部控制做出定义:“内部控制是由主体的董事会、管理层和其他员工实施的,旨在为经营的效率和有效性、财务报告的可靠性、遵循使用的法律法规等目标的实现提供合理保证的过程”。随后,COSO于2004年9月发布了《企业风险管理——整合框架》,提出全面风险管理的概念:“全面风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能影响主体的潜在事项、管理风险,以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证”。 二、内部控制与全面风险管理关系 (一)现阶段对于内部控制与全面风险管理有三种代表性观点。 第一种观点,内部控制包含风险管理。在内部控制框架中,风险评估被纳入五个构成要素,就是将风险管理包含在了内部控制之中。因此在抓住机会和管理风险时,也在实施控制。 第二种观点,内部控制即为风险管理。内部控制与风险管理日益融合。英国学者马修雷奇在2004年提出,内部控制系统与风险管理系统已经逐渐变为同一事物。 第三种观点,内部控制包含于风险管理。《企业风险管理——整合框架》将内部控制上升至全面风险管理的高度来认识。全面风险管
理是对内部控制的拓展及延伸。 (二)内部控制与全面风险管理的区别。 1.范畴不同。从内部控制框架以及全面风险管理框架包含的内容上看,后者较前者增加了目标制定、风险识别和风险应对三个管理要素。以此强调对于企业经营风险的关注与控制,新增的三要素与风险评估共同构成了风险管理的完整过程。内部控制框架在设计之初主要是针对企业的财务情况而制定,较少考虑到企业风险以及经营目标的制定,其管理范围小于全面风险管理。 2.风险应对不同。风险偏好和风险容忍度的概念被加入全面风险管理框架中。要求企业在制定经营战略时要考虑到既定收益以及在实现经营目标时可以接受的差异及风险的程度和数量。全面风险管理框架还要求企业管理层以风险组合的方式考虑风险,站在企业整体的角度,制定合适的战略目标。 3.执行方式不同。内部控制是全面风险管理的必要组成部分,企业在进行全面风险管理时必须要进行内部控制,但全面风险管理中的很多部分不需要进行内部控制的。内部控制仅局限于事中和事后的控制,只是管理的一项职能。全面风险管理框架指出其应贯穿于战略制定、分解和执行过程始终,不仅要求进行事中和事后对于管理经营的控制,更着眼于事前对于风险的预见性及考虑,将其纳入制定战略目标的影响因素。 (三)内部控制与全面风险管理的联系。 1.实施主体及目的一致。从COSO对于二者的定义可以看出,内
宝钢集团有限公司 内部控制环境分析 小组成员:邢圆会计五班(83100528) 晋婉婷会计五班(46100526) 王晓瑜会计五班(24100520) 徐鹏详会计四班(24100404)
目录 第一部分公司概论 (一)公司成立 (1) (二)公司上市 (1) (三)股东情况 (1) (四)经营范围 (2) (五)业务模块 (2) (六)经营业绩 (3) 第二部分内部控制环境现状 (一)风险管理 (3) (二)管理结构 (4) (三)组织结构 (4) (四)企业文化 (5) (五)人力资源 (5) (六)内部审计 (7) (七)社会责任 (8) 第三部分内部控制环境缺陷及改进建议 (一)内部控制环境缺陷 (10) (二)改进建议 (11)
一、公司概论 (一)公司成立 宝钢(Bao steel),是中国最大的钢铁公司,国有企业,总部位于上海。子公司宝山钢铁股份有限公司(上交所:600019),简称宝钢股份,是宝钢集团在上海证券交易所的上市公司。宝钢集团有限公司(简称宝钢)被称为中国改革开放的产物,1978年12月23日,就在十一届三中全会闭幕的第二天,在中国上海宝山区长江之畔打下第一根桩。宝钢集团有限公司是以宝山钢铁(集团)公司为主体,联合重组上海冶金控股(集团)公司和上海梅山(集团)公司,于1998年11月17日成立的特大型钢铁联合企业。经过30多年发展,宝钢已成为中国现代化程度最高、最具竞争力的钢铁联合企业。 (二)公司上市 宝山钢铁股份有限公司系根据中华人民共和国(以下简称“中国”)法律在中国境内注册成立的股份有限公司。宝山钢铁股份有限公司系经中国国家经济贸易委员会以国经贸企改[1999]1266号文批准,由宝钢集团有限公司(前称“上海宝钢集团公司”,以下简称“宝钢集团”)独家发起设立,于2000年2月3日于上海市正式注册成立,注册登记号为 3100001006333。经中国证券监督管理委员会证监发行字[2000]140号文核准,本公司于2000年11月6日至2000年11月24日采用网下配售和上网定价发行相结合的发行方式向社会公开发行人民币普通股(A股)18.77亿股,每股面值人民币1元,每股发行价人民币4.18元。 (三)股东情况 前十名股东持股情况
公司风险管理内部控制制度1 风险管理内部控制制度 第一章总则 第一条为加强**公司(以下简称“公司”)风险管理的内部控制,规范风险管理行为,根据《中华人民共和国会计法》、《中华人民共和国公司法》、《企业会计准则》等法律法规,制定本制度。 第二条风险管理工作是由公司的董事会、经营管理层和公司员工共同参与,应用于公司战略发展规划的制定和公司内部业务的各个环节和部门的,用于识别可能对公司造成潜在影响的事项并在其风险偏好范围内管理风险的,为公司经营目标的实现提供合理保证的风险控制过程。风险管理工作是在公司内部控制体系基础上开展的一项高级管理工作。 第三条风险管理内部控制目标: (一)识别可能对公司造成潜在影响的事项并在其风险偏好范围内管理风险。 (二)为公司董事会和经营管理者实现公司经营目标提供合理的保证。包括并不限于:经济并有效的使用资源;防止资产流失;信息的可靠性与整体性;与政策、计划、程序、法律法规保持一致。 第二章风险管理内部控制的内容
一、目标制定 第四条公司目标的制定和分类应有利于使公司董事会和经营管理者识别 公司风险管理的不同方面。目标应包括四类: (一)战略目标。战略目标与公司的经营目标和预期相联系并支持公司的经营目标和预期的实现。 (二)经营目标。经营业绩目标和盈利能力目标应与公司组织结构和经营管理方式相联系。 (三)报告目标。有效的报告应包括公司内部的报告和外部的报告,同时包括财务信息和非财务信息。 (四)合法性目标。公司业务要符合国家相关的法律和法规规定。 二、事项识别 第五条公司管理者应对具有不确定性的事项进行识别。对公司有正面影响的事项,应采取行动抓住机遇。对公司有负面影响的事项,在风险的评估和应对阶段应予以重点关注。 第六条风险事项包括外部事项和内部事项。公司应重点关注如下风险事项和风险源:需求风险、技术风险、资源风险、管理风险、沟通风险、环境风险等。 三、风险评估
龙源期刊网 https://www.doczj.com/doc/e413884036.html, 集团公司内部控制存在的问题及对策 作者:张娟 来源:《中国经贸》2015年第20期 【摘要】面对复杂的经济环境,瞬息万变的国内外形势,公司的经营风险日益增加,风 险防控已势在必行。本文通过分析集团公司内部控制的现状、存在的问题及解决这些问题所需要采取的措施,对如何加强集团公司内部控制提出了建议。 【关键词】内部控制;集团公司;风险防控 每一个组织在日常运行过程中,不可避免的会遇到来自内外部的各种风险,为了有效识别风险并对其影响的可能性进行准确的判断,制定出相应的策略,必须建立一套有效的企业内部控制规范体系,从而增强企业竞争能力,实现企业的健康持续发展。 一、集团公司内部控制的现状 随着企业各项制度的日益完善,大多数企业已经越来越重视内部控制了,但是这种重视往往还只是停留在表面,仅止步于内部控制制度的建立,好像只要建立了内部控制制度,企业就已经实现了内部控制。而制度的建立往往又照搬照抄,或者委托第三方,制定一套看起来很完善的内部控制制度挂在墙上,完全不符合本企业的自身实际情况,缺乏可操作性,很难发挥出应有的成效,同时也不采取切实举措确保内部控制制度的有效实施,最终还会抱怨,认为内部控制也不管什么用,制定了完善的内控制度,还照样出现这样那样的问题。 二、集团公司内部控制存在的问题 1.公司治理结构不完善或形同虚设 目前,很多企业存在着治理结构不完善或形同虚设的问题,内部缺乏科学的决策机制,关键人员大权独揽,集体决策制度流于形式;内部机构设计不切实际,责权分配不明晰、合理,职能机构设置不合理,职能缺失或交叉,或者有些虽设置合理但员工并不了解,不清楚本企业架构及责权分配情况,不能正确履行自己的职责,从而推诿扯皮,运行效率低下,甚至导致企业经营困难,走向破产的境地。 2.发展战略不清晰或不明确 每个企业都应该有自己的发展战略,但是很多企业的战略不清晰、不明确,或者根本就不符合企业自身的实际情况。企业没有对现实状况和未来趋势进行综合分析和科学预测,或因主观原因致使战略频繁变动,让大家无所适从,最终发展战略变成一纸空文。 3.风险意识淡薄,忽视风险控制
内控体系建设的五个环节 一、战略制定 作为内控管理的第一站,内控战略规划的重要地位在于其对以后实施内控系统建设的所有方面的影响。合理的战略规划可以使企业的内控管理效率大幅度提高,确保企业的治理水平迅速达到所有者和管理层的预期目标。 制定企业内控战略规划具体应该注意掌握以下几个方面: 1.与企业战略目标保持严格一致 企业战略目标是制定企业所有具体业务目标的基础,内控战略目标也必须符合企业总体战略目标确定的方向。当前,关于企业的战略目标、原景、核心价值观等的主流观点基本上都是围绕着如何发展成为一个有社会责任感的企业来确定的。 内控战略目标通常可以按照企业希望达到的发展水平来确定。假如某企业的战略目标是在一定的期限内成为本行业的领导者并希望基业常青,那么其内控体系的战略目标就必须为符合这一要求提供有力的支撑;既不能高于这个目标,也不能低于这个目标。惟此,才能被企业内所有利益相关者和运营管理的所有参与者所接受。 此外,内控战略目标可以根据企业的发展状况分阶段确定。例如在某个阶段达到行业先进水平;某阶段达到国内同行业先进水平;某阶段达到国际先进水平等。 2.明确实现目标的具体标志 事先确定内控战略实现的具体标志,既可以为企业制订年度内控工作计划或绩效考核目标提供具体的依据,也可以为日后评价本企业内控战略目标的实现状况提供评价依据。 例如:某企业的内控战略目标是达到本省同行业先进水平。那么,企业就必须对本省的同行业内控管理的基本情况有所了解。然后确定自己的评价标准或实现标志。评价标准可以具体设置为:企业内控管理程序建设情况;内控组织系统建设情况;内控审计手段的先进和有效程度;舞弊案件的损失指标;企业的风险指标;全体员工对内控管理的理解情况等等。 3.基于企业实际需要的准确定位 所谓“准确”定位的标准就是目标必须与本企业的实际情况相符合,并清晰明了。例如一家小型企业集团的内控战略目标没必要定的太高;实现标志可以比较简单;业务范围可以适当缩小。这样,就可以以较低的成本投入达到预定的控制目标。 4.明确内控工作理念 这是开展企业内控工作的基本准则,否则不但内控体系起不到应有的积极作用,反而会成为企业发展的掣肘之物。例如建立“寓监督于服务”
远程与继续教育学院 本科毕业论文(设计) 题目:论企业的内部控制与风险管理 学习中心:内蒙古学习中心 学号: 090F12133103 姓名:牟贤丽 专业:会计学 指导教师:孙鹂 2015 年 8月 5 日
中国地质大学(武汉)远程与继续教育学院 本科毕业论文(设计)指导教师指导意见表 学生姓名:牟贤丽学号: 090F12133103 专业:会计学毕业设计(论文)题目:论企业的内部控制与风险管理
中国地质大学(武汉)远程与继续教育学院 本科毕业设计(论文)评阅教师评阅意见表 学生姓名:牟贤丽学号: 090F12133103专业:会计学毕业设计(论文)题目:论企业的内部控制与风险管理 论文原创性声明
本人郑重声明:本人所呈交的本科毕业论文《论企业的内部控制与风险管理》,是本人在导师的指导下独立进行研究工作所取得的成果。论文中引用他人的文献、资料均已明确注出,论文中的结论和结果为本人独立完成,不包含他人成果及使用过的材料。对论文的完成提供过帮助的有关人员已在文中说明并致以谢意。 本人所呈交的本科毕业论文没有违反学术道德和学术规范,没有侵权行为,并愿意承担由此而产生的法律责任和法律后果。 论文作者(签字):牟贤丽 日期:2015年8月5日
摘要 从我国目前的情况看,内部控制理论尚未完全与企业的风险管理相结合,使得企业的内部控制缺乏主导的方向,在风险日益增加的今天,没有完全与风险管理相结合的内部控制不会达到其应有的效果。鉴于此,本文研究的主攻方向是通过企业内部控制与风险管理之间的概述,评价总结由于企业内部控制的缺陷及存在的问题所带来的风险管理问题,针对该种弊端提出相应的解决机制。本文采用传统的规范研究方法,运用归纳、演绎的方法进行研究。首先,论述了企业内部控制与风险管理的相关理论及其相互之间的关系,并分析了内部控制不完善所引发的缺陷;其次,对这种缺陷的原因进行了进一步分析,然后根据企业内部控制下的风险管理提出一些相应的建议及措施,最后对全文进行总结概括。 关键词:1、风险管理 2、内部控制 3、法人治理结构
企业内部控制手册》 项目说明书 一、项目的目的 按照财政部等五部委联合发布的《企业内部控制基本规范》和配套指引的要求,制定上市公司(以下简称“公司” )内部控制手册,建立、健全并执行行之有效的公司内部控制体系,确保公司的持续健康发展。 为了进一步全面落实科学发展观,加强内部控制,公司各级管理部门从保护经济资源的安全完整出发,确保经济信息的正确可靠,协调经济行为、控制经济活动,利用XX内部因分工而产生的相互制约、相互联系的关系,形成的一系列具有控制职能的方法、措施、程序,并予以规范化、系统化,使之组成一个严密的、完整的、有效的、以财务控制为核心、以风险控制为导向的内部控制体系。 二、内部控制的组织形式 内部控制建设是一项系统工程,需要企业董事会、监事会、经理层及内部各职能部门共同参与并承担相应的职责。按照现有上市公司的要求,未来XX组织形式中应包括(含建议成份): (1 )董事会 董事会对内部控制的建立健全和有效实施负责,定期召开董事会议,商讨内部控制建设中的重大问题并作出决策。内部控制建立与实施对企业组
织架构最直接的影响就是加大了董事会及其全体董事的责任,具体包括:科学选择经理层并对其实施有效监督;清晰了解企业内部控制的范围;就企业的最大风险承受度形成一致意见;及时知悉企业重大的风险以及经理层是否恰当地予以应对。 2)审计委员会 审计委员会是董事会下设的专业委员会。内部控制建立与实施对审计委员会的人员构成、议事规则、报告机制等均有重要影响,要求审计委员会负责人及其成员必须具备相应的独立性、良好的职业操守和专业胜任能力。审计委员会在内部控制中的职责一般包括:审查企业内部控制的设计;监督内部控制有效实施;领导开展内部控制自我评价;与中介机构就内部控制审计和其他相关事宜进行沟通协调等。 (3)监事会 监事会对董事会建立与实施内部控制进行监督。监事会监督不同于审计委员会对经理层的监督,是一种层次更高、独立性更高的再监督。监事会主席及其成员应当定期参加董事会及其审计委员会召开的涉及内部控制的会议,如对董事会及其审计委员会有关内部控制的决策持有异议,或认为董事会和经理层成员存在舞弊行为,还可提议召开独立的监事会议。 (4)经理层 经理层负责组织领导企业内部控制的日常运行。经理作为企业经营管理活动的最高执行者,在内部控制建设过程中尤其承担着重要责任,包括:贯彻董事会及其审计委员会对内部控制的决策意见;为其他高级管理人员提供内部控制方面的领导和指引;定期与采购、生产、营销、财务、人事等主要职能部门和业务单元的负责人进行会谈,对他们控制风险的措施及效果进行督导和核查等。
1第一层:战略层次, 2第二层次:业务层次;包括四个目标,经营目标:包括业绩和盈利目标的实现,需要反映企业运营所处的特定经营、行业和经济环境。报告目标:与报告的可靠性有关,企业报告包括部和外部报告,可能涉及财务和非财务信息。合规目标:与企业活动的合法性有关,企业从事活动必须符合相关的法律和法规,并有必要采取具体措施。资产目标:资产的安全完整目标是我国部控制体系在COSO框 受托责任机制是部控制产生的根源:1)现代企 2)受托责任制产生的新问题——代理问题2工业化生产是部控制产生的经济基础:作为现代意义上的部控制,它是工业化革命和机器大生产的结果3竞争加剧是部控制发展的外在要求1)外部环境的不确定性大大增加2)部管理要求不断提高4其他科学理论是部控制发展的技 有效抵御风险,实现持续健康发展:首先部控制有一 实现健康持续发展提供合理保证。其次,部控制作为一种制度安排,可以将各种资源有机的结合在,为企业创造价值2保证资产安全、完整3提高会计信息质量 部牵制:实物牵制、物理牵制、 3部控制结构:控制环境:是指企业为其雇员创造的工作氛围。会计系统、控制程序4部控制整体框架:COSO控制框架包括控制环境、风险评估、控制活动、信息与沟通、监控5 小;两个或者两个以上的个人或者部门有意识地串通舞弊的可能性大为低于一个人或者部门舞弊的可能性。 是美国国家反虚假财务报告委员会发起机构 通过商务道德规、有效的部控 的组织成员:AICPA ——美国注册会计师协会AAA ——FEI ——美国财务主管协会IIA ——国际部审计师协会IMA ——美国管理会计师协 职责、法律责任等诸多方面作出规定。包括1)专门成立5人委员组成的公众公司会计监督委员会,专事会计行业的注册、调查、监管、惩戒等;2)、限制会计师事务所向审计客户提供的非审计服务;3)、要求公司首席执行官和首席财务官对公司财务报告是否公允地反映了公司财务状况和经营成果作出保证;4)对故意提供虚假财务报告、故意销毁、隐匿、伪造财务报告、证券欺诈等犯罪行为处
内控管理体系制度7第2页 评价,组织开展内控常态化检查和整改跟踪,组织内控体系运行结果考核,督促推进内控与风险管理信息化建设,以及负责公司内控办公室的日常联络性工作。 2. 其他职能部门负责根据风险矩阵制定和落实本部门风险应对方案和措施;负责对本部门风险应对方案的执行情况和风险变化情况进行动态监控和报告;负责按本规范开展内控评价工作并配合检查考核;负责对分子公司、项目部的对应业务日常检查监督;参与公司风险矩阵和内控管理手册的建立。 (七)分子公司、项目部 1. 内控领导小组及其工作机构负责领导本单位内控机制的建立健全和有效实施,统筹协调内控体系建设、运行、评价及检查考核管理工作;单位行政主要负责人为本单位内控管理第一责任人。 2. 分子公司、项目部结合实际情况设立内控管理机构,并明确该机构及其岗位人员职责;负责按本规范开展本单位内控管理的组织、协调和考核,以及按公司统筹部署组织内控评价与检查考核的衔接与开展。 第二章内控实施 第六条实施内控应遵循的原则 (一)全面性原则。公司决策层、管理层和全体员工共同实施,覆盖公司各业务,贯穿管理各层级,实现决策、执行、监督、
反馈全过程管控。 (二)重要性原则。在全面覆盖的基础上,重点关注高风险领域、主要经济活动和重要业务事项,防范重大风险,明确流程关键控制环节,制定风险控制措施。 (三)制衡性原则。在兼顾业务运营效率的同时,确保治理结构、机构设置及权责分配等相互制约、相互监督。 (四)标准化原则。统一制定内控管理制度,统一开发信息平台,加强执行监督,逐步消除管理差异,实现流程步骤、控制措施、岗位责任、风险管理、内控评价标准化。 (五)成本效益原则。权衡内控实施成本与预期效益,以合理成本实现最有效控制。 (六)持续改进原则。建立内控设计、执行、评价及改进闭环管理机制,动态适应公司组织架构、业务范围、风险水平等变化,实现持续完善与提升。 (七)协同一致原则。内控流程、授权管理、风险管理、规章制度和内控评价及内控管理手册内容规定上应保持一致,促进公司一体化管理。 第七条风险数据库的建立与完善 (一)风险信息收集。内控管理部按照《企业内控基本规范》的相关规定和公司《内部控制风险管理办法》,组织和督导各单位以业务流程为线索,开展全面、系统的业务风险信息梳理、识别和收集工作。
企业内部控制与风险管理 内部控制与企业风险管理之间的联系是十分紧密的。内部控制的实质是风险控制,风险管理是内部控制的主要内容,企业风险管理包容内部控制。但两者之间的关系并不是简单的相互关系,两者之间存 即内部控制,从这一概念来说,风险管理是内部控制的重要内容,企业风险管理包含内部控制,但两者之间的关系并不是简单的相互关系,两者之间存在着相互依存的、不可分离的内在联系。主要表现在: 1.1组成部分重合
内部控制与风险管理的组成要素中,其中控制环境、风险评估、控制活动、信息与沟通以及监督这五个要素是重合的。 1.2最终目标相同 内部控制与风险管理的目标都包括:经营目标、合规性目标、报告目标。 1.6内部控制的一个基本作用是控制风险;风险管理是指在企业生产经营过程中,对企业可能面临的风险进行识别、评估和控制,最终目标也是控制风险。 总而言之,风险管理是内部控制的发展,风险管理拓展了内部控
制内涵,内部控制发展成了以风险为导向的内部控制。因此,我们将内部控制与风险管理一体化,将他们作为一个整体进行理解与处理。 [1] 问题与误区编辑 内部控制和风险管理建设中的误区或问题 还 一种常规的管理和运行机制。可以说,内部控制和风险管理既是一种制度安排、也是一种管理过程,更是一种自律行为。 2.2认为内部控制和风险管理是相互独立的 虽然内部控制和风险管理的内涵有很多重合之处,如要素很多相
同、方法很多相似,但内部控制和风险管理的具体运用需要根据企业自身的特点、发展阶段、行业特性、技术条件、外部环境等要求来执行。比如,某企业生产医疗设备或药品,因为涉及到人的生命健康问题,而且政府管制非常严格,风险管理的迫切性相对较强,此时企业以风险管理来主导内部控制比较合适;如果某企业是为了使自己的财 系,只有理论说教,缺少实际行动。 2.5制度执行不力 制度的关键在于执行,没有执行或执行力度不够,再先进的制度也不起作用。影响内部控制和风险管理执行力度的因素很多,其中,
**管理(上海)有限公司内部控制大纲
目录 一、总则..............................................9-1-1 二、内部控制的目标和原则................................9-1-1 三、内部控制的基本要求..................................9-1-2 四、内部控制的体系......................................9-1-4 五、内部控制的流程和职责分配............................9-1-5 六、内部控制的内容......................................9-1-8 第一节投资管理业务的控制 .............................9-1-8 第二节登记注册业务的控制 ............ 9-1-错误!未定义书签。第三节基金销售业务的控制 ............................9-1-10 第四节信息披露与交流的控制 ..........................9-1-11 第五节电子信息系统管理的控制 ........................9-1-12 第六节公司财务系统的控制 ............................9-1-12 第七节监察稽核业务的控制 ............................9-1-12 第八节公司行政与人事管理的控制 ......................9-1-13 七、内部控制的方法.....................................9-1-13 八、附则.............................................9-1-14
第七章风险管理框架下的内部控制 本章考情分析 本章属于重点章,应重点掌握的内容包括:(1)内部控制的要素;(2)内部控制应用指引(包括18项指引);(3)内部控制自我评价;(4)审计委员会在内部控制中的作用;(5)风险管理、内部控制、公司治理三者的关系。 本章考试的题型主要关注客观题和简答题,近3年平均分值为10分左右。 2015年重点关注COSO《内部控制框架》关于内部控制要素的要求与原则,以及我国《企业内部控制基本规范》关于内部控制要素的要求;内部控制应用指引(包括18项指引);内部控制自我评价;审计委员会在内部控制中的作用,这四个方面内容主要考主观题。 2015年教材主要变化 2015年教材本章内容与2014年教材相比,主要变化有: (1)新增“第一节内部控制概述”; (2)新增“第二节内部控制的要素”; (3)第四节新增“企业内部控制审计”,删除“审计委员会与外聘审计师”; (4)第五节删除“公司治理”。 第一节内部控制概述 一、COSO委员会关于内部控制的定义与框架(★) 成立于1985年的COSO(Committee of Sponsoring Organization)委员会为美国全国舞弊报告委员会提供支持。该组织包括美国会计协会和美国注册会计师协会。COSO委员会负责制定有关大型和小型企业实施内部控制系统的指南。 COSO委员会对内部控制的定义是“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率,财务报告的可靠性和遵守适用的法律法规。” COSO委员会的上述定义对内部控制的基本概念提供了一些深入的见解,并特别指出:(1)内部控制是一个实现目标的程序及方法,而其本身并非目标; (2)内部控制只提供合理保证,而非绝对保证; (3)内部控制要由企业中各级人员实施与配合。 1992年9月,COSO委员会提出了《内部控制——整合框架》,1994年、2003年和2013年又进行了增补和修订,简称《内部控制框架》,即COSO内部控制框架。 《内部控制——整合框架》提出了内部控制的三项目标和五大要素。 内部控制的三项目标包括: 取得经营的效率和有效性; 确保财务报告的可靠性; 遵循适用的法律法规。 内部控制的五大要素包括:
内部控制体系运行管理办法(试行)中铁XX 局内部控制体系运行管理办法(试行) 第一章总则第一条为了加强对公司内部控制体系的运行管理,根据局的相关要求并结合公司实际,特制定本办法。第二条本办法所称内部控制是指由公司董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制体系是指为实现内部控制目标和防范风险,保证内部控制工作有效运行的组织结构、管理制度和业务流程等。第三条内部控制体系运行管理包括以下内容:(一)内部控制体系的日常维护;(二)内部控制体系的有效运行;(三)内部控制体系的监督评价;(四)内部控制体系的持续改进。所属各单位要按照公司内部控制体系的相关第四条公司各部门、要求开展各项工作,并及时反馈信息,确保内部控制体系的有效运行和持续改进。组织机构及管理管理职责第二章组织机构及管理职责监第五条公司董事会负责内部控制体系的建立健全和有效实施。事会对董事会建立与实施内部控制情况进行监督。(由公司内控审计监察部第六条公司董事会审计委员会负责审查具体负责)、监督企业内部控制体系的有效实施,开展内部控制的自我评价,协调审计单位对公司内部控制实施情况的审计及其他相关事宜。2 由公司总经理任组长,分管内控、第七条公司设立内控领导小组,审计、财务工作的公司领导任副组长,企业发展部、内控审计监察部、财务部、董监办、公司办、人资部、市场开发部、工程部、技开部、安质部、合同部、机电部、物资部、法律事务部、宣传部、组织部、工会办、团委、行管部、社管部、试验检测中心等部门负责人任组员。领导小组负责组织领导内部控制体系的日常运行,定期听取内控工作进展情况报告,对内控体系运行中的重要事项进行决策。由公司总会计师第八条公司内控领导小组下设内控评价工作组,任组长,内控审计监察部部长任副组长,组员由内控审计监察部、财务部、企业发展部等相关部门业务管理人员组成,内控评价工作组负责全公司内控体系运行的专项监督与评价工作。主要第九条局企业发展部是内部控制体系运行的归口管理部门,职责是:(一)负责组织内部控制体系的日常维护管理和不断改进完善;(二)负责组织执行层面的各项管理制度、业务管理流程的评审;(三)负责组织公司层面重大、重要风险的定期评估,建立风险库和风险事件库,并编写《全面风险管理报告》;(四)负责组织内部控制相关知识培训;(五)负责指导监督内部控制体系的建立和完善。第十条公司内控审计监察部是内部控制体系评价的归口管理部门。主要职责是:(一)负责组织实施内部控制体系评价,负责内部控制评价方案的制定;3 (二)负责开展内部控制专项监督检查工作;(三)负责拟定年度内部控制体系评价方案,内部控制评价记录、实施证据等相关资料的收集汇总;(四)负责组织编写《中铁XX 局内部控制自我评价报告》。第十一条公司机关各部门、第十一各分公司是内部控制体系运行的执行机构,主要职责是:(一)在日常经营管理活动中,负责职责范围内的管理制度、业务流程的执行,并提出改进意见和建议;(二)结合各项业务活动和监督检查工作,开展内部控制体系的日常监督检查;(三)负责职责范围内的业务流程及相关制度执行情况的自我监督与评价;(四)协助参与公司内部控制评价,提供评价所需证据资料;(五)负责职责范围内缺陷确认,并按期完成整改及监督整改;(六)负责编写职责范围内《内部控制自我评价报告》。第十二第十二条公司各部门、分公司、项目部要确定具体的内控工作负责人,明确管理职责,开展内部控制体系运行管理工作。 第三章日常维护 第十三条内部控制体系的日常维护是从内部控制体系的设计和运行两方面,不断改进和完善内部控制体系文件、各项管理制度以及改进控制活动的过程。第十四第十四条当发生下列事项时,应修改和完善内部控制体系文件:4 (一)国家法律法规、行业从业规定、监管部门、股份公司和局要求等发生变化;(二)《企业内部控制基本规范》《配套指引》发生变化;、(三)公司战略调整、业务范围、组织机构、管理职责等内部环境发生调
万科集团企业内部控制分析报告 班级:09特会本2班组员:陈雅云、高雨 内部控制的含义——一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。 基于对内部控制含义的理解,我们选择了万科集团作为这次我们分析的对象,这是一家发展势头良好,内部控制完善的上市公司,可以帮助我们更深刻的企业内部控制的实际含义。 万科企业股份有限公司,股票代码000002、200002,深圳证券交易所主板上市,公司成立于1984年5月,是国内首批上市的企业之一,总部位于深圳市盐田区大梅沙环梅路33号,业务范围主要为房地产开发及物业管理业务,是目前中国最大的专业住宅开发企业。截止2010年12月31日,公司总资产2156亿、2010年销售金额1082亿,销售面积898万平方米,业务覆盖了以珠三角、长三角、环渤海和中西部城市经济圈为重点的47个城市。 2011年度,万科集团参照财政部、中国证监会等五部委联合发布的《企业内部控制基本规范》及《企业内部控制应用指引》、《企业内部控制评价指引》、深圳证券交易所《上市公司内部控制指引》等相关规定,坚持以风险导向为原则,结合本公司的经营管理实际状况,对公司的内部控制体系进行持续的改进及优化,以适应不断变化的外部环境及内部管理的要求。 该公司进一步加强了覆盖总部、各一线公司及各业务部门的三级自我评估体系建设,持续组织总部各专业部门及各一线公司对内控设计及执行情况进行系统的自我评价,评价内容涵盖内部环境、风险评估、控制活动、信息与沟通、内部监督等要素的具体要求,同时通 过风险检查、内部审计、监事巡查等方式对公司内部控制的设计及运行的效率、效果进行 独立评价,具体评价结果阐述如下: 一内部环境 1. 治理结构 该公司按照《公司法》、《证券法》等法律、行政法规、部门规章的要求,建立了规范的公司治理结构,制定了符合公司发展的各项规则和制度,明确决策、执行、监督等方面的职责权限,形成了科学有效的职责分工和制衡机制。股东大会、董事会、监事会分别按其职责行使决策权、执行权和监督权。股东大会享有法律法规和公司章程规定的合法权利,依法行使该公司经营方针、筹资、投资、利润分配等重大事项的决定权。董事会对股东大会负责,依法行使企业的经营决策权。董事会建立了审计、薪酬与提名、投资与决策三个专业委员会,提高董事会运作效率。董事会11 名董事中,有 4 名独立董事。独立董事担
风险管理和内部控制制度 第一章总则 第一条为保障公司私募基金业务的安全运作和管理,加强公司内部风险管理,规范投资行为、提高风险防范能力,保障投资者公司及公司股东的合法权益,根据《中华人民共和国证券投资基金法》《私募投资基金监督管理暂行办法》等法律法规及相关自律规则,结合公司情况,制定本制度。 第二条公司私募基金运营风险控制制度的总体目标: 1、保证公司私募基金运营管理活动的合法合规性; 2、保证投资者的合法权益不受侵犯; 3、实现公司稳健、持续发展,维护股东权益; 4、促进公司全体员工恪守职业操守,正直诚信,廉洁自律,勤勉尽责。 第三条公司内部控制遵循的原则: 1、全面性原则:内部控制必须覆盖公司的所有部门和岗位,渗透各项业务过程和业务环节,并普遍适用于公司每一位职员; 2、审慎性原则:内部控制的核心是有效防范各种风险,公司组织体系的构成、内部管理制度的建立都要以防范风险、审慎经营为出发点; 3、相互制约原则:公司设置的各部门、各岗位权责分明、相互制衡。 4、独立性原则:公司根据业务的需要设立相对独立的机构、部门和岗位;公司内部部门和岗位的设置必须权责分明; 5、适应性原则:内部控制与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
6、成本效益原则:公司运用科学化的经营管理方法降低运作成本,提高经济效益,力争以合理的控制成本达到最佳的内部控制效果。 第二章风险管理模式 第四条实行“事前、事中、事后”的全面风险管理模式,以风险防控为导向的风险应对制度。 第五条事前风险管理: 通过投资领域、投资期限、投资阶段和投资额度的限定,提前限定了公司投资交易决策的范围,公司决策部门可在限定范围内自由决策,做到事前行为可预判。第六条事中风险管理: 实行投资决策报告制度;提高管理透明度,及时反馈信息给相关监管部门及负责人。 第七条事后风险管理: 加强已投项目的投后管理,了解已投项目的运营情况,出现异常经营情况及时报告投资决策委员会和董事会,以及时采取应对措施;通过事后风险管理,将投资风险控制在可承受范围内。 第三章风险控制组织体系 第八条公司应根据股权投资业务流程和风险特征,将风险控制工作纳入公司的风险控制体系之中。公司的风险控制体系共分为三个层次:董事会、风控部、投资决策委员会。 第九条各层级的风险控制职责: 1、董事会职责包括: