内部控制框架与设计课件.ppt

1、企业内部控制新体系与设计企业内部控制新体系与设计 企业内部控制规范企业内部控制规范解读与实施解读与实施 2讲座大纲上：企业内部控制规范解读与实施上：企业内部控制规范解读与实施CH1 企业内部控制的新特点企业内部控制的新特点CH2 企业内部控制五大目标企业内部控制五大目标CH3 企业内部控制五大要素企业内部控制五大要素CH4 企业内部控制的局限性企业内部控制的局限性 3下：企业内部控制设计与操作下：企业内部控制设计与操作CH5企业内控设计理论企业内控设计理论CH6企业内部控制设计方法企业内部控制设计方法CH7典型业务控制设计典型业务控制设计CH8案例分析案例分析 4危险的风险管理危险的风险管理世

2、界内部控制的新特点世界内部控制的新特点 法国兴业银行的内控遗产法国兴业银行的内控遗产电脑天才盖维耶尔搞垮法国兴业银行 5危险的风险管理危险的风险管理世界内部控制的新特点世界内部控制的新特点从从2006年后期起，为了追求盈利并展示自己非凡的市场嗅觉，年后期起，为了追求盈利并展示自己非凡的市场嗅觉，“电电脑高手脑高手”科维尔凭借其熟知中后台控制手段的优势，通过伪造文件和科维尔凭借其熟知中后台控制手段的优势，通过伪造文件和邮件、盗用系统密码、篡改数据等手段，来构造虚拟的逆向交易，使邮件、盗用系统密码、篡改数据等手段，来构造虚拟的逆向交易，使原先需实质对冲的投资组合从表面上看来已相互对冲，从而掩盖了巨

3、原先需实质对冲的投资组合从表面上看来已相互对冲，从而掩盖了巨大的投资仓位和风险额度。大的投资仓位和风险额度。2007年上半年，科维尔预期欧洲股票市场将会下跌，他开始大笔做年上半年，科维尔预期欧洲股票市场将会下跌，他开始大笔做空股市，并因此为银行赚取了巨额利润空股市，并因此为银行赚取了巨额利润(他本人并未从违规交易中牟他本人并未从违规交易中牟利利)。但从但从2008年初开始，由于美联储大幅降息，加上考虑到历史上全球年初开始，由于美联储大幅降息，加上考虑到历史上全球股市在股市在1月份涨多跌少，因此，他又转为做多股市，并在欧洲各大股月份涨多跌少，因此，他又转为做多股市，并在欧洲各大股指期货上累积了指

4、期货上累积了500亿欧元的头寸。这一巨大的投资仓位已远超法兴亿欧元的头寸。这一巨大的投资仓位已远超法兴银行自身的市值。结果全球股市在次贷危机的影响下跌势凶猛，科维银行自身的市值。结果全球股市在次贷危机的影响下跌势凶猛，科维尔的豪赌直接导致法兴银行高达尔的豪赌直接导致法兴银行高达72亿美元的亏损。这一亏损额相当于亿美元的亏损。这一亏损额相当于导致当年巴林银行导致当年巴林银行(9.16亿英镑的巨额亏损亿英镑的巨额亏损)倒闭的交易亏损额的倒闭的交易亏损额的5倍。倍。19 July 20226邯郸农行被盗案2007/4/145100万元巨款，堆在一起是万元巨款，堆在一起是什么感觉？就算都是百元大什么感

5、觉？就算都是百元大钞，叠在一起也有钞，叠在一起也有50米高，米高，总重量将近两吨，可是，这总重量将近两吨，可是，这笔谁都没办法一下搬动的巨笔谁都没办法一下搬动的巨款，居然从河北邯郸市农业款，居然从河北邯郸市农业银行的金库里消失的无影无银行的金库里消失的无影无踪，这起银行盗窃大案，震踪，这起银行盗窃大案，震惊全国，当中的种种细节波惊全国，当中的种种细节波云诡异，迷雾重重，如此离云诡异，迷雾重重，如此离奇的案件究竟是怎么发生的？奇的案件究竟是怎么发生的？马向景任晓峰 7邯郸农行被盗案1.银行忽视对员工的思想教育和问题排查，银行忽视对员工的思想教育和问题排查，是发生案件的源头。是发生案件的源头。2.

6、银行管理制度的缺失和形同虚设，是发银行管理制度的缺失和形同虚设，是发生这起案件的漏洞。生这起案件的漏洞。3.银行管理责任落实和追究不到位，是造银行管理责任落实和追究不到位，是造成案件的祸根。在外人看来，银行有严成案件的祸根。在外人看来，银行有严密的管理体系，每项业务、每个部位都密的管理体系，每项业务、每个部位都有人负责管理，应该万无一失。有人负责管理，应该万无一失。8邯郸农行被盗案5100万元金库巨款被盗案件之所以发生，农业银行邯郸分行负有不万元金库巨款被盗案件之所以发生，农业银行邯郸分行负有不可推卸的责任，随着两名犯罪嫌疑人的落网，可推卸的责任，随着两名犯罪嫌疑人的落网，6天之后，农业银行总

7、天之后，农业银行总行也通报了对邯郸农行盗窃案的处理决定。行也通报了对邯郸农行盗窃案的处理决定。责令农行河北省分行行长瞿建耀引咎辞职；主管会计工作的副行长邓责令农行河北省分行行长瞿建耀引咎辞职；主管会计工作的副行长邓振国、主管保卫工作的纪委书记徐跃生予以免职；邯郸分行现金管理振国、主管保卫工作的纪委书记徐跃生予以免职；邯郸分行现金管理中心在岗员工下岗接受审查。同时受到免职处理的还有邯郸分行行长、中心在岗员工下岗接受审查。同时受到免职处理的还有邯郸分行行长、主管会计的副行长以及主管保卫工作的副行长；邯郸分行现金管理中主管会计的副行长以及主管保卫工作的副行长；邯郸分行现金管理中心正、副主任也被免职。

8、心正、副主任也被免职。9内部控制的号角在全球吹响美国美国萨班斯萨班斯奥克斯利法案奥克斯利法案用法律强制性手段要求上市公司以会用法律强制性手段要求上市公司以会计信息真实与完整为线索提交企业内控机制及报告体系。计信息真实与完整为线索提交企业内控机制及报告体系。英国英国公司治理综合法典公司治理综合法典指导意见指导意见(Turnbull Guidance)的目的是的目的是帮助那些在美国证监会（帮助那些在美国证监会（SEC）注册的非美国企业应对内部控制要求，）注册的非美国企业应对内部控制要求，这些企业可选择采用该指导意见作为其内控框架，而这些企业可选择采用该指导意见作为其内控框架，而SEC也认可该指也认

9、可该指南在评估内部控制有效性方面的权威性。南在评估内部控制有效性方面的权威性。加拿大安大略证券委员会之加拿大安大略证券委员会之Multi-lateral Instrument 52-109（与（与SOX302相似）和相似）和52-111（与（与SOX404相似）要求企业与年报一同提相似）要求企业与年报一同提交相关内部控制报告。交相关内部控制报告。10CH1 企业内部控制新特点19 July 202211CH1 企业内部控制概述1.企业内部控制定义企业内部控制定义2.企业内部控制特点企业内部控制特点3.企业内部控制发展企业内部控制发展4.企业内部控制现状企业内部控制现状19 July 20221

10、2应用指南应用指南具体规范具体规范中国企业内部控制标准体系基本规范基本规范基本规范和相关具体规范制定的基本规范和相关具体规范制定的详细解释和说明，主要是为某些详细解释和说明，主要是为某些特殊行业、特殊企业、特定内控特殊行业、特殊企业、特定内控程序提供操作性强的指引程序提供操作性强的指引根据基本规范，对企业根据基本规范，对企业办理具体业务与事项从办理具体业务与事项从内部控制角度作出的具内部控制角度作出的具体规定。体规定。规定内部控制的基本目标、规定内部控制的基本目标、基本要素、基本原则和总体基本要素、基本原则和总体要求，是制定具体规范和应要求，是制定具体规范和应用指南的基本依据，在内控用指南的基

11、本依据，在内控标准体系中起统驭作用标准体系中起统驭作用 19 July 202213企业内部控制定义 内部控制是由企业董事会内部控制是由企业董事会（决策、治理机构）、管（决策、治理机构）、管理层和全体员工共同实施理层和全体员工共同实施的、旨在合理保证企业战的、旨在合理保证企业战略、经营的效率和效果、略、经营的效率和效果、财务报告及管理信息的真财务报告及管理信息的真实、可靠和完整、资产的实、可靠和完整、资产的安全完整、遵循国家法律安全完整、遵循国家法律法规和有关监管要求的一法规和有关监管要求的一系列控制活动。系列控制活动。19 July 202214企业内部控制特点原则内部控制由组织中各个层级的

12、内部控制由组织中各个层级的人员共同实施，从企业负责人，人员共同实施，从企业负责人，到各个业务分部、职能部门的到各个业务分部、职能部门的负责人，直至企业每一个普通负责人，直至企业每一个普通员工，都对实施内部控制负有员工，都对实施内部控制负有责任。责任。19 July 202215企业内部控制特点方法内部控制在形式上表现为一整套相内部控制在形式上表现为一整套相互监督、相互制约、彼此联结的控互监督、相互制约、彼此联结的控制方法、措施和程序，这些方法、制方法、措施和程序，这些方法、措施和程序有助于及时识别和处理措施和程序有助于及时识别和处理风险，促进企业实现战略发展目标，风险，促进企业实现战略发展目标

13、，提高经营管理水平、信息报告质量、提高经营管理水平、信息报告质量、资产管理水平和法律遵循能力。资产管理水平和法律遵循能力。19 July 202216内部控制框架三维体系的实质含义监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单

14、位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务内内 部部 环环 境境风风 险险 评评 估估控控 制制 活活 动动信信 息息 沟沟 通通监监 控控19 July 202217CH2 企业内部控制目标19 July 202218CH2 企业内部控制目标1.战略目标战略目标2.营运目标营运目标3.报告目标报告目标4.资产目标资产目标5.合规目标合规目标19 July 202219企业内部控制的目标 1/5促进实现发展战略（战略目标）促进实现发展战略（战略目标）战略目标要求企业将近期利益战略目标要求企业将近期利益与长远利益结合起来，在企业与长远利益结合起来，在企业经营管理中努力作出符合战

15、略经营管理中努力作出符合战略要求、有利于提升可持续发展要求、有利于提升可持续发展能力和创造长久价值的选择。能力和创造长久价值的选择。监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业

16、业业务务务务内内 部部 环环 境境风风 险险 评评 估估控控 制制 活活 动动信信 息息 沟沟 通通监监 控控19 July 202220企业内部控制的目标 2/5促进提高经营管理效果效率促进提高经营管理效果效率（营运目标）（营运目标）它要求企业结合自身所处的特它要求企业结合自身所处的特定的经营、行业和经济环境，定的经营、行业和经济环境，通过健全有效的内部控制，不通过健全有效的内部控制，不断提高劳动活动的盈利能力和断提高劳动活动的盈利能力和管理效率。管理效率。监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务

17、务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务内内 部部 环环 境境风风 险险 评评 估估控控 制制 活活 动动信信 息息 沟沟 通通监监 控控19 July 202221企业内部控制的目标 3/5促进提高信息报告质量（报告促进提高信息报告质量（报告目标）目标）可靠的信息报告为企业管理层可靠的信息报告

18、为企业管理层提供适合其既定目的的准确而提供适合其既定目的的准确而完整的信息，支持管理层的决完整的信息，支持管理层的决策和对营运活动及业绩的监控；策和对营运活动及业绩的监控；同时，保证对外披露的信息报同时，保证对外披露的信息报告的真实、完整，有利于提升告的真实、完整，有利于提升企业的诚信度和公信力，维护企业的诚信度和公信力，维护企业良好的声誉和形象。报告企业良好的声誉和形象。报告目标要求企业通过内部控制，目标要求企业通过内部控制，保证信息报告的真实、完整、保证信息报告的真实、完整、可靠。可靠。监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规

19、性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务内内 部部 环环 境境风风 险险 评评 估估控控 制制 活活 动动信信 息息 沟沟 通通监监 控控19 July 202222企业内部控制的目标 4/5促进维护资产安全完整（资产促进维护资产安全完整（资产目标）目标）资产安全

20、完整是投资者、债权资产安全完整是投资者、债权人和其他利益相关者普遍关注人和其他利益相关者普遍关注的重大问题，是企业可持续发的重大问题，是企业可持续发展的物质基础。良好的内部控展的物质基础。良好的内部控制，应当为资产安全完整提供制，应当为资产安全完整提供扎实的制度保障。扎实的制度保障。监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境

21、营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务内内 部部 环环 境境风风 险险 评评 估估控控 制制 活活 动动信信 息息 沟沟 通通监监 控控19 July 202223企业内部控制的目标 5/5促进国家法律法规有效遵循（合规促进国家法律法规有效遵循（合规目标）目标）守法和诚信是企业健康发展的基石。守法和诚信是企业健康发展的基石。逾越法律的短期发展终将付出沉重逾越法律的短期发展终将付出沉重代价。合规性目标要求企业必须将代价。合规性目标要求企业必须将发展置于国家法律法规允许的基

22、本发展置于国家法律法规允许的基本框架之下，在守法的基础上实现自框架之下，在守法的基础上实现自身的发展。身的发展。监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业务务单单位位A业业务务单单位位B活活动动2活活动动1业业业业务务务务内内 部

23、部 环环 境境风风 险险 评评 估估控控 制制 活活 动动信信 息息 沟沟 通通监监 控控19 July 20222419 July 2022252-1内部环境 企业的内部环境是其他所有风险管理要企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。素的基础，为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的标的制定、业务活动的组织和对风险的识别、评估和反应。它还影响企业控制识别、评估和反应。它还影响企业控制活动、信息和沟通系统以及监控活动的活动、信息和沟通系统以及监控活动的设计和执行。设计和执行。正

24、直&道德价值胜任能力的承诺董事会&审计委员会管理层理念&经营风格组织结构权限与责任的分配人力资源政策&程序19 July 2022262-2目标制定 根据企业确定的任务或预期，管理者制根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解他与之相关的目标并在企业内层层分解和落实。和落实。其中，其他相关目标是指除战略目标之其中，其他相关目标是指除战略目标之外的其他三个目标，其制定应与企业的外的其他三个目标，其制定应与企业的战略相联系。战略相联系。管理者必须首先确定企业的目标，才能管理者必须首先确定企业的目标，才能够

25、确定对目标的实现有潜在影响的事项。够确定对目标的实现有潜在影响的事项。企业风险管理就是提供给企业管理者一企业风险管理就是提供给企业管理者一个适当的过程，既能够帮助制定企业的个适当的过程，既能够帮助制定企业的目标，又能够将目标与企业的任务或预目标，又能够将目标与企业的任务或预期联系在一起，并且保证制定的目标与期联系在一起，并且保证制定的目标与企业的风险偏好相一致。企业的风险偏好相一致。战略目标是企业的高层次目标，与企业的任务和预期相联系并支持企业的任务和预期。经营目标是指企业经营的有效性和效率，包括业绩目标和盈利性目标，根据管理者对企业结构和经营选择的不同而变化。报告目标指企业报告的有效性，包括

26、内部和外部报告，既涉及财务信息，也涉及非财务信息。合法性目标是指企业是否符合相关的法律和法规。19 July 2022272-3事项识别 不确定性的存在，即管理者不能确不确定性的存在，即管理者不能确切地知道某一事项是否会发生、何切地知道某一事项是否会发生、何时发生或者事项的结果，使得企业时发生或者事项的结果，使得企业的管理者需要对这些事项进行识别。的管理者需要对这些事项进行识别。而潜在事项对企业可能有正面的影而潜在事项对企业可能有正面的影响、负面的影响或者两者同时存在。响、负面的影响或者两者同时存在。有负面影响的事项是企业的风险，有负面影响的事项是企业的风险，要求企业的管理者对其进行评估和要求

27、企业的管理者对其进行评估和反应反应 风险是指某一对企业目标的实现可能造成负面影响的事项发生的可能性。对企业有正面影响的事项，或者是企业的机遇，或者是可以抵消风险对企业的负面影响的事项。机遇可以在企业战略或目标制定的过程中加以考虑，以确定有关行动抓住机遇。可能潜在地抵消风险的负面影响的事项则应在风险的评估和反应阶段予以考虑。19 July 2022282-4风险评估 风险评估可以使管理者了解潜在事风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理项如何影响企业目标的实现。管理者应从两个方面对风险进行评估者应从两个方面对风险进行评估风险发生的风险发生的可能性可能性和影响。和影响。风险发生

28、的可能性是指某一特定事风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项项发生的可能性，影响则是指事项的发生将会带来的影响。的发生将会带来的影响。对于风险的评估应从企业战略和目对于风险的评估应从企业战略和目标的角度进行。标的角度进行。首先，应对企业的首先，应对企业的固有风固有风险险进行评估。固有风险是进行评估。固有风险是指企业没有采用任何管理指企业没有采用任何管理措施可能使企业面临的风措施可能使企业面临的风险。确定对固有风险的风险。确定对固有风险的风险反应模式就能够确定对险反应模式就能够确定对固有风险的管理措施。固有风险的管理措施。其次，管理者应在对固有其次，管理者应在对固有风险采取

29、有关管理措施的风险采取有关管理措施的基础上，对企业的基础上，对企业的残存风残存风险险进行评估。残存风险是进行评估。残存风险是指管理者采取有关的管理指管理者采取有关的管理措施后仍旧存在的风险。措施后仍旧存在的风险。19 July 2022292-5风险反应 风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。规避风险规避风险是指采取措施退出会给企业带来风险的活动。是指采取措施退出会给企业带来风险的活动。减少风险减少风险是指减少风险发生的可能性、减少风险的影响或两者同是指减少风险发生的可能性、减少风险的影响或两者同时减少。时减少。

30、共担风险共担风险是指通过转嫁风险或与他人共担风险，降低风险发生的是指通过转嫁风险或与他人共担风险，降低风险发生的可能性或降低风险对企业的影响。可能性或降低风险对企业的影响。接受风险接受风险则是不采取任何行动而接受可能发生的风险及其影响。则是不采取任何行动而接受可能发生的风险及其影响。对于每一个重要的风险，企业都应考虑所有的风险反应方案，为风对于每一个重要的风险，企业都应考虑所有的风险反应方案，为风险反应方案的选择提供广泛的空间，这也是对现状提出挑战。有效险反应方案的选择提供广泛的空间，这也是对现状提出挑战。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都的风险管理要求管理者选择可

31、以使企业风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。落在风险容忍度之内的风险反应方案。19 July 2022302-6控制活动确保实现组织目标以及对达成目标过程的风险进行管理的政策和程序确保实现组织目标以及对达成目标过程的风险进行管理的政策和程序通常包括两个要素：确定应该做什么的一个政策和影响该政策的一系通常包括两个要素：确定应该做什么的一个政策和影响该政策的一系列程序。列程序。可以是手工操作的或自动化的，预防式的或发现式的，高层次的或细可以是手工操作的或自动化的，预防式的或发现式的，高层次的或细节式的节式的19 July 2022312-7信息与沟通信息 获取外部获取外部&内

32、部信息，并衡量绩效内部信息，并衡量绩效 向适当的人及时提供信息，使得他们能够完成分派的工作向适当的人及时提供信息，使得他们能够完成分派的工作 开发开发/修改信息系统以支撑公司战略修改信息系统以支撑公司战略 管理层支持管理层支持&信息系统所需的资源信息系统所需的资源沟通 责任的有效沟通责任的有效沟通 建立对遭受怀疑的不恰当事项的报告渠道建立对遭受怀疑的不恰当事项的报告渠道 对整个业务流程沟通的充分性（这将对财务报告产生影响）对整个业务流程沟通的充分性（这将对财务报告产生影响）对外部第三方沟通的适当追踪对外部第三方沟通的适当追踪19 July 2022322-8监控内部控制系统需被监督。内部控制系

33、统需被监督。监控是评价期间内部控制业监控是评价期间内部控制业绩质量的进程。绩质量的进程。监督是由适当的人员，在适当及时的基础下，评估控监督是由适当的人员，在适当及时的基础下，评估控制的设计和运作情况的过程。制的设计和运作情况的过程。它是对企业内部控制整它是对企业内部控制整体框架及其运行情况的跟踪、监测和调节，以自始至体框架及其运行情况的跟踪、监测和调节，以自始至终确保其有效性。终确保其有效性。企业可以通过两种方式对风险管理进行监控企业可以通过两种方式对风险管理进行监控持续持续监控和个别评估监控和个别评估。持续监控和个别评估都是用来保证。持续监控和个别评估都是用来保证企业的风险管理在企业内各管理

34、层面和各部门持续得企业的风险管理在企业内各管理层面和各部门持续得到执行到执行 。19 July 2022332-8监控 监控还包括监控还包括对企业风险管理的记录对企业风险管理的记录，对企业风险管理进，对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。素的影响而有所不同。企业风险管理的内容没有记录并不意味着风险管理无效企业风险管理的内容没有记录并不意味着风险管理无效或无法对风险管理进行评估。但是，适当的记录通常会或无法对风险管理进行评估。但是，适当的记录通常会使风险管理的监控更为有效果和有效率。使风险管理的监控更为

35、有效果和有效率。当企业管理者打算向外部相关方提供关于企业风险管理当企业管理者打算向外部相关方提供关于企业风险管理效率的报告时，他们应考虑为企业风险管理设计一套记效率的报告时，他们应考虑为企业风险管理设计一套记录模式并保持有关的记录录模式并保持有关的记录 19 July 2022342-8监控持续的监督活动持续的监督活动在营运过程中发生，它包括例行的管理和监督活动，以及其他员工为持续的监督活动在营运过程中发生，它包括例行的管理和监督活动，以及其他员工为履行其职务所采取的行动。履行其职务所采取的行动。1.管理阶层取得内部控制系统持续发挥功能的资料，当营运报告、财务报告与他们管理阶层取得内部控制系统

36、持续发挥功能的资料，当营运报告、财务报告与他们所得到的资料有大偏离时，可对报告提出质疑；所得到的资料有大偏离时，可对报告提出质疑；2.来自外界团体的沟通，可以验证内部信息的正确性，并能及时反映问题的所在；来自外界团体的沟通，可以验证内部信息的正确性，并能及时反映问题的所在；3.适当的组织机构及监督活动，可用来辨识缺失；适当的组织机构及监督活动，可用来辨识缺失；4.各个职务的分离，使不同员工之间可以彼此相互检查，以防止舞弊；各个职务的分离，使不同员工之间可以彼此相互检查，以防止舞弊；5.把信息系统所记录的资料同实际资产核对；把信息系统所记录的资料同实际资产核对；6.内、外部稽核人员定期提出强化内

37、部控制系统的建议；内、外部稽核人员定期提出强化内部控制系统的建议；7.培训课程、规划会议和其他会议，可把控制是否有效的重要信息反馈给管理阶层培训课程、规划会议和其他会议，可把控制是否有效的重要信息反馈给管理阶层8.定期要求员工陈述他们是否了解企业的行为准则，并加以遵守，对于负责业务和定期要求员工陈述他们是否了解企业的行为准则，并加以遵守，对于负责业务和财务的员工，则要求他们陈述某些特定控制是否都予执行，管理阶层或内部稽核财务的员工，则要求他们陈述某些特定控制是否都予执行，管理阶层或内部稽核人员还必须验证这些陈述是否确实。人员还必须验证这些陈述是否确实。19 July 2022352-8监控个别

38、评估 个别评估个别评估 尽管持续监督程序可以尽管持续监督程序可以有效的评价内部控制体有效的评价内部控制体系，但企业有时需要组系，但企业有时需要组织例外评估以直接监视织例外评估以直接监视控制系统的有效性，这控制系统的有效性，这种做法可评估持续性监种做法可评估持续性监督程序。督程序。评估的范围和频率，视评估的范围和频率，视风险的大小及控制的重风险的大小及控制的重要性而定。要性而定。19 July 202236CH4 内部控制的局限性“完美完美”内部控制是如何失效的？内部控制是如何失效的？19 July 202237内部控制局限性 人员素质不适应岗位要求，影响内部人员素质不适应岗位要求，影响内部控制

39、功能的正常发挥。控制功能的正常发挥。人员相互串通作弊导致相关内部控制人员相互串通作弊导致相关内部控制失去作用。失去作用。很久之前的制度已不适用；很久之前的制度已不适用；对于不经常发生的经济业务，原有的对于不经常发生的经济业务，原有的控制可能不适用。控制可能不适用。管理人员滥用职权、蓄意营私舞弊等，管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去应有的控制效能。导致内部控制失去应有的控制效能。成本效益原则。成本效益原则。CH5 企业内控设计理论企业内控设计理论19 July 202239内部控制设计理论框架内部控制设计理论框架内部控制设计理论框架内部控制设计依据内部控制设计思想内部控制设计原则

40、内部控制组织设计内部控制内容设计19 July 2022405-1内部控制设计依据国内内部控制规范国际内部控制框架lCOSO1：企业内部控制整合框架：企业内部控制整合框架lCOSO2：企业风险管理整合框架：企业风险管理整合框架l美国美国萨班斯萨班斯-奥克斯利法案奥克斯利法案l2008/6 2008/6 五部委五部委企业内部控制基本规范企业内部控制基本规范l2006/6 2006/6 国资委国资委中央企业全面风险管理指引中央企业全面风险管理指引 l2006/9 2006/9 上海证交所上海证交所上市公司内部控制指引上市公司内部控制指引l2006/9 2006/9 深圳证交所深圳证交所上市公司内部

41、控制指引上市公司内部控制指引l2002/9,2007/7 2002/9,2007/7 商业银行内部控制指引商业银行内部控制指引19 July 2022415-2内部控制设计思想遵循遵循“统筹规划、整体设计、急用先行、分步实施统筹规划、整体设计、急用先行、分步实施”的原则的原则坚持以坚持以“源头治理源头治理”和和“过程控制过程控制”为核心为核心全面梳理现有管理制度、业务流程和职责权限全面梳理现有管理制度、业务流程和职责权限准确评估现实风险和潜在风险准确评估现实风险和潜在风险风险管理融入日常经营管理活动风险管理融入日常经营管理活动实现管理工作的实现管理工作的“五化五化”：程序化、标准化、规范化、系

42、统化和制度：程序化、标准化、规范化、系统化和制度化化增强企业抵御风险能力，合理保证目标的实现增强企业抵御风险能力，合理保证目标的实现19 July 2022425-3内部控制设计原则5-7-1全面性原则全面性原则5-3-2重要性原则重要性原则5-3-3制衡性原则制衡性原则5-3-4适应性原则适应性原则5-3-5成本效益原则成本效益原则19 July 2022435-3内部控制设计原则全面性原则在组织层次上，实现全人员：涵盖企业董事会、管理层和全体员工；在范围上，实现全过程：覆盖企业各项业务和管理活动，在流程上应当渗透到决策、执行、监督、反馈等各个环节；在内容上，实现全风险：包含战略风险、财务风

43、险、市场风险、运营风险、法律风险在内的所有风险。全面性全面性重要性制衡性适应性成本效益19 July 2022445-3内部控制设计原则重要性原则内部控制应当在兼顾全面的基础上突出重点，针对重要业务与事项、高风险领域与环节采取更为严格的控制措施，确保不存在重大缺陷。全面性全面性重要性制衡性适应性成本效益19 July 2022455-3内部控制设计原则制衡性原则治理结构：股东会/董事会/组织结构和权责分配：应当科学合理并符合内部控制的基本要求，确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。全面性全面性重要性制衡性适应性成本效益19 July 2022465-3内部控制设计原则适应性

44、原则内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求。内部控制应随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。全面性重要性制衡性适应性成本效益19 July 2022475-3内部控制设计原则成本效益原则内部控制应当在保证内部控制有效性的前提下，合理权衡成本与效益的关系，争取以合理的成本实现更为有效的控制。全面性重要性制衡性适应性成本效益19 July 2022485-4内部控制组织设计内部控制组织设计，主要包括规范的公司法人治理结构，风险管理职内部控制组织设计，主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和

45、法律事务部门以及其他有关职能部门、业务能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。单位的组织领导机构及其职责。董事会董事会管理层管理层风险主管风险主管财务总监财务总监内审部门内审部门其他相关部门其他相关部门19 July 2022495-4内部控制组织设计内部审计内部审计财务总监财务总监总经理总经理董事会董事会风险主管风险主管其他相关职能部门其他相关职能部门董事会对风险管理负有监督职责，具体包括：董事会对风险管理负有监督职责，具体包括：充分了解并批准认可企业风险管理充分了解并批准认可企业风险管理总体目标、风险偏好、风险承受度；总体目标、风险偏好、风险

46、承受度；了解风险管理制度的有效性；了解风险管理制度的有效性；批准风险管理策略和重大风险管理批准风险管理策略和重大风险管理解决方案审议，批准重大决策、重大解决方案审议，批准重大决策、重大风险、重大事件和重要业务流程的判风险、重大事件和重要业务流程的判断标准或判断机制；断标准或判断机制；了解和掌握企业面临的各项重大风了解和掌握企业面临的各项重大风险及其风险管理现状，评价管理者的险及其风险管理现状，评价管理者的风险应对是否恰当；风险应对是否恰当；批准重大决策的风险评估报告，批批准重大决策的风险评估报告，批准内部审计部门提交的风险管理监督准内部审计部门提交的风险管理监督评价审计报告；评价审计报告；向股

47、东（大）会提交企业全面风险向股东（大）会提交企业全面风险管理年度工作报告；管理年度工作报告；督导企业风险管理文化的培育；督导企业风险管理文化的培育；全面风险管理其他重大事项。全面风险管理其他重大事项。19 July 2022505-4内部控制组织设计 其他相关职能部门其他相关职能部门内部审计内部审计总经理总经理董事会董事会风险主管风险主管内部审计内部审计财务总监财务总监总经理总经理董事会董事会风险主管风险主管其他相关职能部门其他相关职能部门企业总经理对全面风险管理工作的有效性向董事会负企业总经理对全面风险管理工作的有效性向董事会负责。总经理对企业的风险管理负有最终的责任，责。总经理对企业的风险

48、管理负有最终的责任，奠定风险管理的基调，具体职责如下：奠定风险管理的基调，具体职责如下：研究提出全面风险管理工作报告；研究提研究提出全面风险管理工作报告；研究提出跨职能部门的重大决策、重大风险、重出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断大事件和重要业务流程的判断标准或判断机制；机制；研究提出跨职能部门的重大决策风险评估研究提出跨职能部门的重大决策风险评估报告；报告；研究提出风险管理策略和跨职能部门的重研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控；织实施和对该风险的日常监控；

49、负责对全面风险管理有效性评估，研究提负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案；出全面风险管理的改进方案；负责组织建立风险管理信息系统；负责组织建立风险管理信息系统；负责组织协调全面风险管理日常工作；负责组织协调全面风险管理日常工作；负责指导、监督有关职能部门、各业务单负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管位以及全资、控股子企业开展全面风险管理工作；理工作；办理风险管理其他有关工作。办理风险管理其他有关工作。19 July 2022515-4内部控制组织设计大中型企业或风险较大的企业可以设置风险主管。大中型企业或风险较大的企业可以设置风险主管

50、。风险主管的职责如下：风险主管的职责如下：制定企业风险管理政策；制定企业风险管理政策；指导、帮助公司、部门、职能机构指导、帮助公司、部门、职能机构进行风险管理活动；进行风险管理活动；建立一套通用的风险管理语言；建立一套通用的风险管理语言；协助传递风险信息，制定报告规程；协助传递风险信息，制定报告规程；报告风险管理的问题，提供相关建报告风险管理的问题，提供相关建议议。其他相关职能部门其他相关职能部门内部审计内部审计总经理总经理董事会董事会风险主管风险主管内部审计内部审计财务总监财务总监总经理总经理董事会董事会风险主管风险主管其他相关职能部门其他相关职能部门19 July 2022525-4内部控