《内部控制知识分享.ppt》由会员分享,可在线阅读,更多相关《内部控制知识分享.ppt(105页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、内部控制PPT讲解分工第一部分:走进内部控制 第二部分:内部控制的五大要素和方法内部控制的五大要素和方法 第三部分:案例分析-三鹿事件内部控制的重要性有效的内部控制风险与经营回报的良好平衡成功行业的前10种最主要的风险因素(德勤统计数据)一、内部控制的演变二、内部控制的内涵解读三、内部控制的作用和应用四、正确认识内部控制内部控制概念的变迁内控的产生:萌芽阶段内部牵制职务分离账目核对交叉检查例:双人记账制西汉时期的上计制度宋规定“官职分离、职差分离”、“主库吏三年一易”内控的发展:第二阶段内部控制制度1949,AICPA,内部控制定义1958,AICPA,制度二分1986,INTOSAI,是完整
2、的财务和其他控制体系,包括组织结构、方法程序和内部审计例:制度二分会计控制:会计控制由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成。管理控制:管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录。包括对业务运作的效率、对管理政策的坚持和法律上的遵循。内控的发展:第三阶段内部控制结构1988,AICPA”内部控制结构“取代”内部控制“不再区分会计控制和管理控制控制环境控制环境 Control Environment会计系统会计系统 Accounting System控制程序控制程序 Control Procedure内控的发展:第四阶段内部控制
3、整体框架动态过程系统控制例:COSO模型ControlEnvironmentRiskAssessmentControlsMonitoringInformationCommunication一、内部控制的演变二、内部控制的内涵解读三、内部控制的作用和应用四、正确认识内部控制什么是内部控制?清华大学会计研究所对内部控制做了如下概述:内部控制是为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性,而自行检查、制约和调整内部业务活动的自律系统。其贯穿于经营活动的全部过程,包括控制环境、风险评估、控制活动、信息与沟通,监督等要素,并受企业董事会、管理阶层及其他人员影晌。内部控制是?工具、方
4、法?制度?目标?审计?内控是.工具、方法?有效地和有效率地去避免业务运作时发生严重的问题。用于减缓有可能防障组织目标达成的风险。For example:流程的控制点,评审程序,内控自我评估,考核内控是.制度?For example:不同类形的组织结构、审计体系、管理规定、流程、指导书等组织结构组织结构制度制度程序程序合理地确保管合理地确保管理层的目的和理层的目的和责任得以达到。责任得以达到。等。等。组织结构组织结构程序程序合理地确保管合理地确保管理层的目的和理层的目的和责任得以达到。责任得以达到。组织结构组织结构程序程序合理地确保管理层的目的和责任得以达到。内控是.目标?For example
5、:应收账龄分析,其目的并不只是要知道客户欠账多久,而是保障货款能尽快回收.由企业董事会、管理层和各阶层人员一起推动和执行内控是.审计?For example:审计项目,资询服务为管理层提供监控提供业务部门适当的内控建议一、内部控制的演变二、内部控制的内涵解读三、内部控制的作用和应用四、正确认识内部控制内部控制的作用有效地传达管理层的意见,目标和期望。提供所有被授权人员一个准则恰当的和有效地使用公司资源,并按管理层的指示来使用。为管理层准确地评估绩效和提供业务运作的真实信息保护资产和其他资源遵守法律和规章内控应设在哪个阶层?各岗位各部门整个公司内控应设在全公司每一个阶层。应用在哪里?财务控制(F
6、inancial)流程控制(Process)组织结构控制(Organizational)信息系统控制(Information System)质量控制(Quality)安全控制(Safety)环境控制(Environmental)一、内部控制的演变二、内部控制的内涵解读三、内部控制的作用和应用四、正确认识内部控制正确认识内部控制内控只可以提供合理的保证,并不能向领导层提供绝对保证。内控主要是受公司各阶层人员的人影响,并不是全然依靠制度和指导书。内控必需要配合公司的独特环境和需求。内控的结构和控制应建设在成本和效益的基础上。内控是可以同时达成一个或多个与相交义的企业目的。如何理解内部控制(1)内部
7、控制是一个过程,是实现目标的手段,而不是结果本身。内部控制会受到企业内部各层次人员的影响,而不是简单地制定出一本制度或规章。对管理曾或董事会来说,内部控制提供的只是合理的保证,而非绝对的保证。内部控制的目的在于实现组织的一个或几个目标。如何理解内部控制(2)内部控制绝对不是:静态的结构;某一层次人员的任务(例如:高级管理层)某一部门的任务(例如:财务、内部审计)某一实体的任务(例如:总部、省级公司)内部控制是:内部控制 是一个靠组织的董事会、管理层和其他员工去实现的过程,实现这一过程是为了合理的保证:经营的效果性和效率性;财务报告的可信性;对法律和规章制度的遵循性。内部系统的整体架构没有内控系
8、统的企业,就象坐在飞驰的马车上却没有手握缰绳!企业内控系统就象牵引风筝的线,没有线的风筝是飞不起来的We share!微软总裁比尔盖茨讲:微软离破产只有180天。海尔首席执行官张瑞敏说:经营管理就要战战兢兢,如履薄冰。再能干的管理者、再优秀的企业也总会遇到各种各样的困难,关键是我们一定要有面对困难的各种准备,包括心理层面的和物质层面的。企业内部控制企业内部控制企业内部控制的五大要素企业内部控制的五大要素企业内部控制的方法企业内部控制的方法 一一、企业内部控制五大要素企业内部控制五大要素 1992年完成的报告内部控制的整体框架从根本上统一了对内部控制的认识,其所设计的内部控制模型也被全世界公认为
9、内部控制的标准模型。The The Committee Of Sponsoring Organization Committee Of Sponsoring Organization of Treadway Commission)of Treadway Commission)COSOCOSO致力于通过强化商业道德、建立完善有效的内部控制和法人致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。它从属于治理结构以提高财务报告的质量。它从属于19851985年成立的反虚假财年成立的反虚假财务报告委员会务报告委员会(也被称为也被称为TreadwayTreadway委员会
10、委员会),是由美国注册会计师协是由美国注册会计师协会会(AICPA)(AICPA)、内部审计协会、内部审计协会(IIA)(IIA)、财务经理协会、财务经理协会(FEI)(FEI)、美国会计学会、美国会计学会(AAA)(AAA)、管理会计学会、管理会计学会(IMA)(IMA)等多个专业团体组成。等多个专业团体组成。cosocoso内部控制五大要素内部控制五大要素 内部环境内部环境内部环境内部环境目标制定目标制定目标制定目标制定事项识别事项识别事项识别事项识别风险评估风险评估风险评估风险评估风险应对风险应对风险应对风险应对控制活动控制活动控制活动控制活动信息沟通信息沟通信息沟通信息沟通监监监监 控
11、控控控内部环境内部环境内部环境内部环境风险评估风险评估风险评估风险评估控制活动控制活动控制活动控制活动信息沟通信息沟通信息沟通信息沟通监监监监 控控控控一、内部环境一、内部环境1 1、内部环境构成要素、内部环境构成要素 内部环境是影响、制约企业内部控制建立与执行的各种内部因内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础,一般包括素的总称,是实施内部控制的基础,一般包括治理结构治理结构、机构设机构设置与权责分配置与权责分配、内部审计内部审计、人力资源政策人力资源政策、企业文化企业文化等。等。它塑造组织的控制文化,影响员工的控制意识;它支撑着整个它塑造组织的控
12、制文化,影响员工的控制意识;它支撑着整个内部控制框架,是推动控制工作的发动机;它奠定组织的制度和内部控制框架,是推动控制工作的发动机;它奠定组织的制度和结构,并涉及到所有活动的核心结构,并涉及到所有活动的核心人,特别是人,特别是人的控制觉悟人的控制觉悟;它还反映企业各级管理层对内部控制的要求。它还反映企业各级管理层对内部控制的要求。主要包括:员工的诚信和道德观员工的胜任能力董事会和审计委员会管理层的经营理念和经营风格组织结构管理层授权和职责分工人力资源政策和措施二、风险评估二、风险评估风险评估是指企业及时识别、系统分析经营活动中与实现内部控风险评估是指企业及时识别、系统分析经营活动中与实现内部
13、控制目标相关的风险,合理确定风险应对策略。评估风险是为了有制目标相关的风险,合理确定风险应对策略。评估风险是为了有效控制风险。效控制风险。风险评估构成要素与一般程序风险评估构成要素与一般程序目标设定目标设定目标设定目标设定风险识别风险识别风险识别风险识别风险分析风险分析风险分析风险分析风险应对风险应对风险应对风险应对 企业开展风险评估,应当准确识别与实现控制目标相关的内部企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险和外部风险,确定相应的风险承受度。风险承受度风险承受度是企业能够承担的风险限度,包括整体风险承受能是企业能够承担的风险限度,包括整
14、体风险承受能力和业务层面的可接受风险水平。力和业务层面的可接受风险水平。企业应当采用定性与定量相结合的方法,按照风险发生的可能企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。点和优先控制的风险。经济因素经济因素经济因素经济因素法律因素法律因素法律因素法律因素社会因素社会因素社会因素社会因素科学技术因素科学技术因素科学技术因素科学技术因素自然环境因素自然环境因素自然环境因素自然环境因素其他因素其他因素其他因素其他因素人力资源因素人力资源因素人力资源因素人力资源
15、因素管理因素因素管理因素因素管理因素因素管理因素因素自主创新因素自主创新因素自主创新因素自主创新因素财务因素财务因素财务因素财务因素安全环保因素安全环保因素安全环保因素安全环保因素其他因素其他因素其他因素其他因素外外外外部部部部风风风风险险险险因因因因素素素素内内内内部部部部风风风风险险险险因因因因素素素素风险因素风险因素风险因素风险因素风险风险风险风险因素因素因素因素三、控制活动三、控制活动 企业应当结合风险评估结果,通过企业应当结合风险评估结果,通过手手工控制与自动控制工控制与自动控制、预防性控制与发现预防性控制与发现性控制性控制相结合的方法,运用相应的控制相结合的方法,运用相应的控制措施
16、,将风险控制在可承受度之内,以措施,将风险控制在可承受度之内,以保证公司目标得以实现。保证公司目标得以实现。控制活动类型包括:1、按照不同作用:分为预防性控制,纠错性控制2、按照活动的形式分为:业绩评价,如实际与预算、同期和行业标准的对比 审批,授权,确认 实物控制,如资产安全性,定期盘点,对计算机及数据资料的权限控制 责任分离,如业务授权、业务执行、业务记录、对业绩的独立检查的职能分离四、信息与沟通四、信息与沟通 信息与沟通是指企业及时、准确地收集、传递与内信息与沟通是指企业及时、准确地收集、传递与内部控制相关的信息,确保信息在部控制相关的信息,确保信息在企业内部企业内部、企业与外企业与外部
17、部之间进行有效沟通。之间进行有效沟通。信息沟通过程中发现的问题,应当及时报告并加以解信息沟通过程中发现的问题,应当及时报告并加以解决。决。重要信息应当及时传递给董事会、监事会和经理层。重要信息应当及时传递给董事会、监事会和经理层。例如:管理层清晰定义每个员工的职责及公司政策和程序并进行充分沟通建立适当的管理层内部沟通以及公司与外部机构定期沟通的程序建立目标以便衡量进度、发现问题并及时采取改进措施五、内部监督五、内部监督 内部监督内部监督是指企业对内部控制的建立与实施情况进行监督检查,是指企业对内部控制的建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷应当及时加以改进。评价内部
18、控制的有效性,发现内部控制缺陷应当及时加以改进。内部监督分为内部监督分为日常监督日常监督和和专项监督专项监督。企业应结合内部监督情况,定期对内部控制的有效性进行自我评企业应结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。价,出具内部控制自我评价报告。企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析其性质和产生的原因,提出整改方案,采取控制缺陷,应当分析其性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。适当的形式及时向董事会、监事会或者经理层报告。2
19、008200820082008年年年年9 9 9 9月月月月15151515日上午日上午日上午日上午10:0010:0010:0010:00,拥有,拥有,拥有,拥有158158158158年历史的美国第四大年历史的美国第四大年历史的美国第四大年历史的美国第四大投资银行雷曼兄弟公司向法院申请破产保护,消息瞬间通过投资银行雷曼兄弟公司向法院申请破产保护,消息瞬间通过投资银行雷曼兄弟公司向法院申请破产保护,消息瞬间通过投资银行雷曼兄弟公司向法院申请破产保护,消息瞬间通过电视、广播和网络传遍地球的各个角落。令人匪夷所思的是,电视、广播和网络传遍地球的各个角落。令人匪夷所思的是,电视、广播和网络传遍地球
20、的各个角落。令人匪夷所思的是,电视、广播和网络传遍地球的各个角落。令人匪夷所思的是,在如此明朗的情况下,德国国家发展银行在如此明朗的情况下,德国国家发展银行在如此明朗的情况下,德国国家发展银行在如此明朗的情况下,德国国家发展银行10101010分钟之后居然按分钟之后居然按分钟之后居然按分钟之后居然按照外汇掉期协议,通过计算机自动付款系统向雷曼兄弟公司照外汇掉期协议,通过计算机自动付款系统向雷曼兄弟公司照外汇掉期协议,通过计算机自动付款系统向雷曼兄弟公司照外汇掉期协议,通过计算机自动付款系统向雷曼兄弟公司即将冻结的银行账户转入了即将冻结的银行账户转入了即将冻结的银行账户转入了即将冻结的银行账户转
21、入了3 3 3 3亿欧元,令德国社会大为震惊。亿欧元,令德国社会大为震惊。亿欧元,令德国社会大为震惊。亿欧元,令德国社会大为震惊。几天后,一份报告显示了该银行人员在这几天后,一份报告显示了该银行人员在这几天后,一份报告显示了该银行人员在这几天后,一份报告显示了该银行人员在这10101010分钟内都忙分钟内都忙分钟内都忙分钟内都忙了些什么:了些什么:了些什么:了些什么:案案案案例例例例介介介介绍绍绍绍 首席执行官乌尔里奇首席执行官乌尔里奇首席执行官乌尔里奇首席执行官乌尔里奇施罗德施罗德施罗德施罗德:我知道今天要按照协议:我知道今天要按照协议:我知道今天要按照协议:我知道今天要按照协议的约定转账,
22、至于是否撤销这笔巨额交易,应该让董事会开的约定转账,至于是否撤销这笔巨额交易,应该让董事会开的约定转账,至于是否撤销这笔巨额交易,应该让董事会开的约定转账,至于是否撤销这笔巨额交易,应该让董事会开会讨论决定。会讨论决定。会讨论决定。会讨论决定。董事长保卢斯董事长保卢斯董事长保卢斯董事长保卢斯:我们还没有得到风险评估报告,无法及:我们还没有得到风险评估报告,无法及:我们还没有得到风险评估报告,无法及:我们还没有得到风险评估报告,无法及时做出正确的决策。时做出正确的决策。时做出正确的决策。时做出正确的决策。董事会秘书史里芬董事会秘书史里芬董事会秘书史里芬董事会秘书史里芬:我打电话给国际业务部催要风
23、险评:我打电话给国际业务部催要风险评:我打电话给国际业务部催要风险评:我打电话给国际业务部催要风险评估报告,可那里总是占线,我想还是隔一会儿再打吧。估报告,可那里总是占线,我想还是隔一会儿再打吧。估报告,可那里总是占线,我想还是隔一会儿再打吧。估报告,可那里总是占线,我想还是隔一会儿再打吧。负责处理与雷曼兄弟公司业务的高级经理希特霍芬负责处理与雷曼兄弟公司业务的高级经理希特霍芬负责处理与雷曼兄弟公司业务的高级经理希特霍芬负责处理与雷曼兄弟公司业务的高级经理希特霍芬:我:我:我:我让文员上网浏览新闻,一旦有雷曼兄弟公司的消息就立即报让文员上网浏览新闻,一旦有雷曼兄弟公司的消息就立即报让文员上网浏
24、览新闻,一旦有雷曼兄弟公司的消息就立即报让文员上网浏览新闻,一旦有雷曼兄弟公司的消息就立即报告,现在我要去休息室喝咖啡了。告,现在我要去休息室喝咖啡了。告,现在我要去休息室喝咖啡了。告,现在我要去休息室喝咖啡了。案案案案例例例例介介介介绍绍绍绍 企业应当根据内部控制目标,结合风险应对策略,从控制,企业应当根据内部控制目标,结合风险应对策略,从控制,企业应当根据内部控制目标,结合风险应对策略,从控制,企业应当根据内部控制目标,结合风险应对策略,从控制,沟通,监督等多方面综合运用控制措施,对各种业务和事项沟通,监督等多方面综合运用控制措施,对各种业务和事项沟通,监督等多方面综合运用控制措施,对各种
25、业务和事项沟通,监督等多方面综合运用控制措施,对各种业务和事项实施有效控制。实施有效控制。实施有效控制。实施有效控制。企业还应当建立企业还应当建立企业还应当建立企业还应当建立重大风险预警机制重大风险预警机制重大风险预警机制重大风险预警机制和和和和突发事件应急处理突发事件应急处理突发事件应急处理突发事件应急处理机制机制机制机制,明确风险预警标准,对可能发生的重大风险或突发事,明确风险预警标准,对可能发生的重大风险或突发事,明确风险预警标准,对可能发生的重大风险或突发事,明确风险预警标准,对可能发生的重大风险或突发事件制定应急预案、明确责任人员、规范处置程序,确保突发件制定应急预案、明确责任人员、
26、规范处置程序,确保突发件制定应急预案、明确责任人员、规范处置程序,确保突发件制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时、妥善处理。事件得到及时、妥善处理。事件得到及时、妥善处理。事件得到及时、妥善处理。可见内部控制对一个企业的重要性可见内部控制对一个企业的重要性可见内部控制对一个企业的重要性可见内部控制对一个企业的重要性 案案案案例例例例分分分分析析析析德国国家发展银行的失误给我们的启示:基本规范五要素的关系及其作用基本规范五要素的关系及其作用内部监督内部监督内部监督内部监督控制活动控制活动控制活动控制活动风风风风 险险险险 评评评评 估估估估内内内内 部部部部 环环环环
27、境境境境信信信信息息息息沟沟沟沟通通通通信信信信息息息息沟沟沟沟通通通通基础基础基础基础手段手段手段手段保证保证保证保证载体载体载体载体依据依据依据依据二、内部控制的方法内部控制的基本方法 一、组织控制(一、组织控制(一、组织控制(一、组织控制(重点重点重点重点)四、风险控制四、风险控制四、风险控制四、风险控制 二、预算控制(二、预算控制(二、预算控制(二、预算控制(重点重点重点重点)五、人力资源控制(五、人力资源控制(五、人力资源控制(五、人力资源控制(重点重点重点重点)三、文件记录控制三、文件记录控制三、文件记录控制三、文件记录控制 六、内部报告控制六、内部报告控制六、内部报告控制六、内部
28、报告控制 一、组织控制一、组织控制 组织控制:组织控制:是指企业建立一个进行计划、协调和控制活动的整体组织框架,使企业在这个组织框架内进行有效授权和职责分工,开展各种经营活动。组织控制是一种事前控制方法,是建立授权控制、实施程序和牵制控制的基础。1 1、集权结构、集权结构(一)直线制组织结构 直线制是一种最简单的集权式组织结构形式,又称军队式结构。其领导关系按垂直系统建立,不设专门的职能机构,自上而下形同直线。但是当企业规模扩大时,管理工作量可能超过个人能力承受的限度,不利于集中精力研究企业管理的重大问题。适用范围:只适用于规模较小或业务活动简单、稳定的企业。(二)职能式组织结构 是按职能来组
29、织部门分工,即从企业高层到基层,均把承担相同职能的管理业务及其人员组合在一起,设置相应的管理部门和管理职务。提高了管理的专业化程度,减轻了直线负责人的工作负担,避免了人力和物力资源的重复配置。但是这种多头管理,易造成混乱。适用范围:只适用于中小型、产品单一、外部环境比较稳定的企业。(三)直线职能式组织结构 直线职能式是一种以直线式结构为基础,在厂长(经理)领导下设置相应的职能部门,实行厂长(经理)统一指挥与职能部门参谋、指导相结合的组织结构形式。但是随着企业规模的进一步扩大,职能部门也将随之增多,于是,各部门之间的横向联系和协作将变得更加复杂和困难。适用范围:规模中等的企业。随着规模的进一步扩
30、大,将倾向于更多的分权。2 2、分权结构、分权结构(一)事业部制组织结构 事业部制也称分权制结构,是一种在直线职能制基础上演变而成的现代企业组织结构形式。这种组织形式:(1)既保持了公司管理的灵活性和适应性,又发挥了事业部的主动积极性;(2)减轻了高管的压力,有利于集中精力做好企业大政方针的决策;(3)有利于培养高层管理人员;(4)便于组织专业化生产,提高生产效率,保证产品质量。缺点是容易造成组织机构重叠、管理人员膨胀;各事业部独立性强,考虑问题时容易忽视企业整体利益适用范围:适合于那些经营规模大、生产经营业务多样化、市场环境差异大、要求较强适应性的企业。(二)矩阵型组织结构 矩阵制结构由纵横
31、两个管理系列组成,一个是职能部门系列;另一个是为完成某一临时任务而组建的项目小组系列,纵横两个系列交叉,即构成矩阵。但是,该组织结构权责不清,项目负责人往往责任大于权限;易造成多头管理;稳定性差。二、预算控制二、预算控制(一)含义 全面预算控制又称总预算,是反映企业未来某一特定时期的全部生产活动的财务计划。(二)全面预算控制的作用 1、预算与战略管理:全面预算能够细化公司战略规划和年度经营计划,它是对公司整体经营活动一系列量化的计划安排。一、全面预算控制的内涵一、全面预算控制的内涵 2、预算与绩效考核:全面预算是公司实施绩效管理的基础,是进行员工绩效考核的主要依据。3、预算与资源分配:全面预算
32、可以促进公司各类资源的有效配置,提高资源利用效率。4、预算与风险控制:通过寻找经营活动实际结果与预算的差距,可以迅速地发现问题并及时采取相应的解决措施。通过强化内部控制,降低了公司日常的经营风险。5、预算与收入提升及成本节约:通过全面预算可以加强对费用支出的控制,有效降低公司的营运成本。(二)全面预算的内容 1、经营预算:销售预算、生产预算、成本预算和费用预算 2、资本预算:投资和筹资预算 3、财务预算:现金预算、预计资产负债表、预计利润表和预计现金流量表。三、文件记录控制三、文件记录控制 文件记录控制:是企业内部控制的重要手段。健全、正确的文件记录既是其他控制(如组织规划控制、授权批准控制)
33、有效性的保证,又是企业保持高效率经营和高质量信息的手段。其中,文件记录控制可分为管理类控制文件和会计记录类控制文件。四、风险控制四、风险控制风险控制:是指通过确定、评估及控制组织内因业务活动而必须承受的所有风险,让企业能够利用最直接而有效的途径,以实现企业的目标和使命,通过度量、控制和降低企业因承受风险带来的负面影响,帮助企业保持盈利,从而实现企业最终目标提高投资者回报。风险控制包括的内容:风险识别、风险评估和风险应对(一)风险识别的原则 1、全面性、系统性原则 2、制度化、经常化原则(二)风险识别的方法 1、专家调查列举法 (1)头脑风暴法 (2)德尔菲法 2、生产流程分析法(流程图法)3、
34、财务报表分析法 4、投入产出分析法 5、背景分析法一、风险识别一、风险识别(一)常用方法 1、基于知识的分析方法(基线风险评估)2、基于模型的分析方法 3、定量分析(二)风险评估过程 1、计划和准备 2、识别并评价风险 3、识别并评估威胁 4、识别并评估弱点 5、识别并评估现有的安全措施 6、评估风险二、风险评估的方法二、风险评估的方法五、人力资源控制五、人力资源控制招聘原则 (1)公开招聘 (2)全面考核 (3)公平竞争 (4)择优录取一、招聘控制一、招聘控制 (一)培训制度 通过培训提升员工的工作技能、道德品质、诚信意识。(二)岗位轮换制度 通过轮岗提升员工工作能力;发现差错或舞弊。(三)
35、职业信用保险制度(信用承诺书)二、用人控制二、用人控制二、用人控制二、用人控制(一)培训制度 通过培训提升员工的工作技能、道德品质、诚信意识。(二)岗位轮换制度 通过轮岗提升员工工作能力;发现差错或舞弊。(三)职业信用保险制度(信用承诺书)(一)公开透明原则 (二)客观考评原则 (三)相关性原则 (四)注重反馈原则 (五)差别与公平原则 (六)可行性与实用性原则三、绩效考核与激励三、绩效考核与激励六、内部报告控制六、内部报告控制 (一)组织层级相匹配原则 (二)简明直接原则 (三)及时原则 (四)与预算管理相结合原则一、内部报告的编制原则一、内部报告的编制原则(一)生产报告(一)生产报告(二)
36、经营报告(二)经营报告(三)资产经营报告(三)资产经营报告 (四)资本经营报告体系(四)资本经营报告体系(五)预算执行报告(五)预算执行报告 二、内部报告的构成体系二、内部报告的构成体系案例分析案例分析 从三鹿奶粉事件看中国上市公司的内部控制问题CONTENTSCONTENTS1 1三鹿集团简介三鹿集团简介2 2三鹿奶粉事件回放三鹿奶粉事件回放3 3三鹿集团破产原因分析三鹿集团破产原因分析4 4启示与反思启示与反思三鹿集团简介19561956年,成立年,成立“幸福乳业生产合作社幸福乳业生产合作社”,经过几代人半个,经过几代人半个世纪的奋斗世纪的奋斗,在同行业创造了多项奇迹和在同行业创造了多项奇
37、迹和“五个率先五个率先”19831983年率先研制、生产母乳化奶粉(婴儿配方奶粉),年率先研制、生产母乳化奶粉(婴儿配方奶粉),19861986年年率先创造并推广率先创造并推广“奶牛下乡、牛奶进城奶牛下乡、牛奶进城”城乡联合模式,城乡联合模式,19931993年率先实施品牌运营及集团化战略运作,年率先实施品牌运营及集团化战略运作,在全国多个省市进行在全国多个省市进行低成本扩张,迅速崛起低成本扩张,迅速崛起19961996年,成立三鹿集团,田文华担任董事长年,成立三鹿集团,田文华担任董事长20062006年,三鹿集团引进全球最大乳制品原料出口商新西年,三鹿集团引进全球最大乳制品原料出口商新西兰恒
38、天然集团兰恒天然集团三鹿集团简介 石家庄三鹿集石家庄三鹿集团团股份有限公司是中国食品工股份有限公司是中国食品工业业百百强强、中国企、中国企业业500500强强、农业产业农业产业化国家重点化国家重点龙头龙头企企业业,也是省、市重点支持,也是省、市重点支持的企的企业业集集团团。三鹿集三鹿集团团先后荣先后荣获获全国全国“五一五一”劳动奖劳动奖状、全国先状、全国先进进基基层层党党组组织织、全国、全国轻轻工工业业十佳企十佳企业业、全国、全国质质量管理先量管理先进进企企业业、科技、科技创创新新型星火型星火龙头龙头企企业业、中国食品工、中国食品工业优业优秀企秀企业业等省以上荣誉称号二等省以上荣誉称号二百余百
39、余项项。三鹿奶粉事件回放20082008年年9 9月,三鹿集团因其婴幼儿配方奶粉中掺杂致毒物质三聚氰胺被迅速月,三鹿集团因其婴幼儿配方奶粉中掺杂致毒物质三聚氰胺被迅速推向破产的边缘,推向破产的边缘,20092009年年2 2月月1212日,法院正式宣布三鹿集团破产。日,法院正式宣布三鹿集团破产。三鹿奶粉事件回放三鹿破产原因分析内部控制五要素内部环境内部环境内部环境内部环境风险评估风险评估风险评估风险评估内部监督内部监督内部监督内部监督信息与沟通信息与沟通信息与沟通信息与沟通控制活动控制活动控制活动控制活动一、内部环境内 部 环 境 是 内 部 控 制 框 架 的 基 础。内 部 环 境 是 内
40、 部 控 制 框 架 的 基 础。涵盖涵盖治理结构治理结构、机构设置及权责分配机构设置及权责分配、内部审计内部审计、人力资源政策人力资源政策、企业文化企业文化、诚信与道德观诚信与道德观等多方面等多方面内容。内容。一、内部环境道德上道德上道德上道德上不法分子诚信缺不法分子诚信缺失,道德沦丧,失,道德沦丧,只顾自己利益,只顾自己利益,不顾消费者身体不顾消费者身体健康。健康。道德使之不愿、法律使之不敢、制度使之不能道德使之不愿、法律使之不敢、制度使之不能道德上道德上道德上道德上不法分子诚信缺不法分子诚信缺失,道德沦丧,失,道德沦丧,只顾自己利益,只顾自己利益,不顾消费者身体不顾消费者身体健康。健康。
41、道德上道德上道德上道德上不法分子诚信缺不法分子诚信缺失,道德沦丧,失,道德沦丧,只顾自己利益,只顾自己利益,不顾消费者身体不顾消费者身体健康。健康。道德上道德上道德上道德上不法分子诚信缺不法分子诚信缺失,道德沦丧,失,道德沦丧,只顾自己利益,只顾自己利益,不顾消费者身体不顾消费者身体健康。健康。道德上道德上道德上道德上不法分子诚信缺不法分子诚信缺失,道德沦丧,失,道德沦丧,只顾自己利益,只顾自己利益,不顾消费者身体不顾消费者身体健康。健康。道德上道德上道德上道德上 企业文化企业文化企业文化企业文化企业没有做好企业没有做好文化建设工作,文化建设工作,没有培育好员没有培育好员工的价值观和工的价值观
42、和社会责任感社会责任感 治理结构治理结构治理结构治理结构不合理。表面三鹿不合理。表面三鹿乳业乳业56%56%股权,新股权,新西兰恒天然西兰恒天然43%43%股股权,实际权,实际96%96%股权股权掌握在掌握在900900名老职名老职工手中,实际控工手中,实际控制人相当分散。制人相当分散。人力资源政策人力资源政策人力资源政策人力资源政策企业聘用员工考企业聘用员工考核不严,标准不核不严,标准不当。耿氏兄弟等当。耿氏兄弟等人才得以为非作人才得以为非作歹。歹。内部审计环境内部审计环境内部审计环境内部审计环境 不严格。早不严格。早在发现问题之初在发现问题之初没有及时纠正。没有及时纠正。并在三年多里隐并在
43、三年多里隐瞒和纵容问题直瞒和纵容问题直至东窗事发。至东窗事发。二、风险评估识别和分析风险的过程是一种持续及反复的过程,识别和分析风险的过程是一种持续及反复的过程,是 有 效 内 部 控 制 额 关 键 组 成 要 素。是 有 效 内 部 控 制 额 关 键 组 成 要 素。这个要素要求企业及时识别、系统分析经营活动中这个要素要求企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,并合理确定风险与实现内部控制目标相关的风险,并合理确定风险应对策略。应对策略。在内部风险方面在内部风险方面在内部风险方面在内部风险方面未对管理层、经营层及关键未对管理层、经营层及关键岗位人员的职业操守进行分岗
44、位人员的职业操守进行分析,以防止因为个人偏好而析,以防止因为个人偏好而给企业带来重大损失的风险给企业带来重大损失的风险。三鹿风险评估分析在外部风险方面在外部风险方面在外部风险方面在外部风险方面企业面临奶源短缺的风险,企业面临奶源短缺的风险,三鹿集团在原奶的争夺大战三鹿集团在原奶的争夺大战中,弱化了对原奶的质量控中,弱化了对原奶的质量控制,加大了经营风险。制,加大了经营风险。在内外风险夹击下,三鹿缺少应有的在内外风险夹击下,三鹿缺少应有的风险预警机制风险预警机制风险预警机制风险预警机制,而建立风险预警机制是企业风险管理的基础,可以使而建立风险预警机制是企业风险管理的基础,可以使 企业在面临风险的
45、时候立即做出应对措施。企业在面临风险的时候立即做出应对措施。三鹿风险评估分析一般的企业内部控制都是针对常规事项常规事项进行设计的(如奶粉的营养成分是否达标等),而对例外事项例外事项(如添加三聚氰胺)则重视不足。这对内部控制的设计提出了挑战。显然,食品加工企业除了对原料采购、产品加工、存储储藏、物流配送等各个环节进行风险评价、分析之外,还应该就最可能产生风险的环节设立应对还应该就最可能产生风险的环节设立应对措施。措施。例如风险评估时针对生产的奶粉原料中可能会含有哪些有害物质,原料提供者添加这些物质的可能性以及消费者食用这些物质的后果严重性等进行评价、排序,并从原料采购、产成品的检测验收等方面设定
46、有针对性的指标,以提高内部控制的效率和效果。三、控制活动 控制活动是指企业根据风险评估结果,采取相控制活动是指企业根据风险评估结果,采取相应的控制措施,将风险控制在可接受的程度之内。应的控制措施,将风险控制在可接受的程度之内。企业应当根据内部控制目标,结合风险应对策企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有略,综合运用控制措施,对各种业务和事项实施有效控制。效控制。三鹿控制活动分析 如果三鹿集如果三鹿集团团的管理者能的管理者能对对日常控制活日常控制活动动中中发现发现的一些不良信息的一些不良信息进进行收集、整理,行收集、整理,并并对对异常异常现现象(屡次
47、不合格的原料提供者后象(屡次不合格的原料提供者后来提供的都是合格原料)来提供的都是合格原料)寻寻找合理解找合理解释释,以,以进进一步提高控制活一步提高控制活动动的效率效果,就不会的效率效果,就不会发发现现不了不了类类似似“耿某耿某”的伎的伎俩俩了。了。从事实看,从事实看,三鹿集团能够在三鹿集团能够在20072007年前年前“屡次屡次”查出耿某提供查出耿某提供的牛奶不合格,的牛奶不合格,说明说明企业拥有严企业拥有严格的采购验收制格的采购验收制度并得到切实执度并得到切实执行行。三鹿信息与沟通分析信息的收集和传递上应做到,信息的收集和传递上应做到,信息的收集和传递上应做到,信息的收集和传递上应做到,
48、能够很好的将企业的精神、职业道德传能够很好的将企业的精神、职业道德传能够很好的将企业的精神、职业道德传能够很好的将企业的精神、职业道德传递到没每一位员工的身上并贯彻执行。递到没每一位员工的身上并贯彻执行。递到没每一位员工的身上并贯彻执行。递到没每一位员工的身上并贯彻执行。内部沟通上应做到,内部沟通上应做到,内部沟通上应做到,内部沟通上应做到,公司的管理层定期或者不定期召开各种会议,公司的管理层定期或者不定期召开各种会议,公司的管理层定期或者不定期召开各种会议,公司的管理层定期或者不定期召开各种会议,及时与相关职能部门的领导、下属单位负责及时与相关职能部门的领导、下属单位负责及时与相关职能部门的
49、领导、下属单位负责及时与相关职能部门的领导、下属单位负责人就生产、运营等情况进行沟通、交流。人就生产、运营等情况进行沟通、交流。人就生产、运营等情况进行沟通、交流。人就生产、运营等情况进行沟通、交流。从从现现有的有的报报道看,早在道看,早在20082008年年3 3月三鹿集团就已经接到消费者的投诉,月三鹿集团就已经接到消费者的投诉,6 6月份月份反映的人越来越多,但直到反映的人越来越多,但直到20082008年年8 8月月2 2日,三鹿集团才将相关信息上报给石家庄日,三鹿集团才将相关信息上报给石家庄市政府。这中间已存在市政府。这中间已存在信息与沟通不及时、不全面的问题信息与沟通不及时、不全面的
50、问题。根据有关规定,地方人民政府和食品安全综合监管部门接到重大食品安全事故根据有关规定,地方人民政府和食品安全综合监管部门接到重大食品安全事故报告后,应当立即向上级人民政府和上级食品安全综合监管部门报告,并在报告后,应当立即向上级人民政府和上级食品安全综合监管部门报告,并在2 2小时小时内报告至省(区、市)人民政府,也可以直接向国务院和药监局及相关部门报告。内报告至省(区、市)人民政府,也可以直接向国务院和药监局及相关部门报告。但三鹿的实际情况是,石家庄市政府直到但三鹿的实际情况是,石家庄市政府直到9 9月月8 8日才将有关情况的书面报告提交给日才将有关情况的书面报告提交给河北省政府。这种信息