胡教授的内部控制.pptVIP

二、控制内容与应用框架—应用框架 具体控制类型包括：接触控制、信息/数据正确性控制、制衡控制、合规控制、效率/效益控制、安全性控制、欺诈控制、流程控制、检查控制、实物控制、行为控制、限额控制等 操作控制类型 预防型 引导型 探测型 纠错型 全面风险管理之企业内部控制 * 三、实现内控的步骤程序方法—建设步骤与流程 战略目标分解为 经营目标 经营目标分解为业务条线工作目标 工作目标分解为业务流程操作目标 定义业务流程节点和工作面 识别工作面风险点 风险点分析评价 风险应对设计 设计控制程序 控制管理规范 控制程序文件 风险控制文档 RCSA风险与控制自评估体系 三、实现内控的步骤程序方法—业务条线划分 * 组织架构 发展战略 人力资源 社会责任 企业文化 资金活动 采购业务 资产管理 销售业务 研究与开发 工程项目 担保业务 业务外包 财务报告 全面预算 合同管理 内部信息传递 信息系统 内部控制体系覆盖的业务条线应包括但不限于如下业务条线 三、实现内控的步骤程序方法—风险点识别 * 风险点识别是建立企业内部控制体系的难点与核心，理想的风险点识别是参考一个已有的同质企业风险事件库，但由于积累与成本的原因，往往难以实现 识别风险点的方法论或基本原理如下： 目标导向风险识别：组织、项目、业务流程均有目标。任何可能危及部分目标获得的事件都被识别为风险。目标导向是COSO的基础。 情景导向风险识别：在情景分析中，创造出不同的情境。情景可以是达到目的的不同方式，或作用力交互作用的分析。如市场、战争。任何触发不希望情景的事件都被识别为风险。 分类导向风险识别：此处的分类是可能风险源的一个事故结果。依据分类和实践的知识，编辑一个问题集合。对问题的回答反映出风险 三、实现内控的步骤程序方法—风险点识别 * 经验导向风险识别：经验化为知识库，如对常见风险作成检查表，进行对照。在一些行业，可以列出已知风险。表中的每项风险可以有相应的对策。 流程导向风险识别：对企业或组织的主要业务流程进行分解，发现每个流程的，各个环节是否存在风险因素，可同时进行业务流程优化。 事件导向风险识别： 基于已发生事件（基于理赔、专项调查），针对风险事件的资料情况，找出共性的风险因素。专业机构或专门组织分析完成，需大量占有事件资料。 三、实现内控的步骤程序方法—风险点识别 风险点识别之检查表法 通过对照预先编辑和的问题集表格，发现风险所在。可作为检查对照的“经验”来源包括：规范或标准；业务规则手册／质量手册；设计文件(商务计划书、可行性研究报告、初步设计) ；以往类似工艺的风险分析报告；详细的业务模块／工艺装置描述，带控制点的业务流程图工艺流程图；本企业或所在行业历史上出现的类似风险事件的总结报告；本企业或行业类似风险事件的理赔、处罚、自我承担等的损失分析报告，获得的机会收益分析报告；本企业和行业重大风险、关键风险清单；本企业风险管理历史；行业风险的统计；理论研究成果等 三、实现内控的步骤程序方法—风险点识别 风险点识别方法 调查问卷法 头脑风暴法 检查表法 专家分析DELPHI法 决策树/事故树法 预先风险分析法 情景分析法 因果分析（蝶形图）法 故障模式及影响分析 成本效益分析法 关键路径分析法 三、实现内控的步骤程序方法—风险控制方法设计 * 从管理的角度可以将企业的操作风险分为三类：一是可以通过程序化的业务管理就可以消除和避免的风险；二是可以转嫁给其他参与者的风险；三是在整个企业内积极管理的风险。内部控制主要用于管理第一类风险；而对于第二类风险和第三类风险，则一般可以通过对冲机制（如买保险）或经济资本配置等方法进行管理 因此企业内部控制的风险管控目标应是尽可能通过有秩序的流程化管理，消除那些因内部管理控制缺陷而带来的损失，这是企业全面风险管理中已知风险的一部分，对冲风险不在内部控制风险应对的范畴内 针对不同的业务内容和业务流程，有选择的使用各类控制措施，并在道德约束的配合下实现内部控制意义下的风险平抑 三、实现内控的步骤程序方法—风险控制方法设计 * 企业内部控制体系设计程序： 财务类目标 操作类目标 管理类目标 工作流程设计 风险节点控制 控制程序文件 控制管理规范 流程管理重新设计（测试与调整） 风险控制文档 解决内控组织执行问题 解决内控标准控制依据问题 解决内控执行基础问题 三、实现内控的步骤程序方法—良好内控体系特征 * 1．及时――内部控制体系应及早发现潜在或实际偏差以期减少损失。管理人员应对潜在问题作出预测，确保一旦出现问题就能够采取有效控制措施加以阻止并（或）予以确认和纠正 2．节约――内部控制体系应作出“合理保证”，即以合理的较低费用实现预期的控制目标。效率与节约必须与控制的有效性一并考虑，然而，如果出于对安全、环境、敏感问