内控五要素
1、内部环境:内部环境是影响、制约企业内部控制建立与执行各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
2、风险评估:风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不正确因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定,风险识别、风险分析和风险应对。
3、控制活动:控制活动是根据风险评估结果、结合风险应对策略采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制活动结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
4、信息与沟通:信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关的沟通机制等。
5、对控制的监督。监督检查是企业对其内部控制的健全性、合理性有效进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行连续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。
商业银行内控案例分析
3.5 A市农村商业银行内控方面的案例分析 中国银行业操作风险最突出的特点就体现在银行业案件上,案件的发生除了一些外部因 素,更重要的是银行内部控制出现了问题,近年来金融机构发生的案件涵盖了银行日常经营 的各个领域,如存款、贷款、现金管理及金库、票据、银行卡、外部侵害等[45],这些案件的 发生,不仅带来巨大损失,而且容易引发外界对银行业的信任危机,影响金融秩序的稳定。因此进一步加强内控机制建设,防范各类金融风险也就成了商业银行的当务之急。 下面就从A市农村商业银行经营过程中发生的四个案例进行分析。这四个案例主要发生在柜台业务、信贷业务、资金业务这几个业务环节,而且均与员工的业务操作息息相关。这几个业务正是商业银行风险防范、 内部控制的重点业务范围,这些风险也正是全面风险控 制理论要素中内部控制环境、风险识别与评估、监控活动、监督与纠正等环节出现漏洞所造成,因此具有很强的借鉴意义。 3.5.1柜员卷款潜逃案例 2007年4月,原A市农村合作信用联社某信用社主任接到其辖下某分社柜员李某报告,说一同上班的梁某突然不见了,由梁某保管的钱箱也不见了。信用社主任马上和相关人 员赶到现场,经查看录像,发现梁某趁李某上厕所之际,拿着其保管的钱箱开着无牌摩托车 逃走了。经清点账务,发现梁某带走的现金有人民币30多万元。事后经多方追踪,梁某在 藏匿近1年之后终被当地公安机关抓获归案,款项由其本人及家属筹款归还。 3.5.1.1案例分析 从该案的作案手段分析其主要存在的问题是: 1、银行员工出现思想道德风险问题。据调查了解,梁某产生偷盗库款的最重要原因是参于赌博,因赌博输了,无力偿还欠款,故产生了直接盗取银行资金的念头。 2、网点内部控制环境出现漏洞,给梁某可乘之机。因当时梁某所处的分社虽有三名员 工,但其中一名员工管理农贷,经常不在网点,实际上网点内只有两名员工,因此当其中一 人上厕所时,网点内就只有梁某一人,缺少了第三者的监督,给梁某以拿钱离开的机会。 3、监督环节出现漏洞,信用社对员工的管理不到位。因梁某染上赌博已有一段时间, 但一同上班的同事及其领导并未查觉其这一异常行为,导致未能及时给予教育,造成其最终 走上犯罪道路。 4、对网点的现金库存管理出现漏洞。据调查了解,该网点平时的现金库存量并不大, 但梁某在作案前一天向上级申领了20万现金,这一异常情况并未引起上级管理部门的重 视,以致给梁某提供了作案的机会。 3.5.1.2案例的教训和启示
企业内部控制的经典案例概要
企业内部控制的经典案例 --巨人集团的兴衰 一、公司背景 巨人集团曾经是我国民营企业的佼佼者,一度在市场上叱咤风云,该企业以闪电般的速度崛起后,又以流星般的速度迅速在市场上沉落了。1989年8月,史玉柱用先打广告后付款的方式,将其研制的M-6401桌面排版印刷系统软件推向市场,赚进了经商生涯中的第一桶金,奠定了巨人集团创业的基石。1991年4月,珠海巨人新技术公司成立;1993年7月,巨人集团下属全资子公司38个,成为中国第二大民营高科技企业;1994年年初,号称中国第一高楼的巨人大厦一期工程动土,同年史玉柱当选为“中国改革风云人物”;但1997年年初,巨人大厦在只完成了相当于三层楼高的首层大堂后停工,各方债主纷纷上门,老“巨人”的资金链断裂,负债2.5亿元的史玉柱黯然离开,巨人集团破产。 二、老“巨人”的衰弱----内部控制的紊乱 (一内部环境 巨人集团有董事会,但形同虚设。史玉柱手下的几位副总都没有股份,在集团讨论重决策时,他们很少坚持自己的意见,他们也无权干预史玉柱的错误决策。因此,在巨人集团的高层没有一种权力制约,巨人集团实行的是“一个人说了算的机制。另一方面,权利都集中在史玉柱一人手中,因此,监事会实质上也无法起到任何监督和制衡的作用。集团的快速扩张,资产规模的快速膨胀,也是的内部的管理变 得浮躁而混乱。同时,巨人集团从几个人发展到上千人,人员素质、组织结构以及企业文化都在不断磨合;由于缺乏规范的基础性内部控制,各类违规、违纪、违法案件,诸如截留、坐支、挪用公款、搞虚假广告等问题屡见不鲜;最终酿成了资金断流、经营难以为继的局面,甚至在危急时刻,“巨不肥”带来的利润还被一些人私分,如此可见,巨人集团的内部环境存在着多大的漏洞。
内部控制五要素
按美国的COSO委员会提出的《内部控制-整合框架》分为以下五要素: 1、控制环境 2、风险评估 3、控制活动 4、信息与沟通 5、监察 中国的《内控规范》借鉴了美国的COSO委员会提出的《内部控制-整合框架》,并结合中国国情,要求企业所建立与实施的内部控制,应当包括下列五个要素: 1、内部环境 2、风险评估 3、控制活动 4、信息与沟通 5、内部监督 详解: 有效的内部控制至少应当包括以下五项基本要素: 1、内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审
计机构设置、反舞弊机制等。 2、风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。 3、控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 4、信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。 5、监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要
内部控制的目标与要素
第八章内部控制及其测试与评价 第一节内部控制的目标与要素 一、内部控制的定义与内部控制目标 (一)定义 内部控制,是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的一系列政策、方案与程序等的总称。 (二)目标 1. 保证业务活动按照适当的授权进行。 2. 保证所有交易和事项以正确的金额,在恰当的会计期间及时记录于适当的账户,使会计报表的编制符合会计准则的相关要求。 3. 保证对资产和记录的接触、处理均经过适当的授权。 4. 保证账面资产与实存资产定期核对相符。 (三)有关内部控制的一般考虑 1. 建立和运行内部控制是管理当局的责任 2. 内部控制只能为会计报表提供合理的保证: 3. 由于内部控制存在固有的局限性,其控制的目标和作用不能完全发挥 (四)内部控制与审计的关系 当内部控制设计合理和执行有效时,会计数据出现错弊的可能性就小,反之,错弊的可能性就大。正是基于这一点,在审计中引入了内部控制的概念。在会计报表审计中,评价内部控制的强弱不是注册会计师的真正目的,而是把内部控制作为一种审计的工具,来确定查
账(实质性测试)的重点和数量。 1.注册会计师在执行会计报表审计业务时,不论被审计单位规模大小,都应当对相关的内部控制进行充分的了解。 2.注册会计师应根据其对被审计单位内部控制的了解,确定是否进行控制测试以及将要执行的控制测试的性质、时间和范围。 3.不管内部控制多么良好,实质性测试绝不能取消。被审计单位内部控制设计合理和运行有效,注册会计师可能相应减少对相关账户或交易类别的实质性测试。注册会计师不能根据内部控制的强弱对会计报表的合法性和公允性发表审计意见,只有实质性测试才能为审计意见提供证据,所以实质性测试是每一次审计所必须的程序。换而言之,审计风险模型中的控制风险始终应大于零。 二、内部控制要素 内部控制的三要素 (一)控制环境 控制环境的好坏直接决定着企业其他控制能否实施或实施的效果。对企业控制的建立和
内部控制案例分析——巨额银行存款不翼而飞的内控教训和启示
内部控制案例分析——巨额银行存款不翼而飞的内控教训 和启示 一.案例介绍:中国银行河松街支行10亿元存款失踪案 2005年1月4日,东北高速公司在河松街支行对账时,河松街支行出具的该公司截至2004年12月31日电脑打印的银行对账单结果显示,公司两个账户应有的存款余额近3亿元只剩下7万多元,其余存款去向不明。 此外,东北高速子公司———黑龙江东高投资开发有限公司存于该行的530万元资金也去向不明。与此同时,河松街支行行长高山也神秘“失踪”。东北高速随即向警方报案。 警方后来调查发现,此案10亿元资金涉及东北高速在哈尔滨河松街支行的两个账户中共计存款余额2.9337亿元;东北高速子公司———黑龙江东高投资开发有限公司存于该行的530万元资金;黑龙江辰能哈工大高科技风险投资有限公司所存的3亿余元资金;黑龙江社保局1.8亿元资金;同时,东高投资存在大庆市农业银行的履约保证金2427.98万元亦被悉数卷走。 事后查明,该行行长高山以跳票飞单的形式,利用高息获得巨额存款,在休眠期串通世纪绿洲系企业的实际控制人李东
哲通过地下钱庄将超过10亿元的资金汇往国外,并顺利出境。 二.案件分析 这次中行巨额资金被高山卷走主要利用了银行内部有一种 叫“飞单”或“跳票”的融资手段。即用高息揽存的方法,把企业的大额资金套进指定银行,然后通过各种手段把固定期限的存款划转到另一家企业的账 户上使用,到期限结算时再把本金连同利息“回笼 ”,从而完成一次交易。一般贷方只需将钱以“活期”形式存入指定银行,然后自己拿着高息承诺的存款凭据。贷方惟一的“代价”是要签一份书面文件,并加盖法人印鉴和本单位支票专用印鉴,承诺一年的“休眠期”之内不得支取这笔款项。 按照知情人士说法,持有大量资金的企业高管人员将资金存入河松街支行,私下必然有利益交易。客户将存款户开到该支行后,将被许以好处。即一些银行吸引大量资金后会将一部分资金体外循环,派生高利给当事人回扣。 包括东北高速在内的多家企业,将账户开在河松街支行后,运用支票的形式将资金转移到河松街支行的账上,然后通过背书转让或者其他转账方式转至其他账户用作它途;同时,河松街支行向企业出具虚假的存款凭证和对账单,维持资金
商业银行内控案例分析
3.5 A 市农村商业银行内控方面的案例分析 中国银行业操作风险最突出的特点就体现在银行业案件上,案件的发生除了一些外部因素,更重要的是银行内部控制出现了问题,近年来金融机构发生的案件涵盖了银行日常经营的各个领域,如存款、贷款、现金管理及金库、票据、银行卡、外部侵害等[45],这些案件的发生,不仅带来巨大损失,而且容易引发外界对银行业的信任危机,影响金融秩序的稳定。因此进一步加强内控机制建设,防范各类金融风险也就成了商业银行的当务之急。 下面就从A 市农村商业银行经营过程中发生的四个案例进行分析。这四个案例主要发生在柜台业务、信贷业务、资金业务这几个业务环节,而且均与员工的业务操作息息相关。这几个业务正是商业银行风险防范、内部控制的重点业务范围,这些风险也正是全面风险控制理论要素中内部控制环境、风险识别与评估、监控活动、监督与纠正等环节出现漏洞所造成,因此具有很强的借鉴意义。 3.5.1 柜员卷款潜逃案例 2007 年4 月,原A 市农村合作信用联社某信用社主任接到其辖下某分社柜员李某报告,说一同上班的梁某突然不见了,由梁某保管的钱箱也不见了。信用社主任马上和相关人员赶到现场,经查看录像,发现梁某趁李某上厕所之际,拿着其保管的钱箱开着无牌摩托车逃走了。经清点账务,发现梁某带走的现金有人民币30 多万元。事后经多方追踪,梁某在藏匿近1 年之后终被当地公安机关抓获归案,款项由其本人及家属筹款归还。 3.5.1.1 案例分析 从该案的作案手段分析其主要存在的问题是: 1、银行员工出现思想道德风险问题。据调查了解,梁某产生偷盗库款的最重要原因是参于赌博,因赌博输了,无力偿还欠款,故产生了直接盗取银行资金的念头。 2、网点内部控制环境出现漏洞,给梁某可乘之机。因当时梁某所处的分社虽有三名员工,但其中一名员工管理农贷,经常不在网点,实际上网点内只有两名员工,因此当其中一人上厕所时,网点内就只有梁某一人,缺少了第三者的监督,给梁某以拿钱离开的机会。 3、监督环节出现漏洞,信用社对员工的管理不到位。因梁某染上赌博已有一段时间,但一同上班的同事及其领导并未查觉其这一异常行为,导致未能及时给予教育,造成其最终走上犯罪道路。 4、对网点的现金库存管理出现漏洞。据调查了解,该网点平时的现金库存量并不大,但梁某在作案前一天向上级申领了20 万现金,这一异常情况并未引起上级管理部门的重视,以致给梁某提供了作案的机会。 3.5.1.2 案例的教训和启示 该案例的发生,给我们的教训是深刻的,事后原A 市农村信用合作联社通过多种措施
内控经典案例系列
内控案例专栏系列一:促销活动中的舞弊防范与内部控制 一、案例简介:促销存漏洞,一人独得200个特等奖 据媒体报道,重庆某知名电器连锁公司广告宣传部主管王某,在一年多时间里创下了一个“中大奖”的纪录:从2007年9月到2008年12月,他一人先后狂中200个特等奖,独得奖金79万多元。 然而,王某之所以能疯狂中奖,靠的不是运气,而是在自家公司开展的有奖促销活动中欺上瞒下,假冒顾客名义领奖。该公司2007年9月至2008年12月期间,开展了一场声势浩大的“刮刮卡刮奖促销”活动,其中最吸引人的是直返现金4999元的特等奖。奇怪的是,在这一年多时间里,公司30多家门店接待了成千上万名顾客,也有人中过奖金额度比较低的奖,却没有一名顾客刮中过特等奖,200个特等奖就此“不翼而飞”。一方面,顾客对特等奖迟迟难现充满疑惑,另一方面,该公司却一直在为并不存在的特等奖“埋单”──每隔一段时间,都有几名顾客中了特等奖的资料传来,相关材料也很完备,公司便一直按规定给予了报销。 直到2008年12月,公司在一次审核过程中,发现一些特等奖领奖人购物发票上的姓名和领奖人的身份证复印件不一致,奖金有被侵占的嫌疑。公司广告宣传部主管王某因有重大嫌疑,经公司监察部询问,他向公司总经理承认了自己冒领奖金的事实。 按照常理,要独揽这些特等奖,王某起码要通过三道关卡:一是要在众多奖券中,准确摸清楚哪些能中奖;二是要设法防止这些“特殊奖券”被投放到各个分店,以免流入顾客手中;三是向财务部门冒领奖金时,必须提供中奖人的购物凭证和身份证明,并成功通过上级的审核。 巧合的是,这些关卡看似难以逾越,实际上的“把关权”却都掌握在王某手中。这才导致他私吞大奖如探囊取物。记者采访获悉,这批“刮刮卡”的奖券是由河北省一家印刷厂统一印制的,王某恰恰负责联系印刷厂。他以“方便分配奖券”的名义,要求印刷厂把特等奖券和其他奖券分开,就此成功地把特殊奖券“挑”了出来。他再利用自己投放奖券的权力,把特等奖券全部扣留,一个也没有投放到分店。 按照规定,分店的中奖顾客信息和报销费用也必须经过王某审核。政法机关办案人员介绍,王某收集了一大批顾客的购物发票复印件,又从亲戚朋友那里弄来了一些身份证复印件,以“他人代领”的名义,炮制了一批“中奖材料”,分批向公司财务部冒领奖金,连连得手。 记者在采访中发现,王某作为企业的一名中层管理人员,之所以能轻易地侵吞奖金,关键在于他一手握着奖券的发放权,另一手握着领奖的审核权,在一定程度上是“自己监督自己”。重庆国美电器公司下属30多家分店尽管有众多员工,对于特等奖“难产”也未必没有疑问,但由于难以监督上级,只能任由王某“疯狂领奖”,直至东窗事发。
企业内控控制与制度设计案例分析参考答案(部分)
案例分析参考答案 项目一内部控制与制度设计基础 [案例分析1] 参考答案: 巴林银行的内部控制制度在设置上存在下列缺陷使得欺诈行为有可能发生,而且欺诈金额又是如此之大。 1、不相容职务分离控制存在缺陷。 该案例中,交易员一方面控制着交易行为而另一方面又控制着对交易的记录,这违背了不相容职务分离控制中“执行与记录某项经济业务的职务分离”的基本要求。 2、内部控制重大缺陷报告控制及内部控制缺陷的改进控制均存在问题。 该案例中,当巴林银行的内部审计师意识到交易员一方面控制着交易行为而另一方面又控制着对交易的记录后,管理层仍然没有采取任何行动,说明了巴林银行的内部控制重大缺陷报告控制及内部控制缺陷的改进控制均存在问题。 [案例分析2] 参考答案: 1.该公司的内部控制制度在设计上存在内部环境控制缺陷,从而无法防止欺诈行为的发生。 该案例中,一方面公司的总裁、财务总监和主计长等关键管理人员职业道德低下,串通舞弊,导致内部控制制度“失灵”,另一方面该公司的内部控制制度在设计上存在关键管理人员工作岗位轮换控制缺陷,从而无法防止类似欺诈行为的发生。 2.结合该公司的具体情况,欲阻止这种欺诈行为的发生,应设计如下内部控制制度:(1)公司应根据不同层级人员的职责权限,结合不同层级人员对实现公司内控目标的影响程度和不同要求,分别制定适合不同层级人员的职业操守准则或者行为守则,并明确相应的监督约束机制。高级管理人员应恪守以诚实守信为核心的职业操守。 (2)建立轮岗制度,定期或不定期进行关键工作岗位轮换,通过轮换及时发现存在的错弊情况,或抑制不法分子的不良动机。 (3)建立反舞弊机制。公司应当明确反舞弊的重点领域、关键环节及其主要内容;建立并完善投诉、举报管理制度;发生舞弊事件后,在补救措施中应有评估和改进内部控制的书面报告,对舞弊者采取适当的措施,并将结果向内部及必要的外部第三方通报。 项目二货币资金控制与制度设计 [案例分析1] 参考答案:
企业内控五要素
有效的内部控制至少应当包括以下五项基本要素: 1、内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。 2、风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。 3、控制活动。控制活动是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制活动结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 4、信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。 5、对控制的监督。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一
内部控制概念 要素 原则 方法
内部控制是指一个单位的各级管理层,为了保护其经济资源的安全、完整,确保经济和会计信息的正确可靠,协调经济行为,控制经济活动,利用单位内部分工而产生的相互制约,相互联系的关系,形成一系列具有控制职能的方法、措施、程序,并予以规范化,系统化,使之成为一个严密的、较为完整的体系.是用来协调经济行为、控制经济活动,从而形成一系列具有控制职能的方法、措施、程序,并予以规范化,系统化,使之成为一个严密的、较为完整的体系。它有几项构成要素构成。 内部控制的构成要素包括以下几项: 一、内部环境 内部环境是内部控制存在和发展的空间, 是内部控制赖以生存的土壤, 控制环境的好坏 直接决定着其他控制要素能否发挥作用。内部环境包括了: 1、董事会; 2、监事会; 3、组织结构; 4、授权和分配责任的方法; 5、审计委员会及内部审计; 6、人力资源政策和实务; 7、员工; 8、企业文化。 二、风险评估 风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。 常用的方法主要包括: 1、风险因素分析法 风险因素分析法是指对可能导致风险发生的因素进行评价分析,从而确定风险发生概率大小的风险评估方法。 其一般思路是: 调查风险源→识别风险转化条件→确定转化条件是否 具备→估计风险发生的后果→风险评价。 2、模糊综合评价法 3、内部控制评价法 内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关,因而这种方法主要在控制风险的评估中使用。注册会计师对于企业内部控制所做出的研究和评价可分为三个步骤: 4、分析性复核法
企业内部控制与风险管理的五个关键要素
第八讲企业内部控制与风险管理的五个关键要素控制论、系统论、信息论这三论构成了现代企业管理的理论基础,健全有效的内部控制不仅能够合理保证企业的生产经营和管理活动合法合规,提高企业各类报告的真实性、可靠性和完整性。而且可以改进企业的运营水平和风险防范能力,提高企业的管理效率。改善企业运营的效率和效果,帮助企业实现发展战略,促进企业的可持续发展。 内部控制要素在内部控制框架中居于核心地位,直接影响着内部控制的设计、实施和评价。在要素层面,一般认为内部控制有五大要素内部环境、风险评估、控制活动、信息与沟通、内部监督。说的在形象化一点,企业就像是一个人,内部环境就是人的头,风险评估、控制活动、信息与沟通、内部监督分别是人的四肢,只有头脑清晰,四肢健全的的健康“人”才能走的更长远。 内部环境是构成企业内部控制赖以存在的基础,一般认为包括企业目标及发展战略、组织架构及权责配置、人力资源政策及实践、企业社会责任、企业文化等等。 风险评估要素是企业设计和实施控制活动的依据,一般认为包括内部控制目标的设定、风险识别、风险分析和风险应对。 针对企业识别出来的风险企业需要开展控制活动。 控制活动要素一般认为包括不相容职务分离、授权审批控制、全面预算管理、会计系统控制、信息系统控制。 企业在风险评估和开展控制活动过程中,随时需要信息、需要沟通,包括内部信息、外部信息、内部沟通、外部沟通。 企业内部控制设计和运行的有效性随时需要监督,内部监督既是内部控制的构成要素之一,又是对内部控制其他要素的一种再控制,是保障内部控制有效性的关键。企业可通过持续监督、定期评估或两者并用来实现这个过程。 内部控制的主要领域,包括企业整体层面的控制、业务活动的控制、对子公司的控制、对分支机构的控制四个层次。 企业内部控制和风险管理的五个关键点,是建立所有企业管理的基础。
从内部控制浅谈巴林银行的倒闭事件
从内部控制浅谈巴林银行的倒闭事件
从内部控制浅谈巴林银行倒闭事件 摘要:1995年巴林银行的倒闭向世人敲响了金融业内部控制的警钟。反思巴林银行倒闭的成因,以加强企业内部管理,提高提高企业经营管理水平,成为了每一个企业管理者研究的重要内容。本文从内部控制的角度对巴林银行倒闭案的成因进行了分析, 提出建立、健全有效的内部控制制度并有效运行是企业发现、纠正错误行为, 防止财务造假的重要措施。建议企业要从完善内部控制环境和信息披露制度, 加强风险控制和内部审计几个方面着手进行内部控制建设。 关键词:内部控制,风险控制,控制环境 一内部控制理论的历史发展 内部控制概念最早由外部审计界提出。随着社会经济的发展,传统的以账为基础的审计方法已经不能适应变化了的经济环境,环境压力迫使审计界必须探寻新的审计理论和寻找新的审计方法。这样为了在新的经济环境下提高审计效率控制审计风险,开始提出内部控制概念,通过对内部控制的评审来确定审计师可能承担的审计风险和需要执行的审计业务量。 内部控制自提出后一般认为经历了以下四个阶段: 第一,内部牵制阶段。内部牵制是内部控制的最初形式,其核心思想是一项经济业务通过分工由不同的人共同完成,从而形成相互制约和牵制,并通过账目核对确保经济业务得到正确记录,会计信息真实可靠。 第二,内部控制制度阶段。这个时期将内部控制划分为两个部分:内部会计控制和内部管理控制。其中内部会计控制的作用是确保会计信息真实可靠、企业资产安全完整;内部管理控制是从企业经营的角度出发确保企业的方针政策得到贯彻实施,提高企业的经营效率,实现企业整体经营目标。 第三,内部结构控制。20世纪80年代外部审计界提出了内部控制结构,将内部控制界定为控制环境、会计制度以及控制程序三个部分。这一阶段,内部控制不仅包含了与企业经营效率和经营目标实现有关的内容,而且还保证会计信息真实可靠与资产安全完整。这从内部控制结构的定义看出,即“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策与程序。”这更突出了控制环境
企业内部控制五要素
企业内部控制五要素 有效的内部控制至少应当包括以下五项基本要素: 1、内部环境:内部环境是影响、制约企业内部控制建立与执行各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。 2、风险评估:风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不正确因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定,风险识别、风险分析和风险应对。 3、控制活动:控制活动是根据风险评估结果、结合风险应对策略采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制活动结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 4、信息与沟通:信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关的沟通机制等。 5、对控制的监督。监督检查是企业对其内部控制的健全性、合理性有效进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行连续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。 五要素之间的关系 1、内部环境是基础,是企业建设内部控制的土壤,是一切内控制度、流程、控制点得以实施的根本条件。一个企业内控好坏,首先应对其内控环境进行评价,如果环境不好,就需要更仔细和深入的进行建设,换句话说,如果环境建设得好,具备良好的风险意识和内控文化,即使一些小方面存在控制不足,也并不重要。 2、风险评估、控制活动、信息沟通。这是内控体系核心三个环节。
工行内控案例分析
某银行部控制审计典型案例研究 一、成立时间:1984年,2006年上市。 二、部控制概况 该行引入COSO部控制五要素理念,实施《商业银行部控制指引》、《证券交易所上市公司部控制指引》和《企业部控制基本规》,制定部控制建设规划和部控制制度,由董事会、各级管理层、监事会和全体员工实施,决策、执行、监督相互制衡。 分别由业务部门-----第一道部控制防线 风险管理部门-------第二道部控制防线 部监督部门-------第三道部控制防线 2004年7月起建设全面风险管理体系 2006年改革部组织架构 部审计部门直接向董事会负责并报告工作,并垂直下设十个部审计分部,负责涵盖部控制的独立审计; 控合规部门,在总行和各级分行设立的对高级管理层和管理层负责的负责牵头部控制建设、操作风险管理和合规风险管理。 三、部控制审计概况 1、上市当年,上交所《上市公司部控制指引》发布实施,该行部审计部门开始尝试部控制专项审计。 2、2007年起具体组织实施年度部控制评价,经过三年的探索、借鉴、创新,逐步形成较为完善的部控制审计体系。 3、部控制专项审计和年度审计项目纳入年度审计计划,经董事会审计委员会审议、董事会审议批准后实施。 三年来,该行部审计部门采取非现场监测和现场测试相结合、审计检查和审计调研相结合的方式,共实施了140多项审计活动,基本覆盖了该行公司治理、风险管理、部控制全过程。 四、部控制年度审计 1、公司层面 2、流程层面
3、信息技术控制层面 4、并表管理审计-------母银行及附属公司的部控制 公司层面控制的审计容 主要关注公司治理、人力资源、企业文化、社会责任等管理层面的控制领域,围绕部环境、风险评估、控制活动、信息与沟通、部监督等五大控制要素展开,分为17个领域和82个子领域(如表所示)。每个领域下再细分为若干个关键风险点和控制点。 公司层面控制审计
内部控制五要素
内部控制五要素 内部环境 风险评估 控制活动 信息与沟通 内部监督 内部控制五要素—内部环境 治理结构、机构设置及权责分配、内部审计机制、人力资源政策、企业文化 (组织架构、发展战略、人力资源、社会责任、企业文化—配套指引) 内部控制五要素—风险评估 目标设定 风险识别 风险分析 风险应对 内部控制五要素—控制活动 不相容职务分离控制 授权审批控制 会计系统控制 财产保护控制 预算控制 运营分析控制 绩效考评控制 重大风险预警机制和突发事件应急处理机制 内部控制五要素—信息与沟通 信息质量 沟通制度 信息系统 反舞弊机制 内部控制五要素—内部监督 1.日常监督 2.专项监督 我要纠错| 计算器| 论坛课件形式:打 印讲义 前言 内部控制不一定保证企业成功,但失败的企业无疑都有失控的印记。 内控不是万能的,但没有内控是万万不能的。 企业目标与经营风险
企业目标 生存 发展 获利 经营风险 经营环境的变化(市场/政策/竞争/技术)风险是两面性 风险给企业带来了什么? Risk 与“危机” 企业在不同的发展阶段的风险特征 相爱容易相处难的尴尬 。。。。。。 做正确的事;把正确的事做好。 Do the right thing; Do the right things right. 内部控制的意义 风险存在的客观性与企业选择的主观性 为了控制而控制 or 为了防范风险而控制?实施内部控制能带来什么? 一个是提高企业的运行效率 小企业管理靠人,大企业呢? 制度经济学中的交易成本 另一个是防范作弊 作弊的防范是企业的底线
舞弊的三角理论 防范机制—职业道德教育 防范机制—法律法规 来硬的能解决一切吗?
内控体系建设的五个环节
内控体系建设的五个环节 一、战略制定 作为内控管理的第一站,内控战略规划的重要地位在于其对以后实施内控系统建设的所有方面的影响。合理的战略规划可以使企业的内控管理效率大幅度提高,确保企业的治理水平迅速达到所有者和管理层的预期目标。 制定企业内控战略规划具体应该注意掌握以下几个方面: 1.与保持严格一致 企业战略目标是制定企业所有具体业务目标的基础,内控战略目标也必须符合企业总体战略目标确定的方向。当前,关于企业的战略目标、原景、核心价值观等的主流观点基本上都是围绕着如何发展成为一个有社会责任感的企业来确定的。 内控战略目标通常可以按照企业希望达到的发展水平来确定。假如某企业的战略目标是在一定的期限内成为本行业的领导者并希望基业常青,那么其内控体系的战略目标就必须为符合这一要求提供有力的支撑;既不能高于这个目标,也不能低于这个目标。惟此,才能被企业内所有利益相关者和运营管理的所有参与者所接受。 此外,内控战略目标可以根据企业的发展状况分阶段确定。例如在某个阶段达到行业先进水平;某阶段达到国内同行业先进水平;某阶段达到国际先进水平等。 2.明确实现目标的具体标志 事先确定内控战略实现的具体标志,既可以为企业制订年度内控工作计划或绩效考核目标提供具体的依据,也可以为日后评价本企业内控战略目标的实现状况提供评价依据。 例如:某企业的内控战略目标是达到本省同行业先进水平。那么,企业就必须对本省的同行业内控管理的基本情况有所了解。然后确定自己的评价标准或实现标志。评价标准可以具体设置为:程序建设情况;内控建设情况;内控审计手段的先进和有效程度;舞弊案件的损失指标;企业的风险指标;全体员工对内控管理的理解情况等等。 3.基于企业实际需要的准确定位 所谓“准确”定位的标准就是目标必须与本企业的实际情况相符合,并清晰明了。例如一家小型企业集团的内控战略目标没必要定的太高;实现标
内部控制案例分析
内部控制案例分析 从内部控制角度浅析齐鲁银行贷骗案一、齐鲁银行概况 齐鲁银行是一家以“服务地方经济,服务市民百姓,做中小企业的伙伴银行的城市商业银行。为山东省成立的首家地方性股份制商业银行,首家与为己任” 外资银行战略合作的城商行,也是山东第一家跨省经营的城商行。 1996 年6 月,在济南市 16 家城市信用社和 1 家城信社联社的基础上组建而成济南城市合作银行,1998年6月6日,更名为济南市商业银行,2009年6月6日,经中国银监会批准,正式更名为齐鲁银行股份有限公司,简称齐鲁银。其中,外资股东澳大利亚联邦银行持股比例为 20%。 在完成“去城商行”特色的关键一步后,齐鲁银行力图依托山东向全国延伸扩张,推进转型、扩张、上市“三大战略”。自成立以来,先后进行了管理体制、运营机制、考核机制、用人机制等重大改革,目前已在天津、青岛、聊城设立3家分行,济南市辖内69家网点,在岗员工2000余人。总资产83.68亿,营业利润11.26亿,在资产规模和盈利能力上较之2010年都有大幅度下降,这与“12)06”特大伪造金融票证案的发生,不无关系。 二、齐鲁银行贷骗案简介 2010年12月6日,山东经济学院在齐鲁银行账户中的3000万元被转走,查证过程中,齐鲁银行发现其持有的“存款证实书”系伪造,遂报案。 经查实,主犯刘济源是活跃在济南金融界的资金掮客,为商业银行引来存款大户,同时,他也是通过存单质押获得贷款的资金使用大户。司法文件显示,刘济源以支付高额利息、好处费等方式,引诱企业到其指定的银行办理定期存款,而后采用虚假质押的手段,以骗贷的方法从银行诈骗巨额资金。起诉书称,从2002年
内部控制包括五个相互联系的要素
内部控制包括五个相互联系的要素 内部控制包括五个相互联系的要素。它们源自管理层的经营方式,并与管理过程紧密相连。尽管此五项要素适用于各类企业,但是中小企业对其应用可能不同于大型企业。中小企业的内部控制可能不及大型企业正式、组织性强,但其内部控制也可能是有效的。内部控制的五项要素为: 控制环境——控制环境决定了企业的基调,直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架,是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能;管理哲学和经营风格;权责分配方法、人事政策;董事会的经营重点和目标等。 风险评估——每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接,保持一致。风险评估指识别、分析相关风险以实现既定目标,从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化,需要确立一套机制来识别和应对由这些变化带来的风险。 控制活动——控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险,实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。 信息和沟通——公允的信息必须被确认、捕获并以一定形式及时传递,以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告,以助于经营和控制企业。信息系统不仅处理内部产生的信息,还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息,认真履行控制职责。员工必须理解自身在整个内控系统中的位置,理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时,与外部诸如客户、供应商、管理当局和股东的之间也需要有效的沟通。 监控——内部控制系统需要被监控,即对该系统有效性进行评估的
内部控制案例分析
从内部控制角度浅析齐鲁银行贷骗案 一、齐鲁银行概况 齐鲁银行是一家以“服务地方经济,服务市民百姓,做中小企业的伙伴银行为己任”的城市商业银行。为山东省成立的首家地方性股份制商业银行,首家与外资银行战略合作的城商行,也是山东第一家跨省经营的城商行。 1996 年 6 月,在济南市 16 家城市信用社和 1 家城信社联社的基础上组建而成济南城市合作银行,1998年6月6日,更名为济南市商业银行,2009年6月6日,经中国银监会批准,正式更名为齐鲁银行股份有限公司,简称齐鲁银。其中,外资股东澳大利亚联邦银行持股比例为 20%。 在完成“去城商行”特色的关键一步后,齐鲁银行力图依托山东向全国延伸扩张,推进转型、扩张、上市“三大战略”。自成立以来,先后进行了管理体制、运营机制、考核机制、用人机制等重大改革,目前已在天津、青岛、聊城设立3家分行,济南市辖内69家网点,在岗员工2000余人。总资产83.68亿,营业利润11.26亿,在资产规模和盈利能力上较之2010年都有大幅度下降,这与“12﹒06”特大伪造金融票证案的发生,不无关系。 二、齐鲁银行贷骗案简介 2010年12月6日,山东经济学院在齐鲁银行账户中的3000万元被转走,查证过程中,齐鲁银行发现其持有的“存款证实书”系伪造,遂报案。 经查实,主犯刘济源是活跃在济南金融界的资金掮客,为商业银行引来存款大户,同时,他也是通过存单质押获得贷款的资金使用大户。司法文件显示,刘济源以支付高额利息、好处费等方式,引诱企业到其指定的银行办理定期存款,而后采用虚假质押的手段,以骗贷的方法从银行诈骗巨额资金。起诉书称,从2002年起,刘济源产生骗取银行信贷资金想法。随着资金出现巨大亏空,刘济源涉嫌诈骗手段逐步升级,从涉嫌骗取银行贷款最后转为直接诈骗企业。2010年10月,刘济源以帮助办理授信、贷款为由,骗山东经济学院在齐鲁银行存款。刘济源将伪造的学院印章交给员工,在齐鲁银行开立了学院账户。几天后,山东经济学院向这个账户里存入了3000万,这笔钱被刘济源指使人转走。山东经济学院发现账户里没有存款之后,找到了齐鲁银行了解情况。刘济源再次试图卖出手里的股票补上这3000万的窟窿,但未果。最后,齐鲁银行选择了报案。 根据起诉书涉案金额统计,齐鲁银行案涉案金额超101亿元,其中涉嫌诈骗银行100亿元,涉嫌诈骗企业1.3亿元,案发后追回赃款79亿余元,实际损失恐超21亿。
工商银行内控五要素分析
中国联通内控五要素分析 一、控制环境 (1)内部控制体系 工行一董事会为决策层,各级机构的管理层为建设执行层,各级内控合规部门和垂直独立的内部控制部门为监督评价层的内部控制体系。工行以风险控制为主线,合理划分格经营管理部门的职责分工;纵向按扁平化管理模式,加强各业务线的内部管理、监督检查及信息传递,并明晰内控合规、内部控制、法律和监察等部门的职责边界,形成了业务管理、合规检查和内部控制有序分工的内部控制三道防线及全流程、全方位覆盖各层级的内部控制监督体系。 (2)内部控制文化 董事会、高级管理层积极主导和推进内部控制文化建设的各项工作,将“依法合规、审慎稳健、诚信尽责、创造价值”作为内部控制核心价值观,倡导“管理靠制度、办事讲规矩、决策依程序”和“内控优先、制度先行”、“合规创造价值”的内部控制理念。 (3)人力资源政策 工行引入经济增加值和收益分享比例理念,建立起以市场价值、岗位价值、知识能力和绩效共享为基础的差异化薪酬分配机制;引入个人绩效合约、目标考核管理、行为能力评价工具与理念,建立起相对完善的绩效评价机制和绩效管理流程,建立了“纵向可进退、横向可交流”的多通道职业发展新机制,实现了以目标为导向、以绩效为依据的整体式绩效考核机制。
二、风险评估 工行通过提前制度了多个具体的风险评估准则,做到了提前识别风险并有效控制风险。 (1)信用风险评估 工行的信用风险评估体系适应了风险防范的需要。第一,投产Basell II评级法——非零售内部评级工程,达到了巴塞尔新资本协议内部平均法初级法的要求,并已广泛应用于风险限额设定、贷款定价、经济资本计量和配置等风险管理的全过程。第二,完成Basell II内部评级法,承担零食内部评级项目建设主体任务。第三,投产押品价值评估系统,实现了押品价值全过程、全方位、全功能的评估信息化。第四,启动国别风险评价工作,制定主权评级办法,开展了对110个国家的主权评级。 (2)市场风险评估 工行制定了与自身业务和规模相适应的市场风险评估体系,通过《中国工商银行银行账户和交易账户划分管理办法》、《中国工商银行债券资产分类管理办法》,对银行账户和交易账户的划分管理进行制度上的规定。交易账户市场风险限额管理指标对资金交易业务市场风险进行控制,BIFT系统、Kondor+系统、Summif系统、BTS系统和交易账户风险管理核心系统的进化和完善,实现了交易账户本外币债券市值每日评估和对发行人授信额度的刚性控制。 (3)操作风险评估 工行通过跟踪操作风险发生的频率、影响程度,分析操作风险损失
银行风险案例分析
浙江江山邮储银行3000万存款失踪职员当掮客 (内控风险类型案例) 一、案例情况简介 “存折上明明显示有3000万元,账上的存款却莫名不见了。”最近一段时间,江西省南昌市黎萍一家人寝食难安,急得像热锅上的蚂蚁。他们怎么也想不明白,存折一直放在家中,好端端一大笔钱岂会离奇失踪呢? 一年前,她的堂哥经老乡刘某的介绍办理了一笔银行“高息揽储”业务。其堂哥调集了其公司3000万元的现金,用她的身份证开户将这笔款项全部指定存储到了中国邮政储蓄银行浙江江山市支行青湖镇储蓄所。双方约定:存满活期一年,一年内“不准提前支取、不得对外抵押和担保”,一年后即可取回。然而,3个月前,当黎萍和堂哥赶往该银行网点取款时,却惊讶地发现存折里根本就没钱,3000万元存款不知去向。 二、暴露的问题或隐患 (一)银行对员工的监管“篱笆”扎得不严,以“吸储规模论奖赏”的考评机制在一定程度上更是“误导”了银行的工作人员,特别是基层工作人员业绩压力大,他们为了完成任务,可能会铤而走险非法揽储。
(二)银行“内鬼”胆大妄为,置法律于不顾,他们利用银行内部业绩导向的考评机制漏洞,从事非法揽储的犯罪行为。把责任推给“贪心”储户的借口经不起推敲。这得说说一种叫“贴息存款”的金融服务,顾名思义,它指的是在正常利率之外,还要贴上更高的利息来招揽储户。该业务屡禁不止。银行会搞贴息存款有两个目的,一是到了季末考核的时候,要冲存款量,补业绩;二是拉存款给急需贷款但是又不符合条件的企业用。对于前者来说,贴息者是银行本身,对于后者,额外付利息的其实是企业。尽管“贴息存款”已经被明确喊停,可潜规则还是蔓延。 (三)储户自我保护意识不强有关,给了不法分子可乘之机。在本次案件中,“内鬼”承诺给储户的高额利息。类似的案件都有高利息忽悠的特征。而储户一般也特别听话,在存款期限内不查账户,不问信息,不开通短息。期待高利息,并答应不太合理的要求,这两点成为大量类似事件中银行等单位指责储户的理由,并据此认为是储户太过贪心。所谓存款“失踪”原来是“被骗”。 银行自身灰色行为的存在,一方面让许多“内鬼”有了诈骗的基础和空间。另一方面,也让储户容易上当,因为机构性的“贴息存款”可是实打实存在的。所以事情败露后,银行怪储户贪心、没有预见到风险的指责是非常站不住脚的。