内部控制过程案例篇(80页PPT).pptx

n n内部控制过程包括过程控制、内部审计，过程控制使控制对象在行为过程中处于稳定状态，并达成内部控制目标的控制活动，涉及运营风险监控、风险的自我评估和信息反馈等 内部控制过程篇内部控制过程篇 191 1运营风险运营风险9 92 2 风险监控风险监控 9 93 3 过程控制案例过程控制案例第九章过程控制第九章过程控制2南开大学程新生 等91运营风险n n过程控制是指在内部控制框架下，使控制对象在行为过程中处于稳定状态，并达成内部控制目标的控制活动过程控制比结果控制要深入、具体，不仅对工作结果进行监控，而且要对整个过程进行控制，如风险监控是过程控制的重要内容 3南开大学程新生 等n n2001年，长虹公司为实现海外发展战略、提高销售额，将长虹彩电交由APEX公司在美国销售APEX方面总是以质量问题或货物未收到为借口，拒付、拖欠货款或少量付款2002年底，长虹公司应收账款为42.2亿元，APEX公司就占了90%，达38.3亿元2003年底长虹公司应收账款49.8亿元，APEX公司就占了89%，达44.6亿元长虹公司内部为此专门成立了APEX项目管理小组 4南开大学程新生 等n n但令人无法理解的是，在提出对账和索要货款未果的情况下继续发货给APEX公司。

2003年底，长虹公司派出高级管理人员与APEX交涉，结果2004年初长虹又发货3000多万美元，暴露了长虹公司在过程控制方面的问题企业最高管理层需要树立企业成长、盈利、风险三者平衡的风险控制观，要求管理当局将主要精力放在风险管理方面，而不是所有细节的控制上 5南开大学程新生 等一、流程风险一、流程风险n n风险具有普遍性、多样性、可变性(一种风险可转化或扩展成另一种风险)、突发性、隐蔽性、复杂性、可控性n n流程风险源于缺乏有效的流程管理，包括生产流程风险、交易流程风险、产品或服务风险n n生产过程风险包括生产能力风险、生产周期风险、生产中断风险、存货保持风险等6南开大学程新生 等n n交易过程风险的发生可能发生在采购环节，也可能是由于企业对于供应商或客户的评估而产生的在采购过程中，如果原材料缺货或成本过高，那么可能会影响到企业在客户需要时提供具有竞争性价格的产品或服务的能力另外，采购原料的质量问题也可能引起风险n n例如，上海宝钢矿石供应的风险 7南开大学程新生 等交易流程中的风险控制交易流程中的风险控制交易前交易前交易中交易中交易后交易后交易管理工具交易管理工具订单去向订单去向交易执行交易执行确认交易确认交易清算及核对清算及核对会计记录会计记录图图91 交易流程中的风险控制交易流程中的风险控制定价定价信用记录信用记录8南开大学程新生 等【英特尔的失误】1994 1994年年1111月，一位学术界人士告诉英特尔公司，它们生月，一位学术界人士告诉英特尔公司，它们生产的奔腾处理器有一个小的运算功能错误。

但英特尔产的奔腾处理器有一个小的运算功能错误但英特尔公司非常自信，没有认真对待这位客户的反应发现公司非常自信，没有认真对待这位客户的反应发现瑕疵的教授通过互联网询问其他人是否也遇到了类似瑕疵的教授通过互联网询问其他人是否也遇到了类似的问题，结果得到数以千计人的回答尽管英特尔公的问题，结果得到数以千计人的回答尽管英特尔公司一再向用户保证，处理器的这个微小的问题不会影司一再向用户保证，处理器的这个微小的问题不会影响到响到PCPC机的整体功能（出现计算错误的概率为机的整体功能（出现计算错误的概率为9090亿分亿分之一），但用户坚决要求更换产品新闻媒体的批评之一），但用户坚决要求更换产品新闻媒体的批评是严厉的，是严厉的，IBMIBM公司对装有奔腾处理器的计算机停止公司对装有奔腾处理器的计算机停止发货虽然英特尔公司制定了更换产品的政策，但只发货虽然英特尔公司制定了更换产品的政策，但只有约有约3%3%的用户的产品得到了更换，英特尔为此付出了的用户的产品得到了更换，英特尔为此付出了4.754.75亿美元的代价亿美元的代价9南开大学程新生 等二、人员风险二、人员风险n n人员风险是指由于人员资格和能力不能够满足工作人员风险是指由于人员资格和能力不能够满足工作的要求，致使设计或操作出现漏洞、疏忽、工作完的要求，致使设计或操作出现漏洞、疏忽、工作完成的效果差、难以达到预计目标、生产经营效率低成的效果差、难以达到预计目标、生产经营效率低下、产品质量或服务质量不达标准的可能性下、产品质量或服务质量不达标准的可能性n n有调查显示，大型超市的经理仅将有调查显示，大型超市的经理仅将31%31%的库存损失归的库存损失归因于店铺偷窃者，而将剩余的因于店铺偷窃者，而将剩余的46%46%归咎于员工偷窃。

归咎于员工偷窃如果只是追求利润而不将风险意识结合到公司的文化如果只是追求利润而不将风险意识结合到公司的文化中，同样会引发员工的不良表现中，同样会引发员工的不良表现 10南开大学程新生 等【迪斯尼公司的员工背景调查】n n迪斯尼乐园的业务是建立在公司安全及童趣的声誉迪斯尼乐园的业务是建立在公司安全及童趣的声誉上：如果声誉受损，业务就会下滑上：如果声誉受损，业务就会下滑19981998年年7 7月，迪月，迪斯尼公司一名年龄不到斯尼公司一名年龄不到2020岁的厨师被指控在酒店的岁的厨师被指控在酒店的卫生间侵犯了一位游客这个厨师还有着相当多的卫生间侵犯了一位游客这个厨师还有着相当多的犯罪和被捕记录时，他的犯罪记录还包括袭击他人、犯罪和被捕记录时，他的犯罪记录还包括袭击他人、入室偷窃等入室偷窃等n n在他被迪斯尼雇佣的时候，他处在缓刑期间舆论在他被迪斯尼雇佣的时候，他处在缓刑期间舆论对此曝光后，迪斯尼乐园的客流量和收入在一段时对此曝光后，迪斯尼乐园的客流量和收入在一段时间内受到了打击这一事件之后，迪斯尼乐园将每间内受到了打击这一事件之后，迪斯尼乐园将每一个员工都当作企业的风险源，更注重员工录用时一个员工都当作企业的风险源，更注重员工录用时的背景调查。

的背景调查11南开大学程新生 等n n海空物流公司CEO向公司的每一个员工发出了必须遵守基本的职业道德规范（CodeofBusinessConduct），将该职业道德规范放在网站上，要求每一位员工每年必须重新学习一遍，强化员工的控制意识 12南开大学程新生 等三、信息系统风险三、信息系统风险n n信息系统风险包括信息系统数据的真实性、系统信息系统风险包括信息系统数据的真实性、系统的稳定性、系统使用的安全性等方面的稳定性、系统使用的安全性等方面n n运用信息系统的企业，在设计商业流程及系统时，运用信息系统的企业，在设计商业流程及系统时，应该明确地将数据安全、准确作为首要目标应该明确地将数据安全、准确作为首要目标n n例如，一些物流公司在客户出货多的情况下，没有及例如，一些物流公司在客户出货多的情况下，没有及时掌握信息、制定流程控制防止业务人员操作失误；时掌握信息、制定流程控制防止业务人员操作失误；在货急和客户提供信息不完整时，没有应急的流程控在货急和客户提供信息不完整时，没有应急的流程控制和信息沟通，容易造成客户流失制和信息沟通，容易造成客户流失13南开大学程新生 等四、外部风险四、外部风险n n这种风险的来源于企业外部，但属于企业风险监控和内这种风险的来源于企业外部，但属于企业风险监控和内部控制范围，未雨绸缪是一个比亡羊补牢更理性的选择。

部控制范围，未雨绸缪是一个比亡羊补牢更理性的选择外部风险可以是自然或人为的灾难，可能来自于竞争具外部风险可以是自然或人为的灾难，可能来自于竞争具有偶然性，难以预测，一旦发生却有着严重的后果有偶然性，难以预测，一旦发生却有着严重的后果n n外部风险还环境，使企业的原有运营环境遭到破坏，但外部风险还环境，使企业的原有运营环境遭到破坏，但是有效的管理可以降低此类风险例如，是有效的管理可以降低此类风险例如，IBMIBM从一个硬从一个硬件公司到一个服务及解决方案公司的转型，较好地解决件公司到一个服务及解决方案公司的转型，较好地解决了竞争环境变化带来的风险了竞争环境变化带来的风险14南开大学程新生 等92 风险监控n n以以“目标目标风险风险控制控制”流程为指导，对所有的风险进流程为指导，对所有的风险进行分析，包括管理层关注的事项以及引起责任人员注意行分析，包括管理层关注的事项以及引起责任人员注意的风险领域关注高风险的领域，以提供相关的、符合的风险领域关注高风险的领域，以提供相关的、符合管理层和董事会需求的信息管理层和董事会需求的信息风险管理源于风险管理源于2020世纪世纪3030年代，年代，在风险定性分析的基础上，把保险作为处理风险的主要在风险定性分析的基础上，把保险作为处理风险的主要方法方法 到了到了5050年代，运用概率论和数理统计；年代，运用概率论和数理统计；6060年代年代后，系统地研究风险管理；自后，系统地研究风险管理；自7070年代以来，风险管理逐年代以来，风险管理逐渐发展成为新兴的管理学科，不再局限于信用风险管理，渐发展成为新兴的管理学科，不再局限于信用风险管理，8080年代转向财务风险管理（包括资本市场风险、信用风年代转向财务风险管理（包括资本市场风险、信用风险等），险等），9090年代后期进入了全方位的企业风险管理年代后期进入了全方位的企业风险管理 15南开大学程新生 等企业风险管理企业风险管理财务风险管理财务风险管理信用风信用风险管理险管理图图92 风险管理发展示意图风险管理发展示意图16南开大学程新生 等一、一、COSO委员会企业风险管理整合框架委员会企业风险管理整合框架（一）企业风险管理整合框架（一）企业风险管理整合框架 2004 2004年年9 9月，由美国注册会计师协会月，由美国注册会计师协会(AICPA)(AICPA)、国际内部审计师协会国际内部审计师协会(IIA)(IIA)、财务经理人协会、财务经理人协会(FEI)(FEI)、管理会计师协会管理会计师协会(IMA)(IMA)、美国会计学会、美国会计学会(AAA)(AAA)组成的组成的COSOCOSO委员会正式发布了企业风险管理委员会正式发布了企业风险管理整合框整合框架（架（Enterprise Risk ManagementEnterprise Risk Management，以下称，以下称ERMERM），），为企业管理当局评价和改进其所在组织的企业风险为企业管理当局评价和改进其所在组织的企业风险管理提供了一个框架管理提供了一个框架17南开大学程新生 等n n企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯彻执行之中，管理风险以使其在该组织的风险容量之内，为组织目标的实现提供合理保证 n nERMERM框架明确了以下内容：风险管理是一个过程，受框架明确了以下内容：风险管理是一个过程，受人的影响，应用于战略制定，贯穿整个企业的所有层人的影响，应用于战略制定，贯穿整个企业的所有层级和单位，旨在识别影响组织的事件并在组织的风险级和单位，旨在识别影响组织的事件并在组织的风险偏好范围内管理风险，为了实现各类目标提供合理保偏好范围内管理风险，为了实现各类目标提供合理保证证18南开大学程新生 等ERM包括八个相互关联的部分：包括八个相互关联的部分：（1）内部环境为人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及所处的经营环境。

2）目标设定必须先有目标，管理当局才能识别影响目标实现的潜在事项3）事件识别必须识别影响组织目标实现的内部和外部事项，区分风险和机会，使机会被反馈到管理当局的战略或目标制定过程中19南开大学程新生 等（4）风险评估通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据5）风险应对管理当局选择风险应对策略回避、承担、降低或者分担风险，以便把风险控制在组织的风险容忍度和风险容量以内6）控制活动制定和实施政策和程序以确保风险应对方略得以有效实施7）信息和沟通向组织的各个。