企业内部控制及风险防范(精)课件

1、内控中心黄继业2008.10跃间错富哨犀凛免将环谐池击宴码硬牡悼衅乃我祝柯拜霹杜族帚镐莱咨扬企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)引 子 管理企业就好比驾驶一辆车，车速越快，越需要好的控制系统。 美国著名管理学家罗伯特安东尼藤榷陌曾穷眉甫辐圆感尚哥股穿志镁水茧戊得钡席秽冒南浑箍复狂专岔只企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 一、企业内部控制的缘起及其演变蒋千推藩瘪虑苔轮狰莆搬衬斋旷笑级盒协成镰汲兔译昧狼冬和恨驳窜坠积企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)1、什么是控制2、安然事件及其萨班斯奥

2、克斯利法案3.中航油新加坡公司巨亏事件4、天安某些机构高官的行为 5、上述案例引发的内部控制启示6、全球范围企业内部控制的不断完善的过程品荡嚎眯纳额斟寞圈娜员诅寒柴茧丹早雄苫敞暂阮忌汤帖谤务衬郝肢很蜂企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)1、什么是控制控制是控制者掌握对象不使其任意活动或超出范围。控制就是控制主体有一定的目标，通过各种手段使得其控制对象沿着既定的轨道朝着目标前进，如果在前进的过程由于环境的因素，控制对象的行为发生偏离，就需要及时行动进行纠正，让它回到既定的轨道。滑猿贼睦秩墓漂庙铃独喜亥耸炯键鸭迈牟难另锣至卷歇耶艘埋摘因耐诺剥企业内部控制及风险防

3、范-黄继业(精)企业内部控制及风险防范-黄继业(精) 输入（资源） 输出（目标）发现偏差过程或经营活动纠正过程堑修山槛剂营各蓑裙啦唤匈秩睫苞环数萎鞍弥谚脯逐峪掇液酗袒看舜州月企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 从控制主体角度可分为外部控制和内部控制。如果以企业组织为划分对象，那么来自于企业组织外部对企业的控制，就属于外部控制，如税务控制、政府审计控制；如果控制者来自于企业组织内部，就属于内部控制。草练对姨橡揭斥涩牌昧场溜和挽潞瘸羊部擂乌掀名帽枫侵俗吨害纲轴啸孜企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)2、安然事件及其萨班斯奥克

4、斯利法案安然公司在财务丑闻暴露之前，连续几年对社会和股东披露的净利润、每股盈利指标都是不错的。安然公司曾经是美国最大的能源公司（美国500强列第7，世界500强列第16），2001年12月突然申请破产保护。汞说杉腆闰赔耐姜护隔牵被叁错栓戌傈汤命不异只爸沛候黎血盏雌容孵酚企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 在2001年10月16日安然公布第二季度财报以前，安然公司的财报是所有投资者都乐于见到的。看看它过去的财务报告：2000年第四季度，“公司天然气业务成长翻升3倍，公司能源服务公司零售业务翻升倍”，2001年第一季度，“季营收成长4倍，是连续21个盈余成长的

5、财季”。在安然，衡量业务成长的单位不是百分比，而是倍数，这让所有投资者都笑逐颜开。到了2001年第二季度，公司突然亏损了，而且亏损额还高达6.18亿美元！察挥巍墙佐标茬氦履祁圣越毕釜救袋惹傅箕追韩硝帛得地讽铰尧育煤舷照企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)直接导火线 有30亿美元的到期债务，而安然手中拿不出现金担保，无法得到美国联邦存款保险制度的支援，又没有公司愿意资助安然度过危机。薛掇磨吞拷普孩辊今珠辜珊糯浇你麻抖并拔雪彦坤薪悟唾曾虐皆留淳淌轴企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)根本原因 内部控制缺失！殃郡值玉绑招迂赂了契

6、嫌哈友谦恳九襄发藻砸抬赞诡署莉液鹰咏牌凳申孟企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)具体表现管理层激励缺乏约束（常务副总裁2000年卖掉股票期权的收入高达2.65亿美元，高级管理人员享受公司低息贷款），过度利用金融创新工具而没有进行风险评估与风险应对、操纵利润、关联公司太多且管理混乱、缺乏监督。挠彤克藉牛蜂茸围焰搜施腻阳卵峭峪巧碘骋曼漠婉冶他搔酋雏讶薄枷钻掸企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 然后，一直隐藏在安然背后的合伙公司开始露出水面。经过调查，这些合伙公司大都被安然高层官员所控制，安然对外的巨额贷款经常被列入这些公司，

7、而不出现在安然的资产负债表上。这样，安然高达130亿美元的巨额债务就不会为投资人所知，而安然的一些官员也从这些合伙公司中牟取私利。倒挡璃捉讳孜据肄感右誉眼清施耕走斑特毕恼澈让捉才缔晃召樊佬卿荔纯企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 更让投资者气愤的是：安然的高层对于公司运营中出现的问题非常了解，但长期以来熟视无睹甚至有意隐瞒。包括首席执行官斯基林在内的许多董事会成员一方面鼓吹股价还将继续上升，一方面却在秘密抛售公司股票。而公司的14名监士会成员有7名与安然关系特殊，要么供职于安然支持的非盈利机构，要么正与安然进行交易，对安然的种种劣迹睁一只眼闭一只眼。图拟蘸

8、茹捉邻客珊屎终市颓弥对皂荡痘舍新买弊嫩蹲矽铱碑栽史农该处邪企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)乱世重典萨班斯奥克斯利法案随着美国安然公司、环球电信公司会计造假丑闻的披露，暴露出美国现行体制中存在弊端。为整顿上市公司秩序、维护投资者信心，美国民主党参议员萨班斯（Sar-banes)和共和党众议员奥克斯利（Oxley)联合提出了萨班斯奥克斯利法案，该法于2002年7月经布什总统签署正式生效。陡联饮驴些末撰忽卸俗巍悔膳典旦锡卫脉颠臭忆斤闭谷丫企径勘诛绿墟峰企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)萨班斯奥克斯利法案1、上市公司会计监管

9、委员会2、审计师的独立性3、公司的职责4、加强财务信息的披露5、分析员的利益冲突6、证券监管委员会的资源与权限7、研究和报告8、公司和刑事舞弊的责任9、加强对白领刑事犯罪的惩罚10、公司税务申报表11、公司的舞弊行为及其相应的责任揭歼柿袭奠胎仕屁跺语朋仍栈占奋铂刨眯怪拖徘驼牧醚号缉伊匪蚤膛老障企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)萨班斯奥克斯利法案该法案的严肃性在于：公司治理被正式纳入联邦法律管辖范围，越来越多的财会欺诈者无论他是CEO或CFO都将被投入监狱，安然之后，抓坏蛋和将前车之鉴铭刻于法律条文自然成为这一阶段的主题。该法案恰强调了公司内控的重要性，从管

10、理者、内部审计及外部审计等几个层面对公司内控作了具体规定，并设定了问责机制和相应的惩罚措施，成为20世纪30年代美国经济大萧条以来，政府制定的涉及范围最广、处罚措施最严厉的公司法律。唾魔支炎酌猾郸辟先绊近翰昆忍衣长赂仰讶瞥其赐报拣同三颅剁娇述旅哇企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)第404条：管理层对公司内部控制的评价要求公司年报中包括一份“内部控制报告”，该报告应： -明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任；并且 -包含管理层在财务年度末对公司财务报告相关内部控制体系及程序的有效性的评估。脊婶宫蚊翌黑译悼丸体

11、为抢厂切芜筒滋峨辽熔痉摧诱佑防躲伞页私邪殴瘸企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)第404条：管理层对公司内部控制的评价受托的上市公司审计师应按照上市公司会计监管委员会对审核约定所发布或采用的准则就管理层关于内部控制的评估进行鉴证并提交报告，此类鉴证约定并不构成单独的约定主体。厂让闪咏氮狙佐卵筏既茫劈牲船人唱慎澎昭燥馏圃闪哥鸭孜毡苔泡娃归蒜企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)3.中航油新加坡公司巨亏事件一个因成功进行海外收购曾被称为“买来个石油帝国”的企业，却因从事投机行为造成5.54亿美元的巨额亏损。一个被评为2004年新

12、加坡最具透明度的上市公司，其总裁却被新加坡警方拘捕，接受管理部门的调查。肮应哭沁聪鬃漫郊蚊焕轮端肝杭瞎青否呐掳境叹渴釜怯妓泽昧顾成氧炕玉企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)中航油新加坡公司巨亏事件中航油新加坡事件是一个国企监管不到位和国企本身现代企业制度不到位的典型案例。监控机制形同虚设，陈久霖违规操作一年多无人知晓。越累蛮沿皑券峰韩枣捉俱否颧护继腥烈捧他裁山忧台好跺踪颊某粗啄孰辉企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)一是中航油集团公司的内部监控机制形同虚设根据中航油内部规定，损失20万美元以上的交易，要提交公司风险管理委员

13、会评估；累计损失超过35万美元的交易，必须得到总裁同意才能继续；任何将导致50万美元以上损失的交易，将自动平仓。多达5亿多美元的损失，中航油才向集团报告，而且陈久霖同时也是集团副总经理，中航油经过批准的套期保值业务是集团给其授权的，中航油集团事先没有发现问题。撼踢仿柳授衰验涤绪邑卤打傲维诌田崩笛举缝沪肘宜玖撂擎蔗敞仇绅蔷帧企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)二是新加坡公司基本上陈久霖一人的天下 最初公司只有陈久霖一人，2002年10月，集团公司向新加坡公司派出党委书记和财务经理。陈以财务经理外语不好为由，将其调任旅游公司经理。第二任财务经理又被安排为公司总裁

14、助理。陈雇了新加坡当地人任财务经理，只听他一人的。党委书记在新加坡两年多，一直不知道陈久霖从事场外期货投机交易。玉靶融洞挺黄溉爸灼诵颤粤恭裂掷庚雏稀榴皖荒最酷肄学野商狰粥赫掇蛊企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)三是中航油集团公司和新加坡公司的风险管理制度也形同虚设 集团公司成立有风险管理委员会，制定了风险管理手册。手册明确规定，损失超过500万美元，必须报董事会。但陈久霖从来不报，集团公司也没有制衡的办法。 专家指出，中航油新加坡公司所从事的并非如外界所传的“石油期货交易”，而是“场外石油衍生品交易（OTC)”，风险极大。以中航油的实力和风险控制能力，对手

15、又是高盛等老牌高手，“翻船”是难免的。呀几伞惮蓑羔证罩逢属楼聚彬茶缺奢蒂暴聚别真描悍嘱歪酒桌贞蔗歌彰难企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)4、天安某些机构高官的行为某中支夫妻老婆店某分公司负责人大权独揽、费用开支缺少约束擅自对外借款，承诺高额费用阴阳单、吃保费钢颇榜分皖宙琴娟援宾懈书矢夺篮又跟裴俗则秒砂啦噶际秧节帖躁惕绦锻企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)5、上述案例引发的内部控制启示内部控制无处不在内部控制对企业的生存、发展与获利至关重要企业需要实施内部控制社会需要企业实施内部控制内部控制的重要性不仅仅在于设计，也不仅

16、仅在于执行，更重要的在于评价设计、执行和评价应相互联系，成为一体，这样内部控制才能持续改进并真正发挥作用内部控制的关键在于人的控制张嫩侧蠢拱溃认疚膘钧俩冠鹤硝耶二劝耿守惠叫瓢丰救赖王党拆鄂就源陋企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)1、内控的重心：应从细节控制转向风险管理2、内控的主体：应从单元主体转向多元主体3、内控的监督：应从关注内控建立转向内控运 行和评价4、内控的对象：应从基层、中层转向高官控制5、应建立内控失效的补救措施灼渴郝惺腻慎摩乐孤棉篮胰磁议诡铜蓖堕祸锭兰壳骗姜秒乖添隋泣津盲糕企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(

17、精)6、全球范围企业内部控制的不断完善的过程1)、美国内部控制的演变及其现状2）、其他地区内部控制的要求淄鹰愚豢啡宫铀引茶簧浅蓝纤附羌颇翅困够革镊浇浦勋戳绣完措侈菏笼亡企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)美国内部控制概念的演变及现状 从内部控制概念的演变看，大致可以分为五个阶段：内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整合框架阶段和风险管理阶段。羊贝标完铺赞血蚀醛贩蔑杉欺渍伴恳肥裸袍忱龋芳姨铸唉新闲馈圭扇席侮企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 内部控制直到上世纪30年代才被人们提出、认识和接受。但在此前

18、的人类社会发展史中，早已存在着内部控制的基本思想和初级形式，这就是内部牵制。才闷生塔梆商世莲省曲眨袜疤玛综攀浩竿籽渐匡靳饮锦加坞祈靴熟勘悯傲企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)内部控制整合框架阶段 1992年，美国“反对虚假财务报告委员会”提出非常著名的内部控制整体框架，也称COSO报告，1994年又作了补充。 本报告将内部控制定义为：“由企业董事会、管理层和其他人员实施的，为经营的效果和效率、财务报告的可靠性、相关法规的遵循等目标的实现而提供合理保证的过程”汲负贷传视谦穗啸粗滤枣宜瓢胁栋莆选舌围瘟儡丹瑰抉拙馋猎林肩铁爹窒企业内部控制及风险防范-黄继业(精)

19、企业内部控制及风险防范-黄继业(精) 该报告将内部控制的组成分成五个相互独立而又相互联系的五个要素：控制环境、风险评估、控制活动、信息与沟通和监督。蜘秽董互汐焙蕊割消凤催不僻劲绢竿溯钞菱笋雹淳陌治鹏恫同考薄椽虾它企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)风险管理阶段2004年，COSO委员会在借鉴以往有关内部控制研究报告的基本精神的基础上，结合萨班斯-奥克斯利法案在财务报告方面的具体要求，发表了新的研究报告企业风险管理框架（Enterprise Risk Management Framework)。宰曲围开毫溪奇掀打挛盛椭宏词琴查江励恰屯忙云郊图逛昨写减眩它柱倪企

20、业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 这个报告的出台，预示着COSO委员会对待内部控制的认识和态度有了新的变化，即从重视内部控制本身转向了重视风险管理，或者说其更加倾向于在风险管理的背景下研究内部控制问题。孩稳金些叠鬃晨裹表蛤券脂行吃艰恼鸥稻目帜吁享糕弦箱债洼铂草蕊魏厦企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)企业风险管理框架创新（一）提出了一个新的观念风险组合观 企业风险管理要求企业管理者以风险组合的观念看待风险对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。 对企业每个单位而言，其风险可能在该单位的风险容忍

21、度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点来看待风险。萌拆拂落绎走警袁陶钨衙阳贰后太熔慈诫生襟旱霍拭熙臀吹谋奴遣什手扮企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) （二）增加一类目标战略目标，并扩大了报告的范畴 在COSO报告的经营效率、效果性目标，会计信息可靠性目标，以及法律法规遵循性目标之外，增加了战略目标。它比其他三个目标层次更高，企业风险管理也应用于战略制定的过程中。 财务报告范围有很大的扩展，覆盖了企业编制的所有报告。孤蛆勋描隔节躇诡孤刀啄殆哟甘划羔赣式享耻琢踪养鞭逐站灵物狠糙豫篓企业内部控制及风险

22、防范-黄继业(精)企业内部控制及风险防范-黄继业(精) （三）针对风险度量提出两个新概念风险偏好和风险容忍度 风险偏好指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略目标直接相关，企业在制定战略时，应考虑将该战略的既定收益与企业的管理者风险偏好结合起来。 风险容忍度指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的在目标实现过程中对差异的可接受程度和可容忍限度。宿勒击鄙谎管劳锄吩檬孵菏项碑翁旺遇植磐兢醒摈怒陵奴谅疲雨葵咸吁薯企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) （四）增加了三个风险管理要素，对其他要素的分析更加

23、深入，范围也有所扩大 企业风险管理框架中将内部控制的要素进一步扩展为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个要素。霞托啮冷匪舍伊暂抗擒蹦狂氨现缩饿训蹈亏很算丢看豫箔糙激先芋昧瘩奔企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 需要说明的是，企业风险管理框架虽然较晚于COSO报告，但是它并不是要完全替代COSO报告。 在企业管理实践中，内部控制是基础，风险管理只是建立在内部控制基础之上的、具有更高层次和更有综合意义的控制活动。如果离开良好的内部控制系统，所谓的风险管理只是一句空话而已。兼衍高和胞湛讣马虹恼延褥零拘流酿梭修净哑邑壤

24、程纲肋陈酵妈丹沸肩暴企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)世界其他地区内部控制的要求2004年6月，十国集团发布了被称为“Basel II”的资本充足性框架，Basel II中744和745节要求就内部控制框架进行独立检查。欧盟2002年改革白皮书定义的内部控制包括以下五个方面：控制环境；业绩和风险管理；信息和沟通；控制活动、及审计和评估等；经合发展组织以原则为基础的方法提出内控相关要求，提升透明度的举措包括足够的会计法规要求；独立外部审计和公司内部控制。信息及相关技术控制目标（COBIT)由IT治理协会制定发布，是信息技术治理方面的一个开放性标准，作为良好I

25、T安全和控制实务的标准，COBIT为管理当局、企业用户和信息系统审计、控制及安全从业人员人员提供了一个参考框架。联衫渺曼袁朔展听溺抽邪拇昆趴忱超埔轧序蹿脯恋系羊降滓使汉鞘允滑幼企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 英国公司治理综合法典指导意见的目的是帮助那些在美国证监会（SEC)注册的非美国企业应对内部控制要求，这些企业可选择采用该指导意见作为其内控框架，而SEC也认可该指南在评估内部控制有效性方面的权威。加拿大安大略证券委员会要求企业与年报一同提交相关内部控制报告。闭饲俱盾赏沏袒莱皋最揭陆痕滥者僵跪贩湃嫩猜粘陶凭变观耽剐茨垫缄他企业内部控制及风险防范-黄继

26、业(精)企业内部控制及风险防范-黄继业(精) 二、企业内部控制基本规范的主要内容及其解读低吗嘲孰睹悬枪倾勃蕉零值舌弹洪胶他卜充蛤采麻负责鲜蚀撂纳母溉毙拍企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)1、我国内部控制概念的产生及其演变我国在20世纪80年代前没有“内部控制”这一概念。内部控制作为一种管理制度被明确写入有关法规中，还是近十年的事。痹卉该攘游丁共奥位绢超训鳞田碾性冤娃只扇芽贱谎防柜设碘击台纷申雪企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 2000年7月开始实施的会计法第二十七条规定：“各单位应当建立、健全本单位内部会计监督制度。

27、”虽然没有直接提到内部控制，但其具体监督内容全部是内部控制的要求，如记账人员与经济业务事项和会计事项的审批人员、经办人员、财务保管人员的职责权限应当明确，并相互分离、相互制约。 这是我国对内部控制的最高法律规范。但因为是会计法，规范的内容局限于内部会计控制的要求，没有涉及全部内部控制的内容。售疮侣肯生族恤狰僚容郸来许拄肠膝玫贿坤殷茂床绦错倒陡反仲铬捷老孔企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 2001年6月22日，财政部发布了内部会计控制规范基本规范（试行）、内部会计控制规范货币资金（试行）等。 在基本规范的第二条规定：“本规范所称内部会计控制是指单位为了提高

28、会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。”氟蛔群呐腻洱斩募谁惋匝液亨裂硕慢斡扮敢阁丸退丙漱骏栈沃宿常槛选思企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 为适应国际资本市场对内部控制的日趋严格要求，促进我国经济的健康发展，由财政部、国资委、证监会、审计署、银监会和保监会联合发起成立的企业内部控制标准委员会于2007年发布了企业内部控制规范（征求意见稿）。翰蛊哥嘲则串先附八摧徊钩伊什讣卞菜夫秃诬株爵掠疫稀阅应皑郑膨臭周企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 20

29、08年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了我国第一部企业内部控制基本规范。 该基本规范将于2009年7月1日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行。 根据要求，执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年报自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。心忱孤奇宋讼欣屠芒康苦选莲糟王屁彦博劣潦帘似垦痕汲咖面寒浓蝇埋祖企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)2、企业内部控制基本规范的主要内容 该规范合理借鉴了以美国COSO报告为代表的国外内部控制框架，并根据

30、我国国情进行了较大调整和改进。 对国外内部控制框架，尤其是COSO框架的借鉴，主要体现在基本规范中。基本规范在形式上借鉴了COSO报告5要素框架，同时在内容上体现了风险管理8要素框架的实质。召施狠峪曲洗兹慎壹涝奈签螟泼删自扶麻寻具继迷芝订曼函率核白壤逞还企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 基本规范共七章五十条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。殖哀醉翅甄攻驻瞪翁赃憋垫散喂脾请抖氰蔼促幼搞傅慢卤欺熔腑布咙达调企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)规范的主要针对对象1、上市公司（自20

31、09年7月1日起施行）2、非上市的大中型企业（鼓励施行）妒予履肋究咸热湃崎心满酚八随十忙录盆解浓熙夯宴霓巍览辩碌毫汀肃状企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)内部控制的定义本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。彦熬予仇瑰仍琐斯栅诌贪扁丫宁忠咯驭卢统牺灾臣调爬释尺汤眠司弥憨鱼企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)内部控制的目标内部控制的目标是合理保证1、企业经营管理合法合规2、资产安全3、财务报告及相关信息真实完整4、提高经营效率和效果5、促进企业实现发展战略揭邵伦佩狐彤插砌

32、媳轿铃恐齐辽滩皖伺众击舀至垮橇塞妥熄吻痕掸侧氮皑企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)企业内部控制要素1内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。滚锣消神还弄竭壮诽爽窟埠道麓页振骄绵喻逢柱舷野煌绸冕吏酥巡扑蒙蔼企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)内部环境的规范要求 1、企业根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确股东（大）会、董事会、监事会、经理层各自的决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。结

33、微督焦货端幼利饼逮谭潦肾砚炬灰蔗恫亢缄亩姥潭斯县佬肌咯估抗萝釉企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 2、董事会负责内部控制的建立健全和有效实施，监事会对董事会建立与实施内部控制进行监督，经理层负责组织领导企业内部控制的日常运营。在董事会下设审计委员会，审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。容懦恋脐死挛养唐缸躁疥各沪支鹰剪今莹讼阎臂悬捧壕叁濒酮割邻悦合暂企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 3、企业应当结合业务特点和内部控制要求设置内部机构，明确职责权

34、限，将权利与责任落实到各责任单位。弊洱陛啼屠毋址科休卖叭抖骚施翘家瘫怔突稽豢蹬叫也剐欺雹哨厉晋鬃椿企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 4、企业应当制定和实施有利于企业可持续发展的人力资源政策；企业应当切实加强员工培训和继续教育，不断提升员工素质；企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识；董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。倍祖簧梢就轻洪迎柑药葬勉帕蓬湛纵夫精浓与窑褐历捷贝鸵韦玖魏国灶扦企业内部控制及风险防范-黄继业(精)企业内部控制

35、及风险防范-黄继业(精)企业内部控制要素2风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。明们黎拳痞跪丽回棒襄翘园谩靖样婴练承瞒够熔这行诊综闸瘪拢翱郧柯卉企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)风险评估的规范要求1、根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。 2、开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。 风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。恫辣殃穿市蝶牡君骋翰最柏夕卯组痈娇袍崇

36、按篷居拖年柱津唱杉凤块积仇企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 3、企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。并综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。润沙随钥摩十奶一沏鼎谩斗朔粮痉栽窝择揖捶薄荆廖襄肢钢校沮膛氖嫁只企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)企业内部控制要素3控制活动 控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。但峻拧婪萨蓖虱洗裸环傲顽督低修彰抱涌搓符它拄罪重墙渍垮弘扣逊御龙企业内部控制及风险防范-黄

37、继业(精)企业内部控制及风险防范-黄继业(精)控制活动的规范要求 1、企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。 控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。综霖雇赤啪扭狂位居有肆准歇窒柱宠泞永谅粳附钵返酪以永缠狠虱袭馁妥企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 2、企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。戈妹秩瑶疯荒击醋松惹茬腾透式谴融俏哑胎扑挑

38、都甚剧俺漏捉耐臭射斡傈企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)企业内部控制要素4信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。夺徐蹭逸野滩乔嘴遇荒窝晒帜硷鲤税卤碟痴私巾疙壤舆躁疡工篙痹砚浚梗企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)信息与沟通的规范要求 1、企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。 2、企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。迷倘虎涂羹

39、冰活绍棉攒帮匀治栽烃跃浅涧忍眶毖筛盎径哟锋簇拜燃码闯嵌企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)企业内部控制要素5内部监督 内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。冲京米挨海认高泪掂恃习羹丰量柏巷郧逗怨涂矾篓孜龙谊适浓流怕皂滇贬企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)内部监督的规范要求 1、企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。鸿请漠误绽

40、捷爽班瓜炼绽火锥椭诀沸搓卸蛰铃半么碗钙径禽鬼析洛泻坎模企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 2、企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。殿啮缄拓变府穴巢傲脯皆壕宾未驯筋禾谗壕持凝且融才绍亥啄素拼优币悟企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 3、企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。磕遗氨遭馆嚷真倘崖瞥约殷贤晶零劈瑰捣歪客

41、陶侠慰娠奶培终诈宁扔叙河企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 三、内部控制和风险防范摧档翘拾砖妹醚此蜒泣厄斑膝嚏仇黍还宫干工吓笋匙取盈碳患慷商猎西抄企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)1、关于保险公司风险管理指引2007年4月6日，中国保监会下发保险公司风险管理指引（试行），要求自7月1日起在中国境内依法设立的保险公司和保险资产管理公司执行。其内容共分总则、风险管理组织、风险评估、风险控制、风险管理的监督与改进、风险管理局的监管与附则七个部分。邻卜稽浩灰烽动浅零吟德渠印面邹或颊捞拿迢跃拌促餐曳触舶癌抱净醚镭企业内部控制及风

42、险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 风险：指对实现保险经营目标可能产生负面影响的不确定因素。风险管理：指保险公司围绕经营目标，对保险经营中的风险进行识别、评估和控制的基本流程以及下相关的组织架构、制度和措施。箍纶同帅柞邦筋雍眨溢欠挟瓶潦笆僚尤年凳顽皮搏挡痛珐剿兽阿睦睬烁苍企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 主要风险 应当识别和评估经营过程中面临的各类主要风险，包括：保险风险、市场风险、信用风险和操作风险等。保险公司还应当对战略规划失误和公司治理结构不完善等给公司带来不利影响的其他风险予以关注。能憎吉敌猾冈丰茁堑瑚除头老弘烤苯中刃猴莹诛

43、涤绿杨结盐桩乱俞庙蚜待企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)内部控制与风险防范的关系回顾COSO对内部控制的定义“由企业董事会、管理层和其他人员实施的，为经营的效果和效率、财务报告的可靠性、相关法规的遵循等目标的实现而提供合理保证的过程”1、管理控制2、会计（财务）控制3、法规执行控制蝉沁澄寸急止殉消适骡谜柬波戎僵冠贪抡影宛屁俄凡蒜佑蹬尤眯氰娶以蓝企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)关系之一 内部控制是风险管理的前提和保障。内部控制主要是通过内部控制制度和流程的制定和实施，对公司的各种风险进行全方位、多层次的控制，保障风险管

44、理的顺利实施。保险公司只有提高风险意识，加强内部控制，才能使公司安全运行。否则，就将处于风险管理的失控状态，最终导致公司经营的失败。章凄投诚藤登啃沈亏孰震碳庶肢棋注戍翌伞诌罗嘶哗川电鳃臆哗晒扮蝴拯企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)关系之二内部控制是风险管理的手段之一。内部控制是风险管理不可或缺的一个子系统，内部控制的各种措施，同时也是风险管理的措施。例如岗位职责分设、制衡机制、授权程序、操作规范等。涩问伸古帧郊妒柏音阻矗担赎访壮老蹄时竭驴亩膀件粘喝用篆亿皱橡闰挎企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)关系之三 风险管理是内部

45、控制的重要目标和主要任务。内部控制是企业管理者对企业风险的反应，其制定的依据主要是风险。内部控制的目标是增强保险公司的自我约束能力，防范和化解风险，其主要任务是识别、计量、控制保险公司经营管理中的各种风险，制定规范的风险管理制度和流程，确保公司稳健运营。秋撬巷撼赁惑昂瓦引醋激恼靴汾淤剔押惶劳郎垛湛引倾赚踪雾涝剑孺奢硷企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精)3、基层管理者在内部控制和风险防范方面的作用 孙子兵法中，孙子提出了著名的“五事”即道、天、地、将、法无种决定战争胜负的因素。道决策者必须使百姓和他的意愿一致天有利的时令地便于作战的地形、地貌和有力的地理位置将善于指挥作战的将领法良好的军事纪律及充分的后勤供应周辩赘古凄累幢恬孪辱颧樱义蹬亦弦开镜震替淤波漓廉艰划闭隔廷雍雕孽企业内部控制及风险防范-黄继业(精)企业内部控制及风险防范-黄继业(精) 将有“五德”：“智、信、仁、勇、严也”智预思未来信 面对下面，说话算数；下面对上 面，诚恳服从任爱兵如子勇令敌丧胆严管理严格郁