内部控制与风险管理的框架课件

1、内部控制与风险管理的框架内部控制与风险管理的框架学习目标1.理解内部控制整合框架2.掌握内部控制目标3.了解内部控制原则4.理解风险管理整合框架5.了解内部控制整合框架和风险管理整合框架的不同点6.了解内部控制整合框架和风险管理整合框架的新发展学习目标1.理解内部控制整合框架引例北京农商行高管频涉案 内控制度有待完善引例北京农商行高管频涉案 内控制度有待完善北京农商行平谷支行原行长韩立锋被检方控制2011年至2012年间，韩立锋利用职务之便，先后分别接受北京春光置地房地产开发有限公司法定代表人姜燕红和北京天润置地房地产开发(集团)有限公司董事长贾树森的请托，为两公司获取贷款、延缓催收贷款等方面

2、提供帮助。为此，韩立锋收受姜燕红给予的1000万元，收受贾树森给予的款物318万余元。北京农商行平谷支行原行长韩立锋被检方控制2011年至2012北京农商行的最大骗贷案2009年2月底，北京农商行曝出“最大骗贷案”，在金融界引起巨大振荡。涉案的北京华鼎信用担保有限责任公司(下称华鼎公司)使用假证件和印章非法向银行骗取巨额贷款。根据检方指控，华鼎公司董事长胡毅与前妻李京晶，于2007年12月至2008年12月间，指使张威等人虚构二手房交易的事实，采取冒用借款人员身份与银行签订借款合同、抵押合同、保证合同等方法，从北京农商行骗取贷款250余笔，共计人民币4.47亿余元。北京农商行的最大骗贷案200

3、9年2月底，北京农商行曝出“最大内控制度不完善，是一系列问题的根源。首先，农村信用社改制成为商业银行后 ，无法达到商业银行所需要的市场开拓能力，服务能力有限。因为信用社更多的还是依靠存款和贷款等传统业务支撑生存。其次，由于内部监管及审计工作严重缺失，权责无法得到明确划分，农村信用社的管理机制也难以达到商业银行健康运行的管理需求。再次，由于农村信用社的客户普遍相对零散，主要为中小型乡村企业、个体农户及工商户，其内部管理相对没那么严格，缺乏健全的财务和内控制度。内控制度不完善，是一系列问题的根源。首先，农村信用社改制成为北京农商行的内部控制问题具体到北京农商行，分析胡毅的骗贷手段：利用手头大量的个

4、人客户贷款资料，编造虚假的购房事实骗取按揭。其间出现的有假身份证、假房产证，甚至还从中介公司买来购房者的信息，改了名字后直接给银行。如此不堪一击的骗贷手段为何能够屡次得逞并最终导致7.08亿的贷款被骗?说简单了是银行高管经不住金钱诱惑，而实质上体现的是北京农商行内部监督控制不力。北京农商行的内部控制问题2.1COSO的内部控制整合框架2.2COSO的企业风险管理整合框架2.3内部控制与风险管理整合框架的比较2.4COSO的企业风险管理整合框架2.1COSO的内部控制整合框架2.2COSO的企业风险管理2.1 COSO的内部控制整合框架 1992年9月美国COSO委员会发布的内部控制一一整合框架

5、，是目前国际上认同度最高和最具有权威性的内部控制概念框架。该框架提出了内部控制的概念、目标及其五要素。2.1 COSO的内部控制整合框架 1992年9月美国COS2.1 COSO的内部控制整合框架2.1.1 内部控制的定义2.1.2 内部控制的要素2.1.3 内部控制整合框架的局限性2.1 COSO的内部控制整合框架2.1.1 内部控制的定2.1.1 内部控制的定义 内部控制一一整合框架认为，内部控制是由企业的董事会、管理层和其他员工实施的，目的是为经营的效率和效果、财务报告的可靠性以及遵循适用的相关法律法规等目标提供合理保证的过程。2.1.1 内部控制的定义 内部控制一一整合框架认为，内2.

6、1.1 内部控制的定义定义的进一步的解释： 第一 内部控制是一个过程。它是一个动态的过程，即从整体控制看，包括制度设计、制度执行和制度评价（对制度设计和执行情况的检查）等阶段；从业务控制看，一般应采取事前控制、事中控制和事后控制等措施。2.1.1 内部控制的定义定义的进一步的解释：案例新华制药被出具否定意见案例新华制药被出具否定意见新华制药被出具了否定意见的内部控制审计报告新华制药被信永中和出具否定意见内部控制审计报告的原因是其内控制度存在重大缺陷。信永中和在内控审计报告中指出，重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。

7、缺陷1 新华制药子公司山东新华医药贸易有限公司（以下简称“医贸公司”）内部控制制度对多头授信无明确规定，在实际执行中，医贸公司的鲁中分公司、工业销售部门、商业销售部门等三个部门分别向同一客户授信，使得授信额度过大。缺陷2 医贸公司内部控制制度规定对客户授信额度不大于客户注册资本，但医贸公司在实际执行中，对部分客户超出客户注册资本授信，使得授信额度过大，同时医贸公司也存在未授信的发货情况。新华制药被出具了否定意见的内部控制审计报告新华制药被信永中和2.1.1 内部控制的定义 定义的进一步的解释： 第二 人的因素。内部控制不仅仅是政策手册和图标，而且受到企业董事会、经理层和其他人员的影响。它是通过

8、企业员工的言行才实现的。2.1.1 内部控制的定义 定义的进一步的解释：2.1.1 内部控制的定义定义的进一步的解释： 第三，合理性保证。 1.内部控制，无论设计和执行多么理想，也只能就企业目标的实现向经理层和董事会提供合理的保证。 2.“合理保证”意味着内部控制制度的设计和执行并不代表可以“包治百病”，也不意味着企业可以“万事无忧”。 3. 建立内部控制需考虑成本效益原则。 4. 内部控制会因两个或更多人的合谋串通而失效，而且经理层可能会越权操作。 2.1.1 内部控制的定义定义的进一步的解释：2.1.1 内部控制的定义 定义的进一步的解释： 第四，目标。COSO的内部控制整合框架确定了三类

9、目标： 1）经营目标关于企业资源利用的效率、效果； 2）财务报告目标关于编制公开财务报表的可靠性； 3）遵循性目标关于法律和法规的遵循性。2.1.1 内部控制的定义 定义的进一步的解释：2.1.2 内部控制的要素 内部控制五要素图 2.1.2 内部控制的要素 内部控制五要素图2.1.2 内部控制的要素1. 控制环境 控制环境决定了企业的基调， 其好坏直接影响企业员工的控制意识、企业内部控制的贯彻和执行以及企业经营目标及整体战略目标的实现。控制环境提供了内部控制的基本规则和构架，是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能；管理哲学和经营风格；权责分配方法、人事政策；董事会的经营

10、重点和目标等。2.1.2 内部控制的要素1. 控制环境2.1.2 内部控制的要素 2. 风险评估 每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接，保持一致。风险评估指识别、分析相关风险以实现既定目标，从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化，企业需要确立一套机制来识别和应对由这些变化带来的风险。2.1.2 内部控制的要素 2. 风险评估2.1.2 内部控制的要素3. 控制活动 控制活动指那些有助于管理层决策顺利实施的政策和程序。企业应根据风险评估的结果，采用相应的控制措施，将风险控制在可承受范围之内。控制行为有助于确保实

11、施必要的措施以管理风险，实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。 2.1.2 内部控制的要素3. 控制活动2.1.2 内部控制的要素 4. 信息与沟通 企业应以一定的形式、在一定的时间范围内识别、获取和沟通相关信息，以使企业内部各层次员工能够顺利履行其职责。 第一，公允的信息必须被确认、捕获并以一定形式及时传递，以便员工履行职责。 第二，有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。2.1.2 内部控制的要素 4. 信息与沟通2.1.2 内部控制的要素 5 监控 内部控制系统需要被监

12、控，即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。持续性的监控行为发生在企业的日常经营过程中，包括企业的日常管理和监督行为、员工履行各自职责的行为。独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报，性质严重的应上报最高管理层和董事会。 2.1.2 内部控制的要素 5 监控2.1.3 内部控制整合框架的局限性内部控制的固有局限： 1.决策人判断上的失误，由于简单差错或错误导致的失效 2.两个或更多的人联合欺诈或串通以绕过内部控制 3.管理层凌驾于内部控制之上而失效和外部不受控事件的影响 4.

13、管理层凌驾于内部控制之上而失效和外部不受控事件的影响 由于上述的固有局限，使得董事会和管理层无法对组织目标的实现提供绝对保证，因而内部控制提供的是合理保证而非绝对保证。管理层在选取、推进和实施内部控制时，仍应当考虑并最大可能将这些内在的局限性最小化。2.1.3 内部控制整合框架的局限性内部控制的固有局限：案例菲尔房地产开发有限公司关联方披露案例菲尔房地产开发有限公司关联方披露案例情况菲尔房地产开发有限公司是一家国有控股的企业，公司于2003年承建“祥瑞家园”商品房开发项目，项目正在轰轰烈烈的建设中，接到群众的举报，发现该公司多处房屋重复销售。市审计局接受该案的调查工作，经过一年的调查，该公司在

14、项目中的利用虚假的商品房买卖合同将同一处房屋重复对外销售，最多高达四次。销售一次，向信用社抵押贷款一次，向个人高息融资一次，对外抵债一次，累计数额达3000多万元。案例情况高管的辩解该公司的总经理和副经理辩称不是虚假的买卖合同，而是利用签订商品房的买卖合同融资，解决资金的短缺的问题。但经过审计发现，该公司的内部控制制度形同虚设，一片混乱，最终导致企业的资金短缺，不得不采用上述虚假的手段筹集资金。同时我们也注意到，从建委、国资委、银行等部门取得的财务报告都显示企业的财务状况良好，甚至财务报告是经过会计师事务所的审计，并出具了无保留意见报告。深入究其原因，外部政府部门的监管不到位是一方面，但是内部

15、管理混乱，缺乏一个健全有效的内部控制体系是其根本的原因。高管的辩解内部控制上的重大缺陷缺陷1 建筑材料的采购和付款是由一个副经理一手经办，没有执行材料采购的采购和付款相分离的内部控制制度，由该副经理个人的公司向公司供应，材料的价格高于市场的售价，导致资金大量的外流，造成资金的短缺。缺陷2 另一副经理向公司借款100万，后用两辆价值40万轿车抵债，套取公司的现金。这一交易在会计处理上是资产形态的转变，资产的总额没有变化，如果在报表的附注中没有进行披露，报表的使用者是不能了解这个信息的。内部控制上的重大缺陷缺陷1 建筑材料的采购和付款是由一个副经内部控制上的重大缺陷原因分析 该公司由于没有一个行之

16、有效的内部控制系统，存在虚假记载，误导性陈述、重大差错、舞弊、欺诈而导致财务报告编制与披露违反国家法律法规，由此在资金的管理、采购的管理、工程项目的管理、筹资的管理等环节严重失真，编制的财务报表是虚假的报告。最终使企业遭受严重的损失，责任者将接受法律的制裁。内部控制上的重大缺陷原因分析 该公司由于没有一个行之有效的内2.2 COSO的风险管理整合框架2004年9月，COSO发布了企业风险管理整合框架（简称ERM框架），新的框架是在1992年的内部控制整合框架的基础上，结合萨班斯奥克斯利法案在报告方面的要求，进行扩展研究得到的。普华永道的项目参与者认为，新报告中有60%的内容得益于COSO199

17、2年报告所做的工作。2.2 COSO的风险管理整合框架2004年9月，COSO2.2 COSO的风险管理整合框架但由于风险是一个比内部控制更为广泛的概念，因此，新框架中的许多讨论比1992年报告的讨论更为全面、更为深刻。此外，COSO在其风险管理框架讨论稿中也说明，风险管理框架建立在内部控制整合框架的基础上，内部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比内部控制整合框架的范围更为广泛，是对内部控制整合框架的扩展，是一个主要针对风险的更为明确的概念。2.2 COSO的风险管理整合框架但由于风险是一个比内部控2.2 COSO的风险管理整合框架2.2.1 企业风险管理的定义2.2.2

18、风险管理整合框架的 目标2.2.3 风险管理整合框架的 要素2.2 COSO的风险管理整合框架2.2.1 企业风险管理2.2 COSO的风险管理整合框架2.2.4 风险管理整合框架 的评价2.2.5 风险管理整合框架 的局限性2.2 COSO的风险管理整合框架2.2.4 风险管理整2.2.1 企业风险管理的定义 企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。2.2.1 企业风险管理的定义 企业风险管理是一个由企业的董2.2.1 企

19、业风险管理的定义 该定义强调：1）企业风险管理是一个过程2）企业风险管理是一个由人参与的过程3）风险管理过程可应用于战略制订4）风险管理过程可应用贯穿于整个企业。2.2.1 企业风险管理的定义 该定义强调：2.2.1 企业风险管理的定义 该定义强调：5）风险管理过程旨在识别一旦发生将会影响主体的潜在事项6）设计合理、运行有效的风险管理能够向企业的管理当局和董事会在企业的各目标的实现上提供合理保证。7）企业风险管理框架针对一类或几类相互独立但又存在重叠的目标2.2.1 企业风险管理的定义 该定义强调：2.2.2 风险管理整合框架的目标COSO企业风险管理整合框架将主体的目标分成以下四类： 1）战

20、略目标 2）经营目标 3）报告目标 4）合规目标2.2.2 风险管理整合框架的目标COSO企业风险管理整合框2.2.3 风险管理整合框架的要素企业风险管理包括八个相互关联的构成要素，它们源于管理当局经营企业的方式，并与管理过程融合在一起，这些构成要素是：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。根据COSO的风险管理整合框架，内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一整体；同时，对内部控要素的进一步细分和充实，使内部控制与风险管理日益融合，拓展了内部控制。2.2.3 风险管理整合框架的要素企业风险管理包括八个相互2.2.3 风险

21、管理整合框架的要素 企业风险管理整合框架图2.2.3 风险管理整合框架的要素案例 中国人寿暗藏“硕鼠” 监管部门加紧风险管理案例 中国人寿暗藏“硕鼠” 监管部门加紧风险管理案例情况2009年2月至2013年5月，犯罪嫌疑人曾某利用担任某保险公司权益投资部门总经理的职务便利，管理人寿资产和人寿养老企业年金账户的122个股东账户并负责进行股票投资。期间，曾某伙同其妻刘某在外开设“王某”股票账户，操控该账户先于、同步于或稍晚于其负责管理的年金账户买入或卖出股票79只，趋同交易累计成交金额约2.97亿元。今年3月25日，北京警方将曾某抓获。根据中国证监会出证，曾某管理的企业年金账户买入或卖出的股票信息

22、属未公开信息，曾某利用此未公开信息操控“王某”个人股票账户，从事与该信息相关的证券交易活动并非法获利据一份国寿养老2012年发布的投研人员名单显示，曾宏41 岁，硕士，12年权益类投资经验，中国人寿养老保险权益投资负责人。案例情况加强监管机构的风险管理业内人士告诉记者，保险业内并没有明文禁止从业人员进行证券投资，或是相关人员如此“明目张胆”的原因之一。据悉，自“老鼠仓”事件曝光以来，保监会对保险机构进行了窗口指导，要求完善相关风险管理制度，多家保险机构也纷纷跟进相关举措。加强监管机构的风险管理2.2.4 风险管理整合框架的评价企业风险管理整合框架再一次强调了系统的概念,即在实施企业整体风险管理

23、过程中,主体中的每个人都对企业风险管理负有责任COSO的企业风险管理整合框架可以为不同的利益相关者提供有效的借鉴和指导。2.2.4 风险管理整合框架的评价企业风险管理整合框2.2.5 风险管理整合框架的局限性 不管设计和运行得多么好，有效的企业风险管理只能向管理当局和董事会提供有关主体目标实现的合理保证。目标的实现受到所有管理过程中固有局限的影响，这些固有局限包括以下实际情况：决策过程中的人为判断可能有缺点，由于类似简单差错或错误等人为失败可能导致的故障，控制可能会通过两个或多个人的串通而被绕过及管理当局有能力凌驾于企业风险管理过（包括风险应对决策和控制活动）之上，另一个限制因素是需要考虑风险

24、应对的相关成本与效益。2.2.5 风险管理整合框架的局限性 不管设计和运行得多么2.3 内部控制与风险管理整合框架的比较 COSO内部控制被涵盖在企业风险管理框架之内，是其不可分割的一部分。企业风险管理比内部控制更广泛，引入风险管理，拓展和细化了内部控制，形成一个更全面、更强有力的关注风险的概念。2.3 内部控制与风险管理整合框架的比较 COSO内部控制2.3 内部控制与风险管理整合框架的比较 2.3.1 引入风险组合观2.3.2 增加了战略目标并扩大了报告目标的范畴2.3.3 引入了两个新的概念风险偏好和风险容忍度2.3 内部控制与风险管理整合框架的比较 2.3.1 引2.3 内部控制与风险

25、管理整合框架的比较 2.3.4 新增风险管理三素目标设定、事项识别、风险应对2.3.5 将“控制环境”改为“内部环境”2.3.6 拓展了“信息与沟通”要素2.3 内部控制与风险管理整合框架的比较 2.3.4 新2.3.1 引入风险组合观在内部控制整合框架的基础上，ERM框架引入了风险组合观，即在单独考虑如何实现企业各个目标的过程中，ERM框架更看重风险因素。不仅要单独考虑各个风险，更要从总体的、组合的角度去理解风险。对企业内部的每个单位而言，其风险可能落在该单位的风险可接受程度范围内，但从企业总体来看，总风险可能会超过企业总体的风险偏好范围。因此，企业风险管理要求以风险组合观看待风险，对相关的

26、风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。2.3.1 引入风险组合观在内部控制整合框架的基础上，2.3.2 增加了战略目标并扩大了报告目标的范畴 在内部控制整合框架将企业的目标分成三类，即经营目标、报告目标、合规性目标。ERM框架也包含这三个目标，其中经营目标、合规性目标与内部控制这个和框架中的定义相同，但对报告目标的界定有所不同。内部控制整合框架中的报告目标只包括公开披露的财务报告，而在ERM框架中，报告目标有很大的扩展，覆盖了企业所编制的所有报告，既包括对内报告，也包括对外的报告；既包括法定报告，也包括向其他利益相关者提供的非法定报告；既包括财务信息，也包括非财务信息。另

27、外，ERM框架还增加了一个新的目标，即战略目标，它处于比其他目标更高的层次。2.3.2 增加了战略目标并扩大了报告目标的范畴 在内部2.3.3 引入了两个新的概念风险偏好和风险容忍度从广义上看，风险偏好是指企业在实现其目标的过程中所愿意接受的风险的数量，它在制定战略和选择相关目标时起到风向标的作用。从定性的角度，一般将风险偏好分为风险喜好、风险中性和风险厌恶三种类型。风险容忍度是指在企业目标实现的过程中所能接受的偏离程度，是企业在风险偏好的基础上设定的对相关目标实现过程中对差异的可接受程度。2.3.3 引入了两个新的概念风险偏好和风险容忍度从广2.3.4 新增风险管理三要素目标设定、事项识别、

28、风险应对ERM框架在内部控制整合框架的基础上新增了三个风险管理要素：目标设定、事项识别、风险应对。它们将企业的管理重心更多地移向风险管理。因此，企业风险管理整合框架拓展了COSO的风险评估要素。目标设定、事项识别、风险评估与风险应对四个要素环环相扣，共同构成了风险管理的完整过程。2.3.4 新增风险管理三要素目标设定、事项识别、风险2.3.4 新增风险管理三要素目标设定、事项识别、风险应对1）目标设定在目标设定上，在ERM框架中，由于要针对不同的目标分析其相应的风险，因此，目标设定自然成为风险管理流程的首要步骤2.3.4 新增风险管理三要素目标设定、事项识别、风险2.3.4 新增风险管理三要素

29、目标设定、事项识别、风险应对2）事项识别在进行事项识别时，ERM框架讨论了潜在事项的概念，将潜在事项定义为来自企业内部或外部资源的可能影响企业战略执行或目标实现的一件或一系列的偶发事件或事项。有正面影响的潜在事项代表机会，而那些有负面影响的潜在事项代表风险。ERM框架采用一系列技术来识别有关事项及其起因，对企业的潜在事项以及事项的发展趋势进行计量。2.3.4 新增风险管理三要素目标设定、事项识别、风险2.3.4 新增风险管理三要素目标设定、事项识别、风险应对3）风险应对在风险应对中，ERM框架中提出了四类风险应对策略：规避、降低、分担和承受。管理层应比较不同应对策略的潜在影响，在企业风险容忍度

30、范围的假设下，考虑风险应对策略的选择。在个别和分组考虑风险的各应对策略后，企业管理层应从总体的角度考虑企业选择的所有风险应对策略组合后对企业的总体影响。2.3.4 新增风险管理三要素目标设定、事项识别、风险2.3.5 将“控制环境”改为“内部环境”ERM框架对控制环境要素进行了深化和拓展，将内部控制整合框架中的“控制环境”改为“内部环境”，强调了董事会的风险管理理念。2.3.5 将“控制环境”改为“内部环境”ERM框架对2.3.6 拓展了“信息与沟通”要素ERM框架拓展了企业信息与沟通的构成内容，认为企业的信息应包括来自过去、现在和未来的潜在事项的数据，而不仅仅关注历史信息。2.3.6 拓展了

31、“信息与沟通”要素ERM框架拓展了企业信2.4 内部控制与风险管理的新发展 应对商业和经营环境的急剧变化，经过多年的调研和修订，2013年5月，COSO发布了修订后的内部控制整合框架及其配套指南，并提议2014年12月15日以后用该框架取代1992年发布的原框架指南。2.4 内部控制与风险管理的新发展 应对商业和经营环境的急2.4 内部控制与风险管理的新发展 2.4.1 新框架的主要变化2.4.2 对新整合框架变化的评价2.4.3 新内部控制整合框架对我国的影响2.4 内部控制与风险管理的新发展 2.4.1 新框架2.4.1 新框架的主要变化 1）新框架明确列示了用以支持内部控制五大要素的原则

32、2）新框架明确了目标设定在内部控制中的作用3）新框架反映了科技日益深入的相关性4）新框架更深入地讨论了有关治理的概念5）新框架扩大了报告目标类别，这也是立方体最主要的外在变化6）新框架加强了对反舞弊预期的考虑7）新框架更加关注非财务目标2.4.1 新框架的主要变化 1）新框架明确列示了用以支持2.4.2 对新整合框架变化的评价 1）更实：提供了内控体系建设的原则、要素和工具2）更活：强调企业可有自己的判断3）更稳：强调内控有效性的认定2.4.2 对新整合框架变化的评价 1）更实：提供了内思考题1内部控制的定义是什么？2内部控制整合框架中内部控制的目标有哪些？3风险管理整合框架与内部控制整合框架相比，新增了哪些要素？4何为风险组合观？5风险管理整合框架与内部控制整合框架相比，有哪些新的变化？62013年内部控制整合框架与原框架相比有何变动？思考题1内部控制的定义是什么？案例分析题奥林巴斯的内部控制奥林巴斯创立于1919年，总部位于日本东京。迄今为止，奥林巴斯株式会社已