从中石油看企业内部控制及风险防范课件

——内控中心黄继业

2008.10——内控中心黄继业

2008.101引子

管理企业就好比驾驶一辆车，车速越快，越需要好的控制系统。

——美国著名管理学家罗伯特·安东尼引子2

一、企业内部控制的缘起及其演变一、企业内部控制的缘起及其演变31、什么是控制2、安然事件及其《萨班斯·奥克斯利法案》3.中航油新加坡公司巨亏事件4、天安某些机构高官的行为5、上述案例引发的内部控制启示6、全球范围企业内部控制的不断完善的过程1、什么是控制41、什么是控制控制是控制者掌握对象不使其任意活动或超出范围。控制就是控制主体有一定的目标，通过各种手段使得其控制对象沿着既定的轨道朝着目标前进，如果在前进的过程由于环境的因素，控制对象的行为发生偏离，就需要及时行动进行纠正，让它回到既定的轨道。1、什么是控制控制是控制者掌握对象不使其任意活动或超出范围。5

输入（资源）

输出（目标）发现偏差过程或经营活动纠正过程输入（资源）6

从控制主体角度可分为外部控制和内部控制。如果以企业组织为划分对象，那么来自于企业组织外部对企业的控制，就属于外部控制，如税务控制、政府审计控制；如果控制者来自于企业组织内部，就属于内部控制。从控制主体角度可分为外部控制和内部控制。7

2、安然事件及其《萨班斯·奥克斯利法案》安然公司在财务丑闻暴露之前，连续几年对社会和股东披露的净利润、每股盈利指标都是不错的。安然公司曾经是美国最大的能源公司（美国500强列第7，世界500强列第16），2001年12月突然申请破产保护。

2、安然事件及其《萨班斯·奥克斯利法案》安然公司在财务丑8

在2001年10月16日安然公布第二季度财报以前，安然公司的财报是所有投资者都乐于见到的。看看它过去的财务报告：2000年第四季度，“公司天然气业务成长翻升3倍，公司能源服务公司零售业务翻升倍”，2001年第一季度，“季营收成长4倍，是连续21个盈余成长的财季”。在安然，衡量业务成长的单位不是百分比，而是倍数，这让所有投资者都笑逐颜开。到了2001年第二季度，公司突然亏损了，而且亏损额还高达6.18亿美元！

9直接导火线

有30亿美元的到期债务，而安然手中拿不出现金担保，无法得到美国联邦存款保险制度的支援，又没有公司愿意资助安然度过危机。直接导火线10

根本原因

内部控制缺失！

根本原因11具体表现管理层激励缺乏约束（常务副总裁2000年卖掉股票期权的收入高达2.65亿美元，高级管理人员享受公司低息贷款），过度利用金融创新工具而没有进行风险评估与风险应对、操纵利润、关联公司太多且管理混乱、缺乏监督。具体表现管理层激励缺乏约束（常务副总裁2000年卖掉股票期权12

然后，一直隐藏在安然背后的合伙公司开始露出水面。经过调查，这些合伙公司大都被安然高层官员所控制，安然对外的巨额贷款经常被列入这些公司，而不出现在安然的资产负债表上。这样，安然高达130亿美元的巨额债务就不会为投资人所知，而安然的一些官员也从这些合伙公司中牟取私利。然后，一直13

更让投资者气愤的是：安然的高层对于公司运营中出现的问题非常了解，但长期以来熟视无睹甚至有意隐瞒。包括首席执行官斯基林在内的许多董事会成员一方面鼓吹股价还将继续上升，一方面却在秘密抛售公司股票。而公司的14名监士会成员有7名与安然关系特殊，要么供职于安然支持的非盈利机构，要么正与安然进行交易，对安然的种种劣迹睁一只眼闭一只眼。更让投资者气14乱世重典——《萨班斯·奥克斯利法案》随着美国安然公司、环球电信公司会计造假丑闻的披露，暴露出美国现行体制中存在弊端。为整顿上市公司秩序、维护投资者信心，美国民主党参议员萨班斯（Sar-banes)和共和党众议员奥克斯利（Oxley)联合提出了《萨班斯·奥克斯利法案》，该法于2002年7月经布什总统签署正式生效。乱世重典——《萨班斯·奥克斯利法案》随着美国安然公司、环球电15萨班斯·奥克斯利法案1、上市公司会计监管委员会2、审计师的独立性3、公司的职责4、加强财务信息的披露5、分析员的利益冲突6、证券监管委员会的资源与权限7、研究和报告8、公司和刑事舞弊的责任9、加强对白领刑事犯罪的惩罚10、公司税务申报表11、公司的舞弊行为及其相应的责任萨班斯·奥克斯利法案1、上市公司会计监管委员会16萨班斯·奥克斯利法案该法案的严肃性在于：公司治理被正式纳入联邦法律管辖范围，越来越多的财会欺诈者——无论他是CEO或CFO都将被投入监狱，安然之后，抓坏蛋和将前车之鉴铭刻于法律条文自然成为这一阶段的主题。该法案恰强调了公司内控的重要性，从管理者、内部审计及外部审计等几个层面对公司内控作了具体规定，并设定了问责机制和相应的惩罚措施，成为20世纪30年代美国经济大萧条以来，政府制定的涉及范围最广、处罚措施最严厉的公司法律。萨班斯·奥克斯利法案该法案的严肃性在于：公司治理被正式纳入联17第404条：管理层对公司内部控制的评价要求公司年报中包括一份“内部控制报告”，该报告应：-明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任；并且-包含管理层在财务年度末对公司财务报告相关内部控制体系及程序的有效性的评估。第404条：管理层对公司内部控制的评价要求公司年报中包括一份18第404条：管理层对公司内部控制的评价受托的上市公司审计师应按照上市公司会计监管委员会对审核约定所发布或采用的准则就管理层关于内部控制的评估进行鉴证并提交报告，此类鉴证约定并不构成单独的约定主体。第404条：管理层对公司内部控制的评价受托的上市公司审计师应193.中航油新加坡公司巨亏事件一个因成功进行海外收购曾被称为“买来个石油帝国”的企业，却因从事投机行为造成5.54亿美元的巨额亏损。一个被评为2004年新加坡最具透明度的上市公司，其总裁却被新加坡警方拘捕，接受管理部门的调查。3.中航油新加坡公司巨亏事件20中航油新加坡公司巨亏事件中航油新加坡事件是一个国企监管不到位和国企本身现代企业制度不到位的典型案例。监控机制形同虚设，陈久霖违规操作一年多无人知晓。中航油新加坡公司巨亏事件中航油新加坡事件是一个国企监管不到位21一是中航油集团公司的内部监控机制形同虚设根据中航油内部规定，损失20万美元以上的交易，要提交公司风险管理委员会评估；累计损失超过35万美元的交易，必须得到总裁同意才能继续；任何将导致50万美元以上损失的交易，将自动平仓。多达5亿多美元的损失，中航油才向集团报告，而且陈久霖同时也是集团副总经理，中航油经过批准的套期保值业务是集团给其授权的，中航油集团事先没有发现问题。一是中航油集团公司的内部监控机制形同虚设根据中航油内部规定，22二是新加坡公司基本上陈久霖一人的天下

最初公司只有陈久霖一人，2002年10月，集团公司向新加坡公司派出党委书记和财务经理。陈以财务经理外语不好为由，将其调任旅游公司经理。第二任财务经理又被安排为公司总裁助理。陈雇了新加坡当地人任财务经理，只听他一人的。党委书记在新加坡两年多，一直不知道陈久霖从事场外期货投机交易。二是新加坡公司基本上陈久霖一人的天下最23三是中航油集团公司和新加坡公司的风险管理制度也形同虚设

集团公司成立有风险管理委员会，制定了风险管理手册。手册明确规定，损失超过500万美元，必须报董事会。但陈久霖从来不报，集团公司也没有制衡的办法。

专家指出，中航油新加坡公司所从事的并非如外界所传的“石油期货交易”，而是“场外石油衍生品交易（OTC)”，风险极大。以中航油的实力和风险控制能力，对手又是高盛等老牌高手，“翻船”是难免的。三是中航油集团公司和新加坡公司的风险管理制度也形同虚设244、天安某些机构高官的行为某中支夫妻老婆店某分公司负责人大权独揽、费用开支缺少约束擅自对外借款，承诺高额费用阴阳单、吃保费4、天安某些机构高官的行为某中支夫妻老婆店255、上述案例引发的内部控制启示内部控制无处不在内部控制对企业的生存、发展与获利至关重要企业需要实施内部控制社会需要企业实施内部控制内部控制的重要性不仅仅在于设计，也不仅仅在于执行，更重要的在于评价设计、执行和评价应相互联系，成为一体，这样内部控制才能持续改进并真正发挥作用内部控制的关键在于人的控制5、上述案例引发的内部控制启示内部控制无处不在261、内控的重心：应从细节控制转向风险管理2、内控的主体：应从单元主体转向多元主体3、内控的监督：应从关注内控建立转向内控运行和评价4、内控的对象：应从基层、中层转向高官控制5、应建立内控失效的补救措施1、内控的重心：应从细节控制转向风险管理276、全球范围企业内部控制的不断完善的过程1)、美国内部控制的演变及其现状2）、其他地区内部控制的要求6、全球范围企业内部控制的不断完善的过程1)、美国内部控制的28美国内部控制概念的演变及现状

从内部控制概念的演变看，大致可以分为五个阶段：内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整合框架阶段和风险管理阶段。美国内部控制概念的演变及现状29

内部控制直到上世纪30年代才被人们提出、认识和接受。但在此前的人类社会发展史中，早已存在着内部控制的基本思想和初级形式，这就是内部牵制。内部控30内部控制整合框架阶段1992年，美国“反对虚假财务报告委员会”提出非常著名的《内部控制——整体框架》，也称COSO报告，1994年又作了补充。

本报告将内部控制定义为：“由企业董事会、管理层和其他人员实施的，为经营的效果和效率、财务报告的可靠性、相关法规的遵循等目标的实现而提供合理保证的过程”内部控制整合框架阶段1992年，美国31

该报告将内部控制的组成分成五个相互独立而又相互联系的五个要素：控制环境、风险评估、控制活动、信息与沟通和监督。

32风险管理阶段2004年，COSO委员会在借鉴以往有关内部控制研究报告的基本精神的基础上，结合《萨班斯-奥克斯利法案》在财务报告方面的具体要求，发表了新的研究报告——《企业风险管理框架》（EnterpriseRiskManagementFramework)。风险管理阶段33

这个报告的出台，预示着COSO委员会对待内部控制的认识和态度有了新的变化，即从重视内部控制本身转向了重视风险管理，或者说其更加倾向于在风险管理的背景下研究内部控制问题。这个报告34企业风险管理框架创新（一）提出了一个新的观念——风险组合观

∆企业风险管理要求企业管理者以风险组合的观念看待风险对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。

∆对企业每个单位而言，其风险可能在该单位的风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点来看待风险。企业风险管理框架创新（一）提出了一个新的观念——风险组合观35

（二）增加一类目标——战略目标，并扩大了报告的范畴

∆在COSO报告的经营效率、效果性目标，会计信息可靠性目标，以及法律法规遵循性目标之外，增加了战略目标。它比其他三个目标层次更高，企业风险管理也应用于战略制定的过程中。

∆财务报告范围有很大的扩展，覆盖了企业编制的所有报告。（二）增加一类目标——战略目36

（三）针对风险度量提出两个新概念——风险偏好和风险容忍度

∆风险偏好指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略目标直接相关，企业在制定战略时，应考虑将该战略的既定收益与企业的管理者风险偏好结合起来。

∆风险容忍度指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的在目标实现过程中对差异的可接受程度和可容忍限度。（三）针对风险度量提出两个新概念——37

（四）增加了三个风险管理要素，对其他要素的分析更加深入，范围也有所扩大

企业风险管理框架中将内部控制的要素进一步扩展为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个要素。（四）增加了三个风险管理要素，对38

需要说明的是，《企业风险管理框架》虽然较晚于COSO报告，但是它并不是要完全替代COSO报告。在企业管理实践中，内部控制是基础，风险管理只是建立在内部控制基础之上的、具有更高层次和更有综合意义的控制活动。如果离开良好的内部控制系统，所谓的风险管理只是一句空话而已。需要说明39世界其他地区内部控制的要求2004年6月，十国集团发布了被称为“BaselII”的资本充足性框架，BaselII中744和745节要求就内部控制框架进行独立检查。欧盟2002年改革白皮书定义的内部控制包括以下五个方面：控制环境；业绩和风险管理；信息和沟通；控制活动、及审计和评估等；经合发展组织以原则为基础的方法提出内控相关要求，提升透明度的举措包括足够的会计法规要求；独立外部审计和公司内部控制。《信息及相关技术控制目标》（COBIT)由IT治理协会制定发布，是信息技术治理方面的一个开放性标准，作为良好IT安全和控制实务的标准，COBIT为管理当局、企业用户和信息系统审计、控制及安全从业人员人员提供了一个参考框架。世界其他地区内部控制的要求2004年6月，十国集团发布了被称40

英国《公司治理综合法典》指导意见的目的是帮助那些在美国证监会（SEC)注册的非美国企业应对内部控制要求，这些企业可选择采用该指导意见作为其内控框架，而SEC也认可该指南在评估内部控制有效性方面的权威。加拿大安大略证券委员会要求企业与年报一同提交相关内部控制报告。英国《公司治理综合法典》指导意见的目的是帮41

二、《企业内部控制基本规范》的主要内容及其解读二、《企业内部421、我国内部控制概念的产生及其演变我国在20世纪80年代前没有“内部控制”这一概念。内部控制作为一种管理制度被明确写入有关法规中，还是近十年的事。1、我国内部控制概念的产生及其演变43——————2000年7月开始实施的《会计法》第二十七条规定：“各单位应当建立、健全本单位内部会计监督制度。”虽然没有直接提到内部控制，但其具体监督内容全部是内部控制的要求，如记账人员与经济业务事项和会计事项的审批人员、经办人员、财务保管人员的职责权限应当明确，并相互分离、相互制约。

这是我国对内部控制的最高法律规范。但因为是《会计法》，规范的内容局限于内部会计控制的要求，没有涉及全部内部控制的内容。——————200044

2001年6月22日，财政部发布了《内部会计控制规范——基本规范（试行）》、《内部会计控制规范——货币资金（试行）》等。在《基本规范》的第二条规定：“本规范所称内部会计控制是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。”2001年45

为适应国际资本市场对内部控制的日趋严格要求，促进我国经济的健康发展，由财政部、国资委、证监会、审计署、银监会和保监会联合发起成立的企业内部控制标准委员会于2007年发布了《企业内部控制规范（征求意见稿）》。为适应国际资本市场对内部控46

2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了我国第一部《企业内部控制基本规范》。

该基本规范将于2009年7月1日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行。

根据要求，执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年报自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。200472、《企业内部控制基本规范》的主要内容

该规范合理借鉴了以美国COSO报告为代表的国外内部控制框架，并根据我国国情进行了较大调整和改进。

对国外内部控制框架，尤其是COSO框架的借鉴，主要体现在基本规范中。基本规范在形式上借鉴了COSO报告5要素框架，同时在内容上体现了风险管理8要素框架的实质。2、《企业内部控制基本规范》的主要内容该规范48

基本规范共七章五十条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。基本规范共七章五十条，各章分别是：49《规范》的主要针对对象1、上市公司（自2009年7月1日起施行）2、非上市的大中型企业（鼓励施行）《规范》的主要针对对象50内部控制的定义本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的定义51内部控制的目标内部控制的目标是合理保证1、企业经营管理合法合规2、资产安全3、财务报告及相关信息真实完整4、提高经营效率和效果5、促进企业实现发展战略内部控制的目标内部控制的目标是合理保证52企业内部控制要素1——内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。企业内部控制要素1——内部环境53内部环境的规范要求1、企业根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确股东（大）会、董事会、监事会、经理层各自的决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。内部环境的规范要求1、企业根据国家有关法律法规和企业章程，54

2、董事会负责内部控制的建立健全和有效实施，监事会对董事会建立与实施内部控制进行监督，经理层负责组织领导企业内部控制的日常运营。在董事会下设审计委员会，审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。2、董事会负责内部控制的建55

3、企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。

56

4、企业应当制定和实施有利于企业可持续发展的人力资源政策；企业应当切实加强员工培训和继续教育，不断提升员工素质；企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识；董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。4、企业应当制定和实施有57企业内部控制要素2——风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。企业内部控制要素2——风险评估58风险评估的规范要求1、根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。2、开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。

风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。风险评估的规范要求1、根据设定的控制目标，全面系统持续地收集59

3、企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。并综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。3、企业应当根据风险分析的结60企业内部控制要素3——控制活动

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。企业内部控制要素3——控制活动61控制活动的规范要求1、企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。控制活动的规范要求1、企业应当结合风险评估结果，通过手工控62

2、企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

63企业内部控制要素4——信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。企业内部控制要素4——信息与沟通64信息与沟通的规范要求1、企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。2、企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。信息与沟通的规范要求1、企业应当建立信息与沟通制度，明确65企业内部控制要素5——内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。企业内部控制要素5——内部监督66内部监督的规范要求1、企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。内部监督的规范要求1、企业应当根据本规范及其配套办法，制定67

2、企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。2、企业应当制定内部控制缺68

3、企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。3、企业应当以书面或者其他适当的形式69

三、内部控制和风险防范

701、关于《保险公司风险管理指引》2007年4月6日，中国保监会下发《保险公司风险管理指引》（试行），要求自7月1日起在中国境内依法设立的保险公司和保险资产管理公司执行。其内容共分总则、风险管理组织、风险评估、风险控制、风险管理的监督与改进、风险管理局的监管与附则七个部分。1、关于《保险公司风险管理指引》2007年4月6日，中国保监71

风险：指对实现保险经营目标可能产生负面影响的不确定因素。风险管理：指保险公司围绕经营目标，对保险经营中的风险进行识别、评估和控制的基本流程以及下相关的组织架构、制度和措施。风险：指对实现保险经营目72

主要风险应当识别和评估经营过程中面临的各类主要风险，包括：保险风险、市场风险、信用风险和操作风险等。保险公司还应当对战略规划失误和公司治理结构不完善等给公司带来不利影响的其他风险予以关注。主要风险应当识别和评估经营过73内部控制与风险防范的关系回顾COSO对内部控制的定义——“由企业董事会、管理层和其他人员实施的，为经营的效果和效率、财务报告的可靠性、相关法规的遵循等目标的实现而提供合理保证的过程”1、管理控制2、会计（财务）控制3、法规执行控制内部控制与风险防范的关系回顾COSO对内部控制的定义——“由74关系之一内部控制是风险管理的前提和保障。内部控制主要是通过内部控制制度和流程的制定和实施，对公司的各种风险进行全方位、多层次的控制，保障风险管理的顺利实施。保险公司只有提高风险意识，加强内部控制，才能使公司安全运行。否则，就将处于风险管理的失控状态，最终导致公司经营的失败。关系之一内部控制是风险管理的75关系之二内部控制是风险管理的手段之一。内部控制是风险管理不可或缺的一个子系统，内部控制的各种措施，同时也是风险管理的措施。例如岗位职责分设、制衡机制、授权程序、操作规范等。关系之二内部控制是风险管理的手段之一。内部控制是风险管理不可76关系之三风险管理是内部控制的重要目标和主要任务。内部控制是企业管理者对企业风险的反应，其制定的依据主要是风险。内部控制的目标是增强保险公司的自我约束能力，防范和化解风险，其主要任务是识别、计量、控制保险公司经营管理中的各种风险，制定规范的风险管理制度和流程，确保公司稳健运营。关系之三风险管理是内部控制的773、基层管理者在内部控制和风险防范方面的作用

《孙子兵法》中，孙子提出了著名的“五事”即道、天、地、将、法无种决定战争胜负的因素。道——决策者必须使百姓和他的意愿一致天——有利的时令地——便于作战的地形、地貌和有力的地理位置将——善于指挥作战的将领法——良好的军事纪律及充分的后勤供应3、基层管理者在内部控制和风险防范方面的作用78

将有“五德”：“智、信、仁、勇、严也”智——预思未来信——面对下面，说话算数；下面对上面，诚恳服从任——爱兵如子勇——令敌丧胆严——管理严格将有“五德”：“智、79

智：实际体现的就是内部控制和风险防范的能力。

801）、对舞弊风险的防范舞弊——为了实现某些小团体或个人的某种利益，通过弄虚作假来实现目的的故意行为

美国1995年发布的威尔斯报告称，美国每年因企业舞弊和滥用职权而导致的直接经济损失可能高达4000亿美元。1）、对舞弊风险的防范舞弊—81舞弊产生的三要素1、压力——是舞弊产生的行为动机，包括经济压力、恶癖的压力、与工作相关的压力和其他压力。2、机会——发生舞弊而又能掩盖起来不被发现或能逃避惩罚的时机。3、藉口——自我合理化舞弊产生的三要素1、压力——是82国际上一般认定的舞弊易发企业特征1、制造舞弊的企业通常是相对较小的公司（总资产一般低于1亿美元）2、制造舞弊的企业通常是非上市公司3、不少企业在实施舞弊前通常是处于亏损或利润大致为零的情境地。4、公司的主要管理人员通常被牵涉其中，也就是品行和管理风格通常值得关注国际上一般认定的舞弊易发企业特征83

5、在制造舞弊的企业中，董事会成员通常参与其中，或幕后指挥，这些成员一般占有不少公司股份6、这些董事会成员通常缺乏领导经验，整体素质不高，法律意识不强，企业文化值得关注7、25%这类企业没有设审计委员会，已设的大部分无会计资格或财务经验

84应对舞弊风险的措施首先基层管理者要善于自我调节，在“压力、机会和藉口”面前沉下心来，要多考虑法律后果。做企业就是做人，企业是放大的人。其次，要不断宣导正确的管理理念，加强企业经营过程中的内部控制，加强内外部的各类审计检查。应对舞弊风险的措施首先基层管852）对欺诈风险的防范欺诈风险——一般是指投保人、被保险人或者受益人违反保险法规,以非法占有为目的,采用虚构保险标的或保险事故等方法向保险公司骗取保险金而产生的风险2）对欺诈风险的防范欺诈风险86车险中的欺诈行为伪造事故、扩大事故汽车发动机的空气格里塞面纱，造成跑起来乏力——换发动机或缸头刹车油里加酒精——变速箱齿轮受损严重机油里放白糖——发动机“抱瓦”车险中的欺诈行为伪造事故、扩大事故87应对欺诈风险的措施

职业道德的教育

专业技能的培训

监督考核的跟进应对欺诈风险的措施88

谢谢谢谢89——内控中心黄继业

2008.10——内控中心黄继业

2008.1090引子

管理企业就好比驾驶一辆车，车速越快，越需要好的控制系统。

——美国著名管理学家罗伯特·安东尼引子91

一、企业内部控制的缘起及其演变一、企业内部控制的缘起及其演变921、什么是控制2、安然事件及其《萨班斯·奥克斯利法案》3.中航油新加坡公司巨亏事件4、天安某些机构高官的行为5、上述案例引发的内部控制启示6、全球范围企业内部控制的不断完善的过程1、什么是控制931、什么是控制控制是控制者掌握对象不使其任意活动或超出范围。控制就是控制主体有一定的目标，通过各种手段使得其控制对象沿着既定的轨道朝着目标前进，如果在前进的过程由于环境的因素，控制对象的行为发生偏离，就需要及时行动进行纠正，让它回到既定的轨道。1、什么是控制控制是控制者掌握对象不使其任意活动或超出范围。94

输入（资源）

输出（目标）发现偏差过程或经营活动纠正过程输入（资源）95

从控制主体角度可分为外部控制和内部控制。如果以企业组织为划分对象，那么来自于企业组织外部对企业的控制，就属于外部控制，如税务控制、政府审计控制；如果控制者来自于企业组织内部，就属于内部控制。从控制主体角度可分为外部控制和内部控制。96

2、安然事件及其《萨班斯·奥克斯利法案》安然公司在财务丑闻暴露之前，连续几年对社会和股东披露的净利润、每股盈利指标都是不错的。安然公司曾经是美国最大的能源公司（美国500强列第7，世界500强列第16），2001年12月突然申请破产保护。

2、安然事件及其《萨班斯·奥克斯利法案》安然公司在财务丑97

在2001年10月16日安然公布第二季度财报以前，安然公司的财报是所有投资者都乐于见到的。看看它过去的财务报告：2000年第四季度，“公司天然气业务成长翻升3倍，公司能源服务公司零售业务翻升倍”，2001年第一季度，“季营收成长4倍，是连续21个盈余成长的财季”。在安然，衡量业务成长的单位不是百分比，而是倍数，这让所有投资者都笑逐颜开。到了2001年第二季度，公司突然亏损了，而且亏损额还高达6.18亿美元！

98直接导火线

有30亿美元的到期债务，而安然手中拿不出现金担保，无法得到美国联邦存款保险制度的支援，又没有公司愿意资助安然度过危机。直接导火线99

根本原因

内部控制缺失！

根本原因100具体表现管理层激励缺乏约束（常务副总裁2000年卖掉股票期权的收入高达2.65亿美元，高级管理人员享受公司低息贷款），过度利用金融创新工具而没有进行风险评估与风险应对、操纵利润、关联公司太多且管理混乱、缺乏监督。具体表现管理层激励缺乏约束（常务副总裁2000年卖掉股票期权101

然后，一直隐藏在安然背后的合伙公司开始露出水面。经过调查，这些合伙公司大都被安然高层官员所控制，安然对外的巨额贷款经常被列入这些公司，而不出现在安然的资产负债表上。这样，安然高达130亿美元的巨额债务就不会为投资人所知，而安然的一些官员也从这些合伙公司中牟取私利。然后，一直102

更让投资者气愤的是：安然的高层对于公司运营中出现的问题非常了解，但长期以来熟视无睹甚至有意隐瞒。包括首席执行官斯基林在内的许多董事会成员一方面鼓吹股价还将继续上升，一方面却在秘密抛售公司股票。而公司的14名监士会成员有7名与安然关系特殊，要么供职于安然支持的非盈利机构，要么正与安然进行交易，对安然的种种劣迹睁一只眼闭一只眼。更让投资者气103乱世重典——《萨班斯·奥克斯利法案》随着美国安然公司、环球电信公司会计造假丑闻的披露，暴露出美国现行体制中存在弊端。为整顿上市公司秩序、维护投资者信心，美国民主党参议员萨班斯（Sar-banes)和共和党众议员奥克斯利（Oxley)联合提出了《萨班斯·奥克斯利法案》，该法于2002年7月经布什总统签署正式生效。乱世重典——《萨班斯·奥克斯利法案》随着美国安然公司、环球电104萨班斯·奥克斯利法案1、上市公司会计监管委员会2、审计师的独立性3、公司的职责4、加强财务信息的披露5、分析员的利益冲突6、证券监管委员会的资源与权限7、研究和报告8、公司和刑事舞弊的责任9、加强对白领刑事犯罪的惩罚10、公司税务申报表11、公司的舞弊行为及其相应的责任萨班斯·奥克斯利法案1、上市公司会计监管委员会105萨班斯·奥克斯利法案该法案的严肃性在于：公司治理被正式纳入联邦法律管辖范围，越来越多的财会欺诈者——无论他是CEO或CFO都将被投入监狱，安然之后，抓坏蛋和将前车之鉴铭刻于法律条文自然成为这一阶段的主题。该法案恰强调了公司内控的重要性，从管理者、内部审计及外部审计等几个层面对公司内控作了具体规定，并设定了问责机制和相应的惩罚措施，成为20世纪30年代美国经济大萧条以来，政府制定的涉及范围最广、处罚措施最严厉的公司法律。萨班斯·奥克斯利法案该法案的严肃性在于：公司治理被正式纳入联106第404条：管理层对公司内部控制的评价要求公司年报中包括一份“内部控制报告”，该报告应：-明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任；并且-包含管理层在财务年度末对公司财务报告相关内部控制体系及程序的有效性的评估。第404条：管理层对公司内部控制的评价要求公司年报中包括一份107第404条：管理层对公司内部控制的评价受托的上市公司审计师应按照上市公司会计监管委员会对审核约定所发布或采用的准则就管理层关于内部控制的评估进行鉴证并提交报告，此类鉴证约定并不构成单独的约定主体。第404条：管理层对公司内部控制的评价受托的上市公司审计师应1083.中航油新加坡公司巨亏事件一个因成功进行海外收购曾被称为“买来个石油帝国”的企业，却因从事投机行为造成5.54亿美元的巨额亏损。一个被评为2004年新加坡最具透明度的上市公司，其总裁却被新加坡警方拘捕，接受管理部门的调查。3.中航油新加坡公司巨亏事件109中航油新加坡公司巨亏事件中航油新加坡事件是一个国企监管不到位和国企本身现代企业制度不到位的典型案例。监控机制形同虚设，陈久霖违规操作一年多无人知晓。中航油新加坡公司巨亏事件中航油新加坡事件是一个国企监管不到位110一是中航油集团公司的内部监控机制形同虚设根据中航油内部规定，损失20万美元以上的交易，要提交公司风险管理委员会评估；累计损失超过35万美元的交易，必须得到总裁同意才能继续；任何将导致50万美元以上损失的交易，将自动平仓。多达5亿多美元的损失，中航油才向集团报告，而且陈久霖同时也是集团副总经理，中航油经过批准的套期保值业务是集团给其授权的，中航油集团事先没有发现问题。一是中航油集团公司的内部监控机制形同虚设根据中航油内部规定，111二是新加坡公司基本上陈久霖一人的天下

最初公司只有陈久霖一人，2002年10月，集团公司向新加坡公司派出党委书记和财务经理。陈以财务经理外语不好为由，将其调任旅游公司经理。第二任财务经理又被安排为公司总裁助理。陈雇了新加坡当地人任财务经理，只听他一人的。党委书记在新加坡两年多，一直不知道陈久霖从事场外期货投机交易。二是新加坡公司基本上陈久霖一人的天下最112三是中航油集团公司和新加坡公司的风险管理制度也形同虚设

集团公司成立有风险管理委员会，制定了风险管理手册。手册明确规定，损失超过500万美元，必须报董事会。但陈久霖从来不报，集团公司也没有制衡的办法。

专家指出，中航油新加坡公司所从事的并非如外界所传的“石油期货交易”，而是“场外石油衍生品交易（OTC)”，风险极大。以中航油的实力和风险控制能力，对手又是高盛等老牌高手，“翻船”是难免的。三是中航油集团公司和新加坡公司的风险管理制度也形同虚设1134、天安某些机构高官的行为某中支夫妻老婆店某分公司负责人大权独揽、费用开支缺少约束擅自对外借款，承诺高额费用阴阳单、吃保费4、天安某些机构高官的行为某中支夫妻老婆店1145、上述案例引发的内部控制启示内部控制无处不在内部控制对企业的生存、发展与获利至关重要企业需要实施内部控制社会需要企业实施内部控制内部控制的重要性不仅仅在于设计，也不仅仅在于执行，更重要的在于评价设计、执行和评价应相互联系，成为一体，这样内部控制才能持续改进并真正发挥作用内部控制的关键在于人的控制5、上述案例引发的内部控制启示内部控制无处不在1151、内控的重心：应从细节控制转向风险管理2、内控的主体：应从单元主体转向多元主体3、内控的监督：应从关注内控建立转向内控运行和评价4、内控的对象：应从基层、中层转向高官控制5、应建立内控失效的补救措施1、内控的重心：应从细节控制转向风险管理1166、全球范围企业内部控制的不断完善的过程1)、美国内部控制的演变及其现状2）、其他地区内部控制的要求6、全球范围企业内部控制的不断完善的过程1)、美国内部控制的117美国内部控制概念的演变及现状

从内部控制概念的演变看，大致可以分为五个阶段：内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整合框架阶段和风险管理阶段。美国内部控制概念的演变及现状118

内部控制直到上世纪30年代才被人们提出、认识和接受。但在此前的人类社会发展史中，早已存在着内部控制的基本思想和初级形式，这就是内部牵制。内部控119内部控制整合框架阶段1992年，美国“反对虚假财务报告委员会”提出非常著名的《内部控制——整体框架》，也称COSO报告，1994年又作了补充。

本报告将内部控制定义为：“由企业董事会、管理层和其他人员实施的，为经营的效果和效率、财务报告的可靠性、相关法规的遵循等目标的实现而提供合理保证的过程”内部控制整合框架阶段1992年，美国120

该报告将内部控制的组成分成五个相互独立而又相互联系的五个要素：控制环境、风险评估、控制活动、信息与沟通和监督。

121风险管理阶段2004年，COSO委员会在借鉴以往有关内部控制研究报告的基本精神的基础上，结合《萨班斯-奥克斯利法案》在财务报告方面的具体要求，发表了新的研究报告——《企业风险管理框架》（EnterpriseRiskManagementFramework)。风险管理阶段122

这个报告的出台，预示着COSO委员会对待内部控制的认识和态度有了新的变化，即从重视内部控制本身转向了重视风险管理，或者说其更加倾向于在风险管理的背景下研究内部控制问题。这个报告123企业风险管理框架创新（一）提出了一个新的观念——风险组合观

∆企业风险管理要求企业管理者以风险组合的观念看待风险对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。

∆对企业每个单位而言，其风险可能在该单位的风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点来看待风险。企业风险管理框架创新（一）提出了一个新的观念——风险组合观124

（二）增加一类目标——战略目标，并扩大了报告的范畴

∆在COSO报告的经营效率、效果性目标，会计信息可靠性目标，以及法律法规遵循性目标之外，增加了战略目标。它比其他三个目标层次更高，企业风险管理也应用于战略制定的过程中。

∆财务报告范围有很大的扩展，覆盖了企业编制的所有报告。（二）增加一类目标——战略目125

（三）针对风险度量提出两个新概念——风险偏好和风险容忍度

∆风险偏好指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略目标直接相关，企业在制定战略时，应考虑将该战略的既定收益与企业的管理者风险偏好结合起来。

∆风险容忍度指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的在目标实现过程中对差异的可接受程度和可容忍限度。（三）针对风险度量提出两个新概念——126

（四）增加了三个风险管理要素，对其他要素的分析更加深入，范围也有所扩大

企业风险管理框架中将内部控制的要素进一步扩展为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个要素。（四）增加了三个风险管理要素，对127

需要说明的是，《企业风险管理框架》虽然较晚于COSO报告，但是它并不是要完全替代COSO报告。在企业管理实践中，内部控制是基础，风险管理只是建立在内部控制基础之上的、具有更高层次和更有综合意义的控制活动。如果离开良好的内部控制系统，所谓的风险管理只是一句空话而已。需要说明128世界其他地区内部控制的要求2004年6月，十国集团发布了被称为“BaselII”的资本充足性框架，BaselII中744和745节要求就内部控制框架进行独立检查。欧盟2002年改革白皮书定义的内部控制包括以下五个方面：控制环境；业绩和风险管理；信息和沟通；控制活动、及审计和评估等；经合发展组织以原则为基础的方法提出内控相关要求，提升透明度的举措包括足够的会计法规要求；独立外部审计和公司内部控制。《信息及相关技术控制目标》（COBIT)由IT治理协会制定发布，是信息技术治理方面的一个开放性标准，作为良好IT安全和控制实务的标准，COBIT为管理当局、企业用户和信息系统审计、控制及安全从业人员人员提供了一个参考框架。世界其他地区内部控制的要求2004年6月，十国集团发布了被称129

英国《公司治理综合法典》指导意见的目的是帮助那些在美国证监会（SEC)注册的非美国企业应对内部控制要求，这些企业可选择采用该指导意见作为其内控框架，而SEC也认可该指南在评估内部控制有效性方面的权威。加拿大安大略证券委员会要求企业与年报一同提交相关内部控制报告。英国《公司治理综合法典》指导意见的目的是帮130

二、《企业内部控制基本规范》的主要内容及其解读二、《企业内部1311、我国内部控制概念的产生及其演变我国在20世纪80年代前没有“内部控制”这一概念。内部控制作为一种管理制度被明确写入有关法规中，还是近十年的事。1、我国内部控制概念的产生及其演变132——————2000年7月开始实施的《会计法》第二十七条规定：“各单位应当建立、健全本单位内部会计监督制度。”虽然没有直接提到内部控制，但其具体监督内容全部是内部控制的要求，如记账人员与经济业务事项和会计事项的审批人员、经办人员、财务保管人员的职责权限应当明确，并相互分离、相互制约。

这是我国对内部控制的最高法律规范。但因为是《会计法》，规范的内容局限于内部会计控制的要求，没有涉及全部内部控制的内容。——————2000133

2001年6月22日，财政部发布了《内部会计控制规范——基本规范（试行）》、《内部会计控制规范——货币资金（试行）》等。在《基本规范》的第二条规定：“本规范所称内部会计控制是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。”2001年134

为适应国际资本市场对内部控制的日趋严格要求，促进我国经济的健康发展，由财政部、国资委、证监会、审计署、银监会和保监会联合发起成立的企业内部控制标准委员会于2007年发布了《企业内部控制规范（征求意见稿）》。为适应国际资本市场对内部控135

2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了我国第一部《企业内部控制基本规范》。

该基本规范将于2009年7月1日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行。

根据要求，执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年报自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。2001362、《企业内部控制基本规范》的主要内容

该规范合理借鉴了以美国COSO报告为代表的国外内部控制框架，并根据我国国情进行了较大调整和改进。

对国外内部控制框架，尤其是COSO框架的借鉴，主要体现在基本规范中。基本规范在形式上借鉴了COSO报告5要素框架，同时在内容上体现了风险管理8要素框架的实质。2、《企业内部控制基本规范》的主要内容该规范137

基本规范共七章五十条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。基本规范共七章五十条，各章分别是：138《规范》的主要针对对象1、上市公司（自2009年7月1日起施行）2、非上市的大中型企业（鼓励施行）《规范》的主要针对对象139内部控制的定义本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的定义140内部控制的目标内部控制的目标是合理保证1、企业经营管理合法合规2、资产安全3、财务报告及相关信息真实完整4、提高经营效率和效果5、促进企业实现发展战略内部控制的目标内部控制的目标是合理保证141企业内部控制要素1——内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。企业内部控制要素1——内部环境142内部环境的规范要求1、企业根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确股东（大）会、董事会、监事会、经理层各自的决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。内部环境的规范要求1、企业根据国家有关法律法规和企业章程，143

2、董事会负责内部控制的建立健全和有效实施，监事会对董事会建立与实施内部控制进行监督，经理层负责组织领导企业内部控制的日常运营。在董事会下设审计委员会，审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。2、董事会负责内部控制的建144

3、企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。

145

4、企业应当制定和实施有利于企业可持续发展的人力资源政策；企业应当切实加强员工培训和继续教育，不断提升员工素质；企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识；董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。4、企业应当制定和实施有146企业内部控制要素2——风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。企业内部控制要素2——风险评估147风险评估的规范要求1、根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。2、开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。

风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。风险评估的规范要求1、根据设定的控制目标，全面系统持续地收集148

3、企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。并综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。3、企业应当根据风险分析的结149企业内部控制要素3——控制活动

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。企业内部控制要素3——控制活动150控制活动的规范要求1、企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。控制活动的规范要求1、企业应当结合风险评估结果，通过手工控151

2、企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。

152企业内部控制要素4——信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。企业内部控制要素4——信息与沟通153信息与沟通的规范要求1、企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。2、企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。信息与沟通的规范要求1、企业应当建立信息与沟通制度，明确154企业内部控制要素5——内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。企业内部控制要素5——内部监督155内部监督的规范要求1、企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。内部监督的规范要求1、企业应当根据本规范及其配套办法，制定156

2、企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。2、企业应当制定内部控制缺157

3、企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。3、企业应当以书面或者其他适当的形式158

三、内部控制和风险防范

1591、关于《保险公司风险管理指引》2007年4月6日，中国保监会下发《保险公司风险管理指引》（试行），要求自7月1日起在中国境内依法设立的保险公司和保险资产管理公司执行。其内容共分总则、风险管理组织、风险评估、风险控制、风险管理的监督与改进、风险管理局的监管与附则七个部分。1、关于《保险公司风险管理指引》2007年4月6日，中国保监160