《企业内部控制配套指引》实施解读

《企业内部控制配套指引》实施解读主讲人：刘维1一、《企业内部控制配套指引》主要内容解析二、配套指引对董事会的要求三、企业的合遵循挑战四、合规之路该如何规划五、合规工作的主要要求六、合规工作的组织与人力资源安排七、如何理解内部控制的重要性及其风险管理的关系2本报告所载资料是为广州市财政局编撰。任何其他人士不得依赖本报告作任何其他用途，本公司概不就此对任何其他人士承担任何责任。未经本公司书面同意，任何主要内容一、《企业内部控制配套指引》主要内容解析34企业内部控制应用指引《企业内部控制应用指引》：共18项，用以指导企业开展内部控制建设，并为企业及事务所的内部控制评价及审计提供参考。内容包含制定指引的总体目标、涉及事项的定义、相关风险描述、业务流程规范和关键控制点要求等标准性内容。企业内部控制评价指引《企业内部控制评价指引》：用以指导企业开展内部控制评价，以满足基本规范的实施要求。内容包含评价原则、评价制度要求、评价的内容、评价的程序、缺陷的认定、评价报告。企业内部控制审计指引《企业内部控制审计指引》：用以规范注册会计视执行企业内部控制审计业务。内容包含审计目标、计划审计工作、实施审计工作、评价控制缺陷、完成审计工作、出具审计报告、记录审计工作、审计报告参考格式。2008年6月28日发布《应用指引》、《评价指引》和《审计指引》构成企业内部控制配套指引用于指导企业更加有效实施基本规范。2010年4月26日发布什么是企业内部控制配套指引？《基本规范》从内部环境、风险评估、控制活动、信息与沟通以及内部监督五大要素的角度，对于中国企业如何建立、维持有效的内部控制提出了原则性的要求，建立了具有中国特色的内部控制框架。企业内部控制基本规范财务报告内部控制有效性的外部审计内部控制有效性的自我评价内部体系的建设和实施5配套指引协助做好三件事审计师：按照《审计指引》的要求，对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露评价对象为企业建立和实施的财务报告内部控制企业：按照《评价指引》的相关要求，对内部控制的有效性进行自我评价评价对象包括企业建立和实施的财务和非财务内部控制，需对这些内部控制的设计和执行有效性进行评价企业：从《基本规范》规定的五大要素出发，参照《应用指引》的具体要求，建立和实施完善的内部控制体系企业内部控制配套指引的实施对象/范围和时间《企业内部控制配套指引》实施时间适用企业2011年12月31日年报2012年12月31日年报第一个合规报告年度2011年1月1日2012年1月1日择机实施鼓励提前实施企业披露年度自我评价报告会计师事务所出具内控审计报告境内、外同时上市的公司在上海证劵交易所、深圳证劵交易所主板上市公司实施中小板和创业板上市公司非上市大中型企业6企业内部控制应用指引的体系架构《企业内部控制应用指引》：共18项，用以指导企业开展内部控制建设，并为企业及事务所的内部控制评价及审计提供参考。内容包含制定该项指引的总体目标、涉及事项的定义、相关风险描述、业务流程规范和关键控制点要求等标准性内容。应用指引条目如下：根据各具体指引所规范内容的不同，可以将应用指引分为三类：内部环境类（5个）控制手段类（4个）组织架构发展战略人力资源企业文化社会责任全面预算合同管理内部信息传递信息系统7控制活动类（9个）资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告组织架构资金活动采购业务社会责任企业文化发展战略人力资源全面预算资产管理销售业务业务外包信息系统合同管理内部信息传递担保业务工程项目研究与开发财务报告企业内部控制应用指引的体系架构（续）目标：对于流程控制目标的整体要求。企业可参考指引中所述目标，从定性和定量两个角度细化本企业各流程的具体控制目标，作为流程风险评估的基础。风险：流程中可能涉及的主要风险。企业可考虑参考指引中所述风险，采用一定的风险评估方法，识别、评估本企业流程可能涉及的重大风险，并作为内部建设的基础。定义：对于流程所涉及业务范围的定义。企业应根据自身实际业务情况，对流程所涉及的业务范围进行明确定义。对于流程控制的整体要求。应作为企业设计本流程内部控制体系的整体性原则。主要业务环节及具体内控要求，企业可参考这些具体要求，结合本企业实际情况，制定细化的内部控制步骤和程序，包括明确内控执行的岗位和人员、频率、文档、问题跟进措施等。8注意事项在应用指引使用过程中应注意以下问题：应用指引仅是对于主要业务流程环节和内部控制提出了原则性的要求18项应用指引涵盖了制造企业常见的重要业务领域，但是对于具体企业来说，肯定会存在一些应用指引无法涵盖的业务活动。因此企业需要根据基本规范和应用指引的总体原则和企业实际的风险情况，对自身业务、风险和内部控制进行详细梳理，而不能仅仅依赖应用指引进行内控体系的建设。（例如对于银行业来说，并没有专门的指引对商业银行的核心业务流程，例如存款业务、贷款业务、资金业务、中间业务等进行明确规定）企业可参考应用指引的架构和内容，细化制定本企业的内部手册9第一章总则第二章内部控制评价的内容第三章内部控制评价的程序内部控制评价的最终责任机构是企业董事会或类似权力机构企业内部控制评价的原则：全面性、重要性、客观性企业应根据评价指引及实际情况，制定具体的内部控制评价办法企业内部控制评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素，并包括内部控制设计和运行两个方面内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容企业可以授权内部审计部门或专门机构负责内部控制评价的具体组织实施工作评价工作方案应报经董事会或其授权机构审批后实施评价工作组成员对本部门的控制评价工作应当实行回避制度企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制评价服务10企业内部控制评价指引的体系架构11第四章内部控制缺陷的认定第五章内部控制评价报告内部控制缺陷包括设计缺陷和运行缺陷内部控制缺陷的认定应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定内部控制缺陷可以分为重大缺陷、重要缺陷和一般缺陷（但具体认定标准由企业根据指引中原则自行确定）企业应对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核；缺陷应向董事会、监事会或者经理层报告；重大缺陷应当由董事会予以最终认定；对于重大缺陷应追究有关部门或相关人员的责任对报告的主要内容进行要求。报告应当经董事会或类似权力机构批准后对外披露配套指引要求与美国、香港内控监管要求简要对比比较内容主要实施要求是否给出评价指引评价责任机构评价结论的判定标准配套指引的要求企业应当对内部控制的有效性进行自我评价，并披露年度自我评价报告企业应当聘请会计师事务所对财务报告内部控制的有效性发表审计意见企业内部控制评价指引董事会（或类似权力机构）没明确说明内控有效性结论的判定标准美国萨班斯法案第404条款公司管理层申明对建立和维持适当财务报告内控结构及控制程序的责任，并在其提交的年报中对内控有效性作出评价审计师须对管理层遵循情况进行测试和评价，并出具评价报告SEC给出了“管理层评价指引”，但并不强制企业遵循，提供了可接受的一种遵循途径管理层存在一个或多个实质性漏洞，内部控制即告无效1213比较内容主要实施要求是否给出评价指引评价责任机构评价结论的判定标准香港企业管制常规守则C2.1条款董事应当每年检讨一次上市公司及其附属公司的内部监控系统是否有效，并在企业管治报告中向股东回报已经完成的有关检讨。有关检讨应涵盖所有重要的监控方面，包括财务监控、运作监控及合规监控以及风险管理功能没有对与内控审计具体要求没有颁布专门的评价指引，仅在香港会计师公会为之专门制定的《内部监控和风险管理的基本框架》中，对于检讨程序有原则性规定董事未要求评价工作给出评价结论中国企业内部控制规范体系概览企业内部控制标准委员会负责为建立健全我国企业内部控制标准体系提供政策指导和咨询服务企业内部控制标准会员会主席由财政部副部长担任，副主席由证监会和国资委官员担任，成员包括来自监管部门、实务界、理论界的31位专家学者第一层次第二层次第三层次中国企业建立内部控制的基本框架建议了内部控制体系的构成要素：内部环境、风险评估、控制活动、信息与沟通、内部监督国际上类似的内部控制框架包括：COSO、COCO等《企业内部控制基本规范》的实施要求要求企业对内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请会计师事务所进行审计国际上类似要求包括：美国萨班斯法案第404条款、日本《金融工具及交易法》等《企业内部控制基本规范》五部委关于印发《企业内部控制基本规范》的通知体系基础用以指导企业内部控制体系建设，对于内部控制提出了具体的要求用以规范企业内部控制有效性的年度自我评价工作用以指导注册会计师执行企业内部控制审计业务五部委关于印发企业内部控制配套之音的通知《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》对于应用指引的解释/指南对于评价指引的解释/指南对于审计指引的解释/指南对体系的持续完善常见问题解答公告14二、基本规范及配套指引对董事会的要求15配套指引对董事会的要求董事会负责内部控制的建立健全和有效实施的基本规范，具体体现在：董事会是企业内部控制体系的重要组成部分。董事会依法行使企业的经营决策权，对企业重大经济事项进行审批。——应用指引董事会须对内部控制有效性的评价负责。董事会应审批评价工作方案，对重大缺陷进行认定，对评价报告进行批准，并出具内部控制报告真实性的声明。——评价指引董事会应当向审计师提供声明书，声明董事会认可其对建立健全和有效实施内部控制负责。并与审计是沟通确认的重大缺陷和重要缺陷等重要内控事项。——审计指引1617关键条文概述企业内部控制应用指引-董事会对股东（大）会负责，依法行使企业的经营决策权，可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。-董事会（或类似权力机构）应对发展战略方案，重大研究项目，重大工程项目的立项，重大担保业务，重大业务外包方案，和全面预算草案进行审批。企业内部控制评价指引-指引所称内部控制评价，是指企业董事会（或类似权力机构）对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。-企业董事会应当对内部控制评价报告的真实性负责。-企业内部控制评价部门应当拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报警董事会或其授权机构审批后实施。-企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定18企业内部控制审批指引-董事会应当注册会计师提交书面声明，声明董事会认可其对建立健全和有效实施内部控制负责-注册会计师以书面形式与董事会沟通其在审计过程中识别的重大缺陷和重要缺陷；审计范围受到限制的情况及对审计委员和内部审计机构对内部控制的监督无效的认定。-内部控制评价报告应当披露董事会对内部控制报告真实性的声明-内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门三、企业的合规遵循挑战19遵循基本规范和配套指引的挑战——来自企业自身的挑战主观意愿资源配备知识技能20主观意愿主观意愿强调两个方面：内部控制的最终责任人和内部控制的日常参与者。内部控制的最终责任人：董事会内部控制的日常参与者：全体员工董事会及高级管理层立言、立行以昭示其对内部控制的充分重视，并为内部控制的建设和实施调配充分的资源董事会和其他高级管理人员不理解建设内部控制的意义，认为内部控制阻碍经营效率，将内控工作做成“两张皮”企业员工不理解什么是内控，不清晰自己的内控责任，无法自觉维护内控有效性积极消极21所有员工都充分理解并参与内部控制的建设和实施，内部控制融入企业的日常经营活动，真正为企业产生价值内控建设所需的知识技能方法论内控建设人员需要熟悉国际通行的内部控制框架理论、国内外内部控制监管要求，并在此基础上，开发适合自身企业特点的内控建设和评价方法论。专业技能在内部控制梳理、建设、评价等各方面，业务、财务、IT等各领域，均需要相关人员具有比较丰富的专业技能和经验内控建设所需的知识技能行业经验除科学方法论外，丰富的行业经验也是内控建设不可或缺的知识技能之一。不熟悉本企业所处行业的一般运作规律及关键风险，可能导致所建立的内控体系缺乏效率或效果项目管理内控建设一般以项目的形式推进，对于大型企业集团来说，内控建设人员的项目管理能力非常重要22遵循基本规范和配套指引的挑战——来自企业自身的挑战知识与观念架构与实务治理层对内控要求不了解，指导和监督内控工作不到位经理层和其他管理人员不理解建设内部控制的意义，认为内部控制阻碍经营效率，将内控工作做成“两张皮”企业人员比例解什么是内控，不清晰自己的内控责任，无法自觉维护内控有效性企业缺乏足够的具备所需知识、技能的内控维护和监督队伍缺乏对内控缺陷进行判断的经验从未系统地按五要素框架进行内控架构的梳理，评估，缺乏相关的知识和经验从未进行过系统的风险评估工作缺乏全面的、规范的规章制度对内部控制设计情况进行记录缺乏完善的监督机制，导致内部控制执行不力内部控制的运行缺乏书面证据反舞弊程序和控制薄弱2324IT系统项目管理系统开发和变更控制薄弱处于利用人工流程的便捷和灵活性的目的，回避信息系统内部控制系统与业务发展脱节，不能对公司战略的实施提供良好支撑业务系统和财务系统脱节，信息一致性和可用性无法得到保证信息系统存在明显的安全漏洞第一年的遵循工作规模大，涉及面广，要求企业具备组织、管理大型项目而丰富经验低估遵循项目难度，遵循工作不能按时间表进行，或缺乏对工作成果的质量控制未能有效计划、控制遵循成本四、合规之路该如何规划25毕马威建议的遵循路线一般而言，企业可考虑通过以下六个步骤来实现对基本规范和配套指引的遵循：计划遵循工作的进行方法、范围、时间表、成果和所需资源；组建项目团队；启动项目通过风险评估、对标等方法检查、评价内部控制的设计情况，包括审视内控记录是否足够根据对设计情况的评估结果，制定测试方案并实施对内控执行情况的评估归集并评估内控设计和执行方面的缺陷；在治理层和管理层的主导下，计划和实施纠正工作跟踪验证纠正工作的结果；编制内控自我评价报告；配合审计师进行内控审计有计划、有步骤的建立内控持续改善和内控规范持续遵循的有效机制（如建立相关职能、IT系统和有关制度）26企业的下一步遵循工作从哪里做起？对于已经启动和推进遵循方案的企业：应根据三项指引重新审视既定的遵循方案并视情况进行必要调整。其中，境内外同时上市的企业应准确理解已经实施的境外上市地监管规定与即将实施的中国规定之间的差异，并据以考虑是否需要开展补充性工作。应积极与监管机构互动，获得监管机构对于所遇到的重大问题的指导。并促使监管机构进一步发布有关解释公告。应注重与审计时就遵循方案及其执行情况金相沟通。27企业的下一步遵循工作从哪里做起？对于尚未开展遵循工作的企业：应尽快着手制定遵循方案，明确以下要素：-遵循策略-组织体系-过程、步骤及时间表-内部和外部资源需求及资源获取方案-费用预算建议企业可考虑在法定遵循年度的前一年开展试评价。有条件的企业，在初次遵循时应考虑聘请外部咨询顾问，以提高遵循的效率和效果并为以后年度持续遵循奠定良好基础。积极参加监督机构规划和实施的一系列培训，以掌握监管动态。2829企业合规之路体系建设年度评价和报告评价试行和完善一条公路1.制定遵循计划2.对内控现状进行全面梳理和记录3.对标基本规范和应用指引进行差距分析4.完善内部控制，修补差距5.试行内部控制有效性自我评价6.试行内部控制审计7.内部控制持续改进和完善8.内部控制中期审计9.内部控制缺陷跟踪和改进10.年度内控有效性自我评价11.内部控制年中审计12.编制并披露内控评价报告304.完善内部控制，修补差距（6-7个月）8.内部控制中期审计9.内部控制缺陷跟踪和改进10.年度内控有效性自我评价遵循工作的时间安排项目启动1.制定遵循计划（1-2个月）3.对标基本规范和应用指引进行差距分析2.对内控现状进行全面梳理和记录（3-5个月）5.试行内部控制有效性自我评价6.试行内部控制审计7.内部控制持续改进和完善（3-6个月）2011年初3月6月12.编制并披露内控评价报告9月11.内部控制年中审计2012年4-7个月1-2个月以上时间表为于2011年1月1日起实施基本规范的境内外同时上市公司遵循时间表的示例。其他遵循企业可在更长期间内计划和实施其遵循工作。31五、合规工作的主要成果32基本规范第四十七条：企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。根据以上原则，企业在遵循基本规范及其配套指引的过程，需保留一系列的工作记录，包括：工作内容：根据《应用指引》的要求，建立和实施内部控制体系工作内容：根据《评价指引》的要求，对内控有效性进行自我评价工作内容：聘请会计师事务所对财务报告内部控制的有效性进行审计对于企业来说，内部控制的建立和实施包括两方面的内容：一是建立。企业需要以书面的形式，对其各业务领域的内部控制进行明确规定。常见的书面形式可以包括流程描述、流程图、风险控制矩阵等二是实施，即内控执行。企业应妥善保存相关执行记录，这些执行记录包括书面文档（例如签报）、电子文档、（例如电子邮件）、信息系统记录等自我评价工作中涉及的工作记录包括：内部控制评价办法（评价指引第四条）内部控制评价过程中相关工作底稿，例如：内部控制执行有效性测试方案、穿行测试工作底稿、控制测试工作底稿、缺陷汇总表及修补计划、内控缺陷认定标准等内部控制自我评价报告审计报告合规遵循主要工作成果33部分合规工作成果示例-流程描述流程描述主要内容主要用途编制方法对流程涉及的业务范围、部门范围、流程目标、流程的起点和终点、各子流程/业务环节的发起、授权、记录、处理及报告程序、流程中的主要控制活动、相应流程负责人以及相关控制文档等进行描述对控制活动的描述主要包括控制目标、控制活动发生时间、执行人、主要控制措施及其执行方法、控制活动产生的结果、控制活动出现问题或差异时的处理方法等用于指导和规范公司各项业务的操作程序作为员工执行控制程序和措施的指南，并有利于标准化与控制流程相关的控制活动是对流程图的补充和加强供测试人员用于内控执行有效性的评价项目组人员牵头组织相关业务部门进行编制根据流程图，从流程的起点到终点，对每个流程环节进行具体描述34部分合规工作成果示例-流程图34流程图主要内容主要用途编制方法以直观的方式展示各子流程/业务环节的发起、授权、记录、处理及报告程序，以及流程中的负责部门或岗位、以及各部门/各环节之间的信息传递关系等每个流程图依次由各子流程、子流程中的主要活动以及各项任务构成用于指导和规范公司各项业务的操作程序，以及各部门之间的信息沟通程序用于明确各部门之间的工作接口，确保业务流程和关键控制活动的完整性供测试人员用云内控执行有效性的评价可用于分析和诊断影响流程目标实现的动因，识别流程中存在的问题（例如权责分配的合理性、流程步骤的有效性、内部监控的足够性、流程活动的价值性），继而进行流程的优化项目组人员牵头去组织相关业务部门进行绘制根据项目管理委员会审批确定的流程图制作标准，统一制作关键流程的流程图35）部分合规工作成果示例-风险控制矩阵35风险控制矩阵主要内容主要用途编制方法从公司层面、流程层面和信息技术层面，分别记录内控评价过程中所识别的关键控制点记录上述关键控制点对应的风险、控制活动目标、设计的财务报表科目及认定记录控制点的性质、种类、频率等记录控制点对应的穿行测试和控制测试及缺陷整改记录索引（如有作为业务单元的关键控制点的基础文件作为控制测试的基础信息来源作为建立目标、风险、控制、科目等对应关系的基础文件作为内部控制工作系统平台的基础数据来源项目组人员根据对各业务单元的内控状况梳理结果和测试结果进行填制36部分合规工作成果示例-内部控制执行有效性测试方案36内部控制执行有效性测试方案主要内容主要用途编制方法记录内部控制执行有效性测试的控制点相关信息、样本信息及其测试步骤，包括如何进行测试，何时进行测试以及测试负责人等明确样本库范围、抽样方式、样本数量、抽样涉及期间等内容用于指导测试人员根据控制点的性质、执行的频率、重要性等因素，合理确定测试抽样方式和样本量用于指导和规范测试人员开展控制测试的具体工作为开展控制测试提供有效的方法和工具项目组人员进行编制项目管理委员会对控制测试方案进行审批37六、合规工作的组织与人力资源安排38合规工作的项目组织架构合理的项目组织架构对遵循项目的顺利实施起到了至关重要的作用，我们建议合规企业建立结构化的项目组织架构。以下为可选择的一种组织架构。项目指导委员项目管理办公室项目核心小组分支机构现场业务工作小组总部分支机构公司层面控制工作小组财务工作小组业务工作小组信息技术工作小组内部审计工作小组分支机构现场工作小组分支机构现场工作小组分支机构现场工作小组分支机构现场工作小组39合规工作的项目组织架构（续）企业可考虑采取全员参与、分级实施、逐级汇总的饭食进行内部控制体系的建设和评价工作：全员参与，即内控建设和评价工作由总部、各级分支机构的管理层和流程负责人员负责实施，集团内所有公司、分支机构，各单位的所有部门和岗位，均应参与内控建设和评价工作。分级实施，及总部、各级分支机构分别负责组织实施本单位的内部控制建设和自我评价工作，并指导所属单位的内控工作。逐级汇总，即下级单位应向上级单位上报内控建设和评价结果，上级单位在汇总下级单位和本单位建设和评价结果的基础上，形成汇总的内控自我评价报告。40合规工作的所需人力资源构成主要职责项目核心团队各部门和分支机构项目协调人各部门和分支机构流程负责人总部即有代表性的分支机构抽调的业务、财务、IT等部门人员由各部门和分支机构指派，应具有一定的职位层级和组织能力，能在本部门和本机构内行使组织和协调工作各部门和分支机构内各主要业务流程均应指派一名或若干名业务骨干作为流程负责人员负责项目的整体管理和协调负责制定项目实施的方法、标准、工具和模板负责对各部门和分支机构内控梳理和评价工作进行指导，并对结果进行质量控制负责内控评价结果的汇总和披露负责本部门或单位内内控建设工作的组织、协调和推进工作负责本部门或单位内内控建设工作的整体项目管理，包括进度管理、质量管理等负责根据总部项目核心团队制定的方法、标准、工具和模板等，实行所负责业务流程的内部控制梳理和测试工作对所负责流程的内控缺陷进行汇报和整改工作41外部咨询机构外部咨询机构独立评价小队内部审计人员由独立于流程负责人之外的专职部门或机构（例如内部审计机构）负责实施内部控制独立评价结合日常监督和专项监督，基于风险评估的重点检查，对象为涉及高风险领域的相关控制相对独立的、客观的评价提供培训和各种专业技术支持协助进行项目所需方法、工具和模板的开发协助进行项目管理协助进行内控梳理工作协助对所识别的内控缺陷提供发现和建议构成主要职责42七、如何理解内部控制的重要性及其与风险管理的关系43什么是内部控制COSO内部控制框架内部控制是由公司董事会、管理层和其他员工实施的，为实现经营的效果性和效率性、财务报告和可靠性以及适用法律、法规的遵循性等目标提供合理保证的一个过程。《企业内部控制基本规范》内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。44内部控制的产生目标风险事件风险应对控制保护手不受伤害火烧了手把手从火中拿出感知火通知大脑传送大脑指令收缩肌肉？？？45内部控制的产生企业建立和完善内部控制体系，及最终目的是为控制风险，实现企业目标。合理理解目标、风险和控制之间的关系，是理解企业内部控制和风险管理理念的基础：企业目标：可量化，可衡量，可以实现的业务目标风险：企业面临的风险是由内部或外部因素引起的，对企业的现实目标或潜在目标造成影响的一系列不确定事件风险应对策略：企业根据自身条件和风险偏好、风险承受度，选择风险承担、规避、转移、转换、对冲、补偿、控制等适合的风险管理总体策略控制：通过系统的管理程序或活动确保风险应对策略的有效实施，减少不确定性的影响？？？46目标、风险和内部控制的关系目标：保证仓库货物安全风险：发生火灾导致资产损失风险应对策略：规避风险：停止业务转移风险：为货物购买保险或者外包第三方机构等控制风险：消除火灾隐患，并加强消防措施-保持线路状况良好-禁止明火和潜在火种保持灭火装置（消防栓、灭火器、消防喷头等）功能良好内部控制：解决“如何确保上述应对策略的有效执行”的问题，例如以控制风险为例：定期对线路进行检测，生成检测报告，报相关管理层审阅设立保安岗位，随时检查并消除火灾隐患，并及时报告定期对灭火装置进行检查，生成检查报告，及时更新陈旧设备？？？47什么是内部控制框架内部控制框架（或内部控制模型）通常由政府监管机构或民间具有权威性的职业组织（或二者合作）建立，意图知导本国或本行业企业建立并保持良好的内部控制，以协助企业达成使命，实现目标并降低风险。内部控制框架通常包括内部控制定义和目标、内部控制组成部分、内部控制的标准、内部控制具体形式和分类等内容。一个良好和内部控制框架因地制宜，全面考虑一个国家或一个行业企业经营的内外部环境的各方面特点。对于一个比较成熟的企业来说，在长期的生产经营实践中必然已经建立了比较成型的内部管理制度体系。但是，通常在与内控相关要素的完整性、科学性等方面均会存在一些缺陷。而内部控制框架，则为企业如何建立完善的内部控制体系提供了一个理论依据，并且为如何更有效地对内控进行管理提供了指导。一个整合的内部控制框架信息与沟通监督控制环境48国际最广泛应用的内部控制框架——COSO内部控制整合框架监控评估内部控制系统整合及时独立的评估管理层和监控机构的工作内部审计信息和沟通定期获取、确定并交流相关的信息评审内部和外部获取信息信息流：职责指导→管理层的总结→成功的措施控制环境管理哲学和经营风格因素包括正直、道德价值、能力、权威和责任董事会和审计委员人力资源政策和实务是其他内部控制组成部分的基础控制活动明确落实管理层的政策/流程措施包括审批、授权、确认、建议、业绩考核、资产保全和权限分离风险评估风险评价是因一些决定性的内部控制活动和企业目标而确认和分析相关风险所有五大要素必须同时发挥作用，才能让内部控制有效地运作49案例分析：内部控制的真实涵义如前所述，内部控制不单单是具体的业务操作活动，而是包括了控制环境、风险评估、控制活动、信息与沟通、内部监督等要素在内的一个有机的整体。一下通过具体案例，分析了在一个企业中，如果上述内控要素缺失或存在问题，将给企业带来什么样严重的损失。50事件概要2008年1月24日，法国第二大银行法国兴业银行（以下简称“法兴银行”）披露，由于旗下一名交易员违规投机金融衍生品，使该行72小时之内蒙受约合49亿欧元（71.6亿美元）巨额亏损。据称，这也是有史以来涉及金额最大的交易员欺诈事件。该交易员名叫热罗姆.科维尔。2008年1月28日，他被法兴银行控以“伪造银行文件、滥用信用、非法进入系统，并在欧洲指数期货的投机交易中造成该行高达49亿欧元的巨额亏损”的罪名。2007年至2008年1月的一年间，科维尔在他的股指期货交易过程中，绕过风险监视系统的监控，建立了高达500亿欧元的期货净交易头寸，远远超过了他的权限，但是法国兴业银行的高层对这一事件却毫不知情，知道因为科维尔的一个错误举动出发了电脑系统的警报，才导致东窗事发。此案发生后立刻引起广泛关注，法国央行和财政部均已介入调查。外界对法兴银行，尤其是其风险控制系统疑问重重。作为全球衍生品市场的领头羊，究竟是市场风险还是操作风险引发了此次欺诈案？法兴银行的案例将给企业带来何种启示？51事件始末1、贪图高额投机利润铤而走险科维尔2001年加入法兴银行，2005年被晋升为前台交易员。晋升后的科维尔身处低风险的套利交易部门，从事指数期货套利交易》套利交易是从一个市场买入资产，同事或几乎同时在另外一个市场售出，以期从不同市场的差价中获取利润。由于这是一种短线交易，且相似金融工具的价值相差无几，所以这种交易名义金额巨大，但风险较小。科维尔未获得高额投机利润，放弃了套利交易模式，越权建立了大额单边投机头寸。由于在包括监督部门等多个中台部门工作过，使得他对公司交易类业务的监控流程了如指掌。他采用多种手法，掩盖其单边头寸。1.建立虚拟逆向交易，使投资组合从表面看被对冲2.从操作部门盗用IT密码，将其虚假交易及时从系统删除，伪造文件证明虚假交易3.建立多个虚拟的反向性交易（购买/出售），掩盖其越权交易的收益2、虚假交易确认函导致东窗事发2008.1.7科维尔开始建立总体股指期货多头头寸并出现亏损，但通过虚拟方向交易保持风险中性523、管理层果断平仓稳住市场2008.1.20法兴高层决定平仓；获得央行和监管部们同意平仓后向市场披露信息2008.1.23连续三天平仓完毕实际亏损49亿欧元2008.1.24早晨向媒体披露交易亏损由于多头已被全部平仓，当天股市并未受到明显影响2008.1.18银行发现一家交易对手信用风险异常，当天，法兴银行收到来自该交易对手的确认函，成交易“正常”，引起有关部门怀疑并开始了紧急调查，发现该确认函是科维尔而伪造2008.1.19科维尔被叫到银行问话，发现持有的欧洲股指期货头寸合约价值约500亿欧元，当时亏损15以欧元53原因剖析市场风险：不利的市场走向但市场风险仅仅是违规事件暴露的促发点，而不是根本原因：科维尔的职责是从事交易通过发现基差失衡获利，不需要预判市场走向发行银行风险管理系统采用“风险价值”（VAR）作为指标，充分考虑了市场类别风险的计量与管理因此，法兴银行巨额亏损的原因在于监控系统长期未能发现交易员的越权交易，市场风险不过是事件暴露的诱因操作风险才是案件发生的根本原因交易员越权欺诈交易上级主管长期监管失职风险控制系统漏洞交易员深度违规长期未被监管54案件发生原因的深层次剖析内部环境-银行从科维尔做空2007年底的股指期货交易中得到了巨大的收益，但是这种收益是建立在巨大的市场风险之下获得的，法兴银行却因为巨大的收益忽视了公司的头寸市场风险，酿成了最后的惨剧-出于对高额投资利润的追捧，法兴银行对稽核部门的例外情况报告未给予足够的重视，加上不合适的薪酬激励和人力资源不足影响前中后台独立性，导致交易员的违规操作越加频繁风险评估-高层管理员被交易带来的巨大收益麻痹了头脑，忽视了公司整体寸头市场风险。如果公司用RAROC（经过风险调整后的收益率）来衡量交易类业务的收益，那么银行一定不会对科维尔建立的头寸在2007年底的收益感到满意55根本的、关键的原因在与发行银行的内部控制体系中相关要素出现了问题内部监督-风险控制人员和结算