全球背景下企业内部控制与风险管理.ppt

1、全球背景下企业内部控制与风险管理,讲座大纲,CH1企业内部控制的新特点 CH2 企业内部控制五大目标 CH3企业内部控制五大要素 CH4企业各管理层内控职责 CH5 内部控制制度建立 CH6 企业内部控制设计模板,美国汽车三大巨头乞求救援,美国当地时间2008年12月10日晚，美国众议院投票通过了向美国汽车业提供140亿美元救援贷款的议案，但在通过参议院批准之前，此项贷款是否能顺利发放到车企手中仍是未知数。 美国当地时间2008年12月13日11日晚,由于美国汽车业工会拒绝接受共和党议员提出的削减工资要求,美国国会参议院否决了总额为140亿美元的汽车业救援方案。,美国金融危机AIG失败,同样是

2、经营失败，AIG的失败与1995年巴林银行倒闭事件有什么不同呢？当年巴林银行倒闭主要由“内部控制层面”的问题所致，28岁的期货期权交易部经理李森违反公司授权规定，“偷偷摸摸”地进行指数期货合约交易，从而产生巨额损失并导致巴林银行被荷兰国际集团接管。 而此次AIG百年帝国的失败却出在“战略经营层面”，因为AIG成立专门部门AIG Financial Products Corp（AIGFP）并且长期向次贷市场大量提供CDS产品并非突发事件，而应该是AIG高层在“战略经营层面”作出的决定，并且此种衍生金融业务也不违背当前美国保险业监管的规定，因此是一种“光明正大”的行为。但是在这种“光明正大”的失败

3、面前，到底谁应该为此承担责任呢？,乱世用重典萨班斯奥克斯利法案,随着美国安然公司、环球电信公司会计造假丑闻的披露，暴露出美国现行公司体制中存在着弊端。为整顿上市公司秩序、维护投资者信心，美国民主党参议员萨班斯（Sar-banes）和共和党众议员奥克斯利（Oxley）联合提出了萨班斯奥克斯利法案，该法于2002年7月美国总统布什签署获得通过。 萨班斯奥克斯利法案是继美国1933年证券法、1934年证券交易法以来又一部具有里程碑意义的法律，其效力涵盖了注册于美国证监会（SEC）之下的约14，000家公司，其中包括了大量的非美国公司。 该法案的严肃性在于:公司治理被正式纳入联邦法律管辖范围，越来越多

4、的财会欺诈者无论他是CEO还是CFO都将被投入监狱。安然和世通之后，美国大公司都在丑闻深渊边如履薄冰，抓坏蛋和将前车之鉴铭刻于法律条文自然成为这一阶段的主题。 萨班斯奥克斯利法案强调了公司内控的重要性，从管理者、内部审计及外部审计等几个层面对公司内控作了具体规定，并设定了问责机制和相应的惩罚措施。成为继20世纪30年代美国经济大萧条以来，政府制定的涉及范围最广、处罚措施最严厉的公司法律。,萨班斯奥克斯利法案,1.上市公司会计监管委员会 2.审计师的独立性 3.公司的职责 4.加强财务信息的披露 5.分析员的利益冲突 6.证券监管委员会的资源与权限 7.研究和报告 8.公司和刑事舞弊的责任 9.

5、加强对白领刑事犯罪的惩罚 10.公司税务申报表 11.公司的舞弊行为及其相应的责任,萨班斯奥克斯利法案实质意义,上市公司董事及高层管理人员的责任的加强 1.明确首席执行官和首席财务官对财务报表的书证责任：新法案要求上市公司的首席执行官（CEO）和首席财务官（CFO）对公司向美国证券交易委员会（以下简称SEC）提交的定期报表的真实准确性提供书面保证。第302条和第906条分别在民事和刑事方面直接规定了对上市公司的CEO和CFO的特别书证要求。 2.为了降低公司的经营风险，新法案禁止公司向董事和高层管理人员提供私人贷款。 3.董事和高层管理人员返还因公司虚假报表取得的激励性报酬和买卖股票收益。,第

6、404条:管理层对公司内部控制的评估,要求公司年报中包括一份“内部控制报告”，该报告应： 1.明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任； 2.包含管理层在财务年度期末对公司财务报告相关内部控制体系及程序的有效性的评估。 3.受托的上市公司审计师应按照上市公司会计监管委员会对审核约定所发布或采用的准则 4.就管理层关于内部控制的评估进行鉴证并提交报告。此类鉴证约定并不构成单独的约定主体； 5.SEC在提交的法案相关的报告中这样解释此条的立法目的：“委员会不希望审计师（对内部控制报告的）评估形成单独一份约定或者因此而导致审计费用的增加。” 6.指导SE

7、C进一步要求上市公司披露其是否为高级财务官员制定职业操守规范以及该规范的内容； 7.指导SEC修改其以8-K表格进行即时披露的相关规则，从而要求上市公司对任何职业操守规范的修改或废止事项立即进行披露。,内部控制实施的高昂代价,据财务经理国际(Financial Executives International, FEI )针对遵循SOX法案404节的实施成本对其公众成员公司进行了调查： 2004年7月调查了平均收入超过25亿美元的224个公众公司，计算SOX法案404节遵循成本的估计数额。结果显示，遵循成本总额估计为314万美元，被调查的公司预计，除年度审计费用外，要向审计师支付823200美

8、元的内部控制鉴证费用. 2005年3月，FEI调查了217个平均收入超过50亿美元的公众公司，来计量SOX法案404节的遵循成本。它们的总遵循成本平均为436万，其中内部成本134万美元，外部成本172万，审计费用130万。审计费用中还没有包括公司的财务报表审计费，比平均增长57%。,中国企业内部控制规范制定原则,内控标准原则： 立足国情，实行创新 突出重点，解决问题 降低成本，稳步推进 内控标准定位： 以财务报告真实可靠为主、兼顾其他控制目标的内部控制目标体系； 初步构建了以控制规范为基础、以评价规范为配套的内部控制标准体系； 着手探索以政府部门为引导、广大企业主动参与的内部控制实施体系。,

9、财政部、证监会、审计署、银监会、保监会 关于印发企业内部控制基本规范的通知 (财会20087号) 为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了企业内部控制基本规范，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。 二00八年五月二十二日,企业内部控制五大目标,

10、企业内部控制定义 内部控制是由企业董事会/监事会、管理层和全体员工共同实施的、旨在合理保证企业战略、经营的效率和效果、财务报告及管理信息的真实可靠和完整、资产的安全完整、遵循国家法律法规和有关监管要求的一系列控制活动。,企业内部控制目标,1.战略目标 2.营运目标 3.报告目标 4.资产目标 5.合规目标,案例：大唐电信会计信息迷雾,2006年10月28日，发布业绩预增公告，称经过公司财务部门初步测算，预计2006年全年实现盈利（上年同期亏损6.96亿元）。10月27日（周五），大唐电信收盘于10.88元，10月30日（周一）收盘于10.91元。 （600198.SH）的信任感被伤害了，一位全

11、仓购入大唐电信的投资者遭遇了4月5日跌停板后向第一财经日报表示：“我被愚弄了，大唐电信业绩不仅发生转变，而且要被*ST了。”大唐电信2007年4月5日跌停的直接原因，是其当天发布了2006年业绩预亏公告。而在五个多月前，大唐电信预计2006年将扭亏为盈。在这五个多月时间里，大唐电信股价上涨了80.97%，最高接近翻番。,内部控制5要素,企业目标,经 营 效 率 经 营 效 果,会计报告可信性,遵循法律法规,控制过程,内部控制,控制环境,风险评估,信息与交流,控制行为,监督,实施者,董 事 会,经 理 层,其 他 员 工,内部控制如何降低风险？,暴露的金额,发生的 可能性,风险的大小,内部控制的

12、核心理念,有效的 内部控制,风险与经营回报的良好平衡,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,传达管理理念 - 责任 - 义务 - 职权 - 人力资源 - 员工发展,设定管理基调 - 诚信 - 道德观念 - 能力,要素1: 控制环境,控制要素,控制类别,内部环境,公司治理环境 公司组织环境 人事环境 激励环境 文化道德环境,1.公司治理环境,2.公司组织环境,（1）组织设置的原则 权责对等 统一指挥 精干高效 目标原则 分工协作 市场适应,3.人事环境,岗位设置 作业配置 岗位关系 岗位资源配置 岗位任职资格（岗位人员选择） 特

13、别岗位人员特殊措施 工作轮换 强制休假 特别担保 责任保险,4.激励环境,1激励的基础 优奖 业绩评价 劣惩 2激励的方法 股权、股票期权、精神、物质 “两手都要抓，两手都要硬”,5.文化道德环境,软管理 隐形控制 制度真空的“填充物”,陈同海双规思考,2007年6月，经中共中央批准，中共中央纪委、监察部对中国石油化工集团公司原总经理、党组书记陈同海严重违纪问题进行立案检查。 陈同海在担任中国石油化工集团公司副总经理、总经理和兼任中国石油化工集团股份有限公司副董事长、董事长期间，利用职务便利，为他人谋取利益，收受钱款数额巨大；利用职权为情妇谋取巨额不正当利益；生活腐化。 陈老虎在集团内的霸道是

14、出了名的。每日挥霍4万元，一个月120万，一年就是1440万元，当纪委警告他要收敛些时，他大言不惭地说，我一年上交税款200亿，这点算什么？,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,管理/控制变化,确定并分析对实现企业 目标有影响的风险,要素2: 风险评估,控制要素,控制类别,1.风险识别,（1）识别内部风险应关注的因素 董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。 组织机构、经营方式、资产管理、业务流程等管理因素。 研究开发、技术投入、信息技术运用等自主创新因素。 财务状况、经营成果、现金流量

15、等财务因素。 营运安全、员工健康、环境保护等安全环保因素。 其他有关内部风险因素。,（2）识别外部风险应关注的因素 经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。 法律法规、监管要求等法律因素。 安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。 技术进步、工艺改进等科学技术因素。 自然灾害、环境状况等自然环境因素。 其他有关外部风险因素。,2.风险分析,评价风险的重要程度 评估风险发生的概率 考虑应当如何管理风险，即评估需要采取的措施。 风险规避 风险降低 风险分担 风险承受,标题,COSO2 企业风险管理构成,内部环境 风险管理哲学-风险文化-董事会-诚信与道德-

16、能力承诺-管理层哲学与经营风格-组织结构-责权划分-人力资源政策与实务-环境差异,信息与沟通 信息-战略性与整体系统-沟通,风险评估 固有风险、剩余风险-可能性和影响-定性与定量,工作方法、技巧-相关性,风险应对 确认风险应对-评价可能风险应对-选择应对-组合视角,控制活动 结合风险应对-控制行动类型-一般控制-应用控制-子公司具体情况,监控 持续-分别评价-报告不足,事项识别 事件-影响战略与目标之因素-工作方法和技巧-相互依存事件-事件分类-风险与机遇,目标设定 战略目标-相关目标-选定目标-风险偏好-风险容忍度,评估关键的风险,风险是您实现业务目标的现存的或潜在的障碍 什么因素可能会妨碍

17、本部门实现其关键的业务目标? 要成功, 需要完成一些必要的工作和程序, 而什么因素会阻碍这些工作和程序的完成和实现呢? 发生率: 这些风险中, 什么风险是最可能发生的? 影响: 哪些风险将对本部门实现其预定目标的能力产生最重大的影响? 有什么有效的控制机制可以减少这些风险及其影响?,企业风险管理架构,根据中国证监会要求证券公司治理准则（试行）设计的企业风险管理架构,董事会风险管理委员会,风险管理委员会应包括独立董事，且至少有三名成员。该委员会必须要高度独立，以监控运营单位的风险管理。,其职责有： 协助管理层决定公司的风险取向 负责建立并维护有效的风险管理 负责监控风险信息在公司纵向或横向报告的

18、过程，并对有关管理人员提供必要的协助 制定风险管理的政策和策略 提供适当的培训，在公司内部建立起一种具有风险意识的企业文化 为公司的业务部门建立内部风险政策和结构 设计风险管理的流程，并对其进行审查 协调各种对组织内部风险管理问题提供建议的职能行为 制定风险应对程序，包括或有事项、业务持续方案 为董事会和利益相关者编制风险报告,风险评值,风险评估,风险应对策略,实际的风险应对战略举例,风险应对方法,1.风险回避 企业对走出整体风险承受能力或者具体业务层次上的可接受风险水 平的风险，应当实行风险回避。 2.风险承担 企业对在整体风险承受能力和具体业务层次上的可接受风险水平之 内的风险，在权衡成本

19、效益之后无意采取进一步控制措施的，可以 实行风险承担。 3.风险降低 企业对在整体风险承受能力和具体业务层次上的可接受风险水平之 内的风险，在权衡成本效益之后愿意单独采取进一步的控制措施以 降低风险、提高收益或者减轻损失的，可以实行风险降低。 4.风险分担 企业对在整体风险承受能力和具体业务层次上的可接受风险水平之 内的风险，在权衡成本效益之后愿意借助他们力量，采取包括业务 分包、购买保险等进一步的控制措施以降低风险、提高收益或者减 轻损失的，可以实行风险分担。,平衡风险和内部控制管理,审计的范围,企业风险管理,预防,与管理层共同参与,重视交易,遵守职能,重视过程,协助管理层自我评价,内部审计

20、职能,管理层的期望,侦察,加强,咨询,举例: 企业目标, 风险和内部控制的关系,举例: 企业目标, 风险和内部控制的关系,举例: 企业目标, 风险和内部控制的关系,小组讨论: 请将前面讨论过的企业目标, 风险, 内部控制的关系综合起来, 并提出小组的见解:,讨论:企业目标, 风险和内部控制的关系,企业目标, 风险和内部控制的关系是什么?,确定目标,评估风险,行动计划/ 责任分配,分析控制,目标, 风险和内部控制,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,管理层发展方针贯彻的程序 直接的职能或活动管理 物质的控制 - 职权的分离,要

21、素3: 控制活动,控制要素,控制类别,实现目标的管理机制,控制活动,不相容职务的分离 授权批准 会计系统控制 预算控制 财产安全控制 电子信息技术控制 运营分析（风险评估抑或控制活动） 绩效考评,1.不相容职务的分离,2.授权批准,一般授权 特别授权 预警机制,3.会计系统控制,会计一方面可以从流程控制的角度发挥控制作用，另一方面，可以从信息控制的角度来发挥控制作用。 建立岗位责任制 可靠的凭证控制 完整的簿记控制 严格的核对控制 规范的账务处理流程 适当的会计政策和程序,4.预算控制,1预算编制模式 “自上而下”式的编制模式 “自下而上”式的编制模式 “自上而下”式和“自下而上”式的相互结合

22、 2预算考核,5.财产安全控制,限制接近 限制接近现金 限制接近其他易变现的资产 限制接近存货 限制接近档案资料 定期盘点和比较 保险,6.电子信息技术控制,1一般控制 （1）数据中心运行控制 （2）系统软件控制 （3）访问安全控制 （4）应用系统开发和维护控制 2应用控制 “制度”与“技术”之间具有互补性,评估适当的控制,能做什么工作来降低发生风险的可能性? 这些工作或活动现在存在吗? 足够吗? 现有的控制活动是否明确, 独特且没有彼此重复? 效率: 有没有更容易的或者成本更低的控制风险的方法? 效果: 这些控制活动是不是有效地降低了风险?,为管理和减少风险而制定的政策制度和程序,控制环境,

23、风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,要素4: 信息和沟通,控制要素,控制类别,经营和财务信息的准确性和及时性,获取内部和外部的信息,组织的沟通,信息与沟通,会计信息系统 统计信息系统 沟通（内部沟通、外部沟通） 常规的沟通渠道 非常规的沟通渠道 申诉、举报、网站、领导接待日,信息和沟通,人们往往认识不到信息和沟通是和控制相关联的 必须通过某种方式，在一定的时间之内明确、 获得并传达沟通相关信息以确保人们能够履行其职责。 信息系统提供有关财务、经营和法律法规的遵守等信息的报告，这些信息使企业的管理控制成为可能。 所有员工必须从高级管理层

24、获得明确的信息指令， 即所有人都必须认真看待和履行控制职责。,反舞弊机制,1.反舞弊的内容 在财务报告和信息披露方面弄虚作假。未经授权、滥用职权或者采取其他不法方式侵占、挪用企业资产。在开展业务活动中非法使用企业资产牟取不当利益。企业高级管理人员舞弊给企业内部控制和经营管理可能千万的重大影响。员工单独或者串通舞弊给企业造成损失。 2.完善投诉、举报管理制度 企业可以设置舞弊举报热线，明确投诉、举报处理程序、办理时限和办理要求确保投诉、举报成为企业反舞弊和加强内部控制的重要途径。,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,要素5:

25、监控,控制要素,控制类别,连续性的行动和 一次性的活动,反映严重问题的系统,监控系统的评价,监控,是确定控制结构是否有效及最大可能减少意外不测的关键 内控系统需要监控 内控系统的监控通过以下工作实现： 进行中的监控工作 单独的评估 (内部审计) 二者的结合 内部控制的不足应当逐级向上汇报，重大问题要报最高管理层和董事会。,监控,基本规范指出，企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。 持续性监控（一般监控或日常监控） 个别监控（专项监控） 缺陷报告（CEO、CFO、审计委

26、员会）,内部审计与内部控制,企业内部审计的设立与科学定位： 内部审计机构的职责： 审计会计帐目 稽查、评估内部控制制度 企业内部职能部门工作效能评估 向管理当局提出建议报告 内部审计部门的定位： 1、由审计委员会领导 1、由监事会领导 2、由董事会领导 3、由财务副总或财务总监领导 内部审计的主要目标： 审查和评价业务处理授权的全面性和准确性 审查和评价业务活动发生的真实性、合法性 审查和评价财务与会计处理程序的合法性、合理性 审查和评价各种经济信息资料的真实与完整性 评价经营目标的实现程度和管理控制系统的完备性,内部控制的局限,内部控制的局限主要表现在：,内部管理人员滥用职权、蓄意营私舞弊等

27、，导致内部控制失去应有的控制效能。 内部人员相互串通作弊导致相关内部控制失去作用。 内部人员素质不适应岗位要求，影响内部控制功能的正常发挥。 成本效益问题。 对于不经常发生或未预计到的经济业务，原有的控制可能不适用。临时控制若不及时会影响内部控制的作用。,各管理层内控职责,1.董事会2.管理层3.风险管理人员4.财务负责人5.内部审计人员6.企业员工,各管理层内控职责董事会1/6 董事会直接影响内部环境控制基础，其在内部控制中的重要职责表现为： 1.科学选择恰当的管理层并对其进行监督； 2.清晰了解管理层实施有效的风险管理和内部控制的范围； 3.知道并同意企业的最大风险承受能力； 4.及时知悉

28、最重大的风险以及管理层是否恰当地予以应对。,各管理层内控职责管理层2/6 管理层直接对一个企业的经营管理活动负责。企业总经理（首席执行官）尤其承担重要责任，其职责包括： 1.为高级管理人员提供领导和指引； 2.定期与主要职能部门营销、生产、采购、财务、人力资源等部门的高级管理人员进行会谈，以便对他们的职责，包括他们如何管理风险，进行核查。,各管理层内控职责风险管理人员3/6 风险管理人员的职责包括： 1.建立风险管理政策； 2.确定各业务单元对于风险管理的权利和义务； 3.提高整个企业的风险管理能力； 4.指导风险管理与其他经营计划和管理活动的整合； 5.建立一套通用的风险管理语言； 6.帮助

29、管理人员制订报告规程； 7.向总经理（首席执行官）报告进展和暴露的问题。,各管理层内控职责财务负责人4/6 财务负责人的活动应当贯穿企业经营管理全过程，而不仅仅是财务活动。 其在制订目标、确定战略、分析风险和作出管理决策等时应扮演一个关键的角色。 管理层应当赋予财务负责人参与决策的权力，并支持其关注经营管理的更广范畴，局限财务负责人的关注领域和知悉范围，会削弱、制约企业的管理能力。,各管理层内控职责内部审计人员5/6 内部审计人员在评价内部控制的有效性，以及提出改进建议方面起着关键作用。 企业应当授予内部审计部门适当的权力以确保其审计职责的履行；对内部审计部门负责人的任免应当慎重；内部审计部门

30、负责人与董事会或审计委员会应保持畅通沟通；应当赋予内部审计部门追查异常情况的权力和提出处理处罚建议的权力。,各管理层内控职责企业员工6/6 所有员工都在实现内部控制中承担相应职责并发挥积极作用。 管理层应当重视员工的作用，并为员工反映诉求提供信息通道。,内控的建立和执行,内部控制主体 内部控制客体 内部控制目标 内部控制方式,（一）融于管理机制的内部控制要素,1.内部控制主体,企业内部控制基本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 “内部”的原则性标准 内部控制主体的层次性,2.内部控制客体“内部”的派生标准,控制的客体包括 财产（可扩展至资

31、源？） 拥有所有权； 信息 拥有控制权； 交易（交易双方至少有一方属于“内部人”） 拥有使用权。,3.内部控制目标,企业内部控制基本规范中，内部控制的目标是： 合理保证企业经营管理合法合规 资产安全 财务报告及相关信息真实完整 提高经营效率和效果 促进企业实现发展战略。,4.内部控制方式,基本规范要求，企业建立与实施有效的内部控制，应当包括的要素： 内部环境实施内部控制的基础（包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等） 风险评估及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。 控制活动根据风险评估结果，采用相应的控制措施，将风险控制在

32、可承受度之内。 信息与沟通及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。 内部监督对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。,融于管理体系中的内部控制手段,组织控制 组织治理 组织结构 岗位设置 流程控制 信息控制 人事控制 物理控制,基本规范中的内部控制要素,内部环境 风险评估 控制活动 信息与沟通 内部监督,（二）内部控制制度设计原则,全面性 重要性 制衡性 适应性 成本效益,（三）企业内部控制的10种方法,1、 组织规划控制： 职务不兼容制度 (1)杜绝交叉任职 (2) 领导班子分设 管理控制机构； (1)法人治理结构; (2)管理部门设置 2 、 授权批准控制； (1)批准范围; (2)批准层次 (3)批准的责任; (4)