企业内部控制规范解读与实施_92页

企业内部控制新发展和新要求——《企业内部控制规范》解读与实施北京国家会计学院郑洪涛博士/副教授14July2008《InternalControlinBusinessEnterprises》2讲座大纲CH1企业内部控制新特点CH2企业内部控制目标CH3企业内部控制五大要素CH4各管理层内控职责CH5内部控制制度设计14July2008《InternalControlinBusinessEnterprises》3危险的风险管理——世界内部控制的新特点法国兴业银行的内控遗产14July2008《InternalControlinBusinessEnterprises》4法国兴业银行失控的教训1.慎重对待不相容岗位之间的人员流动问题2.加强对清算、风险管理系统以及交易密码的管理3.重视日常监控或风险管理中发现的蛛丝马迹4.管理层面对下属机构或人员的巨额盈利及优异的业绩应当保持足够的警觉性电脑天才盖维耶尔搞垮法国兴业银行躲过监控，盗用多个系统密码，篡改数据14July2008《InternalControlinBusinessEnterprises》5邯郸农行被盗案•2007/4/14•5100万元巨款，堆在一起是什么感觉？就算都是百元大钞，叠在一起也有50米高，总重量将近两吨，可是，这笔谁都没办法一下搬动的巨款，居然从河北邯郸市农业银行的金库里消失的无影无踪，这起银行盗窃大案，震惊全国，当中的种种细节波云诡异，迷雾重重，如此离奇的案件究竟是怎么发生的？马向景任晓峰14July2008《InternalControlinBusinessEnterprises》6邯郸农行被盗案1.银行忽视对员工的思想教育和问题排查，是发生案件的源头。2.银行管理制度的缺失和形同虚设，是发生这起案件的漏洞。3.银行管理责任落实和追究不到位，是造成案件的祸根。在外人看来，银行有严密的管理体系，每项业务、每个部位都有人负责管理，应该万无一失。14July2008《InternalControlinBusinessEnterprises》7陈同海双规思考•陈同海身为中国石油化工集团总经理的权力来源于人民，理应接受人民的监督，可事实上谁是人民，到现在俺还弄不明白，因此陈同海演变为该集团内的陈老虎也在情理之中了。听说其在集团内的霸道是出了名的。每日挥霍4万元，一个月120万，一年就是1440万元，当纪委警告他要收敛些时，他大言不惭地说，我一年上交税款200亿，这点算什么？•去年6月，经中共中央批准，中共中央纪委、监察部对中国石油化工集团公司原总经理、党组书记陈同海严重违纪问题进行立案检查。•陈同海在担任中国石油化工集团公司副总经理、总经理和兼任中国石油化工集团股份有限公司副董事长、董事长期间，利用职务便利，为他人谋取利益，收受钱款数额巨大；利用职权为情妇谋取巨额不正当利益；生活腐化。14July2008《InternalControlinBusinessEnterprises》8内部控制的号角在全球吹响•美国《萨班斯·奥克斯利法案》用法律强制性手段要求上市公司以会计信息真实与完整为线索提交企业内控机制及报告体系。•英国《公司治理综合法典》指导意见(TurnbullGuidance)的目的是帮助那些在美国证监会（SEC）注册的非美国企业应对内部控制要求，这些企业可选择采用该指导意见作为其内控框架，而SEC也认可该指南在评估内部控制有效性方面的权威性。•加拿大安大略证券委员会之Multi-lateralInstrument52-109（与SOX302相似）和52-111（与SOX404相似）要求企业与年报一同提交相关内部控制报告。14July2008《InternalControlinBusinessEnterprises》9•银行业也在积极改善内部控制系统。2004年6月，十国集团发布了被称为“BaselII”的资本充足性框架，BaselII中744和745节要求就内部控制架构进行独立检查。•欧盟2002年改革白皮书定义的内部控制包括以下五个方面：控制环境；业绩和风险管理；信息和沟通；控制活动，及审计和评估等；经合发展组织（OECD）以原则为基础的方法提出内控相关要求，提升透明度的举措包括足够的会计法规要求；独立外部审计和公司内部控制。•《信息及相关技术控制目标》（ControlObjectivesforInformationandRelatedTechnology，COBIT）得到世界各国监管当局、上市公司审计师，财金从业人员和信息技术人员的认可。COBIT由IT治理协会制定发布，是信息技术治理方面的一个开放性标准。作为良好IT安全和控制实务的标准，COBIT为管理当局、企业用户和信息系统审计、控制及安全从业人员提供了一个参考框架。14July2008《InternalControlinBusinessEnterprises》10乱世用重典——《萨班斯·奥克斯利法案》•随着美国安然公司、环球电信公司会计造假丑闻的披露，暴露出美国现行公司体制中存在着弊端。为整顿上市公司秩序、维护投资者信心，美国民主党参议员萨班斯（Sar-banes）和共和党众议员奥克斯利（Oxley）联合提出了《萨班斯—奥克斯利法案》，该法于2002年7月美国总统布什签署获得通过。•《萨班斯—奥克斯利法案》是继美国1933年《证券法》、1934年《证券交易法》以来又一部具有里程碑意义的法律，其效力涵盖了注册于美国证监会（SEC）之下的约14，000家公司，其中包括了大量的非美国公司。•该法案的严肃性在于:公司治理被正式纳入联邦法律管辖范围，越来越多的财会欺诈者――无论他是CEO还是CFO都将被投入监狱。安然和世通之后，美国大公司都在丑闻深渊边如履薄冰，抓坏蛋和将前车之鉴铭刻于法律条文自然成为这一阶段的主题。•《萨班斯—奥克斯利法案》强调了公司内控的重要性，从管理者、内部审计及外部审计等几个层面对公司内控作了具体规定，并设定了问责机制和相应的惩罚措施。成为继20世纪30年代美国经济大萧条以来，政府制定的涉及范围最广、处罚措施最严厉的公司法律。14July2008《InternalControlinBusinessEnterprises》11《萨班斯—奥克斯利法案》1.上市公司会计监管委员会2.审计师的独立性3.公司的职责4.加强财务信息的披露5.分析员的利益冲突6.证券监管委员会的资源与权限7.研究和报告8.公司和刑事舞弊的责任9.加强对白领刑事犯罪的惩罚10.公司税务申报表11.公司的舞弊行为及其相应的责任14July2008《InternalControlinBusinessEnterprises》12《萨班斯—奥克斯利法案》实质意义•上市公司董事及高层管理人员的责任的加强1.明确首席执行官和首席财务官对财务报表的书证责任：新法案要求上市公司的首席执行官（CEO）和首席财务官（CFO）对公司向美国证券交易委员会（以下简称SEC）提交的定期报表的真实准确性提供书面保证。第302条和第906条分别在民事和刑事方面直接规定了对上市公司的CEO和CFO的特别书证要求。2.为了降低公司的经营风险，新法案禁止公司向董事和高层管理人员提供私人贷款。3.董事和高层管理人员返还因公司虚假报表取得的激励性报酬和买卖股票收益。14July2008《InternalControlinBusinessEnterprises》13第404条:管理层对公司内部控制的评估•要求公司年报中包括一份“内部控制报告”，该报告应：–明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任；并且–包含管理层在财务年度期末对公司财务报告相关内部控制体系及程序的有效性的评估。•受托的上市公司审计师应按照上市公司会计监管委员会对审核约定所发布或采用的准则就管理层关于内部控制的评估进行鉴证并提交报告。此类鉴证约定并不构成单独的约定主体；•SEC在提交的法案相关的报告中这样解释此条的立法目的：“委员会不希望审计师（对内部控制报告的）评估形成单独一份约定或者因此而导致审计费用的增加。”•指导SEC进一步要求上市公司披露其是否为高级财务官员制定职业操守规范以及该规范的内容；•指导SEC修改其以8-K表格进行即时披露的相关规则，从而要求上市公司对任何职业操守规范的修改或废止事项立即进行披露。14July2008《InternalControlinBusinessEnterprises》14内部控制实施的高昂代价•据财务经理国际(FinancialExecutivesInternational,FEI)针对遵循SOX法案404节的实施成本对其公众成员公司进行了调查：•2004年7月调查了平均收入超过25亿美元的224个公众公司，计算SOX法案404节遵循成本的估计数额。结果显示，遵循成本总额估计为314万美元，被调查的公司预计，除年度审计费用外，要向审计师支付823200美元的内部控制鉴证费用•2005年3月，FEI调查了217个平均收入超过50亿美元的公众公司，来计量SOX法案404节的遵循成本。它们的总遵循成本平均为436万，其中内部成本134万美元，外部成本172万，审计费用130万。审计费用中还没有包括公司的财务报表审计费，比平均增长57%。14July2008《InternalControlinBusinessEnterprises》15内部控制实施的高昂代价•根据美国上市公司会计监管委员会（PCAOB）2005年4月的政策报告(policystatement)，SOX法案404节对那些参与实施的公司来说已证明是一个巨大的挑战，公司发现这个要求非常昂贵而且苛刻，很多己经怀疑成本一收益的合理性。•但是，有证据表明已经实现了内部控制报告要求的收益，而且投资者对SOX法案404节的目标表达了强烈的支持，包括SOX法案404节提高了财务信息的透明度。根据对222名财务执行官的调查，79%的人报告说在遵守了SOX法案404节之后他们公司已经具有了强有力的内部控制；74%的人说他们公司从遵守SOX法案中获得了收获:33%的人说，遵守SOX法案降低了财务欺诈的风险。14July2008《InternalControlinBusinessEnterprises》16CH1企业内部控制新特点14July2008《InternalControlinBusinessEnterprises》17CH1企业内部控制概述1.企业内部控制定义2.企业内部控制特点3.企业内部控制发展4.企业内部控制现状14July2008《InternalControlinBusinessEnterprises》18中国内部控制实践与发展•温家宝总理在十届全国人大四次会议上的政府工作报告•…引进借鉴国外先进管理经验，规范公司治理结构，完善内控机制与管理制度，推进制度创新…….•2006年03月05日14July2008《InternalControlinBusinessEnterprises》19中国企业内部控制规范制定原则内控标准原则：1.立足国情，实行创新2.突出重点，解决问题3.降低成本，稳步推进内控标准定位：1.以财务报告真实可靠为主、兼顾其他控制目标的内部控制目标体系；2.初步构建了以控制规范为基础、以评价规范为配套的内部控制标准体系；3.着手探索以政府部门为引导、广大企业主动参与的内部控制实施体系。14July2008《InternalControlinBusinessEnterprises》20应用指南具体规范中国企业内部控制标准体系基本规范基本规范和相关具体规范制定的详细解释和说明，主要是为某些特殊行业、特殊企业、特定内控程序提供操作性强的指引根据基本规范，对企业办理具体业务与事项从内部控制角度作出的具体规定。规定内部控制的基本目标、基本要素、基本原则和总体要求，是制定具体规范和应用指南的基本依据，在内控标准体系中起统驭作用14July2008《InternalControlinBusinessEnterprises》21中国企