内部控制与风险管理框架

内部控制与风险管理框架专题2011年3月引子:日本核危机与内部控制技术缺陷一旦燃料棒过热核泄漏几率九成早在1972年，美国原子能源委员会专家就曾建议全面停用“Mark1”沸水反应堆技术，因为一旦燃料棒过热，安全壳容易爆裂，并造成核泄漏，几率高达9成。设备老化老爷车开上高速出事是早晚的曾任东芝公司核电站设计师的后藤政志说，可以初步认定福岛第一核电站1号机组发生的放射性物质泄漏事故是核电站抗震能力不足和设备老化所致。设计漏洞七成核反应堆建在地震高危区国际原子能组织(IAEA)早在2008年就指出，日本的核电站不足以抵挡大地震的破坏，存在着巨大的安全隐患。然而，这一问题却未能得到日本方面的重视。引子:日本核危机与内部控制监管缺位自己经营自己监管难免糊弄在这次引发全球担忧的核危机爆发后，美国彭博社评论称，福岛核电站看不到头的灾难背后，是日本核能行业数十年来伪造安全报告、隐瞒死亡事故和对地震危险性估计不足等丑相百出。日本负责核电站安全检查的部门是原子力安全和保安院，直属日本经产省。由于日本发展核电主要依循“国策民营”的模式，即由民间企业出头来经营核电事业，而他们的顶头上司就是日本经产省。“自己经营，自己监管，难免会监管不严，糊弄了事。”专家称福岛核电站“放射性烟羽”或将遍布北半球灾难考验日本民众道德底线抢劫和偷窃事件增加中国各地食盐抢购已经平息销量大幅减少引子:扁鹊的医术《史记》载，魏文侯曾问扁鹊说：“你们三兄弟中谁最善于当医生？”扁鹊回答说：“长兄医术最好，中兄次之，自己最差。”文侯说：“可以说出来听一听吗？”扁鹊说：“长兄治病，是治于病情未发作之前，由于一般人不知道他事先能铲除病因，所以他的名气无法传出去。中兄治病，是治于病情初起之时，一般人以为他只能治轻微的小病，所以他的名气只及于乡里。而我是治于病情严重之时，在经脉上穿针管来放血，在皮肤上敷药，所以都以为我的医术最高明，名气因此响遍天下。”引子:扁鹊的医术故事的管理学启示事后控制不如事中控制，事中控制不如事前控制可惜大多数的事业经营者均未能体会到这一点总是等到错误的决策造成了重大的损失才寻求弥补总是事后弥补，亡羊补牢，为时已晚为何不“未雨绸缪”，防患于未然过去的十年：充满变动与不确定性2000：“年市”与千年虫2001：9112002：安然世通与其他公司丑闻2002-03：新管制规则与立法2004-07：突出财务控制2008：全球金融与经济危机2009：经济的复苏与向好下一个十年：有什么样的预测2011：千年极冷2012：世界末日？？？……百年一遇年年遇，历史罕见月月见我们应如何应对？一个引起足够重视的问题研究：据最新研究报告显示：守业要比创业难！全球大部分超级富豪过去20年都不能守住巨额财富，“败家率”高达80%！《福布斯》最新全球400名首富排行榜与20年前相比，结果发现平均每5名中只有1名屹立不倒，而富过20年者寥寥无几！这是为什么呢？是管理不善？内控不严，还是有变化规律？他们为什么没有能够防范失败的风险？在世界500强企业的排行榜上，每年都有10%左右的企业被淘汰出500强，并且，每一个被淘汰者之所以被淘汰，基本上都基于经营与管理不善的原因。应当看到，这些曾经被淘汰出局的强者案例所揭示的经验与教训，对于后来人无疑是一个又一个很好的警示，对企业理财具有特别重要的借鉴作用与现实意义。目前，我国大量的中小型企业甚至微型企业如雨后春笋般进入市场，在“出身率高”的背后有一个令人关注的“成长性”问题。据有关部门统计，目前我国68％的中小企业生命周期都不超过5年，是什么影响了中小企业的寿命呢?有专家认为主要原因是管理不善、控制不严！警告有人曾经对公司失败的原因做过汇总统计：在失败原因的百分比中，因为疏忽占4%，诈欺占2%，灾祸1%，经营管理不善91%，其他不知因素2%。从中可以看到，90％以上的企业失败都可能与管理失控有关。失控导致失败近10多年来，中国商界风云诡谲，每隔一两年便有一些庞大而知名的企业轰然倒地。在《大败局》的众多案例中，那些曾经不可一世的企业家们缺乏现实的控制感和控制艺术大概是最为致命的弱项——仰融无法控制华晨、唐万新无法控制德隆、顾雏军无法控制科龙、宋如华无法控制托普、李经纬和赵新先无法控制他们一手创办的健力宝和三九，等等，一切悲剧都潜伏着惊人一致的逻辑。1981年，当有点口吃的杰克·韦尔奇被任命为GE新总裁后，他跑到洛杉矶附近的一个小城市去拜访当世最伟大的管理学家彼得·德鲁克，他问的第一个问题就是：“我怎么控制GE下面的上千家公司？”一切伟大的治理都是从学习控制开始的。——吴晓波《大败局》内控与谁有关大企业：治理层_“三会”管理层_高管、中干有志上位者中小企业：所有者，小老板经营者专业人士企业：财务总监、财务经理、内部审计师„中介：注册会计师、管理咨询师、注册内部控制师？《企业内部控制配套指引》的发布2010年4月26日，财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会，隆重发布了《企业内部控制配套指引》（以下简称配套指引）。与《内部控制基本规范》、企业内部控制制度共同构成了一个完整的内部控制规范体系。《企业内部控制配套指引》的实施2011-1-1，在境内外同时上市的公司，60多家2012-1-1，沪深主板，1000多家择机，中小板和创业板鼓励，非上市大中型企业《企业内部控制配套指引》的实施执行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。《企业内部控制配套指引》的结构核心，“如何控制”，设计（建设）评价指引审计指引应用指引CPA外部审计（鉴证、审核）内部控制咨询、培训内部控制审计注册会计师的新业务同一事务所不能同时做公司管理层自我评价《企业内部控制配套指引》的结构评价指引审计指引应用指引1.组织架构2.发展战略3.人力资源4.社会责任5.企业文化控制环境类控制手段类控制活动类6.资金活动7.采购业务8.资产管理9.销售业务10.研究与开发11.工程项目12.担保业务13.业务外包14.财务报告15.全面预算16.合同管理17.内部信息传递18.信息系统第一部分内部控制的发展与演变一、内部控制的渊源和早期发展二、内部控制的初步形态：内部牵制三、内部控制理论和实践的分野四、内部控制的发展与演变五、国际上较有影响的内部控制准则或指南六、我国内部控制规范建设的情况一、内部控制的渊源和早期发展内部控制的渊源十分久远，自从有了人类的群体活动和组织之后，就会产生对组织的成员及其活动进行控制的需要内部控制的发轫最早可以追溯到公元前3600年—公元前3200年的苏美尔文化时期古埃及、古波斯、古希腊、古罗马和古代中国都有原始内部牵制制度的雏形原始的内部牵制制度最早是为部落、城邦、庄园、国家服务的中世纪资本主义生产关系萌芽，商业组织开始出现，内部牵制进入企业领域，开启了一个广阔的发展空间控制（control）一词最早产生于17世纪，其原始含义是“由登记者之外的人对帐册进行的核对和检查”二、内部控制的初步形态：内部牵制内部控制是从内部牵制（internalcheck）的基础上发展起来的20世纪以前，盛行的观念和实务都停留在内部牵制阶段内部牵制的目的是纠错防弊，其前提性假设是：两个或多个人犯同一种错误的概率较小，两个或多个人串通舞弊的可能性较小，难度较大内部牵制的基本思路是分工和牵制主要的牵制机能包括：分权牵制、实物牵制、机械牵制和簿记牵制三、内部控制理论和实践的分野审计视角下的内部控制20世纪以后，审计职业界出于摆脱全面查核、提高审计效率的考虑，开始关注内部控制20世纪中叶，审计和内部控制的发展不断交织，进而互动和耦合，直接导致了制度基础审计模式的诞生此后，内部控制逐渐确立了在审计中的地位，成为推动审计模式演变和探索审计理论与方法的重要因素之一内部控制与审计的交叉和耦合，是推动内部控制理论与实践发展的最主要的力量管理视角下的内部控制现代管理学说把控制看作管理的一项核心职能，围绕着管理所展开的控制研究和实践，是内部控制发展的一个重要分支，我们一般把这个分支统称为管理控制(计划\指挥\组织\控制\协调)几乎所有的著名管理大师，包括法约尔、德鲁克、钱德勒、罗宾斯等，在他们的管理学著作中，都涉及到控制问题围绕着管理控制，形成了自我控制论、控制过程论、控制系统论、控制动力论、生态控制论等多个分支这个学派随着控制论、系统论和现代管理学的发展而不断发展而专以控制研究而著称的前沿观点以哈佛大学西蒙斯教授的管理杠杆理论最具代表性战略管理会计视角下的内部控制随着现代管理会计的发展，战略管理会计学派的一个分支将组织内的控制系统区分为战略规划、管理控制和作业控制三个层次管理控制主要是多事业部制的公司对其战略业务单元（SBU）所进行的战略业绩考评和控制系统这个学派的主要代表是哈佛大学的安东尼教授和卡普兰教授四、内部控制的发展与演变内部控制阶段1936，AIA，《独立公共会计师对财务报表的检查》，首次提出内部控制的概念注册会计师在制定审计程序时，应考虑的一个重要因素是审查企业的内部牵制和控制，企业的会计制度和内部控制越健全，财务报表需要测试的范围就越小内部控制是为了保护公司现金和其他资产，核对簿记的准确性，而在公司内部采用的手段和方法1938年，麦克森—罗宾斯事件：PW的审计程序中缺少对内部控制和会计处理程序的审查1939年10月，AIA审计程序委员会发布SAP1《审计程序的扩展》，首次增加内部控制审查的内容1940年10月，SEC正式要求审计师在签署的审计报告中增加类似的内容1949年，AIA审计程序委员会（CAP），《内部控制：一个协调的系统要素及其对管理层和独立公共会计师的重要性》，首次给出内部控制的权威定义内部控制包括组织的计划和为了保护资产、核对会计资料准确性和可靠性、提高经营效率、以及促使遵循管理层所制定的各项政策所采取的各种方法和措施内部控制系统阶段1958年10月，CAP发布了SAP29“独立审计师评价内部控制的范围”，将内部控制划分为会计控制和管理控制1963年10月，CAP在SAP33“审计准则与程序（汇编）”中强调：独立审计师应主要检查会计控制1972年11月，SAP54“审计师对内部控制的研究与评价”，对管理控制和会计控制的定义进行了修订和充实1972年11月，AudSEC发布SAS1“审计准则和程序汇编”会计控制包括组织的计划和与保护资产和保证财务资料的可靠性有关的程序和记录管理控制包括但不限于组织的计划和与管理层授权办理经济业务的决策过程有关的程序和记录1977年，《反国外腐败行为法案》（FCPA），要求公众公司保持充分的内部会计控制，采纳SAS1的定义1979年，SEC要求公众公司在年度报告中增加管理层报告，对公司内部会计控制是否为FCPA规定的内部控制目标提供合理保证作出说明，并要求注册会计师进行审查、发表意见内部控制结构阶段1988年4月，ASB发布SAS55“财务报表审计中对内部控制的考虑”，引入“内部控制结构”的概念内部控制结构包括为合理保证企业特定目标的实现而建立的各项政策和程序内部控制结构包括3个要素：控制环境，会计体系，控制程序内部控制整合框架阶段1992年9月，COSO发布《内部控制——整合框架》（1994年局部修订）COSO成立于1987年，是Treadway委员会（反欺诈财务报告全国委员会）的发起组织委员会，后者成立于1985年，由AICPA，AIA，IIA，FEI，IMA发起成立内部控制的3个目标：经营的有效性和效率，财务报告的可靠性，对适用法律法规的遵循内部控制的5个构成要素：控制环境，风险评估，控制活动，信息与沟通，监控1995年12月，ASB发布SAS78“财务报表审计