证券公司内部控制分析(0909新员工培训)

证券公司内部控制分析广发证券稽核部二00九年九月主要内容内部控制概念内部控制目标内部控制框架内部控制类型内部控制方法和手段一、内部控制概念证券公司为实现经营目标，根据经营环境变化，对证券公司经营管理过程中的风险进行识别、评价和管理的制度安排、组织体系和控制措施。内部控制是什么？控制为什么++控制什么谁来控制帮助达成组织目标风险董事会经营管理层员工层定义=COSO委员会倡导的内部控制理念-控制是一个动态过程。上至董事会，下至基本作业单位，人人皆应执行内部控制制度-内部控制无所不在，无所不有-内控不一定是“紧身衣”，也不一定是一系列“禁令”，而是帮助组织实现目的和目标的积极工具，控制是帮助性而不是限制性的。-内控有助于处理公司为达到目标所面临的风险-强调内控与公司经营过程的结合，而不是凌驾于公司的经营活动之上。二、内部控制目标《COSO企业风险管理-整合框架》战略目标（strategic）：是指企业的高层次目标经营目标(operations)：高效率地利用资源报告目标(reporting)：指企业报告的有效性，包括内部报告和外部报告，包括财务信息和非财务信息。合规目标(compliance)：符合适用的法律和法规内部控制应该能为企业的目标的实现提供合理的保证企业内部控制基本规范内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。三、内部控制框架－美国的COSO委员会（反虚假财务报告委员会）于1992年公布的内部控制框架五要素，《指引》据此制定。控制环境风险评估控制活动信息与沟通监督信息与沟通控制环境风险评估控制活动监控COSO内控模型内部控制五要素：信息与沟通控制环境风险评估控制活动监控构成一个企业的氛围，是其他内部控制要素的基础内部控制五要素：COSO内控模型案例演绎一场悲剧，短短10分钟就已足够．2008年9月15日上午10点，拥有158年历史的美国第四大投资银行——雷曼兄弟公司向法院申请破产保护。消息转瞬间通过电视、广播和网络传遍地球的各个角落。令人匪夷所思的是，在形势如此明朗的情况下，德国国家发展银行居然在10分钟后．按照外汇掉期协议的交易，通过计算机自动付款系统，向雷曼兄弟弟公司即将冻结的银行账户转入了3亿欧元。毫无疑问，这3亿欧元将是肉包子打狗有去无回。案例转账风波曝光后，德国社会各界大为震惊．舆论哗然，普遍认为．这笔损失本不应该发生．因为此前一天，有关雷曼兄弟公司破产的消息已经满天飞，德国国家发展银行应该知道交易存在巨大风险，并事先做好防范措施才对。德国销量最大的《图片报》，在9月18日头版的标题中．指责德国国家发展银行是迄今“德国最愚蠢的银行”．此事惊动了德国财政部，财政部长佩尔．施泰因布吕克发誓，一定要查个水落石出并严惩相关责任人：人们不禁要问，短短10分钟里，德国国家发展银行内部到底发生了什么事情，从而导致出现如此愚蠢的低级错误?一家法律事务所受财政部的委托，带着这个问题进驻银行进行全面调查．案例法律事务所的调查员先后询问了银行各个部门的数十名职员，几天后，他们向国会和财政部递交了一份调查报告，调查报告并不复杂深奥．只是一一记录了被询问人员在这10分钟内忙了些什么。然而，答案就在这里面。看看他们忙了些什么——案例首席执行官乌尔里奇·施罗德：我知道今天要按照协议预先的约定转账，至于是否撤销这笔巨额交易，应该让董事会开会讨论决定．。案例董事长保卢斯：我们还没有得到风险评估报告，无法及时做出正确的决策。董事会秘书史里芬：我打电话给国际业务部催要风险评估报告，可那里总是占线，我想还是隔一会儿再打吧。案例国际业务部经理克鲁克：星期五晚上准备带上全家人去听音乐会，我得打电话提前预订门票。国际业务部副经理伊梅尔曼：忙于其他事情，没有时间去关心雷曼兄弟公司的消息。案例负责处理与雷曼兄弟公司业务的高级经理希特霍芬：我让文员上网浏览新闻，一旦有雷曼兄弟公司的消息就立即向我报告，当时我正要去休息室喝杯咖啡．文员施特鲁克：10：03．我在网上看到了雷曼兄弟公司向法院申请破产保护的新闻．马上就跑到希特霍芬的办公室，可是他不在，我就写了张便条放在办公桌上，我想他回来后会看到的。案例结算部经理德尔布吕克：今天是协议规定的交易日子，我没有接到停止交易的指令，那就按照原计划转账吧。结算部自动付款系统操作员曼斯坦因：德尔布吕克让我执行转账操作，我什么也没问就做了。案例信贷部经理莫德尔：我在走廊里碰到了施特鲁克，他告诉我雷曼兄弟公司破产的消息，但是我相信希特霍芬和其他职员的专业素养，一定不会犯低级错误，因此也没必要提醒他们。案例公关部经理贝克：雷曼兄弟公司破产是板上钉钉的事，我想跟乌尔里奇·施罗德谈谈这件事．但上午我要会见几个克罗地亚客人，我想等下午再找他也不迟，反正不差这几个小时。案例德国经济评论家哈恩说，在这家银行。上到董事长，下到操作员，没有一个人是愚蠢的，可悲的是，几乎在同一时间，每个人都开了点小差．结果加在一起就创造出了“德国最愚蠢的银行”。信息与沟通控制环境风险评估控制活动监控风险是一种潜在的问题或损失。风险评估：确定什么地方可能出错，会有什么影响？内部控制五要素：COSO内控模型风险识别与评估公司应能及时识别、确认在实现经营目标过程中的风险,并通过合理的制度安排和风险度量方法对经营环境持续变化所产生的风险及承受能力进行适时评估。风险识别与评估1、目标设定：企业风险管理的基础性前提2、风险识别：明确风险在哪里3、风险评估：是在风险识别的基础上，对风险进行计量、分析、判断、排序，看风险发生的频率有多高，损失的程度有多大。4、风险应对：减少损失概率或降低损失程度风险应对策略1、回避风险：采取措施退出会给企业带来风险的活动。2、降低风险：减少风险发生的可能性、减少风险的影响或者两者同时减少。3、转移风险：通过转嫁或与他人共担一部分风险来降低风险发生的可能性或影响。4、承受风险：承担由风险事故所造成的损失信息与沟通控制环境风险评估控制活动监控为防范风险所采取的措施和行动。内部控制五要素：COSO内控模型练习：就个人所负责的某一项业务，进行风险识别与评估、控制业务环节业务目标风险识别风险评估风险应对控制活动与措施信息与沟通控制环境风险评估控制活动监控为了实现控制目标，保证内部控制各个要素的可靠性，有关信息必须及时沟通。信息沟通贯穿于整个控制内部控制的神经系统内部控制五要素：COSO内控模型寓言一则捕鸟人张巨网于林下，获鸟甚多。旁面有一个人观看，发现一个鸟头只钻一个网眼，就认为张那么大的网实在没有必要，回去后，他用一截一截的短绳结成一些小圈圈，用来捕鸟，结果是徒劳无功。信息与沟通控制环境风险评估控制活动监控监督和评估内部控制系统设计合理性和运行有效性。内部控制五要素：COSO内控模型内部控制评价模版业务环节业务目标风险识别风险评估风险应对控制活动与措施控制活动是否充分控制活动是否运行有效四、内部控制主要类型预防性控制检查性控制纠正性控制预防性控制是为了防止错误和舞弊的发生而采取的控制，是事前控制。检查性控制是确保把已经发生和存在的错误检查出来的一种控制，是完善内部控制系统的一个基本组成因素。纠正性控制是对那些由检查性控制查出来的问题进行纠正的控制。五、内部控制的手段和方法组织规划控制授权批准控制文件记录控制实物保全制度人力资源控制内部报告控制客户关系控制1、组织规划控制对企业组织机构设置、职务分工的合理性和有效性进行控制。-清楚确定员工的职责-岗位说明2、授权批准控制单位内部的各级管理层必须在授权范围内行使相应职权，经办人员也必须在授权范围内办理业务。3、文件记录控制保持良好的记录，保证记录的准确、可靠。准确和可靠＝每个人都清楚谁做了什么，何时做的工作，有什么样的工作业绩，应当承担什么样的责任。4、实物保全控制包括：(1)限制直接接触，限制直接接触主要指严格限制无关人员对实物资产的直接接触，只有经过授权批准的人员才能够接触资产。限制直接接触的对象包括限制接触现金、其他易变现资产与存货。(2)定期盘点，建立资产定期盘点制度，并保证盘点时资产的安全性。(3)记录保护，应对企业各种文件资料(尤其是资产、财务、会计等资料)妥善保管，避免记录受损、被盗、被毁的可能。5、人力资源控制包括：(1)建立严格的招聘程序，保证应聘人员符合招聘要求。(2)制定员工工作规范，用以引导考核员工行为。(3)定期对员工进行培训，帮助其提高业务素质，更好地完成规定的任务。(4)加强考核和奖惩力度，应定期对职工业绩进行考核，奖惩分明。(5)工作岗位轮换，可以定期或不定期进行工作岗位轮换，通过轮换及时发现存在的错弊情况。同时也可以挖掘职工的潜在能力。6、内部报告控制建立内部管理报告体系，全面反映经济活动，及时提供业务活动中的重要信息。7、客户关系控制审核客户身份、重要客户资质调查、风险客户监控、客户回访和需求调查等谢谢各位！