企业内部控制与风险管理（PPT60页）

1企业内部控制与风险管理林斌2简历1997年，毕业于厦门大学会计系，获经济学（会计学）博士学位。现任中山大学会计学系教授、博士生导师、系主任、MPAcc中心主任，兼任财政部企业内部控制标准委员会专家咨询组成员、广东省内部审计协会副会长、广东省审计学会副秘书长。曾在美国哈佛大学商学院、德州大学管理学院进修、学习。目前主要研究领域：内部控制与风险管理、战略管理会计、企业会计准则、预算管理、业绩评价等。23内容提要为什么关注内部控制与ERM什么是企业内部控制与ERM公司治理与内部控制COSO、ERM与COBITSOX与我国内控规范内部控制制度设计与评价精品资料网（）4开篇小案例中信泰富发布声明称，集团财务董事张立宪和财务总监周志贤私自与香港多家主要银行订立累积外汇期权合约，结果在金融海啸之下导致集团损失155亿港元。5中信泰富炒外汇巨亏147亿外部原因：澳元持续贬值从7月中旬到8月澳元兑美元跌幅高达10.8%由于公司签订的有关外汇合约属累计期权（Accumulator），亏损可能“无底”，目前已录得约8亿元实现亏损，以目前汇率计算，至今年底的账面损失更高达147亿元内部原因：财务董事未遵守对冲风险政策、内部监管不到位精品资料网（）6Ikillyoulater？7小结越是具有创新能力的公司越是更多地使用控制系统混沌理论的初始值与蝴蝶效应AdrianCadbury爵士：公司失败都是由内部控制的失败引起的8内部监控与风险管理9精品资料网（）10企业治理（续）公司治理与内部控制的交叉部分是监督、信息传递与权责分配，治理主体评价内部控制效果，经营者有责任向治理机关报告内部控制执行情况11公司治理外部治理内部治理股东其他利益相关者外部市场董事会监事会经营管理层股份公司审计委员会提名委员会薪酬与考核委员会12小结有人认为，内部控制制度是一种最优化、最简捷、最合理的作业标准一种授权体系和责任化体系一种衡量风险的基础到底什么是内部控制？13日昇昌精品资料网（）14什么是内部控制？内部牵制内部控制内部控制结构内部控制的完整框架（旧COSO报告）企业风险管理（新COSO报告）15内部控制结构(1988)控制环境会计系统控制程序16内部控制组织内部的内部控制组织外部的内部控制席尔宾斯基三角17内部控制的完整框架1992年，COSO提出了著名的“内部控制的完整框架”的研究报告，1994年进行了增补。COSO报告提出内部控制的目标有三个：提高经营效率，取得好的经营效果合理保证财务报告的可靠性遵循有关的法规制度18内部控制的完整框架（续）内部控制的要素内部环境风险评估控制活动信息与沟通监督精品资料网（）1920五要素及其相互关系监控控制活动风险评估内部环境信息沟通信息沟通基础手段保证载体依据精品资料网（）21内部控制的完整框架（续）COSO委员会提出，内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式，并与管理过程相结合。22控制环境内部环境评估关注要点诚信与道德价值观胜任能力董事会或审计委员会管理层的理念和经营风格组织结构责任的分配和授权人力资源政策和实践2324企业风险管理2003年7月美国COSO颁布了企业风险管理框架的讨论稿，并于2004年4月颁布正文。同1992年的COSO报告相比，新的COSO报告增加了一个观念、一个目标、两个概念和三个要素精品资料网（）25ERM的定义企业风险管理的定义一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程26ERM的目标ERM的目标战略目标经营目标报告目标合法性目标27ERM的主要内容ERM的构成要素内部环境目标制定事项识别风险评估风险反映控制活动信息和沟通监控28企业风险管理精品资料网（）29中海壳牌风险评估矩阵结果可能性严重性人员环境成本(美元)工期声誉ABCDE在行业中从未发生过单经在石油工业中发生单纯在股东企业发生每年在股东企业发生几次每年在当地发生几次概率小于1%概率小于10%有可能在每个项目中发生每个项目发生多于一次0.1%1%10%100%100%1轻微轻微200.0003小时轻微2中度(RWC)小的单元的影响0.2-2million3-24小时有限影响持续改进3重大伤害LTI区域内影响2-20million1-10天相当的影响联合改进措施尽量降低4PTD/单个死亡区域外大的影响20–200million10天-3月国内影响寻求替代措施立即采取措施5群死重大影响200million3月国际影响30Ifyou'rejustgettingby,you'renotreachingyourIQpotential“Gettingby”MeetingMinimumRequirements31COBIT的三维框架图32COBIT框架应用图企业目标治理目标信息要求规划与组织获取与实施交付与支持监督与评价IT资源应用信息设施人员有效性效率性保密性完整性可用性遵循性可行性精品资料网（）33基于信息技术的风险管理平台34内部控制法规美国萨班斯法案SEC与AICPA（PCAOB）中国的内控规范35SOX的目的布什在SOX新闻发布会上“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”公司内部治理及风险管理水平的提升，也是对投资者利益的保护（会给资方带来溢价，尤其是机构投资者）SOX有助于强投资者的信心提升透明度改革会计行业36中国主要的企业内部控制规范时间文件名称发件单位2008/6企业内部控制基本规范五部门2006/9深圳证券交易所上市公司内部控制指引深交所2006/6上海证券交易所上市公司内部控制指引上交所2006/6中央企业全面风险管理指引国资委2004/8中央企业内部审计管理暂行办法国资委2004/1中央企业负责人经营业绩考核暂行办法国资委2003/9企业国有资产监督管理暂行条件国资委2002/9商业银行内部控制指引中国人民银行2002/1上市公司治理准则证监会2001/7内部会计控制规范财政部2000/7会计法人大常委会精品资料网（）37我国企业内部控制规范体系基本规范具体规范制度支持财务报表编制相关规范财务报表项目相关规范应用指南货币资金采购与付款存货对外投资工程项目固定资产无形资产资产减值销售与收款筹资衍生工具成本费用担保合同对子公司控制合并与分立服务外包财务报告编制关联交易公允价值信息披露预算人力资源政策计算机系统内部审计中介机构聘用38企业内部控制基本规范（续）总则内部控制的目标、要素与原则内部环境风险评估控制活动信息与沟通监督检查附则内控规范39企业内部控制基本规范（续）内部控制的目标企业战略经营的效率和效果财务报告及相关信息的真实、准确和完整资产的安全完整遵循国家法律、行政法规和有关监管要求40企业内部控制基本规范（续）内部控制的要素内部环境风险评估控制活动信息与沟通监督检查41企业内部控制基本规范（续）内部环境影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础治理结构组织机构设置与权责分配企业文化人力资源政策内部审计42治理结构治理结构规范运行企业应当制定股东会、董事会、监事会的议事规则，明确界定决策、执行、监督各层面的地位、职责与任务，形成有效的分工和制衡机制审计委员会设立及其独立性审计委员会职责精品资料网（）43内部机构设置与权责分配机构设置权责分派权责分派的知情与监督44企业文化企业文化的概念和内容企业在经营管理过程中形成的、影响企业内部环境和内部控制效力的精神、意识和理念，主要包括企业的整体价值观、合规经营意识，员工行为守则、高级管理人员的管理理念和经营风格等企业管理层在企业文化建设中的责任行为准则高管人员管理理念和经营风格高管人员在信息披露中的责任45人力资源政策人力资源政策内容员工的聘用、培训、辞退与辞职员工的薪酬、考核、晋升与奖惩关键岗位员工的强制休假制度和定期岗位轮换制度对掌握国家秘密和重要商业秘密的员工离岗的限制性规定员工聘用员工培训激励约束机制46内部审计内部审计的作用内部审计机构设置与人员配备精品资料网（）47企业内部控制基本规范（续）风险评估及时识别、科学分析和评估影响企业目标实现的各种不确定因素并制定应对策略的过程，是实施内部控制的重要环节风险识别风险分析风险应对48风险识别内部风险高级管理人员职业操守、员工专业胜任能力、团队精神等人员素质因素组织结构、经营方式、资产管理、业务流程设计、财务报告编制与信息披露等管理因素财务状况、经营成果、现金流量等财务因素研究开发、技术投入、信息技术运用等技术因素营运安全、员工健康、环境污染等安全环保因素49风险识别（续）外部风险经济形势、产业政策、资源供给、利率调整、汇率变动、融资环境、市场竞争等经济因素法律法规、监管要求等法律因素文化传统、社会信用、教育基础、消费者行为等社会因素技术进步、工艺改进、电子商务等科技因素自然灾害、环境状况等自然环境因素50控制活动概念及其分类企业应当结合风险应对策略，采取人工控制与自动控制相结合的控制措施控制措施通常包括职责分离控制、授权审批控制、预算控制、财产保护控制、分析与报告控制、绩效考评控制、信息技术控制等精品资料网（）51信息与沟通的要求对信息采集的要求内部信息采集方式外部信息采集方式信息沟通要求信息沟通渠道反舞弊机制52小结法律法规，使之不敢；内部控制，使之不能；职业道德，使之不愿。53内部控制制度设计制度反思（中国人寿）海恩法则：每一起严重的事故的背后，必然有29起轻微的事故和300起未遂先兆，以及1000起事故隐患。54内部控制的设计企业层面战略的高度立体的控制系统（组织、项目与流程）定位（管理、制度、形式）政府（立法）层面法规角度（最低要求，法不责众）程序与框架依据专家的作用（学者、专家与官员）55“采购-付款”业务活动的内控制度流程说明财务主管应付会计出纳总经理审批检查采购部门采购合同会签审批供应商送货预估账入库单检查付款申请审核审批付款发票正式账月末对帐月末对帐月末对帐（Ⅰ）（Ⅲ）（Ⅳ）月度采购计划月度付款计划检查56内部控制的评估基于SOX的评估基于中国规范的评估基于ERM、COBIT的评估精品资料网（）57财务报表的内部控制评价将内部控制缺陷分设计缺陷（设计有效性）执行缺陷（执行有效性）根据内部缺陷的严重程度将其分为一般内部控制缺陷(ControlDeficiency)重大内部控制缺陷（SignificantDeficiency)实质性漏洞(MaterialWeakness)（与SOX不符）重要性判断错报的可能性（每年、月、还是天）错报的危害性58武汉道博(续)思考与启示AACSB认证与教育部的评估形式与实质过程与结果59总结从小企业演变成大企业，需要三个条件来支持完善的内控制度和ER