1、内控中心黄继业2008.10引引 子子 管理企业就好比驾驶一辆车,车速越快,越需要好的控制系统。 美国著名管理学家罗伯特安东尼 一、企业内部控制的缘起及其演变1、什么是控制什么是控制2、安然事件及其安然事件及其萨班斯萨班斯奥克斯利法案奥克斯利法案3.中航油新加坡公司巨亏事件4、天安某些机构高官的行为、天安某些机构高官的行为 5、上述案例引发的内部控制启示、上述案例引发的内部控制启示6、全球范围企业内部控制的不断完善的过、全球范围企业内部控制的不断完善的过程程1、什么是控制控制是控制者掌握对象不使其任意活动或超出范围。控制就是控制主体有一定的目标,通过各种手段使得其控制对象沿着既定的轨道朝着目标
2、前进,如果在前进的过程由于环境的因素,控制对象的行为发生偏离,就需要及时行动进行纠正,让它回到既定的轨道。 输入(资源) 输出(目标)发现偏差过程或经营活动纠正过程 从控制主体角度可分为外部控制外部控制和内部控内部控制。制。如果以企业组织为划分对象,那么来自于企业组织外部对企业的控制,就属于外外部控制部控制,如税务控制、政府审计控制;如果控制者来自于企业组织内部,就属于内部控制内部控制。2、安然事件及其萨班斯奥克斯利法案安然公司在财务丑闻暴露之前,连续几年对社会和股东披露的净利润、每股盈利指标都是不错的。安然公司曾经是美国最大的能源公司(美国500强列第7,世界500强列第16),2001年1
3、2月突然申请破产保护。 在2001年10月16日安然公布第二季度财报以前,安然公司的财报是所有投资者都乐于见到的。看看它过去的财务报告:2000年第四季度,“公司天然气业务成长翻升3倍,公司能源服务公司零售业务翻升倍”,2001年第一季度,“季营收成长4倍,是连续21个盈余成长的财季”。在安然,衡量业务成长的单位不是百分比,而是倍数,这让所有投资者都笑逐颜开。到了2001年第二季度,公司突然亏损了,而且亏损额还高达6.18亿美元!直接导火线 有30亿美元的到期债务,而安然手中拿不出现金担保,无法得到美国联邦存款保险制度的支援,又没有公司愿意资助安然度过危机。根本原因 内部控制缺失!具体表现管理
4、层激励缺乏约束(常务副总裁2000年卖掉股票期权的收入高达2.65亿美元,高级管理人员享受公司低息贷款),过度利用金融创新工具而没有进行风险评估与风险应对、操纵利润、关联公司太多且管理混乱、缺乏监督。 然后,一直隐藏在安然背后的合伙公司开始露出水面。经过调查,这些合伙公司大都被安然高层官员所控制,安然对外的巨额贷款经常被列入这些公司,而不出现在安然的资产负债表上。这样,安然高达130亿美元的巨额债务就不会为投资人所知,而安然的一些官员也从这些合伙公司中牟取私利。 更让投资者气愤的是:安然的高层对于公司运营中出现的问题非常了解,但长期以来熟视无睹甚至有意隐瞒。包括首席执行官斯基林在内的许多董事会
5、成员一方面鼓吹股价还将继续上升,一方面却在秘密抛售公司股票。而公司的14名监士会成员有7名与安然关系特殊,要么供职于安然支持的非盈利机构,要么正与安然进行交易,对安然的种种劣迹睁一只眼闭一只眼。乱世重典乱世重典萨班斯萨班斯奥克斯利法案奥克斯利法案随着美国安然公司、环球电信公司会计造假丑闻的披露,暴露出美国现行体制中存在弊端。为整顿上市公司秩序、维护投资者信心,美国民主党参议员萨班斯(Sar-banes)和共和党众议员奥克斯利(Oxley)联合提出了萨班斯奥克斯利法案,该法于2002年7月经布什总统签署正式生效。萨班斯奥克斯利法案1、上市公司会计监管委员会2、审计师的独立性3、公司的职责4、加强
6、财务信息的披露5、分析员的利益冲突6、证券监管委员会的资源与权限7、研究和报告8、公司和刑事舞弊的责任9、加强对白领刑事犯罪的惩罚10、公司税务申报表11、公司的舞弊行为及其相应的责任萨班斯奥克斯利法案该法案的严肃性在于:公司治理被正式纳入联邦法律管辖范围,越来越多的财会欺诈者无论他是CEO或CFO都将被投入监狱,安然之后,抓坏蛋和将前车之鉴铭刻于法律条文自然成为这一阶段的主题。该法案恰强调了公司内控的重要性,从管理者、内部审计及外部审计等几个层面对公司内控作了具体规定,并设定了问责机制和相应的惩罚措施,成为20世纪30年代美国经济大萧条以来,政府制定的涉及范围最广、处罚措施最严厉的公司法律。
7、第404条:管理层对公司内部控制的评价要求公司年报中包括一份“内部控制报告”,该报告应: -明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任;并且 -包含管理层在财务年度末对公司财务报告相关内部控制体系及程序的有效性的评估。第404条:管理层对公司内部控制的评价受托的上市公司审计师应按照上市公司会计监管委员会对审核约定所发布或采用的准则就管理层关于内部控制的评估进行鉴证并提交报告,此类鉴证约定并不构成单独的约定主体。3.中航油新加坡公司巨亏事件中航油新加坡公司巨亏事件一个因成功进行海外收购曾被称为“买来个石油帝国”的企业,却因从事投机行为造成5.54亿美元
8、的巨额亏损。一个被评为2004年新加坡最具透明度的上市公司,其总裁却被新加坡警方拘捕,接受管理部门的调查。中航油新加坡公司巨亏事件中航油新加坡公司巨亏事件中航油新加坡事件是一个国企监管不到位和国企本身现代企业制度不到位的典型案例。监控机制形同虚设,陈久霖违规操作一年多无人知晓。一是中航油集团公司的内部监控机制形同虚设一是中航油集团公司的内部监控机制形同虚设根据中航油内部规定,损失20万美元以上的交易,要提交公司风险管理委员会评估;累计损失超过35万美元的交易,必须得到总裁同意才能继续;任何将导致50万美元以上损失的交易,将自动平仓。多达5亿多美元的损失,中航油才向集团报告,而且陈久霖同时也是集
9、团副总经理,中航油经过批准的套期保值业务是集团给其授权的,中航油集团事先没有发现问题。二是新加坡公司基本上陈久霖一人的天下二是新加坡公司基本上陈久霖一人的天下 最初公司只有陈久霖一人,2002年10月,集团公司向新加坡公司派出党委书记和财务经理。陈以财务经理外语不好为由,将其调任旅游公司经理。第二任财务经理又被安排为公司总裁助理。陈雇了新加坡当地人任财务经理,只听他一人的。党委书记在新加坡两年多,一直不知道陈久霖从事场外期货投机交易。三是中航油集团公司和新加坡公司的风险管理制三是中航油集团公司和新加坡公司的风险管理制度也形同虚设度也形同虚设 集团公司成立有风险管理委员会,制定了风险管理手册。手
10、册明确规定,损失超过500万美元,必须报董事会。但陈久霖从来不报,集团公司也没有制衡的办法。 专家指出,中航油新加坡公司所从事的并非如外界所传的“石油期货交易”,而是“场外石油衍生品交易(OTC)”,风险极大。以中航油的实力和风险控制能力,对手又是高盛等老牌高手,“翻船”是难免的。4、天安某些机构高官的行为某中支夫妻老婆店某分公司负责人大权独揽、费用开支缺少约束擅自对外借款,承诺高额费用阴阳单、吃保费5、上述案例引发的内部控制启示内部控制无处不在内部控制对企业的生存、发展与获利至关重要企业需要实施内部控制社会需要企业实施内部控制内部控制的重要性不仅仅在于设计,也不仅仅在于执行,更重要的在于评价
11、设计、执行和评价应相互联系,成为一体,这样内部控制才能持续改进并真正发挥作用内部控制的关键在于人的控制1、内控的重心:应从细节控制转向风险管理2、内控的主体:应从单元主体转向多元主体3、内控的监督:应从关注内控建立转向内控运 行和评价4、内控的对象:应从基层、中层转向高官控制5、应建立内控失效的补救措施6、全球范围企业内部控制的不断完善的过程1)、美国内部控制的演变及其现状2)、其他地区内部控制的要求美国内部控制概念的演变及现状 从内部控制概念的演变看,大致可以分为五个阶段:内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整合框架阶段和风险管理阶段。 内部控制直到上世纪30年代才被人
12、们提出、认识和接受。但在此前的人类社会发展史中,早已存在着内部控制的基本思想和初级形式,这就是内部牵制。内部控制整合框架阶段 1992年,美国“反对虚假财务报告委员会”提出非常著名的内部控制整体框架,也称COSO报告,1994年又作了补充。 本报告将内部控制定义为:“由企业董事会、管理层和其他人员实施的,为经营的效果和效率、财务报告的可靠性、相关法规的遵循等目标的实现而提供合理保证的过程” 该报告将内部控制的组成分成五个相互独立而又相互联系的五个要素:控制环境、风险评估、控制活动、信息与沟通和监督。风险管理阶段2004年,COSO委员会在借鉴以往有关内部控制研究报告的基本精神的基础上,结合萨班
13、斯-奥克斯利法案在财务报告方面的具体要求,发表了新的研究报告企业风险管理框架(Enterprise Risk Management Framework)。 这个报告的出台,预示着COSO委员会对待内部控制的认识和态度有了新的变化,即从重视内部控制本身转向了重视风险管理,或者说其更加倾向于在风险管理的背景下研究内部控制问题。企业风险管理框架创新(一)提出了一个新的观念风险组合观 企业风险管理要求企业管理者以风险组合的观念看待风险对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。 对企业每个单位而言,其风险可能在该单位的风险容忍度范围内,但从企业总体来看,总风险可能超过企业总体的
14、风险偏好范围。因此,应从企业总体的风险组合的观点来看待风险。 (二)增加一类目标战略目标,并扩大了报告的范畴 在COSO报告的经营效率、效果性目标,会计信息可靠性目标,以及法律法规遵循性目标之外,增加了战略目标。它比其他三个目标层次更高,企业风险管理也应用于战略制定的过程中。 财务报告范围有很大的扩展,覆盖了企业编制的所有报告。 (三)针对风险度量提出两个新概念风险偏好和风险容忍度 风险偏好指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略目标直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业的管理者风险偏好结合起来。 风险容忍度指在企业目标实现过程中对差异的可
15、接受程度,是企业在风险偏好的基础上设定的在目标实现过程中对差异的可接受程度和可容忍限度。 (四)增加了三个风险管理要素,对其他要素的分析更加深入,范围也有所扩大 企业风险管理框架中将内部控制的要素进一步扩展为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个要素。 需要说明的是,企业风险管理框架虽然较晚于COSO报告,但是它并不是要完全替代COSO报告。 在企业管理实践中,内部控制是基础,风险管理只是建立在内部控制基础之上的、具有更高层次和更有综合意义的控制活动。如果离开良好的内部控制系统,所谓的风险管理只是一句空话而已。世界其他地区内部控制的要求2004年6月
16、,十国集团发布了被称为“Basel II”的资本充足性框架,Basel II中744和745节要求就内部控制框架进行独立检查。欧盟2002年改革白皮书定义的内部控制包括以下五个方面:控制环境;业绩和风险管理;信息和沟通;控制活动、及审计和评估等;经合发展组织以原则为基础的方法提出内控相关要求,提升透明度的举措包括足够的会计法规要求;独立外部审计和公司内部控制。信息及相关技术控制目标(COBIT)由IT治理协会制定发布,是信息技术治理方面的一个开放性标准,作为良好IT安全和控制实务的标准,COBIT为管理当局、企业用户和信息系统审计、控制及安全从业人员人员提供了一个参考框架。 英国公司治理综合法
17、典指导意见的目的是帮助那些在美国证监会(SEC)注册的非美国企业应对内部控制要求,这些企业可选择采用该指导意见作为其内控框架,而SEC也认可该指南在评估内部控制有效性方面的权威。加拿大安大略证券委员会要求企业与年报一同提交相关内部控制报告。 二、企业内部控制基本规范的主要内容及其解读1、我国内部控制概念的产生及其演变我国在20世纪80年代前没有“内部控制”这一概念。内部控制作为一种管理制度被明确写入有关法规中,还是近十年的事。 2000年7月开始实施的会计法第二十七条规定:“各单位应当建立、健全本单位内部会计监督制度。”虽然没有直接提到内部控制,但其具体监督内容全部是内部控制的要求,如记账人员
18、与经济业务事项和会计事项的审批人员、经办人员、财务保管人员的职责权限应当明确,并相互分离、相互制约。 这是我国对内部控制的最高法律规范。但因为是会计法,规范的内容局限于内部会计控制的要求,没有涉及全部内部控制的内容。 2001年6月22日,财政部发布了内部会计控制规范基本规范(试行)、内部会计控制规范货币资金(试行)等。 在基本规范的第二条规定:“本规范所称内部会计控制是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。” 为适应国际资本市场对内部控制的日趋严格要求,促进我国经济的健康发展,由财政部、国资委、证监会
19、、审计署、银监会和保监会联合发起成立的企业内部控制标准委员会于2007年发布了企业内部控制规范(征求意见稿)。 2008年6月28日,财政部、证监会、审计署、银监会、保监会联合发布了我国第一部企业内部控制基本规范。 该基本规范将于2009年7月1日起首先在上市公司范围内施行,并鼓励非上市的其他大中型企业执行。 根据要求,执行基本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年报自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。2、企业内部控制基本规范的主要内容 该规范合理借鉴了以美国COSO报告为代表的国外内部控制框架,并根据我国国情进行了较大调
20、整和改进。 对国外内部控制框架,尤其是COSO框架的借鉴,主要体现在基本规范中。基本规范在形式上借鉴了COSO报告5要素框架,同时在内容上体现了风险管理8要素框架的实质。 基本规范共七章五十条,各章分别是:总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。规范的主要针对对象1、上市公司(自2009年7月1日起施行)2、非上市的大中型企业(鼓励施行)内部控制的定义本规范所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标内部控制的目标是合理保证1、企业经营管理合法合规2、资产安全3、财务报告及相关信息真实完整4、提高经营效率和效果5、
21、促进企业实现发展战略企业内部控制要素1内部环境内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。内部环境的规范要求 1、企业根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确股东(大)会、董事会、监事会、经理层各自的决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。 2、董事会负责内部控制的建立健全和有效实施,监事会对董事会建立与实施内部控制进行监督,经理层负责组织领导企业内部控制的日常运营。在董事会下设审计委员会,审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内
22、部控制审计及其他相关事宜等。 3、企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。 4、企业应当制定和实施有利于企业可持续发展的人力资源政策;企业应当切实加强员工培训和继续教育,不断提升员工素质;企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识;董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业内部控制要素2风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。风险评估的规范要求1、根据设定的控制
23、目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。 2、开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。 风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。 3、企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。并综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。企业内部控制要素3控制活动 控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。控制活动的规范要求 1、企业应当结合风险评估结果,通过手工控制与自动控制、预防
24、性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。 控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。 2、企业应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。企业内部控制要素4信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。信息与沟通的规范要求 1、企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。 2、企业应当利用信息技术促
25、进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业内部控制要素5内部监督 内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。内部监督的规范要求 1、企业应当根据本规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。 2、企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。 3、企业应当以书面或者其他适当的形式,妥善保
26、存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。 三、内部控制和风险防范1、关于保险公司风险管理指引2007年4月6日,中国保监会下发保险公司风险管理指引(试行),要求自7月1日起在中国境内依法设立的保险公司和保险资产管理公司执行。其内容共分总则、风险管理组织、风险评估、风险控制、风险管理的监督与改进、风险管理局的监管与附则七个部分。 风险:指对实现保险经营目标可能产生负面影响的不确定因素。风险管理:指保险公司围绕经营目标,对保险经营中的风险进行识别、评估和控制的基本流程以及下相关的组织架构、制度和措施。 主要风险 应当识别和评估经营过程中面临的各类主要风险
27、,包括:保险风险、市场风险、信用风险和操作风险等。保险公司还应当对战略规划失误和公司治理结构不完善等给公司带来不利影响的其他风险予以关注。内部控制与风险防范的关系回顾COSO对内部控制的定义“由企业董事会、管理层和其他人员实施的,为经营的效果和效率、财务报告的可靠性、相关法规的遵循等目标的实现而提供合理保证的过程”1、管理控制2、会计(财务)控制3、法规执行控制关系之一 内部控制是风险管理的前提和保障。内部控制是风险管理的前提和保障。内部控制主要是通过内部控制制度和流程的制定和实施,对公司的各种风险进行全方位、多层次的控制,保障风险管理的顺利实施。保险公司只有提高风险意识,加强内部控制,才能使
28、公司安全运行。否则,就将处于风险管理的失控状态,最终导致公司经营的失败。关系之二内部控制是风险管理的手段之一。内部控制是风险管理的手段之一。内部控制是风险管理不可或缺的一个子系统,内部控制的各种措施,同时也是风险管理的措施。例如岗位职责分设、制衡机制、授权程序、操作规范等。关系之三 风险管理是内部控制的重要目标和主要任务。风险管理是内部控制的重要目标和主要任务。内部控制是企业管理者对企业风险的反应,其制定的依据主要是风险。内部控制的目标是增强保险公司的自我约束能力,防范和化解风险,其主要任务是识别、计量、控制保险公司经营管理中的各种风险,制定规范的风险管理制度和流程,确保公司稳健运营。3、基层
29、管理者在内部控制和风险防范方面的作用 孙子兵法中,孙子提出了著名的“五事”即道、天、地、将、法无种决定战争胜负的因素。道决策者必须使百姓和他的意愿一致天有利的时令地便于作战的地形、地貌和有力的地理位置将善于指挥作战的将领法良好的军事纪律及充分的后勤供应 将将有“五德”:“智、信、仁、勇、严也”智智预思未来信信 面对下面,说话算数;下面对上 面,诚恳服从任任爱兵如子勇勇令敌丧胆严严管理严格 智:智:实际体现的就是内部控制和风险防范的能力。1)、对舞弊风险的防范 舞弊为了实现某些小团体或个人的某种利益,通过弄虚作假来实现目的的故意行为 美国1995年发布的威尔斯报告称,美国每年因企业舞弊和滥用职权
30、而导致的直接经济损失可能高达4000亿美元。舞弊产生的三要素 1、压力是舞弊产生的行为动机,包括经济压力、恶癖的压力、与工作相关的压力和其他压力。2、机会发生舞弊而又能掩盖起来不被发现或能逃避惩罚的时机。3、藉口自我合理化 国际上一般认定的舞弊易发企业特征 1、制造舞弊的企业通常是相对较小的公司(总资产一般低于1亿美元) 2、制造舞弊的企业通常是非上市公司 3、不少企业在实施舞弊前通常是处于亏损或利润大致为零的情境地。 4、公司的主要管理人员通常被牵涉其中,也就是品行和管理风格通常值得关注 5、在制造舞弊的企业中,董事会成员通常参与其中,或幕后指挥,这些成员一般占有不少公司股份 6、这些董事会
31、成员通常缺乏领导经验,整体素质不高,法律意识不强,企业文化值得关注 7、25%这类企业没有设审计委员会,已设的大部分无会计资格或财务经验应对舞弊风险的措施 首先基层管理者要善于自我调节,在“压力、机会和藉口”面前沉下心来,要多考虑法律后果。做企业就是做人,企业是放大的人。其次,要不断宣导正确的管理理念,加强企业经营过程中的内部控制,加强内外部的各类审计检查。2)对欺诈风险的防范 欺诈风险一般是指投保人、被保险人或者受益人违反保险法规,以非法占有为目的,采用虚构保险标的或保险事故等方法向保险公司骗取保险金而产生的风险车险中的欺诈行为伪造事故、扩大事故 汽车发动机的空气格里塞面纱,造成跑起来乏力换发动机或缸头刹车油里加酒精变速箱齿轮受损严重机油里放白糖发动机“抱瓦”应对欺诈风险的措施 职业道德的教育 专业技能的培训 监督考核的跟进 谢 谢