1、内部控制体系的建立与完善内部控制体系的建立与完善第 2 页介绍提纲介绍提纲第 3 页1.2国外有关风险管理与内部控制的监管演进历程1.3国内有关风险管理与内部控制的监管演进历程1.4保险行业有关风险管理与内部控制的监管演进历程1.5保险监管部门的其他与内控相关的监管要求1.1.加强风险管理与完善内部控制的重要意义加强风险管理与完善内部控制的重要意义第 4 页案例案例1 1:安然安然( Enron Enron)辉煌业绩辉煌业绩世界最大的能源公司,500强排名第七,曾被称为“美国最有创新精神的公司”严重问题严重问题2001年末,安然宣布第三季度亏损6.4亿美元。美国证监会进行调查,发现该公司199
2、7以来虚报利润5.8亿美元。2001年末安然申请破产保护。在之前10个月内,公司因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利。2006,安然主席及CEO被美国法院认定有罪,前创始人受多项指控,其中4项银行欺诈罪将导致最高120年监禁的判决;前CEO受19项指控最终判24年监禁;CFO也被判刑10年。 半年多时间,股市市值缩水2.5万亿美元;安然公司破产直接导致美国金融机构损失200亿美元。第 5 页案例案例1 1:安然安然( Enron Enron)深层原因深层原因会计舞弊:通过财务作假和滥用会计方法,隐瞒亏损,掩盖债务和巨大的交会计舞弊:通过财务作假和滥用会计方法,隐瞒
3、亏损,掩盖债务和巨大的交易风险易风险( (19971997以来虚报利润以来虚报利润5.85.8亿美元亿美元) ),误导投资人以牟取私利。,误导投资人以牟取私利。业务集中:业务集中:业务集中在的 “能源衍生品交易”,公司出现任何信用风险后,带来一连串灾难性后果,造成现金流困难。恶性扩张:恶性扩张:追求“管理创新”,自封“世界领先公司”,业务不断扩张,从天然气、电力业务,到风力、水力、投资、木材、广告、互联网宽带业务等,无所不包。第 6 页案例案例2 2:世通:世通(WorldComWorldCom)辉煌业绩辉煌业绩美国第二大电信巨头,500强排名第九严重问题严重问题由于投资失败和会计舞弊等原因,
4、 2000年初宣布破产,高管受到司法指控;公司股票由最高时的96美元跌至不足1美元,最后惨跌至7美分。深层原因深层原因投资失败:投资失败:高管好大喜功,盲目投资,为谋求全美电信业老大的地位,兼并多家经营不良的公司,过度进行网络投资,给公司的最终垮台埋下伏笔。会计舞弊:会计舞弊:前首席执行官在当政期间虚报约38亿美元利润,个人从公司挪用数亿美元购买股票,造成巨额亏损。第 7 页案例案例3 3:巴林银行:巴林银行辉煌业绩辉煌业绩巴林银行在90年代前是英国最大的银行之一,有超过200年的历史。严重问题严重问题1992-1994年期间,巴林银行新加坡分行总经理里森在从事日本大阪及新加坡交易所之间的日经
5、指数期货套期对冲和债券买卖活动中,因为看好日本经济并买入股指期货,没料到日本大地震导致股市大跌,而其做多的股指期货导致了14亿美元的亏损 。巴林银行于1995年2月破产 。第 8 页深层原因深层原因内控失效,缺乏有效的职责划分和上级对下级从事业务的监控机制 。里森一人身兼交易与清算二职,其本来的交易职责是代巴林客户买卖衍生性商品,并替巴林从事套利两项工作,基本上没有太大风险(因为代客操作的风险由客户自己承担,交易员只是赚取佣金,而套利行为亦只赚取市场间的差价)。通过清算部门每天的结算工作,银行对其交易员和风险的情况也可予以有效了解并掌握。但不幸的是,里森却一人身兼交易与清算二职,冲突业务无法隔
6、离,内部控制有效性严重缺失。 案例案例3 3:巴林银行:巴林银行第 9 页 案例案例4 4:兴业银行:兴业银行辉煌业绩辉煌业绩法国兴业银行是在欧元区排名第四、法国排名第二的大型金融集团。严重严重问题问题在2007年至2008年间,一名熟悉内部交易监管程序的交易员(杰洛米 科维尔)利用精通的专业知识和对交易流程的熟悉,以虚假买卖手法大量购入欧洲股指期货500亿欧元,造成49亿欧元(约71.4亿美元)的损失,制造了金融史上最大的一笔交易亏损,被一些经济学家称为银行业的“911”。第 10 页 案例案例4 4:兴业银行:兴业银行深层深层原因原因对对交易人员交易行为的监控和交易人员交易行为的监控和核查
7、不够严格:核查不够严格: 2006至2007年间连续多次违规操作,这些操作曾经多次被作为异常数据监测到,相关风险及监控部门如风险管理部、财务部、直接上司都曾参与调查,但核查时都被杰洛米用各种借口或通过编制反向虚假交易蒙混过关。缺乏后台与前台完全隔离规则的遵守:缺乏后台与前台完全隔离规则的遵守: 杰洛米 2005年由后台工作调入投资部成为交易员,熟知后台和风险控制。信息系统的安全及密码保护控制不到位。信息系统的安全及密码保护控制不到位。强制休假制度没有达到应有目的:强制休假制度没有达到应有目的: 杰洛米在2007年只有4天休假,并且休假期间也没有人接手他经手的业务第 11 页知名企业失败案例与内
8、部控制缺陷密切相关内部控制能够做到事前防范,及时发现苗头并予以补救案例:魏文王和扁鹊 的对话,谁的医术高明?事后控制不如事中控制,事中控制不如事前控制事后控制不如事中控制,事中控制不如事前控制强化内部控制是有效防范风险的重要手段强化内部控制是有效防范风险的重要手段风险事件的反思?第 12 页时间时间国家国家/ /地区地区法律法规法律法规/ /重大事件重大事件19921992年年美国美国COSOCOSO委员会颁布委员会颁布COSOCOSO内部控制整合框架内部控制整合框架1999年澳大利亚ASNZS 4360:199920022002年年美国美国美国萨班斯美国萨班斯- -奥克斯利法案生效奥克斯利法
9、案生效2002年加拿大风险管理:决策者指南加拿大国家标准2002年南非南非出台公司治理报告法规(TheKingCodeof2002)2002年德国德国发布德国公司治理准则2002年瑞士瑞士发布Swiss Code of Obligations;SWX Directive on Information Relating to Corporate Governance(2002/2006)2003年澳大利亚澳大利亚证券交易所(ASX)及其公司治理委员会采纳良好公司治理原则和最佳实务操作建议2003年法国法国金融安全法(Loi sur la Scurit Financire)2003年英国英国 Th
10、e Combined Code on Corporate Governance2003年加拿大加拿大证券管理委员会发布MI 52-109,2004年1月生效,于2008年更新为NI 52-1092003年英国AIRMIC/ALARM/IRM标准2004年澳大利亚澳大利亚发布澳洲公司报告和信息披露法(CLERP9)2004年欧盟欧盟成立“欧洲公司治理论坛”2004年香港香港联交所公布公司治理实务和公司治理报告的准则20042004年年美国美国COSOCOSO委员会颁布委员会颁布COSOCOSO企业风险管理整合框架企业风险管理整合框架2005年意大利意大利金融服务机构法规(Disposizioni
11、 per la tutela del risparmio e la disciplina dei mercati finanziari L262/2005)2006年欧盟欧盟:欧盟新公司法第八号指令(European Union - 8th Company Law Directive, 2006/43/EC)2006年日本日本发布日本金融商品交易法第 13 页COSOCOSO框架体系框架体系1985年,由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务报告委员会(通常称为Treadway委
12、员会),旨在探讨财务报告中产生舞弊的原因,并寻找解决之道。两年后,基于该委员会的建议,其赞助机构成立COSO( The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)委员会,专门研究内部控制问题。1992年9月,COSO委员会发布了内部控制整合框架(COSO-IC),简称COSO报告,1994年进行了增补。由于COSO内部控制整合框架提出的内部控制理论和体系集内部控制理论和实践发展之大成,成为现代内部控制最具权威性的框架,因此在业内备受推崇,在
13、美国及全球得到广泛推广和应用。第 14 页COSOCOSO框架体系框架体系COSO内部控制整合框架把内部控制划分为五个相互关联的要素 控制活动控制活动 确保管理活动付诸实施的政策/流程措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离监督监督不断评估内部控制系统的表现整合实时和独立的评估管理层和监督活动内部审计工作控制环境控制环境 营造单位气氛让公司员工建立内部控制因素包括正直,道德价值,能力,权威和责任是其他内部控制组成部分的基础信息和沟通信息和沟通及时地获取,确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措
14、施的信息流风险评估风险评估 风险评估是为了达到企业目标而确认和分析相关的风险形成内部控制活动的基础监控信息和沟通控制活动风险评估控制环境营运合规性业务单位A业务单位B活动2活动1监监督督信息和沟信息和沟通通控制活控制活动动风险评风险评估估控制环控制环境境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位B活活动动2 2活活动动1 1五个元素需要实际有效的运行和整合以确保控制目标的实现第 15 页控制活动控制活动目标设定目标设定事项识别事项识别风险评估风险评估风险应对风险应对内部环境内部环境信息与沟通信息与沟通监督监督内部环境包括组织基调,它为企业人员如何认识和对待风险设定了基
15、础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。管理当局只有预先设定目标来能识别影响目标实现的潜在事项。管理层采取适当的程序设定目标,确保目标支持和切合企业使命,并且与企业的风险容量相符。必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。通过考虑风险的可能性和影响来对风险加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对回避、承受、降低分担风险采取一系列行动把风险控制在主体的风险承受力和风险容量以内。制订和执行政策与程序以确保风险应对得以有效实施。相关的信息以确保员工履行其职责的
16、方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。对企业风险管理的实施效果进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。COSOCOSO框架体系框架体系第 16 页针对安然、世通等财务欺诈事件,美国国会出台了2002年公众公司会计改革和投资者保护法案。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作2002年萨班斯奥克斯利法案(简称萨班斯法案或者“SOX法案”)。该法案对美国1933年证券法、1934年证券交易法作了不少修订,在会计职业监管、公司治理、证券市场监管等方
17、面作出了许多新的规定。法案于2002年7月30日签署生效。对在美国上市的境外公司(FPI)并无重大豁免,对在香港/中国大陆的FPI (中国企业在美国上市的)和海外跨国公司(MNC)的子公司都需要遵从。 萨班斯法案萨班斯法案 第 17 页对有限公司有重大影响的主要是第 302 条款、第 404条款和第 906条款 萨班斯法案萨班斯法案 第第 302 302 条款条款 要求公司的 CEO 和 CFO 在财务报告上签字,保证财务报告不存在重大错报、漏报,在所有重大方面公允地反映公司在该报告期末的财务状况及该报告期内的经营成果。同时要求 CEO 、 CFO 对相关批露的内部控制有效性进行评价。 第 1
18、8 页对有限公司有重大影响的主要是第 302 条款、第 404条款和第 906条款 萨班斯法案萨班斯法案 第第 404 404 条款条款 404 条款的核心内容是严格界定了上市公司管理层对公司内部控制需承担的责任和义务。 公司的年报中需要增加管理层关于公司内部控制情况的报告。该报告包括:明确阐明公司管理层有责任建立和保持一套完整的与财务报告相关的内部控制系统和程序;管理层应对财务年度期末与公司财务报告相关的内部控制系统及程序的有效性做出评价。 公司全体管理层对报告负责。 公司外部审计师对管理层的内控报告出具鉴证报告。公司外部审计师对管理层的内控报告出具鉴证报告。 第 19 页 萨班斯法案萨班斯
19、法案 有关财务报告有关财务报告的内部控制的内部控制302302条款条款: :管理层管理层“声声明明”404404条款条款: : 年度管理层报告年度管理层报告和审计师意见和审计师意见302302条款条款 :首席执行官或财务总监声明其负责建立并维护与披露有关的控制和程序(DC&P),并且已经设计有关披露的控制和程序以保证其获知必要的信息,同时对有关披露的控制的有效性进行评估和报告。404条款 :首席执行官或财务总监签署年度报告以确认其实施和维护内部控制框架和财务报告程序的责任,并对其效果进行评估。外部审计师通过对控制文档外部审计师通过对控制文档记录和控制效果的测试,对管理层报记录和控制效果的测试,
20、对管理层报告发表意见告发表意见。披露控制和程序披露控制和程序对有限公司有重大影响的主要是第 302 条款、第 404条款和第 906条款 图: 302条款和404条款异同第 20 页 萨班斯法案萨班斯法案 对有限公司有重大影响的主要是第 302 条款、第 404条款和第 906条款 表: 302条款和404条款异同第302条款第404条款是否适用于中国在美上市的公司适用,每年披露(美国公司每季度披露)适用,每年披露涉及哪些控制“与披露有关的控制和程序”与财务报告有关的控制和程序及资产保护是否经会计师审计否是对内部控制有那些要求首席执行官/财务总监声明:建立并保持内部控制的责任设立控制确保重要信
21、息均得到反映在报告前90天内对控制程序的有效性进行评估对控制程序的执行效果的评估结论向审计师及审计委员会揭示内部控制方面的重大缺陷以及内部控制系统中关键人员的舞弊行为等向公众披露-评价控制程序后,重大的内部控制变化公司声明 : 管理层有职责建立并维护有关财务报告的内部控制的结构和程序声明确认评估内部控制的框架控制程序执行效果的评估结论第 21 页 萨班斯法案萨班斯法案 对有限公司有重大影响的主要是第 302 条款、第 404条款和第 906条款 第第 906 906 条款条款 明确规定上市公司管理层(CEO和CFO等)对舞弊和欺诈负有刑事责任,如:认证失实的财务报告,最高给予100万美元罚款、
22、10年监禁;故意认证虚假报表,最高给予500万美元罚款、20年监禁。第 22 页时间时间发布单位发布单位法律法律/ /法规法规/ /标志性事件标志性事件2004年8月国资委中央企业内部审计管理暂行办法 2006年5月证监会首次公开发行股票并上市管理办法 2006年5月证监会公开发行证券的公司信息披露内容与格式准则第9号首次公开发行股票并上市申请文件等法规 2006年6月上交所上海证券交易所上市公司内部控制指引 2006年6月国资委中央企业全面风险管理指引 2006年9月深交所深圳证券交易所上市公司内部控制指引 2007年3月财政部企业内部控制规范基本规范2007年3月证监会关于开展加强上市公司
23、治理专项活动有关事项的通知 2007年12月深交所中小企业板上市公司内部审计工作指引 2008年2月发改委关于开展编报2008年中央企业全面风险管理报告试点工作有关事项的通知2008年6月财政部、证监会、审计署、银监会和保监会企业内部控制基本规范2008年10月发改委关于2009年中央企业开展全面风险管理工作有关事项的通知 第 23 页n2008年6月28日,财政部、证监会、审计署、银监会和保监会联合召开企业内部控制基本规范发布会,发布了企业内部控制基本规范和三个配套指引的征求意见稿(尚在征求意见,即将下发,分别是应用指引、评价指引和审计指引)n企业内部控制基本规范要求上市公司从2009年7月
24、1日开始实施(根据最新消息,已经延缓至2011年1月1日起开始实施),鼓励非上市的大中型企业执行。执行基本规范的上市公司,要对本公司内部控制的有效性进行自我评价、披露年度自我评价报告,并可聘请会计师事务所对内部控制的有效性进行审计。企业内部控制基本规范企业内部控制基本规范第 24 页企业内部控制基本规范企业内部控制基本规范的主要内容的主要内容 企业内部控制基本规范主要包括总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则等七个部分,其中内部环境、风险评估、控制活动、信息与沟通、内部监督基本借鉴了COSO 报告的理论研究成果,即以五要素为框架,适当体现了“企业风险管理-整体框架”中提
25、出的八要素理念。企业内部控制基本规范企业内部控制基本规范第 25 页企业内部控制基本规范企业内部控制基本规范的基本定位的基本定位企业内部控制基本规范企业内部控制基本规范第 26 页应用指引应用指引(征求意见稿)介绍 对包括资金、采购、存货、销售、工程项目、固定资产、无形资产、筹资、预算、成本费用、担保、合同协议、业务外包、对子公司的控制、财务报告编制与披露、人力资源政策、信息系统、衍生工具、企业并购、关联交易、内部审计、保险业务、证券业务、银行业务在内的各项具体业务制订了实施内部控制的具体指引。 公司需要按照公司需要按照应用指引应用指引的相关要求去建立和完善内部控制体系,工的相关要求去建立和完
26、善内部控制体系,工作的主体应该是公司各个职能部门,但需要在内控、风险或内审部门的作的主体应该是公司各个职能部门,但需要在内控、风险或内审部门的指导下进行。指导下进行。企业内部控制基本规范企业内部控制基本规范第 27 页评价指引评价指引(征求意见稿)介绍内容主要包括内部控制评价的内容和标准、内部控制评价的程序和方法、内部控制缺陷认定和评估报告。评价指引要求企业内部要定期对公司的内部控制设计与运行状况进行评价,出具评价报告,发现在内部控制上存在的缺陷,提出和实施改进方案,确保内部控制有效运行。这部分工作通常由公司内部的内控、风险或内审部门承担。这部分工作通常由公司内部的内控、风险或内审部门承担。企
27、业内部控制基本规范企业内部控制基本规范第 28 页审计指引审计指引(征求意见稿)介绍要求会计师事务所使用与财务报表审计相同的重要性水平,按照规定的方法和程序,对公司内部控制体系进行审计测试,最终就被审计公司的内部控制是否有效发表审计意见(包括无保留意见、否定意见、无法表示意见)。审计指引审计指引主要是指导和约束执行内控审计任务的外部中介机构。主要是指导和约束执行内控审计任务的外部中介机构。企业内部控制基本规范企业内部控制基本规范第 29 页时间时间文号文号法律法律/ /法规法规/ /标志性事件标志性事件1999.8保监发1999131号 保险公司内部控制制度建设指导原则2005.12保监发20
28、0443号保险资金运用风险控制指引(试行) 2006.1保监发20062号关于规范保险公司治理结构的指导意见2007.4保监发200726号保险公司内部审计指引(试行)2007.4保监发200723号保险公司风险管理指引(试行)2007.9保监发200791号 保险公司合规管理指引2008.6财政部、证监会、审计署、银监会和保监会企业内部控制基本规范2009保险公司内部控制基本准则征求意见稿第 30 页从2008年开始,保监会持续加强对保险市场的监管,出台了系列重要监管举措。1. 1.在财产保险行业开展整顿市场秩序工作整顿市场秩序工作(“70号文”)2. 2.实行分类监管实行分类监管(08年年
29、底下发关于实施保险公司分类监管有关事项的通知为标志,逐步形成和完善以偿付能力为核心的分类评级监管机制,并对不同级别的企业采取不同的监管措施)3. 3.财务业务数据真实性检查财务业务数据真实性检查4. 4.打击三假打击三假 -结论:市场秩序整顿工作包括的很多内容、分类监管监测的很多指标针对的主要风险和问题都与公司风险管理与内部控制建设体系是否完善有效(包括设计是否有效和执行是否有效)相关。第 31 页关于实施保险公司分类监管有关事项的通知关于实施保险公司分类监管有关事项的通知 五大类指标:五大类指标:偿付能力充足率;公司治理及内控合规风险;财务风险;资金运用风险;业务经营风险。 A A类公司:类
30、公司:风险低,保监会不采取特别的监管措施。B B类公司:类公司:风险中等,保监会采取一项或多项监管措施:监管谈话、监管提示函、现场检查等措施。C C类和类和D D类公司类公司:风险较高,保监会采取全面检查、调整管理人员、限制业务范围更为严格的监管措施。第 32 页介绍提纲介绍提纲第 33 页2.2风险管理的涵义2.3风险管理与内部控制的异同2.4风险管理与内部控制的关系2.2.有关风险管理与内部控制的一些基本概念有关风险管理与内部控制的一些基本概念第 34 页内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全
31、、财务报告及相关信息真实完整,提高经营效率和效果、促进企业实现发展战略。 COSOCOSO定义定义企业内部控制基本规范企业内部控制基本规范定义定义内部控制是由董事会、管理当局和其他职员实施的一个过程,旨在为下列各类目标的实现提供合理保证:经营效果和效率;财务报告的可靠性;遵循适用的法律和法规。第 35 页1. 1.内部控制是融入在企业经营管理活动之中的一系列行为,内部控制是融入在企业经营管理活动之中的一系列行为, 不是一个额不是一个额外的附加体系外的附加体系内部控制是经营管理活动的一部分内部控制的对象是经营管理过程的主体和活动内部控制要融入经营管理的每个环节内部控制要从被动到主动内部控制要从附
32、加到融入如何理解内部控制涵义?如何理解内部控制涵义?第 36 页2. 2.内部控制强调内部控制强调“全员参与全员参与”全体员工都担负内部控制实施的责任管理者要带头垂范如何理解内部控制涵义?如何理解内部控制涵义?第 37 页如何理解内部控制涵义?如何理解内部控制涵义?3. 3.内部控制责任体系内部控制责任体系董事会:董事会:对内部控制的建立健全和有效实施负最终责任。审计委员会:审计委员会:负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。 监事会:监事会:对董事会建立与实施内部控制进行监督。管理层:管理层:负责组织领导企业内部控制的日常运行;企
33、业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。 内审部门:内审部门:结合内部审计监督,对内部控制的有效性进行监督检查 。第 38 页COSOCOSO定义定义企业风险管理是一个过程,它是由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。第 39 页n内控是风险管理的重要组成部分和基础内控是风险管理的重要组成部分和基础内部控制是企业风险管理的不可分割的一部分;内部控制是风险管理的一个子系统,是不可或缺的部分,是实施风险管理的重要保证。
34、 第 40 页n风险管理的外延要比内部控制大风险管理的外延要比内部控制大从范围看从范围看,内部控制针对的风险大多是可控纯粹风险,其控制对象是企业中的个人,其控制目的是规范员工的行为,其控制范围是企业的业务和管理流程,内部控制一般是管理企业内部运作过程中的风险,通过规范化的操作减少业务运作的不确定性;而风险管理不仅包括上面的内容,还包括对公司面临的外部风险的管理,例如政策风险、市场风险以及行业风险等等。从内容看,从内容看,风险管理包括战略目标的设定、风险分析与评价方法的建立和选择、管理者的聘用等等,其活动不全是内部控制的内容;而内部控制一般不会涉及管理的目标。从工具看从工具看,内部控制是通过规范
35、性的制度设计,改进和规范业务运作流程,明确相关人员的责任;而风险管理所采用的工具,不仅包括建立规章制度、规范业务操作流程,还包括运用不同的金融市场工具,如期货、期权、掉期等衍生工具,以达到利用资本市场来分散风险的目的。第 41 页n内控解决的是流程问题,包括业务流程、管理流程中的风险控制,解决的是“正确地做事正确地做事”。n内控解决的是合规性、真实性问题。n内控侧重操作风险大部分的金融灾难都归结于市场风险与信用风险,以及与之相关的大部分的金融灾难都归结于市场风险与信用风险,以及与之相关的内控失效,即操作风险内控失效,即操作风险第 42 页n全面风险管理解决的不仅是流程问题,更是要解决战略决策问
36、题、应急处理问题;不仅要解决当前的问题,更要预测和应对将来可能发生的问题;不但要解决“正确地做事正确地做事”,关键是还要解决“做正确的事做正确的事”。全面风险管理解决的是决策的体制问题、制度设计问题,防止重大决策失误,防止出现重大危机问题。全面风险管理要对结果的好坏负责。n侧重宏观层面风险n要关注宏观层面风险向操作风险的转化第 43 页风险评估风险评估外部审计外部审计内部控制控制环境控制环境内部审计内部审计控制活动控制活动信息沟通信息沟通持续监控持续监控风险管理目标设定目标设定事项识别事项识别风险应对风险应对企业管理各项经营管各项经营管理活动,如理活动,如战略管理、战略管理、人力资源管人力资源
37、管理、财务管理、财务管理、资产管理、资产管理等理等风险战略风险战略治理结构治理结构组织体系组织体系风险理财风险理财第 44 页介绍提纲介绍提纲第 45 页3.2风险评估3.3控制活动3.4信息与沟通3.5内部监督3.3.完善的内部控制框架体系应该包括哪些内容?完善的内部控制框架体系应该包括哪些内容?第 46 页内部环境内部环境- -具体内容:具体内容: 治理结构 机构设置及权责分配 内部审计 人力资源政策 企业文化-内部环境内部环境- -内部控制基础内部控制基础u 设定组织管理的基调u 影响着员工的控制意识u 其他四个内控要素的基础u 最终影响内部控制的效果第 47 页1.1.治理结构是最高层
38、次的权责架构治理结构是最高层次的权责架构有效治理结构要求股东大会、董事会、监事会和经理层之间权责明确、运作规范、相互制约2.2.机构设置及权责分配机构设置及权责分配精简高效、权责清晰、相互制约决策、执行、审批、监督等职责权限的界定3.3.内部审计内部审计组织机构内在制衡-相对独立第 48 页聘用:聘用:坚持德才兼备,以德为先培训:培训:提高岗位绩效辞退与辞职:辞退与辞职:交接手续薪酬、考核、晋升与奖惩:薪酬、考核、晋升与奖惩: 激励约束强制休假制度和定期岗位轮换强制休假制度和定期岗位轮换掌握国家秘密或重要商业秘密的员工离岗的限制性规定掌握国家秘密或重要商业秘密的员工离岗的限制性规定4. 4.人
39、力资源控制人力资源控制第 49 页 5. 5.企业文化企业文化柔性控制。用文化引导、影响和约束人的行为内控合规理念。 内控合规创造价值 全面内控人人有责 从管理层做起风险导向的管理理念和经营风格 违规必究第 50 页 2004年12月,公司披露在石油投机交易中损失5.5亿美元 2005年,首席执行官陈x也被发现有内部交易的舞弊行为 2002年3月公司制订了风险管理手册,风险管理手册规定任何新产品交易必须经董事会批准,但期权交易董事会从未批准过。2003年审计委员会报告说要制定期权交易指引,但这份文件却一直没有出台 CEO两次替换掉总公司委任的财务经理 CEO本人既负责日常风险管理,同时也是交易
40、的最终决策人 交易未向集团公司报告,交易者没有被恰当监控中航油中航油案例案例第 51 页 CEO个人说了算,替换掉由总公司委任的财务经理;未经批准从事高风险交易。 董事会没有起到应有作用,对CEO缺乏有效地监督制约。 决策与执行没有很好的分离,CEO既是交易的执行者也是交易的最终决策人。 企业文化有问题。隐瞒不报。中航油中航油案例案例第 52 页 2004年12月,国资委主任李荣融说中航油问题“归根到底都是治理结构的问题,没有制约的权力就会带来腐败;否则发现问题及时制止,即使有损失也不会这么大,一定要吸取教训” 2007年10月,李荣融在接受凤凰卫视专访中,又一次提到中航油事件,说“他们那个风
41、险手册规定得很清楚,不是没有风险管理,有,但是这本手册等于没用,都是一个人说了算,该报告的都不报告,反过来董事该履职的,也没有履到职。” 普华永道作为特别审计机构,对其巨额亏损原因进行调查后,在报告中写到:原中航油总裁陈久霖在公司中“营造隐瞒的文化”,管理层向董事会和审计委员会隐瞒了石油期权交易。中航油中航油案例案例第 53 页风险评估:识别、分析、应对风险评估:识别、分析、应对n风险识别风险识别保险保险( (特有特有) )风险:风险:定价风险、准备金风险、巨灾风险金融市场风险:金融市场风险:利率风险、汇率风险信用风险:信用风险:应收保费、再保摊回操作风险:操作风险:系统、流程、外部、人员第
42、54 页风险评估:识别、分析、应对风险评估:识别、分析、应对n风险分析:风险分析:评估风险影响,确定关注的重点领域影响程度影响程度发生频率发生频率第 55 页风险评估:识别、分析、应对风险评估:识别、分析、应对n风险应对:确定风险应对策略风险应对:确定风险应对策略风险规避风险规避: :承保黑名单、老车贷险风险承受风险承受: :自留业务风险降低风险降低: :强化核保、核赔风险分担风险分担: :共保、再保第 56 页按照控制与事件发生的时间关系分类:按照控制与事件发生的时间关系分类:n事前控制:预防性控制事前控制:预防性控制财务专用章与人名章分开保管;客户信用审核携带公章外出展业,经上级公司批准n
43、事中事后:发现性控制事中事后:发现性控制银行对账;凭证复核;财产盘点n自动控制自动控制 VS.VS.手工控制手工控制自动预防:刚性控制自动发现:实时监控&自动预警控制活动控制活动是落实风险应对策略的手段和方法手段和方法。第 57 页出纳麻某工作努力当地分公司熟悉财务工作的一名好员工!但,事实的真相事实的真相却是作为分公司的出纳,同时也是一家县作为分公司的出纳,同时也是一家县级支公司的财务主管级支公司的财务主管挪用贪污公司资金超过百万挪用贪污公司资金超过百万财务中心主任的一次对账,导致麻某财务中心主任的一次对账,导致麻某离岗潜逃离岗潜逃为什么公司没能更早发现?为什么公司没能更早发现?分支机构一个
44、真实的案例分支机构一个真实的案例第 58 页执行定期轮岗或者休假的制度,使其他人有机会接任出纳的工作岗位 (人力资源控制)出纳岗位与财务主管的岗位分离(不相容职务分离控制)向客户发函确认应收保费,或者与销售人员确认应收保费并由主管进行审核(财产保护控制)对现金进行突击盘点,对银行余额调节表进行审核(财产保护控制)设定应收保费控制目标,进行异常控制(预算控制)分支机构一个真实的案例:如何强化控制分支机构一个真实的案例:如何强化控制第 59 页 职务分职务分离控制离控制 授权审授权审批控制批控制 人力资人力资源控制源控制 财产保财产保护控制护控制 会计系会计系统控制统控制 信息技信息技术控制术控制
45、 应急处应急处理机制理机制 流程控流程控制制 预算控预算控制制 运营分运营分析控制析控制人员专项应急运营第 60 页Separation of functions:Separation of functions:职责分离职责分离Dual entries:Dual entries:双重记录双重记录Reconciliation:Reconciliation:复核复核Tickler systems:Tickler systems:定时器系统定时器系统Controls over amendment:Controls over amendment:改动控制改动控制Confirmation( outsid
46、e)Confirmation( outside)Verification of priceVerification of priceAuthorizationAuthorizationSettlementSettlementAudit (I &E)Audit (I &E)第 61 页不相容职务? 如果由一个人担任,可能发生错误或者不当行为,同时又有可能对这些如果由一个人担任,可能发生错误或者不当行为,同时又有可能对这些行为进行掩盖的职务。行为进行掩盖的职务。不相容职务分离基础假设两个或以上的人无意识地犯同样错误的可能性较小两个或两个以上的人有意识地串通舞弊的可能性低于单独一个人舞弊的可能性1
47、1、不相容职务分离控制、不相容职务分离控制第 62 页 反面实例:反面实例:某支公司出纳员姚某贪污挪用170多万自制自制进账单记账银行银行会计帐会计帐挪用资金10万自制自制对账单10万银行余额银行余额 调节表调节表平平010万1 1、不相容职务分离控制、不相容职务分离控制第 63 页 反面实例:反面实例:某支公司出纳员姚某贪污挪用170多万缺陷缺陷:资金收支与银行对账两个事项由同一人做因而有机会舞弊,又可以掩盖舞弊事实应对应对:他人领取银行对账单核对账目揭露问题财务中心对账轮岗轮休,工作交接发现问题 实施岗位分离和制约防止舞弊1 1、不相容职务分离控制、不相容职务分离控制第 64 页不相容职务
48、控制运用:1.梳理业务流程,确定业务流程中有哪些岗位和操作 2.分析哪些岗位和事项之间存在联系和牵制,而且容易出现错误和舞弊3.结合岗位职责分工采取分离措施 4.关注员工在公司内的人际关系,坚持回避原则 1 1、不相容职务分离控制、不相容职务分离控制第 65 页常见不相容职务: 财产财产:保管、记录、盘点 承保承保:展业、出单、核保 理赔理赔:查勘、定损、核损、理算、核赔 财务财务:会计与出纳、收支与对账、支票与印章 ITIT系统系统:数据录入与数据库管理 单证单证:单证管理与出单兼职可以吗?控制措施与管理模式相适应1 1、不相容职务分离控制、不相容职务分离控制第 66 页授权审批控制就是业务
49、必须由被授权的人去执行就是业务必须由被授权的人去执行实施要求:所有经营活动纳入授权管理范围,事先明确各项活动的授权者、明确被授事先明确各项活动的授权者、明确被授权者的职责权限。权者的职责权限。 工作效率 VS. 管控力度 常规授权 VS. 特别授权强调书面授权 授权书及转授权书、岗位职责说明书、权责规范手册 其他制度中的授权:资金管理、大商风管理、理赔2 2、授权审批控制、授权审批控制第 67 页n合理把握授权范围和尺度 权限过小影响经营活动效率和被授权者积极主动性 权限过大有可能对某些重要事项失去控制 :固定资产规模控制n监督授权执行情况n保持动态授权、差异化管控 风险管控能力强、对工作效率
50、要求高,则放权 授权执行情况差,则收权、集中化管控n越权行为处罚2 2、授权审批控制、授权审批控制第 68 页会计系统控制目的是真实反映经济业务目的是真实反映经济业务 经营结果:资产负债表、利润表、现金流量表经营结果:资产负债表、利润表、现金流量表 控制措施: 程序控制、手续控制、凭证编号、复核与核对程序控制、手续控制、凭证编号、复核与核对 会计软件的设计符合标准,内嵌控制措施会计软件的设计符合标准,内嵌控制措施具体要求: 依法设置会计机构,配备会计人员 严格执行国家统一的会计准则制度 明确会计凭证、会计账薄和财务会计报告处理程序 建立会计信息审核机制3. 3.会计系统控制会计系统控制第 69
