1、 版权所有 1993-2009 金蝶软件(中国)有限公司回归和谐 稳健成长内控和风险管理咨询方法论和案例 P2讲师简介简况:张红文,高级会计师、中国注册会计师协会会员。现任:金蝶研究院高级研究员,从事集团财务管理模式研究;历任规划部门经理负责规划了金蝶K/3及EAS集团财务管理软件;历任产品市场部门经理为招商局、中金岭南等数十家大型、超大型集团企业财务管理信息化提供过专业服务。曾任:公司财会部长、科长等职,服务于江西省医药集团、广东科龙集团,从事财务管理实务工作十余年。著述:出版个人著作集团财务管理新思维 P3目录内控与风险管理基础理论内控与风险管理实务框架内控与风险管理案例解析P4风险的概念
2、19世纪,西方古典经济学家就提出了风险的概念,认为风险是经营活动的副产品,经营者的收入是其在经营活动承担风险的报酬。20年代初,美国经济学家奈特把风险与不确定性作了明确区分,指出风险是可测定的不确定性。认为风险存在着一定的统计规律,奠定了现代保险学的理论基础。80年代初,日本学者武井勋认为风险是特定环境中和特定期间内自然存在的导致经济损失的变化。本定义包括三种要素:第一,风险与不确定性有差异;第二,风险是客观存在的;第三,风险可以被测量。风险的概念:风险是可测定的不确定性具体风险的测定具有主观性与客观性风险的结果有正面与负面两方面的影响,正面可以带来收益,负面可能带来损失三国故事空城计P5史上
3、著名的三大泡沫事件荷兰郁金香泡沫英国南海泡沫法国密西西比泡沫n1593年克卢修斯受聘担任荷兰莱顿大学植物园的主管将郁金香带到了荷兰。n1630年,荷兰的一朵郁金香花根售价是今天的76,000美元;n六星期后一位初到荷兰的水手误食一枚价值五万美元的“永远的奥古斯都”的郁金香球茎,n价格回落到每只1美元;n1720年初,为了刺激股票发行,南海公司制造“新闻”、接受投资者分期付款购买新股,股价由129英镑一路狂飚到1000英镑以上,严重背离公司业绩。n1720年7月起,内幕人士与政府官员大举抛售,南海公司股价一落千丈,12月跌至每股124英镑,南海泡沫破灭。n1719年7月25日,约翰劳的印度公司取
4、得了皇家造币厂的承包权,8月取得农田间接税的征收权。n从1719年5月开始,推动法国股票价格连续上升了13个月,股票价格从500里弗尔涨到一万多里弗尔,涨幅超过了20倍。n从1720年5月法国股市开始崩溃,连续下跌13个月,跌幅为95%。P6内部牵制 以提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有效的内部牵制以便使各项业务能完整正确地经过规定的处理程序,而在这规定的处理程序中,内部牵制机能永远是一个不可缺少的组成
5、部分。柯氏会计辞典1234两个假设三个构成要素四项基本职能五种不相容职务n两个或两个以上的人或部门无意识地犯同样的错误机会较少;n两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。nL.R.Dicksee最早于1905年提出内部牵制(Internal Check)时认为,内部牵制由三个要素构成:职责分工;会计记录;人员轮换。实物牵制如钥匙交两个以上的持有,物理牵制如银库大门按非正确手续操作就会报警、分权牵制每项业务由不同的人或部门去执行、簿记牵制如明细帐与总帐定期核对。授权批准、业务经办、会计记录、财产保管、稽核。P7内部控制n“保护公司现金和其保护公司现金
6、和其他资产,检查薄记事务他资产,检查薄记事务的准确性,而在公司内的准确性,而在公司内部采用的手段和方法部采用的手段和方法”1936年AICPA的定义n内部控制包括组织的内部控制包括组织的计划和企业为了保护资计划和企业为了保护资产,检查会计数据的准产,检查会计数据的准确性和可靠性,提高经确性和可靠性,提高经营效率,以及促使遵循营效率,以及促使遵循既定的管理方针等所采既定的管理方针等所采用的所有方法和措施。用的所有方法和措施。1949年AICPA的定义n吉姆斯吉姆斯 D D 威廉森在威廉森在现代主计长手册现代主计长手册第五第五版中指出:版中指出:“为了合理地为了合理地保障企业特定目标的实现,保障企
7、业特定目标的实现,企业管理当局制定了许多企业管理当局制定了许多政策和程序。这个政策和政策和程序。这个政策和程序集合就是内部控制制程序集合就是内部控制制度。度。”现代主计长手册1953年10月,AICPA把内部控制分为会计控制和管理控制n会计控制会计控制“由组织计划和所有保护资由组织计划和所有保护资产、保护会计记录可靠性或与此相关的产、保护会计记录可靠性或与此相关的方法和程序构成。方法和程序构成。n包括:授权与批准制度;记账、编制财包括:授权与批准制度;记账、编制财务报表、保管财务资产等职务的分离;务报表、保管财务资产等职务的分离;财产的实物控制;内部审计等;财产的实物控制;内部审计等;n管理控
8、制管理控制“由组织计划和所有为提高由组织计划和所有为提高经营效率、保证管理部门所制定的各项经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接相关的方政策得到贯彻执行或与此直接相关的方法和程序构成。法和程序构成。n通常只与财务记录发生间接的关系,包通常只与财务记录发生间接的关系,包括统计分析、时动分析、经营报告、雇括统计分析、时动分析、经营报告、雇员培训计划和质量控制等。员培训计划和质量控制等。P8内部控制结构 内部控制结构是指为了对实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体,包括控制环境、会计系统及控制程序三个部分。1988年美国审计准则委员会第55号审计准则
9、公告控制环境控制环境会计系统会计系统控制程序控制程序 控制环境是对企业控制的建立和实施有重大影响的一组因素的统称。它们包括:n管理哲学和经营风格;n组织结构;n董事会的职能;n授权和分配责任的方式n管理控制方法;n内部审计;n人事政策和实务;n外部影响。会计系统是企业为了汇总、分析、分类、记录和报告企业交易,并保持对相关资产与负债而建立的方法和记录。一个的效的会计系统应能做到以下几点:n确认并记录所有真实的交易;n及时且充分详细地描述交易,以便在财务报表上对交易作恰当的分类;n计量交易的价值,以便在财务报表 上记录其恰当的货币金额;n确定交易发生的期间,以便将交易记录在适当的会计期间;n在财务
10、报表中恰当地表达的披露交易及相关事项。控制程序同其他两个要素一样,也是为了合理保证公司目标的实现而建立的政策和程序,它既可以单独应用,也可以融合于控制环境或会计系统的特定组成部分。控制程序主要包括:n恰当授权;n职责分离n凭证和记录;n按近控制;n独立检查。P9内部控制整合框架1985年,由AICPA、IIA、FEI、AAA、IMA等共同发起成立了“全国舞弊性财务报告委员会”(即Treadway委员会)。两年后,根据该会的建议,其赞助机构又成立了专门研究内部控制问题的组织,即COSO委员会。COSO的目的是制定一个服务于公司、独立公共会计师、立法者和监管部门需要的内部控制定义,为公司评价其内部
11、控制系统的有效性提供一个参照标准的广泛框架。1992年,COSO发布了内部控制整合框架“内部控制是由董事会、管理当局和其他职员实施(effect)的一个过程(process),旨在为下列各类目标的实现提供合理保证:经营效果和效率;财务报告的可靠性;遵循适用的法律和法规”。“将对内部控制的不同概念整合到一个框架中,从而达到对内部控制的共识,确定控制的构成要素”;试图“建立一个适用于各方需求的通用的定义;提供一个标准,无论规模大小、公众还是私人的、盈利性的还是非盈利性的业务和企业,均可以参照该标准评估他们的控制系统并决定如何改进”;从而“帮助公司和企业的管理层更好地控制组织的活动”。1994年CO
12、SO 委员会提出对外报告的修改篇,扩大了内部控制涵盖范围,增加了与保障资产安全有关的控制,得到了美国审计署(General Accounting Office,GAO)的认可。;“保护资产防止未经授权的取得、使用或处置的控制是一个过程,它是由组织的董事会、管理层及其他人员实现的,用来为防止或及时发现那些对财务报告有重大影响的未经授权取得、使用或处置资产的行为提供合理保证的”。P10内部控制整合框架监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1n信息系统产生各种报告,包括经营
13、、财务、守规等方面,使得对经营的控制成为可能。处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。信息和交流(information and communication)n包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提供的关注和方向。控制环境影响员工的管理意识,是其他部分的基础。控制环境(Control environment)n确认和分
14、析实现目标过程中的相关风险,是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化,需建立一套机制来辨认和处理相应的风险。风险评估(risk assessment)n帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能,包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。控制活动(control activities)n监控在经营过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告,严重的问题要报告到管理层高层
15、和董事会。监控(monitoring)COSO内部控制整合框架:三目标、五要素P11世界之交的挑战2000上世纪末本世纪初07年开始,全球经济因“次贷危机”这座冰山彻底改变了前进的航程。n贝尔斯登破产n两房面临破产困境n雷曼兄弟倒闭、美林被收购nAIG寻求政府救助n高盛、摩根士丹利无奈转寻商业银行兼并n“金融海啸”波及欧洲,影响全球。1997年6月开始,一场金融危机在亚洲爆发,打破了亚洲经济急速发展的景象,亚洲一些经济大国的经济开始萧条。n1997年7月7日,泰国宣布放弃固定汇率制,实行浮动汇率制,引发了一场遍及东南亚的金融风暴。n1998年初,印尼金融风暴再起。n1998年8月初,美国股市动
16、荡、日元汇率下跌,国际炒家对香港发动新一轮进攻。P12前车之鉴:安然破产2000年美国最大的石油和天然气企业当年的营业收入超过1000亿美元雇佣员工2万人美国财富500强第七名2001年末宣布第三季度6.4亿美元的亏损隐瞒了5亿美元的债务1997年以来虚报利润5.8亿美元股价由年初80美元跌至年末80美分此前10个月董事及高管红利3.2亿分析调查安然的董事会及审计委员会均采取不干预(“hands-off”)监控政策事件发生之后,部分董事表示不太了解安然的财务状况、期货及期权的业务安然重视短期的业绩指标安然管理高层常常藐视或推翻公司制定的内控制度 P13前车之鉴:世通倒闭2001年美国第二大电信
17、公司美国财富500强中排名前l00位2002年世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法在1998年至2002年期间,虚报利润110亿美元。股价从最高的96美元暴跌至90美分年末申请破产保护世通的4名主管(包括公司的CEO和CFO)承认串谋讹诈,被联邦法院刑事起诉。调查发现世通的董事会持续赋予公司的CEO(Bernard Ebbers)绝对的权力,让他一人独揽大权美国证监会的调查报告指出:世通完全没有制衡机制世通的董事会并没有负起监督管理层的责任世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金美国世通公司前CEO埃贝斯出庭受审 P14前车之鉴:巴林破产英国巴林银行:20世纪
18、90年代前英国最大的银行之一,有超过200年的历史。19921994年期间,巴林银行新加坡分行总经理里森(Nick Lesson)从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动,累积亏损超过10亿美元,导致巴林银行于1995年2月破产,最终被荷兰ING收购。n调查发现n巴林银行的高层对里森在新加坡的业务并不了解n高层对财务报告不重视n缺乏职责划分的机制,里森身兼巴林新加坡分行的交易员和结算员。里森在自传中说:里森在自传中说:“有一群人本来可以揭穿并阻止我的把戏,但他们没有一群人本来可以揭穿并阻止我的把戏,但他们没有这么做。我不知道他们在监督上的疏忽与罪犯的疏忽之间的界限何在
19、,也有这么做。我不知道他们在监督上的疏忽与罪犯的疏忽之间的界限何在,也不清楚他们是否对我负有什么责任。不清楚他们是否对我负有什么责任。”P15前车之鉴:金融海啸中的五大投行P16企业风险管理整合框架2001年,COSO委托普华开发一个企业管理层评价和改进企业风险管理的框架;2003年,COSO发布企业风险管理框架(草稿);2004年9月,COSO正式发布企业风险管理整合框架。企业风险管理是“一个过程,它由一个主体的董事会、管理当局和其他人员实现(effect)的,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,为主体目标的实现提供合理保证
20、”。内部控制已经包含在企业风险管理当中,而且是企业风险管理的一个组成部分,企业风险管理比内部控制宽泛,是在内部控制的基础上的拓展和精心设计,以形成一个更加充分关注风险的更“健壮”的概念体系。COSO不打算、也的确没有用企业风险管理框架取代内部控制框架,而是将内部控制框架纳入其中,公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要,还可以借此转向一个更加全面的风险管理过程。P17企业风险管理整合框架目标:从各种角度来考虑因素:从相联的各种过程来考虑地点:从组织的各个层次考虑与内部控制整合框架的差异与联系:n从二者的框架结构看,ERM增加了战略目标;增加了目标设定,事件识别和风险对策三个
21、要素。n从二者的实质内容看n一是内部控制仅是管理的一项职能,而全面风险管理贯穿于管理过程的各个方面;n二是全面风险管理框架涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险,包括风险和机会;而内部控制框架没有区分风险和机会;n三是由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,在风险度量的基础上有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资源分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。n全面风险管理涵盖了内部控制。P18美国萨班斯法案SOX法案302节“
22、公司对财务报告的责任”签字官员(A)对建立及保持内部控制负责;(B)设计了所需的内部控制,以保证这些官员能知道该公司及其纳入合并报表的子公司的所有重大信息,尤其是报告期内的重大信息;(C)评价公司的内部控制在签署报告前90天内的有效性;(D)在该定期报告中发布他们上述评价的结论。签字官员已向公司的审计师及董事会下属的审计委员会(或担任同等职务的人员)披露了如下内容:(A)内部控制的设计或运行中,对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷。并向公司的审计师指出内部控制的重大缺陷。(B)在内部控制中担任重要职位的人员或其他雇员的欺诈行为,不论行为的影响是否重大。签字官员应
23、在报告中指明在他们对内部控制评价后,内部控制是否发生了重大变化,或是其他可能对内部控制产生重要影响的因素,包括对内部控制的重大缺陷或重要缺点的更正措施。P19美国萨班斯法案SOX法案404节“管理层对内部控制的评价”(a)内部控制方面的要求SEC应当相应的规定,要求按1934年证券交易法第13节(a)或15节(d)编制的年度报告中包括内部控制报告,包括:(1)强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;(2)发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价;(b)内部控制评价报告对于本节(a)中要求的管理层对内部控制的评价,担任公司年报审计的会计公司应当对其
24、进行测试和评价,并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。内部控制评价、审计公司管理层对财务报告内部控制有效性的评价注册会计师对财务报告内部控制的审计注册会计师的审计报告对内部控制有效性的审计意见内部控制的对外报告内部控制的对内报告内部控制报告浙江工商大学张宜霞浙江工商大学张宜霞美英上市公司内部控制评价与报告体系的比较研究美英上市公司内部控制评价与报告体系的比较研究 P20美国SEC“财务报告内部控制”2003年6月,美国SEC发布“财务报告内部控制”;一个过程,它是由公司首席执行官和首席财务官或履行类似职能的人设计的或在其监督之下的,
25、并由公司董事会、管理层和其他人员实施的,为财务报告的可靠性和按照公认会计原则编制对外财务报表提供合理保证;财务报告内部控制包括的政策和程序要:与保持适当详尽、准确和公允反映公司资产的交易和处置的记录相关;合理保证对交易进行了必要的记录以容许按照公认会计原则编制财务报表,以及公司的收入和支出只根据公司管理层和董事的授权进行;合理保证防止或及时发现未经批准取得、使用或处置那些可能会对财务报表产生重要影响的公司资产。P21美国PCAOB审计准则n2004年发布标题为与财务报表审计相关的财务报告内部控制审计n管理当局的责任:n对公司财务会计报告内部控制的有效性负责;n使用适当的控制标准(如COSO标准
26、);n评价公司财务会计报告内部控制的有效性;n提供足够的证据、包括记录编制来支持评价,以及在公司最近的财政年度末,就公司财务会计报告内部控制的有效性出具书面评价。n评价内控有效性的程序:n确定需要测试的控制措施;n评价控制失败导致财务报表错报的可能性、错报的重要性;n评价控制措施的设计和实施有效性;n确定已识别的内控缺失是否构成重要缺失或实质性薄弱;n将发现传达给相关方;n对发现是否支持其评价进行评估。nPCAOB2号准则n2007年6月发布审计准则五号,对缺陷、重大缺陷和实质性缺陷的定义在二号准则的基础上进行了修改和说明。n缺陷n指当控制的设计或运行不允许管理层或雇员实施他们的职能来及时防止
27、错报的发生,从而发生了内部控制缺陷。缺陷分为设计缺陷和运行缺陷。n重大缺陷n内部控制对于财务报告的缺陷或缺陷的组合,没有实质性缺陷那么来重,但是重要到能够吸引对于财务报告负责检查的人员的注意力。n实质性缺陷n财务报告内部控帽方面的一项缺陷,或者一组缺陷的组合,使得在合理的可能性水平上,公司年度或者中期的财务报告的实质性错报无法及时被阻止或察觉到。nPCAOB5号准则P22国际内控与风险管理趋势内部控制制度内部控制制度AICPA把内控划会计控制和组织控制。-建立内控-数据准确一致-内控可靠性内部牵制内部牵制依据串通舞弊的可能性较小,提出五种不相容职务分离原则,实现实物与簿记牵制。三大目标-经营效
28、果和效率-财务报告的可靠性-遵循适用的法律和法规五大要素-控制环境-风险评估-控制活动-信息沟通-监控(1994年,保护资产)四大目标-战略实现-经营效果和效率-财务报告的可靠性-遵循适用的法律和法规八大要素-内部环境-目标设置-事件识别-风险评估-风险反应-控制活动-信息与沟通-监控内部控制结构内部控制结构AICPA内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序;-控制环境-会计系统-控制程序(三要素)内部控制整合框架内部控制整合框架风险管理整合框架风险管理整合框架P23全球经济危机下中国企业的新挑战合俊倒闭合俊倒闭中信巨亏中信巨亏三鹿破产三鹿破产更早前的案例n2004年中航油
29、炒作原油期货,巨亏5.5亿美元;n银广夏造假、达尔曼资金黑洞、托普神话、德隆危机n美国金融危机波美国金融危机波及中国实体经济及中国实体经济企业倒闭第一案。企业倒闭第一案。高管高管“不知情的不知情的”澳元澳元累计认购期权合约公允累计认购期权合约公允价值损失约价值损失约186186亿港元。亿港元。三聚氰氨毒害一批婴幼三聚氰氨毒害一批婴幼儿,摧毁了三鹿,也损儿,摧毁了三鹿,也损害了中国乳品行业。害了中国乳品行业。P24前车之鉴:合俊倒闭 香港合俊控股集团成立于1996年,香港联交所上市企业,其主力生产基地就是设在樟木头镇的2家工厂,产品70%以上销往美国,包括为全球最大的玩具商美泰公司提供OEM(贴
30、牌加工)业务。n合俊大事记n1995年:胡锦斌接下1700万港元的订单。一年后,合俊集团在东莞成立。n2004年:在合俊开始挺进成人玩具市场。n2006年9月:合俊集团在香港联交所上市,股票代码为02700。n2007年9月:合俊集团买入福建天安矿业股份。n2008年8月,为了缓解资金紧张,合俊以2700万元出售其在清远市佛冈的一块土地。n最近一次合俊公布中期业绩,股东亏损2亿元,每股亏损0.44元,不派中期息。8月15日,危机终于爆发。n2008年10月15日合俊集团旗下两工厂倒闭n约6500名员工失业,事发后,政府将先行垫付2400万元工资。n从影响和知名度来看,这被称为“美国金融危机波及
31、中国实体经济企业倒闭第一案。”P25前车之鉴:中信巨亏中信泰富的前身泰富发展有限公司成立于1985年。1986年通过新景丰公司获得上市地位,同年2月泰富发行2.7亿股新股予中国国际信托投资(香港集团)有限公司1991年泰富正式易名为中信泰富。荣智健称“不知情”遭到质疑 n2008年10月20日中信泰富首告因澳元贬值跌破锁定汇价澳元累计认购期权合约公允价值损失约147亿港元,至今巨额亏损已扩大到186亿港元。n12月2日,中信泰富公开披露的股东通函显示,过去两年中,中信泰富分别与花旗银行香港分行、渣打银行、Rabobank、NATIXIS、瑞信国际、美国银行、巴克莱银行、法国巴黎银行香港分行、摩
32、根士丹利资本服务、汇丰银行、Calyon、德意志银行等13家银行共签下24款外汇累计期权合约。P26前车之鉴:三鹿倒闭2008年报月12日官方初步认定:三鹿“问题奶粉”为不法分子在原奶收购中添加三聚氰胺所致 已传唤78人;2008年9月18日,国家工商行政管理总局发出紧急通知,要求各地工商部门对市场上含三聚氰胺的液态奶,立即责令停止销售、下架退市。n2008年9月19日,国家处理三鹿牌婴幼儿配方奶粉事件领导小组召开第二次全体会议,全国各地已退市问题奶粉3215.1吨。n国务院办公厅日发出通知,要求各地区、各部门认真贯彻落实党中央、国务院的决策部署,以对人民群众高度负责的精神,进一步做好婴幼儿奶
33、粉事件处置工作。n2008年12月31日,原董事长受审。n2009年02月13日,三鹿集团正式破产。n2009年03月04日,三元以6.1650亿元拍得三鹿资产。P27企业内部控制基本规范五目标五原则 五要素n全面性原则n重要性原则n制衡性原则n适应性原则n成本效益原则n合法合规n资产安全n财务报告n经营绩效n战略实现七项一般控制措施n不相容职务分离控制n授权审批控制n会计系统控制n财产保护控制n预算控制n运营分析控制n绩效考评控制 n财政部、证监会、审计署、银监会、保监会五部委共同发布财政部、证监会、审计署、银监会、保监会五部委共同发布 n内部环境n风险评估n控制活动n信息与沟通n内部监督五
34、个五:五目标、五原则、五要素、五部委发布共五十条 P28内部控制应用指引1组织架构及权责分配(治理结构、机构设置、权责分配、内部审计、总分公司等内容)2母子公司(母子公司治理结构下母公司对子公司的控制问题)3安全环保与社会责任(理念、制度、投入、管理、检查等内容)4人力资源管理(扩充原内容,对人力资源进行全方位、全过程控制)5货币资金(扩充内容,不局限于收付程序的审批,对资金管理中的高风险问题进行提示)6采购与销售(购销高风险业务环节控制,对以下各业务与事项的控制相似)7工程及实物资产8研发及无形资产9筹资10对外投资11运营管理(生产经营过程控制)12信用管理(授信管理问题,包括对往来客户、
35、分子公司等的授信政策和管理等)13预算管理14担保与投保15合同协议与法律事务16重组与并购17关联交易18内部报告与信息系统(侧重内部报告机制建设和信息系统安全控制,包括反舞弊问题等)19对外报告(含信息披露)20银行业务(含信托业务)21保险业务22证券业务(含基金业务)应用指引项目构成(征求意见稿)应用指引项目构成(征求意见稿)P29内部控制评价指引n企业实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价。n信息系统的有效性评价包括信息系统一般控制评价和信息系统应用控制评价。n企业集团对被评价单位内部控制的有效性的评价。n内部控制评价工作方案n内部控制评价工作程序n内部控制评估
36、和测试的方法n内部控制有效性相关的证据n内部控制有效性相关的判断n内部控制评价证据保存n内部控制评价证据报告n内部控制缺陷分类(一般可分为设计缺陷和运行缺陷)n内部控制缺陷判的断则n内部控制缺陷判的整改n年度内部控制评价报告P30内部控制鉴证指引企业内部控制鉴证,是指会计师事务所接受委托,对企业与财务报告相关的内部控制的有效性进行鉴证,并发表鉴证意见。企业内部控制鉴证指引是注册会计师执行企业内部控制(以下简称内部控制)鉴证业务的业务规范。P31国资委风险管理指引目的:明确要求中央企业要重视和开展全面风险管理;明确什么是全面风险管理;指导企业如何开展全面风险管理工作。主要内容:第一章总则第二章风
37、险管理初始信息第三章风险评估第四章风险管理策略第五章风险管理解决方案第六章风险管理的监督与改进第七章风险管理组织体系第八章风险管理信息系统第九章风险管理文化第十章附则风险管理文化风险管理文化全面风险管理体系全面风险管理体系风险管理基本流程风险管理基本流程一个流程一个流程一个体系一个体系一种文化一种文化全面风险管理框架全面风险管理框架全面风险的目标全面风险的目标五个目标五个目标 五个目标五个目标n风险控制在目标承受范围内n确保与股东的财务信息沟通n确保经营活动的效率与效果n重大风险的危机处理n合法合规P32目录内控与风险管理基础理论内控与风险管理实务框架内控与风险管理案例解析P33一、企业内控与
38、风险管理需求简析需求价值障碍动力观念P34企业内控与风险管理观念的转变n低层次/经营层次。风险监控是内部审计人员的职能。n风险是一个需要控制的负面因素。n风险管理在企业各部分个别展开n风险管理的责任被委派到低层次的人员n风险的衡量是主观的n无组织以及杂乱的风险管理职能注重注重操作操作董事会关注董事会关注n是CEO的工作(也是董事会的监管)n风险其实是一个机会n在整个企业范围内进行一体化的风险管理n风险管理的责任由高级和部门管理人员承担n风险的数化n风险管理被纳入所有企业管理系统P35内控与风险管理的三大动力P36内控与风险管理的三大需求公司层面:n流程层面:将内部控制嵌入管理流程,实现管理和业
39、务过程的内部控制。法规层面:建立和遵从内控制度的相关记录与报告。建立公司内控与风险管理环境。监控内控与风险管理体系的运行。P37内控与风险管理的三大价值回归和谐稳健成长法规遵从n以客户为导向,优化重组流程,确保业务流程协调一致、高效运行;n引入风险意识,将内部控制嵌入企业日常管理与业务流程中;n以战略为目标,整合优化流程,实现企业战略执行与内部运营的和谐。n以战略为导向,纳入风险管理意识,建立企业内控与风险管理环境;n以内控体系为基础,建立全面的风险监控体系;n以风险预警为手段,全面监控企业战略风险,确保企业稳健成长。n以相关政策法规为指南,建立内控与风险管理体系;n以内控与风险管理体系为保障
40、,确保企业运行符合相关政策法规要求;n以内控与风险管理体系的合理设计与有效运行为基础,履行法规要求的记录与报告责任。P38内控与风险管理的三大障碍n缺乏良好的控制环境n法人治理结构不健全,内部控制的外部约束较弱;n公司治理结构中责任不到位;n缺乏绩效考核对内部控制与风险管理的引导机制n高管层缺乏自主控制意识n没有形成重视风险的控制文化n缺乏内部控制方法理论n缺乏理论指导,以最佳实践为参考,注重对事件本身的控制,忽视对责任人的行为尤其是高管层行为的控制;n没有完善的行权、职责、反馈、改进规范;n把内控看成一套制度,而不是过程,缺乏动态理念。n崇尚经验式管理n对管理的有效性和制度的适当性缺乏评价标
41、准n制度拟定部门从自身利益考虑,造成跨部门流程断裂或交叉n对重要的职责与权限划分有较大的随意性,重权力划分,轻责任归属n缺乏系统的风险评估方法和工具n缺乏定期反馈和修正机制就内部控制建设而言,目前国企最缺乏的是制度化的风险评估以及科学的风险应对策略。内部控制环境是内部控制是否有效的关键因素。内控方法论应在行为管理学理论基础上创新发展P39二、内控与风险管理方案模型P401、内部环境基本框架管理层管理层CEO第第三三道防线道防线第第二二道防线道防线第一道防线第一道防线业务部门业务部门董事会董事会风险管理风险管理内部审计内部审计审计委员会审计委员会风险管理风险管理委员会委员会一个基础 三道防线 一
42、种文化P41保护股保护股东权利东权利平等对平等对待股东待股东利害相关利害相关者的作用者的作用及时准及时准确地披确地披露信息露信息董事会董事会的责任的责任一个基础:公司治理结构狭义的公司治理是指一组联结并规范公司股东、董事会、经理人之间责、权、利关系的制度安排。广义上,公司治理还包括公司与其他利益相关者(Stakeholder,如员工、客户、供应商、债权人和社区等)之间的关系,以及有关的法律、法规和上市规则等。公司治理提供了对风险由上而下的监控与管理。近年多个国家都订立了公司治理的最佳守则:美国:纽约证交所最佳治理守则英国:Cadbury/Hampel Report、The Combined C
43、ode加拿大:Dey ReportOECD Report这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任P42公司治理结构的内控职责企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。P43三道防线:风险管理组织体系业务单位防线业务单位防线第二道防线第二道防线第一道防线第一道防线第三道防线第三道防线风险管理单位防线风险管理单位防线内审单位防线内审单位防线P44风险管理组织体系及其职责 内容 董事会 风险管理委员会 总经理 风险管理专职部门其他职能部门 监督部门 工作报告 审议工作报告 在董事会
44、领导下,审议并提交风险管理各项方案、报告 主持全面风险管理日常工作 提出风险管理工作报告 执行风险管理基本流程和制度规范。负责本部门工作。开展监督评价,出具评价报告风险策略 确定风险管理总体目标和策略 提出风险管理策略 风险评估 批准重大风险评估报告 研究提出跨部门重大风险评估报告 控制决策 重大风险控制决策 研究提出跨部门重大风险管理方案 监督评价 批准监督评价报告 负责有效性评估提出改进方案 组织机构 批准 组织协调日常工作 P452、设定目标:企业战略经营架构图战略战略形成形成外部环境分析外部环境分析客户满意程度客户满意程度主要成功因素主要成功因素风险评估风险评估理想及使命确定理想及使命
45、确定战略定位战略定位战略改进战略改进评估和控制评估和控制特定战略特定战略执行执行经营计划经营计划内部因素分析内部因素分析行业行业/市场竞争分析市场竞争分析全球最佳借鉴全球最佳借鉴诊断诊断成文成文执行执行评估评估SWOTSWOT分析分析中国重点国有企业领导人员培训-企业变革框架安达信公司企业咨询部 施能自 二一年十月十九日P46核心价值观行为规范/法人治理结构运营管理战略管理愿景企业文化中国管理模式金字塔n愿景指标化(量化、非量化指标),不再是一句口号n愿景指标与企业的财务目标、盈利、成长及股东价值有关;n愿景指标逐步分解为下面的四个维度的指标,这些指标最终在愿景指标得到反映n衡量战略的具体指标
46、和标准n包含战略要素、衡量指标、战略举措n战略指标分解为运营指标与行动方案 n将各项战略指标转化为具体的可以操作的运营指标,每项战略指标可以分解出多项运营指标n每项运营指标包含衡量指标、运营举措、责任人n建立支撑运营的治理结构指标n多为管理制度、激励制度等管理类定性指标n为其他四个方面的宏大目标提供基础架构,是驱使前述指标获得卓越成效的动力n两个主要范畴:1)企业文化:企业的灵魂;2)核心价值观:公司学习、进步、创新的动力源泉。中国管理模式的金字塔指标5.1 创建持续创新、勇于变革、富有弹性的企业文化5.2 提高员工满意度5.3 营造激励性的创新文化3.1 提高技术创新水平3.2 提高对市场的
47、洞察力,以市场引导销售3.3 提高供应链管理水平3.4 提高客户关系管理水平3.5 建立并持续改善紫光流程和制度2.1 增长战略:提高市场份额2.2 生产率战略:提升人均生产率2.3 成本战略:降低单产成本2.4 企业和品牌战略:提高经销商满意度2.5 市场盈利战略1.1 企业行业地位1.2 企业盈利指标1.3 企业发展指标从企业使命引伸而来的关键成功因素愿景战略管理运营管理治理结构关键指标体系企业文化4.1 建立有效的激励机制4.2 建立网络化的治理结构4.3 健全内部控制制度4.4加强透明化管理P48战略目标样本愿景愿景使命使命价值观价值观中国重点国有企业领导人员培训-企业变革框架安达信公
48、司企业咨询部 施能自 二一年十月十九日P493、风险识别:企业风险模型信息技术风险信息技术风险使用权使用权 完整性完整性相关性相关性 可得到性可得到性 基础设施基础设施阿瑟安德森公司对商务风险的简明定义中国重点国有企业领导人员培训-企业变革框架安达信公司企业咨询部 施能自 二一年十月十九日P50环境风险竞争者敏感性股东关系资本的可获得性灾难性损失 政策法规风险 行业风险金融市场风险竞争者令企业失去原有的市场竞争优势企业无法对变化的环境作出有效及时的反应直接关系到企业在资本市场上的筹资能力公司可能无法筹措到足够的资金来支持自身发展自然灾害给企业造成巨大的损失由政策法规的不可测性及变化给企业带来损
49、失由于行业有关要素变化,使企业丧失在行业中的优势地位由于金融市场的价格波动给企业的金融性资产造成损失P51流程风险-营运风险1、客户满意 由于对客户服务不够重视造成营业额下降2、人力资源岗位人员资格和能力不够3、产品开发 新产品无法被市场接受4、效率企业效率底下令成本高居5、能力企业生产能力过剩或者不足6、表现差异 企业的运作水平与国际先进水准之间还存在巨大的差距 7、时间拖延 业务流程耗时过多8、存货遗失 由于管理不当,存货的遗失给企业业绩造成巨大的损失9、符合由于员工的失误,产品不符合市场需要,无法完成企业预期目标10、业务中断 由于原材料供应中断、有经验人员流失等原因造成的业务中断P52
50、流程风险-营运风险(续)11、采 购 企业可能由于缺乏材料供应商的选择余地造成采购成本偏高12、商品定价 定价的不合理,由于市场价格的波动给企业带来可能的损失13、产品或服务失败由于某种产品的失败给企业的整个形象造成影响14、环 境 由于企业破坏环境而受到第三方或政府的罚款15、健康和安全 由于对安全生产不够重视造成员工的伤亡给企业造成不必要的损失16、商标被侵蚀 由于产品或服务的质量不佳,造成企业名誉受损P53流程风险-财务风险12345货币风险 利率风险 流动性现金转移速度 国际结算6再投资 7信用n利率波动可能会增加企业的借款费用和减少投资项目的产出n资产变现能力差可能企业陷入财务危机n