内部控制与风险管理.ppt

内部控制及风险管理,2,提纲,一、全球和内部控制相关法律法规的发展趋势 二、框架和理念介绍 风险管理 内部控制 三、总结,3,全球和内部控制相关法律法规的发展趋势,4,全球和内部控制相关法律法规的发展趋势,2002年7月 美国萨班斯奥克斯利法案生效 2003年3月 澳大利亚证券交易所（ASX）及其公司治理委员会采纳良好公司治理原则和最佳实务操作建议 2004年11月 香港联交所公布公司治理实务和公司治理报告的准则，要求公司董事至少每年审核一次内部控制的有效性，并在公司治理报告中向股东汇报 2005年2月 加拿大安大略证券委员会要求管理层评估并测试有关财务报告的内部控制系统（MI 52-111） 2005年5月 新加坡交易所就其加强上市规定和程序的计划发行了一份公共咨文，提出了公司治理标准并促进更好的监管 2008年8月 加拿大证券管理委员会 Canadian Securities Administrators (CSA) 发布更新的National Instrument 52-109 “Certification of Disclosure in Issuers Annual and Interim Filings”以提升证券发行人年度和中期披露的质量和可靠性,5,全球和内部控制相关法律法规的发展趋势,欧盟 2004年10月成立了“欧洲公司治理论坛”（European Corporate Governance Forum） 2006年5月17日发布了欧盟新公司法第八号指令 （European Union - 8th Company Law Directive，Directive 2006/43/EC） 德国 2002年2月发布了Deutscher Corporate Governance Kodex 德国公司治理准则；最近的一次修改在2008年6月 英国 Turnbull Guidance, 1999 The Combined Code on Corporate Governance, Jul 2003, Financial Reporting Council 法国 法国金融安全法（Loi sur la Scurit Financire）于2003年8月1日实施 意大利 意大利金融服务机构法规（Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari L262/2005）于2005年12月28日实施,6,全球和内部控制相关法律法规的发展趋势,瑞士 Swiss Code of Obligations SWX Swiss Exchange Directive on Information Relating to Corporate Governance (2002/2006) 日本 2006年6月14日发布了日本金融商品交易法 （the Financial Instruments and Exchange Law），并于2008年3月实施。法案与美国萨奥法案相类似，加强对上市公司的监管 澳大利亚 澳洲公司报告和信息披露法简称CLERP9第9号法案与2004年7月1日实施 南非 南非2002年出台公司治理报告法规 The King Code of 2002（Corporate Practices and Conduct the King II Report on Corporate Governance）,7,中国的相关法律法规的发展,2004年8月 中国国务院国有资产监督管理委员会第八号令中央企业内部审计管理暂行办法 2005年10月 中国国务院批转证监会关于提高上市公司质量意见的通知（国发200534号） 2006年5月 中国证券监督管理委员会令第32号首次公开发行股票并上市管理办法 2006年5月 中国证券监督管理委员会公开发行证券的公司信息披露内容与格式准则第9号-首次公开发行股票并上市申请文件等法规 2006年6月 上海证交所发布上海证券交易所上市公司内部控制指引 2006年6月 国务院国有资产监督管理委员会发布国资发改革2006108号中央企业全面风险管理指引 2006年7月 7月15日财政部发起成立企业内部控制标准委员会（财会200611号）,8,中国的相关法律法规的发展,2006年9月 深圳证交所发布深圳证券交易所上市公司内部控制指引 2007年2月 全国工商联出台关于指导民营企业加强危机管理工作的若干意见，旨在指导民营企业加强危机管理、建立现代企业制度 2007年3月 财政部公布企业内部控制规范基本规范和十七个具体规范的征求意见稿 2007年3月 中国证券监督管理委员会发布证监公司字200728号关于开展加强上市公司治理专项活动有关事项的通知 2008年2月 国资厅发改革20085号：关于开展编报2008年中央企业全面风险管理报告试点工作有关事项的通知 2008年6月 财政部会同证监会、审计署、银监会和保监会制定和发布企业内部控制基本规范，以及关于征求企业内部控制评价指引企业内部控制应用指引和企业内部控制鉴证指引意见的通知 财办会20087号,9,中国的相关法律法规的发展,其他相关条例（部分）及生效日期： 内部会计控制规范 （所有行业）：2001开始逐年推行 证券投资基金管理公司内部控制指导意见：2002年12月 证券公司内部控制指引：2003年12月 保险中介机构内部控制指引：2004年3月 期货经纪公司治理准则：2004年3月 商业银行内部控制评价试行办法：2005年2月 上市公司内部控制制度指引：2005年4月 寿险公司内部控制评价办法：2006年1月,10,企业风险管理报告,11,企业报送全面风险管理报告的要求,国资委在2008年2月18日颁布了关于开展编报试点工作有关事项的通知： 要求国资委19家董事会试点企业以及已经在美国上市的12家中央企业编制企业风险管理报告 在2008年5月30日之前上报 2008年10月31日颁布了关于2009年中央企业开展全面风险管理工作有关事项的通知（国资厅发改革2008115号）： 不再开展编报企业风险管理报告试点工作 继续印发2009年中央企业全面风险管理报告（模本） 中央企业自主选择是否向国资委报送 选择报送单位要严格做好编报的相关保密工作 2009年3月31日前报送 年度风险评价将成为中央企业的一项持续性工作,项目简介,12,国资委2008年企业全面风险管理报告-模本,全面风险管理报告内容要求： 第一部分 2008风险管理工作有关情况 （一）2008面临的重大风险 （二）重大风险管理基本流程执行情况 （三）2008企业风险管理计划,第二部分 风险管理体系 （一）风险管理组织 （二）内部控制体系 （三）风险管理信息系统 （四）风险管理文化 （五）风险管理与绩效考核,13,国资委2009年企业全面风险管理报告-模本,2008年度风险管理工作有关情况 2008年度企业风险管理工作计划的执行情况 企业管理重大风险的效果，包括在管理机会风险方面所取得的主要成效 企业建立风险事件库的相关情况 2009年风险管理工作有关情况 企业2009年面临的重大风险 重大风险管理基本流程执行情况 企业全面风险管理工作总体规划及2009年企业风险管理计划,企业全面风险管理体系及风险管理文化建设现状 风险管理组织体系 内部控制系统 风险管理信息系统 风险管理文化 风险管理与绩效考核 有关意见和建议,14,企业内部控制基本规范介绍,15,企业内部控制基本规范,背景 2006年7月财政部成立了企业内部控制标准委员会，开始编制工作 2007年3月发布征求意见稿 2008年6月28日财政部、审计署、证监会、银监会、保监会联合颁布企业内部控制基本规范 参阅关于印发企业内部控制基本规范的通知：财会20087号/gnxw/200807/t20080715_751587.htm 同时颁布了三份支持基本规范实施的文件并征求公众意见，于2008年9月30日截止意见的收集： 参阅关于征求企业内部控制评价指引企业内部控制应用指引和企业内部控制鉴证指引意见的通知：财办会20087号,16,基本规范总览,结构 共分为七章50条 第一章：定义了基本规范的适用范围，提出了管理层年度评估内部控制的要求 第二至六章：叙述了企业内部控制需要考虑的原则与相关管理要素 第七章：规定了基本规范开始实施的日期，指明了基本规范由财政部会同国务院其他有关部门解释 涵盖内容 虽然没有明确引用相关的国际标准或框架（如：COSO），但基本规范的内容和国外的标准框架和概念大致相同 没有如美国和日本把重点局限于财务报告相关的内部控制，因此与国外同等的内控法规不尽相同,17,规范的关键要求 生效日和适用范围,生效日 自2009年7月1日起实施 基本规范第50条 上市公司范围内施行，鼓励非上市的大中型企业执行 通知 适用范围 中华人民共和国境内设立的所有大中型企业 基本规范第2条,18,规范的关键要求 内部控制以及关键原则的定义,企业建立与实施内部控制应当遵循的五个原则 : 全面性：内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项 重要性：内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域 制衡性：内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率 适应性：内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整 成本效益：内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制 基本规范第四条 有效的内部控制体系应该涵盖的元素： 内部环境、风险评估、控制活动、信息与沟通、内部监督 基本规范第五条,19,规范的关键要求 管理层职责,董事会 对内部控制的建立健全和有效实施全权负责 基本规范第12条 监事会 监事会对董事会建立与实施内部控制进行监督 基本规范第12条 企业管理 成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作 基本规范第12条 对公司内部控制的有效性进行自我评价，披露年度自我评价报告 通知 审计委员会 监督内部控制的有效实施和内部控制自我评价情况 基本规范第13条,20,规范的关键要求 审计师的考虑,不强制要求独立审计 没有引进”联合审计“的概念 审计标准 必须按照基本规范、支持性的法规和相关专业指引要求执行审计 基本规范第12条 审计师的资质 具有证券、期货业务资格的会计师事务所 通知 独立性要求 提供内部控制咨询服务的公司不能同时提供内部控制审计服务 基本规范第12条,21,规范的关键要求 内控控制环境,建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制 基本规范第11条 在董事会下设立审计委员会；审计委员会负责人应当具备相应的独立性 基本规范第13条 保证内部审计机构设置、人员配备和工作的独立性；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告 基本规范第15条 建立有效的人力资源管理 基本规范第17条 强化风险管理意识，建设内部控制管理文化 基本规范第18条 增强董事、监事、经理及其他高级管理人员和员工的法制观念，做到严格依法决策、依法办事、依法监督 基本规范第19条,22,规范的关键要求 风险评估,全面系统持续地收集相关信息，结合实际情况，及时进行风险评估 基本规范第20条 准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度 基本规范第21条 企业内部风险: 人力资源因素：董事、监事、经理及其他高级管理人员的职业操守 管理因素：组织机构、经营方式、资产管理、业务流程 创新因素：研究与开发、技术引进、信息技术利用 财务因素：财务状况、经营成果、现金流量 健康、安全及环保因素 基本规范第22条,23,规范的关键要求 风险评估,外部风险: 总体经济运行状况 法律法规 社会环境 技术因素 自然环境（灾害） 基本规范第23条 分析风险，对风险进行排序，制定风险应对方案 基本规范第25/26条 持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略 基本规范第27条,24,规范的关键要求 控制活动,根据风险评估的结果实施风险应对措施，把风险控制在可承受度之内： 不相容职务分离控制 授权审批控制 会计系统控制 财产保护控制 预算控制 运营分析控制和绩效考评控制 基本规范第28条 建立重大风险预警机制和突发事件应急处理机制 基本规范第37条,25,规范的关键要求 信息与沟通,建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行 基本规范第38条 信息沟通过程中发现的问题，应当及时报告并加以解决 ; 关键信息应该及时的和董事会、监事会以及高级管理层沟通 基本规范第40条 保证信息系统安全稳定运行；建立针对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制 基本规范第41条 建立反舞弊机制 基本规范第42条 建立举报投诉制度和举报人保护制度 基本规范第43条,26,规范的关键要求 内部监督,明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限；规范内部监督的程序、方法和要求 基本规范第44条 定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告 基本规范第46条 妥善保存内部控制建立与实施过程中的相关记录或者资料，以作为内部控制有效的审计证据资料 基本规范第47条,27,规范的关键要求 其他事项,运用信息技术以及相关自动控制加强内部控制 基本规范第7条 建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施 基本规范第8条 适用公司的分类是以国家统计局2003年颁布的行业分类标准为基础的，包括：总资产、收入以及员工数量等等，但统计局的标准并不涵盖所有行业，因此各相关监管机构通常发布补充性指标对其行业的企业进行分类，如：金融服务业,28,内部控制和风险管理框架和理念介绍,29,内部控制,30,背景介绍COSO的产生和发展,COSO是由美国注册会计师协会（AICPA）、内部审计师协会（IIA）、财务经理协会（FEI）、美国会计学会（AAA）、管理会计学会（IMA）等多个专业团体组成的一个民间组织，致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。,31,Treadway委员会 发起委员会,背景介绍COSO的产生和发展,反财务报告欺诈委员会（Treadway委员会）于1985年成立，在1987年发表报告，号召研究并制定一个统一的内部控制框架 1992年9月发布了内部控制整体框架报告；1994年对内部控制整体框架做了增补 自2004年起，COSO是全球各监管机构所发布的有关内部控制的法规和要求的默认标准，是目前世界最为被广泛认可的内部控制整体框架 美国上市公司会计监管委员会在审计准则中提及了COSO内控框架可以作为评估内控的标准 按照COSO内控框架建立内控体系，是企业梳理管理流程、规范管理制度、提升整体管理水平的契机,32,COSO框架对内部控制的定义,内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。 内部控制被定义为一个过程 由组织的董事会、管理层和其它人员共同实施 实现以下的目标： 经营的效果和效率 财务报告的可靠性 法律和法规的遵从性 只提供“合理保证”,33,五个元素需要实际有效的运行和整合以确保控制目标的实现,控制活动 确保管理活动付诸实施的政策/流程 措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离,监督 不断评估内部控制系统的表现 整合实时和独立的评估 管理层和监督活动 内部审计工作,控制环境 营造单位气氛让公司员工建立内部控制 因素包括正直，道德价值，能力，权威和责任 是其他内部控制组成部分的基础,信息和沟通 及时地获取，确定并交流相关的信息 从内部和外部获取信息 使得内控管理指示能得到顺畅的传达，以及内控有效性信息能够被获知,风险评估 风险评估是为了达到企业目标而确认和分析相关的风险 形成内部控制活动的基础,COSO框架：内部控制的关键要素,34,COSO要素一 ：控制环境内部控制的基础,控制环境： 是企业的整体气氛 影响员工的控制意识 是其他要素的基础 提供纪律约束和架构,35,COSO要素二 ：风险评估控制措施的依据,风险评估：对确认的风险采取必要措施，以保证公司目标得以实现 落实到公司各处，涉及公司各个层面以及各项职能 随着经济、企业、制度和操作环境的不断变化，需要建立相应机制以发现和处理这些变化所带来的特殊风险,36,COSO要素三 ：控制活动,控制活动：是为确保管理层指示得以执行的政策和程序 包括一系列不同的活动，如审批、授权、确认、核对、考核经营业绩、资产保护等 针对企业的不同目标，控制活动可以分为以下三个类别：即为提高经营效率效果、增强财务报告的可靠性、遵守法规等目标的三类控制活动,37,COSO要素四：信息和沟通,企业定期获取及交流内、外部的信息，帮助员工履行职责，包括： 信息的识别和获取 信息加工和报告 内部沟通和外部沟通 相关信息必须采用恰当的形式并在恰当的时间内沟通，以便相关人员能有效履行职责，采取适当行动,38,COSO要素五：监控内控持续有效的保障,评估内控系统在一定时期内运行质量的过程，目的是保证内部控制持续有效 其范围和频率取决于风险的重大性或现有监控程序实施的有效性 监控的方式包括： 持续性监控 独立的评估，如内部审计,39,风险管理,40,风险和风险管理的定义,企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。 风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。 国资委中央企业全面风险管理指引,41,COSO企业风险管理框架介绍,企业风险管理是一个过程：它由公司董事会、管理层以及其他员工执行，适用于公司战略的制定和整个公司范围，用来识别可能对公司产生影响的潜在事项，并将风险控制在企业可以承受的水平以内，为公司目标的实现提供合理的保证。 COSO企业风险管理-整合框架，2004 COSO企业风险管理整合框架： 为企业风险管理定义了基本的核心要素 提出共同语言 提供明确的方向和指导,42,COSO企业风险管理框架介绍,企业的目标可以分为四个类别： 战略性目标 运营性目标 报告目标 合规性目标 企业风险管理将企业各个层面的活动都纳入了考虑范围： 公司层面 部门或业务单位 分、子公司,43,COSO企业风险管理框架介绍,企业风险管理要求企业用“风险组合”的方式看待风险： 管理层考虑单个风险之间是如何联系的 管理层从以下两个层面确定“风险组合”观点： 业务单元层面 公司层面 框架的八个要素是相互联系的,44,COSO风险管理框架要素一：内部环境,树立风险管理的理念：这种理念 认为无论是预期的还是非预期的 事件都有可能发生 建立企业的风险文化 考虑企业的活动可能对其风险 文化产生影响的所有方面,45,COSO风险管理框架要素二：目标设定,在管理层设定目标的过程中，考 虑到风险战略问题时使用 形成董事会和管理层对企业愿意 和能够承担的风险程度的高层决定 风险容忍程度，即可接受的目标 偏离水平，与董事会和管理层的 政策是一致的,46,COSO风险管理框架要素三：事件识别,区分风险和机遇 可能产生负面影响的事件为风险 可能产生正面影响的事件为机遇 ，这些机遇使管理层重新考虑战 略的制定 包括识别发生在内部或外部的 可能影响战略和目标实现的事件 考虑内部和外部因素如何相互 关联，共同影响风险水平,47,COSO风险管理框架要素四：风险评估,理解潜在的事件对企业目标有多 大程度的影响，并从两个方面对 风险进行评估： 发生的可能性 影响程度 明确用来评估风险以及用来衡量 相关的目标 结合使用定性和定量两方面 的来评估风险 将时间和目标联系起来 从固有风险和剩余风险的角 度来评估风险,48,COSO风险管理框架要素五：风险回应,确定并评估可能的应对风险的方法 根据企业风险偏好、潜在风险应对措施的成本效益来评价各种风险应对措施，以及各种风险应对措施可以在多大程度上降低风险影响程度和/或发生可能性 基于对风险和应对措施组合的评估，选择并实施适当的应对措施 风险回应的四个选择：接受、避免、减少或减低、分担,49,COSO风险管理框架要素六：控制活动,确保风险应对措施和其他的企业 目标有效执行的政策和程序 发生在整个企业的不同层次和 不同职能部门中 包括应用控制和信息系统总体 控制,50,COSO风险管理框架要素七：信息和沟通,管理层以一定的形式在一定时限 内识别、获取并沟通相关信息， 使相关人员可以履行自己的责任 沟通在组织中更广泛的范围内， 同时由上而下、自下而上以及 平行地进行,51,COSO风险管理框架要素八：监督,通过以下的方法，来监督企业 风险管理的其它组成部分的有 效性： 持续监督 独立评估 上述两者的结合,52,企业风险管理的重要性,原则： 所有企业，无论是否以营利为目的，都是为了实现相关各方的利益而存在的 利益的创造、保护和损失，都取决于管理层的决定：这些决定包括战略制定到企业日常运营的各种活动 企业风险管理通过帮助管理层开展下列工作来创造价值： 有效地处理将来可能造成不确定性的潜在事件 通过降低出现负面结果的可能性，并增加出现正面结果的可能性来应对风险,53,风险评估,风险识别,风险分析,主要风险,主要控制,结 合 企 业 目 标,54,风险和企业管理目标的关系,企业目标的实现取决于企业是否能管理很多相互影响的风险元素,固有风险程度,55,总结,总结,57,总结,在全球的领域内，公司治理、风险管理和内部控制已从以往“自发自愿”的模式演变成当前法律法规的要求： 随着市场对上市企业内部监控及公司治理的要求不断提高，企业需要进一步完善内部监控及风险管理 在国内，中央企业也同样需要完善内部控制和风险管理 中国企业在完善这些领域的过程中预期会面对很多不同方面的问题，包括理解和文化上的问题、解决一些传统老企业问题、各部门及各公司间的沟通问题、执行内控措施的一致性问题等 提升内部监控及公司治理将会是一个任重道远且需要花费管理层大量精力的过程，但将有助于企业： 更好的在安全、高效的方式中运作经营、发展业务 更好的管理风险以使得各项业务符合相关的法律及法规 执行有效的内部控制，以提高透明度及保护股东和各相关利益方的权益 更好的迎合未来发展，以满足企业长远发展目标,58,建立有效内控体系需要关的主要领域,适当的组织结构，明确角色、职责和权力 培训；加强对内控的认识和理解 有效的内部审计职能 与企业监管、监督部门的协调与沟通 董事会、监事会、审计委员会 协调使用外部资源支持内控工作 明确目标，循序渐进 适当的利用工具 如 “控制自我评估”为主动确认内部控制缺陷的工具,59,实现企业风险管理和内部控制体系的挑战,在内部控制和风险管理的每个关键领域里都存在重大的挑战： 内部环境 高级管理层的参与 管理层和下级人员在风险意识和理念的统一 目标设定 追求量化（取决于是否有可量化的目标） 事件识别 追求全面（取决于是否理解风险的不同层次）,风险评估 追求科学（取决于是否有经验的支撑） 风险回应 追求绝对（需要同时兼顾业务的需求和实际效益） 控制活动 需要掌握和内控工作的异同 信息和沟通 需要了解信息不等于信息系统 监督 需要明确监督的重点：不是有否发生问题，而是能否及时对所发生的问题作出应对,60,企业进行风险管理和内部控制的重点,不是一个新的标语或口号 建立在过去工作的基础上，用更系统、更好的方法和工具来支持和完善企业风险的管理 是用来支持和促进企业的长期健康发展的一项战略性工作 不能只光谈风险或控制 必须有体系和方法做配套，使风险管理成为支持决策的工具 风险管理的定位 不只针对细节；而是从整体层面对风险做出分析和排序，再回到流程中对风险进行管理 明确每个决策背后的风险,不能要追求完美 不可能实现零风险 关键是把风险根据重要性做排序，目标在于可控性同时把风险控制在可承受的程度内 要持之以恒 风险管理和内控工作的关键是持久性，而不是随一项目的完成而结束 应对行业未来发展的变化 多个行业的整合及新竞争对手的加入带来了颠覆性的变化 必需要从风险管理的角度去回应新技术和新业务对企业的影响,61,风险管理和内部控制体系建设的预期成果,有形成果： 明确的风险管理组织架构，包括分、子公司在内的角色和职责分工 书面的管理政策、流程、手册等 明确的风险和控制的信息沟通机制 无形成果： 进一步统一公司上下对风险、风险管理和内部控制的理解 公司总部和分、子公司的高管层将风险信息用于决策参考