内部控制与风险管理框架.ppt

内部控制与风险管理框架专题2011年3月 引子 日本核危机与内部控制 技术缺陷一旦燃料棒过热核泄漏几率九成早在1972年 美国原子能源委员会专家就曾建议全面停用 Mark1 沸水反应堆技术 因为一旦燃料棒过热 安全壳容易爆裂 并造成核泄漏 几率高达9成 设备老化老爷车开上高速出事是早晚的曾任东芝公司核电站设计师的后藤政志说 可以初步认定福岛第一核电站1号机组发生的放射性物质泄漏事故是核电站抗震能力不足和设备老化所致 设计漏洞七成核反应堆建在地震高危区国际原子能组织 IAEA 早在2008年就指出 日本的核电站不足以抵挡大地震的破坏 存在着巨大的安全隐患 然而 这一问题却未能得到日本方面的重视 引子 日本核危机与内部控制 监管缺位自己经营自己监管难免糊弄在这次引发全球担忧的核危机爆发后 美国彭博社评论称 福岛核电站看不到头的灾难背后 是日本核能行业数十年来伪造安全报告 隐瞒死亡事故和对地震危险性估计不足等丑相百出 日本负责核电站安全检查的部门是原子力安全和保安院 直属日本经产省 由于日本发展核电主要依循 国策民营 的模式 即由民间企业出头来经营核电事业 而他们的顶头上司就是日本经产省 自己经营 自己监管 难免会监管不严 糊弄了事 专家称福岛核电站 放射性烟羽 或将遍布北半球灾难考验日本民众道德底线抢劫和偷窃事件增加中国各地食盐抢购已经平息销量大幅减少 引子 扁鹊的医术 史记 载 魏文侯曾问扁鹊说 你们三兄弟中谁最善于当医生 扁鹊回答说 长兄医术最好 中兄次之 自己最差 文侯说 可以说出来听一听吗 扁鹊说 长兄治病 是治于病情未发作之前 由于一般人不知道他事先能铲除病因 所以他的名气无法传出去 中兄治病 是治于病情初起之时 一般人以为他只能治轻微的小病 所以他的名气只及于乡里 而我是治于病情严重之时 在经脉上穿针管来放血 在皮肤上敷药 所以都以为我的医术最高明 名气因此响遍天下 引子 扁鹊的医术 故事的管理学启示事后控制不如事中控制 事中控制不如事前控制可惜大多数的事业经营者均未能体会到这一点总是等到错误的决策造成了重大的损失才寻求弥补总是事后弥补 亡羊补牢 为时已晚为何不 未雨绸缪 防患于未然 过去的十年 充满变动与不确定性 2000 年市 与千年虫2001 9112002 安然世通与其他公司丑闻2002 03 新管制规则与立法2004 07 突出财务控制2008 全球金融与经济危机2009 经济的复苏与向好 下一个十年 有什么样的预测 2011 千年极冷2012 世界末日 百年一遇年年遇 历史罕见月月见我们应如何应对 一个引起足够重视的问题研究 据最新研究报告显示 守业要比创业难 全球大部分超级富豪过去20年都不能守住巨额财富 败家率 高达80 福布斯 最新全球400名首富排行榜与20年前相比 结果发现平均每5名中只有1名屹立不倒 而富过20年者寥寥无几 这是为什么呢 是管理不善 内控不严 还是有变化规律 他们为什么没有能够防范失败的风险 在世界500强企业的排行榜上 每年都有10 左右的企业被淘汰出500强 并且 每一个被淘汰者之所以被淘汰 基本上都基于经营与管理不善的原因 应当看到 这些曾经被淘汰出局的强者案例所揭示的经验与教训 对于后来人无疑是一个又一个很好的警示 对企业理财具有特别重要的借鉴作用与现实意义 目前 我国大量的中小型企业甚至微型企业如雨后春笋般进入市场 在 出身率高 的背后有一个令人关注的 成长性 问题 据有关部门统计 目前我国68 的中小企业生命周期都不超过5年 是什么影响了中小企业的寿命呢 有专家认为主要原因是管理不善 控制不严 警告 有人曾经对公司失败的原因做过汇总统计 在失败原因的百分比中 因为疏忽占4 诈欺占2 灾祸1 经营管理不善91 其他不知因素2 从中可以看到 90 以上的企业失败都可能与管理失控有关 失控导致失败 近10多年来 中国商界风云诡谲 每隔一两年便有一些庞大而知名的企业轰然倒地 在 大败局 的众多案例中 那些曾经不可一世的企业家们缺乏现实的控制感和控制艺术大概是最为致命的弱项 仰融无法控制华晨 唐万新无法控制德隆 顾雏军无法控制科龙 宋如华无法控制托普 李经纬和赵新先无法控制他们一手创办的健力宝和三九 等等 一切悲剧都潜伏着惊人一致的逻辑 1981年 当有点口吃的杰克 韦尔奇被任命为GE新总裁后 他跑到洛杉矶附近的一个小城市去拜访当世最伟大的管理学家彼得 德鲁克 他问的第一个问题就是 我怎么控制GE下面的上千家公司 一切伟大的治理都是从学习控制开始的 吴晓波 大败局 内控与谁有关 大企业 治理层 三会 管理层 高管 中干有志上位者中小企业 所有者 小老板经营者专业人士企业 财务总监 财务经理 内部审计师 中介 注册会计师 管理咨询师 注册内部控制师 企业内部控制配套指引 的发布 2010年4月26日 财政部会同证监会 审计署 国资委 银监会 保监会等部门在北京召开联合发布会 隆重发布了 企业内部控制配套指引 以下简称配套指引 与 内部控制基本规范 企业内部控制制度共同构成了一个完整的内部控制规范体系 企业内部控制配套指引 的实施 2011 1 1 在境内外同时上市的公司 60多家2012 1 1 沪深主板 1000多家择机 中小板和创业板鼓励 非上市大中型企业 企业内部控制配套指引 的实施 执行企业内部控制规范体系的企业 必须对本企业内部控制的有效性进行自我评价 披露年度自我评价报告 同时聘请会计师事务所对其财务报告内部控制的有效性进行审计 出具审计报告 企业内部控制配套指引 的结构 核心 如何控制 设计 建设 评价指引 审计指引 应用指引 CPA外部审计 鉴证 审核 内部控制咨询 培训 内部控制审计 注册会计师的新业务 同一事务所不能同时做 公司管理层自我评价 企业内部控制配套指引 的结构 评价指引 审计指引 应用指引 1 组织架构2 发展战略3 人力资源4 社会责任5 企业文化 控制环境类 控制手段类 控制活动类 6 资金活动7 采购业务8 资产管理9 销售业务10 研究与开发11 工程项目12 担保业务13 业务外包14 财务报告 15 全面预算16 合同管理17 内部信息传递18 信息系统 第一部分内部控制的发展与演变 一 内部控制的渊源和早期发展二 内部控制的初步形态 内部牵制三 内部控制理论和实践的分野四 内部控制的发展与演变五 国际上较有影响的内部控制准则或指南六 我国内部控制规范建设的情况 一 内部控制的渊源和早期发展 内部控制的渊源十分久远 自从有了人类的群体活动和组织之后 就会产生对组织的成员及其活动进行控制的需要内部控制的发轫最早可以追溯到公元前3600年 公元前3200年的苏美尔文化时期古埃及 古波斯 古希腊 古罗马和古代中国都有原始内部牵制制度的雏形原始的内部牵制制度最早是为部落 城邦 庄园 国家服务的 中世纪资本主义生产关系萌芽 商业组织开始出现 内部牵制进入企业领域 开启了一个广阔的发展空间控制 control 一词最早产生于17世纪 其原始含义是 由登记者之外的人对帐册进行的核对和检查 二 内部控制的初步形态 内部牵制 内部控制是从内部牵制 internalcheck 的基础上发展起来的20世纪以前 盛行的观念和实务都停留在内部牵制阶段内部牵制的目的是纠错防弊 其前提性假设是 两个或多个人犯同一种错误的概率较小 两个或多个人串通舞弊的可能性较小 难度较大内部牵制的基本思路是分工和牵制主要的牵制机能包括 分权牵制 实物牵制 机械牵制和簿记牵制 三 内部控制理论和实践的分野 审计视角下的内部控制20世纪以后 审计职业界出于摆脱全面查核 提高审计效率的考虑 开始关注内部控制20世纪中叶 审计和内部控制的发展不断交织 进而互动和耦合 直接导致了制度基础审计模式的诞生此后 内部控制逐渐确立了在审计中的地位 成为推动审计模式演变和探索审计理论与方法的重要因素之一内部控制与审计的交叉和耦合 是推动内部控制理论与实践发展的最主要的力量 管理视角下的内部控制现代管理学说把控制看作管理的一项核心职能 围绕着管理所展开的控制研究和实践 是内部控制发展的一个重要分支 我们一般把这个分支统称为管理控制 计划 指挥 组织 控制 协调 几乎所有的著名管理大师 包括法约尔 德鲁克 钱德勒 罗宾斯等 在他们的管理学著作中 都涉及到控制问题 围绕着管理控制 形成了自我控制论 控制过程论 控制系统论 控制动力论 生态控制论等多个分支这个学派随着控制论 系统论和现代管理学的发展而不断发展而专以控制研究而著称的前沿观点以哈佛大学西蒙斯教授的管理杠杆理论最具代表性 战略管理会计视角下的内部控制随着现代管理会计的发展 战略管理会计学派的一个分支将组织内的控制系统区分为战略规划 管理控制和作业控制三个层次管理控制主要是多事业部制的公司对其战略业务单元 SBU 所进行的战略业绩考评和控制系统这个学派的主要代表是哈佛大学的安东尼教授和卡普兰教授 四 内部控制的发展与演变 内部控制阶段1936 AIA 独立公共会计师对财务报表的检查 首次提出内部控制的概念注册会计师在制定审计程序时 应考虑的一个重要因素是审查企业的内部牵制和控制 企业的会计制度和内部控制越健全 财务报表需要测试的范围就越小内部控制是为了保护公司现金和其他资产 核对簿记的准确性 而在公司内部采用的手段和方法 1938年 麦克森 罗宾斯事件 PW的审计程序中缺少对内部控制和会计处理程序的审查1939年10月 AIA审计程序委员会发布SAP1 审计程序的扩展 首次增加内部控制审查的内容1940年10月 SEC正式要求审计师在签署的审计报告中增加类似的内容 1949年 AIA审计程序委员会 CAP 内部控制 一个协调的系统要素及其对管理层和独立公共会计师的重要性 首次给出内部控制的权威定义内部控制包括组织的计划和为了保护资产 核对会计资料准确性和可靠性 提高经营效率 以及促使遵循管理层所制定的各项政策所采取的各种方法和措施 内部控制系统阶段1958年10月 CAP发布了SAP29 独立审计师评价内部控制的范围 将内部控制划分为会计控制和管理控制1963年10月 CAP在SAP33 审计准则与程序 汇编 中强调 独立审计师应主要检查会计控制 1972年11月 SAP54 审计师对内部控制的研究与评价 对管理控制和会计控制的定义进行了修订和充实1972年11月 AudSEC发布SAS1 审计准则和程序汇编 会计控制包括组织的计划和与保护资产和保证财务资料的可靠性有关的程序和记录管理控制包括但不限于组织的计划和与管理层授权办理经济业务的决策过程有关的程序和记录 1977年 反国外腐败行为法案 FCPA 要求公众公司保持充分的内部会计控制 采纳SAS1的定义1979年 SEC要求公众公司在年度报告中增加管理层报告 对公司内部会计控制是否为FCPA规定的内部控制目标提供合理保证作出说明 并要求注册会计师进行审查 发表意见 内部控制结构阶段1988年4月 ASB发布SAS55 财务报表审计中对内部控制的考虑 引入 内部控制结构 的概念内部控制结构包括为合理保证企业特定目标的实现而建立的各项政策和程序内部控制结构包括3个要素 控制环境 会计体系 控制程序 内部控制整合框架阶段1992年9月 COSO发布 内部控制 整合框架 1994年局部修订 COSO成立于1987年 是Treadway委员会 反欺诈财务报告全国委员会 的发起组织委员会 后者成立于1985年 由AICPA AIA IIA FEI IMA发起成立 内部控制的3个目标 经营的有效性和效率 财务报告的可靠性 对适用法律法规的遵循内部控制的5个构成要素 控制环境 风险评估 控制活动 信息与沟通 监控1995年12月 ASB发布SAS78 财务报表审计中对内部控制的考虑 对SAS55的修正 全面采纳COSO的内部控制框架SOX404及相关规则采用的也是这个框架 企业风险管理整合框架 未来趋势 2004年9月 COSO正式发布 企业风险管理 整合框架 ERM的4个目标 战略 经营 报告 合规ERM的8个构成要素 内部环境 目标设定 事项识别 风险评估 风险应对 控制活动 信息与沟通 监控 五 国际上较有影响的内部控制准则或指南 国际上较有影响的内部控制框架 准则和指南1 美国 COSO 内部控制 整合框架 1992年9月 1994年局部修订 它是目前最有影响的框架性文件 是此后诸多准则 指南的蓝本 也是美国公认审计准则相关规定 SOX法案相关要求的主要参照 2 美国 GAO 审计总署 2004年改名为政府问责署 简称仍为GAO 联邦政府内部控制准则 1999年11月 内部控制进入公共部门的代表性标志 3 巴塞尔银行业监管委员会 银行业机构内部控制系统框架 1998年9月 权威而影响广泛的金融机构内部控制国际指南 4 英国 FRC 财务报告委员会 Turnbull内部控制指南 2005年10月修订 Turnbull内部控制指南最初由ICAEW 英格兰与威尔士特许会计师协会 于1999年发布 5 加拿大 CoCo 控制标准委员会 隶属于加拿大特许会计师协会 CICA 控制指南 1995年 与风险管理相结合的权威内部控制框架 准则和指南1 美国 COSO 企业风险管理 整合框架 2004年9月2 英国 IRM 风险管理学会 AIRMIC 保险与风险管理师协会 ALARM 全国公共部门风险管理论坛 风险管理准则 2002年3 澳大利亚 新西兰 AS NZS4360 风险管理准则 2004年 最初的版本于1995年发布 4 加拿大 CAN CSA Q850 97 风险管理指南 1997年10月5 南非 King委员会报告II 公司治理报告 2002年 其中包括内部控制和风险管理 6 中国香港特别行政区 香港会计师公会 HKICPA 内部控制与风险管理 基本框架 2005年6月7 日本 经济产业省风险管理与内部控制研究会 风险新时代的内部控制 2005年6月 与信息技术相结合的权威内部控制准则和指南1 国际标准组织 ISO ISO17799 信息系统安全 2005年2 ISACA 信息系统审计与控制协会 ITGI IT治理协会 信息与相关技术的控制目标 COBIT 2003年 最初的版本于1996年发布 3 IIARF 内部审计师协会研究基金会 系统可审计性与控制 SAC 最初于1991年发布 1994年修订 六 我国内部控制规范建设的情况 财政部 内部会计控制规范 2001年6月22日 内部会计控制规范 基本规范 试行 内部会计控制规范 货币资金 试行 2002年12月23日 内部会计控制规范 采购与付款 试行 内部会计控制规范 销售与收款 试行 2003年10月22日 内部会计控制规范 工程项目 试行 2004年8月19日 内部会计控制规范 担保 试行 内部会计控制规范 对外投资 试行 商业银行 保险机构内部控制指引1997年5月16日 中国人民银行 加强金融机构内部控制的指导原则 已废止 2002年9月7日 中国人民银行 商业银行内部控制指引 2004年12月25日 中国银监会 商业银行内部控制评价试行办法 2005年2月28日 中国保监会 保险中介机构内部控制指引 试行 证券公司 基金公司内部控制指引2001年1月31日 中国证监会 证券公司内部控制指引 已废止 2002年12月3日 中国证监会 证券投资基金管理公司内部控制指导意见 2003年12月15日 中国证监会 证券公司内部控制指引 修订 2006年6月30日 中国证监会 证券公司融资融券业务试点内部控制指引 2007年2月13日 中国证监会 证券投资基金销售机构内部控制指导意见 征求意见稿 上市公司内部控制指引2006年6月5日 上海证券交易所上市公司内部控制指引 自2006年7月1日起施行2006年9月28日 深圳证券交易所上市公司内部控制指引 自2007年7月1日起施行 其他2006年6月6日 国务院国有资产监督管理委员会 中央企业全面风险管理指引 2002年2月 中国注册会计师协会 内部控制审核指导意见 2006年7月6日 财政部企业内部控制标准委员会成立主席 王军 财政部副部长 副主席 李小雪 中国证券监督管理委员会纪委书记 邵宁 国务院国有资产监督管理委员会副主任 秘书长 刘玉廷 财政部会计司司长 委员 29人 2008年5月22日 财政部 证监会 审计署 银监会 保监会发布 企业内部控制基本规范 自2009年7月1日起在上市公司范围内施行鼓励非上市的大中型企业执行 内部控制标准体系基本规范应用指引评价指引审计指引 需要面对的问题 企业内部控制基本规范 与两个交易所 上市公司内部控制指引 之间的关系 企业内部控制基本规范 与 中央企业全面风险管理指引 之间的关系 巨人 内部控制案例分析 巨人集团演绎了中国 知识青年 冲浪市场经济最惨烈的悲喜剧和最为传奇的财富故事 掌门人史玉柱从一穷二白的创业青年 到 福布斯 排名大陆富豪第八位 在遭受几乎是毁灭性的失败后 又从负债2 5亿元之巨的全国 首负 迅速崛起 成长为身家500亿元的内地新首富 以1997年为分界线 之前为老 巨人 高开低走 盛极而衰 之后为新 巨人 惊天逆转 涅磐重生 是宿命还是另有玄机 内部控制的严重缺陷是老 巨人 衰落的根本原因 而内部控制的保驾护航则是新 巨人 崛起的决定因素 老 巨人 的衰落 内部控制分析 1989年8月 史玉柱用先打广告后付款的方式 将其研制的M 6401桌面排版印刷系统软件推向市场 赚进了经商生涯中的第一桶金 奠定了巨人集团创业的基石 1991年4月 珠海巨人新技术公司成立 1993年7月 巨人集团下属全资子公司38个 成为中国第二大民营高科技企业 1994年年初 号称中国第一高楼的巨人大厦一期工程动土 同年史玉柱当选为 中国改革风云人物 但1997年年初 巨人大厦在只完成了相当于三层楼高的首层大堂后停工 各方债主纷纷上门 老 巨人 的资金链断裂 负债2 5亿元的史玉柱黯然离开 一 战略与经营目标确定 巨人 是国内第一个明确提出 管理也是生产力 的现代企业 同时也是一家很有危机意识的企业 史玉柱曾冷静地指出老 巨人 集团存在创业激情基本消失 出现大锅饭机制 管理水平低下 产品和产业单一 开发市场能力停滞五大隐患 但 产品和产业单一 矫枉过正 变成了多线冒进 1994年8月 史玉柱提出走产业多元化的扩张之路 跳出电脑产业 将生物工程和房地产列为新的产业支柱 但他没有采取有效措施 如与外资合作 资产股权化 获得跨国公司的技术支撑等 稳定原有产业和已有项目 而是齐头并进 急于求成 在生物工程刚刚打开局面但尚未巩固的情况下 又贸然向房地产这一完全陌生的领域进军 拟建的巨人科技大厦设计也一变再变 从最初的18层一直涨到70层 投资预算也从2亿元涨到12亿元 从1994年2月大厦破土动工到1996年7月期间 老 巨人 未申请过一分钱的银行贷款 全凭自有资金和卖楼花的钱支撑 由于资金链上的难以为继 就将生物工程的流动资金抽出投入巨人大厦的建设 结果多元化经营变成了多元化失败 二 风险控制与监督 由于缺乏必要的财务危机意识和预警机制 老 巨人 的债务结构始终处在一种不合理的状态 在老 巨人 营销最辉煌的时期 每月市场回款可达3000万 5000万元 以如此高额的营业额和流动额 完全可以陆续申请流动资金贷款 并逐渐转化为在建项目的分段抵押贷款 但史玉柱一向以零负债为荣 以不求银行为傲 一味指望用保健品的利润积累来盖大厦 这成了老 巨人 突发财务危机的致命伤 与此同时 老 巨人 子公司的财务管理也不同程度地失控 坐交货款 资金流失严重 集团公司内各种违规违纪 挪用贪污事件层出不穷 其全资子公司康元公司 至1996年年底累计债务就已达1亿元 其中相当一部分是由于公司内部人员侵吞造成的 1996年 脑黄金销售额为5 6亿元 但坏账就高达3亿多元 资金在各个环节被无情地吞噬 成为资金链断裂的导火索 三 信息与沟通 1995年2月 老 巨人 以集束轰炸的方式 一次性推出电脑 保健品 药品三大系列的30个新品 其中主打的保健品一下就推出12个品种 几乎涵盖了所有的保健概念 但保健品是一种以功效诉求为主的消费品 广告只能起诱发购买的作用 要让消费者持续购买 必须依赖产品的效果 由于没弄清消费者的真正需求 虽然广告的知名度和关注度都有 但效果不佳 在巨人的保健品中 有一种儿童开胃的 巨人吃饭香 与当时畅销的 娃哈哈儿童营养液 类似 在一份广为散发的宣传册子中 巨人称 据说娃哈哈有激素 造成儿童早熟 产生许多现代儿童病 娃哈哈就此向杭州市中级人民法院起诉 1996年10月 巨人答应庭外调解 向娃哈哈赔偿经济损失200万元 1997年1月 在娃哈哈的一再坚持下 巨人不得不在杭州召开联合新闻发布会 公开向娃哈哈道歉 正是史玉柱缺乏沟通的个性和危机处理能力 在关键时刻最终葬送了老 巨人 在这一事件中 老 巨人 始终没有跟媒体 社会进行过认真 知心的对话 仅仅委派了律师与债权人和记者周旋 于是种种流言迅速在媒体上被放大曝光 老 巨人 在公众和媒体心目中的形象轰然倒塌 新 巨人 的崛起 内部控制分析 1997年 史玉柱带领旧部研制 脑白金 开始了负债重新创业 1999年 成立上海健特 Gaint 巨人的音译 生物科技有限公司 2000年 史玉柱悄悄还清了老 巨人 时期所欠的全部债务 2001年 成立上海黄金搭档生物科技有限公司 当选为 CCTV中国经济年度人物 2003年 购入民生银行6 98亿股流通股和华夏银行的1 012亿股流通股 并将脑白金和黄金搭档的知识产权及其营销网络75 的股权以12 4亿元卖给了四通电子 2004年 成立上海征途网络科技有限公司 次年推出 征途 成为全球第三款同时在线人数超过100万人的中文网络游戏 2006年 在开曼群岛注册巨人网络科技有限公司 2007年 更名为巨人网络集团后在纽约交易所挂牌上市 成为中国登陆美国最大IPO民营企业 也是美国本土外最大IPO的IT企业 手握68 43 巨人股权的史玉柱 跃升为拥有500亿元身价的内地新 首富 一 战略与经营目标确定 全面冒进的多元化战略方向失误让史玉柱意识到 投资产业需要慎重考虑三个条件 首先判断它是否为朝阳产业 其次是人才储备够不够 最后是资金够不够 因此 新 巨人 业务的发展强调安全 第一个项目做成功后 再考虑做第二个项目 一点点往前推进 在新的战略思想指导下 新 巨人 环环相扣地进入保健品 金融 IT行业 全面取得成功 1998年 新 巨人 开始运作脑白金项目 把江阴作为东山再起的根据地 江阴市场打开以后 再把赚到的钱投入其他市场 通过滚动操作 1999年年底打开了全国市场 2000年成为保健品的状元 规模超过了鼎盛时期的老 巨人 保健品营销的成功 使 巨人 得以重塑信用 并拥有了投资其他行业的财力 2003年新 巨人 投资3亿元买入银行的法人股 目前所持有的华夏银行 民生银行股权价值已经超过130亿元 而且随时可以变现 坐拥上百亿元的市值 新 巨人 完成了重返IT行业的资本积累 2004年 新 巨人 杀入网游业 开发的 征途 在IT行业同类网络游戏中排名第一 2007年 新 巨人 在纽约交易所上市 公司市值达42亿美元 如今 新 巨人 作百年老店 专注于网络游戏主业的战略意图彰显无遗 二 风险控制与监督 新 巨人 最在乎的事情 就是公司的现金流和时刻保持财务健康 负债率维持在5 的标准上 史玉柱锻造队伍执行力的第一步 就是从管理好现金流量开始的 款到提货 是脑白金的市场销售原则 而且大小经销商一视同仁 货款是经销商与总部之间的事情 分公司绝不染指 每个销售经理的背后 附带多人信用担保 为了提高执行力 新 巨人 为脑白金建立了一个50人的纠察队伍 负责对分公司的检查 省级分公司也有纠察队查市级市场 市级纠察队再查县级市场 从而摆脱了一般保健品企业对于经销商的严重依赖 同时 新 巨人 倡导 有奖必有罚 奖罚必配套 的企业文化 每次开总结大会 一定是最佳和最差同时登台 最佳上台领奖金 最差下台领黄旗 对每一位经理 史玉柱不仅为他们提供了获得巨额奖金的可能 还给他们做不好就要接受大笔罚款的责任 在保健品行业 坏账10 可以算是优秀企业 20 也属正常 而脑白金10年来的销售额100多亿元 坏账金额是零 三 信息与沟通 专注地研究消费者 琢磨消费者的需求并满足消费者的需求 是史玉柱坚持的营销理论 在脑白金上市前 史玉柱数次深入江阴的商场 农村 与潜在消费者进行了交流 江阴调查 得出的结论是很多老人想吃保健品 但不舍得买 于是 史玉柱推出了家喻户晓的广告 今年过节不收礼 收礼只收脑白金 播放了10年 为新 巨人 带来了100多亿元的销售额 又力推维生素和矿物质的混合物类保健产品 黄金搭档 史玉柱为它准备的广告词 几乎和脑白金的一样俗气 但在成功的广告策略和成熟的营销模式推动下 黄金搭档也很快走红全国市场 成为了保健品市场上的常青树为了让玩家喜欢 征途 史玉柱先后和600名玩家进行深入交流 并以玩家的需求为原动力进行设计 他突破行业内陈旧的条条框框 在国内率先推出免费模式 让没钱的人免费玩 让有钱人开心玩 赚有钱人的钱 史玉柱把他农村包围城市的脑白金式营销复制过来 征途 主推二 三级城市 鉴于广告虽可带来一级城市用户 却很难影响二 三级城市 史玉柱吩咐在各县招聘公司员工 负责游戏的地面宣传 推广和售后服务 目前 征途 的营销网络代表已遍布全国 营销网络覆盖了超过11 65万家零售店 并保持了国内同类游戏中玩家流失率最低的记录 第二部分内部控制整合框架 一 定义二 控制环境三 风险评估四 控制活动五 信息与沟通六 监控七 内部控制的局限八 职能与责任 一 定义 内部控制是一个由企业董事会 管理层和其他员工实施的 旨在为下列各类目标的实现提供合理保证的过程 经营的有效性和效率财务报告的可靠性遵循适用的法律和法规 这个定义反映了一些基本概念 内部控制是一个过程 它是实现目的的手段 而不是目的本身内部控制由人员来实施 它并不仅仅是政策手册和表格 还涉及组织中各个层级的人员只能期望内部控制为主体的管理层和董事会提供合理保证 而不是绝对保证内部控制被用来实现一个或多个彼此独立又相互交叉的类别的目标 内部控制的目标 经营 operations 目标 与主体资源利用的有效性与效率有关财务报告 financialreporting 目标 与编制可靠的公开财务报表有关合规 compliance 目标 与主体对适用的法律和法规的遵循有关 构成要素 控制环境 controlenvironment 所有业务活动的核心都是人员 他们的个人特性 包括诚信 道德价值观和胜任能力 以及他们进行经营所处的环境 他们是推动主体发展的引擎 也是所有事情依赖的基础风险评估 riskassessment 企业必须了解和应对它所面临的风险 它必须设定目标 整合销售 生产 营销 财务和其他活动 以便使组织协调一致地运行 它还必须建立识别 分析和管理相关风险的机制 控制活动 controlactivities 必须确立和执行控制政策和程序 以帮助确保那些被管理层确认为对实现主体目标的风险而言所必需的活动得以有效地实施信息与沟通 informationandcommunication 围绕在这些活动周围的是信息与沟通系统 它们使主体的员工能够获得和交换那些执行 管理和控制其运营所需的信息监控 monitoring 必须对整个过程进行监控 并在必要时作出修改 这样 该体系才能作出动态反应 随着情况的需要而变化 目标和构成要素之间的关系 目标和构成要素之间有着直接的关系 目标是主体努力争取实现的东西 构成要素则代表着要实现这些目标需要什么每个构成要素行都 贯穿 并适用于所有三类目标所有五个构成要素与每一类目标都有关联内部控制与整个企业相关 或与它的某一部分 子公司 分部或其他业务单元 或者职能或诸如购买 生产 营销等其他活动 相关 有效性如果董事会和管理层能够合理保证以下三个方面 则内部控制可以在三类目标中任何一类上可分别被判断为有效 他们了解主体的经营目标得以实现的程度 公布的财务报表被可靠地编制 适用的法律和法规得到了遵循确定特定的内部控制体系是否有效是一种主观判断 它来自对五个构成要素是否存在并有效运行的评估 内部控制和管理过程 二 控制环境 控制环境设定了一个组织的基调 影响其员工的控制意识它是内部控制的其他所有构成要素的基础 为其提供了秩序和结构 控制环境的要素包括诚信和道德价值观对胜任能力的要求董事会或审计委员会管理层的理念和经营风格组织结构权力和责任的分配人力资源政策和实务 评价诚信和道德价值观 存在并执行有关可接受的经营实务 利益冲突或期望的道德行为准则方面的行为守则和其他政策 涉及员工 供应商 客户 投资者 债权人 保险公司 竞争者和审计师等 例如 管理层是否在一个较高的道德水准上开展经营 坚持其他人也必须这样 或者不重视道德问题 达到不切实际的业绩目标 尤其是短期成果 的压力 以及薪酬于实现这些业绩目标挂钩的程度 五粮液年报审计会计师早有前科 9月23日证监会通报指出 五粮液涉嫌三方面违法违规 一是未按照规定披露重大证券投资行为及较大投资损失 二是未如实披露重大证券投资损失 三是披露的主营业务收入数据存在差错等之后 近日 代理五粮液小股东民事诉讼案件的上海市李国机律师事务所律师周爱文又称 从消费税的计税收入与酒产品的成本 利润之间的关系发现 五粮液三年至少存在偷税约10 11亿元嫌疑 五粮液年报审计会计师早有前科 对于五粮液2008年度的审计报告 该事务所出具的是无保留意见审计报告 当事人不接受采访 这让调查有些波折 但在审计报告中 注册会计师陈更生这一名字却让记者有了意外的发现 因为 其也是五粮液2006年 2007年 2008年的首席签字注册会计师 审计行业内部人士告诉记者 这样的级别应该是高级经理或者合伙人了 在2002年2月26日的中国证券监督管理委员会网站上稽查二局工作动态中 有一份四川对华信 集团 会计师事务所及注册会计师陈更生 杨仕珍违反证券法规行为的处罚决定 五粮液年报审计会计师早有前科 在该处罚决定中 四川华信 集团 会计师事务所在对一家公司的年度财务报告审计过程中 未勤勉尽责 未发现该公司下属非独立销售公司的销售费用 造成公司虚增利润 而四川华信 集团 会计师事务所为川电公司出具了无保留意见的审计报告 因此 四川华信 集团 会计师事务所签字注册会计师陈更生 杨仕珍对此负有责任 根据 股票条例 第七十三条的规定 决定 一 对四川华信 集团 会计师事务所处以警告 二 对陈更生 杨仕珍处以警告 对胜任能力的要求 正式或非正式的岗位描述 或者其他界定构成特定岗位的任务的方式 对充分履行岗位职责所需要的知识和技能的分析重庆打黑公安队伍应有相应的专业素质 董事会或审计委员会 独立于管理层 以便提出必要的问题 即使这些问题很困难或需要调查 与首席财务官和 或会计负责人 内部审计人员和外部审计师会谈的频率和及时性 向董事会或专门委员会成员提供信息的充分性和及时性 提供这些信息是为了获准监控管理层的目标和战略 企业的财务状况和经营成果 以及重大协议的条款 向董事会或审计委员会通报敏感信息 调查事项和不当行为 例如 高级官员的旅行费用 重大诉讼 监管机构的调查 贪污 受贿或滥用公司资产 违反内幕交易规则 政治性捐款 非法支付 的充分性和及时性 德棉股份及其审计单位双双遭处罚 上市公司山东德棉股份有限公司 下称德棉股份 在2007年3月16日至2008年5月13日的时间里 通过直接资金往来及借道第三方进行资金输送等形式向控股股东德棉集团累计提供资金4亿多元 且在中报和年报中做出虚假陈述 中国证监会经过详细调查 根据 证券法 相关规定 对德棉股份以及相关负责人做出处罚 管理层的理念和经营风格 承担的经营风险的性质 例如 管理层是否经常涉足风险特别高的投机活动 或者对在承担风险方面极其保守 高级管理层和运营管理层之间互动的频率 尤其是在地理位置偏远的地区进行运营时 对财务报告的态度和行动 包括对会计处理方法运用的争议 例如 选择稳健的还是激进的会计政策 是否错用了会计原则 没有披露重要的财务信息 或者篡改或伪造记录 组织结构 主体组织结构的适当性 以及提供必要的信息流以便管理其活动的能力 关键管理人员责任界定的适当性 以及他们对这些责任了解的充分性 相对于其责任而言 关键管理人员知识和经验的充分性 权力和责任的分配 分配责任和授予权力以便实现组织宗旨和目标 经营职能和监管要求 包括对信息系统的责任和对变革的授权 与内部控制相关的准则和程序的适当性 包括员工岗位描述 足够数量的具备与主体规模 活动和系统的性质和复杂程度相适应的必要技能的人员 尤其是与数据处理和会计职能有关的人员 人力资源政策和实务 员工聘用 培训 晋升和薪酬方面的政策和程序制定到位的程度 为应对偏离既定政策和程序所采取的补救措施的适合性 对员工候选人的背景进行核查的充分性 尤其是当企业认为对其以前的行为或活动无法接受的情况下 员工保留和晋升标准以及信息收集方法 例如 业绩评价 的适当性 以及与行为守则和其他行为指南的关系 三 风险评估 每个主体都面临着来自外部和内部的必须予以评估的一系列风险风险评估的前提是设定在各个层次相互关联和内在一致的目标风险评估是识别和分析影响目标实现的相关风险 为确定应该如何管理这些风险奠定基础 目标目标设定是风险评估的前提条件 必须首先有目标 管理层才能识别实现这些目标的风险 并采取必要的措施来管理风险目标设定是管理过程的一个关键部分 尽管它不是内部控制的构成要素 但它是内部控制的先决条件和使能方法目标的类别 经营目标 财务报告目标 合规目标目标的交叉 保护资产 风险识别和分析风险的过程是一个持续的重复过程 它是有效的内部控制体系的关键构成要素风险识别主体层次 外部因素 内部因素活动层次 风险分析 估计风险的严重性 评估风险发生的可能性 或频率 考虑如何管理风险 即评估需要采取何种措施应对变化 评价主体层次的目标 对主体目标充分陈述的程度 是否对主体期望实现的目标提供充分的指导 而且特定目标直接与该主体相关 向员工和董事会传达主体目标的有效性 主体目标与各种策略的关系和一致性 主体目标 战略计划和当前环境条件与经营计划和预算的一致性 活动层次的目标 活动层次目标与主体层次的目标和战略计划的关联度 活动层次目标之间的一致性 活动层次目标与所有重要的业务流程的相关性 活动层次目标的特异性 与目标相关的资源是否充足 识别对实现主体层次的目标来说是较重要的目标 关键成功因素 各级管理层参与目标设定 以及他们对实现目标履行诺言的程度 风险 识别外部因素造成风险的机制是否足够全面 识别内部因素造成风险的机制是否足够全面 为每个重要的活动层次目标识别重大风险 风险分析流程 包括估计风险的重要性 评估风险出现的可能性并确定需要采取的行动 的彻底性和相关性 应对变化 是否存在各种机制去预测 识别并对影响实现主体或活动层次目标的日常事件或活动作出反应 通常由负责受该种变化影响最大的业务活动的管理人员来实施 是否存在各种机制去识别变化并对变化作出反应 这种变化会给主体带来巨大和渗透性影响而且可能还需要高级管理层的关注 四 控制活动 控制活动是指为确保管理层的指令得以贯彻执行的政策和程序它有助于确保采取必要的行动进行风险管理和保证主体层次的目标的实现控制活动贯穿于主体的所有级别和职能部门它包括一系列不同的活动 如批准 授权 验证 核对 经营业绩评价 资产保全以及职责分离等 控制活动的类型高层复核直接的职能活动或业务管理信息处理实物控制业绩指标职责分离 对信息系统的控制一般控制数据中心操作控制系统软件控制接触安全控制应用系统开发和维护控制应用控制 五 信息与沟通 相关信息必须以某种形式和在一定时限内被识别 获得和传达沟通 以便可以使员工履行自己的责任信息系统生成含有与经营 财务和合规性有关信息的报告 从而使管理运作和控制主体成为可能信息系统不仅处理内部生成的数据 也处理有关外部事件 活动和条件状况的信息 这些信息对有资料依据的主体的决策和外部报告都是必需的 有效的沟通也必须广泛的进行 自上而下 自下而上地贯穿整个主体所有人员都要从高级管理层获得明确的信息 必须认真对待控制责任他们必须了解各自在内部控制体系中担任的职能 以及个人参与的控制活动与他人工作是如何相互关联的他们必须有自下而上传递重要信息的渠道和方法同时 也需要与外部各方如客户 供应商 监管机构和股东等建立有效的沟通 评价信息系统 获得外部和内部信息 向管理层提供必要的报告 说明与实现主体确立目标相关的主体业绩表现 向合适的人及时提供足够详细的信息 使他们能够有有效性和效率地履行其责任 依据一份信息系统战略计划 与主体总体战略相关 发展或修改信息系统 使其为实现主体层次的目标及活动层次目标服务 通过承诺提供适当的人力财力资源显示管理层对发展必要的信息系统的支持 沟通系统 传达交流员工义务和控制责任的有效性 建立沟通渠道 使员工可以举报受到怀疑的不当行为 管理层对员工建议提高生产力 强化质量或其它相似改进的方法的接受程度 主体内部相互之间沟通是否足够 例如 采购活动与生产活动之间 信息的完整性和及时性以及是否足以使人们有效地履行其责任 与客户 供应商和其他外部有关方沟通交流不断变化的客户需求信息的渠道的开放性和有效性 外部各方已了解该主体道德准则的程度 管理层通过与客户 供应商 监管机构或其他外部有关方的沟通 采取了及时和合适的跟进措施 六 监控 对内部控制需要进行监控监控是一个评估内部控制体系在一定时期内运行质量的过程监控可以通过持续性的监控活动 个别评价或两者并用来实现这个过程 持续性监控活动发生在经营的过程中 它包括日常管理和监控活动以及个人在履行其责任时采取的其他行动个别评价的范围和频率将主要取决于风险评估和持续性监控程序的有效性应自下而上汇报内部控制的缺陷 其中严重的问题应上报高级管理层和董事会 持续性监控活动的例子在执行常规管理活动时 负责运营的管理层获取内部控制持续发挥功能的证据与外界各方的沟通能够印证内部生成的信息或揭示问题适当的组织结构和监控活动可监控内部控制职能的执行并识别内部控制的缺陷 将信息系统所记录的数据与实物资产相比较内部及外部审计师定期为进一步加强内部控制的方法提供建议培训研讨会 计划会议及其他会议可以向管理层提供有关内部控制是否有效的重要反馈定期要求主体员工明确说明他们是否理解并遵守主体的员工行为守则 个别评价个别评价内部控制的范围和频率主要取决于被控风险的重要性以及内部控制在减少风险中的重要性内部控制自我评估缺陷报告 评价持续性监控 在员工进行其日常活动中获得证据的程度 以此表明内部控制体系是否继续发挥作用 与外部各方进行沟通确认内部生成的信息或指明问题的程度 定期对会计系统记录的金额与实物资产进行核对 对内部和外部审计师建议增强内部控制手段的反应 培训研讨会 计划会议及其他会议向管理层提供有关内部控制是否有效的重要反馈的程度 是否定期要求员工说明他们是否理解并遵守主体的员工行为守则并且正常执行了关键控制活动 内部审计活动的有效性 个别评价 内部控制体系个别评价的范围和频率 评价流程的适合性 评价内部控制体系的方法是否合理 适当 文件记录水平的适当性 报告缺陷 是否有获取和报告识别出的内部控制缺陷的机制 上报规程的适合性 跟进行动的适合性 七 内部控制的局限 无论内部控制设计和运行的多完善 它也只能向管理层和董事会就实现主体目标提供合理保证实现主体目标的可能性受到所有内部控制体系的固有局限的影响 这些局限包括 在决策时个人判断可能会出错由于简单的误差或错误这样的失误而可能出现内部控制失效两人或多人的串通也可以绕过内部控制管理层能够凌驾于内部控制之上系统另一个限制性因素是需要考虑内部控制的相对成本和收益 八 职能与责任 主体中每一个人都对内部控制负有责任管理层要为主体的内部控制体系负责首席执行官最终对内部控制体系负责并应承担内部控制体系 所有权 的责任尽管管理层的所有成员都发挥着重要作用并对控制他们各自部门的活动负责 但首席财务官和总会计师对管理层行使控制的方式起着主要的作用 内部审计人员在内部控制体系持续有效性方面发挥着作用 但他们不承担建立和维持该系统的主要责任董事会和其审计委员会对内部控制体系提供重要的监控外部有关方面 例如外部审计师 常常在实现主体目标方面发挥作用并提供在实施内部控制中有用的信息 但是 他们不是主体内部控制体系的一部分 也不对内部控制体系的有效性负责 第三部分企业风险管理整合框架 一 定义二 内部环境三 目标设定四 事项识别五 风险评估六 风险应对七 控制活动八 信息与沟通九 监控十 职能与责任十一 企业风险管理的局限 一 定义 不确定性与价值企业风险管理的一个基本前提是每一个主体存在的目的都是为它的利益相关者提供价值所有的主体都面临不确定性 对于管理层的挑战在于确定在追求增加利益相关者价值的同时 准备承受多少不确定性 事项 风险与机会风险是一个事项将会发生并给目标实现带来负面影响的可能性机会是一个事项将会发生并给目标实现带来正面影响的可能性 企业风险管理的定义企业风险管理是一个过程 它由一个主体的董事会 管理层和其他人员实施 应用于战略制订并贯穿于企业之中 旨在识别可能会影响主体的潜在事项 管理风险以使其在该主体的风险容量之内 并为主体目标的实现提供合理保证 企业风险管理是 一个过程 它持续地流动于主体之内 由组织中各个层级人员实施 应用于战略制订 贯穿于企业 在各个层级和单元应用 还包括采取主体层级的风险组合观 旨在识别一旦发生将会影响主体的潜在事项 并把风险控制在风险容量以内 能够向一个主体的管理层和董事会提供合理保证 力求实现一个或多个不同类型但相互交叉的目标 它只是实现结果的一种手段 并不是结果本身 风险容量与风险容限风险容量 riskappetite 是一个主体在追求价值的过程中所愿意承受的广泛意义的风险的数量 它反映了主体的风险管理理念 进而影响主体的文化和经营风格 风险容限 risktolerance 是相对于实现一项具体目标而言 可以接受的偏离程度 它通常最好采用那些与度量相关目标相同的单位进行度量 四类目标战略 与高层次的目的相关 协调并支撑主体的目标 经营 与利用主体资源的有效性和效率相关 报告 与主体报告的可靠性相关 合规 与主体符合适用的法律和法规相关 企业风险管理的构成要素内部环境 管理层确立关于风险的理念 并确定风险容量 内部环境为主体中的人们如何看待风险和着手控制确立了基础 所有企业的核心都是人 他们的个人品性 包括诚信 道德价值观和胜任能力 以及经营所处的环境 目标设定 必须先有目标 管理层才能识别影响它们的实现的潜在事项 企业风险管理确保管理层采取恰当的程序去设定目标 确保所选定的目标支持和切合该主体的使命 并且与它的风险容量相一致 事项识别 必须识别可能对主体产生影响的潜在事项 事项识别涉及到从影响目标实现的内部或外部原因中识别潜在的事项 它包括区分代表风险的事项和代表机会的事项 以及可能二者兼有的事项 机会被反馈到管理层的战略或目标制订过程中 风险评估 要对识别的风险进行分析 以便形成确定应该如何对它们进行管理的依据 风