企业内部控制—第一章-总论.ppt

1 企业内部控制 主讲人 王荣昌 2 主要内容 总论 意义 概念 内部控制主要内容 框架 内部控制的实施 如何建立内部控制制度 相关案例分析 穿插在各章中 中国企业内部控制与风险管理特性 有时间的话 3 第一章总论 4 引入案例 法国兴业银行亏损案 期货交易员凯维埃尔悄悄 赌 掉71亿美元伪造银行记录使用伪造账户涉嫌计算机系统欺诈 5 背景资料 法国兴业银行是世界上最大的银行集团之一 2000年12月31日它在巴黎股票交易所的市值已达300亿欧元 2000年12月的长期债务评级为 Aa3 穆迪公司 和 AA 标准普尔公司 法国兴业银行在全世界拥有500万私人和企业客户 在全世界80个国家拥有500家分支机构 大约有50 的股东和40 的业务来自海外 科维尔2000年毕业于法国里昂第二大学 获金融市场运营管理硕士学位 在法国南特大学获得学士学位 一名极为优秀的学生 冲破了5个级别的监控 是 电脑天才 6 违规操作内幕 套汇交易股指期货产品真买假卖2008年1月股市股指期货上的头寸达到500亿欧元 7 凯维埃尔使用 多种 手段逃过监管 买入金融产品 选择没有保证金补充警示的产品 通过盗用他人电脑账号 伪造文档等方法 2008年1月18日 法国兴业银行收紧了对一家大银行客户的放款 并核查历史交易 凯维埃尔曾盗用这个银行的账户 做过至少一次虚拟交易 银行证券部门当天收到客户银行的一封电子邮件 信中称交易是 真实 的 证券部门随即展开紧急调查 确认 客户银行并不知道这笔交易 8 供词使法国兴业银行遭受质疑 Kerviel供认 两个月前 他关于欧洲期货的虚假交易就不止一次在内控系统亮起红灯 但他只需制作一份假文件就逃过了银行的关注 Kerviel和检察官马林都表示 超出职权范围进行交易的现象在Kerviel的部门相当普遍 9 凯维埃尔如何越权 法国兴业银行2008年1月27日发布一份声明 声明证实 凯维埃尔违规动用约735亿美元购买期货 远远超过他的权限 凯维埃尔借助先前在银行其他部门的工作经验 以盗用他人电脑账号和伪造文档等方法掩盖他的违规行为 10 法兴银行欺诈案各方反应 巴黎政治科学院经济学教授科恩表示 兴业银行给出的解释很难令人相信 按照兴业银行的解释 这名交易员为了掩盖迅速扩大的损失在整个2007年实施欺诈行为 但这不太可能 他解释道 从交易的感觉上来说 这根本就不是一个人能做出来的事 在一年里掩盖如此巨额的亏损不太可能 11 一个人的疯狂还是整个体系的堕落 2007年 凯维埃尔赌市场会下跌 因此大量做空 他赌赢了 到2007年12月31日 他的账面盈余达到了14亿欧元 而同年兴业银行的总盈利不过55亿欧元 2008年1月开始买涨 以平抑先前的盈利并掩盖自己的越权痕迹 凯维埃尔的家人和律师 甚至兴业银行都承认 凯维埃尔没有从他的违规操作中获利 12 一个人的疯狂还是整个体系的堕落 2008年1月24日 凯维埃尔在法庭证词上 他说 我的操作不复杂 正常的监管就能查出这些交易 我心里想的是为银行赚钱 法官也认同了他这个论调 取消了对他的试图挪用公款罪行的起诉 CEO布东的解释 法兴银行的主要职责并不是赚钱 而是 分散风险 绝不会置身这种交易风险 凯维埃尔 在正常的日常交易中 一个交易员根本无法用正常的投资规模赚那么多钱 这让我相信 只要我能盈利 我的上司就会对我的交易手段和交易金额睁一只眼闭一只眼 13 脆弱的内部控制体系 凯维埃尔单边投机交易金额高达500亿欧元 这些伪造的操作数据 都记录在法国兴业银行集团的系统中 但是并没有任何相应的实质交易存在 银行和整个安全系统有着无法推卸的责任 每下一个单 都要一个起始保证金 每个保证金大概在总交易额的8 左右 假如市场在0到4 的下降空间中波动的话 是看不出损失的 但是一旦降幅超过4 交易所就会要求追加保证金 无法追加进去了 整个系统性风险就爆发了 如果当时决定先减仓 减仓的资金在各个账户中追加保证金 等上两天有可能就不会露馅 14 启示 从次贷危机到法国兴业银行欺诈案 事实表明即使在金融市场高度发达的西方经济体 如何进行内部控制 如何进行风险管理也依然是一个重要课题 其制度要达到完善水平 还有很长的路要走 15 第一部分 内部控制的意义 16 第一部分 内部控制的意义 降低风险预防企业舞弊对企业特别是上市公司的意义 17 风险的定义 Whatkeepsmanagementupatnight 什么事情使管理层夜不能寐 Whatdoesn tkeepmanagementupatnight butshould 什么事情应该引起管理层的注意 而实际却没有 什么是风险 Anyissuewhichcouldimpactanrganization sabilitytomeetit sobjectives 任何可能影响某一组织实现其目标的事项 18 遵守风险 法律和政策 财务风险经营风险 包括战略风险和科技风险 风险的三个主要类别 19 风险的类别 Economic 经济 Political 政治 Legal 法律 Technology 科技 Competition 竞争 ForeignExchange 外汇风险 Marketstagnation 市场萧条 Supplier 供应商 Marketrelatedrisk 市场固有风险 Security fraudactivity 安全 欺诈行为 ChangeinIT IT变革 People 人 Reputation media 声誉 媒体 Product Production 产品 生产 Purchasing Procurement 采购 Accounting 会计 Workingcapitalmgmt 流动资本管理 Managementinformation 管理信息 Financialcontrols 财务控制 20 定义业务风险 风险包括 恶性事件带来的威胁 riskashazard 尚不能确定后果的事件 riskasuncertainty 可转化为机会的事件 riskasopportunity 风险是任何可能影响某一组织实现其目标的事项 21 风险的特点 风险长期存在不总能被消除必须与机会同时权衡 22 需要更有力的控制 Sears误导性的汽车销售方法 Salomon债券拍卖丑闻 Bausch Lomb来自CEO的的销售压力 HudsonFoods污染的牛肉 GeneralMotors未能察觉的虚假的代理商销售 Beech NutFoods质量控制的合规性 ArcherDanielsMidland控制价格的指控 Barings未得许可的交易风险 Daiwa贸易损失 CathyLeeGifford压榨劳工 FoundationforNewEraPhilanthropyPonzi投资计划 Texaco种族歧视 UnitedWay有问题的管理模式 Denny s歧视 Firestone产品质量 不幸的转轮 有什么大不了 23 内部审计协会列出的9大风险因素 管理层的能力 Competenceofmanagement 管理层的道德观 Integrityofmanagement 近期系统变化 Recentchangesinsystems 组织规模 Sizeofunit 资产流动性 Liquidityofassets 变革 Change 复杂程度 Complexity 快速增长 Rapidgrowth 规章制度是否健全 Levelofregulation 24 讨论 风险 B 请根据您所要实现的企业目标 列出将面对的风险并评价其对实现企业目标的关键性 25 风险如何最小化 25 风险最小化 加强系统的内部控制 对可能的损失投保 当可能的风险较大时 寻求较大的回报 26 27 28 29 30 内控对于企业的意义 竞争的焦点逐步集中于成本 质量和服务水平 快速增长阶段 组织转型阶段 稳定增长阶段 初步形成服务线保证服务质量建立基础客户群 成功的关键 形成规范的管理控制体系服务线重心转移地域扩张 提供高质量高附加值服务维护并发展核心能力研发开发新服务 投入必要资源保证公司增长 市场环境和业务结构的变化给企业管理结构带来影响 同时企业效率成为问题 无法维持早期在业务上取得的成功 未能建立有效的管理控制体系以巩固早期的成功 设计并实施新的管理控制体系以适应环境变化和实现企业战略目标 31 内控对于上市公司有特殊的意义 31 效益效率资产安全信息披露 真实 完整 监管风险 企业形象 资金链 32 公司的败绩都是由内部控制失败引起的 AdrianCadbury 33 第二部分 什么是内部控制 内部控制概念内部控制发展 34 内部控制概念萌芽 内部控制 作为一个专用名词和完整概念 直到本世纪30年代才被人们提出 认识和接受 但在此前的人类社会发展史中 早已存在着内部控制的基本思想和初级形式 这就是内部牵制 Internalcheck 在古罗马时代 对会计账簿实施的 双人记账制 某笔经济业务发生后 由两名记账人员同时在各自的账簿上加以登记然后定期核对双方账簿记录 以检查有无记账差错或舞弊行为 进而达到控制财物收支的目的 即是典型的内部牵制措施 35 第一个具有权威性的定义 为了赋予内部控制一个准确完整的定义 美国审计程序委员会下属的内部控制专门委员会经过两年研究 于1949年发表了题为 内部控制 协调系统诸要素及其对管理部门和注册会计师的重要性 的专题报告 对内部控制首次做出了如下权威定义 内部控制是企业所制定的旨在保护资产 保证会计资料可靠性和准确性 提高经营效率 推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施 此定义强调 内部控制不只限于与会计和财务部门直接有关的控制方面 它还包括预算控制 成本控制 定期报告经营情况 进行统计分析并将统计报告送交有关部门 制定培训计划以培训有关人员使其能够履行职责 以及设立内部审计部门以保证管理部门所制定的各种程序的准确性 并保证其得到贯彻执行等内容 36 定义的第一次修正 上述范围广泛的内部控制定义及其解释的发布 当时被普遍认为是对内部控制这一重要概念的重大贡献 但该报告所定义的内部控制概念 其内容如此宽泛 以致包括了审计人员对审查内部控制所不愿 也不可能承担的职责 1953年10月 审计程序委员会 CAP 又发布了 审计程序公告第19号 SAPNo 19 对内部控制作了如下划分 广义地说 内部控制按其侧重点可以划分为会计控制和管理控制 1 会计控制由组织计划和所有保护资产 保护会计记录可靠性或与此有关的方法和程序构成 会计控制包括授权与批准制度 记账 编制财务报表 保管财务资产等职务的分离 财产的实物控制以及内部审计等控制 2 管理控制由组织计划和所有为提高经营效率 保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成 管理控制的方法和程序通常只与财务记录发生间接的关系 包括统计分析 时动研究 经营报告 雇员培训计划和质量控制等 37 定义的第二次修正 第一次修正后的定义 大大缩小了注册会计师的责任范围 但人们认为对 会计控制 的保护资产和保证财务记录可靠性这两点仍然可能发生误解 即对 保护 一词作广义的解释可能会使人们产生这样一种印象 决策过程中的任何程序和记录都可以包括在会计控制的保护资产概念中 为了避免这种宽泛的解释 1972年美国注册会计师协会 AICPA 对会计控制又提出并通过了一个较为严格的定义 会计控制是组织计划和所有与下面直接有关的方法和程序 1 保护资产 即在业务处理和资产处置过程中 保护资产遭过失错误 故意致错或舞弊造成的损失 2 保证对外界报告的财务资料的可靠性 38 定义的第三次修正 1972年 美国准则委员会 ASB 审计准则公告 的制定者 循着 证券交易法 的路线进行研究和讨论 在第1号公告 SASNo 1 中 对管理控制和会计控制提出并通过了今天广为人知的定义 1 内部会计控制 会计控制由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成 会计控制旨在保证 经济业务的执行符合管理部门的一般授权或特殊授权的要求 经济业务的记录必须有利于按照一般公认会计原则或其它有关标准编制财务报表 以及落实资产责任 只有在得到管理部门批准的情况下 才能接触资产 按照适当的间隔期限 将资产的账面记录与实物资产进行对比 一经发现差异 应采取相应的补救措施 2 内部管理控制 管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录 这种授权活动是管理部门的职责 它直接与管理部门执行该组织的经营目标有关 是对经济业务进行会计控制的起点 39 上述定义的分析 上述内部控制定义的演变反映出一个特点 当前注册计师在开展其审计工作时所运用的会计控制概念 是一种纯技术的 专业化的 适用范围具有严格规定性的 防护色彩很浓的概念 它的主要宗旨是预防和发现错弊 这种以会计控制为主的定义 虽为独立审计界认可 却屡屡遭到管理人员代言人的攻击 他们指出 这些定义把精力过多地放在纠错防弊上 过于消极和狭窄 从管理人员 和其它有关第三方 的角度来看 会计控制和管理控制之间的区别并不大 甚至根本没有区别 特别是那些置身于企业经营活动的人们 他们很难接受这种区分 1980年3月在 内部审计师协会 代表大会的发言中 凯罗鲁斯先生把美国注册会计师协会在1958年将1949年的内部控制定义区分为会计控制和管理控制的行为描绘为 将美玉击成了碎片 他声称 在这块美玉完全修复以前 我们不可能有一个对管理人员有用 为管理人员理解的内部控制定义 40 内部控制的定义 一般化 40 内部控制被定义为一个过程 这个过程受企业的董事会 管理层及其他人员影响 设计这个过程是为达成下列目标提供合理的保证 营运的效果和效率财务报表的可靠性相关法规的遵循保护资产的安全 业务中的内控举例 业务中的情景 对应内控方面 定期汇总和分析公司财务信息 投资决策可行性收益性 重点项目的投资决策 按照政策法规要求进行管理和汇报 合规经营符合性 41 内部控制的重要性 公司对待风险和收益关系的态度 公司是否有足够的能力化解风险 管理者能否有效监控风险 资本投资方向正确吗 资本是否得到有效配置以提高回报率 风险与盈利的平衡 风险管理能力 盈利能力 42 42 企业内部控制的本质 内部控制的本质是自我调节 自我约束 企业内部控制的本质 以外部控制为条件 以特定目的为动因 以降低风险为基础 以成本与利益平衡为前提 是相对控制 以多种方式为手段 因人而异 43 内部控制的发展历程 43 内部牵制 阶段 内部控制制度 阶段 内部控制结构 阶段 内部控制整体框架 阶段 萌芽期 成长期 发展期 成熟期 帐目核对 岗位分离 会计控制 管理控制 控制环境 会计制度 控制程序 控制环境 风险评估 控制活动 信息沟通 监测 最新阶段 企业风险管理整合框架 阶段 增加目标设定 事项识别和风险应对 44 内部控制的发展历程 续 内部牵制思想以账目间的相互核对为主要内容并实施岗位分离 这在早期被认为是确保所有账目正确无误的一种理想控制方法内部控制制度思想认为内部控制应分为内部会计控制和内部管理控制两个部分 前者在于保护企业资产 检查会计数据的准确性和可靠性 后者在于提高经营效率 促使有关人员遵守既定的管理方针西方学术界在对内部会计控制和管理控制进行研究时 逐步发现这两者是不可分割 相互联系的 因此在20世纪80年代提出了内部控制结构的概念 认为 企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序 并且明确了内部控制结构的内容为控制环境 会计制度和控制程序三个方面在90年代美国提出内部控制整体框架思想 并逐步将各界对内部控制的认识统一起来目前 我国理论界和实务界对内部控制的认识还很不统一 有的企业则对内部控制还没有概念 44 45 进入二十一世纪 1993年 美国 反对虚假财务报告委员会 NationalCommissiononFraudulentReporting 所属的内部控制专门研究委员会发起机构委员会 CommitteeofSponsoringOrganizationsoftheTread wayCommission 颁布了企业风险管理框架的讨论稿 并于2004年4月颁布正文 ERM 46 内部控制整体框架 5要素 内部控制整体架构 InternalControl一IntegratedFramework 内部控制是一个过程 受企业董事会 管理当局和其他员工影响 旨在保证财务报告的可靠性 经营的效果和效率以及现行法规的遵循 控制环境风险评估控制活动信息与沟通监督 47 相对于内部控制框架而言 ERM新增加了一个观念 一个目标 两个概念和三个要素一个观念 风险组合观要求企业管理者以风险组合的观点看待风险 对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内 对企业内每个单位而言 其风险可能落在该单位的风险容忍度范围内 但从企业总体来看 总风险可能超过企业总体的风