内控02.内部控制框架的建立.ppt

2 1内部控制 整合框架2 2企业风险管理 整合框架2 3萨班斯 奥克斯利法案对内部控制的要求 2 内部控制框架的建立 通过本章学习 要求掌握内部控制的目标和要素 理解 内部控制 整合框架 和 企业风险管理 整合框架 中内部控制的重要概念 了解COSO委员会的概况和萨班斯法案对内部控制的要求 学习目标 1992年9月 COSO委员会提出了报告 内部控制 整合框架 P18 1994年进行了增补 该报告包括管理层总结 总体构架 外部团体报告 评估工具四个部分 2 1内部控制 整合框架 参阅教材P17 22 2 2 1定义2 2 1 1内部控制的定义内部控制是一个受到董事会 经理层和其他人员影响的过程 该过程的设计是为了提供实现以下三类目标的合理保证 经营的效果和效率 财务报告的可靠性 法律法规的遵循性 P19 Internalcontrolisaprocess effectedbyanentity sboardofdirectors managementandotherpersonnel designedtoprovidereasonableassuranceregardingtheachievementofobjectivesinthefollowingcategories effectivenessandefficiencyofoperations reliabilityoffinancialreporting compliancewithapplicablelawsandregulations 2 1内部控制 整合框架 2 2 1 2内部控制是一个过程 Internalcontrolisaprocess 见定义 内部控制并非单一的事件或环境 而是针对企业行为的一系列活动 内部控制应该 嵌入 企业之中 而非 外置 在企业之外 2 2 1 3人的因素 Internalcontroliseffectedbypeople 补充 内部控制受到企业董事会 经理层和其他人员的影响 见定义 同样 内部控制也影响人们的行为 2 2 1 4合理保证 ReasonableAssurance 见定义 内部控制 无论设计和执行多么理想 也只能就企业目标的实现向经理层和董事会提供合理的保证 2 1内部控制 整合框架 2 2 1 5目标 Objectives 内部控制 整合框架 P19 经营 关于企业资源利用的效率 效果财务报告 关于编制公开财务报表的可靠性遵循性 关于法律和法规的遵循性Operations relatingtoeffectiveandefficientuseoftheentity sresources Financialreporting relatingtopreparationofreliablepublishedfinancialstatements Compliance relatingtotheentity scompliancewithapplicablelawsandregulations 2 1内部控制 整合框架 企业风险管理 整合框架 P23 战略 高层次目标 与使命相关联并支撑其使命经营 有效和高效率地利用其资源报告 报告的可靠性合规 符合适用的法律和法规Strategic relatingtohigh levelgoals alignedwithandsupportingtheentity smissionOperations relatingtoeffectiveandefficientuseoftheentity sresourcesReporting relatingtothereliabilityoftheentity sreportingCompliance relatingtotheentity scompliancewithapplicablelawsandregulations 2 1内部控制 整合框架 企业内部控制基本规范 P224 企业经营管理合法合规资产安全 safeguardingofassets 财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略 2 1内部控制 整合框架 2 1内部控制 整合框架 2 1内部控制 整合框架 2 2 1 6要素 Components 控制环境 风险评估 控制活动 信息和沟通 监控 ControlEnvironment RiskAssessment ControlActivities InformationandCommunication Monitoring P19 2 1内部控制 整合框架 2 2 2控制环境控制环境决定了企业的基调 影响企业员工的控制意识 它是其他要素的基础 提供了基本规则和构架 2 2 2 1员工的诚信和道德价值观 IntegrityandEthicalValues 2 2 2 2胜任能力 CommitmenttoCompetence 2 2 2 3董事会和审计委员会 BoardofDirectorsorAuditCommittee 2 2 2 4管理层的经营理念和经营风格 Management sPhilosophyandOperatingStyle 2 2 2 5组织结构 OrganizationalStructure 2 2 2 6管理层授权和职责分工 AssignmentofAuthorityandResponsibility 2 2 2 7人力资源政策和措施 HumanResourcePoliciesandPractices 2 1内部控制 整合框架 2 2 3风险评估每个企业都面临来自内部和外部的风险 这些风险必须进行评估 风险评估的前提是确立目标 这些目标在不同的层次上相互联系并具有内在的一致性 风险评估指对相关风险进行鉴别和分析 以实现目标 形成风险管理的基础 风险管理主要有六步 第一步 背景分析与确定范围 第二步 识别风险 第三步 分析风险 四步 评价风险 第五步 应对风险 第六步 监测与审核 2 2 3 1目标2 2 3 1 1目标的种类 经营目标 报告目标 遵循性目标 资产目标 战略目标2 2 3 1 2目标的层次 公司层目标 业务活动层目标 2 1内部控制 整合框架 2 2 3 2风险第一步 背景分析与确定范围 2 1内部控制 整合框架 第二步 识别风险识别内部风险 应当关注下列因素 董事 监事 经理及其他高级管理人员的职业操守 员工专业胜任能力等人力资源因素 组织机构 经营方式 资产管理 业务流程等管理因素 研究开发 技术投入 信息技术运用等自主创新因素 财务状况 经营成果 现金流量等财务因素 营运安全 员工健康 环境保护等安全环保因素 识别外部风险 应当关注下列因素 经济形势 产业政策 融资环境 市场竞争 资源供给等经济因素 法律法规 监管要求等法律因素 安全稳定 文化传统 社会信用 教育水平 消费者行为等社会因素 技术进步 工艺改进等科学技术因素 自然灾害 环境状况等自然环境因素 2 1内部控制 整合框架 第三步 分析风险企业应当采用定性与定量相结合的方法 按照风险发生的可能性及其影响程度等 对识别的风险进行分析和排序 确定关注重点和优先控制的风险 2 1内部控制 整合框架 风险可能性的定性与定量分析 2 1内部控制 整合框架 风险损失的定性与定量分析 2 1内部控制 整合框架 第四步 评价风险 对于高风险H 需要立即采取行动 董事会 高管应参与 对于严重风险S 需要高级管理层注意 对于中度风险M 通过具体监控或响应程序加以管理 对于低度风险L 通过日常程序加以管理 2 1内部控制 整合框架 第五步 应对风险企业应当根据风险分析的结果 结合风险承受度 权衡风险与收益 确定风险应对策略 企业应当合理分析 准确掌握董事 经理及其他高级管理人员 关键岗位员工的风险偏好 采取适当的控制措施 避免因个人风险偏好给企业经营带来重大损失 风险应对一般包括 规避风险 降低风险 分担风险 承受风险四类 2 1内部控制 整合框架 风险应对策略 风险规避 风险降低 风险分担 风险承受 企业对超出风险承受度的风险 通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略 企业在权衡成本效益之后 准备采取适当的控制措施降低风险或者减轻损失 将风险控制在风险承受度之内的策略 企业准备借助他人力量 采取业务分包 购买保险等方式和适当的控制措施 将风险控制在风险承受度之内的策略 企业对风险承受度之内的风险 在权衡成本效益之后 不准备采取控制措施降低风险或者减轻损失的策略 2 1内部控制 整合框架 第六步 监测与审核风险是不断变化的 与风险相关的内部控制也必须发生变化 通过对风险的监测与对内部控制有效性的持续审核 有利于企业目标的实现 2 1内部控制 整合框架 2 2 4控制活动控制活动指为确保管理层指示得以执行的政策和程序 2 2 4 1控制活动的类型高层复核 TopLevelReviews 职能指导或业务管理 DirectFunctionalorActivityManagement 信息处理 InformationProcessing 实物控制 PhysicalControls 业绩指标分析 PerformanceIndicators 职责分离 SegregationofDuties 2 1内部控制 整合框架 2 2 4 2控制活动的要素 政策和程序控制活动通常包含两类要素 确定应该做什么的政策 作为第二个要素基础 和实现该政策的程序 例如 政策可能要求证券交易商的营业部门经理复核客户交易行为 而程序是复核行为本身 必须及时进行 并关注政策里提及的因素 如所交易证券的性质和数量以及与客户证券净值和年纪之间的联系 很多时候 政策以口头形式传达 当政策是长期存在和被广泛接受的 以及在沟通渠道只涉及有限的管理层 人员之间联系密切 易于监管的小企业中 非书面的政策也可以是有效的 不管政策是否是书面的 必须被仔细地 尽责地 一贯地执行 如果程序只是机械地被执行 而对政策的方向没有一个敏锐 持续的关注 那么也是没有益处的 2 1内部控制 整合框架 2 2 5信息和沟通相关的信息必须以一种能使人们行使各自职能的形式和在一定的时限内被识别 掌握和沟通 有效的沟通还必须广泛的进行 要遍及组织的各个方面 2 2 5 1信息2 2 5 1 1信息的识别和获取2 2 5 1 2信息加工和报告2 2 5 1 3信息系统的整合 2 1内部控制 整合框架 2 2 5 2沟通2 2 5 2 1内部沟通所有人员 特别是那些有着重要的经营和财务管理职责的人员 取得管理所需信息 并清楚地知道必须严肃履行内部控制责任 在多数情况下 正常的报告渠道就是适当的沟通渠道 然而 在特定条件下 需要独立的沟通渠道作为一个预防失败的机制 管理层与董事会及其委员之间的沟通至关重要 2 1内部控制 整合框架 2 2 5 2 2外部沟通通过开放的沟通渠道 了解顾客 供应商对于产品或服务的设计或质量方面的要求使公司注意顾客的需求和偏好 与外部审计师的沟通 管理层和董事会可以了解重要的控制信息 与股东 监管者 财务分析师以及其它外界的交流 可以了解企业所面临的情况和风险 2 2 5 2 3沟通的方式沟通可以采用诸如政策手册 备忘录 布告通知 录像录音带的形式 又可采用口头传递消息的方式 另一种有影响力的沟通手段是管理层在领导下属工作时的言行 2 1内部控制 整合框架 2 2 6监控内控系统需要被监控 这是一个评估系统在一定时期内运行质量的过程 这一过程通过持续性的监控行为 独立的评估或两者的结合来实现 内部控制的缺陷应自下而上进行报告 重要事项应报知高层管理人员和董事会 2 2 6 1持续性监控行为在执行常规管理行为时 经营管理层取得内部控制持续运转的证据 与外界各方的沟通能够印证内部产生的信息或揭示问题 将信息系统所记录的数据与实物资产相核对 内部及外部审计师定期为进一步加强内部控制提供建议 培训研讨会 计划会议及其他会议能提供有关控制是否有效 定期询问职员理解及执行企业相关规定的情况 2 1内部控制 整合框架 2 2 6 2独立评估2 2 6 2 1范围和频率独立评估的范围和频率主要依赖于风险评估和持续性监控程序的有效性 2 2 6 2 2评价主体一是自我评价 即负责某一单位或职责的人员对其控制自身活动的有效性进行评价 二是内部审计人员评估 有时 在董事会 高级管理层 子公司及部门主管的特殊要求下 内审人员也会对内控进行评价 2 2 6 2 3评价程序及方法体系2 2 6 2 4行动计划2 2 6 2 5报告缺陷 2 1内部控制 整合框架 2 2 7控制目标 控制要素与控制单元之间的关系 补充记录于P20 企业内部控制的五个要素都是为实现企业三个控制目标服务的企业各控制单元都要坚持三个控制目标企业各控制单元目标的实现都要从五个方面来进行控制 2 1内部控制 整合框架 2 2 8各组织架构在内部控制中的角色和职责 P20 企业的每位员工都应担负内部控制的职责 管理层 首席执行官负有最终的责任 其确定了 最高层的基调 董事会 管理层向董事会负责 董事会提供治理 指导和监督 内部审计师 内部审计师在评价 维护企业内控系统有效性方面起重要作用 其他人员 从某种程度上说 内部控制是企业中每个人的职责 因此应成为每个人工作职责中明示或暗示的部分 2 1内部控制 整合框架 2 2 9COSO的贡献 P21 2 2 9 1准确定位内部控制基本目标2 2 9 2内控要素之间的整合体系2 2 9 3内部控制对目标的实现仅仅提供的是合理保证2 2 9 4内部控制是一个动态的过程2 2 9 5强调人与环境的重要性2 2 9 6糅合了管理与控制的界限 2 1内部控制 整合框架 案例 2 10 综合案例 2 1内部控制 整合框架 2004年9月COSO 企业风险管理 整合框架 EnterpriseRiskManagement IntegratedFramework 2 2企业风险管理 整合框架 参阅教材P22 25 2 3 1企业风险管理框架的定义 P22 25 一个由企业的董事会 管理层和其他员工 2 共同参与的 应用于企业战略制定 3 和企业内部各个层次和部门 4 的 用于识别可能对企业造成潜在影响的事项 5 并在其风险偏好范围内管理风险的 为企业目标 7 的实现提供合理保证 6 的过程 1 Enterpriseriskmanagementisaprocess effectedbyanentity sboardofdirectors managementandotherpersonnel appliedinstrategysettingandacrosstheenterprise designedtoidentifypotentialeventsthatmayaffecttheentity andmanagerisktobewithinitsriskappetite toprovidereasonableassuranceregardingtheachievementofentityobjectives 2 2企业风险管理 整合框架 2 3 1 1AProcess 一个过程 它持续地流动于主体之内 2 3 1 2EffectedbyPeople 由组织中各个层级的人员实施 2 3 1 3AppliedinSettingStrategy 应用于战略制订 2 3 1 4AppliedinSettingStrategy 贯穿于企业 在各个层级和单元应用 还包括采取主体层级的风险组合观 2 3 1 5RiskAppetite 旨在识别一旦发生将会影响主体的潜在事项 并把风险控制在风险容量以内 2 3 1 6ProvidesReasonableAssurance 能够向一个主体的管理当局和董事会提供合理保证 2 3 1 7AchievementofObjectives 力求实现一个或多个不同类型但相互交叉的目标 2 2企业风险管理 整合框架 2 3 2企业风险管理的目标 P23 战略 高层次目标 与使命相关联并支撑其使命经营 有效和高效率地利用其资源报告 报告的可靠性合规 符合适用的法律和法规Strategic relatingtohigh levelgoals alignedwithandsupportingtheentity smissionOperations relatingtoeffectiveandefficientuseoftheentity sresourcesReporting relatingtothereliabilityoftheentity sreportingCompliance relatingtotheentity scompliancewithapplicablelawsandregulations 2 2企业风险管理 整合框架 2 3 3企业风险管理的要素 P24 InternalEnvironment 内部环境 管理当局确立关于风险的理念 并确定风险容量 内部环境为主体中的人们如何看待风险和着手控制确立了基础 所有企业的核心都是人 他们的个人品性 包括诚信 道德价值观和胜任能力 以及经营所处的环境 2 2企业风险管理 整合框架 风险要素 ObjectiveSetting 目标设定 必须先有目标 管理当局才能识别影响它们的实现的潜在事项 企业风险管理确保管理当局采取恰当的程序去设定目标 确保所选定的目标支持和切合该主体的使命 并且与它的风险容量相一致 EventIdentification 事项识别 必须识别可能对主体产生影响的潜在事项 事项识别涉及到从影响目标实现的内部或外部原因中识别潜在的事项 它包括区分代表风险的事项和代表机会的事项 以及可能二者兼有的事项 机会被反馈到管理当局的战略或目标制订过程中 RiskAssessment 风险评估 要对识别的风险进行分析 以便形成确定应该如何对它们进行管理的依据 风险与可能被影响的目标相关联 既要对固有风险进行评估 也要对剩余风险进行评估 评估要考虑到风险的可能性和影响 RiskResponse 风险应对 员工识别和评价可能的风险应对 包括回避 承担 降低和分担风险 管理当局选择一系列措施使风险与主体的风险容限和风险容量相协调 2 2企业风险管理 整合框架 ControlActivities 控制活动 制订和实施政策与程序以帮助确保管理当局所选择的风险应对得以有效实施 InformationandCommunication 信息与沟通 相关的信息以确保员工履行其职责的方式和动机予以识别 获取和沟通 主体的各个层级都需要借助信息来识别 评估和应对风险 有效沟通的含义比较广泛 包括信息在主体中的向下 平行和向上流动 员工获得有关他们的职能和责任的清晰的沟通 Monitoring 监控 对企业风险管理进行全面监控 必要时加以修正 通过这种方式 它能够动态地反应 根据条件的要求而变化 监控通过持续的管理活动 对企业风险管理的个别评价或者两者相结合来完成 2 2企业风险管理 整合框架 2 3 4 1董事会 对企业的风险管理负有监督职责了解管理者在企业内部建立有效的风险管理的程度 获知并认可企业的风险偏好 复核企业的风险组合观并与企业的风险偏好相比较 评估企业最重要的风险并评估管理者的风险反应是否适当 2 3 4 2企业的首席执行官 对企业的风险管理最终负责企业的高层确定风险管理的基调 从而影响企业内部环境中的员工操守和价值观及其他因素 2 3 4各组织架构在企业风险管理中的地位和职责 补充 P24 2 2企业风险管理 整合框架 2 3 4 3风险管理员 与企业内其他管理者一起 在各自的职责范围内建立并维护有效的风险管理框架 首席风险管理员也可以担当监督风险管理进度和帮助其他管理人员在企业内向上 向下和横向报告有关风险信息的职责 并可以成为企业风险管理委员会的一员 2 3 4 4内部审计人员 在风险管理的监控中占有重要的地位 这一职责作为其日常职责的一部分 2 3 4 5其他员工 从某种程度上讲 风险管理是企业内每一个员工的责任 2 2企业风险管理 整合框架 风险管理框架建立在内部控制框架的基础上 内部控制则是企业风险管理必不可少的一部分 风险管理框架的范围比内部控制框架的范围更为广泛 是对内部控制框架的扩展 是一个主要针对风险的更为明确的概念 2 3 5企业风险管理框架与内部控制框架的联系与区别 2 3 5 1联系 补充 P24 2 2企业风险管理 整合框架 2 3 5 2区别 P25 2 2企业风险管理 整合框架 增加一类目标 战略目标 并扩大了报告目标的范畴提出两个新概念 风险偏好 riskappetite 和风险容忍度 risktolerances 风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量 风险容忍度是指在企业目标实现过程中对差异的可接受程度提出一个新观念 风险组合观增加了三个风险管理要素 对其他要素的分析更加深入 范围上也有所扩大 增加了目标制定 事项识别和风险反应三个要素 内部环境 风险评估 信息与沟通范围更大 分析更深入 2 2企业风险管理 整合框架 2 4 1 1安然事件是如何发生的2001年10月16日 安然公司公布该年度第三季度的财务报告 宣布公司亏损总计达6 18亿美元 2001年11月 日 安然向美国证监会递交文件 承认存在财务舞弊 从1997年到2001年间共虚报利润5 86亿美元 2001年11月30日 安然股价跌至0 26美元 最高时达到90 56美元 市值由峰值时的800亿元美元跌至 亿美元 2002年12月 日 安然公司正式向破产法院申请破产保护 成为当时美国历史上最大的破产企业 2002年 月 日 纽约证券交易所将安然公司股票从道 琼斯工业平均指数成分股中除名 并停止交易 2 4 1安然事件 P38 2 3萨班斯 奥克斯利法案对内部控制的要求 2 4 1 2安然公司如何造假安然复杂的企业结构 安然控股子公司的组织形式 安然的关联交易方式 安然的财务报表的问题 2 4 1 3安然崩塌对美国经济的影响安然的财务危机严重影响了美国乃至全球的股市 安然事件给汇市 债市 期市 金市带来很大影响 安然事件引发了一系列企业倒闭的连锁反应 安然的破产拖累了一批银行 首当其冲的是花旗银行和 摩根大通银行 2 3萨班斯 奥克斯利法案对内部控制的要求 安然一案 主要罪行之一就是制造假账 通过关联企业形成 利润 公司高管又暗抛股票进行内部交易 安然公司前任首席执行官斯基林就因此被裁犯有欺诈 共谋 内部交易等19项罪行 被重判24年又4个月徒刑 世界 五大 国际会计师事务所之一的安达信 由于为安然做假账 落得迅速解体的下场 花旗集团 摩根大通 美洲银行等也因涉嫌财务欺诈 向安然案中受害者分别支付了数十亿美元不等的赔偿金 对安然丑闻的 世纪之审 可以概括为 在刑罚方面 主谋者皆深陷囹圄 在罚款方面 造假者皆倾家荡产 在追究关联企业方面 涉案者几乎无一漏网 2 4 1 4 世纪之审 安然案件 2 3萨班斯 奥克斯利法案对内部控制的要求 2 4 1 5美国如何应对安然事件一是 2002年7月25日 美国国会通过了 公众公司会计改革和投资者保护2002年法案 又称 萨班斯 奥克斯利法案 第一句话即为 遵守证券法律以提高公司披露的准确性和可靠性 从而保护投资者及其他目的 二是美国政府成立一个新的机构 既公众公司会计监管委员会来监管会计行业 该委员会是一个非赢利公司法人 主要职责是 对为上市公司出具审计报告的会计师事务所进行备案 制定或采纳有关审计 质量控制 道德 独立性及其它标准 对备案的会计师事务所及相关人员进行检查 调查 惩戒 2 3萨班斯 奥克斯利法案对内部控制的要求 2 3萨班斯 奥克斯利法案对内部控制的要求 2 4 2萨班斯 奥克斯利法案对内部控制的要求 参阅教材P33 38 2 4 2 1 萨班斯法案 简介2001年12月 美国最大的能源公司 安然公司 突然申请破产保护 此后 公司丑闻不断 规模也 屡创新高 特别是2002年6月的世界通信会计丑闻事件 彻底打击了 美国 投资者对 美国 资本市场的信心 为了改变这一局面 美国国会和政府加速通过了 萨班斯 奥克斯利法案 其全称为 2002年公众公司会计改革和投资者保护法案 由参议院银行委员会主席萨班斯 PaulSarbanes 和众议院金融服务委员会 CommitteeonFinancialServices 主席奥克斯利 MikeOxley 联合提出 法案的第一句话就是 遵守证券法律以提高公司披露的准确性和可靠性 从而保护投资者及其他目的 该法案对美国 1933年证券法 1934年证券交易法 做出大幅修订