内部控制框架与设计

1、* * 讲课大纲 ch7 典型业务流程内控设计 * * 销售与收款内部控制设计 * * ch8内部控制案例 * * 1 中国石化内控体系简介 * * 2 中石油内控制度介绍 * * 结束语 让我们共同迎接内控时代的到来！ * 企业内部控制制度设计及评价 * 法国兴业银行 31.15,-2.95,-8.65%,吧 欺诈案追踪 担任世界最大衍生交易市场领导角色的法国第二大银行兴业银行，24日爆出该行历史上最大违规操作丑闻。现年30多岁的交易员热罗姆?盖维耶尔在未经授权情况下大量购买欧洲股指期货，最终给银行造成49亿欧元 约合71.4亿美元 损失。盖维耶尔可谓“计算机天才”，居然通过了银行“5道安全

2、关”获得使用巨额资金的权限。 据新华社 据新华社电 法国兴业银行首席执行官丹尼尔?布东在24日举行的新闻发布会上说，一名交易员从2007年上半年便开始在上级不知情的情况下从事违规交易，交易类型为衍生品市场中最基本的股指期货。布东没有透露交易员的身份，但银行消息人士此后证实他名为热罗姆?盖维耶尔，现年30多岁。 根据银行管理层的说法，截至2007年年底，盖维耶尔预期市场会下跌，因此一直大手笔做空市场；从今年开始，盖维耶尔突然反手做多，豪赌市场会出现上涨。 兴业银行资产管理部门负责人菲利普?科拉称，由于投入大量资金，而且市场颓势与预期一致，盖维耶尔管理的账户在去年年底时还拥有“相当多盈利”；然而，

3、欧洲市场今年年初以来的大跌使账户反而出现巨额亏损。 不过，由于盖维耶尔使用隐蔽手段，管理层直至本月18日晚上才发现这一重大问题，并立即通报法国中央银行法兰西银行。 用法兰西银行行长克里斯蒂安?努瓦耶的话形容说，盖维耶尔可谓“计算机天才”，居然通过了银行“5道安全关”获得使用巨额资金的权限。 兴业银行24日向法院提交诉状，指控盖维耶尔伪造银行记录、使用伪造账户以及涉嫌计算机系统欺诈。盖维耶尔可能因此面临监禁或者罚款。 由于这名交易员并没有在任何交易盈亏中获取个人利益，银行方面表示还不清楚他违规操作的动机。 不过，法国工会官员称，根据他们了解的情况，盖维耶尔近期正面临“家庭问题”，“可能有些不能自

4、制”。 盖维耶尔自2000年来一直在兴业银行工作，作为交易员的他如今工资奖金年收入不足10万欧元 合14.57万美元 。 法国总工会的米谢勒?马尔谢认为，盖维耶尔也可能希望通过为银行赢取巨额利润来博得管理层欣赏，从而提高自己的奖金。 此“兴业”非彼“兴业” 中国国内兴业银行 31.15,-2.95,-8.65%,吧 和法国兴业银行并非“姻亲” 本报讯 记者 史丽萍 近日，法国兴业银行 societe generale 遭遇法国史上最大的金融欺诈案，因此有不少市民担心我国的兴业银行也与之有“姻亲”关系而遭受损失。为此，记者昨天从有关方面了解到，societe generale的中文名称中虽然也有

5、“兴业”二字，与我国的兴业银行相同，但只是音译上的一种巧合，两银行之间并无任何股权投资关系，兴业银行更不会受到法国兴业银行金融欺诈案的牵连。因此，市民不必担心。 据了解，兴业银行成立于1988年8月，是经国务院、中国人民银行批准成立的首批股份制商业银行之一，总行设在福建省福州市，2007年2月5日正式在上海证券交易所挂牌上市 股票代码：601166 ，注册资本50亿元。 从法国兴业银行欺诈案 看全球金融业风险管理 对于全球投资者而言，法国兴业银行欺诈案再次敲响了金融业风险管理的警钟。此案虽看似是孤立事件，但却有着明显的“时代背景”。过去几年，全球经济持续增长，股票、债券和石油等大宗商品市场均出

6、现强劲的投机风潮。 在这个过程中，一些金融机构和个人的风险管理意识明显放松，席卷全球主要金融市场的美国次贷危机根源即在于此。 就盖维耶尔个人而言，他在2007年预计市场将出现下跌，其投机活动一度出现盈利。但在今年年初，他却错误地估计市场将出现上涨，最终在最近一轮全球股市大动荡中“血本无归”。他的行为实际上很具典型性，代表了近年来一些金融机构和个人在市场总体繁荣的景象下强烈的投机冲动，甚至是为此不惜“铤而走险”。 早在去年<a name=baidusnap0></a>夏天</b>美国次贷危机全面爆发后，一些分析人士就提出，风险管理意识弱化和监管机制存在缺陷，是

7、酿成危机的重要原因。此后，这一危机造成全球主要金融市场剧烈动荡，美国联邦储备委员会等西方主要经济体的中央银行不得不频频出手“救市”。 从次贷危机到法国兴业银行欺诈案，事实表明即使在金融市场高度发达的西方经济体，风险管理也依然是一个重要课题，其制度要达到完善水平“还有很长的路要走”。 据新华社 法国兴业银行一向声誉甚隆。作为法国金融业的支柱，它不仅拥有500多家分支机构、12万名员工和每年70多亿美元的利润，还在复杂的与股票市场相关的金融衍生产品投资领域享有盛名，并被公认为世界上风险控制最出色的银行之一。2007年，法兴银行相继被世界权威风险管理杂志风险评为“证券衍生产品年度最佳银行”，被银行家

8、杂志评为“资产负债管理年度金融机构”。但就是这样一家优秀的金融机构，却因为一位名叫科维尔的交易员违规操作，赌错单边市，而栽在金融衍生产品以及与此相关的风险控制问题上。 科维尔的豪赌 现年31岁的科维尔并非名校毕业，2001年加盟法兴后他一直在法兴银行投资部的中后台工作，对后台清算及风险控制的流程和手法极为熟悉。由于长期得不到重视，在2005年转为交易员之后，他就很想赢得银行最高额度30万欧元的奖金，以证明自己在交易方面的非凡才华。根据法兴的授权，科维尔主要从事欧洲主要股票市场的指数期货的套利交易，投资策略主要是建立相关性强的金融组合，通过多空对冲套利。但从2006年后期起，为了追求盈利并展示自

9、己非凡的市场嗅觉，“电脑高手”科维尔凭借其熟知中后台控制手段的优势，通过伪造文件和邮件、盗用系统密码、篡改数据等手段，来构造虚拟的逆向交易，使原先需实质对冲的投资组合从表面上看来已相互对冲，从而掩盖了巨大的投资仓位和风险额度。 2007年上半年，科维尔预期欧洲股票市场将会下跌，他开始大笔做空股市，并因此为银行赚取了巨额利润 他本人并未从违规交易中牟利 。但从2008年初开始，由于美联储大幅降息，加上考虑到历史上全球股市在1月份涨多跌少，因此，他又转为做多股市，并在欧洲各大股指期货上累积了500亿欧元的头寸。这一巨大的投资仓位已远超法兴银行自身的市值。结果全球股市在次贷危机的影响下跌势凶猛，科维

10、尔的豪赌直接导致法兴银行高达72亿美元的亏损。这一亏损额相当于导致当年巴林银行 baringsbank 倒闭的交易亏损额的5倍。 金融机构应加强风险内控 科维尔的违规交易不仅使以风险管理出名的法兴银行信誉尽失，还使法兴有可能成为被并购的对象。这一戏剧性的案件，既凸显了操作风险与市场风险相互交织所隐含的巨大破坏性，又再次证明了衍生产品的复杂性和隐含的风险。尽管科维尔欺诈案件的许多细节目前尚不为外人所知，但事件本身已经为全球金融机构再次敲响了风险内控的警钟，并给我们带来了一些启示。 其一，慎重对待不相容岗位之间的人员流动问题。为了有效地控制风险，金融机构往往会把投资银行或资金部门分离成清算、风险监

11、控、财务管理及交易执行等相互制约的后、中、前台单位。如果资金交易部门比较小，无法独立成为多个单位，银行也往往会通过其他办法来加强内部控制，包括上收权限、分离相关岗位、构造相互制约关系等。类似的不相容岗位分离的原则同样适用于密押与印章的管理、系统维护和设计与系统操作、投资决策和交易执行等诸多业务岗位。对待不相容的岗位，金融机构以前的方法主要是将其有效区隔开来；但对待不相容业务岗位之间的员工流动却一直缺乏严格的规定。这一次科维尔的违规交易能累积至惊人的规模，重要原因之一就是他曾经在中后台工作过5年，熟知后台结算及中台风险控制的细节，而且一度担当过期货交易系统的编制和维护工作。熟悉中后台及电脑系统的

12、优势使得科维尔在买入金融产品时，懂得如何刻意去选择那些没有保证金补充警示的产品，以使风险经理难以发现交易的异常情况。同时，为了避免虚构仓位被及时发现，他还凭借在中后台流程控制方面的多年经验，从操作部门盗用了it密码，通过把其虚假交易行为及时删除、伪造文件证明、虚构仓位等手段，成功地避开了中后台部门的日常监控。法兴银行的惨痛教训告诉我们，为了有效控制市场风险和道德风险，今后商业银行除了设立更严格的防火墙区隔前中后台之外，还应当慎重对待不相容岗位之间的人员流动问题，并尽可能采取特别审查或有效监控的措施。 其二，加强对清算、风险管理系统以及交易密码的管理。科维尔的欺诈过程比较顺利，与他从事过期货交易

13、系统的设计维护工作是有很大关系。他能够躲过监控，盗用多个系统密码，篡改数据，一方面证明他确实是个电脑高手，另一方面表明法兴银行的系统管理是不完善的。科维尔被检察官以伪造文件和非法进入系统的罪名起诉之后，法兴银行也对信息系统的有效性进行了检讨，得出的结论是开发验收人员和it管理人员应当对技术漏洞及时采取补救措施，不定期更改系统密码，并对每个户名及密码的使用进行定期监控。只有密码的管理可靠了，不相容岗位的分离原则才能落到实处；同样道理，也只有系统的安全性有保障了，交易清算和风险内控所得到的数据才是准确的、完整的，相互制约和风险管理的作用才会是有效的。 其三，重视日常监控或风险管理中发现的蛛丝马迹。

14、从实务上讲，信用风险和市场风险可以用先进的方法进行量化和评估，但操作风险却很难用量化的方法去估测和监管。这就需要管理人员密切关注一些细节问题，包括经常对冲账务、凭证不齐、附件缺失以及员工生活突然变得比较奢华等等。就法兴案而言，虽然科维尔刻意规避内部监控，但银行内部风控部门并非从未发现过异常之处。比如，法兴的会计、风险等部门在科维尔好几次超过风险额度时，就曾经发出过警报，但可惜的是，在科维尔制造虚拟的对冲交易之后，他们并没有深究下去或开展像样的内部调查。2007年11月，欧洲期货交易所曾针对巨额交易向法兴发出警告，但同样没有引起银行管理层的足够重视。另外，法兴银行在监控风险时，倾向于重点关注特定

15、时间段的交易净头寸风险，对交易员的交易规模尤其是单边累积的规模重视不够，应该说也是科维尔得以蒙混过去的原因之一。 其四，管理层面对下属机构或人员的巨额盈利及优异的业绩应当保持足够的警觉性。尽管科维尔作弊的手段很高明，但从银行风险控制的流程看，本案迄今为止仍有许多不可思议之处。按常理来说，会计或清算部门在结算资金时，不仅会核对银行内部的交易单据，还会收到交易对手的交割清单和交易所要求缴纳保证金的通知，并逐一核对交易时间、金融产品名称、交易金额及成交价格等要素项，完全一致后才能记账或划拨保证金。银行不良职员要篡改内部交易记录或许还能找到捷径，但想伪造交易对手和交易所的对账资料，难度应该是非常大的。

16、一个合理的解释是法兴银行内部对科维尔的部分越权行为有可能是知情的。不仅如此，由于科维尔2007年大笔做空欧洲股票市场，并在当年底为银行赚取了高达20.3亿美元的盈利，因此，不能排除法兴内部有人乐观其成或者在巨额盈利面前丧失警觉的可能性。有趣的是，科维尔的违规问题实际上已经延续了比较长的一段时间，但在巨额盈利的掩盖下却一直未暴露出来；而从今年初到1月18日，仅仅相隔十余个工作日，由于赌错边诱发了巨亏，科维尔的丑行却迅速被揭发出来。这就难免引起了外界的许多联想。 我国的金融创新应更稳健 需要指出的是，在优良的业绩面前对潜在的风险丧失必要的警惕性，同样频频发生在中国金融机构的经营管理中。比如，在巨额

17、投资收益面前对资产泡沫所带来的风险估计不足；在贷款高速成长的形势下，对宏观经济周期变化所带来的风险认识不清；对揽储高手可能隐含的违规甚至不道德行为缺乏深入的了解；以及对表面上盈利率较高的企业不停地发放贷款，但对其财务真实性却明显重视不够等等。所有这些对金融机构的健康成长都是不利的。法兴事件再次敲响风险管理的警钟应当说是正当其时。 最后，从银行微观经营以及政府部门对金融市场宏观管理的角度看，法兴事件给我们的经验教训都非常深刻：那就是对金融衍生产品的巨大破坏性，无论企业还是金融监管部门都应当保持非常清醒的认识。尽管银行贷款的信用风险对盈利的影响非常明显，但类似于衍生产品那样，可以因为一个人的交易而

18、导致巴林银行倒闭，法兴银行全年的经营业绩化为泡影的典型案例仍然证明，金融衍生产品除了对冲风险以及成为套利工具外，其危害性也是极其巨大的。在亚洲金融危机中，国际炒家在抛售港元、抛空港股现贷的同时，大量应用汇率及指数方面的衍生产品 比如大规模买入认沽期权 ，对香港金融市场已经产生威力无比的杀伤作用。正因如此，我们认为，我国在推进金融创新时，步伐应当迈得更稳健一些，对相关产品的潜在风险应当估计得更充分一些。也只有这样，次按风暴和法兴银行事件才不会在中国重演，我国的金融机构和金融市场才能得以健康、持续地发展。 作者供职于中国人民银行，本文不代表作者供职单位意见 * 企业内部控制制度设计及评价 * 今年

19、月日时许，邯郸市农业银行金库发生一起特大盗窃案，被盗现金人民币近万元。经工作发现，任晓峰、马向景有重大作案嫌疑。案发后，任晓峰、马向景二人驾驶一辆灰色三星八座面包汽车潜逃。 公安部于日发出级通缉令，缉拿这两名特大盗窃案件犯罪嫌疑人。为尽快把犯罪嫌疑人缉拿归案，公安机关对发现线索的举报人、缉捕有功的单位或个人，每抓获一名将给予万元人民币奖励。 任晓峰，男，年月日出生，河北省大名县人，高中文化，案发前为邯郸市农业银行现金管理中心管库员。 马向景，男，年月日出生，河北省临漳县柏合乡马荒村人，案发前为邯郸市农业银行现金管理中心管库员。 * 企业内部控制制度设计及评价 * 内部控制的号角在全球吹响！ 世

20、界各国公司财务丑闻及其引发的投资者信任缺失，把公司风险和控制推向了潮头浪尖。世界各国各界对于企业风险管理和内部控制进行了前所未有的重视和规制。美国2002年出台的萨班斯?奥克斯利法案旨在以会计信息真实与完整为线索提升企业内控机制及报告体系。英国公司治理综合法典指导意见 turnbull guidance 的目的是帮助那些在美国证监会（sec）注册的非美国企业应对内部控制要求，这些企业可选择采用该指导意见作为其内控框架，而sec也认可该指南在评估内部控制有效性方面的权威性。加拿大安大略证券委员会之multi-lateral instrument 52-109（与sox302相似）和52-111（

21、与sox404相似）要求企业与年报一同提交相关内部控制报告。银行业也在积极改善内部控制系统。2004年6月，十国集团发布了被称为"basel ii"的资本充足性框架， basel ii中744和745节要求就内部控制架构进行独立检查。 随着欧元成为欧盟国家通用货币，欧盟经济一体化趋势更加明显，为了保证欧盟经济发展的安全持续，欧盟对改进内部控制的关注也进一步加大。许多欧盟成员国自90年代起开始制定公司治理法规以改善内部控制。欧盟2002年改革白皮书定义的内部控制包括以下五个方面：控制环境；业绩和风险管理；信息和沟通；控制活动，及审计和评估等；经合发展组织（oecd）以原则为基

22、础的方法提出内控相关要求，提升透明度的举措包括足够的会计法规要求；独立外部审计和公司内部控制。 coso和信息及相关技术控制目标（control objectives for information and related technology，cobit）得到世界各国监管当局、上市公司审计师，财金从业人员和信息技术人员的认可。coso为内部控制建立了一个完善的框架，通过提供风险管理和合规要求的框架将内部控制的定义标准化。cobit由it治理协会制定发布，是信息技术治理方面的一个开放性标准。 作为良好it安全和控制实务的标准，cobit为管理当局、企业用户和信息系统审计、控制及安全从业人员提供

23、了一个参考框架。 * 企业内部控制制度设计及评价 * 下：企业内部控制设计与操作 ch5企业内控设计原则/重点 ch6企业内部控制设计方法 ch7企业资产风险控制设计 ch8企业销售收款控制设计 * 企业内部控制制度设计及评价 * 公司治理结构是促使内部控制有效运行，保证内部控制功能发挥的前提和基础，是实行内部控制的制度环境；而内部控制在公司治理结构中担当的是内部管理监控系统的角色，是有利于企业受托者实现企业经营管理目标，完成受托责任的一种手段。所以企业要加强公司治理结构的控制，这样有利于充分发挥各部门和个人的作用，调动单位的活力，才能实现内部控制所具有的全方位控制功能。 * 企业内部控制制度

24、设计及评价 * 公司治理结构是促使内部控制有效运行，保证内部控制功能发挥的前提和基础，是实行内部控制的制度环境；而内部控制在公司治理结构中担当的是内部管理监控系统的角色，是有利于企业受托者实现企业经营管理目标，完成受托责任的一种手段。所以企业要加强公司治理结构的控制，这样有利于充分发挥各部门和个人的作用，调动单位的活力，才能实现内部控制所具有的全方位控制功能。 * 企业内部控制制度设计及评价 * 公司治理结构是促使内部控制有效运行，保证内部控制功能发挥的前提和基础，是实行内部控制的制度环境；而内部控制在公司治理结构中担当的是内部管理监控系统的角色，是有利于企业受托者实现企业经营管理目标，完成受

25、托责任的一种手段。所以企业要加强公司治理结构的控制，这样有利于充分发挥各部门和个人的作用，调动单位的活力，才能实现内部控制所具有的全方位控制功能。 * 企业内部控制制度设计及评价 * 公司治理结构是促使内部控制有效运行，保证内部控制功能发挥的前提和基础，是实行内部控制的制度环境；而内部控制在公司治理结构中担当的是内部管理监控系统的角色，是有利于企业受托者实现企业经营管理目标，完成受托责任的一种手段。所以企业要加强公司治理结构的控制，这样有利于充分发挥各部门和个人的作用，调动单位的活力，才能实现内部控制所具有的全方位控制功能。 * 企业内部控制制度设计及评价 * 公司治理结构是促使内部控制有效运

26、行，保证内部控制功能发挥的前提和基础，是实行内部控制的制度环境；而内部控制在公司治理结构中担当的是内部管理监控系统的角色，是有利于企业受托者实现企业经营管理目标，完成受托责任的一种手段。所以企业要加强公司治理结构的控制，这样有利于充分发挥各部门和个人的作用，调动单位的活力，才能实现内部控制所具有的全方位控制功能。 * 企业内部控制制度设计及评价 * 公司治理结构是促使内部控制有效运行，保证内部控制功能发挥的前提和基础，是实行内部控制的制度环境；而内部控制在公司治理结构中担当的是内部管理监控系统的角色，是有利于企业受托者实现企业经营管理目标，完成受托责任的一种手段。所以企业要加强公司治理结构的控

27、制，这样有利于充分发挥各部门和个人的作用，调动单位的活力，才能实现内部控制所具有的全方位控制功能。 * 企业内部控制制度设计及评价 * * 企业内部控制制度设计及评价 * * 企业内部控制制度设计及评价 * * * 2-8监控 内部控制系统需被监督。监控是评价期间内部控制业绩质量的进程。 监督是由适当的人员，在适当及时的基础下，评估控制的设计和运作情况的过程。它是对企业内部控制整体框架及其运行情况的跟踪、监测和调节，以自始至终确保其有效性。 企业可以通过两种方式对风险管理进行监控持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内各管理层面和各部门持续得到执行 。 * *

28、2-8监控 监控还包括对企业风险管理的记录，对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。 企业风险管理的内容没有记录并不意味着风险管理无效或无法对风险管理进行评估。但是，适当的记录通常会使风险管理的监控更为有效果和有效率。 当企业管理者打算向外部相关方提供关于企业风险管理效率的报告时，他们应考虑为企业风险管理设计一套记录模式并保持有关的记录 * * 2-8监控持续的监督活动 持续的监督活动在营运过程中发生，它包括例行的管理和监督活动，以及其他员工为履行其职务所采取的行动。 管理阶层取得内部控制系统持续发挥功能的资料，当营运报告、财务报告与他们所得到的资料

29、有大偏离时，可对报告提出质疑； 来自外界团体的沟通，可以验证内部信息的正确性，并能及时反映问题的所在； 适当的组织机构及监督活动，可用来辨识缺失； 各个职务的分离，使不同员工之间可以彼此相互检查，以防止舞弊； 把信息系统所记录的资料同实际资产核对； 内、外部稽核人员定期提出强化内部控制系统的建议； 培训课程、规划会议和其他会议，可把控制是否有效的重要信息反馈给管理阶层 定期要求员工陈述他们是否了解企业的行为准则，并加以遵守，对于负责业务和财务的员工，则要求他们陈述某些特定控制是否都予执行，管理阶层或内部稽核人员还必须验证这些陈述是否确实。 * * 2-8监控个别评估 个别评估 尽管持续监督程序

30、可以有效的评价内部控制体系，但企业有时需要组织例外评估以直接监视控制系统的有效性，这种做法可评估持续性监督程序。 评估的范围和频率，视风险的大小及控制的重要性而定。 * * ch4 内部控制的局限性 “完美”内部控制是如何失效的？ * * 成本限制 人员素质 串通舞弊 滥用职权 非经常事项 修订不及时 内部控制的局限 内部控制局限性 人员素质不适应岗位要求，影响内部控制功能的正常发挥。 人员相互串通作弊导致相关内部控制失去作用。 很久之前的制度已不适用； 对于不经常发生的经济业务，原有的控制可能不适用。 管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去应有的控制效能。 成本效益原则。 ch5

31、 企业内控设计理论 * * 内部控制设计理论框架 内部控制设计理论框架 内部控制设计依据 内部控制设计思想 内部控制设计原则 内部控制组织设计 内部控制内容设计 * * 5-1内部控制设计依据 国内内部控制规范 国际内部控制框架 coso1：企业内部控制整合框架 coso2：企业风险管理整合框架 美国萨班斯-奥克斯利法案 2008/6 五部委企业内部控制基本规范 2006/6 国资委中央企业全面风险管理指引 2006/9 上海证交所上市公司内部控制指引 2006/9 深圳证交所上市公司内部控制指引 2002/9,2007/7 商业银行内部控制指引 * * 5-2内部控制设计思想 遵循“统筹规划

32、、整体设计、急用先行、分步实施”的原则 坚持以“源头治理”和“过程控制”为核心 全面梳理现有管理制度、业务流程和职责权限 准确评估现实风险和潜在风险 风险管理融入日常经营管理活动 实现管理工作的“五化”：程序化、标准化、规范化、系统化和制度化 增强企业抵御风险能力，合理保证目标的实现 * * 5-3内部控制设计原则 5-7-1全面性原则 5-3-2重要性原则 5-3-3制衡性原则 5-3-4适应性原则 5-3-5成本效益原则 * * 5-3内部控制设计原则 全面性原则 在组织层次上，实现全人员：涵盖企业董事会、管理层和全体员工； 在范围上，实现全过程：覆盖企业各项业务和管理活动，在流程上应当渗

33、透到决策、执行、监督、反馈等各个环节； 在内容上，实现全风险：包含战略风险、财务风险、市场风险、运营风险、法律风险在内的所有风险。 内控设计原则 全面性 重要性 制衡性 适应性 成本效益 * * 5-3内部控制设计原则 重要性原则 内部控制应当在兼顾全面的基础上突出重点，针对重要业务与事项、高风险领域与环节采取更为严格的控制措施，确保不存在重大缺陷。 内控设计原则 全面性 重要性 制衡性 适应性 成本效益 * * 5-3内部控制设计原则 制衡性原则 治理结构：股东会/董事会/ 组织结构和权责分配：应当科学合理并符合内部控制的基本要求，确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。

34、内控设计原则 全面性 重要性 制衡性 适应性 成本效益 * * 5-3内部控制设计原则 适应性原则 内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求。 内部控制应随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。 内控设计原则 全面性 重要性 制衡性 适应性 成本效益 * * 5-3内部控制设计原则 成本效益原则 内部控制应当在保证内部控制有效性的前提下，合理权衡成本与效益的关系，争取以合理的成本实现更为有效的控制。 内控设计原则 全面性 重要性 制衡性 适应性 成本效益 * * 5-4内部控制组织设计 内部控制组织设计，主要包括

35、规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。 董事会 管理层 风险主管 财务总监 内审部门 其他相关部门 * * 5-4内部控制组织设计 内部审计 财务总监 总经理 董事会 风险主管 其他相关职能部门 董事会对风险管理负有监督职责，具体包括： 充分了解并批准认可企业风险管理总体目标、风险偏好、风险承受度； 了解风险管理制度的有效性； 批准风险管理策略和重大风险管理解决方案审议，批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制； 了解和掌握企业面临的各项重大风险及其风险管理现状，评价管理者的风险应对是

36、否恰当； 批准重大决策的风险评估报告，批准内部审计部门提交的风险管理监督评价审计报告； 向股东（大）会提交企业全面风险管理年度工作报告； 督导企业风险管理文化的培育； 全面风险管理其他重大事项。 * * 5-4内部控制组织设计 其他相关职能部门 内部审计 总经理 董事会 风险主管 内部审计 财务总监 总经理 董事会 风险主管 其他相关职能部门 企业总经理对全面风险管理工作的有效性向董事会负责。总经理对企业的风险管理负有最终的责任，奠定风险管理的基调，具体职责如下： 研究提出全面风险管理工作报告；研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制； 研究提出跨职能

37、部门的重大决策风险评估报告； 研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控； 负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案； 负责组织建立风险管理信息系统； 负责组织协调全面风险管理日常工作； 负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作； 办理风险管理其他有关工作。 * * 5-4内部控制组织设计 大中型企业或风险较大的企业可以设置风险主管。 风险主管的职责如下： 制定企业风险管理政策； 指导、帮助公司、部门、职能机构进行风险管理活动； 建立一套通用的风险管理语言； 协助传递风险信息，制定

38、报告规程； 报告风险管理的问题，提供相关建议。 其他相关职能部门 内部审计 总经理 董事会 风险主管 内部审计 财务总监 总经理 董事会 风险主管 其他相关职能部门 * * 5-4内部控制组织设计 其他相关职能部门 内部审计 总经理 董事会 风险主管 内部审计 财务总监 总经理 董事会 风险主管 其他相关职能部门 财务总监对于企业风险管理起到非常重要的作用。 财务总监参与制定企业的预算和计划，从合规、经营和报告的角度收集、报告和分析业绩。 财务总监帮助确立组织的伦理行为的基调；决定公司报告系统、设计、执行和监控；对财务报表负有主要责任。 * * 5-4内部控制组织设计 内部审计在监督内部控制的

39、实施、评价内部控制有效性以及提出改进建议方面，起着关键作用。 内部审计的职责如下： 评估内部控制设计本身是否健全； 核查内部控制是否得到有效执行； 协助管理层发现并评价重要的风险因素，帮助改进内部控制体系。 其他相关职能部门 内部审计 总经理 董事会 风险主管 内部审计 财务总监 总经理 董事会 风险主管 其他相关职能部门 * * 5-4内部控制组织设计 企业其他职能部门及各业务单位在全面风险管理工作中，应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督， 主要履行以下职责： 执行风险管理基本流程； 研究并提出本职能部门或业务单位重大决 策、重大风险、重大事件和重要业务流程的判 断标

40、准或判断机制； 研究并提出本职能部门或业务单位的重大决 策风险评估报告； 做好本职能部门或业务单位建立风险管理信 息系统的工作； 做好培育风险管理文化的有关工作； 建立、健全本职能部门或业务单位的风险管 理内部控制子系统； 办理风险管理其他有关工作。 其他相关职能部门 总经理 董事会 风险主管 内部审计 财务总监 总经理 董事会 风险主管 其他相关职能部门 * * 5-5内部控制内容设计 内部控制体系 公司层面内部控制 业务层面内部控制 * * coso报告 coso2：企业风险管理整合框架 监控 信息与沟通 控制活动 风险应对 风险分析 风险识别 目标设定 内部环境 战 略 报 告 遵 循

41、运 营 分、子公司 业务单位 公司层面 分支机构 监控 信息和沟通 控制活动 风险评估 控制环境 营运 财务报告 合规性 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 业 务 务 监控 信息和沟通 控制活动 风险评估 控制环境 营运 财务报告 合规性 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 业 务 务 监 控 信 息 与 沟 通 控 制 活 动 风 险 评 估 内 部 环 境 coso1：企业内部控制整合框架 * *

42、ch6 内部控制设计方法 * * 主要内容 6-1 组织系统图设计 6-2 职责划分设计 6-3 岗位说明书设计 6-4 方针和程序手册设计 6-5 业务流程图设计 * * 6-1组织系统图设计 组织系统图主要描述企业内部各阶层的组织机构，显示每一个职位在企业中的地位及其上下隶属与纵横的关系。 现代企业组织庞大、部门众多、层次不一、关系复杂，只有以组织系统图的方法描述出来，才能使人一目了然。 * * 6-2 职责划分设计 一个企业有很多业务，亦有很多部门，各个部门的职责应予详细及明确划分，使每一事项的发生都有部门负责办理，而且要做到不重复亦无遗漏。 如果一项业务需要有两个以上部门共同完成时，对

43、各部门应负责任的范围，也应该有明确的规定。 * * 6-3 岗位说明书设计 岗位说明书是对工作性质的书面说明。 其表示方法是将单位的每个工作职位，编制一份详细的说明，用来反映担任该职位的员工应该履行的责任和被赋予的权力。 在岗位说明书中还可以包括：岗位名称、岗位要求（学历、资历等）、工作内容、薪酬标准、工作条件等等。 * * 6-4方针和程序手册设计 方针和程序手册，主要是指以书面形式来表达管理当局的指令及同类业务处理方法的形式； 以文字形式详细描绘业务处理的方针与程序。 * * 6-5 业务流程图设计 业务流程图是利用图解形式描述各经营环节业务处理程序的一种图式。它显示了凭证和记录资料的产生

44、、传递、处理、保存及其相互关系，从而直观地表达内部控制的实际情况。对于无法在图中表示的问题，可用简要文字进行说明，作为流程图附件。 企业内部控制新体系与设计 企业内部控制规范解读与实施 * 讲座大纲 上：企业内部控制规范解读与实施 ch1 企业内部控制的新特点 ch2 企业内部控制五大目标 ch3 企业内部控制五大要素 ch4 企业内部控制的局限性 * 下：企业内部控制设计与操作 ch5企业内控设计理论 ch6企业内部控制设计方法 ch7典型业务控制设计 ch8案例分析 * 危险的风险管理世界内部控制的新特点 法国兴业银行的内控遗产 电脑天才盖维耶尔搞垮法国兴业银行 * 危险的风险管理世界内部

45、控制的新特点 从2006年后期起，为了追求盈利并展示自己非凡的市场嗅觉，“电脑高手”科维尔凭借其熟知中后台控制手段的优势，通过伪造文件和邮件、盗用系统密码、篡改数据等手段，来构造虚拟的逆向交易，使原先需实质对冲的投资组合从表面上看来已相互对冲，从而掩盖了巨大的投资仓位和风险额度。 2007年上半年，科维尔预期欧洲股票市场将会下跌，他开始大笔做空股市，并因此为银行赚取了巨额利润 他本人并未从违规交易中牟利 。 但从2008年初开始，由于美联储大幅降息，加上考虑到历史上全球股市在1月份涨多跌少，因此，他又转为做多股市，并在欧洲各大股指期货上累积了500亿欧元的头寸。这一巨大的投资仓位已远超法兴银行

46、自身的市值。结果全球股市在次贷危机的影响下跌势凶猛，科维尔的豪赌直接导致法兴银行高达72亿美元的亏损。这一亏损额相当于导致当年巴林银行 9.16亿英镑的巨额亏损 倒闭的交易亏损额的5倍。 * * 邯郸农行被盗案 2007/4/14 5100万元巨款，堆在一起是什么感觉？就算都是百元大钞，叠在一起也有50米高，总重量将近两吨，可是，这笔谁都没办法一下搬动的巨款，居然从河北邯郸市农业银行的金库里消失的无影无踪，这起银行盗窃大案，震惊全国，当中的种种细节波云诡异，迷雾重重，如此离奇的案件究竟是怎么发生的？ 马向景 任晓峰 * 邯郸农行被盗案 银行忽视对员工的思想教育和问题排查，是发生案件的源头。 银

47、行管理制度的缺失和形同虚设，是发生这起案件的漏洞。 银行管理责任落实和追究不到位，是造成案件的祸根。在外人看来，银行有严密的管理体系，每项业务、每个部位都有人负责管理，应该万无一失。 * 邯郸农行被盗案 5100万元金库巨款被盗案件之所以发生，农业银行邯郸分行负有不可推卸的责任，随着两名犯罪嫌疑人的落网，6天之后，农业银行总行也通报了对邯郸农行盗窃案的处理决定。 责令农行河北省分行行长瞿建耀引咎辞职；主管会计工作的副行长邓振国、主管保卫工作的纪委书记徐跃生予以免职；邯郸分行现金管理中心在岗员工下岗接受审查。同时受到免职处理的还有邯郸分行行长、主管会计的副行长以及主管保卫工作的副行长；邯郸分行现

48、金管理中心正、副主任也被免职。 * 内部控制的号角在全球吹响 美国萨班斯?奥克斯利法案用法律强制性手段要求上市公司以会计信息真实与完整为线索提交企业内控机制及报告体系。 英国公司治理综合法典指导意见 turnbull guidance 的目的是帮助那些在美国证监会（sec）注册的非美国企业应对内部控制要求，这些企业可选择采用该指导意见作为其内控框架，而sec也认可该指南在评估内部控制有效性方面的权威性。 加拿大安大略证券委员会之multi-lateral instrument 52-109（与sox302相似）和52-111（与sox404相似）要求企业与年报一同提交相关内部控制报告。 * c

49、h1 企业内部控制新特点 * * ch1 企业内部控制概述 企业内部控制定义 企业内部控制特点 企业内部控制发展 企业内部控制现状 * * 应用指南 具体规范 中国企业内部控制标准体系 基本规范 基本规范和相关具体规范制定的详细解释和说明，主要是为某些特殊行业、特殊企业、特定内控程序提供操作性强的指引 根据基本规范，对企业办理具体业务与事项从内部控制角度作出的具体规定。 规定内部控制的基本目标、基本要素、基本原则和总体要求，是制定具体规范和应用指南的基本依据，在内控标准体系中起统驭作用 * * 企业内部控制定义 内部控制是由企业董事会（决策、治理机构）、管理层和全体员工共同实施的、旨在合理保证

50、企业战略、经营的效率和效果、财务报告及管理信息的真实、可靠和完整、资产的安全完整、遵循国家法律法规和有关监管要求的一系列控制活动。 * * 企业内部控制特点原则 内部控制由组织中各个层级的人员共同实施，从企业负责人，到各个业务分部、职能部门的负责人，直至企业每一个普通员工，都对实施内部控制负有责任。 * * 企业内部控制特点方法 内部控制在形式上表现为一整套相互监督、相互制约、彼此联结的控制方法、措施和程序，这些方法、措施和程序有助于及时识别和处理风险，促进企业实现战略发展目标，提高经营管理水平、信息报告质量、资产管理水平和法律遵循能力。 * * 内部控制框架三维体系的实质含义 监控 信息和沟

51、通 控制活动 风险评估 控制环境 营运 财务报告 合规性 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 业 务 务 监控 信息和沟通 控制活动 风险评估 控制环境 营运 财务报告 合规性 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 业 务 务 内 部 环 境 风 险 评 估 控 制 活 动 信 息 沟 通 监 控 * * ch2 企业内部控制目标 * * ch2 企业内部控制目标 战略目标 营运目标 报告目标 资产目标 合

52、规目标 * * 企业内部控制的目标 1/5 促进实现发展战略（战略目标） 战略目标要求企业将近期利益与长远利益结合起来，在企业经营管理中努力作出符合战略要求、有利于提升可持续发展能力和创造长久价值的选择。 监控 信息和沟通 控制活动 风险评估 控制环境 营运 财务报告 合规性 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 业 务 务 监控 信息和沟通 控制活动 风险评估 控制环境 营运 财务报告 合规性 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 务 单 位 a 业 务 单 位 b 活

53、 动 2 活 动 1 业 业 务 务 内 部 环 境 风 险 评 估 控 制 活 动 信 息 沟 通 监 控 * * 企业内部控制的目标 2/5 促进提高经营管理效果效率 （营运目标） 它要求企业结合自身所处的特定的经营、行业和经济环境，通过健全有效的内部控制，不断提高劳动活动的盈利能力和管理效率。 监控 信息和沟通 控制活动 风险评估 控制环境 营运 财务报告 合规性 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 业 务 务 监控 信息和沟通 控制活动 风险评估 控制环境 营运 财务报告 合规性 业 务 单

54、 位 a 业 务 单 位 b 活 动 2 活 动 1 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 业 务 务 内 部 环 境 风 险 评 估 控 制 活 动 信 息 沟 通 监 控 * * 企业内部控制的目标 3/5 促进提高信息报告质量（报告目标） 可靠的信息报告为企业管理层提供适合其既定目的的准确而完整的信息，支持管理层的决策和对营运活动及业绩的监控；同时，保证对外披露的信息报告的真实、完整，有利于提升企业的诚信度和公信力，维护企业良好的声誉和形象。报告目标要求企业通过内部控制，保证信息报告的真实、完整、可靠。 监控 信息和沟通 控制活动 风险评估 控制环境 营运

55、财务报告 合规性 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 业 务 务 监控 信息和沟通 控制活动 风险评估 控制环境 营运 财务报告 合规性 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 业 务 务 内 部 环 境 风 险 评 估 控 制 活 动 信 息 沟 通 监 控 * * 企业内部控制的目标 4/5 促进维护资产安全完整（资产目标） 资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题，是企业可持续发展

56、的物质基础。良好的内部控制，应当为资产安全完整提供扎实的制度保障。 监控 信息和沟通 控制活动 风险评估 控制环境 营运 财务报告 合规性 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 业 务 务 监控 信息和沟通 控制活动 风险评估 控制环境 营运 财务报告 合规性 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 业 务 务 内 部 环 境 风 险 评 估 控 制 活 动 信 息 沟 通 监 控 * * 企业内部控制的目标

57、5/5 促进国家法律法规有效遵循（合规目标） 守法和诚信是企业健康发展的基石。逾越法律的短期发展终将付出沉重代价。合规性目标要求企业必须将发展置于国家法律法规允许的基本框架之下，在守法的基础上实现自身的发展。 监控 信息和沟通 控制活动 风险评估 控制环境 营运 财务报告 合规性 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 业 务 务 监控 信息和沟通 控制活动 风险评估 控制环境 营运 财务报告 合规性 业 务 单 位 a 业 务 单 位 b 活 动 2 活 动 1 业 务 单 位 a 业 务 单 位 b

58、 活 动 2 活 动 1 业 业 务 务 内 部 环 境 风 险 评 估 控 制 活 动 信 息 沟 通 监 控 * * ch3 企业内部控制五大要素 * * 2-1内部环境 企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。 企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应。它还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。 正直 & 道德价值 胜任能力的承诺 董事会 & 审计委员会 管理层理念 & 经营风格 组织结构 权限与责任的分配 人力资源政策 & 程序 * * 2-2目标制定 根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。 其中，其他相关目标是指除战略目标之外的其他三个目标，其制定应与企业的战略相联系。 管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。企业风险管理就是提供给企业管理者一个适当的过程，既能够帮助制定企业的目标，又能够将目标