内部控制体系的建立与完善(共112页).ppt

1、第 1 页内部控制体系的建立与完善内部控制体系的建立与完善合规部风险管理处合规部风险管理处20102010年年第 2 页介绍提纲介绍提纲第 3 页1.2国外有关风险管理与内部控制的监管演进历程1.3国内有关风险管理与内部控制的监管演进历程1.4保险行业有关风险管理与内部控制的监管演进历程1.5保险监管部门的其他与内控相关的监管要求1.1.加强风险管理与完善内部控制的重要意义加强风险管理与完善内部控制的重要意义第 4 页案例案例1 1：安然安然（ EnronEnron）辉煌业绩辉煌业绩世界最大的能源公司，500强排名第七，曾被称为“美国最有创新精神的公司”严重问题严重问题2001年末，安然宣布第

2、三季度亏损6.4亿美元。美国证监会进行调查，发现该公司1997以来虚报利润5.8亿美元。2001年末安然申请破产保护。在之前10个月内，公司因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利。2006，安然主席及CEO被美国法院认定有罪，前创始人受多项指控，其中4项银行欺诈罪将导致最高120年监禁的判决；前CEO受19项指控最终判24年监禁；CFO也被判刑10年。 半年多时间，股市市值缩水2.5万亿美元；安然公司破产直接导致美国金融机构损失200亿美元。第 5 页案例案例1 1：安然安然（ EnronEnron）深层原因深层原因会计舞弊：通过财务作假和滥用会计方法，隐瞒亏损，掩

3、盖债务和巨大的交会计舞弊：通过财务作假和滥用会计方法，隐瞒亏损，掩盖债务和巨大的交易风险易风险( (19971997以来虚报利润以来虚报利润5.85.8亿美元亿美元) )，误导投资人以牟取私利。，误导投资人以牟取私利。业务集中：业务集中：业务集中在的 “能源衍生品交易”，公司出现任何信用风险后，带来一连串灾难性后果，造成现金流困难。恶性扩张：恶性扩张：追求“管理创新”，自封“世界领先公司”，业务不断扩张，从天然气、电力业务，到风力、水力、投资、木材、广告、互联网宽带业务等，无所不包。第 6 页案例案例2 2：世通：世通（WorldComWorldCom）辉煌业绩辉煌业绩美国第二大电信巨头，50

4、0强排名第九严重问题严重问题由于投资失败和会计舞弊等原因， 2000年初宣布破产，高管受到司法指控；公司股票由最高时的96美元跌至不足1美元，最后惨跌至7美分。深层原因深层原因投资失败：投资失败：高管好大喜功，盲目投资，为谋求全美电信业老大的地位，兼并多家经营不良的公司，过度进行网络投资，给公司的最终垮台埋下伏笔。会计舞弊：会计舞弊：前首席执行官在当政期间虚报约38亿美元利润，个人从公司挪用数亿美元购买股票，造成巨额亏损。第 7 页案例案例3 3：巴林银行：巴林银行辉煌业绩辉煌业绩巴林银行在90年代前是英国最大的银行之一，有超过200年的历史。严重问题严重问题1992-1994年期间，巴林银行

5、新加坡分行总经理里森在从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动中，因为看好日本经济并买入股指期货，没料到日本大地震导致股市大跌，而其做多的股指期货导致了14亿美元的亏损 。巴林银行于1995年2月破产 。第 8 页深层原因深层原因内控失效，缺乏有效的职责划分和上级对下级从事业务的监控机制 。里森一人身兼交易与清算二职，其本来的交易职责是代巴林客户买卖衍生性商品，并替巴林从事套利两项工作，基本上没有太大风险（因为代客操作的风险由客户自己承担，交易员只是赚取佣金，而套利行为亦只赚取市场间的差价）。通过清算部门每天的结算工作，银行对其交易员和风险的情况也可予以有效了解并掌握

6、。但不幸的是，里森却一人身兼交易与清算二职，冲突业务无法隔离，内部控制有效性严重缺失。 案例案例3 3：巴林银行：巴林银行第 9 页 案例案例4 4：兴业银行：兴业银行辉煌业绩辉煌业绩法国兴业银行是在欧元区排名第四、法国排名第二的大型金融集团。严重严重问题问题在2007年至2008年间，一名熟悉内部交易监管程序的交易员（杰洛米 科维尔）利用精通的专业知识和对交易流程的熟悉，以虚假买卖手法大量购入欧洲股指期货500亿欧元，造成49亿欧元(约71.4亿美元)的损失，制造了金融史上最大的一笔交易亏损，被一些经济学家称为银行业的“911”。第 10 页 案例案例4 4：兴业银行：兴业银行深层深层原因原

7、因对对交易人员交易行为的监控和交易人员交易行为的监控和核查不够严格：核查不够严格： 2006至2007年间连续多次违规操作，这些操作曾经多次被作为异常数据监测到，相关风险及监控部门如风险管理部、财务部、直接上司都曾参与调查，但核查时都被杰洛米用各种借口或通过编制反向虚假交易蒙混过关。缺乏后台与前台完全隔离规则的遵守：缺乏后台与前台完全隔离规则的遵守： 杰洛米 2005年由后台工作调入投资部成为交易员，熟知后台和风险控制。信息系统的安全及密码保护控制不到位。信息系统的安全及密码保护控制不到位。强制休假制度没有达到应有目的：强制休假制度没有达到应有目的： 杰洛米在2007年只有4天休假，并且休假期

8、间也没有人接手他经手的业务第 11 页知名企业失败案例与内部控制缺陷密切相关内部控制能够做到事前防范，及时发现苗头并予以补救案例：魏文王和扁鹊 的对话，谁的医术高明？事后控制不如事中控制，事中控制不如事前控制事后控制不如事中控制，事中控制不如事前控制强化内部控制是有效防范风险的重要手段强化内部控制是有效防范风险的重要手段风险事件的反思？第 12 页时间时间国家国家/ /地区地区法律法规法律法规/ /重大事件重大事件19921992年年美国美国COSOCOSO委员会颁布委员会颁布COSOCOSO内部控制整合框架内部控制整合框架1999年澳大利亚ASNZS 4360：199920022002年年美

9、国美国美国萨班斯美国萨班斯- -奥克斯利法案生效奥克斯利法案生效2002年加拿大风险管理：决策者指南加拿大国家标准2002年南非南非出台公司治理报告法规（TheKingCodeof2002）2002年德国德国发布德国公司治理准则2002年瑞士瑞士发布Swiss Code of Obligations；SWX Directive on Information Relating to Corporate Governance(2002/2006)2003年澳大利亚澳大利亚证券交易所（ASX）及其公司治理委员会采纳良好公司治理原则和最佳实务操作建议2003年法国法国金融安全法（Loi sur la

10、Scurit Financire）2003年英国英国 The Combined Code on Corporate Governance2003年加拿大加拿大证券管理委员会发布MI 52-109，2004年1月生效，于2008年更新为NI 52-1092003年英国AIRMIC/ALARM/IRM标准2004年澳大利亚澳大利亚发布澳洲公司报告和信息披露法（CLERP9）2004年欧盟欧盟成立“欧洲公司治理论坛”2004年香港香港联交所公布公司治理实务和公司治理报告的准则20042004年年美国美国COSOCOSO委员会颁布委员会颁布COSOCOSO企业风险管理整合框架企业风险管理整合框架200

11、5年意大利意大利金融服务机构法规(Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari L262/2005)2006年欧盟欧盟：欧盟新公司法第八号指令(European Union - 8th Company Law Directive, 2006/43/EC)2006年日本日本发布日本金融商品交易法第 13 页COSOCOSO框架体系框架体系1985年，由美国注册会计师协会（AICPA）、美国会计协会（AAA）、财务经理人协会（FEI）、内部审计师协会（IIA）、管理会计师协会（IMA）

12、联合创建了反虚假财务报告委员会（通常称为Treadway委员会），旨在探讨财务报告中产生舞弊的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO（ The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）委员会，专门研究内部控制问题。1992年9月，COSO委员会发布了内部控制整合框架（COSO-IC），简称COSO报告，1994年进行了增补。由于COSO内部控制整合框架提出的内部控制理论和体系集内部控制理论和实践发展之大成

13、，成为现代内部控制最具权威性的框架，因此在业内备受推崇，在美国及全球得到广泛推广和应用。第 14 页COSOCOSO框架体系框架体系COSO内部控制整合框架把内部控制划分为五个相互关联的要素 控制活动控制活动 确保管理活动付诸实施的政策/流程措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离监督监督不断评估内部控制系统的表现整合实时和独立的评估管理层和监督活动内部审计工作控制环境控制环境 营造单位气氛让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础信息和沟通信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示

14、到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估风险评估 风险评估是为了达到企业目标而确认和分析相关的风险形成内部控制活动的基础监控信息和沟通控制活动风险评估控制环境营运合规性业务单位A业务单位B活动2活动1监监督督信息和沟信息和沟通通控制活控制活动动风险评风险评估估控制环控制环境境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位B活活动动2 2活活动动1 1五个元素需要实际有效的运行和整合以确保控制目标的实现第 15 页控制活动控制活动目标设定目标设定事项识别事项识别风险评估风险评估风险应对风险应对内部环境内部环境信息与沟通信息与沟通监督监督内

15、部环境包括组织基调，它为企业人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。管理当局只有预先设定目标来能识别影响目标实现的潜在事项。管理层采取适当的程序设定目标，确保目标支持和切合企业使命，并且与企业的风险容量相符。必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。通过考虑风险的可能性和影响来对风险加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对回避、承受、降低分担风险采取一系列行动把风险控制在主体的风险承受力和风险容量以内。制订和执行政策与程序以

16、确保风险应对得以有效实施。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。对企业风险管理的实施效果进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。COSOCOSO框架体系框架体系第 16 页针对安然、世通等财务欺诈事件，美国国会出台了2002年公众公司会计改革和投资者保护法案。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作2002年萨班斯奥克斯利法案（简称萨班斯法案或者“SOX法案”）。该法案对美国1933年证券法、1934年证券交易

17、法作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。法案于2002年7月30日签署生效。对在美国上市的境外公司(FPI)并无重大豁免，对在香港/中国大陆的FPI (中国企业在美国上市的)和海外跨国公司(MNC)的子公司都需要遵从。 萨班斯法案萨班斯法案 第 17 页对有限公司有重大影响的主要是第 302 条款、第 404条款和第 906条款 萨班斯法案萨班斯法案 第第 302 302 条款条款 要求公司的 CEO 和 CFO 在财务报告上签字，保证财务报告不存在重大错报、漏报，在所有重大方面公允地反映公司在该报告期末的财务状况及该报告期内的经营成果。同时要求 CEO

18、 、 CFO 对相关批露的内部控制有效性进行评价。 第 18 页对有限公司有重大影响的主要是第 302 条款、第 404条款和第 906条款 萨班斯法案萨班斯法案 第第 404 404 条款条款 404 条款的核心内容是严格界定了上市公司管理层对公司内部控制需承担的责任和义务。 公司的年报中需要增加管理层关于公司内部控制情况的报告。该报告包括：明确阐明公司管理层有责任建立和保持一套完整的与财务报告相关的内部控制系统和程序；管理层应对财务年度期末与公司财务报告相关的内部控制系统及程序的有效性做出评价。 公司全体管理层对报告负责。 公司外部审计师对管理层的内控报告出具鉴证报告。公司外部审计师对管理

19、层的内控报告出具鉴证报告。 第 19 页 萨班斯法案萨班斯法案 有关财务报告有关财务报告的内部控制的内部控制302302条款条款: :管理层管理层“声声明明”404404条款条款: : 年度管理层报告年度管理层报告和审计师意见和审计师意见302302条款条款 :首席执行官或财务总监声明其负责建立并维护与披露有关的控制和程序（DC&P），并且已经设计有关披露的控制和程序以保证其获知必要的信息，同时对有关披露的控制的有效性进行评估和报告。404条款 :首席执行官或财务总监签署年度报告以确认其实施和维护内部控制框架和财务报告程序的责任，并对其效果进行评估。外部审计师通过对控制文档外部审计师通

20、过对控制文档记录和控制效果的测试，对管理层报记录和控制效果的测试，对管理层报告发表意见告发表意见。披露控制和程序披露控制和程序对有限公司有重大影响的主要是第 302 条款、第 404条款和第 906条款 图： 302条款和404条款异同第 20 页 萨班斯法案萨班斯法案 对有限公司有重大影响的主要是第 302 条款、第 404条款和第 906条款 表： 302条款和404条款异同第302条款第404条款是否适用于中国在美上市的公司适用，每年披露（美国公司每季度披露）适用，每年披露涉及哪些控制“与披露有关的控制和程序”与财务报告有关的控制和程序及资产保护是否经会计师审计否是对内部控制有那些要求首

21、席执行官/财务总监声明:建立并保持内部控制的责任设立控制确保重要信息均得到反映在报告前90天内对控制程序的有效性进行评估对控制程序的执行效果的评估结论向审计师及审计委员会揭示内部控制方面的重大缺陷以及内部控制系统中关键人员的舞弊行为等向公众披露-评价控制程序后，重大的内部控制变化公司声明 : 管理层有职责建立并维护有关财务报告的内部控制的结构和程序声明确认评估内部控制的框架控制程序执行效果的评估结论第 21 页 萨班斯法案萨班斯法案 对有限公司有重大影响的主要是第 302 条款、第 404条款和第 906条款 第第 906 906 条款条款 明确规定上市公司管理层（CEO和CFO等）对舞弊和欺

22、诈负有刑事责任，如：认证失实的财务报告，最高给予100万美元罚款、10年监禁；故意认证虚假报表，最高给予500万美元罚款、20年监禁。第 22 页时间时间发布单位发布单位法律法律/ /法规法规/ /标志性事件标志性事件2004年8月国资委中央企业内部审计管理暂行办法 2006年5月证监会首次公开发行股票并上市管理办法 2006年5月证监会公开发行证券的公司信息披露内容与格式准则第9号首次公开发行股票并上市申请文件等法规 2006年6月上交所上海证券交易所上市公司内部控制指引 2006年6月国资委中央企业全面风险管理指引 2006年9月深交所深圳证券交易所上市公司内部控制指引 2007年3月财政

23、部企业内部控制规范基本规范2007年3月证监会关于开展加强上市公司治理专项活动有关事项的通知 2007年12月深交所中小企业板上市公司内部审计工作指引 2008年2月发改委关于开展编报2008年中央企业全面风险管理报告试点工作有关事项的通知2008年6月财政部、证监会、审计署、银监会和保监会企业内部控制基本规范2008年10月发改委关于2009年中央企业开展全面风险管理工作有关事项的通知 第 23 页n2008年6月28日，财政部、证监会、审计署、银监会和保监会联合召开企业内部控制基本规范发布会，发布了企业内部控制基本规范和三个配套指引的征求意见稿（尚在征求意见，即将下发，分别是应用指引、评价

24、指引和审计指引）n企业内部控制基本规范要求上市公司从2009年7月1日开始实施(根据最新消息，已经延缓至2011年1月1日起开始实施)，鼓励非上市的大中型企业执行。执行基本规范的上市公司，要对本公司内部控制的有效性进行自我评价、披露年度自我评价报告，并可聘请会计师事务所对内部控制的有效性进行审计。企业内部控制基本规范企业内部控制基本规范第 24 页企业内部控制基本规范企业内部控制基本规范的主要内容的主要内容 企业内部控制基本规范主要包括总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则等七个部分，其中内部环境、风险评估、控制活动、信息与沟通、内部监督基本借鉴了COSO 报告的理论研

25、究成果，即以五要素为框架，适当体现了“企业风险管理-整体框架”中提出的八要素理念。企业内部控制基本规范企业内部控制基本规范第 25 页企业内部控制基本规范企业内部控制基本规范的基本定位的基本定位企业内部控制基本规范企业内部控制基本规范第 26 页应用指引应用指引（征求意见稿）介绍 对包括资金、采购、存货、销售、工程项目、固定资产、无形资产、筹资、预算、成本费用、担保、合同协议、业务外包、对子公司的控制、财务报告编制与披露、人力资源政策、信息系统、衍生工具、企业并购、关联交易、内部审计、保险业务、证券业务、银行业务在内的各项具体业务制订了实施内部控制的具体指引。 公司需要按照公司需要按照应用指引

26、应用指引的相关要求去建立和完善内部控制体系，工的相关要求去建立和完善内部控制体系，工作的主体应该是公司各个职能部门，但需要在内控、风险或内审部门的作的主体应该是公司各个职能部门，但需要在内控、风险或内审部门的指导下进行。指导下进行。企业内部控制基本规范企业内部控制基本规范第 27 页评价指引评价指引（征求意见稿）介绍内容主要包括内部控制评价的内容和标准、内部控制评价的程序和方法、内部控制缺陷认定和评估报告。评价指引要求企业内部要定期对公司的内部控制设计与运行状况进行评价，出具评价报告，发现在内部控制上存在的缺陷，提出和实施改进方案，确保内部控制有效运行。这部分工作通常由公司内部的内控、风险或内

27、审部门承担。这部分工作通常由公司内部的内控、风险或内审部门承担。企业内部控制基本规范企业内部控制基本规范第 28 页审计指引审计指引（征求意见稿）介绍要求会计师事务所使用与财务报表审计相同的重要性水平，按照规定的方法和程序，对公司内部控制体系进行审计测试，最终就被审计公司的内部控制是否有效发表审计意见（包括无保留意见、否定意见、无法表示意见）。审计指引审计指引主要是指导和约束执行内控审计任务的外部中介机构。主要是指导和约束执行内控审计任务的外部中介机构。企业内部控制基本规范企业内部控制基本规范第 29 页时间时间文号文号法律法律/ /法规法规/ /标志性事件标志性事件1999.8保监发1999

28、131号 保险公司内部控制制度建设指导原则2005.12保监发200443号保险资金运用风险控制指引（试行） 2006.1保监发20062号关于规范保险公司治理结构的指导意见2007.4保监发200726号保险公司内部审计指引（试行）2007.4保监发200723号保险公司风险管理指引（试行）2007.9保监发200791号 保险公司合规管理指引2008.6财政部、证监会、审计署、银监会和保监会企业内部控制基本规范2009保险公司内部控制基本准则征求意见稿第 30 页从2008年开始，保监会持续加强对保险市场的监管，出台了系列重要监管举措。1. 1.在财产保险行业开展整顿市场秩序工作整顿市场秩

29、序工作（“70号文”）2. 2.实行分类监管实行分类监管（08年年底下发关于实施保险公司分类监管有关事项的通知为标志，逐步形成和完善以偿付能力为核心的分类评级监管机制，并对不同级别的企业采取不同的监管措施）3. 3.财务业务数据真实性检查财务业务数据真实性检查4. 4.打击三假打击三假 -结论：市场秩序整顿工作包括的很多内容、分类监管监测的很多指标针对的主要风险和问题都与公司风险管理与内部控制建设体系是否完善有效（包括设计是否有效和执行是否有效）相关。第 31 页关于实施保险公司分类监管有关事项的通知关于实施保险公司分类监管有关事项的通知 五大类指标：五大类指标：偿付能力充足率；公司治理及内控

30、合规风险；财务风险；资金运用风险；业务经营风险。 A A类公司：类公司：风险低，保监会不采取特别的监管措施。B B类公司：类公司：风险中等，保监会采取一项或多项监管措施：监管谈话、监管提示函、现场检查等措施。C C类和类和D D类公司类公司：风险较高，保监会采取全面检查、调整管理人员、限制业务范围更为严格的监管措施。第 32 页介绍提纲介绍提纲第 33 页2.2风险管理的涵义2.3风险管理与内部控制的异同2.4风险管理与内部控制的关系2.2.有关风险管理与内部控制的一些基本概念有关风险管理与内部控制的一些基本概念第 34 页内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目

31、标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果、促进企业实现发展战略。 COSOCOSO定义定义企业内部控制基本规范企业内部控制基本规范定义定义内部控制是由董事会、管理当局和其他职员实施的一个过程，旨在为下列各类目标的实现提供合理保证:经营效果和效率；财务报告的可靠性；遵循适用的法律和法规。第 35 页1. 1.内部控制是融入在企业经营管理活动之中的一系列行为，内部控制是融入在企业经营管理活动之中的一系列行为， 不是一个额不是一个额外的附加体系外的附加体系内部控制是经营管理活动的一部分内部控制的对象是经营管理过程的主体和活动内

32、部控制要融入经营管理的每个环节内部控制要从被动到主动内部控制要从附加到融入如何理解内部控制涵义？如何理解内部控制涵义？第 36 页2. 2.内部控制强调内部控制强调“全员参与全员参与”全体员工都担负内部控制实施的责任管理者要带头垂范如何理解内部控制涵义？如何理解内部控制涵义？第 37 页如何理解内部控制涵义？如何理解内部控制涵义？3. 3.内部控制责任体系内部控制责任体系董事会：董事会：对内部控制的建立健全和有效实施负最终责任。审计委员会：审计委员会：负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。 监事会：监事会：对董事会建立与实施内部控

33、制进行监督。管理层：管理层：负责组织领导企业内部控制的日常运行；企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。 内审部门：内审部门：结合内部审计监督，对内部控制的有效性进行监督检查 。第 38 页COSOCOSO定义定义企业风险管理是一个过程，它是由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。第 39 页n内控是风险管理的重要组成部分内控是风险管理的重要组成部分和基础和基础内部控制是企业风险管理的不可分割的一部分；内部控制是

34、风险管理的一个子系统，是不可或缺的部分，是实施风险管理的重要保证。 第 40 页n风险管理的外延要比内部控制大风险管理的外延要比内部控制大从范围看从范围看，内部控制针对的风险大多是可控纯粹风险,其控制对象是企业中的个人，其控制目的是规范员工的行为，其控制范围是企业的业务和管理流程,内部控制一般是管理企业内部运作过程中的风险，通过规范化的操作减少业务运作的不确定性；而风险管理不仅包括上面的内容，还包括对公司面临的外部风险的管理，例如政策风险、市场风险以及行业风险等等。从内容看，从内容看，风险管理包括战略目标的设定、风险分析与评价方法的建立和选择、管理者的聘用等等，其活动不全是内部控制的内容；而内

35、部控制一般不会涉及管理的目标。从工具看从工具看，内部控制是通过规范性的制度设计，改进和规范业务运作流程，明确相关人员的责任；而风险管理所采用的工具，不仅包括建立规章制度、规范业务操作流程，还包括运用不同的金融市场工具，如期货、期权、掉期等衍生工具，以达到利用资本市场来分散风险的目的。第 41 页n内控解决的是流程问题，包括业务流程、管理流程中的风险控制，解决的是“正确地做事正确地做事”。n内控解决的是合规性、真实性问题。n内控侧重操作风险大部分的金融灾难都归结于市场风险与信用风险，以及与之相关的大部分的金融灾难都归结于市场风险与信用风险，以及与之相关的内控失效，即操作风险内控失效，即操作风险第

36、 42 页n全面风险管理解决的不仅是流程问题，更是要解决战略决策问题、应急处理问题；不仅要解决当前的问题，更要预测和应对将来可能发生的问题；不但要解决“正确地做事正确地做事”，关键是还要解决“做正确的事做正确的事”。全面风险管理解决的是决策的体制问题、制度设计问题，防止重大决策失误，防止出现重大危机问题。全面风险管理要对结果的好坏负责。n侧重宏观层面风险n要关注宏观层面风险向操作风险的转化第 43 页风险评估风险评估外部审计外部审计内部控制控制环境控制环境内部审计内部审计控制活动控制活动信息沟通信息沟通持续监控持续监控风险管理目标设定目标设定事项识别事项识别风险应对风险应对企业管理各项经营管各

37、项经营管理活动，如理活动，如战略管理、战略管理、人力资源管人力资源管理、财务管理、财务管理、资产管理、资产管理等理等风险战略风险战略治理结构治理结构组织体系组织体系风险理财风险理财第 44 页介绍提纲介绍提纲第 45 页3.2风险评估3.3控制活动3.4信息与沟通3.5内部监督3.3.完善的内部控制框架体系应该包括哪些内容？完善的内部控制框架体系应该包括哪些内容？第 46 页内部环境内部环境- -具体内容：具体内容： 治理结构 机构设置及权责分配 内部审计 人力资源政策 企业文化-内部环境内部环境- -内部控制基础内部控制基础u 设定组织管理的基调u 影响着员工的控制意识u 其他四个内控要素的

38、基础u 最终影响内部控制的效果第 47 页1.1.治理结构是最高层次的权责架构治理结构是最高层次的权责架构有效治理结构要求股东大会、董事会、监事会和经理层之间权责明确、运作规范、相互制约2.2.机构设置及权责分配机构设置及权责分配精简高效、权责清晰、相互制约决策、执行、审批、监督等职责权限的界定3.3.内部审计内部审计组织机构内在制衡-相对独立第 48 页聘用：聘用：坚持德才兼备，以德为先培训：培训：提高岗位绩效辞退与辞职：辞退与辞职：交接手续薪酬、考核、晋升与奖惩：薪酬、考核、晋升与奖惩： 激励约束强制休假制度和定期岗位轮换强制休假制度和定期岗位轮换掌握国家秘密或重要商业秘密的员工离岗的限制

39、性规定掌握国家秘密或重要商业秘密的员工离岗的限制性规定4. 4.人力资源控制人力资源控制第 49 页 5. 5.企业文化企业文化柔性控制。用文化引导、影响和约束人的行为内控合规理念。 内控合规创造价值 全面内控人人有责 从管理层做起风险导向的管理理念和经营风格 违规必究第 50 页 2004年12月，公司披露在石油投机交易中损失5.5亿美元 2005年，首席执行官陈x也被发现有内部交易的舞弊行为 2002年3月公司制订了风险管理手册，风险管理手册规定任何新产品交易必须经董事会批准，但期权交易董事会从未批准过。2003年审计委员会报告说要制定期权交易指引，但这份文件却一直没有出台 CEO两次替换

40、掉总公司委任的财务经理 CEO本人既负责日常风险管理，同时也是交易的最终决策人 交易未向集团公司报告，交易者没有被恰当监控中航油中航油案例案例第 51 页 CEO个人说了算，替换掉由总公司委任的财务经理；未经批准从事高风险交易。 董事会没有起到应有作用，对CEO缺乏有效地监督制约。 决策与执行没有很好的分离，CEO既是交易的执行者也是交易的最终决策人。 企业文化有问题。隐瞒不报。中航油中航油案例案例第 52 页 2004年12月，国资委主任李荣融说中航油问题“归根到底都是治理结构的问题，没有制约的权力就会带来腐败；否则发现问题及时制止，即使有损失也不会这么大，一定要吸取教训” 2007年10月

41、，李荣融在接受凤凰卫视专访中，又一次提到中航油事件，说“他们那个风险手册规定得很清楚，不是没有风险管理，有，但是这本手册等于没用，都是一个人说了算，该报告的都不报告，反过来董事该履职的，也没有履到职。” 普华永道作为特别审计机构，对其巨额亏损原因进行调查后，在报告中写到：原中航油总裁陈久霖在公司中“营造隐瞒的文化”，管理层向董事会和审计委员会隐瞒了石油期权交易。中航油中航油案例案例第 53 页风险评估：识别、分析、应对风险评估：识别、分析、应对n风险识别风险识别保险保险( (特有特有) )风险：风险：定价风险、准备金风险、巨灾风险金融市场风险：金融市场风险：利率风险、汇率风险信用风险：信用风险

42、：应收保费、再保摊回操作风险：操作风险：系统、流程、外部、人员第 54 页风险评估：识别、分析、应对风险评估：识别、分析、应对n风险分析：风险分析：评估风险影响，确定关注的重点领域影响程度影响程度发生频率发生频率第 55 页风险评估：识别、分析、应对风险评估：识别、分析、应对n风险应对：确定风险应对策略风险应对：确定风险应对策略风险规避风险规避: :承保黑名单、老车贷险风险承受风险承受: :自留业务风险降低风险降低: :强化核保、核赔风险分担风险分担: :共保、再保第 56 页按照控制与事件发生的时间关系分类：按照控制与事件发生的时间关系分类：n事前控制：预防性控制事前控制：预防性控制财务专用

43、章与人名章分开保管；客户信用审核携带公章外出展业，经上级公司批准n事中事后：发现性控制事中事后：发现性控制银行对账；凭证复核；财产盘点n自动控制自动控制 VS.VS.手工控制手工控制自动预防：刚性控制自动发现：实时监控&自动预警控制活动控制活动是落实风险应对策略的手段和方法手段和方法。第 57 页出纳麻某工作努力当地分公司熟悉财务工作的一名好员工！但，事实的真相事实的真相却是作为分公司的出纳，同时也是一家县作为分公司的出纳，同时也是一家县级支公司的财务主管级支公司的财务主管挪用贪污公司资金超过百万挪用贪污公司资金超过百万财务中心主任的一次对账，导致麻某财务中心主任的一次对账，导致麻某离

44、岗潜逃离岗潜逃为什么公司没能更早发现？为什么公司没能更早发现？分支机构一个真实的案例分支机构一个真实的案例第 58 页执行定期轮岗或者休假的制度，使其他人有机会接任出纳的工作岗位 （人力资源控制）出纳岗位与财务主管的岗位分离（不相容职务分离控制）向客户发函确认应收保费，或者与销售人员确认应收保费并由主管进行审核（财产保护控制）对现金进行突击盘点，对银行余额调节表进行审核（财产保护控制）设定应收保费控制目标，进行异常控制（预算控制）分支机构一个真实的案例：如何强化控制分支机构一个真实的案例：如何强化控制第 59 页第 60 页Separation of functions:Separation

45、of functions:职责分离职责分离Dual entries:Dual entries:双重记录双重记录Reconciliation:Reconciliation:复核复核Tickler systems:Tickler systems:定时器系统定时器系统Controls over amendment:Controls over amendment:改动控制改动控制Confirmation( outside)Confirmation( outside)Verification of priceVerification of priceAuthorizationAuthorizationS

46、ettlementSettlementAudit (I &E)Audit (I &E)第 61 页不相容职务？ 如果由一个人担任，可能发生错误或者不当行为，同时又有可能对这些如果由一个人担任，可能发生错误或者不当行为，同时又有可能对这些行为进行掩盖的职务。行为进行掩盖的职务。不相容职务分离基础假设两个或以上的人无意识地犯同样错误的可能性较小两个或两个以上的人有意识地串通舞弊的可能性低于单独一个人舞弊的可能性1 1、不相容职务分离控制、不相容职务分离控制第 62 页 反面实例：反面实例：某支公司出纳员姚某贪污挪用170多万自制自制进账单记账银行银行会计帐会计帐挪用资金10万自制自

47、制对账单10万银行余额银行余额 调节表调节表平平010万1 1、不相容职务分离控制、不相容职务分离控制第 63 页 反面实例：反面实例：某支公司出纳员姚某贪污挪用170多万缺陷缺陷：资金收支与银行对账两个事项由同一人做因而有机会舞弊，又可以掩盖舞弊事实应对应对：他人领取银行对账单核对账目揭露问题财务中心对账轮岗轮休，工作交接发现问题 实施岗位分离和制约防止舞弊1 1、不相容职务分离控制、不相容职务分离控制第 64 页不相容职务控制运用：梳理业务流程，确定业务流程中有哪些岗位和操作 分析哪些岗位和事项之间存在联系和牵制，而且容易出现错误和舞弊结合岗位职责分工采取分离措施 1.关注员工在公司内的人

48、际关系，坚持回避原则 1 1、不相容职务分离控制、不相容职务分离控制第 65 页常见不相容职务： 财产财产：保管、记录、盘点 承保承保：展业、出单、核保 理赔理赔：查勘、定损、核损、理算、核赔 财务财务：会计与出纳、收支与对账、支票与印章 ITIT系统系统：数据录入与数据库管理 单证单证：单证管理与出单兼职可以吗？控制措施与管理模式相适应1 1、不相容职务分离控制、不相容职务分离控制第 66 页授权审批控制就是业务必须由被授权的人去执行就是业务必须由被授权的人去执行实施要求：所有经营活动纳入授权管理范围，事先明确各项活动的授权者、明确被授事先明确各项活动的授权者、明确被授权者的职责权限。权者的

49、职责权限。 工作效率 VS. 管控力度 常规授权 VS. 特别授权强调书面授权 授权书及转授权书、岗位职责说明书、权责规范手册 其他制度中的授权：资金管理、大商风管理、理赔2 2、授权审批控制、授权审批控制第 67 页n合理把握授权范围和尺度 权限过小影响经营活动效率和被授权者积极主动性 权限过大有可能对某些重要事项失去控制 ：固定资产规模控制n监督授权执行情况n保持动态授权、差异化管控 风险管控能力强、对工作效率要求高，则放权 授权执行情况差，则收权、集中化管控n越权行为处罚2 2、授权审批控制、授权审批控制第 68 页会计系统控制目的是真实反映经济业务目的是真实反映经济业务 经营结果：资产

50、负债表、利润表、现金流量表经营结果：资产负债表、利润表、现金流量表 控制措施： 程序控制、手续控制、凭证编号、复核与核对程序控制、手续控制、凭证编号、复核与核对 会计软件的设计符合标准，内嵌控制措施会计软件的设计符合标准，内嵌控制措施具体要求： 依法设置会计机构，配备会计人员 严格执行国家统一的会计准则制度 明确会计凭证、会计账薄和财务会计报告处理程序 建立会计信息审核机制3. 3.会计系统控制会计系统控制第 69 页n某支公司出纳麻某，侵占挪用资金某支公司出纳麻某，侵占挪用资金139.6139.6万元万元 麻某的工作：麻某的工作：业务收付费日常费用支付管理两个账户，进行银行对账管理财务专用章

51、、人名章、支票、装订会计凭证 侵吞挪用资金方式：侵吞挪用资金方式：侵占保费私自提现3. 3.会计系统控制会计系统控制第 70 页该案件暴露出会计系统控制问题：该案件暴露出会计系统控制问题：职责分工不到位：出纳实际负责支公司全部财务工作。财务印鉴和支票由一人保管，有挪用机会支票登记簿没有记录支付内容和对象，支票使用、作废情况记录不清账户管理失控，没有定期获取对账单对账，未达账没有及时核对，日清月结、账实核对等未有效落实会计审核失职应收保费没有及时清理核对，实际资金已被挪用3. 3.会计系统控制会计系统控制第 71 页n某公司出纳杨某贪污挪用公款某公司出纳杨某贪污挪用公款 2003-2006年期间

52、，挪用公司资金17笔，涉案金额总计777.6万元。 作案手法是：私自多买现金支票和转账支票，自己开支票盖章挪用资金；修改其他正常支票存根金额（把支付20万的改成30万）来掩盖自己挪用的资金（10万）领取银行对账单，篡改银行发生额和月末余额制造假银行对账单，调平银行余额调节表。3. 3.会计系统控制会计系统控制第 72 页财产保护控制 保护财产的安全与完整保护财产的安全与完整. .具体措施：具体措施： 财产登记 实物保管 定期盘点、账实核对 财产保险，转嫁风险损失4. 4.财产保护控制财产保护控制第 73 页预算控制预算控制就是通过预算方法实施的对经营活动的控制。 预算目标既是行动目标也是约束条

53、件预算控制的过程编制预算预算执行预算的监控、分析与调整预算执行结果考核5. 5.预算控制预算控制第 74 页运营分析控制是指公司对经营活动信息进行分析，及时发现存在的问题，是指公司对经营活动信息进行分析，及时发现存在的问题，查明原因，采取措施。查明原因，采取措施。分析方法 :因素分析、纵向横向对比分析、趋势分析因素分析、纵向横向对比分析、趋势分析 与竞争对手对比分析、标杆公司对比分析与竞争对手对比分析、标杆公司对比分析运营分析举例 月、季、年度经营分析 黑名单、灰名单库 应收保费、车险、理赔数据监控6. 6.运营分析控制运营分析控制第 75 页7.IT7.IT控制控制uITIT控制控制利用信息

54、技术强化控制利用信息技术强化控制刚性控制：刚性控制：将内部控制需求固化各类信息系统中，强化各类管控措施保单超时补录、涉及资金流出的批退、生效保单注销、报立案注销恢复、省集中案件、欠费保单赔付无缝链接：无缝链接：保障数据一致性，防止系统间数据修改业务、财务、收付费、再保、单证数据集中：数据集中：强化运行与数据控制，防范数据操纵实现远程监控、预警实现远程监控、预警责任落实：责任落实：员工身份认证和权限管理第 76 页u生产控制中心生产控制中心管控内容：管控内容：管数据管数据：对错误数据修正审批流程的控制管应用管应用：对非统颁外挂应用系统的集中控制管主机管主机：主机及数据库维护权限上收到生控中心控配

55、置控配置：信息系统配置权限上收到生控中控制措施分析控制措施分析增强了对信息系统及相关数据的控制强化了其他控制措施的落实7.IT7.IT控制控制第 77 页信息与沟通 收集和传递内控相关信息 进行有效沟通，彼此理解真实意图 方式：自上而下、自下而上、横向、对外内控相关信息： 内部信息内部信息人员信息、制度信息、经营信息、监督信息 外部信息外部信息经济形势、政策法规、监管要求、行业动态 第 78 页沟通要点： 管理层意图及时传达，统一思路与方向 权责信息要书面规范，使职责履行到位 基层情况及时上传，发现问题及时采取措施 平行沟通需相互服务意识，信息共享、简化流程 管理者是信息沟通关键，态度、渠道、

56、氛围、反馈沟通方式： 文件、会议、内网、邮件、意见箱第 79 页u 内部监督内部监督 对内部控制建立与实施监督检查 评价内部控制是否健全、合理、有效 报告缺陷、采取处理措施、责任追究 内部控制缺陷内部控制缺陷 设计缺陷 执行缺陷第 80 页信 息 与 沟 通信 息 与 沟 通 内 部内 部 监监 督督控控 制制 活活 动动风 险 评 估风 险 评 估内 部 环 境内 部 环 境 合法合规 信息真实完整信息真实完整 资产安全 发展战略 经营效率效果经营效率效果子 公 司事 业 部分支机构职能部门实施对象实施对象五个目标五个目标五五个个要要素素第 81 页介绍提纲介绍提纲第 82 页4.4.首次评

57、估与改进内部控制体系的目标、意义与成果首次评估与改进内部控制体系的目标、意义与成果第 83 页l全面评估，摸清底细l查漏补缺，完善制度l切实整改，控制风险l通过审计，提升形象l培养人才，完善机制l统一方法，降低成本第 84 页当前当前未来未来内部控制内部控制合规合规风险管理风险管理财务财务内部审计内部审计业务操作流程业务操作流程管理流程管理流程反舞弊反舞弊内部审计内部审计法律合规法律合规风险管理风险管理财务财务隐私隐私损失数据损失数据保监会要求保监会要求内部审计内部审计法律合规法律合规风险管理风险管理财务财务内部审计内部审计资本市场的资本市场的监管要求监管要求业务操作业务操作目标设定目标设定风

58、险识别风险识别/ /评估评估风险应对控制措施风险应对控制措施缺陷整改缺陷整改计划和管理计划和管理收益和理赔管理收益和理赔管理资产和投资管理资产和投资管理营销和销售营销和销售人力资源管理人力资源管理财务管理财务管理合规管理合规管理信息系统管理信息系统管理内部审计内部审计反舞弊反舞弊反洗钱反洗钱反洗钱反洗钱隐私隐私 操作风险操作风险保监会要求保监会要求资本市场要求资本市场要求操作风险操作风险首次内首次内控评价控评价与改进与改进第 85 页l首次评价与改进内部控制体系，像一张“网” ，覆盖公司的各主要经营管理环节，具有全流程、全环节、全员参与的特性。l首次评价与改进内部控制体系，像一根“线” ，把作

59、业流程标准化项目、第三代核心业务系统项目、省集中工作以及经营管理的各个环节等有机地串连在一起。第 86 页 软件需求 系统控制【通过IT系统实现刚性控制，减少人工干预】 诊断缺陷 改进措施 【识别、评估并改进流程中的控制点，力争达到控制风险的目标】流程标准化流程标准化1 1 实现标准化 现状描述内控评价与改内控评价与改进进2 2ITIT固化固化3 31. 1.承前启后：桥梁、纽带承前启后：桥梁、纽带2. 2.管理升级：评价、诊断、方向管理升级：评价、诊断、方向第 87 页优化流程优化流程控制风险控制风险微观落地微观落地 从微观操作层面去发现产生问题的根源，实现微观层面风险点与控制点的对接。只有

60、在微观层面发现了问题，才能在操作层面解决问题。在分析和评估基础上，提出有针对性的改进建议，督促相关部门整改。对制度和流程进行诊断和评价，找到每一个流程中的风找到每一个流程中的风险控制点是关键险控制点是关键（不是对现有制度进行简单的排列组合），评价风险点、控制点的有效性是难点评价风险点、控制点的有效性是难点。发现问题发现问题分析问题分析问题解决问题解决问题第 88 页1. 1.价值价值找“病因”、开“处方 ”2. 2.工具：工具：微观层面风险点与控制点的梳理3. 3.基础：基础：可以利用流程标准化的成果，但还需要按照内控工作的要求进行大量的加工4. 4.关键：范围广、流程多、层级多，需要公司上下高度重视和深度参与关键：范围广