内部控制和全面风险管理

内部控制与风险管理邢台学院王伟相关概念内控基本规范

本办法所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。COSO内控框架

公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率，财务报告的可靠性和遵守适用的法律法规。"3内部控制框架监督信息与沟通控制活动风险应对风险评估事项识别目标设定内部环境战略报告经营合规COSO内部控制整体框架

(1992/2013)COSO企业风险管理框架

(2004)经营监督信息与沟通控制活动风险评估控制环境财务报告合规弥补缺口运营子公司营业单位

部门

公司层面

其他内控体系

COCOTurnbull“中国COSO”，全面风险管理日本......ISOxxx4内控理论框架国际上具影响力的内部控制框架

中国不断加强内部控制及风险管理的监管要求1992，美国COSO报告：内部控制——综合性框架，简称COSO；1995，加拿大COCO委员会《控制原则标准》，简称COCO原则；1999，英国Turnbull指南《内部控制——综合守则的董事指南》；2004，美国COSO委员会发布ERM，即《企业风险管理-综合性框架》；2004，香港联交所《企业管治常规守则》及《企业管治报告》。1996，财政部《独立审计具体准则第9号——内部控制和审计风险》；1997，中国人民银行《加强金融机构内部控制的指导原则》；1999，保监会《保险公司内部控制制度建设指导原则》；1999，全国人大常委会《会计法》；2001，证监会《证券公司内部控制指引》；2001，财政部《内部会计控制规范——基本规范（试行）》等；2002，中国人民银行《商业银行内部控制指引》；2006，国资委《中央企业全面风险管理指引》；2006，财政部牵头成立“中国内部控制标准委员会”；2006、2007，深交所、上交所内控指引；2008，财政部等五部委联合发布《企业内控基本规范》。……

……302及906条财务报告及信息披露404条财务报告及信息披露302条及906条证明书管理层对于404条的内控报告外部审计报告道德条款公司监控内控自评政策及程序编写及记录内控文件内控评价对内控不足之处改进SOX展现内控工作的体系性外部审计：1、对管理层评价的认证；2、对内控的评价一、全员参与二、持续性三、合理保证四、以各种制度为载体内部控制的特点风险是一种可以识别的不确定性。这种不确定性能够对企业经济利益造成影响。

风险来自你不知道自己正在做什么！沃伦·巴菲特我们冒险通常不是出于自信，而是出于对无知和对不确定性的无知。丹尼·卡尼曼8风险对风险必须非常了解，控制在与总体目标相适应并可承受的范围内风险偏好：公司的高层（包括管理层和董事会）愿意在哪些领域，接受多大范围的风险。包括厌恶、中性和冒险是三种典型的风险态度，一般可以用决策效用曲线来描述，也叫风险承受能力风险容忍度：风险在什么范围内是公司可以接受的可能性影响程度轻微严重小大承担，如赊销规避，如违规严控，跑冒滴漏严控，如事故风险管理COSO风险管理

企业的董事会、管理层和其他员工共同参与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活动，用于确定可能影响企业的潜在事项，并在其风险偏好范围内管理风险，从而对企业目标实现提供合理保证。全面风险管理

本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括……，从而为实现风险管理的总体目标提供合理保证的过程和方法。内控与风险管理的逻辑关系前提假设战略目标风险管理内部控制案例公司战略目标竞争战略经营战略具体活动领先专业领域的设备制造商大终端大服务通过产业+资本的组合形成成本领先经营资金通过大量银行贷款获得搞好与银行关系战略目标企业战略是要解决企业做什么或者不做什么的问题。企业战略目标在很大程度上决定了企业将来所要面临的风险，最终影响企业的控制。企业的特征会在较大程度上影响企业目标风险结合企业自身的能力考虑企业对风险的处理，风险规避、风险降低、风险分担、风险承受。风险可以分为：战略风险、财务风险、合规风险、操作风险等。发现风险应及时传导至所需要传达到的层次，快速而有效的沟通渠道很重要。控制预防控制VS检查控制主控制VS冗余控制基础控制VS应用控制正向控制VS反向控制手工控制VS系统控制一控多VS多控一？何为理想的控制着眼于商业模式立足于资源条件合适的记录（传导）模式（简洁为好）内部控制内部控制首先是一种艺术，是一种机制，其次才是流程，再将其分解至步骤，最后落实到制度，——谁、怎么办、何时办、纠偏、记录等。内部控制最高境界是文化，社会文化影响企业文化进而影响到企业活动。向下是机制、流程。控制现状评价整改新内控重点形成价值内部控制的评价评价设计有效性执行有效性评价人一定要知道什么是对的，什么是好的发现缺陷一定要分类别，安排整改！18评价体系—央企实例总部内审部门统一实施——中石油、中石化公司成立内控专职机构实施——中人寿委托中介机构实施——中移动业务部门自评+内审部门审计——中电信自我评价内审独评评价体系第一道关日常的基础工作全覆盖的审查内控责任人实施第二道关自评基础上的阶段性工作重点抽查内审人员实施年度自评专项自评19内控与风险管理工作价值

北京故宫失窃案（2012年2月17日）

2011年5月8日，石柏魁将香港两依藏博物馆正在故宫博物院内展出的9件展品盗走，9兼展品共投保金额为41万元，此前曾有博友称“被盗文物价值10亿元”，展方对媒体澄清值7000多万。案发前几天，石柏魁两次来到故宫博物院，均未购票混入宫内，观察内外地形，掌握每天清场的时间。案发当天上午10点，石柏魁再次未购票混入故宫内，进入诚肃殿的香港“两依藏珍选粹展”展厅，趁降雨躲在展厅与西配房的夹道直至天黑。晚8点多，石柏魁藏内将供电总闸关闭，踹碎展厅北墙玻璃进入展厅，踹碎内部装饰墙，打碎顶部玻璃，盗走9件藏品。得手后，石柏魁上房，爬上内墙逃跑。在此期间，有巡夜人员发现其踪影，在上报过程中，石逃脱。他先是躲在宫内一辆汽车底下，躲过巡夜人员搜查后，通过一间矮房的铁制护栏，爬上近10米高的故宫外墙。根据北京市公安局后来出具的安保评估报告，故宫大部分摄像头和报警器是没有经过正规程序购买的，存在严重缺陷，遇到雨雪天就失灵，这个情况已经持续几十年。失窃当天恰好下雨，故宫电子安保系统全部失灵。自从1962年以来，共有包括石柏魁在内的6名故宫大盗落网，此前的五人，有2人被判处死刑，3人被判无期徒刑。调查结果显示，目前博物馆安保技术已无懈可击，但最大的漏洞在于人员的意识和责任心。(北京)市文物局昨天表示，将针对市博物馆开展文物安全大检查，严打文物犯罪。故宫曾出现多起文物毁损事件。“宋代瓷盘受损”，出事几天后，故宫一把手才知情。“这是有原因的，只要悄悄粘起来，放归原处，就没有人知道了。”故宫的消息，外界隔了26天才知道。博客：几年前，宫廷部扔废弃木箱，结果将10多件佛像也扔了，对方单位胆战心惊地送回；06年前后，一级品明代法器人为损坏，08年佛堂旧址上二级品佛像损坏，任万萍主任的胳肢窝没夹住那件沉重的历史，碎了，你们报了吗？20内控与风险管理工作价值（续）台北故宫50年仅丢失一页纸一包盐（2012年3月16日）

1962年，台北“故宫博物院”启用，当年运抵的2972箱文物中，除一页纸和一包盐外，其他全在册。“一页纸”是1989年文物清点时发现的，《满文原档》中缺少了一页“女尸图”。1969年打算发行《满文原档》，但当时没有扫描技术，拍照要送到院外，后来有一页就消失了。自此，台北“故宫博物院”规定：无论是拍照、维护或其他理由，文物一律不得离开院内。这次清点发现另一件失踪的是—包清朝宫廷保留下来的新疆进贡的湖盐。由于年代久远，盐挥发了，只剩下了外包纸。文物的移动、持拿、运送和摆设，每个动作都有相应规范，文物不能离开桌面或琅匣，只能在桌面上水平移动，也不能离开推送的车子，操作的工作人员需要接受专门的长期训练。一些重要文物的移动还需要事先以复制品进行演练操作。文物移动的每一步，都有两三人在现场，而且每一过程都有监控的影像记录。每个过程非常小心，非常专业。至今没有也不可能出现文物损坏的事件。安全方面，院外，有63位警卫、四五条警犬巡逻，全天24小时监控，共有78个点、11个岗哨。警察局白天、晚上都巡逻；内部有55名安管人员，加上监控与库房维护二三百人。每个陈列室有24小时视频监控，所有展物都放在玻璃柜中，配备防爆装置，还有红外线碎音侦测系统，只要稍有破裂就会启动装置。“故宫”所有预算来自财政拨款，经费都需要“立法院”审核通过，她要去接受“立委”的“质询”。政府有一个公益网站，统统可以查到，详细到雇用了多少人和每一分钱的用途。

2011年4月18日，“故宫”所有监控、感应系统突发故障，信号传输中断，6小时后才恢复。蓝绿“立委”同声批评、要求院长负责。“故宫”随即发布新闻澄清，断电故障系是因供电系统设计不良。“故宫”与教育部等同级，只比行政院低一级。工作人员都属公务员。受到多重监督，包括来自主管机关、“立法院”、“监察院”和审计部的监督。”在这样的多重监督之下，“比较不容易犯错”。21哪些环节出了问题？

50岁的李某是原A公司工程部经理。2000年11月，B公司向A公司求购一套设备，但当时A公司不生产和经营该类设备，头脑活络的李某接下单子，到Y纺机厂（C公司）订购。随后，李某将A公司的45万余元划入C公司，C公司按李某要求的单位和地址(B公司)发了设备。2001年初，李某代表A公司到C公司核账时发现，C公司财务出错：把已提走的设备，当作B公司购买，而他划入的45万余元却变为A公司的预付款。

2001年3月至4月，李某派人到C公司，以A公司的名义，购买价值60余万元的设备。因为有了45万余元的预付款，李某仅向C公司支付了15万元。随后，他找到了亲戚经营的D公司，开出了A公司以67万元的价格购得这批设备的发票。A公司不知内情，向D公司支付了全部67万元购货款，李某从中得利52万元。同年7月至10月间，李某又以相同手段多次骗得A公司185万元，占