企业内部控制与风险管理六

企业内部控制与风险管理

林斌简历1997年，毕业于厦门大学会计系，获经济学（会计学）博士学位。现任中山大学会计学系教授、博士生导师、系主任、MPAcc中心主任，兼任财政部企业内部控制标准委员会专家咨询组成员、广东省内部审计协会副会长、广东省审计学会副秘书长。曾在美国哈佛大学商学院、德州大学管理学院进修、学习。目前主要研究领域：内部控制与风险管理、战略管理会计、企业会计准则、预算管理、业绩评价等。

2内容提要为什么关注内部控制与ERM什么是企业内部控制与ERM公司治理与内部控制COSO、ERM与COBITSOX与我国内控规范内部控制制度设计与评价开篇小案例中信泰富发布声明称，集团财务董事张立宪和财务总监周志贤私自与香港多家主要银行订立累积外汇期权合约，结果在金融海啸之下导致集团损失155亿港元。中信泰富炒外汇巨亏147亿外部原因：澳元持续贬值

从7月中旬到8月澳元兑美元跌幅高达10.8%由于公司签订的有关外汇合约属累计期权（Accumulator），亏损可能“无底”，目前已录得约8亿元实现亏损，以目前汇率计算，至今年底的账面损失更高达147亿元内部原因：财务董事未遵守对冲风险政策、内部监管不到位Ikillyoulater？小结越是具有创新能力的公司越是更多地使用控制系统混沌理论的初始值与蝴蝶效应AdrianCadbury爵士：公司失败都是由内部控制的失败引起的内部监控与风险管理企业治治理（（续））公司治治理与与内部部控制制的交交叉部部分是是监督督、信信息传传递与与权责责分配配，治治理主主体评评价内内部控控制效效果，，经营营者有有责任任向治治理机机关报报告内内部控控制执执行情情况公司治治理外部治治理内部治治理股东其他利利益相相关者者外部市市场董事会会监事会会经营管管理层层股份公公司审计委委员会会提名委委员会会薪酬与与考核核委员员会小结有人认认为，，内部部控制制制度度是一种最最优化化、最最简捷捷、最最合理理的作作业标标准一种授授权体体系和和责任任化体体系一种衡衡量风风险的的基础础到底什什么是是内部部控制制？日昇昌昌什么是是内部部控制制？内部牵牵制内部控控制内部控控制结结构内部控控制的的完整整框架架（旧旧COSO报告告）企业风风险管管理（（新COSO报报告））内部控控制结结构(1988)控制环境会计系统控制程序内部控控制组织内内部的的内部部控制制组织外外部的的内部部控制制席尔宾宾斯基基三角角内部控控制的的完整整框架架1992年年，COSO提出了了著名名的““内部部控制制的完完整框框架””的研研究报报告，，1994年进进行了了增补补。COSO报告提提出内内部控控制的的目标标有三三个：：提高经经营效效率，，取得得好的的经营营效果果合理保保证财财务报报告的的可靠靠性遵循有有关的的法规规制度度内部控控制的的完整整框架架（续续）内部控控制的要素素内部环环境风险评评估控制活活动信息与与沟通通监督五要素素及其其相互互关系系监控控制活活动风险评评估内部环环境信息沟通信息沟通基础手段保证载体依据内部控控制的的完整整框架架（续续）COSO委员会会提出出，内内部控控制是是由企企业董董事会会、经经理阶阶层和和其他他员工工实施施的，，为营营运的的效率率效果果、财财务报报告的的可靠靠性、、相关关法令令的遵遵循性性等目目标的的达成成而提提供合合理保保证的的过程程。其其构成成要素素应该该来源源于管管理阶阶层经经营企企业的的方式式，并并与管管理过过程相相结合合。控制环环境内部环环境评评估关关注要要点诚信与与道德德价值值观胜任能能力董事会会或审审计委委员会会管理层层的理理念和和经营营风格格组织结结构责任的的分配配和授授权人力资资源政政策和和实践践企业风风险管管理2003年年7月月美国国COSO颁布了了企业风风险管管理框框架的讨论论稿，，并于于2004年4月颁颁布正正文。。同1992年年的COSO报告相相比，，新的的COSO报告增增加了了一个个观念念、一一个目目标、、两个个概念念和三三个要要素ERM的定义义企业风风险管管理的的定义义一个由由企业业的董董事会会、管管理层层和和其他他员工工共同同参与与的，，应用用于于企业业战略略制定定和企企业内内部各各个个层次次和部部门的的，用用于识识别可可能能对企企业造造成潜潜在影影响的的事项项并并在其其风险险偏好好范围围内管管理风风险险的，，为企企业目目标的的实现现提供供合合理保保证的的过程程ERM的目标标ERM的目标标战略目目标经营目目标报告目目标合法性性目标标ERM的主要要内容容ERM的构成成要素素内部环环境目标制制定事项识识别风险评评估风险反反映控制活动动信息和沟沟通监控企业风险险管理中海壳牌牌风险评估矩阵结果

可能性

严重性人员环境成本(美元)工期声誉ABCDE在行业中从未发生过单经在石油工业中发生单纯在股东企业发生每年在股东企业发生几次每年在当地发生几次概率小于1%概率小于10%有可能在每个项目中发生每个项目发生多于一次<0.1%<1%<10%<100%>100%1轻微轻微<200.000<3小时轻微

2中度

(RWC)小的单元的影响0.2-2million3-24小时有限影响

持续改进

3重大伤害

LTI区域内影响2-20million1-10天相当的影响

联合改进措施尽量降低

4PTD/单个死亡区域外大的影响20–200million10天-3月国内影响

寻求替代措施立即采取措施5群死重大影响>200million>3月国际影响

Ifyou'rejustgettingby,you'renotreachingyourIQpotential“Gettingby”MeetingMinimumRequirementsCOBIT的三维框框架图COBIT框架应用用图企业目标标治理目标标信息要求求规划与组组织获取与实实施交付与支支持监督与评评价IT资源应用信息设施人员有效性效率性保密性完整性可用性遵循性可行性基于信息技技术的风险险管理平台台内部控制法法规美国萨班斯斯法案SEC与AICPA（PCAOB）中国的内控控规范SOX的目的布什在SOX新闻发布会会上“这是是自罗斯福福总统以来来美国商业业界影响最最为深远的的改革法案案”公司内部治治理及风险险管理水平平的提升，，也是对投投资者利益益的保护（（会给资方方带来溢价价，尤其是是机构投资资者）SOX有助于强投资者的的信心提升透明度度改革会计行行业中国主要的的企业内部部控制规范范时间文件名称发件单位2008/6企业内部控制基本规范五部门2006/9深圳证券交易所上市公司内部控制指引深交所2006/6上海证券交易所上市公司内部控制指引上交所2006/6中央企业全面风险管理指引国资委2004/8中央企业内部审计管理暂行办法国资委2004/1中央企业负责人经营业绩考核暂行办法国资委2003/9企业国有资产监督管理暂行条件国资委2002/9商业银行内部控制指引中国人民银行2002/1上市公司治理准则证监会2001/7内部会计控制规范财政部2000/7会计法人大常委会我国企业内内部控制规规范体系基本规范具体规范制度支持财务报表编编制相关规规范财务报表项项目相关规规范应用指南货币资金采购与付款款存货对外投资工程项目固定资产无形资产资产减值销售与收款款筹资衍生工具成本费用担保合同对子公司控控制合并与分立立服务外包财务报告编编制关联交易公允价值信息披露预算人力资源政政策计算机系统统内部审计中介机构聘聘用企业内部控控制基本规规范（续））总则内部控制的的目标、要要素与原则则内部环境风险评估控制活动信息与沟通通监督检查附则内控规范企业内部控控制基本规规范（续））内部控制的的目标企业战略经营的效率率和效果财务报告及及相关信息息的真实、、准确和完完整资产的安全全完整遵循国家法法律、行政政法规和有有关监管要要求企业内部控控制基本规规范（续））内部控制的的要素内部环境风险评估控制活动信息与沟通通监督检查企业内部控控制基本规规范（续））内部环境影响、制约约企业内部部控制建立立与执行的的各种内部部因素的总总称，是实实施内部控控制的基础础治理结构组织机构设设置与权责责分配企业文化人力资源政政策内部审计治理结构治理结构规规范运行企业应当制制定股东会会、董事会会、监事会会的议事规规则，明确确界定决策策、执行、、监督各层层面的地位位、职责与与任务，形形成有效的的分工和制制衡机制审计委员会会设立及其其独立性审计委员会会职责内部机构设设置与权责责分配机构设置权责分派权责分派的的知情与监监督企业文化企业文化的的概念和内内容企业在经营营管理过程程中形成的的、影响企企业内部环环境和内部部控制效力力的精神、、意识和理理念，主要要包括企业业的整体价价值观、合合规经营意意识，员工工行为守则则、高级管管理人员的的管理理念念和经营风风格等企业管理层层在企业文文化建设中中的责任行为准则高管人员管管理理念和和经营风格格高管人员在在信息披露露中的责任任人力资源政政策人力资源政政策内容员工的聘用用、培训、、辞退与辞辞职员工的薪酬酬、考核、、晋升与奖奖惩关键岗位员员工的强制制休假制度度和定期岗岗位轮换制制度对掌握国家家秘密和重重要商业秘秘密的员工工离岗的限限制性规定定员工聘用员工培训激励约束机机制内部审计内部审计的的作用内部审计机机构设置与与人员配备备企业内部控控制基本规规范（续））风险评估及时识别、、科学分析析和评估影影响企业目目标实现的的各种不确确定因素并并制定应对对策略的过过程，是实实施内部控控制的重要要环节风险识别风险分析风险应对风险识别内部风险高级管理人人员职业操操守、员工工专业胜任任能力、团团队精神等等人员素质因因素组织结构、、经营方式式、资产管管理、业务务流程设计计、财务报报告编制与与信息披露露等管理因素财务状况、、经营成果果、现金流流量等财务因素研究开发、、技术投入入、信息技技术运用等等技术因素营运安全、、员工健康康、环境污污染等安全环保因因素风险识别（（续）外部风险经济形势、、产业政策策、资源供供给、利率率调整、汇汇率变动、、融资环境境、市场竞竞争等经济因素法律法规、、监管要求求等法律因素文化传统、、社会信用用、教育基基础、消费费者行为等等社会因素技术进步、、工艺改进进、电子商商务等科技因素自然灾害、、环境状况况等自然环境因因素控制活动概概念及其分分类企业应当结结合风险应应对策略，，采取人工工控制与自自动控制相相结合的控控制措施控制措施通通常包括职职责分离控控制、授权权审批控制制、预算控控制、财产产保护控制制、分析与与报告控制制、绩效考考评控制、、信息技术术控制等信息与沟通通的要求对信息采集集的要求内部信息采采集方式外部信息采采集方式信息沟通要要求信息沟通渠渠道反舞弊机制制小结法律法规，，使之不敢敢；内部控制，，使之不能能；职业道德，，使之不愿愿。内部控制制制度设计制度反思（（中国人寿寿）海恩法则：：每一起严重重的事故的的背后，必必然有29起轻微的的事故和300起未未遂先兆，，以及1000起事事故隐患。内部控制的的设计企业层面战略的高度度立体的控制制系统（组组织、项目目与流程））定位（管理理、制度、、形式）政府（