内控和风险管理咨询方法论和案例

回归和谐稳健成长

——内控和风险管理咨询方法论和案例

金蝶软件（中国）有限公司张红文金蝶研究院高级研究员中注协会员高级会计师Email：zhanghw@讲师简介简况：张红文，高级会计师、中国注册会计师协会会员。现任：金蝶研究院高级研究员，从事集团财务管理模式研究；历任规划部门经理负责规划了金蝶K/3及EAS集团财务管理软件；历任产品市场部门经理为招商局、中金岭南等数十家大型、超大型集团企业财务管理信息化提供过专业服务。曾任：公司财会部长、科长等职，服务于江西省医药集团、广东科龙集团，从事财务管理实务工作十余年。著述：出版个人著作《集团财务管理新思维》目录内控与风险管理基础理论内控与风险管理实务框架内控与风险管理案例解析风险的概念19世纪，西方古典经济学家就提出了风险的概念，认为风险是经营活动的副产品，经营者的收入是其在经营活动承担风险的报酬。20年代初，美国经济学家奈特把风险与不确定性作了明确区分，指出风险是可测定的不确定性。认为风险存在着一定的统计规律，奠定了现代保险学的理论基础。80年代初，日本学者武井勋认为风险是特定环境中和特定期间内自然存在的导致经济损失的变化。本定义包括三种要素：第一，风险与不确定性有差异；第二，风险是客观存在的；第三，风险可以被测量。风险的概念：风险是可测定的不确定性具体风险的测定具有主观性与客观性风险的结果有正面与负面两方面的影响，正面可以带来收益，负面可能带来损失三国故事空城计史上著名的三大泡沫事件荷兰郁金香泡沫英国南海泡沫法国密西西比泡沫1593年克卢修斯受聘担任荷兰莱顿大学植物园的主管将郁金香带到了荷兰。1630年，荷兰的一朵郁金香花根售价是今天的76,000美元；六星期后一位初到荷兰的水手误食一枚价值五万美元的“永远的奥古斯都”的郁金香球茎，价格回落到每只1美元；1720年初，为了刺激股票发行，南海公司制造“新闻”、接受投资者分期付款购买新股，股价由129英镑一路狂飚到1000英镑以上，严重背离公司业绩。1720年7月起，内幕人士与政府官员大举抛售，南海公司股价一落千丈，12月跌至每股124英镑，南海泡沫破灭。1719年7月25日，约翰•劳的印度公司取得了皇家造币厂的承包权，8月取得农田间接税的征收权。从1719年5月开始，推动法国股票价格连续上升了13个月，股票价格从500里弗尔涨到一万多里弗尔，涨幅超过了20倍。从1720年5月法国股市开始崩溃，连续下跌13个月，跌幅为95%。荷兰：法庭就淹没在郁金香的官司之中,政府护盘未果,强行终止所有合同,最终所有的“苦果”只能由投机者自己咽下。法国：政府参与其中,信用严重受创;百姓卷入其中蒙受损失，投资信心受创。英国：不知情的投资人陷入悲惨世界，损失惨重的还有英国经济和政府信用。内部牵制

以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有效的内部牵制以便使各项业务能完整正确地经过规定的处理程序，而在这规定的处理程序中，内部牵制机能永远是一个不可缺少的组成部分。

——《柯氏会计辞典》1234两个假设三个构成要素四项基本职能五种不相容职务两个或两个以上的人或部门无意识地犯同样的错误机会较少；两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。L.R.Dicksee最早于1905年提出内部牵制（InternalCheck）时认为，内部牵制由三个要素构成：职责分工；会计记录；人员轮换。实物牵制如钥匙交两个以上的持有，物理牵制如银库大门按非正确手续操作就会报警、分权牵制每项业务由不同的人或部门去执行、簿记牵制如明细帐与总帐定期核对。授权批准、业务经办、会计记录、财产保管、稽核。内部控制“保护公司现金和其他资产，检查薄记事务的准确性，而在公司内部采用的手段和方法”1936年AICPA的定义内部控制包括组织的计划和企业为了保护资产，检查会计数据的准确性和可靠性，提高经营效率，以及促使遵循既定的管理方针等所采用的所有方法和措施。1949年AICPA的定义吉姆斯•D•威廉森在《现代主计长手册》第五版中指出：“为了合理地保障企业特定目标的实现，企业管理当局制定了许多政策和程序。这个政策和程序集合就是内部控制制度。”《现代主计长手册》1953年10月，AICPA－把内部控制分为会计控制和管理控制会计控制－“由组织计划和所有保护资产、保护会计记录可靠性或与此相关的方法和程序构成。包括：授权与批准制度；记账、编制财务报表、保管财务资产等职务的分离；财产的实物控制；内部审计等；管理控制－“由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接相关的方法和程序构成。通常只与财务记录发生间接的关系，包括统计分析、时动分析、经营报告、雇员培训计划和质量控制等。内部控制结构

内部控制结构是指为了对实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体，包括控制环境、会计系统及控制程序三个部分。

——1988年美国审计准则委员会第55号《审计准则公告》控制环境会计系统控制程序

控制环境是对企业控制的建立和实施有重大影响的一组因素的统称。它们包括：管理哲学和经营风格；组织结构；董事会的职能；授权和分配责任的方式管理控制方法；内部审计；人事政策和实务；外部影响。

会计系统是企业为了汇总、分析、分类、记录和报告企业交易，并保持对相关资产与负债而建立的方法和记录。一个的效的会计系统应能做到以下几点：确认并记录所有真实的交易；及时且充分详细地描述交易，以便在财务报表上对交易作恰当的分类；计量交易的价值，以便在财务报表上记录其恰当的货币金额；确定交易发生的期间，以便将交易记录在适当的会计期间；在财务报表中恰当地表达的披露交易及相关事项。

控制程序同其他两个要素一样，也是为了合理保证公司目标的实现而建立的政策和程序，它既可以单独应用，也可以融合于控制环境或会计系统的特定组成部分。控制程序主要包括：恰当授权；职责分离凭证和记录；按近控制；独立检查。内部控制整合框架1985年，由AICPA、IIA、FEI、AAA、IMA等共同发起成立了“全国舞弊性财务报告委员会”（即Treadway委员会）。两年后，根据该会的建议，其赞助机构又成立了专门研究内部控制问题的组织，即COSO委员会。COSO的目的是制定一个服务于公司、独立公共会计师、立法者和监管部门需要的内部控制定义，为公司评价其内部控制系统的有效性提供一个参照标准的广泛框架。1992年，COSO发布了《内部控制－整合框架》“内部控制是由董事会、管理当局和其他职员实施（effect）的一个过程（process），旨在为下列各类目标的实现提供合理保证：经营效果和效率；财务报告的可靠性；遵循适用的法律和法规”。“将对内部控制的不同概念整合到一个框架中，从而达到对内部控制的共识，确定控制的构成要素”；试图“建立一个适用于各方需求的通用的定义；提供一个标准，无论规模大小、公众还是私人的、盈利性的还是非盈利性的业务和企业，均可以参照该标准评估他们的控制系统并决定如何改进”；从而“帮助公司和企业的管理层更好地控制组织的活动”。1994年COSO

委员会提出对外报告的修改篇，扩大了内部控制涵盖范围，增加了与保障资产安全有关的控制，得到了美国审计署(General

Accounting

Office，GAO)的认可。；“保护资产防止未经授权的取得、使用或处置的控制是一个过程，它是由组织的董事会、管理层及其他人员实现的，用来为防止或及时发现那些对财务报告有重大影响的未经授权取得、使用或处置资产的行为提供合理保证的”。内部控控制整整合框框架监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1信息系系统产产生各各种报报告，，包括括经营营、财财务、、守规规等方方面，，使得得对经经营的的控制制成为为可能能。处处理的的信息息包括括内部部生成成的数数据，，也包包括可可用于于经营营决策策的外外部事事件、、活动动、状状况的的信息息和外外部报报告。。所有有人员员都要要理解解自己己在控控制系系统中中所处处的位位置，，以及及相互互的关关系；；必须须认真真对待待控制制赋予予自己己的责责任，，同时时也必必须同同外部部团体体如客客户、、供货货商、、监管管机构构和股股东进进行有有效的的沟通通。信息和交交流（informationandcommunication）包括组织织人员的的诚实、、伦理价价值和能能力；管管理层哲哲学和经经营模式式；管理理层分配配权限和和责任、、组织、、发展员员工的方方式；董董事会提提供的关关注和方方向。控控制环境境影响员员工的管管理意识识，是其其他部分分的基础础。控制环境境（Controlenvironment）确认和分分析实现现目标过过程中的的相关风风险，是是形成管管理何种种风险的的依据。。它随经经济、行行业、监监管和经经营条件件而不断断变化，，需建立立一套机机制来辨辨认和处处理相应应的风险险。风险评估估（riskassessment）帮助执行行管理指指令的政政策和程程序。它它贯穿整整个组织织、各种种层次和和功能，，包括各各种活动动如批准准、授权权、证实实、调整整、经营营绩效评评价、资资产保护护和职责责分离等等。控制活动动（controlactivities）监控在经经营过程程中进行行，通过过对正常常的管理理和控制制活动以以及员工工执行职职责过程程中的活活动进行行监控，，来评价价系统运运作的质质量。不不同评价价的范围围和步骤骤取决于于风险的的评估和和执行中中的监控控程序的的有效性性。对于于内部控控制的缺缺陷要及及时向上上级报告告，严重重的问题题要报告告到管理理层高层层和董事事会。监控（monitoring）COSO内部控制制整合框框架：三三目标、、五要素素世界之交交的挑战战2000上世纪末末本世纪初初07年开始，，全球经经济因“次贷危机机”这座冰山山彻底改改变了前前进的航航程。贝尔斯登登破产两房面临临破产困困境雷曼兄弟弟倒闭、、美林被被收购AIG寻求政府府救助高盛、摩摩根士丹丹利无奈奈转寻商商业银行行兼并“金融海海啸”波波及欧洲洲，影响响全球。。1997年6月开始，，一场金金融危机机在亚洲洲爆发，，打破了了亚洲经经济急速速发展的的景象，，亚洲一一些经济济大国的的经济开开始萧条条。1997年7月7日，泰国国宣布放放弃固定定汇率制制，实行行浮动汇汇率制，，引发了了一场遍遍及东南南亚的金金融风暴暴。1998年初，印印尼金融融风暴再再起。1998年8月初，美美国股市市动荡、、日元汇汇率下跌跌，国际际炒家对对香港发发动新一一轮进攻攻。前车之鉴鉴：安然然破产2000年美国最大大的石油油和天然然气企业业当年的营营业收入入超过1000亿美元雇佣员工工2万人美国《财富》500强第七名名2001年末宣布第三三季度6.4亿美元的的亏损隐瞒了5亿美元的的债务1997年以来虚虚报利润润5.8亿美元股价由年年初80美元跌至至年末80美分此前10个月董事事及高管管红利3.2亿分析调查查安然的董董事会及及审计委委员会均均采取不不干预(“hands-off”)监控政策策事件发生生之后，，部分董董事表示示不太了了解安然然的财务务状况、、期货货及期权权的业务务安然重视视短期的的业绩指指标安然管理理高层常常常藐视视或推翻翻公司制制定的内内控制度度前车之鉴鉴：世通通倒闭2001年美国第二二大电信信公司美国《财富》500强中排名名前l00位2002年世通被发发现利用用把营运运性开支支反映为为资本性性开支等等弄虚作作假的方方法在1998年至2002年期间，，虚报利利润110亿美元。。股价从最最高的96美元暴跌跌至90美分年末申请请破产保保护世通的4名主管(包括公司司的CEO和CFO)承认串谋谋讹诈，，被联邦邦法院刑刑事起诉诉。调查发现现世通的董董事会持持续赋予予公司的的CEO(BernardEbbers)绝对的权权力，让让他一人人独揽大大权美国证监监会的调调查报告告指出：：世通完完全没有有制衡机机制世通的董董事会并并没有负负起监督督管理层层的责任任世通为公公司的高高级管理理层提供供丰厚(不合理)的薪酬和和奖金美国世通通公司前前CEO埃贝斯出出庭受审审前车之鉴鉴:巴林破产产英国巴林林银行：：20世纪90年代前英英国最大大的银行行之一，，有超过过200年的历史史。1992~1994年期间，，巴林银银行新加加坡分行行总经理理里森(NickLesson)从事日本本大阪及及新加坡坡交易所所之间的的日经指指数期货货套期对对冲和债债券买卖卖活动，，累积亏亏损超过过10亿美元，，导致巴巴林银行行于1995年2月破产，，最终被被荷兰ING收购。调查发现现巴林银行行的高层层对里森森在新加加坡的业业务并不不了解高层对财财务报告告不重视视缺乏职责责划分的的机制，，里森身身兼巴林林新加坡坡分行的的交易员员和结算算员。里森在自自传中说说：“有一群群人本本来可可以揭揭穿并并阻止止我的的把戏戏，但但他们们没有有这么么做。。我不不知道道他们们在监监督上上的疏疏忽与与罪犯犯的疏疏忽之之间的的界限限何在在，也也不清清楚他他们是是否对对我负负有什什么责责任。。”前车之之鉴：：金融融海啸啸中的的五大大投行行企业风风险管管理整整合框框架2001年，COSO委托普普华开开发一一个企企业管管理层层评价价和改改进企企业风风险管管理的的框架架；2003年，COSO发布《企业风风险管管理框框架（（草稿稿）》；2004年9月，COSO正式发发布《企业风风险管管理－－整合合框架架》。企业风风险管管理是是“一一个过过程，，它由由一个个主体体的董董事会会、管管理当当局和和其他他人员员实现现（effect）的，，应用用于战战略制制定并并贯穿穿于企企业之之中，，旨在在识别别可能能会影影响主主体的的潜在在事项项，管管理风风险以以使其其在该该主体体的风风险容容量之之内，，为主主体目目标的的实现现提供供合理理保证证”。。内部控控制已已经包包含在在企业业风险险管理理当中中，而而且是是企业业风险险管理理的一一个组组成部部分，，企业业风险险管理理比内内部控控制宽宽泛，，是在在内部部控制制的基基础上上的拓拓展和和精心心设计计，以以形成成一个个更加加充分分关注注风险险的更更“健健壮””的概概念体体系。。COSO不打算算、也也的确确没有有用企企业风风险管管理框框架取取代内内部控控制框框架，，而是是将内内部控控制框框架纳纳入其其中，，公司司不仅仅可以以借助助这个个企业业风险险管理理框架架来满满足它它们内内部控控制的的需要要，还还可以以借此此转向向一个个更加加全面面的风风险管管理过过程。。企业风风险管管理整整合框框架目标：：从各各种角角度来来考虑虑因素：：从相相联的的各种种过程程来考考虑地点：：从组组织的的各个个层次次考虑虑与内部部控制制整合合框架架的差差异与与联系系：从二者者的框框架结结构看看，ERM增加了了战略略目标标；增增加了了目标标设定定，事事件识识别和和风险险对策策三个个要素素。从二者者的实实质内内容看看一是内内部控控制仅仅是管管理的的一项项职能能，而而全面面风险险管理理贯穿穿于管管理过过程的的各个个方面面；二是全全面风风险管管理框框架涵涵盖信信用风风险、、市场场风险险、操操作风风险、、战略略风险险、声声誉风风险及及业务务风险险等各各种风风险，，包括括风险险和机机会；；而内内部控控制框框架没没有区区分风风险和和机会会；三是由由于全全面风风险管管理框框架引引入了了风险险偏好好、风风险容容忍度度、风风险对对策、、压力力测试试、情情景分分析等等概念念和方方法，，在风风险度度量的的基础础上有有利于于企业业的发发展战战略与与风险险偏好好相一一致，，增长长、风风险与与回报报相联联系，，进行行经济济资源源分配配及利利用风风险信信息支支持业业务前前台决决策流流程等等，从从而帮帮助董董事会会和高高级管管理层层实现现全面面风险险管理理的四四项目目标。。全面风风险管管理涵涵盖了了内部部控制制。美国萨萨班斯斯法案案SOX法案302节－“公司对对财务务报告告的责责任”签字官官员（A）对建建立及及保持持内部部控制制负责责；（B）设计计了所所需的的内部部控制制，以以保证证这些些官员员能知知道该该公司司及其其纳入入合并并报表表的子子公司司的所所有重重大信信息，，尤其其是报报告期期内的的重大大信息息；（C）评价价公司司的内内部控控制在在签署署报告告前90天内的的有效效性；；（D）在该该定期期报告告中发发布他他们上上述评评价的的结论论。签字官官员已已向公公司的的审计计师及及董事事会下下属的的审计计委员员会（（或担担任同同等职职务的的人员员）披披露了了如下下内容容：（A）内部部控制制的设设计或或运行行中，，对公公司记记录、、处理理、汇汇总及及编报报财务务数据据的功功能产产生负负面影影响的的所有有重大大缺陷陷。并并向公公司的的审计计师指指出内内部控控制的的重大大缺陷陷。（B）在内内部控控制中中担任任重要要职位位的人人员或或其他他雇员员的欺欺诈行行为，，不论论行为为的影影响是是否重重大。。签字官官员应应在报报告中中指明明在他他们对对内部部控制制评价价后，，内部部控制制是否否发生生了重重大变变化，，或是是其他他可能能对内内部控控制产产生重重要影影响的的因素素，包包括对对内部部控制制的重重大缺缺陷或或重要要缺点点的更更正措措施。。美国萨班斯法法案SOX法案404节－“管理层对内部部控制的评价价”(a)内部控制方面面的要求——SEC应当相应的规规定，要求按按《1934年证券交易法法》第13节(a)或15节(d)编制的年度报报告中包括内内部控制报告告，包括：(1)强调公司管理理层建立和维维护内部控制制系统及相应应控制程序充充分有效的责责任；(2)发行人管理层层最近财政年年度末对内部部控制体系及及控制程序有有效性的评价价；(b)内部控制评价价报告——对于本节(a)中要求的管理理层对内部控控制的评价，，担任公司年年报审计的会会计公司应当当对其进行测测试和评价，，并出具评价价报告。上述述评价和报告告应当遵循委委员会发布或或认可的准则则。上述评价价过程不应当当作为一项单单独的业务。。内部控制评价价、审计公司管理层对对财务报告内内部控制有效效性的评价注册会计师对对财务报告内内部控制的审审计注册会计师的的审计报告对内部控制有有效性的审计计意见内部控制的对外报告内部控制的对内报告内部控制报告告——浙江工商大学学张宜霞《美英上市公司司内部控制评评价与报告体体系的比较研研究》美国SEC“财务报告内部部控制”2003年6月，美国SEC发布“财务报报告内部控制制”；一个过程，它它是由公司首首席执行官和和首席财务官官或履行类似似职能的人设设计的或在其其监督之下的的，并由公司司董事会、管管理层和其他他人员实施的的，为财务报报告的可靠性性和按照公认认会计原则编编制对外财务务报表提供合合理保证；财务报告内部部控制包括的的政策和程序序要：与保持适当详详尽、准确和和公允反映公公司资产的交交易和处置的的记录相关；；合理保证对交交易进行了必必要的记录以以容许按照公公认会计原则则编制财务报报表，以及公公司的收入和和支出只根据据公司管理层层和董事的授授权进行；合理保证防止止或及时发现现未经批准取取得、使用或或处置那些可可能会对财务务报表产生重重要影响的公公司资产。美国PCAOB审计准则2004年发布标题为为与财务报表表审计相关的的财务报告内内部控制审计计管理当局的责责任：对公司财务会会计报告内部部控制的有效效性负责；使用适当的控控制标准（如如COSO标准）；评价公司财务务会计报告内内部控制的有有效性；提供足够的证证据、包括记记录编制来支支持评价，以以及在公司最最近的财政年年度末，就公公司财务会计计报告内部控控制的有效性性出具书面评评价。评价内控有效效性的程序：：确定需要测试试的控制措施施；评价控制失败败导致财务报报表错报的可可能性、错报报的重要性；；评价控制措施施的设计和实实施有效性；；确定已识别的的内控缺失是是否构成重要要缺失或实质质性薄弱；将发现传达给给相关方；对发现是否支支持其评价进进行评估。PCAOB2号准则2007年6月发布审计准准则五号，对对缺陷、重大大缺陷和实质质性缺陷的定定义在二号准准则的基础上上进行了修改改和说明。缺陷指当控制的设设计或运行不不允许管理层层或雇员实施施他们的职能能来及时防止止错报的发生生，从而发生生了内部控制制缺陷。缺陷陷分为设计缺缺陷和运行缺缺陷。重大缺陷内部控制对于于财务报告的的缺陷或缺陷陷的组合，没没有实质性缺缺陷那么来重重，但是重要要到能够吸引引对于财务报报告负责检查查的人员的注注意力。实质性缺陷财务报告内部部控帽方面的的一项缺陷，，或者一组缺缺陷的组合，，使得在合理理的可能性水水平上，公司司年度或者中中期的财务报报告的实质性性错报无法及及时被阻止或或察觉到。PCAOB5号准则国际内控与风风险管理趋势势内部控制制度度AICPA把内控划会计计控制和组织织控制。-建立内控-数据准确一致致-内控可靠性内部牵制依据串通舞弊弊的可能性较较小，提出五五种不相容职职务分离原则则，实现实物物与簿记牵制制。三大目标-经营效果和效效率-财务报告的可可靠性-遵循适用的法法律和法规五大要素-控制环境-风险评估-控制活动-信息沟通-监控（1994年，保护资产）四大目标-战略实现-经营效果和效效率-财务报告的可可靠性-遵循适用的法法律和法规八大要素-内部环环境-目标设设置-事件识识别-风险评评估-风险反反应-控制活活动-信息与与沟通通-监控内部控控制结结构AICPA内部控控制结结构包包括为为合理理保证证企业业特定定目标标而建建立的的各种种政策策和程程序；；-控制环环境-会计系系统-控制程程序（三要要素））内部控控制整整合框框架风险管管理整整合框框架1936年1988年1994年2004年2002年：SOX法案2003年6月：SEC“财务报报告内内部控控制”2004年：PCAOB2号号准则则2007年6月：PCAOB5号准则则全球经经济危危机下下中国国企业业的新新挑战战合俊倒倒闭中信巨巨亏三鹿破破产更早前前的案案例2004年中航航油炒炒作原原油期期货，，巨亏亏5.5亿美元元；银广夏夏造假假、达达尔曼曼资金金黑洞洞、托托普神神话、、德隆隆危机机…美国金金融危危机波波及中中国实实体经经济企企业倒倒闭第第一案案。高管“不知情情的”澳元累累计认认购期期权合合约公公允价价值损损失约约186亿港元元。三聚氰氰氨毒毒害一一批婴婴幼儿儿，摧摧毁了了三鹿鹿，也也损害害了中中国乳乳品行行业。。前车之之鉴：：合俊俊倒闭闭香港合合俊控控股集集团成成立于于1996年，香香港联联交所所上市市企业业，其其主力力生产产基地地就是是设在在樟木木头镇镇的2家工厂厂，产产品70%以上销销往美美国，，包括括为全全球最最大的的玩具具商美美泰公公司提提供OEM（贴牌牌加工工）业业务。。合俊大大事记记1995年：胡胡锦斌斌接下下1700万港元元的订订单。。一年年后，，合俊俊集团团在东东莞成成立。。2004年：在在合俊俊开始始挺进进成人人玩具具市场场。2006年9月：合合俊集集团在在香港港联交交所上上市，，股票票代码码为02700。2007年9月：合合俊集集团买买入福福建天天安矿矿业股股份。。2008年8月，为为了缓缓解资资金紧紧张，，合俊俊以2700万元出出售其其在清清远市市佛冈冈的一一块土土地。。最近一一次合合俊公公布中中期业业绩，，股东东亏损损2亿元，，每股股亏损损0.44元，不不派中中期息息。8月15日，危危机终终于爆爆发。。2008年10月15日合俊俊集团团旗下下两工工厂倒倒闭约6500名员工工失业业，事事发后后，政政府将将先行行垫付付2400万元工工资。。从影响响和知知名度度来看看，这这被称称为“美国金金融危危机波波及中中国实实体经经济企企业倒倒闭第第一案案。”前车之之鉴：：中信信巨亏亏中信泰泰富的的前身身泰富富发展展有限限公司司成立立于1985年。1986年通过过新景景丰公公司获获得上上市地地位，，同年年2月泰富富发行行2.7亿股新新股予予中国国国际际信托托投资资（香香港集集团））有限限公司司1991年泰富富正式式易名名为中中信泰泰富。。荣智健健称““不知知情””遭到到质疑疑2008年10月20日中信信泰富富首告告因澳澳元贬贬值跌跌破锁锁定汇汇价——澳元累累计认认购期期权合合约公公允价价值损损失约约147亿港元元，至至今巨额亏亏损已已扩大大到186亿港元元。12月2日，中中信泰泰富公公开披披露的的股东东通函函显示示，过过去两两年中中，中中信泰泰富分分别与与花旗旗银行行香港港分行行、渣渣打银银行、、Rabobank、NATIXIS、瑞信信国际际、美美国银银行、、巴克克莱银银行、、法国国巴黎黎银行行香港港分行行、摩摩根士士丹利利资本本服务务、汇汇丰银银行、、Calyon、德意意志银银行等等13家银行行共签签下24款外汇汇累计计期权权合约约。前车之之鉴：：三鹿鹿倒闭闭2008年报月月12日官方方初步步认定定：三三鹿“问题奶奶粉”为不法法分子子在原原奶收收购中中添加加三聚氰氰胺所致已已传唤唤78人;2008年9月18日，国国家工工商行行政管管理总总局发发出紧紧急通通知，，要求求各地地工商商部门门对市市场上上含三三聚氰氰胺的的液态态奶，，立即即责令令停止止销售售、下下架退退市。。2008年9月19日，国国家处处理三三鹿牌牌婴幼幼儿配配方奶奶粉事事件领领导小小组召召开第第二次次全体体会议议，全全国各各地已已退市市问题题奶粉粉3215.1吨。国务院院办公公厅１１９日日发出出通知知，要要求各各地区区、各各部门门认真真贯彻彻落实实党中中央、、国务务院的的决策策部署署，以以对人人民群群众高高度负负责的的精神神，进进一步步做好好婴幼幼儿奶奶粉事事件处处置工工作。。2008年12月31日，原董事事长受受审。2009年年02月13日日，三鹿集集团正正式破破产。2009年03月04日，三三元以以6.1650亿元拍拍得三三鹿资资产。。企业内内部控控制基基本规规范五目标标五原则则五要素素全面性性原则则重要性性原则则制衡性性原则则适应性性原则则成本效效益原原则合法合合规资产安安全财务报报告经营绩绩效战略实实现七项一一般控控制措措施不相容容职务务分离离控制制授权审审批控控制会计系系统控控制财产保保护控控制预算控控制运营分分析控控制绩效考考评控控制财政部部、证证监会会、审审计署署、银银监会会、保保监会会五部部委共共同发发布内部环环境风险评评估控制活活动信息与与沟通通内部监监督五个五五：五五目标标、五五原则则、五五要素素、五五部委委发布布共五五十条条内部控控制应应用指指引1．组织织架构构及权权责分分配（（治理理结构构、机机构设设置、、权责责分配配、内内部审审计、、总分分公司司等内内容））2．母子子公司司（母母子公公司治治理结结构下下母公公司对对子公公司的的控制制问题题）3．安全全环保保与社社会责责任（（理念念、制制度、、投入入、管管理、、检查查等内内容））4．人力力资源源管理理（扩扩充原原内容容，对对人力力资源源进行行全方方位、、全过过程控控制））5．货币币资金金（扩扩充内内容，，不局局限于于收付付程序序的审审批，，对资资金管管理中中的高高风险险问题题进行行提示示）6．采购购与销销售（（购销销高风风险业业务环环节控控制，，对以以下各各业务务与事事项的的控制制相似似）7．工程程及实实物资资产8．研发发及无无形资资产9．筹资资10．对外外投资资11．运营营管理理（生生产经经营过过程控控制））12．信用用管理理（授授信管管理问问题，，包括括对往往来客客户、、分子子公司司等的的授信信政策策和管管理等等）13．预算算管理理14．担保保与投投保15．合同同协议议与法法律事事务16．重组与并购购17．关联交易18．内部报告与与信息系统（（侧重内部报报告机制建设设和信息系统统安全控制，，包括反舞弊弊问题等）19．对外报告（（含信息披露露）20．银行业务（（含信托业务务）21．保险业务22．证券业务（（含基金业务务）应用指引项目目构成（征求求意见稿）内部控制评价价指引内部控制评价价，是指由企企业董事会和和管理层实施施的，对企业业内部控制有有效性进行评评价，形成评评价结论，出出具评价报告告的过程。内内部控制有效效性是指企业业建立与实施施内部控制能能够为控制目目标的实现提提供合理的保保证。企业实施内部部控制评价，，包括对内部部控制设计有有效性和运行行有效性的评评价。信息系统的有有效性评价包包括信息系统统一般控制评评价和信息系系统应用控制制评价。企业集团对被被评价单位内内部控制的有有效性的评价价。内部控制评价价的内容和标标准内部控制评价价工作方案内部控制评价价工作程序内部控制评估估和测试的方方法内部控制有效效性相关的证证据内部控制有效效性相关的判判断内部控制评价价证据保存内部控制评价价证据报告内部控制评价价的程序和方方法内部控制缺陷陷分类（一般般可分为设计计缺陷和运行行缺陷）内部控制缺陷陷判的断则内部控制缺陷陷判的整改年度内部控制制评价报告内部控制缺陷陷认定和评价价报告总则适用范围、概概念、基本原原则、评价组组织内部控制鉴证证指引企业内部控制制鉴证，是指指会计师事务务所接受委托托，对企业与与财务报告相相关的内部控控制的有效性性进行鉴证，，并发表鉴证证意见。企业内部控制制鉴证指引是是注册会计师师执行企业内内部控制(以下简称内部部控制)鉴证业务的业业务规范。制定鉴证计划划实施鉴证工作作评价控制缺陷陷评价控制缺陷陷完成鉴证工作作鉴证报告工作底稿总则国资委风险管管理指引目的：明确要求中央央企业要重视视和开展全面面风险管理；；明确什么是全全面风险管理理；指导企业如何何开展全面风风险管理工作作。主要内容：第一章总则则第二章风险险管理初始信信息第三章风险险评估第四章风险险管理策略第五章风险险管理解决方方案第六章风险险管理的监督督与改进第七章风险险管理组织体体系第八章风险险管理信息系系统第九章风险险管理文化第十章附则则风险管理文化化全面风险管理理体系风险管理基本本流程一个流程一个体系一种文化全面风险管理理框架全面风险的目目标五个目标五个目标风险控制在目目标承受范围围内确保与股东的的财务信息沟沟通确保经营活动动的效率与效效果重大风险的危危机处理合法合规目录内控与风险管管理基础理论论内控与风险管管理实务框架架内控与风险管管理案例解析析一、企业内控控与风险管理理需求简析需求价值障碍动力观念企业内控与风风险管理观念念的转变低层次/经营营层次。风险险监控是内部部审计人员的的职能。风险是一个需需要控制的负负面因素。风险管理在企企业各部分个个别展开风险管理的责责任被委派到到低层次的人人员风险的衡量是是主观的无组织以及杂杂乱的风险管管理职能注重操作董事会关注是CEO的工作(也是董事会的监管管)风险其实是一一个机会在整个企业范范围内进行一一体化的风险险管理风险管理的责责任由高级和和部门管理人人员承担风险的数化风险管理被纳纳入所有企业业管理系统内控与风险管管理的三大动动力管控需要环境变化法规要求企业国际：COSO、SOX等国内：企业内内控规范、指指引等全球经济一体体化全球经济危机机提高战略执行行力的需要强化企业（集集团）管理控控制内控与风险管管理的三大需需求公司层面：流程层面：将内部控制嵌嵌入管理流程程，实现管理理和业务过程程的内部控制制。法规层面：建立和遵从内内控制度的相相关记录与报报告。建立公司内控控与风险管理理环境。监控内控与风风险管理体系系的运行。违规防范降低认证成本本风险管理实现稳健经营营内部控制强化战略执行行三大需求是企企业的普遍需需求；其中内部控制制是各类企业业的基本需求求；上市类公司及及国资委企业业出于法规的的要求对风险险管理有较高高要求；金融类公司出出于国际、国国内法规要求求对违规防范范（合规管理理）有更高要要求。内控与风险管管理的三大价价值回归和谐稳健成长法规遵从以客户为导向向，优化重组组流程，确保保业务流程协协调一致、高高效运行；引入风险意识识，将内部控控制嵌入企业业日常管理与与业务流程中中；以战略为目标标，整合优化化流程，实现现企业战略执执行与内部运运营的和谐。。以战略为导向向，纳入风险险管理意识，，建立企业内内控与风险管管理环境；以内控体系为为基础，建立立全面的风险险监控体系；；以风险预警为为手段，全面面监控企业战战略风险，确确保企业稳健健成长。以相关政策法法规为指南，，建立内控与与风险管理体体系；以内控与风险险管理体系为为保障，确保保企业运行符符合相关政策策法规要求；；以内控与风险险管理体系的的合理设计与与有效运行为为基础，履行行法规要求的的记录与报告告责任。内控与风险管管理的三大障障碍缺乏良好的控控制环境法人治理结构构不健全，内内部控制的外外部约束较弱弱；公司治理结构构中责任不到到位；缺乏绩效考核核对内部控制制与风险管理理的引导机制制高管层缺乏自自主控制意识识没有形成重视视风险的控制制文化缺乏内部控制制方法理论缺乏理论指导导，以最佳实实践为参考，，注重对事件件本身的控制制，忽视对责责任人的行为为尤其是高管管层行为的控控制；没有完善的行行权、职责、、反馈、改进进规范；把内控看成一一套制度，而而不是过程，，缺乏动态理理念。崇尚经验式管管理对管理的有效效性和制度的的适当性缺乏乏评价标准制度拟定部门门从自身利益益考虑，造成成跨部门流程程断裂或交叉叉对重要的职责责与权限划分分有较大的随随意性，重权权力划分，轻轻责任归属缺乏系统的风风险评估方法法和工具缺乏定期反馈馈和修正机制制就内部控制建建设而言，目目前国企最缺缺乏的是制度度化的风险评评估以及科学学的风险应对对策略。内部控制环境境是内部控制制是否有效的的关键因素。。内控方法论应应在行为管理理学理论基础础上创新发展展二、内控与风风险管理方案案模型信息化平台建立内控与风险管理基础环境风险评估识别•定位•衡量评价内部控制流程设计/实施内部控制流程监控监控•持续改善制定风险管理策略•回避•分担•降低•承担信息与沟通设定目标1、内部环境基基本框架管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会一个基础三三道防线一一种文化企业风险管理理文化OECD公司治理结构原则保护股东权利平等对待股东利害相关者的作用及时准确地披露信息董事会的责任一个基础：公公司治理结构构狭义的公司治治理是指一组组联结并规范范公司股东、、董事会、经经理人之间责责、权、利关关系的制度安安排。广义上，公司司治理还包括括公司与其他他利益相关者者（Stakeholder，如员工、客客户、供应商商、债权人和和社区等）之之间的关系，，以及有关的的法律、法规规和上市规则则等。公司治理提供供了对风险由由上而下的监监控与管理。。近年多个国家家都订立了公公司治理的最最佳守则：美国：纽约证证交所最佳治治理守则英国：Cadbury/HampelReport、TheCombinedCode加拿大：DeyReportOECDReport这些最佳守则则均清楚指出出建立风险管管理是董事会会及管理层的的责任公司治理结构构的内控职责责企业应当根据据国家有关法法律法规和企企业章程，建建立规范的公公司治理结构构和议事规则则，明确决策策、执行、监监督等方面的的职责权限，，形成科学有有效的职责分分工和制衡机机制。股东（大）会会董事会经理层监事会享有法律律法规和和企业章章程规定定的合法法权利，，依法行行使企业业经营方方针、筹筹资、投投资、利利润分配配等重大大事项的的表决权权。对股东（（大）会会负责，，依法行行使企业业的经营营决策权权。负责风险险与内控控建立健健全和有有效实施施。负责组织织实施股股东（大大）会、、董事会会决议事事项，主主持企业业的生产产经营管管理工作作。负责组织织领导企企业内控控与风险险管理的的日常运运行。对股东（（大）会会负责，，监督企企业董事事、经理理和其他他高级管管理人员员依法履履行职责责。对董事会会建立与与实施内内控与风风险管理理进行监监督。三道防线线：风险险管理组组织体系系业务单位位包含了了企业大大部分的的资产和和业务，，它们在在日常工工作中面面对各类类的风险险，是企企业的前前线企业必须须把风险险管理的的手段和和内控程程序融入入到业务务单位的的工作与与流程中中，才能能建立好好防范风风险的第第一道防防线第二道防防线是风风险管理理委员会会风险管理理部职责责包括：：编制规章章制度对各业务务单位的的风险进进行组合合管理度量风险险和评估估风险的的界限建立风险险信息系系统和预预警系统统、厘厘定关键键风险指指标负责风险险信息披披露、沟沟通、协协调员工工培训和和学习的的工作按风险与与回报的的分析，，为各业业务单位位分配经经济资本本金第三道防防线涉及及一个独独立于业业务单位位的部门门，监控控企业内内控和其其他企业业关心的的问题。。内部审计计的三大大功能：：财务监督督，包括括财务帐帐的可用用性、内内部管理理和制度度的执行行。经营诊断断，包括括管理审审计以及及效率和和效益审审计、检检查和诊诊断经营营和管理理过程中中的偏差差和失误误。咨询顾问问，包括括企业风风险管理理和发展展策略方方面的咨咨询、调调查领导导关心的的热点问问题和管管理薄弱弱环节。。风险业务单位位防线第二道防防线第一道防防线第三道防防线风险管理理单位防防线内审单位位防线风险管理理组织体体系及其其职责内容董事会风险管理委员会总经理风险管理专职部门其他职能部门监督部门工作报告审议工作报告在董事会领导下，审议并提交风险管理各项方案、报告主持全面风险管理日常工作提出风险管理工作报告执行风险管理基本流程和制度规范。负责本部门工作。开展监督评价，出具评价报告风险策略确定风险管理总体目标和策略提出风险管理策略风险评估批准重大风险评估报告研究提出跨部门重大风险评估报告控制决策重大风险控制决策研究提出跨部门重大风险管理方案监督评价批准监督评价报告负责有效性评估提出改进方案组织机构批准组织协调日常工作2、设定目目标：企业战略略经营架架构图战略形成成外部环境境分析客户满意意程度主要成功功因素风险评估估理想及使使命确定定战略定位位战略改进进评估和控控制特定战略略执行经营计划划内部因素素分析行业/市场竞争争分析全球最佳佳借鉴诊断成文执行评估SWOT分析——《中国重点点国有企企业领导导人员培培训-企业变革革框架》安达信公公司企业业咨询部部施能能自二二ＯＯ一一年十月月十九日日核心价值值观行为规范范/法人治理理结构运营管理理战略管理理愿景企业文化化中国管理理模式金金字塔愿景指标标化(量化、非非量化指指标)，不再是是一句口口号愿景指标标与企业业的财务务目标、、盈利、、成长及及股东价价值有关关；愿景指标标逐步分分解为下下面的四四个维度度的指标标，这些些指标最最终在愿愿景指标标得到反反映衡量战略略的具体体指标和和标准包含战略略要素、、衡量指指标、战战略举措措战略指标标分解为为运营指指标与行行动方案案将各项战战略指标标转化为为具体的的可以操操作的运运营指标标，每项项战略指指标可以以分解出出多项运运营指标标每项运营营指标包包含衡量量指标、、运营举举措、责责任人建立支撑撑运营的的治理结结构指标标多为管理制制度、激励励制度等管管理类定性性指标为其他四个个方面的宏宏大目标提提供基础架架构，是驱驱使前述指指标获得卓卓越成效的的动力两个主要范范畴：1)企业文化：：企业的灵灵魂；2)核心价值观观：公司学学习、进步步、创新的的动力源泉泉。中国管理模模式的金字字塔指标——《金蝶行业对对标研究战战略》金蝶研究院院吴生平5.1创建持续创创新、勇于于变革、富富有弹性的的企业文化化5.2提高员工满满意度5.3营造激励性性的创新文文化3.1提高技术创创新水平3.2提高对市场场的洞察力力，以市场场引导销售售3.3提高供应链链管理水平平3.4提高客户关关系管理水水平3.5建立并持续续改善紫光光流程和制制度2.1增长战略：：提高市场场份额2.2生产率战略略：提升人人均生产率率2.3成本战略：：降低单产产成本2.4企业和品牌牌战略：提提高经销商商满意度2.5市场盈利战战略1.1企业行业地地位1.2企业盈利指指标1.3企业发展指指标从企业使命引伸而来的的关键成功功因素愿景战略管理运营管理治理结构关键指标体体系企业文化4.1建立有效的的激励机制制4.2建立网络化化的治理结结构4.3健全内部控控制制度4.4加强透明化化管理——《金蝶行业对对标研究战战略》金蝶研究院院吴生平战略目标样样本以公司的产产品、服务务和健康信信息来源来来提高公司司顾客的生生活品质；；以永远求求新为公司司发展的企企业核心愿景使命价值观提升在中国国行业在国际的领领导地位创新团队以人为本追求卓越战略

目标标关键绩效指指标加强政府关系管理健全零售及及采购体系系降低营运成成本与费用用增强员工技技能并加强强团队精神神销售额市场份额品牌知晓度度存货周期采购成本商品结构员工流动率率员工满意度度营运收入利润销售费用占占总收入比比例应收帐款周周转率建立客户关关系管理系系统及电子子商务客户满意度度内容贡献电子商务收收入实现国际化化集团公司司投资收益率率组织及协办办政府活动动的次数提供明确的的目标导向向提供可衡量量的指标以以保证战略略目标的实实现——《中国重点国国有企业领领导人员培培训-企业变革框框架》安达信公司司企业咨询询部施能能自二ＯＯＯ一年十十月十九日日3、风险识别别：企业风风险模型竞争者敏敏感性股股东关系资资金充足足性金金融市场灾难性损失失 独立／／政治法法律 行政政管理行行业环境风险信息技术风风险使用权完完整整性 相关关性可可得到到性基基础设设施财务风险货币利利率流动性结结算再投资信信用双边关系现金转移或或流速改变变廉政风险管理欺诈雇雇员欺欺诈非法行为无无授权权使用商誉誉授权风险领导力权权力限制表表现激励励沟通营运风险客户满意人人力资源源产品开发效效率能力表表现差异循环时间资资源商品定价过过失或损损失符合性业业务中断断健康和安全全 环境境产品或服务务失败商标或产品品名侵蚀流程风险营运价格 合同同投入衡量量结盟 完整整性和精确确性管理报告决策信息风风险财务预算和计划划 完整性性和精确性性会计信息财财务报报告评价税收养养老基金投资评估管管理报报告战略环境检视业业务组组合价值衡量组组织结结构资源分配计计划生命周期企业需要按按照以下的的“企业风险模模型”设计企业内内部管理及及风险控制制体系来全全面减少企企业的经营营风险。阿瑟·安德森公司司对商务风风险的简明明定义——《中国重点国国有企业领领导人员培培训-企业变革框框架》安达信公司司企业咨询询部施能能自二ＯＯＯ一年十十月十九日日环境风险①竞争者②敏感性③股东关系④资本的可获获得性⑤灾难性损失失⑥政策法规风风险⑦行业风险⑧金融市场风风险竞争者令企企业失去原原有的市场场竞争优势势企业无法对对变化的环环境作出有有效及时的的反应直接关系到到企业在资资本市场上上的筹资能能力公司可能无无法筹措到到足够的资资金来支持持自身发展展自然灾害给给企业造成成巨大的损损失由政策法规规的不可测测性及变化化给企业带带来损失由于行业有有关要素变变化，使企企业丧失在在行业中的的优势地位位由于金融市市场的价格格波动给企企业的金融融性资产造造成损失流程风险险-营运风险1、客户满意意由于对客户户服务不够够重视造成成营业额下下降2、人力资源源岗位人员资资格和能力力不够3、产品开发发新产品无法法被市场接接受4、效率企业效率底底下令成本本高居5、能力企业生产能能力过剩或或者不足6、表现差异异企业的运作作水平与国国际先进水水准之间还还存在巨大大的差距7、时间拖延延业务流程耗耗时过多8、存货遗失失由于管理不不当，存货货的遗失给给企业业绩绩造成巨大大的损失9、符合由于员工的的失误，产产品不符合合市场需要要，无法完完成企业预预期目标10、业务中断断由于原材料料供应中断断、有经验验人员流失失等原因造造成的业务务中断流程风险-营运风险（（续）11、采购购企业可能由由于缺乏材材料供应商商的选择余余地造成采采购成本偏偏高12、商品定价价定价的不合合理，由于于市场价格格的波动给给企业带来来可能的损损失13、产品或服服务失败由于某种产产品的失败败给企业的的整个形象象造成影响响14、环境由于企业破破坏环境而而受到第三三方或政府府的罚款15、健康和安安全由于对安全全生产不够够重视造成成员工的伤伤亡给企业业造成不必必要的损失失16、商标被侵侵蚀由于产品或或服务的质质量不佳，，造成企业业名誉受损损……………………流程风险-财务风险12345货币风险利率风险流动性现金转移速速度国际结算6再投资7信用利率波动可可能会增加加企业的借借款费用和和减少投资资项目的产产出资产变现能能力差可能能企业陷入入财务危机机现金的回笼笼速度直接接影响企业业对现金的的使用效率率企业资金在在两国市场场上运作，，可能由于于两个市场场结算时间间不同给企企业的现金金流带来影影响资金在短期期高回报投投资项目结结束回笼后后无法再次次获得相同同回报的投投资机会货币汇率的的波动直接接影响企业业的业绩客户长期拖拖欠货款造造成企业现现金被大量量挤占流程风险-授权风险…业务流程的的负责人没没有领导力力…员工或者不不能尽职或或者做本不不应由其完完成的工作作…管理层超越越职权限制制，滥用权权利…由于表表现评评估制制度不不合理理致使使员工工对工工作缺缺乏兴兴趣…公司内内部上上下以以及横横向沟沟通不不够造造成内内部合合作不不够紧紧密…1、领导导力3、限制制4、表现现激励励5、沟通通2、职权权流程风风险-信息处处理/技技术风风险1.使用权权对数据据使用用的权权限设设置不不够安安全,造成机机密的的泄漏漏2.整合性性由于系系统不不集成成造成成公司司的数数据不不具整整合性性给管管理造造成困困难4.可得到到性急需的的数据据无法法得到到……3.相关性性所收集集的数数据与与管理理所需需的数数据无无关流程风风险-廉政风险1.管理欺欺诈管理层层在会会计报报表中中作假假蒙骗骗总公公司领领导和和投资资者廉政风风险2.雇员欺欺诈雇员私私自挪挪用公公司资资产造造成企企业重重大损损失3.