合规、内控和风险管理

合规、内部控制与风险管理研讨合规、内部控制与风险管理研讨_.8 _.8 北京北京趋势趋势 机遇机遇 挑战挑战1 第一会达全面风险管理专家第一会达全面风险管理专家中国第一家全面风险管理专业服务公司中国第一家全面风险管理专业服务公司服务范围包括全面风险管理体系建设和企业关键风险解决方案，以及风险管理信息系统设计与实服务范围包括全面风险管理体系建设和企业关键风险解决方案，以及风险管理信息系统设计与实施和风险理财服务。施和风险理财服务。参与多个国内外风险管理标准的制定工作参与多个国内外风险管理标准的制定工作与国与国务院国院国资委和国家开委和国家开发银行共同行共同组成成“企企业全面全面风险管理研究管理研究课题组”，参与制定了国，参与制定了国资委委中央企中央企业全面全面风险管理指引管理指引（以下（以下简称称指引指引），），同时负责、中央企业风险管理现状的普同时负责、中央企业风险管理现状的普查、重点企业调研和中央企业的全面风险管理培训工作。查、重点企业调研和中央企业的全面风险管理培训工作。我我们还代表中国国家代表中国国家标准化管理委准化管理委员会会参与了国参与了国际标准准组织(ISO)(ISO)风险管理管理标准的制定。准的制定。专业化团队专业化团队我们拥有我们拥有来自海内外来自海内外长期接受期接受专业训练的、有的、有实战经验的咨的咨询和信息技和信息技术专家家团队，既可以提供，既可以提供企企业整体整体战略和运略和运营层面的全面面的全面风险管理解决方案，又能解决具体的管理解决方案，又能解决具体的风险管理管理问题，是目前国内，是目前国内从事全面从事全面风险管理服管理服务的最大的、的最大的、经验最丰富的最丰富的专业团队。2 研讨大纲研讨大纲第一部分第一部分 趋势趋势1.1.中国的管理提升年中国的管理提升年2.2.全球风险管理的标全球风险管理的标准沿革准沿革3.3.中国企业面临的合中国企业面临的合规要求和参考标准规要求和参考标准4.4.三个重要标准的选三个重要标准的选择择第二部分第二部分 机遇机遇1.1.风险管理，大势所风险管理，大势所趋趋2.2.风险管理的合规要风险管理的合规要求求第三部分第三部分 挑战挑战1.1.合规目标和发展目合规目标和发展目标的平衡标的平衡2.2.工作方案参考工作方案参考3 中国的管理提升年中国的管理提升年1._年_月_日国务院颁布的国务院批转证监会的通知，要求上市公司建立健全公司内部控制制度，有效提高风险防范能力2.上交所出台上市公司内部控制指引3.国资委出台中央企业全面风险管理指引4.财政部牵头，成立内控标准委员会，与证监会、银监会、保监会、发改委、国资委成立内控标准委员会5.中国标准委配合ISO组织,已经立项起草中国风险管理标准4 全球管理标准的沿革全球管理标准的沿革时间机构/国家标准内部控制相关风险管理相关1988年BCBS巴塞尔协议金融业风险金融业风险1992年COSO内部控制整合框架内部控制内部控制1999年澳大利亚ASNZS 4360：1999企业风险企业风险2001年证监会证券公司内部控制指引内部控制内部控制2002年加拿大风险管理：决策者指南加拿大国家标准企业风险企业风险2003年英国AIRMIC/ALARM/IRM标准企业风险企业风险2004年COSO企业风险管理整合框架企业风险企业风险2004年BCBS巴塞尔协议（新巴塞尔协议）金融业风险金融业风险2004年银监会商业银行内部控制评价试行办法内部控制内部控制2005年银监会商业银行市场风险管理指引金融业风险金融业风险2005年香港会计师公会内部控制与风险管理的基本架构企业风险企业风险2006年国资委中央企业全面风险管理指引企业风险企业风险2006年上交所上海证券交易所上市公司内部控制指引企业风险企业风险2007年（未颁布）财政部企业内部控制标准企业风险企业风险5 企业面临的合规要求和参考标准企业面临的合规要求和参考标准 合规要求合规要求 采用标准采用标准 合规制订日期合规制订日期 合规生效日期合规生效日期COSO内部控制整合框架中央企业全面风险管理指引内控与风险管理的基本框架（COSO全面风险管理框架）萨班斯法案(SOA)企业管治常规守则国资委指引_年_年_年_年_月_日_年_月_日_年_月_日COSO全面风险管理框架上市公司内部控制指引_年_年_月_日6 萨班斯法案萨班斯法案法案性质：一项法律，参众两院通过，总统签署法案性质：一项法律，参众两院通过，总统签署机构参与：机构参与：1.执行机构（PCAOB，上市公司会计监督委员会）2.监管机构（SEC，证券交易委员会）对象：对象：1.上市公司的管理层、审计委员会2.会计师事务所、注册会计师3.证券交易所、证券分析师内容内容I.成立PCAOBII.要求加强注册会计师的独立性III.要求加大公司的财务报告责任（302）IV.要求强化财务披露义务（404）V.分析师的利益关系冲突VI.委员会资源与权限VII.研究与报告VIII.公司与欺诈犯罪IX.加强对白领犯罪的惩戒X.公司纳税报表XI.公司欺诈与责任7 302和404 第第404节节 管理层对关于财务报告的内部控制评价管理层对关于财务报告的内部控制评价要求管理层对年度末关于财务报告的内部控制进行评估报告，并发表内控是否有效的报告，同时要求要求管理层对年度末关于财务报告的内部控制进行评估报告，并发表内控是否有效的报告，同时要求外部审计进行验证外部审计进行验证影响：针对公司现有对财务报告有影响的内部控制，绘制和记录其流程、测试其有效性，并对其不足和缺陷进行报告通过PCAOB制定内部控制审计审计准则，保证监管有效执行第第302302节节 公司对财务报告的责任公司对财务报告的责任CEOCEO和和CFOCFO本人必须对财务报表的准确性和内部控制披露的有效性作出书面证明。本人必须对财务报表的准确性和内部控制披露的有效性作出书面证明。影响：在公司各级建立并执行信息披露的控制和财务报告相关控制和程序每季对内部控制的有效性进行评估（评估截止日为财务报告截止日）、测试向审计委员会披露所有明显的不足，重大缺陷以及欺诈披露本季度内财务报告相关控制的重大变动8 404404的核心是披露对财务报告风险的控制能力和水平的核心是披露对财务报告风险的控制能力和水平1.控制框架选择控制框架选择2.评估重大错报的风险（固有风险评估重大错报的风险（固有风险和舞弊风险）和舞弊风险）确定重要科目和披露确定重要科目和披露确定相关财务报告的认定确定相关财务报告的认定确定重大流程确定重大流程确定评估范围确定评估范围3.确定公司层面的控制和具体控制确定公司层面的控制和具体控制控制设计有效性控制设计有效性控制的记录、测试、检查控制的记录、测试、检查4.评估流程的记录、与审计委员会评估流程的记录、与审计委员会的沟通的沟通9 萨班斯法案的执行力分析萨班斯法案的执行力分析SOX404最终规则：最终规则：33-8238补充条款补充条款SEC认为COSO的内部控制整合框架满足公认恰当的控制框架；SEC在发布404条款规则时提到了COSO框架，并参照这一框架给出了“财务报告内部控制”的定义；如果公司采用COSO以外的框架，管理层应当把选择的框架与COSO作图示对照，证明包含了COSO的关键构件。萨班斯-奥克斯利法案内控部分对标准的要求 美国上市公司会计监管委员会美国上市公司会计监管委员会(PCAOB)(PCAOB)发布发布2 2号内部控制审计准则，获得号内部控制审计准则，获得SECSEC批准。批准。PCAOB审计准则第审计准则第2号号。27在实施财务报告内部控制审计的时候，审计师必须获得有关内控设计和运行有效性的证据，这里所指的内控针对的是。28在实施公司财务报告内部控制审计时，审计师必须遵守公认准则以及外业和报告准则。包括：a.计划委托业务；b.评价管理层的评估流程；c.获得对财务报告内部控制的了解；d.测试和评估财务报告内部控制设计的有效性；e.测试和评估财务报告内部控制运行的有效性；f.形成对财务报告内部控制有效性的意见。萨班斯-奥克斯利法案内控部分对审计的要求萨班斯-奥克斯利法案合规合规COSO内部控制-整合框架风险管理标风险管理标准准PCAOB审计准则独立内控审计报告审计要求审计要求核心要求核心要求加大财务报告责任；强化财务披露义务；加重违法行为处罚；10 企业管治常规守则，企业管治报告企业管治常规守则，企业管治报告守则守则l守则性质：上市规则守则性质：上市规则l机构参与：机构参与：监管机构（联交所）l对象：对象：上市公司的董事会、管理层、审计委员会l内容内容结构：守则条文建议最佳常规A.董事B.董事及高级管理人员的薪酬C.问责及核数（内部监控，内部监控，审计委员会）审计委员会）D.董事会权力的转授E.与股东的沟通企业管治报告企业管治报告l强制披露要求：企业管治常规内容对守则的遵守情况的陈述董事证券交易情况披露董事会运转情况详情非执行董事情况董事薪酬情况董事提名会计师薪酬审核委员会情况董事会已经检讨内部控制系统是否有效（预期披露）董事会已经检讨内部控制系统是否有效（预期披露）l建议披露要求高管持股权益股东权利投资者关系内部控制的评估的次数、时间等董事会与管理层分工11 企业管治常规守则对内部监控的要求企业管治常规守则对内部监控的要求原则：董事会确保内控系统的有效性，以保障股东的投资和发行人的资产原则：董事会确保内控系统的有效性，以保障股东的投资和发行人的资产守则条文：守则条文：C.2.1 C.2.1 董事会应最少每年检讨一次发行人及其附属公司的内部监控系统是否有效内部监控系统是否有效，并在企业管治报告中向股东汇报已完成有关检讨。有关检讨应涵盖所有重要的监控方面，包括财务监控、运作监控及合规监控以及风险管理功能包括财务监控、运作监控及合规监控以及风险管理功能。建议最佳常规：建议最佳常规：C.2.2 C.2.2 董事会每年检讨的事项应特别包括下列各项：(a)重大风险的性质及严重程度，以及应付业务转变及外在环境转变的能力(b)管理层持续监察风险及内部监控系统的工作范畴及有效性(c)董事会建立对内控及风险管理的有效性进行评估的系统C.2.3 C.2.3 作为企业管治报告的部分内容，有关披露内容也应包括以下事项：(a)重大风险管理的程序(b)任何有助了解发行人风险管理程序及内部监控的额外资料（c）董事会承认对内控有效性的责任（d）检验内控有效性的程序12 守则中涉及的内部监控范围超出了萨班斯的范围守则中涉及的内部监控范围超出了萨班斯的范围1.对内控的范围，包括了财务监控、运营监控、合规监控和风险管理功能。2.守则下发后，香港会计师公会关于内控的解释-内部控制和风险管理基础框架B.2.0 内控系统的要素COSO内控框架B.4.0 风险管理程序COSO风险管理框架内部财务监控财务风险和财务报告风险C.1.4-1.17 内控和风险管理的有效性检讨C.1.18 董事会至少应披露公司识别和评估重大风险的程序C.1.20 董事会可以提供额外资料，帮助投资人了解风险管理程序和内控系统 3、从执行力度方面，缺乏独立监督，有效性相对降低。企业管治常规守则企业管制报告合规合规建议最佳常规内部控制与风险管理的基本框架风险管理标准风险管理标准无相关外部审计要求审计要求审计要求核心要求核心要求规范公司治理结构；保障股东投资及资产；加强管治信息披露；13 指引性质：交易所上市规则指引性质：交易所上市规则机构参与：证监会，上交所机构参与：证监会，上交所对象：对象：在上交所挂牌的A股公司，对深交所挂牌的上市公司也有指导意义内容内容1.要求公司建立健全内部控制制度，保证内控制度的完整性、合理性及实施的有效性。2.要求公司编制内部控制自我评估报告，在年报中披露该报告。3.要求公司披露会计师事务所对该报告的核实评价意见。4.专项风险管理l附属公司的管理；l金融衍生品的交易。上交所上交所上市公司内部控制指引上市公司内部控制指引上交所内部控制指引合规要求合规要求上交所内部控制指引风险管理标风险管理标准准披露内控评价报告会计师出具评价报告审计要求审计要求核心要核心要求求建立健全内控制度；提高风险管理水平；14 上交所上交所内控指引内控指引的强制要求的强制要求强制要求：强制要求：上市公司必须建立内控制度（包括信息管理内控制度、内部会计控制规范、对附属公司的管理控制和金融衍生产品交易的内控），并保证其完整、合理及实施有效。公司必须制定危机管理控制制度。公司应进行定期和不定期的内控检查。应设立专门职能部门负责内控的日常检查监督工作。公司必须制定内控检查监督办法，年度内控检查监督计划，并在年度和半年度结束后向董事会提交内控检查监督工作报告。内控检查监督工作报告中必须据实反映内控缺陷及实施中存在的问题。公司董事会对内控检查监督工作进行指导，并审阅其报告。公司要对检查中发现的问题采取适当的改进措施。公司要及时向董事会报告发现的内控重大缺陷或重大风险。董事会要及时向上交所报告发现的内控重大缺陷或重大风险。经上交所认定，董事会应及时对内控重大缺陷或重大风险发布公告。公司应在公告中说明内控出现缺陷的环节、后果、相关责任追究以及拟采取的补救措施。公司必须编制内部控制自我评估报告。公司董事会必须在年报中披露年度内部控制自我评估报告。公司的内部控制自我评估报告必须经会计师事务所审计。审计意见必须在年报中披露。15 上交所上交所内控指引内控指引的非强制要求的非强制要求非强制要求：非强制要求：对于业务环节层面的要求，公司可根据自身所处行业及生产经营特点进行调整。公司专门负责内控日常检查监督工作的职能部门可根据公司自身组织架构和行业特点安排设置。公司董事会可根据公司经营特点，制定内控检查监督工作报告的内容与格式要求。公司对内控检查监督工作的指导和审阅，可由审计委员会负责。公司可将发现的内控缺陷及实施中存在的问题列为各部门绩效考核的重要项目。上交所的非强制要求给企业的内控建设留有空间：上交所的非强制要求给企业的内控建设留有空间：上交所指引中的非强制要求涉及公司执行内部控制的建设和实施中面临的问题。上交所指引对这些问题的建议性要求给企业的内控建设提出发展方向上交所指引中的非强制要求是内控标准制定和实施中的一个过渡。公司内控建设的长远发展应在国际标准的基础上构建全面风险管理体系。16 指引性质：一项政府文件，出资人为企业指引性质：一项政府文件，出资人为企业提供的风险管理指导范本，国资委签署提供的风险管理指导范本，国资委签署机构参与：国资委机构参与：国资委对象：对象：中央企业内容内容1总则2风险管理初始信息3风险评估4风险管理策略5风险管理解决方案6风险管理的监督与改进7风险管理组织体系8风险管理信息系统9风险管理文化10附则国资委国资委中央企业全面风险管理指引中央企业全面风险管理指引中央企业全面风险管理指引指引指引中央企业全面风险管理指引风险管理标准风险管理标准核心要求核心要求l风险控制在目标承受范围内l确保与股东的财务信息沟通l确保经营活动的效率与效果l重大风险的危机处理l合法合规l3年内全面建立风险体系l纳入国资委考核指标 考核要求考核要求17 第四条第四条建立全面风险管理体系建立全面风险管理体系 企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。第五条第五条全面风险管理流程全面风险管理流程 风险管理基本流程包括以下主要工作：(一)收集风险管理初始信息；(二)进行风险评估；(三)制定风险管理策略；(四)提出和实施风险管理解决方案；(五)风险管理的监督与改进。第六条第六条内部控制系统内部控制系统 围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。国资委国资委中央企业全面风险管理指引中央企业全面风险管理指引18 国资委国资委中央企业全面风险管理指引中央企业全面风险管理指引第四十二条第四十二条全面风险管理组织全面风险管理组织 企业应建立健全风险管理组织体系，主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。第五十条第五十条建立审计委员会建立审计委员会 企业应在董事会下设立审计委员会，企业内部审计部门对审计委员会负责。审计委员会和内部审计部门的职责应符合中央企业内部审计管理暂行办法（国资委令第8号）的有关规定。内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价审计报告。第二十六条第二十六条风险管理策略风险管理策略 企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。19 三个重要标准，我们选择谁？三个重要标准，我们选择谁？COSO内部控制整合框架内部控制整合框架COSO(I I)三个目标三个目标控制环境控制环境风险评估风险评估控制活动控制活动信息沟通信息沟通监督监督四个目标四个目标控制环境控制环境目标设置目标设置事件辨识事件辨识风险评估风险评估风险反应风险反应控制活动控制活动信息沟通信息沟通监督监督COSO全面风险管理整体框架全面风险管理整体框架COSO(IIII)国资委企业全面风险管理框架国资委企业全面风险管理框架SASAC框架构成要素框架构成要素风险管理策略风险管理策略风险管理组织体系风险管理组织体系风险管理信息系统风险管理信息系统内部控制内部控制风险理财风险理财风险管理的基本流程风险管理的基本流程风险管理初始信息风险管理初始信息风险评估风险评估制定策略制定策略风险解决方案风险解决方案风险管理的监督与风险管理的监督与改进改进20 n内控方面的标准并无绝对的差异，多为结构的差别。nCOSO内部控制整合框架(COSO I)：系统、完整地定义了内部控制体系，得到普遍认可。nCOSO全面风险管理框架(COSO II)：以COSO内控框架为出发点发展而成，补充的内容侧重在流程，在风险定义和风险构成要素方面存在明显的不足。n国资委指引：把风险管理从构成要素和管理流程两个方面展开，更明确的表述了风险管理的内涵和要求，便于作为一个整体进行架构，逻辑更清晰，范围更广泛。n合规要求并未规定选择何种内控标准，只是建议性的要求。n萨班斯法案：建议选择COSO(I)，如果使用非COSO(I)，需要映射来保证满足要求；n联交所：对风险管理有参考最佳实践的要求，同时提供了内部控制与风险管理的基本框架最为参考，该框架完全参考了COSO(II)。n上交所：参考了COSO(II)和萨班斯的执行力结构，执行的结果会存在很大差异。n国资委：内部合规，三年内推广，落实考核合规要求的目标是企业管理提升要求的最低标准合规要求的目标是企业管理提升要求的最低标准第二部分第二部分 机遇机遇1.1.风险管理，大势所趋风险管理，大势所趋2.2.风险管理的合规要求风险管理的合规要求22 风险管理，大势所趋风险管理，大势所趋n_年，发达国家的大企业中计划实施全面风险管理的企业占20%，正在实施的占35%，而已经建立了完整的风险管理体系的企业只占11%。n_年，建立了完整的全面风险管理体系的企业已经达到了38%，而没有计划实施全面风险管理体系的企业从_年的31%下降到10%。n由此可见目前发达国家的企业已经把建立全面风险管理体系作为获得竞争优势的基本手段。23 合规要求中的风险管理内容合规要求中的风险管理内容n主要针对财务报告风险主要针对财务报告风险职能风险风险管理流程萨班斯法案n要求确定可接受的风险种类及程度n强调董事会、行政管理层及风险管理委员会风险管理职责n目标评估应对监控的风险管理流程企业管制常规守则n确定管理层对财务报告的责任n强调建立和维护内部控制系统（参考COSO内控框架要求）n针对公司重大风险针对公司重大风险风险管理策略风险理财风险信息系统n将风险预警机制纳入现有管理信息系统，并强调适时、相关及可靠的风险报告n涵盖了风险管理的各要素和风险管理的流程，更系统化，可操作性更强n风险量化工具的应用介绍国资委指引n全面风险全面风险第三部分第三部分 挑战挑战1.1.合规目标和发展目标合规目标和发展目标的平衡的平衡2.2.工作方案参考工作方案参考25 企业面临的挑战企业面临的挑战被动合规向主动合规的战略调整被动合规向主动合规的战略调整培养积极的合规文化培养积极的合规文化以以“变变”应应“变变”，合规要求的前瞻性视野，合规要求的前瞻性视野影响行业监管机构的监管要求，引导行业的最佳实践影响行业监管机构的监管要求，引导行业的最佳实践标准的选择标准的选择COSOCOSO全面风险管理框架全面风险管理框架 Vs Vs 国资委国资委指引指引范围的不断，监管机构很难在实现萨班斯法案的执行力范围的不断，监管机构很难在实现萨班斯法案的执行力作为作为1010年后的世界经济龙头，企业需要在中国的管理标准年后的世界经济龙头，企业需要在中国的管理标准解决短期合规目标和发展目标的平衡解决短期合规目标和发展目标的平衡合规要求的外延将逐步扩大合规要求的外延将逐步扩大不同资本市场的合规差异将逐步趋同不同资本市场的合规差异将逐步趋同受限于上市公司投入的资源，鼓励对管理体系有效性的透明披露受限于上市公司投入的资源，鼓励对管理体系有效性的透明披露26 解决合规目标和发展目标的平衡问题解决合规目标和发展目标的平衡问题27 管理提升和合规并举管理提升和合规并举发展的目标发展的目标 在现有的合规管理实践基础上，着手建立风险管理体系，有效管理公司面临的风险，保持企业持续、健康的发展，以达到以下具体目标：n合理保证公司发展战略目标的实现；n防止重大风险的发生，建立重大风险的应对机制，避免经营产生重大波动；n保证股份公司和子（分）公司之间运营的有效协同，保证经营管理体系的有效运转。合规的目标合规的目标 满足资本市场的相关监管要求，此为基本要求。同时，还要兼顾地方国资委执行中央企业全面风险管理指引的要求，成为企业风险管理的典范。基本工作基本工作工作出发点工作出发点合规准本工作合规准本工作28 满足监管基本要求的工作方案参考满足监管基本要求的工作方案参考合规准备工作合规准备工作 侧重在披露材料的准备和保证合规目标实现上，主要包括：n合规要求的差异分析研究，明确国资委指引合规要求的影响n确定完成合规工作内容的利用方案n与监管机构了解内控体系评估的标准n明确国资委指引合规要求对n设计待披露报告结构和内容n合规时间计划和落实方案 基本工作基本工作 包括风险评估和风险管理现状诊断，是满足风险管理披露要求和风险管理体系建设的基础，具体包括：n风险辨识、风险分析和风险评价；n审核现有的制度、流程等，评估公司的风险管理状况，并提出改进方案。工作成果工作成果两项工作都需要有明确的里程碑要求，根据我们的经验和判断，以下方面的成果将有利于合规目标的圆满实现：n明确董事会对内控和风险管理的责任（董事会议事规则）n落实内控和风险管理职责到专业委员会n开展了内控和风险管理的提升工作，管理职责明确n确定了内控和风险管理框架n利用风险自我辨识和评估系统，提高内控评估的效率29 站在风险管理的角度来思考合规问题；国资委全面风险管理的指引提供了很好的思路和方向，建议充分发挥和借鉴；建议下一步开展合规工作利用前期项目的成果，结合国资委和监管机构的合规要求，实现双赢。总结总结 研 讨