资源描述
版权所有 1993-2009 金蝶软件(中国)有限公司金蝶软件(中国)有限公司金蝶软件(中国)有限公司张红文张红文张红文金蝶研究院金蝶研究院金蝶研究院 高级研究员高级研究员高级研究员中注协会员中注协会员中注协会员 高级会计师高级会计师高级会计师EmailEmailEmail:回归和谐 稳健成长内控和风险管理咨询方法论和案例 金蝶1 1P2简况:张红文,高级会计师、中国注册会计师协会会员。现任:金蝶研究院高级研究员,从事集团财务管理模式研究;历任规划部门经理负责规划了金蝶K/3及EAS集团财务管理软件;历任产品市场部门经理为招商局、中金岭南等数十家大型、超大型集团企业财务管理信息化提供过专业服务。曾任:公司财会部长、科长等职,服务于江西省医药集团、广东科龙集团,从事财务管理实务工作十余年。著述:出版个人著作集团财务管理新思维 讲师简介简况:张红文,高级会计师、中国注册会计师协会会员。2 2P3内控与风险管理基础理论内控与风险管理实务框架内控与风险管理案例解析目录内控与风险管理基础理论3 3P419世纪,西方古典经济学家就提出了风险的概念,认为风险是经营活动的副产品,经营者的收入是其在经营活动承担风险的报酬。20年代初,美国经济学家奈特把风险与不确定性作了明确区分,指出风险是可测定的不确定性。认为风险存在着一定的统计规律,奠定了现代保险学的理论基础。80年代初,日本学者武井勋认为风险是特定环境中和特定期间内自然存在的导致经济损失的变化。本定义包括三种要素:第一,风险与不确定性有差异;第二,风险是客观存在的;第三,风险可以被测量。风险的概念:风险是可测定的不确定性具体风险的测定具有主观性与客观性风险的结果有正面与负面两方面的影响,正面可以带来收益,负面可能带来损失三国故事空城计风险的概念19世纪,西方古典经济学家就提出了风险的概念,认为4 4P5荷兰郁金香泡沫英国南海泡沫法国密西西比泡沫n1593年克卢修斯受聘担任荷兰莱顿大学植物园的主管将郁金香带到了荷兰。n1630年,荷兰的一朵郁金香花根售价是今天的76,000美元;n六星期后一位初到荷兰的水手误食一枚价值五万美元的“永远的奥古斯都”的郁金香球茎,n价格回落到每只1美元;n1720年初,为了刺激股票发行,南海公司制造“新闻”、接受投资者分期付款购买新股,股价由129英镑一路狂飚到1000英镑以上,严重背离公司业绩。n1720年7月起,内幕人士与政府官员大举抛售,南海公司股价一落千丈,12月跌至每股124英镑,南海泡沫破灭。n1719年7月25日,约翰劳的印度公司取得了皇家造币厂的承包权,8月取得农田间接税的征收权。n从1719年5月开始,推动法国股票价格连续上升了13个月,股票价格从500里弗尔涨到一万多里弗尔,涨幅超过了20倍。n从1720年5月法国股市开始崩溃,连续下跌13个月,跌幅为95%。荷兰:法庭就淹没在郁金香的官司之中荷兰:法庭就淹没在郁金香的官司之中,政府护盘未果政府护盘未果,强行终止所有合同强行终止所有合同,最最终所有的终所有的“苦果苦果”只能由投机者自己咽下。只能由投机者自己咽下。法国:政府参与其中法国:政府参与其中,信用严重受创信用严重受创;百姓卷入其中蒙受损失,投资信心受创。百姓卷入其中蒙受损失,投资信心受创。英国:不知情的投资人陷入悲惨世界,损失惨重的还有英国经济和政府信用。英国:不知情的投资人陷入悲惨世界,损失惨重的还有英国经济和政府信用。史上著名的三大泡沫事件荷兰郁金香泡沫英国南海泡沫法国密西西比5 5P6 以提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有效的内部牵制以便使各项业务能完整正确地经过规定的处理程序,而在这规定的处理程序中,内部牵制机能永远是一个不可缺少的组成部分。柯氏会计辞典1234两个假设三个构成要素四项基本职能五种不相容职务n两个或两个以上的人或部门无意识地犯同样的错误机会较少;n两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。nL.R.Dicksee最早于1905年提出内部牵制(Internal Check)时认为,内部牵制由三个要素构成:职责分工;会计记录;人员轮换。实物牵制如钥匙交两个以上的持有,物理牵制如银库大门按非正确手续操作就会报警、分权牵制每项业务由不同的人或部门去执行、簿记牵制如明细帐与总帐定期核对。授权批准、业务经办、会计记录、财产保管、稽核。内部牵制 以提供有效的组织和经营,并防止错误和其他非法6 6P7n“保护公司现金和其保护公司现金和其他资产,检查薄记事务他资产,检查薄记事务的准确性,而在公司内的准确性,而在公司内部采用的手段和方法部采用的手段和方法”1936年AICPA的定义n内部控制包括组织的内部控制包括组织的计划和企业为了保护资计划和企业为了保护资产,检查会计数据的准产,检查会计数据的准确性和可靠性,提高经确性和可靠性,提高经营效率,以及促使遵循营效率,以及促使遵循既定的管理方针等所采既定的管理方针等所采用的所有方法和措施。用的所有方法和措施。1949年AICPA的定义n吉姆斯吉姆斯 D D 威廉森在威廉森在现代主计长手册现代主计长手册第五第五版中指出:版中指出:“为了合理地为了合理地保障企业特定目标的实现,保障企业特定目标的实现,企业管理当局制定了许多企业管理当局制定了许多政策和程序。这个政策和政策和程序。这个政策和程序集合就是内部控制制程序集合就是内部控制制度。度。”现代主计长手册1953年10月,AICPA把内部控制分为会计控制和管理控制n会计控制会计控制“由组织计划和所有保护资由组织计划和所有保护资产、保护会计记录可靠性或与此相关的产、保护会计记录可靠性或与此相关的方法和程序构成。方法和程序构成。n包括:授权与批准制度;记账、编制财包括:授权与批准制度;记账、编制财务报表、保管财务资产等职务的分离;务报表、保管财务资产等职务的分离;财产的实物控制;内部审计等;财产的实物控制;内部审计等;n管理控制管理控制“由组织计划和所有为提高由组织计划和所有为提高经营效率、保证管理部门所制定的各项经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接相关的方政策得到贯彻执行或与此直接相关的方法和程序构成。法和程序构成。n通常只与财务记录发生间接的关系,包通常只与财务记录发生间接的关系,包括统计分析、时动分析、经营报告、雇括统计分析、时动分析、经营报告、雇员培训计划和质量控制等。员培训计划和质量控制等。内部控制“保护公司现金和其他资产,检查薄记事务的准确性,而在7 7P8 内部控制结构是指为了对实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体,包括控制环境、会计系统及控制程序三个部分。1988年美国审计准则委员会第55号审计准则公告控制环境控制环境会计系统会计系统控制程序控制程序 控制环境是对企业控制的建立和实施有重大影响的一组因素的统称。它们包括:n管理哲学和经营风格;n组织结构;n董事会的职能;n授权和分配责任的方式n管理控制方法;n内部审计;n人事政策和实务;n外部影响。会计系统是企业为了汇总、分析、分类、记录和报告企业交易,并保持对相关资产与负债而建立的方法和记录。一个的效的会计系统应能做到以下几点:n确认并记录所有真实的交易;n及时且充分详细地描述交易,以便在财务报表上对交易作恰当的分类;n计量交易的价值,以便在财务报表 上记录其恰当的货币金额;n确定交易发生的期间,以便将交易记录在适当的会计期间;n在财务报表中恰当地表达的披露交易及相关事项。控制程序同其他两个要素一样,也是为了合理保证公司目标的实现而建立的政策和程序,它既可以单独应用,也可以融合于控制环境或会计系统的特定组成部分。控制程序主要包括:n恰当授权;n职责分离n凭证和记录;n按近控制;n独立检查。内部控制结构 内部控制结构是指为了对实现特定公司目标提供8 8P91985年,由AICPA、IIA、FEI、AAA、IMA等共同发起成立了“全国舞弊性财务报告委员会”(即Treadway委员会)。两年后,根据该会的建议,其赞助机构又成立了专门研究内部控制问题的组织,即COSO委员会。COSO的目的是制定一个服务于公司、独立公共会计师、立法者和监管部门需要的内部控制定义,为公司评价其内部控制系统的有效性提供一个参照标准的广泛框架。1992年,COSO发布了内部控制整合框架“内部控制是由董事会、管理当局和其他职员实施(effect)的一个过程(process),旨在为下列各类目标的实现提供合理保证:经营效果和效率;财务报告的可靠性;遵循适用的法律和法规”。“将对内部控制的不同概念整合到一个框架中,从而达到对内部控制的共识,确定控制的构成要素”;试图“建立一个适用于各方需求的通用的定义;提供一个标准,无论规模大小、公众还是私人的、盈利性的还是非盈利性的业务和企业,均可以参照该标准评估他们的控制系统并决定如何改进”;从而“帮助公司和企业的管理层更好地控制组织的活动”。1994年COSO委员会提出对外报告的修改篇,扩大了内部控制涵盖范围,增加了与保障资产安全有关的控制,得到了美国审计署(GeneralAccountingOffice,GAO)的认可。;“保护资产防止未经授权的取得、使用或处置的控制是一个过程,它是由组织的董事会、管理层及其他人员实现的,用来为防止或及时发现那些对财务报告有重大影响的未经授权取得、使用或处置资产的行为提供合理保证的”。内部控制整合框架1985年,由AICPA、IIA、FEI、A9 9P10监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1COSO内部控制整合框架:三目标、五要素内部控制整合框架监控信息和沟通控制活动风险评估控制环境营运财1010P112000上世纪末本世纪初07年开始,全球经济因“次贷危机”这座冰山彻底改变了前进的航程。n贝尔斯登破产n两房面临破产困境n雷曼兄弟倒闭、美林被收购nAIG寻求政府救助n高盛、摩根士丹利无奈转寻商业银行兼并n“金融海啸”波及欧洲,影响全球。1997年6月开始,一场金融危机在亚洲爆发,打破了亚洲经济急速发展的景象,亚洲一些经济大国的经济开始萧条。n1997年7月7日,泰国宣布放弃固定汇率制,实行浮动汇率制,引发了一场遍及东南亚的金融风暴。n1998年初,印尼金融风暴再起。n1998年8月初,美国股市动荡、日元汇率下跌,国际炒家对香港发动新一轮进攻。世界之交的挑战2000上世纪末本世纪初07年开始,全球经济因1111P122000年美国最大的石油和天然气企业当年的营业收入超过1000亿美元雇佣员工2万人美国财富500强第七名2001年末宣布第三季度6.4亿美元的亏损隐瞒了5亿美元的债务1997年以来虚报利润5.8亿美元股价由年初80美元跌至年末80美分此前10个月董事及高管红利3.2亿分析调查安然的董事会及审计委员会均采取不干预(“hands-off”)监控政策事件发生之后,部分董事表示不太了解安然的财务状况、期货及期权的业务安然重视短期的业绩指标安然管理高层常常藐视或推翻公司制定的内控制度 前车之鉴:安然破产2000年1212P132001年美国第二大电信公司美国财富500强中排名前l00位2002年世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法在1998年至2002年期间,虚报利润110亿美元。股价从最高的96美元暴跌至90美分年末申请破产保护世通的4名主管(包括公司的CEO和CFO)承认串谋讹诈,被联邦法院刑事起诉。调查发现世通的董事会持续赋予公司的CEO(Bernard Ebbers)绝对的权力,让他一人独揽大权美国证监会的调查报告指出:世通完全没有制衡机制世通的董事会并没有负起监督管理层的责任世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金美国世通公司前CEO埃贝斯出庭受审 前车之鉴:世通倒闭2001年美国世通公司前CEO埃贝斯出庭受1313P14英国巴林银行:20世纪90年代前英国最大的银行之一,有超过200年的历史。19921994年期间,巴林银行新加坡分行总经理里森(Nick Lesson)从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动,累积亏损超过10亿美元,导致巴林银行于1995年2月破产,最终被荷兰ING收购。n调查发现n巴林银行的高层对里森在新加坡的业务并不了解n高层对财务报告不重视n缺乏职责划分的机制,里森身兼巴林新加坡分行的交易员和结算员。里森在自传中说:里森在自传中说:“有一群人本来可以揭穿并阻止我的把戏,但他有一群人本来可以揭穿并阻止我的把戏,但他们没有这么做。我不知道他们在监督上的疏忽与罪犯的疏忽之间的界限何在,们没有这么做。我不知道他们在监督上的疏忽与罪犯的疏忽之间的界限何在,也不清楚他们是否对我负有什么责任。也不清楚他们是否对我负有什么责任。”前车之鉴:巴林破产英国巴林银行:20世纪90年代前英国最大的1414P15前车之鉴:金融海啸中的五大投行1515P162001年,COSO委托普华开发一个企业管理层评价和改进企业风险管理的框架;2003年,COSO发布企业风险管理框架(草稿);2004年9月,COSO正式发布企业风险管理整合框架。企业风险管理是“一个过程,它由一个主体的董事会、管理当局和其他人员实现(effect)的,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,为主体目标的实现提供合理保证”。内部控制已经包含在企业风险管理当中,而且是企业风险管理的一个组成部分,企业风险管理比内部控制宽泛,是在内部控制的基础上的拓展和精心设计,以形成一个更加充分关注风险的更“健壮”的概念体系。COSO不打算、也的确没有用企业风险管理框架取代内部控制框架,而是将内部控制框架纳入其中,公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要,还可以借此转向一个更加全面的风险管理过程。企业风险管理整合框架2001年,COSO委托普华开发一个企业1616P17目标:从各种角度来考虑因素:从相联的各种过程来考虑地点:从组织的各个层次考虑与内部控制整合框架的差异与联系:n从二者的框架结构看,ERM增加了战略目标;增加了目标设定,事件识别和风险对策三个要素。n从二者的实质内容看n一是内部控制仅是管理的一项职能,而全面风险管理贯穿于管理过程的各个方面;n二是全面风险管理框架涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险,包括风险和机会;而内部控制框架没有区分风险和机会;n三是由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,在风险度量的基础上有利于企业的发展战略与风险偏好相一致,增长、风险与回报相联系,进行经济资源分配及利用风险信息支持业务前台决策流程等,从而帮助董事会和高级管理层实现全面风险管理的四项目标。n全面风险管理涵盖了内部控制。企业风险管理整合框架目标:从各种角度来考虑因素:从相联的各种1717P18SOX法案302节“公司对财务报告的责任”签字官员(A)对建立及保持内部控制负责;(B)设计了所需的内部控制,以保证这些官员能知道该公司及其纳入合并报表的子公司的所有重大信息,尤其是报告期内的重大信息;(C)评价公司的内部控制在签署报告前90天内的有效性;(D)在该定期报告中发布他们上述评价的结论。签字官员已向公司的审计师及董事会下属的审计委员会(或担任同等职务的人员)披露了如下内容:(A)内部控制的设计或运行中,对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷。并向公司的审计师指出内部控制的重大缺陷。(B)在内部控制中担任重要职位的人员或其他雇员的欺诈行为,不论行为的影响是否重大。签字官员应在报告中指明在他们对内部控制评价后,内部控制是否发生了重大变化,或是其他可能对内部控制产生重要影响的因素,包括对内部控制的重大缺陷或重要缺点的更正措施。美国萨班斯法案SOX法案302节“公司对财务报告的责任”1818P19SOX法案404节“管理层对内部控制的评价”(a)内部控制方面的要求SEC应当相应的规定,要求按1934年证券交易法第13节(a)或15节(d)编制的年度报告中包括内部控制报告,包括:(1)强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;(2)发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价;(b)内部控制评价报告对于本节(a)中要求的管理层对内部控制的评价,担任公司年报审计的会计公司应当对其进行测试和评价,并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。内部控制评价、审计公司管理层对财务报告内部控制有效性的评价注册会计师对财务报告内部控制的审计注册会计师的审计报告对内部控制有效性的审计意见内部控制的对外报告内部控制的对内报告内部控制报告浙江工商大学张宜霞浙江工商大学张宜霞美英上市公司内部控制评价与报告体系的比较研究美英上市公司内部控制评价与报告体系的比较研究 美国萨班斯法案SOX法案404节“管理层对内部控制的评价”1919P202003年6月,美国SEC发布“财务报告内部控制”;一个过程,它是由公司首席执行官和首席财务官或履行类似职能的人设计的或在其监督之下的,并由公司董事会、管理层和其他人员实施的,为财务报告的可靠性和按照公认会计原则编制对外财务报表提供合理保证;财务报告内部控制包括的政策和程序要:与保持适当详尽、准确和公允反映公司资产的交易和处置的记录相关;合理保证对交易进行了必要的记录以容许按照公认会计原则编制财务报表,以及公司的收入和支出只根据公司管理层和董事的授权进行;合理保证防止或及时发现未经批准取得、使用或处置那些可能会对财务报表产生重要影响的公司资产。美国SEC“财务报告内部控制”2003年6月,美国SEC发2020P21n2004年发布标题为与财务报表审计相关的财务报告内部控制审计n管理当局的责任:n对公司财务会计报告内部控制的有效性负责;n使用适当的控制标准(如COSO标准);n评价公司财务会计报告内部控制的有效性;n提供足够的证据、包括记录编制来支持评价,以及在公司最近的财政年度末,就公司财务会计报告内部控制的有效性出具书面评价。n评价内控有效性的程序:n确定需要测试的控制措施;n评价控制失败导致财务报表错报的可能性、错报的重要性;n评价控制措施的设计和实施有效性;n确定已识别的内控缺失是否构成重要缺失或实质性薄弱;n将发现传达给相关方;n对发现是否支持其评价进行评估。nPCAOB2号准则n2007年6月发布审计准则五号,对缺陷、重大缺陷和实质性缺陷的定义在二号准则的基础上进行了修改和说明。n缺陷n指当控制的设计或运行不允许管理层或雇员实施他们的职能来及时防止错报的发生,从而发生了内部控制缺陷。缺陷分为设计缺陷和运行缺陷。n重大缺陷n内部控制对于财务报告的缺陷或缺陷的组合,没有实质性缺陷那么来重,但是重要到能够吸引对于财务报告负责检查的人员的注意力。n实质性缺陷n财务报告内部控帽方面的一项缺陷,或者一组缺陷的组合,使得在合理的可能性水平上,公司年度或者中期的财务报告的实质性错报无法及时被阻止或察觉到。nPCAOB5号准则美国PCAOB审计准则2004年发布标题为与财务报表审计相关2121P22内部控制制度内部控制制度AICPA把内控划会计控制和组织控制。-建立内控-数据准确一致-内控可靠性内部牵制内部牵制依据串通舞弊的可能性较小,提出五种不相容职务分离原则,实现实物与簿记牵制。三大目标-经营效果和效率-财务报告的可靠性-遵循适用的法律和法规五大要素-控制环境-风险评估-控制活动-信息沟通-监控(1994年,保护资产)四大目标-战略实现-经营效果和效率-财务报告的可靠性-遵循适用的法律和法规八大要素-内部环境-目标设置-事件识别-风险评估-风险反应-控制活动-信息与沟通-监控内部控制结构内部控制结构AICPA内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序;-控制环境-会计系统-控制程序(三要素)内部控制整合框架内部控制整合框架风险管理整合框架风险管理整合框架19361936年年19881988年年19941994年年20042004年年20022002年:年:SOXSOX法案法案20032003年年6 6月:月:SEC SEC“财务报告内部控制财务报告内部控制”20042004年:年:PCAOB2PCAOB2号准则号准则20072007年年6 6月:月:PCAOBPCAOB5 5号准则号准则国际内控与风险管理趋势内部控制制度AICPA把内控划会计控制2222P23合俊倒闭合俊倒闭中信巨亏中信巨亏三鹿破产三鹿破产更早前的案例n2004年中航油炒作原油期货,巨亏5.5亿美元;n银广夏造假、达尔曼资金黑洞、托普神话、德隆危机n美国金融危机波美国金融危机波及中国实体经济及中国实体经济企业倒闭第一案。企业倒闭第一案。高管高管“不知情的不知情的”澳元澳元累计认购期权合约公允累计认购期权合约公允价值损失约价值损失约186186亿港元。亿港元。三聚氰氨毒害一批婴幼三聚氰氨毒害一批婴幼儿,摧毁了三鹿,也损儿,摧毁了三鹿,也损害了中国乳品行业。害了中国乳品行业。全球经济危机下中国企业的新挑战合俊倒闭中信巨亏三鹿破产更早前2323P24 香港合俊控股集团成立于1996年,香港联交所上市企业,其主力生产基地就是设在樟木头镇的2家工厂,产品70%以上销往美国,包括为全球最大的玩具商美泰公司提供OEM(贴牌加工)业务。n合俊大事记n1995年:胡锦斌接下1700万港元的订单。一年后,合俊集团在东莞成立。n2004年:在合俊开始挺进成人玩具市场。n2006年9月:合俊集团在香港联交所上市,股票代码为02700。n2007年9月:合俊集团买入福建天安矿业股份。n2008年8月,为了缓解资金紧张,合俊以2700万元出售其在清远市佛冈的一块土地。n最近一次合俊公布中期业绩,股东亏损2亿元,每股亏损0.44元,不派中期息。8月15日,危机终于爆发。n2008年10月15日合俊集团旗下两工厂倒闭n约6500名员工失业,事发后,政府将先行垫付2400万元工资。n从影响和知名度来看,这被称为“美国金融危机波及中国实体经济企业倒闭第一案。”前车之鉴:合俊倒闭 香港合俊控股集团成立于1996年,香2424P25中信泰富的前身泰富发展有限公司成立于1985年。1986年通过新景丰公司获得上市地位,同年2月泰富发行2.7亿股新股予中国国际信托投资(香港集团)有限公司1991年泰富正式易名为中信泰富。荣智健称“不知情”遭到质疑 n2008年10月20日中信泰富首告因澳元贬值跌破锁定汇价澳元累计认购期权合约公允价值损失约147亿港元,至今巨额亏损已扩大到186亿港元。n12月2日,中信泰富公开披露的股东通函显示,过去两年中,中信泰富分别与花旗银行香港分行、渣打银行、Rabobank、NATIXIS、瑞信国际、美国银行、巴克莱银行、法国巴黎银行香港分行、摩根士丹利资本服务、汇丰银行、Calyon、德意志银行等13家银行共签下24款外汇累计期权合约。前车之鉴:中信巨亏中信泰富的前身泰富发展有限公司成立于1982525P262008年报月12日官方初步认定:三鹿“问题奶粉”为不法分子在原奶收购中添加三聚氰胺所致 已传唤78人;2008年9月18日,国家工商行政管理总局发出紧急通知,要求各地工商部门对市场上含三聚氰胺的液态奶,立即责令停止销售、下架退市。n2008年9月19日,国家处理三鹿牌婴幼儿配方奶粉事件领导小组召开第二次全体会议,全国各地已退市问题奶粉3215.1吨。n国务院办公厅日发出通知,要求各地区、各部门认真贯彻落实党中央、国务院的决策部署,以对人民群众高度负责的精神,进一步做好婴幼儿奶粉事件处置工作。n2008年12月31日,原董事长受审。n2009年02月13日,三鹿集团正式破产。n2009年03月04日,三元以6.1650亿元拍得三鹿资产。前车之鉴:三鹿倒闭2008年报月12日官方初步认定:三鹿“问2626P27五目标五原则 五要素n全面性原则n重要性原则n制衡性原则n适应性原则n成本效益原则n合法合规n资产安全n财务报告n经营绩效n战略实现七项一般控制措施n不相容职务分离控制n授权审批控制n会计系统控制n财产保护控制n预算控制n运营分析控制n绩效考评控制 n财政部、证监会、审计署、银监会、保监会五部委共同发布财政部、证监会、审计署、银监会、保监会五部委共同发布 n内部环境n风险评估n控制活动n信息与沟通n内部监督五个五:五目标、五原则、五要素、五部委发布共五十条 企业内部控制基本规范五目标五原则五要素全面性原则合法合规七项2727P281组织架构及权责分配(治理结构、机构设置、权责分配、内部审计、总分公司等内容)2母子公司(母子公司治理结构下母公司对子公司的控制问题)3安全环保与社会责任(理念、制度、投入、管理、检查等内容)4人力资源管理(扩充原内容,对人力资源进行全方位、全过程控制)5货币资金(扩充内容,不局限于收付程序的审批,对资金管理中的高风险问题进行提示)6采购与销售(购销高风险业务环节控制,对以下各业务与事项的控制相似)7工程及实物资产8研发及无形资产9筹资10对外投资11运营管理(生产经营过程控制)12信用管理(授信管理问题,包括对往来客户、分子公司等的授信政策和管理等)13预算管理14担保与投保15合同协议与法律事务16重组与并购17关联交易18内部报告与信息系统(侧重内部报告机制建设和信息系统安全控制,包括反舞弊问题等)19对外报告(含信息披露)20银行业务(含信托业务)21保险业务22证券业务(含基金业务)应用指引项目构成(征求意见稿)应用指引项目构成(征求意见稿)内部控制应用指引1组织架构及权责分配(治理结构、机构设置、2828P29内部控制评价,是指由企业董事会和管理层实施的,对企业内部控制内部控制评价,是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。内部控制有效性有效性进行评价,形成评价结论,出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。n企业实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价。n信息系统的有效性评价包括信息系统一般控制评价和信息系统应用控制评价。n企业集团对被评价单位内部控制的有效性的评价。内部控制评价的内容和标准内部控制评价的内容和标准 n内部控制评价工作方案n内部控制评价工作程序n内部控制评估和测试的方法n内部控制有效性相关的证据n内部控制有效性相关的判断n内部控制评价证据保存n内部控制评价证据报告内部控制评价的程序和方法内部控制评价的程序和方法 n内部控制缺陷分类(一般可分为设计缺陷和运行缺陷)n内部控制缺陷判的断则n内部控制缺陷判的整改n年度内部控制评价报告内部控制缺陷认定和评价报告内部控制缺陷认定和评价报告 总则总则适用范围、概念、基本原则、评价组织适用范围、概念、基本原则、评价组织内部控制评价指引内部控制评价,是指由企业董事会和管理层实施的2929P30企业内部控制鉴证,是指会计师事务所接受委托,对企业与财务报告相关的内部控制的有效性进行鉴证,并发表鉴证意见。企业内部控制鉴证指引是注册会计师执行企业内部控制(以下简称内部控制)鉴证业务的业务规范。制定鉴制定鉴制定鉴制定鉴证计划证计划证计划证计划 实施鉴实施鉴实施鉴实施鉴证工作证工作证工作证工作评价控评价控评价控评价控制缺陷制缺陷制缺陷制缺陷评价控评价控评价控评价控制缺陷制缺陷制缺陷制缺陷完成鉴完成鉴完成鉴完成鉴证工作证工作证工作证工作 鉴证鉴证鉴证鉴证报告报告工作工作工作工作底稿底稿总则总则总则总则内部控制鉴证指引企业内部控制鉴证,是指会计师事务所接受委托,3030P31目的:明确要求中央企业要重视和开展全面风险管理;明确什么是全面风险管理;指导企业如何开展全面风险管理工作。主要内容:第一章总则第二章风险管理初始信息第三章风险评估第四章风险管理策略第五章风险管理解决方案第六章风险管理的监督与改进第七章风险管理组织体系第八章风险管理信息系统第九章风险管理文化第十章附则风险管理文化风险管理文化全面风险管理体系全面风险管理体系风险管理基本流程风险管理基本流程一个流程一个流程一个体系一个体系一种文化一种文化全面风险管理框架全面风险管理框架全面风险的目标全面风险的目标五个目标五个目标国资委风险管理指引目的:风险管理文化全面风险管理体系风险管理3131P32内控与风险管理基础理论内控与风险管理实务框架内控与风险管理案例解析目录内控与风险管理基础理论3232P33需求价值障碍动力观念一、企业内控与风险管理需求简析需求价值障碍动力观念3333P34n低层次/经营层次。风险监控是内部审计人员的职能。n风险是一个需要控制的负面因素。n风险管理在企业各部分个别展开n风险管理的责任被委派到低层次的人员n风险的衡量是主观的n无组织以及杂乱的风险管理职能注重注重操作操作董事会关注董事会关注n是CEO的工作(也是董事会的监管)n风险其实是一个机会n在整个企业范围内进行一体化的风险管理n风险管理的责任由高级和部门管理人员承担n风险的数化n风险管理被纳入所有企业管理系统企业内控与风险管理观念的转变低层次/经营层次。风险监控是内部3434P35管控需要管控需要环境变化环境变化法规要求法规要求企业n n国际:国际:COSOCOSO、SOXSOX等等n n国内:企业内控规范、指引等国内:企业内控规范、指引等n n全球经济一体化全球经济一体化n n全球经济危机全球经济危机n n提高战略执行力的需要提高战略执行力的需要n n强化企业(集团)管理控制强化企业(集团)管理控制内控与风险管理的三大动力管控需要环境变化法规要求企业国际:C3535P36公司层面:n流程层面:将内部控制嵌入管理流程,实现管理和业务过程的内部控制。法规层面:建立和遵从内控制度的相关记录与报告。建立公司内控与风险管理环境。监控内控与风险管理体系的运行。n n违规防范违规防范n n降低认证成本降低认证成本n n风险管理风险管理n n实现稳健经营实现稳健经营n n内部控制内部控制n n强化战略执行强化战略执行n n三大需求是企业的普遍需求;三大需求是企业的普遍需求;n n其中内部控制是各类企业的基本需求;其中内部控制是各类企业的基本需求;n n上市类公司及国资委企业出于法规的要求对风险管理有较高要求;上市类公司及国资委企业出于法规的要求对风险管理有较高要求;n n金融类公司出于国际、国内法规要求对违规防范(合规管理)有更高要求。金融类公司出于国际、国内法规要求对违规防范(合规管理)有更高要求。内控与风险管理的三大需求公司层面:流程层面:将内部控制嵌入管3636P37回归和谐稳健成长法规遵从n以客户为导向,优化重组流程,确保业务流程协调一致、高效运行;n引入风险意识,将内部控制嵌入企业日常管理与业务流程中;n以战略为目标,整合优化流程,实现企业战略执行与内部运营的和谐。n以战略为导向,纳入风险管理意识,建立企业内控与风险管理环境;n以内控体系为基础,建立全面的风险监控体系;n以风险预警为手段,全面监控企业战略风险,确保企业稳健成长。n以相关政策法规为指南,建立内控与风险管理体系;n以内控与风险管理体系为保障,确保企业运行符合相关政策法规要求;n以内控与风险管理体系的合理设计与有效运行为基础,履行法规要求的记录与报告责任。内控与风险管理的三大价值回归和谐稳健成长法规遵从以客户为导向3737P38n缺乏良好的控制环境n法人治理结构不健全,内部控制的外部约束较弱;n公司治理结构中责任不到位;n缺乏绩效考核对内部控制与风险管理的引导机制n高管层缺乏自主控制意识n没有形成重视风险的控制文化n缺乏内部控制方法理论n缺乏理论指导,以最佳实践为参考,注重对事件本身的控制,忽视对责任人的行为尤其是高管层行为的控制;n没有完善的行权、职责、反馈、改进规范;n把内控看成一套制度,而不是过程,缺乏动态理念。n崇尚经验式管理n对管理的有效性和制度的适当性缺乏评价标准n制度拟定部门从自身利益考虑,造成跨部门流程断裂或交叉n对重要的职责与权限划分有较大的随意性,重权力划分,轻责任归属n缺乏系统的风险评估方法和工具n缺乏定期反馈和修正机制就内部控制建设而言,目前国企最缺乏的是制度化的风险评估以及科学的风险应对策略。内部控制环境是内部控制是否有效的关键因素。内控方法论应在行为管理学理论基础上创新发展内控与风险管理的三大障碍缺乏良好的控制环境缺乏内部控制方法理3838P39二、内控与风险管理方案模型信息化平台建立内控与风险管理基础环3939P40管理层管理层CEO第第三三道防线道防线第第二二道防线道防线第一道防线第一道防线业务部门业务部门董事会董事会风险管理风险管理内部审计内部审计审计委员会审计委员会风险管理风险管理委员会委员会一个基础 三道防线 一种文化企业风险管理文化企业风险管理文化1、内部环境基本框架管理层第三道防线第二道防线第一道防线业务4040P41nOECDOECD公司治理结构原则公司治理结构原则保护股保护股东权利东权利平等对平等对待股东待股东利害相关利害相关者的作用者的作用及时准及时准确地披确地披露信息露信息董事会董事会的责任的责任狭义的公司治理是指一组联结并规范公司股东、董事会、经理人之间责、权、利关系的制度安排。广义上,公司治理还包括公司与其他利益相关者(Stakeholder,如员工、客户、供应商、债权人和社区等)之间的关系,以及有关的法律、法规和上市规则等。公司治理提供了对风险由上而下的监控与管理。近年多个国家都订立了公司治理的最佳守则:美国:纽约证交所最佳治理守则英国:Cadbury/Hampel Report、The Combined Code加拿大:Dey ReportOECD Report这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任OECD公司治理结构原则保护股东权利平等对待股东利害相关者的4141P42企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。股东(大)会股东(大)会董事会董事会经理层经理层监事会监事会n n享有法律法规和企业章程规定的合法享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。投资、利润分配等重大事项的表决权。n n对股东(大)会负责,依法行使企业对股东(大)会负责,依法行使企业的经营决策权。的经营决策权。n n负责风险与内控建立健全和有效实施。负责风险与内控建立健全和有效实施。负责风险与内控建立健全和有效实施。负责风险与内控建立健全和有效实施。n n负责组织实施股东(大)会、董事负责组织实施股东(大)会、董事会决议事项,主持企业的生产经营管会决议事项,主持企业的生产经营管理工作。理工作。n n负责组织领导企业内控与风险管理负责组织领导企业内控与风险管理负责组织领导企业内控与风险管理负责组织领导企业内控与风险管理的日常运行。的日常运行。的日常运行。的日常运行。n n对股东对股东(大)会负(大)会负责,监督企责,监督企业董事、经业董事、经理和其他高理和其他高级管理人员级管理人员依法履行职依法履行职责。责。n n对董事会对董事会对董事会对董事会建立与实施建立与实施建立与实施建立与实施内控与风险内控与风险内控与风险内控与风险管理进行监管理进行监管理进行监管理进行监督。督。督。督。公司治理结构的内控职责企业应当根据国家有关法律法规和企业章程4242P43n n业务单位包含了企业务单位包含了企业大部分的资产和业业大部分的资产和业务,它们在日常工作务,它们在日常工作中面对各类的风险,中面对各类的风险,是企业的前线是企业的前线n n企业必须把风险管企业必须把风险管理的手段和内控程序理的手段和内控程序融入到业务单位的工融入到业务单位的工作与流程中,才能建作与流程中,才能建立好防范风险的第一立好防范风险的第一道防线道防线n n第二道防线是风险管理委第二道防线是风险管理委员会员会n n风险管理部职责包括:风险管理部职责包括:n n编制规章制度编制规章制度n n对各业务单位的风险进对各业务单位的风险进行组合管理行组合管理n n度量风险和评估风险的度量风险和评估风险的界限界限n n建立风险信息系统和预建立风险信息系统和预警系统警系统 、厘定关键风险、厘定关键风险指标指标n n负责风险信息披露、沟负责风险信息披露、沟通、协调员工培训和学通、协调员工培训和学习的工作习的工作n n按风险与回报的分析,按风险与回报的分析,为各业务单位分配经济为各业务单位分配经济资本金资本金n n第三道防线涉及一个第三道防线涉及一个独立于业务单位的部门,独立于业务单位的部门,监控企业内控和其他企监控企业内控和其他企业关心的问题。业关心的问题。n n内部审计的三大功能:内部审计的三大功能:n n财务监督,包括财财务监督,包括财务帐的可用性、内部务帐的可用性、内部管理和制度的执行。管理和制度的执行。n n经营诊断,包括管经营诊断,包括管理审计以及效率和效理审计以及效率和效益审计、检查和诊断益审计、检查和诊断经营和管理过程中的经营和管理过程中的偏差和失误。偏差和失误。n n咨询顾问,包括企咨询顾问,包括企业风险管理和发展策业风险管理和发展策略方面的咨询、调查略方面的咨询、调查领导关心的热点问题领导关心的热点问题和管理薄弱环节。和管理薄弱环节。风风险险业务单位防线业务单位防线第二道防线第二道防线第一道防线第一道防线第三道防线第三道防线风险管理单位防线风险管理单位防线内审单位防线内审单位防线三道防线:风险管理组织体系业务单位包含了企业大部分的资产和业4343P44内容 董事会 风险管理委员会 总经理 风险管理专职部门其他职能部门 监督部门 工作报告 审议工作报告 在董事会领导下,审议并提交风险管理各项方案、报告 主持全面风险管理日常工作 提出风险管理工作报告 执行风险管理基本流程和制度规范。负责本部门工作。开展监督评价,出具评价报告风险策略 确定风险管理总体目标和策略 提出风险管理策略 风险评估 批准重大风险评估报告 研究提出跨部门重大风险评估报告 控制决策 重大风险控制决策 研究提出跨部门重大风险管理方案 监督评价 批准监督评价报告 负责有效性评估提出改进方案 组织机构 批准 组织协调日常工作 风险管理组织体系及其职责 内容 董事会 风险管理委员会 总经4444P45战略战略形成形成外部环境分析外部环境分析客户满意程度客户满意程度主主要要成成功功因因素素风险评估风险评估理想及使命确定理想及使命确定战略定位战略定位战略改进战略改进评估和控制评估和控制特定战略特定战略执行执行经营计划经营计划内部因素分析内部因素分析行业行业/市场竞争分析市场竞争分析全球最佳借鉴全球最佳借鉴诊断诊断成文成文执行执行评估评估SWOTSWOT分析分析中国重点国有企业领导人员培训-企业变革框架安达信公司企业咨询部 施能自 二一年十月十九日2、设定目标:企业战略经营架构图战略形成外部环境分析客户满意4545P46核心价值观行为规范/法人治理结构运营管理战略管理愿景企业文化中国管理模式金字塔n愿景指标化(量化、非量化指标),不再是一句口号n愿景指标与企业的财务目标、盈利、成长及股东价值有关;n愿景指标逐步分解为下面的四个维度的指标,这些指标最终在愿景指标得到反映n衡量战略的具体指标和标准n包含战略要素、衡量指标、战略举措n战略指标分解为运营指标与行动方案n将各项战略指标转化为具体的可以操作的运营指标,每项战略指标可以分解出多项运营指标n每项运营指标包含衡量指标、运营举措、责任人n建立支撑运营的治理结构指标n多为管理制度、激励制度等管理类定性指标n为其他四个方面的宏大目标提供基础架构,是驱使前述指标获得卓越成效的动力n两个主要范畴:1)企业文化:企业的灵魂;2)核心价值观:公司学习、进步、创新的动力源泉。金蝶行业对标研究战略金蝶行业对标研究战略金蝶研究院吴生平金蝶研究院吴生平核心价值观行为规范/法人治理结构运营管理战略管理愿景企业文化46465.1创建持续创新、勇于变革、富有弹性的企业文化5.2提高员工满意度5.3营造激励性的创新文化3.1提高技术创新水平3.2提高对市场的洞察力,以市场引导销售3.3提高供应链管理水平3.4提高客户关系管理水平3.5建立并持续改善紫光流程和制度2.1增长战略:提高市场份额2.2生产率战略:提升人均生产率2.3成本战略:降低单产成本2.4企业和品牌战略:提高经销商满意度2.5市场盈利战略1.1企业行业地位1.2企业盈利指标1.3企业发展指标从企业使命引伸而来的关键成功因素愿景战略管理运营管理治理结构企业文化4.1建立有效的激励机制4.2建立网络化的治理结构4.3健全内部控制制度4.4加强透明化管理金蝶行业对标研究战略金蝶行业对标研究战略金蝶研究院吴生平金蝶研究院吴生平5.1 创建持续创新、勇于变革、富有弹性的企业文化3.1 提4747P48以公司的产品、服务和健康以公司的产品、服务和健康以公司的产品、服务和健康以公司的产品、服务和健康信息来源来提高公司顾客的信息来源来提高公司顾客的信息来源来提高公司顾客的信息来源来提高公司顾客的生活品质;以永远求新为公生活品质;以永远求新为公生活品质;以永远求新为公生活品质;以永远求新为公司发展的企业核心司发展的企业核心司发展的企业核心司发展的企业核心愿景愿景使命使命价值观价值观提升在中国行业提升在中国行业提升在中国行业提升在中国行业在国际的领导地位在国际的领导地位在国际的领导地位在国际的领导地位创新团队创新团队创新团队创新团队以人为本以人为本以人为本以人为本追求卓越追求卓越追求卓越追求卓越战略战略战略战略目标目标目标目标关键绩关键绩关键绩关键绩效指标效指标效指标效指标加强政府加强政府加强政府加强政府关系管理关系管理关系管理关系管理健全零售及健全零售及健全零售及健全零售及采购体系采购体系采购体系采购体系降低营运成降低营运成降低营运成降低营运成本与费用本与费用本与费用本与费用增强员工技增强员工技增强员工技增强员工技能并加强团能并加强团能并加强团能并加强团队精神队精神队精神队精神n n销售额销售额销售额销售额n n市场份额市场份额市场份额市场份额n n品牌知晓度品牌知晓度品牌知晓度品牌知晓度n n存货周期存货周期存货周期存货周期n n采购成本采购成本采购成本采购成本n n商品结构商品结构商品结构商品结构n n员工流动员工流动员工流动员工流动率率率率n n员工满意员工满意员工满意员工满意度度度度n n营运收入营运收入营运收入营运收入n n利润利润利润利润n n销售费用占销售费用占销售费用占销售费用占总收入比例总收入比例总收入比例总收入比例n n应收帐款周应收帐款周应收帐款周应收帐款周转率转率转率转率建立客户关建立客户关建立客户关建立客户关系管理系统系管理系统系管理系统系管理系统及电子商务及电子商务及电子商务及电子商务n n客户满意客户满意客户满意客户满意度度度度n n内容贡献内容贡献内容贡献内容贡献n n电子商务电子商务电子商务电子商务收入收入收入收入实现国际化实现国际化实现国际化实现国际化集团公司集团公司集团公司集团公司n n投资收益投资收益投资收益投资收益率率率率n n组织及协组织及协组织及协组织及协办政府活办政府活办政府活办政府活动的次数动的次数动的次数动的次数提供明确提供明确提供明确提供明确的目标导的目标导的目标导的目标导向向向向 提供可提供可提供可提供可衡量的衡量的衡量的衡量的指标以指标以指标以指标以保证战保证战保证战保证战略目标略目标略目标略目标的实现的实现的实现的实现中国重点国有企业领导人员培训-企业变革框架安达信公司企业咨询部 施能自 二一年十月十九日战略目标样本以公司的产品、服务和健康信息来源来提高公司顾客的4848P49竞争者竞争者竞争者竞争者敏感性敏感性敏感性敏感性股东关系股东关系股东关系股东关系资金充足性资金充足性资金充足性资金充足性 金融市场金融市场金融市场金融市场灾难性损失灾难性损失灾难性损失灾难性损失独立政治独立政治独立政治独立政治法律法律法律法律行政管理行政管理行政管理行政管理行业行业行业行业环境风险环境风险环境风险环境风险信息技术风险信息技术风险使用权使用权 完整性完整性 相关性相关性 可得到性可得到性 基础设施基础设施财务风险财务风险财务风险财务风险货币货币货币货币利率利率利率利率流动性流动性流动性流动性结算结算结算结算再投资再投资再投资再投资信用信用信用信用双边关系双边关系双边关系双边关系现金转移或流速改变现金转移或流速改变现金转移或流速改变现金转移或流速改变廉政风险廉政风险廉政风险廉政风险管理欺诈管理欺诈管理欺诈管理欺诈雇员欺诈雇员欺诈雇员欺诈雇员欺诈非法行为非法行为非法行为非法行为无授权使用商誉无授权使用商誉无授权使用商誉无授权使用商誉授权风险授权风险授权风险授权风险领导力领导力领导力领导力权力权力权力权力限制限制限制限制 表现激励表现激励表现激励表现激励沟通沟通沟通沟通营运风险营运风险营运风险营运风险客户满意客户满意客户满意客户满意人力资源人力资源人力资源人力资源产品开发产品开发产品开发产品开发效率效率效率效率能力能力能力能力表现差异表现差异表现差异表现差异循环时间循环时间循环时间循环时间资源资源资源资源商品定价商品定价商品定价商品定价过失或损失过失或损失过失或损失过失或损失符合性符合性符合性符合性业务中断业务中断业务中断业务中断健康和安全健康和安全健康和安全健康和安全 环境环境环境环境产品或服务失败产品或服务失败产品或服务失败产品或服务失败 商标或产品名侵蚀商标或产品名侵蚀商标或产品名侵蚀商标或产品名侵蚀流程风险流程风险流程风险流程风险营运营运营运营运价格价格价格价格合同投入衡量合同投入衡量合同投入衡量合同投入衡量结盟结盟结盟结盟完整性和精确性完整性和精确性完整性和精确性完整性和精确性管理报告管理报告管理报告管理报告决策信息决策信息决策信息决策信息风险风险风险风险财务财务财务财务预算和计划预算和计划预算和计划预算和计划 完整性和精确性完整性和精确性完整性和精确性完整性和精确性会计信息会计信息会计信息会计信息财务报告评价财务报告评价财务报告评价财务报告评价税收税收税收税收养老基金养老基金养老基金养老基金投资评估投资评估投资评估投资评估管理报告管理报告管理报告管理报告 战略战略战略战略环境检视环境检视环境检视环境检视业务组合业务组合业务组合业务组合价值衡量价值衡量价值衡量价值衡量组织结构组织结构组织结构组织结构资源分配资源分配资源分配资源分配计划计划计划计划生命周期生命周期生命周期生命周期 企业需要按照以下的企业需要按照以下的“企业风险模型企业风险模型”设计企业内部管理及设计企业内部管理及风险控制体系来全面减少企业的经营风险。风险控制体系来全面减少企业的经营风险。阿瑟安德森公司对商务风险的简明定义中国重点国有企业领导人员培训-企业变革框架安达信公司企业咨询部 施能自 二一年十月十九日3、风险识别:企业风险模型竞争者敏感性股东关系资金充4949P50竞争者敏感性股东关系资本的可获得性灾难性损失 政策法规风险 行业风险金融市场风险竞争者令企业失去原有的市场竞争优势企业无法对变化的环境作出有效及时的反应直接关系到企业在资本市场上的筹资能力公司可能无法筹措到足够的资金来支持自身发展自然灾害给企业造成巨大的损失由政策法规的不可测性及变化给企业带来损失由于行业有关要素变化,使企业丧失在行业中的优势地位由于金融市场的价格波动给企业的金融性资产造成损失环境风险竞
展开阅读全文