资源描述
内部控制与风险管理,案例与操作,为什么要说内控,“基本规范”与”配套指引”,近10 多年来,中国商界风云诡谲,每隔一两年便有一些庞大而知名的企业轰然倒地。在大败局的众多案例中,那些曾经不可一世的企业家们缺乏现实的控制感和控制艺术大概是最为致命的弱项 仰融无法控制华晨、唐万新无法控制德隆、顾雏军无法控制科龙、宋如华无法控制托普、李经纬和赵新先无法控制他们一手创办的健力宝和三九,等等,一切悲剧都潜伏着惊人一致的逻辑。,1981 年,当有点口吃的杰克韦尔奇被任命为GE 新总裁后,他跑到洛杉矶附近的一个小城市去拜访当世最伟大的管理学家彼得德鲁克,他问的第一个问题就是:“我怎么控制GE下面的上千家公司?” 一切伟大的治理都是从学习控制开始的。 吴晓波大败局,“基本规范”的5个5,5个目标 5个原则 5个要素 50条 5个部门,合规、资产、报告、经营、战略 全面性、重要性、制衡性、适应性、成本效益 内控环境、风险评估、控制活动、信息与沟通、内部监督 7章(总则+五要素+附则),5,“配套指引”的实施,6,2011-1-1,在境内外同时上市的公司,2012-1-1,沪深主板,择机,中小板和创业板,鼓励,非上市大中型企业,“配套指引”的结构,7,核心,“如何控制”,设计(建设),评价指引,审计指引,应用指引,公司管理层自我评价,CPA外部审计(鉴证、审核),咨询、培训,审计,注册会计师的新业务,事务所不能同时做,配套指引的结构,8,评价指引,审计指引,应用指引,1.组织架构 2.发展战略 3.人力资源 4.社会责任 5.企业文化,控制环境类,控制手段类,控制活动类,6.资金活动 7.采购业务 8.资产管理 9.销售业务 10.研究与开发 11.工程项目 12.担保业务 13.业务外包 14.财务报告,15.全面预算 16.合同管理 17.内部信息传递 18.信息系统,来龙去脉,框架体系,路线方向,概 述,1、西方内控的五段路 2、中国的内控之路 3、内控理论,1 西方内控的五段路,到源头去,到师傅那儿去,内部控制的五段路,12,192040年代,194070年代,21世纪以来,内部牵制,内控 制度,全面风险管理,复杂性,198090年代,内控 结构,1990年代,内控整体框架,二分法三分法五要素八要素 ?,内部牵制阶段,以“物”为目的; 账目核对;设立不兼容岗位,13,女出纳贪污拆迁款250余万元,14,获刑无期,她负责公章、拆迁款领取表、通知拆迁户签字领款; 重复记账,案例,内部控制制度阶段,以“表”为目的 内控评价成为抽样审计的出发点,开始超出会计范畴。,15,要评价,不评价,内部控制结构阶段,以“法”为目的 水门事件1979反国外贿赂法 1979年,SEC新要求,16,1974,尼克松辞职,1988年,AICPA,审计准则公告第55号,17,内控是为合理保证企业特定目标的实现而建立的各种政策和程序。,内部控制整体框架阶段,1985,Treadway委员会 1987,COSO成立 1992,发布“内部控制:整体框架”,1994修订 1996年,AICPA全面接受COSO报告,18,COSO是谁?,美国会计学会 美国注册会计师协会 财务经理协会 管理会计师协会 内部审计师协会,19,COSO “整体框架”,20,报告目标 经营目标 合规目标,控制环境,从理论模型到实务操作,22,不同企业分项目不同,对各要素、控制点的提问不同。,自上而下,值得强调的新观点,动态:动态过程,管控融合 软化:环境影响,软性控制 全面:全员控制,强调责任 平衡:合理保证,成本效益,23,“鹿”死谁手?,运用内控五要素看三鹿事件 内控环境:股权分散,管理层强势 风险评估:采购原料奶的质量 控制活动:跑马圈地;无应急处理机制 信息与沟通:从隐瞒、否认到推卸责任 内部监督:04年“大头娃娃”、05年“早产奶”,24,案例,在其他国家,加拿大COCO,1995 英国ICAEW,1999,Turnbull报告 巴塞尔银行监管委员会,1997,25,全面风险管理阶段,2001,安然事件 2002,SOX法案 2004,ERM,26,安然事件,罪过 安然:债务和权益的假账 安达信:独立性;销毁审计档案 对审计的影响: 审计模式是制度基础还是风险导向审计; 如何确保独立性,27,SOX法案:乱世重典,逼娼为良,自出兵阿富汗以来,美国国会最协调一致的行动是在2002-7-15全票通过公众公司会计改革及投资者保护法“萨班斯奥克斯利法案”(Sarbanes-Oxley Act)。,28,其关键在于财务报告的可靠性。提供不实财务报告的,有可能被处以1020年监禁的重刑与持枪抢劫的最高刑罚相同。,SOX法案第404条款,要求公司年报中包括一份“内部控制报告”,该报告应明确: 管理层负责建立内控 管理层评估内控的有效性,29,中国企业的美式挑战?,企业风险管理(ERM)的定义,由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的, 用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的, 为企业目标的实现提供合理保证的过程。,30,CRO,首席风险官,为啥?,谁做?,做啥?,ERM相比94版框架的变化,目标:增加战略目标,报告目标变广 风险观念:提出企业总体层面的风险组合 环境:提出风险偏好、风险容忍度概念 要素: 从控制环境到内部环境,更宽 新增目标设定、事项识别、风险应对三个要素,32,小结,33,目标越来越高,范围越来越宽; 从单一机构主导,到多方合作; 丑闻、灾难促发进步; 美国即西方,美国即国际。,中国人的特点对于内控的影响,规则与人情 精确与模糊 坦率与委婉 冒险与中庸 解剖与系统,34,请评阅兰德公司对中国人的评价 面子,信仰,诚信,教育,2 中国的内控之路,中国的内控发展:主要规范,36,中国的内控发展:主要规范,37,政出多门,38,小结:中国式内控发展的特点,39,政出多门,群雄割据; 自上而下,上热下冷; 邯郸学步,亦步亦趋。,困惑,40,治理还是控制? 指引、施行?自愿还是强制? 企业内部控制还是政府外部控制?,上交所2006年指引的执行情况,强制要求披露内控制度实施情况,结果却被许多公司不理不睬。 业绩好的公司披露得多;注册会计师鉴证报告,全部通过,都没有重大缺陷! “报喜不报忧,家丑不外扬” “要我做”,不是“我要做”,41,“基本规范”的尴尬,要求:2009-7-1,上市公司实施,42,“兄弟们,上!”,到底审不审?,实施了吗?,不实施怎么办?,头儿,中国的企业内部控制标准委员会的领导: 主席:王军 秘书长:刘玉廷,COSO的主席:Larry Rittenberg,美国威斯康辛大学安永教授,43,事儿,44,2008-10,中国神华内部控制与风险管理实践的基础性成果,2010-6-15,所属2家企业挪用煤矿维简费4924万元,用于购置非生产用车辆、办公设备等支出,2008年6月25日-28日,由中国内部审计师协会举办、中天恒会计师事务所协办的中国神华内控专题培训班,案例,内控软件商动起来了,用友NC 内控与风险管理解决方案暨用友NC5.5 产品 穆迪KMV公司宣布,由其研发的Risk Analyst(风险分析)简体中文版将正式进入中国市场 SAP明确表示可以提供一揽子解决方案,45,CPA怎么办?,大势所趋,早作准备 任重道远,路漫漫兮 培育和挖掘需求,做好营销 谁需要内控? 为什么需要? 需要什么样的内控?,46,3 内控理论,内控的定义、类型 内控目标、作用,为 什 么 控 制,+,+,控 制 什 么,谁 来 控 制,帮助达成组织目标,风险: 人,物与资金,信息,董事会 总裁室 经理层 员工层,=,内部控制的类型,49,1 预防性控制 2 检查性控制 3 纠正性控制 4 补偿性控制,事前 事中 事后,内控的目标,50,内控目标的关系,51,企业生存与发展,战略目标,经营目标,报告目标,分解,反映,安全目标,合规目标,前提,保证,卫士 保安,谋士 高参,合规目标:“小会计”玩转2亿元,2004年10月18日,北京市第一中级人民法院审理国家自然科学基金委员会会计卞中贪污挪用公款一案。 19952003年的8年贪污和挪用26笔,近2亿元, 占整个基金会年掌控经费的1/10 。被判处死缓,剥夺政治权利终身,并处没收个人全部财产。,52,卞中其人:其貌不扬;独来独往;沉默寡言;对女友宣称自己是中国首富,案例,大戏如何上演?,内控缺陷: 经费管理处无人监督、查账,一人掌控, 14年没有内部审计,基金委严重失察 办案人员:“查到最后感觉偌大一个基金委,拨款权实际上就掌握在一个会计手中”。 手法: 打包拨款,退汇重拨,以拨代收; 伪造银行进账单、对账单,53,案例,经营目标,54,管理企业就好比驾驶一辆车,车速越快,越需要好的控制系统。 美管理学家 罗伯特安东尼,内控的作用:错弊三角理论,55,机会,借口,压力,内控的作用:GONE理论,与三角论一样的,还是机会! 强调“贪婪”!,56,机会O,需要N,贪婪G,暴露E,时间:2007年4月14日14时许; 地点:河北邯郸市农业银行金库 案值:近5100万元现金人民币被盗(一个多月) 身份:两疑犯为银行现金管理中心管库员 农行河北省分行行长瞿建耀:“不出事是偶然,出事是必然。” 疑犯任晓峰:“我在逃跑的时候连饭都没心思吃,但是我看到彩票投注点就想下车买点,没什么其他想法,就是手痒痒。”,57,案例,内控五要素,内控要素的意义,内部控制有效性的标准:每个构成要素的 存在, 合理,和 有效运行 这样,就能使董事会和管理层获得有关实现既定目标的合理保证。,59,60,有效的控制在很大程度上取决于选择关键控制点。,1、内控环境,内控环境概述,治理结构 机构设置/组织架构 发展战略 内部审计 人力资源政策 企业文化 社会责任,62,内部控制与公司治理,治理解决(内外、大小)股东之间、股东与经营者之间关系 内控帮助董事会、高管“向下”的问题 治理是根源、是体制,63,治理是“神仙打仗”,内控解决不了公司治理的问题。,“中航油事件”的反思,中航油新加坡公司于2001年底获批在新加坡上市。在取得中国航油集团公司授权后,自2003年开始做油品套期保值业务。但总裁陈久霖擅自从事石油衍生品期权交易。2004年12月,投机亏损5.54亿美元,向新加坡证交所申请停牌,向当地法院申请破产保护,成为继巴林银行破产以来最大的投机丑闻。,64,案例,“中航油事件”的反思,“我们成立独立的风险管理部门,使风险管理日常化、制度化。公司成立跨部门的风险管理委员会;公司聘请了世界上最大的安永会计师事务所制定了风险管理手册及财务手册;采用目前世界上最先进的风险管理系统Kiodex Risk Workbench 系统。” “损失20万美元以上的交易要提交风险管理委员会评估。累计损失超过35万美元的交易须得到总裁同意才能继续。而任何将导致50万美元以上损失的交易将自动平仓。”,65,案例,“中航油事件”的反思,当年的新加坡交易所“最佳治理公司”! 形式上十分完备、规范的公司治理并不能保证一定有效。,66,案例,陈久霖权力过大,中信泰富事件,2008年10月20日,港交所蓝筹股中信泰富发布警示公告:为锁定公司位于澳洲铁矿项目的开支成本,公司曾与银行签订的澳元累计目标可赎回远期合约,由于金融危机已产生147亿港元浮亏,其中逾8亿元于今年入账。 董事长荣智健权力集中,有“家族化”影子 独立董事制度失效 高管天价薪酬助推冒进决策,67,案例,迪康药业的败局,战略决策失误:过度扩张、盲目多元化 200103年,构筑医药制造、医药流通、零售百货、金融信托四大产业平台。包括成商集团和衡平信托 “用人不疑”成败局,授权弃权 迪康集团董事长曾雁鸣对空降的曾永江贸然放权;忠诚、信任不能替代科学决策,68,案例,发展战略,摩托罗拉的兴衰,铱星计划 微软与戴尔 成都康桥眼科 成都迈普,69,内审:向辛西娅库柏致敬!,2002年2月,安达信已认可世通公司2001年会计报表。 内部审计部副总经理辛西娅库柏在履行审计公务中发现,2002年一季度及2001年资本账户有几笔可疑费用转入,以前是作为当期费用列支的。经核实,公司共少计了费用39亿美元,辛西娅库柏直接向董事会审计委员会主席进行了报告,案件由此牵出。 2005年7月13日,世通前CEO以诈骗罪被判25年徒刑。,70,案例,人力资源政策,高薪酬打垮了通用汽车? 马明哲的6600万,限薪令,71,人力资源管理的四大力量,72,竞聘上岗、末位淘汰、轮岗待岗等,薪酬体系设计、职业生涯管理与升迁异动制度、分权与授权系统,推动力,绩效考核体系、职务评估体系、员工行为守则和员工手册等,职位说明书与任职资格标准、关键业绩指标、培训开发体系,企业文化,73,紧张感必须由最高领导人制造。一个公司如果不能以各种方式保持危机意识的话,员工斗志就会明显下降。 美日产和雷诺的CEO 极度驾驭 作者,卡洛斯戈恩,其他案例,战略扩张 巨人集团 TCL海外并购 澳柯玛 华源系 治理 科龙电器 实达电脑 东北高速,企业文化 海尔 邯钢 华为 综合 郑百文 亚细亚 琼民源 银广夏,74,最新的案例,腾中重工与悍马 吉利与沃尔沃,75,内控环境关注要点,老板晚饭请谁? 财务、内审陪饭局,坐哪儿?,76,2、风险评估,风险评估概述,控制目标 风险识别 风险分析 风险应对,78,固有风险与剩余风险 风险偏好 风险容忍度 风险组合观,风险识别的方法与因素,现场调查法 风险清单分析法(列表检查法),Checklist 财务状况分析法 组织结构图分析法 流程图法 事故树法(故障树法) 可行性研究,内部风险考虑因素 外部风险考虑因素,79,风险分析的程序,规划 数据收集 技术方法选择 实施 分析结果 存档,80,风险分析的方法,定性方法 问卷调查、集体讨论、专家咨询、情景分析、标杆比较、管理层访谈 定量方法 统计推论、计算机模拟、事件树 综合方法,81,风险分析的方法:可能性描述,82,风险分析的方法:风险坐标图,83,可能性,影响程度,轻微,严重,小,大,承担,如赊销,规避,如违规,严控,跑冒滴漏,严控,如事故,风险应对的策略,风险规避:拒绝,放弃 风险降低:如,分步购、建 风险分担:耐克的外包 风险承受: 无计划的单纯自留 有计划的自发保险,如,减值准备,84,云铜股票案,85,案例,风险评估关注要点,86,3、控制活动,控制活动概述,不相容职务分离 授权审批控制 会计系统控制 财产保护控制 限制接近; 财产清查; 保险;对账,预算控制 运营分析控制 绩效考评控制 重大风险预警机制和突发事件应急处理机制,89,组织、人员、业务、财务,组织架构控制,不相容职务分离 授权审批控制 岗位责任制(沟通) 轮岗 强制休假 作业流程,90,不相容职务分离,中海集团2008年3亿元流失 中海韩国子公司财务部经理兼审计李克江,91,案例,不相容职务主要有五个:,业务申请,运营分析控制,刘姝威与蓝田股份案例 钟朝宏与长经开案例,92,案例,绩效考评控制,会计指标 EVA:2001,TCL集团 平衡计分卡:中外运敦豪DHL,93,案例,控制活动关注要点,资金活动 存货资产管理 固定资产管理 无形资产管理 采购与付款 销售与收款、信用 工程项目 研究与开发 对外投资 筹资,成本费用 担保 业务外包 对子公司的控制 关联交易 预算 合同协议 财务报告 信息系统,94,控制活动关注要点,资金:预防被盗窃、诈骗和挪用;收与支 采购:断料断货;质次价高;进项税发票 销售:积压;发货;催账;价格舞弊 工程项目:盲目上马;商业贿赂影响工程质量和安全;项目资金导致延期或中断 固定资产:盲目购建;闲置 投资:,95,例:资金控制,96,4、信息与沟通,99,信息不畅,腐败滋生。 透明国际研究中心主任 杰瑞米波普,信息与沟通概述,信息:来源;对IT的利用 沟通:对内与对外 反舞弊机制 举报制度,100,信息的搜集与传递,内部信息 企业使命、战略 财务政策 人力资源政策 规章制度 财务信息与经营信息 员工提供的信息,外部信息 调查 网络 咨询 采访 交换,101,沟通:对内与对外,102,上帝赋予人们两只耳朵,而嘴只有一张听取别人意见的时间应该是自己说话时间的两倍。,沟通案例,TCL笔记本电脑战略失败:2006年出现巨亏,2007年底对外转让。 拿破仑的军队,103,案例,反舞弊机制,管理层舞弊与员工舞弊 企业文化、员工压力【富士康X连跳】 沟通,信访举报,104,信息与沟通关注要点,105,5、内部监督,内部监督概述,方式:日常监督和专项监督 程序:制定缺陷认定标准;分析;报告 内控自我评价,108,内部监督的方式,日常监督 获得内控执行的证据 内外信息印证 账实对比 内、外审计响应 管理层监督内控执行 定期考核员工 内部审计,专项监督 高风险且重要的项目 内控环境的变化,109,基础,补充,内控缺陷,设计缺陷 例:中信银行网银系统现重大漏洞,2009年 运行缺陷 例:国际股市 “乌龙指”事件:2005年日本;2010美股,110,内部监督关注要点,111,设计、自评、外审,内控的实施,“对中国的企业谈内部控制简直是对牛弹琴,搞所谓的内控测试有如跳大神,建立所谓的内控制度更像土财主穷西装。” 某网友,113,1、内控设计,内控设计的原则与依据,原 则 相互牵制原则 协调配合原则 岗位匹配原则 成本效益原则 整体结构原则,依 据 借鉴内部控制理论 参考内部控制范例 根据内部控制法规 结合企业管理实际,115,内部控制设计步骤,调研访谈 整合控制流程 鉴别控制环节 确定控制措施,116,规划与确定目标,流程诊断优化,手册与培训,定期评价与修改调整,内控设计的形式,内部控制调查表 内部控制流程图 选定符号 确定主线和重点 编制流程图说明 内部控制手册 内部控制自查表,参考资料 流程手册 管理全案 自查手册 内控评分表,117,流程图,要素: 流程范围、目标; 涉及部门; 特定政策; 流程说明,工作内容与步骤; 职责分工,部门间关系; 业务文档,一般要求: 分层级; 清晰规范; 避免交叉; 完整,不遗漏,118,资金支付业务流程,销售与收款业务流程,120,销售部门,会计部门,仓储部门,接受客户订单,开出销售单,信用审核,开出销售发票,通知仓库发货,记账,追讨账款,顾客,接受通知,发货,流程图的另一种画法,121,2、内控自评,内控自评概述,评价内容:五要素的有效性 评价组织:专门机构和人员 内控缺陷的认定:尤其非财务报告类;定量与定性 评价报告:工作底稿;评价表,123,2008年,6家中央企业编报“年度全面风险管理报告”,属国资委的试点。,亚新科公司内控评价体系的构建,亚新科工业技术有限公司是一家生产汽车零部件的外资公司,注册地在北京。 在1999年就已建立了一套完整的内控制度,在2002年又构建了一套相对完整的内控审计评分系统。,124,亚新科的内控评价程序,125,划分13个内控项目,确定每一个内控基本项目的分值,将每一要素按关键控制点拆分成具体指标,明确评价标准、方法和权重,逐一评分,汇总计算各个要素得分,再按各要素权重计算内控综合评分,亚新科的内控项目划分及权重,126,亚新科的内控评分表 (例:销售),亚新科的内控评分标准,128,129,3、内控外审 ?,一点感想,从“与财务报告相关的内控系统”开始。 重视“管理建议书”。 多问。“一个傻瓜提出的问题,十个聪明人都答不过来。” 形成正确完善的内控的框架,对照实际。 先对企业的内控进行“有罪推定”,再通过测试证明其有效。,131,4、内控局限,内部控制的局限,成本限制; 合谋、串通; 有规不依 管理层凌驾于内控之上; 屈从于外部压力而失效; 人为错误 精力分散、身体不适、粗心大意 理解错误、判断失误、曲解指令,133,内部控制的局限,经济活动的不断变化 内控仅针对常规业务活动 因经营环境、业务性质的改变而削弱或失效。,134,内控局限:成本限制,一项对321家企业的调查结果称,每家需要遵守SOX法案的美国大型企业第一年实施其404条款的总成本将超过460万美元: 3.5万小时的内部人员投入、 130万美元的外部顾问和软件费用、 150万美元的额外审计费用。 通用电气公司表示,为了404条,花费已经高达3000万美元。,135,案例,内控局限:串通,锦华分厂舞弊案,工人偷成千万富翁,136,案例,内控局限:防范分支机构一把手,子公司章程或类似文件须有限制性条款 民主文化 上任前培训 定期谈话 高薪养廉 举报制度,137,5、中小企业内控,中小企业各阶段内控要点,优点 1 吃苦耐劳,团队信任,凝聚力强 2 灵活多变,不拘泥制度,反应快,效率高 不足 1 规模有限 2 难以做高端,优点 1 有较好的企业文化、规则、流程,易复制与模仿 2 资源丰富、能抗风险 不足 1 官僚作风,流程可能刻板,迟钝 2 较高的控制成本,139,创业期,转型期,成熟期,微型企业的内控,企业特点:产品或服务比较单一,管理点不多;会计停留在记账、报税的层次;业务的灵活性会产生许多账外项目,核算不完整 内控办法: 充分利用会计系统,会计人员必须熟悉业务并且诚实可靠。 加强管理层监管。管理者或业主本人对日常业务进行频繁接触,担负起许多日常工作,尽可能少授权,“事必躬亲”,或事后尽快复核。 关键的控制点:例如合同订立、收付款、重要发票、银行票据、印鉴等必须掌握在管理者或业主手中。,140,小型企业的特点,客源趋于稳定,组织机构简单,制度建设刚起步; 会计有了初步分工,如出纳与会计岗位; 产生了采购和行政等一些职能岗位。 注重业务扩张,最具权威的部门往往是市场营销部门,财务人员为之服务而难以控制,短期收益与长远发展有矛盾。,141,小型企业的内控办法,简单的财务制度和授权措施,如制定费用标准、借款限额、采购专人负责等 重点考虑以下几个环节: 选择关键的成本费用项目、业务活动或环节、重要的要素或资源。例如:报销审批、资金调度、银行对账单、交接手续、电脑操作密码等, 重要员工,管理层应熟悉其信用背景,对其表现评价、实际能力和缺点等方面建立员工档案。 尽量从多渠道获得关于内控系统的报告。在重大项目上,多听取一些专业人士的意见。,142,中型企业的内控,企业特点:组织结构随市场扩大而壮大,资金、存货运作量变大;控制的实施仍停留在事后;会计环节上已能做到准确核算,定期核对、盘查各项资产,能够提供完整的会计信息。 内控办法: 内控制度开始向各个工作节点上渗透,广泛参与到业务流程的事中控制,紧贴业务建立起一套控制制度。 建立内部牵制制度,包括适当授权、不相容职责分离、凭证和记录、独立检查等环节。 注意成本效益原则。,143,成熟期企业的内控,全面的内控体系 单独设立内审岗位或内审部门,也可外包给会计师事务所。,144,回顾一下,历史与理论 内控五要素 设计与评审,展望一下,内控在中国还在启蒙 只有起点,没有终点,147,感谢聆听!,Thanks for your time!,
展开阅读全文