《企业内部控制配套指引》实施解读.ppt

1,一、企业内部控制配套指引主要内容解析 二、配套指引对董事会的要求 三、企业的合遵循挑战 四、合规之路该如何规划 五、合规工作的主要要求 六、合规工作的组织与人力资源安排 七、如何理解内部控制的重要性及其风险管理的关系,2,本报告所载资料是为广州市财政局编撰。任何其他人士不得依赖本报告作任何其他用途，本公司概不就此对任何其他人士承担任何责任。未经本公司书面同意，任何,主要内容,一、企业内部控制配套指引主要内容解析,3,4,2008年6月28日发布,应用指引、评价指引和审计指引构成企业内部控制配套指引用于指导企业更加有效实施基本规范。,2010年4月26日发布,什么是企业内部控制配套指引？,5,配套指引协助做好三件事,审计师： 按照审计指引的要求，对财务报告内 部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露 评价对象为企业建立和实施的财务报告内部控制,企业： 按照评价指引的相关要求，对内部控制的有效性进行自我评价 评价对象包括企业建立和实施的财务和非财务内部控制，需对这些内部控制的设计和执行有效性进行评价,企业： 从基本规范规定的五大要素出发，参照应用指引的具体要求，建立和实施完善的内部控制体系,企业内部控制配套指引的实施对象/范围和时间,企业内部控制配套指引,实施时间,适用企业,2011年12月31日年报,2012年12月31日年报,第一个合规报告年度,企业披露年度自我评价报告,会计师事务所出具内控审计报告,境内、外同时上市的公司,在上海证劵交易所、深圳证劵交易所主板上市公司实施,中小板和创业板上市公司,非上市大中型企业,6,企业内部控制应用指引的体系架构,企业内部控制应用指引：共18项，用以指导企业开展内部控制建设，并为企业及事务所的内部控制评价及审计提供参考。内容包含制定该项指引的总体目标、涉及事项的定义、相关风险描述、业务流程规范和关键控制点要求等标准性内容。应用指引条目如下：,根据各具体指引所规范内容的不同，可以将应用指引分为三类：,内部环境类（5个）,控制手段类（4个）,组织架构 发展战略 人力资源 企业文化 社会责任,全面预算 合同管理 内部信息传递 信息系统,7,组织架构,资金活动,采购业务,社会责任,企业文化,发展战略,人力资源,全面预算,资产管理,销售业务,业务外包,信息系统,合同管理,内部信息传递,担保业务,工程项目,研究与开发,财务报告,企业内部控制应用指引的体系架构（续）,目标：对于流程控制目标的整体要求。 企业可参考指引中所述目标，从定性和定量两个角度细化本企业各流程的具体控制目标，作为流程风险评估的基础。,风险：流程中可能涉及的主要风险。 企业可考虑参考指引中所述风险，采用一定的风险评估方法，识别、评估本企业流程可能涉及的重大风险，并作为内部建设的基础。,定义：对于流程所涉及业务范围的定义。 企业应根据自身实际业务情况，对流程所涉及的业务范围进行明确定义。,对于流程控制的整体要求。应作为企业设计本流程内部控制体系的整体性原则。,主要业务环节及具体内控要求，企业可参考这些具体要求，结合本企业实际情况，制定细化的内部控制步骤和程序，包括明确内控执行的岗位和人员、频率、文档、问题跟进措施等。,8,注意事项,在应用指引使用过程中应注意以下问题：,应用指引仅是对于主要业务流程环节和内部控制提出了原则性的要求 18项应用指引涵盖了制造企业常见的重要业务领域，但是对于具体企业来说，肯定会存在一些应用指引无法涵盖的业务活动。因此企业需要根据基本规范和应用指引的总体原则和企业实际的风险情况，对自身业务、风险和内部控制进行详细梳理，而不能仅仅依赖应用指引进行内控体系的建设。（例如对于银行业来说，并没有专门的指引对商业银行的核心业务流程，例如存款业务、贷款业务、资金业务、中间业务等进行明确规定） 企业可参考应用指引的架构和内容，细化制定本企业的内部手册,9,第一章 总则,第二章 内部控制评价的内容,第三章 内部控制评价的程序,内部控制评价的最终责任机构是企业董事会或类似权力机构 企业内部控制评价的原则：全面性、重要性、客观性 企业应根据评价指引及实际情况，制定具体的内部控制评价办法,企业内部控制评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素，并包括内部控制设计和运行两个方面 内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容,企业可以授权内部审计部门或专门机构负责内部控制评价的具体组织实施工作 评价工作方案应报经董事会或其授权机构审批后实施 评价工作组成员对本部门的控制评价工作应当实行回避制度 企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制评价服务,10,企业内部控制评价指引的体系架构,11,第四章 内部控制缺陷的认定,第五章 内部控制评价报告,内部控制缺陷包括设计缺陷和运行缺陷 内部控制缺陷的认定应当以日常监督和专项监督为基础，结合年度内部控制评价，由 内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定 内部控制缺陷可以分为重大缺陷、重要缺陷和一般缺陷（但具体认定标准由企业根据指引中原则自行确定） 企业应对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核；缺陷应向董事会、监事会或者经理层报告；重大缺陷应当由董事会予以最终认定；对于重大缺陷应追究有关部门或相关人员的责任,对报告的主要内容进行要求。报告应当经董事会或类似权力机构批准后对外披露,配套指引要求与美国、香港内控监管要求简要对比,比较内容 主要实施要求 是否给出评价指引 评价责任机构 评价结论的判定标准,配套指引的要求 企业应当对内部控制的有效性进行自我评价，并披露年度自我评价报告 企业应当聘请会计师事务所对财务报告内部控制的有效性发表审计意见 企业内部控制评价指引 董事会（或类似权力机构） 没明确说明内控有效性结论的判定标准,美国萨班斯法案第404条款 公司管理层申明对建立和维持适当财务报告内控结构及控制程序的责任，并在其提交的年报中对内控有效性作出评价 审计师须对管理层遵循情况进行测试和评价，并出具评价报告 SEC给出了“管理层评价指引”，但并不强制企业遵循，提供了可接受的一种遵循途径 管理层 存在一个或多个实质性漏洞，内部控制即告无效,12,13,比较内容 主要实施要求 是否给出评价指引 评价责任机构 评价结论的判定标准,香港企业管制常规守则C2.1条款 董事应当每年检讨一次上市公司及其附属公司的内部监控系统是否有效，并在企业管治报告中向股东回报已经完成的有关检讨。有关检讨应涵盖所有重要的监控方面，包括财务监控、运作监控及合规监控以及风险管理功能 没有对与内控审计具体要求 没有颁布专门的评价指引，仅在香港会计师公会为之专门制定的内部监控和风险管理的基本框架中，对于检讨程序有原则性规定 董事 未要求评价工作给出评价结论,中国企业内部控制规范体系概览,企业内部控制标准委员会负责为建立健全我国企业内部控制标准体系提供政策指导和咨询服务,企业内部控制标准会员会主席由财政部副部长担任，副主席由证监会和国资委官员担任，成员包括来自监管部门、实务界、理论界的31位专家学者,第一层次,第二层次,第三层次,中国企业建立内部控制的基本框架 建议了内部控制体系的构成要素：内部环境、风险评估、控制活动、信息与沟通、内部监督 国际上类似的内部控制框架包括：COSO、COCO等,企业内部控制基本规范的实施要求 要求企业对内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请会计师事务所进行审计 国际上类似要求包括：美国萨班斯法案第404条款、日本金融工具及交易法等,企业内部控制基本规范,五部委关于印发企业内部控制基本规范的通知,体系基础,用以指导企业内部控制体系建设，对于内部控制提出了具体的要求,用以规范企业内部控制有效性的年度自我评价工作,用以指导注册会计师执行企业内部控制审计业务,五部委关于印发企业内部控制配套之音的通知,企业内部控制应用指引,企业内部控制评价指引,企业内部控制审计指引,对于应用指引的解释/指南,对于评价指引的解释/指南,对于审计指引的解释/指南,对体系的持续完善,常见问题解答,公告,14,二、基本规范及配套指引对董事会的要求,15,配套指引对董事会的要求,董事会负责内部控制的建立健全和有效实施的基本规范，具体体现在：,董事会是企业内部控制体系的重要组成部分。董事会依法行使企业的经营决策权，对企业重大经济事项进行审批。应用指引,董事会须对内部控制有效性的评价负责。董事会应审批评价工作方案，对重大缺陷进行认定，对评价报告进行批准，并出具内部控制报告真实性的声明。评价指引,董事会应当向审计师提供声明书，声明董事会认可其对建立健全和有效实施内部控制负责。并与审计是沟通确认的重大缺陷和重要缺陷等重要内控事项。审计指引,16,17,关键条文概述,企业内部控制应用指引 -董事会对股东（大）会负责，依法行使企业的经营决策权，可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。 -董事会（或类似权力机构）应对发展战略方案，重大研究项目，重大工程项目的立项，重大担保业务，重大业务外包方案，和全面预算草案进行审批。,企业内部控制评价指引 -指引所称内部控制评价，是指企业董事会（或类似权力机构）对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。 -企业董事会应当对内部控制评价报告的真实性负责。 -企业内部控制评价部门应当拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报警董事会或其授权机构审批后实施。 -企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定,18,企业内部控制审批指引 -董事会应当注册会计师提交书面声明，声明董事会认可其对建立健全和有效实施内部控制负责 -注册会计师以书面形式与董事会沟通其在审计过程中识别的重大缺陷和重要缺陷；审计范围受到限制的情况及对审计委员和内部审计机构对内部控制的监督无效的认定。,-内部控制评价报告应当披露董事会对内部控制报告真实性的声明 -内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门,三、企业的合规遵循挑战,19,遵循基本规范和配套指引的挑战来自企业自身的 挑战,20,主观意愿,主观意愿强调两个方面：内部控制的最终责任人和内部控制的日常参与者。,内部控制的最终责任人：董事会,内部控制的日常参与者：全体员工,董事会及高级管理层立言、立行以昭示其对内部控制的充分重视，并为内部控制的建设和实施调配充分的资源,董事会和其他高级管理人员不理解建设内部控制的意义，认为内部控制阻碍经营效率，将内控工作做成“两张皮”,企业员工不理解什么是内控，不清晰自己的内控责任，无法自觉维护内控有效性,积极,消极,21,所有员工都充分理解并参与内部控制的建设和实施，内部控制融入企业的日常经营活动，真正为企业产生价值,内控建设所需的知识技能,方法论,内控建设人员需要熟悉国际通行的内部控制框架理论、国内外内部控制监管要求，并在此基础上，开发适合自身企业特点的内控建设和评价方法论。,专业技能,在内部控制梳理、建设、评价等各方面，业务、财务、IT等各领域，均需要相关人员具有比较丰富的专业技能和经验,内控建设所需的知识技能,行业经验,除科学方法论外，丰富的行业经验也是内控建设不可或缺的知识技能之一。不熟悉本企业所处行业的一般运作规律及关键风险，可能导致所建立的内控体系缺乏效率或效果,项目管理,内控建设一般以项目的形式推进，对于大型企业集团来说，内控建设人员的项目管理能力非常重要,22,遵循基本规范和配套指引的挑战来自企业自身的挑战,知识与观念,架构与实务,治理层对内控要求不了解，指导和监督内控工作不到位 经理层和其他管理人员不理解建设内部控制的意义，认为内部控制阻碍经营效率，将内控工作做成“两张皮” 企业人员比例解什么是内控，不清晰自己的内控责任，无法自觉维护内控有效性 企业缺乏足够的具备所需知识、技能的内控维护和监督队伍 缺乏对内控缺陷进行判断的经验,从未系统地按五要素框架进行内控架构的梳理，评估，缺乏相关的知识和经验 从未进行过系统的风险评估工作 缺乏全面的、规范的规章制度对内部控制设计情况进行记录 缺乏完善的监督机制，导致内部控制执行不力 内部控制的运行缺乏书面证据 反舞弊程序和控制薄弱,23,24,IT系统,项目管理,系统开发和变更控制薄弱 处于利用人工流程的便捷和灵活性的目的，回避信息系统内部控制 系统与业务发展脱节，不能对公司战略的实施提供良好支撑 业务系统和财务系统脱节，信息一致性和可用性无法得到保证 信息系统存在明显的安全漏洞,第一年的遵循工作规模大，涉及面广，要求企业具备组织、管理大型项目而丰富经验 低估遵循项目难度，遵循工作不能按时间表进行，或缺乏对工作成果的质量控制 未能有效计划、控制遵循成本,四、合规之路该如何规划,25,毕马威建议的遵循路线,一般而言，企业可考虑通过以下六个步骤来实现对基本规范和配套指引的遵循：,计划遵循工作的进行方法、范围、时间表、成果和所需资源；组建项目团队；启动项目,通过风险评估、对标等方法检查、评价内部控制的设计情况，包括审视内控记录是否足够,根据对设计情况的评估结果，制定测试方案并实施对内控执行情况的评估,归集并评估内控设计和执行方面的缺陷；在治理层和管理层的主导下，计划和实施纠正工作,跟踪验证纠正工作的结果；编制内控自我评价报告；配合审计师进行内控审计,有计划、有步骤的建立内控持续改善和内控规范持续遵循的有效机制（如建立相关职能、IT系统和有关制度）,26,企业的下一步遵循工作从哪里做起？,对于已经启动和推进遵循方案的企业： 应根据三项指引重新审视既定的遵循方案并视情况进行必要调整。其中，境内外同时上市的企业应准确理解已经实施的境外上市地监管规定与即将实施的中国规定之间的差异，并据以考虑是否需要开展补充性工作。 应积极与监管机构互动，获得监管机构对于所遇到的重大问题的指导。并促使监管机构进一步发布有关解释公告。 应注重与审计时就遵循方案及其执行情况金相沟通。,27,企业的下一步遵循工作从哪里做起？,对于尚未开展遵循工作的企业： 应尽快着手制定遵循方案，明确以下要素： -遵循策略 -组织体系 -过程、步骤及时间表 -内部和外部资源需求及资源获取方案 -费用预算 建议企业可考虑在法定遵循年度的前一年开展试评价。 有条件的企业，在初次遵循时应考虑聘请外部咨询顾问，以提高遵循的效率和效果并为以后年度持续遵循奠定良好基础。 积极参加监督机构规划和实施的一系列培训，以掌握监管动态。,28,29,企业合规之路,体系建设,年度评价和报告,评价试行和完善,一条公路,1.制定遵循计划,2.对内控现状进行全面梳理和记录,3.对标基本规范和应用指引进行差距分析,4.完善内部控制，修补差距,5.试行内部控制有效性自我评价,6.试行内部控制审计,7.内部控制持续改进和完善,8.内部控制中期审计,9.内部控制缺陷跟踪和改进,10.年度内控有效性自我评价,11.内部控制年中审计,12.编制并披露内控评价报告,30,4.完善内部控制，修补差距（6-7个月）,8.内部控制中期审计,9.内部控制缺陷跟踪和改进,遵循工作的时间安排,项目启动,1.制定遵循计划（1-2个月）,2011年初,3月,6月,12.编制并披露内控评价报告,9月,11.内部控制年中审计,2012年,4-7个月,1-2个月,以上时间表为于2011年1月1日起实施基本规范的境内外同时上市公司遵循时间表的示例。其他遵循企业可在更长期间内计划和实施其遵循工作。,31,五、合规工作的主要成果,32,基本规范第四十七条：企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。,根据以上原则，企业在遵循基本规范及其配套指引的过程，需保留一系列的工作记录，包括：,工作内容：根据应用指引的要求，建立和实施内部控制体系,工作内容：根据评价指引的要求，对内控有效性进行自我评价,工作内容：聘请会计师事务所对财务报告内部控制的有效性进行审计,对于企业来说，内部控制的建立和实施包括两方面的内容： 一是建立。企业需要以书面的形式，对其各业务领域的内部控制进行明确规定。常见的书面形式可以包括流程描述、流程图、风险控制矩阵等 二是实施，即内控执行。企业应妥善保存相关执行记录，这些执行记录包括书面文档（例如签报）、电子文档、（例如电子邮件）、信息系统记录等,自我评价工作中涉及的工作记录包括： 内部控制评价办法（评价指引第四条） 内部控制评价过程中相关工作底稿，例如：内部控制执行有效性测试方案、穿行测试工作底稿、控制测试工作底稿、缺陷汇总表及修补计划、内控缺陷认定标准等 内部控制自我评价报告,审计报告,合规遵循主要工作成果,33,部分合规工作成果示例-流程描述,流程描述,主要内容,主要用途,编制方法,对流程涉及的业务范围、部门范围、流程目标、流程的起点和终点、各子流程/业务环节的发起、授权、记录、处理及报告程序、流程中的主要控制活动、相应流程负责人以及相关控制文档等进行描述 对控制活动的描述主要包括控制目标、控制活动发生时间、执行人、主要控制措施及其执行方法、控制活动产生的结果、控制活动出现问题或差异时的处理方法等,用于指导和规范公司各项业务的操作程序 作为员工执行控制程序和措施的指南，并有利于标准化与控制流程相关的控制活动 是对流程图的补充和加强 供测试人员用于内控执行有效性的评价,项目组人员牵头组织相关业务部门进行编制 根据流程图，从流程的起点到终点，对每个流程环节进行具体描述,34,部分合规工作成果示例-流程图,34,流程图,主要内容,主要用途,编制方法,以直观的方式展示各子流程/业务环节的发起、授权、记录、处理及报告程序，以及流程中的负责部门或岗位、以及各部门/各环节之间的信息传递关系等 每个流程图依次由各子流程、子流程中的主要活动以及各项任务构成,用于指导和规范公司各项业务的操作程序，以及各部门之间的信息沟通程序 用于明确各部门之间的工作接口，确保业务流程和关键控制活动的完整性 供测试人员用云内控执行有效性的评价 可用于分析和诊断影响流程目标实现的动因，识别流程中存在的问题（例如权责分配的合理性、流程步骤的有效性、内部监控的足够性、流程活动的价值性），继而进行流程的优化,项目组人员牵头去组织相关业务部门进行绘制 根据项目管理委员会审批确定的流程图制作标准，统一制作关键流程的流程图,35,）,部分合规工作成果示例-风险控制矩阵,35,风险控制矩阵,主要内容,主要用途,编制方法,从公司层面、流程层面和信息技术层面，分别记录内控评价过程中所识别的关键控制点 记录上述关键控制点对应的风险、控制活动目标、设计的财务报表科目及认定 记录控制点的性质、种类、频率等 记录控制点对应的穿行测试和控制测试及缺陷整改记录索引（如有,作为业务单元的关键控制点的基础文件 作为控制测试的基础信息来源 作为建立目标、风险、控制、科目等对应关系的基础文件 作为内部控制工作系统平台的基础数据来源,项目组人员根据对各业务单元的内控状况梳理结果和测试结果进行填制,36,部分合规工作成果示例-内部控制执行有效性测试方案,36,内部控制执行有效性测试方案,主要内容,主要用途,编制方法,记录内部控制执行有效性测试的控制点相关信息、样本信息及其测试步骤，包括如何进行测试，何时进行测试以及测试负责人等 明确样本库范围、抽样方式、样本数量、抽样涉及期间等内容,用于指导测试人员根据控制点的性质、执行的频率、重要性等因素，合理确定测试抽样方式和样本量 用于指导和规范测试人员开展控制测试的具体工作 为开展控制测试提供有效的方法和工具,项目组人员进行编制 项目管理委员会对控制测试方案进行审批,37,六、合规工作的组织与人力资源安排,38,合规工作的项目组织架构,合理的项目组织架构对遵循项目的顺利实施起到了至关重要的作用，我们建议合规企业建立结构化的项目组织架构。以下为可选择的一种组织架构。,项目指导委员,项目管理办公室,项目核心小组,分支机构现场业务工作小组,总部,分支机构,公司层面控制工作小组,财务工作小组,业务工作小组,信息技术工作小组,内部审计工作小组,分支机构现场工作小组,分支机构现场工作小组,分支机构现场工作小组,分支机构现场工作小组,39,合规工作的项目组织架构（续）,企业可考虑采取全员参与、分级实施、逐级汇总的饭食进行内部控制体系的建设和评价工作： 全员参与，即内控建设和评价工作由总部、各级分支机构的管理层和流程负责人员负责实施，集团内所有公司、分支机构，各单位的所有部门和岗位，均应参与内控建设和评价工作。 分级实施，及总部、各级分支机构分别负责组织实施本单位的内部控制建设和自我评价工作，并指导所属单位的内控工作。 逐级汇总，即下级单位应向上级单位上报内控建设和评价结果，上级单位在汇总下级单位和本单位建设和评价结果的基础上，形成汇总的内控自我评价报告。,40,合规工作的所需人力资源,构成,主要职责,项目核心团队,各部门和分支机构项目协调人,各部门和分支机构流程负责人,总部即有代表性的分支机构抽调的业务、财务、IT等部门人员,由各部门和分支机构指派，应具有一定的职位层级和组织能力，能在本部门和本机构内行使组织和协调工作,各部门和分支机构内各主要业务流程均应指派一名或若干名业务骨干作为流程负责人员,负责项目的整体管理和协调 负责制定项目实施的方法、标准、工具和模板 负责对各部门和分支机构内控梳理和评价工作进行指导，并对结果进行质量控制 负责内控评价结果的汇总和披露,负责本部门或单位内内控建设工作的组织、协调和推进工作 负责本部门或单位内内控建设工作的整体项目管理，包括进度管理、质量管理等,负责根据总部项目核心团队制定的方法、标准、工具和模板等，实行所负责业务流程的内部控制梳理和测试工作 对所负责流程的内控缺陷进行汇报和整改工作,41,外部咨询机构,外部咨询机构,独立评价小队,内部审计人员,由独立于流程负责人之外的专职部门或机构（例如内部审计机构）负责实施内部控制独立评价 结合日常监督和专项监督，基于风险评估的重点检查，对象为涉及高风险领域的相关控制 相对独立的、客观的评价,提供培训和各种专业技术支持 协助进行项目所需方法、工具和模板的开发 协助进行项目管理 协助进行内控梳理工作 协助对所识别的内控缺陷提供发现和建议,构成,主要职责,42,七、如何理解内部控制的重要性及其与风险管理的关系,43,什么是内部控制,COSO内部控制框架,内部控制是由公司董事会、管理层和其他员工实施的，为实现经营的效果性和效率性、财务报告和可靠性以及适用法律、法规的遵循性等目标提供合理保证的一个过程。,企业内部控制基本规范,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。,44,内部控制的产生,目标,风险事件,风险应对,控制,保护手不受伤害,火烧了手,把手从火中拿出,感知火 通知大脑 传送大脑指令 收缩肌肉,45,内部控制的产生,企业建立和完善内部控制体系，及最终目的是为控制风险，实现企业目标。合理理解目标、风险和控制之间的关系，是理解企业内部控制和风险管理理念的基础：,企业目标： 可量化，可衡量，可以实现的业务目标,风险： 企业面临的风险是由内部或外部因素引起的，对企业的现实目标或潜在目标造成影响的一系列不确定事件,风险应对策略： 企业根据自身条件和风险偏好、风险承受度，选择风险承担、规避、转移、转换、对冲、补偿、控制等适合的风险管理总体策略,控制： 通过系统的管理程序或活动确保风险应对策略的有效实施，减少不确定性的影响,46,目标、风险和内部控制的关系,目标： 保证仓库货物安全,风险： 发生火灾导致资产损失,风险应对策略： 规避风险：停止业务 转移风险：为货物购买保险或者外包第三方机构等 控制风险：消除火灾隐患，并加强消防措施 -保持线路状况良好 -禁止明火和潜在火种 保持灭火装置（消防栓、灭火器、消防喷头等）功能良好,内部控制： 解决“如何确保上述应对策略的有效执行”的问题，例如以控制风险为例： 定期对线路进行检测，生成检测报告，报相关管理层审阅 设立保安岗位，随时检查并消除火灾隐患，并及时报告 定期对灭火装置进行检查，生成检查报告，及时更新陈旧设备,47,什么是内部控制框架,内部控制框架（或内部控制模型）通常由政府监管机构或民间具有权威性的职业组织（或二者合作）建立，意图知导本国或本行业企业建立并保持良好的内部控制，以协助企业达成使命，实现目标并降低风险。 内部控制框架通常包括内部控制定义和目标、内部控制组成部分、内部控制的标准、内部控制具体形式和分类等内容。 一个良好和内部控制框架因地制宜，全面考虑一个国家或一个行业企业经营的内外部环境的各方面特点。 对于一个比较成熟的企业来说，在长期的生产经营实践中必然已经建立了比较成型的内部管理制度体系。但是，通常在与内控相关要素的完整性、科学性等方面均会存在一些缺陷。而内部控制框架，则为企业如何建立完善的内部控制体系提供了一个理论依据，并且为如何更有效地对内控进行管理提供了指导。,一个整合的内部控制框架,48,国际最广泛应用的内部控制框架COSO内部控制整合框架,监控 评估内部控制系统 整合及时独立的评估 管理层和监控机构的工作 内部审计,信息和沟通 定期获取、确定并交流相关的信息 评审内部和外部获取信息 信息流： 职责指导管理层的总结成功的措施,控制环境 管理哲学和经营风格 因素包括正直、道德价值、能力、权威和责任 董事会和审计委员 人力资源政策和实务 是其他内部控制组成部分的基础,控制活动 明确落实管理层的政策/流程 措施包括审批、授权、确认、建议、业绩考核、资产保全和权限分离,风险评估 风险评价是因一些决定性的内部控制活动和企业目标而确认和分析相关风险,所有五大要素必须同时发挥作用，才能让内部控制有效地运作,49,案例分析：内部控制的真实涵义,如前所述，内部控制不单单是具体的业务操作活动，而是包括了控制环境、风险评估、控制活动、信息与沟通、内部监督等要素在内的一个有机的整体。一下通过具体案例，分析了在一个企业中，如果上述内控要素缺失或存在问题，将给企业带来什么样严重的损失。,50,事件概要,2008年1月24日，法国第二大银行法国兴业银行（以下简称“法兴银行”）披露，由于旗下一名交易员违规投机金融衍生品，使该行72小时之内蒙受约合49亿欧元（71.6亿美元）巨额亏损。据称，这也是有史以来涉及金额最大的交易员欺诈事件。 该交易员名叫热罗姆.科维尔。2008年1月28日，他被法兴银行控以“伪造银行文件、滥用信用、非法进入系统，并在欧洲指数期货的投机交易中造成该行高达49亿欧元的巨额亏损”的罪名。 2007年至2008年1月的一年间，科维尔在他的股指期货交易过程中，绕过风险监视系统的监控，建立了高达500亿欧元的期货净交易头寸，远远超过了他的权限，但是法国兴业银行的高层对这一事件却毫不知情，知道因为科维尔的一个错误举动出发了电脑系统的警报，才导致东窗事发。 此案发生后立刻引起广泛关注，法国央行和财政部均已介入调查。外界对法兴银行，尤其是其风险控制系统疑问重重。作为全球衍生品市场的领头羊，究竟是市场风险还是操作风险引发了此次欺诈案？法兴银行的案例将给企业带来何种启示？,51,事件始末,1、贪图高额投机利润铤而走险 科维尔2001年加入法兴银行，2005年被晋升为前台交易员。晋升后的科维尔身处 低风险的套利交易部门，从事指数期货套利交易 套利交易是从一个市场买入资产，同事或几乎同时在另外一个市场售出，以期从不同市场的差价中获取利润。由于这是一种短线交易，且相似金融工具的价值相差无几，所以这种交易名义金额巨大，但风险较小。 科维尔未获得高额投机利润，放弃了套利交易模式，越权建立了大额单边投机头寸。由于在包括监督部门等多个中台部门工作过，使得他对公司交易类业务的监控流程了如指掌。他采用多种手法，掩盖其单边头寸。 1.建立虚拟逆向交易，使投资组合从表面看被对冲 2.从操作部门盗用IT密码，将其虚假交易及时从系统删除，伪造文件证明虚假交易 3.建立多个虚拟的反向性交易（购买/出售），掩盖其越权交易的收益,2、虚假交易确认函导致东窗事发 2008.1.7 科维尔开始建立总体股指期货多头头寸并出现亏损，但通过虚拟方向交易保持风险中性,52,3、管理层果断平仓稳住市场 2008.1.20 法兴高层决定平仓；获得央行和监管部们同意平仓后向市场披露信息 2008.1.23 连续三天平仓完毕实际亏损49亿欧元 2008.1.24 早晨向媒体披露交易亏损由于多头已被全部平仓，当天股市并未受到明显影响,2008.1.18 银行发现一家交易对手信用风险异常，当天，法兴银行收到来自该交易对手的确认函，成交易“正常”，引起有关部门怀疑并开始了紧急调查，发现该确认函是科维尔而伪造 2008.1.19 科维尔被叫到银行问话，发现持有的欧洲股指期货头寸合约价值约500亿欧元，当时亏损15以欧元,53,原因剖析,市场风险：不利的市场走向 但市场风险仅仅是违规事件暴露的促发点，而不是根本原因： 科维尔的职责是从事交易通过发现基差失衡获利，不需要预判市场走向 发行银行风险管理系统采用“风险价值”（VAR）作为指标，充分考虑了市场类别风险的计量与管理 因此，法兴银行巨额亏损的原因在于监控系统长期未能发现交易员的越权交易，市场风险不过是事件暴露的诱因 操作风险才是案件发生的根本原因,交易员越权欺诈交易,上级主管长期监管失职,风险控制系统漏洞,54,案件发生原因的深层次剖析,内部环境 -银行从科维尔做空2007年底的股指期货交易中得到了巨大的收益，但是这种收益是建立在巨大的市场风险之下获得的，法兴银行却因为巨大的收益忽视了公司的头寸市场风险，酿成了最后的惨剧 -出于对高额投资利润的追捧，法兴银行对稽核部门的例外情况报告未给予足够的重视，加上不合适的薪酬激励和人力资源不足影响前中后台独立性，导致交易员的违规操作越加频繁,风险评估 -高层管理员被交易带来的巨大收益麻痹了头脑，忽视了公司整体寸头市场风险。如果公司用RAROC（经过风险调整后的收益率）来衡量交易类业务的收益，那么银行一定不会对科维尔建立的头寸在2007年底的收益感到满意,55,根本的、关键的原因在与发行银行的内部控制体系中相关要素出现了问题,内部监督 -风险控制人员和结算人员的地位较低，使得交易对后台可能会有一冲压力。这种压力导致了风险控制人员和结算人员在监控和结算交易员交易仓位的时候，经常会抱着一种多一事不如少一事的心态，放松了对交易员的监管，位交易员进行越权交易和欺诈性交易提供了可趁之机,信息与沟通 -交易员长达一年的虚拟对冲交易，系统未能有效识别并触发警报 -中后台监控系统的权限在熟知监控流程的员工离开后，并没有马上更新监 控管理系统的密码和权限，为公司的IT系统受到欺骗和攻击埋下了伏笔。系统访问权限和密码可以被交易员轻易篡改，导致其作案得心应手,56,案例启示,启示一：检查业务流程漏洞，预防欺诈性交易 定期梳理业务流程，纠正内部控制漏洞：例如，在后台人员离职之后，无论是离开公司还是到其他部门任职，监控系统的密码和权限要及时重置，以控制操作风险的口 提高对欺诈性交易的识别能力：优化内部控制流程，并增加相应的控制点，例如岗位职责分离、设置AB角、严格审批程序等，以有效防范内部欺诈,启示二：在进行大量盈利的同时，不要忘记同时存在的风险 如果公司用RAROC（经过风险调整后的收益率）来衡量交易类业务的收益，那么法兴银行一定不会对科维尔建立的头寸在2007年底的收益感到满意,启示三：重视监督部门的地位和权利 公司中后台人员应该赋有和前台人员一样的地位和权利，公司前中后台工作人员在每项具体的业务中，应该是一种平行化的设置，不应该出现前台人员对中后台人员有越权管理的事情发生。这同时也需要公司在薪酬和考核体系上制定相应的政策，避免不合适的激励和人力资源不足影响前中后台独立性及其实际效果,57,启示四：重视系统安全，防范技术风险 加强信息系统建设，针对市场环境的变化适时更新和升级系统 严格设置系统访问和修改权限，确保信息的安全性和完整性,启示五：借鉴风险处置经验，果断从风险中止损 当风险被识别后，要果断采取措施进行应对，将风险损失控制在最低范围内,58,中央企业的风险管理指引,总则,风险管理组织体系,风险管理信息系统,风险管理文化,59,中国企业的内部控制体系框架企业内部控制基本规范,60,内部控制与风险管理之间的关系,企业经营管理的根本目的：实现企业确立的目标,目标,风险,风险应对措施/策略,内部控制措施,中央企业全面风险管理指引,企业内部控制基本规范,收集风险管理初始信息,进行风险评估,制定风险管理策略,提出和实施风险管理解决方案,风险管理的监督与改进,（四） 信息与沟通,（五） 内部监督,（二） 风险评估,（一） 内部环境,（三） 控制活动,61,两者之间的关系,企业经营管理的根本目的：实现企业确立的目标,相同点,区别,基本规范和风险指引从理念上市基本相同的，都要求从源头“目标”出发，识别并评估与实现目标相关的风险，确定风险应对策略，进而建立并维护必要的内部控制措施。,二者在内容上各有侧重： 风险指引侧重点在于对风险管理的基本流程进行介绍，明确了风险管理的五大步骤，同时对风险管理的组织体系、信息系统、风险管理文化进行了要求。 基本规范侧重点在于对企业应当建立什么样的内部控制体系作详细介绍，包括要求企业从内部环境、风险评估、控制活动、信息与沟通、内部监督等要素方面建立与实施有熊的内部控制。,目标,风险,风险应对措施/策略,内部控制措施,