《企业内部控制与风险管理研究以万科为例》由会员分享,可在线阅读,更多相关《企业内部控制与风险管理研究以万科为例(84页珍藏版)》请在金锄头文库上搜索。
1、企业内部控制与风险管理研究-以万科为例目录第一章概述. 5第一节内部控制与风险管理理论的形成和发展. 5一、内部控制理论的形成和发展. 5二、风险管理理论的形成和发展. 6第二节内部控制与风险管理的定义. 7一、关于内部控制相对权威的定义. 7二、关于风险管理相对权威的定义. 8三、内部控制各组成要素的定义. 8四、风险管理各组成要素的定义. 9第二章内部控制与风险管理关系的理论研讨. 10第一节内部控制的与风险管理的联系. 10一、COSO框架和国内规范中内部控制和风险管理的联系. 10二、COSO框架中内部控制与风险管理的联系. 10第二节内部控制与风险管理的区别. 11一、内部控制与风险
2、管理提出主体和动机不同. 11二、内部控制体系与风险管理体系建立的顺序不同. 11三、内部控制体系与风险管理体系适应面和时效性不同. 12本章小结. 12第三章内部控制与风险管理关系的实证研讨. 13第一节内部控制实践(以万科为例). 13一、国内监管部门对于企业内部控制的要求. 13二、万科施行内部控制相关工作介绍. 13三、万科内部控制评价报告. 15第二节风险管理实践(参考万科经验). 23一、风险管理的必要性. 23二、风险管理体系和筹建工作策划. 24三、风险管理体系的建立部分工作介绍. 25四、风险管理体系. 36五、风险管理体系的施行、监督和持续改进. 37本章小结. 37第四章
3、总结. 39引言2006年6月6日,国务院国有资产监督管理委员会发布关于印发中央企业全面风险管理指引的通知,要求各中央企业实际执行。通知发布以后,除了中央企业根据此风险管理指引建立和施行风险管理制度外,许多立志做大做强、希望持续、健康、稳定发展的企业也积极借鉴此指引,学习风险管理知识,建立并施行风险管理制度。2008年5月22日,财政部、证监会、审计署、银监会、保监会联合发布关于印发企业内部控制基本规范的通知,要求自2009年7月1日起在上市公司范围内施行企业内部控制基本规范,并鼓励非上市的大中型企业执行。要求上市公司对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券
4、、期货业务资格的会计师事务所对内部控制的有效性进行审计。这是国内第一次对企业,特别是上市公司内部控制提出明确要求。2010年4月15日,财政部、证监会、审计署、银监会、保监会联合发布关于印发企业内部控制配套指引的通知,要求自2011年1月1日起在境内外同时上市的公司施行企业内部控制配套指引,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。请各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。执行企业内部控制基本规范及企业内部控制配套指引的上市公司和非上市大中型企业,应当对内部控制的有效
5、性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。上市公司聘请的会计师事务所应当具有证券、期货业务资格;非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。这份通知对上市公司和非上市大中型企业施行内部控制提出了强制性要求。自2008年五部委对企业施行内部控制提出明确甚至强制性要求以来,国内企业普遍表现出疑惑:2006年国资委发布的中央企业全面风险管理指引中对内部控制系统的定义是:本指引所称内部控制系统,指围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务
6、、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。同时明确:风险管理体系包括风险管理策略、风险理财策略、风险管理的组织职能体系、风险管理信息系统和内部控制系统。国资委的风险管理指引将内部控制系统作为风险管理体系的一个组成部分。然而,2008年五部委发布的企业内部控制基本规范对内部控制的定义是:内部控制是由企业董事会、监事会、经理层和全体员工施行的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展
7、战略。内部控制有五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。这个定义不仅超出了国资委对内部控制系统的定义范围,而且与国资委所称的风险管理体系似是而非。内部控制究竟该怎么理解、如果施行?内部控制和风险管理有何联系和区别,企业该如何解决原有风险管理体系和强制性内部控制要求的问题?两者是统一的还是矛盾的?是否必须将原有风险管理体系推翻后重新建立内部控制体系?企业界掀起了一股学习内部控制的热潮,学术界不断推出内部控制研究理论,社会上各种类型的内部控制培训班遍地生花、层出不穷笔者这几年一直在一家国有
8、房地产企业负责风险管理工作,并有幸参加了几次国内比较高级的内部控制与风险管理培训、研讨会议。通过这些培训和研讨,本人较广泛的了解到国内企业(特别是房地产企业)施行风险管理的实践经验和现实状况,也了解到其他企业对于内部控制普遍存在疑惑的现实问题,而且,这些疑惑并没有通过培训和研讨得到有效解决。内部控制与风险管理培训班一般将内部控制和风险管理由不同讲师分别讲解,对于二者的关系,则不予涉及或含糊表达。笔者这两年也经常关注相关学术文章,理论界对内部控制和风险管理的关系至今也没有一个权威的结论。然而,企业的风险管理工作必须推进,五部委提出的内部控制要求必须执行。在这样的情况下,笔者迫于工作压力,不得不从
9、解决现实问题的角度来研究:内部控制的理论和实践?风险管理的理论和实践?内部控制与风险管理的区别和联系?企业如何能够持续施行风险管理又同时满足五部委企业内部控制基本规范及企业内部控制配套指引的要求?备注:内部控制从字面上存在多种解释,如:内部主体施行的控制方法;内部主体建立的控制体系;内部主体主动施行的控制方法;内部主体被动施行的控制方法;内部主体主动建立的控制体系;内部主体被动建立的控制体系;内部局部施行的控制方法;内部全面施行的控制方法;内部局部建立的控制体系;内部全面建立的控制体系比较国资委和五部委对内部控制的定义可知,国资委将内部控制定义为内部局部建立的控制体系,五部委将内部控制定义为内
10、部全面建立的控制体系。也许,这么多可能解释正是学术界对内部控制研究不清的根源,也是企业界难于操作的重要原因。本文对内部控制的研究不可能面面俱到,特以五部委企业内部控制基本规范及企业内部控制配套指引的所称的内部控制作为研究对象,并将其与风险管理进行对比研究。第一章 概述第一节内部控制与风险管理理论的形成和发展一、内部控制理论的形成和发展18世纪的产业革命掀起了经济发展高潮,出现了公司制这种企业组织形式。19世纪初,经济的发展使公司规模不断扩大,所有权和经营权分离,所有者认为管理者不可能面面俱到,于是要求在企业内部建立“内部牵制制度”。二战后,内部牵制制度逐渐演变成较为严密的内部控制系统。1949
11、年,美国会计师协会的审计程序委员会在内部控制:一种协调制度要素及其对管理当局和独立注册会计师的重要性的报告中,对内部控制首次作了权威性定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”19世纪80年代以来,内部控制的研究进一步向具体内容深化。1992年COSO1内部控制整合框架将内部控制定义为,“受董事会、管理层及其他人员影响的,为达到经营活动的效率和效果、财务报告的真实可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。”它包括三个目标:与运营有关的目标,即
12、确保企业的经营效率和效果;与财务报告有关的目标,即确保财务报告真实可靠;与法律法规的遵循有关的目标,即确保企业经营过程中遵守有关的法律法规。它由五个方面的要素组成:控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。2000年安然、世通事件让政府和公众进一步认识到公司内部控制的重要性。2002年美国国会通过萨班斯法案,提出披露内部控制报告的强制要求。SEC2亦相应地于2003年8月发布规则,具体规定了与财务报告相关内部控制工作的内容和格式。我国1997年开始施行的独立审计具体准则第九号-内部控制与审计风险中对内部控制
13、的定义是:“内部控制是被审计单位为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和施行的政策与程序。”2008年6月28日发布,自2009年7月1日起施行的,由财政部、证监会、审计署、银监会、保监会联合制定的企业内部控制基本规范,称内部控制是由企业董事会、监事会、经理层和全体员工施行的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。二、风险管理理论的形成和发展风险管理起源于美国。19世纪30年代,由于受到19291933年的世
14、界性经济危机的影响,美国约有40左右的银行和企业破产,经济倒退了约20年。为应对经营危机,许多大中型企业都在内部设立了保险管理部门,负责安排企业的各种保险项目,当时的风险管理主要依赖保险手段。1938年以后,美国企业风险管理开始采用科学的方法,并逐步积累丰富的经验。上个世纪50年代,风险管理发展成为一门学科,风险管理一词才正式形成。上世纪70年代以后逐渐掀起全球性的风险管理运动,随着企业面临的风险的复杂多样性和风险费用的增加,法国从美国引进了风险管理并在法国国内传播开来。与此同时,日本也开始进行风险管理研究。近30年来,美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。
15、1983年在美国召开的风险和保险管理协会年会上,世界各国专家学者云集纽约,共同讨论并通过了“101条风险管理准则”,它标志着风险管理的发展已进入了一个新的发展阶段。1986年,由欧洲11个国家共同成立的“欧洲风险研究会”将风险研究扩大到国际交流范围。1986年10月,风险管理国际学术讨论会在新加坡召开,风险管理已经由环大西洋地区向亚洲太平洋地区发展。2004年的COSO风险管理整合框架将风险管理定义为,“由企业的董事会、管理层以及其他人员共同施行的,应用于战略制定有企业各个层次的活动,旨在识别影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理保证的过程。”风险管理的目标有四个:报告类目标、经营类目标、遵循性目标以及战略目标。风险管理的组成要素有八个:内部环境、目的设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控。中国对于风险管理的研究开始于上世纪80年代,一些学者将风险管理和安全系统工程理论引入中国,在少数企业试用中感觉比较满意。2006年6月6日,国务院国有资产监督管理委员会发布关于印发中央企业全面风险管理指引的通知将风险管理定义为:企业围绕
