《{内部管理}企业内部控制与风险管理PPT60页》由会员分享,可在线阅读,更多相关《{内部管理}企业内部控制与风险管理PPT60页(60页珍藏版)》请在金锄头文库上搜索。
1、企业内部控制与风险管理林斌,简历,1997年,毕业于厦门大学会计系,获经济学(会计学)博士学位。现任中山大学会计学系教授、博士生导师、系主任、MPAcc中心主任,兼任财政部企业内部控制标准委员会专家咨询组成员、广东省内部审计协会副会长、广东省审计学会副秘书长。曾在美国哈佛大学商学院、德州大学管理学院进修、学习。 目前主要研究领域:内部控制与风险管理、战略管理会计、企业会计准则、预算管理、业绩评价等。,2,内容提要,为什么关注内部控制与ERM 什么是企业内部控制与ERM 公司治理与内部控制 COSO、ERM与COBIT SOX与我国内控规范 内部控制制度设计与评价,开篇小案例,中信泰富发布声明称
2、,集团财务董事张立宪和财务总监周志贤私自与香港多家主要银行订立累积外汇期权合约,结果在金融海啸之下导致集团损失155亿港元。,中信泰富炒外汇巨亏147亿,外部原因:澳元持续贬值 从7月中旬到8月澳元兑美元跌幅高达10.8% 由于公司签订的有关外汇合约属累计期权( Accumulator ),亏损可能“无底”,目前已录得约8亿元实现亏损,以目前汇率计算,至今年底的账面损失更高达147亿元 内部原因:财务董事未遵守对冲风险政策、内部监管不到位,I kill you later ?,小结,越是具有创新能力的公司越是更多地使用控制系统 混沌理论的初始值与蝴蝶效应 Adrian Cadbury爵士: 公
3、司失败都是由内部控制的失败引起的,内部监控与风险管理,企业治理(续),公司治理与内部控制的交叉部分是监督、信息传递与权责分配,治理主体评价内部控制效果,经营者有责任向治理机关报告内部控制执行情况,公司治理,外部治理,内部治理,股东,其他利益相关者,外部市场,董事会,监事会,经营管理层,股份公司,审计委员会 提名委员会 薪酬与考核委员会,小结,有人认为,内部控制制度是 一种最优化、最简捷、最合理的作业标准 一种授权体系和责任化体系 一种衡量风险的基础 到底什么是内部控制?,日昇昌,什么是内部控制?,内部牵制 内部控制 内部控制结构 内部控制的完整框架(旧COSO报告) 企业风险管理(新COSO报
4、告),内部控制结构(1988),内部控制,组织内部的内部控制 组织外部的内部控制 席尔宾斯基三角,内部控制的完整框架,1992年, COSO提出了著名的“内部控制的完整框架”的研究报告,1994年进行了增补。 COSO报告提出内部控制的目标有三个: 提高经营效率,取得好的经营效果 合理保证财务报告的可靠性 遵循有关的法规制度,内部控制的完整框架(续),内部控制的要素 内部环境 风险评估 控制活动 信息与沟通 监督,五要素及其相互关系,监控,控制活动,风险评估,内部环境,信,息,沟,通,信,息,沟,通,基础,手段,保证,载体,依据,内部控制的完整框架(续),COSO委员会提出,内部控制是由企业董
5、事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式,并与管理过程相结合。,控制环境,内部环境评估关注要点 诚信与道德价值观 胜任能力 董事会或审计委员会 管理层的理念和经营风格 组织结构 责任的分配和授权 人力资源政策和实践,企业风险管理,2003年7月美国COSO颁布了企业风险管理框架的讨论稿,并于2004年4月颁布正文。同1992年的COSO报告相比,新的COSO报告增加了一个观念、一个目标、两个概念和三个要素,ERM的定义,企业风险管理的定义 一个由企业的董事会、管理层和其他员工
6、共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程,ERM的目标,ERM的目标 战略目标 经营目标 报告目标 合法性目标,ERM的主要内容,ERM的构成要素 内部环境 目标制定 事项识别 风险评估 风险反映 控制活动 信息和沟通 监控,企业风险管理,中海壳牌,If youre just getting by,youre not reaching your IQ potential,“Getting by” Meeting Minimum Requirements,COBIT的三维框架图
7、,COBIT框架应用图,企业目标 治理目标,信息要求,规划与组织,获取与实施,交付与支持,监督与评价,IT资源,应用 信息 设施 人员,有效性 效率性 保密性 完整性,可用性 遵循性 可行性,基于信息技术的风险管理平台,内部控制法规,美国萨班斯法案 SEC与AICPA(PCAOB) 中国的内控规范,SOX的目的,布什在SOX新闻发布会上“这是自罗斯福总统以来美国商业界影响最为深远的改革法案” 公司内部治理及风险管理水平的提升,也是对投资者利益的保护(会给资方带来溢价,尤其是机构投资者) SOX有助于 强投资者的信心 提升透明度 改革会计行业,中国主要的企业内部控制规范,我国企业内部控制规范体系
8、,基本规范,具体规范,制度支持,财务报表编制相关规范,财务报表项目相关规范,应用指南,货币资金,采购与付款,存货,对外投资,工程项目,固定资产,无形资产,资产减值,销售与收款,筹资,衍生工具,成本费用,担保,合同,对子公司控制,合并与分立,服务外包,财务报告编制,关联交易,公允价值,信息披露,预算,人力资源政策,计算机系统,内部审计,中介机构聘用,企业内部控制基本规范(续),总 则 内部控制的目标、要素与原则 内部环境 风险评估 控制活动 信息与沟通 监督检查 附则,内控 规范,企业内部控制基本规范(续),内部控制的目标 企业战略 经营的效率和效果 财务报告及相关信息的真实、准确和完整 资产的
9、安全完整 遵循国家法律、行政法规和有关监管要求,企业内部控制基本规范(续),内部控制的要素 内部环境 风险评估 控制活动 信息与沟通 监督检查,企业内部控制基本规范(续),内部环境 影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础 治理结构 组织机构设置与权责分配 企业文化 人力资源政策 内部审计,治理结构,治理结构规范运行 企业应当制定股东会、董事会、监事会的议事规则,明确界定决策、执行、监督各层面的地位、职责与任务,形成有效的分工和制衡机制 审计委员会设立及其独立性 审计委员会职责,内部机构设置与权责分配,机构设置 权责分派 权责分派的知情与监督,企业文化,企业文
10、化的概念和内容 企业在经营管理过程中形成的、影响企业内部环境和内部控制效力的精神、意识和理念,主要包括企业的整体价值观、合规经营意识,员工行为守则、高级管理人员的管理理念和经营风格等 企业管理层在企业文化建设中的责任 行为准则 高管人员管理理念和经营风格 高管人员在信息披露中的责任,人力资源政策,人力资源政策内容 员工的聘用、培训、辞退与辞职 员工的薪酬、考核、晋升与奖惩 关键岗位员工的强制休假制度和定期岗位轮换制度 对掌握国家秘密和重要商业秘密的员工离岗的限制性规定 员工聘用 员工培训 激励约束机制,内部审计,内部审计的作用 内部审计机构设置与人员配备,企业内部控制基本规范(续),风险评估
11、及时识别、科学分析和评估影响企业目标实现的各种不确定因素并制定应对策略的过程,是实施内部控制的重要环节 风险识别 风险分析 风险应对,风险识别,内部风险 高级管理人员职业操守、员工专业胜任能力、团队精神等人员素质因素 组织结构、经营方式、资产管理、业务流程设计、财务报告编制与信息披露等管理因素 财务状况、经营成果、现金流量等财务因素 研究开发、技术投入、信息技术运用等技术因素 营运安全、员工健康、环境污染等安全环保因素,风险识别(续),外部风险 经济形势、产业政策、资源供给、利率调整、汇率变动、融资环境、市场竞争等经济因素 法律法规、监管要求等法律因素 文化传统、社会信用、教育基础、消费者行为
12、等社会因素 技术进步、工艺改进、电子商务等科技因素 自然灾害、环境状况等自然环境因素,控制活动概念及其分类,企业应当结合风险应对策略,采取人工控制与自动控制相结合的控制措施 控制措施通常包括职责分离控制、授权审批控制、预算控制、财产保护控制、分析与报告控制、绩效考评控制、信息技术控制等,信息与沟通的要求,对信息采集的要求 内部信息采集方式 外部信息采集方式 信息沟通要求 信息沟通渠道 反舞弊机制,小结,法律法规,使之不敢; 内部控制,使之不能; 职业道德,使之不愿。,内部控制制度设计,制度反思(中国人寿) 海恩法则: 每一起严重的事故的背后,必然有29起轻微的事故和300起未遂先兆,以及100
13、0起事故隐患。,内部控制的设计,企业层面 战略的高度 立体的控制系统(组织、项目与流程) 定位(管理、制度、形式) 政府(立法)层面 法规角度(最低要求,法不责众) 程序与框架依据 专家的作用(学者、专家与官员),“采购-付款”业务活动的内控制度流程说明,财务主管,应付会计,出纳,总经理,采购部门,供应商,预估账,入库单,付款申请,发票,正式账,(),(),(),内部控制的评估,基于SOX的评估 基于中国规范的评估 基于ERM、COBIT的评估,财务报表的内部控制评价,将内部控制缺陷分 设计缺陷(设计有效性) 执行缺陷(执行有效性) 根据内部缺陷的严重程度将其分为 一般内部控制缺陷(Control Deficiency) 重大内部控制缺陷(Significant Deficiency) 实质性漏洞(Material Weakness) (与SOX不符) 重要性判断 错报的可能性(每年、月、还是天) 错报的危害性,武汉道博(续),思考与启示 AACSB认证与教育部的评估 形式与实质 过程与结果,总结,从小企业演变成大企业,需要三个条件来支持 完善的内控制度和ERM:企业内部免疫机制 发育健全的管理组织:脊椎动物的骨架 明确的战略:与别人不一样的存在,谢谢!,