精品企业内部控制与风险管理可编辑

《精品企业内部控制与风险管理可编辑》由会员分享，可在线阅读，更多相关《精品企业内部控制与风险管理可编辑（139页珍藏版）》请在金锄头文库上搜索。

1、企业内部控制与风险管理1930s1936年 AICPA 【独立公共会计师对财务会计报告的审查】1949年AICPA特别报告1940s1950s1958年AICPA【审计程序公告】SAP NO 331960s1970s1973年 AICPA【审计程序公告】SAP NO 54 1977年 【反国外行贿法】 FCPA1985年Treadway Commission反虚假财务报告委员会1980s1992年 COSO内部控制框架1990s2000s2002年 Sarbanes Oxley Act （SOX）法案一、内部控制：外部压力下的企业实践1984年 AICPASAS NO 48 2一、内部控制：外

2、部压力下的企业实践1、市场环境影响下的内部控制实践1-1、作为企业本能反应的内部控制（1936年）年）n为保证1.公司现金和其他资产的安全2.检查帐簿的准确性而采取的各种措施和方法 3一、内部控制：外部压力下的企业实践1、市场环境影响下的内部控制实践1-2、内部控制作为一个系统的实践（1949年）年）n基于1.保护企业资产2.检查会计资料正确可靠3.提高业务效率4.促进企业经营方针、组织计划的贯彻执行而在企业内部采取的各种稽查措施 4一、内部控制：外部压力下的企业实践1、市场环境影响下的内部控制实践1-4、内部控制的要点（1973年）年） 管理控制制度包括但不限于：n组织机构设计n管理部门批准

3、的性质与记录批准程序的定义：1.管理部门的一种职能2.与其完成组织目标所承担的责任相关3.是对所有交易事项建立会计控制制度的出发点会计控制制度包括但不限于：n组织机构设计n与财产财产保护和财务会计记录可信性直接相关的各种措施，包括：1.按一般或特殊授权处理交易2.按GAAP记录交易；维护资产的受托报告责任3.未经授权不得接触资产4.帐面财产与实物定期核对6一、内部控制：外部压力下的企业实践1、市场环境影响下的内部控制实践1-4、内部控制的要点（1973年）年）业务行为的批准及其记录n一切批准文本化n批准的性质：1.批准是权力或职能？2.批准基于功能而非行政级别3.批准是个人与实现企业目标之责任

4、履行的工具4.目标-责任-职能 / 基于责任的权力与职能5.强调批准的责任性和功能性是为所有业务行为建立控制的出发点6.控制自批准责任和功能的执行开始7一、内部控制：外部压力下的企业实践1、市场环境影响下的内部控制实践1-4、内部控制的要点（1973年）年） 业务行为的批准及其记录控制的重点和起点：是制度控制还是领导控制？ 是行为批准还是付款批准？案例：仪征化纤案例：仪征化纤“严格控制严格控制”下的硕鼠公行下的硕鼠公行n1999年 2005年，公司营销部财务人员挪用5000万元n仪征化纤有严格的内部管理制度？1.一年审计4次！2.超过2000元的招待费由公司负责人签字3.二级单位业务人员出差，

5、飞机票由公司主要负责人审核n这是偶然事件？1.6年 5000万2.10年未换岗8一、内部控制：外部压力下的企业实践1、市场环境影响下的内部控制实践1-4、内部控制的要点（1973年）年） n1973年定义对内部控制观念的发展1.原属会计范畴的批准制度归管理控制制度2.以责任功能为基础反应会计控制的目标3.内部控制以交易为主要对象4.交易的记录须满足GAAP和财产保管责任9一、内部控制：外部压力下的企业实践管理控制包括但不限于n引导管理层对交易活动进行授权之决策过程的1.组织计划2.程序3.记录 1、市场环境影响下的内部控制实践1-5、内部控制的制度起点（1984年）年）授权决策过程n该授权是建

6、立交易活动之会计控制的起点组织计划程序记录引导交易活动组织目标n该授权直接关系实现组织目标责任的管理层职能10一、内部控制：外部压力下的企业实践会计控制包括n涉及财产安全、可信财务记录 之1.组织计划2.程序3.记录n由此设计能提供合理保证的措施1、市场环境影响下的内部控制实践1-5、内部控制的制度起点（1984年）年） n按管理层一般或特殊授权执行交易活动n记录的交易必须 1.按GAAP或适用标准编制财务报表2.保持财产的受托报告责任n未经授权不得接触资产n记录的财产受托报告责任应在合理的间隔期与实物资产进行核对n对存在的差异作出合理处置 AU 320-27）11一、内部控制：外部压力下的企

7、业实践立法之必要美参议院之Committee on Banking, Housing and Urban Affairs 1977年在解释该立法之必要时指出：n对海外政府或公职人员的贿赂1.玷污了美国民主在海外的形象2.损害了美国公司财务真实的信誉3.妨碍了美国资本市场的有效功能n自由市场制度的基本信条是：产品销售应当基于价格、质量、服务；公司贿赂彻底摧毁了这一信条。n个别美国公司的贿赂行为败坏了美国公司的整体声誉；制定一部严厉的反贿赂法案，将重塑美国诚实商业制度的公共信誉Foreign Corrupt Practices Act （FCPA）1977【反海外行贿法】2、立法对企业内部控制的干

8、预和影响12一、内部控制：外部压力下的企业实践立法之逻辑n贿赂与内部控制的关系：管理层凭借公司贿赂和篡改记录，既提升业绩、又掩盖其劣迹n基于此，该立法强制要求报告公司就下列行为提出具法律效力的证实：1.维护正确、公允反映公司交易活动之帐本和记录2.设计健全内部控制制度，以确保报告之资产用于正当公司行为n该委员会认为：1.基于证券法提出的证实义务，配合因违反法定准则而应承担的相应民事责任和刑事惩罚，将能持久地防止公司资产用于贿赂2.通过保证公司会计记录的可靠性，将增强证券市场之公共信誉2、立法对企业内部控制的干预和影响Foreign Corrupt Practices Act 1977【反海外行

9、贿法】13一、内部控制：外部压力下的企业实践立法之结果n所有公众公司必须满足如下法律要求：1.帐簿记录须正确、公允反映资产的交易和处置2.作为对1934年证券交易法13（b）的修订，新增的Subparagraph (b)(2)(B) ，要求报告公司设计和维护充分的内部会计控制制度，以为如下行为提供合理保证（完全采取1973年AICPA SAP NO. 54 观点）：n按管理层之一般或特殊授权进行交易n必要的交易记录符合编制财务报表之GAAP；维护受托报告责任（accountability）n未经管理层授权不得接触资产n资产定期帐实核对. Foreign Corrupt Practices Ac

10、t 19772、立法对企业内部控制的干预和影响n管理层之stewardship 责任的基本：1.就公司业务的充分受控，为股东提供合理保证2.向股东和潜在投资者及时提供可信的财务信息14一、内部控制：外部压力下的企业实践Foreign Corrupt Practices Act 19772、立法对企业内部控制的干预和影响基本规范第四十二条n企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点：（一）未经授权或者采取其他不法方式侵占、挪用

11、企业资产，牟取不当利益。（二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。（三）董事、监事、经理及其他高级管理人员滥用职权。（四）相关机构或人员串通舞弊。15一、内部控制：外部压力下的企业实践3-1、 National Commission on Fraudulent Financial Reporting （Treadway Commission ）反虚假财务报告委员会 1987年n1980s 大面积公司财务报表丑闻，催生了Treadway CommissionnTreadway Commission 之报告对资本市场的3个关键组织：公众公司、独立公共会计师、SE

12、C 分别提出共49条建议AICPAAAAIIAFEIIMA资助Treadway CommissionTreadway CommissionReport3、内部控制的全球标杆：1992年 内部控制内部控制-整体框架整体框架16一、内部控制：外部压力下的企业实践3、内部控制的全球标杆： 1992年 内部控制内部控制-整体框架整体框架3-1、 National Commission on Fraudulent Financial Reporting （Treadway Commission）反虚假财务报告委员会 1987年对公众公司的建议n委员会认为，防范和发现财务报告过程的欺诈，必须从财务报告编制

13、的组织行为开始：1.The tone set by top management2.内部会计与内部审计功能3.审计委员会4.管理层与审计委员会的报告5.寻求独立公共会计师的第二种意见6.季度报告17一、内部控制：外部压力下的企业实践3、内部控制的全球标杆： 1992年 内部控制内部控制-整体框架整体框架3-1、 National Commission on Fraudulent Financial Reporting （Treadway Commission）反虚假财务报告委员会 1987年对SEC的建议n在委员会共49条建议中，要求SEC制定规则或采取立法行动的计13条：1、 要求公众公司设

14、置独立审计委员会 (independent audit committee)2、 要求报告公司随年度报告提交管理层报告 (management report)，说明其对财 务报表和财务控制措施的责任3、 要求年度报告附审计委员会函 (audit committee letter)，描述委员会的活动4、 要求报送重大审计问题披露 (disclosure of material auditing issues) ，披露过 去3年间任一审计人员的变更事项18一、内部控制：外部压力下的企业实践3、内部控制的全球标杆： 1992年 内部控制内部控制-整体框架整体框架3-1、 National Commi

15、ssion on Fraudulent Financial Reporting （Treadway Commission）反虚假财务报告委员会 1987年对SEC的建议（续1）n在委员会共49条建议中，要求SEC制定规则或采取立法行动的计13条：5、 要求季度财务数据 (quarterly financial data)发布前，须经独立会计师审核6、 建议SEC寻求立法授权，以在禁令诉讼和行政诉讼中处以民事罚款 (civil money penalties)7、 建议SEC寻求立法授权以颁发制止令 (cease and desist orders)8、 建议SEC寻求特别授权以阻止或取消公司行

16、政官员和董事资格 (bar or suspend corporate officers and directors)9、 建议SEC 加强与刑事执法机构的合作，设法通过对欺诈报告行为案件增加刑事起诉 (increased criminal prosecutions) 之法案19一、内部控制：外部压力下的企业实践3、内部控制的全球标杆： 1992年 内部控制内部控制-整体框架整体框架3-2、 COSOs Internal ControlIntegrated FrameworknTreadway Commissions charter 认为：必须推进会计处理和财务记录的公司内部控制。此观点为会计处

17、理和财务报告过程的多元改革，垒下基石nCOSO对 Treadway Commission的主要贡献，就是开发出一个开放的、整合的架构，用以分析并推进内部控制效用n1992年正式发布的“内部控制内部控制-整体框架整体框架” （Internal ControlIntegrated Framework）已成为用来分析和报告内部控制之事实上的标准AICPAAAAIIAFEIIMA资助Treadway CommissionCOSOTreadway Commissionreport内部控制-整体框架204、公司治理和内部控制的法律手术： 2002年 Sarbanes Oxley Act AnActTo p

18、rotect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes一、内部控制：外部压力下的企业实践The most far-reaching reforms of American business practices since the time of F. D. Roosevelt21二、二、SOX法案对现代企业行为的影响法案对现代企业行为的影响为什么是【公众公司会计改

19、革与投资者保护法案】？1、SOX法案的立法逻辑投资者的自由选择资本市场的民主基础公司财务信息的真实与及时披露是自由选择的基础公司的义务信息真实及时披露政府的责任维护资本市场保护投资者利益政府的要求财务信息可靠投资者资产安全政府的要求可信财务报告过程之内部控制公司的义务保证信息真实的内部控制政府为维护资本市场而对投资者提供的主动保护政府为维护资本市场而对进入者设置的最低限制条件公司为获得资本在法律制约下的被动选择22外部市场股东利益投资者利益可靠会计信息健全会计控制公司治理内部控制体系政府职责保护市场独立公共审计政府直接干预的途径和手段立法政府间接干预的途径和手段审计准则公司、组织民间机构制度标

20、准要求采纳Accountability (受托报告责任）受托报告责任）二、二、SOX法案对现代企业行为的影响法案对现代企业行为的影响2、SOX法案的立法路径为什么是【公众公司会计改革与投资者保护法案】？23二、二、SOX法案对现代企业行为的影响法案对现代企业行为的影响n立法的路径手段1.为公司董事会和审计委员会制定了新的行为准则2.为公司管理层制定了新的受托报告责任标准和刑事惩罚3.为外部审计师制定了独立准则4.建立了隶属SEC之民间机构 Public Company Accounting Oversight Board (PCAOB) ，以监督公共会计事务所和发布会计准则3、Sarbanes

21、 Oxley 之结构与指向 法案指向n立法的核心法理：监督、责任、惩罚1.会计监督 （accounting oversight）2.公司责任 （corporate responsibility）3.财务披露 （financial disclosures）4.受托报告责任 （accountability）5.刑事惩罚 （criminal penalty）24二、二、SOX法案对现代企业行为的影响法案对现代企业行为的影响25二、二、SOX法案对现代企业行为的影响法案对现代企业行为的影响(a) 法定要求- 凡按1934年证券交易法13(a) 或15(d)定期提交财务报告的公司，SEC应按规 定，要求

22、其principal officer or officers and principal financial officer or officers 或执行类似职能之管理人员，对按本条款或本法案提交的每一份季度报告和 年度报告作如下确证： 4、签署该报告之officer（A）负责建立和维护内部控制措施（B) 已设计的内部控制措施，可确保这些officers能通过组织内的其他人而知悉提交报告之公司及下属机构的重要信息，尤其是在定期报告编制期间（C）已评估报告公司至报告日90天之内部控制措施的有效性（D）根据其对上述期间内部控制的评估，在报告中已表达该内部控制措施有效性的结论4、SOX法案与内部控

23、制26二、二、SOX法案对现代企业行为的影响法案对现代企业行为的影响5、签署该报告之officer已向报告公司之审计人员、董事会之审计委员会披露（A）内部控制设计和执行中存在的、对报告公司之记录、处理、汇总及财务数据报告之能力具有负效应的全部重要漏洞；已向报告公司之审计人员确认了内部控制措施的任一严重缺陷（B) 涉及管理层或在报告公司之内部控制中起重要作用的其他员工的所有欺诈行为，无论重要与否6、签署该报告之officer已在报告中说明：内部控制是否存在重大变更，或到其 评估日对内部控制后果会产生重要影响的其它因素，包括对重要漏洞和严重 缺陷的任一改正行为4、SOX法案与内部控制27二、二、S

24、OX法案对现代企业行为的影响法案对现代企业行为的影响(a) 强制规则 SEC必须规定，按1934年证券交易法section 13(a) 或 15(d) 要求提交的每份年度报告，需 包含一份内部控制报告，该报告应（1）说明管理层对建立和维护财务报告过程之充分内部控制结构及程序的责任（2）包含一份截止报告公司最近一个会计年度末、其财务报告过程之内部控制结构及程序 有效性的认定(b) 内部控制的评估与报告 与 条款(a) 之内部控制认定要求对应，为该报告公司编制或发表审计报告之每一家注册 公共会计事务所，必须对报告公司管理层所作认定进行证实并报告。根据条款(a) 所作 的证实，必须按PCAOB发布或

25、认可之证实业务准则执行。任何此类证实，不得成为某 独立业务的主题4、SOX法案与内部控制指直接对公司财务报告行为之内部控制（ICFR）是否有效发表意见，而非对管理层评估过程的有效发表意见。以此传递管理层披露的信息是否公允-SEC2007-6-27修正案28二、二、SOX法案对现代企业行为的影响法案对现代企业行为的影响4、SOX法案与内部控制n404条款的目标，是向投资者对公司内部控制制度是否有效给出有意义的披露，而非无端施加遵循负担或浪费股东资源 - SEC 主席 C Cox29有一个良好的制度，就是笨蛋也能使企业赢利 - 某西方企业家KPMG的调查的调查 （1998年美国年美国5000家企业

26、和组织家企业和组织）员工举报58%内部控制51%内部审计43%客户举报41%偶尔发现37%公司专门调查35%匿名举报制度35%热线举报25%员工专门调查21%政府专门调查16%供应商举报11%第三方举报8%外部审计4%其他1%二、二、SOX法案对现代企业行为的影响法案对现代企业行为的影响5、SOX法案、内部控制、公司安全、市场稳定30安永2002年的调查的调查手段内部控制管理层审核内部审计外部审核举报偶然发现预防等级发现等级143625123456KPMG为 2KPMG为 1同KPMG二、二、SOX法案对现代企业行为的影响法案对现代企业行为的影响5、SOX法案、内部控制、公司安全、市场稳定31

27、二、二、SOX法案对现代企业行为的影响法案对现代企业行为的影响5、SOX法案、内部控制、公司安全、市场稳定揭露欺诈行为的手段揭露欺诈行为的手段2003年年1998年年1994年年内部控制内部控制 内部审计内部审计 员工举报员工举报 偶然发现偶然发现 匿名提供线索匿名提供线索 客户举报客户举报管制机构举报管制机构举报 / 法律调查法律调查供应商举报供应商举报外部审计外部审计 77%65%63%54%41%34%19%16%12%51%43%58%37%35%41%16%11%4%52%47%51%28%26%34%8%15%5%KPMG的调查 （1994 2003）32二、二、SOX法案对现代企

28、业行为的影响法案对现代企业行为的影响年份年份报告公司数报告公司数报告的重大报告的重大缺陷数缺陷数报告有缺陷的报告有缺陷的公司公司%2005200639003000150040016%7%404条款实施条款实施2-3年后的效应年后的效应Source: Christopher Cox speech at the SEC roundtable in May 2006 n在404条款颁布后的一年里，各家公司确认并纠正的内部控制的缺陷成百上千；对225家上市公司的分析表明，在第一年，其关键控制措施予以纠正的愈40%，新实施的超过25% 5、SOX法案、内部控制、公司安全、市场稳定33二、二、SOX法案对

29、现代企业行为的影响法案对现代企业行为的影响美国英国荷兰德国香港新加坡已开通秘密道德热线的公司高级管理层签署年度守约申明的公司已制订反腐培训计划的公司已制订规范禁止员工为取得业务而贿赂、受贿的公司与代理人达成禁止贿赂协议的公司34%32%28%14%8%4%52%42%32%14%8%8%68%44%38%26%28%12%92%94%84%84%52%56%72%70%46%32%24%12%减少欺诈行为的效用排序道德规范训练1.重点关注道德的灰色地带（ethical gray zones）2.划分正当-非正当的竞争界限 不如此训练，员工在此地带将迷失方向 - Jay Ludy, direct

30、or of financial reporting at Unilever HPC.6、SOX法案的国际效应346、SOX法案的国际效应商业银行内部控制指引商业银行内部控制指引中国人民银行2002年9月18日 第一章总则第二章内部控制的基本要求第三章授信的内部控制第四章资金业务的内部控制第五章存款及柜台业务的内部控制第六章中间业务的内部控制第七章会计的内部控制第八章计算机信息系统的内部控制第九章内部控制的监督与纠正第十章附则二、二、SOX法案对现代企业行为的影响法案对现代企业行为的影响356、SOX法案的国际效应上海证券交易所上市公司内部控制指引上海证券交易所上市公司内部控制指引上海证券交易所

31、2006年6月5日 共35条2006年7月1日实行n总则 （4条）n内部控制的框架（9条）n专项风险的内部控制 （8条）n内部控制的检查监督 （8条）n内部控制的信息披露 （4条）n附则 （2条）二、二、SOX法案对现代企业行为的影响法案对现代企业行为的影响36二、二、SOX法案对现代企业行为的影响法案对现代企业行为的影响6、SOX法案的国际效应企业内部控制基本规范企业内部控制基本规范财政部财政部 证监会证监会 审计署审计署 银监会银监会 保监会保监会二OO八年五月二十二日共50条2009年7月1日实行第一章总则（10条）第二章内部环境（9条）第三章风险评估（8条）第四章控制活动（10条）第五

32、章信息与沟通（6条）第六章内部监督（4条）第七章附则（3条）37三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念COSO 内部控制定义内部控制定义n为实现经营效率和效果、财务报告可信性以及相关法令的遵循等组织目标组织目标而n提供合理保证合理保证的过程n内部控制的实施者实施者为企业董事会、管理层及其他员工1、内部控制以组织目标为导向基本规范基本规范第三条本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。38定义的关

33、键要素定义的关键要素n内部控制是一个动态过程，动态过程，2个证明：个证明：1.内部控制本身不是目标，是实现组织目标的手段，是与组织目标共存的动态行为2.渗透在组织基础机构，是基础的组成部分n没有一个人可凌驾控制之上n内部控制提供合理保证合理保证而非绝对保证n内部控制不是由某个人或哪个层级的人提出，专门针对某一个或某一群特定层级的人的制度。n它是为整个企业设计的系统，不专门针对具体的哪一层级或哪一群人，而是针对在该企业环境下的所有人。n没有人能脱离该系统而自由运作。三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念1、内部控制以组织目标为导向39管理当局的责任管理当局的责任nCEO

34、：负责建立有效的内部控制,在整个组织内倡导控制意识nCFO：核心作用,设计,推行和监管组织的财务信息报告行为nC- LEVEL：确保其分管活动的accountable2、内部控制人人有责基本规范第十二条董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念40董事会与审计委员会的责任董事会与审计委员会的责任n董事会:1.公司治理的监督责任2.确认管理当局是否履行其建立和维护内部控

35、制的责任n审计委员会,警惕下列行为并采取适当措施制止：1.管理当局凌驾控制之上2.财务欺诈行为基本规范第十三条n企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。2、内部控制人人有责2、内部控制人人有责三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念41内部审计的责任内部审计的责任n定期检查评估组织内部控制的有效并提出改进建议n但对内部控制的建立和维护不承担主要责任其他员工的责任其他员工的责任对任何与未违反控制规定或非法行为相关的问题，有责任按组织途径向上报告基本规范第十五条企业应当

36、加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。2、内部控制人人有责三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念42监督监督信息信息交流交流控制控制行为行为风险风险评估评估控制控制环境环境3、内部控制框架的三维性质三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念43流程控制审计监督3、内部控制框架的三维性质-要素与组织

37、行为的渗透质量控制人力资源管理营销管理研究开发管理生产过程控制存货与物流管理采购加工管理信息系统管理授权制度会计信息系统管理预算控制系统三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念444、适应多层次风险的内部控制矩阵结构公司治理公司管理交易行为过程管理信息系统与交流反馈机制信息系统与交流反馈机制控制环境风险评估控制行为监督内部控制要素操作设计的矩阵结构内部控制要素操作设计的矩阵结构三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念45控制环境即为营造文化：受托报告责任行为责任道德5、内部控制框架以责任为核心三、三、COSO之内部控制框架的核心理念之内部控制框架

38、的核心理念46监督监督信息信息交流交流控制控制行为行为风险风险评估评估控制控制环境环境责任是一切道德价值的唯一源泉-康德Without Responsibility, there can be no trust or confidence in business.没有责任，就没有商业信用或信任信用是入场券，让你参加游戏，不能让你升迁SOX法降低了对公司管理层处罚的门槛：nSEC可绕过法官判决以程序作出禁业处罚；nSEC只需证明当事人“不合适”作为高管或董事，无须证明“完全不合适”；n “不合适”定义为不称职，而非以前定义的做错事企业管理者的幸与不幸：陈久霖、张恩照、国内企业管理者的命运比照政府

39、管什么？管过程！投资者管什么？管结果！5、内部控制框架以责任为核心三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念47企业债券持有人社区股东供应商社会环境银行政府管理者债权人员工客户stakeholderstockholder企业的契约责任模型企业的契约责任模型6、公司治理、委托受托契约责任、受托报告责任、会计行为6-1、公司治理三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念n一个组织之制度体系(systems)和行为过程(processes)n以保护其不同 stakeholdern之利益并增加其价值48Fiduciary Duty nthe Latin fi

40、des, meaning faith, and fiducia, trust. n为他人而行为或作为某具体事项之他人代表者，在此环境下产生的受托责任和信任关系nThe fiduciary duty 是两个或以上方面间的信任或受托责任法律关系n在此关系下，良心（good conscience）要求某人在任何时候的行为应唯一有益于委托人及其利益、并忠于这些利益。6、公司治理、委托受托契约责任、受托报告责任、会计行为6-2、委托受托契约责任(Fiduciary Duty)n要求受托人最大程度地忠于其委托人，未经委托人同意，受托人：1.不得在受托责任中搀杂任何个人利益2.不得利用其受托地位谋取私利三、

41、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念496、公司治理、委托受托契约责任、受托报告责任、会计行为6-3、受托报告责任 (Accountability)“Accountability” 的起源n“Accountability” 源于late Latin accomptare (to account), a prefixed form of computare (to calculate)n该词是货币借贷体系所用术语的延展：n最早产生于Ancient Greece and later, Romen当某人从当地的寺庙或商人借钱，他对债主承担报告责任held responsibl

42、e to their account with that party三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念nAccountability 之定义描述：当A向B负有如下法律或道义义务时，A对B承担报告责任 （accountable）1.A向B报告过去或未来之行为和决策2.A向B证明A的行为或决策为正当3.A为自身的渎职而受惩罚506、公司治理、委托受托契约责任、受托报告责任、会计行为6-3、受托报告责任 (Accountability)leadership roles 之accountability 的定义治理执行行政管理作为领导或雇员之角色范围行为产品决策政策责任的报

43、告后果解释责任承担责任或前提三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念516、公司治理、委托受托契约责任、受托报告责任、会计行为内部控制措施的协调组合政策实施受托报告责任风险管理业务流程控制战略遵循营运6-4、会计行为三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念52管理及控制架构风险管理企业行为指南财务会计会计不是簿记1.是公司治理结构的基本要素2.是组织与股东、社会交流的桥梁3.是组织取信社会的通行证！6、公司治理、委托受托契约责任、受托报告责任、会计行为6-4、会计行为三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念536、公司治理

44、、委托受托契约责任、受托报告责任、会计行为n更换2名董事n由独立董事担任董事长n调整董事会人数，独立董事占70%n增加两个新职位：1.Chiefgovernanceofficer2.Directorofcorporategovernancen内幕交易的新的限制条款n2002年10月TXU股东因公司股价大幅下滑而提起集团诉讼n在TXU case中, 股东起诉理由： 2001春和2002秋，公司高级管理层未能充分披露如下重大财务问题：1.收益下降2.流动风险增加3.公司欧洲业务的增长问题4.新的支付系统失败等n2005年TXU Corp. 与股东达成和解，和解条款包括：1.重新构建公司治理2.赔偿

45、股东$150milion（公司市价$19billion）n根据和解方案中的改进公司治理条款， TXU 同意：$55/股-$11/股下跌80%股东证券诉讼：非预期损失会计重申报欺诈6-4、会计行为三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念546、公司治理、委托受托契约责任、受托报告责任、会计行为 公司的法律意义公司的法律意义会计与受托报告责任的逻辑会计与受托报告责任的逻辑 投资者利益目标的实现投资者利益目标的实现对董事会履行对董事会履行受托责任的支持受托责任的支持帮助并确保管理层帮助并确保管理层履行受托责任履行受托责任投资者公司宪法（章程）法人公司会计行为董事会企业管理当局

46、“人类历史上，一些最令人叹为观止的发明其实并不是技术或产品，而 是社会发明。现代公司也属于此类发明。之所以这样说，决不仅仅因为它是技术革新的源泉，最主要的原因在于它是连接市场机制与民主政治的桥梁。它是资本主义民主取得胜利的关键所在。” - Jim Collins6-4、会计行为三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念556、公司治理、委托受托契约责任、受托报告责任、会计行为会计与受托报告责任的社会逻辑nAccountabilitynAccountnAccounting - 基于受托责任的报告行为企业企业管理者代理人契约关系报告会计Accountability会计报表审计

47、GAAPGAAS 会计观点与簿记观点的区别 会计的报告过程性质 会计是对资产运动的性质判断 而非在业务假定基础上的记录 重新找回真正的会计 会计的组织设计与组织解放政府管制机构保护投资者利益投资者的保护手段6-4、会计行为三、三、COSO之内部控制框架的核心理念之内部控制框架的核心理念56四、四、COSO之内部控制设计要素之内部控制设计要素概念n控制环境是组织的基调n主导或左右着组织成员的控制理念n是其他内部控制要素的基础n决定着控制的边界和结果。1、控制环境正直与道德价值观员工素质与政策董事会审计委员会管理哲学与行事作风组织结构设计责任与权力分配治理结构机构设置权责分配人力资源政策内部审计企

48、业文化57四、四、COSO之内部控制设计要素之内部控制设计要素1-1、正直与道德价值观-企业文化的核心n一个渗透所有层次之良好公司道德氛围，对公司的健康运作、对公共大众，都是根本1.有益于公司控制制度的效用2.有助于影响人们的行为方式而无须借助精心设计的制度3.一个强调受托报告责任的道德氛围，可防止公司的财务报告欺诈1、控制环境“此时此刻，美国最大的经济需求是更高的道德标准：由严格的法律加强的、相关企业领导人支持的道德标准。” - 乔治 W 布什 2002-7 于华尔街“目前经济制度惟一不能解决的就是道德风险问题。” - 克鲁格曼立法还不是答案的全部。在改变法律的同时，必须改变基本态度。人们必

49、须充分意识到公共利益而不只是自我利益。没有这个精神的转变，新的管制和新的立法只会鼓励更多的规避行为。 - 索罗斯nMCI全部50000多员工接受由纽约大学斯登商学院专门为其设计的职业道德培训n90名高层管理者参加了弗吉尼亚大学达顿商学院为期2天的职业道德培训n其弗州总部办公室高悬公司行为准则：要敢于说真话；不做错事。58四、四、COSO之内部控制设计要素之内部控制设计要素1-1、正直与道德价值观企业文化的核心n公司道德氛围的强化1.书面公司行为规程2.全体雇员的签署n定义明确的道德标准，可接受行为的指南，可推进组织所有层次之道德决策，有助于解决道德两难1、控制环境公司行为规程重申什么是每一个摩

50、托罗拉员工必须遵守的准则：公司行为规程重申什么是每一个摩托罗拉员工必须遵守的准则：做正确的事；每一天；无任何借口。做正确的事；每一天；无任何借口。戴尔案例：雇员每年都要签署公司行为规程确认书；违者开除或移交刑事处理。基本规范第十八条n企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。企业员工应当遵守员工行为守则，认真履行岗位职责。礼来中国案例：公司一般不开除员工违法职业操守属例外需签定2份文件：1.员工行为准则；2.药品推广行为准则59四、四、COSO之内部控制设计要素之内部控制设计要素1-1、正直与道德价值

51、观持续一贯的企业文化1、控制环境Time will change.Our products will change.Our people will change.Our customers will change.What will not change is our commitment to our key beliefs我们公司全球运营愈120年，公司拥有一以贯之的道德文化这就是公司之为百年老店的原因之一 - 某CFO始创于 1837 年的宝洁成功守业 160 多年宝洁为什么如此成功？宝洁前董事长艾德 哈尼斯的解释是：“虽然我们 最大的资产是我们的员工，但指引方向的却是原则及理念的一致性

52、。”这个原则及理念就是著名的宝洁之道，其中第一条：强调内部高度统一的价值观60四、四、COSO之内部控制设计要素之内部控制设计要素1-1、正直与道德价值观tone at the topn公司行为规程的成功，取决于管理层和董事会的全力支持。n确认规程效用最具影响的要素，是高层管理人员和董事们的态度与行为孔子曰：能以礼让为国乎？何有？朝廷者，天下之桢干也，n公卿大夫相与修礼谦让，则人不争n好仁乐施，则下不暴n上义高节，则人兴行n宽柔惠和，则众相爱此四者明王之所以不严而化成也何者？n朝有变色之言，则下有争斗之患n上有自专之士，则下有不让之人n上有克胜之佐，则下有伤害之心n上有好利之臣，则下有盗窃之人

53、此其本也1、控制环境“在所有导致企业犯罪的因素中，没有任何因素能比最高管理层纵容、甚至是促成一种允许它存在的文化更为严重的了，” - 沃顿商学院 威廉劳弗61四、四、COSO之内部控制设计要素之内部控制设计要素1-1、正直与道德价值观tone at the top从波音两任CEO辞职看任何人不得凌驾企业道德规程之上n05-3-7 只干了15个月的波音总裁兼CEO哈里 斯通塞弗被董事会除名n董事会认为：1.哈里的行为影响了其判断能力2.对其领导能力造成伤害1、控制环境基本规范第十八条董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。62四、四、COSO之内部控制设计要素之内部控

54、制设计要素1-1、正直与道德价值观- 法律与组织落实1、控制环境SEC.406. CODE OF ETHICS FOR SENIOR FINANCIAL OFFICERS(a) 道德规程披露 SEC应制定规则，要求每一家递交报告公司，在按1934年证券交易法之13（a)款或15(d)款要求递交定期报告时，同时披露公司是否采用了针对senior financial officers 之道德规程，该规程适用公司principal financial officer 和comptroller 或principal accounting officer，或执行类似职能之人员；若未采用，则应说明理由。(

55、b) 道德规程变更 SEC应修订以8-K形式即时披露事项之规定，要求每一家递交报告公司，对针对senior financial officers 之道德规程的任一变更或弃用，立即披露。(c) 定义 本款所指道德规程，为推进下列行为为合理必要之标准1.诚实与道德的品行，包括个人与职业关系间存在的现实或明显的利益冲突2.报告公司要求之定期报告的完整、公允、及时、清晰地披露3.遵循适用的政府规则和规定63四、四、COSO之内部控制设计要素之内部控制设计要素1-1、正直与道德价值观- 法律与组织落实1、控制环境n设置了公司道德官员职位EO( ethics officer) 的占 2/3（72人）nEO

56、关注：1.组织道德规程是否清晰2.规程对道德决策的影响程度3.CEO对营造道德氛围所花的时间和努力程度nEO与CEO的交流：1.定期（月、季、年）交流 （25/72 35%）2.不定期情况汇报 （37/72 (51%)）n凡设置EO职位的组织，CEO们直接增强道德氛围的时间和作为就越大64四、四、COSO之内部控制设计要素之内部控制设计要素1-2、人员素质与人力资源政策 德商第一1、控制环境n提倡对正义、公理、公德的忠诚，而非狭隘的“公司忠诚”：公司不能置公理和社会正义之上n用人的基本政策1.价值观与基本素质2.知识结构与技能3.经验及培训基本规范第十七条n企业应当将职业道德修养和专业胜任能力

57、作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。65四、四、COSO之内部控制设计要素之内部控制设计要素1-2、人员素质与人力资源政策 职位不是奖赏1、控制环境1.德高者得上位，功高者得奖酬2.企业用人的问题：看工作成果选择领导者，把管理职位当作绩效报酬，忽略最重要的品格3.成功的事业、地位与名声、优越的薪酬，都是领导人之位的诱惑，必须具备克己、利他之心，才能为企业掌舵，不被名利蒙蔽4.一个只凭亮丽业绩数字登上领导职位者，很难不被高位带来的名利冲混头，这是我认为应以人格作为选择领导人之依据的主因5.性格是先天的，人格是教育、环境、哲学、宗教影响下形成的 - 稻盛和夫

58、人才的三等资质：1.深沉厚重2.磊落雄豪3.聪明才辩 明- 吕新吾【呻吟语】带领企业稳健、永续经营可为企业创造亮丽业绩66四、四、COSO之内部控制设计要素之内部控制设计要素1-2、人员素质与人力资源政策 职位不是奖赏1、控制环境n德高者得上位，功高者得奖酬1.企中国银行双鸭山分行一位副行长说：胡伟东、王林的工作表现一直“不错”，甚至多年被评为先进但就是这个表面的“先进人物”实际却是一个贪婪的犯罪分子2.分析这两年发生的金融大案，证明了该观点的现实性和正确：那些落马的官员大多是以前的业务能手或营销能手，甚至于精英人才；而那些出事的分支行则多为前几年发展较快、业绩突出的分支机构。如高山案中的中行

59、河松街支行和支行行长高山；中行开平支行案中的开平支行和余振东、许超凡以及山西太原7.28金融诈骗案中的杜建国67四、四、COSO之内部控制设计要素之内部控制设计要素1-2、人员素质与人力资源政策 用人规则1、控制环境n现代组织用人的逻辑常识：1.以相信人为起点（用人不疑之公平）2.有限信任，系统控制（性本恶前提，制度制约之公平）3.行为规则预设（行为方式判断标准的公开）4.行为结果计量标准预设（行为结果判断标准的公开）5.以事实和结果证明人与行为是否可信（事实基础）6.在公平、公开基础上的个人选择实现道德准则的具体措施：加强员工雇佣前的筛选，使不诚实的人没有被雇佣的机会。n责任心是优秀人才的基

60、本素质：1.正确选择的人选无须驾驭，当你感到有必要严格驾驭某人时，那就是用人不当；2.正确的人选得到的不是一份工作或职位，而是承担了责任；3.正确的人选言出必行，忠于承诺；困难时期企业最大的财富，就是员工的责任。68四、四、COSO之内部控制设计要素之内部控制设计要素1-2、人员素质与人力资源政策 用人是领导基础1、控制环境最令我骄傲的应该是把正确的人挑选出来放到正确的位置上去 - 邓凯达伊士曼科达 总裁兼CEO伊梅尔特授权而不被架空的法宝之：1.选人2.一旦发现隐瞒欺骗，立即开除CEO究竟管什么究竟管什么？人的选择人的评价文化的传递大宗并购 - 韦尔奇管理很简单：就是将正确的人放在正确的地方

61、我最大的成就就是发现人才，发现一大批人才。他们比绝大多数的CEO还要优秀。-韦尔奇Moss Kanter（哈佛商学院教授）哈佛MBA毕业生常谈到，若重读MBA，他们会少选几门金融课程，多选些和人相关的课程69四、四、COSO之内部控制设计要素之内部控制设计要素1-2、人员素质与人力资源政策 用人与制度的辩证关系1、控制环境人与制度之间的关系：n员工素质良好，有信用，有正义感，即使控制措施缺失，企业也能行为规范n员工油滑、无原则、无正义感，即使有控制制度，企业也可能蒙受损失n如何招人，如何评价，如何训练和育化，是内部控制执行的关键人与制度关系的哲学：1.你不能仅靠规则，最重要的是要拥有诚实的、有

62、能力的商业领袖；2.但要把他们置于一个系统，有足够的检查和平衡，就可以得到最佳结果 - 亨利-保尔森 前高盛CEO，现美财长70四、四、COSO之内部控制设计要素之内部控制设计要素1-2、人员素质与人力资源政策 轮岗与强制休假1、控制环境基本规范第十六条n企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容：（三）关键岗位员工的强制休假制度和定期岗位轮换制度。案例n大和银行交易员10多年未休假，造成11亿美元的损失n仪征化纤销售部会计10年未轮岗，5千万损失n法国兴业银行交易员科维尔放弃休假加班，造成近72亿美元损失71四、四、COSO之内部控制设计要素之内部控制

63、设计要素1-3、公司治理 董事会主席与CEO之作用的分离1、控制环境n2003秋及2004冬， McKinsey 对150位美国的公司董事及40个机构投资者的调查显示：分离董事会主席与CEO 功能为头等大事，以强化1.董事会的独立性2.对管理层的监督n董事会主席与CEO作用的分离，在欧洲、加拿大、澳大利亚是普遍现象1.美国公司里的董事长兼CEO的超过70%2.英国不到10% 世界通信免除破产后不得不实施有史以来最严格的公司治理政策 MCI同意接受法庭为其指定的监管人布雷顿（前SEC主席）提出的全 部78项建议，其中包括：1.CEO不得兼任董事长；2.董事会每年更换一人72四、四、COSO之内部

64、控制设计要素之内部控制设计要素1-3、公司治理 董事会的独立性及委员会制度1、控制环境GEn董事会的主要责任1.监督管理层服务于股东及其他stakeholders的利益2.通过公司治理途径确保董事会的独立并完全掌握GE面临的关键风险和战略n董事会及下述委员会关注与股东利益相关的3大重要领域1.战略2.风险控制3.人n2006年，董事会收到的简报涉及的内容控制及风险管理安全与危机管理全球战略潜在收购及处置组织改革环境趋势机构发展竞争策略遵循趋势宏观经济趋势对公司的影响公司社会责任73四、四、COSO之内部控制设计要素之内部控制设计要素 SEC.301. PUBLIC COMPANY AUDIT

65、COMMITTEES(2) 与注册公共会计事务所有关之责任 作为董事会之委员会之一，各报告公司的审计委员会，必须直接负责对以编制或出具审计报告或相关工作而受雇报告公司之任一注册公共会计事务所的聘用、公费并监督其工作（包括解决管理层与审计人员关于财务报告过程的争议）；各该类公共会计事务所，必须直接报告该审计委员会1-3、公司治理 审计委员会1、控制环境74四、四、COSO之内部控制设计要素之内部控制设计要素 SEC.301. PUBLIC COMPANY AUDIT COMMITTEES(3) 独立性(A) 一般规则 报告公司之审计委员会每位成员，必须为报告公司董事会成员，必须独立。(B) 标准

66、 为满足本节之独立性要求，凡具下列行为者，不得为报告公司之审计委员会成员、董事会成员或其他董事会委员会成员：() 从报告公司收取任何咨询、顾问费用或其他报酬 或() 报告公司或其下属单位之关联人员 1-3、公司治理 审计委员会1、控制环境基本规范第十三条审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。75四、四、COSO之内部控制设计要素之内部控制设计要素 SEC.301. PUBLIC COMPANY AUDIT COMMITTEES(4) 申诉审计委员会应建立(A)报告公司收到之关于会计、内部会计控制或审计等事项之申诉的接受、保留、处理流程(B)报告公司雇员关于会计问题

67、或审计事项的保密、匿名提交流程 1-3、公司治理 审计委员会1、控制环境76四、四、COSO之内部控制设计要素之内部控制设计要素 SEC.301. PUBLIC COMPANY AUDIT COMMITTEES(5) 聘请顾问的权力 若审计委员会认为对其履行职责为必要时，有权聘请独立委员会或其他顾问(6)资金 各报告公司必须按审计委员会的确认提供必要的资金，以使其作为董事会委员 会向下列方面支付报酬(A)为提交或出具审计报告而受雇报告公司之注册公共会计事务所(B)根据(5)节而受雇审计委员会之任何顾问1-3、公司治理 审计委员会1、控制环境77四、四、COSO之内部控制设计要素之内部控制设计要

68、素 1-3、公司治理 审计委员会1、控制环境Anicom case n股东以审计委员会无视公司内部审计提出的关于不当行为（包括普遍的不当开单）的信息而使其蒙受损失n法庭支持股东的诉讼：审计委员会未对系统性欺诈的警告采取行动，属于蓄意渎职或过失失职JWP casen法庭裁决：1.审计委员会未与公司内部审计充分沟通2.审计委员会未对内部审计提出的问题采取行动3.审计委员会已注意到暧昧的会计处理（“dubious” accounting practices）4.意味着委员会蓄意放任欺诈行为5.因此，无保留审计意见不可信78四、四、COSO之内部控制设计要素之内部控制设计要素(a) 法定要求- 凡按1

69、934年证券交易法13(a) 或15(d)定期提交财务报告的公司，SEC应按规定，要求其 principal officer or officers and principal financial officer or officers 或执行类似职能之管理 人员，对按本条款或本法案提交的每一份季度报告和年度报告作如下确证：1.签署该报告之officer已审阅本报告；2.据officer所知，该报告不含重大事实的任何不实表述或遗漏必须报告之重要事实的表述，财务报告未误导；3.据officer所知，提交的财务报表及报告中的其他财务信息，在所有重要方面公允表述了公司财务状况和报告期间的经营成果 S

70、EC.302. CORPORATE RESPONSIBILITY FOR FINANCIAL REPORTS该法案使美国85%大型跨国公司之遵循行为为之大变：要求公司执行官、董事们、审计人员对公司严格的受托报告责任和透明，进行精确计量1-4、管理层哲学与管理作风 财务报告过程1、控制环境79四、四、COSO之内部控制设计要素之内部控制设计要素(a) 强制披露 修正1934年证券交易法Section 13，在其末尾增加如下内容：(i) 财务报告之准确 凡含规定按GAAP编制、且提交SEC之财务报表的任一财务报告，必须反映已由注册公共 会计师事务所根据GAAP和SEC之规则、规定确认的所有重大修改

71、调整(j) 资产负债表外交易SEC将发布最终规则，规定：必须提交SEC之年度、季度财务报告，应披露所有重大资产负债表外之交易、准备、债务（含或有债务）及报告公司与那些可能对公司财务状况、财务状况变动、经营成果、流动性、资本支出、资本资源、或收入费用之重要因素具有现行或未来重大影响之非合并之个体、个人的其他关系1-4、管理层哲学与管理作风 财务报告过程1、控制环境80四、四、COSO之内部控制设计要素之内部控制设计要素(b) 关于预计数据的SEC规定SEC将发布最终规则，规定：为满足证券法而提交SEC之定期报告或其他 报告所含之预计数据，或用于任何公开披露、发布或其他发表之预计数据，必须：（1）

72、不得包含任何重大事实的不实表述或遗漏预计财务信息为必要之任何重大 事实，即在当时环境下其表述不会产生误导（2）报告公司之财务状况和经营成果应符合GAAP1-4、管理层哲学与管理作风 财务报告过程1、控制环境81四、四、COSO之内部控制设计要素之内部控制设计要素(a) 定期财务报告证明书定期财务报告证明书 按1934证券交易法13(a)和15(d)要求提交SEC的含财务报表之定期报告，应附一份由报告公司之CEO和CFO或类似人员签署的书面声明(b) 声明内容声明内容 条款(a)之声明，需证实，含财务报表之定期报告完全符合1934证券交易法13(a)和15(d)的要求；报告所含信息在所有重大方面

73、公允反映了公司的财务状况和经营成果(c) 刑事惩罚刑事惩罚1、对本款(a)和(b)所指任何声明的证明，未满足本款全部要求的，处100万以下罚款，或10年以下监禁，或并处；2、对本款(a)和(b)所指任何声明的证明，蓄意不满足本款全部要求的，处500万以下罚款，或20年以下监禁，或并处SEC.906. CORPORATE RESPONSIBILITY FOR FINANCIAL REPORTS1-4、管理层哲学与管理作风 财务报告过程1、控制环境82四、四、COSO之内部控制设计要素之内部控制设计要素1-4、管理层哲学与管理作风 财务报告过程1、控制环境83四、四、COSO之内部控制设计要素之内

74、部控制设计要素 1-4、管理层哲学与管理作风 企业生存发展的哲学1、控制环境企业生命力的源泉企业生命力的源泉n美国加州大学校长的统计n谁笑到最后谁笑得最好！1.安然：20年与20天 2.德隆：18年与60天 n企业的最高境界-都江堰工程n企业家的最高境界李冰企业最根本的使命是活下去董力加深航不争第一，要做的是百年老店！-李昆84四、四、COSO之内部控制设计要素之内部控制设计要素 1-4、管理层哲学与管理作风 企业生存发展的哲学1、控制环境n我国每年新生民营企业都在15万家以上，但每年死亡的企业数却也有上10万家之巨n60%的民企会在5年内破产，85%会在10年内消失，总体平均寿命只有短短的不

75、足3年-中国民营企业发展报告n日本民间企业的平均寿命在30年以上，美国企业超过40年，全球500强或相当的国际公司平均寿命4050岁 （【新闻晨报】2002-9-24B1）我最主要的目标是：建立一个下100年与前100年同样繁荣昌盛的公司 - 邓凯达 从温州模式到“4万家温州企业沉没n据2008年7月的温州企业专题调查1.30万家制造企业20%停产或半停产2.4万家企业倒闭n无抗风险能力之企业根基问题：1.无产品创新能力2.管理混乱、无序3.缺乏能真正形成商誉的品牌4.无企业文化85四、四、COSO之内部控制设计要素之内部控制设计要素 1-4、管理层哲学与管理作风 企业生存发展的哲学1、控制环

76、境百年企业是如何炼成的？伊梅尔特：n我认为通用电气优秀的管理系统不是一个人创立的，个人也无法使其运转1.不管谁是通用电气的CEO，这个公司依然享有盛名2.通用电气的价值在于管理系统，在于人才的深度与广度3.明星CEO的模式是应该抛弃的4.一个公司的成功是整体的成功n我对中国CEO们的建议是，应该花3040以上的时间来培养人才，n那些年轻的企业家更应该把时间花在建立好的团队系统上 86四、四、COSO之内部控制设计要素之内部控制设计要素 1-5、组织机构设计 组织能力的形成1、控制环境n通过完整的架构设计，形成实现组织目标的能力和路径n是规定组织内部之功能、责任、权限、报告路径的线型结构n组织结

77、构设计必须覆盖组织活动的全部形式：1.规划、预算与决策2.执行3.控制4.监督n组织结构的设计因素：1.确认授权和责任的关键领域2.确认报告路径计划、预算、决策做什么的组织安排执行落实决策与计划的组织安排监督保证执行与控制的组织安排控制保证执行正确安全的组织安排87总裁兼CEO执行副总裁兼首席商务官高级副总裁中央职能部门中央职能部门商务行政部门商务行政部门营运部门营运部门移动网络移动电话财务部内部审计网络商务电话商务总务部组织信息电子商务规划与交流人事部TQC管理委员会管理委员会组织机构设计的哲学： 机构按组织功能配置 决策与执行分离 部门与个人分离 按职能重要性配置管理层 机构无级别高级副总

78、裁执行副总裁执行副总裁四、四、COSO之内部控制设计要素之内部控制设计要素 1-5、组织机构设计 组织能力的形成1、控制环境88四、四、COSO之内部控制设计要素之内部控制设计要素 1-6、授权与责任的分配1、控制环境n组织机构设计的关键不在形式，而在权力与责任的配置方法1.授权配置2.对分散营运活动的监督3.责任的分配与监督4.政策与流程的建立和监督n书面政策和流程手册1.规范的工作描述2.具体的责任细节3.管理方针说明n道德准则n可接受行为的规程n利益冲突禁止说明n授权与责任分配1.覆盖组织全部活动2.如何授权和分配责任？3.向谁授权并分配责任？n通过授权与责任分配，使每个人1.知道其行为

79、如何他人工作一起共同作用于组织目标的实现2.必须报告其责任的如何履行(held accountable for their responsibility)n判断标准1.凡事有人做？2.行为者充分授权？3.人人承担责任？89四、四、COSO之内部控制设计要素之内部控制设计要素 概念n组织对与实现其目标有关之风险群的辨认和分析，为如何控制风险建立基础2、风险评估特征n所有组织在所有层次都面临风险，这与组织规模、性质、结构、行业无关n风险影响公司的1.生存能力2.行业竞争能力3.维护财务安全和良好公共形象的能力4.维护产品、服务的质量，人员素质的能力n风险评估渗透内部控制的所有要素、组织的所有层次n

80、不存在能使风险为零的有效途径90管理及控制架构风险管理企业行为指南财务会计每一次我听到别人说我成功时，都像听到一次悼词 - 亨利 福特我觉得，成功会使我们变得不思进取。这是最大的威胁-渡边捷昭丰田微软离破产只有18个月，也永远只有18个月！-比尔盖茨波音公司在新员工入职教育时，播放波音公司倒闭的假想新闻从开始组建深航到今天，我所天天担心的，实际上就是两个字：失败-董力加 2、风险评估四、四、COSO之内部控制设计要素之内部控制设计要素当代中国人吃下一颗名叫“成功”的毒药，需要老子来解：柔顺似水、道法自然91四、四、COSO之内部控制设计要素之内部控制设计要素 基本规范第二十二条n企业识别内部风

81、险，应当关注下列因素：（一）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。（二）组织机构、经营方式、资产管理、业务流程等管理因素。（三）研究开发、技术投入、信息技术运用等自主创新因素。（四）财务状况、经营成果、现金流量等财务因素。（五）营运安全、员工健康、环境保护等安全环保因素。（六）其他有关内部风险因素。2、风险评估2-1、风险要素分类92四、四、COSO之内部控制设计要素之内部控制设计要素基本规范第二十三条n企业识别外部风险，应当关注下列因素：（一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。（二）法律法规、监管要求等法律因素。（三）安全稳定

82、、文化传统、社会信用、教育水平、消费者行为等社会因素。（四）技术进步、工艺改进等科学技术因素。（五）自然灾害、环境状况等自然环境因素。（六）其他有关外部风险因素。2、风险评估2-1、风险要素分类93四、四、COSO之内部控制设计要素之内部控制设计要素基本规范第二十一条n企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。n风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。2、风险评估2-2、风险承受及其确定n风险承受受与战略的融合能力风险承受受与战略的融合能力1.风险承受（Risk appetite ）：委员会层次（a

83、broad-based level）在公司（或其他个体）追求目标过程中愿意承受的风险水平2.Ex-管理层考虑组织风险承受的逻辑路径：94四、四、COSO之内部控制设计要素之内部控制设计要素2、风险评估2-2、风险承受及其确定企业之风险承受评估备选战略基于战略制定目标设计相关风险管理机制案例：制药企业的风险承受模型：低风险承受-品牌价值风险管理机制设计：为保护品牌，在研究和开发的初期，制定并维持广泛而详尽的条约，确保产品的安全和规范投入重要的资源，以支持品牌价值的创造95风险承受始于战略制定/目标规划战略风险承受匹配风险承受引导资源配置业务单元资源投入投入回报风险承受的管理可容风险相关目标相关重

84、要性链接风险承受设计并建立必要的基础：有效的风险反应/有效的风险控制组织人流程在可容风险边界内的运作确保组织的风险承受安全边界确保安全边界内实现组织目标95四、四、COSO之内部控制设计要素之内部控制设计要素2、风险评估2-3、风险偏好-企业风险文化的表现基本规范第二十五条n企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。风险亚文化风险偏好风险保守交叉目标营销功能关注更多的销售较少注意法规遵循财务功能则要求员工关注遵循法律法规的保证孤立的亚文化对组织产生负效应孤立的亚文化对组织产生负效应组织风险承受组

85、织风险哲理不同功能协同互补不同亚文化综合反映组织目标空间业务单元功能部门96四、四、COSO之内部控制设计要素之内部控制设计要素2、风险评估2-4、重要风险优先控制基本规范第二十四条n企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。风险重要度确定流程：n基于分析的人为判断（董事会或管理层基于经验n对每一个判断标准给出定量权重（如1-5）n权重数应反映风险对组织活动和目标的相对重要影响n计算每一个风险的加权数n排列风险优先控制顺序97风险优先控制的PEST宏观分析98风险优先控制的模型优先控制风险的标准财务影响11

86、、风险优先权重矩阵式234不重要中等重要严重形象冲击口头流传地区新闻全国媒体全球媒体可能性/频率不可能中等可能几乎确定财务影响权重因子风险得分4形象冲击可能性/频率风险PEST42供应链断裂E42330交流语言障碍S22424成本冗余（指在某个国家、地区）E22424落后的IT链接T22322政治环境不稳定P31322等等案例：海外投资风险分析2、风险优先计算99n风险反应的类别1.回避（Avoidance） 采取措施退出风险业务 ：退出某生产线、收缩对某新地区市场的扩张、出售某个division2.降低（Reduction） 采取措施降低风险可能性或影响或两者，涉及无数日常业务决策3.分担（

87、Sharing） 通过转移或其他分担途径降低风险可能或影响，如购买保险、分享风险（pooling risks）、套头交易（engaging in hedging transactions）、业务外包等4.承受（Acceptance） 不采取影响风险可能和效应的任何行动风险回避案例n某非营利组织确认并评估了为其成员提供直接医疗服务的风险，决定不承受该风险而改为安排治疗服务（referral service)风险降低案例n某stock-clearing 公司确认并评估了其工作系统的风险：无法再承受3个小时的运作，认为该风险的影响无法接受n措施：进行技术调查，强化系统的自动检错功能和后备系统，以降低

88、系统瘫痪的可能性风险分担案例n某大学确认并评估了学生宿舍管理的风险，认为不具备有效管理大型宿舍房产的能力n措施：将宿舍管理外包给某房产管理公司，减少了与房产相关之风险的可能和影响风险承受案例n某政府机构确认并评估了其分散地点之基础设施的火灾风险，评估了通过保险分担风险的成本，认为：保险增量成本和相关扣除合计超过灾后可能的重置成本。决定承受该风险四、四、COSO之内部控制设计要素之内部控制设计要素2-5、风险对应的策略100四、四、COSO之内部控制设计要素之内部控制设计要素 概念n信息系统与交流，是对公司从事业务活动、管理、控制所需信息进行捕捉和交换的过程n该过程将捕捉的信息提供给适当的人员，

89、以使其能履行分配的责任3、信息系统与交流101四、四、COSO之内部控制设计要素之内部控制设计要素 n有效信息系统的基本标准1.能以报告形式向管理层传递组织目标实施绩效的信息（内部、外部）2.按授权路径向适当的人员及时提供详尽得当的信息，以使其有效履行责任3.信息系统的开发和变更，必须基于相关的战略规划，以同时满足组织目标、操作过程目标和应用目标的需求4.管理层为信息系统的开发和变更投入必要的人力和财力5.所有基本数据中心均建立了灾难拯救计划3、信息系统与交流3-1、信息系统基本规范第七条n企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，

90、实现对业务和事项的自动控制，减少或消除人为操纵因素。基本规范第四十一条n企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。102四、四、COSO之内部控制设计要素之内部控制设计要素 n交流系统的基本标准1.管理层能以有效的渠道和方式向员工传递他们的工作职责和控制责任2.建立渠道以使人们能举报可疑的不当行为3.对来自客户、供应商、政府机构及其他外部信息，管理层能基于交流系统采取及时、合理的跟踪措施4.组织能通过交流系统进行监督并满足外部立法、管制机构的强制要求5.能使客户、供应商等外部人士知道公司已建立的道德规程和政策3、信息系统与交流3-2、交流基本规范第四十条n

91、企业应当将内部控制相关信息（？）在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。103四、四、COSO之内部控制设计要素之内部控制设计要素 n有效会计系统必须能提供完整的审计线索或交易线索n设计完善的会计制度至少应包括如下因素：1.严格分工授权2.规范、适用的会计政策和会计处理程序3.严格的批准制度和流程4.独立稽核5.帐户体系6.凭证帐簿制度7.制度化的会计处理流程3、信息系统与交流3-3、与财务报告过程相关的会计系统基本规范第三十一条n会计系统控制要求

92、企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。104四、四、COSO之内部控制设计要素之内部控制设计要素 基本规范第四十三条n企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。n举报投诉制度和举报人保护制度应当及时传达至全体员工。3、信息系统与交流3-5、举报渠道105四、四、COSO之内部控制设计要素之内部控制设计要素4、控制行为概念概念1.确保管理指令付诸实施的政策和程序2.属于组织的基础行为职责分割适当授权信息处理控制

93、财务报告处理权的控制物理控制控制行为独立稽核n内部控制的通用原则应用于整个业务的组织n会计系统帮助管理层控制营运过程n会计领域之内部控制措施确保：1.所有交易均经授权2.所有交易均已记录3.未经授权不得接触资产4.会计记录仅描述真实资产的运动106四、四、COSO之内部控制设计要素之内部控制设计要素4、控制行为基本规范第三十条n授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。n企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。4-1、授权控制授权控制的目的n确保每一项交易均经管理层在其个人权限范围内

94、批准107四、四、COSO之内部控制设计要素之内部控制设计要素4、控制行为n授权分类：1.一般授权：授权范围严格定义；执行条件严格定义-预算、权限2.特殊授权：按业务性质和价值决定批准流程和层级n授权结构1.范围2.权限：封闭权限3.程序：批准的起点4.责任4-1、授权控制基本规范第三十条企业各级管理人员应当在授权范围内行使职权和承担责任。108四、四、COSO之内部控制设计要素之内部控制设计要素4、控制行为4-2、职责分割交易授权维护记录的受托报告责任资产保管授权执行资产保管资产处置维护记录的受托报告责任基本规范第二十九条n不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相

95、容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。109四、四、COSO之内部控制设计要素之内部控制设计要素4、控制行为案例：巴林银行( Baring Bros. and Co.，)n1995年2月23日，232年历史的巴林银行因交易损失$1billion 宣告破产，掘墓人：Nick Lessonn新加坡国际货币交易（SIMEX）3月5日发布的一份报告，将该损失归结为内部控制缺失1.前台交易与后台结算必须分开，此为银行基本控制2.1994年夏，银行内部审计对里森身兼此两职提出警告并建议分割3.管理层惟恐利润与奖金减少而继续纵容里森独挑大梁4-2、职责分割职责分割的目的n确

96、保没有一个人被赋予过多的责任：无人能利用其正当工作地位进行犯罪和非法隐瞒110四、四、COSO之内部控制设计要素之内部控制设计要素4、控制行为案例：大和银行n1995年Daiwa银行纽约office1.11年间， 30000起未经授权交易导致$1.1billion 债券交易损失，(平均损失 $400,000 / per trading day)2.Daiwa 允许交易员滨中泰南（Toshihaide Iguchi） 集授权销售、保管债券、记录交易职责于一身3.Daiwa Bank 被罚$340 million ；关闭在美业务4.1996年，交易员被判处4年监禁，罚款$2.5 million5.

97、2000年，日本大阪法院命令Daiwa 银行11名高管为银行的损失支付赔偿$775 million4-2、职责分割职责分割的目的n确保没有一个人被赋予过多的责任：无人能利用其正当工作地位进行犯罪和非法隐瞒111四、四、COSO之内部控制设计要素之内部控制设计要素4、控制行为4-2、职责分割职责分割的目的n确保没有一个人被赋予过多的责任：无人能利用其正当工作地位进行犯罪和非法隐瞒n行长负责制是对”职责分割“制度的制度性破坏：n国有商业银行采用的行长负责制，使分支行主要负责人拥有很大权力，主要有人事权、资源支配权、及借助人事权衍生出的对主要业务（尤其是信贷业务）产生影响的变相权力，上述权力的不正当

98、使用或滥用会导致严重的银行“内部人”控制问题，银行高管案件涉案人员大都为一把手，且常有几名银行内部的同伙，正是分支行“内部人”控制的真实写照案例：中行开平支行案件1.支行行长的权力范围包括财务管理、核算管理、授权管理、人事管理及行政管理，却没有相应的监督约束，使其几乎无所不能2.支行行长凭借手中大权，控制银行内部资金，控制银行与客户之间的清算过程，利用联行系统漏洞侵占银行资金。“抢劫一家银行不如拥有一家银行”112四、四、COSO之内部控制设计要素之内部控制设计要素4、控制行为一般控制措施nIT组织与操作控制措施1.IT部门内部职责分割2.IT与用户部门职责分割n系统开发与文件化控制措施1.新

99、系统与开发及程序更改的审核、测试、批准2.文件化控制n硬件与系统软件控制措施n接触控制措施1.未经授权不得使用IT设备、数据文件、计算机程序2.接触控制涵盖物理硬件、软件及流程的安全n数据与流程控制措施4-3、信息处理控制基本规范第四十条n企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。113四、四、COSO之内部控制设计要素之内部控制设计要素4、控制行为计算机应用控制措施4-3、信息处理控制IT 控制控制操作控制输出控制 对比控制 发送控制 接触处理控制 审计线索 界面控制 汇集控制接触控制 用户-IDs/Pass

100、words Data 安全 网络安全保密管理措施 接触授权一般控制输入控制 数据录入控制 系统编辑 职责分割 交易授权114四、四、COSO之内部控制设计要素之内部控制设计要素4、控制行为n直接物理接触控制n通过文件编制或处理的间接接触4-4、物理控制n与业务无直接关系之第三方（含管理层）的独立审核，包括：1.对流程的突击检查2.会计记录与物理资产的比较3.对已执行任务的审核4.财务数据与非财务营运数据的比较4-5、独立稽核 (internal verification / performance review)115四、四、COSO之内部控制设计要素之内部控制设计要素4、控制行为n稽核保证控

101、制流程的执行并发现执行过程的问题案例：2003年河南工商银行票据诈骗案1.该案之案犯得手的关键在票据审核环节出了问题2.按照规定，办理票据贴现至少要审核以下内容：转出行营业执照、经营许可证；核实办理该业务的人员身份；检查授权书；转出行票据原件；正规增值税发票和供销合同的原件及复印件。3.令人费解的是：向来以票据业务著称的工商银行华信支行的相关人员居然没有发现问题4.原因就在于上述内控制度早已被他们束之高阁，根本就没有落到实处。在现实中，制定制度是一回事，执行又是另外一回事，有制度制度得到执行n靠随机的规范稽核保证制度的实施4-5、独立稽核 (internal verification / pe

102、rformance review)116四、四、COSO之内部控制设计要素之内部控制设计要素4、控制行为n控制过程的3个阶段1.预防 (Prevention)2.察觉 (Detection)3.纠正 (Correction)4-6、控制行为的过程分布n预防控制措施1.防止问题发生的控制措施预设计2.输入及操作的监督3.尽可能预测潜在的问题并调整4.若预测表明存在问题，立即纠正n预防控制措施举例1.雇用合格的员工2.职责分割 （阻截要素）3.物理资产的接触控制4.使用设计完善的文件（预防错误）5.设置切合实际的交易授权流程6.现金流的监督、预测系统7.结合库存结构预测的存货控制系统8.销售信用授

103、权系统117四、四、COSO之内部控制设计要素之内部控制设计要素4、控制行为n控制过程的3个阶段1.预防 (Prevention)2.察觉 (Detection)3.纠正 (Correction)4-6、控制行为的过程分布n察觉控制措施1.能在第一时间发现问题发生2.过程的衡量及即时调整3.即时反映计划实施中的偏离n察觉控制措施举例1.计算的双重审核2.执行情况及变异的定期报告3.基于BOM的成本制度及差异4.非正常库存项目的报告5.应收款项的核对调节6.银行往来调节7.检查预编号文本单据号码的连续8.定期信用审核9.内部审计118四、四、COSO之内部控制设计要素之内部控制设计要素4、控制行

104、为n控制过程的3个阶段1.预防 (Prevention)2.察觉 (Detection)3.纠正 (Correction)4-7、控制行为的过程分布n纠正控制措施1.设置流程以纠正察觉控制发现的问题2.确认问题的原因3.改正导致问题产生的错误4.修正业务处理系统，以降低重复发生率n纠正控制措施举例1.报告披露存货异常大量短缺2.调查表明，供应商发货迟缓解决方案：1.提早定单发放2.更换供应商119四、四、COSO之内部控制设计要素之内部控制设计要素5、监督概念n评估内部控制运行质量的过程1.内部控制设计和实施的及时评估2.必要的纠正手段有效监督行为的路径n持续的监督方案n独立评估n向审计委员会

105、报告控制缺陷120四、四、COSO之内部控制设计要素之内部控制设计要素5、监督持续监督可采取多种形式n内部审计功能1.内部控制的规范综合测试2.内部控制制度不同侧面的轮廻测试n职能部门的即时自我监督1.基于外部投诉2.基于内部信息或报告5-1、持续监督n持续监督的信息来源1.控制活动的例外报告2.政府机构报告3.员工反馈4.客户投诉5.内部审计报告121四、四、COSO之内部控制设计要素之内部控制设计要素5、监督5-1、持续监督-内部审计与内部控制的关系对对公司治理公司治理内部控制系统内部控制系统组织目标实现之绩效组织目标实现之绩效进行独立评估的行为进行独立评估的行为保证保证组织目标实现组织目

106、标实现财务报告可信财务报告可信遵循法律遵循法律之制度和流程系统之制度和流程系统事前规则和制约关注行为方式的发生和过程如：一切支付是否经授权批准信息系统与交流信息系统与交流风险评估控制行为控制环境控制环境监督设计执行事后检查与评估关注行为方式对制度和流程的遵循组织目标实现的效果法律的遵循122董事会执行董事Officers（董事长或CEO等）执行委员会内部审计委员会CEO、CFOCRO、COO等XX委员会行政管理层行政管理层业务单元或部门业务单元或部门审计委员会对建议的咨询寻求内部审计机构讨论审计发现审核审计计划内部控制风险管理遵循业务执行报告建议任命、薪酬、审计绩效评估审计计划批准审计预算：视

107、同外部审计CAE日常行政管理无需其他行政路径就该领域审计结论向CFO签署担保以便其履行SOX责任对下属各公司、机构的审计对业务单元和机构的审计争论与分析四、四、COSO之内部控制设计要素之内部控制设计要素5、监督5-2、持续监督-内部审计的组织路径 （终极解决方案）123四、四、COSO之内部控制设计要素之内部控制设计要素5-2、自我评估n公众公司管理层必须对内部控制措施进行定期评估，以支持其对内部控制制度有效性的认定5-1、持续监督实施自我评估的实施自我评估的7个步骤：个步骤：l评估内部控制强度与缺陷l测试控制强度l将测试结果记录在案l提出改进问题的行动方案l撰写报告l披露内部控制的缺陷l将

108、报告提交给分管领导和内部审计机构基本规范第四十六条n企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。n何谓自我评估？何谓自我评估？n部门于年末对其内部控制要素进行的“自我审计”n形成正式书面内部控制报告n递交分管领导（机构）124四、四、COSO之内部控制设计要素之内部控制设计要素5、监督n公众公司管理层必须对内部控制措施进行定期评估，以支持其对内部控制制度有效性的认定5-3、独立的定期评估持续推进启动项目评估风险文件评估控制设计修正内部控制实施效用测试编制关于财务报告过程之内部控制报告测试审计报告管理层外部审计125五、内部控制设计的哲理基础五、内部控

109、制设计的哲理基础n欺诈行为未被察觉的约75%以上n被察觉但未披露的80%左右 n在过去10年里，由路透社商业版报道过的欺诈事件大约有385000篇5-1、对人性的基本估计自觉正直非正直非自觉正直126五、内部控制设计的哲理基础五、内部控制设计的哲理基础5-1、对人性的基本估计 GE的伊梅尔特的伊梅尔特对 2002年8月1日签署财务报表申明的观点：1.与别人不同，我一直都认为，如果我进行欺诈的话，肯定会坐牢2.所以我不需要一条新的法律来告诉我欺骗是一件坏事3.哪怕没有什么特别的法律，我也一直能够辨清是非。道德边界法律边界127五、内部控制设计的哲理基础五、内部控制设计的哲理基础5-2、欺诈渊源

110、公司董事会公司管理层中级管理层一般员工虚假财务报告谎报费用/回扣基于岗位的侵占董事操纵股价128五、内部控制设计的哲理基础五、内部控制设计的哲理基础5-2、欺诈渊源 “You can consider your money for GONE”基于基于GONE 理论的理论的欺诈风险因素分析欺诈风险因素分析G-GREED贪婪O-OPPRTUNITY机会N-NEED需求E-EXPOSURE曝光与个人强相关与组织强相关129五、内部控制设计的哲理基础五、内部控制设计的哲理基础n中国农业银行齐齐哈尔龙沙支行原行长王晓东、汽车信贷部经理李丽挪用公款案1.做着发财梦的王晓东，用巨额公款炒股票、买彩票。屡炒屡

111、败、屡败屡买，越陷越深不能自拔。他指使李丽写借条，自己签字盖章，以高息揽储的名义吸收存款，资金几乎完全由王晓东个人支配。目的是取信于借款方，假使“出事”，债务自然也就转嫁到银行成为。而一些储蓄大户，在不知情的情况下，被王晓东当成了“提款机”。2.客观上已经形成“一人挥霍，全行配合”的局面。该行60余名职工中，因王晓东案受到处分的就有40余人，其中6人被直接开除。受到牵连、被处理的职工对此表示不满：“他是领导，他让开票我们就得开票，我们哪儿拗得过他呀；可是案子出了却要我们负责，那些能管得了他的人为什么不追究责任?”5-2、欺诈渊源 130五、内部控制设计的哲理基础五、内部控制设计的哲理基础n里森

112、的抱怨1.有一群人本来可以揭穿并阻止我的把戏，但他们没做2.我不知道他们的疏忽与划入犯罪的疏忽界限何在？3.我不清楚他们是否应当为我负什么责任？4.若在任何其他银行，我不会有机会陷入犯罪泥潭！n里森及其巴林案例给出的控制哲学1.用人是第一风险2.信任是用人的相对前提，是开始不是结束，更非全部3.所有人必须受控，受制度制约4.当把控制与利益对立或控制让位于利益，利益将埋葬更大的利益5.控制的反客为主定理：想钻空子的受控者，比控制责任人更关心控制，更精通控制5-2、欺诈渊源 131五、内部控制设计的哲理基础五、内部控制设计的哲理基础5-2、欺诈渊源 O风险的控制nO风险属于不可完全消除之风险n防范

113、和控制O风险的措施1.对每一雇员确定相应的最大限度“舞弊机会水平”（可容水平）2.严禁“灾难性”机会水平E风险的控制n揭露欺诈的概率：有赖内部控制制度n舞弊惩罚的性质和范围1.没有第二次机会2.没有第二次胆量FedEx 对其雇员强调：1.公司不能容忍任何方式的不当行为2.1000元还是一百万并无区别，只要是不道德或不适当的在中国和美国，进行同等数额的商业贿赂，接受的处罚标准：美国是中国的100倍132五、内部控制设计的哲理基础五、内部控制设计的哲理基础5-3、谁是企业的欺诈者 最具威胁的欺诈来自企业内部n据美国和加拿大的估计1.1/3的企业员工具有不同程度（性质）的盗窃资产行为2.30%的损失

114、来自顾客行窃，70%为员工所偷盗（零售业例）2001年为1/3安永2002年全球反欺诈调查133五、内部控制设计的哲理基础五、内部控制设计的哲理基础5-4、内部控制设计的人性基础前车可鉴：巴林银行的教训n巴林投资银行前总裁彼得诺里斯对巴林事件的总结是：1.最基本的一条，就是不要想当然认为所有员工都是正直的，诚实的2.这就是人类本性的可悲处n巴林银行信奉的哲学是：雇员1.都是值得信赖的2.都信奉巴林银行的文化3.都会自觉地把公司利益铭记在心n而巴林事件告诉我们，里森在服务期间从未诚实n诺里斯告诫所有金融结构的管理当局，要从里森身上吸取教训，充分意识到用人的风险134五、内部控制设计的哲理基础五、

115、内部控制设计的哲理基础5-4、内部控制设计的人性基础n世上本无所谓最好的制度安排n制度的设计取决于企业的控制哲学n西方哲学强调“性本恶”，制度设计旨在“惩恶”，即使十恶不赦者亦无机可趁：“零容忍”（Zero tolerance）原则n中国的类似观念：“防家贼”n控制制度设计的前提：1.假定“家贼”想“投机”，想“冒险”，想钻空子“骗钱”，想“捞一把”2.而非基于信任，假定“家贼”会“出于公心，谋求企业利益最大135六、内部控制的极限两种企业错误n结构性错误1.因制度设计错误而引起的差错2.错误的特点：普遍性，周期性，规律性n人为错误与制度设计无关纯粹因人为因素而产生的错误 1.善意错误2.恶意

116、错误136六、内部控制的极限善意人为错误n管理层或其他员工因信息不充分，时间限制或其他流程问题，业务决策和判断失误；n对工作指令理解错误，疏忽懈怠，精力不集中，疲劳或岗位调动等原因导致控制失效；n环境变化的不确定性及设计与运行实际偏差的不确定性；n管理层素质及其管理哲学n企业规模 137六、内部控制的极限人为的蓄意破坏：内部控制的极限1.串通、勾结2.管理当局凌驾于控制制度之上。n制度设计的逻辑：1.所有在该控制制度下的执行者，都将以善意的姿态对待并遵守该制度2.对人的信任是企业运作的假定基础3.对所有人的最高信任是内部控制设计的最低要求与人的信任无关的制度设计对人的最高信任内部控制的最低基础基于牵制与授权的全部控制措施控制设计的核心牵制 / 有限授权制度控制基于信任的自觉遵守从内部控制角度分析银行业案件，不难看出，由于银行内部上下级之间的纵向串通，相关岗位之间的横向串通，或是银行员工与外部人员相互勾结，内外串通，使内部控制“防火墙”失去了防护作用。138金税俱乐部网：金税俱乐部网：http:/地地 址：址：中山四路中山四路63号华凯商务大厦号华凯商务大厦311电电 话：话： 88228168（8线）线）传传 真：真： 89889982 89889971E- mail: