控制防火墙与安全网

《控制防火墙与安全网》由会员分享，可在线阅读，更多相关《控制防火墙与安全网（254页珍藏版）》请在金锄头文库上搜索。

1、内部控制：防火墙与安全网内部控制：防火墙与安全网巩固“防火墙”铸牢“安全网”财政部副部长王军：企业内部控制基本规范的发布，无论对于巩固巩固企业防范风险舞弊的“防火墙防火墙”，还是铸牢铸牢促进资本市场健康稳定发展的“安全网安全网”，都将发挥十分重要的基本作用。2008年6月28日于企业内部控制基本规范发布会暨首届企业内部控制高层论坛2024/7/252内部控制：防火墙与安全网主要内容一、内部控制与企业兴衰一、内部控制与企业兴衰二、内控思想的演变与内控实践的创新二、内控思想的演变与内控实践的创新三、我国三、我国企业内部控制基本规范企业内部控制基本规范及其配套指引及其配套指引的制定过程与重大突破的制

2、定过程与重大突破四、内控的设计与完善四、内控的设计与完善五、确保内控合理有效的重要措施五、确保内控合理有效的重要措施六、内控的固有局限及其规避策略六、内控的固有局限及其规避策略2024/7/253内部控制：防火墙与安全网一、内部控制与企业兴衰（一）金融企业1.巴林银行2.法兴银行3.“银行大案潮”（二）工商企业1.安然公司2.住友商社3.银广夏4.郑百文5.中航油6.“国储铜期货巨亏事件”2024/7/254内部控制：防火墙与安全网1.巴林银行1995年2月，具有232年灿烂历史、在世界一千家大银行中按核心资本排名第489位、一度排名世界第6的英国巴林银行宣布倒闭以1英镑卖出现代跨国银行管理和

3、内部控制体制的缺陷我是如何弄跨巴林银行的尼克李森自传“对于没有人来制止我的这件事，我觉得不可思议。”最有名的败家交易员（最有名的败家交易员（亏亏8.68.6亿英镑，银行股金亿英镑，银行股金4.74.7亿亿）2024/7/255内部控制：防火墙与安全网2.法兴银行案件法国兴业银行（简称法兴银行）科维尔（科维尔（热罗姆凯维埃尔）擅自投资欧洲股指期货，造成该行税前损失49亿欧元（71.6亿美元），令其成为“史上最败家交易员”。从2006年6月到2008年1月，法兴银行大多数风控系统自动针对科维尔的各种交易发出了75次次报警，分别由包括运营部门、股权衍生品部门、柜台交易、中央系统管理部门等28个部门的

4、11种风险控制系统发出，其中由运营部门和衍生品交易部门发出的警报最多，高达35次。2024/7/256内部控制：防火墙与安全网法兴案之因曾经参与巴林银行倒闭真相经验与教训一书翻译的中国农业银行内审处处长董文海说，法兴案最让他感兴趣的地方是，内控到底出了什么问题？内部控制内部控制不完善不完善 ：482/677 45.86%2024/7/257内部控制：防火墙与安全网法国总统在内的政府高层大为恼火。萨科齐萨科齐表示：“我不想对谁妄加评判，尤其是在他们陷入困境之时。高酬劳体系也许是合理的，但在这样的体系中，一旦出现问题，没人可以逃脱责任。”2024/7/258内部控制：防火墙与安全网法国总理弗朗索瓦

5、法国总理弗朗索瓦菲永菲永说，政府不会允许其他金融机构恶意收购因职员违规操作而蒙受巨大损失的法国兴业银行。“政府关注可能致使兴业银行出现动荡的风险，不会允许它成为其他银行机构恶意收购的目标兴业银行是私人银行，政府有责任替银行13万职工和它的客户着想，因此我们将高度关注兴业银行动向。”2024/7/259内部控制：防火墙与安全网法国经济、财政与就业部长法国经济、财政与就业部长克里斯蒂娜克里斯蒂娜拉加德拉加德同日接受电视台访问时，将矛头直指银行高管。她希望法国央行总裁诺耶解释，为什么在事发三天后才告知她兴业银行发生交易诈欺。她说：“兴业银行处境危险。在这个困难时期，（银行）董事会成员应当考虑董事会成

6、员应当考虑，一艘船偏离航向之时，那个负责的人是否还是最佳人选，是否该换个船长。”2024/7/2510内部控制：防火墙与安全网3.“银行大案潮”（1）2004年发生在山西省的“7.28特大金融诈骗案”以高额利息为诱饵，将证券、信托公司和企事业单位的巨额资金转入各国有商业银行的基层支行或分理处，然后与银行的内部工作人员勾结、串通一气，采取私刻印章、更换客户预留印鉴、伪造转账支票等手段，将客户巨额存款转至其他账户后，多次分解，以直接提现、办理质押贷款、转为承兑保证金等形式组建了一条运作顺畅的“蒸发存款流水线”，骗取巨额资金2024/7/2511内部控制：防火墙与安全网四大国有商业银行中除工行外，其

7、他三家均受到不同程度的损失，股份制商业银行中，交通银行和光大银行也涉案其中。这起令最高层震怒（温家宝总理三次作出批示）的山西省“建国以来最大的金融诈骗案”至2004年年底，太原市公安局称涉案金额为11.25亿元，涉案罪嫌近40人。2024/7/2512内部控制：防火墙与安全网（2）中国建设银行1）王雪冰事件前行长、原党委书记兼董事长2002年1月15日，时任中国人民银行行长戴相龙表示：“王雪冰在中国银行工作时，对该行个别分行发生的信贷案件负有领导责任或直接责任。2024/7/2513内部控制：防火墙与安全网2）张恩照事件中国建设银行股份有限公司原董事长张恩照利用其担任原中国建设银行副行长、行长

8、、中国建设银行股份有限公司董事长的职务便利，为他人谋取利益，多次非法收受他人给予的款物，以受贿罪判处张恩照有期徒刑15年。2024/7/2514内部控制：防火墙与安全网（3）中国银行中银香港案：原中行副董事长香港银行公会主席、中银(香港)总裁刘金宝在批准贷款给周正毅时，判断有误中银香港副总裁朱赤、丁燕生和总裁办公室总经理张德宝涉及挪用资金约3000多万元2024/7/2515内部控制：防火墙与安全网中国银行开平支行案：年以来金额最大的一起抽逃银行资金案。开平支行三任前行长许超凡、余振东、许国俊等人内外勾结，利用当时联行资金汇划系统存在的漏洞，大肆贪污挪用巨额银行资金（64亿），并在案件败露后经

9、香港、加拿大逃往美国。2024/7/2516内部控制：防火墙与安全网高山携款潜逃案：据称涉案金额超过10亿元人民币。2024/7/2517内部控制：防火墙与安全网2006年2月8日中行双鸭山四马路支行原行长胡伟东等5人因涉嫌银行承兑汇票诈骗被抓，成为2006年开年银行第一大案，涉案总额达4.325亿元2006年6月中国银行河南沈丘支行再次曝出银行承兑汇票大案，涉及资金总额为1.461亿元2024/7/2518内部控制：防火墙与安全网北京森豪公寓假按揭案：骗取超过6亿贷款2024/7/2519内部控制：防火墙与安全网中行纽约分行骗贷案周强夫妇通过中行内部管理人员杨仲琦的配合，从中行纽约分行骗取贷

10、款累计超过2500万美元。2005年1月18日，美国财政部货币监管署与央行联合发布消息称，对中行纽约分行的违规行为作出严厉处罚：该分行向美国货币监管署缴纳1000万美元罚款，母公司中国银行则向中国人民银行缴纳相当于1000万美元的人民币罚款2024/7/2520内部控制：防火墙与安全网（4）中国工商银行2004审计署经过9个月的审计，报告显示查出工行“各类涉嫌违法犯罪案件线索30起，涉案金额69亿元”，“已处理368人”。2024/7/2521内部控制：防火墙与安全网（5）中国农业银行中国银监会2005年3月24日公布，“内蒙古银监局最近严肃查处了中国农业银行包头分行重大违法经营案件，现已查明

11、涉案资金累计98笔、涉案金额11498.5万元，目前已经有43人受到责任追究”。2006年前几年，对中国农业银行的审计中已发现各类案件线索51起，涉案金额80多亿元2024/7/2522内部控制：防火墙与安全网农业银行邯郸金库被盗案2007年3月份，马向景接任邯郸农行金库管库员后，即开始与同为金库管理员的任晓峰密谋盗取金库现金购买彩票，中奖后二人平分。仅仅用了三个月的时间，他们就疯狂窃取金库约5100多万元现金。2024/7/2523内部控制：防火墙与安全网（6）光大银行1）朱小华事件中国光大集团有限公司董事长、中国光大金融控股有限公司董事长收受巨额贿赂，工作严重失职，给国家和企业造成巨大经济

12、损失2024/7/2524内部控制：防火墙与安全网2）光大银行广州分行越秀区支行副行长陈向群事件利用后贷填补前贷，共4次利用虚假担保的手段向银行骗取贷款9500万元，将贷款用于填补挪用资金、还债和赌博。2024/7/2525内部控制：防火墙与安全网（7）深圳发展银行2006年3月28日，深圳发展银行原党委书记、董事长周林被深圳市公安局刑事拘留。同案被拘另有3人，分别是深发展原行长助理、审贷会主任张宇，深发展人力资源部副总经理陈伟清，以及深发展总行公司业务部的林文聪。被拘4人涉嫌的违法放贷总额达15亿元2024/7/2526内部控制：防火墙与安全网（8）浦发银行2006年6月9日自查时发现一起严

13、重违反总、分行有关管理制度和操作规程进行操作引发的风险贷款事件，涉及金额1.29亿元2024/7/2527内部控制：防火墙与安全网（9）北京银行“娃娃股东”事件2007年9月19日，备受瞩目的中国资产规模最大的城商行北京银行成功上市，在受到众多投资者热捧之后，一则消息不胫而走，在北京银行为数众多的股东当中，上千名“娃娃股东”赫然在列，这些股东在北京银行进行股份制改革时均未成年，最小的甚至只有1岁。2024/7/2528内部控制：防火墙与安全网（10）宁波银行员工持股风波2007年7月9日，宁波银行在深圳中小板上市。大量持股的宁波银行高管上演“一夜暴富”的同时，也被认为是银行实行员工内部持股的典

14、型案例。银行内退员工的“爆料”，称银行高管增资扩股的操作过程中，利用手中权力违规操作、中饱私囊。2024/7/2529内部控制：防火墙与安全网（11）民生银行亿元存款盗取案民生银行济南分行经十路支行数额高达亿元之巨的储户存款，竟然会被银行里的“内鬼”随意盗取，其主角是该行业务部经理孙鹏。一部分支付高额利息，一部分买了彩票，一部分用于个人挥霍和投资，还有一部分“送人”了。据熟悉孙鹏的一位知情者反映，孙氏买彩票投入了巨额资金，仅是500万元的大奖，就中了两个。2024/7/2530内部控制：防火墙与安全网银监会统计:2005年银监会通过现场检查共查出金融机构违规金额7671亿元，提出整改意见597

15、42条，处罚违规金融机构1205个，处理金融机构违规人员6826人，取消高级管理人员任职资格325人，分别比上年增加58.97%、33.2%。其中，取消任职资格的高管人员中，农村信用社及农村商业银行最多，达222人，国有商业银行81人2024/7/2531内部控制：防火墙与安全网2005年银行业金融机构共发现案件1272起，挽回百万元以上案件资产资金损失14.7亿元；督促处理涉案人员1466人，比2004年增加247人，其中管理人员568人，占处理人员总数的38.7%，有1677人被追究领导责任，144人被取消高管任职资格2024/7/2532内部控制：防火墙与安全网2007年银行业金融机构累

16、计发生各类案件445件，降幅58.4；百万元以上案件131件，降幅50.3；各类案件涉案金额18.4亿元，降幅54.9。2024/7/2533内部控制：防火墙与安全网4.安然公司利用资本重组，形成庞大而复杂的企业组织，通过错综复杂的关联交易虚构利润，利用财务制度上的漏洞隐藏债务安然的破产拖累一批银行：200亿美元/花旗、摩根大通国际会计公司由“五大”变成“四大”催生了公众公司会计改革和投资者保护法案（萨班斯奥克斯利公司治理法案，SOX)2024/7/2534内部控制：防火墙与安全网自罗斯福总统以来美国商界影响最为深远的改革法案404404条款条款分成（a）条款和（b）条款：（a a）条款）条款

17、要求公司管理层在提交年报中对内部控制体系及控制程序有效性做出评价；（b b）条款）条款要求担任公司年报审计的会计公司应当对管理层遵从（a）条款的实际情况进行测试和评价，并出具评价报告。2024/7/2535内部控制：防火墙与安全网证券交易委员会证券交易委员会（SEC）制定相应规则为企业高管对主体财务呈报内部控制和披露控制的报告提供指南；公众公司会计监督委员会公众公司会计监督委员会（PCAOB）通过为注册会计师制定审计准则，直接影响注册会计师该类审计合约的计划与实施；发起组织委员会发起组织委员会（COSO）制定内控标准框架，作为管理当局和注册会计师进行内控评价的基础。2024/7/2536内部控

18、制：防火墙与安全网5.住友商社住友商社是日本三家最大的贸易公司之一，长期位居世界500强企业前例，年销售额高达1500亿美元1996年6月14日，住友商社50年历史上最阴暗的一天，商社总裁秋山富一宣布：由于公司没有强有力的内部由于公司没有强有力的内部会计控制系统，会计控制系统，有色金属业务部长滨中泰男违反公司有色金属业务部长滨中泰男违反公司规定，从事铜的非法交易长达规定，从事铜的非法交易长达10年，造成了年，造成了19亿美元亿美元的亏损。的亏损。（注：该金额后来扩大到（注：该金额后来扩大到40亿）亿）2024/7/2537内部控制：防火墙与安全网滨中泰男：历史上受罚最重的个人交易员。日本住友商

19、社有色金属交易部部长、首席交易商未经住友会社的许可，利用公司的名义以私人账户进行期铜交易，1996年6月给商社带来高达40亿美元，因试图隐瞒超过26亿美元的损失而被判入狱7年，在2005年7月刑满释放。2024/7/2538内部控制：防火墙与安全网住友商社秋山富一十分沮丧的说：“在我的印象中，他十分富于自制力，而且也十分讲究逻辑，于是我信任他，并委任他为首席金属交易员，但我现在感到非常失望!”总裁秋山富一不得不承认重用滨中泰男是一个错误，并宣布解除滨中泰男的职务。2024/7/2539内部控制：防火墙与安全网6.银广夏中国证监会：银广夏存在严重造假行为，通过伪造购销合同、伪造出口报关单、虚开增

20、值税专用发票、伪造免税文件和伪造金融票据等手段，虚构主营业务收入，虚构巨额利润7.45亿元，其中，1999年为1.78亿元，2000年为5.67亿元。财政部：吊销签字注册会计师注册会计师资格；吊销中天勤会计师事务所的执业资格，并会同证监会吊销其证券、期货相关业务许可证；追究中天勤会计师事务所负责人的责任。2024/7/2540内部控制：防火墙与安全网7.郑百文虚假上市、虚增利润、信达收购、三联过户对陆家豪（郑州大学外语系副教授）等10名董事处以10万元罚款。郑百文原独立董事陆家豪告证监会：以个人身份状告证监会的第一案2024/7/2541内部控制：防火墙与安全网8.中海油2004年起，陈久霖掌

21、控的中国航油（新加坡）股份有限公司（简称：中航油）开始在未经国家有关机构批准的情况下擅自从事石油衍生品期权交易，最终导致5.54亿美元的巨额亏损。新加坡初级法庭2006年3月21日对原总裁陈久霖作出一审判决。陈久霖被判交纳33.5万新元的罚款，并将入狱4年3个月。2024/7/2542内部控制：防火墙与安全网经国家有关部门批准，新加坡公司在取得中国航油集团公司授经国家有关部门批准，新加坡公司在取得中国航油集团公司授权后，自权后，自2003年开始做油品套期保值业务。在此期间，陈久年开始做油品套期保值业务。在此期间，陈久霖擅自扩大业务范围，从事石油衍生品期权交易。霖擅自扩大业务范围，从事石油衍生品

22、期权交易。陈久霖和日本三井银行、法国兴业银行、英国巴克莱银行、新陈久霖和日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外，签订了加坡发展银行和新加坡麦戈利银行等在期货交易场外，签订了合同赌石油价格回落。合同赌石油价格回落。国际油价一路攀升的情况下，不但不平仓离场，更加将国际油价一路攀升的情况下，不但不平仓离场，更加将期权的合约展期延至期权的合约展期延至2005年之后。年之后。2024/7/2543内部控制：防火墙与安全网陈久霖在国外银行提供优厚贷款的诱惑下，被拉入了石油期权交易的“笼子”中；国外投机者合力抬高油价，国际石油市场价格跟陈久霖预测的走势逆

23、向波动；陈久霖手下的国外交易员，向其对手泄漏了中航油的决策机密；交易对手趁机踢曝中航油亏损真相，令其资金链断裂，中航油遭遇强行平仓。2024/7/2544内部控制：防火墙与安全网根据中航油内部规定，损失20万美元以上的交易，要提交公司风险管理委员会评估；累计损失超过35万美元的交易，必须得到总裁同意；任何将导致50万美元以上损失的交易，将自动平仓。2024/7/2545内部控制：防火墙与安全网陈久霖所涉及的六项指控为：制作虚假的2004年度年中财务报表、违背公司法规定的董事职责、在2004年第三季度的财务报表中故意隐瞒巨额亏损、不向新交所汇报公司实际亏损、欺骗德意志银行和诱使集团公司出售股票。

24、陈久霖已于3月15日在法庭上承认了这六项指控，他将成为在新加坡因内部交易而获罪入狱的第一人。2024/7/2546内部控制：防火墙与安全网中航油前财务总监林中山已经被新加坡法院判处入狱两年，并被处以15万新元的罚款。该公司另外三名非执行董事也被处以总计70万新元的罚款。2024/7/2547内部控制：防火墙与安全网陈久霖反思：自己确有一些地方是错了。错在何处呢？“我太相信别人了，公司有资深交易员、风险管理委员会、内审部三道关三道关呀！”他也承认，自己开始时并没有想到，“后来需要那么多保证金，我们根本拿不出那么多钱来。”2024/7/2548内部控制：防火墙与安全网9.“国储铜期货巨亏事件”20

25、05年轰动一时的“国储铜期货巨亏事件”，原国家发改委下属国家物资储备调节中心（下称调节中心）进出口处处长刘其兵刘其兵在其任职期间，运用自身权力违规操作给国家物资储备调节中心造成了6.06亿美元的巨额经济损失。2008年4月30日，刘其兵被判处有期徒刑7年，他的上司、国储调节中心原副主任吕嘉范获刑6年。2024/7/2549内部控制：防火墙与安全网（三）三点启示1.施控则强、失控则弱、无控则乱2.规模大、层级多、结构复杂的企业更需要强化内部控制3.企业内部控制是一个系统、一个过程2024/7/2550内部控制：防火墙与安全网1.施控则强、失控则弱、无控则乱（1）促进实现发展战略企业价值保值增值：

26、为利益相关者创造更多的财富2024/7/2551内部控制：防火墙与安全网内部控制内部控制内部控制内部控制战略要求？略要求？策略需要？策略需要？v规范运行规范运行v稳健发展稳健发展 生产要素全球化生产要素全球化 市场全球化市场全球化 管理水平国际化管理水平国际化 监管国际化监管国际化2024/7/2552内部控制：防火墙与安全网管理阶层舞弊操纵财务报告不真实审计失效企企业价价值减减损投投资者资者失去失去信信心心2024/7/2553内部控制：防火墙与安全网（2）确保合法经营内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因许多国家通过立法强化企业内部控制，内部控制日

27、益成为企业进入资本市场的“入门证”和“通行证”，我国境外上市企业纷纷花巨资聘请海外机构设计内部控制制度，以适应上市地的监管要求2024/7/2554内部控制：防火墙与安全网（3）维护资产安全避免企业管理松弛、风险频发，避免营私舞弊、诈骗、资产流失、损失浪费等问题2024/7/2555内部控制：防火墙与安全网（4）保证信息真实完整2024/7/2556内部控制：防火墙与安全网（5）提高经营效率和效果2024/7/2557内部控制：防火墙与安全网2.规模大、层级多、结构复杂的企业更需要强化内部控制COSO：所有组织，不论其规模、结构、性质或产业，不同层级都会面临风险，管理层必须密切注意各层级的风险

28、，并采取必要的管理措施大企业常常被形容为恐龙：凶猛、强悍，让人畏惧。但是，大企业也容易像恐龙一样，对外界反应迟钝，行动笨拙不堪2024/7/2558内部控制：防火墙与安全网规模越大、业务流程越复杂，销售渠道越多、管理层级越多、管理跨度越大和其他涉及重大公众利益的企业越需要建立、健全内部控制2024/7/2559内部控制：防火墙与安全网3.企业内部控制是一个系统、一个过程内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。全面、全员、全程全面、全员、全程2024/7/2560内部控制：防火墙与安全网（1）内部控制是一个“动态过程”内部控制不是一个事件或一种状况，而是

29、嵌入到企业经营活动中的一系列行动，是管理层经营企业的方式中所固有的发现问题、解决问题、发现新问题、解决新问题循环往复2024/7/2561内部控制：防火墙与安全网（2）内部控制嵌入企业经营活动之中内部控制与企业经营活动的关系是：内部控制因为企业基本的经营活动而存在，贯穿于企业经营活动的各个方面，只要存在企业经济活动和经营管理，就需要有相应的内部控制。“嵌入之中”（buildin)，而非“置于其上”（buildon)，是企业经营过程的一部分，与经营过程结合在一起，使经营过程发挥其应有的功能，并监督着企业经营过程的持续进行。2024/7/2562内部控制：防火墙与安全网（3）内部控制具有一定的目的

30、性帮助组织实现一个或多个彼此独立而又相互交叉的目标，使企业的经营依循既定的目标前进。它是实现目的的手段，而非目的本身。为管理层和董事会提供合理保证合理保证，而非“绝对保证绝对保证”。2024/7/2563内部控制：防火墙与安全网（4）所有内部控制都针对“人”来设立和实施企业中的每一个员工既是控制的主体又是控制的客体，既对其所负责的作业实施控制，又受到他人的控制和监督。企业内部控制并不仅仅是一堆堆的政策手册、文件、制度或冷冰冰的机械规定，还涉及到各层级的人员。企业内部会因此形成一种控制精神和控制观念，直接影响到企业的控制效率和效果。2024/7/2564内部控制：防火墙与安全网（5）内部控制深受

31、企业内部和外部环境的影响环境影响企业控制目标的制定与实施企业经营管理环境的变化要求企业适时修订内部控制制度世上从来没有一成不变、一劳永逸和放之四海而皆准的制度2024/7/2565内部控制：防火墙与安全网二、内控思想的演变与内控实践的创新（一）内控思想演变（二）内控制度变迁（三）我国上市公司内部控制现状2024/7/2566内部控制：防火墙与安全网思想：内部牵制内部控制制度内部控制结构内部控制整合框架企业风险管理整合框架制度：理论研讨争辩标准规范实施实践：由零散的内部控制专项（单一）的内部控制系统的内部控制综合的内部控制2024/7/2567内部控制：防火墙与安全网（一）（一）内部内部控制控制

32、思想思想演变演变内部牵制阶段内部牵制阶段（20世纪世纪30年代及以前）年代及以前）（20世纪世纪40年代）年代）内部控制制度阶段内部控制制度阶段（20世纪世纪80年代）年代）内部控制结构阶段内部控制结构阶段（20世纪世纪90年代）年代）内部控制整合框架阶段内部控制整合框架阶段（21世纪初以来）世纪初以来）风险管理整合框架阶段风险管理整合框架阶段2024/7/2568内部控制：防火墙与安全网1.内部牵制：业务分管责任制（1）假设两个或两个以上的人或部门无意识地犯同样的错误机会较少；两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个或部门舞弊的可能性（2）四种方式实物牵制：如钥匙交两

33、个以上的持有物理牵制：如银库大门按非正确手续操作就会报警分权牵制：每项业务由不同的人或部门去执行簿记牵制：明细账与总账定期核对（3）三要素职责分工；会计记录；人员轮换2024/7/2569内部控制：防火墙与安全网2.内部控制制度：两要素论（1）内部会计控制保护企业资产、检查会计数据的准确性和可靠性（2）内部管理控制提高经营效率、促使有关人员遵守既定的管理方针2024/7/2570内部控制：防火墙与安全网3.内部控制结构：三要素论（1）控制环境（2）会计制度（3）控制程序2024/7/2571内部控制：防火墙与安全网 内部控制“五要素”的平面图信息与沟通信息与沟通控控 制制 环环 境境风风 险险

34、 评评 估估控控 制制 活活 动动监监 控控4.内部控制整合框架：五要素论2024/7/2572内部控制：防火墙与安全网内 部 环 境目 标 设 定风 险 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控战 略报 告经 营合 规企业整体层次业务单元分支机构子公司内部控制的八要素立体图5.企业风险管理整合框架：八要素论2024/7/2573内部控制：防火墙与安全网（二）内控制度变迁1.国外2.我国2024/7/2574内部控制：防火墙与安全网1.国外（1）美国，COSO（美国反对虚假财务报告委员会下的发起人委员会），内部控制整合框架，1992年9月（1994年局部修订）www.c

35、oso.org（2）美国，COSO，企业风险管理整合框架，2004年9月www.coso.org（3）美国，2002年的美国萨班斯奥克斯利法案（一般称为SOX）第404条款（4）美国，GAO（审计总署GeneralAccountingOffice，2004年改名为政府问责署GovernmentAccountabilityOffice，简称仍为GAO），联邦政府内部控制准则，1999年11月（内部控制进入公共部门的代表性标志）www.gao.gov2024/7/2575内部控制：防火墙与安全网（5）巴塞尔银行业监管委员会，银行业机构内部控制系统框架，1998年9月（权威而影响广泛的金融机构内部控

36、制国际指南）www.bis.org（6）英国，FRC（财务报告委员会），特恩布尔（Turnbull）内部控制指南，2005年10月修订（Turnbull内部控制指南最初由ICAEW（英格兰与威尔士特许会计师协会）于1999年发布）www.frc.org.uk（7）加拿大，CoCo（控制标准委员会，隶属于加拿大特许会计师协会（CICA），控制指南，1995年www.cica.ca2024/7/2576内部控制：防火墙与安全网2.我国（1）法律）法律会计法、中华人民共和国商业银行法、中华人民共和国银行业监督管理法、证券法（2）行政法规）行政法规证券公司监督管理条例2024/7/2577内部控制：防

37、火墙与安全网（3 3）部门规章）部门规章1）中国银行业监督管理委员会商业银行内部控制指引、商业银行市场风险管理指引、信托投资公司内部控制指引、商业银行内部控制评价试行办法2）审计署审计署关于内部审计工作的规定、审计机关内部控制测评准则3）五部门）五部门企业内部控制基本规范企业内部控制基本规范及其配套指引及其配套指引财政部、证监会、审计署、银监会、保监会2024/7/2578内部控制：防火墙与安全网（4 4）规范性文件）规范性文件1）证监会证券公司内部控制指引和证券投资基金销售机构内部控制指导意见2）财政部内部会计控制规范3）保监会寿险公司内部控制评价办法（试行）4）国资委国资委中央企业全面风险

38、管理指引中央企业全面风险管理指引2024/7/2579内部控制：防火墙与安全网（5 5）证交所）证交所上市公司内部控制指引上市公司内部控制指引2006年上海证券交易所、深圳证券交易所分别发布2024/7/2580内部控制：防火墙与安全网（三）我国上市公司内部控制现状1.香港德勤会计师事务所的调查报告香港德勤会计师事务所的调查报告2.深圳市迪博企业风险管理技术有限公司的中国上市公司深圳市迪博企业风险管理技术有限公司的中国上市公司2008年内部控制白皮书年内部控制白皮书2024/7/2581内部控制：防火墙与安全网1.香港德勤会计师事务所的调查报告2008年7月日在北京发布上市公司内部控制调查报告

39、调查的对象主要是在上海证券交易所公开发行股的上市公司。44的被调查上市公司已建立了良好的内部控制机制。与2007年相比，已建立完善的内部控制体系的公司数量同比增长了一倍多。金融行业内部控制体系的建设表现突出。2024/7/2582内部控制：防火墙与安全网企业高级管理层对内部控制的重视程度不足，缺乏支持与指导未关注公司层面的控制，治理结构形同虚设缺乏实施内部控制的专业技术人才缺乏有效的监督考核机制，使内部控制工作流于形式过于关注短期效果而忽视建立内部控制长效机制未能将内部控制的要求与日常运营工作相结合薄弱的信息系统控制未能将信息系统与内部控制的要求结合起来2024/7/2583内部控制：防火墙与

40、安全网2.中国上市公司2008年内部控制白皮书选取了沪、深交易所的1497家上市公司作为研究样本，对样本公司2007年度的内部控制建设情况进行评价评价数据来源于上市公司年报“公司治理”或“重要事项”一节或者单独披露的“内部控制自我评估报告”中披露的信息。通过排序分析、均值比较和回归分析等方法，对行业、地区、控制人、股权激励等与内部控制的关系进行统计分析2024/7/2584内部控制：防火墙与安全网中国上市公司2008年内部控制白皮书摘要（2008年6月24日）1.金融保险业建筑业和房地产业整体内部控制水平处于行业前三位;2.北京地区的上市公司整体内部控制水平居于全国首位;3.控制人为中央国有企

41、业的上市公司整体内部控制水平优于其他控制类型的上市公司;4.上市时间较短的上市公司整体内部控制水平优于上市时间较长的公司;2024/7/2585内部控制：防火墙与安全网5.非ST股上市公司的整体内部控制水平优于ST股上市公司;6.沪深300指数成分股的上市公司整体内部控制水平优于非成分股上市公司;7.中小板上市公司整体内部控制水平优于主板上市公司；8.实施（或拟实施）股权激励的上市公司整体内部控制水平优于未实施的上市公司；2024/7/2586内部控制：防火墙与安全网9.披露了内部控制自我评估报告的上市公司整体内部控制水平优于未披露的上市公司；10.披露了会计师事务所内部控制鉴证报告的上市公司

42、整体内部控制水平优于未披露的上市公司；11.披露了监事会和独立董事对内部控制自我评价的意见的上市公司整体内部控制水平优于未披露该项意见的上市公司；2024/7/2587内部控制：防火墙与安全网12.设立了内部审计机构的上市公司整体内部控制水平优于未设立的上市公司；13.深圳证券交易所的上市公司整体内部控制水平优于上海证券交易所的上市公司；14.2007年未遭受违法违规处罚的上市公司整体内部控制水平优于遭受处罚的上市公司；2024/7/2588内部控制：防火墙与安全网15.内部控制水平与上市公司成立年限和上年度是否亏损在的显著性水平下显著负相关，而与企业规模、前十大股东持股比例之和情况、前三名董

43、事长、董事薪酬总额情况及前三名总经理、副总经理薪酬总额情况在的显著性水平下显著正相关；2024/7/2589内部控制：防火墙与安全网16.审计意见与内部控制在的水平下具有显著的负相关，即内部控制水平越高的上市公司，审计意见越好；17.盈余信息质量与内部控制水平呈显著正相关关系，即内部控制的加强有助于上市公司操控应计的减少，盈余信息质量的提高；18.投入资本回报率与内部控制之间显著正相关，即内部控制越好的公司投入资本回报率也越高，内部控制水平的提高有利于增加企业的投入资本回报率。2024/7/2590内部控制：防火墙与安全网三、我国我国企业内部控制规范体系的构成与与创新创新（一）（一）企业内部控

44、制规范体系企业内部控制规范体系的构成的构成（二）制定过程（二）制定过程（三）（三）企业内部控制基本规范企业内部控制基本规范的性质的性质（四）重大突破与创新（四）重大突破与创新（五）颁行的意义（五）颁行的意义2024/7/2591内部控制：防火墙与安全网（一）企业内部控制规范体系的构成企业内部控制基本规范企业内部控制基本规范2008年年5月月22日印发（日印发（财会财会20087号号），6月月28日召日召开联合发布会：于开联合发布会：于2009年年7月月1日起首先在上市公司范日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行围内施行，并鼓励非上市的其他大中型企业执行配套指引配套指引2

45、010年年4月月15印发（印发（财会财会201011号号），），4月月26日召开日召开联合发布会联合发布会2024/7/2592内部控制：防火墙与安全网（一）企业内部控制规范体系的构成配套指引配套指引自自2011年年1月月1日日起首先在境内外同时上市的公司施行，起首先在境内外同时上市的公司施行，自自2012年年1月月1日起扩大到在日起扩大到在上海上海证券证券交易所、交易所、深圳深圳证证券交易所主板上市的公司施行；在此基础上，择机在券交易所主板上市的公司施行；在此基础上，择机在中小板和中小板和创业板创业板上市公司上市公司施行。同时，鼓励非上市大施行。同时，鼓励非上市大中型企业提前施行中型企业提前

46、施行2024/7/2593内部控制：防火墙与安全网企业内部控制规范体系企企业业内内部部控控制制配配 套套 指指 引引事事务务所所：注注会会企企业业内内部部控控制制评评 价价 指指 引引（ 1 1 项项）企企 业业 ： 管管 理理 层层/ / 会会计计 企企业业内内部部控控制制基基 本本 规规 范范企企业业内内部部控控制制应应 用用 指指 引引（ 1 1 8 8 + + 3 3）企企业业内内部部控控制制审审 计计 指指 引引（ 1 1 项项）2024/7/2594内部控制：防火墙与安全网企业内部控制应用指引的构成企企业业内内部部控控制制配配 套套 指指 引引事事务务所所：注注会会企企业业内内部部

47、控控制制评评 价价 指指 引引（ 1 1 项项）企企 业业 ： 管管 理理 层层/ / 会会计计 企企 业业 内内 部部 控控 制制 应应 用用 指指 引引企企业业内内部部控控制制应应 用用 指指 引引（ 1 1 8 8 + + 3 3）企企业业内内部部控控制制审审 计计 指指 引引（ 1 1 项项）2024/7/2595内部控制：防火墙与安全网2024/7/2596内部控制：防火墙与安全网（二）制定过程1.资料收集和理论研究阶段：2004年底至2005年6月。2.起草初步框架阶段：2005年7月至2006年6月3.全面起草阶段：2006年7月至9月2006年7月15日成立企业内部控制标准委员

48、会草拟完成了基本规范和17项具体控制规范4.初审修改阶段：2006年10月8日至11月初5.内部征求意见阶段：2006年11月至12月6.修改定稿后发布：2007年1月至6月2024/7/2597内部控制：防火墙与安全网（三）企业内部控制基本规范的性质基本规范规定内部控制的基本目标、基本要素、基本原则和总体要求是制定应用指引（具体规范和应用指南）的基本依据在内控标准体系中起统驭作用2024/7/2598内部控制：防火墙与安全网（四）重大突破与创新1.结束政出多门的制定机制结束政出多门的制定机制2.着力推行三位一体的执行机制着力推行三位一体的执行机制3.有效实现国际化与本土化的结合有效实现国际化

49、与本土化的结合4.科学界定内部控制的内涵科学界定内部控制的内涵5.准确定位内部控制的目标准确定位内部控制的目标6.合理确定内部控制的原则合理确定内部控制的原则7.统筹构建内部控制的要素统筹构建内部控制的要素2024/7/2599内部控制：防火墙与安全网1.结束政出多门的制定机制2024/7/25100内部控制：防火墙与安全网2.着力推行三位一体的执行机制开创性地建立了以企业为主体、以政府监管为促进、以开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制中介机构审计为重要组成部分的内部控制实施机制（1）要求企业实行内部控制自我评价制度，并将各责任单）要求企

50、业实行内部控制自我评价制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。位和全体员工实施内部控制的情况纳入绩效考评体系。（2）国务院有关监管部门有权对企业建立并实施内部控制）国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查。的情况进行监督检查。（3）明确企业可以依法委托会计师事务所对本企业内部控）明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计，出具审计报告。制的有效性进行审计，出具审计报告。为企业内部控制提供咨询的会计师事务所，不得同时为为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。同一企业提供内部控制审计服务。

51、2024/7/25101内部控制：防火墙与安全网3.有效实现国际化与本土化的结合坚持立足我国国情、借鉴国际惯例，确立了我国企业建坚持立足我国国情、借鉴国际惯例，确立了我国企业建立和实施内部控制的基础框架立和实施内部控制的基础框架中国的萨班斯法案中国的萨班斯法案2024/7/25102内部控制：防火墙与安全网4.科学界定内部控制的内涵强调内部控制是由企业董事会、监事会、经理层强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，和全体员工实施的、旨在实现控制目标的过程，有利于树立全面、全员、全过程控制的理念。有利于树立全面、全员、全过程控制的理念。2024/7/25

52、103内部控制：防火墙与安全网5.准确定位内部控制的目标合理保证：合理保证：企业经营管理合法合规企业经营管理合法合规资产安全资产安全财务报告及相关信息真实完整财务报告及相关信息真实完整提高经营效率和效果提高经营效率和效果促进企业实现发展战略促进企业实现发展战略2024/7/25104内部控制：防火墙与安全网6.合理确定内部控制的原则要求企业在建立和实施内部控制全过程中贯彻全要求企业在建立和实施内部控制全过程中贯彻全面性原则、重要性原则、制衡性原则、适应性原面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。则和成本效益原则。2024/7/25105内部控制：防火墙与安全网7.统筹构建内

53、部控制的要素有机融合世界主要经济体加强内部控制的做法经验，构有机融合世界主要经济体加强内部控制的做法经验，构建了以内部环境为重要基础、以风险评估为重要环节、建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内内部监督为重要保证，相互联系、相互促进的五要素内部控制框架。部控制框架。在形式上借鉴了在形式上借鉴了COSO报告报告5要素框架，同时在内容上体要素框架，同时在内容上体现了风险管理现了风险管理8要素框架的实质。要素框架的实质。2024/7/25106内部

54、控制：防火墙与安全网（五）颁行的意义巩固企业防范风险舞弊的巩固企业防范风险舞弊的“防火墙防火墙”，铸牢促进，铸牢促进资本市场健康稳定发展的资本市场健康稳定发展的“安全网安全网”替企业和单位遮荫蔽雨的替企业和单位遮荫蔽雨的“参天大树参天大树”，为金融，为金融安全和经济安全保驾护航的安全和经济安全保驾护航的“守护神守护神”2024/7/25107内部控制：防火墙与安全网1.构建了一个标准框架2.强化了一种内控理念3.建立了一套内控措施4.夯实了一个制度基础5.确立了一个实施模式6.构筑了一个联动平台2024/7/25108内部控制：防火墙与安全网1.构建了一个标准框架科学地构建了一套内部环境优化、

55、风险评估科学、控制措施得当、信息沟通迅捷、监督制约有力的内部控制框架。可以有效地解决政出多门、要求不一、企业无所适从的问题，有利于提高内部控制的监管效益、降低监管成本，有利于优化企业管理和增强企业竞争实力，有利于保障资本安全、维护资本市场稳定。2024/7/25109内部控制：防火墙与安全网2.强化了一种内控理念进一步强化了企业的社会责任感和风险防范意识，实现了由内部牵制、单一会计控制向全面、全员、全程的风险控制的观念转变，必将在全社会营造一种立信守诚、和谐进取、健康向上的内控文化，对深化企业改革，推进金融改革，健全现代市场体系和构建和谐社会具有重要推动作用。2024/7/25110内部控制：

56、防火墙与安全网3.建立了一套内控措施进一步强化了对财务报告信息和其他管理信息的约束，提高了企业资源管理与利用的安全性和有效性，为维护投资者和社会公众利益提供了有力支持。2024/7/25111内部控制：防火墙与安全网4.夯实了一个制度基础基本规范的制定实施，既是促进企业会计准则体系和其他有关法规制度有效执行的配套制度安排，同时也是推动企业内部各项规章制度令行禁止的重要机制保障。2024/7/25112内部控制：防火墙与安全网5.确立了一个实施模式有效地化解了标准制度与实施过程中不同利益主体之间可能存在的矛盾和冲突，提高了内控标准的严肃性、权威性和公认性，增强了标准的执行力。2024/7/251

57、13内部控制：防火墙与安全网6.构筑了一个联动平台在环环相扣、相互关联的大会计系统之中，完备的会计法规为会计改革与发展创造了良好的法制环境。2024/7/25114内部控制：防火墙与安全网四、内控的设计与完善四、内控的设计与完善（一）内控目标（二）内控主体（三）内控客体（四）设计内控的原则（五）需要考虑的因素（六）构建和完善内控的要点2024/7/25115内部控制：防火墙与安全网（一）内控目标1.目标定位2.目标的交叉与融合3.目标的实现：合理保证2024/7/25116内部控制：防火墙与安全网1.目标定位合理保证合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效

58、率和效果、促进企业实现发展战略l我国：合规目标、资产安全目标、报告目标、经营目标、战略目标lCOSO：战略目标相关目标（经营目标、报告目标、合规目标）2024/7/25117内部控制：防火墙与安全网1）合规目标符合适用的法律和法规不仅遵守法律、法规，还应遵守内部治理、道德与风险标准和政策，甚至包括顾客、雇员和社会等主要利益利益相关者的期望相关者的期望否则可能对组织的经营模式、声誉和财务状况产生损害遵守风险遵守风险2024/7/25118内部控制：防火墙与安全网2）资产安全目标内部控制整合框架1994年补充的“保护资产”目标在企业风险管理框架中并没有单列COSO认为，这个目标的内容已经分别包含在

59、其他目标之中。2024/7/25119内部控制：防火墙与安全网3）报告目标报告不仅仅是公布的财务报表，而应包括由企业编制、向内部和外部提供的所有报告，信息内容也从财务报表的财务信息扩展到了更广泛的非财务信息。2024/7/25120内部控制：防火墙与安全网3）报告目标报告目标关注财务报告及相关信息的真实完整。财务报告涉及一系列认定（Assertions）l存在或发生l完整性l权利与义务l估计或分摊l列报与披露2024/7/25121内部控制：防火墙与安全网4）经营目标高效率地利用资源2024/7/25122内部控制：防火墙与安全网5）战略目标与使命相关联并支撑使命虽然平行方式列示各目标，但是，

60、战略目标在这个目标体系中是最高层次的，其他目标都应当从属于战略目标，都是在为战略目标服务。2024/7/25123内部控制：防火墙与安全网2.目标的交叉与融合2024/7/25124内部控制：防火墙与安全网测试1：“每个储蓄所都安有摄像头，柜台都用铁栅栏隔离”的内部控制，主要是为实现什么目标？l资产安全目标：资产安全目标：资源免受损失2024/7/25125内部控制：防火墙与安全网测试2：“在20个工作日内结清半年度账目”的内部控制，主要是为实现什么目标？l合规目标：合规目标：及时向监管机构报送资料（8.31）l报告目标：报告目标：及时进行财务报告l经营目标经营目标：管理层为评价经营业绩而召开

61、中期经营活动分析会2024/7/25126内部控制：防火墙与安全网测试3：为了实现“通过内部晋升充实更多的管理职位通过内部晋升充实更多的管理职位”这一目标，主要采取哪些内部控制措施？l目标的类别？目标的类别？战略目标/经营目标/合规目标企业整体层次/分支机构/业务单元/子公司/人力资源部l内控措施？内控措施？2024/7/25127内部控制：防火墙与安全网l内控措施内控措施接任计划评价培训开发2024/7/25128内部控制：防火墙与安全网目标交叉与融合的表现一项具体的经营活动可能需要设定一个或多个相关联的控制目标一个目标可以采用不同的控制活动分别实现一个目标可能同时需要几项不同的控制活动来实

62、现一项具体的控制活动可能是为了实现一个或多个相关联的控制目标2024/7/25129内部控制：防火墙与安全网3.目标的实现：合理保证内部控制只能为目标的实现提供合理的保证。l不论设计、执行有多么完善，内部控制都只能为管理阶层及董事会提供达成企业目标的合理保证。l目标实现的可能性，是多个因素共同作用的结果。l即使是有效的内部控制，也仅仅只能帮帮助助组织实现这些目标。2024/7/25130内部控制：防火墙与安全网例如：（1）好的内控可否把一个内在素质差的经理变成好经理？（2）内控能否保证政府政策或计划、竞争者的行动或经济条件一直朝着对本企业有利的方向变化？2024/7/25131内部控制：防火墙

63、与安全网思考：制度好，坏人能管好，制度有问题，好人也变坏？思考：制度好，坏人能管好，制度有问题，好人也变坏？l民间：坏制度让人变成鬼，好制度使鬼变成人。民间：坏制度让人变成鬼，好制度使鬼变成人。l坏的制度能让好人变坏，而好的制度能让坏人变好l邓小平：制度好可以使坏人无法任意横行，制度不好可以使好人无法充分邓小平：制度好可以使坏人无法任意横行，制度不好可以使好人无法充分做好事，甚至走向反面。做好事，甚至走向反面。”（邓小平文选邓小平文选第第2卷第卷第333页）页）l温家宝：温家宝：“规范行政权力运行深入推进反腐倡廉工作规范行政权力运行深入推进反腐倡廉工作”（2007年2月9日国务院第五次廉政工作

64、会议）l哈耶克：哈耶克：制度设计的关键是对人的假设，从好人的假设出发，必然设计出坏的制度，导出坏的结果；从坏人的假设出发，则能设计出好的制度。2024/7/25132内部控制：防火墙与安全网结论：制度的好坏只是起一种推动作用，但不是决定性结论：制度的好坏只是起一种推动作用，但不是决定性的作用的作用l好制度让好人不会变坏、坏人干不成坏事好制度让好人不会变坏、坏人干不成坏事l一个没有制度的集体是涣散的集体，一个一个没有制度的集体是涣散的集体，一个没有好制度没有好制度的集体是可怕的集体。的集体是可怕的集体。l管理者一定要重视制度建设：用制度管权管理者一定要重视制度建设：用制度管权/人人/事事2024

65、/7/25133内部控制：防火墙与安全网l内部控制可以向管理层提供组织在实现目标方面所取得的进展或者缺乏进展的信息。对于不同的目标所提供合理保证的内容也不尽相同。2024/7/25134内部控制：防火墙与安全网对于报告目标和合规目标而言，因为有关报告的可靠性和符合法律、法规的目标在组织的控制范围之内，所以可以期望内控为实现这些目标提供合理保证。对于战略目标和经营目标而言，由于这些目标的实现还取决于一些不在组织控制范围之内的外部事项，所以，内控可以提供合理保证的是对目标的实现过程进行有效的信息沟通，即管理当局以及承担监督职能的董事会能够及时地了解企业目标实现的进展情况。2024/7/25135内

66、部控制：防火墙与安全网（二）内控主体内部控制的执行者内部控制受企业的董事会、监事会、管理层及其他员工影响，通过企业之内的人所做的行为及所说的话而完成。强调“人”以及经营所处环境的重要性个人品性，包括诚信、道德价值观和胜任能力层次性2024/7/25136内部控制：防火墙与安全网1.董事会:负责内部控制的建立健全和有效实施。2.监事会:对董事会建立与实施内部控制进行监督。3.经理层:负责组织领导企业内部控制的日常运行。4.（高级）财会人员5.全体（普通）员工6.专设或者指定的机构:具体负责组织协调内部控制的建立、实施及日常工作2024/7/25137内部控制：防火墙与安全网审计委员会和内部审计机

67、构审计委员会和内部审计机构（1）企业应当在董事会下设立审计委员会审计委员会审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。（2）内部审计机构内部审计机构结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。2024/7/25138内部控制：防火墙与安全网董事会董事会可能最终负责总体监督和对管理人员的监控，它不能陷入细节，但必须做到：通过审计委员会或其他途径来向自己证实适当内部

68、控制系统的存在确定系统是有效的和充分的，能适当地保护资产、发布正确的财务报告及遵守法规制定一个精心准备的道德规范，以规范员工行为对监控管理人员和其他员工遵守公司管理规章和相关法规，并针对违规行为采取适当的行动承担责任了解财务会计记录系统是如何运作的2024/7/25139内部控制：防火墙与安全网高级管理人员认清企业的内在风险和潜在的错误和舞弊加强必要的控制，提供适当的环境，包括政策、指令和沟通等指挥那些负责企业决策及决策过程中涉及的人员去执行内部控制创造和维护一个以凭证为依据的内部控制系统对内部控制的合理性、完整性、有效性进行检查评价向股东和财务报表承担主要责任2024/7/25140内部控制

69、：防火墙与安全网高级财会人员建议总裁应让所有高管研读内部控制规范，并思考他们的责任，评估哪里会出现特殊情况及时安排内审部门对内部控制进行评价并提交报告审察最高管理当局是否言行一致和符合行为规范，并向适当的权威（总裁、审计委员会）提出建议让相关人员理解财务报表的内在联系和备选会计方法对报表的影响建议会计、审计部门聘任称职的员工对发布正确的财务报表负主要责任熟悉有效、适当的内部会计控制系统运行的技术要求，确定系统存在并正常运行，坚持遵守政策和程序2024/7/25141内部控制：防火墙与安全网监事会监督董事会、高级管理层完善内部控制体系监督董事会及董事、高级管理层及高级管理人员履行内部控制职责要求

70、董事、董事长及高级管理人员纠正其损害企业利益的行为并监督执行2024/7/25142内部控制：防火墙与安全网（三）内控客体（三）内控客体1.各级员工既是主体又是客体2.企业内部的各级组织机构3.企业各种经济业务活动4.企业各项资产（包括人力资源、知识资源、信息资源和客户资源）和权益5.企业信息处理和信息载体6.为保证企业正常经营所采取的一系列必要的管理措施管理措施2024/7/25143内部控制：防火墙与安全网（四）设计内控的原则（1）全面性原则（2）重要性原则（3）制衡性原则（4）适应性原则（5）成本效益原则2024/7/25144内部控制：防火墙与安全网（1）全面性原则内控应当贯穿决策、执

71、行和监督全过程，覆盖企业及其所属单位的各种业务和事项涵盖单位内部各项经济业务及相关岗位，并应针对业务处理过程中的关键控制点，落实到决策、执行、监督、管理各个环节，不能留有任何死角。内控成为所有员工严格遵守的行动指南；约束单位内部所有人员，执行内控不能存在任何例外，任何人（包括董事长、总经理）不得拥有超越制度或违反内部控制的权力。设立新的组织或开办新的业务种类，必须树立“内控优先”的思想，首先建章立制，采取有效的控制措施。2024/7/25145内部控制：防火墙与安全网（2）重要性原则内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。2024/7/25146内部控制：防火墙与安全网（

72、3）制衡性原则内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。保证单位内部机构、岗位的合理设置及其职责权限的合理划分，坚持不相容职务相互分离，确保不同机构和岗位之间权责分明、相互制约、相互监督；内部控制的检查、评价部门必须独立于内部控制的建立和执行部门，直接的操作人员和直接的控制人员必须适当分开，并向不同的管理人员报告工作；在存在管理人员职责交叉的情况下，要为负责控制的人员提供可以直接向最高管理层报告的渠道。2024/7/25147内部控制：防火墙与安全网（4）适应性原则内部控制应当符合国家有关法律法规和内部会计控制规范及单位的实际情况与企业

73、经营规模、业务范围、竞争状况和风险水平等相适应，并随着外部环境的变化、单位业务职能的调整和管理要求的提高，不断修订和完善内部控制制度。2024/7/25148内部控制：防火墙与安全网（5）成本效益原则内部控制并不是要消除任何滥用职权的可能性，而是要创造一种为防范滥用职权而投入的成本与滥用职权的累计数额之比呈合理状态（即经济原则）的机制。没有不花钱的内部控制，也不存在完美无缺的内部控制。2024/7/25149内部控制：防火墙与安全网404条款究竟有多昂贵？在美国，大多数在2004年11月15日之后报告财务结果的公司，都被要求从外部审计机构获得已经满足404条款的证明根据国际财务执行官（FEI）

74、对321家企业的调查结果，每家需要遵守萨班斯法案的美国大型企业第一年实施第404条款的总成本将超过460万美元。这些成本包括35000小时的内部人员投入、130万美元的外部顾问和软件费用以及150美元的额外审计费用（增幅达到35%）。通用电气公司表示，404条款致使公司在执行内部控制规定上的花费已经高达3000万美元。2024/7/25150内部控制：防火墙与安全网纽约证交所亚洲上市公司的一位财务主管估计，为达到这一法规要求，公司每年在聘用律师和会计师方面的成本就高达数千万美元。中国在美国上市的46家公司总共在应对萨班斯法案方面的直接投入将高达10亿元人民币。网通聘请德勤做项目顾问的直接费用大

75、约是上千万元人民币，项目真正启动时，最高峰整个集团有4万到5万人参与做这个项目。2024/7/25151内部控制：防火墙与安全网在美国上市的中国人寿股份公司总经理杨华良表示，为应对SOX法案404条款，中国人寿成立了404项目，以建立内部控制体系。但不可否认的是，中国人寿在遵从404条款方面取得硕果的同时，404条款的巨大遵循压力在短期内已经给中国人寿带来了高额成本。2024/7/25152内部控制：防火墙与安全网欧盟和发展中国家的企业认为，遵从SOX法案极大地增加了企业负担。欧盟就认为，SOX法案的打击面太广，并且该法案是在美国几家公司发生会计丑闻之后匆忙制定的，有事后诸葛亮之嫌。无线增值服

76、务提供商华友世纪CFO刘晓奚表示，该法案对中国互联网公司来说，几乎是不可承受的负担。因为处理几百条需要达标的条件，人力、时间、成本方面耗费太大，对高科技企业没有什么意义。2024/7/25153内部控制：防火墙与安全网自2002年SOX法案出台以来，全球最大的几次IPO多半远离美国全球最大的10笔IPO中仅有中国人寿选择在美国进行，中国企业到纽约证交所上市的步伐明显减慢。先后作为5年来全球规模最大的IPO中国建设银行、中国银行都未选择在纽约上市，而是赴港上市，由美国改道香港几乎成为潮流。2024/7/25154内部控制：防火墙与安全网为了规避遵从SOX法案给企业带来的巨大成本压力，有些企业选择

77、了直接从美国退市在纳斯达克上市已有11年之久的新加坡创新科技公司2007年8月1日主动退出纳市，在新加坡的证券交易所上市。惠普：2007年2月3日宣布，打算退出纳斯达克“全球优选市场”，只在纽约证券交易所上市交易，以削减在两大交易所同时上市所产生的交易费用和管理成本。2024/7/25155内部控制：防火墙与安全网404条款的调整业界认为，萨班斯奥克斯利法案404条款较大程度地提高了赴美上市企业的财务成本，一定程度上影响到美国资本市场的竞争力，近年美国有关方面对该条款的反思和调整一直在进行。404条款的调整有利于美国资本市场在吸引包括中国企业在内的世界各地企业赴美上市。2024/7/25156

78、内部控制：防火墙与安全网SOXSOX法案法案404404条款缓行条款缓行按照原规定，在美国上市的外国公司在2006年7月15日开始执行SOX法案。已经执行的情况表明，40%在美国上市的海外公司在原定期限前难以达到404条款的要求。2024/7/25157内部控制：防火墙与安全网美国证券交易委员会（SEC）在2006年8月9日发布两个提议显示，针对小型上市公司和大多数海外发行人的公司（foreignprivateissuers），延迟一年执行SOX法案404条款，并对新上市公司设置过渡期（9月份开始正式执行），但这三种类型企业的延期情况各异。2024/7/25158内部控制：防火墙与安全网SEC

79、主席ChristoopherCox表示：SOX法案的延期执行，体现了SEC对小型上市公司和外国私人发行者的特殊需求的持续关注和积极反应，以减小404条款带给这些企业的负担。通过减轻小型上市公司和外国私人发行者的负担，延迟执行的行动将让SEC和公众公司会计监察委员会（PCAOB）获得更多的时间重新设计404条款，使其对投资者而言更加经济有效。”2024/7/25159内部控制：防火墙与安全网SOXSOX法案的修改法案的修改2007年7月11日，美国内部控制标准制定机构COSO委员会在其官方网站上正式对外发布财务报告内部控制小型上市公司实施指南。针对有关方面对执行萨班斯法案404条款付出高昂成本的

80、责难，指南有针对性地围绕着降低控制成本和满足控制标准展开陈述，试图在两者之间达成一定的平衡。2024/7/25160内部控制：防火墙与安全网美国证交会（SEC）2007年9月通过了修改404条款的“审计标准第5条(AS5)”公众公司会计监督委员会也通过了AS5，替代AS2。纳斯达克副董事长、萨奥法起草人之一迈克尔奥克斯利支持证交会和公众公司会计监督委员会修改该法案，称这将有利于更多境外企业到美国上市。2024/7/25161内部控制：防火墙与安全网（五）需要考虑的因素1.内部环境2.风险评估3.控制活动4.信息与沟通5.内部监督2024/7/25162内部控制：防火墙与安全网1.内部环境（1）

81、治理结构（2）议事规则、授权和责任分配的方法（3）管理控制方法（4）内部审计的独立性、权威性和成效（5）人事政策及其实施（6）企业文化2024/7/25163内部控制：防火墙与安全网（1）治理结构1）股东（大）会的权力2）董事会的构成3）监事会的执行力4）审计委员会的执行力5）经理层的品德与才能6）独立董事制度2024/7/25164内部控制：防火墙与安全网（2）议事规则、授权和责任分配的方法人人都管事，事事有人管董事长与总经理的职责分工？母子公司之间？大股东/控股股东与中小股东之间各职能部门之间？正职与副职之间？上下级之间？2024/7/25165内部控制：防火墙与安全网法国兴业银行对外发布

82、了董事长和首席执行官职能分化的详细分工：董事长：主要负责组织和领导董事会工作，确保董事会小组对外的工作职能，他需要与总经理保持密切的沟通，同时代表董事会高层出席各种会议和活动，尤其是与大客户的谈判和国际级别的活动。首席执行官不对其负行政责任。2024/7/25166内部控制：防火墙与安全网首席执行官：在任何情况和场合下代表公司执行各种权力，是整个董事会的权威，公司核心业务链的最直接领导。要对公司内部及控制结构和流程负责，并以法律规范公司信息披露。2024/7/25167内部控制：防火墙与安全网（3）管理控制方法人法与法治柔性管理/硬性管理集权与分权权利上收与责任下放事必躬亲与有所为，有所不为原

83、则与例外2024/7/25168内部控制：防火墙与安全网贝尔实验室负责人陈煜耀：“领导者的责任在于既要做到你在领导别人，又要做到别人并不认为你在干预他。”最好的领导者的态度是悠闲自然的，他不轻易发号施令，对部属多鼓励、少责难2024/7/25169内部控制：防火墙与安全网（4）内部审计的独立性、权威性和成效2024/7/25170内部控制：防火墙与安全网（5）人事政策及其实施招聘、筛选、录用到员工离职等各个环节相互间的衔接与配套，每一环节应考虑是否有利于企业战略目标的实现、是否有利于员工整体士气的提高而进行“经济人”“社会人”“自我实现人”“复杂人”2024/7/25171内部控制：防火墙与安

84、全网职业道德修养和专业胜任能力l正式或非正式的岗位描述，或者界定特定岗位所包含的任务的方式l对充分履行岗位职责所需要的知识和技能分析员工培训和继续教育2024/7/25172内部控制：防火墙与安全网直线管理人员：需要具有献身精神的高质量员工战略规划部门：需要通晓信息技术和具有采集、分析信息资源能力的员工员工：希望人力资源部门能够为个人职业生涯的发展提供合理的制度体系和公平的竞争环境人力资源管理部门：根据自己的专业知识来确定需要运用哪些技术、通过哪些途径来满足他们的需要。2024/7/25173内部控制：防火墙与安全网我国目前过分看重学历、轻视能力，在一定程度上影响了对人力资源的合理利用。202

85、4/7/25174内部控制：防火墙与安全网壳牌的人才标准壳牌的人才标准1）他是不是有能力工作，并且能够完成工作任务。从第一天起就必须开始真正地工作、承担责任和执行任务。而不是像很多公司那样前三年都是轮岗锻炼学习随时观测他的工作表现，并及时给予建议和辅导，在必要的时候进行适时培训，使他从思想和技术方面完全武装好，做好他的工作，并顺利进入到下一个台阶2024/7/25175内部控制：防火墙与安全网2）他的观念是不是跟公司合拍，是不是与时代合拍。对公司的经营准则是否认同对安全、环境、健康等方面的要求是不是有足够的关注，并且身体力行在观念上面一定要不停地去学习新知识2024/7/25176内部控制：防

86、火墙与安全网3）本着“发现我未来的老板”的态度实施招聘希望招到的人才将来能够管理公司成就欲以及成就能力人际关系能力分析能力2024/7/25177内部控制：防火墙与安全网（6）企业文化1）企业的精神文化2）企业的制度文化3）企业行为文化4）企业的物质文化2024/7/25178内部控制：防火墙与安全网2.风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响（1）事项识别（2）风险分析（3）风险估测（4）风险应对2024/7/25179内部控制：防火墙与安全网（1）事项

87、识别1）事项2）影响因素3）事项识别技术4）区分机会与危机5）风险承受度2024/7/25180内部控制：防火墙与安全网1）事项2024/7/25181内部控制：防火墙与安全网2）影响因素内部因素内部因素外部因素外部因素人力人力资源因素源因素经济因素因素管理因素管理因素法律因素法律因素自主自主创新因素新因素社会因素社会因素财务因素因素科学技科学技术因素因素安全安全环保因素保因素自然自然环境因素境因素其他其他其他其他2024/7/25182内部控制：防火墙与安全网3）事项识别技术2024/7/25183内部控制：防火墙与安全网4）区分机会与危机经营风险和财务风险静态风险与动态风险可分散与不可分散

88、2024/7/25184内部控制：防火墙与安全网5）风险承受度企业能够承担的风险限度l整体风险承受能力l业务层面的可接受风险水平2024/7/25185内部控制：防火墙与安全网（2）风险分析影响程度与概率矩阵幕景分析2024/7/25186内部控制：防火墙与安全网2024/7/25187内部控制：防火墙与安全网（3）风险估测2024/7/25188内部控制：防火墙与安全网管理层根据风险偏好和风险承受度，权衡风险与收益，选择应对策略风险规避风险规避风险降低风险降低风险分担风险分担风险承受风险承受风险应对风险应对风险应对风险应对（主要内容）（主要内容）（主要内容）（主要内容）（4）风险应对2024

89、/7/25189内部控制：防火墙与安全网3.控制活动（1）控制方法（2）控制措施2024/7/25190内部控制：防火墙与安全网（1）控制方法1）手工控制与自动控制2）预防性控制与发现性控制2024/7/25191内部控制：防火墙与安全网（2）控制措施1）不相容职务分离控制2）授权审批控制3）会计系统控制4）财产保护控制5）预算控制6）运营分析控制7）绩效考评控制2024/7/25192内部控制：防火墙与安全网1）不相容职务分离控制集中于一个人办理时可能会产生错弊并加以掩盖的几项业务业务申请、授权批准、业务经办、会计记录、财产保管、稽核检查等职务。业务程序控制：授权审批执行记录审核2024/7

90、/25193内部控制：防火墙与安全网2）授权审批控制授予各级人员处理业务的权利常规授权：授予处理一般性交易的权利特别授权：授予处理超过一般授权权限的常规交易的权利集体决策审批或者联签建立重大风险预警机制和突发事件应急处理机制对授权的监督：授权与监督是企业管理不可或缺的“两个轮子”2024/7/25194内部控制：防火墙与安全网3）会计系统控制财务与会计信息的确认、计量、记录、计算、报告凭证与记录控制保证业务人员在执行交易时及时编制或取得有关凭证预先编号，妥善保存作废凭证确保及时记录已发生的业务归档2024/7/25195内部控制：防火墙与安全网4）财产保护控制实物防护为保证资产和记录的安全，应

91、限制接近资产和接近重要记录2024/7/25196内部控制：防火墙与安全网5）预算控制企业实施全面预算管理制度明确各责任单位在预算管理中的职责权限规范预算的编制、审定、下达和执行程序，强化预算约束2024/7/25197内部控制：防火墙与安全网6）运营分析控制企业建立运营情况分析制度，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进经理层综合运用生产、购销、投资、筹资、财务等方面的信息因素分析、对比分析、趋势分析等方法2024/7/25198内部控制：防火墙与安全网7）绩效考评控制企业建立和实施绩效考评制度科学设置考核指标体系对企业内部各责任单位和全体员工的业绩进行定期考核和客观评

92、价将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据2024/7/25199内部控制：防火墙与安全网4.信息与沟通（1）信息的类别（2）信息的来源（3）信息的质量（4）信息的有效沟通（5）建立反舞弊机制（6）建立举报投诉制度和举报人保护制度2024/7/25200内部控制：防火墙与安全网2024/7/25201内部控制：防火墙与安全网（1）信息的类别财务/非财务信息战略、战术、经营层面的信息2024/7/25202内部控制：防火墙与安全网（2）信息的来源2024/7/25203内部控制：防火墙与安全网（3）信息的质量信息的深度提高信息的有用性避免信息超载2024/7/252

93、04内部控制：防火墙与安全网（4）信息的有效沟通1）沟通的方向2）沟通的平台3）沟通的方式2024/7/25205内部控制：防火墙与安全网1）沟通的方向向下、平行和向上流动重要信息应当及时传递给董事会、监事会和经理层2024/7/25206内部控制：防火墙与安全网2）沟通的平台利用信息技术促进信息的集成与共享2024/7/25207内部控制：防火墙与安全网3）沟通的方式政策手册备忘录电子邮件公告板通知网络录像带会议一对一会谈具体行为2024/7/25208内部控制：防火墙与安全网（5）建立反舞弊机制1）惩防并举、重在预防2）明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限3

94、）规范舞弊案件的举报、调查、处理、报告和补救程序2024/7/25209内部控制：防火墙与安全网4）企业至少应当将下列情形作为反舞弊工作的重点未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。董事、监事、经理及其他高级管理人员滥用职权。相关机构或人员串通舞弊。2024/7/25210内部控制：防火墙与安全网（6）建立举报投诉制度和举报人保护制度各内控执行主体在经营中要相互监督，有权拒绝明显违法的事项并通过信息沟通反应经营管理中的不适当行为2024/7/25211内部控制：防火墙与安全网5.内部监督（1）监督的方

95、式（2）制定内部控制缺陷认定标准（3）自我评价2024/7/25212内部控制：防火墙与安全网（1）监督的方式日常监督和专项监督用人不疑用人不疑用人以疑用人以疑信任信任放任放任2024/7/25213内部控制：防火墙与安全网u巴林银行破产倒闭就是因为对驻新加坡李森不到三年的“用人不疑”2024/7/25214内部控制：防火墙与安全网u美国肯德基国际公司的子公司遍布全球60多个国家，达9900多个。店长们有相当大的自主权，为什么被总部管理得井井有条？万里之外的肯德基国际公司怎么能相信其下属会循规蹈矩，各级肯德基公司都能在全球保持一致的服务标准？一次，上海肯德基有限公司收到了3份总公司寄来的鉴定书

96、，对设在上海外滩的快餐厅的工作质量以及店长分3次鉴定评分，分别为83、85、88分。公司中方经理都为之瞠目结舌这三个分数是怎么评定的？原来，肯德基国际公司雇佣、培训了一批人，让他们佯装顾客潜入店内进行检查评分。2024/7/25215内部控制：防火墙与安全网（2）制定内部控制缺陷认定标准1）设计缺陷和运行缺陷2）一般缺陷、重要缺陷和重大缺陷2024/7/25216内部控制：防火墙与安全网企业对内部控制评价过程中发现的问题，应当从定量和定性等方面进行衡量，判断是否构成内部控制缺陷。存在下列情况之一，企业应当认定内部控制存在设计或运行缺陷未实现规定的控制目标。未执行规定的控制活动。突破规定的权限。

97、不能及时提供控制运行有效的相关证据。2024/7/25217内部控制：防火墙与安全网重大缺陷（Materialweaknesses)：一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。重要缺陷（Significantdeficiency)：一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注。2024/7/25218内部控制：防火墙与安全网（3）自我评价1）要求定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告2）内控自我评估报告的内容

98、和格式2024/7/25219内部控制：防火墙与安全网内部控制评价报告至少应当包括下列内容：内部控制评价的目的和责任主体。内部控制评价的内容和所依据的标准。内部控制评价的程序和所采用的方法。衡量重大缺陷严重偏离的定义，以及确定严重偏离的方法。被评估的内部控制整体目标是否有效的结论。被评估的内部控制整体目标如果无效，存在的重大缺陷及其可能的影响。造成重大缺陷的原因及相关责任人。所有在评估过程中发现的控制缺陷，以及针对这些缺陷的补救措施及补救措施的实施计划等。2024/7/25220内部控制：防火墙与安全网（六）构建和完善内控的要点1.一般原理2.主要工作2024/7/25221内部控制：防火墙与

99、安全网1.一般原理（1）明确内控建设计划（2）流程描述、风险控制分析将公司任何一个岗位的职务、职责描述得一目了然业务流程描述对每个流程中通过风险识别机制确定重大风险点对重大风险进行控制确定关键控制环节识别关键控制点2024/7/25222内部控制：防火墙与安全网（3）形成内部控制管理手册每一个环节都有相应的内部控制制度（例如产品销售的条件、记录付款的时间和人员等）2024/7/25223内部控制：防火墙与安全网2.主要工作（1）以内部控制体系框架为指引，分解企业的工作目标，协调内控与企业发展目标控制环境方面分解的目标风险评估方面分解的目标控制活动方面分解的目标信息与沟通方面分解的目标监督方面分

100、解的目标2024/7/25224内部控制：防火墙与安全网（2）重新构建企业组织构架，明确职责与权限，为实践内部控制提供组织保证企业在总裁领导下形成决策、管理、执行、监督四个层次的管理架构：决策机构：内控项目建设委员会管理机构：内控部执行机构：总部机关各部门、专业公司及对外合作经理部；监督机构：审计、监察部门2024/7/25225内部控制：防火墙与安全网（3）动态评估中促使内部控制不断改善，使企业形成一个开放的动态的控制循环动态评估以自我评估、持续监督和外部审计相结合跟单作业关键控制测试信息系统总体控制测试公司层面控制测试2024/7/25226内部控制：防火墙与安全网（4）签署责任书，建立激

101、励和约束机制1）责任书：“两卡一表”内控工作执行要点卡员工岗位内控执行卡规章制度表2）考核规定内部控制执行考核暂行规定2024/7/25227内部控制：防火墙与安全网五五、确保内控合理有效的重要措施（一）不相容职务相互分离控制（一）不相容职务相互分离控制（二）授权批准控制（二）授权批准控制（三）会计系统控制（三）会计系统控制（四）预算控制（四）预算控制（五）财产安全控制（五）财产安全控制（六）风险控制（六）风险控制（七）内部报告控制（七）内部报告控制（八）电子信息技术控制（八）电子信息技术控制（九）监督检查（九）监督检查2024/7/25228内部控制：防火墙与安全网2024/7/25229内

102、部控制：防火墙与安全网（一）不相容职务相互分离控制巴林银行赋予了李森过大的权利，李森的行政职务在巴林银行新加坡期货公司位居第三，身兼前台首席交易员和后台结算主管，在新加坡独立操作，既负责代客理财业务，又负责自营理财业务，集经营操作权、会计管理权和审查监督权于一身，设立账外账隐匿损失，权力非常大，公司几乎无人能对其进行制约和监督。2024/7/25230内部控制：防火墙与安全网当1994年8月，内部审计人员指出该期货公司没有实行岗位制约的严重性时，巴林银行集团高级领导层漠然视之。在长达几年的时间里，内审部门没有及时发现该公司长期以来使用88888账户进行越权违规交易以及严重亏损的问题2024/7

103、/25231内部控制：防火墙与安全网（二）授权批准控制明确规定各项工作的授权批准的范围、权限、程序、责任等内容，单位内部的各级管理层必须在授权范围内行使职权和承担责任，经办人员也必须在授权范围内办理业务。“一张纸”理论到2008年1月，此类期货交易的账面金额高达500亿欧元。以科维尔的资历，他根本无法得到如此巨大的交易授权。然而，杰罗姆虚构了另一个投资组合B。有7封来自法兴银行内部和交易对手的邮件，对科维尔的交易进行授权、确认或者发出具体指令2024/7/25232内部控制：防火墙与安全网（三）会计系统控制单位依据会计法和国家统一的会计制度，制定适合本单位的会计制度，明确会计凭证、会计账簿和财

104、务会计报告的处理程序，建立和完善会计档案保管和会计工作交接办法，实行会计人员岗位责任制，充分发挥会计的监督职能。不得私设账外账2024/7/25233内部控制：防火墙与安全网（四）预算控制预算控制要求单位加强预算编制、执行、分析、考核等环节的管理，明确预算项目，建立预算标准，规范预算的编制、审定、下达和执行程序，及时分析和控制预算差异，采取改进措施，确保预算的执行。预算内资金实行责任人限额审批，限额以上资金实行集体审批。严格控制无预算的资金支出。2024/7/25234内部控制：防火墙与安全网（五）财产安全控制（五）财产安全控制财产安全控制要求单位限制未经授权的人员对财产的直接接触，采取定期盘

105、点、财产记录、账实核对、财产保险等措施，确保各种财产的安全完整。2024/7/25235内部控制：防火墙与安全网（六）风险控制（六）风险控制风险控制要求单位树立风险意识，针对各个风险控制点，建立有效的风险管理系统，通过风险预警、风险识别、风险评估、风险分析、风险报告等措施，对财务风险和经营风险进行全面防范和控制。2024/7/25236内部控制：防火墙与安全网（七）内部报告控制（七）内部报告控制单位建立和完善内部报告制度，全面反映经济活动情况，及时提供业务活动中的重要信息，增强内部管理的时效性和针对性。2024/7/25237内部控制：防火墙与安全网（八）电子信息技术控制（八）电子信息技术控制

106、电子信息技术控制要求运用电子信息技术手段建立内部会计控制系统，减少和消除人为操纵因素，确保内部会计控制的有效实施；同时要加强对财务会计电子信息系统开发与维护、数据输入与输出、文件储存与保管、网络安全等方面的控制。复杂而缜密的IT系统会和人类懒散疏忽的惰性形成鲜明且充满讽刺意味的对比2024/7/25238内部控制：防火墙与安全网（九）监督检查（九）监督检查内部审计单位应当重视内部会计控制的监督检查工作，由专门机构或者指定专门人员具体负责内部会计控制执行情况的监督检查，确保内部会计控制的贯彻实施。2024/7/25239内部控制：防火墙与安全网六、内控的固有局限及其规避策略（一）固有局限（二）规

107、避的措施2024/7/25240内部控制：防火墙与安全网（一）固有局限1.内控建立和实施的效果，在很大程度上受制于管理层的素质和态度管理层的决策能力判断如果内部的业务主管和监督部门不履行职责，再先进的控制系统和制度都将形同虚设内部控制可能因执行人员滥用职权或屈从于外部压力而失效。管理层违规、作弊是最大的威胁2024/7/25241内部控制：防火墙与安全网2.员工的素质和态度（1）即使是设计完整的内部控制，也可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而失效。再完善的规则也要靠人去实施，在加强合作建设的同时一定要注重人的素质（2）员工与组织在利益上不完全一致2024/7/2524

108、2内部控制：防火墙与安全网（3）内部控制可能因有关人员相互勾结、内外串通而失效。公司最大的控制问题来自员工，审计师认为内控合格但是却在员工方面存在重大缺陷的企业数量占内控合格企业的比例，从遵循SOX法案第一年的48.1%攀升至第二年的52.8%。PCAOB主席说：“员工，培训或胜任能力方面的缺陷一直是内控报告最常见的缺陷。”2024/7/25243内部控制：防火墙与安全网3.内部控制的设计和运行受制于成本与效益原则2024/7/25244内部控制：防火墙与安全网4.内部控制目标存在“近视”问题内部控制一般仅针对常规业务活动设计。2024/7/25245内部控制：防火墙与安全网5.内部控制可能因

109、经营环境、业务性质的改变而削弱或失效2024/7/25246内部控制：防火墙与安全网6.内部控制与现有管理制度的有效融合问题2024/7/25247内部控制：防火墙与安全网7.完全迎合监管要求的内部控制不一定符合本企业的需要2024/7/25248内部控制：防火墙与安全网（二）规避的措施1.加强内控文化建设，建立长效机制2.根据企业业务特点等具体情况，建立并实施关键的控制点3.定期或不定期对内部控制制度的有效性及其执行效果进行检查4.完善权力使用制约机制5.岗位轮换6.完善内部控制信息系统2024/7/25249内部控制：防火墙与安全网关于内控文化建设培养全体员工的法制、规范意识，形成浓厚的制

110、度执行氛围。内控文化，应融合现代企业的经营思想、风险管理理念、内控管理标准、职业道德标准等要素于一体，它透过员工的日常思想行为，形成共同的价值观念，共同的行为习惯，形成强有力的向心力和凝聚力。质的飞跃：要我做我要做做我要2024/7/25250内部控制：防火墙与安全网（1）要我做：）要我做：被动、形式化地建立内部控制，内部控制多属于“挂在嘴上说，放在桌上看”的“摆设”（2）我要做：）我要做：认识到内部控制的作用，要主动构建，但仍处在“要求什么做什么”、“人有我有”的阶段（3）做我要：）做我要：积极主动地从价值增值出发，利用适合企业自身的内部控制为实现公司目标服务。2024/7/25251内部控

111、制：防火墙与安全网关于岗位轮换熟知公司内部控制流程的员工可能规避这些流程。法兴集团相关负责人说，在中台5年的工作经验被杰罗姆派上了用场。“他利用自己在操作控制系统上积累的知识，躲避了控制系统的检查。”而这些控制系统正是用于审核交易员所完成的操作行为的真实性和有关特性。2024/7/25252内部控制：防火墙与安全网法兴银行科维尔利用自己过去在中台部门(即银行负责信贷分析、审批、风险管理、计算交易盈亏等流程的部门)工作所积累的关于控制流程的丰富经验，通过精心设计虚构交易，隐藏了这一巨额的违规头寸。2024/7/25253内部控制：防火墙与安全网请多批评指正！请多批评指正！2024/7/25254内部控制：防火墙与安全网