1、整理課件1內控中心黃繼業2008.10整理課件2引引 子子 管理企業就好比駕駛一輛車，車速越快，越需要好的控制系統。 美國著名管理學家羅伯特安東尼整理課件3 一、企業內部控制的緣起及其演變整理課件4 1、什么是控制什么是控制 2、安然事件及其安然事件及其薩班斯薩班斯奧克斯利法奧克斯利法案案 3.中航油新加坡公司巨虧事件 4、天安某些機構高官的行為、天安某些機構高官的行為 5、上述案例引發的內部控制啟示、上述案例引發的內部控制啟示 6、全球范圍企業內部控制的不斷完善的、全球范圍企業內部控制的不斷完善的過程過程整理課件51、什么是控制 控制是控制者掌握對象不使其任意活動或超出范圍。 控制就是控制主

2、體有一定的目標，通過各種手段使得其控制對象沿著既定的軌道朝著目標前進，如果在前進的過程由于環境的因素，控制對象的行為發生偏離，就需要及時行動進行糾正，讓它回到既定的軌道。整理課件6 輸入（資源） 輸出（目標）發現偏差過程或經營活動糾正過程整理課件7 從控制主體角度可分為外部控制外部控制和內部內部控制。控制。 如果以企業組織為劃分對象，那么來自于企業組織外部對企業的控制，就屬于外部控制外部控制，如稅務控制、政府審計控制；如果控制者來自于企業組織內部，就屬于內部控制內部控制。整理課件82、安然事件及其薩班斯奧克斯利法案 安然公司在財務丑聞暴露之前，連續幾年對社會和股東披露的凈利潤、每股盈利指標都是

3、不錯的。 安然公司曾經是美國最大的能源公司（美國500強列第7，世界500強列第16），2001年12月突然申請破產保護。整理課件9 在2001年10月16日安然公布第二季度財報以前，安然公司的財報是所有投資者都樂于見到的。看看它過去的財務報告：2000年第四季度，“公司天然氣業務成長翻升3倍，公司能源服務公司零售業務翻升倍”，2001年第一季度，“季營收成長4倍，是連續21個盈余成長的財季”。在安然，衡量業務成長的單位不是百分比，而是倍數，這讓所有投資者都笑逐顏開。到了2001年第二季度，公司突然虧損了，而且虧損額還高達6.18億美元！整理課件10直接導火線 有30億美元的到期債務，而安然手

4、中拿不出現金擔保，無法得到美國聯邦存款保險制度的支援，又沒有公司愿意資助安然度過危機。整理課件11根本原因 內部控制缺失！整理課件12具體表現 管理層激勵缺乏約束（常務副總裁2000年賣掉股票期權的收入高達2.65億美元，高級管理人員享受公司低息貸款），過度利用金融創新工具而沒有進行風險評估與風險應對、操縱利潤、關聯公司太多且管理混亂、缺乏監督。整理課件13 然后，一直隱藏在安然背后的合伙公司開始露出水面。經過調查，這些合伙公司大都被安然高層官員所控制，安然對外的巨額貸款經常被列入這些公司，而不出現在安然的資產負債表上。這樣，安然高達130億美元的巨額債務就不會為投資人所知，而安然的一些官員也

5、從這些合伙公司中牟取私利。整理課件14 更讓投資者氣憤的是：安然的高層對于公司運營中出現的問題非常了解，但長期以來熟視無睹甚至有意隱瞞。包括首席執行官斯基林在內的許多董事會成員一方面鼓吹股價還將繼續上升，一方面卻在秘密拋售公司股票。而公司的14名監士會成員有7名與安然關系特殊，要么供職于安然支持的非盈利機構，要么正與安然進行交易，對安然的種種劣跡睜一只眼閉一只眼。整理課件15亂世重典亂世重典薩班斯薩班斯奧克斯利法案奧克斯利法案 隨著美國安然公司、環球電信公司會計造假丑聞的披露，暴露出美國現行體制中存在弊端。為整頓上市公司秩序、維護投資者信心，美國民主黨參議員薩班斯（Sar-banes)和共和黨

6、眾議員奧克斯利（Oxley)聯合提出了薩班斯奧克斯利法案，該法于2002年7月經布什總統簽署正式生效。整理課件16薩班斯奧克斯利法案1、上市公司會計監管委員會2、審計師的獨立性3、公司的職責4、加強財務信息的披露5、分析員的利益沖突6、證券監管委員會的資源與權限7、研究和報告8、公司和刑事舞弊的責任9、加強對白領刑事犯罪的懲罰10、公司稅務申報表11、公司的舞弊行為及其相應的責任整理課件17薩班斯奧克斯利法案 該法案的嚴肅性在于：公司治理被正式納入聯邦法律管轄范圍，越來越多的財會欺詐者無論他是CEO或CFO都將被投入監獄，安然之后，抓壞蛋和將前車之鑒銘刻于法律條文自然成為這一階段的主題。 該法

7、案恰強調了公司內控的重要性，從管理者、內部審計及外部審計等幾個層面對公司內控作了具體規定，并設定了問責機制和相應的懲罰措施，成為20世紀30年代美國經濟大蕭條以來，政府制定的涉及范圍最廣、處罰措施最嚴厲的公司法律。整理課件18第404條：管理層對公司內部控制的評價 要求公司年報中包括一份“內部控制報告”，該報告應： -明確指出公司管理層對建立和保持一套完整的與財務報告相關的內部控制系統和程序所負有的責任；并且 -包含管理層在財務年度末對公司財務報告相關內部控制體系及程序的有效性的評估。整理課件19第404條：管理層對公司內部控制的評價 受托的上市公司審計師應按照上市公司會計監管委員會對審核約定

8、所發布或采用的準則就管理層關于內部控制的評估進行鑒證并提交報告，此類鑒證約定并不構成單獨的約定主體。整理課件203.中航油新加坡公司巨虧事件中航油新加坡公司巨虧事件 一個因成功進行海外收購曾被稱為“買來個石油帝國”的企業，卻因從事投機行為造成5.54億美元的巨額虧損。 一個被評為2004年新加坡最具透明度的上市公司，其總裁卻被新加坡警方拘捕，接受管理部門的調查。整理課件21中航油新加坡公司巨虧事件中航油新加坡公司巨虧事件 中航油新加坡事件是一個國企監管不到位和國企本身現代企業制度不到位的典型案例。監控機制形同虛設，陳久霖違規操作一年多無人知曉。整理課件22一是中航油集團公司的內部監控機制形同虛

9、設一是中航油集團公司的內部監控機制形同虛設 根據中航油內部規定，損失20萬美元以上的交易，要提交公司風險管理委員會評估；累計損失超過35萬美元的交易，必須得到總裁同意才能繼續；任何將導致50萬美元以上損失的交易，將自動平倉。多達5億多美元的損失，中航油才向集團報告，而且陳久霖同時也是集團副總經理，中航油經過批準的套期保值業務是集團給其授權的，中航油集團事先沒有發現問題。整理課件23二是新加坡公司基本上陳久霖一人的天下二是新加坡公司基本上陳久霖一人的天下 最初公司只有陳久霖一人，2002年10月，集團公司向新加坡公司派出黨委書記和財務經理。陳以財務經理外語不好為由，將其調任旅游公司經理。第二任財

10、務經理又被安排為公司總裁助理。陳雇了新加坡當地人任財務經理，只聽他一人的。黨委書記在新加坡兩年多，一直不知道陳久霖從事場外期貨投機交易。整理課件24三是中航油集團公司和新加坡公司的風險管理制度三是中航油集團公司和新加坡公司的風險管理制度也形同虛設也形同虛設 集團公司成立有風險管理委員會，制定了風險管理手冊。手冊明確規定，損失超過500萬美元，必須報董事會。但陳久霖從來不報，集團公司也沒有制衡的辦法。 專家指出，中航油新加坡公司所從事的并非如外界所傳的“石油期貨交易”，而是“場外石油衍生品交易（OTC)”，風險極大。以中航油的實力和風險控制能力，對手又是高盛等老牌高手，“翻船”是難免的。整理課件

11、254、天安某些機構高官的行為 某中支夫妻老婆店 某分公司負責人大權獨攬、費用開支缺少約束 擅自對外借款，承諾高額費用 陰陽單、吃保費整理課件265、上述案例引發的內部控制啟示 內部控制無處不在 內部控制對企業的生存、發展與獲利至關重要 企業需要實施內部控制 社會需要企業實施內部控制 內部控制的重要性不僅僅在于設計，也不僅僅在于執行，更重要的在于評價 設計、執行和評價應相互聯系，成為一體，這樣內部控制才能持續改進并真正發揮作用 內部控制的關鍵在于人的控制整理課件27 1、內控的重心：應從細節控制轉向風險管理 2、內控的主體：應從單元主體轉向多元主體 3、內控的監督：應從關注內控建立轉向內控運

12、行和評價 4、內控的對象：應從基層、中層轉向高官控制 5、應建立內控失效的補救措施整理課件286、全球范圍企業內部控制的不斷完善的過程1)、美國內部控制的演變及其現狀2）、其他地區內部控制的要求整理課件29美國內部控制概念的演變及現狀 從內部控制概念的演變看，大致可以分為五個階段：內部牽制階段、內部控制制度階段、內部控制結構階段、內部控制整合框架階段和風險管理階段。整理課件30 內部控制直到上世紀30年代才被人們提出、認識和接受。但在此前的人類社會發展史中，早已存在著內部控制的基本思想和初級形式，這就是內部牽制。整理課件31內部控制整合框架階段 1992年，美國“反對虛假財務報告委員會”提出非

13、常著名的內部控制整體框架，也稱COSO報告，1994年又作了補充。 本報告將內部控制定義為：“由企業董事會、管理層和其他人員實施的，為經營的效果和效率、財務報告的可靠性、相關法規的遵循等目標的實現而提供合理保證的過程”整理課件32 該報告將內部控制的組成分成五個相互獨立而又相互聯系的五個要素：控制環境、風險評估、控制活動、信息與溝通和監督。整理課件33風險管理階段 2004年，COSO委員會在借鑒以往有關內部控制研究報告的基本精神的基礎上，結合薩班斯-奧克斯利法案在財務報告方面的具體要求，發表了新的研究報告企業風險管理框架（Enterprise Risk Management Framewor

14、k)。整理課件34 這個報告的出臺，預示著COSO委員會對待內部控制的認識和態度有了新的變化，即從重視內部控制本身轉向了重視風險管理，或者說其更加傾向于在風險管理的背景下研究內部控制問題。整理課件35企業風險管理框架創新（一）提出了一個新的觀念風險組合觀 企業風險管理要求企業管理者以風險組合的觀念看待風險對相關的風險進行識別并采取措施使企業所承擔的風險在風險偏好的范圍內。 對企業每個單位而言，其風險可能在該單位的風險容忍度范圍內，但從企業總體來看，總風險可能超過企業總體的風險偏好范圍。因此，應從企業總體的風險組合的觀點來看待風險。整理課件36 （二）增加一類目標戰略目標，并擴大了報告的范疇 在

15、COSO報告的經營效率、效果性目標，會計信息可靠性目標，以及法律法規遵循性目標之外，增加了戰略目標。它比其他三個目標層次更高，企業風險管理也應用于戰略制定的過程中。 財務報告范圍有很大的擴展，覆蓋了企業編制的所有報告。整理課件37 （三）針對風險度量提出兩個新概念風險偏好和風險容忍度 風險偏好指企業在實現其目標的過程中愿意接受的風險的數量。企業的風險偏好與企業的戰略目標直接相關，企業在制定戰略時，應考慮將該戰略的既定收益與企業的管理者風險偏好結合起來。 風險容忍度指在企業目標實現過程中對差異的可接受程度，是企業在風險偏好的基礎上設定的在目標實現過程中對差異的可接受程度和可容忍限度。整理課件38

16、 （四）增加了三個風險管理要素，對其他要素的分析更加深入，范圍也有所擴大 企業風險管理框架中將內部控制的要素進一步擴展為內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息與溝通、監控等八個要素。整理課件39 需要說明的是，企業風險管理框架雖然較晚于COSO報告，但是它并不是要完全替代COSO報告。 在企業管理實踐中，內部控制是基礎，風險管理只是建立在內部控制基礎之上的、具有更高層次和更有綜合意義的控制活動。如果離開良好的內部控制系統，所謂的風險管理只是一句空話而已。整理課件40世界其他地區內部控制的要求 2004年6月，十國集團發布了被稱為“Basel II”的資本充足性框架，B

17、asel II中744和745節要求就內部控制框架進行獨立檢查。 歐盟2002年改革白皮書定義的內部控制包括以下五個方面：控制環境；業績和風險管理；信息和溝通；控制活動、及審計和評估等；經合發展組織以原則為基礎的方法提出內控相關要求，提升透明度的舉措包括足夠的會計法規要求；獨立外部審計和公司內部控制。 信息及相關技術控制目標（COBIT)由IT治理協會制定發布，是信息技術治理方面的一個開放性標準，作為良好IT安全和控制實務的標準，COBIT為管理當局、企業用戶和信息系統審計、控制及安全從業人員人員提供了一個參考框架。整理課件41 英國公司治理綜合法典指導意見的目的是幫助那些在美國證監會（SEC

18、)注冊的非美國企業應對內部控制要求，這些企業可選擇采用該指導意見作為其內控框架，而SEC也認可該指南在評估內部控制有效性方面的權威。 加拿大安大略證券委員會要求企業與年報一同提交相關內部控制報告。整理課件42 二、企業內部控制基本規范的主要內容及其解讀整理課件431、我國內部控制概念的產生及其演變 我國在20世紀80年代前沒有“內部控制”這一概念。內部控制作為一種管理制度被明確寫入有關法規中，還是近十年的事。整理課件44 2000年7月開始實施的會計法第二十七條規定：“各單位應當建立、健全本單位內部會計監督制度。”雖然沒有直接提到內部控制，但其具體監督內容全部是內部控制的要求，如記賬人員與經濟

19、業務事項和會計事項的審批人員、經辦人員、財務保管人員的職責權限應當明確，并相互分離、相互制約。 這是我國對內部控制的最高法律規范。但因為是會計法，規范的內容局限于內部會計控制的要求，沒有涉及全部內部控制的內容。整理課件45 2001年6月22日，財政部發布了內部會計控制規范基本規范（試行）、內部會計控制規范貨幣資金（試行）等。 在基本規范的第二條規定：“本規范所稱內部會計控制是指單位為了提高會計信息質量，保護資產的安全、完整，確保有關法律法規和規章制度的貫徹執行等而制定和實施的一系列控制方法、措施和程序。”整理課件46 為適應國際資本市場對內部控制的日趨嚴格要求，促進我國經濟的健康發展，由財政

20、部、國資委、證監會、審計署、銀監會和保監會聯合發起成立的企業內部控制標準委員會于2007年發布了企業內部控制規范（征求意見稿）。整理課件47 2008年6月28日，財政部、證監會、審計署、銀監會、保監會聯合發布了我國第一部企業內部控制基本規范。 該基本規范將于2009年7月1日起首先在上市公司范圍內施行，并鼓勵非上市的其他大中型企業執行。 根據要求，執行基本規范的上市公司，應當對本公司內部控制的有效性進行自我評價，披露年報自我評價報告，并可聘請具有證券、期貨業務資格的中介機構對內部控制的有效性進行審計。整理課件482、企業內部控制基本規范的主要內容 該規范合理借鑒了以美國COSO報告為代表的國

21、外內部控制框架，并根據我國國情進行了較大調整和改進。 對國外內部控制框架，尤其是COSO框架的借鑒，主要體現在基本規范中。基本規范在形式上借鑒了COSO報告5要素框架，同時在內容上體現了風險管理8要素框架的實質。整理課件49 基本規范共七章五十條，各章分別是：總則、內部環境、風險評估、控制活動、信息與溝通、內部監督和附則。整理課件50規范的主要針對對象 1、上市公司（自2009年7月1日起施行） 2、非上市的大中型企業（鼓勵施行）整理課件51內部控制的定義 本規范所稱內部控制，是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。整理課件52內部控制的目標 內部控制的目標是合

22、理保證 1、企業經營管理合法合規 2、資產安全 3、財務報告及相關信息真實完整 4、提高經營效率和效果 5、促進企業實現發展戰略整理課件53企業內部控制要素1內部環境 內部環境是企業實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。整理課件54內部環境的規范要求 1、企業根據國家有關法律法規和企業章程，建立規范的公司治理結構和議事規則，明確股東（大）會、董事會、監事會、經理層各自的決策、執行、監督等方面的職責權限，形成科學有效的職責分工和制衡機制。整理課件55 2、董事會負責內部控制的建立健全和有效實施，監事會對董事會建立與實施內部控制進行監督，經理

23、層負責組織領導企業內部控制的日常運營。在董事會下設審計委員會，審計委員會負責審查企業內部控制，監督內部控制的有效實施和內部控制自我評價情況，協調內部控制審計及其他相關事宜等。整理課件56 3、企業應當結合業務特點和內部控制要求設置內部機構，明確職責權限，將權利與責任落實到各責任單位。整理課件57 4、企業應當制定和實施有利于企業可持續發展的人力資源政策；企業應當切實加強員工培訓和繼續教育，不斷提升員工素質；企業應當加強文化建設，培育積極向上的價值觀和社會責任感，倡導誠實守信、愛崗敬業、開拓創新和團隊協作精神，樹立現代管理理念，強化風險意識；董事、監事、經理及其他高級管理人員應當在企業文化建設中

24、發揮主導作用。整理課件58企業內部控制要素2風險評估 風險評估是企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。整理課件59風險評估的規范要求 1、根據設定的控制目標，全面系統持續地收集相關信息，結合實際情況，及時進行風險評估。 2、開展風險評估，應當準確識別與實現控制目標相關的內部風險和外部風險，確定相應的風險承受度。 風險承受度是企業能夠承擔的風險限度，包括整體風險承受能力和業務層面的可接受風險水平。整理課件60 3、企業應當根據風險分析的結果，結合風險承受度，權衡風險與收益，確定風險應對策略。并綜合運用風險規避、風險降低、風險分擔和風險承受等風險應對策

25、略，實現對風險的有效控制。整理課件61企業內部控制要素3控制活動 控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。整理課件62控制活動的規范要求 1、企業應當結合風險評估結果，通過手工控制與自動控制、預防性控制與發現性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內。 控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。整理課件63 2、企業應當根據內部控制目標，結合風險應對策略，綜合運用控制措施，對各種業務和事項實施有效控制。整理課件64企業內部控制要素4信息與溝通 信息與溝通是企

26、業及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業與外部之間進行有效溝通。整理課件65信息與溝通的規范要求 1、企業應當建立信息與溝通制度，明確內部控制相關信息的收集、處理和傳遞程序，確保信息及時溝通，促進內部控制有效運行。 2、企業應當利用信息技術促進信息的集成與共享，充分發揮信息技術在信息與溝通中的作用。整理課件66企業內部控制要素5內部監督 內部監督是企業對內部控制建立與實施情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷，應當及時加以改進。整理課件67內部監督的規范要求 1、企業應當根據本規范及其配套辦法，制定內部控制監督制度，明確內部審計機構（或經授權的其

27、他監督機構）和其他內部機構在內部監督中的職責權限，規范內部監督的程序、方法和要求。整理課件68 2、企業應當制定內部控制缺陷認定標準，對監督過程中發現的內部控制缺陷，應當分析缺陷的性質和產生的原因，提出整改方案，采取適當的形式及時向董事會、監事會或者經理層報告。整理課件69 3、企業應當以書面或者其他適當的形式，妥善保存內部控制建立與實施過程中的相關記錄或者資料，確保內部控制建立與實施過程的可驗證性。整理課件70 三、內部控制和風險防范整理課件711、關于保險公司風險管理指引 2007年4月6日，中國保監會下發保險公司風險管理指引（試行），要求自7月1日起在中國境內依法設立的保險公司和保險資產

28、管理公司執行。 其內容共分總則、風險管理組織、風險評估、風險控制、風險管理的監督與改進、風險管理局的監管與附則七個部分。整理課件72 風險：指對實現保險經營目標可能產生負面影響的不確定因素。 風險管理：指保險公司圍繞經營目標，對保險經營中的風險進行識別、評估和控制的基本流程以及下相關的組織架構、制度和措施。整理課件73 主要風險 應當識別和評估經營過程中面臨的各類主要風險，包括：保險風險、市場風險、信用風險和操作風險等。 保險公司還應當對戰略規劃失誤和公司治理結構不完善等給公司帶來不利影響的其他風險予以關注。整理課件74內部控制與風險防范的關系 回顧COSO對內部控制的定義“由企業董事會、管理

29、層和其他人員實施的，為經營的效果和效率、財務報告的可靠性、相關法規的遵循等目標的實現而提供合理保證的過程” 1、管理控制 2、會計（財務）控制 3、法規執行控制整理課件75關系之一 內部控制是風險管理的前提和保障。內部控制是風險管理的前提和保障。內部控制主要是通過內部控制制度和流程的制定和實施，對公司的各種風險進行全方位、多層次的控制，保障風險管理的順利實施。保險公司只有提高風險意識，加強內部控制，才能使公司安全運行。否則，就將處于風險管理的失控狀態，最終導致公司經營的失敗。整理課件76關系之二 內部控制是風險管理的手段之一。內部控制是風險管理的手段之一。內部控制是風險管理不可或缺的一個子系統，內部控制的各種措施，同時也是風險管理的措施。例如崗位職責分設、制衡機制、授權程序、操作規范等。整理課件77關系之三 風險管理是內部控制的重要目標和主要任風險管理是內部控制的重要目標和主要任務。務。內部控制是企業管理者對企業風險的反應，其制定的依據主要是風險。內部控制的目標是增強保險公司的自我約束能力，防范和化解風險，其主要任務是識別、計量、控制保險公司經營管理中的各種風險，制定規范的風險管理制度和流程，確保公司穩健運營。整理課件783、基層管理者在內部控制和風險防范方面的作用 孫子兵法中，孫子提出了著名的“五事”即道、天、地、將、法無種決定戰