,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,内部控制与风险管理,大华德律会计师事务所程银春,二九年三月,内部控制与风险管理大华德律会计师事务所程银春,1,一、全球内部控制制度的标准和立法,1985年美国为了遏制日益猖獗的会计舞弊活动，成立了一个反财务舞弊委员会，调查导致会计舞弊活动的原因，并提出了解决方案。该方案强调了内部控制的重要性，建议要求所有的上市公司都应该在其年报中提供内部控制报告。报告内容包括承认管理当局对财务报告和内部控制负有责任，并讨论这些责任的履行情况，在反财务舞弊委员会结束其使命以后，该委员会的五个发起组织联合成立了一个新的委员会反财务舞弊委员会的发起组织委员会（简称COSO）。它由美国公共注册会计师协会、美国会计协会、国际会计协会、国际财务管理人员协会、内部审计协会、国际会计协会联合发起。COSO继续研究并于1992年发布了一份关于内部控制的纲领性文件，即内部控制整体框架。COSO提出的报告得到了美国联邦储备局、美国证券交易委员会、巴塞尔委员会等监管机构或国际组织的认可与采纳，其中的许多定义、建议及思想被吸收到立法与规则的制定中，在全世界范围内产生了广泛影响。,一、全球内部控制制度的标准和立法 1985年美国为,2,一、全球内部控制制度的标准和立法,2001年年底以来，美国爆发了以安然、世通、施乐等公司财务舞弊案为代表的会计丑闻，重创了美国资本市场和经济，同时也集中暴露了美国公司在内部控制上存在的问题。美国国会和政府加速通过了萨班斯法案（简称SOX法案）。该法案对美国1933年证券法、1934年证券交易法作了不少修改，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。美国总统布什在签署“SOX法案”的新闻发布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。,一、全球内部控制制度的标准和立法 2001年年底以,3,二、国内内部控制制度的建设,在国内，银广厦、中航油、蓝天股份等内部控制失败的案例同样令人触目惊心，越来越多的业内人士认识到企业自身的内部控制制度、监督管理系统的有效性是防范舞弊行为的关键。,在全球提高公司透明度、重新审视公司治理结构的风暴中，对于国内企业来说，借鉴国际通用的内部控制框架及国际最佳实践经验，构建一套系统化、标准化、可审计、可持续改进的内部控制系统已经迫在眉睫：,1、2000年中国证监会发布公开发行证券公司信息披露编报规则1、3、5号；,2、2001年1月，证监会发布证券公司内部控制指引；,3、2001年6月22日，财政部发布内部会计控制规范基本规范（试行）和内部会计控制规范货币资金（试行）；,4、2001年10月证监会发布关于做好证券公司内部控制评审工作的通知；,二、国内内部控制制度的建设 在国内，银广厦、中航油、,4,二、国内内部控制制度的建设,5、2002年财政部发布独立审计实务公告内部控制审核；,6、2002年2月中国注册会计师协会发布内部控制审核指导意见；,7、2004年8月银监会商业银行内部控制评价试行办法；,8、2005年4月1日国资委关于在国有重点企业加强法律风险防范的倡议书；,9、2005年11月，证监会发布关于提高上市公司质量的意见；,10、2006年1月，证监会发布证券公司风险控制指标管理办法；,11、2006年2月，中国注册会计师协会发布中国注册会计师执业准则；,12、2006年6月，上海证券交易所发布上海证券交易所上市公司内部控制指引；,13、2006年6月，国资委中央企业全面风险管理指引；,二、国内内部控制制度的建设5、2002年财政部发布独立审计实,5,二、国内内部控制制度的建设,14、2007年3月，财政部印发企业内部控制规范基本规范和17项具体规范（征求意见稿）；,15、2008年6月，财政部、证监会、审计署、银监会和保监会联合发布企业内部控制基本规范，同时还发布企业内部控制应用指引和企业内部控制评价指引征求意见稿。,二、国内内部控制制度的建设14、2007年3月，财政部印发,6,三、企业的风险管理,（一）企业风险的概念,企业风险，指未来的不确定性对企业实现其经营目标的影响。,（二）企业风险的类型,1、战略风险,宏观经济政策和经济运行情况、本行业状况、产业政策,科技进步、技术创新,市场或服务需求,战略合作,客户、供应商及主要竞争对手,经营发展战略计划的制定依据、投融资计划、经营目标,三、企业的风险管理（一）企业风险的概念,7,三、企业的风险管理,2、财务风险,负债及偿债能力,现金流及资金周转情况,流动资产的占用及企业信用能力,预算支出情况,盈利能力,主要会计政策,财务核算内部控制的薄弱环节,三、企业的风险管理2、财务风险,8,三、企业的风险管理,3、市场风险,产品或服务的价格及供求关系,能源及主要原材料的供应、价格变化,主要客户及供应商的企业信用状况变化,税收政策、汇率变化,市场占有率变化及替代品影响,4、运营风险,产品结构及新产品开发,营销策略及新市场开发,企业的管理架构及管理层能力,三、企业的风险管理3、市场风险,9,三、企业的风险管理,管理环节的内控薄弱环节,道德风险,监督和提交、改善管理的能力,5、法律风险,政治、法律环境,新法律法规及政策,员工的素质及道德观念,重大协议或承诺,法律纠纷,知识产权,三、企业的风险管理 管理环节的内控薄弱环节,10,三、企业的风险管理,（三）企业的全面风险管理,1、企业的全面风险管理的概念,指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。,三、企业的风险管理（三）企业的全面风险管理,11,三、企业的风险管理,2、风险管理的基本流程,收集风险管理的初始信息；,进行风险评估；,制定风险管理策略；,提出和实施风险管理解决方案；,风险管理的监督和改进。,三、企业的风险管理2、风险管理的基本流程,12,四、内部控制与风险管理的比较,内部控制与风险管理有着密切联系，内部控制是风险管理的一部分。权威的有关企业风险管理的相关标准为美国COSO于2003年出台的企业风险管理框架。,COSO对内部控制与风险管理的定义及其组成要素分别是：,内部控制：企业内部控制是由企业董事会、经理层以及其他员工共同实施的，为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。它包括五个方面的组成要素：控制环境、风险评估、控制活动、信息与沟通、监督。,风险管理：企业风险管理是一个过程，是由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。它有八个组成要素：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。,四、内部控制与风险管理的比较 内部控制与风险管理有着,13,四、内部控制与风险管理的比较,从COSO的两份报告来看，企业风险管理与内部控制有以下相似或不同之处：,第一，它们都是由“企业董事会、管理层以及其他人员共同实施的”，强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。,第二，它们都明确是一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等，也不是单独或额外的活动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。,第三，它们都是为企业目标的实现提供合理的保证。风险管理的目标有四类，其中三类与内部控制相重合，即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展，它不仅包括财务报告的准确性，还要求所有对内对外发布的非财务类报告准确可靠。另外，风险管理增加了战略目标，即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果，而且介入了企业战略（包括经营目标）制定过程。,四、内部控制与风险管理的比较 从COSO的两份报告来,14,四、内部控制与风险管理的比较,第四，风险管理与内部控制的组成要素有五个方面是重合的，即（控制或内部）环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中，内涵也有所扩展，例如，内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权力与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外，还包括风险管理哲学、风险偏好（risk appetite）和风险文化三个新内容。在风险评估要素中，风险管理要求考虑内在风险与剩余风险，以期望值、最坏情形值或概率分布度量风险，考虑时间偏好以及风险之间的关联作用。在信息与沟通方面，风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理，规定了信息的深度与及时性等。,四、内部控制与风险管理的比较 第四，风险管理与内部,15,四、内部控制与风险管理的比较,第五，风险管理提出了风险组合与整体风险管理（integrated risk management）的新观念。企业风险管理框架借用现代金融理论中的资产组合理论，提出了风险组合与整体管理的观念，要求从企业层面上总体把握分散于企业各层次及各部门的风险暴露，以统筹考虑风险对策，防止分部门分散考虑与应对风险，如将风险割裂在技术、财务、信息科技、环境、安全、质量、审计等部门，并考虑到风险事件之间的交互影响，防止两种倾向：一是部门的风险处于风险偏好可承受能力之内，但总体效果可能超出企业的承受限度，因为个别风险的影响并不总是相加的，有可能是相乘的；二是个别部门的风险暴露超过其限度，但总体风险水平还没超出企业的承受范围，因为事件的影响有时有抵消的效果。此时，还有进一步承受风险，争取更高回报与成长的空间。按照风险组合与整体管理的观点，需要统一考虑风险事件之间以及风险对策之间的交互影响，统筹制定风险管理方案。,四、内部控制与风险管理的比较 第五，风险管理提出了,16,五、内部控制与风险管理的内在联系,企业制度的发展演进与风险相关。有限责任制度的确立是企业组织从业主制或合伙制走向现代股份公司制的关键步骤，它使股东的家产与企业的财产及企业的经济责任相互独立，股东的变换不再影响企业的信用能力，为股权交易扩大了范围并增加了流动性，从而降低了投资风险并促进了企业融资，造就了今天巨型的股份公司。,为了使股权交易与股东变换不影响企业经营的连续性，也为了使资本与经营能力实现更优的组合，企业的所有权与经营权在现代企业中高度分离开来，由此也带来了新的风险，即职业经营者有可能不履行其受托责任而损害股东的利益。另外，有限责任也有可能诱使企业从事风险过高的项目而损害债权人利益。因为在有限责任下，潜在的收益主要由企业（股东）获得，而失败即破产的风险则主要由债权人承担。上述风险不是市场化的，可以由市场竞争自发约束或市场交易提供避险，如产品质量或自然灾害等，但是机制问题，属于组织或交易中的代理问题，需要规则与制度进行规范。这些制度包括企业治理中的责任制度，如财务报告、内部控制及审计等。,五、内部控制与风险管理的内在联系 企业,17,五、内部控制与风险管理的内在联系,内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。内部控制的历史起源更早,其要求更为基本,更容易或适合上升到立法层次。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。C0SO在企