第六章内部控制基本框架1了解内部牵制、企业风险管理框架基本内容、国内外内部控制相关领域比较熟悉内部控制与企业风险管理的关系以及内部控制的重要性及局限性掌握内部控制基本规范及配套指引框架结构运用内部控制基本理论分析现实问题教学目标2内部控制相关概念的界定我国企业内部控制规范的结构与内容内部控制的重要性和局限性目录引例:光大证券乌龙事件3事件经过•2013年8月15日,上证指数收于2081点。•2013年8月16日,上证指数以2075点低开,到上午11点为止,上证指数一直在低位徘徊。•2013年8月16日11点05分,多只权重股瞬间出现巨额买单。大批权重股瞬间被一两个大单拉升之后,又跟着涌现出大批巨额买单,带动了整个股指和其它股票的上涨,以致多达59只权重股瞬间封涨停。指数的第一波拉升主要发生在11点05分到11点08分之间,然后出现阶段性的回落。•2013年8月16日11点15分起,上证指数开始第二波拉升,这一次最高摸到2198点,在11点30分收盘时收于2149点。•2013年8月16日11点29分,上午的A股暴涨,源于光大证券自营盘70亿的乌龙指。4•2013年8月16日下午13点,光大证券公告称因重要事项未公告,临时停牌。•2013年8月16日13点16分,光大证券董秘梅键表示,自营盘70亿元乌龙纯属子虚乌有。•2013年8月16日13点22分左右,有媒体连续拨打光大证券多名高管电话,均显示关机或未接通。•2013年8月16日14点23分左右,光大证券发布公告,承认套利系统出现问题,公司正在进行相关核查和处置工作。有传闻称光大证券方面,下单230亿,成交72亿,涉及150多只股票。就此,市场一度怀疑乌龙事件操作者为光大证券葛新元的量化投资团队。事发时葛新元在外,不久即辟谣称事件和光大富尊葛新元团队没有任何关系。•2013年8月16日14点55分,光大证券官网一度登陆不能,或因短时间内浏览量过大以致崩溃。5•2013年8月16日15点整,上交所官方微博称,今日交易系统运行正常,已达成交易将进入正常清算交收环节。•2013年8月16日16点27分左右,中国证监会通气会上表示,“上证综指瞬间上涨5.96%,主要原因是光大证券自营账户大额买入。”“目前上交所和上海证监局正抓紧对光大证券异常交易的原因展开调查。”6原因•触发原因•问题出自系统的订单重下功能,具体错误是:11点2分时,第三次180ETF套利下单,交易员发现有24个个股申报不成功,就想使用“重下”的新功能,于是程序员在旁边指导着操作了一番,没想到这个功能没实盘验证过,程序把买入24个成分股,写成了买入24组180ETF成分股,结果生成巨量订单。7•深层次原因•该策略投资部门系统完全独立于公司其他系统,甚至未置于公司风控系统监控下,因此深层次原因是多级风控体系都未发生作用。•传统证券交易中的风控系统交易响应最快以秒计,但也远远不能适应高频套利交易的要求,例如本事件中每个下单指令生成为4.6毫秒,传统IT技术开发的风控系统将带来巨大延迟,严重影响下单速度,这可能也是各环节风控全部“被失效”的真实原因。8事件评论•有评论人士指出,“此番事件无论是操作失误,还是模块故障,抑或程序交易的连锁反应,其毫无征兆、骤然发生,首次将A股先进的金融交易环境与参与者落后风控制度间的矛盾暴露无遗。2003年前,因公司治理结构紊乱,风险意识差,内控机制形同虚设,包括南方证券、华夏证券等纷纷在市场的大潮中‘裸泳’出局。上一轮的券商整顿,在市场付出了沉重代价的同时,其教训无疑非常深刻。9第一节内部控制相关概念的界定10内部牵制是指以提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计。分类:分离式和合作式分离式牵制不相容职务相分离不相容职务是指那些如果由一个人担任既可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为的职务授权批准、业务经办、会计记录、财产保管和稽查核查一、内部牵制案例:岗位设置制度暴露内部控制问题11某公司出纳员的职责包括:按照规定程序和权限办理货币资金收付业务;保管支票和印章,并负责对支票和印章的使用情况进行登记;负责登记现金日记账和银行存款日记账;对库存现金日清月结,并定期编制银行存款余额调节表,使银行存款日记账与银行对账单调节相符;负责材料明细账登记。要求:该公司出纳的上述哪些职责中不符合内部控制要求。为什么?一、内部牵制12某公司财务科A、B、C三个会计人员,他们要完成如下几项工作:记录总账记录应付款明细账记录应收款明细账开具支票,以便主管人员签章,并记载现金日记账出具退货拒付通知书调节银行对账单处理并送存所收入的现金要求:现已知这三个会计人员均具有相当的能力,除了调节银行对账单、签发拒付通知书工作量较小外,其他几项会计工作量基本相等,如何将上述几项工作分配给A、B、C三个会计人员,使会计工作起到较好的内部控制作用,并使这三个会计人员的工作量基本相等。一、内部牵制13合作式牵制通过合作达到相互制约、相互监督的作用。例如,会审机制,企业面对重大决策、重大业务事项、重要的认识任免以及大额资金支付时,需要领导层集体决策、集体联签,以防止个人决策的失误;合同会签制度,合同在生效前不仅需要主管部门签字盖章还需要其他协作部门共同参与14国外内部控制概念1949年定义:基于保护企业资产、检查会计数据的准确性和可靠性、提高运营效率、促进管理政策的贯彻和实施而在企业内部采取的各种方法和措施1958年定义(SAPNO29,AICPA)内部控制分为内部会计控制和内部管理控制。前者是关于保护企业资产、检查会计数据的准确性和可靠性的控制;后者是关于提高运营效率、促进管理政策的贯彻和实施的控制。1973年的定义(SAPNO54,AICPA):内部管理控制制度包括但不限于组织机构的计划以及管理部门进行批准决策有关的程序与记录。会计控制制度包括组织机构设计以及财产保护和财务会计记录可信性直接相关的各种措施。1988年的定义(SASNO55):企业内部控制结构包括为合理保证企业特定目标的而建立的各种政策和程序。内部控制结构三要素:控制环境、会计系统、控制程序。1992年的定义(COSO):为实现经营效率和效果、财务报告可信性以及相关法令的遵循等目标而提供合理保证的过程。内部控制的实施者为企业董事会、经理层及其他员工。二、内部控制15我国内部控制概念(2008.6.28):内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。二、内部控制16ERM是一个受企业董事会、管理层和其他人士影响的过程,运用于制定战略之中,并且贯穿整个企业,用以识别可能影响该企业的潜在事项,并且将风险控制在风险偏好的范围之内,为达到实体目标提供合理的保证。三、企业风险管理附属公司层经营单元层职能部门层内部环境目标设定事项识别风险评估风险反应控制活动信息与沟通监控企业管理层企业组织机构控制要素控制目标战略经营报告遵循性图:ERM框架目标、要素与主体单元三维图17企业风险管理框架与内部控制框架的联系与区别(P146)ERM框架是在COSO1992的基础上,结合Sarbanes-OxleyAct在报告方面的要求,进行扩展研究得到的普华永道的项目参与者认为,新报告中有60%的内容得益于COSO1992所做的工作内部控制是企业风险管理必不可少的一部分ERM框架新增一个观念:风险组合观(PortfolioViewofRisk)一个目标:战略目标两个概念:风险偏好(RiskAppetite)和风险容忍度(RiskTolerances)三个要素:目标制定(ObjectiveSetting)、事项识别(EventIdentification)和风险反应(RiskResponse)ERM框架要求企业设立一个新的部门风险管理部四、内部控制与企业风险管理的关系18第二节我国企业内部控制规范的结构与内容19一、企业内部控制规范体系的结构基本规范内部控制审计指引内部控制评价指引内部控制应用指引5个5:•5大部委•5大目标•5大原则•5大要素•50条《企业内部控制基本规范》是内部控制建设与实施应该遵循的基本原则和总体要求,具有强制性,纳入实施范围的企业应当遵照执行。20配套指引应用指引、评价指引和审计指引企业内部控制应用指引应用指引是对企业按照内部控制五大原则和内部控制五大要素建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中占居主体地位一、企业内部控制规范体系的结构应用指引内部环境类控制活动类控制手段类组织架构发展战略人力资源社会责任资金活动企业文化担保业务工程项目研究与开发销售业务资产管理采购业务全面预算内部信息传递合同管理财务报告业务外包信息系统图应用指引体系21企业内部控制评价指引评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引,用以评价企业董事会或类似决策机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。企业内部控制审计指引审计指引是为注册会计师和会计师事务所执行内部控制审计业务的执业准则。一、企业内部控制规范体系的结构22内部控制的基本目标合规目标合法合规小制度不能大于大法资产目标资产安全案例:可口可乐汽水配方被盗风波报告目标财务报告及相关信息真实完整案例:杭萧钢构因信息披露违规遭受行政处罚经营目标提高经营的效率和效果案例:秦池昙花一现战略目标促进企业实现发展战略二、企业内部控制规范的基本内容案例:联想迎来战略转折点摩托罗拉战略目标失误23内部控制的原则建立和实施各种内部控制应遵循的具有普遍性和指向性的法则全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。二、企业内部控制规范的基本内容案例:一个成本效益分析的例子24内部控制的要素内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。风险评估。是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。控制活动。是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。信息与沟通。是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。内部监督。是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。二、企业内部控制规范的基本内容25内部控制的要素二、企业内部控制规范的基本内容目标制定风险识别控制活动风险反应风险分析信息与沟通/内部监督内部控制要素及其相互关系风险评估内部环境26内部监督控制活动风险评估内部环境信息沟通信息沟通基础手段保证载体依据二、企业内部控制规范的基本内容27目标的比较目标定义COSO92经营目标报告目标合规目标实现经营效率和效果财务报告可信性相关法令遵循COSO04战略目标经营目标报告目标合规目标与企业的使命相关,并且支持完成该使命有效和高效的使用资源报告的可依赖性遵守相关法律和规则基本规范合规目标资产目标报告目标经营目标战略目标合法合规资产安全财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略三、相关比较28报告目标经营目标战略目标反映分解愿景线安全线主线警戒线底线资产目标合规目标保证前提企业生存和发展三、相关比较目标的比较29三、相关比较目标的比较(我国内部控制目标演进过程)30