内部控制体系的建立与完善合规部风险管理处2010年第2页介绍提纲1.加强风险管理与完善内部控制的重要意义2.有关风险管理与内部控制的一些基本概念3.完善的内部控制框架体系应该包括哪些内容?4.首次评估与改进内部控制体系的目标、意义与成果?5.开展内部控制评价与改进工作的基本方法?第3页1.1国外典型风险事件及其影响1.2国外有关风险管理与内部控制的监管演进历程1.3国内有关风险管理与内部控制的监管演进历程1.4保险行业有关风险管理与内部控制的监管演进历程1.5保险监管部门的其他与内控相关的监管要求1.加强风险管理与完善内部控制的重要意义第4页案例1:安然(Enron)1.1国外典型风险事件及其影响辉煌业绩世界最大的能源公司,500强排名第七,曾被称为“美国最有创新精神的公司”严重问题2001年末,安然宣布第三季度亏损6.4亿美元。美国证监会进行调查,发现该公司1997以来虚报利润5.8亿美元。2001年末安然申请破产保护。在之前10个月内,公司因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利。2006,安然主席及CEO被美国法院认定有罪,前创始人受多项指控,其中4项银行欺诈罪将导致最高120年监禁的判决;前CEO受19项指控最终判24年监禁;CFO也被判刑10年。半年多时间,股市市值缩水2.5万亿美元;安然公司破产直接导致美国金融机构损失200亿美元。第5页1.1国外典型风险事件及其影响案例1:安然(Enron)深层原因会计舞弊:通过财务作假和滥用会计方法,隐瞒亏损,掩盖债务和巨大的交易风险(1997以来虚报利润5.8亿美元),误导投资人以牟取私利。业务集中:业务集中在的“能源衍生品交易”,公司出现任何信用风险后,带来一连串灾难性后果,造成现金流困难。恶性扩张:追求“管理创新”,自封“世界领先公司”,业务不断扩张,从天然气、电力业务,到风力、水力、投资、木材、广告、互联网宽带业务等,无所不包。第6页1.1国外典型风险事件及其影响案例2:世通(WorldCom)辉煌业绩美国第二大电信巨头,500强排名第九严重问题由于投资失败和会计舞弊等原因,2000年初宣布破产,高管受到司法指控;公司股票由最高时的96美元跌至不足1美元,最后惨跌至7美分。深层原因投资失败:高管好大喜功,盲目投资,为谋求全美电信业老大的地位,兼并多家经营不良的公司,过度进行网络投资,给公司的最终垮台埋下伏笔。会计舞弊:前首席执行官在当政期间虚报约38亿美元利润,个人从公司挪用数亿美元购买股票,造成巨额亏损。第7页1.1国外典型风险事件及其影响案例3:巴林银行辉煌业绩巴林银行在90年代前是英国最大的银行之一,有超过200年的历史。严重问题1992-1994年期间,巴林银行新加坡分行总经理里森在从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动中,因为看好日本经济并买入股指期货,没料到日本大地震导致股市大跌,而其做多的股指期货导致了14亿美元的亏损。巴林银行于1995年2月破产。第8页1.1国外典型风险事件及其影响深层原因内控失效,缺乏有效的职责划分和上级对下级从事业务的监控机制。里森一人身兼交易与清算二职,其本来的交易职责是代巴林客户买卖衍生性商品,并替巴林从事套利两项工作,基本上没有太大风险(因为代客操作的风险由客户自己承担,交易员只是赚取佣金,而套利行为亦只赚取市场间的差价)。通过清算部门每天的结算工作,银行对其交易员和风险的情况也可予以有效了解并掌握。但不幸的是,里森却一人身兼交易与清算二职,冲突业务无法隔离,内部控制有效性严重缺失。案例3:巴林银行第9页1.1国外典型风险事件及其影响案例4:兴业银行辉煌业绩法国兴业银行是在欧元区排名第四、法国排名第二的大型金融集团。严重问题在2007年至2008年间,一名熟悉内部交易监管程序的交易员(杰洛米·科维尔)利用精通的专业知识和对交易流程的熟悉,以虚假买卖手法大量购入欧洲股指期货500亿欧元,造成49亿欧元(约71.4亿美元)的损失,制造了金融史上最大的一笔交易亏损,被一些经济学家称为银行业的“911”。第10页1.1国外典型风险事件及其影响案例4:兴业银行深层原因对交易人员交易行为的监控和核查不够严格:2006至2007年间连续多次违规操作,这些操作曾经多次被作为异常数据监测到,相关风险及监控部门如风险管理部、财务部、直接上司都曾参与调查,但核查时都被杰洛米用各种借口或通过编制反向虚假交易蒙混过关。缺乏后台与前台完全隔离规则的遵守:杰洛米2005年由后台工作调入投资部成为交易员,熟知后台和风险控制。信息系统的安全及密码保护控制不到位。强制休假制度没有达到应有目的:杰洛米在2007年只有4天休假,并且休假期间也没有人接手他经手的业务第11页知名企业失败案例与内部控制缺陷密切相关内部控制能够做到事前防范,及时发现苗头并予以补救案例:魏文王和扁鹊的对话,谁的医术高明?事后控制不如事中控制,事中控制不如事前控制强化内部控制是有效防范风险的重要手段风险事件的反思?第12页1.2国外有关风险管理与内部控制的监管演进历程时间国家/地区法律法规/重大事件1992年美国COSO委员会颁布《COSO内部控制整合框架》1999年澳大利亚AS/NZS4360:19992002年美国美国萨班斯-奥克斯利法案生效2002年加拿大风险管理:决策者指南—加拿大国家标准2002年南非南非出台公司治理报告法规(TheKingCodeof2002)2002年德国德国发布《德国公司治理准则》2002年瑞士瑞士发布SwissCodeofObligations;SWXDirectiveonInformationRelatingtoCorporateGovernance(2002/2006)2003年澳大利亚澳大利亚证券交易所(ASX)及其公司治理委员会采纳《良好公司治理原则和最佳实务操作建议》2003年法国法国《金融安全法》(LoisurlaSécuritéFinancière)2003年英国英国TheCombinedCodeonCorporateGovernance2003年加拿大加拿大证券管理委员会发布《MI52-109》,2004年1月生效,于2008年更新为《NI52-109》2003年英国AIRMIC/ALARM/IRM标准2004年澳大利亚澳大利亚发布《澳洲公司报告和信息披露法》(CLERP9)2004年欧盟欧盟成立“欧洲公司治理论坛”2004年香港香港联交所公布《公司治理实务和公司治理报告的准则》2004年美国COSO委员会颁布《COSO企业风险管理整合框架》2005年意大利意大利《金融服务机构法规》(Disposizioniperlatuteladelrisparmioeladisciplinadeimercatifinanziari–L262/2005)2006年欧盟欧盟:《欧盟新公司法第八号指令》(EuropeanUnion-8thCompanyLawDirective,2006/43/EC)2006年日本日本发布《日本金融商品交易法》第13页《COSO框架体系》1985年,由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务报告委员会(通常称为Treadway委员会),旨在探讨财务报告中产生舞弊的原因,并寻找解决之道。两年后,基于该委员会的建议,其赞助机构成立COSO(TheCommitteeofSponsoringOrganizationsofTheNationalCommissionofFraudulentFinancialReporting)委员会,专门研究内部控制问题。1992年9月,COSO委员会发布了《内部控制整合框架》(COSO-IC),简称COSO报告,1994年进行了增补。由于COSO《内部控制整合框架》提出的内部控制理论和体系集内部控制理论和实践发展之大成,成为现代内部控制最具权威性的框架,因此在业内备受推崇,在美国及全球得到广泛推广和应用。1.2国外有关风险管理与内部控制的监管演进历程第14页《COSO框架体系》COSO《内部控制整合框架》把内部控制划分为五个相互关联的要素控制活动确保管理活动付诸实施的政策/流程措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离监督不断评估内部控制系统的表现整合实时和独立的评估管理层和监督活动内部审计工作控制环境营造单位气氛-让公司员工建立内部控制因素包括正直,道德价值,能力,权威和责任是其他内部控制组成部分的基础信息和沟通及时地获取,确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估风险评估是为了达到企业目标而确认和分析相关的风险形成内部控制活动的基础监控信息和沟通控制活动风险评估控制环境监督信息和沟通控制活动风险评估控制环境五个元素需要实际有效的运行和整合以确保控制目标的实现1.2国外有关风险管理与内部控制的监管演进历程第15页控制活动目标设定事项识别风险评估风险应对内部环境信息与沟通监督内部环境包括组织基调,它为企业人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。管理当局只有预先设定目标来能识别影响目标实现的潜在事项。管理层采取适当的程序设定目标,确保目标支持和切合企业使命,并且与企业的风险容量相符。必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。通过考虑风险的可能性和影响来对风险加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对——回避、承受、降低分担风险——采取一系列行动把风险控制在主体的风险承受力和风险容量以内。制订和执行政策与程序以确保风险应对得以有效实施。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。对企业风险管理的实施效果进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。《COSO框架体系》1.2国外有关风险管理与内部控制的监管演进历程第16页针对安然、世通等财务欺诈事件,美国国会出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯—奥克斯利法案》(简称萨班斯法案或者“SOX法案”)。该法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订,在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。法案于2002年7月30日签署生效。对在美国上市的境外公司(FPI)并无重大豁免,对在香港/中国大陆的FPI(中国企业在美国上市的)和海外跨国公司(MNC)的子公司都需要遵从。《萨班斯法案》1.2国外有关风险管理与内部控制的监管演进历程第17页对有限公司有重大影响的主要是第302条款、第404条款和第906条款《萨班斯法案》第302条款要求公司的CEO和CFO在财务报告上签字,保证财务报告不存在重大错报、漏报,在所有重大方面公允地反映公司在该报告期末的财务状况及该报告期内的经营成果。同时要求CEO、CFO对相关批露的内部控制有效性进行评价。1.2国外有关风险管理与内部控制的监管演进历程第18页对有限公司有重大影响的主要是第302条款、第404条款和第906条款《萨班斯法案》第404条款404条款的核心内容是严格界定了上市公司管理层对公司内部控制需承担的责任和义务。公司的年报中需要增加管理层关于公司内部控制情况的报告。该报告包括:明确阐明公司管理层有责任建立和保持一套完整的与财务报告相关的内部控制系统和程序;管理层应对财务年度期末与公司财务报告相关的内部控制系统及程序的有