11企业内部控制理论与实务马军生马军生博士生、注册会计师博士生、注册会计师复旦大学管理学院会计系复旦大学管理学院会计系Email:Email:majs@fudan.edu.cnmajs@fudan.edu.cn电话:电话:021021--5566303955663039222讲师简介马军生复旦大学管理学院会计学博士生、注册会计师(非执业会员),主要研究方向为内部控制与风险管理、财务报表分析。南京大学商学院本科毕业,曾先后从事集团公司内部审计、财务主管和商业银行信贷管理等工作,超过十年的财务、金融和内控领域工作经验,近五年来为包括十几家单位提供内部控制、财务方面的咨询及培训服务,对转型期中国企事业组织内部控制、风险管理领域积累了丰富了理论与实务经验,并带领团队开发了“复道守护者”智能化企业内部控制软件;在《财务与会计》、《企业管理》、《中国证券报》等报刊发表论文三十多篇,出版CFA中文教材《财务报表分析技术》一书。曾为上海锦江国际集团、上海航空、太平洋保险股份公司、新华传媒、中国保险报(北京)、江苏长江石化、深圳开发研究院等多家单位讲授内部控制、财务报表分析课程。333讨论内容¾内部控制总论内部控制失败案例分析舞弊理论内部控制与风险管理理论风险管理框架内部控制设计原则内部控制常见误区¾内部控制设计实务和探讨组织控制人事控制财务控制采购与实物控制销售控制固定资产控制¾复道守护者智能化企业内部控制软件介绍44内部控制之一内部控制总论555案例分析:•巴林银行•安然公司•世通公司•中航油公司–回顾事件发生的经过–了解引致公司倒闭或严重损失的内控缺陷–从案例中吸取的教训•九芝堂•仪征化纤•浦东金桥•外高桥“公司的败绩都是由内部控制失败引起的”——AdrianCadbury666企业的不同发展阶段转型阶段创业阶段成熟阶段优点一、吃苦耐劳,有非常强凝聚力二、灵活多变,对市场有极快的反映能力。三、团队之间有很好的信任,不拘泥于规章制度。效率很好!不足一、规模有限、无法承接大的机会。二、缺乏吸引优质客户的能力。优点一、具有规模,有领袖与权威,市场快速反映。二、有核心团队、有行业骨干,有一定默契。三、有一定规章制度,但主要是以信任为基础。能承担一定规模业务。有较为丰富的企业资源。不足一、新老队伍需要较长时间磨合,职业经理人难以取得信任。二、制度不健全、或有漏洞。三、企业文化正在培育过程中,不稳定。优点一、有较好的独创的企业文化氛围,易吸收社会职业管理人员。二、规则清晰、制度高于一切。三、内部流程营运明确,易复制与模仿。四、有承担大型机会的能力。有较丰富的企业资源。五、有较强的抗风险能力。不足一、可能会存在一些官僚作风。二、某些流程可能过于刻板。对一些小机会反映迟钝。三、较高的管理与控制成本。最容易出现问题!777内部控制与舞弊理论为什么会产生舞弊?压力自我合理化机会经济压力、工作压力、恶习等存在产生舞弊的环境–缺乏控制或控制无效,未对舞弊者予以处罚,缺少信息渠道等我只是暂时借用,以后会还的;这是企业欠我的;大家都这样,不拿白不拿;窃书不为偷;……………………一、舞弊三角形理论(冰山理论)888舞弊理论与内部控制二、GONE理论GONE需要(N)机会(O)贪婪(G)事后暴露(E)999内部控制是防止企业舞弊犯罪有效的手段之一!法律法规-使之不敢职业道德-使之不愿内部控制-使之不能101010萨班斯-奥克斯利法案(SOX)概述SOX法案又称《2002年公众公司会计改革和投资者保护法》,该法案颁布的背景是源于安然、世通等美国企业巨头会计丑闻事件的曝光。这一系列公司假账丑闻暴露出诸多上市公司治理结构不平衡和外部监督缺失,为了改变这一局面,美国国会和政府加速通过了SOX法案。该法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告;要求企业针对产生财务交易的所有作业流程,都做到透明化、可控制、有效风险管理和欺诈防治,并且这些流程必须详细记录,乃至到可追查交易源头。111111SOXRecap(SOX重点)Corporategovernance(公司监管)Financialreporting(财务报表)Executiveconduct(高管行为)Internalcontrols(内部控制)¾302–公司对财务报告的责任公司对财务报告的责任¾404–管理层对内部控制的评价管理层对内部控制的评价121212法案之主要内容第302节公司对财务报告的责任-要求公司首要官员及首要财务官在季度/年度报告中保证-对信息披露的控制和程序负责(含刑事责任)-设计必要的内部控制手段并确保其执行可使高层及时获得重要信息-对披露控制的有效性进行评估,评估结果需存档-不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为-存档描述内部控制的重大变化-介绍信息披露的控制和程序-强调财务人员的正直和财务报告系统控制的完整性-需披露的非财务信息包括:重要合同的签署,战略合作关系的解除以及法律诉讼-美国证券管理委员会要求-扩大信息披露的控制和财务报告系统内部控制程序的认证-将内控评估日改为财务报告截止日萨班斯-奥克斯利法案概述(续)131313萨班斯-奥克斯利法案概述(续)法案之主要内容第404节管理层对内部控制的评价-要求公司管理层在年度报告中:-描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任-对财务报告系统内部控制有效性以一个公认架构进行评估(例如COSO内控架构)-同时要求外部审计人员:-对管理层评估结果进行签证-美国证券管理委员会要求-扩大信息披露的控制和财务报告系统内部控制程序的认证-将内控评估日改为财务报告截止日141414内部控制的主体:管理层(承担的职责是计划、组织、领导其组织的活动,即对组织的内部控制负责)内部审计对管理层组织的内部控制进行监督,以协助管理层有效地履行他们的职责。管理层在内部控制中的地位和作用151515管理层的工作评估重大错报风险识别公司层面的控制,包括对欺诈预防的控制识别重要会计科目和披露内容识别财务报表的相关认定识别重要流程和子流程明确评估应包含的地区和业务单位记录控制的设计方案,使用恰当的框架,如COSO框架161616管理层的工作明确应检测的控制领域评估控制设计方案的有效性检测和记录控制操作的有效性评估内控缺陷,采取补救措施和对整体有效性进行总结向审计委员会和审计师传达各种发现记录评估内控的流程171717上海证券交易所上市公司内部控制指引颁布时间:2006年6月5日实施对象:所有上交所的上市公司生效时间:2006年7月1日中国版SOX法案董事会对公司内控制度的建立健全、有效实施及其检查监督负责,董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。内部控制的检查监督中如发现内部控制存在重大缺陷或存在重大风险,应及时向董事会和证券交易所报告。由交易所认定是否对外发布公告。公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。181818什么是内部控制注:COSO是指美国反对虚假财务报告委员会所属的内部控制专门研究委员会——发起机构委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,简称COSO)。它包括美国注册会计师协会,内部审计师协会,财务经理协会,美国会计学会,管理会计协会。内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序。COSO报告(1992)指出:内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。内部控制的最新发展——企业风险管理控制环境风险评估控制活动监督作业活动1作业活动2循遵营经告报信息与沟通目标设定战略内部环境事件识别风险评估风险应对控制活动信息与沟通监督经营报告遵循子公司业务单位分支机构企业整体层次内部控制框架COSO报告(1992年)风险管理框架COSO报告(2004年)202020汇丰集团主席庞·约翰认为:过去摧毁一座金融帝国可能需要一个很漫长的过程,但是现在,即使是经营了上百年的金融帝国也可以在一夜之间倾塌。212121COSO的企业风险管理企业风险管理框架的建立背景¾二十世纪九十年代以来愈演愈烈的商业丑闻,使得投资者和其他利益相关者遭受了巨大的损失,人们在加强内部控制的同时,开始认识到全面风险管理的重要性,希望建立一个能有效地帮助管理策识别、评价和管理风险的思维框架。¾2001年,COSO设立研究项目,委托PWC研发一个能被管理层用来评价和改进其企业风险管理的框架。¾2003年7月,公布研究报告讨论稿。¾2004年9月,研究报告“企业风险管理:整体框架(EnterpriseRiskManagement–IntegratedFramework)”正式发布。222222企业风险管理企业风险管理(ERM)是受到企业董事会、管理层和其他人影响的、运用于企业战略制定和其他过程中的一种程序,用来识别影响企业的潜在事项、将风险控制在企业的偏好之内,并且为企业实现目标提供合理保证。2004年,美国COSO报告将企业风险管理分为八个要素。这些要素是从企业管理方法中推导出的,整合了企业的管理步骤。232323企业风险管理的要素——内部环境(internalenvironment)内部环境包含了一个组织的气氛,形成一个组织对风险看法的基础,并且通过组织中的人表现出来。内部环境主要包括:风险管理哲学和风险偏好;员工诚实性和道德观;以及企业经营环境。内部环境确认了所有可能发生的预期和未预期的事项。内部环境要素确立了企业的风险文化。242424企业风险管理的要素——目标设立(ObjectiveSetting)在管理层认识到影响其业绩的潜在事项之前,必须存在一定的目标。企业风险管理使得管理人员能适当的设立目标,并且选择的目标能支持企业的发展任务,并与其风险偏好相一致。适用于管理层在确立目标时考虑风险战略。252525企业风险管理的要素——事项识别(EventIdentification)可能有负面影响的事项代表了风险。可能有正面影响的事项代表了自然弥补(机会),能被引导回管理层的战略或者目标设立过程。企业必须识别影响企业目标实现的内、外部事项,区分风险和机会。262626企业风险管理的要素——风险评估(RiskAssessment)风险评估使得企业能够理解潜在事项可能影响目标的程度。从两个角度评估风险:可能性和后果。采用定性和定量的评估方法。将时间跨度和目标范围相联系。在一个固有的(inherent)和剩余的(residual)基础上评估风险。272727282828企业风险管理的要素——风险应对(RiskResponse)识别并评估对风险的可能反应。管理层选择如何反应——规避、接受、减少或者分担风险——从而形成一套使风险与企业风险容忍度和风险偏好相一致的行为方式。评估与管理层偏好相关的选择,潜在风险反应的成本收益,以及某种反应将减少影响或可能性的程度。根据对风险和反应组合的评估来选择并执行反应。292929企业风险管理的要素——控制活动(ControlActivities)建立并实施一套制度和程序,来帮助保证有效进行风险反应。在整个组织、各个层级和各种活动中都发生。包括一般控制和应用控制。303030企业风险管理的要素——信息和沟通(InformationandCommunication)以一种使职员能够执行其职责的方式识别、捕捉、交流相关信息。广而言之,有效的沟通存在于企业从上到下、从下到上和平级之间,还包括将相关的信息与企业外部相关方的沟通和交换,如客户、供应商、行政管理部门和股东等。313131企业风险管理的要素——监督