我们需要怎样的内部控制？

集团企业内部控制与风险管理我们需要怎样的内部控制？北京大学光华管理学院王立彦电话：(86-10)62756256电子信箱：lywang@gsm.pku.edu.cn2007’中国企业管理高峰论坛2007-11-30上海2007-11-222CONTENTS要点•引言•Why内部控制？•内部控制的直接目的何在？•内部控制：谁的责任？•内部控制的收益何在？•集团企业的“分权”与财务控制2007-11-223引言：《扁鹊的医术》•魏文王问名医扁鹊：–“你们家兄弟三人，都精于医术，哪一位最好呢？”•扁鹊答：–“长兄最好，中兄次之，我最差”•文王再问：–“那么为什么你最出名呢？”2007-11-224引言：《扁鹊的医术》(2)•扁鹊答：–“长兄治病，是治病于病情发作之前。由于一般人不知道他事先能铲除病因，所以他的名气无法传出去–中兄治病，是治病于病情初起时。一般人以为他只能治轻微的小病，所以他的名气只及本乡里–而我是治病于病情严重之时。一般人都看到我在经脉上穿针管放血、在皮肤上敷药等大手术，所以以为我的医术高明，名气因此响遍全国”2007-11-225引言：《扁鹊的医术》(3)•从管理学视角来解读上述故事，可以得出的认识是：–事后控制不如事中控制，事中控制不如事前控制•可惜，很多企业经营者未必能体会到这一点•总是等到错误的决策造成了重大的损失，才寻求弥补•总是事后急救、“亡羊补牢”•为什么不追求“未雨绸缪”，防范于未然？2007-11-226CONTENTS要点•引言•Why内部控制？•内部控制的直接目的何在？•内部控制：谁的责任？•内部控制的收益何在？•集团企业的“分权”与财务控制2007-11-227著名的SOX法案•SOX的目标：加强公司治理、重建投资者信心–设立公众公司会计监管委员会PCAOB–加强CPA的独立性–强化公司的责任和审计委员会的职责–强化财务披露要求•生效：法案公布日起30天内(即2005-8-29)•对美国以外公司（中国44家公司）：2005-7-15之后结束的首个财政年度（后推延到2006-7-15）2007-11-228更多‥‥‥•在萨班斯法案出台后，法国和日本都先后出台了类似的新法规强化监管•我国的相关规范也多起来了–财政部发起成立了企业内部控制标准委员会–证监会–国资委–中央银行–交易所•从长远来看，监管企业内部控制体系将更趋紧2007-11-229公司实务•中国企业–中石化（年度报告中的“公司治理”部分）–中石油（内部控制系统）–TCL（内部审计）–股份制银行（内部控制报告byCPA）–UTStarcom–自愿者：山西煤气化(000968)•想想看–CPAreportonUTStarcom’sInternalcontrol2007-11-2210然而，内部控制只有监管意义？•建立正式的监控制度–SEC、证监会、交易所–目前社会的关注都集中于此•但是，•治理意义呢？•管理运营意义呢？•风险防范的功能呢？2007-11-2211COSO：内部控制与风险管理•COSO1992–内部控制则主要由五个部分组成：控制环境、风险评估、控制活动、信息和沟通、监控2007-11-2212COSO内部控制架构图监测控制活动风险评价控制环境信息与交流2007-11-2213COSO：内部控制与风险管理•COSO1992–内部控制则主要由五个部分组成：控制环境、风险评估、控制活动、信息和沟通、监控•COSO2004–ERM在内部控制整体框架五要素的基础上进行了拓展，增加了三个风险管理要素，形成了八要素，分别是内部环境、目标设定、事件识别、风险评估、风险回应、控制活动、信息与沟通、监督。2007-11-2214企业风险管理框架目标类型：•战略•经营•报告•遵循2007-11-2215内部控制：风险管理视角的定义•内部控制是一个受到董事会、经理层和其他人员影响的、应用于战略制定的过程•贯穿整个企业的所有层级和单位，旨在识别影响组织的事件并在组织的风险偏好范围内管理风险•为实现各类目标提供合理保证2007-11-2216超越“监管”看内部控制•首先要问：为什么需要内部控制？–回答：防范风险（事先）、最小化风险（事中）、纠正风险导因（事后）•接着要问：内部控制的设计主体是谁？–要知道，在不同主体眼中的内部控制，那是不一样的•然后要问：风险来自那里？–当然不限于企业自身，还来自外部•还要继续问：强化内部控制的效果如何？–外部效果、内部效果2007-11-2217联系内部控制的风险管理•风险管理是指风险主体根据风险主体的总体发展目标，所设立的识别、分析、评估以及对风险因素的反应机制目标设定事件识别风险评估风险反应风险管理应服务于企业总体经营发展战略对影响企业总体目标实现的内部、外部因素进行甄别分析风险发生的可能性，并对其影响进行评估管理层选择风险反应类型，即规避、接受、降低或分享风险，开发行之有效的方案将风险与企业风险承受能力及风险偏好相结合2007-11-2218CONTENTS要点•引言•Why内部控制？•内部控制的直接目的何在？•内部控制：谁的责任？•内部控制的收益何在？•集团企业的“分权”与财务控制2007-11-2219内部控制的直接目的何在？内部控制的直接目的何在？最重要的是，事前防范风险！事中控制不是最佳选择！事后治理已经属于无奈！2007-11-2220构建公司内部控制制度体系•只所以需要内部控制，是因为存在“委托-代理”关系•所有者与董事会•董事会与管理层•高管层与中、低管理层•中、低管理层与一线员工•内部控制制度不等于财务会计制度。内部控制工作远远超越了财务会计的工作范围2007-11-2221COSO内部控制要素vs.公司内部控制实施√√运营层IC√√√√管理层IC√√？√√治理层IC监控信息沟通控制活动风险评价控制环境COSO实施2007-11-2222PCAOB：内部控制问题的体现•重大缺陷Materialweakness–是一个或多个明显弱点的组合，负面地影响公司财务数据流程（授权、处理、报告），导致不能防范或发现报告的错报•明显弱点Significantdeficiency•审计人员将测试发现的问题进行汇总并评估，确认这些问题是否构成重要缺陷或重大弱点，从而形成审计意见•当财务报告的内部控制存在一个或一个以上重大弱点，审计师必须发表否定意见2007-11-2223CONTENTS要点•引言•Why内部控制？•内部控制的直接目的何在？•内部控制：谁的责任？•内部控制的收益何在？•集团企业的“分权”与财务控制2007-11-2224CSA：谁的责任？•谁对内部控制具体负责？–内部审计机构？–专设内部控制机构？•不管是谁的责任，都必须有CSA2007-11-2225CSA，Control-SelfAssessment控制自我评价•CSA是一项使风险管理融入组织的程序，强调控制的责任和意识•基于共同的理论模型，由公司员工共同进行对风险的持续评价•持续监控或关键监控的自我审查•有助于腾出内部控制、内部审计的资源2007-11-2226内部控制测试的流程评估/确定重点工作领域对已发现内控缺陷的分类和整理确认内部会计控制缺陷作出诊断结论，提出初步建议执行内部控制测试程序收集和分析相关信息和资料内部会计控制的进一步完善2007-11-2227测试的工作方法查询系统的运行，确认系统控制职能能正常操作（如，确认财务系统中操作人员的授权情况）系统查询结合询问、检查及复算等测试方法，检验工作人员执行控制的知识与能力（如，访谈工作人员，评估其对企业现有费用报销政策的认识）知识评估询问两位或以上的独立和有相关知识的人员关于控制的运作（如，询问合同的保管及传递的过程）证实的咨询检查控制执行的记录或文件（如，检查原始凭证上是否具有相应权限人员的签名）检查重新执行控制，确保其正确操作（如，重新计算纳税申报结果，确保结果一致）复算与有关控制人员进行访谈（如，询问固定资产清查的过程，以获得证明有关工作行之有效的证据）访谈观察控制的执行及如何处理可能发生的问题（如，观察报销程序）观察解释测试方法2007-11-2228重点工作领域：量化确定否1.63%2,444,306.47所得税否0.01%11,467.46营业外收入是75.03%112,600,355.69投资收益否-1.54%-2,305,586.39财务费用是35.52%53,315,579.05管理费用否0.01%14,070.00营业费用否0.28%421,386.86其他业务利润是5.50%8,254,353.29主营业务税金及附加是56.55%84,863,331.84主营业务成本是100.00%150,079,150.69主营业务收入重要性比例全年发生额报表项目上表显示：仅从量化因素来考虑，以主营业务收入为基数标准、主营业务成本、主营业务税金附加、管理费用及投资收益这些利润表项目，达到了重要性水平。2007-11-2229重点工作领域：非量化确认•交易发生的复杂性•工作的复杂程度•对应财务处理的性质•是否存在重大或然负债的可能性2007-11-2230CONTENTS要点•引言•Why内部控制？•内部控制的直接目的何在？•内部控制：谁的责任？•内部控制的收益何在？•集团企业的“分权”与财务控制2007-11-2231SOX合规成本高昂•统计显示，大型美国公司仅在“404合规工作”第一年建立内部控制系统的平均成本就高达430万美元。成本包括：内部人员35000工时的投入、130万美元的外部顾问和软件费用，以及150万美元的额外审计费用•GE为达成404条款而完善内部控制系统的花费高达3000万美元•在美国上市的中国企业投入可能会更高2007-11-2232通过帮助经理层防范风险:–有效处理产生不确定性的潜在未来事件–降低事件导致负面影响的可能性、提高事件带来正面影响的可能性内部控制为什么重要：2007-11-2233内部控制有收益吗？•防范风险就是收益！•减小风险就是收益！•回到引言：《扁鹊的医术》2007-11-2234CONTENTS要点••引言引言••WhyWhy内部控制？内部控制？••内部控制的直接目的何在？内部控制的直接目的何在？•内部控制：谁的责任？••内部控制的收益何在？内部控制的收益何在？•集团企业的“分权”与财务控制2007-11-2235集团企业“分权”与财务控制•集团化的基本导因•财务“分权”是无奈？•更多地“集权”？为什么？•集团企业的财务控制2007-11-2236企业集团化的基本导因•实现市场交易内部化，以降低交易成本•充分发挥已有的有形及无形资源的潜能•提高企业整体的竞争能力与抗风险能力•企业（集团）“内部”形成多元法人主体结构，分散财务风险2007-11-2237财务“分权”有无奈性财务“分权”的原因：–“分权”并非集团企业的专有特征，“单体”企业也存在“分权”现象，主要原因是：•管理幅度（领导能力、时间、精力、经验）的限制•分支机构或子公司广泛的地理分布与交通通讯等方面的限制•为了提高决策效率2007-11-2238财务“分权”有无奈性•在企业集团内部，子公司是独立法人，因而在法律上有其独立的法人财产权。从这一意义上讲，企业集团的财务管理“分权化”有其必然性•其实。分权本身就是一种激励2007-11-2239财务“分权”有无奈性•财务“分权”带来的问题：–企业内部财务目标的不协调–增加监督成本–需要有效激励2007-11-2240更多地“集权”？为什么？•集权的目的：–集权是战略需要，分权是策略与战术手段–保证企业（集团）内部财务目标的协调一致–为了实现企业整体利益的最大化–为了有效地进行战略调整–其实从根本上说，分权属无奈，集权才是本意2007-11-2241更多地“集权”？为什么？集权的基本手段：–行政手段（适用于非法人的分支机构）：直接控制，减少授权–法律手段（适用于法人的子公司）：所有权控制，将更多的财权（尤其是指重大的筹资与投资决策权）控制在董事会手中，减少企业经理层的财权2007-11-2242集团企业的财务控制•“财