金融业内部控制与风险管理•内容提要•一、为什么要建立内部控制?•二、内部控制制度与管理制度的关系•三、什么是企业内部控制?•四、我国内部控制规范体系•五、内部控制的顶层设计•六、业务层面内部控制设计•七、内部控制评价•一、为什么要建立内部控制?••(一)法定要求(外因)•1.SOX法案•2001年底,美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝光,诚信危机震撼着美国及全球。为了提高公众对美国金融市场和政府经济政策的信心,2002年7月30日,美国总统布什签署了《萨班斯——奥斯利法案》。该法案因由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出而得名。法案对美国1933年《证券法》、1934年《证券交易法》作了修订,在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。法案突出了“以法治市”的理念,大幅度提高了对会计舞弊的处罚力度和对公司管理层及白领犯罪的刑事责任,同时强化了管理层内部控制的责任和义务。•美国对中国公司有要求,所以监管层比较着急,匆忙推出内部控制。•资本市场的敲门砖。•2.ERM框架•为了给公众公司提供一套遵从404条款的标准,2004年9月,COSO又提出了ERM框架。ERM框架在内涵界定、目标体系、构成要素等方面对COSO《内部控制——整体框架》的内部控制概念进行了拓展和延伸。COSO希望通过新框架能够成为组织董事会和管理者的一个有用工具,用来衡量组织的管理团队处理风险的能力,并希望框架能够成为衡量组织风险管理是否有效的一个标准。•(二)企业风险管理的需要(内因)•银行业作为一个高风险行业,尽管存在强大的外部监管,如银监会的监管、社会监督、行业自律等均不失为有效的手段,但这些外部监管的防范效果最终取决于银行内部控制风险防范效能的发挥。•我国商业银行的经营风险也逐步由隐性转向显性,主要有•1)信用风险:如:贷款质量下降、呆账增加、经营亏损严重、支付能力不足而引起的;•2)操作风险,即从业人员欺诈与越权经营而产生的•3)管理风险,决策管理层缺乏科学的管理和经营而导致的等。•(三)股东需要(外因)•关注财务报表→同时关注相关内部控制••二、内部控制制度与管理制度的关系•现代企业不可能没有内部控制制度,但是其内部控制未必达标。•“控制”是管理职能之一,内部控制从属于管理制度,但是,管理制度不能代替内部控制。•管理制度主要是保证经营活动有序、高效运行,可能会排斥内部控制,因为内部控制可能会降低效率。•内部控制是以风险管理为目标的,它要求企业在提高经营效率的同时,要关注风险。•所以,现代企业管理制度必须将内部控制机制纳入其中。三、什么是企业内部控制?世界公认的内部控制标准,当属COSO委员会1992年提出的《内部控制——整体框架》。(一)《内部控制——整体框架》。三个目标:合规性目标、经营目标、财务目标。实现三个目标需要取得以下五个要素的支持:控制环境、风险评估、控制活动、信息与交流和监督。•(二)《企业风险管理——整体框架》•2004年,COSO发布《企业风险管理——整体框架》,从企业风险管理角度重新定义了内部控制•四个目标:增加了战略目标。•提出了八要素:内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控。•引入了风险偏好、风险容忍度等概念和方法,因此,在风险度量的基础上,有利于企业的发展战略与风险偏好相一致。•在内部控制中引入风险管理,将内部控制提升到风险管理层次,目的是突出风险管理在内部控制中的核心地位。•(银行业的风险包括:信用风险、利率风险、汇率风险、流动性风险和操作风险等)•全面风险管理,是指对整个银行体系内各个业务层面、各种类型风险的通盘管理。•对内部控制概念的理解•第一,内部控制是一个“过程。过程比结果重要,不能根据结果评价内部控制。内部控制只是一个过程告诉我们,内部控制只能提供合理保证。经营得很好的企业,内部控制可能很差;经营得很差的企业,内部控制可能很好。所以,内部控制与企业界经营好坏没有必然的联系。好企业之中,有一部分企业虽然没有内部控制的形式,但是按照内部控制的规律运行的;有一部分是因为这些企业具有巨大的竞争优势,把内部控制缺失可能出现的问题掩盖了;还有一部分是这些企业可能没有遇到重大的风险事件洗劫。•内部控制只是一个过程还告诉我们,内部控制只能提供合理保证,并不意味着内部控制是可有可无的。内部控制具有巨大的经济意义,有了内部控制能够使好企业更好;没有内部控制能使坏企业更坏。所以,建立内部控制目的就是使好的更好,避免使坏的更坏。•第二,企业中的每一个人都对内部控制负有责任,并受内部控制影响•内部控制受到“人”的因素的影响,组织中的每一个人都对内部控制负有责任并受到内部控制的影响。是“人”建立企业的目标,并将控制机构赋予实施;内部控制以其特有的文化优势,影响和改变着组织中的每一个人。•第三,内部控制是企业自己的“法律”,企业中的每一个人都必须尊重它•内部控制是企业自己建立的法律,它贯穿整个企业的所有层级和单位,任何人都不能超越企业设立的内部控制,包括最高管理层。在遵循性方面,没有任何例外原则。没有人不被控制,没有业务不被控制。内部控制已被接受的理念,就是要把风险管理变成制度,变成企业文化,变化整个企业内部所有环节应该被遵守的基本准则。•第四,内部控制是一个框架,其中的每一个要素都必须发挥作用•内部控制是一个框架,系统中的每一个要素都必须发挥作用,每一个要素的缺失都可能会导致整个系统控制的失败。内部控制各要素之间没有严格的先后顺序之分,而是一个反复循环的过程关系;也没有主次之分,各要素互相支持又互相制约,构成一个框架关系。风险管理框架的整体构建也是如此。•第五,内部控制是一种增值活动、是企业价值链的重要一环•内部控制需要查错纠弊,但又不限于查错纠弊,查错纠弊只是内部控制的一部分,而不是其的全部。内部控制的目标是通过公司治理、人力资源管理,识别风险和机会,降低风险,增进企业价值。•第六,内部控制以风险为导向,风险的根源是目标而不是制度•传统的内部控制就控制论控制,其理念认为,风险来源于薄弱的内部控制,风险大小取决于控制的强弱。所以,内部控制越强越好。风险管理理念则认为,风险源于目标,内部控制不是越强越好,或强或弱,取决于风险对于目标的影响程度。风险大,控制应强,风险小控制应弱,即所谓的遇强越强,遇弱越弱。所以,在风险既定的情况下,薄弱的内部控制有时候是可以接受的。内部控制的主旨就是,在识别影响组织的事件并在组织的风险偏好范围内管理风险。•第七,内部控制始终处于积极主动的态势,风险管理贯穿于其活动的全过程•内部控制应用于战略制定,因而与被动的控制不同,风险管理是一种积极的、主动的管理过程,从目标设定开始就要参与其中,而不是等目标确定之后,才被动地进行风险管理。与狭隘的控制不同,风险管理的视野更开阔,它不只是拒绝,还要接受。风险管理不仅要接受有利的机会,还要接受一定的风险,只要这些风险有助于增进企业价值。•(一)《企业内部控制基本规范》•2008年6月28日,财政部、银监会等五部委联合发布《企业内部控制基本规范》。四、我国内部控制规范体系•(二)《企业内部控制配套指引》•2010年4月26日,财政部等联合发布《企业内部控制配套指引》。•2011-1-1起境内外上市公司执行,2012-1-1起主板执行,在此基础上,择机在中小板和创业板上市公司施行。同时,鼓励非上市大中型企业提前执行。•21个应用指引(此次发布18个,涉及银行、证券和保险等业务的3个指引暂未发布),还有《企业内部控制评价指引》和《企业内部控制审计指引》。•18个应用指引的分类:•(1)内部环境类指引-5个•(2)控制活动类指引-9个•(3)控制手段类指引-4个•注:基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。•18个应用指引的内容:(1)内部环境类指引——5个组织框架(含治理结构、机构设置、职责分配及不相容职务分离)、发展战略、人力资源、企业文化、社会责任(含安全生产,产品质量,环境保护与资源节约等)(注:企业自我评价时要以内部环境为基础)(2)控制活动类指引——9个资金活动、资产管理、采购业务、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告(注:企业自我评价时要以控制活动为重点)(3)控制手段类指引——4个全面预算、合同管理、内部信息传递、信息系统(注:企业自我评价时应当兼顾控制手段)(三)五个目标(1)合法合规(2)资产安全(3)财务报告及相关信息真实完整(4)提高经营效率和效果(5)实现发展战略(二)五条原则(1)全面性原则内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。(2)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。(3)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制。上级可以制衡下级,同级可以相互制衡,下级也可以制衡上级。(4)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。与时俱进(5)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。小型企业可以有替代控制措施。(三)五大要素企业建立与实施有效的内部控制,应当包括下列要素:(1)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。(2)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。1)准确评估风险(量化)。首先决定两个维度:第一个维度是评估风险发生的可能性;另一个维度是评估风险可能对企业造成的影响。其次是制定转移、避免或减低风险的策略。有些企业的老板是丈夫,会计是妻子,出事两个人一起进去,不注意分散风险。2)量化标准解释:根据某一风险在未来的发生频度,可以将风险发生的可能性划分为“几乎肯定、极可能、可能低、极低”等若干层次;对风险可能造成的影响程度按照“近乎没有、轻微、中等、重大、灾难”等级标准进行评估。其具体标准如下图所示:•图示:转移接受避免小心管理工作可能性几乎肯定极可能可能极低近乎没有轻微中等重大灾难影响程度(3)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。1)不相容职务分离控制两个人的职务由一个人来担任,别人又不能发现问题的,就是不相容职务。要全面梳理业务流程中所涉及的不相容职务,实施相应的分离措施。有些财务部门过去的银行出纳,既是银行款项支付的经办人,又负责与银行对帐,月初从银行支出一笔钱,在月底将款项归还公司帐户,在股市形势好的前提下,可以获得丰厚的收入,是没有人能够发现的。这种不相容职务不能做到相互分离,是产生犯罪行为的温床,是各级领导要必须重视的。2)授权审批控制各级员工只有获得相应的授权,才能实施决策或执行业务。第一,常规授权和特别授权常规授权:一般针对日常经营管理过程中发生的程序性和重复性工作,可以由岗位说明书,或权限指引予以明确。常规授权的范围不宜太大,否则会削弱内部控制,但是如果范围过小,则会降低管理效率。特别授权:一般是由董事授权经理层,或经理层授权下属机构及其员工处理某一特殊事件(如法律纠纷)的临时性权力。第二,审批审批要经过审核和批准两个阶段,就财务支出审批而言,审核指业务部门领导对该项开支的合理性提出初步意见,批准指有关领导经参考“审核”意见后进行批准。审批顺序:先下级、后上级;先定性、后定量。(3)会计系统控制严格执行国家统一的会计准则和制度,加强会计基础工作,明确会计处理和报告程序,保证会计资料真实完整。(4)财产保护控制1)限制接近。对货币资金、有价证券、存货等变现能力强的资产必须限制无关人员直接接触。2)定期盘点。3)记录保护。妥善保管涉及资产的各种文件资料,避免记录受损、被盗、被毁;对重要的文件资料,应当备份。4)财产保险。(5)预算控制全面预算是企业对一