企业内控与风险管理(中大MBA研修班)_new

企业内部控制与风险管理林斌2010年3月3日中山大学MAB研修课程简历1997年，毕业于厦门大学会计系，获经济学（会计学）博士学位。现任中山大学会计学系教授、博士生导师、系主任、MPAcc中心主任，兼任财政部企业内部控制标准委员会专家咨询组成员、广东省内部审计协会副会长、广东省审计学会副会长。曾在美国哈佛大学商学院、德州大学管理学院进修、学习。目前主要研究领域：内部控制与风险管理、战略管理会计、资本市场与会计信息等。2内容提要原理企业内控与ERM框架法规主要内控与ERM法规实务构建与实施小案例中信泰富事件2008年10月，中信泰富发布声明，集团董事和财务总监私自与香港多家银行订立累积外汇期权合约，导致集团损失155亿港元。为什么关注内部控制？荣智健09年2日，中信泰富在港交所网站发布公告，香港证监会对公司展开正式调查，当中涉及董事会主席荣智健、其长子荣明杰及集团董事总经理范鸿龄，以及七位执行董事和七位非执行董事4月8日，荣智健已辞任董事会主席职务星岛网讯中信泰富涉串谋欺诈，荣智健可能被监禁14年中信泰富中信泰富於香港注册成立，联交所上市，并为恒生指数成份股之一。最大股东为中国国际信托投资(香港集团)中信香港持股比例为29%；管理层持股比例为22%；私人及机构投资者持股比例为49%。业务包括投资物业、基础设施、能源项目、环保项目、航空以及电讯业务。中信泰富特钢制造铁矿石开采物业航空基础建设发电其他上市子公司江阴兴澄钢厂新冶钢石家庄钢厂中澳铁矿项目香港中国大陆国泰航空香港空运货站隧道环境保护发电厂澳门电讯中信国安中信资本大昌行集团中信1616解读中信泰富外汇杠杆合约中信泰富的澳元合约（Accumulator），行权价0.87美元/澳元，若澳元升值，中信泰富会获利，但其总利润会被封顶，而一旦汇率下跌，则中信泰富必须每月（部分是每天）以0.87的高价加倍接澳元仓位，最高累计额可达94.4亿澳元。Accumulator累计股票期权一种让投资者承诺购买股票或外汇的结构性产品,是投资者与私人银行订立的累积股票期权合约，一般没有零售，最低入场费100万美元。Accumulator的具体运作假设港交所(0388)当时的股价是220元，投资者可以折让价200元每日购入500股港交所股份；若股价跌穿200元，投资者亦要以200元价格，每日购入1,000股(即双份)的港交所股份；假若港交所价格升过250元的赎回价，合约便即时终止。Ikillyoulater？中泰事件分析内部控制与风险管理失败重大事项决策中的治理缺陷（授权与责任问题）荣智健认为外汇期权投资是财务董事“自作主张，并不是通过合法途径”；同时认为，“经过内部审计，证实没有诈骗”。信息披露问题公司在发现巨额亏损6周之后（9月7日已获知可能面临巨额亏损），才对外公布事件，显示内部监管存在漏洞。牵制问题荣方明任中信泰富财务主管，若对财务董事张立宪、财务总监周志贤的交易不知情，为何要调离并受降职和减薪处分。实时监控；风险管理员汇报线路、薪酬体制和考核上应完全与交易员的汇报线路分开。中泰事件分析（续）内部控制与风险管理失败（续）制度执行问题公司规定1000万美元以上的合同，应由董事长批准与13家银行一起签单，没有向董事会、交易银行披露张立宪6月底前也做过类似交易并赚过钱，但是没有在公司会计报表中体现出来，所赚的钱放在准备金账户，而不是损益账户，表现为降低澳矿投资的成本澳元已跌3个月，为什么没有及时制止进一步亏损内部交易问题10月21日，中信香港增持200万股，荣增持100万股，分别作价7.392与7.371港元，10月27日中信香港董事蔡星海以3.73港元增持10万股。西门子全球贿赂案“历史最大”还是“冰山一角”08年12月16日，西门子承认其故意规避及未能对公司内部实施合理控制，违反《国外反贿赂法案》中关于账目记录的规定。支付罚金3.5亿美元结束SEC的民事指控支付约4.5亿美元刑事罚金结束司法部的指控在德国慕尼黑，同意支付3.95亿欧元罚金内部调查、律师费用等约10亿美元中国4家企业涉嫌腐败行为遭世行封杀2009年1月14日，世行宣布因涉及世行资助的菲律宾公路项目中的腐败行为，对包括4家中国公司在内的7家公司和1名个人进行制裁。“黑名单”中的中国企业是中国路桥集团(被禁8年)，中国建筑工程总公司、中国武夷实业股份有限公司(被禁6年)，及中国地质工程集团公司(被禁5年)我们公司有不同的销售部门，每一个部门都有独立的贿赂预算（羊城晚报，2009/5/18）某大型制药的工作人员对新华社记者说为什么关注？国内民企平均寿命只有2.9年2005年6月30日，中华全国工商联合会在总结民企20多年的发展史后,发布《中国民营企业发展报告》蓝皮书九成民企是家庭企业300多万家私营企业中，90%以上是家庭企业，民企自我融资90.5%民企的寿命全国每年新生15万家,每年死亡10万家;有60%的民企在5年内破产.有85%的在10年内消亡平均寿命只有2.9年.内部监控与风险管理什么是内部控制？内部牵制内部控制内部控制结构内部控制的完整框架（旧COSO报告）企业风险管理（新COSO报告）内部控制的完整框架1992年，COSO提出了著名的“内部控制的完整框架”的研究报告，1994年进行了增补。COSO报告提出内部控制的目标有三个：提高经营效率，取得好的经营效果合理保证财务报告的可靠性遵循有关的法规制度内部控制的完整框架（续）内部控制的要素内部环境风险评估控制活动信息与沟通监督内部控制组织内部的内部控制组织外部的内部控制席尔宾斯基三角五要素及其相互关系监控控制活动风险评估内部环境信息沟通信息沟通基础手段保证载体依据内部控制的完整框架（续）COSO委员会提出，内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式，并与管理过程相结合。控制环境内部环境评估关注要点诚信与道德价值观胜任能力董事会或审计委员会管理层的理念和经营风格组织结构责任的分配和授权人力资源政策和实践企业风险管理2003年7月美国COSO颁布了企业风险管理框架的讨论稿，并于2004年4月颁布正文。同1992年的COSO报告相比，新的COSO报告增加了一个观念、一个目标、两个概念和三个要素ERM的定义企业风险管理的定义一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程ERM的目标ERM的目标战略目标经营目标报告目标合法性目标ERM的目标（续）战略目标高层目标，与实体使命、构想一致并支持前二者。战略目标反映了管理者关于实体如何为股东创造价值的选择。经营目标这些属于实体经营的效力、效率，包括业绩盈利目的及保护资源避免损失。他们基于管理层关于结构和绩效的选择而变化。报告目标这些属于报告可靠性。他们包括内外部报告，可能包括财务和非财务信息。依从目标这些属于坚持相关法律规则。他们依赖外部因素，有时整个实体有时一个产业目标趋同。ERM的主要内容ERM的构成要素内部环境目标制定事项识别风险评估风险反映控制活动信息和沟通监控企业风险管理ObjectiveSettingLevelsMissionCorporateobjectivesUnitobjectivesCategoriesStrategicOperationalReportingCompliance校训、战略与企业文化MissionAgeneralobjective,visionary,oftenunwritten,andveryopen-ended,withoutanytimelimitforachievement.CorporateobjectivesUnitobjectives使命传承一种人文精神，简单、易记企业的成功（包括品牌）：把握了产业的本质知识拓展世界银行项目FR·FA·MIS中山大学课题组校训、战略与企业文化（续）校训哈佛：与柏拉图为友，与亚里士多德为友，更要与真理为友(AmicusPlato,AmicusAristotle,sedAmicusVERITAS)清华：自强不息，厚德载物厦大：自强不息，止于至善再看国家会计学院、其他高校、单位……运动品牌阿迪达斯：一切皆有可能（没有不可能）耐克：释放潜能李宁：中国新一代的希望、运动之美世界共享、我运动我存在、把精彩留给自己、出色源自本色、因为专业，一切皆有可能中海壳牌风险评估矩阵结果可能性严重性人员环境成本(美元)工期声誉ABCDE在行业中从未发生过单经在石油工业中发生单纯在股东企业发生每年在股东企业发生几次每年在当地发生几次概率小于1%概率小于10%有可能在每个项目中发生每个项目发生多于一次0.1%1%10%100%100%1轻微轻微200.0003小时轻微2中度(RWC)小的单元的影响0.2-2million3-24小时有限影响持续改进3重大伤害LTI区域内影响2-20million1-10天相当的影响联合改进措施尽量降低4PTD/单个死亡区域外大的影响20–200million10天-3月国内影响寻求替代措施立即采取措施5群死重大影响200million3月国际影响Ifyou'rejustgettingby,you'renotreachingyourIQpotential“Gettingby”MeetingMinimumRequirementsCOBIT4.1COBITControlObjectivesforInformationandRelatedTechnology(信息与相关技术的控制目标)ISACA(信息系统审计与控制协会)1967年设立1992年发布最初版本2003年发布第三个版本2005年11月发布第四个版本（cobit4.0）2007年COBIT4.1COBIT的三维框架图COBIT框架和组成部分（4.0）COBIT框架的功能IT4个领域、34个IT流程、318个控制目标7类信息标准管理指南当中的衡量标准、关键成功因素和成熟度模型、审计指南当中的通用审计方法IT过程、IT目标与IT资源关系汇总表（NEXT，P：主要的；S：次要的；√：涉及）域IT过程IT目标IT资源有效性效率性机密性完整性可用性遵循性可靠性应用信息设备人员规划与组织P01P02P03P04P05P06P07P08P09P010定义IT战略规划定义信息体系结构确定技术方向定义IT流程、组织与关系管理IT投资通讯管理目标与方向管理IT人力资源质量管理评估与管理IT风险项目管理PSSPSPPPPPPPSPSPPPPSSSSPPPSSPP√√√√√√√√√√√√√√√√√√√√√√√√√√获取与实施A11A12A13A14A15A16A17确定自动化的解决方案获取与维护应用程序软件获取与维护技术基础设施授权操作与使用获取IT资源改变管理系统的安装与鉴定及改变PSPPSSSPSPPSSSSSPSPPPPSPSSS√√√√√√√√√√√√√√√√√√√交付与支持DS1DS2DS3DS4DS5DS6DS7DS8DS9DS10DS11DS12DS13定义并管理服务水平第三方服务管理性能与容量管理确保服务的持续性确保系统安全确定并分配成本教育和培训用户服务台与突发事件管理配置管理问题管理数据管理物理环境管理操作管理PPSSSSSPPSSSSSPPSPSPPPSSSPPPSPPPSSSPPSPPPPPPSS√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√监控ME1ME2ME3ME4IT绩效监督与评价内部