搜索
Honesty,TruthPursuing,Diligence,DevotiontoPublicDuty内部控制与风险管理审计赵珊博士国际内部审计师南京审计大学副教授中国内部审计发展研究中心南京审计大学内部审计系2016年12月nikkyzs@sohu.com2主要内容-内部控制与全面风险管理-内部审计作用的发挥-风险管理审计的界定-内部控制和风险管理审计实施-内部控制、风险管理审计案例Honesty,TruthPursuing,Diligence,DevotiontoPublicDuty内部控制与全面风险管理4舞弊压力机会借口内部控制的缘起——LarrySawyer——W.SteveAlbrecht压力要素是舞弊者的行为动机,压力的具体形式有所差异职务舞弊者必须权衡利弊,进行心理平衡过程,使职务舞弊行为与其本人的道德观念、行为准则相吻合机会是指可进行舞弊而又能掩盖起来不被发现或能侥幸逃避惩罚的时机或情形580至90年代内部控制的演化发展内部牵制内部控制制度内部控制结构内部控制整合架构风险管理整合框架20世纪初期以前20世纪30-70年代90年代以来2004年以来SOXACT6200120022003CombinedCodeHIH保险公司One.Tel安然萨班斯-奥克斯利法案世通QwestCodeofCorporateGovernance国际内部控制的发展与最新趋势200420052006公司治理守则第9号法案审计改革和公司信息披露法案企业管治常规守则内部控制规范2007FinancialInstrumentsandExchangeLaw7我国内部控制的发展过程内部牵制阶段会计控制阶段全面控制阶段1238(一)第一阶段是内部牵制。这一时期计划经济占主导地位,二十世纪七十年代末至八十年代,内部牵制更加受到重视。1、1978年9月12日,国务院颁布《会计人员职权条例》。2、1984年4月24日,财政部发布《会计人员工作规则》。3、1985年1月21日,第六届全国人民代表大会常务委员会第九次会议通过《中华人民共和国会计法》,重申了会计岗位责任制的要求。我国内部控制的发展过程9二、会计控制阶段:1、1996年6月17日,财政部发布《会计基础工作规范》,要求各单位进一步建立健全包括但不限于内部牵制制度的内部会计管理制度。2、1999年修订的《会计法》,第一次以法律的形式对建立健全内部控制提出原则要求。3、财政部随后制定发布了《内部会计控制规范——基本规范(试行)》和《内部会计控制规范——货币资金(试行)》等7项内部会计控制规范,要求单位加强内部会计及与会计相关的控制,形成完善的内部牵制和监督制约机制,以堵塞漏洞、消除隐患,保护财产安全,防止舞弊行为,促进经济活动健康发展。我国内部控制的发展过程10三、全面控制阶段:进入21世纪,随着世界范围的企业合并、资本国际化、贸易壁垒的逐渐消失和金融市场的一体化,内部控制日益成为一个世界性话题,单纯依赖会计控制已难以应对企业面对的市场风险,会计控制必须向全面控制发展。企业需要站在发展全局的角度,全方位加强内部控制制度体系建设,为深化企业改革、加强经营管理、提高企业抗风险能力和可持续发展能力提供技术支持。我国内部控制的发展过程11中国内部控制的发展2006(财政部)企业内部控制鉴证指引企业内部控制评价指引企业内部控制应用指引(征求意见稿)(上交所/深交所)内部控制指引(国资委)中央企业全面风险管理指引2007(财政部)企业内部控制规范-基本规范(征求意见稿)2008(财政部)企业内部控制基本规范(保监会)寿险公司内部控制评价办法(试行)保险公司内部审计指引(试行)保险公司风险管理指引(试行)(证监会)上市公司信息披露管理办法(银监会)银行业金融机构信息系统风险管理的指引(银监会)商业银行内部控制指引(银监会)商业银行合规风险管理指引(证监会)证券公司风险控制指标管理办法(证监会)证券公司合规管理试行规定(证监会)证券公司监督管理条例(银监会)商业银行操作风险管理指引我国内部控制的发展过程122008年6月,财政部会同证监会、审计署、银监会、保监会五部委发布《企业内部控制基本规范》(简称《基本规范》)2010年4月《企业内部控制配套指引》发布。具体包括《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》2011年1月1日起在境内外同时上市的公司范围内施行,2012年1月1日起扩大到上证、深证主板上市的公司。鼓励非上市的大中型企业执行。执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所内部控制的有效性进行审计——中国企业内部控制规范体系内部控制基本规范及配套指引1313确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程序确认内部控制是否进行充分的设计和执行,以及是否具备有效性和适应性。对于影响公司目标实现的内部及外部因素的评估确保相关信息被及时识别及传递的过程公司对于内部控制的基本态度-”来自上层的基调”内部环境公司层面业务单元子公司风险评估控制活动信息与沟通内部监督《企业内部控制基本规范》框架14《企业内部控制配套指引》构成15时间机构标准1999/2004年澳大利亚和新西兰AS/NZ43601999风险管理准则2004年COSO企业风险管理-整合框架1988/2004年BCBS巴赛尔协议||2005年香港会计师工会内部控制与风险管理的基本架构2008年欧洲委员会偿付能力||2009年ISOISO31000风险管理2002年NISTNISTSP800-37风险管理框架1996年以来ISACACOBIT、ValIT、RiskIT国外主要风险管理标准161931年至20世纪80年代末90年代初20世纪90年代以来风险管理的演化发展基于保险和财务层面的风险管理阶段基于整体层面的风险管理阶段RiskIT、ValIT和COBIT之间的关系经营目标-信任和价值-关键点RiskITValIT信息技术相关事件信息技术管理过程COBIT以信息技术相关活动为关注点风险管理识别风险和规避风险172004年9月,COSO正式颁布《企业风险管理——整体框架》,包含4大目标(战略、经营、报告和合规目标)、8个相互关联的要素(内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控)和应用的企业及单位(公司层面、子公司、业务单元和科室)。国外主要风险管理标准:COSO-ERM企业风险管理框架监控信息和沟通控制活动风险评估控制环境监督信息和沟通控制活动风险评估控制环境内控控制框架18b.组织过程——一体化部分c.决策制定的一部分a.创造价值d.明确地解决不确定性风险管理原则、框架和过程之间的关系j.动态、循环和响应变化管理风险的原则(第三组)管理风险的框架(第四组)管理风险的过程(第五组)e.系统的,结构化的和及时的f.基于可能得到的最佳资料g.因地制宜h.将人和文化因素考虑在内i.透明和包容k.推进组织的持续改进和改善指令和承诺(4.2)管理风险的框架设计(4.3)框架的监控和审查(4.4)部署风险管理(4.4)框架的持续改善(4.6)建立语境(5.3)风险识别(5.4.2)风险分析(5.4.3)风险评价(5.4.4)风险处理(5.5)风险管理(5.4)沟通和咨询(5.2)对照和复核(5.6)19时间机构标准2005年银监会商业银行市场风险管理指引2006年国资委中央企业全面风险管理指引2006年银监会商业银行合规风险管理指引2007年银监会商业银行操作风险管理指引2007年保监会保险公司风险管理指引2009年银监会商业银行流动风险管理指引2009年银监会商业银行声誉风险管理指引2009年银监会商业银行信息科技风险管理指引2010年保监会人身保险公司全面风险管理实施指引国内主要风险管理规定20国资委—中央企业全面风险管理指引21目前对风险管理与内控认识存在的误区把内部控制与全面风险管理体系的建设理解为建章立制。内部控制体系和全面风险管理体系是相互独立的。内部控制和全面风险管理的作用被夸大。内部控制与全面风险管理理念在企业实践落地难。误区•内置于企业日常管理过程中,是一种常规运行的机制。•整合建设,但根据企业特点各有侧重。•无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。•新事物的导入有个过程,要认清风险管理成熟度。正解••••2222理论界对内部控制与风险管理的关系有两种观点:观点1:认为风险管理是内部控制的组成部分观点2:认为内部控制是风险管理的组成部分23风险管理与内部控制的关系23我们的看法是:如果以风险作为管理的起点,则内部控制是风险的应对,可以理解为控制属于风险管理的实现工具,因此控制包含于风险管理;如果认为企业管理的实质是控制,风险管理只是在资源有限性和对象复杂性矛盾下的平衡和导向,那么风险管理可以作为控制系统的一部分;从组织结构来看,内部控制和风险管理相应的组织结构是完全一致的,说明二者都应该无缝整合到一定的组织结构中,和其他有关的业务和职能管理共同服务于企业管理。风险管理与内部控制的关系24Ø风险管理:做正确的事•风险管理解决的不仅是流程问题,更是要解决战略决策问题、应急处理问题;不仅要解决当前的问题,更要预测和应对将来可能发生的问题;不但要解决“正确地做事”,关键是还要解决“做正确的事”•风险管理更偏向于前端,对影响目标实现的因素的分析、评估与应对,防止重大决策失误,防止出现重大危机问题。Ø内控:正确的做事•内控解决的是流程问题,包括业务流程、管理流程中的风险控制,解决的是“正确地做事”。•内部控制更加重视实施,嵌入到企业各业务流程的具体业务活动中,融合在企业的各项规章制度之中,使企业在正常运营过程中自发地防止错误,确保合规和真实,从而合理保证目标的实现。风险管理与内部控制的关系25风险管理与内部控制整合实施运作机制265-内部控制审计12-遵循性审计16-风险管理审计21-内部审计的控制自我评估法2201内部控制审计《内部控制基本规范》及配套指引旧准则新准则新旧内部审计准则结构的调整Honesty,TruthPursuing,Diligence,DevotiontoPublicDuty内部审计作用的发挥28内部审计客体IIA内部控制、风险管理、治理程序Internalcontrol,riskmanagement,governanceproceduresCIIA业务活动、内部控制、风险管理Internalcontrol,operationalactivities,riskmanagement审计署NationalAuditOffice财政收支、财务收支、经济活动Revenues,expenditures,economicactivities内部审计,是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标。--CIIA29IIA最近发布的调查报告将内部审计职能涉及到的活动分为三大类25项:内部控制活动(14项)风险管理活动(5项)公司治理活动(6项)内部审计客体30内部控制活动风险管理活动公司治理活动合规性审计企业生存能力(持续经营)评价公司治理评价控制系统的有效性评价风险管理程序审计尽责调查经营审计财务风险审计道德审计项目管理审计信息风险审计战略和组织绩效的关系评价安全评价和调查信息系统风险审计薪酬评级灾难恢复测试和支持社会和可持续(社会责任、环境)审计舞弊和不合规调查质量审计外部审计协助管理审计组织人员的风险、控制、合规调查外包业务审计与国际财务报告标准的接轨可扩展商业报告语言的使用31内部审计在风险管理中作用的发挥内部审计的风险管理职责要考虑:组织规模、成熟程度、风险管理状况、风险影响程度及概率、组织文化、立场公告等。内部审计与组织的风险管理成熟度无意识、零碎的有管理的系统化的擅长应对风