S-X法案与风险管理框架陈汉文经济学博士教授博士生导师厦门大学会计系主任一、引言二、COSO报告(IC-IF1992)出台背景•1.舞弊行为猖獗二、COSO报告(IC-IF1992)出台背景•2.风险与不确定性二、COSO报告(IC-IF1992)出台背景•3.CPA诉讼爆炸与审计目标的变化二、COSO报告(IC-IF1992)出台背景•4.《反海外公司腐败法》二、COSO报告(IC-IF1992)出台背景•反海外公司腐败法》与中国企业跨国经营••——以朗讯和中国人寿为例二、COSO报告(IC-IF1992)出台背景•《反海外公司腐败法》与中国企业跨国经营••建设银行案三、COSO报告(IC-IF1992)创新观点控制环境监控控制程序风险信息沟通通沟息信三、COSO报告(IC-IF1992)创新观点三、COSO报告(IC-IF1992)创新观点••1、定义:••内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的真实性、相关法令的遵循性等目标的达成而提供合理保证的过程”。三、COSO报告(IC-IF1992)创新观点•2、内部控制是一种“过程”,讲求的是达到结果的过程而非结果本身;•3、内部控制是受“人”影响的过程,是由“人”执行的过程而并非仅是政策手册与表格,它来自于组织内每一个阶层的人;•4、内部控制只能为企业管理阶层与董事会提供“合理保证”而非绝对保证;•5、不同类别的内部控制相互配合,以一种、多种或重叠性的类别达到多项管理目标(3目标)•6、软控制•7、内部控制的责任•8、柔和管理与控制的界限四、COSO报告(IC-IF1992)内容•(一)控制环境••控制环境是对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素,它是内部控制其他构成要素的基础,它的设计和运行,不仅会影响企业整体活动方式,而且对企业目标制定与评估风险、控制活动、信息与沟通系统,以及监督活动等都会产生重大的影响。四、COSO报告(IC-IF1992)内容•(一)控制环境•1.诚信的原则和道德价值观•2.评定员工的能力•3.董事会和审计委员会•4.管理哲学和经营风格•四、COSO报告(IC-IF1992)内容•(一)控制环境•5.组织结构•6.责任的分配与授权•7.人力资源政策及实务四、COSO报告(IC-IF1992)内容•(二)风险评估•任何企业,不论其规模、结构、性质或行业如何,都会面临来自内部和外部的不同风险。•风险是客观存在的,而管理者的每一项决策本身就在创造风险,从而企业管理者只能谨慎地接受风险,并将风险维持在一个合理的水平之内,因此风险评估应该成为内部控制的主要组成部分。四、COSO报告(IC-IF1992)内容•(二)风险评估•风险是不能实现目标的可能性,企业管理者在制定与其销售、生产、行销、财务等作业相结合的目标时,必须设立可辨认、分析和管理相关风险的机制,以了解自身所面临的风险,并适当加以处理。•环境控制和风险评估,是提高提高企业内部控制效率和效果的关键。四、COSO报告(IC-IF1992)内容•(二)风险评估•1.目标•2.风险•3.环境变化后的管理四、COSO报告(IC-IF1992)内容•(三)控制活动四、COSO报告(IC-IF1992)内容•(三)控制活动••控制活动是指管理者对所确认的风险采取的必要措施,是帮助管理者确保各项指令能被执行的政策和程序。••控制活动出现在整个企业内的各个阶层与各种职能部门,包括诸如核准、授权、验证、调节、复核营业绩效、保障资产安全以及职务分工等多种活动。四、COSO报告(IC-IF1992)内容•(三)控制活动••控制活动包括政策和程序两个要素,政策规定应该做什么,程序则使政策产生效果,政策是程序的基础。•政策可能书面规定,也可能只是一个口头的指令而已,但无论政策是否做成书面,都应该前后一贯、彻底地加以执行。四、COSO报告(IC-IF1992)内容•(三)控制活动•政策一般针对某种情况,而执行程序必须视当时情况而定,如果只是机械地、被动地执行程序也不会取得理想的效果。四、COSO报告(IC-IF1992)内容•(三)控制活动•控制程序是针对关键控制点而制定的,因此,企业在制定控制活动时关键就是要寻找关键控制点。•四、COSO报告(IC-IF1992)内容•(三)控制活动•内容一般包括:•(1)经济业务和经济活动的授权、批准;•(2)明确有关人员的职责分工,并有效防止舞弊;•(3)凭证和账单的设置和使用应保证业务和活动得到正确记载;•(4)财产和记录的接触使用要有保护措施;•(5)对已登记的业务及其计价要进行复核,等等。四、COSO报告(IC-IF1992)内容•(四)信息与沟通•四、COSO报告(IC-IF1992)内容•(四)信息与沟通•围绕在控制活动周围的是信息与沟通系统,这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息,并相互交换这些信息。••企业的信息系统不仅是企业控制环境建设的一个重要方面,同时也是企业内部控制的一项要素,是企业内部控制过程的一个部分。四、COSO报告(IC-IF1992)内容•1、一个良好的信息系统应能确保企业中每个人都清楚地知道其所承担的特定职务;•2、它不仅要有向下的沟通渠道,还应该有向上的、横向的以及对外界的信息沟通渠道。•3、会计信息系统为企业提供成本信息、营运信息、生产信息、库存信息等,是企业信息系统最为重要的组成部分。四、COSO报告(IC-IF1992)内容•(五)监督•1.持续的监督活动•2.个别评估•3.报告缺陷四、COSO报告(IC-IF1992)内容•(五)监督•企业内部控制是一个过程,这个过程是通过纳入管理过程的大量制度及活动实现的。••因此,要确保内部控制被切实地执行且执行的效果良好、内部控制能够随时适应新情况等,整个内部控制的过程必须施以恰当的监督,通过监督活动在必要时对其加以修正。五、2002年的萨班斯—奥克斯利法案(Sarbanes-OxleyActof2002)•1、302条款和404条款要求公众公司管理当局对企业内部控制的有效性进行披露报告,注册会计师必须对该份报告进行审计。•2、在实践层面,美国证券交易委员会(SEC)通过制定规则(rules)来具体执行萨班斯—奥克斯利法案302和404条款,这些规则为CEO和CFO对主体财务呈报内部控制(entity’sinternalcontroloverfinancialreporting)和披露控制(disclosurecontrol)的报告提供了指南;•五、2002年的萨班斯—奥克斯利法案(Sarbanes-OxleyActof2002)•3、公众公司会计监管委员会(PCAOB)通过为注册会计师制定审计准则,直接影响注册会计师该类审计合约的计划与实施;•4、COSO委员会制定内部控制标准框架,作为管理当局和注册会计师进行内部控制评价的基础。第1:SEC--“财务呈报内部控制”的操作性定义•第2:年报—10K•萨班斯法案404条款要求首席执行官(CEO)和首席财务官(CFO)对主体财务呈报内部控制的有效性进行评价和报告,该份报告包括在公司按年度递交给SEC的10K表(Form10K)中。第3:实施时间第4:季度报告—10Q•第5:信息披露委员会•第6:两个书面证明•除了对披露控制和程序以及财务呈报内部控制进行报告外,SEC还要求公司的主要执行官和主要财务官签署两个书面证明,包括在公司的10Q和10K表中。这两个书面证明保证为萨班斯法案302和906条款所要求。•六、COSO——企业风险管理综合框架(ERM-IF,2004)伟大的爱情及伟大的成就,都伴随着巨大的风险!----《魔戒》想赢得更多,有时就得冒更大的风险。----比尔·盖茨COSO的ERM介绍•定义:•ERM是一个在战略决策以及在整个组织中贯穿实施的过程,被设计用于确认影响组织的潜在事件,将风险控制在组织风险偏好的范围内,为组织目标的实现提供合理的保证。•ERM受到组织董事会、管理层以及其他人员的影响。•ERM是一个渗入到组织各种活动中的一系列行动•ERM受到组织中人的影响,同时也影响着人们的行动•在战略设置时实施ERM•在整个组织中实施ERM•风险偏好•提供合理的保证•四种目标•内控环境①⑤风险反应⑥控制活动目标制定②事项识别③⑦信息与沟通⑧监控和稽核风险评估④必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。内部环境包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。管理当局选择风险应对——回避、承受、降低或者分担风险——采取一系列行动以便把风险控制在主体的风险容限(risktolerance)和风险容量以内。制订和执行政策与程序以帮助确保风险应对得以有效实施。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。企业风险管理--目标的实现风险管理的新格局旧新连续的风险管理过程是持续不断的整体的风险管理是整合高层主管的宏观视角,并把风险管理变为组织内每个人工作的一部分片面的风险管理仅由财务、资产、内审等部门各自独立操作随意的风险管理的执行是由主管个人判断何时需要全面的专注考量所有业务的风险与机会狭义的专注主要应用在可投保的风险及财务的风险上ERM步骤1•目标设定:•步骤2•风险识别:步骤3步骤4步骤5•持续监督--由部门副经理负责复核•独立监督--内部审计部门进行控制自我评估(CSA)、风险自我评估(RSA)•CSA是1987年由加拿大海湾公司首先采用的,当时称为推动会议自我评估法。1.什么是CSA2.CSA的形式3.CSA的常用方式4.CSA的优点及缺陷七、山西票号案例分析目录•第一部分:控制环境•第二部分:风险评估•第三部分:控制活动•第四部分:信息与沟通•第五部分:监督控制环境主要内容•一、操守与价值观•二、管理哲学与经营风格•三、财东与掌柜的关系•四、胜任之承诺一、操守与价值观•老乞丐的故事•(一)行为守则•(二)与各界的关系•在处理各方关系的时候,晋商策略非常老到。•2、对竞争者••3、对员工(三)动机和诱因二、管理哲学和经营风格•(一)管理哲学•山西票号安全哲学的主旨就是保证商事活动在未发生变异的“安全状态”或“准安全状态”下,提前对已经或即将发生的非安全状态的防范和补救。这同中国道家哲学所强调的“治于未乱”的安全思想是一脉相承的。(二)稳健的经营风格三、财东与大掌柜的关系四、胜任之承诺•(一)职责的界定•(二)掌柜的遴选(三)其他人员的培养风险评估主要内容•一、整体风险及其管理•二、作业层级风险及其管理•三、对改变的管理一、整体风险及其管理•(一)整体目标:获利•在《晋商兴衰史》中这样写到“商人经营的目的是获取利润,山西商人以他们的精明,在商业经营中获取了较大利润。从而为扩大经营积累了相当数额的资本”。可以看出,对商人们来说,票号的整体目标还是获利。票号首先要存在,在生存的基础上获利,同时获利又能保证票号的生存。百年老店的回味,辉煌中的叹息声。••(二)外部风险•1、经济环境风险•行会制度•2、政治环境风险•政商联营•(三)内部风险•1、委托代理中的道德风险•(1)“顶身股”激励制度•(2)赏罚分明的约束机制•2、经营风险•(1)苛刻的录用制度•(2)全面的培训制度•(3)严密的规章制度二、作业层级风险及其管理•(一)作业层级目标:防范各种具体经营风险