企业内控与风险管理

1企业内部控制与风险管理林斌2010年10月10日2简历1997年，毕业于厦门大学会计系，获经济学（会计学）博士学位。现任中山大学会计学系教授、博士生导师、系主任、MPAcc中心主任，兼任财政部企业内部控制标准委员会专家咨询组成员、广东省内部审计协会副会长、广东省审计学会副会长。白云机场等多家上市公司独立董事。曾在美国哈佛大学商学院、德州大学管理学院进修、学习。主要研究领域：内部控制与风险管理、战略管理会计、资本市场与会计信息等。Tel:13392105286E-mail:chinalinbin@gmail.com23内容提要原理企业内控与ERM框架法规主要内控法规与指引实务构建与实施4小案例中信泰富事件2008年10月，中信泰富发布声明，集团董事和财务总监私自与香港多家银行订立累积外汇期权合约，导致集团损失155亿港元。为什么关注内部控制？5荣智健09年2日，中信泰富在港交所网站发布公告，香港证监会对公司展开正式调查，当中涉及董事会主席荣智健、其长子荣明杰及集团董事总经理范鸿龄，以及七位执行董事和七位非执行董事4月8日，荣智健已辞任董事会主席职务星岛网讯中信泰富涉串谋欺诈，荣智健可能被监禁14年6中信泰富中信泰富於香港注册成立，联交所上市，并为恒生指数成份股之一。最大股东为中国国际信托投资(香港集团)中信香港持股比例为29%；管理层持股比例为22%；私人及机构投资者持股比例为49%。业务包括投资物业、基础设施、能源项目、环保项目、航空以及电讯业务。7中信泰富特钢制造铁矿石开采物业航空基础建设发电其他上市子公司江阴兴澄钢厂新冶钢石家庄钢厂中澳铁矿项目香港中国大陆国泰航空香港空运货站隧道环境保护发电厂澳门电讯中信国安中信资本大昌行集团中信16168解读中信泰富外汇杠杆合约中信泰富的澳元合约（Accumulator），行权价0.87美元/澳元，若澳元升值，中信泰富会获利，但其总利润会被封顶，而一旦汇率下跌，则中信泰富必须每月（部分是每天）以0.87的高价加倍接澳元仓位，最高累计额可达94.4亿澳元。9Ikillyoulater？10中泰事件分析内部控制与风险管理失败重大事项决策中的治理缺陷（授权与责任问题）荣智健认为外汇期权投资是财务董事“自作主张，并不是通过合法途径”；同时认为，“经过内部审计，证实没有诈骗”。信息披露问题公司在发现巨额亏损6周之后（9月7日已获知可能面临巨额亏损），才对外公布事件，显示内部监管存在漏洞。牵制问题荣方明任中信泰富财务主管，若对财务董事张立宪、财务总监周志贤的交易不知情，为何要调离并受降职和减薪处分。实时监控；风险管理员汇报线路、薪酬体制和考核上应完全与交易员的汇报线路分开。11中泰事件分析（续）内部控制与风险管理失败（续）制度执行问题公司规定1000万美元以上的合同，应由董事长批准与13家银行一起签单，没有向董事会、交易银行披露张立宪6月底前也做过类似交易并赚过钱，但是没有在公司会计报表中体现出来，所赚的钱放在准备金账户，而不是损益账户，表现为降低澳矿投资的成本澳元已跌3个月，为什么没有及时制止进一步亏损内部交易问题10月21日，中信香港增持200万股，荣增持100万股，分别作价7.392与7.371港元，10月27日中信香港董事蔡星海以3.73港元增持10万股。12西门子全球贿赂案“历史最大”还是“冰山一角”08年12月16日，西门子承认其故意规避及未能对公司内部实施合理控制，违反《国外反贿赂法案》中关于账目记录的规定。支付罚金3.5亿美元结束SEC的民事指控支付约4.5亿美元刑事罚金结束司法部的指控在德国慕尼黑，同意支付3.95亿欧元罚金内部调查、律师费用等约10亿美元13内部监控与风险管理1415什么是内部控制？内部牵制内部控制内部控制结构内部控制的完整框架（旧COSO报告）企业风险管理（新COSO报告）16日昇昌17晋商的信用体系学徒：从本地找，要有保人管理者：主要从内部产生掌柜：考察祖宗几代人员工：在本地娶妻身股：激励与约束机制关公：保平安、监督商会：情感交流网、约束网归宿：落叶归根，光宗耀祖18内部牵制1905年，L.R.Dicksee最早提出内部牵制（InternalCheck）的概念职责分工会计记录人员轮换内部牵制的两个设想是两个或两个以上的人或部门无意识地犯同样的错误机会较少；两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个或部门舞弊的可能性19内部控制的完整框架1992年，COSO提出了著名的“内部控制的完整框架”的研究报告，1994年进行了增补。COSO报告提出内部控制的目标有三个：提高经营效率，取得好的经营效果合理保证财务报告的可靠性遵循有关的法规制度20内部控制的完整框架（续）内部控制的要素内部环境风险评估控制活动信息与沟通监督212223控制环境内部环境评估关注要点诚信与道德价值观胜任能力董事会或审计委员会管理层的理念和经营风格组织结构责任的分配和授权人力资源政策和实践24企业风险管理2003年7月美国COSO颁布了企业风险管理框架的讨论稿，并于2004年4月颁布正文。同1992年的COSO报告相比，新的COSO报告增加了一个观念、一个目标、两个概念和三个要素25ERM的定义企业风险管理的定义一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程26ERM的目标ERM的目标战略目标经营目标报告目标合法性目标27ERM的主要内容ERM的构成要素内部环境目标制定事项识别风险评估风险反映控制活动信息和沟通监控28ERM的目标（续）战略目标高层目标，与实体使命、构想一致并支持前二者。战略目标反映了管理者关于实体如何为股东创造价值的选择。经营目标这些属于实体经营的效力、效率，包括业绩盈利目的及保护资源避免损失。他们基于管理层关于结构和绩效的选择而变化。29ERM的目标（续）报告目标这些属于报告可靠性。他们包括内外部报告，可能包括财务和非财务信息。依从目标这些属于坚持相关法律规则。他们依赖外部因素，有时整个实体有时一个产业目标趋同。30企业风险管理31校训、战略与企业文化MissionAgeneralobjective,visionary,oftenunwritten,andveryopen-ended,withoutanytimelimitforachievement.CorporateobjectivesUnitobjectives使命传承一种人文精神，简单、易记企业的成功（包括品牌）：把握了产业的本质知识拓展世界银行项目FR·FA·MIS中山大学课题组32校训、战略与企业文化（续）校训哈佛：与柏拉图为友，与亚里士多德为友，更要与真理为友(AmicusPlato,AmicusAristotle,sedAmicusVERITAS)清华：自强不息，厚德载物厦大：自强不息，止于至善再看国家会计学院、其他高校、单位……运动品牌阿迪达斯：一切皆有可能（没有不可能）耐克：释放潜能李宁：中国新一代的希望、运动之美世界共享、我运动我存在、把精彩留给自己、出色源自本色、因为专业，一切皆有可能、MakeTheChange33校训、战略与企业文化（续）34中海壳牌风险评估矩阵结果可能性严重性人员环境成本(美元)工期声誉ABCDE在行业中从未发生过单经在石油工业中发生单纯在股东企业发生每年在股东企业发生几次每年在当地发生几次概率小于1%概率小于10%有可能在每个项目中发生每个项目发生多于一次0.1%1%10%100%100%1轻微轻微200.0003小时轻微2中度(RWC)小的单元的影响0.2-2million3-24小时有限影响持续改进3重大伤害LTI区域内影响2-20million1-10天相当的影响联合改进措施尽量降低4PTD/单个死亡区域外大的影响20–200million10天-3月国内影响寻求替代措施立即采取措施5群死重大影响200million3月国际影响35风险记录簿（影响力—可能性）索引风险影响力可能性%风险值风险规避措施执行人日期检查KPI风险1风险2目标：大大小风险1风险2风险3风险4风险5风险6影响力可能性基本业绩指标声誉技能变革36风险导向审计方法36了解企业业务目标了解业务战略了解企业商业模式了解战略组织结构了解战略的关键成功因素分析风险来源和如何威胁企业达成战略目标评估风险对达成战略目标的影响评估风险发生可能性了解风险的性质了解管理层对风险的反应和责任评估企业内部控制框架分析剩余风险审计项目排优分配资源到风险领域获得审计委员会批准分析业务流程评估内部控制设计识别内部控制设计可改进的领域识别关键控制点测试关键控制点果效记录审计结果向管理层报告提出建议及分析管理层的回应评估管理层整改计划向审计委员会报告识别关键整改计划跟踪关键整改工作是否完成向管理层和审计委员会报告风险分析图及风险登记册审计计划审计报告战略分析企业风险评估制定内部审计计划执行内部审计审计报告跟踪解决问题使风险受控制企业层面内部控制框架结构分析流程/营业场所/交易层面战略分析备忘录审计记录37COBIT4.1COBITControlObjectivesforInformationandRelatedTechnology(信息与相关技术的控制目标)ISACA(信息系统审计与控制协会)1967年设立1992年发布最初版本2003年发布第三个版本2005年11月发布第四个版本（cobit4.0）2007年COBIT4.138COBIT的三维框架图39COBIT框架和组成部分COBIT框架的功能IT4个领域、34个IT流程、318个控制目标7类信息标准管理指南当中的衡量标准、关键成功因素和成熟度模型、审计指南当中的通用审计方法IT过程、IT目标与IT资源关系汇总表（NEXT，P：主要的；S：次要的；√：涉及）40域IT过程IT目标IT资源有效性效率性机密性完整性可用性遵循性可靠性应用信息设备人员规划与组织P01P02P03P04P05P06P07P08P09P010定义IT战略规划定义信息体系结构确定技术方向定义IT流程、组织与关系管理IT投资通讯管理目标与方向管理IT人力资源质量管理评估与管理IT风险项目管理PSSPSPPPPPPPSPSPPPPSSSSPPPSSPP√√√√√√√√√√√√√√√√√√√√√√√√√√获取与实施A11A12A13A14A15A16A17确定自动化的解决方案获取与维护应用程序软件获取与维护技术基础设施授权操作与使用获取IT资源改变管理系统的安装与鉴定及改变PSPPSSSPSPPSSSSSPSPPPPSPSSS√√√√√√√√√√√√√√√√√√√交付与支持DS1DS2DS3DS4DS5DS6DS7DS8DS9DS10DS11DS12DS13定义并管理服务水平第三方服务管理性能与容量管理确保服务的持续性确保系统安全确定并分配成本教育和培训用户服务台与突发事件管理配置管理问题管理数据管理物理环境管理操作管理PPSSSSSPPSSSSSPPSPSPPPSSSPPPSPPPSSSPPSPPPPPPSS√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√√监控ME1ME2ME3ME4IT绩效监督与评价内部控制监督与评价确保法则的遵循提供IT治理PPSSSSSPPSSSSSPSPPSSSSS√√√√√√√√√√√√√√√√41内容提要原理企业内控与ERM框架法规主要内控法规与指引实务构建与实施42中国主要的企业内部控制规范时间文件名称发件单位2010/4企业内部控