内控和企业风险管理讲座

内控和企业风险管理讲座（2006-6-23）目录一、COSO主席LarryE.Rittenberg博士演讲-2第一部分SEC和PCAOB关于内控的规定-2-第二部分COSO的内控框架-5-第三部分企业全面风险管理及其与COSO内控框架的关系-17-二、问题解答-33-1LarryE.Rittenberg博士的演讲各位好！首先，我非常荣幸能够造访这个伟大的国家，也非常高兴今天能够在此为大家做关于内控和企业风险管理的讲座。今天的讲座内容，主要分为三个部分：第一部分是讲解美国内控的相关规定，以及为什么这些规定与中国石油密切相关；第二部分是介绍COSO内控的框架；第三部分是从更广泛的意义上介绍一下COSO企业风险管理的框架，以及内控和风险管理框架如何共同作用，来为我们公司的企业服务。所以我想达到的四个目标就是：帮助大家了解COSO模型、系统的风险评估方法、内控评估、以及如何在实践中学习和提高。第一部分SEC和PCAOB关于内控的规定我们实施内控的直接原因，是2002年SEC开始实施的萨奥法案。我们首先需要了解的主要问题是：为什么我们认为这个法案是有必要的，它想达到怎样的目标？萨奥法案之所以必要，第一个原因，是为避免企业的财务报告出现重大缺陷，而企业之所以产生缺陷的原因便是没有很好的内控机制。第二个原因是即使企业有了很好的内控机制，但企业的管理层可能无视财务报告中出现的问题，而按照他们的想法修改财务报告。第三个原因是公司的治理和监督不够，尤其体现在公司的董事会和审计委员会没有充分发挥他们的治理和监督的作用。第四个原因，就是公司应当对委托其保护和使用资源的委托人负责。我认为这一点是非常重要的。萨奥法案对管理层的首要要求，是管理层应当做出承诺。首席执行官（CEO）和首席财务官（CFO）在发布年度或季度财务报告时，必须表明，在他们的认知范围内财务报告不含任何虚假成分。他们必须以书面方式表明公司恰当地执行了内部控制，并报告内控的任何变更。这也正是今天在座各位所做的工作。关于此点，我2想说明一下，公司的首席执行官或首席财务官往往是依靠下级单位或下属各级领导提供的对财务信息的保证来出具他们自己的保证。这样做的优点是公司的每个人都会对他们自己负责的工作承担相应责任。但这种做法也有弊端。由于存在这种机制，我们每个人都只对自己所做的工作负责，而不是从公司整体出发考虑如何把控制工作做到昀优化、昀有效率。然而，有些公司把做内控看作是业务流程标准化的机会，使各部门的工作产生很好的互动。所以，公司的每个人都不仅应了解自己的业务，也应了解自己业务与相关部门的关系，才能更好地执行内控。第一点，关于404条款的内容。404条款主要内容是两点。第一点是，每份年度报告必须包含由CFO和CEO签字的内控报告。报告必须对现行内控制度的建立和维护以及过去一整年控制的有效性做出肯定的声明。第二点是，报告出具单位的外部审计师必须对内控报告加以证明。其中很重要的问题是要提供足够的证据，来证明内控制度已建立并得到很好的维护。第二点，萨奥法案的一项重要规定是举报规定。之所以做出举报规定，是因为存在这样的事实：对一些舞弊现象，公司的很多成员是知道的，但没有一种有效的方式让董事会也充分及时地了解到存在这些舞弊。所以必须建立一种制度，使公司的情况可以匿名地报告给独立于公司的外部人士。举一个简单的例子，如果在公司的采购过程中出现问题，就有人可以利用这条渠道进行报告。为了公司的有效管理，必须由独立的人士进行相应监督。这样做的原因是，在美国和其他国家出现的情况表明，有些对公司不利的不当行为是公司的昀高管理者做出的，所以要有独立的审计委员会对其进行检查和监督。萨奥法案规定，出具财务报告的单位必须向审计委员会提供独立的经费来支持其进行必要的调查。第三点，对缺陷的纠正。PCAOB对缺陷是有明确标准的：“设计缺陷”是指缺失必要的控制或者现有控制设计不当，致使即使按照设计执行了内控也不能达到目标。“运行缺陷”是指某一恰当设计的控制要么没有按照设计运行，要么实施该控制的人员不具备有效实施3控制的必要授权或资格。下面介绍内控缺陷，以及他们重要到什么程度时必须报告。“缺陷”按照其重要性而言，可分为“一般缺陷”（即不重要的缺陷）和“重大缺陷”。PCAOB对何为“重大缺陷”有着明确规定：“重大缺陷”是指一种严重影响公司根据公认会计准则要求对财务报告数据进行可靠的初始化处理、授权、记录、处理和报告的能力的一个或多个控制缺陷的汇总。重大缺陷有一定可能性导致不能防止或发现错报金额大于“不重要”的年度或中期财务报告的错报。SEC和PCAOB根据一个流程来对缺陷进行评估。另一个重要的概念是“实质性漏洞”。“实质性漏洞”是指导致无法预防或发现年度或中期财务报表重大错报的可能性“大于微小”的一个重要缺陷或多个重要缺陷的组合。在此我想说明一点，实质性漏洞并不一定意味着对财务报告影响的数量上很大。这主要是涉及到披露的要求，例如壳牌石油对他们的石油储量的披露曾有不真实的信息。有人主张以5%的净收入作为标准，但这只是个起点。财务报告中所出现的问题，更严重的影响是外部将对公司未来做出的预期和判断。小结：首先管理层必须识别其对财务报告的内部控制，并将内控的设计和运行文档化，然后评估内部控制设计的有效性，并纠正任何设计缺陷；在缺陷被纠正后要确定控制发挥了恰当的作用，并评估缺陷的性质。第四点，公司高管的腐败问题。这个问题之所以重要，是基于三个原因：第一是财务报告的结果是不可以重复的，第二是对资金的不当使用是对投资者不负责任的行为，第三是公司的所有者有权知道公司的管理层正在为他们追求昀大化的利益。可能出现的问题就是，在财务报表中出现了不真实的情况，而公司的管理层没有及时地发现。产生这种情况的原因可能并不是公司财务报表本身的问题，而是公司的内控制度的不健全，从而使这种情况得以发生。4昀近我参加了SEC和PCAOB成员参加的一个圆桌会议，会议阐明对实质性漏洞做出新的更明确的规定是非常重要的，也强调了自上而下基于风险的审计方法是非常重要的。这正是今天讲座主要包括的内容。第二部分COSO的内控框架第一点，COSO的内控立方体模型及其应用。COSO委员会对控制整体框架的建立始于1992年，我们之所以建立该框架是基于两点理由：我们想发展一套内控框架的基本原理，并建立共同的概念来评估内控工作。内控是一个过程，一种流程。内控的框架是为实现一定目标而设立的，首要目标是经营的效率和效果，第二个目标是财务报告的真实性，第三个目标是符合公司的规定以及国家政府的规定。萨奥法案主要规定的是财务报告的真实性、合规性，但是我想对于公司的发展来说，公司经营的效率和效果意义是同样重大的。我们看到有的公司的财务控制和运营控制基本是整合的，这样就存在一个挑战，即怎样才能将上述目标做的更好。我们看到COSO内控体系立方体模型的正面就是内控的五个要素：控制环境、控制活动、风险评估、信息与沟通以及监控，这是公司每个业务都包含的五个内容。但是，有这样的一个有效的内控制度，并不意味内控从此不出现问题，而是要求在出现问题时应及时有效地加以纠正。所以我们用下列标准来评价对财务报告内部控制的有效性：内控的五个组成要素共同发挥作用，并合理地保证公司实现其财务报告目标。归根到底，内控是否有效是由公司的昀高管理层推动并做出判断的。第二点，详述内控框架的执行流程，以及适用于中小企业的COSO框架。一、整体流程和目标首先管理层提出财务报告的目标，这些目标主要是根据监管部门提出的要求达5成的，实施内部控制以确保财务报告的可靠性和准确性。内部控制旨在防止或发现并改正财务报表中可能存在的错报。实现这些目标是存在风险的，例如，有些交易没有被完整记录，管理层对报告未能足够重视，以及没有对会计做法进行系统的评价。正是因为存在风险，我们才需要进行内部控制，内部控制是对风险的一种反映。二、流程（一）有效的内控的目标是真实的财务报表在如何确定风险方面，我们需要做到覆盖有关财务报告的所有因素，例如从总账到账户余额。（二）设定目标今年7月11日COSO即将出台的新规定，是基于1992年COSO的规定。虽然是针对中小型企业的，但我认为它同样有助于我们对内控进行更好的测试、运行和管理。在新的规定中，我们会提到，在确定目标后，我们需要确定影响目标的风险，主要基于以下原则：第一点是确定财务报告的目标，包括适用美国会计准则进行披露的结果；第二点是识别影响财务报表真实性目标的风险，包括公司的主要流程、公司的员工和激励机制以及其他相关的技术因素。第三点是要识别对公司产生重大影响的舞弊行为。是否将舞弊风险作为一条确定为影响目标的风险，COSO委员会曾有过辩论，但由于舞弊的影响重大，还是讲起确定下来。舞弊行为包括两个方面，一方面是公司内部的舞弊行为，另一个方面是提供不真实的财务报告。另一个因素可能被大家忽视，即监控。也就是说，当一个有效的内控制度建立起来后，应对内控实施监控，以保证其持续有效地起作用。只有通过监控，才能保证运营效率的提高，也保证公司更加符合萨奥法案提出的要求。下面将就流程图的6每一部分加以讲解。（三）识别风险以实现目标第一，关于如何确定影响财务报表的风险。之所以需要风险评估，是因为每个公司会面对来自内部和外部的、各种各样的风险，必须对其进行评估。风险评估是识别和分析影响目标实现的相关风险，为明确如何管理风险打下基础。具体包括下列方面：识别财务报表的目标、识别哪些威胁目标实现的风险、识别和评估对公司有影响的舞弊。风险评估的意义在于，组织中的管理层和其他人均应了解影响财务报表目标实现的主要风险。风险的识别是一个起点，自此开始制定控制活动和流程，以尽可能减少实现财务报表目标的风险。规模较小的公司所面临的主要风险包括但不限于：管理层的独断专行、员工所犯的错误或舞弊行为（通过职责分离通常可减少这些行为）、不一致的流程、由于缺乏有资质的员工而导致会计判断的失误。第二，流程中强调激励和约束。激励和约束是我在世界各地进行COSO内控讲座时经常提到的。当然我对各国不同的文化和公司内部不同的情况的不一定能够全部了解，这也是我在今后几年中需要多了解的。我想强调，如果管理层不去考虑一些行为的动机的话，将会对公司产生很大的风险。举个例子，在美国，公司对高层管理人员的期权是一种主要的激励机制，所以就可能出现一种问题，如果高层管理人员想使他们期权的价值昀大化，他们就可能用尽办法来推高股票价格，从而出现一些不诚实的行为，比如虚报公司的盈利，而这也就是安然事件出现的重要原因。另一个例子是世通公司，他们的情况更加严重，世通管理层直接参与了制作虚假的财务报告。所以，公司如何为各级管理人员提供适当的补偿机制是非常必要的。公司可能有不同的目标，但首要的目标是盈利、环保和公司的持续发展。如果7地区公司的领导的评估标准是基于产量，他们就可能追求产量的昀大化，而不是去追求利润的昀大化。所以出具真实的财务报告只是COSO框架中目标的一部分，我认为非常重要的一点就是，要使对公司员工和管理层的激励机制，与公司的发展目标相一致。（四）执行有效的控制环境是防范风险的首要防线关于控制环境，我们规定了七个原则。控制环境的定义是五个要素中昀重要的因素，控制环境确定了管理层的基调，并影响人们的控制意识。这是所有其它内控要素的基础，提供了规则和结构。现将七个原则详述如下：第一，健全的道德观和诚信的文化。组织应具有明确的价值观，监控各项活动，并采取措施。第二，有效而独立的董事会。应建立独立而有效的监督机制。需要说明的是，独立而有效的监督，可以是来自于公司外部的机构或个人，也可能来自于公司的拥有者，例如政府。第三，管理层的运行方式促进良好的控制。管理层应设定目标，并为各项活动设定一个基调。第四，企业文化有助于财务报表目标的实现。组织结构应支持控制流程。企业文化指的是公司有健全的机构来更好地满足控制的要求。第五，对财务报表资格能力的承诺。第六，权限和责任的分配与财务报表的目标是一致的。权限和责任的分配是从董事会和财务总监开始的。对这种权责分配的举例说明，即在公司里可能是只有一小部分人才有权进行