搜索
财务风险管理潘飞2014年5月9日目录一、内部控制制度框架二、内部控制制度应用解析三、风险管理及案例分析一、内控框架1、内部控制制度产生背景2、内部控制制度框架内部控制制度产生背景•巴林银行案例巴林银行成立于1762年,在世界30多个国家和地区设有分支机构,从事多种银行业务,尤其擅长公司理财和投资管理,历来是伦敦金融中心位居前列的证券行,以其根基牢固、资金雄厚享誉世界。然而,1995年2月,由于巴林银行集团在新加坡的分支机构的总经理兼首席交易员里森在未经授权的情况下,擅自从事巨额的金融期货交易,结果因投资失败造成10亿美元的亏损,导致巴林银行破产。内部控制制度产生背景•巴林银行案例1992年新加坡巴林银行期货公司开始进行金融交易期货,由于里森业绩突出,巴林董事会采取一个政策,里森的操作可以先斩后奏,同时,让同时兼任前台首期交易员和后台结算主管的里森建立一个“88888”账户归结平时交易中的小错误。开户表格上注明此账户是“新加坡巴林期货公司的误差账户”,只能用于冲销错账,但这个账户却用来交易。内部控制制度产生背景•巴林银行案例里森通过指示后台结算操作人员在每天交易结束后和第二天交易开始前,在“88888”账户与巴林银行的其他交易账户之间做假账进行调整,里森反映在总行其他交易账户上的交易始终是盈利的,而把亏损掩盖在“88888”账户上。为了弥补亏损,里森铤而走险,未经批准就做风险很大的被称作“套汇”的衍生金融商品交易,放弃保值大规模买入日经225指数期货而卖出日本政府债券期货。内部控制制度产生背景•巴林银行案例在日经指数走势并未按照里森想法发展而造成亏损的时候,里森又试图通过大量买进的方法促使日经指数上升,但都失败了,最终造成了10亿美元的亏损,而整个巴林银行的资本和储备金只有8.6亿美元,最后巴林银行以1英镑的价格被收购。内部控制制度产生背景•巴林银行案例启示:监督松疏,控制不力对海外部运作监督非常松疏高额奖金的诱惑使高管不愿严加控制调查人员走过场权利过于集中奖金结构忽视企业风险系数没有专门的风险管理机制以应对可能的业务风险内部控制制度产生背景•1949年,美国会计师协会(AIA)在《内部控制---一种协调制度要素及其对管理当局和独立审计人员的重要性》的报告中,首次对内部控制作出了明确定义:•内部控制,包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。目的在于保护企业财产,检查会计数据的准确性,提高经营效率,促进企业执行既定的管理政策内部控制制度产生背景•两要素理论:•1958年10月,美国会计师协会(AIA)在《审计程序公告第29号》中,将内部控制划分为会计控制与管理控制两个组成要素•会计控制主要是指会计账务处理的控制程序与方法•管理控制是指企业经营效率的控制程序与方法内部控制制度产生背景•三要素理论:•1988年,美国AICPA在《审计准则公告第55号》中,将内部控制结构划分为三个要素:•控制环境-董事会、管理者、业主等人员对控制的态度与行为•会计制度-会计的账务处理程序与方法•控制程序-管理当局为达到一定目的而制定的控制程序内部控制制度产生背景•五要素理论:COSO(TheCommitteeOfSponsoringOrganizationsoftheTreadwayCommission):–1985年,美国五大会计职业团体为发起设立Treadway委员会,并成立了一个“发起组织委员会”,这是一个自发的民间组织,其目的是发起设立美国反欺诈财务报告委员会,并提供财务支持。内部控制制度产生背景•美国反欺诈财务报告委员会(NationalCommissiononFraudulentFinancialReporting)的成立:–由美国会计学会(AAA)、美国注册会计师协会(AICPA)、财务经理协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)于1985年发起设立–由包括来自产业界、会计师事务所、投资公司以及纽约交易所的代表的六个委员组成–主席由前美国SEC委员JamesTreadway担任,所以简称“Treadway委员会”–主要目的是研究导致财务报告欺诈的因素,为上市公司及其独立审计师、SEC及其他监管者、教育机构提供建议。内部控制制度产生背景•1992年,COSO在其研究报告《内部控制—整体框架》中,将内部控制定义为:由企业董事会、经理层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程•COSO研究报告将内部控制分为五个要素:控制环境、风险评估、控制活动、信息与沟通、监督。内部控制制度产生背景八要素理论:2004年,COSO委员会在其研究报告《企业风险管理框架》中将内部控制的要素进一步扩展为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个要素内部控制制度框架基本规范•应用指引•评价指引•审计指引基本规范《企业内部控制基本规范》《企业内部控制应用指引》18项应用指引《企业内部控制评价指引》《企业内部控制审计指引》二、内部控制制度应用解析基本规范•2008年5月,财政部、证监会、审计署、银监会、保监会联合正式发布《企业内部控制基本规范》•基本规范界定了内部控制的内涵•基本规范准确定位了内部控制的目标•基本规范确定了内部控制原则•基本规范构建了五大要素•基本规范明确了内部控制实施机制基本规范•界定内部控制内涵:强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,有利于树立全面、全员、全过程控制的理念;基本规范•定位内部控制目标:要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上,着力促进企业实现发展战略;基本规范•全面性原则:贯穿决策、执行和监督全过程,覆盖各个方面•重要性原则:关注重要业务与高风险领域•制衡性原则:在治理结构、机构设置、权责分配、业务流程各个方面相互制约与监督,并兼顾效率•适应性原则:与经营规模、业务范围、风险水平相适应•成本效益原则:权衡实施的成本效益基本规范•构建内部控制要素:有机融合世界主要经济体加强内部控制做法经验,构建以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架;基本规范•建立内部控制实施机制:要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监督部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告基本规范•基本规范确定了五大要素:•内部环境为重要基础•风险评估为重要环节•控制活动为重要手段•信息与沟通为重要条件•内部监督为重要保证,基本规范内部监督信息与沟通控制活动风险评估内部环境作业活动1作业活动2合规战略报告运营资产内部环境•治理结构•机构设置及权责分配•内部审计•人力资源政策•企业文化风险评估•企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。•企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。控制活动企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。信息与沟通企业应当建立信息与沟通制度。企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。内部监督企业应当制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。企业应当制定内部控制缺陷认定标准。内部控制缺陷包括设计缺陷和运行缺陷。二、内部控制制度应用解析内部控制应用指引是基本规范的具体细化,它包括以下三大类别:内部环境类:内部环境类指引有五项。控制活动类:控制活动类应用指引包括九项控制手段类:控制手段类指引有四项。二、内部控制制度应用解析内部环境类指引五项内容如下:应用指引第1号——组织架构;应用指引第2号——发展战略;应用指引第3号——人力资源;应用指引第4号——社会责任;应用指引第5号——企业文化。二、内部控制制度应用解析•公司治理架构股东大会董事会监事会审计委员会战略委员会薪酬委员会内部审计首席执行官提名委员会二、内部控制制度应用解析•组织架构,是指企业按照国家有关法律法规、股东大会决议和企业章程,结合本企业实际,明确股东大会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。二、内部控制制度应用解析不相容职务的原理:有些职务如同时由一人担任,其出现差错的可能性就大得多。二个人犯同种错误的概率比一个人犯同种错误的概率低。不相容职务分解到不同人来担任,将大大降低错误的可能性。二、内部控制制度应用解析岗位责任制的形式:在确定职责时应尽可能地细化、明确、周全,应考虑到责任和权利的匹配。应要求各人员阅读相关部分,并在阅读后予以签字,避免事后的推诿。二、内部控制制度应用解析组织结构设计一般与企业发展的不同时期有关:初期~生存风险,直线制,集权。目的:快速反应,规模小可直接控制。成长期~竞争压力,规模中等,直接控制不可能。优化流程,明确责权利,功能与组织划分合理。成熟及再创业期~做大,做强,安全持久经营环境,完善的内部控制体系,以制度运作企业。二、内部控制制度应用解析发展战略,是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的长远发展目标与战略规划。企业制定与实施发展战略至少应当关注下列风险:缺乏明确的发展战略或发展战略实施不到位,可能导致企业盲目发展,难以形成竞争优势,丧失发展机遇和动力。二、内部控制制度应用解析发展战略过于激进,脱离企业实际能力或偏离主业,可能导致企业过度扩张,甚至经营失败。发展战略因主观原因频繁变动,可能导致资源浪费,甚至危及企业的生存和持续发展。二、内部控制制度应用解析人力资源是指企业组织生产经营活动而录用的各种人员,包括董事、监事、高级管理人员和全体员工。企业人力资源管理至少应当关注下列风险:人力资源缺乏或过剩、结构不合理、开发机制不健全,可能导致企业发展战略难以实现。二、内部控制制度应用解析•欺诈威胁的渊源•内部威胁竞争者客户供应商董事会XX公司董事普通员工其他经理层管理层XX公司董事会•外部威胁虚假财务报告虚报费用开销贪污挪用公款操纵股价虚假发票工业间谍/赏金贿赂骗取信用二、内部控制制度应用解析G-Greed(贪婪)O-Opportunity(机会)N-Need(需求)E-Exposure(曝光)与个人强相关(潜在犯罪人)与组织强相关(潜在受害者)二、内部控制制度应用解析社会责任是指企业在经营发展过程中应当履行的社会职责和义务,主要包括安全生产、产品质量(含服务,下同)、环境保护、资源节约、促进就业、员工权益保护等。二、内部控制制度应用解析企业至少应当关注在履行社会责任方面的下列风险:安全生产措施不到位,责任不落实,可能导致企业发生安全事故。产品质量低劣,侵害消费者利益,可能导致企业巨额赔偿、形象受损,甚至破产。二、内部控制制度应用解析企业文化是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神,以及在此基础上形成的行为规范的总称企业文化建设至少应当关注下列风险:缺乏积极向上的企业文化,可能导致员工丧失对企业的信心和认同感,企业缺乏凝聚力和竞争力。二、内部控制制度应用解析控制活动类应