搜索
企业内部控制与风险管理如来纳税人俱乐部蔡桂如2011919-20十分钟的悲剧2008年9月15日上午10点,拥有158年历史的美国第四大投资银行—雷曼兄弟公司向法院申请破产保护,消息转瞬间传遍地球的各个角落。令人匪夷所思的是,在如此明朗的情况下,德国国家发展银行(KFW)10点10分,居然按照外汇掉期协议的交易,通过计算机自动付款系统,向雷曼兄弟公司即将冻结的银行账户转入了3亿欧元。毫无疑问,3亿欧元将是肉包子打狗有去无回。转账风波曝光后,德国社会舆论哗然。销量最大的《图片报》在9月18日头版的标题中,指责德国国家发展银行是迄今“德国最愚蠢的银行”。法律事务所的调查员先后询问了银行各个部门的数十名职员,几天后,他们向国会和财政部递交了一份调查报告。报告并不复杂深奥,只是记载了被询问人员在这十分钟内忙了些什么——首席执行官乌尔里奇·施罗德:我知道今天要按照协议约定转账,至于是否撤销这笔巨额交易,应该让董事会讨论决定。董事长保卢斯:我们还没有得到风险评估报告,无法及时做出正确的决策。•董事会秘书史里芬:我打电话给国际业务部催要风险评估报告,可那里总是占线,我想还是隔一会儿再打吧。•国际业务部经理克鲁克:星期五晚上准备带上全家人去听音乐会,我得提前打电话预订门票。•国际业务部副经理伊梅尔曼:忙于其他事情,没有时间去关心雷曼兄弟公司的消息。•负责处理与雷曼兄弟公司业务的高级经理希特霍芬:我让文员上网浏览新闻,一旦有雷曼兄弟公司的消息就立即报告,现在我要去休息室喝杯咖啡了。•文员施特鲁克:10点03分,我在网上看到了雷曼兄弟公司向法院申请破产保护的新闻,马上就跑到希特霍芬的办公室,可是他不在,我就写了张便条放在办公桌上,他回来后会看到的。•结算部经理德尔布吕克:今天是协议规定的交易日子,我没有接到停止交易的指令,那就按照原计划转账吧。•结算部自动付款系统操作员曼斯坦因:德尔布吕克让我执行转账操作,我什么也没问就做了。•信贷部经理莫德尔:我在走廊里碰到了施特鲁克,他告诉我雷曼兄弟公司的破产消息,但是我相信希特霍芬和其他职员的专业素养,一定不会犯低级错误,因此也没必要提醒他们。•公关部经理贝克:雷曼兄弟公司破产是板上钉钉的事,我想跟乌尔里奇·施罗德谈谈这件事,但上午要会见几个克罗地亚客人,等下午再找他也不迟,反正不差这几个小时。•德国经济评论家哈恩说,在这家银行,上到董事长,下到操作员,没有一个人是愚蠢的。可悲的是,几乎在同一时间,每个人都开了点小差,加在一起就创造出了“德国最愚蠢的银行”。实际上只要当中有一个人认真负责一点,那么这场悲剧就不会发生。演绎一场悲剧,短短十分钟就已足够。贵州贫困村一枚公章分5瓣分由5人掌管将五瓣梨木合起来就成了一枚公章分成五瓣的圭叶村‘民主理财’章,甚称全球最牛这一下盖上去,票据就可报销了全面提升企业经营管理水平的重要举措•2010年4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》•该配套指引连同2008年5月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系施行日•2011年1月1日起境内外同时上市的公司•2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司•在此基础上,择机在中小板和创业板上市公司施行。•鼓励非上市大中型企业提前执行。•国务院国有资产监督管理委员会文件•国资发改革[2006]108号•中央企业全面风险管理指引•企业风险,指未来的不确定性对企业实现其经营目标的影响。企业风险分类•战略风险、•财务风险、•市场风险、•运营风险、•法律风险带来盈利机会?纯粹风险•(只有带来损失一种可能性)机会风险•(带来损失和盈利的可能性并存)企业内部控制规范体系基本规范应用指引审计指引内部环境类组织架构发展战略人力资源社会责任企业文化评价指引控制活动类资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包控制手段类全面预算合同管理内部信息传递信息系统基本规范主要内容•五个目标•五个原则五个要素•总计五十条•五个部门签发•五个五内部控制的定义•是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的5目标•合理保证企业•1、经营管理合法合规•2、资产安全•3、财务报告及相关信息真实完整•4、提高经营效率和效果•5、促进企业实现发展战略原则•全面性•重要性•制衡性•适应性•成本效益(一)全面性原则内部控制应当•贯穿决策、执行和监督全过程•覆盖企业及其所属单位的各种业务和事项(二)重要性原则•内部控制应当在全面控制的基础上,关注:•重要业务事项•高风险领域(三)制衡性原则内部控制应当在•治理结构、•机构设置及权责分配、•业务流程等方面形成相互制约、相互监督,同时兼顾运营效率(四)适应性原则•内部控制应当与•企业经营规模、•业务范围、•竞争状况•和风险水平•等相适应,并随着情况的变化及时加以调整。(五)成本效益原则内部控制应当权衡:•实施成本与预期效益•以适当的成本实现有效控制内部控制5要素内部环境---------重要基础风险评估---------重要环节控制活动---------重要手段信息与沟通------重要条件内部监督---------重要保证要素(一)内部环境•包括:•治理结构、•机构设置及权责分配、•内部审计、•人力资源政策、•企业文化等。内部环境是企业实施内部控制的重要基础要素(二)风险评估•风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。•是实施内部控制的重要环节要素(三)控制活动•控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。•是实施内部控制的重要手段要素(四)信息与沟通•信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。•是实施内部控制的重要条件要素(五)内部监督•内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。•是实施内部控制的重要保证内部环境组织架构发展战略人力资源社会责任企业文化指引第1号:组织架构•一、关于组织架构指引的现实和长远意义•第一,建立和完善组织架构可以促进企业建立现代企业制度•一个企业怎样才能永远保持成功呢?这就要靠制度。这个制度就是现代企业制度。现代企业制度•完善的企业法人制度---------基础,•有限责任制度------------------保证,•公司制企业-------------------主要形式,•产权清晰、权责明确、政企分开、管理科学---------------------------------条件•组织架构-----------------------核心•第二,建立和完善组织架构可以有效防范和化解各种舞弊风险。串谋舞弊是企业经营发展过程中难以避免的一颗“毒瘤”,也是内部控制建设的难点之一。2004年11月发生的震惊中外的中航油(新加坡)股份公司期权交易巨亏案就是一个典型。•第三,建立和完善组织架构可以为强化企业内部控制建设提供重要支撑。•组织架构是企业内部环境的有机组成部分,也是企业开展风险评估、实施控制活动、促进信息沟通、强化内部监督的基础设施和平台载体。二、组织架构的定义•企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排组织架构的本质•治理结构和内部机构治理结构即企业治理层面的组织架构。它是企业成为可以与外部主体发生各项经济关系的法人所必备的组织基础,具体是指企业根据相关的法律法规,设置不同层次、不同功能的法律实体及其相关的法人治理结构,从而使得企业能够在法律许可的框架下拥有特定权利、履行相应义务,以保障各利益相关方的基本权益。•内部机构则是企业内部机构层面的组织架构是指企业根据业务发展需要,分别设置不同层次的管理人员及其由各专业人员组成的管理团队,针对各项业务功能行使决策、计划、执行、监督、评价的权力并承担相应的义务,从而为业务顺利开展进而实现企业发展战略提供组织机构的支撑平台。企业应当根据发展战略、业务需要和控制要求,选择适合本企业的内部组织机构类型。三、组织架构设计与运行中的风险:•(一)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。•具体表现为:•1、股东大会是否规范而有效地召开,股东是否可以通过股东大会行使自己的权利;•2、企业与控股股东是否在资产、财务、人员方面实现相互独立,企业与控股股东的关联交易是否贯彻平等、公开、自愿的原则;治理结构风险具体表现•3、对与控股股东相关的信息是否根据规定及时完整地披露;•4、企业是否对中小股东权益采取了必要的保护措施,使中小股东能够和大股东同等条件参加股东大会,获得与大股东一致的信息,并行使相应的权利;治理结构风险具体表现•5、董事会是否独立于经理层和大股东,董事会及其审计委员会中是否有适当数量的独立董事存在且能有效发挥作用;•6、董事对于自身的权利和责任是否有明确的认知,并且有足够的知识、经验和时间来勤勉、诚信、尽责地履行职责;治理结构风险具体表现•7、董事会是否能够保证企业建立并实施有效的内部控制,审批企业发展战略和重大决策并定期检查、评价其执行情况,明确设立企业可接受的风险承受度,并督促经理层对内部控制有效性进行监督和评价;治理结构风险具体表现•8、监事会的构成是否能够保证其独立性,监事能力是否与相关领域相匹配;•9、监事会是否能够规范而有效地运行,监督董事会、经理层正确履行职责并纠正损害企业利益的行为;•10、对经理层的权力是否存在必要的监督和约束机制。组织架构设计与运行中的风险:(二)内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。内部机构风险具体表现•1、企业内部组织机构是否考虑经营业务的性质,按照适当集中或分散的管理方式设置;•2、企业是否对内部组织机构设置、各职能部门的职责权限、组织的运行流程等有明确的书面说明和规定,是否存在关键职能缺位或职能交叉的现象;•3、企业内部组织机构是否支持发展战略的实施,并根据环境变化及时作出调整;内部机构风险具体表现•4、企业内部组织机构的设计与运行是否适应信息沟通的要求,有利于信息的上传、下达和在各层级、各业务活动间的传递,有利于为员工提供履行职权所需的信息;内部机构风险具体表现•5、关键岗位员工是否对自身权责有明确的认识,有足够的胜任能力去履行权责,是否建立了关键岗位员工轮换制度和强制休假制度;内部机构风险具体表现•6、企业是否对董事、监事、高级管理人员及全体员工的权限有明确的制度规定,对授权情况是否有正式的记录;•7、企业是否对岗位职责进行了恰当的描述和说明,是否存在不相容职务未分离的情况;•8、企业是否对权限的设置和履行情况进行了审核和监督,对于越权或权限缺位的行为是否及时予以纠正和处理。(一)企业治理结构的设计的要求•1.企业治理结构设计一般要求治理结构涉及股东(大)会、董事会、监事会和经理层。企业应当根据国家有关法律法规的规定,按照决策机构、执行机构和监督机构相互独立、权责明确、相互制衡的原则,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序等。•从内部控制建设角度看,新设企业或转制企业如果一开始就在治理结构设计方面存在缺陷,必然会对以后企业的长远发展造成严重损害。•比如,在组织架构指引起草调研过程中,我们发现,部分上市公司在董事会下没有设立“真正意义上”的审计委员会,其成员只是“形式上”符合有关法律法规的要求,难以胜任工作,甚至也“不愿”去履行职能。•深交所《中小企业板上市公司内部审计工作指引》2007-12-26•第六条上市公司应当在董事会下设立审计委员会,制定审计委员会议事规则并予以披露。审计委员会成员应当全部由