32
小结
• • • • 目标越来越高，范围越来越宽； 从单一机构主导，到多方合作； 丑闻、灾难促发进步； 美国即西方，美国即国际。
33
中国人的特点对于内控的影响
• • • • • 规则与人情 精确与模糊 坦率与委婉 冒险与中庸 解剖与系统
• 请评阅《兰德公司对中国人的评价》
面子，信仰，诚信，教育……
• 政出多门，群雄割据； • 自上而下，上热下冷； • 邯郸学步，亦步亦趋。
39
困惑
治理还是控制？ 指引、施行？自愿还是强制？ 企业内部控制还是政府外部控制？
40
上交所2006年指引的执行情况
• 强制要求披露内控制度实施情况，结果却 被许多公司不理不睬。
• 业绩好的公司披露得多；注册会计师鉴证 报告，全部通过，都没有重大缺陷！ • “报喜不报忧，家丑不外扬” • “要我做”，不是“我要做”
62
内部控制与公司治理
• 治理解决（内外、大小）股东之间、股东 与经营者之间关系 • 内控帮助董事会、高管“向下”的问题 • 治理是根源、是体制 • 治理是“神仙打仗”，内控
解决不了公司治理的问题。
63
“中航油事件”的反思
案例
• 中航油新加坡公司于2001年底获批在新加 坡上市。在取得中国航油集团公司授权后， 自2003年开始做油品套期保值业务。但总 裁陈久霖擅自从事石油衍生品期权交易。 2004年12月，投机亏损5.54亿美元，向新加 坡证交所申请停牌，向当地法院申请破产 保护，成为继巴林银行破产以来最大的投 机丑闻。
上交所 上交所上市公司内部控制指引
深交所 深交所上市公司内部控制指引
2006-5
2006-9
国资委 中央企业全面风险管理指引
五部委 企业内部控制基本规范
2006-6
2008-522 2010-426
37
企业内部控制应用指引(18项)、 五部委 审计指引、评价指引
政出多门
38
小结：中国式内控发展的特点
1981 年，当有点口吃的杰克· 韦尔奇被任命 为GE 新总裁后，他跑到洛杉矶附近的一个 小城市去拜访当世最伟大的管理学家彼 得· 德鲁克，他问的第一个问题就是：“我 怎么控制GE下面的上千家公司？” 一切伟大的治理都是从学习控制开始的。
——吴晓波《大败局》
“基本规范”的5个5
• 5个目标 • 5个原则 • 5个要素
13
案例 女出纳贪污拆迁款250余万元
她负责公 章、拆迁 款领取表、 通知拆迁 户签字领 款；
重复记账
获刑无期
14
内部控制制度阶段
• 以“表”为目的
• 内控评价成为抽样审计的出发 点，开始超出会计范畴。
会计 控制
1940~70 年代
2
会计记录
管理 控制 间接
不评价
15
直接
要评价
内部控制结构阶段
28
SOX法案第404条款
• 要求公司年报中包括一份“内部控制报 告”，该报告应明确：
– 管理层负责建立内控 – 管理层评估内控的有效性
中国企业的美式挑战？
29
企业风险管理(ERM)的定义
谁做？ • 由企业的董事会、管理层和其他员工共同参
与的，应用于企业战略制定和企业内部各个 层次和部门的，
做啥？ • 用于识别可能对企业造成潜在影响的事项并
案例
• 2010-6-15，所属2家 企业挪用煤矿维简费 4924万元，用于购置 非生产用车辆、办公设 备等支出
2008年6月25日-28日，由中 国内部审计师协会举办、中 天恒会计师事务所协办的中 国神华内控专题培训班
44
内控软件商动起来了
• 用友NC 内控与风险管理解决方案暨用友 NC5.5 产品 • 穆迪KMV公司宣布，由其研发的Risk Analyst （风险分析）简体中文版将正式进入中国 市场 • SAP明确表示可以提供一揽子解决方案
1. 1.1 控 制 1.1.1 环 境 … 2 …
不同企业分项目不同，对各要素、控制点的提问不同。
22
值得强调的新观点
• • • • 动态：动态过程，管控融合 软化：环境影响，软性控制 全面：全员控制，强调责任 平衡：合理保证，成本效益
23
“鹿”死谁手？
• • • • • •
案例
运用内控五要素看三鹿事件 内控环境：股权分散，管理层强势 风险评估：采购原料奶的质量 控制活动：跑马圈地；无应急处理机制 信息与沟通：从隐瞒、否认到推卸责任 内部监督：04年“大头娃娃”、05年“早 产奶”
53
经营目标
• 管理企业就好比驾驶一辆车，车 速越快，越需要好的控制系统。 ——[美]管理学家 罗伯特· 安东尼
54
内控的作用：错弊三角理论
压力 借口 法律法规 职业道德 机会 内部控制 不敢 不愿 不能
55
内控的作用：GONE理论
贪婪G 需要N 暴露E
• 与三角论一样的， 还是机会！ • 强调“贪婪”！
确认、归集、分类、 分析、登记、列报
授权、职责分工、 原始记录、接触控 制、复核
17
内部控制整体框架阶段
• 1985，Treadway委员会 • 1987，COSO成立 • 1992，发布“内部控制：整体 框架”，1994修订 • 1996年，AICPA全面接受COSO 报告
41990年代Fra bibliotek18COSO是谁？
• 对审计的影响：
– 审计模式是制度基础还是风险导向审计； – 如何确保独立性
27
SOX法案：乱世重典，逼娼为良
• 自出兵阿富汗以来，美国国会最协调一致 的行动是在2002-7-15全票通过《公众公司 会计改革及投资者保护法》“萨班斯－奥克 斯利法案”(Sarbanes-Oxley Act)。
• 其关键在于财务报告的可靠 性。提供不实财务报告的， 有可能被处以10~20年监禁 的重刑——与持枪抢劫的最 高刑罚相同。
战略目标 安 全 目 前提 标
分解
经营目标
反映
卫士 保安
报告目标
合 规 保证 目 标
51
案例 合规目标：“小会计”玩转2亿元
• 2004年10月18日,北京市第一 中级人民法院审理国家自然 科学基金委员会会计卞中贪 污挪用公款一案。 • 1995～2003年的8年贪污和 挪用26笔，近2亿元, 占整个 基金会年掌控经费的1/10 。 被判处死缓,剥夺政治权利终 身,并处没收个人全部财产。
34
2 中国的内控之路
中国的内控发展：主要规范
证监会 证券公司内部控制指引
中国人 商业银行内部控制指引 民银行
2001-1
2002-9
财政部 7项内部会计控制规范(试行)
中注协 企业内部控制审核指导意见
2001~04
2002-2
银监会 商业银行内部控制评价试行办法 2004-8
36
中国的内控发展：主要规范
• 美国会计学会
• 美国注册会计师协会
• 财务经理协会
• 管理会计师协会 • 内部审计师协会
19
COSO “整体框架”
监督
报告目标
控制活动
经营目标 合规目标
风险评估 控制环境
20
从理论模型到实务操作
要素
自上而下
项目 公司、单位、部 业务流程/ 作 门各层1、2… 循环1、2… 业 … 无论设计、自评、外审，都要问， 体现三大目标的各项制度： 有没有？完整性 好不好？合理性 运行否？有效性
机会O
56
案例
– 时间：2007年4月14日14时许； 地点：河北邯郸市农业银行金库 案值：近5100万元现金人民币被盗(一个多月) 身份：两疑犯为银行现金管理中心管库员
• 农行河北省分行行长瞿建耀：“不出事是 偶然，出事是必然。”
• 疑犯任晓峰：“我在逃跑的时候连饭都没 心思吃，但是我看到彩票投注点就想下车 买点，没什么其他想法，就是手痒痒。”
1 西方内控的五段路
到源头去，到师傅那儿去
内部控制的五段路
复杂性
内部 牵制
内控 制度
内控 结构
1980~90 年代
内控整 体框架
全面风 险管理
1920~40 1940~70 年代 年代
1990年代
21世纪以来
12
内部牵制阶段
• 以“物”为目的； • 账目核对；设立不兼容岗位
1
1920~40 年代
57
内控要素的意义
• 内部控制有效性的标准：每个构成要素的
– 存在， – 合理，和 – 有效运行
• 这样，就能使董事会和管理层获得有关实 现既定目标的合理保证。
59
• 有效的控制在很大程度上取 决于选择关键控制点。
60
1、内控环境
内控环境概述
• • • • • • • 治理结构 机构设置/组织架构 发展战略 内部审计 人力资源政策 企业文化 社会责任
24
在其他国家
• 加拿大COCO，1995 • 英国ICAEW，1999，Turnbull报告 • 巴塞尔银行监管委员会，1997
25
全面风险管理阶段
• 2001，安然事件 • 2002，SOX法案 • 2004，ERM
5
2000以来
26
安然事件
• 罪过
– 安然：债务和权益的假账 – 安达信：独立性；销毁审计档案
在其风险偏好范围内管理风险的， 为啥？ • 为企业目标的实现提供合理保证的过程。
CRO，首席风险官
30
ERM相比94版框架的变化
• • • • 目标：增加战略目标，报告目标变广 风险观念：提出企业总体层面的风险组合 环境：提出风险偏好、风险容忍度概念 要素：
– 从控制环境到内部环境，更宽 – 新增目标设定、事项识别、风险应对三个要素