企业内部控制总论

15
第一部分：内部控制的意义
• 降低风险 • 预防企业舞弊 • 对企业特别是上市公司的意义
16
风险的定义
什么是风险?
Any issue which could impact an rganization’s ability to meet it’ s objectives.
任何可能影响某一组织实现其目标的事项。
• 按照兴业银行的解释，这名交易员为了掩盖迅速扩大的损失在整 个2007年实施欺诈行为，但这不太可能。他解释道，从交易的感 觉上来说，这根本就不是一个人能做出来的事，在一年里掩盖如 此巨额的亏损不太可能。
10
一个人的疯狂还是整个体系的堕落
• 2007年，凯维埃尔赌市场会下跌，因此大量做空。他赌赢了！到20
的。证券部门随即展开紧急调查。确认，客户银行并不知道这笔交易。
7
供词使法国兴业银行遭受质疑
• Kerviel供认，两个月前，他关于欧洲期货的虚假交易就不止 一次在内控系统亮起红灯，但他只需制作一份假文件就逃过了 银行的关注。
• Kerviel和检察官马林都表示，超出职权范围进行交易的现象 在Kerviel的部门相当普遍。
企业内部控制
主讲人：王荣昌
1
主要内容
• • • • • 总论（意义、概念） 内部控制主要内容（框架） 内部控制的实施（如何建立内部控制制度） 相关案例分析（穿插在各章中） 中国企业内部控制与风险管理特性（有时间 的话）
2
第一章 总论
3
引入案例：法国兴业银行亏损案
期货交易员凯维埃 尔悄悄“赌”掉 71亿美元 伪造银行记录 使用伪造账户 涉嫌计算机系统 欺诈
8
凯维埃尔如何越权
• 法国兴业银行2008年1月27日发布一份声明，声明证实，凯维 埃尔违规动用约735亿美元购买期货，远远超过他的权限。 • 凯维埃尔借助先前在银行其他部门的工作经验，以盗用他人 电脑账号和伪造文档等方法掩盖他的违规行为。
9
法兴银行欺诈案各方反应
• 巴黎政治科学院经济学教授科恩表示，兴业银行给出的解释很难 令人相信。
General Motors 未能察觉的虚假 的代理商销售
不幸的转轮
Cathy Lee Gifford 压榨劳工
Daiwa 贸易损失 Foundation for New Era Philanthropy Ponzi 投资计划
需要更有力 的控制
Archer Daniels Midland 控制价格的指控 Barings 未得许可的交易风险
30
内控对于上市公司有特殊的意义
效益 效率 资产安全
信息披露（真实、完整）
监管风险（企业形象、资金链）
31
31
• “公司的败绩都是由内部控制失败 引起的”——Adrian Cadbury
32
第二部分：什么是内部控制
• 内部控制概念 • 内部控制发展
33
内部控制概念萌芽
• 内部控制，作为一个专用名词和完整概念，直到本世纪30年代 才被人们提出、认识和接受。但在此前的人类社会发展史中， 早已存在着内部控制的基本思想和初级形式，这就是内部牵制 （Internal check）。 • 在古罗马时代，对会计账簿实施的“双人记账制”——某笔经 济业务发生后，由两名记账人员同时在各自的账簿上加以登记 然后定期核对双方账簿记录，以检查有无记账差错或舞弊行为， 进而达到控制财物收支的目的，即是典型的内部牵制措施。
36
定义的第二次修正
• 第一次修正后的定义，大大缩小了注册会计师的责任范围，但 人们认为对“会计控制”的保护资产和保证财务记录可靠性这 两点仍然可能发生误解。即对“保护”一词作广义的解释可能 会使人们产生这样一种印象：“决策过程中的任何程序和记录 都可以包括在会计控制的保护资产概念中”。 • 为了避免这种宽泛的解释，1972年美国注册会计师协会（AICP A）对会计控制又提出并通过了一个较为严格的定义：“会计控 制是组织计划和所有与下面直接有关的方法和程序：1）保护资 产，即在业务处理和资产处置过程中，保护资产遭过失错误、 故意致错或舞弊造成的损失。2）保证对外界报告的财务资料的 可靠性。”
Texaco 种族歧视 United Way 有问题的管理模式 Firestone 产品质量
22
内部审计协会列出的9大风险因素…..
• 管理层的能力 (Competence of management )
• 管理层的道德观 (Integrity of management) • 近期系统变化 (Recent changes in systems)
19
定义业务风险….
• 风险是任何可能影响某一 组织实现其目标的事项
• 风险包括:
• 恶性事件带来的威胁
威胁
不确定因素
机会
•
• •
(risk as hazard)
尚不能确定后果的事件 (risk as uncertainty) 可转化为机会的事件 (risk as opportunity)
战略风险 经营性的/法律 法规性的风险 财务/市场风险
•What keeps management up at night? 什么事情使管理层夜不能寐?
•What doesn’t keep management up at night, but should?
什么事情应该引起管理层的注意，而实际却没有?
17
风险的三个主要类别
• • 遵守风险 (法律和政策) 财务风险
Legal (法律)
Technology (科技) Competition (竞争)
Foreign Exchange (外汇风险)
Market stagnation (市场萧条) Supplier (供应商)
Market related risk (市场固有风险)
Security/fraud activity (安全/欺诈行为)
形成规范的管理控制体系 服务线重心转移 地域扩张
市场环境和业务结构 的变化给企业管理结 构带来影响,同时企业 效率成为问题 投入必要资源 保证公司增长
设计并实施新的 管理控制体系以 适应环境变化和 实现企业战略目标 竞争的焦点逐步集中于 成本、质量和服务水平
无法维持早期在业 务上取得的成功
未能建立有效 的管理控制体系 以巩固早期的成功
•
经营风险 (包括战略风险和科技风险)
18
风险的类别
Economic (经济) Political (政治) Change in IT (IT 变革)
People (人)
Reputation/media (声誉/媒体) Product/Production (产品/生产) Purchasing/Procurement (采购) Accounting (会计) Working capital mgmt (流动资本管理) Management information (管理信息) Financial controls (财务控制)
• 组织规模 (Size of unit)
• 资产流动性 (Liquidity of assets) • 变革 (Change)
• 复杂程度 (Complexity)
• 快速增长 (Rapid growth) • 规章制度是否健全 (Level of regulation)
23
讨论:风险
B. 请根据您所要实现的企业目标, 列出将面对的风险并评价其对实现企业目标的关键性: 目标
• •
20
风险的特点
• 风险长期存在 • 不总能被消除
• 必须与机会同时权衡
21
有什么大不了？
Hudson Foods 污染的牛肉
Sears 误导性的汽车销售方法
Denny’s 歧视
Salomon 债券拍卖丑闻 Bausch & Lomb 来自CEO的 的销售压力 Beech-Nut Foods 质量控制的合规性
• 如果当时决定先减仓，减仓的资金在各个账户中追加保证金，等上两天
有可能就不会露馅。
13
启示：
• 从次贷危机到法国兴业银行欺诈案，事实表明即使在金融市场 高度发达的西方经济体，如何进行内部控制，如何进行风险管 理也依然是一个重要课题，其制度要达到完善水平“还有很长 的路要走”。
14
第一部分：内部控制的意义
• • • • 买入金融产品，选择没有保证金补充警示的产品。 通过盗用他人电脑账号、伪造文档等方法。 2008年1月18日，法国兴业银行收紧了对一家大银行客户的放款，并核查 历史交易。凯维埃尔曾盗用这个银行的账户，做过至少一次虚拟交易。 银行证券部门当天收到客户银行的一封电子邮件，信中称交易是“真实”
• • • • •
12
脆弱的内部控制体系
• 凯维埃尔单边投机交易金额高达500亿欧元。这些伪造的操作
数据，都记录在法国兴业银行集团的系统中，但是并没有任何
相应的实质交易存在。 • 银行和整个安全系统有着无法推卸的责任。
• 每下一个单，都要一个起始保证金，每个保证金大概在总交易额的8%左
右，假如市场在0到4%的下降空间中波动的话，是看不出损失的。但是一 旦降幅超过4%，交易所就会要求追加保证金，无法追加进去了，整个系 统性风险就爆发了。
4
• 法国兴业银行是世界上最大的银行集团之一，2000年12月31日它 在巴黎股票交易所的市值已达300亿欧元。 • 2000年12月的长期债务评级为“Aa3”(穆迪公司)，和“AA－” (标准普尔公司)法国兴业银行在全世界拥有500万私人和企业客户， 在全世界80个国家拥有500家分支机构，大约有50%的股东和40%的
35
定义的第一次修正
• 上述范围广泛的内部控制定义及其解释的发布，当时被普遍认为是对 内部控制这一重要概念的重大贡献。但该报告所定义的内部控制概念， 其内容如此宽泛，以致包括了审计人员对审查内部控制所不愿、也不 可能承担的职责。 • 1953年10月，审计程序委员会（CAP）又发布了《审计程序公告第1 9号》（SAP No.19），对内部控制作了如下划分：“广义地说，内部 控制按其侧重点可以划分为会计控制和管理控制；1）会计控制由组织 计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序 构成；会计控制包括授权与批准制度；记账、编制财务报表、保管财 务资产等职务的分离；财产的实物控制以及内部审计等控制。2）管理 控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项 政策得到贯彻执行或与此直接有关的方法和程序构成。管理控制的方 法和程序通常只与财务记录发生间接的关系，包括统计分析、时动研 究、经营报告、雇员培训计划和质量控制等”。
34
第一个具有权威性的定义
• 为了赋予内部控制一个准确完整的定义，美国审计程序委员会 下属的内部控制专门委员会经过两年研究，于1949年发表了题 为《内部控制、协调系统诸要素及其对管理部门和注册会计师 的重要性》的专题报告，对内部控制首次做出了如下权威定义： “内部控制是企业所制定的旨在保护资产、保证会计资料可靠 性和准确性、提高经营效率，推动管理部门所制定的各项政策 得以贯彻执行的组织计划和相互配套的各种方法及措施”。 • 此定义强调，内部控制不只限于与会计和财务部门直接有关的 控制方面，它还包括预算控制、成本控制、定期报告经营情况、 进行统计分析并将统计报告送交有关部门、制定培训计划以培 训有关人员使其能够履行职责，以及设立内部审计部门以保证 管理部门所制定的各种程序的准确性，并保证其得到贯彻执行 等内容。
1.
风险
高 /中 /低
2.3.4.5.源自24风险如何最小化？
加强系统的内部控制
当可能的风险较大时，
寻求较大的回报
对可能的损失投保
25
25
26
27
28
29
内控对于企业的意义
快速增长阶段
组织转型阶段 稳定增长阶段 提供高质量高附加值 服务 维护并发展核心能力 研发开发新服务
成功的关键
初步形成服务线 保证服务质量 建立基础客户群
业务来自海外。
• 科维尔2000年毕业于法国里昂第二大学，获金融市场运营管理硕 士学位。在法国南特大学获得学士学位。一名极为优秀的学生。
• “冲破了5个级别的监控”，是“电脑天才”。
5
违规操作内幕
套汇交易 股指期货产品 真买假卖
2008年1月 股市股指期货上 的头寸达到500亿欧元
6
凯维埃尔使用“多种”手段逃过监管
07年12月31日，他的账面盈余达到了14亿欧元。而同年兴业银行的
总盈利不过55亿欧元。 • 2008年1月开始买涨，以平抑先前的盈利并掩盖自己的越权痕迹。
• 凯维埃尔的家人和律师，甚至兴业银行都承认，凯维埃尔没有从他
的违规操作中获利
11
一个人的疯狂还是整个体系的堕落
2008年1月24日，凯维埃尔在法庭证词上，他说：“我的操作不复杂， 正常的监管就能查出这些交易。” “我心里想的是为银行赚钱。” 法官也认同了他这个论调，取消了对他的试图挪用公款罪行的起诉。 CEO布东的解释，法兴银行的主要职责并不是赚钱，而是“分散风险， 绝不会置身这种交易风险” 凯维埃尔：“在正常的日常交易中，一个交易员根本无法用正常的 投资规模赚那么多钱。这让我相信，只要我能盈利，我的上司就会 对我的交易手段和交易金额睁一只眼闭一只眼。”