战略预算.ppt

构建基于现代信息技术平台上战略风险管理型的公司内控体系：萨班斯法案及其系列法规的启示,博士（管理会计）许金叶中国注册会计师中国注册评估师 同济大学管理学院与用友股份公司博士后,研讨大纲,一、萨班斯法案及其系列法规颁布的实质,三、缺乏基于现代信息技术平台上内部控制体系蓝本：推行萨班斯法案及其系列法规所面临的主要问题,四、构建基于现代信息技术平台上战略风险管理型的公司内控体系的原因：,二、萨班斯法案及其系列法规所体现内部控制的内容,五、构建基于现代信息技术平台上战略风险管理型的公司内控体系：我国对萨班斯法案及其系列法规的应对之策,问题,原因,对策,安然等事件所揭露出资本市场上信任危机问题,以两权分离为主要特征的美国企业制度中的内在缺陷,企业内部控制制度建设-萨班斯法案及其系列法规的实质,萨班斯法案及其系列法规的实质,研讨大纲,一、萨班斯法案及其系列法规颁布的实质,三、缺乏基于现代信息技术平台上内部控制体系蓝本：推行萨班斯法案及其系列法规所面临的主要问题,四、构建基于现代信息技术平台上战略风险管理型的公司内控体系的原因：,二、萨班斯法案及其系列法规所体现内部控制的内容,五、构建基于现代信息技术平台上战略风险管理型的公司内控体系：我国对萨班斯法案及其系列法规的应对之策,萨班斯法案及其主要法规,公司内部治理,公司必须建立审计委员会必须完全独立必须提供审计委员充足的资金不可以借款给总裁和公司高级官员要提供由审计师证明的年度内部控制审计报告要披露公司采用的针对高级管理层的职业道德规范,公司内部治理,高级管理层 首席执行官和首席财务官保证财务报表的内容禁止在养老基金暂停时期进行交易审计委员会 事先批准所有由外部审计师提供的审计和非审计服务全部的成员具有独立性建立一致的会计和会计事项的处理程序,404条款及其影响,第404节 管理层对内部控制的评价(a)内部控制方面的要求SEC应当相应的规定，要求按1934年证券交易法第13节(a)或15节(d)编制的年度报告中包括内部控制报告，包括：(1)强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；(2)发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价；(b)内部控制评价报告对于本节(a)中要求的管理层对内部控制的评价，担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。,研讨大纲,一、萨班斯法案及其系列法规颁布的实质,三、缺乏基于现代信息技术平台上内部控制体系蓝本：推行萨班斯法案及其系列法规所面临的主要问题,四、构建基于现代信息技术平台上战略风险管理型的公司内控体系的原因：,二、萨班斯法案及其系列法规所体现内部控制的内容,五、构建基于现代信息技术平台上战略风险管理型的公司内控体系：我国对萨班斯法案及其系列法规的应对之策,三、缺乏内部控制体系蓝本：推行萨班斯法案及其系列法规所面临的主要问题,成本问题：推行萨班斯法案及其系列法规所面临的表层问题缺乏内部控制体系蓝本，更缺乏基于现代信息技术平台上内部控制体系蓝本：推行萨班斯法案及其系列法规所面临的核心问题,404条款实施的成本,根据Financial Executives International(FEI)于2004年1月及2004年7月进行的调查，实施索克斯法案404条款的成本非常高。下表给出了FEI两次调查的结果及其比较：,缺乏基于现代信息技术平台上内部控制体系蓝本：推行萨班斯法案及其系列法规所面临的核心问题,1、萨班斯法案及其系列法规没有指定内部控制体系蓝本2、各国内部控制体系各有千秋英国的Turnbull指南（2005）加拿大的CoCo控制框架欧盟18国的内部控制与风险管理的规定3、缺乏基于现代信息技术平台上内部控制体系蓝本，公司内部控制体系建设困难,404条款在美国实施一年来的总体情况,截止到2005年6月3日，审计结果如下：,404条款在美国实施一年来的总体情况,一些大公司被出具了否定意见（1）被出具否定报告且收入在150亿美元以上的公司包括：GE（通用电气）、固特异（Goodyear）、克罗格（Kroger）、MCI等；（2）出具否定报告且收入在50亿美元以上的公司包括：加拿大铝业（ALcan）、Blockbuster、柯达（Eastman Kodak）、Nortel Networks、Toys R Us等。发现的内部控制缺陷数量相当惊人 截止到2005年6月3日的资料，上市公司发现的内部控制缺陷（control deficiencies），平均每家公司大275个；最多的公司则达8000多个。,研讨大纲,一、萨班斯法案及其系列法规颁布的实质,三、缺乏基于现代信息技术平台上内部控制体系蓝本：推行萨班斯法案及其系列法规所面临的主要问题,四、构建基于现代信息技术平台上战略风险管理型的公司内控体系的原因：,二、萨班斯法案及其系列法规所体现内部控制的内容,五、构建基于现代信息技术平台上战略风险管理型的公司内控体系：我国对萨班斯法案及其系列法规的应对之策,IT内控凸现的理由,IT内控凸现的理论解释萨班斯法案等社会实践对IT IT内控的需要,IT内控凸现的理论解释,1、国际化、信息化、网络化为特征的新经济需要商业业务与IT的融合2、组织结构的扁平化、信息处理的分布化需要IT内控3、公司治理与IT治理的融合,公司内控与IT内控的融合,IT内控,公司内控,设定和驱动,获取信息,IT内控：,研讨大纲,一、萨班斯法案及其系列法规颁布的实质,三、缺乏基于现代信息技术平台上内部控制体系蓝本：推行萨班斯法案及其系列法规所面临的主要问题,四、构建基于现代信息技术平台上战略风险管理型的公司内控体系的原因：,二、萨班斯法案及其系列法规所体现内部控制的内容,五、构建基于现代信息技术平台上战略风险管理型的公司内控体系：我国对萨班斯法案及其系列法规的应对之策,内部牵制阶段,内部控制框架阶段,风险导向型内部控制框架阶段,内部控制的对象、方法、内容等从简单向复杂发展,企业内部控制制度发展的历史,内部控制结构阶段,内部控制制度阶段,8.,8.,8.,8.,8.,8.,8.,8.,目标上的偏差,主体上的偏差,重合法合规轻控制效率、效益控制,重管理控制、重治理控制,重评价轻建设,重要素轻过程、重制度建设信息沟通,重他控轻自控,构成上的偏差,客体上的偏差,内容上的偏差,方法上的偏差,激励上的偏差,重“经济人”轻“社会人,重硬控制轻软控制,重会计控制轻管理控制,当前我国对企业内部控制制度认识上的局限,信息平台的忽略,萨班斯法案对经营的效率和效果的目标缺乏关注，除非它们与资产保护相关。萨班斯法案的要求集中于可靠的财务报告，而不涉及经营效果。,内部会计控制应当达到以下基本目标：（一）规范单位会计行为，保证会计资料真实、完整。（二）堵塞漏洞、消除隐患，防止并及时发现、纠正错误及舞弊行为，保护单位资产的安全、完整。（三）确保国家有关法律法规和单位内部规章制度的贯彻执行。内部会计控制规范一基本规范（试行）,重合法、合规轻效益、效率,基于现代信息技术平台上战略风险管理型的公司内控体系,公司治理与企业管理相结合（静态与动态相结合）,以基于合法合规基础上的企业价值最大化为目标,以董事会、管理当局、信息沟通为前提,以纵向业务流程为主、横向岗位职责、数字化责任预算为控制内容,以管理控制为重点，以会计控制为基础,以风险识别、风险衡量、风险控制、风险评价为控制环节,贯穿着信息沟通为前提的学习控制、发展控制的主线,以企业战略风险管理为导向,基于现代信息技术平台上战略风险管理型的公司内控体系,风险是企业面临的首要问题（风险不仅是负面的影响，也有正面的影响。风险应该纳入战略管理 风险管理框架就是为管理者提供一个框架，使其能够有效处理不确定性及相应的风险和机遇，进而提高企业创造价值的能力。,基于现代信息技术平台上战略风险管理型的公司内控体系,COSO：企业风险管理框架,基于现代信息技术平台上战略风险管理型的公司内控体系,公司治理与企业管理相结合（静态与动态相结合）,以基于合法合规基础上的企业价值最大化为目标,以董事会、管理当局、信息沟通为前提,以纵向业务流程为主、横向岗位职责、数字化责任预算为控制内容,以管理控制为重点，以会计控制为基础,以风险识别、风险衡量、风险控制、风险评价为控制环节,贯穿着信息沟通为前提的学习控制、发展控制的主线,以企业战略风险管理为导向,基于现代信息技术平台上战略风险管理型的公司内控体系,以企业风险管理柜架中企业内部控制八大要素为范围，以企业业务流程为主线，以企业业务流程中的作业为对象，通过对业务流程及其作业的全面梳理，锁定与管理信息采集、处理、报告等相关的业务流程与作业；对锁定的业务流程及其作业进行分析，确认存在的风险；参照萨班斯法案及其系列法规（特别是COSO颁布的企业风险管理柜架）要求的控制标准，根据公司治理和企业管理机构中所应有的权利与职责，对所确认的风险提出内部控制要求；,基于现代信息技术平台上战略风险管理型的公司内控体系,（一）以企业风险管理柜架中企业内部控制八大要素（内部环境、目标制定、事项确认、风险评估、风险反馈、控制活动、信息和沟通、监督）为范围,基于现代信息技术平台上战略风险管理型的公司内控体系,（二）以企业业务流程为主线，以企业业务流程中的作业为对象，通过对业务流程及其作业的全面梳理，锁定与管理信息采集、处理、报告等相关的业务流程与作业；,基于现代信息技术平台上战略风险管理型的公司内控体系,流程,输入,输出,请求事件报警需求-,资源人员工具知识-,变更的环境报表解决的事件,控制,控制政策控制手段,流程，是一系列相关的行动：输入必要的信息，对其加入附加价值，然后为客户产生输出内容，来实现一定的目标,（三）对锁定的业务流程及其作业进行分析，确认存在的风险,基于现代信息技术平台上战略风险管理型的公司内控体系,（四）参照萨班斯法案及其系列法规（特别是COSO颁布的企业风险管理框架、COBIT框架）要求的控制标准，根据公司治理和企业管理机构中所应有的权利与职责，对所确认的风险提出内部控制要求；,基于现代信息技术平台上战略风险管理型的公司内控体系,股东大会,董事会,总经理,各部门经理,各部门内部的具体业务操作层,监事会,内部控制的公司治理层次,内部控制的公司管理层次,内部控制的具体业务层次,谢谢大家！,