企业内部控制培训.ppt.ppt

组织目标、风险管理和内部控制 通过风险管理实现组织目标,安然事件,“全球领先企业”“美国最具创新精神的公司”世界最大的能源交易商2000年的总收入1010亿美元资产额620亿美元财富杂志“美国500强”的第七名掌控着美国20的电能和天然气交易所有证券评级机构强力推荐的绩优股公司营运业务覆盖全球40个国家和地区,疏于职守虚报账目误导投资人牟取私利,中航油事件,石油衍生品期权交易 高位斩仓，造成5.5亿美元的巨额亏损。中国航油向当地法院寻求债务重组。自1994年巴林银行破产案以来最为严重的一次金融事件。“弃卒”陈久霖判刑四年零三个月，同时遭罚款33.5万新加坡元。,信息披露不实涉嫌内幕交易国有企业管理体制缺陷,案例,简介：某公司在各分厂电脑上安装了工资结算程序,但数据需要各劳资员按工资条输入。一名劳资员找来精通电脑的孙某修电脑，孙某乘人不注意时修改了工资结算程序，捏造了一些虚增帐号及金额，或在一些职工工资单内虚增金额，然后在工资结算程序里修改数据，将虚增金额分别增加到他掌握的工资卡帐户里，造成工资总额虚增。该事件历时四年后才在一次例行检查中被发现。点评：该公司信息化过程中，缺乏有效的程序控制和制度控制，即在数据的输入、处理、维护；机构和人员的授权、系统操作的授权管理等方面存在薄弱环节，同时，也缺乏定期的检查机制，从而导致长期存在问题却未能发现。,案例,简介：某机械设备制造公司在总经理离任时审计发现，原材料帐实差异达1500万。点评：经调查发现，该公司仓储管理内部控制存在诸多薄弱环节：原材料领用经常不开具领料单据；仓库与其他生产经营场所缺乏有效物理阻隔；没有定期盘点和与财务对帐；仓储系统数据可随意更改；部分价值较高的零部件露天摆放、因日晒雨淋遭受损毁。,案例,简介：某公司2004年度外币借款为2180.08万欧元，由于长期以来汇率相对稳定，该公司一直未对汇率风险进行评估。2004年末，人民币对欧元汇率发生较大波动，年初欧元汇价为10.3383，至2004年12月31日，汇价上升为11.2627。由于欧元汇价的上升，该公司形成2017万元的汇兑损失。点评：1994年1月1日起，我国实现人民币汇率并轨，实行以市场供求为基础，有管理的浮动汇率制。在浮动汇率制下，汇率每天都在变动。以航运企业为例，国际航运企业在筹资、船舶投资、日常经营活动中，以外币计价或定值的资产或负债，由于汇率变动可能遭受外汇风险。在资金筹措中，国际商业银行贷款币种与将要支付的造船投资的币种可能不一致，以及贷款所取得的时间和需要进行支付的时间也可能不一致，从而会造成相应的汇率风险。,目录,一、组织目标、风险管理和内部控制二、相关政策法规介绍三、商用车技术中心内控建设工作简介,组织目标、风险管理和内部控制,WHAT 什么是风险管理？WHY 为什么进行风险管理？WHO 谁来实施风险管理？HOW 如何进行风险管理？,1.WHAT什么是风险管理？,1.WHAT什么是风险管理？,1.1 风险的定义 是指可能对目标的实现产生影响的事情发生的不确定性（uncertainty）。风险的衡量标准是后果与可能性（consequences and likelihood）。IIA（国际内部审计师协会）,1.WHAT什么是风险管理？,1.2 风险的类别,Economic(经济)Political(政治)Legal(法律)Technology(科技)Competition(竞争)Foreign Exchange(外汇)Market stagnation(市场萧条)Supplier(供应商)Market related risk(市场固有风险)Security/fraud activity(安全/欺诈行为),Change in IT(IT 变革)People(人)Reputation/media(声誉/媒体)Product/Production(产品/生产)Purchasing/Procurement(采购)Accounting(会计)Working capital mgmt(流动资本管理)Management information(管理信息)Financial controls(财务控制),1.WHAT什么是风险管理？,1.3 风险的特点 长期存在 不总能被消除 必须与机会同时权衡,1.WHAT什么是风险管理？,1.4 风险管理的定义,是组织的董事会、管理层和其他员工共同参与的一个过程，应用于组织的战略制定和组织的各个部门和各项经营活动，用于确认可能影响组织的潜在事项并在其风险偏好范围内管理风险，对组织目标的实现提供合理的保证。COSO（发起组织委员会）,1.WHAT什么是风险管理？,是一个过程，其本身并不是一个目的，而是实现目的的一种方式。受人的影响，它不只是组织的政策、调查和表格，还涉及组织各个层次员工。也适用于组织战略制定过程。应在整个组织范围内应用，在每一个经营层面和每一个单位内应用，并应以一种组织总体的风险组合的观点来看待。风险管理的设计应有助于确认会对组织造成潜在影响的事项并确保在组织风险偏好的范围内管理组织的风险。仅为组织的管理者和董事会提供合理的保证。目标是帮助组织一类或几类单独并相互重叠的目标的实现。,术语,COSO全国虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文缩写。1985年，由美国注册会计师协会（AICPA）、美国会计协会（AAA）、财务经理人协会（FEI）、内部审计师协会（IIA）、管理会计师协会（IMA）联合创建了反虚假财务报告委员会（通常称Treadway委员会），旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO，专门研究内部控制问题。,术语,风险偏好一个组织在追求价值最大化的同时所愿意接受的风险的数量。组织通常采用定性的方法分析风险偏好，将其分为高、中、低三类；或者采用定量的方法分析风险偏好，反映出组织的成长性、收益性和风险目标，并在三个目标之间进行平衡。,术语,风险容忍度与要实现的目标相关的偏差的可接受程度。在确定某一特定的风险容忍度时，管理者应考虑相关目标的相对重要性并将风险容忍度与组织的风险偏好联系在一起。在风险容忍度的范围之内经营更能够保证组织所承受的风险在其风险偏好的范围内。反过来，就能够对组织目标的实现提供更高程度的保证。,2.WHY为什么进行风险管理？,2.WHY为什么进行风险管理？,环境,投资者,政府及其他机构,管理者,2.WHY为什么进行风险管理？,2.1风险管理的优点,将风险偏好和组织的战略结合在一起风险偏好是一个组织在追求其目标的过程中愿意接受的风险的程度。管理者在评估组织的战略方案时首先要考虑组织的风险偏好，其后，在制定与组织战略相对应的目标和建立一定的机制管理相应的风险时也应考虑组织的风险偏好。,2.WHY为什么进行风险管理？,2.1风险管理的优点,将组织成长、风险和收益联系起来经济主体在组织价值保值、增值的过程中也要接受相应的风险，同时预期补偿风险的相应收益。组织风险管理提高了组织确认和评估风险的能力，进而使组织能够确定相对于组织成长性和收益目标而言的风险的可接受水平。,2.WHY为什么进行风险管理？,2.1风险管理的优点,增加风险反应决策组织风险管理提供了确认和选择不同的风险反应方案的严格标准。组织的风险反应方案包括风险规避、风险降低、风险共担和风险接受。组织风险管理提供了进行相关决策的方法和技术。,2.WHY为什么进行风险管理？,2.1风险管理的优点,使组织的经营意外和损失最小化经济主体可能提高确认潜在事项、评估风险和明确反应方案，最后减少经营意外的出现次数以及减少相应的成本或损失。,2.WHY为什么进行风险管理？,2.1风险管理的优点,确认和管理组织的总体风险每一个经济主体都面临着许多风险，而不同的风险会影响组织经营的各个方面。管理不仅需要对每一种风险进行管理，还需要了解风险对组织总体的影响。,2.WHY为什么进行风险管理？,2.1风险管理的优点,针对多重风险提供完整的反应方案组织的经营过程存在许多内在的风险，组织风险管理就是为管理风险提供一整套解决方案。,2.WHY为什么进行风险管理？,2.1风险管理的优点,抓住机遇管理不仅要考虑风险，还需要考虑潜在的事项对组织的影响。对潜在事项有一个完整的了解可以使管理对每一潜在事项表明何种机遇有一个了解。,2.WHY为什么进行风险管理？,2.1风险管理的优点,合理分配资金关于组织总体风险的更为明确的信息可以使组织的管理者能够更加有效地评估组织总体的资金需要，改进组织的资金配置。,3.WHO谁来实施风险管理？,3.WHO谁来实施风险管理？,组织中的每个人在风险管理中都负有责任。,3.WHO谁来实施风险管理？,董事会及风险管理委员会,总经理及所属专职部门,各职能部门,制定风险管理战略、重大决策,制定风险管理具体方案,执行风险管理基本流程,3.WHO谁来实施风险管理？,商用车技术中心,部门成员,院职能部门,南汽研究院,风险政策实施,院级风险政策,专业领域级风险政策,中心级风险政策,上海汽车,内控工作小组,中心职能部门,公司级风险政策,4.HOW如何进行风险管理？,4.HOW如何进行风险管理？,4.1 风险管理8要素,内部环境,事项确认,风险评估,风险应对,控制活动,信息和沟通,监督,目标设定,4.HOW如何进行风险管理？,4.1风险管理8要素,内部环境组织的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。内部环境影响组织战略和目标的制定、业务活动的组织和风险的识别、评估和执行等等。它还影响组织控制活动的设计和执行、信息和沟通系统以及监控活动。,4.HOW如何进行风险管理？,内部环境,组织员工的道德观和胜任能力 人员的培训 管理者的经营模式 分配权限和职责的方式 董事会 组织的管理者,4.HOW如何进行风险管理？,4.1风险管理8要素,目标制定根据组织确定的任务或预期，管理者确定组织的战略目标，选择战略方案，确定相关的子目标并在组织内层层分解和落实，各子目标都应遵循组织的战略方案并与战略方案相联系。,4.HOW如何进行风险管理？,战略目标,经营目标,报告目标,合法目标,目标制定,资产安全,4.HOW如何进行风险管理？,4.1风险管理8要素,事项识别当管理者意识到了不确定性的存在，就应识别某一事项是否会发生、何时发生或者如果发生其结果如何。,4.HOW如何进行风险管理？,4.1风险管理8要素,风险评估风险评估可以使组织了解潜在事项如何影响组织目标的实现。管理者应从两个方面对风险进行评估风险发生的可能性和影响。,4.HOW如何进行风险管理？,可能性和影响与风险的关系,偶发性,重要性,无关性,日常性,可能性,影,响,附录：风险管理常用技术方法,极低 低 中等 高 极高 影响程度,极高高中等低极低,可能性,风险坐标图把风险发生可能性的高低、风险发生后对目标的影响程度，绘制成直角坐标系。,附录：风险管理常用技术方法,例：风险发生可能性的定性、定量评估标准,附录：风险管理常用技术方法,例：风险发生影响程度的定性、定量评估标准,术语,例：风险发生影响程度的定性、定量评估标准,术语,误拒风险：推断某一重大风险存在而实际上不存在的风险。,风险的误拒和误受,影响,影响风险管理效率。,风险种类,误受风险：推断某一重大风险不存在而实际上存在的风险。,影响风险管理效果。,案例：风险评估的复杂性,一个车库的燃气罐的阀门老化致使燃气泄漏；车库的门是关闭的，来保持邻近的办公室的取暖；车库门的远程控制装置被卡车驾驶员将车开进车道而启动。同时存在气体以及车库开启者发动车辆的火花导致了一场爆炸，这些单独的事件联系在一起而导致一个重大风险。,案例：期望理论对风险评估的影响,每个人对潜在的收益和损失会有不同的反应，风险如何形成关注向上（潜在收益）或向下（潜在损失）经常会影响人们的反应。期望理论考察人们的决策、认为个人并非风险中性的；而对损失的反应要比对收益的反应更为极端。为说明这一点，例如一个人面临两组选择：A 肯定能得到￥240，或者：25%的机会得到￥1000，75%的机会什么也得不到；B 肯定损失￥760，或者：75%的机会损失￥1000，25%的机会什么也不损失。,案例：期望理论对风险评估的影响,在第一组选择中，大多数人会选择“￥240 的确定收益”，因为在考虑收益以及正面影响的问题时，人们的倾向是风险规避的。而在第二组选择中，大多数人会选择“75%的机会损失￥1000”。因为考虑损失和负面影响的问题时，人们的倾向是风险偏好的。期望理论认为人们不愿在他们已有的或可能会有的事件上增加风险，但当他们认为能够最小化损失时，将会有更高的风险承受力。人们在决策中的倾向性在企业单位、职能部门和活动中得到展现，例如，一些员工在追求盈利时更习惯于采取风险性高的措施，而其他一些人则寻求最小的损失，通过认识人们的这些倾向，管理者能制定信息来加强整个企业的风险偏好和行为。,我们在哪里？,一、组织目标、风险管理和内部控制1.什么是风险管理？2.为什么进行风险管理？3.谁来实施风险管理？4.如何进行风险管理？4.1 风险管理8要素 4.2 风险管理要素和组织目标的关系 4.3 组织目标、风险和控制活动的关系 4.4 风险管理的有效性 4.5 风险管理的局限性二、相关政策和法规介绍三、商用车技术中心内控建设工作简介,内部环境目标设定事项识别风险评估风险应对控制活动信息和沟通监督,在这里！,4.HOW如何进行风险管理？,4.1风险管理8要素,风险应对管理者可以制定不同风险反应方案，并在风险容忍度和成本效益原则的前提下，考虑每个方案如何影响事项发生的可能性和事项对组织的影响，并设计和执行风险反应方案。,4.HOW如何进行风险管理？,风险应对,规避风险：采取措施退出会给组织带来风险的活动。减少风险：减少风险发生的可能性、减少风险的影响或者两者同时减少。共担风险：通过转嫁或与他人共担一部分风险来降低风险发生的可能性或影响。接受风险：不采取任何行动。,案例：风险应对,规避 一个非盈利组织对其员工提供的直接医疗服务的风险进行识别和评估，决定不接受相关联的风险，该组织决定提供一个转诊介绍服务来替代；减轻 一个证券清算公司对其系统失效3 个小时以上的风险进行识别和评估，得出不能接受这样一个事件发生的影响，公司对提高自我检查失败和减少系统失灵的支持系统技术进行投资来减轻该风险；分担 一所大学对管理学生宿舍相关的风险进行识别和评估，得出结论，认为学校没有必备的内部能力来有效地管理大的住宅资产，学校将宿舍管理外包给一家资产管理公司，能更好地减轻资产相关风险的影响和可能性。接受 一个政府机构对火灾引起的不同地理区域基础设施的风险进行识别和评估，并评估了采用保险来分担该风险影响的成本，得出结论，认为保险的增量成本与相关的支出超过可能的重置成本，因而决定接受该风险。,4.HOW如何进行风险管理？,4.1风险管理8要素,控制活动控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于组织的各部分、各个层面和各个部门。控制活动是组织努力实现其商业目标的过程的一部分。通常包括两个要素：确定应该做什么的一个政策和影响该政策的一系列过程。,4.HOW如何进行风险管理？,控制活动应遵循的原则,全面性原则 重要性原则 制衡性原则 适应性原则 成本效益原则,4.HOW如何进行风险管理？,控制活动可以采取的方式,不相容职务分离控制 授权审批控制 会计系统控制 财产保护控制 预算控制 运营分析控制 绩效考评控制,4.HOW如何进行风险管理？,4.1风险管理8要素,信息和沟通来自于组织内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证组织的员工能够执行各自的职责。有效的沟通也是广义上的沟通，包括组织内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与组织外部相关方的有效沟通和交换，如客户、供应商、行政管理部门和股东等。,4.HOW如何进行风险管理？,信息和沟通,信息是沟通的基础。长期以来信息系统是用来支持组织的商业战略。当业务需要变化和有关技术为组织获得战略优势提供新的机会时，这一地位就显得更为重要。沟通必须满足各部门和个人的要求，以使他们能够有效地履行其职责。最重要的沟通渠道之一是高级管理者和董事会之间的沟通。沟通应有一个适当的架构。管理者应提供特定的或直接的沟通渠道说明对员工的行为预期和各自的职责。,4.HOW如何进行风险管理？,4.1风险管理8要素,监控评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。通常，将持续监控和个别评估进行一定的结合使用会保证组织风险管理长期的有效性。,4.HOW如何进行风险管理？,监控,持续监控对组织日常的、重复的经营活动的监控，在实时的基础上进行，是对不断变化的环境的动态地反应，应在组织内部彻底地贯彻和执行。如果执行得好，持续监控比个别评估更为有效。由于个别评估是在事实发生之后才进行评估，而持续监控则会在问题一发生就很快被发现。虽然如此，许多使用持续监控的组织仍旧进行风险管理的个别评估,4.HOW如何进行风险管理？,监控,个别评估个别评估的频率是组织管理者的主观判断问题。在决定个别评估的频率时，管理者应考虑来自于组织内部和外部事项的变化的性质和程度以及相应的风险、组织员工进行风险反应和相应控制的能力和经验、持续监控的结果等因素。,术语,失效“失效”是指组织风险管理过程中值得注意的某一种情形。因此，失效可能代表一种预期的、潜在的或真实的缺陷，或者代表加强风险管理过程的一个机会，以增加组织目标实现的可能性。所有风险管理失效都会影响组织确定和执行战略的能力，影响组织实现其既定目标的能力。对此，应将组织所有的风险管理失效都报告给适当的管理层，以保证其采取必要的措施以纠正风险管理失效。在经营活动中产生的信息通常通过正常的渠道进行报告。对于敏感性信息的报告也应有其他的沟通渠道，如非法活动或不正当的活动。,4.HOW如何进行风险管理？,4.2 风险管理要素和组织目标的关系,战 经 报 合,略 营 告 法,目 目 目 目,标 标 标 标,内 部 环 境,目 标 确 定,事 项 确 认,风 险 评 估,风 险 应 对,控 制 活 动,信 息 沟 通,监 督,商用车技术中心,上内所,南汽研究院,职部部门,企 业 4 目 标,风险管理8要素,组织及其各组织单位,4.HOW如何进行风险管理？,4.3 组织目标、风险和控制活动的关系,评估风险,行动计划/责任分配,分析控制,确定目标,案例：组织目标、风险和控制活动的关系,案例：组织目标、风险和控制活动的关系,案例：组织目标、风险和控制活动的关系,案例：组织目标、风险和控制活动的关系,案例：组织目标、风险和控制活动的关系,4.HOW如何进行风险管理？,4.4 风险管理的有效性,风险管理是一个过程，风险管理的有效性则是某一时点的一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理八要素设计和执行是否正确的评估基础上的一个主观判断。这不意味着每一要素在不同企业间，甚至是不同企业的同一管理层次上，都必须执行同样的功能。,4.HOW如何进行风险管理？,4.4 风险管理的有效性（续）,对于每个要素的方法论，某些中小企业采用的方法与大企业相比并不正式和结构化，但是，无论企业的规模，其风险管理都应包括风险管理八要素。风险管理可以从一个企业的总体来认识，也可以从一个单独的部门或多个部门的角度来认识。,4.HOW如何进行风险管理？,4.5 风险管理的局限性,有效的风险管理可以帮助管理者实现企业的目标，但是，无论企业风险管理设计得如何完善、运行得如何有效，它也不能保证一个企业永远成功。,4.HOW如何进行风险管理？,影响组织目标实现的因素,管理过程内在局限性 政府政策或项目的改变 竞争对手的行动或经济条件都超出了管理者的控制范围 人的决策可能会出错企业很有可能由于人的简单错误或过失而破产 风险管理也不能把一个本来就很差的管理者变好 企业员工两人或多人合谋可以绕过控制 管理者也有权利绕过企业的风险管理过程,4.HOW如何进行风险管理？,4.5 风险管理的局限性（续）,风险管理的设计必须反映组织资源稀缺的现实，而且风险管理的收益必须对应风险管理的成本。因此，虽然风险管理可以帮助管理者实现组织的目标，但它并不是一颗万灵丹。,小结,内部环境风险文化 董事会 操守和价值观 管理方法和经营模式 风险偏好 组织结构 职责和权限的分配 人力资源政策,目标制定战略目标 相关目标 风险偏好 风险容忍度,事项识别事项 影响战略及目标的因素 方法和技术 风险和机遇,风险评估固有的和残存的风险 可能性和影响 方法和技术,风险应对确认风险反应 对风险反应的评估 选择反应 组合观,控制活动与风险反应相结合 类型 一般控制 应用控制,信息与沟通信息系统 沟通渠道,监控个别评估 持续评估,二、相关政策和法规介绍,1.COSO 报告2.国内相关政策和现状评估,1.COSO报告,1.1 COSO 报告概述 1992年9月，COSO委员会发布内部控制整合框架（COSO-IC），简称COSO报告，1994年进行了增补。这些成果马上得到了美国审计署(GAO)的认可，美国注册会计师协会（AICPA）也全面接受其内容并于1995年发布了审计准则公告第78号。由于COSO报告提出的内部控制理论和体系集内部控制理论和实践发展之大成，成为现代内部控制最具有权威性的框架，因此在业内倍受推崇，在美国及全球得到广泛推广和应用。,1.COSO报告,1.1 COSO 报告概述（续）根据萨班斯法案第404节条款以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。2004年3月9日，PCAOB发布了其第2号审计标准：“与财务报表审计相关的针对财务报告的内部控制的审计”，并于6月18日经SEC批准。SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的内部控制综合框架（也称“COSO内部控制框架”）。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。,1.COSO报告,1.2 COSO 报告的现实意义COSO报告是在美国金融风险加剧，财务欺诈抬头，社会各界对内部控制和独立审计师寄予厚望的“危难”时刻，由五个职业会计团体联合并潜心研究近4年左右的时间才诞生的。COSO报告中蕴涵了许多崭新的理念和思想。这些理念和思想，不仅对过去，而且对现在甚至未来的企业管理、财会工作和独立审计都有着重要影响。,1.COSO报告,1.2 COSO 报告的现实意义（续）准确定位内部控制基本目标 为评价内部控制系统提供了一套完整的标准 强调“人”的重要性 认识到董事会在内部控制中的作用 强调内部控制系统系是“内置于”（built in）企业经营和管理过程中的一项基础设施（infrastructure）,1.COSO报告,1.3 COSO 报告的局限性 没有充分认识到董事会对内部控制系统的至关重要性 提倡的反映内部控制运行状态的“管理报告”的信息含量和可信性值得怀疑 对规避会计师责任更为有利 把企业经营和管理中一些重要职能排斥在内部控制触角之外 基本目标与分类子目标之间存在差异 评价内部控制有效性标准过于主观 内部控制系统中会计与审计的色彩太重,1.COSO报告,1.4 COSO 报告对中国企业的启示 企业是多重契约关系的组合，而股东会与董事会、董事会与经理班子之间的委托代理关系是其中最基本的契约关系，因此企业内部控制中的“内部”就应从组建法人治理结构开始。建立健全董事会功能是企业最根本的内部控制。“安然”、“施乐”和“世通”特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥有关。,1.COSO报告,1.4 COSO 报告对中国企业的启示（续）由于企业与外部关系人的经济联系和契约关系，在现代企业中发挥着越来越重要的作用，企业内部控制中的“内部”有时还要延伸至企业法律边界以外，将独立审计师、供应商资源、客户信用与需求和政府监管纳入企业内部控制系统。,1.COSO报告,1.4 COSO 报告对中国企业的启示（续）“控制”与“反控制”是一对永恒的矛盾。企业内部控制的目的是追求企业持续“得到控制”，确保企业各类契约关系持续而有序地运行，确保企业有一个好的战略目标和管理团队，并按照既定目标持续高效地发展和增值，为企业各类契约当事人发现并创造价值。企业内部控制是企业与生俱来的，它内置于企业经营和管理过程之中，并与之紧密联系、水乳交融，是同一事物的不同层面，不可割舍。,1.COSO报告,1.4 COSO 报告对中国企业的启示（续）企业内部控制应是一个能动的驾御、监测和推动系统，它不仅要关心企业的现实生存，更应关注企业的未来发展。不但重视企业微观，同时也关心企业宏观。不只是简单的规避风险，更着眼于科学风险管理，重视通过业务发展减低风险。不仅注重企业经理班子之下的内部控制，而且特别强调公司治理结构建设，强调企业法律边界以外可能对企业生存与发展有重大影响的各类要素。,1.COSO报告,1.4 COSO 报告对中国企业的启示（续）不仅要重视现行会计上已确认和计量的资产，更要关注人力资本、管理团队、核心竞争力、研发能力、客户资源、企业文化和品牌与商誉等软性资产在企业发展和控制活动中的重要作用，即在内部控制上要引入“全面资产”概念。,2.国内相关政策和现状评估,2.1 相关政策出台背景 中国是最近一个对企业内部控制体系颁布法规提出全面要求的国家。2008年6月28日，财政部、审计署、证监会、保监会联合颁布了企业内部控制基本规范。正式官方文件于2008年5月22日以通知形式下发。理解基本规范时亦需考虑通知中的相关要求。为配合基本规范的实施，财政部还颁布了三个指引性文件，并公开征集意见。,2.国内相关政策和现状评估,2.2 企业内部控制基本规范简介 共七章50条条款。生效日期：基本规范自2009年7月1日起实施。通知进一步明确了在国内上市公司范围内执行基本规范，并鼓励非上市大中型企业执行。适用范围：适用于中国境内设立的所有大中型企业，但并未对境内和境外公司进行区分。定义和原则：与1992年COSO委员会发布的内部控制整体框架的五要素大体一致，并融合了2004年COSO委员会发布的企业风险管理框架的概念。还包括了财产保护控制，建立反舞弊机制，以及建立举报投诉制度和举报人保护制度。,公司规模取决于行业，并基于三点：总资产、营业额和员工数量。最新的行业分类标准由统计局于2003年颁布，但该标准并不全面。,2.国内相关政策和现状评估,2.3 中国境内上市企业对策 由高管牵头 分阶段进行 强调培训和知识 在现有控制基础上开展工作 加强基本控制要素,只有少数海外上市的中国公司拥有内控评价和报告经验。,2.国内相关政策和现状评估,2.4 相关政策的多样性和复杂性 财政部2001年至2004年间颁布了一系列内部会计控制规范。包括六个试行规范和五个规范。证监会于2006年5月18日颁布了首次公开发行股票并上市管理办法 上证所于2006年6月5日颁布了上海证券交易所上市公司内部控制指引。深交所于2006年9月28日颁布了深圳证券交易所上市公司内部控制指引。国资委于2006年6月6日颁布了中央企业全面风险管理指引。保监会于2007年7月3日颁布了保险公司风险管理指引（试行）。银监会于2007年7月3日颁布了商业银行内部控制指引。,2.国内相关政策和现状评估,2.5 中国上市公司内部控制分析评价报告 金融危机使上市公司更加重视内部控制。金融危机促进了企业内控工作。内部控制实施工作存在一定的盲目性。内控建设中仍存在一些老问题。内部控制评价报告的编制基础有待加强。内部控制的评价牵头部门有待进一步改善。,三、商用车技术中心内控建设工作简介,Q&A,