內(nèi)部控制和全面風險管理

內(nèi)部控制與風險管理邢臺學院王偉相關(guān)概念內(nèi)控基本規(guī)范

本辦法所稱內(nèi)部控制，是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的，旨在實現(xiàn)控制目標的過程。內(nèi)部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務(wù)報告及相關(guān)信息真實完整，提高經(jīng)營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。COSO內(nèi)控框架

公司的董事會、管理層及其他人士為實現(xiàn)以下目標提供合理保證而實施的程序:運營的效益和效率，財務(wù)報告的可靠性和遵守適用的法律法規(guī)。"3內(nèi)部控制框架監(jiān)督信息與溝通控制活動風險應(yīng)對風險評估事項識別目標設(shè)定內(nèi)部環(huán)境戰(zhàn)略報告經(jīng)營合規(guī)COSO內(nèi)部控制整體框架

(1992/2013)COSO企業(yè)風險管理框架

(2004)經(jīng)營監(jiān)督信息與溝通控制活動風險評估控制環(huán)境財務(wù)報告合規(guī)彌補缺口運營子公司營業(yè)單位

部門

公司層面

其他內(nèi)控體系

COCOTurnbull“中國COSO”，全面風險管理日本......ISOxxx4內(nèi)控理論框架國際上具影響力的內(nèi)部控制框架

中國不斷加強內(nèi)部控制及風險管理的監(jiān)管要求1992，美國COSO報告：內(nèi)部控制——綜合性框架，簡稱COSO；1995，加拿大COCO委員會《控制原則標準》，簡稱COCO原則；1999，英國Turnbull指南《內(nèi)部控制——綜合守則的董事指南》；2004，美國COSO委員會發(fā)布ERM，即《企業(yè)風險管理-綜合性框架》；2004，香港聯(lián)交所《企業(yè)管治常規(guī)守則》及《企業(yè)管治報告》。1996，財政部《獨立審計具體準則第9號——內(nèi)部控制和審計風險》；1997，中國人民銀行《加強金融機構(gòu)內(nèi)部控制的指導原則》；1999，保監(jiān)會《保險公司內(nèi)部控制制度建設(shè)指導原則》；1999，全國人大常委會《會計法》；2001，證監(jiān)會《證券公司內(nèi)部控制指引》；2001，財政部《內(nèi)部會計控制規(guī)范——基本規(guī)范（試行）》等；2002，中國人民銀行《商業(yè)銀行內(nèi)部控制指引》；2006，國資委《中央企業(yè)全面風險管理指引》；2006，財政部牽頭成立“中國內(nèi)部控制標準委員會”；2006、2007，深交所、上交所內(nèi)控指引；2008，財政部等五部委聯(lián)合發(fā)布《企業(yè)內(nèi)控基本規(guī)范》?！?/p>

……302及906條財務(wù)報告及信息披露404條財務(wù)報告及信息披露302條及906條證明書管理層對于404條的內(nèi)控報告外部審計報告道德條款公司監(jiān)控內(nèi)控自評政策及程序編寫及記錄內(nèi)控文件內(nèi)控評價對內(nèi)控不足之處改進SOX展現(xiàn)內(nèi)控工作的體系性外部審計：1、對管理層評價的認證；2、對內(nèi)控的評價一、全員參與二、持續(xù)性三、合理保證四、以各種制度為載體內(nèi)部控制的特點風險是一種可以識別的不確定性。這種不確定性能夠?qū)ζ髽I(yè)經(jīng)濟利益造成影響。

風險來自你不知道自己正在做什么！沃倫·巴菲特我們冒險通常不是出于自信，而是出于對無知和對不確定性的無知。丹尼·卡尼曼8風險對風險必須非常了解，控制在與總體目標相適應(yīng)并可承受的范圍內(nèi)風險偏好：公司的高層（包括管理層和董事會）愿意在哪些領(lǐng)域，接受多大范圍的風險。包括厭惡、中性和冒險是三種典型的風險態(tài)度，一般可以用決策效用曲線來描述，也叫風險承受能力風險容忍度：風險在什么范圍內(nèi)是公司可以接受的可能性影響程度輕微嚴重小大承擔，如賒銷規(guī)避，如違規(guī)嚴控，跑冒滴漏嚴控，如事故風險管理COSO風險管理

企業(yè)的董事會、管理層和其他員工共同參與的一個過程，應(yīng)用于企業(yè)的戰(zhàn)略制定和企業(yè)的各個部門和各項經(jīng)營活動，用于確定可能影響企業(yè)的潛在事項，并在其風險偏好范圍內(nèi)管理風險，從而對企業(yè)目標實現(xiàn)提供合理保證。全面風險管理

本指引所稱全面風險管理，指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括……，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。內(nèi)控與風險管理的邏輯關(guān)系前提假設(shè)戰(zhàn)略目標風險管理內(nèi)部控制案例公司戰(zhàn)略目標競爭戰(zhàn)略經(jīng)營戰(zhàn)略具體活動領(lǐng)先專業(yè)領(lǐng)域的設(shè)備制造商大終端大服務(wù)通過產(chǎn)業(yè)+資本的組合形成成本領(lǐng)先經(jīng)營資金通過大量銀行貸款獲得搞好與銀行關(guān)系戰(zhàn)略目標企業(yè)戰(zhàn)略是要解決企業(yè)做什么或者不做什么的問題。企業(yè)戰(zhàn)略目標在很大程度上決定了企業(yè)將來所要面臨的風險，最終影響企業(yè)的控制。企業(yè)的特征會在較大程度上影響企業(yè)目標風險結(jié)合企業(yè)自身的能力考慮企業(yè)對風險的處理，風險規(guī)避、風險降低、風險分擔、風險承受。風險可以分為：戰(zhàn)略風險、財務(wù)風險、合規(guī)風險、操作風險等。發(fā)現(xiàn)風險應(yīng)及時傳導至所需要傳達到的層次，快速而有效的溝通渠道很重要?？刂祁A(yù)防控制VS檢查控制主控制VS冗余控制基礎(chǔ)控制VS應(yīng)用控制正向控制VS反向控制手工控制VS系統(tǒng)控制一控多VS多控一？何為理想的控制著眼于商業(yè)模式立足于資源條件合適的記錄（傳導）模式（簡潔為好）內(nèi)部控制內(nèi)部控制首先是一種藝術(shù)，是一種機制，其次才是流程，再將其分解至步驟，最后落實到制度，——誰、怎么辦、何時辦、糾偏、記錄等。內(nèi)部控制最高境界是文化，社會文化影響企業(yè)文化進而影響到企業(yè)活動。向下是機制、流程。控制現(xiàn)狀評價整改新內(nèi)控重點形成價值內(nèi)部控制的評價評價設(shè)計有效性執(zhí)行有效性評價人一定要知道什么是對的，什么是好的發(fā)現(xiàn)缺陷一定要分類別，安排整改！18評價體系—央企實例總部內(nèi)審部門統(tǒng)一實施——中石油、中石化公司成立內(nèi)控專職機構(gòu)實施——中人壽委托中介機構(gòu)實施——中移動業(yè)務(wù)部門自評+內(nèi)審部門審計——中電信自我評價內(nèi)審獨評評價體系第一道關(guān)日常的基礎(chǔ)工作全覆蓋的審查內(nèi)控責任人實施第二道關(guān)自評基礎(chǔ)上的階段性工作重點抽查內(nèi)審人員實施年度自評專項自評19內(nèi)控與風險管理工作價值

北京故宮失竊案（2012年2月17日）

2011年5月8日，石柏魁將香港兩依藏博物館正在故宮博物院內(nèi)展出的9件展品盜走，9兼展品共投保金額為41萬元，此前曾有博友稱“被盜文物價值10億元”，展方對媒體澄清值7000多萬。案發(fā)前幾天，石柏魁兩次來到故宮博物院，均未購票混入宮內(nèi)，觀察內(nèi)外地形，掌握每天清場的時間。案發(fā)當天上午10點，石柏魁再次未購票混入故宮內(nèi)，進入誠肅殿的香港“兩依藏珍選粹展”展廳，趁降雨躲在展廳與西配房的夾道直至天黑。晚8點多，石柏魁藏內(nèi)將供電總閘關(guān)閉，踹碎展廳北墻玻璃進入展廳，踹碎內(nèi)部裝飾墻，打碎頂部玻璃，盜走9件藏品。得手后，石柏魁上房，爬上內(nèi)墻逃跑。在此期間，有巡夜人員發(fā)現(xiàn)其蹤影，在上報過程中，石逃脫。他先是躲在宮內(nèi)一輛汽車底下，躲過巡夜人員搜查后，通過一間矮房的鐵制護欄，爬上近10米高的故宮外墻。根據(jù)北京市公安局后來出具的安保評估報告，故宮大部分攝像頭和報警器是沒有經(jīng)過正規(guī)程序購買的，存在嚴重缺陷，遇到雨雪天就失靈，這個情況已經(jīng)持續(xù)幾十年。失竊當天恰好下雨，故宮電子安保系統(tǒng)全部失靈。自從1962年以來，共有包括石柏魁在內(nèi)的6名故宮大盜落網(wǎng)，此前的五人，有2人被判處死刑，3人被判無期徒刑。調(diào)查結(jié)果顯示，目前博物館安保技術(shù)已無懈可擊，但最大的漏洞在于人員的意識和責任心。(北京)市文物局昨天表示，將針對市博物館開展文物安全大檢查，嚴打文物犯罪。故宮曾出現(xiàn)多起文物毀損事件?！八未杀P受損”，出事幾天后，故宮一把手才知情。“這是有原因的，只要悄悄粘起來，放歸原處，就沒有人知道了。”故宮的消息，外界隔了26天才知道。博客：幾年前，宮廷部扔廢棄木箱，結(jié)果將10多件佛像也扔了，對方單位膽戰(zhàn)心驚地送回；06年前后，一級品明代法器人為損壞，08年佛堂舊址上二級品佛像損壞，任萬萍主任的胳肢窩沒夾住那件沉重的歷史，碎了，你們報了嗎？20內(nèi)控與風險管理工作價值（續(xù)）臺北故宮50年僅丟失一頁紙一包鹽（2012年3月16日）

1962年，臺北“故宮博物院”啟用，當年運抵的2972箱文物中，除一頁紙和一包鹽外，其他全在冊?！耙豁摷垺笔?989年文物清點時發(fā)現(xiàn)的，《滿文原檔》中缺少了一頁“女尸圖”。1969年打算發(fā)行《滿文原檔》，但當時沒有掃描技術(shù)，拍照要送到院外，后來有一頁就消失了。自此，臺北“故宮博物院”規(guī)定：無論是拍照、維護或其他理由，文物一律不得離開院內(nèi)。這次清點發(fā)現(xiàn)另一件失蹤的是—包清朝宮廷保留下來的新疆進貢的湖鹽。由于年代久遠，鹽揮發(fā)了，只剩下了外包紙。文物的移動、持拿、運送和擺設(shè)，每個動作都有相應(yīng)規(guī)范，文物不能離開桌面或瑯匣，只能在桌面上水平移動，也不能離開推送的車子，操作的工作人員需要接受專門的長期訓練。一些重要文物的移動還需要事先以復制品進行演練操作。文物移動的每一步，都有兩三人在現(xiàn)場，而且每一過程都有監(jiān)控的影像記錄。每個過程非常小心，非常專業(yè)。至今沒有也不可能出現(xiàn)文物損壞的事件。安全方面，院外，有63位警衛(wèi)、四五條警犬巡邏，全天24小時監(jiān)控，共有78個點、11個崗哨。警察局白天、晚上都巡邏；內(nèi)部有55名安管人員，加上監(jiān)控與庫房維護二三百人。每個陳列室有24小時視頻監(jiān)控，所有展物都放在玻璃柜中，配備防爆裝置，還有紅外線碎音偵測系統(tǒng)，只要稍有破裂就會啟動裝置?！肮蕦m”所有預(yù)算來自財政撥款，經(jīng)費都需要“立法院”審核通過，她要去接受“立委”的“質(zhì)詢”。政府有一個公益網(wǎng)站，統(tǒng)統(tǒng)可以查到，詳細到雇用了多少人和每一分錢的用途。

2011年4月18日，“故宮”所有監(jiān)控、感應(yīng)系統(tǒng)突發(fā)故障，信號傳輸中斷，6小時后才恢復。藍綠“立委”同聲批評、要求院長負責。“故宮”隨即發(fā)布新聞澄清，斷電故障系是因供電系統(tǒng)設(shè)計不良?！肮蕦m”與教育部等同級，只比行政院低一級。工作人員都屬公務(wù)員。受到多重監(jiān)督，包括來自主管機關(guān)、“立法院”、“監(jiān)察院”和審計部的監(jiān)督?！痹谶@樣的多重監(jiān)督之下，“比較不容易犯錯”。21哪些環(huán)節(jié)出了問題？

50歲的李某是原A公司工程部經(jīng)理。2000年11月，B公司向A公司求購一套設(shè)備，但當時A公司不生產(chǎn)和經(jīng)營該類設(shè)備，頭腦活絡(luò)的李某接下單子，到Y(jié)紡機廠（C公司）訂購。隨后，李某將A公司的45萬余元劃入C公司，C公司按李某要求的單位和地址(B公司)發(fā)了設(shè)備。2001年初，李某代表A公司到C公司核賬時發(fā)現(xiàn)，C公司財務(wù)出錯：把已提走的設(shè)備，當作B公司購買，而他劃入的45萬余元卻變?yōu)锳公司的預(yù)付款。

2001年3月至4月，李某派人到C公司，以A公司的名義，購買價值60余萬元的設(shè)備。因為有了45萬余元的預(yù)付款，李某僅向C公司支付了15萬元。隨后，他找到了親戚經(jīng)營的D公司，開出了A公司以67萬元的價格購得這批設(shè)備的發(fā)票。A公司不知內(nèi)情，向D公司支付了全部67萬元購貨款，李某從中得利52萬元。同年7月至10月間，李某又以相同手段多次騙得A公司185萬元，占