合规、内控和风险管理.ppt

,合规、内部控制与风险管理研讨2006.8 北京,趋势 机遇 挑战,第一会达全面风险管理专家,中国第一家全面风险管理专业服务公司服务范围包括全面风险管理体系建设和企业关键风险解决方案，以及风险管理信息系统设计与实施和风险理财服务。参与多个国内外风险管理标准的制定工作与国务院国资委和国家开发银行共同组成“企业全面风险管理研究课题组”，参与制定了国资委中央企业全面风险管理指引（以下简称指引），同时负责、中央企业风险管理现状的普查、重点企业调研和中央企业的全面风险管理培训工作。我们还代表中国国家标准化管理委员会参与了国际标准组织(ISO)风险管理标准的制定。专业化团队我们拥有来自海内外长期接受专业训练的、有实战经验的咨询和信息技术专家团队，既可以提供企业整体战略和运营层面的全面风险管理解决方案，又能解决具体的风险管理问题，是目前国内从事全面风险管理服务的最大的、经验最丰富的专业团队。,研讨大纲,第一部分 趋势中国的管理提升年全球风险管理的标准沿革中国企业面临的合规要求和参考标准三个重要标准的选择,第二部分 机遇风险管理，大势所趋风险管理的合规要求,第三部分 挑战合规目标和发展目标的平衡工作方案参考,中国的管理提升年,2005年11月2日国务院颁布的国务院批转证监会的通知，要求上市公司建立健全公司内部控制制度，有效提高风险防范能力上交所出台上市公司内部控制指引国资委出台中央企业全面风险管理指引财政部牵头，成立内控标准委员会，与证监会、银监会、保监会、发改委、国资委成立内控标准委员会中国标准委配合ISO组织,已经立项起草中国风险管理标准,全球管理标准的沿革,企业面临的合规要求和参考标准,合规要求 采用标准 合规制订日期 合规生效日期,COSO内部控制整合框架,中央企业全面风险管理指引,内控与风险管理的基本框架（COSO全面风险管理框架）,萨班斯法案(SOA),企业管治常规守则,国资委指引,2002年,2004年,2006年,2006年7月15日,2005年1月1日,2006年6月6日,COSO全面风险管理框架,上市公司内部控制指引,2006年,2006年7月1日,萨班斯法案,法案性质：一项法律，参众两院通过，总统签署机构参与：执行机构（PCAOB，上市公司会计监督委员会）监管机构（SEC，证券交易委员会）对象：上市公司的管理层、审计委员会会计师事务所、注册会计师证券交易所、证券分析师内容成立PCAOB要求加强注册会计师的独立性要求加大公司的财务报告责任（302）要求强化财务披露义务（404）分析师的利益关系冲突委员会资源与权限研究与报告公司与欺诈犯罪加强对白领犯罪的惩戒公司纳税报表公司欺诈与责任,302和404,第404节 管理层对关于财务报告的内部控制评价要求管理层对年度末关于财务报告的内部控制进行评估报告，并发表内控是否有效的报告，同时要求外部审计进行验证影响：针对公司现有对财务报告有影响的内部控制，绘制和记录其流程、测试其有效性，并对其不足和缺陷进行报告通过PCAOB制定内部控制审计审计准则，保证监管有效执行,第302节 公司对财务报告的责任CEO和CFO本人必须对财务报表的准确性和内部控制披露的有效性作出书面证明。影响：在公司各级建立并执行信息披露的控制和财务报告相关控制和程序每季对内部控制的有效性进行评估（评估截止日为财务报告截止日）、测试向审计委员会披露所有明显的不足，重大缺陷以及欺诈披露本季度内财务报告相关控制的重大变动,404的核心是披露对财务报告风险的控制能力和水平,控制框架选择评估重大错报的风险（固有风险和舞弊风险）确定重要科目和披露确定相关财务报告的认定确定重大流程确定评估范围确定公司层面的控制和具体控制控制设计有效性控制的记录、测试、检查评估流程的记录、与审计委员会的沟通,萨班斯法案的执行力分析,美国上市公司会计监管委员会(PCAOB)发布2号内部控制审计准则，获得SEC批准。,PCAOB审计准则第2号。27在实施财务报告内部控制审计的时候，审计师必须获得有关内控设计和运行有效性的证据，这里所指的内控针对的是。28在实施公司财务报告内部控制审计时，审计师必须遵守公认准则以及外业和报告准则。包括：a.计划委托业务；b.评价管理层的评估流程；c.获得对财务报告内部控制的了解；d.测试和评估财务报告内部控制设计的有效性；e.测试和评估财务报告内部控制运行的有效性；f.形成对财务报告内部控制有效性的意见。,萨班斯-奥克斯利法案内控部分对审计的要求,萨班斯-奥克斯利法案,合规,COSO内部控制-整合框架,风险管理标准,PCAOB审计准则独立内控审计报告,审计要求,核心要求,加大财务报告责任；强化财务披露义务；加重违法行为处罚；,企业管治常规守则，企业管治报告,守则守则性质：上市规则机构参与：监管机构（联交所）对象：上市公司的董事会、管理层、审计委员会内容结构：守则条文建议最佳常规董事董事及高级管理人员的薪酬问责及核数（C.2-内部监控，C.3-审计委员会）董事会权力的转授与股东的沟通,企业管治报告强制披露要求：企业管治常规内容对守则的遵守情况的陈述董事证券交易情况披露董事会运转情况详情非执行董事情况董事薪酬情况董事提名会计师薪酬审核委员会情况董事会已经检讨内部控制系统是否有效（预期披露）建议披露要求高管持股权益股东权利投资者关系内部控制的评估的次数、时间等董事会与管理层分工,企业管治常规守则对内部监控的要求,原则：董事会确保内控系统的有效性，以保障股东的投资和发行人的资产守则条文：C.2.1 董事会应最少每年检讨一次发行人及其附属公司的内部监控系统是否有效，并在企业管治报告中向股东汇报已完成有关检讨。有关检讨应涵盖所有重要的监控方面，包括财务监控、运作监控及合规监控以及风险管理功能。建议最佳常规：C.2.2 董事会每年检讨的事项应特别包括下列各项：(a)重大风险的性质及严重程度，以及应付业务转变及外在环境转变的能力(b)管理层持续监察风险及内部监控系统的工作范畴及有效性(c)董事会建立对内控及风险管理的有效性进行评估的系统C.2.3 作为企业管治报告的部分内容，有关披露内容也应包括以下事项：(a)重大风险管理的程序(b)任何有助了解发行人风险管理程序及内部监控的额外资料（c）董事会承认对内控有效性的责任（d）检验内控有效性的程序,守则中涉及的内部监控范围超出了萨班斯的范围,对内控的范围，包括了财务监控、运营监控、合规监控和风险管理功能。守则下发后，香港会计师公会关于内控的解释-内部控制和风险管理基础框架B.2.0 内控系统的要素COSO内控框架B.4.0 风险管理程序COSO风险管理框架内部财务监控财务风险和财务报告风险C.1.4-1.17 内控和风险管理的有效性检讨C.1.18 董事会至少应披露公司识别和评估重大风险的程序C.1.20 董事会可以提供额外资料，帮助投资人了解风险管理程序和内控系统 3、从执行力度方面，缺乏独立监督，有效性相对降低。,企业管治常规守则企业管制报告,合规,建议最佳常规内部控制与风险管理的基本框架,风险管理标准,无相关外部审计要求,审计要求,核心要求,规范公司治理结构；保障股东投资及资产；加强管治信息披露；,指引性质：交易所上市规则机构参与：证监会，上交所对象：在上交所挂牌的A股公司，对深交所挂牌的上市公司也有指导意义内容要求公司建立健全内部控制制度，保证内控制度的完整性、合理性及实施的有效性。要求公司编制内部控制自我评估报告，在年报中披露该报告。要求公司披露会计师事务所对该报告的核实评价意见。专项风险管理附属公司的管理；金融衍生品的交易。,上交所上市公司内部控制指引,上交所内控指引的强制要求,强制要求：上市公司必须建立内控制度（包括信息管理内控制度、内部会计控制规范、对附属公司的管理控制和金融衍生产品交易的内控），并保证其完整、合理及实施有效。公司必须制定危机管理控制制度。公司应进行定期和不定期的内控检查。应设立专门职能部门负责内控的日常检查监督工作。公司必须制定内控检查监督办法，年度内控检查监督计划，并在年度和半年度结束后向董事会提交内控检查监督工作报告。内控检查监督工作报告中必须据实反映内控缺陷及实施中存在的问题。公司董事会对内控检查监督工作进行指导，并审阅其报告。公司要对检查中发现的问题采取适当的改进措施。公司要及时向董事会报告发现的内控重大缺陷或重大风险。董事会要及时向上交所报告发现的内控重大缺陷或重大风险。经上交所认定，董事会应及时对内控重大缺陷或重大风险发布公告。公司应在公告中说明内控出现缺陷的环节、后果、相关责任追究以及拟采取的补救措施。公司必须编制内部控制自我评估报告。公司董事会必须在年报中披露年度内部控制自我评估报告。公司的内部控制自我评估报告必须经会计师事务所审计。审计意见必须在年报中披露。,上交所内控指引的非强制要求,非强制要求：对于业务环节层面的要求，公司可根据自身所处行业及生产经营特点进行调整。公司专门负责内控日常检查监督工作的职能部门可根据公司自身组织架构和行业特点安排设置。公司董事会可根据公司经营特点，制定内控检查监督工作报告的内容与格式要求。公司对内控检查监督工作的指导和审阅，可由审计委员会负责。公司可将发现的内控缺陷及实施中存在的问题列为各部门绩效考核的重要项目。,上交所的非强制要求给企业的内控建设留有空间：上交所指引中的非强制要求涉及公司执行内部控制的建设和实施中面临的问题。上交所指引对这些问题的建议性要求给企业的内控建设提出发展方向上交所指引中的非强制要求是内控标准制定和实施中的一个过渡。公司内控建设的长远发展应在国际标准的基础上构建全面风险管理体系。,指引性质：一项政府文件，出资人为企业提供的风险管理指导范本，国资委签署机构参与：国资委对象：中央企业内容总则风险管理初始信息风险评估风险管理策略风险管理解决方案风险管理的监督与改进风险管理组织体系风险管理信息系统风险管理文化附则,国资委中央企业全面风险管理指引,第五条全面风险管理流程,风险管理基本流程包括以下主要工作：(一)收集风险管理初始信息；(二)进行风险评估；(三)制定风险管理策略；(四)提出和实施风险管理解决方案；(五)风险管理的监督与改进。,国资委中央企业全面风险管理指引,国资委中央企业全面风险管理指引,第四十二条全面风险管理组织,企业应建立健全风险管理组织体系，主要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责。,第二十六条风险管理策略,企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。,三个重要标准，我们选择谁？,COSO内部控制整合框架COSO(I),三个目标控制环境风险评估控制活动信息沟通监督,四个目标控制环境目标设置事件辨识风险评估风险反应控制活动信息沟通监督,COSO全面风险管理整体框架COSO(II),国资委企业全面风险管理框架SASAC,框架构成要素风险管理策略风险管理组织体系风险管理信息系统内部控制风险理财,风险管理的基本流程风险管理初始信息风险评估制定策略风险解决方案风险管理的监督与改进,内控方面的标准并无绝对的差异，多为结构的差别。COSO内部控制整合框架(COSO I)：系统、完整地定义了内部控制体系，得到普遍认可。COSO全面风险管理框架(COSO II)：以COSO内控框架为出发点发展而成，补充的内容侧重在流程，在风险定义和风险构成要素方面存在明显的不足。国资委指引：把风险管理从构成要素和管理流程两个方面展开，更明确的表述了风险管理的内涵和要求，便于作为一个整体进行架构，逻辑更清晰，范围更广泛。合规要求并未规定选择何种内控标准，只是建议性的要求。萨班斯法案：建议选择COSO(I)，如果使用非COSO(I)，需要映射来保证满足要求；联交所：对风险管理有参考最佳实践的要求，同时提供了内部控制与风险管理的基本框架最为参考，该框架完全参考了COSO(II)。上交所：参考了COSO(II)和萨班斯的执行力结构，执行的结果会存在很大差异。国资委：内部合规，三年内推广，落实考核,合规要求的目标是企业管理提升要求的最低标准,第二部分 机遇风险管理，大势所趋风险管理的合规要求,风险管理，大势所趋,2001年，发达国家的大企业中计划实施全面风险管理的企业占20%，正在实施的占35%，而已经建立了完整的风险管理体系的企业只占11%。2004年，建立了完整的全面风险管理体系的企业已经达到了38%，而没有计划实施全面风险管理体系的企业从2001年的31%下降到10%。由此可见目前发达国家的企业已经把建立全面风险管理体系作为获得竞争优势的基本手段。,合规要求中的风险管理内容,主要针对财务报告风险,职能,风险,风险管理流程,萨班斯法案,要求确定可接受的风险种类及程度强调董事会、行政管理层及风险管理委员会风险管理职责目标评估应对监控的风险管理流程,企业管制常规守则,确定管理层对财务报告的责任强调建立和维护内部控制系统（参考COSO内控框架要求）,针对公司重大风险,风险管理策略,风险理财,风险信息系统,将风险预警机制纳入现有管理信息系统，并强调适时、相关及可靠的风险报告,涵盖了风险管理的各要素和风险管理的流程，更系统化，可操作性更强风险量化工具的应用介绍,国资委指引,全面风险,第三部分 挑战合规目标和发展目标的平衡工作方案参考,企业面临的挑战,被动合规向主动合规的战略调整培养积极的合规文化以“变”应“变”，合规要求的前瞻性视野影响行业监管机构的监管要求，引导行业的最佳实践标准的选择COSO全面风险管理框架 Vs 国资委指引范围的不断，监管机构很难在实现萨班斯法案的执行力作为10年后的世界经济龙头，企业需要在中国的管理标准解决短期合规目标和发展目标的平衡合规要求的外延将逐步扩大不同资本市场的合规差异将逐步趋同受限于上市公司投入的资源，鼓励对管理体系有效性的透明披露,解决合规目标和发展目标的平衡问题,管理提升和合规并举,发展的目标 在现有的合规管理实践基础上，着手建立风险管理体系，有效管理公司面临的风险，保持企业持续、健康的发展，以达到以下具体目标：合理保证公司发展战略目标的实现；防止重大风险的发生，建立重大风险的应对机制，避免经营产生重大波动；保证股份公司和子（分）公司之间运营的有效协同，保证经营管理体系的有效运转。,合规的目标 满足资本市场的相关监管要求，此为基本要求。同时，还要兼顾地方国资委执行中央企业全面风险管理指引的要求，成为企业风险管理的典范。,基本工作,工作出发点,合规准本工作,满足监管基本要求的工作方案参考,合规准备工作 侧重在披露材料的准备和保证合规目标实现上，主要包括：合规要求的差异分析研究，明确国资委指引合规要求的影响确定完成合规工作内容的利用方案与监管机构了解内控体系评估的标准明确国资委指引合规要求对设计待披露报告结构和内容合规时间计划和落实方案,基本工作 包括风险评估和风险管理现状诊断，是满足风险管理披露要求和风险管理体系建设的基础，具体包括：风险辨识、风险分析和风险评价；审核现有的制度、流程等，评估公司的风险管理状况，并提出改进方案。,工作成果两项工作都需要有明确的里程碑要求，根据我们的经验和判断，以下方面的成果将有利于合规目标的圆满实现：明确董事会对内控和风险管理的责任（董事会议事规则）落实内控和风险管理职责到专业委员会开展了内控和风险管理的提升工作，管理职责明确确定了内控和风险管理框架利用风险自我辨识和评估系统，提高内控评估的效率,站在风险管理的角度来思考合规问题；国资委全面风险管理的指引提供了很好的思路和方向，建议充分发挥和借鉴；建议下一步开展合规工作利用前期项目的成果，结合国资委和监管机构的合规要求，实现双赢。,总结,研 讨,