內部控制與風險管理小百科

1、內部控制與風險管理小百科,故事園地,由一張報銷單引發(fā)的故事,看杜拉拉升職記學內控之三,看杜拉拉升職記學內控,情景：黛西和伊莎貝拉的費用報銷串通舞弊,看杜拉拉升職記學內控,常見的舞弊手段,上述情景利用了 虛報冒領和 模仿簽字,看杜拉拉升職記學內控,報銷付款的控制手段,窗外之聲,SOX法案 最“瘋狂”的法案,2001年 11月 安然事件曝光 2002年6月 世通事件曝光 2002年6月18日 美國國會通過的由參議院銀行委員會主席薩班斯(Sarbane)和眾議院金融服務委員會主席奧克斯利(Oxley)聯(lián)合提出的會計改革法案2002上市公司會計改革與投資者保護法案。 2002年7月30日 布什總統(tǒng)簽署

2、成為正式法律，稱作2002年薩班斯-奧克斯利法案,出臺背景,設立獨立的上市公司會計監(jiān)管委員會（PCAOB)，負責監(jiān)管執(zhí)行上市公司審計的會計師事務所； 特別加強執(zhí)行審計的會計師事務所的獨立性； 特別強化了公司治理結構并明確了公司的財務報告責任及大幅增強了公司的財務披露義務； 大幅加重了對公司管理層違法行為的處罰措施； 增加經(jīng)費撥款，強化美國證券交易委員會（SEC）的預算以及職能,主要內容,強調上市公司財務報告的真實性。 上市公司首席執(zhí)行官(CEO)和首席財務官(CFO)的必須簽字聲明：他們必須在每一年度報告或季度報告中保證已審閱過該報告；并認為報告中不存在重大的錯報、漏報；且認為報告中的會計報表

3、及其他財務信息在所有重大方面，公允地反映了公司在該報告期末的財務狀況及該報告期內的經(jīng)營成果,最嚴厲”的法案,如果違規(guī)： 故意進行證券欺詐的犯罪最高可判處25年入獄。對犯有欺詐罪的個人和公司的罰金最高分別可達500萬美元和2500萬美元。 故意破壞或捏造文件以阻止、妨礙或影響聯(lián)邦調查的行為將視為嚴重犯罪，將處以罰款或判處20年入獄，或予以并罰。 執(zhí)行證券發(fā)行的會計師事務所的審計和復核工作底稿至少應保存5年。任何故意違反此項規(guī)定的行為，將予以罰款或判處20年入獄，或予以并罰。 公司首席執(zhí)行官和財務總監(jiān)必須對報送給SEC的財務報告的合法性和公允表達進行保證。違反此項規(guī)定，將處以50萬美元以下的罰款，

4、或判處入獄5年。 起訴證券欺詐犯罪的訴訟時效由原來從違法行為發(fā)生起3年和被發(fā)現(xiàn)起1年分別延長為5年和2年,最嚴厲”的法案,主要規(guī)定了管理層對公司內部控制的評估。 內部控制方面的要求：要求公司年報中包括一份“內部控制報告”，該報告應包括以下內容：（1）明確指出公司管理層對建立和保持一套完整的與財務報告相關的內部控制系統(tǒng)和程序負有責任；（2）包含管理層在財務年度期末對公司財務報告相關內部控制體系及程序的有效性的評估。 內部控制評價報告受托的上市公司審計師應按照上市公司會計監(jiān)管委員會(PCAOB)對審核約定所發(fā)布或采用的準則就管理層關于內部控制的評估進行測試和評價，并出具評價報告。上述評價過程不應當

5、作為一項單獨的業(yè)務,最復雜的”條款 第404條款,最昂貴的”條款 第404條款,為了合規(guī)需要投入大量的時間和資源，許多公司不堪重負： 2003年底，全球最大的計算機聲卡制造商新加坡創(chuàng)新科技成為第一家主動退出納斯達克的亞洲公司，創(chuàng)新科技在納斯達克上市已11年。據(jù)該公司高管解釋，退市的原因與薩法頒布后上市成本高昂有關。 2004年6月，德國電子商務公司Intershop AG從納斯達克退市，據(jù)悉，薩法所帶來的大筆額外會計及管理費用是導致該公司退市的主要原因之一，此舉可以令其每年節(jié)省80萬歐元的費用，其中50萬歐元是直接因薩法而起,性本善 VS 性本惡,弦外之音,人之初，性本何,三字經(jīng)有云：“人之初

6、，性本善”，而古代大思想家荀子，卻提出了與之相反“性本惡”的觀點。 在企業(yè)內部控制中，對員工的信任度是許多企業(yè)管理者都會考慮的問題，是相信“人性善”還是“人性惡”,人性與違規(guī),相信“人性本惡”，就是認為所有人在內部控制出現(xiàn)漏洞的情況下都會違規(guī)（利用漏洞進行欺詐）。這種觀點過于絕對，因為違規(guī)面臨被發(fā)現(xiàn)和追究責任的危險，因此存在“違規(guī)成本”，而只有當違規(guī)收益大于成本時，違規(guī)者才會鋌而走險，選擇利用漏洞。 相信“人性本善”，就是認為所有人會以公司利益為重，不會在內部控制出現(xiàn)漏洞的時下進行舞弊和欺詐。這種觀點可能被這樣一個現(xiàn)象蒙蔽：那些看起來都很善良的員工和外部相關人員之所以不違規(guī)，不全是因為他們“性

7、本善”，而很可能只是因為違規(guī)成本大于收益，暫時選擇循規(guī)蹈矩而已，一旦違規(guī)成本下降或違規(guī)收益增加，是否還會保持“善”,內控解讀,一些內部欺詐的例子已經(jīng)說明，對員工的完全信任可能會讓企業(yè)“很受傷”。 少數(shù)人違規(guī)是個人問題，多數(shù)人違規(guī)或有違規(guī)的機會，就是制度和流程的問題。 提高違規(guī)成本可以降低潛在違規(guī)者的主觀動機，可采取的措施包括對員工陳明利害、制度約束、建立獎懲機制、在重要崗位安排責任感強的員工等。 改造業(yè)務流程、堵塞漏洞，才是從根本上杜絕違規(guī)可能性、實現(xiàn)有效內部控制的手段,風險評估,理論課堂,風險評估的概念 是指組織對與實現(xiàn)其目標有關的風險群的識別和分析，如何控制風險建立基礎。 風險評估的特點

8、所有組織在所有層次都面臨風險，與組織規(guī)模，性質，結構或行業(yè)無關 風險影響公司的生存能力，行業(yè)競爭能力，維護財務安全和良好公關形象的能力，維護產(chǎn)品，服務質量和人員素質的能力 風險評估滲透內部控制的所有要素，組織的所有層次 不存在能使風險為零的有效途徑,概念與特點,風險承受 是組織能承擔的風險限度，包括整體風險承受能力(風險偏好）和業(yè)務層面的可接受風險水平（風險容忍度）。 風險承受影響組織風險應對的策略。對風險承受度以下的風險組織可以選擇承受，對超過風險承受度的風險組織采取不同策略應對。 風險偏好 組織整體風險承受能力 由董事會負責決策，定位于戰(zhàn)略層面，具備較強的穩(wěn)定性和一貫性。 風險容忍度 業(yè)務

9、層面的可接受風險水平 受風險偏好指導，由高管層制定，根據(jù)市場環(huán)境和經(jīng)營狀況的變化作出相應調整,風險承受度,內部風險 管理人員的職業(yè)操守，員工專業(yè)勝任能力等人力資源因素 組織機構，經(jīng)營方式等管理因素 研究開發(fā)，技術投入，信息技術運用等自主創(chuàng)新因素 財務狀況，經(jīng)營成果，現(xiàn)金流量等財務因素 營運安全，員工健康，環(huán)境保護等安全環(huán)保因素 外部風險 經(jīng)濟形勢，產(chǎn)業(yè)政策，融資環(huán)境，市場競爭，資源供給等經(jīng)濟因素 法律法規(guī)，監(jiān)管要求等法律因素 安全穩(wěn)定，文化傳統(tǒng)，社會信用，教育水平等社會因素 技術進步，工藝改進等科學技術因素 自然災害，環(huán)境狀況等自然環(huán)境因素,風險識別,采用定性和定量相結合的方法，按照風險發(fā)生的

10、可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優(yōu)先控制的風險。 風險重要度確定的流程： 對識別的風險進行判斷（來源于董事會或管理層的經(jīng)驗） 對每一個判斷標準給出定量的權重（如1-5） 權重數(shù)應反映風險對組織活動和目標的相對重要影響 計算每一個風險的加權數(shù) 排列風險優(yōu)先控制順序,風險分析,風險規(guī)避 采取措施退出風險業(yè)務 例如： 某慈善機構確認并評估了為其成員提供直接醫(yī)療服務的風險，決定不承受風險而改為安排其他機構進行治療服務。 風險降低 采取措施降低風險可能性或者影響，或者同時兩者 例如： 某網(wǎng)絡公司評估并確認了其工作系統(tǒng)的風險，無法承受3個小時的運作，認為該風險無法承受，進行系統(tǒng)的技術強化，降低了系統(tǒng)癱瘓的可能性。 風險分擔 通過轉移或其他分擔途徑降低風險可能或影響 例如： 某學校評估并確認了學生宿舍管理的風險，認為不具備有效管理大型宿舍房產(chǎn)的能力，于是將宿舍管理外包給某