金融业内部控制.pptx

金融业内部控制与风险管理内容提要一、为什么要建立内部控制？二、内部控制制度与管理制度的关系三、什么是企业内部控制？四、我国内部控制规范体系五、内部控制的顶层设计六、业务层面内部控制设计七、内部控制评价一、为什么要建立内部控制？ （一）法定要求（外因）1．SOX法案2001年底，美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝光，诚信危机震撼着美国及全球。为了提高公众对美国金融市场和政府经济政策的信心，2002年7月30日，美国总统布什签署了《萨班斯——奥斯利法案》。该法案因由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出而得名。法案对美国1933年《证券法》、1934年《证券交易法》作了修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。法案突出了“以法治市”的理念，大幅度提高了对会计舞弊的处罚力度和对公司管理层及白领犯罪的刑事责任，同时强化了管理层内部控制的责任和义务。美国对中国公司有要求，所以监管层比较着急，匆忙推出内部控制。资本市场的敲门砖。2．ERM框架为了给公众公司提供一套遵从404条款的标准，2004年9月，COSO又提出了ERM框架。ERM框架在内涵界定、目标体系、构成要素等方面对COSO《内部控制——整体框架》的内部控制概念进行了拓展和延伸。COSO希望通过新框架能够成为组织董事会和管理者的一个有用工具，用来衡量组织的管理团队处理风险的能力，并希望框架能够成为衡量组织风险管理是否有效的一个标准。（二）企业风险管理的需要（内因）银行业作为一个高风险行业，尽管存在强大的外部监管，如银监会的监管、社会监督、行业自律等均不失为有效的手段，但这些外部监管的防范效果最终取决于银行内部控制风险防范效能的发挥。我国商业银行的经营风险也逐步由隐性转向显性，主要有1）信用风险：如：贷款质量下降、呆账增加、经营亏损严重、支付能力不足而引起的；2）操作风险，即从业人员欺诈与越权经营而产生的3）管理风险，决策管理层缺乏科学的管理和经营而导致的等。（三）股东需要（外因）关注财务报表→同时关注相关内部控制 二、内部控制制度与管理制度的关系现代企业不可能没有内部控制制度，但是其内部控制未必达标。“控制”是管理职能之一，内部控制从属于管理制度，但是，管理制度不能代替内部控制。管理制度主要是保证经营活动有序、高效运行，可能会排斥内部控制，因为内部控制可能会降低效率。内部控制是以风险管理为目标的，它要求企业在提高经营效率的同时，要关注风险。所以，现代企业管理制度必须将内部控制机制纳入其中。三、什么是企业内部控制？世界公认的内部控制标准，当属COSO委员会1992年提出的《内部控制——整体框架》。（一）《内部控制——整体框架》。三个目标：合规性目标、经营目标、财务目标。实现三个目标需要取得以下五个要素的支持：控制环境、风险评估、控制活动、信息与交流和监督。（二） 《企业风险管理——整体框架》2004年，COSO发布《企业风险管理——整体框架》，从企业风险管理角度重新定义了内部控制四个目标：增加了战略目标。提出了八要素：内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控。引入了风险偏好、风险容忍度等概念和方法，因此，在风险度量的基础上，有利于企业的发展战略与风险偏好相一致。在内部控制中引入风险管理，将内部控制提升到风险管理层次，目的是突出风险管理在内部控制中的核心地位。（银行业的风险包括：信用风险、利率风险、汇率风险、流动性风险和操作风险等）全面风险管理，是指对整个银行体系内各个业务层面、各种类型风险的通盘管理。 对内部控制概念的理解第一，内部控制是一个“过程。过程比结果重要，不能根据结果评价内部控制。内部控制只是一个过程告诉我们，内部控制只能提供合理保证。经营得很好的企业，内部控制可能很差；经营得很差的企业，内部控制可能很好。所以，内部控制与企业界经营好坏没有必然的联系。好企业之中，有一部分企业虽然没有内部控制的形式，但是按照内部控制的规律运行的；有一部分是因为这些企业具有巨大的竞争优势，把内部控制缺失可能出现的问题掩盖了；还有一部分是这些企业可能没有遇到重大的风险事件洗劫。内部控制只是一个过程还告诉我们，内部控制只能提供合理保证，并不意味着内部控制是可有可无的。内部控制具有巨大的经济意义，有了内部控制能够使好企业更好；没有内部控制能使坏企业更坏。所以，建立内部控制目的就是使好的更好，避免使坏的更坏。第二，企业中的每一个人都对内部控制负有责任，并受内部控制影响内部控制受到“人”的因素的影响，组织中的每一个人都对内部控制负有责任并受到内部控制的影响。是“人”建立企业的目标，并将控制机构赋予实施；内部控制以其特有的文化优势，影响和改变着组织中的每一个人。第三，内部控制是企业自己