内部控制与企业风险管理实务操作指南

第1部分内部控制与企业风险管理框架

第1章我国的内部控制与企业风险管理

1．1我国内部控制与企业风险管理的发展

1．2上海证券交易所《上市公司内部控制指引》

1．3深圳证券交易所《上市公司内部控制指引》

1．4国务院国有资产监督管理委员会《中央企业全面风险管理指引》

第2章COSO内部控制与企业风险管理整合框架

2．1COSO内部控制整合框架及发展

2．2COSO企业风险管理整合框架

2．3COSO内部控制与企业风险管理整合框架的比较

第2部分内部控制与企业风险管理实务

第3章内部环境

3．1风险管理理念和风险偏好

3．2董事会／审计委员会与监事会

3．3诚信与道德价值观

3．4员工的胜任能力

3．5组织结构

3．6权力和职责的分配

3．7人力资源政策

3．8反舞弊

第4章目标设定

4．1战略目标

4．2经营目标

4．3报告目标

4．4合规目标

4．5对应的主要文档性记录

第5章事项识别

5．1关注要点

5．2主要措施和程序

5．3对应的主要文档性记录

第6章风险评估

6．1关注要点

6．2主要措施和程序

6．3对应的主要文档性记录

第7章风险应对

7．1关注要点

7．2主要措施和程序

7．3对应的主要文档性记录

第8章控制活动

8．1控制活动的实施

8．2销售与收款业务流程

8．3采购与付款业务流程

8．4生产管理业务流程

8．5固定资产管理业务流程

8．6货币资金管理业务流程

8．7关联方交易业务流程

8．8对外担保业务流程

8．9投资管理业务流程

8．10研发业务流程

8．11人力资源业务流程

第9章信息与沟通

9．1信息

9．2沟通

9．3信息系统总体控制

9．4信息系统应用控制

9．5信息披露

第10章监控

10．1持续监督

10．2单独评价

10．3报告缺陷

第11章测试

11．1测试人员的职责和权限

11．2测试流程

11．3测试方法

11．4保存测试的工作底稿

第3部分IT治理与内部控制

第12章IT治理与内部控制

12．1治理的背景

12．2IT治理的形成

12．3IT治理要点

12．4COBIT4．0

12．5COBIT4．0的原理与框架

12．6IT流程、IT治理、COS0、COBITIT资源和COBIT信息特征的直接关系

12．7COS0-COBIT-SOX

12．8ITIL

12．9BS7799／IS0／IEC17799

第4部分附录

附录A上海证券交易所上市公司内部控制指引（2006-6-5）

附录B深圳证券交易所上市公司内部控制指引（2006-9-28）

附录C国务院国有资产监督管理委员会中央企业全面风险管理指引（2006-6-6）

附录D《萨班斯法案》（SOX）摘录（302、404、906）

参考文献

前言

在一个充满不确定性的世界中，如何识别和控制风险成为企业生存与发展的重要一环，在很多情况下，往往决定了企业的成败。内部风险控制的疏漏导致1995年英国霸菱银行的破产、2001年美国安然公司的倒台和2002年世通公司的丑闻，促使全球的商界、金融界和政府重新审视风险控制的内部制度和外部环境。以美国的《萨班斯-奥克斯利法案》(Sarbanes-OxleyActof2002，以下简称《萨班斯法案》)为代表，世界各国经历了一波强化内部控制和监管的浪潮，企业对风险控制的重视程度显著提高，投入了大量的资源改造和完善内部控制的流程、操作、监督和评估。

《内部控制与企业风险管理实务操作指南》一书以美国COSO(CommitteeofSponsoringOrganization)委员会1992年发布的《内部控制整合框架》和2004年的《企业风险管理整合框架》为主线，全面介绍了企业内部控制的目标、要素、流程设计以及信息技术支持，既包含了内部控制的一般原则，也不乏操作的具体细节，可以作为企业经营管理者的一部手册性参考书籍。

如COSO委员会所陈述的，企业内部控制和风险管理的目标是提高经营效率，确保财务报告的可靠性，以及企业经营操作的合洳J生与合规性。看上去这些目标似乎有相互矛盾之处，例如为了增加利润而进入法律上的灰色地带．但如果企业追求的是盈利的长期可持续增长，这三个目标实际上是一个不可分割的整体。

企业追求经营效率，效率意味着利润的最大化，但长期利润的最大化需要与企业承担的风险相匹配。市场经济活动具有不确定性，要想获得利润。

就必须承担风险。效率并不是单纯的利润最大化，而是收益和风险之间的最佳平衡，是在股东能够承受风险的约束下，尽可能地获取利润。至于第二个目标，可靠的财务报告既是管理层评估和控制企业风险的依据，也是外部投资者信心的基础，而外部投资者的信任与支持是企业长期发展的重要前提条件。与此相类似。坚持经营操作的合法与合规性，可能在短期内会限制企业的内外部机会，但同时也避免了过高的风险，对于企业的长期利润最大化是必不可少的。

关于内部控制与风险管理的8个因素(详见本书第2章)，我们希望强调的是公司文化的重要性。由于企业内部上下信息的不对称，管理层的评估与监控不可能是完美的，规章制度的执行总会出现有意和无意的偏差，从而将企业暴露在风险之下。具有高度风险意识以及高水准职业道德的员工是企业风险控制的根本保障，如何向员工传达诚信的理念，如何建立合规操作的企业文化．将规章制度转化为员工的自觉行动，是企业管理者所面临的一项挑战。

对于像中国这样的转型经济，企业内部控制与风险管理首先是一个体制问题，或者说是公司治理机制问题，风险控制的方法和技术当然很重要，但只是第二位的。在经济转型的过程中，因经济体制改革的落后以及政府职能的错位。管理层控制风险的激励不足。在激励机制没有到位之前，内部控制和风险管理的规章制度再完善，也有可能是形同虚设。以中国航空燃油进出口公司为例。前总经理陈久霖违规进行石油期货的交易，使国家遭受5．5亿美元的损失。主要的原因并非内部控制制度不健全，而是管理者的行为扭曲。这种行为扭曲并非单纯的道德水准和职业操守问题，国家股东既没有给管理者以控制风险的充分激励，也未能对管理者形成有效的约束和制衡，说到底，根子还是在政府所有制下公司治理的制度性虚弱。不是自己的资产，有谁会关注风险？政府所有制能否产生有效的公司治理？能否避免内部人控制？理论和实践都给出了不容乐观的回答。为了改善企业的风险管理，有必要进一步推动包括所有制在内的经济体制改革。

经济体制改革的滞后造成企业风险管理激励不足与政府部门过度监管的并存。出于风险控制和部门利益的考虑，政府部门日益繁琐的政策法规和行政审批，有可能干预企业的正常运行。企业发行股票和债券，政府要审批，理由为控制风险；金融类企业开发新产品和设立新的金融机构，政府也要审批，理由同样是为民众控制风险。企业的内部控制正变为外部控制，微观层面上的风险管理正呈现出宏观化的趋势。政府的干预增加了市场交易成本，有可能阻碍企业的产品和技术创新。

过度监管并非转型经济中的特有现象，美国的《萨班斯法案》通过前后，争议一直不断。政客们为了安抚在2000年科技泡沫破灭之中遭受惨重损失的投资者，讨好民众以捞取选票，将大公司和金融机构描绘成见利忘义的元凶，主张监管从严，处罚从重。作为那场“清理后院”运动的领头羊，纽约州大法官斯皮泽已成功当选纽约州州长，而《萨班斯法案》的后果则留给了企业和投资者去品味和消化。

《萨班斯法案》对上市公司的财务报表提出了几近苛刻的要求，极大地增加了独立的外部审计成本，以至于纽约交易所上市的一批中小公司无法承担这笔额外的费用，不得不中请摘牌退市。过度监管也使计划在美国上市的外国公司望而却步，转向伦敦等其他交易所，以降低融资成本。有人认为，该法案已降低了纽约作为国际金融中心的竞争力。

美国财政部最近在首都华盛顿召集了一次会议，会上美联储前任主席格林斯潘表示，安然和世通事件之后，美国公司的情况并不像一些人所说的那样严重，进行彻底检查的必要性是值得怀疑的(《亚洲华尔街日报》，2007年3月15日）。作为投资者的股神巴菲特也在会上提出质疑，“如果公司治理真的那么糟的话，为什么公司盈利这么好？”风险控制是有成本的，而这个成本最终将由纳税人和广大投资者承担。一味迎合社会舆论，不计成本地提高监管标准，将会伤害公众的利益。改善公司治理，强化企业内控的方向是正确的，关键的问题在于收益和成本的比较，诚如现任美国财政部长鲍尔森所总结的，“我们是否在投资者保护和市场竞争力之间实现了很好的平衡”。

企业的内部控制需要比较成本与风险降低所带来的收益，最优内部控制并不意味着将风险减少到零。同样，监管也是有成本的，并不是越严越好，需要在社会所获得的收益和社会必须承担的成本之间找到最佳的平衡点。

　　本书详细阐述了企业建设内部控制与风险管理的关注点和所应采取的主要措施，关注了国际最完美的COBIT理论框架，并与IT治理相结合，给出了内部控制与IT融合的完美解决之道，是国内最领先的企业内部控制与风险管理实务操作指南。本书适用于公司董事、监事、高级管理人员、财务部门、审计部以及相关监管人员等。　　本书图文并茂,脉络清晰,在三个“指引”的基础上，根据我国企业的实情，结合COSO最新的企业风险管理整合框架（ERM），对企业内控与风险管理体系设计进行全面阐述，重点突出实务操作。本书在关注ERM框架时指出：未来完善企业风险管理的同时，更要侧重对机会的把握，大胆提出“企业机构管理整合框架”，这是本书的一个创新之处。同时，本书关注了国际最完美的COBIT理论框架，并与IT治理相结合，给出了内部控制与IT融合的完美解决之道，本书可称之为国内领先的、权威的、全面的企业内部控制与风险管理实务操作指南。作者简介：　　胡为民，中欧国际工商学院高级工商管理硕士（EMBA），深圳市迪博投资管理有限公司、深圳市迪博企业风险管理咨询有限公司创始人。深圳市迪博企业风险管理咨询有限公司是深圳市市一家在政府登记注册的以内部控制与企业风险管理为主要业务的专业咨询机构。胡为民先生长期从事战略性并购、改制、重组的财务顾问工作，曾服务过柳工、青松建化等数十家集团公司和上市公司，在战略性并购、改制、重组的风险管理方面积累了丰富的实践经验。