内控和企业风险管理讲座.docxVIP

1

内控和企业风险管理讲座

（2006-6-23）

目录

一、COSO主席LarryE.Rittenberg博士演讲-2

第一部分SEC和PCAOB关于内控的规定-2-

第二部分COSO的内控框架-5-

第三部分企业全面风险管理及其与COSO内控框架的关系-17-

二、问题解答-33-

2

LarryE.Rittenberg博士的演讲

各位好！首先，我非常荣幸能够造访这个伟大的国家，也非常高兴今天能够在此为大家做关于内控和企业风险管理的讲座。

今天的讲座内容，主要分为三个部分：第一部分是讲解美国内控的相关规定，以及为什么这些规定与中国石油密切相关；第二部分是介绍COSO内控的框架；第三部分是从更广泛的意义上介绍一下COSO企业风险管理的框架，以及内控和风险管理框架如何共同作用，来为我们公司的企业服务。所以我想达到的四个目标就是：帮助大家了解COSO模型、系统的风险评估方法、内控评估、以及如何在实践中学习和提高。

第一部分SEC和PCAOB关于内控的规定

我们实施内控的直接原因，是2002年SEC开始实施的萨奥法案。我们首先需要了解的主要问题是：为什么我们认为这个法案是有必要的，它想达到怎样的目标？

萨奥法案之所以必要，第一个原因，是为避免企业的财务报告出现重大缺陷，而企业之所以产生缺陷的原因便是没有很好的内控机制。

第二个原因是即使企业有了很好的内控机制，但企业的管理层可能无视财务报告中出现的问题，而按照他们的想法修改财务报告。

第三个原因是公司的治理和监督不够，尤其体现在公司的董事会和审计委员会没有充分发挥他们的治理和监督的作用。

第四个原因，就是公司应当对委托其保护和使用资源的委托人负责。我认为这一点是非常重要的。

萨奥法案对管理层的首要要求，是管理层应当做出承诺。首席执行官（CEO）和首席财务官（CFO）在发布年度或季度财务报告时，必须表明，在他们的认知范围内财务报告不含任何虚假成分。他们必须以书面方式表明公司恰当地执行了内部控制，并报告内控的任何变更。这也正是今天在座各位所做的工作。关于此点，我

3

想说明一下，公司的首席执行官或首席财务官往往是依靠下级单位或下属各级领导提供的对财务信息的保证来出具他们自己的保证。这样做的优点是公司的每个人都会对他们自己负责的工作承担相应责任。但这种做法也有弊端。由于存在这种机制，我们每个人都只对自己所做的工作负责，而不是从公司整体出发考虑如何把控制工作做到最优化、最有效率。然而，有些公司把做内控看作是业务流程标准化的机会，使各部门的工作产生很好的互动。所以，公司的每个人都不仅应了解自己的业务，也应了解自己业务与相关部门的关系，才能更好地执行内控。

第一点，关于404条款的内容。

404条款主要内容是两点。第一点是，每份年度报告必须包含由CFO和CEO签字的内控报告。报告必须对现行内控制度的建立和维护以及过去一整年控制的有效性做出肯定的声明。第二点是，报告出具单位的外部审计师必须对内控报告加以证明。其中很重要的问题是要提供足够的证据，来证明内控制度已建立并得到很好的维护。

第二点，萨奥法案的一项重要规定是举报规定。

之所以做出举报规定，是因为存在这样的事实：对一些舞弊现象，公司的很多成员是知道的，但没有一种有效的方式让董事会也充分及时地了解到存在这些舞弊。所以必须建立一种制度，使公司的情况可以匿名地报告给独立于公司的外部人士。举一个简单的例子，如果在公司的采购过程中出现问题，就有人可以利用这条渠道进行报告。为了公司的有效管理，必须由独立的人士进行相应监督。这样做的原因是，在美国和其他国家出现的情况表明，有些对公司不利的不当行为是公司的最高管理者做出的，所以要有独立的审计委员会对其进行检查和监督。萨奥法案规定，出具财务报告的单位必须向审计委员会提供独立的经费来支持其进行必要的调查。

第三点，对缺陷的纠正。

PCAOB对缺陷是有明确标准的：“设计缺陷”是指缺失必要的控制或者现有控制设计不当，致使即使按照设计执行了内控也不能达到目标。“运行缺陷”是指某一恰当设计的控制要么没有按照设计运行，要么实施该控制的人员不具备有效实施

4

控制的必要授权或资格。

下面介绍内控缺陷，以及他们重要到什么程度时必须报告。“缺陷”按照其重