1、企业内部控制与风险管理研究-以万科为例目 录第一章 概述. 5第一节 内部控制与风险管理理论的形成和发展. 5一、内部控制理论的形成和发展. 5二、风险管理理论的形成和发展. 6第二节 内部控制与风险管理的定义. 7一、关于内部控制相对权威的定义. 7二、关于风险管理相对权威的定义. 8三、内部控制各组成要素的定义. 8四、风险管理各组成要素的定义. 9第二章 内部控制与风险管理关系的理论研讨. 10第一节 内部控制的与风险管理的联系. 10一、COSO 框架和国内规范中内部控制和风险管理的联系. 10二、COSO 框架中内部控制与风险管理的联系. 10第二节 内部控制与风险管理的区别. 11
2、一、内部控制与风险管理提出主体和动机不同. 11二、内部控制体系与风险管理体系建立的顺序不同. 11三、内部控制体系与风险管理体系适应面和时效性不同. 12本章小结. 12第三章 内部控制与风险管理关系的实证研讨. 13第一节 内部控制实践(以万科为例). 13一、国内监管部门对于企业内部控制的要求. 13二、万科施行内部控制相关工作介绍. 13三、万科内部控制评价报告. 15第二节 风险管理实践(参考万科经验). 23一、风险管理的必要性. 23二、风险管理体系和筹建工作策划. 24三、风险管理体系的建立部分工作介绍. 25四、风险管理体系. 36五、风险管理体系的施行、监督和持续改进. 3
3、7本章小结. 37第四章 总结. 39引 言2006 年 6 月 6 日,国务院国有资产监督管理委员会发布关于印发中央企业全面风险管理指引的通知,要求各中央企业实际执行。通知发布以后,除了中央企业根据此风险管理指引建立和施行风险管理制度外,许多立志做大做强、希望持续、健康、稳定发展的企业也积极借鉴此指引,学习风险管理知识,建立并施行风险管理制度。2008 年 5 月 22 日,财政部、证监会、审计署、银监会、保监会联合发布关于印发企业内部控制基本规范的通知,要求自 2009 年 7 月 1 日起在上市公司范围内施行企业内部控制基本规范,并鼓励非上市的大中型企业执行。要求上市公司对本公司内部控制
4、的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。这是国内第一次对企业,特别是上市公司内部控制提出明确要求。2010 年 4 月 15 日,财政部、证监会、审计署、银监会、保监会联合发布关于印发企业内部控制配套指引的通知,要求自 2011 年 1 月 1 日起在境内外同时上市的公司施行企业内部控制配套指引,自 2012 年 1 月 1 日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。请各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。执
5、行企业内部控制基本规范及企业内部控制配套指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。上市公司聘请的会计师事务所应当具有证券、期货业务资格;非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。这份通知对上市公司和非上市大中型企业施行内部控制提出了强制性要求。自 2008 年五部委对企业施行内部控制提出明确甚至强制性要求以来,国内企业普遍表现出疑惑:2006 年国资委发布的中央企业全面风险管理指引中对内部控制系统的定义是:本指引所称内部控制系
6、统,指围绕风险管理策略目标,针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。同时明确:风险管理体系包括风险管理策略、风险理财策略、风险管理的组织职能体系、风险管理信息系统和内部控制系统。国资委的风险管理指引将内部控制系统作为风险管理体系的一个组成部分。然而,2008 年五部委发布的企业内部控制基本规范对内部控制的定义是:内部控制是由企业董事会、监事会、经理层和全体员工施行的、旨在实现控制目标的过程。内部控制的目标是合
7、理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。内部控制有五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。这个定义不仅超出了国资委对内部控制系统的定义范围,而且与国资委所称的风险管理体系似是而非。内部控制究竟该怎么理解、如果施行?内部控制和风险管理有何联系和区别,企业该如何解决原有风险管理体系和强制性内部控制要求的问题?两者是统一的还是矛盾的?是否必须将原有风险管理体系推翻后重新建立内部控制体系?企业界掀起了一股学习内部控制的热潮,学
8、术界不断推出内部控制研究理论,社会上各种类型的内部控制培训班遍地生花、层出不穷笔者这几年一直在一家国有房地产企业负责风险管理工作,并有幸参加了几次国内比较高级的内部控制与风险管理培训、研讨会议。通过这些培训和研讨,本人较广泛的了解到国内企业(特别是房地产企业)施行风险管理的实践经验和现实状况,也了解到其他企业对于内部控制普遍存在疑惑的现实问题,而且,这些疑惑并没有通过培训和研讨得到有效解决。内部控制与风险管理培训班一般将内部控制和风险管理由不同讲师分别讲解,对于二者的关系,则不予涉及或含糊表达。笔者这两年也经常关注相关学术文章,理论界对内部控制和风险管理的关系至今也没有一个权威的结论。然而,企
9、业的风险管理工作必须推进,五部委提出的内部控制要求必须执行。在这样的情况下,笔者迫于工作压力,不得不从解决现实问题的角度来研究:内部控制的理论和实践?风险管理的理论和实践?内部控制与风险管理的区别和联系?企业如何能够持续施行风险管理又同时满足五部委企业内部控制基本规范及企业内部控制配套指引的要求?备注:内部控制从字面上存在多种解释,如:内部主体施行的控制方法;内部主体建立的控制体系;内部主体主动施行的控制方法;内部主体被动施行的控制方法;内部主体主动建立的控制体系;内部主体被动建立的控制体系;内部局部施行的控制方法;内部全面施行的控制方法;内部局部建立的控制体系;内部全面建立的控制体系比较国资
10、委和五部委对内部控制的定义可知,国资委将内部控制定义为内部局部建立的控制体系,五部委将内部控制定义为内部全面建立的控制体系。也许,这么多可能解释正是学术界对内部控制研究不清的根源,也是企业界难于操作的重要原因。本文对内部控制的研究不可能面面俱到,特以五部委企业内部控制基本规范及企业内部控制配套指引的所称的内部控制作为研究对象,并将其与风险管理进行对比研究。第一章 概述 第一节内部控制与风险管理理论的形成和发展一、内部控制理论的形成和发展18 世纪的产业革命掀起了经济发展高潮,出现了公司制这种企业组织形式。19 世纪初,经济的发展使公司规模不断扩大,所有权和经营权分离,所有者认为管理者不可能面面
11、俱到,于是要求在企业内部建立“内部牵制制度”。二战后,内部牵制制度逐渐演变成较为严密的内部控制系统。1949 年,美国会计师协会的审计程序委员会在内部控制:一种协调制度要素及其对管理当局和独立注册会计师的重要性的报告中,对内部控制首次作了权威性定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”19 世纪 80 年代以来,内部控制的研究进一步向具体内容深化。1992 年 COSO1内部控制整合框架将内部控制定义为,“受董事会、管理层及其他人员影响的,为达到经营活动的
12、效率和效果、财务报告的真实可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。”它包括三个目标:与运营有关的目标,即确保企业的经营效率和效果;与财务报告有关的目标,即确保财务报告真实可靠;与法律法规的遵循有关的目标,即确保企业经营过程中遵守有关的法律法规。它由五个方面的要素组成:控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。2000 年安然、世通事件让政府和公众进一步认识到公司内部控制的重要性。2002 年美国国会通过萨班斯法案,提出披露内部控制报告的强制要求。SEC2亦相应地于 2003 年 8 月发布规
13、则,具体规定了与财务报告相关内部控制工作的内容和格式。我国 1997 年开始施行的独立审计具体准则第九号-内部控制与审计风险中对内部控制的定义是:“内部控制是被审计单位为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和施行的政策与程序。”2008 年 6 月 28 日发布,自 2009 年 7 月 1 日起施行的,由财政部、证监会、审计署、银监会、保监会联合制定的企业内部控制基本规范,称内部控制是由企业董事会、监事会、经理层和全体员工施行的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告
14、及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。二、风险管理理论的形成和发展风险管理起源于美国。19 世纪 30 年代,由于受到19291933 年的世界性经济危机的影响,美国约有 40左右的银行和企业破产,经济倒退了约 20 年。为应对经营危机,许多大中型企业都在内部设立了保险管理部门,负责安排企业的各种保险项目,当时的风险管理主要依赖保险手段。1938 年以后,美国企业风险管理开始采用科学的方法,并逐步积累丰富的经验。上个世纪 50 年代,风险管理发展成为一门学科,风险管理一词才正式形成。上世纪 70 年代以后逐渐掀起全球性的风险管理运动,随着企业面临的风险的复杂多样性和风险
15、费用的增加,法国从美国引进了风险管理并在法国国内传播开来。与此同时,日本也开始进行风险管理研究。近 30 年来,美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983 年在美国召开的风险和保险管理协会年会上,世界各国专家学者云集纽约,共同讨论并通过了“101 条风险管理准则”,它标志着风险管理的发展已进入了一个新的发展阶段。1986 年,由欧洲 11 个国家共同成立的“欧洲风险研究会”将风险研究扩大到国际交流范围。1986 年 10 月,风险管理国际学术讨论会在新加坡召开,风险管理已经由环大西洋地区向亚洲太平洋地区发展。2004 年的 COSO风险管理整合框架将风险
16、管理定义为,“由企业的董事会、管理层以及其他人员共同施行的,应用于战略制定有企业各个层次的活动,旨在识别影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理保证的过程。”风险管理的目标有四个:报告类目标、经营类目标、遵循性目标以及战略目标。风险管理的组成要素有八个:内部环境、目的设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控。中国对于风险管理的研究开始于上世纪 80 年代,一些学者将风险管理和安全系统工程理论引入中国,在少数企业试用中感觉比较满意。2006 年 6 月 6 日,国务院国有资产监督管理委员会发布关于印发中央企业全面风险管理指引的通知将风险
17、管理定义为:企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。目前,中国大部分企业缺乏对风险管理的认识,也没有建立专门的风险管理机构。作为一门学科,风险管理学在中国仍旧处于起步阶段。第二节内部控制与风险管理的定义一、关于内部控制相对权威的定义目前,国际上关于内部控制相对权威的定义是 1992 年COSO内部控制整合框架对于内部控制的定义:内部控制是受董事会、管理层及其他人员
18、影响的,为达到经营活动的效率和效果、财务报告的真实可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。国内关于内部控制相对权威的定义是五部委联合制定并发布的企业内部控制基本规范中对于内部控制的定义:内部控制是由企业董事会、监事会、经理层和全体员工施行的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。内部控制有五个方面的组成要素:控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。二、关于风险管理相对权威的定义目
19、前,国际上关于风险管理相对权威的定义是 2004 年的COSO风险管理整合框架对于风险管理的定义:风险管理是由企业的董事会、管理层以及其他人员共同施行的,应用于战略制定有企业各个层次的活动,旨在识别影响企业的各种潜在事件,并按照企业的风险偏好管理风险,为企业目标的实现提供合理保证的过程。国内关于风险管理相对权威的定义是 2006 年 6 月 6 日,国务院国有资产监督管理委员会发布关于印发中央企业全面风险管理指引的通知中对于风险管理的定义:风险管理是企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策
20、略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。风险管理的目标有四个:报告类目标、经营类目标、遵循性目标以及战略目标。风险管理的组成要素有八个:内部环境、目的设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控。三、内部控制各组成要素的定义1 .控制环境控制环境提供企业纪律与架构,塑造企业文化,并影响企业员工的控制意识,是所有其它内部控制组成要素的基础。控制环境的因素具体包括:诚信的原则和道德价值观、评定员工的能力、董事会和审计委员会、管理哲学和经营风格、组织结构、责任的分配与授权、人力资源政策及实务。2
21、.风险评估每个企业都面临来自内部和外部的不同风险,这些风险都必须加以评估。评估风险的先决条件,是制定目标。风险评估就是分析和辨认实现所定目标可能发生的风险。具体包括:目标、风险、环境变化后的管理等等。3.控制活动企业管理阶层辩识风险,继之应针对这种风险发出必要的指令。控制活动,是确保管理阶层的指令得以执行的政策及程序,如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。控制活动在企业内的各个阶层和职能之间都会出现,这主要包括:高层经理人员对企业绩效进行分析、直接部门管理、对信息处理的控制、实体控制、绩效指标的比较、分工。4.信息与沟通企业在其经营过程中,需按某种形式辨识、取得确切
22、的信息,并进行沟通,以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息,同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息,而且必须有向上级部门沟通重要信息的方法,并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。主要包括:信息系统、沟通。5.监控内部控制系统需要被监控。监控是由适当的人员,在适当及时的基础下,评估控制的设计和运作情况的过程。监控活动由持续监控、个别评估所组成,其可确保企业内部控制能持续有效的运作。具体包括:持续的监控活动、个别评估、报告缺陷。四、风险管理各组成要素的定义1、内部环境内部环境包含组织的基调,
23、它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观以及他们所处的经营环境。2、目标设定必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。3、事项识别必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会应被反馈到管理当局的战略或目标制订过程中。4、风险评估通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。5、风险应对管理当局选择风险应对、回避、承受、降低或者分担风险,采
24、取一系列行动以便把风险控制在主体的风险容限和风险容量以内。6、控制活动制订和执行政策与程序以帮助确保风险应对得以有效实施。7、信息与沟通确保有关员工履行其职责的信息得以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。8、监控对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。第二章内部控制与风险管理关系的理论研讨第一节 内部控制的与风险管理的联系一、COSO 框架和国内规范中内部控制和风险管理的联系总体上来说,国内关于内部控制和全面风险管理的内容基本参照或遵从了 COSO 委员会内部控制管理框架和全面风险管理框架
25、,但结合国内的实际情况和一些前沿的研究成果,国内对于内部控制和全面风险管理在各自领域都有不同程度的调整、拓展和延伸。1、目标纬度:财政部关于内部控制的定义相对 COSO 委员会对内部控制定义在实现目标上有所拓展,增加了企业战略目标和资产的安全完整目标。而在国资委全面风险管理的实现目标增加了“确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。”另外,其他四个目标也与 COSO 全面风险管理四个目标在表述上有所差异,使之更适应我国企业经营管理表述习惯或者更具体而易于理解。从这个角度来说,特别是内部控制实现目标的拓展使得其与全面风险管理实现目标差异不大
26、。2、要素纬度:财政部内部控制通知形式上借鉴了COSO 报告 5 要素框架,同时在内容上体现了风险管理 8 要素框架的实质;国资委全面风险管理指引中则没有明确指出是5 要素还是 8 要素,但通过风险管理基本流程将全面风险管理的一些要素融合到流程中,从实质来说,也体现的是 8 要素的COSO 全面风险管理框架。二、COSO 框架中内部控制与风险管理的联系内部控制与风险管理都是由“企业董事会、管理层以及其他人员共同施行的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。内部控制与风险管理都明确是一个“过程”,不是某种静态的东西。其本身并不是一个结果,而是实现结果的一种方
27、式。企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中,是企业日常管理所固有的。内部控制与风险管理都是为企业目标的实现提供合理的保证。设计合理、运行有效的内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。风险管理的目标有四类,其中三类与内部控制相重合,即报告目标、经营目标和遵循性目标。但报告目标有所扩展,它不仅包括财务报告的准确性,还要求所有对内对外发布的非财务类报告准确可靠。另外,风险管理增加了战略目标,即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果,而且介入了企业战略(包括
28、经营目标)制定过程。风险管理与内部控制的组成要素有五个方面是重合的,即(控制或内部)环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险应对三个要素。在重合的要素中,内涵也有所扩展,例如内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权利与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外,还包括风险管理哲学、风险偏好和风险文化三个新内容。在风险评估要素中,风险管理要求考虑内在风险与剩余风险,以期望值、最坏情形值或概率分
29、布度量风险,考虑时间偏好以及风险之间的关联作用。在信息与沟通方面,风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理,规定了信息的深度与及时性等。第二节内部控制与风险管理的区别一、内部控制与风险管理提出主体和动机不同风险管理是企业自我驱动,主要是企业为保障目标实现而自觉建立和施行的风险管理体系。内部控制从字面上是内部主体建立和施行的控制体系或者在内部环境内建立和施行的控制体系,可以理解将其理解为与风险管理相同的概念。但是,企业根据外部监管要求建立和施行的内部控制,是外部所有者和监管者为保障公众权益而要求“内部主体”必须在“内部环境”建立和施行的控制体系。这样的内部控制就是迫于外部监
30、管要求而施行的控制,与风险管理的提出主体不同,建立和施行管理体系的动机也不相同。二、内部控制体系与风险管理体系建立的顺序不同内部控制规范主要以财务报告为起点,具体要求由点及面逐渐扩展。内部控制侧重于会计控制和审计活动等,一般局限于财务相关部门,特点是要求较低、范围较小,涉及部门较少,并没有渗透或应用于企业管理过程和整个经营系统,因此,有时看上去风险管理与内部控制是相互独立的两件事。风险管理制度以对业务流程的分析为基础,从线及面逐渐扩展,并强调关键节点控制。风险管理侧重业务开展和市场交易层面,典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益的比较,它贯穿于企业管理过程的各个方面。
31、三、内部控制体系与风险管理体系适应面和时效性不同内部控制规范条款精炼,且较长时期保持内容固定,可普遍适用于各种业务类型的企业。风险管理制度根据不同企业、不同业务类型及不同目标制定,一旦业务发生变化或相关方发生变化,就应该进行适应性调整,所以,相对严格按照外部规范建立起来的内部控制体系,企业在业务分析基础上建立的风险管理体系适用面较窄、适应期较短。本章小结通过本章的研讨可见,内部控制是因监管要求而提出并逐渐细化,风险管理是根据经营需要而产生并逐步提升。内部控制和风险管理的目标和组成要素基本相同,因此,两者存在走向统一的理论基础。通俗而形象的说,风险管理就像一个人的自我修炼,追求目标是尽善尽美,修
32、炼方法是不断自我反省审视和批评检讨,而且审视的范围随着修炼程度不断深入和广泛。内部控制基本规范就像企业公民道德标准,对于修为不足的无德之人,道德标准也许高于其行为表现,对于修为高深的有德之人,道德标准也许远远低于其行为表现。内部控制和风险管理是管理体系相辅相存的两个方面,只是内部控制侧重于所有者视角和财务视角,风险管理侧重于经营者视角和业务视角。对于立志做大做强,追求制度化、规范化、标准化管理的企业,风险管理与内部控制异曲同工,通过适当的完善,其自觉建立的风险管理体系就可以满足内部控制基本规范的要求,内部控制的具体要求又可以促进其进一步提升风险管理水平。第三章内部控制与风险管理关系的实证研讨第
33、一节内部控制实践(以万科为例)一、国内监管部门对于企业内部控制的要求2008 年 5 月 22 日,财政部、证监会、审计署、银监会、保监会联合发布关于印发企业内部控制基本规范的通知,要求自 2009 年 7 月 1 日起在上市公司范围内施行企业内部控制基本规范,并鼓励非上市的大中型企业执行。要求上市公司对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。这是国内第一次对企业,特别是上市公司内部控制提出明确要求。2010 年 4 月 15 日,财政部、证监会、审计署、银监会、保监会联合发布关于印发企业内部控制配套指引
34、的通知,要求自 2011 年 1 月 1 日起在境内外同时上市的公司施行企业内部控制配套指引,自 2012 年 1 月 1 日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。请各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。执行企业内部控制基本规范及企业内部控制配套指引的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。上市公司聘请的会计师事务所应当具有证券、期货业务资格;非上市大中型企业聘请
35、的会计师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。这份通知对上市公司和非上市大中型企业施行内部控制提出了强制性要求。二、万科施行内部控制相关工作介绍2005 年年度报告中,万科企业股份有限公司(以下简称万科)的致股东书中明确将建立与业务快速发展相匹配的风险管理体系作为未来十年的重点目标之一。并说明其风险管理主要包括三方面的工作:第一是加强对外部环境变化趋势的研究和把握,做到及时应变;第二是秉持“现金为王”原则,完善现金流管理体系;第三是强化职员职务行为准则宣导,完善内部监控机制。万科在总部设立了风险管理部门,负责在全公司内部开展例行财务审计和离任审计、对制度和流程的执行情况进
36、行审查监督,并为经营管理和业务开展提供法律和政策支持等。2006 年年度报中,万科在其公司治理情况中说明为了加强内部风险控制,万科董事会 2004 年 12 月批准了公司内部控制制度,公司逐步形成了完整的内部控制体系。2006 年为了有效地挖掘和利用内部资源,推动风险管理进一步深入,公司主动邀请公司核数师以外的人员进行审计,并形成相关制度,强化风险控制意识。2007 年年度报告中,万科以深圳证券交易所发布深圳证券交易所上市公司内部控制指引为契机,对公司的业务流程进行梳理并组织总部及子公司相关部门和人员进行了必要的检查与评价。并在公司治理结构中增加了内部控制自我评价报告。基于此目标,万科制定了内
37、部控制体系建设工作程序:成立内控项目联合工作组,总部和各子公司分别成立内控专项小组,内控项目联合工作组负责公司整体内控建设工作的计划、施行,总部和各子公司内控专项小组负责本公司内控建设的具体工作。内控项目联合工作组和总部内控专项小组在对公司业务控制活动进行风险评估的基础上,确定 2007 年度内控建设的范围及业务流程,并就内控体系设计与测试制定出详细的施行计划。内控项目联合工作组采取先试点后推广的模式开展公司的内控建设工作。首先选取总部和部分子公司进行试点,通过访谈、实地考察等方式,了解其内控现状,并据此设计相应内控流程的标准模板(即内控手册)。随后,采用集中封闭办公模式,对总部及大范围子公司
38、内控专项小组成员进行培训和推广,由其以标准模板为基础,对照控制目标,完成各自公司内控手册的本地化设计工作,并根据确定的本地化内控手册对各自公司存在的内控缺陷情况进行梳理和整改。 2007 年下半年,万科对总部及大范围子公司组织了两轮内控符合性测试,同时委托外部审计师进行内控审计。内控项目联合工作组根据内控测试以及内控审计结果,分析现有控制活动符合性的差异情况,并与各公司制定了详细的改善计划并监督施行。2008 年度,万科以财政部等五部委联合发布的企业内部控制基本规范为参考,对公司的内控体系进行了梳理及优化,并组织总部及各控股公司对内控设计及执行情况进行了系统的自我评价。2009 年度,万科参照
39、财政部等五部委联合发布的企业内部控制基本规范及深交所上市公司内部控制指引等相关规定,坚持以风险导向为原则,对公司的内控体系进行持续的改进及优化,以适应不断变化的外部环境及内部管理的要求。万科建立了覆盖总部、各控股公司及各业务部门的三级自我评估体系,组织总部及各控股公司对内控设计及执行情况进行了系统的自我评价。并通过风险检查,内部审计等对公司内部控制的设计及运行的总体情况进行了独立评价。2010 年度,万科除了参照财政部等五部委联合发布的企业内部控制基本规范及深交所上市公司内部控制指引等相关规定,坚持以风险导向为原则,对公司的内控体系进行持续的改进及优化,以适应不断变化的外部环境及内部管理的要求
40、。根据企业风险管理需要和内部控制基本规范的要求,万科对组织结构进行了优化调整,将总部财务管理部调整为财务与内控管理部,下设税务管理部和法务部,将风险管理部调整为审计监察部。三、万科内部控制评价报告1、内部环境 治理结构万科按照公司法、证券法等法律、行政法规、部门规章的要求,建立了规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成了科学有效的职责分工和制衡机制。股东大会、董事会、监事会分别按其职责行使决策权、执行权和监督权。股东大会享有法律法规和公司章程规定的合法权利,依法行使公司经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东大会负责,依法行使企业的经营决策
41、权。董事会建立了审计、薪酬与提名、投资与决策三个专业委员会,提高董事会运作效率。董事会 11 名董事中,有 4 名独立董事。独立董事担任各个专业委员会的召集人,涉及专业的事项首先要经过专业委员会通过然后才提交董事会审议,以利于独立董事更好地发挥作用。监事会对股东大会负责,除了通常的对公司财务和高管履职情况进行检查监督外,还通过组织对控股公司的项目巡视,加强对各控股公司业务监督。管理层负责组织施行股东大会、董事会决议事项,主持企业日常经营管理工作。万科坚持与第一大股东及其关联企业在业务、人员、资产、机构及财务等方面完全分开,保证了公司具有独立完整的业务及自主经营能力。 机构设置及权责分配万科结合
42、自身业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。董事会负责内部控制的建立健全和有效施行。董事会下设立审计委员会,审计委员会负责审查企业内部控制,监督内部控制的有效施行和内部控制自我评价情况,指导及协调内部审计及其他相关事宜等。监事会对董事会建立与施行内部控制进行监督。管理层负责组织领导企业内部控制的日常运行。万科在内控责任方面明确各控股公司第一负责人为内控第一负责人,落实各一线公司各部门的内控责任,在总部统一的管理框架下,自我能动地制定内控工作计划并监督落实。总部及一线公司持续进行内控宣传培训工作,提升各级员工的内控意识、知识和技能。万科总部设立财务与内控管
43、理部具体负责组织协调内部控制的建立、施行及完善等日常工作,通过编制内部控制评估表、内控调查表、专项研讨会等,组织总部、各控股公司、各业务部门进行自我评估及定期检查,推进内控体系的建立健全。总部各专业部门及各控股公司均设有内控专员等相关内控管理岗位,负责本单位内部控制的日常管理工作。 内部审计万科设立了审计监察部全面负责内部审计及内部监察工作,通过执行综合审计、专项审计或专项调查等业务,评价内部控制设计和执行的效率与效果,对公司内部控制设计及运行的有效性进行监督检查,促进内控工作质量的持续改善与提高。对在审计或调查中发现的内部控制缺陷,依据缺陷性质按照既定的汇报程序向管理层或审计委员会及监事会报
44、告。并督促相关部门采取积极措施予以改进和优化。 人力资源政策人才是万科的资本,万科制定和施行有利于企业可持续发展的人力资源政策,将职业道德修养和专业能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。万科职员手册明确了“以德为先”原则,是否具备良好的职业道德,是万科判断人才的首要标准。人力资源部制定各岗位的职位说明书,明确了每个岗位的职责和权限。定期进行专业人员的专业化考试,建立轮岗、交流机制,培养专业人员全面的知识和技能。每年人力资源部制定相关培训计划,组织具体培训活动。 为进一步完善万科职业道德风险防范体系,万科于 2010 年 9 月设立了“万科阳光网”以作为
45、举报职务舞弊的专门网站,用于宣传万科的廉政政策,收集各类举报信息,预防和打击职务舞弊和犯罪。万科还建立了全体员工的利益冲突申报制度,发布了员工内部购房制度等制度;万科制定了关键岗位员工强制休假制度和定期岗位轮换制度,以加强员工的自律及预防舞弊行为的发生。 企业文化万科秉承“创造健康丰盛的人生”的核心价值观,倡导“客户是我们永远的伙伴”、“人才是万科的资本”、“阳光照亮的体制”及“持续的增长和领跑”、“做卓越的绿色企业”等价值理念,专注于为客户提供优质的生活空间和服务,充分尊重人才,追求开放透明的体制和公平的回报,积极促进公司业绩的持续增长和市场地位的提升,推动公司向绿色企业转型,在投资者、客户、员工等各方面,实现产品和服务的均好发展。万科高度重视企业文化的宣传和推广,每年组织全公司范围内的“目标与行动”专题活动,由公司管理层进行公司目标和价值观的宣讲并要求所有员工签署受训确认书。在任用和选拔优秀人才时,一贯坚持“德才兼备、以德为先”的原则,把持续培养专业化、富有激情和创造力的职业经理队伍作为公司创立和发展的一项重要使命。2、风险评估
