《内部控制过程控制》由会员分享,可在线阅读,更多相关《内部控制过程控制(72页珍藏版)》请在金锄头文库上搜索。
1、1 内部控制过程包括过程控制 内部审计 过程控制使控制对象在行为过程中处于稳定状态 并达成内部控制目标的控制活动 涉及运营风险监控 风险的自我评估和信息反馈等 内部控制过程篇 2 9 1运营风险9 2风险监控9 3过程控制案例 第九章过程控制 3 9 1运营风险 过程控制是指在内部控制框架下 使控制对象在行为过程中处于稳定状态 并达成内部控制目标的控制活动 过程控制比结果控制要深入 具体 不仅对工作结果进行监控 而且要对整个过程进行控制 如风险监控是过程控制的重要内容 4 2001年 长虹公司为实现海外发展战略 提高销售额 将长虹彩电交由APEX公司在美国销售 APEX方面总是以质量问题或货物
2、未收到为借口 拒付 拖欠货款或少量付款 2002年底 长虹公司应收账款为42 2亿元 APEX公司就占了90 达38 3亿元 2003年底长虹公司应收账款49 8亿元 APEX公司就占了89 达44 6亿元 长虹公司内部为此专门成立了APEX项目管理小组 5 但令人无法理解的是 在提出对账和索要货款未果的情况下继续发货给APEX公司 2003年底 长虹公司派出高级管理人员与APEX交涉 结果2004年初长虹又发货3000多万美元 暴露了长虹公司在过程控制方面的问题 企业最高管理层需要树立企业成长 盈利 风险三者平衡的风险控制观 要求管理当局将主要精力放在风险管理方面 而不是所有细节的控制上 6
3、 一 流程风险风险具有普遍性 多样性 可变性 一种风险可转化或扩展成另一种风险 突发性 隐蔽性 复杂性 可控性 流程风险源于缺乏有效的流程管理 包括生产流程风险 交易流程风险 产品或服务风险 生产过程风险包括生产能力风险 生产周期风险 生产中断风险 存货保持风险等 7 交易过程风险的发生可能发生在采购环节 也可能是由于企业对于供应商或客户的评估而产生的 在采购过程中 如果原材料缺货或成本过高 那么可能会影响到企业在客户需要时提供具有竞争性价格的产品或服务的能力 另外 采购原料的质量问题也可能引起风险例如 上海宝钢矿石供应的风险 8 交易流程中的风险控制 9 英特尔的失误 1994年11月 一位
4、学术界人士告诉英特尔公司 它们生产的奔腾处理器有一个小的运算功能错误 但英特尔公司非常自信 没有认真对待这位客户的反应 发现瑕疵的教授通过互联网询问其他人是否也遇到了类似的问题 结果得到数以千计人的回答 尽管英特尔公司一再向用户保证 处理器的这个微小的问题不会影响到PC机的整体功能 出现计算错误的概率为90亿分之一 但用户坚决要求更换产品 新闻媒体的批评是严厉的 IBM公司对装有奔腾处理器的计算机停止发货 虽然英特尔公司制定了更换产品的政策 但只有约3 的用户的产品得到了更换 英特尔为此付出了4 75亿美元的代价 10 二 人员风险人员风险是指由于人员资格和能力不能够满足工作的要求 致使设计或
5、操作出现漏洞 疏忽 工作完成的效果差 难以达到预计目标 生产经营效率低下 产品质量或服务质量不达标准的可能性有调查显示 大型超市的经理仅将31 的库存损失归因于店铺偷窃者 而将剩余的46 归咎于员工偷窃 如果只是追求利润而不将风险意识结合到公司的文化中 同样会引发员工的不良表现 11 迪斯尼公司的员工背景调查 迪斯尼乐园的业务是建立在公司安全及童趣的声誉上 如果声誉受损 业务就会下滑 1998年7月 迪斯尼公司一名年龄不到20岁的厨师被指控在酒店的卫生间侵犯了一位游客 这个厨师还有着相当多的犯罪和被捕记录时 他的犯罪记录还包括袭击他人 入室偷窃等 在他被迪斯尼雇佣的时候 他处在缓刑期间 舆论对
6、此曝光后 迪斯尼乐园的客流量和收入在一段时间内受到了打击 这一事件之后 迪斯尼乐园将每一个员工都当作企业的风险源 更注重员工录用时的背景调查 12 海空物流公司CEO向公司的每一个员工发出了必须遵守基本的职业道德规范 CodeofBusinessConduct 将该职业道德规范放在网站上 要求每一位员工每年必须重新学习一遍 强化员工的控制意识 13 三 信息系统风险信息系统风险包括信息系统数据的真实性 系统的稳定性 系统使用的安全性等方面 运用信息系统的企业 在设计商业流程及系统时 应该明确地将数据安全 准确作为首要目标例如 一些物流公司在客户出货多的情况下 没有及时掌握信息 制定流程控制防止
7、业务人员操作失误 在货急和客户提供信息不完整时 没有应急的流程控制和信息沟通 容易造成客户流失 14 四 外部风险这种风险的来源于企业外部 但属于企业风险监控和内部控制范围 未雨绸缪是一个比亡羊补牢更理性的选择 外部风险可以是自然或人为的灾难 可能来自于竞争具有偶然性 难以预测 一旦发生却有着严重的后果外部风险还环境 使企业的原有运营环境遭到破坏 但是有效的管理可以降低此类风险 例如 IBM从一个硬件公司到一个服务及解决方案公司的转型 较好地解决了竞争环境变化带来的风险 15 9 2风险监控 以 目标 风险 控制 流程为指导 对所有的风险进行分析 包括管理层关注的事项以及引起责任人员注意的风险
8、领域 关注高风险的领域 以提供相关的 符合管理层和董事会需求的信息风险管理源于20世纪30年代 在风险定性分析的基础上 把保险作为处理风险的主要方法到了50年代 运用概率论和数理统计 60年代后 系统地研究风险管理 自70年代以来 风险管理逐渐发展成为新兴的管理学科 不再局限于信用风险管理 80年代转向财务风险管理 包括资本市场风险 信用风险等 90年代后期进入了全方位的企业风险管理 16 17 一 COSO委员会 企业风险管理 整合框架 一 企业风险管理 整合框架2004年9月 由美国注册会计师协会 AICPA 国际内部审计师协会 IIA 财务经理人协会 FEI 管理会计师协会 IMA 美国
9、会计学会 AAA 组成的COSO委员会正式发布了 企业风险管理 整合框架 EnterpriseRiskManagement 以下称ERM 为企业管理当局评价和改进其所在组织的企业风险管理提供了一个框架 18 企业风险管理是一个过程 它由一个主体的董事会 管理当局和其他人员实施 应用于战略制订并贯彻执行之中 管理风险以使其在该组织的风险容量之内 为组织目标的实现提供合理保证ERM框架明确了以下内容 风险管理是一个过程 受人的影响 应用于战略制定 贯穿整个企业的所有层级和单位 旨在识别影响组织的事件并在组织的风险偏好范围内管理风险 为了实现各类目标提供合理保证 19 ERM包括八个相互关联的部分
10、1 内部环境 为人员如何认识和对待风险设定了基础 包括风险管理理念和风险容量 诚信和道德价值观 以及所处的经营环境 2 目标设定 必须先有目标 管理当局才能识别影响目标实现的潜在事项 3 事件识别 必须识别影响组织目标实现的内部和外部事项 区分风险和机会 使机会被反馈到管理当局的战略或目标制定过程中 20 4 风险评估 通过考虑风险的可能性和影响来对其加以分析 并以此作为决定如何进行管理的依据 5 风险应对 管理当局选择风险应对策略 回避 承担 降低或者分担风险 以便把风险控制在组织的风险容忍度和风险容量以内 6 控制活动 制定和实施政策和程序以确保风险应对方略得以有效实施 7 信息和沟通 向
11、组织的各个层级提供他 她 们识别 评估和应对风险所需的信息 有效沟通包括信息在组织中的向下 平行和向上流动 21 8 监控 进行全面监控 必要时加以纠正 监控可以通过持续的管理活动 个别评价或者两结合起来完成 企业风险管理的八个要素都是为企业的四个目标 经营效率 财务报告可靠性 合规合法性 战略目标 服务的 企业各个层级都要坚持同样的四个目标 每个层次都必须从以上八个方面进行风险管理 22 企业风险管理主要有下列作用 1 协调风险容量与战略 管理当局在评价备选的战略 设定相关目标和建立相关风险的管理机制的过程中 需要考虑所在组织的风险容量 2 增进风险应对决策的严密性 ERM为识别和选择风险应
12、对策略 风险回避 承担 降低或者分担 提供了理论依据 3 控制或抑减经营意外和损失 使组织识别潜在事项和实施应对的能力得以增强 从而抑减意外情况以及由此带来的成本或损失 23 4 识别 管理多重的和贯穿于企业的风险 每个企业都面临着影响其不同部分的一系列风险 ERM有助于有效地应对交互影响的风险因素 应对多重风险 5 抓住机会 通过全面考虑潜在事项 促使管理当局抓住并积极地利用机会 6 改善资本配置 获取有效的风险信息 帮助管理当局有效地评估资源需求 并改进资源配置 24 企业过程控制失控发生的损失 25 风险偏好是企业为了追求更大价值而愿意承担的风险容量 与战略和资产配置有关 尽管企业风险管
13、理有很多重要的作用 但它也存在着局限 这些局限主要源于下列方面 人们在决策过程中的判断可能有纰漏 有关应对风险和建立控制的决策需要考虑相关的成本和效益 不可控的事项 差错或不当报告偶尔也会发生 控制可能因为两个或多个人员的串通而被规避 管理当局有可能凌驾于企业风险决策之上等 26 二 ERM与内部控制整合框架的关系ERM框架几乎包含了COSO委员会在1992年发布 1994年修订 的内部控制整合框架的所有内容 并进行了较全面的拓展 ERM框架是内部控制整合框架的升级 这种升级主要表现在以下几个方面 1 提升了内部控制的目标层次2 增加和优化了内部控制的内容3 建立了风险的组合观4 引入风险容量
14、和风险容忍度的概念 27 二 企业全面风险管理ERM风险管理框架发布后 引起企业界和监管部门的关注 在我国 国务院国有资产管理委员会2006年出台了 中央企业全面风险管理指引 以下简称 指引 借鉴了COSO委员会 企业风险管理框架 和国内外先进企业风险管理方面的经验 以及国内有关内部控制建设方面的规定 对中央企业开展全面风险管理工作的总体原则 基本流程 组织体系 风险管理 信息系统等方面进行了详细阐述 28 全面风险管理基本流程包括以下主要工作 收集风险管理初始信息 进行风险评估 制定风险管理策略 提出和实施风险管理解决方案 风险管理的监督与改进 29 具备条件的企业可建立风险管理三道防线 即
15、各有关职能部门和业务单位为第一道防线风险管理职能部门和董事会下设的风险管理委员会为第二道防线内部审计部门和董事会下设的审计委员会为第三道防线 30 中广核集团全面风险管理体系建设案例 中广核集团是在1985年与香港中电合资建设的大亚湾核电站的基础上 于1994年9月经国务院批准成立的大型企业集团 从成立之初就十分重视风险管理工作 形成了一套比较完整的管理制度和程序 积累了一定的管理经验 取得了较好的成效 中广核集团借鉴国务院国有资产管理委员会 中央企业全面风险管理指引 将风险管理作为重点工作之一 积极推进全面风险管理体系建设 保战略目标实施 保可持续发展 取得了初步成效 31 1 全面开展风险
16、评估诊断 明确所面临的重大风险 在进行风险调研的基础上 组织填写并回收调查问卷共计240多份 收集风险初始信息9474条 辨识出风险事件517个 最终在集团公司层面归集为13大类 35个风险 在此基础上 通过进一步从风险的影响程度 风险发生的可能性和管理改进的迫切性三个维度对所收集的风险信息和调查结果进行统计 分析 评价 绘制出集团风险图谱 经过集团风险管理领导小组确认 明确了需要重点防范的九类重大风险 32 2 制定重大风险管理策略和措施 加强重大风险管理 针对评估辨识出的重大风险 推进小组通过对集团高层领导 集团公司顾问和相关专家 重要管理骨干等 共计78人次进行访谈 初步掌握重大风险的管理现状 并将战略 资金和核电工程建设等三个方面重大风险的管理作为突破口 对与其相关的管理制度和流程进行梳理 分析对其关键业务环节设计了29个风险监控指标 制定了28项风险预警标准 建立了相应的风险监控报告和预警机制 33 三 风险监控风险评估首先应找到 风险动因 而不能简单地将业务部门或行政区域作为风险评估的对象 对 风险动因 的具体元素进行逐个评估后 风险既可以进行横向汇总对机构风险进行排序 也
