《{企业风险管理}S某法案与风险管理框架》由会员分享,可在线阅读,更多相关《{企业风险管理}S某法案与风险管理框架(101页珍藏版)》请在金锄头文库上搜索。
1、S-X法案与风险管理框架,陈汉文 经济学博士 教授 博士生导师 厦门大学会计系 主任,一、引言,二、COSO报告(IC-IF1992)出台背景,1.舞弊行为猖獗,二、COSO报告(IC-IF1992)出台背景,2.风险与不确定性,二、COSO报告(IC-IF1992)出台背景,3.CPA诉讼爆炸与审计目标的变化,二、COSO报告(IC-IF1992)出台背景,4.反海外公司腐败法,二、COSO报告(IC-IF1992)出台背景,反海外公司腐败法与中国企业跨国经营 以朗讯和中国人寿为例,二、COSO报告(IC-IF1992)出台背景,反海外公司腐败法与中国企业跨国经营 建设银行案,三、COSO报
2、告(IC-IF1992)创新观点,三、COSO报告(IC-IF1992)创新观点,三、COSO报告(IC-IF1992)创新观点,1、定义: 内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的真实性、相关法令的遵循性等目标的达成而提供合理保证的过程”。,三、COSO报告(IC-IF1992)创新观点,2、内部控制是一种“过程”,讲求的是达到结果的过程而非结果本身; 3、内部控制是受“人”影响的过程,是由“人”执行的过程而并非仅是政策手册与表格,它来自于组织内每一个阶层的人; 4、内部控制只能为企业管理阶层与董事会提供“合理保证”而非绝对保证; 5、不同类别的内部控制
3、相互配合,以一种、多种或重叠性的类别达到多项管理目标 (3目标) 6、软控制 7、内部控制的责任 8、柔和管理与控制的界限,四、COSO报告(IC-IF1992) 内容,(一)控制环境 控制环境是对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素,它是内部控制其他构成要素的基础,它的设计和运行,不仅会影响企业整体活动方式,而且对企业目标制定与评估风险、控制活动、信息与沟通系统,以及监督活动等都会产生重大的影响。,四、COSO报告(IC-IF1992) 内容,(一)控制环境 1.诚信的原则和道德价值观 2.评定员工的能力 3.董事会和审计委员会 4.管理哲学和经营风格,四、COSO报告(
4、IC-IF1992) 内容,(一)控制环境 5.组织结构 6.责任的分配与授权 7.人力资源政策及实务,四、COSO报告(IC-IF1992) 内容,(二)风险评估 任何企业,不论其规模、结构、性质或行业如何,都会面临来自内部和外部的不同风险。 风险是客观存在的,而管理者的每一项决策本身就在创造风险,从而企业管理者只能谨慎地接受风险,并将风险维持在一个合理的水平之内,因此风险评估应该成为内部控制的主要组成部分。,四、COSO报告(IC-IF1992) 内容,(二)风险评估 风险是不能实现目标的可能性,企业管理者在制定与其销售、生产、行销、财务等作业相结合的目标时,必须设立可辨认、分析和管理相关
5、风险的机制,以了解自身所面临的风险,并适当加以处理。 环境控制和风险评估,是提高提高企业内部控制效率和效果的关键。,四、COSO报告(IC-IF1992) 内容,(二)风险评估 .目标 .风险 .环境变化后的管理,四、COSO报告(IC-IF1992) 内容,(三)控制活动,四、COSO报告(IC-IF1992) 内容,(三)控制活动 控制活动是指管理者对所确认的风险采取的必要措施,是帮助管理者确保各项指令能被执行的政策和程序。 控制活动出现在整个企业内的各个阶层与各种职能部门,包括诸如核准、授权、验证、调节、复核营业绩效、保障资产安全以及职务分工等多种活动。,四、COSO报告(IC-IF19
6、92) 内容,(三)控制活动 控制活动包括政策和程序两个要素,政策规定应该做什么,程序则使政策产生效果,政策是程序的基础。 政策可能书面规定,也可能只是一个口头的指令而已,但无论政策是否做成书面,都应该前后一贯、彻底地加以执行。,四、COSO报告(IC-IF1992) 内容,(三)控制活动 政策一般针对某种情况,而执行程序必须视当时情况而定,如果只是机械地、被动地执行程序也不会取得理想的效果。,四、COSO报告(IC-IF1992) 内容,(三)控制活动 控制程序是针对关键控制点而制定的,因此,企业在制定控制活动时关键就是要寻找关键控制点。,四、COSO报告(IC-IF1992) 内容,(三)
7、控制活动 内容一般包括: (1)经济业务和经济活动的授权、批准; (2)明确有关人员的职责分工,并有效防止舞弊; (3)凭证和账单的设置和使用应保证业务和活动得到正确记载; (4)财产和记录的接触使用要有保护措施; (5)对已登记的业务及其计价要进行复核,等等。,四、COSO报告(IC-IF1992) 内容,(四)信息与沟通,四、COSO报告(IC-IF1992) 内容,(四)信息与沟通 围绕在控制活动周围的是信息与沟通系统,这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息,并相互交换这些信息。 企业的信息系统不仅是企业控制环境建设的一个重要方面,同时也是企业内部控
8、制的一项要素,是企业内部控制过程的一个部分。,四、COSO报告(IC-IF1992) 内容,1、一个良好的信息系统应能确保企业中每个人都清楚地知道其所承担的特定职务; 2、它不仅要有向下的沟通渠道,还应该有向上的、横向的以及对外界的信息沟通渠道。 3、会计信息系统为企业提供成本信息、营运信息、生产信息、库存信息等,是企业信息系统最为重要的组成部分。,四、COSO报告(IC-IF1992) 内容,(五)监督 .持续的监督活动 .个别评估 .报告缺陷,四、COSO报告(IC-IF1992) 内容,(五)监督 企业内部控制是一个过程,这个过程是通过纳入管理过程的大量制度及活动实现的。 因此,要确保内
9、部控制被切实地执行且执行的效果良好、内部控制能够随时适应新情况等,整个内部控制的过程必须施以恰当的监督,通过监督活动在必要时对其加以修正。,五 、2002年的萨班斯奥克斯利法案(Sarbanes-Oxley Act of 2002 ),1、302条款和404条款要求公众公司管理当局对企业内部控制的有效性进行披露报告,注册会计师必须对该份报告进行审计。 2、在实践层面,美国证券交易委员会(SEC)通过制定规则(rules)来具体执行萨班斯奥克斯利法案302和404条款,这些规则为CEO和CFO对主体财务呈报内部控制(entitys internal control over financial
10、reporting)和披露控制(disclosure control )的报告提供了指南;,五 、2002年的萨班斯奥克斯利法案(Sarbanes-Oxley Act of 2002 ),3、公众公司会计监管委员会(PCAOB)通过为注册会计师制定审计准则,直接影响注册会计师该类审计合约的计划与实施; 4、COSO委员会制定内部控制标准框架,作为管理当局和注册会计师进行内部控制评价的基础。,第1:SEC- “财务呈报内部控制”的操作性定义,第2:年报10K,萨班斯法案404条款要求首席执行官(CEO)和首席财务官(CFO)对主体财务呈报内部控制的有效性进行评价和报告,该份报告包括在公司按年度递
11、交给SEC的10K表(Form 10K)中。,第3:实施时间,第4:季度报告10Q,第5:信息披露委员会,第6:两个书面证明,除了对披露控制和程序以及财务呈报内部控制进行报告外,SEC还要求公司的主要执行官和主要财务官签署两个书面证明,包括在公司的10Q和10K表中。这两个书面证明保证为萨班斯法案302和906条款所要求。,六、COSO企业风险管理综合框架 (ERM-IF,2004),伟大的爱情及伟大的成就,都伴随着巨大的风险! - 魔戒 想赢得更多,有时就得冒更大的风险。 - 比尔 盖茨,COSO的ERM介绍,定义: ERM是一个在战略决策以及在整个组织中贯穿实施的过程,被设计用于确认影响组
12、织的潜在事件,将风险控制在组织风险偏好的范围内,为组织目标的实现提供合理的保证。 ERM受到组织董事会、管理层以及其他人员的影响。,ERM是一个渗入到组织各种活动中的一系列行动 ERM受到组织中人的影响,同时也影响着人们的行动 在战略设置时实施ERM 在整个组织中实施ERM 风险偏好 提供合理的保证 四种目标,内控环境,风险反应,控制活动,目标制定,事项识别,信息与沟通,监控和稽核,风险评估,必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。,内部环境包含组织的基调,它为主体内
13、的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。,通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。,必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。,管理当局选择风险应对回避、承受、降低或者分担风险 采取一系列行动以便把风险控制在主体的风险容限(risk tolerance)和风险容量以内。,制订和执行政策与程序以帮助确保风险应对得以有效实施。,相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含
14、义比较广泛,包括信息在主体中的向下、平行和向上流动。,对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。,企业风险管理-目标的实现,风险管理的新格局,旧,新,连续的,风险管理过程是持续不断的,整体的,风险管理是整合高层主管的宏观视角,并把风险管理变为组织内每个人工作的一部分,片面的,风险管理仅由财务、资产、内审 等部门各自独立操作,随意的,风险管理的执行是由主管个人判断何时需要,全面的专注,考量所有业务的风险与机会,狭义的专注,主要应用在可投保的风险及财务的风险上,ERM步骤1,目标设定:,步骤2,风险识别:,步骤3,步骤4,步骤5,持续监督由
15、部门副经理负责复核 独立监督内部审计部门进行,控制自我评估(CSA)、风险自我评估(RSA),CSA是1987年由加拿大海湾公司首先采用的,当时称为推动会议自我评估法。,1什么是CSA,2CSA的形式,3CSA的常用方式,4CSA的优点及缺陷,七、山西票号案例分析,目录,第一部分:控制环境 第二部分:风险评估 第三部分:控制活动 第四部分:信息与沟通 第五部分:监督,控制环境,主要内容,一、操守与价值观 二、管理哲学与经营风格 三、财东与掌柜的关系 四、胜任之承诺,一、操守与价值观,老乞丐的故事 (一)行为守则,(二)与各界的关系,在处理各方关系的时候,晋商策略非常老到。,2、对竞争者,3、对员工,(三)动机和诱因,二、管理哲学和经营风格,(一)管理哲学 山西票号安全哲学的主旨就是保证商事活动在未发生变异的“安全状态”或“准安全状态”下,提前对已经或即将发生的非安全状态的防范和补救。这同中国道家哲学所强调的“治于未乱”的安全思想是一脉相承的。,(二)稳健的经营风格,三、财东与大掌柜的关系,四、胜任之承诺,(一)职责的界定,(二)掌柜的遴选,(三)其他人员的培养,风险评估,主要内容,一、整体风险及其管理
