《企业内部风险控制》由会员分享,可在线阅读,更多相关《企业内部风险控制(39页珍藏版)》请在金锄头文库上搜索。
1、中国企业内部控制与风险管理思考与实践,内部控制与风险管理的一般性问题,中国企业内部控制与风险管理特性问题,以内部控制建设为基础的风险管理要点,案例分析,目录,一、企业风险的定义,未来的不确定性对企业实现其经营目标的影响,市场经济的活力来自于不确定性,来自于风险。风险既可能带来损失,也可能带来机会和收益。风险会使企业盈或亏,成功或失败, 这需要看企业管理风险的能力。 风险既取决于客观环境、内外资源约束,也取决于企业的战略选择和组织结构安排 风险意识是企业家的第一素质。“企业家是一个经营冒险事业的组织者,是组织、拥有、管理并承担这一事业全部风险的人。”(经济学家韦伯斯特),风险管理是通过针对一系列
2、不同层面风险的管理控制活动,将不确定性对公司发展的影响降低到最低程度。,内部控制标准框架,内部控制是风险管理不可分割的一部分,是风险管理的基础工作。,COSO内部控制整合框架:内部控制是由一个主体的董事会、管理当局和其他人员实施的,旨在针对实现以下类型的目标提供合理保证的一个过程:经营的有效性和效率; 财务报告的可靠性; 符合适用的法律和法规。,COSO把此整合框架归纳为五要素,即控制环境、风险评估、控制活动、信息与沟通、监督等。 2004年9月COSO又提出了企业风险管理综合框架,涵盖了内部控制整体框架的内容,在内控五要素基础上增加了目标设定、事项识别、风险应对,成为八大要素,同时增加了战略
3、目标。,三、在人类历史的发展过程中,为了适应社会经济的发展,内部控制实践经历了不同的阶段,19051936,1997,1988,19491958,2005,大,小,早期,内控的范围和影响,1.内部牵制阶段:保护现金和资产安全及账簿记录的准确性,3.内部控制框架阶段:融入了控制环境及控制程序,4.一体化控制阶段:形成COSO框架,增加了遵从性目标,内控活动可以追溯到人类社会发展早期,例如古罗马采取的“双人记帐制度”和我国西周时的周礼审计制度,趋势:全面风险管理,L.R.Dicksee提出内部牵制概念,AICPA 接受,AICPA颁布审计准则公告第55号提出内部控制结构,AICPA发布了审计准则公
4、告第78号,全面接受COSO报告的内容,2.内部控制阶段:增加了管理控制以提高经营效率,AICPA首次提出内部控制的定义,每个阶段并不意味着对前一阶段的否定,而是在其基础上的提升,经济周期是人类本性所导致的必然结果。当经济好的时候,人们对未来过于乐观,盲目扩张 华尔街昨天和今天,四、控制因人性弱点而存在,利益驱动,使每个人都存在背离控制的动机。 是否背离,取决于得失利害的权衡。 如何控制,取决于成本效益的平衡。,有控制就有背离人性使然,有背离就有纠正社会行为。 控制是对谋求利益过程中人的行为的制衡。,发生舞弊的公司 经常排序,企业发展排序,控制为实现目标提供合理保证,引导约束人的行为按既定方向
5、前进,目标的实现过程受到未来的不确定性因素(风险)的影响。 风险与目标如影随形,目标不同,伴随其实现过程的风险不同。 人对风险的好恶及应对策略影响其行为轨迹,甚至偏离既定目标。 就管理对完成既定目标而产生的重要风险而言,控制扮演着重要角色。,五、控制是为达到一定目标而设立,企业面临着诸多风险,不同的控制方法是为特定事项的相关风险而设置,公司对待风险和收益关系的态度? 公司是否有足够的能力化解风险? 管理者能否有效监控风险?,资本投资方向正确吗? 资本是否得到有效配置以提高回报率,风险与盈利的平衡,六、控制针对一定范围的特定事项,风险管理能力,盈利能力,内部控制需外部控制推动,外部控制通过内部控
6、制发生作用。,外因是变化的条件,内因是变化的根据,外因通过内因而起作用。毛泽东,变化程度,弱,强,文化控制,七、控制的类型,从控制主体看,从控制效力看,从控制方式看,内部控制的本质是自我调节,自我约束,八、企业内部控制的本质,企业内部控制的本质,以外部控制为条件,以特定目的为动因,以降低风险为基础,以成本与利益平衡为前提,是相对控制,以多种方式为手段,因人而异,九、国资委站在出资人角度,内部控制向风险管理的演进,不但要解决“正确地做事”,还要解决“做正确的事”,十、内控与审计、风险管理和企业管理的关系,十一、内部控制与企业管理的关系,国企的内控建设并不是另起炉灶,而是用先进的内控理念及方法、工
7、具改造传统管理。,管理:计划、组织、控制、协调(指挥)、监督。从管理学来讲,控制是管理的一项重要职能,控制存在于管理之中,贯穿于管理过程始终。,当今内部控制已经超出了狭义的控制范畴,而是有一套完整的方法论,贯穿于经营管理的全过程,从计划到组织全过程体现出控制。,控制活动,旨在用计划标准来衡量所取得的成果,并纠正发现的偏差,以保证计划目标的实现。,控制职能,主要是把计划与决策连接起来,对工作进行测量,并把工作的信息资料反馈给决策层,供决策层了解原定计划的可行性程度,然后从实际出发,决定怎么办。,十二、内部控制与风险管理的关系,传统风险管理主要体现在危机处理上,现代风险管理要求是超前预控。,企业管
8、理在风险问题上的三个层面划分,就防范企业所面临的全部风险达到既防止出错又创造效益的目标来说,内控只是风险管理的一个组成部分,使风险防范机制更可靠。 企业管理体系的控制有效性和可靠性常被称为内控体系的有效性和可靠性问题,则风险管理体系又只是内控体系的一个组成部分,十三、建立控制体系中独立的监控机制,保持独立性,才能保证监督的有效性。,风险管理体系是企业管理决策(包括战略决策和运营决策等一切方面)的一个重要组成部分,也是运营执行过程的一个重要组成部分。只要不融入经营管理流程,风险管理体系就难以发挥作用。,风险管理体系一旦融入管理体系,就有可能在一定程度上丧失对管理决策的制约作用。而这恰好是内控审计
9、部门的用武之地。内控失败的案例都说明了在风险管理体系或内控体系中存在相对独立的监控机制的重要性。,内部控制与风险管理的一般性问题,中国企业内部控制与风险管理特性问题,以内部控制建设为基础的风险管理要点,案例分析,目录,一、中西方管理文化不同,“二构成一”,“一内涵二”,学习西方先进的文化成果,摈弃中国文化中的糟粕,找到适合本土文化的控制方法。,西方总是以个体的对立看事物,形成他们的“制衡思想”并发展为“经由谈判分出大小或是非,以便共同遵行的制衡行为”。 他们把判断是非的结果确定为公是公非,称为“标准化”,同时为符合同一标准,于是确定为制度,大家一体遵守制度,叫做“制度化”,对立固然存在,却也相
10、辅相成,即对立又存在于统一,在管理上产生中国人“圆满重于是非”的人性化行为。中国人要求“把事情做好”而非止于“把事情做对” 中国的管理行为,乃在:一切求合理,形成管理上“不明确”的“分寸”,增加了管理的难度。,二、管理行为模式不同,把人与事的管理有机结合起来,建立以责任体系为基础,以行为规范为重点的风险管理模式,中国企业尤其是国有企业,是通过管人来管事,通过管住“乌纱帽”来管理事务,评估指标往往是结果,以成败论英雄;责任和制衡关系不明确,集体决策、集体负责。,美国自工业化以来,经过近200年的科学管理实践,标准化、规范化成为美国企业的管理基础,并形成一种管理化。美国的内部控制理论与实务,特别是
11、萨班斯法案,正是根植于这一土壤。,我国尚处于工业化进程中,许多企业没有真正的经过标准化管理的历练,过多强调管理的艺术性,而忽视管理科学性,呈现人为化、随意性特征,西方式内控必然水土不服。,西方企业是通过流程来管事,以按规则把事情做对进行衡量,是一种过程控制。,管理行为模式不同,三、缺乏良好的控制环境,内部控制环境是内部控制是否有效的关键因素。,缺乏绩效考核对内部控制与风险管理的引导机制,法人治理结构不健全,内部控制的外部约束较弱,公司治理结构中责任不到位,高管层缺乏自主控制意识,没有形成重视风险的控制文化,四、缺乏内部控制方法论,内部控制的方法论应在行为管理学的理论基础上创新发展,五、经验式管
12、理,就风险管理而言,目前国企最缺乏的是制度化的风险评估以及科学的风险应对策略。,内部控制与风险管理的一般性问题,中国企业内部控制与风险管理特性问题,以内部控制建设为基础的风险管理要点,案例分析,目录,一、做好知识准备,内部控制是一套由董事会、管理层及其他人员来建立和执行,为实现企业目标提供合理保证的体系,通过它将实现: 经营效率或效果的提高 可靠的财务分析和报告 法律法规和制度的遵从,内部控制的概念,业务中的内控举例,业务中的情景,对应内控方面,定期汇总和分析公司财务信息,财务报告 及时性 准确性,投资决策 可行性 收益性,重点项目的投资决策,按照政策法规要求进行管理和汇报,合规经营 符合性,
13、一、做好知识准备(续),一个过程,而非结果,内部控制是一个动态过程,因为企业经营环境和风险是变化的; 由人来实施,是自上而下,人人参与,通过全员的言行来完成; 应用于战略制订,考虑与战略相关的风险; 贯穿于企业,在各个层级和单元应用于企业全部活动; 旨在识别一旦发生将会影响主体的潜在事项,并把风险控制在风险容量以内; 能够向一个主体的管理当局和董事会提供合理保证; 力求实现一个或多个不同类型,但相互交叉的目标它只是实现结果的一个手段,并非结果本身。,定义内涵,二、立足监管环境,满足企业要求,明确目的是企业内控建设成败的前提。,监管要求:,萨班斯法案:完全市场经济环境,成熟的投资者,重点监管财务
14、信息,目的是保护资本市场秩序;解决航船遇险的真实披露问题。,联交所企业管治守则:受英国影响,将商业监管体系建立在原则而非严格规定的基础上。监管范围:运营、财务、合规及风险管理,目的保护市场秩序;,国资委中央企业全面风险管理指引:出资人角度,指导性,目的是保护企业安全。解决航船如何不遇险的问题。,内控目标:财务内控,全面内控,要考虑重要性和成本效益原则。,企业需要:一把手的目的和真实想法至关重要。,三、寻找合适的切入点,探索内部控制与风险管理体系建设有效路径,内部控制是一个持续改进的过程,不可能一蹴而就,也不可能一劳永逸。阶段性成果比长时间没有结果好。,围绕内控建设目标 与管理模式、组织结构相适
15、应 首先考虑公司层面的风险控制 从风险评估入手,抓住内控建设的主要问题,四、统一理论基础,统一的理论基础,是内控设计有效性的保证。,统一理论基础,五、把握好先进性与实用性的平衡,引入先进理念,借鉴最佳实践 尊重本土文化和管理习惯 吸收、鉴别、扬弃、改造、创新,对别人适合的东西,不一定适合自己。要量体裁衣,而不是削足适履。,六、自上而下,全员参与,内部控制是董事会的责任 内部控制不仅是某个部门的事,而且是所有部门的事 内部控制不仅是领导的事,而且是全体员工的事 不仅执行是全员参与,设计也要全员、全过程参与,内部控制的核心是权利与责任的统一。内控理念要达成全员共识。,七、把内部控制与风险管理要求嵌
16、入流程,使其具有可执行性,标准化不会取代创新,它只会节省你的精力,让你更加关注最有价值的事情。,八、执行才是最重要的,来自出资人和监管机构的推动,把外部要求变为企业内在需要 董事会要有加强风险管理的切实行动 公司高管层率先垂范 建立持续的全员培训计划,让全员明确知晓企业内控目标和自己的责任 开展自我评估,由组织整体对管理控制和治理负责 建立有效的考核机制,保证内控执行的有效性 建立内控促进管理,管理推动内控的互动机制,执行是企业领导人的主要工作,执行是组织文化的核心内容。,九、董事会在风险管理与内部控制中的作用,九、董事会在风险管理与内部控制中的作用(续),董事应最少每年检讨一次发行人及其附属
17、公司的内部监控系统是否有效,并在企业管治报告中向股东汇报已经完成有关检讨。有关检讨应涵盖所有重要的监控方面,包括财务监控、运作监控及合规监控以及风险管理功能。 董事会每年检讨的事项应特别包括下列各项: (a) 自上年检讨后,重大风险的性质及严重程度的转变、以及发行人应付其业务转变及外在环境转变的能力; (b) 管理层持续监察风险及内部监控系统的工作范畴及素质,及(如适用)内部核数功能及其他保证提供者的工作; (c) 向董事会(或旗下委员会)传达监控结果的详尽程度及次数;透过有关传达,董事会得以对发行人的监控情况及风险管理的有效程度建立累积的评审结果; (d) 期内任何时候发生重大监控失误或发现重大监控弱项的次数,及因此导致未能预见的后果或紧急情况的严重程度,而该等后果或情况对发行人的财务表现或情况已产生、可能已产生或将来可能会产生的重大影响;及 (e) 发行人有关财务报告及遵守上市规则 规定的程序是否有效。,
