泓域/乡村文化服务公司内部控制的基本框架乡村文化服务公司内部控制的基本框架目录一、 企业风险管理 2二、 内部牵制 11三、 内部控制的局限性 13四、 内部控制的重要性 17五、 企业内部控制规范体系的结构 20六、 企业内部控制规范的基本内容 22七、 项目概况 33八、 公司简介 34九、 产业环境分析 35十、 培育壮大市场主体 36十一、 必要性分析 37十二、 人力资源配置分析 38劳动定员一览表 38十三、 SWOT分析说明 39十四、 项目风险分析 46十五、 项目风险对策 49一、 企业风险管理(一)企业风险管理(2004)架构1、基本框架2004年,COSO为企业风险管理确立了一个可普遍接受的定义,该定义融入众多观点并达成共识,为各组织识别风险和加强对风险的管理提供了坚实的理论基础,即企业风险管理是一个受企业董事会、管理层和其他人士影响的过程,运用于制订战略之中,并且贯穿整个企业,用以识别可能影响该企业的潜在事项,并且将风险控制在风险偏好的范围之内,为达到实体目标提供合理的保证企业风险管理(2004)框架的主要贡献就在于,其重新界定了风险管理,即由目标、要素和组织三个维度组成的有机整体。
第一维度为企业的目标,即战略目标、经营目标、报告目标和合规目标在主体既定的使命或愿景范围内,管理当局制订战略目标、选择战略,并在企业内自上而下设定相应的目标企业风险管理框架力求实现主体的战略目标、经营目标、报告目标和合规目标战略目标与高层目标相关,和企业使命相一致,企业所有的经营管理活动必须长期有效地支持该使命经营目标与企业运营的效果和效率相关,包括业绩和利润目标,运营变化以管理当局对结构和业绩的选择为基础,旨在使企业能够高效地使用资源报告目标与组织报告可靠性相关,包括对内报告和对外报告,涉及财务和非财务信息合规目标层次较低,也是最基础的目标,与组织遵循相关法律法规有关第二维度为构成要素,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控第三维度组织是企业的层级,包括主体层次、分部、业务单元及子公司三个维度的关系是,全面风险管理的八个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理2、构成要素第二维度企业风险管理包含八个相互关联的要素它们来源于管理当局经营企业的方式,并与管理过程整合在一起这些构成要素的含义如下。
内部环境——内部环境包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境目标设定——必须先有目标,管理当局才能识别影响目标实现的潜在事项企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符事项识别——必须识别影响主体目标实现的内部和外部事项,区分风险和机会机会被反馈到管理当局的战略或目标制订过程中风险评估—一通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据风险评估应立足于固有风险和剩余风险风险应对——管理当局选择风险应对—回避、承受、降低或者分担风险——采取一系列行动以便把风险控制在主体的风险容忍度和风险容量以内控制活动—一制订和执行政策与程序以帮助确保风险应对得以有效实施信息与沟通一一相关的信息以确保员工履行其职责的方式和时机,能被识别、获取和沟通有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动监控——对企业风险管理进行全面监控,必要时加以修正监控可以通过持续的管理活动、个别评价或者两者结合来完成企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。
它是一个多方向的、反复的过程,在这个过程中几乎每一个构成要素都会影响其他构成要素3、企业风险管理(2004)框架面临的问题企业风险管理(2004)框架在对企业风险管理进行定义时所强调的最重要也是最独具一格的一点是“贯穿整个企业,应用于战略制定中”而这一点在实践中却被误读,甚至被无视COSO最初在编制ERM框架时采用了类似于内部控制框架所使用的立方体虽然COSO对立方体右侧的内容进行了修改,删除了有关活动和流程,改为侧重于范围更广的实体和运营单位及分支机构,但许多企业依然试图在过于细微的层面实施该框架,例如运用于流程层面而非战略制定许多组织机构将企业风险管理作为一种保证活动来实施,而不是将其视为一种更佳的企业管理方式,从而失去了治理效果2008年金融危机以及2011年的日本海啸所引发的经济大萧条,“黑天鹅”“大变脸”事件频频爆发,ERM有关问题和价值的主张便开始明朗起来,令许多企业进入危机应对模式,企业风险管理的实施也因此受到企业特别是C级高管的真正重视6月24日,COSO委员会发布《企业风险管理:风险与战略和绩效的协调》,以向公众征求意见,截止日期为2016年9月30日二)企业风险管理(2016)框架的内容相对于企业风险管理(2004)框架,新版企业风险管理(风险与战略和绩效的协调)(2016)使用了构成元素加原则的结构,包括5个构成元素,细分为23条原则,2013年COSO组织更新了企业内部控制框架的部分内容,在文章的整体结构上就是采用的这种结构新的结构加强了新框架的可读性、可用性和一致性。
新版ERM框架的五要素和23个原则新版框架对ERM的定义为:组织在创造、保存、实现价值的过程中赖以进行风险管理的,与战略制订和实施相结合的文化、能力和实践可以看到,新版框架简化了ERM的定义以方便阅读和记忆新定义方便的是所有读者的理解,而不只是风险管理从业者新定义包括文化和能力而不只是过程,更加强调风险与价值的相结合,突出价值创造而不只是防止损失,这样也避免了和内部控制定义的界限不清新版框架中,ERM被视为战略制定的重要组成和识别机遇、创造和保留价值的必要部分新版框架中ERM不再是主体的一个额外的或是单独的活动,而是融入主体的战略和运营当中的有机部分新版框架注意到了自旧版框架发布以来,组织在实践ERM过程中遇到的一些问题,包括对风险管理工作的定位,风险管理工作的范围和目标等,新版框架定义了风险管理工作的高度,包括:战略和业务目标与使命、愿景和价值观不匹配的可能性;选定的战略所隐含的意义;执行战略过程中的风险1、风险治理和文化风险治理和文化构成了ERM所有其他部分的基础风险治理定下主体的基本基调,加强ERM的重要性并确立ERM的监管责任的分配;文化则是主体的价值观、行为准则和对风险的理解。
1)实现董事会对风险的监督董事会对主体的风险监督负有首要责任2)建立治理和运作模式在明确的责任分配下,组织应该建立完整的运营模式和汇报体系3)定义期望的组织行为董事会和管理层通过定义其期望的行为将组织核心价值和对风险的态度具体化4)展现对诚实和道德的承诺组织制定基调,建立员工行为准则并对偏离准则的行为做出回应5)加强问责组织确保各个层级的个体在风险管理方面的职责明确,并确保其自身在提供准则和指导方面的职责明确6)吸引、发展并留住优秀的个体致力于根据战略和业务目标构筑人力资本,管理层通过在不同层面建立人力资源管理体系来吸引、培训、指导人才,评价和留住人才2、风险、战略和目标设定ERM通过制订战略和业务目标的过程与主体的战略计划融合在一起通过对商业环境的理解,组织可以得到对内在和外在因素的看法以及它们对风险的影响组织在战略制订中确定其风险偏好,而业务目标使得战略得以实践并形成主体日常的运营1)考虑风险和业务环境组织考虑业务环境对风险图谱的潜在影响;组织要理解业务环境,考虑内部和外部的环境和不同的利益相关者2)定义风险偏好组织在创造、保存和实现价值的过程中定义风险偏好3)评估可供选择的战略组织评估可替代的战略和对风险状况的影响。
4)建立业务目标的同时考虑风险组织建立不同层次的业务目标以制定和支持战略的同时考虑风险5)定义可接受的绩效浮动区间可接受的绩效浮动也可以理解为风险容忍度3、执行中的风险组织识别并评估可能影响其实现战略和业务目标的风险,结合企业的风险偏好,对风险按照其严重程度排分优先次序,组织选择风险应对的方法并对绩效进行监控以做出调整这样,企业对追求战略和业务目标时所面临的风险量建立起一个组合的观念1)识别执行中的风险组织识别执行过程中影响业务目标实现的风险2)评估风险的严重程度风险评估的重要工具是风险热力图,热力图从风险发生的可能性和影响程度两方面对风险进行评级风险评价要从固有风险、目标剩余风险和实际剩余风险三个层级进行3)区分风险的优先次序组织结合风险偏好,选定对风险排分优先等级的标准,然后对所有识别的风险进行排分4)识别并选择风险响应这些控制活动在《内部控制—一整合框架》中已经介绍5)评估执行中的风险组织需要对绩效进行监测,如果绩效的浮动区间超出了可以接受的范围,则可能需要重新考虑业务目标或战略;调整目标绩效,重新进行风险评估;重新进行风险优先级的排序;重新制定风险应对措施;重新确立风险偏好6)建立风险的组合观。
管理层需要从组织整体角度考虑风险,将组织风险作为一个整体去和实现绩效目标所需要承受的风险进行对比,而不是将其视为一个个单独的、分散的风险4、风险信息、沟通和报告沟通是在主体中不断迭代地取得并分享信息的过程管理层利用从内部和外部取得的有效信息来支持企业风险管理工作,组织利用信息系统来捕捉、处理和管理数据和信息通过利用应用于所有组成部分的信息,组织就风险、文化和绩效做出报告1)使用相关信息组织利用支持企业风险管理的信息,首先考虑有哪些可用的信息来源,然后衡量取得这些信息的成本,最终确定需要哪些信息来源2)利用信息系统信息系统可以是正式的或者是非正式的3)沟通风险信息沟通的对象既包括内部的员工,也包括董事会、股东及其他外部的利益相关者沟通方法可以是电子信息、外部/第三方材料、非正式/口头、公共活动、培训和研讨会、内部文件4)对风险、文化和绩效进行报告组织在各个层级对风险、文化和绩效做出报告5、监控风险管理效果通过监控风险管理(ERM)的效果,组织可以判断ERM的各组成部分的长期运作是否良好并获知有哪些实质性的变化1)对重大变化进行监控组织识别和评估可能对战略和业务目标的达成造成实质性影响的内部和外部变化。
造成这些实质性影响的变化可能来自内部的原因,如快速成长、新技术或者管理层及其他人事变动;可能来自外部环境,例如法规和经济环境的变化;还可能来自组织文化方面,例如并购和重组带来的文化冲击2)对ERM进行监控组织应监控ERM的效果并随时准备对其进行效率上和实用性上的改善,组织同样要明确未来理想中的ERM状态,做到持续改进二、 内部牵制内部牵制的概念最早在1905年由特克西提出他认为内部牵制由3部分组成:职责分工、会计记录、人员轮换这3部分内容在现代内部控制中都有所体现《柯勒会计词典》中对内部牵制曾做出最全面的解释,它认为“内部牵制是指以提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计其主要特点是以任何个人,或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制设计有效的内部牵制得以使每项业务能完整、正确地经过规定的处理程序,而在这规定的处理程序中,内部牵制机制永远是一个不可缺少的组成部分”由此可见,内部牵制是以。