《中国集团企业的内控与风险管理》由会员分享,可在线阅读,更多相关《中国集团企业的内控与风险管理(9页珍藏版)》请在金锄头文库上搜索。
1、中国集团团企业的的内控与与风险管管理企业管理理 20008-07-04 19:29:48 阅读1116 评论00 字号:大中小小订阅阅本文是作作者在 20008 中中央企业业 CFFO 论论坛上所所作的研研究主题题报告,探讨了了如何在在新环境境下科学学构建企企业内部部控制体体系和风风险管理理机制, 将高高昂的、合规的的责任转转换为实实质性的的经营优优势,并并从风险险管理当当中,取取得可以以量化的的经营和和价值。强化内控控与风险险管理,升级集集团管控控平台20008中中央企业业CFOO论坛主主题报告告金蝶集团团高级副副总裁兼兼任首席席咨询官官 金卓卓君在近年来来的工作作过程中中,随着着外部监监管
2、要求求的提升升、企业业自身内内控的要要求,企企业内控控和风险险管理成成了主流流话题。在当前前的环境境下,企企业内控控和风险险管理过过程中的的IT系系统是控控制措施施到位的的必要保保障,但但是在现现实中,大部分分企业控控制风险险的管理理支持并并不足够够。在此此需要探探讨的是是,在新新环境下下如何应应用ITT系统构构建企业业内部控控制体系系和风险险管理机机制:一、为什什么:强强化内控控与风险险管理必必要性;二、做什什么:构构筑科学学的风险险管理体体系;三、怎么么做:内内控及风风险管理理与ITT系统。为什么:强化内内控与风风险管理理必要性性19955年英国国巴林银银行的破破产;20011年美国国安然
3、公公司倒台台;20022年美国国世通公公司丑闻闻;20044年中航航油炒作作原油期期货,巨巨亏5.5亿美美元;上述事件件都是由由于内部部风险控控制疏漏漏从而导导致企业业的巨亏亏、破产产,触目目惊心的的事实促促使全球球商界、金融界界、政府府重新审审视风险险控制的的内部制制度和外外部环境境,向企企业提出出了更加加全面提提升监管管的要求求。20022年美国国国会通通过的萨萨班斯法法案,220066年沪深深证券交交易所发发布上上市公司司内部控控制机制制、同同年国资资委发布布中央央企业全全面风险险管理指指引、20007年财财政部发发布企企业内部部控制标标准体系系征求意意见稿一一系列政政策法规规的出台台,
4、企业业已经可可以真切切感受到到,对于于强化内内部控制制和风险险管理已已经是大大势所趋趋。同时,随随着市场场竞争日日趋激烈烈,外部部环境变变得越来来越复杂杂,在企企业经营营过程中中,风险险无处不不在。著著名机构构EIUU(Thhe EEconnomiist Inttellligeencee Unnit Limmiteed)关关于未来来经济、产业和和公司发发展趋势势的调查查显示:20005年20220年这这15年年间,包包括管理理决策、企业定定价、低低成本市市场竞争争、经济济衰退、高素质质员工缺缺乏等等等,都会会给企业业经营带带来风险险。(图图一:220055年-220200年的风风险影响响) 在
5、今天天的动态态环境系系统中,旧的内内部审计计方法已已经不能能符合的的迅速发发展的企企业需要要,管理理和监督督风险需需要宽广广和系统统化的风风险管理理方法,这也是是让企业业股东与与管理层层寝食难难安的问问题。企企业需要要系统化化地建立立一套风风险管理理体制,从而识识别影响响企业盈盈利的关关键因素素,并对对那些会会影响企企业达标标的风险险进行监监控及管管理。德勤中国国20007年66月开展展的一项项有关中中国上市市公司内内部控制制现状的的调查结结果显示示:大部部分(774%)的上市市公司清清楚了解解监管机机构对内内部控制制的要求求,但只只有200%的上上市公司司认为自自身现有有的内部部控制体体系能
6、够够完全满满足监管管要求;约四分分之三(76%)的受受访上市市公司均均表示不不了解或或不确定定如何有有效地进进行风险险管理工工作;大大部分(72%)受访访上市公公司认为为公司本本身没有有一个持持续监控控内部控控制有效效性的机机制。中中国上市市公司内内控体系系距离监监管机构构的要求求还很有有距离。同时,建建立企业业内控体体系也耗耗费了企企业高昂昂的成本本。安永永公司调调查了2255家家美国上上市公司司在两年年内遵从从4044条款的的情况,反馈回回来的数数据清楚楚的说明明了实现现法规遵遵从所付付出的代代价:超超过半数数的企业业法规遵遵从的成成本在1100万万到5000万美美元之间间。美国国上市公公
7、司为遵遵从萨班班斯法案案花费了了巨大的的成本。(图二二:美国国上市公公司遵从从萨班斯斯法案的的成本情情况)一篇报道道提到:“据了了解,由由于该法法案对上上市公司司的内部部控制、财务管管理等的的要求极为苛苛刻,使得在在美国上上市的中中国企业业集体遭遭受萨班班斯之痛痛在在执行和和实施过过程中工工作量异异常繁重重,增加加了企业业的成本本与负担担,所以以遭受相相关公司司相关负负责人员员对“萨萨班斯”的抱怨怨和抵触触情绪。”而萨萨班斯法法案在美美国本土土企业中中执行的的过程中中,却没没有出现现很多抱抱怨抵触触。这也也恰恰说说明中国国企业内内控管理理和风险险管理远远未达标标。做什么:构筑科科学的风风险管理
8、理体系如何将高高昂的、合规的的责任转转换为实实质性的的经营优优势,如如何从风风险管理理当中,取得可可以量化化的经营营和价值值,这就就迫切需需要企业业构建科科学的内内控体系系和风险险管理机机制。什么是风风险管理理?美国国内控研研究委员员会对风风险的定定义是:企业风风险管理理是一套套由企业业董事会会与管理理层共同同设立、和与企企业战略略相结合合的管理理流程。它的功功能是识识别那些些会影响响企业运运作的潜潜在事件件和把相相关的风风险管理理到一个个企业可可接受的的水平,从而帮帮助企业业达至它它的目标标。这个个定义,为企业业内控体体系的构构建提供供了参考考。Commmitttee of Spoonsoo
9、rinng OOrgaanissatiion of Thee Trreaddwayy Coommiissiion (COOSO)为内控控开发了了一个全全面的框框架,也也就是一一般称之之为的CCOSOO内部控控制框架架。这个个内控框框架是唯唯一被美美国证监监会确认认为完整整、全面面和不偏偏依的内内控框架架。这个个框架将将企业内内部控制制分为两两个层面面,一是是公司层层面,二二是流程程、交易易及ITT应用层层面。这这个框架架,对企企业建立立内控体体系和风风险管理理机制是是一个很很好的体体系指引引。(图图三:CCOSOO内部控控制框架架)COSOO内部控控制框架架首先体体现了对对风险观观念的转转变。
10、从从过往的的操作角角度,过过渡到董董事会管管理层关关注角度度。以前前的风险险管理更更多是低低层次、经营层层次的工工作,风风险监控控基本是是内部审审计人员员的职能能,COOSO内内部控制制框架则则认为,风险管管理是董董事会管管理层的的一个职职能。同同时,以以前总认认为风险险是一个个需要控控制的负负面因素素,而风风险其实实也是一一个机会会。以前前风险各各个层面面的管理理,是在在企业各各个部门门个别展展开,CCOSOO内部控控制框架架则认为为需要在在整个企企业范围围内进行行一体化化的风险险管理。风险的的责任,也由各各级的低低层次人人员,上上升到高高级部门门人员来来承担。风险管管理的衡衡量也有有主观转
11、转向注重重风险管管理的量量化。最最终将无无组织以以及杂乱乱的风险险管理纳纳入所有有企业管管理层次次和系统统。COSOO内部控控制框架架事实上上提供一一个全面面风险管管理的流流程。风风险管理理体系要要解决的的的四个个关键问问题:企业知知道它所所面临的的风险吗吗?企业是是否已对对这些风风险设置置内部控控制?企业的的风险管管理及内内部控制制有效吗吗?哪一些些风险管管理及内内部控制制必须改改进?CCOSOO内部控控制框架架从风险险识别,到风险险评估,确定风风险战略略,拟定定解决方方案,风风险治理理,以及及持续不不断改进进的流程程,覆盖盖了风险险管理的的全面流流程。COSOO内部控控制框架架在企业业组织
12、和和管理职职能上的的落实,体现在在“一个个基础、三到防防线”。“一个个基础”就是风风险治理理结构;“三道道防线”,第一一道防线线是业务务单位的的防线,第二道道防线是是风险管管理单位位的防线线,第三三道防线线是内审审单位的的防线。一个基基础加上上三道防防线就构构成了风风险管理理在组织织上的保保障。三三道防线线中,每每一道防防线都有有它的责责任和职职能。各各个业务务单位是是内部控控制的责责任主体体;风险险管理单单位是风风险管理理的监视视和建议议部门;内审单单位的责责任则是是确认和和报告。在三道道防线中中,需要要特别强强调业务务单位的的第一道道防线。业务单单位包含含了企业业大部分分业务和和资产,在日
13、常常工作中中面临各各种风险险,是企企业风险险的前线线。企业业风险管管理必须须把手段段和内控控程序,融入到到业务单单位的工工作和流流程中,管控好好业务单单位这一一道防线线。怎么做:内控及及风险管管理与IIT系统统如何在实实际业务务过程中中,做业业务经营营和好风风险管理理,保证证企业的的资产增增值?CCOSOO内部控控制框架架提到的的五大控控制内容容环境监监控、风风险评估估、控制制活动、信息与与沟通和和监督,除了理理念和文文化外,几乎全全部是和和IT相相关的。如控制制活动中中的组织织结构、权责的的分派、人力资资源政策策及实务务;风险险评估中中的风险险评估、应变措措施、对对改变的的管理;控制活活动中
14、的的制度与与程序、整体控控制、作作业层级级控制、关键环环节控制制;信息息与沟通通中的信信息系统统、有效效沟通;监督中中持续沟沟通、缺缺失呈报报。可以以看到,只有通通过ITT系统将将风险和和保证融融入到日日常业务务管理中中,风险险管理才才能够有有效地推推动公司司的变革革和提升升公司的的绩效。企业风险险管理有有一个成成熟度的的演进。第一阶阶段是无无意识阶阶段,企企业风险险管理是是随机出出现的,仅仅实实施“必必须的”任务。第二阶阶段是一一个被动动、支离离破碎阶阶段,企企业风险险管理是是应对法法律强制制的匆忙忙项目。如要去去美国上上市,必必须遵从从萨班斯斯法案,同时还还有企业业内部其其他管理理需求,以
15、及其其他法规规要求,这时候候企业的的风险管管理,是是建立和和“治理理,风险险和合规规”相关关项目的的建议的的汇总,比较零零碎。第第三阶段段是合并并阶段,开始一一些统一一化的GGRC方方法,有有一些管管理制度度,但还还不是一一个完整整的系统统。第四四阶段是是运作卓卓越阶段段,企业业建立了了系统的的内控体体系和风风险管理理机制,并实现现持续改改善。 (图四:企业风风险管理理的成熟熟度演进进)今天,很很多企业业内控距距离监管管机构的的要求还还有相当当的差距距。如何何改变这这一面貌貌,一个个有效的的IT系系统可以以帮助企企业迅速速建立内内控制体体系和风风险管理理机制。很多IIT系统统对企业业管理支支持是不不够的,支持企企业全面面风险的的IT系系统有一一些什么么样的特特征?总总结和概概括支持持企业全全面风险险的ITT系统特特征和关关键应用用,其特特征包括括:提供一一体化的的集成系系统支持不不同的集集团管控控模式支持集集成的全全面预算算管理支持不不同资金金管理模模式支持多多层面的的财务报报告体系系支持业业务控制制活动(销售、采购、生产等等)主动式式风险预预警和控控制管理理这些特征征,都是是支持企企业全面面风险的的IT系系统现在在,后者者未来应应该有的的特征和和关键应应用。特征1:提供一一
