企業(yè)風險管理的實施要求(ppt 77頁).ppt

1、普 華 永 道,企業(yè)目標, 風險與內部控制- 通過風險管理實現(xiàn)企業(yè)目標,企業(yè)目標, 風險與內部(通過風險管理實現(xiàn)企業(yè)目標),提綱: 什么是風險管理 投資者的要求 企業(yè)目標, 風險與內部控制的關系 控制結構框架 風險管理實施 (案例分析),什么是風險管理?,PwC,什么是風險管理?,“風險管理是: 發(fā)現(xiàn)和了解組織中風險的各個方面, 并且付諸明智的行動幫助組織實現(xiàn)戰(zhàn)略目標, 減少失敗的可能并降低不確定的經(jīng)營結果 的整個過程”,管理層對風險的看法的轉變,低層次/經(jīng)營層次。風險監(jiān)控是內部審計人員的職能。 風險是一個需要控制的負面因素。 風險管理在企業(yè)各部分個別展開 風險管理的責任被委派到低層次的人員

2、風險的衡量是主觀的 無組織以及雜亂的風險管理職能,從過往操作角度,過渡到董事會關注,是CEO的工作 (也是董事會的監(jiān)管) 風險其實是一個機會,在整個企業(yè)范圍內進行一體化的風險管理 風險管理的責任由高級和部門管理人員承擔,風險的數(shù)化 風險管理被納入所有企業(yè)管理系統(tǒng),投資者的要求,PwC,投資者關注: 一系列大公司倒閉事件, 如: 1991年: Bank of Credit & Commerce (BCCI), Maxwell 1995年: 巴林銀行, Daiwa銀行 投資者及有關各方對公司報告和道德行為標準的要求不斷提高,投資者的要求,隨著國際上市融資的增多, 機構與個人投資者對全球股市重視程度

3、的加強, 投資者正在尋找擁有成熟監(jiān)管體系的公司進行投資 為了應付國際壓力, 各大公司都要對其公司監(jiān)管的主要領域進行披露 中國是幸運的. 她可以關注著各主要金融中心關于公司監(jiān)管的探討的發(fā)展進程. .,投資者的要求,投資者要什么? 一個建立在EVA或MVA基礎上長期, 穩(wěn)定而能接受的回報,投資者的要求,公司目標又是什么? 最大股東財富,投資者的要求,企業(yè)目標, 風險與內部控制的關系,PwC,Key Terms - 關鍵詞匯,RISK風險,Control控制,通過管理程序或活動減少風險,可量化，可衡量，可以達到的業(yè)務目標,Objective目標,可能影響業(yè)務目標實現(xiàn)的事件,業(yè)務目標 (Qualiti

4、es to look for),具體化 可衡量 可達到 有經(jīng)濟效益 與企業(yè)長遠目標相聯(lián),業(yè)務目標: 實例,一年內將股東價值提高30% 在18個月內實現(xiàn)成本降低達 25% 6個月內提高生產(chǎn)率20% 實現(xiàn)共享服務 (Shared Services Initiatives) 建立電子商務 (E-Business Initiatives) 新的/改良的系統(tǒng) (New/Modified Systems),明確目標可量化的,可衡量的和可實現(xiàn)的業(yè)務目標,組織機構和業(yè)務單位是否對各自應實現(xiàn)的目標承擔責任? 最重要的客戶和其組成部分是什么? 利益相關者的期盼是什么? 影響: 對于公司, 業(yè)務單位或業(yè)務流程而言,

5、 什么樣的目標有最大的影響力? 時間: 短期來看, 哪些目標是最重要的?,討論:業(yè)務目標,A. 請根據(jù)具體情況, 比如您所在的中化產(chǎn)業(yè)鏈 (如油品，塑料，橡膠, 化工產(chǎn)品, 貿易) 和企業(yè)特點 (如集團公司, 職能部門, 產(chǎn)業(yè)集團公司, 產(chǎn)業(yè)子公司等等), 描述您明年的最重要的五個目標:,風險的定義,What keeps management up at night? 什么事情使管理層夜不能寐? What doesnt keep management up at night, but should? 什么事情應該引起管理層的注意，而實際卻沒有?,什么是風險?,Any issue which c

6、ould impact an Organizations ability to meet its objectives. 任何可能影響某一組織實現(xiàn)其目標的事項。,遵守風險 (法律和政策) 財務風險 經(jīng)營風險 (包括戰(zhàn)略風險和科技風險) 在企業(yè)成立之初，內部審計職能的建立一般是以財務和遵守法律和政策為重點，但是隨著企業(yè)的成長，發(fā)展以增值為重點。,風險的三個主要類別,風險的類別,Economic (經(jīng)濟) Political (政治) Legal (法律) Technology (科技) Competition (競爭) Foreign Exchange (外匯風險) Market stagnat

7、ion (市場蕭條) Supplier (供應商) Market related risk (市場固有風險) Security/fraud activity (安全/欺詐行為),Change in IT (IT 變革) People (人) Reputation/media (聲譽/媒體) Product/Production (產(chǎn)品/生產(chǎn)) Purchasing/Procurement (采購) Accounting (會計) Working capital mgmt (流動資本管理) Management information (管理信息) Financial controls (財務控

8、制),定義業(yè)務風險.,風險包括: 惡性事件帶來的威脅 (risk as hazard) 尚不能確定后果的事件 (risk as uncertainty) 可轉化為機會的事件 (risk as opportunity),風險是任何可能影響某一組織實現(xiàn)其目標的事項,風險的特點,風險長期存在 不總能被消除 必須與機會同時權衡,需要更有力 的控制,Sears 誤導性的汽車銷售方法,Salomon債券拍賣丑聞,Bausch & Lomb來自CEO的 的銷售壓力,Hudson Foods污染的牛肉,General Motors未能察覺的虛假 的代理商銷售,Beech-Nut Foods質量控制的合規(guī)性,A

9、rcher Daniels Midland控制價格的指控,Barings未得許可的交易風險,Daiwa貿易損失,Cathy Lee Gifford壓榨勞工,Foundation for NewEra PhilanthropyPonzi 投資計劃,Texaco 種族歧視,United Way 有問題的管理模式,Dennys 歧視,Firestone 產(chǎn)品質量,不幸的轉輪,有什么大不了？,內部審計協(xié)會列出的9大風險因素.,管理層的能力 (Competence of management ) 管理層的道德觀 (Integrity of management) 近期系統(tǒng)變化 (Recent chang

10、es in systems) 組織規(guī)模 (Size of unit) 資產(chǎn)流動性 (Liquidity of assets) 變革 (Change) 復雜程度 (Complexity) 快速增長 (Rapid growth) 規(guī)章制度是否健全 (Level of regulation),討論:風險,B. 請根據(jù)您所要實現(xiàn)的企業(yè)目標, 列出將面對的風險并評價其對實現(xiàn)企業(yè)目標的關鍵性:,內部控制實施程序/活動以減少風險,內部控制定義: 管理層采取的計劃,組織,指導行動為保證以下目標的實現(xiàn): - 達到預定目標 - 經(jīng)濟并有效的使用資源 - 防止資產(chǎn)流失 - 信息的可靠性與整體性 - 與政策, 計劃,

11、 程序, 法律法規(guī)保持一致 (來源:英國內部審計委員會),內部控制 實施程序/活動以減少風險,內部控制能夠幫助企業(yè)達成其目標，同時在前進過程中避免各種錯誤和意外. 隨著對價值, 責任, 信任和授權的認可加強, 控制也被認為是一個有活力的, 不斷發(fā)展的系統(tǒng).,內部控制: 控制不是靜態(tài)的,原有風險的變化和新的風險對早期設計的內部控制系統(tǒng)施加壓力.,遵守和控制過程,企業(yè)組織的變化,內部因素,外部因素,降低成本的要求,工藝流程的改進 和變化,新的技術,公司監(jiān)管與內部控制的關系,公司的指導與控制體系. 包括公司各方面的運營活動, 如財務管理與報告, 經(jīng)營效率與效果,遵守相關法律. 由股東指定的董事會負責

12、公司管理.,有關公司監(jiān)管討論的一個中心問題是: 建立一個強有力的內部控制系統(tǒng). Adrian Cadbury爵士甚至斷言, “公司的失敗都是由內部控制的失敗引起的.” 有效的內部控制是公司高效管理的必要部分這一觀點已得到廣泛認可.,公司監(jiān)管與內部控制的關系,公司監(jiān)管與內部控制的關系,我們應該積極的看待內部控制, 它使董事們自信地運營公司, 達到他們運營和贏利的目標, 同時防止資源的流失. 內部控制在協(xié)助管理層防止資源流失, 保證信息的可靠性和系統(tǒng)整體恰當運轉方面是必不可少的.,內部控制的職責,組織內部控制系統(tǒng)的設計, 維護和監(jiān)測的職責, 首先是, 而且最重要的是由董事會執(zhí)行的. 在很多組織內部

13、, 這一職責是由審計委員會負責的. 僅僅建立內部控制系統(tǒng)是不夠的. 內部控制系統(tǒng)需要不斷的監(jiān)管以保證組織達到其既定目標. 因此, 除非建立一個有效的監(jiān)管系統(tǒng), 否則我們不能確保內部控制系統(tǒng)的有效性. 監(jiān)管程序的作用是給董事會一種 “合理的保證” , 即內部控制正在向既定目標前進.,平衡風險和內部控制管理,審計的范圍,企業(yè)風險管理,預防,與管理層共同參與,重視交易,遵守職能,重視過程,協(xié)助管理層自我評價,內部審計職能,管理層的期望,偵察,加強,咨詢,舉例: 企業(yè)目標, 風險和內部控制的關系,舉例: 企業(yè)目標, 風險和內部控制的關系,舉例: 企業(yè)目標, 風險和內部控制的關系,舉例: 企業(yè)目標, 風

14、險和內部控制的關系,舉例: 企業(yè)目標, 風險和內部控制的關系,C. 請將前面討論過的企業(yè)目標, 風險, 內部控制的關系綜合起來, 并提出您的見解:,討論:企業(yè)目標, 風險和內部控制的關系,企業(yè)目標, 風險和內部控制的關系是什么?,確定目標,評估風險,分析控制,目標, 風險和內部控制,D. 小組討論: 請將前面討論過的企業(yè)目標, 風險, 內部控制的關系綜合起來, 并提出小組的見解:,討論:企業(yè)目標, 風險和內部控制的關系,企業(yè)目標, 風險和內部控制的關系是什么?,確定目標,評估風險,行動計劃/ 責任分配,分析控制,目標, 風險和內部控制,控制結構框架,PwC,控制結構框架,COSO控制結構框架包

15、含5個組成要素： (Committee of Sponsoring Organizations of the Treadway Commission) 控制環(huán)境 (Control Environment) 風險評估 (Risk Assessment) 控制行動 (Control Activities) 信息與溝通 (Information and Communication) 監(jiān)控 (Monitoring),控制環(huán)境,控制環(huán)境是內部控制的基礎: 設定組織管理的基調 影響著員工的控制管理意識 是其他四個內部控制組成部分的基礎 提供紀律和控制結構,控制環(huán)境的因素包括: 企業(yè)每一個人的誠信、道德價值

16、和能力 管理層的管理理念和經(jīng)營風格 管理層的授權方式和發(fā)展員工的方法 董事會成員對企業(yè)的關注和指導,控制環(huán)境,控制環(huán)境,風險評估,控制活動,信息和溝通,監(jiān)控,營經(jīng),務財,守遵,單位 1,單位 2,單位 3,單位 4,傳達管理理念 - 責任 - 義務 - 職權 - 人力資源 - 員工發(fā)展,設定管理基調 - 誠信 - 道德觀念 - 能力,要素1: 控制環(huán)境,控制要素,控制類別,風險評估,為了有效地控制風險則需要對風險進行評估 一個企業(yè)都面對各種不同的內部和外部的風險，必須對這些風險進行評估 風險評估就是確定和分析企業(yè)實現(xiàn)其目標的過程中的相關風險 風險評估的一個前提條件就是企業(yè)已確立目標, 這些目標

17、在各個層次上相互關聯(lián)并且在企業(yè)內部是一致的 由于經(jīng)濟、行業(yè)、政策法規(guī)和經(jīng)營條件持續(xù)地變化, 因此需要建立機制以及時確定和處理與這些變化相關的特定風險,評估關鍵的風險,風險是您實現(xiàn)業(yè)務目標的現(xiàn)存的或潛在的障礙 什么因素可能會妨礙本部門實現(xiàn)其關鍵的業(yè)務目標? 要成功, 需要完成一些必要的工作和程序, 而什么因素會阻礙這些工作和程序的完成和實現(xiàn)呢? 發(fā)生率: 這些風險中, 什么風險是最可能發(fā)生的? 影響: 哪些風險將對本部門實現(xiàn)其預定目標的能力產(chǎn)生最重大的影響? 有什么有效的控制機制可以減少這些風險及其影響?,如何評估影響？,只要可能，獲取管理層和業(yè)務單位人員的投入信息 通過職業(yè)判斷和借鑒以往的經(jīng)驗

18、 依照其影響和可能性將風險分類 性質、程度 (即，高、中、低等) 量化 (即，5、3、1等) 將風險排序或制成圖表 集中精力對有巨大影響力和巨大風險進行評估,辨別主要風險影響,偶發(fā)性,重要性,無關性,日常性,可能性,影,響,力,討論:辨別主要風險影響,B. 請根據(jù)您所要實現(xiàn)的企業(yè)目標, 列出將面對的風險:,控制環(huán)境,風險評估,控制活動,信息和溝通,監(jiān)控,營經(jīng),務財,守遵,單位 1,單位 2,單位 3,單位 4,管理/控制變化,確定并分析對實現(xiàn)企業(yè) 目標有影響的風險,要素2: 風險評估,控制要素,控制類別,風險意識,把對風險的認識發(fā)展成為企業(yè)文化的一部分, 比如, 企業(yè)設有清晰并完整的辨別和處理

19、風險的程序 在員工中提倡風險的意識, 通過公告, 階段性的報告等手段讓員工了解什么應該執(zhí)行, 什么應該避免 管理層在制定發(fā)展計劃,設定目標時必須考慮到目標進行時可能遇到的風險并進行評價 企業(yè)員工能夠在被問到的時候清楚地說出企業(yè)的主要目標 經(jīng)常性地要求員工提出他們對風險的認識和看法 對員工進行風險認識的培訓. 在提高對風險的認識問題上, 企業(yè)內部的交流 無論是主動的還是被動的 都是非常有效的.,風險意識 (續(xù)),員工在職責范圍內關于減低風險的表現(xiàn)作為年度業(yè)績考核的一項條款. 負有降低風險責任和義務的管理人員對他們的職責非常清楚. 每一件“壞事”發(fā)生的原因都被徹底調查清楚, 使這些因素能夠被企業(yè)及

20、其員工理解, 討論并產(chǎn)生相應的對策. 每一位經(jīng)理在他/她能夠影響的范圍內, 都設立降低風險的目標. 與風險相關聯(lián)的任何經(jīng)驗都在企業(yè)內部進行廣泛而有效的交流. 風險進行分類, 既把風險看成是威脅又把風險看成是機會.,控制活動,為管理和減少風險而制定的政策制度和程序 是協(xié)助管理層確保有關經(jīng)營指導方針得以落實的政策制度和程序 幫助確保管理層采取必要的措施行動以處理企業(yè)在實現(xiàn)其目標的過程中所面臨的風險 在整個公司范圍、所有層次以及所有職能中實施,控制活動,控制活動包括: 審批 (Approvals) 授權 (Authorizations) 核實查證 (Verifications) 對帳 (Reconc

21、iliation) 檢查 (Review) 資產(chǎn)的安全 (Security of assets) 責權分離 (Segregation of duties),評估適當?shù)目刂?能做什么工作來降低發(fā)生風險的可能性? 這些工作或活動現(xiàn)在存在嗎? 足夠嗎? 現(xiàn)有的控制活動是否明確, 獨特且沒有彼此重復? 效率: 有沒有更容易的或者成本更低的控制風險的方法? 效果: 這些控制活動是不是有效地降低了風險?,為管理和減少風險而制定的政策制度和程序,控制環(huán)境,風險評估,控制活動,信息和溝通,監(jiān)控,營經(jīng),務財,守遵,單位 1,單位 2,單位 3,單位 4,管理層發(fā)展方針貫徹的程序 直接的職能或活動管理 物質的控制

22、 - 職權的分離,要素3: 控制活動,控制要素,控制類別,實現(xiàn)目標的管理機制,信息和溝通,人們往往認識不到信息和溝通是和控制相關聯(lián)的 必須通過某種方式，在一定的時間之內明確、 獲得并傳達溝通相關信息以確保人們能夠履行其職責。 信息系統(tǒng)提供有關財務、經(jīng)營和法律法規(guī)的遵守等信息的報告，這些信息使企業(yè)的管理控制成為可能。 所有員工必須從高級管理層獲得明確的信息指令， 即所有人都必須認真看待和履行控制職責。,控制環(huán)境,風險評估,控制活動,信息和溝通,監(jiān)控,營經(jīng),務財,守遵,單位 1,單位 2,單位 3,單位 4,要素4: 信息和溝通,控制要素,控制類別,經(jīng)營和財務信息的準確性和及時性,獲取內部和外部的

23、信息,組織的溝通,監(jiān)控,是確定控制結構是否有效及最大可能減少意外不測的關鍵 內控系統(tǒng)需要監(jiān)控 內控系統(tǒng)的監(jiān)控通過以下工作實現(xiàn)： 進行中的監(jiān)控工作 單獨的評估 (內部審計) 二者的結合 內部控制的不足應當逐級向上匯報，重大問題要報最高管理層和董事會。,控制環(huán)境,風險評估,控制活動,信息和溝通,監(jiān)控,營經(jīng),務財,守遵,單位 1,單位 2,單位 3,單位 4,要素5: 監(jiān)控,控制要素,控制類別,連續(xù)性的行動和 一次性的活動,反映嚴重問題的系統(tǒng),監(jiān)控系統(tǒng)的評價,通過使用COSO提供的框架, 管理層可以處在一個更好的位置來把企業(yè)的內部控制系統(tǒng)和已建立的標準進行比較, 找出運營中, 財務報告中存在的問題以

24、及是否遵守了法律法規(guī), 并采取行動加以改進.,控制結構框架,E. 請按照控制結構框架的五個要素描述貴公司現(xiàn)有的風險管理情況:,討論:,內部審計委員會建議高級執(zhí)行官和董事認真研究以下問題, 來更好的理解他們組織的管理系統(tǒng): 董事會和管理層是怎樣建立并維持公司的道德準則和文化? 公司是怎樣識別和管理風險的? 公司是怎樣評估其內部控制系統(tǒng)并使其有效運轉的? 公司是怎樣判斷其審計委員會工作效率的? 怎樣得知內部審計功能是否有效?,控制結構框架,內部控制的前景,我們經(jīng)常使用內部控制, 但我們對它還有很多誤解. 因此, 我們需要花些時間來研究內部控制的本質和我們通過內部控制能得到什么. 一個強有力的內部控

25、制系統(tǒng)意味著公司能夠提高效率和功效, 加強對外部事物的控制能力. 另外, 人們可以得到可靠的相關信息, 他們可以在合適的時間和地點來使用. 好的管理和有效的內部控制可以保證一個組織隨時處理出現(xiàn)的不利情況, 限制其不利影響. 有效的控制可以給公司成員充分的自由度來發(fā)揮其判斷力與想象力, 管理錯誤行為帶來的風險, 從而幫助公司成功.,內部控制的前景,然而, 內部控制并不能保證公司的成功. 內部控制只是管 理程序的一個部分,而不是全部.,內部控制的前景,內部控制也不是對錯誤決策, 低效管理和無法預見的外部事件的補救 內部控制也不能解決企業(yè)的所有問題 但是, 低效的管理卻會引起嚴重的公司問題. 我們永

26、遠也不能保證內部控制的完全有效性, 因為我們不可能持續(xù)監(jiān)督所有的人員, 程序及系統(tǒng).,內部審計在公司監(jiān)管中的作用,在大多數(shù)情況下, 內部審計功能應在審計委員會的指導下完成, 并向后者按時匯報. 內部審計職能并不是作為審計委員會的備選方案. 恰恰相反, 內部審計職能在協(xié)助審計委員會完成公司監(jiān)管職責方面起著重要作用. 審計委員會的設立是重要的第一步, 但只有建立專業(yè)的內部審計功能才可以給審計委員會強有力的武器來保證對控制所處環(huán)境的有效監(jiān)測.,內部審計在公司監(jiān)管中的作用,英國Cadbury報告中特別指出, 對公司來講, 建立內部審計功能是一種很好的實踐. 內部審計功能將對公司關鍵控制和程序進行常規(guī)監(jiān)

27、測, 并且其本身應被看作公司內部控制整體的一個部分和一種保證內部控制有效的途徑. 同樣, COSO報告陳述道: “內部審計員在評估控制系統(tǒng)有效性方面起著重要的作用, 并對系統(tǒng)進行中的有效性作出貢獻. 由于其組織性地位和在實體中的權威, 內部審計經(jīng)常發(fā)揮重要的監(jiān)測職能.” 目前, 建立專業(yè)內部審計功能以幫助管理層完成公司監(jiān)管的職責, 已被廣泛的看作一種很好的實踐.,風險管理實施 (案 例 分 析),PwC,案例分析 (全面風險管理方案),XYZ 是一家大型國有企業(yè)集團, PETER 是XYZ 下屬的ABC 公司剛剛任命的總經(jīng)理. PETER 的前任JOHN, 在擔任ABC 公司總經(jīng)理的3年時間里, 領導公司在銷售收入和完成利潤方面取得了卓越的成績. ABC 公司2002年財務年度的目標是銷售收入和利潤分別增長 15% 和10%. PETER是技術出身的管理人員, 最近參加了一些風險管理的培訓講座, 因此他對企業(yè)目標, 風險和內部控制的關系, 以及控制框架的五個要素有一定的認識, 他也知道一些美國和歐洲的跨國公司因為內部控制不良而倒閉或陷入困境. PETER 在上任后的一個月里和管理層開過幾次會, 并且認識到管理人員對完成今年的銷售和利潤目標非常關注, 但是對風險管理卻不以為然. 當PETER 對他的副總經(jīng)理FRANCIS 談到這個問題時, FRANCIS這樣回答： “我們的重點就