1、n n内部控制过程包括过程控制、内部审计,过程控制使控制对象在行为过程中处于稳定状态,并达成内部控制目标的控制活动,涉及运营风险监控、风险的自我评估和信息反馈等 内部控制过程篇内部控制过程篇 1.91 1运营风险运营风险9 92 2 风险监控风险监控 9 93 3 过程控制案例过程控制案例第九章过程控制第九章过程控制2.91运营风险n n过程控制是指在内部控制框架下,使控制对象在行为过程中处于稳定状态,并达成内部控制目标的控制活动。过程控制比结果控制要深入、具体,不仅对工作结果进行监控,而且要对整个过程进行控制,如风险监控是过程控制的重要内容 3.n n2001年,长虹公司为实现海外发展战略、
2、提高销售额,将长虹彩电交由APEX公司在美国销售。APEX方面总是以质量问题或货物未收到为借口,拒付、拖欠货款或少量付款。2002年底,长虹公司应收账款为42.2亿元,APEX公司就占了90%,达38.3亿元。2003年底长虹公司应收账款49.8亿元,APEX公司就占了89%,达44.6亿元。长虹公司内部为此专门成立了APEX项目管理小组 4.n n但令人无法理解的是,在提出对账和索要货款未果的情况下继续发货给APEX公司。2003年底,长虹公司派出高级管理人员与APEX交涉,结果2004年初长虹又发货3000多万美元,暴露了长虹公司在过程控制方面的问题。企业最高管理层需要树立企业成长、盈利、
3、风险三者平衡的风险控制观,要求管理当局将主要精力放在风险管理方面,而不是所有细节的控制上 5.一、流程风险一、流程风险n n风险具有普遍性、多样性、可变性(一种风险可转化或扩展成另一种风险)、突发性、隐蔽性、复杂性、可控性。n n流程风险源于缺乏有效的流程管理,包括生产流程风险、交易流程风险、产品或服务风险。n n生产过程风险包括生产能力风险、生产周期风险、生产中断风险、存货保持风险等。6.n n交易过程风险的发生可能发生在采购环节,也可能是由于企业对于供应商或客户的评估而产生的。在采购过程中,如果原材料缺货或成本过高,那么可能会影响到企业在客户需要时提供具有竞争性价格的产品或服务的能力。另外
4、,采购原料的质量问题也可能引起风险n n例如,上海宝钢矿石供应的风险 7.交易流程中的风险控制交易流程中的风险控制交易前交易前交易中交易中交易后交易后交易管理工具交易管理工具订单去向订单去向交易执行交易执行确认交易确认交易清算及核对清算及核对会计记录会计记录图图91 交易流程中的风险控制交易流程中的风险控制定价定价信用记录信用记录8.【英特尔的失误】1994 1994年年1111月,一位学术界人士告诉英特尔公司,月,一位学术界人士告诉英特尔公司,它们生产的奔腾处理器有一个小的运算功能错误。它们生产的奔腾处理器有一个小的运算功能错误。但英特尔公司非常自信,没有认真对待这位客户但英特尔公司非常自信
5、,没有认真对待这位客户的反应。发现瑕疵的教授通过互联网询问其他人的反应。发现瑕疵的教授通过互联网询问其他人是否也遇到了类似的问题,结果得到数以千计人是否也遇到了类似的问题,结果得到数以千计人的回答。尽管英特尔公司一再向用户保证,处理的回答。尽管英特尔公司一再向用户保证,处理器的这个微小的问题不会影响到器的这个微小的问题不会影响到PCPC机的整体功能机的整体功能(出现计算错误的概率为(出现计算错误的概率为9090亿分之一),但用户亿分之一),但用户坚决要求更换产品。新闻媒体的批评是严厉的,坚决要求更换产品。新闻媒体的批评是严厉的,IBMIBM公司对装有奔腾处理器的计算机停止发货。公司对装有奔腾处
6、理器的计算机停止发货。虽然英特尔公司制定了更换产品的政策,但只有虽然英特尔公司制定了更换产品的政策,但只有约约3%3%的用户的产品得到了更换,英特尔为此付的用户的产品得到了更换,英特尔为此付出了出了4.754.75亿美元的代价亿美元的代价9.二、人员风险二、人员风险n n人员风险是指由于人员资格和能力不能够满足人员风险是指由于人员资格和能力不能够满足工作的要求,致使设计或操作出现漏洞、疏忽、工作的要求,致使设计或操作出现漏洞、疏忽、工作完成的效果差、难以达到预计目标、生产工作完成的效果差、难以达到预计目标、生产经营效率低下、产品质量或服务质量不达标准经营效率低下、产品质量或服务质量不达标准的可
7、能性的可能性n n有调查显示,大型超市的经理仅将有调查显示,大型超市的经理仅将31%31%的库存的库存损失归因于店铺偷窃者,而将剩余的损失归因于店铺偷窃者,而将剩余的46%46%归咎归咎于员工偷窃。如果只是追求利润而不将风险意于员工偷窃。如果只是追求利润而不将风险意识结合到公司的文化中,同样会引发员工的不识结合到公司的文化中,同样会引发员工的不良表现良表现 10.【迪斯尼公司的员工背景调查】n n迪斯尼乐园的业务是建立在公司安全及童趣的迪斯尼乐园的业务是建立在公司安全及童趣的声誉上:如果声誉受损,业务就会下滑。声誉上:如果声誉受损,业务就会下滑。19981998年年7 7月,迪斯尼公司一名年龄
8、不到月,迪斯尼公司一名年龄不到2020岁的厨师被岁的厨师被指控在酒店的卫生间侵犯了一位游客。这个厨指控在酒店的卫生间侵犯了一位游客。这个厨师还有着相当多的犯罪和被捕记录时,他的犯师还有着相当多的犯罪和被捕记录时,他的犯罪记录还包括袭击他人、入室偷窃等。罪记录还包括袭击他人、入室偷窃等。n n在他被迪斯尼雇佣的时候,他处在缓刑期间。在他被迪斯尼雇佣的时候,他处在缓刑期间。舆论对此曝光后,迪斯尼乐园的客流量和收入舆论对此曝光后,迪斯尼乐园的客流量和收入在一段时间内受到了打击。这一事件之后,迪在一段时间内受到了打击。这一事件之后,迪斯尼乐园将每一个员工都当作企业的风险源,斯尼乐园将每一个员工都当作企
9、业的风险源,更注重员工录用时的背景调查。更注重员工录用时的背景调查。11.n海空物流公司CEO向公司的每一个员工发出了必须遵守基本的职业道德规范(CodeofBusinessConduct),将该职业道德规范放在网站上,要求每一位员工每年必须重新学习一遍,强化员工的控制意识 12.三、信息系统风险三、信息系统风险n n信息系统风险包括信息系统数据的真实性、系信息系统风险包括信息系统数据的真实性、系统的稳定性、系统使用的安全性等方面。统的稳定性、系统使用的安全性等方面。n n运用信息系统的企业,在设计商业流程及系统运用信息系统的企业,在设计商业流程及系统时,应该明确地将数据安全、准确作为首要目时
10、,应该明确地将数据安全、准确作为首要目标标n n例如,一些物流公司在客户出货多的情况下,例如,一些物流公司在客户出货多的情况下,没有及时掌握信息、制定流程控制防止业务人没有及时掌握信息、制定流程控制防止业务人员操作失误;在货急和客户提供信息不完整时,员操作失误;在货急和客户提供信息不完整时,没有应急的流程控制和信息沟通,容易造成客没有应急的流程控制和信息沟通,容易造成客户流失。户流失。13.四、外部风险四、外部风险n n这种风险的来源于企业外部,但属于企业风险监这种风险的来源于企业外部,但属于企业风险监控和内部控制范围,未雨绸缪是一个比亡羊补牢控和内部控制范围,未雨绸缪是一个比亡羊补牢更理性的
11、选择。外部风险可以是自然或人为的灾更理性的选择。外部风险可以是自然或人为的灾难,可能来自于竞争具有偶然性,难以预测,一难,可能来自于竞争具有偶然性,难以预测,一旦发生却有着严重的后果旦发生却有着严重的后果n n外部风险还环境,使企业的原有运营环境遭到破外部风险还环境,使企业的原有运营环境遭到破坏,但是有效的管理可以降低此类风险。例如,坏,但是有效的管理可以降低此类风险。例如,IBMIBM从一个硬件公司到一个服务及解决方案公司从一个硬件公司到一个服务及解决方案公司的转型,较好地解决了竞争环境变化带来的风险的转型,较好地解决了竞争环境变化带来的风险14.92 风险监控n n以以“目标目标风险风险控
12、制控制”流程为指导,对所有的流程为指导,对所有的风险进行分析,包括管理层关注的事项以及引起风险进行分析,包括管理层关注的事项以及引起责任人员注意的风险领域。关注高风险的领域,责任人员注意的风险领域。关注高风险的领域,以提供相关的、符合管理层和董事会需求的信息以提供相关的、符合管理层和董事会需求的信息风险管理源于风险管理源于2020世纪世纪3030年代,在风险定性分析的年代,在风险定性分析的基础上,把保险作为处理风险的主要方法基础上,把保险作为处理风险的主要方法 到了到了5050年代,运用概率论和数理统计;年代,运用概率论和数理统计;6060年代后,年代后,系统地研究风险管理;自系统地研究风险管
13、理;自7070年代以来,风险管理年代以来,风险管理逐渐发展成为新兴的管理学科,不再局限于信用逐渐发展成为新兴的管理学科,不再局限于信用风险管理,风险管理,8080年代转向财务风险管理(包括资本年代转向财务风险管理(包括资本市场风险、信用风险等),市场风险、信用风险等),9090年代后期进入了全年代后期进入了全方位的企业风险管理方位的企业风险管理 15.企业风险管理企业风险管理财务风险管理财务风险管理信用风信用风险管理险管理图图92 风险管理发展示意图风险管理发展示意图16.一、一、COSO委员会企业风险管理整合框架委员会企业风险管理整合框架(一)企业风险管理整合框架(一)企业风险管理整合框架
14、2004 2004年年9 9月,由美国注册会计师协会月,由美国注册会计师协会(AICPA)(AICPA)、国际内部审计师协会国际内部审计师协会(IIA)(IIA)、财务经理人协会、财务经理人协会(FEI)(FEI)、管理会计师协会管理会计师协会(IMA)(IMA)、美国会计学会、美国会计学会(AAA)(AAA)组成组成的的COSOCOSO委员会正式发布了企业风险管理委员会正式发布了企业风险管理整合整合框架(框架(Enterprise Risk ManagementEnterprise Risk Management,以下称,以下称ERMERM),为企业管理当局评价和改进其所在组织),为企业管理
15、当局评价和改进其所在组织的企业风险管理提供了一个框架的企业风险管理提供了一个框架17.n n企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯彻执行之中,管理风险以使其在该组织的风险容量之内,为组织目标的实现提供合理保证 n nERMERM框架明确了以下内容:风险管理是一个过框架明确了以下内容:风险管理是一个过程,受人的影响,应用于战略制定,贯穿整个程,受人的影响,应用于战略制定,贯穿整个企业的所有层级和单位,旨在识别影响组织的企业的所有层级和单位,旨在识别影响组织的事件并在组织的风险偏好范围内管理风险,为事件并在组织的风险偏好范围内管理风险,为了实现各类
16、目标提供合理保证了实现各类目标提供合理保证18.ERM包括八个相互关联的部分:包括八个相互关联的部分:(1)内部环境为人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及所处的经营环境。(2)目标设定必须先有目标,管理当局才能识别影响目标实现的潜在事项。(3)事件识别必须识别影响组织目标实现的内部和外部事项,区分风险和机会,使机会被反馈到管理当局的战略或目标制定过程中。19.(4)风险评估通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。(5)风险应对管理当局选择风险应对策略回避、承担、降低或者分担风险,以便把风险控制在组织的风险容忍度
17、和风险容量以内。(6)控制活动制定和实施政策和程序以确保风险应对方略得以有效实施。(7)信息和沟通向组织的各个层级提供他(她)们识别、评估和应对风险所需的信息。有效沟通包括信息在组织中的向下、平行和向上流动。20.(8)监控进行全面监控,必要时加以纠正。监控可以通过持续的管理活动、个别评价或者两结合起来完成。n n 企业风险管理的八个要素都是为企业的四个目标(经营效率、财务报告可靠性、合规合法性、战略目标)服务的,企业各个层级都要坚持同样的四个目标,每个层次都必须从以上八个方面进行风险管理。21.企业风险管理主要有下列作用:企业风险管理主要有下列作用:(1 1)协调风险容量与战略)协调风险容量
18、与战略管理当局在评价备选管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机的战略、设定相关目标和建立相关风险的管理机制的过程中,需要考虑所在组织的风险容量。制的过程中,需要考虑所在组织的风险容量。(2 2)增进风险应对决策的严密性)增进风险应对决策的严密性ERMERM为识别和为识别和选择风险应对策略选择风险应对策略风险回避、承担、降低或者风险回避、承担、降低或者分担,提供了理论依据。分担,提供了理论依据。(3 3)控制或抑减经营意外和损失)控制或抑减经营意外和损失使组织识别使组织识别潜在事项和实施应对的能力得以增强,从而抑减潜在事项和实施应对的能力得以增强,从而抑减意外情况以及由此带
19、来的成本或损失。意外情况以及由此带来的成本或损失。22.(4 4)识别、管理多重的和贯穿于企业的风险)识别、管理多重的和贯穿于企业的风险每个企业都面临着影响其不同部分的一系列风每个企业都面临着影响其不同部分的一系列风险,险,ERMERM有助于有效地应对交互影响的风险因有助于有效地应对交互影响的风险因素,应对多重风险。素,应对多重风险。(5 5)抓住机会)抓住机会通过全面考虑潜在事项,促使通过全面考虑潜在事项,促使管理当局抓住并积极地利用机会。管理当局抓住并积极地利用机会。(6 6)改善资本配置)改善资本配置获取有效的风险信息,帮获取有效的风险信息,帮助管理当局有效地评估资源需求,并改进资源助管
20、理当局有效地评估资源需求,并改进资源配置。配置。23.企业过程控制失控发生的损失企业过程控制失控发生的损失 公司公司公司公司 损失损失损失损失 未评估的风险未评估的风险未评估的风险未评估的风险 Barclays Barclays BankBank 巴克雷银行巴克雷银行巴克雷银行巴克雷银行 由于在香港的交易商大由于在香港的交易商大由于在香港的交易商大由于在香港的交易商大量投资于金融衍生品,量投资于金融衍生品,量投资于金融衍生品,量投资于金融衍生品,成为世界上最早开展其成为世界上最早开展其成为世界上最早开展其成为世界上最早开展其他业务的金融机构之一他业务的金融机构之一他业务的金融机构之一他业务的金
21、融机构之一 通过占据有利位置而不是套通过占据有利位置而不是套通过占据有利位置而不是套通过占据有利位置而不是套利,大量投资于金融衍生品。利,大量投资于金融衍生品。利,大量投资于金融衍生品。利,大量投资于金融衍生品。通过超额奖金激励交易者通过超额奖金激励交易者通过超额奖金激励交易者通过超额奖金激励交易者 WorldCom WorldCom 世通世通世通世通 由于控制不完善、财务由于控制不完善、财务由于控制不完善、财务由于控制不完善、财务错报和贷款给错报和贷款给错报和贷款给错报和贷款给CEOCEO导致导致导致导致公司破产公司破产公司破产公司破产 财务报告涵盖了三个以上地财务报告涵盖了三个以上地财务报
22、告涵盖了三个以上地财务报告涵盖了三个以上地点;对点;对点;对点;对CEOCEO的贷款没有抵押的贷款没有抵押的贷款没有抵押的贷款没有抵押物;以股价为基础激励,内物;以股价为基础激励,内物;以股价为基础激励,内物;以股价为基础激励,内部控制失效部控制失效部控制失效部控制失效 Daimler-Daimler-Chrysler Chrysler 戴戴戴戴姆克莱斯勒姆克莱斯勒姆克莱斯勒姆克莱斯勒 由于由于由于由于ChryslerChrysler公司收购公司收购公司收购公司收购DaimlerDaimler公司而遭受重公司而遭受重公司而遭受重公司而遭受重大财务和股价损失大财务和股价损失大财务和股价损失大财务
23、和股价损失 为了增加盈利,为了增加盈利,为了增加盈利,为了增加盈利,ChryslerChrysler将将将将未达到未达到未达到未达到DaimlerDaimler质量的新产质量的新产质量的新产质量的新产品打入市场品打入市场品打入市场品打入市场 中航油(新中航油(新中航油(新中航油(新加坡)加坡)加坡)加坡)破产保护破产保护破产保护破产保护 缺乏有效的风险监控系统缺乏有效的风险监控系统缺乏有效的风险监控系统缺乏有效的风险监控系统24.n n风险偏好是企业为了追求更大价值而愿意承担的风险容量,与战略和资产配置有关。尽管企业风险管理有很多重要的作用,但它也存在着局限。这些局限主要源于下列方面:人们在决
24、策过程中的判断可能有纰漏,有关应对风险和建立控制的决策需要考虑相关的成本和效益;不可控的事项、差错或不当报告偶尔也会发生,控制可能因为两个或多个人员的串通而被规避;管理当局有可能凌驾于企业风险决策之上等 25.(二)ERM与内部控制整合框架的关系 ERM ERM框架几乎包含了框架几乎包含了COSOCOSO委员会在委员会在19921992年发年发布布(1994(1994年修订年修订)的内部控制整合框架的所有内容,的内部控制整合框架的所有内容,并进行了较全面的拓展。并进行了较全面的拓展。ERMERM框架是内部控制整合框架是内部控制整合框架的升级,这种升级主要表现在以下几个方面:框架的升级,这种升级
25、主要表现在以下几个方面:1 1提升了内部控制的目标层次提升了内部控制的目标层次 2 2增加和优化了内部控制的内容增加和优化了内部控制的内容 3 3建立了风险的组合观建立了风险的组合观 4 4引入风险容量和风险容忍度的概念引入风险容量和风险容忍度的概念26.二、企业全面风险管理二、企业全面风险管理n nERMERM风险管理框架发布后,引起企业界和监管风险管理框架发布后,引起企业界和监管部门的关注。在我国,国务院国有资产管理委部门的关注。在我国,国务院国有资产管理委员会员会20062006年出台了中央企业全面风险管理指年出台了中央企业全面风险管理指引(以下简称指引),借鉴了引(以下简称指引),借鉴
26、了COSOCOSO委委员会员会“企业风险管理框架企业风险管理框架”和国内外先进企业风和国内外先进企业风险管理方面的经验,以及国内有关内部控制建险管理方面的经验,以及国内有关内部控制建设方面的规定,对中央企业开展全面风险管理设方面的规定,对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险工作的总体原则、基本流程、组织体系、风险管理、信息系统等方面进行了详细阐述管理、信息系统等方面进行了详细阐述27.全面风险管理基本流程包括以下全面风险管理基本流程包括以下主要工作主要工作收集风险管理初始信息;进行风险评估;制定风险管理策略;提出和实施风险管理解决方案;风险管理的监督与改进。28.n
27、 n具备条件的企业可建立风险管理三道防线:n n即各有关职能部门和业务单位为第一道防线n n风险管理职能部门和董事会下设的风险管理委员会为第二道防线n n内部审计部门和董事会下设的审计委员会为第三道防线 29.【中广核集团全面风险管理体系建设案例】n n中广核集团是在1985年与香港中电合资建设的大亚湾核电站的基础上,于1994年9月经国务院批准成立的大型企业集团,从成立之初就十分重视风险管理工作,形成了一套比较完整的管理制度和程序,积累了一定的管理经验,取得了较好的成效,中广核集团借鉴国务院国有资产管理委员会中央企业全面风险管理指引,将风险管理作为重点工作之一,积极推进全面风险管理体系建设,
28、保战略目标实施、保可持续发展,取得了初步成效30.1全面开展风险评估诊断,明确所面临全面开展风险评估诊断,明确所面临的重大风险的重大风险n n在进行风险调研的基础上,组织填写并回收调在进行风险调研的基础上,组织填写并回收调查问卷共计查问卷共计240240多份,收集风险初始信息多份,收集风险初始信息94749474条,辨识出风险事件条,辨识出风险事件517517个,最终在集团公司个,最终在集团公司层面归集为层面归集为1313大类、大类、3535个风险。在此基础上,个风险。在此基础上,通过进一步从风险的影响程度、风险发生的可通过进一步从风险的影响程度、风险发生的可能性和管理改进的迫切性三个维度对所
29、收集的能性和管理改进的迫切性三个维度对所收集的风险信息和调查结果进行统计、分析、评价,风险信息和调查结果进行统计、分析、评价,绘制出集团风险图谱,经过集团风险管理领导绘制出集团风险图谱,经过集团风险管理领导小组确认,明确了需要重点防范的九类重大风小组确认,明确了需要重点防范的九类重大风险险 31.2制定重大风险管理策略和措施,加强制定重大风险管理策略和措施,加强重大风险管理重大风险管理n n针对评估辨识出的重大风险,推进小组通过对针对评估辨识出的重大风险,推进小组通过对集团高层领导、集团公司顾问和相关专家、重集团高层领导、集团公司顾问和相关专家、重要管理骨干等,共计要管理骨干等,共计7878人
30、次进行访谈,初步掌人次进行访谈,初步掌握重大风险的管理现状,并将战略、资金和核握重大风险的管理现状,并将战略、资金和核电工程建设等三个方面重大风险的管理作为突电工程建设等三个方面重大风险的管理作为突破口,对与其相关的管理制度和流程进行梳理、破口,对与其相关的管理制度和流程进行梳理、分析分析 n n对其关键业务环节设计了对其关键业务环节设计了2929个风险监控指标,个风险监控指标,制定了制定了2828项风险预警标准,建立了相应的风险项风险预警标准,建立了相应的风险监控报告和预警机制监控报告和预警机制 32.三、风险监控三、风险监控 风险评估首先应找到“风险动因”,而不能简单地将业务部门或行政区域
31、作为风险评估的对象,对“风险动因”的具体元素进行逐个评估后,风险既可以进行横向汇总对机构风险进行排序,也可以对不同业务进行纵向汇总对业务风险进行排序。对业务风险的评估和排序结果是进行专项检查的重要依据,为提高业务水平提供了可能。33.(一)风险监控流程(一)风险监控流程n n有效的风险监控系统有助于实现内部控制的目标,将降低损失、减少重大负面事件发生的概率,为企业提供早期风险警告机制,改进企业实现其商业目标的能力,管理层将力量集中在创造价值的活动方面,而不是应付危机上;有效的风险监控使风险转移合理化,提高企业的市场价值34.过程控制目标过程控制目标收集风险方面的信息收集风险方面的信息过程风险识
32、别过程风险识别风险应对风险应对(确定风险管理模式)(确定风险管理模式)内部控制内部控制风险控制风险控制(改改进进风风险险管管理理能能力力,监监督督风风险险管理制度的实施)管理制度的实施)风险评估风险评估(分分析析风风险险来来源源并测量风险)并测量风险)风险导向下的过程控制35.风险监控的流程可分为四个步骤:风险监控的流程可分为四个步骤:n n风险识别、风险评估、风险应对以及风险控制,风险识别、风险评估、风险应对以及风险控制,以下分别叙述以下分别叙述 36.1.风险识别方法有七种:(1)风险清单分析法。该方法是美国风险和保险管理学会开发制定了风险清单,列示了已识别的、常见的企业风险。例如,玻璃或
33、其他易碎品破碎;故障;员工疏忽;爆炸和内破裂;雇员的欺诈行为;征用;外部欺诈、伪造 37.(2 2)现场调查法:)现场调查法:现场调查法一般分为三步,现场调查法一般分为三步,即调查前的准备工作、现场调查以及形成调查即调查前的准备工作、现场调查以及形成调查报告。调查前的准备工作要设计出调查表或调报告。调查前的准备工作要设计出调查表或调查问卷,内容包括调查的时间、地点、对象等查问卷,内容包括调查的时间、地点、对象等 (3 3)财务报表分析法:)财务报表分析法:一个股份公司,尤其是一个股份公司,尤其是上市公司都会有自己的预期目标和远景规划,上市公司都会有自己的预期目标和远景规划,这些相关信息的披露将
34、直接影响投资者的认可这些相关信息的披露将直接影响投资者的认可程度。程度。NXNX公司计划目标是,公司计划目标是,20072007年实现销售年实现销售额增长额增长10%10%,即,即10001000万元,净利润增加万元,净利润增加300300万元。万元。为了实现这一目标就必须将目标分解为各个部为了实现这一目标就必须将目标分解为各个部门的目标,具体到每个人员的工作预期门的目标,具体到每个人员的工作预期 38.(4)组织结构图分析法:根据需要画出企业或部门的整体结构图,寻找部门之间是否存在重复性、依赖性或集中性;也可在组织结构图上标注该部门的原料供应量、收入、利润等,管理人员可以清楚的看到各部门的责
35、任和风险,也可以借鉴战略地图对风险进行描述(5)流程图法:配有解释表,用来具体说明各流程阶段会发生的风险种类,可以直观的反应易发生风险的流程以及它对其他流程的影响 39.(6)因果图法:因果图法是一种分析风险事故与导致风险事故因素之间因果关系的有效工具。这一方法的关键是绘制因果图。图中主骨代表被分析的风险事件,大骨代表导致风险事件的主要原因,中骨表示导致大骨的主要原因,依此类推,将导致风险事件的因素尽可能的在图中表示 40.(7)事故树法)事故树法n n由某一风险事件出发,运用逻辑推理的方法推导出其引发风险的原因。从顶上事件(风险事件)中间事件基本事件进行事故树的结构图分析,从而确定风险源。在
36、20世纪90年代早期,思科公司的股价是其每股销售收入的6倍,2000年第1季度,公司股价是公司未来销售收入的25倍,而公司的值(资本市场上一种度量风险的指标)高达1.13。公司的风险较高,但为股东创造了价 41.表思科公司的主要风险1增长率2毛利3并购4行业合并5对新产品开发的依赖6进入新的发展中的市场7国际经营风险8战略联盟9资产组合投资10竞争性风险因素a价格b业绩c提供方案与支持d遵守准则e添加增值功能(安全和可靠)的能力11员工13产品的现成性14自然灾害15季度数据的变动16组织变更17服务提供商的销售18股价的波动性19外汇汇率风险20侵权风险42.2.风险评估风险评估n n风险评
37、估是指在风险识别的基础上对风险进行定风险评估是指在风险识别的基础上对风险进行定量和定性的综合分析,并确定风险影响的过程。量和定性的综合分析,并确定风险影响的过程。n n首先对风险进行测量,在过去风险资料分析的基首先对风险进行测量,在过去风险资料分析的基础上,运用概率论和数理统计的方法对某一特定础上,运用概率论和数理统计的方法对某一特定或者几个风险事件发生的损失频率和损失程度做或者几个风险事件发生的损失频率和损失程度做出定量估计。出定量估计。n n其次,评估风险,即在风险识别和风险测量的基其次,评估风险,即在风险识别和风险测量的基础上,把损失概率、损失的程度、风险评估标准础上,把损失概率、损失的
38、程度、风险评估标准以及其他因素综合起来考虑,分析风险对企业的以及其他因素综合起来考虑,分析风险对企业的影响。影响。43.n n美林证券公司建立了风险管理体系,其风险管理组织结构有三大特点:一是在公司基层强调的是风险信息准确及时的获得,在管理层面强调部门间协调与沟通;二是基层组织的设置、人员安排、工作范围分工明确,公司管理层、部门和人员之间相互参与现象极为普遍;三是风险的监控渗透到每一项业务活动中,各项业务必须在业务指导部门、管理职能部门和风险管理部门三方的共同协调下开展 44.图 美林证券风险管理的组织结构45.n n3M公司建立风险投资管理机制,为风险投资制定的经营计划包括对预期收益的估计、
39、投资结构平衡、制定资金预算,为确保开发技术的成功,只有在投资项目的收益大大超过损益平衡点时,才将开发的技术投入应用;由创新者、管理人员、财会人员共同对新产品、新技术、新工艺进行技术性、商业性评估,一旦证实创新概念具有经济价值,则进入赢利性分析,包括预期的投资收益率,与之相关的、各自不同的风险,达到成熟期所需的时间等 46.3.风险应对风险应对n n风险应对是针对风险评估的结果根据、企业的风险应对是针对风险评估的结果根据、企业的风险容量和风险容忍度,选择适当的风险管理风险容量和风险容忍度,选择适当的风险管理策略策略n n风险管理策略通常分为以下四类:回避风险、风险管理策略通常分为以下四类:回避风
40、险、损失控制、分离风险单位、非保险方式的转移损失控制、分离风险单位、非保险方式的转移风险(包括转移风险源、签订免除责任协议、风险(包括转移风险源、签订免除责任协议、利用合同中的转移责任条款)、保险等,回避利用合同中的转移责任条款)、保险等,回避意味着所确定的应对方案都不能把风险的可能意味着所确定的应对方案都不能把风险的可能性和影响降低到一个可接受的水平,降低和分性和影响降低到一个可接受的水平,降低和分担意味着要把剩余风险降低到与期望的风险容担意味着要把剩余风险降低到与期望的风险容忍度相协调的水平,而承受则意味着固有风险忍度相协调的水平,而承受则意味着固有风险已经在风险容忍度之内已经在风险容忍度
41、之内47.n n企业应当认识到一定程度的剩余风险总是存在的,这不仅因为资源是有限的,而且还因为所有的活动在未来都有不确定性和局限。因此,风险应对并不是要把剩余风险降到最低。如果一个风险应对方案会导致剩余风险明显低于风险容忍度,企业就应当对该应对方案进行反思和修改,或者在必要时重新考虑风险容忍度。因此,平衡风险与容忍度是一个不断反复的过程 48.三、风险三、风险/内部控制自我评估内部控制自我评估n n风险自我评估或内部控制自我评估(以下简称自我评估)是一种融合组织行为学、内部控制、风险管理、全面质量管理、绩效持续改进等多理论的方法n n自我评估内容包括四个方面:确认风险;评价减少或管理风险的控制
42、过程;开发用以将风险减少到可接受程度的行动计划;确定实现业务目标的可能性49.n n内部控制的逻辑起点应当是“修己安人”,“修己”就是自我管理,自我管理应是内部控制的总纲,内部控制“无为而治”是最高境界 n n国际内部审计师协会(IIA)于2002年对北美4500位来自各类组织的内部审计负责人进行调查,其结果显示内部控制自我评估(CSA)被列为“当前内审最佳实务”的第二位,在“未来将越来越重要的实务”中排名第一 50.(一)内部控制自我评价的优点(一)内部控制自我评价的优点n n实施自我评估程序,通过对自我评价,可以提实施自我评估程序,通过对自我评价,可以提高风险管理有效性。高风险管理有效性。
43、n n将以前将以前“发现和评价发现和评价”为主要内容的活动向积极为主要内容的活动向积极防范和提供解决方案的活动转变,从事后发现防范和提供解决方案的活动转变,从事后发现问题到事前发现、防范风险转变为,从单纯强问题到事前发现、防范风险转变为,从单纯强调控制转向积极关注、利用各种方法改善企业调控制转向积极关注、利用各种方法改善企业绩效,内部控制自我评价提高了内部控制效率。绩效,内部控制自我评价提高了内部控制效率。n n内部控制自我评价强调员工的参与性。内部控制自我评价强调员工的参与性。51.(二)风险(二)风险/内部控制自我评估的内容内部控制自我评估的内容 国际内部审计师协会(国际内部审计师协会(I
44、IAIIA)认为,自我评估内)认为,自我评估内容包括四个方面:容包括四个方面:确认风险;确认风险;评价减少或管理风险的控制过程;评价减少或管理风险的控制过程;开发用以将风险减少到可接受程度的行动计划;开发用以将风险减少到可接受程度的行动计划;确定实现业务目标的可能性。确定实现业务目标的可能性。并采用以下四种不并采用以下四种不同的形式展开:同的形式展开:52.n n一是以目标为基础。首先确定完成既定目标的一是以目标为基础。首先确定完成既定目标的现有控制方式,再确认剩余风险(采纳控制措现有控制方式,再确认剩余风险(采纳控制措施后依然存在的风险)。评估现有的控制是否施后依然存在的风险)。评估现有的控
45、制是否有效运作,剩余风险是否维持在可接受的水平有效运作,剩余风险是否维持在可接受的水平 n n二是以风险为基础。先列举出影响目标实现的二是以风险为基础。先列举出影响目标实现的各种风险,然后确定能够管理关键风险的适当各种风险,然后确定能够管理关键风险的适当控制,即典型的控制,即典型的“目标风险控制目标风险控制”模式。模式。n n三是以控制为基础。在三是以控制为基础。在RSARSA之前已确认关键风之前已确认关键风险和控制,在险和控制,在RSARSA过程中把关注点放在评估内过程中把关注点放在评估内部控制运行的有效性部控制运行的有效性 53.n n四是以过程为基础。识别采购、产品开发、销售等过程中的优
46、、缺点,致力于评价、改善并简化整个过程,这一方式对流程再造、全面质量管理、持续改进等管理活动提供支持。n n五是除了IIA以上四种方式之外,以部门为基础的自我评估,即关注某个部门在整个组织中的位置,确认帮助部门有效发挥功能以及阻碍部门目标实现的因素 54.n n一般采用两种方法:调查问卷法、研讨会,后者是自我评估的典型方法。研讨会通常持续24小时,由管理人员作为会议的引导者与协调者,引导与会人员就某一议题充分讨论交流,在需要进行评估时利用电子记录与投票系统收集信息,直接记录与会者的意见,及时获得反映与会者对解决议案的偏好、优先顺序的量化结果 55.n n宝钢国际公司,员工参与内部控制建设,体现
47、了员工价值,将推进CSA的过程视为一个人力资源培训过程 n n自我评估报告包括三个部分:(1)评价的范围和评价过程的特殊性;(2)内部各个环节的风险程度,风险最高的是红色,较高的是黄色,其次是深绿色,再次是浅蓝色,风险最低的是白色;对红色和黄色的高风险环节进行具体描述,提出改进方案和完成时间、责任人;(3)行动计划 56.93 过程控制案例n n案例背景 ZHY ZHY公司(以下简称公司)成立于公司(以下简称公司)成立于19931993年,年,由中央某直属大型国企控股(以下简称母公司),由中央某直属大型国企控股(以下简称母公司),总部和注册地均位于新加坡。公司成立之初经营总部和注册地均位于新加
48、坡。公司成立之初经营十分困难,但到了十分困难,但到了20032003年,公司净资产超过年,公司净资产超过1 1亿亿美元,总部资产近美元,总部资产近3030亿元。公司董事会有八名董亿元。公司董事会有八名董事,三名为独立董事,其他五名均来自母公司事,三名为独立董事,其他五名均来自母公司(董事长是集团总经理,其他分别为集团财务部(董事长是集团总经理,其他分别为集团财务部负责人、运销处副处长、其他人员不明)。负责人、运销处副处长、其他人员不明)。57.案例背景案例背景 1995 1995年公司收购了另外两家合资伙伴的全部股权,年公司收购了另外两家合资伙伴的全部股权,先后经历了两年的亏损和两年的休眠期,
49、先后经历了两年的亏损和两年的休眠期,19971997年恢复年恢复运营之后,公司进行了两次战略转型:运营之后,公司进行了两次战略转型:第一次转型,是从一家船务经纪公司重新定位为第一次转型,是从一家船务经纪公司重新定位为以航油采购为主的贸易公司;以航油采购为主的贸易公司;第二次转型,是从一个纯贸易型企业发展到以石第二次转型,是从一个纯贸易型企业发展到以石油实业投资、国际石油贸易和进口航油采购为一体的油实业投资、国际石油贸易和进口航油采购为一体的工贸结合型的实体企业。工贸结合型的实体企业。58.n n20012001年年1212月月6 6日,公司在新加坡交易所主板成功日,公司在新加坡交易所主板成功挂
50、牌上市,发售股票挂牌上市,发售股票1.441.44亿股,每股发行价亿股,每股发行价0.560.56新加坡元;共筹资新加坡元;共筹资80648064万新加坡元,成为新加万新加坡元,成为新加坡交易所当年上市公司中筹资量最大的公司,坡交易所当年上市公司中筹资量最大的公司,也是中国首家利用海外自有资产在国外上市的也是中国首家利用海外自有资产在国外上市的中资企业中资企业n n陈久霖擅自扩大业务范围,从事石油衍生品期陈久霖擅自扩大业务范围,从事石油衍生品期权交易,与日本三井银行、法国兴业银行、英权交易,与日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈国巴克莱银行、新加坡发展银行和新
浙ICP备2021020529号-1 | 浙B2-20240490 
