风险管理与内部控制讲座.ppt

1、单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,内控管理培训,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,风险管理与内部控制讲座,培训大纲,中国企业面临的挑战,风险管理与内部控制在企业管理中的地位及其重要性,风险管理的概念与思路,内部控制概述（企业为什么要建立内部控制体系）,内部控制与业务流程重组,内部控制实务,-2006,年,6,月，国务院国资委颁布,中央企业全面风险管理指引,。,-2008,年,5,月,财政部颁布,

2、企业内部控制基本规范,。,-2008,年,9,月,美国金融危机爆发。,-,金融危机是风险管理最好的课堂。,3,目前在中国企业里观察到一些现象,上级部门考核缺乏具体可操作性的指标，指标往往单向考核，造成企业为达到指标而不顾国家的整体利益企业领导精力集中于向政府争取和利用优惠政策多于考虑企业长远发展及企业内部管理的完善。,成功的企业领导忙于应付政府活动、上级会议、参观、经验介绍等，而真正花在企业经营上的时间越来越少，结果几年之后，企业经济效益严重滑坡。,目前在中国企业里观察到一些现象,企业内部管理人员考虑权力划分多于考虑企业的整体发展，内部关系裙带风严重。,尽管企业内部会议众多，但部门之间各自为政

3、缺乏正常的沟通环境，经常会议结束问题照旧。,老总忙于解决具体事务，缺乏全方位的考虑企业发展。,战略定位不明,:,企业缺乏对产业愿景的认识和自身的定位，无法组织和建立未来竞争所需的资源和竞争力,组织架构紊乱,:,组织架构不能配合企业战略的实施，难以整合提升资源,业务流程松散,:,业务部门之间联系松散，职能重叠，缺乏信息共享机制，无法为企业创造附加价值,这些现象的背后原因是,激励机制不足,:,缺乏全面完备的绩效评估制度等激励机制，人才的成长落后于企业的发展,信息技术缺乏,:,信息系统较落后，信息技术运用程度较低，难以为企业提供决策支持,资金管理低效,:,企业缺乏成熟的资金运用和投资管理技能，造成

4、资金运用的低效率,这些现象的背后原因是,中国企业转型面临的挑战,员工观念落后，难以接受新的管理理念,大部分员工缺乏管理的专业背景与技能，难以接受新的管理体系和不适应与国际接轨的管理运作方式,企业性质决定员工缺乏变革的紧迫感，并对于企业变革存在抵触,员工习惯于在平均主义的环境中生存，对打破现有分配体制有一定的顾虑,企业缺乏集成的信息系统，内部条块分割明显，各自为政，员工对打破现有的运作体系有疑虑,管理层与员工之间缺乏上下交流的通畅渠道，以便于管理政策的全面贯彻及实施情况的及时和准确反馈,大家学习辛苦了，还是要坚持,继续保持安静,中国企业的当务之急全方位完善运作架构,如何拟定一个企业经营战略、组织

5、架构、业务流程、信息系统、绩效考核等多方面紧密配合的整体方案,如何根据企业的战略来重整业务流程和组织架构，以企业资源系统为龙头来建立内部信息共享,如何有效地运用管理信息系统来配合绩效评估体系的设立,如何在转变员工观念的基础上提高其素质及整个团队的技能，以求与国际水平接轨,一、什么是危机？,众多风险叠在一起形成合力到达临界点被引爆，危机、灾难爆发。,世界性：美国金融危机,全国性：毒奶、矿难,水电行业：俄罗斯萨扬水电站,8.17,事故,（顶盖螺栓断裂）,-,产生原因：风险积累导致量变到质变,金融危机是风险管理最好的课堂,无数风险的集合就是市场,-,市场经济就是风险经济。,-,市场意味不确定，市场意

6、味风险。,-,风险既可能带来损失，也可能带来机会。,-,风险无处不在、无时不在。,12,二、风险是市场经济的灵魂,三、风险理念,古人云：,“,忧劳兴国，逸豫亡身,”,、,“,生于忧患、死于安乐,”,。,“,上医治未病，下医治已病,”,13,小平同志讲：“我们要把工作的基点放在出现较大的风险上，准备好对策。这样，即使出现了大的风险，天也不会塌下来。”,14,锦涛同志讲：,“,发生这样那样的问题，甚至较大风险的可能性不仅是存在的，而且是很现实的。我们必须有足够估计，做好最充分准备。还是那句老话，宁可把风险、困难估计得足一些，也千万不要因为估计不足而在风险一旦发生时手足无措，限于被动”,15,王岐山

7、我考虑问题总是将风险放在第一位,”,将风险放在第一位的发展才是科学发展,2008,年南方雨雪、汶川地震、毒奶事件。突如其来，没有准备，损失巨大。,奥运预判风险，充分准备，成功举办。,企业家基本职能：预测当前及未来面临的风险。预则立，不预则废。,17,四、国有企业存的风险问题,18,19,投资风险：盲目投资、违规投资、腐败投资、多元投资。,(1),决策风险（方向，项目、行业、国家选择）；,(2),决策体制风险（一个人说了算，董事会、充分揭示风险）；,(3),可行性研究风险（钓鱼，隐瞒风险）；,(4),项目投资,EVA,评价风险（央企,EVA,六成为负,粗放集约）；,(5),投资成本控制风

8、险,(,大于行业平均成本）；,(6),投资体制风险,(,股份制、金手铐）；,(7),投资管理风险（项目公司一体化）；,(8),项目,考核,（宝钢）；,(9)项目后评,估；,20,政策风险：政策规定、政策导向、政策调整,扩张风险：过度扩张、并购风险、整合风险（钢铁、汽车、,TCL,汤姆逊公司）,4.,规模风险：安全是第一位的（东电,25,亿，,1000,亿）,5.,管控风险：各自为政、内部竞争、管理失控,6.,道义风险：为获取利益不择手段。关乎企业形象、存亡（三鹿奶粉、美的紫砂锅）,7.,道德风险,:,德才兼备，德为先。选人、用人,(,海明威：道德定义：是你做了事之后觉得很舒服。不道德定义：不舒

9、服。舒服表现为（此事）可告之他人,),腐败风险：腐败的选择：风险评估,合规风险：涉及企业品行、诚信（西门子、奔驰）,董事会治理风险：形同虚设、失效（雷曼兄弟）,产品质量风险：丰田“踏板门”,21,12.,工程风险：安全隐患、质量控制（豆腐渣、工程分包、日本）,13.,安全风险：矿难（抢工期、献礼，异常即错误）；冰岛火山灰与生命权（安全,or,利益）；墨西哥漏油（安全控制阀，小利益大损失，小概率大灾难，赔付额,200,亿美元，英国石油公司（,BP),可能破产，贪小便宜吃大亏，,1,or99,）,14.,行业风险：水电工程移民搬迁,(,瀑布沟水库）,15.,合同风险：不规范、不严密（中国移动）,员

10、工关系风险：劳动、分配、机会、人际，理顺、平衡、平等、公正、律己（富士康）,环保风险：环保成本、环保约束、环保责任,(,中化）,信息安全风险：后门、备份,(9.11),理财风险：盲目委托理财，盲目进入期货、期权、股票、外汇及复杂金融衍生品等高风险领域。（,关于进一步加强中央企业金融衍生业务监管的通知,国资发评价,200919,号）（中航油）,利润风险：利润最大化,or,价值最大化，赚钱为目的,or,责任为己任,营销主导,or,品质主导；利益相关者群体利益最大化；伦理担当、社会责任（兖矿、台塑）,利率汇率风险,:(,中广核,),借贷风险：盲目借贷，短贷长投,23.,信用风险：应收账款（神华、中外

11、运）诚信（大同）,24.,担保风险：随意担保、违规担保、相互担保（常州）,25.,投机风险：,“,三不,”,铁律（台塑）,26.,欺诈风险：购买国债委托管理（央企，证券公司破产）,风险防范失控是资产损失的主要原因,管理层不作为是风险防范失控的主要原因,-,风险意识：企业管理层特别是一把手。言必称风险。,-,企业对标：与,指引,对标；与国内风险管理先进企业对标；与国际同行业标杆企业对标。,-,允许犯错误，但不允许重复犯同样的错误。不犯常识性错误。例：一块石头绊倒三代人,-,“,没有意料之外，为意料之中做好了准备。,”,这是企业风险管理的最高境界。,“,没有意识到风险，就是最大的风险,”,；,“,

12、最大的风险，是拿风险不当回事,”,-,抓住机会风险。例：伊拉克,26,五、风险管理的要求,六、检验企业是否健康的标准：抗风险能力,经济上行期，企业的业绩都不错，可能掩盖了许多潜在的问题和风险。经济进入下行期，潜在的风险可能转化为现实的损失。,企业的抗风险能力就成为验证企业是否健康的最重要标准。,检验一个人是否有风险意识的试金石：是否闯红灯？,27,七、企业风险管理的基本内容,28,29,战略风险,财务风险,市场风险,运营风险,法律风险,一般分为五大类：,风险的分类：风险清单,风险管理基本流程,30,监控改进,制定风险管理策略,风险评估,1.,2.,5.,4.,3.,信息沟通贯穿始终,制定实施解

13、决方案,建立初始信息框架,1.,全面风险管理的信息收集,31,2.,风险评估,32,33,风险,辨识,风险,分析,风险,评价,1,2,3,风险评估的三个主要步骤,34,风险辨识、风险分析、风险评价,风险辨识：有无风险，有哪些风险。,风险分析：风险的来源、风险发生可能性、风险,发生的条件。,风险评价：评估风险对企业实现目标的影响。,风险评估不是要查问题，而是防范出问题,35,定性方法：可采用问卷调查、工作访谈、集体讨论、风险损失事件对比分析、,专家咨询、,流程（业务管理流程）,分析、政策分析、行业标杆比较、调查研究等。,定量方法：可采用统计推论,(,如集中趋势法,),、计算机模拟,(,如蒙特卡罗

14、分析法,),、失效模式与影响分析、事件树分析等。,风险评估方法：定性与定量相结合,36,评估多项风险的一种方法：绘制风险坐标图,承担,A,区域中的各项风险且不再增加控制措施,严格控制,B,区域中的各项风险且专门补充制定各项控制措施,确保规避和转移,C,区域中的各项风险且优先安排实施各项防范措施,极低 低 中等 高 极高,影响程度,可能性,B,区域,C,区域,A,区域,B,区域,2,8,5,3,4,1,7,6,9,极低,低,中等,高,极高,3.,风险管理策略,37,38,风险管理策略,-,确定风险偏好,-,确定企业风险承受度,-,确定风险管理有效性的标准,39,-,企业对待风险的态度（保守、激进

15、),-,不同行业、不同类型（传统、高新技术）、不同发展阶段、企业不同领导人的风险偏好是各异的,什么是风险偏好？,40,-,企业愿意承担风险的限度就是风险偏好的边界。即要对风险值进行量化。,若不能对企业风险承受能力明确量值，就不是真正意义上的风险管理。,例如：资产负债率不大于,70,%,资产损失率为,4,风险要可控、可承受。不是无风险。,什么是风险承受度？,风险与相对收益关系,41,区域,1,风险承受不足,区域,2,风险承受最佳,区域,3,风险承受过度,风险,风险调整收益,风险与相对收益,风险承受最佳点,“,怎样管理重大风险？,”,七大工具,42,风险承担,风险规避,风险转移,风险转换,风险补

16、偿,风险控制,风险对冲,风险管理工具,风险管理工具：,建立风险损失事件库及未遂事件库,风险事件管理就是将本企业历史上发生的风险损失事件建立案例库，同时收集国内、国际同行业发生的风险损失事件案例。,前事不忘，后事之师,(,墨西哥湾泄油事件。别人生病，自己防病）。不喜欢翻旧账，是很多错误一再发生的根源。,案例要求：事实、损失、原因、措施,主要目的：防止类似风险损失事件重复发生,-,风险评估,-,员工培训,-,完善制度,每一个企业都有必要建立完善的风险损失事件库及未遂事件库（中电投）,43,风险管理工具：风险事件分析（鱼刺图）,44,中海油钻井平台风险事项分析模式,45,职能管理 流程管理,内部控制

17、管理准则业务流程管理标准,-,例：日本饮料企业发生的,“,洗手门,”,八、内部控制,46,建立内控岗位授权制度,建立内控报告制度,建立内控批准制度,建立内控责任制度,建立内控审计检查制度,建立内控考核评价制度,建立重大风险预警制度,建立健全以总法律顾问制度为核心的企业法律顾问制度,建立重要岗位权力制衡制度，明确规定不相容职责的分离,企业内控措施的主要内容：,9,项制度,内部控制流程,顶级流程 二级流程 三级流程,标准化管理 标准化管理手册（中华电力公司）,例：清朝镖局对镖师的管理标准：,1.,不准进新开旅店,2.,不准进换了老板的店,3.,不准进有妓女的旅店,4.,不准刀离人,5.,不准离开

18、护押之物,6.,不准欺压民女,47,48,九、风险管理与内部控制的关系,内部控制：针对的风险大多是常规风险，其控制对象是企业中的个人，其控制目的是规范员工的行为，其控制范围是企业的业务和管理流程。,风险管理：针对的风险是非常规风险，包括对机会风险的管理，其管理目的是为企业带来价值。,-,内部控制是全面风险管理的重要组成部分。,49,内部控制解决的是流程管理中的风险控制，解决的是,“,正确地做事,”,。,解决的是合规性问题，真实性问题,。,50,全面风险管理不仅要解决,“正确地做事”，,还要解决,“做正确的事”,。,全面风险管理解决的是体制问题、制度设计问题、重大决策问题。,风险管理要对结果的好

19、坏负责。,十、风险管理与企业管理的关系,-,企业管理的本质就是对各种风险的管理,-,企业管理以风险管理为纲，纲举目张,51,内控与审计、风险管理、企业管理的关系,52,风险评估,外部审计,内部控制,控制环境,内部审计,控制活动,信息沟通,持续监控,风险管理,目标设定,事项识别,风险应对,企业管理,各项经营管理活动，如战略管理、人力资源管理、财务管理、资产管理等,风险战略,治理结构,组织体系,风险理财,十一、风险管理信息系统,53,-,管理制度化,-,制度流程化,-,流程表单化,-,表单信息化,十二、风险管理文化,-,报忧比报喜更重要（中广核）,-,中庸之道。不极端、不急成、不急富、不好功。平衡

20、协调、妥协。,文化涉及习惯、记忆、经验、情感。,职工行为准则,知难行易,54,华为公司任正非关于市场风险的论述：,-,“,公司所有员工是否考虑过，如果有一天，公司销售额下滑、利润下滑甚至会破产，我们怎么办？,”,-,“,十年来我天天思考的都是失败，对成功视而不见，也没有什么荣誉感、自豪感，而是危机感。,”,56,十三、风险管理的“三道防线”,审计委员会,提名委员会,风险管理,委员会,内部审计,业务部门,2,风险管理职能部门,业务部门,1,业务部门和业务单位,总经理,董事会,十四、压力测试,-,美国摩根大通公司,-,商业银行房地产价格下跌资产损失承受力,(30%40%),-,水库库容量,十五、

21、风险模型,干散货波罗的海指数（远洋运输行业）,十六、风险管理的几项工作,60,（一）职能部门设置,61,（二）定期分析制度：经济形势分析会,（四）,企业风险管理报告,（三）举报潜在风险 ：征兆、苗头（奖励）,2008,年,1,月,21,日，国务院国资委印发,关于开展编报,试点工作有关事项的通知,（国资厅发改革,20085,号）。,企业体检报告,62,（五）评价,（六）考核,（七）每年定期召开企业风险管理交流会,投入风险管理，其乐无穷！,63,内部控制概述,内部控制发展历程、法规及基本规范解读,1,国际内部控制发展历程及相关法规,2,我国企业内部控制基本规范,3,企业实施内部控制规范的难点,国际

22、内部控制发展历程及相关法规,国际内部控制的发展历程,（一）、萌芽期一一内部牵制,（二）、成长期一一内部控制制度,（三）、发展期,内部控制结构,（四）、成熟期,内部控制整合框架,（五）、融合期,企业风险管理整合框架,美国内部控制法规简介,（一）、,萨班斯,.,奥克斯利法案,（二）、美国,反海外贿赂行为法,（三）、美国证券交易委员会对财务报告内部控制的规则要求,我国企业内部控制基本规范,我国内部控制规范的历史演变过程,（一）、内部牵制阶段,（二）、会计控制阶段,（三）、以风险为导向的内部控制阶段,企业内部控制基本规范,概述,（一）、,基本规范,的整体结构,（二）、,基本规范,的总体要求,（三）、现

23、代内部控制系统的特征,企业内部控制基本规范,的主要内容,（一）、内部环境,（二）、风险评估,（三）、控制活动,我国目前内控主要的法规,控制环境类,5,控制活动类,9,控制手段类,4,1,组,织,架,构,企 业 内 部 控 制 基 本 规 范,企业内部控制应用指引,(18),2,发,展,战,略,3,人,力,资,源,4,社,会,责,任,5,企,业,文,化,6,资,金,活,动,7,采,购,活,动,8,资,产,管,理,9,销,售,业,务,10,研,究,与,开,发,11,工,程,项,目,12,担,保,业,务,13,业,务,外,包,14,财,务,报,告,15,预,算,16,合,同,管,理,17,内,部,信

24、息,传,递,18,信,息,系,统,企,业,内,部,控,制,评,价,指,引,企,业,内,部,控,制,审,计,指,引,我国企业内部控制体系框架,评价标准,控制标准,我国企业内部控制规范体系,应用指引是按照大中型工商制造企业的一般需求来考虑的，并,不要求企业机械地,执行所有,18,项应用指引,应用指引并未涵盖企业所有的控制领域，也可能包括企业并不涉及到业务领域（例如业务外包），企业需要根据自身实情决定如何使用应用指引,应用指引只是提供了原则性的规定（风险点、业务环节及控制措施），还不是企业可以直接应用的操作手册,企业内部控制案例分析,内部控制只是管理系统的一部分,管理的四个基本职能：计划、组织、领

25、导和控制,内部控制本身不能为企业指明方向和提供动力，不能实现增长和创造利,润，它只是保驾护航，使企业不致偏离航向，同时又能避开暗礁险滩,内部控制是管理层采用的工具，而不是管理的替代品,控制应适度而不过度,过犹不及，过度的控制必然遏制创新力，束缚行动，降低效率，导致组,织的臃肿、僵化和官僚化，即“大企业病”,内部控制不是越多越好，也不是管得越细越好，而是要知道哪里应加强,控制，哪里应减少控制,资料：明朝灭亡的教训,明朝建立了中国历史上最为严密的控制系统，由都察院御史十三道、六科给事中、东西厂和锦衣卫对官员层层监督，但仍无法有效遏制官员腐败和财政破产，明朝最终因为僵化、保守的治国之道和官僚体制而破

26、产,内部控制重在预防，而非事后纠错,内部控制按其功用分为两大类，及预防性控制（,preventive controls,）和检查性控制（,detective controls,），但前者是最重要的，体现了控制的本质,客过主人者，见其灶直突，傍有积薪。客谓主人：“更为曲突，远徙其薪，不者且有火患”。主人默而不应。俄而家果失火，邻里共救之，幸而得息。于是杀牛置酒，谢其邻人。灼额者在于上行，余各以功次坐，而不录言曲突者。人谓主人曰：“向使听客之言，不费牛酒，终亡火患。今论功而请宾，曲突徙薪无恩泽，焦头烂额为上客耶？”主人乃寤而请之,汉书,霍光传,魏文王问扁鹊曰：子昆弟三人其孰最善为医？扁鹊曰：长兄最

27、善，中兄次之，扁鹊最为下。魏文侯曰：可得闻邪？扁鹊曰：长兄於病视神，未有形而除之，故名不出於家。中兄治病，其在毫毛，故名不出於闾。若扁鹊者，鑱血脉，投毒药，副肌肤，闲而名出闻於诸侯。,鹖冠子,世贤第十六,内部控制只能合理保证目标实现,管理中只有满意，没有最优,内部控制存在固有局限性：内控建设必须符合成本效益原则，可能因为环境变,化而失效，可能因为人为失误或误解而失效，可能因为串通舞弊而失效，可能,因为管理层凌驾于内部控制之上而失效,内控旨在将风险降低至可以接受的程度，而不是消除风险,成本高昂的,萨班斯,-,奥克斯利法案,（,SOX,法案）,404,条款,SOX,法案,404,条款要求在美上市公

28、司管理层必须对内部控制的有效性出具自我评估报告，该报告需经注册会计师审计,美国上市公司第一年遵循该条款的平均成本是,440,万美元，中国在美上市的,44,家公司第一年合计付出遵循成本近,2,亿美元,控制和风险之间应有对应关系,目标、战略、风险、控制是前后连贯、环环相扣的，根据目标制定战略，目标,与战略合理或执行不力产生风险，控制旨在将降低风险,越是风险高的环节，越应该强化内部控制,内部控制应,“,嵌入,”,到企业的管理系统之中,控制本身就是管理的基本职能之一，没有必要在现有管理系统,之外另起炉灶搞一个孤立的内部控制系统,虽然企业设有以控制职能为主的部门（例如，财务部、内部审计,部等），也有大量

29、的事后控制活动（例如业绩评），但更多的控,制活动是融合在正常的业务活动之中的,内部控制绝不仅仅是财务、会计、审计、纪检、监察等专职机构,的事，每个部门、每位员工都是控制主体,从销售业务员岗位职责看内部控制,“,嵌入,”,管理系统,1,认真贯彻执行公司销售管理规定和实施细则，努力提高自身推销业务水平,2,积极完成规定或承诺的销售量指标，为客户提供主动、热情、满意、周到的服务,3,负责与客户签订销售合同，,督促合同正常如期履行，并催讨所欠应收销售款项,4,对客户在销售和使用过程中出现的问题、须办理的手续，帮助或联系有关部门或单位,妥善解决,5,收集一线营销信息和用户意见,，对公司营销策略、广告、售

30、后服务、产品改进、新产,品开发等提出参考意见,6,填写有关销售表格，提交销售分析和总结报告,7,做到以公司利益为重，不索取回扣，馈赠钱物上交公司，遵守国家法律，不构成经济,犯罪,8,完成营销部长临时交办的其他任务,将自动化控制和人工控制有机结合,计算机的好处是只认程序指令不认人，信息系统可以将控制措施“固化”,于其中，有利于减少人为失误和控制被规避的可能性,人工控制适合于需要酌情判断和需要监控自动化控制系统的场合,“要想死得快，就上,ERP,，要想死得早，就找麦肯锡”，“不上,ERP,是等死，上,ERP,是找死”值得思考,合适的内部控制才是好的内部控制,由于行业和规模，以及文化和管理理念方面的

31、差别，各个,公司和它们对于内部控制的需求相差甚远，因此,适合于,A,企业的内部控制不一定适合,B,企业,内部控制的建设没有固定和统一的模式，企业应该在内部,控制目标和原则的指导下，构建,满足企业实际需要的、,行之有效的内部控制制度,内部控制需要领导真正理解和重视,在中国，任何事情只有在领导真正重视的时候才办得好，领导重视事情、,不一定办得好，但领导不重视事情一定办不好,领导仅仅口头上重视是不行的，还必须行动上重视，言行一致且树立榜,样,领导对于内部控制真正重视的表现是带头遵循内部控制，不谋求凌驾于、,内部控制之上,内部控制需要良好企业文化的支持,即使是最精细的内部控制体系也无法涵盖企业的所有活

32、动和行为，,因此必须有正确的价值观念来指导人的行为，,使人们在没有明确、,指示的情况下也能明白如何去做,讲人情、讲关系的企业文化是内部控制的大敌，内部控制将由于,人情和关系而无法执行到位，而且还会,因为串谋而失效,企业内部控制规范体系的内在联系,（一）、企业内部控制规范体系的内在联系,（二）、企业内部控制配套指引的内涵与结构,（三）、内部控制体系建设的内容与基本步骤,我国企业实施内部控制规范体系的难点,（一）、内部控制管理组织机构,（二）、内部控制与风险管理的关系,（三）、如何解决内部控制高端人才储备不足的问题,（四）、如何提高内控审计报告的质量,（五）、如何开展内控信息化建设,（六）、如何提

33、供内部控制的外部咨询服务,（七）、如何确保内部控制体系持续有效运行,（八）、企业内部控制的发展,企业实施内部控制规范的难点,内部控制合规性评价、报告,历史学家,汤因比,:,“,一个国家乃至一个民族，其衰亡总是从内部开始的，外部力量不过是其衰亡前的最后一击。”,国家尚且如此，何况企业。这些牵一发而动全身的案例也无一不在说明，企业内部控制规范体系建设的重要性。然而企业如何将自己的管理实践与外部监管要求相结合，则成为企业不得不面对的一道难题。,内部控制体系的建立,内部控制体系的维护,内部控制合规性评价、报告,内控建设部门,只针对萨班斯,奥克斯利法案的要求,和财务报告有关的部分,覆盖的业务主体,要素,

34、五要素及其相互关系,监控,控制活动,风险评估,内部环境,信,息,沟,通,信,息,沟,通,基础,手段,保证,载体,依据,监控,信息与沟通,控制活动,风险应对,风险分析,事项识别,目标设定,内部环境,战 略,报 告,遵 循,运 营,分、子公司,业务单位,公司层面,分支机构,监控,信息和沟通,控制活动,风险评估,控制环境,营运,财务报告,合规性,业,务,单,位,A,业,务,单,位,B,活,动,2,活,动,1,业,务,单,位,A,业,务,单,位,B,活,动,2,活,动,1,业,业,务,务,监控,信息和沟通,控制活动,风险评估,控制环境,营运,财务报告,合规性,业,务,单,位,A,业,务,单,位,B

35、活,动,2,活,动,1,业,务,单,位,A,业,务,单,位,B,活,动,2,活,动,1,业,业,务,务,监 控,信 息 与 沟 通,控 制 活 动,风 险 评 估,内 部 环 境,营运目标,报告目标,合法目标,COSO1:,企业内部控制整合框架,1992,年出台,3,、,COSO,两个框架,从内部控制框架到企业风险管理框架,COSO2:,企业风险管理框架,2004,年,9,月,保证信息能及时有效地沟通的流程,信息及沟通,控制活动,风险评估,控制环境,持续监控,判定内控制度设计的充分性，执行的有效性,对内外部影响企业绩效的因素的评估,企业内部控制的道德意识，是“来自高层的声音”,确保风险管理活

36、动被及时执行的政策和流程,业务操作,财务报告,合规,监控,信息和沟通,控制活动,风险评估,控制环境,营运,财务报告,合规性,业,务,单,位,A,业,务,单,位,B,活,动,2,活,动,1,内部环境,风险评估,控制措施,信息与沟通,监督检查,监控,信息和沟通,控制活动,风险评估,控制环境,营运,财务报告,合规性,业,务,单,位,A,业,务,单,位,B,活,动,2,活,动,1,内部环境,目标识定,事项识别,风险评估,风险对策,控制活动,信息与沟通,监督检查,COSO,内部控制模型,(,五要素,),COSO,风险管理模型,(,八要素,),内部环境,风险管理理念、风险文化、董事会胜任能力评估、管理方法

37、与经营模式风险偏好,目标制定,战略目标,-,其他相关目标,-,选择目标,-,风险偏好,-,风险容忍度,事件识别,事件,-,影响战略及目标的因素,-,方法和技术,-,事件相互依存性,-,事件类别,-,风险和机遇,风险评估,固有风险,-,残存风险,-,可能性和影响,-,方法和技术,-,相关性,风险对策,确认风险对策,-,评估风险对策,-,选择对策方案,-,风险组合观,控制活动,与风险对策相结合,-,控制活动类型,-,一般控制,-,应用控制,-,特定主体,信息与沟通,信息,-,战略和整合系统,-,沟通,监控,个别评估,-,持续评估,目标制定、事件识别、风险评估、风险对策属原内部控制要素之,“,风险评

38、估,”,的细化,内部控制的历史演进,COSO,架构,(ERM,八要素阶段,),企业内部控制目标,1,、战略目标,2,、营运目标,3,、报告目标,4,、资产目标,5,、合规目标,企业内部控制五大目标,促进实现发展战略,战略目标要求企业将近期利益与长远利益结合起来，在企业经营管理中努力作出符合战略要求、有利于提升可持续发展能力和创造长久价值的选择。,案例：,盲目多元化毁掉了澳柯玛的高科技梦,（战略目标）,促进提高经营效率与效果,它要求企业结合自身所处的特定的经营、行业和经济环境，通过健全有效的内部控制，不断提高运营活动的盈利能力和管理效率。,案例：华为技术有限公司,（营运目标）,促进提高信息报告质

39、量；,同时，保证对外披露的信息报告的真实、完整，有利于提升企业的诚信度和公信力，维护企业良好的声誉和形象；,报告目标要求企业通过内部控制，保证信息报告的真实、完整、可靠。,案例：,2012,年度十大财务舞弊公司排行榜,（报告目标）,促进维护资产安全完整；,资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题，是企业可持续发展的物质基础。良好的内部控制，应当为资产安全完整提供扎实的制度保障。,案例：,国企会计贪念下藏,3600,万,爆出全国小金库第一案,（资产目标）,促进国家法律法规有效遵循；,守法和诚信是企业健康发展的基石。逾越法律发展终将付出沉重代价。合规性目标要求企业必须将发展置

40、于国家法律法规允许的基本框架之下，在守法的基础上实现自身的发展。,案例：,国内最大塑料袋企业华强公司关闭事件,（合规目标）,(,之一,:,控制环境,),控制环境,风险评估,控制活动,信息和沟通,监 控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,传达管理理念,责任,/,义务,/,职权,人力资源,设定管理基调,-,诚信,-,道德观念,-,能力,控制要素,控制目标,内部环境是影响、制约企业内部控制建立与执行和各种内部因素的总称。它决定了一个组织的基调，影响成员对于控制的意识。它是内部控制所有其他部分的基础，提供纲领和结构。,公司治理,诚信与道德价值观,机构设置,权责分配,管理者的经营

41、风格和经营理念,人力资源政策,公司治理,治理机制与权责划分,三会的内控职责,审计委员会的内控职责,诚信与道德价值观,企业文化的核心,一个渗透所有层次之良好公司道德氛围，对公司的健康运作，对公共大众，都是根本。,1,、有益于公司控制制度的效用,2,、有助于影响人们的行为方式而无须借助精心设计的制度,3,、一个强调受托报告责任的道德氛围，可防止公司的财务报告欺诈,“,目前经济制度惟一不能解决的就是道德风险问题。,”,克鲁格曼,诚信与道德价值观,高层基调,公司行为规程的成功，取决于管理层和董事会的全力支持,确认规程效用最具影响的要素，是高层管理人员和董事们的态度与行为,从波音公司,CEO,辞职看企业

42、道德规程,05-2-7,日哈里（只干了,15,个月）被除名，董事会认为其行为违反了公司的行为准则，影响了其判断能力，对公司声誉和董事会的领导能力造成了伤害。,机构设置,组织能力的形式,通过完整的架构设计，形成实现组织目标的能力和路径,是规定组织内部之功能、责任、权限、报告路径的线型结构,组织结构的设计因素：,1,、确认授权和责任的关键领域,2,、确认报告路径,权责分配,组织机构设计的关键不在形式，而在权力与责任的配置方法,1,、授权配置,2,、对分散营运活动的监督,3,、责任的分配与监督,4,、政策与流程的建立和监督,管理者的经营风格和经营理念,企业生存发展的哲学,我国每年新生民营企业都在,1

43、5,万家以上，但每年死亡的企业数却有上,10,万家之巨；,60%,的民企会在,5,年内破产，,85%,会在,10,年内消失，总体平均寿命只有短短的不足,3,年；,日本民间企业的平均寿命在,30,年以上，美国企业超过,40,年，全球,500,强或相当国际公司平均寿命,40-50,岁。,新闻晨报,2002-9-24B1,人力资源政策,可持续的人力资源政策,人力资源的引进与开发,人力资源的使用与退出,缺乏绩效考核对内部控制与风险管理的引导机制,法人治理结构不健全，内部控制的外部约束较弱,公司治理结构中责任不到位,高管层缺乏自主控制意识,没有形成重视风险的控制文化,缺乏良好,控制环境,我国企业现状,控

44、制环境,风险评估,控制活动,信息和沟通,监 控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,管理/控制变化,确定,并分析对实,现企业目标有影,响的风险,控制要素,控制目标,(,之二,):,风险评估,风险是您实现业务目标的现存的或潜在的障碍,什么因素,可能会,妨碍,本部门,实现其关键的业务目标,?,发生率,:这些风险中,什么风险是,最可能发生的,?,影响,:哪些风险将对本部门,实现其预定目标,的能力产生,最重大的影响,?,有什么,有效的控制机制,可以,减少,这些风险及其,影响,?,偶发性,重要性,无关性,日常性,发生的可能性,影,响,力,概念与特征,概念,组织对实现其目标有关风险群

45、的辩认和分析，为如何控制风险建立基础。,特征,所有组织在所有层次都面临风险，这与组织规模、性质、结构、行业无关,风险影响公司的发展能力,风险评估渗透内部控制的所有要素、,组织的所有层次,不存在能使风险为零的有效途径,微软离破产只有,18,个,月，也永远只有,18,个,月！（比尔,盖次）,每一次我听到别人说,我成功时，都像听到一,次悼词！（享利,福特）,内部风险,(NO.22),顾客,供应商,现存竞争者,潜在竞争者,替代品,波特五力分析模型,要素分类,外部风险,政治环境,经济人口,社会文化,技术自然,pest,分析模型,各行业的前,10,种最主要的风险因素（德勤统计数据）,次序,银行,/,保险业

46、/,证券,制造业,其他,1,内部控制的质量,内部控制的质量,内部控制的质量,2,管理人员的能力,管理人员的能力,管理人员的能力,3,管理人员的正直程度,管理人员的正直程度,管理人员的正直程度,4,会计系统的近期变动,单位的规模,会计系统的近期变动,5,单位的规模,经济环境恶化,业务的复杂性,6,资产的流动性,业务的复杂性,资产的流动性,7,重要人员的变动,重要人员的变动,单位的规模,8,业务的复杂性,会计系统的近期变动,经济环境恶化,9,快速的增长,快速的增长,重要人员的变动,10,政府法规,管理人员对完成目标的压力,快速的增长,风险判断原则,风险偏好,(,整体风险承受能力,),风险容忍度,

47、业务层面的可接受水平,),风险判定原则,风险重要度确定流程,基于分析的人为判断（董事会或管理层基于经验）,对每一个判断标准给出定量权重,权重数应反映风险对组织活动和目标的相对重要影响,计算每一个风险的加权数,排列风险优先控制顺序,注：控制措施中，,a,为制定目标、指标及管理方案；,b,为制定管理程序；,c,为培训与教育；,d,为应急预案与响应；,e,为加强现场监督检查；,f,为保持现有措施。,案例,:,职业健康安全管理,各类,OHS,重大危险因素及其危险控制计划清单,风险分析方法,作业活动,危险因素,可能导致的事故,危险级别,控制措施,备注,（,a,f,）,运行人员进行定期切换试验,1,、

48、指挥失误,人身伤亡及设备损坏,3,C,、,f,2,、操作失误,人身伤亡及设备损坏,3,C,、,f,3,、监护失误,人身伤亡及设备损坏,3,C,、,f,风险降低,质量控制,财务控制,标准操作程序,应急计划,结构培训,风险应对策略,风险承受,成本效益原则，如针对风险制定控制与其他回应,风险规避,决定退出某一地区,当检查发现客户无信用时，决定不再与该客户进行产易,风险分担,采取保险政策,定期维护外包给设备管理公司,(,之三,:,控制活动,),控制环境,风险评估,控制活动,信息和沟通,监 控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,实现目标的管理,机制,管理层发展方针,贯彻的程序直接

49、的职能或活动管,理,物质的控制,职权的分离,控制要素,控制目标,职务分离的目的：确保没有一个人被赋予过多的责任：无人能利用其正当工作地位进行犯罪和非法隐瞒。,不相容职务分离,授权,资产保管,执行,资产处置,维护记录的,受托报告责任,交易授权,维护记录的,受托报告责任,资产保管,案例,:,巴林银行,1995,年,2,月,23,日，,232,年历史的巴林银行因交易损失,$1billion,宣告破产，掘墓人：,Nick Lesson,新加坡国际货币交易所,3,月,5,日发布一份报告，将该损失归结为内部控制缺失,1,、前台交易与后台交易必须分开,此为银行基本控制,2,、,1994,年夏,银行内部审计

50、对里森身兼此两职提出警告并建议分离,3,、管理层惟恐利润与奖金减少而继续纵容里森独挑大梁,案例,:,国家自然科学基金委出纳贪污案,国家自然科学基金委会计卞中从,1995,年到,2003,年的八年期间里，贪污、挪用公款人民币两亿余元。,担负着资金收付的出纳职能，同时所有的银行单据和银行对账单也都由他一手经办，使得他得以作案长达八年都没有引起过怀疑。一名大学生上班伊始便到定点银行拿对账单，使得这桩涉案金额超过,2,亿元的大案也因此浮出水面。,授权控制目的,确保每一项交易均经管理层在其个人权限范围内批准,授权控制,授权分类,一般授权,:,授权范围严格定义,;,执行条件严格定义、预算、权限,特殊授权：