企业内部控制与风险管理框架

更多企业学院：更多企业学院： 中小企业管理全能版183 套讲座+89700 份资料 总经理、高层管理49 套讲座+16388 份资料 中层管理学院46 套讲座+6020 份资料 国学智慧、易经46 套讲座 人力资源学院56 套讲座+27123 份资料 各阶段员工培训学院77 套讲座+ 324 份资料 员工管理企业学院67 套讲座+ 8720 份资料 工厂生产管理学院52 套讲座+ 13920 份资料 财务管理学院53 套讲座+ 17945 份资料 销售经理学院56 套讲座+ 14350 份资料 销售人员培训学院72 套讲座+ 4879 份资料 内部控制与企业风险管理框架内部控制与企业风险管理框架 前言前言 企业风险管理的内在前提是每一个企业存在的意义就在于为其股东提供价值。 所有的企业都面临着不确定性，而管理者面临的挑战就是如何确定在为股东创 造价值的同时，能接受多大程度的不确定性。不确定性同时意味着风险和机会， 提升或销蚀股东价值。企业风险管理会使得管理者有效地应对不确定性和与之 相连的风险和机会，提升创造价值的能力。 企业风险管理包括： 匹配风险喜好和战略- 管理者在评估战略选择，设定相关目标和建立管 理风险的机制时应考虑企业的风险喜好 提升风险应对决策风险管理提供了识别并选择风险应对的 the rigor 避免风险、降低风险、分担风险和接受风险 降低运营的突发性和损失 企业不断提升识别潜在事件并建立反应的 能力，降低突发事件和与之相连的成本和损失 识别并管理企业全方位的风险 每一个企业都面对影响其不同部分的 大量的风险。企业风险管理便在于对其相关联的影响作出有效的反应， 并且是对多种风险作出的综合反应。 抓住机会 对潜在事件作出全面考虑，管理者便能识别并积极地实现 机会。 改善资本配置 获得动态的风险信息使得管理者有效地评价全面的资 本需要并提升资本的利用效率。 企业风险管理会帮助企业达到获利目标并防止资源的损失。企业风险管理能够 保证对外报告的有效性，并符合法律和制度的要求。一句话，风险管理能够帮 助企业取得既定的目标而不至于陷入失败。 企业风险管理定义企业风险管理定义 企业风险管理是一个流程。这个流程受企业的董事会，管理层和其他人员的影 响，并应用于企业战略之制定和企业的全部方面。设计这个流程是为了识别潜 在影响企业的事件，将风险管理在企业的喜好范围之内，并对企业目标的取得 提供一个合理的保证。 企业目标的取得企业目标的取得 企业在建立愿景的前提下， 管理者建立战略目标，选择 战略，并建立与之相匹配的 目标。企业风险管理框架的 旨在取得企业的目标。这些 目标分成 4 类： 战略的目标-高层目标，与 愿景相匹配 经营的目标-有效利用资源 报告的目标-报告的可靠性 合规性- 符合法规的要求 企业风险管理的要素企业风险管理的要素 企业风险管理包括 8 个相互关联的要素属。这 8 个要素是： 内部环境 内部环境包含了一个组织的调子并决定了该组织的人如何看待 风险和应对风险，包括风险管理哲学和风险喜好，品行和价值观，以及该组织 的经营环境 目标设定- 目标应该存在于在管理者能够识别潜在事件影响其实现前。企业 风险管理应保证管理者设置一个流程来设定目标并且选择的目标应支持并和企 业的宗旨相匹配，也与企业的风险喜好相匹配 事件识别 应识别影响企业目标实现的内部和外部事件，区分风险和机会。 机会应与管理者的战略和目标制定流程相贯通 风险管理 分析风险，考虑其发生的可能性和影响，以此为基础确定如何 管理这些风险 风险应对 管理者选择风险应对避免风险、降低风险、分担风险和接受风 险-采取一系列行动以匹配企业的风险容忍度和风险喜好 控制活动 建立政策和程序并贯彻之，以保证风险的应对能够有效地贯彻 信息和沟通 要求了解、捕捉相关的外部和内部信息，并使得这些信息能在 组织中及时的处理和传递。使职员明白自己的职责。信息在组织中的传递应该 是上下流动，平行传递的 监控 风险管理的全部方面都需要监控并在需要时作出修正。监控应该定期 通过对经营的实时监控和单独的评估进行。监控活动的范围和频率取决于被控 风险的重要性和控制能够降低风险的程度。监控应该成为一个组织中正式的、 常规的活动。发现缺陷应上报，并采取正确的行动进行改进 目标和要素的关系目标和要素的关系 企业目标和风险管理要素之间存在一个直接的关系。这个关系可以用一个三维 的、立方体的形式加以说明。insert a cube 效果效果 确定一个企业的风险管理是否有效取决于一个判断，该判断来自于上述的 8 个 要素是否存在并有效地发挥功能。这些要素对风险管理而言十分关键。这些要 素存在并发挥作用，应该不存在重要的弱点，风险也能控制在企业的喜好范围 之内。 限制限制 企业风险管理存在有局限性。局限性在于决策需要人的判断，而人的判断会产 生错误。对风险的应对措施要考虑成本与收益。系统会因为人的错误而失效。 控制会因为人的串谋而失效。管理者有能力凌驾于控制之上。 内部控制内部控制 内部控制是企业风险管理的内在组成部分。美国反欺骗性财务报告委员会 （COSO）的定义： 内部控制是一个靠组织的董事会、管理层和其他员工去实现的过程，实现这一 过程是为了合理的保证： 经营的效果性和效率性； 财务报告的可信性； 监 督 信 息 与 沟 通 控 制 活 动 风 险 评 估 控 制 环 境 事业 部1 事业 部2 业务活 动1 业务活 动2 控控控 制制制 环环环 境境境 业 务 活 动 1 业 务 活 动 2 事 业 部 2 事 业 部 1 营运效率与效 果 财务 数据 的可 靠性 对法 令和 合约 承诺 之遵 循 风风风 险险险 评评评 估估估 控控控 制制制 活活活 动动动 信信信 息息息 与与与 沟沟沟 通通通 监监监 督督督 对法律和规章制度的遵 循性 1985 年，由美国注册会计师协会 (AICPA)、内部审计师协会(IIA)、 财务经理协会(FEI)、美国会计协 会(AAA)、和管理会计师协会(IMA)等 5 家机构共同赞助成立了美国反欺 骗财务报告委员会(the Committee of Sponsoring Organization of the Treadway Commission, COSO)。COSO 旨在研究舞弊性财 务报告产生的原因及其相关领域，其中包括内部控制不健全的问题。1992 年， COSO 提出了内部控制整体架构(Internal Control - Integrated Framework)报告，并在 1994 年进行了增补，这就是现代通称的 COSO 模型 。目 前，COSO 模型已被大多数上市公司和会计师事务所选用，作为内部控制评价和 进行内部控制审计的基础，来满足萨班斯-奥克斯利法案的要求。 COSOCOSO 模型模型内部控制内部控制 5 5 要素要素 控制环境 控制环境 - 是一个组织的控制意识；它是人们执行经营活动并完成其控 制责任的环境。 控制环境包括有形和无形部分： 正直和伦理价值 职能的承诺 董事会和审计委员会 管理层和组织结构 管理哲学和经营方式 权利和责任的分配 人力资源政策和实施 一个有效的控制环境存在于职员明确他们的责任、权利并承诺合理地执 行。 管理层对一个组织的控制环境的影响是通过建立执行标准和有效地沟通 已制定的原则程序，道德标准，和行为标准-“高层态度” 来体现的。 风险评估风险评估 - 是对企业经营风险的识别和分析。 风险评估的前提条件是经营目标的设定： 目标的类型 目标的重叠 目标的衔接 目标的完成 控制活动控制活动 是帮助企业及时有效地控制风险的政策和程序。 控制活动应该深入到经营过程中并且把风险控制在合理的水平。 控制活动的三个主要功能：预防、识别和纠正。 信息系统控制 对不合理行为及时采取有效措施 维持有效的信息沟通系统和一贯性的管理政策 信息与沟通信息与沟通 要求了解、捕捉相关的外部和内部信息，并使得这些信息能在 组织中及时的处理和传递。 正式与非正式的信息沟通渠道 口头交流 (如：会议或反馈) 书面沟通 (如：政策、程序或工作职责) 行动证实 (如：树立榜样) 信息的质量和完整性是进行商业决策必不可少的保障 内部控制系统提供合理的保证，使信息可靠、及时、准确并易于 理解。 管理层责任 使职员明白自己的职责 信息在组织中的传递应该是上下流动，平行传递的 保持一个开放的与客户、供应商及其他外部关系联系的沟通渠道 监控监控 - - 为了确定内部控制的设计是否充分，是否得到有效执行并且适用。 内部控制的执行应该定期通过对经营的实时监控和分阶段的评估进行。 监控活动的范围和频率取决于被控风险的重要性和控制能够降低风险的 程度。 监控应该成为一个组织中正式的、常规的活动。 发现缺陷应上报，并采取正确的行动进行改进。 我们能帮助企业做什么？我们能帮助企业做什么？ 帮助企业构筑风险管理体系。针对企业战略目标和所处的环境，构筑适 合企业的经济有效的风险管理框架。包括风险管理组织机构的建立，风 险管理框架的建立等。 帮助企业建立风险评估体系、模型和工具。帮助企业建立风险应对机制 及相应的业务流程支持。 建立风险体系的监控机制，确保企业风险管理体系能够适应企业的变化 和发展，持续改进并发挥效用。 附件：企业风险管理的分析工具附件：企业风险管理的分析工具 企业风险的类别分析 有多种企业风险类别的划分标准和分析。我们将企业的风险作如下划分： 战略风险战略风险 环境风险环境风险 1. 自然和人为灾害 2. 政治/国家 3. 法规 4. 产业 5. 竞争者 6. 资本市场 组织风险组织风险 1.公司战略和目标 计划 资源分配 监控 购并 合资和联盟 2. 领导层 愿景 判断 继任计划 高层态度 3.管理层 受托可追溯 授权 责任 4.公司治理 伦理道德 名声 价值 舞弊和违法行为 5.投资者和债权人关系 6.人力资源 绩效考评 福利 工作地点环境 经营风险经营风险 1. 劳动力 雇用 知识和技能 发展和培训 规模 安全 2. 供应商 外包 采购实践 供应商供货的可靠性、价格和质量 3. 厂房 生产能力 技术/过期失效 4. 保护 厂房和其他有形资产 知识和产权 5. 产品和服务 开发 质量 定价 成本 发货 客户保护 技术/过期失效 6. 客户 需求 满意度 信用 7. 合规性要求 雇用 产品和服务 环境 财务风险财务风险 1. 资本/ 融资 可能性 利率 信用度 1.投资 手头现金 证券 应收账款 存货 衍生工具 3. 合规性要求 证券法 税收法规 信息风险信息风险 1. 信息系统 可靠性 足够性 保护 技术 2. 战略信息 衡量的相关性和可靠性 可用性 假定 2.经营信息 衡量的相关性和可靠性 可用性 报告合规 3.财务信息 衡量的相关性和可靠性 会计核算 预算 税务 财务报告 对外报告合规 分险分析的方式分险分析的方式 Source: Business Ris