南开大学程新生14.1风险管理框架4.2内部控制与风险评估4.3战略视角下的风险评估4.4风险评估案例分析第4章内部控制与企业风险评估南开大学程新生2风险的基本含义是收益或损失的不确定性,但在不同学科范式里又有多种表述:•统计学认为风险是实际与预期结果的偏离•保险学认为风险是可能损失的大小和发生的可能性•财务理论和决策理论以收益或结果的不确定性为主要特征定义风险•战略风险反映出战略引起的业绩和成长性变化以及风险的收益、损失、不确定性特征南开大学程新生3•风险具有普遍性、多样性、可变性(一种风险可转化或扩展成另一种风险)、突发性、隐蔽性、复杂性、可控性•成长、盈利、风险三者平衡的风险控制观。风险是经营活动固有的一部分。一个新产品会有失败的风险,一个国家币值波动也会有严重影响该国商业贸易的风险•需要对经营环境(投资环境、贸易环境、金融环境、财政税收环境、公司治理环境)进行评估,防范财务风险、经营管理风险等4.1风险管理框架南开大学程新生4一、风险的组成风险:战略风险、经营风险、财务风险、决策信息风险、控制风险、违规风险•战略风险—战略目标未能实现的可能性•财务报告风险—与记录交易和企业财务报表中财务数据披露直接有关的风险•控制风险—对存在重大事项的业务活动未能发现或制止的风险南开大学程新生5二、企业风险管理(ERM)•由COSO(特雷德威Treadway委员会发起的致力于改进风险管理的机构)定义的企业风险管理:•一个由企业董事会、管理层和其他人员实施的用于制定战略的程序,贯穿于企业内部,用于识别可能影响企业的事件,对风险进行管理并将其限制在风险偏好之内,为达到企业目标提供合理保证南开大学程新生6COSO认为企业风险管理包含八个相互关联的步骤:1.风险管理环境。这代表管理当局的观念和对待风险的态度,以管理当局—董事会批准—确认的风险偏好和可容忍风险为起点,然后为企业内各部门执行企业风险管理提供指导方向。2.设定目标。在管理当局识别影响目标实现的事件之前必须设定目标。3.事件的确认。企业内各层次的管理人员确认可能影响企业战略实施能力或可能削弱企业达到目标的事件。南开大学程新生74.风险评估。组织将风险评估为事件发生的可能性和可能结果的数量结合。风险评估可帮助企业决定用于应对风险的资源水平5.风险应对。管理当局选择对待风险的最适合方式,包括避免、共享、减少或接受风险南开大学程新生86.控制活动。控制是为了管理风险和确保管理当局的方针战略得以实施的政策和程序,是为了减少风险和对已确认的风险再次提出的特定应对方式。因此在风险这一主题下控制是重要的。7.信息和沟通。每个企业都需要设计一个有效的信息系统来识别风险,并就企业全面风险管理程序的有效性反馈给管理当局8.监控。在整个企业内部,对每个风险管理步骤都要进行实时监控,以定期评估作为实时监控的补充,例如由内部审计部门进行的评估南开大学程新生9没有执行企业风险管理(ERM)的企业发生的损失公司损失未评估的风险Procter&Gamble宝洁金融衍生品交易损失3亿美元不重合的激励结构:管理层已使信贷功能成为一个利润中心,并对产生的利润提供奖励Barclay’sBank巴克雷银行由于在香港的交易商大量投资于金融衍生品,成为世界上最早进行其他业务的金融机构之一通过占据有利位置而不是套利大量投资于金融衍生品。通过超额奖金激励交易者WorldCom世通由于控制不完善、财务错报和贷款给CEO导致公司破产财务报告涵盖了三个以上地点。对CEO的贷款没有抵押物。以股价为基础激励,不存在内部控制DukeEnergy杜克能源重大股价损失,因被迫销售交易单元和电子厂房而遭受损失公司鼓励能源交易,但签订太多单边合约导致大量损失Daimler-Chrysler戴姆克莱斯勒由于Chrysler公司收购Daimler公司而遭受重大财务和股价损失为了增加盈利,Chrysler将未达到Daimler模型质量的新产品打入市场Motorola摩托罗拉公司遭受重大财务损失,股价下降60%缺乏创新,技术过时中航油(新加坡)破产保护缺乏风险监控系统南开大学程新生10•判明风险类别、分析风险的具体源由•分辨出主要风险、次要风险、关键风险、派生风险。内部审计人员从企业整体战略目标着手,分析战略目标与实际差异,明确差异的风险,分析风险产生的部门、风险类别及其性质。例如材料供应风险,还是生产能力风险。4.2内部控制与风险评估南开大学程新生11•对经营风险、财务风险的分类模式(BusinessRiskModel),可概括为:1.外部经营环境风险•资金调度;国家、政治的安全性;竞争对手;金融市场;企业特性;政策的变动;法律的变动;对外部环境变化的敏感性;异常灾害;等等南开大学程新生122.业务风险•产品或服务的缺陷;产品开发能力;资产老化和减值;材料供应商;从业人的资质;法规的遵守;商标品牌的过时;生产能力;生产效率;经营失败;健康安全管理;顾客要求;工作环境不良3.职权风险•能力、业绩评价基础的变化;沟通渠道;领导成员及其职权;对变化的适应能力;权限规定、超越权限的限制南开大学程新生134.信息处理与技术风险•信息地址的正确性;情报和信息利用的可能性;情报来源;情报和技术的完整性;信息处理的设施5.财务风险•债权未能履行;债务未履行;担保责任;决策;现金流量;流动性-机会丧失;价格变动;回报利率、利息;价格变动-投资价值;价格变动-金融商品•价格变动-汇率;价格变动-外汇交易南开大学程新生146.投资决策风险投资目的与战略的整合性;经营过程的业绩确定;价格设定;合同或协议的执行情况税务信息;财务报告的恰当反映的判断;年金基金;投资判断;预算、计划;会计信息偏差南开大学程新生157.战略风险产品的生命周期;组织结构的有效性;经营过程的效果;经营资源的分配;企业价值的评价;对外环境的判断8.公司治理风险-诚信风险企业违法违规行为;超越权限行为管理层的违法行为;股东关系;董事会治理质量;治理主体的信息量;公司书面章程健全程度南开大学程新生16•风险识别主要建立在优势、劣势、机会、威胁的对比分析上。对于风险,公司有四种主要选择。风险一旦确认和评估,公司可以:•控制风险•分担或转移风险•分散或避免风险•接受风险南开大学程新生17一、风险管理环境分析•宝洁公司管理当局集中精力于增加利润和为获得更高的报告利润提供激励,认为将每个部门视为一个利润中心就是好的管理。在制定提高盈利能力的激励性方案中,宝洁公司没有充分考虑风险,在发展利润中心方法的过程中没有确定风险偏好的程序南开大学程新生18二、风险应对•金融衍生品是有效的金融工具,使用这些金融工具有助于公司避免或分散财务风险。然而宝洁公司的策略是忽略或接受这些风险,而不是管理风险。换句话说,宝洁公司打算冒险而不是管理风险南开大学程新生19三、控制活动•宝洁公司没有执行政策或程序来管理风险或保证交易活动与董事会的战略一致。在公司发生损失之前,财务领域以外的高级官员没有对衍生品交易进行复核,内部审计部门也没有对衍生品交易进行审计南开大学程新生20确定风险管理目标收集风险方面的信息经营决策与财务决策经营信息、财务信息等确定风险管理模式内审/内部控制改进风险管理能力监督风险管理制度的实施分析风险来源并测量风险确定风险管理策略风险管理程序南开大学程新生21高风险的公司普遍具有如下特征•资金不足•缺乏长期战略和经营计划•进入市场的成本很低•依赖有限的产品•依赖即将过时的技术•未来现金流不稳定•有问题的会计实务历史•有被监管机构质询的先例南开大学程新生22•二十世纪八十年代,美国强生公司曾面临一场生死存亡的“中毒事件”危机:1982年9月芝加哥地区多人因服用了受氰污染的“泰诺”止痛胶囊而中毒死亡。94%的服药者表示绝不再服用此药,医院、药店也纷纷拒绝销售泰诺。随后该公司立即执行一些措施:收回全部“泰诺”止痛胶囊、以真诚和开放的态度与新闻媒介沟通以迅速地传播各种真实消息、积极配合美国医药管理局的调查并进行抽检、为“泰诺”止痛药设计防污染的新式包装重返市场。这些举措不仅化解了危机,也为公司赢得了市场广泛的好评。在一年的时间内,“泰诺”止痛药又重振山河,占据了市场的领先地位,再次赢得了公众的信任南开大学程新生23四、风险自我评估•风险自我评估或内控自我评估(riskself-assessment,RSA;controlself-assessment,CSA;或controlandriskself-assessment,CRSA)体现了内部审计对公司软环境的关注,是咨询服务的有效手段。最早由加拿大海湾资源公司采用的(1986年):三位内审人员通过在一个协调会议上同时对不同小组的员工进行访谈,寻找控制点强弱环节,发现这种方法对于拥有众多部门的大型公司进行内审时效率非常高南开大学程新生24•RSA或CSA一般采用两种方法:调查问卷法(questionnaire)、研讨会(workshop),后者是自我评估的典型方法。研讨会通常持续2-4小时,由内审人员作为会议的引导者与协调者,引导与会人员就某一议题充分讨论交流,在需要进行评估时利用电子记录与投票系统收集信息,直接记录与会者的意见,及时获得反映与会者对解决议案的偏好、优先顺序的量化结果•其他方法:中国企业可能适合与领导面谈、电话会谈、匿名的建议信(避免建议提供人受到事件相关人或其上司的责备),“报喜不报忧”的企业文化可能影响自我评价效果南开大学程新生25五、风险评估组织1.是否确认和评估特定的商业风险•调查结果显示,风险管理被整合到综合管理框架之中。一是建立风险管理委员会,如皇家银行、英国石油公司等。二是经常性与审计委员会及董事会讨论风险问题,如英美烟草公司。三是由专家组成风险管理团队,讨论经营风险,如瑞典铁路公司、澳大利亚海关。四是报告风险,监督项目风险,如英美烟草公司、皇家银行。五是管理当局报告和讨论风险,由首席风险经理提供信息南开大学程新生262.与内部审计正式或非正式地沟通风险管理效果•关键的沟通包括专家与专家的沟通,专家与管理当局的沟通,管理当局与利益相关者沟通,有效风险管理的一个关键因素是审计经理能够与其他高级管理人员讨论风险。内部审计经理成为风险委员会的成员,有利于进行沟通。特别是进行战略计划程序过程的沟通。评估如何管理商业风险南开大学程新生273.内部审计是否与战略计划相联系•战略计划提供商业目标、实现这些目标的途径,为了发挥内部审计的作用,需要了解战略和经营计划。包括关键资产、项目、战略目标的实现程序,这些关键因素包括在审计之中。风险管理的参与者:风险经理(riskmanager)、内部审计师、高层管理部门。关注组织的战略、声誉、控制南开大学程新生284.明确的年度审计计划•内部审计应用宏观风险估计模型,在审计层次确认风险,反馈目标实现及风险,在战略层次评估风险,确保系统对风险的关注。三个非常重要的因素:对风险估计的商业过程透彻地理解、讨论风险的框架和共同的语言、建立一套鼓励对风险本质和机会进行分析机制南开大学程新生295.审计计划的季度评估•以风险为基础的审计(而不是业务循环审计),以风险评估为基础,关注管理当局的关注,对审计计划进行评估,审计师需要明确在什么时间、去什么地方,以确保风险得到适当的管理。评估商业目标的实现风险。了解审计委员会关注什么?南开大学程新生30图美林证券风险管理的组织结构董事会风险控制委员会全球风险与信用管理副总裁财务审计全球风险与信用管理机构法律市场风险组信用风险组数量风险管理小组项目风险负责人分析报告与技术小组南开大学程新生31•美林证券的风险管理组织结构有三大特点:一是在公司基层强调的是风险信息准确及时的获得,在管理层面强调部门间协调与沟通;二是基层组织的设置、人员安排、工作范围分工明确,公司管理层、部门和人员之间相互参与现象极为普遍;三是风险的监控渗透到每一项业务活动中,各项业务必须在业务指导部门、管理职能部门和风险管理部门三方的共同协调下开展,形成了一个多维立体型的组织结构南开大学程新生324.3战略视角下的风险评估•从战略