企业全面风险管理1讨论内容企业风险管理的必要性案例分析教训与启示企业风险管理框架股东对企业风险管理最关心的四个问题风险管理框架:一个基础、三道防线构建风险管理的关键成功要素财务报告系统的内部控制财务报告系统的功能财务报告系统的典型问题美国索克斯法的主要规定及要求如何建立内控以满足索克斯法的要求2第一部分企业风险管理的必要性3企业风险管理的必要性案例分析:•安然公司•世通公司•巴林银行–回顾事件发生的经过–了解引致公司倒闭或严重损失的内控缺陷–从案例中吸取的教训•八百伴公司•百富勤公司•三家国有控股上市公司4案例一:美国安然公司(Enron)在2002年,安然是美国最大的石油和天然气企业之一2001年末,安然宣布第三季度录得6.4亿美元的亏损,美国证监会对该公司进行调查,发现该公司在1997以来虚报利润5.8亿美元2001年末,安然申请破产保护令,但在之前10个月内,公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利5调查发现:•安然的董事会及审计委员会均采取不干预(“hands-off”)监控政策•事件发生之后,部分董事表示不太了解安然的财务状况、期货及期权的业务•安然重视短期的业绩指标•安然管理高层常常藐视或推翻公司制定的内控制度6案例二:美国世通公司(Worldcom)世通是美国第二大的电信公司2002年,世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法,多年来虚报利润735亿美元世通于2002年末申请破产保护令,成为美国历史上最大的破产个案世通的四名主管(包括公司的CEO和CFO)承认串谋讹诈,被联邦法院刑事起诉7调查发现:•世通的董事会持续赋予公司的CEO(BernardEbbers)绝对的权力,让他一人独揽大权•美国证监会的调查报告指出:世通完全没有制衡机制•世通的董事会并没有负起监督管理层的责任•世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金8案例三:英国巴林银行(BaringsBank)巴林银行在90年代前是英国最大的银行之一,有超过200年的历史1992-1994年期间,巴林银行新加坡分行的总经理里森(NickLesson),从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动,累积亏损超过10亿美元,导致巴林银行于1995年2月破产调查发现:•巴林银行的高层对里森所从事的业务并不了解•巴林缺乏职责划分的机制•巴林银行的高层对财务报告不重视9案例四:日本八百伴(Yohan)在90年代,八百伴是日本最大的百货公司之一1997年9月,八百伴宣布破产,向法院申请“公司更生法”保护,当时八百伴的负债额达1,613亿日元,是日本战后最大的一宗企业破产案调查发现:•八百伴低估经营非核心业务的风险•八百伴低估扩张业务的风险•八百伴低估了开发新兴市场的风险10在90年代,百富勤原是亚洲除日本外的最大投资银行金融风暴冲击下,百富勤在短短一年内出现入不敷出,至1999年月1月宣布破产案例五:香港百富勤公司(Peregrine)调查发现:•香港政府在调查百富勤的报告中表示,百富勤倒闭的原因主要是由于缺乏有效风险管理、内控体制和完善的财会报告系统•百富勤虽然设立了信贷委员会和风险管理部门,但却未能制衡业务部门强大的权力•百富勤忽略发展新兴市场的风险•百富勤低估了利率和汇率波动的风险11某国有控股的上市企业(简称“国企A”)于19X4年以约4.2亿元人民币收购某汽车制造公司95%权益,两年后,该国企以3.2亿元人民币向一家马来西亚公司出售其在汽车公司中50%的权益,而记录了一笔4,000万元人民币的营业外收入。但其后,该马来西亚公司并没有按协议支付交易金额,而交易亦被迫中断。19X7年,国企A为掩饰交易失败而重新与三家公司签约,以3.2亿元人民币的同样金额将汽车公司的50%权益转售给这三家公司,但这三家公司最终都没有向国企A支付任何款项。案例六:投资与出售股权权益12调查发现:1.国企A未有就对外投资建立完善的风险管理,投资前既没有清楚考虑其高级管理层缺乏汽车制造业的经验,亦没做好可行性研究的各种分析。2.在出售投资权益予该马来西亚公司时,并未充分考虑对方的信誉和偿付能力,亦未有利用买卖协议为可能出现的违约事件提供保障。3.在转售投资权益予该三家公司时,并未披露这三家公司均为关联的“空壳公司”。财务报表亦没有如实反映交易中断的情况。4.汽车公司从成立至19X9年的5年间,一直未能调试投产,亦未有竣工验收,最终,该国企以大幅度低于成本的价钱,把该汽车公司出售,造成严重亏损。13某国营企业(简称“国企B”)于19X6至19X8的两年间,动用接近10亿元人民币,投资了15家公司,而该国企在每家公司的权益均在10%至30%之间,这些公司的业务范围包括金融、包装材料、汽车零部件、房地产开发、贸易和通信等。调查发现:1.国企B未有就对外投资建立完善的风险管理系统。2.这15家公司大部分没有为国企B提供经审计的财务报表,亦一直未派股息;国企B亦没有利用投资协议来保障其权益。案例七:投资非核心性业务14某国有控股在香港上市的公司(简称“国企C”)没有遵守上市规则的要求,在没有得到股东批准的情况下,向一位董事的关联公司提供港币1.6亿元的贷款和港币1.96亿元的银行信用证担保,该贷款和信用证担保的总额占上市公司资本金的30%款项贷出后,该关联公司一直不予还款,而国企C为该关联公司所提供的银行信用担保当中的港币9,500万元已被有关银行提出追讨案例八:某香港上市公司15调查发现:•国企C的公司治理结构不规范,出现一小撮人独揽大权•国企C并没有建立合规方面的风险管理机制•国企C的财务报告系统既没有为上述关联交易作出适当的披露,亦没有为拖欠的贷款提取坏账准备16教训与启示•常言:「智者从别人失败经验中吸取教训,聪明者从自己失败经验中吸取教训,愚者则永不懂从经验中学习。」17我们可以从上述案例中吸取什么教训?1.熟悉企业本身的业务与相关风险•切记:避免制定不切实际的目标或盲目扩展投资,使企业承受无谓的风险2.建立内控和相互制衡的机制•切记:权力过分集中就会出现腐败的情况3.紧盯着现金•所有犯案、挪用公款和偷窃行为均与现金有关•常言:“会计数字只是参考意见,现金才真正令你感到踏实。”184.合理制定绩效评估与激励机制•“如果你发现精明的员工做出蠢事,你应意识到这可能是因为他们受到公司的绩效与激励机制的诱导而产生的结果。”5.建立规范和健全的财务报告系统•财务报告系统必须有能力为企业提供及时、准确和具高分析性的财务资料,以帮助管理层管理业务和赢取股东的信心196.深化企业风险管理文化•要建立健康的企业文化及价值观,企业必须:–由上而下,身体力行,建立严谨的“风纪”,使员工能上行下效–订立管理原则和行为规范–通过绩效管理的方法,鼓励正确的行为和态度•加强培训和沟通–企业必须建立有效机制,使员工能从企业本身或其他企业所犯的错误(或接近犯错)的经验中,吸取教训20第二部分企业风险管理框架21什么是风险管理?企业风险管理是一套由企业董事会与管理层共同设立、和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平,从而帮助企业达至它的目标。美国内控研究委员会22企业为何要建立风险管理?因为企业的股东与管理层常常要面对一些令他们寝食难安的问题。因此,企业需要系统化地建立一套风险管理体制,从而识别影响企业盈利的关键因素,并对那些会影响企业达标的风险进行监控及管理23股东对企业风险管理最关心的四个问题:1.企业知道它所面对的主要风险吗?例如:什么风险正在或将会影响企业的业务?企业的品牌新产品、新市场的开发战略联盟客户或供应链的管理理想的情况:企业能开发一套标准的、共通的风险语言,从而识别企业所面对的风险,并就其严重的程度进行排序。共通的风险语言亦有利于企业上下层就风险的管理进行沟通242.企业是否已对这些风险设置内部控制?企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险),构建内部控制(包括预防性控制及觉察性控制),以确保企业能实现目标和符合各方面的法律、法规理想的情况:企业就其所面对的风险和采取的内控,编制一套完整的文档,并借鉴国际最佳的实务不断进行检讨253.企业的内部控制有效吗?企业要对其内控系统不间断地进行监控和测试,以确保其对风险控制的能力理想的情况:企业把各类风险控制在可接受的水平,并在这基准上赚取合理的回报264.哪一些内部控制必须改进?企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施理想的情况:企业能建立一套具前瞻性的信息管理系统和预警系统,使企业能及时识别新生的风险,并对相关的业务计划、政策和程序进行修正27企业风险管理框架•一个基础•三道防线管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会28一个基础:公司治理结构什么是公司治理?公司治理是涉及公司的表现:它关系到一家公司如何得到有效的管理,从而发挥最佳表现公司治理是涉及责任的问题:它关系到董事会及管理层如何向股东负责,而使股东能从公司的表现中得益29公司治理与风险管理有什么关系?公司治理是风险管理的一个必要的组成部份,因为它提供了对风险由上而下的监控与管理近年多个国家都订立了公司治理的最佳守则:•美国:纽约证交所最佳治理守则•英国:Cadbury/HampelReport、TheCombinedCode•加拿大:DeyReport•OECDReport这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任30如何构建一个有利风险管理的公司治理结构?建立一个健全的、以董事会为首的公司治理结构订立企业的目标和战略,包括企业的风险政策和极限贯彻一套重视风险管理的企业文化和价值观31第一道防线:业务单位防线业务单位包含了企业大部分的资产和业务,它们在日常工作中面对各类的风险,是企业的前线企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中,才能建立好防范风险的第一道防线32如何建立第一道防线1.了解企业战略目标及可能影响企业达标的风险2.识别风险类别3.对相关风险作出评估4.决定转移、避免或减低风险的策略5.计设及实施风险策略的相关内部控制33(风险宇宙TM)资信制度知识产权财务流动资产与信贷资本结构市场财务报告营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规风险宇宙34•战略性风险是指公司因作出战略性错误的决定而导致经济上的损失•战略性风险是业务单位、高级管理层和董事会的共同责任•常见的战略性风险包括:–企业的目标与方针–市场潜在的威胁–业务的范围(深度与广度)–品牌及形象的建立战略性风险–与战略性伙伴的合作–投资和融资的策略–员工的素质和雇员关系–企业的信息及监控系统35•信贷风险是指贷款人或合同的另一方因不能履行合约而使公司产生经济损失的风险•常见的信贷风险包括:–贷款未能回收–应收帐款未能回收–债券跌价(因信贷评级的减值或债务人未能履行付款义务)–买卖金融市场产品而未能兑现–企业因合资、合作、联盟、外包等经济活动而产生或暴露的信贷风险信贷风险36•市场风险是指因市场价格或利率波动而使公司产生经济损失的风险•构成市场风险的三大因素:–因买卖或投资金融产品而产生的风险–因资产与负债错配、或原材料与产成品价格不能同步浮动而产生的风险–资金流动性风险•常见的市场风险包括:–利率风险–外汇风险–股票与债