企业内部控制与全面风险管理2019/8/301企业风险管理的必要性不得不说的故事:•安然公司•巴林银行–回顾事件发生的经过–了解引致公司倒闭或严重损失的风险–从案例中吸取的教训•合俊玩具•中航油•云大科技1为什么我们需要内部控制?企业规模从“用眼睛管理”到“一眼望不到边”竞争环境进入了“复赛”的企业经济环境速度、不确定性、社会责任代理问题代理层级的增加内部控制合规经营、提升管理、持续发展2019/8/303竞争环境与企业的发展•市场环境的变化•竞争环境的变化•企业规模•我们该做什么:精细化管理股东(委托人)企业所有者委托代理关系经理(代理人)企业经营者聘用信息不对称代理成本基本的委托代理问题公司面临的其他治理问题污染排放偷逃税不正当竞争操纵市场内部审计协会列出的9大风险因素…..2019/8/307•管理层的能力(Competenceofmanagement)•管理层的道德观(Integrityofmanagement)•近期系统变化(Recentchangesinsystems)•组织规模(Sizeofunit)•资产流动性(Liquidityofassets)•变革(Change)•复杂程度(Complexity)•快速增长(Rapidgrowth)•规章制度是否健全(Levelofregulation)2019/8/308(风险宇宙TM)资信制度知识产权财务流动资产与信贷资本结构市场财务报告营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规风险宇宙2关于风险与风险管理2019/8/30910风险与回报的平衡风险回报风险与回报成正比?风险调整风险后的回报冒险程度–不够进取冒险程度–高危冒险程度–理想范围企业风险•风险的动态观o—企业风险持续的流动于主体之内•风险的组合观o—风险贯穿于企业,在各个层级和单元•风险识别是规避风险的基础o发现一旦发生将会影响主体的潜在事项o并把风险控制在风险容量之内•风险管理o力求实现一个或多个不同类型但相互交叉的目标——它只是实现结果的一种手段,并不是结果本身。o目的是降低不确定的经营结果风险识别和评估的思路2019/8/30为了有效地控制风险则需要对风险进行评估•一个企业都面对各种不同的内部和外部的风险,必须对这些风险进行识别和评估•风险识别和评估就是确定和分析企业实现其目标的过程中的相关风险•风险识别和评估的一个前提条件就是已确立目标,这些目标在各个层次上相互关联并且在内部是一致的•由于经济、行业、政策法规和经营条件持续地变化,因此需要建立机制以及时确定和处理与这些变化相关的特定风险风险识别的思路2019/8/30哪些风险?企业该做什么?企业做了什么?剩余风险?原有风险的变化和新的风险对早期设计的内部控制系统施加压力….2019/8/3014在这个充满风险的世界里,企业该做些什么遵守和控制过程企业组织的变化内部因素外部因素降低成本的要求工艺流程的改进和变化市场竞争执法者观点的改变新的技术企业风险识别15风险策略避免禁止交易减少或限制交易量离开市场转移套期保险策略性联盟其他分担风险的安排小心管理投资广泛保护的安排订价反映风险程度可接受自我保险预留储备增加监督风险处理策略影响程度大小可能性转移避免小心管理可接受高低2019/8/30163《企业内部控制基本规范》2019/8/3017我国内部控制的发展与国际比较•美国o内部控制理念方法的示范和内部控制立法分别由COSO报告和萨班斯法案来实现。•COSO报告传达的信息代表了内部控制的理念和方法,对企业内部控制实务起示范作用,但本身并不具备强制效力。•萨班斯法案则代表立法。•我国的情况o从我国的国情和内部控制发展的历程看,我国往往采用内部控制框架与立法两者合一的方式。2019/8/30182008年6月28日,财政部、证监会、审计署、银监会、保监会五部委联合发布。监督检查:政府相关监管部门,对企业建立与实施内部控制的情况进行监督检查。外审要求:具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计,出具审计报告责任主体:董事会。具体措施:内部控制的建立健全和有效实施;定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告对上市公司要求:应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告。我国的《企业内部控制基本规范》•财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》•2010年4月,颁布《配套指引》•2011年1月1日,境内外上市公司执行•2012年1月1日,上交所、深交所主板上市的公司执行2019/8/30202019/8/3021整合风险管理框架:基本理念风险组合观点管理层考虑单个风险如何相互关联;管理层从业务单元层面和实体层面决定风险组合。COSO框架框架的本质建议一个共同的语言,为企业风险管理提供清晰的方向和指南。四个目标类别战略目标经营目标报告目标合规目标考虑组织的所有层面企业层面部门和分公司业务单元层面原则企业建立与实施内部控制,应当遵循下列原则:•(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。•(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。•(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。•(四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。•(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。2019/8/3022要素•企业建立与实施有效的内部控制,应当包括下列要素:•(一)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。•(二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。•(三)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。•(四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。•(五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。2019/8/30232019/8/3024控制环境风险评估控制活动信息和沟通监控单位1单位2单位3单位4传达管理理念-责任-义务-职权-人力资源-员工发展设定管理基调-诚信-道德观念-能力要素1:控制环境控制要素控制类别内部环境通常发现的问题1.治理结构不完善,不能对管理层进行独立有效的监督与控制2.风险控制意识薄弱3.公司组织架构与公司规模、业务不匹配4.没有一套严格、统一的授权体系5.财务及信息系统管理分散6.没有明晰的企业文化7.没有岗位说明书以及合理的员工绩效考核办法2019/8/3026控制环境风险评估控制活动信息和沟通监控单位1单位2单位3单位4管理/控制变化确定并分析对实现企业目标有影响的风险要素2:风险评估控制要素控制类别风险评估通常发现的问题•缺乏企业整体目标,包括战略目标的确定与更新•下属机构与总部目标不一致,导致对风险识别的不一致•缺乏风险识别与预警机制以及对新市场、新产品/服务的风险评估•缺乏机制来进行定期系统的风险评估内部环境风险评估控制活动信息与沟通内部监督2019/8/3028控制环境风险评估控制活动信息和沟通监控单位1单位2单位3单位4管理层发展方针贯彻的程序-直接的职能或活动管理-物质的控制-职权的分离要素3:控制活动控制要素控制类别实现目标的管理机制控制活动通常发现的问题•缺乏全面预算管理•缺乏有效项目管理•缺乏有效的IT控制•着重预防型控制而忽略检查型控制•缺乏对控制的文档记录内部环境风险评估控制活动信息与沟通内部监督2019/8/3030控制环境风险评估控制活动信息和沟通监控单位1单位2单位3单位4要素4:信息和沟通控制要素控制类别经营和财务信息的准确性和及时性获取内部和外部的信息组织的沟通信息与沟通通常发现的问题•信息系统无法满足财务、业务需要、向管理层及时提供正确相关的信息•信息系统的设计与公司战略不一致•公司上传下达不力•部门或地区之间沟通不力内部环境风险评估控制活动信息与沟通内部监督2019/8/3032控制环境风险评估控制活动信息和沟通监控单位1单位2单位3单位4要素5:监控控制要素控制类别连续性的行动和一次性的活动反映严重问题的系统监控系统的评价内部监督通常发现的问题•缺乏对内部控制的定期评估•内审部门没有独立性,不能有效进行监督工作•内审工作范围与计划不合理•内部控制缺陷不能及时得到纠正内部环境风险评估控制活动信息与沟通内部监督2019/8/3034控制监督风险控制目标设定信息和沟通风险评估风险应对信息和沟通信息和沟通企业风险管理内部控制规范及指引的主要内容与合规性要求o内部控制基本规范o内部控制指引-企业内部控制应用指引(已发布18号)、企业内部控制评价指引、企业内部控制审计指引o重要的合规性要求2019/8/3035内部环境类指引•组织架构•发展战略•人力资源•社会责任•企业文化2019/8/3036控制活动类指引•资金活动•采购业务•资产管理•销售业务•工程项目•研究与开发•担保业务•业务外包•财务报告2019/8/3037控制手段类指引•全面预算•合同管理•内部信息传递•信息系统2019/8/30382019/8/3039企业内部控制应用指引第1号——组织架构•第一章总则•第二章组织架构的设计•第三章组织架构的运行股东大会董事会经理监事会公司职工(工会)选举选举聘任选举监督监督党组织信息不对称多层次的委托代理问题机会主义2019/8/3041中国公司法和治理准则构建的公司治理结构股东大会股东董事会战略审计提名薪酬与考核监事会经理人员证监会报告产生监督2019/8/3042中国公司法对公司机关权力构架的设计股东大会董事会经理(高级职员)监事会股东大会是公司的权力机构。董事长是公司的法定代表人。公司职工(工会)选举选举聘任选举监督监督负责负责党组织2019/8/3043企业内部控制应用指引第2号——发展战略•第一章总则(应对关注的风险)•第二章发展战略的制定•第三章发展战略的实施从财务角度审视企业的战略与风险•净资产收益率(所有者权益报酬率)•总资产收益率净资产回报率总资产周转率现金量应收款周期库存周转率固定资产周转率资产负债表的数据毛利率(折旧与税前的利润)收入税率损益表的数据净利润率应付款帐龄负债资产比率流动资产负债比率流动现金负债比率财务杠杆系数企业靠什么挣钱—杜邦财务分析体系净资产收益率=销售净利率×总资产周转率×权益乘数(赚得多)(转得快)(借的多)杜邦分析体系净资产收益率13.08%资产净利率0.99%权益乘数13.18销售净利率31.12%资产周转率0.031÷(1-资产负债率)1÷(1-92.41%)银行净资产收益率12%资产净利率5.04%权益乘数2.48销售净利率2.71%资产周转率1.861÷(1-资产负债率)1/(1-59.60%)超市净资产收益率35%资产净利率28%权益乘数1.25销售净利率41%资产周转