搜索
内部控制与企业风险管理框架前言企业风险管理的内在前提是每一个企业存在的意义就在于为其股东提供价值。所有的企业都面临着不确定性,而管理者面临的挑战就是如何确定在为股东创造价值的同时,能接受多大程度的不确定性。不确定性同时意味着风险和机会,提升或销蚀股东价值。企业风险管理会使得管理者有效地应对不确定性和与之相连的风险和机会,提升创造价值的能力。企业风险管理包括:匹配风险喜好和战略-管理者在评估战略选择,设定相关目标和建立管理风险的机制时应考虑企业的风险喜好提升风险应对决策–风险管理提供了识别并选择风险应对的therigor–避免风险、降低风险、分担风险和接受风险降低运营的突发性和损失–企业不断提升识别潜在事件并建立反应的能力,降低突发事件和与之相连的成本和损失识别并管理企业全方位的风险–每一个企业都面对影响其不同部分的大量的风险。企业风险管理便在于对其相关联的影响作出有效的反应,并且是对多种风险作出的综合反应。抓住机会–对潜在事件作出全面考虑,管理者便能识别并积极地实现机会。改善资本配置–获得动态的风险信息使得管理者有效地评价全面的资本需要并提升资本的利用效率。企业风险管理会帮助企业达到获利目标并防止资源的损失。企业风险管理能够保证对外报告的有效性,并符合法律和制度的要求。一句话,风险管理能够帮助企业取得既定的目标而不至于陷入失败。企业风险管理定义企业风险管理是一个流程。这个流程受企业的董事会,管理层和其他人员的影响,并应用于企业战略之制定和企业的全部方面。设计这个流程是为了识别潜在影响企业的事件,将风险管理在企业的喜好范围之内,并对企业目标的取得提供一个合理的保证。企业目标的取得企业在建立愿景的前提下,管理者建立战略目标,选择战略,并建立与之相匹配的目标。企业风险管理框架的旨在取得企业的目标。这些目标分成4类:战略的目标-高层目标,与愿景相匹配经营的目标-有效利用资源报告的目标-报告的可靠性合规性-符合法规的要求企业风险管理的要素企业风险管理包括8个相互关联的要素属。这8个要素是:•内部环境–内部环境包含了一个组织的调子并决定了该组织的人如何看待风险和应对风险,包括风险管理哲学和风险喜好,品行和价值观,以及该组织的经营环境•目标设定-目标应该存在于在管理者能够识别潜在事件影响其实现前。企业风险管理应保证管理者设置一个流程来设定目标并且选择的目标应支持并和企业的宗旨相匹配,也与企业的风险喜好相匹配•事件识别–应识别影响企业目标实现的内部和外部事件,区分风险和机会。机会应与管理者的战略和目标制定流程相贯通•风险管理–分析风险,考虑其发生的可能性和影响,以此为基础确定如何管理这些风险•风险应对–管理者选择风险应对–避免风险、降低风险、分担风险和接受风险-采取一系列行动以匹配企业的风险容忍度和风险喜好•控制活动–建立政策和程序并贯彻之,以保证风险的应对能够有效地贯彻•信息和沟通–要求了解、捕捉相关的外部和内部信息,并使得这些信息能在组织中及时的处理和传递。使职员明白自己的职责。信息在组织中的传递应该是上下流动,平行传递的•监控–风险管理的全部方面都需要监控并在需要时作出修正。监控应该定期通过对经营的实时监控和单独的评估进行。监控活动的范围和频率取决于被控风险的重要性和控制能够降低风险的程度。监控应该成为一个组织中正式的、常规的活动。发现缺陷应上报,并采取正确的行动进行改进目标和要素的关系企业目标和风险管理要素之间存在一个直接的关系。这个关系可以用一个三维的、立方体的形式加以说明。[insertacube]效果确定一个企业的风险管理是否有效取决于一个判断,该判断来自于上述的8个要素是否存在并有效地发挥功能。这些要素对风险管理而言十分关键。这些要素存在并发挥作用,应该不存在重要的弱点,风险也能控制在企业的喜好范围之内。限制企业风险管理存在有局限性。局限性在于决策需要人的判断,而人的判断会产生错误。对风险的应对措施要考虑成本与收益。系统会因为人的错误而失效。控制会因为人的串谋而失效。管理者有能力凌驾于控制之上。内部控制内部控制是企业风险管理的内在组成部分。美国反欺骗性财务报告委员会(COSO)的定义:内部控制是一个靠组织的董事会、管理层和其他员工去实现的过程,实现这一过程是为了合理的保证:•经营的效果性和效率性;•财务报告的可信性;•对法律和规章制度的遵循性1985年,由美国注册会计师协会(AICPA)、内部审计师协会(IIA)、财务经理协会(FEI)、美国会计协会(AAA)、和管理会计师协会(IMA)等5家机构共同赞助成立了美国反欺骗财务报告委员会(theCommitteeofSponsoringOrganizationoftheTreadwayCommission,COSO)。COSO旨在研究舞弊性财务报告产生的原因及其相关领域,其中包括内部控制不健全的问题。1992年,COSO提出了《内部控制整体架构》(InternalControl-IntegratedFramework)报告,并在1994年进行了增补,这就是现代通称的COSO模型。目前,COSO模型已被大多数上市公司和会计师事务所选用,作为内部控制评价和进行内部控制审计的基础,来满足萨班斯-奥克斯利法案的要求。监督信息与沟通控制活动风险评估控制环境事业部1事业部2业务活动1业务活动2控控制制环环境境业务活动1业务活动2事业部2事业部1营运效率与效果财务数据的可靠性对法令和合约承诺之遵循风风险险评评估估控控制制活活动动信信息息与与沟沟通通监监督督COSO模型—内部控制5要素控制环境•控制环境-是一个组织的控制意识;它是人们执行经营活动并完成其控制责任的环境。•控制环境包括有形和无形部分:–正直和伦理价值–职能的承诺–董事会和审计委员会–管理层和组织结构–管理哲学和经营方式–权利和责任的分配–人力资源政策和实施•一个有效的控制环境存在于职员明确他们的责任、权利并承诺合理地执行。•管理层对一个组织的控制环境的影响是通过建立执行标准和有效地沟通已制定的原则程序,道德标准,和行为标准----“高层态度”来体现的。风险评估-是对企业经营风险的识别和分析。•风险评估的前提条件是经营目标的设定:–目标的类型–目标的重叠–目标的衔接–目标的完成控制活动–是帮助企业及时有效地控制风险的政策和程序。•控制活动应该深入到经营过程中并且把风险控制在合理的水平。•控制活动的三个主要功能:预防、识别和纠正。•信息系统控制–对不合理行为及时采取有效措施–维持有效的信息沟通系统和一贯性的管理政策信息与沟通–要求了解、捕捉相关的外部和内部信息,并使得这些信息能在组织中及时的处理和传递。•正式与非正式的信息沟通渠道–口头交流(如:会议或反馈)–书面沟通(如:政策、程序或工作职责)–行动证实(如:树立榜样)•信息的质量和完整性是进行商业决策必不可少的保障–内部控制系统提供合理的保证,使信息可靠、及时、准确并易于理解。•管理层责任–使职员明白自己的职责–信息在组织中的传递应该是上下流动,平行传递的–保持一个开放的与客户、供应商及其他外部关系联系的沟通渠道监控-为了确定内部控制的设计是否充分,是否得到有效执行并且适用。•内部控制的执行应该定期通过对经营的实时监控和分阶段的评估进行。•监控活动的范围和频率取决于被控风险的重要性和控制能够降低风险的程度。•监控应该成为一个组织中正式的、常规的活动。•发现缺陷应上报,并采取正确的行动进行改进。我们能帮助企业做什么?•帮助企业构筑风险管理体系。针对企业战略目标和所处的环境,构筑适合企业的经济有效的风险管理框架。包括风险管理组织机构的建立,风险管理框架的建立等。••帮助企业建立风险评估体系、模型和工具。帮助企业建立风险应对机制及相应的业务流程支持。••建立风险体系的监控机制,确保企业风险管理体系能够适应企业的变化和发展,持续改进并发挥效用。附件:企业风险管理的分析工具企业风险的类别分析有多种企业风险类别的划分标准和分析。我们将企业的风险作如下划分:战略风险环境风险1.自然和人为灾害2.政治/国家3.法规4.产业5.竞争者6.资本市场组织风险1.公司战略和目标计划资源分配监控购并合资和联盟2.领导层愿景判断继任计划高层态度3.管理层受托可追溯授权责任4.公司治理伦理道德名声价值舞弊和违法行为5.投资者和债权人关系6.人力资源绩效考评福利工作地点环境经营风险1.劳动力雇用知识和技能发展和培训规模安全2.供应商外包采购实践供应商供货的可靠性、价格和质量3.厂房生产能力技术/过期失效4.保护厂房和其他有形资产知识和产权5.产品和服务开发质量定价成本发货客户保护技术/过期失效6.客户需求满意度信用7.合规性要求雇用产品和服务环境财务风险1.资本/融资可能性利率信用度1.投资手头现金证券应收账款存货衍生工具3.合规性要求证券法税收法规信息风险1.信息系统可靠性足够性保护技术2.战略信息衡量的相关性和可靠性可用性假定2.经营信息衡量的相关性和可靠性可用性报告合规3.财务信息衡量的相关性和可靠性会计核算预算税务财务报告对外报告合规分险分析的方式Source:BusinessRiskAssessment.1998–TheInstituteofInternalAuditors控制分担或转移分散和避免风险管理流程层面活动层面单位层面风险监控识别衡量排序风险评估分险分析风险管理对策分析方法“影响”对“发生的可能性”控制分担降低和控制接受高度风险中度风险中度风险低风险低高高影想发生的可能性