中国企业内部控制与风险管理思考与实践(ppt 39)(1)

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,中国企业内部控制与风险管理思考与实践,内部控制与风险管理的一般性问题,中国企业内部控制与风险管理特性问题,以内部控制建设为基础的风险管理要点,案例分析,目录,一、企业风险的定义,未来的不确定性对企业实现其经营目标的影响,市场经济的活力来自于不确定性，来自于风险。风险既可能带来损失，也可能带来机会和收益。风险会使企业盈或亏，成功或失败,这需要看企业管理风险的能力。,风险既取决于客观环境、内外资源约束，也取决于企业的战略选择和组织结构安排,风险意识是企业家的第一素质。,“,企业家是一个经营冒险事业的组织者，是组织、拥有、管理并承担这一事业全部风险的人。,”,（经济学家韦伯斯特）,风险管理是通过针对一系列不同层面风险的管理控制活动，将不确定性对公司发展的影响降低到最低程度。,可能的实际行为,目标行为,情景分布,时间,经营指标,0,T,二、内部控制定义,运营,财务报告,合规,业务活动,2,业务单元,A,业务单元,B,业务活动,1,战略,内部环境,事项识别,风险评估,信息与沟通,风险应对,目标设定,持续监控,控制活动,新增加的元素,内部控制标准框架,内部控制是风险管理不可分割的一部分，是风险管理的基础工作。,COSO,内部控制整合框架,：内部控制是由一个主体的董事会、管理当局和其他人员实施的，旨在针对实现以下类型的目标提供合理保证的一个过程：经营的有效性和效率；财务报告的可靠性；符合适用的法律和法规。,COSO,把此整合框架归纳为五要素，即控制环境、风险评估、控制活动、信息与沟通、监督等。,2004,年,9,月,COSO,又提出了,企业风险管理综合框架,，涵盖了内部控制整体框架的内容，在内控五要素基础上增加了目标设定、事项识别、风险应对，成为八大要素，同时增加了战略目标。,三、在人类历史的发展过程中，为了适应社会经济的发展，内部控制实践经历了不同的阶段,1905,1936,1997,1988,1949,1958,2005,大,小,早期,内控的范围和影响,1.,内部牵制阶段,：,保护现金和资产安全及账簿记录的准确性,3.,内部控制框架阶段,：,融入了控制环境及控制程序,4.,一体化控制阶段,：,形成,COSO,框架，增加了遵从性目标,内控活动可以追溯到人类社会发展早期，例如古罗马采取的“双人记帐制度”和我国西周时的周礼审计制度,趋势：全面风险管理,L.R.Dicksee,提出内部牵制概念，,AICPA,接受,AICPA,颁布,审计准则公告第,55,号,提出内部控制结构,AICPA,发布了,审计准则公告第,78,号,，全面接受,COSO,报告的内容,2.,内部控制阶段,：,增加了管理控制以提高经营效率,AICPA,首次提出内部控制的定义,每个阶段并不意味着对前一阶段的否定,而是在其基础上的提升,经济周期是人类本性所导致的必然结果。当经济好的时候，人们对未来过于乐观，盲目扩张,华尔街昨天和今天,四、控制因人性弱点而存在,利益驱动，使每个人都存在背离控制的动机。,是否背离，取决于得失利害的权衡。,如何控制，取决于成本,效益的平衡。,有控制就有背离,人性使然，有背离就有纠正,社会行为。控制是对谋求利益过程中人的行为的制衡。,业绩,安全,盈利,发生舞弊的公司,经常排序,企业发展排序,控制为实现目标提供合理保证，引导约束人的行为按既定方向前进,目标的实现过程受到未来的不确定性因素,(,风险,),的影响。,风险与目标如影随形，目标不同，伴随其实现过程的风险不同。,人对风险的好恶及应对策略影响其行为轨迹,甚至偏离既定目标。,就管理对完成既定目标而产生的重要风险而言，控制扮演着重要角色。,五、控制是为达到一定目标而设立,企业面临着诸多风险，不同的控制方法是为特定事项的相关风险而设置,公司对待风险和收益关系的态度,?,公司是否有足够的能力化解风险,?,管理者能否有效监控风险,?,资本投资方向正确吗,?,资本是否得到有效配置以提高回报率,风险与盈利的平衡,六、控制针对一定范围的特定事项,风险管理能力,盈利能力,内部控制需外部控制推动,外部控制通过内部控制发生作用。,外因是变化的条件，内因是变化的根据，外因通过内因而起作用。,毛泽东,变化程度,弱,强,文化控制,七、控制的类型,从控制主体看,外部控制他律,内部控制自律,从控制效力看,法律控制强制,行政控制弱强制,约定控制非强制,从控制方式看,组织控制结构性控制,流程控制状态性控制,制度控制功能性控制,内部控制的本质是自我调节，自我约束,八、企业内部控制的本质,企业内部控制的本质,以外部控制为条件,以特定目的为动因,以降低风险为基础,以成本与利益平衡为前提，是相对控制,以多种方式为手段，因人而异,九、国资委站在出资人角度,合规型内控,符合政策法规,国家政策法规（萨班斯）,证监会行业规则（,AS2,）,证券交易所守则（上交所）,管理型内控,提高经营效率,内控和风险管理融入日常经营中,降低不确定因素对目标实现的影响,提高执行力,全面风险管理,增加股东价值,风险管理融入战略和目标制定中,通过风险管理增加利润，,优化内部资源分配和投资决策,国资委,中央企业全面风险管理指引,的目标,内部控制向风险管理的演进，不但要解决“正确地做事”，还要解决“做正确的事”,企业管理,风险管理,内部控制,控制环境,风险评估,控制活动,信息沟通,持续监控,目标设定,风险应对,各项经营管理活动，如战略管理、人力资源管理、财务管理、资产管理（风险管理应贯穿其中）,内部审计,外部审计,事项识别,作为出资人，,国资委的全面风险指引,正确地拓展到全面风险管理,作为政府市场监管，,萨班斯,仅限于对企业财务报告方面的合规型内控,香港联交所的管治常规守则,虽已涉及了风险管理要求，但仍以合规为主,十、内控与审计、风险管理和企业管理的关系,十一、内部控制与企业管理的关系,国企的内控建设并不是另起炉灶，而是用先进的内控理念及方法、工具改造传统管理。,管理：计划、组织、控制、协调（指挥）、监督。从管理学来讲，控制是管理的一项重要职能，控制存在于管理之中，贯穿于管理过程始终。,当今内部控制已经超出了狭义的控制范畴，而是有一套完整的方法论，贯穿于经营管理的全过程，从计划到组织全过程体现出控制。,控制活动,，旨在用计划标准来衡量所取得的成果，并纠正发现的偏差，以保证计划目标的实现。,控制职能,，主要是把计划与决策连接起来，对工作进行测量，并把工作的信息资料反馈给决策层，供决策层了解原定计划的可行性程度，然后从实际出发，决定怎么办。,十二、内部控制与风险管理的关系,传统风险管理主要体现在危机处理上,现代风险管理要求是超前预控。,企业管理在风险问题上的三个层面划分,就防范企业所面临的全部风险达到既防止出错又创造效益的目标来说，内控只是风险管理的一个组成部分，使风险防范机制更可靠。,企业管理体系的控制有效性和可靠性常被称为内控体系的有效性和可靠性问题，则风险管理体系又只是内控体系的一个组成部分,安全,（风险底线）,生存的基本条件,发展的基本条件,可持续的条件,（风险控制）,平衡,创新,（争取创造机会）,十三、建立控制体系中独立的监控机制,保持独立性,才能保证监督的有效性。,风险管理体系是企业管理决策（包括战略决策和运营决策等一切方面）的一个重要组成部分，也是运营执行过程的一个重要组成部分。只要不融入经营管理流程，风险管理体系就难以发挥作用。,风险管理体系一旦融入管理体系，就有可能在一定程度上丧失对管理决策的制约作用。而这恰好是内控审计部门的用武之地。内控失败的案例都说明了在风险管理体系或内控体系中存在相对独立的监控机制的重要性。,内部控制与风险管理的一般性问题,中国企业内部控制与风险管理特性问题,以内部控制建设为基础的风险管理要点,案例分析,目录,一、中西方管理文化不同,A,B,甲,乙,“,二构成一,”,“,一内涵二,”,学习西方先进的文化成果，摈弃中国文化中的糟粕，找到适合本土文化的控制方法。,西方总是以个体的对立看事物，形成他们的“制衡思想”并发展为“经由谈判分出大小或是非，以便共同遵行的制衡行为”。,他们把判断是非的结果确定为公是公非，称为“标准化”，同时为符合同一标准，于是确定为制度，大家一体遵守制度，叫做“制度化”,对立固然存在，却也相辅相成，即对立又存在于统一，在管理上产生中国人“圆满重于是非”的人性化行为。中国人要求“把事情做好”而非止于“把事情做对”,中国的管理行为，乃在：一切求合理，形成管理上“不明确”的“分寸”，增加了管理的难度。,二、管理行为模式不同,把人与事的管理有机结合起来，建立以责任体系为基础，以行为规范为重点的风险管理模式,中国企业尤其是国有企业，是通过管人来管事，通过管住,“,乌纱帽,”,来管理事务，评估指标往往是结果，以成败论英雄；责任和制衡关系不明确，集体决策、集体负责。,美国自工业化以来，经过近,200,年的科学管理实践，标准化、规范化成为美国企业的管理基础，并形成一种管理化。美国的内部控制理论与实务,特别是萨班斯法案，正是根植于这一土壤。,我国尚处于工业化进程中，许多企业没有真正的经过标准化管理的历练，过多强调管理的艺术性，而忽视管理科学性，呈现人为化、随意性特征，西方式内控必然水土不服。,西方企业是通过流程来管事，以按规则把事情做对进行衡量，是一种过程控制。,管理行为模式不同,三、缺乏良好的控制环境,内部控制环境是内部控制是否有效的关键因素。,缺乏绩效考核对内部控制与风险管理的引导机制,法人治理结构不健全，内部控制的外部约束较弱,公司治理结构中责任不到位,缺乏良好的控制环境,高管层缺乏自主控制意识,没有形成重视风险的控制文化,四、缺乏内部控制方法论,内部控制的方法论应在行为管理学的理论基础上创新发展,缺乏内部控制方法论,缺乏理论指导，仅以最佳实践为参考，注重对事件本身的控制，而忽视对责任人的行为，尤其是高管层行为的控制,没有完善的行权、职责、反馈、改进规范,把内控看成一套制度，而不是过程，缺乏动态理念。,五、经验式管理,经验式,管理,对管理的有效性和制度的适当性缺乏评价标准,制度拟定部门从自身利益考虑，造成跨部门流程断裂或交叉,缺乏定期反馈和修正机制,缺乏系统的风险评估方法和工具,对重要的职责与权限划分有较大的随意性，重权力划分，轻责任归属,就风险管理而言，目前国企最缺乏的是制度化的风险评估以及科学的风险应对策略。,内部控制与风险管理的一般性问题,中国企业内部控制与风险管理特性问题,以内部控制建设为基础的风险管理要点,案例分析,目录,一、做好知识准备,内部控制是一套由董事会、管理层及其他人员来建立和执行，为实现企业目标提供合理保证的体系，通过它将实现：,经营效率或效果的提高,可靠的财务分析和报告,法律法规和制度的遵从,内部控制的概念,业务中的内控举例,业务中的情景,对应内控方面,定期汇总和分析公司财务信息,财务报告,及时性,准确性,投资决策,可行性,收益性,重点项目的投资决策,按照政策法规要求进行管理和汇报,合规经营,符合性,一、做好知识准备（续）,一个过程，而非结果，内部控制是一个动态过程，因为企业经营环境和风险是变化的；,由人来实施，是自上而下，人人参与，通过全员的言行来完成；,应用于战略制订，考虑与战略相关的风险；,贯穿于企业，在各个层级和单元应用于企业全部活动；,旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；,能够向一个主体的管理当局和董事会提供合理保证；,力求实现一个或多个不同类型，但相互交叉的目标它只是实现结果的一个手段，并非结果本身。,定义内涵,二、立足监管环境，满足企业要求,明确目的是企业内控建设成败的前提。,监管要求,:,萨班斯法案：,完全市场经济环境，成熟的投资者，重点监管财务信息，目的是保护资本市场秩序；解决航船遇险的真实