资源描述
第6章企业内部控制与风险管理,目录,1.内部控制,内部控制是企业为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。,实质,一种风险管理机制,目标,企业战略,经营的效率和结果,财务报告及管理信息的真实、可靠和完整,资产的安全完整,遵循国家法律法规和有关监管要求。,1.内部控制,控制环境风险评估过程信息系统与沟通控制活动对控制的监督,内部控制的构成要素:,1.内部控制,1.内部控制,控制环境主要包括以下要素:,对诚信和道德价值观念的沟通与落实对胜任能力的重视治理层的参与程度管理层的理念和经营风格组织结构职权与责任的分配人力资源政策与实务,1.内部控制,风险评估过程,风险评估是企业确认和分析与其目标实现相关风险的过程,它形成了如果管理风险的基础。,1.内部控制,信息系统与沟通,一个良好的信息与沟通系统可以使企业及时掌握营运状况和组织中发生的各种情况,可以及时地为企业的员工提供履行职责所需的各种信息,从而使企业的经营和管理顺畅地进行下去。,1.内部控制,控制活动,控制活动是指为了保证管理指令得到实施而制定并执行的控制政策和程序。企业必须制定控制政策和程序,并予以执行,以帮助管理阶层保证其控制目标的实现。,授权业绩评价信息处理实物控制职责分离,1.内部控制,对控制的监督:是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。,对控制的监督主要包括两个方面:,一是管理控制方法二是内部审计,1.内部控制,与审计相关的控制,审计师确定的重要性水平被审计单位的性质被审计单位的规模被审计单位经营的多样性和复杂性法律法规和监管要求作为内部控制组成部分的系统的性质和复杂性,1.内部控制,对内部控制了解的深度,评价控制的设计:审计师在了解内部控制时,应该评价控制的设计,并确定其是否得到执行。评价控制设计的风险评估程序1.询问被审计单位的人员2.观察特定控制的运用3.检查文件和报告4.追踪交易在财务报告信息系统中的处理过程,1.内部控制,内部控制的人工和自动化成分内部控制自动化成分的优势和风险因素内部控制人工成分的优势和风险因素,内部控制的局限性在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。,背景介绍:B公司是一家专业生产印刷机械的高新技术企业,其某型产品被国家认定为“国家重点创新产品”。近年来发展迅速,年销售额平均增长速度在110%,销售网点遍布全国,市场份额稳步增长。但是在规模扩张、快速发展的同时,企业也面临着许多问题:内部治理结构不完善,独断决策,缺乏制约与平衡;风险评估的固有模式弊端渐显,缺乏足够理性判断与风险决策能力,不能积极采取应对风险的措施;公司内部职责划分模糊,内部控制手段执行力差;信息系统标准不一,难以实现一体化控制,降低了沟通效率;公司一直以来是主要依靠高层个人的亲历亲为进行监督,个别评估居多而缺乏持续健全的监督机制,内部审计职能弱化,也没有采用定期聘请外部检查人员评估的手段。尤其在过去的两年,由于外部环境激烈变化,经济形势复杂多变,材料价格大幅上升,企业未能采取积极措施而反应迟缓,导致公司经营面临危机。,1.内部控制,不难发现,如果内部控制体系没有和企业发展同步进行,不能适应进入价值经营阶段后公司成长的需要,制定有效的风险防范措施,及早建立内部控制体系,企业发展之路将风险重重。,1.内部控制,案例分析:基于现状,项目组在COSO报告框架的基础上,以企业内部控制基本规范为指引,对该企业进行内部诊断,发现并提出内部控制方面的问题,确定控制目标,最终从控制环境、控制活动、风险管理、沟通、监督等五个方面构建动态演进的B公司内部控制体系。,1.内部控制,步骤一:诊断:项目组首先对B公司的内控现状进行综合诊断,对其控制环境、控制活动、风险识别与监控、监督情形、信息与沟通等五方面进行评估,并根据各个要素不同的问题提出相应的结论;同时分析对B公司内部控制体系构建的影响,为内部控制体系的建立指明方向。步骤二:确定内部控制目标及原则。在企业管理诊断的基础上,B公司确立了内部控制建设目标:在B公司战略指引下,以COSO的内控体系框架为基础,建立持续满足国内相关法律法规要求、符合内部管理实际的内控体系,并有计划、有步骤的分成短期、中期、长期内控体系构建目标。在体系建立的同时贯彻成本效益原则、动态性原则、制衡原则、重要性原则及全员性原则。,1.内部控制,步骤三:以流程为手段,以制度为基础保障,明晰权责,适当授权,对核心流程上的风险点进行分析,控制关键环节,制定相应风险处置措施。由项目组进行组织,在各相关部门的参与和配合下,沿着预算管理、资金管理、资产管理、成本管理、采购与付款业务、生产业务、销售与收款业务七条主线,以流程化的方式分析各个业务类别的管控基础、关键控制点、所需的控制活动和监督方式,识别各控制环节的风险点,对风险点进行归类总结,明确控制要素、控制效果、控制部门,制定了相应的风险处置策略。同时,为保障风险处置措施有效实施,对各个关键业务绘制了流程手册,并相应建立制度作为流程实施的保障,以达到预防风险,提升内部管理的目的。,1.内部控制,步骤四:建设沟通平台,构建监督体系。打破各产品部门分散分割的现状,统一信息接口与标准,建立各部门共同参与的信息平台。以制度形式规定了沟通的形式、频率、内容;在完善业务流程体系的基础上,优化制度建设,提高作为信息重要载体的制度文件的有效性;加强和改善现有的纪检审计队伍建设,适度引进外部监督力量参与B公司的内控体系建设,1.内部控制,步骤五:持续优化和改进。内控体系建设是一个动态的持续的过程,必须建立相应的持续更新机制。项目组确立了内控体系持续改进的主导部门,明晰了相关部门在持续更新中的职责;制定了制度评估工具、流程评估工具等控制活动评估工具,定期对内控活动进行评估,依据评估结果进行内控体系改进,达到持续优化改进的目标。,1.内部控制,效果:B公司通过建立内部控制体系,实现了管理的专业化和科学化,增强了企业防范风险的能力,保证了各项资产的安全和完整,提高了环境适应能力和核心竞争能力,为企业经营方针和战略目标的实现提供了有力保障。,1.内部控制,第六章企业内部控制与风险管理6.2企业风险管理6.2.1企业风险管理的内涵6.2.2企业风险管理的内容第四组崔晰楚,企业风险,风险是损失的可能性(美,海恩斯)风险是一种客观存在,其发生具有不确定性(美,威特利)风险发生是可能的,风险发生后会造成不利的后果,风险发生的可能性及其后果的严重程度都与其发生的条件相关;一个特定的时间内和一定的环境条件下,人们所期望的目标与实际结果之间的差异程度;风险是指实际结果与预期结果相背离,从而产生损失的一种不确定性。企业风险是指由于企业内外环境的不确定性、生产经营活动的复杂性和企业能力的有限性而导致企业的实际收益达不到预期收益,甚至导致企业生产经营活动失败的可能性。,风险管理的起源,风险管理最早起源于美国,在20世纪30年代,由于受到1929一1933年的世界性经济危机的影响,美国约有40%左右的银行和企业破产,经济倒退了约20年。美国企业为应对经营上的危机,许多大中型企业都在内部设立了保险管理部门,负责安排企业的各种保险项目。可见,当时的风险管理主要依赖保险手段。1938年以后,美国企业对风险管理开始采用科学的方法,并逐步积累了丰富的经验。1950年代风险管理发展成为一门学科,风险管理一词才形成。1970年代以后逐渐掀起了全球性的风险管理运动,随着企业面临的风险复杂多样和风险费用的增加,法国从美国引进了风险管理并在法国国内传播开来。与法国同时,日本也开始了风险管理研究。,风险管理概念,ERM(EnterpriseRiskManagement,企业风险管理)是对企业内可能产生的各种风险进行识别、衡量、分析、评价,并适时采取及时有效的方法进行防范和控制,用最经济合理的方法来综合处理风险,以实现最大安全保障的一种科学管理方法。通过对风险识别、度量和控制,以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法。其本质在于尽可能扩大我们对结果的控制把握,并期望因此能锁定企业成本和收益,确保在各种不同条件下都能获取相对稳定的利润。企业风险管理是一套由企业董事会与管理层共同设立和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平,从而帮助企业达至它的目标。(美国内控研究委员会),企业风险管理的必要性,案例一:英国巴林银行(BaringsBank),巴林银行在90年代前是英国最大的银行之一,有超过200年的历史1992-1994年期间,巴林银行新加坡分行的总经理里森(NickLesson),从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动,累积亏损超过10亿美元,导致巴林银行于1995年2月破产调查发现:巴林银行的高层对里森所从事的业务并不了解巴林缺乏职责划分的机制巴林银行的高层对财务报告不重视,案例二:日本八百伴(Yohan),在90年代,八百伴是日本最大的百货公司之一1997年9月,八百伴宣布破产,向法院申请“公司更生法”保护,当时八百伴的负债额达1,613亿日元,是日本战后最大的一宗企业破产案调查发现:八百伴低估经营非核心业务的风险八百伴低估扩张业务的风险八百伴低估了开发新兴市场的风险,有效地对各种风险进行管理有利于企业作出正确的决策、有利于保护企业资产的安全和完整、有利于实现企业的经营活动目标,对企业来说具有重要的意义。,6.2.1企业风险管理的内涵,(1)企业风险管理是一个过程,它持续地流动于主体之内(2)企业风险管理由组织中各个层级人员来实施(3)企业风险管理应用于战略制定(4)企业风险管理贯穿于企业,在各个层级和单元中应用,还包括采取主体层级的风险组合观,(5)企业风险管理旨在识别一旦发生将会影响主体的潜在事项,并把风险管理控制在风险容量以内(6)企业风险管理能够向管理层和董事会提供合理保证(7)企业风险管理力求实现一个或多个不同类型但相互交叉的目标它只是实现结果的一种手段,并不是结果本身,目标,战略(strategic)目标高层次目标,与使命相关联并支撑其使命;经营(operations)目标有效和高效率地利用其资源;报告(reporting)目标报告的可靠性;合规(compliance)目标符合适用的法律和法规。,风险管理的基本程序,风险识别风险识别是风险管理的第一步,它是指对企业家庭或个人面临的和潜在的风险加以判断、归类和对风险性质进行鉴定的过程。即对尚未发生的、潜在的和客观存在的各种风险,系统地连续地进行识别和归类,并分析产生风险事故的原因。风险识别主要包括感知风险和分析风险两方面内容。风险估测风险估测是在风险识别的基础上,通过对所收集的大量资料进行分,利用概率统计理论,估计和预测风险发生的概率和损失程度。风险估测有仅使风险管理建立在科学的基础上,而且使风险分析定量化,为风险管理者进行风险决策、选择最佳管理技术提供了科学依据。,风险评价风险评价是指在风险识别和风险估测的基础上,对风险发生的概率、损失程度,结合其他因素进行全面考虑,评估发生风险的可能性及其危害程度,并与公认的安全指标相比较,以衡量风险的程度,并决定是否需要采取相应的措施。处理风险,需要一定费用,费用与风险损失之间的比例关系直接影响风险管理的效益。通过对风险的定性、定量分析和比较处理风险所支出的费用,来确定风险是否需要处理和处理程度,以判定为处理风险所支出的费用是否有效益。选择风险管理技术根据风险评价结果,为实现风险管理目标,选择最佳风险管理技术是风险管理中最为重要的环节。风险管理技术分为控制型和财务型两类。,评估风险管理效果评估风险管理的效果是指对风险管理技术适用性及收益性情况的分析、检查、修正和评估。风险管理效益的大小,取是否能以最小风险成本取得最大安全保障,同时,在实务中还要考虑风险管理与整体管理目标是否一致,是否具有具体实施的可行性、可操作性和有效性。风险处理对策是否最佳,可通过评估风险管理的效益来判断。,6.2.2企业风险管理的内容,(1)协调风险容量与战略(2)增进风险应对决策(3)减少经营意外和损失(4)识别和管理贯穿于企业的风险(5)提供对多重风险的整体应对策略(6)抓住机会(7)改善资本调配,企业风险管理的方法,(1)投资风险投资风险是指因投资不当造成投产企业经营的效益不好,投资资本下跌。企业对此应采取:在项目投资前,一定要各职能部门和项目评审组一起进行严格的、科学的审查和论证,不能盲目运作。对外资项目更不能作风险承诺,也不能作差额担保和许诺固定回报率。(2)经济合同风险经济合同风险是指企业在履行经济合同过程中,对方违反合同规定或遇到不可抗力影响,造成本企业的经济损失。因此,企业在进行经营和产品合同签订后的履约及赔偿责任问题。合同签订后还应密切注视其执行情况,要有远见地处理随时发生的变化。(3)产品市场风险产品市场风险是指因市场变化、产品滞销等原因导致跌价或不能及时卖出自己的产品。产生市场风险的原因有三个:a.市场销售不景气;b.商品更新换代快,新产品不能及时投放市场;c.国外进口产品挤占国内市场。,(4)存货风险存货风险是指因价格变动或过时、自然损耗等损失引起存货价值减少。这时企业应马上清理存货,生产时要控制投入、控制采购、按时产出,加强保管。有些观念保守的企业担心存货贬值,怕影响当前效益,长期不处理,结果造成产品积压,损失越来越大。(5)债务风险债务风险是指企业举债不当或举债后资金使用不当致使企业遭受损失。为了避免企业资产负债,企业应控制负债比率。许多企业因股东投资强度不够,便以举债扩大生产经营或盲目扩大征税,结果提高资产负债率,造成资金周转不灵,还会影响正常地还本付息。最有可能导致企业资不抵债而破产。(6)担保风险担保风险是指为其他企业的贷款提供担保,最后因其他企业无力还款而代其偿还债务。企业应谨慎办理担保业务,严格审批手续,一定要完善反担保手续以避免不必要的损失。(7)汇率风险汇率风险是指企业在经营进出口及其他对外经济活动时,因本国与外国汇率变动,使企业在兑换过程中遭受的损失。企业平时就要随时注意其外币债务。密切注视各种货币的汇率变化,以便采取相应措施。特别是在银行有外币贷款的企业更应如此。,KeynoteSpeaker2014.2.24,6.2.3企业风险管理的构成要素,6.2.3企业风险管理的构成要素,1、内部环境内部环境为主体中的人们如何看待风险和着手控制确立了基础。所有企业的核心都是人他们的个人品性,包括诚信、道德价值观和胜任能力以及经营所处的环境。风险管理观念一个主体的风险管理理念是一整套共同的信念和态度,它决定着该主体做任何事情时应当如何考虑风险。风险容量一个主体在追求价值的过程中所愿意承担的广泛意义上的风险数量,它反映了企业风险管理理念,进而影响主体的文化和经营风格。,6.2.3企业风险管理的构成要素,(3)董事会一个主体的董事会是内部环境的关键部分,它对内部环境的要素有着重大影响。董事会对于管理层的独立性、其成员的经验、才干、对活动参与和审查的程度及其行为的适当程度都起着重要作用。(4)诚信和道德观诚信和道德价值观是一个主体内部环境的关键要素,它影响着企业风险管理其他构成要素的设计、管理和监控。主体良好运行是建立在偏好、价值判断和管理风格的基础之上,管理层的诚信和对道德观的承诺影响这些转化为行为准则的偏好和判断。(5)胜任能力的承诺胜任能力反映实现规定任务所需要的知识和技能,管理层应明确特定岗位的胜任能力水平,并把这些水平转换成所需的知识和技能。,6.2.3企业风险管理的构成要素,(6)组织结构一个主体的组织结构提供了计划、执行、控制和监督其活动的框架。相关的组织结构包括确定权力与责任的关键区域,以及确立恰当的报告途径。(7)权力和责任的分配涉及到个人和团队被授权以及限权。包括确立报告管理和授权规则,以及描述恰当经营活动政策,关键人员的知识和经验和为履行职责而赋予的资源。(8)人力资源政策包括雇佣、定位、培训、晋升、付酬和采取补偿措施在内的人力资源业务向员工传达着有关诚信、道德行为和胜任能力等期望水平方面的信息。,6.2.3企业风险管理的构成要素,2、目标设定必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。(1)战略目标高层次目标,与主体使命与愿景相协调,反映了管理层就主体如何努力为它的利益相关者创造价值所作出的选择,在备选方案中考虑与战略选择相关的一系列风险,并确定其影响。,6.2.3企业风险管理的构成要素,(2)相关目标与制定支持选定战略相协调的分目标。经营目标经营目标关系到主体经营的有效性和效率。反映了主体运作所处的特定行业、经济环境,管理层要确保这些目标反映现实和市场需求。报告目标与财务报告可靠性相关,可靠的报告为管理层提供适合其既定目的的准确而完整的信息,它支持管理层决策和对主体活动和业绩的监控。合规目标主体从事活动必须符合相关法律和法规,通常还必须采取具体措施。适用的法律和法规确定了最低的行为准则,主体将其纳入合规目标之中。,6.2.3企业风险管理的构成要素,(3)目标的实现报告和合规目标的实现更多的是在主体控制范围之内。有效的企业风险管理为主体报告目标的实现提供合理保证。(4)选定的目标管理层应当制定程序来使战略目标与主体的使命相协调,并且确保所选择的战略和相关的目标与主体的风险容量相一致。(5)风险容量管理层在董事会的监督下所确定的风险容量是战略制定的指向标。(6)风险容限相对于目标的实现所能接受的偏离程度。在风险容限之内经营能够就主体保持在它的风险容量之内向管理层提供更大的保证,进而就主体将会实现其目标提供更高程度的信心。,6.2.3企业风险管理的构成要素,3、事项识别必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。(1)事项影响战略实施或目标实现的从内部或外部所发生的的事件或事故。(2)影响因素许多外部和内部因素驱动着影响战略实施和目标实现的事项。,6.2.3企业风险管理的构成要素,外部因素:与经济有关的因素:类似包括价格变动、资本的可获得性,或者竞争准入的低障碍等等。政治因素:类似包括采用新的政治议程、政府官员选举,更高更低的税收等等。社会因素:类似包括人口统计、社会习俗、家庭结构、恐怖活动等等。技术因素:类似包括电子商务的新方式,以及对以技术为基础的服务的需求增加等等。,6.2.3企业风险管理的构成要素,内部因素基础设施:类似包括增加用于防护性维护和呼叫中心支持的基本配置,减少设备的停工待料期等等。人员:类似包括工作场所意外事件、欺诈事件、劳动合同到期等等。流程:类似包括没有适当变更管理条规的流程修改流程执行错误等等。技术:类似包括增加资源应对批量变动、违反保安措施以及潜在的系统停滞等等。(3)事项识别技术管理层应选择符合其风险管理理念的技术,并确保主体形成所需的事项识别能力以及拥有的支持工具。,6.2.3企业风险管理的构成要素,(4)事项的相互依赖性一个事项可能引发另一个事项,管理层应该明白事项彼此之间的关系。(5)事项的类别将潜在的事项归入不同类别,能更好地识别风险和机会,考虑工作的完整性。(6)区分风险与机会事项的发生代表了机会与风险,或者两者皆有,它需要管理层的评估和应对。4、风险评估通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。,6.2.3企业风险管理的构成要素,(1)风险评估背景外部和内部因素会发生什么事项以及事项将影响主体目标的程度。(2)固有风险和剩余风险固有风险是管理层在没有采取任何措施来改变风险的可能性或影响的情况下给企业带来的风险。剩余风险是管理层在风险应对之后所残余的风险。(3)评估可能性的影响潜在事项不不确定性可以从可能性和影响两个方面进行评价。可能性表示一个给定事项将会发生的概率,而影响则代表它的后果。(4)数据来源对风险的可能性和影响的估计值通常利用来自过去的可观察事项的数据来确定,它提供了一个比主观估计值更加客观的依据。,6.2.3企业风险管理的构成要素,(5)视角不同管理人员有不同的主观判断,会产生偏差,利用内部外部经验性数据能降低其影响。(6)评估技术包括定性和定量技术的结合。定量技术能带来更高的精确度,通常应用于更加复杂深奥的活动中。(7)事项之间的关系根据潜在事项的相关与否,不相关则分别评估,相关要综合评估。5、风险应对管理当局选择风险应对回避、承受、降低或者分担风险采取一系列行动以便把风险控制在主体的风险容限和风险容量以内。,6.2.3企业风险管理的构成要素,(1)风险应对的类型回避:退出会产生风险的活动。包括退出一条产品线、卖掉一个分部等等。降低:采取措施降低风险的可能性或影响,或者同时降低两者,几乎涉及各种日常经营决策。分担:通过转移来降低风险的可能性或影响,或者分担一部分风险,包括购买保险产品、从事保值交易或外包一项业务等等。承受:不采取任何措施去干预风险的可能性或影响。,6.2.3企业风险管理的构成要素,(2)评价可能的风险应对分析固有风险和评价应对策略的目的在于使剩余风险水平与主体的风险容限相协调。评价对风险可能性和影响作出反应的效果。在分析应对策略的过程中,管理层可以考虑过去的事项和趋势,以及潜在的未来情景。主体必须考虑备选风险应对方案的相关成本与效益。在考虑风险应对时也可以识别机会。(3)选择应对策略选择一个旨在使风险的可能性和影响处于风险容限之内的应对策略或者应对策略组合。,6.2.3企业风险管理的构成要素,(4)风险组合观企业风险管理要求从整个主体范围或者组合的角度去考虑风险。6、控制活动制订和执行政策与程序以帮助确保风险应对得以有效实施。(1)与风险应对相结合选定了风险应对之后,管理层就要确定用来帮助确保这些风险应对得以适当及时实施所需的控制活动。(2)控制活动的类型控制活动的类型有许多不同的表述,包括预防性的、侦察性的、人工的、计算机的以及管理控制等等。还可以根据特定控制目标来进行分类,如高层复核、实物控制、职责分离等等。,6.2.3企业风险管理的构成要素,(3)政策和程序控制活动一般包括两个要素即确定应该制定什么样的政策以及实现政策的程序。(4)对信息系统的控制出于对信息系统在经营企业和满足报告和合规目标方面的普遍依赖,需要对重要的系统进行控制。包括总体控制和应用控制。总体控制:包括对信息技术管理、信息技术基础结构、安全管理和软件获取等等。应用控制:直接关注数据获取和处理的完整性、准确性和有效性。包括计算机化的编辑检查等等。(5)企业的特殊性控制反映着一个主体经营所处的行业和环境以及它的组织的规模和复杂性,历史和文化等等。,6.2.3企业风险管理的构成要素,7、信息与沟通相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。(1)信息一个组织中的各个层级都需要信息,以便识别、评估和应对风险,以及从其他方面去经营主体和实现目标。战略和整合系统信息系统构造的设计和技术的取得是主体战略的重要方面,与技术有关的选择对于实现目标至关重要。与经营相结合信息系统与经营的诸多方面充分结合,能及时了解被截留信息,还原真实交易。,6.2.3企业风险管理的构成要素,信息的深度和及时性信息基础结构以与主体的需要相一致的时机和深度来获取信息。信息流动的及时性需要与主体的内部、外部环境的变动率相一致。信息质量随着对复杂信息系统和数据驱动的自动化决策系统和程序的依赖性与日俱增,数据的可靠性至关重要。信息的质量包括:内容是否恰当,信息是否及时、准确,是否易取得等等。(2)沟通沟通时信息系统中内生的,信息系统必须把信息提供给恰当的人员,以便他们能够履行其经营、报告和合规职责。内部沟通:管理层应提供具体的和定向的沟通以强调行为期望和员工的职责。,6.2.3企业风险管理的构成要素,外部沟通通过畅通的外部沟通渠道,客户和供应商能够提供有关产品或服务的设计与治理的十分重要信息。沟通的方式可以采取类似政策手册、备忘录、电子邮件、公告板通知等等。8、监控对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的监控活动、个别评价或者两者结合来完成。(1)持续的监控活动在正常的经营活动过程中,许多活动可以起到监控企业风险管理有效性的作用。包括差异分析、对来自不同渠道的信息比较等等。,6.2.3企业风险管理的构成要素,(2)个别评估采取一种新的思路直接关注企业的风险管理有效性可能很有用。范围和频率主要取决于风险的重大性以及风险应对和管理风险过程中相关控制的重要性。评估主体通常采取自我评估,负责一个特定单元的人员决定针对他们的活动的企业风险管理的有效性。评价过程利用固有的特定基础,把一套规范引入这个过程之中。评估方法可以使用一系列评价的方法和工具,包括核对清单、调查问卷和流程图技术等等。,6.2.3企业风险管理的构成要素,文档记录一个主体企业风险管理文档的范围因主体的规模、复杂性而异,适当的水平的文档通常可以使评估更具成效和效率。(3)报告缺陷一个主体企业风险管理的缺陷可能会从多个来源表现出来,包括主体的持续监控过程,个别评估和外部团体。信息来源其中之一是企业自身,来自于持续的监控活动。外部方面来源于客户、卖主、外部审计师等等。报告内容所有已经识别的影响一个主体制定和执行其战略以及设定和实现其目标能力企业风险管理缺陷,都必须报告给相关人员。机会也应报告。,6.2.3企业风险管理的构成要素,报告给谁在经营活动过程中产生的信息通常通过正常的渠道报告给直接上级。同时也还应该存在其他沟通渠道,以便报告类似非法或者不当行径等敏感信息。报告指引给适当的团体提供所需的有关企业风险管理缺陷的信息至关重要。企业应该制定规程,以便确定一个特定的层级为了有效地作出决策需要什么信息。,6.3企业内部控制与风险管理的关系,内部控制被涵盖在企业风险管理之内,是其不可分割的一部分。企业风险管理比内部控制更广泛,拓展和细化了内部控制以便形成一个更全面关注风险的概念提炼。,二者在以下方面存在差异:(1)目标内部控制明确了三类目标经营、财务报告和合规。企业风险管理明确了三个类似的目标类别经营、报告和合规。企业风险管理增加了另一类目标,即战略目标,它处于比其他目标更高的层次。企业风险管理框架引入了风险容量和风险容限的概念。,(2)组合观内部控制框架中没有预期到的一个概念是风险的组合观。企业风险管理提出了风险组合与整体风险管理(in-tegratedriskmanagement)的新观念。从企业层面上总体把握分散于企业各层次及各部门的风险暴露,以统筹考虑风险对策,防止分部门分散考虑与应对风险,并考虑到风险事件之间的交互影响。,(3)构成要素企业风险管理框架拓展了内部控制框架的风险评估要素,提出了四个构成要素:内部环境(它在内部控制中是先决条件)、事项识别、风险评估和风险应对。内部环境-主体的风险管理理念,价值观,文化,经营风格。事项识别-正面影响的潜在事项代表机会,负面则代表风险。风险评估-固有风险,剩余风险,关联风险,多重风险。风险应对-回避,降低,分担,承受。,(4)控制活动两个框架都引入了控制活动以确保管理层的风险应对得以实施。企业风险管理框架明确指出,在某些情况下控制活动本身也起到了风险应对的作用。(5)信息与沟通企业风险管理框架拓展了内部控制的信息与沟通要素,强调对来自过去,现在和潜在的未来事项的数据的关注。,两者的共同点在于:(1)它们都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点,指出各方在内部控制或风险管理中都有相应的角色与职责。(2)它们都明确是一个“过程”,不能当作某种静态的东西,如制度文件、技术模型等,也不是单独或额外的活动,如检查评估等,最好是内置于企业日常管理过程中,作为一种常规运行的机制来建设。,(3)内部控制或风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。从维护与促进价值创造这一根本功能来看,风险管理与企业内部控制的目标是一致的,只是在新的技术与市场条件下,为了更有效地保护投资者利益,需要在内部控制的基础上发展更主动、更全面的风险管理。,小结在实际的经营过程中,风险管理与内部控制是密不可分的。在企业内部的不同层次,风险管理与内部控制的主导性相对次序也可能不同。在战略风险方面,风险管理应该发挥主导作用,内部控制起到配合作用。尽管风险管理与内部控制有内在的联系,但现实中的或代表目前应用水平的内部控制与风险管理还有不少的差距。有时看上去风险管理与内部控制还是相互独立的两件事。因此,随着内部控制或风险管理的不断完善和变得更加全面,它们之间必然相互交叉、融合,直至统一。,END,Loremipsumdolorsitamet,consecteturadipisicingelit.,
展开阅读全文