企业风险管理的构建之成功要素

Click to edit Master title style,,Click to edit Master text styles,,Second level,,Third level,,Fourth level,,Fifth level,,*,*,*,,,企业全面风风险管理,讨论内容,企业风险,管,管理的必要性,,案例分析,,教训与启示,,,企业风险,管,管理框架,,股东对企,业,业风险管,理,理最关心,的,的四个问,题,题,,风险管理,框,框架：一个基础、三道防线,,构建风险管理的关键成功,要,要素,,,财务报告,系,系统的内部控制,,财务报告,系,系统的功能,,财务报告,系,系统的典型问题,,美国索克斯法,的,的主要规定及要求,,如何建立内控以满足索克斯法,的,的要求,1,,,第一部分,,企业风险管管理的必要要性,,2,,企业风险管管理的必要要性,案例分析,：,,安然公司,,世通公司,,巴林银行,,,回顾事件,发,发生的经过,,了解引致公司倒闭或严重损失的内控缺陷,,从案例中,吸取的教,训,训,,八百伴公司,,百富勤公司,,三家国有控股上市公,司,司,,3,,案例一：：美国安安然公司司 (Enron),在2002年,，,，安然,是,是美国,最,最大的,石,石油和,天,天然气,企,企业之,一,一,,2001年末,，,，安然宣,布,布第三,季,季度录得6.4亿美元的亏损，美国证监会对该公司进行调,查,查，发现该公司在1997以来虚,报,报利润5.8,亿,亿美元,,2001年末,，,，安然申,请,请破产,保,保护令，但,在,在之前10个,月,月内，公司却因股票价,格,格超越预期目,标,标而向董事及高级管,理,理人员,发,发放3.2,亿,亿美元的红利,4,,调查发现现：,,安然的董事会及审计委,员,员会均采取不干预(“hands-off”)监控政策,,事件发,生,生之后，部,分董事,表,表示不,太,太了解,安,安然的,财,财务状,况,况、期货及,期,期权的,业,业务,,安然重,视,视短期的业绩指,标,标,,安然管,理,理高层,常,常常藐,视,视或推翻公,司,司制定的内控制度,5,,案例二：：美国世世通公司司 (Worldcom),世通是美国第,二,二大的电信公,司,司,,2002年，,世,世通被发现利,用,用,把营运,性开支反,映,映,为资本,性开支等弄虚作,假,假的方法，多年来,虚报利,润,润,735,亿美元,,世通于2002年末申请破,产,产保护令，成为美,国,国历史上最大的破产个案,,世通的,四,四名主管(包括公,司,司的CEO和CFO)承认串谋讹诈，被联邦法,院,院刑事,起,起诉,6,,调查发现现：,,世通的董事会,持,持续赋,予,予公司的CEO(BernardEbbers)绝对的权力，让他,一,一人独揽大,权,权,,美国证监会,的,的调查报,告,告指出：世通完全没,有,有制衡机制,,世通的董事会,并,并没有负起监督管,理,理层的责任,,世通为公司的高级管,理,理层提供丰,厚,厚(不合理)的薪酬,和,和奖金,7,,案例三：：英国巴巴林银行行 (Barings Bank),巴林银,行,行在90年代前是英,国,国最大的银行之,一,一，有,超,超过200年,的,的历史,,1992-1994,年,年期间,，,，巴林,银,银行新加坡,分,分行,的,总经理,里,里森(Nick Lesson),，,，,从事,日本大,阪,阪及新加坡,交易所,之,之间的,日经指,数,数期货,套,套,期对冲,和,和债券,买,买卖活,动,动 ，,累,累积亏,损,损超过,10亿,美,美元，,导,导致巴,林,林银行,于,于1995年2月破,产,产,调查发现现：,,巴林银,行,行的高层对里森所从事的业务并,不,不了解,,巴林缺,乏,乏职责,划,划分的机制,,巴林银,行,行的高层对财务报,告,告不重视,8,,案例四：：日本八八百伴(Yohan),在90,年,年代,，,八百伴,是,是日本,最,最大的,百,百货公,司,司之一,,199,7,年9月,，,八百伴,宣,宣布破,产,产,，,向法院,申,申请,“,公司更,生,生法,”,保护,，,当时八,百,百伴的,负,负债额,达,达1,613,亿,亿日元,，,是日本,战,战后最,大,大的一,宗,宗企业,破,破产案,调查发现现：,,八百伴,低估,经营,非核心,业务,的,风险,,八百伴,低,低估,扩张业,务,务,的,风险,,八百伴,低估了,开,开发新,兴,兴市场,的,的风险,,9,,在,90,年代，百富勤,原,原是,亚洲除,日,日本外,的,的最大,投,投资银,行,行,,金融风,暴,暴冲击,下,下，,百富勤,在,在短短,一,一年内,出,出现入,不,不敷出,，,，至,1999年月1月宣,布,布破产,案例五：：香港百百富勤公公司(Peregrine),调查发现现：,,香港政,府,府在调,查,查百富,勤,勤的报,告,告中表,示,示，百富勤倒闭的,原,原因主,要,要是由,于,于缺乏,有,有效风,险,险管理,、,、内控,体,体制和,完,完善的,财,财会报告系统,,百富勤虽然,设,设立了信贷,委,委员会和风,险,险管理部门,，,，但却未能,制,制衡业务部,门,门强大的权,力,力,,百富勤忽略,发,发展新兴市,场,场的风险,,百富勤低估,了,了利率和汇,率,率波动的风,险,险,,10,,某国有控股的的上市企业(简称“国企企,A”,)于19,X4,年以约4.2亿元人民币币收购某汽车车制造公司95%权益,，,两年后,，,该国企以3.2亿元人民民币向一家马马来西亚公司司出售其在汽汽车公司中50%的权益益,，,而记录了一笔笔4,,000,万元人民币的的营业外收入入,。

但其后,，,该马来西亚公公司并没有按按协议支付交交易金额,，,而交易亦被迫迫中断,19,X7,年,，,国企,A,为掩饰交易失失败而,重新与三家公公司签约,，,以3.2亿元元人民币的同同样金额将汽汽车公司的50%权益转转售给这三家家公司,，,但这三家公司司最终都没有有向国企,A,支付任何款项项,案例,六,：,投资与出售股股权权益,11,,调查发现,：,,国企,A,未有就对外,投,投资建立完,善,善的风险管,理,理,，,投资前既没,有,有清楚考虑,其,其高级管理,层,层缺乏汽车,制,制造业的经,验,验,，,亦没做好可,行,行性研究的,各,各种分析,在出售投资,权,权益予,该,马来西亚公,司,司时,，,并未充分考,虑,虑对方的信,誉,誉和偿付能,力,力,，,亦未有利用,买,买卖协议为,可,可能出现的,违,违约事件提,供,供保障,在转售投资,权,权益予该三,家,家公司时,，,并未披露这,三,三家公司均,为,为关联的,“,空,壳,壳,公,公,司,司,”,财,务,务,报,报,表,表,亦,亦,没,有,如,如,实,实,反,反,映,交,易,易,中,中,断,断,的,的,情,情,况,况,汽,车,车,公,公,司,司,从,从,成,成,立,立,至,至19,X9,年,12,,某国国营营企企业业(简简称称““国国,企,企,B””),于,19,X6,至19,X8,的两两年年间间,，,动用用接接近近10亿亿元元人人民民币币,，,投资资了了15家家公公司司,，,而该该国国企企在在每每家家公公司司的的权权益益均均在在10%至至30%之之间间,，,这些些公公司司的的业业务务范范围围包包括括金金融融,、,包装装材材料料,、,汽车车零零部部件件,、,房地地产产开开发发,、,贸易易和和通通信信等等,。

调查查发发现现,：,,国,企,企,B,未,有,有,就,就,对,对,外,外,投,投,资,资,建,建,立,立,完,完,善,善,的,的,风,风,险,险,管,管,理,理,系,系,统,统这15,家,家,公,公,司,司,大,大,部,部,分,分,没,没,有,有,为,为,国,国,企,企,B,提,供,供,经,经,审,审,计,计,的,的,财,财,务,务,报,报,表,表,，,，,亦,亦,一,一,直,直,未,未,派,派,股,股,息,息；国,企,企,B,亦,没,没,有,有利,用,用,投,投,资,资,协,协,议,议,来,来,保,保,障,障,其,其,权,权,益,益,案例例,七,：投投资资非非核核心心性性业业务务,13,,某,国,国,有,有,控,控,股,股,在,在,香,香,港,港,上,上,市,市,的,的,公,公,司,司(,简,简,称,称,“,“,国,国,企,企,C,”,”),没,有,有,遵,遵,守,守,上,上,市,市,规,规,则,则,的,的,要,要,求,求,，,，,在,在,没,没,有,有,得,得,到,到,股,股,东,东,批,批,准,准,的,的,情,情,况,况,下,下,，,，,向,向,一,一,位,位,董,董,事,事,的,的,关,关,联,联,公,公,司,司,提,提,供,供,港,港,币,币1.6,亿,亿,元,元,的,的,贷,贷,款,款,和,和,港,港,币,币1.96,亿,亿,元,元,的,的,银,银,行,行,信,信,用,用,证,证,担,担,保,保,，,，,该,该,贷,贷,款,款,和,和,信,信,用,用,证,证,担,担,保,保,的,的,总,总,额,额,占,占,上,上,市,市,公,公,司,司,资,资,本,本,金,金,的,的30%,,款,项,项,贷,贷,出,出,后,后,，,，,该,该,关,关,联,联,公,公,司,司,一,一,直,直,不,不,予,予,还,还,款,款,，,，,而,而,国,国,企,企,C,为,该,该,关,关,联,联,公,公,司,司,所,所,提,提,供,供,的,的,银,银,行,行,信,信,用,用,担,担,保,保,当,当,中,中,的,的,港,港,币,币,9,500,万,元,元,已,已,被,被,有,有,关,关,银,银,行,行,提,提,出,出,追,追,讨,讨,案例例八八：：某某香香港港上上市市公公司司,14,,调查发发现：：,,国企,C,的公,司,司治,理,理结,构,构不,规,规范,，,出现,一,一小,撮,撮人,独,独揽,大,大权,,国企,C,并没,有,有建,立,立合,规,规方,面,面的,风,风险,管,管理,机,机制,,国企,C,的财,务,务报,告,告系,统,统既,没,没有,为,为上,述,述关,联,联交,易,易作,出,出适,当,当的,披,披露,，,亦没,有,有为,拖,拖欠,的,的贷,款,款提,取,取坏,账,账准,备,备,15,,教训与与启示示,,常言,：,：,,「智,者,者从,别,别人,失,失败,经,经验,中,中吸取教,训,训，,,聪明,者,者从,自,自己,失,失败,经,经验,中,中吸取教,训,训，,,愚者,则,则永,不,不懂,从,从经,验,验中,学,学习,。

」,16,,我们,可,可以从从上述述案例例中,吸取什什么教教训？？,,,,1.,熟悉企企业本本身的的业务务与相相关风风险,,切记,：,：,避免,制,制定,不,不切,实,实际,的,的目,标,标或,盲,盲目,扩,扩展,投,投资,，,，使,企,企业,承,承受,无,无谓,的,的风,险,险,,建立,内,内控,和,和相,互,互制,衡,衡的,机,机制,,切记,：,：权,力,力过,分,分集,中,中就,会,会出,现,现腐,败,败的,情,情况,,紧盯,着,着现,金,金,,所有,犯,犯案,、,、挪,用,用公,款,款和,偷,偷窃,行,行为,均,均与,现,现金,有,有关,,常言,：,：“,会,会计,数,数字,只,只是,参,参考,意,意见,，,，现,金,金才,真,真正,令,令你,感,感到,踏,踏实,17,,合理,制,制定,绩,绩效,评,评估,与,与激,励,励机,制,制,,“如,果,果你,发,发现,精,精明,的,的员,工,工做,出,出蠢,事,事，,你,你应,意,意识,到,到这,可,可能,是,是因,为,为他,们,们受,到,到公,司,司的,绩,绩效,与,与激,励,励机,制,制的,诱,诱导,而,而产,生,生的,结,结果,。

5.,建立,规,规范,和,和健,全,全的,财,财务,报,报告,系,系统,,财务,报,报告,系,系统,必,必须,有,有能,力,力为,企,企,业提,供,供及,时,时、,准,准确,和,和具,高,高分,析,析性,的,的财,务,务资,料，,以,以帮,助,助管,理,理层,管,管理,业,业务,和,和赢,取,取股,东,东的,信,信心,,,18,,6.,深化企企业风风险管管理文文化,,要建,立,立健,康,康的,企,企业,文,文化,及,及价,值,值观,，,，企,业,业必,须,须：,,由上,而,而下,，,，身,体,体力,行,行，,建,建立,严,严谨,的,的“风,纪,”,，,，使,员,员工,能,能上,行,行下,效,效,,订立,管,管理,原,原则,和,和行,为,为规,范,范,,通过,绩,绩效,管,管理,的,的方,法,法，,鼓,鼓励,正,正确,的,的行,为,为和,态,态度,,加强,培,培训,和,和沟,通,通,,企业,必,必须,建,建立,有,有效,机,机制,，,，使,员,员工,能,能从,企,企业,本,本身,或其他,企,企业,所犯的,错,错误(,或,或接近,犯,犯错),的,的经验,中,中，,吸,取教训,19,,,第二部分分,,企业风险险管理框框架,,20,,什么是风风险管理理？,,企业风险险管理是,是一套,由由企业董董事会与与管理层层共同设设立、和和与企业业战略相,相结合,的的管理流流程。

它它的功能能是识别别那些会会影响企企业运作作的潜在在事件和和把相关关的风险险管理到到一个企企业可接接受的水水平，从从而帮助助企业达达至它的的目标美国内控控研究委委员会,21,,企业为何何要建立立风险管管理？,因为企业业的,股东与管管理层常常常要面面对一些些令他们们寝食难难安的问问题因因此，企企业需要要系统化化地建立立一套风风险管理理体制，从而识识别影响响企业盈盈利的关关键因素素，并对对那些会会影响企企业达标标的风险险进行监监控及管管理,22,,股东对企企业风险险管理最最,关心的四四个问题题：,企业,知道它,所,所面对,的,的主要,风,风险吗,？,？,,例如：什么风,险,险正在或将会影响企,业,业的业务？,,企业的品牌,,新产品、新,市场,的开发,,战略联,盟,盟,,客户或供应链的管理,理想的情情况：,企业能开开发一套套标准的的、共通通的风险险语言，，从而识识别企业业所面对对的风险险，并就就其严重重的程度度进行排排序共共通的风风险语言言亦有利利于企业业上下层层就风险险的管理理进行沟沟通,23,,企业是否已,对,对这些风险,设,设置内部控,制,制？,,企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险)，构建内部控制(包括预防性控制及觉察性控制) ，以确保企业能实现目标和符合各方面的法律、法规,理想的情况：：,企业就其所面面对的风险和和采取的内控控，编制一套套完整的文档档，并借鉴国国际最佳的实实务不断进行行检讨,,24,,企业的内部,控,控制有效吗,？,？,,企业要对其内控系统不间断地进行监控和测试，以确保其对风险控制的能力,理想的情况：：,企业把各类风风险控制在可可接受的水平平，并在这基基准上赚取合合理的回报,,25,,哪一些内部控,制,制必须改进？,,企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施,理想的情况：：,企业能建立一一套具前瞻性性的信息管理理系统和预警警系统，使企企业能及时识识别新生的风风险，并对相相关的业务计计划、政策和和程序进行修修正,,26,,企业风险管理理框架,一个基础,,三道防线,,,管理层,,CEO,第,三,道防线,第,二,道防线,,第一道防线,,业务部门,董事会,,风险管理,内部审计,,,,审计委员会,风险管理,,委员会,,,27,,一个基础：公公司治理结构构,什么是公司治治理？,,公司治理是涉及公司的表现：它关,系到一家公,司,司如何得到,有,有效的管理,，,，从而发挥,最,最佳表现,,公司治理是涉及责任的问题：它关,系到董事会及管理层如,何,何向股东负,责,责，而使股,东,东能从公司,的,的表现中得,益,益,28,,公司治理与风风险管理有什什么关系？,公司治理是风风险管理的一一个必要的组组成部份，因因为它提供了了对风险由上上而下的监控控与管理,,近年多个国,家,家都订立了公司治理的最佳守则：,,美国：纽约证交所最佳治理守,则,则,,英国：Cadbury/HampelReport、TheCombinedCode,,加拿大：DeyReport,,OECDReport,,这些最佳守,则,则均清楚指出建,立,立风险管理是董事会及管理层的责任,29,,如何构建一个个有利风险管管理的公司治治理结构？,建立一个健,全,全的、以董事会为首的公司治理结,构,构,,订立企业的目标和战略，包括企业的风险政策和极限,,贯彻一套,重,重视风险,管,管理的企业文化和价值观,,30,,第一道防线线：业务单单位防线,业务单位,包,包含了企业大部,分,分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线,,企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线,31,,如何建立第第一道防线线,,了解企业,战,战略目标,及,及可能影,响,响企业达,标,标的风险,,识别风险,类,类别,,对相关风,险,险作出评,估,估,,决定转移,、,、避免或,减,减低风险,的,的策略,,计设及实,施,施风险策,略,略的相关,内,内部控制,32,,(风险宇,资信,制度,知识产权,财务,流动资产与与,,信贷,资本结构,市场,财务报告,营运,法律,生产程序,营商环境,市场结构,民风风与与文文化化,管治治,策略略,董事事会会活活动动,交易易,并购购,变卖卖,声誉誉,道德德,社区区责责任任,风险险管管理理,董事事会会及及,,管理理层层业业绩绩,组织织结结构构,监察察与与沟沟通通,执行行,筹划划与与开开发发,利益益有有关关方方,供应应商商,政府府,顾客客,股东东,经济济情情况况,国家家情情况况,市场场变变化化,竞争争对对手手,人才才资资源源,雇员员,沟通通,有形形资资产产,机器器、、厂厂房房,,与土土地地,其他他,,有形形资资产产,负债债,合约约,法规规,市,场,场与与销销售售,生产产及及流流通通,商品品/服服务务开开发发,流程程,估值值与与,,选择择买买家家,评估估与与甄甄选选,尽职职调调查查,并购购后后整整合合,资信信管管理理,运营营,组织与监监察,硬件,软件,网络,无形资产产,知识管理理,信息,现金管理理,对冲,融资,股东资本本,债务,商品,利率,外汇,税务,会计,合规,风险宇宙宙,33,,战略性,风,风险是指公司因作出战,略,略性错,误,误的决定而导致经,济,济上的损失,,战略性,风,风险是业务单,位,位、高级管,理,理层和董事会的共同责,任,任,,常见的战略性,风,风险包,括,括,：,,企业的目标与方针,,市场潜,在,在的威胁,,业务的范围(深度与广度),,品牌,及,及形象的建立,战略,性,性风,险,险,与战略,性,性伙,伴,伴的合作,,投资和融,资,资的策略,,员工的素质和雇员,关,关系,,企业的信息及监控,系,系统,34,,信贷,风,风险是指贷款人或合同的另,一,一方,因,因不能,履,履行,合,合约而,使公,司,司产,生,生经,济,济损,失,失的,风,风险,,常见的信贷,风,风险,包,包括：,,贷款,未,未能,回,回收,,应收帐款未能,回,回收,,债券,跌,跌价(因信贷,评,评级的减,值,值或债务,人,人未,能,能履,行,行付,款,款义,务,务),,买卖,金,金融,市,市场,产,产品而未能,兑,兑现,,企业因合资、合作、联盟、外,包,包等经济,活,活动而产生或暴露的信贷,风,风险,信贷,风,风险,35,,市场,风,风险是指,因,因市场,价,价格或利率,波,波动而,使公,司,司产,生,生经,济,济损,失,失的,风,风险,,构成市场,风,风险的三,大,大因素：,,因买卖或投资,金,金融,产,产品而产生的风险,,因资产与负债错配,、,、或原材,料,料与产成品,价,价格,不,不能,同,同步,浮,浮动而产生的风险,,资金,流,流动性风险,,常见的市场风险,包,包括：,,利率风险,,外汇风险,,股票与债券市场,风,风险,,商品价格,风,风险,,期货、期权与衍生工具,风,风险,市场风险,36,,操作风险,是指企业,内,内部流程,、,、人为错,误,误或外部,因,因素而令,公,公司产生,经,经济损失,的,的风险，,它,它包括了,公,公司的流,程,程风险、,人,人为风险,、,、系统风,险,险、事件,风,风险和业,务,务风险等,,流程风险,是指交易流程中出现错误而引致损失的风险，流程包括如：销售、定价、记录、确认、出货/提供服务等环节。

流程风险也包括合规性风险,,人为风险,概指因员工缺乏,知,知识和能力、缺乏诚信或道德操守而引致损失的风险,,系统风险,是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的风险,,事件风险,是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险,,业务风险,是指因市场或竞争环境,出,出现预期,以,以外的变化而引致损失的风险，所涉及的问题包括,市,市场策略、客户管理、产品开发、销售渠道和定价等领域,操作风险,37,,风险发生的的可能性,评分,可能性,说明,5,几乎肯定,在未来12个月内，这项风险几乎肯定会出现至少,,1次,4,极可能,在未来12个月，这项风险极可能出现1次,3,可能,在未来2至10年内，这项风险可能出现1次,2,低,在未来10至100年内，这项风险可能出现至少1次,1,极低,这项风险出现的可能性极低，估计在100年内出现的可能性少于1次,38,,评分,损失程度,说明,5,灾难,令企业失去继续运作的能力(或占税前利润达20%),4,重大,对于企业在争取完成其策略性计划和目标，造成重大影响(5-10%税前利润),3,中等,对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍(至5%税前利润),2,轻微,对于企业在争取完成其策略性计划和目标，只造成轻微影响(至1%税前利润),1,近乎没有,影响程度十分轻微,风险对企业业造成的影影响,39,,评分,有效性,说明,5,极度过头,处理方法能直接针对该项风险，但相信会令企业业绩 “倒退” 或成本过高,4,过头,处理方法能直接针对该项风险，但由于需要投入大量资源或/及将其他资源转到处理该项风险上，会对企业的效率造成影响,3,适中,处理方法有效针对该项风险，同时并不影响企业的效率,2,低效,处理方法针对该项风险的效果不理想，或投入处理该风险的资源不充分或/及对投入的资源未有适当利用,1,近乎没有 效果,处理方法的效果十分低，可能是由于企业根本没有处理方法，又或处理手法不当,风险处理方方法的效果果,40,,风险地图(或风险共共同语言),影响程度,,,,,,,,,,,,,,,,,,,,,,,,,,近乎没有,轻微,中等,重大,灾难,几乎肯肯定,极可能,可能,低,极低,B,C,A,G,I,D,J,K,H,E,F,可能性,说明:,,A –人人力资源风风险,,B –财财务风险,,C –竞竞争风险,,D –开开发风险,,E –过过度自信风风险,,F –系系统故障风风险,,G –主主要客户风风险,,H –欺欺诈风险,,I –政政治风险险,,J –薪薪酬奖励励风险,,K –科科技风险,,,,,,41,,风险处理组组合,,,,,,,,,,,,,,,,,,,,,处理评级,风,险评级,近乎没有效效果,低效,适中,超标,极度,极高,高,中等,低,B,C,A,G,I,D,J,K,H,E,说明:,,A –人人力资源风风险,,B –财财务风险,,C –竞竞争风险,,D –开开发风险,,E –过过度自信风风险,,F –系系统故障风风险,,G –主主要客户风风险,,H –欺欺诈风险,,I –政政治风险险,,J –薪薪酬奖励励风险,,K –科科技风险,,,,,,F,,,,采取行动,密切监控,定期审阅,42,,风险处理理策略,影响程度,可能性,,,,,转移,避免,小心管理,可接受,大,小,高,低,43,,风险策略略,,,避免,,禁止交易易,,减少或限限制交易易量,,离开市场场,,,转移,,套期,,保险,,策略性联联盟,,其他分担担风险的的安排,小心管理理,,投资,,广泛保护护的安排排,,订价反映映风险程程度,,,可接受,,自我保险险,,预留储备备,,增加监督督,风险处理理策略,影响程度度,大,小,可能性,,,,,转移,避免,小心管理,可接受,高,低,44,,企业建,立,立的第一道防,线,线，就是要各业务单,位,位就其战略性,风,风险、信贷风,险,险、市场风场和,操作风,险,险等等，系统,化,化地进,行,行分析,、,、确认,、,、度量,、,、管理,和,和监控,,企业需,要,要把评估风,险,险与内控措施的结果进,行,行记录和存档，对内控措施的有效性,不,不断进,行,行测试和更新,第一道防防线：总总结,,,管理层,,CEO,第,三,道防线,第,二,道防线,,第一道防线,,业务部门,董事会,,风险管理,内部审计,,,,审计委员会,风险管理,,委员会,,,45,,第二道防防线：风风险管理理单位防防线,第二道防线是在业务单位之,上,上建立一个更高层次的风险管理功,能,能，它的组成部份可能包括风,险,险管理部门、信贷审批委,员,员会、投资审批委,员,员会,,,风险管理部的责任是领导和协调公司内各单位在管理风险方,面,面的工作，它的职责包,括,括：,,编制规章制,度,度,,对各业务单位的风险进行组,合,合管理,,度量风险和评估风险的界限,,建立风险信,息,息系统和预警系统、厘定关键风险指,标,标,,负责风险信,息,息披露、沟通、协调员工培,训,训和学习的工作,,按风险与回报的分析，为各业务单位分,配,配经济资本金,,46,,,“内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。

内审通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标美国内部审计师协会,第三道防线：：内审单位防防线,第三道防线涉及一,个,个独立于业务单位的部门，监控企业内控和其他企业关,心,心的问题,,内部审计的,定,定义,：,,47,,内部审计的,三大功能,财务监督,,财务帐的可,用,用性,,内部管理和,制,制度的执行,,典型例子,：,检查分、子,公,公司上报总,部,部的财务报,表,表的,,准确性以及,执,执行财务管,理,理政策的情,况,况,,经营诊断,,管理审计以,及,及效率和效,益,益审计,,检查和诊断,经,经营和管理,过,过程中的偏,差,差和失误,,典型例子,：企业对某,业,务单位或某,部,部门执行效,益,益审计,,(,一个输入与,产,产出的关系,),48,,咨询顾问,,企业风险管,理,理和发展策,略,略方面的咨,询,询,,调查领导关,心,心的热点问,题,题和管理薄,弱,弱环节,,典型例子,： 兼并收,购,购时调查被,投,投资公司的,内,内部管理和,,流程操作，,了,了解薄弱环,节,节或其他影,响,响并购,,交易的重大,事,事项，从而,确,确定管理方,法,法和,,并购策略,49,,构建企业风险险管理的关键键成功要素,1.股东确立对企企业监督的机机制，考虑是是否需要在集集团层面：,,引入以董事,会,会领导的管,理,理体制,,聘任有经验,的,的,外部,董事，来加,强,强对企业的,监,监督,,要求企业建,立,立风险管理,和,和内控系统,，,，并对其运,作,作及有效性,作,作出定期的,汇,汇报,50,,2.管理高层的支支持和参与,,确立方向和目标,,营造必要的环境,,为平衡风险与回报作出战,略,略性的决定,风险,回报,风险与回报成正比？,风险,调整风险,,后的回报,冒险程度,,,–,不够进取,冒险程度,,–,高危,冒险程度,,–,理想范围,,51,,3.建立风险管理理文化,,风险管理的手段，必,须融入日常,的,的管理流程,,通过,讨,讨论和培训，使风险,管,管理的实施,得,得到“全民”,的,的支持,,通过,经,经验的分享，不断,加,加强,风,风险,管,管理的认同性,,,4.采用,先,先进的风险,管,管理的实施,方,方法,,借鉴如美国Treadway委员,会,会所提出的COSO内,控,控框架,,采用,各,各种,识,识别和度量,风,风险的先进的方法,,采用,标,标准的模板和程序,确,确认,风,风险、评估,风,风险、建立,记,记录和文档、参考,国,国际,最,最佳实务,，,，构,建,建信息,管,管理,系,系统和预,警,警系统,52,,,第三部部分,,财务报报告系系统的的内部部控制制,,53,,,,,财务报报告系系统的的功能能,股东,监管部部门,其他利利益相相关者者,分析和和修正正,企业远远景、、,,战略和和目标标,企业经经营、、,,管理和和控制制,企业业业绩的的,,度量和和报告告,财务报报告系系统,财务信信息披披露和和报告告,54,,,,,经常性业务交易,,非经常性业务交易,资料和数据的处理,,目标：更自动化、更程序化、更规范化,,缩短编制时间、减少人为错误,,财务报告系统,,加强业务与财会人员之间的沟通,,了解会计准则的要求，减少个别主观人为判断,财务报报告系系统,管理,55,,财务务报报告告系系统统,的典典型型问问题题,输,入,入,资,资,料,料,不,不,准,准,确,确,或,不,不,完,完,整,整,,缺,乏,乏,内,内,部,部,控,控,制,制,,员,工,工,缺,缺,乏,乏,应,应,有,有,的,的,知,知,识,识,和,和,资,资,历,历,,对,资,资,料,料,的,的,要,要,求,求,不,不,清,清,晰,晰,,缺,乏,乏,一,一,套,套,清,清,晰,晰,和,和,统,统,一,一,的,的,会,会,计,计,政,政,策,策,,如,何,何,确,确,认,认,收,收,入,入,？,？,,如,何,何,计,计,提,提,准,准,备,备,金,金,？,？,,如,何,何,界,界,定,定,经,经,营,营,性,性,与,与,,资,本,本,性,性,支,支,出,出,？,？,会,计,计,科,科,目,目,设,设,计,计不完,善,善,,依,靠,靠,人,人,手,手,操,操,作,作或缺,乏,乏,合,合,适,适和统,一,一的电,子,子,核,核,算,算,平,平,台,台,如,何,何,反,反,映,映,对,对,外,外,投,投,资,资？,,如何记,录,录各类,金,金融衍,生,生工具？,56,,财务报告告系统,的典型问问题,关帐或,财,财务结,算,算程序,不,不规范,,没有明,确,确财务,结,结算的,工,工作和,程,程序,,没有利,用,用标准,的,的结算,表,表,/,模板,,没有订,立,立重要,性,性的门,槛,槛,,未能披,露,露或提,供,供重要,信,信息,,什么数,据,据或差,异,异需要,进,进行分,析,析？,,需要与,什,什么数,据,据进行,比,比较？,,分析需,要,要得到,什,什么数,据,据的支,持,持？,,什么资,料,料可协,助,助管理,层,层加强,管,管理？,,57,,财务报告告系统和和内部控控制的关关系,财务报,告,告系统,是,是为企,业,业内部,管,管理提,供,供信息,和,和与外,部,部利益,相,相关者(如股,东,东、监,管,管机构)沟通,的,的主要,工,工具和,媒,媒介,,财务报,告,告系统,需,需要一,个,个完善,的,的内部,控,控制环,境,境，才,能,能及时,和,和有效,地,地执行,和,和发挥,它,它应有,的,的作用,58,,内部控制制的作用用,内部控制制的作用用在于保保证/保保护：,,信息（,会,会计信,息,息和经,营,营信息,）,）的可,靠,靠性和,完,完整性,,遵循政,策,策、计,划,划、程,序,序、法,律,律和法,规,规,,资产的,安,安全,,提高经,营,营效益,和,和效能,,实现经,营,营的目,标,标和防止浪,费,费资源,59,,内部控制制不能：：,,将一个,原,原本拙,劣,劣的管,理,理体系,改,改变成,一,一个优,良,良的管,理,理体系,,影响环,境,境因素,，,，如,政府的,法,法规和,政,政策、,竞,竞争对,手,手的行,动,动或经,济,济状况,,保证企,业,业的成,功,功,或不会,面,面临倒,闭,闭的命,运,运,,杜绝员,工,工或管,理,理层舞,弊,弊和欺,诈,诈的行,为,为,60,,美国索克克斯法的的主要规规定及要要求,61,,,第404节(,a),,要求企,业,业在提交年报时(20-,F),一并提,交,交内部,控,控制及,财,财务报,告,告程序,的,的有效,性,性管理,报,报告。

第404节(,b),,要求审,计,计师就,管,管理层,内,内控报,告,告出具,验,验证意,见,见SOA404,生效日,期,期：,,美国本,土,土上市,公,公司：于2004年11月15日,或,或以后,的,的财务,年,年度；,,非美国,本,本土上,市,市公司：于2006年7月15日或,以,以后的,财,财务年,度,度(此,日,日期已,再,再次延,后,后)SOA404,法案总体体要求,62,,SOA404,的要求,要求年度度报告中中要包括括,“,内部控制制报告””,其其具体内内容为,:,管理层,责,责任,的声明,：,：管理,层,层有责,任,任建立,和,和维护,健,健全的,内,内部控,制,制制度,以,以确保,财,财务报,表,表的合,理,理和准,确,确性；,,管理层,的,的评价,的声明,：,：关于,在,在财政,年,年度末,有,有关财,务,务报表,的,的内部,控,控制有,效,效性的,评,评价；,,评价框,架,架,的说明,：,：明确,指,指出管,理,理层适,用,用于评,价,价有关,财,财务报,表,表的内,部,部控制,有,有效性,的,的框架,；,；,,关于外,部,部审计,师,师已出,具,具关于,管,管理层,评,评价的,鉴,鉴定报,告,告的声,明,明。

该准则不允许许管理层在已已发现内部控控制制度有一一处或多处““重大缺陷””时，作出有有关财务报表表内部控制有有效的认定该准则同时时要求管理层层,披露,评价过程中发发现的任何““重大缺陷””尽管准则中没没有明确说明明，但是通常常认为，财政政年度中已发发现并已纠正正的“重大缺缺陷”不影响响管理当局在在财政年度末末作出有关财财务报表的内内部控制有效效的评价63,,SOA 404,要求(续),合理地保证,会,会计记录合,理,理、准确、,详,详细并公允,地,地反映公司,的,的日常交易,和,和资产处理,；,；,,合理地保证,对,对所有交易,都,都作了必要,适,适当的记录,以,以便于按照,公,公认会计准,则,则编制财务,报,报表，并且,收,收入和支出,活,活动均经管,理,理当局和董,事,事会的适当,授,授权；,,合理地保证,防,防止或及时,发,发现对财务,报,报表有重大,影,影响的未经,授,授权的资产,采,采购、使用,或,或处置准则对“有关关财务报表的的内部控制””的定义为：：,,,“公司主要的的管理人员或或者主要的财财务管理人员员设计内控政政策和控制程程序，并监督督其执行，以以便对财务报报告是按照公公认会计准则则编制以及财财务报表的可可靠程度做出出合理的保证证。

该控制政策和和控制程序主主要包括：,64,,对形成、记,录,录、处理和,调,调节账户余,额,额、交易的,分,分类和披露,以,以及财务报,表,表的相关认,定,定的控制对形成和处,理,理,非常规交易,和,和非系统化,交,交易,的控制；,,对防止、确,认,认和发现,舞弊,的控制评价有关财务务报表的内部部控制：,,准则强调指出出管理层必须须制定并保存存有关内部控控制的书面文文件,,,包括关于内部部控制,设计,和,测试程序,的文件,,,从而为管理当当局评价有关关财务报表的的内部控制有有效性提供合合理的保证这些,书面文件,是有效的内内部控制的的首要条件件管理当局的的评价必须须基于评价价内部控制制设计的有有效性和测测试其执行行的有效性性的程序询问本身,并,不能,为内部控制制的评价提提供足够的的基础有关评价的的内部控制制包括：,SOA404,要求(续),65,,如何建立内内控以满足足索克斯法法的要求,66,,,,,,,,评估阶段:,,,管理层出具,,内部控制,,报告,,,,,,,制定程序，确立项目小组，项目进度,时间进度：,,方法,,COSO,中对内部控制的定义是一个很好的开端选择适合的项目小组以及制定详细的项目计划是项目成功的关键。

以评估公司层面的控制作为评估工作的开始此阶段是一个复杂而费时的阶段，需要记录并理解各交易环节的流程及其相关的控制最后的阶段是根据评估结果形成总体评价制订监督程序准备资料，进行详细测试，并修正控制的不足审计师对管理层声明的审验,,项目计划,准备资料并评估控制,测试并监督控制,报告,理解内部控制的概念,组织项目小组进行评估,评估公司层面的控制,理解并分别评估程序、交易及应用层面的风险,评估整体控制的有效性，确定应改进的地方并建立监督系统,建立符合404法案案要求的内内控框架,67,,COSO,内控框架,Committee ofSponsoringOrganisationof TheTreadwayCommission (COSO),为内控开,发,发了一个,全,全面的框,架,架,,这个内控,框,框架是唯,一,一被美国,证,证监会确,认,认为完整,、,、全面和,不,不偏依的,内,内控框架,,构建内部,控,控制须分,两,两个层,面,：,,公司层面,,流程、交,易,易及资讯,科,科技应用,层,层,面,COSO 内控框架,,,,,,内控环境,风险评估,控制活动,信息和沟通,监控,业务部门,业务功能,整体,营运,财务报告,合规,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,68,,组织项目小小组进行评评估,高层参与,,各业务部,门,门之参与,,财务、内,审,审、计算,机,机管理部,门,门之参与,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,69,,,方面,需考虑的因素,,高管层的诚信、道德和行为,,控制意识和经营风格,,胜任能力和承担,,董事会或审计委员会的监管,,组织结构、权限和责任,,人力资源政策和程序,,风险评估流程,,对重要事件的预测、识别和反应机制,,识别会计准则差异、业务操作和内部控制变化的程序,,提供完整的业绩报告,,与业务策略相联系,,持续开发、测试和监控计算机系统和程序,,计算机业务持续性系统和应急计划,,便于职员履行职责而建立的沟通渠道,,有必要的政策和程序,,有明确的财务目标，并对其主动监控,,合理的职责分离,,预算与实际情况的定期比较,,对文件、记录和财产的适当保管,,对内部控制的定期评估,,实施改进建议,,建立内部审计职能以实施监控,控制环境,风险评估,信息和沟通通,控制活动,监控,如何构建内内部控制——公司层面面的评估,,,,,管理层关于于内部控制制,,的报告,评估内控的的整体的有有效性，找找出有待改改进的地方方，并建立立一个监控控体系,在流程、交交易和应用用层面，理理解和评估估内部控制制,在全公司层层面评估内内部控制,组织项目小小组实施评评估工作,理解内部控控制的定义义,,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,70,,公司层面的的,内控,─控,制,环境,企业道德,规,规范与价,值,值观,,员工的行,为,为操守与,企,企业文化,,公,司治理结构和政策,,董事会及各委员会的构成,,企业规章,制,制度,,董事会与管理层之间的关系、权力和职责,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,71,,公司层面的的,内控,─风险评估估,企业,是,否,拥有,既定的程,序,序,以,确定、评,估,估和度量,影,影响企业,达,达标的风,险,险？,,先进的内,审,审部门？,,风险管,理,部门？,,全面,风,险评估？,,企业有否详细记录,评,评估风险的结果？有否进行详细的讨论和沟通？,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,72,,公司层面的的,内控,─信息和沟沟通,企业的架,构,构是否能,够,够令各部,门,门及业务,单,单位明确,各,各自的职,责,责及,促进,沟通,,企业,是,否拥有,一,个,合适的电子,平,平台,,处理管理信,息,息和数据,,确保信息能,够,够及时发,放,,确,保各类信息和报告的准确性和可用性,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,73,,规章制度,,审批程,序,,资产实物的,安,安全,,特殊报告,,表现指标,,信息系统控,制,制,,职责划分,公司层面的,内控,─控制活动,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,74,,公司层面的内内控─控制活活动,规章制度,,董事会及各委员会的章程,,企业风险政,策,策,,员工招聘守,则,则,,企业采购政,策,策,,会计及财务管理守,则,则,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,75,,,,公司层面的内内控─控制活活动,审批程序,,一种预防性的控制措施,,确保规章制,度,度得以落实,执,执行,,知识与经验分享,,责任的承担,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,76,,公司层面的内内控─控制活活动,资产实物的安安全,,档案,/,库存上锁,,减少利用现,金,金交易,,办工室,安全系统/ 警铃,,资料数据库,进,进入的限制,,保安人员,,员工身份证,,机器上的标,记,,隐型录相机,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,77,,,公司层面的内内控─控制活活动,特殊报告,,逾期应收款,报,报告,,工作超时完,成,成报告,,原材料不合,格,格报告,,机器故障报,告,告,,产品不合格,或,或退货报告,,存货台帐红,字,字报告,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,78,,公司层面的内内控─控制活活动,表现指标,,预算与实际,比,比较,,项目管理报,告,告,,财务指标报告,,系统可用性,报,报告,,员工利用率,报告,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,79,,公司层面的内内控─控制活活动,职责划分,,一种员工之,间,间相互制约,的,的控制，,以,以减少出错,或,或越权的情,况,况,,不能由同一,人,人发起、批,准,准和记录一,宗,宗交易,,不能由同一,人,人保管和记,录,录资产,,定期轮换职,责,责，在日常,运,运作中的主,要,要控制点应,有,有高管人员,的,的参与或由,独,独立的人员,作,作出审查,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,80,,公司层面的内内控─控制活活动,,风险控制,,平衡的区域,,,,,高,,低,过份控制,,低,,高,风险程度,控制效果,控制,不够,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,81,,监控是对一,定,定时期内内,部,部控制执行,质,质量的评价,程,程序，考虑,相,相关内部控,制,制是否能够,满,满足最初设,计,计的目标，,并,并保证在不,同,同情况下进,行,行适当的修,改,改。

考虑并记录,是,是否定期对,内,内部控制进,行,行评价；管,理,理层是否采,纳,纳内部和外,部,部审计师关,于,于内部控制,的,的建议；是,否,否存在内部,审,审计部门以,协,协助管理层,进,进行监控公司层面的,内控,─监控,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,82,,程序、交易及及资讯科技应应用层面,评估因素:,,竞争力、完,整,整性、员工,的,的忠诚度及,管,管理层的监,管,管能力,,管理层之间,的,的摩擦,,职责划分,,控制的稳定,性,性,,,,,,,,,,,,,关键账项,,管理层对财务务报表的认定定,?,可能发生的错错误,,,,,,,,,,,控制,,,,,,,关键流程,,,,固有风险及主主,,要经营风险,,,2004,,FinancialStatements,财务报告,从财务角度,从程序角度,选出容易发生生重大差错的的关键 账项项*,存在 (资,产,产负债表),与,与发生(利,润,润表,),,完整性（资,产,产负债表/,利,利润表 ）,,估价(资产,负,负债表)与,计,计量 (利,润,润表,),,权利与义务(资产负,债,债表),类型:,,交易流程,,惯例,,特殊,,估计,对每一种认定定应考虑：,,在流程的哪,一,一交易环节,容,容易发生错,误,误？,,例如:,,帐户：,现金或应付,,程序：,支付,,认定：,估价,,是否有人工,或,或自动的程,序,序确保支票,或,或转账的数,目,目与审批的,付,付款数目一,致,致？,检验:,对差错的监督督,,防止:,防止出现差错错,,由何人来执行行?,,是否有程序自自动控制?,,识别处理系,统,统,,,,,,,,,,,,评估/监督,,,,,,*,单项差错或几几项差错如不不被发现，可可能对财务报报表造成重大大影响，或导导致非法行为为或利益冲突突。

即使造成成非重大影响响，也会对公公司的信誉、、与客户及投投资者的关系系，以及公众众形象造成负负面影响确认财务帐户户及其相关系系统,记录系统及控控制,评估/监督,步骤,行为,主要关注点,,,管理层出具,,内部控制,,报告,评估整体控制的有效性，确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,83,,重要性,StaffAccounting BulletinNo.99 -“,重要性”指引引,,上市公司和审审计人员在估估计项目的重重要性时必须须同时考虑金金额的和性质质的因素404,的要求管理,层,层有责任建,立,立和维护健,全,全的内部控,制,制制度以确,。