从“内部控制整体框架”到“企业风险管理整体框架”
DESCRIPTION
从“内部控制整体框架”到“企业风险管理整体框架”. COSO :内部控制整体框架. 完善内部控制制度的必要性 内部控制的国际发展 “ COSO” 与“内部控制整体框架” 萨宾斯法案 302 条款和 404 条款 内部控制缺陷评估 企业风险管理整体框架. 中行哈尔滨内控缺失案例. - PowerPoint PPT PresentationTRANSCRIPT
从“内部控制整体框架”到“企业风险管理整体框架”
COSO :内部控制整体框架• 完善内部控制制度的必要性• 内部控制的国际发展• “COSO” 与“内部控制整体框架”• 萨宾斯法案 302 条款和 404 条款• 内部控制缺陷评估• 企业风险管理整体框架
中行哈尔滨内控缺失案例• 2005 年 1 月 15 日,东北高速公路股份有限公司
公布公告称,该公司在中国银行哈尔滨分行河松街支行设有两个存款账户,至 2004 年 11 月 30日,公司收到银行询证函回执,确认在河松街支行两个账户中有存款余额 2.93 亿元。 1 月 4 日,该公司领导和财务人员到河松街支行对账,发现账面仅剩 7.31 万元,其余存款去向不明。同时,其子公司黑龙江东高投资开发有限公司存于河松街支行的 530 万元资金也去向不明。公司已向吉林省公安厅、黑龙江省公安厅报案。
中行哈尔滨内控缺失案例(续)• 根据媒体报道和中行的判断,企业的相
当一部分资金在存入银行之初,就被通过“背书转让”形式转到其他账户上了,根本未进入企业最初开立的账户。 在整个票据诈骗过程中,高山的行为基本有两种:向企业出具虚假的存款凭证和对账单,维持资金仍在企业的中行账户上的假象;或者在客户不知情的情况下,在开立账户之初,其预留印鉴即被高山调换成其控制的印鉴。
中行哈尔滨内控缺失案例(续)• 涉案人员李东哲(该案的幕后指使者、北京世纪
绿洲控制人 )和河松街支行行长高山于 2004 年12 月潜逃加拿大(涉案人民币 10 亿元 ),但已被加拿大警方控制。
• 东北高速子公司吉林东高科技油脂有限公司原总经理东方在山东烟台被捕。
• 2005 年 1 月 13 日,东北高速公路股份有限公司原董事长张晓光因涉嫌挪用公款被刑事拘留, 2006 年 6 月 27 日以涉嫌受贿罪、贪污罪、挪用公款罪、巨额财产来源不明罪被提起公诉。
农行邯郸支行现金被盗案• 邯郸市中级人民法院 2007 年 8 月 9 日一审对任
晓峰、马向景做出死刑、剥夺政治权利终身的判决,对赵学楠、宋长海、张强三被告人判罚有期徒刑五年、三年和缓期徒刑的判决后,任晓峰、马向景、赵学楠不服,均提出上诉。
• 9 月 19 日上午,河北省高级人民法院经审理认为,一审判决认定的事实清楚,证据确实、充分,适用法律正确,量刑适当,审判程序合法,并依照《中华人民共和国刑事诉讼法》的有关规定,做出终审裁定,驳回任晓峰、马向景、赵学楠的上诉,全案维持原判。对任晓峰、马向景维持死刑判决的裁定,河北省高级人民法院将依法报请最高人民法院核准。
任晓峰、马向景、赵学楠、张强、宋长海(由左至右)
农行邯郸支行现金被盗案• 邯郸市中级人民法院经审理查明: 2006 年 10 月
13 日至 18 日,任晓峰与赵学楠、张强利用看管金库的便利条件,先后两次从金库盗取人民币 20万元购买彩票,后归还。
• 2007 年 3 月 16 日至 4 月 13 日,任晓峰与马向景又多次从金库盗取人民币共计近 3,296 万元,任晓峰用其中 3,125 万元购买彩票,在投入巨额资金未中奖的情况下,任晓峰用余款中的 7.68 万元购买了捷达轿车一辆,准备出逃。
• 2007 年 4 月 14 日 8 时许,任晓峰和马向景再次密谋后,从金库盗出现金 6箱共计 1,800 万元,用其中 1,410 万元购买彩票。任晓峰分得余款 329.9 万元,马向景分得余款 60 万元。任晓峰得知彩票未中奖后,遂通知马向景分头潜逃。
农行邯郸支行现金被盗案• 与邯郸农行金库 5,100 万元盗案相关, 4名银行职员也被指控犯有国有企业人员失职罪,其中包括原农行邯郸分行副行长张希仲和原现金管理中心副主任安长海。
• 去年 3 至 4 月间,邯郸农行金库管库员任晓峰、马向景等轻而易举地从银行金库盗取现金 5,000余万元,直至案发后邯郸农行才发现金库现金被盗,从而暴露了邯郸农行在管理方面存在的漏洞,这 4名银行职员因此受到刑事追究。
11 月 6 日 , 张希仲(前左一)等在受审。
农行邯郸支行现金被盗案• 去年 11 月 6 日下午,丛台区法院开庭审理邯郸农行直属营业部会计主管程红英涉嫌国有企业人员失职罪一案。据指控,去年 4 月 12 日 17 时 30 分许,邯郸农行管库员任晓峰打电话给程红英,谎称其一个朋友是直属营业部的大户,要存 95 万元,程红英以快下班无法清点为由予以拒绝。任晓峰提出由现金清点中心替其营业部收款后,程红英表示同意为其办理。程红英违反操作规程,在未见储户、未审核存款人的有效身份证件、未收取现金的情况下,授权柜员办理了 95 万元的存款业务,并让任晓峰代替储户在存款凭条上签名确认,致使邯郸农行损失 95 万元。公诉方认为,程红英在担任邯郸农行营业部会计主管期间,滥用职权,造成国有企业严重损失,也应当以国有企业人员失职罪追究其刑事责任。
炒作期货失控案例• 1995 年 2 月 26 日,新加坡巴林公司期货
经理尼克 ·里森投资日经 225 股指期货失利,造成巴林银行 14 亿美元损失,最终导致具有 200多年历史的英国巴林银行的破产。
• 2004 年 10 月,中国航油(新加坡)股份有限公司由于操作风险较高的原油期货期权等金融衍生工具不当,导致公司亏损约 5.5 亿美元。
完善内部控制制度的必要性• 近年来国内商业银行和企业频繁发生重大
案件,表明商业银行和企业自身的内部控制存在严重缺陷,主要表现在没有形成系统的内部控制制度,缺乏主动的风险识别与评估机制,内部控制措施零散、不系统,监督检查环节不到位,内部控制结果不稳定,缺乏对内部控制持续改进的驱动力,风险管理的长效机制没有从根本上得到建立。
内部控制的国际发展• 内部牵制阶段• 内部控制的产生• 内部控制两要素阶段• 内部控制三要素阶段 -- 内部控制结构• 内部控制五要素阶段 -- 内部控制整体框架• 内部控制八要素阶段 -- 企业风险管理整体框架
内部牵制• 内部牵制的理念产生于上世纪 40 年代以前• 主要特点:任何个人或部门不能单独控制任何一项或一部
分业务权力,必须进行组织上的责任分工。• 内部牵制的形式
– 实物牵制:例如把保险柜的钥匙交给二个以上的工作人员持有。– 机械牵制:例如保险柜的大门若非按正确程序操作就打不开。– 体制牵制:采用双重控制预防错误和舞弊的发生。– 簿记牵制:定期将明细账与总账进行核对。
• 内部牵制的基本理念– 二个或以上的人或部门无意识地犯同样错误的机会是很小的;– 二个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独
一个人或部门舞弊的可能性。
内部控制的产生• 1949 年,美国会计师协会的审计程序委员会在《内部控
制,一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中,对内部控制首次作了权威性定义:
“ 内部控制包括组织机构的设计和企业内部采取的所有
相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”
• 此定义及其相应的解释,当时被普遍认为是对认识内部控制这一概念的重大贡献,因为在此之前内部控制概念从未受到如此的重视。
内部控制两要素阶段• 1958 年 10 月美国审计程序委员会发布了第 29号《审计程序公告》对内部控制进行了重新定义,将内部控制划分为会计控制和管理控制两要素。
• 内部会计控制:包括组织规划的与财产安全和财物记录可靠性有直接联系的所有方法和程序,包括授权与批准控制、职务分离控制、财产实物控制和内部审计等。
• 内部管理控制:包括组织规划的与经营效率和贯彻管理方针有关的所有方法和程序,一般包括统计分析、业绩报告、员工培训和质量控制等。
“COSO” 与“美国反欺诈财务报告委员会”
• 美国反欺诈财务报告委员会 (National Commission on Fraudulent Financial Reporting) 的成立:– 由美国会计学会( AAA )、美国注册会计师协会( AI
CPA )、财务经理协会( FEI )、内部审计师协会( IIA )、管理会计协会( IMA )于 1985 年发起设立
– 由包括来自产业界、会计师事务所、投资公司以及纽约交易所代表的六个委员组成
– 主席由前美国 SEC委员 James Treadway担任,所以简称“ Treadway 委员会”
– 主要目的是研究导致财务报告欺诈的因素,为上市公司及其独立审计师、 SEC及其他监管者、教育机构提供建议。
1987 年 Treadway 报告• 研究的主要问题
–重大舞弊对财务报表的影响程度–舞弊行为的可预防程度–独立审计在揭露管理欺诈舞弊中的作用–审计准则是否需作进一步的修改
“COSO” 与“美国反欺诈财务报告委员会”
• COSO ( The Committee Of Sponsoring Organizations of the Treadway Commission ):– 1985 年,美国五大会计职业团体为发起设立
Treadway委员会,并成立了一个“发起组织委员会”,这是一个自发的民间组织,其目的是发起设立美国反欺诈财务报告委员会,并提供财务支持。
– 同时致力于研究如何通过改善商业道德、有效的内部控制和公司治理来提高财务报告质量。
内部控制三要素的发展
• 1988 年美国 AICPA 发布了第 55号《审计准则公告》,首次以“内部控制结构”代替“内部控制”,指出“企业的内部控制结构包括所有为确保实现企业特定目标而建立的各种政策和程序”。
• 内部控制结构包括三个要素:– 控制环境:反映董事会、管理者、所有者对控制的态
度和行为。– 会计系统:规定各项经济业务的确认、归集、分类、登记和编报方法。
– 控制程序:指管理当局为保证实现目标而制定的政策和程序。
内部控制三要素的发展
• 内部控制结构的特点:–正式将控制环境纳入内部控制范畴。以前人们将控制环境作为内部控制的外部因素,但渐渐地认识到控制环境是内部控制的一个组成部分,是内部控制体系得以建立和运行的基础及保证。
–二是不再区分会计控制与管理控制,这是因为通过研究发现,这两者往往是不可分割的,是相互关系的。
“COSO” 与“内部控制整体框架” (五要素)
• 自 1987 年的 Treadway 报告和 1988 年 9 个审计准则公告发布后, COSO 对内部控制问题又进行了较深入系统的研究,于 1992 年发布了《内部控制——整体框架》报告,该报告是国际内部控制理论发展的又一重要里程碑。
• COSO 认为,内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式,并与管理的过程相结合。
内部控制整体框架
控 制 环 境风 险 评 估控 制 活 动
监督
作
业
活
动
1
作
业
活
动
2
循遵
营经
告报
信息与沟通
“ 内部控制整体框架”的特点• 1.明确对内部控制的“责任”• 2.强调内部控制应该与企业的经营管理过程相结合• 3.强调内部控制是一个“动态过程”• 4.强调“人”的重要性• 5.强调“软控制”的作用• 6 。强调风险意识• 7.揉和了管理与控制的界限• 8.强调内部控制的分类及目标• 9.明确指出内部控制只能做到“合理”保证• 10.成本与效益原则
控制环境• 控制环境不仅包括非正式的经常是无形的软控制,例如道德价值观,诚信原则,管理哲学,胜任的能力等,同时还包括组织结构和职责划分等更为正式的控制。控制的其他要素发挥作用都依赖于这一基础的可靠性。
风险评估• 在风险评估过程中,管理层识别并分析实
现其目标过程中所面临的风险,从而制定决定如何管理风险的制度基础。管理层应该在审计师开始审计之前,识别那些重大的风险,并基于这些风险发生的可能性和影响采取措施缓和这些风险。随后,审计师对这一风险评估过程进行评价。
控制活动• 控制活动是指确保管理层的指令得以实现
的机制,包括那些被识别能够缓和风险的活动。这些控制很大程度上是基于审批活动。运输货物、支付帐单、等待客户定单、购买资产等活动都需要实施具体的,基于活动的控制。所以要求具备大量的有关特定活动的知识来决定应该实施怎样的针对性控制。
信息与沟通• COSO 框架的第四个控制要素是信息与沟
通。信息是指员工能够获得其工作中所需要的信息,沟通是指信息向上的、向下的、横向的、在组织内外自由的流动。
监督• 监督要素包括经理人员日常的监督,审计师和其他群体定期的审核以及经理人员用以揭示和纠正已知的缺陷与不足的程序。监督可以用来保证其他控制的运行,这也就解释了为什么内部审计被看作是监督的一部分。
1987-1997欺诈性财务报告研究• 1987 年 Treadway 报告发布后,美国公开
发行股票公司财务报告舞弊情况究竟如何,需要进行全面的分析
• COSO 发起并赞助了对 1987.1-1997.12美国欺诈性财务报告的研究
• 研究者从这 11 年期间受到 SEC处罚的约 300家公司中随机选取了约 200家公司进行了全面的研究
• 1999 年 3 月发布了研究报告
1987-1997欺诈性财务报告研究• 研究发现:
– 存在财务报告欺诈舞弊问题的一般是小公司,大多不在纽约证券交易所或美洲证券交易所上市的公司
– 进行欺诈舞弊的大多是公司高层, 72% 的案例显示由公司 CEO参与
– 有欺诈舞弊情况的公司,董事会和审计委员会都很弱,审计委员会很少碰头,董事会由内部人控制
– 大部分公司由发起人和公司董事拥有– 当公司发生欺诈舞弊情况时,后果非常严重,大部分
导致破产、股权重大变更或直接退市
安然事件爆发• 安然公司 1985年成立, 2001年财富世界500强中排第16位,营业收入 1387亿美元, 2001年 11月安然重新公布 1997- 2000年的财务报表,累计减少利润近 6亿美金, 2001年 12月申请破产保护,破产资产总额 498 亿美元,为美国历史之最。股票最高价超过 90美元,最低价不到 20美分。 2002
年 1 月 16 日 ,纽约证交所将安然公司摘牌 , 公司正式破产 , 整个案件造成市值损失 320 亿美元 , 财产损失 500 亿美元。
世通事件爆发• 世通公司是美国第二大电信公司, 2002 年,被
发现利用将营运性开支列作资本性开支等弄虚作假的手法,在 1998-2002期间,虚报收入 110 亿美元。事发之后,世通的股价从最高的 64.5美元暴跌至3美元。世通于 2002 年 7 月申请破产保护令,以1070 亿美元的资产、 410 亿美元的债务成为美国历史上最大的破产个案,刷新了美国历史上的破产规模记录。 7 月 30 日 ,纳斯达克证交所将世通公司摘牌。整个案件造成市值损失 1200 亿美元 ,财产损失 1000 亿美元。
2002 年美国《萨宾斯法案》 • 2002 年 7 月 25 日美国通过的《公司改革
法案》( Sarbanes-Oxley Act ),使传统的注册会计师行业自律模式被打破,代之以政府监督下的独立监管为主的模式,即由美国证券交易委员会( SEC )监督下的公众公司会计监管委员会( PCAOB )来负责制定或审批审计准则、事务所质量控制准则、职业道德准则、独立性准则以及其他与审计报告相关的准则。实际上意味着 AICPA正在逐步失去审计准则制定权。
2002 年美国《萨宾斯法案》• 302 条款 : 由 CEO 和 CFO 在内的企业管理层,
对公司财务报告的内部控制按季度和年度就以下事项发表声明:– 对建立和维护与财务报告有关的内部控制负责。– 设计所需的内部控制,以保证管理层能知道该公司及
其子公司的所有重大信息,尤其是报告期内的重大信息。
– 与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。
– 对 IT 内部控制的有效性予以评估。
2002 年美国《萨宾斯法案》• 404 条款:管理层在其年度文件中提供关于与财
务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:– 管理层有责任为企业建立和维护恰当的与财务报告有关的内部控制。
– 识别管理层所采用的内部控制框架,以便按要求评估公司与财务报告有关的内部控制的有效性。
– 对从一上个会计年度末以来与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
2002 年美国《萨宾斯法案》• 404 条款(续):
– 年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
– 管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。管理层对公司面向财务报告的内部控制的有效性必须发表直接意见。
– 如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性作出评估结论,而且,管理层应该披露自最近一个会计年度末以来财务报告内部控制方面的所有重要缺陷。
2002 年美国《萨宾斯法案》• 404 条款要求,每个公司都要将公司任何一个岗位的职务、职责描述得一目了然,这项工作需要大量材料和文件支持。同时上市公司要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度(例如产品销售的条件、记录付款的时间和人员等)。此外,还要指出内部控制的缺陷所在。
• 要完成这些工作绝非易事,特别是对于组织分散,业务范围复杂的大型公司而言,组织越分散,业务越复杂就意味着要做的 工作越繁杂,这促使他们不得不投入更多来实施 404 条款所要求的内部控制措施。
2002 年美国《萨宾斯法案》• 404 条款的遵循成本第一年最高,包括关键内部
控制的初始存档和补救。以后年度的遵循成本会大幅度减少。
• 根据国际财务执行官 (FEI) 对 321家企业的调查结果,每家需要遵守萨班斯法案的美国大型企业第一年实施 404 条款的总成本将超过 460 万美元。
• 全球著名的通用电气公司表示, 404 条款致使公司在执行内部控制规定上的花费高达 3000 万美元。
内部控制的主要缺陷• 控制环境
–无效的审计委员会– 缺乏由高层管理推动的全公司范围的内部控制
管理流程– 缺乏反舞弊和举报机制–会计政策和程序过时、不一致、没有完整记录
或缺乏有效沟通– 对非常规、复杂或特殊 交易的帐务处理的控制
不充分
内部控制的主要缺陷• 风险评估
– 缺乏正式的企业风险管理流程或程序
内部控制的主要缺陷• 控制活动
– 缺乏有效运行和记录完整的公司层面控制–错误报告和信息披露编制流程无效– 对分支机构的控制无效
内部控制的主要缺陷• 信息与沟通
– 缺乏对信息系统的有效控制– 缺乏对财务报告中使用的终端用户应用程序
(如电子表格)和数据的控制
内部控制的主要缺陷• 监督
– 董事会和审计委员会对风险和控制的理解不充分
–无效的内部审计– 缺乏正式的对财物结账流程的控制或监督– 不能对外包流程的控制进行评估和测试
内部控制的主要缺陷• 文件记录
– 缺乏完整全面的文档记录– 缺乏内部控制执行的证据
内部控制的主要缺陷• 管理层对控制有效性的评价
– 公司的内控评价工作人员缺乏专业知识和经验– 管理层内控评价范围不充分–测试流程和程序不充分
重要的内部控制措施• 运行控制
– 高层检查– 行为控制–实物控制–审批和授权–验证和核实– 不兼容岗位的分离
• 计算机系统环境下的控制• 应急准备与处置
任晓峰的建议书• 根据我这次的犯罪经过,我把我对银行金库管
理的一些建议写出来,希望能对防止犯罪事件的再次发生,起到一些作用。 一、监控方面 1 、应安排专人负责查看监控录像,并定期抽查以前的录像记录,查看是否有违规操作等情况; 2 、每日必须检查监控设备的正常使用及备份情况,监控数据备份保存时间最少在 3 个月以上; 3 、在非工作时间必须设防 110联网报警系统,对非工作时间,进入设防范围或金库内的人员,要马上向领导汇报详细情况; 4 、金库内必须安装监控设备。
任晓峰的建议书• 二、严格执行规章制度
1 、应安排现金中心,主管或副主任每旬查一次金库,安排现金中心主任每月查一次金库; 2 、在查库时,应先核对记帐情况是否属实,然后根据碰库清单,认真核对现金数额,对装好的整包现金,必须打开包进行核对; 3 、各级领导在查库时,都不应该在固定时间和日期; 4 、对重要岗位的人员 (如记帐员、管库员 ) ,应实行强制休假制度,在不事先通知情况下,由领导监督交接工作; 5 、应对现金中心的每个岗位,都制定出各自的岗位职责和工作要求,对现金中心工作人员要定期进行思想教育学习。
任晓峰的建议书• 三、现金中心岗位设置
1 、应设立记帐员岗位,现金中心金库的往来帐目由管库员记帐,对现金中心所有往来帐目都应该由专人记帐,这样可以防止管库员在记帐方面做假帐,从金库挪用资金; 2 、对银行内部资金调拨和安排到人民银行交取款的情况,应由专人负责。
• 四、农行的信用卡通过电话银行往彩票中心转彩票款,应设置最高转款限额。
COSO 的企业风险管理• 企业风险管理框架的建立背景
– 二十世纪九十年代以来愈演愈烈的商业丑闻,使得投资者和其他利益相关者遭受了巨大的损失,人们在加强内部控制的同时,开始认识到全面风险管理的重要性,希望建立一个能有效地帮助管理策识别、评价和管理风险的思维框架。
– 2001 年, COSO 设立研究项目,委托 PwC研发一个能被管理层用来评价和改进其企业风险管理的框架。
– 2003 年 7 月,公布研究报告讨论稿。– 2004 年 9 月,研究报告“企业风险管理:整体框架(
Enterprise Risk Management– Integrated Framework )”正式发布。
COSO《企业风险管理》( 2004 )
• 《企业风险管理框架》(《 Enterprise Risk Management Framework》 ERM )认为“全面风险管理是一个过程。这个过程受董事会、管理层和其它人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别哪些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。”
从“内部控制”到“企业风险管理”
控 制 环 境风 险 评 估控 制 活 动
监督
作
业
活
动
1
作
业
活
动
2
循遵
营经
告报
信息与沟通
内 部 环 境战 略
目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控
经 营 报 告 遵 循
子
公
司
业
务
单
位
分
支
机
构
企业整体层次
COSO《企业风险管理》( 2004 )
• ERM 框架有三个维度;• 第一维是企业的目标,企业的目标有四个,即战略目标、
经营目标、报告目标和合规目标。• 第二维全面风险管理要素有 8 个,即内部环境;目标设定;
事件识别;风险评估;风险对策;控制活动;信息和交流;监控。
• 第三个维度是企业的层级,包括整个企业、各职能部门、各条业务线及下属各子公司。
• ERM三个维度的关系是,企业风险管理的 8 个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上 8 个方面进行风险管理。
• 该框架适合各种类型的企业或机构的风险管理。
《企业风险管理——综合框架》( ERM )
企业目标可以从以下四个方面来考虑:–战略–经营–报告–遵循
内 部 环 境战 略
目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控
经 营 报 告 遵 循
子
公
司
业
务
单
位
分
支
机
构
企业整体层次
ERM 框架(续)ERM考虑了组织中所有层次上的活动:
– 企业整体层次– 分支机构或者子公司– 业务单元环节 内 部 环 境
战 略
目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控
经 营 报 告 遵 循
子
公
司
业
务
单
位
分
支
机
构
企业整体层次
COSO 的企业风险管理• 企业风险管理框架包括八个基本要素
1. 内部环境2. 目标制定3. 事件识别4. 风险评估5. 风险应对6. 控制活动7. 信息和沟通8. 监控
内 部 环 境战 略
目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控
经 营 报 告 遵 循
子
公
司
业
务
单
位
分
支
机
构
企业整体层次
1. 内部环境• 建立风险管理理念。应认识到未预期事件
与预期事件一样可能发生。
• 建立企业的风险文化。
• 考虑所有的其他组织行为如何影响风险文化。
2.目标设定• 在设定目标时,管理层应该考虑风险战略。
• 形成企业的风险偏好( risk appetite )——从高层次的视角来确定管理层和董事会乐意接受多大风险。
• 风险容忍度( risk tolerance ),是指目标变化程度的可接受水平,是与风险偏好相联系的。
3. 事件(风险)识别• 区分风险和机会。• 带来负面影响的事件代表风险。• 带来正面影响的事件代表自动抵消(机会),管
理层应该在战略制定中重新考虑这些事件的存在。• 考虑发生在内部的或发生在外部的可能影响战略
和目标实现的事件。• 指出内部资源与外部资源应如何结合起来,相互作用来影响风险的组合。
风险识别• 战略风险• 经营风险
– 业务管理风险– 资源管理风险– 法律事务风险
企业风险管理结构
战略管理
经营管理
供应
投资活动
资产
售后服务
业务管理
资源管理
法务管理
人力资源
资金
生产
研发活动
销售
信息
战略风险
供应风险
投资风险
资产风险
售后风险
人力风险
资金风险
生产风险
研发风险
销售风险
信息风险
公司治理
内部控制
企业风险管理
法律风险
战略风险识别
• PEST 分析:–政治、经济、社会、技术等环境分析
• Porter五要素分析:–竞争者、新加入者、替代品、供应商、客户等
分析• SWOT 分析:
–强项、弱项、机会、威胁等分析
战略管理环节 战略风险
长虹基本情况• 长虹前身为 1958 年创建的军工企业“国营四川无线电厂”,位于绵阳市,是我国研制生产军、民用雷达的重要基地,是建国初期重点建设项目之一。
• 1965 年,军转民,“国营四川无线电厂”更名为“国营长虹机器厂”。
• 1973 年,长虹厂成功研制出第一台电视机,注册商标“长虹”, 开始创建长虹品牌。
• 1994 年,长虹股票在上海证券交易所挂牌上市。• 2004 年,长虹品牌价值达 330.73 亿元,成为中
国最有价值的知名品牌。
长虹历年经营业绩(亿元)主营收入 净利润
1999 101 5.3
2000 107.1 1.2
2001 95.1 0.9
2002 125.9 1.8
2003 141.3 2.4
2004 115.4 -36.8
主营收入 净利润
1993 24.4 4.3
1994 42.7 7.1
1995 67.6 11.5
1996 105.9 16.7
1997 156.7 26.1
1998 116 20
长虹的国际化战略• 1998 年长虹提出“世界品牌,百年长虹”的战略目标;
• 2000 年开始出口 ;• 2001 年底开始与 APEX做交易;• 2002 年,长虹出口额达 7.6 亿美元,其中 APEX
就占了近 7 亿美元;• 2003 年,长虹出口额达 8 亿美元, APEX占 6 亿美元;
• 从 2000 年开始出口到现在,长虹总的出口额 24亿多美元
长虹的国际化应收帐款• 2000 年底为 18 亿;• 2001 年底为 28.8 亿;• 2002 年底为 42.2 亿;• 2003 年底为 49.8 亿; • 2004 年第三季度季报为 45.5 亿。而欠账的
大头正是 APEX ,达 40 亿。
APEX 的商业信用• 长虹造成如此多的应收帐款完全在于公司的风险
控制机制的缺失。• 2001 年,厦华曾向中国出口信用保险公司了解 A
PEX 的信用度,得到的回答是“ APEX 的信用度为零”和“没有保险公司愿意为 APEX 的货物提供保险”;
• TCL集团几年前也曾想通过 APEX 进入美国市场,但是他们对 APEX提出的一些条件并不满意,特别是觉得赊销的方式风险太大,加上 APEX 以前与一些中国合作伙伴的拖欠货款纠纷,所以 TCL没有与 APEX合作。
长虹的教训与经验• 教训:
–坏帐准备( APEX ): 25 亿多;– 存货跌价准备: 10 亿
• 经验:–战略目标制定的科学性和正确性– 风险管理的必要性和及时性
经营风险分析• 经营环节风险
– 业务风险– 资源风险– 法务风险
经营管理
业务管理
资源管理
法务管理
经营风险分析• 业务管理风险分析
供应活动
投资活动
售后服务
业务管理生产活动
研发活动
销售活动
供应风险
投资风险
售后风险
生产风险
研发风险
销售风险
业务风险分析• 研发风险:技术、资金、人才风险• 投资风险:投资项目、合作伙伴的风险• 供应风险:商品质量、交货时间、价格、汇率和客户稳定性的风险
• 生产风险:产品质量、交货时间的风险• 销售风险:市场、价格、营销策略的风险• 售后服务风险:满意程度的风险
经营风险分析• 资源风险分析
资产资源管理
人力资源
资金
信息
资产风险
人力风险
资金风险
信息风险
资源风险分析• 人力资源风险:数量、素质风险• 财务风险:现金流、利率、汇率等风险• 资产风险:安全、效率风险• 信息风险:可靠性、及时性风险
百富勤案例• 1997 年 6 月至 8 月期间,百富勤向印尼 S
S 公司贷出一笔 2.65 亿美元的无担保短期贷款,并计划替 SS 公司配发新股,以筹集一笔资金来偿付这笔贷款。
• 1997 年底,东南亚金融风暴来临,印尼盾迅速贬值, 97 年底的汇率还是 1美元兑 5000 印尼盾,至 98 年 1 月 8 日就跌至 1 :9600 ,最低纪录为 1 : 11000 。
百富勤案例• 由于汇率大跌,股市疲弱, SS 股价下跌 3
5% ,配股计划落空, SS无法到期偿付这笔巨额贷款。
• 为了应对金融风暴的影响,百富勤于 1997年 11 月就计划引进瑞士苏黎世保险集团作为战略投资者,投资 2 亿美元,认购其可转换优先股,并定于 98 年 1 月 9 日批准此交易, 1 月 13 日付款。
百富勤案例• 这时,百富勤正好有一笔 6000 万美元的短期贷款于 1 月 9 日到期,为此,百富勤与一家美资银行安排了一笔 6000 万美元的短期贷款作为过渡,定于 1 月 9 日到帐。
• 恰在此时, SS 公司因遭交易所拒绝筹资而向百富勤明确表示 2.65 亿美元的短期贷款无法偿还,财务黑洞暴露无遗。
• 闻此消息,美资银行拒绝安排过渡贷款,百富勤无法偿付 1 月 9 日到期的贷款。
百富勤案例• 1 月 9 日下午 5 时,百富勤被迫宣布停业, 1 月 1
2 日中午宣布自动清盘。• 1 月 14 日记者招待会上,董事长杜辉廉在分析百富勤走向破产的原因时说:这令人伤感,但这确是事实,集团业务是有盈利的,我们不过需要一笔十分断暂的应急贷款。
• 一位资深金融评论家说:百富勤的破产经过,就像一位精力旺盛的小伙子,由于一口痰卡在喉咙里,自己无法吐出,又没有人帮助吸出,最后窒息而死。
经营风险分析• 法律风险管理
• 前通用电气 CEO Jack Welch 说:其实并不是 GE 的业务使我担心,而是有什么人做了从法律上看非常愚蠢的事而给公司的声誉带来损害甚至使公司毁于一旦 。
法务管理 法律风险
企业风险管理结构战略管理
经营管理
供应
投资活动
资产
售后服务
业务管理
资源管理
法务管理
人力资源
资金
生产
研发活动
销售
信息
战略风险
供应风险
投资风险
资产风险
售后风险
人力风险
资金风险
生产风险
研发风险
销售风险
信息风险
公司治理
内部控制
企业风险管理
法律风险
4. 风险评估• 使得企业了解潜在事件影响目标的程度。• 从两个角度评估风险
– 风险发生的可能性– 风险发生的影响力
• 不仅可以用来评估风险,还可以用来衡量相关目标。
• 结合运用定性的和定量的风险评估方法。• 将时间纬度与目标纬度联系起来。• 既要评估固有风险,还要评估剩余风险。
5. 风险应对• 识别并评价潜在的风险应对方案。• 根据企业的风险偏好、潜在风险应对方案的成
本效益以及应对方案能够降低风险影响力和(或)可能性的程度来评估各种方案。
• 在评估风险组合和应对方案的基础上,选择并实施应对方案。
风险应对• 风险应对总体策略:
–战略风险:公司治理– 经营风险:内部控制
• 风险应对具体对策:– 风险转移(保险、套期保值、期货)– 风险避免(退出交易活动)– 风险承担(考虑成本效益原则)– 风险减少(加强控制)
可能性
高 减少 避免
低 接受 转移
低 高影响
风险应对风险应对
6. 控制活动• 控制活动是保证风险应对方案以及其他企
业指令得到执行的相关政策和程序。
• 控制活动存在于整个企业,包括各个层面和各个职能。
• 控制活动包括操作控制和一般的信息技术控制。
7.信息与沟通• 管理层必须以一定的格式和时间间隔识别、捕捉和传递有关信息,以保证企业的员工能够执行各自的职责。
• 沟通的意义广泛,包括企业内自上而下、自下而上以及横向的沟通。
8.监控• 通过以下三种方式对 ERM 的其他几个要素进
行监控:
– 持续的监控活动
– 个别评估
– 两者的结合
与《内部控制—整体框架》的关系
• 扩展并详尽阐述了 COSO“ 控制框架”中的内部控制要素。
• 将目标设定作为一个单独的组成部分。目标是内部控制的“前提”。
• 扩展了控制框架的“财务报告”和“风险评估”。
谢谢!