普 华 永 道
企业目标, 风险与内部控制
- 通过风险管理实现企业目标
2 2
企业目标, 风险与内部
(通过风险管理实现企业目标)
提纲:
• 什么是风险管理
• 投资者的要求
• 企业目标, 风险与内部控制的关系
• 控制结构框架
• 风险管理实施 (案例分析)
什么是风险管理?
PwC
4 4
什么是风险管理?
“风险风险管理是:
发现发现和了解组织中风险了解组织中风险的各个方面各个方面,
并且付诸明智的行动付诸明智的行动帮助组织实现战略目标实现战略目标,
减少失败的可能减少失败的可能并降低不确定的经营结果降低不确定的经营结果
的整个过程整个过程”
5Page .... 中国最大的资料库下
载
5
管理层对风险的看法的转变
• 低层次/经营层次。风险监控是内部审计
人员的职能。
• 风险是一个需要控制的负面因素。
• 风险管理在企业各部分个别展开
• 风险管理的责任被委派到低层次的人员
• 风险的衡量是主观的
• 无组织以及杂乱的风险管理职能
从过往操作角度 过渡到董事会关注
• 是CEO的工作 (也是董事会的监管)
• 风险其实是一个机会
• 在整个企业范围内进行一体化的风险管理
• 风险管理的责任由高级和部门管理人员承担
• 风险的数化
• 风险管理被纳入所有企业管理系统
投资者的要求
PwC
7 7
• 投资者关注:
一系列大公司倒闭事件, 如:
1991年: Bank of Credit & Commerce
(BCCI), Maxwell
1995年: 巴林银行, Daiwa银行
• 投资者及有关各方对公司报告和道德行
为标准的要求不断提高
投资者的要求
8 8
• 随着国际上市融资的增多, 机构与个人
投资者对全球股市重视程度的加强, 投
资者正在寻找拥有成熟监管体系的公司
进行投资
• 为了应付国际压力, 各大公司都要对其
公司监管的主要领域进行披露
• 中国是幸运的. 她可以关注着各主要金
融中心关于公司监管的探讨的发展进程.
• .
投资者的要求
9 9
–投资者要什么?
–一个建立在EVA或MVA基础上长期, 稳定
而能接受的回报
–
投资者的要求
10 10
–公司目标又是什么?
–最大股东财富
–
投资者的要求
企业目标, 风险
与内部控制的关系
PwC
12Page .... 中国最大的资料库下
载
12
Key Terms - 关键词汇
RISKRISK
风险风险
ControlControl
控制控制
通过管理程序或活动减少风险
可量化,可衡量,可以达到的业务目标
ObjectiveObjective
目标目标
可能影响业务目标实现的事件
13Page .... 中国最大的资料库下
载
13
业务目标 (Qualities to look
for)
• 具体化
• 可衡量
• 可达到
• 有经济效益
• 与企业长远目标
相联
14Page .... 中国最大的资料库下
载
14
业务目标: 实例
• 一年内将股东价值提高30%
• 在18个月内实现成本降低达 25%
• 6个月内提高生产率20%
• 实现共享服务 (Shared Services Initiatives)
• 建立电子商务 (E-Business Initiatives)
• 新的/改良的系统 (New/Modified Systems)
15 15
明确目标
可量化的,可衡量的和可实现的业务目标
• 组织机构和业务单位是否对各自应实现的目标承担责任?
• 最重要的客户和其组成部分是什么?
• 利益相关者的期盼是什么?
• 影响: 对于公司, 业务单位或业务流程而言, 什么样的目标
有最大的影响力?
• 时间: 短期来看, 哪些目标是最重要的?
16 16
讨论:业务目标
A. 请根据具体情况, 比如您所在的中化产业链 (如油品,塑料,橡胶, 化工产品, 贸易) 和企业特点 (如集团公
司, 职能部门, 产业集团公司, 产业子公司等等), 描述您明年的最重要的五个目标:
目标 描述
1.
2.
3.
4.
5.
17Page .... 中国最大的资料库下
载
17
风险的定义
•What keeps management up at night?
什么事情使管理层夜不能寐?
•What doesn’t keep management up at night, but should?
什么事情应该引起管理层的注意,而实际却没有?
什么是风险什么是风险??
Any issue which could impact an
Organization’s ability to meet it’s
objectives.
任何可能影响某一组织实现其目标的事项。
18 18
• 遵守风险 (法律和政策)
• 财务风险
• 经营风险 (包括战略风险和科技风险)
• 在企业成立之初,内部审计职能的建立
一般是以财务和遵守法律和政策为重点,
但是随着企业的成长,发展以增值为重
点。
风险的三个主要类别
19Page .... 中国最大的资料库下
载
19
风险的类别
Economic (经济)
Political (政治)
Legal (法律)
Technology (科技)
Competition (竞争)
Foreign Exchange (外
汇风险)
Market stagnation (市
场萧条)
Supplier (供应商)
Market related risk (市
场固有风险)
Security/fraud activity
(安全/欺诈行为)
Change in IT (IT 变革)
People (人)
Reputation/media (声
誉/媒体)
Product/Production
(产品/生产)
Purchasing/Procurem
ent (采购)
Accounting (会计)
Working capital mgmt
(流动资本管理)
Management
information (管理信
息)
Financial controls (财
务控制)
20Page .... 中国最大的资料库下
载
20
定义业务风险….
威胁 不确定因素 机会
战略风险
财务/市场风险
经营性的/法律
法规性的风险
• 风险包括:
• 恶性事件带来的威胁
• (risk as hazard)
• 尚不能确定后果的事件
• (risk as uncertainty)
• 可转化为机会的事件
• (risk as opportunity)
• 风险是任何可能影
响某一组织实现其
目标的事项
21Page .... 中国最大的资料库下
载
21
风险的特点
• 风险长期存在
• 不总能被消除
• 必须与机会同时权衡
22 22
需要更有力
的控制
Sears
误导性的汽车销售方法 Salomon
债券拍卖丑闻
Bausch & Lomb
来自CEO的
的销售压力
Hudson Foods
污染的牛肉
General Motors
未能察觉的虚假
的代理商销售
Beech-Nut Foods
质量控制的合规性
Archer Daniels Midland
控制价格的指控
Barings
未得许可的交易风险
Daiwa
贸易损失
Cathy Lee Gifford
压榨劳工
Foundation for New
Era Philanthropy
Ponzi 投资计划 Texaco
种族歧视 United Way
有问题的管理模式
Denny’s
歧视
Firestone
产品质量
不幸的转轮
有什么大不了?
23Page .... 中国最大的资料库下
载
23
内部审计协会列出的9大风险因素
…..
• 管理层的能力 (Competence of management )
• 管理层的道德观 (Integrity of management)
• 近期系统变化 (Recent changes in systems)
• 组织规模 (Size of unit)
• 资产流动性 (Liquidity of assets)
• 变革 (Change)
• 复杂程度 (Complexity)
• 快速增长 (Rapid growth)
• 规章制度是否健全 (Level of regulation)
24 24
讨论:风险
B. 请根据您所要实现的企业目标, 列出将面对的风险并评价其对实现企业目标的关键性:
目标 风险 高 /中/低
1.
2.
3.
4.
5.
25 25
内部控制
实施程序/活动以减少风险
• 内部控制定义:
• 管理层采取的计划,组织,指导行动为
保证以下目标的实现:
– - 达到预定目标
– - 经济并有效的使用资源
– - 防止资产流失
– - 信息的可靠性与整体性
– - 与政策, 计划, 程序, 法律法规保持一
致
(来源:英国内部审计委员会)
26 26
内部控制
实施程序/活动以减少风险
• 内部控制能够帮助企业达成其目标,同
时在前进过程中避免各种错误和意外.
• 随着对价值, 责任, 信任和授权的认可
加强, 控制也被认为是一个有活力的,
不断发展的系统.
27 27
内部控制: 控制不是静态的
原有风险的变化和新的风险对早期设计的内部控制系
统施加压力….
遵守和控制过程
企业组织的变化
内部因素 外部因素
降低成本的要求
工艺流程的改进
和变化
市场竞争
执法者观点的
改变
新的技术
28 28
公司监管与内部控制的关系
• 公司的指导与控制体系.
•包括公司各方面的运营活动, 如财务
管理与报告, 经营效率与效果,遵守
相关法律.
• 由股东指定的董事会负责公司管理.
29 29
• 有关公司监管讨论的一个中心问题是:
建立一个强有力的内部控制系统.
• Adrian Cadbury爵士甚至断言, “公司
的失败都是由内部控制的失败引起的
.”
• 有效的内部控制是公司高效管理的必要
部分这一观点已得到广泛认可.
公司监管与内部控制的关系
30 30
公司监管与内部控制的关系
• 我们应该积极的看待内部控制, 它使董
事们自信地运营公司, 达到他们运营和
赢利的目标, 同时防止资源的流失. 内
部控制在协助管理层防止资源流失, 保
证信息的可靠性和系统整体恰当运转方
面是必不可少的.
31 31
内部控制的职责
• 组织内部控制系统的设计, 维护和监测
的职责, 首先是, 而且最重要的是由董事
会执行的.
• 在很多组织内部, 这一职责是由审计委
员会负责的. 仅仅建立内部控制系统是
不够的. 内部控制系统需要不断的监管
以保证组织达到其既定目标.
• 因此, 除非建立一个有效的监管系统, 否
则我们不能确保内部控制系统的有效性.
监管程序的作用是给董事会一种 “合理
的保证” , 即内部控制正在向既定目标
前进.
32 32
平衡风险和内部控制管理
审计的
范围
企业风
险管理
预防
与管理
层共同
参与
重视交易
遵守职能 重视过程
协助管理层自我评价
内部审计职能
管理层的期望
侦察 加强
咨询
33 33
举例: 企业目标, 风险和内部控制的关系
目标 1 风险 控制
(A) 短期目标:
2002 年度实现利润
增长10%:
- 销售收入增长20%
- 经营成本降低15%
(B) 长期目标:
在未来五年内实现
利润平均每年净增
长10%
- 由于不可靠的和不切实际的销
售预测, 在进出口业务中造成严
重囤货和存货作废.
- 由于履行不平等的或不利的合
同条款而造成严重损失 (如赔偿
损失, 名誉损害)
- 由于未被授权的/给予过多的折
扣造成毛利降低或直接亏损
- 严重的坏帐损失
- 有效的编制和控制经营计划和财务
预算
- 采取措施增强销售预测的准确性并
且只承担经过衡量并能接受的风险,
比如: 获得可靠的市场信息, 将实际
情况与预算进行比较等
- 在主要的经营领域建立制度和程序
(须涵盖集团总部的制度和程序): 销
售, 采购, 财会, 投资等
34 34
举例: 企业目标, 风险和内部控制的关系
目标 1 风险 控制
(续)
(A) 短期目标:
2002 年度实现利润
增长10%:
- 销售收入增长20%
- 经营成本降低15%
(B) 长期目标:
在未来五年内实现
利润平均每年净增
长10%
(续)
- 由于买进不需要的产品, 质量不
合格的产品, 价格没有竞争力的
产品而造成库存积压/存货作废/
资源浪费/品质不良带来的信誉
损害
- 错误的投资决定
- 不正当的付款
- 舞弊行为
-外汇风险
- 投机行为
(续)
- 设置控制程序 (包括预防性的和侦
察性的)和监控系统, 如
-销售合同审阅和批准
-折扣的授权和审批
-信用控制
-采购和付款的权限分配表
-采购的申请 (合理性), 审阅, 批准
(整个过程需要书面化)
-三个文件的付款核对: PO, GRN
和发票
-常规的投资评价过程 (如使用
NPV(净现值)/Payback Method (收回
方式)
-加强内部审计功能
35 35
举例: 企业目标, 风险和内部控制的关系
目标 1 风险 控制
(续)
(A) 短期目标:
2002 年度实现利润增
长10%:
- 销售收入增长20%
- 经营成本降低15%
(B) 长期目标:
在未来五年内
实现利润平均
每年净增长
10%
(续)
- 由于不适当的赏罚制度, 关
键员工的流失或管理人员能力
不足对业务造成的不利影响
- 由于不遵守法规造成的罚款/
处罚/名誉损害
(续)
- 在业务单位采取一些防止不正当的付款或
舞弊等事件发生的措施, 营造一个反对不正
当付款行为的环境, 如制订控制程序(预防
性的和侦察性的), 职业道德规范, 签署利
益冲突文件, 签署不进行“不正当付款保证
”文件等
- 外汇兑换管理包括 Hedging
- 防止投机行为的措施
- 人力资源管理:
-建立并贯彻制度和程序
-公平而有效的奖罚制度
-吸收, 教育, 培训及保留优秀员工
-建立并贯彻职业经理人在责任,权利,
和义务方面的标准
-设置公平,客观和及时的效绩考核系
统
36 36
举例: 企业目标, 风险和内部控制的关系
目标2 风险 控制
有效的资金管理
-产生人民币XX
X万
-由于以下原因造成现金流预算的失
效并造成资金危机, 会导致例如供应商停
止供货造成生产延误而不能执行合同的信
誉损失:
-与供应商和客户签订不平等或不利
的合同
-过长的付款条款
-经常性的COD/没有从供应商获
得赊销
-坏帐 (不当的信用控制和应收货款
管理)
-错误的投资决策
-不必要的资金支出源于未经授权的
/多余的采购,不适当的付款和舞弊行为,
付款错误等
-投机行为,如高风险的投资
-资金预算的计划和控制
-按月份的资金预算报告(将上月的实
际发生和预算相比较制定下月的预算)
-信用控制制度和程序, 包括信用审阅
- 收款的制度和程序
- 合同审阅过程
- 对投资项目进行控制
- 采购和付款控制
- 防止投机行为的措施
37 37
目标3 风险 控制
建立一个准确的,
可靠的和及时的财
务系统
- 由于不准确,不可靠,不及时的财务
/会计和管理报告或信息而造成错误的管
理决策, 以及在年末才反应出来的令人不
悦的经营结果
- 由于以下因素造成的不准确,不可靠
和不及时的财务和管理报告:
- 不合格的,能力不够的财务经理和财
务人员
- 有弊病的财务系统:不完整或不相容,
处理大量核算和交易但是财务系统没有实
行电算化
-资源的超负荷使用
-严格的财务和会计制度和程序
-财务部门的领导能力
-使用适当的人员
-教育和培训
-年终结帐前的检查:检查帐目是否放
映了实际情况
-各种控制活动:核实查证,授权,审
批,对帐(银行和供应商),责任分离,
资产的安全保护
-固定资产现场视察
-年度库存盘点/周期性库存盘点
-现金库存抽查
-集团所有公司内部之间的对帐
-专业的税收和法律检查
-加强内部审计部门的职能
举例: 企业目标, 风险和内部控制的关系
38 38
企业目标 风险 内部控制 评价
1.
2.
3.
4.
5.
C. 请将前面讨论过的企业目标, 风险, 内部控制的关系综合起来, 并提出您的见解:
讨论:企业目标, 风险和内部控制的关系
39 39
企业目标, 风险和内部控制的关系是什么?
确定目标确定目标
评估风险评估风险
分析控制分析控制
目标目标, , 风险和内部控制风险和内部控制
40 40
企业目标 风险 内部控制 评价
1.
2.
3.
4.
5.
D. 小组讨论: 请将前面讨论过的企业目标, 风险, 内部控制的关系综合起来, 并提出小组的见解:
讨论:企业目标, 风险和内部控制的关系
41 41
企业目标, 风险和内部控制的关系是什么?
确定目标确定目标
评估风险评估风险
行动计划行动计划//
责任分配责任分配
分析控制分析控制
目标目标, , 风险和内部控制风险和内部控制
控制结构框架
PwC
43Page .... 中国最大的资料库下
载
43
控制结构框架
COSO控制结构框架包含5个组成要素:
(Committee of Sponsoring Organizations of the Treadway Commission)
• 控制环境 (Control Environment)
• 风险评估 (Risk Assessment)
• 控制行动 (Control Activities)
• 信息与沟通 (Information and Communication)
• 监控 (Monitoring)
44 44
控制环境
控制环境是内部控制的基础:
• 设定组织管理的基调
• 影响着员工的控制管理意识
• 是其他四个内部控制组成部分的基础
• 提供纪律和控制结构
45Page .... 中国最大的资料库下
载
45
控制环境的因素包括控制环境的因素包括:
•企业每一个人的诚信、道德价值和能力
•管理层的管理理念和经营风格
•管理层的授权方式和发展员工的方法
•董事会成员对企业的关注和指导
控制环境
46 46
控制环境
风险评估
控制活动
信息和沟通
监控
营
经
务
财
守
遵
单
位
1
单
位
2
单
位
3
单
位
4
传达管理理念传达管理理念
- - 责任责任
- - 义务义务
- - 职权职权
- - 人力资源人力资源
- - 员工发展员工发展
设定管理基调设定管理基调
- - 诚信诚信
- - 道德观念道德观念
- - 能力能力
要素1: 控制环境
控制要素
控制类别
47Page .... 中国最大的资料库下
载
47
风险评估
为了有效地控制风险则需要对风险进行评估为了有效地控制风险则需要对风险进行评估
• 一个企业都面对各种不同的内部和外部的风险,必须对这些风险进行评
估
• 风险评估就是确定和分析企业实现其目标的过程中的相关风险
• 风险评估的一个前提条件就是企业已确立目标, 这些目标在各个层次上
相互关联并且在企业内部是一致的
• 由于经济、行业、政策法规和经营条件持续地变化, 因此需要建立机制
以及时确定和处理与这些变化相关的特定风险
48Page .... 中国最大的资料库下
载
48
评估关键的风险
风险是您实现业务目标的现存的或潜在的障碍风险是您实现业务目标的现存的或潜在的障碍
• 什么因素可能会妨碍本部门实现其关键的业务目标?
• 要成功, 需要完成一些必要的工作和程序, 而什么因素会阻碍这些工作
和程序的完成和实现呢?
• 发生率: 这些风险中, 什么风险是最可能发生的?
• 影响: 哪些风险将对本部门实现其预定目标的能力产生最重大的影响?
• 有什么有效的控制机制可以减少这些风险及其影响?
49 49
如何评估影响?
• 只要可能,获取管理层和业务单位人员
的投入信息
• 通过职业判断和借鉴以往的经验
• 依照其影响和可能性将风险分类
– 性质、程度 (即,高、中、低等)
– 量化 (即,5、3、1等)
• 将风险排序或制成图表
• 集中精力对有巨大影响力和巨大风
险进行评估
50 50
辨别主要风险影响
偶发性 重要性
无关性 日常性
可能性
影
响
力
51 51
讨论:辨别主要风险影响
B. 请根据您所要实现的企业目标, 列出将面对的风险:
目标 风险 高 /中/
低
1.
2.
3.
4.
5.
52 52
控制环境
风险评估
控制活动
信息和沟通
监控
营
经
务
财
守
遵
单
位
1
单
位
2
单
位
3
单
位
4
管理管理//控制变化控制变化
确定并分析对实现企业并分析对实现企业
目标有影响的风险目标有影响的风险
要素2: 风险评估
控制要素
控制类别
53 53
风险意识
• 把对风险的认识发展成为企业文化的一
部分, 比如, 企业设有清晰并完整的辨
别和处理风险的程序
• 在员工中提倡风险的意识, 通过公告,
阶段性的报告等手段让员工了解什么应
该执行, 什么应该避免
• 管理层在制定发展计划,设定目标时必
须考虑到目标进行时可能遇到的风险并
进行评价
• 企业员工能够在被问到的时候清楚地说
出企业的主要目标
• 经常性地要求员工提出他们对风险的认
识和看法
• 对员工进行风险认识的培训.
• 在提高对风险的认识问题上, 企业内部
的交流 – 无论是主动的还是被动的 –
都是非常有效的.
54 54
风险意识 (续)
• 员工在职责范围内关于减低风险的表现作
为年度业绩考核的一项条款.
• 负有降低风险责任和义务的管理人员对他
们的职责非常清楚.
• 每一件“坏事”发生的原因都被彻底调查
清楚, 使这些因素能够被企业及其员工理
解, 讨论并产生相应的对策.
• 每一位经理在他/她能够影响的范围内,
都设立降低风险的目标.
• 与风险相关联的任何经验都在企业内部进
行广泛而有效的交流.
• 风险进行分类, 既把风险看成是威胁又把
风险看成是机会.
55Page .... 中国最大的资料库下
载
55
控制活动
为管理和减少风险而为管理和减少风险而制定的制定的政策制度政策制度和和程序程序
• 是协助管理层确保有关经营指导方针得以落实的政策制度
和程序
• 帮助确保管理层采取必要的措施行动以处理企业在实现其
目标的过程中所面临的风险
• 在整个公司范围、所有层次以及所有职能中实施
56Page .... 中国最大的资料库下
载
56
控制活动
控制活动包括:
• 审批 (Approvals)
• 授权 (Authorizations)
• 核实查证 (Verifications)
• 对帐 (Reconciliation)
• 检查 (Review)
• 资产的安全 (Security of assets)
• 责权分离 (Segregation of duties)
57Page .... 中国最大的资料库下
载
57
评估适当的控制
• 能做什么工作来降低发生风险的可能
性?
• 这些工作或活动现在存在吗? 足够吗
?
• 现有的控制活动是否明确, 独特且没
有彼此重复?
• 效率: 有没有更容易的或者成本更低
的控制风险的方法?
• 效果: 这些控制活动是不是有效地
降低了风险?
为管理和减少风险而制定的政策制度和程序为管理和减少风险而制定的政策制度和程序
58 58
控制环境
风险评估
控制活动
信息和沟通
监控
营
经
务
财
守
遵
单
位
1
单
位
2
单
位
3
单
位
4
管理层发展方针贯彻的程序管理层发展方针贯彻的程序
--直接的职能或直接的职能或活动活动管理管理
-- 物质的控制物质的控制
- - 职权的分离职权的分离
要素3: 控制活动
控制要素
控制类别
实现目标的管理机制实现目标的管理机制
59Page .... 中国最大的资料库下
载
59
信息和沟通
人们往往认识不到信息和沟通是和控制相关联的人们往往认识不到信息和沟通是和控制相关联的
• 必须通过某种方式,在一定的时间之内明确、
获得并传达沟通相关信息以确保人们能够履行其职责。
• 信息系统提供有关财务、经营和法律法规的遵守等信息的
报告,这些信息使企业的管理控制成为可能。
• 所有员工必须从高级管理层获得明确的信息指令,
即所有人都必须认真看待和履行控制职责。
60 60
控制环境
风险评估
控制活动
信息和沟通
监控
营
经
务
财
守
遵
单
位
1
单
位
2
单
位
3
单
位
4
要素4: 信息和沟通
控制要素
控制类别
经营和财务信息的准确经营和财务信息的准确
性和及时性性和及时性
获取内部和外部的信息获取内部和外部的信息
组织的沟通组织的沟通
61Page .... 中国最大的资料库下
载
61
监控
是确定控制结构是否有效及最大可能减少意外不测的关键是确定控制结构是否有效及最大可能减少意外不测的关键
• 内控系统需要监控
• 内控系统的监控通过以下工作实现:
进行中的监控工作
单独的评估 (内部审计)
二者的结合
• 内部控制的不足应当逐级向上汇报,重大问题要报最高管
理层和董事会。
62 62
控制环境
风险评估
控制活动
信息和沟通
监控
营
经
务
财
守
遵
单
位
1
单
位
2
单
位
3
单
位
4
要素5: 监控
控制要素
控制类别
连续性的行动和连续性的行动和
一次性的活动一次性的活动
反映严重问题的系统反映严重问题的系统
监控系统的评价监控系统的评价
63 63
• 通过使用COSO提供的框架, 管理层可
以处在一个更好的位置来把企业的内部
控制系统和已建立的标准进行比较, 找
出运营中, 财务报告中存在的问题以及
是否遵守了法律法规, 并采取行动加以
改进.
控制结构框架
64 64
控制结构框架 现有的风险管理情况
控制环境
风险评估
控制活动
信息和沟通
监控
E. 请按照控制结构框架的五个要素描述贵公司现有的风险管理情况:
讨论:
65 65
内部审计委员会建议高级执行官和董事认真
研究以下问题, 来更好的理解他们组织的管
理系统:
• 董事会和管理层是怎样建立并维持公司的
道德准则和文化?
• 公司是怎样识别和管理风险的?
• 公司是怎样评估其内部控制系统并使其有
效运转的?
• 公司是怎样判断其审计委员会工作效率的
?
• 怎样得知内部审计功能是否有效?
控制结构框架
66 66
内部控制的前景
• 我们经常使用内部控制, 但我们对它还
有很多误解. 因此, 我们需要花些时间
来研究内部控制的本质和我们通过内部
控制能得到什么.
• 一个强有力的内部控制系统意味着公司
能够提高效率和功效, 加强对外部事物
的控制能力. 另外, 人们可以得到可靠
的相关信息, 他们可以在合适的时间和
地点来使用. 好的管理和有效的内部控
制可以保证一个组织随时处理出现的不
利情况, 限制其不利影响. 有效的控制
可以给公司成员充分的自由度来发挥其
判断力与想象力, 管理错误行为带来的
风险, 从而帮助公司成功.
67 67
内部控制的前景
• 然而, 内部控制并不能保证公司的成功.
内部控制只是管
理程序的一个部分,而不是全部.
68 68
内部控制的前景
• 内部控制也不是对错误决策, 低效管理
和无法预见的外部事件的补救
• 内部控制也不能解决企业的所有问题
• 但是, 低效的管理却会引起严重的公司
问题.
• 我们永远也不能保证内部控制的完全有
效性, 因为我们不可能持续监督所有的
人员, 程序及系统.
69 69
内部审计在公司监管中的作用
• 在大多数情况下, 内部审计功能应在审
计委员会的指导下完成, 并向后者按时
汇报.
• 内部审计职能并不是作为审计委员会的
备选方案. 恰恰相反, 内部审计职能在
协助审计委员会完成公司监管职责方面
起着重要作用. 审计委员会的设立是重
要的第一步, 但只有建立专业的内部审
计功能才可以给审计委员会强有力的武
器来保证对控制所处环境的有效监测.
70 70
内部审计在公司监管中的作用
• 英国Cadbury报告中特别指出, 对公司
来讲, 建立内部审计功能是一种很好的
实践. 内部审计功能将对公司关键控制
和程序进行常规监测, 并且其本身应被
看作公司内部控制整体的一个部分和一
种保证内部控制有效的途径.
• 同样, COSO报告陈述道: “内部审计员
在评估控制系统有效性方面起着重要的
作用, 并对系统进行中的有效性作出贡
献. 由于其组织性地位和在实体中的权
威, 内部审计经常发挥重要的监测职能
.”
• 目前, 建立专业内部审计功能以帮助管
理层完成公司监管的职责, 已被广泛的
看作一种很好的实践.
风险管理实施 (案 例 分 析
)
PwC
72 72
案例分析 ((全面风险管理方案风险管理方案))
XYZ 是一家大型国有企业集团, PETER 是XYZ 下属的ABC 公司刚刚任命的总经理. PETER 的前任JOHN,
在担任ABC 公司总经理的3年时间里, 领导公司在销售收入和完成利润方面取得了卓越的成绩. ABC 公司
2002年财务年度的目标是销售收入和利润分别增长 15% 和10%.
PETER是技术出身的管理人员, 最近参加了一些风险管理的培训讲座, 因此他对企业目标, 风险和内部控制的
关系, 以及控制框架的五个要素有一定的认识, 他也知道一些美国和欧洲的跨国公司因为内部控制不良而倒闭
或陷入困境.
PETER 在上任后的一个月里和管理层开过几次会, 并且认识到管理人员对完成今年的销售和利润目标非常关
注, 但是对风险管理却不以为然. 当PETER 对他的副总经理FRANCIS 谈到这个问题时, FRANCIS这样回答:
“我们的重点就是完成今年的目标. 风险管理是我们这个级别的子公司的目标和责任吗? 我们总公司有
风险管理部门嘛,如果这还不够, 总公司还有财务部门和内部审计部门. 我在咱们集团公司的时间很久
了, 我清楚地知道我们只要完成今年的任务就可以了!”
PETER 对下属这样不关注风险管理有些失望.但是,他也认识到在向市场经济过渡的过程中,人们是
需要时间接受和适应风险管理等概念和管理方式的.
73 73
案例分析 ((全面风险管理方案风险管理方案))
PETER 回到办公室, 看到桌子上集团首席执行官给各个子公司总经理的文件,上面写到:
“虽然集团近年的发展状况很好,但是最近发生的一些问题要引起我们足够的重视:由于内部控制不良和其
他一些因素, 一些曾经发展很快的子公司最近发生了严重的亏损,给集团造成了很大的损失. 我们必须
在集团的各个单位加强风险管理... 不仅要保证完成公司制定的近期目标, 更要确保实现公司较长期
的目标和持续稳定地增长... "
这时候, 集团内部审计部的经理JENNY打来电话:“PETER, 我不知道这对你是个好消息还是
坏消息 - 你们公司被选定在两个月后进行内部审计"
XYZ集团的管理层是非常有前瞻性和明确战略目标的团队 .在过去的10年中,集团取得了令人信服的
发展业绩,并且在激烈的市场竞争和中国加入WTO的大环境下不断深化企业改革,包括建立市场机制下的
专业管理环境,聘用受过高等教育的有能力的职业管理人员,引进西方先进的管理理念等,不断调整集团的
管理结构和方式方法以适应经济全球化下集团发展的需要.
请问: 如果您是PETER, 您将如何制订并贯彻一个全面风险管理方案?
74 74
控制结构框架 风险管理计划
控制环境
风险评估
控制活动
信息和沟通
监控
F. 案例分析: 请按照控制结构框架的五个要素建立ABC 公司风险管理计划:
讨论讨论::全全面面风险管理方案风险管理方案
75 75
结论
• 主要考虑公司监管和组织中建立强有力的风
险管理,内部控制系统的重要性
• 董事们和经理们能够有效的履行公司监管
的职责.
• 内部控制处于管理的核心. 实际上, 它既是
管理整体的一部分, 又有其独立性.
• 内部控制的一个关键方面就是要具备有效
的监测功能, 例如专业的内部审计功能. 没
有此项功能, 董事会和审计委员会就不能
合理的保证组织内部控制系统的目标能够
达到.
GE is a great company
Sinochem Guangzhou is a
good company on its way to
greatness
