企业内部控制与风险管理(第二版)
第一章 内部控制概论
第一节内部控制的产生和发展
一、国外内部控制的发展历程p3-13 (一)内部牵制阶段 一般来说,内部牵制的执行大致可分为以下四类:一是实物牵制。例如把保险柜的钥匙交给两个以上的工作人员持有。非同时使用这两把以上的钥匙,保险柜就打不开。二是机械牵制。例如,保险柜的大门若非按正确程序操作就打不开。三是体制牵制。采用双重控制预防错误和舞弊的发生。四是簿记牵制。定期将明细账与总账进行核对。在现代内部控制理论中,内部牵制仍占有重要地位,成为有关组织机构控制和职务分离控制的基础。 内部牵制是基于以下两个基本设想:(1)两个或以上的人或部门无意识地犯同样错误的机会是很小的;(2)两个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。 (二)内部控制阶段 (三)管理控制和会计控制阶段 (四)内部控制结构阶段 (五)内部控制整体框架阶段
进入20世纪90年代后,人们对会计控制的研究进入了一个全新的阶段。
精心整理
它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。
同以往的内部控制理论及研究成果相比,COSO报告提出了许多新的、有价值的观点。体现在:p7
1、明确制定与实施内部控制的“责任”。 2、指明内部控制应与经营管理相结合。 3、指明内部控制是一个循环往复的过程。 4、强调思想、观念更新的重要性。 5、要求管理层关注企业各层次的风险。 6、指明内部控制的分类及目标。 7、指出内部控制只能做到“合理”保证。 8、强调要考虑成本与效益原则。 (六)内部控制整体框架——风险管理阶段 企业风险管理包括八个相互关联的要素,各要素贯穿在企业的管理过程之中。 1、内部环境 2、目标制定 3、事项识别 4、风险评估
精心整理
5、风险反应 6、控制活动 7、信息和沟通 8、监控
相对于内部控制框架而言,新的COSO报告新增加了一个观念、一个目标、两个概念和三个要素,即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。 1、提出一个新的观念——风险组合观(AnEntity—LevelPortfolioViewofRisk) 2、增加一类目标——战略目标,并扩大了报告目标的范畴 3、针对风险度量提出两个新概念——风险偏好(RiskAppetite)和风险容忍度(RiskTolerances) 4、增加了三个风险管理要素,扩大了相关要素的范围 企业风险管理框架新增了三个风险管理要素——“目标制定”、“事项识别”和“风险反应”。 二、中国内部控制与风险管理的发展 1999年修订的《中华人民共和国会计法》,第一次以法律形式对建立健全内部控制提出了原则要求,财政部随即连续制定发布了包括《内部会计控制规范——基本规范》在内的七项内部会计控制规范。
(一)五部委的《企业内部控制基本规范》及《配套指引》p13
精心整理
1、《企业内部控制基本规范》
根据《企业内部控制基本规范》,企业建立内部控制应当包括五个要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。 2、《企业内部控制应用指引》
《企业内部控制应用指引》在企业内部控制规范体系中处于主体地位。 《企业内部控制应用指引》由18项具体应用指引组成,具体包括的内容:已发布的针对企业具体业务或事项的18项应用指引,内容涵盖组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递和信息系统等企业最常见、最基本、迫切需要加强控制的环节和领域。 《企业内部控制应用指引》可以划分为三类,即内部环境类指引、控制活动类指引、控制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。其中,内部环境类指引包括组织架构、发展战略、人力资源、社会责任、企业文化5个指引;控制活动类指引包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告9个指引;控制手段类指引包括全面预算、合同管理、内部信息传递、信息系统4个指引。 3、《企业内部控制评价指引》
内部控制评价是企业内部控制中非常重要的一环。 4、《企业内部控制审计指引》
内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计和运行
精心整理 的有效性进行审计
(二)国资委的《中央企业全面风险管理指引》
2006年6月,国务院国资委根据《企业国有资产监督管理暂行条例》(国务院令第378号)关于“国有及国有控股企业应当加强内部监督和风险控制”的要求,出台了《中央企业全面风险管理指引》,旨在进一步加强和完善国有资产监管工作,深化国有企业改革,加强风险管理,促进企业持续、稳定、健康发展。 《中央企业全面风险管理指引》对全面风险管理的定义是:围绕企业总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的全面风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理组织体系、风险管理信息系统和内部控制系统,从而为实现风险管理总体目标提供合理保证的过程和方法。 1、全面风险管理目标 全面风险管理的控制目标包括五个,分别是:战略目标、报告目标、合规目标、经营目标、减灾目标。战略目标是确保将风险控制在与总体目标相适应并可承受的范围内;报告目标是确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告;合规目标是指企业应当遵守有关法律法规;经营目标是确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;减灾目标是确保企业建立各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
精心整理
2、全面风险管理环境
全面风险管理环境包括风险管理文化、风险管理组织体系、风险管理信息系统。其中,风险管理文化包括对员工进行风险态度、行为的宣导,进一步深化风险管理“一把手负责制”,建立符合公司战略目标的风险偏好,完善公司风险政策,以增强企业全员的风险意识;风险管理组织体系由三道风险管理防线组成,第一道是业务职能部门,第二道是风险管理职能部门,第三道是内部审计部门和董事会下设的审计委员会;风险管理信息系统是对风险管理体系设计方法和结果进行固化和标准化,并实现对风险的事前、事中和事后控制,以及对风险管理体系的运行绩效和有效性进行监督检查及改善。 3、全面风险管理基本流程 全面风险管理的基本流程包括:建立初始信息框架、风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险管理的监督与改进,在此过程中,信息与沟通贯穿始终。 (三)银监会的《商业银行内部控制指引》 商业银行内部控制的目标包含以下几点:一是确保国家法律规定和商业银行内部规章制度的贯彻执行;二是确保商业银行发展战略和经营目标的全面实施和充分实现;三是确保风险管理体系的有效性;四是确保业务记录、财务信息和其他管理信息的及时、真实和完整。
第二节内部控制的概念、目标和内容
一、内部控制的概念
精心整理
P18内部控制可理解为:内部控制是组织内部的主体,为了保证经济资源的安全完整,确保经济信息的正确可靠,协调经济行为,控制经济活动,规避经营风险,利用组织内部因分工而产生的相互制约、相互联系的关系,形成一系列具有控制职能的方法、措施、程序,并予以规范化、系统化,使之组成一个严密的、较为完整的体系。
二、建立内部控制的必要性p19 (一)科学管理的要求 (二)法律、法规的要求 (三)成本—效益原则的要求 P20客观上要求企业加强内部控制的因素有: (1)避免违规。企业面临的潜在违规风险包括环境保护、职工安全等。如果企业事先设置了这相关内部控制程序,可能就会避免这种损失。 (2)降低惩罚。有些法律在对企业犯罪量刑时,依据犯罪的严重程度与企业内部控制的有效程度来决定对企业的惩罚。如果企业设有能够预防和发现违法行为的有效内部控制制度,则可以大大降低对企业的责罚。 (3)减少欺诈。近年来,企业发生的外部欺诈案件和内部欺诈案件呈上升趋势。在这些发生内、外部欺诈的公司中,内部控制薄弱是其共同特征。如果企业设有有效的内部控制制度,则可以大大减少对企业的欺诈。
(4)管理跨国公司风险。在海外经营的跨国企业会面临不同于国内的政治、经济、文化风险,由于交易活动的复杂性还会产生国际税收、汇率波动等风险,这就
精心整理
要求企业专门设立管理这些风险的内部控制。
(5)树立良好社会形象。由于信息透明度的增大,企业一旦发生欺诈行为、管理不善或违反法规、被处罚款,就会引起社会新闻媒介的广泛关注,从而造成公司股票价格的剧烈波动,甚至给公众留下公司“管理失控”的不良印象。内部控制有助于预防此类问题的发生,并且在问题发生时能够提供与新闻界妥善处理的补救程序。 (6)加强政府管制。2001年美国Enron公司及之后的一系列公司财务舞弊案件,引致了2002年《萨班斯—奥克斯利法案》公布实施,其中第404号条款要求在美国证券交易委员会(SEC)备案的上市公司必须提交年度内部控制报告,作为向SEC提交的财务报告的组成部分。在这份内部控制报告中,要求管理层报告公司当前内部控制的质量,并要求负责财务报表审计的会计师事务所对内部控制报告加以证实。 三、内部控制的目标 1992年COSO报告在得到各界普遍认可的内部控制概念中提出的目标有三大类:一种是营运目标(Operations):与企业资源使用的效率和效果有关,包括绩效和获利目标,以及保障资产的安全,使其免受损失。二是财务报告目标(FinancialReporting):与编制对外公布的财务报表的可靠性有关,包括防止对外公布财务报告的不实。三是遵循目标(Compliance):与企业遵循相关法律法规有关,它们受外界因素,如环境保护法等影响。这些法令规定了企业的最低行为标准。
下面从COSO内部控制目标的三个方面分别讨论: 1、运营的效果和效率
精心整理
2、财务报告的可靠性 3、符合相关的法律和法规
2008年中国财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》,提出内部控制的目标主要包括:p21
1、确保企业战略的实现 2、运营的效果和效率 3、财务报告的可靠性 4、资产的安全、完整 5、符合相关的法律和法规 四、内部控制的内容 由于每个单位的性质、业务、规模等方面不同,内部控制系统的具体内容也不尽相同。概括起来,内部控制的构成内容可从如下方面来考察:p22-24 (一)合规、合法性控制 (二)授权、分权控制 (三)不相容职务控制 1、经济业务处理的分工。 2、资产记录与保管的分工。 3、各职能部门具有相对独立性。
精心整理
(四)业务程序标准化控制 (五)复查核对控制 (六)人员素质控制
第三节计算机环境下的内部控制
二、计算机环境下的内部控制p25-28 计算机系统的内部控制制度,从计算机会计系统的建立和运行过程来看,可分为对系统开发和实施的系统发展控制、对计算机会计系统各个部门的管理控制、对计算机会计系统日常运行过程的日常控制。 第四节《萨班斯—奥克斯利法案》对内部控制的影响 美国参众两院在2002年迅速出台并通过了《公众公司会计改革与投资者保护法案》,即《萨班斯—奥克斯利法案》。该法案对1933年证券法和1934年证券交易法进行了大幅修订,被认为是美国自20世纪30年代经济大萧条以来涉及范围最广、处罚措施最严厉、影响力最大的上市公司法案。 一、《萨班斯—奥克斯利法案》的主要内容p29 《萨班斯—奥克斯利法案》共分11章。与美国已有的证券法规相比,《萨班斯—奥克斯利法案》突出了以下内容:设立独立的上市公司会计监管委员会,负责监管执行上市公司审计的会计师事务所;特别加强执行审计的会计师事务所的独立性;特别强化了公司治理结构并明确了公司的财务报告责任及大幅增强了公司的财务披露义务;大幅加重了对公司管理层违法行为的处罚措施;增加经费拨款,强化美国证券交易委员会SEC的预算以及职能。其中,最为要害的就是第302号条款和
精心整理 第404号条款。
第302号条款主要是强调上市公司财务报告的真实性。这种强调来自于上市公司首席执行官(CEO)和首席财务官(CFO)必须对公司财务报告的真实性负责并宣誓。
第404号条款是《萨班斯—奥克斯利法案》中最难操作、最复杂的一个条款。条款规定:在美上市企业,要建立内部控制体系,其中包括控制环境、风险评估、控制活动、信息沟通以及监督5个部分。内部控制活动的记录不仅要细化到像产品付款时间这样的细节,而且对重大缺陷都要予以披露。内部控制活动的记录不仅要细化到诸如产品付款时间之类的细节,而且对重大缺陷都必须予以披露。它涵盖企业运营的各个领域,一旦投入实施,必将引起整个企业控管流程的改变。 从2006年7月15日起,但凡年销售收入在5亿美元以上的在美国上市的外国公司,都必须开始执行《萨班斯—奥克斯利法案》。 二、《萨班斯—奥克斯利法案》对内部控制的影响 对于许多企业而言,《萨班斯—奥克斯利法案》要求建立严密内部控制的高昂成本已经超出了它们所能承受的范围,因此,退出资本市场无疑成为最明智的选择。 问题的严重性在于,在全球证券交易所争夺上市资源日趋激烈的情况下,许多原来准备到美国上市的国外公司最后到了其他市场,而且这种情况可能会愈演愈烈。
《萨班斯—奥克斯利法案》的产生将使得中国内地在美上市企业受到以下冲击:第一也是最重要的冲击是,中国企业在美上市的维持成本将大幅升高。
对于已经在美国上市的中国企业而言,必须直面实施《萨班斯—奥克斯利法案》
精心整理
所造成的内控成本上升和诉讼风险增大的影响。
因此,这些企业还有两点需要注意:一是充分保持审计委员会的独立性、赋予审计委员会真正的权利,让审计委员会充分发挥在内控体系中的重要作用;二是延揽熟悉美国证券法律,特别是《萨班斯—奥克斯利法案》的专业人才,积累在美应诉的宝贵经验,为将来的潜在诉讼做好应对准备。
准备赴美国上市的中国公司,尽管全方位完善公司的内部控制、提交评估报告会带来巨大的执行成本,但在高昂的成本和复杂的操作背后,将看到内部控制健全的公司强大的企业竞争力。 第五节内部控制促进企业发展案例 第二章内部控制设计 第一节财务报告内部控制 一、内部控制对财务报告的影响 从经济业务的发生到形成账簿、报表需要一系列的控制活动 由此可见,业务控制程序和活动并不是单独存在的,而是渗透于生产经营管理活动中。有效的内部控制能确保会计核算系统中确认、计量、记录、报告各步骤都具有真实合法的凭据,并减少核算中的差错,最终提供真实可靠的财务报告。无论哪一个控制环节出现问题,都可能会产生记录核算错误或者给不法分子以可乘之机,诱发舞弊,造成虚假的财务报告。
除了业务控制程序和活动外,内部控制其他组成部分也制约着财务报告的真实性、可靠性。要使业务控制程序和活动能够得到有效执行以保证会计信息的真实可
精心整理
靠,离不开组织结构的好坏和人员素质的高低。 二、财务报告内部控制的含义
财务报告内部控制的目的是确保公司设计的控制程序能为下列事项提供合理的保证:公司的业务活动经过合理的授权;保护公司的资产,避免未经授权或不恰当的使用;业务活动被恰当的记录并报告,从而保证上市公司的财务报告符合公认会计原则的编报要求。 根据SEC2003年6月正式发布的最终规则中的定义,财务报告内部控制是指由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的,受到公司的董事会、管理层和其他人员影响的,为财务报告的可靠性和满足外部使用的财务报告编制的符合公认会计原则提供合理保证的控制程序,具体包括以下控制政策和程序。P35 1、保持详细程度合理的会计记录,准确公允地反映资产的交易和处置情况。 2、为下列事项提供合理的保证:公司对发生的交易进行必要的记录,从而使财务报告的编制满足公认会计原则的要求;公司所有的收支活动经过管理层和董事会的合理授权。 3、为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证,这种未经授权的取得、使用和处置资产的行为可能对财务报告产生重要影响。
由此可见,财务报告内部控制是专为合理保证财务报告的可靠性这一目标而提出的,既然将财务报告内部控制这一概念单独从内部控制中分离出来,说明在保证财务报告可靠性方面,内部控制的确发挥着不可忽视的作用。
精心整理
三、内部控制要素与财务报告认定的关系
财务报告中所包含的有关管理当局的认定有:p36
1、存在或发生。所有资产、负债和所有者权益在资产负债表项目中必须存在,并且所有利润表中的收入、费用、盈利都必须在当期发生。
2、完整性。财务报告包括“所有的”交易、资产、负债和所有者权益。 3、权利和义务。在财务报告中,企业拥有资产的权利和偿还负责的义务。 4、估价或分摊。财务报告中的资产、负债、所有者权益、收入、费用、利润和亏损是根据公认的会计准则来确定的。 5、表达与披露。财务报告中记录的数据按照公认的会计准则被合理地分类和披露。 特定的内部控制要素与财务报告认定的关系,主要有: 1、控制环境与财务报告认定的关系 2、风险评估与财务报告认定的关系 3、控制活动与财务报告认定的关系 4、信息与沟通与财务报告认定的关系 5、监控与财务报告认定的关系
第二节内部控制的设计
一、内部控制设计的指导思想
精心整理
设计内部控制要遵循科学性、合规性、合理性、成本与效益等基本原则,还要按照控制论、系统和信息论的基本理论和方法加以应用。
1、控制论对内部控制设计的指导
从控制论的观点看,控制就是按照一定的条件和预定的目标,对一个过程或系统施加影响,使其按照预定的轨道运行,并达到预期目标的一种有组织的行动。
2、系统论对内部控制设计的指导 系统在不同程度上具有稳定性、动态性和适应性的特征。 3、信息论对内部控制设计的指导 从信息论的观点看,会计系统是提供资金运动状况即资金流的一个信息系统。 二、内部控制设计的基本思路 内部控制系统总体设计的思路: 一个现代化企业的内部控制系统在总体上说,应该是项目、组织和流程三个方面的综合,形成一个完整的系统。 1、内部控制项目。所谓内部控制项目,是指内部制度的基本单位。 2、内部控制组织。所谓内部控制组织,是指具有共同行动目标的人类群体。 3、内部控制流程。所谓内部控制流程,是指企业经营过程的一个阶段,由若干项目作业组成,而作业由若干项任务组成。
在内部控制流程设计中,就是遵循着这种相对的“流程—作业—任务”三个因素之间的依次关系进行的。P40
精心整理
三、单项内部控制的设计思路
所谓单项内部控制的设计就是指对内部控制项目的设计,设计的思路可以按部门进行设计,也可以按项目设计,还可以按流程进行设计。
1、按部门设计单项内部控制 2、按每个项目设计单项内部控制 3、按流程设计单项内部控制 第三节财务报告内部控制的设计 一、财务报告内部控制的设计思路 企业的业务循环是指处理某一类经济业务的工作程序和先后顺序。 二、财务报告内部控制设计的程序 P43-44财务报告内部控制的设计程序为:为确保财务报告可靠性的目标评估财务报告重大错报风险;根据财务报告重大错报风险评估设计内部控制系统;由相关部门和人员执行内部控制系统;依据标准对内部控制设计的科学性和执行的有效性进行测试和评价;分析差异及例外事项;采取适当的改进措施。 (一)财务报告内部控制的设计 设计财务报告内部控制系统应考虑的问题主要有:
1、根据组织规模、经营特征,确定哪些业务采取一般控制方式,哪些业务采取特殊控制方式,系统应反映出企业的形态特征。
2、根据企业组织机构设置与人员数量素质情况,确定哪些业务采取综合部门控
精心整理
制,哪些业务采用业务部门控制,或实行两方面结合控制,系统应反映出组织机构中所采取措施的责任所在。
3、根据具体业务性质及涉及面、复杂程度与危险程度,确定是进行程序控制,还是进行纪律控制、监督检查控制,或者是采用综合控制,特别要注意预防方式、自检与纠正控制的设计。
4、根据方便使用的需要,哪些系统用文字说明形式表态,哪些制度用组织系统图或业务流程图表达,或图文并用。 5、注意系统设计的适当性、可操作性、经济性与有效性,尽量避免繁杂、不适用、低能和浪费。 (二)财务报告内部控制的执行 要特别注意以下问题: 1、财务报告内部控制的有效执行特别需要一个良好的控制环境,所以,要在企业内部营造一种深厚的控制氛围。 2、制定贯彻执行的切实措施,除宣传教育外,还要进行培训和模拟实验,使每个岗位的人员都清楚自己遵循的制度和规定,明白遵守与违反的界限,并提高自我监督与对他人监督的意识,克服执行制度的随意性。 3、组织各阶层管理人员,特别是高层管理者要自觉遵守与自己有关的各项控制制度,要自觉接受违反制度后的应有惩罚,大事化小、小事化了会破坏制度的严肃性和权威性。
4、注意财务报告内部系统执行中的检查与调节工作,一旦发现违反制度的行为,
精心整理
应按规定进行严肃处理,绝不能姑息迁就,绝不拖延,否则就会一发不可收拾。执行中如发现不协调的环节,应及时调整,保证整个财务报告内部系统执行畅通无阻。 (三)财务报告内部控制的评价
财务报告内部控制评价根据评价的主体不同,可以分为外部评价和内部评价两种。外部评价主要是指会计师事务所的注册会计师的评价或有关检查部门的评价;内部评价主要是指内部审计人员的评价,或有关管理部门的自我评价。 财务报告内部控制评价既可以进行单项评价,又可以综合评价。其评价一般为检查、分析与评定三个阶段。 (四)财务报告内部控制的持续改进 三、信息技术对财务报告内部控制的影响 第四节内部控制的局限性及其弥补 一、内部控制的局限性 P48-49企业内部控制系统存在一些固有的局限性,归纳起来主要有以下几方面: 1、受成本与效益原则的制约 2、受经济活动的不断变化的影响 3、受企业环境的影响 4、受企业文化的影响 5、受串通舞弊的冲击
精心整理
6、受人为错误的影响 7、受管理者越权的冲击 8、受企业人员素质的影响 二、内部控制局限性的弥补
1、不断完善内部控制系统 2、不断调整内部控制系统 3、加强对内部控制实施的检查 4、明确实施内部控制的责任人 5、加强与内部控制相配套的制度建设 6、优化实施内部控制的外部环境 第五节内部控制设计案例 第三章内部控制评价 P60对于企业内部控制的评价,可以分为两个步骤:一是通过对内部控制的了解,描述内部控制情况,并做出相应的记录;二是评价内部控制的有效性,确定企业内部控制薄弱的领域,并提出改进的意见和建议。
第一节对内部控制系统的了解
一、了解内部控制系统的主要目的与内容
通常出于以下原因需要了解企业的内部控制系统:
精心整理
1、确认可能发生的潜在错报、舞弊的种类以及导致发生这些错报与舞弊的因素。 2、充分了解企业的信息披露系统以确认其内部的有关凭证、报告、文件和其他可能的信息载体,并表明在审计测试和其他测试中将需要运用的信息或数据。
3、如果对企业管理当局的正直性持有怀疑,或其信息载体贫乏以至于很难取得足够有效的证据,那么通过对内部控制系统的了解,可以发现和确定企业的内部控制系统是否有必要作进一步的测试与评估,确定其财务报告是否具有可审性。
一般来说,在所有审计中,审计人员都应该了解与审计测试有关的内部控制政策与程序的设计是否有效,以及这些政策和程序是否得到有效执行。因而对内部控制系统进行了解的主要内容包括两个方面,即内部控制的政策与程序在设计上是否有效,设计良好的内部控制政策与程序在实际中是否得到有效执行。 二、了解内部控制系统的方法与技术 (一)了解内部控制的方法和技术 1、询问内部控制相关人员,并查阅相关内部控制文件。 2、检查内部控制生成的文件和记录。 3、观察内部控制相关的业务活动。 4、选择若干具有代表性的交易事项进行“穿行测试”。穿行测试是指每类交易循环中选择一笔或几笔业务进行流程测试,以验证所记录的内部控制情况是否客观和真实。
(二)对内部控制系统了解情况进行记录
精心整理
通常审计人员有三种方式来记录对内部控制系统进行了解所获得的情况,即文字叙述方式、内部控制调查问卷方式,以及绘制内部控制系统流程图的方式。 (三)评价现有内部控制系统以确定是否存在潜在控制弱点
一般来说,需要审计人员记录的内部控制缺陷信息,应该包括缺陷、补偿控制措施、该缺陷可能带来的潜在错报和舞弊可能,以及它对某种控制类型整体和财务报告可靠性的影响程度。 (四)报告所发现的内部控制缺陷 如果内部控制缺陷造成的潜在影响很大,那么审计人员就应该及时将发现的结果以书面的形式告知有关当事人,要求他们建立应急控制措施,防止控制缺陷带来的后果进一步恶化。当然,最理想的情况是,内部控制缺陷报告应该提交给直接负责该项职责的人或积极参与某个职能,并且能够有权力采取纠正措施的人员。为较快解决问题,在向直接责任人员提交控制缺陷报告的同时,还应该至少将该报告提交给直接责任者的上一级管理层面,这样,可以协助与受纠正措施影响的企业中的其他人员进行沟通。最后,审计人员就应该将发现的内部控制缺陷汇总,以书面的形式向董事会下属的审计委员会报告。 第二节内部控制的描述 P62内部控制描述的方法通常有三种:文字表达法、调查表法和流程图法。 一、文字表述法
文字表述法是指评审人员对企业内部控制健全程度和执行情况的文字叙述。 文字表述法的优点是比较灵活,可对被审计单位内部控制的各个环节做出比较
精心整理
深入和具体的描述,不受任何限制。但文字表述法也有其缺点:对内部控制的描述,有时很难用简明易懂的语言来详细说明各个细节,因而有时使用文字表述显得比较冗赘,不利于为有效地进行内部控制评价和控制风险评价提供直接的依据。文字表述法几乎适用于任何类型、任何规模的单位,特别适用于内部控制不健全、内部控制程序比较简单和比较容易描述的小企业。 二、调查表法 调查表法是将那些与保证会计记录的正确性和可靠性以及与保证财产物资的完整性有密切关系的事项列作调查对象,同评审人员设计成标准化的调查表,并利用表格形式,通过征询来了解内部控制的强弱程度。 调查表法的最大优点:一是简便易行,即使没有较高的专业知识和专业技能的人员也能操作;二是能对所调查的对象提供一个概括的说明,有利于评审人员作进一步分析评价;三是编制调查表省时省力,可在评审项目初期就较快地编制完成,可以节省审计人员的工作量;四是调查表“否”栏集中反映内部控制存在的问题,能引起审计人员的高度重视。但是,调查表也有一定的缺陷,表现在:对企业某一环节的内部控制只能按所提问题分别考查,往往难于提供一个完整的、系统的、全面的分析评价;由于调查表格式固定,缺乏弹性,对于不同行业的企业或是特殊情况,往往“不适用”栏填得太多,而使调查表法显得不太适用;此外,审计人员机械地照表提问,往往会使被审计人员漫不经心,易流于形式,失去调查表的意义。 三、流程图法
流程图法是指用特定的符号和图形,将控制中各种业务处理手续,以及各种文件或凭证的传递流程,用图解的形式直观地表现内部控制的实际情况。
精心整理
绘制流程图一般有两种方法:一种是纵向流程图;另一种是横向流程图。 用流程图法描述内部控制,其主要优点有:流程图从整体的角度,以简明的形式描绘内部控制的实际情况,便于较快地检查出内部控制逻辑上的薄弱环节,也便于评审;流程图便于表达内部控制的特征,同时便于修改,在下次评审时,只要根据修改后的内部控制实际情况,稍微变动几根线条、几个符号,就能更新整个流程图。当然,像任何其他方法一样,流程图法也有其不足之处:编制流程图需具备较娴熟的技术和较丰富的工作经验,同时颇费时间;流程图法不能将内部控制中的控制弱点,明显地标明,故评价时,往往需要与其他两种方法相结合。 第三节内部控制评价 P672010年财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,并规定自2011年1月1日起在境内外同时上市的公司执行,2012年1月1日起在上海证券交易所、深圳证券交易所主板上市的公司执行。 P67内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。 一、内部控制评价的原则
企业实施内部控制评价应当遵循下列原则: 1、全面性原则。 2、重要性原则。
精心整理
3、客观性原则。
4、企业应当根据评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
二、内部控制评价的内容p67-68 1、内部环境评价。 2、风险评估机制评价。 3、控制活动评价。 4、信息与沟通评价。 5、内部监督评价。 三、内部控制评价的程序p68 企业内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。 第四节内部控制评价报告案例 第四章内部控制审计
P77企业内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。
精心整理
按照《企业内部控制审计指引》的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。
注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。 第一节内部控制审计的产生和发展 一、国外内部控制审计的产生和发展 二、中国内部控制审计的产生和发展 《企业内部控制基本规范》及企业内部控制配套指引的发布,标志着我国在上市公司中强制实施内部控制审计的开始。 (一)自愿性内部控制审计为主的阶段 (二)强制性内部控制审计阶段 第二节内部控制审计的对象 (一)内部控制审计的对象是财务报告内部控制 (二)内部控制审计是对企业特定时点内部控制的有效性发表审计意见 (三)内部控制审计是基于责任方认定的鉴证业务
精心整理
第三节内部控制审计程序
内部控制审计程序,主要包括: (一)计划审计工作 (二)实施审计工作 (三)评价控制缺陷 P83内部控制缺陷按其成因分为设计缺陷和运行缺陷,按其影响程度分为重大缺陷、重要缺陷和一般缺陷。 注册会计师应当评价其识别的各项内部控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷。 在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制(替代性控制)的影响。企业执行的补偿性控制应当具有同样的效果。 P83表明内部控制可能存在重大缺陷的迹象,主要包括: 1、注册会计师发现董事、监事和高级管理人员舞弊。 2、企业更正已经公布的财务报表。 3、注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报。
4、企业审计委员会和内部审计机构对内部控制的监督无效。 (四)完成审计工作
精心整理
P84注册会计师对在审计过程中注意到的非财务报告内部控制缺陷,应当区别具体情况予以处理:
1、注册会计师认为非财务报告内部控制缺陷为一般缺陷的,应当与企业进行沟通,提醒企业加以改进,但无须在内部控制审计报告中说明。
2、注册会计师认为非财务报告内部控制缺陷为重要缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进,但无需在内部控制审计报告中说明。 3、注册会计师认为非财务报告内部控制缺陷为重大缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进;同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险。 (五)出具审计报告 (六)关注期后事项 (七)记录审计工作 第四节内部控制审计报告 P86注册会计师应根据对内部控制有效性的审计结论,出具下列内部控制审计意见之一的审计报告: 1、无保留意见。
2、带强调事项段的无保留意见。 3、否定意见。
精心整理
4、无法表示意见。
在内部控制审计意见中没有保留意见,主要是保留意见的信息含量较低,且与否定意见的区分度不清晰,所以在国际上都没有保留意见的内部控制审计报告。 (一)无保留意见的内部控制审计报告
符合下列所有条件的,注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告: 1、企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求,在所有重大方面保持了有效的内部控制。 2、注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。 (二)带强调事项段的无保留意见内部控制审计报告 注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的,应当在内部控制审计报告中增加强调事项段予以说明。 注册会计师应当在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对财务报告内部控制发表的审计意见。 (三)否定意见内部控制审计报告
注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范围
精心整理
受到限制,应当对财务报告内部控制发表否定意见。
注册会计师出具否定意见的内部控制审计报告,还应当包括下列内容: 1、重大缺陷的定义。
2、重大缺陷的性质及其对财务报告内部控制的影响程度。 (四)无法表示意见内部控制审计报告 注册会计师审计范围受到限制的,应当解除业务约定或出具无法表示意见的内部控制审计报告,并就审计范围受到限制的情况,以书面形式与董事会进行沟通。 注册会计师在出具无法表示意见的内部控制审计报告时,应当在内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效性发表意见。 第五节内部控制审计案例 第五章内部控制与公司治理 第一节公司治理的含义及不同模式 一、公司治理的含义 P95公司治理,是指所有者,主要是股东对经营者的一种监督与制衡机制。即通过一种制度安排,来合理地配置所有者与经营者之间的权利与责任关系。公司治理的目标是保证股东利益的最大化,防止经营者对所有者利益的背离。其主要特点是通过股东大会、董事会、监事会及管理层所构成的公司治理结构的内部治理。
衡量一个公司的治理水准需要关注治理模式(GovernanceModel)、控制方式(ControlMechanism)、透明程度(Transparency)三个层次。
精心整理
二、公司治理的不同模式
在西方国家,公司治理,特别是股东和经营者在股份有限公司治理结构中的地位和作用,经历了一个从管理层中心到股东会中心,再到董事会中心的变化过程。但是董事会的出现,并没有解决公司所有权与控制权分离而产生的委托—代理问题。根据公司治理的基本原则和各国政治、经济与文化的不同特点,国际上形成了三种典型的公司治理模式。 (一)以英美为代表的外部监控型公司的治理模式 1、公司股权较为分散和有较强的流动性 2、公司治理以董事会为核心 3、市场机制发达 4、以高薪制、高奖金特别是股票期权作为激励经理人员的主要手段 5、英美公司治理模式优缺点分析 (1)英美公司治理模式优点 ①经营权力高度集中,有利于经营者集中精力、排除干扰搞好经营。 ②股权流动性强,使投资者可以方便地避免投资风险,保护自身利益,也有利于证券市场的健康发展。
③在市场机制完善健全的前提下,股东通过在证券市场上“用脚投票”,和给经营者带来的并购接管压力足以使其为股东的利益搞好经营。
④主要依靠外部市场力量进行激励、约束与监督,可以大大减少企业的相关成
精心整理
本,使其治理结构更加精干高效,也有利于经营者创造力的发挥。
⑤对银行、企业持有股份的限制,有利于避免由于一家企业经营不善或环境变化等原因带来连锁反应。
(2)英美公司治理模式缺点
①股权高度分散以及机构投资者的消极表现,使股东难以对公司进行有效监督。 ②董事会被经营者控制,内外部董事角色定位不清,使得董事会也很难实施有效的监督。 ③近年来频频出现的大公司会计信息造假丑闻,说明依靠外部力量进行监督的效果是可疑的。 ④由于缺乏有效监督,高层经理人员玩忽职守和以权谋私问题日益突出。 ⑤高度分散的股权结构造成了经营者的短期行为。 ⑥股权高度流动性使公司资本结构稳定性差,很容易造成企业被兼并接管的动荡。 (二)以日德为代表的内部监控型公司治理模式 (1)公司股权集中持有,集团成员起重要作用; (2)银行参与公司治理;
(3)资本流通性较弱,证券市场相对不十分活跃。 具体而言,日本和德国的情况略有不同。
精心整理
1、日本的公司治理模式 以日本而言,主要特点表现为:
(1)日本公司的股权结构以法人(主要是金融机构和实业公司)持股为主,而且很少是单方面的,大多数是通过持有对方股份实现相互控制,而且成为安定股东;
(2)在主银行体系下,日本公司以间接融资为主、直接融资为辅;
(3)日本虽然有重要的股票市场,但并没有起到配置资源的作用,由于终身雇佣制,经理人市场与劳动力市场也相对稳定,因而市场机制的作用较为有限;
(4)公司治理组织采用“股东大会—董事会(监事)—高级经理层”形式。公司设立监事,由股东大会选举产生,监督董事会和经理层,但不设立监事会,权力构造与英美完全不同; (5)经营者激励以终身雇用为主; (6)经营者约束采用公司间相互持股而形成的相互约束和主银行约束。 2、德国的公司治理模式 德国的情形稍有差异,公司治理的基本特点表现: (1)股权集中,(外部)企业和家族(个人)大量持股; (2)股东权力的行使以“用手投票”为主,通过银行或自行主动行使权力,主要依靠内部机构实施公司治理;
(3)公司治理架构实行双层董事会制(监事会和理事会),业务执行职能和监督职能分开,监事会由股东代表和职工代表组成,“是一个实实在在的股东行使控制
精心整理
与监督权力的机构”;
(4)银行在公司治理中发挥重要作用;
(5)员工参与公司治理,员工代表参加监事会和理事会。 3、日德公司治理模式优缺点分析 (1)日德公司治理模式优点。 ①由于银行作为大股东参与企业治理,使股东的监督较为有力。 ②股权结构稳定,使公司的长远发展较有保证; ③严密的内部控制机制对经营者与员工形成有效的激励与约束; ④银行与企业的特殊关系使得企业债务融资成本低; ⑤法人持股把众多分散的企业凝聚成一个整体,促使它们内部形成稳定的交易关系,有利于降低企业经营成本和提高抗御风险的能力。 (2)日德公司治理模式缺点。 ①证券市场发展长期滞后; ②特殊的银企关系造成“泡沫经济”; ③“企业绑在银行上”造成银行巨额坏账和企业巨额负债,进而影响整个国民经济发展;
④有特殊关系的合作企业之间不等于没有利益冲突,这种冲突仅仅靠内部治理很难解决。
精心整理
(三)以东亚为代表的家族监控模式
1、东亚公司治理模式的特色
在东亚家族监控型公司治理模式下,公司所有权与经营权没有实现分离,公司与家族合一,公司的主要控制权在家族成员中配置,表现为高度的集权模式;公司决策家长化,公司的重大决策都由家族中同时也是公司创办的人的家长做出;经营者的激励和约束来自家族利益和亲情,道德风险和利己的个人主义倾向发生的可能性较非家族公司为低,制度的约束和规范相对显得没那么重要;公司与政府关系密切,在发展过程中受政府政治、经济、法律等方面的影响和制约较大;融资来源渠道多元化,银行等金融机构对企业的外部监督较弱;虽设有“股东大会—董事会—总经理”三级结构的公司治理架构,但由于股权的家族控制,小股东难以对公司的经营管理活动实施必要的监督和控制,家族外相关利益者的监督力度较弱,董事会形同虚设,很难发挥作用。 2、东亚公司治理模式的优缺点分析 (1)东亚公司治理模式的优点。 ①内部凝聚力强; ②企业稳定性高; ③决策迅速; ④发展速度快;
⑤通过变革逐步走向成熟。
精心整理
(2)东亚公司治理模式的缺点。
①社会化、公开化程度低,社会形象不佳,融资困难;
②治理机制不健全,难以实现科学决策,不利于企业的长远发展;
③随着企业规模实力的扩大,内部矛盾不断激化,由于治理机制不健全而很难解决。
(四)公司治理模式的发展p100 1、环境的变化促使治理模式进行改革 (1)英美国家公司经理人员的高薪酬引发不满; (2)中小股东和其他利益相关者的权利保护问题日益突出; (3)全球金融危机的爆发,加强政府监管的呼声日益高涨; (4)公司会计丑闻的出现促使有关各方要求加强公司监督机制的完善; (5)经济全球化推动了治理模式的不断融合; (6)人力资本地位的提高,知识经济时代的到来,要求公司完善激励与约束机制。 2、英美公司治理模式的变革 (1)放松银行持有公司股票的限制;
(2)法人持股比例日益上升,且具有相当的安定性; (3)强化内部监控体制。
精心整理
3、日德公司治理模式的变革
(1)强调个人股东的利益,加速证券市场的发展; (2)公司负债呈下降趋势;
(3)银行大量抛售所持股份,与公司关系出现松动,对公司的控制力减弱; (4)法人持股比例下降。 4、东亚家族公司治理模式的变革 (1)股权公开化和社会化; (2)经营管理权由家族成员与非家族成员共同控制; (3)外部股东、合资者、合作者对企业的制约与监督不断增强。 5、结论 (1)公司治理的不同模式是不同国情与社会条件的产物。 (2)现代公司治理机制正在随着环境的变化而发展。 (3)现成的、放之于四海而皆准的公司治理模式是不存在的。 三、中国《公司法》对公司治理的规定 我国公司实行类似德国模式的“双层会制”,由股东会、董事会、监事会组成,实行双层监督(独立董事、监事会)制。
我国公司治理模式的主要特点表现为:
1、公司的股权集中,以大股东持股为主,而且成为较为稳定的股东;
精心整理
2、股东权力的行使以“用手投票”为主,通过自行主动行使权力,主要依靠内部机构实施公司治理;
3、公司以间接融资为主、直接融资为辅;
4、公司治理组织采用“股东大会—董事会—监事会—高级经理层”形式; 5、员工参与公司治理,员工代表参加监事会; 6、在上市公司及相关公司中实行独立董事制度。 P101从实际运作效果来看,中国模式仍存在比较严重的缺陷,需要及时予以改进和完善。 1、大股东操纵股东会。 2、董事会形同虚设。 3、独立董事“不独立”。 4、监事会“不监事”。 第二节公司治理与内部控制的关系 一、公司治理和内部控制的发展历史 1、将内部控制置于公司治理的框架之下阶段 2、董事会应对内部控制系统进行报告阶段 3、董事会对公司的内部控制负责阶段 二、公司治理与内部控制的关系
精心整理
(一)公司治理与内部控制关系的不同观点
1、层次论。 2、包含论。
(二)公司治理与内部控制的异同分析p105
1、公司治理与内部控制产生的基础都是委托—代理关系。 2、公司治理与内部控制都重视权、责、利的制度建设。 3、公司治理与内部控制都追求企业价值最大化目标。 4、公司治理与内部控制都遵循互相牵制和制衡的原则。 5、公司治理与内部控制相辅相成、相互促进。 6、公司治理与内部控制的具有不同的内容。 综上所述,公司治理与内部控制是密不可分的,一个健全的内部控制机制要有完善的公司治理结构的支撑;内部控制的创新和深化,也将促使公司治理结构的完善和现代企业制度的建立。 第三节公司治理与内部控制的良性互动 公司治理与内部控制不但有内在的联系与外在的差异,而且是相互制约、相互促进的。
一、公司治理与内部控制的互动 (一)公司治理对内部控制的影响
精心整理
1、公司治理是内部控制有效运行的基础 2、公司治理是良好内部控制的组织保障 (二)内部控制对公司治理的影响
1、有效的内部控制能实现利益相关方的制衡 2、有效的内部控制能保障董事会控制权的行使 3、有效的内部控制能保护中小股东的利益 二、加强公司治理,建立健全内部控制机制 1、完善公司治理机制,积极推进内部控制外部化进程 2、公司治理应对内部控制机制的构建提出基本要求 3、加强董事会的独立性和在内部控制中的核心地位 4、发挥内部审计为内部控制保驾护航的独特作用 5、建立符合公司治理和内部控制要求的激励与约束机制 6、发挥全体员工参与公司治理与内部控制建设的积极性 三、加强公司治理与内部控制建设应注意的问题 1、公司治理和内部控制建设要与特定的环境、文化相适应 2、公司治理和内部控制建设的重点落实到风险管理上来 3、公司治理和内部控制建设要加快与信息技术的融合 4、我国公司治理和内部控制现状所带来的影响和挑战
精心整理
我国公司制改革中形成的“内部人控制”现状,给公司治理和内部控制建设带来了重大的影响和挑战。
第四节内部控制制度建设案例
第六章内部控制与内部审计
第一节内部审计概论 一、内部审计的含义 P118内部审计是指由部门或单位内部相对独立的审计机构和审计人员对本部门或本单位的财政财务收支、经营管理活动及其经济效益进行审核和评价,查明其真实性、正确性、合法性、合规性和有效性,提出意见和建议的一种专门经济监督活动。其主要目的是通过审计健全内部控制系统,严肃财经纪律,查错揭弊,改善经营管理,提高经济效益。 由以上含义可见:内部审计是一种独立管理的保证与咨询活动,目的是为组织增加价值并提高组织的运作效率。 二、内部审计的职能 由此可见,企业内部审计执行的是管理活动中的检查活动、评价活动和咨询活动,所具有的职能应为检查职能、评价职能和咨询职能。
企业经营管理对内部审计的客观需求是内部审计职能的外在决定因素。这种客观需求因需求者的身份不同可分为两类:第一类是董事会和监事会对内部审计的需求;第二类是高级管理层对内部审计的需求。
精心整理
(一)董事会和监事会对内部审计职能的需求
1、检查管理者对企业的发展战略和各项目标的贯彻、执行情况;
2、检查和评价管理者履行职责的合法合规性,包括对国家和行业的各项法律、法规、规章和规范的遵循情况,以及对企业制定的各项政策、制度、程序的遵循情况;
3、检查企业的财务状况、经营成果和现金流量情况,审核企业编制的对内、对外财务报告的合法性、公允性,以及财务信息对外披露形式的恰当性; 4、检查和评价企业内部控制系统的有效性,风险管理过程的客观性、合理性,发现并预防各种形式的错误和舞弊,并提出进一步改进的咨询建议; 5、评价企业董事会制定的经理人员的业绩,提供反映经理人员业绩的相关信息,以供董事会对其做出业绩考核; 6、根据需要提供专项的咨询服务。 (二)管理层对内部审计职能的需求 1、检查和评价内部控制系统和风险管理过程的设计是否合理、健全,运行是否正常、有效,对存在的缺陷,提供完善和改进的咨询服务; 2、检查和评价各经营单位和员工对内部控制系统和风险管理过程的遵循情况,并注重查错防弊;
3、关注各项经营活动的效率性和效果性,为提高各部门和企业整体经营活动的效果性和效率性“出谋划策”;
精心整理
4、按管理者的要求,提供一些临时的、专项的咨询服务。 (三)内部审计职能的具体界定 三、内部审计制度的作用 (一)制约作用 (二)防护作用 (三)鉴证作用 第二节内部控制与内部审计的关系 一、内部控制与内部审计的关系 1、内部控制与内部审计相互并存论 2、内部控制与内部审计相互促进论 3、内部控制与内部审计相互补充论 二、内部审计对内部控制的促进作用 (一)内部审计是内部控制的重要组成部分 (二)内部控制是内部审计的工作对象 (三)内部审计造就良好的内部控制环境 三、内部控制对内部审计的推动作用
1、内部控制发展融合了内部审计的发展 2、内部控制推动了内部审计的发展
精心整理
3、内部控制目标与内部审计目标的一致性
第三节内部审计的职责权限及发展
一、内部审计机构及其特征 (一)内部审计机构
我国的内部审计机构是根据审计法规和其他财经法规的规定设置的,主要包括部门内部审计机构和单位内部审计机构。 (二)内部审计的特征 我国内部审计一般具有如下特征: 1、服务上的内向性。 2、审查范围的广泛性。 3、作用的稳定性。 4、微观监督与宏观监督的统一性。 二、内部审计机构的职责权限 (一)内部审计机构的职责 内部审计机构按照本单位董事会下设的审计委员会或者主要负责人的要求,履行下列职责:
1、对本单位及所属单位(含占控股地位或者主导地位的单位,下同)的财政收支、财务收支及其有关的经济活动进行审计。
精心整理
2、对本单位及所属单位预算内、预算外资金的管理和使用情况进行审计。 3、对本单位内设机构及所属单位领导人员的任期经济责任进行审计。 4、对本单位及所属单位固定资产投资项目进行审计。
5、对本单位及所属单位内部控制系统的健全性和有效性以及风险管理进行评审。
6、对本单位及所属单位经济管理和效益情况进行审计。 7、法律、法规规定以及本单位主要负责人或者权力机构要求办理的其他审计事项。
(二)内部审计机构的职权 1、要求被审计单位按时报送生产、经营、财务收支计划,预算执行情况,决算,财务会计报告和其他有关文件、资料。 2、参加本单位有关会议,召开与审计事项有关的会议。 3、参与研究制定有关的规章制度,提出内部审计规章制度,由单位审定公布后施行。 4、检查有关生产、经营和财务活动的资料、文件和现场勘察实物。 5、检查有关的计算机系统及其电子数据和资料。
6、对与审计事项有关的问题向有关单位和个人进行调查,并取得证明材料。 7、对正在进行的严重违法违规、严重损失浪费行为作出临时制止决定。
精心整理
8、对可能转移、隐匿、篡改、毁弃会计凭证、会计账簿、财务会计报告以及与经济活动有关的资料,经本单位董事会下设的审计委员会或者主要负责人批准,有权予以暂时封存。
9、提出纠正、处理违法违规行为的意见以及改进经济管理、提高经济效益的建议。
10、对违法违规以及造成损失浪费的单位和人员,给予通报批评或者提出追究责任的建议。 单位董事会下设的审计委员会或者主要负责人在管理权限范围内,授予内部审计机构必要的处理、处罚权: 1、被审计单位不配合内部审计工作、拒绝审计或者提供资料、提供虚假资料、拒不执行审计结论或者报复陷害内部审计人员的,单位董事会下设的审计委员会或者主要负责人应当及时予以处理;构成犯罪的,移交司法机关追究刑事责任。
2、被审计单位无正当理由拒不执行审计结论的,内部审计机构应当责令其限期改正;拒不改正的,报请本单位董事会下设的审计委员会或主要负责人依照有关规定予以处理。 3、对被审计单位违反财经法规、造成严重损失浪费行为负有直接责任的主管人员和其他直接责任人员,构成犯罪的,依法追究刑事责任;不构成犯罪的,依照有关规定予以处理。
4、报复陷害内部审计人员,构成犯罪的,依法追究刑事责任;不构成犯罪的,依照有关规定予以处理。
精心整理
三、国际内部审计机构 四、内部审计职责的发展趋势 (一)实施信息安全审计的新职责 (二)开拓风险管理的新领域 (三)深入介入内部控制评价 (四)推动更有效的公司治理 第四节内部审计制度建设案例 第七章企业风险管理概述 第一节企业风险管理的基本概念 一、风险的定义 (一)风险的内涵 因此,目前尚无一个适用于各个领域的公认的定义。这些定义概括起来主要有以下几种: 1、风险的一般定义 2、经济学领域的定义 3、社会学领域的定义 4、其他学术领域中的定义
尽管对风险的定义描述不一,但我们不难提炼出一些风险共同的特征:第一,
精心整理
结果具有不确定性;第二,结果的不确定性可能是损失,也可能是收益,但令人关注的是损失;第三,客观存在性,但在一定程度上可以用概率和统计学工具进行预测;第四,风险评估的过程受诸多主观因素的影响。 (二)风险的分类p142
1、根据风险是否由社会经济变动划分
风险按照是否由于社会经济变动而引起,可以分为静态风险和动态风险。 2、根据风险获利机会划分 风险按是否有获利机会为标准,可以分为纯粹风险、投机风险和收益风险。 3、根据风险来源划分 大致可以将风险分为外部风险和内部风险。继续划分,就可以衍生出许多具体的类别。这种具体的划分方式在风险管理中具有很大的实用性,方便企业进行风险识别。例如,外部风险包括经济风险、法律风险、社会风险、科技风险、自然风险等。内部风险包括人员风险、管理风险、经营风险、技术风险、安全环保风险等。
4、根据风险是否可以分散划分 可以将风险分为系统风险和非系统风险。 5、根据风险是否可控划分
按照企业风险可控与否,可以将风险分为不可控风险和可控风险。 6、根据风险形成的原因划分
风险按照形成损失的原因分类,可以分成自然风险、社会风险、经济风险和政
精心整理 治风险。
7、根据风险融入企业经营划分
我们把各种各样的风险融入企业的实际经营中去就形成了企业经营所面临的各种风险,具体来看,主要包括以下几类风险。
(1)战略风险。 (2)财务风险。 (3)法律风险。 (4)市场风险。 (5)运营风险。 (6)技术风险。 (7)政治风险。 二、企业风险管理的内涵 本书将企业风险管理的内涵概括为:企业风险管理是企业全体员工共同采用的所有针对各种风险的管理活动的总称,它通过科学合理的方法识别、分析、整合、沟通、评价、应对以及监控风险,选择最佳风险管理措施对风险予以处理,以较少的成本将各类不确定因素产生的结果控制在预期可接受范围内,从而最大限度地减少风险损失,提高经营效益,为企业最终目标的实现提供合理保障。P146
对于这个内涵,可以从以下几点进一步去理解:
首先,企业风险管理是一个流程,是降低和控制风险的一系列程序。
精心整理
其次,风险管理不仅是企业管理层和风险管理委员会的职责,风险管理需要全体员工的共同参与。
再次,风险管理的目标并不是消除风险,而是将风险减低到可以接受的范围之内,以对企业目标的实现做出合理而非绝对的保证。
最后,风险管理的过程也要遵循成本效益原则,要力争用最小的成本来达到降低风险的目的。 三、企业风险管理的必要性 1、风险管理有利于经济的稳定发展 2、风险管理有利于为企业创造安全的生产经营环境 3、风险管理有利于保障企业经营目标的实现 4、风险管理有利于增强企业决策的科学性 5、风险管理有助于改进企业管理效用 四、企业风险管理的目标 (一)总目标 企业风险管理活动应以最小的成本获得最大的安全保障,这既是企业风险管理的宗旨,也是企业风险管理应达到的总目标。 (二)一般目标
P147-148风险管理的一般目标以风险事故的实际发生为界限,分损失前目标和损失后目标:
精心整理
1、损失前目标
(1)经济性目标。指的是将与纯粹风险有关的成本降低到最小,以最小的成本获得最大的保障。经济性目标是损失发生前风险管理的首要内容。
(2)合规性目标。指企业在采取适当方法应对风险损失时要符合法律规定。 (3)安全状况目标。是指将风险控制在可承受的范围内,力求使企业置身于一种安定可靠的环境,使员工产生安全感。 (4)社会责任目标。是企业必须考虑到如何使企业更好地承担社会责任、履行义务和树立良好的公众形象。 2、损失后目标 (1)生存目标。生存目标是损失发生后风险管理应达到的第一位和最基本的目标。 (2)正常经营目标。损失发生后,风险管理应该达到的第二位目标就是维护企业生产经营活动不因风险事故的影响而中断。 (3)稳定收益目标。降低纯粹风险可能带来的收益变动,可以提升公司的总体绩效,有助于企业实现稳定的收益。 (4)持续增长的目标。风险管理还能给企业的进一步发展和实现持续增长创造良好的条件。
(5)社会责任的目标。切实履行社会职责是现代企业应负的历史使命,也是企业开展风险管理活动应追求的目标。
精心整理
五、企业风险管理主要步骤
图7-1企业风险管理主要步骤p149 (一)风险识别
风险识别在风险管理中,是处于“咽喉”位置的关键环节。它是指风险主体对所面临的风险以及潜在风险加以判断,归类和鉴定性质的过程。风险识别阶段一定要全面,不仅要识别所面临的风险,更重要的也是最困难的是对各种潜在风险的识别。
(二)风险分析 风险分析是风险管理中不可缺少的一环,它的重要性不仅使风险管理建立在科学的基础上,而且使风险分析定量化,为选择最佳管理技术提供较可靠的依据。它是指在风险识别的基础上,通过考虑风险的可能性和后果来对所收集的大量的详细损失资料加以分析,为风险应对策略的制定提供依据。风险分析的重点在于确定各种风险因素所引起的风险发生的可能性和影响程度,以确定企业应当重点关注和防范的风险。 (三)风险评价 风险评价是指在风险识别和风险分析的基础上,通过考虑风险发生的概率、损失大小,结合其他因素来对所收集的大量的详细损失资料加以分析,衡量其对企业实现目标的影响程度,并为风险应对策略的制定提供依据。 (四)风险应对
风险的应对是指企业在面对风险时所采取的措施,包括应对技术和应对程序。
精心整理
根据各类风险的大小而采取的管理策略,应对策略包括风险规避、风险承担、风险降低和风险分担等,以便把风险控制在主体的风险容限和风险容量中。风险应对确保企业在处理能影响到经营实体某一目标实现的相关风险时,能够选择正确的对策。它贯穿在组织中,存在于组织中的所有层面和所有职能中。
风险识别是指辨识会妨碍企业达到战略目标的因素,风险分析明确会不会产生风险,而风险评价是确定如果风险发生时会产生什么后果,进而采取风险应对措施。但风险管理不是一个严格的顺次过程,而是一个多方向、动态的流程。 第二节企业风险管理的历史沿革p150 一、风险管理起源(20世纪20年代以前) 二、传统风险管理阶段(20世纪20年代末~20世纪80年代) 1、风险管理研究的内容主要为金融保险 2、风险管理研究从金融保险行业扩展到非金融工商行业 3、风险管理研究的区域从美国延伸到欧洲、亚洲、非洲乃至全球 4、风险管理研究的方法以模型化的定量研究为主 三、现代风险管理阶段(20世纪90年代~21世纪初) 四、全面风险管理阶段(21世纪初至今)
1、风险管理研究模式从模型化到框架标准化 2、风险管理实施从意愿到职责、从间歇到连续
精心整理
第八章企业风险管理体系构建
第一节企业风险管理体系的构建原则p154
一、整体性原则 二、合法合规原则 三、成本效益原则 四、全面整合原则 五、考虑损失的可能性原则 六、制衡性原则 第二节企业风险管理中的组织架构构建 一、企业风险管理组织架构中的三道防线p158 (一)风险管理的第一道防线:业务单位与相关职能部门 (二)风险管理的第二道防线:风险管理职能部门 (三)风险管理的第三道防线:内部审计职能部门 二、企业风险管理组织架构中的主要角色定位 (一)独立董事角色定位
独立董事在风险管理中的作用主要表现为:①独立董事具备的丰富经历和广阔视角,能为企业增加识别风险的能力;②独立董事更多的独立性,可减少内部人控制的不确定性。
精心整理
(二)董事会角色定位
其在企业风险管理中的职责主要表现为: 1、创造良好的风险控制环境
2、确定风险管理的总体目标、风险偏好、风险承受度 3、掌握企业外部环境的变动 4、批准与风险管理相关的决策、解决方案 5、监督风险管理的实施 6、审议并向股东大会提交企业全面风险管理年度工作报告 (三)风险管理委员会角色定位 从现实来看,其主要职责包括: (1)提交全面风险管理年度报告; (2)审议风险管理策略和重大风险管理解决方案; (3)审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告; (4)对企业风险及管理状况和风险管理能力及水平进行评价,提出完善企业风险管理和内部控制的建议;
(5)审议内部审计部门提交的风险管理监督评价审计综合报告,对已出现的风险提出化解措施;
精心整理
(6)审议风险管理组织机构设置及其职责方案;
(7)风险管理委员会在必要情况下,可以独立聘请外部中介机构为其决策提供专业服务;
(8)办理董事会授权的有关全面风险管理的其他事项。 (四)首席风险官角色定位 其具体职责主要有: 1、设置风险管理组织机构 2、建立与企业自身相适应的风险管理框架 3、持续改进企业风险管理能力 4、就风险管理工作计划和结果向董事会汇报 (五)风险管理部门角色定位 其职责主要包括: (1)研究提出全面风险管理工作报告; (2)研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;
(3)研究提出跨职能部门的重大决策风险评估报告;
(4)研究提出风险管理策略和跨职能部门的重大风险管理解决方案,并负责该方案的组织实施和对该风险的日常监控;
精心整理
(5)协助业务部门拟订其风险限额及其分配方式,并适时向首席执行官做风险管理报告;
(6)负责对全面风险管理有效性评估,研究提出全面风险管理的改进方案; (7)负责组织建立风险管理信息系统,在业务和职能部门落实风险管理事项,内部审计部门监督执行结果并向风险管理部门报告;
(8)负责指导、监督有关职能部门,各业务单位以及全资、控股子企业开展全面风险管理工作; (9)在业务开展过程中评价和监察业务部门的风险,以及业务部门使用的风险模型和风险工具,发现存在的问题并提出解决建议; (10)提供与风险管理相关的咨询,协助业务部门解决实际风险问题; (11)组织企业内部各职能部门和业务部门识别、评估风险,就特定和关键风险,推荐相应的对策。 (六)审计委员会及内部审计部门角色定位 1、审计委员会 审计委员会是董事会下设的一个专设机构,向董事会负责,它一般由3~5名独立董事组成。审计委员会应履行的职责包括:
(1)审议企业年度内部审计工作计划; (2)监督企业内部审计质量与财务信息披露;
(3)监督企业内部审计机构负责人的任免,提出相关意见;
精心整理
(4)监督企业内部审计机构负责人的聘用、更换和报酬支付; (5)审查企业内部控制程序的有效性,并接受有关方面的投诉; (6)其他重要审计事项。 2、内部审计部门
所以其在风险管理中的主要职责包括: (1)对企业的财务收支、产品销售、工程招标、对外投资等经济活动和重要经济合同进行审计监督; (2)对企业采购、产品销售、工程招标、对外投资等经济活动和重要经济合同进行审计监督; (3)对企业全面风险管理系统的健全性、合理性和有效性进行检查、评价和反馈,对企业有关业务的经营风险进行评估和意见反馈; (4)将内部审计结果反馈董事会、审计委员会及其相关专门机构; (5)评估关键风险的报告工作; (6)为风险管理流程提供保障; (7)评估风险管理流程; (8)检查关键风险的管理工作; (9)指导管理层对企业风险做出应对。
内部审计参与企业风险管理有一定的优势,但同时由于其独立性不足,要求审
精心整理
计委员会还必须借助外部审计力量,降低企业的风险。同时需要注意的是,根据国际内部审计师协会(IIA)及COSO报告的规定,不建议内部审计部门领导企业风险管理的工作,企业风险管理最终还是要由公司最高管理层来推动。 (七)其他职能部门及业务单位角色定位
主要职责包括:
(1)执行风险管理基本流程。 (2)研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。 (3)研究提出本职能部门或业务单位的重大决策风险评估报告。 这是各职能部门或业务单位控制本部门(单位)风险的关键环节。 (4)做好本职部门或业务单位建立风险管理信息系统的工作。 信息系统的建设是全面风险管理的实施基础。 (5)做好培育风险管理文化的有关工作。 全面风险管理体系建设的成败很大程度上取决于企业员工参与的程度。 (6)建立健全本职能部门或业务单位的风险管理内部控制子系统。 (7)办理风险管理其他有关工作。
第三节企业风险管理文化构建
一、企业风险管理文化构建的基本要求
精心整理
(一)打造特色风险管理文化
(二)构建风险管理文化要与企业改革相适应 (三)构建风险管理文化要强化观念创新 (四)树立全员参与的风险管理理念 (五)持续推进风险管理文化建设 (六)高级管理层发挥主导与示范作用 二、企业风险管理理念 健全的风险管理理念一般包括如下特性:p167-168 (一)一致性 (二)全面性 (三)系统性 (四)独立性 (五)分散与集中相统一 (六)与企业制度结合 三、企业风险管理文化的培育 (一)建立风险管理文化 (二)融入企业文化建设 (三)加强法制及道德教育
精心整理
(四)加强风险管理培训
第九章企业风险识别与分析
第一节企业风险识别的概念
一、风险识别的概念
P170风险识别是指企业在风险事故发生前,运用相关的知识和方法,系统、全面、连续的认识和归类企业面临的各种尚未发生的、潜在的、客观存在的风险,并对风险事故发生的潜在原因加以分析,确定可能影响企业的风险,达到衡量风险和规避风险的目的。从风险识别的定义可以看出,风险识别的要点包括: 1、保持系统性、连续性 2、重点分析引发风险的原因 3、目的是衡量风险和规避风险 二、风险识别的基础 风险识别的基础是企业必须充分认识和评估自身以及所处的环境,具备强烈的风险意识。 对企业所处环境的认识,往往采用SWOT分析法,分别从优势、劣势、机会和威胁(Strength,Weakness,OpportunityandThreat)四个方面来对企业的处境进行认识和评估。
除了对于自身环境能够有一个清醒的认知外,风险识别还需要具备一个风险意识的环境。即企业内部全体员工都应具备风险意识。
精心整理
三、风险识别的环节
1、感知风险
感知风险即依据感性认识、经验了解客观存在的各种风险,是风险识别的基础,只有通过感知风险,才能进一步在此基础上寻找导致风险事故发生的条件因素,对明显和潜在风险的性质进行分析、判断,为拟订风险处理方案,进行风险管理决策服务。 2、分析风险 分析风险即分析引起风险事故的各种因素,发现各种风险的损害情况以及具有规律性的损害风险,它往往是风险识别的关键。其内容主要是对风险种类和潜在风险威胁的分析。 四、风险识别的原则 (一)全面原则 (二)综合原则 根据风险清单列举可知,单位、家庭、个人面临的风险损失一般可分为三类: 一是直接损失。 二是间接损失。 三是责任损失。 (三)成本效益原则 (四)科学计算的原则
精心整理
(五)系统化、制度化、经常化的原则 (六)考虑识别机会的原则
第二节企业风险识别流程p173-178
一、收集风险初始信息 (一)战略风险信息的收集 (二)财务风险信息的收集 (三)法律风险信息收集 (四)市场风险信息的收集 (五)运营风险信息收集 (六)政治风险信息收集 二、识别风险源 1、自然环境风险源 2、社会环境风险源 3、政治环境风险源 4、法律风险源 5、经济风险源 6、操作风险源 7、认知风险源
精心整理
三、进行风险因素的分类
一般来说企业风险因素包括以下内容:
(1)产品或服务的市场前景、行业经营环境的变化、商业周期或产品生命周期的影响、市场饱和或市场分割、过度依赖单一市场、市场占有率下降等;
(2)经营规模发生变化,经营业绩不稳定,主要产品或主要原材料价格波动,过度依赖某一重要原材料、产品或服务,经营场所过度集中或分散; (3)内部控制有效性不足导致的风险、资金周转能力较差导致的流动性风险、现金流状况不佳或债务结构不合理、指定偿债风险、主要资产减值准备计提不足的风险、主要资产价值大幅波动的风险、重大担保或诉讼仲裁等或有事项导致的风险;
(4)技术不成熟、技术尚未产业化、技术缺乏有效保护或保护期限短、缺乏核心技术或核心技术依赖他人、产品或技术面临被淘汰等; (5)投资项目在市场前景、技术保障、产业政策、环境保护、土地使用、融资安排、与他人合作等方面存在的问题,因营业规模、营业范围扩大或者业务转型而导致的管理风险,因固定资产折旧大量增加而导致的利润下滑风险,以及因产能扩大而导致的产品销售风险等; (6)由于财政、金融、税收、土地使用、产业政策、行业管理、环境保护等方面法律、法规、政策变化引致的风险;
(7)可能严重影响企业持续经营的其他因素,如自然灾害、安全生产、汇率变动、外贸环境等。
四、开展风险诊断和初步评价
精心整理 五、重视风险暴露
风险暴露是风险识别的重要组成部分,那些可能面临损失的资产,都有风险暴露的可能,必须重视风险的暴露。 (一)实物资产风险暴露 (二)金融资产暴露 (三)人力资产风险暴露 (四)客户资产风险暴露 (五)组织资产风险暴露 (六)责任风险暴露 第三节企业风险识别的方法 感知风险阶段较多应用财务报表分析法、流程图分析法、调查法等;在分析风险阶段主要运用风险清单分析法、事件树分析法、风险因素分析法等。P178 一、风险清单分析法 二、标准化调查法 标准化调查法一般可分为:面谈采访法、在线调查法、书面调查法、查阅文件法、专题研讨会法、专项审核法等。 三、财务报表分析法
1、趋势分析法
精心整理
2、比率分析法 3、因素分析法
财务报表分析法的优点主要表现在:财务报表是根据风险管理单位的财务状况编制得来的,根据这些资料进行分析具有客观性和真实性;财务报表反映了风险管理单位的财务状况,根据财务报表能识别出企业的风险,防患于未然;通过对财务报表的分析还可以为风险融资提供可靠依据,也可以用来分析其他相关的一些问题等。 财务报表分析的缺点主要有:对财务报表进行分析,首先风险管理人员要具备一定的专业基础,专业性较强,不具备专业知识的人,无法进行财务报表分析;其次,针对财务报表的分析,以财务报表为基础,就要求财务报表必须保证信息的真实性,如果报表失实,做出的分析也无法依赖,就不具备识别风险的能力等。 四、流程图分析法 (一)流程图的类型 1、根据流程路线的复杂程度可以分为简单流程图和复杂流程图 2、根据流程的内容可以分为内部流程图和外部流程图 3、根据流程图的表现形式可以分为实物形态流程图和价值形态流程图 (二)流程图的绘制方法 (三)流程图分析法的优缺点
流程图分析法的优点主要表现在:能够比较清楚地显示企业的活动流程可能存
精心整理
在的基本风险,尤其对营业的中断和连带营业中断风险的识别极为有效;流程图强调活动的流程,并不寻求引发风险事故的原因等。
流程图分析的缺点主要有:流程图法不能识别企业面临的一切风险。没有哪种风险识别方法可以识别企业面临的所有风险,需要根据实际情况,结合不同的方法对企业风险加以识别;流程图绘制的正确与否决定了风险管理部门识别风险的准确度;流程图识别风险的管理成本比较高,流程图的绘制需要具有专业知识的人员进行,并且需要对企业的运营有详细的了解,需要花费的时间较多,成本也较高等。 五、因果图(鱼骨图)分析法 (一)因果图的绘制步骤 (二)绘制因果图的注意事项 (三)因果图分析的优缺点 因果图分析的优点主要有:既可以用于事前预测事故,又可以用于事后分析事故原因;针对每个风险事故都有单独的流程图,一事一图,便于审查保管;因果图将问题系统化、条理化,通过因果图可以清楚地分清主次,在事后的工作中能有效地改善管理、指导实践等。 因果图分析的缺点主要有:若风险因素调查得不够充分,会严重影响因果图的分析结果;受主观影响较大,风险管理者的认识程度和主观印象,影响着风险管理的结论,也就是不同的风险管理者对相同的风险因素可能有不同的认识,缺乏客观性等。 六、层次分析法
精心整理
七、事件树分析法和事故树分析法
事故树分析法的优点主要有:
(1)由于事故树分析法是采用演绎方法分析事故的因果关系,能详细找出系统各种潜在的危险因素,为安全设计、制定安全技术措施和安全管理要点提供了依据。
(2)能简洁、形象表示出事故和各种原因之间的因果关系及逻辑关系。 (3)在事故树分析中,顶上事件可以是已经发生的事故,也可以是预想的事故。通过分析,找出原因,采取对策加以控制,从而起到预测预防事故的作用。 (4)事故树分析法既可以用于定性分析,也可用于定量分析。通过定性分析,确定各种危险因素对事故影响的大小,从而掌握和制定防灾控制要点;而定量分析,则能计算出顶上事件(事故)发生的概率,并可从数量上说明危险因素的重要度,为实现系统最佳安全目标提供依据。 (5)可选择最感兴趣的事故作为顶上事件分析,这和事件树不同,事件树是由一个故障开始,而引起的事故不一定是使用者最感兴趣的。 事故树分析法也存在着一些缺点,如: (1)要编好一棵事故树必须对系统非常熟悉和有丰富的经验,并且要准确地掌握好分析方法。即便如此,不同人编出的事故树其结果也不会完全相同。
(2)对很复杂的系统,编出的事故树会很庞大,这给定性定量分析带来一定的困难,有时甚至计算机都难以胜任。
(3)要对系统进行定量分析,必须知道事故树中各事件的故障率,如果这些数
精心整理
据不准确则定量分析便不可能。
(4)事故树分析大都只考虑两种状态,但大部分系统存在局部正常、局部故障状态,建数学模型时,容易产生较大误差。
第四节关键风险分析
一、企业风险分析目的与内容
1、企业风险分析的目的 风险分析的目的是在风险识别的基础上更深入地了解已识别出的风险的特征。 2、企业风险分析内容 风险分析是对风险识别工作的延伸,一般来讲,风险分析的内容包括: (1)分析风险的类型。 (2)分析风险发生的原因。 (3)分析风险发生的可能性。 (4)分析风险可能产生的影响。 (5)分析风险的组合效应。 二、企业风险分析程序
企业的风险分析应是一个动态的循环的过程,通常情况下,风险分析步骤如下: (1)分析风险因素、风险事故、捕捉风险征兆。 (2)确定风险的存在。
精心整理
(3)分析风险发生的可能性、发生的频率。 (4)分析风险发生的可能影响。
(5)根据分析,对风险的性质、级别等进行判定。 三、风险分析方法
风险分析的方法主要是定性分析、定量分析以及定性和定量相结合的分析方法。 四、关键风险的分析p195-202 (一)战略风险分析 (二)财务风险分析 (三)法律风险分析 (四)市场风险分析 (五)运营风险分析 (六)技术风险分析 (七)政治风险分析 第十章企业风险衡量与评价 第一节企业风险衡量
一、企业风险衡量的定义
所谓风险衡量,是指运用现代定量分析的方法来估计和预测某种特定风险发生的概率及其结果。
精心整理
风险衡量以损失频率和损失程度为主要测算指标,并据以确定风险的大小或高低。
二、企业风险衡量的程序和方法 (一)企业风险衡量的程序
(二)企业风险衡量的方法p204-206 1、概率分析法 (1)传统概率分析。 (2)β指标分析法。 (3)风险价值(VaR) (4)风险现金流量法。 (5)其他概率技术。除了以上介绍的主流风险衡量方法外,还有另外一些也比较常用的概率技术,如事件树法、经济资本法、概率影响图、贝叶斯推断原理、模糊数学法、蒙特卡罗模拟法等。 2、非概率技术 风险衡量的非概率技术包括杠杆系数法、敏感性分析、情景测试、压力测试、设定基准、专家打分法、风险暴露计分法、沃尔评分法、Z计分法等。
(1)杠杆系数法。 (2)敏感性分析法。
精心整理
(3)情景分析法。 (4)压力测试法。
第二节企业风险评价
一、企业风险评价的概念
风险评价是指在风险识别和风险分析的基础上,通过考虑风险发生的概率、损失大小,结合其他因素来对所收集的大量的风险损失资料加以分析,衡量其对企业实现目标的影响程度,并为风险应对策略的制定提供依据。 同时,损失大小的程度可分为三个层次:p207 (1)正常损失期望。是指风险管理单位在正常的风险防范措施下,遭受损失的期望值。在风险衡量中,根据过去发生的损失数据而进行加权平均计算的期望损失,就是风险评价中的正常损失期望值指标。风险评价中的正常损失期望偏重于对风险的评价,以便为风险管理决策提供对策和建议。 (2)可能的最大损失。是指风险管理单位在某些风险防范措施出现故障的情况下,可能遭受的重大损失。它可以矫正风险管理人员未曾预见的风险因素所带来的损失,是风险管理的重要依据。 (3)最大可能损失。是指风险管理单位在最不利的条件下,估计可能遭受的重大损失。它为风险管理部门提供了评价损失造成最坏影响的依据。 二、企业风险评价的理论基础
进行风险评价主要基于以下几个原理:
精心整理
1、大数定律 2、类推原理 3、概率推断原理 4、惯性原理 5、相关原理 三、企业风险评价的目的与意义 (一)企业风险评价的目的 (1)对以前风险管理成果予以鉴定。 (2)通过实际业务与以前风险战略决策、政策与程序对比,可以检查原设计的方案是否合理适当、执行是否有效,并找出需要完善与修正之处。 (3)对实行风险预警机制的企业,经过风险评价,确定合适的报警点。 (4)对已经变成现实的风险,需要对风险处理进行评价,以便检查控制执行的差异、找出原因、明确责任。 (二)企业风险评价的意义 四、企业风险评价的分类
1、以风险评价的阶段为标准
按照风险评价的阶段划分,风险评价可以分为事前评价、事中评价、事后评价和跟踪评价;
精心整理
2、以风险评价的角度为标准
按照风险评价的角度划分,可以分为技术评价、经济评价和社会评价。 3、以风险评价的方法为标准
按照风险评价方法划分,可分为定性评价和定量评价。 五、影响企业风险评价的因素分析 导致偏差产生的原因有以下几个方面:p210 1、人为因素 2、机械设备因素 3、物的因素 4、环境因素 5、管理因素 六、企业风险评价的原则 1、整体性原则 2、科学性与可比性原则 3、统一性与客观性原则 4、实用性与经济性原则 5、定性与定量相结合的原则 6、可操作性原则
精心整理
七、企业风险评价的标准
(一)确定企业风险评价标准的因素
1、财产的物质特性和对损害的承受能力 2、损失评价的主观性 3、损失的管理成本 (二)企业风险评价标准的特点 该标准具有以下特征: (1)高度概括性,并指出风险管理的重要特征及标准。 (2)客观实际性。该标准要能反映出风险管理对象的实际情况。 (3)清晰性。风险评价体系分类应清晰。 (4)具有弹性。风险评价的标准要能适应环境和条件的变化并不断做出相应调整。 (三)企业风险评价标准体系 1、风险因素重要性程度评价标准 为了统一评价标准,可以根据该风险因素指标对实现企业经营目标影响程度的大小、发生概率多少从高到低将其分为四个等级:p213了解
(1)高度影响。高度影响是指风险发生的概率高,且一旦发生将给企业带来致命影响。比如,资产负债率、现金流量等风险因素指标变化会直接影响企业偿债义
精心整理
务的执行,会高度影响企业目标的实现。
(2)严重影响。严重影响指风险发生的概率不高,但是会造成较高的风险损失。比如,应收账款周转率、坏账损失发生的可能性等风险。
(3)中度影响。中度影响指风险发生的概率较低,会造成一定的风险损失。比如,生产成本的增减变动和材料消耗定额变动风险。
(4)低度影响。低度影响指风险发生的概率极低,且近期内基本不会影响到企业目标的实现。比如人员配备,员工培训等从长远观点看会对实现企业经营目标有重大影响,但近期内却不会有直接影响。 2、风险域及风险因素权重评价标准 风险因素权重是指该风险因素指标在总体经营目标中所占的比重。全部风险因素权重的总和是100。 3、风险预警指标等级评价标准p214了解 风险预警是企业风险管理的重要组成部分。是在划分风险域、明确风险因素指标体系、确定风险因素等级及标准值后,再根据监测实际完成目标值的程度来计算风险度。 1级——优良状态。无风险征兆,不必采取控制措施。
2级——正常状态。低度风险,后果可以忽略,可不采取控制措施,通过日常程序加以管理即可。
3级——轻微状态。中难度风险,后果影响较小,暂时不会造成系统破坏,应考
精心整理
虑采取控制措施,通过具体监控和相应措施加以管理。
4级——严重状态。严重风险,后果严重,会造成系统破坏,须立即采取控制措施,应引起管理层关注。
5级——危机状态。高度风险,致命性后果,应立即采取行动予以排除,董事会或高级管理层应参与到风险管理中来。
在以上风险等级设定完成后,再根据各个不同风险因素指标性质特点及其完成值,设定等级及预警标准临界值。比如,若采取“预算目标完成率”为确定风险因素等级的评价标准,可将净利润风险因素指标的风险等级设定为:完成公司预算目标值的100%——1级;完成95%~100%——2级;完成85%~95%——3级;完成75%~85%——4级;完成率低于75%的则为5级。将预警标准临界值设定为85%。 通过设定风险等级及预警标准临界值,便可以随时考核分析风险因素指标变化影响的趋向,以便有针对性的实施控制及应加强的方向,防范重大风险损失的发生。
4、风险因素指标运行状况评价标准p214了解 “双绿灯”——该风险因素指标运行优良,不会产生风险; “绿灯”——该风险因素指标运行优良,近期内不会产生风险; “黄灯”——该风险因素指标运行已进入低度风险状态,应提高警惕; “红灯”——该风险因素指标运行已进入中度风险状态,需要投入资源进行解决;
“双红灯”——该风险因素指标运行已处于危险状态,需要高层管理者参与解
精心整理
决,否则将严重影响经营目标的实现。
5、未来风险状况评价标准p215了解 对于未来风险的评价也可以分为五个层次:
A级——肯定不可能改变现状,而且会继续向恶性发展; B级——很可能向恶性发展; C级——有可能停止向恶性转化; D级——有可能停止向好的方向转化; E级——肯定能向有利的方向转化并实现预定经营目标。 八、企业风险评价的程序和方法 (一)风险评价程序 1、确定风险评价目标 2、建立风险评价标准体系 3、选择风险评价方法 4、综合评价实施 (二)风险评价方法
目前国际上比较流行的方法主要有以下几种:p215-225 1、策略分析法 2、蒙特卡罗法
精心整理
3、模糊综合评价法 4、风险坐标图评价法 5、风险度评价法 6、检查表评价法 7、优良中差评价法 8、单项评价法 9、指标评价法 10、直方图评价法 11、风险矩阵评价法 12、风险综合评价法 第十一章企业风险应对策略与关键风险管理 第一节 企业风险应对策略 P226风险应对策略是指企业根据内部条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险接受、风险规避、风险转移、风险利用等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。
图11-1风险应对策略 一、风险接受
精心整理
P226风险接受又称风险保留,是指企业接受现今经营管理中存在的风险,并对其进行管理与控制的策略。 (一)风险接受条件
一般情况下,企业遇到下列情形可以采用风险接受策略: (1)接受风险管理风险的费用比采取其他方式的费用低;
(2)预测的最大可能损失比较低,而这些损失是企业在短期内能够承受的; (3)企业具有自我保险和控制损失的优势,一般来说,企业每年接受管理的风险最高额为企业年税前收入的5%左右,超过这个限额就不宜采取保留风险策略。 按照风险管理的计划性,风险接受策略可以分为主动接受管理和被动接受管理。主动接受风险管理是指企业在识别损失、明确风险存在及其后果并权衡了其他处理风险技术和利弊之后,主动接受并管理风险,并安排好适当的财力准备。被动接受风险管理是指企业没有能够识别风险及其损失,没有考虑到选择其他风险管理策略的条件下,不得不由企业本身承担损失的风险处置方式。 (二)风险接受的处理方式p227-228 1、用现有收入补偿损失 企业可以用现有收入来补偿发生频率高、影响程度小的损失,即直接将其摊入企业的成本或费用中,不需建立专项资金。采用这种方式,企业可以随时动用资金弥补损失,提高效率;同时不需选拔专人来对风险资金准备进行管理,降低管理费用。但这种方式不适用于突发的大额损失,并且采用这种方式对企业的损益状况会产生较大波动的影响。
精心整理
2、建立专项基金
建立专项基金是为应付面临的各项损失风险,企业根据不同用途设置的。如意外损失基金、设备更新基金等。要求企业每年提取一定数额的资金,形成基金。采用这种方式,企业可以积累较多的资金准备,形成一定的抗风险能力。但是,专项基金的管理成本较高,而且管理不当可能会引发挪用资金等问题。
3、建立意外损失准备金 意外损失准备金是企业根据风险评估所了解的风险特征,并根据企业自身的财务状况,预先提取用以补偿风险事件损失的一种准备金。它适用于处理风险损失较大、无法摊入经营成本的风险损失。采用这种方式可以节约附加保费、获取投资收益、降低道德风险和迅速获得理赔等。但会受到准备金规模的限制,可能会发生财务周转困难,或应急准备金严重不足等问题。 4、从外部借入资金 当企业在风险损失发生后,无法从内部筹集足够的资金时,可以选择从企业外部借入资金,弥补风险损失。企业可以与金融机构达成应急贷款和特别贷款协议,当发生重大风险损失时,向外部金融机构申请特别贷款。通常金融机构批准这两种贷款的条件比较高,要求企业具有较强的竞争优势、资信状况较好、偿还贷款的能力较强等。尤其是特别贷款,要求更苛刻,如要求企业在未来一段时间内有条件偿还贷款,提供质押担保或第三方担保等。
除了通过筹集资金提高企业自身的抗风险能力外,企业还可以通过以下两种方式接受风险:
精心整理
(1)套期保值。企业运用金融协议,通过持有一种资产来冲销另一种资产可能带来的损失风险。套期保值的典型应用就是抵消价格损失风险,企业需要的某种资产可能同企业持有的另一种资产的价格负相关。投资企业可以利用这种负相关,抵消价格波动给企业带来的收益减少的损失风险。
(2)设置专业自保企业。比较正规的风险接受策略,一般都是按照保险的机制来运行的,即自我保险。尤其以面临风险的企业设立专门的分支机构来做风险的自我保险最为正规,这样专门的分支机构就是专业自保企业。 专业自保企业是由母公司设立并受母公司控制的实体,其存在的目的就是为母公司提供保险。由于企业利用传统保险时,可能面临一些困难,如某些情况下无法得到保险,或获得传统保险的成本过高等,这时就需要企业自己设立专业自保企业承担风险。同时做得好的专业自保企业还可以通过对外提供保险为母公司创造利润。但需要注意,专业自保企业与保险企业相比,存在着接受业务有限、业务来源不稳、经营规模小、不易吸引专业人才等方面的局限。 二、风险转移 P228风险转移是指企业通过契约、合同、经济金融工具等正当合法的形式将可能遭受的财务和法律责任损失有意识的转移给他人,以达到降级风险频率、缩小损失等目的。 一般说来,风险转移的方式可以分为非保险转移和保险转移。 (一)控制型非保险转移p228
控制型非保险转移是指通过契约、合同等将损失的财务和法律责任转嫁给他人,
精心整理
从而解脱自身的风险威胁,主要包括外包、租赁、委托、出售、售后回租等形式。
1、外包转移 2、委托转移 3、租赁转移 4、出售转移 5、售后回租 (二)财务型非保险转移p229 (1)保证。 (2)再保证。 (3)集合。通过套期保值、远期合约等方式将损失机会与获利机会平衡。通常用于投机风险的处理。 (4)证券化。利用可转换证券、双汇率债券等金融工具方式,满足投资人、筹资方利益的需要,是一种双赢的风险转移。 (5)股份化。股份化又称为企业化,属于风险分散。 (三)保险转移 保险转移是企业通过参加保险、缴纳保险费将风险转移给保险企业的一种风险转移方式。
相对于非保险转移方式,保险转移需要遵循一定的原则:
精心整理
1、最大诚信原则 2、保险利益原则 3、近因原则 4、经济补偿原则 三、风险避免 P231风险避免也称为风险规避,是指企业在风险发生可能性较高或风险影响较大的情况下,选择放弃、停止或拒绝等方式处理面临的风险。 企业面对风险可以采取的方式包括:①完全拒绝承担风险,②逐步试探承担风险,③中途放弃承担风险。 四、降低风险p231-233 1、风险分散 2、风险分摊 3、备份风险单位 第二节关键风险管理的具体实施 一、战略风险管理实施的具体实施 (一)战略风险的识别 (二)战略风险的评价 (三)战略风险的应对策略
精心整理
(1)风险接受。 (2)风险转移。 (3)风险避免。 (4)风险降低。 (四)战略风险的量化预警 (五)案例——韩国三星的风险管理战略 二、企业财务风险管理的具体实施 (一)财务风险的识别 (二)财务风险的评价 (三)财务风险的应对策略 企业可以根据不同财务风险的商业决策因素和风险性质选择不同的风险管理策略,一般可选择的财务风险管理策略有:风险回避策略、风险分担策略、风险降低策略和风险承受策略。 (1)风险回避。 (2)风险转移。 (3)风险降低。 (4)风险接受。 (四)建立财务风险预警系统
精心整理
1、企业财务风险预警系统的内容
企业财务风险预警系统包括财务预警组织机制、预警信息机制、预警分析机制、预警管理机制。
2、建立财务预警系统的一般步骤 (1)识别财务风险源。 (2)计算风险度。 (3)财务风险预报。 3、企业财务风险预警系统的特征 (1)先兆性。 (2)敏感性。 (3)参照性。 4、财务风险预警系统的主要功能 (1)通过财务风险预警系统,企业可以预测财务风险是否存在,如果存在,风险发生的概率和程度如何。 (2)通过财务风险预警系统,运用定量分析法和定性分析法,观察、计算并监督企业财务状况,及时调整企业的财务活动,控制出现的偏差,制定出新的措施,有效地阻止和抑制不利事态的发展;将企业的财务危机降到可控范围,以减轻损失程度,保证企业生产经营活动能够正常进行。
(3)通过财务风险预警系统,企业以财务分析资料为依据,评价和指导企业未
精心整理
来的财务风险管理行为,制定今后财务风险管理的方向和措施。
企业应该建立适当的财务风险监管体制,识别和评价不同的财务风险,并采取适当的风险管理措施,既要控制财务风险发生的可能性,又要控制财务风险发生后的影响,均衡风险和收益,保证企业的健康发展。 (五)案例——富尔图成功挽救威望迪 三、法律风险管理的具体实施 (一)法律风险的识别 (二)法律风险的评价 (三)法律风险的应对策略 (1)风险接受。 (2)风险转移。 (3)风险避免。 (4)风险降低。 (四)案例——四天短命的国企并购 四、市场风险管理的具体实施 (一)市场风险的识别 (二)市场风险的评价 (三)市场风险的应对策略
精心整理
(1)风险接受。 (2)风险转移。 (3)风险避免。 (4)风险降低。 (四)市场风险的预警 (五)案例——大通银行市场风险管理 五、运营风险管理的具体措施 (一)运营风险的识别 (二)运营风险的评价 (三)运营风险的应对策略 1、风险减缓和控制 2、风险转移 (四)案例——赫勒金融公司 六、技术风险管理具体措施 (一)技术风险的识别 (二)技术风险的评价 (三)技术风险的应对策略
(1)采用多元化技术开发策略。
精心整理
(2)组建战略联盟。
(3)利用风险投资、保险、证券市场等方法,转移技术风险。 (4)采用有效的激励机制。 (5)建立防御性组织结构。
(四)案例——H农信联社信息技术风险评估 七、政治风险管理的具体实施 (一)政治风险的识别 (二)政治风险的评价 (三)政治风险的应对策略 1、购买保险规避政治风险 2、寻求法律帮助 3、积极参与经营所在地的经济建设 4、股权结构安排 5、寻求母国政治保护 (四)案例——中国五矿集团国际并购中的政治风险案例
第十二章企业风险管理整合方案
P276主要是指将风险管理(五环节:风险识别、分析、衡量、评价、应对)与内部控制(五要素:内部环境、风险评估、控制活动、信息与沟通、监督)相衔接。
精心整理
第一节健全风险管理的内部环境
一、健全企业文化,培养良好的风险管理文化 二、确定企业的风险偏好
三、改善公司治理结构,加强董事会的有效性 四、确定合理的组织结构和权责分配体制 五、重视诚信和道德建设,提高管理者的素质 六、制定良好的人力资源政策 第二节将风险管理渗透到控制活动 一、将控制活动与风险应对策略相结合 二、扩大控制活动范围 三、设计控制活动内容 四、关注信息系统控制活动 五、考虑业务变化和组织调整的影响 六、与独立审计师合作 第三节完善风险管理的信息与沟通系统
一、信息与沟通在风险管理过程中的作用 二、完善信息与沟通的措施
精心整理
第四节加强风险管理的监督与检查
一、风险管理监督与检查的意义 二、建立风险管理监督机制
1、持续监督 2、个别评价 3、缺陷报告 三、持续改进风险管理系统 (一)风险管理改进的内容 1、改进缺陷 2、应对变化 (二)风险管理改进的程序 第五节提高公司治理能力 一、风险管理和公司治理的关系 风险管理和公司治理是一种相辅相成、相互促进、相互制约的关系。 1、风险管理是公司治理的核心 2、风险管理处在公司治理的框架之中 二、提高公司治理能力的途径
1、构建完整独立的风险管理体系
精心整理
2、完善内控机制,保障公司治理机制的运行 3、健全公司治理文化,防范道德风险
因篇幅问题不能全部显示,请点此查看更多更全内容