安永2005_中央企业全面风险管理培训

nullnull胡展云 安永中国营运委员会主席中央企业全面 风险管理培训2005年3月20-26日·北京null讨论内容企业风险管理的必要性 案例分析 教训与启示 企业风险管理框架 股东对企业风险管理最关心的四个问题 风险管理框架：一个基础、三道防线 构建风险管理的关键成功要素 财务报告系统的内部控制 财务报告系统的功能 财务报告系统的典型问题 如何建立一套健全的财务报告内控系统null第一部分 企业风险管理的必要性 甚么是风险管理？ 甚么是风险管理？企业风险管理是一套由企业董事会与管理层共同设立、和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平，从而帮助企业达至它的目标。 美国内控研究委员会null企业风险管理的必要性案例分析： 安然公司 世通公司 巴林银行 回顾事件发生的经过 了解引致公司倒闭或严重损失的内控缺陷 从案例中吸取的教训 八百伴公司 百富勤公司 三家国有控股上市公司 null案例一：美国安然公司 (Enron)在2002年，安然是美国最大的石油和天然气企业之一 2001年末，安然宣布第三季度录得6.4亿美元的亏损，美国证监会对该公司进行调查，发现该公司在1997以来虚报利润5.8亿美元 2001年末，安然 申请 关于撤销行政处分的申请关于工程延期监理费的申请报告关于减免管理费的申请关于减租申请书的范文关于解除警告处分的申请 破产保护令，但在之前10个月内，公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利null调查发现： 安然的董事会及审计委员会均采取不干预(“hands-off”) 监控政策 事件发生之后，部分董事表示不太了解安然的财务状况、 期货及期权的业务 安然重视短期的业绩指标 安然管理高层常常藐视或推翻公司制定的内控制度 null案例二：美国世通公司 (Worldcom)世通是美国第二大的电信公司 2002年，世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法，多年来虚报利润735亿美元 世通于2002年末申请破产保护令，成为美国历史上最大的破产个案 世通的四名主管(包括公司的CEO和CFO) 承认串谋讹诈，被联邦法院刑事起诉 null调查发现： 世通的董事会持续赋予公司的CEO(Bernard Ebbers) 绝对的权力，让他一人独揽大权 美国证监会的调查报告指出：世通完全没有制衡机制 世通的董事会并没有负起监督管理层的责任 世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金null案例三：英国巴林银行 (Barings Bank)巴林银行在90年代前是英国最大的银行之一，有超过200年的历史 1992-1994年期间，巴林银行新加坡分行的总经理里森(Nick Lesson) ，从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动 ，累积亏损超过10亿美元，导致巴林银行于1995年2月破产调查发现： 巴林银行的高层对里森所从事的业务并不了解 巴林缺乏职责划分的机制 巴林银行的高层对财务报告不重视null案例四：日本八百伴 (Yohan)在90年代，八百伴是日本最大的百货公司之一 1997年9月，八百伴宣布破产，向法院申请“公司更生法”保护，当时八百伴的负债额达1,613亿日元，是日本战后最大的一宗企业破产案调查发现： 八百伴低估经营非核心业务的风险 八百伴低估扩张业务的风险 八百伴低估了开发新兴市场的风险 null在90年代，百富勤原是亚洲除日本外的最大投资银行 金融风暴冲击下，百富勤在短短一年内出现入不敷出，至1999年月1月宣布破产案例五：香港百富勤公司 (Peregrine)调查发现： 香港政府在调查百富勤的报告中表示，百富勤倒闭的原因主要是由于缺乏有效风险管理、内控体制和完善的财会报告系统 百富勤虽然设立了信贷委员会和风险管理部门，但却未能制衡业务部门强大的权力 百富勤忽略发展新兴市场的风险 百富勤低估了利率和汇率波动的风险 案例六：投资与出售股权权益案例六：投资与出售股权权益某国有控股的上市企业(简称“国企A”)于19X4年以约4.2亿元人民币收购某汽车制造公司95%权益，两年后，该国企以3.2亿元人民币向一家马来西亚公司出售其在汽车公司中50%的权益，而记录了一笔4,000万元人民币的营业外收入。但其后，该马来西亚公司并没有按协议支付交易金额，而交易亦被迫中断。19X7年，国企A为掩饰交易失败而重新与三家公司签约，以3.2亿元人民币的同样金额将汽车公司的50%权益转售给这三家公司，但这三家公司最终都没有向国企A支付任何款项。null调查发现： 国企A未有就对外投资建立完善的风险管理，投资前既没有清楚考虑其高级管理层缺乏汽车制造业的经验，亦没做好可行性研究的各种分析。 在出售投资权益予该马来西亚公司时，并未充分考虑对方的信誉和偿付能力，亦未有利用买卖协议为可能出现的违约事件提供保障。 在转售投资权益予该三家公司时，并未披露这三家公司均为关联的 “空壳公司”。财务报表亦没有如实反映交易中断的情况。 汽车公司从成立至19X9年的5年间，一直未能调试投产，亦未有竣工验收，最终，该国企以大幅度低于成本的价钱，把该汽车公司出售，造成严重亏损。案例七：投资非核心性业务某国营企业(简称“国企B”)于19X6至19X8的两年间，动用接近10亿元人民币，投资了15家公司，而该国企在每家公司的权益均在10%至30%之间，这些公司的业务范围包括金融、包装材料、汽车零部件、房地产开发、贸易和通信等。调查发现： 国企B未有就对外投资建立完善的风险管理系统。 这15家公司大部分没有为国企B提供经审计的财务报表，亦一直未派股息；国企B亦没有利用投资协议来保障其权益。案例七：投资非核心性业务null某国有控股在香港上市的公司(简称“国企C”)没有遵守上市规则的要求，在没有得到股东批准的情况下，向一位董事的关联公司提供港币1.6亿元的贷款和港币1.96亿元的银行信用证担保，该贷款和信用证担保的总额占上市公司资本金的30% 款项贷出后，该关联公司一直不予还款，而国企C为该关联公司所提供的银行信用担保当中的港币9,500万元已被有关银行提出追讨案例八： 某香港上市公司null调查发现： 国企C的公司治理结构不 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 ，出现一小撮人独揽大权 国企C并没有建立合规方面的风险管理机制 国企C的财务报告系统既没有为上述关联交易作出适当的披露，亦没有为拖欠的贷款提取坏账准备null教训与启示 常言： 「智者从别人失败经验中吸取教训， 聪明者从自己失败经验中吸取教训， 愚者则永不懂从经验中学习。」null我们可以从上述案例中吸取什么教训？ 1. 熟悉企业本身的业务与相关风险 切记：避免制定不切实际的目标或盲目扩展投资，使企业承受无谓的风险 建立内控和相互制衡的机制 切记：权力过分集中就会出现腐败的情况 紧盯着现金 所有犯案、挪用公款和偷窃行为均与现金有关 常言：“会计数字只是参考意见，现金才真正令你感到踏实。” null合理制定绩效评估与激励机制 “如果你发现精明的员工做出蠢事，你应意识到这可能是因为他们受到公司的绩效与激励机制的诱导而产生的结果。” 建立规范和健全的财务报告系统 财务报告系统必须有能力为企业提供及时、准确和具高分析性的财务资料，以帮助管理层管理业务和赢取股东的信心 null6. 深化企业风险管理文化 要建立健康的企业文化及价值观，企业必须： 由上而下，身体力行，建立严谨的“风范” ，使员工能上行下效 订立管理原则和行为规范 通过绩效管理的方法，鼓励正确的行为和态度 加强培训和沟通 企业必须建立有效机制，使员工能从企业本身或其他企业所犯的错误(或接近犯错)的经验中，吸取教训null第二部分 企业风险管理框架null企业为何要建立风险管理？因为企业的股东与管理层常常要面对一些令他们寝食难安的问题。因此，企业需要系统化地建立一套风险管理体制，从而识别影响企业盈利的关键因素，并对那些会影响企业达标的风险进行监控及管理null股东对企业风险管理最关心的四个问题：企业知道它所面对的主要风险吗？ 例如：什么风险正在或将会影响企业的业务？ 企业的品牌 新产品、新市场的开发 战略联盟 客户或供应链的管理理想的情况： 企业能开发一套 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 的、共通的风险语言，从而识别企业所面对的风险，并就其严重的程度进行排序。共通的风险语言亦有利于企业上下层就风险的管理进行沟通null企业是否已对这些风险设置内部控制？ 企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险)，构建内部控制(包括预防性控制及觉察性控制) ，以确保企业能实现目标和符合各方面的法律、法规理想的情况： 企业就其所面对的风险和采取的内控，编制一套完整的文档，并借鉴国际最佳的实务不断进行检讨 null企业的内部控制有效吗？ 企业要对其内控系统不间断地进行监控和测试，以确保其对风险控制的能力理想的情况： 企业把各类风险控制在可接受的水平，并在这基准上赚取合理的回报 null哪一些内部控制必须改进？ 企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施理想的情况： 企业能建立一套具前瞻性的信息管理系统和预警系统，使企业能及时识别新生的风险，并对相关的业务计划、政策和程序进行修正 null企业风险管理框架一个基础 三道防线null一个基础：公司治理结构什么是公司治理？ 公司治理是涉及公司的表现：它关系到一家公司如何得到有效的管理，从而发挥最佳表现 公司治理是涉及责任的问题：它关系到董事会及管理层如何向股东负责，而使股东能从公司的表现中得益null公司治理与风险管理有什么关系？公司治理是风险管理的一个必要的组成部份，因为它提供了对风险由上而下的监控与管理 近年多个国家都订立了公司治理的最佳守则： 美国：纽约证交所最佳治理守则 英国：Cadbury/Hampel Report、The Combined Code 加拿大：Dey Report OECD Report 这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任null如何构建一个有利风险管理的公司治理结构？建立一个健全的、以董事会为首的公司治理结构 订立企业的目标和战略，包括企业的风险政策和极限 贯彻一套重视风险管理的企业文化和价值观 null第一道防线：业务单位防线业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线 企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线null如何建立第一道防线 了解企业战略目标及可能影响企业达标的风险 识别风险类别 对相关风险作出评估 决定转移、避免或减低风险的策略 计设及实施风险策略的相关内部控制null(风险宇宙TM )资信制度知识产权财务流动资产与 信贷资本结构市场财务报告营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及 管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房 与土地其他 有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与 选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规风险宇宙null战略性风险是指公司因作出战略性错误的决定而导致经济上的损失 战略性风险是业务单位、高级管理层和董事会的共同责任 常见的战略性风险包括： 企业的目标与方针 市场潜在的威胁 业务的范围(深度与广度) 品牌及形象的建立战略性风险与战略性伙伴的合作 投资和融资的策略 员工的素质和雇员关系 企业的信息及监控系统null信贷风险是指贷款人或 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 的另一方因不能履行合约而使公司产生经济损失的风险 常见的信贷风险包括： 贷款未能回收 应收帐款未能回收 债券跌价 (因信贷评级的减值或债务人未能履行付款义务) 买卖金融市场产品而未能兑现 企业因合资、合作、联盟、外包等经济活动而产生或暴露的信贷风险信贷风险null市场风险是指因市场价格或利率波动而使公司产生经济损失的风险 构成市场风险的三大因素： 因买卖或投资金融产品而产生的风险 因资产与负债错配、或原材料与产成品价格不能同步浮动而产生的风险 资金流动性风险 常见的市场风险包括： 利率风险 外汇风险 股票与债券市场风险 商品价格风险 期货、期权与衍生工具风险市场风险null营运风险是指企业内部流程、人为错误或外部因素而令公司产生经济损失的风险，它包括了公司的流程风险、人为风险、系统风险、事件风险和业务风险等 流程风险是指交易流程中出现错误而引致损失的风险，流程包括如：销售、定价、记录、确认、出货/提供服务等环节。流程风险也包括合规性风险 人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而引致损失的风险 系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的风险 事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险 业务风险是指因市场或竞争环境出现预期以外的变化而引致损失的风险，所涉及的问题包括市场策略、客户管理、产品开发、销售渠道和定价等领域营运风险null风险发生的可能性null风险对企业造成的影响null风险处理方法的效果null风险地图(或风险共同语言)影响程度几乎 肯定极可能可能低极低BCAGIDJKHEF可能性说明: A – 人力资源风险 B – 财务风险 C – 竞争风险 D – 开发风险 E – 过度自信风险 F – 系统故障风险 G – 主要客户风险 H – 欺诈风险 I – 政治风险 J – 薪酬奖励风险 K – 科技风险 null风险处理组合 处理评级风险评级近乎没有效果低效适中超标极度极高高中等低AGIDJKHE说明: A – 人力资源风险 B – 财务风险 C – 竞争风险 D – 开发风险 E – 过度自信风险 F – 系统故障风险 G – 主要客户风险 H – 欺诈风险 I – 政治风险 J – 薪酬奖励风险 K – 科技风险 F采取行动密切监控定期审阅null风险处理策略null风险策略 避免 禁止交易 减少或限制交易量 离开市场 转移 套期 保险 策略性联盟 其他分担风险的安排小心管理 投资 广泛保护的安排 订价反映风险程度 可接受 自我保险 预留储备 增加监督风险处理策略影响程度大小null企业建立的第一道防线，就是要各业务单位就其战略性风险、信贷风险、市场风场和营运风险等等，系统化地进行分析、确认、度量、管理和监控 企业需要把评估风险与内控措施的结果进行记录和存档，对内控措施的有效性不断进行测试和更新第一道防线：总结null第二道防线：风险管理单位防线第二道防线是在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会 风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括： 编制规章制度 对各业务单位的风险进行组合管理 度量风险和评估风险的界限 建立风险信息系统和预警系统 、厘定关键风险指标 负责风险信息披露、沟通、协调员工培训和学习的工作 按风险与回报的分析，为各业务单位分配经济资本金 null第三道防线：内审单位防线第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题 内部审计的定义：内部审计的三大功能内部审计的三大功能财务监督 财务帐的可用性 内部管理和制度的执行 典型例子：检查分、子公司上报总部的财务报表的 准确性以及执行财务管理政策的情况 经营诊断 管理审计以及效率和效益审计 检查和诊断经营和管理过程中的偏差和失误 典型例子： 企业对某业务单位或某部门执行效益审计 (一个输入与产出的关系) null咨询顾问 企业风险管理和发展策略方面的咨询 调查领导关心的热点问题和管理薄弱环节 典型例子： 兼并收购时调查被投资公司的内部管理和 流程操作，了解薄弱环节或其他影响并购 交易的重大事项，从而确定管理方法和 并购策略构建企业风险管理的关键成功要素构建企业风险管理的关键成功要素1. 股东确立对企业监督的机制，考虑是否需要在集团层面： 引入以董事会领导的管理体制 聘任有经验的外部董事，来加强对企业的监督 要求企业建立风险管理和内控系统，并对其运作及有效性作出定期的汇报null2. 管理高层的支持和参与 确立方向和目标 营造必要的环境 为平衡风险与回报作出战略性的决定风险调整风险 后的回报null3. 建立风险管理文化 风险管理的手段，必须融入日常的管理流程 通过讨论和培训，使风险管理的实施得到“全民” 的支持 通过经验的分享，不断加强风险管理的认同性 4. 采用先进的风险管理的实施方法 借鉴如美国 Treadway 委员会所提出的COSO内控框架 采用各种识别和度量风险的先进的方法 采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务，构建信息管理系统和预警系统null第三部分 财务报告系统的内部控制财务报告系统的功能财务报告系统的功能股东监管部门其他利益相关者分析和修正企业远景、 战略和目标企业经营、 管理和控制企业业绩的 度量和报告财务报告系统财务信息披露和报告null财务报告系统管理null财务报告系统的典型问题输入资料不准确 缺乏内部控制 员工缺乏应有的知识和资历 对资料的要求不清晰 缺乏一套清晰和统一的会计政策 如何确认收入？ 如何计提准备金？ 如何界定经营性与 资本性支出？会计科目设计不完善 依靠人手操作或缺乏合适和统一的电子核算平台如何反映对外投资？ 如何记录各类金融衍生工具？null财务报告系统的典型问题关帐或财务结算程序不规范 没有明确财务结算的工作和程序 没有利用标准的结算表/模板 没有订立重要性的门槛 未能披露或提供重要信息 什么数据或差异需要进行分析？ 需要与什么数据进行比较？ 分析需要得到什么数据的支持？ 什么资料可协助管理层加强管理？ 财务报告系统和内部控制的关系财务报告系统和内部控制的关系财务报告系统是为企业内部管理提供信息和与外部利益相关者(如股东、监管机构)沟通的主要工具和媒介 财务报告系统需要一个完善的内部控制环境，才能及时和有效地执行和发挥它应有的作用内部控制的定义内部控制的定义在一九九四年，美国“反对虚假财务报告委员会”所属的“内控研究委员会” ，在其专题报告《内部控制－整体架构》中形容： “内部控制是一套程序，受企业董事会、管理层和其它员工影响，旨在保证财务报告的可靠性、经营的效率和效能、以及对现行相关法律法规的遵循”内部控制的作用内部控制的作用内部控制的作用在于保证/保护： 信息（会计信息和经营信息）的可靠性和完整性 遵循政策、计划、程序、法律和法规 资产的安全 提高经营效益和效能 实现经营的目标和防止浪费资源null内部控制不能： 将一个原本拙劣的管理体系改变成一个优良的管理体系 影响环境因素，如政府的法规和政策、竞争对手的行动或经济状况 保证企业的成功或不会面临倒闭的命运 杜绝员工或管理层舞弊和欺诈的行为COSO内控框架COSO内控框架Committee of Sponsoring Organisation of The Treadway Commission (COSO)为内控开发了一个全面的框架 这个内控框架是唯一被美国证监会确认为完整、全面和不偏依的内控框架 构建内部控制须分两个层面： 公司层面 流程、交易及IT应用层面null控制环境风险评估信息和沟通控制活动监控如何构建内部控制—公司层面的评估管理层关于内部控制 的报告评估内控的整体的有效性，找出有待改进的地方，并建立一个监控体系在流程、交易和应用层面，理解和评估内部控制在全公司层面评估内部控制组织项目小组实施评估工作理解内部控制的定义公司层面的内控─控制环境公司层面的内控─控制环境企业道德规范与价值观 员工的行为操守与企业文化 公司治理结构和政策 董事会及各委员会的构成 企业规章制度 董事会与管理层之间的关系、权力和职责公司层面的内控─风险评估公司层面的内控─风险评估企业是否拥有既定的程序以确定、评估和度量影响企业达标的风险？ 先进的内审部门？ 风险管理部门？ 全面风险评估？ 企业有否详细记录评估风险的结果？有否进行详细的讨论和沟通？公司层面的内控─信息和沟通公司层面的内控─信息和沟通企业的架构是否能够令各部门及业务单位明确各自的职责及促进沟通 企业是否拥有一个合适的电子平台 处理管理信息和数据 确保信息能够及时发放 确保各类信息和报告的准确性和可用性公司层面的内控─控制活动规章制度 审批程序 资产实物的安全 特殊报告 表现指标 信息系统控制 职责划分公司层面的内控─控制活动null公司层面的内控─控制活动规章制度 董事会及各委员会的章程 企业风险政策 员工招聘守则 企业采购政策 会计及财务管理守则null 公司层面的内控─控制活动审批程序 一种预防性的控制措施 确保规章制度得以落实执行 知识与经验分享 责任的承担null公司层面的内控─控制活动资产实物的安全 档案/库存上锁 减少利用现金交易 办工室安全系统 / 警铃 资料数据库进入的限制 保安人员 员工身份证 机器上的标记 隐型录相机null公司层面的内控─控制活动特殊报告 逾期应收款报告 工作超时完成报告 原材料不合格报告 机器故障报告 产品不合格或退货报告 存货台帐红字报告null公司层面的内控─控制活动表现指标 预算与实际比较 项目管理报告 财务指标报告 系统可用性报告 员工利用率报告null 公司层面的内控─控制活动职责划分 一种员工之间相互制约的控制， 以减少出错或越权的情况 不能由同一人发起、批准和记录一宗交易 不能由同一人保管和记录资产 定期轮换职责，在日常运作中的主要控制点应有高管人员的参与或由独立的人员作出审查null公司层面的内控─控制活动null流程、交易及IT应用层面的评估评估和监控控制的有效性 评价控制是否合乎当初设计的有效识别和记录影响每一财务报表科目的关键业务和固有风险 在主要流程层面记录对关键业务风险的理解和他们怎样影响财务报表科目 记录对每一财务报表科目固有风险的评价识别重要科目 考虑下列因素： 潜在的重大差错 规模和组成 对于人为操纵和损失的敏感性 较多的交易数量 交易的复杂性 决定科目余额的主观性 科目的性质识别和理解重要流程 包括对于能够影响重要科目(或科目组合)的主要交易类别，识别和理解其流程及相关会计核算活动 会计核算活动也包括制定和记录关键会计估计或在期末完成财务报表结算的流程识别和减低风险的控制 识别和考虑针对每一重要流程解决其“可能出错”的问题的控制措施 这些控制能够为防止发生重要的错误或能发现并更正错误提供合理保证 控制可能并不显而易见，可能是电子化或者是人工的，亦可能同时是高层及基层实施提出“什么会出错”的问题 对于每一重大科目需要提出在交易的过程中哪里可能产生重大错误的问题 根据我们对每一接受评价的重要流程可能引起的财务报告风险及其在整个财务报表中的相对重要性的认识，决定恰当的处理财务报告重要科目 关键业务风险 和固有风险 管理层认定重要流程什么会出错控制评价和监控测试和报告测试控制的有效性并作出结论 发现问题并提出解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 及行动计划管理层关于内部控制 的报告评估内控的整体的有效性，找出有待改进的地方，并建立一个监控体系在流程、交易和应用层面，理解和评估内部控制在全公司层面评估内部控制组织项目小组实施评估工作理解内部控制的定义nullnull谢 谢 ！