安永-企业全面风险管理

nullnull企业全面风险管理2005年4月9日·北京安永中国营运委员会主席null讨论内容企业风险管理的必要性 案例分析 教训与启示 企业风险管理框架 股东对企业风险管理最关心的四个问题 风险管理框架：一个基础、三道防线 构建风险管理的关键成功要素 财务报告系统的内部控制 财务报告系统的功能 财务报告系统的典型问题 美国索克斯法的主要规定及要求 如何建立内控以满足索克斯法的要求null第一部分 企业风险管理的必要性null企业风险管理的必要性案例分析： 安然公司 世通公司 巴林银行 回顾事件发生的经过 了解引致公司倒闭或严重损失的内控缺陷 从案例中吸取的教训 八百伴公司 百富勤公司 三家国有控股上市公司 null案例一：美国安然公司 (Enron)在2002年，安然是美国最大的石油和天然气企业之一 2001年末，安然宣布第三季度录得6.4亿美元的亏损，美国证监会对该公司进行调查，发现该公司在1997以来虚报利润5.8亿美元 2001年末，安然申请破产保护令，但在之前10个月内，公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利null调查发现： 安然的董事会及审计委员会均采取不干预(“hands-off”) 监控政策 事件发生之后，部分董事表示不太了解安然的财务状况、 期货及期权的业务 安然重视短期的业绩指标 安然管理高层常常藐视或推翻公司制定的内控制度 null案例二：美国世通公司 (Worldcom)世通是美国第二大的电信公司 2002年，世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法，多年来虚报利润735亿美元 世通于2002年末申请破产保护令，成为美国历史上最大的破产个案 世通的四名主管(包括公司的CEO和CFO) 承认串谋讹诈，被联邦法院刑事起诉 null调查发现： 世通的董事会持续赋予公司的CEO(Bernard Ebbers) 绝对的权力，让他一人独揽大权 美国证监会的调查报告指出：世通完全没有制衡机制 世通的董事会并没有负起监督管理层的责任 世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金null案例三：英国巴林银行 (Barings Bank)巴林银行在90年代前是英国最大的银行之一，有超过200年的历史 1992-1994年期间，巴林银行新加坡分行的总经理里森(Nick Lesson) ，从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动 ，累积亏损超过10亿美元，导致巴林银行于1995年2月破产调查发现： 巴林银行的高层对里森所从事的业务并不了解 巴林缺乏职责划分的机制 巴林银行的高层对财务报告不重视null案例四：日本八百伴 (Yohan)在90年代，八百伴是日本最大的百货公司之一 1997年9月，八百伴宣布破产，向法院申请“公司更生法”保护，当时八百伴的负债额达1,613亿日元，是日本战后最大的一宗企业破产案调查发现： 八百伴低估经营非核心业务的风险 八百伴低估扩张业务的风险 八百伴低估了开发新兴市场的风险 null在90年代，百富勤原是亚洲除日本外的最大投资银行 金融风暴冲击下，百富勤在短短一年内出现入不敷出，至1999年月1月宣布破产案例五：香港百富勤公司 (Peregrine)调查发现： 香港政府在调查百富勤的报告中表示，百富勤倒闭的原因主要是由于缺乏有效风险管理、内控体制和完善的财会报告系统 百富勤虽然设立了信贷委员会和风险管理部门，但却未能制衡业务部门强大的权力 百富勤忽略发展新兴市场的风险 百富勤低估了利率和汇率波动的风险 案例六：投资与出售股权权益案例六：投资与出售股权权益某国有控股的上市企业(简称“国企A”)于19X4年以约4.2亿元人民币收购某汽车制造公司95%权益，两年后，该国企以3.2亿元人民币向一家马来西亚公司出售其在汽车公司中50%的权益，而记录了一笔4,000万元人民币的营业外收入。但其后，该马来西亚公司并没有按协议支付交易金额，而交易亦被迫中断。19X7年，国企A为掩饰交易失败而重新与三家公司签约，以3.2亿元人民币的同样金额将汽车公司的50%权益转售给这三家公司，但这三家公司最终都没有向国企A支付任何款项。null调查发现： 国企A未有就对外投资建立完善的风险管理，投资前既没有清楚考虑其高级管理层缺乏汽车制造业的 经验 班主任工作经验交流宣传工作经验交流材料优秀班主任经验交流小学课改经验典型材料房地产总经理管理经验 ，亦没做好可行性研究的各种分析。 在出售投资权益予该马来西亚公司时，并未充分考虑对方的信誉和偿付能力，亦未有利用买卖协议为可能出现的违约事件提供保障。 在转售投资权益予该三家公司时，并未披露这三家公司均为关联的 “空壳公司”。财务报表亦没有如实反映交易中断的情况。 汽车公司从成立至19X9年的5年间，一直未能调试投产，亦未有竣工验收，最终，该国企以大幅度低于成本的价钱，把该汽车公司出售，造成严重亏损。案例七：投资非核心性业务某国营企业(简称“国企B”)于19X6至19X8的两年间，动用接近10亿元人民币，投资了15家公司，而该国企在每家公司的权益均在10%至30%之间，这些公司的业务范围包括金融、包装材料、汽车零部件、房地产开发、贸易和通信等。调查发现： 国企B未有就对外投资建立完善的风险管理系统。 这15家公司大部分没有为国企B提供经审计的财务报表，亦一直未派股息；国企B亦没有利用投资协议来保障其权益。案例七：投资非核心性业务null某国有控股在香港上市的公司(简称“国企C”)没有遵守上市规则的要求，在没有得到股东批准的情况下，向一位董事的关联公司提供港币1.6亿元的贷款和港币1.96亿元的银行信用证担保，该贷款和信用证担保的总额占上市公司资本金的30% 款项贷出后，该关联公司一直不予还款，而国企C为该关联公司所提供的银行信用担保当中的港币9,500万元已被有关银行提出追讨案例八： 某香港上市公司null调查发现： 国企C的公司治理结构不规范，出现一小撮人独揽大权 国企C并没有建立合规方面的风险管理机制 国企C的财务报告系统既没有为上述关联交易作出适当的披露，亦没有为拖欠的贷款提取坏账准备null教训与启示 常言： 「智者从别人失败经验中吸取教训， 聪明者从自己失败经验中吸取教训， 愚者则永不懂从经验中学习。」null我们可以从上述案例中吸取什么教训？ 1. 熟悉企业本身的业务与相关风险 切记：避免制定不切实际的目标或盲目扩展投资，使企业承受无谓的风险 建立内控和相互制衡的机制 切记：权力过分集中就会出现腐败的情况 紧盯着现金 所有犯案、挪用公款和偷窃行为均与现金有关 常言：“会计数字只是参考意见，现金才真正令你感到踏实。” null合理制定绩效评估与激励机制 “如果你发现精明的员工做出蠢事，你应意识到这可能是因为他们受到公司的绩效与激励机制的诱导而产生的结果。” 5. 建立规范和健全的财务报告系统 财务报告系统必须有能力为企业提供及时、准确和具高分析性的财务资料，以帮助管理层管理业务和赢取股东的信心 null6. 深化企业风险管理文化 要建立健康的企业文化及价值观，企业必须： 由上而下，身体力行，建立严谨的“风纪” ，使员工能上行下效 订立管理原则和行为规范 通过绩效管理的方法，鼓励正确的行为和态度 加强培训和沟通 企业必须建立有效机制，使员工能从企业本身或其他企业所犯的错误(或接近犯错)的经验中，吸取教训null第二部分 企业风险管理框架 什么是风险管理？ 什么是风险管理？企业风险管理是一套由企业董事会与管理层共同设立、和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平，从而帮助企业达至它的目标。 美国内控研究委员会null企业为何要建立风险管理？因为企业的股东与管理层常常要面对一些令他们寝食难安的问题。因此，企业需要系统化地建立一套风险管理体制，从而识别影响企业盈利的关键因素，并对那些会影响企业达标的风险进行监控及管理null股东对企业风险管理最关心的四个问题：企业知道它所面对的主要风险吗？ 例如：什么风险正在或将会影响企业的业务？ 企业的品牌 新产品、新市场的开发 战略联盟 客户或供应链的管理理想的情况： 企业能开发一套 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 的、共通的风险语言，从而识别企业所面对的风险，并就其严重的程度进行排序。共通的风险语言亦有利于企业上下层就风险的管理进行沟通null企业是否已对这些风险设置内部控制？ 企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险)，构建内部控制(包括预防性控制及觉察性控制) ，以确保企业能实现目标和符合各方面的法律、法规理想的情况： 企业就其所面对的风险和采取的内控，编制一套完整的文档，并借鉴国际最佳的实务不断进行检讨 null企业的内部控制有效吗？ 企业要对其内控系统不间断地进行监控和测试，以确保其对风险控制的能力理想的情况： 企业把各类风险控制在可接受的水平，并在这基准上赚取合理的回报 null哪一些内部控制必须改进？ 企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施理想的情况： 企业能建立一套具前瞻性的信息管理系统和预警系统，使企业能及时识别新生的风险，并对相关的业务 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 、政策和程序进行修正 null企业风险管理框架一个基础 三道防线null一个基础：公司治理结构什么是公司治理？ 公司治理是涉及公司的表现：它关系到一家公司如何得到有效的管理，从而发挥最佳表现 公司治理是涉及责任的问题：它关系到董事会及管理层如何向股东负责，而使股东能从公司的表现中得益null公司治理与风险管理有什么关系？公司治理是风险管理的一个必要的组成部份，因为它提供了对风险由上而下的监控与管理 近年多个国家都订立了公司治理的最佳守则： 美国：纽约证交所最佳治理守则 英国：Cadbury/Hampel Report、The Combined Code 加拿大：Dey Report OECD Report 这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任null如何构建一个有利风险管理的公司治理结构？建立一个健全的、以董事会为首的公司治理结构 订立企业的目标和战略，包括企业的风险政策和极限 贯彻一套重视风险管理的企业文化和价值观 null第一道防线：业务单位防线业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线 企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线null如何建立第一道防线 了解企业战略目标及可能影响企业达标的风险 识别风险类别 对相关风险作出评估 决定转移、避免或减低风险的策略 计设及实施风险策略的相关内部控制null(风险宇宙TM )资信制度知识产权财务流动资产与 信贷资本结构市场财务报告营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及 管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房 与土地其他 有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与 选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规风险宇宙null战略性风险是指公司因作出战略性错误的决定而导致经济上的损失 战略性风险是业务单位、高级管理层和董事会的共同责任 常见的战略性风险包括： 企业的目标与方针 市场潜在的威胁 业务的范围(深度与广度) 品牌及形象的建立战略性风险与战略性伙伴的合作 投资和融资的策略 员工的素质和雇员关系 企业的信息及监控系统null信贷风险是指贷款人或 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 的另一方因不能履行合约而使公司产生经济损失的风险 常见的信贷风险包括： 贷款未能回收 应收帐款未能回收 债券跌价 (因信贷评级的减值或债务人未能履行付款义务) 买卖金融市场产品而未能兑现 企业因合资、合作、联盟、外包等经济活动而产生或暴露的信贷风险信贷风险null市场风险是指因市场价格或利率波动而使公司产生经济损失的风险 构成市场风险的三大因素： 因买卖或投资金融产品而产生的风险 因资产与负债错配、或原材料与产成品价格不能同步浮动而产生的风险 资金流动性风险 常见的市场风险包括： 利率风险 外汇风险 股票与债券市场风险 商品价格风险 期货、期权与衍生工具风险市场风险null操作风险是指企业内部流程、人为错误或外部因素而令公司产生经济损失的风险，它包括了公司的流程风险、人为风险、系统风险、事件风险和业务风险等 流程风险是指交易流程中出现错误而引致损失的风险，流程包括如：销售、定价、记录、确认、出货/提供服务等环节。流程风险也包括合规性风险 人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而引致损失的风险 系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的风险 事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险 业务风险是指因市场或竞争环境出现预期以外的变化而引致损失的风险，所涉及的问题包括市场策略、客户管理、产品开发、销售渠道和定价等领域操作风险null风险发生的可能性null风险对企业造成的影响null风险处理方法的效果null风险地图(或风险共同语言)影响程度几乎 肯定极可能可能低极低BCAGIDJKHEF可能性说明: A – 人力资源风险 B – 财务风险 C – 竞争风险 D – 开发风险 E – 过度自信风险 F – 系统故障风险 G – 主要客户风险 H – 欺诈风险 I – 政治风险 J – 薪酬奖励风险 K – 科技风险 null风险处理组合 处理评级风险评级近乎没有效果低效适中超标极度极高高中等低AGIDJKHE说明: A – 人力资源风险 B – 财务风险 C – 竞争风险 D – 开发风险 E – 过度自信风险 F – 系统故障风险 G – 主要客户风险 H – 欺诈风险 I – 政治风险 J – 薪酬奖励风险 K – 科技风险 F采取行动密切监控定期审阅null风险处理策略null风险策略 避免 禁止交易 减少或限制交易量 离开市场 转移 套期 保险 策略性联盟 其他分担风险的安排小心管理 投资 广泛保护的安排 订价反映风险程度 可接受 自我保险 预留储备 增加监督风险处理策略影响程度大小null企业建立的第一道防线，就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等，系统化地进行分析、确认、度量、管理和监控 企业需要把评估风险与内控措施的结果进行记录和存档，对内控措施的有效性不断进行测试和更新第一道防线：总结null第二道防线：风险管理单位防线第二道防线是在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会 风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括： 编制规章制度 对各业务单位的风险进行组合管理 度量风险和评估风险的界限 建立风险信息系统和预警系统 、厘定关键风险指标 负责风险信息披露、沟通、协调员工培训和学习的工作 按风险与回报的分析，为各业务单位分配经济资本金 null第三道防线：内审单位防线第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题 内部审计的定义：内部审计的三大功能内部审计的三大功能财务监督 财务帐的可用性 内部管理和制度的执行 典型例子：检查分、子公司上报总部的财务报表的 准确性以及执行财务管理政策的情况 经营诊断 管理审计以及效率和效益审计 检查和诊断经营和管理过程中的偏差和失误 典型例子： 企业对某业务单位或某部门执行效益审计 (一个输入与产出的关系) null咨询顾问 企业风险管理和发展策略方面的咨询 调查领导关心的热点问题和管理薄弱环节 典型例子： 兼并收购时调查被投资公司的内部管理和 流程操作，了解薄弱环节或其他影响并购 交易的重大事项，从而确定管理方法和 并购策略构建企业风险管理的关键成功要素构建企业风险管理的关键成功要素1. 股东确立对企业监督的机制，考虑是否需要在集团层面： 引入以董事会领导的管理体制 聘任有经验的外部董事，来加强对企业的监督 要求企业建立风险管理和内控系统，并对其运作及有效性作出定期的汇报null2. 管理高层的支持和参与 确立方向和目标 营造必要的环境 为平衡风险与回报作出战略性的决定风险调整风险 后的回报null3. 建立风险管理文化 风险管理的手段，必须融入日常的管理流程 通过讨论和培训，使风险管理的实施得到“全民” 的支持 通过经验的分享，不断加强风险管理的认同性 4. 采用先进的风险管理的实施方法 借鉴如美国 Treadway 委员会所提出的COSO内控框架 采用各种识别和度量风险的先进的方法 采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务，构建信息管理系统和预警系统null第三部分 财务报告系统的内部控制财务报告系统的功能财务报告系统的功能股东监管部门其他利益相关者分析和修正企业远景、 战略和目标企业经营、 管理和控制企业业绩的 度量和报告财务报告系统财务信息披露和报告null财务报告系统管理null财务报告系统的典型问题输入资料不准确或不完整 缺乏内部控制 员工缺乏应有的知识和资历 对资料的要求不清晰 缺乏一套清晰和统一的会计政策 如何确认收入？ 如何计提准备金？ 如何界定经营性与 资本性支出？会计科目设计不完善 依靠人手操作或缺乏合适和统一的电子核算平台如何反映对外投资？ 如何记录各类金融衍生工具？null财务报告系统的典型问题关帐或财务结算程序不规范 没有明确财务结算的工作和程序 没有利用标准的结算表/模板 没有订立重要性的门槛 未能披露或提供重要信息 什么数据或差异需要进行分析？ 需要与什么数据进行比较？ 分析需要得到什么数据的支持？ 什么资料可协助管理层加强管理？ 财务报告系统和内部控制的关系财务报告系统和内部控制的关系财务报告系统是为企业内部管理提供信息和与外部利益相关者(如股东、监管机构)沟通的主要工具和媒介 财务报告系统需要一个完善的内部控制环境，才能及时和有效地执行和发挥它应有的作用内部控制的作用内部控制的作用内部控制的作用在于保证/保护： 信息（会计信息和经营信息）的可靠性和完整性 遵循政策、计划、程序、法律和法规 资产的安全 提高经营效益和效能 实现经营的目标和防止浪费资源null内部控制不能： 将一个原本拙劣的管理体系改变成一个优良的管理体系 影响环境因素，如政府的法规和政策、竞争对手的行动或经济状况 保证企业的成功或不会面临倒闭的命运 杜绝员工或管理层舞弊和欺诈的行为美国索克斯法的主要规定及要求美国索克斯法的主要规定及要求SOA404法案总体要求 第404节(a) 要求企业在提交年报时(20-F)一并提交内部控制及财务报告程序的有效性管理报告。 第404节(b) 要求审计师就管理层内控报告出具验证意见。 SOA404生效日期： 美国本土上市公司：于2004年11月15日或以后的财务年度； 非美国本土上市公司：于2006年7月15日或以后的财务年度(此日期已再次延后)。SOA404法案总体要求nullSOA 404 的要求要求年度报告中要包括“内部控制报告”, 其具体内容为:管理层责任的声明：管理层有责任建立和维护健全的内部控制制度以确保财务报表的合理和准确性； 管理层的 评价 LEC评价法下载LEC评价法下载评价量规免费下载学院评价表文档下载学院评价表文档下载 的声明：关于在财政年度末有关财务报表的内部控制有效性的评价； 评价框架的说明：明确指出管理层适用于评价有关财务报表的内部控制有效性的框架； 关于外部审计师已出具关于管理层评价的鉴定报告的声明。该准则不允许管理层在已发现内部控制制度有一处或多处“重大缺陷”时，作出有关财务报表内部控制有效的认定。该准则同时要求管理层披露评价过程中发现的任何“重大缺陷”。 尽管准则中没有明确说明，但是通常认为，财政年度中已发现并已纠正的“重大缺陷”不影响管理当局在财政年度末作出有关财务报表的内部控制有效的评价。 nullSOA 404 要求(续)合理地保证会计记录合理、准确、详细并公允地反映公司的日常交易和资产处理； 合理地保证对所有交易都作了必要适当的记录以便于按照公认会计准则编制财务报表，并且收入和支出活动均经管理当局和董事会的适当授权； 合理地保证防止或及时发现对财务报表有重大影响的未经授权的资产采购、使用或处置。准则对“有关财务报表的内部控制”的定义为： “公司主要的管理人员或者主要的财务管理人员设计内控政策和控制程序，并监督其执行，以便对财务报告是按照公认会计准则编制以及财务报表的可靠程度做出合理的保证。” 该控制政策和控制程序主要包括：null对形成、记录、处理和调节账户余额、交易的分类和披露以及财务报表的相关认定的控制。 对形成和处理非常规交易和非系统化交易的控制； 对防止、确认和发现舞弊的控制。评价有关财务报表的内部控制： 准则强调指出管理层必须制定并保存有关内部控制的书面文件, 包括关于内部控制设计和测试程序的文件, 从而为管理当局评价有关财务报表的内部控制有效性提供合理的保证。这些书面文件是有效的内部控制的首要条件。 管理当局的评价必须基于评价内部控制设计的有效性和测试其执行的有效性的程序。询问本身并不能为内部控制的评价提供足够的基础。 有关评价的内部控制包括：SOA 404 要求(续)如何建立内控以满足索克斯法的要求如何建立内控以满足索克斯法的要求建立符合404法案要求的内控框架建立符合404法案要求的内控框架COSO内控框架COSO内控框架Committee of Sponsoring Organisation of The Treadway Commission (COSO)为内控开发了一个全面的框架 这个内控框架是唯一被美国证监会确认为完整、全面和不偏依的内控框架 构建内部控制须分两个层面： 公司层面 流程、交易及资讯科技应用层面组织项目小组进行评估组织项目小组进行评估高层参与 各业务部门之参与 财务、内审、计算机管理部门之参与null控制环境风险评估信息和沟通控制活动监控如何构建内部控制—公司层面的评估管理层关于内部控制 的报告评估内控的整体的有效性，找出有待改进的地方，并建立一个监控体系在流程、交易和应用层面，理解和评估内部控制在全公司层面评估内部控制组织项目小组实施评估工作理解内部控制的定义公司层面的内控─控制环境公司层面的内控─控制环境企业道德规范与价值观 员工的行为操守与企业文化 公司治理结构和政策 董事会及各委员会的构成 企业规章制度 董事会与管理层之间的关系、权力和职责公司层面的内控─风险评估公司层面的内控─风险评估企业是否拥有既定的程序以确定、评估和度量影响企业达标的风险？ 先进的内审部门？ 风险管理部门？ 全面风险评估？ 企业有否详细记录评估风险的结果？有否进行详细的讨论和沟通？公司层面的内控─信息和沟通公司层面的内控─信息和沟通企业的架构是否能够令各部门及业务单位明确各自的职责及促进沟通 企业是否拥有一个合适的电子平台 处理管理信息和数据 确保信息能够及时发放 确保各类信息和报告的准确性和可用性公司层面的内控─控制活动规章制度 审批程序 资产实物的安全 特殊报告 表现指标 信息系统控制 职责划分公司层面的内控─控制活动null公司层面的内控─控制活动规章制度 董事会及各委员会的章程 企业风险政策 员工招聘守则 企业采购政策 会计及财务管理守则null 公司层面的内控─控制活动审批程序 一种预防性的控制措施 确保规章制度得以落实执行 知识与经验分享 责任的承担null公司层面的内控─控制活动资产实物的安全 档案/库存上锁 减少利用现金交易 办工室安全系统 / 警铃 资料数据库进入的限制 保安人员 员工身份证 机器上的标记 隐型录相机null公司层面的内控─控制活动特殊报告 逾期应收款报告 工作超时完成报告 原材料不合格报告 机器故障报告 产品不合格或退货报告 存货台帐红字报告null公司层面的内控─控制活动表现指标 预算与实际比较 项目管理报告 财务指标报告 系统可用性报告 员工利用率报告null公司层面的内控─控制活动职责划分 一种员工之间相互制约的控制， 以减少出错或越权的情况 不能由同一人发起、批准和记录一宗交易 不能由同一人保管和记录资产 定期轮换职责，在日常运作中的主要控制点应有高管人员的参与或由独立的人员作出审查null公司层面的内控─控制活动公司层面的内控─监控监控是对一定时期内内部控制执行质量的评价程序，考虑相关内部控制是否能够满足最初设计的目标，并保证在不同情况下进行适当的修改。 考虑并记录是否定期对内部控制进行评价；管理层是否采纳内部和外部审计师关于内部控制的建议；是否存在内部审计部门以协助管理层进行监控。公司层面的内控─监控null程序、交易及资讯科技应用层面评估因素: 竞争力、完整性、员工的忠诚度及管理层的监管能力 管理层之间的摩擦 职责划分 控制的稳定性关键账项管理层对财务报表的认定?可能发生的错误控制关键流程固有风险及主 要经营风险财务报告从财务角度从程序角度选出容易发生重大差错的关键 账 项*存在 (资产负债表)与发生(利润表) 完整性（资产负债表/利润表 ） 估价(资产负债表)与计量 (利润表) 权利与义务 (资产负债表)类型: 交易流程 惯例 特殊 估计对每一种认定应考虑： 在流程的哪一交易环节容易发生错误？ 例如: 帐户：现金或应付 程序：支付 认定：估价 是否有人工或自动的程序确保支票或转账的数目与审批的付款数目一致？检验: 对差错的监督 防止: 防止出现差错 由何人来执行? 是否有程序自动控制? 识别处理系统评估/监督*单项差错或几项差错如不被发现，可能对财务报表造成重大影响，或导致非法行为或利益冲突。即使造成非重大影响，也会对公司的信誉、与客户及投资者的关系，以及公众形象造成负面影响。确认财务帐户及其相关系统记录系统及控制评估/监督步骤行为主要关注点null重要性Staff Accounting Bulletin No. 99 -“重要性”指引 上市公司和审计人员在估计项目的重要性时必须同时考虑金额的和性质的因素。404的要求管理层有责任建立和维护健全的内部控制制度以确保财务报表所有重大方面的合理和准确性null重要性 – 指引不能完全依赖金额标准-上市公司在判断某一项目对财务报表是否重要时不能完全依赖金额标准，而应同时考虑金额和性质的因素； 蓄意的错误-蓄意的错误，无论重要与否，都是不可接受的； 蓄意违反联邦法律的故意错报-上市公司须遵守1934年颁布的《证券交易法》第13章(b) (2)-(7)的规定。即使某一项目的错报并不重要，但是其违反了联邦法律，这种蓄意的错报都是不可接受的； 操纵利润-凡是操纵利润导致的错报，无论金额大小都是不可接受的； 错报个体和总体-上市公司应单独考虑每一项错报的重要性，并考虑其对错报总体的影响； 小金额错报-性质重要的小金额错报也应当引起重视。null设定会计报表层面的重要性水平:上市公司-在持续经营的情况下，会计报表层面的重要性水平通常为税前利润的5%； 在满足下列部分标准的情况下，会计报表层面的重要性水平可以提高到税前利润的6%-8%： 公司的经营环境不会发生迅速的变化； 公司采取多样化经营，发展前景较好，并且财务状况良好； 公司的内部控制有效； 如果公司的净利润很小、几乎为零，或者持续若干年在亏损和盈利之间徘徊，则重要性水平设定为销售收入的0.5% - 1% 或毛利的1% - 2%较为适当 ； 当公司的经营情况恶化，公司资产的流动性的强弱变得比经营成果的高低更为重要时，重要性水平通常为净资产的1% - 5% ； 当以上三种情况均不适用时，即销售收入很小或接近于零, 没有经营利润，净资产实质上为零，则重要性水平通常为总资产的0.25 % - 0.5%.通常为会计报表层面重要性水平的50%；.重要性-金额的重要性设定会计科目层面的重要性水平：重要性-性质的重要性重要性-性质的重要性科目由复杂的成分组成; 易受人为操纵或易发生损失； 重要的账户性质； 发生交易量大； 复杂的会计处理和披露要求； 账户余额需由主观判断决定； 存在关联方交易； 本期外部环境(例如，法律法规，会计准则等)或报告的要求发生变化； 受固有风险和商业风险的直接影响。如果某一会计科目具有以下一个或一个以上的性质，则该科目余额是重要的：null识别重要科目审阅每一个业务部门的资产负债表、损益表和披露 基于以下因素决定重要科目：科目性质和发生重大错误的固有可能性 业务的规模、组成和交易数量 对人为操纵和损失的敏感性 主观性及风险 交易、会计处理和报告的复杂程度 利润表 营业额 Ö 耗煤 Ö 折旧及摊销 Ö 其它收入 X … 资产负债表 物业、机械装置及设备 Ö 在建工程 Ö 预付租赁 Ö 无形资产 X 存货 Ö 应收账款 Ö 现金及现金等价物 Ö …重要科目null识别交易和流程的类别识别影响各个重要科目的主要交易和流程的类别 基于以下因素决定重要的交易和流程： 交易、会计处理和报告的复杂程度 交易活动的风险程度和发生重大错误的固有可能性 业务的规模、组成和交易数量 对人为操纵和损失的敏感性 管理层监督的程度和汇报流程ÖÖX重要科目null识别具体地点和业务部门识别影响每一个重要交易和相关流程类别的地点和业务部门 基于以下因素决定哪些地点和业务部门是重要的:不同的流程 当地风险 记录文档 公司整体的控制null识别业务和认定在每一个重要地点和业务部门，识别影响每个重要科目及其相关披露的关键业务流程和业务活动 基于以下因素决定有哪些认定与每项流程活动相关联：交易、会计处理和报告的复杂程度 交易活动的风险程度和发生重大错误的固有可能性 对人为操纵或损失的敏感性重要项目 发电机及相关机器和设备关键业务流程 购置及应付 折旧及计提 减值准备 详细业务流程 评估新项目投资的建议 采办订单管理 供应商资料库的管理 应付款程序管理nullIf the guideline control is not applicable, then please state a reason.null识别“什么会出错？”和相关的控制在每一个重要地点和业务部门，对影响每个重要科目的关键业务流程确定 “什么会出错？” 就可能发生的差错找出相对应的控制 为确保控制的相关性和设计的有效，考虑可能发生的错误 加强识别与财务报表相关的重要风险的能力 将花费在较次要流程上的时间减到最少nullnull控制频率相关政策规定控制设计的有效性应当对实质性控制提供尽可能详尽的细节描述，以便具备相应知识水平的人员能够正确合理的予以执行。这些描述必须依照控制的本质去描述，并随着控制的变化而不断修正更新，但不可以描述成在未来才可以予以实施或者具备一定条件才可以实施的控制。控制策划者是指负责更正那些不可能实际实施的控制的人员。这种更正包括 更新控制文件（适当的流程图和控制表格和其他相关的文件）对于拥有同一控制的不同经济业务有可能设置同一控制策划者。控制实施的频繁度说明了该控制在与其特有的风险评估相关的流程中的重要性。可以选择是每日/每周/每月/每年两次/每年或其他。 这是为了符合相关流程、指南（包括授权的指南）、准则、系统说明、工作描述等等。 评估整体控制的有效性，确定应改进的地方并建立监督系统评估整体控制的有效性，确定应改进的地方并建立监督系统内控设计缺陷之弥补 业务流程之穿行测试 主要内控点之测试策略 主要内控点实际操作之测试 内控实际操作缺陷之弥补及再测试 评估整体财务报告内控的有效性 管理层出具 内部控制 报告评估整体控制的有效性，确定应改进的地方并建立监督系统理解并分别评估程序、交易及应用层面的风险评估公司层面的控制组织项目小组进行评估理解内部控制的概念挑战—成本和效益挑战—成本和效益管理层面对的挑战 为了进行评价和支持其声明，管理层必须了解、记录、评估、测试和监督公司内部控制的有效性； 管理层须要在公司层面以及每个重要程序层面(影响所有重要科目的程序)开展广泛的内控文档化及评估程序，并建立监督该些控制的程序。 目前大部分公司在这些方面并不具备详细程度足够的文档； 大量的初期和持续资源投入。挑战—成本和效益挑战—成本和效益使管理层能将注意力集中在影响财务报告的关键风险范畴; 确保存在于不同层面的所有关键风险范畴均得到处理； 向所有员工传达关键风险的概念，提高其控制意识； 提高公司的形象和加强投资者的信心。除了法规的遵循，公司应考虑从404项目的实施实现其他效益，其中可能包括:null谢 谢 ！