第一篇:NC內控與風險管理解決方案2011(范文)
全面管理風險
提升企業績效
為企業發展保駕護航
用友NC集團全面風險管理解決方案
用友軟件股份有限公司
[在此處鍵入文檔的摘要。摘要通常是對文檔內容的簡短總結。在此處鍵入文檔的摘要。摘要通常是對文檔內容的簡短總結。]
目錄 走向世界的中國企業面臨巨大風險...............................................................................4 1.1 1.2 1.3 1.4 2 案例一:中國鐵路建設沙特項目巨虧41.53億元.................................................4 案例二:受累湯姆遜清算,TCL集團遭遇2.11億元索賠....................................4 案例三:諾西收購摩托羅拉受阻,華為訴訟初步勝利........................................5 權威機構針對企業風險管理的調查分析................................................................5
實施全面風險與內控管理的困惑...................................................................................5 2.1 2.2 2.3 2.4 2.5 缺乏全面風險與內控管理運作體系........................................................................5 全面風險和內部控制的管理流程難以長期堅持....................................................6 全面風險管理與內部控制管理分離獨自運作........................................................6 風險控制評價工作量巨大,管理成本高企............................................................6 風險管理和內控管理報告輸出困難........................................................................6 企業全面風險和內控體系建設思路...............................................................................6 3.1 3.2 3.3 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 路徑一:先風險后內控............................................................................................7 路徑二:先內控后風險............................................................................................7 標準的風險內控體系建設步驟................................................................................7 機構設立和計劃階段............................................................................................8 辨識風險/記錄風險內部控制缺陷階段...............................................................8 設計缺陷整改/健全內部控制階段.......................................................................9 監督風險/內控措施有效執行階段.....................................................................10 董事會報告及披露階段......................................................................................11 5 企業全面風險/內控管理對信息化系統的要求............................................................11 用友NC全面風險與內控管理解決方案......................................................................13 5.1 5.2 5.2.1 5.2.2 5.2.3 5.2.4 本解決方案的應用架構..........................................................................................13 實現集團級風險管理的全流程管理平臺..............................................................15 風險管理系統流程..............................................................................................15 實現多級風險信息收集管理..............................................................................15 支持多種評估標準和模型管理..........................................................................17 實現風險指標監控、自動預警..........................................................................19 5.2.5 5.2.6 5.2.7 5.3 5.3.1 5.3.2 5.3.3 5.4 5.4.1 5.4.2 5.5 5.5.1 5.5.2 6 實現風險應對管理..............................................................................................20 記錄風險控制的評價與改進..............................................................................21 實現風險控制的監督與報告..............................................................................22 實現COSO全面風險綜合架構,與內控體系整合...............................................23 通過風險應對方案建立與內控體系的聯系......................................................23 通過內控系統完成與業務系統運作管理的結合..............................................25 通過內控審計評測,驗證風險管理方案的有效性..........................................26 實現對業務系統的自動監控..................................................................................28 構建IT系統安全控制監控平臺.........................................................................28 實現對業務系統關鍵流程的自動檢測..............................................................30 建立集團級高性能、柔性開放平臺......................................................................31 構建系統整合平臺,風險信息門戶..................................................................31 高效率、個性化柔性擴展開發平臺..................................................................33
解決方案的價值.............................................................................................................34 6.1.1 6.1.2 6.1.3 實現全面風險與內控管理,提高企業競爭能力..............................................35 快速遵從財政部、國資委相關管理條文要求..................................................35 快速遵從SOX法規要求.....................................................................................35 走向世界的中國企業面臨巨大風險
1.1 案例一:中國鐵路建設沙特項目巨虧41.53億元
10月25日,中國鐵建公告稱其承建的沙特輕軌項目因實際工程數量比簽約時預計工程量大幅增加等原因,預計將虧損人民幣41.53億元。由此引發中國鐵建股價劇烈波動,跌幅超過10%。
中國鐵建2011年1月21日發布公告稱,為妥善處理沙特麥加輕軌項目索賠事宜,上市公司中國鐵建與其控股股東中國鐵建總公司(國有企業)簽署協議,后者向中國鐵建支付20.77億元對價,接手沙特麥加輕軌項目的未完工工程。由此,通過母公司承擔損失的方式,中國鐵建順利保證財務賬面上的盈利。
此事件凸顯公司在海外工程項目的管理短板。
1.2 案例二:受累湯姆遜清算,TCL集團遭遇2.11億元索賠
本該是“好事”,可終究釀出了“苦果”。TCL集團并購法國湯姆遜公司后不但業績遭遇連連虧損,事端頻發,如今受累法國湯姆遜公司清算,再次陷入財務壓力困境。
2011年3月14日,TCL集團在停牌一天后公告稱,法國南特商業法庭于3月10日對TTE歐洲公司重組訴訟案的第一令訴訟作出初審判決,要求TCL集團、TCL多媒體及其4家全資子公司向TTE歐洲之法定清盤人賠償2310萬歐元(約2.11億元),目前TCL多媒體已于2010年度財務報表中對TTE訴訟計提預計負債1000萬歐元。
實際去年就已經傳出這個消息,TCL也立刻引起警覺,謀劃對策。然而還是終究難逃與湯姆遜合資成立的TTE歐洲公司的清算悲劇的波及。
格力空調副總裁黃輝表示:“格力這兩年在巴西銷量超過5000萬臺,中國企業在國外并購充滿陷阱,一不小心就會翻身,并購涉及文化融合、法規等無法協調。逐步收購是格力的戰略。” 1.3 案例三:諾西收購摩托羅拉受阻,華為訴訟初步勝利
在美國市場備受阻撓的中國最大電信設備供應商華為,終于贏得了一次階段性的勝利。華為公司2011年2月23日晚間發表聲明,稱美國伊利諾伊州北區法院就華為起訴摩托羅拉公司和諾基亞西門子公司(以下稱諾西公司)一案,正式做出裁決,頒發了初步禁止令。
該初步禁止令除了2011年1月14日法院發出的臨時禁止令中要求摩托羅拉禁止向諾西轉移華為的保密信息外,還增加了要求摩托羅拉聘請獨立第三方進行華為保密信息的安全刪除檢查,及允許華為對諾西維護摩托羅拉設備的服務記錄進行審計等要求。
而我們也注意到,美國議員在2010年10月底要求聯邦通信委員會(FCC)重審自華為和中興訂購網絡設備可能的“安全”風險。這意味著華為在美國的各種官司將長期糾結,為此,華為公司也預備計提5億美金的訴訟費用。
1.4 權威機構針對企業風險管理的調查分析
德勤發布2011年《中國企業風險管理白皮書》。上榜企業共25家。調研結果顯示,中國企業在未來三年將面臨宏觀經濟、競爭和人才短缺三大風險。超過半數的受訪企業稱已經建立應對重大風險的基本流程,但仍需要進一步完善。只有10%的企業認為其風險應對流程非常完善。還有10%的企業表示,一旦發生重大或危急的風險事件,自己能在第一時間有效管理。超過50%的企業對大部分重大風險都能實時采取適當的響應措施。接近30%的企業只針對部分重要流程建立了監督與報告程序。實施全面風險與內控管理的困惑
2.1 缺乏全面風險與內控管理運作體系
企業缺少如何建立全面風險管理和內部控制體系的思路、方法論。或者缺乏專門的組織、工作流程和與之配套的績效考核制度。2.2 全面風險和內部控制的管理流程難以長期堅持
全面風險和內部控制由于涉及企業的方方面面,可以說是全員參與,因此程序繁雜,涉及面廣,大量手工工作致使管理成本增加,難以長期堅持。
2.3 全面風險管理與內部控制管理分離獨自運作
體現在企業中經常把全面風險管理與內部控制管理進行分離,兩套組織班子,兩套工作流程。同時,這兩個工作與實際的業務系統大多也是獨立部署運作,僅僅局限在個別財務數據的提取分析,完全無法實現對業務過程的真正監控。
2.4 風險控制評價工作量巨大,管理成本高企
由于一個重大風險的應對措施,往往涉及多個業務流程、多個控制點和多個業務系統、多部門協同運作,因此控制評價往往需要采集多個環節的大量樣本進行測試,然后進行綜合評價,依賴于控制評價人員的測試方案設計能力、職業判斷能力等等,工作量非常巨大,造成這部分的管理成本上升。同時為了滿足控制評價的需要,業務部門也需要按照測試評價的要求保留各種資料文件,也造成相應的辦公成本增加。
2.5 風險管理和內控管理報告輸出困難
目前,中央到地方國資委,各地政府分管上市工作的部門,以及證交所、證監會等多家機構,都要求企業建立健全全面風險和內部控制管理體系,并能按時按要求提供相應的內部和外部審計報告,同時要求按照各自的樣板格式內容進行提報,造成相關企業的管理人員必須 企業全面風險和內控體系建設思路
根據COSO委員會在1992年公布的《內部控制—綜合框架》(也稱“COSO內部控制框架”),以及2004年提出內部控制向全面風險管理轉變,出臺了《全面風險管理—綜合框架》。
由此可見,風險管理和內控管理實際上是不同發展階段的產物。但是由于中國國資委和財政部等機構發布相關政策所引用的框架基礎不同,名稱不同,導致企業要同時滿足兩個標準要求,也引發國內企業出現了分離兩者,分別建設、兩套班子等現象。所以,不同的企業也根據自身的條件提出了不同的建設路徑,主要為以下兩種:
3.1 路徑一:先風險后內控
此類企業多屬于國資委下屬國企,在《中央企業全面風險管理指引》文件的要求和指導下,首先在集團內部建立全面風險管理體系,然后針對選擇的重大風險進行內控建設。這種建設路徑相對成本較低,但是容易受到主觀判斷導致部分重要的內控領域被忽略,而提高突發重大風險發生的可能性。
3.2 路徑二:先內控后風險
此類企業通常多屬于上市公司,或者已經在海外上市,基于薩班斯法案要求,或者國內財政部發布的《企業內部控制基本規范》要求,首先在集團內部建立比較完善的內控體系,然后根據國資委監管的要求,拓展風險信息搜集和目標設定的管理環節。這種建設路徑相對體系化比較好,更能覆蓋企業管理的方方面面,效益比較明顯。
3.3 標準的風險內控體系建設步驟
實際上企業全面風險的建設過程應該涵蓋內部控制管理的同步建設,建議企業一套班子、一套流程、一套制度統籌考慮一體化建設。因此本方案提供一個標準的體系建設步驟: 3.3.1 機構設立和計劃階段
A.主要步驟
a)成立專門職能部門(檢查監督部門),定義監督檢查部門職責分工; b)確定項目計劃以建立/完善公司的內部控制; c)梳理現有內部管理政策/制度,明確權責分配; d)制定可持續發展的人力資源政策; e)進行針對性培訓;
f)將內控項目計劃承交董事會審閱。B.關鍵事項
a)管理層委任項目領導及項目小組;
b)高層重視并直接參與非常重要;管理層事先將內控項目計劃向董事會匯報符合財政部內控基本規范中有關控制環境的精神:以董事會為內控制度之完整合理、實施有效之責任主體;
c)制定分批/分對象因材施教的培訓計劃,增進全員意識。分批/分對象地實施培訓。
C.工作成果
a)制定項目小組制度,以及專門委派的職能部門或項目小組定義項目職責分工; b)制定項目實施具體計劃; c)制定分批/分對象的培訓計劃; d)制作培訓材料;
e)分批/分對象地實施培訓。
3.3.2 辨識風險/記錄風險內部控制缺陷階段
A.主要步驟
a)設計風險評估標準,基于集團風險調查問卷匯總開展風險評估; b)設定風險容忍程度,確認重大風險及其相關認定及流程;
c)使用內控自我評估問卷辨識與記錄工作范圍內的企業層面和流程層面的內部控制活動;
d)記錄各業務流程中發現的內部控制設計缺陷,匯總并提出整改方案。B.關鍵事項
a)以風險評估為基礎,有側重點地選擇哪些下屬部門/公司的、哪些業務環節需要進行內控建立健全的工作;
b)根據最佳實踐和監管機構要求,設計內控自我評估問卷,并以此作為起點,逐步調整,建立適合公司的內部控制制度;
c)公司各級人員回答的問卷將為公司的工作提供富有效率的證據基礎,而且也體現了內控全員參與的精神;
d)對在建立健全內控過程中發現的控制缺陷提出內控設計整改方案和時間表是非常關鍵的,這將為管理層增加長期價值,并非只是為了符合監管要求,而是為公司規范運作和長遠發展打下更好的基礎。
C.工作成果
a)風險評估標準;
b)確認項目范圍和流程的風險評估工作表,風險地圖;
c)內部控制手冊(不兼容職責表,控制矩陣,流程圖,流程匯編); d)控制效果的穿行測試;
e)控制缺陷報告和相應的整改方案建議。
3.3.3 設計缺陷整改/健全內部控制階段
A.主要步驟
a)根據整改方案糾正內部控制設計缺陷;
b)按照法律法規,部門規章及證券交易所上市規則的規定制定/完善內部控制制度;
c)更新內部控制的記錄文件。B.關鍵事項
a)對監督過程中發現的內部控制缺陷,提出整改方案,采取適當形式向董事會,監事會或者經理層報告; b)跟蹤監控內控運行整改方案的實施情況,不僅是合規的要求,也是提升公司執行力的關鍵。
C.工作成果
a)控制缺陷報告和相應的整改方案建議。
3.3.4 監督風險/內控措施有效執行階段
A.主要步驟
a)制定風險內控監督制度,規范其程序,方法和要求; b)開展風險內部控制自我評價,出具內部控制自我評價報告; c)跟蹤風險內部控制運行缺并及時改進。B.關鍵事項
a)應根據風險評估的結果,制定內控監督檢查辦法和內控自評和檢查計劃,使有限的資源被有側重地運用到高風險的領域;
b)抽檢管理層的內控自我評估問卷,通過檢查和必要的抽樣測試等手段確認內控自我評估問卷是否準確填寫,并向總裁辦公會及董事會報告測試結果。管理層內控自我評估加上檢查監督部門循環抽查符合《指引》中內控框架下“檢查監督”層面的精神;
c)跟蹤監控內控運行整改方案的實施情況,不僅是合規的要求,也是提升公司執行力的關鍵;
d)監管要求指出,檢查監督部門的工作資料,包括底稿和報告等需要保存十年。C.工作成果
a)在風險評估的基礎上,制定風險內控監督檢查辦法和內控檢查計劃; b)設計開展內控自我評價和抽樣評審的標準和工具,包括:風險內控自評的問卷,抽樣測試的程序、方法和具體工作底稿; c)風險內控監督檢查報告。3.3.5 董事會報告及披露階段
A.主要步驟
a)董事會/審計委員會審核《內部控制檢查監督工作報告》;并以此為基礎制作《內部控制自我評估報告》形成董事會決議;
b)披露《內部控制自我評估報告》以及會計師事務所對該報告出具的核實評價意見;
c)以內控自我評估報告為基礎,結合國資委風險管理報告模板框架,披露《風險管理報告》。
B.關鍵事項
a)董事會是公司內控制度之完整合理、實施有效之責任主體;
b)董事會應當根據監管機構將要出臺的董事會議事規則以及其它相關法規的要求,采取適當的步驟和取得充分的資料,來支持其對公司內控有效性的年度決議,這些資料既應包括檢查監督部門遞交的《內部控制檢查監督工作報告》;也應包括管理層提交的其他支持性文件,包括管理層的內控自我評估問卷等;
C.工作成果
a)根據上交所將要出臺的董事會議事規則以及其它相關法規的要求,制定董事會內部控制檢查監督清單(Checklist);
b)制定董事會內部控制資料檢查制度,制度中規定董事會應采取的適當步驟,來支持其對公司內控的年度決議或有重大內部控制缺陷時的披露程序; c)擬定《內部控制自我評估報告》、《全面風險管理報告》或者其他的披露文件。企業全面風險/內控管理對信息化系統的要求
在企業建立了全面風險管理和內部控制體系的基礎上,企業對信息化系統的要求可以概述為以下幾點:
A.建立適應集團企業全員應用的、集中部署的風險管理工作平臺; a)完成風險管理的業務流程:包括從風險組織和管理標準設立、風險信息搜集、風險評估、風險應對、風險控制、風險評價與改進、風險監督與報告;
b)滿足集團多層級、多部門的風險管理審批、評估等工作中全員參與、流程流轉、信息互通的要求;
c)滿足各類風險評估、應對、監督和評價信息的共計、匯總分析,支持各類外部監管機構的報告輸出要求。
B.能夠將全面風險管理與內部控制體系無縫集成;
a)達到風險管理與內部控制體系的集成應用,實現一套班子、一套體系、一套流程的統一管理;
b)通過風險管理的應對方案,實現通過內部控制體系實現風險控制的目的;
c)風險控制點可以直接控制業務系統的運作; d)實現業務系統數據自動支持風險預警、風險識別。C.實現風險控制節點監督的自動檢測;
a)通過內控體系實現對業務系統風險控制點的自動監控,降低風險監督人工成本;
b)實現對現有各類業務系統安全控制的監察,防止由于系統安全策略和漏洞造成系統應用風險。
D.建立風險管理知識庫,完善相應的績效考核和保障機制
a)構建集團統一的風險管理知識平臺,加強風險管理意識普及; b)設計風險指標,并根據控制效果評價影響相關部門人員的績效考核。E.滿足大用戶量大并發的效率要求,支持后續應用變化引起的系統整合、個性化開發應用需求 5 用友NC全面風險與內控管理解決方案
5.1 本解決方案的應用架構
用友全面風險管理與內控架構公司治理層風險信息搜集風險評估管理風險應對管理風險監督與改進風險控制評價內控體系管理內控手冊管理IT控制監控報告內控審計管理風險管理報告戰略管理層企業績效管理全面預算與計劃管理集團報表與合并管理組織與策略管理業務經營層集團客戶關系管理集團財務管理集團供應鏈管理集團人力資源管理電子商務應用集團資產管理行業特殊應用集團知識文化管理基礎平臺層身份與權限管理動態會計平臺辦公協同與門戶流程管理平臺集成應用平臺預警平臺二次開發平臺商務智能平臺NC全面風險/內控管理體系架構圖
廣義的NC全面風險與內控管理解決方案由依托于UAP平臺包括業務經營層、戰略管理層和公司治理層三部分,而狹義的全面風險與內控管理方案則專指公司治理層。其中,全面風險管理的業務運作可以用下圖標示:
風險組織風險知識庫風險分類風險問卷風險評估標準風險評估模型流程管理報告模板風險指標設置風險預警設置基礎設置業務處理風險信息搜集突發重大風險風險評估風險應對管理重大風險應對風險執行跟蹤跟蹤改進報告風險預警分析與報告風險分布熱圖風險事件查詢風險自檢查詢風險自評報告13
全面風險管理系統架構圖
? 基礎設置層:本層是整個風險管理信息系統的平臺基礎,包括風險管理組織設置、風險分類與信息、風險知識庫、風險預警設置、風險評估標準與模型、風險問卷管理等。構建整個風險管理的基礎環境。
? 業務處理層:本層是整個風險管理信息系統的核心業務處理部分。包括從風險信息搜集、風險識別與評估、風險預警和應對管理、風險應對執行與監督管理。實現集團多層級的協同風險管理作業,建立相關的標準流程和信息共享。
? 分析與報告層:本層處理是風險信息查詢分析和風險管理報告披露的部分。包括風險管理報告管理、風險熱圖和矩陣分析等。5.2 實現集團級風險管理的全流程管理平臺 5.2.1 風險管理系統流程
全面風險管理集團設定風險識別周期制定風險識別問卷模板公司調整風險識別信息提交審核部門問卷提交公司部門下發風險識別問卷到公司下發風險識別問卷到部門風險識別提交部門內部審核風險收集與管理公司內部審核審批上報風險評估模板風險發生可能性評估標準風險影響程度評估標準風險評估分值設置公司評估結果確認規則固有風險評估上報評估結果審核提交風險分析與評價集團進行固有風險評估審批確認重大風險風險應對方案制定應對方案剩余風險評估全面風險管理系統流程
5.2.2 實現多級風險信息收集管理
? 支持集團全面風險管理問卷的設計、下發與信息上報管理。? 支持重大風險事件的上報管理。
【風險調查問卷下發】
【重大風險事件上報】
5.2.3 支持多種評估標準和模型管理
? 支持集團多層級、多部門風險評估運作機制; ? 支持風險評估標準與模型建立; ? 支持評估結果自動選取標準。
【風險評估流程圖】
【評估結果生成規則】
【固定風險評估】
5.2.4 實現風險指標監控、自動預警
? 針對風險成因,設置相應的參照指標,可以是定性指標,可以是定量指標。其中定量指標可以設置報警區間,一旦滿足預警條件,系統自動發送相關信息給指定人;
【風險指標設置】
? 系統提供預警信息報送機制的設置,以各種方式傳遞。
【預警方式設置】
5.2.5 實現風險應對管理
? 風險應對策略方案的管理; ? 建立與內控措施關聯關系; ? 形成風險控制矩陣。
【風險應對方案】
【風險控制矩陣】
5.2.6 記錄風險控制的評價與改進
? 根據風險管理組織和崗位分工,支持風險崗位針對風險控制點的測試,記錄測試結果,并進行統計分析
【風險控制點測試】
? 支持對失效的控制點進行設計和運行缺陷的認定,并制定整改的時間和相關負責人。
【風險缺陷評價】
5.2.7 實現風險控制的監督與報告
? 支持以風險為核心的各種信息搜集、評估、應對、控制執行測試等綜合信息的報告式輸出; ? 支持以word、excel、txt、html等多種格式輸出系統內的信息,形成相關分析報告; ? 支持向外部風險管理和內控審計機構提供相關信息。
【風險管理綜合報告】
5.3 實現COSO全面風險綜合架構,與內控體系整合 5.3.1 通過風險應對方案建立與內控體系的聯系
系統在風險應對方案中,建立與內部控制體系之間的對應關系,從而實現:
? 風險應對方案直接對應內控措施,包括控制點、控制業務流程、監督措施、監督部門、監督崗位;
【風險應對與內控措施對應】
? 內部控制管理手冊中直接選取關聯的業務風險,定義控制點、監督檢查方法、業務流程等,實現雙向的互相索引關聯。
【內控手冊維護】
5.3.2 通過內控系統完成與業務系統運作管理的結合
? 提供關鍵業務數據審計線索配置與監控查詢:包括基礎數據檔案,諸如客戶檔案、會計科目、銀行賬戶檔案等。系統可自動記錄這些關鍵數據的變化日志,特別是編輯的時間、前后變化的對比、編輯人員等關鍵信息。
【關鍵數據審計線索配置】
? 提供關鍵業務流程審計線索的配置與監控查詢:指流程配置平臺制定的業務流程,一旦發生變化,系統將自動記錄變化前后的流程,以及變化的時點、操作員。方便審計人員追查系統控制變化的過程,防止非授權情況下對業務系統的改變。
【關鍵業務流程審計配置】
? 提供關鍵控制參數審計線索的配置和監控查詢:指系統中各種集團級別、公司級別的業務系統參數,可以設計參數變化的日志記錄,便于審計人員和系統管理人員監控和追查。
5.3.3 通過內控審計評測,驗證風險管理方案的有效性
通過內控審計平臺,針對內部控制進行專項審計,并形成內部的審計評估報告: ? 支持內控審計項目計劃、任務分配、工作日志和協同合作的項目管理; ? 支持設置內控審計工作底稿、工作組分發、底稿填報與匯總的管理; ? 支持內控審計評估報告的編寫、簽審、發布和內部傳閱的管理。
【內控審計項目計劃】
【內控審計工作底稿】
【內控審計評估報告】
5.4 實現對業務系統的自動監控 5.4.1 構建IT系統安全控制監控平臺
當前企業越來越依賴ERP業務系統對于日常業務的管理,但是,如果業務系統沒有足夠的安全控制能力,或者說無法對系統的安全機制進行監控,那么整個系統輸出的數據結果將存在很大的可質疑之處。
? 授權監控:通過對關鍵用戶、關鍵角色、關鍵功能、關鍵流程的設置,NC系統可以自動對這些關鍵點進行授權情況以及變化情況進行跟蹤,形成相關的管理日志,并支持輸出到指定格式的報告。
【關鍵功能設置】
【關鍵流程授權監控】
? 互斥設置:系統內置內控措施當中不相容職責分離的模型。通過對關鍵業務流程的各個業務環節設置互斥,從而提供授權時的互斥職能檢測,防止出現不相容職責授權失誤。
【互斥設置】
? 特殊日志報告:系統為IT管理人員提供一些特殊用戶的監測日志,防止諸如系統管理員之類的特殊用戶對系統造成數據干擾。包括:特殊用戶(指系統管理員、帳套管理員)操作日志報告、離職人員報告、調配人員報告、不明身份人員報告(指無法與人員檔案建立對應關系的用戶)。
? 安全策略監控:提供對于不同角色、人員密碼策略的設置,以及策略變化的日志記錄。
5.4.2 實現對業務系統關鍵流程的自動檢測
用友NC系統針對主數據和業務流程的變動情況,自動進行日志記錄,給出相應的報告,方便內部和外部內控審計人員進行管理過程的跟蹤和評價。
【關鍵數據監控報告】
【關鍵流程檢查報告】
5.5 建立集團級高性能、柔性開放平臺 5.5.1 構建系統整合平臺,風險信息門戶
用友引進IBM的企業服務總線(ESB)平臺,為企業圍繞風險管理的各個業務系統進行基于信息管理服務的整合,實現跨平臺、跨系統的風險信息整合披露和搜集管理,并完成風險
控制過程中要求的業務整合和流程控制。
【企業整合平臺——企業信息服務總線】
為達到各系統的信息整合和互通利用,用友提供對各個業務系統基礎數據的統一標準化管理平臺——主數據管理平臺,幫助集團IT部門統一集團內各企業業務系統的共有基礎數據信息,統一發布機制和編碼機制,為后續的集成和管理提供基礎。
【主數據管理平臺】
此外,為提高系統使用人員的應用體驗,利于整個風險管理工作的順利開展,用友提供
統一的風險信息門戶,并可與企業的辦公信息門戶集成,實現統一登錄、信息集成的應用效果。同時,在該門戶可以集成風險知識庫管理,便于風險管理的工作人員查找相應的案例、信息的溝通和制度的梳理保管等。
5.5.2 高效率、個性化柔性擴展開發平臺
由于全面風險管理和內部控制管理系統,將是涉及集團內部各個企業、部門和人員的綜合系統,因此必須能夠滿足大用戶量、大并發情況下的高性能運作。用友NC系統已經在2010年9月發布《NC5.6 3萬人Hpux的性能測試報告》。其中,平均反應時間、處理事務的能力、CPU利用率等指標均達到良好水平。
【NC事務平均響應時間】
UAP-NC平臺除了提供標準的客戶化交付模式外,可以通過功能強大的二次開發平臺,根據企業應用的實際需求,進行貼身的項目開發,充分貼現客戶的個性化。通過二次開發平臺提供的各項工具,可以讓技術或者實施人員方便地存取到UAP-NC平臺系統資源,包括數據字典、表格、模板、組件、管理要素、控制函數等接口。
【開發建模管理】 解決方案的價值
基于COSO 框架的全面風險管理解決方案側重于從企業整體層面制定風險戰略、完善內控體系、利用IT 技術建立完善的風險管理流程和內部控制。幫助企業搭建風險管理的綜合IT架構,建立風險管理的長效機制,從根本上提升風險管理的效率和效果。
6.1.1 實現全面風險與內控管理,提高企業競爭能力
? 能夠形成企業上下統一的內部控制管理標準,并通過規范化與系統化的業務流程及控制節點保障內控制度的有效實施。
? 明確風險管理職責,將所有風險的管理責任落實到企業的各個層面,形成風險信息的收集、分析、報告系統,為風險的實時有效監控和應對提供依據。? 避免企業重大損失,支持企業戰略目標的實現。
? 通過電子化的手段匯總整理內控體系建設過程中的相關手冊、文檔,避免在工作中翻閱大量文字資料,提升工作效率。
? 對日常經營管理活動中出現的問題進行記錄與跟蹤以滿足合規要求,并定期審核內控流程的執行有效性,生成內控評估報告。
? 促進組織成員之間的信息交流和溝通,改善企業控制環境,提升內部控制管理效率。
6.1.2 快速遵從財政部、國資委相關管理條文要求
? 涵蓋財政部關于企業內部控制基本規范的17項控制內容和控制方法。
? 覆蓋國資委關于央企全面風險管理指引中要求的風險管理流程,特別是戰略、財務、法律風險管理信息的搜集、風險評估、風險行為管理等方面
? 符合深交所、上交所關于上市公司加強內部控制和信息披露方面的要求和控制點;
6.1.3 快速遵從SOX法規要求
? 能夠幫助管理層評估公司遵守SOX404法案的情況,保證內控報告的質量,提升管理層簽署內控報告的信心。
? 規范公司SOX404 測試工作的程序,提高SOX404測試工作效率,加強工作質量保證。? 降低溝通協調的人力成本。
? 降低遵從SOX 法案的長期成本,提高內部控制環境的整體效率。? 統一國內公司與海外公司的內部控制標準和實施要求。
第二篇:全面預算管理 - NC解決方案
NC全面預算管理解決方案
網絡時代的全面預算管理
? NC全面預算管理,借助先進的計算機技術,依賴網絡信息系統,幫助企業實現全
面預算管理的信息化,成為企業進行內部管理控制的必然選擇。
? NC全面預算管理涵蓋企業的投資、經營和財務等各個方面,具有“全面、全額、全員”的特征。
? 企業的經營管理管理工作始于預算的編制,結束于預算的執行分析。預算管理系統
為企業預算的事前編制、事中控制和事后分析提供了一個平臺。
全面預算的周期
? 長期計劃:企業未來3-5年的總體規劃,為企業描繪出未來經營發展的藍圖,體
現出企業的戰略思想。
? 中期計劃:從計劃到季度、月計劃,具體指導企業經營活動的各個環節,保證
企業的經營活動能夠沿著預算管理軌道科學合理地進行。
? 短期預測:以前期實際情況或其它數據為依據,通過各種算法模型實現對未來一段
時期內(旬、周、天)的預期和展望。
預算體系的建立
? 銷售起點型:適合于可以以銷售情況調整生產能力的企業,比如家電、電子、服裝
等行業。以利潤/銷售額為企業全面預算的起點,分解生成其他相關計劃預算。
? 生產起點型:適合于以生產能力為企業發展的基礎,生產能力不便于以外部情況作
重大調整的企業。比如冶金、化工、電信等行業。以生產計劃為全面計劃/預算的起點,分解生成其他相關計劃預算。
? 專項起點型:適合于承接項目,比如建筑施工、項目型軟件企業等。以項目總計劃
為起點,分解生成子項目進度計劃,再根據子項目進度計劃分解生成其他相關計劃預算。
預算編制的方式
? 自上而下:就是由集團預算編制委員會先制定出總的計劃,然后逐層分解到各單位,各部門。各單位對計劃進行相應的調整后,再進行匯總。
? 自下而上:就是由各單位、部門負責人先編制計劃,然后匯總生成總的計劃。集團
預算編制委員會針對匯總計劃進行調整后,再形成各單位的計劃。
預算的控制
? 剛性預算和柔性預算:剛性預算就是要按照預算嚴格執行,超預算就不能通過;柔
性預算則在超過預算后,給出提示信息。
? 總額控制和分項控制:總額控制就是可以對若干項預算項目進行綜合控制,只要總
額不超出預算即可;分項控制就是對每個預算項目都分別進行控制。
? 與預警平臺的結合:提供計劃預算的預警功能,系統自動檢測,生成預警信息自動
通過網絡傳給相關負責人。
預算的調整
? 預算編制完成后,在執行過程中,由于企業內外部環境的變化,會引起預算的偏差,當這些偏差達到足以影響到預算的控制與指導作用時,要對原來的預算進行調整。? 調整后,原來的預算仍然保留,新的預算形成新的版本,有利于預算數據多個版本
直接的比較分析。
多角度、多層次的預算分析
? 提供了及時、靈活的預算分析,在進行分析的過程中,考慮到異常因素,提供了異
常因素剔除的分析。
? 分析內容包括預算數與執行數比較分析,預算數多個版本之間的比較分析等。? 分析的方式在數字表示之外,還 提供了多種圖形分析。
? 上級單位能夠及時了解到下級各單位預算執行情況,進行分析。
第三篇:內控風險管理
風險的含義和特征
一、對企業風險的認識
企業要建立內部控制體系,需要建立在對企業進行風險管理的基礎之上。企業的發展過程就是一個風險釋放的過程。因此,我們首先要對風險有一個明確的認識。
風險會給企業帶來損失,這種損失是潛在的,但是在未來的時間內可能變成現實;同時,風險也可能帶來收益。這就是要在企業管理和經營過程中進行風險管理的價值所在。面對風險,企業永遠處于收益和潛在損失之間的博弈狀態,在這個博弈的過程中企業家需要運用智慧對內、外部的資源進行有效配置和管理,從而實現企業的發展。
(一)識別企業風險
企業的風險是有規律的,而這種規律需要我們運用各種方法去學習和認知。要想做好基于風險管理的企業內部控制,首先要認識企業風險的特征和企業在不同的發展階段的風險特點。在企業初創階段,對企業產生致命影響甚至是毀滅性打擊的是產品。企業需要對市場做出一種判斷,利用現有技術生產出適合客戶需求的優質產品。在企業發展到一定規模的時候,對企業影響較大的就是銷售渠道的拓寬和市場銷售量的增加。當企業發展到更高的階段、打下了較為堅實的基礎的時候,決定企業發展命運的就是內部的人、財、物的配置和利用,我們稱之為管理。
現在很多的企業都會發出感嘆:業務大了,人多了,收入高了,利潤增加了,但是人心變壞了,企業難管了,干得沒意思了,勾心斗角多了。這些問題都會給企業帶來不確定性的風險,造成一定的損失。事實上,這些問題歸結起來就是企業管理的問題。如何對人、財、物進行合理配置和利用才有利于企業的健康發展,這需要一個系統的管理過程。如果企業在發展到更高階段的時候,一切都處于穩定的運行狀態,管理理順了,崗位理順了,職責理順了,并不能說企業就可以放松管理了。這個時候,企業需要居安思危。市場競爭無處不在,企業必須要不斷地改進和發展,才能長久生存下去。
(二)文化差異
企業風險管理和內部控制理論都是最先從西方發達國家發展起來的,我國的企業在把這一套東西拿過來使用的時候,我們需要注意東、西方企業在文化背景之間的差異。
1.中西方企業存在狀況的差異
我們有很多企業。每年都有數萬的新企業誕生,同時也有很多老企業倒下去。為什么我們中國的企業,總是各領風騷三五年,企業壽命比西方國家的要短很多?在思考這些問題的時候我們要想想實力不是依靠時間的長短來衡量的,西方國家的經濟發達有它的道理,而中國企業的短命也有它的痼疾。
企業壽命短的一個原因是,我們的觀念存在問題。現在要做的就是改變觀念,在運營企業方面進行觀念變革。當企業有了突破性發展的時候,往往會有更大的風險潛在于企業的周圍。所以,企業需要有一個長遠的、總體的目標,也就是企業戰略。
企業在創立初期的好處就是,船小好調頭。但是,船大才好出海,市場就像一片汪洋大海,企業必須發展到一定的規模,才能航行得更遠。怎樣把企業這艘船做大,怎樣抵御更大、更強的海上風險,拓展海外的發展,就成為了企業家們要思考和解決的問題。無論企業是走向國外,還是在國內發展,都需要一段很長的時間做全面的準備,制定長期的發展戰略,才能夠在“狼來了”的時候有資本與之共舞。
很多國際化的企業,例如海爾、聯想、格蘭仕、中石油、中石化、中海油,這些大型企業集團現在的發展規模不是靠一個制度、一項政策、一個預算就能解決問題的。同樣,跨國企業落戶中國也不是說依靠一個美國的制度就能解決在中國遇到的問題。這中間的文化差異導致的問題還需要本土化來解決。中國人崇尚和為貴,這種和為貴走出國門之后是什么樣的概念呢?海爾的免費售后服務,顧客就是上帝,是非常好的理念,但是免費售后服務的理念到了美國行不通,導致海爾不得不改變最初的戰略。因此,在擁有不同文化背景的區域里發展的時候,我們要思考另外一個問題,就是在不同的文化之下,同一種發展戰略,同一種發展方式,同一種業務管理的模式,會受到一種挑戰。這是文化給企業帶來的影響,間接決定了企業如何分配利用資源和開展經營活動的策略。
2.中國人謙虛的觀念
我國很多企業在管理資源的配置過程中受到一種潛意識的影響就是,越謙虛的人越有本事。謙虛是中國人的傳統美德。很多人在去企業求職的時候,被問到曾經做過什么,回答就是念過書,沒干過什么有成就的事。這樣的人怎么會被企業看中呢? 例如,一個總會計師第一天上崗的時候,在就職演說中提到多多包涵,這幾年我沒干什么事,希望大家互相幫助等。這是我們中國人的含蓄和謙虛。但是一些外籍的評估專家聽了之后就覺得不可思議,他竟然什么都不懂,為什么能來上崗呢?按照中國人的想法是,在中國越是說什么都沒干,越是什么都不懂的人,其實是最有水平、能力最強的人。而說什么都干過,這也行那也行的人,肯定是個光說不練的人,沒什么真本事。這是我們中國人的文化觀念特征。
外國的專家在中國工作一段時間之后才會明白,在不同的文化之下,管理方式、管理模式和管理思想是不一樣的。這個時候對企業影響最深、最大、最長遠的就是文化。例如,中國的聯想收購IBM全球個人電腦業務之后獲得了極大的擴張,它在全球運營中碰到的文化差異問題是需要謹慎對待的。聯想在海外的拓展之路到底能走多遠?人們都十分期待,也深深祝愿。畢竟中華民族的一大產業能夠得到更高層次的跨越式的發展,在世界上產生重要影響,這是中華民族的驕傲。
內部控制的意義
在企業管理和經營活動過程中,時時刻刻伴隨著企業的就是潛在風險。企業的內部控制不是為了控制而控制,也不是為了美國證監會或者中國證監會而控制,而是為了幫助企業防范不同階段的風險才進行控制。
也就是說,企業的內部控制,第一是為風險而控制;第二則是每個階段的風險是不一樣的,每個階段的風險不一樣,那么控制的方法,控制的目標,控制的目的,控制的手段也就不一樣。這是控制的多樣性、復雜性和艱巨性。
一、影響美國的兩大事件
為了對企業的風險有個更為準確的認識,我們可以把發生在美國的兩個重大事件進行對比。一個是美國9?11恐怖襲擊事件,另一個就是美國安然公司的假賬事件。
(一)事件回顧
【案例】
美國9?11事件
“9?11事件”指的是2001年9月11日恐怖分子劫持的飛機撞擊美國紐約世貿中心和華盛頓五角大樓的歷史事件。2001年9月11日,四架民航客機在美國的上空飛翔,然而這四架飛機卻被劫機犯無聲無息地劫持。當美國人剛剛準備開始新一天的工作之時,紐約世貿中心連續發生撞機事件。世貿中心的摩天大樓,轟然倒塌,化為一片廢墟,該事件造成3000多人喪生。
當白宮辦公廳的主任告訴布什,飛機連續兩次撞了世貿中心之后,布什先生當時的表情顯得非常吃驚。
“美國9?11事件”的發生,對一些產業造成了直接經濟損失和影響,使得美國經濟一度處于癱瘓狀態。地處紐約曼哈頓島的世界貿易中心是20世紀70年代初建起來的摩天大樓,造價高達11億美元,是世界商業力量的匯聚之地,來自世界各地的企業共計1200家之多,平時有5萬人上班,每天來往辦事的業務人員和游客約有15萬人。兩座直沖云霄的大樓一下子化為烏有,五角大樓的修復工作至少在幾億美元之上,人才損失更是難以用數字估量。無論是對美國總統布什,還是對美國民眾或者對美國政壇人士來說,9月11日所遭遇的恐怖分子攻擊事件都是一次歷史性的震撼。在兩小時之內,造成美國本土遭遇數以千計的傷亡。甚至連白宮、總統的空軍一號座機、國防部大樓、金融財務中心的世界貿易大樓,都成了恐怖分子攻擊的目標。
這一事件也給交通運輸和旅游業造成嚴重損失。美國國內航班一天被劫持了四架,并造成巨大的人員傷亡和財產損失,確實是歷史罕見。事件發生后,布什立即采取適當行動,恢復政府、社會正常活動。為了顯示他不受恐怖威脅,9月11日晚上,雖然白宮仍有受到攻擊的威脅,他仍決定返回白宮,并在白宮向全國民眾發表講話,借此顯示:恐怖分子并不能阻斷美國行政中心的運作。
“美國9?11事件”的經濟影響不僅局限于事件本身的直接損失,更重要的是影響了人們的投資信心和消費信心,使美元等主要貨幣貶值、股市下跌,石油等戰略物資價格一度上漲,并實時從地域上波及歐洲及亞洲等主流金融市場,引起市場的過激反應,從而導致美國和世界其他國家經濟增長減慢。
點評:911事件后美國低下高昂的頭顱,和各國進行協商,和全世界人民一起反恐,得到各國人民的理解、同情和支持。所以,美國在9?11之后,得到的幾乎是一正一負的效果,一方面受到了打擊,經濟損失十分嚴重;另一方面又展開反恐行動,極大地改善了它的國際形象和國際地位。進入21世紀以來,美國在改變自己的世界形象當中做了一個很好的扭轉,可以說在得失方面打了個平手。
【案例】 安然的末日 一直以來,安然身上都籠罩著一層層的金色光環:作為世界最大的能源交易商,安然在2000年的總收入高達1010億美元,名列《財富》雜志“美國500強”的第七名;掌控著美國20%的電能和天然氣交易,是華爾街競相追捧的寵兒;安然股票是所有的證券評級機構都強力推薦的績優股,股價高達70多美元并且仍然呈上升之勢。直到破產前,公司營運業務覆蓋全球40個國家和地區,共有雇員2.1萬人,資產額高達620億美元;安然一直鼓吹自己是“全球領先企業”,業務包括能源批發與零售、寬帶、能源運輸以及金融交易,連續4年獲得“美國最具創新精神的公司”稱號,并與小布什政府關系密切??
1.安然的噩夢 2001年年初,一家有著良好聲譽的短期投資機構老板吉姆?切歐斯公開對安然的盈利模式表示了懷疑。他指出,雖然安然的業務看起來很輝煌,但實際上賺不到什么錢,也沒有人能夠說清安然是怎么賺錢的。據他分析,安然的盈利率在2000年為5%,到了2001年初就降到2%以下,對于投資者來說,投資回報率僅有7%左右。切歐斯還注意到有些文件涉及了安然背后的合伙公司,這些公司和安然有著說不清的幕后交易。作為安然的首席執行官,斯基林一直在拋出手中的安然股票——而他不斷宣稱安然的股票會從當時的70美元左右升至126美元。按照美國法律規定,公司董事會成員如果沒有離開董事會,就不能拋出手中持有的公司股票。也許正是這一點引發了人們對安然的懷疑,并開始真正追究安然的盈利情況和現金流向。到了8月中旬,人們對于安然的疑問越來越多,并最終導致了股價下跌。8月9日,安然股價已經從年初的80美元左右跌到了42美元。
10月16日,安然發表2001年第二季度財報,宣布公司虧損總計達到6.18億美元,即每股虧損1.11美元。同時首次透露因首席財務官安德魯?法斯托與合伙公司經營不當,公司股東資產縮水12億美元。
10月22日,美國證券交易委員會瞄上安然,要求公司主動提交某些交易的細節內容。并最終于10月31日開始對安然及其合伙公司進行正式調查。
11月1日,安然抵押了公司部分資產,獲得J.P摩根和所羅門史密斯巴尼的10億美元信貸額度擔保,但美林和標普公司仍然再次調低了對安然的評級。
11月8日,安然被迫承認做了假賬,虛報數字讓人瞠目結舌:自1997年以來,安然虛報盈利共計近6億美元。
11月9日,迪諾基公司宣布準備用80億美元收購安然,并承擔130億美元的債務。當天午盤安然股價下挫0.16美元。
11月28日,標準普爾將安然債務評級調低至“垃圾債券”級。
11月30日,安然股價跌至0.26美元,市值由峰值時的800億美元跌至2億美元。
12月2日,安然正式向破產法院申請破產保護,破產清單中所列資產高達498億美元,成為美國歷史上最大的破產企業。當天,安然還向法院提出訴訟,聲稱迪諾基中止對其合并不合規定,要求賠償。
2.安然模式的破產
首先遭到質疑的是安然公司的管理層,包括董事會、監事會和公司高級管理人員。他們面臨的指控包括疏于職守、虛報賬目、誤導投資人以及牟取私利等。在10月16日安然公布第二季度財報以前,安然公司的財務報告是所有投資者都樂于見到的。看看安然過去的財務報告:2000年第四季度,“公司天然氣業務翻升3倍,公司能源服務公司零售業務翻升5倍”;2001年第一季度,“季營收成長4倍,是連續21個盈余成長的財季”??在安然,衡量業務成長的單位不是百分比,而是倍數,這讓所有投資者都笑逐顏開。到了2001年第二季度,公司突然虧損了,而且虧損額還高達6.18億美元!
然后,一直隱藏在安然背后的合伙公司開始露出水面。經過調查,這些合伙公司大多被安然高層官員所控制,安然對外的巨額貸款經常被列入這些公司,而不出現在安然的資產負債表上。這樣,安然高達130億美元的巨額債務就不會為投資人所知,而安然的一些官員也從這些合伙公司中牟取私利。更讓投資者氣憤的是,顯然安然的高層對于公司運營中出現的問題非常了解,但長期以來熟視無睹甚至有意隱瞞。包括首席執行官斯基林在內的許多董事會成員一方面鼓吹股價還將繼續上升,一方面卻在秘密拋售公司股票。而公司的14名監事會成員有7名與安然關系特殊,要么正在與安然進行交易,要么供職于安然支持的非盈利機構,對安然的種種劣跡睜一只眼閉一只眼。
安然假賬問題也讓其審計公司安達信面臨著被訴訟的危險。位列世界第五的會計師事務所安達信作為安然公司財務報告的審計者,既沒審計出安然虛報利潤,也沒發現其巨額債務。今年6月,安達信曾因審計工作中出現欺詐行為被美國證券交易委員會罰了700萬美元。
點評:安然事件雖然是一個單純的經濟事件,卻在全球范圍內掀起了一陣狂波巨浪,所有的矛頭都指向了美國的經濟制度,撼動了美國為之驕傲的經濟體系。在9?11事件之后,美國政府主動出擊,對恐怖襲擊行為堅決進行打擊,無論從道義還是力量上來說都受到世界人民的支持。但是安然事件卻讓山姆大叔的顏面掃地,自己內部機制出現大窟窿,對世界造成了很壞的影響,受到人們的嚴厲指責,而補救還得靠自己。
但是,在美國的這兩大事件當中,美國人的危機公關,化被動為主動來解決危機的做法,是值得學習和討論的。
(二)安然事件帶來的結果
不管是企業還是社會,都在面臨著各種不確定性的風險,如果沒有對這種風險進行充分的認識,在前期階段加以防范和阻止,就有可能釀成大禍。從安然事件中我們可以看到以下幾點:
1.會計丑聞
現在的社會是經濟社會,經濟社會是一個市場進行資源優化和資源配置的過程。資源在優化配置、自由流動的過程當中,有個依據和指向,那就是會計信息。我們資源怎么去優化配置?通俗一點就是說,買股票的時候,買誰的,怎么去買?這些就要依靠會計信息所反映出來的內容。
會計信息是市場的一個指向標,一旦會計信息機制失靈,整個國民經濟就會混亂。安然的假賬事件讓外國投資者對美國投資回報的信心喪失,大量國際資金抽離美國,外國對美國的投資下降近60%,同時對中國的投資上升近15%。
2.安然事件對美國股市的影響 美國是世界上的經濟強國,在很多方面都實行霸權主義和強權主義,然而真正讓美國在全世界人民面前低下頭顱的是安然事件。安然事件反映的是整個會計信息機制和體系制度,特別是經濟基礎上的漏洞和缺失,對此美國必須進行反思。9?11讓美國的股市跌了近1000點,而安然事件之后,2002年美國股市連續下跌,遠遠突破了1000點。
薩班斯-奧克斯利法案
安然事件不只是安然公司的一個事件,而是由會計丑聞引發的對整個會計體系的質疑,這種質疑對美國的影響是巨大的。為了應對這種危機,解決由會計體系缺陷造成的惡劣影響,完善社會的經濟制度,當時美國有兩位議員提出一種議案,叫薩班斯—奧克斯利法案。這個法案從以下11個方面來管制以會計信息為主體的市場資源配置,以及與會計信息相關的權利、責任義務和法則等。
(1)上市公司會計監管委員會;(2)審計師的獨立性;(3)公司的職責;
(41)加強財務信息的披露;(5)分析員的利益沖突;
(6)證券監管委員會的資源與權限;(7)研究和報告;
(8)公司和徇私舞弊的責任;(9)加強對白領刑事犯罪的懲罰;(10)公司稅務申報表;
(11)公司的舞弊行為及應承擔的相應責任。
(一)薩班斯—奧克斯利法案的意義
經過安然公司的假賬事件對經濟社會的沖擊之后,美國出臺了專門針對會計制度的薩班斯—奧克斯利法案。這項法案主要解決了監管、中介機構和企業內部財務管理三個問題,從這項法案中我們也可以學到一些做企業的規則的道理。
1.法案解決的問題
以前人們總是認為美國的會計制度很完善,幾乎無懈可擊,但事實證明任何看似完善的制度都有可能遭受風險的襲擊,演變成對企業和社會的巨大危害。美國出臺的這項法案主要解決了以下三個問題: ?監管問題
在安然事件之前,美國經濟是自由主義式的發展,也就是民不告,官不理,當股民最后上當了,虧損了,最后發現了虛假的會計信息,才去找政府部門解決問題。美國的會計準則是由社會中介機構和社會團體公認形成的,沒有很大的強制性。與中國會計準則不同,中國會計準則是由中華人民共和財政部統一制定,具有強制性的法規特征。
安然事件發生后,美國意識到自治式的會計信息有極大的漏洞,所以必須加強管制,成立會計監管委員會,對企業的會計信息進行監管。?中介機構問題
美國的中介機構不獨立。安然在整個發展過程當中,它的品牌、業務和戰略都是沒有問題的,但是很多項目在具體管理和落實當中出現了一些問題。例如在印度投資的電廠暫時沒有盈利,但是股東又要分紅,又要和競爭對手、標桿企業進行比拼賽跑,于是找到安達信咨詢公司出謀劃策。
安達信幫助企業通過各種延伸產品,包括在自己的內部進行大量的交易產生利潤,也就是把錢從左口袋弄到右口袋。可是沒有現金流怎么辦?于是安達信又給安然設計一個方法,就是SPE實體。通過聯合投資的公司,進行銀行貸款,溝通項目的操作,讓現金返回到公司的母體,成為現金流,再用這種方式進行分紅。
作為中介機構,安達信對安然公司的賬進行檢查的時候,當然對自己做過的賬持肯定態度,向股民保證沒有問題。這樣的雙面角色導致了安達信這種中介機構失去了獨立性。所以在這項法案中對中介機構的業務行為專門做了限制性和規范性的規定,防止中介機構出現監守自盜的問題。
?企業內部財務管理的問題
安然事件之后全世界的企業對會計信息制度的重視上升到了一個前所未有的高度。首先,加強了高層人員的責任。公司的財務領導肩負著會計的重任,下面做好財務報表,子公司上交到母公司,母公司要合并報表,合并報表做完上報國資委,或者再報證監會、財政部等。如果報表中出現問題,發現公司有做假賬的行為,要追究的就是領導的責任。
但是我們實務操作過程當中,發現兩個很大的問題。企業出現了會計問題,如果老總被抓,公司的幾千員工怎么辦?還有,如果他被抓后拒不認罪,比如安然公司的老總被抓后就拒絕認罪,只是說愿意承擔責任。這個責任指的是他愿意承擔領導責任,沒有領導好做會計的屬下,會計部門的水平不高,所以才導致現在的后果。看似很有道理,這種說法其實是他把責任推到財務主管身上。所以調查安然事件的相關人員花了幾年的時間,用了幾千萬的巨額成本才讓那些高層領導人員伏法。
所以,在薩班斯—奧克斯利法案中,專門明確了公司出現財務問題后,總經理和財務總監應當共同承擔責任。
2.薩班斯—奧克斯利法案與內部控制的聯系
薩班斯—奧克斯利法案對企業的影響就是加強會計信息的權利區位,意思是公司必須設立審計委員會,審計委員會必須全部是獨立董事,專門負責對公司會計信息的管理。通過這樣的內部審查,提高公司的會計信息管理機制和層次體系,避免了企業老總個人左右財務信息的局面。
關于企業內部控制的發展在薩班斯—奧克斯利法案第402條款里面得到了一個體現,就是加強管理層對內部控制的評估。
【案例】
薩班斯—奧克斯利法案第404條: 管理層對公司內部控制的評估 該條規定中要求公司年報中包括一份“內部控制報告”,該報告應:
(1)明確指出公司管理層對建立和保持一套完整的與財務報告相關的內部控制系統和程序所負有的責任;并且包含管理層在財務期末對公司財務報告相關內部控制體系及程序的有效性評估。
(2)受委托的上市公司審計師應按照上市公司會計監管委員會對審核約定所發布或采用的準則就管理層關于內部控制的評估進行鑒證并提交報告。此類鑒證約定并不構成單獨的約定主體;
(3)SEC在提交的法案相關的報告中這樣解釋此條的立法目的:“委員會不希望審計師(對內部控制報告的)評估形成單獨一份約定或者因此而導致審計費用的增加。”指導SEC進一步要求上市公司披露其是否為高級財務官員制定職業操守規范以及該規范的內容;
(4)指導SEC修改其以8-K表格進行即時披露的相關規則,從而要求上市公司對任何職業操守規范的修改或廢止事項應立即進行披露。
點評:這項法案里面對內部控制的相關規定說明了兩層意思。第一,需要評估企業有沒有內部控制;第二,規定了企業內部控制要做到的程度。企業必須就這兩點向美國證監會有個明確的交代。
例如對企業內部現有的業務進行評估,要考察所有的業務是不是被囊括到企業現有的制度里面。沒囊括的業務有多少,比例有多大。在所有沒被囊括的比例之下,有多少業務已被執行,執行的效率有多高,比如執行了80%,還有20%沒有執行,在執行80%里面哪些能夠把問題解決,哪些不能把問題解決。企業必須拿出具體的數字進行詳細的說明。這就是以強制性的手段和手腕保證企業內部控制的執行,可見健全企業內部控制的必要性和緊迫性。
第四篇:集團企業內控與風險管理
核工業集團內部控制與全面風險管理培訓框架
========================
為貫徹落實中國核工業集團公司近期有關實現集團跨越式發展的要求,深入研究并積極探討解決核電產業集團化運作、專業化運營的有效途徑,尤其是在此過程中產生的管控風險,我們組織了相應領域的專家進行了具有針對性的分析,提出了一個具有完整框架的培訓方案:
========================
一、理論框架theoretical framework
========================
集團戰略管控體系集團風險管理體系集團內部控制體系
========================
二、培訓課程模塊curriculum introduction
========================
(一)內部控制篇
■ 內部控制——企業良性經營的關鍵 1.COSO的內部控制整合框架包括哪些內容 2.企業內部控制的目標
3.企業建立與實施內部控制應當遵循的原則 4.實施有效內部控制的關鍵要素 5.企業內部控制的框架
■ 企業內部控制管理系統的核心制度(相關案例分析、互動研討)1.重大風險預警制度 2.內控報告制度 3.內控批準制度 4.內控責任制度 5.內控審計檢查制度 6.內控考核評價制度
7.健全以總法律顧問制度為核心的企業法律顧問制度 8.內控崗位授權制度 9.重要崗位權力制衡制度
■ 企業內部控制的內容以及實務操作(相關案例分析、互動研討)1.內部環境及其要素 2.風險評估及其步驟 3.控制活動及其措施 4.信息與溝通及其要求 5.內部監督及其程序
(二)全面風險管理篇
■ 企業風險管理,大風起于青萍之末(相關案例分析、互動研討)1.我們生活的世界越來越不確定
2.企業各類風險事件展示——前車之鑒、后事之師 3.我國企業全面風險管理的背景 4.風險管理背后的推動力 5.企業風險管理勢在必行 6.標桿企業的風險管理實踐
■ 企業全面風險管理——構筑企業安全的防火墻 1.企業風險和風險管理的基本理念 2.風險偏好和風險容忍度 3.企業風險文化 4.風險預警 5.風險指標
6.固有風險和剩余風險 7.企業全面風險管理人員的結構 8.企業風險溝通
9.企業全面風險管理的流程 10.企業全面風險管理的目標
■ 企業全面風險管理的核心問題(相關案例分析、互動研討)1.企業風險管理成熟的標志 2.企業風險管理要成為什么 3.企業風險管理的最終落腳點 4.企業風險管理的實質
5.企業風險管理始終關注的兩個問題 6.企業風險管理是綱——全面的風險管理
■ 企業全面風險管理的實務操作(建立全面風險管理體系)(相關案例分析、互動研討)1.收集企業風險管理的初始信息(不同的企業有相應的初始信息)(1)戰略信息(2)財務信息(3)市場信息(4)運營信息(5)法律信息
2.設計企業全面風險管理的過程(1)收集風險管理初始信息(2)進行風險評估(3)制定風險管理策略(4)提出和實施風險管理解決方案(5)風險管理的監督與改進 3.企業風險評估
(1)風險識別(根據不同企業和行業識別不同的風險)——風險管理的方法(2)風險分析 ——風險管理的技術(3)風險評價 ——風險管理的工具
4.制定企業全面風險管理的策略(1)風險回避(2)風險減少(3)風險轉移(4)風險接受(5)風險對沖
5.實施企業全面風險管理的方案(1)風險管理的內部控制方案(2)風險管理的全面方案 6.企業剩余風險的管理 ——剩余風險管理的最終目標 7.企業風險管理的監督與改進(1)持續監督(2)單獨評價(3)報告缺陷(4)壓力測試(5)返回測試(6)穿行測試(7)風險控制(8)自我評估
8.建立健全企業風險管理的組織體系(1)規范的法人治理結構和議事規則(2)組織機構設置與權責分配 9.完善企業全面風險管理的信息系統(1)內部信息和外部信息(2)信息的溝通與反饋
(3)風險管理信息系統的工作流程(4)風險管理信息系統的價值 10.培育企業全面風險管理文化(1)風險管理理念(2)風險控制行為(3)風險道德標準(4)風險管理環境
■ 如何編寫企業全面風險管理報告(相關案例分析、互動研討)1.第一思路:按照相關文件的框架 2.第二思路:
(1)企業對已經存在的風險早發現早治療
(2)企業對可能發生的風險防患于未然
(3)制定企業風險管理的計劃 3.第三思路:依據企業自身情況獨創
========================
三、課程收益training income
======================== ◆ 了解企業內部控制的基本理念
◆ 掌握企業內部控制管理系統的核心制度 ◆ 學會具體的企業內部控制實務操作 ◆ 能具體實施企業內部控制 ◆ 了解企業當前風險管理的環境;
◆ 掌握企業全面風險管理的基本理念和核心問題; ◆ 熟悉企業全面風險管理的流程; ◆ 運用企業全面風險管理的方法、技術和工具; ◆ 理解企業風險評估的步驟;
◆ 制定并實施企業全面風險管理的策略和方案; ◆ 加強企業全面風險管理的監督與改進; ◆ 建立健全企業全面風險管理的組織體系; ◆ 完善企業全面風險管理的信息系統; ◆ 培育企業全面風險管理文化; ◆ 學會制作企業全面風險管理報告。
========================
四、講師簡介lecturer synopsis
======================= 主講專家:殷俊先生 ■ 資歷
☆ 中國管理科學研究院社會信用體系建設發展中心專家委員會副主任 ☆ 國資委職業經理研究中心特聘專家
☆ 企業危機管理與風險管理網絡商學院執行院長
☆ “職業經理(企業風險管理)資質評價與能力測評項目”教材主編 ☆ 企業危機管理與風險管理培訓網CEO www.tmdps.cn ☆ 清華大學能源規劃與管理訓練中心特聘專家 ☆ 北大經濟管理學院客座專家 ☆ 上海復旦、上海交大MBA培訓班講師 ☆ 浙江大學總裁班特聘教授
☆ 企業風險管理與危機管理培訓論壇秘書長 ☆ 企業危機管理與風險管理培訓咨詢公司總裁 ☆ 資深危機管理專家
曾在多家公司任職理事長、首席顧問、總監,并入選首本《國際職業培訓師大黃頁》,有著多年的管理實踐經驗。長期的實踐,鑄就了自身在“企業危機管理(與金融危機相結合)、企業危機管理與風險管理(與金融危機相結合)、企業全面風險管理(與金融危機相結合)、公共危機管理、企業內部控制、突發事件的應急管理、沖突管理與有效溝通、沖突管理”等通用管理方面較強的培訓功底,并形成了實戰、互動、系統、有效的培訓風格。能廣泛地聯系企業的實際情況,根據企業存在的問題,為企業提供有針對性的咨詢式培訓,從而解決相應的問題。培訓的內容富有理性,而培訓的方式卻充滿激情!
在培訓過程中,擅于引用經典的思想、豐富的案例、真實的數據、典型的事件;運用互動研討的方式,并穿插角色扮演活動,在案例分析、互動研討的同時,讓大家深刻感悟,形成共鳴,達成共識,同時創造性地提出相應觀點,將培訓的效果發揮到極致!■ 部分服務客戶:
大連紅沿河核電站、國家行政學院、中國管理科學學會、國資委研究中心、國資委職業經理研究中心、中國企業家協會、北京西城區國資委、上海長寧區國資委、上海市干部培訓中心、昆山經貿委、常州工商聯、浙江舟山貿促會、福建南平經貿委、寧夏中小企業研究中心、、甘肅百家大講堂、中小企業競爭力工程、廣東順德勒流五金商會、寧波市成人集團學校、寧波市企業聯合會、寧波市企業家協會、廣東東莞市財政局、四川眉山市青神縣組織部、南寧市地稅局、浙江大學總裁班、北京大學經濟學院、清華大學繼續教育學院總裁班、上海交通大學總裁班和EMBA班、復旦大學網絡教育學院、復旦大學總裁班和EMBA班、沈陽哈普瑞商學院、職業經理人資格認證上海培訓中心、深圳國信證券、福建建行、上海奉賢農行、廣州廣晟資產經營公司、北京郊區電信實業、湖北聯通、廣西郵政局、北京三元集團、浙江嚴州府、遼寧合興、中國藥材集團、常州四藥、法國賽諾菲-安萬特制藥、廣東東通文具、浙江日月首飾、富士康電子工業發展昆山有限公司、北京松下、廣東佛山平洲電子、廣州聯眾、蘇州信越聚合、溫州正泰電器上海公司、溫州創奇科技電子、上海錦虎電子、深圳大大電子、溫州華龍汽車電子、奧克斯集團、河南新飛電器、北京康平空調新疆美克集團、四川列維士家具有限公司、廣東永其祥織染、浙江紅綠藍紡織、浙江凱喜雅、溫州婭米茄服飾、常州依麗雅斯、上海新長寧集團、杭州中豪控股、四川豐泰集團、四川大地房地產、深圳特發物業、深圳特發地產、廈門夏商集團、長春一汽、長安汽車集團、上海航天技術研究院、上海機場集團、東方航空、上海航空、南方航空、正大集團、華東計算技術研究所、上海建工集團、上海市安裝工程有限公司、北京京港地鐵、北京博維科技、香港富勤環保集團、天津光電、蘇州三洋能源、華北電網、北京電力、保定電力局、河北電力、陜西電力、山西省電力、浙江余杭電力、浙江嘉興電力、山東棗莊電力、北京密云供電局、四川廣安愛眾股份、神華浙江國華浙能發電有限公司、施耐德(陜西)寶光電氣、浙江江山化工股份、浙江衢州巨化、西安北方慶華機電、寶鋼集團、通化鋼鐵、中交第三航務工程局、中交一航局、中船重工第704研究所、廈門港務船務、海洲國際、滬東中華、中國石化國際事業有限公司、中國油田新疆石油管理局、中海油、華夏建龍礦業、山東新汶礦業、島津國際貿易、中化國際等。
第五篇:國壽內控與風險管理
國壽內控與風險管理
一、國壽內控與風險管理組織架構
國壽在董事會下設了風險管理委員會,作為內控與風險管理的最高決策機構,在總裁室下設內控與風險管理委員會指導相關工作的開展,在總公司設立內控與風險管理部(合計18人,設內控管理處、風險管理處、關鍵崗位檢查處、反洗錢處,合規管理的職能仍在法律部/合規部)負責具體工作,在總公司各部門設立內控與風險管理聯系人和責任人。
國壽在各省級分公司均獨立設臵內控與風險管理部,其中多者10余人,少者10人左右;在各地市級分公司均設臵1個專職人員,配臵在綜合管理部;同時由各地市、縣支公司一把手擔任內控與風險管理的責任人。
二、國壽內控管理工作開展情況
(一)實施內控項目
2004年,為滿足美國上市要求,國壽按照“薩班斯”法案要求,開展并完成了“404項目”(與我公司“內控項目”性質相同),并以當時參與項目的人員為班底,組建了國壽總、省兩級的內控與風險管理部門。
國壽在完成“404項目后”,形成《內部控制手冊》和《內控標準手冊》,其中《內部控制手冊》作為公司實施內部控制的基本法,《內控標準手冊》作為內控自我評估工作的依據(與我公司《內部控制手冊》與《內部控制評價手冊》的作用相同)。
(二)建立內控手冊更新機制
國壽完成“404項目”后,每年均對《內部控制手冊》進行修訂。在項目完成的最初兩年,采取集中各部門的人員進行修訂的方式進行(類似我公司的集中封閉梳理),最近兩年,已改為以內控與風險管理部人員為主進行修訂、各部門審核的方式進行。
工作方式之所以發生改變,國壽表示,在“404項目”啟動之初,由于美國上市的壓力,抽調各部門骨干完成相關工作的方式尚較為可行,各部門也能夠給予配合,但隨著時間的推移,各部門配合的積極性有所降低,原有工作機制不具有可持續性。
(三)開展內控自我評估工作
國壽自2004年起,用了三年的時間,完成了對公司范圍內所有地市和縣支公司的全面評估(評估的廣度和深度高于我公司)。近年來,國壽已經形成了較為成熟的內控自我評估機制:
1.各崗位人員自評
國壽按照“控制執行崗位”(等同于我公司“控制責任人”的概念,即某一控制的具體執行人),將內部控制手冊中的“控制措施”層層分解,最終落實到具體的執行崗位,由執行崗位人員比照“控制措施”和自己的實際操作,對控制的執行情況進行自我評估,然后逐級上報評估結果。
2.組織開展內控自我評估
在每年的4至5月,國壽總公司內控與風險管理部門完成對本內控評估測試方案、底稿的擬定工作,并組織省級分公司開展試點測試(等同于我公司內控項目試點測試階段),然后在對方案和底稿進行修訂后,在7至8月進行推廣評估(2010年,國壽完成了對140余家地市級分公司的評估),在9至10月份,由被測試單位針對發現的內控缺陷進行整改,在11月份,由總公司組織開展對整改效果的再評估工作,在下一的1月份,對上12月份內控的變化情況進行覆蓋測試,最終達到“自我評估覆蓋全年”的要求。
(四)組織開展內控缺陷整改 1.缺陷分級
國壽在對內控缺陷的嚴重程度進行分級認定時,區分為財務報告相關內控缺陷和非財務報告相關內控缺陷,由總公司進行缺陷認定:財務報告相關內控缺陷按照“薩班斯”法案的要求,根據對財務報表影響程度進行劃分,以定量分級為主;非財務報告內控缺陷按照缺陷發生頻率、引起損失金額(參考違法違規和監管處罰確定)、缺陷的覆蓋面(缺陷存在的范圍)、缺陷可能導致違規行為的嚴重程度等因素來進行判定,以定性分級為主。
2.缺陷整改 國壽在啟動“404項目”的初期,對于發現的大量內控缺陷,先是由內控與風險管理部以專題報告的方式上報總裁室,由總裁室將整改工作分解到各部門進行整改,再定期跟蹤報告缺陷的整改情況,直至缺陷整改到位。此項工作持續開展多年后,已經得到平級部門的理解和支持,缺陷整改工作重點也從項目開展之初的全面整改方式轉向重點整改的方式,每年集中力量對幾個重要缺陷進行整改,力爭體現整改成效。
國壽表示,在項目開展的初期,由于牽涉各方利益,缺陷整改工作的推動阻力相當之大,所幸由于美國上市的要求,公司領導給予了極大的支持,此項工作才得以完成,內控項目的工作成效得以逐步顯現。約有20%左右的內控缺陷通過加強信息系統剛性管控的方式得以有效改進。
三、國壽風險管理工作開展情況
(一)風險管理處的主要職責
國壽風險管理處的主要職責包括投資風險的評估與分析,風險預警體系的構建,此外,風險管理處還負有風險管理系統開發、風險管理相關制度的制訂等職責,而對于保險風險、再保風險、風險容忍度等工作則分別由各專業部門進行推動。
(二)當前風險管理的主要工作
一是開展風險預警指標體系監測工作,監測每季度進行一次,實施已有一年,共涵蓋業務質量和財務質量的40多項指標,其中定量指標占多數;二是著手制訂《風險管理辦法》;三是啟動風險管理系統開發工作(目前正處于規劃階段);四是由精算部開展風險容忍度的制定工作。
四、國壽反洗錢工作開展情況
國壽在2007年開始開展反洗錢工作,由于壽險公司反洗錢風險相對財險公司來說更高,國壽在相應層級成立了反洗錢領導小組,在總公司單設了反洗錢處,并配臵了三名專職人員,在各省級分公司配備了反洗錢專崗人員,從以下四方面開展系統反洗錢工作:
一是開發客戶身份識別系統,由展業人員將客戶身份資料錄入該系統,對于缺失的客戶身份資料事后補齊(壽險與客戶聯系比較密切,事后補齊的工作沒有太大困難)。
二是積極向監管部門反映,要求監管部門出臺行業客戶風險等級指引。
三是按照客戶的特點或者賬戶的屬性,綜合考慮地域、行業、客戶是否為外國政要等因素,結合反洗錢“黑名單”,依托客戶風險等級系統及客戶身份識別系統,實現客戶風險等級全自動劃分,并區分風險等級采取不同的審核標準。
四是在信息系統自動排查的基礎上,對可疑交易進行人工識別,確定審核流程,制訂問責制度,同時將大額及可疑交易系統與客戶身份識別系統相對接,確保各種可疑交易數據及時反映。
點擊咨詢 