第一篇:內控風險管理
風險的含義和特征
一、對企業風險的認識
企業要建立內部控制體系,需要建立在對企業進行風險管理的基礎之上。企業的發展過程就是一個風險釋放的過程。因此,我們首先要對風險有一個明確的認識。
風險會給企業帶來損失,這種損失是潛在的,但是在未來的時間內可能變成現實;同時,風險也可能帶來收益。這就是要在企業管理和經營過程中進行風險管理的價值所在。面對風險,企業永遠處于收益和潛在損失之間的博弈狀態,在這個博弈的過程中企業家需要運用智慧對內、外部的資源進行有效配置和管理,從而實現企業的發展。
(一)識別企業風險
企業的風險是有規律的,而這種規律需要我們運用各種方法去學習和認知。要想做好基于風險管理的企業內部控制,首先要認識企業風險的特征和企業在不同的發展階段的風險特點。在企業初創階段,對企業產生致命影響甚至是毀滅性打擊的是產品。企業需要對市場做出一種判斷,利用現有技術生產出適合客戶需求的優質產品。在企業發展到一定規模的時候,對企業影響較大的就是銷售渠道的拓寬和市場銷售量的增加。當企業發展到更高的階段、打下了較為堅實的基礎的時候,決定企業發展命運的就是內部的人、財、物的配置和利用,我們稱之為管理。
現在很多的企業都會發出感嘆:業務大了,人多了,收入高了,利潤增加了,但是人心變壞了,企業難管了,干得沒意思了,勾心斗角多了。這些問題都會給企業帶來不確定性的風險,造成一定的損失。事實上,這些問題歸結起來就是企業管理的問題。如何對人、財、物進行合理配置和利用才有利于企業的健康發展,這需要一個系統的管理過程。如果企業在發展到更高階段的時候,一切都處于穩定的運行狀態,管理理順了,崗位理順了,職責理順了,并不能說企業就可以放松管理了。這個時候,企業需要居安思危。市場競爭無處不在,企業必須要不斷地改進和發展,才能長久生存下去。
(二)文化差異
企業風險管理和內部控制理論都是最先從西方發達國家發展起來的,我國的企業在把這一套東西拿過來使用的時候,我們需要注意東、西方企業在文化背景之間的差異。
1.中西方企業存在狀況的差異
我們有很多企業。每年都有數萬的新企業誕生,同時也有很多老企業倒下去。為什么我們中國的企業,總是各領風騷三五年,企業壽命比西方國家的要短很多?在思考這些問題的時候我們要想想實力不是依靠時間的長短來衡量的,西方國家的經濟發達有它的道理,而中國企業的短命也有它的痼疾。
企業壽命短的一個原因是,我們的觀念存在問題。現在要做的就是改變觀念,在運營企業方面進行觀念變革。當企業有了突破性發展的時候,往往會有更大的風險潛在于企業的周圍。所以,企業需要有一個長遠的、總體的目標,也就是企業戰略。
企業在創立初期的好處就是,船小好調頭。但是,船大才好出海,市場就像一片汪洋大海,企業必須發展到一定的規模,才能航行得更遠。怎樣把企業這艘船做大,怎樣抵御更大、更強的海上風險,拓展海外的發展,就成為了企業家們要思考和解決的問題。無論企業是走向國外,還是在國內發展,都需要一段很長的時間做全面的準備,制定長期的發展戰略,才能夠在“狼來了”的時候有資本與之共舞。
很多國際化的企業,例如海爾、聯想、格蘭仕、中石油、中石化、中海油,這些大型企業集團現在的發展規模不是靠一個制度、一項政策、一個預算就能解決問題的。同樣,跨國企業落戶中國也不是說依靠一個美國的制度就能解決在中國遇到的問題。這中間的文化差異導致的問題還需要本土化來解決。中國人崇尚和為貴,這種和為貴走出國門之后是什么樣的概念呢?海爾的免費售后服務,顧客就是上帝,是非常好的理念,但是免費售后服務的理念到了美國行不通,導致海爾不得不改變最初的戰略。因此,在擁有不同文化背景的區域里發展的時候,我們要思考另外一個問題,就是在不同的文化之下,同一種發展戰略,同一種發展方式,同一種業務管理的模式,會受到一種挑戰。這是文化給企業帶來的影響,間接決定了企業如何分配利用資源和開展經營活動的策略。
2.中國人謙虛的觀念
我國很多企業在管理資源的配置過程中受到一種潛意識的影響就是,越謙虛的人越有本事。謙虛是中國人的傳統美德。很多人在去企業求職的時候,被問到曾經做過什么,回答就是念過書,沒干過什么有成就的事。這樣的人怎么會被企業看中呢? 例如,一個總會計師第一天上崗的時候,在就職演說中提到多多包涵,這幾年我沒干什么事,希望大家互相幫助等。這是我們中國人的含蓄和謙虛。但是一些外籍的評估專家聽了之后就覺得不可思議,他竟然什么都不懂,為什么能來上崗呢?按照中國人的想法是,在中國越是說什么都沒干,越是什么都不懂的人,其實是最有水平、能力最強的人。而說什么都干過,這也行那也行的人,肯定是個光說不練的人,沒什么真本事。這是我們中國人的文化觀念特征。
外國的專家在中國工作一段時間之后才會明白,在不同的文化之下,管理方式、管理模式和管理思想是不一樣的。這個時候對企業影響最深、最大、最長遠的就是文化。例如,中國的聯想收購IBM全球個人電腦業務之后獲得了極大的擴張,它在全球運營中碰到的文化差異問題是需要謹慎對待的。聯想在海外的拓展之路到底能走多遠?人們都十分期待,也深深祝愿。畢竟中華民族的一大產業能夠得到更高層次的跨越式的發展,在世界上產生重要影響,這是中華民族的驕傲。
內部控制的意義
在企業管理和經營活動過程中,時時刻刻伴隨著企業的就是潛在風險。企業的內部控制不是為了控制而控制,也不是為了美國證監會或者中國證監會而控制,而是為了幫助企業防范不同階段的風險才進行控制。
也就是說,企業的內部控制,第一是為風險而控制;第二則是每個階段的風險是不一樣的,每個階段的風險不一樣,那么控制的方法,控制的目標,控制的目的,控制的手段也就不一樣。這是控制的多樣性、復雜性和艱巨性。
一、影響美國的兩大事件
為了對企業的風險有個更為準確的認識,我們可以把發生在美國的兩個重大事件進行對比。一個是美國9?11恐怖襲擊事件,另一個就是美國安然公司的假賬事件。
(一)事件回顧
【案例】
美國9?11事件
“9?11事件”指的是2001年9月11日恐怖分子劫持的飛機撞擊美國紐約世貿中心和華盛頓五角大樓的歷史事件。2001年9月11日,四架民航客機在美國的上空飛翔,然而這四架飛機卻被劫機犯無聲無息地劫持。當美國人剛剛準備開始新一天的工作之時,紐約世貿中心連續發生撞機事件。世貿中心的摩天大樓,轟然倒塌,化為一片廢墟,該事件造成3000多人喪生。
當白宮辦公廳的主任告訴布什,飛機連續兩次撞了世貿中心之后,布什先生當時的表情顯得非常吃驚。
“美國9?11事件”的發生,對一些產業造成了直接經濟損失和影響,使得美國經濟一度處于癱瘓狀態。地處紐約曼哈頓島的世界貿易中心是20世紀70年代初建起來的摩天大樓,造價高達11億美元,是世界商業力量的匯聚之地,來自世界各地的企業共計1200家之多,平時有5萬人上班,每天來往辦事的業務人員和游客約有15萬人。兩座直沖云霄的大樓一下子化為烏有,五角大樓的修復工作至少在幾億美元之上,人才損失更是難以用數字估量。無論是對美國總統布什,還是對美國民眾或者對美國政壇人士來說,9月11日所遭遇的恐怖分子攻擊事件都是一次歷史性的震撼。在兩小時之內,造成美國本土遭遇數以千計的傷亡。甚至連白宮、總統的空軍一號座機、國防部大樓、金融財務中心的世界貿易大樓,都成了恐怖分子攻擊的目標。
這一事件也給交通運輸和旅游業造成嚴重損失。美國國內航班一天被劫持了四架,并造成巨大的人員傷亡和財產損失,確實是歷史罕見。事件發生后,布什立即采取適當行動,恢復政府、社會正常活動。為了顯示他不受恐怖威脅,9月11日晚上,雖然白宮仍有受到攻擊的威脅,他仍決定返回白宮,并在白宮向全國民眾發表講話,借此顯示:恐怖分子并不能阻斷美國行政中心的運作。
“美國9?11事件”的經濟影響不僅局限于事件本身的直接損失,更重要的是影響了人們的投資信心和消費信心,使美元等主要貨幣貶值、股市下跌,石油等戰略物資價格一度上漲,并實時從地域上波及歐洲及亞洲等主流金融市場,引起市場的過激反應,從而導致美國和世界其他國家經濟增長減慢。
點評:911事件后美國低下高昂的頭顱,和各國進行協商,和全世界人民一起反恐,得到各國人民的理解、同情和支持。所以,美國在9?11之后,得到的幾乎是一正一負的效果,一方面受到了打擊,經濟損失十分嚴重;另一方面又展開反恐行動,極大地改善了它的國際形象和國際地位。進入21世紀以來,美國在改變自己的世界形象當中做了一個很好的扭轉,可以說在得失方面打了個平手。
【案例】 安然的末日 一直以來,安然身上都籠罩著一層層的金色光環:作為世界最大的能源交易商,安然在2000年的總收入高達1010億美元,名列《財富》雜志“美國500強”的第七名;掌控著美國20%的電能和天然氣交易,是華爾街競相追捧的寵兒;安然股票是所有的證券評級機構都強力推薦的績優股,股價高達70多美元并且仍然呈上升之勢。直到破產前,公司營運業務覆蓋全球40個國家和地區,共有雇員2.1萬人,資產額高達620億美元;安然一直鼓吹自己是“全球領先企業”,業務包括能源批發與零售、寬帶、能源運輸以及金融交易,連續4年獲得“美國最具創新精神的公司”稱號,并與小布什政府關系密切??
1.安然的噩夢 2001年年初,一家有著良好聲譽的短期投資機構老板吉姆?切歐斯公開對安然的盈利模式表示了懷疑。他指出,雖然安然的業務看起來很輝煌,但實際上賺不到什么錢,也沒有人能夠說清安然是怎么賺錢的。據他分析,安然的盈利率在2000年為5%,到了2001年初就降到2%以下,對于投資者來說,投資回報率僅有7%左右。切歐斯還注意到有些文件涉及了安然背后的合伙公司,這些公司和安然有著說不清的幕后交易。作為安然的首席執行官,斯基林一直在拋出手中的安然股票——而他不斷宣稱安然的股票會從當時的70美元左右升至126美元。按照美國法律規定,公司董事會成員如果沒有離開董事會,就不能拋出手中持有的公司股票。也許正是這一點引發了人們對安然的懷疑,并開始真正追究安然的盈利情況和現金流向。到了8月中旬,人們對于安然的疑問越來越多,并最終導致了股價下跌。8月9日,安然股價已經從年初的80美元左右跌到了42美元。
10月16日,安然發表2001年第二季度財報,宣布公司虧損總計達到6.18億美元,即每股虧損1.11美元。同時首次透露因首席財務官安德魯?法斯托與合伙公司經營不當,公司股東資產縮水12億美元。
10月22日,美國證券交易委員會瞄上安然,要求公司主動提交某些交易的細節內容。并最終于10月31日開始對安然及其合伙公司進行正式調查。
11月1日,安然抵押了公司部分資產,獲得J.P摩根和所羅門史密斯巴尼的10億美元信貸額度擔保,但美林和標普公司仍然再次調低了對安然的評級。
11月8日,安然被迫承認做了假賬,虛報數字讓人瞠目結舌:自1997年以來,安然虛報盈利共計近6億美元。
11月9日,迪諾基公司宣布準備用80億美元收購安然,并承擔130億美元的債務。當天午盤安然股價下挫0.16美元。
11月28日,標準普爾將安然債務評級調低至“垃圾債券”級。
11月30日,安然股價跌至0.26美元,市值由峰值時的800億美元跌至2億美元。
12月2日,安然正式向破產法院申請破產保護,破產清單中所列資產高達498億美元,成為美國歷史上最大的破產企業。當天,安然還向法院提出訴訟,聲稱迪諾基中止對其合并不合規定,要求賠償。
2.安然模式的破產
首先遭到質疑的是安然公司的管理層,包括董事會、監事會和公司高級管理人員。他們面臨的指控包括疏于職守、虛報賬目、誤導投資人以及牟取私利等。在10月16日安然公布第二季度財報以前,安然公司的財務報告是所有投資者都樂于見到的。看看安然過去的財務報告:2000年第四季度,“公司天然氣業務翻升3倍,公司能源服務公司零售業務翻升5倍”;2001年第一季度,“季營收成長4倍,是連續21個盈余成長的財季”??在安然,衡量業務成長的單位不是百分比,而是倍數,這讓所有投資者都笑逐顏開。到了2001年第二季度,公司突然虧損了,而且虧損額還高達6.18億美元!
然后,一直隱藏在安然背后的合伙公司開始露出水面。經過調查,這些合伙公司大多被安然高層官員所控制,安然對外的巨額貸款經常被列入這些公司,而不出現在安然的資產負債表上。這樣,安然高達130億美元的巨額債務就不會為投資人所知,而安然的一些官員也從這些合伙公司中牟取私利。更讓投資者氣憤的是,顯然安然的高層對于公司運營中出現的問題非常了解,但長期以來熟視無睹甚至有意隱瞞。包括首席執行官斯基林在內的許多董事會成員一方面鼓吹股價還將繼續上升,一方面卻在秘密拋售公司股票。而公司的14名監事會成員有7名與安然關系特殊,要么正在與安然進行交易,要么供職于安然支持的非盈利機構,對安然的種種劣跡睜一只眼閉一只眼。
安然假賬問題也讓其審計公司安達信面臨著被訴訟的危險。位列世界第五的會計師事務所安達信作為安然公司財務報告的審計者,既沒審計出安然虛報利潤,也沒發現其巨額債務。今年6月,安達信曾因審計工作中出現欺詐行為被美國證券交易委員會罰了700萬美元。
點評:安然事件雖然是一個單純的經濟事件,卻在全球范圍內掀起了一陣狂波巨浪,所有的矛頭都指向了美國的經濟制度,撼動了美國為之驕傲的經濟體系。在9?11事件之后,美國政府主動出擊,對恐怖襲擊行為堅決進行打擊,無論從道義還是力量上來說都受到世界人民的支持。但是安然事件卻讓山姆大叔的顏面掃地,自己內部機制出現大窟窿,對世界造成了很壞的影響,受到人們的嚴厲指責,而補救還得靠自己。
但是,在美國的這兩大事件當中,美國人的危機公關,化被動為主動來解決危機的做法,是值得學習和討論的。
(二)安然事件帶來的結果
不管是企業還是社會,都在面臨著各種不確定性的風險,如果沒有對這種風險進行充分的認識,在前期階段加以防范和阻止,就有可能釀成大禍。從安然事件中我們可以看到以下幾點:
1.會計丑聞
現在的社會是經濟社會,經濟社會是一個市場進行資源優化和資源配置的過程。資源在優化配置、自由流動的過程當中,有個依據和指向,那就是會計信息。我們資源怎么去優化配置?通俗一點就是說,買股票的時候,買誰的,怎么去買?這些就要依靠會計信息所反映出來的內容。
會計信息是市場的一個指向標,一旦會計信息機制失靈,整個國民經濟就會混亂。安然的假賬事件讓外國投資者對美國投資回報的信心喪失,大量國際資金抽離美國,外國對美國的投資下降近60%,同時對中國的投資上升近15%。
2.安然事件對美國股市的影響 美國是世界上的經濟強國,在很多方面都實行霸權主義和強權主義,然而真正讓美國在全世界人民面前低下頭顱的是安然事件。安然事件反映的是整個會計信息機制和體系制度,特別是經濟基礎上的漏洞和缺失,對此美國必須進行反思。9?11讓美國的股市跌了近1000點,而安然事件之后,2002年美國股市連續下跌,遠遠突破了1000點。
薩班斯-奧克斯利法案
安然事件不只是安然公司的一個事件,而是由會計丑聞引發的對整個會計體系的質疑,這種質疑對美國的影響是巨大的。為了應對這種危機,解決由會計體系缺陷造成的惡劣影響,完善社會的經濟制度,當時美國有兩位議員提出一種議案,叫薩班斯—奧克斯利法案。這個法案從以下11個方面來管制以會計信息為主體的市場資源配置,以及與會計信息相關的權利、責任義務和法則等。
(1)上市公司會計監管委員會;(2)審計師的獨立性;(3)公司的職責;
(41)加強財務信息的披露;(5)分析員的利益沖突;
(6)證券監管委員會的資源與權限;(7)研究和報告;
(8)公司和徇私舞弊的責任;(9)加強對白領刑事犯罪的懲罰;(10)公司稅務申報表;
(11)公司的舞弊行為及應承擔的相應責任。
(一)薩班斯—奧克斯利法案的意義
經過安然公司的假賬事件對經濟社會的沖擊之后,美國出臺了專門針對會計制度的薩班斯—奧克斯利法案。這項法案主要解決了監管、中介機構和企業內部財務管理三個問題,從這項法案中我們也可以學到一些做企業的規則的道理。
1.法案解決的問題
以前人們總是認為美國的會計制度很完善,幾乎無懈可擊,但事實證明任何看似完善的制度都有可能遭受風險的襲擊,演變成對企業和社會的巨大危害。美國出臺的這項法案主要解決了以下三個問題: ?監管問題
在安然事件之前,美國經濟是自由主義式的發展,也就是民不告,官不理,當股民最后上當了,虧損了,最后發現了虛假的會計信息,才去找政府部門解決問題。美國的會計準則是由社會中介機構和社會團體公認形成的,沒有很大的強制性。與中國會計準則不同,中國會計準則是由中華人民共和財政部統一制定,具有強制性的法規特征。
安然事件發生后,美國意識到自治式的會計信息有極大的漏洞,所以必須加強管制,成立會計監管委員會,對企業的會計信息進行監管。?中介機構問題
美國的中介機構不獨立。安然在整個發展過程當中,它的品牌、業務和戰略都是沒有問題的,但是很多項目在具體管理和落實當中出現了一些問題。例如在印度投資的電廠暫時沒有盈利,但是股東又要分紅,又要和競爭對手、標桿企業進行比拼賽跑,于是找到安達信咨詢公司出謀劃策。
安達信幫助企業通過各種延伸產品,包括在自己的內部進行大量的交易產生利潤,也就是把錢從左口袋弄到右口袋。可是沒有現金流怎么辦?于是安達信又給安然設計一個方法,就是SPE實體。通過聯合投資的公司,進行銀行貸款,溝通項目的操作,讓現金返回到公司的母體,成為現金流,再用這種方式進行分紅。
作為中介機構,安達信對安然公司的賬進行檢查的時候,當然對自己做過的賬持肯定態度,向股民保證沒有問題。這樣的雙面角色導致了安達信這種中介機構失去了獨立性。所以在這項法案中對中介機構的業務行為專門做了限制性和規范性的規定,防止中介機構出現監守自盜的問題。
?企業內部財務管理的問題
安然事件之后全世界的企業對會計信息制度的重視上升到了一個前所未有的高度。首先,加強了高層人員的責任。公司的財務領導肩負著會計的重任,下面做好財務報表,子公司上交到母公司,母公司要合并報表,合并報表做完上報國資委,或者再報證監會、財政部等。如果報表中出現問題,發現公司有做假賬的行為,要追究的就是領導的責任。
但是我們實務操作過程當中,發現兩個很大的問題。企業出現了會計問題,如果老總被抓,公司的幾千員工怎么辦?還有,如果他被抓后拒不認罪,比如安然公司的老總被抓后就拒絕認罪,只是說愿意承擔責任。這個責任指的是他愿意承擔領導責任,沒有領導好做會計的屬下,會計部門的水平不高,所以才導致現在的后果。看似很有道理,這種說法其實是他把責任推到財務主管身上。所以調查安然事件的相關人員花了幾年的時間,用了幾千萬的巨額成本才讓那些高層領導人員伏法。
所以,在薩班斯—奧克斯利法案中,專門明確了公司出現財務問題后,總經理和財務總監應當共同承擔責任。
2.薩班斯—奧克斯利法案與內部控制的聯系
薩班斯—奧克斯利法案對企業的影響就是加強會計信息的權利區位,意思是公司必須設立審計委員會,審計委員會必須全部是獨立董事,專門負責對公司會計信息的管理。通過這樣的內部審查,提高公司的會計信息管理機制和層次體系,避免了企業老總個人左右財務信息的局面。
關于企業內部控制的發展在薩班斯—奧克斯利法案第402條款里面得到了一個體現,就是加強管理層對內部控制的評估。
【案例】
薩班斯—奧克斯利法案第404條: 管理層對公司內部控制的評估 該條規定中要求公司年報中包括一份“內部控制報告”,該報告應:
(1)明確指出公司管理層對建立和保持一套完整的與財務報告相關的內部控制系統和程序所負有的責任;并且包含管理層在財務年度期末對公司財務報告相關內部控制體系及程序的有效性評估。
(2)受委托的上市公司審計師應按照上市公司會計監管委員會對審核約定所發布或采用的準則就管理層關于內部控制的評估進行鑒證并提交報告。此類鑒證約定并不構成單獨的約定主體;
(3)SEC在提交的法案相關的報告中這樣解釋此條的立法目的:“委員會不希望審計師(對內部控制報告的)評估形成單獨一份約定或者因此而導致審計費用的增加。”指導SEC進一步要求上市公司披露其是否為高級財務官員制定職業操守規范以及該規范的內容;
(4)指導SEC修改其以8-K表格進行即時披露的相關規則,從而要求上市公司對任何職業操守規范的修改或廢止事項應立即進行披露。
點評:這項法案里面對內部控制的相關規定說明了兩層意思。第一,需要評估企業有沒有內部控制;第二,規定了企業內部控制要做到的程度。企業必須就這兩點向美國證監會有個明確的交代。
例如對企業內部現有的業務進行評估,要考察所有的業務是不是被囊括到企業現有的制度里面。沒囊括的業務有多少,比例有多大。在所有沒被囊括的比例之下,有多少業務已被執行,執行的效率有多高,比如執行了80%,還有20%沒有執行,在執行80%里面哪些能夠把問題解決,哪些不能把問題解決。企業必須拿出具體的數字進行詳細的說明。這就是以強制性的手段和手腕保證企業內部控制的執行,可見健全企業內部控制的必要性和緊迫性。
第二篇:企業風險內控和風險管理
一、風險內控基本知識和理念――3個“五”濃縮風險內控的核心內容 1、五大目標-合規、真實、效益、戰略、安全 2、五大原則-全面、重要、制衡、適應、成本 3、五大要素-環境、評估、管控、信息、監督
二、企業風險內控實施的必要條件及風險內控的局限性 1、順利實施企業內控的四項必要條件 1)組織保障 2)制度健全 3)執行效果 4)有效監督
2、風險內控的局限性
三、風險內控發展的三個階段 1、萌芽期--內部牽制
2、發展期--內部會計控制與內部管理控制 3、成熟期--風險內控結構和風險內控整體架構
四、風險內控與全面風險管理 1、法人治理結構
2、COSO企業風險內控基本框架 3、ERM2004全面風險管理
4、ISO31000風險管理原則和方針(國際標準)
五、我國企業的風險內控現狀及原因分析 1、我國內控現狀: 2、原因分析:
六、企業的內控之惑
1、量化之惑-缺少量化工具
2、流程之惑-標準化流程缺失(標準流程圖)3、違規之惑-有章不循 4、舞弊之惑-集體違規
5、報告之惑-理念誤導制度錯誤
6、動態之惑-風險處于動態變化之中,風險管理的有效性應當隨時驗證
七、管理者必備的三種風險控制利器
利器1:讀懂財務報表-管理者每天五分鐘閱讀財務報表,讓舞弊行為無處藏身 利器2:科學指揮-管理者管理過程中要求風險管理(財務)部提供必要的數據支持 利器3:鎖定重大風險-鎖定公司最重要的十大風險并確保對其控制的有效性
八、企業管理者風險內控的五招必殺技 第一招:風險轉移 第二招:風險規避 第三招:風險分散 第四招:風險對沖 第五招:風險承擔
九、企業風險內控的基本思路和流程 1、風險內控方案的制定 2、風險內控方案的執行 3、風險內控方案的評價 4、風險內控方案的改進
十、企業風險內控的10種方法
1、組織規劃法
2、授權批準法
3、全面預算法
4、會計控制法
5、財產保全法
6、人力資源法
7、風險防范法
8、內部報告法
9、管理信息系統挖控制法
10、內部審計控制法
十一、企業管理者在企業內控過程中應當處理好的幾個關系 1、處理好控與被控的關系
2、處理好風險內控與內部監督的關系
3、處理好風險內控制度與會計道德自律的關系 4、處理好風險內控效果與控制成本的關系 5、處理好風險內控層次與工作效率的關系
十二、世界500強風險管理經驗分享
聯合能源公司(ALLIANT ENERGY)是怎么做的 1、專業負責企業風險的團隊
2、風險和戰略副總裁是這個流程的執行負責人 3、自下而上的風險問卷調查
4、對風險取得全面了解并應用定量的評估 5、結果被編制成表格并進行優先排序 6、團隊將識別出20到25個關鍵風險,在副總裁或更高級別的管理層面上確定監督和風險應對措施的權責
7、建立月度、季度和報告機制
8、每次與董事會開會,我們都會審閱公司的風險域,特別關注新的風險和重大的變更 公司的戰略及風險副總裁每年與董事會就風險域大約進行8次討論 9、最重要的風險評估方法是面談
10、風險管理成為聯合能源決策工具的一部分
第三篇:突出風險防范嚴格內控管理
突出風險防范 嚴格內控管理
——會計主管在全
我于1990年參加農行工作,1992年起先后擔任分理處、營業部的主辦會計、會計主管。自工作以來特別是擔任基層網點會計主管以來,我憑著強烈的事業心、責任感和良好的敬業精神、嚴謹的工作作風,努力履行崗位職責,干好本職工作,在完成領導交辦工作任務的同時,所在單位的會計基礎管理水平穩步提高,實現無案件、無事故。2006年,我所在單位XX縣支行XX分理處被省分行授予會計基礎管理工作“三鐵”單位,我本人也多次受到省市縣行的表彰。
一、加強學習,重抓技能提高。近年來,通過上級行一系列的合規文化教育活動,我能不斷提高自身的思想道德水準,牢固確立 “立足本職,獻身農行”的思想信念,加深對敬業愛崗意識的理解,并自覺將規范操作融入工作之中。做好會計主管工作,沒有過硬的業務本領是不行的。特別是在新形勢下的會計監管,會計主管沒有過硬的業務知識是很難勝任的。新形勢下業務品種增多,網絡不斷擴大,智能犯罪增加,金融新產品發展迅速,給內控工作帶來了許多新的問題。要想做好內部管理工作,不僅要愛崗敬業,更重要的要有真才實學,掌握扎實的業務知識和理論功底,做到懂業務、精業務、能監管。工作學習中我注重實戰效果,對每一項新業務在柜面推廣前,對新業務進行充分的研究和實踐,在學深學透的基礎上對柜面人員進行輔導,使其盡快掌握操作要領和管理要求,并合理規避風險。目前我行營業部柜面開展的業務品種,我都較為熟悉,對柜員不懂不理解不會操作的問題,我都能實施有效指導和及時幫助,既保證了柜面服務不間斷不脫節,又能及時發現柜員在業務處理方面存在的問題并迅速糾正,從而不斷提高工作質量,確保一方平安。中間業務憑證管理不同ABIS憑證管理,相對而言復雜些,平時部分柜員接觸較少,實際工作遇到時,常常會束手無策,無法正常對外辦理業務。而營業部是全行對外服務的窗口,如因不懂不會而拒辦業務,勢必影響農行的社會形象。為此,我專門利用一個晚上進行業務學習輔導,從庫房中間業務票據調入---庫房中間業務票據調入在途轉正常---柜員領入中間業務票據---柜員領入在途中間業務票據,強調柜員嚴格規范處理中間業務票據的重要性,重申違規操作的危害性,使每位柜員都能熟悉此項工作,一旦崗位輪換,完全能熟練辦理該類業務。對待特殊性的業務,平時我能精業求精。近兩年,銀行承兌匯票貼現業務日益壯大,出票、貼現、承兌已成為農業銀行正常業務。然而,解除質押的銀行承兌匯票辦理委托收款的手續卻不是人人熟知的。許多同志都知道票據背書必須連續,但是中國人民銀行關于完善票據制度有關問題的通知中規定:票據質押應作成背書,主債務履行完畢,票據解除質押時,被背書人應以單純交付的方式將質押票據退還背書人。票據到期后,持票人按支付結算制度的有關規定行使票據權利。這表明此時的背書人:質押貸款行,無需背書蓋章。7月份,我們就遇到這樣的事。江蘇匯源集團在我行用銀票質押貸款300萬元,但很快就歸還了此筆貸款,票據到期時單位申請辦理了委托收款。但對方中興實業銀行南京分行玄武支行拒付,理由為背書不連續,票據質押行未作背書。我們據理力爭,并將有關文件傳真到對方行,最后對方行向我行賠理道歉并劃來此款。我們維護了本行客戶的權益,并得到了客戶對我們的信任和尊敬,通過這件事以后,銀企的關系更密切了。
二、加強教育,重抓思想規范。內控管理的重點是業務操作、核算質量、風險點、風險源等內容,但關鍵是管人,而管人就是管思想。業務處理是否按章辦事,是否操作規范,完全由人的思想決定,因此,做好內控監管,思想教育必須先行。在每次的業務學習會上,我都要進行合規經營宣傳教育,通過案例分析學習教育,宣傳“思想道德的防線越不得,規章制度的警戒線松不得,法律法規的高壓線觸不得”的思想,提倡“指示服從合規,信任不忘合規,習慣讓位合規”,提高員工規范操作意識,使員工自覺樹立合規經營理念,真正變“要我規范”為“我要規范”。
三、加強監管,重抓風險防范。實施會計主管委派制后,會計主管的職責發生了重要變化,其主要職責就是監管。客觀的講一線監管工作不可能面面俱到,實際工作中要嚴格區分風險隱患突出問題和規范化方面的一般性不足,我將主要精力集中在檢查事關風險隱患的環節上,采取靜態查賬和動態觀察、現場檢查與非現場核對相結合的監管方法,保證所在單位風險防范能力和會計核算質量穩步提高。日常工作中,我始終堅持把計算機系統進入、密碼管理、重要空白憑證管理、崗位制約、賬務核對等內容作為每次檢查監管的必查項目,把儲蓄掛失業務、聯行業務、大額資金進出等特殊業務作為內控的業務重點,要求后臺人員嚴把授權關、復核關,并對此實行連續性的有效監管。通過檢查,對柜員日常行為進行有效約束,使其強行入軌,規范業務行為。2006年交流到阜城分理處后,我能履行好財會監管的崗位職責,加大檢查監管力度,迅速摸清家底,理出風險點。針對按季計息利率執行、大額現金報備、網上銀行操作、款箱雙鎖、假日交接存在的問題逐一整改,在實施實時監管時,及時發現解決問題。通過全體同志的共同努力,2006年,該處被農總行授予三鐵單位。在日常檢查監管時,本著一崗多職的要求,注意增加監管工作內容。經常了解柜面人員的思想動態和家庭狀況等情況,不斷擴大監管覆蓋面。對極少數外交頻繁、參與經商、家庭不和等人員,做到心中有數,特別加以關注。對其經辦的業務,實時監督,嚴格控制,嚴加管理,在人員許可的情況下,還取消其系統操作權限,實施短期強制休假,防患于未然。與此同時,堅持每日監控錄像回放制度,消滅不合規操作。監控錄像既是實時錄入柜員辦理業務情況的工具,更是事后監管柜員操作的有效武器。俗話說口說無憑,錄像使口說無憑變得有案可稽。柜員操作是否合規,回放錄像就一目了然。我經常性地組織柜員通過回放錄像進行操作點評,從中發現問題找出癥結并加以解決。通過調閱柜員上下班錄像,就可以清楚地知道:平時事后復核人員在現金軋把核對、重要憑證核對上是否正常,主管授權有無遮掩,現金箱雙鎖管理是否正常。通過錄像回放,可以發現中午營業期間安全保衛是否符合要求,中午柜員相互授權時有無自授權現象,現金存取款時授權人有無清點大數,柜員有無違反優質文明服務要求和客戶發生糾紛等,及時發現問題,適時解決問題,切實防患于未然。在日常監管時,我始終堅持每日審查核對余額日計表,從不間斷。會計主管事多,營業部會計主管事更多。客觀上,我不可能將每天的傳票都看一遍,但每天通過審查上日余額日計表,從中看出業務正常與否,有無異常科目,是完全有可能的,也是完全有必要的。剛到阜城分理處時,我第一次審查日計表就發現,小額支付應付結算款項66612科目掛賬2000元。我便查看上日未處理來賬,顯示沒有符合的記錄。于是我將當月的日計表拿出來查找,結果發現,早在10天前就已經掛賬,于是當即就進行了有關的賬務處理。我十分重視每日審查余額日計表工作,是因為我深深地感受到開展此項工作給我日常監管帶來的好處。2006年3月,營業部正常提留應付息。第二天,我象往日一樣審查日計表,這一看不要緊,可嚇了我一大跳,應付息收入和利息支出收付發生額高達千萬,我立即意識到不好了,錯賬了。我趕緊找出傳票,原來是金額大小數,柜員多輸了兩個0,主管也多看了兩個0,彼此彼此!下班后我找當事人談話,進行了嚴厲地批評,并每人罰款200元。
四、加強督查,重抓整改提高。防范化解金融風險,確保金融平安一方,就必須用科學的監管方法,做到既要敢抓,又要會管。敢抓就是要嚴格執法,無私敢管,在作風上一身正氣,在方法上客觀公正;會管就是在查處中既堅持制度,也實行經濟處罰。每一次檢查,我都要開出整改通知書,對存在問題較多的員工,在員工會議上適時通報,講清問題的來龍去脈,分析存在問題原因及可能引發的后果,提出整改建議和要求,同時還按年初制定的考核辦法考核兌現,對照計分辦法進行計分。對執行制度起色不大的人員,經常性地跟蹤,重點幫扶,確保所在單位不再出現同類問題。
在會計主管工作崗位上,我雖履行了應盡的責任,發揮了應有的作用,取得了一點點成績,但與領導的要求比,與員工的期盼,與先進的同志比,還存有一定差距。今后工作中,我將繼續努力學習,不斷提高自己的政治業務素質和管理水平,以做好風險防范和內部監管為己任,以踏實的工作作風和嚴謹的工作態度,強化內控管理,嚴格風險防范,為全行的加快有效發展爭作新的貢獻。
第四篇:內控-重大風險和突發事件應急管理
企業內部控制—重大風險和突發事件應急管理
一、業務目標
1.防范、控制和化解公司在復雜多變的經營環境中的重大風險和突發事件。
2.加強公司對重大風險和突發事件的管理,有效預防和及時處理重大風險和突發事件,提高公司保障生產安全、處置突發事件的能力。
3.降低重大風險和突發事件對公司財產、資金損失。
4.預警與應急處理機制,符合國家相關法律法規和公司規章制度。
二、業務風險
1.重大風險和突發事件的發生嚴重影響公司戰略的執行與實現。2.重大風險和突發事件影響公司正常經營活動。
3.重大風險和突發事件造成重大人員、財產損失。
4.違反國家相關法律、法規和公司內控制度,可能遭受外部經濟處罰,造成公司經濟損失和信譽損失,影響公司社會形象。
三、業務范圍
本業務流程主要描述公司應對重大風險和突發事件的業務流程。
重大風險和突發事件是指與公司生產經營相關的、突然發生的,可能造成公司的正常經營受到影響甚至無法繼續經營的自然災害、重大意外事故,導致公司財產、人員以及投資者利益受到嚴重損失,產生區域性或全國性社會影響,可能導致或轉化為嚴重影響證券市場穩定,從而需要采取應急處置措施的事件。
四、業務流程步驟及控制點 1.重大風險和突發事件分級
1.1.特別嚴重事件:公司全面爆發風險,涉及范圍廣泛,無法繼續經營,導致公司財產、人員遭受嚴重損失,造成區域性甚至全國性的重大影響;
1.2.嚴重事件:公司爆發大規模風險,涉及范圍廣泛,無法正常經營,導致公司財產遭受較大損失。
1.3.較重事件:公司發生重大突發風險,正常經營受到影響,公司財產遭受一定程度的損失,有可能導致或轉化為嚴重影響證券市場穩定的重大突發事件; 1.4.一般事件:公司發生突發風險,正常經營受到一定影響,可能導致公司財產、人員遭受損失。
2.重大和突發事件機構設置與職責
2.1.公司應結合實際情況,依法、科學、合理建立健全公司重大風險和突發事件工作責任制和管理制度,建立安全員管理制度和獎懲制度,及時化解潛在風險,防患于未然。
2.2.成立重大和突發事件應急處置工作小組,由總經理和各部門經理組成,總經理任組長,對公司重大和突發事件負全責。負責領導、檢查、監督、處理公司重大風險和突發事件的管理及處置工作,公司人行經理任副組長,在總經理指導下,負責組織公司重大風險和突發事件的具體管理,并向總經理報告工作。
2.2.1.應急處置工作小組及辦公室主要職責包括:
(1)擬定突發事件應急管理方案并組織指揮處理重大風險和突發事件及其善后的各項工作的實施;
(2)決定啟動和終止重大風險和突發事件處理系統;
(3)與總部保持通訊聯系,與外部政府相關管理部門保持工作銜接;(4)收集、整理、分析突發事件相關信息資料及發生的原因;(5)協調和處理重大風險和突發事件處置過程中對外宣傳報道工作;(6)及時趕赴事發現場,組織對事故現場的管理,并向公司管理層和地方政府相關部門報告突發事件基本情況,不能瞞報、遲報和謊報情況。作好后勤保障,穩定現場情況,避免事態擴大;
(7)定期或及時評估重大風險;
(8)調查分析事故原因,編寫事故報告,提出對相關責任人的處理建議,報公司管理層審議;
(9)其他相關工作。
2.3.公司應正確處理發展與穩定的關系,加強風險防范,管理層應認真履行相關職責。
3.重大風險和突發事件處置原則 公司對重大風險和突發事件的處置以“預防為主、常備不懈、預防與應急相結合”為原則,實行統一領導、統一組織、分類管理、分級負責、居安思危、快速反應、措施果斷、協同配合,做到切實可行、積極應對。
4.預警、應急及事后處理
4.1.應急處置工作小組、公司各部門對日常工作中發現的有可能導致或轉化為重大風險和突發事件的各類風險信息及時開展跟蹤、分析、監測及評估,加強信息報告和預警。
4.2.重大風險和突發事件發生后,公司所屬各部門負責人,應在第一時間向應急處置工作小組成員進行匯報并在第一線了解跟蹤事件發生和變化的全過程,及時向公司應急處置工作小組報告事件信息,并提供專業分析意見,采取有效的應急措施,防止事態發展,最大限度地減少損失和影響程度。
4.3.應急處置工作小組應當迅速做出應急反應,研究并提出處置方案和建議,按照政府有關部門和證券監管部門的決策,具體組織實施各項應急措施,并結合實際情況進行處置,完善應急手段和措施。
4.4.重大風險和突發事件發生后,公司應急處置工作小組根據要求和重要性,統一對外發布信息,未經核實和授權,任何人不得隨意對外透露相關信息。重大風險和突發事件處理完畢后,公司應嚴格遵照相關規定,及時公平地向所有投資者披露公司的重大突發事件,有針對性的提供公司相關內容及情況,批駁謠言,報告真相。在投資者中樹立公平、誠信的公司形象,切實保護投資者的合法權益。
4.5.重大風險和突發事件發生后,公司在應急處置工作小組的統一指揮下,按國家的有關部門和證券監管部門規定和要求,及時開展處置工作;在處置過程中,公司應對可能產生的連鎖事件作出評估,采取相應措施。
4.6.公司應對本制度規定的特別嚴重事件、嚴重事件、較重事件類重大風險和突發事件予以高度關注。事件涉及的部門和單位應在上述突發事件發生30分鐘內,將事件情況、已采取的措施、聯絡人及聯系方式等報告至應急處置工作小組,由應急處置工作小組再上報相關部門。事件涉及的公司部門應在上述突發事件發生的3小時內將詳細情況書面報告至應急處置工作小組,應急處置工作小組在接到書面報告后,及時向相關部門遞交該書面報告。4.7.發生本制度一般事件類重大風險和突發事件時,應急處置工作小組應及時整理書面資料報總部。
4.8.對于重大突發事件中的傷亡人員、應急處置工作人員,以及緊急調集、征用有關單位及個人的物資,應急處置工作小組應當按照規定給予撫恤、補助、補償或相關援助;協調有關部門做好疫病防治、環境污染消除工作以及保險理賠工作。
4.9.重大風險和突發事件發生后,公司領導應立即取消出差、休假等,主要負責人應迅速返回工作崗位,按照職責立即開展工作,研究事件發生的原因、趨勢和可能出現的后果并提出解決事件的建議,采取相應措施。
4.10.重大風險和突發事件結束后,公司及各部門應及時總結該事件處置過程中的經驗教訓,評估應急預案的實施效果,形成書面報告,并對應急預案進行修改和完善。
4.11.對重大風險和突發事件處理進行責任分解,并納入公司績效考核體系。依據相關規定對相關責任人進行批評、處罰,后果嚴重的還要給予黨紀、政紀及司法程序方面的處置。
4.12.公司應當建立重大風險和事故舉報制度,公布統一的舉報電話和郵箱地址。
4.13.建立重大風險和事故獎懲制度。5.重大風險和突發事件包括
5.1.違反國家相關法律、法規對公司造成重大社會影響,導致巨額索賠,致使公司遭受經濟損失,投資者利益遭受損害。
5.2.因公司產品質量或環境衛生出現問題,導致群體性中毒事件發生,造成企業形象受到嚴重損害。
5.3.公司網絡遭受黑客攻擊和計算機發生病毒,造成公司信息不暢,導致業務中斷、客戶流失。
5.4.公司出現資不抵債的情況,償債能力突然惡化,嚴重影響公司經營。5.5.公司內部關系惡化,出現集體上訪事件,社會影響惡劣。
5.6.公司管理層突然辭職,主要負責人失蹤或被司法機關采取強制措施。5.7.公司發生重大安全事故,重大資產流失。5.8.公司信息披露出現重大遺漏,造成股價出現異常波動,引發媒體報導。5.9.其他重大風險和突發事件。6.應急保證
6.1.應急處置工作小組根據處置需要,召集參與處置人員開展工作,被召集的人員應服從應急處置工作小組的指揮。
6.2.公司在重大風險和突發事件處置過程中,應保證24小時專人值班,保持通訊的暢通;同時做好交易、登記、結算、通訊系統的各項準備工作,建立備份系統,并定期檢查,保證設備安全、可用。同時,要及時對技術系統進行全面升級和完善,提高系統應對突發事件的能力。
6.3.公司對相關工作人員定期進行基本知識培訓,開展經常性的法律、法規及預防、預警、避險、避災常識等宣傳教育活動和活動有效性的測試。
7.編制突發事件專題調查處理報告,報告內容包括: 7.1.事件發生時間、性質和影響范圍; 7.2.對公司可能造成的損失或影響程度; 7.3.已經采取的控制措施;
7.4.對引發事件原因的分析。要求客觀準確,實事求是。7.5.下一步采取的防范措施。7.6.對相關責任人進行處理的建議。
7.7.事故報告應分別報公司經營管理層、當地政府相關部門。8.事件調查的信息披露應按照上市公司相關規定執行。
五、相關制度目錄
《中華人民共和國突發事件應對法》 《中華人民共和國公司法》 《中華人民共和國證券法》 《上市公司內部控制指引》
六、主要控制點
1.重大和突發事件機構設置與職責 2.重大風險和突發事件處置原則
3.預警、應急及事后處理,事后報告分析及整改,以及應急保障措施等。
七、相關檢查資料
應急領導小組名單及職責權限、應急事件的舉報信、重大和突發事件的處理程序及保障措施制度、重大突發事件的分析報告及處理措施以及事后整改報告等。
第五篇:NC內控與風險管理解決方案2011(范文)
全面管理風險
提升企業績效
為企業發展保駕護航
用友NC集團全面風險管理解決方案
用友軟件股份有限公司
[在此處鍵入文檔的摘要。摘要通常是對文檔內容的簡短總結。在此處鍵入文檔的摘要。摘要通常是對文檔內容的簡短總結。]
目錄 走向世界的中國企業面臨巨大風險...............................................................................4 1.1 1.2 1.3 1.4 2 案例一:中國鐵路建設沙特項目巨虧41.53億元.................................................4 案例二:受累湯姆遜清算,TCL集團遭遇2.11億元索賠....................................4 案例三:諾西收購摩托羅拉受阻,華為訴訟初步勝利........................................5 權威機構針對企業風險管理的調查分析................................................................5
實施全面風險與內控管理的困惑...................................................................................5 2.1 2.2 2.3 2.4 2.5 缺乏全面風險與內控管理運作體系........................................................................5 全面風險和內部控制的管理流程難以長期堅持....................................................6 全面風險管理與內部控制管理分離獨自運作........................................................6 風險控制評價工作量巨大,管理成本高企............................................................6 風險管理和內控管理報告輸出困難........................................................................6 企業全面風險和內控體系建設思路...............................................................................6 3.1 3.2 3.3 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 路徑一:先風險后內控............................................................................................7 路徑二:先內控后風險............................................................................................7 標準的風險內控體系建設步驟................................................................................7 機構設立和計劃階段............................................................................................8 辨識風險/記錄風險內部控制缺陷階段...............................................................8 設計缺陷整改/健全內部控制階段.......................................................................9 監督風險/內控措施有效執行階段.....................................................................10 董事會報告及披露階段......................................................................................11 5 企業全面風險/內控管理對信息化系統的要求............................................................11 用友NC全面風險與內控管理解決方案......................................................................13 5.1 5.2 5.2.1 5.2.2 5.2.3 5.2.4 本解決方案的應用架構..........................................................................................13 實現集團級風險管理的全流程管理平臺..............................................................15 風險管理系統流程..............................................................................................15 實現多級風險信息收集管理..............................................................................15 支持多種評估標準和模型管理..........................................................................17 實現風險指標監控、自動預警..........................................................................19 5.2.5 5.2.6 5.2.7 5.3 5.3.1 5.3.2 5.3.3 5.4 5.4.1 5.4.2 5.5 5.5.1 5.5.2 6 實現風險應對管理..............................................................................................20 記錄風險控制的評價與改進..............................................................................21 實現風險控制的監督與報告..............................................................................22 實現COSO全面風險綜合架構,與內控體系整合...............................................23 通過風險應對方案建立與內控體系的聯系......................................................23 通過內控系統完成與業務系統運作管理的結合..............................................25 通過內控審計評測,驗證風險管理方案的有效性..........................................26 實現對業務系統的自動監控..................................................................................28 構建IT系統安全控制監控平臺.........................................................................28 實現對業務系統關鍵流程的自動檢測..............................................................30 建立集團級高性能、柔性開放平臺......................................................................31 構建系統整合平臺,風險信息門戶..................................................................31 高效率、個性化柔性擴展開發平臺..................................................................33
解決方案的價值.............................................................................................................34 6.1.1 6.1.2 6.1.3 實現全面風險與內控管理,提高企業競爭能力..............................................35 快速遵從財政部、國資委相關管理條文要求..................................................35 快速遵從SOX法規要求.....................................................................................35 走向世界的中國企業面臨巨大風險
1.1 案例一:中國鐵路建設沙特項目巨虧41.53億元
10月25日,中國鐵建公告稱其承建的沙特輕軌項目因實際工程數量比簽約時預計工程量大幅增加等原因,預計將虧損人民幣41.53億元。由此引發中國鐵建股價劇烈波動,跌幅超過10%。
中國鐵建2011年1月21日發布公告稱,為妥善處理沙特麥加輕軌項目索賠事宜,上市公司中國鐵建與其控股股東中國鐵建總公司(國有企業)簽署協議,后者向中國鐵建支付20.77億元對價,接手沙特麥加輕軌項目的未完工工程。由此,通過母公司承擔損失的方式,中國鐵建順利保證財務賬面上的盈利。
此事件凸顯公司在海外工程項目的管理短板。
1.2 案例二:受累湯姆遜清算,TCL集團遭遇2.11億元索賠
本該是“好事”,可終究釀出了“苦果”。TCL集團并購法國湯姆遜公司后不但業績遭遇連連虧損,事端頻發,如今受累法國湯姆遜公司清算,再次陷入財務壓力困境。
2011年3月14日,TCL集團在停牌一天后公告稱,法國南特商業法庭于3月10日對TTE歐洲公司重組訴訟案的第一令訴訟作出初審判決,要求TCL集團、TCL多媒體及其4家全資子公司向TTE歐洲之法定清盤人賠償2310萬歐元(約2.11億元),目前TCL多媒體已于2010財務報表中對TTE訴訟計提預計負債1000萬歐元。
實際去年就已經傳出這個消息,TCL也立刻引起警覺,謀劃對策。然而還是終究難逃與湯姆遜合資成立的TTE歐洲公司的清算悲劇的波及。
格力空調副總裁黃輝表示:“格力這兩年在巴西銷量超過5000萬臺,中國企業在國外并購充滿陷阱,一不小心就會翻身,并購涉及文化融合、法規等無法協調。逐步收購是格力的戰略。” 1.3 案例三:諾西收購摩托羅拉受阻,華為訴訟初步勝利
在美國市場備受阻撓的中國最大電信設備供應商華為,終于贏得了一次階段性的勝利。華為公司2011年2月23日晚間發表聲明,稱美國伊利諾伊州北區法院就華為起訴摩托羅拉公司和諾基亞西門子公司(以下稱諾西公司)一案,正式做出裁決,頒發了初步禁止令。
該初步禁止令除了2011年1月14日法院發出的臨時禁止令中要求摩托羅拉禁止向諾西轉移華為的保密信息外,還增加了要求摩托羅拉聘請獨立第三方進行華為保密信息的安全刪除檢查,及允許華為對諾西維護摩托羅拉設備的服務記錄進行審計等要求。
而我們也注意到,美國議員在2010年10月底要求聯邦通信委員會(FCC)重審自華為和中興訂購網絡設備可能的“安全”風險。這意味著華為在美國的各種官司將長期糾結,為此,華為公司也預備計提5億美金的訴訟費用。
1.4 權威機構針對企業風險管理的調查分析
德勤發布2011年《中國企業風險管理白皮書》。上榜企業共25家。調研結果顯示,中國企業在未來三年將面臨宏觀經濟、競爭和人才短缺三大風險。超過半數的受訪企業稱已經建立應對重大風險的基本流程,但仍需要進一步完善。只有10%的企業認為其風險應對流程非常完善。還有10%的企業表示,一旦發生重大或危急的風險事件,自己能在第一時間有效管理。超過50%的企業對大部分重大風險都能實時采取適當的響應措施。接近30%的企業只針對部分重要流程建立了監督與報告程序。實施全面風險與內控管理的困惑
2.1 缺乏全面風險與內控管理運作體系
企業缺少如何建立全面風險管理和內部控制體系的思路、方法論。或者缺乏專門的組織、工作流程和與之配套的績效考核制度。2.2 全面風險和內部控制的管理流程難以長期堅持
全面風險和內部控制由于涉及企業的方方面面,可以說是全員參與,因此程序繁雜,涉及面廣,大量手工工作致使管理成本增加,難以長期堅持。
2.3 全面風險管理與內部控制管理分離獨自運作
體現在企業中經常把全面風險管理與內部控制管理進行分離,兩套組織班子,兩套工作流程。同時,這兩個工作與實際的業務系統大多也是獨立部署運作,僅僅局限在個別財務數據的提取分析,完全無法實現對業務過程的真正監控。
2.4 風險控制評價工作量巨大,管理成本高企
由于一個重大風險的應對措施,往往涉及多個業務流程、多個控制點和多個業務系統、多部門協同運作,因此控制評價往往需要采集多個環節的大量樣本進行測試,然后進行綜合評價,依賴于控制評價人員的測試方案設計能力、職業判斷能力等等,工作量非常巨大,造成這部分的管理成本上升。同時為了滿足控制評價的需要,業務部門也需要按照測試評價的要求保留各種資料文件,也造成相應的辦公成本增加。
2.5 風險管理和內控管理報告輸出困難
目前,中央到地方國資委,各地政府分管上市工作的部門,以及證交所、證監會等多家機構,都要求企業建立健全全面風險和內部控制管理體系,并能按時按要求提供相應的內部和外部審計報告,同時要求按照各自的樣板格式內容進行提報,造成相關企業的管理人員必須 企業全面風險和內控體系建設思路
根據COSO委員會在1992年公布的《內部控制—綜合框架》(也稱“COSO內部控制框架”),以及2004年提出內部控制向全面風險管理轉變,出臺了《全面風險管理—綜合框架》。
由此可見,風險管理和內控管理實際上是不同發展階段的產物。但是由于中國國資委和財政部等機構發布相關政策所引用的框架基礎不同,名稱不同,導致企業要同時滿足兩個標準要求,也引發國內企業出現了分離兩者,分別建設、兩套班子等現象。所以,不同的企業也根據自身的條件提出了不同的建設路徑,主要為以下兩種:
3.1 路徑一:先風險后內控
此類企業多屬于國資委下屬國企,在《中央企業全面風險管理指引》文件的要求和指導下,首先在集團內部建立全面風險管理體系,然后針對選擇的重大風險進行內控建設。這種建設路徑相對成本較低,但是容易受到主觀判斷導致部分重要的內控領域被忽略,而提高突發重大風險發生的可能性。
3.2 路徑二:先內控后風險
此類企業通常多屬于上市公司,或者已經在海外上市,基于薩班斯法案要求,或者國內財政部發布的《企業內部控制基本規范》要求,首先在集團內部建立比較完善的內控體系,然后根據國資委監管的要求,拓展風險信息搜集和目標設定的管理環節。這種建設路徑相對體系化比較好,更能覆蓋企業管理的方方面面,效益比較明顯。
3.3 標準的風險內控體系建設步驟
實際上企業全面風險的建設過程應該涵蓋內部控制管理的同步建設,建議企業一套班子、一套流程、一套制度統籌考慮一體化建設。因此本方案提供一個標準的體系建設步驟: 3.3.1 機構設立和計劃階段
A.主要步驟
a)成立專門職能部門(檢查監督部門),定義監督檢查部門職責分工; b)確定項目計劃以建立/完善公司的內部控制; c)梳理現有內部管理政策/制度,明確權責分配; d)制定可持續發展的人力資源政策; e)進行針對性培訓;
f)將內控項目計劃承交董事會審閱。B.關鍵事項
a)管理層委任項目領導及項目小組;
b)高層重視并直接參與非常重要;管理層事先將內控項目計劃向董事會匯報符合財政部內控基本規范中有關控制環境的精神:以董事會為內控制度之完整合理、實施有效之責任主體;
c)制定分批/分對象因材施教的培訓計劃,增進全員意識。分批/分對象地實施培訓。
C.工作成果
a)制定項目小組制度,以及專門委派的職能部門或項目小組定義項目職責分工; b)制定項目實施具體計劃; c)制定分批/分對象的培訓計劃; d)制作培訓材料;
e)分批/分對象地實施培訓。
3.3.2 辨識風險/記錄風險內部控制缺陷階段
A.主要步驟
a)設計風險評估標準,基于集團風險調查問卷匯總開展風險評估; b)設定風險容忍程度,確認重大風險及其相關認定及流程;
c)使用內控自我評估問卷辨識與記錄工作范圍內的企業層面和流程層面的內部控制活動;
d)記錄各業務流程中發現的內部控制設計缺陷,匯總并提出整改方案。B.關鍵事項
a)以風險評估為基礎,有側重點地選擇哪些下屬部門/公司的、哪些業務環節需要進行內控建立健全的工作;
b)根據最佳實踐和監管機構要求,設計內控自我評估問卷,并以此作為起點,逐步調整,建立適合公司的內部控制制度;
c)公司各級人員回答的問卷將為公司的工作提供富有效率的證據基礎,而且也體現了內控全員參與的精神;
d)對在建立健全內控過程中發現的控制缺陷提出內控設計整改方案和時間表是非常關鍵的,這將為管理層增加長期價值,并非只是為了符合監管要求,而是為公司規范運作和長遠發展打下更好的基礎。
C.工作成果
a)風險評估標準;
b)確認項目范圍和流程的風險評估工作表,風險地圖;
c)內部控制手冊(不兼容職責表,控制矩陣,流程圖,流程匯編); d)控制效果的穿行測試;
e)控制缺陷報告和相應的整改方案建議。
3.3.3 設計缺陷整改/健全內部控制階段
A.主要步驟
a)根據整改方案糾正內部控制設計缺陷;
b)按照法律法規,部門規章及證券交易所上市規則的規定制定/完善內部控制制度;
c)更新內部控制的記錄文件。B.關鍵事項
a)對監督過程中發現的內部控制缺陷,提出整改方案,采取適當形式向董事會,監事會或者經理層報告; b)跟蹤監控內控運行整改方案的實施情況,不僅是合規的要求,也是提升公司執行力的關鍵。
C.工作成果
a)控制缺陷報告和相應的整改方案建議。
3.3.4 監督風險/內控措施有效執行階段
A.主要步驟
a)制定風險內控監督制度,規范其程序,方法和要求; b)開展風險內部控制自我評價,出具內部控制自我評價報告; c)跟蹤風險內部控制運行缺并及時改進。B.關鍵事項
a)應根據風險評估的結果,制定內控監督檢查辦法和內控自評和檢查計劃,使有限的資源被有側重地運用到高風險的領域;
b)抽檢管理層的內控自我評估問卷,通過檢查和必要的抽樣測試等手段確認內控自我評估問卷是否準確填寫,并向總裁辦公會及董事會報告測試結果。管理層內控自我評估加上檢查監督部門循環抽查符合《指引》中內控框架下“檢查監督”層面的精神;
c)跟蹤監控內控運行整改方案的實施情況,不僅是合規的要求,也是提升公司執行力的關鍵;
d)監管要求指出,檢查監督部門的工作資料,包括底稿和報告等需要保存十年。C.工作成果
a)在風險評估的基礎上,制定風險內控監督檢查辦法和內控檢查計劃; b)設計開展內控自我評價和抽樣評審的標準和工具,包括:風險內控自評的問卷,抽樣測試的程序、方法和具體工作底稿; c)風險內控監督檢查報告。3.3.5 董事會報告及披露階段
A.主要步驟
a)董事會/審計委員會審核《內部控制檢查監督工作報告》;并以此為基礎制作《內部控制自我評估報告》形成董事會決議;
b)披露《內部控制自我評估報告》以及會計師事務所對該報告出具的核實評價意見;
c)以內控自我評估報告為基礎,結合國資委風險管理報告模板框架,披露《風險管理報告》。
B.關鍵事項
a)董事會是公司內控制度之完整合理、實施有效之責任主體;
b)董事會應當根據監管機構將要出臺的董事會議事規則以及其它相關法規的要求,采取適當的步驟和取得充分的資料,來支持其對公司內控有效性的決議,這些資料既應包括檢查監督部門遞交的《內部控制檢查監督工作報告》;也應包括管理層提交的其他支持性文件,包括管理層的內控自我評估問卷等;
C.工作成果
a)根據上交所將要出臺的董事會議事規則以及其它相關法規的要求,制定董事會內部控制檢查監督清單(Checklist);
b)制定董事會內部控制資料檢查制度,制度中規定董事會應采取的適當步驟,來支持其對公司內控的決議或有重大內部控制缺陷時的披露程序; c)擬定《內部控制自我評估報告》、《全面風險管理報告》或者其他的披露文件。企業全面風險/內控管理對信息化系統的要求
在企業建立了全面風險管理和內部控制體系的基礎上,企業對信息化系統的要求可以概述為以下幾點:
A.建立適應集團企業全員應用的、集中部署的風險管理工作平臺; a)完成風險管理的業務流程:包括從風險組織和管理標準設立、風險信息搜集、風險評估、風險應對、風險控制、風險評價與改進、風險監督與報告;
b)滿足集團多層級、多部門的風險管理審批、評估等工作中全員參與、流程流轉、信息互通的要求;
c)滿足各類風險評估、應對、監督和評價信息的共計、匯總分析,支持各類外部監管機構的報告輸出要求。
B.能夠將全面風險管理與內部控制體系無縫集成;
a)達到風險管理與內部控制體系的集成應用,實現一套班子、一套體系、一套流程的統一管理;
b)通過風險管理的應對方案,實現通過內部控制體系實現風險控制的目的;
c)風險控制點可以直接控制業務系統的運作; d)實現業務系統數據自動支持風險預警、風險識別。C.實現風險控制節點監督的自動檢測;
a)通過內控體系實現對業務系統風險控制點的自動監控,降低風險監督人工成本;
b)實現對現有各類業務系統安全控制的監察,防止由于系統安全策略和漏洞造成系統應用風險。
D.建立風險管理知識庫,完善相應的績效考核和保障機制
a)構建集團統一的風險管理知識平臺,加強風險管理意識普及; b)設計風險指標,并根據控制效果評價影響相關部門人員的績效考核。E.滿足大用戶量大并發的效率要求,支持后續應用變化引起的系統整合、個性化開發應用需求 5 用友NC全面風險與內控管理解決方案
5.1 本解決方案的應用架構
用友全面風險管理與內控架構公司治理層風險信息搜集風險評估管理風險應對管理風險監督與改進風險控制評價內控體系管理內控手冊管理IT控制監控報告內控審計管理風險管理報告戰略管理層企業績效管理全面預算與計劃管理集團報表與合并管理組織與策略管理業務經營層集團客戶關系管理集團財務管理集團供應鏈管理集團人力資源管理電子商務應用集團資產管理行業特殊應用集團知識文化管理基礎平臺層身份與權限管理動態會計平臺辦公協同與門戶流程管理平臺集成應用平臺預警平臺二次開發平臺商務智能平臺NC全面風險/內控管理體系架構圖
廣義的NC全面風險與內控管理解決方案由依托于UAP平臺包括業務經營層、戰略管理層和公司治理層三部分,而狹義的全面風險與內控管理方案則專指公司治理層。其中,全面風險管理的業務運作可以用下圖標示:
風險組織風險知識庫風險分類風險問卷風險評估標準風險評估模型流程管理報告模板風險指標設置風險預警設置基礎設置業務處理風險信息搜集突發重大風險風險評估風險應對管理重大風險應對風險執行跟蹤跟蹤改進報告風險預警分析與報告風險分布熱圖風險事件查詢風險自檢查詢風險自評報告13
全面風險管理系統架構圖
? 基礎設置層:本層是整個風險管理信息系統的平臺基礎,包括風險管理組織設置、風險分類與信息、風險知識庫、風險預警設置、風險評估標準與模型、風險問卷管理等。構建整個風險管理的基礎環境。
? 業務處理層:本層是整個風險管理信息系統的核心業務處理部分。包括從風險信息搜集、風險識別與評估、風險預警和應對管理、風險應對執行與監督管理。實現集團多層級的協同風險管理作業,建立相關的標準流程和信息共享。
? 分析與報告層:本層處理是風險信息查詢分析和風險管理報告披露的部分。包括風險管理報告管理、風險熱圖和矩陣分析等。5.2 實現集團級風險管理的全流程管理平臺 5.2.1 風險管理系統流程
全面風險管理集團設定風險識別周期制定風險識別問卷模板公司調整風險識別信息提交審核部門問卷提交公司部門下發風險識別問卷到公司下發風險識別問卷到部門風險識別提交部門內部審核風險收集與管理公司內部審核審批上報風險評估模板風險發生可能性評估標準風險影響程度評估標準風險評估分值設置公司評估結果確認規則固有風險評估上報評估結果審核提交風險分析與評價集團進行固有風險評估審批確認重大風險風險應對方案制定應對方案剩余風險評估全面風險管理系統流程
5.2.2 實現多級風險信息收集管理
? 支持集團全面風險管理問卷的設計、下發與信息上報管理。? 支持重大風險事件的上報管理。
【風險調查問卷下發】
【重大風險事件上報】
5.2.3 支持多種評估標準和模型管理
? 支持集團多層級、多部門風險評估運作機制; ? 支持風險評估標準與模型建立; ? 支持評估結果自動選取標準。
【風險評估流程圖】
【評估結果生成規則】
【固定風險評估】
5.2.4 實現風險指標監控、自動預警
? 針對風險成因,設置相應的參照指標,可以是定性指標,可以是定量指標。其中定量指標可以設置報警區間,一旦滿足預警條件,系統自動發送相關信息給指定人;
【風險指標設置】
? 系統提供預警信息報送機制的設置,以各種方式傳遞。
【預警方式設置】
5.2.5 實現風險應對管理
? 風險應對策略方案的管理; ? 建立與內控措施關聯關系; ? 形成風險控制矩陣。
【風險應對方案】
【風險控制矩陣】
5.2.6 記錄風險控制的評價與改進
? 根據風險管理組織和崗位分工,支持風險崗位針對風險控制點的測試,記錄測試結果,并進行統計分析
【風險控制點測試】
? 支持對失效的控制點進行設計和運行缺陷的認定,并制定整改的時間和相關負責人。
【風險缺陷評價】
5.2.7 實現風險控制的監督與報告
? 支持以風險為核心的各種信息搜集、評估、應對、控制執行測試等綜合信息的報告式輸出; ? 支持以word、excel、txt、html等多種格式輸出系統內的信息,形成相關分析報告; ? 支持向外部風險管理和內控審計機構提供相關信息。
【風險管理綜合報告】
5.3 實現COSO全面風險綜合架構,與內控體系整合 5.3.1 通過風險應對方案建立與內控體系的聯系
系統在風險應對方案中,建立與內部控制體系之間的對應關系,從而實現:
? 風險應對方案直接對應內控措施,包括控制點、控制業務流程、監督措施、監督部門、監督崗位;
【風險應對與內控措施對應】
? 內部控制管理手冊中直接選取關聯的業務風險,定義控制點、監督檢查方法、業務流程等,實現雙向的互相索引關聯。
【內控手冊維護】
5.3.2 通過內控系統完成與業務系統運作管理的結合
? 提供關鍵業務數據審計線索配置與監控查詢:包括基礎數據檔案,諸如客戶檔案、會計科目、銀行賬戶檔案等。系統可自動記錄這些關鍵數據的變化日志,特別是編輯的時間、前后變化的對比、編輯人員等關鍵信息。
【關鍵數據審計線索配置】
? 提供關鍵業務流程審計線索的配置與監控查詢:指流程配置平臺制定的業務流程,一旦發生變化,系統將自動記錄變化前后的流程,以及變化的時點、操作員。方便審計人員追查系統控制變化的過程,防止非授權情況下對業務系統的改變。
【關鍵業務流程審計配置】
? 提供關鍵控制參數審計線索的配置和監控查詢:指系統中各種集團級別、公司級別的業務系統參數,可以設計參數變化的日志記錄,便于審計人員和系統管理人員監控和追查。
5.3.3 通過內控審計評測,驗證風險管理方案的有效性
通過內控審計平臺,針對內部控制進行專項審計,并形成內部的審計評估報告: ? 支持內控審計項目計劃、任務分配、工作日志和協同合作的項目管理; ? 支持設置內控審計工作底稿、工作組分發、底稿填報與匯總的管理; ? 支持內控審計評估報告的編寫、簽審、發布和內部傳閱的管理。
【內控審計項目計劃】
【內控審計工作底稿】
【內控審計評估報告】
5.4 實現對業務系統的自動監控 5.4.1 構建IT系統安全控制監控平臺
當前企業越來越依賴ERP業務系統對于日常業務的管理,但是,如果業務系統沒有足夠的安全控制能力,或者說無法對系統的安全機制進行監控,那么整個系統輸出的數據結果將存在很大的可質疑之處。
? 授權監控:通過對關鍵用戶、關鍵角色、關鍵功能、關鍵流程的設置,NC系統可以自動對這些關鍵點進行授權情況以及變化情況進行跟蹤,形成相關的管理日志,并支持輸出到指定格式的報告。
【關鍵功能設置】
【關鍵流程授權監控】
? 互斥設置:系統內置內控措施當中不相容職責分離的模型。通過對關鍵業務流程的各個業務環節設置互斥,從而提供授權時的互斥職能檢測,防止出現不相容職責授權失誤。
【互斥設置】
? 特殊日志報告:系統為IT管理人員提供一些特殊用戶的監測日志,防止諸如系統管理員之類的特殊用戶對系統造成數據干擾。包括:特殊用戶(指系統管理員、帳套管理員)操作日志報告、離職人員報告、調配人員報告、不明身份人員報告(指無法與人員檔案建立對應關系的用戶)。
? 安全策略監控:提供對于不同角色、人員密碼策略的設置,以及策略變化的日志記錄。
5.4.2 實現對業務系統關鍵流程的自動檢測
用友NC系統針對主數據和業務流程的變動情況,自動進行日志記錄,給出相應的報告,方便內部和外部內控審計人員進行管理過程的跟蹤和評價。
【關鍵數據監控報告】
【關鍵流程檢查報告】
5.5 建立集團級高性能、柔性開放平臺 5.5.1 構建系統整合平臺,風險信息門戶
用友引進IBM的企業服務總線(ESB)平臺,為企業圍繞風險管理的各個業務系統進行基于信息管理服務的整合,實現跨平臺、跨系統的風險信息整合披露和搜集管理,并完成風險
控制過程中要求的業務整合和流程控制。
【企業整合平臺——企業信息服務總線】
為達到各系統的信息整合和互通利用,用友提供對各個業務系統基礎數據的統一標準化管理平臺——主數據管理平臺,幫助集團IT部門統一集團內各企業業務系統的共有基礎數據信息,統一發布機制和編碼機制,為后續的集成和管理提供基礎。
【主數據管理平臺】
此外,為提高系統使用人員的應用體驗,利于整個風險管理工作的順利開展,用友提供
統一的風險信息門戶,并可與企業的辦公信息門戶集成,實現統一登錄、信息集成的應用效果。同時,在該門戶可以集成風險知識庫管理,便于風險管理的工作人員查找相應的案例、信息的溝通和制度的梳理保管等。
5.5.2 高效率、個性化柔性擴展開發平臺
由于全面風險管理和內部控制管理系統,將是涉及集團內部各個企業、部門和人員的綜合系統,因此必須能夠滿足大用戶量、大并發情況下的高性能運作。用友NC系統已經在2010年9月發布《NC5.6 3萬人Hpux的性能測試報告》。其中,平均反應時間、處理事務的能力、CPU利用率等指標均達到良好水平。
【NC事務平均響應時間】
UAP-NC平臺除了提供標準的客戶化交付模式外,可以通過功能強大的二次開發平臺,根據企業應用的實際需求,進行貼身的項目開發,充分貼現客戶的個性化。通過二次開發平臺提供的各項工具,可以讓技術或者實施人員方便地存取到UAP-NC平臺系統資源,包括數據字典、表格、模板、組件、管理要素、控制函數等接口。
【開發建模管理】 解決方案的價值
基于COSO 框架的全面風險管理解決方案側重于從企業整體層面制定風險戰略、完善內控體系、利用IT 技術建立完善的風險管理流程和內部控制。幫助企業搭建風險管理的綜合IT架構,建立風險管理的長效機制,從根本上提升風險管理的效率和效果。
6.1.1 實現全面風險與內控管理,提高企業競爭能力
? 能夠形成企業上下統一的內部控制管理標準,并通過規范化與系統化的業務流程及控制節點保障內控制度的有效實施。
? 明確風險管理職責,將所有風險的管理責任落實到企業的各個層面,形成風險信息的收集、分析、報告系統,為風險的實時有效監控和應對提供依據。? 避免企業重大損失,支持企業戰略目標的實現。
? 通過電子化的手段匯總整理內控體系建設過程中的相關手冊、文檔,避免在工作中翻閱大量文字資料,提升工作效率。
? 對日常經營管理活動中出現的問題進行記錄與跟蹤以滿足合規要求,并定期審核內控流程的執行有效性,生成內控評估報告。
? 促進組織成員之間的信息交流和溝通,改善企業控制環境,提升內部控制管理效率。
6.1.2 快速遵從財政部、國資委相關管理條文要求
? 涵蓋財政部關于企業內部控制基本規范的17項控制內容和控制方法。
? 覆蓋國資委關于央企全面風險管理指引中要求的風險管理流程,特別是戰略、財務、法律風險管理信息的搜集、風險評估、風險行為管理等方面
? 符合深交所、上交所關于上市公司加強內部控制和信息披露方面的要求和控制點;
6.1.3 快速遵從SOX法規要求
? 能夠幫助管理層評估公司遵守SOX404法案的情況,保證內控報告的質量,提升管理層簽署內控報告的信心。
? 規范公司SOX404 測試工作的程序,提高SOX404測試工作效率,加強工作質量保證。? 降低溝通協調的人力成本。
? 降低遵從SOX 法案的長期成本,提高內部控制環境的整體效率。? 統一國內公司與海外公司的內部控制標準和實施要求。
點擊咨詢 