第一篇:企業風險內控和風險管理
一、風險內控基本知識和理念――3個“五”濃縮風險內控的核心內容 1、五大目標-合規、真實、效益、戰略、安全 2、五大原則-全面、重要、制衡、適應、成本 3、五大要素-環境、評估、管控、信息、監督
二、企業風險內控實施的必要條件及風險內控的局限性 1、順利實施企業內控的四項必要條件 1)組織保障 2)制度健全 3)執行效果 4)有效監督
2、風險內控的局限性
三、風險內控發展的三個階段 1、萌芽期--內部牽制
2、發展期--內部會計控制與內部管理控制 3、成熟期--風險內控結構和風險內控整體架構
四、風險內控與全面風險管理 1、法人治理結構
2、COSO企業風險內控基本框架 3、ERM2004全面風險管理
4、ISO31000風險管理原則和方針(國際標準)
五、我國企業的風險內控現狀及原因分析 1、我國內控現狀: 2、原因分析:
六、企業的內控之惑
1、量化之惑-缺少量化工具
2、流程之惑-標準化流程缺失(標準流程圖)3、違規之惑-有章不循 4、舞弊之惑-集體違規
5、報告之惑-理念誤導制度錯誤
6、動態之惑-風險處于動態變化之中,風險管理的有效性應當隨時驗證
七、管理者必備的三種風險控制利器
利器1:讀懂財務報表-管理者每天五分鐘閱讀財務報表,讓舞弊行為無處藏身 利器2:科學指揮-管理者管理過程中要求風險管理(財務)部提供必要的數據支持 利器3:鎖定重大風險-鎖定公司最重要的十大風險并確保對其控制的有效性
八、企業管理者風險內控的五招必殺技 第一招:風險轉移 第二招:風險規避 第三招:風險分散 第四招:風險對沖 第五招:風險承擔
九、企業風險內控的基本思路和流程 1、風險內控方案的制定 2、風險內控方案的執行 3、風險內控方案的評價 4、風險內控方案的改進
十、企業風險內控的10種方法
1、組織規劃法
2、授權批準法
3、全面預算法
4、會計控制法
5、財產保全法
6、人力資源法
7、風險防范法
8、內部報告法
9、管理信息系統挖控制法
10、內部審計控制法
十一、企業管理者在企業內控過程中應當處理好的幾個關系 1、處理好控與被控的關系
2、處理好風險內控與內部監督的關系
3、處理好風險內控制度與會計道德自律的關系 4、處理好風險內控效果與控制成本的關系 5、處理好風險內控層次與工作效率的關系
十二、世界500強風險管理經驗分享
聯合能源公司(ALLIANT ENERGY)是怎么做的 1、專業負責企業風險的團隊
2、風險和戰略副總裁是這個流程的執行負責人 3、自下而上的風險問卷調查
4、對風險取得全面了解并應用定量的評估 5、結果被編制成表格并進行優先排序 6、團隊將識別出20到25個關鍵風險,在副總裁或更高級別的管理層面上確定監督和風險應對措施的權責
7、建立月度、季度和年度報告機制
8、每次與董事會開會,我們都會審閱公司的風險域,特別關注新的風險和重大的變更 公司的戰略及風險副總裁每年與董事會就風險域大約進行8次討論 9、最重要的風險評估方法是面談
10、風險管理成為聯合能源決策工具的一部分
第二篇:內控風險管理
風險的含義和特征
一、對企業風險的認識
企業要建立內部控制體系,需要建立在對企業進行風險管理的基礎之上。企業的發展過程就是一個風險釋放的過程。因此,我們首先要對風險有一個明確的認識。
風險會給企業帶來損失,這種損失是潛在的,但是在未來的時間內可能變成現實;同時,風險也可能帶來收益。這就是要在企業管理和經營過程中進行風險管理的價值所在。面對風險,企業永遠處于收益和潛在損失之間的博弈狀態,在這個博弈的過程中企業家需要運用智慧對內、外部的資源進行有效配置和管理,從而實現企業的發展。
(一)識別企業風險
企業的風險是有規律的,而這種規律需要我們運用各種方法去學習和認知。要想做好基于風險管理的企業內部控制,首先要認識企業風險的特征和企業在不同的發展階段的風險特點。在企業初創階段,對企業產生致命影響甚至是毀滅性打擊的是產品。企業需要對市場做出一種判斷,利用現有技術生產出適合客戶需求的優質產品。在企業發展到一定規模的時候,對企業影響較大的就是銷售渠道的拓寬和市場銷售量的增加。當企業發展到更高的階段、打下了較為堅實的基礎的時候,決定企業發展命運的就是內部的人、財、物的配置和利用,我們稱之為管理。
現在很多的企業都會發出感嘆:業務大了,人多了,收入高了,利潤增加了,但是人心變壞了,企業難管了,干得沒意思了,勾心斗角多了。這些問題都會給企業帶來不確定性的風險,造成一定的損失。事實上,這些問題歸結起來就是企業管理的問題。如何對人、財、物進行合理配置和利用才有利于企業的健康發展,這需要一個系統的管理過程。如果企業在發展到更高階段的時候,一切都處于穩定的運行狀態,管理理順了,崗位理順了,職責理順了,并不能說企業就可以放松管理了。這個時候,企業需要居安思危。市場競爭無處不在,企業必須要不斷地改進和發展,才能長久生存下去。
(二)文化差異
企業風險管理和內部控制理論都是最先從西方發達國家發展起來的,我國的企業在把這一套東西拿過來使用的時候,我們需要注意東、西方企業在文化背景之間的差異。
1.中西方企業存在狀況的差異
我們有很多企業。每年都有數萬的新企業誕生,同時也有很多老企業倒下去。為什么我們中國的企業,總是各領風騷三五年,企業壽命比西方國家的要短很多?在思考這些問題的時候我們要想想實力不是依靠時間的長短來衡量的,西方國家的經濟發達有它的道理,而中國企業的短命也有它的痼疾。
企業壽命短的一個原因是,我們的觀念存在問題。現在要做的就是改變觀念,在運營企業方面進行觀念變革。當企業有了突破性發展的時候,往往會有更大的風險潛在于企業的周圍。所以,企業需要有一個長遠的、總體的目標,也就是企業戰略。
企業在創立初期的好處就是,船小好調頭。但是,船大才好出海,市場就像一片汪洋大海,企業必須發展到一定的規模,才能航行得更遠。怎樣把企業這艘船做大,怎樣抵御更大、更強的海上風險,拓展海外的發展,就成為了企業家們要思考和解決的問題。無論企業是走向國外,還是在國內發展,都需要一段很長的時間做全面的準備,制定長期的發展戰略,才能夠在“狼來了”的時候有資本與之共舞。
很多國際化的企業,例如海爾、聯想、格蘭仕、中石油、中石化、中海油,這些大型企業集團現在的發展規模不是靠一個制度、一項政策、一個預算就能解決問題的。同樣,跨國企業落戶中國也不是說依靠一個美國的制度就能解決在中國遇到的問題。這中間的文化差異導致的問題還需要本土化來解決。中國人崇尚和為貴,這種和為貴走出國門之后是什么樣的概念呢?海爾的免費售后服務,顧客就是上帝,是非常好的理念,但是免費售后服務的理念到了美國行不通,導致海爾不得不改變最初的戰略。因此,在擁有不同文化背景的區域里發展的時候,我們要思考另外一個問題,就是在不同的文化之下,同一種發展戰略,同一種發展方式,同一種業務管理的模式,會受到一種挑戰。這是文化給企業帶來的影響,間接決定了企業如何分配利用資源和開展經營活動的策略。
2.中國人謙虛的觀念
我國很多企業在管理資源的配置過程中受到一種潛意識的影響就是,越謙虛的人越有本事。謙虛是中國人的傳統美德。很多人在去企業求職的時候,被問到曾經做過什么,回答就是念過書,沒干過什么有成就的事。這樣的人怎么會被企業看中呢? 例如,一個總會計師第一天上崗的時候,在就職演說中提到多多包涵,這幾年我沒干什么事,希望大家互相幫助等。這是我們中國人的含蓄和謙虛。但是一些外籍的評估專家聽了之后就覺得不可思議,他竟然什么都不懂,為什么能來上崗呢?按照中國人的想法是,在中國越是說什么都沒干,越是什么都不懂的人,其實是最有水平、能力最強的人。而說什么都干過,這也行那也行的人,肯定是個光說不練的人,沒什么真本事。這是我們中國人的文化觀念特征。
外國的專家在中國工作一段時間之后才會明白,在不同的文化之下,管理方式、管理模式和管理思想是不一樣的。這個時候對企業影響最深、最大、最長遠的就是文化。例如,中國的聯想收購IBM全球個人電腦業務之后獲得了極大的擴張,它在全球運營中碰到的文化差異問題是需要謹慎對待的。聯想在海外的拓展之路到底能走多遠?人們都十分期待,也深深祝愿。畢竟中華民族的一大產業能夠得到更高層次的跨越式的發展,在世界上產生重要影響,這是中華民族的驕傲。
內部控制的意義
在企業管理和經營活動過程中,時時刻刻伴隨著企業的就是潛在風險。企業的內部控制不是為了控制而控制,也不是為了美國證監會或者中國證監會而控制,而是為了幫助企業防范不同階段的風險才進行控制。
也就是說,企業的內部控制,第一是為風險而控制;第二則是每個階段的風險是不一樣的,每個階段的風險不一樣,那么控制的方法,控制的目標,控制的目的,控制的手段也就不一樣。這是控制的多樣性、復雜性和艱巨性。
一、影響美國的兩大事件
為了對企業的風險有個更為準確的認識,我們可以把發生在美國的兩個重大事件進行對比。一個是美國9?11恐怖襲擊事件,另一個就是美國安然公司的假賬事件。
(一)事件回顧
【案例】
美國9?11事件
“9?11事件”指的是2001年9月11日恐怖分子劫持的飛機撞擊美國紐約世貿中心和華盛頓五角大樓的歷史事件。2001年9月11日,四架民航客機在美國的上空飛翔,然而這四架飛機卻被劫機犯無聲無息地劫持。當美國人剛剛準備開始新一天的工作之時,紐約世貿中心連續發生撞機事件。世貿中心的摩天大樓,轟然倒塌,化為一片廢墟,該事件造成3000多人喪生。
當白宮辦公廳的主任告訴布什,飛機連續兩次撞了世貿中心之后,布什先生當時的表情顯得非常吃驚。
“美國9?11事件”的發生,對一些產業造成了直接經濟損失和影響,使得美國經濟一度處于癱瘓狀態。地處紐約曼哈頓島的世界貿易中心是20世紀70年代初建起來的摩天大樓,造價高達11億美元,是世界商業力量的匯聚之地,來自世界各地的企業共計1200家之多,平時有5萬人上班,每天來往辦事的業務人員和游客約有15萬人。兩座直沖云霄的大樓一下子化為烏有,五角大樓的修復工作至少在幾億美元之上,人才損失更是難以用數字估量。無論是對美國總統布什,還是對美國民眾或者對美國政壇人士來說,9月11日所遭遇的恐怖分子攻擊事件都是一次歷史性的震撼。在兩小時之內,造成美國本土遭遇數以千計的傷亡。甚至連白宮、總統的空軍一號座機、國防部大樓、金融財務中心的世界貿易大樓,都成了恐怖分子攻擊的目標。
這一事件也給交通運輸和旅游業造成嚴重損失。美國國內航班一天被劫持了四架,并造成巨大的人員傷亡和財產損失,確實是歷史罕見。事件發生后,布什立即采取適當行動,恢復政府、社會正常活動。為了顯示他不受恐怖威脅,9月11日晚上,雖然白宮仍有受到攻擊的威脅,他仍決定返回白宮,并在白宮向全國民眾發表講話,借此顯示:恐怖分子并不能阻斷美國行政中心的運作。
“美國9?11事件”的經濟影響不僅局限于事件本身的直接損失,更重要的是影響了人們的投資信心和消費信心,使美元等主要貨幣貶值、股市下跌,石油等戰略物資價格一度上漲,并實時從地域上波及歐洲及亞洲等主流金融市場,引起市場的過激反應,從而導致美國和世界其他國家經濟增長減慢。
點評:911事件后美國低下高昂的頭顱,和各國進行協商,和全世界人民一起反恐,得到各國人民的理解、同情和支持。所以,美國在9?11之后,得到的幾乎是一正一負的效果,一方面受到了打擊,經濟損失十分嚴重;另一方面又展開反恐行動,極大地改善了它的國際形象和國際地位。進入21世紀以來,美國在改變自己的世界形象當中做了一個很好的扭轉,可以說在得失方面打了個平手。
【案例】 安然的末日 一直以來,安然身上都籠罩著一層層的金色光環:作為世界最大的能源交易商,安然在2000年的總收入高達1010億美元,名列《財富》雜志“美國500強”的第七名;掌控著美國20%的電能和天然氣交易,是華爾街競相追捧的寵兒;安然股票是所有的證券評級機構都強力推薦的績優股,股價高達70多美元并且仍然呈上升之勢。直到破產前,公司營運業務覆蓋全球40個國家和地區,共有雇員2.1萬人,資產額高達620億美元;安然一直鼓吹自己是“全球領先企業”,業務包括能源批發與零售、寬帶、能源運輸以及金融交易,連續4年獲得“美國最具創新精神的公司”稱號,并與小布什政府關系密切??
1.安然的噩夢 2001年年初,一家有著良好聲譽的短期投資機構老板吉姆?切歐斯公開對安然的盈利模式表示了懷疑。他指出,雖然安然的業務看起來很輝煌,但實際上賺不到什么錢,也沒有人能夠說清安然是怎么賺錢的。據他分析,安然的盈利率在2000年為5%,到了2001年初就降到2%以下,對于投資者來說,投資回報率僅有7%左右。切歐斯還注意到有些文件涉及了安然背后的合伙公司,這些公司和安然有著說不清的幕后交易。作為安然的首席執行官,斯基林一直在拋出手中的安然股票——而他不斷宣稱安然的股票會從當時的70美元左右升至126美元。按照美國法律規定,公司董事會成員如果沒有離開董事會,就不能拋出手中持有的公司股票。也許正是這一點引發了人們對安然的懷疑,并開始真正追究安然的盈利情況和現金流向。到了8月中旬,人們對于安然的疑問越來越多,并最終導致了股價下跌。8月9日,安然股價已經從年初的80美元左右跌到了42美元。
10月16日,安然發表2001年第二季度財報,宣布公司虧損總計達到6.18億美元,即每股虧損1.11美元。同時首次透露因首席財務官安德魯?法斯托與合伙公司經營不當,公司股東資產縮水12億美元。
10月22日,美國證券交易委員會瞄上安然,要求公司主動提交某些交易的細節內容。并最終于10月31日開始對安然及其合伙公司進行正式調查。
11月1日,安然抵押了公司部分資產,獲得J.P摩根和所羅門史密斯巴尼的10億美元信貸額度擔保,但美林和標普公司仍然再次調低了對安然的評級。
11月8日,安然被迫承認做了假賬,虛報數字讓人瞠目結舌:自1997年以來,安然虛報盈利共計近6億美元。
11月9日,迪諾基公司宣布準備用80億美元收購安然,并承擔130億美元的債務。當天午盤安然股價下挫0.16美元。
11月28日,標準普爾將安然債務評級調低至“垃圾債券”級。
11月30日,安然股價跌至0.26美元,市值由峰值時的800億美元跌至2億美元。
12月2日,安然正式向破產法院申請破產保護,破產清單中所列資產高達498億美元,成為美國歷史上最大的破產企業。當天,安然還向法院提出訴訟,聲稱迪諾基中止對其合并不合規定,要求賠償。
2.安然模式的破產
首先遭到質疑的是安然公司的管理層,包括董事會、監事會和公司高級管理人員。他們面臨的指控包括疏于職守、虛報賬目、誤導投資人以及牟取私利等。在10月16日安然公布第二季度財報以前,安然公司的財務報告是所有投資者都樂于見到的。看看安然過去的財務報告:2000年第四季度,“公司天然氣業務翻升3倍,公司能源服務公司零售業務翻升5倍”;2001年第一季度,“季營收成長4倍,是連續21個盈余成長的財季”??在安然,衡量業務成長的單位不是百分比,而是倍數,這讓所有投資者都笑逐顏開。到了2001年第二季度,公司突然虧損了,而且虧損額還高達6.18億美元!
然后,一直隱藏在安然背后的合伙公司開始露出水面。經過調查,這些合伙公司大多被安然高層官員所控制,安然對外的巨額貸款經常被列入這些公司,而不出現在安然的資產負債表上。這樣,安然高達130億美元的巨額債務就不會為投資人所知,而安然的一些官員也從這些合伙公司中牟取私利。更讓投資者氣憤的是,顯然安然的高層對于公司運營中出現的問題非常了解,但長期以來熟視無睹甚至有意隱瞞。包括首席執行官斯基林在內的許多董事會成員一方面鼓吹股價還將繼續上升,一方面卻在秘密拋售公司股票。而公司的14名監事會成員有7名與安然關系特殊,要么正在與安然進行交易,要么供職于安然支持的非盈利機構,對安然的種種劣跡睜一只眼閉一只眼。
安然假賬問題也讓其審計公司安達信面臨著被訴訟的危險。位列世界第五的會計師事務所安達信作為安然公司財務報告的審計者,既沒審計出安然虛報利潤,也沒發現其巨額債務。今年6月,安達信曾因審計工作中出現欺詐行為被美國證券交易委員會罰了700萬美元。
點評:安然事件雖然是一個單純的經濟事件,卻在全球范圍內掀起了一陣狂波巨浪,所有的矛頭都指向了美國的經濟制度,撼動了美國為之驕傲的經濟體系。在9?11事件之后,美國政府主動出擊,對恐怖襲擊行為堅決進行打擊,無論從道義還是力量上來說都受到世界人民的支持。但是安然事件卻讓山姆大叔的顏面掃地,自己內部機制出現大窟窿,對世界造成了很壞的影響,受到人們的嚴厲指責,而補救還得靠自己。
但是,在美國的這兩大事件當中,美國人的危機公關,化被動為主動來解決危機的做法,是值得學習和討論的。
(二)安然事件帶來的結果
不管是企業還是社會,都在面臨著各種不確定性的風險,如果沒有對這種風險進行充分的認識,在前期階段加以防范和阻止,就有可能釀成大禍。從安然事件中我們可以看到以下幾點:
1.會計丑聞
現在的社會是經濟社會,經濟社會是一個市場進行資源優化和資源配置的過程。資源在優化配置、自由流動的過程當中,有個依據和指向,那就是會計信息。我們資源怎么去優化配置?通俗一點就是說,買股票的時候,買誰的,怎么去買?這些就要依靠會計信息所反映出來的內容。
會計信息是市場的一個指向標,一旦會計信息機制失靈,整個國民經濟就會混亂。安然的假賬事件讓外國投資者對美國投資回報的信心喪失,大量國際資金抽離美國,外國對美國的投資下降近60%,同時對中國的投資上升近15%。
2.安然事件對美國股市的影響 美國是世界上的經濟強國,在很多方面都實行霸權主義和強權主義,然而真正讓美國在全世界人民面前低下頭顱的是安然事件。安然事件反映的是整個會計信息機制和體系制度,特別是經濟基礎上的漏洞和缺失,對此美國必須進行反思。9?11讓美國的股市跌了近1000點,而安然事件之后,2002年美國股市連續下跌,遠遠突破了1000點。
薩班斯-奧克斯利法案
安然事件不只是安然公司的一個事件,而是由會計丑聞引發的對整個會計體系的質疑,這種質疑對美國的影響是巨大的。為了應對這種危機,解決由會計體系缺陷造成的惡劣影響,完善社會的經濟制度,當時美國有兩位議員提出一種議案,叫薩班斯—奧克斯利法案。這個法案從以下11個方面來管制以會計信息為主體的市場資源配置,以及與會計信息相關的權利、責任義務和法則等。
(1)上市公司會計監管委員會;(2)審計師的獨立性;(3)公司的職責;
(41)加強財務信息的披露;(5)分析員的利益沖突;
(6)證券監管委員會的資源與權限;(7)研究和報告;
(8)公司和徇私舞弊的責任;(9)加強對白領刑事犯罪的懲罰;(10)公司稅務申報表;
(11)公司的舞弊行為及應承擔的相應責任。
(一)薩班斯—奧克斯利法案的意義
經過安然公司的假賬事件對經濟社會的沖擊之后,美國出臺了專門針對會計制度的薩班斯—奧克斯利法案。這項法案主要解決了監管、中介機構和企業內部財務管理三個問題,從這項法案中我們也可以學到一些做企業的規則的道理。
1.法案解決的問題
以前人們總是認為美國的會計制度很完善,幾乎無懈可擊,但事實證明任何看似完善的制度都有可能遭受風險的襲擊,演變成對企業和社會的巨大危害。美國出臺的這項法案主要解決了以下三個問題: ?監管問題
在安然事件之前,美國經濟是自由主義式的發展,也就是民不告,官不理,當股民最后上當了,虧損了,最后發現了虛假的會計信息,才去找政府部門解決問題。美國的會計準則是由社會中介機構和社會團體公認形成的,沒有很大的強制性。與中國會計準則不同,中國會計準則是由中華人民共和財政部統一制定,具有強制性的法規特征。
安然事件發生后,美國意識到自治式的會計信息有極大的漏洞,所以必須加強管制,成立會計監管委員會,對企業的會計信息進行監管。?中介機構問題
美國的中介機構不獨立。安然在整個發展過程當中,它的品牌、業務和戰略都是沒有問題的,但是很多項目在具體管理和落實當中出現了一些問題。例如在印度投資的電廠暫時沒有盈利,但是股東又要分紅,又要和競爭對手、標桿企業進行比拼賽跑,于是找到安達信咨詢公司出謀劃策。
安達信幫助企業通過各種延伸產品,包括在自己的內部進行大量的交易產生利潤,也就是把錢從左口袋弄到右口袋。可是沒有現金流怎么辦?于是安達信又給安然設計一個方法,就是SPE實體。通過聯合投資的公司,進行銀行貸款,溝通項目的操作,讓現金返回到公司的母體,成為現金流,再用這種方式進行分紅。
作為中介機構,安達信對安然公司的賬進行檢查的時候,當然對自己做過的賬持肯定態度,向股民保證沒有問題。這樣的雙面角色導致了安達信這種中介機構失去了獨立性。所以在這項法案中對中介機構的業務行為專門做了限制性和規范性的規定,防止中介機構出現監守自盜的問題。
?企業內部財務管理的問題
安然事件之后全世界的企業對會計信息制度的重視上升到了一個前所未有的高度。首先,加強了高層人員的責任。公司的財務領導肩負著會計的重任,下面做好財務報表,子公司上交到母公司,母公司要合并報表,合并報表做完上報國資委,或者再報證監會、財政部等。如果報表中出現問題,發現公司有做假賬的行為,要追究的就是領導的責任。
但是我們實務操作過程當中,發現兩個很大的問題。企業出現了會計問題,如果老總被抓,公司的幾千員工怎么辦?還有,如果他被抓后拒不認罪,比如安然公司的老總被抓后就拒絕認罪,只是說愿意承擔責任。這個責任指的是他愿意承擔領導責任,沒有領導好做會計的屬下,會計部門的水平不高,所以才導致現在的后果。看似很有道理,這種說法其實是他把責任推到財務主管身上。所以調查安然事件的相關人員花了幾年的時間,用了幾千萬的巨額成本才讓那些高層領導人員伏法。
所以,在薩班斯—奧克斯利法案中,專門明確了公司出現財務問題后,總經理和財務總監應當共同承擔責任。
2.薩班斯—奧克斯利法案與內部控制的聯系
薩班斯—奧克斯利法案對企業的影響就是加強會計信息的權利區位,意思是公司必須設立審計委員會,審計委員會必須全部是獨立董事,專門負責對公司會計信息的管理。通過這樣的內部審查,提高公司的會計信息管理機制和層次體系,避免了企業老總個人左右財務信息的局面。
關于企業內部控制的發展在薩班斯—奧克斯利法案第402條款里面得到了一個體現,就是加強管理層對內部控制的評估。
【案例】
薩班斯—奧克斯利法案第404條: 管理層對公司內部控制的評估 該條規定中要求公司年報中包括一份“內部控制報告”,該報告應:
(1)明確指出公司管理層對建立和保持一套完整的與財務報告相關的內部控制系統和程序所負有的責任;并且包含管理層在財務期末對公司財務報告相關內部控制體系及程序的有效性評估。
(2)受委托的上市公司審計師應按照上市公司會計監管委員會對審核約定所發布或采用的準則就管理層關于內部控制的評估進行鑒證并提交報告。此類鑒證約定并不構成單獨的約定主體;
(3)SEC在提交的法案相關的報告中這樣解釋此條的立法目的:“委員會不希望審計師(對內部控制報告的)評估形成單獨一份約定或者因此而導致審計費用的增加。”指導SEC進一步要求上市公司披露其是否為高級財務官員制定職業操守規范以及該規范的內容;
(4)指導SEC修改其以8-K表格進行即時披露的相關規則,從而要求上市公司對任何職業操守規范的修改或廢止事項應立即進行披露。
點評:這項法案里面對內部控制的相關規定說明了兩層意思。第一,需要評估企業有沒有內部控制;第二,規定了企業內部控制要做到的程度。企業必須就這兩點向美國證監會有個明確的交代。
例如對企業內部現有的業務進行評估,要考察所有的業務是不是被囊括到企業現有的制度里面。沒囊括的業務有多少,比例有多大。在所有沒被囊括的比例之下,有多少業務已被執行,執行的效率有多高,比如執行了80%,還有20%沒有執行,在執行80%里面哪些能夠把問題解決,哪些不能把問題解決。企業必須拿出具體的數字進行詳細的說明。這就是以強制性的手段和手腕保證企業內部控制的執行,可見健全企業內部控制的必要性和緊迫性。
第三篇:集團企業內控與風險管理
核工業集團內部控制與全面風險管理培訓框架
========================
為貫徹落實中國核工業集團公司近期有關實現集團跨越式發展的要求,深入研究并積極探討解決核電產業集團化運作、專業化運營的有效途徑,尤其是在此過程中產生的管控風險,我們組織了相應領域的專家進行了具有針對性的分析,提出了一個具有完整框架的培訓方案:
========================
一、理論框架theoretical framework
========================
集團戰略管控體系集團風險管理體系集團內部控制體系
========================
二、培訓課程模塊curriculum introduction
========================
(一)內部控制篇
■ 內部控制——企業良性經營的關鍵 1.COSO的內部控制整合框架包括哪些內容 2.企業內部控制的目標
3.企業建立與實施內部控制應當遵循的原則 4.實施有效內部控制的關鍵要素 5.企業內部控制的框架
■ 企業內部控制管理系統的核心制度(相關案例分析、互動研討)1.重大風險預警制度 2.內控報告制度 3.內控批準制度 4.內控責任制度 5.內控審計檢查制度 6.內控考核評價制度
7.健全以總法律顧問制度為核心的企業法律顧問制度 8.內控崗位授權制度 9.重要崗位權力制衡制度
■ 企業內部控制的內容以及實務操作(相關案例分析、互動研討)1.內部環境及其要素 2.風險評估及其步驟 3.控制活動及其措施 4.信息與溝通及其要求 5.內部監督及其程序
(二)全面風險管理篇
■ 企業風險管理,大風起于青萍之末(相關案例分析、互動研討)1.我們生活的世界越來越不確定
2.企業各類風險事件展示——前車之鑒、后事之師 3.我國企業全面風險管理的背景 4.風險管理背后的推動力 5.企業風險管理勢在必行 6.標桿企業的風險管理實踐
■ 企業全面風險管理——構筑企業安全的防火墻 1.企業風險和風險管理的基本理念 2.風險偏好和風險容忍度 3.企業風險文化 4.風險預警 5.風險指標
6.固有風險和剩余風險 7.企業全面風險管理人員的結構 8.企業風險溝通
9.企業全面風險管理的流程 10.企業全面風險管理的目標
■ 企業全面風險管理的核心問題(相關案例分析、互動研討)1.企業風險管理成熟的標志 2.企業風險管理要成為什么 3.企業風險管理的最終落腳點 4.企業風險管理的實質
5.企業風險管理始終關注的兩個問題 6.企業風險管理是綱——全面的風險管理
■ 企業全面風險管理的實務操作(建立全面風險管理體系)(相關案例分析、互動研討)1.收集企業風險管理的初始信息(不同的企業有相應的初始信息)(1)戰略信息(2)財務信息(3)市場信息(4)運營信息(5)法律信息
2.設計企業全面風險管理的過程(1)收集風險管理初始信息(2)進行風險評估(3)制定風險管理策略(4)提出和實施風險管理解決方案(5)風險管理的監督與改進 3.企業風險評估
(1)風險識別(根據不同企業和行業識別不同的風險)——風險管理的方法(2)風險分析 ——風險管理的技術(3)風險評價 ——風險管理的工具
4.制定企業全面風險管理的策略(1)風險回避(2)風險減少(3)風險轉移(4)風險接受(5)風險對沖
5.實施企業全面風險管理的方案(1)風險管理的內部控制方案(2)風險管理的全面方案 6.企業剩余風險的管理 ——剩余風險管理的最終目標 7.企業風險管理的監督與改進(1)持續監督(2)單獨評價(3)報告缺陷(4)壓力測試(5)返回測試(6)穿行測試(7)風險控制(8)自我評估
8.建立健全企業風險管理的組織體系(1)規范的法人治理結構和議事規則(2)組織機構設置與權責分配 9.完善企業全面風險管理的信息系統(1)內部信息和外部信息(2)信息的溝通與反饋
(3)風險管理信息系統的工作流程(4)風險管理信息系統的價值 10.培育企業全面風險管理文化(1)風險管理理念(2)風險控制行為(3)風險道德標準(4)風險管理環境
■ 如何編寫企業全面風險管理報告(相關案例分析、互動研討)1.第一思路:按照相關文件的框架 2.第二思路:
(1)企業對已經存在的風險早發現早治療
(2)企業對可能發生的風險防患于未然
(3)制定企業風險管理的計劃 3.第三思路:依據企業自身情況獨創
========================
三、課程收益training income
======================== ◆ 了解企業內部控制的基本理念
◆ 掌握企業內部控制管理系統的核心制度 ◆ 學會具體的企業內部控制實務操作 ◆ 能具體實施企業內部控制 ◆ 了解企業當前風險管理的環境;
◆ 掌握企業全面風險管理的基本理念和核心問題; ◆ 熟悉企業全面風險管理的流程; ◆ 運用企業全面風險管理的方法、技術和工具; ◆ 理解企業風險評估的步驟;
◆ 制定并實施企業全面風險管理的策略和方案; ◆ 加強企業全面風險管理的監督與改進; ◆ 建立健全企業全面風險管理的組織體系; ◆ 完善企業全面風險管理的信息系統; ◆ 培育企業全面風險管理文化; ◆ 學會制作企業全面風險管理報告。
========================
四、講師簡介lecturer synopsis
======================= 主講專家:殷俊先生 ■ 資歷
☆ 中國管理科學研究院社會信用體系建設發展中心專家委員會副主任 ☆ 國資委職業經理研究中心特聘專家
☆ 企業危機管理與風險管理網絡商學院執行院長
☆ “職業經理(企業風險管理)資質評價與能力測評項目”教材主編 ☆ 企業危機管理與風險管理培訓網CEO www.tmdps.cn ☆ 清華大學能源規劃與管理訓練中心特聘專家 ☆ 北大經濟管理學院客座專家 ☆ 上海復旦、上海交大MBA培訓班講師 ☆ 浙江大學總裁班特聘教授
☆ 企業風險管理與危機管理培訓論壇秘書長 ☆ 企業危機管理與風險管理培訓咨詢公司總裁 ☆ 資深危機管理專家
曾在多家公司任職理事長、首席顧問、總監,并入選首本《國際職業培訓師大黃頁》,有著多年的管理實踐經驗。長期的實踐,鑄就了自身在“企業危機管理(與金融危機相結合)、企業危機管理與風險管理(與金融危機相結合)、企業全面風險管理(與金融危機相結合)、公共危機管理、企業內部控制、突發事件的應急管理、沖突管理與有效溝通、沖突管理”等通用管理方面較強的培訓功底,并形成了實戰、互動、系統、有效的培訓風格。能廣泛地聯系企業的實際情況,根據企業存在的問題,為企業提供有針對性的咨詢式培訓,從而解決相應的問題。培訓的內容富有理性,而培訓的方式卻充滿激情!
在培訓過程中,擅于引用經典的思想、豐富的案例、真實的數據、典型的事件;運用互動研討的方式,并穿插角色扮演活動,在案例分析、互動研討的同時,讓大家深刻感悟,形成共鳴,達成共識,同時創造性地提出相應觀點,將培訓的效果發揮到極致!■ 部分服務客戶:
大連紅沿河核電站、國家行政學院、中國管理科學學會、國資委研究中心、國資委職業經理研究中心、中國企業家協會、北京西城區國資委、上海長寧區國資委、上海市干部培訓中心、昆山經貿委、常州工商聯、浙江舟山貿促會、福建南平經貿委、寧夏中小企業研究中心、、甘肅百家大講堂、中小企業競爭力工程、廣東順德勒流五金商會、寧波市成人集團學校、寧波市企業聯合會、寧波市企業家協會、廣東東莞市財政局、四川眉山市青神縣組織部、南寧市地稅局、浙江大學總裁班、北京大學經濟學院、清華大學繼續教育學院總裁班、上海交通大學總裁班和EMBA班、復旦大學網絡教育學院、復旦大學總裁班和EMBA班、沈陽哈普瑞商學院、職業經理人資格認證上海培訓中心、深圳國信證券、福建建行、上海奉賢農行、廣州廣晟資產經營公司、北京郊區電信實業、湖北聯通、廣西郵政局、北京三元集團、浙江嚴州府、遼寧合興、中國藥材集團、常州四藥、法國賽諾菲-安萬特制藥、廣東東通文具、浙江日月首飾、富士康電子工業發展昆山有限公司、北京松下、廣東佛山平洲電子、廣州聯眾、蘇州信越聚合、溫州正泰電器上海公司、溫州創奇科技電子、上海錦虎電子、深圳大大電子、溫州華龍汽車電子、奧克斯集團、河南新飛電器、北京康平空調新疆美克集團、四川列維士家具有限公司、廣東永其祥織染、浙江紅綠藍紡織、浙江凱喜雅、溫州婭米茄服飾、常州依麗雅斯、上海新長寧集團、杭州中豪控股、四川豐泰集團、四川大地房地產、深圳特發物業、深圳特發地產、廈門夏商集團、長春一汽、長安汽車集團、上海航天技術研究院、上海機場集團、東方航空、上海航空、南方航空、正大集團、華東計算技術研究所、上海建工集團、上海市安裝工程有限公司、北京京港地鐵、北京博維科技、香港富勤環保集團、天津光電、蘇州三洋能源、華北電網、北京電力、保定電力局、河北電力、陜西電力、山西省電力、浙江余杭電力、浙江嘉興電力、山東棗莊電力、北京密云供電局、四川廣安愛眾股份、神華浙江國華浙能發電有限公司、施耐德(陜西)寶光電氣、浙江江山化工股份、浙江衢州巨化、西安北方慶華機電、寶鋼集團、通化鋼鐵、中交第三航務工程局、中交一航局、中船重工第704研究所、廈門港務船務、海洲國際、滬東中華、中國石化國際事業有限公司、中國油田新疆石油管理局、中海油、華夏建龍礦業、山東新汶礦業、島津國際貿易、中化國際等。
第四篇:COSO企業內控風險管理模式
COSO企業內控風險管理模式
前言
10年前,COSO發布了《內部控制----整合框架》來幫助企業界和其他實體評價和加強他們的內部控制制度。從那時起該框架被結合并入成千上萬企業的政策、規則和規定,并被企業用于更好地控制他們的活動,朝著實現既定目標的方向前進。
近年來,關注的重點和焦點是風險管理,人們越來越清楚地認識到健全的框架對于有效地識別、評價和管理風險是很有必要。在2001年,COSO提議了一個項目,并聘用普華永道會計事務所開發能方便管理部門用于評價和改進本組織企業風險管理的框架。
框架開發的整個期間出現了一系列具有高度標志性的企業丑聞和失敗案例,使投資者、公司人員和其他利益相關者蒙受了巨大損失。災難的后果是要求用新的法律法規和上市標準來加強公司治理和風險管理。人們越來越多地認識到提供關鍵的原則和概念,共同語言和明確方向與指南的企業風險管理框架的必要性。COSO認為,企業風險管理----一體化框架填補了這種需要,并希望該框架能被公司、其他組織和所有的利益相關者及團體廣泛接受。
在美國的發展結果是出臺了《2002年的薩班斯----奧克斯利法案》,其他國家也頒布了或正在考慮類似的立法。這類法律擴展了對公營公司維護內部控制制度的長期有效要求,要求管理層予以證實和獨立審計師測試這些制度有效性。持續要求測試時間的《內部控制----整合框架》適用于滿足報告要求的更廣泛的公認標準。
《企業風險管理----整合框架》擴展了內部控制,提供了一種更健全的和廣泛的焦點在企業風險管理更寬廣的題目。它的目的不是取代內部控制框架,而是將內部控制框架合并在一起,公司可以決定審查企業風險管理框架,以滿足內部控制的需要和朝著更完備風險管理過程發展。
管理層所面臨的最嚴峻挑戰是決定本實體準備接受多大的風險,因為風險也可以經過奮斗而創造價值。本報告將更好地鼓勵企業迎接這種挑戰。
執行總結
企業風險管理的根本前提是每一實體存在的目的是為其利益相關者提供價值。所有的實體都面臨不確定性,對管理層的挑戰是確定能接受多大的不確定性,因為不確定性也可以促進增加利益相關者的價值。不確定性同時體現為風險機會,具有流失或增加價值的潛力。企業風險管理鼓勵管理層有效地處理不確定性和相關的風險和機會,增強創造價值的能力。
當管理層制定的戰略目標能力求達到增長和利潤目標與相關風險之間的最佳平衡,并在追求本實體目標的過程中有效地調度資源時,價值能達到最大化。企業風險管理包括:
● 連成一線的風險偏好與戰略----管理層考慮本實體的風險偏好,在評估戰略可選擇方案時,制定相關目標,開發管理相關風險的機制。
● 增強風險反饋決策----企業風險管理提供了森嚴的識別和挑選可選擇的風險反饋----即風險回避、降低、分攤和接受的制度。
● 減少經營意外事故和損失----各實體應獲得增強的能力來識別潛在事件和建立反饋,減少意外事故和相關成本或損失。
● 識別和管理多樣化的和交叉的企業風險----每一企業都將面臨影響本組織不同方面的無數風險因素,企業風險管理能促進對相互關聯的影響做出有效反應,對多樣化的風險做出綜合的反應。
● 抓住機會----通過全面考慮潛在的事件,管理層被定位于識別和正面積極地抓住機會。
● 改進資本配置----獲得健全的風險信息,允許管理層有效地評估總體資本需要,增強資本分配。
這些企業風險管理中內在的能力有助于管理層實現本實體的績效和盈利能力目標,防止資源損失。企業風險管理有助于保證有效的報告和遵守法律法規,避免本實體的聲譽受到損害和相關的后果。總之,企業風險管理有助于一個實體達到它想要實現的目標,避免前進過程中的陷阱和意外事故。
事件----風險與機會
事件可以有負面影響、正面影響,或二者兼而有之。負面影響的事件表現為能阻礙價值創造或侵蝕現存價值的風險。正面影響的事件可以抵消負面影響或體現為機會。機會是一個事件將發生并積極影響目標實現、支持價值創造或保護價值的可能性。管理層將機會引導向其戰略或目標制定過程,制定抓住機會的計劃。
規定了企業風險管理
企業風險管理處理影響價值創造或保值的風險和機會。其定義如下:
“企業風險管理是一個過程,受到一個實體的董事會、管理層和其他人員的影響,適用于戰略制定和在整個企業設計識別可能影響本實體的潛在事件,在風險偏好范圍內管理風險,提供與實現實體目標有關的合理保證。”
該定義反映出一些基本的概念。企業風險管理是:
● 一個過程,持續并貫穿一個實體;
● 受到一個組織每一層級人員的影響;
● 適用于戰略制定;
● 適用于整個企業每一層次和單位,包括所采納的實體總體層次風險業務責任觀點;
● 設計識別可能影響本實體的潛在事件,如果它們發生的話,在風險偏好范圍內管理風險,● 能夠為一個實體的管理層和董事會提供合理保證;
● 在一個或更多獨立的但重疊的分類中加速目標的實現。
該定義的目標廣闊。它抓住公司和其他組織如何管理風險的關鍵基本概念,為整個組織、行業和部門提供適用的依據。它把焦點直接放在實現由某一方面特定實體制定的目標,為定義企業風險管理的效果提供依據。
目標的實現
在實體既定使命和遠景規劃的條件下,管理層確定戰略目標,選擇戰略和制定將整個企業連接成一線的目標。這種加速實現實體目標的企業風險管理框架,可陳述為四類:
● 戰略----高層目標,連接和支持其使命;
● 經營----有效率和效果地使用其資源;
● 報告----報告的可靠性;
● 合規----遵守適用的法律法規。
這種實體目標的分類準許把重點放在企業風險管理的各別方面。這些性質截然不同但重疊的分類----某一特別的目標可以分成幾個分類,強調不同的實體需要并可能對不同的執行部門負直接責任。這種分類同樣準許從每一目標分類之間區別可以預期的結果。同樣也描述了一些實體使用的保護資源的另一分類。
因為與報告可靠性和遵守法律法規相關的目標在實體的控制范圍內,企業風險管理可以預期為實現這些目標提供合理的保證。然而戰略目標和經營目標的實現易遭受實體控制范圍之外的外部事件的影響,因此,企業風險管理可以提供合理的保證,使管理層認識這些目標和董事會意識到其監督作用,及時地促進整個實體朝著實現目標前進。
企業風險管理的組成部分
企業風險管理包括八個相關組成部分。這些組成部分來自管理層經營企業的方式,并與管理過程相結合。這些組成部分是:
● 內部環境----內部環境包括一個組織的基調,制定作為整個實體的人們如何審視和重視風險的依據,包括風險管理哲學和風險偏好、正直性和道德價值以及他們經營的環境。
● 目標設定----在管理部門能夠識別影響其業績的潛在事件之前,必須存在有目標。企業風險管理保證管理部門制定目標的過程到位,選定的目標支持和本實體的使命聯成一體,并與風險偏好相一致。
● 事件識別----必須識別影響一個實體實現目標的內部和外部事件,區別風險和機會。機會開辟了反饋管理部門戰略或目標制定過程的渠道。
● 風險評估----要分析風險,考慮可能性和影響,作為決定如何管理風險的依據。在固有的和有后效的基礎上評估風險。● 風險反饋----管理部門選擇風險反饋----即避免、接受、降低或分攤風險,開發一系列行動,使風險與實體的風險承受能力和風險偏好聯成一體。
● 控制活動----政策和程序的制定有助于保證有效地執行風險反饋。
● 信息與溝通----以一種能夠促進人們履行其職責的形式和時間框架來識別、捕捉和溝通相關風險。有效的溝通同樣發生在更廣泛的意義上,即在實體內從上到下、相互交叉和自下而上的溝通。● 監控----對企業風險管理的整體進行監控并根據需要進行修改。通過持續的管理活動,分別評估,或二者同時進行來實現監控。企業風險管理不是一個嚴格的系列過程,一個部分只影響下一個部分。它又是一種多方向的重復的過程,在這一過程中幾乎所有的任何部分都可能會影響另一個部分。
目標與組成部分的關系
在一個實體奮力實現的目標和體現實現目標所必須的企業風險管理組成部分之間存在一種直接的關系。這種關系被描述為立體結構中的三維矩陣模型。
四種目標分類----戰略、經營、報告和合法----由縱向欄目所代表,八個組成部分橫向排列,一個實體的單位由第三個層面所代表。這種描繪勾畫出整個企業風險管理重點的能力,或通過目標分類、組成部分、實體單位或任何子集合說明整個企業風險管理。
效果
確定一個實體的企業風險管理是否“有效”是對八個組成部分的表現以及是否有效運行進行評估的一種判斷。這些組成部分同樣可作為有效的企業風險管理的標準。因為這幾個組成部分的存在及適當運行不可能產生重大的缺陷,風險需要也已控制在一個實體的風險偏好之內。
當確定企業風險管理在四類目標的每一類中都是有效的,相應地也就為董事會和管理層提供合理的保證,使他們了解整個實體戰略和經營目標正在實現的程度和整個實體的報告是可靠的并遵守適用的法律法規。
八個組成部分在每一個實體的運行并不是完全相同的。例如,在中小型實體中的應用可能不那么正式,結構不那么完整。不過,小的實體仍然可以有有效的企業風險管理,只要每一個組成部分都存在并適當運行。
局限性
在企業風險管理提供重要好處的同時,也存在著局限性。在上述討論的因素之外,局限性來自在決策制定過程中人的判斷可能出現錯誤,反饋風險的決策,制定控制需要考慮相關成本和效益,因為人類的失誤,例如簡單的錯誤或過失可能會造成計劃的失敗,控制可以防止兩個人或更多人勾結串通事件的發生,但管理部門有能力否決企業風險管理決策。這些局限性會妨礙董事會和管理層對本實體目標實現所具有絕對的保證。
圍繞內部控制
內部控制是企業風險管理的一個組成部分。本企業風險管理框架圍繞內部控制,為管理部門形成一個更健全的概念論和工具。在《內部控制----整合框架》中對內部控制進行了定義和描述。因為此框架已經經受了時間的考驗,并成為現行法律法規和規則的依據,文件保留了內部控制的定義和框架。在本框架中只有《內部控制----整合框架》原文部分是復制的,該框架的整體作為關聯部分已結合到本框架中。
作用與職責
在實體中的每一個人對企業風險管理都負有一定的責任,首席執行官是最終的負責人,應該承擔所有責任。其他管理人員支持本實體的風險管理哲學,促進遵守風險偏好,在職責和風險承受能力相一致的范圍內管理風險。風險職員、財務人員、內部審計師和其他人員通常有重要的支持職責。其他的實體人員負責按照既定的指令和會議記錄執行風險管理。董事會對企業風險管理提供重要的監督,知道并贊成本實體的風險偏好。一些外部參與者,例如客戶、賣主、企業合伙人、外部審計師、監管人員和財務分析家常常提供對實現企業風險管理有用的信息,但他們并不對其效果負責任,他們也不是本實體企業風險管理的一部分。本報告的組織
本報告分為兩卷。第一卷包括本框架和《執行總結》。該框架規定了企業風險管理,描述了原則和概念,為企業和其他組織內部各級管理部門評估和增強企業風險管理的效果提供了方向。執行總結是指導首席執行官和其他高級執行人員、董事會成員和監管人員的一種高層次的檢查。第二卷,《應用技術》提供了說明在采用本框架要素中有用的技術。
本報告的使用
作為本報告結果可能采取的建議行動取決于涉及的各當事方的地位和作用:
● 董事會----董事會應與高級管理層討論本實體企業風險管理框架的狀況,提供必要的監督。董事會應該保證知道絕大多數重大風險和管理層正在采取的行動,以及如何保證有效的企業風險管理。董事會應該考慮從內部審計師、外部審計師和其他人那里尋找輸入信號。
● 高級管理層----此次的研究建議首席執行官評價本組織的企業風險管理能力。在另一種方法中,首席執行官將經營單位的負責人和主要職能負責人聚集在一起討論企業風險管理能力和效果的初步評價。不管采取什么形式,初步評價應該確定在哪里需要和如何進行范圍更廣和更深入的評估。
● 其他實體人士----管理人員和其他人士應該考慮他們是如何根據本框架執行他們的職責,與更高級的人員討論加強企業風險管理的想法。內部審計師應該考慮企業風險管理重點方面的廣度。● 監管人員----本框架可以促進分享企業風險管理,包括能做的事及其局限性的看法。監管人員對他們監督的實體不管是根據規則或指南,還是進行檢查,在確定預期值方面可以參考本框架。● 專業人士的組織----規則制定和提供財務管理、審計和相關專題指南的其他專業人士組織應該考慮根據本框架制定他們的準則和指南。消除在概念和專業術語方面的多樣化程度,使所有參與者都受益。
● 教育者----本框架可以作為學術研究和分析的題目,以觀察未來可以 采取哪些強化措施。根據這一假定,本報告可成為公認的理解的共同基礎,其概念和術語應能發現其進入大學課程的渠道。
作為共同理解的基礎,所有的參與者將能夠用共同的語言說話和進行更有效的溝通。企業的執行人員將定位在對照準則評價其公司的企業風險管理的過程,并強化這一過程,使本企業朝著既定的目標前進。進一步的研究可以發揮超出既定基礎的杠桿作用。立法人員和監管人員將能夠增強對企業風險管理的理解,包括其好處和局限性。隨著所有的參與者都使用共同的企業風險管理框架,這些好處將得到實現。
內部環境包括一個組織的基調,制定作為整個實體的人們如何審視和重視風險的依據,包括風險管理哲學和風險偏好、正直性和道德價值以及他們經營的環境。
● 目標設定----在管理部門能夠識別影響其業績的潛在事件之前,必須存在有目標。企業風險管理保證管理部門制定目標的過程到位,選定的目標支持和本實體的使命聯成一體,并與風險偏好相一致。● 事件識別----必須識別影響一個實體實現目標的內部和外部事件,區別風險和機會。機會開辟了反饋管理部門戰略或目標制定過程的渠道。
● 風險評估----要分析風險,考慮可能性和影響,作為決定如何管理風險的依據。在固有的和有后效的基礎上評估風險。
● 風險反饋----管理部門選擇風險反饋----即避免、接受、降低或分攤風險,開發一系列行動,使風險與實體的風險承受能力和風險偏好聯成一體。
● 控制活動----政策和程序的制定有助于保證有效地執行風險反饋。
● 信息與溝通----以一種能夠促進人們履行其職責的形式和時間框架來識別、捕捉和溝通相關風險。有效的溝通同樣發生在更廣泛的意義上,即在實體內從上到下、相互交叉和自下而上的溝通。● 監控----對企業風險管理的整體進行監控并根據需要進行修改。通過持續的管理活動,分別評估,或二者同時進行來實現監控。
企業風險管理不是一個嚴格的系列過程,一個部分只影響下一個部分。它又是一種多方向的重復的過程,在這一過程中幾乎所有的任何部分都可能會影響另一個部分。
目標與組成部分的關系
在一個實體奮力實現的目標和體現實現目標所必須的企業風險管理組成部分之間存在一種直接的關系。這種關系被描述為立體結構中的三維矩陣模型。
四種目標分類----戰略、經營、報告和合法----由縱向欄目所代表,八個組成部分橫向排列,一個實體的單位由第三個層面所代表。這種描繪勾畫出整個企業風險管理重點的能力,或通過目標分類、組成部分、實體單位或任何子集合說明整個企業風險管理。
效果
確定一個實體的企業風險管理是否“有效”是對八個組成部分的表現以及是否有效運行進行評估的一種判斷。這些組成部分同樣可作為有效的企業風險管理的標準。因為這幾個組成部分的存在及適當運行不可能產生重大的缺陷,風險需要也已控制在一個實體的風險偏好之內。
當確定企業風險管理在四類目標的每一類中都是有效的,相應地也就為董事會和管理層提供合理的保證,使他們了解整個實體戰略和經營目標正在實現的程度和整個實體的報告是可靠的并遵守適用的法律法規。
八個組成部分在每一個實體的運行并不是完全相同的。例如,在中小型實體中的應用可能不那么正式,結構不那么完整。不過,小的實體仍然可以有有效的企業風險管理,只要每一個組成部分都存在并適當運行。
局限性
在企業風險管理提供重要好處的同時,也存在著局限性。在上述討論的因素之外,局限性來自在決策制定過程中人的判斷可能出現錯誤,反饋風險的決策,制定控制需要考慮相關成本和效益,因為人類的失誤,例如簡單的錯誤或過失可能會造成計劃的失敗,控制可以防止兩個人或更多人勾結串通事件的發生,但管理部門有能力否決企業風險管理決策。這些局限性會妨礙董事會和管理層對本實體目標實現所具有絕對的保證。圍繞內部控制
內部控制是企業風險管理的一個組成部分。本企業風險管理框架圍繞內部控制,為管理部門形成一個更健全的概念論和工具。在《內部控制----整合框架》中對內部控制進行了定義和描述。因為此框架已經經受了時間的考驗,并成為現行法律法規和規則的依據,文件保留了內部控制的定義和框架。在本框架中只有《內部控制----整合框架》原文部分是復制的,該框架的整體作為關聯部分已結合到本框架中。
作用與職責
在實體中的每一個人對企業風險管理都負有一定的責任,首席執行官是最終的負責人,應該承擔所有責任。其他管理人員支持本實體的風險管理哲學,促進遵守風險偏好,在職責和風險承受能力相一致的范圍內管理風險。風險職員、財務人員、內部審計師和其他人員通常有重要的支持職責。其他的實體人員負責按照既定的指令和會議記錄執行風險管理。董事會對企業風險管理提供重要的監督,知道并贊成本實體的風險偏好。一些外部參與者,例如客戶、賣主、企業合伙人、外部審計師、監管人員和財務分析家常常提供對實現企業風險管理有用的信息,但他們并不對其效果負責任,他們也不是本實體企業風險管理的一部分。
本報告的組織
本報告分為兩卷。第一卷包括本框架和《執行總結》。該框架規定了企業風險管理,描述了原則和概念,為企業和其他組織內部各級管理部門評估和增強企業風險管理的效果提供了方向。執行總結是指導首席執行官和其他高級執行人員、董事會成員和監管人員的一種高層次的檢查。第二卷,《應用技術》提供了說明在采用本框架要素中有用的技術。
本報告的使用
作為本報告結果可能采取的建議行動取決于涉及的各當事方的地位和作用:
● 董事會----董事會應與高級管理層討論本實體企業風險管理框架的狀況,提供必要的監督。董事會應該保證知道絕大多數重大風險和管理層正在采取的行動,以及如何保證有效的企業風險管理。董事會應該考慮從內部審計師、外部審計師和其他人那里尋找輸入信號。
● 高級管理層----此次的研究建議首席執行官評價本組織的企業風險管理能力。在另一種方法中,首席執行官將經營單位的負責人和主要職能負責人聚集在一起討論企業風險管理能力和效果的初步評價。不管采取什么形式,初步評價應該確定在哪里需要和如何進行范圍更廣和更深入的評估。
● 其他實體人士----管理人員和其他人士應該考慮他們是如何根據本框架執行他們的職責,與更高級的人員討論加強企業風險管理的想法。內部審計師應該考慮企業風險管理重點方面的廣度。● 監管人員----本框架可以促進分享企業風險管理,包括能做的事及其局限性的看法。監管人員對他們監督的實體不管是根據規則或指南,還是進行檢查,在確定預期值方面可以參考本框架。● 專業人士的組織----規則制定和提供財務管理、審計和相關專題指南的其他專業人士組織應該考慮根據本框架制定他們的準則和指南。消除在概念和專業術語方面的多樣化程度,使所有參與者都受益。
● 教育者----本框架可以作為學術研究和分析的題目,以觀察未來可以 采取哪些強化措施。根據這一假定,本報告可成為公認的理解的共同基礎,其概念和術語應能發現其進入大學課程的渠道。
作為共同理解的基礎,所有的參與者將能夠用共同的語言說話和進行更有效的溝通。企業的執行人員將定位在對照準則評價其公司的企業風險管理的過程,并強化這一過程,使本企業朝著既定的目標前進。進一步的研究可以發揮超出既定基礎的杠桿作用。立法人員和監管人員將能夠增強對企業風險管理的理解,包括其好處和局限性。隨著所有的參與者都使用共同的企業風險管理框架,這些好處將得到實現。
第五篇:內控-重大風險和突發事件應急管理
企業內部控制—重大風險和突發事件應急管理
一、業務目標
1.防范、控制和化解公司在復雜多變的經營環境中的重大風險和突發事件。
2.加強公司對重大風險和突發事件的管理,有效預防和及時處理重大風險和突發事件,提高公司保障生產安全、處置突發事件的能力。
3.降低重大風險和突發事件對公司財產、資金損失。
4.預警與應急處理機制,符合國家相關法律法規和公司規章制度。
二、業務風險
1.重大風險和突發事件的發生嚴重影響公司戰略的執行與實現。2.重大風險和突發事件影響公司正常經營活動。
3.重大風險和突發事件造成重大人員、財產損失。
4.違反國家相關法律、法規和公司內控制度,可能遭受外部經濟處罰,造成公司經濟損失和信譽損失,影響公司社會形象。
三、業務范圍
本業務流程主要描述公司應對重大風險和突發事件的業務流程。
重大風險和突發事件是指與公司生產經營相關的、突然發生的,可能造成公司的正常經營受到影響甚至無法繼續經營的自然災害、重大意外事故,導致公司財產、人員以及投資者利益受到嚴重損失,產生區域性或全國性社會影響,可能導致或轉化為嚴重影響證券市場穩定,從而需要采取應急處置措施的事件。
四、業務流程步驟及控制點 1.重大風險和突發事件分級
1.1.特別嚴重事件:公司全面爆發風險,涉及范圍廣泛,無法繼續經營,導致公司財產、人員遭受嚴重損失,造成區域性甚至全國性的重大影響;
1.2.嚴重事件:公司爆發大規模風險,涉及范圍廣泛,無法正常經營,導致公司財產遭受較大損失。
1.3.較重事件:公司發生重大突發風險,正常經營受到影響,公司財產遭受一定程度的損失,有可能導致或轉化為嚴重影響證券市場穩定的重大突發事件; 1.4.一般事件:公司發生突發風險,正常經營受到一定影響,可能導致公司財產、人員遭受損失。
2.重大和突發事件機構設置與職責
2.1.公司應結合實際情況,依法、科學、合理建立健全公司重大風險和突發事件工作責任制和管理制度,建立安全員管理制度和獎懲制度,及時化解潛在風險,防患于未然。
2.2.成立重大和突發事件應急處置工作小組,由總經理和各部門經理組成,總經理任組長,對公司重大和突發事件負全責。負責領導、檢查、監督、處理公司重大風險和突發事件的管理及處置工作,公司人行經理任副組長,在總經理指導下,負責組織公司重大風險和突發事件的具體管理,并向總經理報告工作。
2.2.1.應急處置工作小組及辦公室主要職責包括:
(1)擬定突發事件應急管理方案并組織指揮處理重大風險和突發事件及其善后的各項工作的實施;
(2)決定啟動和終止重大風險和突發事件處理系統;
(3)與總部保持通訊聯系,與外部政府相關管理部門保持工作銜接;(4)收集、整理、分析突發事件相關信息資料及發生的原因;(5)協調和處理重大風險和突發事件處置過程中對外宣傳報道工作;(6)及時趕赴事發現場,組織對事故現場的管理,并向公司管理層和地方政府相關部門報告突發事件基本情況,不能瞞報、遲報和謊報情況。作好后勤保障,穩定現場情況,避免事態擴大;
(7)定期或及時評估重大風險;
(8)調查分析事故原因,編寫事故報告,提出對相關責任人的處理建議,報公司管理層審議;
(9)其他相關工作。
2.3.公司應正確處理發展與穩定的關系,加強風險防范,管理層應認真履行相關職責。
3.重大風險和突發事件處置原則 公司對重大風險和突發事件的處置以“預防為主、常備不懈、預防與應急相結合”為原則,實行統一領導、統一組織、分類管理、分級負責、居安思危、快速反應、措施果斷、協同配合,做到切實可行、積極應對。
4.預警、應急及事后處理
4.1.應急處置工作小組、公司各部門對日常工作中發現的有可能導致或轉化為重大風險和突發事件的各類風險信息及時開展跟蹤、分析、監測及評估,加強信息報告和預警。
4.2.重大風險和突發事件發生后,公司所屬各部門負責人,應在第一時間向應急處置工作小組成員進行匯報并在第一線了解跟蹤事件發生和變化的全過程,及時向公司應急處置工作小組報告事件信息,并提供專業分析意見,采取有效的應急措施,防止事態發展,最大限度地減少損失和影響程度。
4.3.應急處置工作小組應當迅速做出應急反應,研究并提出處置方案和建議,按照政府有關部門和證券監管部門的決策,具體組織實施各項應急措施,并結合實際情況進行處置,完善應急手段和措施。
4.4.重大風險和突發事件發生后,公司應急處置工作小組根據要求和重要性,統一對外發布信息,未經核實和授權,任何人不得隨意對外透露相關信息。重大風險和突發事件處理完畢后,公司應嚴格遵照相關規定,及時公平地向所有投資者披露公司的重大突發事件,有針對性的提供公司相關內容及情況,批駁謠言,報告真相。在投資者中樹立公平、誠信的公司形象,切實保護投資者的合法權益。
4.5.重大風險和突發事件發生后,公司在應急處置工作小組的統一指揮下,按國家的有關部門和證券監管部門規定和要求,及時開展處置工作;在處置過程中,公司應對可能產生的連鎖事件作出評估,采取相應措施。
4.6.公司應對本制度規定的特別嚴重事件、嚴重事件、較重事件類重大風險和突發事件予以高度關注。事件涉及的部門和單位應在上述突發事件發生30分鐘內,將事件情況、已采取的措施、聯絡人及聯系方式等報告至應急處置工作小組,由應急處置工作小組再上報相關部門。事件涉及的公司部門應在上述突發事件發生的3小時內將詳細情況書面報告至應急處置工作小組,應急處置工作小組在接到書面報告后,及時向相關部門遞交該書面報告。4.7.發生本制度一般事件類重大風險和突發事件時,應急處置工作小組應及時整理書面資料報總部。
4.8.對于重大突發事件中的傷亡人員、應急處置工作人員,以及緊急調集、征用有關單位及個人的物資,應急處置工作小組應當按照規定給予撫恤、補助、補償或相關援助;協調有關部門做好疫病防治、環境污染消除工作以及保險理賠工作。
4.9.重大風險和突發事件發生后,公司領導應立即取消出差、休假等,主要負責人應迅速返回工作崗位,按照職責立即開展工作,研究事件發生的原因、趨勢和可能出現的后果并提出解決事件的建議,采取相應措施。
4.10.重大風險和突發事件結束后,公司及各部門應及時總結該事件處置過程中的經驗教訓,評估應急預案的實施效果,形成書面報告,并對應急預案進行修改和完善。
4.11.對重大風險和突發事件處理進行責任分解,并納入公司績效考核體系。依據相關規定對相關責任人進行批評、處罰,后果嚴重的還要給予黨紀、政紀及司法程序方面的處置。
4.12.公司應當建立重大風險和事故舉報制度,公布統一的舉報電話和郵箱地址。
4.13.建立重大風險和事故獎懲制度。5.重大風險和突發事件包括
5.1.違反國家相關法律、法規對公司造成重大社會影響,導致巨額索賠,致使公司遭受經濟損失,投資者利益遭受損害。
5.2.因公司產品質量或環境衛生出現問題,導致群體性中毒事件發生,造成企業形象受到嚴重損害。
5.3.公司網絡遭受黑客攻擊和計算機發生病毒,造成公司信息不暢,導致業務中斷、客戶流失。
5.4.公司出現資不抵債的情況,償債能力突然惡化,嚴重影響公司經營。5.5.公司內部關系惡化,出現集體上訪事件,社會影響惡劣。
5.6.公司管理層突然辭職,主要負責人失蹤或被司法機關采取強制措施。5.7.公司發生重大安全事故,重大資產流失。5.8.公司信息披露出現重大遺漏,造成股價出現異常波動,引發媒體報導。5.9.其他重大風險和突發事件。6.應急保證
6.1.應急處置工作小組根據處置需要,召集參與處置人員開展工作,被召集的人員應服從應急處置工作小組的指揮。
6.2.公司在重大風險和突發事件處置過程中,應保證24小時專人值班,保持通訊的暢通;同時做好交易、登記、結算、通訊系統的各項準備工作,建立備份系統,并定期檢查,保證設備安全、可用。同時,要及時對技術系統進行全面升級和完善,提高系統應對突發事件的能力。
6.3.公司對相關工作人員定期進行基本知識培訓,開展經常性的法律、法規及預防、預警、避險、避災常識等宣傳教育活動和活動有效性的測試。
7.編制突發事件專題調查處理報告,報告內容包括: 7.1.事件發生時間、性質和影響范圍; 7.2.對公司可能造成的損失或影響程度; 7.3.已經采取的控制措施;
7.4.對引發事件原因的分析。要求客觀準確,實事求是。7.5.下一步采取的防范措施。7.6.對相關責任人進行處理的建議。
7.7.事故報告應分別報公司經營管理層、當地政府相關部門。8.事件調查的信息披露應按照上市公司相關規定執行。
五、相關制度目錄
《中華人民共和國突發事件應對法》 《中華人民共和國公司法》 《中華人民共和國證券法》 《上市公司內部控制指引》
六、主要控制點
1.重大和突發事件機構設置與職責 2.重大風險和突發事件處置原則
3.預警、應急及事后處理,事后報告分析及整改,以及應急保障措施等。
七、相關檢查資料
應急領導小組名單及職責權限、應急事件的舉報信、重大和突發事件的處理程序及保障措施制度、重大突發事件的分析報告及處理措施以及事后整改報告等。
點擊咨詢 