讨论内容
企业风险管理的必要性
案例分析 教训与启示
企业风险管理框架
股东对企业风险管理最关心的四个问题 风险管理框架:一个基础、三道防线 构建风险管理的关键成功要素
财务报告系统的内部控制
1
财务报告系统的功能 财务报告系统的典型问题 美国索克斯法的主要规定及要求 如何建立内控以满足索克斯法的要求
管理人网-免费海量下载www.manaren.com
第一部分 企业风险管理的必要性
2
管理人网-免费海量下载www.manaren.com
企业风险管理的必要性
案例分析:
• 安然公司
• 世通公司 • 八百伴公司 • 百富勤公司 • 三家国有控股上市公司
• 巴林银行
–回顾事件发生的经过
–了解引致公司倒闭或严重损失的内控缺陷
–从案例中吸取的教训
3
管理人网-免费海量下载www.manaren.com
案例一:美国安然公司 (Enron)
在2002年,安然是美国最大的石油和天然气企业之一
2001年末,安然宣布第三季度录得6.4亿美元的亏损,美国证
监会对该公司进行调查,发现该公司在1997以来虚报利润5.8
亿美元
2001年末,安然申请破产保护令,但在之前10个月内,公司 却因股票价格超越预期目标而向董事及高级管理人员发放 3.2亿美元的红利
4
管理人网-免费海量下载www.manaren.com
调查发现:
• 安然的董事会及审计委员会均采取不干预(“hands-off”) 监控 政策 • 事件发生之后,部分董事表示不太了解安然的财务状况、 期货及期权的业务 • 安然重视短期的业绩指标 • 安然管理高层常常藐视或推翻公司制定的内控制度
5
管理人网-免费海量下载www.manaren.com
案例二:美国世通公司 (Worldcom)
世通是美国第二大的电信公司
2002年,世通被发现利用把营运性开支反映为资本性开支等
弄虚作假的方法,多年来虚报利润735亿美元 世通于2002年末申请破产保护令,成为美国历史上最大的破 产个案 世通的四名主管(包括公司的CEO和CFO) 承认串谋讹诈,被 联邦法院刑事起诉
6
管理人网-免费海量下载www.manaren.com
调查发现:
• 世通的董事会持续赋予公司的CEO(Bernard Ebbers) 绝对的权 力,让他一人独揽大权 • 美国证监会的调查报告指出:世通完全没有制衡机制 • 世通的董事会并没有负起监督管理层的责任
• 世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金
7
管理人网-免费海量下载www.manaren.com
案例三:英国巴林银行 (Barings Bank)
巴林银行在90年代前是英国最大的银行之一,有超过200年 的历史 1992-1994年期间,巴林银行新加坡分行的总经理里森(Nick Lesson) ,从事日本大阪及新加坡交易所之间的日经
指数期 货套期对冲和债券买卖活动 ,累积亏损超过10亿美元,导 致巴林银行于1995年2月破产
调查发现:
• 巴林银行的高层对里森所从事的业务并不了解
• 巴林缺乏职责划分的机制 • 巴林银行的高层对财务报告不重视
8
管理人网-免费海量下载www.manaren.com
案例四:日本八百伴 (Yohan)
在90年代,八百伴是日本最大的百货公司之一
1997年9月,八百伴宣布破产,向法院申请“公司更生法”保 护,当时八百伴的负债额达1,613亿日元,是日本战后最大 的一宗企业破产案
调查发现:
• 八百伴低估经营非核心业务的风险 • 八百伴低估扩张业务的风险 • 八百伴低估了开发新兴市场的风险
9
管理人网-免费海量下载www.manaren.com
案例五:香港百富勤公司 (Peregrine)
在90年代,百富勤原是亚洲除日本外的最大投资银行 金融风暴冲击下,百富勤在短短一年内出现入不敷出,至 1999年月1月宣布破产
调查发现:
• 香港政府在调查百富勤的报告中表示,百富勤倒闭的原因主要 是由于缺乏有效风险管理、内控体制和完善的财会报告系统 • 百富勤虽然设立了信贷委员会和风险管理部门,但却未能制衡 业务部门强大的权力 • 百富勤忽略发展新兴市场的风险 • 百富勤低估了利率和汇率波动的风险
10
管理人网-免费海量下载www.manaren.com
案例六:投资与出售股权权益
某国有控股的上市企业(简称“国企A”)于19X4年以约4.2亿元人民币
收购某汽车制造公司95%权益,两年后,该国企以3.2亿元人民币向
一家马来西亚公司出售其在汽车公司中50%的权益,而记录了一笔 4,000万元人民币的营业外收入。但其后,该马来西亚公司并没有按 协议支付交易金额,而交易亦被迫中断。19X7年,国企A为掩饰交 易失败而重新与三家公司签约,以3.2亿元人民币的同样金额将汽 车公司的50%权益转售给这三家公司,但这三家公司最终都没有向 国企A支付任何款项。
11
管理人网-免费海量下载www.manaren.com
调查发现:
1. 国企A未有就对外投资建立完善的风险管理,投资前既没有清楚考 虑其高级管理层缺乏汽车制造业的经验,亦没做好可行性研究的各 种分析。 2. 在出售投资权益予该马来西亚公司时,并未充分考虑对方的信誉和 偿付能力,亦未有利用买卖协议为可能出现的违约事件提供保障。
3. 在转售投资权益予该三家公司时,并未披露这三家公司均为关联的
“空壳公司”。财务报表亦没有如实反映交易中断的情况。
4. 汽车公司从成立至19X9年的5年间,一直未能调试投产,亦未有竣 工验收,最终,该国企以大幅度低于成本的价钱,把该汽车公司出 售,造成严重亏损。
12
管
理人网-免费海量下载www.manaren.com
案例七:投资非核心性业务
某国营企业(简称“国企B”)于19X6至19X8的两年间,动用接近10亿
元人民币,投资了15家公司,而该国企在每家公司的权益均在10% 至30%之间,这些公司的业务范围包括金融、包装材料、汽车零部 件、房地产开发、贸易和通信等。
调查发现:
1. 国企B未有就对外投资建立完善的风险管理系统。
2. 这15家公司大部分没有为国企B提供经审计的财务报表,亦
一直未派股息;国企B亦没有利用投资协议来保障其权益。
13
管理人网-免费海量下载www.manaren.com
案例八: 某香港上市公司
某国有控股在香港上市的公司(简称“国企C”)没有遵守上市 规则的要求,在没有得到股东批准的情况下,向一位董事的 关联公司提供港币1.6亿元的贷款和港币1.96亿元的银行信用 证担保,该贷款和信用证担保的总额占上市公司资本金的 30% 款项贷出后,该关联公司一直不予还款,而国企C为该关联 公司所提供的银行信用担保当中的港币9,500万元已被有关 银行提出追讨
14
管理人网-免费海量下载www.manaren.com
调查发现:
• 国企C的公司治理结构不规范,出现一小撮人独揽大权
• 国企C并没有建立合规方面的风险管理机制
• 国企C的财务报告系统既没有为上述关联交易作出适当的披 露,亦没有为拖欠的贷款提取坏账准备
15
管理人网-免费海量下载www.manaren.com
教训与启示
• 常言:
「智者从别人失败经验中吸取教训,
聪明者从自己失败经验中吸取教训,
愚者则永不懂从经验中学习。」
16
管理人网-免费海量下载www.manaren.com
我们可以从上述案例中吸取什么教训?
1. 熟悉企业本身的业务与相关风险 • 切记:避免制定不切实际的目标或盲目扩展投资,使企 业承受无谓的风险 2. 建立内控和相互制衡的机制 • 切记:权力过分集中就会出现腐败的情况 3. 紧盯着现金 • •
17
所有犯案、挪用公款和偷窃行为均与现金有关 常言:“会计数字只是参考意见,现金才真正令你感到 踏实。”
管理人网-免费海量下载www.manaren.com
4.
合理制定绩效评估与激励机制 • “如果你发现精明的员工做出蠢事,你应意识到这可能 是因为他们受到公司的绩效与激励机制的诱导而产生的 结果。”
5.
建立规范和健全的财务报告系统 • 财务报告系统必须有能力为企业提供及时、准确和具高 分析性的财务资料,以帮助管理层管理业务和赢取股东 的信心
18
管理人网-免费海量下载www.manaren.com
6.
深化企业风险管理文化 • 要建立健康的企业文化及价值观,企业必须: – 由上而下,身体力行,建立严谨的“风纪” ,使员 工能上
行下效 – 订立管理原则和行为规范 – 通过绩效管理的方法,鼓励正确的行为和态度 • 加强培训和沟通 – 企业必须建立有效机制,使员工能从企业本身或其 他企业所犯的错误(或接近犯错)的经验中,吸取教 训
19
管理人网-免费海量下载www.manaren.com
第二部分 企业风险管理框架
20
管理人网-免费海量下载www.manaren.com
什么是风险管理?
企业风险管理是一套由企业董事会与管理层共同 设立、和与企业战略相结合的管理流程。它的功 能是识别那些会影响企业运作的潜在事件和把相 关的风险管理到一个企业可接受的水平,从而帮 助企业达至它的目标。 美国内控研究委员会
21
管理人网-免费海量下载www.manaren.com
企业为何要建立风险管理?
因为企业的股东与管理层常常要面 对一些令他们寝食难安的问题。因 此,企业需要系统化地建立一套风 险管理体制,从而识别影响企业盈 利的关键因素,并对那些会影响企 业达标的风险进行监控及管理
22
管理人网-免费海量下载www.manaren.com
股东对企业风险管理最关心的四个问题:
1. 企业知道它所面对的主要风险吗?
例如:什么风险正在或将会影响企业的业务? 企业的品牌 新产品、新市场的开发 战略联盟 客户或供应链的管理
理想的情况: 企业能开发一套标准的、共通的风险语言,从 而识别企业所面对的风险,并就其严重的程度 进行排序。共通的风险语言亦有利于企业上下 层就风险的管理进行沟通
23
管理人网-免费海量下载www.manaren.com
2. 企业是否已对这些风险设置内部控制? 企业需要就各业务单位在日常运作中所面对的风险(战略性 风险、业务性风险、流程性风险),构建内部控制(包括预防 性控制及觉察性控制) ,以确保企业能实现目标和符合各方 面的法律、法规
理想的情况: 企业就其所面对的风险和采取的内控,编制 一套完整的文档,并借鉴国际最佳的实务不 断进行检讨
24
管理人网-免费海量下载www.manaren.com
3. 企业的内部控制有效吗? 企业要对其内控系统不间断地进行监控和测试,以确保其对 风险控制的能力 理想的情况: 企业把各类风险控制在可接受的水平,并在 这基准上赚取合理的回报
25
管理人网-免费海量下载www.manaren.com
4. 哪一些内部控制必须改进?
企业内部和内部环境的变化会不停地影响企业所面对的风 险和所应采取的监控措施
理想的情况: 企业能建立一套具前瞻性的信息管理系统和预 警系统,使企业能及时识别新生的风险,并对 相关的业务计划、政策和程序进行修正
26
管理人网-免费海量下载www.manaren.com
企业风险管理框架
• • 一个基
础 三道防线
第三道防线 第二道防线
董事会
审计委员会 风险管理 委员会
管理层 CEO 业务部门
内部审计 第一道防线
27
风险管理
管理人网-免费海量下载www.manaren.com
一个基础:公司治理结构
什么是公司治理? 公司治理是涉及公司的表现:它关系到一家公司如何得到 有效的管理,从而发挥最佳表现
公司治理是涉及责任的问题:它关系到董事会及管理层如
何向股东负责,而使股东能从公司的表现中得益
28
管理人网-免费海量下载www.manaren.com
公司治理与风险管理有什么关系?
公司治理是风险管理的一个必要的组成部份,因为它提供了对 风险由上而下的监控与管理
近年多个国家都订立了公司治理的最佳守则:
• • • • 美国:纽约证交所最佳治理守则 英国:Cadbury/Hampel Report、The Combined Code 加拿大:Dey Report OECD Report
这些最佳守则均清楚指出建立风险管理是董事会及管理层 的责任
29
管理人网-免费海量下载www.manaren.com
如何构建一个有利风险管理的公司治理结构?
建立一个健全的、以董事会为首的公司治理结构
订立企业的目标和战略,包括企业的风险政策和极限
贯彻一套重视风险管理的企业文化和价值观
30
管理人网-免费海量下载www.manaren.com
第一道防线:业务单位防线
业务单位包含了企业大部分的资产和业务,它们在日常工 作中面对各类的风险,是企业的前线 企业必须把风险管理的手段和内控程序融入到业务单位的 工作与流程中,才能建立好防范风险的第一道防线
31
管理人网-免费海量下载www.manaren.com
如何建立第一道防线
1. 了解企业战略目标及可能影响企业达标的风险
2. 识别风险类别
3. 对相关风险作出评估
4. 决定转移、避免或减低风险的策略
5. 计设及实施风险策略的相关内部控制
32
管理人网-免费海量下载www.manaren.com
风险宇宙
筹划与开发 执行 监察与沟通 策略 社区责任 声誉 道德 组织结构 风险管理 董事会及 管理层业绩 董事会活动
竞争对手 市场变化 国家情况 经济情况 市场结构
股东 顾客 政府 供应商 利益有关方 沟通 雇员 人才资源 民风与文化
生产及流通 市场与销售 商品/服务开发 生产程序 其他 有形资产 机器、厂房 与土地 有形资产
法规 合约 负债 法律
管治
营商环境
营运
TM
(风险宇宙 )
财务
市场
商品 利率 流动资产与 信贷 现金管理 对冲
资信
财务报告
税务 会计
交易
变卖
流程 估值与 选择买家
资本结构
股东资本 债务
制度 硬件 软件 网络
资信管理 运营 组织与监察
知识产权 无形资产 知识管理 信息
并购
尽职调查 并购后整合
外汇
融资
合规
评估与甄选
33
管理人网-免费海量下载www.manaren.com
战略性风险 • 战略性风险是指公司因作出战略性错误的决定而导致经济 上的损失
• 战略性风险是业务单位、高级管理层和董事会的共同责任 • 常见的战略性风险包括: –与战略性伙伴的合作 –企业的目标与方针 –投资和融资的策略 –市场潜在的威胁
–业务的范围(深度与广度) –员工的素质和雇员关系 –企业的信息及监控系统 –品牌及形象的建立
34
管理人网-免费海量下载www.manaren.com
信贷风险
•
•
信贷风险是指贷款人或合同的另一方因不能履行合约 而使公司产生经济损失的风险 常见的信贷风险包括: – 贷款未能回收 – 应收帐款未能回收 – 债券跌价 (因信贷评级的减值或债务人未能履行付 款义务) – 买卖金融市场产品而未能兑现 – 企业因合资、合作、联盟、外包等经济活动而产生 或暴露的信贷风险
管理人网-免费海量下载www.manaren.com
35
市场风险 • • 市场风险是指因市场价格或利率波动而使公司产生经济 损失的风险 构成市场风险的三大因素: –因买卖或投资金融产品而产生的风险 –因资产与负债错配、或原材料与产成品价格不能同 步浮动而产生的风险 –资金流动性风险 常见的市场风险包括: –利率风险 –外汇风险 –股票与债券市场风险 –商品价格风险 –期货、期权与衍生工具风险
管理人网-免费海量下载www.manaren.com
•
36
操作风险
• 操作风险是指企业内部流程、人为错误或外部因素而令公司产生 经济损失的风险,它包括了公司的流程风险、人为风险、系统风 险、事件风险和业务风险等 流程风险是指交易流程中出现错误而引致损失的风险,流程包括 如:销售、定价、记录、确认、出货/提供服务等环节。流程风险 也包括合规性风险 人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而引 致损失的风险 系统风险是指因系统失灵、数据的存取和处理、系统的安全和可 用性、系统的非法接入与使用而引致损失的风险 事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而 引致损失的风险 业务风险是指因市场或竞争环境出现预期以外的变化而引致损失 的风险,所涉及的问题包括市场策略、客户管理、产品开发、销 售渠道和定价等领域
管理人网-免费海量下载www.manaren.com
•
• • • •
37
风险发生的可能性
评分
5 4
可能性
几乎肯定 极可能
说明
在未来12个月内,这项风险几乎肯定会出现至少 1次 在未来12个月,这项风险极可能出现1次
3
2 1
可能
低 极低
在未来2至10年内,这项风险可能出现1次
在未来10至100年内,这项风险可能
出现至少1次 这项风险出现的可能性极低,估计在100年内出现 的可能性少于1次
38
管理人网-免费海量下载www.manaren.com
风险对企业造成的影响
评分 损失程度
5 4 3 2 1 灾难 重大 中等 轻微
说明
令企业失去继续运作的能力(或占税前利润达20%) 对于企业在争取完成其策略性计划和目标,造成重 大影响(5-10%税前利润) 对于企业在争取完成其策略性计划和目标的过程, 在一定程度上造成阻碍(至5%税前利润) 对于企业在争取完成其策略性计划和目标,只造成 轻微影响(至1%税前利润)
近乎没有 影响程度十分轻微
39
管理人网-免费海量下载www.manaren.com
风险处理方法的效果
评分
5 4
有效性
说明
3 2
1
40
极度过头 处理方法能直接针对该项风险,但相信会令企业业 绩 “倒退” 或成本过高 处理方法能直接针对该项风险,但由于需要投入大 过头 量资源或/及将其他资源转到处理该项风险上,会 对企业的效率造成影响 处理方法有效针对该项风险,同时并不影响企业的 适中 效率 处理方法针对该项风险的效果不理想,或投入处理 低效 该风险的资源不充分或/及对投入的资源未有适当 利用 近乎没有 处理方法的效果十分低,可能是由于企业根本没有 处理方法,又或处理手法不当 效果
管理人网-免费海量下载www.manaren.com
风险地图(或风险共同语言)
说明:
几乎 肯定
A B
C
极可能 可 能 性
F
可能
G
K
D I
E J
H
A – 人力资源风险 B – 财务风险 C – 竞争风险 D – 开发风险 E – 过度自信风险 F – 系统故障风险 G – 主要客户风险 H – 欺诈风险 I – 政治风险 J – 薪酬奖励风险 K – 科技风险
低
极低 近乎没有 轻微 中等 影响程度 重大 灾难
41
管理人网-免费海量下载www.manaren.com
风险处理组合
A B G C E D I J
说明: A – 人力资源风险 B – 财务风险 C – 竞争风险 D – 开发风险 E – 过度自信风险 F – 系统故障风险 G – 主要客户风险 H – 欺诈风险 I – 政治风险 J – 薪酬奖励风险 K – 科技风险
极高
F
H
K
风 险 评 级
高
中等
低 采取行动 近乎没有效果
低效
适中
处理评级
超标
极度
密切监控 定期审阅
42
管理人网-免费海量下载www.manaren.com
风险处理策略
高
转移
可 能 性
避免
可接受
低 小
43
小心管理
影响程度
管理人网-免费海量下载www.manaren.com
大
风险处理策略
风险策略 • 避免 • 小心管理
– 投资 – 广泛保护的安排 – 订价反映风险程度 – 禁止交易 – 减少或限制交易量 – 离开市场
高 转移 避免
• 转移
– – – –
• 可接受
可 能 性
– 自我保险 套期 – 预留储备 保险 – 增加监督 策略性联盟 其他分担风险的安排
可接受 低 小
小
心管理
影响程度
大
44
管理人网-免费海量下载www.manaren.com
第一道防线:总结
企业建立的第一道防线,就是要各业务单位就其战略性风 险、信贷风险、市场风场和操作风险等等,系统化地进行 分析、确认、度量、管理和监控 企业需要把评估风险与内控措施的结果进行记录和存档, 对内控措施的有效性不断进行测试和更新
第三道防线 第二道防线
董事会
审计委员会 风险管理 委员会
管理层 CEO 业务部门
内部审计 第一道防线 风险管理
45
管理人网-免费海量下载www.manaren.com
第二道防线:风险管理单位防线
第二道防线是在业务单位之上建立一个更高层次的风险管理功 能,它的组成部份可能包括风险管理部门、信贷审批委员会、 投资审批委员会 风险管理部的责任是领导和协调公司内各单位在管理风险方面 的工作,它的职责包括: • 编制规章制度 • 对各业务单位的风险进行组合管理 • 度量风险和评估风险的界限 • 建立风险信息系统和预警系统 、厘定关键风险指标 • 负责风险信息披露、沟通、协调员工培训和学习的工作 • 按风险与回报的分析,为各业务单位分配经济资本金
46
管理人网-免费海量下载www.manaren.com
第三道防线:内审单位防线
第三道防线涉及一个独立于业务单位的部门,监控企业
内控和其他企业关心的问题 内部审计的定义:
“内部审计是一项独立、客观的审查和咨询活动,其 目的在于增加企业的价值和改进经营。内审通过系统 的方法,评价和改进企业的风险管理、控制和治理流
程的效益,帮助企业实现其目标。” 美国内部审计师协会
47
管理人网-免费海量下载www.manaren.com
内部审计的三大功能
财务监督 • 财务帐的可用性 • 内部管理和制度的执行 • 典型例子:检查分、子公司上报总部的财务报表的 准确性以及执行财务管理政策的情况 经营诊断 • 管理审计以及效率和效益审计 • 检查和诊断经营和管理过程中的偏差和失误 • 典型例子: 企业对某业务单位或某部门执行效益审计 (一个输入与产出的关系)
48
管理人网-免费海量下载www.manaren.com
咨询顾问 • • 企业风险管理和发展策略方面的咨询 调查领导关心的热点问题和管理薄弱环节
•
典型例子: 兼并收购时调查被投资公司的内部管理和
流程操作,了解薄弱环节或其他影响并购 交易的重大事项,从而确定管理方法和 并购策略
49
管理人网-免费海量下载www.manaren.com
构建企业风险管理的关键成功要素
1. 股东确立对企业监督的机制,考虑是否需要在集团层面:
•
• •
引入以董事会领导的管理体制
聘任有经验的
外部董事,来加强对企业的监督 要求企业建立风险管理和内控系统,并对其运作及有 效性作出定期的汇报
50
管理人网-免费海量下载www.manaren.com
2. 管理高层的支持和参与 • 确立方向和目标
•
•
回报
营造必要的环境
为平衡风险与回报作出战略性的决定
冒险程度 冒险程度 冒险程度 调整风险 – 不够进取 – 理想范围 – 高危
风险与回报 成正比?
后的回报
风险
51
风险
管理人网-免费海量下载www.manaren.com
3. 建立风险管理文化 • 风险管理的手段,必须融入日常的管理流程 • • 通过讨论和培训,使风险管理的实施得到“全民” 的支持 通过经验的分享,不断加强风险管理的认同性
4. 采用先进的风险管理的实施方法 • 借鉴如美国 Treadway 委员会所提出的COSO内控框架 • 采用各种识别和度量风险的先进的方法 • 采用标准的模板和程序确认风险、评估风险、建立记录 和文档、参考国际最佳实务,构建信息管理系统和预警 系统
52
管理人网-免费海量下载www.manaren.com
第三部分
财务报告系统的内部控制
53
管理人网-免费海量下载www.manaren.com
财务报告系统的功能
分析和修正
企业远景、 战略和目标
企业经营、 管理和控制
企业业绩的 度量和报告
财务报告系统
财 务 信 息 披 露 和 报 告
股东
监管部门
其他利益 相关者
54
管理人网-免费海量下载www.manaren.com
财务报告系统管理
目标:更自动化、更程序化、更规 范化 缩短编制时间、减少人为错误
加强业务与财会人员之间的沟通 了解会计准则的要求,减少个别主 观人为判断
经常性业务交易
非经常性业务交易
资料和数据的处理
财务报告系统
55
管理人网-免费海量下载www.manaren.com
财务报告系统的典型问题
1.
• • •
输入资料不准确或不完整
缺乏内部控制 员工缺乏应有的知识和资历 对资料的要求不清晰 如何确认收入? • 会计科目设计不完善 • 依靠人手操作或缺乏合适和 统一的电子核算平台
2.
•
缺乏一套清晰和统一的会计政策
• 如何反映对外投资? • 如何记录各类金融衍生工具?
•
•
如何计提准备金?
如何界定经营性与 资本性支出?
56
管理人网-免费海量下载www.manaren.com
财务报告系统的典型问题
3. 关帐或财务结算程序不规范 • 没有明确财务结算的工作和程序 • 没有利用标准的结算表/模板 • 没有订立重要性的门槛 4. 未能披露或提供重要信息
• • • •
57
什么数据或差异需要进行分析? 需要与什么数据进行比较? 分析需要得到什么数据的支持? 什么资料可协助管理层加强管理?
管理人网-免费海量下载www.manaren.com
财务
报告系统和内部控制的关系
财务报告系统是为企业内部管理提供信息和与外部利益相 关者(如股东、监管机构)沟通的主要工具和媒介
财务报告系统需要一个完善的内部控制环境,才能及时和
有效地执行和发挥它应有的作用
58
管理人网-免费海量下载www.manaren.com
内部控制的作用
内部控制的作用在于保证/保护:
• 信息(会计信息和经营信息)的可靠性和完整性 • 遵循政策、计划、程序、法律和法规 • 资产的安全 • 提高经营效益和效能 • 实现经营的目标和防止浪费资源
59
管理人网-免费海量下载www.manaren.com
内部控制不能: • 将一个原本拙劣的管理体系改变成一个优良的管理体系 • 影响环境因素,如政府的法规和政策、竞争对手的行动 或经济状况
• 保证企业的成功或不会面临倒闭的命运
• 杜绝员工或管理层舞弊和欺诈的行为
60
管理人网-免费海量下载www.manaren.com
美国索克斯法的主要规定及要求
61
管理人网-免费海量下载www.manaren.com
SOA404法案总体要求
第404节(a) • 要求企业在提交年报时(20-F)一并提交内部控制及财务报告程序 的有效性管理报告。 第404节(b) • 要求审计师就管理层内控报告出具验证意见。
SOA404生效日期: • 美国本土上市公司:于2004年11月15日或以后的财务年度; • 非美国本土上市公司:于2006年7月15日或以后的财务年度(此 日期已再次延后)。
62
管理人网-免费海量下载www.manaren.com
SOA 404 的要求
要求年度报告中要包括“内部控制报告”, 其具体内容为:
管理层责任的声明:管理层有责任建立和维护健全的内部控制制度以确保财 务报表的合理和准确性; 管理层的评价的声明:关于在财政年度末有关财务报表的内部控制有效性的 评价; 评价框架的说明:明确指出管理层适用于评价有关财务报表的内部控制有效 性的框架; 关于外部审计师已出具关于管理层评价的鉴定报告的声明。
该准则不允许管理层在已发现内部控制制度有一处或多处“重大缺陷”时,作 出有关财务报表内部控制有效的认定。该准则同时要求管理层披露评价过程中 发现的任何“重大缺陷”。 尽管准则中没有明确说明,但是通常认为,财政年度中已发现并已纠正的“重 大缺陷”不影响管理当局在财政年度末作出有关财务报表的内部控制有效的评 价。
63
管理人网-免费海量下载www.manaren.com
SOA 404 要求(续)
准则对“有关财务报表的内部控制”的定义为: “公司主要的管理人员或者主要的财务管理人员设计内控政策和控制程序, 并监督其执行,以便对财务报告是按照公认会计准则编制以及财务报表的
可 靠程度做出合理的保证。” 该控制政策和控制程序主要包括: • 合理地保证会计记录合理、准确、详细并公允地反映公司的日常交易 和资产处理; • 合理地保证对所有交易都作了必要适当的记录以便于按照公认会计准 则编制财务报表,并且收入和支出活动均经管理当局和董事会的适当 授权; • 合理地保证防止或及时发现对财务报表有重大影响的未经授权的资产 采购、使用或处置。
64
管理人网-免费海量下载www.manaren.com
SOA 404 要求(续)
评价有关财务报表的内部控制: 准则强调指出管理层必须制定并保存有关内部控制的书面文件, 包括关于内部 控制设计和测试程序的文件, 从而为管理当局评价有关财务报表的内部控制有 效性提供合理的保证。这些书面文件是有效的内部控制的首要条件。 管理当局的评价必须基于评价内部控制设计的有效性和测试其执行的有效性 的程序。询问本身并不能为内部控制的评价提供足够的基础。 有关评价的内部控制包括:
对形成、记录、处理和调节账户余额、交易的分类和披露以及财务报表的 相关认定的控制。 对形成和处理非常规交易和非系统化交易的控制; 对防止、确认和发现舞弊的控制。
65
管理人网-免费海量下载www.manaren.com
如何建立内控以满足索克斯法的要求
66
管理人网-免费海量下载www.manaren.com
建立符合404法案要求的内控框架
方法
项目计划 评估阶段: 准备资料并评估控制 测试并监督控制 报告
理解内部 控制的概 念
组织项目 小组进行 评估
评估公司 层面的控 制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制的有效性, 管理层出具 确定应改进的地方并建 内部控制 立监督系统 报告
•
COSO 中对内部 控制的定义是一 个很好的开端。
•选择适合的项目 •以评估公司层面 小组以及制定详 的控制作为评估 细的项目计划是 工作的开始。 项目成功的关键。
•此阶段是一个复杂而费时的 阶段,需要记录并理解各交 易环节的流程及其相关的控 制。
•最后的阶段是根据评估结 果形成总体评价。 •制订监督程序。
时间进度:
制定程序,确立项目小组,项目进度 准备资料,进行详细测试,并修正控制 的不足。 审计师对管理层声明的审验
67
管理人网-免费海量下载www.manaren.com
理解内 部控制 的概念
COSO内控框架
Committee of Sponsoring Organisation of The Treadway Commission (COSO) 为内控开发了一个全面的框架 这个内控框架是唯一被美国证监会 确认为完整、全面和不偏依的内控 框架 构建内部控制须分两个层面: • 公司层面
• 流程、交易及资讯科技应用层
面
68
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
COSO 内控框架
内控环境
业务部门
风险评估 控制活动 信息和沟通 监控
管理人网-免费海量下载www.manaren.com
业务功能
整体
组织项目小组进行评估
• 高层参与 • 各业务部门之参与
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 财务、内审、计算机管理部门之参与
69
管理人网-免费海量下载www.manaren.com
如何构建内部控制— 公司层面的评估
方面
控制环境 • • • • • • • • • • • • • • • • • • • • • •
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
需考虑的因素
高管层的诚信、道德和行为 控制意识和经营风格 胜任能力和承担 董事会或审计委员会的监管 组织结构、权限和责任 人力资源政策和程序 风险评估流程 对重要事件的预测、识别和反应机制 识别会计准则差异、业务操作和内部控制变化的程序 提供完整的业绩报告 与业务策略相联系 持续开发、测试和监控计算机系统和程序 计算机业务持续性系统和应急计划 便于职员履行职责而建立的沟通渠道 有必要的政策和程序 有明确的财务目标,并对其主动监控 合理的职责分离 预算与实际情况的定期比较 对文件、记录和财产的适当保管 对内部控制的定期评估 实施改进建议 建立内部审计职能以实施监控
评估内控的整体的有效性,找出有 待改进的地方,并建立一个监控体 系
风险评估
信息和沟通
控制活动
监控
理解内部控制的定义
组织项目小组实施评 估工作
在全公司层面评估 内部控制
在流程、交易和应用层面,理解和评估 内部控制
管理层关于内部控制 的报告
70
管理人网-免费海量下载www.manaren.com
公司层面的内控─控制环境
• 企业道德规范与价值观 • 员工的行为操守与企业文化 • 公司治理结构和政策
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
•
董事会及各委员会的构成
• 企业规章制度 • 董事会与管理层之间的关系、权力和职责
71
管理人网-免费海量下载www.manaren.com
公司层面的内控─风险评估
达标的风险?
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 企业是否拥有既定的程序以确定、评估和度量影响企业
先进的内审部门?
风险管理部门? 全面风险评估? • 企业有否详细记录评估风险的结果?有否进行详细的讨 论和沟通?
72
管理人网-免费海量下载www.manaren.com
公司层面的内控─信息和沟通
责及促进沟通
• 企业是否拥有一个合适的电子平台 处理管理信息和数据 确保信息能够及时发放
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 企业的架构是否能够令各部门及业务单位明确各自的职
确保各类信息和报告的准确性和可用性
73
管理人网-免费海量下载www.manaren.com
公司层面的内控─控制活动
• 规章制度
• 审批程序 • 资产实物的安全 • 特殊报告 • 表现指标 • 信息系统控制 • 职责划分
74
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
管理人网-免费海量下载www.manaren.com
理解内 部控制 的概念
公司层面的内控─控制活动
规章制度
• 董事会及各委员会的章程 • 企业风险政策 • 员工招聘守则 • 企业采购政策
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 会计及财务管理守则
75
管理人网-免费海量下载www.manaren.com
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
公司层面的内控─控制活动
审批程序
• 一种预防性的控制措施
• 确保规章制度得以落实执行 • 知识与经验分享 • 责任的承担
76
管理人网-免费海量下载www.man
aren.com
公司层面的内控─控制活动
资产实物的安全
• 档案/库存上锁 • 减少利用现金交易
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 办工室安全系统 / 警铃
• 资料数据库进入的限制 • 保安人员 • 员工身份证 • 机器上的标记 • 隐型录相机
77
管理人网-免费海量下载www.manaren.com
公司层面的内控─控制活动
特殊报告
• 逾期应收款报告 • 工作超时完成报告 • 原材料不合格报告
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 机器故障报告
• 产品不合格或退货报告 • 存货台帐红字报告
78
管理人网-免费海量下载www.manaren.com
公司层面的内控─控制活动
表现指标
• 预算与实际比较 • 项目管理报告 • 财务指标报告
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
2000 1500 1000 500 0 Q1 Q2 Q3 Q4
• 系统可用性报告
• 员工利用率报告
79
管理人网-免费海量下载www.manaren.com
公司层面的内控─控制活动
职责划分
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 一种员工之间相互制约的控制, 以减少出错或越权的情况
• 不能由同一人发起、批准和记录一宗交易
• 不能由同一人保管和记录资产
• 定期轮换职责,在日常运作中的主要控制点应有高管人员的
参与或由独立的人员作出审查
80
管理人网-免费海量下载www.manaren.com
公司层面的内控─控制活动
高
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
控制不够
风 险 程 度
低
风险控制 平衡的区域
低
过份控制
高
控制效果
81
管理人网-免费海量下载www.manaren.com
公司层面的内控─监控
理解内 部控制 的概念
组织项 目小组 进行评 估
评估
公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 监控是对一定时期内内部控制执行质量的评价程序, 考虑相关内部控制是否能够满足最初设计的目标,并 保证在不同情况下进行适当的修改。 • 考虑并记录是否定期对内部控制进行评价;管理层是 否采纳内部和外部审计师关于内部控制的建议;是否 存在内部审计部门以协助管理层进行监控。
82
管理人网-免费海量下载www.manaren.com
程序、交易及资讯科技应用层面
行 为
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
确认财务帐户及其相关系统
从财务角度
2004 Financial Statements
记录系统及控制
评估/监督
步 骤
财务报告
关键账项
从程序角度
?
关键流程 可能发生的错误 控制 评估/监督
固有风险及主 要经营风险 主 要 关 注 点 选出容易发生重大差错 的关键 账 项*
管理层对财务 报表的认定
• 存在 (资产负债表)与发 类型: • 交易流程 生(利润表) • 完整性(资产负债表/利 • 惯例 润表 ) • 特殊 • 估价(资产负债表)与计量 • 估计 (利润表) • 权利与义务 (资产负债表) 对每一种认定应考虑:
• 在流程的哪一交易环节容易发 生错误? • 例如: 帐户:现金或应付 程序:支付 认定:估价
检验: 对差错的监督 防止: 防止出现差错
由何人来执行? 是否有程序自动控制? •识别处理系统
评估因素:
• 竞争力、完整性、员 工的忠诚度及管理层 的监管能力 • 管理层之间的摩擦 • 职责划分 • 控制的稳定性
是否有人工或自动的程序确保 支票或转账的数目与审批的付 款数目一致?
*单项差错或几项差错如不被发现,可能对财务报表造成重大影响,或导致非法行为或利益冲突。即使造成非重大影响,也会对公司的信誉、与客
户及投资者的关系,以及公众形象造成负面影响。
83
管理人网-免费海量下载www.manaren.com
重要性
• 404的要求管理层有责任建立和维护健全的内部控制 制度以确保财务报表所有重大方面的合理和准确性 Staff Accounting Bulletin No. 99 -“重要性”指引
上市公司和审计人员在估计项目的重要性时必须同 时考虑金额的和性质的因素。
84
管理人网-免费海量下载www.manaren.com
重要性 – 指引
• 不能完全依赖金额标准-上市公司在判断某一项目对财务报表是否重要时 不能完全依赖金额标准,而应同时考
虑金额和性质的因素;
• 蓄意的错误-蓄意的错误,无论重要与否,都是不可接受的;
• 蓄意违反联邦法律的故意错报-上市公司须遵守1934年颁布的《证券交易 法》第13章(b) (2)-(7)的规定。即使某一项目的错报并不重要,但是其违反 了联邦法律,这种蓄意的错报都是不可接受的; • 操纵利润-凡是操纵利润导致的错报,无论金额大小都是不可接受的; • 错报个体和总体-上市公司应单独考虑每一项错报的重要性,并考虑其对 错报总体的影响; • 小金额错报-性质重要的小金额错报也应当引起重视。
85
管理人网-免费海量下载www.manaren.com
重要性-金额的重要性
• 设定会计报表层面的重要性水平:
• • 上市公司-在持续经营的情况下,会计报表层面的重要性水平通常为税前利润的5%; 在满足下列部分标准的情况下,会计报表层面的重要性水平可以提高到税前利润的6%-8%:
•
• • • • •
公司的经营环境不会发生迅速的变化;
公司采取多样化经营,发展前景较好,并且财务状况良好; 公司的内部控制有效;
如果公司的净利润很小、几乎为零,或者持续若干年在亏损和盈利之间徘徊,则重要性水 平设定为销售收入的0.5% - 1% 或毛利的1% - 2%较为适当 ; 当公司的经营情况恶化,公司资产的流动性的强弱变得比经营成果的高低更为重要时,重 要性水平通常为净资产的1% - 5% ; 当以上三种情况均不适用时,即销售收入很小或接近于零, 没有经营利润,净资产实质上为 零,则重要性水平通常为总资产的0.25 % - 0.5%.
• 设定会计科目层面的重要性水平:
•
86
通常为会计报表层面重要性水平的50%;.
管理人网-免费海量下载www.manaren.com
重要性-性质的重要性
如果某一会计科目具有以下一个或一个以上的性质,则该科目余额是重要的: 1. 2. 3. 4. 5. 6. 7. 8. 9. 科目由复杂的成分组成; 易受人为操纵或易发生损失; 重要的账户性质; 发生交易量大; 复杂的会计处理和披露要求; 账户余额需由主观判断决定; 存在关联方交易; 本期外部环境(例如,法律法规,会计准则等)或报告的要求发生变化; 受固有风险和商业风险的直接影响。
87
管理人网-免费海量下载www.manaren.com
识别重要科目
• 审阅每一个业务部门的资产负债 表、损益表和披露 • 基于以下因素决定重要科目: 科目性质和发生重大错 误的固有可能性 业务的规模、组成和交 易数量 对人为操纵和损失的敏 感性 主观性及风险 交易、会计处理和报告 的复杂程度
88
利润表 营业额 耗煤 折旧及摊销 其它收入 … 资产负债表 物业、机械装置及设备 在建工程 预付租赁 无形资产
存货 应收账款 现金及现金等价物 …
重要科目
X
X
管理人网-免费海量下载www.manaren.com
识别交易和流程的类别
• 识别影响各个重要科目的主要交 易和流程的类别 • 基于以下因素决定重要的交易和 流程: 交易、会计处理和报告的复 杂程度 交易活动的风险程度和发生 重大错误的固有可能性 业务的规模、组成和交易数 量 对人为操纵和损失的敏感性 管理层监督的程度和汇报流 程
89
重要科目
物业、机械装置及设备 建筑物 发电机及相关机器和设备 汽车、家具、固定装置、设备 及其他
X
管理人网-免费海量下载www.manaren.com
识别具体地点和业务部门
• 识别影响每一个重要交易和相关流程类别的地点和业务部门 • 基于以下因素决定哪些地点和业务部门是重要的: 不同的流程 当地风险 记录文档 公司整体的控制
北京
建筑物 发电机及相关机器和设备
分公司 分公司 分公司 子公司 子公司 子公司 x x x x x x x
x x
90
管理人网-免费海量下载www.manaren.com
识别业务和认定
• 在每一个重要地点和业务部门,识别影响每个重要科目及其相关披露的 关键业务流程和业务活动 • 基于以下因素决定有哪些认定与每项流程活动相关联:
交易、会计处理和报告的复杂程度 交易活动的风险程度和发生重大错误的固有可能性 对人为操纵或损失的敏感性
重要项目 关键业务流程 详细业务流程
发电机及相关机器 和设备
购置及应付 折旧及计提 减值准备
评估新项目投资的建议 采办订单管理 供应商资料库的管理 应付款程序管理
91
管理人网-免费海量下载www.manaren.com
If the guideline control is not applicable, then please state a reason.
92
管理人网-免费海量下载www.manaren.com
识别“什么会出错?”和相关的控制
• 在每一个重要地点和业务部门,对影响每个重要科目的关键业 务流程确定 “什么会出错?” • 就可能发生的差错找出相对应的控制 • 为确保控制的相关性和设计的有效,考虑可能发生的错误 • 加强识别与财务报表相关的重要风险的能力 • 将花费在较次要流程上的时间减到最少
93
管理人网-免费海量下载www.manaren.com
二级流程
控制目标
财务报表认定
财务报表风险
应有控制手段
评估新项目投资 的建议
保证资本投资 的合理授权和 审批符合集团 的政策规定
价值和 计量
资本投资没有得到 正确的评估以及 IRR 出现负值从而 导致公司的损失
具备标准的政策指标 和价值模型来评估资 本投资
存在和发生
出于舞弊和虚报的 目的提出未经授权 的投资建议
投资建议必须经过相
关负责人的复合和审 批
…
…
…
94
管理人网-免费海量下载www.manaren.com
实质性控制 描述 控制策划人
控制频率 相关政策 规定 控制设计的有效 性
补救措施
应当对实质性控制提供尽可 能详尽的细节描述,以便具 备相应知识水平的人员能够 正确合理的予以执行。这些 描述必须依照控制的本质去 描述,并随着控制的变化而 不断修正更新,但不可以描 述成在未来才可以予以实施 或者具备一定条件才可以实 施的控制。
控制策划者是指负责更 正那些不可能实际实施 的控制的人员。这种更 正包括 更新控制文件 (适当的流程图和控制 表格和其他相关的文件) 对于拥有同一控制的不 同经济业务有可能设置 同一控制策划者。
这是为了符合相关流 程、指南(包括授权 的指南)、准则、系 统说明、工作描述等 等。
控制实施的频繁度说 明了该控制在与其特 有的风险评估相关的 流程中的重要性。可 以选择是每日/每周/ 每月/每年两次/每年 或其他。
95
管理人网-免费海量下载www.manaren.com
评估整体控制的有效性,确定 应改进的地方并建立监督系统
1. 2. 3. 4. 5. 6.
96
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
内控设计缺陷之弥补 业务流程之穿行测试 主要内控点之测试策略 主要内控点实际操作之测试 内控实际操作缺陷之弥补及再测试 评估整体财务报告内控的有效性
管理人网-免费海量下载www.manaren.com
挑战—成本和效益
管理层面对的挑战 • 为了进行评价和支持其声明,管理层必须了解、记录、 评估、测试和监督公司内部控制的有效性; • 管理层须要在公司层面以及每个重要程序层面(影响所有 重要科目的程序)开展广泛的内控文档化及评估程序,并 建立监督该些控制的程序。 • 目前大部分公司在这些方面并不具备详细程度足够的文 档; • 大量的初期和持续资源投入。
97
管理人网-免费海量下载www.manaren.com
挑战—成本和效益
除了法规的遵循,公司应考虑从404项目的实施实现其他效益, 其中可能包括: 1. 使管理层能将注意力集中在影响财务报告的关键风险范 畴;
2. 确保存在于不同层面的所有关键风险范畴均得到处理; 3. 向所有员工传达关键风险的概念,提高其控制意识; 4. 提高公司的形象和加强投资者的信心。
98
管理人网-免费海量下载www.manaren.com
谢 谢!
99
管理人网-免费海量下载www.manaren.com
讨论内容
企业风险管理的必要性
案例分析 教训与启示
企业风险管理框架
股东对企业风险管理最关心的四个问题 风险管理框架:一个基础、三道防线 构建风险管理的关键成功要素
财务报告系统的内部控制
1
财务报告系统的功能 财务报告系统的典型问题 美国索克斯法的主要规定及要求 如何建立内控以满足索克斯法的要求
管理人网-免费海量下载www.manaren.com
第一部分 企业风险管理的必要性
2
管理人网-免费海量下载www.manaren.com
企业风险管理的必要性
案例分析:
• 安然公司
• 世通公司 • 八百伴公司 • 百富勤公司 • 三家国有控股上市公司
• 巴林银行
–回顾事件发生的经过
–了解引致公司倒闭或严重损失的内控缺陷
–从案例中吸取的教训
3
管理人网-免费海量下载www.manaren.com
案例一:美国安然公司 (Enron)
在2002年,安然是美国最大的石油和天然气企业之一
2001年末,安然宣布第三季度录得6.4亿美元的亏损,美国证
监会对该公司进行调查,发现该公司在1997以来虚报利润5.8
亿美元
2001年末,安然申请破产保护令,但在之前10个月内,公司 却因股票价格超越预期目标而向董事及高级管理人员发放 3.2亿美元的红利
4
管理人网-免费海量下载www.manaren.com
调查发现:
• 安然的董事会及审计委员会均采取不干预(“hands-off”) 监控 政策 • 事件发生之后,部分董事表示不太了解安然的财务状况、 期货及期权的业务 • 安然重视短期的业绩指标 • 安然管理高层常常藐视或推翻公司制定的内控制度
5
管理人网-免费海量下载www.manaren.com
案例二:美国世通公司 (Worldcom)
世通是美国第二大的电信公司
2002年,世通被发现利用把营运性开支反映为资本性开支等
弄虚作假的方法,多年来虚报利润735亿美元 世通于2002年末申请破产保护令,成为美国历史上最大的破 产个案 世通的四名主管(包括公司的CEO和CFO) 承认串谋讹诈,被 联邦法院刑事起诉
6
管理人网-免费海量下载www.manaren.com
调查发现:
• 世通的董事会持续赋予公司的CEO(Bernard Ebbers) 绝对的权 力,让他一人独揽大权 • 美国证监会的调查报告指出:世通完全没有制衡机制 • 世通的董事会并没有负起监督管理层的责任
• 世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金
7
管理人网-免费海量下载www.manaren.com
案例三:英国巴林银行 (Barings Bank)
巴林银行在90年代前是英国最大的银行之一,有超过200年 的历史 1992-1994年期间,巴林银行新加坡分行的总经理里森(Nick Lesson) ,从事日本大阪及新加坡交易所之间的日经
指数期 货套期对冲和债券买卖活动 ,累积亏损超过10亿美元,导 致巴林银行于1995年2月破产
调查发现:
• 巴林银行的高层对里森所从事的业务并不了解
• 巴林缺乏职责划分的机制 • 巴林银行的高层对财务报告不重视
8
管理人网-免费海量下载www.manaren.com
案例四:日本八百伴 (Yohan)
在90年代,八百伴是日本最大的百货公司之一
1997年9月,八百伴宣布破产,向法院申请“公司更生法”保 护,当时八百伴的负债额达1,613亿日元,是日本战后最大 的一宗企业破产案
调查发现:
• 八百伴低估经营非核心业务的风险 • 八百伴低估扩张业务的风险 • 八百伴低估了开发新兴市场的风险
9
管理人网-免费海量下载www.manaren.com
案例五:香港百富勤公司 (Peregrine)
在90年代,百富勤原是亚洲除日本外的最大投资银行 金融风暴冲击下,百富勤在短短一年内出现入不敷出,至 1999年月1月宣布破产
调查发现:
• 香港政府在调查百富勤的报告中表示,百富勤倒闭的原因主要 是由于缺乏有效风险管理、内控体制和完善的财会报告系统 • 百富勤虽然设立了信贷委员会和风险管理部门,但却未能制衡 业务部门强大的权力 • 百富勤忽略发展新兴市场的风险 • 百富勤低估了利率和汇率波动的风险
10
管理人网-免费海量下载www.manaren.com
案例六:投资与出售股权权益
某国有控股的上市企业(简称“国企A”)于19X4年以约4.2亿元人民币
收购某汽车制造公司95%权益,两年后,该国企以3.2亿元人民币向
一家马来西亚公司出售其在汽车公司中50%的权益,而记录了一笔 4,000万元人民币的营业外收入。但其后,该马来西亚公司并没有按 协议支付交易金额,而交易亦被迫中断。19X7年,国企A为掩饰交 易失败而重新与三家公司签约,以3.2亿元人民币的同样金额将汽 车公司的50%权益转售给这三家公司,但这三家公司最终都没有向 国企A支付任何款项。
11
管理人网-免费海量下载www.manaren.com
调查发现:
1. 国企A未有就对外投资建立完善的风险管理,投资前既没有清楚考 虑其高级管理层缺乏汽车制造业的经验,亦没做好可行性研究的各 种分析。 2. 在出售投资权益予该马来西亚公司时,并未充分考虑对方的信誉和 偿付能力,亦未有利用买卖协议为可能出现的违约事件提供保障。
3. 在转售投资权益予该三家公司时,并未披露这三家公司均为关联的
“空壳公司”。财务报表亦没有如实反映交易中断的情况。
4. 汽车公司从成立至19X9年的5年间,一直未能调试投产,亦未有竣 工验收,最终,该国企以大幅度低于成本的价钱,把该汽车公司出 售,造成严重亏损。
12
管
理人网-免费海量下载www.manaren.com
案例七:投资非核心性业务
某国营企业(简称“国企B”)于19X6至19X8的两年间,动用接近10亿
元人民币,投资了15家公司,而该国企在每家公司的权益均在10% 至30%之间,这些公司的业务范围包括金融、包装材料、汽车零部 件、房地产开发、贸易和通信等。
调查发现:
1. 国企B未有就对外投资建立完善的风险管理系统。
2. 这15家公司大部分没有为国企B提供经审计的财务报表,亦
一直未派股息;国企B亦没有利用投资协议来保障其权益。
13
管理人网-免费海量下载www.manaren.com
案例八: 某香港上市公司
某国有控股在香港上市的公司(简称“国企C”)没有遵守上市 规则的要求,在没有得到股东批准的情况下,向一位董事的 关联公司提供港币1.6亿元的贷款和港币1.96亿元的银行信用 证担保,该贷款和信用证担保的总额占上市公司资本金的 30% 款项贷出后,该关联公司一直不予还款,而国企C为该关联 公司所提供的银行信用担保当中的港币9,500万元已被有关 银行提出追讨
14
管理人网-免费海量下载www.manaren.com
调查发现:
• 国企C的公司治理结构不规范,出现一小撮人独揽大权
• 国企C并没有建立合规方面的风险管理机制
• 国企C的财务报告系统既没有为上述关联交易作出适当的披 露,亦没有为拖欠的贷款提取坏账准备
15
管理人网-免费海量下载www.manaren.com
教训与启示
• 常言:
「智者从别人失败经验中吸取教训,
聪明者从自己失败经验中吸取教训,
愚者则永不懂从经验中学习。」
16
管理人网-免费海量下载www.manaren.com
我们可以从上述案例中吸取什么教训?
1. 熟悉企业本身的业务与相关风险 • 切记:避免制定不切实际的目标或盲目扩展投资,使企 业承受无谓的风险 2. 建立内控和相互制衡的机制 • 切记:权力过分集中就会出现腐败的情况 3. 紧盯着现金 • •
17
所有犯案、挪用公款和偷窃行为均与现金有关 常言:“会计数字只是参考意见,现金才真正令你感到 踏实。”
管理人网-免费海量下载www.manaren.com
4.
合理制定绩效评估与激励机制 • “如果你发现精明的员工做出蠢事,你应意识到这可能 是因为他们受到公司的绩效与激励机制的诱导而产生的 结果。”
5.
建立规范和健全的财务报告系统 • 财务报告系统必须有能力为企业提供及时、准确和具高 分析性的财务资料,以帮助管理层管理业务和赢取股东 的信心
18
管理人网-免费海量下载www.manaren.com
6.
深化企业风险管理文化 • 要建立健康的企业文化及价值观,企业必须: – 由上而下,身体力行,建立严谨的“风纪” ,使员 工能上
行下效 – 订立管理原则和行为规范 – 通过绩效管理的方法,鼓励正确的行为和态度 • 加强培训和沟通 – 企业必须建立有效机制,使员工能从企业本身或其 他企业所犯的错误(或接近犯错)的经验中,吸取教 训
19
管理人网-免费海量下载www.manaren.com
第二部分 企业风险管理框架
20
管理人网-免费海量下载www.manaren.com
什么是风险管理?
企业风险管理是一套由企业董事会与管理层共同 设立、和与企业战略相结合的管理流程。它的功 能是识别那些会影响企业运作的潜在事件和把相 关的风险管理到一个企业可接受的水平,从而帮 助企业达至它的目标。 美国内控研究委员会
21
管理人网-免费海量下载www.manaren.com
企业为何要建立风险管理?
因为企业的股东与管理层常常要面 对一些令他们寝食难安的问题。因 此,企业需要系统化地建立一套风 险管理体制,从而识别影响企业盈 利的关键因素,并对那些会影响企 业达标的风险进行监控及管理
22
管理人网-免费海量下载www.manaren.com
股东对企业风险管理最关心的四个问题:
1. 企业知道它所面对的主要风险吗?
例如:什么风险正在或将会影响企业的业务? 企业的品牌 新产品、新市场的开发 战略联盟 客户或供应链的管理
理想的情况: 企业能开发一套标准的、共通的风险语言,从 而识别企业所面对的风险,并就其严重的程度 进行排序。共通的风险语言亦有利于企业上下 层就风险的管理进行沟通
23
管理人网-免费海量下载www.manaren.com
2. 企业是否已对这些风险设置内部控制? 企业需要就各业务单位在日常运作中所面对的风险(战略性 风险、业务性风险、流程性风险),构建内部控制(包括预防 性控制及觉察性控制) ,以确保企业能实现目标和符合各方 面的法律、法规
理想的情况: 企业就其所面对的风险和采取的内控,编制 一套完整的文档,并借鉴国际最佳的实务不 断进行检讨
24
管理人网-免费海量下载www.manaren.com
3. 企业的内部控制有效吗? 企业要对其内控系统不间断地进行监控和测试,以确保其对 风险控制的能力 理想的情况: 企业把各类风险控制在可接受的水平,并在 这基准上赚取合理的回报
25
管理人网-免费海量下载www.manaren.com
4. 哪一些内部控制必须改进?
企业内部和内部环境的变化会不停地影响企业所面对的风 险和所应采取的监控措施
理想的情况: 企业能建立一套具前瞻性的信息管理系统和预 警系统,使企业能及时识别新生的风险,并对 相关的业务计划、政策和程序进行修正
26
管理人网-免费海量下载www.manaren.com
企业风险管理框架
• • 一个基
础 三道防线
第三道防线 第二道防线
董事会
审计委员会 风险管理 委员会
管理层 CEO 业务部门
内部审计 第一道防线
27
风险管理
管理人网-免费海量下载www.manaren.com
一个基础:公司治理结构
什么是公司治理? 公司治理是涉及公司的表现:它关系到一家公司如何得到 有效的管理,从而发挥最佳表现
公司治理是涉及责任的问题:它关系到董事会及管理层如
何向股东负责,而使股东能从公司的表现中得益
28
管理人网-免费海量下载www.manaren.com
公司治理与风险管理有什么关系?
公司治理是风险管理的一个必要的组成部份,因为它提供了对 风险由上而下的监控与管理
近年多个国家都订立了公司治理的最佳守则:
• • • • 美国:纽约证交所最佳治理守则 英国:Cadbury/Hampel Report、The Combined Code 加拿大:Dey Report OECD Report
这些最佳守则均清楚指出建立风险管理是董事会及管理层 的责任
29
管理人网-免费海量下载www.manaren.com
如何构建一个有利风险管理的公司治理结构?
建立一个健全的、以董事会为首的公司治理结构
订立企业的目标和战略,包括企业的风险政策和极限
贯彻一套重视风险管理的企业文化和价值观
30
管理人网-免费海量下载www.manaren.com
第一道防线:业务单位防线
业务单位包含了企业大部分的资产和业务,它们在日常工 作中面对各类的风险,是企业的前线 企业必须把风险管理的手段和内控程序融入到业务单位的 工作与流程中,才能建立好防范风险的第一道防线
31
管理人网-免费海量下载www.manaren.com
如何建立第一道防线
1. 了解企业战略目标及可能影响企业达标的风险
2. 识别风险类别
3. 对相关风险作出评估
4. 决定转移、避免或减低风险的策略
5. 计设及实施风险策略的相关内部控制
32
管理人网-免费海量下载www.manaren.com
风险宇宙
筹划与开发 执行 监察与沟通 策略 社区责任 声誉 道德 组织结构 风险管理 董事会及 管理层业绩 董事会活动
竞争对手 市场变化 国家情况 经济情况 市场结构
股东 顾客 政府 供应商 利益有关方 沟通 雇员 人才资源 民风与文化
生产及流通 市场与销售 商品/服务开发 生产程序 其他 有形资产 机器、厂房 与土地 有形资产
法规 合约 负债 法律
管治
营商环境
营运
TM
(风险宇宙 )
财务
市场
商品 利率 流动资产与 信贷 现金管理 对冲
资信
财务报告
税务 会计
交易
变卖
流程 估值与 选择买家
资本结构
股东资本 债务
制度 硬件 软件 网络
资信管理 运营 组织与监察
知识产权 无形资产 知识管理 信息
并购
尽职调查 并购后整合
外汇
融资
合规
评估与甄选
33
管理人网-免费海量下载www.manaren.com
战略性风险 • 战略性风险是指公司因作出战略性错误的决定而导致经济 上的损失
• 战略性风险是业务单位、高级管理层和董事会的共同责任 • 常见的战略性风险包括: –与战略性伙伴的合作 –企业的目标与方针 –投资和融资的策略 –市场潜在的威胁
–业务的范围(深度与广度) –员工的素质和雇员关系 –企业的信息及监控系统 –品牌及形象的建立
34
管理人网-免费海量下载www.manaren.com
信贷风险
•
•
信贷风险是指贷款人或合同的另一方因不能履行合约 而使公司产生经济损失的风险 常见的信贷风险包括: – 贷款未能回收 – 应收帐款未能回收 – 债券跌价 (因信贷评级的减值或债务人未能履行付 款义务) – 买卖金融市场产品而未能兑现 – 企业因合资、合作、联盟、外包等经济活动而产生 或暴露的信贷风险
管理人网-免费海量下载www.manaren.com
35
市场风险 • • 市场风险是指因市场价格或利率波动而使公司产生经济 损失的风险 构成市场风险的三大因素: –因买卖或投资金融产品而产生的风险 –因资产与负债错配、或原材料与产成品价格不能同 步浮动而产生的风险 –资金流动性风险 常见的市场风险包括: –利率风险 –外汇风险 –股票与债券市场风险 –商品价格风险 –期货、期权与衍生工具风险
管理人网-免费海量下载www.manaren.com
•
36
操作风险
• 操作风险是指企业内部流程、人为错误或外部因素而令公司产生 经济损失的风险,它包括了公司的流程风险、人为风险、系统风 险、事件风险和业务风险等 流程风险是指交易流程中出现错误而引致损失的风险,流程包括 如:销售、定价、记录、确认、出货/提供服务等环节。流程风险 也包括合规性风险 人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而引 致损失的风险 系统风险是指因系统失灵、数据的存取和处理、系统的安全和可 用性、系统的非法接入与使用而引致损失的风险 事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而 引致损失的风险 业务风险是指因市场或竞争环境出现预期以外的变化而引致损失 的风险,所涉及的问题包括市场策略、客户管理、产品开发、销 售渠道和定价等领域
管理人网-免费海量下载www.manaren.com
•
• • • •
37
风险发生的可能性
评分
5 4
可能性
几乎肯定 极可能
说明
在未来12个月内,这项风险几乎肯定会出现至少 1次 在未来12个月,这项风险极可能出现1次
3
2 1
可能
低 极低
在未来2至10年内,这项风险可能出现1次
在未来10至100年内,这项风险可能
出现至少1次 这项风险出现的可能性极低,估计在100年内出现 的可能性少于1次
38
管理人网-免费海量下载www.manaren.com
风险对企业造成的影响
评分 损失程度
5 4 3 2 1 灾难 重大 中等 轻微
说明
令企业失去继续运作的能力(或占税前利润达20%) 对于企业在争取完成其策略性计划和目标,造成重 大影响(5-10%税前利润) 对于企业在争取完成其策略性计划和目标的过程, 在一定程度上造成阻碍(至5%税前利润) 对于企业在争取完成其策略性计划和目标,只造成 轻微影响(至1%税前利润)
近乎没有 影响程度十分轻微
39
管理人网-免费海量下载www.manaren.com
风险处理方法的效果
评分
5 4
有效性
说明
3 2
1
40
极度过头 处理方法能直接针对该项风险,但相信会令企业业 绩 “倒退” 或成本过高 处理方法能直接针对该项风险,但由于需要投入大 过头 量资源或/及将其他资源转到处理该项风险上,会 对企业的效率造成影响 处理方法有效针对该项风险,同时并不影响企业的 适中 效率 处理方法针对该项风险的效果不理想,或投入处理 低效 该风险的资源不充分或/及对投入的资源未有适当 利用 近乎没有 处理方法的效果十分低,可能是由于企业根本没有 处理方法,又或处理手法不当 效果
管理人网-免费海量下载www.manaren.com
风险地图(或风险共同语言)
说明:
几乎 肯定
A B
C
极可能 可 能 性
F
可能
G
K
D I
E J
H
A – 人力资源风险 B – 财务风险 C – 竞争风险 D – 开发风险 E – 过度自信风险 F – 系统故障风险 G – 主要客户风险 H – 欺诈风险 I – 政治风险 J – 薪酬奖励风险 K – 科技风险
低
极低 近乎没有 轻微 中等 影响程度 重大 灾难
41
管理人网-免费海量下载www.manaren.com
风险处理组合
A B G C E D I J
说明: A – 人力资源风险 B – 财务风险 C – 竞争风险 D – 开发风险 E – 过度自信风险 F – 系统故障风险 G – 主要客户风险 H – 欺诈风险 I – 政治风险 J – 薪酬奖励风险 K – 科技风险
极高
F
H
K
风 险 评 级
高
中等
低 采取行动 近乎没有效果
低效
适中
处理评级
超标
极度
密切监控 定期审阅
42
管理人网-免费海量下载www.manaren.com
风险处理策略
高
转移
可 能 性
避免
可接受
低 小
43
小心管理
影响程度
管理人网-免费海量下载www.manaren.com
大
风险处理策略
风险策略 • 避免 • 小心管理
– 投资 – 广泛保护的安排 – 订价反映风险程度 – 禁止交易 – 减少或限制交易量 – 离开市场
高 转移 避免
• 转移
– – – –
• 可接受
可 能 性
– 自我保险 套期 – 预留储备 保险 – 增加监督 策略性联盟 其他分担风险的安排
可接受 低 小
小
心管理
影响程度
大
44
管理人网-免费海量下载www.manaren.com
第一道防线:总结
企业建立的第一道防线,就是要各业务单位就其战略性风 险、信贷风险、市场风场和操作风险等等,系统化地进行 分析、确认、度量、管理和监控 企业需要把评估风险与内控措施的结果进行记录和存档, 对内控措施的有效性不断进行测试和更新
第三道防线 第二道防线
董事会
审计委员会 风险管理 委员会
管理层 CEO 业务部门
内部审计 第一道防线 风险管理
45
管理人网-免费海量下载www.manaren.com
第二道防线:风险管理单位防线
第二道防线是在业务单位之上建立一个更高层次的风险管理功 能,它的组成部份可能包括风险管理部门、信贷审批委员会、 投资审批委员会 风险管理部的责任是领导和协调公司内各单位在管理风险方面 的工作,它的职责包括: • 编制规章制度 • 对各业务单位的风险进行组合管理 • 度量风险和评估风险的界限 • 建立风险信息系统和预警系统 、厘定关键风险指标 • 负责风险信息披露、沟通、协调员工培训和学习的工作 • 按风险与回报的分析,为各业务单位分配经济资本金
46
管理人网-免费海量下载www.manaren.com
第三道防线:内审单位防线
第三道防线涉及一个独立于业务单位的部门,监控企业
内控和其他企业关心的问题 内部审计的定义:
“内部审计是一项独立、客观的审查和咨询活动,其 目的在于增加企业的价值和改进经营。内审通过系统 的方法,评价和改进企业的风险管理、控制和治理流
程的效益,帮助企业实现其目标。” 美国内部审计师协会
47
管理人网-免费海量下载www.manaren.com
内部审计的三大功能
财务监督 • 财务帐的可用性 • 内部管理和制度的执行 • 典型例子:检查分、子公司上报总部的财务报表的 准确性以及执行财务管理政策的情况 经营诊断 • 管理审计以及效率和效益审计 • 检查和诊断经营和管理过程中的偏差和失误 • 典型例子: 企业对某业务单位或某部门执行效益审计 (一个输入与产出的关系)
48
管理人网-免费海量下载www.manaren.com
咨询顾问 • • 企业风险管理和发展策略方面的咨询 调查领导关心的热点问题和管理薄弱环节
•
典型例子: 兼并收购时调查被投资公司的内部管理和
流程操作,了解薄弱环节或其他影响并购 交易的重大事项,从而确定管理方法和 并购策略
49
管理人网-免费海量下载www.manaren.com
构建企业风险管理的关键成功要素
1. 股东确立对企业监督的机制,考虑是否需要在集团层面:
•
• •
引入以董事会领导的管理体制
聘任有经验的
外部董事,来加强对企业的监督 要求企业建立风险管理和内控系统,并对其运作及有 效性作出定期的汇报
50
管理人网-免费海量下载www.manaren.com
2. 管理高层的支持和参与 • 确立方向和目标
•
•
回报
营造必要的环境
为平衡风险与回报作出战略性的决定
冒险程度 冒险程度 冒险程度 调整风险 – 不够进取 – 理想范围 – 高危
风险与回报 成正比?
后的回报
风险
51
风险
管理人网-免费海量下载www.manaren.com
3. 建立风险管理文化 • 风险管理的手段,必须融入日常的管理流程 • • 通过讨论和培训,使风险管理的实施得到“全民” 的支持 通过经验的分享,不断加强风险管理的认同性
4. 采用先进的风险管理的实施方法 • 借鉴如美国 Treadway 委员会所提出的COSO内控框架 • 采用各种识别和度量风险的先进的方法 • 采用标准的模板和程序确认风险、评估风险、建立记录 和文档、参考国际最佳实务,构建信息管理系统和预警 系统
52
管理人网-免费海量下载www.manaren.com
第三部分
财务报告系统的内部控制
53
管理人网-免费海量下载www.manaren.com
财务报告系统的功能
分析和修正
企业远景、 战略和目标
企业经营、 管理和控制
企业业绩的 度量和报告
财务报告系统
财 务 信 息 披 露 和 报 告
股东
监管部门
其他利益 相关者
54
管理人网-免费海量下载www.manaren.com
财务报告系统管理
目标:更自动化、更程序化、更规 范化 缩短编制时间、减少人为错误
加强业务与财会人员之间的沟通 了解会计准则的要求,减少个别主 观人为判断
经常性业务交易
非经常性业务交易
资料和数据的处理
财务报告系统
55
管理人网-免费海量下载www.manaren.com
财务报告系统的典型问题
1.
• • •
输入资料不准确或不完整
缺乏内部控制 员工缺乏应有的知识和资历 对资料的要求不清晰 如何确认收入? • 会计科目设计不完善 • 依靠人手操作或缺乏合适和 统一的电子核算平台
2.
•
缺乏一套清晰和统一的会计政策
• 如何反映对外投资? • 如何记录各类金融衍生工具?
•
•
如何计提准备金?
如何界定经营性与 资本性支出?
56
管理人网-免费海量下载www.manaren.com
财务报告系统的典型问题
3. 关帐或财务结算程序不规范 • 没有明确财务结算的工作和程序 • 没有利用标准的结算表/模板 • 没有订立重要性的门槛 4. 未能披露或提供重要信息
• • • •
57
什么数据或差异需要进行分析? 需要与什么数据进行比较? 分析需要得到什么数据的支持? 什么资料可协助管理层加强管理?
管理人网-免费海量下载www.manaren.com
财务
报告系统和内部控制的关系
财务报告系统是为企业内部管理提供信息和与外部利益相 关者(如股东、监管机构)沟通的主要工具和媒介
财务报告系统需要一个完善的内部控制环境,才能及时和
有效地执行和发挥它应有的作用
58
管理人网-免费海量下载www.manaren.com
内部控制的作用
内部控制的作用在于保证/保护:
• 信息(会计信息和经营信息)的可靠性和完整性 • 遵循政策、计划、程序、法律和法规 • 资产的安全 • 提高经营效益和效能 • 实现经营的目标和防止浪费资源
59
管理人网-免费海量下载www.manaren.com
内部控制不能: • 将一个原本拙劣的管理体系改变成一个优良的管理体系 • 影响环境因素,如政府的法规和政策、竞争对手的行动 或经济状况
• 保证企业的成功或不会面临倒闭的命运
• 杜绝员工或管理层舞弊和欺诈的行为
60
管理人网-免费海量下载www.manaren.com
美国索克斯法的主要规定及要求
61
管理人网-免费海量下载www.manaren.com
SOA404法案总体要求
第404节(a) • 要求企业在提交年报时(20-F)一并提交内部控制及财务报告程序 的有效性管理报告。 第404节(b) • 要求审计师就管理层内控报告出具验证意见。
SOA404生效日期: • 美国本土上市公司:于2004年11月15日或以后的财务年度; • 非美国本土上市公司:于2006年7月15日或以后的财务年度(此 日期已再次延后)。
62
管理人网-免费海量下载www.manaren.com
SOA 404 的要求
要求年度报告中要包括“内部控制报告”, 其具体内容为:
管理层责任的声明:管理层有责任建立和维护健全的内部控制制度以确保财 务报表的合理和准确性; 管理层的评价的声明:关于在财政年度末有关财务报表的内部控制有效性的 评价; 评价框架的说明:明确指出管理层适用于评价有关财务报表的内部控制有效 性的框架; 关于外部审计师已出具关于管理层评价的鉴定报告的声明。
该准则不允许管理层在已发现内部控制制度有一处或多处“重大缺陷”时,作 出有关财务报表内部控制有效的认定。该准则同时要求管理层披露评价过程中 发现的任何“重大缺陷”。 尽管准则中没有明确说明,但是通常认为,财政年度中已发现并已纠正的“重 大缺陷”不影响管理当局在财政年度末作出有关财务报表的内部控制有效的评 价。
63
管理人网-免费海量下载www.manaren.com
SOA 404 要求(续)
准则对“有关财务报表的内部控制”的定义为: “公司主要的管理人员或者主要的财务管理人员设计内控政策和控制程序, 并监督其执行,以便对财务报告是按照公认会计准则编制以及财务报表的
可 靠程度做出合理的保证。” 该控制政策和控制程序主要包括: • 合理地保证会计记录合理、准确、详细并公允地反映公司的日常交易 和资产处理; • 合理地保证对所有交易都作了必要适当的记录以便于按照公认会计准 则编制财务报表,并且收入和支出活动均经管理当局和董事会的适当 授权; • 合理地保证防止或及时发现对财务报表有重大影响的未经授权的资产 采购、使用或处置。
64
管理人网-免费海量下载www.manaren.com
SOA 404 要求(续)
评价有关财务报表的内部控制: 准则强调指出管理层必须制定并保存有关内部控制的书面文件, 包括关于内部 控制设计和测试程序的文件, 从而为管理当局评价有关财务报表的内部控制有 效性提供合理的保证。这些书面文件是有效的内部控制的首要条件。 管理当局的评价必须基于评价内部控制设计的有效性和测试其执行的有效性 的程序。询问本身并不能为内部控制的评价提供足够的基础。 有关评价的内部控制包括:
对形成、记录、处理和调节账户余额、交易的分类和披露以及财务报表的 相关认定的控制。 对形成和处理非常规交易和非系统化交易的控制; 对防止、确认和发现舞弊的控制。
65
管理人网-免费海量下载www.manaren.com
如何建立内控以满足索克斯法的要求
66
管理人网-免费海量下载www.manaren.com
建立符合404法案要求的内控框架
方法
项目计划 评估阶段: 准备资料并评估控制 测试并监督控制 报告
理解内部 控制的概 念
组织项目 小组进行 评估
评估公司 层面的控 制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制的有效性, 管理层出具 确定应改进的地方并建 内部控制 立监督系统 报告
•
COSO 中对内部 控制的定义是一 个很好的开端。
•选择适合的项目 •以评估公司层面 小组以及制定详 的控制作为评估 细的项目计划是 工作的开始。 项目成功的关键。
•此阶段是一个复杂而费时的 阶段,需要记录并理解各交 易环节的流程及其相关的控 制。
•最后的阶段是根据评估结 果形成总体评价。 •制订监督程序。
时间进度:
制定程序,确立项目小组,项目进度 准备资料,进行详细测试,并修正控制 的不足。 审计师对管理层声明的审验
67
管理人网-免费海量下载www.manaren.com
理解内 部控制 的概念
COSO内控框架
Committee of Sponsoring Organisation of The Treadway Commission (COSO) 为内控开发了一个全面的框架 这个内控框架是唯一被美国证监会 确认为完整、全面和不偏依的内控 框架 构建内部控制须分两个层面: • 公司层面
• 流程、交易及资讯科技应用层
面
68
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
COSO 内控框架
内控环境
业务部门
风险评估 控制活动 信息和沟通 监控
管理人网-免费海量下载www.manaren.com
业务功能
整体
组织项目小组进行评估
• 高层参与 • 各业务部门之参与
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 财务、内审、计算机管理部门之参与
69
管理人网-免费海量下载www.manaren.com
如何构建内部控制— 公司层面的评估
方面
控制环境 • • • • • • • • • • • • • • • • • • • • • •
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
需考虑的因素
高管层的诚信、道德和行为 控制意识和经营风格 胜任能力和承担 董事会或审计委员会的监管 组织结构、权限和责任 人力资源政策和程序 风险评估流程 对重要事件的预测、识别和反应机制 识别会计准则差异、业务操作和内部控制变化的程序 提供完整的业绩报告 与业务策略相联系 持续开发、测试和监控计算机系统和程序 计算机业务持续性系统和应急计划 便于职员履行职责而建立的沟通渠道 有必要的政策和程序 有明确的财务目标,并对其主动监控 合理的职责分离 预算与实际情况的定期比较 对文件、记录和财产的适当保管 对内部控制的定期评估 实施改进建议 建立内部审计职能以实施监控
评估内控的整体的有效性,找出有 待改进的地方,并建立一个监控体 系
风险评估
信息和沟通
控制活动
监控
理解内部控制的定义
组织项目小组实施评 估工作
在全公司层面评估 内部控制
在流程、交易和应用层面,理解和评估 内部控制
管理层关于内部控制 的报告
70
管理人网-免费海量下载www.manaren.com
公司层面的内控─控制环境
• 企业道德规范与价值观 • 员工的行为操守与企业文化 • 公司治理结构和政策
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
•
董事会及各委员会的构成
• 企业规章制度 • 董事会与管理层之间的关系、权力和职责
71
管理人网-免费海量下载www.manaren.com
公司层面的内控─风险评估
达标的风险?
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 企业是否拥有既定的程序以确定、评估和度量影响企业
先进的内审部门?
风险管理部门? 全面风险评估? • 企业有否详细记录评估风险的结果?有否进行详细的讨 论和沟通?
72
管理人网-免费海量下载www.manaren.com
公司层面的内控─信息和沟通
责及促进沟通
• 企业是否拥有一个合适的电子平台 处理管理信息和数据 确保信息能够及时发放
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 企业的架构是否能够令各部门及业务单位明确各自的职
确保各类信息和报告的准确性和可用性
73
管理人网-免费海量下载www.manaren.com
公司层面的内控─控制活动
• 规章制度
• 审批程序 • 资产实物的安全 • 特殊报告 • 表现指标 • 信息系统控制 • 职责划分
74
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
管理人网-免费海量下载www.manaren.com
理解内 部控制 的概念
公司层面的内控─控制活动
规章制度
• 董事会及各委员会的章程 • 企业风险政策 • 员工招聘守则 • 企业采购政策
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 会计及财务管理守则
75
管理人网-免费海量下载www.manaren.com
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
公司层面的内控─控制活动
审批程序
• 一种预防性的控制措施
• 确保规章制度得以落实执行 • 知识与经验分享 • 责任的承担
76
管理人网-免费海量下载www.man
aren.com
公司层面的内控─控制活动
资产实物的安全
• 档案/库存上锁 • 减少利用现金交易
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 办工室安全系统 / 警铃
• 资料数据库进入的限制 • 保安人员 • 员工身份证 • 机器上的标记 • 隐型录相机
77
管理人网-免费海量下载www.manaren.com
公司层面的内控─控制活动
特殊报告
• 逾期应收款报告 • 工作超时完成报告 • 原材料不合格报告
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 机器故障报告
• 产品不合格或退货报告 • 存货台帐红字报告
78
管理人网-免费海量下载www.manaren.com
公司层面的内控─控制活动
表现指标
• 预算与实际比较 • 项目管理报告 • 财务指标报告
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
2000 1500 1000 500 0 Q1 Q2 Q3 Q4
• 系统可用性报告
• 员工利用率报告
79
管理人网-免费海量下载www.manaren.com
公司层面的内控─控制活动
职责划分
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 一种员工之间相互制约的控制, 以减少出错或越权的情况
• 不能由同一人发起、批准和记录一宗交易
• 不能由同一人保管和记录资产
• 定期轮换职责,在日常运作中的主要控制点应有高管人员的
参与或由独立的人员作出审查
80
管理人网-免费海量下载www.manaren.com
公司层面的内控─控制活动
高
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
控制不够
风 险 程 度
低
风险控制 平衡的区域
低
过份控制
高
控制效果
81
管理人网-免费海量下载www.manaren.com
公司层面的内控─监控
理解内 部控制 的概念
组织项 目小组 进行评 估
评估
公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
• 监控是对一定时期内内部控制执行质量的评价程序, 考虑相关内部控制是否能够满足最初设计的目标,并 保证在不同情况下进行适当的修改。 • 考虑并记录是否定期对内部控制进行评价;管理层是 否采纳内部和外部审计师关于内部控制的建议;是否 存在内部审计部门以协助管理层进行监控。
82
管理人网-免费海量下载www.manaren.com
程序、交易及资讯科技应用层面
行 为
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
确认财务帐户及其相关系统
从财务角度
2004 Financial Statements
记录系统及控制
评估/监督
步 骤
财务报告
关键账项
从程序角度
?
关键流程 可能发生的错误 控制 评估/监督
固有风险及主 要经营风险 主 要 关 注 点 选出容易发生重大差错 的关键 账 项*
管理层对财务 报表的认定
• 存在 (资产负债表)与发 类型: • 交易流程 生(利润表) • 完整性(资产负债表/利 • 惯例 润表 ) • 特殊 • 估价(资产负债表)与计量 • 估计 (利润表) • 权利与义务 (资产负债表) 对每一种认定应考虑:
• 在流程的哪一交易环节容易发 生错误? • 例如: 帐户:现金或应付 程序:支付 认定:估价
检验: 对差错的监督 防止: 防止出现差错
由何人来执行? 是否有程序自动控制? •识别处理系统
评估因素:
• 竞争力、完整性、员 工的忠诚度及管理层 的监管能力 • 管理层之间的摩擦 • 职责划分 • 控制的稳定性
是否有人工或自动的程序确保 支票或转账的数目与审批的付 款数目一致?
*单项差错或几项差错如不被发现,可能对财务报表造成重大影响,或导致非法行为或利益冲突。即使造成非重大影响,也会对公司的信誉、与客
户及投资者的关系,以及公众形象造成负面影响。
83
管理人网-免费海量下载www.manaren.com
重要性
• 404的要求管理层有责任建立和维护健全的内部控制 制度以确保财务报表所有重大方面的合理和准确性 Staff Accounting Bulletin No. 99 -“重要性”指引
上市公司和审计人员在估计项目的重要性时必须同 时考虑金额的和性质的因素。
84
管理人网-免费海量下载www.manaren.com
重要性 – 指引
• 不能完全依赖金额标准-上市公司在判断某一项目对财务报表是否重要时 不能完全依赖金额标准,而应同时考
虑金额和性质的因素;
• 蓄意的错误-蓄意的错误,无论重要与否,都是不可接受的;
• 蓄意违反联邦法律的故意错报-上市公司须遵守1934年颁布的《证券交易 法》第13章(b) (2)-(7)的规定。即使某一项目的错报并不重要,但是其违反 了联邦法律,这种蓄意的错报都是不可接受的; • 操纵利润-凡是操纵利润导致的错报,无论金额大小都是不可接受的; • 错报个体和总体-上市公司应单独考虑每一项错报的重要性,并考虑其对 错报总体的影响; • 小金额错报-性质重要的小金额错报也应当引起重视。
85
管理人网-免费海量下载www.manaren.com
重要性-金额的重要性
• 设定会计报表层面的重要性水平:
• • 上市公司-在持续经营的情况下,会计报表层面的重要性水平通常为税前利润的5%; 在满足下列部分标准的情况下,会计报表层面的重要性水平可以提高到税前利润的6%-8%:
•
• • • • •
公司的经营环境不会发生迅速的变化;
公司采取多样化经营,发展前景较好,并且财务状况良好; 公司的内部控制有效;
如果公司的净利润很小、几乎为零,或者持续若干年在亏损和盈利之间徘徊,则重要性水 平设定为销售收入的0.5% - 1% 或毛利的1% - 2%较为适当 ; 当公司的经营情况恶化,公司资产的流动性的强弱变得比经营成果的高低更为重要时,重 要性水平通常为净资产的1% - 5% ; 当以上三种情况均不适用时,即销售收入很小或接近于零, 没有经营利润,净资产实质上为 零,则重要性水平通常为总资产的0.25 % - 0.5%.
• 设定会计科目层面的重要性水平:
•
86
通常为会计报表层面重要性水平的50%;.
管理人网-免费海量下载www.manaren.com
重要性-性质的重要性
如果某一会计科目具有以下一个或一个以上的性质,则该科目余额是重要的: 1. 2. 3. 4. 5. 6. 7. 8. 9. 科目由复杂的成分组成; 易受人为操纵或易发生损失; 重要的账户性质; 发生交易量大; 复杂的会计处理和披露要求; 账户余额需由主观判断决定; 存在关联方交易; 本期外部环境(例如,法律法规,会计准则等)或报告的要求发生变化; 受固有风险和商业风险的直接影响。
87
管理人网-免费海量下载www.manaren.com
识别重要科目
• 审阅每一个业务部门的资产负债 表、损益表和披露 • 基于以下因素决定重要科目: 科目性质和发生重大错 误的固有可能性 业务的规模、组成和交 易数量 对人为操纵和损失的敏 感性 主观性及风险 交易、会计处理和报告 的复杂程度
88
利润表 营业额 耗煤 折旧及摊销 其它收入 … 资产负债表 物业、机械装置及设备 在建工程 预付租赁 无形资产
存货 应收账款 现金及现金等价物 …
重要科目
X
X
管理人网-免费海量下载www.manaren.com
识别交易和流程的类别
• 识别影响各个重要科目的主要交 易和流程的类别 • 基于以下因素决定重要的交易和 流程: 交易、会计处理和报告的复 杂程度 交易活动的风险程度和发生 重大错误的固有可能性 业务的规模、组成和交易数 量 对人为操纵和损失的敏感性 管理层监督的程度和汇报流 程
89
重要科目
物业、机械装置及设备 建筑物 发电机及相关机器和设备 汽车、家具、固定装置、设备 及其他
X
管理人网-免费海量下载www.manaren.com
识别具体地点和业务部门
• 识别影响每一个重要交易和相关流程类别的地点和业务部门 • 基于以下因素决定哪些地点和业务部门是重要的: 不同的流程 当地风险 记录文档 公司整体的控制
北京
建筑物 发电机及相关机器和设备
分公司 分公司 分公司 子公司 子公司 子公司 x x x x x x x
x x
90
管理人网-免费海量下载www.manaren.com
识别业务和认定
• 在每一个重要地点和业务部门,识别影响每个重要科目及其相关披露的 关键业务流程和业务活动 • 基于以下因素决定有哪些认定与每项流程活动相关联:
交易、会计处理和报告的复杂程度 交易活动的风险程度和发生重大错误的固有可能性 对人为操纵或损失的敏感性
重要项目 关键业务流程 详细业务流程
发电机及相关机器 和设备
购置及应付 折旧及计提 减值准备
评估新项目投资的建议 采办订单管理 供应商资料库的管理 应付款程序管理
91
管理人网-免费海量下载www.manaren.com
If the guideline control is not applicable, then please state a reason.
92
管理人网-免费海量下载www.manaren.com
识别“什么会出错?”和相关的控制
• 在每一个重要地点和业务部门,对影响每个重要科目的关键业 务流程确定 “什么会出错?” • 就可能发生的差错找出相对应的控制 • 为确保控制的相关性和设计的有效,考虑可能发生的错误 • 加强识别与财务报表相关的重要风险的能力 • 将花费在较次要流程上的时间减到最少
93
管理人网-免费海量下载www.manaren.com
二级流程
控制目标
财务报表认定
财务报表风险
应有控制手段
评估新项目投资 的建议
保证资本投资 的合理授权和 审批符合集团 的政策规定
价值和 计量
资本投资没有得到 正确的评估以及 IRR 出现负值从而 导致公司的损失
具备标准的政策指标 和价值模型来评估资 本投资
存在和发生
出于舞弊和虚报的 目的提出未经授权 的投资建议
投资建议必须经过相
关负责人的复合和审 批
…
…
…
94
管理人网-免费海量下载www.manaren.com
实质性控制 描述 控制策划人
控制频率 相关政策 规定 控制设计的有效 性
补救措施
应当对实质性控制提供尽可 能详尽的细节描述,以便具 备相应知识水平的人员能够 正确合理的予以执行。这些 描述必须依照控制的本质去 描述,并随着控制的变化而 不断修正更新,但不可以描 述成在未来才可以予以实施 或者具备一定条件才可以实 施的控制。
控制策划者是指负责更 正那些不可能实际实施 的控制的人员。这种更 正包括 更新控制文件 (适当的流程图和控制 表格和其他相关的文件) 对于拥有同一控制的不 同经济业务有可能设置 同一控制策划者。
这是为了符合相关流 程、指南(包括授权 的指南)、准则、系 统说明、工作描述等 等。
控制实施的频繁度说 明了该控制在与其特 有的风险评估相关的 流程中的重要性。可 以选择是每日/每周/ 每月/每年两次/每年 或其他。
95
管理人网-免费海量下载www.manaren.com
评估整体控制的有效性,确定 应改进的地方并建立监督系统
1. 2. 3. 4. 5. 6.
96
理解内 部控制 的概念
组织项 目小组 进行评 估
评估公 司层面 的控制
理解并分别评估 程序、交易及应 用层面的风险
评估整体控制 的有效性,确 定应改进的地 方并建立监督 系统
管理层 出具 内部控 制 报告
内控设计缺陷之弥补 业务流程之穿行测试 主要内控点之测试策略 主要内控点实际操作之测试 内控实际操作缺陷之弥补及再测试 评估整体财务报告内控的有效性
管理人网-免费海量下载www.manaren.com
挑战—成本和效益
管理层面对的挑战 • 为了进行评价和支持其声明,管理层必须了解、记录、 评估、测试和监督公司内部控制的有效性; • 管理层须要在公司层面以及每个重要程序层面(影响所有 重要科目的程序)开展广泛的内控文档化及评估程序,并 建立监督该些控制的程序。 • 目前大部分公司在这些方面并不具备详细程度足够的文 档; • 大量的初期和持续资源投入。
97
管理人网-免费海量下载www.manaren.com
挑战—成本和效益
除了法规的遵循,公司应考虑从404项目的实施实现其他效益, 其中可能包括: 1. 使管理层能将注意力集中在影响财务报告的关键风险范 畴;
2. 确保存在于不同层面的所有关键风险范畴均得到处理; 3. 向所有员工传达关键风险的概念,提高其控制意识; 4. 提高公司的形象和加强投资者的信心。
98
管理人网-免费海量下载www.manaren.com
谢 谢!
99
管理人网-免费海量下载www.manaren.com