第一篇:企业风险内控和风险管理
一、风险内控基本知识和理念――3个“五”浓缩风险内控的核心内容 1、五大目标-合规、真实、效益、战略、安全 2、五大原则-全面、重要、制衡、适应、成本 3、五大要素-环境、评估、管控、信息、监督
二、企业风险内控实施的必要条件及风险内控的局限性 1、顺利实施企业内控的四项必要条件 1)组织保障 2)制度健全 3)执行效果 4)有效监督
2、风险内控的局限性
三、风险内控发展的三个阶段 1、萌芽期--内部牵制
2、发展期--内部会计控制与内部管理控制 3、成熟期--风险内控结构和风险内控整体架构
四、风险内控与全面风险管理 1、法人治理结构
2、COSO企业风险内控基本框架 3、ERM2004全面风险管理
4、ISO31000风险管理原则和方针(国际标准)
五、我国企业的风险内控现状及原因分析 1、我国内控现状: 2、原因分析:
六、企业的内控之惑
1、量化之惑-缺少量化工具
2、流程之惑-标准化流程缺失(标准流程图)3、违规之惑-有章不循 4、舞弊之惑-集体违规
5、报告之惑-理念误导制度错误
6、动态之惑-风险处于动态变化之中,风险管理的有效性应当随时验证
七、管理者必备的三种风险控制利器
利器1:读懂财务报表-管理者每天五分钟阅读财务报表,让舞弊行为无处藏身 利器2:科学指挥-管理者管理过程中要求风险管理(财务)部提供必要的数据支持 利器3:锁定重大风险-锁定公司最重要的十大风险并确保对其控制的有效性
八、企业管理者风险内控的五招必杀技 第一招:风险转移 第二招:风险规避 第三招:风险分散 第四招:风险对冲 第五招:风险承担
九、企业风险内控的基本思路和流程 1、风险内控方案的制定 2、风险内控方案的执行 3、风险内控方案的评价 4、风险内控方案的改进
十、企业风险内控的10种方法
1、组织规划法
2、授权批准法
3、全面预算法
4、会计控制法
5、财产保全法
6、人力资源法
7、风险防范法
8、内部报告法
9、管理信息系统挖控制法
10、内部审计控制法
十一、企业管理者在企业内控过程中应当处理好的几个关系 1、处理好控与被控的关系
2、处理好风险内控与内部监督的关系
3、处理好风险内控制度与会计道德自律的关系 4、处理好风险内控效果与控制成本的关系 5、处理好风险内控层次与工作效率的关系
十二、世界500强风险管理经验分享
联合能源公司(ALLIANT ENERGY)是怎么做的 1、专业负责企业风险的团队
2、风险和战略副总裁是这个流程的执行负责人 3、自下而上的风险问卷调查
4、对风险取得全面了解并应用定量的评估 5、结果被编制成表格并进行优先排序 6、团队将识别出20到25个关键风险,在副总裁或更高级别的管理层面上确定监督和风险应对措施的权责
7、建立月度、季度和年度报告机制
8、每次与董事会开会,我们都会审阅公司的风险域,特别关注新的风险和重大的变更 公司的战略及风险副总裁每年与董事会就风险域大约进行8次讨论 9、最重要的风险评估方法是面谈
10、风险管理成为联合能源决策工具的一部分
第二篇:内控风险管理
风险的含义和特征
一、对企业风险的认识
企业要建立内部控制体系,需要建立在对企业进行风险管理的基础之上。企业的发展过程就是一个风险释放的过程。因此,我们首先要对风险有一个明确的认识。
风险会给企业带来损失,这种损失是潜在的,但是在未来的时间内可能变成现实;同时,风险也可能带来收益。这就是要在企业管理和经营过程中进行风险管理的价值所在。面对风险,企业永远处于收益和潜在损失之间的博弈状态,在这个博弈的过程中企业家需要运用智慧对内、外部的资源进行有效配置和管理,从而实现企业的发展。
(一)识别企业风险
企业的风险是有规律的,而这种规律需要我们运用各种方法去学习和认知。要想做好基于风险管理的企业内部控制,首先要认识企业风险的特征和企业在不同的发展阶段的风险特点。在企业初创阶段,对企业产生致命影响甚至是毁灭性打击的是产品。企业需要对市场做出一种判断,利用现有技术生产出适合客户需求的优质产品。在企业发展到一定规模的时候,对企业影响较大的就是销售渠道的拓宽和市场销售量的增加。当企业发展到更高的阶段、打下了较为坚实的基础的时候,决定企业发展命运的就是内部的人、财、物的配置和利用,我们称之为管理。
现在很多的企业都会发出感叹:业务大了,人多了,收入高了,利润增加了,但是人心变坏了,企业难管了,干得没意思了,勾心斗角多了。这些问题都会给企业带来不确定性的风险,造成一定的损失。事实上,这些问题归结起来就是企业管理的问题。如何对人、财、物进行合理配置和利用才有利于企业的健康发展,这需要一个系统的管理过程。如果企业在发展到更高阶段的时候,一切都处于稳定的运行状态,管理理顺了,岗位理顺了,职责理顺了,并不能说企业就可以放松管理了。这个时候,企业需要居安思危。市场竞争无处不在,企业必须要不断地改进和发展,才能长久生存下去。
(二)文化差异
企业风险管理和内部控制理论都是最先从西方发达国家发展起来的,我国的企业在把这一套东西拿过来使用的时候,我们需要注意东、西方企业在文化背景之间的差异。
1.中西方企业存在状况的差异
我们有很多企业。每年都有数万的新企业诞生,同时也有很多老企业倒下去。为什么我们中国的企业,总是各领风骚三五年,企业寿命比西方国家的要短很多?在思考这些问题的时候我们要想想实力不是依靠时间的长短来衡量的,西方国家的经济发达有它的道理,而中国企业的短命也有它的痼疾。
企业寿命短的一个原因是,我们的观念存在问题。现在要做的就是改变观念,在运营企业方面进行观念变革。当企业有了突破性发展的时候,往往会有更大的风险潜在于企业的周围。所以,企业需要有一个长远的、总体的目标,也就是企业战略。
企业在创立初期的好处就是,船小好调头。但是,船大才好出海,市场就像一片汪洋大海,企业必须发展到一定的规模,才能航行得更远。怎样把企业这艘船做大,怎样抵御更大、更强的海上风险,拓展海外的发展,就成为了企业家们要思考和解决的问题。无论企业是走向国外,还是在国内发展,都需要一段很长的时间做全面的准备,制定长期的发展战略,才能够在“狼来了”的时候有资本与之共舞。
很多国际化的企业,例如海尔、联想、格兰仕、中石油、中石化、中海油,这些大型企业集团现在的发展规模不是靠一个制度、一项政策、一个预算就能解决问题的。同样,跨国企业落户中国也不是说依靠一个美国的制度就能解决在中国遇到的问题。这中间的文化差异导致的问题还需要本土化来解决。中国人崇尚和为贵,这种和为贵走出国门之后是什么样的概念呢?海尔的免费售后服务,顾客就是上帝,是非常好的理念,但是免费售后服务的理念到了美国行不通,导致海尔不得不改变最初的战略。因此,在拥有不同文化背景的区域里发展的时候,我们要思考另外一个问题,就是在不同的文化之下,同一种发展战略,同一种发展方式,同一种业务管理的模式,会受到一种挑战。这是文化给企业带来的影响,间接决定了企业如何分配利用资源和开展经营活动的策略。
2.中国人谦虚的观念
我国很多企业在管理资源的配置过程中受到一种潜意识的影响就是,越谦虚的人越有本事。谦虚是中国人的传统美德。很多人在去企业求职的时候,被问到曾经做过什么,回答就是念过书,没干过什么有成就的事。这样的人怎么会被企业看中呢? 例如,一个总会计师第一天上岗的时候,在就职演说中提到多多包涵,这几年我没干什么事,希望大家互相帮助等。这是我们中国人的含蓄和谦虚。但是一些外籍的评估专家听了之后就觉得不可思议,他竟然什么都不懂,为什么能来上岗呢?按照中国人的想法是,在中国越是说什么都没干,越是什么都不懂的人,其实是最有水平、能力最强的人。而说什么都干过,这也行那也行的人,肯定是个光说不练的人,没什么真本事。这是我们中国人的文化观念特征。
外国的专家在中国工作一段时间之后才会明白,在不同的文化之下,管理方式、管理模式和管理思想是不一样的。这个时候对企业影响最深、最大、最长远的就是文化。例如,中国的联想收购IBM全球个人电脑业务之后获得了极大的扩张,它在全球运营中碰到的文化差异问题是需要谨慎对待的。联想在海外的拓展之路到底能走多远?人们都十分期待,也深深祝愿。毕竟中华民族的一大产业能够得到更高层次的跨越式的发展,在世界上产生重要影响,这是中华民族的骄傲。
内部控制的意义
在企业管理和经营活动过程中,时时刻刻伴随着企业的就是潜在风险。企业的内部控制不是为了控制而控制,也不是为了美国证监会或者中国证监会而控制,而是为了帮助企业防范不同阶段的风险才进行控制。
也就是说,企业的内部控制,第一是为风险而控制;第二则是每个阶段的风险是不一样的,每个阶段的风险不一样,那么控制的方法,控制的目标,控制的目的,控制的手段也就不一样。这是控制的多样性、复杂性和艰巨性。
一、影响美国的两大事件
为了对企业的风险有个更为准确的认识,我们可以把发生在美国的两个重大事件进行对比。一个是美国9•11恐怖袭击事件,另一个就是美国安然公司的假账事件。
(一)事件回顾
【案例】
美国9•11事件
“9•11事件”指的是2001年9月11日恐怖分子劫持的飞机撞击美国纽约世贸中心和华盛顿五角大楼的历史事件。2001年9月11日,四架民航客机在美国的上空飞翔,然而这四架飞机却被劫机犯无声无息地劫持。当美国人刚刚准备开始新一天的工作之时,纽约世贸中心连续发生撞机事件。世贸中心的摩天大楼,轰然倒塌,化为一片废墟,该事件造成3000多人丧生。
当白宫办公厅的主任告诉布什,飞机连续两次撞了世贸中心之后,布什先生当时的表情显得非常吃惊。
“美国9•11事件”的发生,对一些产业造成了直接经济损失和影响,使得美国经济一度处于瘫痪状态。地处纽约曼哈顿岛的世界贸易中心是20世纪70年代初建起来的摩天大楼,造价高达11亿美元,是世界商业力量的汇聚之地,来自世界各地的企业共计1200家之多,平时有5万人上班,每天来往办事的业务人员和游客约有15万人。两座直冲云霄的大楼一下子化为乌有,五角大楼的修复工作至少在几亿美元之上,人才损失更是难以用数字估量。无论是对美国总统布什,还是对美国民众或者对美国政坛人士来说,9月11日所遭遇的恐怖分子攻击事件都是一次历史性的震撼。在两小时之内,造成美国本土遭遇数以千计的伤亡。甚至连白宫、总统的空军一号座机、国防部大楼、金融财务中心的世界贸易大楼,都成了恐怖分子攻击的目标。
这一事件也给交通运输和旅游业造成严重损失。美国国内航班一天被劫持了四架,并造成巨大的人员伤亡和财产损失,确实是历史罕见。事件发生后,布什立即采取适当行动,恢复政府、社会正常活动。为了显示他不受恐怖威胁,9月11日晚上,虽然白宫仍有受到攻击的威胁,他仍决定返回白宫,并在白宫向全国民众发表讲话,借此显示:恐怖分子并不能阻断美国行政中心的运作。
“美国9•11事件”的经济影响不仅局限于事件本身的直接损失,更重要的是影响了人们的投资信心和消费信心,使美元等主要货币贬值、股市下跌,石油等战略物资价格一度上涨,并实时从地域上波及欧洲及亚洲等主流金融市场,引起市场的过激反应,从而导致美国和世界其他国家经济增长减慢。
点评:911事件后美国低下高昂的头颅,和各国进行协商,和全世界人民一起反恐,得到各国人民的理解、同情和支持。所以,美国在9•11之后,得到的几乎是一正一负的效果,一方面受到了打击,经济损失十分严重;另一方面又展开反恐行动,极大地改善了它的国际形象和国际地位。进入21世纪以来,美国在改变自己的世界形象当中做了一个很好的扭转,可以说在得失方面打了个平手。
【案例】 安然的末日 一直以来,安然身上都笼罩着一层层的金色光环:作为世界最大的能源交易商,安然在2000年的总收入高达1010亿美元,名列《财富》杂志“美国500强”的第七名;掌控着美国20%的电能和天然气交易,是华尔街竞相追捧的宠儿;安然股票是所有的证券评级机构都强力推荐的绩优股,股价高达70多美元并且仍然呈上升之势。直到破产前,公司营运业务覆盖全球40个国家和地区,共有雇员2.1万人,资产额高达620亿美元;安然一直鼓吹自己是“全球领先企业”,业务包括能源批发与零售、宽带、能源运输以及金融交易,连续4年获得“美国最具创新精神的公司”称号,并与小布什政府关系密切„„
1.安然的噩梦 2001年年初,一家有着良好声誉的短期投资机构老板吉姆•切欧斯公开对安然的盈利模式表示了怀疑。他指出,虽然安然的业务看起来很辉煌,但实际上赚不到什么钱,也没有人能够说清安然是怎么赚钱的。据他分析,安然的盈利率在2000年为5%,到了2001年初就降到2%以下,对于投资者来说,投资回报率仅有7%左右。切欧斯还注意到有些文件涉及了安然背后的合伙公司,这些公司和安然有着说不清的幕后交易。作为安然的首席执行官,斯基林一直在抛出手中的安然股票——而他不断宣称安然的股票会从当时的70美元左右升至126美元。按照美国法律规定,公司董事会成员如果没有离开董事会,就不能抛出手中持有的公司股票。也许正是这一点引发了人们对安然的怀疑,并开始真正追究安然的盈利情况和现金流向。到了8月中旬,人们对于安然的疑问越来越多,并最终导致了股价下跌。8月9日,安然股价已经从年初的80美元左右跌到了42美元。
10月16日,安然发表2001年第二季度财报,宣布公司亏损总计达到6.18亿美元,即每股亏损1.11美元。同时首次透露因首席财务官安德鲁•法斯托与合伙公司经营不当,公司股东资产缩水12亿美元。
10月22日,美国证券交易委员会瞄上安然,要求公司主动提交某些交易的细节内容。并最终于10月31日开始对安然及其合伙公司进行正式调查。
11月1日,安然抵押了公司部分资产,获得J.P摩根和所罗门史密斯巴尼的10亿美元信贷额度担保,但美林和标普公司仍然再次调低了对安然的评级。
11月8日,安然被迫承认做了假账,虚报数字让人瞠目结舌:自1997年以来,安然虚报盈利共计近6亿美元。
11月9日,迪诺基公司宣布准备用80亿美元收购安然,并承担130亿美元的债务。当天午盘安然股价下挫0.16美元。
11月28日,标准普尔将安然债务评级调低至“垃圾债券”级。
11月30日,安然股价跌至0.26美元,市值由峰值时的800亿美元跌至2亿美元。
12月2日,安然正式向破产法院申请破产保护,破产清单中所列资产高达498亿美元,成为美国历史上最大的破产企业。当天,安然还向法院提出诉讼,声称迪诺基中止对其合并不合规定,要求赔偿。
2.安然模式的破产
首先遭到质疑的是安然公司的管理层,包括董事会、监事会和公司高级管理人员。他们面临的指控包括疏于职守、虚报账目、误导投资人以及牟取私利等。在10月16日安然公布第二季度财报以前,安然公司的财务报告是所有投资者都乐于见到的。看看安然过去的财务报告:2000年第四季度,“公司天然气业务翻升3倍,公司能源服务公司零售业务翻升5倍”;2001年第一季度,“季营收成长4倍,是连续21个盈余成长的财季”„„在安然,衡量业务成长的单位不是百分比,而是倍数,这让所有投资者都笑逐颜开。到了2001年第二季度,公司突然亏损了,而且亏损额还高达6.18亿美元!
然后,一直隐藏在安然背后的合伙公司开始露出水面。经过调查,这些合伙公司大多被安然高层官员所控制,安然对外的巨额贷款经常被列入这些公司,而不出现在安然的资产负债表上。这样,安然高达130亿美元的巨额债务就不会为投资人所知,而安然的一些官员也从这些合伙公司中牟取私利。更让投资者气愤的是,显然安然的高层对于公司运营中出现的问题非常了解,但长期以来熟视无睹甚至有意隐瞒。包括首席执行官斯基林在内的许多董事会成员一方面鼓吹股价还将继续上升,一方面却在秘密抛售公司股票。而公司的14名监事会成员有7名与安然关系特殊,要么正在与安然进行交易,要么供职于安然支持的非盈利机构,对安然的种种劣迹睁一只眼闭一只眼。
安然假账问题也让其审计公司安达信面临着被诉讼的危险。位列世界第五的会计师事务所安达信作为安然公司财务报告的审计者,既没审计出安然虚报利润,也没发现其巨额债务。今年6月,安达信曾因审计工作中出现欺诈行为被美国证券交易委员会罚了700万美元。
点评:安然事件虽然是一个单纯的经济事件,却在全球范围内掀起了一阵狂波巨浪,所有的矛头都指向了美国的经济制度,撼动了美国为之骄傲的经济体系。在9•11事件之后,美国政府主动出击,对恐怖袭击行为坚决进行打击,无论从道义还是力量上来说都受到世界人民的支持。但是安然事件却让山姆大叔的颜面扫地,自己内部机制出现大窟窿,对世界造成了很坏的影响,受到人们的严厉指责,而补救还得靠自己。
但是,在美国的这两大事件当中,美国人的危机公关,化被动为主动来解决危机的做法,是值得学习和讨论的。
(二)安然事件带来的结果
不管是企业还是社会,都在面临着各种不确定性的风险,如果没有对这种风险进行充分的认识,在前期阶段加以防范和阻止,就有可能酿成大祸。从安然事件中我们可以看到以下几点:
1.会计丑闻
现在的社会是经济社会,经济社会是一个市场进行资源优化和资源配置的过程。资源在优化配置、自由流动的过程当中,有个依据和指向,那就是会计信息。我们资源怎么去优化配置?通俗一点就是说,买股票的时候,买谁的,怎么去买?这些就要依靠会计信息所反映出来的内容。
会计信息是市场的一个指向标,一旦会计信息机制失灵,整个国民经济就会混乱。安然的假账事件让外国投资者对美国投资回报的信心丧失,大量国际资金抽离美国,外国对美国的投资下降近60%,同时对中国的投资上升近15%。
2.安然事件对美国股市的影响 美国是世界上的经济强国,在很多方面都实行霸权主义和强权主义,然而真正让美国在全世界人民面前低下头颅的是安然事件。安然事件反映的是整个会计信息机制和体系制度,特别是经济基础上的漏洞和缺失,对此美国必须进行反思。9•11让美国的股市跌了近1000点,而安然事件之后,2002年美国股市连续下跌,远远突破了1000点。
萨班斯-奥克斯利法案
安然事件不只是安然公司的一个事件,而是由会计丑闻引发的对整个会计体系的质疑,这种质疑对美国的影响是巨大的。为了应对这种危机,解决由会计体系缺陷造成的恶劣影响,完善社会的经济制度,当时美国有两位议员提出一种议案,叫萨班斯—奥克斯利法案。这个法案从以下11个方面来管制以会计信息为主体的市场资源配置,以及与会计信息相关的权利、责任义务和法则等。
(1)上市公司会计监管委员会;(2)审计师的独立性;(3)公司的职责;
(41)加强财务信息的披露;(5)分析员的利益冲突;
(6)证券监管委员会的资源与权限;(7)研究和报告;
(8)公司和徇私舞弊的责任;(9)加强对白领刑事犯罪的惩罚;(10)公司税务申报表;
(11)公司的舞弊行为及应承担的相应责任。
(一)萨班斯—奥克斯利法案的意义
经过安然公司的假账事件对经济社会的冲击之后,美国出台了专门针对会计制度的萨班斯—奥克斯利法案。这项法案主要解决了监管、中介机构和企业内部财务管理三个问题,从这项法案中我们也可以学到一些做企业的规则的道理。
1.法案解决的问题
以前人们总是认为美国的会计制度很完善,几乎无懈可击,但事实证明任何看似完善的制度都有可能遭受风险的袭击,演变成对企业和社会的巨大危害。美国出台的这项法案主要解决了以下三个问题: Æ监管问题
在安然事件之前,美国经济是自由主义式的发展,也就是民不告,官不理,当股民最后上当了,亏损了,最后发现了虚假的会计信息,才去找政府部门解决问题。美国的会计准则是由社会中介机构和社会团体公认形成的,没有很大的强制性。与中国会计准则不同,中国会计准则是由中华人民共和财政部统一制定,具有强制性的法规特征。
安然事件发生后,美国意识到自治式的会计信息有极大的漏洞,所以必须加强管制,成立会计监管委员会,对企业的会计信息进行监管。Æ中介机构问题
美国的中介机构不独立。安然在整个发展过程当中,它的品牌、业务和战略都是没有问题的,但是很多项目在具体管理和落实当中出现了一些问题。例如在印度投资的电厂暂时没有盈利,但是股东又要分红,又要和竞争对手、标杆企业进行比拼赛跑,于是找到安达信咨询公司出谋划策。
安达信帮助企业通过各种延伸产品,包括在自己的内部进行大量的交易产生利润,也就是把钱从左口袋弄到右口袋。可是没有现金流怎么办?于是安达信又给安然设计一个方法,就是SPE实体。通过联合投资的公司,进行银行贷款,沟通项目的操作,让现金返回到公司的母体,成为现金流,再用这种方式进行分红。
作为中介机构,安达信对安然公司的账进行检查的时候,当然对自己做过的账持肯定态度,向股民保证没有问题。这样的双面角色导致了安达信这种中介机构失去了独立性。所以在这项法案中对中介机构的业务行为专门做了限制性和规范性的规定,防止中介机构出现监守自盗的问题。
Æ企业内部财务管理的问题
安然事件之后全世界的企业对会计信息制度的重视上升到了一个前所未有的高度。首先,加强了高层人员的责任。公司的财务领导肩负着会计的重任,下面做好财务报表,子公司上交到母公司,母公司要合并报表,合并报表做完上报国资委,或者再报证监会、财政部等。如果报表中出现问题,发现公司有做假账的行为,要追究的就是领导的责任。
但是我们实务操作过程当中,发现两个很大的问题。企业出现了会计问题,如果老总被抓,公司的几千员工怎么办?还有,如果他被抓后拒不认罪,比如安然公司的老总被抓后就拒绝认罪,只是说愿意承担责任。这个责任指的是他愿意承担领导责任,没有领导好做会计的属下,会计部门的水平不高,所以才导致现在的后果。看似很有道理,这种说法其实是他把责任推到财务主管身上。所以调查安然事件的相关人员花了几年的时间,用了几千万的巨额成本才让那些高层领导人员伏法。
所以,在萨班斯—奥克斯利法案中,专门明确了公司出现财务问题后,总经理和财务总监应当共同承担责任。
2.萨班斯—奥克斯利法案与内部控制的联系
萨班斯—奥克斯利法案对企业的影响就是加强会计信息的权利区位,意思是公司必须设立审计委员会,审计委员会必须全部是独立董事,专门负责对公司会计信息的管理。通过这样的内部审查,提高公司的会计信息管理机制和层次体系,避免了企业老总个人左右财务信息的局面。
关于企业内部控制的发展在萨班斯—奥克斯利法案第402条款里面得到了一个体现,就是加强管理层对内部控制的评估。
【案例】
萨班斯—奥克斯利法案第404条: 管理层对公司内部控制的评估 该条规定中要求公司年报中包括一份“内部控制报告”,该报告应:
(1)明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任;并且包含管理层在财务期末对公司财务报告相关内部控制体系及程序的有效性评估。
(2)受委托的上市公司审计师应按照上市公司会计监管委员会对审核约定所发布或采用的准则就管理层关于内部控制的评估进行鉴证并提交报告。此类鉴证约定并不构成单独的约定主体;
(3)SEC在提交的法案相关的报告中这样解释此条的立法目的:“委员会不希望审计师(对内部控制报告的)评估形成单独一份约定或者因此而导致审计费用的增加。”指导SEC进一步要求上市公司披露其是否为高级财务官员制定职业操守规范以及该规范的内容;
(4)指导SEC修改其以8-K表格进行即时披露的相关规则,从而要求上市公司对任何职业操守规范的修改或废止事项应立即进行披露。
点评:这项法案里面对内部控制的相关规定说明了两层意思。第一,需要评估企业有没有内部控制;第二,规定了企业内部控制要做到的程度。企业必须就这两点向美国证监会有个明确的交代。
例如对企业内部现有的业务进行评估,要考察所有的业务是不是被囊括到企业现有的制度里面。没囊括的业务有多少,比例有多大。在所有没被囊括的比例之下,有多少业务已被执行,执行的效率有多高,比如执行了80%,还有20%没有执行,在执行80%里面哪些能够把问题解决,哪些不能把问题解决。企业必须拿出具体的数字进行详细的说明。这就是以强制性的手段和手腕保证企业内部控制的执行,可见健全企业内部控制的必要性和紧迫性。
第三篇:集团企业内控与风险管理
核工业集团内部控制与全面风险管理培训框架
========================
为贯彻落实中国核工业集团公司近期有关实现集团跨越式发展的要求,深入研究并积极探讨解决核电产业集团化运作、专业化运营的有效途径,尤其是在此过程中产生的管控风险,我们组织了相应领域的专家进行了具有针对性的分析,提出了一个具有完整框架的培训方案:
========================
一、理论框架theoretical framework
========================
集团战略管控体系集团风险管理体系集团内部控制体系
========================
二、培训课程模块curriculum introduction
========================
(一)内部控制篇
■ 内部控制——企业良性经营的关键 1.COSO的内部控制整合框架包括哪些内容 2.企业内部控制的目标
3.企业建立与实施内部控制应当遵循的原则 4.实施有效内部控制的关键要素 5.企业内部控制的框架
■ 企业内部控制管理系统的核心制度(相关案例分析、互动研讨)1.重大风险预警制度 2.内控报告制度 3.内控批准制度 4.内控责任制度 5.内控审计检查制度 6.内控考核评价制度
7.健全以总法律顾问制度为核心的企业法律顾问制度 8.内控岗位授权制度 9.重要岗位权力制衡制度
■ 企业内部控制的内容以及实务操作(相关案例分析、互动研讨)1.内部环境及其要素 2.风险评估及其步骤 3.控制活动及其措施 4.信息与沟通及其要求 5.内部监督及其程序
(二)全面风险管理篇
■ 企业风险管理,大风起于青萍之末(相关案例分析、互动研讨)1.我们生活的世界越来越不确定
2.企业各类风险事件展示——前车之鉴、后事之师 3.我国企业全面风险管理的背景 4.风险管理背后的推动力 5.企业风险管理势在必行 6.标杆企业的风险管理实践
■ 企业全面风险管理——构筑企业安全的防火墙 1.企业风险和风险管理的基本理念 2.风险偏好和风险容忍度 3.企业风险文化 4.风险预警 5.风险指标
6.固有风险和剩余风险 7.企业全面风险管理人员的结构 8.企业风险沟通
9.企业全面风险管理的流程 10.企业全面风险管理的目标
■ 企业全面风险管理的核心问题(相关案例分析、互动研讨)1.企业风险管理成熟的标志 2.企业风险管理要成为什么 3.企业风险管理的最终落脚点 4.企业风险管理的实质
5.企业风险管理始终关注的两个问题 6.企业风险管理是纲——全面的风险管理
■ 企业全面风险管理的实务操作(建立全面风险管理体系)(相关案例分析、互动研讨)1.收集企业风险管理的初始信息(不同的企业有相应的初始信息)(1)战略信息(2)财务信息(3)市场信息(4)运营信息(5)法律信息
2.设计企业全面风险管理的过程(1)收集风险管理初始信息(2)进行风险评估(3)制定风险管理策略(4)提出和实施风险管理解决方案(5)风险管理的监督与改进 3.企业风险评估
(1)风险识别(根据不同企业和行业识别不同的风险)——风险管理的方法(2)风险分析 ——风险管理的技术(3)风险评价 ——风险管理的工具
4.制定企业全面风险管理的策略(1)风险回避(2)风险减少(3)风险转移(4)风险接受(5)风险对冲
5.实施企业全面风险管理的方案(1)风险管理的内部控制方案(2)风险管理的全面方案 6.企业剩余风险的管理 ——剩余风险管理的最终目标 7.企业风险管理的监督与改进(1)持续监督(2)单独评价(3)报告缺陷(4)压力测试(5)返回测试(6)穿行测试(7)风险控制(8)自我评估
8.建立健全企业风险管理的组织体系(1)规范的法人治理结构和议事规则(2)组织机构设置与权责分配 9.完善企业全面风险管理的信息系统(1)内部信息和外部信息(2)信息的沟通与反馈
(3)风险管理信息系统的工作流程(4)风险管理信息系统的价值 10.培育企业全面风险管理文化(1)风险管理理念(2)风险控制行为(3)风险道德标准(4)风险管理环境
■ 如何编写企业全面风险管理报告(相关案例分析、互动研讨)1.第一思路:按照相关文件的框架 2.第二思路:
(1)企业对已经存在的风险早发现早治疗
(2)企业对可能发生的风险防患于未然
(3)制定企业风险管理的计划 3.第三思路:依据企业自身情况独创
========================
三、课程收益training income
======================== ◆ 了解企业内部控制的基本理念
◆ 掌握企业内部控制管理系统的核心制度 ◆ 学会具体的企业内部控制实务操作 ◆ 能具体实施企业内部控制 ◆ 了解企业当前风险管理的环境;
◆ 掌握企业全面风险管理的基本理念和核心问题; ◆ 熟悉企业全面风险管理的流程; ◆ 运用企业全面风险管理的方法、技术和工具; ◆ 理解企业风险评估的步骤;
◆ 制定并实施企业全面风险管理的策略和方案; ◆ 加强企业全面风险管理的监督与改进; ◆ 建立健全企业全面风险管理的组织体系; ◆ 完善企业全面风险管理的信息系统; ◆ 培育企业全面风险管理文化; ◆ 学会制作企业全面风险管理报告。
========================
四、讲师简介lecturer synopsis
======================= 主讲专家:殷俊先生 ■ 资历
☆ 中国管理科学研究院社会信用体系建设发展中心专家委员会副主任 ☆ 国资委职业经理研究中心特聘专家
☆ 企业危机管理与风险管理网络商学院执行院长
☆ “职业经理(企业风险管理)资质评价与能力测评项目”教材主编 ☆ 企业危机管理与风险管理培训网CEO www.xiexiebang.com ☆ 清华大学能源规划与管理训练中心特聘专家 ☆ 北大经济管理学院客座专家 ☆ 上海复旦、上海交大MBA培训班讲师 ☆ 浙江大学总裁班特聘教授
☆ 企业风险管理与危机管理培训论坛秘书长 ☆ 企业危机管理与风险管理培训咨询公司总裁 ☆ 资深危机管理专家
曾在多家公司任职理事长、首席顾问、总监,并入选首本《国际职业培训师大黄页》,有着多年的管理实践经验。长期的实践,铸就了自身在“企业危机管理(与金融危机相结合)、企业危机管理与风险管理(与金融危机相结合)、企业全面风险管理(与金融危机相结合)、公共危机管理、企业内部控制、突发事件的应急管理、冲突管理与有效沟通、冲突管理”等通用管理方面较强的培训功底,并形成了实战、互动、系统、有效的培训风格。能广泛地联系企业的实际情况,根据企业存在的问题,为企业提供有针对性的咨询式培训,从而解决相应的问题。培训的内容富有理性,而培训的方式却充满激情!
在培训过程中,擅于引用经典的思想、丰富的案例、真实的数据、典型的事件;运用互动研讨的方式,并穿插角色扮演活动,在案例分析、互动研讨的同时,让大家深刻感悟,形成共鸣,达成共识,同时创造性地提出相应观点,将培训的效果发挥到极致!■ 部分服务客户:
大连红沿河核电站、国家行政学院、中国管理科学学会、国资委研究中心、国资委职业经理研究中心、中国企业家协会、北京西城区国资委、上海长宁区国资委、上海市干部培训中心、昆山经贸委、常州工商联、浙江舟山贸促会、福建南平经贸委、宁夏中小企业研究中心、、甘肃百家大讲堂、中小企业竞争力工程、广东顺德勒流五金商会、宁波市成人集团学校、宁波市企业联合会、宁波市企业家协会、广东东莞市财政局、四川眉山市青神县组织部、南宁市地税局、浙江大学总裁班、北京大学经济学院、清华大学继续教育学院总裁班、上海交通大学总裁班和EMBA班、复旦大学网络教育学院、复旦大学总裁班和EMBA班、沈阳哈普瑞商学院、职业经理人资格认证上海培训中心、深圳国信证券、福建建行、上海奉贤农行、广州广晟资产经营公司、北京郊区电信实业、湖北联通、广西邮政局、北京三元集团、浙江严州府、辽宁合兴、中国药材集团、常州四药、法国赛诺菲-安万特制药、广东东通文具、浙江日月首饰、富士康电子工业发展昆山有限公司、北京松下、广东佛山平洲电子、广州联众、苏州信越聚合、温州正泰电器上海公司、温州创奇科技电子、上海锦虎电子、深圳大大电子、温州华龙汽车电子、奥克斯集团、河南新飞电器、北京康平空调新疆美克集团、四川列维士家具有限公司、广东永其祥织染、浙江红绿蓝纺织、浙江凯喜雅、温州娅米茄服饰、常州依丽雅斯、上海新长宁集团、杭州中豪控股、四川丰泰集团、四川大地房地产、深圳特发物业、深圳特发地产、厦门夏商集团、长春一汽、长安汽车集团、上海航天技术研究院、上海机场集团、东方航空、上海航空、南方航空、正大集团、华东计算技术研究所、上海建工集团、上海市安装工程有限公司、北京京港地铁、北京博维科技、香港富勤环保集团、天津光电、苏州三洋能源、华北电网、北京电力、保定电力局、河北电力、陕西电力、山西省电力、浙江余杭电力、浙江嘉兴电力、山东枣庄电力、北京密云供电局、四川广安爱众股份、神华浙江国华浙能发电有限公司、施耐德(陕西)宝光电气、浙江江山化工股份、浙江衢州巨化、西安北方庆华机电、宝钢集团、通化钢铁、中交第三航务工程局、中交一航局、中船重工第704研究所、厦门港务船务、海洲国际、沪东中华、中国石化国际事业有限公司、中国油田新疆石油管理局、中海油、华夏建龙矿业、山东新汶矿业、岛津国际贸易、中化国际等。
第四篇:COSO企业内控风险管理模式
COSO企业内控风险管理模式
前言
10年前,COSO发布了《内部控制----整合框架》来帮助企业界和其他实体评价和加强他们的内部控制制度。从那时起该框架被结合并入成千上万企业的政策、规则和规定,并被企业用于更好地控制他们的活动,朝着实现既定目标的方向前进。
近年来,关注的重点和焦点是风险管理,人们越来越清楚地认识到健全的框架对于有效地识别、评价和管理风险是很有必要。在2001年,COSO提议了一个项目,并聘用普华永道会计事务所开发能方便管理部门用于评价和改进本组织企业风险管理的框架。
框架开发的整个期间出现了一系列具有高度标志性的企业丑闻和失败案例,使投资者、公司人员和其他利益相关者蒙受了巨大损失。灾难的后果是要求用新的法律法规和上市标准来加强公司治理和风险管理。人们越来越多地认识到提供关键的原则和概念,共同语言和明确方向与指南的企业风险管理框架的必要性。COSO认为,企业风险管理----一体化框架填补了这种需要,并希望该框架能被公司、其他组织和所有的利益相关者及团体广泛接受。
在美国的发展结果是出台了《2002年的萨班斯----奥克斯利法案》,其他国家也颁布了或正在考虑类似的立法。这类法律扩展了对公营公司维护内部控制制度的长期有效要求,要求管理层予以证实和独立审计师测试这些制度有效性。持续要求测试时间的《内部控制----整合框架》适用于满足报告要求的更广泛的公认标准。
《企业风险管理----整合框架》扩展了内部控制,提供了一种更健全的和广泛的焦点在企业风险管理更宽广的题目。它的目的不是取代内部控制框架,而是将内部控制框架合并在一起,公司可以决定审查企业风险管理框架,以满足内部控制的需要和朝着更完备风险管理过程发展。
管理层所面临的最严峻挑战是决定本实体准备接受多大的风险,因为风险也可以经过奋斗而创造价值。本报告将更好地鼓励企业迎接这种挑战。
执行总结
企业风险管理的根本前提是每一实体存在的目的是为其利益相关者提供价值。所有的实体都面临不确定性,对管理层的挑战是确定能接受多大的不确定性,因为不确定性也可以促进增加利益相关者的价值。不确定性同时体现为风险机会,具有流失或增加价值的潜力。企业风险管理鼓励管理层有效地处理不确定性和相关的风险和机会,增强创造价值的能力。
当管理层制定的战略目标能力求达到增长和利润目标与相关风险之间的最佳平衡,并在追求本实体目标的过程中有效地调度资源时,价值能达到最大化。企业风险管理包括:
● 连成一线的风险偏好与战略----管理层考虑本实体的风险偏好,在评估战略可选择方案时,制定相关目标,开发管理相关风险的机制。
● 增强风险反馈决策----企业风险管理提供了森严的识别和挑选可选择的风险反馈----即风险回避、降低、分摊和接受的制度。
● 减少经营意外事故和损失----各实体应获得增强的能力来识别潜在事件和建立反馈,减少意外事故和相关成本或损失。
● 识别和管理多样化的和交叉的企业风险----每一企业都将面临影响本组织不同方面的无数风险因素,企业风险管理能促进对相互关联的影响做出有效反应,对多样化的风险做出综合的反应。
● 抓住机会----通过全面考虑潜在的事件,管理层被定位于识别和正面积极地抓住机会。
● 改进资本配置----获得健全的风险信息,允许管理层有效地评估总体资本需要,增强资本分配。
这些企业风险管理中内在的能力有助于管理层实现本实体的绩效和盈利能力目标,防止资源损失。企业风险管理有助于保证有效的报告和遵守法律法规,避免本实体的声誉受到损害和相关的后果。总之,企业风险管理有助于一个实体达到它想要实现的目标,避免前进过程中的陷阱和意外事故。
事件----风险与机会
事件可以有负面影响、正面影响,或二者兼而有之。负面影响的事件表现为能阻碍价值创造或侵蚀现存价值的风险。正面影响的事件可以抵消负面影响或体现为机会。机会是一个事件将发生并积极影响目标实现、支持价值创造或保护价值的可能性。管理层将机会引导向其战略或目标制定过程,制定抓住机会的计划。
规定了企业风险管理
企业风险管理处理影响价值创造或保值的风险和机会。其定义如下:
“企业风险管理是一个过程,受到一个实体的董事会、管理层和其他人员的影响,适用于战略制定和在整个企业设计识别可能影响本实体的潜在事件,在风险偏好范围内管理风险,提供与实现实体目标有关的合理保证。”
该定义反映出一些基本的概念。企业风险管理是:
● 一个过程,持续并贯穿一个实体;
● 受到一个组织每一层级人员的影响;
● 适用于战略制定;
● 适用于整个企业每一层次和单位,包括所采纳的实体总体层次风险业务责任观点;
● 设计识别可能影响本实体的潜在事件,如果它们发生的话,在风险偏好范围内管理风险,● 能够为一个实体的管理层和董事会提供合理保证;
● 在一个或更多独立的但重叠的分类中加速目标的实现。
该定义的目标广阔。它抓住公司和其他组织如何管理风险的关键基本概念,为整个组织、行业和部门提供适用的依据。它把焦点直接放在实现由某一方面特定实体制定的目标,为定义企业风险管理的效果提供依据。
目标的实现
在实体既定使命和远景规划的条件下,管理层确定战略目标,选择战略和制定将整个企业连接成一线的目标。这种加速实现实体目标的企业风险管理框架,可陈述为四类:
● 战略----高层目标,连接和支持其使命;
● 经营----有效率和效果地使用其资源;
● 报告----报告的可靠性;
● 合规----遵守适用的法律法规。
这种实体目标的分类准许把重点放在企业风险管理的各别方面。这些性质截然不同但重叠的分类----某一特别的目标可以分成几个分类,强调不同的实体需要并可能对不同的执行部门负直接责任。这种分类同样准许从每一目标分类之间区别可以预期的结果。同样也描述了一些实体使用的保护资源的另一分类。
因为与报告可靠性和遵守法律法规相关的目标在实体的控制范围内,企业风险管理可以预期为实现这些目标提供合理的保证。然而战略目标和经营目标的实现易遭受实体控制范围之外的外部事件的影响,因此,企业风险管理可以提供合理的保证,使管理层认识这些目标和董事会意识到其监督作用,及时地促进整个实体朝着实现目标前进。
企业风险管理的组成部分
企业风险管理包括八个相关组成部分。这些组成部分来自管理层经营企业的方式,并与管理过程相结合。这些组成部分是:
● 内部环境----内部环境包括一个组织的基调,制定作为整个实体的人们如何审视和重视风险的依据,包括风险管理哲学和风险偏好、正直性和道德价值以及他们经营的环境。
● 目标设定----在管理部门能够识别影响其业绩的潜在事件之前,必须存在有目标。企业风险管理保证管理部门制定目标的过程到位,选定的目标支持和本实体的使命联成一体,并与风险偏好相一致。
● 事件识别----必须识别影响一个实体实现目标的内部和外部事件,区别风险和机会。机会开辟了反馈管理部门战略或目标制定过程的渠道。
● 风险评估----要分析风险,考虑可能性和影响,作为决定如何管理风险的依据。在固有的和有后效的基础上评估风险。● 风险反馈----管理部门选择风险反馈----即避免、接受、降低或分摊风险,开发一系列行动,使风险与实体的风险承受能力和风险偏好联成一体。
● 控制活动----政策和程序的制定有助于保证有效地执行风险反馈。
● 信息与沟通----以一种能够促进人们履行其职责的形式和时间框架来识别、捕捉和沟通相关风险。有效的沟通同样发生在更广泛的意义上,即在实体内从上到下、相互交叉和自下而上的沟通。● 监控----对企业风险管理的整体进行监控并根据需要进行修改。通过持续的管理活动,分别评估,或二者同时进行来实现监控。企业风险管理不是一个严格的系列过程,一个部分只影响下一个部分。它又是一种多方向的重复的过程,在这一过程中几乎所有的任何部分都可能会影响另一个部分。
目标与组成部分的关系
在一个实体奋力实现的目标和体现实现目标所必须的企业风险管理组成部分之间存在一种直接的关系。这种关系被描述为立体结构中的三维矩阵模型。
四种目标分类----战略、经营、报告和合法----由纵向栏目所代表,八个组成部分横向排列,一个实体的单位由第三个层面所代表。这种描绘勾画出整个企业风险管理重点的能力,或通过目标分类、组成部分、实体单位或任何子集合说明整个企业风险管理。
效果
确定一个实体的企业风险管理是否“有效”是对八个组成部分的表现以及是否有效运行进行评估的一种判断。这些组成部分同样可作为有效的企业风险管理的标准。因为这几个组成部分的存在及适当运行不可能产生重大的缺陷,风险需要也已控制在一个实体的风险偏好之内。
当确定企业风险管理在四类目标的每一类中都是有效的,相应地也就为董事会和管理层提供合理的保证,使他们了解整个实体战略和经营目标正在实现的程度和整个实体的报告是可靠的并遵守适用的法律法规。
八个组成部分在每一个实体的运行并不是完全相同的。例如,在中小型实体中的应用可能不那么正式,结构不那么完整。不过,小的实体仍然可以有有效的企业风险管理,只要每一个组成部分都存在并适当运行。
局限性
在企业风险管理提供重要好处的同时,也存在着局限性。在上述讨论的因素之外,局限性来自在决策制定过程中人的判断可能出现错误,反馈风险的决策,制定控制需要考虑相关成本和效益,因为人类的失误,例如简单的错误或过失可能会造成计划的失败,控制可以防止两个人或更多人勾结串通事件的发生,但管理部门有能力否决企业风险管理决策。这些局限性会妨碍董事会和管理层对本实体目标实现所具有绝对的保证。
围绕内部控制
内部控制是企业风险管理的一个组成部分。本企业风险管理框架围绕内部控制,为管理部门形成一个更健全的概念论和工具。在《内部控制----整合框架》中对内部控制进行了定义和描述。因为此框架已经经受了时间的考验,并成为现行法律法规和规则的依据,文件保留了内部控制的定义和框架。在本框架中只有《内部控制----整合框架》原文部分是复制的,该框架的整体作为关联部分已结合到本框架中。
作用与职责
在实体中的每一个人对企业风险管理都负有一定的责任,首席执行官是最终的负责人,应该承担所有责任。其他管理人员支持本实体的风险管理哲学,促进遵守风险偏好,在职责和风险承受能力相一致的范围内管理风险。风险职员、财务人员、内部审计师和其他人员通常有重要的支持职责。其他的实体人员负责按照既定的指令和会议记录执行风险管理。董事会对企业风险管理提供重要的监督,知道并赞成本实体的风险偏好。一些外部参与者,例如客户、卖主、企业合伙人、外部审计师、监管人员和财务分析家常常提供对实现企业风险管理有用的信息,但他们并不对其效果负责任,他们也不是本实体企业风险管理的一部分。本报告的组织
本报告分为两卷。第一卷包括本框架和《执行总结》。该框架规定了企业风险管理,描述了原则和概念,为企业和其他组织内部各级管理部门评估和增强企业风险管理的效果提供了方向。执行总结是指导首席执行官和其他高级执行人员、董事会成员和监管人员的一种高层次的检查。第二卷,《应用技术》提供了说明在采用本框架要素中有用的技术。
本报告的使用
作为本报告结果可能采取的建议行动取决于涉及的各当事方的地位和作用:
● 董事会----董事会应与高级管理层讨论本实体企业风险管理框架的状况,提供必要的监督。董事会应该保证知道绝大多数重大风险和管理层正在采取的行动,以及如何保证有效的企业风险管理。董事会应该考虑从内部审计师、外部审计师和其他人那里寻找输入信号。
● 高级管理层----此次的研究建议首席执行官评价本组织的企业风险管理能力。在另一种方法中,首席执行官将经营单位的负责人和主要职能负责人聚集在一起讨论企业风险管理能力和效果的初步评价。不管采取什么形式,初步评价应该确定在哪里需要和如何进行范围更广和更深入的评估。
● 其他实体人士----管理人员和其他人士应该考虑他们是如何根据本框架执行他们的职责,与更高级的人员讨论加强企业风险管理的想法。内部审计师应该考虑企业风险管理重点方面的广度。● 监管人员----本框架可以促进分享企业风险管理,包括能做的事及其局限性的看法。监管人员对他们监督的实体不管是根据规则或指南,还是进行检查,在确定预期值方面可以参考本框架。● 专业人士的组织----规则制定和提供财务管理、审计和相关专题指南的其他专业人士组织应该考虑根据本框架制定他们的准则和指南。消除在概念和专业术语方面的多样化程度,使所有参与者都受益。
● 教育者----本框架可以作为学术研究和分析的题目,以观察未来可以 采取哪些强化措施。根据这一假定,本报告可成为公认的理解的共同基础,其概念和术语应能发现其进入大学课程的渠道。
作为共同理解的基础,所有的参与者将能够用共同的语言说话和进行更有效的沟通。企业的执行人员将定位在对照准则评价其公司的企业风险管理的过程,并强化这一过程,使本企业朝着既定的目标前进。进一步的研究可以发挥超出既定基础的杠杆作用。立法人员和监管人员将能够增强对企业风险管理的理解,包括其好处和局限性。随着所有的参与者都使用共同的企业风险管理框架,这些好处将得到实现。
内部环境包括一个组织的基调,制定作为整个实体的人们如何审视和重视风险的依据,包括风险管理哲学和风险偏好、正直性和道德价值以及他们经营的环境。
● 目标设定----在管理部门能够识别影响其业绩的潜在事件之前,必须存在有目标。企业风险管理保证管理部门制定目标的过程到位,选定的目标支持和本实体的使命联成一体,并与风险偏好相一致。● 事件识别----必须识别影响一个实体实现目标的内部和外部事件,区别风险和机会。机会开辟了反馈管理部门战略或目标制定过程的渠道。
● 风险评估----要分析风险,考虑可能性和影响,作为决定如何管理风险的依据。在固有的和有后效的基础上评估风险。
● 风险反馈----管理部门选择风险反馈----即避免、接受、降低或分摊风险,开发一系列行动,使风险与实体的风险承受能力和风险偏好联成一体。
● 控制活动----政策和程序的制定有助于保证有效地执行风险反馈。
● 信息与沟通----以一种能够促进人们履行其职责的形式和时间框架来识别、捕捉和沟通相关风险。有效的沟通同样发生在更广泛的意义上,即在实体内从上到下、相互交叉和自下而上的沟通。● 监控----对企业风险管理的整体进行监控并根据需要进行修改。通过持续的管理活动,分别评估,或二者同时进行来实现监控。
企业风险管理不是一个严格的系列过程,一个部分只影响下一个部分。它又是一种多方向的重复的过程,在这一过程中几乎所有的任何部分都可能会影响另一个部分。
目标与组成部分的关系
在一个实体奋力实现的目标和体现实现目标所必须的企业风险管理组成部分之间存在一种直接的关系。这种关系被描述为立体结构中的三维矩阵模型。
四种目标分类----战略、经营、报告和合法----由纵向栏目所代表,八个组成部分横向排列,一个实体的单位由第三个层面所代表。这种描绘勾画出整个企业风险管理重点的能力,或通过目标分类、组成部分、实体单位或任何子集合说明整个企业风险管理。
效果
确定一个实体的企业风险管理是否“有效”是对八个组成部分的表现以及是否有效运行进行评估的一种判断。这些组成部分同样可作为有效的企业风险管理的标准。因为这几个组成部分的存在及适当运行不可能产生重大的缺陷,风险需要也已控制在一个实体的风险偏好之内。
当确定企业风险管理在四类目标的每一类中都是有效的,相应地也就为董事会和管理层提供合理的保证,使他们了解整个实体战略和经营目标正在实现的程度和整个实体的报告是可靠的并遵守适用的法律法规。
八个组成部分在每一个实体的运行并不是完全相同的。例如,在中小型实体中的应用可能不那么正式,结构不那么完整。不过,小的实体仍然可以有有效的企业风险管理,只要每一个组成部分都存在并适当运行。
局限性
在企业风险管理提供重要好处的同时,也存在着局限性。在上述讨论的因素之外,局限性来自在决策制定过程中人的判断可能出现错误,反馈风险的决策,制定控制需要考虑相关成本和效益,因为人类的失误,例如简单的错误或过失可能会造成计划的失败,控制可以防止两个人或更多人勾结串通事件的发生,但管理部门有能力否决企业风险管理决策。这些局限性会妨碍董事会和管理层对本实体目标实现所具有绝对的保证。围绕内部控制
内部控制是企业风险管理的一个组成部分。本企业风险管理框架围绕内部控制,为管理部门形成一个更健全的概念论和工具。在《内部控制----整合框架》中对内部控制进行了定义和描述。因为此框架已经经受了时间的考验,并成为现行法律法规和规则的依据,文件保留了内部控制的定义和框架。在本框架中只有《内部控制----整合框架》原文部分是复制的,该框架的整体作为关联部分已结合到本框架中。
作用与职责
在实体中的每一个人对企业风险管理都负有一定的责任,首席执行官是最终的负责人,应该承担所有责任。其他管理人员支持本实体的风险管理哲学,促进遵守风险偏好,在职责和风险承受能力相一致的范围内管理风险。风险职员、财务人员、内部审计师和其他人员通常有重要的支持职责。其他的实体人员负责按照既定的指令和会议记录执行风险管理。董事会对企业风险管理提供重要的监督,知道并赞成本实体的风险偏好。一些外部参与者,例如客户、卖主、企业合伙人、外部审计师、监管人员和财务分析家常常提供对实现企业风险管理有用的信息,但他们并不对其效果负责任,他们也不是本实体企业风险管理的一部分。
本报告的组织
本报告分为两卷。第一卷包括本框架和《执行总结》。该框架规定了企业风险管理,描述了原则和概念,为企业和其他组织内部各级管理部门评估和增强企业风险管理的效果提供了方向。执行总结是指导首席执行官和其他高级执行人员、董事会成员和监管人员的一种高层次的检查。第二卷,《应用技术》提供了说明在采用本框架要素中有用的技术。
本报告的使用
作为本报告结果可能采取的建议行动取决于涉及的各当事方的地位和作用:
● 董事会----董事会应与高级管理层讨论本实体企业风险管理框架的状况,提供必要的监督。董事会应该保证知道绝大多数重大风险和管理层正在采取的行动,以及如何保证有效的企业风险管理。董事会应该考虑从内部审计师、外部审计师和其他人那里寻找输入信号。
● 高级管理层----此次的研究建议首席执行官评价本组织的企业风险管理能力。在另一种方法中,首席执行官将经营单位的负责人和主要职能负责人聚集在一起讨论企业风险管理能力和效果的初步评价。不管采取什么形式,初步评价应该确定在哪里需要和如何进行范围更广和更深入的评估。
● 其他实体人士----管理人员和其他人士应该考虑他们是如何根据本框架执行他们的职责,与更高级的人员讨论加强企业风险管理的想法。内部审计师应该考虑企业风险管理重点方面的广度。● 监管人员----本框架可以促进分享企业风险管理,包括能做的事及其局限性的看法。监管人员对他们监督的实体不管是根据规则或指南,还是进行检查,在确定预期值方面可以参考本框架。● 专业人士的组织----规则制定和提供财务管理、审计和相关专题指南的其他专业人士组织应该考虑根据本框架制定他们的准则和指南。消除在概念和专业术语方面的多样化程度,使所有参与者都受益。
● 教育者----本框架可以作为学术研究和分析的题目,以观察未来可以 采取哪些强化措施。根据这一假定,本报告可成为公认的理解的共同基础,其概念和术语应能发现其进入大学课程的渠道。
作为共同理解的基础,所有的参与者将能够用共同的语言说话和进行更有效的沟通。企业的执行人员将定位在对照准则评价其公司的企业风险管理的过程,并强化这一过程,使本企业朝着既定的目标前进。进一步的研究可以发挥超出既定基础的杠杆作用。立法人员和监管人员将能够增强对企业风险管理的理解,包括其好处和局限性。随着所有的参与者都使用共同的企业风险管理框架,这些好处将得到实现。
第五篇:内控-重大风险和突发事件应急管理
企业内部控制—重大风险和突发事件应急管理
一、业务目标
1.防范、控制和化解公司在复杂多变的经营环境中的重大风险和突发事件。
2.加强公司对重大风险和突发事件的管理,有效预防和及时处理重大风险和突发事件,提高公司保障生产安全、处置突发事件的能力。
3.降低重大风险和突发事件对公司财产、资金损失。
4.预警与应急处理机制,符合国家相关法律法规和公司规章制度。
二、业务风险
1.重大风险和突发事件的发生严重影响公司战略的执行与实现。2.重大风险和突发事件影响公司正常经营活动。
3.重大风险和突发事件造成重大人员、财产损失。
4.违反国家相关法律、法规和公司内控制度,可能遭受外部经济处罚,造成公司经济损失和信誉损失,影响公司社会形象。
三、业务范围
本业务流程主要描述公司应对重大风险和突发事件的业务流程。
重大风险和突发事件是指与公司生产经营相关的、突然发生的,可能造成公司的正常经营受到影响甚至无法继续经营的自然灾害、重大意外事故,导致公司财产、人员以及投资者利益受到严重损失,产生区域性或全国性社会影响,可能导致或转化为严重影响证券市场稳定,从而需要采取应急处置措施的事件。
四、业务流程步骤及控制点 1.重大风险和突发事件分级
1.1.特别严重事件:公司全面爆发风险,涉及范围广泛,无法继续经营,导致公司财产、人员遭受严重损失,造成区域性甚至全国性的重大影响;
1.2.严重事件:公司爆发大规模风险,涉及范围广泛,无法正常经营,导致公司财产遭受较大损失。
1.3.较重事件:公司发生重大突发风险,正常经营受到影响,公司财产遭受一定程度的损失,有可能导致或转化为严重影响证券市场稳定的重大突发事件; 1.4.一般事件:公司发生突发风险,正常经营受到一定影响,可能导致公司财产、人员遭受损失。
2.重大和突发事件机构设置与职责
2.1.公司应结合实际情况,依法、科学、合理建立健全公司重大风险和突发事件工作责任制和管理制度,建立安全员管理制度和奖惩制度,及时化解潜在风险,防患于未然。
2.2.成立重大和突发事件应急处置工作小组,由总经理和各部门经理组成,总经理任组长,对公司重大和突发事件负全责。负责领导、检查、监督、处理公司重大风险和突发事件的管理及处置工作,公司人行经理任副组长,在总经理指导下,负责组织公司重大风险和突发事件的具体管理,并向总经理报告工作。
2.2.1.应急处置工作小组及办公室主要职责包括:
(1)拟定突发事件应急管理方案并组织指挥处理重大风险和突发事件及其善后的各项工作的实施;
(2)决定启动和终止重大风险和突发事件处理系统;
(3)与总部保持通讯联系,与外部政府相关管理部门保持工作衔接;(4)收集、整理、分析突发事件相关信息资料及发生的原因;(5)协调和处理重大风险和突发事件处置过程中对外宣传报道工作;(6)及时赶赴事发现场,组织对事故现场的管理,并向公司管理层和地方政府相关部门报告突发事件基本情况,不能瞒报、迟报和谎报情况。作好后勤保障,稳定现场情况,避免事态扩大;
(7)定期或及时评估重大风险;
(8)调查分析事故原因,编写事故报告,提出对相关责任人的处理建议,报公司管理层审议;
(9)其他相关工作。
2.3.公司应正确处理发展与稳定的关系,加强风险防范,管理层应认真履行相关职责。
3.重大风险和突发事件处置原则 公司对重大风险和突发事件的处置以“预防为主、常备不懈、预防与应急相结合”为原则,实行统一领导、统一组织、分类管理、分级负责、居安思危、快速反应、措施果断、协同配合,做到切实可行、积极应对。
4.预警、应急及事后处理
4.1.应急处置工作小组、公司各部门对日常工作中发现的有可能导致或转化为重大风险和突发事件的各类风险信息及时开展跟踪、分析、监测及评估,加强信息报告和预警。
4.2.重大风险和突发事件发生后,公司所属各部门负责人,应在第一时间向应急处置工作小组成员进行汇报并在第一线了解跟踪事件发生和变化的全过程,及时向公司应急处置工作小组报告事件信息,并提供专业分析意见,采取有效的应急措施,防止事态发展,最大限度地减少损失和影响程度。
4.3.应急处置工作小组应当迅速做出应急反应,研究并提出处置方案和建议,按照政府有关部门和证券监管部门的决策,具体组织实施各项应急措施,并结合实际情况进行处置,完善应急手段和措施。
4.4.重大风险和突发事件发生后,公司应急处置工作小组根据要求和重要性,统一对外发布信息,未经核实和授权,任何人不得随意对外透露相关信息。重大风险和突发事件处理完毕后,公司应严格遵照相关规定,及时公平地向所有投资者披露公司的重大突发事件,有针对性的提供公司相关内容及情况,批驳谣言,报告真相。在投资者中树立公平、诚信的公司形象,切实保护投资者的合法权益。
4.5.重大风险和突发事件发生后,公司在应急处置工作小组的统一指挥下,按国家的有关部门和证券监管部门规定和要求,及时开展处置工作;在处置过程中,公司应对可能产生的连锁事件作出评估,采取相应措施。
4.6.公司应对本制度规定的特别严重事件、严重事件、较重事件类重大风险和突发事件予以高度关注。事件涉及的部门和单位应在上述突发事件发生30分钟内,将事件情况、已采取的措施、联络人及联系方式等报告至应急处置工作小组,由应急处置工作小组再上报相关部门。事件涉及的公司部门应在上述突发事件发生的3小时内将详细情况书面报告至应急处置工作小组,应急处置工作小组在接到书面报告后,及时向相关部门递交该书面报告。4.7.发生本制度一般事件类重大风险和突发事件时,应急处置工作小组应及时整理书面资料报总部。
4.8.对于重大突发事件中的伤亡人员、应急处置工作人员,以及紧急调集、征用有关单位及个人的物资,应急处置工作小组应当按照规定给予抚恤、补助、补偿或相关援助;协调有关部门做好疫病防治、环境污染消除工作以及保险理赔工作。
4.9.重大风险和突发事件发生后,公司领导应立即取消出差、休假等,主要负责人应迅速返回工作岗位,按照职责立即开展工作,研究事件发生的原因、趋势和可能出现的后果并提出解决事件的建议,采取相应措施。
4.10.重大风险和突发事件结束后,公司及各部门应及时总结该事件处置过程中的经验教训,评估应急预案的实施效果,形成书面报告,并对应急预案进行修改和完善。
4.11.对重大风险和突发事件处理进行责任分解,并纳入公司绩效考核体系。依据相关规定对相关责任人进行批评、处罚,后果严重的还要给予党纪、政纪及司法程序方面的处置。
4.12.公司应当建立重大风险和事故举报制度,公布统一的举报电话和邮箱地址。
4.13.建立重大风险和事故奖惩制度。5.重大风险和突发事件包括
5.1.违反国家相关法律、法规对公司造成重大社会影响,导致巨额索赔,致使公司遭受经济损失,投资者利益遭受损害。
5.2.因公司产品质量或环境卫生出现问题,导致群体性中毒事件发生,造成企业形象受到严重损害。
5.3.公司网络遭受黑客攻击和计算机发生病毒,造成公司信息不畅,导致业务中断、客户流失。
5.4.公司出现资不抵债的情况,偿债能力突然恶化,严重影响公司经营。5.5.公司内部关系恶化,出现集体上访事件,社会影响恶劣。
5.6.公司管理层突然辞职,主要负责人失踪或被司法机关采取强制措施。5.7.公司发生重大安全事故,重大资产流失。5.8.公司信息披露出现重大遗漏,造成股价出现异常波动,引发媒体报导。5.9.其他重大风险和突发事件。6.应急保证
6.1.应急处置工作小组根据处置需要,召集参与处置人员开展工作,被召集的人员应服从应急处置工作小组的指挥。
6.2.公司在重大风险和突发事件处置过程中,应保证24小时专人值班,保持通讯的畅通;同时做好交易、登记、结算、通讯系统的各项准备工作,建立备份系统,并定期检查,保证设备安全、可用。同时,要及时对技术系统进行全面升级和完善,提高系统应对突发事件的能力。
6.3.公司对相关工作人员定期进行基本知识培训,开展经常性的法律、法规及预防、预警、避险、避灾常识等宣传教育活动和活动有效性的测试。
7.编制突发事件专题调查处理报告,报告内容包括: 7.1.事件发生时间、性质和影响范围; 7.2.对公司可能造成的损失或影响程度; 7.3.已经采取的控制措施;
7.4.对引发事件原因的分析。要求客观准确,实事求是。7.5.下一步采取的防范措施。7.6.对相关责任人进行处理的建议。
7.7.事故报告应分别报公司经营管理层、当地政府相关部门。8.事件调查的信息披露应按照上市公司相关规定执行。
五、相关制度目录
《中华人民共和国突发事件应对法》 《中华人民共和国公司法》 《中华人民共和国证券法》 《上市公司内部控制指引》
六、主要控制点
1.重大和突发事件机构设置与职责 2.重大风险和突发事件处置原则
3.预警、应急及事后处理,事后报告分析及整改,以及应急保障措施等。
七、相关检查资料
应急领导小组名单及职责权限、应急事件的举报信、重大和突发事件的处理程序及保障措施制度、重大突发事件的分析报告及处理措施以及事后整改报告等。