内部控制9_过程控制ppt课件

1,.,内部控制过程包括过程控制、内部审计，过程控制使控制对象在行为过程中处于稳定状态，并达成内部控制目标的控制活动，涉及运营风险监控、风险的自我评估和信息反馈等,内部控制过程篇,2,.,91运营风险92风险监控93过程控制案例,第九章过程控制,3,.,91运营风险,过程控制是指在内部控制框架下，使控制对象在行为过程中处于稳定状态，并达成内部控制目标的控制活动。过程控制比结果控制要深入、具体，不仅对工作结果进行监控，而且要对整个过程进行控制，如风险监控是过程控制的重要内容,4,.,2001年，长虹公司为实现海外发展战略、提高销售额，将长虹彩电交由APEX公司在美国销售。APEX方面总是以质量问题或货物未收到为借口，拒付、拖欠货款或少量付款。2002年底，长虹公司应收账款为42.2亿元，APEX公司就占了90%，达38.3亿元。2003年底长虹公司应收账款49.8亿元，APEX公司就占了89%，达44.6亿元。长虹公司内部为此专门成立了APEX项目管理小组,5,.,但令人无法理解的是，在提出对账和索要货款未果的情况下继续发货给APEX公司。2003年底，长虹公司派出高级管理人员与APEX交涉，结果2004年初长虹又发货3000多万美元，暴露了长虹公司在过程控制方面的问题。企业最高管理层需要树立企业成长、盈利、风险三者平衡的风险控制观，要求管理当局将主要精力放在风险管理方面，而不是所有细节的控制上,6,.,一、流程风险风险具有普遍性、多样性、可变性(一种风险可转化或扩展成另一种风险)、突发性、隐蔽性、复杂性、可控性。流程风险源于缺乏有效的流程管理，包括生产流程风险、交易流程风险、产品或服务风险。生产过程风险包括生产能力风险、生产周期风险、生产中断风险、存货保持风险等。,7,.,交易过程风险的发生可能发生在采购环节，也可能是由于企业对于供应商或客户的评估而产生的。在采购过程中，如果原材料缺货或成本过高，那么可能会影响到企业在客户需要时提供具有竞争性价格的产品或服务的能力。另外，采购原料的质量问题也可能引起风险例如，上海宝钢矿石供应的风险,8,.,交易流程中的风险控制,9,.,【英特尔的失误】1994年11月，一位学术界人士告诉英特尔公司，它们生产的奔腾处理器有一个小的运算功能错误。但英特尔公司非常自信，没有认真对待这位客户的反应。发现瑕疵的教授通过互联网询问其他人是否也遇到了类似的问题，结果得到数以千计人的回答。尽管英特尔公司一再向用户保证，处理器的这个微小的问题不会影响到PC机的整体功能（出现计算错误的概率为90亿分之一），但用户坚决要求更换产品。新闻媒体的批评是严厉的，IBM公司对装有奔腾处理器的计算机停止发货。虽然英特尔公司制定了更换产品的政策，但只有约3%的用户的产品得到了更换，英特尔为此付出了4.75亿美元的代价,10,.,二、人员风险人员风险是指由于人员资格和能力不能够满足工作的要求，致使设计或操作出现漏洞、疏忽、工作完成的效果差、难以达到预计目标、生产经营效率低下、产品质量或服务质量不达标准的可能性有调查显示，大型超市的经理仅将31%的库存损失归因于店铺偷窃者，而将剩余的46%归咎于员工偷窃。如果只是追求利润而不将风险意识结合到公司的文化中，同样会引发员工的不良表现,11,.,【迪斯尼公司的员工背景调查】迪斯尼乐园的业务是建立在公司安全及童趣的声誉上：如果声誉受损，业务就会下滑。1998年7月，迪斯尼公司一名年龄不到20岁的厨师被指控在酒店的卫生间侵犯了一位游客。这个厨师还有着相当多的犯罪和被捕记录时，他的犯罪记录还包括袭击他人、入室偷窃等。在他被迪斯尼雇佣的时候，他处在缓刑期间。舆论对此曝光后，迪斯尼乐园的客流量和收入在一段时间内受到了打击。这一事件之后，迪斯尼乐园将每一个员工都当作企业的风险源，更注重员工录用时的背景调查。,12,.,海空物流公司CEO向公司的每一个员工发出了必须遵守基本的职业道德规范（CodeofBusinessConduct），将该职业道德规范放在网站上，要求每一位员工每年必须重新学习一遍，强化员工的控制意识,13,.,三、信息系统风险信息系统风险包括信息系统数据的真实性、系统的稳定性、系统使用的安全性等方面。运用信息系统的企业，在设计商业流程及系统时，应该明确地将数据安全、准确作为首要目标例如，一些物流公司在客户出货多的情况下，没有及时掌握信息、制定流程控制防止业务人员操作失误；在货急和客户提供信息不完整时，没有应急的流程控制和信息沟通，容易造成客户流失。,14,.,四、外部风险这种风险的来源于企业外部，但属于企业风险监控和内部控制范围，未雨绸缪是一个比亡羊补牢更理性的选择。外部风险可以是自然或人为的灾难，可能来自于竞争具有偶然性，难以预测，一旦发生却有着严重的后果外部风险还环境，使企业的原有运营环境遭到破坏，但是有效的管理可以降低此类风险。例如，IBM从一个硬件公司到一个服务及解决方案公司的转型，较好地解决了竞争环境变化带来的风险,15,.,92风险监控,以“目标风险控制”流程为指导，对所有的风险进行分析，包括管理层关注的事项以及引起责任人员注意的风险领域。关注高风险的领域，以提供相关的、符合管理层和董事会需求的信息风险管理源于20世纪30年代，在风险定性分析的基础上，把保险作为处理风险的主要方法到了50年代，运用概率论和数理统计；60年代后，系统地研究风险管理；自70年代以来，风险管理逐渐发展成为新兴的管理学科，不再局限于信用风险管理，80年代转向财务风险管理（包括资本市场风险、信用风险等），90年代后期进入了全方位的企业风险管理,16,.,17,.,一、COSO委员会企业风险管理整合框架（一）企业风险管理整合框架2004年9月，由美国注册会计师协会(AICPA)、国际内部审计师协会(IIA)、财务经理人协会(FEI)、管理会计师协会(IMA)、美国会计学会(AAA)组成的COSO委员会正式发布了企业风险管理整合框架（EnterpriseRiskManagement，以下称ERM），为企业管理当局评价和改进其所在组织的企业风险管理提供了一个框架,18,.,企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯彻执行之中，管理风险以使其在该组织的风险容量之内，为组织目标的实现提供合理保证ERM框架明确了以下内容：风险管理是一个过程，受人的影响，应用于战略制定，贯穿整个企业的所有层级和单位，旨在识别影响组织的事件并在组织的风险偏好范围内管理风险，为了实现各类目标提供合理保证,19,.,ERM包括八个相互关联的部分：（1）内部环境为人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及所处的经营环境。（2）目标设定必须先有目标，管理当局才能识别影响目标实现的潜在事项。（3）事件识别必须识别影响组织目标实现的内部和外部事项，区分风险和机会，使机会被反馈到管理当局的战略或目标制定过程中。,20,.,（4）风险评估通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。（5）风险应对管理当局选择风险应对策略回避、承担、降低或者分担风险，以便把风险控制在组织的风险容忍度和风险容量以内。（6）控制活动制定和实施政策和程序以确保风险应对方略得以有效实施。（7）信息和沟通向组织的各个层级提供他(她)们识别、评估和应对风险所需的信息。有效沟通包括信息在组织中的向下、平行和向上流动。,21,.,（8）监控进行全面监控，必要时加以纠正。监控可以通过持续的管理活动、个别评价或者两结合起来完成。企业风险管理的八个要素都是为企业的四个目标(经营效率、财务报告可靠性、合规合法性、战略目标)服务的，企业各个层级都要坚持同样的四个目标，每个层次都必须从以上八个方面进行风险管理。,22,.,企业风险管理主要有下列作用：（1）协调风险容量与战略管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在组织的风险容量。（2）增进风险应对决策的严密性ERM为识别和选择风险应对策略风险回避、承担、降低或者分担，提供了理论依据。（3）控制或抑减经营意外和损失使组织识别潜在事项和实施应对的能力得以增强，从而抑减意外情况以及由此带来的成本或损失。,23,.,（4）识别、管理多重的和贯穿于企业的风险每个企业都面临着影响其不同部分的一系列风险，ERM有助于有效地应对交互影响的风险因素，应对多重风险。（5）抓住机会通过全面考虑潜在事项，促使管理当局抓住并积极地利用机会。（6）改善资本配置获取有效的风险信息，帮助管理当局有效地评估资源需求，并改进资源配置。,24,.,企业过程控制失控发生的损失,25,.,风险偏好是企业为了追求更大价值而愿意承担的风险容量，与战略和资产配置有关。尽管企业风险管理有很多重要的作用，但它也存在着局限。这些局限主要源于下列方面：人们在决策过程中的判断可能有纰漏，有关应对风险和建立控制的决策需要考虑相关的成本和效益；不可控的事项、差错或不当报告偶尔也会发生，控制可能因为两个或多个人员的串通而被规避；管理当局有可能凌驾于企业风险决策之上等,26,.,（二）ERM与内部控制整合框架的关系ERM框架几乎包含了COSO委员会在1992年发布(1994年修订)的内部控制整合框架的所有内容，并进行了较全面的拓展。ERM框架是内部控制整合框架的升级，这种升级主要表现在以下几个方面：1提升了内部控制的目标层次2增加和优化了内部控制的内容3建立了风险的组合观4引入风险容量和风险容忍度的概念,27,.,二、企业全面风险管理ERM风险管理框架发布后，引起企业界和监管部门的关注。在我国，国务院国有资产管理委员会2006年出台了中央企业全面风险管理指引（以下简称指引），借鉴了COSO委员会“企业风险管理框架”和国内外先进企业风险管理方面的经验，以及国内有关内部控制建设方面的规定，对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险管理、信息系统等方面进行了详细阐述,28,.,全面风险管理基本流程包括以下主要工作收集风险管理初始信息；进行风险评估；制定风险管理策略；提出和实施风险管理解决方案；风险管理的监督与改进。,29,.,具备条件的企业可建立风险管理三道防线：即各有关职能部门和业务单位为第一道防线风险管理职能部门和董事会下设的风险管理委员会为第二道防线内部审计部门和董事会下设的审计委员会为第三道防线,30,.,【中广核集团全面风险管理体系建设案例】中广核集团是在1985年与香港中电合资建设的大亚湾核电站的基础上，于1994年9月经国务院批准成立的大型企业集团，从成立之初就十分重视风险管理工作，形成了一套比较完整的管理制度和程序，积累了一定的管理经验，取得了较好的成效，中广核集团借鉴国务院国有资产管理委员会中央企业全面风险管理指引，将风险管理作为重点工作之一，积极推进全面风险管理体系建设，保战略目标实施、保可持续发展，取得了初步成效,31,.,1全面开展风险评估诊断，明确所面临的重大风险,在进行风险调研的基础上，组织填写并回收调查问卷共计240多份，收集风险初始信息9474条，辨识出风险事件517个，最终在集团公司层面归集为13大类、35个风险。在此基础上，通过进一步从风险的影响程度、风险发生的可能性和管理改进的迫切性三个维度对所收集的风险信息和调查结果进行统计、分析、评价，绘制出集团风险图谱，经过集团风险管理领导小组确认，明确了需要重点防范的九类重大风险,32,.,2制定重大风险管理策略和措施，加强重大风险管理,针对评估辨识出的重大风险，推进小组通过对集团高层领导、集团公司顾问和相关专家、重要管理骨干等，共计78人次进行访谈，初步掌握重大风险的管理现状，并将战略、资金和核电工程建设等三个方面重大风险的管理作为突破口，对与其相关的管理制度和流程进行梳理、分析对其关键业务环节设计了29个风险监控指标，制定了28项风险预警标准，建立了相应的风险监控报告和预警机制,33,.,三、风险监控风险评估首先应找到“风险动因”，而不能简单地将业务部门或行政区域作为风险评估的对象，对“风险动因”的具体元素进行逐个评估后，风险既可以进行横向汇总对机构风险进行排序，也可以对不同业务进行纵向汇总对业务风险进行排序。对业务风险的评估和排序结果是进行专项检查的重要依据，为提高业务水平提供了可能。,34,.,（一）风险监控流程有效的风险监控系统有助于实现内部控制的目标，将降低损失、减少重大负面事件发生的概率，为企业提供早期风险警告机制，改进企业实现其商业目标的能力，管理层将力量集中在创造价值的活动方面，而不是应付危机上；有效的风险监控使风险转移合理化，提高企业的市场价值,35,.,风险导向下的过程控制,36,.,风险监控的流程可分为四个步骤：风险识别、风险评估、风险应对以及风险控制，以下分别叙述,37,.,1.风险识别方法有七种：（1）风险清单分析法。该方法是美国风险和保险管理学会开发制定了风险清单，列示了已识别的、常见的企业风险。例如，玻璃或其他易碎品破碎；故障；员工疏忽；爆炸和内破裂；雇员的欺诈行为；征用；外部欺诈、伪造,38,.,（2）现场调查法：现场调查法一般分为三步，即调查前的准备工作、现场调查以及形成调查报告。调查前的准备工作要设计出调查表或调查问卷，内容包括调查的时间、地点、对象等（3）财务报表分析法：一个股份公司，尤其是上市公司都会有自己的预期目标和远景规划，这些相关信息的披露将直接影响投资者的认可程度。NX公司计划目标是，2007年实现销售额增长10%，即1000万元，净利润增加300万元。为了实现这一目标就必须将目标分解为各个部门的目标，具体到每个人员的工作预期,39,.,（4）组织结构图分析法：根据需要画出企业或部门的整体结构图，寻找部门之间是否存在重复性、依赖性或集中性；也可在组织结构图上标注该部门的原料供应量、收入、利润等，管理人员可以清楚的看到各部门的责任和风险，也可以借鉴战略地图对风险进行描述（5）流程图法：配有解释表，用来具体说明各流程阶段会发生的风险种类，可以直观的反应易发生风险的流程以及它对其他流程的影响,40,.,（6）因果图法：因果图法是一种分析风险事故与导致风险事故因素之间因果关系的有效工具。这一方法的关键是绘制因果图。图中主骨代表被分析的风险事件，大骨代表导致风险事件的主要原因，中骨表示导致大骨的主要原因，依此类推，将导致风险事件的因素尽可能的在图中表示,41,.,（7）事故树法,由某一风险事件出发，运用逻辑推理的方法推导出其引发风险的原因。从顶上事件（风险事件）中间事件基本事件进行事故树的结构图分析，从而确定风险源。在20世纪90年代早期，思科公司的股价是其每股销售收入的6倍，2000年第1季度，公司股价是公司未来销售收入的25倍，而公司的值（资本市场上一种度量风险的指标）高达1.13。公司的风险较高，但为股东创造了价,42,.,表思科公司的主要风险,43,.,2.风险评估风险评估是指在风险识别的基础上对风险进行定量和定性的综合分析，并确定风险影响的过程。首先对风险进行测量，在过去风险资料分析的基础上，运用概率论和数理统计的方法对某一特定或者几个风险事件发生的损失频率和损失程度做出定量估计。其次，评估风险，即在风险识别和风险测量的基础上，把损失概率、损失的程度、风险评估标准以及其他因素综合起来考虑，分析风险对企业的影响。,44,.,美林证券公司建立了风险管理体系，其风险管理组织结构有三大特点：一是在公司基层强调的是风险信息准确及时的获得，在管理层面强调部门间协调与沟通；二是基层组织的设置、人员安排、工作范围分工明确，公司管理层、部门和人员之间相互参与现象极为普遍；三是风险的监控渗透到每一项业务活动中，各项业务必须在业务指导部门、管理职能部门和风险管理部门三方的共同协调下开展,45,.,图美林证券风险管理的组织结构,46,.,3M公司建立风险投资管理机制，为风险投资制定的经营计划包括对预期收益的估计、投资结构平衡、制定资金预算，为确保开发技术的成功，只有在投资项目的收益大大超过损益平衡点时，才将开发的技术投入应用；由创新者、管理人员、财会人员共同对新产品、新技术、新工艺进行技术性、商业性评估，一旦证实创新概念具有经济价值，则进入赢利性分析，包括预期的投资收益率，与之相关的、各自不同的风险，达到成熟期所需的时间等,47,.,3.风险应对风险应对是针对风险评估的结果根据、企业的风险容量和风险容忍度，选择适当的风险管理策略风险管理策略通常分为以下四类：回避风险、损失控制、分离风险单位、非保险方式的转移风险（包括转移风险源、签订免除责任协议、利用合同中的转移责任条款）、保险等，回避意味着所确定的应对方案都不能把风险的可能性和影响降低到一个可接受的水平，降低和分担意味着要把剩余风险降低到与期望的风险容忍度相协调的水平，而承受则意味着固有风险已经在风险容忍度之内,48,.,企业应当认识到一定程度的剩余风险总是存在的，这不仅因为资源是有限的，而且还因为所有的活动在未来都有不确定性和局限。因此，风险应对并不是要把剩余风险降到最低。如果一个风险应对方案会导致剩余风险明显低于风险容忍度，企业就应当对该应对方案进行反思和修改，或者在必要时重新考虑风险容忍度。因此，平衡风险与容忍度是一个不断反复的过程,49,.,三、风险/内部控制自我评估风险自我评估或内部控制自我评估（以下简称自我评估）是一种融合组织行为学、内部控制、风险管理、全面质量管理、绩效持续改进等多理论的方法自我评估内容包括四个方面：确认风险；评价减少或管理风险的控制过程；开发用以将风险减少到可接受程度的行动计划；确定实现业务目标的可能性,50,.,内部控制的逻辑起点应当是“修己安人”，“修己”就是自我管理，自我管理应是内部控制的总纲，内部控制“无为而治”是最高境界国际内部审计师协会（IIA）于2002年对北美4500位来自各类组织的内部审计负责人进行调查，其结果显示内部控制自我评估(CSA)被列为“当前内审最佳实务”的第二位，在“未来将越来越重要的实务”中排名第一,51,.,（一）内部控制自我评价的优点实施自我评估程序，通过对自我评价，可以提高风险管理有效性。将以前“发现和评价”为主要内容的活动向积极防范和提供解决方案的活动转变，从事后发现问题到事前发现、防范风险转变为，从单纯强调控制转向积极关注、利用各种方法改善企业绩效，内部控制自我评价提高了内部控制效率。内部控制自我评价强调员工的参与性。,52,.,（二）风险/内部控制自我评估的内容国际内部审计师协会（IIA）认为，自我评估内容包括四个方面：确认风险；评价减少或管理风险的控制过程；开发用以将风险减少到可接受程度的行动计划；确定实现业务目标的可能性。并采用以下四种不同的形式展开：,53,.,一是以目标为基础。首先确定完成既定目标的现有控制方式，再确认剩余风险（采纳控制措施后依然存在的风险）。评估现有的控制是否有效运作，剩余风险是否维持在可接受的水平二是以风险为基础。先列举出影响目标实现的各种风险，然后确定能够管理关键风险的适当控制，即典型的“目标风险控制”模式。三是以控制为基础。在RSA之前已确认关键风险和控制，在RSA过程中把关注点放在评估内部控制运行的有效性,54,.,四是以过程为基础。识别采购、产品开发、销售等过程中的优、缺点，致力于评价、改善并简化整个过程，这一方式对流程再造、全面质量管理、持续改进等管理活动提供支持。五是除了IIA以上四种方式之外，以部门为基础的自我评估，即关注某个部门在整个组织中的位置，确认帮助部门有效发挥功能以及阻碍部门目标实现的因素,55,.,一般采用两种方法：调查问卷法、研讨会，后者是自我评估的典型方法。研讨会通常持续24小时，由管理人员作为会议的引导者与协调者，引导与会人员就某一议题充分讨论交流，在需要进行评估时利用电子记录与投票系统收集信息，直接记录与会者的意见，及时获得反映与会者对解决议案的偏好、优先顺序的量化结果,56,.,宝钢国际公司，员工参与内部控制建设，体现了员工价值，将推进CSA的过程视为一个人力资源培训过程自我评估报告包括三个部分：（1）评价的范围和评价过程的特殊性；（2）内部各个环节的风险程度，风险最高的是红色，较高的是黄色，其次是深绿色，再次是浅蓝色，风险最低的是白色；对红色和黄色的高风险环节进行具体描述，提出改进方案和完成时间、责任人；（3）行动计划,57,.,93过程控制案例,案例背景ZHY公司（以下简称公司）成立于1993年，由中央某直属大型国企控股（以下简称母公司），总部和注册地均位于新加坡。公司成立之初经营十分困难，但到了2003年，公司净资产超过1亿美元，总部资产近30亿元。公司董事会有八名董事，三名为独立董事，其他五名均来自母公司（董事长是集团总经理，其他分别为集团财务部负责人、运销处副处长、其他人员不明）。,58,.,案例背景,1995年公司收购了另外两家合资伙伴的全部股权，先后经历了两年的亏损和两年的休眠期，1997年恢复运营之后，公司进行了两次战略转型：第一次转型，是从一家船务经纪公司重新定位为以航油采购为主的贸易公司；第二次转型，是从一个纯贸易型企业发展到以石油实业投资、国际石油贸易和进口航油采购为一体的工贸结合型的实体企业。,59,.,2001年12月6日，公司在新加坡交易所主板成功挂牌上市，发售股票1.44亿股，每股发行价0.56新加坡元；共筹资8064万新加坡元，成为新加坡交易所当年上市公司中筹资量最大的公司，也是中国首家利用海外自有资产在国外上市的中资企业陈久霖擅自扩大业务范围，从事石油衍生品期权交易，与日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外，签订了合同。陈久霖买了“看跌”期权，赌注每桶38美元，但国际油价一路攀升,60,.,2004年2月，总经理陈久霖在2004年全国企业管理创新大会演讲时，把“风险管理”作为自己的发言主题，用了近三分之一的篇幅对公司风险管理系统作全面介绍，并以巴林银行为前车之鉴，还特别提到“50万美元”的平仓止损线。2004年被评为新加坡最具透明度的上市公司2004年9月前，公司业绩表现良好：,61,.,20002004年度主要财务数据单位：新家坡元,62,.,2004年10月，油价再创新高，公司此时的交易盘口达5200万桶石油；账面亏损再度大增。直到10月10日，面对严重资金周转的问题，公司首次向母公司呈报交易和账面亏损。为了补加交易商追加的保证金，公司已耗尽近2600万美元的营运资本、1.2亿美元银团贷款和6800万元应收账款资金，账面亏损高达1.8亿美元，另外已支付8000万美元的额外保证金,63,.,2004年10月20日，母公司提前配售15%的股票，将所得的1.08亿美元资金贷款给公司。在2004年10月26、28日，公司因无法补加一些合同的保证金而遭逼仓，蒙受1.32亿美元实际亏损；11月8日，公司的衍生商品合同继续遭逼仓，截至25日的实际亏损达3.81亿美元；公司最终于同年12月2日对外披露5.5亿美元的衍生工具交易亏损，向新加坡证券交易所申请停牌，并且申请法律破产保护,64,.,2004年3月，公司在亏损580万美元时，可以有三种选择，一是斩仓，把亏损限制在当前水平；二是让期货合同自动到期，账面亏损逐步转为实际亏损；三是展期，油价下跌到期货卖出价，实现盈利。如果选择前两种方式就意味着亏损，公司管理者可能会面临来自市场、集团、国内监管方面的压力，可能引发集团内部不满者的行动。在交易员和风险管理委员会的建议下，该公司管理者选择了展期这一方式；当公司亏损扩大到8000万元后，管理者仍坚持已有的决定,65,.,案例分析,尽管ZHY公司拥有一个由部门领导、风险管理委员会和内部审计部组成的三层“内部控制监督结构”，但这个结构的每个层次在本次事件中都犯有严重的错误。此次事件反映了我国国有企业治理结构不完善，内部人控制，对海外企业的行政化治理等明显特征，董事会组成、高管人员任免、资金控制、董事问责制度等方面都存在问题,66,.,公司早在2002年在外部审计师的协助下，制定