风险管理与内部控制大纲课件

1、风险管理与内部控制陈福义 教授上海学尔森学院副院长、董事世界财经联合会中国地区首席专家 第1页，共62页。内容介绍一、风险管理的历史回放二、内部控制的基本原理三、内部控制的基本方法四、经营过程的内部控制第2页，共62页。一、风险管理的历史回放1、美国的企业内部控制：美国企业内部控制的六个发展阶段2、中国的企业内部控制：中央企业全面风险管理指引企业内部控制基本规范3、“以人为本”的不同诠释及其演化的内部控制理念第3页，共62页。1、美国的内部控制：第一阶段: 1905年产生的内部牵制阶段内部牵制的主要对象是会计和会计工作。第二阶段: 1947年AICPA提出的内部控制概念阶段 内部控制扩展到保护

2、资产安全完整和保证企 的经营方针的执行。但控制的方法仍然是会计。第三阶段:1958年AICPA提出的管理控制与会计控制统一特征概念阶段把内部控制的范围由会计扩展到管理。 会计是控制的对象, 同时也是控制的手段。第4页，共62页。第四阶段: 1988年AICPA提出的内部控制结构的概念阶段 内部控制结构包括:控制环境、会计系统、控制程序第五阶段:1994年COSO提出的“调整内部控制一体化结构” 。 COSO是美国针对虚假财务报告时有发生的情况，成立的“反虚假财务报告委员会” Committee of Sponsoring Organizations. 1992年，COSO提出了“内部控制 一体

3、化结、构”的研究报告(Internal Control-Integrated Framework)提出,内部控制由控制环境、风险评估、控制活动、信息与沟通、监控等5个要素构成。第5页，共62页。第六阶段: 2004年COSO提出的企业风险管理整体框架包括8个因素： 内部环境 风险应对 目标设定 控制活动 事件识别 信息与沟通, 风险评估 监控 鉴于安然、世通造假案，布什总统委托奥克斯利和萨班斯联合起草了萨班斯法案(SOX)，2002年7月15日，美国参议院以97：0的比例高票通过，并在法案中，首次把高管在内部控制 中的责任以法律的形式固定下来。最高可处35年监禁或500万美元罚款。但是，引起的

4、争论一直在继续。 2002年7月25日，阿德尔菲亚公司(全美第六大电讯营运商)前首席执行官约翰.里格斯被公开逮捕。以78岁高龄成为美国近20年来第一起“戴手铐游街”的公司高管。第6页，共62页。内部控制形成发展的六个主要阶段19051947195819882004英国特许会计师工会 内部牵制美国AICPA 内部控制美国AICPA 控制由会计扩展到经营美国AICPA 三要素COSO-八要素1994COSO-五要素第7页，共62页。2、中国的内部控制： 2006年6月6日，国资委发出中央企业全面风险管理指引。内容与COSO1992年提出的5个概念完全一样。 2008年6月28日国家财政部,证监会,

5、审计署,银监会,保监会联合发布企业内部控制基本规范。内容与COSO2004年提出的8个概念完全一样。第8页，共62页。中美内部控制中的各相关主体的职能：中国政府：规定企业内部控制的方法。研究：解释政府规定的方法。教学：教授政府规定的方法。企业：按照规定建立内部控制制度。美国政府：规定企业高管在披露中的法律责任。研究：创建概念体系和理论框架。教学：教授可供选择的方法体系及其原理。企业：选择适用企业的内控方法体系。第9页，共62页。 中美内部控制理念完全不同。导源于对以人为本的不同诠释。第10页，共62页。3、中美两种“以人为本”的比较 中国的以人为本 中国的人本思想最早产生于春秋。“夫霸王之所也

6、，以人为本，本理则国固，本乱则国危”。（管仲，春秋时期思想家）“ 能行五者于天下为仁矣。恭、宽、信、敏、惠。恭则不侮，宽则得众，信则人任焉，敏则有功，惠则足以使人。”（孔子论语） “乐年终生饱，凶年免于死”。“教民稼樯，治河驱兽，教以人伦”。论语.子路 “天之生民，非为君也，天之立君，以为民也”荀子大略 中国历史上的人本思想是在等级制度下的宗法观念为基础，强调的是君臣父子的伦理思想和牧民理论。百姓要追求群体和谐和个人对群体的贡献。 十八大以来，新的“以人为本”的概念正在普及。第11页，共62页。受儒家思想影响的企业文化1、员工必须忠诚于上司；2、上司的指令比制度重要；3、好的下属要经常请示汇报

7、;4、领导要亲临现场指挥；5、用而不疑，疑而不用；6、相信员工的觉悟和能力；7、人是企业最大的财富；8、个人利益要服从集体利益；9、制度是死的，人是活的。第12页，共62页。 人是万物的尺度，是存在事物存在的尺度，也是不存在事物不存在的尺度。 普罗泰格拉古希腊罗马哲学 人们从事经济活动，无不以追求自己最大经济利益为动机，生产者为社会提供各种生活必需品，并不是出于某种仁慈的考虑，而是因为自利的打算”。 (亚当斯密富国论）西方的人本思想强调人是宇宙的中心，人应当追求自身价值与幸福，人在追求自身价值与幸福过程中，人与人之间的关系只能借助于契约，契约关系成为法定形式，这就形成了法制社会。西方的以人为本

8、第13页，共62页。国家是为人民建立的，而人民不是为国家生存的。 爱因斯坦第14页，共62页。美国的企业文化员工不至于由于内部控制而使健康受到危害，控制制度必须是员工的体力、脑力和精力所能够承受的。员工不至于由于内部控制而使人格受到侮辱。控制制度必须尊重员工的人格。控制制度不能背离伦理和当地的风俗。管理是一种职能，而并非权利。第15页，共62页。罪感文化耻感文化“耻感文化”与“罪感文化” 自我规范行为的是内心对面子的珍视和对羞耻的恐惧。触犯高尚的人是可耻的，道歉的目的是求得原谅。 自我规范行为的是人的原罪与上帝的救赎。 永远不要触犯上帝规约下的绝对法则。第16页，共62页。二、内部控制的基本原

9、理1、内部控制的概念2、企业风险的内容3、风险管理的方法4、风险管理与内部控制5、内部控制有效性的特征6、内部控制的审计标准7、内控对高管人员习惯思维的挑战8、内部控制的原则第17页，共62页。1、内部控制的概念内部控制是企业为控制风险、提高经营效率和效果、防止差错和舞弊而制定的用于促进企业内部目标不完全一致的个体朝着企业的既定目标努力的制度、规范、标准和流程。被控是否能够保证会计信息真实？能否保证法律法规得以实施？ 2、企业风险的内容企业风险是未来的不确定性对企业实现经营目标的影响。客观的不确定性主观的不确定性第18页，共62页。（1）战略风险 战略风险主要表现为没有战略，战略不切实际和战略

10、频繁修改。（2）投资风险 投资包括企业并购、固定资产、无形资产等投资。 投资风险来源于投资收益的不确定性。 国内投资主要风险事件有政策变动、市场变动、利率变动、现金流中断等等。 跨国投资的地缘政治风险。（3）财务风险偿债能力风险负债比例过高，丧失再融资能力。现金流风险，不能按期支付到期的债务，或者在可以预见到的将来不能筹集足额资金清偿债务。第19页，共62页。存货风险存货超储，资金周转缓慢，仓储成本上升，大量存货生锈、氧化、变质、失效等原因被核销。成本风险通货膨胀、成本失控等原因导致的采购成本上升、工资上涨或劳动效率低下等。利润风险主营业务利润、其他业务利润、投资收益和营业外收支净额下降，都会

11、造成利润额减少。第20页，共62页。信用风险信用失控导致的，因债务人不能履行偿债义务所造成的风险。现金风险财务人员舞弊或差错造成的现金失窃贪污和短缺。采购风险在供大于求的市场经济条件下，由于控制不力，采购人员乱用职权，随意采购，倾轧供应商，攫取个人利益，造成的采购风险。会计政策风险会计政策脱离企业管理要求、甚至有的财务人员为项目承包人得利益做假账。造成会计报表信息失真。第21页，共62页。（4）市场风险销售风险经济低迷，市场供大于求，或者竞争压力过大，造成企业市场份额格下降，销售收入滑坡。供应链风险上游的原材料供应商、银行、研发商合作关系不稳定，或者生产能力不足、供货周期过长，质量不稳定等造成

12、供应链中断。金融环境风险银行调整存贷款利息率，国家调整税率、汇率，金融市场的期指、股指、现货交易指数等发生改变，给企业带来的风险。第22页，共62页。竞争风险市场上出现了技术更先进，耗能更低，效率更高的替代产品，使得企业所生产销售的产品不经济、不合理，甚至退出市场。（5）运营风险产品结构风险产品老化，竞争门槛低，新产品开发不足，发展前景暗淡。第23页，共62页。营销模式风险营销模式落后，主要依靠价格战，渠道战、人才战、促销战 。面对现代营销策略，企业只能节节败退。组织风险组织效能低下，功能定位掣肘，责任和授权不清，专业经验低下，企业文化是“老板”文化等。安全风险质量、安全、信息、环保等方面存在

13、隐患。体验式营销一对一营销全球地方化营销关系营销连锁品牌营销深度营销网络营销兴奋点营销直销数据库营销文化营销第24页，共62页。失窃破坏风险企业保安年老，纪律松懈，工作不规范，制度不完备，人员和货物进出企业没有完备记录，不能追溯，不能验证。监控探头等设施不完备，甚至形同虚设等造成的失窃、爆炸、火灾等损失。（6）法律风险合同风险一是合同本身不严密，存在着内容上的缺陷所产生的隐患，二是内容虽然没有缺陷，但与法律规定相左。第25页，共62页。诉讼风险频繁卷入诉讼案件，不仅会因诉讼和披露而消耗企业的精力和财力，甚至会因败诉给资本市场带来波动，甚至崩盘。违法风险企业法人的行为，包括企业员工代表企业的职务

14、行为违背法律规定所招致的违法处罚的风险。该等风险导源于企业利益与社会利益的矛盾。企业经营充满风险，而风险又是双刃剑。第26页，共62页。3、风险管理的方法（1）风险回避 对风险后果超过风险承受度，应放弃决策，回避风险。（2）风险转嫁 保险、合同、担保、抵押、质押。（3）风险对冲与补偿 -期货、现货交易系统，套利对冲和延期补偿（4）风险应对- 制定应急预案。（5）风险控制 对于决策不能放弃，风险不能转嫁，无法取得对冲与补偿的风险，必须通过内部控制制度。这是风险管理的重心和难点。第27页，共62页。4、风险管理与内部控制（1）风险因素说风险的因素是导致风险发生的要素。风险控制的实质是对风险因素的控

15、制。 风险因素包括物质性因素、道德性因素、心理性因素。物质性因素是通过道德性因素和心理性因素形成风险的。风险控制的实质是对人们道德和心理的控制。直接表现为对人们行为的规范和纠正。内部控制是风险管理的核心第28页，共62页。多米诺理论：风险因素、风险事件和风险损失缺一不可地构成了风险的发生。 而这三张骨牌之所以相继倾倒，主要是因为人的错误（包括主观故意和疏忽）所致。要防范风险损失，就要规范人的行为。第29页，共62页。（2）代理人说 - 所有者与经理人的委托关系 - 管理层与员工的代理关系（3）人性说 规范和纠正人们的行为实质是调整人与人之间的关系。 一切组织面临的共同难题就是法人和自然人这两个

16、人的矛盾。第30页，共62页。公司绝不怀疑任何员工的人品，但也决不会把公司生死存亡的期望寄托在员工的道德和良心基础上。警世通言：第31页，共62页。5、内部控制的有效性特征除了两个或两个以上的业务经办人合伙作案，任何舞弊和差错都将被内部控制制度自动校验和拒绝。6、内部控制审计标准（1）有还是无？（2）是否完善？（3）执行如何？第32页，共62页。7、内控对高管人员习惯思维的挑战（1）作茧自缚?（2）得不偿失？（3）水至清则无鱼？8、内部控制的原则（1）全面性原则（2）重要性原则（3）制衡性原则（4）适用性原则（5）成本效益原则第33页，共62页。三、内部控制的方法1、目标控制2、责任控制3、授

17、权控制4、流程控制5、预算控制6、标准控制7、计算机控制8、财务控制9、内审控制10、信息反馈控制第34页，共62页。1、目标控制董事会提出的企业战略目标和年度经营目标。企业对每个职能部门提出的工作目标。企业对每个项目事先提出工作目标控制。每项制度明确的控制目标。2、责任控制 部门、岗位的职责描述。上司叫干什么就干什么？谁来最初制定责任内容？ 创建一个企业的责任控制系统，工作量很大么？岗位职责业绩标准操作流程奖惩激励第35页，共62页。3、授权控制 每个员工的授权。授权是负责前提；授权的限制性条件；行使授权的流程 ；违禁和惩戒；监督。 “一支笔”是什么？不相容职务必须分离（1）管物的不能管帐；

18、（2）管帐的不能管钱；（3）批准的不能执行；（4）每项业务都要有第三只眼睛。第36页，共62页。4、流程控制流程是管理的知识和经验的结晶，是业务处理的标准。流程必须被不折不扣地遵循；流程的完备、用语；流程执行状况的验证； 背离流程的惩戒；“自动拒绝和校验”的功能；第37页，共62页。一项内部控制制度至少要包含的要素：扉页内容：目的；适用范围；定义；责任部门；制度条款（实体）；违禁与惩戒；授权。违禁条款和惩戒；生效与修改；附件：流程图表格样本第38页，共62页。5、预算控制预算是控制经营风险的工具，是例外管理原则的必然要求；纠正经营偏差的依据； 预算要以年度经营计划为基础，年度经营计划要从SWO

19、T分析入手。预算控制中的责任制度与核算的统一。6、标准控制数量标准、时间标准、质量标准、动作标准、物理标准、化学标准、经验标准、等等。标准是正常条件下应该达到的水平；管理的中心是实际脱离标准的偏差；偏差问责制度；第39页，共62页。7、计算机控制所有控制过程都要尽可能地借助于计算机代替人为判断；软件控制程序要事先经过严格论证；程序必须建立充分的加密保护；程序要具备记录“例外事件”的功能；“例外事件”的记录要及时反馈给授权人。第40页，共62页。8、财务控制建立财务审核的流程；审核流程必须是“白纸黑字”；财务人员必须严格遵循审核流程；背离审核流程要能够被及时发现和纠正；对财务审核的问责制度必须明

20、确；财务审核中不得依靠财务人员的主观判断；财务审核不得影响工作效率。第41页，共62页。9、内审控制内审是防范舞弊和差错风险的工具。独立的内部审计专门人员；内部审计人员不可以干预经营管理活动；董事会决定内部审计人员的聘任,升职或解聘；员工不得对内部审计人员“无可奉告”。第42页，共62页。10,信息反馈控制公司的信息要在授权范围内实现共享。唤起对公司信息的识别。 要为员工的信息建立检举报告的途径。第43页，共62页。四、经营过程的内部控制1、组织架构设计2、投资决策的内部控制3、人力资源的内部控制4、企业文化的内部控制5、资金及其运动的内部控制6、采购业务的内部控制7、资产管理的内部控制8、销

21、售业务的内部控制9、工程项目的内部控制10、成本的内部控制11、对外担保和业务外包的内部控制第44页，共62页。1、组织架构设计（1）治理结构要与企业组织形式相适应；（2）内部机构要符合企业规模和经营特点；（3）便于提高效率和防止舞弊；（4）各部门的职责、目标、授权、责任要在制度中明确。第45页，共62页。2、投资决策的内部控制投资目的必须是为了形成或保持企业的核心竞争力。投资方案必须经过严格的可行性研究，切实保证技术上可行、经济上合理。投资决策过程要以制度明确。为了做大？肥水不流外人田？第46页，共62页。3、人力资源的控制（1）人员引进要与企业实际需要相吻合；（2）人力资源开发要以合同规避

22、风险；（3）人力资源成本要有竞争力；（4）以制度防止越权和舞弊。（5）有效的激励政策；（6）辞退要有理有利有节。减少诉讼风险。第47页，共62页。 企业文化是企业最高领导人所营造的管理氛围。是企业价值观和荣辱观的集中体现。员工个人的价值观和荣辱观可能随企业文化改变。企业文化决定内控制度，内控制度体现企业文化。4、企业文化的内部控制第48页，共62页。5、资金及其运动的内部控制（1）保持健康的现金流是第一要务；（2）筹资活动的现金流控制；（3）投资活动的现金流控制；（4）货币资金和非货币资金的现金流控制。（5）必须有严格的制度保证。第49页，共62页。6、采购业务的内部控制采购必须实行制度化管理，至少要包括以下内容：（1）采购业务垄断办理；（2）统一指定供应商；（3）PR和PO管理制度；（4）仓储盲收制度；（5）结算分离制度。第50页，共62页。7、资产管理的内部控制（1）存货内部控制；（2）固定资产内部控制；（3）无形资产内部控制。（4）建立资产的内部控制制度。第51页，共62页。8、销售业务的内部控制（1）定价控制（2）信用控制（3）合同控制（4）发货控制（5）收款控制（6）客户服务第52页，共62页。9、工程项目的内部控制（1）工程建设阶段的成本、进度和质量的内部控制：（2）工程建设内部控制的突出问题-项目经理承