企业风险管理与内部控制制度设计（吴建友）

1、企业风险管理与内部控制制度设计吴建友 博士 副教授上海国家会计学院教研部执行主任1教育背景: 1991-1995 西南财经大学国际经济系(学士) 1995-1998 西南财经大学研究生院(硕士) 2001-2004 上海财经大学会计学院(博士)工作经历 1995-1998 四川建华会计师事务所 1998-2001 中国太平洋保险（集团）股份 2001-2002 大宇证券股份（中国上海） 2002- 上海国家会计学院CPA研究与发展中心联系方式: E-M: 地址: 上海蟠龙路200 : 201702CV2内部控制的发展战略管理与风险控制战略控制的设计与监控环节控制的设计与监控内容提要3沿革与发展

2、：企业的内部控制与企业经营以及与之相关的会计信息需求紧密相联（一） AICPA早期内部控制的定义（1936）进入20世纪，西方文明由农业时代进入工业时代，机器的发明使粮食和其他商品与服务的大量生产成为可能；蒸汽机、火车、汽车和 的发明，提高了人类交通和沟通的速度和质量，加快了商品和劳务的流动性，从而使企业组织的规模和复杂程度达到了一个新的高度. 同时，权益资本开始成为这些复杂的企业组织的资本来源，从而产生了对新型的财务信息和审计方法的需要。权益投资者开始需要了解其投资的盈利能力，而定期的利润数成为衡量获利能力的重要指标。作为这些使用者的需求和为适应这些需求的会计信息系统变化的结果，外部审计从检

3、查管理人员是否有未经审批的开支，或检查下属人员是否有不诚实的行为，扩大到检查一个企业报告的利润与财务状况的真实性。 Kreuger & Toll, Inc案与1933年的证券法和1934年的证券交易法。为保证公司现金和其他资产的安全，检查账簿的准确性而采取的各种措施和方法。 一、内部控制的发展4 （二）AICPA特别报告对内部控制的定义（1949）基于保护企业资产，检查其会计资料正确可靠，提高业务效率，促进企业经营方针，组织计划的贯彻执行而在企业内部采取的各种稽查措施。这一定义的内部控制的制度包括：预算管理标准成本定期业务报告统计分析与运用职业培训计划等一、内部控制的发展5（三） AICPA的

4、审计程序公告SAP No. 33（1958）将内部控制区分为：内部会计控制制度内部管理控制制度一、内部控制的发展6（四） 两种内部控制的区别与含义 内部管理控制包括但不限于：组织机构的计划与管理部门如何进行批准决策有关的程序和记录 批准程序的定义：管理部门的一种责任与其承担组织目标所承担的职责相关是对所有交易事项建立会计控制制度的出发点。会计控制制度包括组织机构的设计与财产保护和财务会计记录可信性，包括盈利真实性的直接相关的各种措施根据管理当局一般授权或特殊授权处理交易必要的交易记录：财务会计报告的编制以会计准则为依据；维护对财产受托责任的证明；财产收付需经管理当局批准定期和对帐面记录和实物资

5、产，对差错采取适当措施。一、内部控制发展7（五） 反国外贿赂法与内部控制20世纪70年代中期，与内部控制有关的活动大部分集中在制度的设计和审计方面，重在改进内部控制制度的方法和提高审计的质量和效率效果。随着企业经营国际化的发展，企业为了商业利益在国外贿赂外国政府官员，以获得经营利润水门事件及其副产品：反国外贿赂法1973年至1976年对水门(Watergate)事件的调查使得立法机关与行政机关开始注意到内部控制问题。水门案专案检查官办公室及美国证券交易委员会(SEC)所进行的调查分别显示，过去不少美国大公司进行了违法的国内捐款、可疑或违法的国外支付(包括贿赂外国政府官员)。针对这些调查的结果，

6、美国国会于1977年通过了反国外贿赂法(Foreign Corrupt Practices Act，简称FCPA)。FCPA除了具有反贿赂的条款外，还规定了与会计及内部控制有关的条款。一、内部控制的发展8法案的作用不得对外国官员行贿保持会计记录，建立内部控制处罚：一年监禁，5万美元罚款FCPA的执行者：SEC法案的重要意义：建立内部控制是企业的法律责任一、内部控制的发展9FCPA结合索克斯法案对我国的影响朗讯中国案一、内部控制的发展10（六） 反欺诈财务报告委员会National Commission on Fraudulent Financial Reporting(Treadway Com

7、mission，1985)1987年报告的要点：高层管理层所确立的氛围（Tone）影响公司环境，而财务报告则是在这一环境中产生的。防止虚假财务报告必须从报告产生的环境入手，即从高层管理当局开始所有上市公司需保持良好的内部控制，以发现和防止虚假财务报告行为一、内部控制的发展11（七） COSO委员会的内部控制整体框架COSO的组成：AICPA，AAA，IIA，FEI，IMA。1992发布内部控制定义为实现经营效率和效果、财务报告的可行性及相关法令的遵循等企业目标而提供合理保证的过程。内部控制的实施者为企业董事会、经理层和其他员工。内部控制为谁而设内部控制不是某个人或某个层级的人提出来的，专门针对

8、某个人或某个层级的人的制度，它是整个企业设计的系统，没有人能脱离这一系统而独立运作。谁对内部控制承担责任管理层、董事会、内部审计和其他员工内部控制五要素控制环境、风险评估、信息与交流、控制活动、监督一、内部控制的发展12（八）企业风险管理（ERM）企业经营与战略管理企业经营从过程管理向战略管理转变COSO委员会的反应企业风险管理框架（ERM）这一拓宽已经达到这样一种程度，连COSO委员会都不得不承认现代的企业风险管理将取代内部控制。COSO委员会于2001年年初成立了一个由维吉尼亚大学教授组成的一个专家组，以确认是否需要就企业风险管理开发出一个指导性的框架。专家组经过调研，发现公司董事会和董事

9、会下的审计委员会对于企业风险管理有强烈的需求。COSO委员会因此从其五个成员组织中召集人员成立了项目咨询委员会（Project Advisory Council），并且请普华会计师事务所书写这一框架性的文件。2003年7月，COSO委员会发布了ERM框架(征求意见稿)（Enterprise Risk Management Framework, Exposure Draft），2004年9月形成正式文稿。COSO委员会的行动显示了内部控制向企业风险管理发展的趋势。一、内部控制的发展13ERM的主要内容内部环境目标设定事件识别风险评估风险反应控制活动信息与沟通监督一、内部控制的发展内 部 环 境战

10、 略目 标 设 定事 项 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告遵 循子公司业务单位分支机构企业整体层次14（一） 现代两权分离的公司经营的特征企业的经营越来越复杂经营的复杂性使得企业经营与内外部经济环境的联系越来越紧密竞争越来越激烈如果你在一个没有竞争的行业中从商，那么你就选择了一个错误的行业，事实上，这种行业根本就不存在。竞争的结果：两极分化20世纪初的美国100家大公司，今天只有16家尚为人知；2003年，美国5万家企业申请破产。19901999年表现较佳的公司的股票增长率（）：思科（124,285)；戴尔（72,400）；二、战略管理与风险控制15

11、（二 ）为什么有的公司经营的很好，有些公司造假或破产？ 任何企业之所以存在的目的是创造价值对顾客的体现销售的产品或提供的服务可以给顾客带来消费者剩余对债权人的体现有足够的利润（现金流）还本付息对供应商有足够的信用，可以获得稳定的供货股东获得满意的投资回报（证券市场表现为股价的上升）二、战略管理与风险控制16二、战略管理与风险控制全球环境竞争者资本提供者者 内部环境当地法律环境设备供应商顾客监管者存货供应商人力供应战略伙伴战略管理17公司股东雇员供应商消费者放款者和其他资本投资者政府和监管者股利和资本利得质量和定价付款职位安全性和薪酬风险和回报（利息）稳定，税收，和就业岗位不同的利益相关者对价值

12、有不同的观点.18这些都表现为利润：超额利润（活的好）平均利润（活的一般）达不到平均利润（危险，难以生存，有动机造假）连利润都没有（？）二、战略管理与风险控制19（三）战略管理理论关于超额利润来源的两种模型行业竞争模型1962年，美国著名管理学家Alfred D. Chandler出版了战略与结构：工业企业史的考证。Ansoff于1965出版的公司战略（Corporate Strategy）一书中首次提出了“企业战略”这一概念，并将战略定义为“一个组织打算如何去实现其目标和使命，包括各种方案的拟定和评价，以及最终将要实施的方案”。20世纪80年代初，以哈佛大学商学院的Michael Porte

13、r为代表的行业竞争战略理论取得了战略管理理论的主流地位。 二、战略管理与风险控制20Porter的行业竞争战略理论的基本逻辑是：(1)产业结构是决定企业盈利能力的关键因素；(2)企业可以通过选择和执行一种基本战略(低成本；成本集聚；差异化；差异集聚；低成本差异集聚 )影响产业中的五种作用力(潜在进入者；现有竞争者；替代品；供应商；顾客)，以改善和加强企业的相对竞争地位，获取市场竞争优势；(3)价值链活动是竞争优势的来源，企业可以通过价值链活动和价值链关系(包括一条价值链内的活动之间及两条或多条价值链之间的关系)的调整来实施其基本战略。二、战略管理与风险控制21外部环境总体环境，行业环境，竞争环

14、境有吸引力的行业行业的结构特点预示超额利润战略设计选择在这一行业中可以获得超额利润的战略资产或技能实施所选战略所需的资产或技能战略实施选择战略活动以有效实施所选战略超额利润赚取超额利润22PEST特定事件或情况机遇威胁Political（政治）Economic（经济）Social（社会）Technology（技术）PEST分析23波特五力分析潜在的进入者企业 竞争者供应商顾客替代品24标竿分析（Benchmarking）GE的标竿25资源基础模型模型但20世纪80年代以后，战略管理理论逐渐认识到行业组织模式认为外部环境是企业获得成功的主要决定因素这一结论有一定的片面性，从而发展出资源基础模型。

15、资源基础模型认为任何一个企业都是资源与能力的独特组合，这些资源与能力是组织战略的基础，也是利润的来源。一个企业是不断变化的整合体，它通过动态的管理来获取超额利润。这一模型同时认为，企业可以不断地获取资源，发展独特的能力。但并非企业所有的资源与能力都可以转化为竞争优势，只有在这种资源和能力是有价值的、稀缺的、难以模仿的、无法替代的时候，它才可能成为竞争优势。二、战略管理与风险控制26计算机行业Dell其他厂商存货周转率7天（2000）2个月（2000）4天（现在）25天（现在）271。直销模式的管理2。供应商的选择和管理3。组装厂的管理4。服务5。基于运营效率的研发28资源企业生产过程的投入能力

16、众多资源结合运用来完成一项任务或活动竞争优势企业战胜竞争对手的能力有吸引力的产业利用公司资源与能力发掘有机会的行业战略设计与计划采取能获得超额利润的战略行动超额利润赚取超额利润29实证证据实证研究一方面支持行业组织模型，认为外部环境是企业获得成功的主要决定因素，另一方面也支持资源基础模型，认为公司特点和业务活动也是企业获得超额利润的主要决定因素。McGaham（1999）的研究表明，企业约20的利润与行业相关，36的利润变动是由公司的特点和业务活动所产生。Porter（1997）的研究结果表明，环境因素和公司特点共同决定公司的利润率水平。 二、战略管理与风险控制30（四） 现代企业的经营模式与

17、控制1. 现代企业经营模式总览外部力量市场战略管理环节核心经营环节资源管理环节同盟者核心产品与服务顾客二、战略管理与风险控制312. 战略管理对内外部重要战略风险的反应企业的共同价值观目标基本战略企业层面的控制环境理论上由公司经理层（CEO）提出建议，股东大会或董事会批准，董事会负责监督经理层战略的执行二、战略管理与风险控制32价值观：人人成为经营者战略目标：世界零部件行业前30强经营目标财务报告目标遵循法规目标33监督的方法关键成功要素：关键的经营环节关键业绩指标：企业会计报表反映的净利润；收入增长；市场地位（市场份额）；竞争对手的状况等汇总数据。二、战略管理与风险控制34目标关键成功要素（

18、CSFs）关键业绩指标（KPIs)目标实现不了的迹象整体经营环节353. 经营环节关键经营环节就是对企业战略风险的反应经营环节的设计与战略匹配经营环节的目标与战略一致经营环节本身也可能存在达不到目标的风险高层管理人员对经营环节的监控根据环节的目标设立关键成功要素根据关键成功要素建立关键业绩指标对关键业绩指标进行监控二、战略管理与风险控制364. 怎么控制？就是控制经营风险，也就是战略风险和环节风险高低高风险的重大程度风险的可能性R5R4R2R1R3二、战略管理与风险控制37控制设计的核心方法：1。最佳实务（best practice)2.创新成本效益的分析！38战略层面：目标风险控制监控修正反

19、馈环节层面：目标风险控制监控修正反馈二、战略管理与风险控制395. 计量驱动业绩平衡计分卡财务方面目标计量公司怎么看待股东顾客怎么看公司顾客方面目标计量创新和学习方面目标计量内部经营方面目标计量如何继续提高和创造价值必需在哪方面胜出二、战略管理与风险控制40从平衡计分卡到战略计量不能计量就不能管理传统计量的缺陷非财务指标计量的优点非财务指标计量的缺点二、战略管理与风险控制41二、战略管理与风险控制（五）面向未来的竞争从日常工作中解脱出来面向未来的竞争有何不同？学习遗忘IBM的转型考虑行业的未来扩展战略战略杠杠为未来的设计而竞争建立通往未来的通道建立核心能力为未来获得一席安全之地不一样的思考42

20、战略控制是指高层管理层（包括董事会）所采取的降低战略风险，提高决策制定的效果以及经营活动的效率的措施。包括： （一）确立经营目标并在整个企业交流。（二）建立和执行道德准则（三）建立授权和责任条线（四）监控内外部环境的威胁（五）分析内外部风险的重大性（六）制定处理风险的政策和程序（七）分配内部资源以降低风险（八）支持有效的信息分享和交流（九）监控企业主要部分的业绩表现三、战略控制的设计与监控43 (一）确立经营目标并在整个企业交流经营目标的确立也就是基本竞争战略的确立，需要考虑自身的资源和环境的影响三、战略控制的设计与监控潜在的进入者政治经济企业 竞争者供应商顾客替代品技术社会44最为重要的因素

21、：自身资源环境影响目标制定程序目标的种类：战略目标主导：运营目标报告目标遵循目标目标之间的重叠与相互影响案例研究：三一重工三、战略控制的设计与监控45 目标的实现什么目标是可控的？什么目标是不可控的？不但要选目标，还要努力协调！46根据目标制定竞争战略将目标与战略在整个企业沟通沟通的正式渠道非正式渠道考虑一下，最主要的风险是什么？基本竞争战略本身的风险！战略本身不清楚，与经营环节不匹配！47 战略目标对企业竞争战略的再认识愿景是企业想要达到的比较宽泛的术语。战略目标与企业的愿景相一致。战略选择单纯“低成本”或“差异化”是不够的什么是真正的战略和战略目标？便利店行业的例子中国可的与日本罗森的比较

22、三、战略控制的设计与监控48仅仅基于运作有效性的竞争是相互毁灭性的 结果是零和竞争、静态的或降低价格, 以及对成本的压力，这将导致公司不得不在投资于长期的能力上妥协!” 麦克.波特（Michael Porter）, 1996, 哈佛商业评论（HBR）因此，真正的战略是战略定位与运作有效性的结合。49战略适当的目标独特的价值主张定制的（Tailored）业务活动业务活动在一个整合的体系中相互适应清晰的权衡定位具有连续性但具有持续提高的特征最佳实务的提高一个构想（vision）学习灵活性（ Agility）适应性（ Flexibility）基于时间的竞争重组兼并/收购联盟/形成伙伴互联网什么是战略

23、?什么不是战略?50领导者的作用(roles)清晰地将运营的有效性和战略区分开来定义公司独特的定位并将之在公司交流帮助员工将战略转化成他们特定领域的责任指导员工做权衡的决策决定应该对什么样的行业变化和顾客需求进行反应，以及如何将它们融入战略避免组织注意力分散稳定的纪律和明晰的交流51什么是竞争战略?设定正确的目标 建立长期可持续经济价值!两个主要的驱动因素:战略定位执行一套与竞争对手 不同的业务活动或 以一种 不同的方式执行相似的业务活动运作的有效性比竞争对手更好地执行相似的业务活动 竞争优势52关键业务活动企业基础设施（比如，融资、计划和投资者关系）人力资源管理（比如，招聘、培训和薪酬体系）

24、技术开发（比如，产品设计、测试、流程设计、原材料研究、市场研究）采购（比如，零部件、设备、广告、服务）内部后勤（比如，进项存货存储，数据采集，服务，客户访问）运营（比如，装配，零部件制造，分支机构运营）外部后勤（比如，订单处理，仓储，报告编制）营销和销售（比如，销售团队，促销，广告，书写建议书，网站）售后服务（比如，安装，顾客支持，投诉处理，维修）辅 助 活 动基 本 活 动利 润53运作的有效性相同的事情是不是更好 更低的成本, 更快的速度, 更好的一致性, 等.运作效率的持续提高只是取得可持续优异绩效的必要条件，但不是充分条件!为什么?最佳实务的快速扩散竞争性积聚（ convergence

25、） “仅仅基于运作有效性的竞争是相互毁灭性的 结果是零和竞争、静态的或降低价格, 以及对成本的压力，这将导致公司不得不在投资于长期的能力上妥协!” 麦克.波特（Michael Porter）, 1996, 哈佛商业评论（HBR）54战略定位根据消费者价值 得自产品或服务的特点和/或顾客的细分仔细地选择一组不同的业务活动以交付一个独特的价值组合 这是竞争性战略的本质 选择以不同的方式执行业务活动或与竞争对手相比执行不同的业务活动!一个可持续的定位需要权衡权衡是指不同的定位导致的选择需求之间的不兼容性 (见西南航空的例子)55西南航空有限的乘客服务点对点短距离运输低价格较高的飞机利用精细，高生产能

26、力的地面团队频繁可靠的出发没有膳食没有座位分派没有行礼转移没有与其它航空公司的竞争标准波音737飞机15 分钟的通道轮回员工的高报酬股票期权没有分享的代码没有国际航线56战略定位我们学到了什么?定位是一套定制的业务活动有意地限制 公司提供什么东西互补性（Complementary） 相互增强; 做一个业务活动导致另一个业务活动对消费者价值和 公司的经济价值的影响增加内在一致性（Coherent） 每一个业务活动都和另一个业务活动的行为或结果相联系; 这就是 “适宜（fit）”的概念交流的明晰性 对内部和外部的利益相关者57战略定位可持续性战略定位是不是可以被竞争者轻易地模仿，从而变得没有可持续

27、性?还有什么比较重要?58经济价值 长期回报西南航空百万美元59经济价值 长期回报美国西部航空百万美元60战略的壁垒为什么这么多公司在获得一个战略上失败了?为什么经理们避免做战略选择?虽然经理们过去做到了, 为什么他们现在让战略衰败?61（二）建立和执行道德准则，也就是风险管理文化防止高层管理人员的利益冲突中国“三九”集团的例子高层管理人员对道德准则的遵守影响整个公司事实上的，并不是纸面上的，要警惕纸面上于事实上的不一致安然最关键的因素：领导的作用！权衡！三、战略控制的设计与监控62审计的功能：1。控制2。补充服务3。信息可靠性4。符合法规的需要63风险相关文化调查的结果问题我所在的业务部的领

28、导接受所有风险的交流，包括坏消息数量平均数属性人员的更换并没有显著影响我们达到目标的能力对那些不道德的职业行为采取了措施我理解企业总体愿景和战略我们部门的领导是道德行为的榜样领导能力和战略领导能力和战略受托责任和增强人员和交流风险管理和基础设施64（三）建立授权和责任条线明确的授权与责任报告制度巴林的教训中国银行的高山事件三、战略控制的设计与监控65（四）监控内外部环境的威胁企业层面的关键成功要素与关键业绩指标关键成功要素各个企业存在差别：关键经营环节的差别关键业绩指标财务指标非财务指标监控的方法外部的PEST，波特五力竞争对手的监控：中国太平洋保险公司案例内部的独立评估（内审、外部咨询）控制

29、的自我测试（control self assessment）三、战略控制的设计与监控66（五）分析内外部风险的重大性战略风险预期经营的可行性某项认定错报的可能性控制环境改进三、战略控制的设计与监控67（六）制定处理风险的政策和程序对风险的四种方法成本效益分析决定采取的措施三、战略控制的设计与监控68（七）分配内部资源以降低风险资源在环节中的分配（八）支持有效的信息分享和交流目标、战略、环节以及环节与环节之间需要信息分享与沟通（九）监控企业主要部分的业绩表现对关键环节的监控三、战略控制的设计与监控69一点说明：控制的形式有多种正式的，非正式的重要的控制种类包括：高层管理当局的复核直接的干预业绩指

30、标与标准的比较独立评估三、战略控制的设计与监控70案例：CAO:中国的智慧，世界的经验三、战略控制的设计与监控7172案例：CAO新加坡案情简介公司背景陈玖霖其人CAO新加坡2001年上市2002年“最具透明度公司”风险管理手册期权交易73（一）环节控制的含义环节控制指在企业的不同环节中所执行的各种控制活动。这类控制是高级管理层以下的员工所执行的，它们一般着重于环节内部的风险，反映高层所确定的政策和程序。环节控制一般是处理会计信息的可靠性和对法律、法规以及公司规章制度的遵循。四、环节控制的设计与监控74（二）经营环节与战略风险环节作为对战略风险的反应 经营环节的划分四、环节控制的设计与监控75

31、四、环节控制的设计与监控企业基础设施和财务管理（股权或债权交易，租赁，收购兼并等）采购和供应链管理（采购承诺、退回和存货计价、报废和损坏）人力资源管理（直接成本的分摊、退休金、股票补偿、或有负债）技术和信息管理（软件开发成本，研究和开发）内部后勤（存货计价，成本截止）生产经营（成本会计，成本分摊，在产品存货）计价，成本截止市场销售（收入计价，应收款计价和折让，广告）外部后勤（收入确认，销售退回）计价，成本截止顾客服务（保证成本，捆绑销售，确认）辅 助 活 动基 本 活 动利 润76战略对环节的影响经营资源生产财务研发员工行销差异化战略高质量高质量稳定质量很关键最佳的广泛的低成本战略便宜的规模经济低成本很少成本控制最小化战略对各环节的影响77战略控制对经营环节的影响四、环节控制的设计与监控经营风险风险的来源被影响的环节活动可能的战略控制竞争对手对产品提供更好的保证竞争对手服务对竞争对手行动的反应政策建立市场研究程序，以较早识别市场动态产品保证成本可靠、及时 的数据政府对公司产品采取新的管制社会政治销售营销及时对监管活动进行监控创新和研究监控影响产业的技术趋势78(三）将环节与战略联系起来管理层的战略选择对环节有直接的影响低成本与差异化战略的比较四、环节控制的设计与监控79（四）关键环