医疗行业企业目标风险与内部控制

企业目标,风险与内部控制

-经过风险管理实现企业目标医疗行业企业目标风险与内部控制第1页企业目标,风险与内部

(经过风险管理实现企业目标)提要:什么是风险管理投资者要求企业目标,风险与内部控制关系控制结构框架风险管理实施(案例分析)

医疗行业企业目标风险与内部控制第2页什么是风险管理?

PwC医疗行业企业目标风险与内部控制第3页什么是风险管理?“风险管理是:发觉和了解组织中风险各个方面,而且付诸明智行动帮助组织实现战略目标,降低失败可能并降低不确定经营结果整个过程”医疗行业企业目标风险与内部控制第4页管理层对风险看法转变低层次/经营层次。风险监控是内部审计人员职能。风险是一个需要控制负面原因。风险管理在企业各部分个别展开风险管理责任被委派到低层次人员风险衡量是主观无组织以及杂乱风险管理职能从过往操作角度过渡到董事会关注是CEO工作(也是董事会监管)风险其实是一个机会在整个企业范围内进行一体化风险管理风险管理责任由高级和部门管理人员负担风险数化风险管理被纳入全部企业管理系统医疗行业企业目标风险与内部控制第5页投资者要求

PwC医疗行业企业目标风险与内部控制第6页投资者关注:

一系列大企业倒闭事件,如:1991年:BankofCredit&Commerce(BCCI),Maxwell1995年:巴林银行,Daiwa银行投资者及相关各方对企业汇报和道德行为标准要求不停提升

投资者要求医疗行业企业目标风险与内部控制第7页伴随国际上市融资增多,机构与个人投资者对全球股市重视程度加强,投资者正在寻找拥有成熟监管体系企业进行投资为了应付国际压力,各大企业都要对其企业监管主要领域进行披露中国是幸运.她能够关注着各主要金融中心关于企业监管探讨发展进程.

.投资者要求医疗行业企业目标风险与内部控制第8页投资者要什么?一个建立在EVA或MVA基础上长久,稳定而能接受回报

投资者要求医疗行业企业目标风险与内部控制第9页企业目标又是什么?最大股东财富

投资者要求医疗行业企业目标风险与内部控制第10页企业目标,风险

与内部控制关系PwC医疗行业企业目标风险与内部控制第11页KeyTerms-关键词汇RISK风险Control控制经过管理程序或活动降低风险可量化，可衡量，能够到达业务目标Objective目标可能影响业务目标实现事件医疗行业企业目标风险与内部控制第12页业务目标(Qualitiestolookfor)详细化可衡量可到达有经济效益与企业久远目标相联医疗行业企业目标风险与内部控制第13页

业务目标:实例

一年内将股东价值提升30%

在18个月内实现成本降低达25%6个月内提升生产率20%实现共享服务(SharedServicesInitiatives)

建立电子商务(E-BusinessInitiatives)

新/改良系统(New/ModifiedSystems)医疗行业企业目标风险与内部控制第14页明确目标

可量化,可衡量和可实现业务目标组织机构和业务单位是否对各自应实现目标负担责任?最主要客户和其组成部分是什么?利益相关者期盼是什么?影响:对于企业,业务单位或业务流程而言,什么样目标有最大影响力?时间:短期来看,哪些目标是最主要?医疗行业企业目标风险与内部控制第15页讨论:业务目标A.请依据详细情况,比如您所在中化产业链(如油品，塑料，橡胶,化工产品,贸易)和企业特点(如集团企业,职能部门,产业集团企业,产业子企业等等),描述您明年最主要五个目标:

目标描述1.

2.

3.

4.

5.

医疗行业企业目标风险与内部控制第16页

风险定义Whatkeepsmanagementupatnight?什么事情使管理层夜不能寐?Whatdoesn’tkeepmanagementupatnight,butshould?什么事情应该引发管理层注意，而实际却没有?什么是风险?AnyissuewhichcouldimpactanOrganization’sabilitytomeetit’sobjectives.任何可能影响某一组织实现其目标事项。医疗行业企业目标风险与内部控制第17页恪守风险(法律和政策)财务风险经营风险(包含战略风险和科技风险)在企业成立之初，内部审计职能建立普通是以财务和恪遵法律和政策为重点，不过伴随企业成长，发展以增值为重点。风险三个主要类别医疗行业企业目标风险与内部控制第18页风险类别Economic(经济)Political(政治)

Legal(法律)Technology(科技)Competition(竞争)ForeignExchange(外汇风险)Marketstagnation(市场萧条)Supplier(供给商)Marketrelatedrisk(市场固有风险)Security/fraudactivity(安全/欺诈行为)ChangeinIT(IT变革)People(人)Reputation/media(声誉/媒体)Product/Production(产品/生产)Purchasing/Procurement(采购)Accounting(会计)Workingcapitalmgmt(流动资本管理)Managementinformation(管理信息)Financialcontrols(财务控制)医疗行业企业目标风险与内部控制第19页定义业务风险….威胁不确定原因机会战略风险财务/市场风险经营性/法律法规性风险

风险包含:恶性事件带来威胁(riskashazard)尚不能确定后果事件(riskasuncertainty)可转化为机会事件(riskasopportunity)风险是任何可能影响某一组织实现其目标事项医疗行业企业目标风险与内部控制第20页风险特点风险长久存在不总能被消除必须与机会同时权衡医疗行业企业目标风险与内部控制第21页需要更有力控制Sears误导性汽车销售方法Salomon

债券拍卖丑闻Bausch&Lomb

来自CEO销售压力HudsonFoods

污染牛肉GeneralMotors

未能觉察虚假代理商销售Beech-NutFoods

质量控制合规性ArcherDanielsMidland

控制价格指控Barings

未得许可交易风险Daiwa

贸易损失CathyLeeGifford

压榨劳工FoundationforNew

EraPhilanthropy

Ponzi投资计划Texaco种族歧视UnitedWay有问题管理模式Denny’s歧视Firestone产品质量不幸转轮有什么大不了？医疗行业企业目标风险与内部控制第22页

内部审计协会列出9大风险原因…..

管理层能力(Competenceofmanagement)管理层道德观(Integrityofmanagement)近期系统改变(Recentchangesinsystems)组织规模(Sizeofunit)资产流动性(Liquidityofassets)变革(Change)复杂程度(Complexity)快速增加(Rapidgrowth)规章制度是否健全(Levelofregulation)医疗行业企业目标风险与内部控制第23页讨论:风险

B.请依据您所要实现企业目标,列出将面正确风险并评价其对实现企业目标关键性:

目标风险高/中/低1.

2.

3.

4.

5.

医疗行业企业目标风险与内部控制第24页

内部控制

实施程序/活动以降低风险

内部控制定义:管理层采取计划,组织,指导行动为确保以下目标实现:-到达预定目标-经济并有效使用资源-预防资产流失-信息可靠性与整体性-与政策,计划,程序,法律法规保持一致

(起源:英国内部审计委员会)医疗行业企业目标风险与内部控制第25页内部控制

实施程序/活动以降低风险

内部控制能够帮助企业达成其目标，同时在前进过程中防止各种错误和意外.伴随对价值,责任,信任和授权认可加强,控制也被认为是一个有活力,不停发展系统.医疗行业企业目标风险与内部控制第26页内部控制:控制不是静态原有风险改变和新风险对早期设计内部控制系统施加压力….恪守和控制过程企业组织改变内部原因外部原因

降低成本要求工艺流程改进和改变

市场竞争执法者观点改变新技术医疗行业企业目标风险与内部控制第27页

企业监管与内部控制关系企业指导与控制体系.包含企业各方面运行活动,如财务管理与汇报,经营效率与效果,恪守相关法律.由股东指定董事会负责企业管理.

医疗行业企业目标风险与内部控制第28页相关企业监管讨论一个中心问题是:建立一个强有力内部控制系统.AdrianCadbury爵士甚至断言,“企业失败都是由内部控制失败引发.”有效内部控制是企业高效管理必要部分这一观点已得到广泛认可.

企业监管与内部控制关系

医疗行业企业目标风险与内部控制第29页

企业监管与内部控制关系

我们应该主动对待内部控制,它使董事们自信地运行企业,到达他们运行和赢利目标,同时预防资源流失.内部控制在帮助管理层预防资源流失,确保信息可靠性和系统整体恰当运转方面是必不可少.医疗行业企业目标风险与内部控制第30页

内部控制职责

组织内部控制系统设计,维护和监测职责,首先是,而且最主要是由董事会执行.在很多组织内部,这一职责是由审计委员会负责.仅仅建立内部控制系统是不够.内部控制系统需要不停监管以确保组织到达其既定目标.所以,除非建立一个有效监管系统,不然我们不能确保内部控制系统有效性.监管程序作用是给董事会一个“合理确保”,即内部控制正在向既定目标前进.医疗行业企业目标风险与内部控制第31页平衡风险和内部控制管理审计范围企业风险管理预防与管理层共同参加重视交易恪守职能重视过程帮助管理层自我评价内部审计职能管理层期望侦察加强咨询医疗行业企业目标风险与内部控制第32页举例:企业目标,风险和内部控制关系目标1风险控制

(A)短期目标:

年度实现利润增加10%:-销售收入增加20%-经营成本降低15%

(B)长久目标:

在未来五年内实现利润平均每年净增加10%

-因为不可靠和不切实际销售预测,在进出口业务中造成严重囤货和存货作废.

-因为推行不平等或不利协议条款而造成严重损失(如赔偿损失,声誉损害)

-因为未被授权/给予过多折扣造成毛利降低或直接亏损

-严重坏帐损失

-有效编制和控制经营计划和财务预算

-采取办法增强销售预测准确性而且只负担经过衡量并能接收风险,比如:取得可靠市场信息,将实际情况与预算进行比较等

-在主要经营领域建立制度和程序(须涵盖集团总部制度和程序):销售,采购,财会,投资等

医疗行业企业目标风险与内部控制第33页举例:企业目标,风险和内部控制关系目标1风险控制(续)(A)短期目标:

年度实现利润增加10%:-销售收入增加20%-经营成本降低15%

(B)长久目标:

在未来五年内实现利润平均每年净增加10%

(续)

-因为买进不需要产品,质量不合格产品,价格没有竞争力产品而造成库存积压/存货作废/资源浪费/品质不良带来信誉损害

-错误投资决定

-不正当付款-舞弊行为

-外汇风险

-投机行为

(续)

-设置控制程序(包含预防性和侦察性)和监控系统,如-销售协议审阅和同意-折扣授权和审批-信用控制-采购和付款权限分配表-采购申请(合理性),审阅,同意(整个过程需要书面化)-三个文件付款查对:PO,GRN和发票-常规投资评价过程(如使用NPV(净现值)/PaybackMethod(收回方式)-加强内部审计功效

医疗行业企业目标风险与内部控制第34页举例:企业目标,风险和内部控制关系目标1风险控制(续)(A)短期目标:

年度实现利润增加10%:-销售收入增加20%-经营成本降低15%

(B)长久目标:

在未来五年内实现利润平均每年净增加10%

(续)

-因为不适当赏罚制度,关键员工流失或管理人员能力不足对业务造成不利影响

-因为不恪遵法规造成罚款/处罚/声誉损害(续)

-在业务单位采取一些预防不正当付款或舞弊等事件发生办法,营造一个反对不正当付款行为环境,如制订控制程序(预防性和侦察性),职业道德规范,签署利益冲突文件,签署不进行“不正当付款确保”文件等-外汇兑换管理包含Hedging-预防投机行为办法-人力资源管理：－建立并落实制度和程序－公平而有效奖罚制度－吸收,教育,培训及保留优异员工－建立并落实职业经理人在责任，权利,和义务方面标准－设置公平，客观和及时效绩考评系统医疗行业企业目标风险与内部控制第35页举例:企业目标,风险和内部控制关系目标２风险控制

有效资金管理

－产生人民币ＸＸＸ万－因为以下原因造成现金流预算失效并造成资金危机,会造成比如供给商停顿供货造成生产延误而不能执行协议信誉损失：-与供给商和客户签署不平等或不利协议-过长付款条款-经常性ＣＯＤ／没有从供给商取得赊销－坏帐(不妥信用控制和应收货款管理）－错误投资决议－无须要资金支出源于未经授权／多出采购，不适当付款和舞弊行为，付款错误等－投机行为，如高风险投资

－资金预算计划和控制－按月份资金预算汇报（将上月实际发生和预算相比较制订下月预算）－信用控制制度和程序,包含信用审阅－收款制度和程序－协议审阅过程－对投资项目进行控制－采购和付款控制－预防投机行为办法医疗行业企业目标风险与内部控制第36页

目标３风险控制

建立一个准确，可靠和及时财务系统

－因为不准确，不可靠，不及时财务／会计和管理汇报或信息而造成错误管理决议,以及在年末才反应出来令人不悦经营结果

－因为以下原因造成不准确，不可靠和不及时财务和管理汇报：

-不合格，能力不够财务经理和财务人员-有弊病财务系统：不完整或不相容，处理大量核实和交易不过财务系统没有实施电算化

－资源超负荷使用－严格财务和会计制度和程序－财务部门领导能力－使用适当人员－教育和培训

－年底止帐前检验：检验帐目是否放映了实际情况

－各种控制活动：核实查证，授权，审批，对帐(银行和供给商），责任分离，资产安全保护

－固定资产现场视察－年度库存盘点／周期性库存盘点－现金库存抽查－集团全部企业内部之间对帐－专业税收和法律检验－加强内部审计部门职能举例:企业目标,风险和内部控制关系医疗行业企业目标风险与内部控制第37页企业目标风险内部控制评价1.

2.

3.

4.

5.

C.请将前面讨论过企业目标,风险,内部控制关系综合起来,并提出您看法:

讨论:企业目标,风险和内部控制关系医疗行业企业目标风险与内部控制第38页企业目标,风险和内部控制关系是什么?确定目标评定风险分析控制目标,风险和内部控制医疗行业企业目标风险与内部控制第39页企业目标风险内部控制评价1.

2.

3.

4.

5.

D.小组讨论:请将前面讨论过企业目标,风险,内部控制关系综合起来,并提出小组看法:

讨论:企业目标,风险和内部控制关系医疗行业企业目标风险与内部控制第40页企业目标,风险和内部控制关系是什么?确定目标评定风险行动计划/责任分配分析控制目标,风险和内部控制医疗行业企业目标风险与内部控制第41页控制结构框架PwC医疗行业企业目标风险与内部控制第42页控制结构框架COSO控制结构框架包含5个组成要素：(CommitteeofSponsoringOrganizationsoftheTreadwayCommission)

控制环境(ControlEnvironment)

风险评定(RiskAssessment)

控制行动(ControlActivities)

信息与沟通(InformationandCommunication)

监控(Monitoring)医疗行业企业目标风险与内部控制第43页控制环境

控制环境是内部控制基础:设定组织管理基调影响着员工控制管理意识是其它四个内部控制组成部分基础提供纪律和控制结构医疗行业企业目标风险与内部控制第44页控制环境原因包含:企业每一个人诚信、道德价值和能力管理层管理理念和经营格调管理层授权方式和发展员工方法董事会组员对企业关注和指导控制环境

医疗行业企业目标风险与内部控制第45页控制环境风险评定控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4传达管理理念-责任-义务

-职权

-人力资源

-员工发展设定管理基调-诚信-道德观念-能力要素1:控制环境控制要素控制类别医疗行业企业目标风险与内部控制第46页风险评定为了有效地控制风险则需要对风险进行评定

一个企业都面对各种不一样内部和外部风险，必须对这些风险进行评定

风险评定就是确定和分析企业实现其目标过程中相关风险

风险评定一个前提条件就是企业已确立目标,这些目标在各个层次上相互关联而且在企业内部是一致

因为经济、行业、政策法规和经营条件连续地改变,

所以需要建立机制以及时确定和处理与这些改变相关特定风险医疗行业企业目标风险与内部控制第47页评定关键风险风险是您实现业务目标现存或潜在障碍

什么原因可能会妨碍本部门实现其关键业务目标?

要成功,需要完成一些必要工作和程序,而什么原因会妨碍这些工作和程序完成和实现呢?

发生率:这些风险中,什么风险是最可能发生?

影响:哪些风险将对本部门实现其预定目标能力产生最重大影响?有什么有效控制机制能够降低这些风险及其影响?医疗行业企业目标风险与内部控制第48页

怎样评定影响？只要可能，获取管理层和业务单位人员投入信息经过职业判断和借鉴以往经验依照其影响和可能性将风险分类性质、程度(即，高、中、低等)量化(即，5、3、1等)将风险排序或制成图表集中精力对有巨大影响力和巨大风险进行评定医疗行业企业目标风险与内部控制第49页区分主要风险影响偶发性主要性无关性日常性可能性影响力医疗行业企业目标风险与内部控制第50页讨论:区分主要风险影响

B.请依据您所要实现企业目标,列出将面正确风险:

目标风险高/中/低1.

2.

3.

4.

5.

医疗行业企业目标风险与内部控制第51页控制环境风险评定控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4管理/控制改变确定并分析对实现企业目标有影响风险要素2:风险评定控制要素控制类别医疗行业企业目标风险与内部控制第52页

风险意识把对风险认识发展成为企业文化一部分,比如,企业设有清楚并完整区分和处理风险程序在员工中提倡风险意识,经过公告,阶段性汇报等伎俩让员工了解什么应该执行,什么应该防止管理层在制订发展计划,设定目标时必须考虑到目标进行时可能碰到风险并进行评价企业员工能够在被问到时候清楚地说出企业主要目标经常性地要求员工提出他们对风险认识和看法对员工进行风险认识培训.在提升对风险认识问题上,企业内部交流–不论是主动还是被动–都是非常有效.医疗行业企业目标风险与内部控制第53页

风险意识(续)员工在职责范围内关于减低风险表现作为年度业绩考评一项条款.负有降低风险责任和义务管理人员对他们职责非常清楚.每一件“坏事”发生原因都被彻底调查清楚,使这些原因能够被企业及其员工了解,讨论并产生对应对策.每一位经理在他/她能够影响范围内,都设置降低风险目标.与风险相关联任何经验都在企业内部进行广泛而有效交流.风险进行分类,既把风险看成是威胁又把风险看成是机会.医疗行业企业目标风险与内部控制第54页控制活动

为管理和降低风险而制订政策制度和程序

是帮助管理层确保相关经营指导方针得以落实政策制度和程序

帮助确保管理层采取必要办法行动以处理企业在实现其目标过程中所面临风险

在整个企业范围、全部层次以及全部职能中实施医疗行业企业目标风险与内部控制第55页控制活动控制活动包含:

审批(Approvals)授权(Authorizations)核实查证(Verifications)对帐(Reconciliation)检验(Review)资产安全(Securityofassets)责权分离(Segregationofduties)医疗行业企业目标风险与内部控制第56页评定适当控制能做什么工作来降低发生风险可能性?这些工作或活动现在存在吗?足够吗?现有控制活动是否明确,独特且没有彼此重复?效率:有没有更轻易或者成本更低控制风险方法?

效果:这些控制活动是不是有效地降低了风险?为管理和降低风险而制订政策制度和程序医疗行业企业目标风险与内部控制第57页控制环境风险评定控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4管理层发展方针落实程序直接职能或活动管理物质控制-职权分离要素3:控制活动控制要素控制类别实现目标管理机制医疗行业企业目标风险与内部控制第58页信息和沟通

人们往往认识不到信息和沟通是和控制相关联必须经过某种方式，在一定时间之内明确、取得并传达沟通相关信息以确保人们能够推行其职责。信息系统提供相关财务、经营和法律法规恪守等信息汇报，这些信息使企业管理控制成为可能。全部员工必须从高级管理层取得明确信息指令，即全部些人都必须认真对待和推行控制职责。医疗行业企业目标风险与内部控制第59页控制环境风险评定控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4要素4:信息和沟通控制要素控制类别经营和财务信息准确性和及时性获取内部和外部信息组织沟通医疗行业企业目标风险与内部控制第60页监控是确定控制结构是否有效及最大可能降低意外不测关键内控系统需要监控内控系统监控经过以下工作实现：进行中监控工作单独评定(内部审计)二者结合内部控制不足应该逐层向上汇报，重大问题要报最高管理层和董事会。医疗行业企业目标风险与内部控制第61页控制环境风险评定控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4要素5:监控控制要素控制类别连续性行动和一次性活动反应严重问题系统监控系统评价医疗行业企业目标风险与内部控制第62页经过使用COSO提供框架,管理层能够处于一个更加好位置来把企业内部控制系统和已建立标准进行比较,找出运行中,财务汇报中存在问题以及是否恪守了法律法规,并采取行动加以改进.控制结构框架医疗行业企业目标风险与内部控制第63页控制结构框架现有风险管理情况控制环境

风险评定

控制活动

信息和沟通

监控

E.请按照控制结构框架五个要素描述贵企业现有风险管理情况:讨论:医疗行业企业目标风险与内部控制第64页

内部审计委员会提议高级执行官和董事认真研究以下问题,来更加好了解他们组织管理系统:董事会和管理层是怎样建立并维持企业道德准则和文化?企业是怎样识别和管理风险?企业是怎样评定其内部控制系统并使其有效运转?企业是怎样判断其审计委员会工作效率?怎样得知内部审计功效是否有效?控制结构框架医疗行业企业目标风险与内部控制第65页

内部控制前景

我们经常使用内部控制,但我们对它还有很多误解.所以,我们需要花些时间来研究内部控制本质和我们经过内部控制能得到什么.一个强有力内部控制系统意味着企业能够提升效率和功效,加强对外部事物控制能力.另外,人们能够得到可靠相关信息,他们能够在适当时间和地点来使用.好管理和有效内部控制能够确保一个组织随时处理出现不利情况,限制其不利影响.有效控制能够给企业组员充分自由度来发挥其判断力与想象力,管理错误行为带来风险,从而帮助企业成功.医疗行业企业目标风险与内部控制第66页

内部控制前景

然而,内部控制并不能确保企业成功.内部控制只是管

理程序一个部分,而不是全部.医疗行业企业目标风险与内部控制第67页

内部控制前景

内部控制也不是对错误决议,低效管理和无法预见外部事件补救内部控制也不能处理企业全部问题不过,低效管理却会引发严重企业问题.我们永远也不能确保内部控制完全有效性,因为我们不可能连续监督全部人员,程序及系统.医疗行业企业目标风险与内部控制第68页

内部审计在企业监管中作用

在大多数情况下,内部审计功效应在审计委员会指导下完成,并向后者按时汇报.内部审计职能并不是作为审计委员会备选方案.恰恰相反,内部审计职能在帮助审计委员会完成企业监管职责方面起着主要作用.审计委员会设置是主要第一步,但只有建立专业内部审计功效才能够给审计委员会强有力武器来确保对控制所处环境有效监测.

医疗行业企业目标风险与内部控制第69页

内部审计在企业监管中作用

英国Cadbury汇报中尤其指出,对企业来讲,建立内部审计功效是一个很好实践.内部审计功效将对企业关键控制和程序进行常规监测,而且其本身应被看作企业内部控制整体一个部分和一个确保内部控制有效路径.一样,COSO汇报陈说道:“内部审计员在评定控制系统有效性方面起着主要作用,并对系统进行中有效性作出贡献.因为其组织性地位和在实体中权威,内部审计经常发挥主要监测职能.”当前,建立专业内部审计功效以帮助管理层完成企业监管职责,已被广泛看作一个很好实践.医疗行业企业目标风险与内部控制第70页风险管理实施(案例分析)

PwC医疗行业企业目标风险与内部控制第71页案例分析(全面风险管理方案)

XYZ是一家大型国有企业集团,PETER是XYZ下属ABC企业刚才任命总经理.PETER前任JOHN,在担任ABC企业总经理3年时间里,领导企业在销售收入和完成利润方面取得了卓越成绩.ABC企业财务年度目标是销售收入和利润分别增加15%和10%.

PETER是技