普华永道-企业目标,风险与内部控制-通过风险管理实现企业目标

普华永道

企业目标,风险与内部控制

-通过风险管理实现企业目标企业目标,风险与内部

(通过风险管理实现企业目标)什么是风险管理?

PwC什么是风险管理?“风险管理是:发现和了解组织中风险的各个方面,并且付诸明智的行动帮助组织实现战略目标,减少失败的可能并降低不确定的经营结果的整个过程〞管理层对风险的看法的转变低层次/经营层次。风险监控是内部审计人员的职能。风险是一个需要控制的负面因素。风险管理在企业各局部个别展开风险管理的责任被委派到低层次的人员风险的衡量是主观的无组织以及杂乱的风险管理职能从过往操作角度过渡到董事会关注是CEO的工作(也是董事会的监管)风险其实是一个时机在整个企业范围内进行一体化的风险管理风险管理的责任由高级和部门管理人员承担风险的数化风险管理被纳入所有企业管理系统PwC公司目标又是什么?最大股东财富

企业目标,风险

与内部控制的关系PwCKeyTerms-关键词汇RISK风险Control控制通过管理程序或活动减少风险可量化，可衡量，可以到达的业务目标Objective目标可能影响业务目标实现的事件业务目标(Qualitiestolookfor)具体化可衡量可到达有经济效益与企业长远目标相联

业务目标:实例一年内将股东价值提高30%在18个月内实现本钱降低达25%6个月内提高生产率20%实现共享效劳(SharedServicesInitiatives)建立电子商务(E-BusinessInitiatives)新的/改进的系统(New/ModifiedSystems)明确目标

可量化的,可衡量的和可实现的业务目标组织机构和业务单位是否对各自应实现的目标承担责任?最重要的客户和其组成局部是什么?利益相关者的期盼是什么?影响:对于公司,业务单位或业务流程而言,什么样的目标有最大的影响力?时间:短期来看,哪些目标是最重要的?讨论:业务目标A.请根据具体情况,比方您所在的中化产业链(如油品，塑料，橡胶,化工产品,贸易)和企业特点(如集团公司,职能部门,产业集团公司,产业子公司等等),描述您明年的最重要的五个目标:

目标描述1.

2.

3.

4.

5.

风险的定义Whatkeepsmanagementupatnight?什么事情使管理层夜不能寐?Whatdoesn’tkeepmanagementupatnight,butshould?什么事情应该引起管理层的注意，而实际却没有?什么是风险?AnyissuewhichcouldimpactanOrganization’sabilitytomeetit’sobjectives.任何可能影响某一组织实现其目标的事项。风险的三个主要类别风险的类别ChangeinIT(IT变革)People(人)Reputation/media(声誉/媒体)Product/Production(产品/生产)Purchasing/Procurement(采购)Accounting(会计)Workingcapitalmgmt(流动资本管理)Managementinformation(管理信息)Financialcontrols(财务控制)定义业务风险….威胁不确定因素机会战略风险财务/市场风险经营性的/法律法规性的风险风险包括:恶性事件带来的威胁(riskashazard)尚不能确定后果的事件(riskasuncertainty)可转化为时机的事件(riskasopportunity)风险是任何可能影响某一组织实现其目标的事项风险的特点风险长期存在不总能被消除必须与时机同时权衡需要更有力的控制Sears误导性的汽车销售方法Salomon

债券拍卖丑闻Bausch&Lomb

来自CEO的的销售压力HudsonFoods

污染的牛肉GeneralMotors

未能觉察的虚假的代理商销售Beech-NutFoods

质量控制的合规性ArcherDanielsMidland

控制价格的指控Barings

未得许可的交易风险Daiwa

贸易损失CathyLeeGifford

压榨劳工Texaco种族歧视UnitedWay有问题的管理模式Denny’s歧视Firestone产品质量不幸的转轮有什么大不了？

内部审计协会列出的9大风险因素…..

管理层的能力(Competenceofmanagement)管理层的道德观(Integrityofmanagement)近期系统变化(Recentchangesinsystems)组织规模(Sizeofunit)资产流动性(Liquidityofassets)变革(Change)复杂程度(Complexity)快速增长(Rapidgrowth)规章制度是否健全(Levelofregulation)讨论:风险

B.请根据您所要实现的企业目标,列出将面对的风险并评价其对实现企业目标的关键性:

目标风险高/中/低1.

2.

3.

4.

5.

内部控制

实施程序/活动以减少风险

内部控制

实施程序/活动以减少风险

内部控制能够帮助企业达成其目标，同时在前进过程中防止各种错误和意外.随着对价值,责任,信任和授权的认可加强,控制也被认为是一个有活力的,不断开展的系统.内部控制:控制不是静态的原有风险的变化和新的风险对早期设计的内部控制系统施加压力….遵守和控制过程企业组织的变化内部因素外部因素降低本钱的要求工艺流程的改进和变化

市场竞争执法者观点的改变

公司监管与内部控制的关系公司的指导与控制体系.包括公司各方面的运营活动,如财务管理与报告,经营效率与效果,遵守相关法律.由股东指定的董事会负责公司管理.

有关公司监管讨论的一个中心问题是:建立一个强有力的内部控制系统.AdrianCadbury爵士甚至断言,“公司的失败都是由内部控制的失败引起的.〞有效的内部控制是公司高效管理的必要局部这一观点已得到广泛认可.

公司监管与内部控制的关系

公司监管与内部控制的关系

我们应该积极的看待内部控制,它使董事们自信地运营公司,到达他们运营和赢利的目标,同时防止资源的流失.内部控制在协助管理层防止资源流失,保证信息的可靠性和系统整体恰当运转方面是必不可少的.

内部控制的职责

平衡风险和内部控制管理审计的范围企业风险管理预防与管理层共同参与重视交易遵守职能重视过程协助管理层自我评价内部审计职能管理层的期望侦察加强咨询举例:企业目标,风险和内部控制的关系目标1风险控制

(A)短期目标:

2002年度实现利润增长10%:-销售收入增长20%-经营成本降低15%

(B)长期目标:

在未来五年内实现利润平均每年净增长10%

-由于不可靠的和不切实际的销售预测,在进出口业务中造成严重囤货和存货作废.

-由于履行不平等的或不利的合同条款而造成严重损失(如赔偿损失,名誉损害)

-由于未被授权的/给予过多的折扣造成毛利降低或直接亏损

-严重的坏帐损失

-有效的编制和控制经营计划和财务预算

-采取措施增强销售预测的准确性并且只承担经过衡量并能接受的风险,比如:获得可靠的市场信息,将实际情况与预算进行比较等

-在主要的经营领域建立制度和程序(须涵盖集团总部的制度和程序):销售,采购,财会,投资等

举例:企业目标,风险和内部控制的关系目标1风险控制(续)(A)短期目标:

2002年度实现利润增长10%:-销售收入增长20%-经营成本降低15%

(B)长期目标:

在未来五年内实现利润平均每年净增长10%

(续)

-由于买进不需要的产品,质量不合格的产品,价格没有竞争力的产品而造成库存积压/存货作废/资源浪费/品质不良带来的信誉损害

-错误的投资决定

-不正当的付款-舞弊行为

-外汇风险

-投机行为

(续)

-设置控制程序(包括预防性的和侦察性的)和监控系统,如-销售合同审阅和批准-折扣的授权和审批-信用控制-采购和付款的权限分配表-采购的申请(合理性),审阅,批准(整个过程需要书面化)-三个文件的付款核对:PO,GRN和发票-常规的投资评价过程(如使用NPV(净现值)/PaybackMethod(收回方式)-加强内部审计功能

举例:企业目标,风险和内部控制的关系目标1风险控制(续)(A)短期目标:

2002年度实现利润增长10%:-销售收入增长20%-经营成本降低15%

(B)长期目标:

在未来五年内实现利润平均每年净增长10%

(续)

-由于不适当的赏罚制度,关键员工的流失或管理人员能力不足对业务造成的不利影响

-由于不遵守法规造成的罚款/处罚/名誉损害(续)

-在业务单位采取一些防止不正当的付款或舞弊等事件发生的措施,营造一个反对不正当付款行为的环境,如制订控制程序(预防性的和侦察性的),职业道德规范,签署利益冲突文件,签署不进行“不正当付款保证”文件等-外汇兑换管理包括Hedging-防止投机行为的措施-人力资源管理：－建立并贯彻制度和程序－公平而有效的奖罚制度－吸收,教育,培训及保留优秀员工－建立并贯彻职业经理人在责任，权利,和义务方面的标准－设置公平，客观和及时的效绩考核系统举例:企业目标,风险和内部控制的关系目标２风险控制

有效的资金管理

－产生人民币ＸＸＸ万－由于以下原因造成现金流预算的失效并造成资金危机,会导致例如供应商停止供货造成生产延误而不能执行合同的信誉损失：-与供应商和客户签订不平等或不利的合同-过长的付款条款-经常性的ＣＯＤ／没有从供应商获得赊销－坏帐(不当的信用控制和应收货款管理）－错误的投资决策－不必要的资金支出源于未经授权的／多余的采购，不适当的付款和舞弊行为，付款错误等－投机行为，如高风险的投资

－资金预算的计划和控制－按月份的资金预算报告（将上月的实际发生和预算相比较制定下月的预算）－信用控制制度和程序,包括信用审阅－收款的制度和程序－合同审阅过程－对投资项目进行控制－采购和付款控制－防止投机行为的措施

目标３风险控制

建立一个准确的，可靠的和及时的财务系统

－由于不准确，不可靠，不及时的财务／会计和管理报告或信息而造成错误的管理决策,以及在年末才反应出来的令人不悦的经营结果

－由于以下因素造成的不准确，不可靠和不及时的财务和管理报告：

-不合格的，能力不够的财务经理和财务人员-有弊病的财务系统：不完整或不相容，处理大量核算和交易但是财务系统没有实行电算化

－资源的超负荷使用－严格的财务和会计制度和程序－财务部门的领导能力－使用适当的人员－教育和培训

－年终结帐前的检查：检查帐目是否放映了实际情况

－各种控制活动：核实查证，授权，审批，对帐(银行和供应商），责任分离，资产的安全保护

－固定资产现场视察－年度库存盘点／周期性库存盘点－现金库存抽查－集团所有公司内部之间的对帐－专业的税收和法律检查－加强内部审计部门的职能举例:企业目标,风险和内部控制的关系企业目标风险内部控制评价1.

2.

3.

4.

5.

C.请将前面讨论过的企业目标,风险,内部控制的关系综合起来,并提出您的见解:

讨论:企业目标,风险和内部控制的关系企业目标,风险和内部控制的关系是什么?确定目标评估风险分析控制目标,风险和内部控制企业目标风险内部控制评价1.

2.

3.

4.

5.

D.小组讨论:请将前面讨论过的企业目标,风险,内部控制的关系综合起来,并提出小组的见解:

讨论:企业目标,风险和内部控制的关系企业目标,风险和内部控制的关系是什么?确定目标评估风险行动方案/责任分配分析控制目标,风险和内部控制控制结构框架PwC控制结构框架COSO控制结构框架包含5个组成要素：(CommitteeofSponsoringOrganizationsoftheTreadwayCommission)

控制环境(ControlEnvironment)

风险评估(RiskAssessment)

控制行动(ControlActivities)

信息与沟通(InformationandCommunication)

监控(Monitoring)控制环境

控制环境是内部控制的根底:设定组织管理的基调影响着员工的控制管理意识是其他四个内部控制组成局部的根底提供纪律和控制结构控制环境的因素包括:企业每一个人的诚信、道德价值和能力管理层的管理理念和经营风格管理层的授权方式和开展员工的方法董事会成员对企业的关注和指导控制环境

控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4传达管理理念-责任-义务

-职权

-人力资源

-员工开展设定管理基调-诚信-道德观念-能力要素1:控制环境控制要素控制类别风险评估评估关键的风险风险是您实现业务目标的现存的或潜在的障碍什么因素可能会阻碍本部门实现其关键的业务目标?要成功,需要完成一些必要的工作和程序,而什么因素会阻碍这些工作和程序的完成和实现呢?发生率:这些风险中,什么风险是最可能发生的?影响:哪些风险将对本部门实现其预定目标的能力产生最重大的影响?有什么有效的控制机制可以减少这些风险及其影响?

如何评估影响？只要可能，获取管理层和业务单位人员的投入信息通过职业判断和借鉴以往的经验依照其影响和可能性将风险分类性质、程度(即，高、中、低等)量化(即，5、3、1等)将风险排序或制成图表集中精力对有巨大影响力和巨大风险进行评估区分主要风险影响偶发性重要性无关性日常性可能性影响力讨论:区分主要风险影响

B.请根据您所要实现的企业目标,列出将面对的风险:

目标风险高/中/低1.

2.

3.

4.

5.

控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4管理/控制变化确定并分析对实现企业目标有影响的风险要素2:风险评估控制要素控制类别

风险意识把对风险的认识开展成为企业文化的一局部,比方,企业设有清晰并完整的区分和处理风险的程序在员工中提倡风险的意识,通过公告,阶段性的报告等手段让员工了解什么应该执行,什么应该防止管理层在制定开展方案,设定目标时必须考虑到目标进行时可能遇到的风险并进行评价企业员工能够在被问到的时候清楚地说出企业的主要目标经常性地要求员工提出他们对风险的认识和看法对员工进行风险认识的培训.在提高对风险的认识问题上,企业内部的交流–无论是主动的还是被动的–都是非常有效的.

风险意识(续)员工在职责范围内关于减低风险的表现作为年度业绩考核的一项条款.负有降低风险责任和义务的管理人员对他们的职责非常清楚.每一件“坏事〞发生的原因都被彻底调查清楚,使这些因素能够被企业及其员工理解,讨论并产生相应的对策.每一位经理在他/她能够影响的范围内,都设立降低风险的目标.与风险相关联的任何经验都在企业内部进行广泛而有效的交流.风险进行分类,既把风险看成是威胁又把风险看成是时机.控制活动

控制活动控制活动包括:审批(Approvals)授权(Authorizations)核实查证(Verifications)对帐(Reconciliation)检查(Review)资产的平安(Securityofassets)责权别离(Segregationofduties)评估适当的控制能做什么工作来降低发生风险的可能性?这些工作或活动现在存在吗?足够吗?现有的控制活动是否明确,独特且没有彼此重复?效率:有没有更容易的或者本钱更低的控制风险的方法?效果:这些控制活动是不是有效地降低了风险?控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4管理层开展方针贯彻的程序直接的职能或活动管理物质的控制-职权的别离要素3:控制活动控制要素控制类别实现目标的管理机制信息和沟通

人们往往认识不到信息和沟通是和控制相关联的必须通过某种方式，在一定的时间之内明确、获得并传达沟通相关信息以确保人们能够履行其职责。信息系统提供有关财务、经营和法律法规的遵守等信息的报告，这些信息使企业的管理控制成为可能。所有员工必须从高级管理层获得明确的信息指令，即所有人都必须认真看待和履行控制职责。控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4要素4:信息和沟通控制要素控制类别经营和财务信息的准确性和及时性获取内部和外部的信息组织的沟通监控是确定控制结构是否有效及最大可能减少意外不测的关键内控系统需要监控内控系统的监控通过以下工作实现：进行中的监控工作单独的评估(内部审计)二者的结合内部控制的缺乏应当逐级向上汇报，重大问题要报最高管理层和董事会。控制环境风险评估控制活动信息和沟通监控营经务财守遵单位1单位2单位3单位4要素5:监控控制要素控制类别连续性的行动和一次性的活动反映严重问题的系统监控系统的评价通过使用COSO提供的框架,管理层可以处在一个更好的位置来把企业的内部控制系统和已建立的标准进行比较,找出运营中,财务报告中存在的问题以及是否遵守了法律法规,并采取行动加以改进.控制结构框架控制结构框架现有的风险管理情况控制环境

风险评估

控制活动

信息和沟通

监控

E.请按照控制结构框架的五个要素描述贵公司现有的风险管理情况:讨论:控制结构框架

内部控制的前景

我们经常使用内部控制,但我们对它还有很多误解.因此,我们需要花些时间来研究内部控制的本质和我们通过内部控制能得到什么.一个强有力的内部控制系统意味着公司能够提高效率和成效,加强对外部事物的控制能力.另外,人们可以得到可靠的相关信息,他们可以在适宜的时间和地点来使用.好的管理和有效的内部控制可以保证一个组织随时处理出现的不利情况,限制其不利影响.有效的控制可以给公司成员充分的自由度来发挥其判断力与想象力,管理错误行为带来的风险,从而帮助公司成功.

内部控制的前景

然而,内部控制并不能保证公司的成功.内部控制只是管 理程序的一个局部,而不是全部.

内部控制的前景

内部控制也不是对错误决策,低效管理和无法预见的外部事件的补救内部控制也不能解决企业的所有问题但是,低效的管理却会引起严重的公司问题.我们永远也不能保证内部控制的完全有效性,因为我们不可能持续监督所有的人员,程序及系统.

内部审计在公司监管中的作用

内部审计在公司监管中的作用

英国Cadbury报告中特别指出,对公司来讲,建立内部审计功