内部控制与风险管理的基本要素.ppt

1、2020/9/24,东北财经大学 刘明辉,1,第三讲 内部控制与风险管理的基本要素,东北财经大学 刘明辉L2020/9/24,东北财经大学 刘明辉,2,要素分析：风险管理八要素,2020/9/24,东北财经大学 刘明辉,3,内部环境,目标设定,事件识别,风险反应,控制活动,风险,管理,2020/9/24,东北财经大学 刘明辉,4,要素分析：内部环境,管理者提出风险管理思想并确立企业的风险偏好。 内部环境为每个员工如何看待风险和控制建立了基础。 经营的核心在于企业的员工他们的个人品质，包括正直性、道德价值观和自身能力以及他们所工作的环境。 员工是促进企业发展的动力，是所

2、有一切赖以存在的基础。 环境要素是推动企业发展的引擎，也是其他一切要素的核心。,2020/9/24,东北财经大学 刘明辉,5,2020/9/24,东北财经大学 刘明辉,6,要素分析：内部环境的内容,风险管理观念。 风险文化。 诚信与价值观。 员工的胜任能力。如雇员是否能胜任质量管理要求。 董事会或审计委员会。如董事会是否独立于管理层。 管理哲学和经营方式。如管理层对人为操纵的或错误的记录的态度。 组织结构。如信息是否到达合适的管理阶层。 授予权利和责任的方式。 人力资源政策和实施。如是否有关于雇佣、培训、提升和奖励雇员的政策。,2020/9/24,东北财经大学 刘明辉,7,要素分析：内部环境的

3、内容,2020/9/24,东北财经大学 刘明辉,8,要素分析：目标设定,每个企业都面对由内外部信息所产生的各种风险，进行有效的事项识别、风险评估及风险反应的一个前提是制定与不同水平和内部环境保持一致的目标。 目标是设定在战略水平层次上的，为运营目标、报告目标及合规性目标奠定了基础。战略目标与企业的风险偏好相结合，确定了企业活动的风险容忍水平。 目标设定是事项识别、风险评估和风险反应的前提。管理者在识别风险并采取必要的措施管理风险之前，必须首先确定目标。,2020/9/24,东北财经大学 刘明辉,9,要素分析：目标设定（战略目标）,从广义上讲，企业的任务就是企业所期望实现的目标。无论使用何种说法

4、，例如“任务”、“远景规划”抑或是“目的”，最重要的是董事会监督下的管理当局需制定明确的企业目标。 虽然企业的任务和目标一般是稳定的，但企业的战略目标及相关目标具有动态性，要根据变化的环境和外部条件进行调整。 战略目标是较高水平的目标，它与企业的任务/远景规划相结合，并对其形成支持。战略目标反映了管理者的选择，表明企业应怎样寻求为股东创造价值。 为实现企业战略目标，管理者在考虑各种战略时要识别与一系列战略选择相关的风险，并考虑这些风险所产生的影响。,2020/9/24,东北财经大学 刘明辉,10,要素分析：目标设定（相关目标）,l经营目标有关企业经营的有效性和效率性，包括业绩和利润目标等。这些

5、目标根据管理者对组织结构和经营业绩的选择而变化。 l报告目标有关报告的可靠性。具体包括内部和外部报告，也可能包含财务或非财务信息。 l合规目标有关对相关法律和规章的遵循。这些目标有赖于诸如环境制度等各项外部因素，以及在某些情况下，对整个企业和行业的共同影响因素。,2020/9/24,东北财经大学 刘明辉,11,要素分析：目标设定,管理当局的选择,2020/9/24,东北财经大学 刘明辉,12,要素分析：目标设定,2020/9/24,东北财经大学 刘明辉,13,要素分析：事件识别,管理者要识别那些可能影响企业成功执行战略和实现目标的能力的潜在事项。 事项是指由可以影响战略执行或目标实现的内外部信

6、息产生的事件或发生的事情。事项可能形成积极的影响或消极的影响，或者同时具有两种影响。 作为企业风险管理的一部分，员工认识到了解内外部因素的重要性，以及从中产生的事项种类。管理者要考虑现有的因素以及那些可能在未来发生的因素。 企业必须设立可辨认、分析相关事件是否存在风险的风险识别系统。 风险识别主要包括感知风险和分析风险两方面的内容。,2020/9/24,东北财经大学 刘明辉,14,要素分析：事件识别,影响战略和目标的外部因素包括： l 经济和经营因素包括新产生的竞争以及市场的变化。管理者要同时考虑宏观经济形势（例如整体价格变动）和微观经济形势（例如与生产新产品替代品的竞争者之间的竞争）。 l

7、自然环境因素包括诸如洪水、火灾或地震这样的自然灾害以及可承受的发展速度。 l 政治因素包括新当选的政府官员、政策议程以及新的法规和规章。 l 社会因素包括人口统计数的变化、新的食物收获和储备方法、家庭结构的变动以及对工作/生活的优先考虑。 l 技术因素包括新兴起的电子商业、数据使用的扩大以及基础结构成本的降低。,2020/9/24,东北财经大学 刘明辉,15,要素分析：事件识别,影响战略和目标的内部因素包括： l 基础设施该事项包括未预料的修复成本、或用于支持生产运转的机器无效。 l 人员该事项包括工作中发生意外事件数量的增加、员工错误及失误行为增加的可能。 l 过程该事项包括产品质量缺陷、未

8、预料的停工或服务延误。 l 技术该事项包括不能保持充足的正常运行、增加的批量处理、传送必需的完整数据或结合系统更改。,2020/9/24,东北财经大学 刘明辉,16,要素分析：事件识别,2020/9/24,东北财经大学 刘明辉,17,2020/9/24,东北财经大学 刘明辉,18,事件识别的方法,头脑风暴 问卷调查 业务流程分析 个别事件分析 调查审计 合同结构分析 行业参照 情景分析 研讨会,2020/9/24,东北财经大学 刘明辉,19,要素分析：事件识别,2020/9/24,东北财经大学 刘明辉,20,要素分析：风险评估,风险评估指管理层分析、评价和估计对战略、经营、报告、合规目标有影响

9、的内部或外部风险的过程。 风险评估要求企业考虑潜在事项可能对目标实现产生的影响程度。 管理者应当从可能性和影响这两个角度评估事项，并采用定性与定量相结合的方法。管理者应当将整个企业中的事项以个别或分类的形式，分析潜在事项的有利影响和不利影响。 对潜在不利事项以固有风险和剩余风险的形式进行评估。,2020/9/24,东北财经大学 刘明辉,21,风险评估：固有风险和剩余风险,固有风险是指在管理者没有采取任何措施改变风险发生的可能性或者影响的情况下给企业带来的风险。 剩余风险是指在管理者对风险做出反应后仍残存的风险。,2020/9/24,东北财经大学 刘明辉,22,评估风险发生的频率,2020/9/

10、24,东北财经大学 刘明辉,23,评估风险发生的影响力,2020/9/24,东北财经大学 刘明辉,24,评估风险管理的难度,2020/9/24,东北财经大学 刘明辉,25,评估风险的公众关注度,2020/9/24,东北财经大学 刘明辉,26,风险评估,Reduce Likelihood,减少可能性,2020/9/24,东北财经大学 刘明辉,27,综合定性分析矩阵,H = 高度风险 : 需要立即采取行动, 董事会/高级管理层应参与,S = 严重风险 : 需要高级管理层注意,M = 中度风险 : 通过具体监控或响应程序加以管理,L = 低度风险 : 通过日常程序加以管理，不太可能需要具体资源的应用

11、,2020/9/24,东北财经大学 刘明辉,28,风险分析方法,2020/9/24,东北财经大学 刘明辉,29,SWOT分析（案例：乐凯胶卷）,2020/9/24,东北财经大学 刘明辉,30,产品寿命周期风险分析,2020/9/24,东北财经大学 刘明辉,31,组织寿命周期风险分析,2020/9/24,东北财经大学 刘明辉,32,企业经营风险定位（DCCS法）案例汇德丰集团,2020/9/24,东北财经大学 刘明辉,33,会计分析和统计分析,2020/9/24,东北财经大学 刘明辉,34,权益资本结构分析,2020/9/24,东北财经大学 刘明辉,35,组合计划法的规范战略,2020/9/24

12、,东北财经大学 刘明辉,36,安索夫风险评估模式,2020/9/24,东北财经大学 刘明辉,37,企业风险管理能力自我评估,1、如果在非办公时间出现危机，公司有什么样的内部沟通系统？例如如果我们星期天上午9:00遇到危机，需要多长时间消息传达到每一位相关责任人？ 2、公司有什么样的应急反应计划？这项计划最后一次更新是什么时候？以前有没有使用过以确认它是否有效？它与公司其他的反应计划能否匹配？ 3、公司有什么内部问题或者弱点一旦曝光后会对公司的经营造成损害？如果某一个心怀不满的员工或股东的诉讼案、政府调查或者新闻调查被公之于众，公众的反应将是如何？我们将如何做出解释以降低事件对公司经营和公司财务

13、的影响？已经采取了哪些措施来把问题发生的可能性降到最低？ 4、如果出现危机，谁将是发言人？或者由谁去向大家沟通？如果发言人不在或者不适合这样的场合，由谁替代？他们应对记者尖锐问题的能力如何？对他们的可信度和说服力，公司有多大的信心？在没有危机的时候，谁是指定的发言人？,2020/9/24,东北财经大学 刘明辉,38,企业风险管理能力自我评估,5、如果公司发生了危机，发言人应该向公众沟通多少信息？由谁来决定沟通的内容？决定的过程如何？由谁来决定？ 6、公司如何跟管理队伍和员工沟通，使他们首先从公司内部而不是新闻媒体或者客户等外部渠道获得公司消息？公司的顾客、供应商、和其他重要听众如何沟通？公司应

14、该如何做？用多长时间去做？ 7、公司的竞争对手在过去几年有什么危机被“曝光”？他们是如何处理危机的？用了多少管理时间？到目前为止，他们为此付出了多少成本、业务损失多少？他们被起诉和政府调查的前景如何？甩掉这样的麻烦用了多长时间？如果事情发生在贵公司，贵公司会怎么做？从他们的经历中，贵公司学到了什么？他们发生了这样的事件之后，贵公司是否也对经营方式做了一些调整？,2020/9/24,东北财经大学 刘明辉,39,要素分析：风险评估,2020/9/24,东北财经大学 刘明辉,40,要素分析：风险反映,在评估了相关的风险之后，管理者要确定应怎样对风险做出反应。 风险反应包括规避风险、减少风险、共担风险

15、和接受风险。 在做出风险反应的过程中，管理者要考虑成本和效益，并在期望的风险容忍度内选择可以带来预期的可能性和影响的风险反应方案。,2020/9/24,东北财经大学 刘明辉,41,风险反应,规避风险（排除Avoidance 不作为）,减少风险（损失预防与抑制Loss prevention and control）,共担风险（转移或保险Transfer）,接受风险（保留或承担retention or assumpation ）,2020/9/24,东北财经大学 刘明辉,42,要素分析：风险反应,规避风险采取措施退出会产生风险的活动。风险规避可能包括退出一个产品线、减少向新地区市场的扩张或出售某分

16、公司。 减少风险采取措施减少风险发生的可能性，减少风险的影响或者两者同时减少。这可能包括各种日常经营决策。 共担风险通过转嫁风险或与他人共担风险，采取措施降低风险发生的可能性或降低风险对企业的影响。普通的风险共担技术包括购买保险产品、共同分担风险、参与套期交易或者外购活动。 接受风险不采取任何行动而接受可能发生的风险及其影响。,2020/9/24,东北财经大学 刘明辉,43,风险反应,1. 规辟风险。任何经济单位对风险的对策，首先考虑到的是避免风险，尤其是对静态风险尽可能予以避免。凡风险所造成的损失不能由该项目可能获得利润予以抵消时，避免风险是最可行的简单方法。避免风险的方法还可以分为完全避免

17、和部分避免两种。完全避免，就要不惜放弃伴随风险而来的盈利机会。部分避免，主要取决于成本因素和非经济因素。如果避免收益大于避免成本，就可以考虑避免，否则可以不要避免。 对一些风险过大的方案应加以回避，如： 拒绝与不守信用的厂商业务往来。 放弃可能明显导致亏损的投资项目。 新产品在试制阶段发现诸多问题而果断停止试制。 对突发性、高风险，其损失巨大而又难以回避的，有意识地采取避险措施。 风险规避可以从三个层面展开：战略风险规避、项目性风险规避、方案风险规避,2020/9/24,东北财经大学 刘明辉,44,风险反应,2.减少风险。事先从制度、文化、决策、组织和控制上，从培育核心能力上提高企业的防御风险

18、的能力。 减少风险主要有两方面意思：一是控制风险因素，减少风险的发生；二是控制风险发生的频率和降低风险损害程度。 准确的预测，如对汇率预测、利率预测、债务人信用评估等。 决策多方案优选和相机替代。 及时与政府部门沟通获取政策信息。 在发展新产品前，充分进行市场调研。 实行设备预防检修制度以减少设备事故。 选择有弹性的、抗风险能力强的技术方案，进行预先的技术模拟试验，采用可靠的保护和安全措施。 采用多领域、多地域、多项目、多品种的投资以分散风险。,2020/9/24,东北财经大学 刘明辉,45,风险反应,3.共担风险：企业以一定代价（如保险费、赢利机会、担保费和利息），采取某种方式（如参加保险、

19、信用担保、租赁经营、套期交易、票据贴现等等），将风险损失转嫁给他人承担，以避免可能给企业带来灾难性损失。 向专业性保险公司投保。 风险共担，如实行合资、联营、增发新股、发行债券、联合开发等。 风险主体转移。如通过技术转让、特许经营、战略联盟、租赁经营和业务外包转让经营风险；通过委托开发、购买专利来转移技术风险。 由于风险转移必然带来利益的流失，因此，企业应当在识别风险的类型和大小，权衡得失后，选择恰当的方式转移。一般地，自然风险宜用投保，较大的财务风险宜用风险共担，过大的技术风险和生产风险宜用风险主体转移。,2020/9/24,东北财经大学 刘明辉,46,风险反应,4.接受风险。如果企业有足够

20、的财力和能力承受风险损失时，可以采取风险自担和风险自保自行消化风险损失。 风险自担，就是风险损失发生时，直接将损失摊入成本或费用，或冲减利润。 风险自保，就是企业预留一笔风险金或随着生产经营的进行，有计划计提风险基金如呆账损失、大修理基金等。这适用于损失较小的风险。 经济单位既不能避免风险，又不能完全控制风险、分散风险、中和风险或减少损失时，只能自己承担风险所造成的损失。 经济单位承担风险的方式可以分为无计划的单纯自留或有计划的自己保险。 无计划的单纯自留，主要是指对未预测到的风险所造成损失的承担方式。 有计划的自己保险是指已预测到的风险所造成损失的承担方式，如提取坏账准备金等形式。,2020

21、/9/24,东北财经大学 刘明辉,47,风险反应,2020/9/24,东北财经大学 刘明辉,48,风险反应,在确定潜在的风险反应时，管理者应考虑以下几个方面： 评估对风险可能性和影响的潜在风险反应的效果即哪个风险反应方案与企业风险容忍度相结合。 评估潜在风险反应的成本和收益。 可能的机会使所要实现的企业目标不仅仅限于处理特定风险。,2020/9/24,东北财经大学 刘明辉,49,风险反应,2020/9/24,东北财经大学 刘明辉,50,风险的防护,战略的 政治的,人：职业健康安全和恢复，士气，变化,金融和财政: 投资,信息系统障碍,商业中断,项目风险,遵循性,法律风险,顾客质量,基础设施和资产

22、,欺诈,2020/9/24,东北财经大学 刘明辉,51,管 理,控制,融资,控制,整体风险,2020/9/24,东北财经大学 刘明辉,52,要素分析：控制活动,控制活动是有助于保证管理者的风险反应方案得到正确执行的相关政策和程序。 控制活动贯穿于组织之中，存在于各个层面和各个业务部门。 控制活动包括一系列不同种类的活动，例如批准、授权、核查、调节、经营业绩复核、资产安全以及职责分离。,2020/9/24,东北财经大学 刘明辉,53,要素分析：控制活动的种类,业绩评价，是指将实际业绩与其他标准，如前期业绩、预算和外部基准尺度进行比较；将不同系列的数据相联系，如经营数据和财务数据，对功能或运行业绩

23、进行评价。 信息处理，指保证业务在信息系统中正确、完全和经授权处理的活动。信息处理控制可分为两类：一般控制和应用控制。一般控制与信息系统设计和管理有关，如保证软件完整的程序、信息处理时间表、系统文件和数据维护等；应用控制与个别数据在信息系统中处理的方式有关，如保证业务正确性和已授权的程序。 实物控制，也称为资产和记录接近控制，这些控制活动包括实物安全控制、对计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。 职责分离，指将各种功能性职责分离，以防止单独作业的雇员从事或隐藏不正常行为。一般来说，下面的职责应被分开：业务授权(管理功能)、业务执行(保管职能)、业务记录(会计职能)、

24、对业绩的独立检查(监督职能)。理想状态的职责分离是，没有一个职员负责超过一个的职能。,2020/9/24,东北财经大学 刘明辉,54,2020/9/24,东北财经大学 刘明辉,55,要素分析：信息与沟通,围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。 为使企业职员能执行其职责，企业必须识别、捕捉、交流外部和内部信息。 通过沟通可使员工知悉其在营业、财务报告及遵循法律的责任。 沟通的方式有政策手册、财务报告手册、备查簿，以及口头交流或管理示例等。,2020/9/24,东北财经大学 刘明辉,56,信息的质量,内容

25、是合适的是否具备合适的详细程度？ 信息是及时的当需要信息时，可否获取信息？ 信息是当前的是不是最新获取的信息？ 信息是准确的数据是否正确？ 信息是可获取的需要信息的人员是否可以很容易的获取该信息？,2020/9/24,东北财经大学 刘明辉,57,要素分析：有效的会计信息系统,确认和记录所有有效交易； 及时、详细地描述交易，以便在报告中对交易进行正确分类； 以某种方式计量交易的价值，以便在报告中以适当的货币价值记录交易； 确定交易发生的期间，以便将交易记录在恰当的期间； 在财务报表中适当地表达交易事项和披露相关事项。,2020/9/24,东北财经大学 刘明辉,58,信息技术对内部控制的潜在利益,在大量的交易或数据处理过程中应用预定经营原则和执行复杂计算的一致性。 提高信息的及时性、可用性和准确性。 简化信息的额外分析。 提高监督履行公司的活动、政策和程序的能力。 降低控制被回避的风险。 通过在应用、数据库和操作系统中实施安全控制提高实现有效职责分离的能力。,2020/9/24,东北财经大学 刘明辉,59,信息技术对内部控制的潜在风险,依赖不准确地处理数据、处理不准确的数据或二者兼有的体系或程序。 未被授权的接近数据可能导致破坏数据或不适当更改数据，包括记录未经批准的或不存在的交易或者不准确的记录交易。 未经批准的更改原始文