《安永全面风险管理.ppt》由会员分享,可在线阅读,更多相关《安永全面风险管理.ppt(105页珍藏版)》请在三一办公上搜索。
1、,企业全面风险管理,2005年4月9日北京,安永中国营运委员会主席,讨论内容,企业风险管理的必要性案例分析教训与启示企业风险管理框架股东对企业风险管理最关心的四个问题风险管理框架:一个基础、三道防线构建风险管理的关键成功要素财务报告系统的内部控制财务报告系统的功能财务报告系统的典型问题美国索克斯法的主要规定及要求如何建立内控以满足索克斯法的要求,第一部分企业风险管理的必要性,企业风险管理的必要性,案例分析:安然公司世通公司巴林银行回顾事件发生的经过了解引致公司倒闭或严重损失的内控缺陷从案例中吸取的教训,八百伴公司百富勤公司三家国有控股上市公司,案例一:美国安然公司(Enron),在2002年,
2、安然是美国最大的石油和天然气企业之一2001年末,安然宣布第三季度录得6.4亿美元的亏损,美国证监会对该公司进行调查,发现该公司在1997以来虚报利润5.8亿美元2001年末,安然申请破产保护令,但在之前10个月内,公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利,调查发现:安然的董事会及审计委员会均采取不干预(“hands-off”)监控政策事件发生之后,部分董事表示不太了解安然的财务状况、期货及期权的业务安然重视短期的业绩指标安然管理高层常常藐视或推翻公司制定的内控制度,案例二:美国世通公司(Worldcom),世通是美国第二大的电信公司2002年,世通被发现利用把
3、营运性开支反映为资本性开支等弄虚作假的方法,多年来虚报利润735亿美元世通于2002年末申请破产保护令,成为美国历史上最大的破产个案世通的四名主管(包括公司的CEO和CFO)承认串谋讹诈,被联邦法院刑事起诉,调查发现:世通的董事会持续赋予公司的CEO(Bernard Ebbers)绝对的权力,让他一人独揽大权美国证监会的调查报告指出:世通完全没有制衡机制世通的董事会并没有负起监督管理层的责任世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金,案例三:英国巴林银行(Barings Bank),巴林银行在90年代前是英国最大的银行之一,有超过200年的历史1992-1994年期间,巴林银行新加坡
4、分行的总经理里森(Nick Lesson),从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动,累积亏损超过10亿美元,导致巴林银行于1995年2月破产,调查发现:巴林银行的高层对里森所从事的业务并不了解巴林缺乏职责划分的机制巴林银行的高层对财务报告不重视,案例四:日本八百伴(Yohan),在90年代,八百伴是日本最大的百货公司之一1997年9月,八百伴宣布破产,向法院申请“公司更生法”保护,当时八百伴的负债额达1,613亿日元,是日本战后最大的一宗企业破产案,调查发现:八百伴低估经营非核心业务的风险八百伴低估扩张业务的风险八百伴低估了开发新兴市场的风险,在90年代,百富勤原是
5、亚洲除日本外的最大投资银行金融风暴冲击下,百富勤在短短一年内出现入不敷出,至1999年月1月宣布破产,案例五:香港百富勤公司(Peregrine),调查发现:香港政府在调查百富勤的报告中表示,百富勤倒闭的原因主要是由于缺乏有效风险管理、内控体制和完善的财会报告系统百富勤虽然设立了信贷委员会和风险管理部门,但却未能制衡业务部门强大的权力百富勤忽略发展新兴市场的风险百富勤低估了利率和汇率波动的风险,某国有控股的上市企业(简称“国企A”)于19X4年以约4.2亿元人民币收购某汽车制造公司95%权益,两年后,该国企以3.2亿元人民币向一家马来西亚公司出售其在汽车公司中50%的权益,而记录了一笔4,00
6、0万元人民币的营业外收入。但其后,该马来西亚公司并没有按协议支付交易金额,而交易亦被迫中断。19X7年,国企A为掩饰交易失败而重新与三家公司签约,以3.2亿元人民币的同样金额将汽车公司的50%权益转售给这三家公司,但这三家公司最终都没有向国企A支付任何款项。,案例六:投资与出售股权权益,调查发现:国企A未有就对外投资建立完善的风险管理,投资前既没有清楚考虑其高级管理层缺乏汽车制造业的经验,亦没做好可行性研究的各种分析。在出售投资权益予该马来西亚公司时,并未充分考虑对方的信誉和偿付能力,亦未有利用买卖协议为可能出现的违约事件提供保障。在转售投资权益予该三家公司时,并未披露这三家公司均为关联的“空
7、壳公司”。财务报表亦没有如实反映交易中断的情况。汽车公司从成立至19X9年的5年间,一直未能调试投产,亦未有竣工验收,最终,该国企以大幅度低于成本的价钱,把该汽车公司出售,造成严重亏损。,某国营企业(简称“国企B”)于19X6至19X8的两年间,动用接近10亿元人民币,投资了15家公司,而该国企在每家公司的权益均在10%至30%之间,这些公司的业务范围包括金融、包装材料、汽车零部件、房地产开发、贸易和通信等。,调查发现:国企B未有就对外投资建立完善的风险管理系统。这15家公司大部分没有为国企B提供经审计的财务报表,亦一直未派股息;国企B亦没有利用投资协议来保障其权益。,案例七:投资非核心性业务
8、,某国有控股在香港上市的公司(简称“国企C”)没有遵守上市规则的要求,在没有得到股东批准的情况下,向一位董事的关联公司提供港币1.6亿元的贷款和港币1.96亿元的银行信用证担保,该贷款和信用证担保的总额占上市公司资本金的30%款项贷出后,该关联公司一直不予还款,而国企C为该关联公司所提供的银行信用担保当中的港币9,500万元已被有关银行提出追讨,案例八:某香港上市公司,调查发现:国企C的公司治理结构不规范,出现一小撮人独揽大权国企C并没有建立合规方面的风险管理机制国企C的财务报告系统既没有为上述关联交易作出适当的披露,亦没有为拖欠的贷款提取坏账准备,教训与启示常言:智者从别人失败经验中吸取教训
9、,聪明者从自己失败经验中吸取教训,愚者则永不懂从经验中学习。,我们可以从上述案例中吸取什么教训?1.熟悉企业本身的业务与相关风险切记:避免制定不切实际的目标或盲目扩展投资,使企业承受无谓的风险建立内控和相互制衡的机制切记:权力过分集中就会出现腐败的情况紧盯着现金所有犯案、挪用公款和偷窃行为均与现金有关常言:“会计数字只是参考意见,现金才真正令你感到踏实。”,合理制定绩效评估与激励机制“如果你发现精明的员工做出蠢事,你应意识到这可能是因为他们受到公司的绩效与激励机制的诱导而产生的结果。”5.建立规范和健全的财务报告系统财务报告系统必须有能力为企业提供及时、准确和具高分析性的财务资料,以帮助管理层
10、管理业务和赢取股东的信心,6.深化企业风险管理文化 要建立健康的企业文化及价值观,企业必须:由上而下,身体力行,建立严谨的“风纪”,使员工能上行下效订立管理原则和行为规范通过绩效管理的方法,鼓励正确的行为和态度加强培训和沟通企业必须建立有效机制,使员工能从企业本身或其他企业所犯的错误(或接近犯错)的经验中,吸取教训,第二部分企业风险管理框架,什么是风险管理?,企业风险管理是一套由企业董事会与管理层共同设立、和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平,从而帮助企业达至它的目标。美国内控研究委员会,企业为何要建立风险管理?,因为
11、企业的股东与管理层常常要面对一些令他们寝食难安的问题。因此,企业需要系统化地建立一套风险管理体制,从而识别影响企业盈利的关键因素,并对那些会影响企业达标的风险进行监控及管理,股东对企业风险管理最关心的四个问题:,企业知道它所面对的主要风险吗?例如:什么风险正在或将会影响企业的业务?企业的品牌 新产品、新市场的开发 战略联盟 客户或供应链的管理,理想的情况:企业能开发一套标准的、共通的风险语言,从而识别企业所面对的风险,并就其严重的程度进行排序。共通的风险语言亦有利于企业上下层就风险的管理进行沟通,企业是否已对这些风险设置内部控制?企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性
12、风险、流程性风险),构建内部控制(包括预防性控制及觉察性控制),以确保企业能实现目标和符合各方面的法律、法规,理想的情况:企业就其所面对的风险和采取的内控,编制一套完整的文档,并借鉴国际最佳的实务不断进行检讨,企业的内部控制有效吗?企业要对其内控系统不间断地进行监控和测试,以确保其对风险控制的能力,理想的情况:企业把各类风险控制在可接受的水平,并在这基准上赚取合理的回报,哪一些内部控制必须改进?企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施,理想的情况:企业能建立一套具前瞻性的信息管理系统和预警系统,使企业能及时识别新生的风险,并对相关的业务计划、政策和程序进行修正,
13、企业风险管理框架,一个基础三道防线,一个基础:公司治理结构,什么是公司治理?公司治理是涉及公司的表现:它关系到一家公司如何得到有效的管理,从而发挥最佳表现公司治理是涉及责任的问题:它关系到董事会及管理层如何向股东负责,而使股东能从公司的表现中得益,公司治理与风险管理有什么关系?,公司治理是风险管理的一个必要的组成部份,因为它提供了对风险由上而下的监控与管理近年多个国家都订立了公司治理的最佳守则:美国:纽约证交所最佳治理守则英国:Cadbury/Hampel Report、The Combined Code加拿大:Dey ReportOECD Report这些最佳守则均清楚指出建立风险管理是董事
14、会及管理层的责任,如何构建一个有利风险管理的公司治理结构?,建立一个健全的、以董事会为首的公司治理结构订立企业的目标和战略,包括企业的风险政策和极限贯彻一套重视风险管理的企业文化和价值观,第一道防线:业务单位防线,业务单位包含了企业大部分的资产和业务,它们在日常工作中面对各类的风险,是企业的前线企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中,才能建立好防范风险的第一道防线,如何建立第一道防线了解企业战略目标及可能影响企业达标的风险识别风险类别对相关风险作出评估决定转移、避免或减低风险的策略计设及实施风险策略的相关内部控制,(风险宇宙TM),资信,制度,知识产权,财务,流动资产与
15、信贷,资本结构,市场,财务报告,营运,法律,生产程序,营商环境,市场结构,民风与文化,管治,策略,董事会活动,交易,并购,变卖,声誉,道德,社区责任,风险管理,董事会及管理层业绩,组织结构,监察与沟通,执行,筹划与开发,利益有关方,供应商,政府,顾客,股东,经济情况,国家情况,市场变化,竞争对手,人才资源,雇员,沟通,有形资产,机器、厂房与土地,其他有形资产,负债,合约,法规,市场与销售,生产及流通,商品/服务开发,流程,估值与选择买家,评估与甄选,尽职调查,并购后整合,资信管理,运营,组织与监察,硬件,软件,网络,无形资产,知识管理,信息,现金管理,对冲,融资,股东资本,债务,商品,利率,外
16、汇,税务,会计,合规,风险宇宙,战略性风险是指公司因作出战略性错误的决定而导致经济上的损失战略性风险是业务单位、高级管理层和董事会的共同责任常见的战略性风险包括:企业的目标与方针市场潜在的威胁业务的范围(深度与广度)品牌及形象的建立,战略性风险,与战略性伙伴的合作投资和融资的策略员工的素质和雇员关系企业的信息及监控系统,信贷风险是指贷款人或合同的另一方因不能履行合约而使公司产生经济损失的风险常见的信贷风险包括:贷款未能回收应收帐款未能回收债券跌价(因信贷评级的减值或债务人未能履行付款义务)买卖金融市场产品而未能兑现企业因合资、合作、联盟、外包等经济活动而产生或暴露的信贷风险,信贷风险,市场风险
17、是指因市场价格或利率波动而使公司产生经济损失的风险构成市场风险的三大因素:因买卖或投资金融产品而产生的风险因资产与负债错配、或原材料与产成品价格不能同步浮动而产生的风险资金流动性风险常见的市场风险包括:利率风险外汇风险股票与债券市场风险商品价格风险期货、期权与衍生工具风险,市场风险,操作风险是指企业内部流程、人为错误或外部因素而令公司产生经济损失的风险,它包括了公司的流程风险、人为风险、系统风险、事件风险和业务风险等流程风险是指交易流程中出现错误而引致损失的风险,流程包括如:销售、定价、记录、确认、出货/提供服务等环节。流程风险也包括合规性风险人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操
18、守而引致损失的风险系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的风险事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险业务风险是指因市场或竞争环境出现预期以外的变化而引致损失的风险,所涉及的问题包括市场策略、客户管理、产品开发、销售渠道和定价等领域,操作风险,风险发生的可能性,风险对企业造成的影响,风险处理方法的效果,风险地图(或风险共同语言),影响程度,几乎 肯定,极可能,可能,低,极低,B,C,A,G,I,D,J,K,H,E,F,可能性,说明:A 人力资源风险B 财务风险C 竞争风险D 开发风险E 过度自信风险F 系统故障
19、风险G 主要客户风险H 欺诈风险I 政治风险J 薪酬奖励风险K 科技风险,风险处理组合,处理评级,风险评级,近乎没有效果,低效,适中,超标,极度,极高,高,中等,低,A,G,I,D,J,K,H,E,说明:A 人力资源风险B 财务风险C 竞争风险D 开发风险E 过度自信风险F 系统故障风险G 主要客户风险H 欺诈风险I 政治风险J 薪酬奖励风险K 科技风险,F,采取行动,密切监控,定期审阅,风险处理策略,风险处理组合,处理评级,风险评级,近乎没有效果,低效,适中,超标,极度,极高,高,中等,低,A,G,I,D,J,K,H,E,说明:A 人力资源风险B 财务风险C 竞争风险D 开发风险E 过度自信
20、风险F 系统故障风险G 主要客户风险H 欺诈风险I 政治风险J 薪酬奖励风险K 科技风险,F,采取行动,密切监控,定期审阅,风险处理策略,风险策略避免禁止交易减少或限制交易量离开市场转移套期保险策略性联盟其他分担风险的安排,小心管理投资广泛保护的安排订价反映风险程度可接受自我保险预留储备增加监督,风险处理策略,影响程度,大,小,企业建立的第一道防线,就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等,系统化地进行分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进行记录和存档,对内控措施的有效性不断进行测试和更新,第一道防线:总结,第二道防线:风险管理单位防线,第二道
21、防线是在业务单位之上建立一个更高层次的风险管理功能,它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作,它的职责包括:编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析,为各业务单位分配经济资本金,企业建立的第一道防线,就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等,系统化地进行分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进行记录和存档,对内控措施的有效性不断进
22、行测试和更新,第一道防线:总结,第二道防线:风险管理单位防线,第二道防线是在业务单位之上建立一个更高层次的风险管理功能,它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作,它的职责包括:编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析,为各业务单位分配经济资本金,第三道防线:内审单位防线,第三道防线涉及一个独立于业务单位的部门,监控企业内控和其他企业关心的问题内部审计的定义:,内部审计的三大功能
23、,财务监督财务帐的可用性内部管理和制度的执行典型例子:检查分、子公司上报总部的财务报表的准确性以及执行财务管理政策的情况经营诊断管理审计以及效率和效益审计检查和诊断经营和管理过程中的偏差和失误典型例子:企业对某业务单位或某部门执行效益审计(一个输入与产出的关系),咨询顾问企业风险管理和发展策略方面的咨询调查领导关心的热点问题和管理薄弱环节典型例子:兼并收购时调查被投资公司的内部管理和流程操作,了解薄弱环节或其他影响并购交易的重大事项,从而确定管理方法和并购策略,构建企业风险管理的关键成功要素,1.股东确立对企业监督的机制,考虑是否需要在集团层面:引入以董事会领导的管理体制聘任有经验的外部董事,
24、来加强对企业的监督要求企业建立风险管理和内控系统,并对其运作及有效性作出定期的汇报,2.管理高层的支持和参与确立方向和目标营造必要的环境为平衡风险与回报作出战略性的决定,风险,调整风险后的回报,3.建立风险管理文化风险管理的手段,必须融入日常的管理流程通过讨论和培训,使风险管理的实施得到“全民”的支持通过经验的分享,不断加强风险管理的认同性4.采用先进的风险管理的实施方法借鉴如美国 Treadway 委员会所提出的COSO内控框架采用各种识别和度量风险的先进的方法采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务,构建信息管理系统和预警系统,第三部分财务报告系统的内部控制
25、,财务报告系统的功能,股东,监管部门,其他利益相关者,分析和修正,企业远景、战略和目标,企业经营、管理和控制,企业业绩的度量和报告,财务报告系统,财务信息披露和报告,财务报告系统管理,财务报告系统的典型问题,输入资料不准确或不完整缺乏内部控制员工缺乏应有的知识和资历对资料的要求不清晰缺乏一套清晰和统一的会计政策如何确认收入?如何计提准备金?如何界定经营性与资本性支出?,会计科目设计不完善依靠人手操作或缺乏合适和统一的电子核算平台,如何反映对外投资?如何记录各类金融衍生工具?,财务报告系统的典型问题,关帐或财务结算程序不规范没有明确财务结算的工作和程序没有利用标准的结算表/模板没有订立重要性的门
26、槛未能披露或提供重要信息什么数据或差异需要进行分析?需要与什么数据进行比较?分析需要得到什么数据的支持?什么资料可协助管理层加强管理?,财务报告系统和内部控制的关系,财务报告系统是为企业内部管理提供信息和与外部利益相关者(如股东、监管机构)沟通的主要工具和媒介财务报告系统需要一个完善的内部控制环境,才能及时和有效地执行和发挥它应有的作用,内部控制的作用,内部控制的作用在于保证/保护:信息(会计信息和经营信息)的可靠性和完整性遵循政策、计划、程序、法律和法规资产的安全提高经营效益和效能实现经营的目标和防止浪费资源,内部控制不能:将一个原本拙劣的管理体系改变成一个优良的管理体系影响环境因素,如政府
27、的法规和政策、竞争对手的行动或经济状况保证企业的成功或不会面临倒闭的命运杜绝员工或管理层舞弊和欺诈的行为,内部控制的作用,内部控制的作用在于保证/保护:信息(会计信息和经营信息)的可靠性和完整性遵循政策、计划、程序、法律和法规资产的安全提高经营效益和效能实现经营的目标和防止浪费资源,内部控制不能:将一个原本拙劣的管理体系改变成一个优良的管理体系影响环境因素,如政府的法规和政策、竞争对手的行动或经济状况保证企业的成功或不会面临倒闭的命运杜绝员工或管理层舞弊和欺诈的行为,美国索克斯法的主要规定及要求,第404节(a)要求企业在提交年报时(20-F)一并提交内部控制及财务报告程序的有效性管理报告。第
28、404节(b)要求审计师就管理层内控报告出具验证意见。SOA404生效日期:美国本土上市公司:于2004年11月15日或以后的财务年度;非美国本土上市公司:于2006年7月15日或以后的财务年度(此日期已再次延后)。,SOA404法案总体要求,SOA 404 的要求,要求年度报告中要包括“内部控制报告”,其具体内容为:,管理层责任的声明:管理层有责任建立和维护健全的内部控制制度以确保财务报表的合理和准确性;管理层的评价的声明:关于在财政年度末有关财务报表的内部控制有效性的评价;评价框架的说明:明确指出管理层适用于评价有关财务报表的内部控制有效性的框架;关于外部审计师已出具关于管理层评价的鉴定报
29、告的声明。,该准则不允许管理层在已发现内部控制制度有一处或多处“重大缺陷”时,作出有关财务报表内部控制有效的认定。该准则同时要求管理层披露评价过程中发现的任何“重大缺陷”。尽管准则中没有明确说明,但是通常认为,财政年度中已发现并已纠正的“重大缺陷”不影响管理当局在财政年度末作出有关财务报表的内部控制有效的评价。,SOA 404 要求(续),合理地保证会计记录合理、准确、详细并公允地反映公司的日常交易和资产处理;合理地保证对所有交易都作了必要适当的记录以便于按照公认会计准则编制财务报表,并且收入和支出活动均经管理当局和董事会的适当授权;合理地保证防止或及时发现对财务报表有重大影响的未经授权的资产
30、采购、使用或处置。,准则对“有关财务报表的内部控制”的定义为:“公司主要的管理人员或者主要的财务管理人员设计内控政策和控制程序,并监督其执行,以便对财务报告是按照公认会计准则编制以及财务报表的可靠程度做出合理的保证。”该控制政策和控制程序主要包括:,对形成、记录、处理和调节账户余额、交易的分类和披露以及财务报表的相关认定的控制。对形成和处理非常规交易和非系统化交易的控制;对防止、确认和发现舞弊的控制。,评价有关财务报表的内部控制:准则强调指出管理层必须制定并保存有关内部控制的书面文件,包括关于内部控制设计和测试程序的文件,从而为管理当局评价有关财务报表的内部控制有效性提供合理的保证。这些书面文
31、件是有效的内部控制的首要条件。管理当局的评价必须基于评价内部控制设计的有效性和测试其执行的有效性的程序。询问本身并不能为内部控制的评价提供足够的基础。有关评价的内部控制包括:,SOA 404 要求(续),如何建立内控以满足索克斯法的要求,建立符合404法案要求的内控框架,COSO内控框架,Committee of Sponsoring Organisation of The Treadway Commission(COSO)为内控开发了一个全面的框架这个内控框架是唯一被美国证监会确认为完整、全面和不偏依的内控框架构建内部控制须分两个层面:公司层面流程、交易及资讯科技应用层面,组织项目小组进行评
32、估,高层参与各业务部门之参与财务、内审、计算机管理部门之参与,控制环境,风险评估,信息和沟通,控制活动,监控,如何构建内部控制公司层面的评估,管理层关于内部控制的报告,评估内控的整体的有效性,找出有待改进的地方,并建立一个监控体系,在流程、交易和应用层面,理解和评估内部控制,在全公司层面评估内部控制,组织项目小组实施评估工作,理解内部控制的定义,公司层面的内控控制环境,企业道德规范与价值观员工的行为操守与企业文化公司治理结构和政策董事会及各委员会的构成企业规章制度董事会与管理层之间的关系、权力和职责,公司层面的内控风险评估,企业是否拥有既定的程序以确定、评估和度量影响企业达标的风险?先进的内审
33、部门?风险管理部门?全面风险评估?企业有否详细记录评估风险的结果?有否进行详细的讨论和沟通?,公司层面的内控信息和沟通,企业的架构是否能够令各部门及业务单位明确各自的职责及促进沟通企业是否拥有一个合适的电子平台处理管理信息和数据确保信息能够及时发放确保各类信息和报告的准确性和可用性,规章制度 审批程序资产实物的安全 特殊报告 表现指标 信息系统控制职责划分,公司层面的内控控制活动,公司层面的内控控制活动,规章制度 董事会及各委员会的章程企业风险政策员工招聘守则企业采购政策会计及财务管理守则,公司层面的内控控制活动,审批程序 一种预防性的控制措施确保规章制度得以落实执行知识与经验分享责任的承担,
34、公司层面的内控控制活动,资产实物的安全 档案/库存上锁减少利用现金交易 办工室安全系统/警铃资料数据库进入的限制保安人员员工身份证机器上的标记隐型录相机,公司层面的内控控制活动,特殊报告逾期应收款报告工作超时完成报告原材料不合格报告机器故障报告 产品不合格或退货报告存货台帐红字报告,公司层面的内控控制活动,表现指标预算与实际比较项目管理报告财务指标报告系统可用性报告 员工利用率报告,公司层面的内控控制活动,职责划分一种员工之间相互制约的控制,以减少出错或越权的情况不能由同一人发起、批准和记录一宗交易不能由同一人保管和记录资产定期轮换职责,在日常运作中的主要控制点应有高管人员的参与或由独立的人员
35、作出审查,公司层面的内控控制活动,监控是对一定时期内内部控制执行质量的评价程序,考虑相关内部控制是否能够满足最初设计的目标,并保证在不同情况下进行适当的修改。考虑并记录是否定期对内部控制进行评价;管理层是否采纳内部和外部审计师关于内部控制的建议;是否存在内部审计部门以协助管理层进行监控。,公司层面的内控监控,程序、交易及资讯科技应用层面,评估因素:竞争力、完整性、员工的忠诚度及管理层的监管能力管理层之间的摩擦职责划分控制的稳定性,关键账项,管理层对财务报表的认定,?,可能发生的错误,控制,关键流程,固有风险及主要经营风险,财务报告,从财务角度,从程序角度,选出容易发生重大差错的关键 账 项*,
36、存在(资产负债表)与发生(利润表)完整性(资产负债表/利润表)估价(资产负债表)与计量(利润表)权利与义务(资产负债表),类型:交易流程惯例特殊估计,对每一种认定应考虑:在流程的哪一交易环节容易发生错误?例如:帐户:现金或应付程序:支付认定:估价是否有人工或自动的程序确保支票或转账的数目与审批的付款数目一致?,检验:对差错的监督防止:防止出现差错由何人来执行?是否有程序自动控制?识别处理系统,评估/监督,*单项差错或几项差错如不被发现,可能对财务报表造成重大影响,或导致非法行为或利益冲突。即使造成非重大影响,也会对公司的信誉、与客户及投资者的关系,以及公众形象造成负面影响。,确认财务帐户及其相
37、关系统,记录系统及控制,评估/监督,步骤,行为,主要关注点,重要性,Staff Accounting Bulletin No.99-“重要性”指引上市公司和审计人员在估计项目的重要性时必须同时考虑金额的和性质的因素。,404的要求管理层有责任建立和维护健全的内部控制制度以确保财务报表所有重大方面的合理和准确性,重要性 指引,不能完全依赖金额标准-上市公司在判断某一项目对财务报表是否重要时不能完全依赖金额标准,而应同时考虑金额和性质的因素;蓄意的错误-蓄意的错误,无论重要与否,都是不可接受的;蓄意违反联邦法律的故意错报-上市公司须遵守1934年颁布的证券交易法第13章(b)(2)-(7)的规定。
38、即使某一项目的错报并不重要,但是其违反了联邦法律,这种蓄意的错报都是不可接受的;操纵利润-凡是操纵利润导致的错报,无论金额大小都是不可接受的;错报个体和总体-上市公司应单独考虑每一项错报的重要性,并考虑其对错报总体的影响;小金额错报-性质重要的小金额错报也应当引起重视。,设定会计报表层面的重要性水平:,上市公司-在持续经营的情况下,会计报表层面的重要性水平通常为税前利润的5%;在满足下列部分标准的情况下,会计报表层面的重要性水平可以提高到税前利润的6%-8%:公司的经营环境不会发生迅速的变化;公司采取多样化经营,发展前景较好,并且财务状况良好;公司的内部控制有效;如果公司的净利润很小、几乎为零
39、,或者持续若干年在亏损和盈利之间徘徊,则重要性水平设定为销售收入的0.5%-1%或毛利的1%-2%较为适当;当公司的经营情况恶化,公司资产的流动性的强弱变得比经营成果的高低更为重要时,重要性水平通常为净资产的1%-5%;当以上三种情况均不适用时,即销售收入很小或接近于零,没有经营利润,净资产实质上为零,则重要性水平通常为总资产的0.25%-0.5%.,通常为会计报表层面重要性水平的50%;.,重要性-金额的重要性,设定会计科目层面的重要性水平:,重要性-性质的重要性,科目由复杂的成分组成;易受人为操纵或易发生损失;重要的账户性质;发生交易量大;复杂的会计处理和披露要求;账户余额需由主观判断决定
40、;存在关联方交易;本期外部环境(例如,法律法规,会计准则等)或报告的要求发生变化;受固有风险和商业风险的直接影响。,如果某一会计科目具有以下一个或一个以上的性质,则该科目余额是重要的:,识别重要科目,审阅每一个业务部门的资产负债表、损益表和披露基于以下因素决定重要科目:,科目性质和发生重大错误的固有可能性业务的规模、组成和交易数量对人为操纵和损失的敏感性主观性及风险交易、会计处理和报告的复杂程度,利润表 营业额耗煤折旧及摊销其它收入X资产负债表物业、机械装置及设备在建工程预付租赁无形资产X存货应收账款现金及现金等价物,重要科目,识别交易和流程的类别,识别影响各个重要科目的主要交易和流程的类别基
41、于以下因素决定重要的交易和流程:交易、会计处理和报告的复杂程度交易活动的风险程度和发生重大错误的固有可能性业务的规模、组成和交易数量对人为操纵和损失的敏感性管理层监督的程度和汇报流程,X,重要科目,识别具体地点和业务部门,识别影响每一个重要交易和相关流程类别的地点和业务部门基于以下因素决定哪些地点和业务部门是重要的:,不同的流程当地风险记录文档公司整体的控制,识别业务和认定,在每一个重要地点和业务部门,识别影响每个重要科目及其相关披露的关键业务流程和业务活动基于以下因素决定有哪些认定与每项流程活动相关联:,交易、会计处理和报告的复杂程度交易活动的风险程度和发生重大错误的固有可能性对人为操纵或损
42、失的敏感性,重要项目发电机及相关机器和设备,关键业务流程购置及应付折旧及计提减值准备,详细业务流程评估新项目投资的建议采办订单管理供应商资料库的管理应付款程序管理,If the guideline control is not applicable,then please state a reason.,识别“什么会出错?”和相关的控制,在每一个重要地点和业务部门,对影响每个重要科目的关键业务流程确定“什么会出错?”就可能发生的差错找出相对应的控制为确保控制的相关性和设计的有效,考虑可能发生的错误加强识别与财务报表相关的重要风险的能力将花费在较次要流程上的时间减到最少,控制频率,相关政策规定,
43、控制设计的有效性,应当对实质性控制提供尽可能详尽的细节描述,以便具备相应知识水平的人员能够正确合理的予以执行。这些描述必须依照控制的本质去描述,并随着控制的变化而不断修正更新,但不可以描述成在未来才可以予以实施或者具备一定条件才可以实施的控制。,控制策划者是指负责更正那些不可能实际实施的控制的人员。这种更正包括 更新控制文件(适当的流程图和控制表格和其他相关的文件)对于拥有同一控制的不同经济业务有可能设置同一控制策划者。,控制实施的频繁度说明了该控制在与其特有的风险评估相关的流程中的重要性。可以选择是每日/每周/每月/每年两次/每年或其他。,这是为了符合相关流程、指南(包括授权的指南)、准则、
44、系统说明、工作描述等等。,评估整体控制的有效性,确定应改进的地方并建立监督系统,内控设计缺陷之弥补业务流程之穿行测试主要内控点之测试策略主要内控点实际操作之测试内控实际操作缺陷之弥补及再测试评估整体财务报告内控的有效性,管理层出具内部控制报告,评估整体控制的有效性,确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,挑战成本和效益,管理层面对的挑战为了进行评价和支持其声明,管理层必须了解、记录、评估、测试和监督公司内部控制的有效性;管理层须要在公司层面以及每个重要程序层面(影响所有重要科目的程序)开展广泛的内控文档化及评估程序,并建立监督该些控制的程序。目前大部分公司在这些方面并不具备详细程度足够的文档;大量的初期和持续资源投入。,使管理层能将注意力集中在影响财务报告的关键风险范畴;确保存在于不同层面的所有关键风险范畴均得到处理;向所有员工传达关键风险的概念,提高其控制意识;提高公司的形象和加强投资者的信心。,挑战成本和效益,除了法规的遵循,公司应考虑从404项目的实施实现其他效益,其中可能包括:,