《企业风险管理与内部控制制度设计(吴建友) .ppt》由会员分享,可在线阅读,更多相关《企业风险管理与内部控制制度设计(吴建友) .ppt(89页珍藏版)》请在三一办公上搜索。
1、企业风险管理与内部控制制度设计,吴建友 博士 副教授上海国家会计学院教研部执行主任,教育背景:1991-1995 西南财经大学国际经济系(学士)1995-1998 西南财经大学研究生院(硕士)2001-2004 上海财经大学会计学院(博士)工作经历 1995-1998 四川建华会计师事务所 1998-2001 中国太平洋保险(集团)股份有限公司 2001-2002 大宇证券股份有限公司(中国上海)2002-上海国家会计学院CPA研究与发展中心联系方式:电话:(021)69768065 传真:(021)69768048 E-M:wujysnai.edu 地址:上海蟠龙路200 邮编:201702
2、,CV,内部控制的发展战略管理与风险控制战略控制的设计与监控环节控制的设计与监控,内容提要,沿革与发展:企业的内部控制与企业经营以及与之相关的会计信息需求紧密相联,(一)AICPA早期内部控制的定义(1936)进入20世纪,西方文明由农业时代进入工业时代,机器的发明使粮食和其他商品与服务的大量生产成为可能;蒸汽机、火车、汽车和电话的发明,提高了人类交通和沟通的速度和质量,加快了商品和劳务的流动性,从而使企业组织的规模和复杂程度达到了一个新的高度.同时,权益资本开始成为这些复杂的企业组织的资本来源,从而产生了对新型的财务信息和审计方法的需要。权益投资者开始需要了解其投资的盈利能力,而定期的利润数
3、成为衡量获利能力的重要指标。作为这些使用者的需求和为适应这些需求的会计信息系统变化的结果,外部审计从检查管理人员是否有未经审批的开支,或检查下属人员是否有不诚实的行为,扩大到检查一个企业报告的利润与财务状况的真实性。Kreuger&Toll,Inc案与1933年的证券法和1934年的证券交易法。为保证公司现金和其他资产的安全,检查账簿的准确性而采取的各种措施和方法。,一、内部控制的发展,(二)AICPA特别报告对内部控制的定义(1949)基于保护企业资产,检查其会计资料正确可靠,提高业务效率,促进企业经营方针,组织计划的贯彻执行而在企业内部采取的各种稽查措施。这一定义的内部控制的制度包括:预算
4、管理标准成本定期业务报告统计分析与运用职业培训计划等,一、内部控制的发展,(三)AICPA的审计程序公告SAP No.33(1958)将内部控制区分为:内部会计控制制度内部管理控制制度,一、内部控制的发展,(四)两种内部控制的区别与含义 内部管理控制包括但不限于:组织机构的计划与管理部门如何进行批准决策有关的程序和记录 批准程序的定义:管理部门的一种责任与其承担组织目标所承担的职责相关是对所有交易事项建立会计控制制度的出发点。会计控制制度包括组织机构的设计与财产保护和财务会计记录可信性,包括盈利真实性的直接相关的各种措施根据管理当局一般授权或特殊授权处理交易必要的交易记录:财务会计报告的编制以
5、会计准则为依据;维护对财产受托责任的证明;财产收付需经管理当局批准定期和对帐面记录和实物资产,对差错采取适当措施。,一、内部控制发展,(五)反国外贿赂法与内部控制20世纪70年代中期,与内部控制有关的活动大部分集中在制度的设计和审计方面,重在改进内部控制制度的方法和提高审计的质量和效率效果。随着企业经营国际化的发展,企业为了商业利益在国外贿赂外国政府官员,以获得经营利润水门事件及其副产品:反国外贿赂法1973年至1976年对水门(Watergate)事件的调查使得立法机关与行政机关开始注意到内部控制问题。水门案专案检查官办公室及美国证券交易委员会(SEC)所进行的调查分别显示,过去不少美国大公
6、司进行了违法的国内捐款、可疑或违法的国外支付(包括贿赂外国政府官员)。针对这些调查的结果,美国国会于1977年通过了反国外贿赂法(Foreign Corrupt Practices Act,简称FCPA)。FCPA除了具有反贿赂的条款外,还规定了与会计及内部控制有关的条款。,一、内部控制的发展,法案的作用不得对外国官员行贿保持会计记录,建立内部控制处罚:一年监禁,5万美元罚款FCPA的执行者:SEC法案的重要意义:建立内部控制是企业的法律责任,一、内部控制的发展,FCPA结合索克斯法案对我国的影响朗讯中国案,一、内部控制的发展,(六)反欺诈财务报告委员会National Commission
7、on Fraudulent Financial Reporting(Treadway Commission,1985)1987年报告的要点:高层管理层所确立的氛围(Tone)影响公司环境,而财务报告则是在这一环境中产生的。防止虚假财务报告必须从报告产生的环境入手,即从高层管理当局开始所有上市公司需保持良好的内部控制,以发现和防止虚假财务报告行为,一、内部控制的发展,(七)COSO委员会的内部控制整体框架COSO的组成:AICPA,AAA,IIA,FEI,IMA。1992发布内部控制定义为实现经营效率和效果、财务报告的可行性及相关法令的遵循等企业目标而提供合理保证的过程。内部控制的实施者为企业董
8、事会、经理层和其他员工。内部控制为谁而设内部控制不是某个人或某个层级的人提出来的,专门针对某个人或某个层级的人的制度,它是整个企业设计的系统,没有人能脱离这一系统而独立运作。谁对内部控制承担责任管理层、董事会、内部审计和其他员工内部控制五要素控制环境、风险评估、信息与交流、控制活动、监督,一、内部控制的发展,(八)企业风险管理(ERM)企业经营与战略管理企业经营从过程管理向战略管理转变COSO委员会的反应企业风险管理框架(ERM)这一拓宽已经达到这样一种程度,连COSO委员会都不得不承认现代的企业风险管理将取代内部控制。COSO委员会于2001年年初成立了一个由维吉尼亚大学教授组成的一个专家组
9、,以确认是否需要就企业风险管理开发出一个指导性的框架。专家组经过调研,发现公司董事会和董事会下的审计委员会对于企业风险管理有强烈的需求。COSO委员会因此从其五个成员组织中召集人员成立了项目咨询委员会(Project Advisory Council),并且请普华会计师事务所书写这一框架性的文件。2003年7月,COSO委员会发布了ERM框架(征求意见稿)(Enterprise Risk Management Framework,Exposure Draft),2004年9月形成正式文稿。COSO委员会的行动显示了内部控制向企业风险管理发展的趋势。,一、内部控制的发展,ERM的主要内容内部环境
10、目标设定事件识别风险评估风险反应控制活动信息与沟通监督,一、内部控制的发展,(一)现代两权分离的公司经营的特征企业的经营越来越复杂经营的复杂性使得企业经营与内外部经济环境的联系越来越紧密竞争越来越激烈如果你在一个没有竞争的行业中从商,那么你就选择了一个错误的行业,事实上,这种行业根本就不存在。竞争的结果:两极分化20世纪初的美国100家大公司,今天只有16家尚为人知;2003年,美国5万家企业申请破产。19901999年表现较佳的公司的股票增长率():思科(124,285);戴尔(72,400);,二、战略管理与风险控制,(二)为什么有的公司经营的很好,有些公司造假或破产?任何企业之所以存在的
11、目的是创造价值对顾客的体现销售的产品或提供的服务可以给顾客带来消费者剩余对债权人的体现有足够的利润(现金流)还本付息对供应商有足够的信用,可以获得稳定的供货股东获得满意的投资回报(证券市场表现为股价的上升),二、战略管理与风险控制,二、战略管理与风险控制,不同的利益相关者对价值有不同的观点.,这些都表现为利润:超额利润(活的好)平均利润(活的一般)达不到平均利润(危险,难以生存,有动机造假)连利润都没有(?),二、战略管理与风险控制,(三)战略管理理论关于超额利润来源的两种模型行业竞争模型1962年,美国著名管理学家Alfred D.Chandler出版了战略与结构:工业企业史的考证。Anso
12、ff于1965出版的公司战略(Corporate Strategy)一书中首次提出了“企业战略”这一概念,并将战略定义为“一个组织打算如何去实现其目标和使命,包括各种方案的拟定和评价,以及最终将要实施的方案”。20世纪80年代初,以哈佛大学商学院的Michael Porter为代表的行业竞争战略理论取得了战略管理理论的主流地位。,二、战略管理与风险控制,Porter的行业竞争战略理论的基本逻辑是:(1)产业结构是决定企业盈利能力的关键因素;(2)企业可以通过选择和执行一种基本战略(低成本;成本集聚;差异化;差异集聚;低成本差异集聚)影响产业中的五种作用力(潜在进入者;现有竞争者;替代品;供应商
13、;顾客),以改善和加强企业的相对竞争地位,获取市场竞争优势;(3)价值链活动是竞争优势的来源,企业可以通过价值链活动和价值链关系(包括一条价值链内的活动之间及两条或多条价值链之间的关系)的调整来实施其基本战略。,二、战略管理与风险控制,PEST分析,波特五力分析,标竿分析(Benchmarking),GE的标竿,资源基础模型模型但20世纪80年代以后,战略管理理论逐渐认识到行业组织模式认为外部环境是企业获得成功的主要决定因素这一结论有一定的片面性,从而发展出资源基础模型。资源基础模型认为任何一个企业都是资源与能力的独特组合,这些资源与能力是组织战略的基础,也是利润的来源。一个企业是不断变化的整
14、合体,它通过动态的管理来获取超额利润。这一模型同时认为,企业可以不断地获取资源,发展独特的能力。但并非企业所有的资源与能力都可以转化为竞争优势,只有在这种资源和能力是有价值的、稀缺的、难以模仿的、无法替代的时候,它才可能成为竞争优势。,二、战略管理与风险控制,1。直销模式的管理2。供应商的选择和管理3。组装厂的管理4。服务5。基于运营效率的研发,实证证据实证研究一方面支持行业组织模型,认为外部环境是企业获得成功的主要决定因素,另一方面也支持资源基础模型,认为公司特点和业务活动也是企业获得超额利润的主要决定因素。McGaham(1999)的研究表明,企业约20的利润与行业相关,36的利润变动是由
15、公司的特点和业务活动所产生。Porter(1997)的研究结果表明,环境因素和公司特点共同决定公司的利润率水平。,二、战略管理与风险控制,(四)现代企业的经营模式与控制1.现代企业经营模式总览,二、战略管理与风险控制,2.战略管理对内外部重要战略风险的反应企业的共同价值观目标基本战略企业层面的控制环境理论上由公司经理层(CEO)提出建议,股东大会或董事会批准,董事会负责监督经理层战略的执行,二、战略管理与风险控制,价值观:人人成为经营者,战略目标:世界零部件行业前30强,经营目标,财务报告目标,遵循法规目标,监督的方法关键成功要素:关键的经营环节关键业绩指标:企业会计报表反映的净利润;收入增长
16、;市场地位(市场份额);竞争对手的状况等汇总数据。,二、战略管理与风险控制,目标,关键成功要素(CSFs),关键业绩指标(KPIs),目标实现不了的迹象,整体,经营环节,3.经营环节关键经营环节就是对企业战略风险的反应经营环节的设计与战略匹配经营环节的目标与战略一致经营环节本身也可能存在达不到目标的风险高层管理人员对经营环节的监控根据环节的目标设立关键成功要素根据关键成功要素建立关键业绩指标对关键业绩指标进行监控,二、战略管理与风险控制,4.怎么控制?就是控制经营风险,也就是战略风险和环节风险,二、战略管理与风险控制,控制设计的核心方法:1。最佳实务(best practice)2.创新成本效
17、益的分析!,战略层面:目标风险控制监控修正反馈,环节层面:目标风险控制监控修正反馈,二、战略管理与风险控制,5.计量驱动业绩平衡计分卡,二、战略管理与风险控制,从平衡计分卡到战略计量不能计量就不能管理传统计量的缺陷非财务指标计量的优点非财务指标计量的缺点,二、战略管理与风险控制,二、战略管理与风险控制,(五)面向未来的竞争从日常工作中解脱出来面向未来的竞争有何不同?学习遗忘IBM的转型考虑行业的未来扩展战略战略杠杠为未来的设计而竞争建立通往未来的通道建立核心能力为未来获得一席安全之地不一样的思考,战略控制是指高层管理层(包括董事会)所采取的降低战略风险,提高决策制定的效果以及经营活动的效率的措
18、施。包括:(一)确立经营目标并在整个企业交流。(二)建立和执行道德准则(三)建立授权和责任条线(四)监控内外部环境的威胁(五)分析内外部风险的重大性(六)制定处理风险的政策和程序(七)分配内部资源以降低风险(八)支持有效的信息分享和交流(九)监控企业主要部分的业绩表现,(一)确立经营目标并在整个企业交流经营目标的确立也就是基本竞争战略的确立,需要考虑自身的资源和环境的影响,最为重要的因素:自身资源环境影响目标制定程序目标的种类:战略目标主导:运营目标报告目标遵循目标目标之间的重叠与相互影响案例研究:三一重工,目标的实现什么目标是可控的?什么目标是不可控的?不但要选目标,还要努力协调!,根据目标
19、制定竞争战略将目标与战略在整个企业沟通沟通的正式渠道非正式渠道考虑一下,最主要的风险是什么?基本竞争战略本身的风险!战略本身不清楚,与经营环节不匹配!,战略目标对企业竞争战略的再认识愿景是企业想要达到的比较宽泛的术语。战略目标与企业的愿景相一致。战略选择单纯“低成本”或“差异化”是不够的什么是真正的战略和战略目标?便利店行业的例子中国可的与日本罗森的比较,仅仅基于运作有效性的竞争是相互毁灭性的 结果是零和竞争、静态的或降低价格,以及对成本的压力,这将导致公司不得不在投资于长期的能力上妥协!”麦克.波特(Michael Porter),1996,哈佛商业评论(HBR)因此,真正的战略是战略定位与
20、运作有效性的结合。,战略,适当的目标独特的价值主张定制的(Tailored)业务活动业务活动在一个整合的体系中相互适应清晰的权衡定位具有连续性但具有持续提高的特征,最佳实务的提高一个构想(vision)学习灵活性(Agility)适应性(Flexibility)基于时间的竞争重组兼并/收购联盟/形成伙伴互联网,什么是战略?,什么不是战略?,领导者的作用(roles),清晰地将运营的有效性和战略区分开来定义公司独特的定位并将之在公司交流帮助员工将战略转化成他们特定领域的责任指导员工做权衡的决策决定应该对什么样的行业变化和顾客需求进行反应,以及如何将它们融入战略避免组织注意力分散稳定的纪律和明晰的
21、交流,什么是竞争战略?,设定正确的目标 建立长期可持续经济价值!两个主要的驱动因素:,关键业务活动,辅 助 活 动,基 本 活 动,利 润,运作的有效性,相同的事情是不是更好 更低的成本,更快的速度,更好的一致性,等.运作效率的持续提高只是取得可持续优异绩效的必要条件,但不是充分条件!为什么?最佳实务的快速扩散竞争性积聚(convergence)“仅仅基于运作有效性的竞争是相互毁灭性的 结果是零和竞争、静态的或降低价格,以及对成本的压力,这将导致公司不得不在投资于长期的能力上妥协!”麦克.波特(Michael Porter),1996,哈佛商业评论(HBR),战略定位,根据消费者价值 得自产品
22、或服务的特点和/或顾客的细分仔细地选择一组不同的业务活动以交付一个独特的价值组合 这是竞争性战略的本质 选择以不同的方式执行业务活动或与竞争对手相比执行不同的业务活动!一个可持续的定位需要权衡权衡是指不同的定位导致的选择需求之间的不兼容性(见西南航空的例子),西南航空,战略定位,我们学到了什么?定位是一套定制的业务活动有意地限制 公司提供什么东西互补性(Complementary)相互增强;做一个业务活动导致另一个业务活动对消费者价值和 公司的经济价值的影响增加内在一致性(Coherent)每一个业务活动都和另一个业务活动的行为或结果相联系;这就是“适宜(fit)”的概念交流的明晰性 对内部和
23、外部的利益相关者,战略定位,可持续性战略定位是不是可以被竞争者轻易地模仿,从而变得没有可持续性?还有什么比较重要?,经济价值 长期回报,西南航空,百万美元,经济价值 长期回报,美国西部航空,百万美元,战略的壁垒,为什么这么多公司在获得一个战略上失败了?为什么经理们避免做战略选择?虽然经理们过去做到了,为什么他们现在让战略衰败?,(二)建立和执行道德准则,也就是风险管理文化防止高层管理人员的利益冲突中国“三九”集团的例子高层管理人员对道德准则的遵守影响整个公司事实上的,并不是纸面上的,要警惕纸面上于事实上的不一致安然最关键的因素:领导的作用!权衡!,审计的功能:1。控制2。补充服务3。信息可靠性
24、4。符合法规的需要,风险相关文化调查的结果,问题,我所在的业务部的领导接受所有风险的交流,包括坏消息,数量,平均数,属性,人员的更换并没有显著影响我们达到目标的能力,对那些不道德的职业行为采取了措施,我理解企业总体愿景和战略,我们部门的领导是道德行为的榜样,领导能力和战略,领导能力和战略,受托责任和增强,人员和交流,风险管理和基础设施,(三)建立授权和责任条线明确的授权与责任报告制度巴林的教训中国的尼克.里森中国银行的高山事件,(四)监控内外部环境的威胁企业层面的关键成功要素与关键业绩指标关键成功要素各个企业存在差别:关键经营环节的差别关键业绩指标财务指标非财务指标监控的方法外部的PEST,波
25、特五力竞争对手的监控:中国太平洋保险公司案例内部的独立评估(内审、外部咨询)控制的自我测试(control self assessment),(五)分析内外部风险的重大性,(六)制定处理风险的政策和程序对风险的四种方法成本效益分析决定采取的措施,(七)分配内部资源以降低风险资源在环节中的分配(八)支持有效的信息分享和交流目标、战略、环节以及环节与环节之间需要信息分享与沟通(九)监控企业主要部分的业绩表现对关键环节的监控,一点说明:控制的形式有多种正式的,非正式的重要的控制种类包括:高层管理当局的复核直接的干预业绩指标与标准的比较独立评估,案例:CAO:中国的智慧,世界的经验,案例:CAO新加坡
26、,案情简介公司背景陈玖霖其人CAO新加坡2001年上市2002年“最具透明度公司”风险管理手册期权交易,(一)环节控制的含义环节控制指在企业的不同环节中所执行的各种控制活动。这类控制是高级管理层以下的员工所执行的,它们一般着重于环节内部的风险,反映高层所确定的政策和程序。环节控制一般是处理会计信息的可靠性和对法律、法规以及公司规章制度的遵循。,(二)经营环节与战略风险环节作为对战略风险的反应 经营环节的划分,战略对环节的影响,经营资源生产财务研发员工行销,差异化战略高质量高质量稳定质量很关键最佳的广泛的,低成本战略便宜的规模经济低成本很少成本控制最小化,战略对各环节的影响,战略控制对经营环节的
27、影响,(三)将环节与战略联系起来管理层的战略选择对环节有直接的影响低成本与差异化战略的比较,(四)关键环节及其控制关节环节的特征对目标关键与外部有广泛交流的环节高风险环节,(五)关键环节的控制环节的目标环节中的业务活动环节中的信息环节的风险对风险的控制与特定风险相关的业绩计量,环节图:系统认识 环节环节中的风险领导风险缺乏管理、授权和受托责任正直风险环节中的人的正直性 Prudential Insurance Co.监管风险技术风险财务风险人力资源风险运营风险信息风险,环节的控制业绩指标复核控制环节目标:确保取得生产经营所必须的原材料;确保原材料的质量符合生产的需要 有效的监督 业绩报告体系
28、内部审计,关键成功要素有足够可供选择的供应商与供应商保持良好的合作关系,关键业绩指标供应商个数原材料退货率供应商投诉次数,处理程序控制信息系统的控制授权程序书面的政策和程序手册,包括正式的工作描述和详细的责任描述管理政策 道德行为标准、可接受的操作方式、利益冲突 使用文件与记录源文件必需被设计为方便所有相关信息的收集应当有适当授权、接收资产等等填录的地方事先编号记录所有的文件,减少欺诈性使用的可能性实物控制,不相容职务分离确保没有哪一个个人有太多的权利,没有员工可以创造并掩饰舞弊三种类型的功能必需被分开授权功能记录功能:制作起始文件,保存日记账,编制调节表,或编制业绩报告保管资产:直接或间接,
29、比如受邮寄过来的现金支票不相容职务没有分离的例子:如果既保管,也记录应收账款,就可能转移收到的现金并做手角来掩饰差异如果既有权批准注销应收账款又保管现金收入,就可能会批准假的注销,然后将收到的钱转移。向特定供货商批准签发订单同时又负责记录存货收入,就可能会向编造的供货商发出订单并编制编造的存货收到记录,从而以从来没有收到的货物将资金转移出去。会计控制,控制的自我评估(control self assessment)目标风险控制控制的缺陷改进措施,从战略到环节控制设计的比较:北大纵横与德勤,北大纵横为某公司制作的关键绩效考核指标德勤为某公司做的内部控制的自我测试我们学到了什么?,几点总结:,内部控制向企业风险管理的发展以战略管理为基础!控制的设计需要对企业的全面的分析。控制设计要把握总体,但也要精确到局部!控制的设计要参照最佳实务,但更重要的是创新:有没有更好的,或可改进的方法?,Q&A?,联系方式:电话:(021)69768065 传真:(021)69768048 E-M:wujysnai.edu 地址:上海蟠龙路200,邮编:201702,
