第4章 内部控制与企业风险评估.pptVIP

南开大学　程新生 第4章 内部控制与企业风险评估 4．1 风险管理框架 4．2 内部控制与风险评估 4．3 战略视角下的风险评估 4．4 风险评估案例分析 风险的基本含义是收益或损失的不确定性，但在不同学科范式里又有多种表述： 统计学认为风险是实际与预期结果的偏离 保险学认为风险是可能损失的大小和发生的可能性 财务理论和决策理论以收益或结果的不确定性为主要特征定义风险 战略风险反映出战略引起的业绩和成长性变化以及风险的收益、损失、不确定性特征 4．1 风险管理框架 风险具有普遍性、多样性、可变性(一种风险可转化或扩展成另一种风险)、突发性、隐蔽性、复杂性、可控性 成长、盈利、风险三者平衡的风险控制观。风险是经营活动固有的一部分。一个新产品会有失败的风险，一个国家币值波动也会有严重影响该国商业贸易的风险 需要对经营环境(投资环境、贸易环境、金融环境、财政税收环境、公司治理环境)进行评估，防范财务风险、经营管理风险等 一、风险的组成 风险：战略风险、经营风险、财务风险、决策信息风险、控制风险、违规风险 战略风险—战略目标未能实现的可能性 财务报告风险—与记录交易和企业财务报表中财务数据披露直接有关的风险 控制风险—对存在重大事项的业务活动未能发现或制止的风险 二、企业风险管理（ERM） 由COSO（特雷德威Treadway委员会发起的致力于改进风险管理的机构）定义的企业风险管理： 一个由企业董事会、管理层和其他人员实施的用于制定战略的程序，贯穿于企业内部，用于识别可能影响企业的事件，对风险进行管理并将其限制在风险偏好之内，为达到企业目标提供合理保证 COSO认为企业风险管理包含八个相互关联的步骤： 1.风险管理环境。这代表管理当局的观念和对待风险的态度，以管理当局—董事会批准—确认的风险偏好和可容忍风险为起点，然后为企业内各部门执行企业风险管理提供指导方向。 2.设定目标。在管理当局识别影响目标实现的事件之前必须设定目标。 3.事件的确认。企业内各层次的管理人员确认可能影响企业战略实施能力或可能削弱企业达到目标的事件。 4.风险评估。组织将风险评估为事件发生的可能性和可能结果的数量结合。风险评估可帮助企业决定用于应对风险的资源水平 5.风险应对。管理当局选择对待风险的最适合方式，包括避免、共享、减少或接受风险 6.控制活动。控制是为了管理风险和确保管理当局的方针战略得以实施的政策和程序，是为了减少风险和对已确认的风险再次提出的特定应对方式。因此在风险这一主题下控制是重要的。 7.信息和沟通。每个企业都需要设计一个有效的信息系统来识别风险，并就企业全面风险管理程序的有效性反馈给管理当局 8.监控。在整个企业内部，对每个风险管理步骤都要进行实时监控，以定期评估作为实时监控的补充，例如由内部审计部门进行的评估 4．2 内部控制与风险评估 判明风险类别、分析风险的具体源由 分辨出主要风险、次要风险、关键风险、派生风险。内部审计人员从企业整体战略目标着手，分析战略目标与实际差异，明确差异的风险，分析风险产生的部门、风险类别及其性质。例如材料供应风险，还是生产能力风险。 对经营风险、财务风险的分类模式(Business Risk Model)，可概括为： 1．外部经营环境风险 资金调度；国家、政治的安全性；竞争对手；金融市场；企业特性；政策的变动；法律的变动；对外部环境变化的敏感性；异常灾害；等等 2．业务风险 产品或服务的缺陷；产品开发能力；资产老化和减值；材料供应商；从业人的资质；法规的遵守；商标品牌的过时；生产能力；生产效率；经营失败；健康安全管理；顾客要求；工作环境不良 3．职权风险 能力、业绩评价基础的变化；沟通渠道；领导成员及其职权；对变化的适应能力；权限规定、超越权限的限制 4．信息处理与技术风险 信息地址的正确性；情报和信息利用的可能性；情报来源；情报和技术的完整性；信息处理的设施 5．财务风险 债权未能履行；债务未履行；担保责任；决策；现金流量；流动性-机会丧失；价格变动；回报利率、利息；价格变动-投资价值；价格变动-金融商品 价格变动-汇率；价格变动-外汇交易 6．投资决策风险 投资目的与战略的整合性；经营过程的业绩确定；价格设定；合同或协议的执行情况 税务信息；财务报告的恰当反映的判断；年金基金；投资判断；预算、计划；会计信息偏差 7．战略风险 产品的生命周期；组织结构的有效性；经营过程的效果；经营资源的分配；企业价值的评价；对外环境的判断 8．公司治理风险-诚信风险 企业违法违规行为；超越权限行为管理层的违法行为；股东关系；董事会治理质量；治理主体的信息量；公司书面章程健全程度 风险识别主要建立在优势、劣势、机会、威胁