企业全面风险管理与分析.ppt

November 1998 在90年代，百富勤原是亚洲除日本外的最大投资银行 金融风暴冲击下，百富勤在短短一年内出现入不敷出，至1999年月1月宣布破产 案例六：投资与出售股权权益 合理制定绩效评估与激励机制 “如果你发现精明的员工做出蠢事，你应意识到这可能是因为他们受到公司的绩效与激励机制的诱导而产生的结果。” 5. 建立规范和健全的财务报告系统 财务报告系统必须有能力为企业提供及时、准确和具高分析性的财务资料，以帮助管理层管理业务和赢取股东的信心 6. 深化企业风险管理文化 要建立健康的企业文化及价值观，企业必须： 由上而下，身体力行，建立严谨的“风纪” ，使员工能上行下效 订立管理原则和行为规范 通过绩效管理的方法，鼓励正确的行为和态度 加强培训和沟通 企业必须建立有效机制，使员工能从企业本身或其他企业所犯的错误(或接近犯错)的经验中，吸取教训 什么是风险管理？ 内部审计的三大功能 咨询顾问 企业风险管理和发展策略方面的咨询 调查领导关心的热点问题和管理薄弱环节 典型例子： 兼并收购时调查被投资公司的内部管理和 流程操作，了解薄弱环节或其他影响并购 交易的重大事项，从而确定管理方法和 并购策略 构建企业风险管理的关键成功要素 财务报告系统的功能 财务报告系统和内部控制的关系 内部控制的作用 内部控制的作用在于保证/保护： 信息（会计信息和经营信息）的可靠性和完整性 遵循政策、计划、程序、法律和法规 资产的安全 提高经营效益和效能 实现经营的目标和防止浪费资源 美国索克斯法的主要规定及要求 如何建立内控以满足索克斯法的要求 COSO内控框架 重要性-性质的重要性 评估整体控制的有效性，确定应改进的地方并建立监督系统 内控设计缺陷之弥补 业务流程之穿行测试 主要内控点之测试策略 主要内控点实际操作之测试 内控实际操作缺陷之弥补及再测试 评估整体财务报告内控的有效性 挑战—成本和效益 管理层面对的挑战 为了进行评价和支持其声明，管理层必须了解、记录、评估、测试和监督公司内部控制的有效性； 管理层须要在公司层面以及每个重要程序层面(影响所有重要科目的程序)开展广泛的内控文档化及评估程序，并建立监督该些控制的程序。 目前大部分公司在这些方面并不具备详细程度足够的文档； 大量的初期和持续资源投入。 挑战—成本和效益 使管理层能将注意力集中在影响财务报告的关键风险范畴; 确保存在于不同层面的所有关键风险范畴均得到处理； 向所有员工传达关键风险的概念，提高其控制意识； 提高公司的形象和加强投资者的信心。 公司层面的内控─控制活动 表现指标 预算与实际比较 项目管理报告 财务指标报告 系统可用性报告 员工利用率报告 管理层出具 内部控制 报告 评估整体控制的有效性，确定应改进的地方并建立监督系统 理解并分别评估程序、交易及应用层面的风险 评估公司层面的控制 组织项目小组进行评估 理解内部控制的概念 公司层面的内控─控制活动 职责划分 一种员工之间相互制约的控制， 以减少出错或越权的情况 不能由同一人发起、批准和记录一宗交易 不能由同一人保管和记录资产 定期轮换职责，在日常运作中的主要控制点应有高管人员的参与或由独立的人员作出审查 管理层出具 内部控制 报告 评估整体控制的有效性，确定应改进的地方并建立监督系统 理解并分别评估程序、交易及应用层面的风险 评估公司层面的控制 组织项目小组进行评估 理解内部控制的概念 公司层面的内控─控制活动 风险控制 平衡的区域 高 低 过份控制 低 高 风险程度 控制效果 控制不够 管理层出具 内部控制 报告 评估整体控制的有效性，确定应改进的地方并建立监督系统 理解并分别评估程序、交易及应用层面的风险 评估公司层面的控制 组织项目小组进行评估 理解内部控制的概念 监控是对一定时期内内部控制执行质量的评价程序，考虑相关内部控制是否能够满足最初设计的目标，并保证在不同情况下进行适当的修改。 考虑并记录是否定期对内部控制进行评价；管理层是否采纳内部和外部审计师关于内部控制的建议；是否存在内部审计部门以协助管理层进行监控。 公司层面的内控─监控 管理层出具 内部控制 报告 评估整体控制的有效性，确定应改进的地方并建立监督系统 理解并分别评估程序、交易及应用层面的风险 评估公司层面的控制 组织项目小组进行评估 理解内部控制的概念 程序、交易及资讯科技应用层面 评估因素: 竞争力、完整性、员工的忠诚度及管理层的监管能力 管理层之间的摩擦 职责划分 控制的稳定性 关键账项 管理层对财务报表的认定 ? 可能发生的错误 控制 关键流程 固有风险及主 要经营风险 2004 FinancialStatements 财务报告 从财务角度 从程序角度 选出容易发生重大差错的