安永中央企业全面风险管理培训.ppt

November 1998 甚么是风险管理？ 在90年代，百富勤原是亚洲除日本外的最大投资银行 金融风暴冲击下，百富勤在短短一年内出现入不敷出，至1999年月1月宣布破产 案例六：投资与出售股权权益 合理制定绩效评估与激励机制 “如果你发现精明的员工做出蠢事，你应意识到这可能是因为他们受到公司的绩效与激励机制的诱导而产生的结果。” 建立规范和健全的财务报告系统 财务报告系统必须有能力为企业提供及时、准确和具高分析性的财务资料，以帮助管理层管理业务和赢取股东的信心 6. 深化企业风险管理文化 要建立健康的企业文化及价值观，企业必须： 由上而下，身体力行，建立严谨的“风范” ，使员工能上行下效 订立管理原则和行为规范 通过绩效管理的方法，鼓励正确的行为和态度 加强培训和沟通 企业必须建立有效机制，使员工能从企业本身或其他企业所犯的错误(或接近犯错)的经验中，吸取教训 内部审计的三大功能 咨询顾问 企业风险管理和发展策略方面的咨询 调查领导关心的热点问题和管理薄弱环节 典型例子： 兼并收购时调查被投资公司的内部管理和 流程操作，了解薄弱环节或其他影响并购 交易的重大事项，从而确定管理方法和 并购策略 构建企业风险管理的关键成功要素 财务报告系统的功能 财务报告系统和内部控制的关系 内部控制的定义 内部控制的作用 内部控制的作用在于保证/保护： 信息（会计信息和经营信息）的可靠性和完整性 遵循政策、计划、程序、法律和法规 资产的安全 提高经营效益和效能 实现经营的目标和防止浪费资源 COSO内控框架 谢 谢 ！ Committee of Sponsoring Organisation of The Treadway Commission (COSO)为内控开发了一个全面的框架 这个内控框架是唯一被美国证监会确认为完整、全面和不偏依的内控框架 构建内部控制须分两个层面： 公司层面 流程、交易及IT应用层面 COSO 内控框架 内控环境 风险评估 控制活动 信息和沟通 监控 业务部门 业务功能 整体 营运 财务报告 合规 需考虑的因素 对内部控制的定期评估 实施改进建议 建立内部审计职能以实施监控 有必要的政策和程序 有明确的财务目标，并对其主动监控 合理的职责分离 预算与实际情况的定期比较 对文件、记录和财产的适当保管 提供完整的业绩报告 与业务策略相联系 持续开发、测试和监控计算机系统和程序 计算机业务持续性系统和应急计划 便于职员履行职责而建立的沟通渠道 风险评估流程 对重要事件的预测、识别和反应机制 识别会计准则差异、业务操作和内部控制变化的程序 高管层的诚信、道德和行为 控制意识和经营风格 胜任能力和承担 董事会或审计委员会的监管 组织结构、权限和责任 人力资源政策和程序 方面 控制环境 风险评估 信息和沟通 控制活动 监控 如何构建内部控制—公司层面的评估 管理层关于内部控制 的报告 评估内控的整体的有效性，找出有待改进的地方，并建立一个监控体系 在流程、交易和应用层面，理解和评估内部控制 在全公司层面评估内部控制 组织项目小组实施评估工作 理解内部控制的定义 公司层面的内控─控制环境 企业道德规范与价值观 员工的行为操守与企业文化 公司治理结构和政策 董事会及各委员会的构成 企业规章制度 董事会与管理层之间的关系、权力和职责 公司层面的内控─风险评估 企业是否拥有既定的程序以确定、评估和度量影响企业达标的风险？ 先进的内审部门？ 风险管理部门？ 全面风险评估？ 企业有否详细记录评估风险的结果？有否进行详细的讨论和沟通？ 公司层面的内控─信息和沟通 企业的架构是否能够令各部门及业务单位明确各自的职责及促进沟通 企业是否拥有一个合适的电子平台 处理管理信息和数据 确保信息能够及时发放 确保各类信息和报告的准确性和可用性 规章制度 审批程序 资产实物的安全 特殊报告 表现指标 信息系统控制 职责划分 公司层面的内控─控制活动 公司层面的内控─控制活动 规章制度 董事会及各委员会的章程 企业风险政策 员工招聘守则 企业采购政策 会计及财务管理守则 公司层面的内控─控制活动 审批程序 一种预防性的控制措施 确保规章制度得以落实执行 知识与经验分享 责任的承担 公司层面的内控─控制活动 资产实物的安全 档案/库存上锁 减少利用现金交易 办工室安全系统 / 警铃 资料数据库进入的限制 保安人员 员工身份证 机器上的标记 隐型录相机 公司层面的内控─控制活动 特殊报告 逾期应收款报告 工作超时完成报告 原材料不合格报告 机器故障报告 产品不合格或退货报告 存货台帐红字报告 公司层面的内控─控制活动 表现指标 预算与实际比较 项目管理报告 财务指标报告 系统可用性报告 员工利用率报