第二章 企业内部控制目标与风险管理

1南开大学程新生等企业内部控制理论对于内控的研究、内控建立和实施有指导作用，主要有控制论、组织行为学理论、代理理论、权变理论等。企业内部控制目标与风险管理涉及法律、市场、财务、运营与战略等方面。内部控制目标决定着内控运行的方式和方向。内控是为实现五类目标提供合理保证：企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果，促进企业实现发展战略。内部控制基础篇2南开大学程新生等控制论组织行为学理论代理理论权变理论第一章企业内部控制理化3南开大学程新生等第二章企业内部控制目标与风险管理企业内控目标是出于企业管理需要提出的,包括五大类:企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果，促进企业实现发展战略。风险管理程序包括控制目标的设定,风险与事项识别,风险应对,控制活动(包括正式和非正式),权责配置等。风险管理使控制对象在行为过程中处于稳定状态，并达成内部控制目标的控制行为，涉及控制程序、运营风险监控、风险评估和信息反馈等。4南开大学程新生等第一节内部控制目标结构一内部控制目标设定目标设定是内部控制的起点，目标设定后才进行风险识别和风险评估，确定控制方法等，即“目标——风险——控制”程序。两层含义：总体目标设定业务单位和流程控制目标设定（见教材P40）5南开大学程新生等二中国企业内部控制目标企业经营管理合法合规资产安全财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略6南开大学程新生等内部控制目标的特征层次性（图2-1见教材45）目标的网络性目标的多样性7南开大学程新生等第二节风险管理一风险管理概述按内部控制目标划分合法合规风险资产安全类风险财务报告及相关信息类风险经营类风险战略类风险8南开大学程新生等一、流程风险风险具有普遍性、多样性、可变性(一种风险可转化或扩展成另一种风险)、突发性、隐蔽性、复杂性、可控性。流程风险源于缺乏有效的流程管理，包括生产流程风险、交易流程风险、产品或服务风险。生产过程风险包括生产能力风险、生产周期风险、生产中断风险、存货保持风险等。企业经营风险类型9南开大学程新生等交易过程风险的发生可能发生在采购环节，也可能是由于企业对于供应商或客户的评估而产生的。在采购过程中，如果原材料缺货或成本过高，那么可能会影响到企业在客户需要时提供具有竞争性价格的产品或服务的能力。另外，采购原料的质量问题也可能引起风险10南开大学程新生等【英特尔的失误】1994年11月，一位学术界人士告诉英特尔公司，它们生产的奔腾处理器有一个小的运算功能错误。但英特尔公司非常自信，没有认真对待这位客户的反应。发现瑕疵的教授通过互联网询问其他人是否也遇到了类似的问题，结果得到数以千计人的回答。尽管英特尔公司一再向用户保证，处理器的这个微小的问题不会影响到PC机的整体功能（出现计算错误的概率为90亿分之一），但用户坚决要求更换产品。新闻媒体的批评是严厉的，IBM公司对装有奔腾处理器的计算机停止发货。虽然英特尔公司制定了更换产品的政策，但只有约3%的用户的产品得到了更换，英特尔为此付出了4.75亿美元的代价11南开大学程新生等二、人员风险人员风险是指由于人员资格和能力不能够满足工作的要求，致使设计或操作出现漏洞、疏忽、工作完成的效果差、难以达到预计目标、生产经营效率低下、产品质量或服务质量不达标准的可能性有调查显示，大型超市的经理仅将31%的库存损失归因于店铺偷窃者，而将剩余的46%归咎于员工偷窃。如果只是追求利润而不将风险意识结合到公司的文化中，同样会引发员工的不良表现12南开大学程新生等【迪斯尼公司的员工背景调查】迪斯尼乐园的业务是建立在公司安全及童趣的声誉上：如果声誉受损，业务就会下滑。1998年7月，迪斯尼公司一名年龄不到20岁的厨师被指控在酒店的卫生间侵犯了一位游客。这个厨师还有着相当多的犯罪和被捕记录时，他的犯罪记录还包括袭击他人、入室偷窃等。在他被迪斯尼雇佣的时候，他处在缓刑期间。舆论对此曝光后，迪斯尼乐园的客流量和收入在一段时间内受到了打击。这一事件之后，迪斯尼乐园将每一个员工都当作企业的风险源，更注重员工录用时的背景调查。13南开大学程新生等海空物流公司CEO向公司的每一个员工发出了必须遵守基本的职业道德规范（CodeofBusinessConduct），将该职业道德规范放在网站上，要求每一位员工每年必须重新学习一遍，强化员工的控制意识14南开大学程新生等三、信息系统风险信息系统风险包括信息系统数据的真实性、系统的稳定性、系统使用的安全性等方面。运用信息系统的企业，在设计商业流程及系统时，应该明确地将数据安全、准确作为首要目标例如，一些物流公司在客户出货多的情况下，没有及时掌握信息、制定流程控制防止业务人员操作失误；在货急和客户提供信息不完整时，没有应急的流程控制和信息沟通，容易造成客户流失。15南开大学程新生等四、外部风险这种风险的来源于企业外部，但属于企业风险监控和内部控制范围，未雨绸缪是一个比亡羊补牢更理性的选择。外部风险可以是自然或人为的灾难，可能来自于竞争具有偶然性，难以预测，一旦发生却有着严重的后果外部风险环境，使企业的原有运营环境遭到破坏，但是有效的管理可以降低此类风险。例如，IBM从一个硬件公司到一个服务及解决方案公司的转型，较好地解决了竞争环境变化带来的风险16南开大学程新生等以“目标—风险—控制”流程为指导，对所有的风险进行分析，包括管理层关注的事项以及引起责任人员注意的风险领域。关注高风险的领域，以提供相关的、符合管理层和董事会需求的信息风险管理源于20世纪30年代，在风险定性分析的基础上，把保险作为处理风险的主要方法。到了50年代，运用概率论和数理统计；60年代后，系统地研究风险管理；自70年代以来，风险管理逐渐发展成为新兴的管理学科，不再局限于信用风险管理，80年代转向财务风险管理（包括资本市场风险、信用风险等），90年代后期进入了全方位的企业风险管理。17南开大学程新生等企业风险管理财务风险管理信用风险管理图9－2风险管理发展示意图18南开大学程新生等一、COSO委员会《企业风险管理－整合框架》（一）企业风险管理－整合框架2004年9月，由美国注册会计师协会(AICPA)、国际内部审计师协会(IIA)、财务经理人协会(FEI)、管理会计师协会(IMA)、美国会计学会(AAA)组成的COSO委员会正式发布了《企业风险管理—整合框架》（EnterpriseRiskManagement，以下称ERM），为企业管理当局评价和改进其所在组织的企业风险管理提供了一个框架19南开大学程新生等企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯彻执行之中，管理风险以使其在该组织的风险容量之内，为组织目标的实现提供合理保证ERM框架明确了以下内容：风险管理是一个过程，受人的影响，应用于战略制定，贯穿整个企业的所有层级和单位，旨在识别影响组织的事件并在组织的风险偏好范围内管理风险，为了实现各类目标提供合理保证20南开大学程新生等ERM包括八个相互关联的部分：（1）内部环境—为人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及所处的经营环境。（2）目标设定—必须先有目标，管理当局才能识别影响目标实现的潜在事项。（3）事件识别—必须识别影响组织目标实现的内部和外部事项，区分风险和机会，使机会被反馈到管理当局的战略或目标制定过程中。21南开大学程新生等（4）风险评估—通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。（5）风险应对—管理当局选择风险应对策略—回避、承担、降低或者分担风险，以便把风险控制在组织的风险容忍度和风险容量以内。（6）控制活动—制定和实施政策和程序以确保风险应对方略得以有效实施。（7）信息和沟通—向组织的各个层级提供他(她)们识别、评估和应对风险所需的信息。有效沟通包括信息在组织中的向下、平行和向上流动。22南开大学程新生等（8）监控—进行全面监控，必要时加以纠正。监控可以通过持续的管理活动、个别评价或者两结合起来完成。企业风险管理的八个要素都是为企业的五大目标服务的，企业各个层级都要坚持同样的目标，每个层次都必须从以上八个方面进行风险管理。23南开大学程新生等企业风险管理主要有下列作用：（1）协调风险容量与战略—管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在组织的风险容量。（2）增进风险应对决策的严密性—ERM为识别和选择风险应对策略—风险回避、承担、降低或者分担，提供了理论依据。（3）控制或抑减经营意外和损失——使组织识别潜在事项和实施应对的能力得以增强，从而抑减意外情况以及由此带来的成本或损失。24南开大学程新生等（4）识别、管理多重的和贯穿于企业的风险—每个企业都面临着影响其不同部分的一系列风险，ERM有助于有效地应对交互影响的风险因素，应对多重风险。（5）抓住机会—通过全面考虑潜在事项，促使管理当局抓住并积极地利用机会。（6）改善资本配置—获取有效的风险信息，帮助管理当局有效地评估资源需求，并改进资源配置。25南开大学程新生等尽管企业风险管理有很多重要的作用，但它也存在着局限。这些局限主要源于下列方面：人们在决策过程中的判断可能有纰漏，有关应对风险和建立控制的决策需要考虑相关的成本和效益；不可控的事项、差错或不当报告偶尔也会发生，控制可能因为两个或多个人员的串通而被规避；管理当局有可能凌驾于企业风险决策之上等26南开大学程新生等（二）ERM与内部控制整合框架的关系ERM框架几乎包含了COSO委员会在1992年发布(1994年修订)的内部控制整合框架的所有内容，并进行了较全面的拓展。ERM框架是内部控制整合框架的升级，这种升级主要表现在以下几个方面：1．提升了内部控制的目标层次2．增加和优化了内部控制的内容3．建立了风险的组合观4．引入风险容量和风险容忍度的概念27南开大学程新生等（三）中国企业风险管理ERM风险管理框架发布后，引起企业界和监管部门的关注。在我国，国务院国有资产管理委员会2006年出台了《中央企业全面风险管理指引》（以下简称《指引》），借鉴了COSO委员会“企业风险管理框架”和国内外先进企业风险管理方面的经验，以及国内有关内部控制建设方面的规定，对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险管理、信息系统等方面进行了详细阐述。28南开大学程新生等全面风险管理基本流程包括以下主要工作①收集风险管理初始信息；②进行风险评估；③制定风险管理策略；④提出和实施风险管理解决方案；⑤风险管理的监督与改进。29南开大学程新生等具备条件的企业可建立风险管理三道防线：即各有关职能部门和业务单位为第一道防线风险管理职能部门和董事会下设的风险管理委员会为第二道防线内部审计部门和董事会下设的审计委员会为第三道防线30南开大学程新生等【中广核集团全面风险管理体系建设案例】中广核集团是在1985年与香港中电合资建设的大亚湾核电站的基础上，于1994年9月经国务院批准成立的大型企业集团，从成立之初就十分重视风险管理工作，形成了一套比较完整的管理制度和程序，积累了一定的管理经验，取得了较好的成效，中广核集团借鉴国务院国有资产管理委员会《中央企业全面风险管理指引》，将风险管理作为重点工作之一，积极推进全面风险管理体系建设，保战略目标实施、保可持续发展，取得了初步成效（见教材P50）31南开大学程新生等二过程控制过程控制是为实现内部控制目标，通过外部和内在的力量使组织成员的行为和各类业务流程符合规范和要求，减少控制目标实现过程中的行为偏差，将风险控制在可接受范围之内。过程控制有助于实现内部控制的目标，将降低损失、减少重大负面事件发生的概率，为企业提供早期风险警告机制，改进企业实现其商业目标的能力，管理层将力量集中在创造价值的活动方面，而不是应付危机上；有效的过程控制使风险转移合理化，