【培训课件】企业全面风险管理

企业全面风险管理柳絮讲义内容企业风险管理的必要性案例分析教训与启示企业风险管理框架股东对企业风险管理最关心的四个问题风险管理框架：一个基础、三道防线构建风险管理的关键成功要素财务报告系统的内部控制财务报告系统的功能财务报告系统的典型问题第一部分企业风险管理的必要性企业风险管理的必要性案例分析：–回顾事件发生的经过–了解引致公司倒闭或严重损失的内控缺陷–从案例中吸取的教训教训与启示•常言：「智者从别人失败经验中吸取教训，聪明者从自己失败经验中吸取教训，愚者则永不懂从经验中学习。」我们可以从上述案例中吸取什么教训？1.熟悉企业本身的业务与相关风险•切记：避免制定不切实际的目标或盲目扩展投资，使企业承受无谓的风险2.建立内控和相互制衡的机制•切记：权力过分集中就会出现腐败的情况3.紧盯着现金•所有犯案、挪用公款和偷窃行为均与现金有关•常言：“会计数字只是参考意见，现金才真正令你感到踏实。”4.合理制定绩效评估与激励机制•“如果你发现精明的员工做出蠢事，你应意识到这可能是因为他们受到公司的绩效与激励机制的诱导而产生的结果。”5.建立规范和健全的财务报告系统•财务报告系统必须有能力为企业提供及时、准确和具高分析性的财务资料，以帮助管理层管理业务和赢取股东的信心6.深化企业风险管理文化•要建立健康的企业文化及价值观，企业必须：–由上而下，身体力行，建立严谨的“风纪”，使员工能上行下效–订立管理原则和行为规范–通过绩效管理的方法，鼓励正确的行为和态度•加强培训和沟通–企业必须建立有效机制，使员工能从企业本身或其他企业所犯的错误(或接近犯错)的经验中，吸取教训第二部分企业风险管理框架什么是风险管理？企业风险管理是一套由企业董事会与管理层共同设立、和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平，从而帮助企业达至它的目标。美国内控研究委员会企业为何要建立风险管理？因为企业的股东与管理层常常要面对一些令他们寝食难安的问题。因此，企业需要系统化地建立一套风险管理体制，从而识别影响企业盈利的关键因素，并对那些会影响企业达标的风险进行监控及管理股东对企业风险管理最关心的四个问题：1.企业知道它所面对的主要风险吗？例如：什么风险正在或将会影响企业的业务？企业的品牌新产品、新市场的开发战略联盟客户或供应链的管理理想的情况：企业能开发一套标准的、共通的风险语言，从而识别企业所面对的风险，并就其严重的程度进行排序。共通的风险语言亦有利于企业上下层就风险的管理进行沟通2.企业是否已对这些风险设置内部控制？企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险)，构建内部控制(包括预防性控制及觉察性控制)，以确保企业能实现目标和符合各方面的法律、法规理想的情况：企业就其所面对的风险和采取的内控，编制一套完整的文档，并借鉴国际最佳的实务不断进行检讨3.企业的内部控制有效吗？企业要对其内控系统不间断地进行监控和测试，以确保其对风险控制的能力理想的情况：企业把各类风险控制在可接受的水平，并在这基准上赚取合理的回报4.哪一些内部控制必须改进？企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施理想的情况：企业能建立一套具前瞻性的信息管理系统和预警系统，使企业能及时识别新生的风险，并对相关的业务计划、政策和程序进行修正企业风险管理框架•一个基础•三道防线管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会一个基础：公司治理结构什么是公司治理？公司治理是涉及公司的表现：它关系到一家公司如何得到有效的管理，从而发挥最佳表现公司治理是涉及责任的问题：它关系到董事会及管理层如何向股东负责，而使股东能从公司的表现中得益第一道防线：业务单位防线业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线如何建立第一道防线1.了解企业战略目标及可能影响企业达标的风险2.识别风险类别3.对相关风险作出评估4.决定转移、避免或减低风险的策略5.计设及实施风险策略的相关内部控制(风险宇宙TM)资信制度知识产权财务流动资产与信贷资本结构市场财务报告营运法律生产程序营商环境市场结构民风与文化管治策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规风险宇宙•战略性风险是指公司因作出战略性错误的决定而导致经济上的损失•战略性风险是业务单位、高级管理层和董事会的共同责任•常见的战略性风险包括：–企业的目标与方针–市场潜在的威胁–业务的范围(深度与广度)–品牌及形象的建立战略性风险–与战略性伙伴的合作–投资和融资的策略–员工的素质和雇员关系–企业的信息及监控系统•信贷风险是指贷款人或合同的另一方因不能履行合约而使公司产生经济损失的风险•常见的信贷风险包括：–贷款未能回收–应收帐款未能回收–债券跌价(因信贷评级的减值或债务人未能履行付款义务)–买卖金融市场产品而未能兑现–企业因合资、合作、联盟、外包等经济活动而产生或暴露的信贷风险信贷风险•市场风险是指因市场价格或利率波动而使公司产生经济损失的风险•构成市场风险的三大因素：–因买卖或投资金融产品而产生的风险–因资产与负债错配、或原材料与产成品价格不能同步浮动而产生的风险–资金流动性风险•常见的市场风险包括：–利率风险–外汇风险–股票与债券市场风险–商品价格风险–期货、期权与衍生工具风险市场风险•操作风险是指企业内部流程、人为错误或外部因素而令公司产生经济损失的风险，它包括了公司的流程风险、人为风险、系统风险、事件风险和业务风险等•流程风险是指交易流程中出现错误而引致损失的风险，流程包括如：销售、定价、记录、确认、出货/提供服务等环节。流程风险也包括合规性风险•人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而引致损失的风险•系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的风险•事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险•业务风险是指因市场或竞争环境出现预期以外的变化而引致损失的风险，所涉及的问题包括市场策略、客户管理、产品开发、销售渠道和定价等领域操作风险风险发生的可能性评分可能性说明5几乎肯定在未来12个月内，这项风险几乎肯定会出现至少1次4极可能在未来12个月，这项风险极可能出现1次3可能在未来2至10年内，这项风险可能出现1次2低在未来10至100年内，这项风险可能出现至少1次1极低这项风险出现的可能性极低，估计在100年内出现的可能性少于1次评分损失程度说明5灾难令企业失去继续运作的能力(或占税前利润达20%)4重大对于企业在争取完成其策略性计划和目标，造成重大影响(5-10%税前利润)3中等对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍(至5%税前利润)2轻微对于企业在争取完成其策略性计划和目标，只造成轻微影响(至1%税前利润)1近乎没有影响程度十分轻微风险对企业造成的影响评分有效性说明5极度过头处理方法能直接针对该项风险，但相信会令企业业绩“倒退”或成本过高4过头处理方法能直接针对该项风险，但由于需要投入大量资源或/及将其他资源转到处理该项风险上，会对企业的效率造成影响3适中处理方法有效针对该项风险，同时并不影响企业的效率2低效处理方法针对该项风险的效果不理想，或投入处理该风险的资源不充分或/及对投入的资源未有适当利用1近乎没有效果处理方法的效果十分低，可能是由于企业根本没有处理方法，又或处理手法不当风险处理方法的效果风险地图(或风险共同语言)影响程度近乎没有轻微中等重大灾难几乎肯定极可能可能低极低BCAGIDJKHEF可能性说明:A–人力资源风险B–财务风险C–竞争风险D–开发风险E–过度自信风险F–系统故障风险G–主要客户风险H–欺诈风险I–政治风险J–薪酬奖励风险K–科技风险风险处理策略影响程度可能性转移避免小心管理可接受大小高低第二道防线：风险管理单位防线第二道防线是在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括：•编制规章制度•对各业务单位的风险进行组合管理•度量风险和评估风险的界限•建立风险信息系统和预警系统、厘定关键风险指标•负责风险信息披露、沟通、协调员工培训和学习的工作•按风险与回报的分析，为各业务单位分配经济资本金“内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。内审通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标。”美国内部审计师协会第三道防线：内审单位防线第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题内部审计的定义：构建企业风险管理的关键成功要素1.股东确立对企业监督的机制，考虑是否需要在集团层面：•引入以董事会领导的管理体制•聘任有经验的外部董事，来加强对企业的监督•要求企业建立风险管理和内控系统，并对其运作及有效性作出定期的汇报2.管理高层的支持和参与•确立方向和目标•营造必要的环境•为平衡风险与回报作出战略性的决定风险回报风险与回报成正比？风险调整风险后的回报冒险程度–不够进取冒险程度–高危冒险程度–理想范围3.建立风险管理文化•风险管理的手段，必须融入日常的管理流程•通过讨论和培训，使风险管理的实施得到“全民”的支持•通过经验的分享，不断加强风险管理的认同性4.采用先进的风险管理的实施方法•借鉴如美国Treadway委员会所提出的COSO内控框架•采用各种识别和度量风险的先进的方法•采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务，构建信息管理系统和预警系统第三部分财务报告系统的内部控制财务报告系统的功能股东监管部门其他利益相关者分析和修正企业远景、战略和目标企业经营、管理和控制企业业绩的度量和报告财务报告系统财务信息披露和报告经常性业务交易非经常性业务交易资料和数据的处理目标：更自动化、更程序化、更规范化缩短编制时间、减少人为错误财务报告系统加强业务与财会人员之间的沟通了解会计准则的要求，减少个别主观人为判断财务报告系统管理财务报告系统和内部控制的关系财务报告系统是为企业内部管理提供信息和与外部利益相关者(如股东、监管机构)沟通的主要工具和媒介财务报告系统需要一个完善的内部控制环境，才能及时和有效地执行和发挥它应有的作用内部控制的作用内部控制的作用在于保证/保护：•信息（会计信息和经营信息）的可靠性和完整性•遵循政策、计划、程序、法律和法规•资产的安全•提高经营效益和效能•实现经营的目标和防止浪费资源内部控制不能：•将一个原本拙劣的管理体系改变成一个优良的管理体系•影响环境因素，如政府的法规和政策、竞争对手的行动或经济状况•保证企业的成功或不会面临倒闭的命运•杜绝员工或管理层舞弊和欺诈的行为美国索克斯法的主要规定及要求第404节(a)•要求企业在提交年报时(20-F)一并提交内部控制及财务报告程序的有效性管理报告。第404节(b)•要求审计师就管理层内控报告出具验证意见。SOA404生效日期：•美国本土上市公司：于2004年11月15日或以后的财务年度；•非美国本土上市公司：于2006年7月15日或以后的财务年度(此日期已再次延后)。SOA404法案总体要求SOA