中国企业内部控制与风险管理

中国企业内部控制与风险管理思考与实践中国神华能源股份有限公司张克慧财务总监2008年04月北京2内部控制与风险管理的一般性问题中国企业内部控制与风险管理特性问题以内部控制建设为基础的风险管理要点案例分析目录3一、企业风险的定义未来的不确定性对企业实现其经营目标的影响市场经济的活力来自于不确定性，来自于风险。风险既可能带来损失，也可能带来机会和收益。风险会使企业盈或亏，成功或失败,这需要看企业管理风险的能力。风险既取决于客观环境、内外资源约束，也取决于企业的战略选择和组织结构安排风险意识是企业家的第一素质。“企业家是一个经营冒险事业的组织者，是组织、拥有、管理并承担这一事业全部风险的人。”（经济学家韦伯斯特）风险管理是通过针对一系列不同层面风险的管理控制活动，将不确定性对公司发展的影响降低到最低程度。可能的实际行为目标行为情景分布时间经营指标0T4二、内部控制定义业务活动2业务单元A业务单元B业务活动1内部环境事项识别风险评估信息与沟通风险应对目标设定持续监控控制活动新增加的元素内部控制标准框架内部控制是风险管理不可分割的一部分，是风险管理的基础工作。COSO《内部控制－整合框架》：内部控制是由一个主体的董事会、管理当局和其他人员实施的，旨在针对实现以下类型的目标提供合理保证的一个过程：①经营的有效性和效率；②财务报告的可靠性；③符合适用的法律和法规。COSO把此整合框架归纳为五要素，即控制环境、风险评估、控制活动、信息与沟通、监督等。2004年9月COSO又提出了《企业风险管理－综合框架》，涵盖了内部控制整体框架的内容，在内控五要素基础上增加了目标设定、事项识别、风险应对，成为八大要素，同时增加了战略目标。5三、在人类历史的发展过程中，为了适应社会经济的发展，内部控制实践经历了不同的阶段1905～1936199719881949～19582005大小早期内控的范围和影响1.内部牵制阶段：保护现金和资产安全及账簿记录的准确性3.内部控制框架阶段：融入了控制环境及控制程序4.一体化控制阶段：形成COSO框架，增加了遵从性目标内控活动可以追溯到人类社会发展早期，例如古罗马采取的“双人记帐制度”和我国西周时的周礼审计制度趋势：全面风险管理–L.R.Dicksee提出内部牵制概念，AICPA接受–AICPA颁布《审计准则公告第55号》提出内部控制结构–AICPA发布了《审计准则公告第78号》，全面接受COSO报告的内容2.内部控制阶段：增加了管理控制以提高经营效率–AICPA首次提出内部控制的定义每个阶段并不意味着对前一阶段的否定,而是在其基础上的提升6经济周期是人类本性所导致的必然结果。当经济好的时候，人们对未来过于乐观，盲目扩张……——《华尔街昨天和今天》四、控制因人性弱点而存在利益驱动，使每个人都存在背离控制的动机。是否背离，取决于得失利害的权衡。如何控制，取决于成本——效益的平衡。有控制就有背离——人性使然，有背离就有纠正——社会行为。控制是对谋求利益过程中人的行为的制衡。业绩安全盈利发生舞弊的公司经常排序企业发展排序7控制为实现目标提供合理保证，引导约束人的行为按既定方向前进目标的实现过程受到未来的不确定性因素(风险)的影响。风险与目标如影随形，目标不同，伴随其实现过程的风险不同。人对风险的好恶及应对策略影响其行为轨迹,甚至偏离既定目标。就管理对完成既定目标而产生的重要风险而言，控制扮演着重要角色。五、控制是为达到一定目标而设立8企业面临着诸多风险，不同的控制方法是为特定事项的相关风险而设置•公司对待风险和收益关系的态度?•公司是否有足够的能力化解风险?•管理者能否有效监控风险?•资本投资方向正确吗?•资本是否得到有效配置以提高回报率风险与盈利的平衡六、控制针对一定范围的特定事项风险管理能力盈利能力9内部控制需外部控制推动,外部控制通过内部控制发生作用。外因是变化的条件，内因是变化的根据，外因通过内因而起作用。——毛泽东变化程度弱强文化控制七、控制的类型从控制主体看外部控制－他律内部控制－自律从控制效力看法律控制－强制行政控制－弱强制约定控制－非强制从控制方式看组织控制－结构性控制流程控制－状态性控制制度控制－功能性控制10内部控制的本质是自我调节，自我约束八、企业内部控制的本质企业内部控制的本质以外部控制为条件以特定目的为动因以降低风险为基础以成本与利益平衡为前提，是相对控制以多种方式为手段，因人而异11九、国资委站在出资人角度合规型内控符合政策法规•国家政策法规（萨班斯）•证监会行业规则（AS2）•证券交易所守则（上交所）管理型内控提高经营效率•内控和风险管理融入日常经营中•降低不确定因素对目标实现的影响•提高执行力全面风险管理增加股东价值•风险管理融入战略和目标制定中•通过风险管理增加利润，•优化内部资源分配和投资决策国资委《中央企业全面风险管理指引》的目标内部控制向风险管理的演进，不但要解决“正确地做事”，还要解决“做正确的事”12企业管理风险管理内部控制控制环境风险评估控制活动信息沟通持续监控目标设定风险应对各项经营管理活动，如战略管理、人力资源管理、财务管理、资产管理（风险管理应贯穿其中）内部审计外部审计事项识别作为出资人，国资委的全面风险指引正确地拓展到全面风险管理作为政府市场监管，萨班斯仅限于对企业财务报告方面的合规型内控香港联交所的管治常规守则虽已涉及了风险管理要求，但仍以合规为主十、内控与审计、风险管理和企业管理的关系13十一、内部控制与企业管理的关系国企的内控建设并不是另起炉灶，而是用先进的内控理念及方法、工具改造传统管理。管理：计划、组织、控制、协调（指挥）、监督。从管理学来讲，控制是管理的一项重要职能，控制存在于管理之中，贯穿于管理过程始终。当今内部控制已经超出了狭义的控制范畴，而是有一套完整的方法论，贯穿于经营管理的全过程，从计划到组织全过程体现出控制。控制活动，旨在用计划标准来衡量所取得的成果，并纠正发现的偏差，以保证计划目标的实现。控制职能，主要是把计划与决策连接起来，对工作进行测量，并把工作的信息资料反馈给决策层，供决策层了解原定计划的可行性程度，然后从实际出发，决定怎么办。14十二、内部控制与风险管理的关系传统风险管理主要体现在危机处理上,现代风险管理要求是超前预控。企业管理在风险问题上的三个层面划分就防范企业所面临的全部风险达到既防止出错又创造效益的目标来说，内控只是风险管理的一个组成部分，使风险防范机制更可靠。企业管理体系的控制有效性和可靠性常被称为内控体系的有效性和可靠性问题，则风险管理体系又只是内控体系的一个组成部分安全（风险底线）生存的基本条件发展的基本条件可持续的条件（风险控制）平衡创新（争取创造机会）15十三、建立控制体系中独立的监控机制保持独立性,才能保证监督的有效性。风险管理体系是企业管理决策（包括战略决策和运营决策等一切方面）的一个重要组成部分，也是运营执行过程的一个重要组成部分。只要不融入经营管理流程，风险管理体系就难以发挥作用。风险管理体系一旦融入管理体系，就有可能在一定程度上丧失对管理决策的制约作用。而这恰好是内控审计部门的用武之地。内控失败的案例都说明了在风险管理体系或内控体系中存在相对独立的监控机制的重要性。16内部控制与风险管理的一般性问题中国企业内部控制与风险管理特性问题以内部控制建设为基础的风险管理要点案例分析目录17一、中西方管理文化不同AB甲乙“二构成一”“一内涵二”学习西方先进的文化成果，摈弃中国文化中的糟粕，找到适合本土文化的控制方法。西方总是以个体的对立看事物，形成他们的“制衡思想”并发展为“经由谈判分出大小或是非，以便共同遵行的制衡行为”。他们把判断是非的结果确定为公是公非，称为“标准化”，同时为符合同一标准，于是确定为制度，大家一体遵守制度，叫做“制度化”对立固然存在，却也相辅相成，即对立又存在于统一，在管理上产生中国人“圆满重于是非”的人性化行为。中国人要求“把事情做好”而非止于“把事情做对”中国的管理行为，乃在：一切求合理，形成管理上“不明确”的“分寸”，增加了管理的难度。18二、管理行为模式不同把人与事的管理有机结合起来，建立以责任体系为基础，以行为规范为重点的风险管理模式中国企业尤其是国有企业，是通过管人来管事，通过管住“乌纱帽”来管理事务，评估指标往往是结果，以成败论英雄；责任和制衡关系不明确，集体决策、集体负责。美国自工业化以来，经过近200年的科学管理实践，标准化、规范化成为美国企业的管理基础，并形成一种管理化。美国的内部控制理论与实务,特别是萨班斯法案，正是根植于这一土壤。我国尚处于工业化进程中，许多企业没有真正的经过标准化管理的历练，过多强调管理的艺术性，而忽视管理科学性，呈现人为化、随意性特征，西方式内控必然水土不服。西方企业是通过流程来管事，以按规则把事情做对进行衡量，是一种过程控制。管理行为模式不同19三、缺乏良好的控制环境内部控制环境是内部控制是否有效的关键因素。缺乏绩效考核对内部控制与风险管理的引导机制法人治理结构不健全，内部控制的外部约束较弱公司治理结构中责任不到位高管层缺乏自主控制意识没有形成重视风险的控制文化20四、缺乏内部控制方法论内部控制的方法论应在行为管理学的理论基础上创新发展缺乏内部控制方法论缺乏理论指导，仅以最佳实践为参考，注重对事件本身的控制，而忽视对责任人的行为，尤其是高管层行为的控制没有完善的行权、职责、反馈、改进规范把内控看成一套制度，而不是过程，缺乏动态理念。21五、经验式管理经验式管理对管理的有效性和制度的适当性缺乏评价标准制度拟定部门从自身利益考虑，造成跨部门流程断裂或交叉缺乏定期反馈和修正机制缺乏系统的风险评估方法和工具对重要的职责与权限划分有较大的随意性，重权力划分，轻责任归属就风险管理而言，目前国企最缺乏的是制度化的风险评估以及科学的风险应对策略。22内部控制与风险管理的一般性问题中国企业内部控制与风险管理特性问题以内部控制建设为基础的风险管理要点案例分析目录23一、做好知识准备•内部控制是一套由董事会、管理层及其他人员来建立和执行，为实现企业目标提供合理保证的体系，通过它将实现：•经营效率或效果的提高•可靠的财务分析和报告•法律法规和制度的遵从内部控制的概念业务中的内控举例业务中的情景对应内控方面定期汇总和分析公司财务信息财务报告•及时性•准确性投资决策•可行性•收益性重点项目的投资决策按照政策法规要求进行管理和汇报合规经营•符合性24一、做好知识准备（续）一个过程，而非结果，内部控制是一个动态过程，因为企业经营环境和风险是变化的；由人来实施，是自上而下，人人参与，通过全员的言行来完成；应用于战略制订，考虑与战略相关的风险；贯穿于企业，在各个层级和单元应用于企业全部活动；旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；能够向一个主体的管理当局和董事会提供合理保证；力求实现一个或多个不同类型，但相互交叉的目标－它只是实现结果的一个手段，并非结果本身。定义内涵25二、立足监管环境，满足企业要求明确目的是企业内控建设成败的前提。监管要求:萨班斯法案：完全市场经济环境，成熟的投资者，重点监管财务信息，目的是保护资本市场秩序；解决航船遇险的真实披露问题。联交所《企业管治守则》：受英国影响，将商业监管体系建立在原则而非严格规定的基础上。监管范围：运营、财务、合规及风险管理，目的保护市场秩序；国资委《中央企业全面风险管理指引》：出资人角度，指导性，目的是保护企业安全。解决航船如何不遇险的问题。内控目标：财务内控，全面内控，要考虑重要性和成本效益原则。企业需要：一把手的目的和真实想法至关重要。26三、寻找合适的切入点，探索内部控制与风险管理体系建设有效路径内部控制是一个持续改进的过程，不可能一蹴而就，也不可能一劳永逸。阶段性成果比长时间没有结果好。围绕内控建设目标与管理模式、组织结构相适应首先考虑公司层面的风险控制从风险评估入手，抓住内控建设的主要问题27四、统一理论基础统一的理