贾虎--风险管理与内部控制

1-1-企业风险管理与内部控制企业风险管理与内部控制主讲:贾虎老师介绍：贾虎，华南理工大学管理学(投融资)博士，中国执业注册会计师。曾任会计师事务所合伙人及供职于知名上市公司。具有近二十年的财务和税务工作和咨询经历,在为众多客户提供专业服务的过程中，取得了良好的效果。在公司改制上市、收购兼并、成本控制、税务筹划等领域有深刻的理解、研究及实践。同时担任国际会计师(AIA)公会、清华大学深圳研究院、浙江大学、中山大学、暨南大学、华中科技大学、对外经济贸易大学等高校特聘老师。　2-3-　服务客户：浙江大学企业总裁班、中山大学财务总监班、暨南大学大学总裁班、广东省国资委、中国移动、中国电信、中国银行、中国联通、中通服、南方电网、工商银行、建设银行、招商银行、深圳华为、珠江实业、民生银行、南方报业集团、美的电器、世纪证券、中国燃气、深赤湾、广州港、格力电器、许继电器、格兰仕、华润电力、海信科龙、比亚迪、佛山地税局、中山国税局、云南烟草、南宁糖业、广电运通、广铁集团、广州信源集团、广州海大集团、中烟集团、深业集团、白云机场、深圳地铁、广州日立、一致药业、三一重工、粤电集团、长大公路、工信部五所、十四所、松下电器、欧普照明、欧派橱柜、杭萧钢构等数百家企业。-4-企业风险管理与内部控制企业风险管理概述如何建立有效的内部控制企业财务预警体系企业资金活动的风险管控企业采购活动的风险管控企业销售活动的风险管理企业资产管理的风险管控企业内部审计与内控评价3-5-一企业风险管理概述-6-“求木之长者，必固其本；欲流之远者，必浚其泉源；思国之安者，必积其德义。••••••不念居安思危，戒奢以俭，斯亦伐根以求木茂，塞源而欲流长也。”魏徵【谏太宗十思疏】4-7-一什么是风险企业风险的定义：在企业生产经营过程中，由于各种事先无法预料的不确定性因素的影响，使企业的实际财务结果和状况与预期发生一定的偏差，从而有蒙受损失或获取额外收益的机会或可能性.风险的特性:客观性、相对性、可预测性、关联性-8-近年来部分风险管理失败案例　　英国巴林银行、安然、世通、中航油、顺驰地产、中信泰富、雷曼兄弟、四川长虹、南方航空、新疆德隆、三九集团、中国平安、三鹿奶粉、中铁建、江龙集团、无锡尚德、兖州煤业、光大证券…591.熟悉企业本身的业务与相关风险•切记：避免制定不切实际的目标或盲目扩展投资，使企业承受无谓的风险2.建立内控和相互制衡的机制•切记：权力过分集中就会出现腐败的情况3.紧盯着现金•所有犯案、挪用公款和偷窃行为均与现金有关•常言：“会计数字只是参考意见，现金才真正令你感到踏实。”我们可以从上述案例中吸取什么教训？104.合理制定绩效评估与激励机制•“如果你发现精明的员工做出蠢事，你应意识到这可能是因为他们受到公司的绩效与激励机制的诱导而产生的结果。”5.建立规范和健全的财务报告系统•财务报告系统必须有能力为企业提供及时、准确和具高分析性的财务资料，以帮助管理层管理业务和赢取股东的信心6.深化企业风险管理文化•要建立健康的企业文化及价值观•加强培训和沟通6-11-读读《华为的冬天》！“十年来我天天思考的都是失败，对成功视而不见，也没有什么荣誉感、自豪感，而是危机感。也许是这样才存活了十年。我们大家要一起来想，怎样才能活下去，也许才能存活得久一些。失败这一天是一定会到来，大家要准备迎接，这是我从不动摇的看法，这是历史规律。”“华为的危机，以及萎缩、破产是一定会到来的。”——任正非-12-二企业风险管理的程序风险的发现和识别对风险的分析和评估确定相应风险应对策略风险管理的执行和评价7-13-1、风险的发现与识别战略风险（投资风险、政策风险、国际化经营风险、战略管理风险、宏观经济风险、产业结构风险、企业文化风险…）市场风险（竞争风险、价格风险、客户风险、汇率利率风险…)运营风险(产品风险、人力资源风险、资产管理风险、信息系统风险、研发风险、健康安全环保风险、生产管理风险…)财务风险(现金流风险、会计报表风险、担保风险、税务管理风险、关联交易风险…)法律风险(合同管理风险、合规风险、知识产权风险、法律纠纷风险…)风险识别的方法•头脑风暴法•问卷调查法•案例分析法•外部专家法•行业分析法•流程分析法•财务报表分析法风险风险识别识别8-15-风险信息数据库的构建编码分类要素属性定位123456789101112编码一级风险大类名称二级风险分类名称风险事件描述关键词风险来源(访谈、辩识、行业库）风险类型(内部、外部)风险范围(公有,局部)主责部门辅责部门所涉及一级工作流程所涉及二级工作流程………………………………2、对风险的分析和评估-16-风险发生的可能性—评估标准可能性评分12345定量方法10%以下10%-30%30%-70%70%-90%90%以上定性方法描述极低低中等高极高　一般情况下不会发生在极少的情况下才会发生会在某些情况下发生在较多情况下发生常常会发生在之后10年内发生的可能少于一次在之后5-10年内发生的可能发生一次在之后2-5年内发生的可能发生一次在之后1年内发生的可能发生一次在之后1年内至少发生一次9-17-标准财务声誉（诚信/责任）运营法律/规章客户员工主要指标税后净利润和现金流的不利影响声誉的影响范围和恢复程度业务能力的损失，经营目标的实现程度违法程度和罚款金额客户关系的损害程度员工态度、能力和数量的影响高1、造成年净利润减少**万元级以上。2、对现金流产生不利影响（现金收入减少或者现金支出增加）大于等于**万元1、负面消息影响了上市公司以外的其他业务板块，导致政府部门或监管机构的高度关注或开展调查，或者引起公众媒体极大关注并呼吁采取行动。2、对企业声誉乃至企业的品牌造成重大损害，需要一年以上时间恢复声誉。1、重大业务的失误，情况失控并给企业存亡带来重大影响2、受风险影响的部门/单位无法达成其所有重要的关键营运目标或业绩指标3、造成普遍的业务/服务中断且恢复时间需要超过一年1、严重违反法规，导致监督机构的调查，重大的起诉或非常严重的集体诉讼，罚款金额到**万元及以上2、重大的商业纠纷、民事诉讼或索赔损失大于等于**万元1、严重损害和大客户或潜在大客户主要领导的关系2、在客户关系上形成普遍的负面评价，严重威胁到未来客户关系的成长3、高投诉率或失去重大客户或潜在客户1、严重损害整体员工的工作积极性，将引发大规模罢工，或导致企业文化、企业凝聚力遭受严重破坏2、核心专业团队和管理层20%以上的流失，或30%以上普通员工集体流失风险发生后对目标的影响程度--评估标准-18-标准财务声誉（诚信/责任）运营法律/规章客户员工中1、造成年净利润减少**万元至**万元之间3、对现金流产生不利影响（现金收入减少或者现金支出增加）介于**万元至**万元之间1、负面消息影响在行业内部流传，或者被地方媒体报道或关注。2、对企业声誉造成一定损害，需要大于3个月且小于一年时间恢复声誉。1、受风险影响的部门/单位较难达成其部分的关键营运目标或业绩指标2、企业日常业务受到一定影响，造成个别业务/服务中断但恢复时间小于3个月1、违反法规，导致监督机构的调查和诉讼，罚款金额介于**万元至**万元之间2、商业纠纷、民事诉讼或索赔损失金额介于**万元至**万元之间1、损害和一般客户管理层的关系2、对客户关系产生了一定程度的负面影响3、收到一定数量的投诉，失去了有一定业务量的客户或潜在客户1、损害多数员工的工作积极性并影响其工作效率，对企业文化、企业凝聚力产生某些不不利影响2、核心专业团队和管理层1%以上10%以下的流失，或5%以上20%以下普通员工集体流失低1、造成年度税后净利润减少少于**万元2、对现金流产生不利影响小于**万元企业声誉基本没有受损或媒体的关注能够迅速控制对运营影响微弱，未导致服务/业务中断可能存在轻微的违反法规的问题，以口头警告为主，基本不需要支付罚款1、对客户关系的影响很小或仅对个别客户的非关键人员产生孤立的影响2、投诉及补救费用可忽略不计3、对客户基础没有影响，对销售收入和合同金额也没有什么影响对员工积极性、人员流失以及员工能力方面产生很小的影响注：此表仅列示了三个维度，企业可以参照上述维度的描述去完成较高、较低维度的标准。10企业风险度量－风险图法说明1:1–风险点12–风险点23–风险点34–风险点45–风险点56–风险点67–风险点78–风险点89–风险点9影响程度近乎没有轻微中等重大灾难几乎肯定极可能可能低极低可能性123459687B区域A区域C区域说明2:确保A区域中的各项风险防范措施优选安排。严格控制B区域中的各项风险，应专门补充制定各项控制措施。C区域中的各项风险不再增加控制措施3、确定相应的风险应对策略风险偏好风险承受度风险预警线风险应对策略接受转移分担控制可能性影响程度关闭停业风险承受风险分担风险降低可能性影响程度风险规避优化流程内部控制财产保险计提准备动态预警关闭停产资产出售业务外包套期保值11-21-4、企业风险管理的执行和评价制定具体的风险管理计划，企业内部、外部有关部门通力合作，贯彻执行企业风险管理决策。及时对风险管理的实施进行检查分析，看是否遗漏风险因素，决策是否合理，采用措施是否恰当，环境变化是否产生了新的风险因素。根据检查情况总结经验教训，及时补充风险管理计划，以利于下一步风险管理的推行。-22-四国资委《指引》的研究思路问题：企业面对越来越多的不确定性，风险随处可见能否实现风险的全面动态管理和企业价值可持续增长？最终目的：解决企业价值追求与控制风险能否兼顾的问题战略风险市场风险研究内容：风险、杠杆、决策、公司治理、内控机制设计策略：流程、文化、结构。企业围绕总体经营目标，通过在管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系（风险管理策略、风险理财措施、风险管理组织职能体系、风险管理信息系统和内部控制系统），为实现风险管理的总体目标提供保证支持。财务风险运营风险法律风险道德风险，突发事件与危机12-23-企业全面风险管理框架•一个基础——公司治理；•三道防线；一个平台（信息平台）管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会24一个基础：公司治理结构公司治理结构，就是基于公司所有权与控制权分离而形成的公司所有者、董事会和高级经理人员及公司相关利益者之间的一种权力和利益分配与制衡关系的制度安排它是风险管理的一个必要组成部分，它提供了对风险自上而下的监控与管理公司治理涉及到公司的绩效表现，关系到一家公司如何得到有效管理，从而能够发挥最佳的绩效还涉及到责任的问题，关系到董事会和管理层如何向股东负责，而使股东从公司的绩效中获得收益1325如何构建有利于风险管理的公司治理结构（一）从选择机制入手,提高董事、监事及经理层人员的独立性和职业素养,促使其实现社会化、知识化和职业（二）从评价与激励机制入手,使董事、监事与经理层人员能够确实履行勤勉尽责、诚实信用的义务。（三）从议事机制入手,形成股东大会、董事会、监事会及经理层之间职责分明、相互制衡的权力运作体系。 （四）从信息披露机制入手,促使公司进行持续、规范的信息披露。26第一道防线：业务单位防线业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线，直接地接触外部的风险。同时对风险最敏感，能够及时发现潜在的风险企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线1427第二道防线是在业务部门之上设立一个风险管理的专业职能组织，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会、价格管理委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括：•编制规章制度•对各业务单位的风险进行组合管理•度量风险和评估风险的界限•建立风险信息系统和预警系统、厘定关键风险指标•负责风险信息披露、沟通、协调员工培训和学习的工作•按风险与回报的分析，为各业务单位分配