《新型医学影像医疗器械公司治理与内部控制制度(参考).docx》由会员分享,可在线阅读,更多相关《新型医学影像医疗器械公司治理与内部控制制度(参考).docx(100页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、泓域/新型医学影像医疗器械公司治理与内部控制制度新型医学影像医疗器械公司治理与内部控制制度目录一、 公司简介3公司合并资产负债表主要数据4公司合并利润表主要数据4二、 家族治理模式的产生4三、 家族治理模式的评价7四、 公司治理的主体8五、 董事会模式10六、 内部控制目标的设定15七、 目标设定的含义18八、 风险分析方法的选择22九、 风险分析的定义和目的23十、 企业风险管理24十一、 内部控制33十二、 内部控制的重要性36十三、 内部控制的局限性39十四、 公司治理的定义42十五、 公司治理的特征48十六、 公司治理原则的内容51十七、 公司治理的框架57十八、 项目简介61十九、
2、产业环境分析66二十、 基本原则67二十一、 必要性分析68二十二、 SWOT分析69二十三、 项目风险分析78二十四、 项目风险对策80二十五、 法人治理结构81二十六、 发展规划92一、 公司简介(一)基本信息1、公司名称:xxx投资管理公司2、法定代表人:武xx3、注册资本:1120万元4、统一社会信用代码:xxxxxxxxxxxxx5、登记机关:xxx市场监督管理局6、成立日期:2015-2-107、营业期限:2015-2-10至无固定期限8、注册地址:xx市xx区xx(二)公司简介公司在发展中始终坚持以创新为源动力,不断投入巨资引入先进研发设备,更新思想观念,依托优秀的人才、完善的信
3、息、现代科技技术等优势,不断加大新产品的研发力度,以实现公司的永续经营和品牌发展。公司自成立以来,坚持“品牌化、规模化、专业化”的发展道路。以人为本,强调服务,一直秉承“追求客户最大满意度”的原则。多年来公司坚持不懈推进战略转型和管理变革,实现了企业持续、健康、快速发展。未来我司将继续以“客户第一,质量第一,信誉第一”为原则,在产品质量上精益求精,追求完美,对客户以诚相待,互动双赢。(三)公司主要财务数据公司合并资产负债表主要数据项目2020年12月2019年12月2018年12月资产总额7839.086271.265879.31负债总额3020.352416.282265.26股东权益合计4
4、818.733854.983614.05公司合并利润表主要数据项目2020年度2019年度2018年度营业收入21865.7417492.5916399.31营业利润5324.734259.783993.55利润总额4287.913430.333215.93净利润3215.932508.432315.47归属于母公司所有者的净利润3215.932508.432315.47二、 家族治理模式的产生理论界对于家族企业还没有准确定义。钱德勒定义为:企业创始者及其最亲密的合伙人和家族掌管大部分股权,他们与经理人员维持紧密的私人关系,且保留高层管理者主要的决策权,特别是在有关财务政策、资源分配和高层人员
5、选择方面。哈佛大学教授唐纳利认为,家族企业是指同一家族至少有两代参与这家公司的经营管理,并且两代衔接的结果使公司政策和家族利益与目标有相互影响的关系。席西民和赵增耀认为,家族企业是以血缘关系为基本纽带,以追求家族利益为首要目标,以实际控制权为基本手段,以亲情第一为首要原则以企业为组织形式的经济组织形式。家族企业作为世界上最具普遍意义的企业组织形态,在世界经济中有着举足轻重的地位,在全世界企业中占65%80%,主要存在于东亚的韩国、新加坡、马来西亚、印度尼西亚、菲律宾、泰国等地区,此模式也称为东亚家族治理模式。第二次世界大战结束后,随着西方殖民体系的崩溃,东亚国家相继摆脱了殖民统治,从20世纪5
6、0年代起纷纷走上了利用本国企业发展工业化的道路。由于缺乏成熟的资本市场,东亚各国没有经历资本原始积累过程,用于创建和发展企业的资金多是家庭成员内部积累而来。且部分企业发展历史也是由家族企业向公众企业发展的历史,而东亚地区公司主要是在第二次世界大战以后创立的,其发展只有几十年历史,因此以家族控制模式为主是企业发展到一定历史阶段的必然选择。这些国家也深受儒学思想影响,儒学在体制上强调中央集权和等级有序;在教化上强调以德治为主;在人际关系上强调“忠孝一致”,强调家族血亲的力量,以宗为本。这些思想在企业治理中也得到了体现:在企业中注重家庭的凝聚力、家长制和集权统一,重视企业权力在血缘关系中的传播,注重
7、员工的家庭化、亲善化管理,重视员工对企业的忠诚以及对长辈的孝顺,强调秩序重于自由。在东亚地区华人占了居民总数的相当部分,例如,在马来西亚约占30%,在泰国约占12%,在越南约占2%。面对西方殖民主义者及土著人的不公正对待,为了保守企业秘密维持企业发展,家族模式是最好的选择。因此东亚地区的家族治理模式的产生有其经济、历史、文化的必然性。 第二次世界大战后,在美国的援助下,韩国实施了以轻工业替代战略为核心的经济重建工作,私营家族企业进入了创业期。原日本统治时期的公营企业和日本人的私人企业,几乎全部以较低的价格出售给了企业家、军政人员和其他人员,许多家族企业因此而起家。随着西方殖民体系的崩溃,外国资
8、本逐步从东南亚国家退出,家族企业有了相对宽松的生存空间,通过购并、控股、参股形式,控制了过去被西方资本控制和垒断的行业,企业有了迅猛发展。20世纪80年代以来,东亚家族企业经营的产业层次不断提高,在越来越多的高新技术产业领域薪露头角,多元化经营范围进一步扩大。许多大型家族企业开始采用跨国公司战略,经营业务的国际化程度不断提高。这一时期,随着国内外合资、合作范围的扩大,上市公司数量的不断增多,华人家族企业公开化和社会化程度的不断提高,在家族成员仍然控制企业所有权的情况下,家族企业所有权出现了多元化格局:许多企业的领导权开始向第二代或第三代传递,来自家族外的高级经营管理专门人才开始大量进入企业,并
9、占据了部分高层管理职位。三、 家族治理模式的评价(一)家族治理模式的优势家族治理模式下大股东一般较为积极地参与公司的管理和决策,有利于管理者和所有者沟通协调。高度统一的所有权、控制权与经营权的家族治理结构,不仅使公司利益和个人利益趋于同步,实现双重激励和约束机制,而且还大大降低了内部的交易成本,可以最大限度地提高内部管理的效率,实现资源的优化配置。(二)家族治理模式的弊端1、所有权控制过于集中,容易产生家族股东“剥削”小股东利益现象在所有权与控制权分离的现代公司中,控制者获得的控制权达到一定临界点,就获得全面控制权,由于责任不对称和激励不兼容,控制者具有利用控制权获取私人利益的激励,从而损害小
10、股东利益。此外,家族模式下的公司治理缺乏透明度,为家族控股股东谋取私人利益创造了有利条件,损害小股东的利益。2、企业监督机制不能有效发挥首先,银行无法发挥监督作用,只是作为企业内部的一个企业或者政府控制下的贷款人。其次,东亚国家及有关地区资本市场处于发展初期,具有流动性低、交易不活跃、缺乏透明度、信息披露不充分的特点,因此,家庭企业外部股东无法获得准确的信息来做出相应的投资决定,保护自己的权益。3、家庭权力交接容易引起企业动荡一些家族企业的创业者在把企业领导权传递给第二代或第三代时,由于承接领导权的第二代人缺乏相应的专业知识和管理才能而引发企业分裂、解散和破产的风险。如韩国国际财团拥有20个系
11、列公司的世界性大企业突然倒闭,究其原因,其中比较重要的是,按其涉及的产业和经营活动的要求,国际财团应该由一批具有管理才能的高级经营专家组成,但该财团的领导核心却是由缺乏管理才能的家族成员所组成。四、 公司治理的主体公司治理的主体是指治理的控制权在谁手中,在公司治理涉及的各利益相关者(包括股东、债权人、供应商、雇员、政府等)中,究竟哪一方在整个流程中起主导地位。根据对这个问题的回答,可以将公司治理模式分为股东治理模式和利益相关者治理模式。(一)股东治理模式该治理模式的理论基础是:股东向企业投入了专用性资产,是企业风险的最终承担者,理应享受因经营发展带来的全部收益,因此公司治理的目标应是股东财富最
12、大化,股东应独享企业所有权。在这种股东至上的一元治理模式下,股份持有相对集中,大股东持有比例一般在50%以上:股票流动性差,持股的主要目的是控制公司;大股东掌握公司的控制权,公司所有权与公司控制权相统一。传统的公司法所体现的也是这种“股东大会中心主义”的模式,即股东大会享有公司的各种权力,董事会只享有法规和公司章程规定的有限权力,仅是股东大会决议的执行者和股东大会的附庸。(二)利益相关者治理模式随着现代企业制度的发展,公司中的利益相关者的地位和作用发生了明显的变化,此种治理模式开始出现。财务资本、知识资本等各种资本所有者在不断的博奔后,最终将通过参与企业的控制权和剩余分配权加入公司治理模式中。
13、当非股东方提供了对企业生存发展至关重要的关键性资源或提供了与股东提供的资源相当时,股东独大的局面就会发现变化,公司控制权将被分割,多方主体共同经营,继而产生了利益相关者共同治理的公司治理模式。这种治理模式又先后经历了股东、管理者共同治理,股东、管理者、员工共同治理,以及利益相关者共同治理三种模式。此种模式在德日两国较为常见。利益相关者治理模式与股东治理模式的根本区别在于谁拥有剩余企业控制权和剩余索取权。在英美,70%以上的企业经理人认为股东的利益是第一位的;而在法国、德国和日本,绝大多数企业经理人认为企业存在的最终目的是实现所有利益最大化。五、 董事会模式(一)组织结构模式西方的法律制度(包括
14、公司法在内)主要分为两大体系,即以欧洲大陆主要资本主义国家为代表的大陆法系和以英、美两国为代表的英美体系,因而作为公司治理机构的核心董事会也就出现了单层、双层和混合三大类型。1、单层董事会模式单层董事会模式也称一元模式,即董事会集执行职能和监管职能于一身,不设监事会,治理中的监督职能是通过独立董事制度来实现的。董事会和股东大会的关系是,股东大会选举董事会,选举董事,股东大会也可以解散董事会。董事会下设的专门委员会是为了更好地履行其决策与监督职能,而董事会下设的全部由外部独立董事组成的提名委员会、薪酬委员会、审计委员会等就是公司的监督机构,行使监督职能,如图41所示。同时,该治理机制通常包括内部
15、(或执行)董事和外部非执行董事以及一些次级委员会,其特点在于业务执行机构和监督机构并不分离,以英国、美国为代表的普通法系国家在公司治理结构上普遍采用单层董事会制度的模式。在这些国家中股权高度分散、市场机制比较发达,战略决策的制定在公司治理中显得尤为重要,董事会的执行职能得到极大的彰显。从全世界来看,单层董事会正成为一种主导模式,大陆法系的一些国家和地区也按照这种模式来完善本国本地区的公司治理结构。2、双层董事会模式双层董事会制度也叫二元模式,所谓“双层”是指公司设置董事会和监事会共同治理结构,而执行职能和监督职能是分开的,即董事会履行执行职能,监事会履行监督职能。董事会是公司股东和职工利益的代
16、表机构和公司经营的决策机构,监事会地位高于董事会,有权任免董事会成员,而董事会一般只是落实监事会决议,负责公司日常的经营管理。目前,以德国和日本为代表的大陆法系国家普遍采用双层制模式,但两者又有不同,又可以将双层制模式细分为垂直式和水平式。(1)垂直式双层制模式(如德国模式)。德国是典型地实行垂直式双层制模式的国家,其公司中一般设有监事会和董事会,监事会在上,董事会在下。监事会行使监督和控制的职能负责选任、解聘董事会的成员,考核和监督董事会的行为是否符合公司章程;对公司的经营战略及其他重大事项进行决策;在必要时召集股东大会等。董事会由监事会选任,负责公司的经营管理,并受监事会监督,需向监事会报
17、告和负责。(2)水平式双层制模式(如日本模式)。在日本通常实行的是水平式双层制模式,即监察人会和董事会是平行的,都对出资人和股东大会负责,如图43所示。日本的监察人会的主要职责是监督公司董事会及高级管理层的执行情况及对公司财务状况进行审计监督。监察人会则可以以决议的方式决定监督检查的方针、公司的业务以及调查财产状况的方法等与监察人执行职务有关的事项。在日本的双层制设计中,虽然监察人在监察人会有要求时,无论何时均必须向监察人会报告其执行职务的状况,但监察人会并不能妨碍监察人行使职权,各监察人具有相对独立的权力。在这种双层制的模式中,经理人是董事会的主要成员,对公司董事人选有重要的影响作用,实际上
18、由主要经理人员组成的常务委员会控制了董事会的运行与决策。在公司运行中,为了规避此种模式带来的风险,也设立了独立董事制度,他们具有独立监察业务、检查财务状况且不受监事会决议限制的权力。3、混合董事会模式公司既设董事会又设监事会,但是董事会和监事会都是由股东大会选出的。这种治理模式最早源于日本,后来亚洲的一些国家和地区也采取了这种模式。根据我国公司法的有关条款,我国的公司董事会应该属于混合董事会模式,既采用类似于董事会和监事会并行的水平式双层制模式,又突出强调普通法系独立董事制度下单层制模式。股东大会、董事会和管理层形成三权制衡的格局,经理层决策受股东大会、董事会和监事会的监督和约束。但这种模式下
19、监事会的作用很难发挥,从立法关系上来讲,监事会应该对股东大会负责,但是在实际的执行过程中,监事会等于是对董事会负责,不是对股东大会负责。综上所述,单层制和双层制都有一定的优缺点,有一定的适用性。双层制的优点是在控制和监督功能上,系统比较有效率。缺点是董事会和监事会与经理层会面的机会和频率较少,使董事和监事往往失去与企业接触的机会,远离公司实际业务,缺乏足够的信息履行自己的职能,而且执行监督的程序多,官僚气氛浓,客观上会阻碍证券市场的发展,降低市场自由度。而单层制系统中,采取了大量的措施来改进董事会,如增加大量的外部人,特别是独立董事,专门委员会主要由外部人组成;分离董事会和CEO的功能,或者任
20、命外部(或独立)董事为董事长。与双层制相比,其效率相应地降低。但随着全球化的进程和跨国公司的发展,这两种类型正在日益趋同。在一定程度上,单层董事会中的“双层水平”在明显增长,即专有的外部董事会会议定期召开,许多委员会由外部人组成或居主导地位;在一个双层委员会中,监事会增加了与经理层会面的频率;此外,一些在两种类型之外的委员会制度也发生了重要的变化。(二)功能机制模式董事会是由股东会选举产生的,由全体董事所组成的,行使公司经营管理权的,集体决定公司业务执行意志的机关。作为公司权力代表的董事会应该通过决策和监督职能最大限度地维护包括股东在内的公司所有利益相关者的利益。因此如何发挥董事会的作用,强化
21、董事会的职责和提高董事会的效率已成为公司治理机制的核心问题。NACD(全美董事联合会咨询委员会)认为公司治理的功能包括:确保公司的长期战略目标和计划被确立,为实现战略目标而建立适当的管理结构(组织、系统、人员),NACD根据功能将董事会分成4种类型。(1)底限董事会模式。这种类型的董事会仅仅为了满足法律上的程序要求而存在。(2)形式董事会模式。这种类型的董事会仅具有象征性或名义上的作用,是比较典型的橡皮图章机构。(3)监督董事会模式。这种类型的董事会有权检查计划、政策、战略的制订、执行情况,评价经理人员的业绩。(4)决策董事会模式。这种类型的董事会参与公司战略目标、计划的制订,并在授权经理人员
22、实施公司战略的时候按照自身的偏好进行干预。六、 内部控制目标的设定(一)制订战略目标企业的战略目标一般是稳定的,但与其相关的业务层面的目标具有动态性,会随着内部和外部的条件而调整。在企业风险管理目标的设计过程中,首先要确定企业层面的目标,即战略目标。战略目标需要通过董事会及员工的相互沟通后确定,同时还要有支持其实现的资金预算及战略计划。战略目标的制订需要经过如下5个阶段。(1)明确企业发展目标。企业在长期规划中应明确自身的发展目标和发展方向,通过培训、发放宣传手册、领导讲话等方式将企业层面的目标清晰地传达给员工。(2)制订实现目标的战略规划。企业通过SWOT分析,在了解自身的优势、劣势、机会和
23、威胁的基础上制订帮助企业实现目标的战略规划。(3)制订年度计划及资金预算。企业根据制订的中长期战略规划,编制年度经营计划。该年度经营计划应符合企业中长期战略规划的效益目标、投资方向和投资结构。(4)企业编制年度预算。企业应按照上下结合、分级编制、逐级汇总的原则编制全面预算,将战略目标进一步分解、细化与落实。(5)企业编制企业预算管理办法,明确编制预算的基本原则、内容、编制依据等。(二)确定业务层面目标业务层面目标包括合规目标、资产目标、报告目标和经营目标它来自企业战略目标及战略规划,并制约或促进企业战略目标的实现。业务层面的目标应具体并具有可衡量性,并且与重要业务流程密切相关。业务层面目标的制
24、订需要经过如下四个阶段。(1)设定业务层面目标。企业的总目标及战略目标规划为业务层面目标的设定指明了方向,业务层面根据自身的实际情况及总体目标的要求提出本单位的目标,通过上下不断沟通最终确定。(2)根据企业的发展变化,定期更新业务活动的目标。(3)配置资源以保证业务层面目标的顺利实现。企业在确定各业务单位的目标之后,将人、财、物等资源合理分配下去,以保证各业务单位有实现其目标的资源。(4)分解业务目标并下达。企业确定业务层面的目标后,再将其分解至各具体的业务活动中,明确相应岗位的目标。(三)合理确定风险承受能力为了合理地确定风险承受能力,在目标设定阶段,企业必须解决以下3个基本问题。(1)风险
25、偏好。风险偏好是指企业在实现其目标的过程中愿意接受的风险程度。可以采用定性和定量两种方法对风险偏好加以度量。风险偏好与企业的战略直接相关,在战略制定阶段,企业应进行风险管理,考虑将该战略的既定收益与企业的风险偏好结合起来,目的是帮助企业的管理者在不同的战略之间选择与企业的风险偏好相一致的战略。(2)风险容忍度。风险容忍度是指在企业目标实现的过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可容忍限度。企业风险管理(2016)将风险容忍度确定为可接受的绩效变动区间,该定义更加明确和可度量,有助于组织在给定绩效目标下量化可以承受的风险边界。(3)风险组合观。
26、风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施,以使企业所承受的风险在风险偏好的范围内。对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可以超过企业总体的风险偏好范围。因此,应以企业总体的风险组合的观点看待风险。七、 目标设定的含义我国内部控制基本规范第二十条规定,企业应当根据设定的控制目标,全面、系统、持续地收集相关信息,结合实际情况,及时进行风险评估。目标设定是风险识别、风险分析和风险应对的前提。在管理当局识别和分析风险并采取行动来管理风险之前,首先必须有目标,确定与目标相关的风险,目标设定是风险评估的前提。目标设定分为
27、三个层次,首先在企业既定的使命或愿景指导下,管理层制定企业的战略目标;其次根据战略目标制定业务层面的目标,并在企业内层层分解和落实;最后根据设定的目标合理确定企业整体风险承受能力和具体业务层次上可接受的风险水平。企业应当按照战略目标,设定相关的经营目标、财务报告目标、合规性目标与资产安全目标,并根据设定的目标合理确定企业整体风险承受能力和具体业务层次上的可接受的风险水平。1、战略目标战略目标反映了管理层就主体如何努力为其利益相关者创造价值所做出的选择,是高层次的目标,与其使命相关联并支撑其使命。企业在考虑实现战略目标的各种方案时,必须考虑与各种战略相伴的风险及其影响。战略目标方面的关注点主要包
28、括:(1)对企业绩效现状进行的评估(2)对内部和外部环境的监测分析;(3)战略目标体系(4)战略选择遵循必要的流程,以及获得了充分的讨论;(5)对目标实现与现有资源状况之间的匹配程度进行的评估;(6)设定战略目标可接受程度;(7)就战略目标与企业内部员工和外部相关利益集团之间的沟通。2、经营目标经营目标与企业经营的效率与效果有关,包括业绩和盈利目标的实现,需要反映企业运营所处的特定经营、行业和经济环境。经营目标来自公司的战略目标和战略计划,并与之紧密联系,是随着具体对象和不同时段制订的,这些目标应针对每个重要业务活动并与其他业务活动保持一致。经营目标方面的关注点主要包括以下几点:(1)经营目标
29、与公司战略目标及战略计划一致;(2)经营目标适应公司所处的特定经营环境、行业和经济环境等;(3)各个业务活动目标之间保持一致;(4)所有重要业务流程与业务活动目标相关;(5)适当的资源及有效配置(6)管理层制定的公司经营目标及其对目标的负责程度。3、报告目标报告目标与财务报告及其相关信息的真实完整有关。可靠的报告能够为管理层提供适合其既定目标的准确而完整的信息,支持管理层的决策,并对主体活动和业绩实施有效监控。报告目标方面的关注点主要包括以下几点:(1)管理层决策及对公司活动、业绩监控的准确、及时、完整的信息的对内报告;(2)满足投资者、监管部门及其他相关信息需求者真实、可靠、完整的信息的对外
30、报告;(3)反映信息的全面性,包括财务信息与非财务信息。4、资产安全目标资产安全目标是内部控制的基本目标,包括:防止企业无效率经营,损失资产;防止员工舞弊;防止公司资产被盗等。资产的安全与完整对于我国企业尤其是国有企业具有非常重要的现实意义,近年来国有资产流失的案件屡有发生,内部控制应该把资产安全作为一个重要的目标来加以实现。资产安全目标方面的关注点主要包括以下几点:(1)关注企业日常经营活动的效率;(2)提高企业的生产力和竞争力;(3)防止资产缩水;(4)关注资产使用及处置的授权情况。5、合规目标合规目标与企业各项活动的合法性有关。企业进行内部控制建设必须符合相关的法律和法规。企业需要根据相
31、关的法律法规制定最低的行为标准并作为企业的遵循目标,企业的合规记录可能对它在社会上的声誉产生极大的正面或负面影响。合规目标方面的关注点主要包括:公司的各项活动符合法律法规的要求,通常涉及知识产权、市场、价格、税收、环境、员工福利以及国际贸易等。八、 风险分析方法的选择选择风险分析的方法和判断标准,应考虑行业自身特点,区别它们各自的关注点,灵活确定风险分析过程和分析方法。例如,对于金融行业来说,丢失数据风险的损失比短时间业务停顿的风险所带来的损失更为严重:而对于通信行业来说,业务停顿风险带来的损失比少量数据丢失的风险更难以接受。与定量分析相比较,定性分析的准确性稍好但精确性不够,定量分析则相反;
32、定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力;定量分析依赖大量的统计数据,而定性分析没有这方面的要求;定性分析较为主观,定量分析基于客观;此外,定量分析的结果很直观,容易理解,而定性分析的结果则很难有统一的解释。企业可以根据自身的具体情况来选择定性或定量的分析方法。当前最常用的分析方法一般都是定量和定性的混合方法,对一些可以明确赋予数值的要素直接赋予数值,对难于赋值的要素使用定性方法,这样不仅更清晰地分析了资产的风险情况,也极大简化了分析的过程,加快了分析进度。九、 风险分析的定义和目的我国企业内部控制基本规范第二十四条规定:企业应当采用定性定量相结合的方法,按照
33、风险发生的可能性及影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。企业进行风险分析应当充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断,并确定风险重要性水平的过程。管理层根据被识别的风险的重要性来计划如何应对风险。风险分析应达到以下目的:(1)对各个风险进行比较,根据分析风险的不确定性和后果,确定风险的先后顺序;(2)确定风险事件之间的关系,表面上看起来不相干的多个风险事件可能是由一个共同的风险源所造成的,因此应当理顺风险事件之间的关系;(3)进一步量化
34、已识别风险的发生概率和后果,减少风险发生概率和后果估计的不确定性,必要时根据形势的变化重新评估风险发生的概率和可能的后果。十、 企业风险管理(一)企业风险管理(2004)架构1、基本框架2004年,COSO为企业风险管理确立了一个可普遍接受的定义,该定义融入众多观点并达成共识,为各组织识别风险和加强对风险的管理提供了坚实的理论基础,即企业风险管理是一个受企业董事会、管理层和其他人士影响的过程,运用于制订战略之中,并且贯穿整个企业,用以识别可能影响该企业的潜在事项,并且将风险控制在风险偏好的范围之内,为达到实体目标提供合理的保证。企业风险管理(2004)框架的主要贡献就在于,其重新界定了风险管理
35、,即由目标、要素和组织三个维度组成的有机整体。第一维度为企业的目标,即战略目标、经营目标、报告目标和合规目标。在主体既定的使命或愿景范围内,管理当局制订战略目标、选择战略,并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的战略目标、经营目标、报告目标和合规目标。战略目标与高层目标相关,和企业使命相一致,企业所有的经营管理活动必须长期有效地支持该使命。经营目标与企业运营的效果和效率相关,包括业绩和利润目标,运营变化以管理当局对结构和业绩的选择为基础,旨在使企业能够高效地使用资源。报告目标与组织报告可靠性相关,包括对内报告和对外报告,涉及财务和非财务信息。合规目标层次较低,也是最基础
36、的目标,与组织遵循相关法律法规有关。第二维度为构成要素,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。第三维度组织是企业的层级,包括主体层次、分部、业务单元及子公司。三个维度的关系是,全面风险管理的八个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理。2、构成要素第二维度企业风险管理包含八个相互关联的要素。它们来源于管理当局经营企业的方式,并与管理过程整合在一起。这些构成要素的含义如下。内部环境内部环境包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德
37、价值观,以及他们所处的经营环境。目标设定必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。事项识别必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。风险评估一通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对管理当局选择风险应对回避、承受、降低或者分担风险采取一系列行动以便把风险控制在主体的风险容忍度和风险容量以内。控制活动一制订和执行政策与程序以帮助确保风
38、险应对得以有效实施。信息与沟通一一相关的信息以确保员工履行其职责的方式和时机,能被识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。监控对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程,在这个过程中几乎每一个构成要素都会影响其他构成要素。3、企业风险管理(2004)框架面临的问题企业风险管理(2004)框架在对企业风险管理进行定义时所强调的最重要也是最独具一格的一点是“贯穿整个企业,应用于战略制定中
39、”。而这一点在实践中却被误读,甚至被无视。COSO最初在编制ERM框架时采用了类似于内部控制框架所使用的立方体。虽然COSO对立方体右侧的内容进行了修改,删除了有关活动和流程,改为侧重于范围更广的实体和运营单位及分支机构,但许多企业依然试图在过于细微的层面实施该框架,例如运用于流程层面而非战略制定。许多组织机构将企业风险管理作为一种保证活动来实施,而不是将其视为一种更佳的企业管理方式,从而失去了治理效果。2008年金融危机以及2011年的日本海啸所引发的经济大萧条,“黑天鹅”“大变脸”事件频频爆发,ERM有关问题和价值的主张便开始明朗起来,令许多企业进入危机应对模式,企业风险管理的实施也因此受
40、到企业特别是C级高管的真正重视。6月24日,COSO委员会发布企业风险管理:风险与战略和绩效的协调,以向公众征求意见,截止日期为2016年9月30日。(二)企业风险管理(2016)框架的内容相对于企业风险管理(2004)框架,新版企业风险管理(风险与战略和绩效的协调)(2016)使用了构成元素加原则的结构,包括5个构成元素,细分为23条原则,2013年COSO组织更新了企业内部控制框架的部分内容,在文章的整体结构上就是采用的这种结构新的结构加强了新框架的可读性、可用性和一致性。新版ERM框架的五要素和23个原则。新版框架对ERM的定义为:组织在创造、保存、实现价值的过程中赖以进行风险管理的,与
41、战略制订和实施相结合的文化、能力和实践。可以看到,新版框架简化了ERM的定义以方便阅读和记忆。新定义方便的是所有读者的理解,而不只是风险管理从业者。新定义包括文化和能力而不只是过程,更加强调风险与价值的相结合,突出价值创造而不只是防止损失,这样也避免了和内部控制定义的界限不清。新版框架中,ERM被视为战略制定的重要组成和识别机遇、创造和保留价值的必要部分。新版框架中ERM不再是主体的一个额外的或是单独的活动,而是融入主体的战略和运营当中的有机部分。新版框架注意到了自旧版框架发布以来,组织在实践ERM过程中遇到的一些问题,包括对风险管理工作的定位,风险管理工作的范围和目标等,新版框架定义了风险管
42、理工作的高度,包括:战略和业务目标与使命、愿景和价值观不匹配的可能性;选定的战略所隐含的意义;执行战略过程中的风险。1、风险治理和文化风险治理和文化构成了ERM所有其他部分的基础。风险治理定下主体的基本基调,加强ERM的重要性并确立ERM的监管责任的分配;文化则是主体的价值观、行为准则和对风险的理解。(1)实现董事会对风险的监督。董事会对主体的风险监督负有首要责任。(2)建立治理和运作模式。在明确的责任分配下,组织应该建立完整的运营模式和汇报体系。(3)定义期望的组织行为。董事会和管理层通过定义其期望的行为将组织核心价值和对风险的态度具体化。(4)展现对诚实和道德的承诺。组织制定基调,建立员工
43、行为准则并对偏离准则的行为做出回应。(5)加强问责。组织确保各个层级的个体在风险管理方面的职责明确,并确保其自身在提供准则和指导方面的职责明确。(6)吸引、发展并留住优秀的个体。致力于根据战略和业务目标构筑人力资本,管理层通过在不同层面建立人力资源管理体系来吸引、培训、指导人才,评价和留住人才。2、风险、战略和目标设定ERM通过制订战略和业务目标的过程与主体的战略计划融合在一起。通过对商业环境的理解,组织可以得到对内在和外在因素的看法以及它们对风险的影响。组织在战略制订中确定其风险偏好,而业务目标使得战略得以实践并形成主体日常的运营。(1)考虑风险和业务环境。组织考虑业务环境对风险图谱的潜在影
44、响;组织要理解业务环境,考虑内部和外部的环境和不同的利益相关者。(2)定义风险偏好。组织在创造、保存和实现价值的过程中定义风险偏好。(3)评估可供选择的战略。组织评估可替代的战略和对风险状况的影响。(4)建立业务目标的同时考虑风险。组织建立不同层次的业务目标以制定和支持战略的同时考虑风险。(5)定义可接受的绩效浮动区间。可接受的绩效浮动也可以理解为风险容忍度。3、执行中的风险组织识别并评估可能影响其实现战略和业务目标的风险,结合企业的风险偏好,对风险按照其严重程度排分优先次序,组织选择风险应对的方法并对绩效进行监控以做出调整。这样,企业对追求战略和业务目标时所面临的风险量建立起一个组合的观念。
45、(1)识别执行中的风险。组织识别执行过程中影响业务目标实现的风险。(2)评估风险的严重程度。风险评估的重要工具是风险热力图,热力图从风险发生的可能性和影响程度两方面对风险进行评级。风险评价要从固有风险、目标剩余风险和实际剩余风险三个层级进行。(3)区分风险的优先次序。组织结合风险偏好,选定对风险排分优先等级的标准,然后对所有识别的风险进行排分。(4)识别并选择风险响应。这些控制活动在内部控制一整合框架中已经介绍。(5)评估执行中的风险。组织需要对绩效进行监测,如果绩效的浮动区间超出了可以接受的范围,则可能需要重新考虑业务目标或战略;调整目标绩效,重新进行风险评估;重新进行风险优先级的排序;重新
46、制定风险应对措施;重新确立风险偏好。(6)建立风险的组合观。管理层需要从组织整体角度考虑风险,将组织风险作为一个整体去和实现绩效目标所需要承受的风险进行对比,而不是将其视为一个个单独的、分散的风险。4、风险信息、沟通和报告沟通是在主体中不断迭代地取得并分享信息的过程。管理层利用从内部和外部取得的有效信息来支持企业风险管理工作,组织利用信息系统来捕捉、处理和管理数据和信息。通过利用应用于所有组成部分的信息,组织就风险、文化和绩效做出报告。(1)使用相关信息。组织利用支持企业风险管理的信息,首先考虑有哪些可用的信息来源,然后衡量取得这些信息的成本,最终确定需要哪些信息来源。(2)利用信息系统。信息
47、系统可以是正式的或者是非正式的。(3)沟通风险信息。沟通的对象既包括内部的员工,也包括董事会、股东及其他外部的利益相关者。沟通方法可以是电子信息、外部/第三方材料、非正式/口头、公共活动、培训和研讨会、内部文件。(4)对风险、文化和绩效进行报告。组织在各个层级对风险、文化和绩效做出报告。5、监控风险管理效果通过监控风险管理(ERM)的效果,组织可以判断ERM的各组成部分的长期运作是否良好并获知有哪些实质性的变化。(1)对重大变化进行监控。组织识别和评估可能对战略和业务目标的达成造成实质性影响的内部和外部变化。造成这些实质性影响的变化可能来自内部的原因,如快速成长、新技术或者管理层及其他人事变动;可能来自外部环境,例如法规和经济环境的变化;还可能来自组织文化方面,例如并购和重组带来的文化冲击。(2)对ERM进行监控。组织应监控ERM的效果并随时准备对其进行效率上和实用性上的改善,组织同样要明确未来理想中的ERM状态,做到持续改进。十一、 内部控制20世纪初期建立起来的内部牵制制度虽然对企业管理起到很大的作用,但随着经济的不断发展、企业规模的扩大以及对企业管理要求的逐步提高,它的不完善之处也逐渐暴露出来。尤其是20世纪30年代全球性经济危机暴露出的会计失真、经济秩序混乱等问题,引起各国政府和企业的高度重视和深刻反思。(一)国外对内控概念的界定明确的内控概念的提出约有70年
限制150内