《环境友好非织造布公司治理与内部控制分析.docx》由会员分享,可在线阅读,更多相关《环境友好非织造布公司治理与内部控制分析.docx(81页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、泓域/环境友好非织造布公司治理与内部控制分析环境友好非织造布公司治理与内部控制分析目录一、 公司概况3公司合并资产负债表主要数据3公司合并利润表主要数据3二、 风险应对策略4三、 风险应对概述14四、 风险的分类和评估15五、 风险的概念及其分类17六、 风险识别的方法19七、 风险识别的概念和内容25八、 内部环境如何发挥作用28九、 有效内部环境的属性28十、 企业风险管理框架:内部环境的成熟32十一、 我国的借鉴与创新34十二、 控制手段类业务流程35十三、 控制活动类业务流程42十四、 绩效考评控制57十五、 合同控制59十六、 控制活动的基本原理61十七、 内部控制的种类63十八、
2、项目基本情况67十九、 项目风险分析71二十、 项目风险对策74二十一、 人力资源配置75劳动定员一览表76二十二、 发展规划分析77一、 公司概况(一)公司基本信息1、公司名称:xx投资管理公司2、法定代表人:卢xx3、注册资本:1340万元4、统一社会信用代码:xxxxxxxxxxxxx5、登记机关:xxx市场监督管理局6、成立日期:2015-8-47、营业期限:2015-8-4至无固定期限8、注册地址:xx市xx区xx(二)公司主要财务数据公司合并资产负债表主要数据项目2020年12月2019年12月2018年12月资产总额17720.6614176.5313290.49负债总额5374
3、.464299.574030.85股东权益合计12346.209876.969259.65公司合并利润表主要数据项目2020年度2019年度2018年度营业收入56043.7644835.0142032.82营业利润11629.529303.628722.14利润总额10304.698243.757728.52净利润7728.526028.255564.53归属于母公司所有者的净利润7728.526028.255564.53二、 风险应对策略风险应对的策略有风险规避、风险降低、风险分担和风险承受4类。(一)风险规避风险规避是指企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以
4、避免和减轻损失的策略。风险规避是各种风险管理技术中最简单、最为消极的一种。例如,一个经销家庭日用品的企业在其经销的产品有导致小儿麻痹症的情况出现时,决定终止这种经销活动,以免引致产品责任索赔案。企业通过中断风险源,将避免可能产生的潜在损失或不确定性,但企业同时失去了从风险源中获得收益的可能性。企业在采用规避方法来处理风险时必须考虑以下几个方面的因素。第一,风险要想真正避免也许不可能。对企业而言,有些基本风险如世界性的经济危机、能源危机等难以避免。第二,风险得以避免在经济上也许不适当。对某些风险即使可以避免,但就经济效益而言也许不合适。在成本和效益的比较分析下,如果企业避免风险所花费的成本高于避
5、免风险所产生的经济效益时,仍然采取避免风险的方法,经济上可谓不适当。第三,风险规避使企业失去了从中获益的可能性。第四,避免了某一风险可能产生另外新的风险,新风险产生的可能性和危害程度可能更甚于先前的风险。1、风险规避的适用范围当企业面临下列两种情况时最适合采用风险规避策略:某种特定风险导致的发生概率和产生损失程度相当大;应用其他风险处理技术的成本超过其产生的收益,采取风险规避法可以使企业所受损失为零。2、风险规避的方式(1)完全放弃,是指企业拒绝承担这种风险,根本不从事可能产生某些特定风险的活动。(2)中途放弃,是指企业在项目进行的过程中终止承担某种风险。例如,公司研发一种新产品,在市场上试销
6、后发现市场前景惨淡,于是中途停止这种产品的生产与上市,防止产生更大的新产品的开发风险。这种风险规避通常与环境的较大变化和风险因素的变动有关。由于发生了新的不利情况,经权衡后,认为得不偿失,故而放弃。(3)改变条件,是指改变生产活动的性质,改变生产流程或是工作方法等。其中,生产性质的改变属于根本的变化。简单的风险规避是一种最消极的风险处理办法,因为投资主体在放弃风险行为的同时,往往也放弃了潜在的目标收益。所以一般只有在以下情况才会采用这种方法:投资主体对风险极端厌恶;存在可实现同样目标的其他方案,其风险更低;投资主体无能力消除或转移风险;投资主体无能力承担该风险或承担风险得不到足够的补偿。(二)
7、风险降低风险降低是企业在权衡成本效益后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。风险降低的目的是要降低风险发生的概率,或者减少风险造成的损失,或者两者兼而有之。风险降低可以积极改善风险的特性,使其能为企业所接受,而又使企业不丧失获利的机会。风险降低的方法一般与控制措施相衔接,包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制和合同控制等。降低风险主要通过两种途径实现:风险预防和减少风险。其中,风险预防即采取各种措施防止风险事件的发生,做到事先防范,也就是消除或减少风险因素,以便降低损失发生的概率。企业实行
8、风险降低策略应符合成本效益原则。预防风险涉及一个现时成本与潜在损失比较的问题:若潜在损失远大于采取预防措施所支出的成本,就应采用预防风险手段。以兴修堤坝为例,虽然施工成本很高,但与洪水泛滥造成的巨大灾害相比,就显得微不足道。此外,还应考虑到一旦预防措施不成功,风险发生后应采取补救措施以减少损失,从而使风险损失最小化。人们从事的许多活动都面临着风险,对于那些厌恶风险者来说如何应付所面临的风险呢?有两种常用的办法可以降低可能发生的风险,这两种方法是多样化和获取更多的信息。1、多样化多样化是指在从事的活动将要面临风险的情况下,人们可以采取多样化的活动,以便降低风险。例如,投资者可以以多种形式持有资产
9、,以免持有单一化的资产发生风险;商品推销人员为了保证销售收入,可以同时推销多种商品,以免在只推销一种商品的情况下,一旦产品推销不出,发生一点收入也得不到的风险。2、获取更多的信息在不确定的情况下,消费者的决策是建立在有限信息基础之上的。如果消费者可以获得更多的信息,将会降低决策的风险。然而获得的信息不是没有代价的。例如,要想通过销售活动获得尽可能多的利润,商品销售人员必须进行市场调查与研究,以便获得较多的商品需求信息,减少决策的风险;要进行市场调查研究,就必须花费一定的费用。如果不亲自进行市场调查,而向他人购买信息,也可以减少决策的风险。这说明信息是有价值的。(三)风险分担风险分担是指企业准备
10、借助他人的力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。风险分担是一种事前的风险管理措施,即在风险发生之前,通过各种交易活动,把可能发生的风险转移给其他人承担,避免承担全部风险损失。其主要措施包括业务分包、保险、出售、开脱责任合同以及合同中的转移责任条款。风险分担的方式主要可以分为财务型非保险转移、控制型非保险转移和保险转移。1、财务型非保险转移财务型非保险转移是指受补偿的人将风险所导致损失的财务负担转移给补偿的人(其中保险人除外)的一种风险管理技术。财务型非保险转移的实施方式主要有以下四种。(1)中和。中和是将损失机会与获利机会平衡的一种方法,通常被用
11、于处理投机风险。担心原材料价格变化的制造商所进行的套购,以及受外汇汇率变动影响的出口商进行的期货买卖都属于中和方法。所谓套购,就是通过买卖双方交易的相互约定,使可能的价格涨落损益彼此抵消。通常,商业机构、生产商、加工商和投资者利用期货价格和现货价格波动方向上的趋同性,通过在期货市场上买进或卖出与现货市场上方向相反但数量相同的商品,而把自身承受的价格风险转移给投机者,以达到现货与期货盈亏互补的目的。(2)免责约定。免责约定是指合同的一方通过合同条款,对合同中发生的对他人人身伤害和财产损失的责任转移给另一方承担,即通过主要针对其他事项的合同中的条款来实现风险转移。需要指出的是,免责约定不同于责任保
12、险。免责约定所转移的风险其受让人而不是保险人,而且所提到的财产损失责任是以合同责任下的损失为限的。(3)保证合同。保证合同是指由保证人对被保证人因其行为不忠实或不履行某种明确的义务而导致权利人损失予以赔偿的一种书面合同。这里有保证人、被保证人和权利人三方当事人,借助保证书,权利人可将被保证人违约的风险转移给保证人。保证的目的在于担保被保证人对权利人的忠实和有关义务的履行,否则由保证人赔偿损失。保证书通常用于以下“明确的义务”:清偿债务,在规定的期限内提供一定数量的产品,按要求的日期完成一项工程等。如果被保证人没有履行义务,保证人必须自己履行这项义务,或者按保证书的规定支付一定的罚金。然后,保证
13、人可以向被保证人追偿其损失。有时,保证人在签发保证书时,要求被保证人用现金或政府债券等作为担保物,以备自己索赔。即使被保证人得不到任何保障,他们也要签署这种保证书。需要指出,保证书不同于保险合同(尤指财产保险合同),其差别如下。保证书的当事人有三方,即保证人、被保证人和权利人,而保险合同一般只有两方,即保险人和投保人(被保险人)。保证书中,被保证人通常得到担保并付出担保费,而权利人得到保障(不过,有时被保证人可通过成本包括在所提供的服务的价格里,而将这种成本转移给权利人),而被保险人则通常是购买保险来保障自己。保证书中的损失有可能是由被保证人故意引起的,而保险损失对被保险人而言则必须是意外的。
14、理想状况下,保证书中的担保不会有损失。因为如果有任何损失的可能性,保证人就不会签署这种保证书,况且保证人自己会在调查中发现潜在的损失。而保险人则清楚地知道在被保险的群体中间会有一些损失一期望损失值。理想状况下,保证书的担保费不应该包括任何期望损失作为备抵,所以这种担保费只需包括保证人的调查费和其他费用,并提供一定的利润和一定的意外准备金。而保险费则必须补偿期望损失。在实践中,保证人也会发生一些损失,因为他们的调查并不完全准确,但这样的损失在担保费中所占的比例远低于在保险费中所占的比例。如果损失确实发生,保证人可以向被保证人求得补偿,但保险人对于被保险人则没有这种权利。尽管如此,有些保证书与保险
15、合同极为相似,例如诚实保证。实践中,许多保证书的保证人是保险(4)公司化。有的企业通过发行公司股票,将企业经营的风险转移给多数股东承担。这种转移实际上只是分散了原有股东的风险,增强了企业抵抗风险的能力,并不能转移企业遇到的具体风险。2、控制型非保险风险转移控制型非保险风险转移是指借助减低风险单位的损失频率和缩小其损失幅度的手段将损失的法律责任转移给非保险业的另一经济单位的管理技术。控制型非保险风险转移的具体形式有以下3种。(1)出售或租赁。通过买、卖契约将风险单位转移给他人或其他单位。这一方式的特点是将财产所有权和与之有关的风险同时转移给受让人。如一批货物,从工厂主转移给买主后,与这批货物有关
16、的风险(可能遭受火灾、盗窃、市场价格暴跌等)也一同转移给买主了。(2)分包。转让人通过分包合同,将他认为风险较大的工程转移给非保险业的其他人。显然,风险单位通过风险转移,其承担的风险将会减少。例如,对于一般的建筑施工队来说,高空作业风险较大,因此,他们可将风险大的高空作业转移给专业的高空作业工程队。对这种专业工程队来说,他们无论在经验、设备、技术等各方面都较强,故相对来说,风险较小。(3)开脱责任合同。通过这种合同,风险承受者免除转移者对承受者承受损失的责任。如外科医生在给病人动手术之前,往往要求病人(或家属)签字同意,若手术不成功,医生不负责任。在这份契约中,风险承受者(病人)免除了转移者(
17、医生)对承受者(病人)承受损失的法律责任,在这种形式中,通过开脱责任合同,风险本身被消除了。控制型风险转移与风险回避所不同的是,风险回避是放弃或中止存在的风险单位,而此风险转移技术容许风险单位继续存在,然而将损失的法律责任转移给自己以外的第三者(保险业除外)。控制型风险转移与损失控制不同的是,损失控制直接对风险所致的损失频率和幅度加以改善,而此风险转移技术将风险转移给别人而间接达成减低损失频率和减小损失幅度的目的。3、保险转移保险是指投保人根据合同约定,向保险人支付保险费,保险人对于合同约定的可能发生的事故因其发生所造成的财产损失承担赔偿保险金责任,或者当被保险人死亡、伤残、疾病或者达到合同约
18、定的年龄、期限时承担给付保险金责任的商业保险行为。采用保险方式,一方面,风险转移到保险公司之前,投保人必须履行其义务,有责任缴纳保险金。另一方面,当损失出现时,保险公司将会代替投保人承受因风险变化所带来的损失。(四)风险承受风险承受是指企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。风险承受的前提是自留风险可能导致的损失比转移风险所需要的费用小。风险承受是最省事的风险规避方法,在许多情况下也是最省钱的。但企业也应考虑到,若仅从降低成本、节省费用出发,将风险承受作为一种主动积极的方式应用时,可能会由于风险意外扩大,而使企业面临严重的损失后果。三、 风
19、险应对概述我国企业内部控制基本规范第二十五条规定:企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。风险应对就是在风险评估的基础上,针对企业所存在的风险因素,根据风险评估的原则和标准,运用现代科学技术知识和风险管理方面的理论与方法,提出各种风险解决方案,经过分析论证与评价从中选择最优方案并予以实施,来达到降低风险目的的过程。风险应对可以从改变风险后果的性质、风险发生的概率和风险后果3个方面提出多种策略,对不同的风险可用不同的处
20、置方法和策略。企业所面临的各种风险都可以综合运用各种策略进行处理。企业内部控制基本规范第二十六条规定:企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。四、 风险的分类和评估(一)风险的分类企业所面临的风险从来源上分,有企业内部和外部两个方面。外部风险包括:科技发展带来的企业技术、管理、信息等方面的风险;顾客需求或预期改变;竞争的存在;自然灾害;政治事件;经济环境的改变等。内部风险主要有:员工的素质和能力;经理人的责任改变;董事会或监督委员会的责任履行情况等。从企业能否对风险进行控制来分,风险分为可控风险和不可控风险两种。(二)风险评估风险评估是一个比
21、较宽泛的概念,在有的内部控制或风险管理标准中,风险评估就是风险管理,包括了风险管理的全过程,可以说是风险管理的代名词。而在有的内部控制或风险管理标准中,风险评估是全面风险管理的一个步骤,包括内容有多有少,如目标确定、风险识别、风险分析、风险评价以及风险应对等。1、COSO92关于风险评估概念COSO内部控制整体框架把风险评估列为内部控制的五要素之内部控制整体框架认为,风险评估是指单位为实现其目标而确认的相关风险,以构成进行风险管理的基础。单位风险可能来自于:(1)经营环境的变化;(2)聘用新的员工;(3)采用新的或改良的信息系统(4)迅猛的发展速度;(5)新技术的运用(6)新的行业、产业或经营
22、活动的开发;(7)企业改组;(8)海外经营;(9)新的会计方法的采用。2、COSO04关于风险评估概念企业风险管理整体框架指出风险评估要对识别的风险进行分析,以便确定对他们进行管理的依据。强调风险评估是风险管理的一个步骤,相当于我国企业内部控制基本规范的风险分析。3、我国企业内部控制基本规范关于风险评估概念我国企业内部控制基本规范借鉴企业风险管理整体框架,认为风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,从而合理确定风险应对策略。即为识别、分析、管理与企业活动相关的市场风险、政策风险、法律风险、汇率风险、经营风险等各种风险而建立的机制。该概念沿用COSO92的要素理念
23、,是相对宽泛的概念,包括COSO04目标设定、事项识别、风险评估和风险应对四大要素的组合。五、 风险的概念及其分类古人说:“宜未雨而绸缪,毋临渴而掘井。”企业在生产经营的过程中,面临着诸多的风险,如果我们没有妥善地处理,风险事故一旦发生,轻则影响生产经营稳定和企业经济效益,重则危及企业的生存。因此风险评估的目的是为了给企业造就一个安全稳定的生产经营环境,这有助于增加领导层经营管理决策的正确性,进而提高企业的经济效益。(一)风险的概念企业在经营活动中,会遇到各种不确定性事件,这些事件发生的概率及其影响程度是无法事先预知的,进而影响企业目标的实现。所谓风险,就是在一定环境下和一定限期内客观存在的、
24、影响企业目标实现的各种不确定性事件。或者说,风险就是指在一个特定的时间内和一定的环境条件下,人们所期望的目标与实际结果之间的差异程度。因此,风险是一个事项将会发生并给目标实现带来负面影响的可能性。风险具有客观性、普遍性、潜在性、必然性、可识别性、可控性、损失性和不确定性等特点,风险与机会同在。COSO企业风险管理新框架(2016)指出风险是指事项发生并影响战略和业务目标之实现的可能性。该定义兼顾了正面和负面的影响,这和国际风险管理标准ISO31000及中国风险管理标准GBT24353是一致的。为了与我国内部控制规范一致,本书采用COSO04的定义。(二)风险的构成要素风险一般包括以下三项构成要
25、素。1、风险因素风险因素是指促使某一特定风险事故发生或增加其发生的可能性或扩大其损失程度的原因或条件。它是风险事故发生的潜在原因,是造成损失的内在或间接原因。例如,对于建筑物而言,风险因素是指其所使用的建筑材料的质量、建筑结构的稳定性等;对于人而言,则是指健康状况和年龄等;对于企业而言,风险因素则包括企业人员因素、结构因素、外部环境因素等。2、风险事故风险事故也称风险事件,是指造成伤害或财产损失的偶发事件是造成损失的直接的或外在的原因,是损失的媒介物,即风险只有通过风险事故的发生才能导致损失。就某一事件来说,如果它是造成损失的直接原因,那么它就是风险事故;而在其他条件下,如果它是造成损失的间接
26、原因,它便成为风险因素。例如,对于企业而言,发生仓库货物被盗是风险事故,而安保系统不健全是风险因素。3、损失在风险管理中,损失是指非故意的、非预期的、非计划的经济价值的减少。通常可以将损失分为两种形态,即直接损失和间接损失。直接损失是指风险事故导致的财产本身损失和人身伤害,这类损失又称为实质损失:间接损失则是指由直接损失引起的其他损失,包括额外费用损失、收入损失和责任损失。六、 风险识别的方法风险识别是指对企业面临的各种风险进行确认的一个动态、连续的过程。从风险产生的原因入手,通过各种识别方法发现客观存在的不确定性,即辨识风险,下面简要介绍几种常用的风险识别方法。(一)风险清单法风险清单是指由
27、专业人员设计好风险标准的表格或者问卷,全面地罗列一个企业可能面临的风险。表格多由风险管理方面的专家提供,包含人们已经识别出的最基本的各类风险。该方法的优点是经济方便,适合新公司或初次构建风险管理制度的公司适用,帮助他们识别最基本的风险,降低忽略重要风险源的可能性;缺点是表格的初次制作比较费时,问卷回收率可能较低,质量难以有效控制。(二)流程图分析法流程图分析法是指首先按企业经营过程的内在逻辑制作出作业流程图,然后对其中的重要环节和薄弱之处进行调查和分析的方法。基本步骤如下。(1)梳理单位各类经济活动的业务流程,明确业务环节;(2)设计流程图,把流程图中的风险揭示出来,确定风险点;(3)解释流程
28、图;(4)选择风险应对策略。流程图有助于识别企业经营过程中所面临的风险。其优点是可以将复杂的生产过程或业务流程简单化,从而发现风险;其缺点是流程图的绘制较耗费时间,而且不可能进行定量分析从而无法判断风险发生的可能性。(三)现场调查法现场调查法相当于对风险进行一次全面的检查,其主要步骤如下。(1)调查前的准备工作。包括确定调查的时间,其中需要明确开始时间、结束时间和持续时间等,还要明确调查的对象,包括调查人数等。实际工作中一般应事先设计好调查表格。(2)进行现场调查和访问,由被调查人认真填写表格,表格填写应符合规范,避免出现不符合要求的问卷而影响调查结果。(3)将调查结果及时进行反馈,以便发现潜
29、在的问题。现场调查法的优点是可以获得一手的资料而不依赖他人的数据,同时在调查过程中可以与基层人员建立良好的关系。缺点是耗时过多,成本过大,在调查的过程中,可能会引起一些员工的反感。(四)财务报表分析法财务报表是反映企业一定时点的财务状况、一定期间经营成果和现金流量的文件,因此分析财务报表有利于认识经营风险可能的来源。财务报表分析法主要是通过分析企业的资产负债表、利润表、现金流量表和所有者权益变动表以及补充记录来识别企业潜在的风险。财务报表分析法具体又分为以下几种主要方法。1、趋势分析法趋势分析法是通过对一个企业连续数期的利润表和资产负债表的各个项目进行比较,求出金额和百分比增减变动的方向和幅度
30、,以揭示当期财务状况和经营状况增减变化的性质及其趋势。趋势分析法通常包括横向分析法和纵向分析法。横向分析法又称水平分析法,是在会计报表中用金额、百分比的形式,将各个项目的本期或多期的金额与基期的金额进行比较分析,以观察企业经营成果与财务状况的变化趋势;纵向分析法又称垂直分析法,是对会计报表中某一期的各个项目,分别与其中一个作为基期金额的特定项目进行百分比分析,借以观察经营成果与财务状况的变化趋势。2、比率分析法比率分析法就是把财务报表的某些项目同其他项目进行比较,这些金额或者数据可以选自一张财务报表,亦可以选自两张财务报表。比率分析法可以分析财务报表所列示项目与项目之间的相互关系,因此运用得比
31、较广泛。主要有经营成果的比率分析、权益状况的比率分析、流动资产状况的比率分析。3、因素分析法因素分析法也是财务报表分析中常用的一种技术方法,它是指把整体分解为若干个局部的分析方法,包括比率因素分析法和差异因素分解法。比率因素分解法,是指把一个财务比率分解为若干个影响因素的方法。例如,资产收益率可以分解为资产周转率和销售利润率两个比率的乘积,财务比率是财务报表分析的特有概念。在实际的分析中,分解法和比较法是结合使用的,比较之后需要分解,以深入了解差异的原因。分解之后还需要比较,以进一步认识其特征。不断的比较和分解,构成了财务报表分析的主要过程。为了解释比较分析中形成差异的原因,需要使用差异分解法
32、。例如,将产品材料成本差异分解为价格差异和数量差异。差异分解法又分为定基替代法和连环替代法两种。定基替代法是测定比较差异成因的一种定量方法。按照这种方法,需要分别用标准值(历史的、同业企业的或预算的标准)替代实际值,以测定各个因素对财务指标的影响。连环替代法是另外一种测定比较差异成因的定量分析方法。按照这种方法,需要依次用标准值替代实际值,以测定各个因素对财务指标的影响。(五)事件树分析法事件树分析法又称故障树法,其实质是利用逻辑思维的规律和形式,从宏观的角度去分析事故形成的过程。它的理论基础是,任何一起事故的发生,必定是一系列事件按时间顺序相继出现的结果,前一事件的出现是随后事件发生的条件,
33、在时间的发展过程中,每一事件有两种可能的状态,即成功和失败。事件树法从某一风险结果出发,运用逻辑推理的方法推导出引起风险的原因,遵循风险事件一中间事件一基本事件的逻辑结构。事件树分析法的一般步骤如下:(1)定义目标,此时需要考虑影响目标的各种风险因素;(2)做出风险因果图;(3)全面考虑各风险因素之间的相互关系,从而研究对风险所采取的对策或行动方案。事故树法的优点是把影响企业整体目标实现的诸多因素及其因果关系一步步清楚地列示出来,有利于下一步进行深入的风险分析。该方法通常用于直接经验较少的风险识别,效果非常直观,缺点是容易产生遗漏和错误。(六)可行性研究可行性研究是在项目计划阶段即对风险进行定
34、性识别的方法。它的工作步骤如下:(1)检查各部分原始意图(2)发现有无偏离原始意图的情况;(3)寻找偏离原因(4)预测偏离后果。该方法的优点是可在项目实施前就发现风险并加以处理;缺点是比较费时,需要详细的设计系统图的支持。(七)其他方法风险管理人员必须始终对新的、变化中的风险保持警惕,经常检查关键文档就是一个好方法。关键文档包括董事会会议的详细记录、资金申请表、公司指南、年度报告等,这些文件提供的信息并非详尽,却是风险管理中使用最为频繁的信息资源。面谈也是另外一个有利于风险事项识别的重要信息资源。许多信息没有记录在文档文件里面,而只存在于经营管理人员和员工的头脑里。与不同层次不同领域的员工进行
35、面谈以便增加识别潜在风险事项的信息资源。一般情况下,可以考虑和以下人员进行面谈:经营部门经理、首席财务官、法律顾问、人力资源部经理、基层护理人员、工人和领班、外部人员等。与一般基层工人的谈话可以发现一些不安全的设备和操作方法,这些问题在正规的报告里面是不会反映出来的而通过与高层管理者的面谈,风险防范人员能够了解最高管理层可以容忍的纯粹风险程度,以及希望转移的风险。风险识别是风险管理中最基础的工作,从定性的经验判断到各种定量方法,不仅要发现风险,还要进行风险因素分析,它是一个复杂的系统工程。任何一种方法都不能揭示出企业面临的全部风险,更不可能揭示导致风险事故的所有因素,故应将多种方法结合使用。七
36、、 风险识别的概念和内容(一)风险识别的概念风险识别是指对资产当前或未来所面临的和潜在的风险加以判断、归类以及对风险性质进行鉴定的过程。其目的是确认风险的来源、风险的种类及风险的可能影响,以利于风险的有效管理和合理控制。对于风险识别的概念,可以从以下几个方面来理解。1、风险识别是一项动态的、连续不断的、系统性的重复过程风险事项识别需要针对环境的变化而持续进行,不可能一蹴而就,风险主体的风险仅凭一两次有限的识别是不可能解决问题的,许多复杂的和潜在的风险要经过多次调查和反复论证方能得到准确答案;随着主体的活动,新的风险也会不断产生,风险事项识别是一个连续不断的过程。2、风险识别是一个复杂的系统工程
37、风险事项识别的系统性是指风险识别过程不可能局限在某一个专门部门或者专门的环节,事项识别要把企业作为系统看待,不仅要识别企业可能面临的各种风险,而且企业的各个部门都要参与并密切配合。同时风险主体应综合考虑自身的内外部环境,结合自己的特点,设计和选择适当的事项识别方法,这无疑使得事项识别工作更具有挑战性。3、风险识别是整个风险评估过程中重要的程序之一企业内部控制基本规范第三章第二十一条规定,企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险确定相应的风险承受度。风险识别是否全面、深刻直接影响风险评估的质量,风险识别的目的就是确认所有风险的来源、种类以及发生损失的可能性,为风险分析
38、和风险应对提供依据。风险识别过程应充分体现全面性原则。(二)风险识别的内容1、感知风险事项感知风险,即通过调查和了解识别风险的存在。例如,通过调查,了解到一家运输公司面临的财产风险、人身风险和责任风险。财产风险又包括车辆财产损失、存货仓库损失、库存物损失和其他设备损失。在存货仓库损失中,可能有火灾、爆炸、洪水、暴风等多种原因形成的损失。2、分析风险事项通过归类分析,掌握风险产生的原因和条件以及风险所具有的性质。例如,存货仓库的风险因素包括洪水、暴雨、水管或其他设备破裂等;人的风险包括死亡、疾病、身体伤害、财产损失等;导致死亡的风险因素主要有自然灾害、意外事故、自杀、疾病。感知风险是识别风险的基
39、础,分析风险是识别风险的关键。只有感知风险,才能进一步有意识、有目的地分析风险,掌握风险存在及导致风险事故发生的原因和条件。八、 内部环境如何发挥作用内部环境经常被称为公司治理的一部分,并且被视为是将那不同的相关活动维系在一起的“胶水”。也许你正在某种环境中工作,已经识别出无法很好开展工作的有关活动。例如,一个部门可能急需某种产品,但无法立刻得到,因为在适当的采购计划文书完成审批之前,采购部门不能订购相关产品。我们举一个简单的例子来说明内部环境是如何为保证所有团队在一起工作并为完成组织使命提供基础的。案例中是一个零售组织典型的商业循环。该组织采购商品用于销售;采购的商品销售给客户;开发票给客户
40、;然后回收资金。收回的资金再次被用于重复这样的循环周期。内部环境有助于保证为相关的但又各自不同的活动建立重叠的控制目标。例如,某一重叠的控制目标包括为销售给客户的所有物品开出发票,并且不再采购那些客户不需要的物品。九、 有效内部环境的属性组织的董事会和执行管理层构建控制环境。不过需要说明的是没有一个绝对正确的内部环境,但存在有效的内部环境属性。这些属性可以采用许多不同的方法得到执行。有些属性是共同的,但是大部分属性将根据组织情况而选择不同的实施方法。一个有效的内部环境的属性主要包括以下内容。1、行为守则政策几乎所有组织都承认制定行为守则政策的必要性。行为守则政策是指管理层对行为的定义,所有员工
41、,包括执行管理层应当证实履行了他们的日常职责。2、企业的价值观公司确定的愿景是组织目标的理想化表述。例如Alibaba的愿景为“旨在构建未来的商务生态系统。我们的愿景是让客户相会、工作和生活在阿里巴巴,并持续发展最少102年”。在实现愿景方面,公司需要建立其希望融合到操作程序中的价值观。例如,阿里巴巴集团的6个价值观对于我们如何经营业务、招揽人才、考核员工以及决定员工报酬等方面具有指导性作用,具体包括如下内容。(1)客户第一:客户是衣食父母。(2)团队合作:共享共担,平凡人做非凡事。(3)拥抱变化:迎接变化,勇于创新。(4)诚信:诚实正直,言行坦荡。(5)激情:乐观向上,永不言弃。(6)敬业:
42、专业执着,精益求精。这些价值观需要被融合到执行工作和制定决策中去。例如阿里巴巴以客户第一为目标,马云在2014年赴美上市前向员工发布邮件,上市后仍坚持客户第一,员工第二,股东第三的原则。3、首席执行官成为楷模组织的高级职员应当以言传身教的方式教导所有员工遵守行为法则。对“首席执行官成为楷模”最好的描述是首席执行官必须“言行一致”。换句话说,如果首席执行官希望员工在公务旅行中遵守财务的限制性规定,例如,出差乘坐飞机的二等舱,那么除非有一个可以不这样做的商务理由,否则,首席执行官应当遵守规定。如果首席执行官希望公司中的每个员工根据内部控制的原则接受培训,那么,首席执行官也应当参加此类培训。如果首席
43、执行官想要成为一个楷模他必须以自身的表现和态度告诉组织内所有员工应该怎么做。4、组织结构(职责分离)董事会和高级管理层必须设定组织的结构,并进行适当的职责分离,以便能以高效和便捷的方式完成组织的使命。尽管不存在应用于所有组织的“正确”组织结构,然而,在COSO内部控制整合框架中所包含的指南提供了被认为是好的组织结构的指引。该指南的描述如下:组织结构应当既不能太简单,以至于无法适当地监督企业的活动,也不能太复杂,以至于禁止必要的信息流。主管人员应当完全了解他们的控制责任,并且具有与他们职务相匹配的经验和知识。有效组织的五个特征包括以下几方面。(1)整个组织结构应当是有能力提供管理其活动所必需的信
44、息流;(2)应当界定主要经理们的职责和他们对这些职责的理解;(3)报告关系是适当的;(4)应当根据变化的情况对组织结构做出修正;(5)在管理和监督能力方面,有足够的熟练技工执行组织的各项活动。5、人员的胜任能力所有的内部控制都是针对“人”这一特殊要素而设立和实施的,再好的制度也必须有人去执行,可以说,人员的品行和素质是内部控制效果的一个决定性因素。因此,人的品行和能力是决定性的内部环境因素。另外,员工的品德与能力既是决定性的内部环境因素,直接影响着内部控制其他要素的建设和运行;也是根本性的内部环境因素,影响着其他控制环境因素的优劣。企业没有德才兼备的决策人员,就不可能制定出科学合理的发展战略;
45、没有德才兼备的治理人员特别是独立董事,治理层就不可能有效地履行对内部控制的治理、指导和监督职责;没有德才兼备的管理人员特别是高级管理人员,管理层就不可能有合理的管理理念和经营风格。在企业的各类人员中,董事和高级管理人员的品德和能力格外重要,它不仅直接影响治理层对内部控制监督与指导职责的履行,管理层对企业经营管理“基调”的设定,而且影响到他们对其他员工的招聘、任用、考核,从而影响其他员工的品德与能力。员工的品德是企业的重要资源。COSO(1992)框架认为“经营良好的企业的管理人员已越来越接受道德是值得的的观点一道德行为是一项很好的业务”。员工品德影响着内部控制其他构成要素的设计、执行和监控。“
46、内部控制的有效性不可能脱离建立、执行和监控它们的人员的诚信和道德价值观。”6、其他方面很多因素都会影响内部环境有效性,除了行为守则政策、企业的价值观、首席执行官成为楷模等属性之外,还包括职责与权力的特别委派和沟通、一般授权与责任制、内部审计、资产保护和规定的流程等。十、 企业风险管理框架:内部环境的成熟COSO的企业风险管理一一整体框架用“内部环境”代替了“控制环境”,提出内部环境包含组织的基调、营销组织中人员的风险意识,是企业风险管理所有其他构成要素的基础,为其他要素提供约束和结构;它影响着战略和目标如何制定、经营活动如何组织以及如何识别、评估风险并采取行动;它还影响着控制活动、信息与沟通体
47、系和监控措施的设计与运行。由风险管理理念、风险文化、董事会、操守和价值观、对胜任能力的承诺、管理方法和经营模式、风险偏好组织结构、职责和权限分配、人力资源政策和实务9大因素构成。与COSO92内部环境构成因素相比,COSO04虽然仅增加了两个因素、微调了因素排列顺序、修正了部分因素的措辞,但内部环境内涵却发生了深刻变化。第一,突出“企业”的重要性。内部环境建设是企业自己的事,是企业内部积极的需求,而非外部强加的压力,强调企业首先应有“风险管理理念”,并将这种理念传导、灌输给全体员工,形成“风险文化”,这是对COSO92内部环境思想的重大突破;第二,突出“风险”的重要性。强调风险管理理念、风险文化、风险偏好(风险承受度),将上述内容用于制定战略之中,并贯穿于整个企业;第三,突出“管理”的重要性。实现从控制到管理的转变,引入战略观念,同时提升了董事会在战略决策中的地位和作用。在措辞方面,相对于COSO92,将“诚信与道德”改为“操守和价值观”,将“素质要求”改为“对胜任能力的承诺”,更为恰当、准确地把握了企业文化是内部环境构成因素的精髓;将“管理哲学与经营风格”改为“管理方法和经营模式”,更为具体且切合企业管理实际,即对管理层的要求不仅是空洞的哲学与风格,更要拥有具体的方法与模式;“组织结构”改为“风险偏好组织结构”,合理解释了每个企业组织结构的不同是受风险偏好影响的缘由。十一、
限制150内