内部控制与企业风险评估.pptxVIP

第4章 内部控制与企业风险评估4．1 风险管理框架4．2 内部控制与风险评估4．3 战略视角下的风险评估4．4 风险评估案例分析 第1页，共80页。风险的基本含义是收益或损失的不确定性，但在不同学科范式里又有多种表述：统计学认为风险是实际与预期结果的偏离保险学认为风险是可能损失的大小和发生的可能性财务理论和决策理论以收益或结果的不确定性为主要特征定义风险战略风险反映出战略引起的业绩和成长性变化以及风险的收益、损失、不确定性特征第2页，共80页。4．1 风险管理框架风险具有普遍性、多样性、可变性(一种风险可转化或扩展成另一种风险)、突发性、隐蔽性、复杂性、可控性成长、盈利、风险三者平衡的风险控制观。风险是经营活动固有的一部分。一个新产品会有失败的风险，一个国家币值波动也会有严重影响该国商业贸易的风险需要对经营环境(投资环境、贸易环境、金融环境、财政税收环境、公司治理环境)进行评估，防范财务风险、经营管理风险等第3页，共80页。一、风险的组成风险：战略风险、经营风险、财务风险、决策信息风险、控制风险、违规风险 战略风险—战略目标未能实现的可能性财务报告风险—与记录交易和企业财务报表中财务数据披露直接有关的风险控制风险—对存在重大事项的业务活动未能发现或制止的风险第4页，共80页。二、企业风险管理（ERM）由COSO（特雷德威Treadway委员会发起的致力于改进风险管理的机构）定义的企业风险管理：一个由企业董事会、管理层和其他人员实施的用于制定战略的程序，贯穿于企业内部，用于识别可能影响企业的事件，对风险进行管理并将其限制在风险偏好之内，为达到企业目标提供合理保证 第5页，共80页。COSO认为企业风险管理包含八个相互关联的步骤：1.风险管理环境。这代表管理当局的观念和对待风险的态度，以管理当局—董事会批准—确认的风险偏好和可容忍风险为起点，然后为企业内各部门执行企业风险管理提供指导方向。2.设定目标。在管理当局识别影响目标实现的事件之前必须设定目标。3.事件的确认。企业内各层次的管理人员确认可能影响企业战略实施能力或可能削弱企业达到目标的事件。第6页，共80页。4.风险评估。组织将风险评估为事件发生的可能性和可能结果的数量结合。风险评估可帮助企业决定用于应对风险的资源水平5.风险应对。管理当局选择对待风险的最适合方式，包括避免、共享、减少或接受风险第7页，共80页。6.控制活动。控制是为了管理风险和确保管理当局的方针战略得以实施的政策和程序，是为了减少风险和对已确认的风险再次提出的特定应对方式。因此在风险这一主题下控制是重要的。7.信息和沟通。每个企业都需要设计一个有效的信息系统来识别风险，并就企业全面风险管理程序的有效性反馈给管理当局8.监控。在整个企业内部，对每个风险管理步骤都要进行实时监控，以定期评估作为实时监控的补充，例如由内部审计部门进行的评估 第8页，共80页。没有执行企业风险管理(ERM)的企业发生的损失公司损失未评估的风险ProcterGamble宝洁金融衍生品交易损失3亿美元不重合的激励结构：管理层已使信贷功能成为一个利润中心，并对产生的利润提供奖励Barclay’s Bank巴克雷银行由于在香港的交易商大量投资于金融衍生品，成为世界上最早进行其他业务的金融机构之一通过占据有利位置而不是套利大量投资于金融衍生品。通过超额奖金激励交易者WorldCom 世通由于控制不完善、财务错报和贷款给CEO导致公司破产财务报告涵盖了三个以上地点。对CEO的贷款没有抵押物。以股价为基础激励，不存在内部控制Duke Energy 杜克能源重大股价损失，因被迫销售交易单元和电子厂房而遭受损失公司鼓励能源交易，但签订太多单边合约导致大量损失Daimler-Chrysler 戴姆克莱斯勒由于Chrysler公司收购Daimler公司而遭受重大财务和股价损失为了增加盈利，Chrysler将未达到Daimler模型质量的新产品打入市场Motorola 摩托罗拉公司遭受重大财务损失，股价下降60%缺乏创新，技术过时中航油（新加坡）破产保护缺乏风险监控系统第9页，共80页。4．2 内部控制与风险评估判明风险类别、分析风险的具体源由分辨出主要风险、次要风险、关键风险、派生风险。内部审计人员从企业整体战略目标着手，分析战略目标与实际差异，明确差异的风险，分析风险产生的部门、风险类别及其性质。例如材料供应风险，还是生产能力风险。第10页，共80页。对经营风险、财务风险的分类模式(Business Risk Model)，可概括为： 1．外部经营环境风险资金调度；国家、政治的安全性；竞争对手；金融市场；企业特性；政策的变动；法律的变动；对外部环境变化的敏感性；异常灾害；等等第11页，共80页。 2．业务风险产品或服务的缺陷；产品开发能力；资产老化和减