企业内部控制2011

浙江工商大学 张宜霞,1,一、上市公司内部控制相关法规的要求,张宜霞,浙江工商大学 张宜霞,2,主要内容,美国上市公司内部控制相关法规的要求 英国上市公司内部控制相关法规的要求 中国上市公司内部控制相关法规的要求,浙江工商大学 张宜霞,3,美国上市公司内部控制相关法规的发展 2001年以来，安然系列事件的发生； 2002年7月，美国SOX法案颁布； 2003年6月，SEC发布“最终规则”； 2004年3月，PCAOB发布AS No.2； 2006年7月11日，SEC发布关于管理层报告财务报告内部控制的“concept release”，征求意见； 多次推迟生效日期：cost-effective 2007年，SEC的管理层评价指南 2007年，PCAOB的第5号审计准则,浙江工商大学 张宜霞,4,美国企业内部控制的框架-SEC适当的框架 （1）没有偏见 （2）允许适当一致的定性和定量衡量公司的内部控制； （3）充分完整，没有忽略那些会改变公司内部控制有效性结论的相关要素； （4）与评价财务报告内部控制相关； 1992年，COSO发布的内部控制-整合框架； 2006年6月，COSO发布财务报告内部控制小企业指南；,浙江工商大学 张宜霞,5,2004年，COSO发布的企业风险管理-整合框架； 2009年，COSO发布的监督内部控制系统的指引； SOX法案302节“公司对财务报告的责任” 签字官员 （A）对建立及保持内部控制负责； （B）设计了所需的内部控制，以保证这些官员能知道该公司及其纳入合并报表的子公司的所有重大信息，尤其是报告期内的重大信息； （C）评价公司的内部控制在签署报告前90天内的有效性； （D）在该定期报告中发布他们上述评价的结论。,浙江工商大学 张宜霞,8,管理层对外的报告 这个报告主要包括： （1）陈述管理层为公司建立和维持充分的财务报告内部控制的责任； （2）一项陈述，确定管理层对公司财务报告内部控制的有效性执行要求的评价时所采用的框架； （3）管理层对公司的财务报告内部控制在最近财务年度的有效性的评估，包括一项有关公司的财务报告内部控制是否有效的陈述。这项评估必须包括对管理层识别的公司财务报告内部控制重要弱点（material weaknesses）的披露。如果在公司的财务报告内部控制中存在一项或多项重要弱点，就不允许管理层得出结论，认为公司的财务报告内部控制是有效的。,浙江工商大学 张宜霞,9,内部控制评价报告对管理层对内部控制的评价，担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告。 上述评价和报告应当遵循委员会发布或认可的准则。 上述评价过程不应当作为一项单独的业务。 美国的内部控制评价与报告体系 公司管理层对财务报告内部控制的有效性进行评价，对内向审计委员会报告、对外发布公开报告； 注册会计师对财务报告内部控制进行审计，对公司财务报告内部控制的有效性发表意见；,浙江工商大学 张宜霞,10,七、SOX法案下的内部控制评价与报告,内部控制评价、审计,内部控制报告,公司管理层对财务报告内部控制有效性的评价,内部控制的对外报告,注册会计师对财务报告内部控制的审计,注册会计师的审计报告,内部控制的对内报告,对内部控制有效性的审计意见,浙江工商大学 张宜霞,11,（4）一项陈述，说明审计财务报表（包括在年度报告中）的已登记公共会计公司已经就管理层对财务报告内部控制的评价出具了鉴证报告。 管理层对内的报告 向公司的审计委员会报告内部控制的以下相关情况： （1）内部控制的设计或运行中，对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷，并向公司的审计师指出内部控制的重大缺陷。 （2）在内部控制中担任重要职位的人员或其他雇员的欺诈行为，不论行为的影响是否重大。,浙江工商大学 张宜霞,12,英国上市公司内部控制的监管 1998年，联合规则（Combined Code）； 1999年，turnbull指南； 2003年，SEC的认可； 2005年，turnbull指南的评价与修改，结论：“Turnbull指南不需要做出重大改变 ”； 英美对比：巨大的反差 ? PK 香港上市公司内部控制监管 参照英国的要求 2005年6月，香港会计师公会制定发布内部监控与风险管理的基本框架。,浙江工商大学 张宜霞,13,浙江工商大学 张宜霞,14,日本 2003年6月，日本经济产业省制定发布新风险时代的内部控制与风险管理一起发挥作用的内部控制的指南 2007年，财务报告内部控制评价与审计准则 内部控制的构成要素 内部控制的目标 内部控制审计的性质,浙江工商大学 张宜霞,15,中国企业内部控制的规制 2001年开始，内部会计控制规范。 2004年，商业银行内部控制指引 2006年，企业内部控制标准委员会成立。 2006年，国资委发布了中央企业全面风险管理指引 2006年，上交所、深交所分别发布了上市公司内部控制指引； 2007年，发布企业内部控制基本规范征求意见稿。 2007年，商业银行内部控制评价指引 2008年6月，发布企业内部控制基本规范。 2010年4月，发布18个企业内部控制应用指引和企业内部控制评价指引和企业内部控制审计指引。,浙江工商大学 张宜霞,16,浙江工商大学 张宜霞,17,浙江工商大学 张宜霞,18,浙江工商大学 张宜霞,19,浙江工商大学 张宜霞,20,三、企业内部控制,张宜霞,浙江工商大学 张宜霞,21,企业内部控制的内涵,内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程：经营的有效性和效率；财务报告的可靠性；遵守适用的法律和法规。,浙江工商大学 张宜霞,22,企业内部控制的内涵,这个定义反映了四个理念： 第一，内部控制是一个过程，它是实现目的的手段，而不是目的本身； 第二，内部控制由人员来实施，并不仅仅是政策手册和表格，还涉及组织中各个层级的人员； 第三，只能期望内部控制为企业的管理层和董事会提供合理保证，而不是绝对保证； 第四，内部控制被用来实现一个或多个彼此独立而又相互交叉类别的目标。,浙江工商大学 张宜霞,23,企业内部控制的目标,内部控制的目标一般分为三类： 经营（operations）目标。与企业资源利用的有效性与效率有关； 财务报告（financial reporting）目标。与编制可靠的公开财务报表有关； 合规（compliance）目标。与企业符合适用的法律和法规有关。,浙江工商大学 张宜霞,24,企业内部控制的目标,专注于内部控制的不同方面； 互相区别又彼此交叉（某一种目标可以归入一个以上的类别）的类别； 针对不同的需要，可能是不同管理人员的直接责任； 这种分类还有助于区分每个类别的内部控制的预期结果；,浙江工商大学 张宜霞,25,企业内部控制的目标,目标的合理保证 合理保证实现 财务报告的可靠性 对法律和法规的遵循 合理保证了解进展 经营的效率和效果,浙江工商大学 张宜霞,26,内部控制的局限性,判断失误 实施故障 管理层凌驾 串通 成本与效益,浙江工商大学 张宜霞,27,相关各方责任,管理层的责任 积极的控制环境 高层基调 董事会的责任 指导和监督 董事会成员客观、胜任 内部审计师的责任 其他人员的责任 外部各方的责任 监管方,浙江工商大学 张宜霞,28,相关术语,控制目标，提供了一个据以评价控制有效性的具体目标（target）。财务报告内部控制的控制目标通常与一个相关认定有关，并阐明了一个评价标准，据以评价公司特定领域的控制程序是否能够合理保证相关认定的错报或漏报能被控制及时的防止或发现。,浙江工商大学 张宜霞,29,财务报告内部控制缺陷。如果一项控制的设计或运行没有使管理层或员工在行使所赋职责的正常过程中及时防止或发现错报，就表明存在一项财务报告内部控制缺陷。 （1）设计缺陷：如果（a）实现控制目标所必需的一项控制缺失，或（b）现有的一项控制设计不当，以至于即使该项控制按照设计运行也不会实现控制目标，就表明存在一项设计缺陷。 （2）运行缺陷：如果一项设计适当的控制没有按照设计运行，或实施该项控制的人员不具备有效实施该项控制所必需的权力或能力时，就表明存在一项运行缺陷。,浙江工商大学 张宜霞,30,财务报表和相关披露，指的是公司按照公认会计原则呈报的财务报表和财务报表附注。这里所指的财务报表和相关披露没有扩展到“管理层讨论和分析”的编制或在公司基于公认会计原则的财务报表和附注之外呈报的其他类似财务信息，,浙江工商大学 张宜霞,31,财务报告内部控制，是一个过程，它是由公司首席执行官和首席财务官或履行类似职能的人设计的或在其监督之下的，并由公司董事会、管理层和其他人员实施的，为财务报告的可靠性和按照公认会计原则编制对外财务报表提供合理保证，财务报告内部控制包括的政策和程序要： （1）与保持适当详尽、准确和公允反映公司资产的交易和处置的记录相关； （2）合理保证对交易进行了必要的记录以容许按照公认会计原则编制财务报表，以及公司的收入和支出只根据公司管理层和董事的授权进行； （3）合理保证防止或及时发现未经批准取得、使用或处置那些可能会对财务报表产生重要影响的公司资产。,浙江工商大学 张宜霞,32,管理层的评估，是规则S-B和S-K的308（a）(3)条款规定的那种评估，它包括在管理层财务报告内部控制的年度报告中。 重大漏洞，是财务报告内部控制的一个缺陷或多个缺陷的联合，以至于公司年度或中期财务报表的一个重大错报没有被防止或及时发现存在相当的可能性（reasonable possibility）。,浙江工商大学 张宜霞,33,财务报告的控制可以是预防性控制或探测性控制。有效的财务报告内部控制通常包括一个预防性控制和探测性控制的联合。 （1）预防性控制的目标是防止能够导致财务报表错报的错误或舞弊的发生。 （2）探测性控制的目标是探测那些已经发生的、能够导致财务报表错报的错误或舞弊。 相关认定，是一个财务报表的认定，它以相当的可能性包含一个或多个会导致财务报表发生重大错报的错报。确定一个认定是否是相关认定是基于固有风险，不考虑控制的影响。,浙江工商大学 张宜霞,34,在考虑多报风险和低报风险的情况下，如果一个账户或披露以相当的可能性包含一个错报，它单独或与其他错报联合起来对财务报表具有重要影响，那么，这个账户或披露是一个重要账户或披露（significant account or disclosure）。确定一个账户或披露是否是重大是基于固有风险，不考虑控制的影响。 重要缺陷，是一个财务报告内部控制缺陷或多个财务报告内部控制缺陷的联合，它在严重性上小于重大漏洞，但其重要程度足以值得那些负责监督公司财务报告的人注意。,浙江工商大学 张宜霞,35,企业内部控制的构成要素,控制环境 风险评估 控制活动 信息与沟通 监控,浙江工商大学 张宜霞,36,企业内部控制,浙江工商大学 张宜霞,37,三、企业风险管理,张宜霞,浙江工商大学 张宜霞,38,主要内容,1。制定与发布 2。不确定性、价值、事项 3。企业风险管理的内容 4。企业风险管理的内涵 5。企业风险管理的构成要素,浙江工商大学 张宜霞,39,1。制定与发布,发布时间与制定机构 2004年9月 ； COSO-反欺诈财务报告委员会发起组织委员会（Committee of Sponsoring Organizations of the Treadway Commission ，“COSO”）； 企业风险管理整合框架(Enterprise Risk Management Integrated Framework )；,浙江工商大学 张宜霞,40,2。不确定性、价值、事项,不确定性 企业经营所处的环境，如全球化、技术、重组、变化中的市场、竞争和管制等因素都会导致不确定性。 不确定性来源于不能准确地确定事项发生的可能性以及所带来的影响。 不确定性也是主体的战略选择所带来和导致的。,浙江工商大学 张宜霞,41,2。不确定性、价值、事项,价值 管理当局的决策会创造、保持或破坏价值； 价值创造通过把资源，包括人、资本、技术和品牌，调配到能够产生比过去更多的利益的地方，就会发生价值创造； 价值保持当创造的价值通过更高的产品质量、生产能力和顾客满意度以及其他方式得以维持时，就会发生价值保持； 价值破坏当由于糟糕的战略或执行导致这些目标不能达成时，价值就会被破坏。 决策中伴随着对风险和机会的认识 ；,浙江工商大学 张宜霞,42,2。不确定性、价值、事项,事项 事项是影响目标实现的从内部或外部所发生的事故或事件。 风险 一个事项将会发生并给目标实现带来负面影响的可能性。？ 机会 一个事项将会发生并给目标实现带来正面影响的可能性。？,浙江工商大学 张宜霞,43,2。不确定性、价值、事项,企业风险管理的基本前提 每一个主体，不管是营利性的、非营利性的，还是政府机构，存在的目的都是为它的利益相关者提供价值。所有的主体都面临不确定性，对于管理当局的挑战在于确定在追求增加利益相关者价值的同时，准备承受多少不确定性。不确定性潜藏着对价值的破坏或增进，既代表风险，也代表机会。,浙江工商大学 张宜霞,44,3。企业风险管理的内容,价值最大化 去追求增长和报酬与相关风险之间的最优平衡； 高效率和有效地配置资源，实现企业的目标； 企业风险管理 协调风险容量与战略 战略 风险容量 案例：企业生存陷入绝境 浙明星药企掌门自缢身亡 增进风险应对决策 风险回避 降低 分担 承受,浙江工商大学 张宜霞,45,3。企业风险管理的内容,减少经营意外和损失 降低意外的发生和相关的成本或损失 ； 识别和管理贯穿于企业的风险 整体风险； 不同部分的个别风险； 总体应对风险； 提供对多重风险的整体应对策略 多重风险 整体应对,浙江工商大学 张宜霞,46,3。企业风险管理的内容,抓住机会 潜在事项 机会 风险机会 改善资本调配 精确的风险信息； 有效估计资本需求；,浙江工商大学 张宜霞,47,4。企业风险管理的内涵,企业风险管理 企业风险管理是一个过程，它由一个企业的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该企业风险容量之内，并为企业目标的实现提供合理保证。,浙江工商大学 张宜霞,48,4。企业风险管理的内涵,企业风险管理是一个过程，持续流动于企业之内 非静止，持续流动； 与主体的经营活动交织在一起 ； 将风险管理整合到基本的经营活动之中，避免不必要的程序和成本 ；,浙江工商大学 张宜霞,49,4。企业风险管理的内涵,由组织中各个层级人员来实施 个人的独特的背景和技术能力； 统一的背景：帮助人们在主体目标的背景下去理解风险； 明确个人的责任和权力的限度； 明确职责和履行职责的方式与企业战略和目标之间的联系。 一个组织中的人包括董事会、管理当局和其他人员 ；,浙江工商大学 张宜霞,50,4。企业风险管理的内涵,应用于战略制定 企业的使命或愿景 ； 战略目标； 制定战略； 其他相关目标； 应用风险管理评价和选择企业的战略和相关目标；,浙江工商大学 张宜霞,51,4。企业风险管理的内涵,贯穿于企业，在各个层级和单元应用，采取风险组合观 全部活动 ：企业层次 业务单元 经营流程 特殊项目和新活动； 风险组合观：业务单元、职能机构、经营流程的风险评估企业整体的风险评估； 业务单元的风险与企业整体的风险企业的风险容量与战略；,浙江工商大学 张宜霞,52,4。企业风险管理的内涵,旨在识别那些一旦发生将会影响企业的潜在事项，并把风险控制在风险容量以内 企业所愿意承受的广义的风险的数量，反映了企业的风险管理理念，影响主体的文化和经营风格； 高、中 、低的定性计量和定量计量； 与企业的战略直接相关 ：不同的战略会使主体面临不同的风险 ；期望的价值创造主体的风险容量； 指导资源配置； 风险容限：与企业的目标相关，是相对于实现一项具体目标而言，可以接受的偏离程度； 风险容限与风险容量相协调 ；,浙江工商大学 张宜霞,53,4。企业风险管理的内涵,向一个企业的管理当局和董事会提供合理保证 合理保证； 不可控事项、差错等会导致失败； 力求实现一个或多个不同类型但相互交叉的目标,浙江工商大学 张宜霞,54,4。企业风险管理的内涵,目标的实现 实现结果的一种手段，并不是结果本身； 四类目标： 战略与高层次的目的相关，协调并支撑主体的目标 经营与利用主体资源的有效性和效率相关 报告与主体报告的可靠性相关 合规与主体符合适用的法律和法规相关 截然不同却又重叠交叉例：保护资产； 目标实现的可控性：合规、报告合理保证实现；经营、战略合理保证及时了解目标实现的程度。,浙江工商大学 张宜霞,55,企业风险管理与管理过程 企业风险管理是管理过程的一部分； 某些不是企业风险管理的组成部分： 确保恰当的目标设定过程；选定的特定目标； 根据风险评估去应对风险；具体的风险应对和资源的配置； 确定和执行控制活动；选定的特定控制活动； 确保管理层作出知情的风险基础决策的因素。 企业风险管理与内部控制的关系 企业内部控制是风险管理的一部分；,浙江工商大学 张宜霞,56,5。企业风险管理的构成要素,企业风险管理的构成 ？ ？,浙江工商大学 张宜霞,57,5。企业风险管理的构成要素,浙江工商大学 张宜霞,58,5。企业风险管理的构成要素,浙江工商大学 张宜霞,59,案例：万科的降价促销战略 战略目标（圈地）经营目标（现金流）事项（抗议）风险评估（存在风险）风险应对（ ）控制活动（ ）停止降价,浙江工商大学 张宜霞,60,浙江工商大学 张宜霞,61,内控不再栖居在会计上之后，企业整体是合理的进化方向。,等你明白了舍生取义，自然会和这些学者一起去研究内控。,企业能建立内控真是气宇轩昂，闻名不如见面，我对它的景仰犹如滔滔江水，连绵不绝。,股东猜中了这开头，但猜不中这结局。,三人行，必有研究内控者。,浙江工商大学 张宜霞,62,浙江工商大学 张宜霞,63,这里没有答案，最多给你几个值得一试的猜想。 汤姆彼得斯,浙江工商大学 张宜霞,64,浙江工商大学 张宜霞,65,企业风险管理构成要素与目标的关系 四类目标、八个构成要素、四个层次; 每一类目标对应着八个要素、四个层次； 每一个要素对应着四类目标、四个层次； 每一个层次对应着八个要素、四个目标；,浙江工商大学 张宜霞,66,四、企业风险管理的各个构成要素,张宜霞,浙江工商大学 张宜霞,67,浙江工商大学 张宜霞,68,内部环境,浙江工商大学 张宜霞,69,内部环境,内部环境包含组织的基调，它影响组织中人员的风险意识，是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构。内部环境因素包括主体的风险管理理念、它的风险容量、董事会的监督、主体中人员的诚信、道德价值观和胜任能力，以及管理当局分配权力和职责、组织和开发其员工的方式。,浙江工商大学 张宜霞,70,一个组织的内部环境对企业风险管理如何持续地被实施和发挥作用具有重大影响。内部环境是应用企业风险管理其他构件的环境，通常具有强大的正面或负面影响。,浙江工商大学 张宜霞,71,浙江工商大学 张宜霞,72,浙江工商大学 张宜霞,73,和尚开高档小车陪老婆买内衣,浙江工商大学 张宜霞,74,案例PK文化与拼酒 案例：粮库科长落网后感叹油水太多， 想不出事都难,浙江工商大学 张宜霞,75,浙江工商大学 张宜霞,76,日本1984年经济白皮书写道：“在当前政府为建立日本产业所做的努力中，应该把哪些条件列为首要的呢？可能既不是资本，也不是法律和规章，因为这二者本身都是死的东西，是完全无效的。使资本和法规运转起来的是精神因此，如果就有效性来确定这三个因素的份量，则精神应占十分之五，法规占十分之四，而资本只占十分之一。 ”,浙江工商大学 张宜霞,77,微软的文化,微软文化把那些不喜欢大量规则、组织、计划，强烈反对官僚主义的PC程序员团结在一起，遵循“组建职能交叉专家小组”的策略准则； 授权专业部门自己定义他们的工作，招聘并培训新雇员，使工作种类灵活机动，让人们保持独立的思想性； 专家小组的成员可在工作中学习，从有经验的人那里学习，没有太多的官僚主义规则和干预，没有过时的正式培训项目，没有“职业化”的管理人员，没有耍“政治手腕”、搞官僚主义的风气。,浙江工商大学 张宜霞,78,松下文化-七条精神 产业报国的精神 光明正大的精神 团结一致的精神 奋斗向上的精神 礼仪谦让的精神 适应形势的精神 感恩报德的精神。,浙江工商大学 张宜霞,79,IBM（国际商用机器公司）的企业文化 可以用三条原则来表示： 必须尊重个人 必须尽可能给予顾客最好的服务 必须追求优异的工作表现。,浙江工商大学 张宜霞,80,华为公司基本法,第一条规定，我们的追求是在电子信息领域实现顾客的梦想，并依靠点点滴滴、持之以恒的艰苦追求，使我们成为世界级领先企业。 第四条规定，爱祖国、爱人民、爱事业和爱生活是我们凝聚力的源泉。企业家精神、创新精神、敬业精神和团结合作精神是我们企业文化的精髓。我们决不让雷锋们、焦裕禄们吃亏，奉献者定当得到合理的回报。 第六条规定，我们以产业报国，以科教兴国为己任，以公司的发展为所在社区做出贡献。为伟大祖国的繁荣昌盛，为中华民族的振兴，为自己和家人的幸福而不懈努力。,浙江工商大学 张宜霞,81,案例：吉林通化钢铁集团总经理遭职工围殴致死,浙江工商大学 张宜霞,82,案例邯郸农行被盗案,2007年4月14日14 ； 被盗现金人民币近5100万元； 可以装满6个麻袋 ，总重近1.8吨； 银行现金管理中心管库员； 一次偷出与分多次偷出； 内部控制出了什么错？,浙江工商大学 张宜霞,83,风险管理理念共同认知,一个主体的风险管理理念是一整套共同的信念和态度，它决定着该主体在做任何事情从战略制定和实施到日常的活动时如何考虑风险。 风险管理理念反映了主体的价值观，影响它的文化和经营风格，并且决定如何应用企业风险管理的构成要素，包括如何识别风险，承担哪些风险，以及如何管理这些风险。,浙江工商大学 张宜霞,84,风险管理理念共同认知,反映在管理当局在经营该主体的过程中所做的每一件事情上。它可以从政策表述、口头和书面的沟通以及决策中反映出来。 至关重要的是管理当局不仅要通过口头、而且还要通过日常的行动来强化理念。,浙江工商大学 张宜霞,85,内部环境的影响；案例1 风险管理理念的描述：案例2，案例3； 风险管理理念要度量的特征或属性：案例4 风险管理理念的调查：案例5 行为规范：案例6,浙江工商大学 张宜霞,86,风险容量,风险容量是一个主体在追求价值的过程中所愿意承担的广泛意义上的风险的数量。它反映了企业的风险管理理念，进而影响了主体的文化和经营风格。 主体运用类似高、适中或低等类别，从质的角度考虑风险容量，或者运用数量化的方法，来反映和平衡增长、报酬和风险方面的目标。,浙江工商大学 张宜霞,87,风险容量在战略制定的过程中加以考虑，来自一项战略的期望报酬应该与主体的风险容量相协调。不同的战略会使主体面临不同程度的风险，应用于战略制定过程的企业风险管理帮助管理当局选择一个与主体的风险容量相一致的战略。,浙江工商大学 张宜霞,88,董事会,一个主体的董事会是内部环境的关键部分，它对内部环境的要素有着重大影响； 适当程度的管理、技术和其他专长，以及履行监督职责所需要的思维方式。 必须包含外部董事。提供合理的建议、咨询和指导，而且还要对管理当局形成必要的检查和制衡。独立外部董事必须至少占多数 。 有效的董事会能确保管理当局保持有效的风险管理。,浙江工商大学 张宜霞,89,诚信与道德价值观,主体的战略和目标以及它们得以实施的方式建立在偏好、价值判断和管理风格的基础之上。 管理当局的诚信是一个主体活动所有方面的道德行为的先决条件。 树立道德价值观通常很困难，因为需要考虑多个方面的利益。 道德行为和管理当局的诚信是公司文化的副产品，公司文化包含道德和行为准则以及它们的沟通和强化方式。,浙江工商大学 张宜霞,90,诚信与道德价值观,特定的组织因素也会影响出现欺诈性和可疑的财务报告行为的可能性：强烈动机或诱惑 。 正式的公司行为守则与向上沟通的渠道。 处罚，鼓励，惩戒； 高层管理当局的行为和他们所作的表率 ； 案例：夏新电子习惯性财务造假，四年三度遭证监局调查,浙江工商大学 张宜霞,91,对胜任能力的要求,实现规定的任务所需要的知识和技能 ：能力与成本之间的权衡。 明确特定岗位的胜任能力水平，并把这些水平转换成所需的知识和技能。 一个具体岗位所运用判断的性质和程度。 在监督的范围和所需的胜任能力水平之间做出权衡 。,浙江工商大学 张宜霞,92,组织结构,一个主体的组织结构提供了计划、执行、控制和监督其活动的框架。 包括确定权力与责任的关键界区，以及确立恰当的报告途径。 主体建立适合其需要的组织结构。一个主体的组织结构的适当性部分地取决于它的规模和所从事活动的性质。 主体的组织方式都应该确保有效的企业风险管理，并进行活动以便实现其目标。,浙江工商大学 张宜霞,93,权力和职责的分配,涉及到个人和团队被授权并鼓励发挥主动性去指出问题和解决问题的程度，以及对他们的权力的限制。 包括确立报告关系和授权规程，以及描述恰当经营活动的政策，关键人员的知识和经验，和为履行职责而赋予的资源。,浙江工商大学 张宜霞,94,权力的集中或下放。 仅仅针对实现目标所需要的范围来进行授权 ；确保所有的人员都了解主体的目标 。 授权与组织扁平化更高的员工胜任能力水平以及更大的受托责任、要求管理当局采用有效的程序对结果进行监控。,浙江工商大学 张宜霞,95,人力资源政策,包括雇佣、定位、培训、评价、咨询、晋升、付酬和采取补偿措施 ； 传达着有关诚信、道德行为和胜任能力的期望水平方面的信息 ； 培训政策 ：加强业绩和行为的期望水平 ； 调换与晋升；报酬计划 ；惩戒 ； 持续的教育过程；,浙江工商大学 张宜霞,96,内部环境的影响,一般认为一家能源公司有着有效的企业风险管理，因为它有： 强力而受人尊敬的高层管理者 声望卓著的董事会 富有创新意识的战略 设计良好的信息系统和控制活动 描述风险和控制职能的广泛的政策手册，以及全面的调解和监督途径。 但是，它的内部环境却有重大缺陷。管理当局参与了十分可疑的经营业务，而董事会却视而不见。,浙江工商大学 张宜霞,97,一个无效的内部环境的影响会很广泛 ； 光说得正确是不够的。“按我说的去做“与”按我做的去做”。,浙江工商大学 张宜霞,98,案例：高层基调,公司总经理到外地出差，总要司机拉着他到处转转，目的是为老婆买点礼物。在一家时装店，看中了一件女式睡衣，粉红色的，很漂亮，360元。付了钱，他感到有些后悔，原因是没有开“办公用品”的发票。这让总经理很为难，回去怎么报销哪？ 返回的路上，他一直想这个问题。车行至一路口，忽见一老农赶着一群猪过来。总经理顿时来了灵感，对司机说：“我给你嫂子买了一件睡衣，回去无法报销，你打个便条，就说路上开车不小心，撞死了农民的一头小母猪，赔款360元。” 第二天，司机打了便条，总经理签了字，拿到财务科报了销。,浙江工商大学 张宜霞,99,过了些日子，总经理又到外地出差，又让自己拉着他到处转。在一家珠宝店，总经理看中了一对850元的耳环。付了钱，珠宝店的营业员不肯开具“办公用品”的发票。 回去后，总经理又让司机打了一张和上次一样的便条。不过这次总经理在便条上改了一个字，把“撞死一头小母猪”改成了“撞死一头老母猪”。 总经理的车接连撞死母猪的消息，两位副总经理和近10位中层干部都知道是怎么回事。于是，今天是李副总经理，明天是王副总经理，后天是计划科的赵科长，再后天是安全办的赖主任、隔三差五，就有人拿着“撞死小母猪”或“撞死老母猪”的便条让总经理签字。,浙江工商大学 张宜霞,100,于是，总经理召集所有公司干部开了一个会，专门研究这个问题。经过充分发扬民主，他们研究出了一个公司关于干部外出撞死母猪的规定。 规定强调：总经理每年可以撞死12头猪，其中老母猪不能超过6头；副总经理每年可以撞死6头猪，老母猪不能超过3头；中层干部每年可以撞死3头猪，其中老母猪只能撞死1头；一般员工外出一概不准撞死猪。超过指标的，费用不得报销。,浙江工商大学 张宜霞,101,目标设定,浙江工商大学 张宜霞,102,目标设定,目标是设定在战略层次上的，它为经营、报告和合规目标奠定了基础。 每一个主体 都面临来自外部和内部的一系列风险，确定目标是有效的事项识别、风险评估和风险应对的前提。 目标与主体的风险容量相协调，后者决定了主体的风险容限水平。,浙江工商大学 张宜霞,103,主要内容,战略目标 相关目标 目标的实现 选定的目标 风险容量 风险容限,浙江工商大学 张宜霞,104,目标设定与其他要素的关系,目标设定是事项识别、风险评估和风险应对的前提。 在管理当局识别和评估实现目标的风险并采取行动来管理风险之前，首先必须有目标。,浙江工商大学 张宜霞,105,战略目标,使命/愿景/目的企业存在的意义； 设定战略目标 进行战略规划 确定相关目标； 战略目标实现的风险评估：案例1,浙江工商大学 张宜霞,106,相关目标,战略目标 相关目标； 层次：企业层次（创造和保持价值） 活动层次（销售、生产、职能机构） 关键成功因素 充分了解与可计量性 使命、战略目标、战略和相关目标：案例2，案例3,浙江工商大学 张宜霞,107,相关目标,相关目标的类别 经营目标这些目标与主体经营的有效性和效率有关，包括业绩和赢利目标和保护资源不受损失。它们因管理当局对结构和业绩的选择而异。 报告目标这些目标与报告的可靠性有关。它们包括内部和外部报告，可能涉及到财务和非财务信息。 合规目标这些目标与符合相关法律和法规有关。它们取决于外部因素，在一些情况下对所有主体而言都很类似，而在另一些情况下则在一个行业内有共性。,浙江工商大学 张宜霞,108,相关目标,相关目标的差异： 报告与合规目标，特定的目标取决于主体所从事的经营业务； 经营目标，以及那些内部管理报告目标，更多地建立在偏好、判断和管理风格的基础上。 战略目标,浙江工商大学 张宜霞,109,相关目标,经营目标 关系到主体经营的有效性和效率 ； 反映主体运作所处的特定的经营、行业和经济环境； 细化与次级经营目标； 一套与次级目标相关联的清晰的经营目标； 引导资源配置；,浙江工商大学 张宜霞,110,相关目标,报告目标 可靠的对内、对外报告； 对内报告：可靠的报告为管理当局提供适合其既定目的的准确而完整的信息，比如，市场营销计划的结果、逐日销售快报、生产质量和员工与客户满意度结果 ； 对外报告：比如，财务报表与附注披露、管理当局的讨论与分析以及向监管机构提交的报告。,浙江工商大学 张宜霞,111,相关目标,合规目标 主体从事活动必须符合相关的法律和法规 ； 适用的法律和法规确定了最低的行为准则； 一个主体的合规记录可能会对它在社会和市场上的声誉产生极大的正面或负面影响； 保护资产 如果与公开的报告联系起来考虑，通常采用保护资产的狭义定义，即致力于防止或及时察觉对主体资产未经授权的采购、使用或出让。,浙江工商大学 张宜霞,112,目标的实现,报告目标与合规目标 有效的企业风险管理为主体的报告目标得以实现提供合理保证。 有效的企业风险管理为合规目标的实现提供了合理保证。 报告和合规目标的实现更多的是在主体的控制范围之内。也就是说，一旦确定了目标，主体对其从事满足目标所需要的活动的能力具有控制力。,浙江工商大学 张宜霞,113,目标的实现,经营和战略目标 它们的实现并不完全在主体的控制范围之内。主体可能像预期的那样运作，也可能会被竞争者所超越。 外部事项例如政府的变动、恶劣的天气以及类似的情况的发生超出了它的控制范围。 合理保证管理当局和履行监督职责的董事会及时地知悉主体实现这些目标的程度。,浙江工商大学 张宜霞,114,选定的目标,选定的目标 支持主体的使命； 与主体的风险容量协调； 制定程序确保战略目标与使命的协调，与风险容量一致。,浙江工商大学 张宜霞,115,风险容量,管理当局在董事会的监督下所确定的风险容量是战略制定的指向标 风险容量表述为增长、风险和报酬之间可接受的平衡，或者风险调整的股东增加值指标。 风险容量与战略之间的一致性； 主体的风险容量反映在主