分享

企业内部控制

 misanwang 2015-02-14

第四章 企业内部控制

 

  考情分析:
  本章是考试的重点章节,在近三年考题中每年都有两题,共30分。考点涉及内部控制的目标和原则、内部控制建设的组织形式、内部控制五要素、具体企业层面控制(比如汇率风险、研发控制、业务外包以及投资决策等)、内部控制评价以及内部控制审计。
  本章新增内部控制信息系统建设企业风险管理两部分内容,对此需特别关注。
  

  本章的主要内容包括:
  一是内部控制的目标、原则与要素。
  内部控制目标5个:包括促进遵循国家法律法规;促进维护资产安全、促进提高信息报告质量;促进提高经营效率和效果;促进实现发展战略。
  内部控制原则5个:包括全面性原则;重要性原则;制衡性原则;适应性原则;成本效益原则。
  內部控制要素5个:包括内部环境、风险评估、控制活动、信息与沟通和内部监督。
  二是企业层面和业务层面控制。
  企业层面控制5项内容,包括组织架构控制、发展战略控制、人力资源控制、社会责任控制和企业文化控制。
  业务层面控制13项内容,包括资金活动控制、采购业务控制、资产管理控制、销售业务控制、研究与开发控制、工程项目控制、担保业务控制、业务外包控制、财务报告控制、全面预算控制、合同管理控制、内部信息传递控制和信息系统控制。
  三是内部控制信息系统建设。利用信息化手段整合和优化内部控制系统。(本部分为2013年新增内容)
  四是内部控制评价。内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
  五是内部控制审计。内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
  六是企业风险管理。风险管理是企业从战略制定到日常经营过程中对待风险的一系列信念与态度,目的是确定可能影响企业的潜在事项,并进行管理,为实现企业的目标提供合理的保证。包括风险识别、风险分析及风险应对。(本部分为2013年新增内容)

  考点一:内部控制的目标、原则与要素(555

  一、内部控制定义
  內部控制的定义:內部控制是由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。
  董事会:董事会是內部控制实施的主体之一,此外,董事会、董事长也应受内部控制制约。
  实施主体:董事会是决策者,经理层是执行者,监事会是监督者,他们都是內部控制实施的主体;此外,內部控制还需要全体员工的参与实施。
  过程:內部控制不能凌驾于企业经营活动之上,它必须嵌入企业生产经营的整个过程;过程是动态的,适合企业的才是最好的。

  二、内部控制目标
  内部控制的目标:是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
  (一)促进遵循国家法律法规(合规目标)
  守法和诚信是企业健康发展的基石。逾越法律的短期发展终将付出沉重代价。内部控制要求企业必须将发展置于国家法律法规允许的基本框架之下,在守法的基础上实现自身的发展。
  (二)促进维护资产安全(资产目标)
  资产安全完整是投资者、债权人和其他利益相关者普遍关注的重大问题,是企业可持续发展的物质基础。良好的内部控制,应当为资产安全提供扎实的制度保障。
  (三)促进提高信息报告质量(报告目标)
  可靠的信息报告能够为企业管理层提供适合其既定目的的准确而完整的信息、支持管理层的决策和对营运活动及业绩的监控;同时,保证对外披露的信息报告的真实、完整,有利于提升企业的诚信度和公信力,维护企业良好的声誉和形象。
  (四)促进提高经营效率和效果(经营目标)
  该目标要求企业结合自身所处的特定的经营、行业和经济环境,通过健全有效的内部控制,不断提高营运活动的盈利能力和管理效率。
  (五)促进企业实现发展战略(战略目标)
  这是内部控制的终极目标。它要求企业将近期利益与长远利益结合起来,在企业经营管理中努力做出符合战略要求、有利于提升可持续发展能力和创造长久价值的策略选择。
  注意:上述目标之间有交叉。

  三、内部控制原则
  内部控制原则是企业建立与实施内部控制应当遵循的基本指针。企业建立与实施内部控制应当遵循5项原则,即全面性、重要性、制衡性、适应性和成本效益原则。
  (一)全面性原则
  内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项实现全过程、全员性控制,不存在内部控制空白点。
  (二)重要性原则
  内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域,并采取更为严格的控制措施,确保不存在重大缺陷。重要性原则的应用需要一定的职业判断,企业应当根据所处行业环境和经营特点,从业务事项的性质和涉及金额两方面来考虑是否及如何实行重点控制。
  (三)制衡性原则
  内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
  制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节;同时,还要求履行内部控制监督职责的机构或人员具有良好的独立性。
  (四)适应性原则
  内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整。
  适应性原则要求企业建立与实施内部控制应当具有前瞻性,适时地对内部控制系统进行评估,发现可能存在的问题,并及时采取措施予以补救。
  (五)成本效益原则
  内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。成本效益原则要求企业内部控制建设必须统筹考虑投入成本和产出效益之比。
  成本效益原则的判断需要从企业整体利益出发,尽管某些控制会影响工作效率,但可能会避免整个企业面临更大损失,此时仍应实施相应控制。

  四、内部控制要素
  
  (一)内部环境
  外部环境对企业内部控制的影响更多体现的是约束和规范,但不能把它作为内部控制系统的组成部分。
  内部环境规定企业的纪律与架构,影响经营管理目标的制定,塑造企业文化氛围并影响员工的控制意识,是企业建立与实施内部控制的基础。
  内部环境主要包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
  1.治理结构 
  企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确董事会、监事会和经理层在决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。
  2.机构设置与权责分配
  公司制企业中股东大会(权力机构)、董事会(决策机构)、监事会(监督机构)、总经理层(日常管理机构)这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架,但并不能满足内部控制对企业组织结构的要求,内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。
  所采用的组织结构应当有利于提升管理效能,并保证信息通畅流动。
  3.内部审计机制
  企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。
  4.人力资源政策
  人力资源政策是影响企业内部环境的关键因素,它所包括的聘用、培训、评价、考核、晋升、奖惩等业务,向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息,这些业务都与公司员工密切相关,而员工正是公司中执行内部控制的主体。
  5.企业文化
  企业文化体现为人本管理理论的最高层次。企业文化重视人的因素,强调精神文化的力量,希望用一种无形的文化力量形成一种行为准则、价值观念和道德规范,凝聚企业员工的归属感、积极性和创造性,引导企业员工为企业和社会的发展而努力,并通过各种渠道对社会文化的大环境产生作用。
  (二)风险评估
  风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险,合理确定风险应对策略,是实施内部控制的重要环节。
  风险评估主要包括目标设定、风险识别、风险分析和风险应对。
  1.目标设定
  风险是指一个潜在事项的发生对目标实现产生的影响。风险与可能被影响的控制目标相关联。企业必须制定与生产、销售、财务等业务相关的目标,设立可辨认、分析和管理相关风险的机制,以了解企业所面临的来自内部和外部的各种不同风险。
  企业开展风险评估,应当准确识别与实现控制目标相关的内部风险与外部风险,确定相应的风险承受度。风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。
  2.风险识别
  企业不仅要识别内部风险,还要识别与控制目标相关的各类外部风险。
  3.风险分析
  风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断,并确定风险重要性水平的过程。
  对固有风险,即不采取任何防范措施可能造成的损失程度进行分析,同时,重点分析剩余风险,即采取了相应应对措施之后仍可能造成的损失程度。
  企业应当按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。
  4.风险应对
  企业应当在分析相关风险的可能性和影响程度基础上,结合风险承受度,权衡风险与收益,确定风险应对策略。
  企业应合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。
  常用的风险应对策略有:风险规避、风险承受、风险降低和风险分担。(本部分内容结合本章第四节相关内容进行学习)
  风险应对策略往往是结合运用的。同时企业应当结合不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略。
  (三)控制活动
  控制活动是指企业根据风险应对策略,采用相应的控制措施,将风险控制在可承受度之内,是实施内部控制的具体方式。
  常见的控制措施有:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
  1.不相容职务分离控制
  所谓不相容职务,是指那些如果由一个人担任既可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为的职务。
  2.授权审批控制:常规授权和特殊授权
  授权批准是指企业在办理各项经济业务时,必须经过规定程序的授权批准。对于重大的业务和事项,企业应当实行集体决策审批或者联签制度。
  3.会计系统控制
  会计系统控制主要是通过对会计主体所发生的各项能用货币计量的经济业务进行记录、归集、分类、编报等进行的控制。
  4.财产保护控制
  财产保护控制的措施主要包括:财产记录和实物保管;定期盘点和账实核对;限制接近。
  5.预算控制
  通过预算控制,使得企业的经营目标转化为各部门、各个岗位以至个人的具体行为目标,作为各责任企业的约束条件,保证企业经营目标的实现。
  6.运营分析控制
  运营分析是对企业内部各项业务、各类机构的运行情况进行独立分析或综合分析,进而掌握企业运营的效率和效果,为持续的优化调整奠定基础。
  7.绩效考评控制
  绩效考评是对所属单位及个人占有、使用、管理与配置企业经济资源的效果进行的评价。
  企业董事会及经理层可以根据绩效考评的结果进行有效决策,引导和规范员工行为,促进实现发展战略和提高经营效率效果。
  另:除上述常见控制措施外,企业还需建立重大风险预警机制,突发事件应急处理机制。
  (四)信息与沟通
  信息与沟通是实施内部控制的重要条件。企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。
  信息与沟通的要件主要包括:信息质量、沟通制度、信息系统、反舞弊机制。
  1.信息质量:内部信息和外部信息
  企业日常生产经营需要收集各种内部信息和外部信息,并对这些信息进行合理筛选、核对、整合,提高信息的有用性。
  企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息;
  可以通过行业协会组织、社会中介机构、业务往来企业、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。
  2.沟通制度:
  重要信息须及时传递给董事会、监事会和经理层。
  企业应当建立信息沟通制度,将内部控制相关信息在企业内部各管理级次、责任企业、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。
  3.信息系统:技术层面
  为提高控制效率,企业可以运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。
  企业利用信息技术对信息进行集成和共享的同时,还应加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
  4.反舞弊机制:反舞弊工作的重点包括:
  (1)未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益;(2)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等;(3)董事、监事、经理及其他高级管理人员滥用职权;(4)相关机构或人员串通舞弊。
  企业应当建立举报投诉制度和举报人保护制度,并将其及时传达至全体员工。
  (五)内部监督
  内部监督是实施内部控制的重要保证。
  内部监督包括日常监督和专项监督。
  (1)日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。
  (2)专项监督是对内部控制的某一或某些方面进行有针对性的监督检查。
  日常监督和专项监督情况应当形成书面报告,并在报告中揭示存在的内部控制缺陷。
  企业应当在日常监督和专项监督的基础上,定期对内部控制的有效性进行自我评价,出具自我评价报告。
  【案例题1】(2012年考题部分)甲公司为一家以饮品生产和销售为主业的上市公司。2011年,甲公司根据财政部等五部委联合发布的《企业内部控制基本规范》及其配套指引,结合自身经营管理实际,制订了《企业内部控制手册》(以下简称《手册》),自201211日起实施。为了检验实施效果,甲公司于20127月成立内部控制评价工作组,对内部控制设计与运行情况进行检查评价。内部控制评价工作组接受审计委员会的直接领导,组长由董事会指定,组员由公司各职能部门业务骨干组成。20129月,甲公司审计委员会召集公司内部相关部门对检查情况进行讨论,要点如下:
  (1)关于内部环境,内部控制评价工作组在对内部环境要素进行测试时,发现缺乏足够的证据说明企业文化建设和实施取得较好实效,人事部门负责人表示,公司领导对企业文化建设的重视是无形的,难以量化,且人事部门已制定并计划宣传贯彻《员工行为守则》,可以说明企业文化建设和实施有效。
  (2)关于风险评估,甲公司于20121月支付2000万元,成为伦敦奥运会的赞助商;于20127月支付500万元,捐助西北某受灾地区。内部控制评价工作组在对公司风险评估机制进行评价时,发现上述事项均未履行相应的风险评估程序,建议予以整改。风险管理部门负责人表示,赞助伦敦奥运会对提升企业形象有利而无害,不存在风险;财务部门负责人认为,对外捐助属于履行社会责任,不需要评估风险。
  (3)关于信息与沟通,内部控制评价工作组检查发现,所有风险信息均经由总经理向董事会报告。建议确认为控制缺陷并加以整改,风险管理部门负责人表示,风险管理部门对总经理负责,符合公司组织结构、岗位职责与授权分工的规定,不应认定为控制缺陷。
  (4)关于内部监督,内部审计部门负责人表示,年度内部控制评价工作组是由公司各部门抽调人员组成的临时工作团队,缺乏独立性,建议由内部审计部门承担相应的职责。内部控制评价工作组负责人认为,工作组成员均接受过专业培训,接受审计委员会领导,有足够的专业胜任能力和权威性来承担内部控制评价工作,而审计部门人手少、力量弱,现阶段无法有效承担年度评价职责。
  要求:根据资料(1)(2)(3)(4),针对内部环境、风险评估、信息与沟通、内部监督要素评价过程中的各种意见分歧,假如你是公司审计委员会主席,逐项说明是否赞同内部控制评价工作组的意见,并逐项说明理由。

  [答疑编号6177040201:针对该题提问]

 

 

 

  分析提示:
  (1)资料(1)关于内部环境
  赞同内部控制评价工作组对没有足够的证据说明企业文化得以有效贯彻落实的判断。
  理由:企业文化贯彻落实的有效性应当获取充分的证据支持。
  (2)资料(2)关于风险评估
  赞同内部控制评价工作组对公司风险评估机制存在缺陷的认定。
  理由:公司应当对赞助和捐赠事项履行风险评估程序。
  (3)资料(3)关于信息与沟通
  赞同内部控制评价工作组将所有风险信息均经由总经理向董事会报告认定为控制缺陷。
  理由:重大信息应及时传递给董事会、监事会和管理层。
  (4)资料(4)关于内部监督
  赞同内部控制评价工作组对内控评价机构选择的判断。
  理由:内部控制评价机构的选择不仅要考虑独立性,还要综合考虑其胜任能力和权威性,以及是否得到公司领导层的支持等。

 


  考点二:内部控制建设的组织形式
  内部控制建设是一项系统工程,需要企业董事会、监事会、经理层及内部各职能部门共同参与并承担相应的职责。
  1.董事会
  董事会为公司最高业务执行机关,负有监督管理层的责任。
  股东大会是公司的最高权力机构,而董事会是公司的最高决策机构,它们之间的关系也是一种委托代理关系,董事会接受股东大会的委托,负责公司法人的战略和经营,必要时可撤换不称职的经理人员。
  董事会对内部控制的建立健全和有效实施负责,定期召开董事会议,商讨内部控制建设中的重大问题并作出决策。
  职责:
  (1)科学选择经理层并对其实施有效监督;
  (2)清晰了解企业内部控制的范围;
  (3)就企业的最大风险承受度形成一致意见;
  (4)及时知悉企业最重大的风险以及经理层是否恰当地予以应对。
  2.审计委员会
  审计委员会是董事会下设的专业委员会,审计委员会向董事会负责,其工作的本质是对公司的财务报告和经营活动进行独立的评价,从而对公司的经营管理层进行有效的监督,达到有效控制代理人的目的。
  审计委员会负责人及其成员必须具备相应的独立性、良好的职业操守和专业胜任能力。
  职责:
  (1)审查内部控制的设计;
  (2)监督内部控制有效实施;
  (3)领导开展内部控制自我评价;
  (4)与中介机构就内部控制审计和其他相关事宜进行沟通协调。
  3.监事会
  监事会对董事会建立与实施内部控制进行监督。监事会监督不同于审计委员会对经理层的监督,是一种层次更高、独立性更高的再监督。
  监事会主席及其成员应当定期参加董事会及下属审计委员会召开的涉及内部控制的会议,如对董事会及下属审计委员会有关内部控制的决策持有异议,或认为董事会和经理层成员存在舞弊行为,还可提议召开独立的监事会议。
  4.经理层
  经理层由董事会委任,是公司的代理人,经理层负责组织领导企业内部控制的日常运行。职责:
  (1)贯彻董事会及下属审计委员会对内部控制的决策意见;(2)为其他高级管理人员提供内部控制方面的领导和指引;(3)定期与采购、生产、营销、财务、人事等主要职能部门和业务单元的负责人进行会谈,对其控制风险的措施及效果进行督导和核查等。
  5.内部控制部门
  企业建立与实施内部控制,可以根据需要成立专门的内部控制工作团队,以项目组的形式运作;也可以成立内部控制专职机构(或岗位),专门负责内部控制在企业内部各部门间的组织协调和日常性事务工作。
  职责:
  (1)制定内部控制手册并组织落实;
  (2)确定各职能部门或业务单元对于内部控制的权利和义务;
  (3)指导内部控制与其他经营计划和管理活动的整合;
  (4)向董事会及其审计委员会或经理层报告内部控制建设进展情况和存在的问题等。
  6.内部审计部门
  内部审计部门在评价内部控制的有效性,以及提出改进建议等方面起着关键作用。
  企业应当授予内部审计部门适当的权力以确保其独立地履行审计职责;内部审计部门负责人与董事会或审计委员会应保持畅通沟通;应当赋予内部审计部门追查异常情况的权力和提出处理处罚建议的权力。
  7.财会部门
  企业的财务活动应当贯穿单位经营管理全过程,企业开展内部控制工作,要求财会部门不能将眼光仅仅局限于财务活动,而应贯穿于企业经营管理的全过程,在制定发展战略、分析评估风险和作出决策等环节扮演好关键的助手和参谋角色。
  企业经理层应当赋予财会部门负责人参与相应决策的权力。
  8.其他职能部门
  企业内部各职能部门(或业务单位)及其全体员工都应当在建立与实施内部控制过程中承担相应职责并发挥积极作用。
  
  考点三:企业层面控制
  
  企业层面控制,是指对企业控制目标的实现具有重大影响,与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。
  应用指引目前主要规定了与内部环境直接相关的有关控制。
  
  一、组织架构控制:主要风险;设计环节;运行环节
  组织架构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
  (一)组织架构设计与运行中的主要风险
  1.治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。 
  2.内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。
  (二)组织架构设计环节的关键控制点及控制措施
  (1)董监高的职责权限、任职条件、议事规则和工作程序等应当根据国家有关法律法规的规定予以明确,企业的决策权、执行权和监督权应当相互分离,形成制衡。
  (2)企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。
  (3)避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
  (4)按照不相容职务相互分离的要求,对各机构的职能进行科学合理的分解,确定具体岗位的名称、职责和工作要求等,明确各个岗位的权限和相互关系。
  组织架构中的不相容职务通常包括:可行性研究与决策审批;决策审批与执行;执行与监督检查等。
  (5)企业应当制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件,使员工了解和掌握组织架构设计及权责分配情况,正确履行职责。
  (三)组织架构运行环节的关键控制点及控制措施
  1.全面梳理治理结构和内部机构
  企业应当根据组织架构的设计规范,对现有治理结构和内部机构设置进行全面梳理,确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。 
  2.对子公司的监控
  企业拥有子公司的,应当建立科学的投资管控制度,通过合法有效的形式履行出资人职责、维护出资人权益,重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。
  3.及时全面评估组织架构
  企业应当定期对组织架构设计与运行的效率和效果进行全面评估,发现组织架构设计与运行中存在缺陷的,应当进行优化调整。
  企业组织架构调整应当充分听取董事、监事、高级管理人员和其他员工的意见,按照规定的权限和程序进行决策审批。
  
  二、发展战略控制:主要风险;制定环节;实施环节
  发展战略,是指企业在对现实状况和未来趋势进行综合分析和科学预测的基础上,制定并实施的长远发展目标与战略规划。
  对企业发展整体性、长期性、基本性的谋略就是企业发展战略。
  (一)发展战略制定与实施中的主要风险
  1.缺乏明确的发展战略或发展战略实施不到位,可能导致企业盲目发展,难以形成竞争优势,丧失发展机遇和动力。
  2.发展战略过于激进,脱离企业实际能力或偏离主业,可能导致企业过度扩张,甚至经营失败。
  3.发展战略因主观原因频繁变动,可能导致资源浪费,甚至危及企业的生存和持续发展。
  (二)发展战略制定环节的关键控制点及控制措施
  (1)企业应当在充分调查研究、科学分析预测和广泛征求意见的基础上,综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水平和自身优势与劣势等影响因素,制定发展目标。
  (2)企业应当根据发展目标制定战略规划,明确企业发展的阶段性和发展程度,确定每个发展阶段的具体目标、工作任务和实施路径。
  (3)企业可以在董事会下设立战略委员会,或指定相关机构负责发展战略规划管理工作,履行相应职责。
  (4)董事会应当严格审议战略委员会提交的发展战略方案,重点关注其全局性、长期性和可行性。董事会在审议方案中如果发现重大问题,应当责成战略委员会对方案作出调整。
  企业的发展战略方案经董事会审议通过后,报经股东(大)会批准实施。
  (三)发展战略实施环节的关键控制点及控制措施
  1.企业应当根据发展战略,制定年度工作计划,编制全面预算,将年度目标分解、落实;同时完善发展战略管理制度,确保发展战略有效实施。
  2.企业应当采取组织结构调整、人员调配、财务安排、薪酬分配、信息沟通、管理和技术变革等配套保障措施,确保发展战略的有效实施。
  3.企业应当重视发展战略的宣传工作,通过内部各层级会议和教育培训等有效方式,将发展战略及其分解落实情况传递到内部各管理层级和全体员工。
  4.企业应当加强对发展战略实施情况的监控和评估,定期收集和分析相关信息,对于明显偏离发展战略的情况,应当及时进行内部报告;由于经济形势、产业政策、技术进步、行业状况以及不可抗力等因素发生重大变化,确需对发展战略作出调整的,应当按照规定权限和程序调整发展战略。
  
  三、人力资源控制:主要风险;引进与开发;使用与退出
  (一)人力资源管理中的主要风险
  1.人力资源缺乏或过剩、结构不合理、开发机制不健全,可能导致企业发展战略难以实现。
  2.人力资源激励约束制度不合理、关键岗位人员管理不完善,可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。
  3.人力资源退出机制不当,可能导致法律诉讼或企业声誉受损。
  (二)人力资源引进与开发环节的关键控制点及控制措施
  (1)企业应当根据人力资源总体规划,按照计划、制度和程序组织人力资源引进工作。
  (2)企业应当根据人力资源能力框架要求,通过公开招聘、竞争上岗等多种方式选聘优秀人才,重点关注选聘对象的价值取向和责任意识。
  (3)企业应当依法与选聘人员签订劳动合同,建立劳动用工关系。有关岗位还需签订保密协议,明确保密义务。
  (4)企业应当建立选聘人员试用期和岗前培训制度,对试用人员进行严格考察。
  (5)企业应当重视人力资源开发工作,建立员工培训长效机制,加强后备人才队伍建设,促进全体员工的知识、技能持续更新。
  (三)人力资源使用与退出环节的关键控制点及控制措施
  (1)企业应当建立和完善人力资源的激励约束机制,设置科学的业绩考核指标体系,对各级管理人员和全体员工进行严格考核与评价。
  (2)企业应当制定与业绩考核挂钩的薪酬制度,切实做到薪酬安排与员工贡献相协调,体现效率优先,兼顾公平。
  (3)企业应当制定各级管理人员和关键岗位员工定期轮岗制度,明确轮岗范围、轮岗周期、轮岗方式等,形成相关岗位员工的有序持续流动,全面提升员工素质。
  (4)企业应当按照有关法律法规规定,结合企业实际,建立健全员工退出(辞职、解除劳动合同、退休等)机制,明确退出的条件和程序,确保员工退出机制得到有效实施。
  (5)企业应当与退出员工依法约定保守关键技术、商业秘密、国家机密和竞业限制的期限。关键岗位人员离职前,应当根据有关规定进行工作交接或离任审计。
  (6)企业应当定期对年度人力资源计划执行情况进行评估,总结经验,分析存在的主要缺陷和不足。

  四、社会责任控制:主要风险;安全生产环节;产品质量环节;环境保护与资源节约环节;促进就业与员工权益保护环节
  社会责任,是指企业在经营发展过程中应当履行的社会职责和义务,主要包括安全生产、产品质量、环境保护、资源节约、促进就业、员工权益保护等。
  (一)履行社会责任中的主要风险
  1.安全生产措施不到位,责任不落实,可能导致企业发生安全事故。
  2.产品质量低劣,侵害消费者利益,可能导致企业巨额赔偿、形象受损,甚至破产。
  3.环境保护投入不足,资源耗费大,造成环境污染或资源枯竭,可能导致企业巨额赔偿、缺乏发展后劲,甚至停业。
  4.促进就业和员工权益保护不够,可能导致员工积极性受挫,影响企业发展和社会稳定。
  (二)安全生产环节的关键控制点及控制措施
  建立制度;设置机构;重视投入;预防为主;妥善处理
  (三)产品质量环节的关键控制点及控制措施
  遵循要求;规范流程;严格检验;售后服务
  (四)环境保护与资源节约环节的关键控制点及控制措施
  建立制度;重视投入;加快改造;注重监控;定期检查
  (五)促进就业与员工权益保护环节的关键控制点及控制措施
  依法保护;薪酬管理;社会保险;组织建设;公益事业
  
  五、企业文化控制:主要风险;文化培育环节;文化评估环节
  企业文化,是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神,以及在此基础上形成的行为规范的总称。
  (一)企业文化建设中的主要风险
  1.缺乏积极向上的企业文化,可能导致员工丧失对企业的信心和认同感,企业缺乏凝聚力和竞争力。
  2.缺乏开拓创新、团队协作和风险意识,可能导致企业发展目标难以实现,影响可持续发展。
  3.缺乏诚实守信的经营理念,可能导致舞弊事件的发生,造成企业损失,影响企业信誉。
  4.忽视文化差异和冲突,可能导致并购重组失败。
  (二)企业文化培育环节的关键控制点及控制措施
  注重特色;确立目标和内容,形成文化规范;董监高率先垂范;融入生产经营过程;关注并购中的文化建设。
  (三)企业文化评估环节的关键控制点及控制措施
  1.企业文化评估是企业文化建设与创新的重要环节。企业应当建立企业文化评估制度,明确评估的内容、程序和方法,落实评估责任制,避免企业文化建设流于形式。
  2.重点关注董监高在企业文化建设中的责任履行情况、全体员工对企业核心价值观的认同感、企业经营管理行为与企业文化的一致性、企业品牌的社会影响力、参与企业并购重组各方文化的融合度,以及员工对企业未来发展的信心;
  3.重视评估结果。
  【案例题2】红星公司是一家集农工商为一体的中型企业,主要从事农产品的生产、加工和销售,在国内农副产品市场,具有较高的知名度和市场的份额。
  红星公司的董事长张某十年前从事贩卖鸭蛋的生意,有了一定的资本以后,在数年前与他的妹夫一起创立了红星公司,同时任命他的妹夫随某为公司的总经理。
  公司以利润的最大化为目标,红星公司决定从农产品的生产开始建立生产基地,按照市场销售动向生产产品,以满足消费者的需求,提高销量,扩大市场份额,提高市场效益。加工阶段,注意产品的形象,多生产品向好的产品,在销售阶段,建立营销队伍,设立专柜,扩大宣传,引导消费。
  公司经过努力,企业规模不断扩大,经济效益节节升高。销售过程中,总经理随某发现,大多数人在买东西的时候都愿意挑颜色好看的产品,比方说,买咸鸭蛋时喜欢买红心的,如果能够生产出红心蛋,不但卖的快而且价钱高,这种情况下,公司千方百计生产红心蛋,这一提议得到了董事长张某的全力支持,经过实验,只要在饲料当中添加苏丹红,鸭子所产下来的鸭蛋就符合红心蛋的标准,经过加工,咸制,最终产生了公司的特产红心鸭蛋。
  苏丹红学名叫苏丹,分为1234号,都是工业染料,其中苏丹红4号不但颜色更加鲜艳,毒性更大,国际癌症研究机构将苏丹红4号列为三类致癌物品,这些红心蛋经中国检验检疫,这个食品安全研究所检测结果显示,这些红心鸭蛋已经遭到了严重的污染,产品含有苏丹红4号。
  在实验之初,红星公司的技术人员曾经注意到苏丹红作为工业染料含有对人的致癌物品,不能作为食品的添加剂,而且国家是明令禁止的,董事长张某还是决定继续使用苏丹红作为饲料的添加剂,企业决策层一片拥护,未能对张某的决定予以否决。
  事件暴露以后,国家行政主管部门,对红星公司进行了封杀,要求全面检查红心蛋的生产和经营单位,详细登记市场上销售涉嫌含有苏丹红红心鸭蛋进货和库存的情况,并且将所有产品予以查封和销毁,红星公司的鸭蛋遭到封杀,产品被查封,企业停产整顿,相关责任人被依法查处。
  要求:
  从内部控制的角度,简要分析红星公司企业层面的控制方面所存在的缺陷。

  [答疑编号6177040401:针对该题提问]

 

 

 

『正确答案』
  1.组织架构控制方面有问题。
  理由:董事长张某任命其妹夫随某为总经理,董事长说话作出决定管理层一片拥护,对明显或重大错误的决定没有进行否决,导致企业的治理结构形同虚设;任命其亲信作为总经理,也是违背治理结构的要求的。
  2.发展战略的控制方面所存在的缺陷。
  缺乏明确、科学的发展战略和长远的规划。
  理由:其目标是追求利润最大化,在这个过程中出现了问题。企业应该合法、合规经营,不能把目标仅仅定位于追求利润最大化。
  3.社会责任方面所存在的缺陷。
  理由:产品质量低劣,坑害广大消费者。结果导致产品被查封,企业被清理整顿。
  4.在企业文化控制方面所存在的缺陷。
  理由一:企业决策层特别是董事长道德缺失,这是内部控制环境的最大缺陷,也是导致问题的最根本原因。
  理由二:随某及其他高管人员缺乏正确的文化观念或价值取向,是导致该企业经营失败的重要原因。

 


  考点四: 业务层面控制
  
  业务层面控制,是指综合运用各种控制手段和方法,针对具体业务和事项实施的控制。由于企业性质、规模、经营范围和业务特点千差万别。在此,侧重介绍多数企业普遍存在的部分控制。
  本部分依据《企业内部控制应用指引第6号~第18号》,共13项控制,其中9项属于控制活动类,4项属于控制手段类。
  
  一、资金活动控制:主要风险;筹资;投资;资金运营
  资金活动,是指资金流入与流出企业,以及资金在企业内部流转的总称,包括筹资、投资和资金营运等活动。
  (一)资金活动中的主要风险
  1.筹资决策不当,引发资本结构不合理或无效融资,可能导致企业筹资成本过高或债务危机。
  2.投资决策失误,引发盲目扩张或丧失发展机遇,可能导致资金链断裂或资金使用效益低下。
  3.资金调度不合理、营运不畅,可能导致企业陷入财务困境或资金冗余。
  4.资金活动管控不严,可能导致资金被挪用、侵占、抽逃或遭受欺诈。
  (二)筹资活动中的关键控制点及控制措施
  拟定筹资方案;
  进行可行性论证;
  严格审批,重大筹资方案需集体决策或联签;
  关注借款或发债的风险;关注发行股票的风险;
  按规定使用;
  严格执行合同或约定条款。
  (三)投资活动中的关键控制点及控制措施
  拟定投资方案;
  进行可行性研究,关注风险和收益;
  严格审批,重大投资项目需集体决策或联签;
  签订投资合同;
  项目跟踪管理;
  控制并购风险;
  加强投资收回和处置控制。
  (四)资金营运环节的关键控制点及控制措施
  加强资金运营过程管理,关注两个周转;
  组织协调资金调度,严禁体外循环;
  定期组织资金安全检查;
  加强会计系统控制;
  注重内部牵制。
  
  二、采购业务控制:主要风险;购买环节;付款环节
  (一)采购活动中的主要风险
  1.采购计划安排不合理,造成库存短缺或积压,可能导致企业生产停滞或资源浪费。
  2.供应商选择不当,授权审批不规范等,可能导致采购物资质次价高,出现舞弊或遭受欺诈。
  3.采购验收不规范,付款审核不严,可能导致采购物资、资金损失或信用受损。
  (二)购买环节的关键控制点及控制措施
  建立采购申请制度;
  按照预算执行进度办理请购手续;
  建立供应商评估和准入制度;
  合理选择采购方式;
  建立科学的定价机制;
  建立严格的验收制度。
  同时,注意企业采购业务的不相容岗位:
  (1)请购与审批。
  (2)供应商的选择与审批。
  (3)采购合同协议的拟订、审核与审批。
  (4)采购、验收与相关记录。
  (三)付款环节的关键控制点及控制措施
  加强采购付款管理;
  加强预付账款和定金的管理;
  加强对采购活动的会计系统控制;
  建立退货管理制度
  
  三、资产管理控制:主要风险;存货;固定资产;无形资产
  (一)资产管理中的主要风险
  1.存货积压或短缺,可能导致流动资金占用过量、存货价值贬损或生产中断。
  2.固定资产更新改造不够、使用效能低下等,可能导致企业缺乏竞争力、资产价值贬损、安全事故频发。
  3.无形资产缺乏核心技术、权属不清、技术落后等,可能导致企业法律纠纷、缺乏可持续发展能力。
  (二)存货管理控制关键控制点和控制措施
  规范存货验收程序和方法;
  建立存货保管制度;
  明确发出和领用审批权限;
  注重库存量管理;
  注重入库、出库及库存记录管理;
  建立清查盘点制度
  (三)固定资产管理控制关键控制点和控制措施
  制定固定资产目录;
  严格执行日常维护修理和改良计划;
  严格操作流程;
  加大技改投入;
  规范抵押管理;
  建立清查盘点制度;
  加强处置管理。
  (四)无形资产管理控制关键控制点和控制措施
  制定分类管理办法;
  加强无形资产权益的保护;
  制定定期评估制度,加大研发投入;
  注重品牌建设,加强声誉管理
  
  四、销售业务控制:主要风险;销售环节;收款环节
  (一)销售活动中的主要风险
  1.销售政策和策略不当,销售渠道管理不当等,可能导致销售不畅、库存积压、经营难以为继。
  2.客户信用管理不到位,结算方式选择不当,账款回收不力,可能导致销售款项不能收回或遭受欺诈。
  3.销售过程存在舞弊行为,可能导致企业利益受损。
  (二)销售环节的关键控制点及控制措施
  加强市场调查,拟定销售策略;
  健全客户信用档案;
  注重签订合同前的洽谈和谈判;
  签订销售合同,加强合同管理;
  严格组织发货,注重退货管理;
  加强销售的会计系统控制;
  加强对客户的服务和跟踪。
  (三)收款环节的关键控制点及控制措施
  完善应收款项管理制度;
  加强应收票据管理;
  加强收款环节的会计系统控制;
  加强对坏账的管理

  五、研究与开发控制:主要风险;立项与研究;开发与保护
  (一)研究与开发活动中的主要风险
  1.研究项目未经科学论证或论证不充分,可能导致创新不足或资源浪费。
  2.研发人员配备不合理或研发过程管理不善,可能导致研发成本过高、舞弊或研发失败。
  3.研究成果转化应用不足、保护措施不力,可能导致企业利益受损。
  (二)立项与研究环节的关键控制点及控制措施
  注重可行性研究;
  严格审批程序,重大研究项目集体审议决策;
  加强研究过程管理和合作研究管理;
  建立成果验收制度;
  建立核心研究人员管理制度。
  (三)开发与保护环节的关键控制点及控制措施
  加强研究成果的开发,促进研究成果转化;
  建立研究成果保护制度;
  建立研发活动评估制度。

  六、工程项目控制:主要风险;立项;招标;造价;建设;验收
  (一)工程项目管理中的主要风险
  1.立项缺乏可行性研究或者可行性研究流于形式、决策不当、盲目上马,可能导致难以实现预期效益或项目失败。
  2.项目招标暗箱操作,存在商业贿赂,可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案。
  3.工程造价信息不对称,技术方案不落实,概预算脱离实际,可能导致项目投资失控。
  4.工程物资质次价高、工程监理不到位、项目资金不落实,可能导致工程质量低劣,进度延迟或中断。
  5.竣工验收不规范,最终把关不严,可能导致工程交付使用后存在重大隐患。
  (二)工程立项环节的关键控制点及控制措施
  指定专门机构归口管理工程项目;
  对项目建议书和可行性研究报告进行充分论证和评审;
  按照规定的权限和程序对工程项目进行决策。
  (三)工程招标环节的关键控制点及控制措施
  公开招标,择优选择;
  建立评标委员会,加强监督;
  按照规定权限和程序确定中标人;
  与中标人签订合同,明确双方权利和义务。
  (四)工程造价环节的关键控制点及控制措施
  加强工程造价管理;
  加强与设计单位的交流和沟通;
  建立设计变更管理制度;
  注重工程概预算审核。
  (五)工程建设环节的关键控制点及控制措施
  加强对工程建设过程的监控;
  加强工程物资采购环节的管理和监督;
  执行工程监理制度;
  及时办理工程价款结算;
  严格执行工程变更审批制度。
  (六)工程验收环节的关键控制点及控制措施
  及时编制竣工决算;
  及时进行竣工验收;
  建立工程项目档案;
  建立后评估制度,加强跟踪管理。

  七、担保业务控制:主要风险;评估与审批;执行与监督
  (一)担保业务活动中的主要风险
  1.对担保申请人的资信状况调查不深,审批不严或越权审批,可能导致企业担保决策失误或遭受欺诈。
  2.对被担保人出现财务困难或经营陷入困境等状况监控不力,应对措施不当,可能导致企业承担法律责任。
  3.担保过程中存在舞弊行为,可能导致经办审批等相关人员涉案或企业利益受损。
  (二)调查评估与审批环节的关键控制点及控制措施
  1.对担保申请人进行资信调查和风险评估,出现以下情形之一的,不得提供担保:
  (1)担保项目不符合国家法律法规和本企业担保政策的。
  (2)已进入重组、托管、兼并或破产清算程序的。
  (3)财务状况恶化、资不抵债、管理混乱、经营风险较大的。
  (4)与其他企业存在较大经济纠纷,面临法律诉讼且可能承担较大赔偿责任的。
  (5)与本企业已经发生过担保纠纷且仍未妥善解决的,或不能及时足额交纳担保费用的。
  2.建立担保授权和审批制度,重大担保业务,应当报经董事会或类似权力机构批准。
  3.加强对子公司担保业务的统一监控。企业内设机构未经授权不得办理担保业务。
  4.关联方担保,存在经济利益关系的有关人员需回避评估及审批。
  (三)执行与监督环节的关键控制点及控制措施
  订立担保合同;
  加强担保合同的日常管理;
  加强对担保业务的会计系统控制;
  加强对反担保财产的管理;
  建立担保业务责任追究制度;
  加强担保合同到期时的管理。

  八、业务外包控制:主要风险;承包方选择;外包业务实施
  (一)业务外包活动中的主要风险
  1.外包范围和价格确定不合理、承包方选择不当,可能导致企业遭受损失。
  2.业务外包监控不严、服务质量低劣,可能导致企业难以发挥业务外包的优势。
  3.业务外包存在商业贿赂等违法行为,可能导致企业相关人员涉案。
  (二)承包方选择环节的关键控制点及控制措施
  1.综合考虑成本效益原则,避免将核心业务外包。
  2.拟定实施方案,按照规定的权限和程序审核批准。
  总会计师或分管会计工作的负责人应当参与重大业务外包的决策。重大业务外包方案应当提交董事会或类似权力机构审批
  3.择优选择承包方,签订外包业务合同。
  4.合理确定外包价格。
  5.明确承包方的责任和保密义务。
  (三)外包业务实施环节的关键控制点及控制措施
  1.加强业务外包实施的管理。
  2.加强与承包方的沟通与协调。
  3.加强对外包业务的核算与监督。
  4.对承包方的履约能力进行持续评估。
  5.加强对已完成业务外包合同的验收工作。

  九、财务报告控制:主要风险;编制;对外提供;分析利用
  (一)财务报告过程中的主要风险
  1.编制财务报告违反会计法律法规和国家统一的会计准则制度,可能导致企业承担法律责任和声誉受损。
  2.提供虚假财务报告,误导财务报告使用者,造成决策失误,干扰市场秩序。
  3.不能有效利用财务报告,难以及时发现企业经营管理中存在的问题,可能导致企业财务和经营风险失控。
  (二)财务报告编制环节的关键控制点及控制措施
  关注会计政策和会计估计;
  遵循企业会计准则要求;
  如实反映各个项目的金额,关注资产减值等;
  注重按要求对附注的编制;
  关注合并财务报表的范围和方法;
  注重信息技术的运用。
  (三)对外提供环节的关键控制点及控制措施
  及时对外提供财务报告;
  装订成册,签名盖章;
  一并提交审计报告。
  (四)分析利用环节的关键控制点及控制措施
  定期召开财务分析会议;
  注重对四张报表的不同分析;
  形成财务分析报告。

  十、全面预算控制:主要风险;编制;执行;考核
  (一)预算管理中的主要风险
  1.不编制预算或预算不健全,可能导致企业经营缺乏约束或盲目经营。
  2.预算目标不合理、编制不科学,可能导致企业资源浪费或发展战略难以实现。
  3.预算缺乏刚性、执行不力、考核不严,可能导致预算管理流于形式。
  (二)预算编制环节的关键控制点及控制措施
  1.建立和完善预算编制工作制度。
  2.遵循上下结合、分级编制、逐级汇总的程序。
  3.形成全面预算草案,并提交董事会。
  4.董事会审核全面预算草案。全面预算应当报经股东(大)会审议批准。
  (三)预算执行环节的关键控制点及控制措施
  1.加强对预算执行的管理。
  2.将预算指标层层分解,形成全方位的预算执行责任体系。
  3.根据全面预算管理要求,组织各项生产经营活动和投融资活动,严格预算执行和控制。
  4.及时向决策机构和各预算执行单位报告、反馈预算执行进度、执行差异及其对预算目标的影响。
  5.建立预算执行情况分析制度。
  6.预算应当保持稳定,不得随意调整。
  (四)预算考核环节的关键控制点及控制措施
  1.建立严格的预算执行考核制度。
  2.预算管理委员会定期组织预算执行情况考核。
  3.考核工作应当坚持公开、公平、公正的原则,考核过程及结果应有完整的记录。

  十一、合同管理控制:主要风险;订立;履行
  (一)合同管理中的主要风险
  1.未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈,可能导致企业合法权益受到侵害。
  2.合同未全面履行或监控不当,可能导致企业诉讼失败、经济利益受损。
  3.合同纠纷处理不当,可能损害企业信誉和形象。
  (二)合同订立环节的关键控制点及控制措施
  1.企业对外发生经济行为,应当订立书面合同。
  2.根据协商、谈判等的结果,拟订合同文本。
  3.对合同文本进行严格审核。
  4.企业应当按照规定的权限和程序与对方当事人签署合同。
  5.建立合同专用章的保管制度。
  6.加强合同信息安全保密工作。
  (三)合同履行环节的关键控制点及控制措施
  1.履行过程中发现有显失公平、条款有误或对方有欺诈行为等情形,应按照规定权限和程序办理合同变更或解除事宜。
  2.加强合同纠纷管理。
  3.财会部门对合同条款审核后办理结算业务。
  4.加强合同登记管理。
  5.建立合同履行情况评估制度。

  十二、内部信息传递控制:主要风险;报告形成;使用
  (一)内部信息传递过程中的主要风险
  1.内部报告系统缺失,功能不健全,内容不完整,可能影响生产经营有序运行。
  2.内部信息传递不通畅、不及时,可能导致决策失误、相关政策措施难以落实。
  3.内部信息传递中泄露商业秘密,可能削弱企业核心竞争力。
  (二)内部报告形成环节的关键控制点及控制措施
  1.全面反映与生产经营管理相关的内外部信息。
  2.制定严密的内部报告流程。
  3.广泛收集、分析、整理外部信息并及时报告。
  4.拓宽内部报告渠道,广泛收集合理化建议;重视和加强反舞弊机制建设。
  (三)内部报告使用环节的关键控制点及控制措施
  1.利用内部报告进行风险评估,准确识别和系统分析内外部风险。
  2.制定严格的内部报告保密制度。
  3.建立内部报告的评估制度。

  十三、信息系统控制:主要风险;开发;运行与维护
  (一)信息系统开发、运行与维护过程中的主要风险
  1.信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
  2.系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
  3.系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
  (二)信息系统开发环节的关键控制点及控制措施
  明确信息系统建设目标;
  采取多种方式开发信息系统;
  注重信息系统与业务的结合及可审计性;
  加强信息系统开发的全过程跟踪管理;
  注重信息系统的验收及后续培训工作。
  (三)信息系统运行与维护环节的关键控制点及控制措施
  1.加强信息系统运行与维护的管理。
  2.建立信息系统变更管理流程。
  3.建立不同等级信息的授权使用制度。
  4.建立用户管理制度,加强对重要业务系统的访问权限管理。
  5.加强网络安全管理。
  6.建立系统数据定期备份制度。
  7.注重关键设备的日常维护与检查。
  【案例题3】甲公司为一家以汽车制造为主业的大型国有控股上市公司。为贯彻落实国家十二五规划转型升级,提高产业核心竞争力的要求,力争在十二五时期实现经济效益的大幅提高和公司品牌影响力的持续扩大,甲公司于2011630召开董事会,就下一阶段走出去、大力开拓海外市场的有关改革措施作出如下决议。
  (1)积极开拓非洲等新兴市场,选择政局稳定、市场前景良好的部分国家开展经营,将产品和服务拓展到上述地区,逐步扩大市场占有率。根据公司境外经营的统一政策,产品和服务以本地货币计价,同时交易以美元结算。
  (2)加大研发力度,以培育享誉国际的自主品牌为目标,充分利用公司高素质的研究团队和丰富的研发资源,在整车开发、新能源应用、零部件及配件技术自主化等涉及汽车制造的各个技术领域启动全方位研发工作,力争在较短时间内有所突破。
  (3)开通国际网络营销渠道,通过公开招标方式择优选择国际知名信息技术提供商,要求承包方在严格遵守有关保密协议的基础上,根据本公司经营管理特点开发设计网络营销平台,并委托其全权负责该平台的运营和管理工作,从而让公司管理人员和营销人员能够集中精力做好市场开拓和品牌推广。
  (4)加大资本运作力度,在充分研究论证的基础上,报经董事会或股东大会批准,兼并重组境外的上游零部件供应商和部分下游销售平台,更好地整合当地资源;同时,利用境外较为成熟的金融市场,大力开展衍生金融产品投资,以获取投资收益。
  (5)在开拓海外市场的同时,不断夯实内部管理。进一步强化审计委员会和内部审计机构的职能作用,审计委员会2/3以上成员由执行董事兼任。 
  要求:
  1.根据财政部、证监会、审计署、银监会、保监会联合发布的《企业内部控制基本规范》和《企业内部控制配套指引》,逐项识别甲公司董事会决议中(1)至(5)项改革措施所面临的主要风险;同时,针对识别出的主要风险,逐项设计相应的控制措施。
  2.假设你是甲公司的高级管理人员,立足企业层面考虑,简要说明在制定风险应对策略时需要考虑的主要因素。

  [答疑编号6177040601:针对该题提问]

 

 

 

  『正确答案』
  1.1)第一项改革措施存在的风险:甲公司在非洲等新兴市场开展经营,以本地货币计价,以美元结算交易,可能由于汇率波动而产生汇率风险(或:外汇风险)。
  控制措施:甲公司可以采取套期保值(或:远期合约;或:提前或延期收付款;或购买保险)等措施来降低或分担风险。
  (2)第二项改革措施存在的风险:研究项目未经科学论证或论证不充分,可能导致资源浪费。(或:研究项目立项风险。)
  控制措施:甲公司应当根据发展战略,结合市场开拓和技术进步要求,科学制定研发计划,提出研究项目立项申请,开展可行性研究,编制可行性研究报告,按规定的权限和程序对研发项目进行审批。
  (3)第三项改革措施存在的风险:业务外包监控不严,服务质量低劣,可能导致企业难以发挥业务外包优势。(或:业务外包过程管理风险。)
  控制措施:企业应当加强与承包方的沟通与协调,及时搜集相关信息,发现和解决外包业务日常管理中存在的问题;应当密切关注并持续评估承包方的履约能力,建立相应的应急机制,避免业务外包失败造成本企业生产经营活动中断。
  (4)第四项改革措施存在的风险:投资决策失误,可能导致投资损失。(或:投资决策风险。)
  控制措施:企业选择投资项目应当突出主业。
  (或:企业应当谨慎从事衍生金融产品等高风险投资。)
  (5)第五项改革措施存在的风险:组织架构设计风险。(或:治理机构缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。)
  控制措施:审计委员会成员应当具备独立性。
  (或:审计委员会半数以上成员应当由独立董事组成。)
  2.企业应当在分析了相关风险发生的可能性和影响程度后,结合风险承受度,权衡风险与收益,制定风险应对策略。
  风险应对策略的选择与企业风险偏好密切相关,应当避免因个人风险偏好给企业经营带来重大损失。

 



  考点五:内部控制信息系统建设
  利用信息化手段整合和优化内部控制系统,是企业内部控制体系建设的重要内容。
  (一)内部控制信息系统建设的基本模式
  内部控制信息系统建设通常有三种基本模式:
  1.独立模式
  即建立独立运行的内部控制信息系统。
  这种模式:(1)便于企业管理层和内部控制职能部门使用该系统开展内部控制设计与运行工作;
  (2)常见于企业内部控制体系建设初期。
  2.整合模式
  整合模式是指将多个与内部控制密切相关管理系统、业务系统与内部控制信息系统进行集成,形成企业整体的管控体系。
  整合模式下,内部控制信息系统与企业管理信息系统、业务系统的边界逐渐模糊,内部控制将完全融入企业的管理决策和日常经营活动之中。
  3.附加模式
  即在现有管理系统中增加内部控制管理功能。
  (1)对于内部控制信息基础较好,且有较强自主开发能力的企业,可以采用附加模式对已有系统进行升级改造;
  (2)附加模式可利用已有的信息技术基础和管理基础,开发成本较低,但内部控制管理功能模块后续扩展可能会受到原系统架构和现有开发能力的限制。
  注意:企业应当根据自身的信息技术条件和管理水平,以及内部控制体系建设所处的阶段,合理选择适合本企业实际的内部控制信息系统建设模式,力求以较低的成本实现较好的控制效果。
  (二)内部控制信息系统建设的主要步骤
  企业内部控制信息系统建设应当以较为完善的内部控制体系建设为基础和起点。
  企业在开展内部控制体系建设的同时规划内部控制信息系统建设,一般采用以下几个步骤:
  
  1.内部控制体系建立
  企业根据内部控制规范体系的要求,结合业务现状以及相关业务流程,梳理企业内部业务流程、主要风险及控制点,制定相应控制措施,形成企业内部控制制度和控制文档,建立企业内部控制体系。
  2.内部控制信息系统建设可行性分析
  (1)企业在建立健全内部控制制度和控制文档的同时,可以根据内部控制体系建设工作开展的具体情况,分析建立内部控制信息系统的必要性;
  (2)企业根据内部控制信息系统建设可行性分析结果,形成可行性分析报告,确定内部控制信息系统建设的基本模式和路线图。
  3.对企业现有信息系统进行更新改造
  企业根据内部控制信息系统建设可行性报告,结合企业现有信息技术水平和管理状况,完善对原有系统的更新改造,将内部控制体系建设对原有系统功能的相关改进在信息系统中予以实现
  4.全面建成内部控制信息系统
  企业在完成以上三个步骤的基础上,建立健全内部控制信息系统,通过内部控制信息系统与原有信息系统提取式和嵌入式的集成,实现内部控制信息系统的全面建设。
  内部控制信息系统从架构上应该独立于企业各个业务系统,其具体功能包括对企业内部控制制度和控制文档的管理和维护,并支持企业的内部控制职能部门对企业内部控制有效性进行测试和评估。

  考点六:内部控制评价
  企业董事会或类似权力机构应当定期对內部控制的有效性进行全面评价、形成评价结论、出具评价报告。
  评价主体:董事会或类似权力机构
  评价性质:自我评价
  评价内容:內部控制设计的有效性;內部控制运行的有效性
  实施部门:内部审计部门或其他专门机构

  一、内部控制评价的原则
  (一)全面性原则
  涵盖各种业务和事项。
  (二)重要性原则
  风险为导向;重要业务单位、重大业务事项和高风险领域。
  (三)客观性原则
  以事实为依据,确保评价结果有充足且适当的证据支持。

  二、内部控制评价的内容与核心指标
  围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容。
  建立内部控制评价的核心指标体系,对内部控制设计与运行情况进行全面评价
  具体内容与核心指标见大纲。(2013教材未列示)
  注意:应与本章第一部分的五要素比照学习。

  三、内部控制评价的程序
  企业开展内部控制评价工作,一般程序为:
  设置内部控制评价部门;(独立;胜任;权威)
  制定评价工作方案;
  组成评价工作组;
  实施现场测试;
  汇总评价结果;
  编报评价报告。
  (一)设置内部控制评价部门
  被授权的内部审计部门或其他专门机构。
  具备条件:
  权威(经董事会授权);独立;专业胜任;职业道德;沟通与有效。
  (二)制定评价工作方案
  评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。
  评价工作方案既可以全面评价为主,也可以根据需要采用重点评价的方式。
  (三)组成评价工作组
  评价工作组在内部控制评价部门领导下,具体承担内部控制检查评价任务。
  挑选具备独立性、业务胜任能力和职业道德素养的评价人员,组成评价工作组,具体实施评价工作。
  (四)实施现场测试
  评价工作组根据评价工作方案确定的内部控制评价范围,入驻被评价单位,实施现场测试,编制现场评价报告,提交现场评价结论(需签字)。
  (五)汇总评价结果
  内部控制评价部门汇总各评价工作组的评价结果,对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总,对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。
  (六)编报评价报告
  内部控制评价部门以汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制工作整体情况,客观、公正、完整地编制内部控制评价报告,并报送企业经理层、董事会和监事会,由董事会最终审定后对外披露或以其他形式加以合理利用。

  四、内部控制评价的方法:一般了解
  (一)个别访谈法
  个别访谈法主要用于了解企业及其所属单位内部控制的基本情况。
  被访谈人员主要为单位领导、相关机构负责人或一般岗位员工。评价人员在访谈工作结束后应撰写访谈纪要,如实记录访谈的内容。
  (二)调查问卷法
  常用于内部环境评价。问卷通常包括填列项目、控制描述和支持性文档等内容。
  (三)专题讨论法
  常用于控制活动评价。
  (四)穿行测试法
  含义:任意选取一笔交易作为样本,追踪该笔交易处理从起点到终点的全过程,以此识别出其中的关键控制环节,评估相关控制设计与运行的有效性。
  (五)实地查验法
  常用于对财产安全性目标的实现情况的评价,如对财产进行实地盘点、清查。
  (六)抽样法
  通过样本分析判断:分为随机抽样和其他抽样。
  (七)比较分析法
  指通过分析、比较数据间的关系、趋势或比率等来取得评价证据的方法。
  适宜找出异常区间或控制点。
  
  五、内部控制缺陷认定:重点
  (一)内部控制缺陷的定义与分类
  定义:评价内控有效性的负向维度,如果內部控制的设计或运行无法合理保证內部控制目标的实现,即意味着存在內部控制缺陷。
  分类:
  1.设计缺陷和运行缺陷
  2.财务报告内部控制缺陷和非财务报告内部控制缺陷
  财务报告内部控制缺陷:
  财务报表缺陷;
  会计基础工作缺陷;
  与财务报告密切关联的信息系统控制缺陷
  非财务报告内部控制缺陷:虽未直接影响财务报告的真实性和完整性,但影响其他內部控制目标的实现
  3.重大缺陷、重要缺陷和一般缺陷
  重大缺陷:严重影响内控的有效性,导致企业无法及时发现或防范严重偏离控制目标的情形。
  重要缺陷:低于重大缺陷,但有较大可能导致企业无法及时发现或防范严重偏离控制目标的情形
  一般缺陷:除重大缺陷和重要缺陷以外的缺陷。
  (二)内部控制缺陷的认定标准
  1.财务报告内部控制缺陷的认定标准
  由该缺陷可能导致财务报表错报的重要程度来确定,这种重要程度主要取决于两方面因素:
  第一,该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报;第二,该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。
  重大缺陷。如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止、发现并纠正财务报表中的重大错报,就应将该缺陷认定为重大缺陷。
  合理可能性是指大于微小可能性(几乎不可能发生)的可能性,对合理可能性的理解涉及评价人员的职业判断,且这种判断在不同评价期间应保持一致。
  重大错报中的重大,涉及企业确定的财务报表的重要性水平。
  一般而言,企业可以采用绝对金额法(如规定金额超过10 000元的错报应当认定为重大错报)或相对比例法(例如,规定超过净利润5%的错报应当认定为重大错报)来确定重要性水平。
  如果财务报告内部控制存在一项或多项重大缺陷,就不能得出该企业财务报告内部控制有效的结论。
  重要缺陷。如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止、发现并纠正财务报表中虽然未达到和超过重要性水平、但仍应引起董事会和经理层重视的错报,就应将该缺陷认定为重要缺陷。
  对于这类缺陷,虽然不影响企业财务报告内部控制的整体有效性,但应当及时向董事会和经理层报告,因此也称为应报告情形
  一般缺陷。不构成重大缺陷和重要缺陷的财务报告内部控制缺陷,应认定为一般缺陷。
  2.非财务报告内部控制缺陷的认定标准
  (1)定量标准
  (2)定性标准
  3.常见的內部控制存在重大缺陷情形:
  企业财务报表已经或者很可能被注册会计师出具否定意见或者拒绝表示意见;
  企业审计委员会和内部审计机构未能有效发挥监督职能;
  企业董事、监事和高级管理人员已经或者涉嫌舞弊,或者企业员工存在串谋舞弊情形并给企业造成重要损失和不利影响;
  企业在财务会计、资产管理、资本运营、信息披露、产品质量、安全生产、环境保护等方面发生重大违法违规事件和责任事故,给企业造成重要损失和不利影响,或者遭受重大行政监管处罚。
  上述控制缺陷如果对企业财务报表的真实可靠性产生影响,则为财务报告内部控制重大缺陷;如果不影响财务报表的真实可靠,则为非财务报告内部控制重大缺陷。
  (三)内部控制缺陷的报告和整改
  1.内部控制缺陷报告
  内部控制缺陷报告应当采取书面形式。
  对于一般缺陷和重要缺陷,通常向企业经理层报告,并视情况考虑是否需要向董事会及其审计委员会、监事会报告;
  对于重大缺陷,应当及时向董事会及其审计委员会、监事会和经理层报告。
  如果出现不适合向经理层报告的情形,如存在与经理层舞弊相关的内部控制缺陷,或存在经理层凌驾于内部控制之上的情形等,应当直接向董事会及其审计委员会、监事会报告。企业应根据内部控制缺陷的影响程度合理确定内部控制缺陷报告的时限,
  一般缺陷、重要缺陷应定期报告,重大缺陷即时报告。
  2.内部控制缺陷整改
  企业对于认定的内部控制缺陷,应当制定内部控制缺陷整改方案,按规定权限和程序审批后执行。
  方案需明确内部各管理层级和单位整改的职责分工,确保内部控制设计与运行的主要问题和重大风险得到及时解决和有效控制。对于认定的重大缺陷,还应及时采取应对策略,切实将风险控制在可承受度之内,并追究有关机构或相关人员的责任。
  通常做法:
  董事会应负责重大缺陷的整改,接受监事会的监督。
  经理层负责重要缺陷的整改,接受董事会的监督。
  内部有关单位负责一般缺陷的整改,接受经理层的监督。
  内部控制缺陷整改方案一般包括整改目标、内容、步骤、措施、方法和期限等,整改期限超过一年的,还应在整改方案中明确近期目标和远期目标以及对应的整改工作任务等。
  
  六、内部控制评价报告
  (一)内部控制评价报告的内容
  内部控制评价报告是内部控制评价工作的结论性成果,一般包括下列内容:
  1.董事会对内部控制报告真实性的声明。
  2.内部控制评价工作的总体情况。
  3.内部控制评价的依据。
  4.内部控制评价的范围。
  5.内部控制评价的程序和方法。
  6.内部控制缺陷及其认定。
  7.内部控制缺陷的整改情况。
  8.内部控制有效性的结论。
  报出前发生重大缺陷应调整报告结论。
  (二)内部控制评价报告的编制
  1.编制时间:定期和不定期;
  2.编制主体:单个企业和企业集团的母公司
  3.编制程序:复核底稿;搜集资料;撰写;上报
  (三)内部控制评价报告的报送
  内部控制评价报告报经董事会批准后对外披露或报送相关主管部门。
  上市公司年度必须向社会公开披露,接受社会监督,为投资者和社会公众决策提供依据;
  非上市企业须按规定报送财政等监管部门,接受政府的监督检查。
  内部控制评价报告通常应于基准日后4个月内报出。
  (四)内部控制评价报告的使用
  使用者包括政府监管部门、投资者及其他利益相关者、中介机构、研究机构等。
  
  考点七:内部控制审计

  一、内部控制审计的定义
  内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
  内部控制审计是内部控制外部评价的重要形式之一。
  内部控制审计是一项专门的鉴证业务。
  内部控制审计的范围限于对特定基准日内部控制设计与运行的有效性进行审计。
  被审计单位管理层应当就内部控制的有效性提供书面认定。
  责任划分。
  注意:内部控制审计与相关业务的区别
  1.内部控制审计与内部控制评价
  内部控制审计属于注册会计师外部评价,内部控制评价属于企业董事会自我评价,两者有本质的区别。
  首先,两者的责任主体不同。
  其次,两者的评价目标不同。内部控制评价是企业董事会对各类内部控制目标实施的全面评价;
  内部控制审计是注册会计师侧重对财务报告内部控制目标实施的审计评价。
  最后,两者的评价结论不同。
  企业董事会对内部控制整体有效性发表意见,并在内部控制评价报告中出具内部控制有效性结论;
  注册会计师仅对财务报告内部控制的有效性发表意见,对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段予以披露。
  2.内部控制审计与财务报表审计
  内部控制审计与财务报表审计的目标不同。
  前者是对被审计单位内部控制设计与运行的有效性进行审计,并重点就财务报告内部控制的有效性发表审计意见;
  后者是对财务报表是否按照国家统一的会计准则制度的规定编制、是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量发表审计意见。
  审计目标的不同导致两者在审计程序上也有着较大区别。
  但由于两者均关注财务报告质量和审计风险,审计过程中形成的审计证据又可以相互支持、相互利用,为此,注册会计师在计划和执行内部控制审计工作时,可以根据实际情况将内部控制审计与财务报表审计进行整合,以降低审计成本、提高审计质量。
  
  二、内部控制审计的程序
  (一)计划审计工作
  注册会计师需恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。
  (二)实施审计工作
  注册会计师按照自上而下的方法实施审计工作,将企业层面控制和业务层面控制的测试结合进行。
  (三)评价控制缺陷
  缺陷分类和认定标准与企业内部控制自我评价中内部控制缺陷的分类和认定标准类似,相对而言,注册会计师更关注财务报告内部控制缺陷的认定。
  (四)完成审计工作
  1.取得书面声明:注册会计师完成审计工作后,需取得经企业签署的书面声明。
  实质是注册会计师的免责声明。
  2.沟通控制缺陷。
  以书面形式沟通的有重大缺陷和重要缺陷。
  3.形成审计意见。
  
  三、內部控制审计报告
  (一)审计报告内容:一般了解。
  (二)审计意见类型
  无保留审计意见;带强调段的无保留意见;否定意见;无法表示意见。
  (三)审计期后事项
  类似于资产负债表日后事项。
  
  考点八:企业风险管理
  (一)风险管理与内部控制的关系
  1.风险管理的涵义
  风险管理就是对企业风险和机会的管理,它是企业从战略制定到日常经营过程中对待风险的一系列信念与态度,目的是确定可能影响企业的潜在事项,并进行管理,为实现企业的目标提供合理的保证。
  2.风险管理与内部控制
  内部控制的有效实施有赖于风险管理的技术方法,而风险管理离开了内部控制作为手段支撑也将流于形式。
  我国的企业内部控制规范体系将内部控制与风险管理融为一体。
  (二)风险识别与风险分析
  1.风险识别
  识别企业各类潜在的风险是履行具体控制程序的基础和起点。
  常用的风险识别技术和方法:
  (1)行业风险组合清单
  企业可以通过公开渠道或者利用外部专业咨询机构的资源,获取本行业的风险组合清单,作为识别本企业风险的基础和参考。
  (2)职能部门风险汇总
  企业管理层将发展战略和控制目标分解至各职能部门,由各职能部门根据分解的战略和目标,列举其职责范围内的各类风险,并经上级主管部门或管理层评估后予以确定。
  优点:可以识别各类细微的、容易被管理层忽视的风险;
  缺点:过于重视各职能部门的风险,可能错过影响企业战略实现的重大风险。
  (3)头脑风暴
  企业董事会及其风险管理委员会、审计委员会等专业委员会可以召集企业内部不同管理层级、不同职能部门、不同岗位的员工,对企业内部和外部可能存在的各类风险进行自由讨论,形成对企业风险的基本认识。
  有助于识别那些潜在的、不易被察觉的风险。
  (4SWOT分析
  企业在识别风险时,可以利用SWOT(优势、劣势、机会、威胁)分析的成果,重点关注SWOT矩阵中的劣势和威胁,在此基础上对风险进行讨论并形成一致意见。
  (5)问卷调查
  问卷调查通常是针对一项新的业务或事项进行的风险识别方法。
  2.风险分析
  (1)风险分析的程序
  分析风险可能性
  风险可能性分析一般通过实际信息收集,利用专业判断取得。科学的分析方法是使用数理统计的原理,根据现象特征,采用数学模型进行科学测算。
  风险可能性分析的结果一般有很少的不太可能的可能的很可能的几乎确定等几种情况。
  分析风险影响程度
  根据风险可能产生的影响,一般将风险性质划分为不重要的次要的中等的主要的灾难性的等几个级别。
  确定风险的重要性水平
  通过对风险发生的可能性和影响程度进行分析,将各类风险按照重要性水平进行排序,确定企业需要优先控制的风险,为选择相应的风险应对策略奠定基础。
  (2)风险分析的方法
  风险分析的方法包括:定性方法、定量方法以及定性与定量相结合的方法。
  定性方法

常用方法类型

适用范围

访谈、集体讨论、专家咨询、问卷调查以及标杆分析等

一般来说,在定性描述较为直观或者定量分析所需数据无法准确获取时,企业管理层倾向于采用定性的分析技术

  定量方法

常用方法类型

适用范围

概率技术(风险模型、损失事项评估和事后检验)、情景分析、压力测试、敏感性分析、计算机模拟(如蒙特卡罗分析法)等

一般来说,如果存在充分可靠的数据信息可以用来估计风险的可能性或影响程度时,就可以采用定量的分析方法

  具体的方法:
  敏感性分析
  适用范围:一般而言,当影响目标结果变动的是单一变量,而且该变量与所关注目标之间存在清晰的相关关系时,可以采用敏感性分析。
  说明:使用该方法应该明确因变量、自变量以及因变量和自变量之间的关系。
  行业标杆比较法
  使用该方法的关键是确定基准数据(即标杆),基准一般包括:内部基准、行业基准和最佳实践。
  风险价值
  风险价值(VAR)法是较为常见的风险定量分析方法之一。它是集合市场风险、信用风险、利率风险与外汇风险等财务风险于一体的统一性标尺。
  VAR可以应用于不同的风险项目而且保持量度的稳定性和一致性,令不同项目的风险都可以直接比较。在市场风险管理领域,VAR模型广泛用于估计潜在损失。
  风险价值通常是一个损失的数额,它应该只小于一个很小的预先确定的比例。
  说明:比较VAR量度的结果需要同一标准,缺乏共同标准将使比较失去意义。
  情景分析法
  可以计量某事件或事件组合对企业将会产生的影响。它通过想象、联想和猜想来构思和描绘未来可能的情况,从而为确定风险应对策略提供支持。
  主要程序包括:确定分析的主题、明确分析的范围;建立风险数据库,并将风险按其对主题的影响进行分类;构思风险各种可能的未来图景;设想一些突发事件,分析其对未来情景可能的影响;描述到未来各种状态的发展演变途径等。
  压力测试法
  是情景分析的一种形式。具体操作步骤为:
  首先,针对某一风险管理模型或内控流程,假设可能会发生哪些极端情景。极端情景是指在非正常情况下发生概率很小、而一旦发生后果十分严重的事项。
  其次,评估极端情景发生时,该风险管理模型或内控流程是否有效,并分析对目标可能造成的损失。
  最后,制定相应措施,进一步修改和完善风险管理模型或内控流程。
  风险矩阵
  绘制风险坐标图的目的在于对多项风险进行直观的比较,从而确定各风险管理的优先顺序和策略,是企业进行风险分析时最常用的方法。
  3.风险应对策略
  企业根据风险分析结果,合理选择应对策略,在选择风险应对策略时需要关注:
  (1)风险应对策略的选择依据是企业风险分析的结果,企业通过风险分析了解风险的重要性水平,针对不同的风险级次分别选择应对策略;
  (2)风险应对策略的选择必须能将企业的剩余风险控制在企业的风险承受度以内;
  (3)风险应对策略的选择必须在技术和资源上具有可行性;
  (4)风险应对策略的选择必须权衡成本与效益;
  (5)风险应对策略的选择应该考虑不同岗位人员的风险偏好,避免出现因个人风险偏好给企业整体战略和经营带来损失。
  风险应对策略包括风险规避、风险降低、风险分担和风险承受。
  (1)风险规避
  风险规避是指某项业务或事项风险发生的可能性大,并且风险发生的不利后果很严重,企业主动放弃或停止该活动,从而避免损失的一种风险应对策略。
  比如,由于在雨雪天气,航空公司取消某次航班;企业中止与信誉较差的供应商业务来往;新产品在试制阶段发现问题而停止研发。
  风险规避是控制风险的一种最彻底的措施,是相对消极的风险应对策略。企业在选择风险规避策略时必须考虑以下因素:
  风险规避是否影响企业的经营绩效。
  风险规避的成本(沉没成本)和效益。
  风险规避是否导致产生新的风险。
  (2)风险降低
  风险降低策略是风险应对策略中最为积极和常见的方法,包括风险预防和风险抑制。
  风险预防
  风险预防是指在风险事故发生之前,采取消除风险因素的措施,达到降低风险发生概率、减轻潜在损失的目的。
  风险抑制
  风险抑制是指企业针对不愿完全规避又无法顺利转移的风险,采取各种控制技术和方法来减少风险事故发生后的不利影响和损失。
  通常于风险事故发生之前就已经设计完成,但这一策略是在风险事故发生后才能发挥作用。
  风险抑制主要有风险分散和风险复制两种方法:

风险抑制方法

说明

举例

风险分散

通过增加风险单元的数目,将特定风险在较大范围内进行分散,以此减少单个风险单元的损失;
是金融证券投资领域常用的风险应对策略

比如,投资者在证券市场上选择不同类型的证券,通过证券组合来分散证券投资的风险,某一支或某几支股票出现的损失可以通过其他股票的收益来弥补。对于企业而言,也可以选择不同的投资项目来分散本企业总体的投资风险

风险复制

对某些资产或设备进行备份,在原有资产或设备不能正常使用的情况下,动用这些复制品

比如,企业储备一定数量的零部件以备设备出现故障时及时更换,从而不影响企业正常的生产活动

  (3)风险分担
  风险分担是指企业为避免承担风险损失,有意识地将可能产生损失的活动或与损失有关的财务后果转移给其他方的一种风险应对策略。
  风险分担常见的方法有业务分包、购买保险等,具体内容见下表:
  风险分担常见的方法

风险分担方法

说明

业务分包

将带有风险的活动转交给其他企业或个人来完成从而达到分担风险的目的;
一般说来,分包业务具有一定的技术或资源限制,分包合同中的受让方在对某种特定风险的处理能力上高于出让方;
业务分包在工程建设中较为普遍

购买保险

将未来将要发生的风险转移给保险公司,将不确定的损失转变为确定的成本(即保费支出)

出售

通过买卖契约将企业风险转移给其他方的方法,随着所有权的转移,原由企业承担的风险随之转移;
出售意味着企业放弃了相关风险,但出售行为不同于风险规避,在某些情形下,出售并没有完全回避风险,比如商品的售后服务

开脱责任合同

通过责任开脱条款的规定达到分担风险的目的

转移责任条款

在经济合同中将某些潜在的损失转移给其他方的条款

  (4)风险承受
  风险承受是指企业不采取任何措施来干预风险发生的可能性和影响。
  企业对风险承受度之内的风险,在权衡成本效益之后无意采取进一步控制措施的,可以采用风险承受策略。
  对于一些与企业发展战略或主营业务密切相关的风险,如果采用其他风险应对策略的成本过高,企业将被迫采用风险承受的应对策略。
  (5)风险应对策略的选择和调整
  企业应当根据自身所处的发展阶段、业务拓展情况、整体风险承受度等实际情况,对风险进行识别、分析,在权衡成本效益的基础上选择合适的应对策略,并根据业务开展情况及时调整风险应对策略。
  风险应对策略

风险应对策略

说明

风险规避策略

在采用其他任何风险应对策略都不能将风险降低到企业风险承受度以内的情况下适用

风险降低和风险分担策略

通过相关控制措施,将企业的剩余风险与风险承受度保持一致

风险承受

意味着风险在企业可承受范围之内

  企业生命阶段的风险应对

企业生命阶段

企业特征

风险承受度

风险应对策略

新生期

生产工艺和产品未定型、销售渠道不通畅、管理水平不高、企业抗风险能力差

风险承受度低

风险规避策略、风险降低策略、风险分担策略

成长期

实力逐步增强,经营者具有冒险精神

风险承受度逐步提高

风险降低策略、风险分担策略、风险承受策略

成熟期

组织体系已经趋于完备,企业管理趋于模式化、规范化

风险承受度维持在一个较高水平,但开始逐步降低

风险降低策略、风险分担策略

衰退期

资产负债率高、包袱沉重,产品亏损、组织结构混乱

风险承受度低

风险降低策略、风险分担策略、风险规避策略

  企业在选择或调整风险应对策略时应当采用风险组合观。
  风险组合观要求企业在管理风险时应当着眼于企业整体层面,致力于将风险控制在总体风险承受度范围之内。
  

 

 

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多