《汽车零部件公司内部控制规划【范文】.docx》由会员分享,可在线阅读,更多相关《汽车零部件公司内部控制规划【范文】.docx(94页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、泓域/汽车零部件公司内部控制规划汽车零部件公司内部控制规划目录一、 公司治理模式差异论3二、 公司治理与公司管理的关系6三、 董事会模式7四、 利益导向12五、 内部控制与企业风险管理的关系分析14六、 企业风险管理17七、 内部控制的相关比较26八、 企业内部控制规范的基本内容30九、 公司治理的影响因子41十、 公司治理的特征46十一、 内部控制演进过程总结48十二、 内部控制的演进51十三、 公司治理原则的概念64十四、 公司治理原则的内容65十五、 公司简介71公司合并资产负债表主要数据72公司合并利润表主要数据73十六、 项目基本情况73十七、 发展规划79十八、 组织机构及人力资源
2、85劳动定员一览表86十九、 SWOT分析说明87一、 公司治理模式差异论根据新古典综合学派的效率理论可知,不同的公司其治理机制的效率也是不同的。不同的经济任务、不同的经济环境必然也将产生不同的公司治理结构,迄今为止,没有任何一种公司治理模式被证明放之四海而皆准,那么,这种公司治理模式之间的差异就必将存在着。几种公司治理模式的产生都是与其具体的市场条件和政治、历史因素密切联系的。治理模式差异论认为,由于经济、政治、文化等方面的差异以及历史传统和发展水平的不同,致使世界上很难存在唯一最佳的公司治理模式。(一)历史传统哈佛大学教授卢西恩伯查克和马克罗伊共同发现路径依赖理论,即一国的公司治理模式不可
3、避免地受到先前存在的公司制治理结构的影响,也不可避免地沿着先前的公司治理结构的基本轨迹与方向发展,由此导致了各国在先前由于其不同的环境甚至是历史条件而形成不同的公司治理模式。因为:第一,怎样建立有效的公司治理模式通常是有章可循的;第二,现有的公司治理模式缺陷会随着公司运营逐渐显现,但公司内部既得利益者为了维护其自身利益,会阻止对公司治理模式进行变革,维护其既得利益。由此可知,即使竞争效率的压力和全球趋同化仍然存在,但公司治理结构的不同不可能消失。(二)经济条件经济条件上,“外部控制型”的英美公司治理模式,主要依赖于完善的外部资本市场来对经理层进行有效的监控,而“内部控制型”的德日公司治理体制,
4、则依赖于公司内部监控机制作用的发挥。如果德国模式迎接敌意收购和股东导向型董事会,那么,德国就会出现既没有劳工影响的董事会,也没有契约和劳动力市场的保护监控机制,这样的治理模式将会是不可想象的。在制度的选择过程之中,国家利益以及政治选择等因素都影响公司治理模式的选择。例如,美国政府对财产权实施了较为充分的保护,所以在美国就形成了外部治理的机制和市场导向型模式;而韩国政府对公司的监管和对贷款的分配,则形成了家族导向型和政治管制型模式。经济条件上的巨大差异,导致各国在对公司治理体制上所做选择的巨大差异。一国经济体制在某一时点所拥有的规则依赖于并且反映该经济体制最初拥有的所有权结构和治理结构。总之,各
5、种治理模式的存在和发展在一定程度上体现了各国的特色和适应了本国经济的发展,虽然近年来,以英国、美国为代表的外部控制模式和以德国、日本为代表的内部控制模式这两种典型的模式都发生了显著变化,呈现出一定程度上的趋同。但是,这种趋同仅仅是相对的,各种模式在变革的过程中都没有完全偏离各自原先的轨道。公司治理模式不会因为经济全球化而完全趋同。(三)政治影响哈佛大学教授马克罗伊认为政治因素的主导作用是造成各国公司治理模式差异性的主要成因。在强管理者,弱所有者:美国公司财务的政治根源中,他指出,政治影响产生了美国大中型公司的不紧密的股权模式。究其根本原因是美国政府本着政治利益,力主弱化金融资本的影响力,据此来
6、束缚金融机构的规模和经营范围。接下来罗伊教授又在公司治理中的政治决定因素这本书中接着提到,欧洲本土的治理结构与美国公司不同,主要决定于是否存在“社会民主”的政治传统,个人本位和平民思想比较重。因此,分散的股权结构会凸显其高效。在欧洲本土根深蒂固的民主传统下,注重整体利益,看重的是分配,如果出现雇员利益和股东权益相冲突时,高层一般会向前者倾斜。所以,在政治社会民主前提下,大众公司相较私人公司产生股东和管理层的代理成本的风险更大。这种风险的防范措施即是集中持股通过相对比较保密的会计制度直接对管理层进行监督,大股东能够防范将公司资源应用于其他利益相关者的压力一一这也是欧洲本土缺少公共公司的原因所在。
7、如若试图对制度进行改革,则必须至少考虑到两个因素:一是新制度必须更加有效率;二是新制度的效率必须足以使制度转型的收益大于成本。只有在保证新制度效率和新制度能够取得更大收益的前提下,才能考虑制度的转型,否则现有利益控制者就会拒绝这种转型。因此,转型必须在能够产生相当大的利益的情况下才会发生。二、 公司治理与公司管理的关系公司治理关心的是“公司应走向何方”,而公司管理关心的是“公司怎样到达那里”。公司治理的核心是确定公司的目标并保证决策的科学性,公司管理的核心是确定实现目标的途径。管理是运营公司,治理是确保这种运营处于正确的轨道。两者都是针对同样的终极目标,即实现财富的有效创造,只是扮演的角色不同
8、,公司治理通过建立权力制衡的机制而实现其机能,公司管理是对组织资源进行有效整合以达成既定目标。KennethDayton认为,治理与管理是“一个硬币的两个面”,谁也不能脱离谁而存在。治理规定了整个企业运作的基本网络框架,管理则是在这个既定的框架下驾驭企业奔向目标。缺乏良好治理模式的公司,就像一座地基不牢固的大厦一一没有公司管理体系的畅通,单纯的治理模式也只能是一个美好的蓝图,缺乏实际的内容。纵观管理理论的发展,从泰勒的科学管理思想、梅奥的人际关系理论、波特的竞争战略研究到哈默的企业再造理论,企业管理理论与相应的管理实践范围由小到大,由刚性的管理措施逐步发展到注重组织、个体行为的柔性管理理念,由
9、企业的作业管理层次发展到从战略到作业的全方位管理。早期的公司管理注重作业层,与公司治理几乎是分割的。进入20世纪80年代后,由于竞争的激烈,制订战略成为企业发展首要考虑的问题,公司管理的重心转向战略管理,这一转变使公司管理与公司治理开始有了共同的领域,并日益融合。战略管理一般包括两个部分,即战略规划和战略实施,其过程又可分为提议、批准、贯彻和监督四个阶段。战略管理一般由总经理提出战略动议,经过董事会(股东大会)批准认可,然后再由总经理组织分解、贯彻和实施,同时此过程又受到董事会等的监督和控制。因此,战略管理的参与者即是公司治理、公司管理中各个层次的集合体,治理层负责批准和监督,管理层负责提议和
10、实施。由此,公司治理与公司管理之间的连接点在于公司的战略管理层次,特里克对两者的关系做了形象的图示分析。三、 董事会模式(一)组织结构模式西方的法律制度(包括公司法在内)主要分为两大体系,即以欧洲大陆主要资本主义国家为代表的大陆法系和以英、美两国为代表的英美体系,因而作为公司治理机构的核心董事会也就出现了单层、双层和混合三大类型。1、单层董事会模式单层董事会模式也称一元模式,即董事会集执行职能和监管职能于一身,不设监事会,治理中的监督职能是通过独立董事制度来实现的。董事会和股东大会的关系是,股东大会选举董事会,选举董事,股东大会也可以解散董事会。董事会下设的专门委员会是为了更好地履行其决策与监
11、督职能,而董事会下设的全部由外部独立董事组成的提名委员会、薪酬委员会、审计委员会等就是公司的监督机构,行使监督职能,如图41所示。同时,该治理机制通常包括内部(或执行)董事和外部非执行董事以及一些次级委员会,其特点在于业务执行机构和监督机构并不分离,以英国、美国为代表的普通法系国家在公司治理结构上普遍采用单层董事会制度的模式。在这些国家中股权高度分散、市场机制比较发达,战略决策的制定在公司治理中显得尤为重要,董事会的执行职能得到极大的彰显。从全世界来看,单层董事会正成为一种主导模式,大陆法系的一些国家和地区也按照这种模式来完善本国本地区的公司治理结构。2、双层董事会模式双层董事会制度也叫二元模
12、式,所谓“双层”是指公司设置董事会和监事会共同治理结构,而执行职能和监督职能是分开的,即董事会履行执行职能,监事会履行监督职能。董事会是公司股东和职工利益的代表机构和公司经营的决策机构,监事会地位高于董事会,有权任免董事会成员,而董事会一般只是落实监事会决议,负责公司日常的经营管理。目前,以德国和日本为代表的大陆法系国家普遍采用双层制模式,但两者又有不同,又可以将双层制模式细分为垂直式和水平式。(1)垂直式双层制模式(如德国模式)。德国是典型地实行垂直式双层制模式的国家,其公司中一般设有监事会和董事会,监事会在上,董事会在下。监事会行使监督和控制的职能负责选任、解聘董事会的成员,考核和监督董事
13、会的行为是否符合公司章程;对公司的经营战略及其他重大事项进行决策;在必要时召集股东大会等。董事会由监事会选任,负责公司的经营管理,并受监事会监督,需向监事会报告和负责。(2)水平式双层制模式(如日本模式)。在日本通常实行的是水平式双层制模式,即监察人会和董事会是平行的,都对出资人和股东大会负责,如图43所示。日本的监察人会的主要职责是监督公司董事会及高级管理层的执行情况及对公司财务状况进行审计监督。监察人会则可以以决议的方式决定监督检查的方针、公司的业务以及调查财产状况的方法等与监察人执行职务有关的事项。在日本的双层制设计中,虽然监察人在监察人会有要求时,无论何时均必须向监察人会报告其执行职务
14、的状况,但监察人会并不能妨碍监察人行使职权,各监察人具有相对独立的权力。在这种双层制的模式中,经理人是董事会的主要成员,对公司董事人选有重要的影响作用,实际上由主要经理人员组成的常务委员会控制了董事会的运行与决策。在公司运行中,为了规避此种模式带来的风险,也设立了独立董事制度,他们具有独立监察业务、检查财务状况且不受监事会决议限制的权力。3、混合董事会模式公司既设董事会又设监事会,但是董事会和监事会都是由股东大会选出的。这种治理模式最早源于日本,后来亚洲的一些国家和地区也采取了这种模式。根据我国公司法的有关条款,我国的公司董事会应该属于混合董事会模式,既采用类似于董事会和监事会并行的水平式双层
15、制模式,又突出强调普通法系独立董事制度下单层制模式。股东大会、董事会和管理层形成三权制衡的格局,经理层决策受股东大会、董事会和监事会的监督和约束。但这种模式下监事会的作用很难发挥,从立法关系上来讲,监事会应该对股东大会负责,但是在实际的执行过程中,监事会等于是对董事会负责,不是对股东大会负责。综上所述,单层制和双层制都有一定的优缺点,有一定的适用性。双层制的优点是在控制和监督功能上,系统比较有效率。缺点是董事会和监事会与经理层会面的机会和频率较少,使董事和监事往往失去与企业接触的机会,远离公司实际业务,缺乏足够的信息履行自己的职能,而且执行监督的程序多,官僚气氛浓,客观上会阻碍证券市场的发展,
16、降低市场自由度。而单层制系统中,采取了大量的措施来改进董事会,如增加大量的外部人,特别是独立董事,专门委员会主要由外部人组成;分离董事会和CEO的功能,或者任命外部(或独立)董事为董事长。与双层制相比,其效率相应地降低。但随着全球化的进程和跨国公司的发展,这两种类型正在日益趋同。在一定程度上,单层董事会中的“双层水平”在明显增长,即专有的外部董事会会议定期召开,许多委员会由外部人组成或居主导地位;在一个双层委员会中,监事会增加了与经理层会面的频率;此外,一些在两种类型之外的委员会制度也发生了重要的变化。(二)功能机制模式董事会是由股东会选举产生的,由全体董事所组成的,行使公司经营管理权的,集体
17、决定公司业务执行意志的机关。作为公司权力代表的董事会应该通过决策和监督职能最大限度地维护包括股东在内的公司所有利益相关者的利益。因此如何发挥董事会的作用,强化董事会的职责和提高董事会的效率已成为公司治理机制的核心问题。NACD(全美董事联合会咨询委员会)认为公司治理的功能包括:确保公司的长期战略目标和计划被确立,为实现战略目标而建立适当的管理结构(组织、系统、人员),NACD根据功能将董事会分成4种类型。(1)底限董事会模式。这种类型的董事会仅仅为了满足法律上的程序要求而存在。(2)形式董事会模式。这种类型的董事会仅具有象征性或名义上的作用,是比较典型的橡皮图章机构。(3)监督董事会模式。这种
18、类型的董事会有权检查计划、政策、战略的制订、执行情况,评价经理人员的业绩。(4)决策董事会模式。这种类型的董事会参与公司战略目标、计划的制订,并在授权经理人员实施公司战略的时候按照自身的偏好进行干预。四、 利益导向公司成立的目的在于追求利益,但到底追求谁的利益或以谁的利益为主,理论界有着不同的看法,从过去的股东利益最大化到利益相关者利益统一,再到利益相关者有主次之分,公司治理的模式也分成股东治理模式、利益相关者治理模式和利益相关者主次治理模式。(一)股东治理模式该模式认为股东是公司的所有者,公司存续的目的是实现股东利益的最大化,继而公司治理的中心就是确保股东的利益,确保资本供给者得到理所当然的
19、投资回报。公司的权力机构都要以股东的意志和利益为出发点,股东大会是代表股东意志的最高决策机构,董事会由股东大会选举产生并接受股东委托在公司决策中发挥主导作用。金融模式公司应按股东的利益来管理,试图促使经理人员对股东利益更负有责任。主张通过政策激励和采取最大化短期股票价格的行为是为股东利益服务的最佳形式。其理论基础是“有效市场理论”并主张扩大股东的权力。市场短视派认为金融市场的压力使公司经理只关注短期利益,这样会对公司的长期管理产生一种经营决策上的偏误,从而降低公司长期资产的价值。金融模式希望增加股东对公司的监督和影响,市场短视派则希望公司治理可以在股东压力下,特别是短期股票价格业绩中保护经理人
20、,或替代性地通过阻止交易和鼓励长期持有股票来实现股东的利益。但两者都认为股东利益的最大化可以导致整个社会的利益最大化。(二)利益相关者治理模式利益相关者治理模式认为企业是一个责任主体,公司治理不能单纯以实现股东利益为目标,因为企业是所有相关利益者(出资者、债权人、董事会、经理、员工、政府及社区居民、供应商等)的企业,各利益相关者都对企业进行了专用资产的投资,并承担了企业的风险,企业应为利益相关者服务。(三)利益相关者主次治理模式利益相关者主次治理模式认为公司治理必须以股东利益为主导,同时在此基础上恰当地界定包括股东在内的利益相关者的关系,解决好由此而产生的利益相关者的利益问题。克拉克逊(199
21、8)根据与企业联系的紧密程度将利益相关者分为主要的利益相关者和次要的利益相关者。前者是指若没有这些群体(包括股东、雇员、顾客、供应商等)的参与,企业就无法生存,后者是指间接影响运作或受到企业的间接影响的群体,虽然他们对企业的生存起不到根本性的作用,但也不能忽视。这种观点实质上是对上述两种观点的调和,但从强调利益相关者的利益来看,这种观点与“利益相关者治理模式”并没有实质性的区别。五、 内部控制与企业风险管理的关系分析内部控制和企业风险管理的目的都是为了满足企业在不同环境中对不确定性的应对管理,从而达到组织预期目的以及持续发展。内部控制要对风险的不确定性在应对策略方面进行具体的分解和落实,从而发
22、挥化解风险、控制不确定性的作用,即内部控制是风险管理的业务实施和组织保障。总体来说,内部控制和风险管理学科的共同发展为企业运营提供了支持,在企业的实际需求下,两个学科的交融和切入更好地为企业解决其实际运营中的各种不确定性提供了完整的解决方案。(1)内部控制和风险管理各有侧重。内部控制侧重制度层面,通过规章制度规避风险;风险管理侧重交易层面,通过市场化的自由竞争或市场交易规避风险。一般来说,典型的内部控制依然是为了保证资金安全和会计信息的真实可靠,会计控制是其核心,内部控制一般限于财务及相关部门,并没有渗透到企业管理过程和整个经营系统,控制只是管理的一项职能;典型的风险管理关注特定业务中与战略选
23、择或经营决策相关的风险与收益的比较,如银行的授信管理、汇率风险管理、利率风险管理等,它贯穿于管理过程的各个方面。(2)内部控制与风险管理的根本作用都是维护投资者利益、保全企业资产,并创造新的价值。从理论上说,企业的内部控制是企业制度的组成部分,是在企业经营权与所有权分离的条件下对投资者利益的保护机制。其目的就是保证会计信息的准确可靠,防止经营层操纵报表与欺诈,保护公司的财产安全,遵守法律以维护公司的名誉以及避免招致经济损失等。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。COSO认为,企业风险管理应用于战略制订与组织的各层次活动中。它使管理者在面对不确定性时能够识别、评估和管理风
24、险,发挥创造与保持价值的作用。风险管理能够使风险偏好与战略保持一致,将风险与增值及回报统筹考虑,促进应对风险的决策,减小经营风险与损失,识别与管理企业风险,为多种风险提供整体的对策,捕捉机遇以及使资本的利用合理化。(3)做好内部控制是做好风险管理的前提。风险管理的目的是要防止风险、及时地发现风险、预测风险可能造成的影响,并设法把不良影响控制在最低的程度。内部控制就是企业内部采取的风险管理,内部控制制度的制定依据主要是风险,在某些极端情况下(内部控制等于风险管理)甚至完全由风险因素来决定。风险越大,越有必要设置适当的内部控制措施,风险相当大时,还要设置多重内部控制措施。而且,做好内部控制是做好风
25、险管理的前提。企业只有从加强内部控制做起,通过风险意识的提高,尤其是提高企业中处于关键地位的中、高层管理人员的风险意识,才能使企业安全运行,否则,处于失控状态的企业最终将被激烈的市场竞争淘汰。总之,企业风险管理框架建立在内部控制整体框架的基础上,内部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比内部控制框架的范围更为广泛,是对内部控制框架的扩展,是一个主要针对风险的更为明确的概念。企业风险管理框架强调在整个企业范围内识别和管理风险的重要性,强调企业的风险管理应针对企业目标的实现,在企业战略制订阶段就予以考虑,而企业在对其下属部门进行风险管理时,应对风险进行加总,从组织的顶端、以一种
26、全局的风险组合观来看待风险。此外,根据风险管理的需要,对企业目标进行重新分类,明确战略目标在风险管理中的地位。六、 企业风险管理(一)企业风险管理(2004)架构1、基本框架2004年,COSO为企业风险管理确立了一个可普遍接受的定义,该定义融入众多观点并达成共识,为各组织识别风险和加强对风险的管理提供了坚实的理论基础,即企业风险管理是一个受企业董事会、管理层和其他人士影响的过程,运用于制订战略之中,并且贯穿整个企业,用以识别可能影响该企业的潜在事项,并且将风险控制在风险偏好的范围之内,为达到实体目标提供合理的保证。企业风险管理(2004)框架的主要贡献就在于,其重新界定了风险管理,即由目标、
27、要素和组织三个维度组成的有机整体。第一维度为企业的目标,即战略目标、经营目标、报告目标和合规目标。在主体既定的使命或愿景范围内,管理当局制订战略目标、选择战略,并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的战略目标、经营目标、报告目标和合规目标。战略目标与高层目标相关,和企业使命相一致,企业所有的经营管理活动必须长期有效地支持该使命。经营目标与企业运营的效果和效率相关,包括业绩和利润目标,运营变化以管理当局对结构和业绩的选择为基础,旨在使企业能够高效地使用资源。报告目标与组织报告可靠性相关,包括对内报告和对外报告,涉及财务和非财务信息。合规目标层次较低,也是最基础的目标,与组
28、织遵循相关法律法规有关。第二维度为构成要素,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。第三维度组织是企业的层级,包括主体层次、分部、业务单元及子公司。三个维度的关系是,全面风险管理的八个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理。2、构成要素第二维度企业风险管理包含八个相互关联的要素。它们来源于管理当局经营企业的方式,并与管理过程整合在一起。这些构成要素的含义如下。内部环境内部环境包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及
29、他们所处的经营环境。目标设定必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。事项识别必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。风险评估一通过考虑风险的可能性和影响来对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对管理当局选择风险应对回避、承受、降低或者分担风险采取一系列行动以便把风险控制在主体的风险容忍度和风险容量以内。控制活动一制订和执行政策与程序以帮助确保风险应对得以有
30、效实施。信息与沟通一一相关的信息以确保员工履行其职责的方式和时机,能被识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。监控对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程,在这个过程中几乎每一个构成要素都会影响其他构成要素。3、企业风险管理(2004)框架面临的问题企业风险管理(2004)框架在对企业风险管理进行定义时所强调的最重要也是最独具一格的一点是“贯穿整个企业,应用于战略制定中”。而这一点
31、在实践中却被误读,甚至被无视。COSO最初在编制ERM框架时采用了类似于内部控制框架所使用的立方体。虽然COSO对立方体右侧的内容进行了修改,删除了有关活动和流程,改为侧重于范围更广的实体和运营单位及分支机构,但许多企业依然试图在过于细微的层面实施该框架,例如运用于流程层面而非战略制定。许多组织机构将企业风险管理作为一种保证活动来实施,而不是将其视为一种更佳的企业管理方式,从而失去了治理效果。2008年金融危机以及2011年的日本海啸所引发的经济大萧条,“黑天鹅”“大变脸”事件频频爆发,ERM有关问题和价值的主张便开始明朗起来,令许多企业进入危机应对模式,企业风险管理的实施也因此受到企业特别是
32、C级高管的真正重视。6月24日,COSO委员会发布企业风险管理:风险与战略和绩效的协调,以向公众征求意见,截止日期为2016年9月30日。(二)企业风险管理(2016)框架的内容相对于企业风险管理(2004)框架,新版企业风险管理(风险与战略和绩效的协调)(2016)使用了构成元素加原则的结构,包括5个构成元素,细分为23条原则,2013年COSO组织更新了企业内部控制框架的部分内容,在文章的整体结构上就是采用的这种结构新的结构加强了新框架的可读性、可用性和一致性。新版ERM框架的五要素和23个原则。新版框架对ERM的定义为:组织在创造、保存、实现价值的过程中赖以进行风险管理的,与战略制订和实
33、施相结合的文化、能力和实践。可以看到,新版框架简化了ERM的定义以方便阅读和记忆。新定义方便的是所有读者的理解,而不只是风险管理从业者。新定义包括文化和能力而不只是过程,更加强调风险与价值的相结合,突出价值创造而不只是防止损失,这样也避免了和内部控制定义的界限不清。新版框架中,ERM被视为战略制定的重要组成和识别机遇、创造和保留价值的必要部分。新版框架中ERM不再是主体的一个额外的或是单独的活动,而是融入主体的战略和运营当中的有机部分。新版框架注意到了自旧版框架发布以来,组织在实践ERM过程中遇到的一些问题,包括对风险管理工作的定位,风险管理工作的范围和目标等,新版框架定义了风险管理工作的高度
34、,包括:战略和业务目标与使命、愿景和价值观不匹配的可能性;选定的战略所隐含的意义;执行战略过程中的风险。1、风险治理和文化风险治理和文化构成了ERM所有其他部分的基础。风险治理定下主体的基本基调,加强ERM的重要性并确立ERM的监管责任的分配;文化则是主体的价值观、行为准则和对风险的理解。(1)实现董事会对风险的监督。董事会对主体的风险监督负有首要责任。(2)建立治理和运作模式。在明确的责任分配下,组织应该建立完整的运营模式和汇报体系。(3)定义期望的组织行为。董事会和管理层通过定义其期望的行为将组织核心价值和对风险的态度具体化。(4)展现对诚实和道德的承诺。组织制定基调,建立员工行为准则并对
35、偏离准则的行为做出回应。(5)加强问责。组织确保各个层级的个体在风险管理方面的职责明确,并确保其自身在提供准则和指导方面的职责明确。(6)吸引、发展并留住优秀的个体。致力于根据战略和业务目标构筑人力资本,管理层通过在不同层面建立人力资源管理体系来吸引、培训、指导人才,评价和留住人才。2、风险、战略和目标设定ERM通过制订战略和业务目标的过程与主体的战略计划融合在一起。通过对商业环境的理解,组织可以得到对内在和外在因素的看法以及它们对风险的影响。组织在战略制订中确定其风险偏好,而业务目标使得战略得以实践并形成主体日常的运营。(1)考虑风险和业务环境。组织考虑业务环境对风险图谱的潜在影响;组织要理
36、解业务环境,考虑内部和外部的环境和不同的利益相关者。(2)定义风险偏好。组织在创造、保存和实现价值的过程中定义风险偏好。(3)评估可供选择的战略。组织评估可替代的战略和对风险状况的影响。(4)建立业务目标的同时考虑风险。组织建立不同层次的业务目标以制定和支持战略的同时考虑风险。(5)定义可接受的绩效浮动区间。可接受的绩效浮动也可以理解为风险容忍度。3、执行中的风险组织识别并评估可能影响其实现战略和业务目标的风险,结合企业的风险偏好,对风险按照其严重程度排分优先次序,组织选择风险应对的方法并对绩效进行监控以做出调整。这样,企业对追求战略和业务目标时所面临的风险量建立起一个组合的观念。(1)识别执
37、行中的风险。组织识别执行过程中影响业务目标实现的风险。(2)评估风险的严重程度。风险评估的重要工具是风险热力图,热力图从风险发生的可能性和影响程度两方面对风险进行评级。风险评价要从固有风险、目标剩余风险和实际剩余风险三个层级进行。(3)区分风险的优先次序。组织结合风险偏好,选定对风险排分优先等级的标准,然后对所有识别的风险进行排分。(4)识别并选择风险响应。这些控制活动在内部控制一整合框架中已经介绍。(5)评估执行中的风险。组织需要对绩效进行监测,如果绩效的浮动区间超出了可以接受的范围,则可能需要重新考虑业务目标或战略;调整目标绩效,重新进行风险评估;重新进行风险优先级的排序;重新制定风险应对
38、措施;重新确立风险偏好。(6)建立风险的组合观。管理层需要从组织整体角度考虑风险,将组织风险作为一个整体去和实现绩效目标所需要承受的风险进行对比,而不是将其视为一个个单独的、分散的风险。4、风险信息、沟通和报告沟通是在主体中不断迭代地取得并分享信息的过程。管理层利用从内部和外部取得的有效信息来支持企业风险管理工作,组织利用信息系统来捕捉、处理和管理数据和信息。通过利用应用于所有组成部分的信息,组织就风险、文化和绩效做出报告。(1)使用相关信息。组织利用支持企业风险管理的信息,首先考虑有哪些可用的信息来源,然后衡量取得这些信息的成本,最终确定需要哪些信息来源。(2)利用信息系统。信息系统可以是正
39、式的或者是非正式的。(3)沟通风险信息。沟通的对象既包括内部的员工,也包括董事会、股东及其他外部的利益相关者。沟通方法可以是电子信息、外部/第三方材料、非正式/口头、公共活动、培训和研讨会、内部文件。(4)对风险、文化和绩效进行报告。组织在各个层级对风险、文化和绩效做出报告。5、监控风险管理效果通过监控风险管理(ERM)的效果,组织可以判断ERM的各组成部分的长期运作是否良好并获知有哪些实质性的变化。(1)对重大变化进行监控。组织识别和评估可能对战略和业务目标的达成造成实质性影响的内部和外部变化。造成这些实质性影响的变化可能来自内部的原因,如快速成长、新技术或者管理层及其他人事变动;可能来自外
40、部环境,例如法规和经济环境的变化;还可能来自组织文化方面,例如并购和重组带来的文化冲击。(2)对ERM进行监控。组织应监控ERM的效果并随时准备对其进行效率上和实用性上的改善,组织同样要明确未来理想中的ERM状态,做到持续改进。七、 内部控制的相关比较(一)目标的比较内部控制是一个管理系统而非技术系统,是一个防守系统而不是进攻系统,因此,内部控制要实现企业的价值最大化目标,无法依靠利益的增加而只能通过减少支出。内部控制的目标,通常指内部控制所要达到的预期效果和所要完成的控制任务。从理论上说,内部控制的目标主要取决于内部控制本身所具有的功能和人们在设计、执行内部控制时的主观需要。内部控制的目标限
41、于内部控制功能和人们的主观需求之间,不可能高于其本身的客观功能,当然,也不能低于主观需求。1、国内外相关报告的内部控制目标比较内部控制的目标并非单一的,是由几个目标组成的目标结构或体系,并且,各目标之间存在着相互联系。目前内部控制学关于目标的阐述有“三目标论”“四目标论”“五目标论”,这些目标深入具有不同的层次,但有一个共同的目标指向,即降低各种风险带来的损失。对内部控制整体框架、企业风险管理框架与我国企业内部控制基本规范中所规定的内部控制目标进行的比较。标准或规范对内部控制目标的规定有所差异,主要是因为第一,确定控制目标的设定基础。有的以内部会计控制为基础设定(如1949年的定义),有的以内
42、部控制为基础来设定,有的以风险管理为基础设定;第二,颁布这些标准或规范的机构不同。有的从企业层面颁布,有的从行业层面颁布,有的从监管层面颁布。反观我国基本规范,相较于企业风险管理框架,多了一个资产安全目标,资产安全是企业展开各种经济活动的物质前提,但是从目标的排列次序上可以看出,我国的基本规范中规定的次序恰恰与企业风险管理报告要求的相反,这是结合我国基本实情的具体规定。一般认为,首先,企业应当在合规合法的前提下开展活动,违背了这项原则,其他目标再好也是纸上谈兵。其次,保证合规合法目标实现的基础之上,资产作为企业经济活动的物质前提,应当保证实现资产安全的目标。再次,企业应当保证财务报告及相关信息
43、的真实完整,以便于利益相关者做出决策。与此同时,企业应当回归到日常经营管理活动当中来,提高企业的经营效率和效果,提高经营业绩是企业的大势所趋。最后,在上述四个目标实现的基础上,提出了企业的发展战略。2、我国内部控制目标演进过程我国的相关法规制度对内部控制目标的界定也是一个不断演进的过程,我国相关法规、制度对内部控制目标的界定,可以分为三个发展演进阶段。第一阶段,外部化阶段。强调内部会计控制,突出财务报告的真实完整,主要表现在独立审计具体准则第9号内部控制和审计风险(体现内部控制为审计服务)、财政部内部会计控制规范一基本规范等。第二阶段,内部化阶段。强调内部控制,在保证财务报告真实完整的前提下提
44、高经营的效率和效果,主要表现在中国注册会计师审计准则第1211号(体现风险导向的审计内涵)、上交所上市公司内部控制指引、深交所上市公司内部控制指引等。第三阶段,风险管理阶段。强调企业风险管理,主要表现在五部委企业内部控制基本规范。以上三个阶段说明我国内部控制目标的发展是在借鉴国外最佳实践的基础上,关于内部控制理念与实践的提升。(二)内部控制要素的比较纵观内部控制的历史演进可以发现,从最早的内部控制“一要素”阶段内部牵制阶段,“二要素”阶段一内部控制制度阶段,“三要素”阶段一内部控制结构阶段,到“五要素”阶段内部控制整合框架阶段,再到“八要素”阶段一风险管理整合框架阶段,内部控制的发展历史实际上
45、也是内部控制要素不断充实和丰富的过程。内部控制基本要素反映了内部控制的内容,这些要素及其构成方式与整个控制过程整合在一起,决定着控制的内容与形式。企业风险管理框架在内部控制整体框架的基础上,将风险评估分解为目标制定、事项识别、风险评估和风险应对四个要素,纳入风险管理流程,突出了风险管理的重要性。而基本规范是五要素的体系结构,一方面继承内部控制整体框架的理论成果,另一方面适当体现企业风险管理框架的先进理念,结合我国国情的基础上将两者有效结合。八、 企业内部控制规范的基本内容我国企业内部控制规范的基本框架,可以概括为五大目标、五大原则和五大要素。(一)内部控制的目标内部控制是围绕目标展开的,因此明
46、确目标至关重要。内部控制的目标,应是整个控制系统的出发点,决定了系统运行的方式和方向。企业内部控制基本规范中对内部控制提出了合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果以及促进企业实现发展战略的五大目标,简称为合规目标、资产安全目标、报告目标、经营目标和战略目标。内部控制五大目标是一个完整的目标体系,由于各大目标在控制体系中的层级不同,其在整个目标体系中的地位和作用也有所差异。1、合规目标合规目标要求企业或其他组织完全遵循国家的法律法规和监管要求,是企业成功运营的必要保证,与企业活动的合法性相关。企业生存于社会这个大环境下,必须遵守社会的基本规范,包括法律规范和道德规范,
47、必须在社会允许的范围内展开各项活动,即“小制度不能大于大法”。因此,遵守法规、制度是企业一切活动的前提,也是首先要保证完成的目标。国家有关法律、制度的落实必将依靠内部控制的有效执行加以保证。一个违反国家法律法规、丧失道德底线的企业,必然会将自身置于高风险的环境中,从而对自身的生存和发展造成巨大的威胁,后果可想而知。合规目标方面的关注点主要包括:公司的各项活动符合法律法规确定的要求,通常涉及知识产权、市场、价格、税收、环境、员工福利以及国际贸易等。2、资产安全目标虽然在COSO框架中没有将保护资产安全作为一个主要目标,而是作为主要目标中的一个子目标,但是我国的企业内部控制基本规范中重新将其作为内
48、部控制目标的一个部分,这是基于我国的国情和现状做出的必然选择,是有一定用意的。我国普遍存在产权多元化现象,而且国有资产流失现象极其严重,保护资产安全和完整对资产所有者来说具有特别重大的意义。资产安全与否实际上是内部控制的一个过程控制结果,是实现其他目标的物质前提。因此,该目标要求内部控制能够保护主体所有资产的安全和完整。资产安全目标方面的关注点主要包括:关注企业日常经营活动的效率,提高企业的生产力和竞争力,防止资产缩水,关注资产使用及处置的授权情况。3、报告目标报告目标指内部控制应合理保证企业提供了真实、可靠的财务报告及其他信息。报告目标有助于组织向投资者、债权人等利益相关者以及内部管理层提供真实、可靠、完整的信息,具体包括内部和外部、财务与非财务信息,它是内部控制目标体系的基础目标。企业报告包括内部报告和外部报告,报告目标的提出更多地满足了企业外部的需求。对于外部使用者来说,真实、可靠和完整的财务报告能够公允地反映企业的财务状况和经营成果,从而有利于信息使用者做出决策。当然,非财务信息的重要性也是不言而喻的。可靠的报告既为管理层提供了适合其既定