《彩妆用品公司治理与内部控制分析.docx》由会员分享,可在线阅读,更多相关《彩妆用品公司治理与内部控制分析.docx(66页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、泓域/彩妆用品公司治理与内部控制分析彩妆用品公司治理与内部控制分析目录一、 组织架构3二、 企业文化8三、 控制的层级制度12四、 有效内部环境的属性14五、 企业风险管理18六、 内部控制27七、 内部控制的局限性30八、 内部控制的重要性34九、 内部控制的相关比较37十、 企业内部控制规范体系的结构40十一、 产业环境分析42十二、 行业高景气,国货崛起正当时45十三、 必要性分析47十四、 项目基本情况48十五、 公司基本情况50十六、 项目风险分析52十七、 项目风险对策54十八、 SWOT分析56发展规划分析62(一)公司发展规划62根据公司的发展规划,未来几年内公司的资产规模、业
2、务规模、人员规模、资金运用规模都将有较大幅度的增长。随着业务和规模的快速发展,公司的管理水平将面临较大的考验,尤其在公司迅速扩大经营规模后,公司的组织结构和管理体系将进一步复杂化,在战略规划、组织设计、资源配置、营销策略、资金管理和内部控制等问题上都将面对新的挑战。另外,公司未来的迅速扩张将对高级管理人才、营销人才、服务人才的引进和培养提出更高要求,公司需进一步提高管理应对能力,才能保持持续发展,实现业务发展目标。62一、 组织架构在我国内部控制框架中,组织架构、发展战略、人力资源、社会责任和企业文化均属于企业层面的控制(环境控制或基础控制),其风险及应对有别于业务层面的控制(应用控制)。(一
3、)组织架构的内涵及风险应对1、组织架构影响因素分析2010年,五部委联合发布了企业内部控制配套指引。18个企业内部控制应用指引(简称应用指引)中有5个属于企业层面的内部环境类指引,包括组织架构、发展战略、人力资源、社会责任和企业文化。应用指引中内部环境类指引与基本规范中内部环境构成因素一一对应,同时,丰富了基本规范的内涵并提升了我国内部环境构成因素体系的层次。组织架构指引认为组织架构是一项制度安排,明确了股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求,主要包括治理结构和内部机构设置。机构设置与权责分配互为因果,内部审计本身就属于组织的内部机
4、构,因此,组织架构应包括治理结构、机构设置、权责分配和内部审计四个因素。在治理结构上,将股东大会纳入内部环境范畴(如发展战略方案需经股东会批准实施)。内部环境类指引紧扣发展战略做文章,企业要实施发展战略,必须要有科学的组织架构,履行一定的社会责任,配置合理的人力资源,形成积极向上的企业文化。从发展战略角度看,企业的根本目的不是利润最大,也不仅仅是企业价值最大,而是更广义的社会责任最大。企业应履行社会责任,实现战略目标。2、组织架构的主要风险组织架构的风险主要来自两方面。(1)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能发生经营失败(2)内部机构设计不科学,权责分配不合理,可能导致
5、机构重叠、职能交叉或缺失,运行效率低下。3、组织架构风险的主要应对措施针对以上风险采取的主要应对措施有以下几个。(1)企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡机制。同时企业在重大决策、重大事项、重要人事任免及大额资金支付业务等(即通常所说的“三重一大”)方面,应当按照规定的权限和程序实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策意见。(2)企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确
6、各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。(3)企业应当根据组织架构的设计规范,对现有治理结构和内部机构设置进行全面梳理,确保本企业治理结构、内部机构设置和运行机制等符合现代企业制度要求。(4)拥有子公司的企业,应当建立科学的投资管控制度,通过合法有效的形式履行出资人职责、维护出资人权益,重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。对子公司控制一直是企业集团层面关注的一个重要问题,组织架构应用指引在综合调研的基础上提出此
7、项要求,对实务操作具有重要指导作用。(二)治理结构公司制企业中股东大会(权力机构)、董事会(决策机构)、监事会(监督机构)、总经理层(日常管理机构)这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架,但并不能满足内部控制对企业组织结构的要求,内部控制机制的运作还必须在这一组织框架下设立满足企业生产经营所需要的职能机构。企业内部控制基本规范第十四条规定:企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。因此,企业应当根据国家有关法律法规,结合企业自身股权关系和股权结构,明确董事
8、会、监事会和经理层的职责权限、任职条件、议事规则和工作程序;确保决策、执行和监督相互分离、有机协调;确保董事会、监事会和经理层能够按照法律、法规和企业章程的规定行使职权。企业应当在企业章程中规定股东大会对董事会的授权原则,授权内容应当明确具体。(三)机构设置及责权分配任何企业要达成其整体目标,必须构建一定的组织机构。企业的组织机构提供了计划、执行、控制和监督活动的框架,确立了适当的沟通和协调渠道,保证了组织中成员具有与其所履行职责相适应的知识、经验和能力。对于企业而言,要根据公司的具体发展战略确定组织结构。企业内部控制基本规范第十四条要求企业应当结合业务特点和内部控制要求设置内部机构,明确职责
9、权限,将权力与责任落实到各责任单位。组织机构是通过提供完整的架构作用于组织实现其目标的能力;是规定组织内部责任与授权的线型结构;是确认责任分配和授权的关键领域;功能是确认报告路径:机构设置必须覆盖计划、执行、控制、监督等组织活动的全部,其中,控制与监督的区别是,控制是保证正确执行计划的组织安排,而监督是控制有效的组织安排;组织结构设计的哲学意义是“是什么”“做什么”“如何做”;机构设置要保证合理的流水线模式,部门设置少一个不够用、多一个又冗余,部门功能必须是线型的、支持的,而非拦截的。关键回答三个问题:所有的事是否都有人做?行为者是否充分授权行事?所有行为是否有人承担责任?组织结构设计不确定:
10、对权力定义不清或定义错误,导致权力的涣散。权力与责任不对称,权力结构不稳定,权力成为公开招标物导致权力者互相冲突和耍政治手腕。企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权力与责任落实到各责任单位。企业应当通过编制内部管理手册,使全体员工了解内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。按照基本规范的要求,机构设置及内控职责分工如下:(1)监事会对董事会建立与实施内部控制进行监督。(2)监事会对董事会建立与实施内部控制进行监督。(3)经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常
11、工作。(4)审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。(四)内部审计内部审计是公司内部的一种独立客观的监督、评价和咨询活动,通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和提出建议,促进改善公司运行的效率效果、实现公司发展目标。企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告
12、;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。二、 企业文化企业文化是指企业在生产经营实践中逐步形成的、被整个团队所认同并遵守的价值观、经营理念和企业精神,以及在此基础上形成的行为规范的总称。良好的企业文化对企业有直接的促进作用。根据经验得知,各项制度都有失效的时候,而当制度失效的时候,企业经营靠的就是企业文化。它作为一个企业的中枢神经,支配着人们的思维方式、行为方式。建设企业文化,培育积极向上的价值观、诚实守信的经营理念、为社会创造财富并积极履行社会责任的企业精神,可以增强员工对企业的认同感,增强企业的竞争力。企业内部控制基本规范第十八条规定,企业应当加强
13、文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。在我国,关于企业文化的表现形式最流行的观点是将其划分为4个方面:物质文化、行为文化、制度文化和精神文化。企业物质文化是指以客观物体及其相应组合为表现形式的文化。它由企业的物质环境、生产设备、最终产品与包装设计等构成。由于物质文化的表现形式相对直观、容易“触摸”,所以,物质文化也被称为“表层文化”。如日本丰田汽车表现出的是省油“小型”“质量可靠”的文化;IBM计算机表现出的则是“经典”“可靠”“性能优异”的文化。企业行为文化是指企业员工在生产经营、学习娱乐中产生的活动文化。
14、它包括企业经营、教育宣传、人际关系活动、文娱体育活动中产生的文化现象。它是企业经营作风、精神面貌、人际关系的动态体现,也是企业精神、企业价值观的折射。行为文化比物质文化“隐藏”得相对深一些。但也比较容易观察与感知,所以它仍然属于“浅层文化”。如海尔的售后服务人员及时、快速、优质的售后服务行为,所表现出的“真诚到永远”的文化。企业制度文化是由企业制度形态、组织形态和管理形态构成的外显文化,一般包括企业的经营制度和企业的管理制度。一方面,它是精神文化这一抽象东西的具体体现;另一方面,它也是指导和约束员工行为文化和物质文化建设的纲领性东西。制度文化是精神文化与物质文化的“中介”,属于“中层文化”。企
15、业精神文化是指在内外部环境的影响下,企业在长期的生产经营过程中形成的精神成果和文化观念。它主要由经营哲学、道德观念以及企业价值观等因素构成。它是企业各种活动的指导思想,属于“核心文化”。企业文化是企业的灵魂,渗透于企业的一切经营管理活动之中,是推动企业持续发展的不竭动力。(一)企业文化的主要风险企业应当明确企业文化面临的主要风险,以及这些风险可能导致的后果。(1)企业缺乏积极向上的企业文化,导致员工丧失对企业的信心和认同感,缺乏凝聚力和竞争力。(2)缺乏开拓创新、团队协作和风险意识,导致企业发展目标难以实现,影响可持续发展。(3)企业缺乏诚实守信的经营理念,导致舞弊事件的发生,造成企业损失,影
16、响企业信誉。(二)企业文化风险的应对措施针对上述风险及影响,企业采取的应对措施包括以下几个方面。(1)积极培育具有自身特色的企业文化,充分体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神,以及团队协作和风险防范意识,以此引导和规范员工行为,打造以主业为核心的企业品牌,形成整体团队的向心力,促进企业长远发展。这项应对措施同时也表明,打造企业主业品牌应当作为企业文化建设中的重要内容。(2)重视并购重组后的企业文化建设,平等对待被并购方的员工,促进并购双方的文化融合。这是基于当前企业并购实务中企业文化融合问题特别提供的指引,应引起相关企业的高度重视。(3
17、)要求董事、监事、经理和其他高级管理人员在企业文化建设中发挥主导和垂范作用,以自身的优秀品格和脚踏实地的工作作风,带动影响整个团队,共同营造积极向上的企业文化环境。这充分说明,企业文化建设既要注重“上下结合”,更应注重企业治理层和经理层的示范作用。(4)要求企业加强企业文化的宣传贯彻,促进文化建设在内部各层级的有效沟通,并确保全体员工共同遵守;同时,要求企业文化建设融入生产经营全过程,切实做到文化建设与发展战略的有机结合,增强员工的责任感和使命感,规范员工行为方式,使员工自身价值在企业发展中得到充分体现。也就是说,企业文化建设不能停留在企业最高层,不能停留在文本上,不能停留在泛泛的宣贯上,不能
18、脱离生产经营过程,不能背离发展战略,而应融入企业的肌体、汇入企业的血脉。三、 控制的层级制度内部控制不是在真空中存在的,它涉及人员、政策和程序,是对组织自身的一种控制环境。内部控制是主观的,因为它依赖于管理层认为控制有多重要,是否选择有效的战略,如何监督和实施控制。内部控制的每一个有意义的检查都必须考虑环境。由管理层建立的内部环境会对一个组织的控制程序与技术的有效性产生重要的影响。控制环境的形成会受到很多因素的制约。有些因素清晰可见,如正式的公司政策声明或内部审计职能。有些因素是无形的,如职业胜任能力和人员的诚实性。国际注册内部控制师通用知识与技能指南把内部控制视为一个三级分类的控制层级制度。
19、在层级制度的顶端是内部环境,即“公司治理”另外两个层级控制措施的执行与效果。在内部环境控制之下是系统控制,最底层的是交易处理控制。控制措施的有效性是从内部环境开始向下移动的。换句话说,如果环境控制是薄弱的,其他层级的控制将不会有效。例如,如果管理层不创建一个希望员工能保护数据安全性的环境,员工或许不关心保存密码的重要性。在一个松散的内部环境控制中,个人可能把密码标签贴在计算机终端上。如果对系统的控制措施是薄弱的,交易处理的控制措施将同样是薄弱的。有效地控制是董事会和组织中每个员工的责任。管理层创建一个内部环境是很重要的,在这一环境中每个员工都认为控制是很重要的,并且成为控制的积极参与者,以确保
20、那些需要控制的事项真正得到控制。执行管理层有责任创建有益于控制措施实施、监督控制和处罚违反控制行为的环境。在创建控制措施并确保控制措施得到贯彻执行方面,管理层必须提出有效的内部环境控制的属性和管理层的职责。董事会负有监督内部环境的责任,并强调解决违反控制的行为。董事会应当要求首席执行官提供内部环境的适当保证。所有重大的违反控制的行为和对这些行为采取的纠正行动都应当通知董事会。为了有助于实现这些控制职责,董事会任命独立审计师和内部审计师帮助他们评价控制措施是否适当,并保证他们遵守控制措施。中级管理层有责任对他们的职能领域建立控制目标。例如,信息技术部门可能设立一个控制目标,要求所有软件在安装进入
21、系统之前,应接受单独的测试;应收账款管理部门可能设立一个目标,要求所有已开发票的物品,不管是款项已收讫还是需要催收,都应该在应收款项中予以适当地记录。员工有责任执行和操作控制措施。在大多数的组织内,信息技术部门职员的工作涉及职能领域中的全体员工,这有助于信息技术部门确定所需要控制的程度。四、 有效内部环境的属性组织的董事会和执行管理层构建控制环境。不过需要说明的是没有一个绝对正确的内部环境,但存在有效的内部环境属性。这些属性可以采用许多不同的方法得到执行。有些属性是共同的,但是大部分属性将根据组织情况而选择不同的实施方法。一个有效的内部环境的属性主要包括以下内容。1、行为守则政策几乎所有组织都
22、承认制定行为守则政策的必要性。行为守则政策是指管理层对行为的定义,所有员工,包括执行管理层应当证实履行了他们的日常职责。2、企业的价值观公司确定的愿景是组织目标的理想化表述。例如Alibaba的愿景为“旨在构建未来的商务生态系统。我们的愿景是让客户相会、工作和生活在阿里巴巴,并持续发展最少102年”。在实现愿景方面,公司需要建立其希望融合到操作程序中的价值观。例如,阿里巴巴集团的6个价值观对于我们如何经营业务、招揽人才、考核员工以及决定员工报酬等方面具有指导性作用,具体包括如下内容。(1)客户第一:客户是衣食父母。(2)团队合作:共享共担,平凡人做非凡事。(3)拥抱变化:迎接变化,勇于创新。(
23、4)诚信:诚实正直,言行坦荡。(5)激情:乐观向上,永不言弃。(6)敬业:专业执着,精益求精。这些价值观需要被融合到执行工作和制定决策中去。例如阿里巴巴以客户第一为目标,马云在2014年赴美上市前向员工发布邮件,上市后仍坚持客户第一,员工第二,股东第三的原则。3、首席执行官成为楷模组织的高级职员应当以言传身教的方式教导所有员工遵守行为法则。对“首席执行官成为楷模”最好的描述是首席执行官必须“言行一致”。换句话说,如果首席执行官希望员工在公务旅行中遵守财务的限制性规定,例如,出差乘坐飞机的二等舱,那么除非有一个可以不这样做的商务理由,否则,首席执行官应当遵守规定。如果首席执行官希望公司中的每个员
24、工根据内部控制的原则接受培训,那么,首席执行官也应当参加此类培训。如果首席执行官想要成为一个楷模他必须以自身的表现和态度告诉组织内所有员工应该怎么做。4、组织结构(职责分离)董事会和高级管理层必须设定组织的结构,并进行适当的职责分离,以便能以高效和便捷的方式完成组织的使命。尽管不存在应用于所有组织的“正确”组织结构,然而,在COSO内部控制整合框架中所包含的指南提供了被认为是好的组织结构的指引。该指南的描述如下:组织结构应当既不能太简单,以至于无法适当地监督企业的活动,也不能太复杂,以至于禁止必要的信息流。主管人员应当完全了解他们的控制责任,并且具有与他们职务相匹配的经验和知识。有效组织的五个
25、特征包括以下几方面。(1)整个组织结构应当是有能力提供管理其活动所必需的信息流;(2)应当界定主要经理们的职责和他们对这些职责的理解;(3)报告关系是适当的;(4)应当根据变化的情况对组织结构做出修正;(5)在管理和监督能力方面,有足够的熟练技工执行组织的各项活动。5、人员的胜任能力所有的内部控制都是针对“人”这一特殊要素而设立和实施的,再好的制度也必须有人去执行,可以说,人员的品行和素质是内部控制效果的一个决定性因素。因此,人的品行和能力是决定性的内部环境因素。另外,员工的品德与能力既是决定性的内部环境因素,直接影响着内部控制其他要素的建设和运行;也是根本性的内部环境因素,影响着其他控制环境
26、因素的优劣。企业没有德才兼备的决策人员,就不可能制定出科学合理的发展战略;没有德才兼备的治理人员特别是独立董事,治理层就不可能有效地履行对内部控制的治理、指导和监督职责;没有德才兼备的管理人员特别是高级管理人员,管理层就不可能有合理的管理理念和经营风格。在企业的各类人员中,董事和高级管理人员的品德和能力格外重要,它不仅直接影响治理层对内部控制监督与指导职责的履行,管理层对企业经营管理“基调”的设定,而且影响到他们对其他员工的招聘、任用、考核,从而影响其他员工的品德与能力。员工的品德是企业的重要资源。COSO(1992)框架认为“经营良好的企业的管理人员已越来越接受道德是值得的的观点一道德行为是
27、一项很好的业务”。员工品德影响着内部控制其他构成要素的设计、执行和监控。“内部控制的有效性不可能脱离建立、执行和监控它们的人员的诚信和道德价值观。”6、其他方面很多因素都会影响内部环境有效性,除了行为守则政策、企业的价值观、首席执行官成为楷模等属性之外,还包括职责与权力的特别委派和沟通、一般授权与责任制、内部审计、资产保护和规定的流程等。五、 企业风险管理(一)企业风险管理(2004)架构1、基本框架2004年,COSO为企业风险管理确立了一个可普遍接受的定义,该定义融入众多观点并达成共识,为各组织识别风险和加强对风险的管理提供了坚实的理论基础,即企业风险管理是一个受企业董事会、管理层和其他人
28、士影响的过程,运用于制订战略之中,并且贯穿整个企业,用以识别可能影响该企业的潜在事项,并且将风险控制在风险偏好的范围之内,为达到实体目标提供合理的保证。企业风险管理(2004)框架的主要贡献就在于,其重新界定了风险管理,即由目标、要素和组织三个维度组成的有机整体。第一维度为企业的目标,即战略目标、经营目标、报告目标和合规目标。在主体既定的使命或愿景范围内,管理当局制订战略目标、选择战略,并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的战略目标、经营目标、报告目标和合规目标。战略目标与高层目标相关,和企业使命相一致,企业所有的经营管理活动必须长期有效地支持该使命。经营目标与企业运
29、营的效果和效率相关,包括业绩和利润目标,运营变化以管理当局对结构和业绩的选择为基础,旨在使企业能够高效地使用资源。报告目标与组织报告可靠性相关,包括对内报告和对外报告,涉及财务和非财务信息。合规目标层次较低,也是最基础的目标,与组织遵循相关法律法规有关。第二维度为构成要素,即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。第三维度组织是企业的层级,包括主体层次、分部、业务单元及子公司。三个维度的关系是,全面风险管理的八个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上八个方面进行风险管理。2、构成要素第二维度企业风险管理包含
30、八个相互关联的要素。它们来源于管理当局经营企业的方式,并与管理过程整合在一起。这些构成要素的含义如下。内部环境内部环境包含组织的基调,它为主体内的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。目标设定必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。事项识别必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。风险评估一通过考虑风险的可能性和影响来对其加以分析,并以此作为决
31、定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。风险应对管理当局选择风险应对回避、承受、降低或者分担风险采取一系列行动以便把风险控制在主体的风险容忍度和风险容量以内。控制活动一制订和执行政策与程序以帮助确保风险应对得以有效实施。信息与沟通一一相关的信息以确保员工履行其职责的方式和时机,能被识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。监控对企业风险管理进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程
32、,在这个过程中几乎每一个构成要素都会影响其他构成要素。3、企业风险管理(2004)框架面临的问题企业风险管理(2004)框架在对企业风险管理进行定义时所强调的最重要也是最独具一格的一点是“贯穿整个企业,应用于战略制定中”。而这一点在实践中却被误读,甚至被无视。COSO最初在编制ERM框架时采用了类似于内部控制框架所使用的立方体。虽然COSO对立方体右侧的内容进行了修改,删除了有关活动和流程,改为侧重于范围更广的实体和运营单位及分支机构,但许多企业依然试图在过于细微的层面实施该框架,例如运用于流程层面而非战略制定。许多组织机构将企业风险管理作为一种保证活动来实施,而不是将其视为一种更佳的企业管理
33、方式,从而失去了治理效果。2008年金融危机以及2011年的日本海啸所引发的经济大萧条,“黑天鹅”“大变脸”事件频频爆发,ERM有关问题和价值的主张便开始明朗起来,令许多企业进入危机应对模式,企业风险管理的实施也因此受到企业特别是C级高管的真正重视。6月24日,COSO委员会发布企业风险管理:风险与战略和绩效的协调,以向公众征求意见,截止日期为2016年9月30日。(二)企业风险管理(2016)框架的内容相对于企业风险管理(2004)框架,新版企业风险管理(风险与战略和绩效的协调)(2016)使用了构成元素加原则的结构,包括5个构成元素,细分为23条原则,2013年COSO组织更新了企业内部控
34、制框架的部分内容,在文章的整体结构上就是采用的这种结构新的结构加强了新框架的可读性、可用性和一致性。新版ERM框架的五要素和23个原则。新版框架对ERM的定义为:组织在创造、保存、实现价值的过程中赖以进行风险管理的,与战略制订和实施相结合的文化、能力和实践。可以看到,新版框架简化了ERM的定义以方便阅读和记忆。新定义方便的是所有读者的理解,而不只是风险管理从业者。新定义包括文化和能力而不只是过程,更加强调风险与价值的相结合,突出价值创造而不只是防止损失,这样也避免了和内部控制定义的界限不清。新版框架中,ERM被视为战略制定的重要组成和识别机遇、创造和保留价值的必要部分。新版框架中ERM不再是主
35、体的一个额外的或是单独的活动,而是融入主体的战略和运营当中的有机部分。新版框架注意到了自旧版框架发布以来,组织在实践ERM过程中遇到的一些问题,包括对风险管理工作的定位,风险管理工作的范围和目标等,新版框架定义了风险管理工作的高度,包括:战略和业务目标与使命、愿景和价值观不匹配的可能性;选定的战略所隐含的意义;执行战略过程中的风险。1、风险治理和文化风险治理和文化构成了ERM所有其他部分的基础。风险治理定下主体的基本基调,加强ERM的重要性并确立ERM的监管责任的分配;文化则是主体的价值观、行为准则和对风险的理解。(1)实现董事会对风险的监督。董事会对主体的风险监督负有首要责任。(2)建立治理
36、和运作模式。在明确的责任分配下,组织应该建立完整的运营模式和汇报体系。(3)定义期望的组织行为。董事会和管理层通过定义其期望的行为将组织核心价值和对风险的态度具体化。(4)展现对诚实和道德的承诺。组织制定基调,建立员工行为准则并对偏离准则的行为做出回应。(5)加强问责。组织确保各个层级的个体在风险管理方面的职责明确,并确保其自身在提供准则和指导方面的职责明确。(6)吸引、发展并留住优秀的个体。致力于根据战略和业务目标构筑人力资本,管理层通过在不同层面建立人力资源管理体系来吸引、培训、指导人才,评价和留住人才。2、风险、战略和目标设定ERM通过制订战略和业务目标的过程与主体的战略计划融合在一起。
37、通过对商业环境的理解,组织可以得到对内在和外在因素的看法以及它们对风险的影响。组织在战略制订中确定其风险偏好,而业务目标使得战略得以实践并形成主体日常的运营。(1)考虑风险和业务环境。组织考虑业务环境对风险图谱的潜在影响;组织要理解业务环境,考虑内部和外部的环境和不同的利益相关者。(2)定义风险偏好。组织在创造、保存和实现价值的过程中定义风险偏好。(3)评估可供选择的战略。组织评估可替代的战略和对风险状况的影响。(4)建立业务目标的同时考虑风险。组织建立不同层次的业务目标以制定和支持战略的同时考虑风险。(5)定义可接受的绩效浮动区间。可接受的绩效浮动也可以理解为风险容忍度。3、执行中的风险组织
38、识别并评估可能影响其实现战略和业务目标的风险,结合企业的风险偏好,对风险按照其严重程度排分优先次序,组织选择风险应对的方法并对绩效进行监控以做出调整。这样,企业对追求战略和业务目标时所面临的风险量建立起一个组合的观念。(1)识别执行中的风险。组织识别执行过程中影响业务目标实现的风险。(2)评估风险的严重程度。风险评估的重要工具是风险热力图,热力图从风险发生的可能性和影响程度两方面对风险进行评级。风险评价要从固有风险、目标剩余风险和实际剩余风险三个层级进行。(3)区分风险的优先次序。组织结合风险偏好,选定对风险排分优先等级的标准,然后对所有识别的风险进行排分。(4)识别并选择风险响应。这些控制活
39、动在内部控制一整合框架中已经介绍。(5)评估执行中的风险。组织需要对绩效进行监测,如果绩效的浮动区间超出了可以接受的范围,则可能需要重新考虑业务目标或战略;调整目标绩效,重新进行风险评估;重新进行风险优先级的排序;重新制定风险应对措施;重新确立风险偏好。(6)建立风险的组合观。管理层需要从组织整体角度考虑风险,将组织风险作为一个整体去和实现绩效目标所需要承受的风险进行对比,而不是将其视为一个个单独的、分散的风险。4、风险信息、沟通和报告沟通是在主体中不断迭代地取得并分享信息的过程。管理层利用从内部和外部取得的有效信息来支持企业风险管理工作,组织利用信息系统来捕捉、处理和管理数据和信息。通过利用
40、应用于所有组成部分的信息,组织就风险、文化和绩效做出报告。(1)使用相关信息。组织利用支持企业风险管理的信息,首先考虑有哪些可用的信息来源,然后衡量取得这些信息的成本,最终确定需要哪些信息来源。(2)利用信息系统。信息系统可以是正式的或者是非正式的。(3)沟通风险信息。沟通的对象既包括内部的员工,也包括董事会、股东及其他外部的利益相关者。沟通方法可以是电子信息、外部/第三方材料、非正式/口头、公共活动、培训和研讨会、内部文件。(4)对风险、文化和绩效进行报告。组织在各个层级对风险、文化和绩效做出报告。5、监控风险管理效果通过监控风险管理(ERM)的效果,组织可以判断ERM的各组成部分的长期运作
41、是否良好并获知有哪些实质性的变化。(1)对重大变化进行监控。组织识别和评估可能对战略和业务目标的达成造成实质性影响的内部和外部变化。造成这些实质性影响的变化可能来自内部的原因,如快速成长、新技术或者管理层及其他人事变动;可能来自外部环境,例如法规和经济环境的变化;还可能来自组织文化方面,例如并购和重组带来的文化冲击。(2)对ERM进行监控。组织应监控ERM的效果并随时准备对其进行效率上和实用性上的改善,组织同样要明确未来理想中的ERM状态,做到持续改进。六、 内部控制20世纪初期建立起来的内部牵制制度虽然对企业管理起到很大的作用,但随着经济的不断发展、企业规模的扩大以及对企业管理要求的逐步提高
42、,它的不完善之处也逐渐暴露出来。尤其是20世纪30年代全球性经济危机暴露出的会计失真、经济秩序混乱等问题,引起各国政府和企业的高度重视和深刻反思。(一)国外对内控概念的界定明确的内控概念的提出约有70年的历史,其每次突破性发展都是由欧美引发实施的,具体的定义归纳如下。1949年定义:基于保护企业资产、检查会计数据的准确性和可靠性、提高运营效率、促进管理政策的贯彻和实施而在企业内部采取的各种方法和措施。1958年定义:内部控制分为内部会计控制和内部管理控制。前者是关于保护企业资产、检查会计数据的准确性和可靠性的控制;后者是关于提高运营效率、促进管理政策的贯彻和实施的控制。1973年的定义:内部管
43、理控制制度包括但不限于组织机构的计划以及与管理部门进行批准决策有关的程序与记录。会计控制制度包括组织机构设计以及与财产保护和财务会计记录可信性直接相关的各种措施。1988年的定义:企业内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序。内部控制结构3要素为:控制环境、会计系统、控制程序。1992年的定义:为实现经营效率和效果、财务报告可信性以及相关法令的遵循等目标而提供合理保证的过程。内部控制的实施者为企业董事会、经理层及其他员工。从各阶段内部控制的定义可以看出内部控制发展、演进和完善的过程,对我国内部控制概念的界定具有很好的借鉴作用。(二)我国对内部控制概念的界定对比国外发展,我国
44、的内控规范发展独具特色:内控规范建设是由政府各部门以“准法规”形式发布实施的,权威性强,执行快速有力;我国真正意义上的内控规范是从其核心的内部会计控制即会计监管上入手,而不是由内控框架起步的。2008年6月28日五部委颁布的企业内部控制基本规范,将内部控制定义为:是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。在理解此概念中,需要特别注意以下几点。(1)内部控制的概念不再拘泥于传统意义上的概念,而是结合我国的基本实情,形式上借鉴COSO内部控制整
45、体框架的五要素框架,同时在内容上体现企业风险管理框架的先进理念,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证的五要素框架。(2)内部控制的实施者结构为“董事会、监事会、经理层和全体员工”,体现全员特征。内部控制是一个受“人”影响的过程,它是由组织内部的每一层级人员共同执行,需要全体员工的共同参与。它要求企业内部的每个员工均明确自己的责任和权力,以便更好地履行其职责,提高内部控制的执行力度。(3)内部控制是一个“过程”而非结果,不是单一制度、机械的规定,而是一个发现问题、解决问题,并且贯彻于企业管理始终的动态过程。该定义没有
46、用“合理保证”这个词,并非说明内部控制是目标的完全保证,“过程”已体现了合理保证的核心思想,控制目标一定能实现,只是需要一个过程。而“合理保证”的内涵在内部控制五大要素之中,特别是在控制活动中得到体现。七、 内部控制的局限性依据唯物辩证法的观点,任何事物都不可能尽善尽美,内部控制也有其两面性:一方面它对企业预期目标具有控制作用:另一方面也有他的不足和缺陷,存在固有的局限性。一般而言,内部控制的局限性表现在以下几个方面。1、成本限制内部控制受到成本与效益原则的限制,内部控制系统所需求的保证水平有必要根据其成本而定。一般来说,控制程序的成本不能超过风险或错误可能造成的损失和浪费。否则,再好的控制措
47、施和方法也将失去意义。由于存在资源稀缺问题,企业必须考虑建立控制的相应成本。般而言,用于衡量控制成本与收益的标准不同。控制成本量化较为容易,控制效益量化则相当复杂,难免包括主观的评估。在评估潜在收益时可以考虑以下特定因素:不理想情形发生的可能性、各项活动的特性、时间价值有可能对实体造成的潜在财务或经营影响。此外,成本效益决策的复杂性还在于当控制与管理或运营过程相结合,或“纳入”管理或营运过程时,很难区分哪些是控制的成本与效益,哪些是管理或营运的成本与效益。同样,若干项控制措施组合在一起,在很多时候,可用以防范或减轻某一特定的风险,但对具体单项的控制成本与效益则很难估计。另外,控制成本与效益的估
48、计,也会因单位或业务性质的不同而有所侧重。高风险活动明确要求进行成本收益分析,而低风险活动则可以省略。2、人为失误内部控制的设计会受到设计人员经验和知识水平的限制,因而可能存在缺陷。同时,执行人员的粗心大意、精力分散、判断失误以及对指令的误解等,也可能使内部控制系统失控或陷于雍疾。例如,经营决策必须在规定的时间内,根据所掌握的信息,在经营行为的压力之下通过人为判断来做出。根据事后的剖析,有些基于人为判断的决策,并不能产生预期的效果,而且可能需要做出改变。3、串通舞弊两人或多人的合谋活动可能导致内部控制的失效。从事犯罪或者试图隐瞒某项行为的个人,通常会设法改变财务数据或其他管理信息,使其不能为内部控制系统所识别。例如,执行一项重要控制职能的员工可能会与客户、供应商或其他员工串通。不同级别的销售人员或部门经理有可能合谋绕过控制,以使所报告的成果达到预算或激励目标。因此,在实际工作中,如果处于不相容职务上的相关人员相互串通、相互勾结,失去了不相容职务之间相互制约