集团企业内部控制与风险管理

集团企业内部控制与风险管理

集团企业内部控制与风险管理我们需要怎样的内部控制？北京大学光华管理学院 王立彦电话：(86-10) 62756256 电子信箱：lywang@http://www.77cn.com.cn2007’中国企业管理高峰论坛 2007-11-30 上海

集团企业内部控制与风险管理

CONTENTS 要点 引言 Why 内部控制？ 内部控制的直接目的何在？ 内部控制：谁的责任？ 内部控制的收益何在？ 集团企业的“分权”与财务控制2007-11-22 2

集团企业内部控制与风险管理

引言：《扁鹊的医术》 魏文王问名医扁鹊： – “你们家兄弟三人，都精于医术，哪一位最 好呢？” 扁鹊答： – “长兄最好，中兄次之，我最差” 文王再问： – “那么为什么你最出名呢？”2007-11-223

集团企业内部控制与风险管理

引言：《扁鹊的医术》(2) 扁鹊答：– “长兄治病，是治病于病情发作之前。由于一般人 不知道他事先能铲除病因，所以他的名气无法传出 去 – 中兄治病，是治病于病情初起时。一般人以为他只 能治轻微的小病，所以他的名气只及本乡里 – 而我是治病于病情严重之时。一般人都看到我在经 脉上穿针管放血、在皮肤上敷药等大手术，所以以 为我的医术高明，名气因此响遍全国”2007-11-22 4

集团企业内部控制与风险管理

引言：《扁鹊的医术》(3) 从管理学视角来解读上述故事，可以得出的 认识是：– 事后控制不如事中控制，事中控制不如事前控制 可惜，很多企业经营者未必能体会到这一点 总是等到错误的决策造成了重大的损失，才寻 求弥补 总是事后急救、“亡羊补牢” 为什么不追求“未雨绸缪”，防范于未然？2007-11-22 5

集团企业内部控制与风险管理

CONTENTS 要点 引言 Why 内部控制？ 内部控制的直接目的何在？ 内部控制：谁的责任？ 内部控制的收益何在？ 集团企业的“分权”与财务控制2007-11-22 6

集团企业内部控制与风险管理

著名的SOX 法案 SOX 的目标：加强公司治理、重建投资者信心– 设立公众公司会计监管委员会 PCAOB – 加强CPA的独立性 – 强化公司的责任和审计委员会的职责 – 强化财务披露要求 生效：法案公布日起30天内 (即2005-8-29) 对美国以外公司（中国44家公司）：2005-7-15 之后结束的首个财政年度（后推延到2006-7-15）2007-11-22 7

集团企业内部控制与风险管理

更多‥ ‥ ‥ 在萨班斯法案出台后，法国和日本都先后出台 了类似的新法规强化监管 我国的相关规范也多起来了– – – – – 财政部发起成立了企业内部控制标准委员会 证监会 国资委 中央银行 交易所 从长远来看，监管企业内部控制体系将更趋紧2007-11-22 8

集团企业内部控制与风险管理

公司实务 中国企业 – 中石化（年度报告中的“公司治理”部分） – 中石油（内部控制系统） – TCL（内部审计） – 股份制银行（内部控制报告 by CPA） – UT Starcom – 自愿者：山西煤气化 (000968) 想想看– CPA report on UT Starcom’s Internal control2007-11-22 9

集团企业内部控制与风险管理

然而，内部控制只有监管意义？ 建立正式的监控制度– SEC、证监会、交易所 – 目前社会的关注都集中于此 但是， 治理意义呢？ 管理运营意义呢？ 风险防范的功能呢？2007-11-22 10

集团企业内部控制与风险管理

COSO：内部控制与风险管理 COSO1992– 内部控制则主要由五个部分组成：控制环境 、 风险评估 、 控制活动 、信息和沟通 、监控2007-11-2211

集团企业内部控制与风险管理

COSO内部控制架构图信息与 交流 监 测 控制 活动风险 控制评价 环境2007-11-2212

集团企业内部控制与风险管理

COSO：内部控制与风险管理 COSO1992– 内部控制则主要由五个部分组成：控制环境 、 风险评估 、 控制活动 、信息和沟通 、监控 COSO2004– ERM在内部控制整体框架五要素的基础上进 行了拓展，增加了三个风险管理要素，形成 了八要素，分别是内部环境、目标设定、事 件识别、风险评估、风险回应、控制活动、 信息与沟通、监督。2007-11-22 13

集团企业内部控制与风险管理

企业风险管理框架目标类型： 战略 经营 报告 遵循 2007-11-2214

集团企业内部控制与风险管理

内部控制：风险管理视角的定义 内部控制是一个受到董事会、经理层和 其他人员影响的、应用于战略制定的过 程 贯穿整个企业的所有层级和单位，旨在 识别影响组织的事件并在组织的风险偏 好范围内管理风险 为实现各类目标提供合理保证2007-11-22 15

集团企业内部控制与风险管理

超越“监管” 看内部控制 首先要问：为什么需要内部控制？– 回答：防范风险（事先）、最小化风险（事中） 、纠 正风险导因（事后） 接着要问：内部控制的设计主体是谁？– 要知道，在不同主体眼中的内部控制，那是不一样的 然后要问：风险来自那里？– 当然不限于企业自身，还来自外部 还要继续问：强化内部控制的效果如何？– 外部效果、内部效果2007-11-22 16