Download
1 / 100
1k likes | 1.09k Views
企业全面风险管理. 2005年4月9日 · 北京. 安永中国营运委员会主席. 讨论内容. 企业风险管理的必要性 案例分析 教训与启示 企业风险管理框架 股东对企业风险管理最关心的四个问题 风险管理框架:一个基础、三道防线 构建风险管理的关键成功要素 财务报告系统的内部控制 财务报告系统的功能 财务报告系统的典型问题 美国索克斯法的主要规定及要求 如何建立内控以满足索克斯法的要求. 第一部分 企业风险管理的必要性. 企业风险管理的必要性. 案 例 分析 : 安然公司 世通公司 巴林银行 回顾事件发生的经过 了解引致公司倒闭或严重损失的内控缺陷
E N D
企业全面风险管理 2005年4月9日·北京 安永中国营运委员会主席
讨论内容 • 企业风险管理的必要性 • 案例分析 • 教训与启示 • 企业风险管理框架 • 股东对企业风险管理最关心的四个问题 • 风险管理框架:一个基础、三道防线 • 构建风险管理的关键成功要素 • 财务报告系统的内部控制 • 财务报告系统的功能 • 财务报告系统的典型问题 • 美国索克斯法的主要规定及要求 • 如何建立内控以满足索克斯法的要求
第一部分 企业风险管理的必要性
企业风险管理的必要性 案例分析: • 安然公司 • 世通公司 • 巴林银行 • 回顾事件发生的经过 • 了解引致公司倒闭或严重损失的内控缺陷 • 从案例中吸取的教训 • 八百伴公司 • 百富勤公司 • 三家国有控股上市公司
案例一:美国安然公司 (Enron) • 在2002年,安然是美国最大的石油和天然气企业之一 • 2001年末,安然宣布第三季度录得6.4亿美元的亏损,美国证监会对该公司进行调查,发现该公司在1997以来虚报利润5.8亿美元 • 2001年末,安然申请破产保护令,但在之前10个月内,公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利
调查发现: • 安然的董事会及审计委员会均采取不干预(“hands-off”) 监控政策 • 事件发生之后,部分董事表示不太了解安然的财务状况、 期货及期权的业务 • 安然重视短期的业绩指标 • 安然管理高层常常藐视或推翻公司制定的内控制度
案例二:美国世通公司 (Worldcom) • 世通是美国第二大的电信公司 • 2002年,世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法,多年来虚报利润735亿美元 • 世通于2002年末申请破产保护令,成为美国历史上最大的破产个案 • 世通的四名主管(包括公司的CEO和CFO) 承认串谋讹诈,被联邦法院刑事起诉
调查发现: • 世通的董事会持续赋予公司的CEO(Bernard Ebbers) 绝对的权力,让他一人独揽大权 • 美国证监会的调查报告指出:世通完全没有制衡机制 • 世通的董事会并没有负起监督管理层的责任 • 世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金
案例三:英国巴林银行 (Barings Bank) • 巴林银行在90年代前是英国最大的银行之一,有超过200年的历史 • 1992-1994年期间,巴林银行新加坡分行的总经理里森(Nick Lesson) ,从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动 ,累积亏损超过10亿美元,导致巴林银行于1995年2月破产 调查发现: • 巴林银行的高层对里森所从事的业务并不了解 • 巴林缺乏职责划分的机制 • 巴林银行的高层对财务报告不重视
案例四:日本八百伴 (Yohan) • 在90年代,八百伴是日本最大的百货公司之一 • 1997年9月,八百伴宣布破产,向法院申请“公司更生法”保护,当时八百伴的负债额达1,613亿日元,是日本战后最大的一宗企业破产案 调查发现: • 八百伴低估经营非核心业务的风险 • 八百伴低估扩张业务的风险 • 八百伴低估了开发新兴市场的风险
案例五:香港百富勤公司 (Peregrine) • 在90年代,百富勤原是亚洲除日本外的最大投资银行 • 金融风暴冲击下,百富勤在短短一年内出现入不敷出,至1999年月1月宣布破产 • 调查发现: • 香港政府在调查百富勤的报告中表示,百富勤倒闭的原因主要是由于缺乏有效风险管理、内控体制和完善的财会报告系统 • 百富勤虽然设立了信贷委员会和风险管理部门,但却未能制衡业务部门强大的权力 • 百富勤忽略发展新兴市场的风险 • 百富勤低估了利率和汇率波动的风险
案例六:投资与出售股权权益 某国有控股的上市企业(简称“国企A”)于19X4年以约4.2亿元人民币收购某汽车制造公司95%权益,两年后,该国企以3.2亿元人民币向一家马来西亚公司出售其在汽车公司中50%的权益,而记录了一笔4,000万元人民币的营业外收入。但其后,该马来西亚公司并没有按协议支付交易金额,而交易亦被迫中断。19X7年,国企A为掩饰交易失败而重新与三家公司签约,以3.2亿元人民币的同样金额将汽车公司的50%权益转售给这三家公司,但这三家公司最终都没有向国企A支付任何款项。
调查发现: • 国企A未有就对外投资建立完善的风险管理,投资前既没有清楚考虑其高级管理层缺乏汽车制造业的经验,亦没做好可行性研究的各种分析。 • 在出售投资权益予该马来西亚公司时,并未充分考虑对方的信誉和偿付能力,亦未有利用买卖协议为可能出现的违约事件提供保障。 • 在转售投资权益予该三家公司时,并未披露这三家公司均为关联的 “空壳公司”。财务报表亦没有如实反映交易中断的情况。 • 汽车公司从成立至19X9年的5年间,一直未能调试投产,亦未有竣工验收,最终,该国企以大幅度低于成本的价钱,把该汽车公司出售,造成严重亏损。
案例七:投资非核心性业务 某国营企业(简称“国企B”)于19X6至19X8的两年间,动用接近10亿元人民币,投资了15家公司,而该国企在每家公司的权益均在10%至30%之间,这些公司的业务范围包括金融、包装材料、汽车零部件、房地产开发、贸易和通信等。 • 调查发现: • 国企B未有就对外投资建立完善的风险管理系统。 • 这15家公司大部分没有为国企B提供经审计的财务报表,亦一直未派股息;国企B亦没有利用投资协议来保障其权益。
案例八: 某香港上市公司 • 某国有控股在香港上市的公司(简称“国企C”)没有遵守上市规则的要求,在没有得到股东批准的情况下,向一位董事的关联公司提供港币1.6亿元的贷款和港币1.96亿元的银行信用证担保,该贷款和信用证担保的总额占上市公司资本金的30% • 款项贷出后,该关联公司一直不予还款,而国企C为该关联公司所提供的银行信用担保当中的港币9,500万元已被有关银行提出追讨
调查发现: • 国企C的公司治理结构不规范,出现一小撮人独揽大权 • 国企C并没有建立合规方面的风险管理机制 • 国企C的财务报告系统既没有为上述关联交易作出适当的披露,亦没有为拖欠的贷款提取坏账准备
教训与启示 • 常言: • 「智者从别人失败经验中吸取教训, • 聪明者从自己失败经验中吸取教训, • 愚者则永不懂从经验中学习。」
我们可以从上述案例中吸取什么教训? 1. 熟悉企业本身的业务与相关风险 • 切记:避免制定不切实际的目标或盲目扩展投资,使企业承受无谓的风险 • 建立内控和相互制衡的机制 • 切记:权力过分集中就会出现腐败的情况 • 紧盯着现金 • 所有犯案、挪用公款和偷窃行为均与现金有关 • 常言:“会计数字只是参考意见,现金才真正令你感到踏实。”
合理制定绩效评估与激励机制 • “如果你发现精明的员工做出蠢事,你应意识到这可能是因为他们受到公司的绩效与激励机制的诱导而产生的结果。” 5. 建立规范和健全的财务报告系统 • 财务报告系统必须有能力为企业提供及时、准确和具高分析性的财务资料,以帮助管理层管理业务和赢取股东的信心
6. 深化企业风险管理文化 • 要建立健康的企业文化及价值观,企业必须: • 由上而下,身体力行,建立严谨的“风纪” ,使员工能上行下效 • 订立管理原则和行为规范 • 通过绩效管理的方法,鼓励正确的行为和态度 • 加强培训和沟通 • 企业必须建立有效机制,使员工能从企业本身或其他企业所犯的错误(或接近犯错)的经验中,吸取教训
第二部分 企业风险管理框架
什么是风险管理? 企业风险管理是一套由企业董事会与管理层共同设立、和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平,从而帮助企业达至它的目标。 美国内控研究委员会
企业为何要建立风险管理? 因为企业的股东与管理层常常要面对一些令他们寝食难安的问题。因此,企业需要系统化地建立一套风险管理体制,从而识别影响企业盈利的关键因素,并对那些会影响企业达标的风险进行监控及管理
股东对企业风险管理最关心的四个问题: • 企业知道它所面对的主要风险吗? 例如:什么风险正在或将会影响企业的业务? • 企业的品牌 • 新产品、新市场的开发 • 战略联盟 • 客户或供应链的管理 理想的情况: 企业能开发一套标准的、共通的风险语言,从而识别企业所面对的风险,并就其严重的程度进行排序。共通的风险语言亦有利于企业上下层就风险的管理进行沟通
企业是否已对这些风险设置内部控制? 企业需要就各业务单位在日常运作中所面对的风险(战略性风险、业务性风险、流程性风险),构建内部控制(包括预防性控制及觉察性控制) ,以确保企业能实现目标和符合各方面的法律、法规 理想的情况: 企业就其所面对的风险和采取的内控,编制一套完整的文档,并借鉴国际最佳的实务不断进行检讨
企业的内部控制有效吗? 企业要对其内控系统不间断地进行监控和测试,以确保其对风险控制的能力 理想的情况: 企业把各类风险控制在可接受的水平,并在这基准上赚取合理的回报
哪一些内部控制必须改进? 企业内部和内部环境的变化会不停地影响企业所面对的风险和所应采取的监控措施 理想的情况: 企业能建立一套具前瞻性的信息管理系统和预警系统,使企业能及时识别新生的风险,并对相关的业务计划、政策和程序进行修正
第三道防线 第二道防线 董事会 风险管理 委员会 审计委员会 管理层 CEO 业务部门 内部审计 风险管理 第一道防线 企业风险管理框架 • 一个基础 • 三道防线
一个基础:公司治理结构 什么是公司治理? • 公司治理是涉及公司的表现:它关系到一家公司如何得到有效的管理,从而发挥最佳表现 • 公司治理是涉及责任的问题:它关系到董事会及管理层如何向股东负责,而使股东能从公司的表现中得益
公司治理与风险管理有什么关系? 公司治理是风险管理的一个必要的组成部份,因为它提供了对风险由上而下的监控与管理 • 近年多个国家都订立了公司治理的最佳守则: • 美国:纽约证交所最佳治理守则 • 英国:Cadbury/Hampel Report、The Combined Code • 加拿大:Dey Report • OECD Report 这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任
如何构建一个有利风险管理的公司治理结构? • 建立一个健全的、以董事会为首的公司治理结构 • 订立企业的目标和战略,包括企业的风险政策和极限 • 贯彻一套重视风险管理的企业文化和价值观
第一道防线:业务单位防线 • 业务单位包含了企业大部分的资产和业务,它们在日常工作中面对各类的风险,是企业的前线 • 企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中,才能建立好防范风险的第一道防线
如何建立第一道防线 了解企业战略目标及可能影响企业达标的风险 识别风险类别 对相关风险作出评估 决定转移、避免或减低风险的策略 计设及实施风险策略的相关内部控制
风险宇宙 竞争对手 股东 市场变化 顾客 沟通 筹划与开发 组织结构 生产及流通 法规 国家情况 政府 雇员 执行 社区责任 风险管理 市场与销售 其他 有形资产 合约 经济情况 供应商 人才资源 监察与沟通 声誉 董事会及 管理层业绩 商品/服务开发 机器、厂房 与土地 负债 市场结构 利益有关方 民风与文化 策略 道德 董事会活动 生产程序 有形资产 法律 营商环境 管治 营运 (风险宇宙TM ) 财务 交易 资信 市场 流动资产与 信贷 财务报告 资本结构 变卖 并购 制度 资信管理 知识产权 商品 现金管理 税务 股东资本 流程 尽职调查 硬件 运营 无形资产 利率 对冲 会计 债务 估值与 选择买家 并购后整合 软件 组织与监察 知识管理 外汇 融资 合规 评估与甄选 网络 信息
战略性风险 • 战略性风险是指公司因作出战略性错误的决定而导致经济上的损失 • 战略性风险是业务单位、高级管理层和董事会的共同责任 • 常见的战略性风险包括: • 企业的目标与方针 • 市场潜在的威胁 • 业务的范围(深度与广度) • 品牌及形象的建立 • 与战略性伙伴的合作 • 投资和融资的策略 • 员工的素质和雇员关系 • 企业的信息及监控系统
信贷风险 • 信贷风险是指贷款人或合同的另一方因不能履行合约而使公司产生经济损失的风险 • 常见的信贷风险包括: • 贷款未能回收 • 应收帐款未能回收 • 债券跌价 (因信贷评级的减值或债务人未能履行付款义务) • 买卖金融市场产品而未能兑现 • 企业因合资、合作、联盟、外包等经济活动而产生或暴露的信贷风险
市场风险 • 市场风险是指因市场价格或利率波动而使公司产生经济损失的风险 • 构成市场风险的三大因素: • 因买卖或投资金融产品而产生的风险 • 因资产与负债错配、或原材料与产成品价格不能同步浮动而产生的风险 • 资金流动性风险 • 常见的市场风险包括: • 利率风险 • 外汇风险 • 股票与债券市场风险 • 商品价格风险 • 期货、期权与衍生工具风险
操作风险 • 操作风险是指企业内部流程、人为错误或外部因素而令公司产生经济损失的风险,它包括了公司的流程风险、人为风险、系统风险、事件风险和业务风险等 • 流程风险是指交易流程中出现错误而引致损失的风险,流程包括如:销售、定价、记录、确认、出货/提供服务等环节。流程风险也包括合规性风险 • 人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而引致损失的风险 • 系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的风险 • 事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险 • 业务风险是指因市场或竞争环境出现预期以外的变化而引致损失的风险,所涉及的问题包括市场策略、客户管理、产品开发、销售渠道和定价等领域
近乎没有 轻微 中等 重大 灾难 风险地图(或风险共同语言) 说明: A – 人力资源风险 B – 财务风险 C – 竞争风险 D – 开发风险 E – 过度自信风险 F – 系统故障风险 G – 主要客户风险 H – 欺诈风险 I – 政治风险 J – 薪酬奖励风险 K – 科技风险 C 几乎 肯定 A B F 极可能 可能性 G D E H K 可能 I J 低 极低 影响程度
B C 风险处理组合 说明: A – 人力资源风险 B – 财务风险 C – 竞争风险 D – 开发风险 E – 过度自信风险 F – 系统故障风险 G – 主要客户风险 H – 欺诈风险 I – 政治风险 J – 薪酬奖励风险 K – 科技风险 D I J A E 极高 F G K H 高 风险评级 中等 低 采取行动 密切监控 低效 适中 超标 极度 近乎没有效果 定期审阅 处理评级
高 转移 避免 可能性 可接受 小心管理 低 小 影响程度 大 风险处理策略
高 转移 避免 可能性 可接受 小心管理 低 风险处理策略 风险策略 • 避免 • 禁止交易 • 减少或限制交易量 • 离开市场 • 转移 • 套期 • 保险 • 策略性联盟 • 其他分担风险的安排 • 小心管理 • 投资 • 广泛保护的安排 • 订价反映风险程度 • 可接受 • 自我保险 • 预留储备 • 增加监督 小 影响程度 大
第三道防线 第二道防线 董事会 风险管理 委员会 审计委员会 管理层 CEO 业务部门 内部审计 风险管理 第一道防线 第一道防线:总结 • 企业建立的第一道防线,就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等,系统化地进行分析、确认、度量、管理和监控 • 企业需要把评估风险与内控措施的结果进行记录和存档,对内控措施的有效性不断进行测试和更新
第二道防线:风险管理单位防线 • 第二道防线是在业务单位之上建立一个更高层次的风险管理功能,它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会 • 风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作,它的职责包括: • 编制规章制度 • 对各业务单位的风险进行组合管理 • 度量风险和评估风险的界限 • 建立风险信息系统和预警系统 、厘定关键风险指标 • 负责风险信息披露、沟通、协调员工培训和学习的工作 • 按风险与回报的分析,为各业务单位分配经济资本金
“内部审计是一项独立、客观的审查和咨询活动,其目的在于增加企业的价值和改进经营。内审通过系统的方法,评价和改进企业的风险管理、控制和治理流程的效益,帮助企业实现其目标。”“内部审计是一项独立、客观的审查和咨询活动,其目的在于增加企业的价值和改进经营。内审通过系统的方法,评价和改进企业的风险管理、控制和治理流程的效益,帮助企业实现其目标。” 美国内部审计师协会 第三道防线:内审单位防线 • 第三道防线涉及一个独立于业务单位的部门,监控企业内控和其他企业关心的问题 • 内部审计的定义:
内部审计的三大功能 • 财务监督 • 财务帐的可用性 • 内部管理和制度的执行 • 典型例子:检查分、子公司上报总部的财务报表的 准确性以及执行财务管理政策的情况 • 经营诊断 • 管理审计以及效率和效益审计 • 检查和诊断经营和管理过程中的偏差和失误 • 典型例子: 企业对某业务单位或某部门执行效益审计 (一个输入与产出的关系)
咨询顾问 • 企业风险管理和发展策略方面的咨询 • 调查领导关心的热点问题和管理薄弱环节 • 典型例子: 兼并收购时调查被投资公司的内部管理和 流程操作,了解薄弱环节或其他影响并购 交易的重大事项,从而确定管理方法和 并购策略
