内部控制过程篇 内部控制过程包括过程控制、内部审计，过程控制使控制对象在行为过程中处于稳定状态，并达成内部控制目标的控制活动，涉及运营风险监控、风险的自我评估和信息反馈等 南开大学　程新生 等.

Presentation on theme: "内部控制过程篇 内部控制过程包括过程控制、内部审计，过程控制使控制对象在行为过程中处于稳定状态，并达成内部控制目标的控制活动，涉及运营风险监控、风险的自我评估和信息反馈等 南开大学　程新生 等."— Presentation transcript:

1 内部控制过程篇 内部控制过程包括过程控制、内部审计，过程控制使控制对象在行为过程中处于稳定状态，并达成内部控制目标的控制活动，涉及运营风险监控、风险的自我评估和信息反馈等 南开大学　程新生 等

2 第九章　过程控制 9．1　运营风险 9．2 风险监控 9．3 过程控制案例 南开大学　程新生 等

3 9．1　运营风险 过程控制是指在内部控制框架下，使控制对象在行为过程中处于稳定状态，并达成内部控制目标的控制活动。过程控制比结果控制要深入、具体，不仅对工作结果进行监控，而且要对整个过程进行控制，如风险监控是过程控制的重要内容 南开大学　程新生 等

4 2001年，长虹公司为实现海外发展战略、提高销售额，将长虹彩电交由APEX公司在美国销售。APEX方面总是以质量问题或货物未收到为借口，拒付、拖欠货款或少量付款。2002年底，长虹公司应收账款为42.2亿元，APEX公司就占了90%，达38.3亿元。2003年底长虹公司应收账款49.8亿元，APEX公司就占了89%，达44.6亿元。长虹公司内部为此专门成立了APEX项目管理小组 南开大学　程新生 等

5 但令人无法理解的是，在提出对账和索要货款未果的情况下继续发货给APEX公司。2003年底，长虹公司派出高级管理人员与APEX交涉，结果2004年初长虹又发货3000多万美元，暴露了长虹公司在过程控制方面的问题。企业最高管理层需要树立企业成长、盈利、风险三者平衡的风险控制观，要求管理当局将主要精力放在风险管理方面，而不是所有细节的控制上 南开大学　程新生 等

6 风险具有普遍性、多样性、可变性(一种风险可转化或扩展成另一种风险)、突发性、隐蔽性、复杂性、可控性。
一、流程风险 风险具有普遍性、多样性、可变性(一种风险可转化或扩展成另一种风险)、突发性、隐蔽性、复杂性、可控性。 流程风险源于缺乏有效的流程管理，包括生产流程风险、交易流程风险、产品或服务风险。 生产过程风险包括生产能力风险、生产周期风险、生产中断风险、存货保持风险等。 南开大学　程新生 等

7 交易过程风险的发生可能发生在采购环节，也可能是由于企业对于供应商或客户的评估而产生的。在采购过程中，如果原材料缺货或成本过高，那么可能会影响到企业在客户需要时提供具有竞争性价格的产品或服务的能力。另外，采购原料的质量问题也可能引起风险 例如，上海宝钢矿石供应的风险 南开大学　程新生 等

8 交易流程中的风险控制 交易前 交易中 交易后 交易管理工具 订单去向 交易执行 确认交易 清算及核对 会计记录
图9－1 交易流程中的风险控制 定价 信用记录 南开大学　程新生 等

9 【英特尔的失误】 1994年11月，一位学术界人士告诉英特尔公司，它们生产的奔腾处理器有一个小的运算功能错误。但英特尔公司非常自信，没有认真对待这位客户的反应。发现瑕疵的教授通过互联网询问其他人是否也遇到了类似的问题，结果得到数以千计人的回答。尽管英特尔公司一再向用户保证，处理器的这个微小的问题不会影响到PC机的整体功能（出现计算错误的概率为90亿分之一），但用户坚决要求更换产品。新闻媒体的批评是严厉的，IBM公司对装有奔腾处理器的计算机停止发货。虽然英特尔公司制定了更换产品的政策，但只有约3%的用户的产品得到了更换，英特尔为此付出了4.75亿美元的代价 南开大学　程新生 等

10 二、人员风险 人员风险是指由于人员资格和能力不能够满足工作的要求，致使设计或操作出现漏洞、疏忽、工作完成的效果差、难以达到预计目标、生产经营效率低下、产品质量或服务质量不达标准的可能性 有调查显示，大型超市的经理仅将31%的库存损失归因于店铺偷窃者，而将剩余的46%归咎于员工偷窃。如果只是追求利润而不将风险意识结合到公司的文化中，同样会引发员工的不良表现 南开大学　程新生 等

11 【迪斯尼公司的员工背景调查】 迪斯尼乐园的业务是建立在公司安全及童趣的声誉上：如果声誉受损，业务就会下滑。1998年7月，迪斯尼公司一名年龄不到20岁的厨师被指控在酒店的卫生间侵犯了一位游客。这个厨师还有着相当多的犯罪和被捕记录时，他的犯罪记录还包括袭击他人、入室偷窃等。 在他被迪斯尼雇佣的时候，他处在缓刑期间。舆论对此曝光后，迪斯尼乐园的客流量和收入在一段时间内受到了打击。这一事件之后，迪斯尼乐园将每一个员工都当作企业的风险源，更注重员工录用时的背景调查。 南开大学　程新生 等

12 海空物流公司CEO向公司的每一个员工发出了必须遵守基本的职业道德规范（Code of Business Conduct），将该职业道德规范放在网站上，要求每一位员工每年必须重新学习一遍，强化员工的控制意识 南开大学　程新生 等

13 三、信息系统风险 信息系统风险包括信息系统数据的真实性、系统的稳定性、系统使用的安全性等方面。
运用信息系统的企业，在设计商业流程及系统时，应该明确地将数据安全、准确作为首要目标 例如，一些物流公司在客户出货多的情况下，没有及时掌握信息、制定流程控制防止业务人员操作失误；在货急和客户提供信息不完整时，没有应急的流程控制和信息沟通，容易造成客户流失。 南开大学　程新生 等

14 四、外部风险 这种风险的来源于企业外部，但属于企业风险监控和内部控制范围，未雨绸缪是一个比亡羊补牢更理性的选择。外部风险可以是自然或人为的灾难，可能来自于竞争具有偶然性，难以预测，一旦发生却有着严重的后果 外部风险还环境，使企业的原有运营环境遭到破坏，但是有效的管理可以降低此类风险。例如，IBM从一个硬件公司到一个服务及解决方案公司的转型，较好地解决了竞争环境变化带来的风险 南开大学　程新生 等

15 9．2 风险监控 以“目标—风险—控制”流程为指导，对所有的风险进行分析，包括管理层关注的事项以及引起责任人员注意的风险领域。关注高风险的领域，以提供相关的、符合管理层和董事会需求的信息风险管理源于20世纪30年代，在风险定性分析的基础上，把保险作为处理风险的主要方法 到了50年代，运用概率论和数理统计；60年代后，系统地研究风险管理；自70年代以来，风险管理逐渐发展成为新兴的管理学科，不再局限于信用风险管理，80年代转向财务风险管理（包括资本市场风险、信用风险等），90年代后期进入了全方位的企业风险管理 南开大学　程新生 等

16 企业风险管理 财务风险管理 信用风险管理 图9－2 风险管理发展示意图
图9－2 风险管理发展示意图 南开大学　程新生 等

17 一、COSO委员会《企业风险管理－整合框架》
（一）企业风险管理－整合框架 2004年9月，由美国注册会计师协会(AICPA)、国际内部审计师协会(IIA)、财务经理人协会(FEI)、管理会计师协会(IMA)、美国会计学会(AAA)组成的COSO委员会正式发布了《企业风险管理—整合框架》（Enterprise Risk Management，以下称ERM），为企业管理当局评价和改进其所在组织的企业风险管理提供了一个框架 南开大学　程新生 等

18 企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯彻执行之中，管理风险以使其在该组织的风险容量之内，为组织目标的实现提供合理保证
ERM框架明确了以下内容：风险管理是一个过程，受人的影响，应用于战略制定，贯穿整个企业的所有层级和单位，旨在识别影响组织的事件并在组织的风险偏好范围内管理风险，为了实现各类目标提供合理保证 南开大学　程新生 等

19 （1）内部环境—为人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及所处的经营环境。
ERM包括八个相互关联的部分： （1）内部环境—为人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及所处的经营环境。 （2）目标设定—必须先有目标，管理当局才能识别影响目标实现的潜在事项。 （3）事件识别—必须识别影响组织目标实现的内部和外部事项，区分风险和机会，使机会被反馈到管理当局的战略或目标制定过程中。 南开大学　程新生 等

20 （4）风险评估—通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。
（5）风险应对—管理当局选择风险应对策略—回避、承担、降低或者分担风险，以便把风险控制在组织的风险容忍度和风险容量以内。 （6）控制活动—制定和实施政策和程序以确保风险应对方略得以有效实施。 （7）信息和沟通—向组织的各个层级提供他(她)们识别、评估和应对风险所需的信息。有效沟通包括信息在组织中的向下、平行和向上流动。 南开大学　程新生 等

21 （8）监控—进行全面监控，必要时加以纠正。监控可以通过持续的管理活动、个别评价或者两结合起来完成。
企业风险管理的八个要素都是为企业的四个目标(经营效率、财务报告可靠性、合规合法性、战略目标)服务的，企业各个层级都要坚持同样的四个目标，每个层次都必须从以上八个方面进行风险管理。 南开大学　程新生 等

22 （1）协调风险容量与战略—管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在组织的风险容量。
企业风险管理主要有下列作用： （1）协调风险容量与战略—管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在组织的风险容量。 （2）增进风险应对决策的严密性—ERM为识别和选择风险应对策略—风险回避、承担、降低或者分担，提供了理论依据。 （3）控制或抑减经营意外和损失——使组织识别潜在事项和实施应对的能力得以增强，从而抑减意外情况以及由此带来的成本或损失。 南开大学　程新生 等

23 （5）抓住机会—通过全面考虑潜在事项，促使管理当局抓住并积极地利用机会。
（4）识别、管理多重的和贯穿于企业的风险—每个企业都面临着影响其不同部分的一系列风险，ERM有助于有效地应对交互影响的风险因素，应对多重风险。 （5）抓住机会—通过全面考虑潜在事项，促使管理当局抓住并积极地利用机会。 （6）改善资本配置—获取有效的风险信息，帮助管理当局有效地评估资源需求，并改进资源配置。 南开大学　程新生 等

24 企业过程控制失控发生的损失 公司 损失 未评估的风险 Barclay’s Bank 巴克雷银行
由于在香港的交易商大量投资于金融衍生品，成为世界上最早开展其他业务的金融机构之一 通过占据有利位置而不是套利，大量投资于金融衍生品。通过超额奖金激励交易者 WorldCom 世通 由于控制不完善、财务错报和贷款给CEO导致公司破产 财务报告涵盖了三个以上地点；对CEO的贷款没有抵押物；以股价为基础激励，内部控制失效 Daimler-Chrysler 戴姆克莱斯勒 由于Chrysler公司收购Daimler公司而遭受重大财务和股价损失 为了增加盈利，Chrysler将未达到Daimler质量的新产品打入市场 中航油（新加坡） 破产保护 缺乏有效的风险监控系统 南开大学　程新生 等

25 风险偏好是企业为了追求更大价值而愿意承担的风险容量，与战略和资产配置有关。尽管企业风险管理有很多重要的作用，但它也存在着局限。这些局限主要源于下列方面：人们在决策过程中的判断可能有纰漏，有关应对风险和建立控制的决策需要考虑相关的成本和效益；不可控的事项、差错或不当报告偶尔也会发生，控制可能因为两个或多个人员的串通而被规避；管理当局有可能凌驾于企业风险决策之上等 南开大学　程新生 等

26 （二）ERM与内部控制整合框架的关系 ERM框架几乎包含了COSO委员会在1992年发布(1994年修订)的内部控制整合框架的所有内容，并进行了较全面的拓展。ERM框架是内部控制整合框架的升级，这种升级主要表现在以下几个方面： 1．提升了内部控制的目标层次 2．增加和优化了内部控制的内容 3．建立了风险的组合观 4．引入风险容量和风险容忍度的概念 南开大学　程新生 等

27 二、企业全面风险管理 ERM风险管理框架发布后，引起企业界和监管部门的关注。在我国，国务院国有资产管理委员会2006年出台了《中央企业全面风险管理指引》（以下简称《指引》），借鉴了COSO委员会“企业风险管理框架”和国内外先进企业风险管理方面的经验，以及国内有关内部控制建设方面的规定，对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险管理、信息系统等方面进行了详细阐述 南开大学　程新生 等

28 全面风险管理基本流程包括以下主要工作 ①收集风险管理初始信息； ②进行风险评估； ③制定风险管理策略； ④提出和实施风险管理解决方案；
⑤风险管理的监督与改进。 南开大学　程新生 等

29 风险管理职能部门和董事会下设的风险管理委员会为第二道防线 内部审计部门和董事会下设的审计委员会为第三道防线
具备条件的企业可建立风险管理三道防线： 即各有关职能部门和业务单位为第一道防线 风险管理职能部门和董事会下设的风险管理委员会为第二道防线 内部审计部门和董事会下设的审计委员会为第三道防线 南开大学　程新生 等

30 【中广核集团全面风险管理体系建设案例】 中广核集团是在1985年与香港中电合资建设的大亚湾核电站的基础上，于1994年9月经国务院批准成立的大型企业集团，从成立之初就十分重视风险管理工作，形成了一套比较完整的管理制度和程序，积累了一定的管理经验，取得了较好的成效，中广核集团借鉴国务院国有资产管理委员会《中央企业全面风险管理指引》，将风险管理作为重点工作之一，积极推进全面风险管理体系建设，保战略目标实施、保可持续发展，取得了初步成效 南开大学　程新生 等

31 1．全面开展风险评估诊断，明确所面临的重大风险
在进行风险调研的基础上，组织填写并回收调查问卷共计240多份，收集风险初始信息9474条，辨识出风险事件517个，最终在集团公司层面归集为13大类、35个风险。在此基础上，通过进一步从风险的影响程度、风险发生的可能性和管理改进的迫切性三个维度对所收集的风险信息和调查结果进行统计、分析、评价，绘制出集团风险图谱，经过集团风险管理领导小组确认，明确了需要重点防范的九类重大风险 南开大学　程新生 等

32 2．制定重大风险管理策略和措施，加强重大风险管理
针对评估辨识出的重大风险，推进小组通过对集团高层领导、集团公司顾问和相关专家、重要管理骨干等，共计78人次进行访谈，初步掌握重大风险的管理现状，并将战略、资金和核电工程建设等三个方面重大风险的管理作为突破口，对与其相关的管理制度和流程进行梳理、分析 对其关键业务环节设计了29个风险监控指标，制定了28项风险预警标准，建立了相应的风险监控报告和预警机制 南开大学　程新生 等

33 三、风险监控 风险评估首先应找到“风险动因”，而不能简单地将业务部门或行政区域作为风险评估的对象，对“风险动因”的具体元素进行逐个评估后，风险既可以进行横向汇总对机构风险进行排序，也可以对不同业务进行纵向汇总对业务风险进行排序。对业务风险的评估和排序结果是进行专项检查的重要依据，为提高业务水平提供了可能。 南开大学　程新生 等

34 （一）风险监控流程 有效的风险监控系统有助于实现内部控制的目标，将降低损失、减少重大负面事件发生的概率，为企业提供早期风险警告机制，改进企业实现其商业目标的能力，管理层将力量集中在创造价值的活动方面，而不是应付危机上；有效的风险监控使风险转移合理化，提高企业的市场价值 南开大学　程新生 等

35 风险导向下的过程控制 过程控制目标 收集风险方面的信息 过程风险识别 风险应对 （确定风险管理模式） 内部控制 风险控制
（改进风险管理能力，监督风险管理制度的实施） 风险评估 （分析风险来源并测量风险） 南开大学　程新生 等

36 风险监控的流程可分为四个步骤： 风险识别、风险评估、风险应对以及风险控制，以下分别叙述 南开大学　程新生 等

37 1. 风险识别 方法有七种： （1）风险清单分析法。该方法是美国风险和保险管理学会开发制定了风险清单，列示了已识别的、常见的企业风险。例如，玻璃或其他易碎品破碎；故障；员工疏忽；爆炸和内破裂；雇员的欺诈行为；征用；外部欺诈、伪造 南开大学　程新生 等

38 （2）现场调查法：现场调查法一般分为三步，即调查前的准备工作、现场调查以及形成调查报告。调查前的准备工作要设计出调查表或调查问卷，内容包括调查的时间、地点、对象等
（3）财务报表分析法：一个股份公司，尤其是上市公司都会有自己的预期目标和远景规划，这些相关信息的披露将直接影响投资者的认可程度。NX公司计划目标是，2007年实现销售额增长10%，即1000万元，净利润增加300万元。为了实现这一目标就必须将目标分解为各个部门的目标，具体到每个人员的工作预期 南开大学　程新生 等

39 （5）流程图法：配有解释表，用来具体说明各流程阶段会发生的风险种类，可以直观的反应易发生风险的流程以及它对其他流程的影响
（4）组织结构图分析法：根据需要画出企业或部门的整体结构图，寻找部门之间是否存在重复性、依赖性或集中性；也可在组织结构图上标注该部门的原料供应量、收入、利润等，管理人员可以清楚的看到各部门的责任和风险，也可以借鉴战略地图对风险进行描述 （5）流程图法：配有解释表，用来具体说明各流程阶段会发生的风险种类，可以直观的反应易发生风险的流程以及它对其他流程的影响 南开大学　程新生 等

40 （6）因果图法：因果图法是一种分析风险事故与导致风险事故因素之间因果关系的有效工具。这一方法的关键是绘制因果图。图中主骨代表被分析的风险事件，大骨代表导致风险事件的主要原因，中骨表示导致大骨的主要原因，依此类推，将导致风险事件的因素尽可能的在图中表示 南开大学　程新生 等

41 （7）事故树法 由某一风险事件出发，运用逻辑推理的方法推导出其引发风险的原因。从顶上事件（风险事件）－中间事件－基本事件进行事故树的结构图分析，从而确定风险源。在20世纪90年代早期，思科公司的股价是其每股销售收入的6倍，2000年第1季度，公司股价是公司未来销售收入的25倍，而公司的β值（资本市场上一种度量风险的指标）高达1.13。公司的风险较高，但为股东创造了价 南开大学　程新生 等

42 表 思科公司的主要风险 1．增长率 2．毛利 3．并购 4．行业合并 5．对新产品开发的依赖 6．进入新的发展中的市场 7．国际经营风险
表 　思科公司的主要风险 1．增长率 2．毛利 3．并购 4．行业合并 5．对新产品开发的依赖 6．进入新的发展中的市场 7．国际经营风险 8．战略联盟 9．资产组合投资 10．竞争性风险因素 a．价格 b．业绩 c．提供方案与支持 d．遵守准则 e．添加增值功能（安全和可靠）的能力 11．员工 13．产品的现成性 14．自然灾害 15．季度数据的变动 16．组织变更 17．服务提供商的销售 18．股价的波动性 19．外汇汇率风险 20．侵权风险 南开大学　程新生 等

43 2. 风险评估 风险评估是指在风险识别的基础上对风险进行定量和定性的综合分析，并确定风险影响的过程。
首先对风险进行测量，在过去风险资料分析的基础上，运用概率论和数理统计的方法对某一特定或者几个风险事件发生的损失频率和损失程度做出定量估计。 其次，评估风险，即在风险识别和风险测量的基础上，把损失概率、损失的程度、风险评估标准以及其他因素综合起来考虑，分析风险对企业的影响。 南开大学　程新生 等

44 美林证券公司建立了风险管理体系，其风险管理组织结构有三大特点：一是在公司基层强调的是风险信息准确及时的获得，在管理层面强调部门间协调与沟通；二是基层组织的设置、人员安排、工作范围分工明确，公司管理层、部门和人员之间相互参与现象极为普遍；三是风险的监控渗透到每一项业务活动中，各项业务必须在业务指导部门、管理职能部门和风险管理部门三方的共同协调下开展 南开大学　程新生 等

45 图 美林证券风险管理的组织结构 南开大学　程新生 等

46 3M公司建立风险投资管理机制，为风险投资制定的经营计划包括对预期收益的估计、投资结构平衡、制定资金预算，为确保开发技术的成功，只有在投资项目的收益大大超过损益平衡点时，才将开发的技术投入应用；由创新者、管理人员、财会人员共同对新产品、新技术、新工艺进行技术性、商业性评估，一旦证实创新概念具有经济价值，则进入赢利性分析，包括预期的投资收益率，与之相关的、各自不同的风险，达到成熟期所需的时间等 南开大学　程新生 等

47 3. 风险应对 风险应对是针对风险评估的结果根据、企业的风险容量和风险容忍度，选择适当的风险管理策略
风险管理策略通常分为以下四类：回避风险、损失控制、分离风险单位、非保险方式的转移风险（包括转移风险源、签订免除责任协议、利用合同中的转移责任条款）、保险等，回避意味着所确定的应对方案都不能把风险的可能性和影响降低到一个可接受的水平，降低和分担意味着要把剩余风险降低到与期望的风险容忍度相协调的水平，而承受则意味着固有风险已经在风险容忍度之内 南开大学　程新生 等

48 企业应当认识到一定程度的剩余风险总是存在的，这不仅因为资源是有限的，而且还因为所有的活动在未来都有不确定性和局限。因此，风险应对并不是要把剩余风险降到最低。如果一个风险应对方案会导致剩余风险明显低于风险容忍度，企业就应当对该应对方案进行反思和修改，或者在必要时重新考虑风险容忍度。因此，平衡风险与容忍度是一个不断反复的过程 南开大学　程新生 等

49 风险自我评估或内部控制自我评估（以下简称自我评估）是一种融合组织行为学、内部控制、风险管理、全面质量管理、绩效持续改进等多理论的方法
三、风险/内部控制自我评估 风险自我评估或内部控制自我评估（以下简称自我评估）是一种融合组织行为学、内部控制、风险管理、全面质量管理、绩效持续改进等多理论的方法 自我评估内容包括四个方面：确认风险；评价减少或管理风险的控制过程；开发用以将风险减少到可接受程度的行动计划；确定实现业务目标的可能性 南开大学　程新生 等

50 内部控制的逻辑起点应当是“修己安人”，“修己”就是自我管理，自我管理应是内部控制的总纲，内部控制“无为而治”是最高境界
国际内部审计师协会（IIA）于2002年对北美4500位来自各类组织的内部审计负责人进行调查，其结果显示内部控制自我评估 (CSA)被列为“当前内审最佳实务”的第二位，在“未来将越来越重要的实务”中排名第一 南开大学　程新生 等

51 （一）内部控制自我评价的优点 实施自我评估程序，通过对自我评价，可以提高风险管理有效性。
将以前“发现和评价”为主要内容的活动向积极防范和提供解决方案的活动转变，从事后发现问题到事前发现、防范风险转变为，从单纯强调控制转向积极关注、利用各种方法改善企业绩效，内部控制自我评价提高了内部控制效率。 内部控制自我评价强调员工的参与性。 南开大学　程新生 等

52 国际内部审计师协会（IIA）认为，自我评估内容包括四个方面：
（二）风险/内部控制自我评估的内容 国际内部审计师协会（IIA）认为，自我评估内容包括四个方面： 确认风险； 评价减少或管理风险的控制过程； 开发用以将风险减少到可接受程度的行动计划； 确定实现业务目标的可能性。并采用以下四种不同的形式展开： 南开大学　程新生 等

53 二是以风险为基础。先列举出影响目标实现的各种风险，然后确定能够管理关键风险的适当控制，即典型的“目标－风险－控制”模式。
一是以目标为基础。首先确定完成既定目标的现有控制方式，再确认剩余风险（采纳控制措施后依然存在的风险）。评估现有的控制是否有效运作，剩余风险是否维持在可接受的水平 二是以风险为基础。先列举出影响目标实现的各种风险，然后确定能够管理关键风险的适当控制，即典型的“目标－风险－控制”模式。 三是以控制为基础。在RSA之前已确认关键风险和控制，在RSA过程中把关注点放在评估内部控制运行的有效性 南开大学　程新生 等

54 五是除了IIA以上四种方式之外，以部门为基础的自我评估，即关注某个部门在整个组织中的位置，确认帮助部门有效发挥功能以及阻碍部门目标实现的因素
四是以过程为基础。识别采购、产品开发、销售等过程中的优、缺点，致力于评价、改善并简化整个过程，这一方式对流程再造、全面质量管理、持续改进等管理活动提供支持。 五是除了IIA以上四种方式之外，以部门为基础的自我评估，即关注某个部门在整个组织中的位置，确认帮助部门有效发挥功能以及阻碍部门目标实现的因素 南开大学　程新生 等

55 一般采用两种方法：调查问卷法、研讨会，后者是自我评估的典型方法。研讨会通常持续2－4小时，由管理人员作为会议的引导者与协调者，引导与会人员就某一议题充分讨论交流，在需要进行评估时利用电子记录与投票系统收集信息，直接记录与会者的意见，及时获得反映与会者对解决议案的偏好、优先顺序的量化结果 南开大学　程新生 等

56 宝钢国际公司，员工参与内部控制建设，体现了员工价值，将推进CSA的过程视为一个人力资源培训过程
自我评估报告包括三个部分：（1）评价的范围和评价过程的特殊性；（2）内部各个环节的风险程度，风险最高的是红色，较高的是黄色，其次是深绿色，再次是浅蓝色，风险最低的是白色；对红色和黄色的高风险环节进行具体描述，提出改进方案和完成时间、责任人；（3）行动计划 南开大学　程新生 等

57 9．3 过程控制案例 案例背景 ZHY公司（以下简称公司）成立于1993年，由中央某直属大型国企控股（以下简称母公司），总部和注册地均位于新加坡。公司成立之初经营十分困难，但到了2003年，公司净资产超过1亿美元，总部资产近30亿元。公司董事会有八名董事，三名为独立董事，其他五名均来自母公司（董事长是集团总经理，其他分别为集团财务部负责人、运销处副处长、其他人员不明）。 南开大学　程新生 等

58 案例背景 1995年公司收购了另外两家合资伙伴的全部股权，先后经历了两年的亏损和两年的休眠期，1997年恢复运营之后，公司进行了两次战略转型： 第一次转型，是从一家船务经纪公司重新定位为以航油采购为主的贸易公司； 第二次转型，是从一个纯贸易型企业发展到以石油实业投资、国际石油贸易和进口航油采购为一体的工贸结合型的实体企业。 南开大学　程新生 等

59 2001年12月6日，公司在新加坡交易所主板成功挂牌上市，发售股票1. 44亿股，每股发行价0
2001年12月6日，公司在新加坡交易所主板成功挂牌上市，发售股票1.44亿股，每股发行价0.56新加坡元；共筹资8064万新加坡元，成为新加坡交易所当年上市公司中筹资量最大的公司，也是中国首家利用海外自有资产在国外上市的中资企业 陈久霖擅自扩大业务范围，从事石油衍生品期权交易，与日本三井银行、法国兴业银行、英国巴克莱银行、新加坡发展银行和新加坡麦戈利银行等在期货交易场外，签订了合同。陈久霖买了“看跌”期权，赌注每桶38美元，但国际油价一路攀升 南开大学　程新生 等

60 2004年2月，总经理陈久霖在《2004年全国企业管理创新》大会演讲时，把“风险管理”作为自己的发言主题，用了近三分之一的篇幅对公司风险管理系统作全面介绍，并以巴林银行为前车之鉴，还特别提到“50万美元”的平仓止损线。2004年被评为新加坡最具透明度的上市公司 2004年9月前，公司业绩表现良好： 南开大学　程新生 等

61 2000－2004年度主要财务数据 单位：新家坡元 年份 2004年9月 2004年6月 2004年3月 2003年 2002年 2001年
2000－2004年度主要财务数据 单位：新家坡元 年份 2004年9月 2004年6月 2004年3月 2003年 2002年 2001年 2000年 营业额 8亿7906万 7亿4190万 5亿8396万 24亿2509万 16亿8962万 10亿5103万 9亿6371万 税前盈利 1126万 1934万 1896万 6709万 5464万 4447万 1618万 所得税 (246万) (260万) (277万) (1282万) (641万) (393万) (268万) 税后净利 880万 1674万 1619万 5427万 4822万 4055万 1350万 每股收益 0.9分 1.7分 2.3分 7.9分 7.0分 9.1分 3.1分 南开大学　程新生 等

62 2004年10月，油价再创新高，公司此时的交易盘口达5200万桶石油；账面亏损再度大增。直到10月10日，面对严重资金周转的问题，公司首次向母公司呈报交易和账面亏损。为了补加交易商追加的保证金，公司已耗尽近2600万美元的营运资本、1.2亿美元银团贷款和6800万元应收账款资金，账面亏损高达1.8亿美元，另外已支付8000万美元的额外保证金 南开大学　程新生 等

63 2004年10月20日，母公司提前配售15%的股票，将所得的1
2004年10月20日，母公司提前配售15%的股票，将所得的1.08亿美元资金贷款给公司。在2004年10月26、28日，公司因无法补加一些合同的保证金而遭逼仓，蒙受1.32亿美元实际亏损；11月8日，公司的衍生商品合同继续遭逼仓，截至25日的实际亏损达3.81亿美元；公司最终于同年12月2日对外披露5.5亿美元的衍生工具交易亏损，向新加坡证券交易所申请停牌，并且申请法律破产保护 南开大学　程新生 等

64 2004年3月，公司在亏损580万美元时，可以有三种选择，一是斩仓，把亏损限制在当前水平；二是让期货合同自动到期，账面亏损逐步转为实际亏损；三是展期，油价下跌到期货卖出价，实现盈利。如果选择前两种方式就意味着亏损，公司管理者可能会面临来自市场、集团、国内监管方面的压力，可能引发集团内部不满者的行动。在交易员和风险管理委员会的建议下，该公司管理者选择了展期这一方式；当公司亏损扩大到8000万元后，管理者仍坚持已有的决定 南开大学　程新生 等

65 案例分析 尽管ZHY公司拥有一个由部门领导、风险管理委员会和内部审计部组成的三层“内部控制监督结构”，但这个结构的每个层次在本次事件中都犯有严重的错误。 此次事件反映了我国国有企业治理结构不完善，内部人控制，对海外企业的行政化治理等明显特征，董事会组成、高管人员任免、资金控制、董事问责制度等方面都存在问题 南开大学　程新生 等

66 防范风险的需要做两件事：一是加强投资管理，二是完善财务报告系统。此外，企业产权主体缺位，没有一套真正的、自上而下的、来自股东的内控体系
公司早在2002年在外部审计师的协助下，制定了《风险管理手册》，规定了衍生产品交易的止损限额；对新产品的交易必须在一个委员会和总裁的推荐下获得董事会的批准。但执行风险管理制度时，经营者绕开了董事会，《风险管理手册》没有起到应有的作用 防范风险的需要做两件事：一是加强投资管理，二是完善财务报告系统。此外，企业产权主体缺位，没有一套真正的、自上而下的、来自股东的内控体系 南开大学　程新生 等

67 新加坡普华永道会计公司（简称普华）2005年3月29日提交了针对中航油发生石油期权亏损事件的第一期调查报告。该报告认为，中航油出现亏损的原因包括以下几方面：2003年第四季度对未来油价走势的错误判断；公司未能根据行业标准评估期权组合价值；缺乏推行基本的对期权投机的风险管理措施；对期权交易的风险管理规则和控制，管理层也没有做好执行的准备等 南开大学　程新生 等

68 2005年8月，ZHY公司与新加坡监管当局达成和解，因从事内幕交易接受民事处罚800万新元。总经理陈久霖被判处4年零3个月监禁，处以33
2005年8月，ZHY公司与新加坡监管当局达成和解，因从事内幕交易接受民事处罚800万新元。总经理陈久霖被判处4年零3个月监禁，处以33.5万新元罚款；前财务经理被判处二年监禁，处以15万新元罚款；ZHY非执行董事长、非执行董事兼特别工作组组长、非执行董事分别被罚款40、15、15万新元。2007年2月6日，国务院国有资产管理委员会宣布对ZHY公司巨亏事件处理决定，董事长被责令辞职，总经理陈久霖被开除党籍、开除公职 南开大学　程新生 等

69 案例分析 ZHY公司事件在过程控制方面提供的启示有两点：
其一，需完善企业内控和监控机制。首先要在企业内部建立一个制衡机制，做到权力和责任平衡，严格执行制度，做到任何人、任何行为都不能超越于制度之上；其次，要在企业内部建立风险预警机制，即对企业经营所涉及的市场风险、信用风险等进行定量测算，以防范企业风险。 其二，提升企业的风险管理水平，使企业高层和相关人员对其所从事的经营活动所涉及到的风险有清醒的认识。 南开大学　程新生 等

70 本章小结 过程控制是使控制对象在行为过程中处于稳定状态，并达成内部控制目标的控制活动。企业所面临的风险可归信用风险、市场风险以及运营风险。运营风险是企业经营管理活动不稳定的重要因素，因而过程控制的重点是对运营风险的控制。运营风险包括流程风险、人员风险、系统风险和外部风险。在ERM框架下，企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于主体之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。结合企业全面风险管理的思想，风险监控包含四步流程，即过程风险识别、风险评估、风险应对以及风险控制。 南开大学　程新生 等

71 案例讨论题提要：事故树方法如下页。从事故树中确定火灾发生的原因，寻找重点风险源，采取措施。
南开大学　程新生 等

72 火灾 镀膜着火 火罩没有灭火 传送带过慢 报警器失灵 温度过高 镀层过度 速度设置错误 没有打开开关 机器故障 电器故障 没有工作 出现故障
风扇没有工作 风扇出现故障 机械故障 材料损坏 南开大学　程新生 等