【正文】 調(diào)查發(fā)現(xiàn) ： 1. 國企 A未有就對外投資建立完善的風險管理 ， 投資前既沒有清楚考慮其高級管理層缺乏汽車制造業(yè)的經(jīng)驗 ， 亦沒做好可行性研究的各種分析 。 4. 汽車公司從成立至 19X9年的 5年間，一直未能調(diào)試投產(chǎn) ， 亦未有竣工驗收 ， 最終，該國企以大幅度低于成本的價錢，把該汽車公司出售，造成嚴重虧損。 案例 七 ：投資非核心性業(yè)務 ? 某國有控股在香港上市的公司 (簡稱 “ 國企 C”) 沒有遵守上市規(guī)則的要求 ， 在沒有得到股東批準的情況下 ， 向一位董事的關聯(lián)公司提供港幣 用證擔保 ， 該貸款和信用證擔保的總額占上市公司資本金的30% ? 款項貸出后 ， 該關聯(lián)公司一直不予還款 ， 而國企 C為該關聯(lián)公司所提供的銀行信用擔保當中的港幣 9,500萬元已被有關銀行提出追討 案例八： 某香港上市公司 調(diào)查發(fā)現(xiàn)： ? 國企 C的公司治理結構不規(guī)范 ， 出現(xiàn)一小撮人獨攬大權 ? 國企 C并沒有建立合規(guī)方面的風險管理機制 ? 國企 C的財務報告系統(tǒng)既沒有為上述關聯(lián)交易作出適當?shù)呐?， 亦沒有為拖欠的貸款提取壞賬準備 教訓與啟示 ? 常言： 「智者從別人失敗經(jīng)驗中吸取教訓， 聰明者從自己失敗經(jīng)驗中吸取教訓， 愚者則永不懂從經(jīng)驗中學習。它的功能是識別那些會影響企業(yè)運作的潛在事件和把相關的風險管理到一個企業(yè)可接受的水平，從而幫助企業(yè)達至它的目標。流程風險也包括合規(guī)性風險 ? 人為風險 概指因員工缺乏知識和能力、缺乏誠信或道德操守而引致?lián)p失的風險 ? 系統(tǒng)風險 是指因系統(tǒng)失靈、數(shù)據(jù)的存取和處理、系統(tǒng)的安全和可用性、系統(tǒng)的非法接入與使用而引致?lián)p失的風險 ? 事件風險 是指因內(nèi)部或外部欺詐、市場扭曲、人為或自然災害而引致?lián)p失的風險 ? 業(yè)務風險 是指因市場或競爭環(huán)境出現(xiàn)預期以外的變化而引致?lián)p失的風險，所涉及的問題包括市場策略、客戶管理、產(chǎn)品開發(fā)、銷售渠道和定價等領域 ? 操作風險 風險發(fā)生的可能性 評分 可能性 說明 5 幾乎肯定 在未來 12個月內(nèi)，這項風險幾乎肯定會出現(xiàn)至少 1次 4 極可能 在未來 12個月，這項風險極可能出現(xiàn) 1次 3 可能 在未來 2至 10年內(nèi)，這項風險可能出現(xiàn) 1次 2 低 在未來 10至 100年內(nèi)，這項風險可能出現(xiàn)至少 1次 1 極低 這項風險出現(xiàn)的可能性極低，估計在 100年內(nèi)出現(xiàn)的可能性少于 1次 評分 損失程度 說明 5 災難 令企業(yè)失去繼續(xù)運作的能力 (或占稅前利潤達 20%) 4 重大 對于企業(yè)在爭取完成其策略性計劃和目標，造成重大影響 (510%稅前利潤 ) 3 中等 對于企業(yè)在爭取完成其策略性計劃和目標的過程，在一定程度上造成阻礙 (至 5%稅前利潤 ) 2 輕微 對于企業(yè)在爭取完成其策略性計劃和目標，只造成輕微影響 (至 1%稅前利潤 ) 1 近乎沒有 影響程度十分輕微 風險對企業(yè)造成的影響 評分 有效性 說明 5 極度過頭 處理方法能直接針對該項風險，但相信會令企業(yè)業(yè)績 “ 倒退 ” 或成本過高 4 過頭 處理方法能直接針對該項風險，但由于需要投入大量資源或 /及將其他資源轉到處理該項風險上，會對企業(yè)的效率造成影響 3 適中 處理方法有效針對該項風險，同時并不影響企業(yè)的效率 2 低效 處理方法針對該項風險的效果不理想，或投入處理該風險的資源不充分或 /及對投入的資源未有適當利用 1 近乎沒有 效果 處理方法的效果十分低，可能是由于企業(yè)根本沒有處理方法，又或處理手法不當 風險處理方法的效果 風險地圖 (或風險共同語言 ) 影響程度 近乎沒有 輕微 中等 重大 災難 幾乎 肯定 極可能 可能 低 極低 B C A G I D J K H E F 可能性 說明 : A – 人力資源風險 B – 財務風險 C – 競爭風險 D – 開發(fā)風險 E – 過度自信風險 F – 系統(tǒng)故障風險 G – 主要客戶風險 H – 欺詐風險 I – 政治風險 J – 薪酬獎勵風險 K – 科技風險 風險處理組合 處理評級 風險評級 近乎沒有效果 低效 適中 超標 極度 極高 高 中等 低 B C A G I D J K H E 說明 : A – 人力資源風險 B – 財務風險 C – 競爭風險 D – 開發(fā)風險 E – 過度自信風險 F – 系統(tǒng)故障風險 G – 主要客戶風險 H – 欺詐風險 I – 政治風險 J – 薪酬獎勵風險 K – 科技風險 F 采取行動 密切監(jiān)控 定期審閱 風險處理策略 影響程度 可能性 轉移 避免 小心管理 可接受 大 小 高 低 風險策略 ? 避免 – 禁止交易 – 減少或限制交易量 – 離開市場 ? 轉移 – 套期 – 保險 – 策略性聯(lián)盟 – 其他分擔風險的安排 ? 小心管理 – 投資 – 廣泛保護的安排 – 訂價反映風險程度 ? 可接受 – 自我保險 – 預留儲備 – 增加監(jiān)督 風險處理策略 影響程度 大 小 可能性 轉移 避免 小心管理 可接受 高 低 ? 企業(yè)建立的第一道防線，就是要各業(yè)務單位就其戰(zhàn)略性風險、信貸風險、市場風場和 操作風險等等，系統(tǒng)化地進行分析、確認、度量、管理和監(jiān)控 ? 企業(yè)需要把評估風險與內(nèi)控措施的結果進行記錄和存檔，對內(nèi)控措施的有效性不斷進行測試和更新 第一道防線：總結 管理層 CEO 第 三 道防線 第 二 道防線 第一道防線 業(yè)務部門 董事會 風險管理 內(nèi)部審計 審計委員會 風險管理 委員會 第二道防線：風險管理單位防線 ? 第二道防線是在業(yè)務單位之上建立一個更高層次的風險管理功能，它的組成部份可能包括風險管理部門、信貸審批委員會、投資審批委員會 ? 風險管理部的責任是領導和協(xié)調(diào)公司內(nèi)各單位在管理風險方面的工作，它的職責包括： ? 編制規(guī)章制度 ? 對各業(yè)務單位的風險進行組合管理 ? 度量風險和評估風險的界限 ? 建立風險信息系統(tǒng)和預警系統(tǒng) 、厘定關鍵風險指標 ? 負責風險信息披露、溝通、協(xié)調(diào)員工培訓和學習的工作 ? 按風險與回報的分析，為各業(yè)務單位分配經(jīng)濟資本金 “內(nèi)部審計是一項獨立、客觀的審查和咨詢活動，其目的在于增加企業(yè)的價值和改進經(jīng)營。 ?SOA404生效日期： ? 美國本土上市公司：于 2023年 11月 15日或以后的財務年度； ? 非美國本土上市公司：于 2023年 7月 15日或以后的財務年度 (此日期已再次延后 )。 盡管準則中沒有明確說明，但是通常認為，財政年度中已發(fā)現(xiàn)并已糾正的“重大缺陷”不影響管理當局在財政年度末作出有關財務報表的內(nèi)部控制有效的評價。 ? 對形成和處理 非常規(guī)交易和非系統(tǒng)化交易 的控制； ? 對防止、確認和發(fā)現(xiàn) 舞弊 的控制。 詢問本身 并 不能 為內(nèi)部控制的評價提供足夠的基礎。 ?此階段是一個復雜而費時的階段，需要記錄并理解各交易環(huán)節(jié)的流程及其相關的控制。 審計師對管理層聲明的審驗 項目計劃 準備資料并評估控制 測試并監(jiān)督控制 報告 理解內(nèi)部控制的概念 組織項目小組進行評估 評估公司層面的控制 理解并分別評估程序、交易及應用層面的風險 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 建立符合 404法案要求的內(nèi)控框架 COSO內(nèi)控框架 ? Committee of Sponsoring Organisation of The Treadway Commission (COSO)為內(nèi)控開發(fā)了一個全面的框架 ? 這個內(nèi)控框架是唯一被美國證監(jiān)會確認為完整、全面和不偏依的內(nèi)控框架 ? 構建內(nèi)部控制須分兩個層 面 ： ? 公司層面 ? 流程、交易及資訊科技應用層 面 COSO 內(nèi)控框架 內(nèi)控環(huán)境 風險評估 控制活動 信息和溝通 監(jiān)控 業(yè)務部門 業(yè)務功能 整體 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內(nèi)部控制的概念 組織項目小組進行評估 ? 高層參與 ? 各業(yè)務部門之參與 ? 財務、內(nèi)審、計算機管理部門之參與 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內(nèi)部控制的概念 方面 需考慮的因素 ? 高管層的誠信、道德和行為 ? 控制意識和經(jīng)營風格 ? 勝任能力和承擔 ? 董事會或?qū)徲嬑瘑T會的監(jiān)管 ? 組織結構、權限和責任 ? 人力資源政策和程序 ? 風險評估流程 ? 對重要事件的預測、識別和反應機制 ? 識別會計準則差異、業(yè)務操作和內(nèi)部控制變化的程序 ? 提供完整的業(yè)績報告 ? 與業(yè)務策略相聯(lián)系 ? 持續(xù)開發(fā)、測試和監(jiān)控計算機系統(tǒng)和程序 ? 計算機業(yè)務持續(xù)性系統(tǒng)和應急計劃 ? 便于職員履行職責而