第一章 绪论
1.1 研究背景与意义
从十八世纪工业革命迄今信息社会时代,科学技术快速发展,社会生产力不断提升,社会物质日益充裕,在工业产品同构日趋迅速的同时,新产品新技术层出不穷,产品更新换代频繁,市场竞争日益激烈,导致各种各类生产企业随时面临着经济、管理、技术、资源和环境等各种各样的风险。 进入 21 世纪,全球经济一体化业已成为世界经济发展主流,在其大力助推全球经济发展的同时,也汹涌着一些负面暗流,由此而使企业经营风险趋势更加剧烈。宏观表现为地球资源持续不断地大量消耗,导致人类生存环境日益恶化,政府和法律对生产发展所需的再生资源和绿色环保要求与日俱严,企业生产成本和人力资源日益提高,市场竞争从激烈趋于严酷。由是从微观上导致企业为了追求经营效益而对社会责任懈怠,滋生企业内部管理产生各种各样弊病,甚至出现产品造假、财务欺诈、管理层贪腐、员工信用缺失等随时可以致企业于倒闭的恶性风险。 为了在全球经济一体化的大潮下,提高和强化企业尤其是现代大型企业和跨国公司在激烈甚至残酷的市场竞争中应对各种外部和内部风险的能力,经济管理学界和业界都在致力探讨各种各样的管理方法。其中对于企业内部控制的研究和实践,更是从企业自身发掘自觉防范和抵抗各种生产经营风险能力的根本。工业发达国家业已从政府和立法层面出台相关约束机制,并以业界组织督促企业贯彻执行。2002 年美国出台著名的 SOX法案[1],以及结合 SOX 法案而大力推行的 COSO-ERM 框架[2](下文将予详述),即为此类研究和实践领域著名的实例。我国财政部借鉴 COSO-ERM 框架,2008 年发布财会字[2008] 7 号文《企业内部控制基本规范》[3],以及随后发布[2010] 11 号文《企业内部控制应用指引》[4,5]、《企业内部控制评价指引》[4-6]、《企业内部控制审计指引》[4-7]等指导性文件,正在全面引导我国企业防范和应对各种经营风险。
.........
1.2 文献综述
现代企业管理内容分为内部和外部两大层面,为实现企业生产经营目标,按企业内部专业分工不同,对企业内部各种生产经营环节所进行的计划、组织、领导以及监督和审计等企业内部管理活动的总和可以统称为广义的企业内部控制。 实施企业内部控制必须建立制度、标准和规范。由于地区、民族、国家、产业、技术、规模、文化、习俗差异,世界各地不同行业、企业对其内部控制的内涵概念以及外延的各种制度、标准和规范等具有不同定义,但也不乏彼此相互借鉴,更是需要随着社会经济发展与时俱进。 企业内部控制的哲理思想发端可以追溯出极为久远的中外历史[8,9],但是作为现代企业管理的重要内容,内部控制的内涵概念与思想理论以及外延的各种制度、标准和规范,则是随着百多年来大规模工业生产以及现代公司制度兴起的结果,而且也是一个在实践应用过程中不断发生演进变化和发展的动态体系,迄今大致经历了产生(内部牵制)、发展(内部控制制度)、成熟(内部控制结构),整合(内部控制一体化框架)以及当前不断深化(全面风险管理)的五个不同阶段时期。 美国反舞弊性财务报告委员会(Treadway Commission)提议成立的 COSO 委员会于 1992 年提出的《内部控制——整体框架》(Internal Control:Integrated Framework,简称 IC-IF)[10],对内部控制的定义是“公司的董事会、管理层及其他人士为实现运营的效益和效率,财务报告的可靠性和遵守适用的法律法规的目标而提供合理保证而实施的程序。” 2008 年,我国财政部颁布的《企业内部控制基本规范》[3]中明确指出,内部控制是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和结果,促进企业实现发展战略。 由于本文是以美资企业为研究对象,因此基于 COSO 委员会的定义对内部控制概念进行界定。
.........
第二章 M 公司经营风险评估现状与问题
2.1 M 公司概况
M 公司是其 A 国总部下设我国 xx 地区的一家独资经营的跨国性子公司。M 公司总部是全球最大的轻金属制造企业,其产品广泛应用于航空航天、汽车、包装、建筑与建材、商业运输和工业市场,并为客户提供设计、工程技术、生产和其他各项业务,2012年位列财富世界 500 强,年收入超 300 亿美元,在全球 40 多个国家设 300 余家分部、机构和企业,拥有员工 10 余万人。M 公司总部也是全球各国在中国某种常用轻金属制造业投资最大的外资企业,1980年代进入中国市场,现在大陆地区拥有 12 家企业上千名员工。M 公司为其所属分部之一,主营轻金属制品销售,同时为其中国业务区域生产活动负责采购、咨询、工程和投资等业务,其组织结构如图 2-1 所示。M 公司作为海外大型跨国公司在华之分部,具有严格的内部控制制度,并通过定期自测风险因素实施网络化在线全面风险管理。
..........
2.2 M 公司经营风险评估现状
作为一家海外大型跨国公司在华分部,M 公司经营除了必须遵守我国相关法律法规之外,还必须遵循 A 国总部全球运营方略,并保证其会计、审计业务以及财务报告符合A 国 XXX 法案。因此 M 公司严格实施内部控制和风险管理制度,其运作具有如下特点。
(1)M 公司总部拥有严格的的内部控制制度和自主产权的风险评估自测系统Sxxxx,此系统以防范企业风险和符合 A 国 XXX 法案为目标,始运作于 2003 年(早于COSO-ERM 框架发布)。
(2)基于企业运营信息化和网络在线,M 公司自动运行风险管理自测系统 Sxxxx,系统支持追踪公司各种业务活动。
(3)各级业务管理主体(非审计人员)根据合规日历(计划时间表)在线操作 Sxxxx系统,自测相关业务运行状态并予以记录和评分。
(4)系统汇总评分对公司当前经营风险予以评估。 表2-1~表2-7是Sxxxx系统自测项目汇总,项目分为“采购(”M 1.*)、“销售(”M2.*)、 “存货与生产” (M3.*)、“固定资产”(M4.*)、 “会计”(M5.*)、“员工薪资福利”(M6.*)、 “业务流程管理”(M7.*)等 7 种类别。
.........
第三章 M 公司经营风险的识别与衡量 ....... 19
3.1 评估 M 公司企业风险的方法步骤和原则 ...... 19
3.1.1 评估 M 公司企业风险的方法步骤 ........ 19
3.1.2 评估 M 公司企业风险的原则 ........ 19
3.2 基于 COSO-ERM 框架模型的风险层次分解及其矩阵表达 ......... 20
3.2.1 COSO-ERM 框架模型解读 ..... 20
3.2.2 COSO-ERM 框架模型的风险层次 ......... 21
3.2.3 基于 COSO-ERM 框架模型的风险矩阵表达 ....... 22
3.3 构建 M 公司经营风险清单 ...... 24
3.4 M 公司经营风险的权重计算及分析 ........ 42
3.5 本章小结 .... 57
第四章 M 公司经营风险的评价与分析 ....... 58
4.1 企业风险灰色评价方法概要 .... 58
4.2 M 公司经营风险灰色评价步骤 ....... 58
4.3 M 公司经营风险评估的灰色评价 ........... 62
4.4 M 公司经营风险评估的灰色评价分析 ........... 63
4.5 本章小结 .... 64
第四章 M 公司经营风险的评价与分析
4.1 企业风险灰色评价方法概要
前文通过分解和解读 COSO-ERM 框架风险层次,已经阐述企业内部控制及其风险是一种带有层次性的复杂系统,企业风险管理以及相应的风险评估,均属于风险控制系统运作。基于现代系统工程理论方法和控制论,企业风险本质也是一种信息系统,对风险信息系统进行控制的过程中,风险因素可以采用各种不同方法予以确定,并且外延引发风险效应,但外延引发之风险效应的程度大或小、严重或一般,则无法使用精确数学度量(风险效应内涵不清晰),故而风险效应属于外延明确内涵不清晰的灰色系统,如图 4-1 所示。 本章采用灰色层次综合评价计算了 M 公司经营风险的灰色层次综合评价值,并对计算结果进行了分析。分析结果表明,该公司 6 种业务风险中,“生产”、“资产管理”、“资金活动”风险大于总体经营风险。M 公司今后需要在对这 3 种业务强化风险意识,加强和改善相关内部控制制度和当前的自测项目。另外还需在“采购”、“销售”和“人力资源”业务中,强化风险观念,并加强和改善相关内部控制制度。#p#分页标题#e#
...........
结论
本文从研究M公司经营活动风险评估出发,根据COSO《企业风险管理——整体框架》进行企业风险层次分解,进而对M公司经营风险进行评估,通过层次分析法确定各级业务风险及风险影响因素的权重,并运用灰色系统评价法得出经营活动各级风险的灰色评价值,然后针对风险控制薄弱点分析其造成原因并提出对策。本文研究得出以下几点结论:
第一,现代大型跨国公司经营面临经济、管理、技术、资源和环境等各种各样风险。如何针对众多风险对生产经营进行有效管理,是这些公司发展过程中亟需关注的问题。因此,针对企业经营风险评估进行研究,具有一定的理论与实务相结合的现实意义。
第二,本文藉助 COSO-ERM 框架的三维向量用矩阵形式表达经营风险。首先基于“全局-局部”和“目标-业务”两对概念,对 COSO-ERM 框架的信息层次进行分解,并在层次分级图中涵括“全面风险管理”和“风险组合观”。通过对 COSO-ERM 框架的信息层次分解,可以认为企业风险是由企业总部风险与其下属各级管理主体经营下的局部风险之组合(主要针对现代大型企业和大型跨国公司)。
第三,本文对 M 公司当前内部控制风险管理体系进行优劣评价。M 公司是一家大型外资跨国公司在中国的分部,其内部控制及其风险管理具有严格和详细的制度,并且以全员在线自测的信息自动化方式予以实施,非常值得我国企业学习应用和消化引用。但由于 M 公司当前的内部控制风险管理自测系统应用早于 COSO-ERM 框架发布,其风险评估从公司最底层的风险要素,到企业高层的风险总和之间缺乏层次性,不利于风险管理机构籍助中间层次的风险效应对风险处理进行决策,也无法使该公司对自身当前风险评估体系优劣进行评价。针对这种问题,本文利用 COSO-ERM 框架的层次关系,基于 M 公司风险评估各种自测项目,结合我国财政部《企业内部控制应用指引》等政策性文件,邀请该公司专家分析、评议,将此公司最底层风险因素到最高层风险评估之间归纳为“采购”、“销售”、“生产”、“资产管理”、“资金活动”和“人力资源”等 6 种业务活动风险,并编撰相应的风险清单。藉助这些风险清单,进一步在 M 公司底层风险因素和高层风险管理决策之间构建出不同类别的风险因素,从而在风险起因和风险管理决策之间建立风险效应管道,并使用层次分析法和灰色系统方法(灰色层次分析法)进行评价。
.........
参考文献(略)