安永会计事务所内控风险评估报告.docx
《安永会计事务所内控风险评估报告.docx》由会员分享,可在线阅读,更多相关《安永会计事务所内控风险评估报告.docx(38页珍藏版)》请在冰点文库上搜索。
XXX
201X
XXX集团股份有限公司
201X年全面风险评估报告
201X年8月X日
目录
一、背景介绍 1
二、风险评估工作实施方法 2
(一)风险评估的工作思路 2
(二)风险评估工作实施步骤 3
1. 确定工作范围 3
2. 整理风险汇总表 4
3. 制定评分标准 4
4. 第一次风险问卷 6
5. 高管层访谈 6
6. 第二次风险问卷 7
7. 20大风险排序 7
8. 汇总合同相关风险 7
9. 合同风险问卷 7
10. 取得合同清单 8
11. 审阅合同样本 8
12. 合同风险列表 8
三、风险评估结果 9
(一)20大风险排序 9
(二)风险评估结果分析 9
1. 20大风险坐标分析 9
2. 全面风险评估结果 11
3. 合同风险评估结果 12
四、未来风险管理工作建议 13
(一)风险应对策略 13
1. 风险关注程度 13
2. 风险应对策略 13
(二)建立/完善风险管控及监督体系 15
(三)制定风险预警机制 15
五、附件 17
附件1:
XXX集团有限公司风险汇总表 17
附件2:
第一次风险调查问卷发放统计表 19
附件3:
中高级管理层最关注的20项风险因素(含打分) 22
XXX集团股份有限公司|五、附件
36
一、背景介绍
2010年4月15日,五部委正式下发了《关于印发企业内部控制配套指引的通知》,明确规定了内控规范体系的实施时间:
自201X年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行。
根据这一要求,执行内控体系建设的上市公司和非上市大中型企业,应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。
XXX集团股份有限公司作为行业标杆企业,被辽宁省证监局指定为内控规范实施试点单位,并在201X年度接受外部审计师的的审计。
在公司执行内控梳理和评价的过程中,为了有效的提高工作效率、明确工作侧重点,应当遵循风险导向原则,以风险评估为基础,全面考虑企业面临的主要风险,根据发生的可能性和对企业单个或整体控制目标造成的影响来确定需要评价的重点业务单元、重要业务领域或流程环节。
因此,管理层借助本项目达到对现有风险因素进行归集和分析的目的,以期对未来公司战略及管理理念的调整提供有益的参考。
缩略语
在本报告中,我们将使用以下缩略语以保证报告的简洁性:
XXX/公司:
“XXX集团有限公司”
安永:
“安永(中国)企业咨询有限公司”
二、风险评估工作实施方法
(一)风险评估的工作思路
本次全面风险评估工作实施思路图如下:
形成上述工作实施思路源自如下考虑:
►公司目前面临来自外部内控合规要求及内部管理提升需要,因此风险评估工作的起点是从满足企业内部控制的直接目标出发,同时兼顾管理整合和改进需求,力求在保证工作目标明确提高工作效率;
►风险评估考虑因素的制定充分考虑了公司内部管理需求、外部监管要求、业务重要性、行业影响因素及其他专业机构可能提出的参考和建议;
►具体风险评估范围的确定参考了安永的全球行业风险宇宙,从战略、运营、财务及合规四个维度汇总、分析了可能出现的潜在风险,以合理保证本次风险评估工作的完整性和充分性;
►在项目推行过程中,安永采用了两轮风险问卷(第一次为中高层管理人员,第二次为高级管理层),同时针对高级管理层成员组织了访谈,并根据由此收集到的风险信息,对潜在风险进行了梳理和排序。
(二)风险评估工作实施步骤
风险评估工作具体实施步骤如下:
1.确定工作范围
本次风险评估工作以集团层面高度为基调进行,关注公司核心管理团队的风险承受能力及风险偏好,同时对各国内区域负责人、子公司负责人、事业部负责人、职能部门负责人发放风险调查问卷,参考他们对集团层面风险初步的评价和判断,综合各项风险影响因素而形成最终风险清单和风险排序。
由于集团海外机构受到当地政治经济环境及人文文化影响,对整个集团层面风险要素的构成不具有典型意义和直接影响,因此本次海外机构并未包含在风险调查及评估的范围内。
2.整理风险汇总表
以安永全球行业风险宇宙为基础,结合XXX自身特点,从战略、运营、合规、财务四个层面做出了详细的风险汇总表,共涉及23个类别的118项风险。
其中,23个风险类别包括:
118项详细风险列表请参见附件1:
XXX集团有限公司风险汇总表。
3.制定评分标准
风险评分标准依据风险对公司的影响及风险发生的可能性两个维度进行划分。
风险参数建立在公司的风险偏好基础上,即公司为实现自己的战略目标而愿意接受的风险程度。
考虑以上因素,将风险发生的后果及可能性分为以下五类分值:
影响程度
发生可能性
1分
可忽略的:
可以在正常活动中将不良影响消化的事件
发生可能很低,几乎不会发生的事件
2分
轻微的:
通过一定的管理手段就能解决的不利事件
发生可能性较低的事件
3分
中等的:
需要额外管理的严重事件
发生可能性为中度的事件
4分
严重的:
需要特别管理的危机事件
发生可能性较高的事件
5分
灾难性的:
可能导致崩溃的灾难/特殊事件
发生的可能性很高或必然会发生的事件
►风险影响程度的判断参考指标:
判断结果
1
2
3
4
5
战略
对战略实施影响近乎没有。
对战略实施影响轻微。
一定程度上影响战略实施和目标实现。
对于企业完成战略计划和目标造成重大影响。
令企业失去继续运作的能力。
运营
对营运影响近乎没有;
在时间、人力或成本方面存在小范围超出预算的情况,影响可以消化。
对营运目标或关键业绩指标影响轻微;
在时间、人力或成本方面存在超出预算的情况,影响较小。
一定程度上减慢营业运作;
在时间、人力或成本方面明显超出预算,需对预算数据进行小范围调整。
对营运目标或关键业绩指标造成重大影响;
在时间、人力或成本方面大幅超出预算,需对重大预算数据进行调整。
无法达到企业的营运目标;
各项预算数据失控,预算需要重新制定。
合规
近乎没有违规违法行为,无纠纷。
在一些不重要的问题上违规,没有引起诉讼。
在某类问题上违规,引起纠纷和诉讼。
在重要的问题上违规违法,引起诉讼,导致巨额赔偿。
在重要问题上违规违法,引起诉讼,导致巨额亏损,企业无法正常运营。
财务
外部审计师在管理建议书中提出少量一般性问题。
外部审计师在管理建议书中提出若干一般性问题。
外部审计师对报表项目或其他事项出具保留意见。
外部审计师在管理建议书中提出重大问题。
外部审计师对财务报表出具否定意见。
►风险发生可能性的判断参考指标:
判断结果
1
2
3
4
5
管理层关注
管理层并不担心未来会发生类似事件
管理层认为未来发生该事件的可能性较低但也需要关注
管理层认为目前某些事态表明该事件可能在未来发生
管理层对该事件较为关注因为未来发生的可能性较大
从目前形势来看,此事件一定会在未来发生
管理层对该事件的讨论
尚无特别讨论
曾经提醒相关部门或人员注意
不定期会要求相关部门或人员进行汇报
定期讨论且相关部门或人员需要进行定期汇报
随时关注
4.第一次风险问卷
在整理出的风险汇总表及初步制定的风险评估标准基础上,安永编写并发放了第一次全面风险评估调查问卷,并将此问卷下发了公司52位中高级管理人员,请他们针对问卷内容提出自己的见解并按照上述评分标准对每项风险进行打分。
这些中高级管理人员包括20位事业部负责人、8位区域负责人、医疗板块子公司负责人、4位研发部门负责人以及19位总部职能部门负责人。
在问卷回收截止日(6月20日),我们完成了第一轮风险问卷的回收工作。
本轮调查问卷发放及回收情况统计请参见附件2:
第一次风险调查问卷发放统计表。
根据本次问卷结果,安永总结出了中高级管理层最关注的20项风险因素,并对各部门的风险偏好有了初步了解。
名列本轮打分前20名的风险请参见附件3:
中高级管理层最关注的20项风险因素。
5.高管层访谈
基于第一次风险调查问卷的初步评分和分析结论,安永有侧重点的开展了高级管层访谈,通过与高管层面对面的交流,从公司整体运作层面了解了目前公司的风险状况。
参与访谈的高管层包括:
职位
姓名
访谈时间
公司总裁
王勇峰先生
201X年6月22日下午14:
00-15:
00
公司高级副总裁兼首席运营官
陈锡民先生
201X年6月22日下午15:
30-16:
30
公司高级副总裁
卢朝霞女士
201X年6月27日下午14:
00-15:
00
公司高级副总裁兼首席财务官
王莉女士
201X年6月22日上午10:
30-11:
30
公司高级副总裁兼首席技术官、首席知识官
张霞女士
201X年6月22日上午9:
00-10:
00
公司高级副总裁
王经锡先生
201X年6月23日下午13:
30-14:
30
公司高级副总裁兼首席营销官
李军先生
201X年6月28日上午9:
00-10:
00
6.第二次风险问卷
通过对高管层的访谈,安永对原有20大风险因素进行了合并和调整,并吸收了高管层访谈过程中体现出的重要集团层面风险因素,最终确定了XXX目前面临的20大风险。
为了对这20大风险的重要性进行最终排序,安永编写了第二次全面风险评估调查问卷,对每一项风险的关注点及调查见闻进行了详细列示,并仍然从风险发生可能性及风险影响程度两个维度逐项制定了更加详细的打分规则。
第二次全面风险评估调查问卷的发放对象为公司高级管理层。
7.20大风险排序
在回收了全部二次问卷后,根据高管层打分结果,安永按照以下公式计算出每个风险的得分,并据此对20大风险做出了重要性排序。
风险发生可能性=∑每位高管风险发生可能性打分/高管人数
风险影响程度=∑每位高管风险影响程度打分/高管人数
风险总分=风险发生可能性X风险影响程度
根据风险总分得出的20大风险最终排序结果请参见第三大部分“风险评估结果”中的第一项内容“20大风险排序”。
8.合同风险评估
从管理层的管理实践出发,我们在本次项目中针对合同相关风险做了特别关注:
8.1汇总合同相关风险
为了能更好的提示管理层可以考虑通过加强合同管理进行规避或弱化的风险,我们特汇总、整理了所有可通过合同管理的各项风险。
具体内容请参见:
(叶泷部分)
8.2合同风险问卷
为了更好的了解XXX的合同管理现状和对未来的期望,安永编写并发放了合同风险调查问卷,请公司熟悉相关情况的同事协助填写。
这一问卷的具体内容包括:
►整体性问题-组织架构
►战略到合同
o战略目标分解
o实施管控和支持
►合同管理
o合同准备
o合同执行
o合同验收
8.3取得合同清单
为了对XXX现有合同管理状况进行更详尽的分析,安永请求公司相关部门提供了截止至201X年6月仍在执行中的合同清单,并计划从中抽取部分样本进行具体条款的审阅。
8.4审阅合同样本
安永抽取进行审阅的合同样本包括:
合同名称
Calix09年框架协议
陕西联通营业帐务工程二期X2
中山市城乡居民门诊医疗X2
TSL11001商用出口合同
西安交通大学附属第一医院PACS硬件平台采购
吉林联通CDMA1x二期计费硬件合同
Intel咨询合同
OKL开发人员SOW
东芝软件业务委托合同
思科服务合同及思科日本SOW
希世软件业务委托基础合同
技术开发合同范本
8.5合同审阅发现问题
结合上述合同管理现状调研及具体合同条款审阅的具体发现,安永发现与行业最佳实践相比,XXX合同管理流程在以下领域存在提升机会:
审阅方面
发现问题描述
合同评审与审批流程
XXX建立了一项合同评审流程和神品流程。
合同评审与审批流程重点关注审批职责的授权
合同标准化
XXX大量使用客户合同模板,这导致无法对合同优化采取预应式行动
识别合同风险
XXX似乎并未充分利用其专业经验来识别和管理合同风险
合同指南
XXX的合同管理指南并未体现其合同管理知识,因此,并不鼓励标准化
具体问题描述请参见(叶泷部分)
9.风险评估报告
基于上述工作,我们总结、分析了风险评估过程中收集到的各类数据和现场观察结果,汇总形成本报告,并提交管理层作为未来风险管理工作的基础。
三、风险评估结果
(一)20大风险排序
根据第二轮风险问卷中高管层对重要风险的投票结果,我们按照风险得分从高到低的顺序将目前XXX面临的20大主要风险排序如下。
同时,为了帮助管理层掌握风险细节,我们也将具体风险描述、风险得分及风险调研见闻一同做了列示:
风险
风险描述
No.1:
海外并购投资风险
►风险大类:
战略风险
►该风险是指企业在海外并购投资中可能因认知不足、能力不够、管控不善等给企业带来诸如政治风险、财务风险、经营风险、整合风险等诸多风险
风险影响程度
风险发生可能性
风险总分
4
4.4
17.60
关注点及调研见闻
►未能在并购中找到合适的目标:
1)未能及时找到并购目标;2)找到的并购目标不理想,与企业发展的需求不完全一致
►未能对并购从财务、税务、法律等方面进行有效的尽职调查和准确的评估
►因文化、信仰理念、管理模式、政治背景等因素的不同,导致整合困难重重
►企业并购后,未实现资产组合最优化,并购效果不明显,偏离设定的预期目标
►企业2010年收购美国TaprootSystemInc.从事高端智能手机嵌入式软件开发服务业务:
310万美元;收购德国Harman汽车导航系统相关业务和资产:
579万欧元;商誉较年初上升42.57%
风险
风险描述
No.2:
组织结构风险
►风险大类:
战略风险
►运营风险
►该风险是指企业组织结构设置不合理,或未进行适时调整,从而阻碍企业战略目标及业务目标实现的风险
风险影响程度
风险发生可能性
风险总分
4
3.8
15.20
关注点及调研见闻
►组织架构、授权分配及责任划分不清晰,与企业战略目标不一致
►当前的组织架构与企业业务的各部门不一致,影响整个企业架构的有效性
►企业没有优化或适当管理与第三方的关系
►现有的组织架构及相关制度和程序无法有效地在全球标准化的基础上平衡地区/国家间的特性
风险
风险描述
No.3:
战略的规划与执行风险
►风险大类:
战略风险、运营风险
►该风险是指战略制定或执行不当,从而阻碍企业长期发展的风险
风险影响程度
风险发生可能性
风险总分
4.2
3.6
15.12
关注点及调研见闻
►未能进行重大的技术革新从而阻碍了企业战略目标的实现,未能应用新技术实现企业的比较优势
►未能在众多选择中发现、评估并进行正确选择以为企业战略目标达成的有效执行提供方向并分配资源
►战略目标没有进行详细分解导致各个部门对目标的理解存在不一致的现象,且战略目标的分解与绩效指标的挂钩不科学
►面对未来重大经济变革的战略布局与实际战略执行存在不一致,过度强调短期盈利目标的达成,从而忽略了长期目标的实现
风险
风险描述
No.4:
竞争(市场竞争)风险
►风险大类:
战略风险
►该风险是指影响企业的市场竞争力,从而阻碍企业长期发展的风险
风险影响程度
风险发生可能性
风险总分
4
3.4
13.60
关注点及调研见闻
►市场主要竞争者或新进者削弱了企业的比较优势和可持续发展的能力
►是否制定了有效的市场竞争策略,开展对整体市场及竞争对手的分析了解及对不同层次客户需求的调研,是否能扩展业务或保住现有市场份额
►企业在全球和全国地区内均有业务分布,从一定程度而言分散了部分风险,对竞争对手有一定分析,但不够系统也无人检查
►截止到2010年12月31日,以净利润增长率为指标,XXX集团在行业排名第25位。
其主营业务收入68%来自境内,32%来自境外
风险
风险描述
No.5:
人力资源风险
►风险大类:
运营风险
►该风险是与人力资源战略、政策、人才储备相关的风险
风险影响程度
风险发生可能性
风险总分
3.6
3.4
12.24
关注点及调研见闻
►人力资源战略需要根据企业发展情况进行调整,否则无法为企业战略目标、员工需求、企业的价值观和愿景提供支持
►未能招聘到或挽留住优秀员工来确保人力资源的质量及平衡,关键岗位管理层或员工可能缺乏能力执行企业的战略目标落地
►绩效评估的合理性不足,从而无法确保企业战略目标的实现。
需要考虑各个业务线绩效考核体系的个性化是否足够
►目前XXX的员工离职率约为17%,而行业平均员工离职率约为18%,XXX的员工离职率与行业平均水平相当
风险
风险描述
No.6:
外币与汇率的风险
►风险大类:
财务风险
►该风险是指对外币与汇率的监督不当,从而导致企业的投资回报低于预期、借贷或者生产成本高于预期,行业中的竞争力下降的风险
风险影响程度
风险发生可能性
风险总分
3.8
3.2
12.16
关注点及调研见闻
►外币价格发生不利变动时,国际金融交易可能对企业的资产、负债、成本费用等造成影响
►从2010年年报中,公允价值变动收益较上年同期减少989万元,下降107.55%,主要由于签订的外币远期结汇合同产生
►2010年,汇率变化范围与幅度:
欧元:
1.18~1.44美元/欧元,22%;日元:
73.39~87.49日元/美元,19%;人民币:
5.57~6.76人民币元/美元,21%
风险
风险描述
No.7:
新技术应用与研发风险
►风险大类:
战略风险
►该风险是指企业未能应用新技术实现企业的比较优势,未能进行重大的技术革新从而阻碍了企业战略目标实现的风险
风险影响程度
风险发生可能性
风险总分
3.8
3.2
12.16
关注点及调研见闻
►对新技术的引进存在消化和管理风险
►新技术跟不上整体项目的要求,影响到项目的开展与企业的竞争力
►没有将研发战略与整体战略相结合,缺乏产品创新机制
►对于研发和科技投入不足,研发方向布局不合理
►研发着力点短浅分散,缺乏超前计划,且效率偏低
风险
风险描述
No.8:
业务结构风险
►风险大类:
运营风险
►该风险是指企业由于不了解业务特性、消费者及市场的波动,可能导致不合理的产品结构的风险
风险影响程度
风险发生可能性
风险总分
3.6
3.2
11.52
关注点及调研见闻
►企业的市场战略不符合现在和将来的市场需求,不符合业务/服务的生命周期
►企业缺少产品整合/捆绑战略
►未能根据市场变化和产品需求对产品结构进行调整
风险
风险描述
No.9:
公司决策效率与管理基调
►风险大类:
战略风险
►该风险是指高级管理层未能有效地通过其权责分配、人力资源统筹规划等建立良好的企业文化,树立正直、诚信的道德观、提升员工的道德水准。
同时,公司各层级管理层存在决策效率低下的问题
风险影响程度
风险发生可能性
风险总分
3.4
3
10.20
关注点及调研见闻
►各级管理层的不作为行为对公司员工产生负面影响
►管理层不能对有可能导致控制漏洞的制度和流程设定一个清楚公平的基调
►各级管理层决策基调分歧较大,特别是在出现突发事项或重大事项时,难以高效达成共识
►各级管理层授权不明晰或不充分,导致日常管理/决策效率低下
►管理层没有从企业的角度并权衡能力、质量和成本之后准确地对企业制度进行评估沟通
►管理层对管理哲学及适当授权之间的边界没有一个清楚的认识,因而也无法将其应用到提高管理系统的效率和执行力上
风险
风险描述
No.10:
合同风险
►风险大类:
合规风险、运营风险
►该风险是指企业可能签订对企业不利的合同;合同条款的遵循及控制未能得到有效的执行,导致违约并给企业造成潜在的损失的风险
风险影响程度
风险发生可能性
风险总分
3.4
2.8
9.52
关注点及调研见闻
►未将合同条款与销售战略结合起来,以合理确认收入或在正确的期间内确认收入
►由于签约对方地位或地域的特殊性,使企业执行的合同内容对于企业来说不是最佳条款或规定,合同条款不清晰(如:
没有明确的赔偿条款的确定),发生问题后于难以达成共识,可能会带来重大的经济损失
►缺乏合同条款审核规范/制度用于指导参与合同审核部门对条款内容的正确性,完整性进行把握,会导致潜在的合同纠纷
风险
风险描述
No.11:
信息安全与知识产权保护风险
►风险大类:
运营风险
►该风险是指企业为对信息安全与知识产权进行有效的保护,可能导致企业保密信息泄露、经济损失以及承担法律责任的风险
风险影响程度
风险发生可能性
风险总分
3.4
2.8
9.52
关注点及调研见闻
►投入不足,IT系统及应用的安全访问措施未能有效保护企业数据
►未进行相应的培训,员工意识或职业操守不高,导致信息泄露,给企业带来不良影响(业界声誉,企业形象,巨额赔付)
►未授权第三方获取企业员工、顾客或运营数据,导致企业需承担法律责任或形象受损
►未及时申请技术专利,知识产权无法得到法律的保障和保护
风险
风险描述
No.12:
预算风险
►风险大类:
运营风险
►该风险是指企业未能对现有的或新的经营活动进行有效预算,可能导致未能支持公司的战略和成长目标、影响业务扩张和并购活动以及公司整体盈利水平的风险
风险影响程度
风险发生可能性
风险总分
3.2
2.8
8.96
关注点及调研见闻
►财务资源分配未能有效地与重要风险领域及战略目标相一致
►未能根据市场和业务条件的变化来更新预算
►迫于展示运营结果的压力而导致年度预算不准确
►预算的设定未能从控制的角度出发,或没有基于合理的假设
风险
风险描述
No.13:
公司内控环境风险
►风险大类:
财务风险、运营风险、合规风险
►该风险是指企业因未能建立起符合外部监管机构及股东要求的内部控制环境,如企业内部控制制度不规范,存在重大内控缺陷等,从而给企业带来合规或运营上的风险
风险影响程度
风险发生可能性
风险总分
3.2
2.8
8.96
关注点及调研见闻
►无效的治理及内部控制监督
►没有书面记录的流程,且没有按照流程要求操作
►不恰当或无效的控制环境导致额外的审计程序及成本
►对已知控制缺陷及/或审计发现没有适当的反馈措施
►管理层没有倡导一个鼓励道德诚信的企业文化
►企业或行业控制环境复杂或不成熟
风险
风险描述
No.14:
质量风险
►风险大类:
运营风险
►该风险是指企业因没有按时给客户交付相应的产品/服务,或提供的质量出现问题而给企业带来的经济损失和客户流失的风险
风险影响程度
风险发生可能性
风险总分
3
2.6
7.80
关注点及调研见闻
►企业缺乏业务质量控制体系
►没有及时有效的处理交付质量、交付时间问题
►
升级会员 