第二章内部控制的框架体系课件.ppt

1、公司治理与内部控制第三章 内部控制的框架体系（内部控制要素）n第一节 内部控制要素n第二节 内部环境n第三节 风险评估n第四节 控制活动n第五节 信息与沟通n第六节 内部监督n我国我国企业内部控制基本企业内部控制基本规范规范第三条第三条指出：指出：“本本规范所称规范所称内部控制内部控制，是由，是由企业董事会、监事会、经企业董事会、监事会、经理层和全体员工实施的、理层和全体员工实施的、旨在实现控制目标的过旨在实现控制目标的过程。程。”并规范了基于企业并规范了基于企业全面风险管理导向的内部全面风险管理导向的内部控制系统五要素。控制系统五要素。3.1 3.1 内部控制要素内部控制要素n根据系统论、控

2、制论和信息论的根据系统论、控制论和信息论的思想，我国思想，我国企业内部控制基本企业内部控制基本规范规范把企业内部控制系统划分把企业内部控制系统划分为相互关联的为相互关联的5 5个要素，个要素，以充分以充分发挥内部控制的发挥内部控制的“免疫免疫”功能功能。n企业设计基于全面风险管理导向企业设计基于全面风险管理导向的内部控制系统时必须体现的内部控制系统时必须体现5 5个个要素的要求。要素的要求。3.1 3.1 内部控制要素内部控制要素n我国我国企业内部控制基本规范企业内部控制基本规范第五条第五条指出：指出：企业建立与实施有效的内部控制，应当包括企业建立与实施有效的内部控制，应当包括下列要素：下列要

3、素：n（一）内部环境。（一）内部环境。内部环境是企业实施内部内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企及权责分配、内部审计、人力资源政策、企业文化等。业文化等。n（二）风险评估。（二）风险评估。风险评估是企业及时识别、风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。关的风险，合理确定风险应对策略。3.1 3.1 内部控制要素内部控制要素n（三）控制活动。（三）控制活动。控制活动是企业根据风险评控制活动是企业根据风险评估

4、结果，采用相应的控制措施，将风险控制在估结果，采用相应的控制措施，将风险控制在可承受度之内。可承受度之内。n（四）信息与沟通。（四）信息与沟通。信息与沟通是企业及时、信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效保信息在企业内部、企业与外部之间进行有效沟通。沟通。n（五）内部监督。（五）内部监督。内部监督是企业对内部控制内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以的有效性，发现内部控制缺陷，应当及时加

5、以改进。改进。五要素及其相互关系五要素及其相互关系 监控监控控制活动控制活动风险评估风险评估控制环境控制环境信信息息沟沟通通信信息息沟沟通通基础基础手段手段保证保证载体载体依据依据五要素五要素与与八要素八要素比较图比较图八要素与五要素之间的对应关系八要素与五要素之间的对应关系内部环境内部环境目标制定目标制定事项识别事项识别风险评估风险评估风险反应风险反应控制活动控制活动信息与沟通信息与沟通监控监控内部环境内部环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监控监控3.2 3.2 要素一：要素一：内部环境内部环境n我国我国企业内部控制基本企业内部控制基本规范规范第二章第二章第十一条至第十

6、一条至第十九条第十九条明确了内部环境明确了内部环境的具体内容。的具体内容。3.2 3.2 要素一：要素一：内部环境内部环境n一、公司治理结构和议事规则一、公司治理结构和议事规则n企业内部控制基本规范企业内部控制基本规范第十一条指出：企第十一条指出：企业应当根据国家有关法律法规和企业章程，建业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。的职责分工和制衡机制。n股东（大）会享有法律法规和企业章程规定的股东（大）会享有法律

7、法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的资、利润分配等重大事项的表决权表决权。3.2 3.2 要素一：要素一：内部环境内部环境n董事会对股东（大）会负责，依法行使企业董事会对股东（大）会负责，依法行使企业的经营的经营决策权决策权。n监事会对股东（大）会负责，监事会对股东（大）会负责，监督监督企业董事、企业董事、经理和其他高级管理人员依法履行职责。经理和其他高级管理人员依法履行职责。n经理层负责组织经理层负责组织实施实施股东（大）会、董事会股东（大）会、董事会决议事项，主持企业的生产经营管理工作。决议事项，主持企

8、业的生产经营管理工作。3.2 3.2 要素一：要素一：内部环境内部环境n同时，同时，第十二条第十二条指出：董事会负责内部控制指出：董事会负责内部控制的建立健全和有效实施。监事会对董事会建的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。织领导企业内部控制的日常运行。n企业应当成立专门机构或者指定适当的机构企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日具体负责组织协调内部控制的建立实施及日常工作。常工作。3.2 3.2 要素一：要素一：内部环境内部环境n【解读解读】公司治理

9、结构的要旨公司治理结构的要旨在于明确划分股在于明确划分股东、董事会和经理人员各自权利、责任和利益，东、董事会和经理人员各自权利、责任和利益，形成三者之间的制衡关系。以国外现代公司为形成三者之间的制衡关系。以国外现代公司为例，其公司治理结构是现代法人产权制度下的例，其公司治理结构是现代法人产权制度下的产物，其基本特征是：产物，其基本特征是：n（1）内部机构权责分明，相互制衡（）内部机构权责分明，相互制衡（“三权三权分立，相互制衡分立，相互制衡”）。）。n（2）委托与代理，纵向授权。）委托与代理，纵向授权。n（3）激励与约束机制并存。）激励与约束机制并存。3.2 3.2 要素一：要素一：内部环境内

10、部环境n二、审计委员会二、审计委员会n企业内部控制基本规范企业内部控制基本规范第十三条第十三条指出：企指出：企业应当在董事会下设立业应当在董事会下设立审计委员会审计委员会。审计委员。审计委员会负责审查企业内部控制，监督内部控制的有会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。制审计及其他相关事宜等。n审计委员会负责人应当具备相应的独立性、良审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。好的职业操守和专业胜任能力。3.2 3.2 要素一：要素一：内部环境内部环境n三、内部机构设

11、置、岗位职责、业务流程三、内部机构设置、岗位职责、业务流程n企业内部控制基本规范企业内部控制基本规范第十四条第十四条指出：指出：企业应当结合业务特点和内部控制要求设置企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落内部机构，明确职责权限，将权利与责任落实到各责任单位。实到各责任单位。n企业应当通过编制企业应当通过编制内部管理手册内部管理手册，使全体员，使全体员工掌握内部机构设置、岗位职责、业务流程工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。等情况，明确权责分配，正确行使职权。3.2 3.2 要素一：要素一：内部环境内部环境n四、内部审计

12、四、内部审计n企业内部控制基本规范企业内部控制基本规范第十五条第十五条指出：指出：企业应当加强内部审计工作，保证内部审计企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。机构设置、人员配备和工作的独立性。n内部审计机构应当结合内部审计监督，对内内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直督检查中发现的内部控制重大缺陷

13、，有权直接向董事会及其审计委员会、监事会报告。接向董事会及其审计委员会、监事会报告。3.2 3.2 要素一：要素一：内部环境内部环境n五、人力资源政策五、人力资源政策n企业内部控制基本规范企业内部控制基本规范第十六条第十六条指出：企指出：企业应当制定和实施有利于企业可持续发展的人业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容：力资源政策。人力资源政策应当包括下列内容：n（一）员工的聘用、培训、辞退与辞职。（一）员工的聘用、培训、辞退与辞职。n（二）员工的薪酬、考核、晋升与奖惩。（二）员工的薪酬、考核、晋升与奖惩。n（三）关键岗位员工的（三）关键岗位员工的强制休

14、假制度强制休假制度和和定期岗定期岗位轮换制度位轮换制度。3.2 3.2 要素一：要素一：内部环境内部环境n（四）掌握国家秘密或重要商业秘密的员工离（四）掌握国家秘密或重要商业秘密的员工离岗的限制性规定。岗的限制性规定。n（五）有关人力资源管理的其他政策。（五）有关人力资源管理的其他政策。n六、职业道德修养和专业胜任能力六、职业道德修养和专业胜任能力n 企业内部控制基本规范企业内部控制基本规范第十七条第十七条指出：指出：企业应当将职业道德修养和专业胜任能力作为企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培选拔和聘用员工的重要标准，切实加强员工培训和训和继续教育继

15、续教育，不断提升员工素质。，不断提升员工素质。3.2 3.2 要素一：要素一：内部环境内部环境n七、企业文化、价值观和社会责任感七、企业文化、价值观和社会责任感n企业内部控制基本规范企业内部控制基本规范第十八条第十八条指出：企指出：企业应当加强文化建设，培育积极向上的价值观业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，拓创新和团队协作精神，树立现代管理理念，强化风险意识。强化风险意识。n董事、监事、经理及其他高级管理人员应当在董事、监事、经理及其他高级管理人员应当在企业文化建设中发

16、挥主导作用。企业文化建设中发挥主导作用。n企业员工应当遵守员工行为守则，认真履行岗企业员工应当遵守员工行为守则，认真履行岗位职责。位职责。3.2 3.2 要素一：要素一：内部环境内部环境n八、法制观念八、法制观念n企业内部控制基本规范企业内部控制基本规范第十九条第十九条指出：指出：企业应当加强法制教育，增强董事、监事、企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案健全法律顾问制度和重大法律纠纷案件备案制度。制度

17、。【注注】关于内部环境类内部控制应用指引】关于内部环境类内部控制应用指引 n内部环境是企业实施内部控制的基础，支配内部环境是企业实施内部控制的基础，支配着企业全体员工的内控意识，影响着全体员着企业全体员工的内控意识，影响着全体员工实施控制活动和履行控制责任的态度、认工实施控制活动和履行控制责任的态度、认识和行为。内部环境类指引有识和行为。内部环境类指引有5项，包括：项，包括：n企业内部控制应用指引第1号：组织架构n企业内部控制应用指引第2号：发展战略n企业内部控制应用指引第3号：人力资源n企业内部控制应用指引第4号：社会责任n企业内部控制应用指引第5号：企业文化3.3 3.3 要素二：要素二：

18、风险评估风险评估n我国我国企业内部控制企业内部控制基本规范基本规范第三章第三章第第二十条至第二十七条二十条至第二十七条明确了风险评估的具明确了风险评估的具体内容。体内容。3.3 3.3 要素二：要素二：风险评估风险评估n企业内部控制基本规范企业内部控制基本规范第二十条第二十条指出：企业指出：企业应当应当根据设定的控制目标根据设定的控制目标，全面系统持续地收集，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。相关信息，结合实际情况，及时进行风险评估。n一、风险识别一、风险识别n 企业内部控制基本规范企业内部控制基本规范第二十一条第二十一条指出：企指出：企业开展风险评估，应当准确识别与

19、实现控制目标业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的相关的内部风险和外部风险，确定相应的风险承风险承受度受度。n风险承受度风险承受度是企业能够承担的风险限度，包括整是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。体风险承受能力和业务层面的可接受风险水平。3.3 3.3 要素二：要素二：风险评估风险评估n（一）风险的本质（一）风险的本质n风险风险是未来结果对期望的偏离，即是未来结果对期望的偏离，即波动性波动性。任何偏离控制目标的因素（有利或不利）都任何偏离控制目标的因素（有利或不利）都是风险的表现，这与金融投资普遍以收益率是风险的表

20、现，这与金融投资普遍以收益率方差方差（或（或标准差标准差）作为风险计量指标的主流）作为风险计量指标的主流分析框架相符。分析框架相符。3.3 3.3 要素二：要素二：风险评估风险评估n（二）风险的分类（二）风险的分类n为了有效识别和管理风险，有必要对企业所为了有效识别和管理风险，有必要对企业所面临的风险进行明确分类。根据不同的分类面临的风险进行明确分类。根据不同的分类标准可以将风险划分为不同的类型。标准可以将风险划分为不同的类型。n可见，设立期望目标是风险评估的前提条件，可见，设立期望目标是风险评估的前提条件，只有先确立了目标，管理层才能针对目标确只有先确立了目标，管理层才能针对目标确定风险并采

21、取必要的行动来管理风险。定风险并采取必要的行动来管理风险。3.3 3.3 要素二：要素二：风险评估风险评估n1.1.按风险诱发的原因分类按风险诱发的原因分类n按诱发风险的原因，按诱发风险的原因，巴塞尔委员会巴塞尔委员会将风险划将风险划分为八大类：分为八大类：n（1 1）信用风险）信用风险，是指债务人或交易对手未，是指债务人或交易对手未能履行合同所规定的义务或信用质量发生变能履行合同所规定的义务或信用质量发生变化，影响金融产品价值，从而给债权人或金化，影响金融产品价值，从而给债权人或金融产品持有人造成经济损失的风险。融产品持有人造成经济损失的风险。n信用风险信用风险被认为是被认为是最为复杂的风险

22、种类最为复杂的风险种类，通，通常包括违约风险、结算风险等主要形式。常包括违约风险、结算风险等主要形式。3.3 3.3 要素二：要素二：风险评估风险评估n（2 2）市场风险）市场风险，是指由于市场价格（包括金，是指由于市场价格（包括金融资产价格和商品价格）波动而导致企业遭融资产价格和商品价格）波动而导致企业遭受损失的风险。它可以分为利率风险、股票受损失的风险。它可以分为利率风险、股票风险、汇率风险和商品风险四种，其中利率风险、汇率风险和商品风险四种，其中利率风险尤为重要。风险尤为重要。3.3 3.3 要素二：要素二：风险评估风险评估n（3 3）操作风险操作风险，是指由于人为错误、技术，是指由于人

23、为错误、技术缺陷或不利的外部事件所造成损失的风险。缺陷或不利的外部事件所造成损失的风险。操作风险可以分为由人员、系统、流程和外操作风险可以分为由人员、系统、流程和外部事件所引发的四类风险，并由此可以分为部事件所引发的四类风险，并由此可以分为七种表现形式：内部欺诈，外部欺诈，聘用七种表现形式：内部欺诈，外部欺诈，聘用员工做法和工作场所安全性，客户、产品及员工做法和工作场所安全性，客户、产品及业务做法，实物资产损坏，业务中断和系统业务做法，实物资产损坏，业务中断和系统失灵，交割及流程管理。失灵，交割及流程管理。n操作风险具有普遍性和非营利性。操作风险具有普遍性和非营利性。3.3 3.3 要素二：要

24、素二：风险评估风险评估n（4 4）流动性风险）流动性风险，是指企业无力为负债的减，是指企业无力为负债的减少或资产的增加提供融资而造成损失或破产的少或资产的增加提供融资而造成损失或破产的风险。风险。流动性风险流动性风险包括包括资产流动性风险资产流动性风险和和负债负债流动性风险流动性风险。n流动性风险与信用风险、市场风险和操作风险流动性风险与信用风险、市场风险和操作风险相比，形成的原因更加复杂和广泛，通常被视相比，形成的原因更加复杂和广泛，通常被视为一种综合性风险。为一种综合性风险。n（5 5）国家风险）国家风险，是指经济主体在与非本国居，是指经济主体在与非本国居民进行国际经贸与金融往来时，由于别

25、国经济、民进行国际经贸与金融往来时，由于别国经济、政治和社会等方面的变化而遭受损失的风险。政治和社会等方面的变化而遭受损失的风险。3.3 3.3 要素二：要素二：风险评估风险评估n（6 6）声誉风险）声誉风险，是指由于意外事件，企业的，是指由于意外事件，企业的政策调整、市场表现或日常经营活动所产生的政策调整、市场表现或日常经营活动所产生的负面结果，可能对企业负面结果，可能对企业“声誉声誉”这种无形资产这种无形资产造成损失的风险。造成损失的风险。n（7 7）法律风险）法律风险，即企业在日常经营活动或各，即企业在日常经营活动或各类交易发生的过程中，因为无法满足或违反法类交易发生的过程中，因为无法满

26、足或违反法律要求，导致企业不能履行合同、发生争议律要求，导致企业不能履行合同、发生争议诉诉讼或其他法律纠纷，而可能给企业造成经济损讼或其他法律纠纷，而可能给企业造成经济损失的风险。失的风险。3.3 3.3 要素二：要素二：风险评估风险评估n（8 8）战略风险）战略风险，是指企业在追求短期商业目，是指企业在追求短期商业目的和长期发展目标的系统化管理过程中，不的和长期发展目标的系统化管理过程中，不适当的未来发展规划和战略决策可能威胁企适当的未来发展规划和战略决策可能威胁企业未来发展的潜在风险。美国货币监理署业未来发展的潜在风险。美国货币监理署（OCC）认为，战略风险是指经营决策错误，）认为，战略风

27、险是指经营决策错误，或决策执行不当，或对行业变化束手无策，或决策执行不当，或对行业变化束手无策，而对企业的收益或资本形成现实和长远的影而对企业的收益或资本形成现实和长远的影响。响。3.3 3.3 要素二：要素二：风险评估风险评估n2.2.风险的其他分类风险的其他分类n（1）按）按风险事故风险事故可以将风险划分为：经济风可以将风险划分为：经济风险、政治风险、社会风险，自然风险和技术风险、政治风险、社会风险，自然风险和技术风险；险；n（2）按）按损失结果损失结果可以将风险划分为：纯粹风可以将风险划分为：纯粹风险和投机风险；险和投机风险；n（3）按）按是否能够量化是否能够量化可以将风险划分为：可可以

28、将风险划分为：可量化风险和不可量化风险；量化风险和不可量化风险；3.3 3.3 要素二：要素二：风险评估风险评估n（4）按）按风险发生的范围风险发生的范围可以将风险划分为：可以将风险划分为：系统性风险和非系统性风险。系统性风险和非系统性风险。n（5）按）按风险的可预见性风险的可预见性可以将风险划分为：可以将风险划分为：预期风险、非预期风险、意外风险。预期风险、非预期风险、意外风险。n预期风险与非预期风险之间最重要的概念性区预期风险与非预期风险之间最重要的概念性区别是：预期风险是在一般正常情况下，在一定别是：预期风险是在一般正常情况下，在一定时期可预见的平均水平；非预期风险具有突发时期可预见的平

29、均水平；非预期风险具有突发性、复杂性、持续可变性、多层次性、模糊性性、复杂性、持续可变性、多层次性、模糊性等特点。等特点。3.3 3.3 要素二：要素二：风险评估风险评估n（三）风险识别的内外部因素（三）风险识别的内外部因素n企业内部控制基本规范企业内部控制基本规范第二十二条第二十二条指出，指出，企业企业识别内部风险识别内部风险，应当关注下列因素：，应当关注下列因素：n（1）董事、监事、经理及其他高级管理人员）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源的职业操守、员工专业胜任能力等人力资源因素。因素。n（2）组织机构、经营方式、资产管理、业务）组织机构、经营方式、

30、资产管理、业务流程等管理因素。流程等管理因素。3.3 3.3 要素二：要素二：风险评估风险评估n（3）研究开发、技术投入、信息技术运用等）研究开发、技术投入、信息技术运用等自主创新因素。自主创新因素。n（4）财务状况、经营成果、现金流量等财务）财务状况、经营成果、现金流量等财务因素。因素。n（5）营运安全、员工健康、环境保护等安全）营运安全、员工健康、环境保护等安全环保因素。环保因素。n（6）其他有关内部风险因素。）其他有关内部风险因素。3.3 3.3 要素二：要素二：风险评估风险评估n企业内部控制基本规范企业内部控制基本规范第二十三条第二十三条指出，指出，企业企业识别外部风险识别外部风险，应

31、当关注下列因素：，应当关注下列因素：n（1）经济形势、产业政策、融资环境、市场竞争、）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。资源供给等经济因素。n（2）法律法规、监管要求等法律因素。）法律法规、监管要求等法律因素。n（3）安全稳定、文化传统、社会信用、教育水平、）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。消费者行为等社会因素。n（4）技术进步、工艺改进等科学技术因素。）技术进步、工艺改进等科学技术因素。n（5）自然灾害、环境状况等自然环境因素。）自然灾害、环境状况等自然环境因素。n（6）其他有关外部风险因素。）其他有关外部风险因素。3.3 3.3 要素

32、二：要素二：风险评估风险评估n（四）风险识别的分析框架（四）风险识别的分析框架不确定性不确定性的来源的来源环境风险：环境风险：影响经营模式变动的不确定性。过程风险：过程风险：影响经营模式实施的不确定性。决策所需信息风险：决策所需信息风险：影响作出价值创造决策所需信息的可信性与可靠性的风险。3.3 3.3 要素二：要素二：风险评估风险评估n环境风险因素环境风险因素，包，包括：括：n（1）竞争对手风险）竞争对手风险n（2）客户风险）客户风险n（3）技术创新风险）技术创新风险n（4）敏感性风险）敏感性风险n（5）股东关系风险）股东关系风险n（6）资本可得性风险）资本可得性风险n（7）主权）主权政治风

33、险政治风险n（8）法律风险）法律风险n（9）监管风险）监管风险n（10）行业风险）行业风险n（11）金融市场风险）金融市场风险n（12）灾难风险）灾难风险3.3 3.3 要素二：要素二：风险评估风险评估n过程风险因素过程风险因素，包括：，包括：n1.1.操作风险操作风险，如：，如：n（1）客户满意度风险）客户满意度风险n（2）人力资源风险）人力资源风险 n（3）知识资本风险）知识资本风险n（4）产品开发风险）产品开发风险n（5）效率风险）效率风险n（6）能力风险）能力风险n（7）业绩缺口风险）业绩缺口风险n（8）周转时间风险）周转时间风险n（9）来源风险）来源风险n（10）渠道效率风险）渠道效

34、率风险n（11）合作伙伴风险）合作伙伴风险n（12）服从（监管机构）服从（监管机构或其他要求）风险或其他要求）风险n（13）业务中断风险）业务中断风险n（14）产品或服务失败）产品或服务失败风险风险n（15）环境风险）环境风险n（16）健康与安全风险）健康与安全风险n（17）商标）商标品牌侵权风品牌侵权风险险3.3 3.3 要素二：要素二：风险评估风险评估n2.2.金融风险金融风险，如：，如：n（1）价格风险，包括利率风险、汇率）价格风险，包括利率风险、汇率外汇风外汇风险、权益风险、商品价格风险、金融工具风险、权益风险、商品价格风险、金融工具风险。险。n（2）流动性风险，包括现金流风险、机会成

35、）流动性风险，包括现金流风险、机会成本风险、集中度风险。本风险、集中度风险。n（3）信用风险，包括违约风险、集中度风险、）信用风险，包括违约风险、集中度风险、结算风险、抵押风险。结算风险、抵押风险。3.3 3.3 要素二：要素二：风险评估风险评估n3.3.授权风险授权风险，如：，如：n（1）领导风险）领导风险n（2）权力）权力限制风险限制风险n（3）浪费风险）浪费风险n（4）业绩激励风险）业绩激励风险n（5）适应变化风险）适应变化风险n（6）沟通风险）沟通风险3.3 3.3 要素二：要素二：风险评估风险评估n4.4.信息过程信息过程技术风险技术风险，如：，如：n（1）相关性风险）相关性风险n（

36、2）完整性风险）完整性风险n（3）评估风险）评估风险n（4）可得性风险）可得性风险n（5）基础设施风险）基础设施风险3.3 3.3 要素二：要素二：风险评估风险评估n5.5.诚实性风险诚实性风险，如：，如：n（1）管理欺诈风险）管理欺诈风险n（2）雇员）雇员第三方欺诈风险第三方欺诈风险n（3）非法行为风险）非法行为风险n（4）违规行为风险）违规行为风险n（5）信誉风险）信誉风险3.3 3.3 要素二：要素二：风险评估风险评估n决策所需信息风险因素决策所需信息风险因素，包括：，包括：n1.1.决策所需过程决策所需过程操作性信息风险操作性信息风险，如：，如：n（1）产品）产品服务定价风险服务定价风

37、险n（2）合同履行风险）合同履行风险n（3）度量（操作）风险）度量（操作）风险n（4）协调性风险）协调性风险3.3 3.3 要素二：要素二：风险评估风险评估n2.2.决策所需商务报告信息风险决策所需商务报告信息风险，如：，如：n（1）预算与计划风险）预算与计划风险n（2）会计信息风险）会计信息风险n（3）财务报告评估风险）财务报告评估风险n（4）税收风险）税收风险n（5）退休金风险）退休金风险n（6）投资评估风险）投资评估风险n（7）监管报告风险）监管报告风险3.3 3.3 要素二：要素二：风险评估风险评估n3.3.决策所需环境决策所需环境战略风险战略风险，如：，如：n（1）环境监控风险）环境

38、监控风险n（2）经营模式风险）经营模式风险n（3）业务组合风险）业务组合风险n（4）估价风险）估价风险n（5）组织结构风险）组织结构风险n（6）度量（战略）风险）度量（战略）风险n（7）资源配置风险）资源配置风险n（8）计划风险）计划风险n（9）生命周期风险）生命周期风险3.3 3.3 要素二：要素二：风险评估风险评估n（五）（五）风险偏好与风险容忍度风险偏好与风险容忍度n进行风险评估，首先应该判明公司可以承受的进行风险评估，首先应该判明公司可以承受的风险有多大，即首先需明确公司的风险有多大，即首先需明确公司的风险容忍度风险容忍度，又称为又称为风险承受度风险承受度，是公司能够承担的风险限是公司

39、能够承担的风险限度度，包括整体风险承受能力和业务层面的可接，包括整体风险承受能力和业务层面的可接受风险水平。受风险水平。n从战略层面看，风险控制的重点是确定从战略层面看，风险控制的重点是确定风险偏风险偏好好及及相应的风险容忍度相应的风险容忍度。n风险容忍度风险容忍度和和风险偏好风险偏好都是公司为自己承受风都是公司为自己承受风险的能力设定的险的能力设定的控制边界控制边界。3.3 3.3 要素二：要素二：风险评估风险评估n根据根据COSO委员会的定义，委员会的定义，风险偏好风险偏好是公司决是公司决策层综合考虑多种风险因素后作出的一种更高策层综合考虑多种风险因素后作出的一种更高层次的承诺，而层次的承

40、诺，而风险容忍度风险容忍度是考虑到风险状况是考虑到风险状况的不断变化，而为每一个具体的风险因素设定的不断变化，而为每一个具体的风险因素设定的量化的可接受水平。公司根据统一确定的风的量化的可接受水平。公司根据统一确定的风险偏好，针对不同业务特点设定相应的容忍度险偏好，针对不同业务特点设定相应的容忍度水平，明确风险的最低限度和不能超过的最高水平，明确风险的最低限度和不能超过的最高限度，并据此设置风险预警线以及相应的对策限度，并据此设置风险预警线以及相应的对策安排。安排。风险偏好与风险容忍度的关系图风险偏好与风险容忍度的关系图 战略控制目标战略控制目标风险偏好风险偏好风险容忍度风险容忍度 信用风险信

41、用风险 市场风险市场风险风险限额体系风险限额体系 操作风险操作风险 流动性风险流动性风险 其他风险其他风险3.3 3.3 要素二：要素二：风险评估风险评估n（六）风险识别的技术与方法（六）风险识别的技术与方法n风险评估的首要步骤是风险评估的首要步骤是识别识别明显的、潜在的明显的、潜在的风险事件风险事件，估计这些风险可能造成的损失。，估计这些风险可能造成的损失。n制作风险清单制作风险清单是识别风险的最基本、最常用是识别风险的最基本、最常用的方法。风险识别方法还有：的方法。风险识别方法还有：n专家调查列举法专家调查列举法；财务状况分析法财务状况分析法；n情景分析法情景分析法；分解分析法分解分析法；

42、n失误树分析方法失误树分析方法；CART风险分类法。风险分类法。3.3 3.3 要素二：要素二：风险评估风险评估n例如，例如，CART风险分类法，是依据选定的几项风险分类法，是依据选定的几项财务比率作为风险分类的标准，运用二分法，财务比率作为风险分类的标准，运用二分法，通过建立树型结构来分析被考察对象特定通过建立树型结构来分析被考察对象特定财财务信用品质务信用品质的方法。的方法。n对公司的风险识别，对公司的风险识别，CART法采用四个财务比法采用四个财务比率作为分类标准：现金流量对负债总额比率；率作为分类标准：现金流量对负债总额比率；留存收益对资产总额比率；负债总额对资产留存收益对资产总额比率

43、；负债总额对资产总额比率；现金对销售总额比率。总额比率；现金对销售总额比率。nCART风险分类：风险分类：级分类标准级分类标准违约组被考虑对象总体现金流量对负债总额的比率级分类标准：级分类标准：小于或等于临界值组大于临界值组临界值临界值负债总额对资产比率非违约组临界值临界值进入进入级分类标准级分类标准n进入进入级分类标准：级分类标准：违约组小于或等于临界值组留存收益对资产总额比率级分类标准：级分类标准：违约组大于临界值组临界值临界值现金对销售总额比率非违约组级分类标准：级分类标准：临界值临界值3.3 3.3 要素二：要素二：风险评估风险评估n（七）识别财务风险应重点关注的因素（七）识别财务风险

44、应重点关注的因素n（1）无法偿还到期债务；）无法偿还到期债务；n（2）无法偿还即将到期且难以展期的借款；）无法偿还即将到期且难以展期的借款；n（3）无法继续履行重大借款合同中的有关条）无法继续履行重大借款合同中的有关条款；款；n（4）存在大额的逾期未缴税金；）存在大额的逾期未缴税金；n（5）累计经营性亏损数额巨大；）累计经营性亏损数额巨大；n（6）过度依赖短期借款筹资；）过度依赖短期借款筹资；3.3 3.3 要素二：要素二：风险评估风险评估n（7）无法获得供应商的正常商业信用）无法获得供应商的正常商业信用n【注注】运用以下指标识别：】运用以下指标识别：n应付账款周转次数年度营业成本应付账款周转

45、次数年度营业成本应付账应付账款平均余额；款平均余额；n应付账款周转期（天数）应付账款周转期（天数）365天天应付账应付账款周转次数款周转次数平均偿还期平均偿还期n【案例分析案例分析】背景：应付账款管理不善导致供背景：应付账款管理不善导致供应链断裂，公司破产。应链断裂，公司破产。n郑州亚细亚破产案郑州亚细亚破产案3.3 3.3 要素二：要素二：风险评估风险评估n（8）难以获得开发必要新产品或进行必要投）难以获得开发必要新产品或进行必要投资所需资金；资所需资金；n（9）资不抵债；）资不抵债；n（10）营运资金出现负数；营运资金出现负数；n（11）经营活动产生的现金流量净额为负数；）经营活动产生的现

46、金流量净额为负数；n（12）大股东长期占用巨额资金；）大股东长期占用巨额资金；n（13）重要子公司无法持续经营且未进行处理；）重要子公司无法持续经营且未进行处理；3.3 3.3 要素二：要素二：风险评估风险评估n（14）存在大量长期未作处理的不良资产；）存在大量长期未作处理的不良资产；n（15）存在因对外巨额担保等或有事项引发）存在因对外巨额担保等或有事项引发的或有负债。的或有负债。n（八）识别非财务风险应重点关注的因素。（八）识别非财务风险应重点关注的因素。包包括：括：n（1）关键管理人员离职且无人替代；）关键管理人员离职且无人替代；n（2）主导产品不符合国家产业政策，或者没）主导产品不符合

47、国家产业政策，或者没有市场销路，产品严重积压；有市场销路，产品严重积压；3.3 3.3 要素二：要素二：风险评估风险评估n（3）失去主要市场、特许权或主要供应商；）失去主要市场、特许权或主要供应商；n（4）人力资源或重要原材料短缺；）人力资源或重要原材料短缺；n（5）严重违反有关法律、法规或政策；）严重违反有关法律、法规或政策；n（6）存在可能带来无法承受损失的未决诉存在可能带来无法承受损失的未决诉讼；讼；n（7）异常原因导致停工、停产；）异常原因导致停工、停产；n（8）有关法律、法规或政策的变化可能造成）有关法律、法规或政策的变化可能造成重大不利影响；重大不利影响；3.3 3.3 要素二：要

48、素二：风险评估风险评估n（9）经营期限即将到期且无意继续经营；经营期限即将到期且无意继续经营；n（10）投资者未履行协议、合同、章程规定）投资者未履行协议、合同、章程规定的义务，并有可能造成重大不利影响；的义务，并有可能造成重大不利影响；n（11）因自然灾害、战争等不可抗力因素遭）因自然灾害、战争等不可抗力因素遭受严重损失；受严重损失；n（12）其他导致经营状况恶化的情况。）其他导致经营状况恶化的情况。3.3 3.3 要素二：要素二：风险评估风险评估n二、风险评估二、风险评估n企业内部控制基本规范企业内部控制基本规范第二十四条第二十四条指出，指出，企业应当采用定性与定量相结合的方法，按照企业应

49、当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控风险进行分析和排序，确定关注重点和优先控制的风险。制的风险。n企业进行风险分析，应当充分吸收专业人员，企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性工作，确保风险分析结果的准确性 3.3 3.3 要素二：要素二：风险评估风险评估n【提示提示】风险评估方法包括】风险评估方法包括定性方法定性方法和和定性定性与定量相结合的方法与定量相结合的方法。

50、主要借助概率论和数。主要借助概率论和数理统计等方法来测定公司的风险程度。目前，理统计等方法来测定公司的风险程度。目前，风险评估模型风险评估模型有以方差、标准差、平均绝对有以方差、标准差、平均绝对偏差，久期（偏差，久期（Duration）、调整久期、有效）、调整久期、有效久期久期，系数系数，风险价值（，风险价值（VaR），内部评），内部评级，敏感度分析，级，敏感度分析，压力测试法压力测试法等为代表的数等为代表的数千种风险评估数理模型。千种风险评估数理模型。3.3 3.3 要素二：要素二：风险评估风险评估n三、风险应对三、风险应对n企业内部控制基本规范企业内部控制基本规范第二十五条第二十五条指出：