1、 s 内部控制与风险管理内部控制与风险管理(内部控制学)(内部控制学)2022-5-201导论:为什么会有内部控制?导论:为什么会有内部控制?思考如下问题:思考如下问题:1.为什么会有社会?为什么会有社会?2.为什么产生组织?为什么产生组织?3.为什么产生企业?为什么产生企业?4.为什么会有控制?为什么会有控制?5.为什么会有文化?为什么会有文化?6.为什么会有宗教?为什么会有宗教?2022-5-202导论:为什么会有内部控制?导论:为什么会有内部控制?思考如下问题:思考如下问题:1.企业的利润是如何产生的?企业的利润是如何产生的?2.会计在企业中承担什么样的角色?会计在企业中承担什么样的角色
2、?3.财务管理在企业中承担什么样的角色?财务管理在企业中承担什么样的角色?4.什么是不确定性?什么是不确定性?5.什么是风险?什么是风险?风险、不确定性与利润作者风险、不确定性与利润作者: 弗兰克弗兰克.H.奈特奈特出版社出版社: 商务印书馆商务印书馆出版年出版年: 2006年年2月月2022-5-203导论:从吏治说起导论:从吏治说起参考文献:刘建基参考文献:刘建基中国古代吏治札记中国古代吏治札记 郭道扬郭道扬会计史会计史1.治与乱的矛盾统一,辩证关系治与乱的矛盾统一,辩证关系 孟子:孟子: “天下之生久矣,一治一乱天下之生久矣,一治一乱” 三国演义三国演义:“话说天下大势,分久必合,合久必
3、分话说天下大势,分久必合,合久必分” 黄炎培、毛泽东:黄炎培、毛泽东:“其兴也勃焉,其亡也忽焉其兴也勃焉,其亡也忽焉”2. 监察制度监察制度 自成系统,独立行政监察。而且多用年轻、资历较浅、品自成系统,独立行政监察。而且多用年轻、资历较浅、品位较低的官员作为监察官员,位较低的官员作为监察官员,“以小制大以小制大”,使得监察官,使得监察官员要自身求发展必须勇于履行所担当的职责员要自身求发展必须勇于履行所担当的职责(官小才不惜官小才不惜官官)。2022-5-204导论:从吏治说起导论:从吏治说起3.言官制度言官制度 中国古代官制中最有独创性的就是言官制度。所谓言官,中国古代官制中最有独创性的就是言
4、官制度。所谓言官,狭义来说是指谏官,秦汉的给事中、历代的谏议大夫、魏狭义来说是指谏官,秦汉的给事中、历代的谏议大夫、魏晋以后的门下省等皆是言官。这个设置是专门诤谏国君的晋以后的门下省等皆是言官。这个设置是专门诤谏国君的失误的。广义来说包括各级监察官员,即御史台的官员。失误的。广义来说包括各级监察官员,即御史台的官员。后世说到言官多是包括后世说到言官多是包括“台台(御史台御史台)谏谏” 两方面的。历两方面的。历代还准许御史们代还准许御史们“风闻奏事风闻奏事” ,扩大了言官们的言论空间,扩大了言官们的言论空间,以避免施政中出现重大错误。以避免施政中出现重大错误。2022-5-205导论:从企业说起
5、导论:从企业说起1. 企业理论企业理论为什么会有企业?为什么会有企业?企业的目的是什么?企业的目的是什么?企业的控制权问题企业的控制权问题内部控制解决企业的什么问题?内部控制解决企业的什么问题?2.企业(公司)治理企业(公司)治理企业所有权安排企业所有权安排剩余控制权与剩余索取权的分布剩余控制权与剩余索取权的分布公司治理的结构公司治理的结构内部控制与公司治理内部控制与公司治理2022-5-206导论:从弊案说起导论:从弊案说起 水门事件 安然事件 牟其中 顾雏军 张海 龚家龙 2004年11月30日,在新加坡上市的航空燃料供应商中国航油(新加坡)股份有限公司,因从事投机行为造成5.54亿美元巨
6、额亏损,向新加坡高等法院申请破产保护。 创维集团:2004年11月底,创维数码控股有限公司主席黄宏生等10名高管因涉嫌造假账及挪用公司资金被捕。 伊利集团:2004年12月30日,伊利集团原董事长郑俊怀等名高管因涉嫌挪用公款罪被捕。2022-5-207参考书目参考书目v (美美) Steven J. Root著;付涛著;付涛, 卢远瞩卢远瞩, 黄翠竹译,黄翠竹译,超越超越COSO:加强公司治理的内部控制:加强公司治理的内部控制:internal control to enhance corporate governance,北京:清华大学出版社,北京:清华大学出版社,2004 v (美美) C
7、OSO制定发布;方红星,王宏译制定发布;方红星,王宏译企业风险管理:整合框架:企业风险管理:整合框架:integrated framework,大连:东北财经大学出版社,大连:东北财经大学出版社,2005v 牛成喆著,牛成喆著,COSO框架下的内部控制框架下的内部控制,北京:经济科学出版社,北京:经济科学出版社,2005v 朱荣恩等,朱荣恩等,企业内部控制制度设计企业内部控制制度设计,上海财经大学出版社,上海财经大学出版社,2005。v 张文贤等,张文贤等,内部控制会计制度设计内部控制会计制度设计,立信会计出版社,立信会计出版社,2004。v 朱荣恩等,朱荣恩等,内部控制案例内部控制案例,复旦
8、大学出版社,复旦大学出版社,2005。v 李凤鸣,李凤鸣,内部控制学内部控制学,北京大学出版社,北京大学出版社,2005。v 会计研究会计研究、审计研究审计研究等重要期刊文献。等重要期刊文献。2022-5-208第一部分第一部分 内部控制的基本架构内部控制的基本架构2022-5-209内部控制的基本理论内部控制的基本理论1内部控制的目标与要素内部控制的目标与要素2内部控制的程序与方法内部控制的程序与方法3内部控制的组织与过程内部控制的组织与过程4第一章第一章 内部控中的基本理论内部控中的基本理论v第一节第一节 基本概念基本概念v第二节第二节 历史演进历史演进v第三节第三节 动因分析动因分析v第
9、四节第四节 基本原理基本原理v第五节第五节 内控性质内控性质2022-5-2010第一节第一节 内部控制的基本概念内部控制的基本概念v一、控制与内部的概念一、控制与内部的概念 控制(“控制”一词最初来源于希腊语“掌舵术”。意指领航者通过发号施令将偏离航线的船只拉回正常轨道) 即驾驭、支配 使人类活动处于掌握、支配之中,不超出一定的范围和界限,达到某种目标 韦伯词典:降低频率或严重性到无害水平 现代管理学:控制即操作、管理、指挥、调节等。 对控制理解的关键点表明控制是有界限的控制离不开目标的约束控制是波动的2022-5-2011一、控制与内部的概念一、控制与内部的概念v内部内部 韦伯词典: 位于
10、某事物的范围之内或表面 和一个有组织的机构俱乐部、公司或政府相关 蝴蝶效应 啤酒游戏牛鞭效应 内部控制可以超越组织,包括采购服务这样的流程2022-5-2012 二、内部控制的概念:多维视角二、内部控制的概念:多维视角v 美国职业会计师协会美国职业会计师协会审计程序委员会(审计程序委员会(1988):): 定义:为了对实现特定公司目标提供合理保证,而建立的一系列政策和程序。(SAS55审计准则说明书) 要素:控制环境、会计系统、控制程序v 世界最高审计机关组织(世界最高审计机关组织(INTOSAI)内部控制准则委员会)内部控制准则委员会(1992年颁布,2004修订) 内部控制是一个整体过程,
11、它受到一个实体管理和人员的影响,它被设计用来警示风险并对达到实体目标提供合理保证,其要取得以下一般目标: 有序的执行,合乎道德的、经济的、高效的和有效的运营; 履行受托责任和义务; 保护资源,防止损失、滥用和损坏。2022-5-2013二、内部控制的概念:二、内部控制的概念:多维视角多维视角vTreadway 小组(小组(COSO报告)(报告)(1992) 定义:“内部控制系为达成某些目标而设计的过程”;即内部控制是一种由企业董事会、管理阶层与其他人员执行,由管理人员阶层所设计为达成营运的效果及效率,财务报告的可靠性和相关法令的遵循提供合理保证的过程。(Committee Of Sponsor
12、ing Organization of the Treadway Commission,即COSO)v中华人民共和国财政部(中华人民共和国财政部(2001) 定义:为了提高会计信息质量,保护资产的安全、完整,确保有关法律、法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。2022-5-2014二、内部控制的概念:二、内部控制的概念:多维视角多维视角v COSO报告(报告(2004年企业风险管理框架年企业风险管理框架 ERM) COSO认为,内部控制是风险管理的一部分,企业风险管理框架是在内部控制整体架构基础上发展而来的,内部控制与风险管理有着密切的联系。 “企业风险管理是一个
13、过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。”2022-5-2015二、内部控制的概念:二、内部控制的概念:多维视角多维视角vCOSO报告(报告(2004年企业风险管理框架年企业风险管理框架 ERM) ERM框架对内部控制的定义明确了以下内容: 1.是一个过程;2.被人影响;3.应用于战略制定;4.贯穿整个企业的所有层级和单位;5.旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;6.合理保证;7.为了实现各类目标。对比COSO19
14、92年的定义,ERM概念要细化得多。由于新COSO报告提出了风险偏好、风险容忍度等概念,使得ERM的定义更加明确、具体。2022-5-2016二、内部控制的概念:二、内部控制的概念:多维视角多维视角vCOSO报告(报告(2004年企业风险管理框架年企业风险管理框架 ERM)风险管理的目标ERM认为风险管理的目标有:战略目标与使命相关联并支撑其使命;经营目标有效和高效率地利用其资源;报告目标报告的可靠性;合规性目标企业经营符合相关法律法规的规定。ERM整体框架中除了经营目标和合规性目标与内部控制整体框架相似以外,还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定
15、为“编制可靠的公开财务报表,包括中期和简要财务报表以及从这些财务报表中摘出的数据,如利润分配数据”;新报告则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”,该目标涵盖了企业的所有报告。除此之外,新COSO报告提出了一类新的目标战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。 2022-5-2017二、内部控制的概念:二、内部控制的概念:多维视角多维视角vCOSO报告(报告(2004年企业风险管理框架年企业风险管理框架 ERM)风险管理的目标ERM认为风险管理的目标有:战略目标与使命相关联并支撑其使命;经营目标有
16、效和高效率地利用其资源;报告目标报告的可靠性;合规性目标企业经营符合相关法律法规的规定。ERM整体框架中除了经营目标和合规性目标与内部控制整体框架相似以外,还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表,包括中期和简要财务报表以及从这些财务报表中摘出的数据,如利润分配数据”;新报告则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”,该目标涵盖了企业的所有报告。除此之外,新COSO报告提出了一类新的目标战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
17、2022-5-2018二、内部控制的概念:二、内部控制的概念:多维视角多维视角v中国内部控制基本规范中国内部控制基本规范v(2008年五部委联合发布,财政部会同证监会、年五部委联合发布,财政部会同证监会、审计署、银监会、保监会)审计署、银监会、保监会) 本规范所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。 2022-5-2019二、内部控制的概念:多维视角二、内部控制的概念:多维视角v一般概念一般概念 全部控制论 内部控制是指企
18、业为了提高经营信息质量,提升经营效率和充分有效地获取和使用各种资源,在相关法律法规的要求下,达到既定的管理目标,而在内部实施的各种制约和调节的组织、计划、方法和程序。v实质(一种观点):实质(一种观点): 是一种管理体系 是现代分权管理的重要手段 是有效执行组织策略的必备工具2022-5-2020三、理解内部控制概念的关键点三、理解内部控制概念的关键点v内部控制的主体:由谁来实施内部控制?内部控制的主体:由谁来实施内部控制? 从系统论的角度分析,以“单位自我”的隔离线,内部控制的主体只能是企业内部人员。 高层管理者履行的主要是例外的、非程序性的控制, 中、低层管理者执行的主要是常规性、程序性的
19、控制活动。 策略控制、管理控制和作业控制2022-5-2021三、理解内部控制概念的关键点三、理解内部控制概念的关键点v内部控制的客体:内部控制的实施对象是?内部控制的客体:内部控制的实施对象是? 内部控制的客体是企业内部的基本要素人、财、物及其在生产经营过程中所形成的一系列组合关系和组合形式, 最终表现为单位的资金运动、物资运动和各业务活动信息处理过程,亦即整个组织的活动。 须加注意的是,内部控制的主体和客体的划分并不具有互斥性。2022-5-2022三、理解内部控制概念的关键点三、理解内部控制概念的关键点v内部控制目标,应达到什么样的目标或效果?内部控制目标,应达到什么样的目标或效果? 是
20、企业实施内部制定所要达到的标准 也是审计人员或社会中介机构评价企业内部控制系统的依据 v内部控制的方法和手段内部控制的方法和手段 为了实现组织内部控制的目标而采取的各项控制方法、制度和措施等。 这些手段具有制约、反馈和激励等功能。2022-5-2023有趣的理论:有趣的理论:混沌理论混沌理论v什么是混沌理论什么是混沌理论 研究复杂的、非线性的、动态的系统 著名假设:蝴蝶效应 经典例证:长期的天气预报是无效的v混沌理论的启示混沌理论的启示 无论内部控制的设计和实施多么好,也只能合理保证实体目标的实现。 不能依赖内部控制防止大的灾难发生? 理论上,具备好内部控制的组织,其发生灾难的可能性小 内控的
21、局限性 判断失误、执行偏差、管理层越权、合伙同谋、成本效益2022-5-2024影响内部控制的因素影响内部控制的因素v公司治理公司治理v价值创造价值创造v风险和机会风险和机会v法律法规法律法规v文化文化v技术技术v责任:责任: 私营部门的责任扩大和外部董事的介入 谁应该负责?2022-5-2025第二节第二节 内部控制的历史演进内部控制的历史演进2022-5-2026内部牵制阶段内部牵制阶段(20世纪世纪30年代及以前)年代及以前)(20世纪世纪40年代年代70年代)年代)内部控制制度阶段内部控制制度阶段(20世纪世纪80年代)年代)内部控制结构阶段内部控制结构阶段(20世纪世纪90年代)年代
22、) “内部控制整体框架内部控制整体框架”阶段阶段(21世纪开始至今)世纪开始至今) “企业风险管理框架企业风险管理框架”阶段阶段一、内部牵制阶段一、内部牵制阶段v内部牵制阶段内部牵制阶段(20世纪世纪30年代及以前)年代及以前) 理论假设 “一毫财赋之出入,数人耳目通焉” (朱熹:周礼理其财之所出) 18世纪产业革命后发展迅速 泰罗、法约尔等提出管理理论,促使内部牵制成熟 特点 目的: 查错防弊 手法:职务或责任分离、交互核对 主要控制:钱、账、物等会计事项2022-5-2027二、内部控制制度阶段二、内部控制制度阶段v内部控制制度阶段内部控制制度阶段(20世纪世纪40年代年代70年代)年代)
23、 1936年,美国会计师协会(AICPA前身)首次正式使用了“内部控制”这一专门术语 1938 麦克逊罗宾斯药材公司案促使审计关注内部控制 1949年,美国注册会计师协会(AICPA)审计程序委员会,第一次提出了内部控制的概念 ,但范围太广; 1950年,美国国会规定“各机关应负责对各种款项、财产及其他资产的有效控制,会计记载等应经由适当的内部稽核”。这是世界是第一次将内部控制列入政府法规 ; 1958年,美国AICPA 审计程序委员会将内部控制划分为 会计控制(Internal Accounting Control): 直接与保障财产和财务记录可靠性相关的所有方法和程序 管理控制(Inter
24、nal Administrative Control) 与经营效率和坚持经营政策相关 与保障财产和财务记录可靠性间接相关2022-5-2028麦克逊麦克逊罗宾斯药材公司案罗宾斯药材公司案v案件事实:案件事实: 人物: 公司总裁:有前科的诈骗犯 合谋者:总裁的三个兄弟 舞弊内容 虚构1000万存货和900万应收帐款 伪造供货商、销售代理及收款银行 对CPA的教训 没有调查总裁的背景 没有核实应收帐款和存货 对责任没有分离的风险缺乏评估2022-5-2029三、内部控制结构阶段三、内部控制结构阶段v内部控制结构阶段内部控制结构阶段(20世纪世纪80年代年代) 1988年AICPA又对内部控制进行了
25、重新定义,以“内部控制结构”的概念取代了“内部控制制度”。 指出“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序” 特点 三要素:控制环境、会计系统、控制程序早先认为控制环境是管理控制的子集 不区分会计控制和管理控制 理论体系形成2022-5-2030四、内部控制整体框架阶段四、内部控制整体框架阶段v“内部控制整体框架内部控制整体框架”阶段(阶段(20世纪世纪90年代)年代) 1992年9月,美国发起组织委员会(COSO)发布了纲领性文件Internal Control- Integrated Framework ,并于1994年和1996年进行了增补,这就是现在风
26、行世界的COSO报告。 COSO委员会指出:“内部控制是由企业董事会、经理阶层以及其他员工实施的,为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现而提供合理保证的过程”。 五要素: 控制环境、风险评估、控制活动、信息与沟通、监控2022-5-2031二、企业风险管理阶段二、企业风险管理阶段v企业风险管理阶段(企业风险管理阶段(21世纪以来)世纪以来) 2004年9月,COSO发布了企业风险管理整合框架(Enterprise Risk Management:Integrated Framework) 描述了适用于各类规模组织的企业风险管理的重要构成要素、原则与概念。 框
27、架集中关注风险管理,为董事会与管理层识别风险、规避陷阱、把握机遇进而增加股东价值提供了清晰的指南。 八要素: 内部环境、目标设定、事项识别、风险评估、风险反映、控制活动、信息与沟通、监控2022-5-203233第二章第二章 内部控制的构成要素内部控制的构成要素v根据根据COSO报告,内部控制的整体框架包括八个报告,内部控制的整体框架包括八个因素因素 内部环境(Internal Environment) 目标设定(Objective Setting) 事项识别(Event Identification) 风险评估(Risk Assessment) 风险反映(Risk Response) 控制活
28、动(Control Activities) 信息与沟通(Information and Communication) 监控 (Monitoring) 2022-5-2034一、内部环境(Internal Environment) v定义:定义:指公司管理层树立的风险观、建立的风险指公司管理层树立的风险观、建立的风险偏好及承受能力。企业的内部环境是其他所有风偏好及承受能力。企业的内部环境是其他所有风险管理要素的基础。险管理要素的基础。 重要概念: 风险偏好:是指企业在实现其目标的过程中愿意接受的风险的数量,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来,目的是帮助企业的管理者
29、在不同战略间选择与企业的风险偏好相一致的战略。2022-5-2035一、内部环境(Internal Environment) v内容内容 (1)员工的诚实性和道德观。 如有无描述可接受的商业行为、利益冲突、道德行为标准的行为准则; (2)员工的胜任能力。 如雇员是否能胜任质量管理要求; (3)董事会或审计委员会。 如董事会是否独立于管理层;2022-5-2036一、内部环境(Internal Environment)v内容内容 (4)管理理念和经营方式。 如管理层对管理与经营关系处理的态度; (5)组织结构。 如信息是否到达合适的管理阶层; (6)授予权利和责任的方式。 关键部门经理的职责是否
30、有充分规定; (7)人力资源政策和实施。 如是否有关于雇用、培训、提升和奖励雇员的政策。2022-5-2037二、目标设定(Objective Setting)v内涵内涵 指管理层根据企业的任务或预期,制定企业的战略目标,并在企业内层层分解和落实。 管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项,并进行相关识别。 企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定 的目标与企业的风险偏好相一致。2022-5-2038三、事项识别(Event Identification)v内涵内涵 事项识别即识
31、别对组织产生影响的潜在风险。v内容内容 包括内部和外部的反映潜在因素怎样影响战略执行和目标业绩的要素 也包括区别哪些是风险、哪些是机会以及风险和机会并存的事项。2022-5-2039四、风险评估(Risk Assessment)v内涵 指管理层分析对经营、财务报告、符合性目标有影响的内部或外部风险。 风险评估可以使管理者了解潜在事项如何影响企业目标的实现。 管理者应从两个方面对风险进行评估风险发生的可能性和影响。2022-5-2040四、风险评估(Risk Assessment)v重要概念重要概念 风险容忍度 指在企业目标实现过程中对差异的可接受程度 是企业在风险偏好的基础上设定的对相关目标实
32、现过程中所出现差异的可容忍限度 在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。2022-5-2041五、风险反应(Risk Response)v内涵:内涵: 指在公司战略和目标的指引下,管理层根据风险偏好和承受能力来选择方法考虑如何应对风险。规避风险规避风险减少风险减少风险共担风险共担风险接受风险接受风险2022-5-2042coso report 2004http:/ Activities) v 含义:含义: 指对所确认的风险采取必要的措施,以保证企业目标得以实现的政策和程序。Control activities are policies and pr
33、ocedures, which are the actions of people to implement the policies, directly or through application of technology, to help ensure that managements risk responses are carried out. Control activities can be categorized based on the nature of the entitys objectives to which they relate: strategic, ope
34、rations, reporting, and compliance.2022-5-2044六、控制活动(Control Activities) 类别类别 业绩评价 信息处理 实物控制 职责分离2022-5-2045六、控制活动(Control Activities) Categorization Top-level reviews Direct functional or activity management Information processing Physical controls Performance indicators Segregation of duties2022-5
35、-2046六、控制活动(Control Activities)v(一)业绩评价 是指将实际业绩与其他标准 如前期业绩、预算和外部基准尺度进行比较; 将不同系列的数据相联系 如经营数据和财务数据,对功能或运行业绩进行评价。2022-5-2047六、控制活动(Control Activities)v(二)信息处理 定义 指保证业务在信息系统中正确、完全和经授权处理的活动。 分类 一般控制General ControlsGeneral controls include controls over information technology management, information techn
36、ology infrastructure, security management, and software acquisition, development, and maintenance.2022-5-2048六、控制活动(Control Activities)v(二)信息处理 分类 应用控制 Application ControlsApplication controls focus directly on completeness, accuracy, authorization, and validity of data capture and processing. An im
37、portant objective of application controls is to prevent errors from entering the system, as well as to detect and correct errors once they are present.2022-5-2049六、控制活动(Control Activities)v(二)信息处理 分类 应用控制 Application Controls Balancing control activities Check digits Predefined data listings Data re
38、asonableness tests Logic tests2022-5-2050六、控制活动(Control Activities)v(三)实物控制 定义 也称为资产和记录接近控制,这些控制活动包括实物安全控制、寻计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。 实物控制中防止资产被窃的程序与财务报告的可靠性有关 。2022-5-2051六、控制活动(Control Activities)v(四)职责分离 定义指将各种功能性职责分离,以防止单独作业的雇员从事或隐藏不正常行为。 一般来说,下面的职责应被分开:业务授权业务执行业务记录对业绩的独立检查 理想状态的职责分离是,没有
39、一个职员负责超过一个的职能。 2022-5-2052六、控制活动(Control Activities)v(四)职责分离For instance, responsibilities for authorizing transactions, recording them, and handling the related asset are divided. A manager authorizing credit sales would not be responsible for maintaining accounts receivable records or handling cas
40、h receipts. Similarly, salespersons would not have the ability to modify product price files or commission rates.2022-5-2053七、信息与沟通(Information and Communication)v 定义 指为了使职员能执行其职责,企业必须识别、捕捉、交流外部和内部信息。v 外部信息 市场份额外负担 法规要求 客户投诉等信息。v 内部信息 会计制度,即由管理当局建立的记录和报告经济业务和事项、维护资产、负债和业主权益的方法和记录。 2022-5-2054七、信息与沟通
41、(Information and Communication)Operating information from internal and external sources, both financial and non-financial, is relevant to multiple business objectives. Financial information, for instance, is used in developing financial statements for reporting purposes, and also for operating decis
42、ions, such as monitoring performance and allocating resources. Reliable financial information is fundamental to planning, budgeting, pricing, evaluating vendor performance, assessing joint ventures and alliances, and a range of other management activities.2022-5-2055七、信息与沟通(Information and Communica
43、tion)v沟通沟通Communication is inherent in information systems.2022-5-20Open communication about the entitys risk appetite and risk tolerances is important, particularly for entities linked with others in supply chains or e-business enterprises. In such instances, management considers how its risk appet
44、ite and risk tolerances align with those of its business partners, ensuring it does not inadvertently accept too much risk through its partners.56七、信息与沟通(Information and Communication)v沟通沟通Communication is inherent in information systems.2022-5-20Communication to stakeholders, regulators, financial
45、analysts, and other external parties provides information relevant to their needs, so they can understand readily the circumstances and risks the entity faces. Such communication should be meaningful, pertinent, and timely,and conform to legal and regulatory requirements.57七、信息与沟通(Information and Co
46、mmunication)v沟通的内容沟通的内容 使员工了解其职责,保持对财务报告的控制。 它包括使员工了解在会计制度中他们的工作如何与他人相联系,如何对上级报告例外情况。v沟通的方式沟通的方式 政策手册 财务报告手册 备查簿 口头交流或管理示例等。2022-5-2058七、信息与沟通(Information and Communication)v沟通的内容沟通的内容 使员工了解其职责,保持对财务报告的控制。 它包括使员工了解在会计制度中他们的工作如何与他人相联系,如何对上级报告例外情况。v沟通的方式沟通的方式 政策手册 财务报告手册 备查簿 口头交流或管理示例等。2022-5-2059八、监控
47、(Monitoring) v定义定义 指评价内部控制质量的过程,即对内部控制运行及改进活动评价。v内容内容 包括内部审计和与企业外部人员、团体进行交流。 2022-5-2060八、监控(Monitoring) Monitoring can be done in two ways: through ongoing activities or separate evaluations. Enterprise risk management mechanisms usually are structured to monitor themselves on an ongoing basis, at
48、least to some degree. The greater the degree and effectiveness of ongoing monitoring, the less need for separate evaluations.A variety of evaluation methodologies and tools are available, including checklists, questionnaires, and flowcharting techniques.2022-5-2061角色和责任角色和责任(ROLES AND RESPONSIBILITI
49、ES) 所有在组织中的人都应承担相应的责任:所有在组织中的人都应承担相应的责任:vCEO承担承担“最终责任最终责任”;v其他的管理者和员工按风险偏好和风险容忍度支其他的管理者和员工按风险偏好和风险容忍度支持、执行企业的风险管理;持、执行企业的风险管理;v董事会对企业风险管理进行监督和指导;董事会对企业风险管理进行监督和指导;v外部的利益相关者为企业风险管理提供有益的信外部的利益相关者为企业风险管理提供有益的信息但他们并不为其负责。息但他们并不为其负责。2022-5-2062角色和责任角色和责任(ROLES AND RESPONSIBILITIES) Everyone in an entity
50、has some responsibility for enterprise risk management. The chief executive officer is ultimately responsible and should assume “ownership.” Other managers support the risk management philosophy, promote compliance with the risk appetite, and manage risks within their spheres of responsibility consi
