1、风险管理主要框架分析和比较风险管理主要框架分析和比较页数 2页数 2目录目录123两个框架的比较分析两个框架的比较分析46企业风险管理框架企业风险管理框架内部控制整合框架内部控制整合框架内部控制的历史演进内部控制的历史演进页数 3页数 34040年代前年代前7070年代前年代前9090年代年代内部牵制内部牵制内部控制整体框架内部控制整体框架内部控制制度内部控制制度8080年代年代内部控制结构内部控制结构一、内部控制的概念及历史演变过程一、内部控制的概念及历史演变过程1.1.内部控制的发展过程内部控制的发展过程9090年代年代企业风险管理框架企业风险管理框架页数 4页数 4v第一阶段:内部牵制(
2、第一阶段:内部牵制(Internal check) v20世纪世纪40年代前年代前内部控制的萌芽内部控制的萌芽v主要特点:主要特点: 以以查错防弊查错防弊为目的。为目的。 以以职务分离职务分离和账务核对为方法。和账务核对为方法。 以钱、账、物等会计事项为主要控制对象。以钱、账、物等会计事项为主要控制对象。二、内部控制的概念及历史演变过程二、内部控制的概念及历史演变过程页数 5页数 5第一阶段:内部牵制第一阶段:内部牵制(Internal check) 内部牵制基于以下两个基本设想:内部牵制基于以下两个基本设想:(1)两个或两个以上的人或部门无意识的犯同样错误的)两个或两个以上的人或部门无意识的
3、犯同样错误的机会是很小的;机会是很小的;(2)两个或两个以上的人或部门有意识的合伙舞弊的可)两个或两个以上的人或部门有意识的合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。能性大大低于单独一个人或部门舞弊的可能性。实践证明这些设想是合理的,内部牵制机制却是有效的减实践证明这些设想是合理的,内部牵制机制却是有效的减少了错误和舞弊行为,因此在现代内部控制理论中,内部少了错误和舞弊行为,因此在现代内部控制理论中,内部牵制仍占重要的地位,成为有关组织机构控制、职务分离牵制仍占重要的地位,成为有关组织机构控制、职务分离控制的基础。控制的基础。二、内部控制的概念及历史演变过程二、内部控制的概念及历史
4、演变过程页数 6页数 6v第一阶段:内部牵制第一阶段:内部牵制(Internal check)v阶段特点:内部牵制是以不相容职务分离为主要内容阶段特点:内部牵制是以不相容职务分离为主要内容的流程设计,是内部控制的最初形式和基本形态。的流程设计,是内部控制的最初形式和基本形态。页数 7页数 7v第一阶段:内部牵制第一阶段:内部牵制(Internal check) v内部牵制的表现形式内部牵制的表现形式 实物牵制:由两个以上人员共同掌管必要的实物工具,共同实物牵制:由两个以上人员共同掌管必要的实物工具,共同完成一定程序的牵制。完成一定程序的牵制。 机械牵制:只有按照正确的程序操作机械,才能完成一定
5、过机械牵制:只有按照正确的程序操作机械,才能完成一定过程的操作。要求按牵制的原则进行程序设置,而且要求所有程的操作。要求按牵制的原则进行程序设置,而且要求所有的业务活动都要建立切实可行的办理程序。的业务活动都要建立切实可行的办理程序。 制度牵制:制度牵制:不相容职务相分离不相容职务相分离。对于每一项经济业务的处理。对于每一项经济业务的处理,都要求有二人或二人以上共同分工负责,以相互牵制,互,都要求有二人或二人以上共同分工负责,以相互牵制,互相制约。通过组织分工来实现。相制约。通过组织分工来实现。 簿记牵制:原始凭证与记账凭证、会计凭证与账簿、账簿与簿记牵制:原始凭证与记账凭证、会计凭证与账簿、
6、账簿与账簿、账簿与会计报表之间核对。账簿、账簿与会计报表之间核对。页数 8页数 8第二阶段:内部控制制度第二阶段:内部控制制度( (Internal Control)Internal Control) 20 20世纪世纪4040年代至年代至7070年代初年代初19361936年年AICPAAICPA发布的发布的注册会计师对财务报表的审查注册会计师对财务报表的审查文文告中,内部控制一词作为审计术语最早出现。告中,内部控制一词作为审计术语最早出现。19491949年美国审计程序委员会(年美国审计程序委员会(CPACPA)发布报告:)发布报告:内部控内部控制:系统协调的制度要素及其对管理层与注册会计
7、师的制:系统协调的制度要素及其对管理层与注册会计师的重要性重要性 ,首次对内部控制给出了权威性定义。,首次对内部控制给出了权威性定义。二、内部控制的概念及历史演变过程二、内部控制的概念及历史演变过程页数 9页数 9v“内部控制包括一个企业内部为内部控制包括一个企业内部为保护财产保护财产,检查会计检查会计信息的准确性信息的准确性,提高经营效率提高经营效率,推动企业坚持执行既推动企业坚持执行既定的管理方针定的管理方针而采取的组织机构的设计和所有相互协而采取的组织机构的设计和所有相互协调的方法与措施。调的方法与措施。”v“该定义可能要比这个术语所包含的意义来得更广泛该定义可能要比这个术语所包含的意义
8、来得更广泛,它承认一个内部控制制度,它承认一个内部控制制度已超出了直接与会计和财已超出了直接与会计和财务部门有关的内容务部门有关的内容范畴。范畴。”页数 10页数 10v1958年,美国审计程序委员会公告第年,美国审计程序委员会公告第29号,重新表号,重新表述了内控的定义,将内部控制划分为内部述了内控的定义,将内部控制划分为内部会计控制会计控制和和内部内部管理控制(管理控制(制度二分法)制度二分法) 会计控制:与财产安全和财务记录及其可靠性有直会计控制:与财产安全和财务记录及其可靠性有直接联系。包括如授权批准制度、从事财务记录和簿接联系。包括如授权批准制度、从事财务记录和簿记与从事经营或财产保
9、管职务分离的控制,财产的记与从事经营或财产保管职务分离的控制,财产的实物控制和内部审计。实物控制和内部审计。 管理控制:主要与经营效率和贯彻管理方针有关,管理控制:主要与经营效率和贯彻管理方针有关,通常只与财务记录有间接的关系。包括如统计分析通常只与财务记录有间接的关系。包括如统计分析、业绩报告、雇员培训计划和质量控制。、业绩报告、雇员培训计划和质量控制。页数 11页数 11v美国注册会计师协会审计准则委员会于美国注册会计师协会审计准则委员会于1972年年12月月公布公布审计准则公告第审计准则公告第1号号(SAS1),对内部控制,对内部控制定义如下:定义如下: 管理控制包括(但不限于)组织规划
10、以及管理当局进行经济业管理控制包括(但不限于)组织规划以及管理当局进行经济业务授权的决策过程有关的程序和记录。这种授权是与完成该组务授权的决策过程有关的程序和记录。这种授权是与完成该组织目标的职责直接有关的一种管理职能,是对经济业务建立会织目标的职责直接有关的一种管理职能,是对经济业务建立会计控制的起点。计控制的起点。 会计控制包括组织规划以及与保护财产安全和财务报表可靠性会计控制包括组织规划以及与保护财产安全和财务报表可靠性有关的程序和记录,因此它在设计上应能合理保证:有关的程序和记录,因此它在设计上应能合理保证:1.按管理当局的一般授权或特殊授权处理各项经济业务。按管理当局的一般授权或特殊
11、授权处理各项经济业务。2.经济业务的记录必须做到:编制财务报表要遵循公认会计原则经济业务的记录必须做到:编制财务报表要遵循公认会计原则,或适用于这些报表的其他标准,保持资产会计责任的记录。,或适用于这些报表的其他标准,保持资产会计责任的记录。3.只有经管理当局授权才能接近资产。只有经管理当局授权才能接近资产。4.在一定的间隔期间,将账面载明的资产要和实存资产进行核在一定的间隔期间,将账面载明的资产要和实存资产进行核对对,对发生的任何差异采取适当的措施。,对发生的任何差异采取适当的措施。页数 12页数 12v最高审计机关国际组织(最高审计机关国际组织(International Organiza
12、tion Of Supreme Audit Institutions)1986年发表的年发表的总声明总声明:v“内部控制作为完整的财务和其他控制体系,包括组内部控制作为完整的财务和其他控制体系,包括组织结构、方法程序和织结构、方法程序和内部审计内部审计。”页数 13页数 13v 国际内部审计师协会(国际内部审计师协会(IIA)在)在1947年首次将内部审计定义为:年首次将内部审计定义为:“内部审内部审计是建立在审查财务、会计和经营活动基础上的独立评价活动。它为管理计是建立在审查财务、会计和经营活动基础上的独立评价活动。它为管理提供保护性和建设性的服务,处理财务与会计问题,有时也涉及经营管理提供
13、保护性和建设性的服务,处理财务与会计问题,有时也涉及经营管理中的问题中的问题”。v 1957年,年,IIA针对当时内部审计实践的变化,在第一次定义的基础上将内针对当时内部审计实践的变化,在第一次定义的基础上将内部审计的职能扩大为部审计的职能扩大为“为管理提供服务,是一种衡量、评价其他控制有效为管理提供服务,是一种衡量、评价其他控制有效性的管理控制性的管理控制”。v 1971年,年,IIA对内部审计的第三次定义为:对内部审计的第三次定义为:“内部审计是建立在审查经营内部审计是建立在审查经营活动基础上的独立评价活动,并为管理提供服务,是一种衡量、评价其它活动基础上的独立评价活动,并为管理提供服务,
14、是一种衡量、评价其它控制有效性的管理控制控制有效性的管理控制”。v 1978年,年,IIA对内部审计的第四次定义为:对内部审计的第四次定义为:“内部审计是建立在组织内部内部审计是建立在组织内部为组织服务的独立评价活动。为组织服务的独立评价活动。”1990年,年,IIA对内部审计的第五次定义为对内部审计的第五次定义为:“内部审计是在一个组织内部建立的一种独立评价职能,目的是作为对内部审计是在一个组织内部建立的一种独立评价职能,目的是作为对该组织的一种服务工作,对其活动进行审查和评价。该组织的一种服务工作,对其活动进行审查和评价。页数 14页数 14v 1993年,年,IIA对内部审计的第六次定义
15、为:对内部审计的第六次定义为:“内部审计是在内部审计是在一个组织内部建立的一种独立评价活动,并作为对该组织的活一个组织内部建立的一种独立评价活动,并作为对该组织的活动进行审查和评价的一种服务。内部审计的目的是协助该组织动进行审查和评价的一种服务。内部审计的目的是协助该组织的管理成员有效地履行他们的职责。为此,内部审计向他们提的管理成员有效地履行他们的职责。为此,内部审计向他们提供与所审查的活动有关的分析、评价、建议、忠告和资料。内供与所审查的活动有关的分析、评价、建议、忠告和资料。内部审计的目的是促进有效地控制成本费用。部审计的目的是促进有效地控制成本费用。”v 1999年年IIA对内部审计的
16、第七次定义为:对内部审计的第七次定义为:“内部审计是一种内部审计是一种独立、客观的确认和咨询活动,旨在为增加价值和改善组织的独立、客观的确认和咨询活动,旨在为增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改进风险管理运营。它通过应用系统的、规范的方法,评价并改进风险管理、控制和治理过程的效果,帮助组织实现其目标。、控制和治理过程的效果,帮助组织实现其目标。” ” v 从从IIA的七次定义的变化可以发现,人们对内部审计的职能的的七次定义的变化可以发现,人们对内部审计的职能的认识从监督、评价再拓展到服务,从管理活动定位到控制活动认识从监督、评价再拓展到服务,从管理活动定位到控制活动
17、,再到价值活动,其服务对象也越来越广,从简单的财务、会,再到价值活动,其服务对象也越来越广,从简单的财务、会计活动延伸到了企业的经营活动计活动延伸到了企业的经营活动。页数 15页数 15v阶段特点:阶段特点:v将内部控制分为内部会计控制和内部管理控制。前者将内部控制分为内部会计控制和内部管理控制。前者着眼于保护猜测安全及会计记录的可靠性,后者着眼着眼于保护猜测安全及会计记录的可靠性,后者着眼于经营效率及确保贯彻既定的管理政策。于经营效率及确保贯彻既定的管理政策。页数 16页数 16第三阶段:内部控制结构第三阶段:内部控制结构( (Internal Control Structure)Inter
18、nal Control Structure) 2020世纪世纪7070年代年代-90-90年代初(三要素)年代初(三要素) 1988 1988年美国注册会计师协会发布年美国注册会计师协会发布审计准则公告第审计准则公告第5555号号,首次以,首次以“内部控制结构内部控制结构” 代替代替 “内部控制内部控制”,指出指出 “企业的内部控制结构包括为提供取得企业特定目企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序标的合理保证而建立的各种政策和程序”。 内部控制结内部控制结构包括:构包括:控制环境、会计制度、控制程序控制环境、会计制度、控制程序。二、内部控制的概念及历史演变
19、过程二、内部控制的概念及历史演变过程页数 17页数 17v控制环境控制环境(环境保证(环境保证) ):是对企业控制的建立和实施是对企业控制的建立和实施有重大影响的一组因素的统称。有重大影响的一组因素的统称。 v会计系统会计系统(核心(核心) ):是:是指公司为汇总、分析、分类、指公司为汇总、分析、分类、记录、报告业务处理的各种方法和记录。记录、报告业务处理的各种方法和记录。v控制程序控制程序(运行机制(运行机制) ):是:是指为合理保证公司目标实指为合理保证公司目标实现而建立的政策和程序。现而建立的政策和程序。页数 18页数 18v阶段特点:阶段特点:v1 1、控制环境被纳入内部控制的范围、控
20、制环境被纳入内部控制的范围v2 2、兼与会计控制与管理控制的不可分割线,不再区分、兼与会计控制与管理控制的不可分割线,不再区分会计控制和管理控制而同一以要素来表达。会计控制和管理控制而同一以要素来表达。页数 19页数 19COSO简介简介 COSO,是自愿是自愿性性的私人组织,致力于通过的私人组织,致力于通过强化商业道德、建立完善有效的内部控制强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。和法人治理结构以提高财务报告的质量。它从属于它从属于1985年成立的年成立的反虚假财务报告委反虚假财务报告委员会员会(也被称为也被称为Treadway委员会委员会)。 COSO由由美
21、国注册会计师协会美国注册会计师协会(AICPA)、内部审、内部审计协会计协会(IIA)、财务经理协会、财务经理协会(FEI)、美国会、美国会计学会计学会(AAA)、管理会计学会、管理会计学会(IMA)等多个等多个专业团体组成。专业团体组成。第四阶段:内部控制整体框架第四阶段:内部控制整体框架 (一定义、三目标、五要素)(一定义、三目标、五要素)( (Internal ControlInternal Control一一Integrated Framework )Integrated Framework )二、内部控制的概念及历史演变过程二、内部控制的概念及历史演变过程页数 20页数 20 COS
22、O定义的内部控制是:定义的内部控制是:内部控制是由公司董事会、管理层内部控制是由公司董事会、管理层和其他有关人员实施,为达到以下目标提供合理保证而设计的程序和其他有关人员实施,为达到以下目标提供合理保证而设计的程序(COSO及美国审计准则第及美国审计准则第319条条):与公司的基本经营目标相关,包括业与公司的基本经营目标相关,包括业绩和赢利性目标和资产的保护。绩和赢利性目标和资产的保护。与财务报告的编制相关,包括公开的与财务报告的编制相关,包括公开的中期报告和财务简报以及从报告提取中期报告和财务简报以及从报告提取的诸如收入等的财务数据的诸如收入等的财务数据与公司适用的法律和法规的遵守有关与公司
23、适用的法律和法规的遵守有关财务报告的可靠性财务报告的可靠性经营的效果和效率经营的效果和效率对法律法规的遵循性对法律法规的遵循性二、内部控制的概念及历史演变过程二、内部控制的概念及历史演变过程页数 21页数 211. 内部控制被定义为一个内部控制被定义为一个过程过程.2. 由组织的董事会、管理层和其它人员由组织的董事会、管理层和其它人员共同实施共同实施3. 被设计以提供被设计以提供合理保证合理保证.4. 有关以下目标的实现:有关以下目标的实现: 经营经营的效果(做对的事做对的事DO the right things)和效率(把事情做好把事情做好Do the things right) 财务报告财
24、务报告的可靠性 法律和法规法律和法规的遵从性页数 22页数 22v过程过程 内部控制并不是一个事项或一种情形,而是渗透到主体的活动内部控制并不是一个事项或一种情形,而是渗透到主体的活动中的一系列行为。中的一系列行为。 在组织中的各个单元或职能之内或跨组织单元或职能而实施的在组织中的各个单元或职能之内或跨组织单元或职能而实施的经营过程,都是通过规划、执行和监控等基本的管理过程来加经营过程,都是通过规划、执行和监控等基本的管理过程来加以管理的。内部控制使这些过程得以推行,并对他们的实施和以管理的。内部控制使这些过程得以推行,并对他们的实施和持续的关联性进行监控。持续的关联性进行监控。 嵌入式的控制
25、有助于降低成本和缩短反应时间。嵌入式的控制有助于降低成本和缩短反应时间。页数 23页数 23v人员人员 内部控制是由主体的董事会、管理层和其他人员实施的。人员制内部控制是由主体的董事会、管理层和其他人员实施的。人员制定主体的目标,并将控制机制付诸实施。定主体的目标,并将控制机制付诸实施。 同时,内部控制也会影响人员的行动。同时,内部控制也会影响人员的行动。 人们必须知道他们的责任和权限。人员需要把他们所承担的责任人们必须知道他们的责任和权限。人员需要把他们所承担的责任与他们履行这些责任的方式,以及企业的目标明确而密切的联系与他们履行这些责任的方式,以及企业的目标明确而密切的联系起来。起来。 董
26、事主要提供监督,但是也提供指导,并审批特定的交易和政策董事主要提供监督,但是也提供指导,并审批特定的交易和政策。董事会是内部控制的一个重要元素。董事会是内部控制的一个重要元素。页数 24页数 24v合理保证合理保证 目标实现的可能性受到所有内部控制都存在的固目标实现的可能性受到所有内部控制都存在的固有局限的影响:有局限的影响: 决策中的人为判断可能是错误的决策中的人为判断可能是错误的 负责建立控制的人员需要考虑相应的成本和效益负责建立控制的人员需要考虑相应的成本和效益 可能会由于简单的误差或错误等人为失误而发生故可能会由于简单的误差或错误等人为失误而发生故障障 控制会因为两个或更多人的串通而被
27、规避控制会因为两个或更多人的串通而被规避 管理层具有凌驾于内部控制体系之上的能力管理层具有凌驾于内部控制体系之上的能力合理保证合理保证页数 25页数 25v目标目标 主体的目标通常被分为三类:主体的目标通常被分为三类: 经营经营(operation)目标目标与主体资源利用的有效性与主体资源利用的有效性和效率有关和效率有关 财务报告财务报告(financial reporting)目标目标与编制可靠与编制可靠的公开财务报表有关的公开财务报表有关 合规合规(compliance)目标目标与主体符合适用的法律与主体符合适用的法律和法规有关和法规有关 以上三类目标互相区别又彼此交叉,根据不同的需要,可
28、能是以上三类目标互相区别又彼此交叉,根据不同的需要,可能是不同管理人员的直接责任。不同管理人员的直接责任。 内部控制可以对财务报告目标与合规目标的实现提供合理保证内部控制可以对财务报告目标与合规目标的实现提供合理保证;但对经营目标而言,内部控制只能就管理层以及履行监督职;但对经营目标而言,内部控制只能就管理层以及履行监督职能的董事会能的董事会及时了解该主体朝着它们迈进的程度及时了解该主体朝着它们迈进的程度进行合理保证进行合理保证。页数 26页数 26v控制环境控制环境(基础)(基础)v风险评估风险评估(依据)(依据)v控制活动控制活动 (手段)(手段)v信息与沟通信息与沟通(载体)(载体)v监
29、督监督(保证)(保证)内部控制整合框架内部控制整合框架(五要素五要素)页数 27页数 27COSO内控框架五要素内控框架五要素控制活动控制活动 确保管理活动付诸实确保管理活动付诸实施的政策施的政策/ /流程。流程。措施包括审批、授权措施包括审批、授权、确认、建议、业绩、确认、建议、业绩考核、资产安全和职考核、资产安全和职责分离。责分离。监督监督不断评估内部控制系统的表现。不断评估内部控制系统的表现。整合实时和独立的评估。整合实时和独立的评估。管理层和监督活动。管理层和监督活动。 内部审计工作。内部审计工作。控制环境控制环境 营造单位气氛让公司员工建立内部营造单位气氛让公司员工建立内部控制。控制
30、。因素包括正直,道德价值,能力,权因素包括正直,道德价值,能力,权威和责任。威和责任。是其他内部控制组成部分的基础。是其他内部控制组成部分的基础。信息和沟通信息和沟通及时地获取,确定并交流相关的及时地获取,确定并交流相关的信息。信息。从内部和外部获取信息。从内部和外部获取信息。使得形成从职责方面的指示到管使得形成从职责方面的指示到管理层有关管理行动的发现总结等理层有关管理行动的发现总结等各方面各类内部控制成功的措施各方面各类内部控制成功的措施的信息流。的信息流。风险评估风险评估 风险评估是为了达风险评估是为了达到企业目标而确认到企业目标而确认和分析相关的风险和分析相关的风险- -形成内部控制活
31、动形成内部控制活动的基础。的基础。监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境经经运运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1最为广泛认可的内部控制整体框架国际标准最为广泛认可的内部控制整体框架国际标准页数 28页数 2828COSO控制框架:控制环境控制框架:控制环境控制环境确定影响员工控制意识的组织的控制环境确定影响员
32、工控制意识的组织的“基调基调”。监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1例如例如:目标的实现是行政人员人事管理计划的关键部分。目标的实现是行政人员人事管理计划的关键部分。明确和定期的沟通以及高级行政人员明确和定期的沟通以及高级行政人员个人承诺将努力建个人承诺将努力建立立“高级管理层的基调高级管理层的基调”。有高层管理人员对各种情形负责,以表示这个项目的重有高层管理人员对各种情形负责,以表示这个项目的重要性要性业务管理层和高级管理层之间的会议加强了信息共享和业务管理层和
33、高级管理层之间的会议加强了信息共享和问题解决的紧迫性。问题解决的紧迫性。内部审计的参与反应了高级管理层的关注和控制能力。内部审计的参与反应了高级管理层的关注和控制能力。管理层决策反应了其对适当的控制环境的承诺。管理层决策反应了其对适当的控制环境的承诺。页数 29页数 2929COSO控制框架:风险评估控制框架:风险评估风险评估是指识别和分析影响目标实现的风险,帮助确定如何进行风险评估是指识别和分析影响目标实现的风险,帮助确定如何进行风险管理。风险管理。监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位
34、位B活活动动2活活动动1例如:例如:评估未实现目标的风险并确定高风险领域。制定改进计划评估未实现目标的风险并确定高风险领域。制定改进计划以控制高风险领域。并且风险评估应该被及时更新。以控制高风险领域。并且风险评估应该被及时更新。如果适当的话,未实现目标的风险应该与成本(包括潜在如果适当的话,未实现目标的风险应该与成本(包括潜在惩罚、公众形象等)平衡。惩罚、公众形象等)平衡。所有级别的管理层都应该参与风险识别和目标确定所有级别的管理层都应该参与风险识别和目标确定。页数 30页数 3030COSO 控制框架:控制活动控制框架:控制活动v 控制活动是指为保证采取适当行动以控制与组织目标实现相关的控制
35、活动是指为保证采取适当行动以控制与组织目标实现相关的风险而制定的政策和程序。风险而制定的政策和程序。监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1控制控制目标包括:目标包括: 完整性:所有的信息被输入并处理,且仅完整性:所有的信息被输入并处理,且仅被处理被处理一次。一次。 准确性:信息(包括静态数据)被正确的输入和处理准确性:信息(包括静态数据)被正确的输入和处理. . 有效性:有效性:交易和更新经过适当的人员的授权和批准。存交易和更新经过适当的人员的授权和批准。存在有效的
36、源文件以支持交易。在有效的源文件以支持交易。 接触的限制:只有适当的人员可以对信息进行修改。公接触的限制:只有适当的人员可以对信息进行修改。公司资产被适当的保护,以防止被窃或滥用。司资产被适当的保护,以防止被窃或滥用。页数 31页数 3131相关的信息应该被确定和适当地沟通以保证员工承担其责任并采取相关的信息应该被确定和适当地沟通以保证员工承担其责任并采取适当的行动。适当的行动。COSO控制框架:信息与沟通控制框架:信息与沟通监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1例
37、如:例如:信息共享,例如通过组织内各个级别的管理人员的信息共享,例如通过组织内各个级别的管理人员的沟通,建立一种共同责任的意识。沟通,建立一种共同责任的意识。管理层管理层明确定义每名员工的责任并向他们沟通。明确定义每名员工的责任并向他们沟通。建立管理层内部和与外部各方的适当的定期沟通的建立管理层内部和与外部各方的适当的定期沟通的流程。流程。建立目标和标准以衡量和督促及时采取改进行动。建立目标和标准以衡量和督促及时采取改进行动。页数 32页数 3232COSO 控制框架:监控控制框架:监控v监控是不断评估内部控制系统质量的流程,包括日常管监控是不断评估内部控制系统质量的流程,包括日常管理和监管活
38、动。理和监管活动。监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1例如例如:负责人明确的定义并定期的审核与其职责相负责人明确的定义并定期的审核与其职责相联系的重要事件及其时间进程以保证计划被联系的重要事件及其时间进程以保证计划被适当的执行,以及是否采取了适当的改进行适当的执行,以及是否采取了适当的改进行动(如果需要)。动(如果需要)。高级管理层要求相关负责人员进行进度评估高级管理层要求相关负责人员进行进度评估以确定负责人员是否考虑了风险和改进机会。以确定负责人员是否考虑了风险
39、和改进机会。定期对内部控制环境进行独立评估定期对内部控制环境进行独立评估。页数 33页数 33内部控制的构成要素内部控制的构成要素页数 34页数 3434内部控制成熟性模型内部控制成熟性模型信息处理和信息生成的信息处理和信息生成的可靠性和完整性可靠性和完整性错误或错报错误或错报的风险的风险最优化的内最优化的内部控制部控制阶段阶段5不可依赖的不可依赖的内部控制内部控制阶段阶段1非正式的内非正式的内部控制部控制阶段阶段2标准化的内标准化的内部控制部控制阶段阶段3受监控的内受监控的内部控制部控制阶段阶段4页数 35页数 35理论贡献理论贡献v1.营造了一个可以共同理解的概念平台,有力地促进营造了一个
40、可以共同理解的概念平台,有力地促进了内部控制思想的沟通和交流。了内部控制思想的沟通和交流。v2.提供了一套完整的内部控制评价标准。提供了一套完整的内部控制评价标准。v3.首次将内部控制从平面结构发展为立体框架结构。首次将内部控制从平面结构发展为立体框架结构。v4.提出内部控制的本质是合理保证实现特定目标的过提出内部控制的本质是合理保证实现特定目标的过程。程。v5.首次将风险评估、信息与沟通作为基本构成要素引首次将风险评估、信息与沟通作为基本构成要素引入内部控制领域。入内部控制领域。v6.对环境与人的重要性的强调前所未有。对环境与人的重要性的强调前所未有。页数 36页数 36第五阶段:企业风险管
41、理整合框架(一个定义、四项目标、八种要第五阶段:企业风险管理整合框架(一个定义、四项目标、八种要素)素) 2004 2004年,年,COSO COSO 委员会已经认识到对企业风险管理概念性指南的委员会已经认识到对企业风险管理概念性指南的需要,因而该委员会发起了一个建立一个概念性的、适当的风险管需要,因而该委员会发起了一个建立一个概念性的、适当的风险管理框架理框架( (Enterprise Risk Management FrameworkEnterprise Risk Management Framework ) )的计划,旨在支持企业建立或评判企业风险管理过程的项目提供完的计划,旨在支持企业
42、建立或评判企业风险管理过程的项目提供完整的原则、能用的术语和实务操作指南。整的原则、能用的术语和实务操作指南。定义:定义:企业风险管理是一个由企业的董事会、管理层和其他员工共企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。风险的,为企业目标的实现提供合理保证的过程。二、内部控制的概念及历史演变过程二、内部控制的概念及历
43、史演变过程页数 37页数 37v风险管理四项目标风险管理四项目标与高层次的目的相关,协调并支撑主与高层次的目的相关,协调并支撑主体的目标体的目标与利用主体资源的有效性和效率相关与利用主体资源的有效性和效率相关与主体报告的可靠性相关与主体报告的可靠性相关经营目标经营目标战略目标战略目标报告目标报告目标合规目标合规目标与主体符合适用的法律和法规相关与主体符合适用的法律和法规相关页数 38页数 38v风险管理框架包括八大要素:由内部控制转向风险管风险管理框架包括八大要素:由内部控制转向风险管理理 内部环境内部环境 目标设定目标设定 事项识别事项识别 风险评估风险评估 风险反映风险反映 控制活动控制活
44、动 信息与沟通信息与沟通 监控监控企业风险管理整合框架阶段企业风险管理整合框架阶段页数 39页数 3939企业风险管理整合框架:企业风险管理整合框架:内部环境内部环境管理层确立关于风险的理念,并确定风险容管理层确立关于风险的理念,并确定风险容量。内部环境为主体中的人们如何看待风险量。内部环境为主体中的人们如何看待风险和着手控制确立基础,所以企业的核心都是和着手控制确立基础,所以企业的核心都是人人他们的个人品性,包括诚信、道德价他们的个人品性,包括诚信、道德价值观和胜任能力值观和胜任能力以及经营所处的环境。以及经营所处的环境。页数 40页数 4040企业风险管理整合框架:企业风险管理整合框架:目
45、标制定目标制定必须现有目标,管理层才能识别影必须现有目标,管理层才能识别影响他们的实现的潜在事项。企业风响他们的实现的潜在事项。企业风险管理确保管理层采取恰当的程序险管理确保管理层采取恰当的程序去设定目标,确保所选定的目标支去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它持和切合该主体的使命,并且与它的风险容量相一致。的风险容量相一致。页数 41页数 4141企业风险管理整合框架:事项识别企业风险管理整合框架:事项识别必须识别可能对主体产生影响的潜在事项。必须识别可能对主体产生影响的潜在事项。事项识别涉及到从影响目标实现的内部或事项识别涉及到从影响目标实现的内部或外部原因中识别潜在
46、的事项。它包括区分外部原因中识别潜在的事项。它包括区分代表风险的事项和代表机会的事项,以及代表风险的事项和代表机会的事项,以及可能两者兼有的事项。机会被反馈到管理可能两者兼有的事项。机会被反馈到管理层的战略或目标制定过程中。层的战略或目标制定过程中。页数 42页数 4242企业风险管理整合框架:风险评估企业风险管理整合框架:风险评估例如例如要对识别的风险进行分析,以便形成确定要对识别的风险进行分析,以便形成确定应该如何对它们进行管理的依据。风险与应该如何对它们进行管理的依据。风险与可能被影响的目标相关联。既要对固有风可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,险进行
47、评估,也要对剩余风险进行评估,评估要考虑到风险的可能性评估要考虑到风险的可能性和影响。和影响。页数 43页数 4343企业风险管理整合框架:风险反映企业风险管理整合框架:风险反映例如例如员工识别和评价可能的风险应对,员工识别和评价可能的风险应对,包括回避、承担、降低和分担风险。包括回避、承担、降低和分担风险。管理层选择一系列措施使风险与风管理层选择一系列措施使风险与风险主体的风险容限和风险容量相协险主体的风险容限和风险容量相协调。调。页数 44页数 4444企业风险管理整合框架:控制活动企业风险管理整合框架:控制活动制定和实施政策与程序以帮助确保制定和实施政策与程序以帮助确保管理层所选择的风险
48、应对得以有效管理层所选择的风险应对得以有效实施。实施。页数 45页数 4545企业风险管理整合框架:信息与沟通企业风险管理整合框架:信息与沟通例如例如相关的信息以确保员工履行其职责相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟的方式和时机予以识别、获取和沟通。主体的各个层级都需要借助信通。主体的各个层级都需要借助信息来识别。评估和应对风险。有效息来识别。评估和应对风险。有效沟通的含义比较广泛,包括信息在沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。主体中的向下、平行和向上流动。员工获得有关他们的职能和责任的员工获得有关他们的职能和责任的清晰的沟通。清晰的沟通。页数
49、46页数 4646企业风险管理整合框架:监督企业风险管理整合框架:监督对企业风险管理进行全面监控,必要时加对企业风险管理进行全面监控,必要时加以修正,通过这种方式,他能够动态的反以修正,通过这种方式,他能够动态的反映,各级条件的要求而变化。监控通过持映,各级条件的要求而变化。监控通过持续的管理活动、对企业风险管理的专门或续的管理活动、对企业风险管理的专门或者两者相结合完成。者两者相结合完成。页数 47页数 47两个框架的比较分析两个框架的比较分析v (一)联系(一)联系v 1.从发展时序上从发展时序上v 企业风险管理框架是对内部控制整合框架的重要拓展和延伸,它企业风险管理框架是对内部控制整合框
50、架的重要拓展和延伸,它包含了内部控制整合框架的范围和内容。包含了内部控制整合框架的范围和内容。v 2.在目标上在目标上v 企业风险管理框架涵盖了内部控制整合框架中的经营效率效果、企业风险管理框架涵盖了内部控制整合框架中的经营效率效果、财务报告和合法性三个目标。财务报告和合法性三个目标。v 3. 在内容上在内容上v 企业风险管理框架的八要素包括了内部控制整合框架中的五个要企业风险管理框架的八要素包括了内部控制整合框架中的五个要素。素。v 4.在企业管理实践上在企业管理实践上v 内部控制是基础,风险管理只是建立在内部控制基础之上的、具有更高层内部控制是基础,风险管理只是建立在内部控制基础之上的、具