1、 有关企业内部控制与风险管理框架有关企业内部控制与风险管理框架设计及建立理论的探讨。设计及建立理论的探讨。总会计师协会(北京)总会计师协会(北京)-周国海教授周国海教授主讲。主讲。第一部分 内部控制的发展与演变一、内部控制的渊源和早期发展二、内部控制的初步形态:内部牵制三、内部控制理论和实践的分野四、内部控制的发展与演变五、国际上较有影响的内部控制准则或指南六、我国内部控制规范建设的情况一、内部控制的渊源和早期发展o 内部控制的渊源十分久远,自从有了人类的群体活动和组织之后,就会产生对组织的成员及其活动进行控制的需要 o 内部控制的发轫最早可以追溯到公元前3600年公元前3200年的苏美尔文化
2、时期 o 古埃及、古波斯、古希腊、古罗马和古代中国都有原始内部牵制制度的雏形 o 原始的内部牵制制度最早是为部落、城邦、庄园、国家服务的 o 中世纪资本主义生产关系萌芽,商业组织开始出现,内部牵制进入企业领域,开启了一个广阔的发展空间 o 控制(control)一词最早产生于17世纪,其原始含义是“由登记者之外的人对帐册进行的核对和检查”二、内部控制的初步形态:内部牵制o 内部控制是从内部牵制(internal check)的基础上发展起来的o 20世纪以前,盛行的观念和实务都停留在内部牵制阶段o 内部牵制的目的是纠错防弊,其前提性假设是:两个或多个人犯同一种错误的概率较小,两个或多个人串通舞
3、弊的可能性较小,难度较大o 内部牵制的基本思路是分工和牵制o 主要的牵制机能包括:分权牵制、实物牵制、机械牵制和簿记牵制 三、内部控制理论和实践的分野o 审计视角下的内部控制审计视角下的内部控制 20世纪以后,审计职业界出于摆脱全面查核、提高审计效率的考虑,开始关注内部控制 20世纪中叶,审计和内部控制的发展不断交织,进而互动和耦合,直接导致了制度基础审计模式的诞生 此后,内部控制逐渐确立了在审计中的地位,成为推动审计模式演变和探索审计理论与方法的重要因素之一 内部控制与审计的交叉和耦合,是推动内部控制理论与实践发展的最主要的力量o 管理视角下的内部控制管理视角下的内部控制 现代管理学说把控制
4、看作管理的一项核心职能,围绕着管理所展开的控制研究和实践,是内部控制发展的一个重要分支,我们一般把这个分支统称为管理控制 几乎所有的著名管理大师,包括法约尔、德鲁克、钱德勒、罗宾斯等,在他们的管理学著作中,都涉及到控制问题 围绕着管理控制,形成了自我控制论、控制过程论、控制系统论、控制动力论、生态控制论等多个分支 这个学派随着控制论、系统论和现代管理学的发展而不断发展 而专以控制研究而著称的前沿观点以哈佛大学西蒙斯教授的管理杠杆理论最具代表性 o 战略管理会计视角下的内部控制战略管理会计视角下的内部控制 随着现代管理会计的发展,战略管理会计学派的一个分支将组织内的控制系统区分为战略规划、管理控
5、制和作业控制三个层次 管理控制主要是多事业部制的公司对其战略业务单元(SBU)所进行的战略业绩考评和控制系统 这个学派的主要代表是哈佛大学的安东尼教授和卡普兰教授 四、内部控制的发展与演变o 内部控制阶段 1936,AIA,独立公共会计师对财务报表的检查,首次提出内部控制的概念 注册会计师在制定审计程序时,应考虑的一个重要因素是审查企业的内部牵制和控制,企业的会计制度和内部控制越健全,财务报表需要测试的范围就越小 内部控制是为了保护公司现金和其他资产,核对簿记的准确性,而在公司内部采用的手段和方法 1938年,麦克森罗宾斯事件:PW的审计程序中缺少对内部控制和会计处理程序的审查 1939年10
6、月,AIA审计程序委员会发布SAP1审计程序的扩展,首次增加内部控制审查的内容 1940年10月,SEC正式要求审计师在签署的审计报告中增加类似的内容 1949年,AIA审计程序委员会(CAP),内部控制:一个协调的系统要素及其对管理层和独立公共会计师的重要性,首次给出内部控制的权威定义 内部控制包括组织的计划和为了保护资产、核对会计资料准确性和可靠性、提高经营效率、以及促使遵循管理层所制定的各项政策所采取的各种方法和措施o 内部控制系统阶段 1958年10月,CAP发布了SAP29“独立审计师评价内部控制的范围”,将内部控制划分为会计控制和管理控制 1963年10月,CAP在SAP33“审计
7、准则与程序(汇编)”中强调:独立审计师应主要检查会计控制 1972年11月,SAP54“审计师对内部控制的研究与评价”,对管理控制和会计控制的定义进行了修订和充实 1972年11月,AudSEC 发布SAS1“审计准则和程序汇编”会计控制包括组织的计划和与保护资产和保证财务资料的可靠性有关的程序和记录 管理控制包括但不限于组织的计划和与管理层授权办理经济业务的决策过程有关的程序和记录 1977年,反国外腐败行为法案(FCPA),要求公众公司保持充分的内部会计控制,采纳SAS1的定义 1979年,SEC要求公众公司在年度报告中增加管理层报告,对公司内部会计控制是否为FCPA规定的内部控制目标提供
8、合理保证作出说明,并要求注册会计师进行审查、发表意见o 内部控制结构阶段 1988年4月,ASB发布SAS55“财务报表审计中对内部控制的考虑”,引入“内部控制结构”的概念 内部控制结构包括为合理保证企业特定目标的实现而建立的各项政策和程序 内部控制结构包括3个要素:控制环境,会计体系,控制程序o 内部控制整合框架阶段 1992年9月,COSO发布内部控制整合框架(1994年局部修订)COSO成立于1987年,是Treadway委员会(反欺诈财务报告全国委员会)的发起组织委员会,后者成立于1985年,由AICPA,AIA,IIA,FEI,IMA发起成立 内部控制的3个目标:经营的有效性和效率,
9、财务报告的可靠性,对适用法律法规的遵循 内部控制的5个构成要素:控制环境,风险评估,控制活动,信息与沟通,监控 1995年12月,ASB发布SAS78“财务报表审计中对内部控制的考虑:对SAS55的修正”,全面采纳COSO的内部控制框架 SOX404及相关规则采用的也是这个框架监控控 制 环 境风 险评 估控制活动信沟通息与沟通信息与o 企业风险管理整合框架:未来趋势?2004年9月,COSO正式发布企业风险管理整合框架 ERM的4个目标:战略,经营,报告,合规 ERM的8个构成要素:内部环境,目标设定,事项识别,风险评估,风险应对,控制活动,信息与沟通,监控内 部 环 境战 略目 标 设 定
10、事 项 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告合规 子公司业务单元分 部企业层次五、国际上较有影响的内部控制准则或指南o 国际上较有影响的内部控制框架、准则和指南 1美国,COSO,内部控制整合框架,1992年9月(1994年局部修订)(它是目前最有影响的框架性文件,是此后诸多准则、指南的蓝本。也是美国公认审计准则相关规定、SOX法案相关要求的主要参照)2美国,GAO(审计总署,2004年改名为政府问责署,简称仍为GAO),联邦政府内部控制准则,1999年11月(内部控制进入公共部门的代表性标志)3巴塞尔银行业监管委员会,银行业机构内部控制系统框架,199
11、8年9月(权威而影响广泛的金融机构内部控制国际指南)4英国,FRC(财务报告委员会),Turnbull内部控制指南,2005年10月修订(Turnbull内部控制指南最初由ICAEW(英格兰与威尔士特许会计师协会)于1999年发布)5加拿大,CoCo(控制标准委员会,隶属于加拿大特许会计师协会(CICA),控制指南,1995年o 与风险管理相结合的权威内部控制框架、准则和指南 1美国,COSO,企业风险管理整合框架,2004年9月 2英国,IRM(风险管理学会),AIRMIC(保险与风险管理师协会),ALARM(全国公共部门风险管理论坛),风险管理准则,2002年 3澳大利亚,新西兰,AS/N
12、ZS 4360,风险管理准则,2004年(最初的版本于1995年发布)4加拿大,CAN/CSA-Q850-97,风险管理指南,1997年10月 5南非,King委员会报告II,公司治理报告,2002年(其中包括内部控制和风险管理)6中国香港特别行政区,香港会计师公会(HKICPA),内部控制与风险管理基本框架,2005年6月 7日本,经济产业省风险管理与内部控制研究会,风险新时代的内部控制,2005年6月o 与信息技术相结合的权威内部控制准则和指南与信息技术相结合的权威内部控制准则和指南 1国际标准组织(ISO),ISO 17799,信息系统安全,2005年 2ISACA(信息系统审计与控制协
13、会),ITGI(IT治理协会),信息与相关技术的控制目标(COBIT),2003年(最初的版本于1996年发布)3IIARF(内部审计师协会研究基金会),系统可审计性与控制(SAC),最初于1991年发布,1994年修订六、我国内部控制规范建设的情况o 财政部内部会计控制规范2001年6月22日,内部会计控制规范基本规范(试行),内部会计控制规范货币资金(试行)2002年12月23日,内部会计控制规范采购与付款(试行),内部会计控制规范销售与收款(试行)2003年10月22日,内部会计控制规范工程项目(试行)2004年8月19日,内部会计控制规范担保(试行),内部会计控制规范对外投资(试行)o
14、 商业银行、保险机构内部控制指引 1997年5月16日,中国人民银行,加强金融机构内部控制的指导原则(已废止)2002年9月7日,中国人民银行,商业银行内部控制指引 2004年12月25日,中国银监会,商业银行内部控制评价试行办法 2005年2月28日,中国保监会,保险中介机构内部控制指引(试行)o 证券公司、基金公司内部控制指引 2001年1月31日,中国证监会,证券公司内部控制指引(已废止)2002年12月3日,中国证监会,证券投资基金管理公司内部控制指导意见 2003年12月15日,中国证监会,证券公司内部控制指引(修订)2006年6月30日,中国证监会,证券公司融资融券业务试点内部控制
15、指引 2007年2月13日,中国证监会,证券投资基金销售机构内部控制指导意见(征求意见稿)o 上市公司内部控制指引 2006年6月5日,上海证券交易所上市公司内部控制指引,自2006年7月1日起施行 2006年9月28日,深圳证券交易所上市公司内部控制指引,自2007年7月1日起施行 o 其他 2006年6月6日,国务院国有资产监督管理委员会,中央企业全面风险管理指引中央企业全面风险管理指引 2002年2月,中国注册会计师协会,内部控制审核指导意见o 2006年7月6日,财政部企业内部控制标准委员会成立 主席:王 军(财政部副部长)副主席:李小雪(中国证券监督管理委员会纪委书记)邵 宁(国务院
16、国有资产监督管理委员会副主任)秘书长:刘玉廷(财政部会计司司长)委员:29人o 2008年5月22日,财政部、证监会、审计署、银监会、保监会发布企业内部控制基本规范 自2009年7月1日起在上市公司范围内施行 鼓励非上市的大中型企业执行o 2010年4月26日,财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指引。o 该配套指引包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引,并规定自2011年1月1日起在境内外同时上市的公司执行,2012年1月1日起在上交所、深交所主板上市公司执行。o 指引连同此前发布的规范,标志着适合我国企业内部控制规范体系已基本
17、建成。o 内部控制标准体系 基本规范 应用指引 评价指引 审计指引o 需要面对的问题 企业内部控制基本规范与两个交易所上市公司内部控制指引之间的关系 企业内部控制基本规范与中央企业全面风险管理指引之间的关系第二部分 内部控制整合框架一、定 义二、控制环境三、风险评估四、控制活动五、信息与沟通六、监 控七、内部控制的局限八、职能与责任一、定 义o 内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程:经营的有效性和效率 财务报告的可靠性 遵循适用的法律和法规o 这个定义反映了一些基本概念:内部控制是一个一个过程过程。它是实现目的的手段,而不是目的本身 内
18、部控制由人员人员来实施。它并不仅仅是政策手册和表格,还涉及组织中各个层级的人员 只能期望内部控制为主体的管理层和董事会提供合理保证合理保证,而不是绝对保证 内部控制被用来实现一个或多个彼此独立又相互交叉的类别的目标目标o 内部控制的目标:经营(operations)目标与主体资源利用的有效性与效率有关 财务报告(financial reporting)目标与编制可靠的公开财务报表有关 合规(compliance)目标与主体对适用的法律和法规的遵循有关o 构成要素:控制环境控制环境(control environment)所有业务活动的核心都是人员他们的个人特性,包括诚信、道德价值观和胜任能力以
19、及他们进行经营所处的环境。他们是推动主体发展的引擎,也是所有事情依赖的基础 风险评估风险评估(risk assessment)企业必须了解和应对它所面临的风险。它必须设定目标,整合销售、生产、营销、财务和其他活动,以便使组织协调一致地运行。它还必须建立识别、分析和管理相关风险的机制 控制活动控制活动(control activities)必须确立和执行控制政策和程序,以帮助确保那些被管理层确认为对实现主体目标的风险而言所必需的活动得以有效地实施 信息与沟通信息与沟通(information and communication)围绕在这些活动周围的是信息与沟通系统。它们使主体的员工能够获得和交换
20、那些执行、管理和控制其运营所需的信息 监控监控(monitoring)必须对整个过程进行监控,并在必要时作出修改。这样,该体系才能作出动态反应,随着情况的需要而变化监控控 制 环 境风 险评 估控制活动信沟通息与沟通信息与o 目标和构成要素之间的关系:目标和构成要素之间有着直接的关系,目标是主体努力争取实现的东西,构成要素则代表着要实现这些目标需要什么 每个构成要素行都“贯穿”并适用于所有三类目标 所有五个构成要素与每一类目标都有关联 内部控制与整个企业相关,或与它的某一部分(子公司、分部或其他业务单元,或者职能或诸如购买、生产、营销等其他活动)相关 所有三类目标都需要信息以便有效地管理业务经
21、营,编制可靠的财务报表以及确定合规情况。目标和构成要素之间有着 直接的关系,目标是主体 努力争取实现的东西,构成要素则代表着 要实现这些 目标需 要什么。内部控制与整个企业相关,或者与它的一个或多个单元或活动相关。活活 动动 监监 控控 信信 息息 与与 沟沟 通通 控控 制制 活活 动动 风风 险险 评评 估估 控控 制制 环环 境境 经经 营营 财财 务务 报报 告告 合合 规规 活活 单单 单单 动动 元元 元元 所有五个构成要素都适用于经营目标,并且对它的实现十分重要。o 有效性 如果董事会和管理层能够合理保证以下三个方面,则内部控制可以在三类目标中任何一类上可分别被判断为有效:他们了
22、解主体的经营目标得以实现的程度 公布的财务报表被可靠地编制 适用的法律和法规得到了遵循 确定特定的内部控制体系是否有效是一种主观判断,它来自对五个构成要素是否存在并有效运行的评估 o 内部控制和管理过程管理活动管理活动内部控制内部控制主体层次目标设定使命,价值观陈述战略规划确立控制环境因素活动层次目标设定风险识别和分析风险管理实施控制活动信息识别、获取和沟通监控纠正措施VVVVV二、控制环境o 控制环境设定了一个组织的基调,影响其员工的控制意识o 它是内部控制的其他所有构成要素的基础,为其提供了秩序和结构o 控制环境的要素包括 诚信和道德价值观 对胜任能力的要求 董事会或审计委员会 管理层的理
23、念和经营风格 组织结构 权力和责任的分配 人力资源政策和实务 o 评评 价价 诚信和道德价值观诚信和道德价值观 存在并执行有关可接受的经营实务、利益冲突或期望的道德行为准则方面的行为守则和其他政策 涉及员工、供应商、客户、投资者、债权人、保险公司、竞争者和审计师等(例如,管理层是否在一个较高的道德水准上开展经营,坚持其他人也必须这样,或者不重视道德问题)达到不切实际的业绩目标尤其是短期成果的压力,以及薪酬于实现这些业绩目标挂钩的程度 对胜任能力的要求对胜任能力的要求 正式或非正式的岗位描述,或者其他界定构成特定岗位的任务的方式 对充分履行岗位职责所需要的知识和技能的分析董事会或审计委员会董事会
24、或审计委员会 独立于管理层,以便提出必要的问题,即使这些问题很困难或需要调查 与首席财务官和/或会计负责人、内部审计人员和外部审计师会谈的频率和及时性 向董事会或专门委员会成员提供信息的充分性和及时性,提供这些信息是为了获准监控管理层的目标和战略、企业的财务状况和经营成果,以及重大协议的条款 向董事会或审计委员会通报敏感信息、调查事项和不当行为(例如,高级官员的旅行费用、重大诉讼、监管机构的调查、贪污、受贿或滥用公司资产、违反内幕交易规则、政治性捐款、非法支付)的充分性和及时性 管理层的理念和经营风格管理层的理念和经营风格 承担的经营风险的性质,例如,管理层是否经常涉足风险特别高的投机活动,或
25、者对在承担风险方面极其保守 高级管理层和运营管理层之间互动的频率,尤其是在地理位置偏远的地区进行运营时 对财务报告的态度和行动,包括对会计处理方法运用的争议(例如,选择稳健的还是激进的会计政策;是否错用了会计原则,没有披露重要的财务信息,或者篡改或伪造记录)组织结构组织结构 主体组织结构的适当性,以及提供必要的信息流以便管理其活动的能力 关键管理人员责任界定的适当性,以及他们对这些责任了解的充分性 相对于其责任而言,关键管理人员知识和经验的充分性 权力和责任的分配权力和责任的分配 分配责任和授予权力以便实现组织宗旨和目标、经营职能和监管要求,包括对信息系统的责任和对变革的授权 与内部控制相关的
26、准则和程序的适当性,包括员工岗位描述 足够数量的具备与主体规模、活动和系统的性质和复杂程度相适应的必要技能的人员,尤其是与数据处理和会计职能有关的人员 人力资源政策和实务人力资源政策和实务 员工聘用、培训、晋升和薪酬方面的政策和程序制定到位的程度 为应对偏离既定政策和程序所采取的补救措施的适合性 对员工候选人的背景进行核查的充分性,尤其是当企业认为对其以前的行为或活动无法接受的情况下 员工保留和晋升标准以及信息收集方法(例如,业绩评价)的适当性,以及与行为守则和其他行为指南的关系三、风险评估o 每个主体都面临着来自外部和内部的必须予以评估的一系列风险o 风险评估的前提是设定在各个层次相互关联和
27、内在一致的目标o 风险评估是识别和分析影响目标实现的相关风险,为确定应该如何管理这些风险奠定基础o 目标 目标设定是风险评估的前提条件。必须首先有目标,管理层才能识别实现这些目标的风险,并采取必要的措施来管理风险 目标设定是管理过程的一个关键部分,尽管它不是内部控制的构成要素,但它是内部控制的先决条件和使能方法 目标的类别:经营目标,财务报告目标,合规目标 目标的交叉:保护资产o 风险 识别和分析风险的过程是一个持续的重复过程,它是有效的内部控制体系的关键构成要素 风险识别 主体层次:外部因素,内部因素 活动层次 风险分析 估计风险的严重性 评估风险发生的可能性(或频率)考虑如何管理风险即评估
28、需要采取何种措施 应对变化o 评 价 主体层次的目标 对主体目标充分陈述的程度,是否对主体期望实现的目标提供充分的指导,而且特定目标直接与该主体相关 向员工和董事会传达主体目标的有效性 主体目标与各种策略的关系和一致性 主体目标、战略计划和当前环境条件与经营计划和预算的一致性 活动层次的目标 活动层次目标与主体层次的目标和战略计划的关联度 活动层次目标之间的一致性 活动层次目标与所有重要的业务流程的相关性 活动层次目标的特异性 与目标相关的资源是否充足 识别对实现主体层次的目标来说是较重要的目标(关键成功因素)各级管理层参与目标设定,以及他们对实现目标履行诺言的程度 风险 识别外部因素造成风险
29、的机制是否足够全面 识别内部因素造成风险的机制是否足够全面 为每个重要的活动层次目标识别重大风险 风险分析流程(包括估计风险的重要性、评估风险出现的可能性并确定需要采取的行动)的彻底性和相关性 应对变化 是否存在各种机制去预测、识别并对影响实现主体或活动层次目标的日常事件或活动作出反应(通常由负责受该种变化影响最大的业务活动的管理人员来实施)是否存在各种机制去识别变化并对变化作出反应,这种变化会给主体带来巨大和渗透性影响而且可能还需要高级管理层的关注四、控制活动o 控制活动是指为确保管理层的指令得以贯彻执行的政策和程序o 它有助于确保采取必要的行动进行风险管理和保证主体层次的目标的实现o 控制
30、活动贯穿于主体的所有级别和职能部门o 它包括一系列不同的活动,如批准、授权、验证、核对、经营业绩评价、资产保全以及职责分离等o 控制活动的类型 高层复核 直接的职能活动或业务管理 信息处理 实物控制 业绩指标 职责分离o 对信息系统的控制 一般控制 数据中心操作控制 系统软件控制 接触安全控制 应用系统开发和维护控制 应用控制五、信息与沟通o 相关信息必须以某种形式和在一定时限内被识别、获得和传达沟通,以便可以使员工履行自己的责任o 信息系统生成含有与经营、财务和合规性有关信息的报告,从而使管理运作和控制主体成为可能o 信息系统不仅处理内部生成的数据,也处理有关外部事件、活动和条件状况的信息,
31、这些信息对有资料依据的主体的决策和外部报告都是必需的o 有效的沟通也必须广泛的进行,自上而下、自下而上地贯穿整个主体o 所有人员都要从高级管理层获得明确的信息:必须认真对待控制责任o 他们必须了解各自在内部控制体系中担任的职能,以及个人参与的控制活动与他人工作是如何相互关联的o 他们必须有自下而上传递重要信息的渠道和方法o 同时,也需要与外部各方如客户、供应商、监管机构和股东等建立有效的沟通o评价信息系统 获得外部和内部信息,向管理层提供必要的报告,说明与实现主体确立目标相关的主体业绩表现 向合适的人及时提供足够详细的信息,使他们能够有有效性和效率地履行其责任 依据一份信息系统战略计划(与主体
32、总体战略相关),发展或修改信息系统,使其为实现主体层次的目标及活动层次目标服务 通过承诺提供适当的人力财力资源显示管理层对发展必要的信息系统的支持 沟通系统 传达交流员工义务和控制责任的有效性 建立沟通渠道,使员工可以举报受到怀疑的不当行为 管理层对员工建议提高生产力、强化质量或其它相似改进的方法的接受程度 主体内部相互之间沟通是否足够(例如,采购活动与生产活动之间);信息的完整性和及时性以及是否足以使人们有效地履行其责任 与客户、供应商和其他外部有关方沟通交流不断变化的客户需求信息的渠道的开放性和有效性 外部各方已了解该主体道德准则的程度 管理层通过与客户、供应商、监管机构或其他外部有关方的
33、沟通,采取了及时和合适的跟进措施六、监 控o 对内部控制需要进行监控o 监控是一个评估内部控制体系在一定时期内运行质量的过程o 监控可以通过持续性的监控活动、个别评价或两者并用来实现这个过程o 持续性监控活动发生在经营的过程中,它包括日常管理和监控活动以及个人在履行其责任时采取的其他行动o 个别评价的范围和频率将主要取决于风险评估和持续性监控程序的有效性o 应自下而上汇报内部控制的缺陷,其中严重的问题应上报高级管理层和董事会o 持续性监控活动的例子 在执行常规管理活动时,负责运营的管理层获取内部控制持续发挥功能的证据 与外界各方的沟通能够印证内部生成的信息或揭示问题 适当的组织结构和监控活动可
34、监控内部控制职能的执行并识别内部控制的缺陷 将信息系统所记录的数据与实物资产相比较 内部及外部审计师定期为进一步加强内部控制的方法提供建议 培训研讨会、计划会议及其他会议可以向管理层提供有关内部控制是否有效的重要反馈 定期要求主体员工明确说明他们是否理解并遵守主体的员工行为守则 o 个别评价 个别评价内部控制的范围和频率主要取决于被控风险的重要性以及内部控制在减少风险中的重要性 内部控制自我评估 缺陷报告o 评 价 持续性监控在员工进行其日常活动中获得证据的程度,以此表明内部控制体系是否继续发挥作用与外部各方进行沟通确认内部生成的信息或指明问题的程度定期对会计系统记录的金额与实物资产进行核对对
35、内部和外部审计师建议增强内部控制手段的反应培训研讨会、计划会议及其他会议向管理层提供有关内部控制是否有效的重要反馈的程度是否定期要求员工说明他们是否理解并遵守主体的员工行为守则并且正常执行了关键控制活动内部审计活动的有效性。个别评价内部控制体系个别评价的范围和频率评价流程的适合性评价内部控制体系的方法是否合理、适当文件记录水平的适当性 报告缺陷是否有获取和报告识别出的内部控制缺陷的机制上报规程的适合性跟进行动的适合性七、内部控制的局限o 无论内部控制设计和运行的多完善,它也只能向管理层和董事会就实现主体目标提供合理保证o 实现主体目标的可能性受到所有内部控制体系的固有局限的影响,这些局限包括:
36、在决策时个人判断可能会出错 由于简单的误差或错误这样的失误而可能出现内部控制失效 两人或多人的串通也可以绕过内部控制 管理层能够凌驾于内部控制之上系统 另一个限制性因素是需要考虑内部控制的相对成本和收益八、职能与责任o 主体中每一个人都对内部控制负有责任o 管理层要为主体的内部控制体系负责o 首席执行官最终对内部控制体系负责并应承担内部控制体系“所有权”的责任o 尽管管理层的所有成员都发挥着重要作用并对控制他们各自部门的活动负责,但首席财务官和总会计师对管理层行使控制的方式起着主要的作用o 内部审计人员在内部控制体系持续有效性方面发挥着作用,但他们不承担建立和维持该系统的主要责任o 董事会和其
37、审计委员会对内部控制体系提供重要的监控o 外部有关方面(例如外部审计师)常常在实现主体目标方面发挥作用并提供在实施内部控制中有用的信息。但是,他们不是主体内部控制体系的一部分,也不对内部控制体系的有效性负责第三部分 企业风险管理整合框架一、定义二、内部环境三、目标设定四、事项识别五、风险评估六、风险应对七、控制活动八、信息与沟通九、监控十、职能与责任十一、企业风险管理的局限一、定义o 不确定性与价值不确定性与价值 企业风险管理的一个基本前提是每一个主体存在的目的都是为它的利益相关者提供价值 所有的主体都面临不确定性,对于管理层的挑战在于确定在追求增加利益相关者价值的同时,准备承受多少不确定性
38、o 事项事项风险与机会风险与机会 风险是一个事项将会发生并给目标实现带来负面影响的可能性 机会是一个事项将会发生并给目标实现带来正面影响的可能性o 企业风险管理的定义企业风险管理的定义 企业风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。o企业风险管理是:一个过程,它持续地流动于主体之内;由组织中各个层级人员实施;应用于战略制订;贯穿于企业,在各个层级和单元应用,还包括采取主体层级的风险组合观;旨在识别一旦发生将会影响主体的潜在事项,并把风险控
39、制在风险容量以内;能够向一个主体的管理层和董事会提供合理保证;力求实现一个或多个不同类型但相互交叉的目标它只是实现结果的一种手段,并不是结果本身。o 风险容量与风险容限 风险容量(risk appetite)是一个主体在追求价值的过程中所愿意承受的广泛意义的风险的数量。它反映了主体的风险管理理念,进而影响主体的文化和经营风格。风险容限(risk tolerance)是相对于实现一项具体目标而言,可以接受的偏离程度,它通常最好采用那些与度量相关目标相同的单位进行度量。o 四类目标 战略战略与高层次的目的相关,协调并支撑主体的目标;经营经营与利用主体资源的有效性和效率相关;报告报告与主体报告的可靠
40、性相关;合规合规与主体符合适用的法律和法规相关。o 企业风险管理的构成要素企业风险管理的构成要素 内部环境管理层确立关于风险的理念,并确定风险容量。内部环境为主体中的人们如何看待风险和着手控制确立了基础。所有企业的核心都是人他们的个人品性,包括诚信、道德价值观和胜任能力以及经营所处的环境。目标设定必须先有目标,管理层才能识别影响它们的实现的潜在事项。企业风险管理确保管理层采取恰当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相一致。事项识别必须识别可能对主体产生影响的潜在事项。事项识别涉及到从影响目标实现的内部或外部原因中识别潜在的事项。它包括区分代表风险的事项和
41、代表机会的事项,以及可能二者兼有的事项。机会被反馈到管理层的战略或目标制订过程中。风险评估要对识别的风险进行分析,以便形成确定应该如何对它们进行管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。风险应对员工识别和评价可能的风险应对,包括回避、承担、降低和分担风险。管理层选择一系列措施使风险与主体的风险容限和风险容量相协调。控制活动制订和实施政策与程序以帮助确保管理层所选择的风险应对得以有效实施。信息与沟通相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。有效
42、沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。员工获得有关他们的职能和责任的清晰的沟通。监控对企业风险管理进行全面监控,必要时加以修正。通过这种方式,它能够动态地反应,根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的个别评价或者两者相结合来完成。目标与构成要素之间的关系目标与构成要素之间的关系内 部 环 境战 略目 标 设 定事 项 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告合规 子公司业务单元分 部企业层次o 有效性有效性 尽管企业风险管理是一个过程,它的有效性却是在某个时点上的一种状态或情况 确定企业风险管理是否“有效”,是在对
43、八个构成要素是否存在和有效运行的评估的基础之上所作出的判断 如果这些构成要素存在且正常运行,那么就可能没有重大缺陷,而风险可能已经被控制在主体的风险容量以内o 涵盖内部控制涵盖内部控制 内部控制是企业风险管理不可分割的一部分 企业风险管理框架涵盖了内部控制,从而构建一个更强有力的概念和管理工具o 企业风险管理与管理过程企业风险管理与管理过程 企业风险管理是管理过程的一部分 但是并不是管理层所做的每一件事情都是企业风险管理的一部分 o 管理层在决策和相关的管理活动中所运用的许多判断,尽管是管理过程的一部分,但是并不是企业风险管理的一部分。例如:确保有一个恰当的目标设定过程是企业风险管理的一个重要
44、的构成要素,但是管理层所选定的特定目标并不是企业风险管理的一部分 根据对风险的恰当评估去应对风险是企业风险管理的一部分,但是所选定的具体风险应对和主体资源的相应配置却不是 确定和执行控制活动以帮助确保管理层选择的风险应对得以有效实施是企业风险管理的一部分,但是所选定的特定的控制活动却不是二、内部环境o 风险管理理念风险管理理念o 风险容量风险容量o 董事会董事会o 诚信与道德价值观诚信与道德价值观o 对胜任能力的要求对胜任能力的要求o 组织结构组织结构o 权力和职责的分配权力和职责的分配o 人力资源准则人力资源准则o 风险管理理念风险管理理念主体的风险管理理念代表着决定主体如何考虑所有活动中的
45、风险的共同的信念和态度它反映了主体的价值观,影响它的文化和经营风格它影响着如何应用企业风险管理的构成要素,包括如何识别事项、所承受的风险的类型,以及如何对它们进行管理它被很好地确立和理解,并为主体的员工所信奉它体现在政策描述、口头和书面沟通以及决策之中管理层不仅通过语言而且通过日常行动来强化这种理念o 风险容量风险容量 主体的风险容量反映了主体的风险管理理念,并且影响着文化和经营风格 它在战略制订的过程中予以考虑,使战略与风险容量相协调o 董事会董事会 董事会是积极的,它拥有一定程度的管理、技术和其他专长,并且具有履行其监督职责所需的思维方式 它准备质疑和仔细审查管理层的活动,提出不同的观点,
46、以及在遇到不当行为时采取行动 独立的外部董事至少占多数 它提供对企业风险管理的监督,并且知道和同意主体的风险容量o诚信与道德价值观诚信与道德价值观主体的行为准则反映了诚信和道德价值观道德价值观不仅通过有关什么是对的和错的的明确指南来进行沟通,而且是与其共存的诚信和道德价值观通过正式的行为守则予以沟通向上的沟通渠道存在于员工感觉带来相关信息很舒服的地方对于违反守则的员工进行处罚,鼓励员工报告可疑的违反行为的机制,并针对有意不报告违反行为的员工采取惩戒措施诚信和道德价值观通过管理层的行动和他们树立的榜样予以沟通o 对胜任能力的要求对胜任能力的要求 主体中的人员的胜任能力反映完成指定任务所需的知识和
47、技能 管理层要协调胜任能力和成本 o 组织结构组织结构 组织结构界定职责和责任的关键范围 它确立了报告的途径 确定组织结构要考虑主体的规模和活动的性质 它使有效的企业风险管理成为可能o 权力和职责的分配权力和职责的分配 权力和职责的分配确定了个人和团队被授权和鼓励采取行动去处理问题和解决问题的程度,它还为权力提供了限制 分配确立了报告关系和授权规程 描述恰当经营实务的政策,关键员工的知识和经验,以及相关的资源 个人知道他们的行动是如何相互关联的以及对实现目标的贡献o 人力资源准则人力资源准则 针对雇用、定位、培训、评价、指导、晋升、薪酬和补偿措施的准则,推动期望的诚信水平、道德行为和胜任能力
48、惩戒措施传递对期望行为的违反将不会被宽宥的信息三、目标设定o 战略目标战略目标 战略目标是高层次的目标,它与主体的使命/愿景相协调,并支持后者 战略目标反映了管理层就主体如何努力为它的利益相关者创造价值所作出的选择o 相关目标相关目标 经营目标这些目标与主体经营的有效性和效率有关,包括业绩和赢利目标和保护资源不受损失。它们因管理层对结构和业绩的选择而异。报告目标这些目标与报告的可靠性有关。它们包括内部和外部报告,可能涉及到财务和非财务信息。合规目标这些目标与符合相关法律和法规有关。它们取决于外部因素,在一些情况下对所有主体而言都很类似,而在另一些情况下则在一个行业内有共性。o 目标的交叉目标的
49、交叉 保护资产/资源o 目标的实现 报告和合规目标的实现更多的是在主体的控制范围之内 战略目标和经营目标的实现并不完全在主体的控制范围之内 对于战略和经营目标,企业风险管理能够合理保证管理层和履行监督职责的董事会及时地知悉主体实现这些目标的程度 四、事项识别o 事事 项项 事项是源于内部或外部的影响战略实施或目标实现的事故或事件 事项可能带来正面或负面影响,或者两者兼而有之o 影响因素影响因素 外部因素 内部因素o 外部因素 经济 自然环境 政治 社会 技术o 内部因素 基础结构 人员 流程 技术o 事项识别技术 事项目录(事项目录(event inventories)这些是一个特定行业内的公
50、司所共通的潜在事项或者不同行业之间所共通的特定过程或活动的详细清单。软件产品能够列出共性潜在事项的有关清单,一些主体利用它作为事项识别的出发点。例如,从事一项软件开发项目的公司编制了一份目录,详细列示了与软件开发项目有关的共性事项。内部分析(内部分析(internal analysis)它可以作为常规性经营规划循环过程的一部分来完成,典型的是通过一个业务单元的员工会议。内部分析有时利用来自其他利益相关者(客户、供应商、其他业务单元)的信息,或者针对具体问题征询外部专家(内部或外部职能机构的专家或内部审计师)的意见。例如,一家正在考虑引入一个新产品的公司利用它自己的历史经验以及外部市场调研来识别