内部控制与风险管理框架.ppt

内部控制与风险管理框架,第一部分 内部控制的发展与演变,一、内部控制的渊源和早期发展 二、内部控制的初步形态：内部牵制 三、内部控制理论和实践的分野 四、内部控制的发展与演变 五、国际上较有影响的内部控制准则或指南 六、我国内部控制规范建设的情况,一、内部控制的渊源和早期发展,内部控制的渊源十分久远 ，自从有了人类的群体活动和组织之后，就会产生对组织的成员及其活动进行控制的需要 内部控制的发轫最早可以追溯到公元前3600年公元前3200年的苏美尔文化时期 古埃及、古波斯、古希腊、古罗马和古代中国都有原始内部牵制制度的雏形 原始的内部牵制制度最早是为部落、城邦、庄园、国家服务的,中世纪资本主义生产关系萌芽，商业组织开始出现，内部牵制进入企业领域，开启了一个广阔的发展空间 控制（control）一词最早产生于17世纪，其原始含义是“由登记者之外的人对帐册进行的核对和检查”,二、内部控制的初步形态：内部牵制,内部控制是从内部牵制（internal check）的基础上发展起来的 20世纪以前，盛行的观念和实务都停留在内部牵制阶段 内部牵制的目的是纠错防弊，其前提性假设是：两个或多个人犯同一种错误的概率较小，两个或多个人串通舞弊的可能性较小，难度较大 内部牵制的基本思路是分工和牵制 主要的牵制机能包括：分权牵制、实物牵制、机械牵制和簿记牵制,三、内部控制理论和实践的分野,审计视角下的内部控制 20世纪以后，审计职业界出于摆脱全面查核、提高审计效率的考虑，开始关注内部控制 20世纪中叶，审计和内部控制的发展不断交织，进而互动和耦合，直接导致了制度基础审计模式的诞生 此后，内部控制逐渐确立了在审计中的地位，成为推动审计模式演变和探索审计理论与方法的重要因素之一 内部控制与审计的交叉和耦合，是推动内部控制理论与实践发展的最主要的力量,管理视角下的内部控制 现代管理学说把控制看作管理的一项核心职能，围绕着管理所展开的控制研究和实践，是内部控制发展的一个重要分支，我们一般把这个分支统称为管理控制 几乎所有的著名管理大师，包括法约尔、德鲁克、钱德勒、罗宾斯等，在他们的管理学著作中，都涉及到控制问题,围绕着管理控制，形成了自我控制论、控制过程论、控制系统论、控制动力论、生态控制论等多个分支 这个学派随着控制论、系统论和现代管理学的发展而不断发展 而专以控制研究而著称的前沿观点以哈佛大学西蒙斯教授的管理杠杆理论最具代表性,战略管理会计视角下的内部控制 随着现代管理会计的发展，战略管理会计学派的一个分支将组织内的控制系统区分为战略规划、管理控制和作业控制三个层次 管理控制主要是多事业部制的公司对其战略业务单元（SBU）所进行的战略业绩考评和控制系统 这个学派的主要代表是哈佛大学的安东尼教授和卡普兰教授,四、内部控制的发展与演变,内部控制阶段 1936，AIA，独立公共会计师对财务报表的检查，首次提出内部控制的概念 注册会计师在制定审计程序时，应考虑的一个重要因素是审查企业的内部牵制和控制，企业的会计制度和内部控制越健全，财务报表需要测试的范围就越小 内部控制是为了保护公司现金和其他资产，核对簿记的准确性，而在公司内部采用的手段和方法,1938年，麦克森罗宾斯事件：PW的审计程序中缺少对内部控制和会计处理程序的审查 1939年10月，AIA审计程序委员会发布SAP1审计程序的扩展，首次增加内部控制审查的内容 1940年10月，SEC正式要求审计师在签署的审计报告中增加类似的内容,1949年， AIA审计程序委员会（CAP），内部控制：一个协调的系统要素及其对管理层和独立公共会计师的重要性，首次给出内部控制的权威定义 内部控制包括组织的计划和为了保护资产、核对会计资料准确性和可靠性、提高经营效率、以及促使遵循管理层所制定的各项政策所采取的各种方法和措施,内部控制系统阶段 1958年10月，CAP发布了SAP29 “独立审计师评价内部控制的范围”，将内部控制划分为会计控制和管理控制 1963年10月，CAP在SAP33“审计准则与程序（汇编）”中强调：独立审计师应主要检查会计控制,1972年11月，SAP54“审计师对内部控制的研究与评价”，对管理控制和会计控制的定义进行了修订和充实 1972年11月，AudSEC 发布SAS1“审计准则和程序汇编” 会计控制包括组织的计划和与保护资产和保证财务资料的可靠性有关的程序和记录 管理控制包括但不限于组织的计划和与管理层授权办理经济业务的决策过程有关的程序和记录,1977年，反国外腐败行为法案（FCPA），要求公众公司保持充分的内部会计控制，采纳SAS1的定义 1979年，SEC要求公众公司在年度报告中增加管理层报告，对公司内部会计控制是否为FCPA规定的内部控制目标提供合理保证作出说明，并要求注册会计师进行审查、发表意见,内部控制结构阶段 1988年4月，ASB发布SAS55“财务报表审计中对内部控制的考虑”，引入“内部控制结构”的概念 内部控制结构包括为合理保证企业特定目标的实现而建立的各项政策和程序 内部控制结构包括3个要素：控制环境，会计体系，控制程序,内部控制整合框架阶段 1992年9月，COSO发布内部控制整合框架（1994年局部修订） COSO成立于1987年，是Treadway委员会（反欺诈财务报告全国委员会）的发起组织委员会，后者成立于1985年，由AICPA，AIA，IIA，FEI，IMA发起成立,内部控制的3个目标：经营的有效性和效率，财务报告的可靠性，对适用法律法规的遵循 内部控制的5个构成要素：控制环境，风险评估，控制活动，信息与沟通，监控 1995年12月，ASB发布SAS78“财务报表审计中对内部控制的考虑：对SAS55的修正”，全面采纳COSO的内部控制框架 SOX404及相关规则采用的也是这个框架,企业风险管理整合框架：未来趋势？ 2004年9月，COSO正式发布企业风险管理整合框架 ERM的4个目标：战略，经营，报告，合规 ERM的8个构成要素：内部环境，目标设定，事项识别，风险评估，风险应对，控制活动，信息与沟通，监控,五、国际上较有影响的内部控制准则或指南,国际上较有影响的内部控制框架、准则和指南 1美国，COSO，内部控制整合框架，1992年9月（1994年局部修订）（它是目前最有影响的框架性文件，是此后诸多准则、指南的蓝本。也是美国公认审计准则相关规定、SOX法案相关要求的主要参照） 2美国，GAO（审计总署，2004年改名为政府问责署，简称仍为GAO），联邦政府内部控制准则，1999年11月（内部控制进入公共部门的代表性标志）,3巴塞尔银行业监管委员会，银行业机构内部控制系统框架，1998年9月（权威而影响广泛的金融机构内部控制国际指南） 4英国，FRC（财务报告委员会），Turnbull内部控制指南，2005年10月修订（Turnbull内部控制指南最初由ICAEW（英格兰与威尔士特许会计师协会）于1999年发布） 5加拿大，CoCo（控制标准委员会，隶属于加拿大特许会计师协会（CICA），控制指南，1995年,与风险管理相结合的权威内部控制框架、准则和指南 1美国，COSO，企业风险管理整合框架，2004年9月 2英国，IRM（风险管理学会），AIRMIC（保险与风险管理师协会），ALARM（全国公共部门风险管理论坛），风险管理准则，2002年 3澳大利亚，新西兰，AS/NZS 4360，风险管理准则，2004年（最初的版本于1995年发布）,4加拿大，CAN/CSA-Q850-97，风险管理指南，1997年10月 5南非，King委员会报告II，公司治理报告，2002年（其中包括内部控制和风险管理） 6中国香港特别行政区，香港会计师公会（HKICPA），内部控制与风险管理基本框架，2005年6月 7日本，经济产业省风险管理与内部控制研究会，风险新时代的内部控制，2005年6月,与信息技术相结合的权威内部控制准则和指南 1国际标准组织（ISO），ISO 17799，信息系统安全，2005年 2ISACA（信息系统审计与控制协会），ITGI（IT治理协会），信息与相关技术的控制目标（COBIT），2003年（最初的版本于1996年发布） 3IIARF（内部审计师协会研究基金会），系统可审计性与控制（SAC），最初于1991年发布，1994年修订,六、我国内部控制规范建设的情况,财政部内部会计控制规范 2001年6月22日，内部会计控制规范基本规范（试行），内部会计控制规范货币资金（试行） 2002年12月23日，内部会计控制规范采购与付款（试行），内部会计控制规范销售与收款（试行） 2003年10月22日，内部会计控制规范工程项目(试行) 2004年8月19日，内部会计控制规范担保（试行），内部会计控制规范对外投资（试行）,商业银行、保险机构内部控制指引 1997年5月16日，中国人民银行，加强金融机构内部控制的指导原则 （已废止） 2002年9月7日，中国人民银行，商业银行内部控制指引 2004年12月25日，中国银监会，商业银行内部控制评价试行办法 2005年2月28日，中国保监会，保险中介机构内部控制指引（试行）,证券公司、基金公司内部控制指引 2001年1月31日，中国证监会，证券公司内部控制指引 （已废止） 2002年12月3日，中国证监会，证券投资基金管理公司内部控制指导意见 2003年12月15日，中国证监会，证券公司内部控制指引 （修订） 2006年6月30日，中国证监会，证券公司融资融券业务试点内部控制指引 2007年2月13日，中国证监会，证券投资基金销售机构内部控制指导意见（征求意见稿）,上市公司内部控制指引 2006年6月5日，上海证券交易所上市公司内部控制指引 ，自2006年7月1日起施行 2006年9月28日，深圳证券交易所上市公司内部控制指引 ，自2007年7月1日起施行,其他 2006年6月6日，国务院国有资产监督管理委员会，中央企业全面风险管理指引 2002年2月， 中国注册会计师协会，内部控制审核指导意见,2006年7月6日，财政部企业内部控制标准委员会成立 主席：王 军（财政部副部长） 副主席：李小雪（中国证券监督管理委员会纪委书记） 邵 宁（国务院国有资产监督管理委员会副主任） 秘书长：刘玉廷（财政部会计司司长） 委员：29人,2008年5月22日，财政部、证监会、审计署、银监会、保监会发布企业内部控制基本规范 自2009年7月1日起在上市公司范围内施行 鼓励非上市的大中型企业执行,2010年4月26日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指引。 该配套指引包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引，并规定自2011年1月1日起在境内外同时上市的公司执行，2012年1月1日起在上交所、深交所主板上市公司执行。 指引连同此前发布的规范，标志着适合我国企业内部控制规范体系已基本建成。,内部控制标准体系 基本规范 应用指引 评价指引 审计指引,需要面对的问题 企业内部控制基本规范与两个交易所上市公司内部控制指引之间的关系 企业内部控制基本规范与中央企业全面风险管理指引之间的关系,第二部分 内部控制整合框架,一、定 义 二、控制环境 三、风险评估 四、控制活动 五、信息与沟通 六、监 控 七、内部控制的局限 八、职能与责任,一、定 义,内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程： 经营的有效性和效率 财务报告的可靠性 遵循适用的法律和法规,这个定义反映了一些基本概念： 内部控制是一个过程。它是实现目的的手段，而不是目的本身 内部控制由人员来实施。它并不仅仅是政策手册和表格，还涉及组织中各个层级的人员 只能期望内部控制为主体的管理层和董事会提供合理保证，而不是绝对保证 内部控制被用来实现一个或多个彼此独立又相互交叉的类别的目标,内部控制的目标： 经营（operations）目标与主体资源利用的有效性与效率有关 财务报告（financial reporting）目标与编制可靠的公开财务报表有关 合规（compliance）目标与主体对适用的法律和法规的遵循有关,构成要素： 控制环境（control environment）所有业务活动的核心都是人员他们的个人特性，包括诚信、道德价值观和胜任能力以及他们进行经营所处的环境。他们是推动主体发展的引擎，也是所有事情依赖的基础 风险评估（risk assessment）企业必须了解和应对它所面临的风险。它必须设定目标，整合销售、生产、营销、财务和其他活动，以便使组织协调一致地运行。它还必须建立识别、分析和管理相关风险的机制,控制活动（control activities）必须确立和执行控制政策和程序，以帮助确保那些被管理层确认为对实现主体目标的风险而言所必需的活动得以有效地实施 信息与沟通（information and communication）围绕在这些活动周围的是信息与沟通系统。它们使主体的员工能够获得和交换那些执行、管理和控制其运营所需的信息 监控（monitoring）必须对整个过程进行监控，并在必要时作出修改。这样，该体系才能作出动态反应，随着情况的需要而变化,目标和构成要素之间的关系： 目标和构成要素之间有着直接的关系，目标是主体努力争取实现的东西，构成要素则代表着要实现这些目标需要什么 每个构成要素行都“贯穿”并适用于所有三类目标 所有五个构成要素与每一类目标都有关联 内部控制与整个企业相关，或与它的某一部分（子公司、分部或其他业务单元，或者职能或诸如购买、生产、营销等其他活动 ）相关,有效性 如果董事会和管理层能够合理保证以下三个方面，则内部控制可以在三类目标中任何一类上可分别被判断为有效： 他们了解主体的经营目标得以实现的程度 公布的财务报表被可靠地编制 适用的法律和法规得到了遵循 确定特定的内部控制体系是否有效是一种主观判断，它来自对五个构成要素是否存在并有效运行的评估,内部控制和管理过程,二、控制环境,控制环境设定了一个组织的基调，影响其员工的控制意识 它是内部控制的其他所有构成要素的基础，为其提供了秩序和结构,控制环境的要素包括 诚信和道德价值观 对胜任能力的要求 董事会或审计委员会 管理层的理念和经营风格 组织结构 权力和责任的分配 人力资源政策和实务,评 价 诚信和道德价值观 存在并执行有关可接受的经营实务、利益冲突或期望的道德行为准则方面的行为守则和其他政策 涉及员工、供应商、客户、投资者、债权人、保险公司、竞争者和审计师等（例如，管理层是否在一个较高的道德水准上开展经营，坚持其他人也必须这样，或者不重视道德问题） 达到不切实际的业绩目标尤其是短期成果的压力，以及薪酬于实现这些业绩目标挂钩的程度,对胜任能力的要求 正式或非正式的岗位描述，或者其他界定构成特定岗位的任务的方式 对充分履行岗位职责所需要的知识和技能的分析,董事会或审计委员会 独立于管理层，以便提出必要的问题，即使这些问题很困难或需要调查 与首席财务官和/或会计负责人、内部审计人员和外部审计师会谈的频率和及时性 向董事会或专门委员会成员提供信息的充分性和及时性，提供这些信息是为了获准监控管理层的目标和战略、企业的财务状况和经营成果，以及重大协议的条款 向董事会或审计委员会通报敏感信息、调查事项和不当行为（例如，高级官员的旅行费用、重大诉讼、监管机构的调查、贪污、受贿或滥用公司资产、违反内幕交易规则、政治性捐款、非法支付）的充分性和及时性,管理层的理念和经营风格 承担的经营风险的性质，例如，管理层是否经常涉足风险特别高的投机活动，或者对在承担风险方面极其保守 高级管理层和运营管理层之间互动的频率，尤其是在地理位置偏远的地区进行运营时 对财务报告的态度和行动，包括对会计处理方法运用的争议（例如，选择稳健的还是激进的会计政策；是否错用了会计原则，没有披露重要的财务信息，或者篡改或伪造记录）,组织结构 主体组织结构的适当性，以及提供必要的信息流以便管理其活动的能力 关键管理人员责任界定的适当性，以及他们对这些责任了解的充分性 相对于其责任而言，关键管理人员知识和经验的充分性,权力和责任的分配 分配责任和授予权力以便实现组织宗旨和目标、经营职能和监管要求，包括对信息系统的责任和对变革的授权 与内部控制相关的准则和程序的适当性，包括员工岗位描述 足够数量的具备与主体规模、活动和系统的性质和复杂程度相适应的必要技能的人员，尤其是与数据处理和会计职能有关的人员,人力资源政策和实务 员工聘用、培训、晋升和薪酬方面的政策和程序制定到位的程度 为应对偏离既定政策和程序所采取的补救措施的适合性 对员工候选人的背景进行核查的充分性，尤其是当企业认为对其以前的行为或活动无法接受的情况下 员工保留和晋升标准以及信息收集方法（例如，业绩评价）的适当性，以及与行为守则和其他行为指南的关系,三、风险评估,每个主体都面临着来自外部和内部的必须予以评估的一系列风险 风险评估的前提是设定在各个层次相互关联和内在一致的目标 风险评估是识别和分析影响目标实现的相关风险，为确定应该如何管理这些风险奠定基础,目标 目标设定是风险评估的前提条件。必须首先有目标，管理层才能识别实现这些目标的风险，并采取必要的措施来管理风险 目标设定是管理过程的一个关键部分，尽管它不是内部控制的构成要素，但它是内部控制的先决条件和使能方法 目标的类别：经营目标，财务报告目标，合规目标 目标的交叉：保护资产,风险 识别和分析风险的过程是一个持续的重复过程，它是有效的内部控制体系的关键构成要素 风险识别 主体层次：外部因素，内部因素 活动层次,风险分析 估计风险的严重性 评估风险发生的可能性（或频率） 考虑如何管理风险即评估需要采取何种措施 应对变化,评 价 主体层次的目标 对主体目标充分陈述的程度，是否对主体期望实现的目标提供充分的指导，而且特定目标直接与该主体相关 向员工和董事会传达主体目标的有效性 主体目标与各种策略的关系和一致性 主体目标、战略计划和当前环境条件与经营计划和预算的一致性,活动层次的目标 活动层次目标与主体层次的目标和战略计划的关联度 活动层次目标之间的一致性 活动层次目标与所有重要的业务流程的相关性 活动层次目标的特异性 与目标相关的资源是否充足 识别对实现主体层次的目标来说是较重要的目标（关键成功因素） 各级管理层参与目标设定，以及他们对实现目标履行诺言的程度,风险 识别外部因素造成风险的机制是否足够全面 识别内部因素造成风险的机制是否足够全面 为每个重要的活动层次目标识别重大风险 风险分析流程（包括估计风险的重要性、评估风险出现的可能性并确定需要采取的行动）的彻底性和相关性,应对变化 是否存在各种机制去预测、识别并对影响实现主体或活动层次目标的日常事件或活动作出反应（通常由负责受该种变化影响最大的业务活动的管理人员来实施） 是否存在各种机制去识别变化并对变化作出反应，这种变化会给主体带来巨大和渗透性影响而且可能还需要高级管理层的关注,四、控制活动,控制活动是指为确保管理层的指令得以贯彻执行的政策和程序 它有助于确保采取必要的行动进行风险管理和保证主体层次的目标的实现 控制活动贯穿于主体的所有级别和职能部门 它包括一系列不同的活动，如批准、授权、验证、核对、经营业绩评价、资产保全以及职责分离等,控制活动的类型 高层复核 直接的职能活动或业务管理 信息处理 实物控制 业绩指标 职责分离,对信息系统的控制 一般控制 数据中心操作控制 系统软件控制 接触安全控制 应用系统开发和维护控制 应用控制,五、信息与沟通,相关信息必须以某种形式和在一定时限内被识别、获得和传达沟通，以便可以使员工履行自己的责任 信息系统生成含有与经营、财务和合规性有关信息的报告，从而使管理运作和控制主体成为可能 信息系统不仅处理内部生成的数据，也处理有关外部事件、活动和条件状况的信息，这些信息对有资料依据的主体的决策和外部报告都是必需的,有效的沟通也必须广泛的进行，自上而下、自下而上地贯穿整个主体 所有人员都要从高级管理层获得明确的信息：必须认真对待控制责任 他们必须了解各自在内部控制体系中担任的职能，以及个人参与的控制活动与他人工作是如何相互关联的 他们必须有自下而上传递重要信息的渠道和方法 同时，也需要与外部各方如客户、供应商、监管机构和股东等建立有效的沟通,评价 信息系统 获得外部和内部信息，向管理层提供必要的报告，说明与实现主体确立目标相关的主体业绩表现 向合适的人及时提供足够详细的信息，使他们能够有有效性和效率地履行其责任 依据一份信息系统战略计划（与主体总体战略相关），发展或修改信息系统，使其为实现主体层次的目标及活动层次目标服务 通过承诺提供适当的人力财力资源显示管理层对发展必要的信息系统的支持,沟通系统 传达交流员工义务和控制责任的有效性 建立沟通渠道，使员工可以举报受到怀疑的不当行为 管理层对员工建议提高生产力、强化质量或其它相似改进的方法的接受程度,主体内部相互之间沟通是否足够（例如，采购活动与生产活动之间）；信息的完整性和及时性以及是否足以使人们有效地履行其责任 与客户、供应商和其他外部有关方沟通交流不断变化的客户需求信息的渠道的开放性和有效性 外部各方已了解该主体道德准则的程度 管理层通过与客户、供应商、监管机构或其他外部有关方的沟通，采取了及时和合适的跟进措施,六、监 控,对内部控制需要进行监控 监控是一个评估内部控制体系在一定时期内运行质量的过程 监控可以通过持续性的监控活动、个别评价或两者并用来实现这个过程,持续性监控活动发生在经营的过程中，它包括日常管理和监控活动以及个人在履行其责任时采取的其他行动 个别评价的范围和频率将主要取决于风险评估和持续性监控程序的有效性 应自下而上汇报内部控制的缺陷，其中严重的问题应上报高级管理层和董事会,持续性监控活动的例子 在执行常规管理活动时，负责运营的管理层获取内部控制持续发挥功能的证据 与外界各方的沟通能够印证内部生成的信息或揭示问题 适当的组织结构和监控活动可监控内部控制职能的执行并识别内部控制的缺陷,将信息系统所记录的数据与实物资产相比较 内部及外部审计师定期为进一步加强内部控制的方法提供建议 培训研讨会、计划会议及其他会议可以向管理层提供有关内部控制是否有效的重要反馈 定期要求主体员工明确说明他们是否理解并遵守主体的员工行为守则,个别评价 个别评价内部控制的范围和频率主要取决于被控风险的重要性以及内部控制在减少风险中的重要性 内部控制自我评估 缺陷报告,评 价 持续性监控 在员工进行其日常活动中获得证据的程度，以此表明内部控制体系是否继续发挥作用 与外部各方进行沟通确认内部生成的信息或指明问题的程度,定期对会计系统记录的金额与实物资产进行核对 对内部和外部审计师建议增强内部控制手段的反应 培训研讨会、计划会议及其他会议向管理层提供有关内部控制是否有效的重要反馈的程度 是否定期要求员工说明他们是否理解并遵守主体的员工行为守则并且正常执行了关键控制活动 内部审计活动的有效性。,个别评价 内部控制体系个别评价的范围和频率 评价流程的适合性 评价内部控制体系的方法是否合理、适当 文件记录水平的适当性,报告缺陷 是否有获取和报告识别出的内部控制缺陷的机制 上报规程的适合性 跟进行动的适合性,七、内部控制的局限,无论内部控制设计和运行的多完善，它也只能向管理层和董事会就实现主体目标提供合理保证 实现主体目标的可能性受到所有内部控制体系的固有局限的影响，这些局限包括： 在决策时个人判断可能会出错 由于简单的误差或错误这样的失误而可能出现内部控制失效 两人或多人的串通也可以绕过内部控制 管理层能够凌驾于内部控制之上系统 另一个限制性因素是需要考虑内部控制的相对成本和收益,八、职能与责任,主体中每一个人都对内部控制负有责任 管理层要为主体的内部控制体系负责 首席执行官最终对内部控制体系负责并应承担内部控制体系“所有权”的责任 尽管管理层的所有成员都发挥着重要作用并对控制他们各自部门的活动负责，但首席财务官和总会计师对管理层行使控制的方式起着主要的作用,内部审计人员在内部控制体系持续有效性方面发挥着作用，但他们不承担建立和维持该系统的主要责任 董事会和其审计委员会对内部控制体系提供重要的监控 外部有关方面（例如外部审计师）常常在实现主体目标方面发挥作用并提供在实施内部控制中有用的信息。但是，他们不是主体内部控制体系的一部分，也不对内部控制体系的有效性负责,第三部分 企业风险管理 整合框架,一、定义 二、内部环境 三、目标设定 四、事项识别 五、风险评估 六、风险应对 七、控制活动 八、信息与沟通 九、监控 十、职能与责任 十一、企业风险管理的局限,一、定义,不确定性与价值 企业风险管理的一个基本前提是每一个主体存在的目的都是为它的利益相关者提供价值 所有的主体都面临不确定性，对于管理层的挑战在于确定在追求增加利益相关者价值的同时，准备承受多少不确定性,事项风险与机会 风险是一个事项将会发生并给目标实现带来负面影响的可能性 机会是一个事项将会发生并给目标实现带来正面影响的可能性,企业风险管理的定义 企业风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。,企业风险管理是： 一个过程，它持续地流动于主体之内； 由组织中各个层级人员实施； 应用于战略制订； 贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观； 旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内； 能够向一个主体的管理层和董事会提供合理保证； 力求实现一个或多个不同类型但相互交叉的目标它只是实现结果的一种手段，并不是结果本身。,风险容量与风险容限 风险容量（risk appetite）是一个主体在追求价值的过程中所愿意承受的广泛意义的风险的数量。它反映了主体的风险管理理念，进而影响主体的文化和经营风格。 风险容限（risk tolerance）是相对于实现一项具体目标而言，可以接受的偏离程度，它通常最好采用那些与度量相关目标相同的单位进行度量。,四类目标 战略与高层次的目的相关，协调并支撑主体的目标； 经营与利用主体资源的有效性和效率相关； 报告与主体报告的可靠性相关； 合规与主体符合适用的法律和法规相关。,企业风险管理的构成要素 内部环境管理层确立关于风险的理念，并确定风险容量。内部环境为主体中的人们如何看待风险和着手控制确立了基础。所有企业的核心都是人他们的个人品性，包括诚信、道德价值观和胜任能力以及经营所处的环境。 目标设定必须先有目标，管理层才能识别影响它们的实现的潜在事项。企业风险管理确保管理层采取恰当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相一致。,事项识别必须识别可能对主体产生影响的潜在事项。事项识别涉及到从影响目标实现的内部或外部原因中识别潜在的事项。它包括区分代表风险的事项和代表机会的事项，以及可能二者兼有的事项。机会被反馈到管理层的战略或目标制订过程中。 风险评估要对识别的风险进行分析，以便形成确定应该如何对它们进行管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。,风险应对员工识别和评价可能的风险应对，包括回避、承担、降低和分担风险。管理层选择一系列措施使风险与主体的风险容限和风险容量相协调。 控制活动制订和实施政策与程序以帮助确保管理层所选择的风险应对得以有效实施。,信息与沟通相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。员工获得有关他们的职能和责任的清晰的沟通。 监控对企业风险管理进行全面监控，必要时加以修正。通过这种方式，它能够动态地反应，根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的个别评价或者两者相结合来完成。,目标与构成要素之间的关系,有效性 尽管企业风险管理是一个过程，它的有效性却是在某个时点上的一种状态或情况 确定企业风险管理是否“有效”，是在对八个构成要素是否存在和有效运行的评估的基础之上所作出的判断 如果这些构成要素存在且正常运行，那么就可能没有重大缺陷，而风险可能已经被控制在主体的风险容量以内,涵盖内部控制 内部控制是企业风险管理不可分割的一部分 企业风险管理框架涵盖了内部控制，从而构建一个更强有力的概念和管理工具,企业风险管理与管理过程 企业风险管理是管理过程的一部分 但是并不是管理层所做的每一件事情都是企业风险管理的一部分,管理层在决策和相关的管理活动中所运用的许多判断，尽管是管理过程的一部分，但是并不是企业风险管理的一部分。例如： 确保有一个恰当的目标设定过程是企业风险管理的一个重要的构成要素，但是管理层所选定的特定目标并不是企业风险管理的一部分 根据对风险的恰当评估去应对风险是企业风险管理的一部分，但是所选定的具体风险应对和主体资源的相应配置却不是 确定和执行控制活动以帮助确保管理层选择的风险应对得以有效实施是企业风险管理的一部分，但是所选定的特定的控制活动却不是,二、内部环境,风险管理理念 风险容量 董事会 诚信与道德价值观 对胜任能力的要求 组织结构 权力和职责的分配 人力资源准则,风险管理理念 主体的风险管理理念代表着决定主体如何考虑所有活动中的风险的共同的信念和态度 它反映了主体的价值观，影响它的文化和经营风格 它影响着如何应用企业风险管理的构成要素，包括如何识别事项、所承受的风险的类型，以及如何对它们进行管理 它被很好地确立和理解，并为主体的员工所信奉 它体现在政策描述、口头和书面沟通以及决策之中 管理层不仅通过语言而且通过日常行动来强化这种理念,风险容量 主体的风险容量反映了主体的风险管理理念，并且影响着文化和经营风格 它在战略制订的过程中予以考虑，使战略与风险容量相协调,董事会 董事会是积极的，它拥有一定程度的管理、技术和其他专长，并且具有履行其监督职责所需的思维方式 它准备质疑和仔细审查管理层的活动，提出不同的观点，以及在遇到不当行为时采取行动 独立的外部董事至少占多数 它提供对企业风险管理的监督，并且知道和同意主体的风险容量,诚信与道德价值观 主体的行为准则反映了诚信和道德价值观 道德价值观不仅通过有关什么是对的和错的的明确指南来进行沟通，而且是与其共存的 诚信和道德价值观通过正式的行为守则予以沟通 向上的沟通渠道存在于员工感觉带来相关信息很舒服的地方 对于违反守则的员工进行处罚，鼓励员工报告可疑的违反行为的机制，并针对有意不报告违反行为的员工采取惩戒措施 诚信和道德价值观通过管理层的行动和他们树立的榜样予以沟通,对胜任能力的要求 主体中的人员的胜任能力反映完成指定任务所需的知识和技能 管理层要协调胜任能力和成本,组织结构 组织结构界定职责和责任的关键范围 它确立了报告的途径 确定组织结构要考虑主体的规模和活动的性质 它使有效的企业风险管理成为可能,权力和职责的分配 权力和职责的分配确定了个人和团队被授权和鼓励采取行动去处理问题和解决问题的程度，它还为权力提供了限制 分配确立了报告关系和授权规程 描述恰当经营实务的政策，关键员工的知识和经验，以及相关的资源 个人知道他们的行动是如何相互关联的以及对实现目标的贡献,人力资源准则 针对雇用、定位、培训、评价、指导、晋升、薪酬和补偿措施的准则，推动期望的诚信水平、道德行为和胜任能力 惩戒措施传递对期望行为的违反将不会被宽宥的信息,三、目标设定,战略目标 战略目标是高层次的目标，它与主体的使命/愿景相协调，并支持后者 战略目标反映了管理层就主体如何努力为它的利益相关者创造价值所作出的选择,相关目标 经营目标这些目标与主体经营的有效性和效率有关，包括业绩和赢利目标和保护资源不受损失。它们因管理层对结构和业绩的选择而异。 报告目标这些目标与报告的可靠性有关。它们包括内部和外部报告，可能涉及到财务和非财务信息。 合规目标这些目标与符合相关法律和法规有关。它们取决于外部因素，在一些情况下对所有主体而言都很类似，而在另一些情况下则在一个行业内有共性。,目标的交叉 保护资产/资源 目标的实现 报告和合规目标的实现更多的是在主体的控制范围之内 战略目标和经营目标的实现并不完全在主体的控制范围之内 对于战略和经营目标，企业风险管理能够合理保证管理层和履行监督职责的董事会及时地知悉主体实现这些目标的程度,四、事项识别,事 项 事项是源于内部或外部的影响战略实施或目标实现的事故或事件 事项可能带来正面或负面影响，或者两者兼而有之 影响因素 外部因素 内部因素,外部因素 经济 自然环境 政治 社会 技术,内部因素 基础结构 人员 流程 技术,事项识别技术 事项目录（event inventories）这些是一个特定行业内的公司所共通的潜在事项或者不同行业之间所共通的特定过程或活动的详细清单。软件产品能够列出共性潜在事项的有关清单，一些主体利用它作为事项识别的出发点。例如，从事一项软件开发项目的公司编制了一份目录，详细列示了与软件开发项目有关的共性事项。,内部分析（internal analysis）它可以作为常规性经营规划循环过程的一部分来完成，典型的是通过一个业务单元的员工会议。内部分析有时利用来自其他利益相关者（客户、供应商、其他业务单元）的信息，或者针对具体问题征询外部专家（内部或外部职能机构的专家或内部审计师）的意见。例如，一家正在考虑引入一个新产品的公司利用它自己的历史经验以及外部市场调研来识别那些曾经影响竞争者产品成功的事项。,扩大或底限触发器（escalation or threshold triggers）这些触发器通过将现在的交易或事项与预先确定的标准进行对比，提醒管理层关注的领域。一旦被触发，可能就需要对一个事项进行进一步的评估或者立即予以应对。例如，一家公司的管理层针对新的营销或广告计划监控市场上的销售量，并根据其结果重新调配资源。另一家公司的管理层追踪竞争者的定价结构，并考虑在达到一个特定的底限时变更自己的价格。,推进式的研讨与访谈（facilitated workshops and interviews）这些技术通过经过设计的讨论，利用管理层、员工和其他利益相关者所积累的知识和经验来识别事项。推进者主导有关可能会影响主体或单元目标实现的事项的讨论。例如，一名财务主计长与会计团队的成员一起召开了一个研讨会，来识别那些对主体的对外报告目标有影响的事项。通过结合团队成员们的知识和经验，能够识别出否则就会被遗漏的重要事项。,过程流动分析（process flow analysis）这种技术考虑构成一个过程的输入、任务、责任和输出的组合。通过考虑影响一个过程的投入或其中的活动的内部和外部因素，主体能识别那些可能影响过程目标实现的事项。例如，一家医学实验室绘制了血液样本的接收和测试流程图。它利用流程图来考虑那些可能影响输入、任务和责任的因素的范围，识别与样本标注、过程中的传递以及人员换班变动有关的风险。,首要事项指标（leading event indicators）主体通过监控与事项有相互关系的数据，来识别可能导致一个事项发生的情形是否存在。例如，金融机构很早就认识到延迟偿还贷款与最终的贷款违约之间的相互关系，以及及早干预的积极作用。对偿还方式的监控使违约的可能性得以通过及时的行动而降低。,损失事项数据方法（loss event data methodologies）有关过去单个损失事项的数据库是识别趋势和根本原因的一个有用的信息来源。一旦确定了根本原因，管理层就会发现它能比致力于单个事项更加有效地进行评估和处理。例如，一家经营大型车队的公司维护了一个事故投诉的数据库，通过分析发现事故的百分比在数量和货币金额上不成比例，它与特定单元、地域和年龄结构的驾驶员工有关联。这个分析使管理层能够确定事项的根本原因并采取行动。,区分风险和机会 具有负面影响的事项代表风险，它需要管理层的评估和应对 具有正面影响或者抵消风险的负面影响的事项代表机会 代表机会的事项被反馈到管理层的战略或目标制订过程中，以便规划行动去抓住机会。抵消风险的负面影响的事项在管理层的风险评估和应对中予以考虑,五、风险评估,固有风险/剩余风险 管理层既要考虑固有风险，也要考虑剩余风险 固有风险是管理层没有采取任何措施来改变风险的可能性或影响的情况下，一个主体所面临的风险 剩余风险是在管理层的风险应对之后所残余的风险 一旦风险应对已经到位，管理层接下来就要考虑剩余风险,估计可能性和影响 可能性表示一个给定事项将会发生的或然率 影响表示给定事项一旦发生所产生的后果,评估技术 对标（benchmarking）作为一组主体之间的协作过程，对标着眼于具体的事项或过程，采用共通的标准比较计量指标和结果，并且识别改进的机会。建立有关事项、流程和计量指标的数据来比较业绩。一些公司利用对标来在整个行业中评估潜在事项的可能性和影响。,概率模型概率模型根据特定的假设将一系列事项以及所造成的影响与这些事项的可能性联系起来。在历史数据或反映对未来行为的假设的模拟结果的基础上，对可能性和影响进行评估。概率模型的例子包括风险价值、风险现金流量、风险盈利以及信贷和经营损失分布的计算等。概率模型可以采用不同的时间范围，以估计诸如不同时期金融工具的价值范围等结果。概率模型还可以用来评估期望的或平均的结果，以及极端的或非期望的影响。,非概率模型非概率模型在估计没有量化相关可能性的事项的影响时，利用主观的假设。根据历史或模拟数据和对未来行为的假设对事项的影响进行评估。非概率模型的例子包括敏感性指标、压力测试以及情景分析。,六、风险应对,回避（avoidance）退出会产生风险的活动。风险回避可能包括退出一条产品线、拒绝向一个新的地区市场拓展，或者卖掉一个分部。 降低（reduction）采取措施降低风险的可能性或影响，或者同时降低两者。它几乎涉及各种日常的经营决策。 分担（sharing）通过转移来降低风险的可能性或影响，或者分担一部分风险。常见的技术包括购买保险产品、从事套期保值交易（hedging transactions）或外包一项业务活动。 承受（acceptance）不采取任何措施去干预风险的可能性或影响。,在确定风险应对的过程中，管理层应该考虑下列事项： 潜在应对对风险的可能性和影响的效果以及哪个应对方案与主体的风险容限相协调； 潜在应对的成本与效益； 除了应付具体的风险之外，实现主体目标可能的机会。,选定的应对 管理层所选定的应对旨在使预期的风险可能性和影响处于风险容限之内 管理层要考虑一项应对可能导致的额外风险 组合观 管理层要从整个主体范围即组合的角度考虑风险 管理层要确定主体的剩余风险是否与它的总体风险容量相称,七、控制活动,控制活动的类型 高层审核（top-level reviews）高级管理层对照预算、预测、以前期间和竞争者来审核实际的业绩。 直接的职能或活动管理（direct functional or activity management）负责职能机构或活动的管理人员审核业绩报告。,信息处理（information processing）实施一系列的控制来检查交易的准确性、完整性和授权。输入的数据要经过联机编辑核对（on-line edit checks）或与经批准的控制文件相匹配。 实物控制（physical controls）对设备、存货、证券、现金和其他资产进行实物性的保护，定期盘点，并与控制记录上所反映的数额相比较。,业绩指标（performance indicators）把不同系列的经营的或者财务的数据彼此联系起来，与对相互关系的分析以及调查和矫正措施一起，构成了一项控制活动。 职责分离（segregation of duties）把不同人员的职责予以分开或隔离，以便降低错误或舞弊的风险。,对信息系统的控制 一般控制包括对信息技术管理、信息技术基础结构、安全管理和软件获取、开发和维护的控制 应用控制直接关注数据获取和处理的完整性、准确性、授权和有效性,一般控制 信息技术管理 信息技术基础结构 安全管理 软件获取、开发和维护,应用控制 平衡控制活动 核对数位 预先确定数据清单 数据合理性测试 逻辑测试,八、信息与沟通,信息的类型 内部/外部 正式/非正式 历史数据/当前数据,信息的质量 内容是否恰当信息是否处于正确的详细程度？ 信息是否及时需要时是否有信息？ 信息是不是当前的是不是最新可利用的信息？ 信息是否准确数据是否正确？ 信息是否易于取得需要的人是否容易取得信息？,内部沟通应传达的内容 有效的企业风险管理的重要性和相关性； 主体的目标； 主体的风险容量和风险容限； 一套通用的风险语言； 员工在实现和支撑企业风险管理的构成要素中的职能与责任。,外部沟通 客户 供应商 利益相关者 监管机构 财务分析师,九、监控,持续监控活动 个别评价 报告缺陷,持续监控活动 监控活动包含在主体的正常的、反复的经营活动之中，在正常的业务经营过程中加以执行 它们被实时地执行，并且动态地对变化的情况作出反应,个别评价 个别评价直接关注企业风险管理的有效性，并提供了一个考察持续监控活动的持续有效性的机会 评价者了解所着眼的主体的各项活动和企业风险管理的各个构成要素 评价者以管理层的既定标准为背景来分析企业风险管理的设计和所执行的测试的结果，以确定企业风险管理是否针对规定的目标提供了合理保证,报告缺陷 对于从内部和外部来源所报告的缺陷，要仔细地考虑它们对企业风险管理的影响，并采取恰当的矫正措施 所有已识别的影响主体制订和执行其战略和实现其既定目标的能力的缺陷都要报告给那些被安排来采取必要措施的人员 不仅要调查和矫正所报告的交易或事项，而且还要重新评价潜在的过失所属的程序 制订规程以确定一个特定的层级为了有效地作出决策需要什么信息,十、职能与责任,董事会 董事会知道管理层在组织中建立有效的风险管理的程度 它知道并同意主体的风险容量 它审核风险组合观