内部控制与风险管理.ppt

第七章 内部控制与风险管理 第一节 内部控制 COSO委员会 （Committee of Sponsoring Organization） 包括： 美国会计协会（American Accounting Association ） 美国注册会计师协会（American Institute of Certified Public Accountants） 1992年9月 内部控制整合框架草案 1994年 内部控制框架定稿 一、定义 n 公司的董事会、管理层及其他人士为实现以 下目标提供合理保证而实施的程序：运营的效 益和效率，财务报告的可靠性和遵守使用的法 律法规。 二、内容（COSO版本） n 控制环境 n 风险评估 n 控制活动 n 信息与沟通 n 监察 1、控制环境 n 董事会与管理层对待公司内部控制的重要性的态度及 采取的行动。 n 包括：人员的道德观和胜任能力 董事会提供的指示和管理的效率 n 是由管理层所定的基调、管理哲学与管理风格、授权 方式、组织和培养员工的方式以及董事会对执行内部控 制的决心和决定。 范围： n 诚信和道德观 n 用人唯才的承诺 n 董事会和审计委员会 n 管理哲学和经营风格 n 组织结构 n 权力和责任的分配 n 人力资源政策和实务 2、风险评估 n 识别和分析影响目标实现的风险，以此来确定降低和 管理此类风险的依据 n 目标与评估密不可分 n 内部环境和外部环境 n 可控制风险和不可控制风险 程序 n 估计风险的重要性 n 评估风险发生的可能性或频率 n 考虑如何对风险进行管理 3、控制活动 n 能确保管理层的决策与指示得以执行的政策和程序。 n 包括：组织控制、职责划分、调节和复核、实物控制 、授权和批准、计算和会计、人员控制、监督及管理控 制。 4、信息与沟通 n 在人员能够履行责任的方式及时间范围内，识别、取 得和报告经营、财务及法律遵守的相关资讯的有效程序 和系统。 5、监察 n 不断对内部控制系统的表现进行评估的过程，可以通 过持续的监察活动或单独的评估来实现。 n 包括：评估、记录、报告 第二节 企业风险管理（ERM） n 风险 n ERM的概念 n ERM流程 一、风险 企业 总体 风险 企业运作风 险 生产市场风 险 财务风 险 法律风险制度风险 税务风险 外来风险 道德风 险 企业运作风险外来风险税务风 险 道德风险 机器发生故障无 法工作 产品质量问题 的不断增加 灾难性气候对 生产的影响 存货过 期，不 能使用 原料成本 增加 工人罢工 关键员 工辞职 供应商的 失误 进项 税增 加 销项 税增 加 工业 税收 保护 的解 除 出具虚假的 财务报 告 员工合谋 管理者忽视 管理责任 制度风险法律风险财务风 险 生产市 场风 险 环境法 的改变 反垄断 法的强 制实行 政府结 束价格 支持政 策 进口保 护政策 的解除 产品责 任 贸易障 碍 利益相 关者的 诉讼 歧视员 工的法 律诉 讼 资金 成本 的改 变 兑换 率的 改变 通货 膨胀 负债 拖欠 失去 客户 产品 落后 增加 竞争 市场 降低 对产 品的 需求 二、企业风险管理 （一）概念 n 企业风险管理是一个过程，受组织的董事会、管理层 和其他人员影响，贯穿整个企业，应用于战略制定。企 业风险管理旨在识别影响组织的潜在事件，在组织的风 险偏好范围内管理风险，为组织目标的实现提供合理的 保证。 （二）流程 1、组织层次 2、组织目标 3、业务流程 企业层面（entity-level） ERM框架的基础 分部（division） 随着时间根据需要扩展ERM 业务单 位（business unit） 随着时间根据需要扩展ERM 分支机构（subsidiary） 随着时间根据需要扩展ERM 2、组织目标 n 战略：与最高水平的目标相关，受企业使命的支持， 根据企业使命调整 n 运作：与积极有效地利用企业资源相关 n 报告：与企业报告的可靠性相关 n 遵从：与遵从适用的法律和规章制度相关 战略（strategic） 政府、战略目标、商业模型、外部力量等 运作（operations） 商业过程、上行价值链、下行价值链、财务等 报告（reporting） 信息技术、财务、内部、知识产权 、商誉等 遵从（compliance） SEC、环境、法律、合同等 3、业务流程 n 内部环境 n 目标设定 n 事项鉴别 n 风险评估 n 风险回应 n 控制活动 n 信息和沟通 n 监控 目标设定 n 在风险管理框架中，由于要针对不同的目标分析相应 的风险，因此目标的制定自然就成为风险管理框架的一 部分，而且是风险管理流程的首要步骤。管理者必须首 先制定目标，然后才能确定可能影响目标实现的潜在事 项。 事项鉴别 n 企业风险管理要求辨别可能对实现企业目标产生影响 的所有潜在事项。用一定的方法和技术进行事项识别， 首先列出所有的潜在事件，通过分析，对已经爆发的事 件加以升级管理，同时进行进一步的评估并做出回应， 最后还要聘用多个专业技术人员组成团队，使事项识别 更加具有权威性。事项虽然相互独立，但是一般不会单 个爆发，往往引发一系列的事件，这要求管理者在事前 了解各事项之间的相互关系，做出最好的决策。 风险回应 n 接受风险：不采取任何行动而接受可能发生的风险及 其影响； n 规避风险：采取措施退出会给企业带来风险的活动； n 缓解风险：减少风险发生的可能性、减少风险的影响 或两者同时减少； n 共担风险：通过转嫁风险或与他人共担风险，降低风 险发生的可能性或降低风险对企业的影响。 对于每一个重要的风险，企业都应考虑回应方案。有效 的风险管理要求管理者选择可以使企业风险发生的可能 性和影响都落在风险容忍度之内的风险回应方案。 内部环境（internal environment） 风险管理哲学风险文化董事会操守和价值观对 胜任能力的承诺管理方法和经营模式风险偏好组 织结构职责和权限的分配人力资源政策和实务 目标设定（objective setting） 目标其他相关目标选择目标风险偏好风险容忍 度 事项识别 （event identification） 事项影响战略及目标的因素方法和技术事项的相 互依存性事项类别 风险和机遇 风险评 估（risk assessment） 固有风险和剩余风险可能性和影响方法和技术相 关性 风险回应（risk response） 确认风险 回应方案对可能的风险回应方案进