石嘴山-内部控制与全面风险管理培训第二部分.pptVIP

第二讲 内部控制与全面风险管理理论,一、风险理论知识 二、从内部控制到风险管理演变过程 三、内部控制框架 四、全面风险管理的框架,内,容,2,企业（组织）,输入,输出,顾客需要及投入元素,满足顾客需要的产品,关键词：关于目标,目标是输出结果的预计实现程度,就是努力想要达到的状态、境界或目的。目标是行为的指向。,（一）风险的定义,对于个人而言，由于愿景的不同可以有多种目标。 对于企业，有战略目标、经营目标 对于企业内部不同的专业部门或岗位来说，围绕企业总体要求，都与相应的目标。例如：财务管理要保证工作合规和报告真实准确；计划管理要保证完整、真实、准确、及时等。,4,企业（组织）,输入,输出,目标,关键词：不确定性,目标是输出结果的预计实现程度,企业（组织）,输入,输出,实际结果,不确定性,不确定： 这一术语描述的是一种心理状态，它是存在于客观事物与人们认识之间的一种差距，反映了人们由于难以预测未来活动和事件的后果而产生的怀疑态度。,（一）风险的定义,不确定的水平分级：,Y=F（R，Q） Y ：不确定 R ：结果 Q： 发生 概率,对于“风险”，目前仍有着多种论述，如： 风险是在给定情况下存在的可能结果间的差异； 风险是一种与损失相联系的潜在损失； 风险是指潜在损失的变化范围与幅度； 风险是指引起损失产生的不确定性； ,（一）风险的定义,风险就是指影响目标实现的各种潜在的不确定因素。 风险是针对目标而言，没有目标就没有所谓的“风险” 风险的三个特性： 目标性； 损失性； 不确定性。,（一）风险的定义,风险的定量描述 风险是对人们从事生产或社会活动时可能发生的有害后果的定量描述，即风险是在一定时期产生有害事件的概率与有害事件后果的函数： 其中，R 风险 p 出现该风险的概率 c 风险损失的严重程度,（二)风险的度量,（二）风险的度量,一般来说，损失概率和损失幅度是度量风险的两个指标。但最能代表风险的数学符合是风险结果的概率分布，如期望值和差异系数（标准差与均值之比）。,可能性,极低 低 中等 高 极高 影响程度,风险三要素,风险的本质/要素是指构成风险特征，影响风险的产生、存在和发展的因素，可归结为三个要素/因素。,（三）风险的本质/要素,风险因素,（三）风险的本质/要素,亦称风险条件，是指引发风险事故或在风险事故发生时致使损失扩大的条件。风险因素是风险事故发生的潜在原因。通常包括实质风险因素、道德风险因素和心理风险因素。,风险因素,（三）风险的本质/要素,有形风险因素：是指直接影响事物物理功能的物质性风险因素，又称实质风险因素（physical hazard)。如，建筑物的结构及灭火设施的分布等对于火灾来说就属于有形风险因素； 无形风险因素：是指文化、习俗和生活态度等非物质的、影响损失发生可能性和受损程度的因素，又可进一步分为道德风险因素（moral hazard）和心理风险因素（morale hazard）。 道德风险因素和心理风险因素均与人的行为有关，又合称人为风险因素。,风险事故,（三）风险的本质/要素,亦称风险事件，是指直接导致生命财产（人员伤亡、疾病、环境破坏、经济价值减少）损失发生的偶发事件。它是使风险造成损失的可能性转化为现实性的媒介。,风险损失,（三）风险的本质/要素,是指非故意的、非计划的、非预期的经济价值的减少（人员伤亡、疾病/环境破坏）。 人员伤亡、疾病甚至于环境破坏，这样的损失是无法用货币来衡量的，尽管如此，在衡量人身伤亡、疾病时（环境破坏），还是要从由此引起的对本人及家庭产生的经济困难或其对社会所创造经济价值的能力减少的角度读来给出一个货币衡量的评价,（四）风险的分类,按风险的对象划分：,1、财产风险通常指财产的损毁、灭失与贬值等所导致的风险。如厂房、设备、运载工具、家庭住宅、家具及其它无形财产因自然灾害或意外事故而遭受的损失。 2、人身风险指由于人的疾病、伤残、死亡所引起的风险。 3、责任风险指根据法律、合同或道义上的规定应对他人的财产损失或人身伤亡承担经济赔偿责任的风险。 4、信用风险在经济交往中，权利人与义务人之间由于一方违约或犯罪而使对方蒙受经济损失的风险。,（四）风险的分类,按风险的产生原因划分：,1、自然风险由于自然现象、物理现象可能造成物质损毁和人员伤亡的风险。 2、社会风险指由于个人或团体的行为，包括过失、行为不当及故意行为所导致的风险。 3、经济风险 一般指在商品生产和购销过程中，由于经营管理不善、市场预测失误、价格波动、消费需求变化等因素引起经济损失的风险。 4、政治风险 指起源于种族、宗教、国家之间的冲突、叛乱、战争所引起的，风险，也包括由于政策或制度的变化、政权的更替、罢工、恐怖主义活动等引起的各种损失。 5、技术风险由于科学技术发展的负作用而带来的各种风险。,（四）风险的分类,按风险的性质划分：,1、纯粹风险指只有损失可能而无获利机会的风险。,2、投机风险指既有损失可能又有获利机会的风险。,（四）风险的分类,按风险的产生环境划分：,1、静态风险不是因社会经济活动发生变化，而是由于自然力不规则变动或人们行为的失误所造成的风险，前者如地震、洪水、台风、疾病等；后者如盗窃、呆帐、事故等。 2、动态风险是指以社会经济的变动为直接原因的风险。如经济体制的改变、市场结构的调整、利率的变动等可能引发的风险。,（四）风险的分类,按风险的责任单位划分：,1、个人风险 2、家庭风险 3、企业风险 4、社会风险 5、国家风险,（四）风险的分类,按风险的接受能力划分：,可接受的风险是指经济单位在研究自身承受能力、 财务状况基础上，确认能够接受最大损失的限度， 把低于这一限度的风险称为可接受风险；反之既为 不可接受风险。,第二讲 内部控制与全面风险管理理论,一、风险理论知识 二、从内部控制到风险管理演变过程 三、内部控制框架 四、全面风险管理的框架,内,容,22,魔高一尺，道高一丈！,国内企业大多处于内部控制整体框架阶段。集团公司（股份公司）等一批中央企业内部控制体系建设起步早，目前正处于向全面风险管理过渡阶段。,二、从内部控制到风险管理演变过程,（一）内部牵制,什么是内部牵制？ 任何一项或一部分业务权力都不能由任何个人或部门单独控制，必须进行组织上的责任分工。（存在着职务不相容原理） 内部牵制的形式 实物牵制：例如把保险柜的钥匙交给二个以上的工作人员持有。 机械牵制：例如保险柜的大门若非按正确程序操作就打不开。 体制牵制：采用双重控制预防错误和舞弊的发生。 簿记牵制：定期将明细账与总账进行核对。 内部牵制的原理 二个或以上的人或部门无意识地犯同样错误的机会是很小的； 二个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。任何个人或部门不能单独控制,（二）内部控制制度（两要素）,1949年，美国会计师协会的审计程序委员会对内部控制首次作了权威性定义： 内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。” 1958年，美国审计程序委员会将内部控制划分为会计控制和管理控制两要素。 内部会计控制：包括组织规划的与财产安全和财物记录可靠性有直接联系的所有方法和程序，包括授权与批准控制、职务分离控制、财产实物控制和内部审计等。 内部管理控制：包括组织规划的与经营效率和贯彻管理方针有关的所有方法和程序，一般包括统计分析、业绩报告、员工培训和质量控制等。,内部控制制度评价,人们将控制环境作为内部控制的外部因素，但渐渐地认识到控制环境是内部控制的一个组成部分，是内部控制体系得以建立和运行的基础及保证。 通过研究发现，内部管理控制与会计控制这两者往往是不可分割的，是相互关系的。,三、内部控制结构（三要素）,反映董事会、管理者、所有者 对控制的态度和行为。,规定各项经济业务的确认、归集、分类、登记和编报方法。,指管理当局为保证实现目标而制定的政策和程序。,1988年美国AICPA发布了第55号审计准则公告，首次以“内部控制结构”代替“内部控制”，指出“企业的内部控制结构包括所有为确保实现企业特定目标而建立的各种政策和程序”。,（四）“内部控制整体框架” （五要素）,自1987年的Treadway报告和1988年9个审计准则公告发布后，COSO对内部控制问题又进行了较深入系统的研究，于1992年发布了内部控制整体框架报告，该报告是国际内部控制理论发展的又一重要里程碑。 COSO认为，内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式，并与管理的过程相结合。,内部控制整体框架特点,1明确对内部控制的“责任” 2强调内部控制应该与企业的经营管理过程相结合 3强调内部控制是一个“动态过程” 4强调“人”的重要性 5强调“软控制”的作用 6. 强调风险意识 7揉和了管理与控制的界限 8强调内部控制的分类及目标 9明确指出内部控制只能做到“合理”保证 10成本与效益原则,（五）COSO的企业风险管理框架,企业风险管理框架的建立背景 二十世纪九十年代以来愈演愈烈的商业丑闻，使得投资者和其他利益相关者遭受了巨大的损失，人们在加强内部控制的同时，开始认识到全面风险管理的重要性，希望建立一个能有效地帮助管理策识别、评价和管理风险的思维框架。 2001年，COSO设立研究项目，委托PwC研发一个能被管理层用来评价和改进其企业风险管理的框架。 2003年7月，公布研究报告讨论稿。 2004年9月，研究报告“企业风险管理：整体框架（ Enterprise Risk Management Integrated Framework）”正式发布。,从“内部控制”到“企业风险管理”,第二讲 内部控制与全面风险管理理论,一、风险理论知识 二、从内部控制到风险管理演变过程 三、内部控制框架 四、全面风险管理的框架,内,容,32,Internal Controls Are Common Sense,你担心会发生什么问题？,你采取什么步骤来 保证它不会发生,你会怎么知道事情是在控制之下？,内控系统的整体架构,内部控制的整体架构,内部控制是一个靠组织的董事会、管理层和其他员工去实现的过程，实现这一过程是为了合理的保证： 经营的效果性和效率性； 财务报告的可信性； 对法律和规章制度的遵循性。,（一）内部控制的目标,（二）内部控制的范围,采购活动； 销售活动； 资产管理； 资金管理； 合同活动； 安全活动 ； 业务活动N 。 。,36,活动范围的解构：企业价值链的分析,（三）内部控制的要素结构,内部控制五要素的相互关系,39,要素1：控制环境,环境指周围 境况，从系统论观点，是指被研究系统之外的，对被研究对象有影响作用的一切系统之和。 内部环境是指企业内部的，对内部控制有直接和间接影响的要素总和。,40,要素2 风险评估,每个企业都面临来自内部和外部的不同风险，这些风险都必须加以辨认和评估，并采取相应的措施来应对。,辨识和分析风险是一种持续及反复的过程，也是有效内部控制的关键组成要素，管理阶层须谨慎注意各部门阶层的风险，并采取必要的管理措施。,41,要素3：控制活动,控制活动，是确保企业管理阶层辩识风险后，针对风险发出的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。 控制活动在企业内的各个阶层和职能之间都会出现。,42,要素4 信息与沟通,企业在其经营过程中，需按某种形式辨识、取得确切的信息，并进行沟通，以使员工能够履行其责任。 信息系统不仅处理企业内部所产生的信息，同时也处理与外部的事项、活动及环境等有关的信息。 企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息，而且必须有向上级部门沟通重要信息的方法，并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。,43,要素5 监督,内控系统也需要被监督，用于评估其自身的运营状况。 监督是由适当的人员，在适当及时的基础下，评估内控系统的设计和实际运作。 监督活动由持续监督、个别评估所组成，以确保企业内控系统持续有效的运作。,第二讲 内部控制与全面风险管理理论,一、风险理论知识 二、从内部控制到风险管理演变过程 三、内部控制框架 四、全面风险管理的框架,内,容,COSO企业风险管理（ERM）,ERM三个维度的关系是，企业风险管理的8个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上8个方面进行风险管理。该框架适合各种类型的企业或机构的风险管理。,（一）ERM框架的目标,企业目标可以从以下四个方面来考虑： 战略 经营 报告 遵循,（二）ERM框架管理范围,ERM考虑了组织中所有层次上的活动： 企业整体层次 分支机构或者子公司 业务单元环节,企业风险管理框架包括八个基本要素 内部环境 目标制定 事件识别 风险评估 风险应对 控制活动 信息和沟通 监控,（二）ERM框架八大要素,要素1.内部环境,建立风险管理理念。应认识到未预期事件与预期事件一样可能发生。 建立企业的风险文化。 考虑所有的其他组织行为如何影响风险文化。,要素2.目标设定,在设定目标时，管理层应该考虑风险战略。 形成企业的风险偏好（risk appetite）从高层次的视角来确定管理层和董事会乐意接受多大风险。 风险容忍度（risk tolerance），是指目标变化程度的可接受水平，是与风险偏好相联系的。,要素3.事件（风险）识别,区分风险和机会。 带来负面影响的事件代表风险。 带来正面影响的事件代表自动抵消（机会），管理层应该在战略制定中重新考虑这些事件的存在。 考虑发生在内部的或发生在外部的可能影响战略和目标实现的事件。 指出内部资源与外部资源应如何结合起来，相互作用来影响风险的组合。,企业风险管理结构,要素4.风险评估,