内控(第4章)控制过程.ppt

1 第四章内部控制过程 2 学习目的 理解内部控制目标的确定掌握事项识别的概念 方法和技术掌握风险评估和风险应对理解控制活动的要素了解信息系统的控制 3 案例 法兴银行的黑色星期四 2008年1月24日 法国兴业银行曝光一起令全球金融业瞩目的违规事件 面对交易员盖维维尔近一年的违规操作 控制系统安全报警75次 而其内控机制响应迟钝 终酿大祸 原因分析与启示 4 第一节目标确定 5 目标设定 内部控制与企业任务及目标愿景与企业战略目标其他相关目标企业战略目标与风险偏好风险容忍程度的确定 6 作为COSO在1994年内部控制框架基础上加入的新要素之一 ERM框架下的内部控制将 目标制定 界定为 在战略层次上设立目标 为经营 报告 保护资源和合规目标建立基础 内部控制与企业任务及目标 7 愿景与企业战略目标 愿景 难以实现的高级目标企业战略目标 8 愿景 所谓愿景 即是由组织内部的成员制订 通过团队讨论并获得组织一致共识而形成的大家愿意全力以赴的未来方向 所谓愿景管理 是结合个人价值观与组织目的 通过开发愿景 瞄准愿景 落实愿景的三部曲来建立团队 促使组织成功及组织力量极大化地发挥 9 企业战略目标 战略目标是对企业战略经营活动预期取得的主要成果的期望值 战略目标的设定 同时也是企业愿景的展开和具体化 战略目标的特点是宏观性 长期性 相对稳定性 全面性 可分性 可接受性 可检验性 可挑战性 10 其他相关目标 经营目标报告目标资源目标合规目标 11 企业战略目标与风险偏好 从广义上看 风险偏好是指企业在实现其目标过程中愿意接受的风险的程度 有效的内部控制是要确保管理层设有一个恰当的程序来使战略目标与企业的使命相协调 保证企业的战略目标与相关目标 企业的风险偏好相一致 12 风险容忍程度的确定 企业应考虑相关目标的重要性 并将其与企业风险偏好联系起来 企业在风险容忍度内的良好运行可以更好地确保企业的发展未超出风险偏好范围 可以更好地保证企业实现其战略目标 13 第二节事项识别 14 事项识别 风险与机遇事项识别与目标实现的联系事项分类 15 风险与机遇 如何在不确定环境下进行战略决策 化不确定的劣势为竞争中的优势 是新的市场环境下对企业经营者提出的新挑战 16 事项识别与目标实现的联系 事项识别概述事项识别与目标实现事项识别技术 17 事项识别概述 潜在事项是指来自于企业内部和外部资源的 可能影响企业战略的执行和目标实现的一件或者一系列偶发事项 采用一系列技术来识别有关事项并考虑有关事项的起因 对企业过去和未来的潜在事项以及该事项的发生趋势进行计量 管理者确认潜在的事项 即如果该事项发生 它将会对企业整体产生哪些影响 18 事项识别与目标实现 19 事项识别技术 管理者可以使用各种技术确认潜在事项对目标的影响 一些工具和科学技术构成了企业事项辨别的方法 虽然许多比较复杂的技术有行业特色 但它们都来源于共同的方法 20 事项种类 外部因素经济因素自然环境政治因素社会因素技术因素 内部因素基础建设个人因素过程技术数据的完整性 21 第三节风险评估 22 风险评估 风险评估的概念及任务风险评估的内容风险评估的途径 23 风险评估的概念及任务 风险评估是对组织资产面临的威胁 存在的弱点造成的影响 以及三者综合作用而带来风险的可能性进行评估 风险评估的主要任务包括 识别组织面临的各种风险 评估风险概率和可能带来的负面影响 确定组织承受风险的能力 确定风险消减和控制的优先等级 推荐风险消减对策 24 风险评估的内容 管理者可从两个角度评估事件 一是发生的可能性 二是影响程度 风险评估首先针对的是内在风险 一旦风险反馈发展起来 管理部门就应当开始考虑追加风险 25 风险评估的途径 实际工作中经常使用的风险评估包括 基线风险评估详细风险评估组合风险评估 26 基线风险评估 企业根据自己的实际情况 所在行业 业务环境与性质等 对信息系统进行安全基线检查 拿现有的安全措施与安全基线规定的措施进行比较 找出其中的差距 得出基本的安全需求 通过选择并实施标准的安全措施来消减和控制风险 27 详细风险评估 详细风险评估要求对资产进行详细识别和评价 对可能引起风险的威胁和弱点水平进行评估 根据风险评估的结果来识别和选择安全措施 28 组合风险评估 基线风险评估耗费资源少 周期短 操作简单 但不够准确 适合一般环境的评估 详细风险评估准确而细致 但耗费资源较多 适合严格限定边界的较小范围内的评估 基于此 实践当中 企业多是采用二者结合的组合评估方式 29 第四节风险应对 30 风险应对 风险应对策略应对风险的具体行动风险组合观 31 风险应对策略 规避风险策略降低风险策略转嫁风险策略接受风险策略 32 应对风险的行动 33 风险消减 确定风险消减策略选择安全措施制定安全计划 34 风险控制 维护监视事件响应安全意识 培训和教育 35 维护内容 检查日志文件 修改调整必要的参数 反映变化需求 更新版本 安装补丁 36 监视内容 监视资产监视威胁监视弱点监视安全措施 37 事件响应过程 准备 检测 初始响应 通知 评估 处理 恢复 38 安全意识 培训和教育 39 风险组合观 企业管理部门确定的每个行动下的风险首先是在每一业务单元 部门或分支上考虑的 担负此项工作的经理要为每一单元设计风险综合评估体系 以反映该单元相对其目标和风险容忍度的剩余风险状况 40 第五节控制活动 41 控制活动 控制活动的目标控制活动与风险应对的联系控制活动的种类及要素 42 控制活动的目标 控制活动指为确保管理层指示得以执行的政策和程序 它们有助于保证采取必要措施来管理风险以实现企业目标 它贯穿于企业各层次和各部门 分别应用于五类目标 战略 经营 报告 资源及合规 43 控制活动与风险应对策略的联系 控制活动的选择和再考察应当包括他们对于风险反应措施和相关目标的相关性和恰当性的考虑 这可能通过分开考虑控制行为的恰当性或者通过在具有风险反应措施和相关的控制活动的情况下考虑残余风险来完成 44 控制活动的种类及要素 控制活动的种类控制活动的要素控制活动与风险评估结合控制活动应注意的问题控制活动的评估 45 控制活动的种类 预防性控制检查性控制手工控制信息化控制管理控制 46 控制活动的要素 1 确定应该做什么政策2 实现该政策的程序 47 控制活动与风险评估结合 在风险评估同时 管理层为了管理风险 应确定相应的行动并使之有效 被确定用于管理风险的行动也用于重点关注控制活动是否已经到位 以有助于确保正确 及时地执行这些行动 48 控制活动应注意的问题 企业特殊性中小企业的应用 49 控制活动的评估 评估者不仅考虑确定的控制活动是否与风险估计过程相关 而且还考虑它们的应用是否正确 50 本章重点与难点 企业风险管理的战略目标及其他相关目标的制定风险容忍程度的确定事项识别的方法和技术风险评估的可能性与影响风险应对策略控制活动与风险应对策略的关系 51 思考题 举例说明事前目标制定对于成功与否的重要性 设想你正在经营一家校园周边地段的饮食店 运用本章所学到的知识制定一份切实可行的目标 如何分析与辨别企业外部环境中的机会与威胁 并做出合理的应对措施 谈谈 事项识别 这一要素对我国目前证券公司风险管理的启示 52 思考题 审计过程中 对控制风险的初评和再评的结果对实质性测试有何影响 现实中 企业领导层如何利用风险评估达到改善公司治理的目的 内部审计部门的存在是否能够为企业风险反应机制的建立起到良好的带动作用 列举你所知道的控制活动成功或失败的案例 更好地理解控制活动的意义 53 可进一步阅读的文献 美 鲁特 超越COSO 强化公司治理的内部控制 刘霄仑主译 中信出版社 2004年5月版 程新生 公司治理 内部控制 组织结构互动关系研究 会计研究 2004年第4期 第14 18页 朱荣恩 内部控制评价 中国时代经济出版社 2003年版 李敏 内部会计控制规范与监控技术 上海财经大学出