内部控制与风险管理框架PPT课件

内部控制与风险管理框架 第一部分内部控制的发展与演变 一 内部控制的渊源和早期发展二 内部控制的初步形态 内部牵制三 内部控制理论和实践的分野四 内部控制的发展与演变五 国际上较有影响的内部控制准则或指南六 我国内部控制规范建设的情况 一 内部控制的渊源和早期发展 内部控制的渊源十分久远 自从有了人类的群体活动和组织之后 就会产生对组织的成员及其活动进行控制的需要内部控制的发轫最早可以追溯到公元前3600年 公元前3200年的苏美尔文化时期古埃及 古波斯 古希腊 古罗马和古代中国都有原始内部牵制制度的雏形原始的内部牵制制度最早是为部落 城邦 庄园 国家服务的 中世纪资本主义生产关系萌芽 商业组织开始出现 内部牵制进入企业领域 开启了一个广阔的发展空间控制 control 一词最早产生于17世纪 其原始含义是 由登记者之外的人对帐册进行的核对和检查 二 内部控制的初步形态 内部牵制 内部控制是从内部牵制 internalcheck 的基础上发展起来的20世纪以前 盛行的观念和实务都停留在内部牵制阶段内部牵制的目的是纠错防弊 其前提性假设是 两个或多个人犯同一种错误的概率较小 两个或多个人串通舞弊的可能性较小 难度较大内部牵制的基本思路是分工和牵制主要的牵制机能包括 分权牵制 实物牵制 机械牵制和簿记牵制 三 内部控制理论和实践的分野 审计视角下的内部控制20世纪以后 审计职业界出于摆脱全面查核 提高审计效率的考虑 开始关注内部控制20世纪中叶 审计和内部控制的发展不断交织 进而互动和耦合 直接导致了制度基础审计模式的诞生此后 内部控制逐渐确立了在审计中的地位 成为推动审计模式演变和探索审计理论与方法的重要因素之一内部控制与审计的交叉和耦合 是推动内部控制理论与实践发展的最主要的力量 管理视角下的内部控制现代管理学说把控制看作管理的一项核心职能 围绕着管理所展开的控制研究和实践 是内部控制发展的一个重要分支 我们一般把这个分支统称为管理控制几乎所有的著名管理大师 包括法约尔 德鲁克 钱德勒 罗宾斯等 在他们的管理学著作中 都涉及到控制问题 围绕着管理控制 形成了自我控制论 控制过程论 控制系统论 控制动力论 生态控制论等多个分支这个学派随着控制论 系统论和现代管理学的发展而不断发展而专以控制研究而著称的前沿观点以哈佛大学西蒙斯教授的管理杠杆理论最具代表性 战略管理会计视角下的内部控制随着现代管理会计的发展 战略管理会计学派的一个分支将组织内的控制系统区分为战略规划 管理控制和作业控制三个层次管理控制主要是多事业部制的公司对其战略业务单元 SBU 所进行的战略业绩考评和控制系统这个学派的主要代表是哈佛大学的安东尼教授和卡普兰教授 四 内部控制的发展与演变 内部控制阶段1936 AIA 独立公共会计师对财务报表的检查 首次提出内部控制的概念注册会计师在制定审计程序时 应考虑的一个重要因素是审查企业的内部牵制和控制 企业的会计制度和内部控制越健全 财务报表需要测试的范围就越小内部控制是为了保护公司现金和其他资产 核对簿记的准确性 而在公司内部采用的手段和方法 1938年 麦克森 罗宾斯事件 PW的审计程序中缺少对内部控制和会计处理程序的审查1939年10月 AIA审计程序委员会发布SAP1 审计程序的扩展 首次增加内部控制审查的内容1940年10月 SEC正式要求审计师在签署的审计报告中增加类似的内容 1949年 AIA审计程序委员会 CAP 内部控制 一个协调的系统要素及其对管理层和独立公共会计师的重要性 首次给出内部控制的权威定义内部控制包括组织的计划和为了保护资产 核对会计资料准确性和可靠性 提高经营效率 以及促使遵循管理层所制定的各项政策所采取的各种方法和措施 内部控制系统阶段1958年10月 CAP发布了SAP29 独立审计师评价内部控制的范围 将内部控制划分为会计控制和管理控制1963年10月 CAP在SAP33 审计准则与程序 汇编 中强调 独立审计师应主要检查会计控制 1972年11月 SAP54 审计师对内部控制的研究与评价 对管理控制和会计控制的定义进行了修订和充实1972年11月 AudSEC发布SAS1 审计准则和程序汇编 会计控制包括组织的计划和与保护资产和保证财务资料的可靠性有关的程序和记录管理控制包括但不限于组织的计划和与管理层授权办理经济业务的决策过程有关的程序和记录 1977年 反国外腐败行为法案 FCPA 要求公众公司保持充分的内部会计控制 采纳SAS1的定义1979年 SEC要求公众公司在年度报告中增加管理层报告 对公司内部会计控制是否为FCPA规定的内部控制目标提供合理保证作出说明 并要求注册会计师进行审查 发表意见 内部控制结构阶段1988年4月 ASB发布SAS55 财务报表审计中对内部控制的考虑 引入 内部控制结构 的概念内部控制结构包括为合理保证企业特定目标的实现而建立的各项政策和程序内部控制结构包括3个要素 控制环境 会计体系 控制程序 内部控制整合框架阶段1992年9月 COSO发布 内部控制 整合框架 1994年局部修订 COSO成立于1987年 是Treadway委员会 反欺诈财务报告全国委员会 的发起组织委员会 后者成立于1985年 由AICPA AIA IIA FEI IMA发起成立 内部控制的3个目标 经营的有效性和效率 财务报告的可靠性 对适用法律法规的遵循内部控制的5个构成要素 控制环境 风险评估 控制活动 信息与沟通 监控1995年12月 ASB发布SAS78 财务报表审计中对内部控制的考虑 对SAS55的修正 全面采纳COSO的内部控制框架SOX404及相关规则采用的也是这个框架 企业风险管理整合框架 未来趋势 2004年9月 COSO正式发布 企业风险管理 整合框架 ERM的4个目标 战略 经营 报告 合规ERM的8个构成要素 内部环境 目标设定 事项识别 风险评估 风险应对 控制活动 信息与沟通 监控 五 国际上较有影响的内部控制准则或指南 国际上较有影响的内部控制框架 准则和指南1 美国 COSO 内部控制 整合框架 1992年9月 1994年局部修订 它是目前最有影响的框架性文件 是此后诸多准则 指南的蓝本 也是美国公认审计准则相关规定 SOX法案相关要求的主要参照 2 美国 GAO 审计总署 2004年改名为政府问责署 简称仍为GAO 联邦政府内部控制准则 1999年11月 内部控制进入公共部门的代表性标志 3 巴塞尔银行业监管委员会 银行业机构内部控制系统框架 1998年9月 权威而影响广泛的金融机构内部控制国际指南 4 英国 FRC 财务报告委员会 Turnbull内部控制指南 2005年10月修订 Turnbull内部控制指南最初由ICAEW 英格兰与威尔士特许会计师协会 于1999年发布 5 加拿大 CoCo 控制标准委员会 隶属于加拿大特许会计师协会 CICA 控制指南 1995年 与风险管理相结合的权威内部控制框架 准则和指南1 美国 COSO 企业风险管理 整合框架 2004年9月2 英国 IRM 风险管理学会 AIRMIC 保险与风险管理师协会 ALARM 全国公共部门风险管理论坛 风险管理准则 2002年3 澳大利亚 新西兰 AS NZS4360 风险管理准则 2004年 最初的版本于1995年发布 4 加拿大 CAN CSA Q850 97 风险管理指南 1997年10月5 南非 King委员会报告II 公司治理报告 2002年 其中包括内部控制和风险管理 6 中国香港特别行政区 香港会计师公会 HKICPA 内部控制与风险管理 基本框架 2005年6月7 日本 经济产业省风险管理与内部控制研究会 风险新时代的内部控制 2005年6月 与信息技术相结合的权威内部控制准则和指南1 国际标准组织 ISO ISO17799 信息系统安全 2005年2 ISACA 信息系统审计与控制协会 ITGI IT治理协会 信息与相关技术的控制目标 COBIT 2003年 最初的版本于1996年发布 3 IIARF 内部审计师协会研究基金会 系统可审计性与控制 SAC 最初于1991年发布 1994年修订 六 我国内部控制规范建设的情况 财政部 内部会计控制规范 2001年6月22日 内部会计控制规范 基本规范 试行 内部会计控制规范 货币资金 试行 2002年12月23日 内部会计控制规范 采购与付款 试行 内部会计控制规范 销售与收款 试行 2003年10月22日 内部会计控制规范 工程项目 试行 2004年8月19日 内部会计控制规范 担保 试行 内部会计控制规范 对外投资 试行 商业银行 保险机构内部控制指引1997年5月16日 中国人民银行 加强金融机构内部控制的指导原则 已废止 2002年9月7日 中国人民银行 商业银行内部控制指引 2004年12月25日 中国银监会 商业银行内部控制评价试行办法 2005年2月28日 中国保监会 保险中介机构内部控制指引 试行 证券公司 基金公司内部控制指引2001年1月31日 中国证监会 证券公司内部控制指引 已废止 2002年12月3日 中国证监会 证券投资基金管理公司内部控制指导意见 2003年12月15日 中国证监会 证券公司内部控制指引 修订 2006年6月30日 中国证监会 证券公司融资融券业务试点内部控制指引 2007年2月13日 中国证监会 证券投资基金销售机构内部控制指导意见 征求意见稿 上市公司内部控制指引2006年6月5日 上海证券交易所上市公司内部控制指引 自2006年7月1日起施行2006年9月28日 深圳证券交易所上市公司内部控制指引 自2007年7月1日起施行 其他2006年6月6日 国务院国有资产监督管理委员会 中央企业全面风险管理指引 2002年2月 中国注册会计师协会 内部控制审核指导意见 2006年7月6日 财政部企业内部控制标准委员会成立主席 王军 财政部副部长 副主席 李小雪 中国证券监督管理委员会纪委书记 邵宁 国务院国有资产监督管理委员会副主任 秘书长 刘玉廷 财政部会计司司长 委员 29人 2008年5月22日 财政部 证监会 审计署 银监会 保监会发布 企业内部控制基本规范 自2009年7月1日起在上市公司范围内施行鼓励非上市的大中型企业执行 2010年4月26日 财政部 证监会 审计署 银监会 保监会联合发布了 企业内部控制配套指引 该配套指引包括18项 企业内部控制应用指引 企业内部控制评价指引 和 企业内部控制审计指引 并规定自2011年1月1日起在境内外同时上市的公司执行 2012年1月1日起在上交所 深交所主板上市公司执行 指引 连同此前发布的 规范 标志着适合我国企业内部控制规范体系已基本建成 内部控制标准体系基本规范应用指引评价指引审计指引 需要面对的问题 企业内部控制基本规范 与两个交易所 上市公司内部控制指引 之间的关系 企业内部控制基本规范 与 中央企业全面风险管理指引 之间的关系 第二部分内部控制整合框架 一 定义二 控制环境三 风险评估四 控制活动五 信息与沟通六 监控七 内部控制的局限八 职能与责任 一 定义 内部控制是一个由企业董事会 管理层和其他员工实施的 旨在为下列各类目标的实现提供合理保证的过程 经营的有效性和效率财务报告的可靠性遵循适用的法律和法规 这个定义反映了一些基本概念 内部控制是一个过程 它是实现目的的手段 而不是目的本身内部控制由人员来实施 它并不仅仅是政策手册和表格 还涉及组织中各个层级的人员只能期望内部控制为主体的管理层和董事会提供合理保证 而不是绝对保证内部控制被用来实现一个或多个彼此独立又相互交叉的类别的目标 内部控制的目标 经营 operations 目标 与主体资源利用的有效性与效率有关财务报告 financialreporting 目标 与编制可靠的公开财务报表有关合规 compliance 目标 与主体对适用的法律和法规的遵循有关 构成要素 控制环境 controlenvironment 所有业务活动的核心都是人员 他们的个人特性 包括诚信 道德价值观和胜任能力 以及他们进行经营所处的环境 他们是推动主体发展的引擎 也是所有事情依赖的基础风险评估 riskassessment 企业必须了解和应对它所面临的风险 它必须设定目标 整合销售 生产 营销 财务和其他活动 以便使组织协调一致地运行 它还必须建立识别 分析和管理相关风险的机制 控制活动 controlactivities 必须确立和执行控制政策和程序 以帮助确保那些被管理层确认为对实现主体目标的风险而言所必需的活动得以有效地实施信息与沟通 informationandcommunication 围绕在这些活动周围的是信息与沟通系统 它们使主体的员工能够获得和交换那些执行 管理和控制其运营所需的信息监控 monitoring 必须对整个过程进行监控 并在必要时作出修改 这样 该体系才能作出动态反应 随着情况的需要而变化 目标和构成要素之间的关系 目标和构成要素之间有着直接的关系 目标是主体努力争取实现的东西 构成要素则代表着要实现这些目标需要什么每个构成要素行都 贯穿 并适用于所有三类目标所有五个构成要素与每一类目标都有关联内部控制与整个企业相关 或与它的某一部分 子公司 分部或其他业务单元 或者职能或诸如购买 生产 营销等其他活动 相关 有效性如果董事会和管理层能够合理保证以下三个方面 则内部控制可以在三类目标中任何一类上可分别被判断为有效 他们了解主体的经营目标得以实现的程度 公布的财务报表被可靠地编制 适用的法律和法规得到了遵循确定特定的内部控制体系是否有效是一种主观判断 它来自对五个构成要素是否存在并有效运行的评估 内部控制和管理过程 二 控制环境 控制环境设定了一个组织的基调 影响其员工的控制意识它是内部控制的其他所有构成要素的基础 为其提供了秩序和结构 控制环境的要素包括诚信和道德价值观对胜任能力的要求董事会或审计委员会管理层的理念和经营风格组织结构权力和责任的分配人力资源政策和实务 评价诚信和道德价值观 存在并执行有关可接受的经营实务 利益冲突或期望的道德行为准则方面的行为守则和其他政策 涉及员工 供应商 客户 投资者 债权人 保险公司 竞争者和审计师等 例如 管理层是否在一个较高的道德水准上开展经营 坚持其他人也必须这样 或者不重视道德问题 达到不切实际的业绩目标 尤其是短期成果 的压力 以及薪酬于实现这些业绩目标挂钩的程度 对胜任能力的要求 正式或非正式的岗位描述 或者其他界定构成特定岗位的任务的方式 对充分履行岗位职责所需要的知识和技能的分析 董事会或审计委员会 独立于管理层 以便提出必要的问题 即使这些问题很困难或需要调查 与首席财务官和 或会计负责人 内部审计人员和外部审计师会谈的频率和及时性 向董事会或专门委员会成员提供信息的充分性和及时性 提供这些信息是为了获准监控管理层的目标和战略 企业的财务状况和经营成果 以及重大协议的条款 向董事会或审计委员会通报敏感信息 调查事项和不当行为 例如 高级官员的旅行费用 重大诉讼 监管机构的调查 贪污 受贿或滥用公司资产 违反内幕交易规则 政治性捐款 非法支付 的充分性和及时性 管理层的理念和经营风格 承担的经营风险的性质 例如 管理层是否经常涉足风险特别高的投机活动 或者对在承担风险方面极其保守 高级管理层和运营管理层之间互动的频率 尤其是在地理位置偏远的地区进行运营时 对财务报告的态度和行动 包括对会计处理方法运用的争议 例如 选择稳健的还是激进的会计政策 是否错用了会计原则 没有披露重要的财务信息 或者篡改或伪造记录 组织结构 主体组织结构的适当性 以及提供必要的信息流以便管理其活动的能力 关键管理人员责任界定的适当性 以及他们对这些责任了解的充分性 相对于其责任而言 关键管理人员知识和经验的充分性 权力和责任的分配 分配责任和授予权力以便实现组织宗旨和目标 经营职能和监管要求 包括对信息系统的责任和对变革的授权 与内部控制相关的准则和程序的适当性 包括员工岗位描述 足够数量的具备与主体规模 活动和系统的性质和复杂程度相适应的必要技能的人员 尤其是与数据处理和会计职能有关的人员 人力资源政策和实务 员工聘用 培训 晋升和薪酬方面的政策和程序制定到位的程度 为应对偏离既定政策和程序所采取的补救措施的适合性 对员工候选人的背景进行核查的充分性 尤其是当企业认为对其以前的行为或活动无法接受的情况下 员工保留和晋升标准以及信息收集方法 例如 业绩评价 的适当性 以及与行为守则和其他行为指南的关系 三 风险评估 每个主体都面临着来自外部和内部的必须予以评估的一系列风险风险评估的前提是设定在各个层次相互关联和内在一致的目标风险评估是识别和分析影响目标实现的相关风险 为确定应该如何管理这些风险奠定基础 目标目标设定是风险评估的前提条件 必须首先有目标 管理层才能识别实现这些目标的风险 并采取必要的措施来管理风险目标设定是管理过程的一个关键部分 尽管它不是内部控制的构成要素 但它是内部控制的先决条件和使能方法目标的类别 经营目标 财务报告目标 合规目标目标的交叉 保护资产 风险识别和分析风险的过程是一个持续的重复过程 它是有效的内部控制体系的关键构成要素风险识别主体层次 外部因素 内部因素活动层次 风险分析 估计风险的严重性 评估风险发生的可能性 或频率 考虑如何管理风险 即评估需要采取何种措施应对变化 评价主体层次的目标 对主体目标充分陈述的程度 是否对主体期望实现的目标提供充分的指导 而且特定目标直接与该主体相关 向员工和董事会传达主体目标的有效性 主体目标与各种策略的关系和一致性 主体目标 战略计划和当前环境条件与经营计划和预算的一致性 活动层次的目标 活动层次目标与主体层次的目标和战略计划的关联度 活动层次目标之间的一致性 活动层次目标与所有重要的业务流程的相关性 活动层次目标的特异性 与目标相关的资源是否充足 识别对实现主体层次的目标来说是较重要的目标 关键成功因素 各级管理层参与目标设定 以及他们对实现目标履行诺言的程度 风险 识别外部因素造成风险的机制是否足够全面 识别内部因素造成风险的机制是否足够全面 为每个重要的活动层次目标识别重大风险 风险分析流程 包括估计风险的重要性 评估风险出现的可能性并确定需要采取的行动 的彻底性和相关性 应对变化 是否存在各种机制去预测 识别并对影响实现主体或活动层次目标的日常事件或活动作出反应 通常由负责受该种变化影响最大的业务活动的管理人员来实施 是否存在各种机制去识别变化并对变化作出反应 这种变化会给主体带来巨大和渗透性影响而且可能还需要高级管理层的关注 四 控制活动 控制活动是指为确保管理层的指令得以贯彻执行的政策和程序它有助于确保采取必要的行动进行风险管理和保证主体层次的目标的实现控制活动贯穿于主体的所有级别和职能部门它包括一系列不同的活动 如批准 授权 验证 核对 经营业绩评价 资产保全以及职责分离等 控制活动的类型高层复核直接的职能活动或业务管理信息处理实物控制业绩指标职责分离 对信息系统的控制一般控制数据中心操作控制系统软件控制接触安全控制应用系统开发和维护控制应用控制 五 信息与沟通 相关信息必须以某种形式和在一定时限内被识别 获得和传达沟通 以便可以使员工履行自己的责任信息系统生成含有与经营 财务和合规性有关信息的报告 从而使管理运作和控制主体成为可能信息系统不仅处理内部生成的数据 也处理有关外部事件 活动和条件状况的信息 这些信息对有资料依据的主体的决策和外部报告都是必需的 有效的沟通也必须广泛的进行 自上而下 自下而上地贯穿整个主体所有人员都要从高级管理层获得明确的信息 必须认真对待控制责任他们必须了解各自在内部控制体系中担任的职能 以及个人参与的控制活动与他人工作是如何相互关联的他们必须有自下而上传递重要信息的渠道和方法同时 也需要与外部各方如客户 供应商 监管机构和股东等建立有效的沟通 评价信息系统 获得外部和内部信息 向管理层提供必要的报告 说明与实现主体确立目标相关的主体业绩表现 向合适的人及时提供足够详细的信息 使他们能够有有效性和效率地履行其责任 依据一份信息系统战略计划 与主体总体战略相关 发展或修改信息系统 使其为实现主体层次的目标及活动层次目标服务 通过承诺提供适当的人力财力资源显示管理层对发展必要的信息系统的支持 沟通系统 传达交流员工义务和控制责任的有效性 建立沟通渠道 使员工可以举报受到怀疑的不当行为 管理层对员工建议提高生产力 强化质量或其它相似改进的方法的接受程度 主体内部相互之间沟通是否足够 例如 采购活动与生产活动之间 信息的完整性和及时性以及是否足以使人们有效地履行其责任 与客户 供应商和其他外部有关方沟通交流不断变化的客户需求信息的渠道的开放性和有效性 外部各方已了解该主体道德准则的程度 管理层通过与客户 供应商 监管机构或其他外部有关方的沟通 采取了及时和合适的跟进措施 六 监控 对内部控制需要进行监控监控是一个评估内部控制体系在一定时期内运行质量的过程监控可以通过持续性的监控活动 个别评价或两者并用来实现这个过程 持续性监控活动发生在经营的过程中 它包括日常管理和监控活动以及个人在履行其责任时采取的其他行动个别评价的范围和频率将主要取决于风险评估和持续性监控程序的有效性应自下而上汇报内部控制的缺陷 其中严重的问题应上报高级管理层和董事会 持续性监控活动的例子在执行常规管理活动时 负责运营的管理层获取内部控制持续发挥功能的证据与外界各方的沟通能够印证内部生成的信息或揭示问题适当的组织结构和监控活动可监控内部控制职能的执行并识别内部控制的缺陷 将信息系统所记录的数据与实物资产相比较内部及外部审计师定期为进一步加强内部控制的方法提供建议培训研讨会 计划会议及其他会议可以向管理层提供有关内部控制是否有效的重要反馈定期要求主体员工明确说明他们是否理解并遵守主体的员工行为守则 个别评价个别评价内部控制的范围和频率主要取决于被控风险的重要性以及内部控制在减少风险中的重要性内部控制自我评估缺陷报告 评价持续性监控 在员工进行其日常活动中获得证据的程度 以此表明内部控制体系是否继续发挥作用 与外部各方进行沟通确认内部生成的信息或指明问题的程度 定期对会计系统记录的金额与实物资产进行核对 对内部和外部审计师建议增强内部控制手段的反应 培训研讨会 计划会议及其他会议向管理层提供有关内部控制是否有效的重要反馈的程度 是否定期要求员工说明他们是否理解并遵守主体的员工行为守则并且正常执行了关键控制活动 内部审计活动的有效性 个别评价 内部控制体系个别评价的范围和频率 评价流程的适合性 评价内部控制体系的方法是否合理 适当 文件记录水平的适当性 报告缺陷 是否有获取和报告识别出的内部控制缺陷的机制 上报规程的适合性 跟进行动的适合性 七 内部控制的局限 无论内部控制设计和运行的多完善 它也只能向管理层和董事会就实现主体目标提供合理保证实现主体目标的可能性受到所有内部控制体系的固有局限的影响 这些局限包括 在决策时个人判断可能会出错由于简单的误差或错误这样的失误而可能出现内部控制失效两人或多人的串通也可以绕过内部控制管理层能够凌驾于内部控制之上系统另一个限制性因素是需要考虑内部控制的相对成本和收益 八 职能与责任 主体中每一个人都对内部控制负有责任管理层要为主体的内部控制体系负责首席执行官最终对内部控制体系负责并应承担内部控制体系 所有权 的责任尽管管理层的所有成员都发挥着重要作用并对控制他们各自部门的活动负责 但首席财务官和总会计师对管理层行使控制的方式起着主要的作用 内部审计人员在内部控制体系持续有效性方面发挥着作用 但他们不承担建立和维持该系统的主要责任董事会和其审计委员会对内部控制体系提供重要的监控外部有关方面 例如外部审计师 常常在实现主体目标方面发挥作用并提供在实施内部控制中有用的信息 但是 他们不是主体内部控制体系的一部分 也不对内部控制体系的有效性负责 第三部分企业风险管理整合框架 一 定义二 内部环境三 目标设定四 事项识别五 风险评估六 风险应对七 控制活动八 信息与沟通九 监控十 职能与责任十一 企业风险管理的局限 一 定义 不确定性与价值企业风险管理的一个基本前提是每一个主体存在的目的都是为它的利益相关者提供价值所有的主体都面临不确定性 对于管理层的挑战在于确定在追求增加利益相关者价值的同时 准备承受多少不确定性 事项 风险与机会风险是一个事项将会发生并给目标实现带来负面影响的可能性机会是一个事项将会发生并给目标实现带来正面影响的可能性 企业风险管理的定义企业风险管理是一个过程 它由一个主体的董事会 管理层和其他人员实施 应用于战略制订并贯穿于企业之中 旨在识别可能会影响主体的潜在事项 管理风险以使其在该主体的风险容量之内 并为主体目标的实现提供合理保证 企业风险管理是 一个过程 它持续地流动于主体之内 由组织中各个层级人员实施 应用于战略制订 贯穿于企业 在各个层级和单元应用 还包括采取主体层级的风险组合观 旨在识别一旦发生将会影响主体的潜在事项 并把风险控制在风险容量以内 能够向一个主体的管理层和董事会提供合理保证 力求实现一个或多个不同类型但相互交叉的目标 它只是实现结果的一种手段 并不是结果本身 风险容量与风险容限风险容量 riskappetite 是一个主体在追求价值的过程中所愿意承受的广泛意义的风险的数量 它反映了主体的风险管理理念 进而影响主体的文化和经营风格 风险容限 risktolerance 是相对于实现一项具体目标而言 可以接受的偏离程度 它通常最好采用那些与度量相关目标相同的单位进行度量 四类目标战略 与高层次的目的相关 协调并支撑主体的目标 经营 与利用主体资源的有效性和效率相关 报告 与主体报告的可靠性相关 合规 与主体符合适用的法律和法规相关 企业风险管理的构成要素内部环境 管理层确立关于风险的理念 并确定风险容量 内部环境为主体中的人们如何看待风险和着手控制确立了基础 所有企业的核心都是人 他们的个人品性 包括诚信 道德价值观和胜任能力 以及经营所处的环境 目标设定 必须先有目标 管理层才能识别影响它们的实现的潜在事项 企业风险管理确保管理层采取恰当的程序去设定目标 确保所选定的目标支持和切合该主体的使命 并且与它的风险容量相一致 事项识别 必须识别可能对主体产生影响的潜在事项 事项识别涉及到从影响目标实现的内部或外部原因中识别潜在的事项 它包括区分代表风险的事项和代表机会的事项 以及可能二者兼有的事项 机会被反馈到管理层的战略或目标制订过程中 风险评估 要对识别的风险进行分析 以便形成确定应该如何对它们进行管理的依据 风险与可能被影响的目标相关联 既要对固有风险进行评估 也要对剩余风险进行评估 评估要考虑到风险的可能性和影响 风险应对 员工识别和评价可能的风险应对 包括回避 承担 降低和分担风险 管理层选择一系列措施使风险与主体的风险容限和风险容量相协调 控制活动 制订和实施政策与程序以帮助确保管理层所选择的风险应对得以有效实施 信息与沟通 相关的信息以确保员工履行其职责的方式和时机予以识别 获取和沟通 主体的各个层级都需要借助信息来识别 评估和应对风险 有效沟通的含义比较广泛 包括信息在主体中的向下 平行和向上流动 员工获得有关他们的职能和责任的清晰的沟通 监控 对企业风险管理进行全面监控 必要时加以修正 通过这种方式 它能够动态地反应 根据条件的要求而变化 监控通过持续的管理活动 对企业风险管理的个别评价或者两者相结合来完成 目标与构成要素之间的关系 有效性尽管企业风险管理是一个过程 它的有效性却是在某个时点上的一种状态或情况确定企业风险管理是否 有效 是在对八个构成要素是否存在和有效运行的评估的基础之上所作出的判断如果这些构成要素存在且正常运行 那么就可能没有重大缺陷 而风险可能已经被控制在主体的风险容量以内 涵盖内部控制内部控制是企业风险管理不可分割的一部分企业风险管理框架涵盖了内部控制 从而构建一个更强有力的概念和管理工具 企业风险管理与管理过程企业风险管理是管理过程的一部分但是并不是管理层所做的每一件事情都是企业风险管理的一部分 管理层在决策和相关的管理活动中所运用的许多判断 尽管是管理过程的一部分 但是并不是企业风险管理的一部分 例如 确保有一个恰当的目标设定过程是企业风险管理的一个重要的构成要素 但是管理层所选定的特定目标并不是企业风险管理的一部分根据对风险的恰当评估去应对风险是企业风险管理的一部分 但是所选定的具体风险应对和主体资源的相应配置却不是确定和执行控制活动以帮助确保管理层选择的风险应对得以有效实施是企业风险管理的一部分 但是所选定的特定的控制活动却不是 二 内部环境 风险管理理念风险容量董事会诚信与道德价值观对胜任能力的要求组织结构权力和职责的分配人力资源准则 风险管理理念主体的风险管理理念代表着决定主体如何考虑所有活动中的风险的共同的信念和态度它反映了主体的价值观 影响它的文化和经营风格它影响着如何应用企业风险管理的构成要素 包括如何识别事项 所承受的风险的类型 以及如何对它们进行管理它被很好地确立和理解 并为主体的员工所信奉它体现在政策描述 口头和书面沟通以及决策之中管理层不仅通过语言而且通过日常行动来强化这种理念 风险容量主体的风险容量反映了主体的风险管理理念 并且影响着文化和经营风格它在战略制订的过程中予以考虑 使战略与风险容量相协调 董事会董事会是积极的 它拥有一定程度的管理 技术和其他专长 并且具有履行其监督职责所需的思维方式它准备质疑和仔细审查管理层的活动 提出不同的观点 以及在遇到不当行为时采取行动独立的外部董事至少占多数它提供对企业风险管理的监督 并且知道和同意主体的风险容量 诚信与道德价值观主体的行为准则反映了诚信和道德价值观道德价值观不仅通过有关什么是对的和错的的明确指南来进行沟通 而且是与其共存的诚信和道德价值观通过正式的行为守则予以沟通向上的沟通渠道存在于员工感觉带来相关信息很舒服的地方对于违反守则的员工进行处罚 鼓励员工报告可疑的违反行为的机制 并针对有意不报告违反行为的员工采取惩戒措施诚信和道德价值观通过管理层的行动和他们树立的榜样予以沟通 对胜任能力的要求主体中的人员的胜任能力反映完成指定任务所需的知识和技能管理层要协调胜任能力和成本 组织结构组织结构界定职责和责任的关键范围它确立了报告的途径确定组织结构要考虑主体的规模和活动的性质它使有效的企业风险管理成为可能 权力和职责的分配权力和职责的分配确定了个人和团队被授权和鼓励采取行动去处理问题和解决问题的程度 它还为权力提供了限制分配确立了报告关系和授权规程描述恰当经营实务的政策 关键员工的知识和经验 以及相关的资源个人知道他们的行动是如何相互关联的以及对实现目标的贡献 人力资源准则针对雇用 定位 培训 评价 指导 晋升 薪酬和补偿措施的准则 推动期望的诚信水平 道德行为和胜任能力惩戒措施传递对期望行为的违反将不会被宽宥的信息 三 目标设定 战略目标战略目标是高层次的目标 它与主体的使命 愿景相协调 并支持后者战略目标反映了管理层就主体如何努力为它的利益相关者创造价值所作出的选择 相关目标经营目标 这些目标与主体经营的有效性和效率有关 包括业绩和赢利目标和保护资源不受损失 它们因管理层对结构和业绩的选择而异 报告目标 这些目标与报告的可靠性有关 它们包括内部和外部报告 可能涉及到财务和非财务信息 合规目标 这些目标与符合相关法律和法规有关 它们取决于外部因素 在一些情况下对所有主体而言都很类似 而在另一些情况下则在一个行业内有共性 目标的交叉保护资产 资源目标的实现报告和合规目标的实现更多的是在主体的控制范围之内战略目标和经营目标的实现并不完全在主体的控制范围之内对于战略和经营目标 企业风险管理能够合理保证管理层和履行监督职责的董事会及时地知悉主体实现这些目标的程度 四 事项识别 事项事项是源于内部或外部的影响战略实施或目标实现的事故或事件事项可能带来正面或负面影响 或者两者兼而有之影响因素外部因素内部因素 外部因素经济自然环境政治社会技术 内部因素基础结构人员流程技术 事项识别技术事项目录 eventinventories 这些是一个特定行业内的公司所共通的潜在事项或者不同行业之间所共通的特定过程或活动的详细清单 软件产品能够列出共性潜在事项的有关清单 一些主体利用它作为事项识别的出发点 例如 从事一项软件开发项目的公司编制了一份目录 详细列示了与软件开发项目有关的共性事项 内部分析 internalanalysis 它可以作为常规性经营规划循环过程的一部分来完成 典型的是通过一个业务单元的员工会议 内部分析有时利用来自其他利益相关者 客户 供应商 其他业务单元 的信息 或者针对具体问题征询外部专家 内部或外部职能机构的专家或内部审计师 的意见 例如 一家正在考虑引入一个新产品的公司利用它自己的历史经验以及外部市场调研来识别那些曾经影响竞争者产品成功的事项 扩大或底限触发器 escalationorthresholdtriggers 这些触发器通过将现在的交易或事项与预先确定的标准进行对比 提醒管理层关注的领域 一旦被触发 可能就需要对一个事项进行进一步的评估或者立即予以应对 例如 一家公司的管理层针对新的营销或广告计划监控市场上的销售量 并根据其结果重新调配资源 另一家公司的管理层追踪竞争者的定价结构 并考虑在达到一个特定的底限时变更自己的价格 推进式的研讨与访谈 facilitatedworkshopsandinterviews 这些技术通过经过设计的讨论 利用管理层 员工和其他利益相关者所积累的知识和经验来识别事项 推进者主导有关可能会影响主体或单元目标实现的事项的讨论 例如 一名财务主计长与会计团队的成员一起召开了一个研讨会 来识别那些对主体的对外报告目标有影响的事项 通过结合团队成员们的知识和经验 能够识别出否则就会被遗漏的重要事项 过程流动分析 processflowanalysis 这种技术考虑构成一个过程的输入 任务 责任和输出的组合 通过考虑影响一个过程的投入或其中的活动的内部和外部因素 主体能识别那些可能影响过程目标实现的事项 例如 一家医学实验室绘制了血液样本的接收和测试流程图 它利用流程图来考虑那些可能影响输入 任务和责任的因素的范围 识别与样本标注 过程中的传递以及人员换班变动有关的风险 首要事项指标 leadingeventindicators 主体通过监控与事项有相互关系的数据 来识别可能导致一个事项发生的情形是否存在 例如 金融机构很早就认识到延迟偿还贷款与最终的贷款违约之间的相互关系 以及及早干预的积极作用 对偿还方式的监控使违约的可能性得以通过及时的行动而降低 损失事项数据方法 losseventdatamethodologies 有关过去单个损失事项的数据库是识别趋势和根本原因的一个有用的信息来源 一旦确定了根本原因 管理层就会发现它能比致力于单个事项更加有效地进行评估和处理 例如 一家经营大型车队的公司维护了一个事故投诉的数据库 通过分析发现事故的百分比在数量和货币金额上不成比例 它与特定单元 地域和年龄结构的驾驶员工有关联 这个分析使管理层能够确定事项的根本原因并采取行动 区分风险和机会具有负面影响的事项代表风险 它需要管理层的评估和应对具有正面影响或者抵消风险的负面影响的事项代表机会代表机会的事项被反馈到管理层的战略或目标制订过程中 以便规划行动去抓住机会 抵消风险的负面影响的事项在管理层的风险评估和应对中予以考虑 五 风险评估 固有风险 剩余风险管理层既要考虑固有风险 也要考虑剩余风险固有风险是管理层没有采取任何措施来改变风险的可能性或影响的情况下 一个主体所面临的风险剩余风险是在管理层的风险应对之后所残余的风险一旦风险应对已经到位 管理层接下来就要考虑剩余风险 估计可能性和影响可能性表示一个给定事项将会发生的或然率影响表示给定事项一旦发生所产生的后果 评估技术对标 benchmarking 作为一组主体之间的协作过程 对标着眼于具体的事项或过程 采用共通的标准比较计量指标和结果 并且识别改进的机会 建立有关事项 流程和计量指标的数据来比较业绩 一些公司利用对标来在整个行业中评估潜在事项的可能性和影响 概率模型 概率模型根据特定的假设将一系列事项以及所造成的影响与这些事项的可能性联系起来 在历史数据或反映对未来行为的假设的模拟结果的基础上 对可能性和影响进行评估 概率模型的例子包括风险价值 风险现金流量 风险盈利以及信贷和经营损失分布的计算等 概率模型可以采用不同的时间范围 以估计诸如不同时期金融工具的价值范围等结果 概率模型还可以用来评估期望的或平均的结果 以及极端的或非期望的影响 非概率模型 非概率模型在估计没有量化相关可能性的事项的影响时 利用主观的假设 根据历史或模拟数据和对未来行为的假设对事项的影响进行评估 非概率模型的例子包括敏感性指标 压力测试以及情景分析 六 风险应对 回避 avoidance 退出会产生风险的活动 风险回避可能包括退出一条产品线 拒绝向一个新的地区市场拓展 或者卖掉一个分部 降低 reduction 采取措施降低风险的可能性或影响 或者同时降低两者 它几乎涉及各种日常的经营决策 分担 sharing 通过转移来降低风险的可能性或影响 或者分担一部分风险 常见的技术包括购买保险产品 从事套期保值交易 hedgingtransactions 或外包一项业务活动 承受 acceptance 不采取任何措施去干预风险的可能性或影响 在确定风险应对的过程中 管理层应该考虑下列事项 潜在应对对风险的可能性和影响的效果 以及哪个应对方案与主体的风险容限相协调 潜在应对的成本与效益 除了应付具体的风险之外 实现主体目标可能的机会 选定的应对管理层所选定的应对旨在使预期的风险可能性和影响处于风险容限之内管理层要考虑一项应对可能导致的额外风险组合观管理层要从整个主体范围即组合的角度考虑风险管理层要确定主体的剩余风险是否与它的总体风险容量相称 七 控制活动 控制活动的类型高层审核 top levelreviews 高级管理层对照预算 预测 以前期间和竞争者来审核实际的业绩 直接的职能或活动管理 directfunctionaloractivitymanagement 负责职能机构或活动的管理人员审核业绩报告 信息处理 informationprocessing 实施一系列的控制来检查交易的准确性 完整性和授权 输入的数据要经过联机编辑核对 on lineeditchecks 或与经批准的控制文件相匹配 实物控制 physicalcontrols 对设备 存货 证券 现金和其他资产进行实物性的保护 定期盘点 并与控制记录上所反映的数额相比较 业绩指标 performanceindicators 把不同系列的 经营的或者财务的 数据彼此联系起来 与对相互关系的分析以及调查和矫正措施一起 构成了一项控制活动 职责分离 segregationofduties 把不同人员的职责予以分开或隔离 以便降低错误或舞弊的风险 对信息系统的控制一般控制包括对信息技术管理 信息技术基础结构 安全管理和软件获取 开发和维护的控制应用控制直接关注数据获取和处理的完整性 准确性 授权和有效性 一般控制信息技术管理信息技术基础结构安全管理软件获取 开发和维护 应用控制平衡控制活动核对数位预先确定数据清单数据合理性测试逻辑测试 八 信息与沟通 信息的类型内部 外部正式 非正式历史数据 当前数据 信息的质量内容是否恰当 信息是否处于正确的详细程度 信息是否及时 需要时是否有信息 信息是不是当前的 是不是最新可利用的信息 信息是否准确 数据是否正确 信息是否易于取得 需要的人是否容易取得信息 内部沟通应传达的内容有效的企业风险管理的重要性和相关性 主体的目标 主体的风险容量和风险容限 一套通用的风险语言 员工在实现和支撑企业风险管理的构成要素中的职能与责任 外部沟通客户供应商利益相关者监管机构财务分析师 九 监控 持续监控活动个别评价报告缺陷 持续监控活动监控活动包含在主体的正常的 反复的经营活动之中 在正常的业务经营过程中加以执行它们被实时地执行 并且动态地对变化的情况作出反应 个别评价个别评价直接关注企业风险管理的有效性 并提供了一个考察持续监控活动的持续有效性的机会评价者了解所着眼的主体的各项活动和企业风险管理的各个构成要素评价者以管理层的既定标准为背景来分析企业风险管理的设计和所执行的测试的结果 以确定企业风险管理是否针对规定的目标提供了合理保证 报告缺陷对于从内部和外部来源所报告的缺陷 要仔细地考虑它们对企业风险管理的影响 并采取恰当的矫正措施所有已识别的影响主体制订和执行其战略和实现其既定目标的能力的缺陷都要报告给那些被安排来采取必要措施的人员不仅要调查和矫正所报告的交易或事项 而且还要重新评价潜在的过失所属的程序制订规程以确定一个特定的层级为了有效地作出决策需要什么信息 十 职能与责任 董事会董事会知道管理层在组织中建立有效的风险管理的程度它知道并同意主体的风险容量它审核风险组合观并对照风险容量对其进行考虑知悉最重大的风险以及管理层是否在恰当地应对 管理层首席执行官最终对企业风险管理负责他 她确保存在积极的内部环境 并且企业风险管理的所有构成要素都存在掌管组织中各单元的高级管理人员负责管理与他们所在的单元的目标相关的风险他们指导企业风险管理的应用 以确保应用与风险容限相一致每位管理人员都就他 她在企业风险管理中的那一部分对更高一个层级负责 而CEO最终对董事会负责 风险官员财务执行官内部审计师其他内部人员 外部审计师立法和监管机构与主体有业务往来的外部方外包服务提供者财务分析师 债券评级机构和新闻媒体 十一 企业风险管理的局限 三种表现第一 风险与未来有关 而未来本来就具有不确定性 第二 企业风险管理 即使是有效的企业风险管理 针对不同的目标在不同的层次上运行 对于战略和经营目标而言 企业风险管理仅仅能够帮助确保管理层以及起监督作用的董事会及时地认识到该主体朝着实现这些目标前进的程度 但是它甚至不能为目标本身的实现提供合理保证 第三 企业风险管理不能对任何一类目标提供绝对保证 五个方面的原因判断故障串通成本与效益管理层凌驾 第四部分内部控制框架与企业风险管理框架之间的关系 比内部控制更广泛 内部控制被涵盖在企业风险管理之内 是其不可分割的一部分 企业风险管理比内部控制更广泛 拓展和细化了内部控制 以便形成一个更全面地关注风险的更加强有力的概念提炼 内部控制 整合框架 本身对于那些着眼于内部控制的主体和其他方面仍旧有效 目