内部控制与风险管理_第1页
内部控制与风险管理_第2页
内部控制与风险管理_第3页
内部控制与风险管理_第4页
内部控制与风险管理_第5页
已阅读5页,还剩61页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、内部控制及风险管理march 2009 2提纲一、全球和内部控制相关法律法规的发展趋势二、框架和理念介绍风险管理内部控制三、总结march 2009 3全球和内部控制相关法律法规的发展趋势march 2009 4全球和内部控制相关法律法规的发展趋势2002年7月美国萨班斯奥克斯利法案生效2003年3月澳大利亚证券交易所(asx)及其公司治理委员会采纳良好良好公司治理原则和最佳实务操作建议公司治理原则和最佳实务操作建议2004年11月香港联交所公布公司治理实务和公司治理报告的准则公司治理实务和公司治理报告的准则,要求公司董事至少每年审核一次内部控制的有效性,并在公司治理报告中向股东汇报2005年

2、2月加拿大安大略证券委员会要求管理层评估并测试有关财务报告的内部控制系统(mi 52-111)2005年5月新加坡交易所就其加强上市规定和程序的计划发行了一份公共咨文,提出了公司治理标准公司治理标准并促进更好的监管2008年8月加拿大证券管理委员会 canadian securities administrators (csa) 发布更新的national instrument 52-109 “certification of disclosure in issuers annual and interim filings”以提升证券发行人年度和中期披露的质量和可靠性march 2009 5全

3、球和内部控制相关法律法规的发展趋势欧盟2004年10月成立了“ “欧洲公司治理论坛欧洲公司治理论坛” ”(european corporate governance forum)2006年5月17日发布了欧盟新公司法第八号指令欧盟新公司法第八号指令 (european union - 8th company law directive,directive 2006/43/ec)德国2002年2月发布了deutscher corporate governance kodex 德德国公司治理准则国公司治理准则;最近的一次修改在2008年6月英国turnbull guidance, 1999the

4、combined code on corporate governance, jul 2003, financial reporting council法国法国金融安全法金融安全法(loi sur la scurit financire)于2003年8月1日实施意大利意大利金融服务机构法规金融服务机构法规(disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari l262/2005)于2005年12月28日实施march 2009 6全球和内部控制相关法律法规的发展趋势瑞士swiss code

5、 of obligationsswx swiss exchange directive on information relating to corporate governance (2002/2006)日本2006年6月14日发布了日本金融商品交易法 (the financial instruments and exchange law),并于2008年3月实施。法案与美国萨奥法案相类似,加强对上市公司的监管澳大利亚澳洲公司报告和信息披露法简称clerp9第9号法案与2004年7月1日实施南非南非2002年出台公司治理报告法规 the king code of 2002(corporate

6、 practices and conduct the king ii report on corporate governance)march 2009 7中国的相关法律法规的发展2004年8月中国国务院国有资产监督管理委员会第八号令中央企业内部审计管理暂行办法2005年10月中国国务院批转证监会关于提高上市公司质量意见的通知(国发200534号)2006年5月中国证券监督管理委员会令第32号首次公开发行股票并上市管理办法2006年5月中国证券监督管理委员会公开发行证券的公司信息披露内容与格式准则第9号-首次公开发行股票并上市申请文件等法规2006年6月上海证交所发布上海证券交易所上市公司内部

7、控制指引2006年6月国务院国有资产监督管理委员会发布国资发改革2006108号中央企业全面风险管理指引2006年7月7月15日财政部发起成立企业内部控制标准委员会(财会200611号)march 2009 8中国的相关法律法规的发展2006年9月深圳证交所发布深圳证券交易所上市公司内部控制指引2007年2月全国工商联出台关于指导民营企业加强危机管理工作的若干意见,旨在指导民营企业加强危机管理、建立现代企业制度2007年3月财政部公布企业内部控制规范基本规范和十七个具体规范的征求意见稿2007年3月中国证券监督管理委员会发布证监公司字200728号关于开展加强上市公司治理专项活动有关事项的通知

8、2008年2月国资厅发改革20085号:关于开展编报2008年中央企业全面风险管理报告试点工作有关事项的通知2008年年6月月财政部会同证监会、审计署、银监会和保监会制定和发布财政部会同证监会、审计署、银监会和保监会制定和发布企企业内部控制基本规范业内部控制基本规范,以及,以及关于征求关于征求企业内部控制评价企业内部控制评价指引指引企业内部控制应用指引企业内部控制应用指引和和企业内部控制鉴证指引企业内部控制鉴证指引意见的通知意见的通知 财办会财办会20087号号march 2009 9中国的相关法律法规的发展其他相关条例(部分)及生效日期:内部会计控制规范 (所有行业):2001开始逐年推行

9、证券投资基金管理公司内部控制指导意见:2002年12月证券公司内部控制指引:2003年12月保险中介机构内部控制指引:2004年3月期货经纪公司治理准则:2004年3月商业银行内部控制评价试行办法:2005年2月上市公司内部控制制度指引:2005年4月寿险公司内部控制评价办法:2006年1月march 2009 10企业风险管理报告march 2009 11企业报送全面风险管理报告的要求国资委在2008年2月18日颁布了关于开展编报试点工作有关事项的通知:-要求国资委19家董事会试点企业以及已经在美国上市的12家中央企业编制企业风险管理报告-在2008年5月30日之前上报2008年10月31日

10、颁布了关于2009年中央企业开展全面风险管理工作有关事项的通知(国资厅发改革2008115号):-不再开展编报企业风险管理报告试点工作-继续印发2009年中央企业全面风险管理报告(模本)-中央企业自主选择自主选择是否向国资委报送 -选择报送单位要严格做好编报的相关保密工作 -2009年3月31日前报送年度风险评价将成为中央企业的一项持续性工作项目简介march 2009 12国资委2008年企业全面风险管理报告-模本 全面风险管理报告内容要求:第一部分2008风险管理工作有关情况(一)2008面临的重大风险(二)重大风险管理基本流程执行情况(三)2008企业风险管理计划第二部分风险管理体系(一

11、)风险管理组织(二)内部控制体系(三)风险管理信息系统(四)风险管理文化(五)风险管理与绩效考核march 2009 13国资委2009年企业全面风险管理报告-模本2008年度风险管理工作有关情况-2008年度企业风险管理工作计划的执行情况-企业管理重大风险的效果,包括在管理机会风险方面所取得的主要成效-企业建立风险事件库的相关情况2009年风险管理工作有关情况-企业2009年面临的重大风险-重大风险管理基本流程执行情况-企业全面风险管理工作总体规划及2009年企业风险管理计划企业全面风险管理体系及风险管理文化建设现状-风险管理组织体系-内部控制系统-风险管理信息系统-风险管理文化-风险管理与

12、绩效考核有关意见和建议march 2009 14企业内部控制基本规范介绍march 2009 15企业内部控制基本规范背景2006年7月财政部成立了企业内部控制标准委员会,开始编制工作2007年3月发布征求意见稿2008年6月28日财政部、审计署、证监会、银监会、保监会联合颁布企业内部控制基本规范-参阅关于印发企业内部控制基本规范的通知:财会20087号http:/ 2009 16基本规范总览结构共分为七章50条-第一章:定义了基本规范的适用范围,提出了管理层年度评估内部控制的要求-第二至六章:叙述了企业内部控制需要考虑的原则与相关管理要素-第七章:规定了基本规范开始实施的日期,指明了基本规范

13、由财政部会同国务院其他有关部门解释涵盖内容虽然没有明确引用相关的国际标准或框架(如:coso),但基本规范的内容和国外的标准框架和概念大致相同没有如美国和日本把重点局限于财务报告相关的内部控制,因此与国外同等的内控法规不尽相同march 2009 17规范的关键要求生效日和适用范围生效日-自2009年7月1日起实施 基本规范第50条-上市公司范围内施行,鼓励非上市的大中型企业执行 通知适用范围-中华人民共和国境内设立的所有大中型企业 基本规范第2条march 2009 18规范的关键要求内部控制以及关键原则的定义企业建立与实施内部控制应当遵循的五个原则 :-全面性:全面性:内部控制应当贯穿决策

14、、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项-重要性:重要性:内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域-制衡性:制衡性:内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率-适应性:适应性:内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整-成本效益:成本效益:内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制 基本规范第四条有效的内部控制体系应该涵盖的元素:-内部环境、风险评估、控制活动、信息与沟通、内部监督 基本规范第五条march 2009 19规范的关键要

15、求管理层职责董事会-对内部控制的建立健全和有效实施全权负责 基本规范第12条监事会-监事会对董事会建立与实施内部控制进行监督 基本规范第12条企业管理-成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作 基本规范第12条-对公司内部控制的有效性进行自我评价,披露年度自我评价报告 通知审计委员会-监督内部控制的有效实施和内部控制自我评价情况 基本规范第13条march 2009 20规范的关键要求审计师的考虑不强制要求独立审计没有引进”联合审计“的概念审计标准-必须按照基本规范、支持性的法规和相关专业指引要求执行审计 基本规范第12条审计师的资质-具有证券、期货业务资格的

16、会计师事务所 通知独立性要求-提供内部控制咨询服务的公司不能同时提供内部控制审计服务 基本规范第12条march 2009 21规范的关键要求内控控制环境建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职职责权限责权限,形成科学有效的职责分工职责分工和制衡机制制衡机制 基本规范第11条在董事会下设立审计委员会审计委员会;审计委员会负责人应当具备相应的独立性 基本规范第13条保证内部审计机构内部审计机构设置、人员配备和工作的独立性;对监督检查中发现的内部控制重大缺陷,有权直接直接向董事会及其审计委员会、监事会报告 基本规范第15条建立有效的人力资源管理人力资源管理 基本规范第17条

17、强化风险管理意识管理意识,建设内部控制管理文化内部控制管理文化 基本规范第18条增强董事、监事、经理及其他高级管理人员和员工的法制观念,做到严格依法决策、依法办事、依法监督 基本规范第19条march 2009 22规范的关键要求风险评估全面系统持续地收集相关信息,结合实际情况,及时进行风险评估风险评估 基本规范第20条准确识别准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承风险承受度受度 基本规范第21条企业内部风险:-人力资源因素:董事、监事、经理及其他高级管理人员的职业操守-管理因素:组织机构、经营方式、资产管理、业务流程-创新因素:研究与开发、技术引进、信息技术利用-财

18、务因素:财务状况、经营成果、现金流量-健康、安全及环保因素 基本规范第22条march 2009 23规范的关键要求风险评估外部风险:-总体经济运行状况-法律法规-社会环境-技术因素 -自然环境(灾害) 基本规范第23条分析风险,对风险进行排序,制定风险应对方案风险应对方案 基本规范第25/26条持续收集持续收集与风险变化相关的信息,进行风险识别和风险分析,及时调整风险应对策略 基本规范第27条march 2009 24规范的关键要求控制活动根据风险评估的结果实施风险应对措施,把风险控制在可承受度之内:-不相容职务分离控制 -授权审批控制 -会计系统控制 -财产保护控制 -预算控制 -运营分析

19、控制和绩效考评控制 基本规范第28条建立重大风险预警机制风险预警机制和突发事件应急处理事件应急处理机制 基本规范第37条march 2009 25规范的关键要求信息与沟通建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行 基本规范第38条信息沟通过程中发现的问题,应当及时报告并加以解决 ; 关键信息应该及时的和董事会、监事会以及高级管理层沟通 基本规范第40条保证信息系统信息系统安全稳定运行;建立针对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制 基本规范第41条建立反舞弊机制反舞弊机制 基本规范第42条

20、建立举报投诉制度举报投诉制度和举报人保护制度举报人保护制度 基本规范第43条march 2009 26规范的关键要求内部监督明确内部审计机构内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限;规范内部监督的程序、方法和要求 基本规范第44条定期对内部控制的有效性进行自我评价对内部控制的有效性进行自我评价,出具内部控制自我评价报告 基本规范第46条妥善保存内部控制建立与实施过程中的相关记录或者资料,以作为内部控制有效的审计证据资料 基本规范第47条march 2009 27规范的关键要求其他事项运用信息技术以及相关自动控制加强内部控制 基本规范第7条建立内部控制实施的激励

21、约束机制,将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系,促进内部控制的有效实施 基本规范第8条适用公司的分类是以国家统计局2003年颁布的行业分类标准为基础的,包括:总资产、收入以及员工数量等等,但统计局的标准并不涵盖所有行业,因此各相关监管机构通常发布补充性指标对其行业的企业进行分类,如:金融服务业march 2009 28内部控制和风险管理框架和理念介绍march 2009 29内部控制march 2009 30背景介绍coso的产生和发展coso是由美国注册会计师协会(aicpa)、内部审计师协会(iia)、财务经理协会(fei)、美国会计学会(aaa)、管理会计学会(ima

22、)等多个专业团体组成的一个民间组织,致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。march 2009 31内部控制整体控制框架treadway委员会发起委员会背景介绍coso的产生和发展反财务报告欺诈委员会(treadway委员会)于1985年成立,在1987年发表报告,号召研究并制定一个统一的内部控制框架1992年9月发布了内部控制整体框架报告;1994年对内部控制整体框架做了增补自2004年起,coso是全球各监管机构所发布的有关内部控制的法规和要求的默认标准,是目前世界最为被广泛认可的内部控制整体框架美国上市公司会计监管委员会在审计准则中提及了cos

23、o内控框架可以作为评估内控的标准按照coso内控框架建立内控体系,是企业梳理管理流程、规范管理制度、提升整体管理水平的契机march 2009 32coso框架对内部控制的定义 内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证合理保证的过程过程。内部控制被定义为一个过程过程由组织的董事会、管理层和其它人员共同实施实现以下的目标:经营的效果和效率财务报告的可靠性法律和法规的遵从性只提供“合理保证合理保证”march 2009 33五个元素需要实际有效的运行和整合以确保控制目标的实现控制活动控制活动 确保管理活动付诸实施的

24、政策/流程措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离监督监督不断评估内部控制系统的表现整合实时和独立的评估管理层和监督活动内部审计工作控制环境控制环境 营造单位气氛让公司员工建立内部控制因素包括正直,道德价值,能力,权威和责任是其他内部控制组成部分的基础信息和沟通信息和沟通及时地获取,确定并交流相关的信息从内部和外部获取信息使得内控管理指示能得到顺畅的传达,以及内控有效性信息能够被获知风险评估风险评估 风险评估是为了达到企业目标而确认和分析相关的风险形成内部控制活动的基础监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运合规性合规性业业务务单

25、单位位a a业业务务单单位位b b活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位a a业业务务单单位位b b活活动动2 2活活动动1 1coso框架:内部控制的关键要素march 2009 34coso要素一 :控制环境内部控制的基础控制环境:是企业的整体气氛影响员工的控制意识是其他要素的基础提供纪律约束和架构监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运合规性合规性业业务务单单位位a a业业务务单单位位b b活活动动2 2活活动动1 1监督监督信

26、息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位a a业业务务单单位位b b活活动动2 2活活动动1 1march 2009 35coso要素二 :风险评估控制措施的依据风险评估:对确认的风险采取必要措施,以保证公司目标得以实现落实到公司各处,涉及公司各个层面以及各项职能随着经济、企业、制度和操作环境的不断变化,需要建立相应机制以发现和处理这些变化所带来的特殊风险监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运合规性合规性业业务务单单位位a a业业务务单单位位b b活活动动2 2活活动动1

27、 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位a a业业务务单单位位b b活活动动2 2活活动动1 1march 2009 36coso要素三 :控制活动控制活动:是为确保管理层指示得以执行的政策和程序包括一系列不同的活动,如审批、授权、确认、核对、考核经营业绩、资产保护等针对企业的不同目标,控制活动可以分为以下三个类别:即为提高经营效率效果、增强财务报告的可靠性、遵守法规等目标的三类控制活动监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运合规性合规性业业务务单单位位a a

28、业业务务单单位位b b活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位a a业业务务单单位位b b活活动动2 2活活动动1 1march 2009 37coso要素四:信息和沟通企业定期获取及交流内、外部的信息,帮助员工履行职责,包括:-信息的识别和获取-信息加工和报告-内部沟通和外部沟通相关信息必须采用恰当的形式并在恰当的时间内沟通,以便相关人员能有效履行职责,采取适当行动监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运合规性合规性业业务务单单位位a

29、 a业业务务单单位位b b活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位a a业业务务单单位位b b活活动动2 2活活动动1 1march 2009 38coso要素五:监控内控持续有效的保障评估内控系统在一定时期内运行质量的过程,目的是保证内部控制持续有效其范围和频率取决于风险的重大性或现有监控程序实施的有效性监控的方式包括:-持续性监控-独立的评估,如内部审计监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运合规性合规性业业务务单单位位a a业业务

30、务单单位位b b活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位a a业业务务单单位位b b活活动动2 2活活动动1 1march 2009 39风险管理march 2009 40风险和风险管理的定义企业风险,指未来的不确定性未来的不确定性对企业实现其经营目标经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。风险管理,指企业围绕总

31、体经营目标围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证合理保证的过程和方法过程和方法。国资委中央企业全面风险管理指引march 2009 41coso企业风险管理框架介绍企业风险管理是一个过程过程:它由公司董事会、管理层以及其他员工执行,适用于公司战略的制定和整个公司范围,用来识别可能对公司产生影响的潜在事项潜在事项,并将风险控制在企业可以承受的水平可以承受的水平以内,为公司目标的

32、实现目标的实现提供合理的保证合理的保证。coso企业风险管理-整合框架,2004coso企业风险管理整合框架:-为企业风险管理定义了基本的核心要素-提出共同语言-提供明确的方向和指导march 2009 42coso企业风险管理框架介绍企业的目标可以分为四个类别:-战略性目标-运营性目标-报告目标-合规性目标企业风险管理将企业各个层面的活动都纳入了考虑范围:-公司层面-部门或业务单位-分、子公司战略目标战略目标经营目标经营目标报告目标报告目标合规目标合规目标公公 司司 层层 面面部部 门门分分 、子、子 公公 司司业业 务务 单单 位位目标设定目标设定事件识别事件识别风险评估风险评估控制活动控

33、制活动信息和沟通信息和沟通监督监督风险应对风险应对内部环境内部环境march 2009 43coso企业风险管理框架介绍企业风险管理要求企业用“风险组合”的方式看待风险:-管理层考虑单个风险之间是如何联系的-管理层从以下两个层面确定“风险组合”观点: 业务单元层面 公司层面框架的八个要素是相互联系的战略目标战略目标经营目标经营目标报告目标报告目标合规目标合规目标公公 司司 层层 面面部部 门门分分 、子、子 公公 司司业业 务务 单单 位位目标设定目标设定事件识别事件识别风险评估风险评估控制活动控制活动信息和沟通信息和沟通监督监督风险应对风险应对内部环境内部环境march 2009 44cos

34、o风险管理框架要素一:内部环境树立风险管理的理念:这种理念认为无论是预期的还是非预期的事件都有可能发生建立企业的风险文化考虑企业的活动可能对其风险文化产生影响的所有方面战略目标战略目标经营目标经营目标报告目标报告目标合规目标合规目标公公 司司 层层 面面部部 门门分分 、子、子 公公 司司业业 务务 单单 位位目标设定目标设定事件识别事件识别风险评估风险评估控制活动控制活动信息和沟通信息和沟通监督监督风险应对风险应对内部环境内部环境march 2009 45coso风险管理框架要素二:目标设定在管理层设定目标的过程中,考虑到风险战略问题时使用形成董事会和管理层对企业愿意和能够承担的风险程度的高

35、层决定风险容忍程度,即可接受的目标偏离水平,与董事会和管理层的政策是一致的战略目标战略目标经营目标经营目标报告目标报告目标合规目标合规目标公公 司司 层层 面面部部 门门分分 、子、子 公公 司司业业 务务 单单 位位目标设定目标设定事件识别事件识别风险评估风险评估控制活动控制活动信息和沟通信息和沟通监督监督风险应对风险应对内部环境内部环境march 2009 46coso风险管理框架要素三:事件识别区分风险和机遇-可能产生负面影响的事件为风险-可能产生正面影响的事件为机遇,这些机遇使管理层重新考虑战略的制定包括识别发生在内部或外部的可能影响战略和目标实现的事件考虑内部和外部因素如何相互关联,

36、共同影响风险水平战略目标战略目标经营目标经营目标报告目标报告目标合规目标合规目标公公 司司 层层 面面部部 门门分分 、子、子 公公 司司业业 务务 单单 位位目标设定目标设定事件识别事件识别风险评估风险评估控制活动控制活动信息和沟通信息和沟通监督监督风险应对风险应对内部环境内部环境march 2009 47coso风险管理框架要素四:风险评估理解潜在的事件对企业目标有多大程度的影响,并从两个方面对风险进行评估:-发生的可能性-影响程度明确用来评估风险以及用来衡量相关的目标-结合使用定性和定量两方面的来评估风险-将时间和目标联系起来-从固有风险和剩余风险的角度来评估风险战略目标战略目标经营目标

37、经营目标报告目标报告目标合规目标合规目标公公 司司 层层 面面部部 门门分分 、子、子 公公 司司业业 务务 单单 位位目标设定目标设定事件识别事件识别风险评估风险评估控制活动控制活动信息和沟通信息和沟通监督监督风险应对风险应对内部环境内部环境march 2009 48coso风险管理框架要素五:风险回应确定并评估可能的应对风险的方法根据企业风险偏好、潜在风险应对措施的成本效益来评价各种风险应对措施,以及各种风险应对措施可以在多大程度上降低风险影响程度和/或发生可能性基于对风险和应对措施组合的评估,选择并实施适当的应对措施风险回应的四个选择:接受、避免、减少或减低、分担战略目标战略目标经营目标

38、经营目标报告目标报告目标合规目标合规目标公公 司司 层层 面面部部 门门分分 、子、子 公公 司司业业 务务 单单 位位目标设定目标设定事件识别事件识别风险评估风险评估控制活动控制活动信息和沟通信息和沟通监督监督风险应对风险应对内部环境内部环境march 2009 49coso风险管理框架要素六:控制活动确保风险应对措施和其他的企业目标有效执行的政策和程序发生在整个企业的不同层次和不同职能部门中包括应用控制和信息系统总体控制战略目标战略目标经营目标经营目标报告目标报告目标合规目标合规目标公公 司司 层层 面面部部 门门分分 、子、子 公公 司司业业 务务 单单 位位目标设定目标设定事件识别事件

39、识别风险评估风险评估控制活动控制活动信息和沟通信息和沟通监督监督风险应对风险应对内部环境内部环境march 2009 50coso风险管理框架要素七:信息和沟通管理层以一定的形式在一定时限内识别、获取并沟通相关信息,使相关人员可以履行自己的责任沟通在组织中更广泛的范围内,同时由上而下、自下而上以及平行地进行战略目标战略目标经营目标经营目标报告目标报告目标合规目标合规目标公公 司司 层层 面面部部 门门分分 、子、子 公公 司司业业 务务 单单 位位目标设定目标设定事件识别事件识别风险评估风险评估控制活动控制活动信息和沟通信息和沟通监督监督风险应对风险应对内部环境内部环境march 2009 5

40、1coso风险管理框架要素八:监督通过以下的方法,来监督企业风险管理的其它组成部分的有效性:-持续监督-独立评估-上述两者的结合战略目标战略目标经营目标经营目标报告目标报告目标合规目标合规目标公公 司司 层层 面面部部 门门分分 、子、子 公公 司司业业 务务 单单 位位目标设定目标设定事件识别事件识别风险评估风险评估控制活动控制活动信息和沟通信息和沟通监督监督风险应对风险应对内部环境内部环境march 2009 52企业风险管理的重要性原则:-所有企业,无论是否以营利为目的,都是为了实现相关各方的利益而存在的-利益的创造、保护和损失,都取决于管理层的决定:这些决定包括战略制定到企业日常运营的

41、各种活动企业风险管理通过帮助管理层开展下列工作来创造价值: -有效地处理将来可能造成不确定性的潜在事件-通过降低出现负面结果的可能性,并增加出现正面结果的可能性来应对风险march 2009 53风险评估的遵循性法律法规和效益经营的效率的真确性财务报告目标风险识别风险分析主要风险主要控制结合企业目标march 2009 54风险和企业管理目标的关系企业目标的实现取决于企业是否能管理很多相互影响的风险元素满足投资者的风险偏好 企业可承受的风险幅度固有风险程度固有风险程度目标风险目标风险战略业务决策其他负面影响未预见的风险管理机制风险转移风险防范应变、应急计划高风险:高潜在回报低风险:低潜在回报固

42、有风险程度固有风险程度march 2009 55总结总结march 2009 57总结在全球的领域内,公司治理、风险管理和内部控制已从以往“自发自愿”的模式演变成当前法律法规的要求:-随着市场对上市企业内部监控及公司治理的要求不断提高,企业需要进一步完善内部监控及风险管理-在国内,中央企业也同样需要完善内部控制和风险管理中国企业在完善这些领域的过程中预期会面对很多不同方面的问题,包括理解和文化上的问题、解决一些传统老企业问题、各部门及各公司间的沟通问题、执行内控措施的一致性问题等提升内部监控及公司治理将会是一个任重道远且需要花费管理层大量精力的过程,但将有助于企业:-更好的在安全、高效的方式中

43、运作经营、发展业务-更好的管理风险以使得各项业务符合相关的法律及法规-执行有效的内部控制,以提高透明度及保护股东和各相关利益方的权益-更好的迎合未来发展,以满足企业长远发展目标march 2009 58建立有效内控体系需要关的主要领域适当的组织结构,明确角色、职责和权力培训;加强对内控的认识和理解有效的内部审计职能与企业监管、监督部门的协调与沟通-董事会、监事会、审计委员会协调使用外部资源支持内控工作明确目标,循序渐进适当的利用工具-如 “控制自我评估”为主动确认内部控制缺陷的工具march 2009 59实现企业风险管理和内部控制体系的挑战在内部控制和风险管理的每个关键领域里都存在重大的挑战

44、:内部环境-高级管理层的参与-管理层和下级人员在风险意识和理念的统一目标设定-追求量化(取决于是否有可量化的目标)事件识别-追求全面(取决于是否理解风险的不同层次)风险评估-追求科学(取决于是否有经验的支撑)风险回应-追求绝对(需要同时兼顾业务的需求和实际效益)控制活动-需要掌握和内控工作的异同信息和沟通-需要了解信息不等于信息系统监督-需要明确监督的重点:不是有否发生问题,而是能否及时对所发生的问题作出应对march 2009 60企业进行风险管理和内部控制的重点不是一个新的标语或口号-建立在过去工作的基础上,用更系统、更好的方法和工具来支持和完善企业风险的管理-是用来支持和促进企业的长期健康发展的一项战略性工作不能只光谈风险或控制-必须有体系和方法做配套,使风险管理成为支持决策的工具风险管理的定位-不只针对细节;而是从整体层面对风险做出分析和排序,再回到流程中对风险进行管理-明确每个决策背后的风险不能要追求完美-不可能实现零风险-关键是把风险根据重要性做排序,目标在于可

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论