第6章企业内部控制与风险管理

1、新世纪研究生教学用书 会计系列东北财经大学出版社第6章 企业内部控制与风险管理 目目 录录.学习目标6.1内部控制6.2企业风险管理6.3企业内部控制与风险管理的关系.学习目标1.掌握内部控制的含义；2.理解企业风险管理的含义与目标；3.熟悉内部控制的构成要素；4.熟悉企业风险管理框架的构成要素；5.了解与审计相关的控制以及内部控制的局限性；6.了解企业内部控制与风险管理的关系。.6.1内部控制内部控制内部控制是企业为了合理保证财务报告的可靠性、内部控制是企业为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人

2、员设计和执行的政策和程序。层、管理层和其他人员设计和执行的政策和程序。.6.1内部控制内部控制 6.1.1内部控制的构成要素内部控制的构成要素 1）控制环境）控制环境- 控制环境主要包括以下要素：控制环境主要包括以下要素：- （1）对诚信和道德价值观念的沟通与落实）对诚信和道德价值观念的沟通与落实- （2）对胜任能力的重视）对胜任能力的重视- （3）治理层的参与程度）治理层的参与程度- （4）管理层的理念和经营风格）管理层的理念和经营风格- （5）组织结构）组织结构- （6）职权与责任的分配）职权与责任的分配- （7）人力资源政策与实务）人力资源政策与实务.6.1内部控制内部控制 2）风险评估

3、过程）风险评估过程- 风险评估是企业确认和分析与其目标实现相关风险的过风险评估是企业确认和分析与其目标实现相关风险的过程，它形成了如何管理风险的基础。程，它形成了如何管理风险的基础。 3）信息系统与沟通）信息系统与沟通.6.1内部控制内部控制 4）控制活动）控制活动- 控制活动是指为了保证管理指令得到实施而制定并执行控制活动是指为了保证管理指令得到实施而制定并执行的控制政策和程序。企业必须制定控制政策和程序，并的控制政策和程序。企业必须制定控制政策和程序，并予以执行，以帮助管理阶层保证其控制目标的实现。予以执行，以帮助管理阶层保证其控制目标的实现。- （1）授权）授权- （2）业绩评价）业绩评

4、价- （3）信息处理）信息处理- （4）实物控制）实物控制- （5）职责分离）职责分离.6.1内部控制内部控制 5）对控制的监督）对控制的监督- 对控制的监督主要包括两个方面：对控制的监督主要包括两个方面：- 一是管理控制方法。一是管理控制方法。- 二是内部审计。二是内部审计。.6.1内部控制内部控制6.1.2与审计相关的控制与审计相关的控制 （1）审计师确定的重要性水平；）审计师确定的重要性水平； （2）被审计单位的性质；）被审计单位的性质； （3）被审计单位的规模；）被审计单位的规模； （4）被审计单位经营的多样性和复杂性；）被审计单位经营的多样性和复杂性； （5）法律法规和监管要求；）法

5、律法规和监管要求； （6）作为内部控制组成部分的系统的性质和复杂性。）作为内部控制组成部分的系统的性质和复杂性。.6.1内部控制内部控制6.1.3对内部控制了解的深度对内部控制了解的深度 1)评价控制的设计评价控制的设计 2)评价控制设计的风险评估程序评价控制设计的风险评估程序- （1）询问被审计单位的人员；）询问被审计单位的人员；- （2）观察特定控制的运用；）观察特定控制的运用；- （3）检查文件和报告；）检查文件和报告；- （4）追踪交易在财务报告信息系统中的处理过程（穿）追踪交易在财务报告信息系统中的处理过程（穿行测试）。行测试）。.6.1内部控制内部控制6.1.4内部控制的人工和自动

6、化成分内部控制的人工和自动化成分 1）内部控制自动化成分的优势和风险因素）内部控制自动化成分的优势和风险因素 2）内部控制人工成分的优势和风险因素）内部控制人工成分的优势和风险因素6.1.5内部控制的局限性内部控制的局限性 （1）在决策时人为判断可能出现错误和由于人为失误而）在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。导致内部控制失效。 （2）可能由于两个或更多的人员进行串通或管理层凌驾）可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。于内部控制之上而被规避。.6.2企业风险管理企业风险管理6.2.1企业风险管理的内涵企业风险管理的内涵 （1）企业风险管理

7、是一个过程，它持续地流动于主体之）企业风险管理是一个过程，它持续地流动于主体之内内 （2）企业风险管理由组织中各个层级人员来实施）企业风险管理由组织中各个层级人员来实施 （3）企业风险管理应用于战略制定）企业风险管理应用于战略制定 （4）企业风险管理贯穿于企业，在各个层级和单元中应）企业风险管理贯穿于企业，在各个层级和单元中应用，还包括采取主体层级的风险组合观用，还包括采取主体层级的风险组合观.6.2企业风险管理企业风险管理 （5）企业风险管理旨在识别一旦发生将会影响主体的潜）企业风险管理旨在识别一旦发生将会影响主体的潜在事项，并把风险管理控制在风险容量以内在事项，并把风险管理控制在风险容量以

8、内 （6）企业风险管理能够向管理层和董事会提供合理保证）企业风险管理能够向管理层和董事会提供合理保证 （7）企业风险管理力求实现一个或多个不同类型但相互）企业风险管理力求实现一个或多个不同类型但相互交叉的目标交叉的目标它只是实现结果的一种手段，并不是结果它只是实现结果的一种手段，并不是结果本身本身.6.2企业风险管理企业风险管理6.2.2企业风险管理的内容企业风险管理的内容 （1）协调风险容量与战略）协调风险容量与战略 （2）增进风险应对决策）增进风险应对决策 （3）减少经营意外和损失）减少经营意外和损失 （4）识别和管理贯穿于企业的风险）识别和管理贯穿于企业的风险 （5）提供对多重风险的整体

9、应对策略）提供对多重风险的整体应对策略 （6）抓住机会）抓住机会 （7）改善资本调配）改善资本调配.6.2企业风险管理企业风险管理 6.2.3企业风险管理的构成要素企业风险管理的构成要素 1）内部环境）内部环境- （1）风险管理理念）风险管理理念- （2）风险容量）风险容量- （3）董事会）董事会- （4）诚信与道德价值观）诚信与道德价值观- （5）胜任能力的承诺）胜任能力的承诺- （6）组织结构）组织结构- （7）权力和责任的分配）权力和责任的分配- （8）人力资源政策）人力资源政策.6.2企业风险管理企业风险管理 2）目标设定）目标设定- （1）战略目标）战略目标- （2）相关目标）相关目

10、标 经营目标经营目标 报告目标报告目标 合规目标合规目标- （3）目标的实现）目标的实现- （4）选定的目标）选定的目标- （5）风险容量）风险容量- （6）风险容限）风险容限.6.2企业风险管理企业风险管理 3）事项识别）事项识别- （1）事项）事项- （2）影响因素）影响因素外部因素一般包括：外部因素一般包括：与经济有关的因素。与经济有关的因素。自然环境因素。自然环境因素。政治因素。政治因素。社会因素。社会因素。技术因素。技术因素。.6.2企业风险管理企业风险管理内部因素一般包括：内部因素一般包括：基础设施。基础设施。人员。人员。流程。流程。技术。技术。.6.2企业风险管理企业风险管理-

11、（3）事项识别技术）事项识别技术- （4）事项的相互依赖性）事项的相互依赖性- （5）事项类别）事项类别- （6）区分风险与机会）区分风险与机会.6.2企业风险管理企业风险管理 4）风险评估）风险评估- （1）风险评估的背景）风险评估的背景- （2）固有风险和剩余风险）固有风险和剩余风险- （3）评估可能性和影响）评估可能性和影响- （4）数据来源）数据来源- （5）视角）视角- （6）评估技术）评估技术- （7）事项之间的关系）事项之间的关系.6.2企业风险管理企业风险管理 5）风险应对）风险应对- （1）风险应对的类型）风险应对的类型- （2）评价可能的风险应对）评价可能的风险应对- （3

12、）选择应对策略）选择应对策略- （4）风险组合观）风险组合观.6.2企业风险管理企业风险管理 6）控制活动）控制活动- （1）与风险应对相结合）与风险应对相结合- （2）控制活动的类型）控制活动的类型- （3）政策和程序）政策和程序- （4）对信息系统的控制）对信息系统的控制总体控制总体控制应用控制应用控制- （5）企业的特殊性）企业的特殊性.6.2企业风险管理企业风险管理 7）信息与沟通）信息与沟通- （1）信息）信息 战略和整合系统战略和整合系统 与经营相结合与经营相结合 信息的深度和及时性信息的深度和及时性 信息质量信息质量- （2）沟通）沟通 内部沟通内部沟通 外部沟通外部沟通 沟通的

13、方式沟通的方式.6.2企业风险管理企业风险管理 8）监控）监控- （1）持续的监控活动）持续的监控活动- （2）个别评估）个别评估范围和频率范围和频率评估主体评估主体评价过程评价过程评估方法评估方法文档记录文档记录.6.2企业风险管理企业风险管理- (3）报告缺陷）报告缺陷信息来源信息来源报告内容报告内容报告给谁报告给谁报告指引报告指引.6.3企业内部控制与风险管理的关系企业内部控制与风险管理的关系 内部控制被涵盖在企业风险管理之内，是其不可分割的内部控制被涵盖在企业风险管理之内，是其不可分割的一部分。企业风险管理比内部控制更广泛，拓展和细化一部分。企业风险管理比内部控制更广泛，拓展和细化了内

14、部控制以便形成一个更全面关注风险的概念提炼。了内部控制以便形成一个更全面关注风险的概念提炼。二者在以下方面存在差异：二者在以下方面存在差异： （1）目标）目标- 内部控制明确了三类目标内部控制明确了三类目标经营、财务报告和合规。经营、财务报告和合规。- 企业风险管理明确了三个类似的目标类别企业风险管理明确了三个类似的目标类别经营、报告和经营、报告和合规。合规。- 企业风险管理增加了另一类目标，即战略目标，它处于比其企业风险管理增加了另一类目标，即战略目标，它处于比其他目标更高的层次。他目标更高的层次。- 企业风险管理框架引入了风险容量和风险容限的概念。企业风险管理框架引入了风险容量和风险容限的概念。.6.3企业内部控制与风险管理的关系企业内部控制与风险管理的关系 （2）组合观）组合观- 内部控制框架中没有预期到的一个概念是风险的组合观。内部控制框架中没有预期到的一个概念是风险的组合观。 （3）构成要素）构成要素- 企业风险管理框架拓展了内部控制框架的风险评估要素，企业风险管理框架拓展了内部控制框架的风险评估要素，提出了四个构成要素：内部环境（它在内部控制中是先提出了四个构成要素：内部环境（它在内部控制中是先决条件）、事项识别、风险评估和风险应对。决条件）、事项识别、风险评估和风险应对。.6.3企业内部控制与风险管理的关系企业内部控制与风险管理的关