内部控制和风险管理体系论述

1、 可修改 欢送下载 精品 Word 可修改 欢送下载 精品 Word 可修改 欢送下载 精品 Word更多企业学院： ?中小企业管理全能版?183套讲座+89700份资料?总经理、高层管理?49套讲座+16388份资料?中层管理学院?46套讲座+6020份资料?国学智慧、易经?46套讲座?人力资源学院?56套讲座+27123份资料?各阶段员工培训学院?77套讲座+ 324份资料?员工管理企业学院?67套讲座+ 8720份资料?工厂生产管理学院?52套讲座+ 13920份资料?财务管理学院?53套讲座+ 17945份资料?销售经理学院?56套讲座+ 14350份资料?销售人员培训学院?72套讲座

2、+ 4879份资料EAS内部(nib)控制与风险管理体系EAS战略管理系统部 王云 导读(do d) 风险(fngxin)管理系统对很多客户、机构营销(yn xio)实施等人员来说，都是一个(y )新领域。美国Committee of Sponsoring Organizations (COSO) 于2004年9月发布了?企业风险管理整合框架?。2004版的COSO框架构建了一个较为完善的企业风险管理框架，它提供了关键原那么和概念、共同的语言以及明晰的方向和指南。作为一本国际权威文献，该框架除了在美国企业中应用，也为其他国家广泛借鉴应用，同时也是金蝶EAS风险管理系统建立的重要理论标准。 适用

3、范围 本文适用于EAS 工程实施人员。适用与EAS 所有通用版本。请注意：本文件只作为产品介绍之用，不属于您与金蝶签署的任何协议。本文件仅包括金蝶既定策略(cl)、产品及功能方面的信息，不能以本文件作为要求金蝶履行商务条款、产品策略以及开发义务的依据。本文件内容可能随时变更，恕不另行通知。目 录 TOC o 1-2 h z u 内部控制(kngzh)与风险管理体系背景(bijng)内部(nib)控制与风险管理在国外经历了几十年的开展(kizhn)与演进，形成了以保障战略目标、经营目标、报告目标、合规目标为主要目标的一套相对完整的体系。在内部控制(kngzh)与风险管理理论的不断开展与完善的不同

4、时期，学界与业界有着不同的解读与认识，但从目前多国的普遍研究与实践看，监管部门与集团企业管理层对内部控制与风险管理到达了前所未有的重视程度。风险管理已经成为企业管理信息系统的主线和方向，信息系统和内控风险管理趋于融合和统一。风险识别重要，而对风险的控制和预防更重要，风险与控制活动是蕴含在业务流程之中的，所以信息系统就成为风险控制的有力工具，而要有效发挥这种工具的价值，风险管理要求融入信息系统之中就成为一种必然。因此我们必须尽快学习并掌握风险管理理论体系，为把握风险管理产品、协助集团企业构建科学的内控与风险管理系统做好充分的知识准备。内部控制与风险管理体系概述2001年前后爆发的一系列公司丑闻，

5、使得各国对采用新的法律法规和上市公司监督准那么来加强公司治理与风险管理的要求变得日益迫切。美国Committee of Sponsoring Organizations (COSO) 首先于2004年9月发布了?企业风险管理整合框架?。2004版的COSO框架构建了一个较为完善的企业风险管理框架，它提供了关键原那么和概念、共同的语言以及明晰的方向和指南。作为一本国际权威文献，该框架除了在美国企业中应用，也为其他国家广泛借鉴应用。COSO框架常以以下图所示的立方体形式表达。这一框架表达了企业风险管理的八个要素，同时也展现了企业目标和组织结构这两个重要维度。这一框架(kun ji)表达(biod)

6、了企业风险管理的八个要素(yo s)，同时也展现了企业目标和组织结构这两个重要维度。作为企业风险管理核心的八要素，从不同方面表达(biod)了企业风险管理的重要步骤(bzhu)，详见上图分析。总体来讲2006年五部委公布的?企业内部控制根本标准?的主要框架同上述COSO框架基于同样的风险管理理念，事实?根本标准?的五要素体系严格对应了92版的COSO框架。常用术语与概念风险容量是一个主体在追求价值的过程中所愿意承当的广泛意义上的风险的数量。它反映了企业的风险管理理念，进而影响了主体的文化和经营风格。事项是源于内部或外部的影响战略实施或目标实现的事故或事件。风险是一个事项将会发生并给目标实现带来

7、负面影响的可能性。事项识别即管理当局识别将会对主体产生影响的潜在事项。确定它们是否代表时机，或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险，它要求管理当局予以评估和应对。正面影响的事项代表时机，管理当局可以将其反应到战略和目标设定过程之中。风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度：可能性和影响，对事项进行评估，并且通常采用定性和定量相结合的方法。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下，一个主体所面临的风险。剩余风险是在管理当局的风险应对之后所剩余的风险。一旦风险应对已经就绪，管理当局接下来就要考虑剩

8、余风险。风险应对策略包括风险回避、降低、分担和承受。在考虑应对的过程中，管理当局评估风险的可能性和影响的后果，以及本钱效益，选择能够使剩余风险处于期望的风险容限以内的应对策略。风险管理组织(zzh)体系：组织结构和责任归属的构建与落实在企业风险管控(un kn)的实施过程中有极其重要的地位。可以说是整个工程(gngchng)成功(chnggng)与否的根底(gnd)。特别是对于一个周期长、涉及企业层级多、业务范围广、参与人员众多、内容复杂并需要企业全体人员尤其是企业高层管理者全力支持的工程来说。整个风险管控的组织构成涉及了企业管理的各个层面和不同职能部门。以下图展现的是基于中央国资委?全面风险

9、管理指引?的一个典型的风险管控组织结构。企业风险管理整合(zhn h)框架如上所述，2004版的企业风险管理整合(zhn h)框架是一本国际(guj)权威文献，该框架(kun ji)除了在美国企业中应用，也为其他(qt)国家广泛借鉴应用，另外也是金蝶EAS风险管理系统建立的重要理论标准。因此我们必须首先学习并把握该框架相关内容：内容概述企业风险管理的根底性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性，管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时，要确定承受多大的不确定性。不确定性可能会破坏或增加价值，因而它既代表风险，也代表时机。企业风险管理使管理

10、当局能够有效地应对不确定性以及由此带来的风险和时机，增进创造价值的能力。 当管理当局通过制订战略和目标，力求实现增长和报酬目标以及相关的风险之间的最优平衡，并且在追求所在主体的目标的过程中高效率和有效地调配资源时，价值得以最大化。企业风险管理包括： 协调风险容量risk appetite与战略管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在主体的风险容量。 增进风险应对决策企业风险管理为识别和在备选的风险应对风险回避、降低、分担和承受之间进行选择提供了严密性。抑减经营意外和损失主体识别潜在事项和实施应对的能力得以增强，抑减了意外情况以及由此带来的本钱或损失。

11、识别和管理多重的和贯穿于企业的风险每一家企业都面临影响组织的不同局部的一系列风险，企业风险管理有助于有效地应对交互影响，以及整合式地应对多重风险。抓住时机通过考虑全面范围内的潜在事项，促使管理当局识别并积极地实现时机。改善资本调配获取强有力的风险信息，使得管理当局能够有效地评估总体资本需求，并改良资本配置。 企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩(yj)和赢利目标，防止资源损失。企业风险管理有助于确保(qubo)有效的报告以及符合法律和法规，还有助于防止(fngzh)对主体声誉的损害以及由此带来的后果。总之，企业风险管理不仅帮助一个主体到达期望的目的地，还有助于避开前进途中

12、的隐患(ynhun)和意外。要素(yo s)解析：企业风险管理整合框架构成要素包括：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通及监督。各要素解析：内部环境内部环境是企业风险管理所有其他构成要素的根底，为其他要素提供约束和结构。它影响着战略和目标如何制订、经营活动如何组织以及如何识别、评估风险并采取行动。它还影响着控制活动、信息与沟通体系和监控措施的设计与运行。内部环境受到主体的历史和文化的影响。它包含许多要素，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。董事会是内部环境的一个关键局部，它对其他的内部环境要素有重大的影响。目标设定目标是设

13、定在战略层次上的，它为经营、报告和合规目标奠定了根底。目标设定是事项识别、风险评估和风险应对的前提。在管理当局识别和评估实现目标的风险并采取行动来管理风险之前，首先必须有目标。从2004年版本的“企业风险管理整合框架看，企业目标包括如下四类：战略目标：管理层从愿景出发，制定企业战略目标。战略目标是高层次的目标，它反映了管理层就企业如何努力为它的利益相关者创造价值所做出的选择。经营目标：经营目标关系到主体经营的有效性和效率，反映主体运作所处的特定的经营、行业和经济环境。报告(bogo)目标：报告目标包括可靠的对内、对外报告；对内报告为管理当局提供适合(shh)其既定目的的准确而完整的信息；对外报

14、告可能包括财务报表与附注披露、管理当局的讨论与分析以及向监管机构提交的报告。合规目标(mbio)：企业从事经营活动(hu dng)所必须符合的相关法律和法规。从2021年财政部等五部委联合(linh)公布的“企业内部控制根本标准看，企业目标是：企业经营管理合法合规、资产平安、财务报告及相关信息真实完整，提高经营效率和效率，促进企业实现开展战略。即包括的五类目标：战略目标、经营目标、报告目标、合规目标及资产平安目标。相比COSO企业风险管理框架，增加了资产平安目标。事项识别事项是源于内部或外部的影响战略实施或目标实现的事故或事件。事项可能带来正面或负面影响，或者两者兼而有之。在事项识别的过程中，

15、管理当局认识到不确定性的存在，但是并不知道一个事项是否会发生，或什么时候发生，或者它所带来确实切影响。管理当局最初只考虑源于外部和内部的一系列潜在事项，而没有对它们的影响是正面的还是负面的作必要的关注。管理当局按照这种方法识别的不仅仅是具有负面影响的潜在事项，而且还包括那些代表着应该追逐的时机的事项。事项有的明显，有的很隐晦；所产生的影响有的微缺乏道，有的十分重大。为了防止忽略相关的事项，最好把识别与对事项发生的可能性和它的影响的评估区分开来。风险(fngxin)评估风险(fngxin)评估使主体(zht)能够考虑潜在事项影响目标实现的程度。管理当局从两个角度(jiod)：可能性和影响程度(c

16、hngd)，对事项进行评估，并且通常采用定性和定量相结合的方法。在评估风险时，管理当局考虑预期事项和非预期事项。许多事项是常规性的和重复性的，并且已经在管理当局的方案和经营预算中提到，而其他的事项那么是非预期的。管理当局评估可能对主体有重大影响的非预期的潜在事项以及预期事项的风险。在评估风险时，管理当局既考虑固有风险，也考虑剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下，一个主体所面临的风险。剩余风险是在管理当局的风险应对之后所剩余的风险。一旦风险应对已经就绪，管理当局接下来就要考虑剩余风险。在评估风险时，对风险的可能性和影响的估计值通常利用来自过去的可观察事项的

17、数据来确定，它提供了一个比完全主观的估计值更加客观的依据。根据一个主体自己的经验内部生成的数据可能会反映较少的主观个人偏见，并提供比来自外部渠道的数据更好的结果。但是，即使在内部生成的数据是主要输入的地方，外部数据作为一个印证或者对于增进分析可能很有用。例如，一家公司的管理当局在评估由于设备故障所导致的生产中断风险时，首先看它自己的制造设备先前发生故障的频率和影响。接下来用行业基准来补充数据。这样就能够对故障的可能性和影响进行更精确的估计，从而能够制订更有效的防护性维护方案。当利用过去的事项来对未来进行预测时，应该保持谨慎，因为影响事项的因素可能随着时间的推移而发生变化。风险应对在评估了相关的

18、风险之后，管理当局就要确定如何应对。风险应对包括风险回避、降低、分担和承受。在考虑风险应对的过程中，管理当局评估对风险的可能性和影响的效果，以及本钱效益，选择能够使剩余风险处于期望的风险容限以内的应对。管理当局识别所有可能存在的时机，从主体范围或组合的角度去认识风险，以确定总体剩余风险是否在主体的风险容量之内。控制活动控制(kngzh)活动是帮助确保管理当局的风险应对(yngdu)得以实施的政策和程序。控制活动的发生贯穿于整个组织，普及(pj)各个层级和各个职能机构。它们包括一系列不同的活动，例如批准、授权、验证、调节(tioji)、经营业绩评价、资产平安(png n)以及职责别离。控制活动的

19、类型的许多不同的表述，包括预防性的、检查性的、人工的、计算机的以及管理控制。控制活动还可以根据特定的控制目标来进行分类，例如确保数据处理的全面性和准确性。如：高层复核：高层管理当局对照预算、预测、以前期间和竞争者来复核实际的业绩。主要的活动例如营销冲刺、改良生产流程以及本钱抑制或降低方案等被反映到任务实现程度的计量指标上。并对新产品开发、合营企业或筹资方案的执行进行监控。直接的职能或活动管理：负责职能机构或活动的管理人员业绩报告。一位负责一家银行的消费者贷款的管理人员审核按分行、地区和贷款担保种类区分的报告，核对摘要，识别趋势，并将结果与经济统计数据和任务进行对照。分行管理人员收到按贷款官员和

20、地区客户分片区分的新业务数据。分行管理人员还要关注合规问题，审核监管机构对规定金额的新存款所要求的报告。根据集中为隔夜转账和投资所报告的净头寸，调节每日的现金流量。信息处理：实施一系列的控制来检查交易的准确性、完整性和授权。输入的数据要经过联机编辑核对on-line edit checks或与经批准的控制文件相匹配。例如，一个客户的指令只有在对照了经批准的客户文件 和信用限额之后才能被接受。对交易的数量化结果进行核算，对例外情况追查到底并报告给监督人员。对新系统的开发和现有系统的改变，以及对数据、文件和程序的进入都要加以控制。实物控制：对设备、存货、证券、现金和其他资产进行实物性的保护，定期盘

21、点，并与控制记录上所反映的数额相比拟。业绩指标：把不同系列的经营的或者财务的数据彼此联系起来，与对相互关系的分析以及调查和矫正措施一起，构成了一项控制活动。例如，业绩指标包括各个单元的员工流动率。通过调查非预期的结果或异常的趋势，管理当局可以识别由于没有足够的能力去完成关键的流程而可能意味着实现目标的可能性较低的情况。管理当局如何利用这种信息仅仅用于经营决策，或是还要追查报告系统中非预期的结果决定着对业绩指标的分析是只能用于经营目的，还是也能同时用于报告控制目的。职责(zhz)别离(bil)：把不同人员的职责予以分开或隔离，以便降低错误或舞弊的风险。举例来说，交易授权、记录和处理相关资产的职责

22、就要分开。一位授权赊销的管理人员不能负责记录应收账款(zhn kun)或处理现金回款。同样，销售人员无权修改产品价格文件或佣金比率。通常执行一个控制组合来处理相关的风险应对。例如(lr)，一家公司的管理当局设定交易限额来管理与一个投资组合相关的风险，并确定旨在帮助确保不超过交易限额的控制活动(hu dng)。控制活动包括在之前停止特定交易的预防性控制，以及及时地识别其他交易的检查(jinch)性控制(kngzh)。控制活动把计算机和人工控制结合起来，包括确保正确获取了所有信息的自动抽，以及使负有责任的个人能够授权或批准投资决策的途径程序。信息(xnx)与沟通信息与沟通是企业及时、准确地收集、传

23、递与风险管理相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。有效的信息沟通会出现信息在组织中向下、平行和向上的流动。一个组织中的各个层次都需要信息，以便识别、评估和应对风险，以及从其他方面去经营主体和实现其目标。要利用与一个或多个目标类别相关的大量信息。来自内部和外部来源的经营信息，包括财务的和非财务的，与多个经营目标相关。例如，财务信息不仅用来编制财务报表以实现报告目的，还用于经营决策，例如监控业绩和配置资源。可行的财务信息对于方案、预算、定价、评价卖主的业绩、主体合营企业和联盟以及一系列其他的管理活动而言是十分重要的。监控监控是企业对内部控制与风险管理体系的建立与实施情况进行监

24、督检查。监控可以通过持续监控、个别评价或者两者相结合来完成。持续监控包含于一个主体正常的、反复的经营活动之中。持续监控被实时执行，动态地应对变化的情况，并且植根于主体之中。因此，它比个别评价更加有效。由于个别评价发生在事后，所以通过持续监控程序通常能够更迅速地识别问题。许多主体尽管有着良好的持续监控活动，也会定期对企业风险管理进行个别评价。如果需要经常性个别评价的主体，应该集中精力去改良持续监控活动。在正常的经营过程中，许多活动可以考虑到监控企业风险管理的有效性的作用。它们来自定期的管理活动，可能包括差异分析、对来自不同渠道的信息的比拟，以及应对非预期的突发事件。持续(chx)监控活动一般由直

25、线式的经营管理人员或职能式的辅助管理人员来执行，以便对他们所接收的信息的含意予以深入考虑。通过关注关系、矛盾或其他的相应含意，他们提出问题并追查必要的其他员工，以确定是否需要(xyo)矫正或其他措施。持续监控活动应与经营过程中的政策所要求执行的活动区分开来。例如，作为信息系统或会计程序所要求的步骤来执行的交易审批、账户余额调节以及验证主要文件的准确性，最好界定为控制活动。尽管持续监控程序(chngx)通常能提供有关企业风险管理的其他要素的有效性重要反应(fnyng)。但是(dnsh)有时候采取个别评价直接关注企业风险管理的有效性可能是很有用的。它也能提供一个考察持续监控程序的持续有效性时机。内

26、部控制根本标准在2008年6月28日，财政部等五部委联合正式发布?企业内部控制根本标准?；根本标准自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。由于受到金融危机等经济环境影响,已将实施时间延后。届时,全体上市公司都将向交易所提交企业内部控制,而对于其他非上市公司那么予以鼓励施行。?企业内部控制根本标准?明确指出企业要建立与实施有效的内部控制，应当包括以下要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。如以下图所示：从上可以看出，新的企业内部控制根本标准的体系根底仍是COSO的内部控制框架；但重点突出如下内容：1、科学界定了内部控制的内涵。强调内部控制是

27、由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，有利于树立全面、全员、全过程控制的理念；2、准确定位内部控制的目标。要求企业在保证经营管理合法合规、资产平安、财务报告及相关信息真实完整，提高经营效率和效果的根底上，着力促进企业实现开展战略；3、统筹构建了内部控制的要素。有机融合世界主要经济体加强内部控制的做法经验，构建了以内部控制环境为重要根底、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保障，相互联系、相互促进的五要素内部控制模型；4、开创性地建立了以企业为主体、以政府监管为促进(cjn)、以中介机构审计为重要组成局部(jb)的内

28、部控制实施机制。要求企业实行内部控制自我评价制度；国务院有关监管部门有权对企业建立(jinl)并实施内部控制的情况进行监督检查；明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行(jnxng)审计，出具审计报告。国有企业内部(nib)控制框架内控与风险管理在国企开展近年来，国资委采取了一系列措施来加强和推动风险管理在企业中的开展：首先，推动央企逐步建立切实可行的风险管理体系。其次，建立中国国情的企业内部控制和风险管理的制度体系。2006年至2021年，国资委、财政部等部门发布一系列的制度与标准如?中央企业全面风险管理指引?。再次，加强央企内部风险管理和主要风险领域的监管。主要是落实企

29、业内部控制和风险管理的责任，并且责任到人。如：2006年4月国资委发布了?中央企业总会计师工作职责管理暂行方法?。最后(zuhu)，建立健全资产损失责任(zrn)追究制度。如：2021年国资委出台(ch ti)了?中央企业资产(zchn)损失责任追究管理方法(fngf)?，进一步明确企业负责人、相关责任人在加强企业内部控制和风险管理方面的管理和监督责任；组织对企业高风险业务的管理方式、管理效率和投资结果的客观、公正的评价；对在内部管理、内部控制和风险管理方面违反国家法律法规或工作不尽职造成重大资产损失的责任人，国资委将按规定进行责任追究。近期，再次强调并要求央企建立建全“全面风险管理管理体系，

30、如2021.12.14.，国资委在中央企业负责人会议中再次强调并要求持续推动企业健全全面风险管理管理体系。由此可看出，风险管理已成为国资委对国有企业及其高管人员进行标准与考核的重要标准。由于包括央企与地方国企等在内的大中型国有企业集团也是金蝶EAS的目标客户，为此我们需要熟悉该根本框架。国企内部控制根本框架国资委“国有企业内部控制研究课题组在综合考虑国有企业特殊环境及国有企业在内部控制建设实践过程中所获取的经验与认知的同时，借鉴COSO内部控制根本框架和COSO的风险管理框架，参考萨班斯法案404条款，提出并建立了国有企业“12345内部控制根本框架，即：一个首要目标：运营效率与效果。两大责任

31、主体：主要管理人与控股股东。三条建设主线：治理环境、会计财务控制和业务控制。四大根本原那么：强支撑、短流程、高授权、大监督。五项保障措施：改善支撑环境、提高风险应对能力、完善政策流程、促进信息沟通、提高监督能力。根本框架从3个纬度确定了内部控制框架的根本构成，即目标、内容和措施；从两个层面确定了内部控制建设和实施的责任主体，即国有大股东和管理层；从4个角度确定了内部控制建设和实施的根本原那么，即强支撑、短流程、高授权、大监督。体系涉及的几个重要关系内部(nib)控制与风险管理的关系内部控制(kngzh)与风险管理是一对既有联系又互有差异(chy)的概念(ginin)。内部控制是为了提高经营效率

32、与效果，遵守有关法律法规与企业内部规章制度，保证信息的真实(zhnsh)、可靠和资产平安、完整，从而实现企业的战略目标。风险管理包括狭义的风险管理与广义的风险管理。狭义的风险管理是企业先收集风险信息，进行风险评估，选择风险管理策略，制定风险管理方案，并对风险管理进行持续的监督和改良，同时还要构建风险管理组织体系和风险管理信息系统，营造风险管理文化。相对于内部控制，狭义的风险管理是一个更为独立的过程，更偏向对于影响目标实现的风险的识别、分析、评估与应对。广义的风险管理涵盖内部控制，内部控制是企业风险管理不可分割的一局部。COSO委员会2004年公布的“企业风险管理整合框架涵盖了内部控制整合框架，

33、构建了一个更强有力的概念和管理工具。在实际操作中，内部控制是基于风险的控制过程，内部控制活动通常嵌入到企业各业务流程的具体业务活动，融合在企业的各项规章制度中，使企业在正常运营过程中自发地防止错误，防范风险，提高效率，合理保障企业目标的实现。风险管理与内部审计的关系风险管理与内部审计两者之间存在互相促进、互相提升的关系。风险管理的内涵非常广泛，而且风险管理过程是一个连续不断的过程，几乎覆盖了企业周转运营的各个方面。内部审计是公司治理的四大基石之一，是风险管理的重要组成内容，是风险管理八要素中监督的重要手段，同时也是风险管理不断完善、持续改良的建议与监督主题。内部审计具体表现为：在企业内部通过审查和评价自身经营活动、财务行为、内部控制等的合法、适当、有效而开展的独立的监督评价活动。相应的，风险管理是内部审计的工作对象之一，风险管理需要内部审计对内部控制与风险管理体系的设计是否合理、执行是否有效等方面进行检查、反应，从而实现自身的不断完善和提高。指标(zhbio)监控、信息系