内部控制与企业风险管理-RD01

1、.：.；内部控制与企业风险管理框架前言企业风险管理的内在前提是每一个企业存在的意义就在于为其股东提供价值。一切的企业都面临着不确定性，而管理者面临的挑战就是如何确定在为股东发明价值的同时，能接受多大程度的不确定性。不确定性同时意味着风险和时机，提升或销蚀股东价值。企业风险管理睬使得管理者有效地应对不确定性和与之相连的风险和时机，提升发明价值的才干。企业风险管理包括：匹配风险喜好和战略- 管理者在评价战略选择，设定相关目的和建立管理风险的机制时应思索企业的风险喜好提升风险应对决策风险管理提供了识别并选择风险应对的the rigor防止风险、降低风险、分担风险和接受风险降低运营的突发性和损失 企业

2、不断提升识别潜在事件并建立反响的才干，降低突发事件和与之相连的本钱和损失识别并管理企业全方位的风险 每一个企业都面对影响其不同部分的大量的风险。企业风险管理便在于对其相关联的影响作出有效的反响，并且是对多种风险作出的综合反响。抓住时机 对潜在事件作出全面思索，管理者便能识别并积极地实现时机。改善资本配置 获得动态的风险信息使得管理者有效地评价全面的资本需求并提升资本的利用效率。企业风险管理睬协助 企业到达获利目的并防止资源的损失。企业风险管理可以保证对外报告的有效性，并符合法律和制度的要求。一句话，风险管理可以协助 企业获得既定的目的而不至于堕入失败。企业风险管理定义企业风险管理是一个流程。这

3、个流程受企业的董事会，管理层和其他人员的影响，并运用于企业战略之制定和企业的全部方面。设计这个流程是为了识别潜在影响企业的事件，将风险管理在企业的喜好范围之内，并对企业目的的获得提供一个合理的保证。企业目的的获得企业在建立愿景的前提下，管理者建立战略目的，选择战略，并建立与之相匹配的目的。企业风险管理框架的旨在获得企业的目的。这些目的分成4类：战略的目的-高层目的，与愿景相匹配运营的目的-有效利用资源报告的目的-报告的可靠性合规性- 符合法规的要求企业风险管理的要素企业风险管理包括8个相互关联的要素属。这8个要素是： 内部环境 内部环境包含了一个组织的调子并决议了该组织的人如何对待风险和应对风

4、险，包括风险管理哲学和风险喜好，品行和价值观，以及该组织的运营环境 目的设定- 目的应该存在于在管理者可以识别潜在事件影响其实现前。企业风险管理应保证管理者设置一个流程来设定目的并且选择的目的应支持并和企业的目的相匹配，也与企业的风险喜好相匹配 事件识别 应识别影响企业目的实现的内部和外部事件，区分风险和时机。时机应与管理者的战略和目的制定流程相贯穿 风险管理 分析风险，思索其发生的能够性和影响，以此为根底确定如何管理这些风险 风险应对 管理者选择风险应对防止风险、降低风险、分担风险和接受风险-采取一系列行动以匹配企业的风险容忍度和风险喜好 控制活动 建立政策和程序并贯彻之，以保证风险的应对可

5、以有效地贯彻 信息和沟通 要求了解、捕捉相关的外部和内部信息，并使得这些信息能在组织中及时的处置和传送。使职员明白本人的职责。信息在组织中的传送应该是上下流动，平行传送的监控 风险管理的全部方面都需求监控并在需求时作出修正。监控应该定期经过对运营的实时监控和单独的评价进展。监控活动的范围和频率取决于被控风险的重要性和控制可以降低风险的程度。监控应该成为一个组织中正式的、常规的活动。发现缺陷应上报，并采取正确的行动进展改良目的和要素的关系企业目的和风险管理要素之间存在一个直接的关系。这个关系可以用一个三维的、立方体的方式加以阐明。insert a cube效果确定一个企业的风险管理能否有效取决于

6、一个判别，该判别于上述的8个要素能否存在并有效地发扬功能。这些要素对风险管理而言非常关键。这些要素存在并发扬作用，应该不存在重要的弱点，风险也能控制在企业的喜好范围之内。限制企业风险管理存在有局限性。局限性在于决策需求人的判别，而人的判别会产生错误。对风险的应对措施要思索本钱与收益。系统会由于人的错误而失效。控制会由于人的串谋而失效。管理者有才干凌驾于控制之上。内部控制内部控制是企业风险管理的内在组成部分。美国反欺骗性财务报告委员会COSO的定义：内部控制是一个靠组织的董事会、管理层和其他员工去实现的过程，实现这一过程是为了合理的保证： 运营的效果性和效率性； 财务报告的可信性； 对法律和规章

7、制度的遵照性1985年，由美国注册会计师协会(AICPA)、内部审计师协会(IIA)、财务经理协会(FEI)、美国会计协会(AAA)、和管理睬计师协会(IMA)等5家机构共同资助成立了美国反欺骗财务报告委员会(the Committee of Sponsoring Organization of the Treadway Commission, COSO)。COSO旨在研讨舞弊性财务报告产生的缘由及其相关领域，其中包括内部控制不健全的问题。1992年，COSO提出了(Internal Control - Integrated Framework)报告，并在1994年进展了增补，这就是现代通称的

8、COSO模型 。目前，COSO模型已被大多数上市公司和会计师事务所选用，作为内部控制评价和进展内部控制审计的根底，来满足萨班斯-奥克斯利法案的要求。监 督信 息 与 沟 通控 制 活 动风 险 评 估控 制 环 境事业部1事业部2业务活动1业务活动2控 制 环 境业 务 活 动 1业 务 活 动 2事业部2事业部1营运效率与效果财务数据的可靠性对法令和合约承诺之遵照风 险 评 估控 制 活 动信 息 与 沟 通监 督COSO模型内部控制5要素控制环境控制环境 - 是一个组织的控制认识；它是人们执行运营活动并完成其控制责任的环境。控制环境包括有形和无形部分：耿直和伦理价值职能的承诺董事会和审计委

9、员会管理层和组织构造管理哲学和运营方式权益和责任的分配人力资源政策和实施一个有效的控制环境存在于职员明确他们的责任、权益并承诺合理地执行。管理层对一个组织的控制环境的影响是经过建立执行规范和有效地沟通已制定的原那么程序，品德规范，和行为规范-“高层态度 来表达的。风险评价 - 是对企业运营风险的识别和分析。风险评价的前提条件是运营目的的设定：目的的类型目的的重叠目的的衔接目的的完成控制活动 是协助 企业及时有效地控制风险的政策和程序。控制活动应该深化到运营过程中并且把风险控制在合理的程度。控制活动的三个主要功能：预防、识别和纠正。信息系统控制对不合理行为及时采取有效措施维持有效的信息沟通系统和

10、一向性的管理政策信息与沟通 要求了解、捕捉相关的外部和内部信息，并使得这些信息能在组织中及时的处置和传送。正式与非正式的信息沟通渠道口头交流 (如：会议或反响)书面沟通 (如：政策、程序或任务职责)行动证明 (如：树立典范)信息的质量和完好性是进展商业决策必不可少的保证内部控制系统提供合理的保证，使信息可靠、及时、准确并易于了解。管理层责任使职员明白本人的职责信息在组织中的传送应该是上下流动，平行传送的坚持一个开放的与客户、供应商及其他外部关系联络的沟通渠道监控 - 为了确定内部控制的设计能否充分，能否得到有效执行并且适用。内部控制的执行应该定期经过对运营的实时监控和分阶段的评价进展。监控活动

11、的范围和频率取决于被控风险的重要性和控制可以降低风险的程度。监控应该成为一个组织中正式的、常规的活动。发现缺陷应上报，并采取正确的行动进展改良。我们能协助 企业做什么？协助 企业构筑风险管理体系。针对企业战略目的和所处的环境，构筑适宜企业的经济有效的风险管理框架。包括风险管理组织机构的建立，风险管理框架的建立等。协助 企业建立风险评价体系、模型和工具。协助 企业建立风险应对机制及相应的业务流程支持。建立风险体系的监控机制，确保企业风险管理体系可以顺应企业的变化和开展，继续改良并发扬成效。附件：企业风险管理的分析工具企业风险的类别分析有多种企业风险类别的划分规范和分析。我们将企业的风险作如下划分：战略风险环境风险自然和人为灾祸政治/国家法规产业竞争者资本市场组织风险公司战略和目的方案资源分配监控购并合资和联盟指点层愿景判别继任方案高层态度管理层受托可追溯授权责任公司治理伦理品德名声价值舞弊和违法行为投资者和债务人关系人力资源绩效考评福利任务地点环境运营风险劳动力雇用 知识和技艺开展和培训规模平安供应商外包采购实际供应商供货的可靠性、价钱和质量厂房消费才干技术/过期失效维护厂房和其他有形资产知识和产权产品和效力开发质量定价本钱发货客户维护技术/过期失效客户需求