《内控第4章控制过程.ppt》由会员分享,可在线阅读,更多相关《内控第4章控制过程.ppt(55页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第四章 内部控制过程 1学习目的o理解内部控制目标的确定o掌握事项识别的概念、方法和技术o掌握风险评估和风险应对o理解控制活动的要素o了解信息系统的控制 2案例:法兴银行的黑色星期四o2008年1月24日,法国兴业银行曝光一起令全球金融业瞩目的违规事件。o面对交易员盖维维尔近一年的违规操作,控制系统安全报警75次,而其内控机制响应迟钝,终酿大祸o原因分析与启示。3第一节 目标确定 4目标设定o内部控制与企业任务及目标o愿景与企业战略目标o其他相关目标o企业战略目标与风险偏好o风险容忍程度的确定5 作为COSO在1994年内部控制框架基础上加入的新要素之一,ERM框架下的内部控制将“目标制定”界
2、定为“在战略层次上设立目标,为经营、报告、保护资源和合规目标建立基础。内部控制与企业任务及目标 6愿景与企业战略目标p愿景难以实现的高级目标 p企业战略目标 7愿景o所谓愿景,即是由组织内部的成员制订,通过团队讨论并获得组织一致共识而形成的大家愿意全力以赴的未来方向。o所谓愿景管理,是结合个人价值观与组织目的,通过开发愿景、瞄准愿景、落实愿景的三部曲来建立团队,促使组织成功及组织力量极大化地发挥。8 企业战略目标 p战略目标是对企业战略经营活动预期取得的主要成果的期望值。战略目标的设定,同时也是企业愿景的展开和具体化。p战略目标的特点是宏观性、长期性、相对稳定性、全面性、可分性、可接受性、可检
3、验性、可挑战性。9其他相关目标 o经营目标o报告目标 o资源目标 o合规目标 10企业战略目标与风险偏好 p从广义上看,风险偏好是指企业在实现其目标过程中愿意接受的风险的程度。p有效的内部控制是要确保管理层设有一个恰当的程序来使战略目标与企业的使命相协调,保证企业的战略目标与相关目标、企业的风险偏好相一致。11风险容忍程度的确定 p企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。p企业在风险容忍度内的良好运行可以更好地确保企业的发展未超出风险偏好范围,可以更好地保证企业实现其战略目标。12第二节 事项识别 13事项识别o风险与机遇o事项识别与目标实现的联系o事项分类14风险与机遇 如
4、何在不确定环境下进行战略决策、化不确定的劣势为竞争中的优势,是新的市场环境下对企业经营者提出的新挑战。15事项识别与目标实现的联系 p事项识别概述p事项识别与目标实现 p事项识别技术 16 事项识别概述 o潜在事项是指来自于企业内部和外部资源的,可能影响企业战略的执行和目标实现的一件或者一系列偶发事项,采用一系列技术来识别有关事项并考虑有关事项的起因,对企业过去和未来的潜在事项以及该事项的发生趋势进行计量。o管理者确认潜在的事项,即如果该事项发生,它将会对企业整体产生哪些影响。17 事项识别与目标实现 目 标在我们的经营领域内成为优质家庭产品的主导产商 战略目标使我们产品的零售商在产品销售中处
5、于领先地位 相关目标 聘用180个合格的遍布所有生产部门的新职员 维持22%的员工成本 客观计量单位 新的合格职员的数量每个职员花费的成本 可容忍度165至200新合格的职员雇用职员费用在20%和23%之间 潜在的事项或 风险以相关的 影响未预料到的劳动力市场需求的减少,造成职员剩余未预料到的劳动力市场需求的增加,造成员工紧缺需求描述的不充分,造成聘用不合格的职员18 事项识别技术 n管理者可以使用各种技术确认潜在事项 对目标的影响。n一些工具和科学技术构成了企业事项辨 别的方法。n虽然许多比较复杂的技术有行业特色,但它们都来源于共同的方法。19 事项种类 外部因素经济因素自然环境政治因素社会
6、因素技术因素 内部因素基础建设个人因素过程技术数据的完整性20第三节 风险评估21风险评估o风险评估的概念及任务o风险评估的内容o风险评估的途径22风险评估的概念及任务 o风险评估是对组织资产面临的威胁、存在的弱点造成的影响,以及三者综合作用而带来风险的可能性进行评估。o风险评估的主要任务包括:识别组织面临的各种风险、评估风险概率和可能带来的负面影响、确定组织承受风险的能力、确定风险消减和控制的优先等级、推荐风险消减对策。23风险评估的内容 o管理者可从两个角度评估事件:一是发生的可能性;二是影响程度。o风险评估首先针对的是内在风险,一旦风险反馈发展起来,管理部门就应当开始考虑追加风险。24
7、风险评估的途径实际工作中经常使用的风险评估包括:p基线风险评估p详细风险评估p组合风险评估25基线风险评估 企业根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。26详细风险评估 详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。27组合风险评估 基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格
8、限定边界的较小范围内的评估。基于此,实践当中,企业多是采用二者结合的组合评估方式。28第四节 风险应对 29风险应对o风险应对策略o应对风险的具体行动o风险组合观30风险应对策略 p规避风险策略p降低风险策略p转嫁风险策略p接受风险策略31风险消减风险控制32风险消减 p确定风险消减策略p选择安全措施 p制定安全计划 33风险控制 维护 监视 事件响应 安全意识、培 训和教育 34维护内容 检查日志文件;修改调整必要的参数,反映变化需求;更新版本;安装补丁。35监视内容 监视资产 监视威胁 监视弱点 监视安全措施 36事件响应过程准备检测初始响应通知评估处理恢复37安全意识、培训和教育p需求分
9、析 p培训教师 p获取支持 p开发程序 p 实施程序 p 维护程序 p 监督考察38风险组合观 企业管理部门确定的每个行动下的风险首先是在每一业务单元、部门或分支上考虑的,担负此项工作的经理要为每一单元设计风险综合评估体系,以反映该单元相对其目标和风险容忍度的剩余风险状况。39第五节 控制活动 40控制活动o控制活动的目标o控制活动与风险应对的联系o控制活动的种类及要素41控制活动的目标 控制活动指为确保管理层指示得以执行的政策和程序。它们有助于保证采取必要措施来管理风险以实现企业目标。它贯穿于企业各层次和各部门,分别应用于五类目标战略、经营、报告、资源及合规。42控制活动与风险应对策略的联系
10、 控制活动的选择和再考察应当包括他们对于风险反应措施和相关目标的相关性和恰当性的考虑。这可能通过分开考虑控制行为的恰当性或者通过在具有风险反应措施和相关的控制活动的情况下考虑残余风险来完成。43控制活动的种类及要素 o控制活动的种类o控制活动的要素 o控制活动与风险评估结合o控制活动应注意的问题 o控制活动的评估 44控制活动的种类 p预防性控制p检查性控制p手工控制p信息化控制p管理控制 45控制活动的要素1.确定应该做什么政策2.实现该政策的程序46控制活动与风险评估结合 在风险评估同时,管理层为了管理风险,应确定相应的行动并使之有效。被确定用于管理风险的行动也用于重点关注控制活动是否已经
11、到位,以有助于确保正确、及时地执行这些行动。47 控制活动应注意的问题48 控制活动的评估 评估者不仅考虑确定的控制活动是否与风险估计过程相关,而且还考虑它们的应用是否正确。49 本章重点与难点p企业风险管理的战略目标及其他相关目标的制定p风险容忍程度的确定p事项识别的方法和技术p风险评估的可能性与影响p风险应对策略p控制活动与风险应对策略的关系 50 思考题 p举例说明事前目标制定对于成功与否的重要性。p设想你正在经营一家校园周边地段的饮食店,运用本章所学到的知识制定一份切实可行的目标。p如何分析与辨别企业外部环境中的机会与威胁,并做出合理的应对措施?p谈谈“事项识别”这一要素对我国目前证券
12、 公司风险管理的启示。51 思考题 p审计过程中,对控制风险的初评和再评的结果对实质性测试有何影响?p现实中,企业领导层如何利用风险评估达到改善公司治理的目的?p内部审计部门的存在是否能够为企业风险反应机制的建立起到良好的带动作用?p列举你所知道的控制活动成功或失败的案 例,更好地理解控制活动的意义。52可进一步阅读的文献 p美鲁特:超越COSO:强化公司治理的内部控制,刘霄仑主译,中信出版社,2004年5月版。p程新生:公司治理、内部控制、组织结构互动关系研究,会计研究,2004年第4期,第14-18页。p朱荣恩:内部控制评价,中国时代经济出版社,2003年版。p李敏:内部会计控制规范与监控技术,上海财经大学出版社,2003年版。53 可进一步阅读的文献 p美COSO:企业风险管理:整合框架,方红星等,东北财经大学出版社,2004年版。p友联时骏管理顾问:企业内部控制和风险管理释义,复旦大学出版社,2005年版。p吴水澎:公司董事会,监事会效率与内控机制研究,2005年版。p杨有红:企业内部控制框架:构建与运行,浙江人民出版社,2001年版。54本章结束本章结束55