《内部控制框架的建立培训教材fwex.pptx》由会员分享,可在线阅读,更多相关《内部控制框架的建立培训教材fwex.pptx(60页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2023/5/61 12.1 2.1 内部控制内部控制整合框架整合框架2.2 2.2 企业风险管理企业风险管理整合框架整合框架2.3 2.3 萨班斯萨班斯奥克斯利法案对内部控制的要求奥克斯利法案对内部控制的要求 2.2.内部控制框架的建立内部控制框架的建立2023/5/62 2通过本章学习,要求掌握内部控制的目标和要素,理解通过本章学习,要求掌握内部控制的目标和要素,理解内部控内部控制制整合框架整合框架和和企业风险管理企业风险管理整合框架整合框架中内部控制的重中内部控制的重要概念,了解要概念,了解COSO委员会的概况和萨班斯法案对内部控制的要委员会的概况和萨班斯法案对内部控制的要求。求。学习目
2、标学习目标2023/5/63 3 1992年年9月,月,COSO委员会提出了报告委员会提出了报告内部控制内部控制整合框架整合框架(P18,1994年进行了增补),该报告包括年进行了增补),该报告包括管理层总结、管理层总结、总体构架总体构架、外部团体报告、评估工具四个部、外部团体报告、评估工具四个部分。分。2.1 2.1 内部控制内部控制整合框架整合框架(参阅教材(参阅教材P17-22)2023/5/64 42.2.1定义定义2.2.1.1内部控制的定义内部控制的定义内部控制是一个受到董事会、经理层和其他人员影响的过程,内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供
3、实现以下三类目标的合理保证:经营该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率的效果和效率;财务报告的可靠性财务报告的可靠性;法律法规的遵循性(法律法规的遵循性(P19)。Internal control is a process,effected by an entitys board of directors,management and other personnel,designed to provide reasonable assurance regarding the achievement of objectives in the following cat
4、egories:effectiveness and efficiency of operations,reliability of financial reporting,compliance with applicable laws and regulations.2.1 2.1 内部控制内部控制整合框架整合框架2023/5/65 52.2.1.2内部控制是一个过程内部控制是一个过程(Internal control is a process)(见定义见定义)内部控制并非单一的事件或环境,而是针对企业行为的一系列内部控制并非单一的事件或环境,而是针对企业行为的一系列活动。活动。内部控制应该内
5、部控制应该“嵌入嵌入”企业之中,而非企业之中,而非“外置外置”在企业之外。在企业之外。2.2.1.3人的因素人的因素(Internal control is effected by people)(补充补充)内部控制受到企业内部控制受到企业董事会、经理层和其他人员董事会、经理层和其他人员的影响。(见定的影响。(见定义)义)同样,内部控制也影响人们的行为。同样,内部控制也影响人们的行为。2.2.1.4合理保证合理保证(Reasonable Assurance)(见定义见定义)内部控制,无论设计和执行多么理想,也只能就企业目标的实内部控制,无论设计和执行多么理想,也只能就企业目标的实现向经理层和董
6、事会提供合理的保证。现向经理层和董事会提供合理的保证。2.1 2.1 内部控制内部控制整合框架整合框架2023/5/66 62.2.1.5目标目标(Objectives)内部控制内部控制整合框架整合框架(P19)经营经营关于企业资源利用的效率、效果关于企业资源利用的效率、效果 财务报告财务报告关于编制公开财务报表的可靠性关于编制公开财务报表的可靠性 遵循性遵循性关于法律和法规的遵循性关于法律和法规的遵循性 Operations relating to effective and efficient use of the entitys resources.Financial reporting
7、 relating to preparation of reliable published financial statements.Compliance relating to the entitys compliance with applicable laws and regulations2.1 2.1 内部控制内部控制整合框架整合框架2023/5/67 7企业风险管理企业风险管理整合框架(整合框架(P23)战略战略 高层次目标,与使命相关联并支撑其使命高层次目标,与使命相关联并支撑其使命经营经营有效和高效率地利用其资源有效和高效率地利用其资源报告报告报告的可靠性报告的可靠性合规合规
8、符合适用的法律和法规符合适用的法律和法规Strategic relating to high-level goals,aligned with and supporting the entitys mission Operations relating to effective and efficient use of the entitys resources Reporting relating to the reliability of the entitys reporting Compliance relating to the entitys compliance with app
9、licable laws and regulations 2.1 2.1 内部控制内部控制整合框架整合框架2023/5/68 8企业内部控制基本规范企业内部控制基本规范(P224)企业经营管理合法合规企业经营管理合法合规资产安全(资产安全(safeguarding of assets)财务报告及相关信息真实完整财务报告及相关信息真实完整提高经营效率和效果提高经营效率和效果促进企业实现发展战略促进企业实现发展战略2.1 2.1 内部控制内部控制整合框架整合框架2023/5/69 9合法合规性合法合规性底线底线资产安全性资产安全性警戒线警戒线信息真实完整性信息真实完整性主线主线经营效率效果性经营效
10、率效果性生命线生命线战略实现性战略实现性愿景线愿景线五五目目标标2.1 2.1 内部控制内部控制整合框架整合框架2023/5/610102.1 2.1 内部控制内部控制整合框架整合框架战略目标战略目标报告目标报告目标报告目标报告目标战略目标战略目标 经营目标经营目标经营目标经营目标资源目标资源目标合规目标合规目标2023/5/611112.2.1.6要素(要素(Components)控制环境、风险评估、控制活动、信息和沟通、监控控制环境、风险评估、控制活动、信息和沟通、监控(Control Environment,Risk Assessment,Control Activities,Infor
11、mation and Communication,Monitoring)(P19)2.1 2.1 内部控制内部控制整合框架整合框架监督监督控制控制活动活动风险风险评估评估控制环境控制环境信息与沟通信息与沟通信息与沟通信息与沟通2023/5/612122.2.2控制环境控制环境 控制环境决定了企业的基调,影响企业员工的控制意识。它是控制环境决定了企业的基调,影响企业员工的控制意识。它是其他要素的基础,提供了基本规则和构架。其他要素的基础,提供了基本规则和构架。2.2.2.1员工的诚信和道德价值观(员工的诚信和道德价值观(Integrity and Ethical Values)2.2.2.2胜任
12、能力(胜任能力(Commitment to Competence)2.2.2.3董事会和审计委员会(董事会和审计委员会(Board of Directors or Audit Committee)2.2.2.4管理层的经营理念和经营风格(管理层的经营理念和经营风格(Managements Philosophy and Operating Style)2.2.2.5组织结构(组织结构(Organizational Structure)2.2.2.6管理层授权和职责分工(管理层授权和职责分工(Assignment of Authority and Responsibility)2.2.2.7人力资
13、源政策和措施(人力资源政策和措施(Human Resource Policies and Practices)2.1 2.1 内部控制内部控制整合框架整合框架2023/5/613132.2.3风险评估风险评估 每个企业都面临来自内部和外部的风险,这些风险必须进行评每个企业都面临来自内部和外部的风险,这些风险必须进行评估。风险评估的前提是确立目标,这些目标在不同的层次上相互联估。风险评估的前提是确立目标,这些目标在不同的层次上相互联系并具有内在的一致性。风险评估指对相关风险进行鉴别和分析,系并具有内在的一致性。风险评估指对相关风险进行鉴别和分析,以实现目标,形成风险管理的基础。以实现目标,形成风
14、险管理的基础。风险管理主要有六步:第一步:背景分析与确定范围;第二步:风险管理主要有六步:第一步:背景分析与确定范围;第二步:识别风险;第三步:分析风险;四步:评价风险;第五步:应对风识别风险;第三步:分析风险;四步:评价风险;第五步:应对风险;第六步:监测与审核。险;第六步:监测与审核。2.2.3.1目标目标 2.2.3.1.1目标的种类:经营目标、报告目标、遵循性目标、资产目目标的种类:经营目标、报告目标、遵循性目标、资产目标、战略目标标、战略目标2.2.3.1.2目标的层次:公司层目标、业务活动层目标目标的层次:公司层目标、业务活动层目标2.1 2.1 内部控制内部控制整合框架整合框架2
15、023/5/61414风险类型风险类型涵义涵义战略风险战略风险是指企业在战略的制订和实施上出现错误,或因未能随是指企业在战略的制订和实施上出现错误,或因未能随环境的改变而作出适当的调整,而导致经济上的损失环境的改变而作出适当的调整,而导致经济上的损失财务风险财务风险指融资安排、会计核算与管理以及会计或财务报告失误指融资安排、会计核算与管理以及会计或财务报告失误而对企业造成的损失而对企业造成的损失营运风险营运风险指企业内部流程和信息系统、人为因素或外部事件而给指企业内部流程和信息系统、人为因素或外部事件而给企业造成的经济损失企业造成的经济损失法律风险法律风险指企业因违反法律、法规或规定,或侵害其
16、他利益相关指企业因违反法律、法规或规定,或侵害其他利益相关者的权益,而导致企业遭受经济或声誉损失的风险者的权益,而导致企业遭受经济或声誉损失的风险2.2.3.2风险风险第一步:背景分析与确定范围第一步:背景分析与确定范围2.1 2.1 内部控制内部控制整合框架整合框架2023/5/61515第二步:识别风险第二步:识别风险l识别识别内部风险内部风险,应当关注下列因素:,应当关注下列因素:董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。等人力资源因素。组织机构、经营方式、资产管理、业务流程等管理因素。组织
17、机构、经营方式、资产管理、业务流程等管理因素。研究开发、技术投入、信息技术运用等自主创新因素。研究开发、技术投入、信息技术运用等自主创新因素。财务状况、经营成果、现金流量等财务因素。财务状况、经营成果、现金流量等财务因素。营运安全、员工健康、环境保护等安全环保因素。营运安全、员工健康、环境保护等安全环保因素。l识别识别外部风险外部风险、应当关注下列因素:、应当关注下列因素:经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。法律法规、监管要求等法律因素。法律法规、监管要求等法律因素。安全稳定、文化传统、社会信用、教育水平、消费
18、者行为等社会因素。安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。技术进步、工艺改进等科学技术因素。技术进步、工艺改进等科学技术因素。自然灾害,环境状况等自然环境因素。自然灾害,环境状况等自然环境因素。2.1 2.1 内部控制内部控制整合框架整合框架2023/5/61616第三步:分析风险第三步:分析风险l 企业应当采用定性与定量相结合的方法,按照企业应当采用定性与定量相结合的方法,按照风险发风险发生的可能性及其影响程度生的可能性及其影响程度等,对识别的风险进行分析和排序,等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。确定关注重点和优先控制的风险。2.1 2.1
19、内部控制内部控制整合框架整合框架2023/5/61717风险可能性的定性与定量分析风险可能性的定性与定量分析定量方法一定量方法一评分评分12345定量方法二定量方法二概率概率10%以下以下1030%3070%7090%90%以上以上定性方法定性方法文字描述文字描述一一极低极低低低中等中等高高极高极高文字描述文字描述二二一般情况下一般情况下不会发生不会发生极少情况极少情况下发生下发生某些情况某些情况下发生下发生较多情况较多情况下发生下发生常常会发常常会发生生文字描述文字描述三三今后今后10年内年内发生的可能发生的可能性少于性少于1次次今后今后510年内可能年内可能发生发生1次次今后今后25年内可
20、能年内可能发生一次发生一次今后今后1年年内可能会内可能会发生发生1次次今后今后1年内年内至少发生至少发生1次次2.1 2.1 内部控制内部控制整合框架整合框架2023/5/61818风险损失的定性与定量分析风险损失的定性与定量分析定量方法一定量方法一评分评分12345定量方法二定量方法二企业财务损企业财务损失占税前利失占税前利润的百分比润的百分比1%以下以下15%510%1020%20%以上以上定性方法定性方法文字描述文字描述极轻微的极轻微的轻微的轻微的中等的中等的重大的重大的灾难性的灾难性的2.1 2.1 内部控制内部控制整合框架整合框架2023/5/61919第四步:评价风险第四步:评价风
21、险l对于高风险对于高风险H,需要立需要立即采取行动,董事会即采取行动,董事会/高管应参与高管应参与;l对于严重风险对于严重风险S,需要需要高级管理层注意;高级管理层注意;l对于中度风险对于中度风险M,通过通过具体监控或响应程序具体监控或响应程序加以管理加以管理;l对于低度风险对于低度风险L,通过通过日常程序加以管理日常程序加以管理。2.1 2.1 内部控制内部控制整合框架整合框架2023/5/62020第五步:应对风险第五步:应对风险l企业应当根据风险分析的结果,结合风险承受度,权衡风企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。险与收益,确定风险应对策略。企业
22、应当合理分析、准确企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。营带来重大损失。”l风险应对一般包括:风险应对一般包括:规避风险、降低风险、分担风险、承规避风险、降低风险、分担风险、承受风险四类。受风险四类。2.1 2.1 内部控制内部控制整合框架整合框架2023/5/62121风险应对策略风险应对策略风险规避风险规避风险降低风险降低风险分担风险分担风险承受风险承受企业对超出风险承受度的风险,通过
23、放弃或企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减者停止与该风险相关的业务活动以避免和减轻损失的策略轻损失的策略企业在权衡成本效益之后,准备采取适当的企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略制在风险承受度之内的策略企业准备借助他人力量,采取业务分包、购企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略制在风险承受度之内的策略企业对风险承受度之内的风险,在权衡成本企业对风险承受度之
24、内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或效益之后,不准备采取控制措施降低风险或者减轻损失的策略者减轻损失的策略2.1 2.1 内部控制内部控制整合框架整合框架2023/5/62222第六步:监测与审核第六步:监测与审核l风险是不断变化的。与风险相关的内部控制也必须发生变风险是不断变化的。与风险相关的内部控制也必须发生变化。化。l通过对风险的监测与对内部控制有效性的持续审核,有利通过对风险的监测与对内部控制有效性的持续审核,有利于企业目标的实现。于企业目标的实现。2.1 2.1 内部控制内部控制整合框架整合框架2023/5/623232.2.4控制活动控制活动 控制活动指为确保
25、管理层指示得以执行的政策和程序。控制活动指为确保管理层指示得以执行的政策和程序。2.2.4.1控制活动的类型控制活动的类型高层复核(高层复核(Top Level Reviews)职能指导或业务管理(职能指导或业务管理(Direct Functional or Activity Management)信息处理(信息处理(Information Processing)实物控制(实物控制(Physical Controls)业绩指标分析(业绩指标分析(Performance Indicators)职责分离(职责分离(Segregation of Duties)2.1 2.1 内部控制内部控制整合框架
26、整合框架2023/5/624242.2.4.2控制活动的要素控制活动的要素政策和程序政策和程序控制活动通常包含两类要素:确定应该做什么的政策(作为第二个控制活动通常包含两类要素:确定应该做什么的政策(作为第二个要素基础)和实现该政策的程序。要素基础)和实现该政策的程序。例如,政策可能要求证券交易商例如,政策可能要求证券交易商的营业部门经理复核客户交易行为。而程序是复核行为本身,必须的营业部门经理复核客户交易行为。而程序是复核行为本身,必须及时进行,并关注政策里提及的因素,如所交易证券的性质和数量及时进行,并关注政策里提及的因素,如所交易证券的性质和数量以及与客户证券净值和年纪之间的联系。以及与
27、客户证券净值和年纪之间的联系。很多时候,政策以口头形式传达。当政策是长期存在和被广泛接受很多时候,政策以口头形式传达。当政策是长期存在和被广泛接受的,以及在沟通渠道只涉及有限的管理层、人员之间联系密切、易的,以及在沟通渠道只涉及有限的管理层、人员之间联系密切、易于监管的小企业中,非书面的政策也可以是有效的。于监管的小企业中,非书面的政策也可以是有效的。不管政策是否是书面的,必须被仔细地、尽责地、一贯地执行。如不管政策是否是书面的,必须被仔细地、尽责地、一贯地执行。如果程序只是机械地被执行,而对政策的方向没有一个敏锐、持续的果程序只是机械地被执行,而对政策的方向没有一个敏锐、持续的关注,那么也是
28、没有益处的。关注,那么也是没有益处的。2.1 2.1 内部控制内部控制整合框架整合框架2023/5/625252.2.5信息和沟通信息和沟通 相关的信息必须以一种能使人们行使各自职能的形式和在一定相关的信息必须以一种能使人们行使各自职能的形式和在一定的时限内被识别、掌握和沟通。有效的沟通还必须广泛的进行,要的时限内被识别、掌握和沟通。有效的沟通还必须广泛的进行,要遍及组织的各个方面。遍及组织的各个方面。2.2.5.1信息信息2.2.5.1.1信息的识别和获取信息的识别和获取2.2.5.1.2信息加工和报告信息加工和报告2.2.5.1.3信息系统的整合信息系统的整合2.1 2.1 内部控制内部控
29、制整合框架整合框架2023/5/626262.2.5.2沟通沟通2.2.5.2.1内部沟通内部沟通所有人员,特别是那些所有人员,特别是那些有着重要的经营和财务管理职责的人员有着重要的经营和财务管理职责的人员,取得管,取得管理所需信息,并清楚地知道必须严肃履行内部控制责任。理所需信息,并清楚地知道必须严肃履行内部控制责任。在多数情况下,在多数情况下,正常的报告渠道正常的报告渠道就是适当的沟通渠道。然而,在特定条就是适当的沟通渠道。然而,在特定条件下,需要件下,需要独立的沟通渠道独立的沟通渠道作为一个预防失败的机制。作为一个预防失败的机制。管理层与董事会及其委员之间的沟通管理层与董事会及其委员之间
30、的沟通至关重要。至关重要。2.1 2.1 内部控制内部控制整合框架整合框架2.2.5.2.2外部沟通外部沟通通过开放的沟通渠道,了解通过开放的沟通渠道,了解顾客、供应商顾客、供应商对于产品或服务的设计或质量对于产品或服务的设计或质量方面的要求使公司注意顾客的需求和偏好。方面的要求使公司注意顾客的需求和偏好。与与外部审计师外部审计师的沟通,管理层和董事会可以了解重要的控制信息。的沟通,管理层和董事会可以了解重要的控制信息。与与股东、监管者、财务分析师以及其它外界股东、监管者、财务分析师以及其它外界的交流,可以了解企业所面的交流,可以了解企业所面临的情况和风险。临的情况和风险。2023/5/627
31、272.2.5.2.3沟通的方式沟通的方式 沟通可以采用诸如沟通可以采用诸如政策手册,备忘录,布告通知,录像录音政策手册,备忘录,布告通知,录像录音带带的形式的形式,又可采用又可采用口头口头传递消息的方式。另一种有影响力的沟通手段传递消息的方式。另一种有影响力的沟通手段是是管理层在领导下属工作时的言行管理层在领导下属工作时的言行。2.1 2.1 内部控制内部控制整合框架整合框架2023/5/628282.2.6监控监控 内控系统需要被监控内控系统需要被监控这是一个评估系统在一定时期内运行这是一个评估系统在一定时期内运行质量的过程。这一过程通过质量的过程。这一过程通过持续性的监控行为、独立的评估
32、持续性的监控行为、独立的评估或两者或两者的结合来实现。内部控制的缺陷应自下而上进行报告,重要事项应的结合来实现。内部控制的缺陷应自下而上进行报告,重要事项应报知高层管理人员和董事会。报知高层管理人员和董事会。2.2.6.1持续性监控行为持续性监控行为在执行在执行常规管理行为常规管理行为时,经营管理层取得内部控制持续运转的证时,经营管理层取得内部控制持续运转的证据。据。与外界各方的沟通与外界各方的沟通能够印证内部产生的信息或揭示问题。能够印证内部产生的信息或揭示问题。将信息系统所记录的将信息系统所记录的数据与实物资产相核对数据与实物资产相核对。内部及外部审计师内部及外部审计师定期为进一步加强内部
33、控制提供建议。定期为进一步加强内部控制提供建议。培训研讨会、计划会议及其他会议培训研讨会、计划会议及其他会议能提供有关控制是否有效。能提供有关控制是否有效。定期询问职员定期询问职员理解及执行企业相关规定的情况。理解及执行企业相关规定的情况。2.1 2.1 内部控制内部控制整合框架整合框架2023/5/629292.2.6.2独立评估独立评估2.2.6.2.1范围和频率范围和频率独立评估的范围和频率主要依赖于风险评估和持续性监控程序的有独立评估的范围和频率主要依赖于风险评估和持续性监控程序的有效性。效性。2.2.6.2.2评价主体评价主体一是一是自我评价自我评价,即负责某一单位或职责的人员对其控
34、制自身活动,即负责某一单位或职责的人员对其控制自身活动的有效性进行评价。的有效性进行评价。二是二是内部审计人内部审计人员评估,有时,在董事会、高级管理层、子公司员评估,有时,在董事会、高级管理层、子公司及部门主管的特殊要求下,内审人员也会对内控进行评价。及部门主管的特殊要求下,内审人员也会对内控进行评价。2.2.6.2.3评价程序及方法体系评价程序及方法体系2.2.6.2.4行动计划行动计划2.2.6.2.5报告缺陷报告缺陷2.1 2.1 内部控制内部控制整合框架整合框架2023/5/630302.2.7控制目标、控制要素与控制单控制目标、控制要素与控制单元之间的关系(补充记录于元之间的关系(
35、补充记录于P20)企业内部控制的五个要素都是为实企业内部控制的五个要素都是为实现企业三个控制目标服务的现企业三个控制目标服务的企业各控制单元都要坚持三个控制企业各控制单元都要坚持三个控制目标目标企业各控制单元目标的实现都要从企业各控制单元目标的实现都要从五个方面来进行控制五个方面来进行控制2.1 2.1 内部控制内部控制整合框架整合框架2023/5/631312.2.8各组织架构在内部控制中的角色和职责各组织架构在内部控制中的角色和职责(P20)企业的每位员工都应担负内部控制的职责。企业的每位员工都应担负内部控制的职责。管理层管理层首席执行官负有最终的责任,其确定了首席执行官负有最终的责任,其
36、确定了“最高层的基调。最高层的基调。董事会董事会管理层向董事会负责,董事会提供治理、指导和监督。管理层向董事会负责,董事会提供治理、指导和监督。内部审计师内部审计师内部审计师在评价、维护企业内控系统有效性方面内部审计师在评价、维护企业内控系统有效性方面起重要作用。起重要作用。其他人员其他人员从某种程度上说,内部控制是企业中每个人的职责,从某种程度上说,内部控制是企业中每个人的职责,因此应成为每个人工作职责中明示或暗示的部分。因此应成为每个人工作职责中明示或暗示的部分。2.1 2.1 内部控制内部控制整合框架整合框架2023/5/632322.2.9 COSOCOSO的贡献(的贡献(P21P21
37、)2.2.9.1准确定位内部控制基本目标准确定位内部控制基本目标2.2.9.2内控要素之间的整合体系内控要素之间的整合体系2.2.9.3内部控制对目标的实现仅仅提供的是合理保证内部控制对目标的实现仅仅提供的是合理保证2.2.9.4内部控制是一个动态的过程内部控制是一个动态的过程2.2.9.5强调人与环境的重要性强调人与环境的重要性2.2.9.6糅合了管理与控制的界限糅合了管理与控制的界限2.1 2.1 内部控制内部控制整合框架整合框架2023/5/63333案例案例:2-10:2-10:综合案例:综合案例2.1 2.1 内部控制内部控制整合框架整合框架2023/5/634342004年年9月月
38、COSO企业风险管理企业风险管理整合框架整合框架(Enterprise Risk ManagementIntegrated Framework)。)。2.2 2.2 企业风险管理企业风险管理整合框架整合框架(参阅教材(参阅教材P22-25)2023/5/635352.3.1企业风险管理框架的定义(企业风险管理框架的定义(P22-25)一个由企业的董事会、管理层和其他一个由企业的董事会、管理层和其他员工员工(2)共同参与的,共同参与的,应用于企业应用于企业战略制定战略制定(3)和和企业内部各个层次和部门企业内部各个层次和部门(4)的,用的,用于于识别可能对企业造成潜在影响的事项识别可能对企业造成
39、潜在影响的事项(5)并在其风险偏好范并在其风险偏好范围内管理风险的,为围内管理风险的,为企业目标企业目标(7)的实现提供的实现提供合理保证合理保证(6)的的过过程程(1)。Enterprise risk management is a process,effected by an entitys board of directors,management and other personnel,applied in strategy setting and across the enterprise,designed to identify potential events that may
40、affect the entity,and manage risk to be within its risk appetite,to provide reasonable assurance regarding the achievement of entity objectives.2.2 2.2 企业风险管理企业风险管理整合框架整合框架2023/5/636362.3.1.1 A Process(一个过程,它持续地流动于主体之内)(一个过程,它持续地流动于主体之内)2.3.1.2 Effected by People(由组织中各个层级的人员实施)由组织中各个层级的人员实施)2.3.1.3
41、Applied in Setting Strategy(应用于战略制订)(应用于战略制订)2.3.1.4 Applied in Setting Strategy(贯穿于企业,在各个层级和单(贯穿于企业,在各个层级和单元应用,还包括采取主体层级的风险组合观)元应用,还包括采取主体层级的风险组合观)2.3.1.5 Risk Appetite(旨在识别一旦发生将会影响主体的潜在事项,(旨在识别一旦发生将会影响主体的潜在事项,并把风险控制在风险容量以内)并把风险控制在风险容量以内)2.3.1.6 Provides Reasonable Assurance(能够向一个主体的管理当能够向一个主体的管理当局
42、和董事会提供合理保证)局和董事会提供合理保证)2.3.1.7 Achievement of Objectives(力求实现一个或多个不同类型但(力求实现一个或多个不同类型但相互交叉的目标)相互交叉的目标)2.2 2.2 企业风险管理企业风险管理整合框架整合框架2023/5/637372.3.22.3.2企业风险管理的目标(企业风险管理的目标(P23P23)战略战略 高层次目标,与使命相关联并支撑其使命高层次目标,与使命相关联并支撑其使命经营经营有效和高效率地利用其资源有效和高效率地利用其资源报告报告报告的可靠性报告的可靠性合规合规符合适用的法律和法规符合适用的法律和法规Strategic re
43、lating to high-level goals,aligned with and supporting the entitys mission Operations relating to effective and efficient use of the entitys resources Reporting relating to the reliability of the entitys reporting Compliance relating to the entitys compliance with applicable laws and regulations2.2
44、2.2 企业风险管理企业风险管理整合框架整合框架2023/5/638382.3.32.3.3企业风险管理的要素(企业风险管理的要素(P24P24)Internal Environment(内部环境)内部环境)管理当局确立关于风险的理念,并确定风险容量。内部环境为主管理当局确立关于风险的理念,并确定风险容量。内部环境为主体中的人们如何看待风险和着手控制确立了基础。所有企业的核心体中的人们如何看待风险和着手控制确立了基础。所有企业的核心都是人都是人他们的个人品性,包括诚信、道德价值观和胜任能力他们的个人品性,包括诚信、道德价值观和胜任能力以及经营所处的环境。以及经营所处的环境。2.2 2.2 企业
45、风险管理企业风险管理整合框架整合框架2023/5/63939风风 险险 要要 素素 Objective Setting(目标设定目标设定):):必须先有目标,管理当局才能识别影响必须先有目标,管理当局才能识别影响它们的实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设它们的实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相一致。量相一致。Event Identification(事项识别事项识别):):必须识别可能对主体产生影响的潜必须识别可能对主
46、体产生影响的潜在事项。事项识别涉及到从影响目标实现的内部或外部原因中识别潜在的在事项。事项识别涉及到从影响目标实现的内部或外部原因中识别潜在的事项,它包括区分代表风险的事项和代表机会的事项,以及可能二者兼有事项,它包括区分代表风险的事项和代表机会的事项,以及可能二者兼有的事项,机会被反馈到管理当局的战略或目标制订过程中。的事项,机会被反馈到管理当局的战略或目标制订过程中。Risk Assessment(风险评估风险评估):):要对识别的风险进行分析,以便形成确要对识别的风险进行分析,以便形成确定应该如何对它们进行管理的依据。风险与可能被影响的目标相关联。既定应该如何对它们进行管理的依据。风险与
47、可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。可能性和影响。Risk Response(风险应对风险应对):):员工识别和评价可能的风险应对,包括回员工识别和评价可能的风险应对,包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相协调。险容限和风险容量相协调。2.2 2.2 企业风险管理企业风险管理整合框架整合框架2023/5/64040 Control Activities
48、(控制活动)控制活动)制订和实施政策与程序以帮助确保管理当局所选择的风险应对得制订和实施政策与程序以帮助确保管理当局所选择的风险应对得以有效实施。以有效实施。Information and Communication(信息与沟通)信息与沟通)相关的信息以确保员工履行其职责的方式和动机予以识别、获取相关的信息以确保员工履行其职责的方式和动机予以识别、获取和沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。和沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。员工
49、获得有关他们的职能和责任的清晰的沟通。流动。员工获得有关他们的职能和责任的清晰的沟通。Monitoring(监控)监控)对企业风险管理进行全面监控,必要时加以修正。通过这种方式,对企业风险管理进行全面监控,必要时加以修正。通过这种方式,它能够动态地反应,根据条件的要求而变化。监控通过持续的管理它能够动态地反应,根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的个别评价或者两者相结合来完成。活动、对企业风险管理的个别评价或者两者相结合来完成。2.2 2.2 企业风险管理企业风险管理整合框架整合框架2023/5/641412.3.4.1董事会:董事会:对企业的风险管理负有监督职责对企业
50、的风险管理负有监督职责 了解管理者在企业内部建立有效的风险管理的程度;了解管理者在企业内部建立有效的风险管理的程度;获知并认可企业的风险偏好;获知并认可企业的风险偏好;复核企业的风险组合观并与企业的风险偏好相比较;复核企业的风险组合观并与企业的风险偏好相比较;评估企业最重要的风险并评估管理者的风险反应是否适当。评估企业最重要的风险并评估管理者的风险反应是否适当。2.3.4.2企业的首席执行官:企业的首席执行官:对企业的风险管理最终负责对企业的风险管理最终负责 企业的高层确定风险管理的基调,从而影响企业内部环境中企业的高层确定风险管理的基调,从而影响企业内部环境中的员工操守和价值观及其他因素。的