企业目标风险与内部控制 76.pptVIP

* * Each of us has a perspective about risk. To ensure a common definition from which to start, allow me to offer a definition of risk. Risk is any issue which could impact your ability to meet your objectives. * * * * * * * * * NOTES: Im going to assume most of you are somewhat aware of COSO but let me give you a quick overview * * * * * * * * * * * * 风险意识 把对风险的认识发展成为企业文化的一部分, 比如, 企业设有清晰并完整的辨别和处理风险的程序 在员工中提倡风险的意识, 通过公告, 阶段性的报告等手段让员工了解什么应该执行, 什么应该避免 管理层在制定发展计划,设定目标时必须考虑到目标进行时可能遇到的风险并进行评价 企业员工能够在被问到的时候清楚地说出企业的主要目标 经常性地要求员工提出他们对风险的认识和看法 对员工进行风险认识的培训. 在提高对风险的认识问题上, 企业内部的交流 – 无论是主动的还是被动的 – 都是非常有效的. 风险意识 (续) 员工在职责范围内关于减低风险的表现作为年度业绩考核的一项条款. 负有降低风险责任和义务的管理人员对他们的职责非常清楚. 每一件“坏事”发生的原因都被彻底调查清楚, 使这些因素能够被企业及其员工理解, 讨论并产生相应的对策. 每一位经理在他/她能够影响的范围内, 都设立降低风险的目标. 与风险相关联的任何经验都在企业内部进行广泛而有效的交流. 风险进行分类, 既把风险看成是威胁又把风险看成是机会. 控制活动 为管理和减少风险而制定的政策制度和程序 是协助管理层确保有关经营指导方针得以落实的政策制度和程序 帮助确保管理层采取必要的措施行动以处理企业在实现其目标的过程中所面临的风险 在整个公司范围、所有层次以及所有职能中实施 控制活动 控制活动包括: 审批 (Approvals) 授权 (Authorizations) 核实查证 (Verifications) 对帐 (Reconciliation) 检查 (Review) 资产的安全 (Security of assets) 责权分离 (Segregation of duties) 评估适当的控制 能做什么工作来降低发生风险的可能性? 这些工作或活动现在存在吗? 足够吗? 现有的控制活动是否明确, 独特且没有彼此重复? 效率: 有没有更容易的或者成本更低的控制风险的方法? 效果: 这些控制活动是不是有效地降低了风险? 为管理和减少风险而制定的政策制度和程序 控制环境 风险评估 控制活动 信息和沟通 监控 营经 务财 守遵 单位 1 单位 2 单位 3 单位 4 管理层发展方针贯彻的程序 直接的职能或活动管理 物质的控制 - 职权的分离 要素3: 控制活动 控制要素 控制类别 实现目标的管理机制 信息和沟通 人们往往认识不到信息和沟通是和控制相关联的 必须通过某种方式，在一定的时间之内明确、 获得并传达沟通相关信息以确保人们能够履行其职责。 信息系统提供有关财务、经营和法律法规的遵守等信息的报告，这些信息使企业的管理控制成为可能。 所有员工必须从高级管理层获得明确的信息指令， 即所有人都必须认真看待和履行控制职责。 控制环境 风险评估 控制活动 信息和沟通 监控 营经 务财 守遵 单位 1 单位 2 单位 3 单位 4 要素4: 信息和沟通 控制要素 控制类别 经营和财务信息的准确性和及时性 获取内部和外部的信息 组织的沟通 监控 是确定控制结构是否有效及最大可能减少意外不测的关键 内控系统需要监控 内控系统的监控通过以下工作实现： 进行中的监控工作 单独的评估 (内部审计) 二者的结合 内部控制的不足应当逐级向上汇报，重大问题要报最高管理层和董事会。 控制环境 风险评估 控制活动 信息和沟通 监控 营经 务财 守遵 单位 1 单位 2 单位 3 单位 4 要素5: 监控 控制要素 控制类别 连续性的行动和 一次性的活动 反映严重问题的系统 监控系统的评价 通过使用COSO提供的框架, 管理层可以处在一个更好的位置来把企业的内部控制系统和已建立的标准进行比较, 找出运营中, 财务报告中存在的问题以及是否遵守了法律法规, 并采取行动加以改进. 控制结构框