风险及控制解读.ppt

内控魔方(1992年) 控制环境 * 框架- 目标是内部的先决条件 目标分类不同，但有重复 符合规章制度: 涉及遵守实体的规章制度。 财务报表的可靠性: 设计编制可靠公开报表，包括过渡和简明财务报表，从报表中选择财务数据，例如业绩发布、公开报道。 运营效力和效率: 涉及实体基本业务目标，包含绩效和利润目标以及保障资源。 * 新魔方 * 风险对策可分为四种不同类型的控制: 预防控制 校正控制 指令控制 检测控制 调查控制 绩效控制 * 预防控制 ‘设计这些控制的目的是限制未知的发生，更重要的是，不应该出现不好的结果，是实施适当的预防控制。在组织中实施的控制往往属于这一类，预防控制的例子包括职责分离，即没有一个人有权不同意另一个控制（如人的授权控制）。 * 校正控制 ‘这些控制旨在纠正产生的不良后果。提供线索实现丢失或损坏的回正。合同条款的设计允许超额付款。保险也可看作是一种纠正行控制，促进经济复苏对风险的认知。应急计划是纠正控制中重要的元素，因为在事件无法控制之后，组织业务持续或回正的计划。 * 指令控制 ‘设计这些控制是保证能够取得特定的结果。他们特别重要，关键是可避免未知的事件，通常与健康安全有关。这种控制类型包括在危险的工作中穿防护服，在监督之前，职员被训练 相关技能。 * 侦测控制 ‘设计这些控制是为了识别产生不良后果的时机，他们的效果是，根据定义，在“事件”后，只是适当的接受发生的损失或损害。侦测控制的例子包括股票或资产检查，对账，职位履行审查，可从未来工作应用中学到，监测活动可检测到响应的变化。 * 调查控制 ‘调查控制是检查遗漏，改正错误。 * 绩效控制 ‘控制是想要定位和激发团体内人员全力于取得目标，适合于实体目标，例如： 收到指令，分派所有指令，24小时内。 秒回所有邮件或邮政信件。 低于2% 的产品属于质量控制失败。 * 控制类型 控制类型: 预防性的 指令性的 侦测性的 校正性的 调查性的 绩效性的 风险目标: 原因 原因 效果 效果 原因和效果 原因 * 分离和监督 分离 可能不会有任何费用 可能有不良影响 监督 可能是昂贵的 是许可而不是预防 * 脆弱点 分离和监督控制的效力可被打破： 系统变化 例如仓库的新终端 重组 合谋 下级合作伙伴之间 在雇员和监督人之间 * 分离 知识 职责 操作 工作人员 数据 数据录入 记账 基本职责 实施权威的手段 权利 时间 审查操作 * * 企业风险管理组成 * 风险管理 明确目标 识别风险 外部，例如名誉, 顾客, 供应商, 出借人 内部，例如运营, 职员, 营运资本, 能力 评价风险、优先顺序，知道能够接受什么 管理风险 容忍 (接受) 对待 (还原) 传递(分享) 终止 (回避) 追踪 监视、学习和改善，重新考虑目标。 Responsibilities of BP’s audit committee: Monitor and obtain assurance that the GCE’s internal control system is designed and implemented effectively in support of his observance of the relevant Executive Limitations; Monitor and obtain assurance that the management or mitigation of significant BP risks of a financial nature is appropriately addressed by the GCE; Receive and review regular reports from the GCE or his delegate, the Group Internal Auditor and the Group Compliance and Ethics Officer which evidence the GCE’s adherence to the relevant Executive Limitations and his management in responding to risk; Monitor and obtain assurance that the legally required standards of disclosure are being fully and fairly observed;’ Review all financial disclosure documents including quarterly results, annual a