第2章 内部控制内容框架.ppt

第二章 内部控制框架内容 两个视角 五要素论:内部控制整体框架 八要素论:企业风险管理整合框架 八要素:内部环境 内部环境包含了一个组织的气氛，形成一个组织对风险看法的基础，并且通过组织中的人表现出来。 内部环境主要包括：风险管理哲学和风险偏好；员工诚实性和道德观；以及企业经营环境。 内部环境确认了所有可能发生的预期和未预期的事项。 内部环境要素确立了企业的风险文化。 八要素:目标设立 在管理层认识到影响其业绩的潜在事项之前，必须存在一定的目标。企业风险管理使得管理人员能适当的设立目标，并且选择的目标能支持企业的发展任务，并与其风险偏好相一致。 适用于管理层在确立目标时考虑风险战略。 八要素:事项识别 可能有负面影响的事项代表了风险。 可能有正面影响的事项代表了自然弥补（机会），能被引导回管理层的战略或者目标设立过程。 企业必须识别影响企业目标实现的内、外部事项，区分风险和机会。 八要素:风险评估 风险评估使得企业能够理解潜在事项可能影响目标的程度。 从两个角度评估风险：可能性和后果。 采用定性和定量的评估方法。 将时间跨度和目标范围相联系。 在一个固有的(inherent)和剩余的(residual)基础上评估风险。 八要素:风险应对 识别并评估对风险的可能反应。 管理层选择如何反应——规避、接受、减少或者分担风险——从而形成一套使风险与企业风险容忍度和风险偏好相一致的行为方式。 评估与管理层偏好相关的选择，潜在风险反应的成本收益，以及某种反应将减少影响或可能性的程度。 根据对风险和反应组合的评估来选择并执行反应。 八要素:控制活动 建立并实施一套制度和程序，来帮助保证有效进行风险反应。 在整个组织、各个层级和各种活动中都发生。 包括一般控制(总体控制）和应用控制（具体控制）。 八要素:信息与沟通 以一种使职员能够执行其职责的方式识别、捕捉、交流相关信息。 广而言之，有效的沟通存在于企业从上到下、从下到上和平级之间，还包括将相关的信息与企业外部相关方的沟通和交换，如客户、供应商、行政管理部门和股东等。 具体内容包括信息搜集、信息传递、建信息平台等。 八要素:监督 企业整个风险管理过程被监督，并且在必要时修正。 通过正在进行的管理活动，或者分别评价风险管理过程，或者双管齐下，来进行监督。 业务部门、监控部门（如信用控制部门）、财务部门之间的信息沟通。 * * * 五要素:内控系统的整体架构 信息与沟通 控制环境 风险评估 控制活动 信息与沟通 监 控 * * 信息与沟通 控制环境 风险评估 控制活动 监 控 控制环境是公司的基调，影响着公司内部员工的控制意识是推动企业的引擎，也是其他要素的基础 五要素:内控系统的整体架构 控制环境的组成要素： 管理因素:公司治理、内部监督、管理理念和经营方式 组织因素：组织结构、企业文化 人的因素：管理者、人力资源政策 新增因素：会计信息、流程再造 * 企业必须了解它所面临的风险，并加以控制。即设立可辨识、分析和管理相关风险的机制 风险评估就是分析和辨识为实现企业目标所可能发生的风险 五要素:内控系统的整体架构 企业目标 风险 控制目标 控制活动 环境变化后的管理 评估和更新 风险评估流程 信息与沟通 控制环境 风险评估 控制活动 监 控 * 为防范风险所采取的措施和行动 控制活动包括：组织机构、政策、标准、流程的建立，授权、批准，复核经营业绩，保护资产，职责分离 控制活动能够抵偿风险 五要素:内控系统的整体架构 企业必须基于风险评估的结果订立控制风险的政策及程序，并予以执行 确保在发现风险后能够采取必要的行动从而保证公司目标的实现 信息与沟通 控制环境 风险评估 控制活动 监 控 * 监控是指监督和评估内部控制系统设计合理性和运行有效性 整个内部控制的执行过程必须被监测以确保内部控制制度随情况的改变而作出动态的反应 五要素:内控系统的整体架构 监控是谁的职责? 管理层应对内控执行情况进行持续监测 内部审计部门应进行定期、不定期的个别评估 借助独立的第三方进行定期、不定期的评估 信息与沟通 控制环境 风险评估 控制活动 监 控 五要素:信息与沟通 贯穿在风险评估和控制活动过程中的是信息与沟通系统 这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的信息，并交换这些信息 信息系统：内部、外部 有效的沟通必须是广义的，包括公司内部自上而下、自下而上和各平行部门间的全范围的信息流通 * 管理层在内部控制中的地位和作用 内部控制的主体：管理层（承担的职责是计划、组织、领导其组织的活动, 即对组织的内部控制负责） 内部审计对管理层组织的内部控制进行监督，以协助管理层有效地履行他们的职责。 * 案例：中信泰富内控失控的思考 * 中信泰富事件 ?2008年10月21日，中信泰富集