内控第4章控制过程.pptVIP

第四章 内部控制过程 学习目的 理解内部控制目标的确定 掌握事项识别的概念、方法和技术 掌握风险评估和风险应对 理解控制活动的要素 了解信息系统的控制 案例：法兴银行的黑色星期四 2008年1月24日，法国兴业银行曝光一起令全球金融业瞩目的违规事件。 面对交易员盖维维尔近一年的违规操作，控制系统安全报警75次，而其内控机制响应迟钝，终酿大祸…… 原因分析与启示。 第一节 目标确定 目标设定 内部控制与企业任务及目标 愿景与企业战略目标 其他相关目标 企业战略目标与风险偏好 风险容忍程度的确定 内部控制与企业任务及目标 作为COSO在1994年内部控制框架基础上加入的新要素之一，ERM框架下的内部控制将“目标制定”界定为“在战略层次上设立目标，为经营、报告、保护资源和合规目标建立基础。 愿景与企业战略目标 愿景——难以实现的高级目标 企业战略目标 愿景 所谓愿景，即是由组织内部的成员制订，通过团队讨论并获得组织一致共识而形成的大家愿意全力以赴的未来方向。 所谓愿景管理，是结合个人价值观与组织目的，通过开发愿景、瞄准愿景、落实愿景的三部曲来建立团队，促使组织成功及组织力量极大化地发挥。 企业战略目标 战略目标是对企业战略经营活动预期取得的主要成果的期望值。战略目标的设定，同时也是企业愿景的展开和具体化。 战略目标的特点是宏观性、长期性、相对稳定性、全面性、可分性、可接受性、可检验性、可挑战性。 其他相关目标 经营目标 报告目标 资源目标 合规目标 企业战略目标与风险偏好 从广义上看，风险偏好是指企业在实现其目标过程中愿意接受的风险的程度。 有效的内部控制是要确保管理层设有一个恰当的程序来使战略目标与企业的使命相协调，保证企业的战略目标与相关目标、企业的风险偏好相一致 。 风险容忍程度的确定 企业应考虑相关目标的重要性，并将其与企业风险偏好联系起来。 企业在风险容忍度内的良好运行可以更好地确保企业的发展未超出风险偏好范围，可以更好地保证企业实现其战略目标。 第二节 事项识别 事项识别 风险与机遇 事项识别与目标实现的联系 事项分类 风险与机遇 如何在不确定环境下进行战略决策、化不确定的劣势为竞争中的优势，是新的市场环境下对企业经营者提出的新挑战。 事项识别与目标实现的联系 事项识别概述 潜在事项是指来自于企业内部和外部资源的，可能影响企业战略的执行和目标实现的一件或者一系列偶发事项，采用一系列技术来识别有关事项并考虑有关事项的起因，对企业过去和未来的潜在事项以及该事项的发生趋势进行计量。 管理者确认潜在的事项，即如果该事项发生，它将会对企业整体产生哪些影响。 事项识别与目标实现 事项识别技术 管理者可以使用各种技术确认潜在事项 对目标的影响。 一些工具和科学技术构成了企业事项辨 别的方法。 虽然许多比较复杂的技术有行业特色， 但它们都来源于共同的方法。 事项种类 第三节 风险评估 风险评估 风险评估的概念及任务 风险评估的内容 风险评估的途径 风险评估的概念及任务 风险评估是对组织资产面临的威胁、存在的弱点造成的影响，以及三者综合作用而带来风险的可能性进行评估。 风险评估的主要任务包括：识别组织面临的各种风险、评估风险概率和可能带来的负面影响、确定组织承受风险的能力、确定风险消减和控制的优先等级、推荐风险消减对策。 风险评估的内容 管理者可从两个角度评估事件：一是发生的可能性；二是影响程度。 风险评估首先针对的是内在风险，一旦风险反馈发展起来，管理部门就应当开始考虑追加风险 。 风险评估的途径 实际工作中经常使用的风险评估包括： 基线风险评估 详细风险评估 组合风险评估 基线风险评估 企业根据自己的实际情况（所在行业、业务环境与性质等），对信息系统进行安全基线检查（拿现有的安全措施与安全基线规定的措施进行比较，找出其中的差距），得出基本的安全需求，通过选择并实施标准的安全措施来消减和控制风险。 详细风险评估 详细风险评估要求对资产进行详细识别和评价，对可能引起风险的威胁和弱点水平进行评估，根据风险评估的结果来识别和选择安全措施。 组合风险评估 基线风险评估耗费资源少、周期短、操作简单，但不够准确，适合一般环境的评估；详细风险评估准确而细致，但耗费资源较多，适合严格限定边界的较小范围内的评估。基于此，实践当中，企业多是采用二者结合的组合评估方式。 第四节 风险应对 风险应对 风险应对策略 应对风险的具体行动 风险组合观 风险应对策略 规避风险策略 降低风险策略 转嫁风险策略 接受风险策略 风险消减 确定风险消减策略 选择安全措