内部控制与风险管理框架37347.ppt

构成要素 通过更多地关注风险，企业风险管理框架拓展了内部控制框架的风险评估要素，创造了四个构成要素——目标设定（它在内部控制中是先决条件）、事项识别、风险评估和风险应对。 评估技术 对标（benchmarking）——作为一组主体之间的协作过程，对标着眼于具体的事项或过程，采用共通的标准比较计量指标和结果，并且识别改进的机会。建立有关事项、流程和计量指标的数据来比较业绩。一些公司利用对标来在整个行业中评估潜在事项的可能性和影响。 概率模型——概率模型根据特定的假设将一系列事项以及所造成的影响与这些事项的可能性联系起来。在历史数据或反映对未来行为的假设的模拟结果的基础上，对可能性和影响进行评估。概率模型的例子包括风险价值、风险现金流量、风险盈利以及信贷和经营损失分布的计算等。概率模型可以采用不同的时间范围，以估计诸如不同时期金融工具的价值范围等结果。概率模型还可以用来评估期望的或平均的结果，以及极端的或非期望的影响。 非概率模型——非概率模型在估计没有量化相关可能性的事项的影响时，利用主观的假设。根据历史或模拟数据和对未来行为的假设对事项的影响进行评估。非概率模型的例子包括敏感性指标、压力测试以及情景分析。 六、风险应对 回避（avoidance）——退出会产生风险的活动。风险回避可能包括退出一条产品线、拒绝向一个新的地区市场拓展，或者卖掉一个分部。 降低（reduction）——采取措施降低风险的可能性或影响，或者同时降低两者。它几乎涉及各种日常的经营决策。 分担（sharing）——通过转移来降低风险的可能性或影响，或者分担一部分风险。常见的技术包括购买保险产品、从事套期保值交易（hedging transactions）或外包一项业务活动。 承受（acceptance）——不采取任何措施去干预风险的可能性或影响。 在确定风险应对的过程中，管理层应该考虑下列事项： 潜在应对对风险的可能性和影响的效果——以及哪个应对方案与主体的风险容限相协调； 潜在应对的成本与效益； 除了应付具体的风险之外，实现主体目标可能的机会。 选定的应对 管理层所选定的应对旨在使预期的风险可能性和影响处于风险容限之内 管理层要考虑一项应对可能导致的额外风险 组合观 管理层要从整个主体范围即组合的角度考虑风险 管理层要确定主体的剩余风险是否与它的总体风险容量相称 七、控制活动 控制活动的类型 高层审核（top-level reviews）——高级管理层对照预算、预测、以前期间和竞争者来审核实际的业绩。 直接的职能或活动管理（direct functional or activity management）——负责职能机构或活动的管理人员审核业绩报告。 信息处理（information processing）——实施一系列的控制来检查交易的准确性、完整性和授权。输入的数据要经过联机编辑核对（on-line edit checks）或与经批准的控制文件相匹配。 实物控制（physical controls）——对设备、存货、证券、现金和其他资产进行实物性的保护，定期盘点，并与控制记录上所反映的数额相比较。 业绩指标（performance indicators）——把不同系列的——经营的或者财务的——数据彼此联系起来，与对相互关系的分析以及调查和矫正措施一起，构成了一项控制活动。 职责分离（segregation of duties）——把不同人员的职责予以分开或隔离，以便降低错误或舞弊的风险。 对信息系统的控制 一般控制包括对信息技术管理、信息技术基础结构、安全管理和软件获取、开发和维护的控制 应用控制直接关注数据获取和处理的完整性、准确性、授权和有效性 一般控制 信息技术管理 信息技术基础结构 安全管理 软件获取、开发和维护 应用控制 平衡控制活动 核对数位 预先确定数据清单 数据合理性测试 逻辑测试 八、信息与沟通 信息的类型 内部/外部 正式/非正式 历史数据/当前数据 信息的质量 内容是否恰当——信息是否处于正确的详细程度？ 信息是否及时——需要时是否有信息？ 信息是不是当前的——是不是最新可利用的信息？ 信息是否准确——数据是否正确？ 信息是否易于取得——需要的人是否容易取得信息？ 内部沟通应传达的内容 有效的企业风险管理的重要性和相关性； 主体的目标； 主体的风险容量和风险容限； 一套通用的风险语言； 员工在实现和支撑企业风险管理的构成要素中的职能与责任。 外部沟通 客户 供应商 利益相关者 监管机构 财务分析师 九、监控 持续监控活动 个别评价 报告缺陷 持续监控活动 监控活动包含在主体的正常的、反复的经营活动之中，在正常的业务经营过程中加以执行 它们被实时地执行，并且动态地对变化的情况作出反应 个别评价 个别评价直接关注企业