某保险公司资料新内部控制与风险防范.ppt

控制活动的规范要求 1、企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。 控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。 2、企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。 内部控制直到上世纪30年代才被人们提出、认识和接受。但在此前的人类社会发展史中，早已存在着内部控制的基本思想和初级形式，这就是内部牵制。 内部控制整合框架阶段 1992年，美国“反对虚假财务报告委员会”提出非常著名的《内部控制——整体框架》，也称COSO报告，1994年又作了补充。 本报告将内部控制定义为：“由企业董事会、管理层和其他人员实施的，为经营的效果和效率、财务报告的可靠性、相关法规的遵循等目标的实现而提供合理保证的过程” 该报告将内部控制的组成分成五个相互独立而又相互联系的五个要素：控制环境、风险评估、控制活动、信息与沟通和监督。 风险管理阶段 2004年，COSO委员会在借鉴以往有关内部控制研究报告的基本精神的基础上，结合《萨班斯-奥克斯利法案》在财务报告方面的具体要求，发表了新的研究报告——《企业风险管理框架》（Enterprise Risk Management Framework)。 这个报告的出台，预示着COSO委员会对待内部控制的认识和态度有了新的变化，即从重视内部控制本身转向了重视风险管理，或者说其更加倾向于在风险管理的背景下研究内部控制问题。 企业风险管理框架创新 （一）提出了一个新的观念——风险组合观 ?企业风险管理要求企业管理者以风险组合的观念看待风险对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。 ?对企业每个单位而言，其风险可能在该单位的风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点来看待风险。 （二）增加一类目标——战略目标，并扩大了报告的范畴 ?在COSO报告的经营效率、效果性目标，会计信息可靠性目标，以及法律法规遵循性目标之外，增加了战略目标。它比其他三个目标层次更高，企业风险管理也应用于战略制定的过程中。 ?财务报告范围有很大的扩展，覆盖了企业编制的所有报告。 （三）针对风险度量提出两个新概念——风险偏好和风险容忍度 ?风险偏好指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略目标直接相关，企业在制定战略时，应考虑将该战略的既定收益与企业的管理者风险偏好结合起来。 ?风险容忍度指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的在目标实现过程中对差异的可接受程度和可容忍限度。 （四）增加了三个风险管理要素，对其他要素的分析更加深入，范围也有所扩大 企业风险管理框架中将内部控制的要素进一步扩展为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个要素。 需要说明的是，《企业风险管理框架》虽然较晚于COSO报告，但是它并不是要完全替代COSO报告。 在企业管理实践中，内部控制是基础，风险管理只是建立在内部控制基础之上的、具有更高层次和更有综合意义的控制活动。如果离开良好的内部控制系统，所谓的风险管理只是一句空话而已。 世界其他地区内部控制的要求 2004年6月，十国集团发布了被称为“Basel II”的资本充足性框架，Basel II中744和745节要求就内部控制框架进行独立检查。 欧盟2002年改革白皮书定义的内部控制包括以下五个方面：控制环境；业绩和风险管理；信息和沟通；控制活动、及审计和评估等；经合发展组织以原则为基础的方法提出内控相关要求，提升透明度的举措包括足够的会计法规要求；独立外部审计和公司内部控制。 《信息及相关技术控制目标》（COBIT)由IT治理协会制定发布，是信息技术治理方面的一个开放性标准，作为良好IT安全和控制实务的标准，COBIT为管理当局、企业用户和信息系统审计、控制及安全从业人员人员提供了一个参考框架。