第八章、内部控制与重大错报风险评估.pptx

1;主要内容;一、内部控制概念及其思想的历史演进;;;;（五）企业风险管理——综合框架 该框架对内部控制的定义明确了以下内容： （1）是一个动态的、贯穿企业实体各个层级和单位的过程； （2）受组织内所有层次人的影响； （3）应用于战略制定； （4）旨在识别影响组织的事件并在组织的风险偏好范围内管理风险； （5）能够为企业实体的管理层和董事会提供合理保证； （6）为了实现各类目标。 ;新的COSO报告在以下几个方面得到了发展： （1）增加了一个观念——风险组合观； （2）发展了内部控制的报告目标，该目标涵盖了企业所有的报告； （3）增加了一类新目标——战略目标， （4）提出了两个新概念——风险偏好（risk appetite）和风险容忍度（risk tolerance）; （5）新增了三个风险管理要素，即“目标制定（objective setting）”、“事项识别(event identification)”和“风险应对(risk response)”，将ICIF的五要素演变为八个要素，并对原有五个要素进行了深化和扩展（具体见下文的讨论）。 ;二、内部控制的构成要素;;1.风险管理哲学 风险管理哲学是一整套共同拥有的信念和态度，它以企业如何考虑它所做的每一件事为特征，范围涉及从战略的制定、修订到企业的日常经营活动。 在对待风险管理的态度上，已经成功接受重大风险的公司与由于冒险进入危险区域而已经面临经济困难和被迫调整政策的企业有显著的不同。 让企业所有员工了解企业的风险管理理念有利于提高员工确认和有效管理风险的能力。 管理当局在经营中表现的管理哲学理念及行动能清楚地把内部控制是否重要的信号传递给员工，从而对企业的控制环境产生深刻的影响。 ;;6.组织结构 企业的组织结构确定了现有的责任和权力的等级及划分，为计划、执行、控制和监督其活动提供了框架。 7.权力和责任的分配方法 管理当局要考虑如何以适当的方式将对责权的分配传达给各层次员工。 8.人力资源政策及实务 招聘、评估、激励员工的政策、程序和方法是控制环境的重要组成部分。;（二）目标制定 每个企业都面临着因利用内部或外部资源而带来的风险，目标制定是有效的事项识别、风险评估??风险应对的前提。 企业的目标可以分为四类： （1）战略目标。 （2）经营目标。 （3）报告目标。 （4）遵循性目标。 （三）事项识别 事项是指影响目标实现的、来自内外部的潜在事件。 事项既可能带来负面的影响，也可能带来正面的影响。 ;（四）风险评估 管理者应从两个方面对风险进行评估——风险发生的可能性和影响 风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。 一个企业风险评估的方法通常是定量方法和定性分析技术的组合。 在衡量目标的实现程度时，管理者经常使用业绩计量指标。当考虑某一风险对实现某一特定目标的潜在影响时，使用这些计量指标同样有效。 通常一个潜在事项结果是一个可能的范围值，管理者应将其作为制定风险反应方案的基础。;管理者通常只趋于关注中短期的风险，但风险应在企业战略和目标的前提下进行评估。 管理当局应在固有风险和剩余风险两个层次的基础上对风险进行评估。 （五）风险应对 风险应对可分为规避风险、减少风险、共担风险和接受风险四类。 选定某一个风险应对方案后，管理当局应在剩余风险的基础上重新评估风险，即从企业总体风险组合的、预测的角度重新计量风险。 ;（六）控制活动 控制活动是指为确保风险应对方案得到正确执行的相关政策和程序。 由于企业的控制活动与企业的信息系统广泛相关，因此，应对企业所有的重要系统进行控制。 一般控制包括对信息技术管理、信息技术基础设施、保密管理和软件的购买、开发和维护的控制。 应用控制的目的是保证数据获得和业务处理过程的完整性、精确性、授权和有效性。;（七）信息与沟通 来自企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、获取和传递，以保证企业的员工能够执行各自的职责。 企业内部各个管理层都需要信息来帮助识别、评估风险和应对风险，以及进行经营并实现企业的目标。 良好的信息系统必须包含以下基本要素： （1）信息的确认。 （2）信息的获取。 （3）信息的处理。 （4）信息的报告。;信息是沟通的基础，沟通则必须满足各部门和个人的要求，以使他们能够有效地履行其职责。 管理者应提供特定的或直接的沟通渠道以说明对员工的行为预期和各自的职责，并且应包括对企业风险管理原理和方法以及员工权责分配的清晰的说明。 沟通渠道应该保证企业员工能够在各业务部门、业务流程或职能部门间进行风险信息的沟通。 ;（八）监控 对企业风险管理的监控是一个评估风险管理要素的内容、风险管理的运行，以及一段时期的执行质量的过程。 企业可以通过两种方式对风险管理进行监控：持续