內(nèi)部控制與風險管理框架ppt課件.ppt

1、內(nèi)部控制與風險管理框架,第一部分 內(nèi)部控制的發(fā)展與演變,一、內(nèi)部控制的淵源和早期發(fā)展 二、內(nèi)部控制的初步形態(tài)：內(nèi)部牽制 三、內(nèi)部控制理論和實踐的分野 四、內(nèi)部控制的發(fā)展與演變 五、國際上較有影響的內(nèi)部控制準則或指南 六、我國內(nèi)部控制規(guī)范建設的情況,一、內(nèi)部控制的淵源和早期發(fā)展,內(nèi)部控制的淵源十分久遠 ，自從有了人類的群體活動和組織之后，就會產(chǎn)生對組織的成員及其活動進行控制的需要 內(nèi)部控制的發(fā)軔最早可以追溯到公元前3600年公元前3200年的蘇美爾文化時期 古埃及、古波斯、古希臘、古羅馬和古代中國都有原始內(nèi)部牽制制度的雛形 原始的內(nèi)部牽制制度最早是為部落、城邦、莊園、國家服務的,中世紀資本主義生

2、產(chǎn)關系萌芽，商業(yè)組織開始出現(xiàn)，內(nèi)部牽制進入企業(yè)領域，開啟了一個廣闊的發(fā)展空間 控制（control）一詞最早產(chǎn)生于17世紀，其原始含義是“由登記者之外的人對帳冊進行的核對和檢查”,二、內(nèi)部控制的初步形態(tài)：內(nèi)部牽制,內(nèi)部控制是從內(nèi)部牽制（internal check）的基礎上發(fā)展起來的 20世紀以前，盛行的觀念和實務都停留在內(nèi)部牽制階段 內(nèi)部牽制的目的是糾錯防弊，其前提性假設是：兩個或多個人犯同一種錯誤的概率較小，兩個或多個人串通舞弊的可能性較小，難度較大 內(nèi)部牽制的基本思路是分工和牽制 主要的牽制機能包括：分權牽制、實物牽制、機械牽制和簿記牽制,三、內(nèi)部控制理論和實踐的分野,審計視角下的內(nèi)部控

3、制 20世紀以后，審計職業(yè)界出于擺脫全面查核、提高審計效率的考慮，開始關注內(nèi)部控制 20世紀中葉，審計和內(nèi)部控制的發(fā)展不斷交織，進而互動和耦合，直接導致了制度基礎審計模式的誕生 此后，內(nèi)部控制逐漸確立了在審計中的地位，成為推動審計模式演變和探索審計理論與方法的重要因素之一 內(nèi)部控制與審計的交叉和耦合，是推動內(nèi)部控制理論與實踐發(fā)展的最主要的力量,管理視角下的內(nèi)部控制 現(xiàn)代管理學說把控制看作管理的一項核心職能，圍繞著管理所展開的控制研究和實踐，是內(nèi)部控制發(fā)展的一個重要分支，我們一般把這個分支統(tǒng)稱為管理控制 幾乎所有的著名管理大師，包括法約爾、德魯克、錢德勒、羅賓斯等，在他們的管理學著作中，都涉及到

4、控制問題,圍繞著管理控制，形成了自我控制論、控制過程論、控制系統(tǒng)論、控制動力論、生態(tài)控制論等多個分支 這個學派隨著控制論、系統(tǒng)論和現(xiàn)代管理學的發(fā)展而不斷發(fā)展 而專以控制研究而著稱的前沿觀點以哈佛大學西蒙斯教授的管理杠桿理論最具代表性,戰(zhàn)略管理會計視角下的內(nèi)部控制 隨著現(xiàn)代管理會計的發(fā)展，戰(zhàn)略管理會計學派的一個分支將組織內(nèi)的控制系統(tǒng)區(qū)分為戰(zhàn)略規(guī)劃、管理控制和作業(yè)控制三個層次 管理控制主要是多事業(yè)部制的公司對其戰(zhàn)略業(yè)務單元（SBU）所進行的戰(zhàn)略業(yè)績考評和控制系統(tǒng) 這個學派的主要代表是哈佛大學的安東尼教授和卡普蘭教授,四、內(nèi)部控制的發(fā)展與演變,內(nèi)部控制階段 1936，AIA，獨立公共會計師對財務報表

5、的檢查，首次提出內(nèi)部控制的概念 注冊會計師在制定審計程序時，應考慮的一個重要因素是審查企業(yè)的內(nèi)部牽制和控制，企業(yè)的會計制度和內(nèi)部控制越健全，財務報表需要測試的范圍就越小 內(nèi)部控制是為了保護公司現(xiàn)金和其他資產(chǎn)，核對簿記的準確性，而在公司內(nèi)部采用的手段和方法,1938年，麥克森羅賓斯事件：PW的審計程序中缺少對內(nèi)部控制和會計處理程序的審查 1939年10月，AIA審計程序委員會發(fā)布SAP1審計程序的擴展，首次增加內(nèi)部控制審查的內(nèi)容 1940年10月，SEC正式要求審計師在簽署的審計報告中增加類似的內(nèi)容,1949年， AIA審計程序委員會（CAP），內(nèi)部控制：一個協(xié)調(diào)的系統(tǒng)要素及其對管理層和獨立公共

6、會計師的重要性，首次給出內(nèi)部控制的權威定義 內(nèi)部控制包括組織的計劃和為了保護資產(chǎn)、核對會計資料準確性和可靠性、提高經(jīng)營效率、以及促使遵循管理層所制定的各項政策所采取的各種方法和措施,內(nèi)部控制系統(tǒng)階段 1958年10月，CAP發(fā)布了SAP29 “獨立審計師評價內(nèi)部控制的范圍”，將內(nèi)部控制劃分為會計控制和管理控制 1963年10月，CAP在SAP33“審計準則與程序（匯編）”中強調(diào)：獨立審計師應主要檢查會計控制,1972年11月，SAP54“審計師對內(nèi)部控制的研究與評價”，對管理控制和會計控制的定義進行了修訂和充實 1972年11月，AudSEC 發(fā)布SAS1“審計準則和程序匯編” 會計控制包括組

7、織的計劃和與保護資產(chǎn)和保證財務資料的可靠性有關的程序和記錄 管理控制包括但不限于組織的計劃和與管理層授權辦理經(jīng)濟業(yè)務的決策過程有關的程序和記錄,1977年，反國外腐敗行為法案（FCPA），要求公眾公司保持充分的內(nèi)部會計控制，采納SAS1的定義 1979年，SEC要求公眾公司在年度報告中增加管理層報告，對公司內(nèi)部會計控制是否為FCPA規(guī)定的內(nèi)部控制目標提供合理保證作出說明，并要求注冊會計師進行審查、發(fā)表意見,內(nèi)部控制結構階段 1988年4月，ASB發(fā)布SAS55“財務報表審計中對內(nèi)部控制的考慮”，引入“內(nèi)部控制結構”的概念 內(nèi)部控制結構包括為合理保證企業(yè)特定目標的實現(xiàn)而建立的各項政策和程序 內(nèi)部

8、控制結構包括3個要素：控制環(huán)境，會計體系，控制程序,內(nèi)部控制整合框架階段 1992年9月，COSO發(fā)布內(nèi)部控制整合框架（1994年局部修訂） COSO成立于1987年，是Treadway委員會（反欺詐財務報告全國委員會）的發(fā)起組織委員會，后者成立于1985年，由AICPA，AIA，IIA，F(xiàn)EI，IMA發(fā)起成立,內(nèi)部控制的3個目標：經(jīng)營的有效性和效率，財務報告的可靠性，對適用法律法規(guī)的遵循 內(nèi)部控制的5個構成要素：控制環(huán)境，風險評估，控制活動，信息與溝通，監(jiān)控 1995年12月，ASB發(fā)布SAS78“財務報表審計中對內(nèi)部控制的考慮：對SAS55的修正”，全面采納COSO的內(nèi)部控制框架 SOX4

9、04及相關規(guī)則采用的也是這個框架,企業(yè)風險管理整合框架：未來趨勢？ 2004年9月，COSO正式發(fā)布企業(yè)風險管理整合框架 ERM的4個目標：戰(zhàn)略，經(jīng)營，報告，合規(guī) ERM的8個構成要素：內(nèi)部環(huán)境，目標設定，事項識別，風險評估，風險應對，控制活動，信息與溝通，監(jiān)控,五、國際上較有影響的內(nèi)部控制準則或指南,國際上較有影響的內(nèi)部控制框架、準則和指南 1美國，COSO，內(nèi)部控制整合框架，1992年9月（1994年局部修訂）（它是目前最有影響的框架性文件，是此后諸多準則、指南的藍本。也是美國公認審計準則相關規(guī)定、SOX法案相關要求的主要參照） 2美國，GAO（審計總署，2004年改名為政府問責署，簡稱仍

10、為GAO），聯(lián)邦政府內(nèi)部控制準則，1999年11月（內(nèi)部控制進入公共部門的代表性標志）,3巴塞爾銀行業(yè)監(jiān)管委員會，銀行業(yè)機構內(nèi)部控制系統(tǒng)框架，1998年9月（權威而影響廣泛的金融機構內(nèi)部控制國際指南） 4英國，F(xiàn)RC（財務報告委員會），Turnbull內(nèi)部控制指南，2005年10月修訂（Turnbull內(nèi)部控制指南最初由ICAEW（英格蘭與威爾士特許會計師協(xié)會）于1999年發(fā)布） 5加拿大，CoCo（控制標準委員會，隸屬于加拿大特許會計師協(xié)會（CICA），控制指南，1995年,與風險管理相結合的權威內(nèi)部控制框架、準則和指南 1美國，COSO，企業(yè)風險管理整合框架，2004年9月 2英國，IRM

11、（風險管理學會），AIRMIC（保險與風險管理師協(xié)會），ALARM（全國公共部門風險管理論壇），風險管理準則，2002年 3澳大利亞，新西蘭，AS/NZS 4360，風險管理準則，2004年（最初的版本于1995年發(fā)布）,4加拿大，CAN/CSA-Q850-97，風險管理指南，1997年10月 5南非，King委員會報告II，公司治理報告，2002年（其中包括內(nèi)部控制和風險管理） 6中國香港特別行政區(qū)，香港會計師公會（HKICPA），內(nèi)部控制與風險管理基本框架，2005年6月 7日本，經(jīng)濟產(chǎn)業(yè)省風險管理與內(nèi)部控制研究會，風險新時代的內(nèi)部控制，2005年6月,與信息技術相結合的權威內(nèi)部控制準則和

12、指南 1國際標準組織（ISO），ISO 17799，信息系統(tǒng)安全，2005年 2ISACA（信息系統(tǒng)審計與控制協(xié)會），ITGI（IT治理協(xié)會），信息與相關技術的控制目標（COBIT），2003年（最初的版本于1996年發(fā)布） 3IIARF（內(nèi)部審計師協(xié)會研究基金會），系統(tǒng)可審計性與控制（SAC），最初于1991年發(fā)布，1994年修訂,六、我國內(nèi)部控制規(guī)范建設的情況,財政部內(nèi)部會計控制規(guī)范 2001年6月22日，內(nèi)部會計控制規(guī)范基本規(guī)范（試行），內(nèi)部會計控制規(guī)范貨幣資金（試行） 2002年12月23日，內(nèi)部會計控制規(guī)范采購與付款（試行），內(nèi)部會計控制規(guī)范銷售與收款（試行） 2003年10月22日

13、，內(nèi)部會計控制規(guī)范工程項目(試行) 2004年8月19日，內(nèi)部會計控制規(guī)范擔保（試行），內(nèi)部會計控制規(guī)范對外投資（試行）,商業(yè)銀行、保險機構內(nèi)部控制指引 1997年5月16日，中國人民銀行，加強金融機構內(nèi)部控制的指導原則 （已廢止） 2002年9月7日，中國人民銀行，商業(yè)銀行內(nèi)部控制指引 2004年12月25日，中國銀監(jiān)會，商業(yè)銀行內(nèi)部控制評價試行辦法 2005年2月28日，中國保監(jiān)會，保險中介機構內(nèi)部控制指引（試行）,證券公司、基金公司內(nèi)部控制指引 2001年1月31日，中國證監(jiān)會，證券公司內(nèi)部控制指引 （已廢止） 2002年12月3日，中國證監(jiān)會，證券投資基金管理公司內(nèi)部控制指導意見 20

14、03年12月15日，中國證監(jiān)會，證券公司內(nèi)部控制指引 （修訂） 2006年6月30日，中國證監(jiān)會，證券公司融資融券業(yè)務試點內(nèi)部控制指引 2007年2月13日，中國證監(jiān)會，證券投資基金銷售機構內(nèi)部控制指導意見（征求意見稿）,上市公司內(nèi)部控制指引 2006年6月5日，上海證券交易所上市公司內(nèi)部控制指引 ，自2006年7月1日起施行 2006年9月28日，深圳證券交易所上市公司內(nèi)部控制指引 ，自2007年7月1日起施行,其他 2006年6月6日，國務院國有資產(chǎn)監(jiān)督管理委員會，中央企業(yè)全面風險管理指引 2002年2月， 中國注冊會計師協(xié)會，內(nèi)部控制審核指導意見,2006年7月6日，財政部企業(yè)內(nèi)部控制標

15、準委員會成立 主席：王 軍（財政部副部長） 副主席：李小雪（中國證券監(jiān)督管理委員會紀委書記） 邵 寧（國務院國有資產(chǎn)監(jiān)督管理委員會副主任） 秘書長：劉玉廷（財政部會計司司長） 委員：29人,2008年5月22日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會發(fā)布企業(yè)內(nèi)部控制基本規(guī)范 自2009年7月1日起在上市公司范圍內(nèi)施行 鼓勵非上市的大中型企業(yè)執(zhí)行,2010年4月26日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了企業(yè)內(nèi)部控制配套指引。 該配套指引包括18項企業(yè)內(nèi)部控制應用指引、企業(yè)內(nèi)部控制評價指引和企業(yè)內(nèi)部控制審計指引，并規(guī)定自2011年1月1日起在境內(nèi)外同時上市的公司執(zhí)行，2012年1月1

16、日起在上交所、深交所主板上市公司執(zhí)行。 指引連同此前發(fā)布的規(guī)范，標志著適合我國企業(yè)內(nèi)部控制規(guī)范體系已基本建成。,內(nèi)部控制標準體系 基本規(guī)范 應用指引 評價指引 審計指引,需要面對的問題 企業(yè)內(nèi)部控制基本規(guī)范與兩個交易所上市公司內(nèi)部控制指引之間的關系 企業(yè)內(nèi)部控制基本規(guī)范與中央企業(yè)全面風險管理指引之間的關系,第二部分 內(nèi)部控制整合框架,一、定 義 二、控制環(huán)境 三、風險評估 四、控制活動 五、信息與溝通 六、監(jiān) 控 七、內(nèi)部控制的局限 八、職能與責任,一、定 義,內(nèi)部控制是一個由企業(yè)董事會、管理層和其他員工實施的、旨在為下列各類目標的實現(xiàn)提供合理保證的過程： 經(jīng)營的有效性和效率 財務報告的可靠性

17、 遵循適用的法律和法規(guī),這個定義反映了一些基本概念： 內(nèi)部控制是一個過程。它是實現(xiàn)目的的手段，而不是目的本身 內(nèi)部控制由人員來實施。它并不僅僅是政策手冊和表格，還涉及組織中各個層級的人員 只能期望內(nèi)部控制為主體的管理層和董事會提供合理保證，而不是絕對保證 內(nèi)部控制被用來實現(xiàn)一個或多個彼此獨立又相互交叉的類別的目標,內(nèi)部控制的目標： 經(jīng)營（operations）目標與主體資源利用的有效性與效率有關 財務報告（financial reporting）目標與編制可靠的公開財務報表有關 合規(guī)（compliance）目標與主體對適用的法律和法規(guī)的遵循有關,構成要素： 控制環(huán)境（control envir

18、onment）所有業(yè)務活動的核心都是人員他們的個人特性，包括誠信、道德價值觀和勝任能力以及他們進行經(jīng)營所處的環(huán)境。他們是推動主體發(fā)展的引擎，也是所有事情依賴的基礎 風險評估（risk assessment）企業(yè)必須了解和應對它所面臨的風險。它必須設定目標，整合銷售、生產(chǎn)、營銷、財務和其他活動，以便使組織協(xié)調(diào)一致地運行。它還必須建立識別、分析和管理相關風險的機制,控制活動（control activities）必須確立和執(zhí)行控制政策和程序，以幫助確保那些被管理層確認為對實現(xiàn)主體目標的風險而言所必需的活動得以有效地實施 信息與溝通（information and communication）圍繞在

19、這些活動周圍的是信息與溝通系統(tǒng)。它們使主體的員工能夠獲得和交換那些執(zhí)行、管理和控制其運營所需的信息 監(jiān)控（monitoring）必須對整個過程進行監(jiān)控，并在必要時作出修改。這樣，該體系才能作出動態(tài)反應，隨著情況的需要而變化,目標和構成要素之間的關系： 目標和構成要素之間有著直接的關系，目標是主體努力爭取實現(xiàn)的東西，構成要素則代表著要實現(xiàn)這些目標需要什么 每個構成要素行都“貫穿”并適用于所有三類目標 所有五個構成要素與每一類目標都有關聯(lián) 內(nèi)部控制與整個企業(yè)相關，或與它的某一部分（子公司、分部或其他業(yè)務單元，或者職能或諸如購買、生產(chǎn)、營銷等其他活動 ）相關,有效性 如果董事會和管理層能夠合理保證以

20、下三個方面，則內(nèi)部控制可以在三類目標中任何一類上可分別被判斷為有效： 他們了解主體的經(jīng)營目標得以實現(xiàn)的程度 公布的財務報表被可靠地編制 適用的法律和法規(guī)得到了遵循 確定特定的內(nèi)部控制體系是否有效是一種主觀判斷，它來自對五個構成要素是否存在并有效運行的評估,內(nèi)部控制和管理過程,二、控制環(huán)境,控制環(huán)境設定了一個組織的基調(diào)，影響其員工的控制意識 它是內(nèi)部控制的其他所有構成要素的基礎，為其提供了秩序和結構,控制環(huán)境的要素包括 誠信和道德價值觀 對勝任能力的要求 董事會或?qū)徲嬑瘑T會 管理層的理念和經(jīng)營風格 組織結構 權力和責任的分配 人力資源政策和實務,評 價 誠信和道德價值觀 存在并執(zhí)行有關可接受的經(jīng)

21、營實務、利益沖突或期望的道德行為準則方面的行為守則和其他政策 涉及員工、供應商、客戶、投資者、債權人、保險公司、競爭者和審計師等（例如，管理層是否在一個較高的道德水準上開展經(jīng)營，堅持其他人也必須這樣，或者不重視道德問題） 達到不切實際的業(yè)績目標尤其是短期成果的壓力，以及薪酬于實現(xiàn)這些業(yè)績目標掛鉤的程度,對勝任能力的要求 正式或非正式的崗位描述，或者其他界定構成特定崗位的任務的方式 對充分履行崗位職責所需要的知識和技能的分析,董事會或?qū)徲嬑瘑T會 獨立于管理層，以便提出必要的問題，即使這些問題很困難或需要調(diào)查 與首席財務官和/或會計負責人、內(nèi)部審計人員和外部審計師會談的頻率和及時性 向董事會或?qū)ｉT

22、委員會成員提供信息的充分性和及時性，提供這些信息是為了獲準監(jiān)控管理層的目標和戰(zhàn)略、企業(yè)的財務狀況和經(jīng)營成果，以及重大協(xié)議的條款 向董事會或?qū)徲嬑瘑T會通報敏感信息、調(diào)查事項和不當行為（例如，高級官員的旅行費用、重大訴訟、監(jiān)管機構的調(diào)查、貪污、受賄或濫用公司資產(chǎn)、違反內(nèi)幕交易規(guī)則、政治性捐款、非法支付）的充分性和及時性,管理層的理念和經(jīng)營風格 承擔的經(jīng)營風險的性質(zhì)，例如，管理層是否經(jīng)常涉足風險特別高的投機活動，或者對在承擔風險方面極其保守 高級管理層和運營管理層之間互動的頻率，尤其是在地理位置偏遠的地區(qū)進行運營時 對財務報告的態(tài)度和行動，包括對會計處理方法運用的爭議（例如，選擇穩(wěn)健的還是激進的會計

23、政策；是否錯用了會計原則，沒有披露重要的財務信息，或者篡改或偽造記錄）,組織結構 主體組織結構的適當性，以及提供必要的信息流以便管理其活動的能力 關鍵管理人員責任界定的適當性，以及他們對這些責任了解的充分性 相對于其責任而言，關鍵管理人員知識和經(jīng)驗的充分性,權力和責任的分配 分配責任和授予權力以便實現(xiàn)組織宗旨和目標、經(jīng)營職能和監(jiān)管要求，包括對信息系統(tǒng)的責任和對變革的授權 與內(nèi)部控制相關的準則和程序的適當性，包括員工崗位描述 足夠數(shù)量的具備與主體規(guī)模、活動和系統(tǒng)的性質(zhì)和復雜程度相適應的必要技能的人員，尤其是與數(shù)據(jù)處理和會計職能有關的人員,人力資源政策和實務 員工聘用、培訓、晉升和薪酬方面的政策和

24、程序制定到位的程度 為應對偏離既定政策和程序所采取的補救措施的適合性 對員工候選人的背景進行核查的充分性，尤其是當企業(yè)認為對其以前的行為或活動無法接受的情況下 員工保留和晉升標準以及信息收集方法（例如，業(yè)績評價）的適當性，以及與行為守則和其他行為指南的關系,三、風險評估,每個主體都面臨著來自外部和內(nèi)部的必須予以評估的一系列風險 風險評估的前提是設定在各個層次相互關聯(lián)和內(nèi)在一致的目標 風險評估是識別和分析影響目標實現(xiàn)的相關風險，為確定應該如何管理這些風險奠定基礎,目標 目標設定是風險評估的前提條件。必須首先有目標，管理層才能識別實現(xiàn)這些目標的風險，并采取必要的措施來管理風險 目標設定是管理過程的

25、一個關鍵部分，盡管它不是內(nèi)部控制的構成要素，但它是內(nèi)部控制的先決條件和使能方法 目標的類別：經(jīng)營目標，財務報告目標，合規(guī)目標 目標的交叉：保護資產(chǎn),風險 識別和分析風險的過程是一個持續(xù)的重復過程，它是有效的內(nèi)部控制體系的關鍵構成要素 風險識別 主體層次：外部因素，內(nèi)部因素 活動層次,風險分析 估計風險的嚴重性 評估風險發(fā)生的可能性（或頻率） 考慮如何管理風險即評估需要采取何種措施 應對變化,評 價 主體層次的目標 對主體目標充分陳述的程度，是否對主體期望實現(xiàn)的目標提供充分的指導，而且特定目標直接與該主體相關 向員工和董事會傳達主體目標的有效性 主體目標與各種策略的關系和一致性 主體目標、戰(zhàn)略計

26、劃和當前環(huán)境條件與經(jīng)營計劃和預算的一致性,活動層次的目標 活動層次目標與主體層次的目標和戰(zhàn)略計劃的關聯(lián)度 活動層次目標之間的一致性 活動層次目標與所有重要的業(yè)務流程的相關性 活動層次目標的特異性 與目標相關的資源是否充足 識別對實現(xiàn)主體層次的目標來說是較重要的目標（關鍵成功因素） 各級管理層參與目標設定，以及他們對實現(xiàn)目標履行諾言的程度,風險 識別外部因素造成風險的機制是否足夠全面 識別內(nèi)部因素造成風險的機制是否足夠全面 為每個重要的活動層次目標識別重大風險 風險分析流程（包括估計風險的重要性、評估風險出現(xiàn)的可能性并確定需要采取的行動）的徹底性和相關性,應對變化 是否存在各種機制去預測、識別并

27、對影響實現(xiàn)主體或活動層次目標的日常事件或活動作出反應（通常由負責受該種變化影響最大的業(yè)務活動的管理人員來實施） 是否存在各種機制去識別變化并對變化作出反應，這種變化會給主體帶來巨大和滲透性影響而且可能還需要高級管理層的關注,四、控制活動,控制活動是指為確保管理層的指令得以貫徹執(zhí)行的政策和程序 它有助于確保采取必要的行動進行風險管理和保證主體層次的目標的實現(xiàn) 控制活動貫穿于主體的所有級別和職能部門 它包括一系列不同的活動，如批準、授權、驗證、核對、經(jīng)營業(yè)績評價、資產(chǎn)保全以及職責分離等,控制活動的類型 高層復核 直接的職能活動或業(yè)務管理 信息處理 實物控制 業(yè)績指標 職責分離,對信息系統(tǒng)的控制 一

28、般控制 數(shù)據(jù)中心操作控制 系統(tǒng)軟件控制 接觸安全控制 應用系統(tǒng)開發(fā)和維護控制 應用控制,五、信息與溝通,相關信息必須以某種形式和在一定時限內(nèi)被識別、獲得和傳達溝通，以便可以使員工履行自己的責任 信息系統(tǒng)生成含有與經(jīng)營、財務和合規(guī)性有關信息的報告，從而使管理運作和控制主體成為可能 信息系統(tǒng)不僅處理內(nèi)部生成的數(shù)據(jù)，也處理有關外部事件、活動和條件狀況的信息，這些信息對有資料依據(jù)的主體的決策和外部報告都是必需的,有效的溝通也必須廣泛的進行，自上而下、自下而上地貫穿整個主體 所有人員都要從高級管理層獲得明確的信息：必須認真對待控制責任 他們必須了解各自在內(nèi)部控制體系中擔任的職能，以及個人參與的控制活動與

29、他人工作是如何相互關聯(lián)的 他們必須有自下而上傳遞重要信息的渠道和方法 同時，也需要與外部各方如客戶、供應商、監(jiān)管機構和股東等建立有效的溝通,評價 信息系統(tǒng) 獲得外部和內(nèi)部信息，向管理層提供必要的報告，說明與實現(xiàn)主體確立目標相關的主體業(yè)績表現(xiàn) 向合適的人及時提供足夠詳細的信息，使他們能夠有有效性和效率地履行其責任 依據(jù)一份信息系統(tǒng)戰(zhàn)略計劃（與主體總體戰(zhàn)略相關），發(fā)展或修改信息系統(tǒng)，使其為實現(xiàn)主體層次的目標及活動層次目標服務 通過承諾提供適當?shù)娜肆ω斄Y源顯示管理層對發(fā)展必要的信息系統(tǒng)的支持,溝通系統(tǒng) 傳達交流員工義務和控制責任的有效性 建立溝通渠道，使員工可以舉報受到懷疑的不當行為 管理層對員工

30、建議提高生產(chǎn)力、強化質(zhì)量或其它相似改進的方法的接受程度,主體內(nèi)部相互之間溝通是否足夠（例如，采購活動與生產(chǎn)活動之間）；信息的完整性和及時性以及是否足以使人們有效地履行其責任 與客戶、供應商和其他外部有關方溝通交流不斷變化的客戶需求信息的渠道的開放性和有效性 外部各方已了解該主體道德準則的程度 管理層通過與客戶、供應商、監(jiān)管機構或其他外部有關方的溝通，采取了及時和合適的跟進措施,六、監(jiān) 控,對內(nèi)部控制需要進行監(jiān)控 監(jiān)控是一個評估內(nèi)部控制體系在一定時期內(nèi)運行質(zhì)量的過程 監(jiān)控可以通過持續(xù)性的監(jiān)控活動、個別評價或兩者并用來實現(xiàn)這個過程,持續(xù)性監(jiān)控活動發(fā)生在經(jīng)營的過程中，它包括日常管理和監(jiān)控活動以及個人

31、在履行其責任時采取的其他行動 個別評價的范圍和頻率將主要取決于風險評估和持續(xù)性監(jiān)控程序的有效性 應自下而上匯報內(nèi)部控制的缺陷，其中嚴重的問題應上報高級管理層和董事會,持續(xù)性監(jiān)控活動的例子 在執(zhí)行常規(guī)管理活動時，負責運營的管理層獲取內(nèi)部控制持續(xù)發(fā)揮功能的證據(jù) 與外界各方的溝通能夠印證內(nèi)部生成的信息或揭示問題 適當?shù)慕M織結構和監(jiān)控活動可監(jiān)控內(nèi)部控制職能的執(zhí)行并識別內(nèi)部控制的缺陷,將信息系統(tǒng)所記錄的數(shù)據(jù)與實物資產(chǎn)相比較 內(nèi)部及外部審計師定期為進一步加強內(nèi)部控制的方法提供建議 培訓研討會、計劃會議及其他會議可以向管理層提供有關內(nèi)部控制是否有效的重要反饋 定期要求主體員工明確說明他們是否理解并遵守主體的

32、員工行為守則,個別評價 個別評價內(nèi)部控制的范圍和頻率主要取決于被控風險的重要性以及內(nèi)部控制在減少風險中的重要性 內(nèi)部控制自我評估 缺陷報告,評 價 持續(xù)性監(jiān)控 在員工進行其日?；顒又蝎@得證據(jù)的程度，以此表明內(nèi)部控制體系是否繼續(xù)發(fā)揮作用 與外部各方進行溝通確認內(nèi)部生成的信息或指明問題的程度,定期對會計系統(tǒng)記錄的金額與實物資產(chǎn)進行核對 對內(nèi)部和外部審計師建議增強內(nèi)部控制手段的反應 培訓研討會、計劃會議及其他會議向管理層提供有關內(nèi)部控制是否有效的重要反饋的程度 是否定期要求員工說明他們是否理解并遵守主體的員工行為守則并且正常執(zhí)行了關鍵控制活動 內(nèi)部審計活動的有效性。,個別評價 內(nèi)部控制體系個別評價的

33、范圍和頻率 評價流程的適合性 評價內(nèi)部控制體系的方法是否合理、適當 文件記錄水平的適當性,報告缺陷 是否有獲取和報告識別出的內(nèi)部控制缺陷的機制 上報規(guī)程的適合性 跟進行動的適合性,七、內(nèi)部控制的局限,無論內(nèi)部控制設計和運行的多完善，它也只能向管理層和董事會就實現(xiàn)主體目標提供合理保證 實現(xiàn)主體目標的可能性受到所有內(nèi)部控制體系的固有局限的影響，這些局限包括： 在決策時個人判斷可能會出錯 由于簡單的誤差或錯誤這樣的失誤而可能出現(xiàn)內(nèi)部控制失效 兩人或多人的串通也可以繞過內(nèi)部控制 管理層能夠凌駕于內(nèi)部控制之上系統(tǒng) 另一個限制性因素是需要考慮內(nèi)部控制的相對成本和收益,八、職能與責任,主體中每一個人都對內(nèi)部

34、控制負有責任 管理層要為主體的內(nèi)部控制體系負責 首席執(zhí)行官最終對內(nèi)部控制體系負責并應承擔內(nèi)部控制體系“所有權”的責任 盡管管理層的所有成員都發(fā)揮著重要作用并對控制他們各自部門的活動負責，但首席財務官和總會計師對管理層行使控制的方式起著主要的作用,內(nèi)部審計人員在內(nèi)部控制體系持續(xù)有效性方面發(fā)揮著作用，但他們不承擔建立和維持該系統(tǒng)的主要責任 董事會和其審計委員會對內(nèi)部控制體系提供重要的監(jiān)控 外部有關方面（例如外部審計師）常常在實現(xiàn)主體目標方面發(fā)揮作用并提供在實施內(nèi)部控制中有用的信息。但是，他們不是主體內(nèi)部控制體系的一部分，也不對內(nèi)部控制體系的有效性負責,第三部分 企業(yè)風險管理整合框架,一、定義 二、

35、內(nèi)部環(huán)境 三、目標設定 四、事項識別 五、風險評估 六、風險應對 七、控制活動 八、信息與溝通 九、監(jiān)控 十、職能與責任 十一、企業(yè)風險管理的局限,一、定義,不確定性與價值 企業(yè)風險管理的一個基本前提是每一個主體存在的目的都是為它的利益相關者提供價值 所有的主體都面臨不確定性，對于管理層的挑戰(zhàn)在于確定在追求增加利益相關者價值的同時，準備承受多少不確定性,事項風險與機會 風險是一個事項將會發(fā)生并給目標實現(xiàn)帶來負面影響的可能性 機會是一個事項將會發(fā)生并給目標實現(xiàn)帶來正面影響的可能性,企業(yè)風險管理的定義 企業(yè)風險管理是一個過程，它由一個主體的董事會、管理層和其他人員實施，應用于戰(zhàn)略制訂并貫穿于企業(yè)之

36、中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證。,企業(yè)風險管理是： 一個過程，它持續(xù)地流動于主體之內(nèi)； 由組織中各個層級人員實施； 應用于戰(zhàn)略制訂； 貫穿于企業(yè)，在各個層級和單元應用，還包括采取主體層級的風險組合觀； 旨在識別一旦發(fā)生將會影響主體的潛在事項，并把風險控制在風險容量以內(nèi)； 能夠向一個主體的管理層和董事會提供合理保證； 力求實現(xiàn)一個或多個不同類型但相互交叉的目標它只是實現(xiàn)結果的一種手段，并不是結果本身。,風險容量與風險容限 風險容量（risk appetite）是一個主體在追求價值的過程中所愿意承受的廣泛意義的風險的數(shù)量。

37、它反映了主體的風險管理理念，進而影響主體的文化和經(jīng)營風格。 風險容限（risk tolerance）是相對于實現(xiàn)一項具體目標而言，可以接受的偏離程度，它通常最好采用那些與度量相關目標相同的單位進行度量。,四類目標 戰(zhàn)略與高層次的目的相關，協(xié)調(diào)并支撐主體的目標； 經(jīng)營與利用主體資源的有效性和效率相關； 報告與主體報告的可靠性相關； 合規(guī)與主體符合適用的法律和法規(guī)相關。,企業(yè)風險管理的構成要素 內(nèi)部環(huán)境管理層確立關于風險的理念，并確定風險容量。內(nèi)部環(huán)境為主體中的人們?nèi)绾慰创L險和著手控制確立了基礎。所有企業(yè)的核心都是人他們的個人品性，包括誠信、道德價值觀和勝任能力以及經(jīng)營所處的環(huán)境。 目標設定必須

38、先有目標，管理層才能識別影響它們的實現(xiàn)的潛在事項。企業(yè)風險管理確保管理層采取恰當?shù)某绦蛉ピO定目標，確保所選定的目標支持和切合該主體的使命，并且與它的風險容量相一致。,事項識別必須識別可能對主體產(chǎn)生影響的潛在事項。事項識別涉及到從影響目標實現(xiàn)的內(nèi)部或外部原因中識別潛在的事項。它包括區(qū)分代表風險的事項和代表機會的事項，以及可能二者兼有的事項。機會被反饋到管理層的戰(zhàn)略或目標制訂過程中。 風險評估要對識別的風險進行分析，以便形成確定應該如何對它們進行管理的依據(jù)。風險與可能被影響的目標相關聯(lián)。既要對固有風險進行評估，也要對剩余風險進行評估，評估要考慮到風險的可能性和影響。,風險應對員工識別和評價可能的風

39、險應對，包括回避、承擔、降低和分擔風險。管理層選擇一系列措施使風險與主體的風險容限和風險容量相協(xié)調(diào)。 控制活動制訂和實施政策與程序以幫助確保管理層所選擇的風險應對得以有效實施。,信息與溝通相關的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。主體的各個層級都需要借助信息來識別、評估和應對風險。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。員工獲得有關他們的職能和責任的清晰的溝通。 監(jiān)控對企業(yè)風險管理進行全面監(jiān)控，必要時加以修正。通過這種方式，它能夠動態(tài)地反應，根據(jù)條件的要求而變化。監(jiān)控通過持續(xù)的管理活動、對企業(yè)風險管理的個別評價或者兩者相結合來完成。,目標與構成要素

40、之間的關系,有效性 盡管企業(yè)風險管理是一個過程，它的有效性卻是在某個時點上的一種狀態(tài)或情況 確定企業(yè)風險管理是否“有效”，是在對八個構成要素是否存在和有效運行的評估的基礎之上所作出的判斷 如果這些構成要素存在且正常運行，那么就可能沒有重大缺陷，而風險可能已經(jīng)被控制在主體的風險容量以內(nèi),涵蓋內(nèi)部控制 內(nèi)部控制是企業(yè)風險管理不可分割的一部分 企業(yè)風險管理框架涵蓋了內(nèi)部控制，從而構建一個更強有力的概念和管理工具,企業(yè)風險管理與管理過程 企業(yè)風險管理是管理過程的一部分 但是并不是管理層所做的每一件事情都是企業(yè)風險管理的一部分,管理層在決策和相關的管理活動中所運用的許多判斷，盡管是管理過程的一部分，但是

41、并不是企業(yè)風險管理的一部分。例如： 確保有一個恰當?shù)哪繕嗽O定過程是企業(yè)風險管理的一個重要的構成要素，但是管理層所選定的特定目標并不是企業(yè)風險管理的一部分 根據(jù)對風險的恰當評估去應對風險是企業(yè)風險管理的一部分，但是所選定的具體風險應對和主體資源的相應配置卻不是 確定和執(zhí)行控制活動以幫助確保管理層選擇的風險應對得以有效實施是企業(yè)風險管理的一部分，但是所選定的特定的控制活動卻不是,二、內(nèi)部環(huán)境,風險管理理念 風險容量 董事會 誠信與道德價值觀 對勝任能力的要求 組織結構 權力和職責的分配 人力資源準則,風險管理理念 主體的風險管理理念代表著決定主體如何考慮所有活動中的風險的共同的信念和態(tài)度 它反映了

42、主體的價值觀，影響它的文化和經(jīng)營風格 它影響著如何應用企業(yè)風險管理的構成要素，包括如何識別事項、所承受的風險的類型，以及如何對它們進行管理 它被很好地確立和理解，并為主體的員工所信奉 它體現(xiàn)在政策描述、口頭和書面溝通以及決策之中 管理層不僅通過語言而且通過日常行動來強化這種理念,風險容量 主體的風險容量反映了主體的風險管理理念，并且影響著文化和經(jīng)營風格 它在戰(zhàn)略制訂的過程中予以考慮，使戰(zhàn)略與風險容量相協(xié)調(diào),董事會 董事會是積極的，它擁有一定程度的管理、技術和其他專長，并且具有履行其監(jiān)督職責所需的思維方式 它準備質(zhì)疑和仔細審查管理層的活動，提出不同的觀點，以及在遇到不當行為時采取行動 獨立的外部

43、董事至少占多數(shù) 它提供對企業(yè)風險管理的監(jiān)督，并且知道和同意主體的風險容量,誠信與道德價值觀 主體的行為準則反映了誠信和道德價值觀 道德價值觀不僅通過有關什么是對的和錯的的明確指南來進行溝通，而且是與其共存的 誠信和道德價值觀通過正式的行為守則予以溝通 向上的溝通渠道存在于員工感覺帶來相關信息很舒服的地方 對于違反守則的員工進行處罰，鼓勵員工報告可疑的違反行為的機制，并針對有意不報告違反行為的員工采取懲戒措施 誠信和道德價值觀通過管理層的行動和他們樹立的榜樣予以溝通,對勝任能力的要求 主體中的人員的勝任能力反映完成指定任務所需的知識和技能 管理層要協(xié)調(diào)勝任能力和成本,組織結構 組織結構界定職責和

44、責任的關鍵范圍 它確立了報告的途徑 確定組織結構要考慮主體的規(guī)模和活動的性質(zhì) 它使有效的企業(yè)風險管理成為可能,權力和職責的分配 權力和職責的分配確定了個人和團隊被授權和鼓勵采取行動去處理問題和解決問題的程度，它還為權力提供了限制 分配確立了報告關系和授權規(guī)程 描述恰當經(jīng)營實務的政策，關鍵員工的知識和經(jīng)驗，以及相關的資源 個人知道他們的行動是如何相互關聯(lián)的以及對實現(xiàn)目標的貢獻,人力資源準則 針對雇用、定位、培訓、評價、指導、晉升、薪酬和補償措施的準則，推動期望的誠信水平、道德行為和勝任能力 懲戒措施傳遞對期望行為的違反將不會被寬宥的信息,三、目標設定,戰(zhàn)略目標 戰(zhàn)略目標是高層次的目標，它與主體的

45、使命/愿景相協(xié)調(diào)，并支持后者 戰(zhàn)略目標反映了管理層就主體如何努力為它的利益相關者創(chuàng)造價值所作出的選擇,相關目標 經(jīng)營目標這些目標與主體經(jīng)營的有效性和效率有關，包括業(yè)績和贏利目標和保護資源不受損失。它們因管理層對結構和業(yè)績的選擇而異。 報告目標這些目標與報告的可靠性有關。它們包括內(nèi)部和外部報告，可能涉及到財務和非財務信息。 合規(guī)目標這些目標與符合相關法律和法規(guī)有關。它們?nèi)Q于外部因素，在一些情況下對所有主體而言都很類似，而在另一些情況下則在一個行業(yè)內(nèi)有共性。,目標的交叉 保護資產(chǎn)/資源 目標的實現(xiàn) 報告和合規(guī)目標的實現(xiàn)更多的是在主體的控制范圍之內(nèi) 戰(zhàn)略目標和經(jīng)營目標的實現(xiàn)并不完全在主體的控制范圍

46、之內(nèi) 對于戰(zhàn)略和經(jīng)營目標，企業(yè)風險管理能夠合理保證管理層和履行監(jiān)督職責的董事會及時地知悉主體實現(xiàn)這些目標的程度,四、事項識別,事 項 事項是源于內(nèi)部或外部的影響戰(zhàn)略實施或目標實現(xiàn)的事故或事件 事項可能帶來正面或負面影響，或者兩者兼而有之 影響因素 外部因素 內(nèi)部因素,外部因素 經(jīng)濟 自然環(huán)境 政治 社會 技術,內(nèi)部因素 基礎結構 人員 流程 技術,事項識別技術 事項目錄（event inventories）這些是一個特定行業(yè)內(nèi)的公司所共通的潛在事項或者不同行業(yè)之間所共通的特定過程或活動的詳細清單。軟件產(chǎn)品能夠列出共性潛在事項的有關清單，一些主體利用它作為事項識別的出發(fā)點。例如，從事一項軟件開發(fā)

47、項目的公司編制了一份目錄，詳細列示了與軟件開發(fā)項目有關的共性事項。,內(nèi)部分析（internal analysis）它可以作為常規(guī)性經(jīng)營規(guī)劃循環(huán)過程的一部分來完成，典型的是通過一個業(yè)務單元的員工會議。內(nèi)部分析有時利用來自其他利益相關者（客戶、供應商、其他業(yè)務單元）的信息，或者針對具體問題征詢外部專家（內(nèi)部或外部職能機構的專家或內(nèi)部審計師）的意見。例如，一家正在考慮引入一個新產(chǎn)品的公司利用它自己的歷史經(jīng)驗以及外部市場調(diào)研來識別那些曾經(jīng)影響競爭者產(chǎn)品成功的事項。,擴大或底限觸發(fā)器（escalation or threshold triggers）這些觸發(fā)器通過將現(xiàn)在的交易或事項與預先確定的標準進行對

48、比，提醒管理層關注的領域。一旦被觸發(fā)，可能就需要對一個事項進行進一步的評估或者立即予以應對。例如，一家公司的管理層針對新的營銷或廣告計劃監(jiān)控市場上的銷售量，并根據(jù)其結果重新調(diào)配資源。另一家公司的管理層追蹤競爭者的定價結構，并考慮在達到一個特定的底限時變更自己的價格。,推進式的研討與訪談（facilitated workshops and interviews）這些技術通過經(jīng)過設計的討論，利用管理層、員工和其他利益相關者所積累的知識和經(jīng)驗來識別事項。推進者主導有關可能會影響主體或單元目標實現(xiàn)的事項的討論。例如，一名財務主計長與會計團隊的成員一起召開了一個研討會，來識別那些對主體的對外報告目標有影

49、響的事項。通過結合團隊成員們的知識和經(jīng)驗，能夠識別出否則就會被遺漏的重要事項。,過程流動分析（process flow analysis）這種技術考慮構成一個過程的輸入、任務、責任和輸出的組合。通過考慮影響一個過程的投入或其中的活動的內(nèi)部和外部因素，主體能識別那些可能影響過程目標實現(xiàn)的事項。例如，一家醫(yī)學實驗室繪制了血液樣本的接收和測試流程圖。它利用流程圖來考慮那些可能影響輸入、任務和責任的因素的范圍，識別與樣本標注、過程中的傳遞以及人員換班變動有關的風險。,首要事項指標（leading event indicators）主體通過監(jiān)控與事項有相互關系的數(shù)據(jù)，來識別可能導致一個事項發(fā)生的情形是否

50、存在。例如，金融機構很早就認識到延遲償還貸款與最終的貸款違約之間的相互關系，以及及早干預的積極作用。對償還方式的監(jiān)控使違約的可能性得以通過及時的行動而降低。,損失事項數(shù)據(jù)方法（loss event data methodologies）有關過去單個損失事項的數(shù)據(jù)庫是識別趨勢和根本原因的一個有用的信息來源。一旦確定了根本原因，管理層就會發(fā)現(xiàn)它能比致力于單個事項更加有效地進行評估和處理。例如，一家經(jīng)營大型車隊的公司維護了一個事故投訴的數(shù)據(jù)庫，通過分析發(fā)現(xiàn)事故的百分比在數(shù)量和貨幣金額上不成比例，它與特定單元、地域和年齡結構的駕駛員工有關聯(lián)。這個分析使管理層能夠確定事項的根本原因并采取行動。,區(qū)分風險

51、和機會 具有負面影響的事項代表風險，它需要管理層的評估和應對 具有正面影響或者抵消風險的負面影響的事項代表機會 代表機會的事項被反饋到管理層的戰(zhàn)略或目標制訂過程中，以便規(guī)劃行動去抓住機會。抵消風險的負面影響的事項在管理層的風險評估和應對中予以考慮,五、風險評估,固有風險/剩余風險 管理層既要考慮固有風險，也要考慮剩余風險 固有風險是管理層沒有采取任何措施來改變風險的可能性或影響的情況下，一個主體所面臨的風險 剩余風險是在管理層的風險應對之后所殘余的風險 一旦風險應對已經(jīng)到位，管理層接下來就要考慮剩余風險,估計可能性和影響 可能性表示一個給定事項將會發(fā)生的或然率 影響表示給定事項一旦發(fā)生所產(chǎn)生的

52、后果,評估技術 對標（benchmarking）作為一組主體之間的協(xié)作過程，對標著眼于具體的事項或過程，采用共通的標準比較計量指標和結果，并且識別改進的機會。建立有關事項、流程和計量指標的數(shù)據(jù)來比較業(yè)績。一些公司利用對標來在整個行業(yè)中評估潛在事項的可能性和影響。,概率模型概率模型根據(jù)特定的假設將一系列事項以及所造成的影響與這些事項的可能性聯(lián)系起來。在歷史數(shù)據(jù)或反映對未來行為的假設的模擬結果的基礎上，對可能性和影響進行評估。概率模型的例子包括風險價值、風險現(xiàn)金流量、風險盈利以及信貸和經(jīng)營損失分布的計算等。概率模型可以采用不同的時間范圍，以估計諸如不同時期金融工具的價值范圍等結果。概率模型還可以用

53、來評估期望的或平均的結果，以及極端的或非期望的影響。,非概率模型非概率模型在估計沒有量化相關可能性的事項的影響時，利用主觀的假設。根據(jù)歷史或模擬數(shù)據(jù)和對未來行為的假設對事項的影響進行評估。非概率模型的例子包括敏感性指標、壓力測試以及情景分析。,六、風險應對,回避（avoidance）退出會產(chǎn)生風險的活動。風險回避可能包括退出一條產(chǎn)品線、拒絕向一個新的地區(qū)市場拓展，或者賣掉一個分部。 降低（reduction）采取措施降低風險的可能性或影響，或者同時降低兩者。它幾乎涉及各種日常的經(jīng)營決策。 分擔（sharing）通過轉(zhuǎn)移來降低風險的可能性或影響，或者分擔一部分風險。常見的技術包括購買保險產(chǎn)品、從

54、事套期保值交易（hedging transactions）或外包一項業(yè)務活動。 承受（acceptance）不采取任何措施去干預風險的可能性或影響。,在確定風險應對的過程中，管理層應該考慮下列事項： 潛在應對對風險的可能性和影響的效果以及哪個應對方案與主體的風險容限相協(xié)調(diào)； 潛在應對的成本與效益； 除了應付具體的風險之外，實現(xiàn)主體目標可能的機會。,選定的應對 管理層所選定的應對旨在使預期的風險可能性和影響處于風險容限之內(nèi) 管理層要考慮一項應對可能導致的額外風險 組合觀 管理層要從整個主體范圍即組合的角度考慮風險 管理層要確定主體的剩余風險是否與它的總體風險容量相稱,七、控制活動,控制活動的類型

55、 高層審核（top-level reviews）高級管理層對照預算、預測、以前期間和競爭者來審核實際的業(yè)績。 直接的職能或活動管理（direct functional or activity management）負責職能機構或活動的管理人員審核業(yè)績報告。,信息處理（information processing）實施一系列的控制來檢查交易的準確性、完整性和授權。輸入的數(shù)據(jù)要經(jīng)過聯(lián)機編輯核對（on-line edit checks）或與經(jīng)批準的控制文件相匹配。 實物控制（physical controls）對設備、存貨、證券、現(xiàn)金和其他資產(chǎn)進行實物性的保護，定期盤點，并與控制記錄上所反映的數(shù)額相

56、比較。,業(yè)績指標（performance indicators）把不同系列的經(jīng)營的或者財務的數(shù)據(jù)彼此聯(lián)系起來，與對相互關系的分析以及調(diào)查和矯正措施一起，構成了一項控制活動。 職責分離（segregation of duties）把不同人員的職責予以分開或隔離，以便降低錯誤或舞弊的風險。,對信息系統(tǒng)的控制 一般控制包括對信息技術管理、信息技術基礎結構、安全管理和軟件獲取、開發(fā)和維護的控制 應用控制直接關注數(shù)據(jù)獲取和處理的完整性、準確性、授權和有效性,一般控制 信息技術管理 信息技術基礎結構 安全管理 軟件獲取、開發(fā)和維護,應用控制 平衡控制活動 核對數(shù)位 預先確定數(shù)據(jù)清單 數(shù)據(jù)合理性測試 邏輯測

57、試,八、信息與溝通,信息的類型 內(nèi)部/外部 正式/非正式 歷史數(shù)據(jù)/當前數(shù)據(jù),信息的質(zhì)量 內(nèi)容是否恰當信息是否處于正確的詳細程度？ 信息是否及時需要時是否有信息？ 信息是不是當前的是不是最新可利用的信息？ 信息是否準確數(shù)據(jù)是否正確？ 信息是否易于取得需要的人是否容易取得信息？,內(nèi)部溝通應傳達的內(nèi)容 有效的企業(yè)風險管理的重要性和相關性； 主體的目標； 主體的風險容量和風險容限； 一套通用的風險語言； 員工在實現(xiàn)和支撐企業(yè)風險管理的構成要素中的職能與責任。,外部溝通 客戶 供應商 利益相關者 監(jiān)管機構 財務分析師,九、監(jiān)控,持續(xù)監(jiān)控活動 個別評價 報告缺陷,持續(xù)監(jiān)控活動 監(jiān)控活動包含在主體的正常的

58、、反復的經(jīng)營活動之中，在正常的業(yè)務經(jīng)營過程中加以執(zhí)行 它們被實時地執(zhí)行，并且動態(tài)地對變化的情況作出反應,個別評價 個別評價直接關注企業(yè)風險管理的有效性，并提供了一個考察持續(xù)監(jiān)控活動的持續(xù)有效性的機會 評價者了解所著眼的主體的各項活動和企業(yè)風險管理的各個構成要素 評價者以管理層的既定標準為背景來分析企業(yè)風險管理的設計和所執(zhí)行的測試的結果，以確定企業(yè)風險管理是否針對規(guī)定的目標提供了合理保證,報告缺陷 對于從內(nèi)部和外部來源所報告的缺陷，要仔細地考慮它們對企業(yè)風險管理的影響，并采取恰當?shù)某C正措施 所有已識別的影響主體制訂和執(zhí)行其戰(zhàn)略和實現(xiàn)其既定目標的能力的缺陷都要報告給那些被安排來采取必要措施的人員

59、不僅要調(diào)查和矯正所報告的交易或事項，而且還要重新評價潛在的過失所屬的程序 制訂規(guī)程以確定一個特定的層級為了有效地作出決策需要什么信息,十、職能與責任,董事會 董事會知道管理層在組織中建立有效的風險管理的程度 它知道并同意主體的風險容量 它審核風險組合觀并對照風險容量對其進行考慮 知悉最重大的風險以及管理層是否在恰當?shù)貞獙?管理層 首席執(zhí)行官最終對企業(yè)風險管理負責 他/她確保存在積極的內(nèi)部環(huán)境，并且企業(yè)風險管理的所有構成要素都存在 掌管組織中各單元的高級管理人員負責管理與他們所在的單元的目標相關的風險 他們指導企業(yè)風險管理的應用，以確保應用與風險容限相一致 每位管理人員都就他/她在企業(yè)風險管理中的那一部分對更高一個層級負責，而CEO最終對董事會負責,風險官員 財務執(zhí)行官 內(nèi)部審計師 其他內(nèi)部人員,外部審計師 立法和監(jiān)管機構 與主體有業(yè)務往來的外部方 外包服務提供者 財務分析師、債券評級機構和新聞媒體,十一、企業(yè)風險管理的局限,三種表現(xiàn) 第一，風險與未來有關，而未來本