{财务管理内部控制}三企业内部控制环境与风险评估

《{财务管理内部控制}三企业内部控制环境与风险评估》由会员分享，可在线阅读，更多相关《{财务管理内部控制}三企业内部控制环境与风险评估（35页珍藏版）》请在金锄头文库上搜索。

1、控制环境 风险评估 控制活动 信息与沟通 内部监督,内部控制要素篇,1,南开大学程新生 等,第一节 企业内部控制环境 内部控制环境是对内部控制建立和运行有影响的一切事物的总和。内部环境是实施内部控制的基础。,第三章企业内部控制环境与风险评估,2,南开大学程新生 等,美国COSO（1994）关于内部控制环境内容界定,诚信原则和道德价值 执行与技能 董事会 管理哲学与经营风格 组织结构 责任分配与授权 人力资源政策与实施,3,南开大学程新生 等,我国内部控制制度框架体系,4,南开大学程新生 等,内部控制环境,组织架构 发展战略 人力资源 社会责任 企业文化,外部环境 技术特点 企业的年龄和经理人任

2、期 企业规模 舞弊风险,5,南开大学程新生 等,风险评估首先应找到“风险动因”，而不能简单地将业务部门或行政区域作为风险评估的对象，对“风险动因”的具体元素进行逐个评估后，风险既可以进行横向汇总对机构风险进行排序，也可以对不同业务进行纵向汇总对业务风险进行排序。对业务风险的评估和排序结果是进行专项检查的重要依据，为提高业务水平提供了可能。,第二节 风险评估与应对,6,南开大学程新生 等,一 风险评估与风险应对概述,中国企业内部控制基本规范指出，企业应对采用 定性与定量相结合的方法，按照风险发生的可能性及 其影响程度等，对识别的风险进行分析和排序，确定 关注重点和优先控制的风险。企业进行风险分析

3、，应当 充分吸收专业人员，组成风险分析团队，按照严格规范 的程序开展工作，确保风险分析结果的准确性。企业应 当根据风险分析的结果，结合风险承受度，权衡风险与 收益，确定风险应对策略。企业应当合理分析，准确掌握高级管理人员，关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企经营带来重大损失。,7,南开大学程新生 等,企业应对风险的策略,风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。 风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或减轻损失，将风险控制在风险承受度之内的策略。 风险分担是企业准备借助他人力量，采

4、取业务分包，购买保险等方式和适当的措施，将风险控制在风险承受度之内的策略。 风险承受是企业对风险承受度之内的内险，在权衡成本效益之后，不采取控制措施降低风险或减轻损失的策略。,8,南开大学程新生 等,二 风险承受度的判断,确定企业的风险偏好程度，即采用定性和定量的方法确定企业为了实现即定目标而愿意承受的风险程度。 明确企业的风险容忍度，即企业对目标实现差异的可承受能力，在目标实现过程中，应结合相关目标的重要性以及企业的风险偏好程度来确定。 对待单位风险要考虑企业总体的风险组合。,9,南开大学程新生 等,三 风险识别,风险识别是指对企业所面的以及潜在的风险加以判断，归类和鉴定风险性质的过程，即确

5、定企业正在或将要面临哪些风险。 风险评估的基础 无单一方法，是一个知识管理过程。 重点是搜集风险信息，确认风险来源以及风险的性质。,10,南开大学程新生 等,风险识别的方法 （1）风险清单分析法 该方法是美国风险和保险管理学会开发制定了风险清单，列示了已识别的、常见的企业风险。例如故障 、员工疏忽 、 雇员的欺诈行为 、 外部欺诈、专利权的失效 、 存货短缺 、 管理失误等。,11,南开大学程新生 等,在20世纪90年代早期，思科公司的股价是其每股销售收入的6倍，2000年第1季度，公司股价是公司未来销售收入的25倍，而公司的值（资本市场上一种度量风险的）高达1.13，公司的风险较高，但为股东

6、创造了价值。,12,南开大学程新生 等,表 思科公司关注的主要风险,13,南开大学程新生 等,（2）现场调查法 现场调查法一般分为三步，即调查前的准备工作、现场调查以及形成调查报告。 （见教材表3-1）,14,南开大学程新生 等,（3）财务报表分析法 趋势分析法 比率分析法 因素分析法 模型分析法,15,南开大学程新生 等,（4）组织结构图分析法 根据需要画出企业或部门的整体结构图，寻找部门之间是否存在重复性、依赖性或集中性；也可在组织结构图上标注该部门的原料供应量、收入、利润等，管理人员可以清楚的看到各部门的责任和风险，也可以借鉴战略地图对风险进行描述 （5）流程图法 配有解释表，用来具体说

7、明各流程阶段会发生的风险种类，可以直观的反应易发生风险的流程以及它对其他流程的影响,16,南开大学程新生 等,（6）因果图法 因果图法是一种分析风险事故与导致风险事故因素之间因果关系的有效工具。这一方法的关键是绘制因果图。图中主骨代表被分析的风险事件，大骨代表导致风险事件的主要原因，中骨表示导致大骨的主要原因，依此类推，将导致风险事件的因素尽可能的在图中表示,17,南开大学程新生 等,（7）事故树法,由某一风险事件出发，运用逻辑推理的方法推导出其引发风险的原因。从顶上事件（风险事件）中间事件基本事件进行事故树的结构图分析，从而确定风险源。,18,南开大学程新生 等,19,南开大学程新生 等,（

8、8）管理评分法 （9）专家意见法 （10）公司治理风险识别,20,南开大学程新生 等,四 风险评估 风险评估是指在风险识别的基础上对风险进行定量和定性的综合分析，并确定风险影响的过程。 评估风险发生的概率。 评估风险造成的影响程度。分析采取何种措施应对该风险。,21,南开大学程新生 等,（一）风险评估程序,首先，在过去风险资料分析的基础上，运用概率论和数理统计的方法对某一特定或者几个风险事件发生的损失频率和损失程度做出定量估计。 其次，评估风险，即在风险识别和风险测量的基础上，把损失概率、损失的程度、风险评估标准以及其他因素综合起来考虑，分析风险对企业的影响。 应从固有风险和剩余风险两方面进行

9、分析。,22,南开大学程新生 等,（二）风险评估内容,重要性原则 时间范围一致原则 可比性原则（相同指标来确定影响） 同类合并原则 相关性原则,23,南开大学程新生 等,3M公司建立风险投资管理机制，为风险投资制定的经营计划包括对预期收益的估计、投资结构平衡、制定资金预算，为确保开发技术的成功，只有在投资项目的收益大大超过损益平衡点时，才将开发的技术投入应用；由创新者、管理人员、财会人员共同对新产品、新技术、新工艺进行技术性、商业性评估，一旦证实创新概念具有经济价值，则进入赢利性分析，包括预期的投资收益率，与之相关的、各自不同的风险，达到成熟期所需的时间等,24,南开大学程新生 等,（三）风险

10、分析方法,压力测试 风险坐标图法 蒙特卡罗方法,25,南开大学程新生 等,（四）风险/内部控制自我评估 风险自我评估或内部控制自我评估（以下简称自我评估）是一种融合组织行为学、内部控制、风险管理、全面质量管理、绩效持续改进等多理论的方法 自我评估内容包括四个方面：确认风险；评价减少或管理风险的控制过程；开发用以将风险减少到可接受程度的行动计划；确定实现业务目标的可能性,26,南开大学程新生 等,内部控制的逻辑起点应当是“修己安人”，“修己”就是自我管理，自我管理应是内部控制的总纲，内部控制“无为而治”是最高境界 国际内部审计师协会（IIA）于2002年对北美4500位来自各类组织的内部审计负责

11、人进行调查，其结果显示内部控制自我评估 (CSA)被列为“当前内审最佳实务”的第二位，在“未来将越来越重要的实务”中排名第一,27,南开大学程新生 等,（一）内部控制自我评价的优点 实施自我评估程序，通过对自我评价，可以提高风险管理有效性。 将以前“发现和评价”为主要内容的活动向积极防范和提供解决方案的活动转变，从事后发现问题到事前发现、防范风险转变为，从单纯强调控制转向积极关注、利用各种方法改善企业绩效，内部控制自我评价提高了内部控制效率。 内部控制自我评价强调员工的参与性。,28,南开大学程新生 等,（二）风险/内部控制自我评估的内容 国际内部审计师协会（IIA）认为，自我评估内容包括四个

12、方面： 确认风险； 评价减少或管理风险的控制过程； 开发用以将风险减少到可接受程度的行动计划； 确定实现业务目标的可能性。并采用以下四种不同的形式展开：,29,南开大学程新生 等,一是以目标为基础。首先确定完成既定目标的现有控制方式，再确认剩余风险（采纳控制措施后依然存在的风险）。评估现有的控制是否有效运作，剩余风险是否维持在可接受的水平 二是以风险为基础。先列举出影响目标实现的各种风险，然后确定能够管理关键风险的适当控制，即典型的“目标风险控制”模式。 三是以控制为基础。在RSA之前已确认关键风险和控制，在RSA过程中把关注点放在评估内部控制运行的有效性,30,南开大学程新生 等,四是以过程

13、为基础。识别采购、产品开发、销售等过程中的优、缺点，致力于评价、改善并简化整个过程，这一方式对流程再造、全面质量管理、持续改进等管理活动提供支持。 五是除了IIA以上四种方式之外，以部门为基础的自我评估，即关注某个部门在整个组织中的位置，确认帮助部门有效发挥功能以及阻碍部门目标实现的因素 。,31,南开大学程新生 等,一般采用两种方法：调查问卷法、研讨会，后者是自我评估的典型方法。研讨会通常持续24小时，由管理人员作为会议的引导者与协调者，引导与会人员就某一议题充分讨论交流，在需要进行评估时利用电子记录与投票系统收集信息，直接记录与会者的意见，及时获得反映与会者对解决议案的偏好、优先顺序的量化

14、结果 。,32,南开大学程新生 等,宝钢国际公司，员工参与内部控制建设，体现了员工价值，将推进CSA的过程视为一个人力资源培训过程 自我评估报告包括三个部分：（1）评价的范围和评价过程的特殊性；（2）内部各个环节的风险程度，风险最高的是红色，较高的是黄色，其次是深绿色，再次是浅蓝色，风险最低的是白色；对红色和黄色的高风险环节进行具体描述，提出改进方案和完成时间、责任人；（3）制定减少或管理风险的行动计划 。,33,南开大学程新生 等,五. 风险应对 风险应对是针对风险评估的结果根据、企业的风险容量和风险容忍度，选择适当的风险管理策略 风险管理策略通常分为以下四类：回避风险、损失控制、分离风险单

15、位、非保险方式的转移风险（包括转移风险源、签订免除责任协议、利用合同中的转移责任条款）、保险等，回避意味着所确定的应对方案都不能把风险的可能性和影响降低到一个可接受的水平，降低和分担意味着要把剩余风险降低到与期望的风险容忍度相协调的水平，而承受则意味着固有风险已经在风险容忍度之内。,34,南开大学程新生 等,在评价了风险应对方案的效果后，企业就应当选择一个能使风险的可能性和影响处于风险容忍度之内的应对方案或应对方案组合。企业应当认识到一定程度的剩余风险总是存在的，这不仅因为资源是有限的，而且还因为所有的活动在未来都有不确定性和局限。因此，风险应对并不是要把剩余风险降到最低。如果一个风险应对方案会导致剩余风险明显低于风险容忍度，企业就应当对该应对方案进行反思和修改，或者在必要时重新考虑风险容忍度。因此，平衡风险与容忍度是一个不断反复的过程 。,35,南开大学程新生 等,