《内控第4章0808出教学案例》由会员分享,可在线阅读,更多相关《内控第4章0808出教学案例(61页珍藏版)》请在金锄头文库上搜索。
1、1,第四章 内部控制过程,2,学习目的,理解内部控制目标的确定 掌握事项识别的概念、方法和技术 掌握风险评估和风险应对 理解控制活动的要素 了解信息系统的控制,3,案例:法兴银行的黑色星期四,2008年1月24日,法国兴业银行曝光一起令全球金融业瞩目的违规事件。 面对交易员盖维维尔近一年的违规操作,控制系统安全报警75次,而其内控机制响应迟钝,终酿大祸 原因分析与启示。,5,第一节 目标确定,6,目标设定,内部控制与企业任务及目标 愿景与企业战略目标 其他相关目标 企业战略目标与风险偏好 风险容忍程度的确定,7,作为COSO在1994年内部控制框架基础上加入的新要素之一,ERM框架下的内部控制
2、将“目标制定”界定为“在战略层次上设立目标,为经营、报告、保护资源和合规目标建立基础。,内部控制与企业任务及目标,8,愿景与企业战略目标,愿景难以实现的高级目标 企业战略目标,9,愿景,所谓愿景,即是由组织内部的成员制订,通过团队讨论并获得组织一致共识而形成的大家愿意全力以赴的未来方向。 所谓愿景管理,是结合个人价值观与组织目的,通过开发愿景、瞄准愿景、落实愿景的三部曲来建立团队,促使组织成功及组织力量极大化地发挥。,10,企业战略目标,战略目标是对企业战略经营活动预期取得的主要成果的期望值。战略目标的设定,同时也是企业愿景的展开和具体化。 战略目标的特点是宏观性、长期性、相对稳定性、全面性、
3、可分性、可接受性、可检验性、可挑战性。,11,风险管理,企业战略目标:多元化还是专一化? 联想的案例 2001年联想就制定了多元化的发展策略,希望向多个不同业务领域发展,找到新市场,从而打入全球500强行列。当时,联想选择了三个与IT 相关的行业:互联网、IT服务、手机业务。然而,多元化战略的实施结果与理想的预期差距甚大。不仅2002年、2003年的销售额未达到预期,而且在PC主业上的发展也受到拖累,市场份额由28降至24。多元化战略受挫使联想在2004年下定决心收缩战略、回归主业,并购IBM PC事业部并取成功,成为世界第三大PC厂商,12,其他相关目标,经营目标 报告目标 资源目标 合规目
4、标,13,企业战略目标与风险偏好,从广义上看,风险偏好是指企业在实现其目标过程中愿意接受的风险的程度。 有效的内部控制是要确保管理层设有一个恰当的程序来使战略目标与企业的使命相协调,保证企业的战略目标与相关目标、企业的风险偏好相一致 。,14,风险容忍程度的确定,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。 企业在风险容忍度内的良好运行可以更好地确保企业的发展未超出风险偏好范围,可以更好地保证企业实现其战略目标。,15,第二节 事项识别,16,事项识别,风险与机遇 事项识别与目标实现的联系 事项分类,17,风险与机遇,如何在不确定环境下进行战略决策、化不确定的劣势为竞争中的优势,
5、是新的市场环境下对企业经营者提出的新挑战。,18,管理者面临的挑战 管理当局面临的最为重要的挑战之一,是确定所在的主体在为创造价值而奋斗的同时,准备承受和实际承受了多大的风险,以汉卡白手起家、以巨人集团失意、以“脑白金”起死回生、以征途掀起网络游戏波澜 、以巨人网络登陆纽交所、坐拥500亿财富,“账上有5个亿趴着,心里就不再害怕”,19,事项识别 必须识别影响主体目标实现的内部和外部事项,区分风险和机会,思考: 房地产开发企业面临着哪些风险?,20,风险管理,风险(risk) 事项(events)可能会带来正面的影响,也可能带来负面的影响,抑或二者兼而有之 正面的影响代表机会,负面的影响代表风
6、险 风险是一个事项将会发生并给目标实现带来负面影响的可能性,21,风险管理,你的风险态度是什么? 风险偏好(risk preference) 风险中性(risk neutral) 风险厌恶(risk averse),为什么书读得越多,成为企业家的可能性越低?,22,风险管理,对待风险的理性态度 风险与机会并存 回避风险通常意味着放弃机会 理性地分析风险,适度地承担风险,“股神”巴菲特:坚持长线投资,拒绝短线投机;坚持投资自己能够理解的公司,拒绝跟风赶潮;股市低迷是好事,23,风险管理,企业风险管理 企业风险管理是一个过程,它由一个实体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业
7、之中,旨在识别可能会影响实体的潜在事项,管理风险以使其在该主体的风险容量(risk appetite)之内,并为实体目标的实现提供合理保证(reasonable assurance)(COSO, 2004),24,事项识别与目标实现的联系,事项识别概述 事项识别与目标实现 事项识别技术,25,事项识别概述,潜在事项是指来自于企业内部和外部资源的,可能影响企业战略的执行和目标实现的一件或者一系列偶发事项,采用一系列技术来识别有关事项并考虑有关事项的起因,对企业过去和未来的潜在事项以及该事项的发生趋势进行计量。 管理者确认潜在的事项,即如果该事项发生,它将会对企业整体产生哪些影响。,26,事项识别
8、与目标实现,27,事项识别技术,管理者可以使用各种技术确认潜在事项 对目标的影响。 一些工具和科学技术构成了企业事项辨 别的方法。 虽然许多比较复杂的技术有行业特色, 但它们都来源于共同的方法。,28,事项种类,外部因素 经济因素 自然环境 政治因素 社会因素 技术因素,内部因素 基础建设 个人因素 过程 技术 数据的完整性,29,第三节 风险评估,30,风险评估,风险评估的概念及任务 风险评估的内容 风险评估的途径,31,风险评估的概念及任务,风险评估是对组织资产面临的威胁、存在的弱点造成的影响,以及三者综合作用而带来风险的可能性进行评估。 风险评估的主要任务包括:识别组织面临的各种风险、评
9、估风险概率和可能带来的负面影响、确定组织承受风险的能力、确定风险消减和控制的优先等级、推荐风险消减对策。,32,风险评估的内容,管理者可从两个角度评估事件:一是发生的可能性;二是影响程度。 风险评估首先针对的是内在风险,一旦风险反馈发展起来,管理部门就应当开始考虑追加风险 。,33,风险评估的途径,实际工作中经常使用的风险评估包括: 基线风险评估 详细风险评估 组合风险评估,34,基线风险评估,企业根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和
10、控制风险。,35,详细风险评估,详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。,36,组合风险评估,基线风险评估耗费资源少、周期短、操作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。基于此,实践当中,企业多是采用二者结合的组合评估方式。,37,第四节 风险应对,38,风险应对,风险应对策略 应对风险的具体行动 风险组合观,39,风险应对策略,规避风险策略 降低风险策略 转嫁风险策略 接受风险策略,40,应对风险的行动,41,风险消减,确定风险消减策略
11、选择安全措施 制定安全计划,42,风险控制,维护 监视 事件响应 安全意识、培 训和教育,43,维护内容,检查日志文件; 修改调整必要的参数,反映变化需求; 更新版本; 安装补丁。,44,监视内容,监视资产 监视威胁 监视弱点 监视安全措施,45,事件响应过程,准备,检测,初始响应,通知,评估,处理,恢复,46,安全意识、培训和教育,47,风险组合观,企业管理部门确定的每个行动下的风险首先是在每一业务单元、部门或分支上考虑的,担负此项工作的经理要为每一单元设计风险综合评估体系,以反映该单元相对其目标和风险容忍度的剩余风险状况。,48,第五节 控制活动,49,控制活动,控制活动的目标 控制活动与
12、风险应对的联系 控制活动的种类及要素,50,控制活动的目标,控制活动指为确保管理层指示得以执行的政策和程序。它们有助于保证采取必要措施来管理风险以实现企业目标。它贯穿于企业各层次和各部门,分别应用于五类目标战略、经营、报告、资源及合规。,51,控制活动与风险应对策略的联系,控制活动的选择和再考察应当包括他们对于风险反应措施和相关目标的相关性和恰当性的考虑。这可能通过分开考虑控制行为的恰当性或者通过在具有风险反应措施和相关的控制活动的情况下考虑残余风险来完成。,52,控制活动的种类及要素,控制活动的种类 控制活动的要素 控制活动与风险评估结合 控制活动应注意的问题 控制活动的评估,53,控制活动
13、的种类,预防性控制 检查性控制 手工控制 信息化控制 管理控制,54,控制活动的要素,1.确定应该做什么政策 2.实现该政策的程序,55,控制活动与风险评估结合,在风险评估同时,管理层为了管理风险,应确定相应的行动并使之有效。被确定用于管理风险的行动也用于重点关注控制活动是否已经到位,以有助于确保正确、及时地执行这些行动。,56,控制活动应注意的问题,企业特殊性 中小企业的应用,57,控制活动的评估,评估者不仅考虑确定的控制活动是否与风险估计过程相关,而且还考虑它们的应用是否正确。,58,企业风险管理框架图,59,本章重点与难点,企业风险管理的战略目标及其他相关目标的制定 风险容忍程度的确定
14、事项识别的方法和技术 风险评估的可能性与影响 风险应对策略 控制活动与风险应对策略的关系,60,思考题,举例说明事前目标制定对于成功与否的重要性。 设想你正在经营一家校园周边地段的饮食店,运用本章所学到的知识制定一份切实可行的目标。 如何分析与辨别企业外部环境中的机会与威胁,并做出合理的应对措施? 谈谈“事项识别”这一要素对我国目前证券 公司风险管理的启示。,61,思考题,审计过程中,对控制风险的初评和再评的结果对实质性测试有何影响? 现实中,企业领导层如何利用风险评估达到改善公司治理的目的? 内部审计部门的存在是否能够为企业风险反应机制的建立起到良好的带动作用? 列举你所知道的控制活动成功或失败的案 例,更好地理解控制活动的意义。,
