《Ch09 内部控制与风险管理_okPPT幻灯片》由会员分享,可在线阅读,更多相关《Ch09 内部控制与风险管理_okPPT幻灯片(109页珍藏版)》请在金锄头文库上搜索。
1、内部控制与风险管理,1,内部控制与风险管理,目标、风险与内部控制 控制结构框架 内部控制手段 内部控制的前景,2,目标、风险与内部控制,目标, Objective 可量化,可衡量,可以达到的业务目标 风险, Risk 可能影响业务目标实现的事件 控制, Control 通过管理程序或活动减少风险,3,业务目标,业务目标, Qualities to look for 具体化 可衡量 可达到 有经济效益 与企业长远目标相关联,4,业务目标,业务目标举例 一年内将股东价值提高30% 在18个月内实现成本降低达 25% 6个月内提高生产率20% 实现共享服务 (Shared Services Init
2、iatives) 建立电子商务 (E-Business Initiatives) 新的/改良的系统 (New/Modified Systems),5,业务目标,目标的明确 组织机构和业务单位是否对各自应实现的目标承担责任? 最重要的客户和其组成部分是什么? 利益相关者的期盼是什么? 影响: 对于公司, 业务单位或业务流程而言, 什么样的目标有最大的影响力? 时间: 短期来看, 哪些目标是最重要的?,6,风险,风险的定义及其主要类别 任何可能影响某一组织实现其目标的能力的事项。 遵守风险 (法律和政策) 财务风险 经营风险 (包括战略风险和科技风险) 在企业成立之初,内部审计职能的建立一般是以财
3、务及遵守法律和政策为重点,但是随着企业的成长,发展为以增值为重点。,7,风险,风险包括: 恶性事件带来的威胁(risk as hazard) 尚不能确定后果的事件(risk as uncertainty) 可转化为机会的事件 (risk as opportunity),8,风险,风险的特点 风险长期存在 不总能被消除 必须与机会同时权衡,9,风险,内部审计协会列出的9大风险因素. 管理层的能力 (Competence of management ) 管理层的道德观 (Integrity of management) 近期系统变化 (Recent changes in systems) 组织规模
4、 (Size of unit) 资产流动性 (Liquidity of assets) 变革 (Change) 复杂程度 (Complexity) 快速增长 (Rapid growth) 规章制度是否健全 (Level of regulation),10,风险管理,风险管理是: 发现和了解组织中风险的各个方面, 并且付诸明智的行动帮助组织实现战略目标, 减少失败的可能并降低不确定的经营结果的整个过程。,11,管理层对风险管理看法的转变,操作角度 低层次/经营层次 风险监控是内部审计人员的职能 风险是一个需要控制的负面因素 风险管理在企业各部分个别展开 风险管理的责任被委派到低层次的人员 风险的
5、衡量是主观的 无组织以及杂乱的风险管理职能,12,管理层对风险管理看法的转变,董事会关注 是CEO的工作 受董事会监管 风险其实是一个机会 在整个企业范围内进行一体化的风险管理 风险管理的责任由高级和部门管理人员承担 风险的数量化 风险管理被纳入所有企业管理系统,13,内部控制,内部控制的定义: 管理层实施程序/活动以减少风险,即管理层采取的计划,组织,指导行动,为保证以下目标的实现: 达到预定目标 经济并有效地使用资源 防止资产流失 信息的可靠性与整体性 与政策、计划、程序、法律法规保持一致,14,内部控制,有关内部控制的几个基本判断 内部控制能够帮助企业达成其目标,同时在前进过程中避免各种
6、错误和意外。 随着对价值、责任、信任和授权的认可加强, 控制也被认为是一个有活力的、不断发展的系统。 控制不是静态的:原有风险的变化和新的风险对早期设计的内部控制系统施加压力。 建立一个强有力的内部控制系统是公司监管中的一个核心问题。公司的失败往往都是由内部控制的失败所引起,而有效的内部控制是公司高效管理的必要组成部分。,15,内部控制,16,企业组织的变化,内部因素,外部因素,降低成本的要求,工艺流程的改进 和变化,新的技术,遵守和控制过程,内部控制,我们应该积极的看待内部控制, 它使董事们自信地运营公司, 达到他们运营和赢利的目标, 同时防止资源的流失。内部控制在协助管理层防止资源流失,
7、保证信息的可靠性和系统整体恰当运转方面是必不可少的。,17,内部控制,内部控制的职责 组织内部控制系统的设计, 维护和监测的职责, 首先是, 而且最重要的是由董事会执行的。 在很多组织内部, 这一职责是由审计委员会负责的。 仅仅建立内部控制系统是不够的。内部控制系统需要不断的监管以保证组织达到其既定目标。 因此, 除非建立一个有效的监管系统, 否则我们不能确保内部控制系统的有效性。监管程序的作用是给董事会一种 “合理的保证” , 即内部控制正在向既定目标前进。,18,目标、风险与内部控制,19,确定目标,评估风险,行动计划/ 责任分配,分析控制,举例: 目标、风险与内部控制的关系,20,举例:
8、 目标、风险与内部控制的关系,21,举例: 目标、风险和内部控制的关系,22,举例: 目标、风险和内部控制的关系,23,举例: 目标、风险和内部控制的关系,24,控制结构框架,25,COSO(Committee of Sponsoring Organizations of the Treadway Commission)控制结构框架包含5个组成要素: 控制环境 (Control Environment) 风险评估 (Risk Assessment) 控制行动 (Control Activities) 信息与沟通 (Information and Communication) 监控 (Monit
9、oring),控制环境,控制环境是内部控制的基础: 设定组织管理的基调 影响着员工的控制管理意识 是其他四个内部控制组成部分的基础 提供纪律和控制结构,26,控制环境的因素包括: 企业每一个人的诚信、道德价值和能力 管理层的管理理念和经营风格 管理层的授权方式和发展员工的方法 董事会成员对企业的关注和指导 从定性到定量 法人治理 独立董事独不独立、懂不懂事、是否尽职、在董事会上的发言记录,控制环境,27,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,传达管理理念 -责任 -义务-职权-人力资源- 员工发展,设定管理基调 -诚信 -道德
10、观念 -能力,要素1: 控制环境,控制要素,控制类别,28,风险评估,29,为了有效地控制风险则需要对风险进行评 一个企业都面对各种不同的内部和外部的风险,必须对这些风险进行评估 风险评估就是确定和分析企业实现其目标的过程中的相关风险 风险评估的一个前提条件就是企业已确立目标, 这些目标在各个层次上相互关联并且在企业内部是一致的 由于经济、行业、政策法规和经营条件持续地变化, 因此需要建立机制以及时确定和处理与这些变化相关的特定风险,评估关键的风险,30,风险是实现业务目标的现存的或潜在的障碍 什么因素可能会妨碍本部门实现其关键的业务目标? 要成功, 需要完成一些必要的工作和程序, 而什么因素
11、会阻碍这些工作和程序的完成和实现呢? 发生率: 这些风险中, 什么风险是最可能发生的? 影响: 哪些风险将对本部门实现其预定目标的能力产生最重大的影响? 有什么有效的控制机制可以减少这些风险及其影响?,如何评估影响?,只要可能,获取管理层和业务单位人员的投入信息 通过职业判断和借鉴以往的经验 依照其影响和可能性将风险分类 性质、程度 (即,高、中、低等) 量化 (即,5、3、1等) 将风险排序或制成图表 集中精力对有巨大影响力和巨大风险进行评估,31,辨别主要风险影响,偶发性,重要性,无关性,日常性,可能性,影,响,力,32,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单
12、位 1,单位 2,单位 3,单位 4,管理/控制变化,确定并分析对实现企业 目标有影响的风险,要素2: 风险评估,控制要素,控制类别,33,风险意识,把对风险的认识发展成为企业文化的一部分, 比如, 企业设有清晰并完整的辨别和处理风险的程序 在员工中提倡风险的意识, 通过公告, 阶段性的报告等手段让员工了解什么应该执行, 什么应该避免 管理层在制定发展计划,设定目标时必须考虑到目标进行时可能遇到的风险并进行评价 企业员工能够在被问到的时候清楚地说出企业的主要目标 经常性地要求员工提出他们对风险的认识和看法 对员工进行风险认识的培训. 在提高对风险的认识问题上, 企业内部的交流 无论是主动的还是
13、被动的 都是非常有效的.,34,风险意识,员工在职责范围内关于减低风险的表现作为年度业绩考核的一项条款. 负有降低风险责任和义务的管理人员对他们的职责非常清楚. 每一件“坏事”发生的原因都被彻底调查清楚, 使这些因素能够被企业及其员工理解, 讨论并产生相应的对策. 每一位经理在他/她能够影响的范围内, 都设立降低风险的目标. 与风险相关联的任何经验都在企业内部进行广泛而有效的交流. 风险进行分类, 既把风险看成是威胁又把风险看成是机会.,35,控制活动,36,为管理和减少风险而制定的政策制度和程序 是协助管理层确保有关经营指导方针得以落实的政策制度和程序 帮助确保管理层采取必要的措施行动以处理
14、企业在实现其目标的过程中所面临的风险 在整个公司范围、所有层次以及所有职能中实施,控制活动,37,控制活动包括: 审批 (Approvals) 授权 (Authorizations) 核实查证 (Verifications) 对帐 (Reconciliation) 检查 (Review) 资产的安全 (Security of assets) 责权分离 (Segregation of duties),评估适当的控制,能做什么工作来降低发生风险的可能性? 这些工作或活动现在存在吗? 足够吗? 现有的控制活动是否明确, 独特且没有彼此重复? 效率: 有没有更容易的或者成本更低的控制风险的方法? 效果
15、: 这些控制活动是不是有效地降低了风险?,38,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,管理层发展方针贯彻的程序 直接的职能或活动管理 物质的控制 -职权的分离,要素3: 控制活动,控制要素,控制类别,实现目标的管理机制,39,信息和沟通,40,人们往往认识不到信息和沟通是和控制相关联的 必须通过某种方式,在一定的时间之内明确、获得并传达沟通相关信息以确保人们能够履行其职责。 信息系统提供有关财务、经营和法律法规的遵守等信息的报告,这些信息使企业的管理控制成为可能。 所有员工必须从高级管理层获得明确的信息指令,即所有人都必须认真
16、看待和履行控制职责。,信息和沟通,内部控制的驱动是信息驱动的 对信息的把握和认知如何产生 沟通 个体都很强,没有形成合力,缺少沟通协调,这就是信息孤岛现象,例如,物流管理与会计信息系统的对接 有时主体的数量越多,沟通的成本越高 财务部门的人员应该成为其他业务部门的半个业务专家,业务部门的人员应该成为半个财务专家,即财务部门要懂业务,业务部门要懂财务,否则就像猫和狗在说话 财务总监的内外沟通协调能力非常重要,即要下得厨房、又要上得厅堂,41,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位 1,单位 2,单位 3,单位 4,要素4: 信息和沟通,控制要素,控制类别,经营和财务信息的准确性和及时性,获取内部和外部的信息,组织的沟通,42,监控,43,是确定控制结构是否有效及最大可能减少意外不测的关键 内控系统需要监控 内控系统的监控通过以下工作实现: 进行中的
