《风险管理COSO框架COSO training_LL--内控制度和内控标准》由会员分享,可在线阅读,更多相关《风险管理COSO框架COSO training_LL--内控制度和内控标准(33页珍藏版)》请在金锄头文库上搜索。
1、内控制度 和 内控标准 张工 2004.3.12,2004-3-12,2,内控制度,内控制度必须重新定位 风险管理体系的五个方面 风险减轻是利用风险和管理风险的基础工作 内控制度是风险减轻的保障,内控制度是风险管理体系的重要组成,什么是内控制度,风险规避 相对于承担的风险 而言回报太低,风险减轻 适用于转移成本 过高的风险,风险转移 适用于转移成本低 能被立即转移的风险,风险减轻后转移 经风险控制的残余风险 能被经济地转移,2004-3-12,3,内控制度创造价值吗? 内控制度的范围多大? 内控制度的不是文字游戏,是过程中的效率和稳健,有效的和稳健内控制度创造股东价值,内控制度的内涵,内部控制
2、是由董事会、管理层和其他员工共同执行,旨在为实现以下三个目标提供合理保证而设计的一种过程 有效和有效率的经 营; 可靠的财务报告; 法律法规的遵循。 COSO 1992,2004-3-12,4,内控标准的发展与资本市场的成熟度有关,内控制度的标准,内控制度有标准吗? 标准产生的动因? 资本市场成熟度的镜子,2004-3-12,5,来源:OECD,中国的内控制度标准,财政部牵头,围绕会计和审计制定的规范; 1996年,独立审计具体准则第9号内部控制和审计风险 ; 2001年,财政部颁布的内部会计控制规范基本规范(试行) 2002年9月,人行出台了商业银行内部控制指引 2003年,证监会出台了证券
3、公司内部控制指引,中国内控制度标准的起步很晚,2004-3-12,6,内控制度标准的重要性,标准的示范作用和促进作用不能忽视 结合国情、企情,避免形而上学 相生和企业文化建设 水到渠成的思想,春种一粒粟,秋收万颗籽,2004-3-12,7,信息透明带来的影响 被动和主动关系的调整 商业模型的变革的冲击 殊途同归,内控的关键是创造(效率),而不该是防止(损失),内控制度需要变革,内控标准介绍,2004-3-12,9,Treadway 委员会成立于1985年,讨论虚假财务报表,其中涉及内部控制的讨论;该委员会由美国注册会计师协会和内部审计师协会等六个组织组成; 建议由其赞助机构另外成立COSO委员
4、会,从事内部控制相关研究 1992年9月,签署了题为内部控制整合框架的报告 1998年,签署了金融衍生产品指南 2003年7月,起草全面风险管理框架草案,Committee of Sponsoring Organisations of the Treadway Commission,COSO的历史,2004-3-12,10,COSO磨方,目标、组成要素和执行层面的有机组合,三个目标 n个执行层面 五个组成部分 每个组成部分包含若干方面内容 每个方面内容包含若干重点,控 制 环 境,风 险 评 估,控 制 活 动,信息和沟通,监 督 执 行,操作,财务报告,合 规,单位A,单位B,活动1,活动2
5、,活动3,2004-3-12,11,控制环境体现的是综合管理层面,公司的文化 法人治理 机构和职能 人力资源政策 判断 不易复制 软性指标,内部控制的五个组成部分,控 制 环 境,2004-3-12,12,控制环境,控制环境,诚信和道德价值观,竞争能力的培养,董事会和审计委员会,管理哲学和经营风格,组织结构,职权和责任的分配,人力资源政策及其实施,内控的组成部分,道德标准及其他相关政策的存在和执行 高层表率 与利益相关人的关系 ,对工作的描述或其它方式以说明具体工作的任务和责任 分析胜任工作所需要的知识和技能,独立于管理层的董事会或审计委员会 专门委员会以处理特别重要事件 董事的知识和经验 ,
6、接受的业务风险性质 在关键职能部门的人员流动率 管理层对数据处理和会计职能的态度, ,公司组织结构的适当性,以及其提供管理活动必要的信息流的能力 关键经理的职责定义,和对自身职责的理解 ,与控制相关的标准、程序的适当性,包括员工职责描述 职权和职责的吻合性 ,雇佣、培训、晋升和员工薪酬的政策及程序 人力政策应与相应的道德伦理标准一致 ,2004-3-12,13,内部控制环境的细分,内部环境包含企业的基调影响着人们对于风险的意识,同时也是其他所有全面风险管理构成部分的基础,确定了原则和结构。 内部环境因素包括: 企业风险管理哲学,他的风险偏好和风险文化; 董事会的勘查; 正直和特有的价值观以及员
7、工的能力; 管理哲学和经营风格; 管理者分配权责,组织和发展人员的方式。,内控的八个要素,2004-3-12,14,控制活动的设计直接影响效率,具体的内部控制规程 事前和事后控制 判断 易复制 硬指标,关键是落实考核,内部控制的五个组成部分,控 制 活 动,2004-3-12,15,控制活动,控制活动,针对公司和商业过程设计实施的特殊控制,批准 授权 验证 检查 规范和限制 分工 整合 考核和跟踪 ,内控的组成部分,一般过程和程序控制,信息系统控制,特殊控制,系统权利限制 系统开发方法 系统本身的性质 独立复核 第三方审计 ,2004-3-12,16,控制活动的细分,控制活动是帮助确保管理者的
8、风险反应得到执行的政策和程序。控制活动贯穿整个企业,包括它的所有级别和职能部门。 与风险反应整合 控制活动是企业努力完成其商业目标的过程中的一部分。 控制活动的类型 一般控制 应用控制,内控的八个要素,2004-3-12,17,信息和沟通提供了平台,信息生成的能力,包括提取、处理和报告 信息系统 广泛意义上的沟通,内部控制的五个组成部分,信 息 和 沟 通,2004-3-12,18,信息沟通,沟通,信息,信息和沟通,向员工传达其职责和控制任务的有效性 建立沟通渠道供员工反映他们注意到的不良情况 管理层对于员工提出的提高生产力、质量的建议或其他改进建议的接受能力 整个企业内部交流是否充足 (比如
9、,采购和生产环节的交流);信息的完整性和及时性;以及信息是否足够允许相关人员有效地履行其职责 与客户、供应商和外部其他方面交流不断变化的客户需求的渠道是否敞开和有效 外部了解企业道德标准的程度 在收到客户、供应商、监管者和其他外部人员反映的情况后,管理层采取的及时和适当的应对措施,获取内部和外部信息,向管理层报告企业原定目标的实现情况 及时向正确的人员汇报足够的信息以便他们高效、有效地履行他们的职责 信息系统的建立或修改基于对信息系统的战略规划与整个企业的战略相连并且着眼于实现企业的目标和行为层面的目标 通过承诺适当的资源人力资源和财力资源,反映管理层支持发展必要的信息系统的态度,内控的组成部
10、分,2004-3-12,19,信息与沟通的细分,信息系统用于从内部提取数据,外部事件的信息,活动和状况,以及为管理企业风险和对相关目标做决策提供情报。有效的沟通也上下纵横贯穿整个企业。 信息 信息通过信息系统辨识,提取,处理和报告。相关信息包括行业,经济,管制等,从外部资源获得,也从内部信息中提取。 战略与综合系统 一个企业的信息系统体系必须足够灵活,以便有效地与新客户和商业伙伴相结合。 沟通 沟通是信息处理中固有的。沟通还可以有广泛的涵义:处理个人和团体的预期与责任。有效的沟通必须贯穿整个企业以及企业外部的组织。,内控的八个要素,2004-3-12,20,监控,持续的监控,前、中、后台 分别
11、评估,自我评价和审计,内部控制的五个组成部分,监控,2004-3-12,21,监控,独立评估,日常监控,报告缺陷,监控,存在适当的机制以发现并报告已发现的内控缺陷 汇报程序是否恰当 补救行动是否适当,内控系统独立评估的范围和频率 评估程序的适当性 用于评估系统的方法是否合理、恰当 文档级别是否恰当,个人在从事其日常活动中能获知有关内控系统是否正常运作的信息的程度 外部反映的情况证实内部信息或揭露问题的程度 定期将会计系统记录的结果与实物进行核对 对内部和外部审计师提出的加强内控措施做出的响应 培训、筹备会议和其他会议向管理层就内控有效性进行反馈的程度 员工是否被要求定期申明他们是否理解并遵守了
12、企业的行为准则,并且按规律执行重要的控制活动 内审活动的有效性,内控的组成部分,2004-3-12,22,监控的细分,全面风险管理要监控监控是用以评估风险管理各部分的现状及职能的程序,通过持续的监控活动,分别评估或两者的结合来完成。 持续监控 持续监控存在于经营的正常过程中,并包括正规的管理和监督活动,以及其他那些员工行使其职责评估内部控制系统表现的行为。 分别评估 有时候,以新的眼光看内控系统,直接关注系统的效力,可能是有用的。分别评估的范围和频率主要取决于对风险的评估和持续监控的程序。 报告缺陷 内控的缺陷要自下而上地报告,某些问题要告知高层管理者和董事会。,内控的八个要素,风险评估,20
13、04-3-12,24,风险评估是操作内控的出发点,内部控制的五个组成部分,风 险 评 估,风险评估是永续的流程 风险评估由风险辨识、风险分析和变化管理三个方面,2004-3-12,25,风险评估,行为层面目标,公司总的目标,风险 辨识,应对变化,风险评估,机制的存在可以预见、识别及对影响企业或活动目标实现的事件或活动发生反应(通常由实施的经理对受到影响的活动负责) 机制的存在对识别和对变化的反映对企业有巨大的深远的影响,所以要求惯例高层的关注,识别外部风险的机制是否健全 识别内部风险的机制是否健全 为行为层面的每一个重要目标识别相关的重要风险 风险分析程序的全面性和相关性,包括:估计风险因素的
14、重要程度,评估风险发生的可能性,并决定应采取的行动,行为层面目标与公司总的目标战略计划一致 行为层面目标与其他活动的一致性 所有重要业务流程的相关活动层面目标 行为层面目标的可衡量性 资源充足性 识别决定企业整体目标实现与否的重要因素(成功关键因素),公司总的目标提供对公司期望达到的充足的主要声明和指导 制定公司总的目标是应与员工及董事会沟通 公司总的目标的关联性和一贯性 商业计划和预算与公司总的目标、战略计划及当前情况的一致性,内控的组成部分,2004-3-12,26,风险评估的细分,风险评估使一个企业能考虑潜在的事件可能会对目标完成造成的影响的达到何种程度 固有的和剩余的风险 固有的风险是
15、在企业不采取任何措施来改变风险的可能性或影响的情况下的风险。 可能性和影响 对潜在事件的不确定性的评估从两方面着手:可能性和影响。可能性表示某个事件发生的可能,影响表示该事件的效果。 性质和数量方法及技术 管理者也许会评估事件之间如何相互关联,一系列事件在哪里相互结合和作用来产生各种重大的可能性或影响的。单独一个事件的影响也许很小,但是一系列事件加起来影响就会很大了。,内控的八个要素,2004-3-12,27,风险辨识的过程需要充分考虑企业所面临的各种风险。 风险辨识是一个相互影响的过程,经常与计划过程综合在一起。 定性和定量方法来优先和辨识更高风险的活动 定期检查对业务有影响的经济和行业因素
16、 高级管理业务规划会议和与行业分析员会谈 辨识风险与长短期预测和战略规划联系起来 仔细考虑造成风险或增长风险的因素对管理层很重要,风险辨识,2004-3-12,28,估计风险的重要性 评估风险发生的可能性或发生的频率 考虑怎么管理此风险(接受、拒绝、分担,降低) 辨识存在所有关键业务流程的潜在风险敞口 管理层也应该认识到它有可能是一些层面的剩余风险将总是存在,不仅因为资源总是有限的,而且因为在每个内控系统中固有的其它一些局限,风险分析,发生可能,严重程度,2004-3-12,29,在任何假设或条件下,应该存在机制来辨识已经发生的或很快将要发生的变化 这些机制不需要详细阐述,在较小企业通常是相当非正式的 例如,总经理与部门经理每月会谈一次 在会上,讨论技术、竞争者的行动、新的客户需求 分析风险和机会,并对每一个活动立即制定行动计划 马上开始实施,所有人管理人跟踪访问检查在营销领域是否已经有变化发生,管理变化,
