《内部控制与风险管理框架专业教育》由会员分享,可在线阅读,更多相关《内部控制与风险管理框架专业教育(169页珍藏版)》请在金锄头文库上搜索。
1、 内部控制与风险管理框架内部控制与风险管理框架 1特备参考第一部分 内部控制的发展与演变2特备参考一、内部控制的渊源和早期发展二、内部控制的初步形态:内部牵制三、内部控制理论和实践的分野四、内部控制的发展与演变五、国际上较有影响的内部控制准则或指南六、我国内部控制规范建设的情况3特备参考一、内部控制的渊源和早期发展o内部控制的渊源十分久远 ,自从有了人类的群体活动和组织之后,就会产生对组织的成员及其活动进行控制的需要 o内部控制的发轫最早可以追溯到公元前3600年公元前3200年的苏美尔文化时期 o古埃及、古波斯、古希腊、古罗马和古代中国都有原始内部牵制制度的雏形 o原始的内部牵制制度最早是为
2、部落、城邦、庄园、国家服务的 4特备参考o中世纪资本主义生产关系萌芽,商业组织开始出现,内部牵制进入企业领域,开启了一个广阔的发展空间 o控制(control)一词最早产生于17世纪,其原始含义是“由登记者之外的人对帐册进行的核对和检查” 5特备参考二、内部控制的初步形态:内部牵制o内部控制是从内部牵制(internal check)的基础上发展起来的o20世纪以前,盛行的观念和实务都停留在内部牵制阶段o内部牵制的目的是纠错防弊,其前提性假设是:两个或多个人犯同一种错误的概率较小,两个或多个人串通舞弊的可能性较小,难度较大o内部牵制的基本思路是分工和牵制o主要的牵制机能包括:分权牵制、实物牵制
3、、机械牵制和簿记牵制 6特备参考三、内部控制理论和实践的分野o审计视角下的内部控制审计视角下的内部控制 20世纪以后,审计职业界出于摆脱全面查核、提高审计效率的考虑,开始关注内部控制20世纪中叶,审计和内部控制的发展不断交织,进而互动和耦合,直接导致了制度基础审计模式的诞生此后,内部控制逐渐确立了在审计中的地位,成为推动审计模式演变和探索审计理论与方法的重要因素之一 内部控制与审计的交叉和耦合,是推动内部控制理论与实践发展的最主要的力量7特备参考o管理视角下的内部控制管理视角下的内部控制 现代管理学说把控制看作管理的一项核心职能,围绕着管理所展开的控制研究和实践,是内部控制发展的一个重要分支,
4、我们一般把这个分支统称为管理控制 几乎所有的著名管理大师,包括法约尔、德鲁克、钱德勒、罗宾斯等,在他们的管理学著作中,都涉及到控制问题 8特备参考围绕着管理控制,形成了自我控制论、控制过程论、控制系统论、控制动力论、生态控制论等多个分支这个学派随着控制论、系统论和现代管理学的发展而不断发展而专以控制研究而著称的前沿观点以哈佛大学西蒙斯教授的管理杠杆理论最具代表性 9特备参考o战略管理会计视角下的内部控制战略管理会计视角下的内部控制 随着现代管理会计的发展,战略管理会计学派的一个分支将组织内的控制系统区分为战略规划、管理控制和作业控制三个层次管理控制主要是多事业部制的公司对其战略业务单元(SBU
5、)所进行的战略业绩考评和控制系统这个学派的主要代表是哈佛大学的安东尼教授和卡普兰教授 10特备参考四、内部控制的发展与演变o内部控制阶段1936,AIA,独立公共会计师对财务报表的检查,首次提出内部控制的概念注册会计师在制定审计程序时,应考虑的一个重要因素是审查企业的内部牵制和控制,企业的会计制度和内部控制越健全,财务报表需要测试的范围就越小内部控制是为了保护公司现金和其他资产,核对簿记的准确性,而在公司内部采用的手段和方法11特备参考1938年,麦克森罗宾斯事件:PW的审计程序中缺少对内部控制和会计处理程序的审查1939年10月,AIA审计程序委员会发布SAP1审计程序的扩展,首次增加内部控
6、制审查的内容1940年10月,SEC正式要求审计师在签署的审计报告中增加类似的内容12特备参考1949年, AIA审计程序委员会(CAP),内部控制:一个协调的系统要素及其对管理层和独立公共会计师的重要性,首次给出内部控制的权威定义内部控制包括组织的计划和为了保护资产、核对会计资料准确性和可靠性、提高经营效率、以及促使遵循管理层所制定的各项政策所采取的各种方法和措施13特备参考o内部控制系统阶段1958年10月,CAP发布了SAP29 “独立审计师评价内部控制的范围”,将内部控制划分为会计控制和管理控制 1963年10月,CAP在SAP33“审计准则与程序(汇编)”中强调:独立审计师应主要检查
7、会计控制14特备参考1972年11月,SAP54“审计师对内部控制的研究与评价”,对管理控制和会计控制的定义进行了修订和充实1972年11月,AudSEC 发布SAS1“审计准则和程序汇编”会计控制包括组织的计划和与保护资产和保证财务资料的可靠性有关的程序和记录管理控制包括但不限于组织的计划和与管理层授权办理经济业务的决策过程有关的程序和记录15特备参考1977年,反国外腐败行为法案(FCPA),要求公众公司保持充分的内部会计控制,采纳SAS1的定义1979年,SEC要求公众公司在年度报告中增加管理层报告,对公司内部会计控制是否为FCPA规定的内部控制目标提供合理保证作出说明,并要求注册会计师
8、进行审查、发表意见16特备参考o内部控制结构阶段1988年4月,ASB发布SAS55“财务报表审计中对内部控制的考虑”,引入“内部控制结构”的概念内部控制结构包括为合理保证企业特定目标的实现而建立的各项政策和程序内部控制结构包括3个要素:控制环境,会计体系,控制程序17特备参考o内部控制整合框架阶段1992年9月,COSO发布内部控制整合框架(1994年局部修订)COSO成立于1987年,是Treadway委员会(反欺诈财务报告全国委员会)的发起组织委员会,后者成立于1985年,由AICPA,AIA,IIA,FEI,IMA发起成立18特备参考内部控制的3个目标:经营的有效性和效率,财务报告的可
9、靠性,对适用法律法规的遵循内部控制的5个构成要素:控制环境,风险评估,控制活动,信息与沟通,监控1995年12月,ASB发布SAS78“财务报表审计中对内部控制的考虑:对SAS55的修正”,全面采纳COSO的内部控制框架SOX404及相关规则采用的也是这个框架19特备参考监控控 制 环 境风 险评 估控制活动信沟通息与沟通信息与20特备参考o企业风险管理整合框架:未来趋势?2004年9月,COSO正式发布企业风险管理整合框架ERM的4个目标:战略,经营,报告,合规ERM的8个构成要素:内部环境,目标设定,事项识别,风险评估,风险应对,控制活动,信息与沟通,监控21特备参考内 部 环 境战 略目
10、 标 设 定事 项 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告合规 子公司业务单元分 部企业层次22特备参考五、国际上较有影响的内部控制准则或指南o国际上较有影响的内部控制框架、准则和指南1美国,COSO,内部控制整合框架,1992年9月(1994年局部修订)(它是目前最有影响的框架性文件,是此后诸多准则、指南的蓝本。也是美国公认审计准则相关规定、SOX法案相关要求的主要参照)2美国,GAO(审计总署,2004年改名为政府问责署,简称仍为GAO),联邦政府内部控制准则,1999年11月(内部控制进入公共部门的代表性标志)23特备参考3巴塞尔银行业监管委员会,银
11、行业机构内部控制系统框架,1998年9月(权威而影响广泛的金融机构内部控制国际指南)4英国,FRC(财务报告委员会),Turnbull内部控制指南,2005年10月修订(Turnbull内部控制指南最初由ICAEW(英格兰与威尔士特许会计师协会)于1999年发布)5加拿大,CoCo(控制标准委员会,隶属于加拿大特许会计师协会(CICA),控制指南,1995年24特备参考o与风险管理相结合的权威内部控制框架、准则和指南1美国,COSO,企业风险管理整合框架,2004年9月2英国,IRM(风险管理学会),AIRMIC(保险与风险管理师协会),ALARM(全国公共部门风险管理论坛),风险管理准则,2
12、002年3澳大利亚,新西兰,AS/NZS 4360,风险管理准则,2004年(最初的版本于1995年发布)25特备参考4加拿大,CAN/CSA-Q850-97,风险管理指南,1997年10月5南非,King委员会报告II,公司治理报告,2002年(其中包括内部控制和风险管理)6中国香港特别行政区,香港会计师公会(HKICPA),内部控制与风险管理基本框架,2005年6月7日本,经济产业省风险管理与内部控制研究会,风险新时代的内部控制,2005年6月26特备参考o与信息技术相结合的权威内部控制准则和指南与信息技术相结合的权威内部控制准则和指南 1国际标准组织(ISO),ISO 17799,信息系
13、统安全,2005年2ISACA(信息系统审计与控制协会),ITGI(IT治理协会),信息与相关技术的控制目标(COBIT),2003年(最初的版本于1996年发布)3IIARF(内部审计师协会研究基金会),系统可审计性与控制(SAC),最初于1991年发布,1994年修订27特备参考六、我国内部控制规范建设的情况o财政部内部会计控制规范2001年6月22日,内部会计控制规范基本规范(试行),内部会计控制规范货币资金(试行) 2002年12月23日,内部会计控制规范采购与付款(试行),内部会计控制规范销售与收款(试行) 2003年10月22日,内部会计控制规范工程项目(试行) 2004年8月19
14、日,内部会计控制规范担保(试行),内部会计控制规范对外投资(试行) 28特备参考o商业银行、保险机构内部控制指引1997年5月16日,中国人民银行,加强金融机构内部控制的指导原则 (已废止)2002年9月7日,中国人民银行,商业银行内部控制指引2004年12月25日,中国银监会,商业银行内部控制评价试行办法2005年2月28日,中国保监会,保险中介机构内部控制指引(试行) 29特备参考o证券公司、基金公司内部控制指引2001年1月31日,中国证监会,证券公司内部控制指引 (已废止)2002年12月3日,中国证监会,证券投资基金管理公司内部控制指导意见 2003年12月15日,中国证监会,证券公
15、司内部控制指引 (修订)2006年6月30日,中国证监会,证券公司融资融券业务试点内部控制指引2007年2月13日,中国证监会,证券投资基金销售机构内部控制指导意见(征求意见稿) 30特备参考o上市公司内部控制指引2006年6月5日,上海证券交易所上市公司内部控制指引 ,自2006年7月1日起施行 2006年9月28日,深圳证券交易所上市公司内部控制指引 ,自2007年7月1日起施行 31特备参考o其他2006年6月6日,国务院国有资产监督管理委员会,中央企业全面风险管理指引中央企业全面风险管理指引2002年2月, 中国注册会计师协会,内部控制审核指导意见32特备参考o2006年7月6日,财政
16、部企业内部控制标准委员会成立主席:王 军(财政部副部长)副主席:李小雪(中国证券监督管理委员会纪委书记) 邵 宁(国务院国有资产监督管理委员会副主任)秘书长:刘玉廷(财政部会计司司长)委员:29人33特备参考o2008年5月22日,财政部、证监会、审计署、银监会、保监会发布企业内部控制基本规范自2009年7月1日起在上市公司范围内施行鼓励非上市的大中型企业执行34特备参考o2010年4月26日,财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制配套指引。o该配套指引包括18项企业内部控制应用指引、企业内部控制评价指引和企业内部控制审计指引,并规定自2011年1月1日起在境内外同时上市
17、的公司执行,2012年1月1日起在上交所、深交所主板上市公司执行。o指引连同此前发布的规范,标志着适合我国企业内部控制规范体系已基本建成。35特备参考o内部控制标准体系基本规范应用指引评价指引审计指引36特备参考o需要面对的问题企业内部控制基本规范与两个交易所上市公司内部控制指引之间的关系企业内部控制基本规范与中央企业全面风险管理指引之间的关系37特备参考第二部分 内部控制整合框架38特备参考一、定 义二、控制环境三、风险评估四、控制活动五、信息与沟通六、监 控七、内部控制的局限八、职能与责任39特备参考一、定 义o内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提
18、供合理保证的过程: 经营的有效性和效率 财务报告的可靠性 遵循适用的法律和法规40特备参考o这个定义反映了一些基本概念: 内部控制是一个一个过程过程。它是实现目的的手段,而不是目的本身 内部控制由人员人员来实施。它并不仅仅是政策手册和表格,还涉及组织中各个层级的人员 只能期望内部控制为主体的管理层和董事会提供合理保证合理保证,而不是绝对保证 内部控制被用来实现一个或多个彼此独立又相互交叉的类别的目标目标41特备参考o内部控制的目标: 经营(operations)目标与主体资源利用的有效性与效率有关 财务报告(financial reporting)目标与编制可靠的公开财务报表有关 合规(com
19、pliance)目标与主体对适用的法律和法规的遵循有关42特备参考o构成要素: 控制环境控制环境(control environment)所有业务活动的核心都是人员他们的个人特性,包括诚信、道德价值观和胜任能力以及他们进行经营所处的环境。他们是推动主体发展的引擎,也是所有事情依赖的基础 风险评估风险评估(risk assessment)企业必须了解和应对它所面临的风险。它必须设定目标,整合销售、生产、营销、财务和其他活动,以便使组织协调一致地运行。它还必须建立识别、分析和管理相关风险的机制43特备参考 控制活动控制活动(control activities)必须确立和执行控制政策和程序,以帮助
20、确保那些被管理层确认为对实现主体目标的风险而言所必需的活动得以有效地实施 信息与沟通信息与沟通(information and communication)围绕在这些活动周围的是信息与沟通系统。它们使主体的员工能够获得和交换那些执行、管理和控制其运营所需的信息 监控监控(monitoring)必须对整个过程进行监控,并在必要时作出修改。这样,该体系才能作出动态反应,随着情况的需要而变化44特备参考监控控 制 环 境风 险评 估控制活动信沟通息与沟通信息与45特备参考o目标和构成要素之间的关系:目标和构成要素之间有着直接的关系,目标是主体努力争取实现的东西,构成要素则代表着要实现这些目标需要什么
21、 每个构成要素行都“贯穿”并适用于所有三类目标 所有五个构成要素与每一类目标都有关联 内部控制与整个企业相关,或与它的某一部分(子公司、分部或其他业务单元,或者职能或诸如购买、生产、营销等其他活动 )相关46特备参考47特备参考o有效性如果董事会和管理层能够合理保证以下三个方面,则内部控制可以在三类目标中任何一类上可分别被判断为有效: 他们了解主体的经营目标得以实现的程度 公布的财务报表被可靠地编制 适用的法律和法规得到了遵循确定特定的内部控制体系是否有效是一种主观判断,它来自对五个构成要素是否存在并有效运行的评估 48特备参考o内部控制和管理过程管理活管理活动动内部控制内部控制主体层次目标设
22、定使命,价值观陈述战略规划确立控制环境因素活动层次目标设定风险识别和分析风险管理实施控制活动信息识别、获取和沟通监控纠正措施VVVVV49特备参考二、控制环境o控制环境设定了一个组织的基调,影响其员工的控制意识o它是内部控制的其他所有构成要素的基础,为其提供了秩序和结构50特备参考o控制环境的要素包括诚信和道德价值观 对胜任能力的要求董事会或审计委员会管理层的理念和经营风格 组织结构 权力和责任的分配 人力资源政策和实务 51特备参考o评评 价价 诚信和道德价值观诚信和道德价值观 存在并执行有关可接受的经营实务、利益冲突或期望的道德行为准则方面的行为守则和其他政策 涉及员工、供应商、客户、投资
23、者、债权人、保险公司、竞争者和审计师等(例如,管理层是否在一个较高的道德水准上开展经营,坚持其他人也必须这样,或者不重视道德问题) 达到不切实际的业绩目标尤其是短期成果的压力,以及薪酬于实现这些业绩目标挂钩的程度52特备参考 对胜任能力的要求对胜任能力的要求 正式或非正式的岗位描述,或者其他界定构成特定岗位的任务的方式 对充分履行岗位职责所需要的知识和技能的分析53特备参考董事会或审计委员会董事会或审计委员会 独立于管理层,以便提出必要的问题,即使这些问题很困难或需要调查 与首席财务官和/或会计负责人、内部审计人员和外部审计师会谈的频率和及时性 向董事会或专门委员会成员提供信息的充分性和及时性
24、,提供这些信息是为了获准监控管理层的目标和战略、企业的财务状况和经营成果,以及重大协议的条款 向董事会或审计委员会通报敏感信息、调查事项和不当行为(例如,高级官员的旅行费用、重大诉讼、监管机构的调查、贪污、受贿或滥用公司资产、违反内幕交易规则、政治性捐款、非法支付)的充分性和及时性54特备参考管理层的理念和经营风格管理层的理念和经营风格 承担的经营风险的性质,例如,管理层是否经常涉足风险特别高的投机活动,或者对在承担风险方面极其保守 高级管理层和运营管理层之间互动的频率,尤其是在地理位置偏远的地区进行运营时 对财务报告的态度和行动,包括对会计处理方法运用的争议(例如,选择稳健的还是激进的会计政
25、策;是否错用了会计原则,没有披露重要的财务信息,或者篡改或伪造记录)55特备参考组织结构组织结构 主体组织结构的适当性,以及提供必要的信息流以便管理其活动的能力 关键管理人员责任界定的适当性,以及他们对这些责任了解的充分性 相对于其责任而言,关键管理人员知识和经验的充分性56特备参考权力和责任的分配权力和责任的分配 分配责任和授予权力以便实现组织宗旨和目标、经营职能和监管要求,包括对信息系统的责任和对变革的授权 与内部控制相关的准则和程序的适当性,包括员工岗位描述 足够数量的具备与主体规模、活动和系统的性质和复杂程度相适应的必要技能的人员,尤其是与数据处理和会计职能有关的人员57特备参考人力资
26、源政策和实务人力资源政策和实务 员工聘用、培训、晋升和薪酬方面的政策和程序制定到位的程度 为应对偏离既定政策和程序所采取的补救措施的适合性 对员工候选人的背景进行核查的充分性,尤其是当企业认为对其以前的行为或活动无法接受的情况下 员工保留和晋升标准以及信息收集方法(例如,业绩评价)的适当性,以及与行为守则和其他行为指南的关系58特备参考三、风险评估o每个主体都面临着来自外部和内部的必须予以评估的一系列风险o风险评估的前提是设定在各个层次相互关联和内在一致的目标o风险评估是识别和分析影响目标实现的相关风险,为确定应该如何管理这些风险奠定基础59特备参考o目标目标设定是风险评估的前提条件。必须首先
27、有目标,管理层才能识别实现这些目标的风险,并采取必要的措施来管理风险 目标设定是管理过程的一个关键部分,尽管它不是内部控制的构成要素,但它是内部控制的先决条件和使能方法 目标的类别:经营目标,财务报告目标,合规目标目标的交叉:保护资产60特备参考o风险识别和分析风险的过程是一个持续的重复过程,它是有效的内部控制体系的关键构成要素 风险识别主体层次:外部因素,内部因素活动层次61特备参考风险分析 估计风险的严重性 评估风险发生的可能性(或频率) 考虑如何管理风险即评估需要采取何种措施应对变化62特备参考o评 价主体层次的目标 对主体目标充分陈述的程度,是否对主体期望实现的目标提供充分的指导,而且
28、特定目标直接与该主体相关 向员工和董事会传达主体目标的有效性 主体目标与各种策略的关系和一致性 主体目标、战略计划和当前环境条件与经营计划和预算的一致性63特备参考活动层次的目标 活动层次目标与主体层次的目标和战略计划的关联度 活动层次目标之间的一致性 活动层次目标与所有重要的业务流程的相关性 活动层次目标的特异性 与目标相关的资源是否充足 识别对实现主体层次的目标来说是较重要的目标(关键成功因素) 各级管理层参与目标设定,以及他们对实现目标履行诺言的程度64特备参考风险 识别外部因素造成风险的机制是否足够全面 识别内部因素造成风险的机制是否足够全面 为每个重要的活动层次目标识别重大风险 风险
29、分析流程(包括估计风险的重要性、评估风险出现的可能性并确定需要采取的行动)的彻底性和相关性65特备参考应对变化 是否存在各种机制去预测、识别并对影响实现主体或活动层次目标的日常事件或活动作出反应(通常由负责受该种变化影响最大的业务活动的管理人员来实施) 是否存在各种机制去识别变化并对变化作出反应,这种变化会给主体带来巨大和渗透性影响而且可能还需要高级管理层的关注66特备参考四、控制活动o控制活动是指为确保管理层的指令得以贯彻执行的政策和程序o它有助于确保采取必要的行动进行风险管理和保证主体层次的目标的实现o控制活动贯穿于主体的所有级别和职能部门o它包括一系列不同的活动,如批准、授权、验证、核对
30、、经营业绩评价、资产保全以及职责分离等67特备参考o控制活动的类型高层复核直接的职能活动或业务管理信息处理实物控制业绩指标职责分离68特备参考o对信息系统的控制一般控制数据中心操作控制系统软件控制接触安全控制应用系统开发和维护控制应用控制69特备参考五、信息与沟通o相关信息必须以某种形式和在一定时限内被识别、获得和传达沟通,以便可以使员工履行自己的责任o信息系统生成含有与经营、财务和合规性有关信息的报告,从而使管理运作和控制主体成为可能o信息系统不仅处理内部生成的数据,也处理有关外部事件、活动和条件状况的信息,这些信息对有资料依据的主体的决策和外部报告都是必需的70特备参考o有效的沟通也必须广
31、泛的进行,自上而下、自下而上地贯穿整个主体o所有人员都要从高级管理层获得明确的信息:必须认真对待控制责任o他们必须了解各自在内部控制体系中担任的职能,以及个人参与的控制活动与他人工作是如何相互关联的o他们必须有自下而上传递重要信息的渠道和方法o同时,也需要与外部各方如客户、供应商、监管机构和股东等建立有效的沟通71特备参考o评价信息系统 获得外部和内部信息,向管理层提供必要的报告,说明与实现主体确立目标相关的主体业绩表现 向合适的人及时提供足够详细的信息,使他们能够有有效性和效率地履行其责任 依据一份信息系统战略计划(与主体总体战略相关),发展或修改信息系统,使其为实现主体层次的目标及活动层次
32、目标服务 通过承诺提供适当的人力财力资源显示管理层对发展必要的信息系统的支持72特备参考沟通系统 传达交流员工义务和控制责任的有效性 建立沟通渠道,使员工可以举报受到怀疑的不当行为 管理层对员工建议提高生产力、强化质量或其它相似改进的方法的接受程度73特备参考 主体内部相互之间沟通是否足够(例如,采购活动与生产活动之间);信息的完整性和及时性以及是否足以使人们有效地履行其责任 与客户、供应商和其他外部有关方沟通交流不断变化的客户需求信息的渠道的开放性和有效性 外部各方已了解该主体道德准则的程度 管理层通过与客户、供应商、监管机构或其他外部有关方的沟通,采取了及时和合适的跟进措施74特备参考六、
33、监 控o对内部控制需要进行监控o监控是一个评估内部控制体系在一定时期内运行质量的过程o监控可以通过持续性的监控活动、个别评价或两者并用来实现这个过程75特备参考o持续性监控活动发生在经营的过程中,它包括日常管理和监控活动以及个人在履行其责任时采取的其他行动o个别评价的范围和频率将主要取决于风险评估和持续性监控程序的有效性o应自下而上汇报内部控制的缺陷,其中严重的问题应上报高级管理层和董事会76特备参考o持续性监控活动的例子在执行常规管理活动时,负责运营的管理层获取内部控制持续发挥功能的证据 与外界各方的沟通能够印证内部生成的信息或揭示问题 适当的组织结构和监控活动可监控内部控制职能的执行并识别
34、内部控制的缺陷 77特备参考将信息系统所记录的数据与实物资产相比较 内部及外部审计师定期为进一步加强内部控制的方法提供建议 培训研讨会、计划会议及其他会议可以向管理层提供有关内部控制是否有效的重要反馈 定期要求主体员工明确说明他们是否理解并遵守主体的员工行为守则 78特备参考o个别评价个别评价内部控制的范围和频率主要取决于被控风险的重要性以及内部控制在减少风险中的重要性内部控制自我评估缺陷报告79特备参考o评 价持续性监控在员工进行其日常活动中获得证据的程度,以此表明内部控制体系是否继续发挥作用与外部各方进行沟通确认内部生成的信息或指明问题的程度80特备参考定期对会计系统记录的金额与实物资产进
35、行核对对内部和外部审计师建议增强内部控制手段的反应培训研讨会、计划会议及其他会议向管理层提供有关内部控制是否有效的重要反馈的程度是否定期要求员工说明他们是否理解并遵守主体的员工行为守则并且正常执行了关键控制活动内部审计活动的有效性。81特备参考个别评价内部控制体系个别评价的范围和频率评价流程的适合性评价内部控制体系的方法是否合理、适当文件记录水平的适当性82特备参考报告缺陷是否有获取和报告识别出的内部控制缺陷的机制上报规程的适合性跟进行动的适合性83特备参考七、内部控制的局限o无论内部控制设计和运行的多完善,它也只能向管理层和董事会就实现主体目标提供合理保证o实现主体目标的可能性受到所有内部控
36、制体系的固有局限的影响,这些局限包括:在决策时个人判断可能会出错由于简单的误差或错误这样的失误而可能出现内部控制失效两人或多人的串通也可以绕过内部控制管理层能够凌驾于内部控制之上系统另一个限制性因素是需要考虑内部控制的相对成本和收益84特备参考八、职能与责任o主体中每一个人都对内部控制负有责任o管理层要为主体的内部控制体系负责o首席执行官最终对内部控制体系负责并应承担内部控制体系“所有权”的责任o尽管管理层的所有成员都发挥着重要作用并对控制他们各自部门的活动负责,但首席财务官和总会计师对管理层行使控制的方式起着主要的作用85特备参考o内部审计人员在内部控制体系持续有效性方面发挥着作用,但他们不
37、承担建立和维持该系统的主要责任o董事会和其审计委员会对内部控制体系提供重要的监控o外部有关方面(例如外部审计师)常常在实现主体目标方面发挥作用并提供在实施内部控制中有用的信息。但是,他们不是主体内部控制体系的一部分,也不对内部控制体系的有效性负责86特备参考第三部分 企业风险管理整合框架87特备参考一、定义二、内部环境三、目标设定四、事项识别五、风险评估六、风险应对七、控制活动八、信息与沟通九、监控十、职能与责任十一、企业风险管理的局限88特备参考一、定义o不确定性与价值不确定性与价值企业风险管理的一个基本前提是每一个主体存在的目的都是为它的利益相关者提供价值所有的主体都面临不确定性,对于管理
38、层的挑战在于确定在追求增加利益相关者价值的同时,准备承受多少不确定性 89特备参考o事项事项风险与机会风险与机会风险是一个事项将会发生并给目标实现带来负面影响的可能性机会是一个事项将会发生并给目标实现带来正面影响的可能性90特备参考o企业风险管理的定义企业风险管理的定义企业风险管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证。91特备参考o企业风险管理是: 一个过程,它持续地流动于主体之内;由组织中各个层级人员实施;应用于战略制订;贯穿于企业,在各个
39、层级和单元应用,还包括采取主体层级的风险组合观;旨在识别一旦发生将会影响主体的潜在事项,并把风险控制在风险容量以内;能够向一个主体的管理层和董事会提供合理保证;力求实现一个或多个不同类型但相互交叉的目标它只是实现结果的一种手段,并不是结果本身。92特备参考o风险容量与风险容限风险容量(risk appetite)是一个主体在追求价值的过程中所愿意承受的广泛意义的风险的数量。它反映了主体的风险管理理念,进而影响主体的文化和经营风格。 风险容限(risk tolerance)是相对于实现一项具体目标而言,可以接受的偏离程度,它通常最好采用那些与度量相关目标相同的单位进行度量。 93特备参考o四类目
40、标战略战略与高层次的目的相关,协调并支撑主体的目标;经营经营与利用主体资源的有效性和效率相关;报告报告与主体报告的可靠性相关;合规合规与主体符合适用的法律和法规相关。94特备参考o企业风险管理的构成要素企业风险管理的构成要素内部环境管理层确立关于风险的理念,并确定风险容量。内部环境为主体中的人们如何看待风险和着手控制确立了基础。所有企业的核心都是人他们的个人品性,包括诚信、道德价值观和胜任能力以及经营所处的环境。目标设定必须先有目标,管理层才能识别影响它们的实现的潜在事项。企业风险管理确保管理层采取恰当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相一致。95特备
41、参考事项识别必须识别可能对主体产生影响的潜在事项。事项识别涉及到从影响目标实现的内部或外部原因中识别潜在的事项。它包括区分代表风险的事项和代表机会的事项,以及可能二者兼有的事项。机会被反馈到管理层的战略或目标制订过程中。风险评估要对识别的风险进行分析,以便形成确定应该如何对它们进行管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估,也要对剩余风险进行评估,评估要考虑到风险的可能性和影响。96特备参考风险应对员工识别和评价可能的风险应对,包括回避、承担、降低和分担风险。管理层选择一系列措施使风险与主体的风险容限和风险容量相协调。控制活动制订和实施政策与程序以帮助确保管理层所选择的风
42、险应对得以有效实施。97特备参考信息与沟通相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。员工获得有关他们的职能和责任的清晰的沟通。监控对企业风险管理进行全面监控,必要时加以修正。通过这种方式,它能够动态地反应,根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的个别评价或者两者相结合来完成。98特备参考目标与构成要素之间的关系目标与构成要素之间的关系内 部 环 境战 略目 标 设 定事 项 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监
43、控经 营报 告合规 子公司业务单元分 部企业层次99特备参考o有效性有效性尽管企业风险管理是一个过程,它的有效性却是在某个时点上的一种状态或情况确定企业风险管理是否“有效”,是在对八个构成要素是否存在和有效运行的评估的基础之上所作出的判断如果这些构成要素存在且正常运行,那么就可能没有重大缺陷,而风险可能已经被控制在主体的风险容量以内100特备参考o涵盖内部控制涵盖内部控制内部控制是企业风险管理不可分割的一部分企业风险管理框架涵盖了内部控制,从而构建一个更强有力的概念和管理工具101特备参考o企业风险管理与管理过程企业风险管理与管理过程企业风险管理是管理过程的一部分 但是并不是管理层所做的每一件
44、事情都是企业风险管理的一部分 102特备参考o管理层在决策和相关的管理活动中所运用的许多判断,尽管是管理过程的一部分,但是并不是企业风险管理的一部分。例如:确保有一个恰当的目标设定过程是企业风险管理的一个重要的构成要素,但是管理层所选定的特定目标并不是企业风险管理的一部分根据对风险的恰当评估去应对风险是企业风险管理的一部分,但是所选定的具体风险应对和主体资源的相应配置却不是确定和执行控制活动以帮助确保管理层选择的风险应对得以有效实施是企业风险管理的一部分,但是所选定的特定的控制活动却不是103特备参考二、内部环境o风险管理理念风险管理理念o风险容量风险容量o董事会董事会o诚信与道德价值观诚信与
45、道德价值观o对胜任能力的要求对胜任能力的要求o组织结构组织结构o权力和职责的分配权力和职责的分配o人力资源准则人力资源准则104特备参考o风险管理理念风险管理理念主体的风险管理理念代表着决定主体如何考虑所有活动中的风险的共同的信念和态度它反映了主体的价值观,影响它的文化和经营风格它影响着如何应用企业风险管理的构成要素,包括如何识别事项、所承受的风险的类型,以及如何对它们进行管理它被很好地确立和理解,并为主体的员工所信奉它体现在政策描述、口头和书面沟通以及决策之中管理层不仅通过语言而且通过日常行动来强化这种理念105特备参考o风险容量风险容量主体的风险容量反映了主体的风险管理理念,并且影响着文化
46、和经营风格它在战略制订的过程中予以考虑,使战略与风险容量相协调106特备参考o董事会董事会董事会是积极的,它拥有一定程度的管理、技术和其他专长,并且具有履行其监督职责所需的思维方式它准备质疑和仔细审查管理层的活动,提出不同的观点,以及在遇到不当行为时采取行动独立的外部董事至少占多数它提供对企业风险管理的监督,并且知道和同意主体的风险容量107特备参考o诚信与道德价值观诚信与道德价值观主体的行为准则反映了诚信和道德价值观道德价值观不仅通过有关什么是对的和错的的明确指南来进行沟通,而且是与其共存的诚信和道德价值观通过正式的行为守则予以沟通向上的沟通渠道存在于员工感觉带来相关信息很舒服的地方对于违反
47、守则的员工进行处罚,鼓励员工报告可疑的违反行为的机制,并针对有意不报告违反行为的员工采取惩戒措施诚信和道德价值观通过管理层的行动和他们树立的榜样予以沟通108特备参考o对胜任能力的要求对胜任能力的要求主体中的人员的胜任能力反映完成指定任务所需的知识和技能管理层要协调胜任能力和成本 109特备参考o组织结构组织结构组织结构界定职责和责任的关键范围它确立了报告的途径确定组织结构要考虑主体的规模和活动的性质它使有效的企业风险管理成为可能110特备参考o权力和职责的分配权力和职责的分配权力和职责的分配确定了个人和团队被授权和鼓励采取行动去处理问题和解决问题的程度,它还为权力提供了限制分配确立了报告关系
48、和授权规程描述恰当经营实务的政策,关键员工的知识和经验,以及相关的资源个人知道他们的行动是如何相互关联的以及对实现目标的贡献111特备参考o人力资源准则人力资源准则针对雇用、定位、培训、评价、指导、晋升、薪酬和补偿措施的准则,推动期望的诚信水平、道德行为和胜任能力惩戒措施传递对期望行为的违反将不会被宽宥的信息112特备参考三、目标设定o战略目标战略目标战略目标是高层次的目标,它与主体的使命/愿景相协调,并支持后者战略目标反映了管理层就主体如何努力为它的利益相关者创造价值所作出的选择113特备参考o相关目标相关目标经营目标这些目标与主体经营的有效性和效率有关,包括业绩和赢利目标和保护资源不受损失
49、。它们因管理层对结构和业绩的选择而异。报告目标这些目标与报告的可靠性有关。它们包括内部和外部报告,可能涉及到财务和非财务信息。合规目标这些目标与符合相关法律和法规有关。它们取决于外部因素,在一些情况下对所有主体而言都很类似,而在另一些情况下则在一个行业内有共性。114特备参考o目标的交叉目标的交叉保护资产/资源o目标的实现 报告和合规目标的实现更多的是在主体的控制范围之内 战略目标和经营目标的实现并不完全在主体的控制范围之内 对于战略和经营目标,企业风险管理能够合理保证管理层和履行监督职责的董事会及时地知悉主体实现这些目标的程度 115特备参考四、事项识别o事事 项项事项是源于内部或外部的影响
50、战略实施或目标实现的事故或事件事项可能带来正面或负面影响,或者两者兼而有之o影响因素影响因素外部因素内部因素116特备参考o外部因素经济自然环境政治社会技术117特备参考o内部因素基础结构人员流程技术118特备参考o事项识别技术事项目录(事项目录(event inventories)这些是一个特定行业内的公司所共通的潜在事项或者不同行业之间所共通的特定过程或活动的详细清单。软件产品能够列出共性潜在事项的有关清单,一些主体利用它作为事项识别的出发点。例如,从事一项软件开发项目的公司编制了一份目录,详细列示了与软件开发项目有关的共性事项。119特备参考内部分析(内部分析(internal anal
51、ysis)它可以作为常规性经营规划循环过程的一部分来完成,典型的是通过一个业务单元的员工会议。内部分析有时利用来自其他利益相关者(客户、供应商、其他业务单元)的信息,或者针对具体问题征询外部专家(内部或外部职能机构的专家或内部审计师)的意见。例如,一家正在考虑引入一个新产品的公司利用它自己的历史经验以及外部市场调研来识别那些曾经影响竞争者产品成功的事项。120特备参考扩大或底限触发器(扩大或底限触发器(escalation or threshold triggers)这些触发器通过将现在的交易或事项与预先确定的标准进行对比,提醒管理层关注的领域。一旦被触发,可能就需要对一个事项进行进一步的评估
52、或者立即予以应对。例如,一家公司的管理层针对新的营销或广告计划监控市场上的销售量,并根据其结果重新调配资源。另一家公司的管理层追踪竞争者的定价结构,并考虑在达到一个特定的底限时变更自己的价格。121特备参考推进式的研讨与访谈(推进式的研讨与访谈(facilitated workshops and interviews)这些技术通过经过设计的讨论,利用管理层、员工和其他利益相关者所积累的知识和经验来识别事项。推进者主导有关可能会影响主体或单元目标实现的事项的讨论。例如,一名财务主计长与会计团队的成员一起召开了一个研讨会,来识别那些对主体的对外报告目标有影响的事项。通过结合团队成员们的知识和经验,
53、能够识别出否则就会被遗漏的重要事项。 122特备参考过程流动分析(过程流动分析(process flow analysis)这种技术考虑构成一个过程的输入、任务、责任和输出的组合。通过考虑影响一个过程的投入或其中的活动的内部和外部因素,主体能识别那些可能影响过程目标实现的事项。例如,一家医学实验室绘制了血液样本的接收和测试流程图。它利用流程图来考虑那些可能影响输入、任务和责任的因素的范围,识别与样本标注、过程中的传递以及人员换班变动有关的风险。123特备参考首要事项指标(首要事项指标(leading event indicators)主体通过监控与事项有相互关系的数据,来识别可能导致一个事项发
54、生的情形是否存在。例如,金融机构很早就认识到延迟偿还贷款与最终的贷款违约之间的相互关系,以及及早干预的积极作用。对偿还方式的监控使违约的可能性得以通过及时的行动而降低。124特备参考损失事项数据方法(损失事项数据方法(loss event data methodologies)有关过去单个损失事项的数据库是识别趋势和根本原因的一个有用的信息来源。一旦确定了根本原因,管理层就会发现它能比致力于单个事项更加有效地进行评估和处理。例如,一家经营大型车队的公司维护了一个事故投诉的数据库,通过分析发现事故的百分比在数量和货币金额上不成比例,它与特定单元、地域和年龄结构的驾驶员工有关联。这个分析使管理层能
55、够确定事项的根本原因并采取行动。 125特备参考o区分风险和机会区分风险和机会具有负面影响的事项代表风险,它需要管理层的评估和应对 具有正面影响或者抵消风险的负面影响的事项代表机会代表机会的事项被反馈到管理层的战略或目标制订过程中,以便规划行动去抓住机会。抵消风险的负面影响的事项在管理层的风险评估和应对中予以考虑126特备参考五、风险评估o固有风险/剩余风险管理层既要考虑固有风险,也要考虑剩余风险固有风险是管理层没有采取任何措施来改变风险的可能性或影响的情况下,一个主体所面临的风险剩余风险是在管理层的风险应对之后所残余的风险一旦风险应对已经到位,管理层接下来就要考虑剩余风险127特备参考o估计
56、可能性和影响估计可能性和影响可能性表示一个给定事项将会发生的或然率影响表示给定事项一旦发生所产生的后果 128特备参考o评估技术评估技术对标(对标(benchmarking)作为一组主体之间的协作过程,对标着眼于具体的事项或过程,采用共通的标准比较计量指标和结果,并且识别改进的机会。建立有关事项、流程和计量指标的数据来比较业绩。一些公司利用对标来在整个行业中评估潜在事项的可能性和影响。129特备参考概率模型概率模型概率模型根据特定的假设将一系列事项以及所造成的影响与这些事项的可能性联系起来。在历史数据或反映对未来行为的假设的模拟结果的基础上,对可能性和影响进行评估。概率模型的例子包括风险价值、
57、风险现金流量、风险盈利以及信贷和经营损失分布的计算等。概率模型可以采用不同的时间范围,以估计诸如不同时期金融工具的价值范围等结果。概率模型还可以用来评估期望的或平均的结果,以及极端的或非期望的影响。130特备参考非概率模型非概率模型非概率模型在估计没有量化相关可能性的事项的影响时,利用主观的假设。根据历史或模拟数据和对未来行为的假设对事项的影响进行评估。非概率模型的例子包括敏感性指标、压力测试以及情景分析。 131特备参考六、风险应对o回避(avoidance)退出会产生风险的活动。风险回避可能包括退出一条产品线、拒绝向一个新的地区市场拓展,或者卖掉一个分部。o降低(reduction)采取措
58、施降低风险的可能性或影响,或者同时降低两者。它几乎涉及各种日常的经营决策。o分担(sharing)通过转移来降低风险的可能性或影响,或者分担一部分风险。常见的技术包括购买保险产品、从事套期保值交易(hedging transactions)或外包一项业务活动。o承受(acceptance)不采取任何措施去干预风险的可能性或影响。132特备参考o在确定风险应对的过程中,管理层应该考虑下列事项:潜在应对对风险的可能性和影响的效果以及哪个应对方案与主体的风险容限相协调;潜在应对的成本与效益;除了应付具体的风险之外,实现主体目标可能的机会。133特备参考o选定的应对选定的应对管理层所选定的应对旨在使预
59、期的风险可能性和影响处于风险容限之内管理层要考虑一项应对可能导致的额外风险o组合观组合观管理层要从整个主体范围即组合的角度考虑风险管理层要确定主体的剩余风险是否与它的总体风险容量相称134特备参考七、控制活动o控制活动的类型高层审核(高层审核(top-level reviews)高级管理层对照预算、预测、以前期间和竞争者来审核实际的业绩。直接的职能或活动管理(直接的职能或活动管理(direct functional or activity management)负责职能机构或活动的管理人员审核业绩报告。 135特备参考信息处理(信息处理(information processing)实施一系列
60、的控制来检查交易的准确性、完整性和授权。输入的数据要经过联机编辑核对(on-line edit checks)或与经批准的控制文件相匹配。 实物控制(实物控制(physical controls)对设备、存货、证券、现金和其他资产进行实物性的保护,定期盘点,并与控制记录上所反映的数额相比较。 136特备参考业绩指标(业绩指标(performance indicators)把不同系列的经营的或者财务的数据彼此联系起来,与对相互关系的分析以及调查和矫正措施一起,构成了一项控制活动。 职责分离(职责分离(segregation of duties)把不同人员的职责予以分开或隔离,以便降低错误或舞弊的
61、风险。 137特备参考o对信息系统的控制对信息系统的控制一般控制包括对信息技术管理、信息技术基础结构、安全管理和软件获取、开发和维护的控制应用控制直接关注数据获取和处理的完整性、准确性、授权和有效性 138特备参考o一般控制信息技术管理信息技术基础结构安全管理软件获取、开发和维护139特备参考o应用控制平衡控制活动核对数位预先确定数据清单数据合理性测试逻辑测试140特备参考八、信息与沟通o信息的类型内部/外部正式/非正式历史数据/当前数据141特备参考o信息的质量内容是否恰当信息是否处于正确的详细程度?信息是否及时需要时是否有信息?信息是不是当前的是不是最新可利用的信息?信息是否准确数据是否正
62、确?信息是否易于取得需要的人是否容易取得信息?142特备参考o内部沟通应传达的内容有效的企业风险管理的重要性和相关性;主体的目标;主体的风险容量和风险容限;一套通用的风险语言;员工在实现和支撑企业风险管理的构成要素中的职能与责任。143特备参考o外部沟通客户供应商利益相关者监管机构财务分析师144特备参考九、监控o持续监控活动o个别评价o报告缺陷145特备参考o持续监控活动持续监控活动监控活动包含在主体的正常的、反复的经营活动之中,在正常的业务经营过程中加以执行它们被实时地执行,并且动态地对变化的情况作出反应146特备参考o个别评价个别评价个别评价直接关注企业风险管理的有效性,并提供了一个考察
63、持续监控活动的持续有效性的机会评价者了解所着眼的主体的各项活动和企业风险管理的各个构成要素评价者以管理层的既定标准为背景来分析企业风险管理的设计和所执行的测试的结果,以确定企业风险管理是否针对规定的目标提供了合理保证147特备参考o报告缺陷报告缺陷对于从内部和外部来源所报告的缺陷,要仔细地考虑它们对企业风险管理的影响,并采取恰当的矫正措施所有已识别的影响主体制订和执行其战略和实现其既定目标的能力的缺陷都要报告给那些被安排来采取必要措施的人员不仅要调查和矫正所报告的交易或事项,而且还要重新评价潜在的过失所属的程序制订规程以确定一个特定的层级为了有效地作出决策需要什么信息148特备参考十、职能与责
64、任o董事会董事会董事会知道管理层在组织中建立有效的风险管理的程度它知道并同意主体的风险容量它审核风险组合观并对照风险容量对其进行考虑知悉最重大的风险以及管理层是否在恰当地应对149特备参考o管理层管理层首席执行官最终对企业风险管理负责他/她确保存在积极的内部环境,并且企业风险管理的所有构成要素都存在掌管组织中各单元的高级管理人员负责管理与他们所在的单元的目标相关的风险他们指导企业风险管理的应用,以确保应用与风险容限相一致每位管理人员都就他/她在企业风险管理中的那一部分对更高一个层级负责,而CEO最终对董事会负责150特备参考o风险官员o财务执行官o内部审计师o其他内部人员151特备参考o外部审
65、计师o立法和监管机构o与主体有业务往来的外部方o外包服务提供者o财务分析师、债券评级机构和新闻媒体152特备参考十一、企业风险管理的局限o三种表现第一,风险与未来有关,而未来本来就具有不确定性。第二,企业风险管理即使是有效的企业风险管理针对不同的目标在不同的层次上运行。对于战略和经营目标而言,企业风险管理仅仅能够帮助确保管理层以及起监督作用的董事会及时地认识到该主体朝着实现这些目标前进的程度。但是它甚至不能为目标本身的实现提供合理保证。第三,企业风险管理不能对任何一类目标提供绝对保证。153特备参考o五个方面的原因判断故障串通成本与效益管理层凌驾154特备参考第四部分 内部控制框架与企业风险管
66、理框架之间的关系155特备参考比内部控制更广泛比内部控制更广泛o内部控制被涵盖在企业风险管理之内,是其不可分割的一部分。企业风险管理比内部控制更广泛,拓展和细化了内部控制,以便形成一个更全面地关注风险的更加强有力的概念提炼。内部控制整合框架本身对于那些着眼于内部控制的主体和其他方面仍旧有效。156特备参考目标的类别目标的类别o企业风险管理整合框架增加了另一类目标,即战略目标,它处于比其他目标更高的层次。战略目标来自一个主体的使命或愿景,因而经营、报告和合规目标必须与其相协调。企业风险管理应用在战略制订以及朝着实现其他三类目标迈进的过程中。157特备参考o内部控制框架中的报告被定义为与公开的财务
67、报表的可靠性有关。在企业风险管理框架中,报告被大大地拓展为包含主体所编制的所有报告,遍及对内报告和对外报告。它们包括管理层内部使用的报告,以及那些发布给外部方面的报告,包括监管申报材料和给其他利益相关者的报告。并且,范围从财务报表拓展为不仅包含更加广泛的财务信息,而且还包含非财务信息。158特备参考o企业风险管理框架引入了风险容量和风险容限的概念。风险容量是一个主体在追求其使命/愿景的过程中所愿意承受的广泛意义的风险的数量。它在战略制订和相关目标的选择中起到指向标的作用。风险容限是相对于目标的实现而言所能接受的偏离程度。在确定风险容限的过程中,管理层考虑相关目标的相对重要性,并使风险容限与风险
68、容量相协调。 159特备参考组合观组合观o内部控制框架中没有预期到的一个概念是风险的组合观。除了在分别考虑实现主体目标的过程中关注风险之外,还有必要从“组合”的角度考虑复合风险。160特备参考构成要素 o通过更多地关注风险,企业风险管理框架拓展了内部控制框架的风险评估要素,创造了四个构成要素目标设定(它在内部控制中是先决条件)、事项识别、风险评估和风险应对。161特备参考内部环境 o在讨论环境要素时,企业风险管理框架讨论了一个主体的风险管理理念,它是决定一个主体如何考虑风险、反映其价值观并影响其文化和经营风格的一系列共同的信念和态度。如前所述,本框架包含了一个主体的风险容量这个概念,它由更具体
69、的风险容限所支撑。o由于董事会及其组成的突出重要性,企业风险管理框架拓展了内部控制框架中至少要有多名独立董事的呼吁即至少要有两名独立董事,指出为了使企业风险管理有效,董事会中必须有至少占多数的独立外部董事。 162特备参考事项识别 o企业风险管理和内部控制框架都承认风险发生在主体的各个层次上,并且来源于许多内部和外部因素。而且,两个框架都以对目标实现的潜在影响为背景来考虑风险识别。o企业风险管理框架讨论潜在事项的概念,将事项定义为影响战略执行或目标实现的从内部或外部所发生的事故或事项。有着正面影响的潜在事项代表机会,而那些有着负面影响的则代表风险。企业风险管理涉及到运用那些既考虑过去和新生的趋
70、势、也考虑是什么引发了该事项的技术的组合来识别潜在的事项。 163特备参考风险评估风险评估o尽管内部控制和企业风险管理框架都要求从一个给定的风险将会发生的可能性和它的潜在影响的角度来评估风险,但是企业风险管理框架建议透过一个更敏锐的视角来观察风险评估。要从固有的和剩余的风险的角度,最好采用与为和该风险相关的目标而构建的计量单位相同的单位来表述风险。时间范围应该与主体的战略和目标相一致,而且如果可能的话,应该与可观测的数据相一致。企业风险管理框架还要求关注相互关联的风险,它反映了一个单独的事项可能会怎样产生多重风险。o企业风险管理包含了管理层树立主体层次的组合观的需要。负责业务单元、职能机构、流
71、程或其他活动的管理人员建立了对各自单元的风险的复合评估,主体层次的管理层就能够从“组合”的角度去考虑风险。164特备参考风险应对 o企业风险管理框架确定了四类风险应对回避、降低、分担和承受。作为企业风险管理的一部分,管理层从这些类别中考虑潜在的应对,并以达到与主体的风险容限相协调的剩余风险水平为目的来考虑这些应对。个别或整体地考虑了对风险的应对之后,管理层要考虑整个主体范围内风险应对的累积效果。 165特备参考控制活动 o两个框架都引入了控制活动,以帮助确保管理层的风险应对得以实施。企业风险管理框架明确地指出,在某些情况下控制活动本身也起到了风险应对的作用。166特备参考信息与沟通 o企业风险
72、管理框架拓展了内部控制的信息与沟通要素,强调对来自过去、现在和潜在的未来事项的数据的关注。历史性数据使主体得以对照目标、计划和期望来追踪实际的业绩,并提供关于主体在不同的条件下在过去期间的表现方面的认识。现在或当前状况下的数据提供了重要的补充信息,而有关潜在的未来事项的数据和基本要素使信息分析更加完善。信息基础结构获取和搜集与主体识别事项、评估和应对风险以及保持在其风险容量范围之内的需要相符的时间范围和详细程度的数据。o内部控制框架中有关在正常的报告途径之外的其他沟通渠道的存在性的讨论,在企业风险管理框架中更受强调,后者指出有效的风险管理需要这种渠道。167特备参考职能与责任 o两个框架都集中关注作为内部控制和企业风险管理的一部分或为其提供重要信息的不同方面的职能与责任。企业风险管理框架描述了风险官员的职能与责任,并扩充了主体的董事会的职能。168特备参考谢谢大家!谢谢大家!169特备参考
