內(nèi)部控制的框架體系.ppt

公司治理與內(nèi)部控制,第三章 內(nèi)部控制的框架體系 （內(nèi)部控制要素）,第一節(jié) 內(nèi)部控制要素 第二節(jié) 內(nèi)部環(huán)境 第三節(jié) 風險評估 第四節(jié) 控制活動 第五節(jié) 信息與溝通 第六節(jié) 內(nèi)部監(jiān)督,我國企業(yè)內(nèi)部控制基本規(guī)范第三條指出：“本規(guī)范所稱內(nèi)部控制，是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。”并規(guī)范了基于企業(yè)全面風險管理導向的內(nèi)部控制系統(tǒng)五要素。,3.1 內(nèi)部控制要素,根據(jù)系統(tǒng)論、控制論和信息論的思想，我國企業(yè)內(nèi)部控制基本規(guī)范把企業(yè)內(nèi)部控制系統(tǒng)劃分為相互關聯(lián)的5個要素，以充分發(fā)揮內(nèi)部控制的“免疫”功能。 企業(yè)設計基于全面風險管理導向的內(nèi)部控制系統(tǒng)時必須體現(xiàn)5個要素的要求。,3.1 內(nèi)部控制要素,我國企業(yè)內(nèi)部控制基本規(guī)范第五條指出：企業(yè)建立與實施有效的內(nèi)部控制，應當包括下列要素： （一）內(nèi)部環(huán)境。內(nèi)部環(huán)境是企業(yè)實施內(nèi)部控制的基礎，一般包括治理結構、機構設置及權責分配、內(nèi)部審計、人力資源政策、企業(yè)文化等。 （二）風險評估。風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關的風險，合理確定風險應對策略。,3.1 內(nèi)部控制要素,（三）控制活動?？刂苹顒邮瞧髽I(yè)根據(jù)風險評估結果，采用相應的控制措施，將風險控制在可承受度之內(nèi)。 （四）信息與溝通。信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通。 （五）內(nèi)部監(jiān)督。內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查，評價內(nèi)部控制的有效性，發(fā)現(xiàn)內(nèi)部控制缺陷，應當及時加以改進。,五要素與八要素比較圖,3.2 要素一：內(nèi)部環(huán)境,我國企業(yè)內(nèi)部控制基本規(guī)范第二章第十一條至第十九條明確了內(nèi)部環(huán)境的具體內(nèi)容。,3.2 要素一：內(nèi)部環(huán)境,一、公司治理結構和議事規(guī)則 企業(yè)內(nèi)部控制基本規(guī)范第十一條指出：企業(yè)應當根據(jù)國家有關法律法規(guī)和企業(yè)章程，建立規(guī)范的公司治理結構和議事規(guī)則，明確決策、執(zhí)行、監(jiān)督等方面的職責權限，形成科學有效的職責分工和制衡機制。 股東（大）會享有法律法規(guī)和企業(yè)章程規(guī)定的合法權利，依法行使企業(yè)經(jīng)營方針、籌資、投資、利潤分配等重大事項的表決權。,3.2 要素一：內(nèi)部環(huán)境,董事會對股東（大）會負責，依法行使企業(yè)的經(jīng)營決策權。 監(jiān)事會對股東（大）會負責，監(jiān)督企業(yè)董事、經(jīng)理和其他高級管理人員依法履行職責。 經(jīng)理層負責組織實施股東（大）會、董事會決議事項，主持企業(yè)的生產(chǎn)經(jīng)營管理工作。,3.2 要素一：內(nèi)部環(huán)境,同時，第十二條指出：董事會負責內(nèi)部控制的建立健全和有效實施。監(jiān)事會對董事會建立與實施內(nèi)部控制進行監(jiān)督。經(jīng)理層負責組織領導企業(yè)內(nèi)部控制的日常運行。 企業(yè)應當成立專門機構或者指定適當?shù)臋C構具體負責組織協(xié)調內(nèi)部控制的建立實施及日常工作。,3.2 要素一：內(nèi)部環(huán)境,【解讀】公司治理結構的要旨在于明確劃分股東、董事會和經(jīng)理人員各自權利、責任和利益，形成三者之間的制衡關系。以國外現(xiàn)代公司為例，其公司治理結構是現(xiàn)代法人產(chǎn)權制度下的產(chǎn)物，其基本特征是： （1）內(nèi)部機構權責分明，相互制衡（“三權分立，相互制衡 ”）。 （2）委托與代理，縱向授權。 （3）激勵與約束機制并存。,3.2 要素一：內(nèi)部環(huán)境,二、審計委員會 企業(yè)內(nèi)部控制基本規(guī)范第十三條指出：企業(yè)應當在董事會下設立審計委員會。審計委員會負責審查企業(yè)內(nèi)部控制，監(jiān)督內(nèi)部控制的有效實施和內(nèi)部控制自我評價情況，協(xié)調內(nèi)部控制審計及其他相關事宜等。 審計委員會負責人應當具備相應的獨立性、良好的職業(yè)操守和專業(yè)勝任能力。,3.2 要素一：內(nèi)部環(huán)境,三、內(nèi)部機構設置、崗位職責、業(yè)務流程 企業(yè)內(nèi)部控制基本規(guī)范第十四條指出：企業(yè)應當結合業(yè)務特點和內(nèi)部控制要求設置內(nèi)部機構，明確職責權限，將權利與責任落實到各責任單位。 企業(yè)應當通過編制內(nèi)部管理手冊，使全體員工掌握內(nèi)部機構設置、崗位職責、業(yè)務流程等情況，明確權責分配，正確行使職權。,3.2 要素一：內(nèi)部環(huán)境,四、內(nèi)部審計 企業(yè)內(nèi)部控制基本規(guī)范第十五條指出：企業(yè)應當加強內(nèi)部審計工作，保證內(nèi)部審計機構設置、人員配備和工作的獨立性。 內(nèi)部審計機構應當結合內(nèi)部審計監(jiān)督，對內(nèi)部控制的有效性進行監(jiān)督檢查。內(nèi)部審計機構對監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制缺陷，應當按照企業(yè)內(nèi)部審計工作程序進行報告；對監(jiān)督檢查中發(fā)現(xiàn)的內(nèi)部控制重大缺陷，有權直接向董事會及其審計委員會、監(jiān)事會報告。,3.2 要素一：內(nèi)部環(huán)境,五、人力資源政策 企業(yè)內(nèi)部控制基本規(guī)范第十六條指出：企業(yè)應當制定和實施有利于企業(yè)可持續(xù)發(fā)展的人力資源政策。人力資源政策應當包括下列內(nèi)容： （一）員工的聘用、培訓、辭退與辭職。 （二）員工的薪酬、考核、晉升與獎懲。 （三）關鍵崗位員工的強制休假制度和定期崗位輪換制度。,3.2 要素一：內(nèi)部環(huán)境,（四）掌握國家秘密或重要商業(yè)秘密的員工離崗的限制性規(guī)定。 （五）有關人力資源管理的其他政策。 六、職業(yè)道德修養(yǎng)和專業(yè)勝任能力 企業(yè)內(nèi)部控制基本規(guī)范第十七條指出：企業(yè)應當將職業(yè)道德修養(yǎng)和專業(yè)勝任能力作為選拔和聘用員工的重要標準，切實加強員工培訓和繼續(xù)教育，不斷提升員工素質。,3.2 要素一：內(nèi)部環(huán)境,七、企業(yè)文化、價值觀和社會責任感 企業(yè)內(nèi)部控制基本規(guī)范第十八條指出：企業(yè)應當加強文化建設，培育積極向上的價值觀和社會責任感，倡導誠實守信、愛崗敬業(yè)、開拓創(chuàng)新和團隊協(xié)作精神，樹立現(xiàn)代管理理念，強化風險意識。 董事、監(jiān)事、經(jīng)理及其他高級管理人員應當在企業(yè)文化建設中發(fā)揮主導作用。 企業(yè)員工應當遵守員工行為守則，認真履行崗位職責。,3.2 要素一：內(nèi)部環(huán)境,八、法制觀念 企業(yè)內(nèi)部控制基本規(guī)范第十九條指出： 企業(yè)應當加強法制教育，增強董事、監(jiān)事、經(jīng)理及其他高級管理人員和員工的法制觀念，嚴格依法決策、依法辦事、依法監(jiān)督，建立健全法律顧問制度和重大法律糾紛案件備案制度。,【注】關于內(nèi)部環(huán)境類內(nèi)部控制應用指引,內(nèi)部環(huán)境是企業(yè)實施內(nèi)部控制的基礎，支配著企業(yè)全體員工的內(nèi)控意識，影響著全體員工實施控制活動和履行控制責任的態(tài)度、認識和行為。內(nèi)部環(huán)境類指引有5項，包括： 企業(yè)內(nèi)部控制應用指引第1號：組織架構 企業(yè)內(nèi)部控制應用指引第2號：發(fā)展戰(zhàn)略 企業(yè)內(nèi)部控制應用指引第3號：人力資源 企業(yè)內(nèi)部控制應用指引第4號：社會責任 企業(yè)內(nèi)部控制應用指引第5號：企業(yè)文化,3.3 要素二：風險評估,我國企業(yè)內(nèi)部控制基本規(guī)范第三章第二十條至第二十七條明確了風險評估的具體內(nèi)容。,3.3 要素二：風險評估,企業(yè)內(nèi)部控制基本規(guī)范第二十條指出：企業(yè)應當根據(jù)設定的控制目標，全面系統(tǒng)持續(xù)地收集相關信息，結合實際情況，及時進行風險評估。 一、風險識別 企業(yè)內(nèi)部控制基本規(guī)范第二十一條指出：企業(yè)開展風險評估，應當準確識別與實現(xiàn)控制目標相關的內(nèi)部風險和外部風險，確定相應的風險承受度。 風險承受度是企業(yè)能夠承擔的風險限度，包括整體風險承受能力和業(yè)務層面的可接受風險水平。,3.3 要素二：風險評估,（一）風險的本質 風險是未來結果對期望的偏離，即波動性。任何偏離控制目標的因素（有利或不利）都是風險的表現(xiàn)，這與金融投資普遍以收益率方差（或標準差）作為風險計量指標的主流分析框架相符。,3.3 要素二：風險評估,（二）風險的分類 為了有效識別和管理風險，有必要對企業(yè)所面臨的風險進行明確分類。根據(jù)不同的分類標準可以將風險劃分為不同的類型。 可見，設立期望目標是風險評估的前提條件，只有先確立了目標，管理層才能針對目標確定風險并采取必要的行動來管理風險。,3.3 要素二：風險評估,1.按風險誘發(fā)的原因分類 按誘發(fā)風險的原因，巴塞爾委員會將風險劃分為八大類： （1）信用風險，是指債務人或交易對手未能履行合同所規(guī)定的義務或信用質量發(fā)生變化，影響金融產(chǎn)品價值，從而給債權人或金融產(chǎn)品持有人造成經(jīng)濟損失的風險。 信用風險被認為是最為復雜的風險種類，通常包括違約風險、結算風險等主要形式。,3.3 要素二：風險評估,（2）市場風險，是指由于市場價格（包括金融資產(chǎn)價格和商品價格）波動而導致企業(yè)遭受損失的風險。它可以分為利率風險、股票風險、匯率風險和商品風險四種，其中利率風險尤為重要。,3.3 要素二：風險評估,（3） 操作風險，是指由于人為錯誤、技術缺陷或不利的外部事件所造成損失的風險。操作風險可以分為由人員、系統(tǒng)、流程和外部事件所引發(fā)的四類風險，并由此可以分為七種表現(xiàn)形式：內(nèi)部欺詐，外部欺詐，聘用員工做法和工作場所安全性，客戶、產(chǎn)品及業(yè)務做法，實物資產(chǎn)損壞，業(yè)務中斷和系統(tǒng)失靈，交割及流程管理。 操作風險具有普遍性和非營利性。,3.3 要素二：風險評估,（4）流動性風險，是指企業(yè)無力為負債的減少或資產(chǎn)的增加提供融資而造成損失或破產(chǎn)的風險。流動性風險包括資產(chǎn)流動性風險和負債流動性風險。 流動性風險與信用風險、市場風險和操作風險相比，形成的原因更加復雜和廣泛，通常被視為一種綜合性風險。 （5）國家風險，是指經(jīng)濟主體在與非本國居民進行國際經(jīng)貿(mào)與金融往來時，由于別國經(jīng)濟、政治和社會等方面的變化而遭受損失的風險。,3.3 要素二：風險評估,（6）聲譽風險，是指由于意外事件，企業(yè)的政策調整、市場表現(xiàn)或日常經(jīng)營活動所產(chǎn)生的負面結果，可能對企業(yè)“聲譽”這種無形資產(chǎn)造成損失的風險。 （7）法律風險，即企業(yè)在日常經(jīng)營活動或各類交易發(fā)生的過程中，因為無法滿足或違反法律要求，導致企業(yè)不能履行合同、發(fā)生爭議訴訟或其他法律糾紛，而可能給企業(yè)造成經(jīng)濟損失的風險。,3.3 要素二：風險評估,（8）戰(zhàn)略風險，是指企業(yè)在追求短期商業(yè)目的和長期發(fā)展目標的系統(tǒng)化管理過程中，不適當?shù)奈磥戆l(fā)展規(guī)劃和戰(zhàn)略決策可能威脅企業(yè)未來發(fā)展的潛在風險。美國貨幣監(jiān)理署（OCC）認為，戰(zhàn)略風險是指經(jīng)營決策錯誤，或決策執(zhí)行不當，或對行業(yè)變化束手無策，而對企業(yè)的收益或資本形成現(xiàn)實和長遠的影響。,3.3 要素二：風險評估,2.風險的其他分類 （1）按風險事故可以將風險劃分為：經(jīng)濟風險、政治風險、社會風險，自然風險和技術風險； （2）按損失結果可以將風險劃分為：純粹風險和投機風險； （3）按是否能夠量化可以將風險劃分為：可量化風險和不可量化風險；,3.3 要素二：風險評估,（4）按風險發(fā)生的范圍可以將風險劃分為：系統(tǒng)性風險和非系統(tǒng)性風險。 （5）按風險的可預見性可以將風險劃分為：預期風險、非預期風險、意外風險。 預期風險與非預期風險之間最重要的概念性區(qū)別是：預期風險是在一般正常情況下，在一定時期可預見的平均水平；非預期風險具有突發(fā)性、復雜性、持續(xù)可變性、多層次性、模糊性等特點。,3.3 要素二：風險評估,（三）風險識別的內(nèi)外部因素 企業(yè)內(nèi)部控制基本規(guī)范第二十二條指出，企業(yè)識別內(nèi)部風險，應當關注下列因素： （1）董事、監(jiān)事、經(jīng)理及其他高級管理人員的職業(yè)操守、員工專業(yè)勝任能力等人力資源因素。 （2）組織機構、經(jīng)營方式、資產(chǎn)管理、業(yè)務流程等管理因素。,3.3 要素二：風險評估,（3）研究開發(fā)、技術投入、信息技術運用等自主創(chuàng)新因素。 （4）財務狀況、經(jīng)營成果、現(xiàn)金流量等財務因素。 （5）營運安全、員工健康、環(huán)境保護等安全環(huán)保因素。 （6）其他有關內(nèi)部風險因素。,3.3 要素二：風險評估,企業(yè)內(nèi)部控制基本規(guī)范第二十三條指出， 企業(yè)識別外部風險，應當關注下列因素： （1）經(jīng)濟形勢、產(chǎn)業(yè)政策、融資環(huán)境、市場競爭、資源供給等經(jīng)濟因素。 （2）法律法規(guī)、監(jiān)管要求等法律因素。 （3）安全穩(wěn)定、文化傳統(tǒng)、社會信用、教育水平、消費者行為等社會因素。 （4）技術進步、工藝改進等科學技術因素。 （5）自然災害、環(huán)境狀況等自然環(huán)境因素。 （6）其他有關外部風險因素。,3.3 要素二：風險評估,（四）風險識別的分析框架,3.3 要素二：風險評估,環(huán)境風險因素，包括： （1）競爭對手風險 （2）客戶風險 （3）技術創(chuàng)新風險 （4）敏感性風險 （5）股東關系風險 （6）資本可得性風險,（7）主權政治風險 （8）法律風險 （9）監(jiān)管風險 （10）行業(yè)風險 （11）金融市場風險 （12）災難風險,3.3 要素二：風險評估,過程風險因素，包括： 1.操作風險，如： （1）客戶滿意度風險 （2）人力資源風險 （3 ）知識資本風險 （4）產(chǎn)品開發(fā)風險 （5）效率風險 （6）能力風險 （7）業(yè)績?nèi)笨陲L險 （8）周轉時間風險,（9）來源風險 （10）渠道效率風險 （11）合作伙伴風險 （12）服從（監(jiān)管機構或其他要求）風險 （13）業(yè)務中斷風險 （14）產(chǎn)品或服務失敗風險 （15）環(huán)境風險 （16）健康與安全風險 （17）商標品牌侵權風險,3.3 要素二：風險評估,2.金融風險，如： （1）價格風險，包括利率風險、匯率外匯風險、權益風險、商品價格風險、金融工具風險。 （2）流動性風險，包括現(xiàn)金流風險、機會成本風險、集中度風險。 （3）信用風險，包括違約風險、集中度風險、結算風險、抵押風險。,3.3 要素二：風險評估,3.授權風險，如： （1）領導風險 （2）權力限制風險 （3）浪費風險 （4）業(yè)績激勵風險 （5）適應變化風險 （6）溝通風險,3.3 要素二：風險評估,4.信息過程技術風險，如： （1）相關性風險 （2）完整性風險 （3）評估風險 （4）可得性風險 （5）基礎設施風險,3.3 要素二：風險評估,5.誠實性風險，如： （1）管理欺詐風險 （2）雇員第三方欺詐風險 （3）非法行為風險 （4）違規(guī)行為風險 （5）信譽風險,3.3 要素二：風險評估,決策所需信息風險因素，包括： 1.決策所需過程操作性信息風險，如： （1）產(chǎn)品服務定價風險 （2）合同履行風險 （3）度量（操作）風險 （4）協(xié)調性風險,3.3 要素二：風險評估,2.決策所需商務報告信息風險，如： （1）預算與計劃風險 （2）會計信息風險 （3）財務報告評估風險 （4）稅收風險 （5）退休金風險 （6）投資評估風險 （7）監(jiān)管報告風險,3.3 要素二：風險評估,3.決策所需環(huán)境戰(zhàn)略風險，如： （1）環(huán)境監(jiān)控風險 （2）經(jīng)營模式風險 （3）業(yè)務組合風險 （4）估價風險 （5）組織結構風險 （6）度量（戰(zhàn)略）風險 （7）資源配置風險 （8）計劃風險 （9）生命周期風險,3.3 要素二：風險評估,（五）風險偏好與風險容忍度 進行風險評估，首先應該判明公司可以承受的風險有多大，即首先需明確公司的風險容忍度，又稱為風險承受度，是公司能夠承擔的風險限度，包括整體風險承受能力和業(yè)務層面的可接受風險水平。 從戰(zhàn)略層面看，風險控制的重點是確定風險偏好及相應的風險容忍度。 風險容忍度和風險偏好都是公司為自己承受風險的能力設定的控制邊界。,3.3 要素二：風險評估,根據(jù)COSO委員會的定義，風險偏好是公司決策層綜合考慮多種風險因素后作出的一種更高層次的承諾，而風險容忍度是考慮到風險狀況的不斷變化，而為每一個具體的風險因素設定的量化的可接受水平。公司根據(jù)統(tǒng)一確定的風險偏好，針對不同業(yè)務特點設定相應的容忍度水平，明確風險的最低限度和不能超過的最高限度，并據(jù)此設置風險預警線以及相應的對策安排。,風險偏好與風險容忍度的關系圖,3.3 要素二：風險評估,（六）風險識別的技術與方法 風險評估的首要步驟是識別明顯的、潛在的風險事件，估計這些風險可能造成的損失。 制作風險清單是識別風險的最基本、最常用的方法。風險識別方法還有： 專家調查列舉法 ； 財務狀況分析法 ； 情景分析法 ； 分解分析法 ； 失誤樹分析方法 ； CART風險分類法。,3.3 要素二：風險評估,例如，CART風險分類法，是依據(jù)選定的幾項財務比率作為風險分類的標準，運用二分法，通過建立樹型結構來分析被考察對象特定財務信用品質的方法。 對公司的風險識別，CART法采用四個財務比率作為分類標準：現(xiàn)金流量對負債總額比率；留存收益對資產(chǎn)總額比率；負債總額對資產(chǎn)總額比率；現(xiàn)金對銷售總額比率。,CART風險分類：級分類標準,違約組,進入級分類標準：,3.3 要素二：風險評估,（七）識別財務風險應重點關注的因素 （1）無法償還到期債務； （2）無法償還即將到期且難以展期的借款； （3）無法繼續(xù)履行重大借款合同中的有關條款； （4）存在大額的逾期未繳稅金； （5）累計經(jīng)營性虧損數(shù)額巨大； （6）過度依賴短期借款籌資；,3.3 要素二：風險評估,（7）無法獲得供應商的正常商業(yè)信用 【注】運用以下指標識別： 應付賬款周轉次數(shù)年度營業(yè)成本應付賬款平均余額； 應付賬款周轉期（天數(shù)）365天應付賬款周轉次數(shù)平均償還期 【案例分析】背景：應付賬款管理不善導致供應鏈斷裂，公司破產(chǎn)。 鄭州亞細亞破產(chǎn)案,3.3 要素二：風險評估,（8）難以獲得開發(fā)必要新產(chǎn)品或進行必要投資所需資金； （9）資不抵債； （10） 營運資金出現(xiàn)負數(shù)； （11）經(jīng)營活動產(chǎn)生的現(xiàn)金流量凈額為負數(shù)； （12）大股東長期占用巨額資金； （13）重要子公司無法持續(xù)經(jīng)營且未進行處理；,3.3 要素二：風險評估,（14）存在大量長期未作處理的不良資產(chǎn)； （15）存在因對外巨額擔保等或有事項引發(fā)的或有負債。 （八）識別非財務風險應重點關注的因素。包括： （1）關鍵管理人員離職且無人替代； （2）主導產(chǎn)品不符合國家產(chǎn)業(yè)政策，或者沒有市場銷路，產(chǎn)品嚴重積壓；,3.3 要素二：風險評估,（3）失去主要市場、特許權或主要供應商； （4）人力資源或重要原材料短缺； （5）嚴重違反有關法律、法規(guī)或政策； （6） 存在可能帶來無法承受損失的未決訴訟； （7）異常原因導致停工、停產(chǎn)； （8）有關法律、法規(guī)或政策的變化可能造成重大不利影響；,3.3 要素二：風險評估,（9） 經(jīng)營期限即將到期且無意繼續(xù)經(jīng)營； （10）投資者未履行協(xié)議、合同、章程規(guī)定的義務，并有可能造成重大不利影響； （11）因自然災害、戰(zhàn)爭等不可抗力因素遭受嚴重損失； （12）其他導致經(jīng)營狀況惡化的情況。,3.3 要素二：風險評估,二、風險評估 企業(yè)內(nèi)部控制基本規(guī)范第二十四條指出，企業(yè)應當采用定性與定量相結合的方法，按照風險發(fā)生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優(yōu)先控制的風險。 企業(yè)進行風險分析，應當充分吸收專業(yè)人員，組成風險分析團隊，按照嚴格規(guī)范的程序開展工作，確保風險分析結果的準確性,3.3 要素二：風險評估,【提示】風險評估方法包括定性方法和定性與定量相結合的方法。主要借助概率論和數(shù)理統(tǒng)計等方法來測定公司的風險程度。目前，風險評估模型有以方差、標準差、平均絕對偏差，久期（Duration）、調整久期、有效久期 ，系數(shù) ，風險價值（VaR ），內(nèi)部評級，敏感度分析，壓力測試法等為代表的數(shù)千種風險評估數(shù)理模型。,3.3 要素二：風險評估,三、風險應對 企業(yè)內(nèi)部控制基本規(guī)范第二十五條指出： 企業(yè)應當根據(jù)風險分析的結果，結合風險承受度，權衡風險與收益，確定風險應對策略。 企業(yè)應當合理分析、準確掌握董事、經(jīng)理及其他高級管理人員、關鍵崗位員工的風險偏好，采取適當?shù)目刂拼胧?，避免因個人風險偏好給企業(yè)經(jīng)營帶來重大損失。,3.3 要素二：風險評估,企業(yè)內(nèi)部控制基本規(guī)范第二十六條指出：企業(yè)應當綜合運用風險規(guī)避、風險降低、風險分擔和風險承受等風險應對策略，實現(xiàn)對風險的有效控制。 風險規(guī)避是企業(yè)對超出風險承受度的風險，通過放棄或者停止與該風險相關的業(yè)務活動以避免和減輕損失的策略。 風險降低是企業(yè)在權衡成本效益之后，準備采取適當?shù)目刂拼胧┙档惋L險或者減輕損失，將風險控制在風險承受度之內(nèi)的策略。,3.3 要素二：風險評估,風險分擔是企業(yè)準備借助他人力量，采取業(yè)務分包、購買保險等方式和適當?shù)目刂拼胧?，將風險控制在風險承受度之內(nèi)的策略。 風險承受是企業(yè)對風險承受度之內(nèi)的風險，在權衡成本效益之后，不準備采取控制措施降低風險或者減輕損失的策略。 企業(yè)內(nèi)部控制基本規(guī)范第二十七條指出：企業(yè)應當結合不同發(fā)展階段和業(yè)務拓展情況，持續(xù)收集與風險變化相關的信息，進行風險識別和風險分析，及時調整風險應對策略。,3.3 要素二：風險評估,【提示】常見的風險應對措施利弊分析 （一）風險回避是一項有意識地避免某種特定風險的決策，直接采取措施回避風險，或者不去做可能導致風險的事情，從而避免某種風險的發(fā)生以及由此帶來的損失。,3.3 要素二：風險評估,用風險回避手段來處理風險比較簡單，也比較徹底，但是有三點限制： （1）有時消極回避風險也意味著放棄利益； （2）回避一種風險的同時有可能產(chǎn)生其他新的風險； （3）有些風險是無法回避的。,3.3 要素二：風險評估,（二）風險控制是在面對潛在風險時，為降低損失的可能性或嚴重性而在損失發(fā)生之前或之后采取相應的行動。在損失發(fā)生之前，消減風險發(fā)生的條件，降低風險發(fā)生概率；在損失發(fā)生之后，采取有效措施，將風險可能造成的損失減少到最低限度。,3.3 要素二：風險評估,風險控制是一種預防為主的風險管理手段，預防是需要付出成本的。進行風險控制付出的成本，與風險損失相比較，孰大孰小成為是否采取這一方法的決定性因素。,3.3 要素二：風險評估,（三）風險保留指自身承擔風險和損失，是一種自保險。一般在三種情況下采用： （1）沒有足夠重視，沒有察覺到該類風險，主要原因在于對某一事件觀察和分析不夠全面，忽略了某些作用因素； （2）察覺到風險但是沒有較好的方法來處理風險，一般是風險回避或者控制的成本過高，或者沒有辦法找到理想的處理方法； （3）認為自己可以承擔該類風險。,3.3 要素二：風險評估,（四）風險分散是指設法將風險分散到相關的多個個體上去，從而使每一個個體所承擔的風險相對減少的方法。常說“不要把雞蛋全部放在同一個籃子里”，就是用分散風險的理念來管理風險。 這種管理方式，最常用于投資理財?shù)慕M合選擇中，分散投資意味著持有多種風險資產(chǎn)，而不是將所有的資金集中于一項資產(chǎn)。采用分散投資的資產(chǎn)組合投資策略，降低了人們擁有任何單一資產(chǎn)所面臨的風險 。,3.3 要素二：風險評估,（五）風險轉移是將風險及其可能造成的損失轉移給別人的風險管理手段，一般來說有兩大類方法： （1）非保險類轉移是通過訂立經(jīng)濟合同，將風險及可能損失轉移給別人，常見的主要有租賃、互換、套期保值等。,3.3 要素二：風險評估,（2）保險類轉移是通過訂立保險合同將風險轉移給保險公司（保險人），具體講就是投保人按照合同規(guī)定繳納保費，將風險和可能的損失轉移給保險公司，一旦發(fā)生預期的、投保的風險，就由保險公司進行經(jīng)濟賠償。 【注】并不是所有風險都可以通過風險轉移手段來處理，只有符合一定條件的可保風險才可轉移。一般來講投機風險是不可以投保的，比如購買股票的收益風險，保險公司不承保。,3.3 要素二：風險評估,【測試】說明以下風險應對行為是遵循何種風險應對措施？ 經(jīng)營小百貨店，而不愿經(jīng)營小專賣店。 在銀行存放56個月的工資，以備意外開支。 注冊會計師為自已購買職業(yè)保險。 要求房產(chǎn)商書面承諾，對新購置的房產(chǎn)質量負責。 購買了一個半噸重的保險柜。,3.3 要素二：風險評估,愿意購買基金，不愿購買股票。 害怕家里的現(xiàn)金被盜，把現(xiàn)金分放在三個房間的隱蔽處 。 每天早起鍛煉，以減少醫(yī)療開支。 重要的文件寄掛號信，而不寄平信。 注重家庭資產(chǎn)持有結構的合理性。,3.4 要素三：控制活動,我國企業(yè)內(nèi)部控制基本規(guī)范第四章第二十八條至第三十七條明確了控制活動的具體內(nèi)容。,3.4 要素三：控制活動,企業(yè)內(nèi)部控制基本規(guī)范第二十八條指出：企業(yè)應當結合風險評估結果，通過手工控制與自動控制、預防性控制與發(fā)現(xiàn)性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內(nèi)。 控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制和績效考評控制等。,3.4 要素三：控制活動,【解讀1】人工控制與自動化控制 （一）人工控制在處理下列需要主觀判斷或酌情處理的情形時可能更為適當： （1）存在大額、異?；蚺及l(fā)的交易； （2）存在難以定義、防范或預見的錯誤； （3）為應對情況的變化，需要對現(xiàn)有的自動化控制進行調整（如信息系統(tǒng)升級時，原系統(tǒng)停止運行，只能依靠手工控制）； （4）監(jiān)督自動化控制的有效性。,3.4 要素三：控制活動,人工控制的特定風險： （1）人工控制可能更容易被規(guī)避、忽視或凌駕； （2）人工控制可能不具有一貫性； （3）人工控制可能更容易產(chǎn)生簡單的錯誤或失誤（相對于自動控制，人工控制的可靠性較差）。,3.4 要素三：控制活動,人工控制在下列情形中可能是不適當?shù)模?（1）存在大量或重復發(fā)生的交易； （2）事先可預見的錯誤能夠通過自動化控制得以防范或發(fā)現(xiàn)； （3）控制活動可得到適當設計和自動化處理。,3.4 要素三：控制活動,（二）自動化控制在下列方面可以提高內(nèi)部控制系統(tǒng)的效率和效果： （1）在處理大量的交易或數(shù)據(jù)時，一貫運用事先確定的業(yè)務規(guī)則，并進行復雜運算； （2）提高信息及時性、可獲得性及準確性； （3）加強對公司政策和程序執(zhí)行情況的監(jiān)督； （4）降低控制被規(guī)避的風險； （5）通過對操作系統(tǒng)、應用程序系統(tǒng)和數(shù)據(jù)庫系統(tǒng)實施安全控制，提高不相容職務分離的有效性。,3.4 要素三：控制活動,自動化控制的特定風險： （1）系統(tǒng)或程序未能正確處理數(shù)據(jù)，或處理了不正確的數(shù)據(jù)，或兩種情況同時并存； （2）在未得到授權的情況下訪問數(shù)據(jù)，可能導致數(shù)據(jù)的毀損或對數(shù)據(jù)不恰當?shù)男薷?，包括記錄未授權或不存在的交易，或不正確地記錄了交易； （3）信息技術人員可能獲得超越其履行職責以外的數(shù)據(jù)訪問權限，破壞了系統(tǒng)應有的職責分工；,3.4 要素三：控制活動,（4）未經(jīng)授權改變主文檔的數(shù)據(jù)； （5）未經(jīng)授權改變系統(tǒng)或程序； （6）未能對系統(tǒng)或程序作出必要的修改； （7）不恰當?shù)娜藶楦深A； （8）數(shù)據(jù)丟失的風險或不能訪問所需要的數(shù)據(jù)。,3.4 要素三：控制活動,（三）在設計內(nèi)部控制系統(tǒng)時，應合理選擇自動化控制方式和人工控制方式，在不同公司的內(nèi)部控制系統(tǒng)中人工控制和自動化控制的比例是不同的。例如，在一些小型的業(yè)務不太復雜的公司，可能以人工控制為主；而在業(yè)務比較復雜的大中型公司，可能以自動化控制為主。,3.4 要素三：控制活動,【解讀2】預防性控制與檢查性控制 （一）預防性控制通常用于正常業(yè)務流程的每一項交易，以防止風險的發(fā)生。預防性控制可能是人工的，也可能是自動化的。,3.4 要素三：控制活動,（二）檢查性控制的目的是發(fā)現(xiàn)流程中可能發(fā)生的風險（盡管有預防性控制還是會發(fā)生的風險）。企業(yè)通過檢查性控制，監(jiān)督其流程和相應的預防性控制能否有效地發(fā)揮作用。 檢查性控制通常是企業(yè)管理層用來監(jiān)督實現(xiàn)流程目標的控制，可以由人工執(zhí)行，也可以由信息系統(tǒng)自動執(zhí)行。,預防性控制示例,檢查性控制示例,3.4 要素三：控制活動,一、不相容職務分離控制 企業(yè)內(nèi)部控制基本規(guī)范第二十九條指出： 不相容職務分離控制要求企業(yè)全面系統(tǒng)地分析、梳理業(yè)務流程中所涉及的不相容職務，實施相應的分離措施，形成各司其職、各負其責、相互制約的工作機制。,3.4 要素三：控制活動,二、授權審批控制 企業(yè)內(nèi)部控制基本規(guī)范第三十條指出： 授權審批控制要求企業(yè)根據(jù)常規(guī)授權和特別授權的規(guī)定，明確各崗位辦理業(yè)務和事項的權限范圍、審批程序和相應責任。 企業(yè)應當編制常規(guī)授權的權限指引，規(guī)范特別授權的范圍、權限、程序和責任，嚴格控制特別授權。常規(guī)授權是指企業(yè)在日常經(jīng)營管理活動中按照既定的職責和程序進行的授權。特別授權是指企業(yè)在特殊情況、特定條件下進行的授權。,3.4 要素三：控制活動,企業(yè)各級管理人員應當在授權范圍內(nèi)行使職權和承擔責任。 企業(yè)對于重大的業(yè)務和事項，應當實行集體決策審批或者聯(lián)簽制度，任何個人不得單獨進行決策或者擅自改變集體決策。,3.4 要素三：控制活動,三、會計系統(tǒng)控制 企業(yè)內(nèi)部控制基本規(guī)范第三十一條指出：會計系統(tǒng)控制要求企業(yè)嚴格執(zhí)行國家統(tǒng)一的會計準則制度，加強會計基礎工作，明確會計憑 證、會計賬簿和財務會計報告的處理程序，保證會計資料真實完整。 企業(yè)應當依法設置會計機構，配備會計從業(yè)人員。從事會計工作的人員，必須取得會計從業(yè)資格證書。會計機構負責人應當具備會計師以上專業(yè)技術職務資格。 大中型企業(yè)應當設置總會計師。設置總會計師的企業(yè)，不得設置與其職權重疊的副職。,3.4 要素三：控制活動,四、財產(chǎn)保護控制 企業(yè)內(nèi)部控制基本規(guī)范第三十二條指出：財產(chǎn)保護控制要求企業(yè)建立財產(chǎn)日常管理制度和定期清查制度，采取財產(chǎn)記錄、實物保管、定期盤點、賬實核對等措施，確保財產(chǎn)安全。 企業(yè)應當嚴格限制未經(jīng)授權的人員接觸和處置財產(chǎn)。,3.4 要素三：控制活動,五、預算控制 企業(yè)內(nèi)部控制基本規(guī)范第三十三條指出：預算控制要求企業(yè)實施全面預算管理制度，明確各責任單位在預算管理中的職責權限，規(guī)范預算的編制、審定、下達和執(zhí)行程序，強化預算約束。 【解讀】現(xiàn)代企業(yè)的全面預算控制是以責任制為核心，以預算、預警、控制、考核、激勵為主線，以核算為基礎。,3.4 要素三：控制活動,全面預算控制系統(tǒng)的主體框架圖,3.4 要素三：控制活動,六、營運分析控制 企業(yè)內(nèi)部控制基本規(guī)范第三十四條指出：運營分析控制要求企業(yè)建立運營情況分析制度，經(jīng)理層應當綜合運用生產(chǎn)、購銷、投資、籌資、財務等方面的信息，通過因素分析、對比分析、趨勢分析等方法，定期開展運營情況分析，發(fā)現(xiàn)存在的問題，及時查明原因并加以改進。,3.4 要素三：控制活動,七、績效考評控制 企業(yè)內(nèi)部控制基本規(guī)范第三十五條指出：績效考評控制要求企業(yè)建立和實施績效考評制度，科學設置考核指標體系，對企業(yè)內(nèi)部各責任單位和全體員工的業(yè)績進行定期考核和客觀評價，將考評結果作為確定員工薪酬以及職務晉升、評優(yōu)、降級、調崗、辭退等的依據(jù)。,3.4 要素三：控制活動,【解讀】績效考評控制導向模式 第一種模式：規(guī)模最大化考核模式。 缺陷： （1）沒有考慮規(guī)模成長的成本（包括機會成本）； （2）沒有考慮規(guī)模成長承擔的風險因素。,3.4 要素三：控制活動,第二種模式：會計利潤最大化考核模式。 缺陷： 沒有考慮資本金的時間價值； 沒有考慮風險因素； 容易造成經(jīng)營上的短期行為。,3.4 要素三：控制活動,第三種模式：可持續(xù)經(jīng)營和價值最大化考核模式，即在風險可承受范圍內(nèi)實現(xiàn)風險、收益與發(fā)展的合理匹配。 公司整體價值=財務資本價值+人力資本價值+制度資本價值（業(yè)務流程內(nèi)控制度、治理結構等）+客戶資本價值（誤差）。,3.4 要素三：控制活動,企業(yè)內(nèi)部控制基本規(guī)范第三十六條指出：企業(yè)應當根據(jù)內(nèi)部控制目標，結合風險應對策略，綜合運用控制措施，對各種業(yè)務和事項實施有效控制 。 企業(yè)內(nèi)部控制基本規(guī)范第三十七條指出：企業(yè)應當建立重大風險預警機制和突發(fā)事件應急處理機制，明確風險預警標準，對可能發(fā)生的重大風險或突發(fā)事件，制定應急預案、明確責任人員、規(guī)范處置程序，確保突發(fā)事件得到及時妥善處理。,【注】關于控制活動類內(nèi)部控制應用指引,企業(yè)在改進和完善內(nèi)部環(huán)境控制的同時，還應對各項具體業(yè)務活動實施相應的控制。為此，制定了9項控制活動類應用指引，包括： 企業(yè)內(nèi)部控制應用指引第6號：資金活動 企業(yè)內(nèi)部控制應用指引第7號：采購業(yè)務 企業(yè)內(nèi)部控制應用指引第8號：資產(chǎn)管理 企業(yè)內(nèi)部控制應用指引第9號：銷售業(yè)務,【注】關于控制活動類內(nèi)部控制應用指引,企業(yè)內(nèi)部控制應用指引第10號：研究與開發(fā) 企業(yè)內(nèi)部控制應用指引第11號：工程項目 企業(yè)內(nèi)部控制應用指引第12號：擔保業(yè)務 企業(yè)內(nèi)部控制應用指引第13號：業(yè)務外包 企業(yè)內(nèi)部控制應用指引第14號：財務報告,3.5 要素四：信息與溝通,我國企業(yè)內(nèi)部控制基本規(guī)范第五章第三十八條至第四十三條明確了信息與溝通的具體內(nèi)容。,3.5 要素四：信息與溝通,企業(yè)內(nèi)部控制基本規(guī)范第三十八條指出：企業(yè)應當建立信息與溝通制度，明確內(nèi)部控制相關信息的收集、處理和傳遞程序，確保信息及時溝通，促進內(nèi)部控制有效運行。 一、信息收集方法與技術 企業(yè)內(nèi)部控制基本規(guī)范第三十九條指出：企業(yè)應當對收集的各種內(nèi)部信息和外部信息進行合理篩選、核對、整合，提高信息的有用性。,3.5 要素四：信息與溝通,企業(yè)可以通過財務會計資料、經(jīng)營管理資料、調研報告、專項信息、內(nèi)部刊物、辦公網(wǎng)絡等渠道，獲取內(nèi)部信息 。 企業(yè)可以通過行業(yè)協(xié)會組織、社會中介機構、業(yè)務往來單位、市場調查、來信來訪、網(wǎng)絡媒體以及有關監(jiān)管部門等渠道，獲取外部信息。,3.5 要素四：信息與溝通,二、信息處理方法與技術 企業(yè)內(nèi)部控制基本規(guī)范第四十條指出：企業(yè)應當將內(nèi)部控制相關信息在企業(yè)內(nèi)部各管理級次、責任單位、業(yè)務環(huán)節(jié)之間，以及企業(yè)與外部投資者、債權人、客戶、供應商、中介機構和監(jiān)管部門等有關方面之間進行溝通和反饋。信息溝通過程中發(fā)現(xiàn)的問題，應當及時報告并加以解決。 重要信息應當及時傳遞給董事會、監(jiān)事會和經(jīng)理層。,3.5 要素四：信息與溝通,三、信息溝通方法與技術 企業(yè)內(nèi)部控制基本規(guī)范第四十一條指出：企業(yè)應當利用信息技術促進信息的集成與共享，充分發(fā)揮信息技術在信息與溝通中的作用。 企業(yè)應當加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運行。,3.5 要素四：信息與溝通,四、反舞弊機制的建立 企業(yè)內(nèi)部控制基本規(guī)范第四十二條指出：企業(yè)應當建立反舞弊機制，堅持懲防并舉、重在預防的原則，明確反舞弊工作的重點領域、關鍵環(huán)節(jié)和有關機構在反舞弊工作中的職責權限，規(guī)范舞弊案件的舉報、調查、處理、報告和補救程序。,3.5 要素四：信息與溝通,企業(yè)至少應當將下列情形作為反舞弊工作的重點： （一）未經(jīng)授權或者采取其他不法方式侵占、挪用企業(yè)資產(chǎn)，牟取不當利益。 （二）在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等。 （三）董事、監(jiān)事、經(jīng)理及其他高級管理人員濫用職權。 （四）相關機構或人員串通舞弊。,3.5 要素四：信息與溝通,五、舉報投訴制度和舉報人保護制度 企業(yè)內(nèi)部控制基本規(guī)范第四十三條指出：企業(yè)應當建立舉報投訴制度和舉報人保護制度，設置舉報專線，明確舉報投訴處理程序、辦理時限和辦結要求，確保舉報、投訴成為企業(yè)有效掌握信息的重要途徑。 舉報投訴制度和舉報人保護制度應當及時傳達至全體員工。,3.6 要素五：內(nèi)部監(jiān)督,我國企業(yè)內(nèi)部控制基本規(guī)范第六章第四十四條至第四十七條明確了內(nèi)部監(jiān)督的具體內(nèi)容。,3.6 要素五：內(nèi)部監(jiān)督,企業(yè)內(nèi)部控制基本規(guī)范第四十四條指出：企業(yè)應當根據(jù)本規(guī)范及其配套辦法，制定內(nèi)部控制監(jiān)督制度，明確內(nèi)部審計機構（或經(jīng)授權的其他監(jiān)督機構）和其他內(nèi)部機構在內(nèi)部監(jiān)督中的職責權限，規(guī)范內(nèi)部監(jiān)督的程序、方法和要求。,3.6 要素五：內(nèi)部監(jiān)督,一、日常監(jiān)督與專項監(jiān)督 第四十四條第二款指出：內(nèi)部監(jiān)督分為日常監(jiān)督和專項監(jiān)督。日常監(jiān)督是指企業(yè)對建立與實施內(nèi)部控制的情況進行常規(guī)、持續(xù)的監(jiān)督檢查；專項監(jiān)督是指在企業(yè)發(fā)展戰(zhàn)略、組織結構、經(jīng)營活動、業(yè)務流程、關鍵崗位員工等發(fā)生較大調整或變化的情況下，對內(nèi)部控制的某一或者某些方面進行有針對性的監(jiān)督檢查。專項監(jiān)督的范圍和頻率應當根據(jù)風險評估結果以及日常監(jiān)督的有效性等予以確定。,3.6 要素五：內(nèi)部監(jiān)督,二、內(nèi)部控制缺陷認定與整改 企業(yè)內(nèi)部控制基本規(guī)范第四十五條指出：企業(yè)應當制定內(nèi)部控制缺陷認定標準，對監(jiān)督過程中發(fā)現(xiàn)的內(nèi)部控制缺陷，應當分析缺陷的性質和產(chǎn)生的原因，提出整改方案，采取適當?shù)男问郊皶r向董事會、監(jiān)事會或者經(jīng)理層報告。 內(nèi)部控制缺陷包括設計缺陷和運行缺陷。企業(yè)應當跟蹤內(nèi)部控制缺陷整改情況，并就內(nèi)部監(jiān)督中發(fā)現(xiàn)的重大缺陷，追究相關責任單位或者責任人的責任。,3.6 要素五：內(nèi)部監(jiān)督,三、內(nèi)部控制自我評價 企業(yè)內(nèi)部控制基本規(guī)范第四十六條指出：企業(yè)應當結合內(nèi)部監(jiān)督情況，定期對內(nèi)部控制的有效性進行自我評價，出具內(nèi)部控制自我評價報告。 內(nèi)部控制自我評價的方式、范圍、程序和頻率，由企業(yè)根