內(nèi)部控制與風(fēng)險(xiǎn)管理框架

1、內(nèi)部控制與風(fēng)險(xiǎn)管理框架 內(nèi)部控制與風(fēng)險(xiǎn)管理框架內(nèi)部控制與風(fēng)險(xiǎn)管理框架 內(nèi)部控制與風(fēng)險(xiǎn)管理框架第一部分 內(nèi)部控制的發(fā)展與演變內(nèi)部控制與風(fēng)險(xiǎn)管理框架一、內(nèi)部控制的淵源和早期發(fā)展二、內(nèi)部控制的初步形態(tài)：內(nèi)部牽制三、內(nèi)部控制理論和實(shí)踐的分野四、內(nèi)部控制的發(fā)展與演變五、國(guó)際上較有影響的內(nèi)部控制準(zhǔn)則或指南六、我國(guó)內(nèi)部控制規(guī)范建設(shè)的情況內(nèi)部控制與風(fēng)險(xiǎn)管理框架一、內(nèi)部控制的淵源和早期發(fā)展o內(nèi)部控制的淵源十分久遠(yuǎn) ，自從有了人類(lèi)的群體活動(dòng)和組織之后，就會(huì)產(chǎn)生對(duì)組織的成員及其活動(dòng)進(jìn)行控制的需要 o內(nèi)部控制的發(fā)軔最早可以追溯到公元前3600年公元前3200年的蘇美爾文化時(shí)期 o古埃及、古波斯、古希臘、古羅馬和古代中

2、國(guó)都有原始內(nèi)部牽制制度的雛形 o原始的內(nèi)部牽制制度最早是為部落、城邦、莊園、國(guó)家服務(wù)的 內(nèi)部控制與風(fēng)險(xiǎn)管理框架o中世紀(jì)資本主義生產(chǎn)關(guān)系萌芽，商業(yè)組織開(kāi)始出現(xiàn)，內(nèi)部牽制進(jìn)入企業(yè)領(lǐng)域，開(kāi)啟了一個(gè)廣闊的發(fā)展空間 o控制（control）一詞最早產(chǎn)生于17世紀(jì)，其原始含義是“由登記者之外的人對(duì)帳冊(cè)進(jìn)行的核對(duì)和檢查” 內(nèi)部控制與風(fēng)險(xiǎn)管理框架二、內(nèi)部控制的初步形態(tài)：內(nèi)部牽制o內(nèi)部控制是從內(nèi)部牽制（internal check）的基礎(chǔ)上發(fā)展起來(lái)的o20世紀(jì)以前，盛行的觀念和實(shí)務(wù)都停留在內(nèi)部牽制階段o內(nèi)部牽制的目的是糾錯(cuò)防弊，其前提性假設(shè)是：兩個(gè)或多個(gè)人犯同一種錯(cuò)誤的概率較小，兩個(gè)或多個(gè)人串通舞弊的可能性較小

3、，難度較大o內(nèi)部牽制的基本思路是分工和牽制o主要的牽制機(jī)能包括：分權(quán)牽制、實(shí)物牽制、機(jī)械牽制和簿記牽制 內(nèi)部控制與風(fēng)險(xiǎn)管理框架三、內(nèi)部控制理論和實(shí)踐的分野o審計(jì)視角下的內(nèi)部控制審計(jì)視角下的內(nèi)部控制 20世紀(jì)以后，審計(jì)職業(yè)界出于擺脫全面查核、提高審計(jì)效率的考慮，開(kāi)始關(guān)注內(nèi)部控制20世紀(jì)中葉，審計(jì)和內(nèi)部控制的發(fā)展不斷交織，進(jìn)而互動(dòng)和耦合，直接導(dǎo)致了制度基礎(chǔ)審計(jì)模式的誕生此后，內(nèi)部控制逐漸確立了在審計(jì)中的地位，成為推動(dòng)審計(jì)模式演變和探索審計(jì)理論與方法的重要因素之一 內(nèi)部控制與審計(jì)的交叉和耦合，是推動(dòng)內(nèi)部控制理論與實(shí)踐發(fā)展的最主要的力量?jī)?nèi)部控制與風(fēng)險(xiǎn)管理框架o管理視角下的內(nèi)部控制管理視角下的內(nèi)部控制

4、現(xiàn)代管理學(xué)說(shuō)把控制看作管理的一項(xiàng)核心職能，圍繞著管理所展開(kāi)的控制研究和實(shí)踐，是內(nèi)部控制發(fā)展的一個(gè)重要分支，我們一般把這個(gè)分支統(tǒng)稱(chēng)為管理控制 幾乎所有的著名管理大師，包括法約爾、德魯克、錢(qián)德勒、羅賓斯等，在他們的管理學(xué)著作中，都涉及到控制問(wèn)題 內(nèi)部控制與風(fēng)險(xiǎn)管理框架?chē)@著管理控制，形成了自我控制論、控制過(guò)程論、控制系統(tǒng)論、控制動(dòng)力論、生態(tài)控制論等多個(gè)分支這個(gè)學(xué)派隨著控制論、系統(tǒng)論和現(xiàn)代管理學(xué)的發(fā)展而不斷發(fā)展而專(zhuān)以控制研究而著稱(chēng)的前沿觀點(diǎn)以哈佛大學(xué)西蒙斯教授的管理杠桿理論最具代表性 內(nèi)部控制與風(fēng)險(xiǎn)管理框架o戰(zhàn)略管理會(huì)計(jì)視角下的內(nèi)部控制戰(zhàn)略管理會(huì)計(jì)視角下的內(nèi)部控制 隨著現(xiàn)代管理會(huì)計(jì)的發(fā)展，戰(zhàn)略管理會(huì)

5、計(jì)學(xué)派的一個(gè)分支將組織內(nèi)的控制系統(tǒng)區(qū)分為戰(zhàn)略規(guī)劃、管理控制和作業(yè)控制三個(gè)層次管理控制主要是多事業(yè)部制的公司對(duì)其戰(zhàn)略業(yè)務(wù)單元（SBU）所進(jìn)行的戰(zhàn)略業(yè)績(jī)考評(píng)和控制系統(tǒng)這個(gè)學(xué)派的主要代表是哈佛大學(xué)的安東尼教授和卡普蘭教授 內(nèi)部控制與風(fēng)險(xiǎn)管理框架四、內(nèi)部控制的發(fā)展與演變o內(nèi)部控制階段1936，AIA，獨(dú)立公共會(huì)計(jì)師對(duì)財(cái)務(wù)報(bào)表的檢查，首次提出內(nèi)部控制的概念注冊(cè)會(huì)計(jì)師在制定審計(jì)程序時(shí)，應(yīng)考慮的一個(gè)重要因素是審查企業(yè)的內(nèi)部牽制和控制，企業(yè)的會(huì)計(jì)制度和內(nèi)部控制越健全，財(cái)務(wù)報(bào)表需要測(cè)試的范圍就越小內(nèi)部控制是為了保護(hù)公司現(xiàn)金和其他資產(chǎn)，核對(duì)簿記的準(zhǔn)確性，而在公司內(nèi)部采用的手段和方法內(nèi)部控制與風(fēng)險(xiǎn)管理框架1938年

6、，麥克森羅賓斯事件：PW的審計(jì)程序中缺少對(duì)內(nèi)部控制和會(huì)計(jì)處理程序的審查1939年10月，AIA審計(jì)程序委員會(huì)發(fā)布SAP1審計(jì)程序的擴(kuò)展，首次增加內(nèi)部控制審查的內(nèi)容1940年10月，SEC正式要求審計(jì)師在簽署的審計(jì)報(bào)告中增加類(lèi)似的內(nèi)容內(nèi)部控制與風(fēng)險(xiǎn)管理框架1949年， AIA審計(jì)程序委員會(huì)（CAP），內(nèi)部控制：一個(gè)協(xié)調(diào)的系統(tǒng)要素及其對(duì)管理層和獨(dú)立公共會(huì)計(jì)師的重要性，首次給出內(nèi)部控制的權(quán)威定義內(nèi)部控制包括組織的計(jì)劃和為了保護(hù)資產(chǎn)、核對(duì)會(huì)計(jì)資料準(zhǔn)確性和可靠性、提高經(jīng)營(yíng)效率、以及促使遵循管理層所制定的各項(xiàng)政策所采取的各種方法和措施內(nèi)部控制與風(fēng)險(xiǎn)管理框架o內(nèi)部控制系統(tǒng)階段1958年10月，CAP發(fā)布了S

7、AP29 “獨(dú)立審計(jì)師評(píng)價(jià)內(nèi)部控制的范圍”，將內(nèi)部控制劃分為會(huì)計(jì)控制和管理控制 1963年10月，CAP在SAP33“審計(jì)準(zhǔn)則與程序（匯編）”中強(qiáng)調(diào)：獨(dú)立審計(jì)師應(yīng)主要檢查會(huì)計(jì)控制內(nèi)部控制與風(fēng)險(xiǎn)管理框架1972年11月，SAP54“審計(jì)師對(duì)內(nèi)部控制的研究與評(píng)價(jià)”，對(duì)管理控制和會(huì)計(jì)控制的定義進(jìn)行了修訂和充實(shí)1972年11月，AudSEC 發(fā)布SAS1“審計(jì)準(zhǔn)則和程序匯編”會(huì)計(jì)控制包括組織的計(jì)劃和與保護(hù)資產(chǎn)和保證財(cái)務(wù)資料的可靠性有關(guān)的程序和記錄管理控制包括但不限于組織的計(jì)劃和與管理層授權(quán)辦理經(jīng)濟(jì)業(yè)務(wù)的決策過(guò)程有關(guān)的程序和記錄內(nèi)部控制與風(fēng)險(xiǎn)管理框架1977年，反國(guó)外腐敗行為法案（FCPA），要求公眾公

8、司保持充分的內(nèi)部會(huì)計(jì)控制，采納SAS1的定義1979年，SEC要求公眾公司在年度報(bào)告中增加管理層報(bào)告，對(duì)公司內(nèi)部會(huì)計(jì)控制是否為FCPA規(guī)定的內(nèi)部控制目標(biāo)提供合理保證作出說(shuō)明，并要求注冊(cè)會(huì)計(jì)師進(jìn)行審查、發(fā)表意見(jiàn)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o內(nèi)部控制結(jié)構(gòu)階段1988年4月，ASB發(fā)布SAS55“財(cái)務(wù)報(bào)表審計(jì)中對(duì)內(nèi)部控制的考慮”，引入“內(nèi)部控制結(jié)構(gòu)”的概念內(nèi)部控制結(jié)構(gòu)包括為合理保證企業(yè)特定目標(biāo)的實(shí)現(xiàn)而建立的各項(xiàng)政策和程序內(nèi)部控制結(jié)構(gòu)包括3個(gè)要素：控制環(huán)境，會(huì)計(jì)體系，控制程序內(nèi)部控制與風(fēng)險(xiǎn)管理框架o內(nèi)部控制整合框架階段1992年9月，COSO發(fā)布內(nèi)部控制整合框架（1994年局部修訂）COSO成立于1987年

9、，是Treadway委員會(huì)（反欺詐財(cái)務(wù)報(bào)告全國(guó)委員會(huì)）的發(fā)起組織委員會(huì)，后者成立于1985年，由AICPA，AIA，IIA，F(xiàn)EI，IMA發(fā)起成立內(nèi)部控制與風(fēng)險(xiǎn)管理框架內(nèi)部控制的3個(gè)目標(biāo)：經(jīng)營(yíng)的有效性和效率，財(cái)務(wù)報(bào)告的可靠性，對(duì)適用法律法規(guī)的遵循內(nèi)部控制的5個(gè)構(gòu)成要素：控制環(huán)境，風(fēng)險(xiǎn)評(píng)估，控制活動(dòng)，信息與溝通，監(jiān)控1995年12月，ASB發(fā)布SAS78“財(cái)務(wù)報(bào)表審計(jì)中對(duì)內(nèi)部控制的考慮：對(duì)SAS55的修正”，全面采納COSO的內(nèi)部控制框架SOX404及相關(guān)規(guī)則采用的也是這個(gè)框架內(nèi)部控制與風(fēng)險(xiǎn)管理框架監(jiān)控控 制 環(huán) 境風(fēng) 險(xiǎn)評(píng) 估控制活動(dòng)信溝通息與溝通信息與內(nèi)部控制與風(fēng)險(xiǎn)管理框架o企業(yè)風(fēng)險(xiǎn)管理整合

10、框架：未來(lái)趨勢(shì)？2004年9月，COSO正式發(fā)布企業(yè)風(fēng)險(xiǎn)管理整合框架ERM的4個(gè)目標(biāo)：戰(zhàn)略，經(jīng)營(yíng)，報(bào)告，合規(guī)ERM的8個(gè)構(gòu)成要素：內(nèi)部環(huán)境，目標(biāo)設(shè)定，事項(xiàng)識(shí)別，風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)應(yīng)對(duì)，控制活動(dòng)，信息與溝通，監(jiān)控內(nèi)部控制與風(fēng)險(xiǎn)管理框架內(nèi) 部 環(huán) 境戰(zhàn) 略目 標(biāo) 設(shè) 定事 項(xiàng) 識(shí) 別風(fēng) 險(xiǎn) 評(píng) 估風(fēng) 險(xiǎn) 應(yīng) 對(duì)控 制 活 動(dòng)信息與溝通監(jiān) 控經(jīng) 營(yíng)報(bào) 告合規(guī) 子公司業(yè)務(wù)單元分 部企業(yè)層次內(nèi)部控制與風(fēng)險(xiǎn)管理框架五、國(guó)際上較有影響的內(nèi)部控制準(zhǔn)則或指南o國(guó)際上較有影響的內(nèi)部控制框架、準(zhǔn)則和指南1美國(guó)，COSO，內(nèi)部控制整合框架，1992年9月（1994年局部修訂）（它是目前最有影響的框架性文件，是此后諸多準(zhǔn)則

11、、指南的藍(lán)本。也是美國(guó)公認(rèn)審計(jì)準(zhǔn)則相關(guān)規(guī)定、SOX法案相關(guān)要求的主要參照）2美國(guó)，GAO（審計(jì)總署，2004年改名為政府問(wèn)責(zé)署，簡(jiǎn)稱(chēng)仍為GAO），聯(lián)邦政府內(nèi)部控制準(zhǔn)則，1999年11月（內(nèi)部控制進(jìn)入公共部門(mén)的代表性標(biāo)志）內(nèi)部控制與風(fēng)險(xiǎn)管理框架3巴塞爾銀行業(yè)監(jiān)管委員會(huì)，銀行業(yè)機(jī)構(gòu)內(nèi)部控制系統(tǒng)框架，1998年9月（權(quán)威而影響廣泛的金融機(jī)構(gòu)內(nèi)部控制國(guó)際指南）4英國(guó)，F(xiàn)RC（財(cái)務(wù)報(bào)告委員會(huì)），Turnbull內(nèi)部控制指南，2005年10月修訂（Turnbull內(nèi)部控制指南最初由ICAEW（英格蘭與威爾士特許會(huì)計(jì)師協(xié)會(huì)）于1999年發(fā)布）5加拿大，CoCo（控制標(biāo)準(zhǔn)委員會(huì)，隸屬于加拿大特許會(huì)計(jì)師協(xié)會(huì)（C

12、ICA），控制指南，1995年內(nèi)部控制與風(fēng)險(xiǎn)管理框架o與風(fēng)險(xiǎn)管理相結(jié)合的權(quán)威內(nèi)部控制框架、準(zhǔn)則和指南1美國(guó)，COSO，企業(yè)風(fēng)險(xiǎn)管理整合框架，2004年9月2英國(guó)，IRM（風(fēng)險(xiǎn)管理學(xué)會(huì)），AIRMIC（保險(xiǎn)與風(fēng)險(xiǎn)管理師協(xié)會(huì)），ALARM（全國(guó)公共部門(mén)風(fēng)險(xiǎn)管理論壇），風(fēng)險(xiǎn)管理準(zhǔn)則，2002年3澳大利亞，新西蘭，AS/NZS 4360，風(fēng)險(xiǎn)管理準(zhǔn)則，2004年（最初的版本于1995年發(fā)布）內(nèi)部控制與風(fēng)險(xiǎn)管理框架4加拿大，CAN/CSA-Q850-97，風(fēng)險(xiǎn)管理指南，1997年10月5南非，King委員會(huì)報(bào)告II，公司治理報(bào)告，2002年（其中包括內(nèi)部控制和風(fēng)險(xiǎn)管理）6中國(guó)香港特別行政區(qū)，香港會(huì)計(jì)師公

13、會(huì)（HKICPA），內(nèi)部控制與風(fēng)險(xiǎn)管理基本框架，2005年6月7日本，經(jīng)濟(jì)產(chǎn)業(yè)省風(fēng)險(xiǎn)管理與內(nèi)部控制研究會(huì)，風(fēng)險(xiǎn)新時(shí)代的內(nèi)部控制，2005年6月內(nèi)部控制與風(fēng)險(xiǎn)管理框架o與信息技術(shù)相結(jié)合的權(quán)威內(nèi)部控制準(zhǔn)則和指南與信息技術(shù)相結(jié)合的權(quán)威內(nèi)部控制準(zhǔn)則和指南 1國(guó)際標(biāo)準(zhǔn)組織（ISO），ISO 17799，信息系統(tǒng)安全，2005年2ISACA（信息系統(tǒng)審計(jì)與控制協(xié)會(huì)），ITGI（IT治理協(xié)會(huì)），信息與相關(guān)技術(shù)的控制目標(biāo)（COBIT），2003年（最初的版本于1996年發(fā)布）3IIARF（內(nèi)部審計(jì)師協(xié)會(huì)研究基金會(huì)），系統(tǒng)可審計(jì)性與控制（SAC），最初于1991年發(fā)布，1994年修訂內(nèi)部控制與風(fēng)險(xiǎn)管理框架六、我

14、國(guó)內(nèi)部控制規(guī)范建設(shè)的情況o財(cái)政部?jī)?nèi)部會(huì)計(jì)控制規(guī)范2001年6月22日，內(nèi)部會(huì)計(jì)控制規(guī)范基本規(guī)范（試行），內(nèi)部會(huì)計(jì)控制規(guī)范貨幣資金（試行） 2002年12月23日，內(nèi)部會(huì)計(jì)控制規(guī)范采購(gòu)與付款（試行），內(nèi)部會(huì)計(jì)控制規(guī)范銷(xiāo)售與收款（試行） 2003年10月22日，內(nèi)部會(huì)計(jì)控制規(guī)范工程項(xiàng)目(試行) 2004年8月19日，內(nèi)部會(huì)計(jì)控制規(guī)范擔(dān)保（試行），內(nèi)部會(huì)計(jì)控制規(guī)范對(duì)外投資（試行） 內(nèi)部控制與風(fēng)險(xiǎn)管理框架o商業(yè)銀行、保險(xiǎn)機(jī)構(gòu)內(nèi)部控制指引1997年5月16日，中國(guó)人民銀行，加強(qiáng)金融機(jī)構(gòu)內(nèi)部控制的指導(dǎo)原則 （已廢止）2002年9月7日，中國(guó)人民銀行，商業(yè)銀行內(nèi)部控制指引2004年12月25日，中國(guó)銀監(jiān)會(huì)，

15、商業(yè)銀行內(nèi)部控制評(píng)價(jià)試行辦法2005年2月28日，中國(guó)保監(jiān)會(huì)，保險(xiǎn)中介機(jī)構(gòu)內(nèi)部控制指引（試行） 內(nèi)部控制與風(fēng)險(xiǎn)管理框架o證券公司、基金公司內(nèi)部控制指引2001年1月31日，中國(guó)證監(jiān)會(huì)，證券公司內(nèi)部控制指引 （已廢止）2002年12月3日，中國(guó)證監(jiān)會(huì)，證券投資基金管理公司內(nèi)部控制指導(dǎo)意見(jiàn) 2003年12月15日，中國(guó)證監(jiān)會(huì)，證券公司內(nèi)部控制指引 （修訂）2006年6月30日，中國(guó)證監(jiān)會(huì)，證券公司融資融券業(yè)務(wù)試點(diǎn)內(nèi)部控制指引2007年2月13日，中國(guó)證監(jiān)會(huì)，證券投資基金銷(xiāo)售機(jī)構(gòu)內(nèi)部控制指導(dǎo)意見(jiàn)（征求意見(jiàn)稿） 內(nèi)部控制與風(fēng)險(xiǎn)管理框架o上市公司內(nèi)部控制指引2006年6月5日，上海證券交易所上市公司內(nèi)部

16、控制指引 ，自2006年7月1日起施行 2006年9月28日，深圳證券交易所上市公司內(nèi)部控制指引 ，自2007年7月1日起施行 內(nèi)部控制與風(fēng)險(xiǎn)管理框架o其他2006年6月6日，國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)，中央企業(yè)全面風(fēng)險(xiǎn)管理指引中央企業(yè)全面風(fēng)險(xiǎn)管理指引2002年2月， 中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)，內(nèi)部控制審核指導(dǎo)意見(jiàn)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o2006年7月6日，財(cái)政部企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)成立主席：王 軍（財(cái)政部副部長(zhǎng)）副主席：李小雪（中國(guó)證券監(jiān)督管理委員會(huì)紀(jì)委書(shū)記） 邵 寧（國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)副主任）秘書(shū)長(zhǎng)：劉玉廷（財(cái)政部會(huì)計(jì)司司長(zhǎng)）委員：29人內(nèi)部控制與風(fēng)險(xiǎn)管理框架o2008年5月22日

17、，財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)發(fā)布企業(yè)內(nèi)部控制基本規(guī)范自2009年7月1日起在上市公司范圍內(nèi)施行鼓勵(lì)非上市的大中型企業(yè)執(zhí)行內(nèi)部控制與風(fēng)險(xiǎn)管理框架o2010年4月26日，財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)聯(lián)合發(fā)布了企業(yè)內(nèi)部控制配套指引。o該配套指引包括18項(xiàng)企業(yè)內(nèi)部控制應(yīng)用指引、企業(yè)內(nèi)部控制評(píng)價(jià)指引和企業(yè)內(nèi)部控制審計(jì)指引，并規(guī)定自2011年1月1日起在境內(nèi)外同時(shí)上市的公司執(zhí)行，2012年1月1日起在上交所、深交所主板上市公司執(zhí)行。o指引連同此前發(fā)布的規(guī)范，標(biāo)志著適合我國(guó)企業(yè)內(nèi)部控制規(guī)范體系已基本建成。內(nèi)部控制與風(fēng)險(xiǎn)管理框架o內(nèi)部控制標(biāo)準(zhǔn)體系基本規(guī)范應(yīng)用指引評(píng)價(jià)指引審計(jì)指引內(nèi)部控制與

18、風(fēng)險(xiǎn)管理框架o需要面對(duì)的問(wèn)題企業(yè)內(nèi)部控制基本規(guī)范與兩個(gè)交易所上市公司內(nèi)部控制指引之間的關(guān)系企業(yè)內(nèi)部控制基本規(guī)范與中央企業(yè)全面風(fēng)險(xiǎn)管理指引之間的關(guān)系內(nèi)部控制與風(fēng)險(xiǎn)管理框架第二部分 內(nèi)部控制整合框架內(nèi)部控制與風(fēng)險(xiǎn)管理框架一、定 義二、控制環(huán)境三、風(fēng)險(xiǎn)評(píng)估四、控制活動(dòng)五、信息與溝通六、監(jiān) 控七、內(nèi)部控制的局限八、職能與責(zé)任內(nèi)部控制與風(fēng)險(xiǎn)管理框架一、定 義o內(nèi)部控制是一個(gè)由企業(yè)董事會(huì)、管理層和其他員工實(shí)施的、旨在為下列各類(lèi)目標(biāo)的實(shí)現(xiàn)提供合理保證的過(guò)程： 經(jīng)營(yíng)的有效性和效率 財(cái)務(wù)報(bào)告的可靠性 遵循適用的法律和法規(guī)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o這個(gè)定義反映了一些基本概念： 內(nèi)部控制是一個(gè)一個(gè)過(guò)程過(guò)程。它是實(shí)現(xiàn)目

19、的的手段，而不是目的本身 內(nèi)部控制由人員人員來(lái)實(shí)施。它并不僅僅是政策手冊(cè)和表格，還涉及組織中各個(gè)層級(jí)的人員 只能期望內(nèi)部控制為主體的管理層和董事會(huì)提供合理保證合理保證，而不是絕對(duì)保證 內(nèi)部控制被用來(lái)實(shí)現(xiàn)一個(gè)或多個(gè)彼此獨(dú)立又相互交叉的類(lèi)別的目標(biāo)目標(biāo)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o內(nèi)部控制的目標(biāo)： 經(jīng)營(yíng)（operations）目標(biāo)與主體資源利用的有效性與效率有關(guān) 財(cái)務(wù)報(bào)告（financial reporting）目標(biāo)與編制可靠的公開(kāi)財(cái)務(wù)報(bào)表有關(guān) 合規(guī)（compliance）目標(biāo)與主體對(duì)適用的法律和法規(guī)的遵循有關(guān)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o構(gòu)成要素： 控制環(huán)境控制環(huán)境（control environment）所

20、有業(yè)務(wù)活動(dòng)的核心都是人員他們的個(gè)人特性，包括誠(chéng)信、道德價(jià)值觀和勝任能力以及他們進(jìn)行經(jīng)營(yíng)所處的環(huán)境。他們是推動(dòng)主體發(fā)展的引擎，也是所有事情依賴的基礎(chǔ) 風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估（risk assessment）企業(yè)必須了解和應(yīng)對(duì)它所面臨的風(fēng)險(xiǎn)。它必須設(shè)定目標(biāo)，整合銷(xiāo)售、生產(chǎn)、營(yíng)銷(xiāo)、財(cái)務(wù)和其他活動(dòng)，以便使組織協(xié)調(diào)一致地運(yùn)行。它還必須建立識(shí)別、分析和管理相關(guān)風(fēng)險(xiǎn)的機(jī)制內(nèi)部控制與風(fēng)險(xiǎn)管理框架 控制活動(dòng)控制活動(dòng)（control activities）必須確立和執(zhí)行控制政策和程序，以幫助確保那些被管理層確認(rèn)為對(duì)實(shí)現(xiàn)主體目標(biāo)的風(fēng)險(xiǎn)而言所必需的活動(dòng)得以有效地實(shí)施 信息與溝通信息與溝通（information and c

21、ommunication）圍繞在這些活動(dòng)周?chē)氖切畔⑴c溝通系統(tǒng)。它們使主體的員工能夠獲得和交換那些執(zhí)行、管理和控制其運(yùn)營(yíng)所需的信息 監(jiān)控監(jiān)控（monitoring）必須對(duì)整個(gè)過(guò)程進(jìn)行監(jiān)控，并在必要時(shí)作出修改。這樣，該體系才能作出動(dòng)態(tài)反應(yīng)，隨著情況的需要而變化內(nèi)部控制與風(fēng)險(xiǎn)管理框架監(jiān)控控 制 環(huán) 境風(fēng) 險(xiǎn)評(píng) 估控制活動(dòng)信溝通息與溝通信息與內(nèi)部控制與風(fēng)險(xiǎn)管理框架o目標(biāo)和構(gòu)成要素之間的關(guān)系：目標(biāo)和構(gòu)成要素之間有著直接的關(guān)系，目標(biāo)是主體努力爭(zhēng)取實(shí)現(xiàn)的東西，構(gòu)成要素則代表著要實(shí)現(xiàn)這些目標(biāo)需要什么 每個(gè)構(gòu)成要素行都“貫穿”并適用于所有三類(lèi)目標(biāo) 所有五個(gè)構(gòu)成要素與每一類(lèi)目標(biāo)都有關(guān)聯(lián) 內(nèi)部控制與整個(gè)企業(yè)相關(guān)，

22、或與它的某一部分（子公司、分部或其他業(yè)務(wù)單元，或者職能或諸如購(gòu)買(mǎi)、生產(chǎn)、營(yíng)銷(xiāo)等其他活動(dòng) ）相關(guān)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o有效性如果董事會(huì)和管理層能夠合理保證以下三個(gè)方面，則內(nèi)部控制可以在三類(lèi)目標(biāo)中任何一類(lèi)上可分別被判斷為有效： 他們了解主體的經(jīng)營(yíng)目標(biāo)得以實(shí)現(xiàn)的程度 公布的財(cái)務(wù)報(bào)表被可靠地編制 適用的法律和法規(guī)得到了遵循確定特定的內(nèi)部控制體系是否有效是一種主觀判斷，它來(lái)自對(duì)五個(gè)構(gòu)成要素是否存在并有效運(yùn)行的評(píng)估 內(nèi)部控制與風(fēng)險(xiǎn)管理框架o內(nèi)部控制和管理過(guò)程管理活動(dòng)管理活動(dòng)內(nèi)部控制內(nèi)部控制主體層次目標(biāo)設(shè)定使命，價(jià)值觀陳述戰(zhàn)略規(guī)劃確立控制環(huán)境因素活動(dòng)層次目標(biāo)設(shè)定風(fēng)險(xiǎn)識(shí)別和分析風(fēng)險(xiǎn)管理實(shí)施控制活動(dòng)信息識(shí)別、

23、獲取和溝通監(jiān)控糾正措施VVVVV內(nèi)部控制與風(fēng)險(xiǎn)管理框架二、控制環(huán)境o控制環(huán)境設(shè)定了一個(gè)組織的基調(diào)，影響其員工的控制意識(shí)o它是內(nèi)部控制的其他所有構(gòu)成要素的基礎(chǔ)，為其提供了秩序和結(jié)構(gòu)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o控制環(huán)境的要素包括誠(chéng)信和道德價(jià)值觀 對(duì)勝任能力的要求董事會(huì)或?qū)徲?jì)委員會(huì)管理層的理念和經(jīng)營(yíng)風(fēng)格 組織結(jié)構(gòu) 權(quán)力和責(zé)任的分配 人力資源政策和實(shí)務(wù) 內(nèi)部控制與風(fēng)險(xiǎn)管理框架o評(píng)評(píng) 價(jià)價(jià) 誠(chéng)信和道德價(jià)值觀誠(chéng)信和道德價(jià)值觀 存在并執(zhí)行有關(guān)可接受的經(jīng)營(yíng)實(shí)務(wù)、利益沖突或期望的道德行為準(zhǔn)則方面的行為守則和其他政策 涉及員工、供應(yīng)商、客戶、投資者、債權(quán)人、保險(xiǎn)公司、競(jìng)爭(zhēng)者和審計(jì)師等（例如，管理層是否在一個(gè)較高的道德

24、水準(zhǔn)上開(kāi)展經(jīng)營(yíng)，堅(jiān)持其他人也必須這樣，或者不重視道德問(wèn)題） 達(dá)到不切實(shí)際的業(yè)績(jī)目標(biāo)尤其是短期成果的壓力，以及薪酬于實(shí)現(xiàn)這些業(yè)績(jī)目標(biāo)掛鉤的程度內(nèi)部控制與風(fēng)險(xiǎn)管理框架 對(duì)勝任能力的要求對(duì)勝任能力的要求 正式或非正式的崗位描述，或者其他界定構(gòu)成特定崗位的任務(wù)的方式 對(duì)充分履行崗位職責(zé)所需要的知識(shí)和技能的分析內(nèi)部控制與風(fēng)險(xiǎn)管理框架董事會(huì)或?qū)徲?jì)委員會(huì)董事會(huì)或?qū)徲?jì)委員會(huì) 獨(dú)立于管理層，以便提出必要的問(wèn)題，即使這些問(wèn)題很困難或需要調(diào)查 與首席財(cái)務(wù)官和/或會(huì)計(jì)負(fù)責(zé)人、內(nèi)部審計(jì)人員和外部審計(jì)師會(huì)談的頻率和及時(shí)性 向董事會(huì)或?qū)ｉT(mén)委員會(huì)成員提供信息的充分性和及時(shí)性，提供這些信息是為了獲準(zhǔn)監(jiān)控管理層的目標(biāo)和戰(zhàn)略、企業(yè)

25、的財(cái)務(wù)狀況和經(jīng)營(yíng)成果，以及重大協(xié)議的條款 向董事會(huì)或?qū)徲?jì)委員會(huì)通報(bào)敏感信息、調(diào)查事項(xiàng)和不當(dāng)行為（例如，高級(jí)官員的旅行費(fèi)用、重大訴訟、監(jiān)管機(jī)構(gòu)的調(diào)查、貪污、受賄或?yàn)E用公司資產(chǎn)、違反內(nèi)幕交易規(guī)則、政治性捐款、非法支付）的充分性和及時(shí)性內(nèi)部控制與風(fēng)險(xiǎn)管理框架管理層的理念和經(jīng)營(yíng)風(fēng)格管理層的理念和經(jīng)營(yíng)風(fēng)格 承擔(dān)的經(jīng)營(yíng)風(fēng)險(xiǎn)的性質(zhì)，例如，管理層是否經(jīng)常涉足風(fēng)險(xiǎn)特別高的投機(jī)活動(dòng)，或者對(duì)在承擔(dān)風(fēng)險(xiǎn)方面極其保守 高級(jí)管理層和運(yùn)營(yíng)管理層之間互動(dòng)的頻率，尤其是在地理位置偏遠(yuǎn)的地區(qū)進(jìn)行運(yùn)營(yíng)時(shí) 對(duì)財(cái)務(wù)報(bào)告的態(tài)度和行動(dòng)，包括對(duì)會(huì)計(jì)處理方法運(yùn)用的爭(zhēng)議（例如，選擇穩(wěn)健的還是激進(jìn)的會(huì)計(jì)政策；是否錯(cuò)用了會(huì)計(jì)原則，沒(méi)有披露重要的財(cái)務(wù)

26、信息，或者篡改或偽造記錄）內(nèi)部控制與風(fēng)險(xiǎn)管理框架組織結(jié)構(gòu)組織結(jié)構(gòu) 主體組織結(jié)構(gòu)的適當(dāng)性，以及提供必要的信息流以便管理其活動(dòng)的能力 關(guān)鍵管理人員責(zé)任界定的適當(dāng)性，以及他們對(duì)這些責(zé)任了解的充分性 相對(duì)于其責(zé)任而言，關(guān)鍵管理人員知識(shí)和經(jīng)驗(yàn)的充分性內(nèi)部控制與風(fēng)險(xiǎn)管理框架權(quán)力和責(zé)任的分配權(quán)力和責(zé)任的分配 分配責(zé)任和授予權(quán)力以便實(shí)現(xiàn)組織宗旨和目標(biāo)、經(jīng)營(yíng)職能和監(jiān)管要求，包括對(duì)信息系統(tǒng)的責(zé)任和對(duì)變革的授權(quán) 與內(nèi)部控制相關(guān)的準(zhǔn)則和程序的適當(dāng)性，包括員工崗位描述 足夠數(shù)量的具備與主體規(guī)模、活動(dòng)和系統(tǒng)的性質(zhì)和復(fù)雜程度相適應(yīng)的必要技能的人員，尤其是與數(shù)據(jù)處理和會(huì)計(jì)職能有關(guān)的人員內(nèi)部控制與風(fēng)險(xiǎn)管理框架人力資源政策和實(shí)務(wù)

27、人力資源政策和實(shí)務(wù) 員工聘用、培訓(xùn)、晉升和薪酬方面的政策和程序制定到位的程度 為應(yīng)對(duì)偏離既定政策和程序所采取的補(bǔ)救措施的適合性 對(duì)員工候選人的背景進(jìn)行核查的充分性，尤其是當(dāng)企業(yè)認(rèn)為對(duì)其以前的行為或活動(dòng)無(wú)法接受的情況下 員工保留和晉升標(biāo)準(zhǔn)以及信息收集方法（例如，業(yè)績(jī)?cè)u(píng)價(jià)）的適當(dāng)性，以及與行為守則和其他行為指南的關(guān)系內(nèi)部控制與風(fēng)險(xiǎn)管理框架三、風(fēng)險(xiǎn)評(píng)估o每個(gè)主體都面臨著來(lái)自外部和內(nèi)部的必須予以評(píng)估的一系列風(fēng)險(xiǎn)o風(fēng)險(xiǎn)評(píng)估的前提是設(shè)定在各個(gè)層次相互關(guān)聯(lián)和內(nèi)在一致的目標(biāo)o風(fēng)險(xiǎn)評(píng)估是識(shí)別和分析影響目標(biāo)實(shí)現(xiàn)的相關(guān)風(fēng)險(xiǎn)，為確定應(yīng)該如何管理這些風(fēng)險(xiǎn)奠定基礎(chǔ)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o目標(biāo)目標(biāo)設(shè)定是風(fēng)險(xiǎn)評(píng)估的前提條件。

28、必須首先有目標(biāo)，管理層才能識(shí)別實(shí)現(xiàn)這些目標(biāo)的風(fēng)險(xiǎn)，并采取必要的措施來(lái)管理風(fēng)險(xiǎn) 目標(biāo)設(shè)定是管理過(guò)程的一個(gè)關(guān)鍵部分，盡管它不是內(nèi)部控制的構(gòu)成要素，但它是內(nèi)部控制的先決條件和使能方法 目標(biāo)的類(lèi)別：經(jīng)營(yíng)目標(biāo)，財(cái)務(wù)報(bào)告目標(biāo)，合規(guī)目標(biāo)目標(biāo)的交叉：保護(hù)資產(chǎn)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o風(fēng)險(xiǎn)識(shí)別和分析風(fēng)險(xiǎn)的過(guò)程是一個(gè)持續(xù)的重復(fù)過(guò)程，它是有效的內(nèi)部控制體系的關(guān)鍵構(gòu)成要素 風(fēng)險(xiǎn)識(shí)別主體層次：外部因素，內(nèi)部因素活動(dòng)層次內(nèi)部控制與風(fēng)險(xiǎn)管理框架風(fēng)險(xiǎn)分析 估計(jì)風(fēng)險(xiǎn)的嚴(yán)重性 評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性（或頻率） 考慮如何管理風(fēng)險(xiǎn)即評(píng)估需要采取何種措施應(yīng)對(duì)變化內(nèi)部控制與風(fēng)險(xiǎn)管理框架o評(píng) 價(jià)主體層次的目標(biāo) 對(duì)主體目標(biāo)充分陳述的程度，是否對(duì)

29、主體期望實(shí)現(xiàn)的目標(biāo)提供充分的指導(dǎo)，而且特定目標(biāo)直接與該主體相關(guān) 向員工和董事會(huì)傳達(dá)主體目標(biāo)的有效性 主體目標(biāo)與各種策略的關(guān)系和一致性 主體目標(biāo)、戰(zhàn)略計(jì)劃和當(dāng)前環(huán)境條件與經(jīng)營(yíng)計(jì)劃和預(yù)算的一致性內(nèi)部控制與風(fēng)險(xiǎn)管理框架活動(dòng)層次的目標(biāo) 活動(dòng)層次目標(biāo)與主體層次的目標(biāo)和戰(zhàn)略計(jì)劃的關(guān)聯(lián)度 活動(dòng)層次目標(biāo)之間的一致性 活動(dòng)層次目標(biāo)與所有重要的業(yè)務(wù)流程的相關(guān)性 活動(dòng)層次目標(biāo)的特異性 與目標(biāo)相關(guān)的資源是否充足 識(shí)別對(duì)實(shí)現(xiàn)主體層次的目標(biāo)來(lái)說(shuō)是較重要的目標(biāo)（關(guān)鍵成功因素） 各級(jí)管理層參與目標(biāo)設(shè)定，以及他們對(duì)實(shí)現(xiàn)目標(biāo)履行諾言的程度內(nèi)部控制與風(fēng)險(xiǎn)管理框架風(fēng)險(xiǎn) 識(shí)別外部因素造成風(fēng)險(xiǎn)的機(jī)制是否足夠全面 識(shí)別內(nèi)部因素造成風(fēng)險(xiǎn)的機(jī)

30、制是否足夠全面 為每個(gè)重要的活動(dòng)層次目標(biāo)識(shí)別重大風(fēng)險(xiǎn) 風(fēng)險(xiǎn)分析流程（包括估計(jì)風(fēng)險(xiǎn)的重要性、評(píng)估風(fēng)險(xiǎn)出現(xiàn)的可能性并確定需要采取的行動(dòng)）的徹底性和相關(guān)性內(nèi)部控制與風(fēng)險(xiǎn)管理框架應(yīng)對(duì)變化 是否存在各種機(jī)制去預(yù)測(cè)、識(shí)別并對(duì)影響實(shí)現(xiàn)主體或活動(dòng)層次目標(biāo)的日常事件或活動(dòng)作出反應(yīng)（通常由負(fù)責(zé)受該種變化影響最大的業(yè)務(wù)活動(dòng)的管理人員來(lái)實(shí)施） 是否存在各種機(jī)制去識(shí)別變化并對(duì)變化作出反應(yīng)，這種變化會(huì)給主體帶來(lái)巨大和滲透性影響而且可能還需要高級(jí)管理層的關(guān)注內(nèi)部控制與風(fēng)險(xiǎn)管理框架四、控制活動(dòng)o控制活動(dòng)是指為確保管理層的指令得以貫徹執(zhí)行的政策和程序o它有助于確保采取必要的行動(dòng)進(jìn)行風(fēng)險(xiǎn)管理和保證主體層次的目標(biāo)的實(shí)現(xiàn)o控制活動(dòng)貫

31、穿于主體的所有級(jí)別和職能部門(mén)o它包括一系列不同的活動(dòng)，如批準(zhǔn)、授權(quán)、驗(yàn)證、核對(duì)、經(jīng)營(yíng)業(yè)績(jī)?cè)u(píng)價(jià)、資產(chǎn)保全以及職責(zé)分離等內(nèi)部控制與風(fēng)險(xiǎn)管理框架o控制活動(dòng)的類(lèi)型高層復(fù)核直接的職能活動(dòng)或業(yè)務(wù)管理信息處理實(shí)物控制業(yè)績(jī)指標(biāo)職責(zé)分離內(nèi)部控制與風(fēng)險(xiǎn)管理框架o對(duì)信息系統(tǒng)的控制一般控制數(shù)據(jù)中心操作控制系統(tǒng)軟件控制接觸安全控制應(yīng)用系統(tǒng)開(kāi)發(fā)和維護(hù)控制應(yīng)用控制內(nèi)部控制與風(fēng)險(xiǎn)管理框架五、信息與溝通o相關(guān)信息必須以某種形式和在一定時(shí)限內(nèi)被識(shí)別、獲得和傳達(dá)溝通，以便可以使員工履行自己的責(zé)任o信息系統(tǒng)生成含有與經(jīng)營(yíng)、財(cái)務(wù)和合規(guī)性有關(guān)信息的報(bào)告，從而使管理運(yùn)作和控制主體成為可能o信息系統(tǒng)不僅處理內(nèi)部生成的數(shù)據(jù)，也處理有關(guān)外部事件

32、、活動(dòng)和條件狀況的信息，這些信息對(duì)有資料依據(jù)的主體的決策和外部報(bào)告都是必需的內(nèi)部控制與風(fēng)險(xiǎn)管理框架o有效的溝通也必須廣泛的進(jìn)行，自上而下、自下而上地貫穿整個(gè)主體o所有人員都要從高級(jí)管理層獲得明確的信息：必須認(rèn)真對(duì)待控制責(zé)任o他們必須了解各自在內(nèi)部控制體系中擔(dān)任的職能，以及個(gè)人參與的控制活動(dòng)與他人工作是如何相互關(guān)聯(lián)的o他們必須有自下而上傳遞重要信息的渠道和方法o同時(shí)，也需要與外部各方如客戶、供應(yīng)商、監(jiān)管機(jī)構(gòu)和股東等建立有效的溝通內(nèi)部控制與風(fēng)險(xiǎn)管理框架o評(píng)價(jià)信息系統(tǒng) 獲得外部和內(nèi)部信息，向管理層提供必要的報(bào)告，說(shuō)明與實(shí)現(xiàn)主體確立目標(biāo)相關(guān)的主體業(yè)績(jī)表現(xiàn) 向合適的人及時(shí)提供足夠詳細(xì)的信息，使他們能夠有

33、有效性和效率地履行其責(zé)任 依據(jù)一份信息系統(tǒng)戰(zhàn)略計(jì)劃（與主體總體戰(zhàn)略相關(guān)），發(fā)展或修改信息系統(tǒng)，使其為實(shí)現(xiàn)主體層次的目標(biāo)及活動(dòng)層次目標(biāo)服務(wù) 通過(guò)承諾提供適當(dāng)?shù)娜肆ω?cái)力資源顯示管理層對(duì)發(fā)展必要的信息系統(tǒng)的支持內(nèi)部控制與風(fēng)險(xiǎn)管理框架溝通系統(tǒng) 傳達(dá)交流員工義務(wù)和控制責(zé)任的有效性 建立溝通渠道，使員工可以舉報(bào)受到懷疑的不當(dāng)行為 管理層對(duì)員工建議提高生產(chǎn)力、強(qiáng)化質(zhì)量或其它相似改進(jìn)的方法的接受程度內(nèi)部控制與風(fēng)險(xiǎn)管理框架 主體內(nèi)部相互之間溝通是否足夠（例如，采購(gòu)活動(dòng)與生產(chǎn)活動(dòng)之間）；信息的完整性和及時(shí)性以及是否足以使人們有效地履行其責(zé)任 與客戶、供應(yīng)商和其他外部有關(guān)方溝通交流不斷變化的客戶需求信息的渠道的開(kāi)放

34、性和有效性 外部各方已了解該主體道德準(zhǔn)則的程度 管理層通過(guò)與客戶、供應(yīng)商、監(jiān)管機(jī)構(gòu)或其他外部有關(guān)方的溝通，采取了及時(shí)和合適的跟進(jìn)措施內(nèi)部控制與風(fēng)險(xiǎn)管理框架六、監(jiān) 控o對(duì)內(nèi)部控制需要進(jìn)行監(jiān)控o監(jiān)控是一個(gè)評(píng)估內(nèi)部控制體系在一定時(shí)期內(nèi)運(yùn)行質(zhì)量的過(guò)程o監(jiān)控可以通過(guò)持續(xù)性的監(jiān)控活動(dòng)、個(gè)別評(píng)價(jià)或兩者并用來(lái)實(shí)現(xiàn)這個(gè)過(guò)程內(nèi)部控制與風(fēng)險(xiǎn)管理框架o持續(xù)性監(jiān)控活動(dòng)發(fā)生在經(jīng)營(yíng)的過(guò)程中，它包括日常管理和監(jiān)控活動(dòng)以及個(gè)人在履行其責(zé)任時(shí)采取的其他行動(dòng)o個(gè)別評(píng)價(jià)的范圍和頻率將主要取決于風(fēng)險(xiǎn)評(píng)估和持續(xù)性監(jiān)控程序的有效性o應(yīng)自下而上匯報(bào)內(nèi)部控制的缺陷，其中嚴(yán)重的問(wèn)題應(yīng)上報(bào)高級(jí)管理層和董事會(huì)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o持續(xù)性監(jiān)控活動(dòng)的

35、例子在執(zhí)行常規(guī)管理活動(dòng)時(shí)，負(fù)責(zé)運(yùn)營(yíng)的管理層獲取內(nèi)部控制持續(xù)發(fā)揮功能的證據(jù) 與外界各方的溝通能夠印證內(nèi)部生成的信息或揭示問(wèn)題 適當(dāng)?shù)慕M織結(jié)構(gòu)和監(jiān)控活動(dòng)可監(jiān)控內(nèi)部控制職能的執(zhí)行并識(shí)別內(nèi)部控制的缺陷 內(nèi)部控制與風(fēng)險(xiǎn)管理框架將信息系統(tǒng)所記錄的數(shù)據(jù)與實(shí)物資產(chǎn)相比較 內(nèi)部及外部審計(jì)師定期為進(jìn)一步加強(qiáng)內(nèi)部控制的方法提供建議 培訓(xùn)研討會(huì)、計(jì)劃會(huì)議及其他會(huì)議可以向管理層提供有關(guān)內(nèi)部控制是否有效的重要反饋 定期要求主體員工明確說(shuō)明他們是否理解并遵守主體的員工行為守則 內(nèi)部控制與風(fēng)險(xiǎn)管理框架o個(gè)別評(píng)價(jià)個(gè)別評(píng)價(jià)內(nèi)部控制的范圍和頻率主要取決于被控風(fēng)險(xiǎn)的重要性以及內(nèi)部控制在減少風(fēng)險(xiǎn)中的重要性內(nèi)部控制自我評(píng)估缺陷報(bào)告內(nèi)部控

36、制與風(fēng)險(xiǎn)管理框架o評(píng) 價(jià)持續(xù)性監(jiān)控在員工進(jìn)行其日?；顒?dòng)中獲得證據(jù)的程度，以此表明內(nèi)部控制體系是否繼續(xù)發(fā)揮作用與外部各方進(jìn)行溝通確認(rèn)內(nèi)部生成的信息或指明問(wèn)題的程度內(nèi)部控制與風(fēng)險(xiǎn)管理框架定期對(duì)會(huì)計(jì)系統(tǒng)記錄的金額與實(shí)物資產(chǎn)進(jìn)行核對(duì)對(duì)內(nèi)部和外部審計(jì)師建議增強(qiáng)內(nèi)部控制手段的反應(yīng)培訓(xùn)研討會(huì)、計(jì)劃會(huì)議及其他會(huì)議向管理層提供有關(guān)內(nèi)部控制是否有效的重要反饋的程度是否定期要求員工說(shuō)明他們是否理解并遵守主體的員工行為守則并且正常執(zhí)行了關(guān)鍵控制活動(dòng)內(nèi)部審計(jì)活動(dòng)的有效性。內(nèi)部控制與風(fēng)險(xiǎn)管理框架個(gè)別評(píng)價(jià)內(nèi)部控制體系個(gè)別評(píng)價(jià)的范圍和頻率評(píng)價(jià)流程的適合性評(píng)價(jià)內(nèi)部控制體系的方法是否合理、適當(dāng)文件記錄水平的適當(dāng)性內(nèi)部控制與風(fēng)險(xiǎn)管

37、理框架報(bào)告缺陷是否有獲取和報(bào)告識(shí)別出的內(nèi)部控制缺陷的機(jī)制上報(bào)規(guī)程的適合性跟進(jìn)行動(dòng)的適合性內(nèi)部控制與風(fēng)險(xiǎn)管理框架七、內(nèi)部控制的局限o無(wú)論內(nèi)部控制設(shè)計(jì)和運(yùn)行的多完善，它也只能向管理層和董事會(huì)就實(shí)現(xiàn)主體目標(biāo)提供合理保證o實(shí)現(xiàn)主體目標(biāo)的可能性受到所有內(nèi)部控制體系的固有局限的影響，這些局限包括：在決策時(shí)個(gè)人判斷可能會(huì)出錯(cuò)由于簡(jiǎn)單的誤差或錯(cuò)誤這樣的失誤而可能出現(xiàn)內(nèi)部控制失效兩人或多人的串通也可以繞過(guò)內(nèi)部控制管理層能夠凌駕于內(nèi)部控制之上系統(tǒng)另一個(gè)限制性因素是需要考慮內(nèi)部控制的相對(duì)成本和收益內(nèi)部控制與風(fēng)險(xiǎn)管理框架八、職能與責(zé)任o主體中每一個(gè)人都對(duì)內(nèi)部控制負(fù)有責(zé)任o管理層要為主體的內(nèi)部控制體系負(fù)責(zé)o首席執(zhí)行官最

38、終對(duì)內(nèi)部控制體系負(fù)責(zé)并應(yīng)承擔(dān)內(nèi)部控制體系“所有權(quán)”的責(zé)任o盡管管理層的所有成員都發(fā)揮著重要作用并對(duì)控制他們各自部門(mén)的活動(dòng)負(fù)責(zé)，但首席財(cái)務(wù)官和總會(huì)計(jì)師對(duì)管理層行使控制的方式起著主要的作用內(nèi)部控制與風(fēng)險(xiǎn)管理框架o內(nèi)部審計(jì)人員在內(nèi)部控制體系持續(xù)有效性方面發(fā)揮著作用，但他們不承擔(dān)建立和維持該系統(tǒng)的主要責(zé)任o董事會(huì)和其審計(jì)委員會(huì)對(duì)內(nèi)部控制體系提供重要的監(jiān)控o外部有關(guān)方面（例如外部審計(jì)師）常常在實(shí)現(xiàn)主體目標(biāo)方面發(fā)揮作用并提供在實(shí)施內(nèi)部控制中有用的信息。但是，他們不是主體內(nèi)部控制體系的一部分，也不對(duì)內(nèi)部控制體系的有效性負(fù)責(zé)內(nèi)部控制與風(fēng)險(xiǎn)管理框架第三部分 企業(yè)風(fēng)險(xiǎn)管理整合框架內(nèi)部控制與風(fēng)險(xiǎn)管理框架一、定義二、

39、內(nèi)部環(huán)境三、目標(biāo)設(shè)定四、事項(xiàng)識(shí)別五、風(fēng)險(xiǎn)評(píng)估六、風(fēng)險(xiǎn)應(yīng)對(duì)七、控制活動(dòng)八、信息與溝通九、監(jiān)控十、職能與責(zé)任十一、企業(yè)風(fēng)險(xiǎn)管理的局限內(nèi)部控制與風(fēng)險(xiǎn)管理框架一、定義o不確定性與價(jià)值不確定性與價(jià)值企業(yè)風(fēng)險(xiǎn)管理的一個(gè)基本前提是每一個(gè)主體存在的目的都是為它的利益相關(guān)者提供價(jià)值所有的主體都面臨不確定性，對(duì)于管理層的挑戰(zhàn)在于確定在追求增加利益相關(guān)者價(jià)值的同時(shí)，準(zhǔn)備承受多少不確定性 內(nèi)部控制與風(fēng)險(xiǎn)管理框架o事項(xiàng)事項(xiàng)風(fēng)險(xiǎn)與機(jī)會(huì)風(fēng)險(xiǎn)與機(jī)會(huì)風(fēng)險(xiǎn)是一個(gè)事項(xiàng)將會(huì)發(fā)生并給目標(biāo)實(shí)現(xiàn)帶來(lái)負(fù)面影響的可能性機(jī)會(huì)是一個(gè)事項(xiàng)將會(huì)發(fā)生并給目標(biāo)實(shí)現(xiàn)帶來(lái)正面影響的可能性內(nèi)部控制與風(fēng)險(xiǎn)管理框架o企業(yè)風(fēng)險(xiǎn)管理的定義企業(yè)風(fēng)險(xiǎn)管理的定義企業(yè)風(fēng)險(xiǎn)管理

40、是一個(gè)過(guò)程，它由一個(gè)主體的董事會(huì)、管理層和其他人員實(shí)施，應(yīng)用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識(shí)別可能會(huì)影響主體的潛在事項(xiàng)，管理風(fēng)險(xiǎn)以使其在該主體的風(fēng)險(xiǎn)容量之內(nèi)，并為主體目標(biāo)的實(shí)現(xiàn)提供合理保證。內(nèi)部控制與風(fēng)險(xiǎn)管理框架o企業(yè)風(fēng)險(xiǎn)管理是： 一個(gè)過(guò)程，它持續(xù)地流動(dòng)于主體之內(nèi)；由組織中各個(gè)層級(jí)人員實(shí)施；應(yīng)用于戰(zhàn)略制訂；貫穿于企業(yè)，在各個(gè)層級(jí)和單元應(yīng)用，還包括采取主體層級(jí)的風(fēng)險(xiǎn)組合觀；旨在識(shí)別一旦發(fā)生將會(huì)影響主體的潛在事項(xiàng)，并把風(fēng)險(xiǎn)控制在風(fēng)險(xiǎn)容量以內(nèi)；能夠向一個(gè)主體的管理層和董事會(huì)提供合理保證；力求實(shí)現(xiàn)一個(gè)或多個(gè)不同類(lèi)型但相互交叉的目標(biāo)它只是實(shí)現(xiàn)結(jié)果的一種手段，并不是結(jié)果本身。內(nèi)部控制與風(fēng)險(xiǎn)管理框架o風(fēng)險(xiǎn)

41、容量與風(fēng)險(xiǎn)容限風(fēng)險(xiǎn)容量（risk appetite）是一個(gè)主體在追求價(jià)值的過(guò)程中所愿意承受的廣泛意義的風(fēng)險(xiǎn)的數(shù)量。它反映了主體的風(fēng)險(xiǎn)管理理念，進(jìn)而影響主體的文化和經(jīng)營(yíng)風(fēng)格。 風(fēng)險(xiǎn)容限（risk tolerance）是相對(duì)于實(shí)現(xiàn)一項(xiàng)具體目標(biāo)而言，可以接受的偏離程度，它通常最好采用那些與度量相關(guān)目標(biāo)相同的單位進(jìn)行度量。 內(nèi)部控制與風(fēng)險(xiǎn)管理框架o四類(lèi)目標(biāo)戰(zhàn)略戰(zhàn)略與高層次的目的相關(guān)，協(xié)調(diào)并支撐主體的目標(biāo)；經(jīng)營(yíng)經(jīng)營(yíng)與利用主體資源的有效性和效率相關(guān)；報(bào)告報(bào)告與主體報(bào)告的可靠性相關(guān)；合規(guī)合規(guī)與主體符合適用的法律和法規(guī)相關(guān)。內(nèi)部控制與風(fēng)險(xiǎn)管理框架o企業(yè)風(fēng)險(xiǎn)管理的構(gòu)成要素企業(yè)風(fēng)險(xiǎn)管理的構(gòu)成要素內(nèi)部環(huán)境管理層確立

42、關(guān)于風(fēng)險(xiǎn)的理念，并確定風(fēng)險(xiǎn)容量。內(nèi)部環(huán)境為主體中的人們?nèi)绾慰创L(fēng)險(xiǎn)和著手控制確立了基礎(chǔ)。所有企業(yè)的核心都是人他們的個(gè)人品性，包括誠(chéng)信、道德價(jià)值觀和勝任能力以及經(jīng)營(yíng)所處的環(huán)境。目標(biāo)設(shè)定必須先有目標(biāo)，管理層才能識(shí)別影響它們的實(shí)現(xiàn)的潛在事項(xiàng)。企業(yè)風(fēng)險(xiǎn)管理確保管理層采取恰當(dāng)?shù)某绦蛉ピO(shè)定目標(biāo)，確保所選定的目標(biāo)支持和切合該主體的使命，并且與它的風(fēng)險(xiǎn)容量相一致。內(nèi)部控制與風(fēng)險(xiǎn)管理框架事項(xiàng)識(shí)別必須識(shí)別可能對(duì)主體產(chǎn)生影響的潛在事項(xiàng)。事項(xiàng)識(shí)別涉及到從影響目標(biāo)實(shí)現(xiàn)的內(nèi)部或外部原因中識(shí)別潛在的事項(xiàng)。它包括區(qū)分代表風(fēng)險(xiǎn)的事項(xiàng)和代表機(jī)會(huì)的事項(xiàng)，以及可能二者兼有的事項(xiàng)。機(jī)會(huì)被反饋到管理層的戰(zhàn)略或目標(biāo)制訂過(guò)程中。風(fēng)險(xiǎn)評(píng)估要對(duì)

43、識(shí)別的風(fēng)險(xiǎn)進(jìn)行分析，以便形成確定應(yīng)該如何對(duì)它們進(jìn)行管理的依據(jù)。風(fēng)險(xiǎn)與可能被影響的目標(biāo)相關(guān)聯(lián)。既要對(duì)固有風(fēng)險(xiǎn)進(jìn)行評(píng)估，也要對(duì)剩余風(fēng)險(xiǎn)進(jìn)行評(píng)估，評(píng)估要考慮到風(fēng)險(xiǎn)的可能性和影響。內(nèi)部控制與風(fēng)險(xiǎn)管理框架風(fēng)險(xiǎn)應(yīng)對(duì)員工識(shí)別和評(píng)價(jià)可能的風(fēng)險(xiǎn)應(yīng)對(duì)，包括回避、承擔(dān)、降低和分擔(dān)風(fēng)險(xiǎn)。管理層選擇一系列措施使風(fēng)險(xiǎn)與主體的風(fēng)險(xiǎn)容限和風(fēng)險(xiǎn)容量相協(xié)調(diào)?？刂苹顒?dòng)制訂和實(shí)施政策與程序以幫助確保管理層所選擇的風(fēng)險(xiǎn)應(yīng)對(duì)得以有效實(shí)施。內(nèi)部控制與風(fēng)險(xiǎn)管理框架信息與溝通相關(guān)的信息以確保員工履行其職責(zé)的方式和時(shí)機(jī)予以識(shí)別、獲取和溝通。主體的各個(gè)層級(jí)都需要借助信息來(lái)識(shí)別、評(píng)估和應(yīng)對(duì)風(fēng)險(xiǎn)。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和

44、向上流動(dòng)。員工獲得有關(guān)他們的職能和責(zé)任的清晰的溝通。監(jiān)控對(duì)企業(yè)風(fēng)險(xiǎn)管理進(jìn)行全面監(jiān)控，必要時(shí)加以修正。通過(guò)這種方式，它能夠動(dòng)態(tài)地反應(yīng)，根據(jù)條件的要求而變化。監(jiān)控通過(guò)持續(xù)的管理活動(dòng)、對(duì)企業(yè)風(fēng)險(xiǎn)管理的個(gè)別評(píng)價(jià)或者兩者相結(jié)合來(lái)完成。內(nèi)部控制與風(fēng)險(xiǎn)管理框架目標(biāo)與構(gòu)成要素之間的關(guān)系目標(biāo)與構(gòu)成要素之間的關(guān)系內(nèi) 部 環(huán) 境戰(zhàn) 略目 標(biāo) 設(shè) 定事 項(xiàng) 識(shí) 別風(fēng) 險(xiǎn) 評(píng) 估風(fēng) 險(xiǎn) 應(yīng) 對(duì)控 制 活 動(dòng)信息與溝通監(jiān) 控經(jīng) 營(yíng)報(bào) 告合規(guī) 子公司業(yè)務(wù)單元分 部企業(yè)層次內(nèi)部控制與風(fēng)險(xiǎn)管理框架o有效性有效性盡管企業(yè)風(fēng)險(xiǎn)管理是一個(gè)過(guò)程，它的有效性卻是在某個(gè)時(shí)點(diǎn)上的一種狀態(tài)或情況確定企業(yè)風(fēng)險(xiǎn)管理是否“有效”，是在對(duì)八個(gè)構(gòu)成要素

45、是否存在和有效運(yùn)行的評(píng)估的基礎(chǔ)之上所作出的判斷如果這些構(gòu)成要素存在且正常運(yùn)行，那么就可能沒(méi)有重大缺陷，而風(fēng)險(xiǎn)可能已經(jīng)被控制在主體的風(fēng)險(xiǎn)容量以內(nèi)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o涵蓋內(nèi)部控制涵蓋內(nèi)部控制內(nèi)部控制是企業(yè)風(fēng)險(xiǎn)管理不可分割的一部分企業(yè)風(fēng)險(xiǎn)管理框架涵蓋了內(nèi)部控制，從而構(gòu)建一個(gè)更強(qiáng)有力的概念和管理工具內(nèi)部控制與風(fēng)險(xiǎn)管理框架o企業(yè)風(fēng)險(xiǎn)管理與管理過(guò)程企業(yè)風(fēng)險(xiǎn)管理與管理過(guò)程企業(yè)風(fēng)險(xiǎn)管理是管理過(guò)程的一部分 但是并不是管理層所做的每一件事情都是企業(yè)風(fēng)險(xiǎn)管理的一部分 內(nèi)部控制與風(fēng)險(xiǎn)管理框架o管理層在決策和相關(guān)的管理活動(dòng)中所運(yùn)用的許多判斷，盡管是管理過(guò)程的一部分，但是并不是企業(yè)風(fēng)險(xiǎn)管理的一部分。例如：確保有一個(gè)恰

46、當(dāng)?shù)哪繕?biāo)設(shè)定過(guò)程是企業(yè)風(fēng)險(xiǎn)管理的一個(gè)重要的構(gòu)成要素，但是管理層所選定的特定目標(biāo)并不是企業(yè)風(fēng)險(xiǎn)管理的一部分根據(jù)對(duì)風(fēng)險(xiǎn)的恰當(dāng)評(píng)估去應(yīng)對(duì)風(fēng)險(xiǎn)是企業(yè)風(fēng)險(xiǎn)管理的一部分，但是所選定的具體風(fēng)險(xiǎn)應(yīng)對(duì)和主體資源的相應(yīng)配置卻不是確定和執(zhí)行控制活動(dòng)以幫助確保管理層選擇的風(fēng)險(xiǎn)應(yīng)對(duì)得以有效實(shí)施是企業(yè)風(fēng)險(xiǎn)管理的一部分，但是所選定的特定的控制活動(dòng)卻不是內(nèi)部控制與風(fēng)險(xiǎn)管理框架二、內(nèi)部環(huán)境o風(fēng)險(xiǎn)管理理念風(fēng)險(xiǎn)管理理念o風(fēng)險(xiǎn)容量風(fēng)險(xiǎn)容量o董事會(huì)董事會(huì)o誠(chéng)信與道德價(jià)值觀誠(chéng)信與道德價(jià)值觀o對(duì)勝任能力的要求對(duì)勝任能力的要求o組織結(jié)構(gòu)組織結(jié)構(gòu)o權(quán)力和職責(zé)的分配權(quán)力和職責(zé)的分配o人力資源準(zhǔn)則人力資源準(zhǔn)則內(nèi)部控制與風(fēng)險(xiǎn)管理框架o風(fēng)險(xiǎn)管理理念風(fēng)

47、險(xiǎn)管理理念主體的風(fēng)險(xiǎn)管理理念代表著決定主體如何考慮所有活動(dòng)中的風(fēng)險(xiǎn)的共同的信念和態(tài)度它反映了主體的價(jià)值觀，影響它的文化和經(jīng)營(yíng)風(fēng)格它影響著如何應(yīng)用企業(yè)風(fēng)險(xiǎn)管理的構(gòu)成要素，包括如何識(shí)別事項(xiàng)、所承受的風(fēng)險(xiǎn)的類(lèi)型，以及如何對(duì)它們進(jìn)行管理它被很好地確立和理解，并為主體的員工所信奉它體現(xiàn)在政策描述、口頭和書(shū)面溝通以及決策之中管理層不僅通過(guò)語(yǔ)言而且通過(guò)日常行動(dòng)來(lái)強(qiáng)化這種理念內(nèi)部控制與風(fēng)險(xiǎn)管理框架o風(fēng)險(xiǎn)容量風(fēng)險(xiǎn)容量主體的風(fēng)險(xiǎn)容量反映了主體的風(fēng)險(xiǎn)管理理念，并且影響著文化和經(jīng)營(yíng)風(fēng)格它在戰(zhàn)略制訂的過(guò)程中予以考慮，使戰(zhàn)略與風(fēng)險(xiǎn)容量相協(xié)調(diào)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o董事會(huì)董事會(huì)董事會(huì)是積極的，它擁有一定程度的管理、技術(shù)和其

48、他專(zhuān)長(zhǎng)，并且具有履行其監(jiān)督職責(zé)所需的思維方式它準(zhǔn)備質(zhì)疑和仔細(xì)審查管理層的活動(dòng)，提出不同的觀點(diǎn)，以及在遇到不當(dāng)行為時(shí)采取行動(dòng)獨(dú)立的外部董事至少占多數(shù)它提供對(duì)企業(yè)風(fēng)險(xiǎn)管理的監(jiān)督，并且知道和同意主體的風(fēng)險(xiǎn)容量?jī)?nèi)部控制與風(fēng)險(xiǎn)管理框架o誠(chéng)信與道德價(jià)值觀誠(chéng)信與道德價(jià)值觀主體的行為準(zhǔn)則反映了誠(chéng)信和道德價(jià)值觀道德價(jià)值觀不僅通過(guò)有關(guān)什么是對(duì)的和錯(cuò)的的明確指南來(lái)進(jìn)行溝通，而且是與其共存的誠(chéng)信和道德價(jià)值觀通過(guò)正式的行為守則予以溝通向上的溝通渠道存在于員工感覺(jué)帶來(lái)相關(guān)信息很舒服的地方對(duì)于違反守則的員工進(jìn)行處罰，鼓勵(lì)員工報(bào)告可疑的違反行為的機(jī)制，并針對(duì)有意不報(bào)告違反行為的員工采取懲戒措施誠(chéng)信和道德價(jià)值觀通過(guò)管理層的行動(dòng)

49、和他們樹(shù)立的榜樣予以溝通內(nèi)部控制與風(fēng)險(xiǎn)管理框架o對(duì)勝任能力的要求對(duì)勝任能力的要求主體中的人員的勝任能力反映完成指定任務(wù)所需的知識(shí)和技能管理層要協(xié)調(diào)勝任能力和成本 內(nèi)部控制與風(fēng)險(xiǎn)管理框架o組織結(jié)構(gòu)組織結(jié)構(gòu)組織結(jié)構(gòu)界定職責(zé)和責(zé)任的關(guān)鍵范圍它確立了報(bào)告的途徑確定組織結(jié)構(gòu)要考慮主體的規(guī)模和活動(dòng)的性質(zhì)它使有效的企業(yè)風(fēng)險(xiǎn)管理成為可能內(nèi)部控制與風(fēng)險(xiǎn)管理框架o權(quán)力和職責(zé)的分配權(quán)力和職責(zé)的分配權(quán)力和職責(zé)的分配確定了個(gè)人和團(tuán)隊(duì)被授權(quán)和鼓勵(lì)采取行動(dòng)去處理問(wèn)題和解決問(wèn)題的程度，它還為權(quán)力提供了限制分配確立了報(bào)告關(guān)系和授權(quán)規(guī)程描述恰當(dāng)經(jīng)營(yíng)實(shí)務(wù)的政策，關(guān)鍵員工的知識(shí)和經(jīng)驗(yàn)，以及相關(guān)的資源個(gè)人知道他們的行動(dòng)是如何相互關(guān)聯(lián)的

50、以及對(duì)實(shí)現(xiàn)目標(biāo)的貢獻(xiàn)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o人力資源準(zhǔn)則人力資源準(zhǔn)則針對(duì)雇用、定位、培訓(xùn)、評(píng)價(jià)、指導(dǎo)、晉升、薪酬和補(bǔ)償措施的準(zhǔn)則，推動(dòng)期望的誠(chéng)信水平、道德行為和勝任能力懲戒措施傳遞對(duì)期望行為的違反將不會(huì)被寬宥的信息內(nèi)部控制與風(fēng)險(xiǎn)管理框架三、目標(biāo)設(shè)定o戰(zhàn)略目標(biāo)戰(zhàn)略目標(biāo)戰(zhàn)略目標(biāo)是高層次的目標(biāo)，它與主體的使命/愿景相協(xié)調(diào)，并支持后者戰(zhàn)略目標(biāo)反映了管理層就主體如何努力為它的利益相關(guān)者創(chuàng)造價(jià)值所作出的選擇內(nèi)部控制與風(fēng)險(xiǎn)管理框架o相關(guān)目標(biāo)相關(guān)目標(biāo)經(jīng)營(yíng)目標(biāo)這些目標(biāo)與主體經(jīng)營(yíng)的有效性和效率有關(guān)，包括業(yè)績(jī)和贏利目標(biāo)和保護(hù)資源不受損失。它們因管理層對(duì)結(jié)構(gòu)和業(yè)績(jī)的選擇而異。報(bào)告目標(biāo)這些目標(biāo)與報(bào)告的可靠性有關(guān)。它們包

51、括內(nèi)部和外部報(bào)告，可能涉及到財(cái)務(wù)和非財(cái)務(wù)信息。合規(guī)目標(biāo)這些目標(biāo)與符合相關(guān)法律和法規(guī)有關(guān)。它們?nèi)Q于外部因素，在一些情況下對(duì)所有主體而言都很類(lèi)似，而在另一些情況下則在一個(gè)行業(yè)內(nèi)有共性。內(nèi)部控制與風(fēng)險(xiǎn)管理框架o目標(biāo)的交叉目標(biāo)的交叉保護(hù)資產(chǎn)/資源o目標(biāo)的實(shí)現(xiàn) 報(bào)告和合規(guī)目標(biāo)的實(shí)現(xiàn)更多的是在主體的控制范圍之內(nèi) 戰(zhàn)略目標(biāo)和經(jīng)營(yíng)目標(biāo)的實(shí)現(xiàn)并不完全在主體的控制范圍之內(nèi) 對(duì)于戰(zhàn)略和經(jīng)營(yíng)目標(biāo)，企業(yè)風(fēng)險(xiǎn)管理能夠合理保證管理層和履行監(jiān)督職責(zé)的董事會(huì)及時(shí)地知悉主體實(shí)現(xiàn)這些目標(biāo)的程度 內(nèi)部控制與風(fēng)險(xiǎn)管理框架四、事項(xiàng)識(shí)別o事事 項(xiàng)項(xiàng)事項(xiàng)是源于內(nèi)部或外部的影響戰(zhàn)略實(shí)施或目標(biāo)實(shí)現(xiàn)的事故或事件事項(xiàng)可能帶來(lái)正面或負(fù)面影響，或者兩

52、者兼而有之o影響因素影響因素外部因素內(nèi)部因素內(nèi)部控制與風(fēng)險(xiǎn)管理框架o外部因素經(jīng)濟(jì)自然環(huán)境政治社會(huì)技術(shù)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o內(nèi)部因素基礎(chǔ)結(jié)構(gòu)人員流程技術(shù)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o事項(xiàng)識(shí)別技術(shù)事項(xiàng)目錄（事項(xiàng)目錄（event inventories）這些是一個(gè)特定行業(yè)內(nèi)的公司所共通的潛在事項(xiàng)或者不同行業(yè)之間所共通的特定過(guò)程或活動(dòng)的詳細(xì)清單。軟件產(chǎn)品能夠列出共性潛在事項(xiàng)的有關(guān)清單，一些主體利用它作為事項(xiàng)識(shí)別的出發(fā)點(diǎn)。例如，從事一項(xiàng)軟件開(kāi)發(fā)項(xiàng)目的公司編制了一份目錄，詳細(xì)列示了與軟件開(kāi)發(fā)項(xiàng)目有關(guān)的共性事項(xiàng)。內(nèi)部控制與風(fēng)險(xiǎn)管理框架內(nèi)部分析（內(nèi)部分析（internal analysis）它可以作為常規(guī)性經(jīng)營(yíng)規(guī)

53、劃循環(huán)過(guò)程的一部分來(lái)完成，典型的是通過(guò)一個(gè)業(yè)務(wù)單元的員工會(huì)議。內(nèi)部分析有時(shí)利用來(lái)自其他利益相關(guān)者（客戶、供應(yīng)商、其他業(yè)務(wù)單元）的信息，或者針對(duì)具體問(wèn)題征詢外部專(zhuān)家（內(nèi)部或外部職能機(jī)構(gòu)的專(zhuān)家或內(nèi)部審計(jì)師）的意見(jiàn)。例如，一家正在考慮引入一個(gè)新產(chǎn)品的公司利用它自己的歷史經(jīng)驗(yàn)以及外部市場(chǎng)調(diào)研來(lái)識(shí)別那些曾經(jīng)影響競(jìng)爭(zhēng)者產(chǎn)品成功的事項(xiàng)。內(nèi)部控制與風(fēng)險(xiǎn)管理框架擴(kuò)大或底限觸發(fā)器（擴(kuò)大或底限觸發(fā)器（escalation or threshold triggers）這些觸發(fā)器通過(guò)將現(xiàn)在的交易或事項(xiàng)與預(yù)先確定的標(biāo)準(zhǔn)進(jìn)行對(duì)比，提醒管理層關(guān)注的領(lǐng)域。一旦被觸發(fā)，可能就需要對(duì)一個(gè)事項(xiàng)進(jìn)行進(jìn)一步的評(píng)估或者立即予以應(yīng)對(duì)。例如，

54、一家公司的管理層針對(duì)新的營(yíng)銷(xiāo)或廣告計(jì)劃監(jiān)控市場(chǎng)上的銷(xiāo)售量，并根據(jù)其結(jié)果重新調(diào)配資源。另一家公司的管理層追蹤競(jìng)爭(zhēng)者的定價(jià)結(jié)構(gòu)，并考慮在達(dá)到一個(gè)特定的底限時(shí)變更自己的價(jià)格。內(nèi)部控制與風(fēng)險(xiǎn)管理框架推進(jìn)式的研討與訪談（推進(jìn)式的研討與訪談（facilitated workshops and interviews）這些技術(shù)通過(guò)經(jīng)過(guò)設(shè)計(jì)的討論，利用管理層、員工和其他利益相關(guān)者所積累的知識(shí)和經(jīng)驗(yàn)來(lái)識(shí)別事項(xiàng)。推進(jìn)者主導(dǎo)有關(guān)可能會(huì)影響主體或單元目標(biāo)實(shí)現(xiàn)的事項(xiàng)的討論。例如，一名財(cái)務(wù)主計(jì)長(zhǎng)與會(huì)計(jì)團(tuán)隊(duì)的成員一起召開(kāi)了一個(gè)研討會(huì)，來(lái)識(shí)別那些對(duì)主體的對(duì)外報(bào)告目標(biāo)有影響的事項(xiàng)。通過(guò)結(jié)合團(tuán)隊(duì)成員們的知識(shí)和經(jīng)驗(yàn)，能夠識(shí)別出否則就

55、會(huì)被遺漏的重要事項(xiàng)。 內(nèi)部控制與風(fēng)險(xiǎn)管理框架過(guò)程流動(dòng)分析（過(guò)程流動(dòng)分析（process flow analysis）這種技術(shù)考慮構(gòu)成一個(gè)過(guò)程的輸入、任務(wù)、責(zé)任和輸出的組合。通過(guò)考慮影響一個(gè)過(guò)程的投入或其中的活動(dòng)的內(nèi)部和外部因素，主體能識(shí)別那些可能影響過(guò)程目標(biāo)實(shí)現(xiàn)的事項(xiàng)。例如，一家醫(yī)學(xué)實(shí)驗(yàn)室繪制了血液樣本的接收和測(cè)試流程圖。它利用流程圖來(lái)考慮那些可能影響輸入、任務(wù)和責(zé)任的因素的范圍，識(shí)別與樣本標(biāo)注、過(guò)程中的傳遞以及人員換班變動(dòng)有關(guān)的風(fēng)險(xiǎn)。內(nèi)部控制與風(fēng)險(xiǎn)管理框架首要事項(xiàng)指標(biāo)（首要事項(xiàng)指標(biāo)（leading event indicators）主體通過(guò)監(jiān)控與事項(xiàng)有相互關(guān)系的數(shù)據(jù)，來(lái)識(shí)別可能導(dǎo)致一個(gè)事項(xiàng)發(fā)

56、生的情形是否存在。例如，金融機(jī)構(gòu)很早就認(rèn)識(shí)到延遲償還貸款與最終的貸款違約之間的相互關(guān)系，以及及早干預(yù)的積極作用。對(duì)償還方式的監(jiān)控使違約的可能性得以通過(guò)及時(shí)的行動(dòng)而降低。內(nèi)部控制與風(fēng)險(xiǎn)管理框架損失事項(xiàng)數(shù)據(jù)方法（損失事項(xiàng)數(shù)據(jù)方法（loss event data methodologies）有關(guān)過(guò)去單個(gè)損失事項(xiàng)的數(shù)據(jù)庫(kù)是識(shí)別趨勢(shì)和根本原因的一個(gè)有用的信息來(lái)源。一旦確定了根本原因，管理層就會(huì)發(fā)現(xiàn)它能比致力于單個(gè)事項(xiàng)更加有效地進(jìn)行評(píng)估和處理。例如，一家經(jīng)營(yíng)大型車(chē)隊(duì)的公司維護(hù)了一個(gè)事故投訴的數(shù)據(jù)庫(kù)，通過(guò)分析發(fā)現(xiàn)事故的百分比在數(shù)量和貨幣金額上不成比例，它與特定單元、地域和年齡結(jié)構(gòu)的駕駛員工有關(guān)聯(lián)。這個(gè)分析使

57、管理層能夠確定事項(xiàng)的根本原因并采取行動(dòng)。 內(nèi)部控制與風(fēng)險(xiǎn)管理框架o區(qū)分風(fēng)險(xiǎn)和機(jī)會(huì)區(qū)分風(fēng)險(xiǎn)和機(jī)會(huì)具有負(fù)面影響的事項(xiàng)代表風(fēng)險(xiǎn)，它需要管理層的評(píng)估和應(yīng)對(duì) 具有正面影響或者抵消風(fēng)險(xiǎn)的負(fù)面影響的事項(xiàng)代表機(jī)會(huì)代表機(jī)會(huì)的事項(xiàng)被反饋到管理層的戰(zhàn)略或目標(biāo)制訂過(guò)程中，以便規(guī)劃行動(dòng)去抓住機(jī)會(huì)。抵消風(fēng)險(xiǎn)的負(fù)面影響的事項(xiàng)在管理層的風(fēng)險(xiǎn)評(píng)估和應(yīng)對(duì)中予以考慮內(nèi)部控制與風(fēng)險(xiǎn)管理框架五、風(fēng)險(xiǎn)評(píng)估o固有風(fēng)險(xiǎn)/剩余風(fēng)險(xiǎn)管理層既要考慮固有風(fēng)險(xiǎn)，也要考慮剩余風(fēng)險(xiǎn)固有風(fēng)險(xiǎn)是管理層沒(méi)有采取任何措施來(lái)改變風(fēng)險(xiǎn)的可能性或影響的情況下，一個(gè)主體所面臨的風(fēng)險(xiǎn)剩余風(fēng)險(xiǎn)是在管理層的風(fēng)險(xiǎn)應(yīng)對(duì)之后所殘余的風(fēng)險(xiǎn)一旦風(fēng)險(xiǎn)應(yīng)對(duì)已經(jīng)到位，管理層接下來(lái)就要考慮剩余

58、風(fēng)險(xiǎn)內(nèi)部控制與風(fēng)險(xiǎn)管理框架o估計(jì)可能性和影響估計(jì)可能性和影響可能性表示一個(gè)給定事項(xiàng)將會(huì)發(fā)生的或然率影響表示給定事項(xiàng)一旦發(fā)生所產(chǎn)生的后果 內(nèi)部控制與風(fēng)險(xiǎn)管理框架o評(píng)估技術(shù)評(píng)估技術(shù)對(duì)標(biāo)（對(duì)標(biāo)（benchmarking）作為一組主體之間的協(xié)作過(guò)程，對(duì)標(biāo)著眼于具體的事項(xiàng)或過(guò)程，采用共通的標(biāo)準(zhǔn)比較計(jì)量指標(biāo)和結(jié)果，并且識(shí)別改進(jìn)的機(jī)會(huì)。建立有關(guān)事項(xiàng)、流程和計(jì)量指標(biāo)的數(shù)據(jù)來(lái)比較業(yè)績(jī)。一些公司利用對(duì)標(biāo)來(lái)在整個(gè)行業(yè)中評(píng)估潛在事項(xiàng)的可能性和影響。內(nèi)部控制與風(fēng)險(xiǎn)管理框架概率模型概率模型概率模型根據(jù)特定的假設(shè)將一系列事項(xiàng)以及所造成的影響與這些事項(xiàng)的可能性聯(lián)系起來(lái)。在歷史數(shù)據(jù)或反映對(duì)未來(lái)行為的假設(shè)的模擬結(jié)果的基礎(chǔ)上，對(duì)可

59、能性和影響進(jìn)行評(píng)估。概率模型的例子包括風(fēng)險(xiǎn)價(jià)值、風(fēng)險(xiǎn)現(xiàn)金流量、風(fēng)險(xiǎn)盈利以及信貸和經(jīng)營(yíng)損失分布的計(jì)算等。概率模型可以采用不同的時(shí)間范圍，以估計(jì)諸如不同時(shí)期金融工具的價(jià)值范圍等結(jié)果。概率模型還可以用來(lái)評(píng)估期望的或平均的結(jié)果，以及極端的或非期望的影響。內(nèi)部控制與風(fēng)險(xiǎn)管理框架非概率模型非概率模型非概率模型在估計(jì)沒(méi)有量化相關(guān)可能性的事項(xiàng)的影響時(shí)，利用主觀的假設(shè)。根據(jù)歷史或模擬數(shù)據(jù)和對(duì)未來(lái)行為的假設(shè)對(duì)事項(xiàng)的影響進(jìn)行評(píng)估。非概率模型的例子包括敏感性指標(biāo)、壓力測(cè)試以及情景分析。 內(nèi)部控制與風(fēng)險(xiǎn)管理框架六、風(fēng)險(xiǎn)應(yīng)對(duì)o回避（avoidance）退出會(huì)產(chǎn)生風(fēng)險(xiǎn)的活動(dòng)。風(fēng)險(xiǎn)回避可能包括退出一條產(chǎn)品線、拒絕向一個(gè)新的地

60、區(qū)市場(chǎng)拓展，或者賣(mài)掉一個(gè)分部。o降低（reduction）采取措施降低風(fēng)險(xiǎn)的可能性或影響，或者同時(shí)降低兩者。它幾乎涉及各種日常的經(jīng)營(yíng)決策。o分擔(dān)（sharing）通過(guò)轉(zhuǎn)移來(lái)降低風(fēng)險(xiǎn)的可能性或影響，或者分擔(dān)一部分風(fēng)險(xiǎn)。常見(jiàn)的技術(shù)包括購(gòu)買(mǎi)保險(xiǎn)產(chǎn)品、從事套期保值交易（hedging transactions）或外包一項(xiàng)業(yè)務(wù)活動(dòng)。o承受（acceptance）不采取任何措施去干預(yù)風(fēng)險(xiǎn)的可能性或影響。內(nèi)部控制與風(fēng)險(xiǎn)管理框架o在確定風(fēng)險(xiǎn)應(yīng)對(duì)的過(guò)程中，管理層應(yīng)該考慮下列事項(xiàng)：潛在應(yīng)對(duì)對(duì)風(fēng)險(xiǎn)的可能性和影響的效果以及哪個(gè)應(yīng)對(duì)方案與主體的風(fēng)險(xiǎn)容限相協(xié)調(diào)；潛在應(yīng)對(duì)的成本與效益；除了應(yīng)付具體的風(fēng)險(xiǎn)之外，實(shí)現(xiàn)主體目標(biāo)可