企業(yè)風險管理實踐教材課件

第二章企業(yè)風險管理實踐本章學習目標了解英國公司治理的發(fā)展歷程，掌握卡德伯利報告、哈姆佩爾報告和特恩布爾報告的主要內(nèi)容掌握美國企業(yè)風險管理發(fā)展的5個階段掌握COSO《內(nèi)部控制—整合框架》的主要內(nèi)容掌握薩班斯一奧克斯利法案的內(nèi)容概要理解薩班斯一奧克斯利法案的精髓和缺陷掌握COSO《企業(yè)風險管理—整合框架》的主要內(nèi)容掌握COSO《企業(yè)風險管理—整合框架》和《內(nèi)部控制—整合框架》的聯(lián)系與區(qū)別理解我國企業(yè)風險管理的發(fā)展歷程及存在的問題了解其它國家和地區(qū)的企業(yè)風險管理實踐2022/12/131企業(yè)風險管理第二章企業(yè)風險管理實踐本章學習目標2022/12/121總體狀況目前各國的風險管理水平的大致情況是：美國、澳大利亞最超前、成熟；日本、英國、加拿大等國在風險管理標準方面的研究也較為深入。我國風險管理事業(yè)雖然起步較晚，風險管理的系統(tǒng)實施尚不普及，但部分從業(yè)人員的水平居世界前列。2022/12/132企業(yè)風險管理總體狀況目前各國的風險管理水平的大致情況是：2022/12/2第二章企業(yè)風險管理實踐第一節(jié)企業(yè)風險管理在英國的實踐1第二節(jié)企業(yè)風險管理在美國的實踐2第三節(jié)企業(yè)風險管理在我國的實踐34第四節(jié)企業(yè)風險管理在其他國家和地區(qū)的實踐42022/12/133企業(yè)風險管理第二章企業(yè)風險管理實踐第一節(jié)企業(yè)風險管理在英國的實踐3第一節(jié)企業(yè)風險管理在英國的實踐英國企業(yè)風險管理的發(fā)展離不開公司治理研究的推動。報告名稱發(fā)布日期卡德伯利報告（CadburyReport）1992年12月格林伯利報告（CreenburyReport）1995年7月哈姆佩爾準則（HampelCode）1998年6月特恩布爾報告（TurnbullReport）1999年9月邁爾斯評論（MynersReview）2001年3月史密斯報告（SmithReport）2003年1月西格斯報告（HiggsReport）2003年1月泰森報告（TysonReport）2003年6月綜合準則（TheCombinedCode）2003年7月2022/12/134企業(yè)風險管理第一節(jié)企業(yè)風險管理在英國的實踐英國企業(yè)風險管理的發(fā)展4一、卡德伯利報告(CadburyReport)該報告從財務(wù)角度對公司治理進行了深度的剖析，同時將內(nèi)部控制置于公司治理的框架之下。建議從四個方面改善公司治理：公司董事會層面：重大事項經(jīng)董事會決議公司非執(zhí)行獨立董事層面：首次提出NEDs公司執(zhí)行董事層面:董事薪酬委員會應由NEDs主導報告和控制層面：董事會必須向公司股東清晰直觀地呈報公司的當前經(jīng)營和歷史經(jīng)營狀況、公司的盈利前景2022/12/135企業(yè)風險管理一、卡德伯利報告(CadburyReport)該報告從財務(wù)5一、卡德伯利報告(CadburyReport)除了公司治理環(huán)境，卡德伯利報告更從公司管理層次上提出，健全的內(nèi)部控制是公司有效管理的一個重要方面。因此，建議董事們應發(fā)表一個聲明，對公司內(nèi)部控制的有效性進行詳細描述。同時，外部審計師應對這份聲明進行復核和報告，并規(guī)定在董事會認可聲明之前，公司的審計委員會必須對公司的內(nèi)部控制聲明進行復核。該報告還認為，內(nèi)部審計有助于確保內(nèi)部控制的有效性，內(nèi)部審計的日常監(jiān)督是內(nèi)部控制的整體組成部分，會計師應在以下方面對公司的內(nèi)部控制起到督導作用：①建立用以評估有效性的一整套標準；②建立董事會報告形式的具體指南；③建立審計師用以相關(guān)審計程序和報告格式的具體指南?！皟?nèi)外雙重審計”制度的創(chuàng)設(shè)，最大限度地避免了董事會、董事甚至內(nèi)部審計人員串通舞弊的可能性。2022/12/136企業(yè)風險管理一、卡德伯利報告(CadburyReport)除了公司治理6二、格林伯利報告（GreenburyReport）格林伯利董事薪酬研究委員會成立于1995年，重點關(guān)注董事薪酬增長速度與水平與公司業(yè)績表現(xiàn)嚴重脫鉤的問題。該委員會的主旨在于建立董事薪酬決策的最佳實踐，尤其針對以前所忽視的與公司績效掛鉤的薪酬支付。該委員會提交的董事薪酬最佳指引最終成為1995年上市準則（ListingRules）的附屬文件。格林伯利報告的核心思想有以下幾個方面：嚴禁執(zhí)行董事自己給自己設(shè)定薪酬及其影響要素；在董事薪酬設(shè)計軟件中引入更嚴格的條件，著重關(guān)注董事業(yè)績激勵與公司回報之間的關(guān)系；改善對股東的義務(wù)。2022/12/137企業(yè)風險管理二、格林伯利報告（GreenburyReport）格林伯利7三、哈姆佩爾報告（HampelReport）哈姆佩爾報告于1998年6月問世并取代了卡德伯利報告和格林伯利報告，成為了在英國倫敦交易所上市必須遵循的上市規(guī)則。哈姆佩爾報告將內(nèi)部控制的目的定位于保護資產(chǎn)的安全、保持正確的財務(wù)會汁記錄、保證公司內(nèi)部使用和向外部提供的財務(wù)信息的可靠性，同時鼓勵董事對內(nèi)部控制的各個方面進行復核，包括確保高效經(jīng)營、遵守法律法規(guī)方面的控制。哈姆佩爾報告認為，將財務(wù)控制與其他控制區(qū)分開來是十分困難的，而且也并沒有太大的意義。該報告還堅信董事及管理人員對控制的各個方面進行復核具有重要意義，內(nèi)部控制不應僅局限于公司治理的財務(wù)方面。從內(nèi)部控制制度來看，哈姆佩爾報告與卡德伯利報告在諸多方面形成了鮮明對比。2022/12/138企業(yè)風險管理三、哈姆佩爾報告（HampelReport）哈姆佩爾報告于8四、特恩布爾報告（TurnbullReport）特恩布爾報告。作為指導企業(yè)構(gòu)建內(nèi)部控制的指南，該報告的意義在于，它為公司及董事會提供了具體的、頗具操作性的內(nèi)部控制指引。其主要內(nèi)容包括：董事會對公司的內(nèi)部控制負責執(zhí)行風險控制政策是管理層的職責合理的內(nèi)部控制要素公司內(nèi)部控制的控制環(huán)境：①控制活動；②信息和溝通程序；③持續(xù)性監(jiān)督程序。特恩布爾報告還描述了健全的內(nèi)部控制所應具備的基本特征：①內(nèi)部控制根植于公司的經(jīng)營之中，成為公司文化的一部分，換言之，它不僅僅是為了取悅監(jiān)管者而進行的年度例行檢查，更是真正意義上的對公司既定戰(zhàn)略目標的執(zhí)行和公司治理的延伸；②針對公司所面臨的日新月異的風險，內(nèi)部控制應具有快速反應的能力；③具有對管理中存在的缺陷或失敗進行快速報告的能力，并且能及時地采取糾正措施。2022/12/139企業(yè)風險管理四、特恩布爾報告（TurnbullReport）特恩布爾9五、邁爾斯評論（MynersReview）針對機構(gòu)投資者（包括養(yǎng)老金計劃、保險公司）投資決策過程有效性進行研究。2001年3月，鮑爾.邁爾斯公布了相應的研究。報告中除了指明當時英國機構(gòu)投資者在投資決策過程中顯著缺失有效性和靈活性外，還對投資決策有效步驟提出了基本的原則，對機構(gòu)投資者的投資控制有著指導意義。2022/12/1310企業(yè)風險管理五、邁爾斯評論（MynersReview）針對機構(gòu)投資者（10六、史密斯報告（SmithReport）2003年1月發(fā)布的史密斯報告為上市公司提供了董事會如何安排審計委員會以及審計委員會中的董事如何履行職責的指引該報告提供的指引包含以下內(nèi)容：①審計委員會的組成與角色，人選程序和來源；②與董事會的關(guān)系；③角色與職能；④與股東的溝通2022/12/1311企業(yè)風險管理六、史密斯報告（SmithReport）2003年1月發(fā)布11七、西格斯報告（HiggsReport）2002年4月，英國財政部和貿(mào)易中心為了提高英國各行業(yè)的生產(chǎn)效率，發(fā)起了對公眾上市公司非執(zhí)行董事有效性的調(diào)研，對非執(zhí)行董事的角色和效率提高進行徹底澄清就獨立非執(zhí)行董事在獨立性、雇傭、任命、就職、任期、薪酬、辭職、審計委員會、職責和投資者關(guān)系各個方面提出了長達6頁紙的改進建議。2022/12/1312企業(yè)風險管理七、西格斯報告（HiggsReport）2002年4月，英12八、泰森報告（TysonReport）泰森報告共有12章，涵蓋獨立非執(zhí)行董事的屬性、成員來源、當前狀況、獨立非執(zhí)行董事成員多樣性的優(yōu)勢、董事會構(gòu)成的約束條件、未來的培訓事宜等。主要特點如下：基于對公司的特殊需要和所面臨的挑戰(zhàn)進行詳細評估而作出的對每一個獨立非執(zhí)行董事的任命過程；適用范圍擴大，包括公眾上市公司、專業(yè)服務(wù)公司、非上市公司、私人股權(quán)公司、非商業(yè)部門以及外資企業(yè)中的商業(yè)和非商業(yè)部門；為董事會成員提供正式的培訓和評估；形成新的組織，對董事會的構(gòu)成提供常規(guī)的、可靠的評估。2022/12/1313企業(yè)風險管理八、泰森報告（TysonReport）泰森報告共有12章，13九、公司治理聯(lián)合條例2003年的公司治理聯(lián)合條例取代了1998年由哈姆貝爾委員會發(fā)布的條例。2003年的聯(lián)合條例在原來條例的基礎(chǔ)上，新增了西格斯報告關(guān)于獨立非執(zhí)行董事和史密斯報告關(guān)于審計委員會的內(nèi)容。英國金融服務(wù)當局（FSA）決定將新聯(lián)合條例加入到上市準則中，在2003年11月及以后的上市公司報告中實行。上市公司披露報告將有兩部分內(nèi)容涉及到上市準則的修訂：在報告的第一部分將要求陳述公司治理政策，第二部分將要求說明在哪些方面遵守了聯(lián)合條例的條款，而在哪些方面沒有遵守，不遵守的理由是什么。在實際操作中準則仍然采用沿用了10年之久的“遵守或解釋”的方法。聯(lián)合條例分為5個部分，分別是董事、薪酬、問責制度與審計、股東關(guān)系以及機構(gòu)股東。2022/12/1314企業(yè)風險管理九、公司治理聯(lián)合條例2003年的公司治理聯(lián)合條例取代了19914英國企業(yè)風險管理實踐總結(jié)總之，英國企業(yè)內(nèi)部控制的發(fā)展離不開公司治理的推動，內(nèi)部控制和內(nèi)部審計研究均置于公司治理的框架之內(nèi)，重視從公司治理的角度來鞏固內(nèi)部控制制度的效果，把內(nèi)部控制看作公司治理在企業(yè)日常運用中的有效延伸，這是英國公司治理和內(nèi)部控制體系發(fā)展帶給我們最大的啟發(fā)，也是當前企業(yè)風險管理體系的核心，并催生了當前的公司治理的問責制和最佳實踐的基本原則。2022/12/1315企業(yè)風險管理英國企業(yè)風險管理實踐總結(jié)總之，英國企業(yè)內(nèi)部控制的發(fā)展離不開公15英國企業(yè)風險管理實踐總結(jié)公司治理的目的是建立一種問責性制度(Accountability),以使公司的董事會和管理人員切實承擔其責任，有效地運用他們受托管理的資金，為投資者（股東）謀取利益。健康的公司治理要求董事會內(nèi)設(shè)置足夠多的外部獨立董事（甚至過半），而不是讓負責經(jīng)營管理公司的內(nèi)部人員控制董事會。董事會任命的某些附屬委員會應該完全由外部獨立董事組成，以便保障健康的公司治理實踐。對審計委員會而言，這一點尤為重要。獨立董事的重要作用越來越多地在公司治理準則和金融機構(gòu)管理法規(guī)中得到反映和體現(xiàn)。2022/12/1316企業(yè)風險管理英國企業(yè)風險管理實踐總結(jié)公司治理的目的是建立一種問責性制度(16第二節(jié)

企業(yè)風險管理在美國的實踐2022/12/1317企業(yè)風險管理第二節(jié)企業(yè)風險管理在美國的實踐2022/12/1217企17一、美國的風險管理發(fā)展歷程-實物牽制-薄記牽制法律責任,廣義內(nèi)控COSO內(nèi)部控制整合框架薩班斯法案內(nèi)控評價內(nèi)部審計進展40年代前40-70年代80-90年代90年代后2002年后內(nèi)部牽制內(nèi)部控制結(jié)構(gòu)完善-控制環(huán)境-會計系統(tǒng)-控制程序-控制環(huán)境-風險評估-控制活動-信息溝通-監(jiān)督-建立內(nèi)控-數(shù)據(jù)準確一致-內(nèi)控可靠性

COSO企業(yè)風險管理整合框架-內(nèi)部環(huán)境-目標設(shè)置-事件辨識-風險評估-風險反應-控制活動-信息與溝通-監(jiān)控2022/12/1318企業(yè)風險管理一、美國的風險管理發(fā)展歷程-實物牽制法律責任,COSO薩班斯18二、COSO《內(nèi)部控制—整合框架》2022/12/1319企業(yè)風險管理二、COSO《內(nèi)部控制—整合框架》2022/12/1219企19（一）內(nèi)部控制定義由一個實體的董事會、管理層與其他人員所實施的一個流程，用于提供實現(xiàn)以下幾方面目標的合理保證：第一，財務(wù)報告的可靠性；第二，運營的有效性與效率；第三，符合相關(guān)法律法規(guī)COSO的三維整合框架為管理層提供了評估內(nèi)部控制所需的標準：內(nèi)部控制的設(shè)計旨在合理保證實現(xiàn)公司以下目標：運營的有效性與效率（包括資產(chǎn)保護）、財務(wù)報告的可靠性以及符合相關(guān)的法律法規(guī)。內(nèi)部控制制度在公司內(nèi)部貫穿的范圍：部門單位層（EntityLevel)與行動層（ActivitiesLevel，或稱流程層）。公司必須在這兩個層次上對其內(nèi)部控制進行評估：部門單位層、行動層或流程層。內(nèi)部控制制度的五大要素2022/12/1320企業(yè)風險管理（一）內(nèi)部控制定義由一個實體的董事會、管理層與其他人員所實施20

【例】下列選項中屬于COSO委員會內(nèi)部控制基本目標的是（）。

A.資產(chǎn)安全

B.運營的效益和效率

C.財務(wù)報告的可靠性

D.遵守適用的法律法規(guī)

『正確答案』BCD

『答案解析』COSO委員會對內(nèi)部控制的定義是“公司的董事會、管理層及其他人士為實現(xiàn)以下目標提供合理保證而實施的程序：運營的效益和效率，財務(wù)報告的可靠性和遵守適用的法律法規(guī)?！?022/12/1321企業(yè)風險管理【例】下列選項中屬于COSO委員會內(nèi)部控制基本目標的是（21（二）內(nèi)部控制五大要素控制環(huán)境—控制環(huán)境決定了一個組織的基調(diào)，影響成員對于控制的意識。它是內(nèi)部控制所有其他部分的基礎(chǔ)，提供綱領(lǐng)和結(jié)構(gòu)?？刂骗h(huán)境因素包括：誠信、道德價值觀和企業(yè)員工的競爭力；管理哲學和經(jīng)營風格；管理層如何進行授權(quán)和職責分配，如何組織和發(fā)展它的員工；董事會提供的關(guān)注和指導；風險評估—每個公司都面臨著內(nèi)外部風險，這些風險必須被評估。風險評估的前提是建立不同層次但具有內(nèi)部一致性的目標。風險評估是發(fā)現(xiàn)和分析對達到目標有影響的風險的過程，是確定如何管理和控制風險的基礎(chǔ)?？刂苹顒印刂苹顒邮谴_保管理層指令得到執(zhí)行的公司政策和流程。它確保企業(yè)針對相關(guān)的風險采取了必要的措施，以實現(xiàn)企業(yè)的目標?？刂苹顒哟嬖谟谡麄€組織的所有層次和所有職能部門中。控制活動包括一系列不同的活動，例如對經(jīng)營活動的審批、授權(quán)、確認、核對、審核，對資產(chǎn)的保護，職權(quán)分離等2022/12/1322企業(yè)風險管理（二）內(nèi)部控制五大要素控制環(huán)境—控制環(huán)境決定了一個組織的基調(diào)22（二）內(nèi)部控制五大要素信息與溝通—相關(guān)的信息必須以某種形式并在某個時段被識別、獲得和溝通，以促使職責的履行。信息系統(tǒng)生成報告，內(nèi)容包括經(jīng)營、財務(wù)和合規(guī)性方面的信息，以使得管理層能夠運作和控制業(yè)務(wù)活動。有效的溝通應當基于更為廣泛的理解，自上而下、自下而上地貫穿整個組織。監(jiān)控—內(nèi)部控制系統(tǒng)需要監(jiān)督—一套隨時評價內(nèi)部控制系統(tǒng)運行狀況的流程。通過持續(xù)的監(jiān)督活動、單獨的評價或者兩者的結(jié)合來完成這種控制。2022/12/1323企業(yè)風險管理（二）內(nèi)部控制五大要素信息與溝通—相關(guān)的信息必須以某種形式并23【例】在COSO內(nèi)部控制框架中，作為其它要素的基礎(chǔ)的是（）。

A.控制環(huán)境B.風險評估C.控制活動D.監(jiān)察

『正確答案』A【例】某大型銀行規(guī)定，顧客貸款經(jīng)理在批準貸款前，必須復核其下級提交的顧客分析報告及相關(guān)文件，并簽字授權(quán)，然后才能為貸款者發(fā)放貸款。根據(jù)以上信息可以判斷，該銀行的這種控制活動屬于（）。

A.授權(quán)和批準B.人員控制

C.監(jiān)督及管理控制D.計算和會計

『正確答案』A

2022/12/1324企業(yè)風險管理【例】在COSO內(nèi)部控制框架中，作為其它要素的基礎(chǔ)的是（24（三）COSO報告中對公司人員在內(nèi)部控制中的闡述管理層：公司首席執(zhí)行官（CEO）對內(nèi)部控制負有全面的責任，可以看作是內(nèi)部控制系統(tǒng)的“責任人”。依次的，高級管理人員向負責企業(yè)運營的員工分配建立更為具體的內(nèi)部控制政策和程序的責任。董事會：管理層對董事會負責，董事會實施治理、指導和監(jiān)督。內(nèi)部審計師：內(nèi)部審計師在評價內(nèi)部控制有效性方面起著重要的作用，對維持有效性也有所貢獻。內(nèi)部審計職能部門因為其在企業(yè)中的地位和權(quán)利，起著重要的監(jiān)督作用。內(nèi)部其他人員：內(nèi)部控制從某種程度上是組織中每個人的責任，因此應當作為每個人工作范圍的明確或非明確的一部分。外部人員。公司的外部人員也有助于控制目標的實現(xiàn)。如外部審計、法律顧問、監(jiān)管部門、客戶、其他往來單位、財務(wù)分析師、信用評級公司、新聞媒體等2022/12/1325企業(yè)風險管理（三）COSO報告中對公司人員在內(nèi)部控制中的闡述管理層：公司25三、薩班斯一奧克斯利法案薩班斯法案的關(guān)鍵點就是建立起公司財務(wù)報告的可靠性。薩班斯法案共計11章，分別為公眾公司審計委員會、審計師的獨立性、公司的責任、強化財務(wù)資訊披露、利益沖突的分析、委員會的組成及其權(quán)利、研究及報告、公司欺詐及其刑事責任、強化白領(lǐng)刑事責任、公司納稅申報表和公司欺詐責任。11章下又分為66節(jié)，其中最重要的302節(jié)和404節(jié)第302節(jié)

公司對財務(wù)報告的責任第404節(jié)

管理層對內(nèi)部控制的評價2022/12/1326企業(yè)風險管理三、薩班斯一奧克斯利法案薩班斯法案的關(guān)鍵點就是建立起公司財務(wù)26薩班斯法案中的302與404條款302條款–定期公開報告的附加CEO/CFO承諾書與披露已審閱了上報的該定期報告；該報告無失實陳述、或漏報重大事實、或誤導情況；該報告公允地反映了公司的財務(wù)狀況；設(shè)立并維持了足夠的披露內(nèi)控體系；財務(wù)報告內(nèi)控體系披露內(nèi)控體系已于該報告中評價內(nèi)控體系的有效性；對財務(wù)報告內(nèi)控體系的重要變化說明；已對審計師披露財務(wù)報告內(nèi)控體系的重大缺陷和不足，以及對財務(wù)報告內(nèi)控有重大影響的雇員欺詐行為。404條款-年度財務(wù)報告內(nèi)部控制的公司管理層報告書設(shè)立并維持了足夠的財務(wù)報告內(nèi)控體系；財務(wù)報告內(nèi)控體系有效性的評價；為評價財務(wù)報告內(nèi)控體系而采用的評價體系的說明。Sarbanes-OxleyActof20022022/12/1327企業(yè)風險管理薩班斯法案中的302與404條款302條款–定期公開報告27薩班斯一奧克斯利法案的精髓（1）禁止向本公司董事或高管人員提供私人貸款；在養(yǎng)老金計劃管制期內(nèi)，公司的董事和高層管理人員不能直接或間接交易或持有該公司股票或從中獲益的其他行為；對于有違反證券法規(guī)情節(jié)的有關(guān)人士，美國證監(jiān)會可以禁止他們擔任公司的管理人員或者董事等。（2）上市公司所有定期報告（包括公司依照1934年證券交易法規(guī)定編制的會計報表）應附有公司首席執(zhí)行官與首席財務(wù)官簽署的承諾函；承諾函中的內(nèi)容包括：確保本公司定期報告所含會計報表及信息披露的適當性，并且保證此會計報表及信息披露在所有重大方面都公正地反映了公司的經(jīng)營成果及財務(wù)狀況。2022/12/1328企業(yè)風險管理薩班斯一奧克斯利法案的精髓（1）禁止向本公司董事或高管人員提28薩班斯一奧克斯利法案的精髓（3）在公司定期報告中若發(fā)現(xiàn)因?qū)嵸|(zhì)性違反監(jiān)管法規(guī)而被要求重編會計報表時，公司的CEO/CFO應當返還給公司12個月內(nèi)從公司收到的所有獎金、紅利、其他形式的激勵性報酬以及買賣本公司股票所得收益；如果公司CEO/CFO事先知道違規(guī)事項，但仍提交承諾函，最多可以判處10年監(jiān)禁，以及100萬美元的罰款；對于故意做出虛假承諾的，最多可以被監(jiān)禁20年并判處500萬美元的罰款，20年監(jiān)禁的重刑—這和美國持槍搶劫的最高刑罰相同。2022/12/1329企業(yè)風險管理薩班斯一奧克斯利法案的精髓（3）在公司定期報告中若發(fā)現(xiàn)因?qū)嵸|(zhì)29薩班斯一奧克斯利法案的精髓（4）提高財務(wù)報告披露的及時性。將年度報告期由90天縮短為60天；季度報告由45天縮短為35天。年報及季報都需要注冊會計師的審計；強化上市公司內(nèi)控及報告制度，要求公司年度報告中提供“內(nèi)部控制報告”，說明公司內(nèi)部控制制度及其實施的有效性，“內(nèi)部控制報告”要出具注冊會計師的意見；提高對公司信息披露可用性的要求，包括定期報告中披露所有的資產(chǎn)負債表外交易、財務(wù)狀況的預測性信息、高層財務(wù)人員的道德守則、所有由注冊會計師出具的實質(zhì)性的糾正調(diào)整、臨時報告中公司財務(wù)狀況或財務(wù)經(jīng)營狀況的實質(zhì)性變化等。2022/12/1330企業(yè)風險管理薩班斯一奧克斯利法案的精髓（4）提高財務(wù)報告披露的及時性。將30薩班斯一奧克斯利法案的精髓（5）公司的審計委員會必須完全由“獨立董事”組成獨立董事不得是公司或者其子公司的關(guān)聯(lián)人士，其中至少一人應是財務(wù)專家；獨立董事不得從公司接受任何咨詢費、顧問費或者其他酬金；公司聘用會計師事務(wù)所及報酬方式要由審計委員會批準，并接受審計委員會的監(jiān)督；會計師事務(wù)所在審計過程中遇到的重大事項必須及時報告審計委員會；為保證審計委員會能夠及時發(fā)現(xiàn)公司的會計和審計問題，還需要建立一套處理舉報或投訴的工作程序以及相應的監(jiān)測系統(tǒng)、反應機制。2022/12/1331企業(yè)風險管理薩班斯一奧克斯利法案的精髓（5）公司的審計委員會必須完全由“31薩班斯一奧克斯利法案的精髓（6）禁止會計師事務(wù)所在進行審計業(yè)務(wù)的同時提供非審計業(yè)務(wù)；強制實行注冊會計師定期輪換制。（7）要求美國證券交易委員會制定相關(guān)的規(guī)定和細則，以避免證券分析師在其研究報告或公開場合向投資者推薦股票時“見利忘義”，以提高研究報告的客觀性，向投資者提供更為有用和可靠的信息；規(guī)定一定期限內(nèi)擔任或即將擔任公開發(fā)行股票承銷商或坐市商

(Dealers)的經(jīng)紀人和交易商不得公開發(fā)布關(guān)于該股票或發(fā)行人的研究報告；在執(zhí)業(yè)的經(jīng)紀人和交易商內(nèi)部建立制度架構(gòu)體系，將證券分析師劃分為復核、強制(Pressure)、監(jiān)察等不同的工作部門，以避免參與投資銀行業(yè)務(wù)的人員存有潛在的偏見；要求證券分析師、經(jīng)紀人和交易商在研究報告公布的同時，披露已知的和應當知曉的利益沖突事項。2022/12/1332企業(yè)風險管理薩班斯一奧克斯利法案的精髓（6）禁止會計師事務(wù)所在進行審計業(yè)32薩班斯一奧克斯利法案的精髓（8）任何人通過信息欺詐或價格操縱在證券市場獲取利益，最多可監(jiān)禁25年或處以罰款；對違法的注冊會計師可被判處10年以下監(jiān)禁或罰款；延長了對證券欺詐的追訴期，起訴時間可以延長至非法行為發(fā)現(xiàn)的2年內(nèi)，或者非法行為實施后的5年內(nèi)；新的規(guī)定將保護公司檢舉揭發(fā)的員工，對舉報者進行打擊報復的，最高可判處10年監(jiān)禁，還規(guī)定了對舉報者的具體的補償措施，比如恢復職務(wù)、補發(fā)報酬及其他損失等。2022/12/1333企業(yè)風險管理薩班斯一奧克斯利法案的精髓（8）任何人通過信息欺詐或價格操縱33薩班斯一奧克斯利法案實施的短板和誤區(qū)考問之一：正確地做事還是做正確的事?？紗栔患埫婀ぷ鬟€是風險導向?？紗栔邯毩嫀煂窘?jīng)營風險的把握和勝任能力。2022/12/1334企業(yè)風險管理薩班斯一奧克斯利法案實施的短板和誤區(qū)考問之一：正確地做事還是34四、COSO《企業(yè)風險管理—整合框架》（一）產(chǎn)生背景進人21世紀以來風險管理課題的日益凸顯，要求一個內(nèi)涵更為豐富的理論框架以有效地識別、評估與管理風險。在廣泛吸收各國理論界（例如：英國的Turnbull報告，加拿大的COCO）和實務(wù)界（例如：銀行業(yè)的BaseⅡ）等研究結(jié)果的基礎(chǔ)之上，并且經(jīng)過充分的意見征求與討論之后，COSO將其理論體系進行了進一步的豐富與提升，并于2004年9月在《內(nèi)部控制—整合框架》理論的基礎(chǔ)之上推出了《企業(yè)風險管理一整合框架)((EnterpriseRiskManagement，ERM框架)。2022/12/1335企業(yè)風險管理四、COSO《企業(yè)風險管理—整合框架》（一）產(chǎn)生背景202235（二）主要內(nèi)容根據(jù)COSO的《企業(yè)風險管理—整合框架》，企業(yè)風險管理應包括八個相互關(guān)聯(lián)的構(gòu)成要素。它們是：內(nèi)部環(huán)境、目標設(shè)置、事件辨識、風險評估、風險反應（對策）、控制活動、信息和溝通、監(jiān)控。2022/12/1336企業(yè)風險管理（二）主要內(nèi)容根據(jù)COSO的《企業(yè)風險管理—整合框架》，企361．內(nèi)部環(huán)境內(nèi)部環(huán)境是企業(yè)風險管理所有其它構(gòu)成要素的基礎(chǔ)，為其他要素提供約束和結(jié)構(gòu)。它影響戰(zhàn)略和目標如何制訂，經(jīng)營活動如何組織以及如何識別、評估風險并采取行動。它還影響著控制活動、信息與溝通體系和監(jiān)控措施的設(shè)計與運行。內(nèi)部環(huán)境包含很多要素，關(guān)鍵要素有風險管理哲學、風險偏好、風險文化、董事會、操守與道德價值觀、能力、管理哲學和經(jīng)營風險、組織架構(gòu)、權(quán)責劃分以及人力資源標準。2022/12/1337企業(yè)風險管理1．內(nèi)部環(huán)境內(nèi)部環(huán)境是企業(yè)風險管理所有其它構(gòu)成要素的基礎(chǔ)，為371．內(nèi)部環(huán)境（1）風險管理哲學：企業(yè)的風險管理哲學指的是企業(yè)從戰(zhàn)略制定到日常經(jīng)營過程中對待風險的一系列信念與態(tài)度，它反映了企業(yè)的價值觀，影響著企業(yè)的文化和經(jīng)營風格，也影響到企業(yè)風險管理要素的應用，如風險如何確認、評估或管理。（2）風險偏好：風險偏好是指企業(yè)為追求某個目標或價值可以接受的風險程度。（3）風險文化：風險文化是指企業(yè)內(nèi)部知識共享的態(tài)度和對風險的價值觀，它貫穿于企業(yè)風險評估的日常操作中。（4）董事會：董事會是內(nèi)部環(huán)境的重要組成部分，而且對其他的內(nèi)部環(huán)境因素有重要影響。（5）操守和道德價值觀：管理層操守和道德價值觀會改變風險偏好和價值判斷，并進一步影響行為準則及戰(zhàn)略目標的實現(xiàn)。2022/12/1338企業(yè)風險管理1．內(nèi)部環(huán)境（1）風險管理哲學：企業(yè)的風險管理哲學指的是企業(yè)381．內(nèi)部環(huán)境（6）員工能力：員工能力指員工執(zhí)行所分配的工作所需要的知識和技術(shù)。（7）管理哲學和經(jīng)營風格：管理哲學與運營風格影響企業(yè)的管理方式，包括可以接受的風險種類。（8）組織架構(gòu)：企業(yè)的組織結(jié)構(gòu)指為企業(yè)活動提供計劃、執(zhí)行、控制和監(jiān)督職能的整體框架。（9）授權(quán)與責任：權(quán)責分配包括對個人或團體的授權(quán)程度，對創(chuàng)造性地處理、解決問題的鼓勵，以及所授權(quán)限的范圍。授權(quán)應該授到被授權(quán)人能夠完成目標的程度。（10）人力資源準則：內(nèi)部控制是由人來進行設(shè)計并實施的，保證組織內(nèi)所有成員具有一定水準的誠信、道德觀和能力的人力資源方針與實踐，是內(nèi)部控制有效的關(guān)鍵因素之一。2022/12/1339企業(yè)風險管理1．內(nèi)部環(huán)境（6）員工能力：員工能力指員工執(zhí)行所分配的工作所392．目標設(shè)置目標設(shè)置是風險事件辨識、風險評估和設(shè)定風險對策的基礎(chǔ)。戰(zhàn)略目標相關(guān)目標選定的目標包括經(jīng)營目標報告目標合規(guī)目標風險偏好風險容忍度符合目標重合2022/12/1340企業(yè)風險管理2．目標設(shè)置目標設(shè)置是風險事件辨識、風險評估和設(shè)定風險對策的403.事件辨識事件是指影響企業(yè)目標實現(xiàn)的內(nèi)部和外部事件。事件的發(fā)生對企業(yè)可能有正面或負面的影響。識別這些事件，區(qū)分風險和機會，并將機會反饋到管理層的戰(zhàn)略或目標制訂過程中。企業(yè)對事件識別時可以有多種方法進行選擇事件之間具有相關(guān)性2022/12/1341企業(yè)風險管理3.事件辨識事件是指影響企業(yè)目標實現(xiàn)的內(nèi)部和外部事件。事件414.風險評估企業(yè)對于辨識出的事件進行評估，通過考慮事件帶來風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據(jù)。風險評估應立足于固有風險和剩余風險。固有風險指企業(yè)經(jīng)營運作中必定存在的風險，企業(yè)的風險控制活動會影響此類風險發(fā)生的可能性及其影響。剩余風險是在管理當局的風險應對之后所殘余的風險。風險評估可以采取定量或定性的方法進行。2022/12/1342企業(yè)風險管理4.風險評估企業(yè)對于辨識出的事件進行評估，通過考慮事件帶來風425．風險反應對相關(guān)風險評估后，管理層應當采取相應的應對策略。管理層可以選擇的風險對策有風險回避、風險承擔、風險降低或者風險對沖（風險分擔）。采取一系列風險應對行動以便把風險控制在企業(yè)的風險容忍度以內(nèi)。2022/12/1343企業(yè)風險管理5．風險反應對相關(guān)風險評估后，管理層應當采取相應的應對策略。436．控制活動控制活動是指制訂和執(zhí)行政策與程序以幫助確保風險應對措施得以有效實施?？刂苹顒宇愋投鄻?，包括預防性控制和發(fā)現(xiàn)性控制，或者手工控制、計算機控制和管理控制等。2022/12/1344企業(yè)風險管理6．控制活動控制活動是指制訂和執(zhí)行政策與程序以幫助確保風險應447．信息與溝通信息包括業(yè)務(wù)信息和財務(wù)信息。信息可以是正式的或非正式的。相關(guān)的信息有助于管理層把握風險和機會，可以確保員工履行其職責的方式和時機予以識別、獲取和溝通。在信息基礎(chǔ)上，還需要溝通來共享信息資源。2022/12/1345企業(yè)風險管理7．信息與溝通信息包括業(yè)務(wù)信息和財務(wù)信息。信息可以是正式的或458．監(jiān)控全面風險管理是不斷變化持續(xù)的過程，會因內(nèi)外部環(huán)境的變化而改變，因此需要對企業(yè)風險管理進行全面監(jiān)控，必要時加以修正。監(jiān)控可以通過持續(xù)的管理活動、個別評價或者兩者結(jié)合來完成。2022/12/1346企業(yè)風險管理8．監(jiān)控全面風險管理是不斷變化持續(xù)的過程，會因內(nèi)外部環(huán)境的變46（三）全面風險管理的目標戰(zhàn)略（strategic）目標：這是企業(yè)的高層次目標，與企業(yè)使命相關(guān)聯(lián)并支撐其使命；風險管理目標必須與企業(yè)發(fā)展的戰(zhàn)略目標相輔相成，戰(zhàn)略目標的實現(xiàn)可以通過企業(yè)風險管理的風險分析、風險控制等途徑實現(xiàn)。經(jīng)營（operations）目標：指企業(yè)應有效和高效率地利用其資源，高效運營。報告（reporting）目標：指企業(yè)要真實披露企業(yè)的經(jīng)營業(yè)績，確保財務(wù)報告真實可靠。合規(guī)（compliance）目標：指企業(yè)要遵循相關(guān)法律和法規(guī)的規(guī)定，合規(guī)經(jīng)營。2022/12/1347企業(yè)風險管理（三）全面風險管理的目標戰(zhàn)略（strategic）目標：這是47（四）內(nèi)控框架與風險框架2022/12/1348企業(yè)風險管理（四）內(nèi)控框架與風險框架2022/12/1248企業(yè)風險管理48內(nèi)控系統(tǒng)：風險管理的必經(jīng)之路內(nèi)控系統(tǒng)是全面風險管理的子系統(tǒng)。相對于整個全面風險管理而言，內(nèi)控在目標、手段、對象范圍等方面都有局限COSO的綜合內(nèi)控體系對世界各國公司立法和管理影響巨大美國通過的Sarbanes-Oxley(2002)法案將建立和維持有效的內(nèi)控系統(tǒng)作為對上市公司的法律合規(guī)要求COSO1992內(nèi)部控制是通過有關(guān)企業(yè)流程的設(shè)計和實施的一系列政策、制度、程序和措施，控制影響流程目標的各種風險的過程2022/12/1349企業(yè)風險管理內(nèi)控系統(tǒng)：風險管理的必經(jīng)之路內(nèi)控系統(tǒng)是全面風險管理的子系統(tǒng)。49風險管理與內(nèi)部控制的關(guān)系《ERM框架》并非意在取代，也沒有取代《內(nèi)部控制框架》，而更應當說是吸納了《內(nèi)部控制框架》的精髓；《ERM框架》既能滿足內(nèi)部控制的需要，又能進一步地充實完善風險管理流程。概念的擴大：內(nèi)部控制，將事情做正確；全面風險管理：做正確的事情目標的發(fā)展：增加戰(zhàn)略目標，報告目標擴大操作性的提升：風險管理應用于企業(yè)戰(zhàn)略制定要素的發(fā)展：五要素至八要素2022/12/1350企業(yè)風險管理風險管理與內(nèi)部控制的關(guān)系《ERM框架》并非意在取代，也沒有取50第3節(jié)企業(yè)風險管理在我國的實踐我國內(nèi)部控制制度的建設(shè)和發(fā)展源于20世紀90年代，主要由政府、證券監(jiān)督管理機構(gòu)、行業(yè)監(jiān)管機構(gòu)等制定的內(nèi)部有關(guān)法律、法規(guī)、指引等推動。2006年6月，國資委發(fā)布了《中央企業(yè)全面風險管理指引》2008年6月28日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》（以下簡稱基本規(guī)范）。2022/12/1351企業(yè)風險管理第3節(jié)企業(yè)風險管理在我國的實踐我國內(nèi)部控制制度的建設(shè)和發(fā)展源51第3節(jié)企業(yè)風險管理在我國的實踐2008年6月12日，財政部會同國務(wù)院有關(guān)部門草擬了《企業(yè)內(nèi)部控制評價指引》（征求意見稿）、《企業(yè)內(nèi)部控制應用指引》（征求意見稿）和《企業(yè)內(nèi)部控制鑒證指引》（征求意見稿）。其中《企業(yè)內(nèi)部控制應用指引》（征求意見稿）包含資金、采購、存貨、銷售、工程項目、固定資產(chǎn)、無形資產(chǎn)、長期股權(quán)投資、籌資、預算、成本費用、擔保、合同協(xié)議、業(yè)務(wù)外包、對子公司的控制、財務(wù)報告編制與披露、人力資源政策、信息系統(tǒng)一般控制、衍生工具、企業(yè)并購、關(guān)聯(lián)交易和內(nèi)部審計22個項目。2008年12月31日，財政部又新增了組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、企業(yè)文化和社會責任等5個應用指引項目的征求意見稿。2022/12/1352企業(yè)風險管理第3節(jié)企業(yè)風險管理在我國的實踐2008年6月12日，財政部會52第四節(jié)

企業(yè)風險管理在其他國家和地區(qū)的實踐一、澳大利亞和新西蘭國家風險管理標準AS/NZS4360國家標準AS/NZS43601995:1999

世界上第一個國家企業(yè)風險管理標準定義了風險管理的標準程序突出了風險管理的內(nèi)部與外部環(huán)境2022/12/1353企業(yè)風險管理第四節(jié)企業(yè)風險管理在其他國家和地區(qū)的實踐一、澳大利亞和新53二、加拿大COCO的《控制指南》與COSO框架文件中所使用的“內(nèi)部控制”術(shù)語相比，COCO更傾向于使用“控制”一詞，并且“控制”一詞的含義比與財務(wù)報告有關(guān)的內(nèi)部控制的含義更為寬泛。內(nèi)部控制的定義在指南中不是一個過程，而是組織(包括資源、系統(tǒng)、程序、文化、結(jié)構(gòu)和任務(wù))的一部分，所有這些組成部分結(jié)合在一起，確保了組織目標的實現(xiàn)。2022/12/1354企業(yè)風險管理二、加拿大COCO的《控制指南》與COSO框架文件中所使用的54二、加拿大COCO的《控制指南》盡管COCO指南將內(nèi)部控制的研究視角從審計師的需要轉(zhuǎn)向了“公司管理人員應如何發(fā)揮作用或如何工作這個角度”，但對內(nèi)部控制的管理意義的過分強調(diào)有時也會削弱其在維護財務(wù)報告可靠性方面的功能。其次，CoCo的控制指南沒有考慮現(xiàn)代管理中被十分重視的價值鏈因素，因此內(nèi)部控制框架仍聚焦在“內(nèi)部”，無法體現(xiàn)價值鏈上的內(nèi)部控制要求，這也很難說就能體現(xiàn)管理者的控制要求。觀察現(xiàn)實不難發(fā)現(xiàn)，許多公司的成本和價值控制都是以價值鏈分析為前提的，并且將公司置于價值鏈之中來進行控制的。2022/12/1355企業(yè)風險管理二、加拿大COCO的《控制指南》盡管COCO指南將內(nèi)部控制的55三、香港會計師公會2004年11月，香港聯(lián)合交易所頒布《企業(yè)管制常規(guī)守則》和《企業(yè)管制報告》，2005年7月1日以后實行。2005年6月，香港會計師公會發(fā)布《內(nèi)部控制與風險管理的基本框架》。2022/12/1356企業(yè)風險管理三、香港會計師公會2004年11月，香港聯(lián)合交易所頒布《企業(yè)56四、荷蘭的公司治理和內(nèi)部控制荷蘭的公司治理與內(nèi)控報告于1997年由Peter'sCommittee制定頒布。這份報告包括40項建議，除了適用于所有上市公司外，還包括非營利性公司，并在2002年對其進行了修改。2022/12/1357企業(yè)風險管理四、荷蘭的公司治理和內(nèi)部控制荷蘭的公司治理與內(nèi)控報告于19957五、歐洲會計師聯(lián)合會（FEE）2003年7月歐洲會計師聯(lián)合會發(fā)布了關(guān)于強化風險管理的報告，該報告主要強調(diào)了財務(wù)報告與審計方面的管理和控制。報告提出公司的內(nèi)部控制以及風險管理體系是公司賴以生存和發(fā)展的基礎(chǔ)之一，它不僅僅有助于財務(wù)方面，也有助于公司實現(xiàn)其業(yè)務(wù)目標。歐洲會計師聯(lián)合會在2005年3月的一份討論風險管理與內(nèi)部控制的文件中提出，不支持歐盟執(zhí)行相當于薩班斯一奧克斯利法案404條款規(guī)定的類似內(nèi)容。2022/12/1358企業(yè)風險管理五、歐洲會計師聯(lián)合會（FEE）2003年7月歐洲會計師聯(lián)合會58五、歐洲會計師聯(lián)合會（FEE）和美國薩班斯一奧克斯利法案的理念相反，歐洲會計師聯(lián)合會認為，對公司有效內(nèi)部控制制度的敦促，可以通過賦予股東等多方面的法律權(quán)利來實現(xiàn)，從而改變公司行為，以代替硬性的法律規(guī)定?？赏瑫r，歐洲會計師聯(lián)合會提倡在更為寬泛的層面來看待風險管理和內(nèi)部控制，特別是在整個歐盟之內(nèi)，將各個不同國家之間的內(nèi)部控制和風險管理制度，協(xié)調(diào)和融合并擇善去惡，才是要務(wù)。2022/12/1359企業(yè)風險管理五、歐洲會計師聯(lián)合會（FEE）和美國薩班斯一奧克斯利法案的理59六、國際化標準組織協(xié)調(diào)目前存在的各種風險管理標準，需要制定一個適應各種規(guī)模、各種類型組織的國際指南性風險管理標準。為此，國際標準化組織(ISO)進行了一系列的工作。2005年9月，第一屆風險管理工作組會議在日本東京召開，形成了ISO25700：《ISO/TMB/WG風險管理——風險管理原則與實施通用指南(草案)》。2007年4月22日至27日，國際標準化組織技術(shù)管理局風險管理工作組（ISO/TMB/WGRiskManagement）在加拿大渥太華召開了第四次工作組會議，討論制定風險管理國際標準——ISO31000風險管理原則與實施指南。2022/12/1360企業(yè)風險管理六、國際化標準組織協(xié)調(diào)目前存在的各種風險管理標準，需要制定一60演講完畢，謝謝觀看！演講完畢，謝謝觀看！61第二章企業(yè)風險管理實踐本章學習目標了解英國公司治理的發(fā)展歷程，掌握卡德伯利報告、哈姆佩爾報告和特恩布爾報告的主要內(nèi)容掌握美國企業(yè)風險管理發(fā)展的5個階段掌握COSO《內(nèi)部控制—整合框架》的主要內(nèi)容掌握薩班斯一奧克斯利法案的內(nèi)容概要理解薩班斯一奧克斯利法案的精髓和缺陷掌握COSO《企業(yè)風險管理—整合框架》的主要內(nèi)容掌握COSO《企業(yè)風險管理—整合框架》和《內(nèi)部控制—整合框架》的聯(lián)系與區(qū)別理解我國企業(yè)風險管理的發(fā)展歷程及存在的問題了解其它國家和地區(qū)的企業(yè)風險管理實踐2022/12/1362企業(yè)風險管理第二章企業(yè)風險管理實踐本章學習目標2022/12/1262總體狀況目前各國的風險管理水平的大致情況是：美國、澳大利亞最超前、成熟；日本、英國、加拿大等國在風險管理標準方面的研究也較為深入。我國風險管理事業(yè)雖然起步較晚，風險管理的系統(tǒng)實施尚不普及，但部分從業(yè)人員的水平居世界前列。2022/12/1363企業(yè)風險管理總體狀況目前各國的風險管理水平的大致情況是：2022/12/63第二章企業(yè)風險管理實踐第一節(jié)企業(yè)風險管理在英國的實踐1第二節(jié)企業(yè)風險管理在美國的實踐2第三節(jié)企業(yè)風險管理在我國的實踐34第四節(jié)企業(yè)風險管理在其他國家和地區(qū)的實踐42022/12/1364企業(yè)風險管理第二章企業(yè)風險管理實踐第一節(jié)企業(yè)風險管理在英國的實踐64第一節(jié)企業(yè)風險管理在英國的實踐英國企業(yè)風險管理的發(fā)展離不開公司治理研究的推動。報告名稱發(fā)布日期卡德伯利報告（CadburyReport）1992年12月格林伯利報告（CreenburyReport）1995年7月哈姆佩爾準則（HampelCode）1998年6月特恩布爾報告（TurnbullReport）1999年9月邁爾斯評論（MynersReview）2001年3月史密斯報告（SmithReport）2003年1月西格斯報告（HiggsReport）2003年1月泰森報告（TysonReport）2003年6月綜合準則（TheCombinedCode）2003年7月2022/12/1365企業(yè)風險管理第一節(jié)企業(yè)風險管理在英國的實踐英國企業(yè)風險管理的發(fā)展65一、卡德伯利報告(CadburyReport)該報告從財務(wù)角度對公司治理進行了深度的剖析，同時將內(nèi)部控制置于公司治理的框架之下。建議從四個方面改善公司治理：公司董事會層面：重大事項經(jīng)董事會決議公司非執(zhí)行獨立董事層面：首次提出NEDs公司執(zhí)行董事層面:董事薪酬委員會應由NEDs主導報告和控制層面：董事會必須向公司股東清晰直觀地呈報公司的當前經(jīng)營和歷史經(jīng)營狀況、公司的盈利前景2022/12/1366企業(yè)風險管理一、卡德伯利報告(CadburyReport)該報告從財務(wù)66一、卡德伯利報告(CadburyReport)除了公司治理環(huán)境，卡德伯利報告更從公司管理層次上提出，健全的內(nèi)部控制是公司有效管理的一個重要方面。因此，建議董事們應發(fā)表一個聲明，對公司內(nèi)部控制的有效性進行詳細描述。同時，外部審計師應對這份聲明進行復核和報告，并規(guī)定在董事會認可聲明之前，公司的審計委員會必須對公司的內(nèi)部控制聲明進行復核。該報告還認為，內(nèi)部審計有助于確保內(nèi)部控制的有效性，內(nèi)部審計的日常監(jiān)督是內(nèi)部控制的整體組成部分，會計師應在以下方面對公司的內(nèi)部控制起到督導作用：①建立用以評估有效性的一整套標準；②建立董事會報告形式的具體指南；③建立審計師用以相關(guān)審計程序和報告格式的具體指南?！皟?nèi)外雙重審計”制度的創(chuàng)設(shè)，最大限度地避免了董事會、董事甚至內(nèi)部審計人員串通舞弊的可能性。2022/12/1367企業(yè)風險管理一、卡德伯利報告(CadburyReport)除了公司治理67二、格林伯利報告（GreenburyReport）格林伯利董事薪酬研究委員會成立于1995年，重點關(guān)注董事薪酬增長速度與水平與公司業(yè)績表現(xiàn)嚴重脫鉤的問題。該委員會的主旨在于建立董事薪酬決策的最佳實踐，尤其針對以前所忽視的與公司績效掛鉤的薪酬支付。該委員會提交的董事薪酬最佳指引最終成為1995年上市準則（ListingRules）的附屬文件。格林伯利報告的核心思想有以下幾個方面：嚴禁執(zhí)行董事自己給自己設(shè)定薪酬及其影響要素；在董事薪酬設(shè)計軟件中引入更嚴格的條件，著重關(guān)注董事業(yè)績激勵與公司回報之間的關(guān)系；改善對股東的義務(wù)。2022/12/1368企業(yè)風險管理二、格林伯利報告（GreenburyReport）格林伯利68三、哈姆佩爾報告（HampelReport）哈姆佩爾報告于1998年6月問世并取代了卡德伯利報告和格林伯利報告，成為了在英國倫敦交易所上市必須遵循的上市規(guī)則。哈姆佩爾報告將內(nèi)部控制的目的定位于保護資產(chǎn)的安全、保持正確的財務(wù)會汁記錄、保證公司內(nèi)部使用和向外部提供的財務(wù)信息的可靠性，同時鼓勵董事對內(nèi)部控制的各個方面進行復核，包括確保高效經(jīng)營、遵守法律法規(guī)方面的控制。哈姆佩爾報告認為，將財務(wù)控制與其他控制區(qū)分開來是十分困難的，而且也并沒有太大的意義。該報告還堅信董事及管理人員對控制的各個方面進行復核具有重要意義，內(nèi)部控制不應僅局限于公司治理的財務(wù)方面。從內(nèi)部控制制度來看，哈姆佩爾報告與卡德伯利報告在諸多方面形成了鮮明對比。2022/12/1369企業(yè)風險管理三、哈姆佩爾報告（HampelReport）哈姆佩爾報告于69四、特恩布爾報告（TurnbullReport）特恩布爾報告。作為指導企業(yè)構(gòu)建內(nèi)部控制的指南，該報告的意義在于，它為公司及董事會提供了具體的、頗具操作性的內(nèi)部控制指引。其主要內(nèi)容包括：董事會對公司的內(nèi)部控制負責執(zhí)行風險控制政策是管理層的職責合理的內(nèi)部控制要素公司內(nèi)部控制的控制環(huán)境：①控制活動；②信息和溝通程序；③持續(xù)性監(jiān)督程序。特恩布爾報告還描述了健全的內(nèi)部控制所應具備的基本特征：①內(nèi)部控制根植于公司的經(jīng)營之中，成為公司文化的一部分，換言之，它不僅僅是為了取悅監(jiān)管者而進行的年度例行檢查，更是真正意義上的對公司既定戰(zhàn)略目標的執(zhí)行和公司治理的延伸；②針對公司所面臨的日新月異的風險，內(nèi)部控制應具有快速反應的能力；③具有對管理中存在的缺陷或失敗進行快速報告的能力，并且能及時地采取糾正措施。2022/12/1370企業(yè)風險管理四、特恩布爾報告（TurnbullReport）特恩布爾70五、邁爾斯評論（MynersReview）針對機構(gòu)投資者（包括養(yǎng)老金計劃、保險公司）投資決策過程有效性進行研究。2001年3月，鮑爾.邁爾斯公布了相應的研究。報告中除了指明當時英國機構(gòu)投資者在投資決策過程中顯著缺失有效性和靈活性外，還對投資決策有效步驟提出了基本的原則，對機構(gòu)投資者的投資控制有著指導意義。2022/12/1371企業(yè)風險管理五、邁爾斯評論（MynersReview）針對機構(gòu)投資者（71六、史密斯報告（SmithReport）2003年1月發(fā)布的史密斯報告為上市公司提供了董事會如何安排審計委員會以及審計委員會中的董事如何履行職責的指引該報告提供的指引包含以下內(nèi)容：①審計委員會的組成與角色，人選程序和來源；②與董事會的關(guān)系；③角色與職能；④與股東的溝通2022/12/1372企業(yè)風險管理六、史密斯報告（SmithReport）2003年1月發(fā)布72七、西格斯報告（HiggsReport）2002年4月，英國財政部和貿(mào)易中心為了提高英國各行業(yè)的生產(chǎn)效率，發(fā)起了對公眾上市公司非執(zhí)行董事有效性的調(diào)研，對非執(zhí)行董事的角色和效率提高進行徹底澄清就獨立非執(zhí)行董事在獨立性、雇傭、任命、就職、任期、薪酬、辭職、審計委員會、職責和投資者關(guān)系各個方面提出了長達6頁紙的改進建議。2022/12/1373企業(yè)風險管理七、西格斯報告（HiggsReport）2002年4月，英73八、泰森報告（TysonReport）泰森報告共有12章，涵蓋獨立非執(zhí)行董事的屬性、成員來源、當前狀況、獨立非執(zhí)行董事成員多樣性的優(yōu)勢、董事會構(gòu)成的約束條件、未來的培訓事宜等。主要特點如下：基于對公司的特殊需要和所面臨的挑戰(zhàn)進行詳細評估而作出的對每一個獨立非執(zhí)行董事的任命過程；適用范圍擴大，包括公眾上市公司、專業(yè)服務(wù)公司、非上市公司、私人股權(quán)公司、非商業(yè)部門以及外資企業(yè)中的商業(yè)和非商業(yè)部門；為董事會成員提供正式的培訓和評估；形成新的組織，對董事會的構(gòu)成提供常規(guī)的、可靠的評估。2022/12/1374企業(yè)風險管理八、泰森報告（TysonReport）泰森報告共有12章，74九、公司治理聯(lián)合條例2003年的公司治理聯(lián)合條例取代了1998年由哈姆貝爾委員會發(fā)布的條例。2003年的聯(lián)合條例在原來條例的基礎(chǔ)上，新增了西格斯報告關(guān)于獨立非執(zhí)行董事和史密斯報告關(guān)于審計委員會的內(nèi)容。英國金融服務(wù)當局（FSA）決定將新聯(lián)合條例加入到上市準則中，在2003年11月及以后的上市公司報告中實行。上市公司披露報告將有兩部分內(nèi)容涉及到上市準則的修訂：在報告的第一部分將要求陳述公司治理政策，第二部分將要求說明在哪些方面遵守了聯(lián)合條例的條款，而在哪些方面沒有遵守，不遵守的理由是什么。在實際操作中準則仍然采用沿用了10年之久的“遵守或解釋”的方法。聯(lián)合條例分為5個部分，分別是董事、薪酬、問責制度與審計、股東關(guān)系以及機構(gòu)股東。2022/12/1375企業(yè)風險管理九、公司治理聯(lián)合條例2003年的公司治理聯(lián)合條例取代了19975英國企業(yè)風險管理實踐總結(jié)總之，英國企業(yè)內(nèi)部控制的發(fā)展離不開公司治理的推動，內(nèi)部控制和內(nèi)部審計研究均置于公司治理的框架之內(nèi)，重視從公司治理的角度來鞏固內(nèi)部控制制度的效果，把內(nèi)部控制看作公司治理在企業(yè)日常運用中的有效延伸，這是英國公司治理和內(nèi)部控制體系發(fā)展帶給我們最大的啟發(fā)，也是當前企業(yè)風險管理體系的核心，并催生了當前的公司治理的問責制和最佳實踐的基本原則。2022/12/1376企業(yè)風險管理英國企業(yè)風險管理實踐總結(jié)總之，英國企業(yè)內(nèi)部控制的發(fā)展離不開公76英國企業(yè)風險管理實踐總結(jié)公司治理的目的是建立一種問責性制度(Accountability),以使公司的董事會和管理人員切實承擔其責任，有效地運用他們受托管理的資金，為投資者（股東）謀取利益。健康的公司治理要求董事會內(nèi)設(shè)置足夠多的外部獨立董事（甚至過半），而不是讓負責經(jīng)營管理公司的內(nèi)部人員控制董事會。董事會任命的某些附屬委員會應該完全由外部獨立董事組成，以便保障健康的公司治理實踐。對審計委員會而言，這一點尤為重要。獨立董事的重要作用越來越多地在公司治理準則和金融機構(gòu)管理法規(guī)中得到反映和體現(xiàn)。2022/12/1377企業(yè)風險管理英國企業(yè)風險管理實踐總結(jié)公司治理的目的是建立一種問責性制度(77第二節(jié)

企業(yè)風險管理在美國的實踐2022/12/1378企業(yè)風險管理第二節(jié)企業(yè)風險管理在美國的實踐2022/12/1217企78一、美國的風險管理發(fā)展歷程-實物牽制-薄記牽制法律責任,廣義內(nèi)控COSO內(nèi)部控制整合框架薩班斯法案內(nèi)控評價內(nèi)部審計進展40年代前40-70年代80-90年代90年代后2002年后內(nèi)部牽制內(nèi)部控制結(jié)構(gòu)完善-控制環(huán)境-會計系統(tǒng)-控制程序-控制環(huán)境-風險評估-控制活動-信息溝通-監(jiān)督-建立內(nèi)控-數(shù)據(jù)準確一致-內(nèi)控可靠性

COSO企業(yè)風險管理整合框架-內(nèi)部環(huán)境-目標設(shè)置-事件辨識-風險評估-風險反應-控制活動-信息與溝通-監(jiān)控2022/12/1379企業(yè)風險管理一、美國的風險管理發(fā)展歷程-實物牽制法律責任,COSO薩班斯79二、COSO《內(nèi)部控制—整合框架》2022/12/1380企業(yè)風險管理二、COSO《內(nèi)部控制—整合框架》2022/12/1219企80（一）內(nèi)部控制定義由一個實體的董事會、管理層與其他人員所實施的一個流程，用于提供實現(xiàn)以下幾方面目標的合理保證：第一，財務(wù)報告的可靠性；第二，運營的有效性與效率；第三，符合相關(guān)法律法規(guī)COSO的三維整合框架為管理層提供了評估內(nèi)部控制所需的標準：內(nèi)部控制的設(shè)計旨在合理保證實現(xiàn)公司以下目標：運營的有效性與效率（包括資產(chǎn)保護）、財務(wù)報告的可靠性以及符合相關(guān)的法律法規(guī)。內(nèi)部控制制度在公司內(nèi)部貫穿的范圍：部門單位層（EntityLevel)與行動層（ActivitiesLevel，或稱流程層）。公司必須在這兩個層次上對其內(nèi)部控制進行評估：部門單位層、行動層或流程層。內(nèi)部控制制度的五大要素2022/12/1381企業(yè)風險管理（一）內(nèi)部控制定義由一個實體的董事會、管理層與其他人員所實施81

【例】下列選項中屬于COSO委員會內(nèi)部控制基本目標的是（）。

A.資產(chǎn)安全

B.運營的效益和效率

C.財務(wù)報告的可靠性

D.遵守適用的法律法規(guī)

『正確答案』BCD

『答案解析』COSO委員會對內(nèi)部控制的定義是“公司的董事會、管理層及其他人士為實現(xiàn)以下目標提供合理保證而實施的程序：運營的效益和效率，財務(wù)報告的可靠性和遵守適用的法律法規(guī)。”2022/12/1382企業(yè)風險管理【例】下列選項中屬于COSO委員會內(nèi)部控制基本目標的是（82（二）內(nèi)部控制五大要素控制環(huán)境—控制環(huán)境決定了一個組織的基調(diào)，影響成員對于控制的意識。它是內(nèi)部控制所有其他部分的基礎(chǔ)，提供綱領(lǐng)和結(jié)構(gòu)?？刂骗h(huán)境因素包括：誠信、道德價值觀和企業(yè)員工的競爭力；管理哲學和經(jīng)營風格；管理層如何進行授權(quán)和職責分配，如何組織和發(fā)展它的員工；董事會提供的關(guān)注和指導；風險評估—每個公司都面臨著內(nèi)外部風險，這些風險必須被評估。風險評估的前提是建立不同層次但具有內(nèi)部一致性的目標。風險評估是發(fā)現(xiàn)和分析對達到目標有影響的風險的過程，是確定如何管理和控制風險的基礎(chǔ)?？刂苹顒印刂苹顒邮谴_保管理層指令得到執(zhí)行的公司政策和流程。它確保企業(yè)針對相關(guān)的風險采取了必要的措施，以實現(xiàn)企業(yè)的目標?？刂苹顒哟嬖谟谡麄€組織的所有層次和所有職能部門中。控制活動包括一系列不同的活動，例如對經(jīng)營活動的審批、授權(quán)、確認、核對、審核，對資產(chǎn)的保護，職權(quán)分離等2022/12/1383企業(yè)風險管理（二）內(nèi)部控制五大要素控制環(huán)境—控制環(huán)境決定了一個組織的基調(diào)83（二）內(nèi)部控制五大要素信息與溝通—相關(guān)的信息必須以某種形式并在某個時段被識別、獲得和溝通，以促使職責的履行。信息系統(tǒng)生成報告，內(nèi)容包括經(jīng)營、財務(wù)和合規(guī)性方面的信息，以使得管理層能夠運作和控制業(yè)務(wù)活動。有效的溝通應當基于更為廣泛的理解，自上而下、自下而上地貫穿整個組織。監(jiān)控—內(nèi)部控制系統(tǒng)需要監(jiān)督—一套隨時評價內(nèi)部控制系統(tǒng)運行狀況的流程。通過持續(xù)的監(jiān)督活動、單獨的評價或者兩者的結(jié)合來完成這種控制。2022/12/1384企業(yè)風險管理（二）內(nèi)部控制五大要素信息與溝通—相關(guān)的信息必須以某種形式并84【例】在COSO內(nèi)部控制框架中，作為其它要素的基礎(chǔ)的是（）。

A.控制環(huán)境B.風險評估C.控制活動D.監(jiān)察

『正確答案』A【例】某大型銀行規(guī)定，顧客貸款經(jīng)理在批準貸款前，必須復核其下級提交的顧客分析報告及相關(guān)文件，并簽字授權(quán)，然后才能為貸款者發(fā)放貸款。根據(jù)以上信息可以判斷，該銀行的這種控制活動屬于（）。

A.授權(quán)和批準B.人員控制

C.監(jiān)督及管理控制D.計算和會計

『正確答案』A

2022/12/1385企業(yè)風險管理【例】在COSO內(nèi)部控制框架中，作為其它要素的基礎(chǔ)的是（85（三）COSO報告中對公司人員在內(nèi)部控制中的闡述管理層：公司首席執(zhí)行官（CEO）對內(nèi)部控制負有全面的責任，可以看作是內(nèi)部控制系統(tǒng)的“責任人”。依次的，高級管理人員向負責企業(yè)運營的員工分配建立更為具體的內(nèi)部控制政策和程序的責任。董事會：管理層對董事會負責，董事會實施治理、指導和監(jiān)督。內(nèi)部審計師：內(nèi)部審計師在評價內(nèi)部控制有效性方面起著重要的作用，對維持有效性也有所貢獻。內(nèi)部審計職能部門因為其在企業(yè)中的地位和權(quán)利，起著重要的監(jiān)督作用。內(nèi)部其他人員：內(nèi)部控制從某種程度上是組織中每個人的責任，因此應當作為每個人工作范圍的明確或非明確的一部分。外部人員。公司的外部人員也有助于控制目標的實現(xiàn)。如外部審計、法律顧問、監(jiān)管部門、客戶、其他往來單位、財務(wù)分析師、信用評級公司、新聞媒體等2022/12/1386企業(yè)風險管理（三）COSO報告中對公司人員在內(nèi)部控制中的闡述管理層：公司86三、薩班斯一奧克斯利法案薩班斯法案的關(guān)鍵點就是建立起公司財務(wù)報告的可靠性。薩班斯法案共計11章，分別為公眾公司審計委員會、審計師的獨立性、公司的責任、強化財務(wù)資訊披露、利益沖突的分析、委員會的組成及其權(quán)利、研究及報告、公司欺詐及其刑事責任、強化白領(lǐng)刑事責任、公司納稅申報表和公司欺詐責任。11章下又分為66節(jié)，其中最重要的302節(jié)和404節(jié)第302節(jié)

公司對財務(wù)報告的責任第404節(jié)

管理層對內(nèi)部控制的評價2022/12/1387企業(yè)風險管理三、薩班斯一奧克斯利法案薩班斯法案的關(guān)鍵點就是建立起公司財務(wù)87薩班斯法案中的302與404條款302條款–定期公開報告的附加CEO/CFO承諾書與披露已審閱了上報的該定期報告；該報告無失實陳述、或漏報重大事實、或誤導情況；該報告公允地反映了公司的財務(wù)狀況；設(shè)立并維持了足夠的披露內(nèi)控體系；財務(wù)報告內(nèi)控體系披露內(nèi)控體系已于該報告中評價內(nèi)控體系的有效性；對財務(wù)報告內(nèi)控體系的重要變化說明；已對審計師披露財務(wù)報告內(nèi)控體系的重大缺陷和不足，以及對財務(wù)報告內(nèi)控有重大影響的雇員欺詐行為。404條款-年度財務(wù)報告內(nèi)部控制的公司管理層報告書設(shè)立并維持了足夠的財務(wù)報告內(nèi)控體系；財務(wù)報告內(nèi)控體系有效性的評價；為評價財務(wù)報告內(nèi)控體系而采用的評價體系的說明。Sarbanes-OxleyActof20022022/12/1388企業(yè)風險管理薩班斯法案中的302與404條款302條款–定期公開報告88薩班斯一奧克斯利法案的精髓（1）禁止向本公司董事或高管人員提供私人貸款；在養(yǎng)老金計劃管制期內(nèi)，公司的董事和高層管理人員不能直接或間接交易或持有該公司股票或從中獲益的其他行為；對于有違反證券法規(guī)情節(jié)的有關(guān)人士，美國證監(jiān)會可以禁止他們擔任公司的管理人員或者董事等。（2）上市公司所有定期報告（包括公司依照1934年證券交易法規(guī)定編制的會計報表）應附有公司首席執(zhí)行官與首席財務(wù)官簽署的承諾函；承諾函中的內(nèi)容包括：確保本公司定期報告所含會計報表及信息披露的適當性，并且保證此會計報表及信息披露在所有重大方面都公正地反映了公司的經(jīng)營成果及財務(wù)狀況。2022/12/1389企業(yè)風險管理薩班斯一奧克斯利法案的精髓（1）禁止向本公司董事或高管人員提89薩班斯一奧克斯利法案的精髓（3）在公司定期報告中若發(fā)現(xiàn)因?qū)嵸|(zhì)性違反監(jiān)管法規(guī)而被要求重編會計報表時，公司的CEO/CFO應當返還給公司12個月內(nèi)從公司收到的所有獎金、紅利、其他形式的激勵性報酬以及買賣本公司股票所得收益；如果公司CEO/CFO事先知道違規(guī)事項，但仍提交承諾函，最多可以判處10年監(jiān)禁，以及100萬美元的罰款；對于故意做出虛假承諾的，最多可以被監(jiān)禁20年并判處500萬美元的罰款，20年監(jiān)禁的重刑—這和美國持槍搶劫的最高刑罰相同。2022/12/1390企業(yè)風險管理薩班斯一奧克斯利法案的精髓（3）在公司定期報告中若發(fā)現(xiàn)因?qū)嵸|(zhì)90薩班斯一奧克斯利法案的精髓（4）提高財務(wù)報告披露的及時性。將年度報告期由90天縮短為60天；季度報告由45天縮短為35天。年報及季報都需要注冊會計師的審計；強化上市公司內(nèi)控及報告制度，要求公司年度報告中提供“內(nèi)部控制報告”，說明公司內(nèi)部控制制度及其實施的有效性，“內(nèi)部控制報告”要出具注冊會計師的意見；提高對公司信息披露可用性的要求，包括定期報告中披露所有的資產(chǎn)負債表外交易、財務(wù)狀況的預測性信息、高層財務(wù)人員的道德守則、所有由注冊會計師出具的實質(zhì)性的糾正調(diào)整、臨時報告中公司財務(wù)狀況或財務(wù)經(jīng)營狀況的實質(zhì)性變化等。2022/12/1391企業(yè)風險管理薩班斯一奧克斯利法案的精髓（4）提高財務(wù)報告披露的及時性。將91薩班斯一奧克斯利法案的精髓（5）公司的審計委員會必須完全由“獨立董事”組成獨立董事不得是公司或者其子公司的關(guān)聯(lián)人士，其中至少一人應是財務(wù)專家；獨立董事不得從公司接受任何咨詢費、顧問費或者其他酬金；公司聘用會計師事務(wù)所及報酬方式要由審計委員會批準，并接受審計委員會的監(jiān)督；會計師事務(wù)所在審計過程中遇到的重大事項必須及時報告審計委員會；為保證審計委員會能夠及時發(fā)現(xiàn)公司的會計和審計問題，還需要建立一套處理舉報或投訴的工作程序以及相應的監(jiān)測系統(tǒng)、反應機制。2022/12/1392企業(yè)風險管理薩班斯一奧克斯利法案的精髓（5）公司的審計委員會必須完全由“92薩班斯一奧克斯利法案的精髓（6）禁止會計師事務(wù)所在進行審計業(yè)務(wù)的同時提供非審計業(yè)務(wù)；強制實行注冊會計師定期輪換制。（7）要求美國證券交易委員會制定相關(guān)的規(guī)定和細則，以避免證券分析師在其研究報告或公開場合向投資者推薦股票時“見利忘義”，以提高研究報告的客觀性，向投資者提供更為有用和可靠的信息；規(guī)定一定期限內(nèi)擔任或即將擔任公開發(fā)行股票承銷商或坐市商

(Dealers)的經(jīng)紀人和交易商不得公開發(fā)布關(guān)于該股票或發(fā)行人的研究報告；在執(zhí)業(yè)的經(jīng)紀人和交易商內(nèi)部建立制度架構(gòu)體系，將證券分析師劃分為復核、強制(Pressure)、監(jiān)察等不同的工作部門，以避免參與投資銀行業(yè)務(wù)的人員存有潛在的偏見；要求證券分析師、經(jīng)紀人和交易商在研究報告公布的同時，披露已知的和應當知曉的利益沖突事項。2022/12/1393企業(yè)風險管理薩班斯一奧克斯利法案的精髓（6）禁止會計師事務(wù)所在進行審計業(yè)93薩班斯一奧克斯利法案的精髓（8）任何人通過信息欺詐或價格操縱在證券市場獲取利益，最多可監(jiān)禁25年或處以罰款；對違法的注冊會計師可被判處10年以下監(jiān)禁或罰款；延長了對證券欺詐的追訴期，起訴時間可以延長至非法行為發(fā)現(xiàn)的2年內(nèi)，或者非法行為實施后的5年內(nèi)；新的規(guī)定將保護公司檢舉揭發(fā)的員工，對舉報者進行打擊報復的，最高可判處10年監(jiān)禁，還規(guī)定了對舉報者的具體的補償措施，比如恢復職務(wù)、補發(fā)報酬及其他損失等。2022/12/1394企業(yè)風險管理薩班斯一奧克斯利法案的精髓（8）任何人通過信息欺詐或價格操縱94薩班斯一奧克斯利法案實施的短板和誤區(qū)考問之一：正確地做事還是做正確的事?？紗栔?；紙面工作還是風險導向。考問之三：獨立會計師對公司經(jīng)營風險的把握和勝任能力。2022/12/1395企業(yè)風險管理薩班斯一奧克斯利法案實施的短板和誤區(qū)考問之一：正確地做事還是95四、COSO《企業(yè)風險管理—整合框架》（一）產(chǎn)生背景進人21世紀以來風險管理課題的日益凸顯，要求一個內(nèi)涵更為豐富的理論框架以有效地識別、評估與管理風險。在廣泛吸收各國理論界（例如：英國的Turnbull報告，加拿大的COCO）和實務(wù)界（例如：銀行業(yè)的BaseⅡ）等研究結(jié)果的基礎(chǔ)之上，并且經(jīng)過充分的意見征求與討論之后，COSO將其理論體系進行了進一步的豐富與提升，并于2004年9月在《內(nèi)部控制—整合框架》理論的基礎(chǔ)之上推出了《企業(yè)風險管理一整合框架)((EnterpriseRiskManagement，ERM框架)。2022/12/1396企業(yè)風險管理四、COSO《企業(yè)風險管理—整合框架》（一）產(chǎn)生背景202296（二）主要內(nèi)容根據(jù)COSO的《企業(yè)風險管理—整合框架》，企業(yè)風險管理應包括八個相互關(guān)聯(lián)的構(gòu)成要素。它們是：內(nèi)部環(huán)境、目標設(shè)置、事件辨識、風險評估、風險反應（對策）、控制活動、信息和溝通、監(jiān)控。2022/12/1397企業(yè)風險管理（二）主要內(nèi)容根據(jù)COSO的《企業(yè)風險管理—整合框架》，企971．內(nèi)部環(huán)境內(nèi)部環(huán)境是企業(yè)風險管理所有其它構(gòu)成要素的基礎(chǔ)，為其他要素提供約束和結(jié)構(gòu)。它影響戰(zhàn)略和目標如何制訂，經(jīng)營活動如何組織以及如何識別、評估風險并采取行動。它還影響著控制活動、信息與溝通體系和監(jiān)控措施的設(shè)計與運行。內(nèi)部環(huán)境包含很多要素，關(guān)鍵要素有風險管理哲學、風險偏好、風險文化、董事會、操守與道德價值觀、能力、管理哲學和經(jīng)