內(nèi)部控制與風險管理框架

內(nèi)部控制與風險管理框架2021/5/91第一部分內(nèi)部控制的發(fā)展與演變2021/5/92一、內(nèi)部控制的淵源和早期發(fā)展二、內(nèi)部控制的初步形態(tài)：內(nèi)部牽制三、內(nèi)部控制理論和實踐的分野四、內(nèi)部控制的發(fā)展與演變五、國際上較有影響的內(nèi)部控制準則或指南六、我國內(nèi)部控制規(guī)范建設的情況2021/5/93一、內(nèi)部控制的淵源和早期發(fā)展內(nèi)部控制的淵源十分久遠，自從有了人類的群體活動和組織之后，就會產(chǎn)生對組織的成員及其活動進行控制的需要內(nèi)部控制的發(fā)軔最早可以追溯到公元前3600年—公元前3200年的蘇美爾文化時期古埃及、古波斯、古希臘、古羅馬和古代中國都有原始內(nèi)部牽制制度的雛形原始的內(nèi)部牽制制度最早是為部落、城邦、莊園、國家服務的2021/5/94中世紀資本主義生產(chǎn)關(guān)系萌芽，商業(yè)組織開始出現(xiàn)，內(nèi)部牽制進入企業(yè)領(lǐng)域，開啟了一個廣闊的發(fā)展空間控制（control）一詞最早產(chǎn)生于17世紀，其原始含義是“由登記者之外的人對帳冊進行的核對和檢查”2021/5/95二、內(nèi)部控制的初步形態(tài)：內(nèi)部牽制內(nèi)部控制是從內(nèi)部牽制（internalcheck）的基礎(chǔ)上發(fā)展起來的20世紀以前，盛行的觀念和實務都停留在內(nèi)部牽制階段內(nèi)部牽制的目的是糾錯防弊，其前提性假設是：兩個或多個人犯同一種錯誤的概率較小，兩個或多個人串通舞弊的可能性較小，難度較大內(nèi)部牽制的基本思路是分工和牽制主要的牽制機能包括：分權(quán)牽制、實物牽制、機械牽制和簿記牽制2021/5/96三、內(nèi)部控制理論和實踐的分野審計視角下的內(nèi)部控制

20世紀以后，審計職業(yè)界出于擺脫全面查核、提高審計效率的考慮，開始關(guān)注內(nèi)部控制20世紀中葉，審計和內(nèi)部控制的發(fā)展不斷交織，進而互動和耦合，直接導致了制度基礎(chǔ)審計模式的誕生此后，內(nèi)部控制逐漸確立了在審計中的地位，成為推動審計模式演變和探索審計理論與方法的重要因素之一內(nèi)部控制與審計的交叉和耦合，是推動內(nèi)部控制理論與實踐發(fā)展的最主要的力量2021/5/97管理視角下的內(nèi)部控制

現(xiàn)代管理學說把控制看作管理的一項核心職能，圍繞著管理所展開的控制研究和實踐，是內(nèi)部控制發(fā)展的一個重要分支，我們一般把這個分支統(tǒng)稱為管理控制幾乎所有的著名管理大師，包括法約爾、德魯克、錢德勒、羅賓斯等，在他們的管理學著作中，都涉及到控制問題2021/5/98圍繞著管理控制，形成了自我控制論、控制過程論、控制系統(tǒng)論、控制動力論、生態(tài)控制論等多個分支這個學派隨著控制論、系統(tǒng)論和現(xiàn)代管理學的發(fā)展而不斷發(fā)展而專以控制研究而著稱的前沿觀點以哈佛大學西蒙斯教授的管理杠桿理論最具代表性2021/5/99戰(zhàn)略管理會計視角下的內(nèi)部控制

隨著現(xiàn)代管理會計的發(fā)展，戰(zhàn)略管理會計學派的一個分支將組織內(nèi)的控制系統(tǒng)區(qū)分為戰(zhàn)略規(guī)劃、管理控制和作業(yè)控制三個層次管理控制主要是多事業(yè)部制的公司對其戰(zhàn)略業(yè)務單元（SBU）所進行的戰(zhàn)略業(yè)績考評和控制系統(tǒng)這個學派的主要代表是哈佛大學的安東尼教授和卡普蘭教授2021/5/910四、內(nèi)部控制的發(fā)展與演變內(nèi)部控制階段1936，AIA，《獨立公共會計師對財務報表的檢查》，首次提出內(nèi)部控制的概念注冊會計師在制定審計程序時，應考慮的一個重要因素是審查企業(yè)的內(nèi)部牽制和控制，企業(yè)的會計制度和內(nèi)部控制越健全，財務報表需要測試的范圍就越小內(nèi)部控制是為了保護公司現(xiàn)金和其他資產(chǎn)，核對簿記的準確性，而在公司內(nèi)部采用的手段和方法2021/5/9111938年，麥克森—羅賓斯事件：PW的審計程序中缺少對內(nèi)部控制和會計處理程序的審查1939年10月，AIA審計程序委員會發(fā)布SAP1《審計程序的擴展》，首次增加內(nèi)部控制審查的內(nèi)容1940年10月，SEC正式要求審計師在簽署的審計報告中增加類似的內(nèi)容2021/5/9121949年，AIA審計程序委員會（CAP），《內(nèi)部控制：一個協(xié)調(diào)的系統(tǒng)要素及其對管理層和獨立公共會計師的重要性》，首次給出內(nèi)部控制的權(quán)威定義內(nèi)部控制包括組織的計劃和為了保護資產(chǎn)、核對會計資料準確性和可靠性、提高經(jīng)營效率、以及促使遵循管理層所制定的各項政策所采取的各種方法和措施2021/5/913內(nèi)部控制系統(tǒng)階段1958年10月，CAP發(fā)布了SAP29“獨立審計師評價內(nèi)部控制的范圍”，將內(nèi)部控制劃分為會計控制和管理控制1963年10月，CAP在SAP33“審計準則與程序（匯編）”中強調(diào)：獨立審計師應主要檢查會計控制2021/5/9141972年11月，SAP54“審計師對內(nèi)部控制的研究與評價”，對管理控制和會計控制的定義進行了修訂和充實1972年11月，AudSEC發(fā)布SAS1“審計準則和程序匯編”會計控制包括組織的計劃和與保護資產(chǎn)和保證財務資料的可靠性有關(guān)的程序和記錄管理控制包括但不限于組織的計劃和與管理層授權(quán)辦理經(jīng)濟業(yè)務的決策過程有關(guān)的程序和記錄2021/5/9151977年，《反國外腐敗行為法案》（FCPA），要求公眾公司保持充分的內(nèi)部會計控制，采納SAS1的定義1979年，SEC要求公眾公司在年度報告中增加管理層報告，對公司內(nèi)部會計控制是否為FCPA規(guī)定的內(nèi)部控制目標提供合理保證作出說明，并要求注冊會計師進行審查、發(fā)表意見2021/5/916內(nèi)部控制結(jié)構(gòu)階段1988年4月，ASB發(fā)布SAS55“財務報表審計中對內(nèi)部控制的考慮”，引入“內(nèi)部控制結(jié)構(gòu)”的概念內(nèi)部控制結(jié)構(gòu)包括為合理保證企業(yè)特定目標的實現(xiàn)而建立的各項政策和程序內(nèi)部控制結(jié)構(gòu)包括3個要素：控制環(huán)境，會計體系，控制程序2021/5/917內(nèi)部控制整合框架階段1992年9月，COSO發(fā)布《內(nèi)部控制——整合框架》（1994年局部修訂）COSO成立于1987年，是Treadway委員會（反欺詐財務報告全國委員會）的發(fā)起組織委員會，后者成立于1985年，由AICPA，AIA，IIA，F(xiàn)EI，IMA發(fā)起成立2021/5/918內(nèi)部控制的3個目標：經(jīng)營的有效性和效率，財務報告的可靠性，對適用法律法規(guī)的遵循內(nèi)部控制的5個構(gòu)成要素：控制環(huán)境，風險評估，控制活動，信息與溝通，監(jiān)控1995年12月，ASB發(fā)布SAS78“財務報表審計中對內(nèi)部控制的考慮：對SAS55的修正”，全面采納COSO的內(nèi)部控制框架SOX404及相關(guān)規(guī)則采用的也是這個框架2021/5/919監(jiān)控控制環(huán)境風險評估控制活動信溝通息與溝通信息與2021/5/920企業(yè)風險管理整合框架：未來趨勢？2004年9月，COSO正式發(fā)布《企業(yè)風險管理——整合框架》ERM的4個目標：戰(zhàn)略，經(jīng)營，報告，合規(guī)ERM的8個構(gòu)成要素：內(nèi)部環(huán)境，目標設定，事項識別，風險評估，風險應對，控制活動，信息與溝通，監(jiān)控2021/5/921內(nèi)部環(huán)境戰(zhàn)略目標設定事項識別風險評估風險應對控制活動信息與溝通監(jiān)控經(jīng)營報告合規(guī)子公司業(yè)務單元分部企業(yè)層次2021/5/922五、國際上較有影響的內(nèi)部控制準則或指南國際上較有影響的內(nèi)部控制框架、準則和指南1．美國，COSO，《內(nèi)部控制——整合框架》，1992年9月（1994年局部修訂）（它是目前最有影響的框架性文件，是此后諸多準則、指南的藍本。也是美國公認審計準則相關(guān)規(guī)定、SOX法案相關(guān)要求的主要參照）2．美國，GAO（審計總署，2004年改名為政府問責署，簡稱仍為GAO），《聯(lián)邦政府內(nèi)部控制準則》，1999年11月（內(nèi)部控制進入公共部門的代表性標志）2021/5/9233．巴塞爾銀行業(yè)監(jiān)管委員會，《銀行業(yè)機構(gòu)內(nèi)部控制系統(tǒng)框架》，1998年9月（權(quán)威而影響廣泛的金融機構(gòu)內(nèi)部控制國際指南）4．英國，F(xiàn)RC（財務報告委員會），《Turnbull內(nèi)部控制指南》，2005年10月修訂（Turnbull內(nèi)部控制指南最初由ICAEW（英格蘭與威爾士特許會計師協(xié)會）于1999年發(fā)布）5．加拿大，CoCo（控制標準委員會，隸屬于加拿大特許會計師協(xié)會（CICA）），《控制指南》，1995年2021/5/924與風險管理相結(jié)合的權(quán)威內(nèi)部控制框架、準則和指南1．美國，COSO，《企業(yè)風險管理——整合框架》，2004年9月2．英國，IRM（風險管理學會），AIRMIC（保險與風險管理師協(xié)會），ALARM（全國公共部門風險管理論壇），《風險管理準則》，2002年3．澳大利亞，新西蘭，AS/NZS4360，《風險管理準則》，2004年（最初的版本于1995年發(fā)布）2021/5/9254．加拿大，CAN/CSA-Q850-97，《風險管理指南》，1997年10月5．南非，King委員會報告II，《公司治理報告》，2002年（其中包括內(nèi)部控制和風險管理）6．中國香港特別行政區(qū)，香港會計師公會（HKICPA），《內(nèi)部控制與風險管理——基本框架》，2005年6月7．日本，經(jīng)濟產(chǎn)業(yè)省風險管理與內(nèi)部控制研究會，《風險新時代的內(nèi)部控制》，2005年6月2021/5/926與信息技術(shù)相結(jié)合的權(quán)威內(nèi)部控制準則和指南

1．國際標準組織（ISO），ISO17799，《信息系統(tǒng)安全》，2005年2．ISACA（信息系統(tǒng)審計與控制協(xié)會），ITGI（IT治理協(xié)會），《信息與相關(guān)技術(shù)的控制目標》（COBIT），2003年（最初的版本于1996年發(fā)布）3．IIARF（內(nèi)部審計師協(xié)會研究基金會），《系統(tǒng)可審計性與控制》（SAC），最初于1991年發(fā)布，1994年修訂2021/5/927六、我國內(nèi)部控制規(guī)范建設的情況財政部《內(nèi)部會計控制規(guī)范》2001年6月22日，《內(nèi)部會計控制規(guī)范——基本規(guī)范（試行）》，《內(nèi)部會計控制規(guī)范——貨幣資金（試行）》2002年12月23日，《內(nèi)部會計控制規(guī)范——采購與付款（試行）》，《內(nèi)部會計控制規(guī)范——銷售與收款（試行）》2003年10月22日，《內(nèi)部會計控制規(guī)范——工程項目(試行)》2004年8月19日，《內(nèi)部會計控制規(guī)范——擔保（試行）》，《內(nèi)部會計控制規(guī)范——對外投資（試行）》2021/5/928商業(yè)銀行、保險機構(gòu)內(nèi)部控制指引1997年5月16日，中國人民銀行，《加強金融機構(gòu)內(nèi)部控制的指導原則》（已廢止）2002年9月7日，中國人民銀行，《商業(yè)銀行內(nèi)部控制指引》2004年12月25日，中國銀監(jiān)會，《商業(yè)銀行內(nèi)部控制評價試行辦法》2005年2月28日，中國保監(jiān)會，《保險中介機構(gòu)內(nèi)部控制指引（試行）》2021/5/929證券公司、基金公司內(nèi)部控制指引2001年1月31日，中國證監(jiān)會，《證券公司內(nèi)部控制指引》（已廢止）2002年12月3日，中國證監(jiān)會，《證券投資基金管理公司內(nèi)部控制指導意見》2003年12月15日，中國證監(jiān)會，《證券公司內(nèi)部控制指引》（修訂）2006年6月30日，中國證監(jiān)會，《證券公司融資融券業(yè)務試點內(nèi)部控制指引》2007年2月13日，中國證監(jiān)會，《證券投資基金銷售機構(gòu)內(nèi)部控制指導意見（征求意見稿）》2021/5/930上市公司內(nèi)部控制指引2006年6月5日，《上海證券交易所上市公司內(nèi)部控制指引》，自2006年7月1日起施行2006年9月28日，《深圳證券交易所上市公司內(nèi)部控制指引》，自2007年7月1日起施行2021/5/931其他2006年6月6日，國務院國有資產(chǎn)監(jiān)督管理委員會，《中央企業(yè)全面風險管理指引》2002年2月，中國注冊會計師協(xié)會，《內(nèi)部控制審核指導意見》2021/5/9322006年7月6日，財政部企業(yè)內(nèi)部控制標準委員會成立主席：王軍（財政部副部長）副主席：李小雪（中國證券監(jiān)督管理委員會紀委書記）邵寧（國務院國有資產(chǎn)監(jiān)督管理委員會副主任）秘書長：劉玉廷（財政部會計司司長）委員：29人2021/5/9332008年5月22日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》自2009年7月1日起在上市公司范圍內(nèi)施行鼓勵非上市的大中型企業(yè)執(zhí)行2021/5/9342010年4月26日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制配套指引》。該配套指引包括18項《企業(yè)內(nèi)部控制應用指引》、《企業(yè)內(nèi)部控制評價指引》和《企業(yè)內(nèi)部控制審計指引》，并規(guī)定自2011年1月1日起在境內(nèi)外同時上市的公司執(zhí)行，2012年1月1日起在上交所、深交所主板上市公司執(zhí)行?！吨敢愤B同此前發(fā)布的《規(guī)范》，標志著適合我國企業(yè)內(nèi)部控制規(guī)范體系已基本建成。

2021/5/935內(nèi)部控制標準體系基本規(guī)范應用指引評價指引審計指引2021/5/936需要面對的問題《企業(yè)內(nèi)部控制基本規(guī)范》與兩個交易所《上市公司內(nèi)部控制指引》之間的關(guān)系《企業(yè)內(nèi)部控制基本規(guī)范》與《中央企業(yè)全面風險管理指引》之間的關(guān)系2021/5/937第二部分內(nèi)部控制整合框架2021/5/938一、定義二、控制環(huán)境三、風險評估四、控制活動五、信息與溝通六、監(jiān)控七、內(nèi)部控制的局限八、職能與責任2021/5/939一、定義內(nèi)部控制是一個由企業(yè)董事會、管理層和其他員工實施的、旨在為下列各類目標的實現(xiàn)提供合理保證的過程：經(jīng)營的有效性和效率財務報告的可靠性遵循適用的法律和法規(guī)2021/5/940這個定義反映了一些基本概念：內(nèi)部控制是一個過程。它是實現(xiàn)目的的手段，而不是目的本身內(nèi)部控制由人員來實施。它并不僅僅是政策手冊和表格，還涉及組織中各個層級的人員只能期望內(nèi)部控制為主體的管理層和董事會提供合理保證，而不是絕對保證內(nèi)部控制被用來實現(xiàn)一個或多個彼此獨立又相互交叉的類別的目標2021/5/941內(nèi)部控制的目標：經(jīng)營（operations）目標——與主體資源利用的有效性與效率有關(guān)財務報告（financialreporting）目標——與編制可靠的公開財務報表有關(guān)合規(guī)（compliance）目標——與主體對適用的法律和法規(guī)的遵循有關(guān)2021/5/942構(gòu)成要素：控制環(huán)境（controlenvironment）——所有業(yè)務活動的核心都是人員——他們的個人特性，包括誠信、道德價值觀和勝任能力——以及他們進行經(jīng)營所處的環(huán)境。他們是推動主體發(fā)展的引擎，也是所有事情依賴的基礎(chǔ)

風險評估（riskassessment）——企業(yè)必須了解和應對它所面臨的風險。它必須設定目標，整合銷售、生產(chǎn)、營銷、財務和其他活動，以便使組織協(xié)調(diào)一致地運行。它還必須建立識別、分析和管理相關(guān)風險的機制2021/5/943

控制活動（controlactivities）——必須確立和執(zhí)行控制政策和程序，以幫助確保那些被管理層確認為對實現(xiàn)主體目標的風險而言所必需的活動得以有效地實施

信息與溝通（informationandcommunication）——圍繞在這些活動周圍的是信息與溝通系統(tǒng)。它們使主體的員工能夠獲得和交換那些執(zhí)行、管理和控制其運營所需的信息監(jiān)控（monitoring）——必須對整個過程進行監(jiān)控，并在必要時作出修改。這樣，該體系才能作出動態(tài)反應，隨著情況的需要而變化2021/5/944監(jiān)控控制環(huán)境風險評估控制活動信溝通息與溝通信息與2021/5/945目標和構(gòu)成要素之間的關(guān)系：目標和構(gòu)成要素之間有著直接的關(guān)系，目標是主體努力爭取實現(xiàn)的東西，構(gòu)成要素則代表著要實現(xiàn)這些目標需要什么每個構(gòu)成要素行都“貫穿”并適用于所有三類目標所有五個構(gòu)成要素與每一類目標都有關(guān)聯(lián)內(nèi)部控制與整個企業(yè)相關(guān)，或與它的某一部分（子公司、分部或其他業(yè)務單元，或者職能或諸如購買、生產(chǎn)、營銷等其他活動）相關(guān)2021/5/9462021/5/947有效性如果董事會和管理層能夠合理保證以下三個方面，則內(nèi)部控制可以在三類目標中任何一類上可分別被判斷為有效：

?他們了解主體的經(jīng)營目標得以實現(xiàn)的程度

?公布的財務報表被可靠地編制

?適用的法律和法規(guī)得到了遵循確定特定的內(nèi)部控制體系是否有效是一種主觀判斷，它來自對五個構(gòu)成要素是否存在并有效運行的評估2021/5/948內(nèi)部控制和管理過程管理活動內(nèi)部控制主體層次目標設定——使命，價值觀陳述戰(zhàn)略規(guī)劃確立控制環(huán)境因素活動層次目標設定風險識別和分析風險管理實施控制活動信息識別、獲取和溝通監(jiān)控糾正措施VVVVV2021/5/949二、控制環(huán)境控制環(huán)境設定了一個組織的基調(diào)，影響其員工的控制意識它是內(nèi)部控制的其他所有構(gòu)成要素的基礎(chǔ)，為其提供了秩序和結(jié)構(gòu)2021/5/950控制環(huán)境的要素包括誠信和道德價值觀對勝任能力的要求董事會或?qū)徲嬑瘑T會管理層的理念和經(jīng)營風格組織結(jié)構(gòu)權(quán)力和責任的分配人力資源政策和實務2021/5/951評價

誠信和道德價值觀

?存在并執(zhí)行有關(guān)可接受的經(jīng)營實務、利益沖突或期望的道德行為準則方面的行為守則和其他政策

?涉及員工、供應商、客戶、投資者、債權(quán)人、保險公司、競爭者和審計師等（例如，管理層是否在一個較高的道德水準上開展經(jīng)營，堅持其他人也必須這樣，或者不重視道德問題）

?達到不切實際的業(yè)績目標——尤其是短期成果——的壓力，以及薪酬于實現(xiàn)這些業(yè)績目標掛鉤的程度2021/5/952

對勝任能力的要求

?正式或非正式的崗位描述，或者其他界定構(gòu)成特定崗位的任務的方式

?對充分履行崗位職責所需要的知識和技能的分析2021/5/953董事會或?qū)徲嬑瘑T會

?獨立于管理層，以便提出必要的問題，即使這些問題很困難或需要調(diào)查

?與首席財務官和/或會計負責人、內(nèi)部審計人員和外部審計師會談的頻率和及時性

?向董事會或?qū)ｉT委員會成員提供信息的充分性和及時性，提供這些信息是為了獲準監(jiān)控管理層的目標和戰(zhàn)略、企業(yè)的財務狀況和經(jīng)營成果，以及重大協(xié)議的條款

?向董事會或?qū)徲嬑瘑T會通報敏感信息、調(diào)查事項和不當行為（例如，高級官員的旅行費用、重大訴訟、監(jiān)管機構(gòu)的調(diào)查、貪污、受賄或濫用公司資產(chǎn)、違反內(nèi)幕交易規(guī)則、政治性捐款、非法支付）的充分性和及時性2021/5/954管理層的理念和經(jīng)營風格

?承擔的經(jīng)營風險的性質(zhì)，例如，管理層是否經(jīng)常涉足風險特別高的投機活動，或者對在承擔風險方面極其保守

?高級管理層和運營管理層之間互動的頻率，尤其是在地理位置偏遠的地區(qū)進行運營時

?對財務報告的態(tài)度和行動，包括對會計處理方法運用的爭議（例如，選擇穩(wěn)健的還是激進的會計政策；是否錯用了會計原則，沒有披露重要的財務信息，或者篡改或偽造記錄）2021/5/955組織結(jié)構(gòu)

?主體組織結(jié)構(gòu)的適當性，以及提供必要的信息流以便管理其活動的能力

?關(guān)鍵管理人員責任界定的適當性，以及他們對這些責任了解的充分性

?相對于其責任而言，關(guān)鍵管理人員知識和經(jīng)驗的充分性2021/5/956權(quán)力和責任的分配

?分配責任和授予權(quán)力以便實現(xiàn)組織宗旨和目標、經(jīng)營職能和監(jiān)管要求，包括對信息系統(tǒng)的責任和對變革的授權(quán)

?與內(nèi)部控制相關(guān)的準則和程序的適當性，包括員工崗位描述

?足夠數(shù)量的具備與主體規(guī)模、活動和系統(tǒng)的性質(zhì)和復雜程度相適應的必要技能的人員，尤其是與數(shù)據(jù)處理和會計職能有關(guān)的人員2021/5/957人力資源政策和實務

?員工聘用、培訓、晉升和薪酬方面的政策和程序制定到位的程度

?為應對偏離既定政策和程序所采取的補救措施的適合性

?對員工候選人的背景進行核查的充分性，尤其是當企業(yè)認為對其以前的行為或活動無法接受的情況下

?員工保留和晉升標準以及信息收集方法（例如，業(yè)績評價）的適當性，以及與行為守則和其他行為指南的關(guān)系2021/5/958三、風險評估每個主體都面臨著來自外部和內(nèi)部的必須予以評估的一系列風險風險評估的前提是設定在各個層次相互關(guān)聯(lián)和內(nèi)在一致的目標風險評估是識別和分析影響目標實現(xiàn)的相關(guān)風險，為確定應該如何管理這些風險奠定基礎(chǔ)2021/5/959目標目標設定是風險評估的前提條件。必須首先有目標，管理層才能識別實現(xiàn)這些目標的風險，并采取必要的措施來管理風險目標設定是管理過程的一個關(guān)鍵部分，盡管它不是內(nèi)部控制的構(gòu)成要素，但它是內(nèi)部控制的先決條件和使能方法目標的類別：經(jīng)營目標，財務報告目標，合規(guī)目標目標的交叉：保護資產(chǎn)2021/5/960風險識別和分析風險的過程是一個持續(xù)的重復過程，它是有效的內(nèi)部控制體系的關(guān)鍵構(gòu)成要素風險識別主體層次：外部因素，內(nèi)部因素活動層次2021/5/961風險分析

?估計風險的嚴重性

?評估風險發(fā)生的可能性（或頻率）

?考慮如何管理風險——即評估需要采取何種措施應對變化2021/5/962評價主體層次的目標

?對主體目標充分陳述的程度，是否對主體期望實現(xiàn)的目標提供充分的指導，而且特定目標直接與該主體相關(guān)

?向員工和董事會傳達主體目標的有效性

?主體目標與各種策略的關(guān)系和一致性

?主體目標、戰(zhàn)略計劃和當前環(huán)境條件與經(jīng)營計劃和預算的一致性2021/5/963活動層次的目標

?活動層次目標與主體層次的目標和戰(zhàn)略計劃的關(guān)聯(lián)度

?活動層次目標之間的一致性

?活動層次目標與所有重要的業(yè)務流程的相關(guān)性

?活動層次目標的特異性

?與目標相關(guān)的資源是否充足

?識別對實現(xiàn)主體層次的目標來說是較重要的目標（關(guān)鍵成功因素）

?各級管理層參與目標設定，以及他們對實現(xiàn)目標履行諾言的程度2021/5/964風險

?識別外部因素造成風險的機制是否足夠全面

?識別內(nèi)部因素造成風險的機制是否足夠全面

?為每個重要的活動層次目標識別重大風險

?風險分析流程（包括估計風險的重要性、評估風險出現(xiàn)的可能性并確定需要采取的行動）的徹底性和相關(guān)性2021/5/965應對變化

?是否存在各種機制去預測、識別并對影響實現(xiàn)主體或活動層次目標的日常事件或活動作出反應（通常由負責受該種變化影響最大的業(yè)務活動的管理人員來實施）

?是否存在各種機制去識別變化并對變化作出反應，這種變化會給主體帶來巨大和滲透性影響而且可能還需要高級管理層的關(guān)注2021/5/966四、控制活動控制活動是指為確保管理層的指令得以貫徹執(zhí)行的政策和程序它有助于確保采取必要的行動進行風險管理和保證主體層次的目標的實現(xiàn)控制活動貫穿于主體的所有級別和職能部門它包括一系列不同的活動，如批準、授權(quán)、驗證、核對、經(jīng)營業(yè)績評價、資產(chǎn)保全以及職責分離等2021/5/967控制活動的類型高層復核直接的職能活動或業(yè)務管理信息處理實物控制業(yè)績指標職責分離2021/5/968對信息系統(tǒng)的控制一般控制數(shù)據(jù)中心操作控制系統(tǒng)軟件控制接觸安全控制應用系統(tǒng)開發(fā)和維護控制應用控制2021/5/969五、信息與溝通相關(guān)信息必須以某種形式和在一定時限內(nèi)被識別、獲得和傳達溝通，以便可以使員工履行自己的責任信息系統(tǒng)生成含有與經(jīng)營、財務和合規(guī)性有關(guān)信息的報告，從而使管理運作和控制主體成為可能信息系統(tǒng)不僅處理內(nèi)部生成的數(shù)據(jù)，也處理有關(guān)外部事件、活動和條件狀況的信息，這些信息對有資料依據(jù)的主體的決策和外部報告都是必需的2021/5/970有效的溝通也必須廣泛的進行，自上而下、自下而上地貫穿整個主體所有人員都要從高級管理層獲得明確的信息：必須認真對待控制責任他們必須了解各自在內(nèi)部控制體系中擔任的職能，以及個人參與的控制活動與他人工作是如何相互關(guān)聯(lián)的他們必須有自下而上傳遞重要信息的渠道和方法同時，也需要與外部各方如客戶、供應商、監(jiān)管機構(gòu)和股東等建立有效的溝通2021/5/971評價信息系統(tǒng)

·獲得外部和內(nèi)部信息，向管理層提供必要的報告，說明與實現(xiàn)主體確立目標相關(guān)的主體業(yè)績表現(xiàn)

·向合適的人及時提供足夠詳細的信息，使他們能夠有有效性和效率地履行其責任

·依據(jù)一份信息系統(tǒng)戰(zhàn)略計劃（與主體總體戰(zhàn)略相關(guān)），發(fā)展或修改信息系統(tǒng)，使其為實現(xiàn)主體層次的目標及活動層次目標服務

·通過承諾提供適當?shù)娜肆ω斄Y源顯示管理層對發(fā)展必要的信息系統(tǒng)的支持2021/5/972溝通系統(tǒng)

·傳達交流員工義務和控制責任的有效性

·建立溝通渠道，使員工可以舉報受到懷疑的不當行為

·管理層對員工建議提高生產(chǎn)力、強化質(zhì)量或其它相似改進的方法的接受程度2021/5/973·主體內(nèi)部相互之間溝通是否足夠（例如，采購活動與生產(chǎn)活動之間）；信息的完整性和及時性以及是否足以使人們有效地履行其責任

·與客戶、供應商和其他外部有關(guān)方溝通交流不斷變化的客戶需求信息的渠道的開放性和有效性

·外部各方已了解該主體道德準則的程度

·管理層通過與客戶、供應商、監(jiān)管機構(gòu)或其他外部有關(guān)方的溝通，采取了及時和合適的跟進措施2021/5/974六、監(jiān)控對內(nèi)部控制需要進行監(jiān)控監(jiān)控是一個評估內(nèi)部控制體系在一定時期內(nèi)運行質(zhì)量的過程監(jiān)控可以通過持續(xù)性的監(jiān)控活動、個別評價或兩者并用來實現(xiàn)這個過程2021/5/975持續(xù)性監(jiān)控活動發(fā)生在經(jīng)營的過程中，它包括日常管理和監(jiān)控活動以及個人在履行其責任時采取的其他行動個別評價的范圍和頻率將主要取決于風險評估和持續(xù)性監(jiān)控程序的有效性應自下而上匯報內(nèi)部控制的缺陷，其中嚴重的問題應上報高級管理層和董事會2021/5/976持續(xù)性監(jiān)控活動的例子在執(zhí)行常規(guī)管理活動時，負責運營的管理層獲取內(nèi)部控制持續(xù)發(fā)揮功能的證據(jù)與外界各方的溝通能夠印證內(nèi)部生成的信息或揭示問題適當?shù)慕M織結(jié)構(gòu)和監(jiān)控活動可監(jiān)控內(nèi)部控制職能的執(zhí)行并識別內(nèi)部控制的缺陷2021/5/977將信息系統(tǒng)所記錄的數(shù)據(jù)與實物資產(chǎn)相比較內(nèi)部及外部審計師定期為進一步加強內(nèi)部控制的方法提供建議培訓研討會、計劃會議及其他會議可以向管理層提供有關(guān)內(nèi)部控制是否有效的重要反饋定期要求主體員工明確說明他們是否理解并遵守主體的員工行為守則2021/5/978個別評價個別評價內(nèi)部控制的范圍和頻率主要取決于被控風險的重要性以及內(nèi)部控制在減少風險中的重要性內(nèi)部控制自我評估缺陷報告2021/5/979評價持續(xù)性監(jiān)控·在員工進行其日?；顒又蝎@得證據(jù)的程度，以此表明內(nèi)部控制體系是否繼續(xù)發(fā)揮作用·與外部各方進行溝通確認內(nèi)部生成的信息或指明問題的程度2021/5/980·定期對會計系統(tǒng)記錄的金額與實物資產(chǎn)進行核對·對內(nèi)部和外部審計師建議增強內(nèi)部控制手段的反應·培訓研討會、計劃會議及其他會議向管理層提供有關(guān)內(nèi)部控制是否有效的重要反饋的程度·是否定期要求員工說明他們是否理解并遵守主體的員工行為守則并且正常執(zhí)行了關(guān)鍵控制活動·內(nèi)部審計活動的有效性。2021/5/981個別評價·內(nèi)部控制體系個別評價的范圍和頻率·評價流程的適合性·評價內(nèi)部控制體系的方法是否合理、適當·文件記錄水平的適當性2021/5/982報告缺陷·是否有獲取和報告識別出的內(nèi)部控制缺陷的機制·上報規(guī)程的適合性·跟進行動的適合性2021/5/983七、內(nèi)部控制的局限無論內(nèi)部控制設計和運行的多完善，它也只能向管理層和董事會就實現(xiàn)主體目標提供合理保證實現(xiàn)主體目標的可能性受到所有內(nèi)部控制體系的固有局限的影響，這些局限包括：在決策時個人判斷可能會出錯由于簡單的誤差或錯誤這樣的失誤而可能出現(xiàn)內(nèi)部控制失效兩人或多人的串通也可以繞過內(nèi)部控制管理層能夠凌駕于內(nèi)部控制之上系統(tǒng)另一個限制性因素是需要考慮內(nèi)部控制的相對成本和收益2021/5/984八、職能與責任主體中每一個人都對內(nèi)部控制負有責任管理層要為主體的內(nèi)部控制體系負責首席執(zhí)行官最終對內(nèi)部控制體系負責并應承擔內(nèi)部控制體系“所有權(quán)”的責任盡管管理層的所有成員都發(fā)揮著重要作用并對控制他們各自部門的活動負責，但首席財務官和總會計師對管理層行使控制的方式起著主要的作用2021/5/985內(nèi)部審計人員在內(nèi)部控制體系持續(xù)有效性方面發(fā)揮著作用，但他們不承擔建立和維持該系統(tǒng)的主要責任董事會和其審計委員會對內(nèi)部控制體系提供重要的監(jiān)控外部有關(guān)方面（例如外部審計師）常常在實現(xiàn)主體目標方面發(fā)揮作用并提供在實施內(nèi)部控制中有用的信息。但是，他們不是主體內(nèi)部控制體系的一部分，也不對內(nèi)部控制體系的有效性負責2021/5/986第三部分企業(yè)風險管理

整合框架2021/5/987一、定義二、內(nèi)部環(huán)境三、目標設定四、事項識別五、風險評估六、風險應對七、控制活動八、信息與溝通九、監(jiān)控十、職能與責任十一、企業(yè)風險管理的局限2021/5/988一、定義不確定性與價值企業(yè)風險管理的一個基本前提是每一個主體存在的目的都是為它的利益相關(guān)者提供價值所有的主體都面臨不確定性，對于管理層的挑戰(zhàn)在于確定在追求增加利益相關(guān)者價值的同時，準備承受多少不確定性2021/5/989事項——風險與機會風險是一個事項將會發(fā)生并給目標實現(xiàn)帶來負面影響的可能性機會是一個事項將會發(fā)生并給目標實現(xiàn)帶來正面影響的可能性2021/5/990企業(yè)風險管理的定義企業(yè)風險管理是一個過程，它由一個主體的董事會、管理層和其他人員實施，應用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證。2021/5/991企業(yè)風險管理是：一個過程，它持續(xù)地流動于主體之內(nèi)；由組織中各個層級人員實施；應用于戰(zhàn)略制訂；貫穿于企業(yè)，在各個層級和單元應用，還包括采取主體層級的風險組合觀；旨在識別一旦發(fā)生將會影響主體的潛在事項，并把風險控制在風險容量以內(nèi)；能夠向一個主體的管理層和董事會提供合理保證；力求實現(xiàn)一個或多個不同類型但相互交叉的目標——它只是實現(xiàn)結(jié)果的一種手段，并不是結(jié)果本身。2021/5/992風險容量與風險容限風險容量（riskappetite）是一個主體在追求價值的過程中所愿意承受的廣泛意義的風險的數(shù)量。它反映了主體的風險管理理念，進而影響主體的文化和經(jīng)營風格。風險容限（risktolerance）是相對于實現(xiàn)一項具體目標而言，可以接受的偏離程度，它通常最好采用那些與度量相關(guān)目標相同的單位進行度量。2021/5/993四類目標戰(zhàn)略——與高層次的目的相關(guān)，協(xié)調(diào)并支撐主體的目標；經(jīng)營——與利用主體資源的有效性和效率相關(guān)；報告——與主體報告的可靠性相關(guān)；合規(guī)——與主體符合適用的法律和法規(guī)相關(guān)。2021/5/994企業(yè)風險管理的構(gòu)成要素內(nèi)部環(huán)境——管理層確立關(guān)于風險的理念，并確定風險容量。內(nèi)部環(huán)境為主體中的人們?nèi)绾慰创L險和著手控制確立了基礎(chǔ)。所有企業(yè)的核心都是人——他們的個人品性，包括誠信、道德價值觀和勝任能力——以及經(jīng)營所處的環(huán)境。目標設定——必須先有目標，管理層才能識別影響它們的實現(xiàn)的潛在事項。企業(yè)風險管理確保管理層采取恰當?shù)某绦蛉ピO定目標，確保所選定的目標支持和切合該主體的使命，并且與它的風險容量相一致。2021/5/995事項識別——必須識別可能對主體產(chǎn)生影響的潛在事項。事項識別涉及到從影響目標實現(xiàn)的內(nèi)部或外部原因中識別潛在的事項。它包括區(qū)分代表風險的事項和代表機會的事項，以及可能二者兼有的事項。機會被反饋到管理層的戰(zhàn)略或目標制訂過程中。風險評估——要對識別的風險進行分析，以便形成確定應該如何對它們進行管理的依據(jù)。風險與可能被影響的目標相關(guān)聯(lián)。既要對固有風險進行評估，也要對剩余風險進行評估，評估要考慮到風險的可能性和影響。2021/5/996風險應對——員工識別和評價可能的風險應對，包括回避、承擔、降低和分擔風險。管理層選擇一系列措施使風險與主體的風險容限和風險容量相協(xié)調(diào)?？刂苹顒印朴喓蛯嵤┱吲c程序以幫助確保管理層所選擇的風險應對得以有效實施。2021/5/997信息與溝通——相關(guān)的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。主體的各個層級都需要借助信息來識別、評估和應對風險。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。員工獲得有關(guān)他們的職能和責任的清晰的溝通。監(jiān)控——對企業(yè)風險管理進行全面監(jiān)控，必要時加以修正。通過這種方式，它能夠動態(tài)地反應，根據(jù)條件的要求而變化。監(jiān)控通過持續(xù)的管理活動、對企業(yè)風險管理的個別評價或者兩者相結(jié)合來完成。2021/5/998目標與構(gòu)成要素之間的關(guān)系

內(nèi)部環(huán)境戰(zhàn)略目標設定事項識別風險評估風險應對控制活動信息與溝通監(jiān)控經(jīng)營報告合規(guī)子公司業(yè)務單元分部企業(yè)層次2021/5/999有效性盡管企業(yè)風險管理是一個過程，它的有效性卻是在某個時點上的一種狀態(tài)或情況確定企業(yè)風險管理是否“有效”，是在對八個構(gòu)成要素是否存在和有效運行的評估的基礎(chǔ)之上所作出的判斷如果這些構(gòu)成要素存在且正常運行，那么就可能沒有重大缺陷，而風險可能已經(jīng)被控制在主體的風險容量以內(nèi)2021/5/9100涵蓋內(nèi)部控制內(nèi)部控制是企業(yè)風險管理不可分割的一部分企業(yè)風險管理框架涵蓋了內(nèi)部控制，從而構(gòu)建一個更強有力的概念和管理工具2021/5/9101企業(yè)風險管理與管理過程企業(yè)風險管理是管理過程的一部分但是并不是管理層所做的每一件事情都是企業(yè)風險管理的一部分2021/5/9102管理層在決策和相關(guān)的管理活動中所運用的許多判斷，盡管是管理過程的一部分，但是并不是企業(yè)風險管理的一部分。例如：確保有一個恰當?shù)哪繕嗽O定過程是企業(yè)風險管理的一個重要的構(gòu)成要素，但是管理層所選定的特定目標并不是企業(yè)風險管理的一部分根據(jù)對風險的恰當評估去應對風險是企業(yè)風險管理的一部分，但是所選定的具體風險應對和主體資源的相應配置卻不是確定和執(zhí)行控制活動以幫助確保管理層選擇的風險應對得以有效實施是企業(yè)風險管理的一部分，但是所選定的特定的控制活動卻不是2021/5/9103二、內(nèi)部環(huán)境風險管理理念風險容量董事會誠信與道德價值觀對勝任能力的要求組織結(jié)構(gòu)權(quán)力和職責的分配人力資源準則2021/5/9104風險管理理念主體的風險管理理念代表著決定主體如何考慮所有活動中的風險的共同的信念和態(tài)度它反映了主體的價值觀，影響它的文化和經(jīng)營風格它影響著如何應用企業(yè)風險管理的構(gòu)成要素，包括如何識別事項、所承受的風險的類型，以及如何對它們進行管理它被很好地確立和理解，并為主體的員工所信奉它體現(xiàn)在政策描述、口頭和書面溝通以及決策之中管理層不僅通過語言而且通過日常行動來強化這種理念2021/5/9105風險容量主體的風險容量反映了主體的風險管理理念，并且影響著文化和經(jīng)營風格它在戰(zhàn)略制訂的過程中予以考慮，使戰(zhàn)略與風險容量相協(xié)調(diào)2021/5/9106董事會董事會是積極的，它擁有一定程度的管理、技術(shù)和其他專長，并且具有履行其監(jiān)督職責所需的思維方式它準備質(zhì)疑和仔細審查管理層的活動，提出不同的觀點，以及在遇到不當行為時采取行動獨立的外部董事至少占多數(shù)它提供對企業(yè)風險管理的監(jiān)督，并且知道和同意主體的風險容量2021/5/9107誠信與道德價值觀主體的行為準則反映了誠信和道德價值觀道德價值觀不僅通過有關(guān)什么是對的和錯的的明確指南來進行溝通，而且是與其共存的誠信和道德價值觀通過正式的行為守則予以溝通向上的溝通渠道存在于員工感覺帶來相關(guān)信息很舒服的地方對于違反守則的員工進行處罰，鼓勵員工報告可疑的違反行為的機制，并針對有意不報告違反行為的員工采取懲戒措施誠信和道德價值觀通過管理層的行動和他們樹立的榜樣予以溝通2021/5/9108對勝任能力的要求主體中的人員的勝任能力反映完成指定任務所需的知識和技能管理層要協(xié)調(diào)勝任能力和成本2021/5/9109組織結(jié)構(gòu)組織結(jié)構(gòu)界定職責和責任的關(guān)鍵范圍它確立了報告的途徑確定組織結(jié)構(gòu)要考慮主體的規(guī)模和活動的性質(zhì)它使有效的企業(yè)風險管理成為可能2021/5/9110權(quán)力和職責的分配權(quán)力和職責的分配確定了個人和團隊被授權(quán)和鼓勵采取行動去處理問題和解決問題的程度，它還為權(quán)力提供了限制分配確立了報告關(guān)系和授權(quán)規(guī)程描述恰當經(jīng)營實務的政策，關(guān)鍵員工的知識和經(jīng)驗，以及相關(guān)的資源個人知道他們的行動是如何相互關(guān)聯(lián)的以及對實現(xiàn)目標的貢獻2021/5/9111人力資源準則針對雇用、定位、培訓、評價、指導、晉升、薪酬和補償措施的準則，推動期望的誠信水平、道德行為和勝任能力懲戒措施傳遞對期望行為的違反將不會被寬宥的信息2021/5/9112三、目標設定戰(zhàn)略目標戰(zhàn)略目標是高層次的目標，它與主體的使命/愿景相協(xié)調(diào)，并支持后者戰(zhàn)略目標反映了管理層就主體如何努力為它的利益相關(guān)者創(chuàng)造價值所作出的選擇2021/5/9113相關(guān)目標經(jīng)營目標——這些目標與主體經(jīng)營的有效性和效率有關(guān)，包括業(yè)績和贏利目標和保護資源不受損失。它們因管理層對結(jié)構(gòu)和業(yè)績的選擇而異。報告目標——這些目標與報告的可靠性有關(guān)。它們包括內(nèi)部和外部報告，可能涉及到財務和非財務信息。合規(guī)目標——這些目標與符合相關(guān)法律和法規(guī)有關(guān)。它們?nèi)Q于外部因素，在一些情況下對所有主體而言都很類似，而在另一些情況下則在一個行業(yè)內(nèi)有共性。2021/5/9114目標的交叉保護資產(chǎn)/資源目標的實現(xiàn)報告和合規(guī)目標的實現(xiàn)更多的是在主體的控制范圍之內(nèi)戰(zhàn)略目標和經(jīng)營目標的實現(xiàn)并不完全在主體的控制范圍之內(nèi)對于戰(zhàn)略和經(jīng)營目標，企業(yè)風險管理能夠合理保證管理層和履行監(jiān)督職責的董事會及時地知悉主體實現(xiàn)這些目標的程度2021/5/9115四、事項識別事項事項是源于內(nèi)部或外部的影響戰(zhàn)略實施或目標實現(xiàn)的事故或事件事項可能帶來正面或負面影響，或者兩者兼而有之影響因素外部因素內(nèi)部因素2021/5/9116外部因素經(jīng)濟自然環(huán)境政治社會技術(shù)2021/5/9117內(nèi)部因素基礎(chǔ)結(jié)構(gòu)人員流程技術(shù)2021/5/9118事項識別技術(shù)事項目錄（eventinventories）——這些是一個特定行業(yè)內(nèi)的公司所共通的潛在事項或者不同行業(yè)之間所共通的特定過程或活動的詳細清單。軟件產(chǎn)品能夠列出共性潛在事項的有關(guān)清單，一些主體利用它作為事項識別的出發(fā)點。例如，從事一項軟件開發(fā)項目的公司編制了一份目錄，詳細列示了與軟件開發(fā)項目有關(guān)的共性事項。2021/5/9119內(nèi)部分析（internalanalysis）——它可以作為常規(guī)性經(jīng)營規(guī)劃循環(huán)過程的一部分來完成，典型的是通過一個業(yè)務單元的員工會議。內(nèi)部分析有時利用來自其他利益相關(guān)者（客戶、供應商、其他業(yè)務單元）的信息，或者針對具體問題征詢外部專家（內(nèi)部或外部職能機構(gòu)的專家或內(nèi)部審計師）的意見。例如，一家正在考慮引入一個新產(chǎn)品的公司利用它自己的歷史經(jīng)驗以及外部市場調(diào)研來識別那些曾經(jīng)影響競爭者產(chǎn)品成功的事項。2021/5/9120擴大或底限觸發(fā)器（escalationorthresholdtriggers）——這些觸發(fā)器通過將現(xiàn)在的交易或事項與預先確定的標準進行對比，提醒管理層關(guān)注的領(lǐng)域。一旦被觸發(fā)，可能就需要對一個事項進行進一步的評估或者立即予以應對。例如，一家公司的管理層針對新的營銷或廣告計劃監(jiān)控市場上的銷售量，并根據(jù)其結(jié)果重新調(diào)配資源。另一家公司的管理層追蹤競爭者的定價結(jié)構(gòu)，并考慮在達到一個特定的底限時變更自己的價格。2021/5/9121推進式的研討與訪談（facilitatedworkshopsandinterviews）——這些技術(shù)通過經(jīng)過設計的討論，利用管理層、員工和其他利益相關(guān)者所積累的知識和經(jīng)驗來識別事項。推進者主導有關(guān)可能會影響主體或單元目標實現(xiàn)的事項的討論。例如，一名財務主計長與會計團隊的成員一起召開了一個研討會，來識別那些對主體的對外報告目標有影響的事項。通過結(jié)合團隊成員們的知識和經(jīng)驗，能夠識別出否則就會被遺漏的重要事項。2021/5/9122過程流動分析（processflowanalysis）——這種技術(shù)考慮構(gòu)成一個過程的輸入、任務、責任和輸出的組合。通過考慮影響一個過程的投入或其中的活動的內(nèi)部和外部因素，主體能識別那些可能影響過程目標實現(xiàn)的事項。例如，一家醫(yī)學實驗室繪制了血液樣本的接收和測試流程圖。它利用流程圖來考慮那些可能影響輸入、任務和責任的因素的范圍，識別與樣本標注、過程中的傳遞以及人員換班變動有關(guān)的風險。2021/5/9123首要事項指標（leadingeventindicators）——主體通過監(jiān)控與事項有相互關(guān)系的數(shù)據(jù)，來識別可能導致一個事項發(fā)生的情形是否存在。例如，金融機構(gòu)很早就認識到延遲償還貸款與最終的貸款違約之間的相互關(guān)系，以及及早干預的積極作用。對償還方式的監(jiān)控使違約的可能性得以通過及時的行動而降低。2021/5/9124損失事項數(shù)據(jù)方法（losseventdatamethodologies）——有關(guān)過去單個損失事項的數(shù)據(jù)庫是識別趨勢和根本原因的一個有用的信息來源。一旦確定了根本原因，管理層就會發(fā)現(xiàn)它能比致力于單個事項更加有效地進行評估和處理。例如，一家經(jīng)營大型車隊的公司維護了一個事故投訴的數(shù)據(jù)庫，通過分析發(fā)現(xiàn)事故的百分比在數(shù)量和貨幣金額上不成比例，它與特定單元、地域和年齡結(jié)構(gòu)的駕駛員工有關(guān)聯(lián)。這個分析使管理層能夠確定事項的根本原因并采取行動。2021/5/9125區(qū)分風險和機會具有負面影響的事項代表風險，它需要管理層的評估和應對具有正面影響或者抵消風險的負面影響的事項代表機會代表機會的事項被反饋到管理層的戰(zhàn)略或目標制訂過程中，以便規(guī)劃行動去抓住機會。抵消風險的負面影響的事項在管理層的風險評估和應對中予以考慮2021/5/9126五、風險評估固有風險/剩余風險管理層既要考慮固有風險，也要考慮剩余風險固有風險是管理層沒有采取任何措施來改變風險的可能性或影響的情況下，一個主體所面臨的風險剩余風險是在管理層的風險應對之后所殘余的風險一旦風險應對已經(jīng)到位，管理層接下來就要考慮剩余風險2021/5/9127估計可能性和影響可能性表示一個給定事項將會發(fā)生的或然率影響表示給定事項一旦發(fā)生所產(chǎn)生的后果2021/5/9128評估技術(shù)對標（benchmarking）——作為一組主體之間的協(xié)作過程，對標著眼于具體的事項或過程，采用共通的標準比較計量指標和結(jié)果，并且識別改進的機會。建立有關(guān)事項、流程和計量指標的數(shù)據(jù)來比較業(yè)績。一些公司利用對標來在整個行業(yè)中評估潛在事項的可能性和影響。2021/5/9129概率模型——概率模型根據(jù)特定的假設將一系列事項以及所造成的影響與這些事項的可能性聯(lián)系起來。在歷史數(shù)據(jù)或反映對未來行為的假設的模擬結(jié)果的基礎(chǔ)上，對可能性和影響進行評估。概率模型的例子包括風險價值、風險現(xiàn)金流量、風險盈利以及信貸和經(jīng)營損失分布的計算等。概率模型可以采用不同的時間范圍，以估計諸如不同時期金融工具的價值范圍等結(jié)果。概率模型還可以用來評估期望的或平均的結(jié)果，以及極端的或非期望的影響。2021/5/9130非概率模型——非概率模型在估計沒有量化相關(guān)可能性的事項的影響時，利用主觀的假設。根據(jù)歷史或模擬數(shù)據(jù)和對未來行為的假設對事項的影響進行評估。非概率模型的例子包括敏感性指標、壓力測試以及情景分析。2021/5/9131六、風險應對回避（avoidance）——退出會產(chǎn)生風險的活動。風險回避可能包括退出一條產(chǎn)品線、拒絕向一個新的地區(qū)市場拓展，或者賣掉一個分部。降低（reduction）——采取措施降低風險的可能性或影響，或者同時降低兩者。它幾乎涉及各種日常的經(jīng)營決策。分擔（sharing）——通過轉(zhuǎn)移來降低風險的可能性或影響，或者分擔一部分風險。常見的技術(shù)包括購買保險產(chǎn)品、從事套期保值交易（hedgingtransactions）或外包一項業(yè)務活動。承受（acceptance）——不采取任何措施去干預風險的可能性或影響。2021/5/9132在確定風險應對的過程中，管理層應該考慮下列事項：潛在應對對風險的可能性和影響的效果——以及哪個應對方案與主體的風險容限相協(xié)調(diào)；潛在應對的成本與效益；除了應付具體的風險之外，實現(xiàn)主體目標可能的機會。2021/5/9133選定的應對管理層所選定的應對旨在使預期的風險可能性和影響處于風險容限之內(nèi)管理層要考慮一項應對可能導致的額外風險組合觀管理層要從整個主體范圍即組合的角度考慮風險管理層要確定主體的剩余風險是否與它的總體風險容量相稱2021/5/9134七、控制活動控制活動的類型高層審核（top-levelreviews）——高級管理層對照預算、預測、以前期間和競爭者來審核實際的業(yè)績。直接的職能或活動管理（directfunctionaloractivitymanagement）——負責職能機構(gòu)或活動的管理人員審核業(yè)績報告。2021/5/9135信息處理（informationprocessing）——實施一系列的控制來檢查交易的準確性、完整性和授權(quán)。輸入的數(shù)據(jù)要經(jīng)過聯(lián)機編輯核對（on-lineeditchecks）或與經(jīng)批準的控制文件相匹配。實物控制（physicalcontrols）——對設備、存貨、證券、現(xiàn)金和其他資產(chǎn)進行實物性的保護，定期盤點，并與控制記錄上所反映的數(shù)額相比較。2021/5/9136業(yè)績指標（performanceindicators）——把不同系列的——經(jīng)營的或者財務的——數(shù)據(jù)彼此聯(lián)系起來，與對相互關(guān)系的分析以及調(diào)查和矯正措施一起，構(gòu)成了一項控制活動。職責分離（segregationofduties）——把不同人員的職責予以分開或隔離，以便降低錯誤或舞弊的風險。2021/5/9137對信息系統(tǒng)的控制一般控制包括對信息技術(shù)管理、信息技術(shù)基礎(chǔ)結(jié)構(gòu)、安全管理和軟件獲取、開發(fā)和維護的控制應用控制直接關(guān)注數(shù)據(jù)獲取和處理的完整性、準確性、授權(quán)和有效性2021/5/9138一般控制信息技術(shù)管理信息技術(shù)基礎(chǔ)結(jié)構(gòu)安全管理軟件獲取、開發(fā)和維護2021/5/9139應用控制平衡控制活動核對數(shù)位預先確定數(shù)據(jù)清單數(shù)據(jù)合理性測試邏輯測試2021/5/9140八、信息與溝通信息的類型內(nèi)部/外部正式/非正式歷史數(shù)據(jù)/當前數(shù)據(jù)2021/5/9141信息的質(zhì)量內(nèi)容是否恰當——信息是否處于正確的詳細程度？信息是否及時——需要時是否有信息？信息是不是當前的——是不是最新可利用的信息？信息是否準確——數(shù)據(jù)是否正確？信息是否易于取得——需要的人是否容易取得信息？2021/5/9142內(nèi)部溝通應傳達的內(nèi)容有效的企業(yè)風險管理的重要性和相關(guān)性；主體的目標；主體的風險容量和風險容限；一套通用的風險語言；員工在實現(xiàn)和支撐企業(yè)風險管理的構(gòu)成要素中的職能與責任。2021/5/9143外部溝通客戶供應商利益相關(guān)者監(jiān)管機構(gòu)財務分析師2021/5/9144九、監(jiān)控持續(xù)監(jiān)控活動個別評價報告缺陷2021/5/9145持續(xù)監(jiān)控活動監(jiān)控活動包含在主體的正常的、反復的經(jīng)營活動之中，在正常的業(yè)務經(jīng)營過程中加以執(zhí)行它們被實時地執(zhí)行，并且動態(tài)地對變化的情況作出反應2021/5/9146個別評價個別評價直接關(guān)注企業(yè)風險管理的有效性，并提供了一個考察持續(xù)監(jiān)控活動的持續(xù)有效性的機會評價者了解所著眼的主體的各項活動和企業(yè)風險管理的各個構(gòu)成要素評價者以管理層的既定標準為背景來分析企業(yè)風險管理的設計和所執(zhí)行的測試的結(jié)果，以確定企業(yè)風險管理是否針對規(guī)定的目標提供了合理保證2021/5/9147報告缺陷對于從內(nèi)部和外部來源所報告的缺陷，要仔細地考慮它們對企業(yè)風險管理的影響，并采取恰當?shù)某C正措施所有已識別的影響主體制訂和執(zhí)行其戰(zhàn)略和實現(xiàn)其既定目標的能力的缺陷都要報告給那些被安排來采取必要措施的人員不僅要調(diào)查和矯正所報告的交易或事項，而且還要重新評價潛在的過失所屬的程序制訂規(guī)程以確定一個特定的層級為了有效地作出決策需要什么信息2021/5/9148十、職能與責任董事會董事會知道管理層在組織中建立有效的風險管理的程度它知道并同意主體的風險容量它審核風險組合觀并對照風險容量對其進行考慮知悉最重大的風險以及管理層是否在恰當?shù)貞獙?021/5/9149管理層首席執(zhí)行官最終對企業(yè)風險管理負責他/她確保存在積極的內(nèi)部環(huán)境，并且企業(yè)風險管理的所有構(gòu)成要素都存在掌管組織中各單元的高級管理人員負責管理與他們所在的單元的目標相關(guān)的風險他們指導企業(yè)風險管理的應用，以確保應用與風險容限相一致每位管理人員都就他/她在企業(yè)風險管理中的那一部分對更高一個層級負責，而CEO最終對董事會負責2021/5/9150風險官員財務執(zhí)行官內(nèi)部審計師其他內(nèi)部人員2021/5/9151外部審計師立法和監(jiān)管機構(gòu)與主體有業(yè)務往來的外部方外包服務提供者財務分析師、債券評級機構(gòu)和新聞媒體2021/5/9152十一、企業(yè)風險管理的局限三種表現(xiàn)第一，風險與未來有關(guān)，而未來本來就具有不確定性。第二，企業(yè)風險管理——即使是有效的企業(yè)風險管理——針對不同的目標在不同的層次上運行。對于戰(zhàn)略和經(jīng)營目標而言，企業(yè)風險管理僅僅能夠幫助確保管理層以及起監(jiān)督作用的董事會及時地認識到該主體朝著實現(xiàn)這些目標前進