基于風險管理的企業(yè)內部控制及設計課件

基于風險管理的企業(yè)內部控制及設計基于風險管理的企業(yè)內部控制及設計講座大綱第一部分：內控的內涵和新形勢第二部分：內部控制的風險框架第三部分：內部控制的局限性及改進第四部分：企業(yè)內部控制責任體系講座大綱第一部分：內控的內涵和新形勢1內控新形勢和發(fā)展——美國公司欺詐舞弊安然：2001年年底，安然公司虛報近6億美元的盈余和掩蓋10億多美元的巨額債務問題暴露。12月2日，安然公司向紐約破產法院申請破產保護，創(chuàng)下美國歷史上最大宗的公司破產案紀錄。安然公司曾是世界上最大的天然氣交易商和最大的電力交易商，鼎盛時期其年收入達1000億美元，在美國公司500強中名列第七。世通：美國第二大長途電話公司--世界通信(WorldCom)6月25日承認，自己在過去五個季度中，先后共虛報了38億美元的利潤。這一丑聞有可能成為美國歷史上最大一起公司財務欺詐案。虛報贏利的丑聞暴光后，世界通信已將首席財政官沙里文解雇。美國眾議院財政委員會7月8日在華盛頓舉行世界通信公司財務丑聞聽證會。案例1內控新形勢和發(fā)展——美國公司欺詐舞弊安然：2001年年底美國公司欺詐舞弊施樂：今年4月，美國證交會宣布，施樂在1997年至2000年期間夸大了15億美元的稅前利潤、30億美元的營業(yè)收入。施樂此后與證交會達成了和解，并繳納了1000萬美元的民事罰金。這是美國公司因財務報告違規(guī)遭到的最大一筆罰款。默克：7月5日，全球第三大藥品制造商、美國制藥巨頭默克公司在向美國證交委遞交的報告中承認，從1999年到2001年，該公司在財務營收中有超過120億美元的營收并不是其負責企業(yè)和健康保險公司的Medco藥品福利部門的實際所得。這筆收入實際上從來沒有打入過默克公司的戶頭里。

QWEST：Qwest國際通信公司日前向外界證實，設在丹佛的美國聯(lián)邦檢察官辦公室已開始對該公司進行犯罪調查。而此前，該公司因涉嫌會計丑聞而接受了4個月的調查。

美國證交委在今年3月份就開始對Qwest國際通信公司的會計問題進行調查，該公司涉嫌和先前申請破產保護的環(huán)球電信串通作假，以大幅度提高公司營運收入數(shù)字。案例來自

中國最大的資料庫下載美國公司欺詐舞弊施樂：今年4月，美國證交會宣布，施樂在199美國公司欺詐舞弊安達信：安然破產案曝光后，作為安然審計公司的安達信也被拖下了水。今年3月14日，美國司法部以“妨礙司法”為由，對安達信提起刑事訴訟，從而開創(chuàng)了美國歷史上第一起大型會計師事務所受到刑事調查的案例。經裁決，安達信成為美國歷史上第一家被判“有罪”的大型會計師事務所。美林證券：5月21日，美林因發(fā)布不實分析誤導投資者面臨法律制裁，后認罰1億美元私了，以使自己免遭起訴。美林公司在與紐約州地方總檢察官達成的協(xié)議中，除了同意支付1億美元罰金之外，還將發(fā)表一份公開道歉書，并進行公改革。隨后，美國檢察官對其它一些美國著名的大型證券公司進行調查，并發(fā)去了傳票，這些公司中包括高盛、摩根·斯坦利、索羅門美邦、瑞士信貸第一波士頓、貝爾斯登以及UBS潘韋伯證券等。案例美國公司欺詐舞弊安達信：安然破產案曝光后，作為安然審計公司的會計舞弊的骨牌效應根據美國財政部公布的最新統(tǒng)計數(shù)據：2002第一季度外國投資者凈買入美國股票總計176億美元，低于上一季度的337億美元。同期購買美國債券的外資只有30億美元，與2001的380億美元相差甚遠。國際投機基金開始大量拋售美國股票和債券，導致美元需求萎縮。會計舞弊的骨牌效應根據美國財政部公布的最新統(tǒng)計數(shù)據：會計舞弊的骨牌效應科爾尼公司公布了2002年度全球跨國直接投資信心指數(shù)（FDI），這次調查顯示：中國首次超過美國成為最有吸引力的外國直接投資目的國。第二是美國，第三是英國，第四是德國。德國作為世界第三大經濟體只吸收了320億美金，而中國卻吸收了470億美金！去年對美國的外國直接投資下降了59％，總數(shù)為1240億美金，對中國的投資則上升了15％，達到了470億美金【2002年9月24日】會計舞弊的骨牌效應科爾尼公司公布了2002年度全球跨國直接投亂世用重典自出兵阿富汗以來，美國國會最協(xié)調一致的行動是在7月15日全票通過“薩班斯－奧克斯利法案”(Sarbanes-OxleyAct)，該法案的嚴肅性在于:公司治理被正式納入聯(lián)邦法律管轄范圍，越來越多的財會欺詐者――無論他是CEO還是CFO都將被投入監(jiān)獄。安然和世通之后，美國大公司都在丑聞深淵邊如履薄冰，抓壞蛋和將前車之鑒銘刻于法律條文自然成為這一階段的主題。來自

中國最大的資料庫下載亂世用重典自出兵阿富汗以來，美國國會最協(xié)調一致的行動是在7月《薩班斯—奧克斯利法案》

上市公司會計監(jiān)管委員會

審計師的獨立性

公司的職責

加強財務信息的披露

分析員的利益沖突

證券監(jiān)管委員會的資源與權限

研究和報告

公司和刑事舞弊的責任

加強對白領刑事犯罪的懲罰

公司稅務申報表公司的舞弊行為及其相應的責任《薩班斯—奧克斯利法案》第404條:

管理層對公司內部控制的評估要求公司年報中包括一份“內部控制報告”，該報告應：明確指出公司管理層對建立和保持一套完整的與財務報告相關的內部控制系統(tǒng)和程序所負有的責任；

并且包含管理層在財務年度期末對公司財務報告相關內部控制體系及程序的有效性的評估。受托的上市公司審計師應按照上市公司會計監(jiān)管委員會對審核約定所發(fā)布或采用的準則就管理層關于內部控制的評估進行鑒證并提交報告。此類鑒證約定并不構成單獨的約定主體；SEC在提交的法案相關的報告中這樣解釋此條的立法目的：“委員會不希望審計師（對內部控制報告的）評估形成單獨一份約定或者因此而導致審計費用的增加?！敝笇EC進一步要求上市公司披露其是否為高級財務官員制定職業(yè)操守規(guī)范以及該規(guī)范的內容；指導SEC修改其以8-K表格進行即時披露的相關規(guī)則，

從而要求上市公司對任何職業(yè)操守規(guī)范的修改或廢止事項立即進行披露。來自

中國最大的資料庫下載第404條:

管理層對公司內部控制的評估要求公司年報中包括1內控新形勢和發(fā)展——中國內控之路1986年財政部頒發(fā)《會計基礎工作規(guī)范》，其中對企業(yè)（單位）內部控制制度作了明確規(guī)定；1997年1月中國注冊會計師協(xié)會實施《獨立審計具體準則第9號——企業(yè)內部控制與審計風險》，以便于會計師事務所評估審計風險，提高審計效率，保證執(zhí)業(yè)質量；1999年全國人民代表大會通過新《會計法》，將企業(yè)（單位）內部控制制度當作保障會計信息“真實和完整”的基本手段之一；2000年1月國家審計署實施《中華人民共和國國家審計基本準則》，其中將對企業(yè)（單位）內部控制制度的測試當作“作業(yè)準則”予以明確；2000年11月證監(jiān)會發(fā)布《公開發(fā)行證券公司信息披露編報規(guī)則》，要求公開發(fā)行證券的商業(yè)銀行、保險公司、證券公司應建立健全企業(yè)內部控制制度；2001年6月財政部發(fā)布《內部會計控制—基本規(guī)范(試行)》和《內部會計控制基本規(guī)范——貨幣資金(試行)》1內控新形勢和發(fā)展——中國內控之路1986年財政部頒發(fā)《會1內控新形勢和發(fā)展——中國內控之路2002年6月13日中注協(xié)制定發(fā)布了《企業(yè)內部控制審核指導意見》；2002年9月7日中國人民銀行發(fā)布《商業(yè)銀行企業(yè)內部控制指引》，指出企業(yè)內部控制是商業(yè)銀行為實現(xiàn)經營目標，通過制定和實施一系列制度、程序和方法，對風險進行事前防范、事中控制、事后監(jiān)督和糾正的動態(tài)過程和機制；2002年12月19日中國證監(jiān)會發(fā)布《證券投資基金管理公司企業(yè)內部控制指導意見》，首次系統(tǒng)地提出基金公司企業(yè)內部控制的目標和要求。2002年12月財政部發(fā)布《內部會計控制規(guī)范——采購與付款（試行）》和《內部會計控制規(guī)范——銷售與收款（試行）》2003年10月財政部發(fā)布《內部會計控制規(guī)范——工程項目（試行）》2004年8月20日中國銀行業(yè)監(jiān)督管理委員會通過《商業(yè)銀行內部控制評價試行辦法》，自2005年2月1日起施行。1內控新形勢和發(fā)展——中國內控之路2002年6月13日中注1內控新形勢和發(fā)展——中國內控之路2006年06月05日上海證券交易所發(fā)布《上海證券交易所上市公司內部控制指引》，內部控制是指上市公司（以下簡稱公司）為了保證公司戰(zhàn)略目標的實現(xiàn)，而對公司戰(zhàn)略制定和經營活動中存在的風險予以管理的相關制度安排。它是由公司董事會、管理層及全體員工共同參與的一項活動。公司內部控制通常應涵蓋經營活動中所有業(yè)務環(huán)節(jié)、經營活動各環(huán)節(jié)之中的各項管理制度、信息管理、專項風險等。2006年6月6日國資委出臺《中央企業(yè)全面風險管理指引》，本指引所稱全面風險管理，指企業(yè)圍繞總體經營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。2006年7月15日，我國企業(yè)內部控制標準委員會成立大會暨第一次全體會議在北京舉行。企業(yè)內部控制標準委員會主席由財政部、證監(jiān)會、國資委等來自監(jiān)管部門、實務界、理論界的專家學者。1內控新形勢和發(fā)展——中國內控之路2006年06月05日上1.1內部控制的演變1階段劃分標志主要內容內部牽制【公元前3600年-20世紀初期以前】公元前3600年以前20世紀初期《柯氏會計詞典》職責分工，相互檢查內部控制制度[20世紀40年代/70年代初]1949/(AICPA/CPA)：《內部控制：系統(tǒng)協(xié)調的要素及其對管理部門和獨立公共會計師的重要性》內部控制制度超過了與財會部門直接相關的事項；還包括成本控制、預算控制、定期報告經營情況、進行統(tǒng)計分析并保證管理部門所制定政策方針的貫徹執(zhí)行1958(CAPNo,29)審計程序公報《獨立審計人員評價內部控制的范圍》將內部控制分為內部會計控制和內部管理控制兩類1986年INTOSAI在第十二屆國際審計會議上發(fā)表的《總聲明》內部控制作為完整的財務和其他控制體系，包括了組織結構、方法程序、內部審計等重要內容1.1內部控制的演變1階段劃分標志主要內容內部牽制公元前1.1內部控制的演變2階段劃分標志主要內容內部控制結構[20世紀80年代以來]美國AICPA于1988年5月發(fā)布的《審計準則公告第55號》(SAS55)以“內部控制結構”概念取代了“內部控制制度”，三個要素組成：(1)控制環(huán)境(ControlEnvironment)(2)會計制度(AccountingSystem)(3)控制程序(ControlProcedure)內部控制整體框架[20世紀90年代初以來]美國注冊會計師協(xié)會(AICPA)美國會計學會(AAA)財務執(zhí)行官協(xié)會(FEl)國際內部審計師協(xié)會(IIA)管理會計師協(xié)會(MM)組成的COSO委員會提出的COSO報告，1992年9月1994年進行了增補提出了內部控制構成(InternalControlomponents)的概念，即內部控制整體框架包含了五個相互聯(lián)系的要素：(1)控制環(huán)境(ControlEnvironment)(2)風險評估(RiskAppraisal)(3)控制活動(ControlActivity)(4)信息與溝通(InformationandCommunication)

(5)監(jiān)控(Monitoring)來自

中國最大的資料庫下載1.1內部控制的演變2階段劃分標志主要內容內部控制結構美1.1內部控制的演變3階段劃分標志主要內容風險管理框架【21世紀初】2003年7月15日，美國COSO委員會在廣泛吸收各國理論界和實務界研究成果的基礎上，公布了《企業(yè)風險管理框架》(EnterpriseRiskManagementFramework)討論稿，并將于2004年4月頒布正式稿。該討論稿在1992年COSO的內部控制框架報告的基礎上建立企業(yè)風險管理框架，將企業(yè)管理的重心由內部控制轉向以風險管理為中心。四大目標：戰(zhàn)略目標經營目標報告目標合法性目標八大要素：內部環(huán)境目標制定事項識別風險評估風險反應控制活動信息和溝通監(jiān)控1.1內部控制的演變3階段劃分標志主要內容風險管理框架四2企業(yè)內部控制——基于風險管理的定義企業(yè)風險管理是一個由企業(yè)的董事會、管理層和其他員工共同參與的，應用于企業(yè)戰(zhàn)略制定和企業(yè)內部各個層次和部門的，用于識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內管理風險的，為企業(yè)目標的實現(xiàn)提供合理保證的過程。

2企業(yè)內部控制——基于風險管理的定義企業(yè)風險管理是一個由企基于風險管理的內部控制內涵企業(yè)的風險管理是一個過程，其本身并不是一個結果，而是實現(xiàn)結果的一種方式。企業(yè)的風險管理并不是一個事項或環(huán)境，而是滲透于企業(yè)各項活動中一系列行動。這些行動普遍存在于管理者對企業(yè)的日常管理中，是企業(yè)日常管理所固有的。企業(yè)風險管理是一個由人參與的過程，它不只是企業(yè)的政策、調查和表格，還涉及一個企業(yè)各個層次員工。該過程可用于企業(yè)的戰(zhàn)略制定。一個企業(yè)確定其對未來的預期和任務，并制定企業(yè)的戰(zhàn)略目標。企業(yè)的戰(zhàn)略目標是企業(yè)最高層次的目標，它與企業(yè)的預期和任務相聯(lián)系并支持預期和任務的實現(xiàn)。一個企業(yè)為實現(xiàn)其戰(zhàn)略目標而制定戰(zhàn)略，并將戰(zhàn)略分解成相應的子目標，再將子目標層層分解到業(yè)務部門、行政部門和各生產過程。在制定戰(zhàn)略時，管理者應考慮與不同的戰(zhàn)略相關聯(lián)的風險基于風險管理的內部控制內涵企業(yè)的風險管理是一個過程，其本身并基于風險管理的內部控制內涵該風險管理過程應應用于企業(yè)內部每個層次和部門，企業(yè)管理者對企業(yè)所面臨的風險應有一個總體層面上的風險組合觀。為使企業(yè)的風險管理獲得成功，一個企業(yè)必須從全局、從總體層面上考慮企業(yè)的各項活動。企業(yè)的風險管理應考慮組織內所有層面的活動，從企業(yè)總體的活動（如戰(zhàn)略計劃和資源分配）到業(yè)務部門的活動（如市場部、人力資源部），再到業(yè)務流程（如生產過程和新客戶信用復核）該過程是用來識別可能對企業(yè)造成潛在影響的事項并在企業(yè)風險偏好的范圍內管理風險。

來自

中國最大的資料庫下載基于風險管理的內部控制內涵該風險管理過程應應用于企業(yè)內部每個基于風險管理的內部控制內涵設計合理、運行有效的風險管理能夠向企業(yè)的管理者和董事會在企業(yè)各目標的實現(xiàn)上提供合理的保證。不確定性和風險是與未來相關，但是沒有人可以確切地預測未來。因此，即使建立風險管理框架，也只能提供合理保證。其原因在于人們在進行決策時的判斷可能出錯，對風險反應的決策和建立的控制需要考慮相關的成本和效益，由于人們簡單的失誤和錯誤可能出現(xiàn)企業(yè)的破產，可能由于兩個或多個人的串通而繞過控制，管理者有能力忽視企業(yè)的風險管理決策等因素。這些限制使得董事會和管理者無法得到企業(yè)目標實現(xiàn)的絕對保證。企業(yè)風險管理框架針對一類或幾類相互獨立但又存在重疊的目標，目的在于企業(yè)目標的實現(xiàn)。有效的風險管理可以為企業(yè)財務報告和合法性目標的實現(xiàn)提供合理的保證。這些目標的實現(xiàn)一般在企業(yè)的控制范圍內，其實現(xiàn)依賴于相關活動執(zhí)行的好壞。但是，戰(zhàn)略性目標和經營性目標并不一定在企業(yè)的控制范圍內。對于戰(zhàn)略目標和經營目標，企業(yè)風險管理只能合理保證管理者和董事會及時了解企業(yè)目標實現(xiàn)的進度。基于風險管理的內部控制內涵設計合理、運行有效的風險管理能夠向2-1內部環(huán)境企業(yè)的內部環(huán)境是其他所有風險管理要素的基礎，為其他要素提供規(guī)則和結構。企業(yè)的內部環(huán)境不僅影響企業(yè)戰(zhàn)略和目標的制定、業(yè)務活動的組織和對風險的識別、評估和反應。它還影響企業(yè)控制活動、信息和溝通系統(tǒng)以及監(jiān)控活動的設計和執(zhí)行。誠信的原則和道德價值觀評定員工的能力董事會及其所屬委員會、監(jiān)事會管理哲學和經營風格組織結構權限和職責的分配方式人力資源政策及實務2-1內部環(huán)境企業(yè)的內部環(huán)境是其他所有風險管理要素的基礎，2-1內控環(huán)境1——誠信的原則和道德價值觀誠信的原則和道德價值觀在現(xiàn)代所有權和經營權相分離的產權格局之下，企業(yè)（股東）目標、管理者目標和以及生產者的目標不盡相同以及信息不對稱條件限制，企業(yè)高層管理者和員工都會存在“不道德”和逆向選擇的風險另外；在企業(yè)運營過程種，經常由于受到某種壓力或誘惑導致舞弊和貪污等，輕者帶來企業(yè)效率低下、聲譽受損，重者給企業(yè)帶來損失和埋下隱患。企業(yè)應加強職業(yè)道德、誠信道德的教育和氛圍培育，同時采取必要的措施減少錯弊發(fā)生的機會和可能。加強企業(yè)的內部審核制度和發(fā)揮董事會的職能，使其客觀監(jiān)督企業(yè)的高層管理階層，使所有雇員形成正確而持續(xù)的道德觀和價值觀，在一般和特定環(huán)境下能夠保持正確的判斷。2-1內控環(huán)境1——誠信的原則和道德價值觀誠信的原則和道德價2-1內控環(huán)境2——評定員工的能力評定員工的能力員工的能力是目標實現(xiàn)的基礎。如何評定并發(fā)掘、提高員工能力也是企業(yè)發(fā)展的重要方面。管理部門須制定正式或非正式的職務說明書，逐項分析并規(guī)定各工作崗位所須具備的知識和技能。2-1內控環(huán)境2——評定員工的能力評定員工的能力2-1內控環(huán)境3——董事會及其所屬委員會、監(jiān)事會董事會及其所屬委員會、監(jiān)事會企業(yè)戰(zhàn)略制定和重大經營決策必須有專業(yè)和勤勉盡責的專業(yè)人事參與和把握。企業(yè)運營體現(xiàn)在董事會及其所屬委員會的職能和組成。董事會及其所屬委員會、監(jiān)事會需要關注成員的經驗、相對于管理層的獨立性、外部董事的比例、其成員參與管理的程度；所采取措施的適宜性；對管理層提出問題的深度和廣度、他們與內部、外部審計人員的關系實質等。2-1內控環(huán)境3——董事會及其所屬委員會、監(jiān)事會董事會及其所2-1內控環(huán)境4——管理哲學和經營風格管理哲學和經營風格：企業(yè)全體員工特別是高級管理人員經營理念和對企業(yè)風險的認知、偏好，都將給企業(yè)的運營打下烙印。包括：對待和承擔經營風險的方式；依靠文件化的政策和業(yè)績指標以及報告體系等與關鍵經理人員溝通；對財務報告的態(tài)度和所采取的措施；對信息處理以及會計功能所持的態(tài)度；對現(xiàn)有可選擇的會計準則和會計數(shù)值估計所持有的謹慎或冒進態(tài)度等。2-1內控環(huán)境4——管理哲學和經營風格管理哲學和經營風格：企2-1內控環(huán)境5——組織結構組織結構：企業(yè)的組織結構為公司活動提供計劃、執(zhí)行，控制和監(jiān)督職能的整體框架。組織結構的合適性及其提供管理企業(yè)所需信息的溝通能力；各主管人員所負責任的適當性；按照主管人員所擔負的責任判斷其是否具備足夠的知識及豐富的經驗；當環(huán)境改變時企業(yè)配合改變其組織結構的程度；員工（尤其是負責管理及監(jiān)督職能的員工）人數(shù)的充足程度等。

2-1內控環(huán)境5——組織結構組織結構：企業(yè)的組織結構為公司活2-1內控環(huán)境6——責任的分配與授權責任的分配與授權以科學而嚴密的責權體系進行業(yè)務的分工和配合，可以高效運用企業(yè)資源、確保達到目標。為業(yè)務過程中關鍵崗位的人員，提供和配備所需的資源并確保他們的經驗和知識與職責權限相匹配，職責擔負形式和認可方式，與達成組織目標的聯(lián)系。2-1內控環(huán)境6——責任的分配與授權責任的分配與授權2-1內控環(huán)境7——人力資源政策及實務人力資源政策及實務

企業(yè)所有業(yè)務（包括內控）的進行都需要人來執(zhí)行，人的素質、世界觀、道德觀、積極性都會影響業(yè)務目標是實現(xiàn)。企業(yè)必須有有完善的招聘與選拔方針及操作性程序；對新員工進行企業(yè)文化和道德價值觀的導向培訓；對違反行為準則的任何事項，制訂紀律約束與處罰措施；對業(yè)績良好的員工，制訂具有獎勵和激勵作用的報酬計劃，并避免誘發(fā)不道德行為；根據階段性的業(yè)績評估結果，對員工予以晉升、指導以及獎罰

2-1內控環(huán)境7——人力資源政策及實務人力資源政策及實務2-2目標制定根據企業(yè)確定的任務或預期，管理者制定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略并確定其他與之相關的目標并在企業(yè)內層層分解和落實。其中，其他相關目標是指除戰(zhàn)略目標之外的其他三個目標，其制定應與企業(yè)的戰(zhàn)略相聯(lián)系。管理者必須首先確定企業(yè)的目標，才能夠確定對目標的實現(xiàn)有潛在影響的事項。而企業(yè)風險管理就是提供給企業(yè)管理者一個適當?shù)倪^程，既能夠幫助制定企業(yè)的目標，又能夠將目標與企業(yè)的任務或預期聯(lián)系在一起，并且保證制定的目標與企業(yè)的風險偏好相一致。戰(zhàn)略目標是企業(yè)的高層次目標，與企業(yè)的任務和預期相聯(lián)系并支持企業(yè)的任務和預期。經營目標是指企業(yè)經營的有效性和效率，包括業(yè)績目標和盈利性目標，根據管理者對企業(yè)結構和經營選擇的不同而變化。報告目標指企業(yè)報告的有效性，包括內部和外部報告，既涉及財務信息，也涉及非財務信息。合法性目標是指企業(yè)是否符合相關的法律和法規(guī)。2-2目標制定根據企業(yè)確定的任務或預期，管理者制定企業(yè)的戰(zhàn)2-3事項識別不確定性的存在，即管理者不能確切地知道某一事項是否會發(fā)生、何時發(fā)生或者事項的結果，使得企業(yè)的管理者需要對這些事項進行識別。而潛在事項對企業(yè)可能有正面的影響、負面的影響或者兩者同時存在。有負面影響的事項是企業(yè)的風險，要求企業(yè)的管理者對其進行評估和反應風險是指某一對企業(yè)目標的實現(xiàn)可能造成負面影響的事項發(fā)生的可能性。對企業(yè)有正面影響的事項，或者是企業(yè)的機遇，或者是可以抵消風險對企業(yè)的負面影響的事項。機遇可以在企業(yè)戰(zhàn)略或目標制定的過程中加以考慮，以確定有關行動抓住機遇?？赡軡撛诘氐窒L險的負面影響的事項則應在風險的評估和反應階段予以考慮。2-3事項識別不確定性的存在，即管理者不能確切地知道某一事2-4風險評估風險評估可以使管理者了解潛在事項如何影響企業(yè)目標的實現(xiàn)。管理者應從兩個方面對風險進行評估——風險發(fā)生的可能性和影響。風險發(fā)生的可能性是指某一特定事項發(fā)生的可能性，影響則是指事項的發(fā)生將會帶來的影響。對于風險的評估應從企業(yè)戰(zhàn)略和目標的角度進行。首先，應對企業(yè)的固有風險進行評估。固有風險是指企業(yè)沒有采用任何管理措施可能使企業(yè)面臨的風險。確定對固有風險的風險反應模式就能夠確定對固有風險的管理措施。其次，管理者應在對固有風險采取有關管理措施的基礎上，對企業(yè)的殘存風險進行評估。殘存風險是指管理者采取有關的管理措施后仍舊存在的風險。2-4風險評估風險評估可以使管理者了解潛在事項如何影響企業(yè)2-5風險反應風險反應可以分為規(guī)避風險、減少風險、共擔風險和接受風險四類。規(guī)避風險是指采取措施退出會給企業(yè)帶來風險的活動。減少風險是指減少風險發(fā)生的可能性、減少風險的影響或兩者同時減少。共擔風險是指通過轉嫁風險或與他人共擔風險，降低風險發(fā)生的可能性或降低風險對企業(yè)的影響。接受風險則是不采取任何行動而接受可能發(fā)生的風險及其影響。對于每一個重要的風險，企業(yè)都應考慮所有的風險反應方案，為風險反應方案的選擇提供廣泛的空間，這也是對現(xiàn)狀提出挑戰(zhàn)。有效的風險管理要求管理者選擇可以使企業(yè)風險發(fā)生的可能性和影響都落在風險容忍度之內的風險反應方案。選定某一風險反應方案后，管理者應在殘存風險的基礎上重新評估風險，即從企業(yè)總體的角度、或者組合風險的角度重新計量風險。各行政部門、職能部門或者業(yè)務部門的管理者應采取一定的措施對該部門的風險進行復合式評估并選擇相應的風險反應方案。這種組合風險觀是相對于部門的目標和風險容忍度而言的。應用于各獨立部門風險組合觀，也可以被大多數(shù)高層管理者所采用，以決定企業(yè)總體的風險組合與相對企業(yè)目標而言的企業(yè)總體的風險偏好是否相等。2-5風險反應風險反應可以分為規(guī)避風險、減少風險、共擔風險2-6控制活動控制活動是幫助保證風險反應方案得到正確執(zhí)行的相關政策和程序?？刂苹顒哟嬖谟谄髽I(yè)的各部分、各個層面和各個部門?？刂苹顒邮瞧髽I(yè)為實現(xiàn)其商業(yè)目標而執(zhí)行的過程的一部分。通常包括兩個要素：確定應該做什么的一個政策和影響該政策的一系列程序。每個主體都有其自己的一套目標和執(zhí)行目標的方法，因此，其子目標、結構和相關的控制活動也會不同。即使兩個企業(yè)有同樣的目標和結構，由于每個企業(yè)的管理人員都不同，不同的管理人員在影響內部控制時使用不同的個人判斷，他們的控制活動也很可能不同。控制活動還會受企業(yè)所處的環(huán)境和行業(yè)、企業(yè)的復雜性、企業(yè)的歷史和文化的影響。

2-6控制活動控制活動是幫助保證風險反應方案得到正確執(zhí)行的控制活動——1高層經理人員對企業(yè)績效進行分析高層經理人員對企業(yè)績效進行分析管理階層記錄經營活動(如：市場的擴展、生產過程改良、成本的控制)的結果，然后再與預算、預測、前期及競爭者的績效相比較，以衡量目標達成的程度和監(jiān)督計劃(如：新產品開發(fā)、合資經營、融資行為)的執(zhí)訂情況?？刂苹顒印?高層經理人員對企業(yè)績效進行分析高層經理人員對企控制活動——2直接部門管理直接部門管理負責某一部門的經理人員復核自己所負責部門的業(yè)績報告，檢查本部門各業(yè)務活動的情況，以便辨認趨勢?？刂苹顒印?直接部門管理直接部門管理控制活動——3對信息處理的控制對信息處理的控制第一類是一般控制（generalcontrol），它幫助管理階層確保系統(tǒng)能持續(xù)、適當?shù)倪\轉；(一般控制包括：對資料中心運作的控制；對系統(tǒng)軟件的控制；存取安全的控制；對應用系統(tǒng)的發(fā)展及維護的控制）第二類是應用控制(applicationcontrol)，它包括應用軟件中的電算化步驟及相關的人工程序。(應用控制包括：輸入控制；輸出控制)控制活動——3對信息處理的控制對信息處理的控制控制活動——4實物控制實物控制保護設備、存貨、證券、現(xiàn)金和其它資產的實體安全，定期盤點并與控制記錄所顯示的金額相比較。控制活動——4實物控制實物控制控制活動——5績效指標的比較績效指標的比較把不同的幾套數(shù)據資料(如：經營數(shù)據與財務數(shù)據)相互比較，分析它們之間的關系，然后再進行調查與糾正。以存貨為例，其績效指標包括：購貨價差、訂單中"緊急訂貨"比例、總訂單中退貨的比例。管理階層需要調查超出計劃的結果或者不正常的趨勢，辨認采購作業(yè)的目標無法達成的原因。控制活動——5績效指標的比較績效指標的比較控制活動——6分工分工分工即指將責任劃分，再將不相容職務分派給不同的員工，以降低錯誤或不當行為的風險。控制活動——6分工分工不相容職務分離會計記錄財產保管業(yè)務經辦審核監(jiān)督授權批準不相容職務分離會計記錄財產保管業(yè)務經辦審核監(jiān)督授權批準2-7信息和溝通來自于企業(yè)內部和外部的相關信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞，以保證企業(yè)的員工能夠執(zhí)行各自的職責。有效的溝通也是廣義上的溝通，包括企業(yè)內自上而下、自下而上以及橫向的溝通有效的溝通還包括將相關的信息與企業(yè)外部相關方的有效溝通和交換，如客戶、供應商、行政管理部門和股東等。2-7信息和溝通來自于企業(yè)內部和外部的相關信息必須以一定的2-7-1信息系統(tǒng)建立良好的信息系統(tǒng)支持策略；信息系統(tǒng)與企業(yè)營運應有效的結合；選擇更新信息系統(tǒng)的最佳時間；有很好的信息品質。良好信息系統(tǒng)標志市場銷售人力資源資產生產物流客戶服務研發(fā)財務管理2-7-1信息系統(tǒng)建立良好的信息系統(tǒng)支持策略；良好信息系統(tǒng)標2-7-2溝通－內部溝通負有重要營業(yè)責任或財務管理責任的員工，除了得到用以管理其負責活動的重要資料以外，還應當?shù)玫絹碜宰罡吖芾韺?/p>

需謹慎承擔內部控制責任的清楚信息；必須讓每個人清楚的知道個人所擔負的特定任務，了解內部控制制度的各項規(guī)定、它們如何生效，以及他(她)在控制系統(tǒng)中所扮演的角色及所承擔的責任；員工在其執(zhí)行任務時，一旦有非預期的事項發(fā)生，除了要注意該事項本身之外，還應當注意導致該事項發(fā)生的原因，如此才有辦法辨認潛在缺失，采取行動，并預防再度發(fā)生；員工必須知道他(她)所負責的活動是怎樣與他人的工作發(fā)生關聯(lián)的；員工必須擁有在組織中向上溝通重要信息的方法。2-7-2溝通－內部溝通負有重要營業(yè)責任或財務管理責任的員工2-7-2溝通－外部溝通顧客和供應商能經過開放的溝通管道輸入重要的信息；與相關的外部團體溝通，以便獲悉關于本企業(yè)內部控制功能的重要信息；外部審計人員對企業(yè)營業(yè)、相關業(yè)務問題及控制系統(tǒng)審計后，可以提供給管理階層及董事會重要的控制信息；政府主要機關(如：銀行或保險機關)所報道的復核或檢查的結果，可以有效的彌補控制的缺失。2-7-2溝通－外部溝通顧客和供應商能經過開放的溝通管道輸入2-8監(jiān)控對企業(yè)風險管理的監(jiān)控是指評估風險管理要素的內容和運行以及一段時期的執(zhí)行質量的一個過程。企業(yè)可以通過兩種方式對風險管理進行監(jiān)控——持續(xù)監(jiān)控和個別評估。持續(xù)監(jiān)控和個別評估都是用來保證企業(yè)的風險管理在企業(yè)內各管理層面和各部門持續(xù)得到執(zhí)行監(jiān)控還包括對企業(yè)風險管理的記錄，對企業(yè)風險管理進行記錄的程度根據企業(yè)的規(guī)模、經營的復雜性和其他因素的影響而有所不同。企業(yè)風險管理的內容沒有記錄并不意味著風險管理無效或無法對風險管理進行評估。但是，適當?shù)挠涗浲ǔ癸L險管理的監(jiān)控更為有效果和有效率。當企業(yè)管理者打算向外部相關方提供關于企業(yè)風險管理效率的報告時，他們應考慮為企業(yè)風險管理設計一套記錄模式并保持有關的記錄2-8監(jiān)控對企業(yè)風險管理的監(jiān)控是指評估風險管理要素的內容和監(jiān)控——1持續(xù)的監(jiān)督活動持續(xù)的監(jiān)督活動在營運過程中發(fā)生，它包括例行的管理和監(jiān)督活動，以及其他員工為履行其職務所采取的行動。管理階層取得內部控制系統(tǒng)持續(xù)發(fā)揮功能的資料，當營運報告、財務報告與他們所得到的資料有大偏離時，可對報告提出質疑；來自外界團體的溝通，可以驗證內部信息的正確性，并能及時反映問題的所在；

適當?shù)慕M織機構及監(jiān)督活動，可用來辨識缺失；

各個職務的分離，使不同員工之間可以彼此相互檢查，以防止舞弊；

把信息系統(tǒng)所記錄的資料同實際資產核對；

內、外部稽核人員定期提出強化內部控制系統(tǒng)的建議；

培訓課程、規(guī)劃會議和其他會議，可把控制是否有效的重要信息反饋給管理階層定期要求員工陳述他們是否了解企業(yè)的行為準則，并加以遵守，對于負責業(yè)務和財務的員工，則要求他們陳述某些特定控制是否都予執(zhí)行，管理階層或內部稽核人員還必須驗證這些陳述是否確實。監(jiān)控——1持續(xù)的監(jiān)督活動持續(xù)的監(jiān)督活動在營運過程中發(fā)生，它包監(jiān)控——2個別評估個別評估盡管持續(xù)監(jiān)督程序可以有效的評價內部控制體系，但企業(yè)有時需要組織例外評估以直接監(jiān)視控制系統(tǒng)的有效性，這種做法可評估持續(xù)性監(jiān)督程序。評估的范圍和頻率，視風險的大小及控制的重要性而定。監(jiān)控——2個別評估監(jiān)控——3報告缺陷報告缺陷內部控制的缺失應由下往上報告，某些缺失應報告給高層管理階層及董事會知道。監(jiān)控——3報告缺陷報告缺陷3企業(yè)內部控制局限性成本限制人為錯誤串通舞弊濫用職權修訂不及時非經常事項3企業(yè)內部控制局限性成本限制4.1董事會的地位和職責企業(yè)的管理者向董事會負責，而董事會對管理者履行管理、指導和監(jiān)督職能。董事會是企業(yè)內部環(huán)境的一個組成部分，必須有保證風險管理有效的必要的組織結構和對風險管理的關注。通過選舉管理者，董事會在界定其所期望的員工的操守和價值觀時起主要作用，并能夠通過監(jiān)督活動證實其對員工的預期。同樣，通過在某些關鍵的決策中保留其權限，董事會在制定戰(zhàn)略、確定企業(yè)高層次的目標和進行廣義的資源配置時起到一定的作用。了解管理者在企業(yè)內部建立有效的風險管理的程度；獲知并認可企業(yè)的風險偏好；復核企業(yè)的風險組合觀并與企業(yè)的風險偏好相比較；評估企業(yè)最重要的風險并評估管理者的風險反應是否適當。4.1董事會的地位和職責企業(yè)的管理者向董事會負責，而董事4企業(yè)內控的責任4.1董事會的地位和職責4.2管理者的地位和職責4.3風險管理員的地位和職責4.4內部審計人員的地位和職責4.5其他員工的地位和職責4.6外部人員的關系4企業(yè)內控的責任4.1董事會的地位和職責董事會和監(jiān)事會(安然公司)我們查閱了安然公司2000年度報告，驚愕地發(fā)現(xiàn)：17名董事中，除了董事會主席和CEO外，其余15名全部為獨立董事獨立董事不乏著名社會人物審計委員會的7名委員全部由獨立董事組成，主席為已退休的斯坦福大學商學院院長、會計學教授羅伯特.杰迪克這些德高望重的獨立董事也不能未股東把好對高層管理人員的監(jiān)督關，導致投資者遭受慘重損失。這些獨立董事們不僅受到社會的責難，而且面臨投資者的訴訟我國正大力推行獨立董事制度，許多高校的學者紛紛“投筆從戎”，建議他們切記“獨立”二字，認真研究安然事件，以免重蹈覆轍董事會和監(jiān)事會(安然公司)4.2管理者的地位和職責企業(yè)的首席執(zhí)行官對企業(yè)的風險管理最終負責，即擁有企業(yè)風險管理的“所有權”。與企業(yè)內其他員工不同，首席執(zhí)行官在企業(yè)的高層確定風險管理的基調，從而影響企業(yè)內部環(huán)境中的員工操守和價值觀及其他因素。。在大公司中，首席執(zhí)行官通過向高級管理者分派領導權和提供指令并復核其管理企業(yè)的方式等來履行其職能；高級管理者會進一步將制定更具體的風險管理政策和程序的責任分派給負責各部門運行的管理者。在一個小企業(yè)，首席執(zhí)行官既是企業(yè)的管理者，但同時也是企業(yè)的所有者，其對風險管理的影響則更為直接4.2管理者的地位和職責企業(yè)的首席執(zhí)行官對企業(yè)的風險管理4.3風險管理員的地位和職責風險管理員是指某一組織內的首席風險管理員或首席風險管理經理，他與企業(yè)內其他管理者一起，在各自的職責范圍內建立并維護有效的風險管理框架。首席風險管理員也可以擔當監(jiān)督風險管理進度和幫助其他管理人員在企業(yè)內向上、向下和橫向報告有關風險信息的職責，并可以成為企業(yè)風險管理委員會的一員。4.3風險管理員的地位和職責風險管理員是指某一組織內的首4.4內部審計人員的地位和職責內部審計人員在企業(yè)風險管理的監(jiān)控中占有重要的地位，這一職責作為其日常職責的一部分，其執(zhí)行質量依賴于高級管理者、子公司或部門管理者的特殊要求。通過對管理者風險管理過程的充分性和有效性進行監(jiān)控、檢查、評估、報告和提出改進建議來幫助管理者和董事會或審計委員會履行其職責。4.4內部審計人員的地位和職責內部審計人員在企業(yè)風險管理4.5其他員工的地位和職責

從某種程度上講，企業(yè)風險管理是企業(yè)內每一個員工的責任，因此，風險管理應是企業(yè)內每一個員工的工作手冊的一部分內容。本質上，企業(yè)所有的員工都應提供風險管理所需的信息或者采取必要的措施管理風險。同樣，企業(yè)所有的員工都有責任向上報告風險，如經營中存在的問題，未遵守有關的行為規(guī)則的情況、其他違反政策的行為或非法活動4.5其他員工的地位和職責從某種程度上講，企業(yè)風險管理是4.6外部人員的關系

企業(yè)的許多外部相關方也有助于企業(yè)目標的實現(xiàn)外部審計人員行政管理部門客戶財務分析師債券承銷商新聞4.6外部人員的關系企業(yè)的許多外部相關方也有助于企業(yè)目標謝謝！謝謝！基于風險管理的企業(yè)內部控制及設計基于風險管理的企業(yè)內部控制及設計講座大綱第一部分：內控的內涵和新形勢第二部分：內部控制的風險框架第三部分：內部控制的局限性及改進第四部分：企業(yè)內部控制責任體系講座大綱第一部分：內控的內涵和新形勢1內控新形勢和發(fā)展——美國公司欺詐舞弊安然：2001年年底，安然公司虛報近6億美元的盈余和掩蓋10億多美元的巨額債務問題暴露。12月2日，安然公司向紐約破產法院申請破產保護，創(chuàng)下美國歷史上最大宗的公司破產案紀錄。安然公司曾是世界上最大的天然氣交易商和最大的電力交易商，鼎盛時期其年收入達1000億美元，在美國公司500強中名列第七。世通：美國第二大長途電話公司--世界通信(WorldCom)6月25日承認，自己在過去五個季度中，先后共虛報了38億美元的利潤。這一丑聞有可能成為美國歷史上最大一起公司財務欺詐案。虛報贏利的丑聞暴光后，世界通信已將首席財政官沙里文解雇。美國眾議院財政委員會7月8日在華盛頓舉行世界通信公司財務丑聞聽證會。案例1內控新形勢和發(fā)展——美國公司欺詐舞弊安然：2001年年底美國公司欺詐舞弊施樂：今年4月，美國證交會宣布，施樂在1997年至2000年期間夸大了15億美元的稅前利潤、30億美元的營業(yè)收入。施樂此后與證交會達成了和解，并繳納了1000萬美元的民事罰金。這是美國公司因財務報告違規(guī)遭到的最大一筆罰款。默克：7月5日，全球第三大藥品制造商、美國制藥巨頭默克公司在向美國證交委遞交的報告中承認，從1999年到2001年，該公司在財務營收中有超過120億美元的營收并不是其負責企業(yè)和健康保險公司的Medco藥品福利部門的實際所得。這筆收入實際上從來沒有打入過默克公司的戶頭里。

QWEST：Qwest國際通信公司日前向外界證實，設在丹佛的美國聯(lián)邦檢察官辦公室已開始對該公司進行犯罪調查。而此前，該公司因涉嫌會計丑聞而接受了4個月的調查。

美國證交委在今年3月份就開始對Qwest國際通信公司的會計問題進行調查，該公司涉嫌和先前申請破產保護的環(huán)球電信串通作假，以大幅度提高公司營運收入數(shù)字。案例來自

中國最大的資料庫下載美國公司欺詐舞弊施樂：今年4月，美國證交會宣布，施樂在199美國公司欺詐舞弊安達信：安然破產案曝光后，作為安然審計公司的安達信也被拖下了水。今年3月14日，美國司法部以“妨礙司法”為由，對安達信提起刑事訴訟，從而開創(chuàng)了美國歷史上第一起大型會計師事務所受到刑事調查的案例。經裁決，安達信成為美國歷史上第一家被判“有罪”的大型會計師事務所。美林證券：5月21日，美林因發(fā)布不實分析誤導投資者面臨法律制裁，后認罰1億美元私了，以使自己免遭起訴。美林公司在與紐約州地方總檢察官達成的協(xié)議中，除了同意支付1億美元罰金之外，還將發(fā)表一份公開道歉書，并進行公改革。隨后，美國檢察官對其它一些美國著名的大型證券公司進行調查，并發(fā)去了傳票，這些公司中包括高盛、摩根·斯坦利、索羅門美邦、瑞士信貸第一波士頓、貝爾斯登以及UBS潘韋伯證券等。案例美國公司欺詐舞弊安達信：安然破產案曝光后，作為安然審計公司的會計舞弊的骨牌效應根據美國財政部公布的最新統(tǒng)計數(shù)據：2002第一季度外國投資者凈買入美國股票總計176億美元，低于上一季度的337億美元。同期購買美國債券的外資只有30億美元，與2001的380億美元相差甚遠。國際投機基金開始大量拋售美國股票和債券，導致美元需求萎縮。會計舞弊的骨牌效應根據美國財政部公布的最新統(tǒng)計數(shù)據：會計舞弊的骨牌效應科爾尼公司公布了2002年度全球跨國直接投資信心指數(shù)（FDI），這次調查顯示：中國首次超過美國成為最有吸引力的外國直接投資目的國。第二是美國，第三是英國，第四是德國。德國作為世界第三大經濟體只吸收了320億美金，而中國卻吸收了470億美金！去年對美國的外國直接投資下降了59％，總數(shù)為1240億美金，對中國的投資則上升了15％，達到了470億美金【2002年9月24日】會計舞弊的骨牌效應科爾尼公司公布了2002年度全球跨國直接投亂世用重典自出兵阿富汗以來，美國國會最協(xié)調一致的行動是在7月15日全票通過“薩班斯－奧克斯利法案”(Sarbanes-OxleyAct)，該法案的嚴肅性在于:公司治理被正式納入聯(lián)邦法律管轄范圍，越來越多的財會欺詐者――無論他是CEO還是CFO都將被投入監(jiān)獄。安然和世通之后，美國大公司都在丑聞深淵邊如履薄冰，抓壞蛋和將前車之鑒銘刻于法律條文自然成為這一階段的主題。來自

中國最大的資料庫下載亂世用重典自出兵阿富汗以來，美國國會最協(xié)調一致的行動是在7月《薩班斯—奧克斯利法案》

上市公司會計監(jiān)管委員會

審計師的獨立性

公司的職責

加強財務信息的披露

分析員的利益沖突

證券監(jiān)管委員會的資源與權限

研究和報告

公司和刑事舞弊的責任

加強對白領刑事犯罪的懲罰

公司稅務申報表公司的舞弊行為及其相應的責任《薩班斯—奧克斯利法案》第404條:

管理層對公司內部控制的評估要求公司年報中包括一份“內部控制報告”，該報告應：明確指出公司管理層對建立和保持一套完整的與財務報告相關的內部控制系統(tǒng)和程序所負有的責任；

并且包含管理層在財務年度期末對公司財務報告相關內部控制體系及程序的有效性的評估。受托的上市公司審計師應按照上市公司會計監(jiān)管委員會對審核約定所發(fā)布或采用的準則就管理層關于內部控制的評估進行鑒證并提交報告。此類鑒證約定并不構成單獨的約定主體；SEC在提交的法案相關的報告中這樣解釋此條的立法目的：“委員會不希望審計師（對內部控制報告的）評估形成單獨一份約定或者因此而導致審計費用的增加?！敝笇EC進一步要求上市公司披露其是否為高級財務官員制定職業(yè)操守規(guī)范以及該規(guī)范的內容；指導SEC修改其以8-K表格進行即時披露的相關規(guī)則，

從而要求上市公司對任何職業(yè)操守規(guī)范的修改或廢止事項立即進行披露。來自

中國最大的資料庫下載第404條:

管理層對公司內部控制的評估要求公司年報中包括1內控新形勢和發(fā)展——中國內控之路1986年財政部頒發(fā)《會計基礎工作規(guī)范》，其中對企業(yè)（單位）內部控制制度作了明確規(guī)定；1997年1月中國注冊會計師協(xié)會實施《獨立審計具體準則第9號——企業(yè)內部控制與審計風險》，以便于會計師事務所評估審計風險，提高審計效率，保證執(zhí)業(yè)質量；1999年全國人民代表大會通過新《會計法》，將企業(yè)（單位）內部控制制度當作保障會計信息“真實和完整”的基本手段之一；2000年1月國家審計署實施《中華人民共和國國家審計基本準則》，其中將對企業(yè)（單位）內部控制制度的測試當作“作業(yè)準則”予以明確；2000年11月證監(jiān)會發(fā)布《公開發(fā)行證券公司信息披露編報規(guī)則》，要求公開發(fā)行證券的商業(yè)銀行、保險公司、證券公司應建立健全企業(yè)內部控制制度；2001年6月財政部發(fā)布《內部會計控制—基本規(guī)范(試行)》和《內部會計控制基本規(guī)范——貨幣資金(試行)》1內控新形勢和發(fā)展——中國內控之路1986年財政部頒發(fā)《會1內控新形勢和發(fā)展——中國內控之路2002年6月13日中注協(xié)制定發(fā)布了《企業(yè)內部控制審核指導意見》；2002年9月7日中國人民銀行發(fā)布《商業(yè)銀行企業(yè)內部控制指引》，指出企業(yè)內部控制是商業(yè)銀行為實現(xiàn)經營目標，通過制定和實施一系列制度、程序和方法，對風險進行事前防范、事中控制、事后監(jiān)督和糾正的動態(tài)過程和機制；2002年12月19日中國證監(jiān)會發(fā)布《證券投資基金管理公司企業(yè)內部控制指導意見》，首次系統(tǒng)地提出基金公司企業(yè)內部控制的目標和要求。2002年12月財政部發(fā)布《內部會計控制規(guī)范——采購與付款（試行）》和《內部會計控制規(guī)范——銷售與收款（試行）》2003年10月財政部發(fā)布《內部會計控制規(guī)范——工程項目（試行）》2004年8月20日中國銀行業(yè)監(jiān)督管理委員會通過《商業(yè)銀行內部控制評價試行辦法》，自2005年2月1日起施行。1內控新形勢和發(fā)展——中國內控之路2002年6月13日中注1內控新形勢和發(fā)展——中國內控之路2006年06月05日上海證券交易所發(fā)布《上海證券交易所上市公司內部控制指引》，內部控制是指上市公司（以下簡稱公司）為了保證公司戰(zhàn)略目標的實現(xiàn)，而對公司戰(zhàn)略制定和經營活動中存在的風險予以管理的相關制度安排。它是由公司董事會、管理層及全體員工共同參與的一項活動。公司內部控制通常應涵蓋經營活動中所有業(yè)務環(huán)節(jié)、經營活動各環(huán)節(jié)之中的各項管理制度、信息管理、專項風險等。2006年6月6日國資委出臺《中央企業(yè)全面風險管理指引》，本指引所稱全面風險管理，指企業(yè)圍繞總體經營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。2006年7月15日，我國企業(yè)內部控制標準委員會成立大會暨第一次全體會議在北京舉行。企業(yè)內部控制標準委員會主席由財政部、證監(jiān)會、國資委等來自監(jiān)管部門、實務界、理論界的專家學者。1內控新形勢和發(fā)展——中國內控之路2006年06月05日上1.1內部控制的演變1階段劃分標志主要內容內部牽制【公元前3600年-20世紀初期以前】公元前3600年以前20世紀初期《柯氏會計詞典》職責分工，相互檢查內部控制制度[20世紀40年代/70年代初]1949/(AICPA/CPA)：《內部控制：系統(tǒng)協(xié)調的要素及其對管理部門和獨立公共會計師的重要性》內部控制制度超過了與財會部門直接相關的事項；還包括成本控制、預算控制、定期報告經營情況、進行統(tǒng)計分析并保證管理部門所制定政策方針的貫徹執(zhí)行1958(CAPNo,29)審計程序公報《獨立審計人員評價內部控制的范圍》將內部控制分為內部會計控制和內部管理控制兩類1986年INTOSAI在第十二屆國際審計會議上發(fā)表的《總聲明》內部控制作為完整的財務和其他控制體系，包括了組織結構、方法程序、內部審計等重要內容1.1內部控制的演變1階段劃分標志主要內容內部牽制公元前1.1內部控制的演變2階段劃分標志主要內容內部控制結構[20世紀80年代以來]美國AICPA于1988年5月發(fā)布的《審計準則公告第55號》(SAS55)以“內部控制結構”概念取代了“內部控制制度”，三個要素組成：(1)控制環(huán)境(ControlEnvironment)(2)會計制度(AccountingSystem)(3)控制程序(ControlProcedure)內部控制整體框架[20世紀90年代初以來]美國注冊會計師協(xié)會(AICPA)美國會計學會(AAA)財務執(zhí)行官協(xié)會(FEl)國際內部審計師協(xié)會(IIA)管理會計師協(xié)會(MM)組成的COSO委員會提出的COSO報告，1992年9月1994年進行了增補提出了內部控制構成(InternalControlomponents)的概念，即內部控制整體框架包含了五個相互聯(lián)系的要素：(1)控制環(huán)境(ControlEnvironment)(2)風險評估(RiskAppraisal)(3)控制活動(ControlActivity)(4)信息與溝通(InformationandCommunication)

(5)監(jiān)控(Monitoring)來自

中國最大的資料庫下載1.1內部控制的演變2階段劃分標志主要內容內部控制結構美1.1內部控制的演變3階段劃分標志主要內容風險管理框架【21世紀初】2003年7月15日，美國COSO委員會在廣泛吸收各國理論界和實務界研究成果的基礎上，公布了《企業(yè)風險管理框架》(EnterpriseRiskManagementFramework)討論稿，并將于2004年4月頒布正式稿。該討論稿在1992年COSO的內部控制框架報告的基礎上建立企業(yè)風險管理框架，將企業(yè)管理的重心由內部控制轉向以風險管理為中心。四大目標：戰(zhàn)略目標經營目標報告目標合法性目標八大要素：內部環(huán)境目標制定事項識別風險評估風險反應控制活動信息和溝通監(jiān)控1.1內部控制的演變3階段劃分標志主要內容風險管理框架四2企業(yè)內部控制——基于風險管理的定義企業(yè)風險管理是一個由企業(yè)的董事會、管理層和其他員工共同參與的，應用于企業(yè)戰(zhàn)略制定和企業(yè)內部各個層次和部門的，用于識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內管理風險的，為企業(yè)目標的實現(xiàn)提供合理保證的過程。

2企業(yè)內部控制——基于風險管理的定義企業(yè)風險管理是一個由企基于風險管理的內部控制內涵企業(yè)的風險管理是一個過程，其本身并不是一個結果，而是實現(xiàn)結果的一種方式。企業(yè)的風險管理并不是一個事項或環(huán)境，而是滲透于企業(yè)各項活動中一系列行動。這些行動普遍存在于管理者對企業(yè)的日常管理中，是企業(yè)日常管理所固有的。企業(yè)風險管理是一個由人參與的過程，它不只是企業(yè)的政策、調查和表格，還涉及一個企業(yè)各個層次員工。該過程可用于企業(yè)的戰(zhàn)略制定。一個企業(yè)確定其對未來的預期和任務，并制定企業(yè)的戰(zhàn)略目標。企業(yè)的戰(zhàn)略目標是企業(yè)最高層次的目標，它與企業(yè)的預期和任務相聯(lián)系并支持預期和任務的實現(xiàn)。一個企業(yè)為實現(xiàn)其戰(zhàn)略目標而制定戰(zhàn)略，并將戰(zhàn)略分解成相應的子目標，再將子目標層層分解到業(yè)務部門、行政部門和各生產過程。在制定戰(zhàn)略時，管理者應考慮與不同的戰(zhàn)略相關聯(lián)的風險基于風險管理的內部控制內涵企業(yè)的風險管理是一個過程，其本身并基于風險管理的內部控制內涵該風險管理過程應應用于企業(yè)內部每個層次和部門，企業(yè)管理者對企業(yè)所面臨的風險應有一個總體層面上的風險組合觀。為使企業(yè)的風險管理獲得成功，一個企業(yè)必須從全局、從總體層面上考慮企業(yè)的各項活動。企業(yè)的風險管理應考慮組織內所有層面的活動，從企業(yè)總體的活動（如戰(zhàn)略計劃和資源分配）到業(yè)務部門的活動（如市場部、人力資源部），再到業(yè)務流程（如生產過程和新客戶信用復核）該過程是用來識別可能對企業(yè)造成潛在影響的事項并在企業(yè)風險偏好的范圍內管理風險。

來自

中國最大的資料庫下載基于風險管理的內部控制內涵該風險管理過程應應用于企業(yè)內部每個基于風險管理的內部控制內涵設計合理、運行有效的風險管理能夠向企業(yè)的管理者和董事會在企業(yè)各目標的實現(xiàn)上提供合理的保證。不確定性和風險是與未來相關，但是沒有人可以確切地預測未來。因此，即使建立風險管理框架，也只能提供合理保證。其原因在于人們在進行決策時的判斷可能出錯，對風險反應的決策和建立的控制需要考慮相關的成本和效益，由于人們簡單的失誤和錯誤可能出現(xiàn)企業(yè)的破產，可能由于兩個或多個人的串通而繞過控制，管理者有能力忽視企業(yè)的風險管理決策等因素。這些限制使得董事會和管理者無法得到企業(yè)目標實現(xiàn)的絕對保證。企業(yè)風險管理框架針對一類或幾類相互獨立但又存在重疊的目標，目的在于企業(yè)目標的實現(xiàn)。有效的風險管理可以為企業(yè)財務報告和合法性目標的實現(xiàn)提供合理的保證。這些目標的實現(xiàn)一般在企業(yè)的控制范圍內，其實現(xiàn)依賴于相關活動執(zhí)行的好壞。但是，戰(zhàn)略性目標和經營性目標并不一定在企業(yè)的控制范圍內。對于戰(zhàn)略目標和經營目標，企業(yè)風險管理只能合理保證管理者和董事會及時了解企業(yè)目標實現(xiàn)的進度?；陲L險管理的內部控制內涵設計合理、運行有效的風險管理能夠向2-1內部環(huán)境企業(yè)的內部環(huán)境是其他所有風險管理要素的基礎，為其他要素提供規(guī)則和結構。企業(yè)的內部環(huán)境不僅影響企業(yè)戰(zhàn)略和目標的制定、業(yè)務活動的組織和對風險的識別、評估和反應。它還影響企業(yè)控制活動、信息和溝通系統(tǒng)以及監(jiān)控活動的設計和執(zhí)行。誠信的原則和道德價值觀評定員工的能力董事會及其所屬委員會、監(jiān)事會管理哲學和經營風格組織結構權限和職責的分配方式人力資源政策及實務2-1內部環(huán)境企業(yè)的內部環(huán)境是其他所有風險管理要素的基礎，2-1內控環(huán)境1——誠信的原則和道德價值觀誠信的原則和道德價值觀在現(xiàn)代所有權和經營權相分離的產權格局之下，企業(yè)（股東）目標、管理者目標和以及生產者的目標不盡相同以及信息不對稱條件限制，企業(yè)高層管理者和員工都會存在“不道德”和逆向選擇的風險另外；在企業(yè)運營過程種，經常由于受到某種壓力或誘惑導致舞弊和貪污等，輕者帶來企業(yè)效率低下、聲譽受損，重者給企業(yè)帶來損失和埋下隱患。企業(yè)應加強職業(yè)道德、誠信道德的教育和氛圍培育，同時采取必要的措施減少錯弊發(fā)生的機會和可能。加強企業(yè)的內部審核制度和發(fā)揮董事會的職能，使其客觀監(jiān)督企業(yè)的高層管理階層，使所有雇員形成正確而持續(xù)的道德觀和價值觀，在一般和特定環(huán)境下能夠保持正確的判斷。2-1內控環(huán)境1——誠信的原則和道德價值觀誠信的原則和道德價2-1內控環(huán)境2——評定員工的能力評定員工的能力員工的能力是目標實現(xiàn)的基礎。如何評定并發(fā)掘、提高員工能力也是企業(yè)發(fā)展的重要方面。管理部門須制定正式或非正式的職務說明書，逐項分析并規(guī)定各工作崗位所須具備的知識和技能。2-1內控環(huán)境2——評定員工的能力評定員工的能力2-1內控環(huán)境3——董事會及其所屬委員會、監(jiān)事會董事會及其所屬委員會、監(jiān)事會企業(yè)戰(zhàn)略制定和重大經營決策必須有專業(yè)和勤勉盡責的專業(yè)人事參與和把握。企業(yè)運營體現(xiàn)在董事會及其所屬委員會的職能和組成。董事會及其所屬委員會、監(jiān)事會需要關注成員的經驗、相對于管理層的獨立性、外部董事的比例、其成員參與管理的程度；所采取措施的適宜性；對管理層提出問題的深度和廣度、他們與內部、外部審計人員的關系實質等。2-1內控環(huán)境3——董事會及其所屬委員會、監(jiān)事會董事會及其所2-1內控環(huán)境4——管理哲學和經營風格管理哲學和經營風格：企業(yè)全體員工特別是高級管理人員經營理念和對企業(yè)風險的認知、偏好，都將給企業(yè)的運營打下烙印。包括：對待和承擔經營風險的方式；依靠文件化的政策和業(yè)績指標以及報告體系等與關鍵經理人員溝通；對財務報告的態(tài)度和所采取的措施；對信息處理以及會計功能所持的態(tài)度；對現(xiàn)有可選擇的會計準則和會計數(shù)值估計所持有的謹慎或冒進態(tài)度等。2-1內控環(huán)境4——管理哲學和經營風格管理哲學和經營風格：企2-1內控環(huán)境5——組織結構組織結構：企業(yè)的組織結構為公司活動提供計劃、執(zhí)行，控制和監(jiān)督職能的整體框架。組織結構的合適性及其提供管理企業(yè)所需信息的溝通能力；各主管人員所負責任的適當性；按照主管人員所擔負的責任判斷其是否具備足夠的知識及豐富的經驗；當環(huán)境改變時企業(yè)配合改變其組織結構的程度；員工（尤其是負責管理及監(jiān)督職能的員工）人數(shù)的充足程度等。

2-1內控環(huán)境5——組織結構組織結構：企業(yè)的組織結構為公司活2-1內控環(huán)境6——責任的分配與授權責任的分配與授權以科學而嚴密的責權體系進行業(yè)務的分工和配合，可以高效運用企業(yè)資源、確保達到目標。為業(yè)務過程中關鍵崗位的人員，提供和配備所需的資源并確保他們的經驗和知識與職責權限相匹配，職責擔負形式和認可方式，與達成組織目標的聯(lián)系。2-1內控環(huán)境6——責任的分配與授權責任的分配與授權2-1內控環(huán)境7——人力資源政策及實務人力資源政策及實務

企業(yè)所有業(yè)務（包括內控）的進行都需要人來執(zhí)行，人的素質、世界觀、道德觀、積極性都會影響業(yè)務目標是實現(xiàn)。企業(yè)必須有有完善的招聘與選拔方針及操作性程序；對新員工進行企業(yè)文化和道德價值觀的導向培訓；對違反行為準則的任何事項，制訂紀律約束與處罰措施；對業(yè)績良好的員工，制訂具有獎勵和激勵作用的報酬計劃，并避免誘發(fā)不道德行為；根據階段性的業(yè)績評估結果，對員工予以晉升、指導以及獎罰

2-1內控環(huán)境7——人力資源政策及實務人力資源政策及實務2-2目標制定根據企業(yè)確定的任務或預期，管理者制定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略并確定其他與之相關的目標并在企業(yè)內層層分解和落實。其中，其他相關目標是指除戰(zhàn)略目標之外的其他三個目標，其制定應與企業(yè)的戰(zhàn)略相聯(lián)系。管理者必須首先確定企業(yè)的目標，才能夠確定對目標的實現(xiàn)有潛在影響的事項。而企業(yè)風險管理就是提供給企業(yè)管理者一個適當?shù)倪^程，既能夠幫助制定企業(yè)的目標，又能夠將目標與企業(yè)的任務或預期聯(lián)系在一起，并且保證制定的目標與企業(yè)的風險偏好相一致。戰(zhàn)略目標是企業(yè)的高層次目標，與企業(yè)的任務和預期相聯(lián)系并支持企業(yè)的任務和預期。經營目標是指企業(yè)經營的有效性和效率，包括業(yè)績目標和盈利性目標，根據管理者對企業(yè)結構和經營選擇的不同而變化。報告目標指企業(yè)報告的有效性，包括內部和外部報告，既涉及財務信息，也涉及非財務信息。合法性目標是指企業(yè)是否符合相關的法律和法規(guī)。2-2目標制定根據企業(yè)確定的任務或預期，管理者制定企業(yè)的戰(zhàn)2-3事項識別不確定性的存在，即管理者不能確切地知道某一事項是否會發(fā)生、何時發(fā)生或者事項的結果，使得企業(yè)的管理者需要對這些事項進行識別。而潛在事項對企業(yè)可能有正面的影響、負面的影響或者兩者同時存在。有負面影響的事項是企業(yè)的風險，要求企業(yè)的管理者對其進行評估和反應風險是指某一對企業(yè)目標的實現(xiàn)可能造成負面影響的事項發(fā)生的可能性。對企業(yè)有正面影響的事項，或者是企業(yè)的機遇，或者是可以抵消風險對企業(yè)的負面影響的事項。機遇可以在企業(yè)戰(zhàn)略或目標制定的過程中加以考慮，以確定有關行動抓住機遇?？赡軡撛诘氐窒L險的負面影響的事項則應在風險的評估和反應階段予以考慮。2-3事項識別不確定性的存在，即管理者不能確切地知道某一事2-4風險評估風險評估可以使管理者了解潛在事項如何影響企業(yè)目標的實現(xiàn)。管理者應從兩個方面對風險進行評估——風險發(fā)生的可能性和影響。風險發(fā)生的可能性是指某一特定事項發(fā)生的可能性，影響則是指事項的發(fā)生將會帶來的影響。對于風險的評估應從企業(yè)戰(zhàn)略和目標的角度進行。首先，應對企業(yè)的固有風險進行評估。固有風險是指企業(yè)沒有采用任何管理措施可能使企業(yè)面臨的風險。確定對固有風險的風險反應模式就能夠確定對固有風險的管理措施。其次，管理者應在對固有風險采取有關管理措施的基礎上，對企業(yè)的殘存風險進行評估。殘存風險是指管理者采取有關的管理措施后仍舊存在的風險。2-4風險評估風險評估可以使管理者了解潛在事項如何影響企業(yè)2-5風險反應風險反應可以分為規(guī)避風險、減少風險、共擔風險和接受風險四類。規(guī)避風險是指采取措施退出會給企業(yè)帶來風險的活動。減少風險是指減少風險發(fā)生的可能性、減少風險的影響或兩者同時減少。共擔風險是指通過轉嫁風險或與他人共擔風險，降低風險發(fā)生的可能性或降低風險對企業(yè)的影響。接受風險則是不采取任何行動而接受可能發(fā)生的風險及其影響。對于每一個重要的風險，企業(yè)都應考慮所有的風險反應方案，為風險反應方案的選擇提供廣泛的空間，這也是對現(xiàn)狀提出挑戰(zhàn)。有效的風險管理要求管理者選擇可以使企業(yè)風險發(fā)生的可能性和影響都落在風險容忍度之內的風險反應方案。選定某一風險反應方案后，管理者應在殘存風險的基礎上重新評估風險，即從企業(yè)總體的角度、或者組合風險的角度重新計量風險。各行政部門、職能部門或者業(yè)務部門的管理者應采取一定的措施對該部門的風險進行復合式評估并選擇相應的風險反應方案。這種組合風險觀是相對于部門的目標和風險容忍度而言的。應用于各獨立部門風險組合觀，也可以被大多數(shù)高層管理者所采用，以決定企業(yè)總體的風險組合與相對企業(yè)目標而言的企業(yè)總體的風險偏好是否相等。2-5風險反應風險反應可以分為規(guī)避風險、減少風險、共擔風險2-6控制活動控制活動是幫助保證風險反應方案得到正確執(zhí)行的相關政策和程序?？刂苹顒哟嬖谟谄髽I(yè)的各部分、各個層面和各個部門?？刂苹顒邮瞧髽I(yè)為實現(xiàn)其商業(yè)目標而執(zhí)行的過程的一部分。通常包括兩個要素：確定應該做什么的一個政策和影響該政策的一系列程序。每個主體都有其自己的一套目標和執(zhí)行目標的方法，因此，其子目標、結構和相關的控制活動也會不同。即使兩個企業(yè)有同樣的目標和結構，由于每個企業(yè)的管理人員都不同，不同的管理人員在影響內部控制時使用不同的個人判斷，他們的控制活動也很可能不同?？刂苹顒舆€會受企業(yè)所處的環(huán)境和行業(yè)、企業(yè)的復雜性、企業(yè)的歷史和文化的影響。

2-6控制活動控制活動是幫助保證風險反應方案得到正確執(zhí)行的控制活動——1高層經理人員對企業(yè)績效進行分析高層經理人員對企業(yè)績效進行分析管理階層記錄經營活動(如：市場的擴展、生產過程改良、成本的控制)的結果，然后再與預算、預測、前期及競爭者的績效相比較，以衡量目標達成的程度和監(jiān)督計劃(如：新產品開發(fā)、合資經營、融資行為)的執(zhí)訂情況?？刂苹顒印?高層經理人員對企業(yè)績效進行分析高層經理人員對企控制活動——2直接部門管理直接部門管理負責某一部門的經理人員復核自己所負責部門的業(yè)績報告，檢查本部門各業(yè)務活動的情況，以便辨認趨勢?？刂苹顒印?直接部門管理直接部門管理控制活動——3對信息處理的控制對信息處理的控制第一類是一般控制（generalcontrol），它幫助管理階層確保系統(tǒng)能持續(xù)、適當?shù)倪\轉；(一般控制包括：對資料中心運作的控制；對系統(tǒng)軟件的控制；存取安全的控制；對應用系統(tǒng)的發(fā)展及維護的控制）第二類是應用控制(applicationcontrol)，它包括應用軟件中的電算化步驟及相關的人工程序。(應用控制包括：輸入控制；輸出控制)控制活動——3對信息處理的控制對信息處理的控制控制活動——4實物控制實物控制保護設備、存貨、證券、現(xiàn)金和其它資產的實體安全，定期盤點并與控制記錄所顯示的金額相比較?？刂苹顒印?實物控制實物控制控制活動——5績效指標的比較績效指標的比較把不同的幾套數(shù)據資料(如：經營數(shù)據與財務數(shù)據)相互比較，分析它們之間的關系，然后再進行調查與糾正。以存貨為例，其績效指標包括：購貨價差、訂單中"緊急訂貨"比例、總訂單中退貨的比例。管理階層需要調查超出計劃的結果或者不正常的趨勢，辨認采購作業(yè)的目標無法達成的原因。控制活動——5績效指標的比較績效指標的比較控制活動——6分工分工分工即指將責任劃分，再將不相容職務分派給不同的員工，以降低錯誤或不當行為的風險?？刂苹顒印?分工分工不相容職務分離會計記錄財產保管業(yè)務經辦審核監(jiān)督授權批準不相容職務分離會計記錄財產保管業(yè)務經辦審核監(jiān)督授權批準2-7信息和溝通來自于企業(yè)內部和外部的相關信息必須以一定的格式和時間間隔進行確認、捕捉和傳遞，以保證企業(yè)的員工能夠執(zhí)行各自的職責。有效的溝通也是廣義上的溝通，包括企業(yè)內自上而下、自下而上以及橫向的溝通有效的溝通還包括將相關的信息與企業(yè)外部相關方的有效溝通和交換，如客戶、供應商、行政管理部門和股東等。2-7信息和溝通來自于企業(yè)內部和外部的相關信息必須以一定的2-7-1信息系統(tǒng)建立良好的信息系統(tǒng)支持策略；信息系統(tǒng)與企業(yè)營運應有效的結合；選擇更新信息系統(tǒng)的最佳時間；有很好的信息品質。良好信息系統(tǒng)標志市場銷售人力資源資產生產物流客戶服務研發(fā)財務管理2-7-1信息系統(tǒng)建立良好的信息系統(tǒng)支持策略；良好信息系統(tǒng)標2-7-2溝通－內部溝通負有重要營業(yè)責任或財務管理責任的員工，除了得到用以管理其負責活動的重要資料以外，還應當?shù)玫絹碜宰罡吖芾韺?/p>

需謹慎承擔內部控制責任的清楚信息；必須讓每個人清楚的知道個人所擔負的特定任務，了解內部控制制度的各項規(guī)定、它們如何生效，以及他(她)在控制系統(tǒng)中所扮演的角色及所承擔的責任；員工在其執(zhí)行任務時，一旦有非預期的事項發(fā)生，除了要注意該事項本身之外，還應當注意導致該事項發(fā)生的原因，如此才有辦法辨認潛在缺失，采取行動，并預防再度發(fā)生；員工必須知道他(她)所負責的活動是怎樣與他人的工作發(fā)生關聯(lián)的；員工必須擁有在組織中向上溝通重要信息的方法。2-7-2溝通－內部溝