COSO报告-内部控制与企业风险管理

COSO报告与企业风险管理主讲：王咏梅单位：上海国家会计学院教研部E－mail：wangym@snai.edu2006-4-26上海国家会计学院版权所有2个人简历1993－2001：上海财经大学会计学院讲师2001－至今：上海国家会计学院教研部1999：加拿大注册会计师执业资格2004－至今：加拿大注册会计师协会上海分会主席2006-4-26上海国家会计学院版权所有3内容简介COSO报告的发展从内部控制向企业风险管理转变的根源企业风险管理整体框架2006-4-26上海国家会计学院版权所有4COSO报告的发展发展背景发展进程有关规定2006-4-26上海国家会计学院版权所有5COSO报告的发展背景商业丑闻的影响管理层对风险看法的转变投资者的要求2006-4-26上海国家会计学院版权所有6COSO报告的发展背景二十世纪九十年代以来愈演愈烈的商业丑闻，使得投资者和其他利益相关者遭受了巨大的损失，人们在加强内部控制的同时，开始认识到全面风险管理的重要性，希望建立一个能有效地帮助管理策识别、评价和管理风险的思维框架。安然事件世通事件2006-4-26上海国家会计学院版权所有7COSO报告的发展背景低层次/经营层次。风险监控是内部审计人员的职能风险是一个需要控制的负面因素风险管理在企业各部分个别展开风险管理的责任被委派到低层次的人员风险的衡量是主观的无组织以及杂乱的风险管理职能是CEO的工作(也是董事会的监管职责)风险是威胁也是机会在整个企业范围内进行一体化的风险管理风险管理的责任由高级管理人员和部门管理人员承担风险数量化风险管理被纳入所有的企业管理系统管理层对风险看法的转变从以往的操作角度过渡到董事会关注2006-4-26上海国家会计学院版权所有8COSO报告的发展背景投资者的要求随着国际上市融资的增多,机构与个人投资者对全球股市重视程度的加强,投资者正在寻找拥有成熟监管体系的公司进行投资为了应付国际压力,各大公司都要对其公司监管的主要领域进行披露2006-4-26上海国家会计学院版权所有9COSO报告的发展进程1992年9月，COSO委员会发布《内部控制－整体框架》（InternalControl–IntegratedFramework）；1994年，COSO委员会发布《内部控制－整体框架》的修改报告；2001年年初，COSO委员会成立了一个由维吉尼亚大学教授组成的专家组，以确认是否需要就企业风险管理开发出一个指导性的框架。专家组经过调研，发现公司董事会和董事会下的审计委员会对于企业风险管理有强烈的需求。COSO委员会因此从其五个成员组织中召集人员成立了项目咨询委员会，并且请普华会计师事务所书写这一框架性的文件。2006-4-26上海国家会计学院版权所有102002年7月25日，美国通过了《SOX法案》（Sarbanes-OxleyAct）2003年7月，COSO公布研究报告讨论稿2004年9月，COSO正式发布研究报告“企业风险管理－整体框架（EnterpriseRiskManagement–IntegratedFramework）”COSO报告的发展进程COSO委员会的行动显示了内部控制向企业风险管理发展的趋势。2006-4-26上海国家会计学院版权所有11有关规定国际审计准则ISA美国审计准则SAS，SOX法案我国有关内部控制的规定1999年10月修订的《中华人民共和国会计法》（第四章第27条）财政部制定的一系列《内部会计控制规范》：2001年7月，《内部会计控制规范—基本规范（试行）》和《内部会计控制规范—货币资金（试行）》2002年12月，《内部会计控制规范——采购与付款（试行）》和《内部会计控制规范——销售与收款（试行）》2003年10月，《内部会计控制规范——工程项目（试行）》2004年8月，《内部会计控制规范——担保（试行）》和《内部会计控制规范——对外投资（试行）》2003年7月，《内部会计控制规范——成本费用（征求意见稿）》2003年11月，《内部会计控制规范——预算（征求意见稿）》2001年1月，中国证监会公布《证券公司内部控制指引》2002年9月7日，中国人民银行公布《商业银行内部控制指引》中国人民银行《加强金融机构内部控制的指导原则》2005年4月，上海证券交易所上市公司内部控制制度指引（征求意见稿）2006-4-26上海国家会计学院版权所有12控制环境风险评估控制活动监控作业活动1作业活动2循遵营经告报信息与沟通内部环境目标设定事件识别风险评估风险应对控制活动信息与沟通监控子公司业务单位分支机构企业整体层次COSO1COSO2-ERM从内部控制向企业风险管理转变的根源2006-4-26上海国家会计学院版权所有13从内部控制向企业风险管理转变的根源企业风险管理的定义“企业风险管理是由企业的董事会、管理层和其他人员实施的，运用于战略制定，并贯穿整个企业的一个过程。这个过程的设计是为了及时识别可能影响企业的潜在事件，将风险控制在风险偏好范围内，为实现企业目标提供合理的保证。”2006-4-26上海国家会计学院版权所有14现代企业经营的基本原则：每一个企业（不管是盈利性企业还是非盈利性企业）存在的目的都是为其利益相关者实现价值、创造价值。对顾客的体现－带来消费者剩余对债权人的体现－有足够的利润还本付息对供应商－有足够的信用支付货款股东－获得满意的投资回报从内部控制向企业风险管理转变的根源2006-4-26上海国家会计学院版权所有15现代企业的经营特征全球环境竞争者资本提供者内部环境当地法律环境设备供应商顾客监管者存货供应商人力供应战略伙伴战略管理从内部控制向企业风险管理转变的根源2006-4-26上海国家会计学院版权所有16从内部控制向企业风险管理转变的根源现代企业的经营模式与控制：所有经营活动的管理决策都会创造、保护或者破坏价值，包括战略制定到企业日常运营的各种经营活动企业战略管理对内外部重要战略风险的反应理论上由公司经理层（CEO）提出建议，股东大会或董事会批准，董事会负责监督经理层战略的执行监督的方法：关键成功要素、关键业绩指标企业经营环节关键经营环节就是对企业战略风险的反应高层管理人员对经营环节的监控2006-4-26上海国家会计学院版权所有17企业的业绩监控：计量驱动业绩平衡计分卡财务方面目标计量公司怎么看待股东顾客怎么看公司顾客方面目标计量创新和学习方面目标计量内部经营方面目标计量如何继续提高和创造价值必需在哪方面胜出从内部控制向企业风险管理转变的根源2006-4-26上海国家会计学院版权所有18ERM支持价值的创造，可以帮助管理层：有效地处理带来不确定性的未来潜在事件。正确地应对事件，减少发生负面结果的可能性，增加正面的影响。COSO的ERM框架为企业风险管理定义了几个基本要素，提出了通用用语，并且提供了清晰的方向和指引。从内部控制向企业风险管理转变的根源2006-4-26上海国家会计学院版权所有19企业风险管理整体框架四个目标：战略经营报告遵循内部环境目标设定事件识别风险评估风险应对控制活动信息与沟通监控子公司业务单位分支机构企业整体层次2006-4-26上海国家会计学院版权所有20企业风险管理整体框架ERM考虑了组织中所有层次上的活动：企业整体层次分支机构或者子公司业务单元环节内部环境目标设定事件识别风险评估风险应对控制活动信息与沟通监控子公司业务单位分支机构企业整体层次2006-4-26上海国家会计学院版权所有21企业风险管理整体框架八个基本要素1.内部环境2.目标制定3.事件识别4.风险评估5.风险应对6.控制活动7.信息和沟通8.监控内部环境目标设定事件识别风险评估风险应对控制活动信息与沟通监控子公司业务单位分支机构企业整体层次2006-4-26上海国家会计学院版权所有22企业风险管理整体框架内部环境风险管理哲学-风险文化-董事会-诚信与道德-能力承诺-管理层哲学与经营风格-组织结构-责权划分-人力资源政策与实务-环境差异信息与沟通信息-战略与综合的系统-沟通风险评估固有风险、剩余风险-可能性和影响-定性与定量,工作方法、技巧-相关性风险应对确认风险应对-评价可能风险应对-选择应对-组合视角控制活动与风险应对相结合-控制行动类型-一般控制-应用控制-个体特征监控持续-个别评估-报告缺陷事件识别事件-影响战略与目标之因素-工作方法和技巧-相互依存事件-事件分类-风险与机遇目标设定战略目标-相关目标-选定目标-风险偏好-风险容忍度2006-4-26上海国家会计学院版权所有23ERM－1.内部环境建立风险管理理念。应认识到未预期事件与预期事件一样可能发生。建立企业的风险文化。考虑所有的其他组织行为如何影响风险文化。2006-4-26上海国家会计学院版权所有24ERM－2.目标设定在设定目标时，管理层应该考虑风险战略。形成企业的风险偏好（riskappetite）从高层次的视角来确定管理层和董事会乐意接受多大风险。风险容忍度（risktolerance），是指目标变化程度的可接受水平，是与风险偏好相联系的。2006-4-26上海国家会计学院版权所有25ERM－3.事件识别区分风险和机会。带来负面影响的事件代表风险。带来正面影响的事件代表自动抵消（机会），管理层应该在战略制定中重新考虑这些事件的存在。考虑发生在内部的或发生在外部的可能影响战略和目标实现的事件。指出内部资源与外部资源应如何结合起来，相互作用来影响风险的组合。2006-4-26上海国家会计学院版权所有26ERM－4.风险评估使得企业了解潜在事件影响目标的程度。从两个角度评估风险风险发生的可能性风险发生的影响力不仅可以用来评估风险，还可以用来衡量相关目标。结合运用定性的和定量的风险评估方法。将时间纬度与目标纬度联系起来。既要评估固有风险，还要评估剩余风险。2006-4-26上海国家会计学院版权所有27ERM－5.风险应对识别并评价潜在的风险应对方案。根据企业的风险偏好、潜在风险应对方案的成本效益以及应对方案能够降低风险影响力和（或）可能性的程度来评估各种方案。在评估风险组合和应对方案的基础上，选择并实施应对方案。2006-4-26上海国家会计学院版权所有28ERM－6.控制活动控制活动是保证风险应对方案以及其他企业指令得到执行的相关政策和程序。控制活动是对风险应对的支持。控制活动存在于整个企业，包括各个层面和各个职能部门。控制活动包括操作控制和一般的信息技术控制。2006-4-26上海国家会计学院版权所有29ERM－7.信息与沟通管理层必须以一定的格式和时间间隔识别、捕捉和传递有关信息，以保证企业的员工能够执行各自的职责。沟通的意义广泛，包括企业内自上而下、自下而上以及横向的沟通。2006-4-26上海国家会计学院版权所有30ERM－7.信息与沟通内部和外部的相关信息以一定形式和时间间隔确认、收集和传递信息深入整个ERM系统质量、深度和及时性的考虑内部与外部、自上而下、自下而上以及横向的沟通沟通的有效性常规的渠道，备选的（非常的）的渠道（例如：吹哨者whistleblower）。2006-4-26上海国家会计学院版权所有31ERM－8.监控通过以下三种方式对ERM的其他几个要素进行监控：持续的监控活动个别评估两者的结合2006-4-26上海国家会计学院版权所有32ERM与内部控制整体框架的关系一个有力的内部控制系统对有效的企业风险管理来说是至关重要的。扩展并详尽阐述了COSO“控制框架”中的内部控制要素。将目标设定作为一个单独的组成部分。目标是内部控制的“前提”。扩展了控制框架的“财务报告”和“风险评估”。2006-4-26上海国家会计学院版权所有33ERM的作用与职责管理层董事会风险官（CRO）内部审计人员2006-4-26上海国家会计学院版权所有34ERM中内部审计人员的作用内部审计人员在ERM监控过程中起到重要作用，但是并没有实施或维护ERM监控过程的主要职责。通过以下方式帮助管理层和董事会或审计委员会来履行其