第一部分 风险管理与内部控制基本概念(pdf 54)(1)

华润雪花啤酒（中国）有限公司－华润雪花啤酒（中国）有限公司－内审及相关人员风险管理与内部控制培训内审及相关人员风险管理与内部控制培训二○○五年五月来自培训内容培训内容第一部分第一部分风险管理与内部控制基本概念风险管理与内部控制基本概念第二部分第二部分企业风险管理框架（企业风险管理框架（COSOERMCOSOERM））第三部分第三部分目标、风险和内部控制目标、风险和内部控制第四部分第四部分内部控制自我评价（内部控制自我评价（CSACSA））第五部分第五部分CCSASA研讨会（研讨会（workshopworkshop））来自什么是风险？来自风险‹小区遛狗如果狗不带狗圈的话，可能会出现什么样的后果？来自风险定义不确定性损失或损害的可能性，即，一个事件产生我们所不希望的后果的可能性。对于企业而言，风险是某一事件或行为对企业经济利益可能的威胁。威机来自风险的特点•风险长期存在•不总能被消除•必须与机会同时权衡来自风险的后果‹企业风险的后果主要有：－竞争失败－经营中断－法律诉讼－商业欺诈－无益开支－资产损失－决策失误来自“不干预”的监控模式香港百富勤1999风险管理机制缺位中航油2004风险管理机制未发挥作用WorldCom2002董事会及审计委员会缺位Beech-NutFoods80s’质量控制的合规性Barings1995未得许可的交易风险Daiwa1995债券投机案Texaco1997种族歧视中行、建行、农行2005糟糕的风险识别、控制能力Denny’s1997歧视Firestone2000产品质量不幸的转轮风险的后果（续）举例来自：巴林银行的倒闭千里之堤，毁于蚁穴原因是什么?来自：巴林银行的倒闭（续）巴林银行倒闭的原因™银行对有利益冲突的角色没有实行权责分离（交易和清算）™银行的人员；账目；资金管理没有监督约束机制缺乏应有的、基本的内部控制机制,而是依赖于对人的信任与自觉教训来自：安然公司的崩溃™美国第七大公司™市值500亿美元™世界公认最具创新能力的公司™不到一年时间，股票下跌95%™2001年12月宣布破产，美国历史上最大的破产案来自：安然公司的崩溃（续）安然为何突然破产™贪婪欺诈的经营行为“鼓励大家藐视各种规章制度”™无法验证的财务报表“揭开皇帝的新衣”——谁也无法解释收入从何而来“不干预(hands-off)监管模式”——董事会、内审委员会的无为而治™安达信的双重身份“一只手作账，另一只手证明这只手作的账”“利益冲突”把安然送进坟墓控制环境是各种风险管理和内控手段的基础董事会、内审委员会等的参与深度对控制环境有着重要的影响不相容职责分离不仅仅是针对一个岗位而言，对于一个公司来说，不相容业务也应予以分离教训来自：“中航油”的警示¾2001年12月于新交所挂牌上市¾因成功进行海外收购被誉为“买来石油帝国”的企业¾被评为2004年新加坡最具透明度的上市公司¾石油期权投机活动造成的损失达5.5亿美元¾目前，正在为重组还是清盘而苦苦挣扎来自：“中航油”的警示（续）¾内控额度管理上的缺失：未及时报告及处理超过特定损失额度的交易¾相应风险控制机制未及时启动¾监控机制形同虚设，从开始介入该业务到事发，历时一年多而其母公司一直未能发现风险管理的过程中，人是关键的因素，“人约束制度，还是制度约束人”的问题应首先解决。中航油巨亏的根源教训来自如何使风险最小化？风险最小化Â加强系统的内部控制Ã对可能的损失投保Ã当可能的风险较大时，选择放弃项目使风险最小化就要对风险进行识别、分析并在风险发生影响之前采取防范措施使风险的发生的可能性和影响力减少到最小。简而言之就是对风险进行“管理”。来自什么是内部控制？来自内部控制的定义被定义为一个过程，这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证：•营运的效果和效率•财务报表的可靠性•相关法令的遵循内部控制的定义（续）巴塞尔银行监管委员会－强调董事会和高级管理层对内控的影响，组织中的所有各级人员都必须参加内控过程，对内控产生影响。巴塞尔委员会把内控的三大目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动，而且包括其他各种活动；在信息性目标中还把管理信息包括了进来，明确要求实现财务和管理信息的可靠性、完整性和及时性。来自内部控制的定义（续）‹中国内部审计协会“内部审计具体准则第5号——内部控制审计”－内部控制是指组织内部为实现经营目标，保护资产安全完整，保证遵循国家法律法规，提高组织运营的效率及效果，而采取的各种政策和程序。‹中国注册会计师协会“独立审计具体准则第9号——内部控制与审风险”－内部控制是指被审计单位为了保证业务活动的有效进行，保证资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制包括控制环境、会计系统和控制程序。来自内部控制的定义（续）‹对几种内控定义的认识－内部控制是一个组织所设计并实施的程序(包括必要的制度和措施)，旨在为实现该组织的某种目标而提供合理保障。－内部控制将从三个方面提供合理保障，并有助于组织某种目标的实现：9经营过程有效率/效益地进行，并预防资源的损失9财务数据、报告等管理信息的可靠性9相关法律法规得以遵循来自内部控制的定义（续）‹必须明确——内控是一种程序，它意味着向某一终点努力，但不是终点本身——内控是用来支持实现一种或多种互相区分而又紧密联系的目标的手段——内控受人的影响，而不只是政策、守则或表格——只能期待内控为公司管理层提供合理的保证，而非绝对的保证来自内部控制的种类预防性控制（PreventiveControls）预防性控制（PreventiveControls）检查性控制（DetectiveControls）检查性控制（DetectiveControls）指导性控制（DirectiveControls）指导性控制（DirectiveControls）纠正性控制（CorrectiveControls）纠正性控制（CorrectiveControls）计算机控制（ComputerControls）计算机控制（ComputerControls）按照其功能划分内部控制可分为来自内部控制的种类（续）z预防性控制（Preventivecontrols）－是为了防止错误和舞弊的发生而采取的控制。z检查性控制（detectivecontrols）－是为了发现已出现的不利事项而进行的控制，它可以为管理层提供有关预防性控制有效性的反馈信息。z指导性控制（directivecontrols）－是为了确保实现有利结果而采取的控制。各种政策、指南和手册等都属于指导型控制。来自内部控制的种类（续）z纠正性控制（correctivecontrols）－是为了纠正已发生的不利事项而采取的控制措施。z计算机控制（computercontrols）包括一般控制和应用控制:一般控制包括数据中心操作控制、系统软件控制、存取安全控制和应用系统开发和维护控制；应用控制旨在对应用处理进行控制。许多应用控制依赖于计算机化的编辑校验，这些校验包括数据的格式、存在性及合理性等，恰当设计的校验有助于确保交易处理的完整性、准确性以及授权和有效性。来自内部控制的种类（续）上述控制种类在企业实际运作中，往往是综合在一起体现的。比如说：计算机的系统预防控制、计算机的系统检查控制等等，该等综合控制往往较单纯的人为预防/检查控制更为可信与可取。详细关系见下图：系统检查控制可取的可信的人工检查控制系统预防控制人工预防控制可取的可信的来自内部控制的责任与分工对于企业这样一个实体而言，内部控制所面对的有三种人，包括：董事会管理层员工来自内部控制的责任与分工（续）‹董事会－监督者¾制定合适的政策¾进行周期性的审查以确保系统的有效运作¾确保内部控制体系在管理风险方面的运作良好，包括：－识别企业所面对的风险的性质与范围－分辩出企业所能够承受的风险的类别与程度－判断出被认为是重大风险发生的可能性－确认企业减少重大风险对经营影响的能力¾合理测算出管理风险的成本与收益来自内部控制的责任与分工（续）‹管理层－推动者¾识别与评估企业所面临的风险¾由此相应地制定一套适合的控制体系，并予以实施和监控‹员工－执行者¾应有必要的知识、技能、信息以及授权去建立、操作、以及监督内部控制体系¾应该理解企业及其目标，理解企业所处的行业与市场，以及企业在其中所面临的风险来自对内部控制认识的常见误区¾内部控制可保证企业成功并使其财务报告绝对可靠合法¾内部控制可以防止企业决策的失误¾内部控制可以阻止两个或两个以上的人相互勾结来逾越控制系统¾建立了内部控制就等于实施了科学管理，等等来自什么是风险管理？来自风险管理的定义全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。风险管理的定义（续）中国内部审计协会“内部审计具体准则第16号——内部控制中的风险管理（征求意见稿）”风险管理，是对影响组织目标实现的各种不确定性事件进行识别与评估，并采取应对措施将其控制在可接受范围内的过程。风险管理旨在为组织目标的实现提供合理保证。来自风险管理的基础－通用的风险语言1、概念所谓通用的风险语言，即通过对某一风险概念、表达方式等等的界定以消除相关参与方可能存在的风险方面的交流障碍。来自风险管理的基础－通用的风险语言（续）2、通用风险语言的意义•使用通用的风险语言使两个来自公司不同部门使用不同术语的人之间的交流成为了可能，在相互促进学习的过程中，更能从整体范围的角度一致性对待风险；•这种通用的语言和一个有效的流程结合起来，将持续地促进公司管理