第2章-内部控制与风险管理的框架

章第2内部控制与风险管理的框架学习目标1.理解内部控制整合框架2.掌握内部控制目标3.了解内部控制原则4.理解风险管理整合框架5.了解内部控制整合框架和风险管理整合框架的不同点6.了解内部控制整合框架和风险管理整合框架的修订与完善CONTENTS目录内部控制整合框架（1992年版）2.11.2风险管理整合框架（2004年版）2.23.3内部控制与风险管理整合框架的比较2.33.3COSO内部控制与风险管理的修订与完善2.42.1内部控制整合框架（1992年版）1992年9月美国COSO委员会发布的《内部控制——整合框架》，是目前国际上认同度最高和最具有权威性的内部控制概念框架。该框架提出了内部控制的概念、目标及其五要素。COSO是美国反虚假财务报告委员会下属的发起人委员会（TheCommitteeofSponsoringOrganizationsoftheTreadwayCommission）的英文缩写。2.1内部控制整合框架（1992年版）2.1.1内部控制的定义2.1.2内部控制的要素2.1.3内部控制整合框架的局限性2.1.1内部控制的定义《内部控制——整合框架》认为，内部控制是由企业的董事会、管理层和其他员工实施的，目的是为经营的效率和效果、财务报告的可靠性以及遵循适用的相关法律法规等目标提供合理保证的过程。2.1.1内部控制的定义定义的进一步的解释：第一，内部控制是一个过程。它是一个动态的过程，即从整体控制看，包括制度设计、制度执行和制度评价（对制度设计和执行情况的检查）等阶段；从业务控制看，一般应采取事前控制、事中控制和事后控制等措施。2.1.1内部控制的定义第二,人的因素。内部控制不仅仅是政策手册和图标，而且受到企业董事会、经理层和其他人员的影响。它是通过企业员工的言行才实现的。民生银行假理财案件启示:内控要防范基层员工道德风险银行的支行行长虽级别不高,但权力不小,支行更容易成为风控源头和风险事件的高发区。对于民生银行“假理财”案件,2017年4月20日,民生银行提出解决方案:最晚7月底以前兑付投资者的初始投资款(需扣除以前曾投资同类产品的所得利息)。4月27日,在2017年第一季度投资者交流会上,民生银行副行长石杰介绍,经民生银行工作组逐笔与客户登记核实,涉案金额约16.5亿元,涉及客户150余人。初步线索显示航天桥支行行长张颖非法募集资金用于个人支配,部分用于投资房产、文物、珠宝等。民生银行还表示,接下来将严格按照银监会要求,规范理财和代销业务,规范销售行为,不折不扣地全面排查,针对排查中发现的问题,列出清单,逐一整改。“这是一起内控失范的案例,从支行行长、副行长,到理财经理、柜员,一条线上的人员未能形成相互制衡,而是共同成为操作风险、道德风险的牺牲品。”一位从业近20年的私人银行业务人士对《21世纪经济报道》记者称。“最应该防范的是银行员工的道德风险,只要是人出了问题,再好的制度都有漏洞可以钻。一般的制度设计都是两三个人相互监督、相互制约,一旦人出了问题,经办的和审核的相互串通,一个支行长和一个业务员合谋就能干出很大的事。”2.1.1内部控制的定义第三，合理保证。1.内部控制，无论设计和执行多么理想，也只能就企业目标的实现向经理层和董事会提供合理的保证。2.“合理保证”意味着内部控制制度的设计和执行并不代表可以“包治百病”，也不意味着企业可以“万事无忧”。3.企业目标实现的可能性受到内部控制内在局限的影响，比如人员决策可能失误,建立内部控制时需考虑成本效益原则,人为错误和失误也会带来内部控制失效。4.内部控制会因两个或更多人的合谋串通而失效，而且经理层可能会越权操作。2.1.1内部控制的定义第四，目标。COSO的《内部控制——整合框架》确定了三类目标：1）经营目标——关于企业资源利用的效率、效果；2）财务报告目标——关于编制公开财务报表的可靠性；3）遵循性目标——关于法律和法规的遵循性。2.1.2内部控制的要素内部控制五要素图2.1.2内部控制的要素1.控制环境控制环境决定了企业的基调，其好坏直接影响企业员工的控制意识、企业内部控制的贯彻和执行以及企业经营目标及整体战略目标的实现。控制环境提供了内部控制的基本规则和构架，是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能；管理哲学和经营风格；权责分配方法、人事政策；董事会的经营重点和目标等。2.1.2内部控制的要素2.风险评估每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接，保持一致。风险评估指识别、分析相关风险以实现既定目标，从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化，企业需要确立一套机制来识别和应对由这些变化带来的风险。2.1.2内部控制的要素3.控制活动控制活动指那些有助于管理层决策顺利实施的政策和程序。企业应根据风险评估的结果，采用相应的控制措施，将风险控制在可承受范围之内。控制行为有助于确保实施必要的措施以管理风险，实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。2.1.2内部控制的要素4.信息与沟通企业应以一定的形式、在一定的时间范围内识别、获取和沟通相关信息，以使企业内部各层次员工能够顺利履行其职责。第一，公允的信息必须被确认、捕获并以一定形式及时传递，以便员工履行职责。第二，有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。2.1.2内部控制的要素5监控内部控制系统需要被监控，即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。持续性的监控行为发生在企业的日常经营过程中，包括企业的日常管理和监督行为、员工履行各自职责的行为。独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报，性质严重的应上报最高管理层和董事会。2.1.3内部控制整合框架的局限性内部控制的固有局限：1.决策人判断上的失误，由于简单差错或错误导致的失效。2.两个或更多的人联合欺诈或串通以绕过内部控制。3.管理层凌驾于内部控制之上而失效和外部不受控事件的影响。4.管理层凌驾于内部控制之上而失效和外部不受控事件的影响。由于上述的固有局限，使得董事会和管理层无法对组织目标的实现提供绝对保证，因而内部控制提供的是合理保证而非绝对保证。管理层在选取、推进和实施内部控制时，仍应当考虑并最大可能将这些内在的局限性最小化。2.2风险管理整合框架（2004版）2004年9月，COSO发布了《企业风险管理——整合框架》（简称ERM框架），新的框架是在1992年的《内部控制——整合框架》的基础上，结合《萨班斯——奥克斯利法案》在报告方面的要求，进行扩展研究得到的。普华永道的项目参与者认为，新报告中有60%的内容得益于COSO1992年报告所做的工作。2.2风险管理整合框架（2004版）但由于风险是一个比内部控制更为广泛的概念，因此，新框架中的许多讨论比1992年报告的讨论更为全面、更为深刻。此外，COSO在其风险管理框架讨论稿中也说明，风险管理框架建立在内部控制整合框架的基础上，内部控制则是企业风险管理必不可少的一部分。风险管理框架的范围比内部控制整合框架的范围更为广泛，是对内部控制整合框架的扩展，是一个主要针对风险的更为明确的概念。2.2COSO的风险管理整合框架2.2.1企业风险管理的定义2.2.2风险管理整合框架的目标2.2.3风险管理整合框架的要素2.2.4风险管理整合框架的评价2.2.5风险管理整合框架的局限性2.2.1企业风险管理的定义企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。2.2.1企业风险管理的定义该定义强调：1）企业风险管理是一个过程2）企业风险管理是一个由人参与的过程3）风险管理过程可应用于战略制订4）风险管理过程可应用贯穿于整个企业2.2.1企业风险管理的定义该定义强调：5）风险管理过程旨在识别一旦发生将会影响主体的潜在事项。6）设计合理、运行有效的风险管理能够向企业的管理当局和董事会在企业的各目标的实现上提供合理保证。7）企业风险管理框架针对一类或几类相互独立但又存在重叠的目标。2.2.2风险管理整合框架的目标COSO企业风险管理整合框架将主体的目标分成以下四类：1）战略目标2）经营目标3）报告目标4）合规目标2.2.3风险管理整合框架的要素企业风险管理包括八个相互关联的构成要素，它们源于管理当局经营企业的方式，并与管理过程融合在一起，这些构成要素是：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。根据COSO的风险管理整合框架，内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一整体；同时，对内部控要素的进一步细分和充实，使内部控制与风险管理日益融合，拓展了内部控制。2.2.3风险管理整合框架的要素企业风险管理整合框架图2.2.4风险管理整合框架的评价《企业风险管理——整合框架》再一次强调了系统的概念,即在实施企业整体风险管理过程中,主体中的每个人都对企业风险管理负有责任。COSO的《企业风险管理——整合框架》可以为不同的利益相关者提供有效的借鉴和指导。2.2.5风险管理整合框架的局限性不管设计和运行得多么好，有效的企业风险管理只能向管理当局和董事会提供有关主体目标实现的合理保证。目标的实现受到所有管理过程中固有局限的影响。•风险与未来有关,而未来本身就具有不确定性。•企业风险管理针对不同的目标在不同的层次上运行。•企业风险管理不能对任何一类目标提供绝对保证。2.3内部控制与风险管理整合框架的比较COSO内部控制被涵盖在企业风险管理框架之内，是其不可分割的一部分。企业风险管理比内部控制更广泛，引入风险管理，拓展和细化了内部控制，形成一个更全面、更强有力的关注风险的概念。2.3内部控制与风险管理整合框架的比较2.3.1引入风险组合观2.3.2增加了战略目标并扩大了报告目标的范畴2.3.3引入了两个新的概念：风险偏好和风险容忍度2.3内部控制与风险管理整合框架的比较2.3.4新增风险管理三素——目标设定、事项识别、风险应对2.3.5将“控制环境”改为“内部环境”2.3.6拓展了“信息与沟通”要素2.3.1引入风险组合观在《内部控制整合框架》的基础上，ERM框架引入了风险组合观，即在单独考虑如何实现企业各个目标的过程中，ERM框架更看重风险因素。不仅要单独考虑各个风险，更要从总体的、组合的角度去理解风险。对企业内部的每个单位而言，其风险可能落在该单位的风险可接受程度范围内，但从企业总体来看，总风险可能会超过企业总体的风险偏好范围。因此，企业风险管理要求以风险组合观看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。2.3.2增加了战略目标并扩大了报告目标的范畴在《内部控制——整合框架》将企业的目标分成三类，即经营目标、报告目标、合规性目标。ERM框架也包含这三个目标，其中经营目标、合规性目标与内部控制这个和框架中的定义相同，但对报告目标的界定有所不同。内部控制整合框架中的报告目标只包括公开披露的财务报告，而在ERM框架中，报告目标有很大的扩展，覆盖了企业所编制的所有报告，既包括对内报告，也包括对外的报告；既包括法定报告，也包括向其他利益相关者提供的非法定报告；既包括财务信息，也包括非财务信息。另外，ERM框架还增加了一个新的目标，即战略目标，它处于比其他目标更高的层次。2.3.3引入了两个新的概念——风险偏好和风险容忍度从广义上看，风险偏好是指企业在实现其目标的过程中所愿意接受的风险的数量，它在制定战略和选择相关目标时起到风向标的作用。从定性的角度，一般将风险偏好分为风险喜好、风险中性和风险厌恶三种类型。风险容忍度是指在企业目标实现的过程中所能接受