2019/9/2412.1内部控制—整合框架2.2企业风险管理—整合框架2.3萨班斯—奥克斯利法案对内部控制的要求2.内部控制框架的建立2019/9/242•通过本章学习,要求掌握内部控制的目标和要素,理解《内部控制—整合框架》和《企业风险管理—整合框架》中内部控制的重要概念,了解COSO委员会的概况和萨班斯法案对内部控制的要求。学习目标2019/9/2431992年9月,COSO委员会提出了报告《内部控制——整合框架》(P18,1994年进行了增补),该报告包括管理层总结、总体构架、外部团体报告、评估工具四个部分。2.1内部控制——整合框架(参阅教材P17-22)2019/9/2442.2.1定义2.2.1.1内部控制的定义•内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率;财务报告的可靠性;法律法规的遵循性(P19)。•Internalcontrolisaprocess,effectedbyanentity‘sboardofdirectors,managementandotherpersonnel,designedtoprovidereasonableassuranceregardingtheachievementofobjectivesinthefollowingcategories:effectivenessandefficiencyofoperations,reliabilityoffinancialreporting,compliancewithapplicablelawsandregulations.2.1内部控制——整合框架2019/9/2452.2.1.2内部控制是一个过程(Internalcontrolisaprocess)(见定义)•内部控制并非单一的事件或环境,而是针对企业行为的一系列活动。•内部控制应该“嵌入”企业之中,而非“外置”在企业之外。2.2.1.3人的因素(Internalcontroliseffectedbypeople)(补充)内部控制受到企业董事会、经理层和其他人员的影响。(见定义)同样,内部控制也影响人们的行为。2.2.1.4合理保证(ReasonableAssurance)(见定义)•内部控制,无论设计和执行多么理想,也只能就企业目标的实现向经理层和董事会提供合理的保证。2.1内部控制——整合框架2019/9/2462.2.1.5目标(Objectives)《内部控制——整合框架》(P19)•经营——关于企业资源利用的效率、效果•财务报告——关于编制公开财务报表的可靠性•遵循性——关于法律和法规的遵循性•Operations—relatingtoeffectiveandefficientuseoftheentity'sresources.•Financialreporting—relatingtopreparationofreliablepublishedfinancialstatements.•Compliance—relatingtotheentity'scompliancewithapplicablelawsandregulations2.1内部控制——整合框架2019/9/247《企业风险管理——整合框架》(P23)•战略——高层次目标,与使命相关联并支撑其使命•经营——有效和高效率地利用其资源•报告——报告的可靠性•合规——符合适用的法律和法规•Strategic–relatingtohigh-levelgoals,alignedwithandsupportingtheentity’smission•Operations–relatingtoeffectiveandefficientuseoftheentity’sresources•Reporting–relatingtothereliabilityoftheentity’sreporting•Compliance–relatingtotheentity’scompliancewithapplicablelawsandregulations2.1内部控制——整合框架2019/9/248《企业内部控制基本规范》(P224)•企业经营管理合法合规•资产安全(safeguardingofassets)•财务报告及相关信息真实完整•提高经营效率和效果•促进企业实现发展战略2.1内部控制——整合框架2019/9/249合法合规性——底线资产安全性——警戒线信息真实完整性——主线经营效率效果性——生命线战略实现性——愿景线五目标2.1内部控制——整合框架2019/9/24102.1内部控制——整合框架战略目标报告目标战略目标经营目标资源目标合规目标2019/9/24112.2.1.6要素(Components)控制环境、风险评估、控制活动、信息和沟通、监控(ControlEnvironment,RiskAssessment,ControlActivities,InformationandCommunication,Monitoring)(P19)2.1内部控制——整合框架2019/9/24122.2.2控制环境控制环境决定了企业的基调,影响企业员工的控制意识。它是其他要素的基础,提供了基本规则和构架。2.2.2.1员工的诚信和道德价值观(IntegrityandEthicalValues)2.2.2.2胜任能力(CommitmenttoCompetence)2.2.2.3董事会和审计委员会(BoardofDirectorsorAuditCommittee)2.2.2.4管理层的经营理念和经营风格(Management‘sPhilosophyandOperatingStyle)2.2.2.5组织结构(OrganizationalStructure)2.2.2.6管理层授权和职责分工(AssignmentofAuthorityandResponsibility)2.2.2.7人力资源政策和措施(HumanResourcePoliciesandPractices)2.1内部控制——整合框架2019/9/24132.2.3风险评估每个企业都面临来自内部和外部的风险,这些风险必须进行评估。风险评估的前提是确立目标,这些目标在不同的层次上相互联系并具有内在的一致性。风险评估指对相关风险进行鉴别和分析,以实现目标,形成风险管理的基础。风险管理主要有六步:第一步:背景分析与确定范围;第二步:识别风险;第三步:分析风险;四步:评价风险;第五步:应对风险;第六步:监测与审核。2.2.3.1目标2.2.3.1.1目标的种类:经营目标、报告目标、遵循性目标、资产目标、战略目标2.2.3.1.2目标的层次:公司层目标、业务活动层目标2.1内部控制——整合框架2019/9/2414风险类型涵义战略风险是指企业在战略的制订和实施上出现错误,或因未能随环境的改变而作出适当的调整,而导致经济上的损失财务风险指融资安排、会计核算与管理以及会计或财务报告失误而对企业造成的损失营运风险指企业内部流程和信息系统、人为因素或外部事件而给企业造成的经济损失法律风险指企业因违反法律、法规或规定,或侵害其他利益相关者的权益,而导致企业遭受经济或声誉损失的风险2.2.3.2风险第一步:背景分析与确定范围2.1内部控制——整合框架2019/9/2415第二步:识别风险识别内部风险,应当关注下列因素:–董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。–组织机构、经营方式、资产管理、业务流程等管理因素。–研究开发、技术投入、信息技术运用等自主创新因素。–财务状况、经营成果、现金流量等财务因素。–营运安全、员工健康、环境保护等安全环保因素。识别外部风险、应当关注下列因素:–经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。–法律法规、监管要求等法律因素。–安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。–技术进步、工艺改进等科学技术因素。–自然灾害,环境状况等自然环境因素。2.1内部控制——整合框架2019/9/2416第三步:分析风险企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。2.1内部控制——整合框架2019/9/2417风险可能性的定性与定量分析定量方法一评分12345定量方法二概率10%以下10~30%30~70%70~90%90%以上定性方法文字描述一极低低中等高极高文字描述二一般情况下不会发生极少情况下发生某些情况下发生较多情况下发生常常会发生文字描述三今后10年内发生的可能性少于1次今后5~10年内可能发生1次今后2~5年内可能发生一次今后1年内可能会发生1次今后1年内至少发生1次2.1内部控制——整合框架2019/9/2418风险损失的定性与定量分析定量方法一评分12345定量方法二企业财务损失占税前利润的百分比1%以下1~5%5~10%10~20%20%以上定性方法文字描述极轻微的轻微的中等的重大的灾难性的2.1内部控制——整合框架2019/9/2419第四步:评价风险对于高风险H,需要立即采取行动,董事会/高管应参与;对于严重风险S,需要高级管理层注意;对于中度风险M,通过具体监控或响应程序加以管理;对于低度风险L,通过日常程序加以管理。2.1内部控制——整合框架2019/9/2420第五步:应对风险企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。”风险应对一般包括:规避风险、降低风险、分担风险、承受风险四类。2.1内部控制——整合框架2019/9/2421风险应对策略风险规避风险降低风险分担风险承受企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略企业准备借助他人力量,采取业务分包、购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略2.1内部控制——整合框架2019/9/2422第六步:监测与审核风险是不断变化的。与风险相关的内部控制也必须发生变化。通过对风险的监测与对内部控制有效性的持续审核,有利于企业目标的实现。2.1内部控制——整合框架2019/9/24232.2.4控制活动控制活动指为确保管理层指示得以执行的政策和程序。2.2.4.1控制活动的类型•高层复核(TopLevelReviews)•职能指导或业务管理(DirectFunctionalorActivityManagement)•信息处理(InformationProcessing)•实物控制(PhysicalControls)•业绩指标分析(PerformanceIndicators)•职责分离(SegregationofDuties)2.1内部控制——整合框架2019/9/24242.2.4.2控制活动的要素——政策和程序•控制活动通常包含两类要素:确定应该做什么的政策(作为第二个要素基础)和实现该政策的程序。例如,政策可能要求证券交易商的营业部门经理复核客户交易行为。而程序是复核行为本身,必须及时进行,并关注政策里提及的因素,如所交易证券的性质和数量以及与客户证券净值和年纪之间的联系。•很多时候,政策以口头形式传达。当政策是长期存在和被广泛接受的,以及在沟通渠道只涉及有限的管理层、人员之间联系密切、易于监管的小企业中,非书面的政策也可以是有效的。•不管政策是否是书面的,必须被仔细地、尽责地、一贯地执行。如果程序只是机械地被执行,而对政策的方向没