内部控制的框架体系.ppt

单击此处编辑母版标题样式,,单击此处编辑母版文本样式,,第二级,,第三级,,第四级,,第五级,,*,公司治理与内部控制,第三章 内部控制的框架体系（内部控制要素）,第一节 内部控制要素,,第二节 内部环境,,第三节 风险评估,,第四节 控制活动,,第五节 信息与沟通,,第六节 内部监督,我国,《企业内部控制基本规范》第三条,指出：“本规范所称,内部控制,，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程并规范了基于企业全面风险管理导向的内部控制系统五要素3.1 内部控制要素,根据系统论、控制论和信息论的思想，我国,《企业内部控制基本规范》,把企业内部控制系统划分为相互关联的5个要素，,以充分发挥内部控制的,“免疫”功能,企业设计基于全面风险管理导向的内部控制系统时必须体现5个要素的要求3.1 内部控制要素,我国,《企业内部控制基本规范》,第五条,指出：企业建立与实施有效的内部控制，应当包括下列要素：,,（一）内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等二）风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

3.1 内部控制要素,（三）控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内四）信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通五）内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进五要素及其相互关系,,,监控,控制活动,风险评估,控制环境,信,息,沟,通,信,息,沟,通,基础,手段,保证,载体,依据,五要素,与,八要素,比较图,八要素与五要素之间的对应关系,内部环境,目标制定,事项识别,风险评估,风险反应,控制活动,信息与沟通,监控,内部环境,风险评估,控制活动,信息与沟通,监控,3.2,要素一：,内部环境,我国,《企业内部控制基本规范》,第二章,第十一条至第十九条,明确了内部环境的具体内容3.2,要素一：,内部环境,一、公司治理结构和议事规则,,《企业内部控制基本规范》,第十一条指出：企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。

股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的,表决权,3.2,要素一：,内部环境,董事会对股东（大）会负责，依法行使企业的经营,决策权,监事会对股东（大）会负责，,监督,企业董事、经理和其他高级管理人员依法履行职责经理层负责组织,实施,股东（大）会、董事会决议事项，主持企业的生产经营管理工作3.2,要素一：,内部环境,同时，,第十二条,指出：董事会负责内部控制的建立健全和有效实施监事会对董事会建立与实施内部控制进行监督经理层负责组织领导企业内部控制的日常运行企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作3.2,要素一：,内部环境,【,解读,】,公司治理结构的要旨,在于明确划分股东、董事会和经理人员各自权利、责任和利益，形成三者之间的制衡关系以国外现代公司为例，其公司治理结构是现代法人产权制度下的产物，其基本特征是：,,（1）内部机构权责分明，相互制衡（“三权分立，相互制衡 ”）2）委托与代理，纵向授权3）激励与约束机制并存3.2,要素一：,内部环境,二、审计委员会,,《企业内部控制基本规范》,第十三条,指出：企业应当在董事会下设立,审计委员会,。

审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力3.2,要素一：,内部环境,三、内部机构设置、岗位职责、业务流程,,《企业内部控制基本规范》,第十四条,指出：企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位企业应当通过编制,内部管理手册,，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权3.2,要素一：,内部环境,四、内部审计,,《企业内部控制基本规范》,第十五条,指出：企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告3.2,要素一：,内部环境,五、人力资源政策,,《企业内部控制基本规范》,第十六条,指出：企业应当制定和实施有利于企业可持续发展的人力资源政策。

人力资源政策应当包括下列内容：,,（一）员工的聘用、培训、辞退与辞职二）员工的薪酬、考核、晋升与奖惩三）关键岗位员工的,强制休假制度,和,定期岗位轮换制度,3.2,要素一：,内部环境,（四）掌握国家秘密或重要商业秘密的员工离岗的限制性规定五）有关人力资源管理的其他政策六、职业道德修养和专业胜任能力,,,《企业内部控制基本规范》,第十七条,指出：企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和,继续教育,，不断提升员工素质3.2,要素一：,内部环境,七、企业文化、价值观和社会责任感,,《企业内部控制基本规范》,第十八条,指出：企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用企业员工应当遵守员工行为守则，认真履行岗位职责3.2,要素一：,内部环境,八、法制观念,,《企业内部控制基本规范》,第十九条,指出： 企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。

注,】关于内部环境类内部控制应用指引,,内部环境是企业实施内部控制的基础，支配着企业全体员工的内控意识，影响着全体员工实施控制活动和履行控制责任的态度、认识和行为内部环境类指引有5项，包括：,,《企业内部控制应用指引第1号：组织架构》,,《企业内部控制应用指引第2号：发展战略》,,《企业内部控制应用指引第3号：人力资源》,,《企业内部控制应用指引第4号：社会责任》,,《企业内部控制应用指引第5号：企业文化》,3.3,要素二：,风险评估,我国,《企业内部控制基本规范》,第三章,第二十条至第二十七条,明确了风险评估的具体内容3.3,要素二：,风险评估,《企业内部控制基本规范》,第二十条,指出：企业应当,根据设定的控制目标,，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估一、风险识别,,,《企业内部控制基本规范》,第二十一条,指出：企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的,风险承受度,风险承受度,是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平3.3,要素二：,风险评估,,（一）风险的本质,,风险,是未来结果对期望的偏离，即,波动性,。

任何偏离控制目标的因素（有利或不利）都是风险的表现，这与金融投资普遍以收益率,方差,（或,标准差,）作为风险计量指标的主流分析框架相符3.3,要素二：,风险评估,（二）风险的分类,,为了有效识别和管理风险，有必要对企业所面临的风险进行明确分类根据不同的分类标准可以将风险划分为不同的类型可见，设立期望目标是风险评估的前提条件，只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险3.3,要素二：,风险评估,1.按风险诱发的原因分类,,按诱发风险的原因，,巴塞尔委员会,将风险划分为八大类：,,（1）信用风险,，是指债务人或交易对手未能履行合同所规定的义务或信用质量发生变化，影响金融产品价值，从而给债权人或金融产品持有人造成经济损失的风险信用风险,被认为是,最为复杂的风险种类,，通常包括违约风险、结算风险等主要形式3.3,要素二：,风险评估,（2）市场风险,，是指由于市场价格（包括金融资产价格和商品价格）波动而导致企业遭受损失的风险它可以分为利率风险、股票风险、汇率风险和商品风险四种，其中利率风险尤为重要3.3,要素二：,风险评估,（3） 操作风险,，是指由于人为错误、技术缺陷或不利的外部事件所造成损失的风险。

操作风险可以分为由人员、系统、流程和外部事件所引发的四类风险，并由此可以分为七种表现形式：内部欺诈，外部欺诈，聘用员工做法和工作场所安全性，客户、产品及业务做法，实物资产损坏，业务中断和系统失灵，交割及流程管理操作风险具有普遍性和非营利性3.3,要素二：,风险评估,（4）流动性风险,，是指企业无力为负债的减少或资产的增加提供融资而造成损失或破产的风险流动性风险,包括,资产流动性风险,和,负债流动性风险,流动性风险与信用风险、市场风险和操作风险相比，形成的原因更加复杂和广泛，通常被视为一种综合性风险5）国家风险,，是指经济主体在与非本国居民进行国际经贸与金融往来时，由于别国经济、政治和社会等方面的变化而遭受损失的风险3.3,要素二：,风险评估,（6）声誉风险,，是指由于意外事件，企业的政策调整、市场表现或日常经营活动所产生的负面结果，可能对企业“声誉”这种无形资产造成损失的风险7）法律风险,，即企业在日常经营活动或各类交易发生的过程中，因为无法满足或违反法律要求，导致企业不能履行合同、发生争议∕诉讼或其他法律纠纷，而可能给企业造成经济损失的风险3.3,要素二：,风险评估,（8）战略风险,，是指企业在追求短期商业目的和长期发展目标的系统化管理过程中，不适当的未来发展规划和战略决策可能威胁企业未来发展的潜在风险。

美国货币监理署（OCC）认为，战略风险是指经营决策错误，或决策执行不当，或对行业变化束手无策，而对企业的收益或资本形成现实和长远的影响3.3,要素二：,风险评估,2.风险的其他分类,,（1）按,风险事故,可以将风险划分为：经济风险、政治风险、社会风险，自然风险和技术风险；,,（2）按,损失结果,可以将风险划分为：纯粹风险和投机风险；,,（3）按,是否能够量化,可以将风险划分为：可量化风险和不可量化风险；,3.3,要素二：,风险评估,（4）按,风险发生的范围,可以将风险划分为：系统性风险和非系统性风险5）按,风险的可预见性,可以将风险划分为：预期风险、非预期风险、意外风险预期风险与非预期风险之间最重要的概念性区别是：预期风险是在一般正常情况下，在一定时期可预见的平均水平；非预期风险具有突发性、复杂性、持续可变性、多层次性、模糊性等特点3.3,要素二：,风险评估,（三）风险识别的内外部因素,,《企业内部控制基本规范》,第二十二条,指出，企业,识别内部风险,，应当关注下列因素：,,（1）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素2）组织机构、经营方式、资产管理、业务流程等管理因素。

3.3,要素二：,风险评估,（3）研究开发、技术投入、信息技术运用等自主创新因素4）财务状况、经营成果、现金流量等财务因素5）营运安全、员工健康、环境保护等安全环保因素6）其他有关内部风险因素3.3,要素二：,风险评估,《企业内部控制基本规范》,第二十三条,指出， 企业,识别外部风险,，应当关注下列因素：,,（1）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素2）法律法规、监管要求等法律因素3）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素4）技术进步、工艺改进等科学技术因素5）自然灾害、环境状况等自然环境因素6）其他有关外部风险因素3.3,要素二：,风险评估,（四）风险识别的分析框架,,不确定性,,的来源,环境风险：,影响经营模式变动,,的不确定性过程风险：,影响经营模式实施,,的不确定性决策所需信息风险：,影响作出,,价值创造决策所需信息的,,可信性与可靠性的风险3.3,要素二：,风险评估,★,环境风险因素,，包括：,,（1）竞争对手风险,,（2）客户风险,,（3）技术创新风险,,（4）敏感性风险,,（5）股东关系风险,,（6）资本可得性风险,（7）主权∕政治风险,,（8）法律风险,,（9）监管风险,,（10）行业风险,,（11）金融市场风险,,（12）灾难风险,,3.3,要素二：,风险评估,★,过程风险因素,，包括：,,1.操作风险,，如：,,（1）客户满意度风险,,（2）人力资源风险,,（3 ）知识资本风险,,（4）产品开发风险,,（5）效率风险,,（6）能力风险,,（7）业绩缺口风险,,（8）周转时间风险,（9）来源风险,,（10）渠道效率风险,,（11）合作伙伴风险,,（12）服从（监管机构或其他要求）风险,,（13）业务中断风险,,（14）产品或服务失败风险,,（15）环境风险,,（16）健康与安全风险,,（17）商标∕品牌侵权风险,3.3,要素二：,风险评估,2.金融风险,，如：,,（1）价格风险，包括利率风险、汇率∕外汇风险、权益风险、商品价格风险、金融工具风险。

2）流动性风险，包括现金流风险、机会成本风险、集中度风险3）信用风险，包括违约风险、集中度风险、结算风险、抵押风险3.3,要素二：,风险评估,3.授权风险,，如：,,（1）领导风险,,（2）权力∕限制风险,,（3）浪费风险,,（4）业绩激励风险,,（5）适应变化风险,,（6）沟通风险,3.3,要素二：,风险评估,4.信息过程∕技术风险,，如：,,（1）相关性风险,,（2）完整性风险,,（3）评估风险,,（4）可得性风险,,（5）基础设施风险,3.3,要素二：,风险评估,5.诚实性风险,，如：,,（1）管理欺诈风险,,（2）雇员∕第三方欺诈风险,,（3）非法行为风险,,（4）违规行为风险,,（5）信誉风险,3.3,要素二：,风险评估,★,决策所需信息风险因素,，包括：,,1.决策所需过程∕操作性信息风险,，如：,,（1）产品∕服务定价风险,,（2）合同履行风险,,（3）度量（操作）风险,,（4）协调性风险,3.3,要素二：,风险评估,2.决策所需商务报告信息风险,，如：,,（1）预算与计划风险,,（2）会计信息风险,,（3）财务报告评估风险,,（4）税收风险,,（5）退休金风险,,（6）投资评估风险,,（7）监管报告风险,3.3,要素二：,风险评估,3.决策所需环境∕战略风险,，如：,,（1）环境监控风险,,（2）经营模式风险,,（3）业务组合风险,,（4）估价风险,,（5）组织结构风险,,（6）度量（战略）风险,,（7）资源配置风险,,（8）计划风险,,（9）生命周期风险,3.3,要素二：,风险评估,（五）,风险偏好与风险容忍度,,进行风险评估，首先应该判明公司可以承受的风险有多大，即首先需明确公司的,风险容忍度,，又称为,风险承受度,，,是公司能够承担的风险限度,，包括整体风险承受能力和业务层面的可接受风险水平。

从战略层面看，风险控制的重点是确定,风险偏好,及,相应的风险容忍度,风险容忍度,和,风险偏好,都是公司为自己承受风险的能力设定的,控制边界,3.3,要素二：,风险评估,根据COSO委员会的定义，,风险偏好,是公司决策层综合考虑多种风险因素后作出的一种更高层次的承诺，而,风险容忍度,是考虑到风险状况的不断变化，而为每一个具体的风险因素设定的量化的可接受水平公司根据统一确定的风险偏好，针对不同业务特点设定相应的容忍度水平，明确风险的最低限度和不能超过的最高限度，并据此设置风险预警线以及相应的对策安排风险偏好与风险容忍度的关系图,,战略控制目标,风险偏好,风险容忍度,,信用风险 市场风险,,风险限额体系 操作风险 流动性风险,,其他风险,3.3,要素二：,风险评估,（六）风险识别的技术与方法,,风险评估的首要步骤是,识别,明显的、潜在的,风险事件,，估计这些风险可能造成的损失制作风险清单,是识别风险的最基本、最常用的方法风险识别方法还有：,,专家调查列举法 ； 财务状况分析法 ；,,情景分析法 ； 分解分析法 ；,,失误树分析方法 ； CART风险分类法。

3.3,要素二：,风险评估,例如，CART风险分类法，是依据选定的几项财务比率作为风险分类的标准，运用二分法，通过建立树型结构来分析被考察对象特定,财务信用品质,的方法对公司的风险识别，CART法采用四个财务比率作为分类标准：现金流量对负债总额比率；留存收益对资产总额比率；负债总额对资产总额比率；现金对销售总额比率CART风险分类：Ⅰ级分类标准,,违约组,被考虑对象总体,现金流量对负债总额的比率,Ⅰ级分类标准：,小于或等于临界值组,大于临界值组,≤临界值,＞临界值,负债总额对资产比率,非违约组,≤临界值,＞临界值,进入Ⅱ级分类标准,进入Ⅱ级分类标准：,违约组,小于或等于临界值组,留存收益对资产总额比率,Ⅱ级分类标准：,违约组,大于临界值组,≤临界值,＞临界值,现金对销售总额比率,非违约组,Ⅲ级分类标准：,≤临界值,＞临界值,3.3,要素二：,风险评估,（七）识别财务风险应重点关注的因素,,（1）无法偿还到期债务；,,（2）无法偿还即将到期且难以展期的借款；,,（3）无法继续履行重大借款合同中的有关条款；,,（4）存在大额的逾期未缴税金；,,（5）累计经营性亏损数额巨大；,,（6）过度依赖短期借款筹资；,3.3,要素二：,风险评估,（7）无法获得供应商的正常商业信用,,【,注,】运用以下指标识别：,,①应付账款周转次数＝年度营业成本÷应付账款平均余额；,,②应付账款周转期（天数）＝365天÷应付账款周转次数＝,平均偿还期,,【,案例分析,】,背景：应付账款管理不善导致供应链断裂，公司破产。

◇,郑州亚细亚破产案,3.3,要素二：,风险评估,（8）难以获得开发必要新产品或进行必要投资所需资金；,,（9）资不抵债；,,（10） 营运资金出现负数；,,（11）经营活动产生的现金流量净额为负数；,,（12）大股东长期占用巨额资金；,,（13）重要子公司无法持续经营且未进行处理；,3.3,要素二：,风险评估,（14）存在大量长期未作处理的不良资产；,,（15）存在因对外巨额担保等或有事项引发的或有负债八）识别非财务风险应重点关注的因素包括：,,（1）关键管理人员离职且无人替代；,,（2）主导产品不符合国家产业政策，或者没有市场销路，产品严重积压；,3.3,要素二：,风险评估,（3）失去主要市场、特许权或主要供应商；,,（4）人力资源或重要原材料短缺；,,（5）严重违反有关法律、法规或政策；,,（6） 存在可能带来无法承受损失的未决诉讼；,,（7）异常原因导致停工、停产；,,（8）有关法律、法规或政策的变化可能造成重大不利影响；,3.3,要素二：,风险评估,（9） 经营期限即将到期且无意继续经营；,,（10）投资者未履行协议、合同、章程规定的义务，并有可能造成重大不利影响；,,（11）因自然灾害、战争等不可抗力因素遭受严重损失；,,（12）其他导致经营状况恶化的情况。

3.3,要素二：,风险评估,二、风险评估,,《企业内部控制基本规范》,第二十四条,指出，企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性,,3.3,要素二：,风险评估,【,提示,】风险评估方法包括,定性方法,和,定性与定量相结合的方法,主要借助概率论和数理统计等方法来测定公司的风险程度目前，,风险评估模型,有以方差、标准差、平均绝对偏差，久期（Duration）、调整久期、有效久期 ，β系数 ，风险价值（VaR ），内部评级，敏感度分析，,压力测试法,等为代表的数千种风险评估数理模型3.3,要素二：,风险评估,三、风险应对,,《企业内部控制基本规范》,第二十五条,指出： 企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,，采取适当的控制措施，,避免因,个人风险偏好,给企业经营带来重大损失,3.3,要素二：,风险评估,《企业内部控制基本规范》,第二十六条,指出：企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。

风险规避,是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略风险降低,是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略3.3,要素二：,风险评估,风险分担,是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略风险承受,是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略《企业内部控制基本规范》,第二十七条,指出：企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略3.3,要素二：,风险评估,【提示】常见的,风险应对措施,利弊分析,,（一）,风险回避,是一项有意识地避免某种特定风险的决策，直接采取措施回避风险，或者不去做可能导致风险的事情，从而避免某种风险的发生以及由此带来的损失3.3,要素二：,风险评估,用,风险回避手段,来处理风险比较简单，也比较彻底，但是,有三点限制,：,,（1）有时消极回避风险也意味着放弃利益；,,（2）回避一种风险的同时有可能产生其他新的风险；,,（3）有些风险是无法回避的。

3.3,要素二：,风险评估,（二）,风险控制,是在面对潜在风险时，为降低损失的可能性或严重性而在损失发生之前或之后采取相应的行动在损失发生之前,，消减风险发生的条件，降低风险发生概率；,在损失发生之后,，采取有效措施，将风险可能造成的损失减少到最低限度3.3,要素二：,风险评估,风险控制是一种预防为主的风险管理手段，预防是需要付出成本的,进行风险控制付出的成本，与风险损失相比较，孰大孰小成为是否采取这一方法的决定性因素3.3,要素二：,风险评估,（三）,风险保留,指自身承担风险和损失，是一种自保险一般在三种情况下采用：,,（1）没有足够重视，没有察觉到该类风险，主要原因在于对某一事件观察和分析不够全面，忽略了某些作用因素；,,（2）察觉到风险但是没有较好的方法来处理风险，一般是风险回避或者控制的成本过高，或者没有办法找到理想的处理方法；,,（3）认为自己可以承担该类风险3.3,要素二：,风险评估,（四）,风险分散,是指设法将风险分散到相关的多个个体上去，从而使每一个个体所承担的风险相对减少的方法常说“,不要把鸡蛋全部放在同一个篮子里,”，就是用分散风险的理念来管理风险这种管理方式，最常用于投资理财的组合选择中，分散投资意味着持有多种风险资产，而不是将所有的资金集中于一项资产。

采用分散投资的资产组合投资策略，降低了人们拥有任何单一资产所面临的风险 3.3,要素二：,风险评估,（五）,风险转移,是将风险及其可能造成的损失转移给别人的风险管理手段，一般来说有两大类方法：,,（1）,非保险类转移,是通过订立经济合同，将风险及可能损失转移给别人，常见的主要有租赁、互换、套期保值等3.3,要素二：,风险评估,（2）,保险类转移,是通过订立保险合同将风险转移给保险公司（保险人），具体讲就是投保人按照合同规定缴纳保费，将风险和可能的损失转移给保险公司，一旦发生预期的、投保的风险，就由保险公司进行经济赔偿注,】并不是所有风险都可以通过风险转移手段来处理，只有符合一定条件的可保风险才可转移一般来讲,投机风险,是,不可以投保的,，比如购买股票的收益风险，保险公司不承保3.3,要素二：,风险评估,【,测试,】说明以下风险应对行为是遵循何种风险应对措施？,,①经营小百货店，而不愿经营小专卖店②在银行存放5～6个月的工资，以备意外开支③注册会计师为自已购买职业保险④要求房产商书面承诺，对新购置的房产质量负责⑤购买了一个半吨重的保险柜3.3,要素二：,风险评估,⑥愿意购买基金，不愿购买股票。

⑦害怕家里的现金被盗，把现金分放在三个房间的隐蔽处 ⑧每天早起锻炼，以减少医疗开支⑨重要的文件寄挂号信，而不寄平信⑩注重家庭资产持有结构的合理性3.4,要素三：,控制活动,我国,《企业内部控制基本规范》,第四章,第二十八条至第三十七条,明确了控制活动的具体内容3.4,要素三：,控制活动,《企业内部控制基本规范》,第二十八条,指出：企业应当结合风险评估结果，通过,手工控制,与,自动控制,、,预防性控制,与,发现性控制,相结合的方法，运用相应的控制措施，将风险控制在可承受度之内控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等3.4,要素三：,控制活动,【,解读1,】,人工控制,与,自动化控制,,（一）,人工控制,在处理下列需要主观判断或酌情处理的情形时可能更为适当：,,（1）存在大额、异常或偶发的交易；,,（2）存在难以定义、防范或预见的错误；,,（3）为应对情况的变化，需要对现有的自动化控制进行调整（如信息系统升级时，原系统停止运行，只能依靠手工控制）；,,（4）监督自动化控制的有效性3.4,要素三：,控制活动,人工控制的特定风险：,,（1）人工控制可能更容易被规避、忽视或凌驾；,,（2）人工控制可能不具有一贯性；,,（3）人工控制可能更容易产生简单的错误或失误（,相对于自动控制，人工控制的可靠性较差,）。

3.4,要素三：,控制活动,人工控制在下列情形中可能是不适当的：,,（1）存在大量或重复发生的交易；,,（2）事先可预见的错误能够通过自动化控制得以防范或发现；,,（3）控制活动可得到适当设计和自动化处理3.4,要素三：,控制活动,（二）,自动化控制,在下列方面可以提高内部控制系统的效率和效果：,,（1）在处理大量的交易或数据时，一贯运用事先确定的业务规则，并进行复杂运算；,,（2）提高信息及时性、可获得性及准确性；,,（3）加强对公司政策和程序执行情况的监督；,,（4）降低控制被规避的风险；,,（5）通过对操作系统、应用程序系统和数据库系统实施安全控制，提高不相容职务分离的有效性3.4,要素三：,控制活动,自动化控制的特定风险：,,（1）系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；,,（2）在未得到授权的情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未授权或不存在的交易，或不正确地记录了交易；,,（3）信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；,3.4,要素三：,控制活动,（4）未经授权改变主文档的数据；,,（5）未经授权改变系统或程序；,,（6）未能对系统或程序作出必要的修改；,,（7）不恰当的人为干预；,,（8）数据丢失的风险或不能访问所需要的数据。

3.4,要素三：,控制活动,（三）,在设计内部控制系统时，应合理选择自动化控制方式和人工控制方式,，在不同公司的内部控制系统中人工控制和自动化控制的比例是不同的例如，在一些小型的业务不太复杂的公司，可能以人工控制为主；而在业务比较复杂的大中型公司，可能以自动化控制为主3.4,要素三：,控制活动,【,解读2,】,预防性控制,与,检查性控制,,（一）,预防性控制,通常用于正常业务流程的每一项交易，以防止风险的发生预防性控制可能是人工的，也可能是自动化的3.4,要素三：,控制活动,（二）,检查性控制,的目的是发现流程中可能发生的风险（尽管有预防性控制还是会发生的风险）企业通过检查性控制，监督其流程和相应的预防性控制能否有效地发挥作用检查性控制通常是企业管理层用来监督实现流程目标的控制，可以由人工执行，也可以由信息系统自动执行预防性控制,示例,对控制的描述,控制用来防止的错报,生成收货报告的计算机程序，同时也更新采购档案,防止出现购货漏记账的情况,在更新采购档案之前必须先有收货报告,防止记录了未收到购货的情况,购货发票上的价格根据价格清单上的信息确定,防止销货计价错误,检查性控制,示例,对控制的描述,控制预期查出的错报,●将预算与实际费用间的差异列入计算机编制的报告中并由部门经理复核。

记录所有超过预算2％的差异情况和解决措施●在对其他项目进行审核的同时，查找本月发生的重大分类错报或没有记录及没有发生的大笔收入、支出以及相关联的资产和负债项目3.4,要素三：,控制活动,一、不相容职务分离控制,,《企业内部控制基本规范》,第二十九条,指出：,,不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制3.4,要素三：,控制活动,二、授权审批控制,,《企业内部控制基本规范》,第三十条,指出：,,授权审批控制要求企业根据,常规授权,和,特别授权,的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任企业应当编制常规授权的,权限指引,，规范特别授权的范围、权限、程序和责任，严格控制特别授权常规授权,是指企业在日常经营管理活动中按照既定的职责和程序进行的授权特别授权,是指企业在特殊情况、特定条件下进行的授权3.4,要素三：,控制活动,企业各级管理人员应当在授权范围内行使职权和承担责任企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策3.4,要素三：,控制活动,三、会计系统控制,,《企业内部控制基本规范》,第三十一条,指出：会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭,,证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。

企业应当依法设置会计机构，配备会计从业人员从事会计工作的人员，必须取得会计从业资格证书会计机构负责人应当具备会计师以上专业技术职务资格大中型企业应当设置,总会计师,设置总会计师的企业，不得设置与其职权重叠的副职,3.4,要素三：,控制活动,四、财产保护控制,,《企业内部控制基本规范》,第三十二条,指出：财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全企业应当严格限制未经授权的人员接触和处置财产3.4,要素三：,控制活动,五、预算控制,,《企业内部控制基本规范》,第三十三条,指出：预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束解读,】现代企业的,全面预算控制,是,以责任制为核心，以预算、预警、控制、考核、激励为主线，以核算为基础3.4,要素三：,控制活动,全面预算控制系统的,主体框架图,责任制,核,,算,预警,控制,考核,激励,预算,3.4,要素三：,控制活动,六、营运分析控制,,《企业内部控制基本规范》,第三十四条,指出：运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。

3.4,要素三：,控制活动,七、绩效考评控制,,《企业内部控制基本规范》,第三十五条,指出：绩效考评控制要求企业建立和实施绩效考评制度，,科学设置考核指标体系,，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据3.4,要素三：,控制活动,【,解读,】,绩效考评控制,导向模式,,★,第一种模式：规模最大化考核模式缺陷,：,,（1）没有考虑规模成长的成本（包括机会成本）；,,（2）没有考虑规模成长承担的风险因素3.4,要素三：,控制活动,★,第二种模式：会计利润最大化考核模式缺陷,：,,☆,没有考虑资本金的时间价值；,,☆,没有考虑风险因素；,,☆,容易造成经营上的短期行为3.4,要素三：,控制活动,★,第三种模式：可持续经营和价值最大化考核模式，即在风险可承受范围内实现,风险,、,收益,与,发展,的合理匹配公司整体价值=财务资本价值,+人力资本价值+制度资本价值（业务流程内控制度、治理结构等）+客户资本价值,±,σ（误差）,3.4,要素三：,控制活动,《企业内部控制基本规范》,第三十六条,指出：企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制 。

《企业内部控制基本规范》,第三十七条,指出：企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理注,】关于控制活动类内部控制应用指引,企业在改进和完善内部环境控制的同时，还应对各项具体业务活动实施相应的控制为此，制定了9项控制活动类应用指引，包括：,,《企业内部控制应用指引第6号：资金活动》,,《企业内部控制应用指引第7号：采购业务》,,《企业内部控制应用指引第8号：资产管理》,,《企业内部控制应用指引第9号：销售业务》,【,注,】关于控制活动类内部控制应用指引,《企业内部控制应用指引第10号：研究与开发》,,《企业内部控制应用指引第11号：工程项目》,,《企业内部控制应用指引第12号：担保业务》,,《企业内部控制应用指引第13号：业务外包》,,《企业内部控制应用指引第14号：财务报告》,3.5,要素四：,信息与沟通,我国,《企业内部控制基本规范》,第五章,第三十八条至第四十三条,明确了信息与沟通的具体内容3.5,要素四：,信息与沟通,《企业内部控制基本规范》,第三十八条,指出：企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。

一、信息收集方法与技术,,《企业内部控制基本规范》,第三十九条,指出：企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性3.5,要素四：,信息与沟通,企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，,获取内部信息,企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，,获取外部信息,3.5,要素四：,信息与沟通,二、信息处理方法与技术,,,《企业内部控制基本规范》,第四十条,指出：企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈信息沟通过程中发现的问题，应当及时报告并加以解决重要信息应当及时传递给董事会、监事会和经理层3.5,要素四：,信息与沟通,三、信息沟通方法与技术,,《企业内部控制基本规范》,第四十一条,指出：企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。

3.5,要素四：,信息与沟通,四、反舞弊机制的建立,,《企业内部控制基本规范》,第四十二条,指出：企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序3.5,要素四：,信息与沟通,企业至少应当将下列情形作为反舞弊工作的重点：,,（一）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等三）董事、监事、经理及其他高级管理人员滥用职权四）相关机构或人员串通舞弊3.5,要素四：,信息与沟通,五、举报投诉制度和举报人保护制度,,《企业内部控制基本规范》,第四十三条,指出：企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径举报投诉制度和举报人保护制度应当及时传达至全体员工3.6,要素五：,内部监督,我国,《企业内部控制基本规范》,第六章,第四十四条至第四十七条,明确了内部监督的具体内容3.6,要素五：,内部监督,《企业内部控制基本规范》,第四十四条,指出：企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。

3.6,要素五：,内部监督,一、日常监督与专项监督,,第四十四条,第二款,指出：,内部监督,分为,日常监督,和,专项监督,日常监督,是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；,专项监督,是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定3.6,要素五：,内部监督,二、内部控制缺陷认定与整改,,,《企业内部控制基本规范》,第四十五条,指出：企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告内部控制缺陷包括设计缺陷和运行缺陷企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任3.6,要素五：,内部监督,三、内部控制自我评价,,《企业内部控制基本规范》,第四十六条,指出：企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。

国家有关法律法规另有规定的，从其规定3.6,要素五：,内部监督,第四十七条,还规定：企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的,可验证性,注,】关于控制手段类内部控制应用指引,控制手段类指引偏重于“工具”性质，往往涉及企业整体业务或管理此类指引有４项，包括：,,《企业内部控制应用指引第15号：全面预算》,,《企业内部控制应用指引第16号：合同管理》,,《企业内部控制应用指引第17号：内部信息传递》,,《企业内部控制应用指引第18号：信息系统》,总结,《企业内部控制基本规范》科学地构建了一套内部环境优化、风险评估科学、控制措施得当、信息沟通迅捷、监督制约有力的以全面风险管理为导向的内部控制标准框架对于巩固企业防范风险舞弊的“防火墙”和铸牢促进资本市场健康稳定发展的“安全网”将发挥十分重要的基本作用讨论：,,1.管理大师大前研一在其专著《专业主义》中：你首先要把事业的核心限定在一个狭窄的范围内，然后纵深发展，使竞争对手无法模仿，只有确定了这样的专家素质，你的企业才能走向成功巴菲特与索罗斯的投资理念一样么？,2.对竞争对手降价进行分析：,,(1)急需回笼资金？,,(2)生产能力过剩，通过降价扩大销售？,,(3)因产品更新换代而处理积压存货？,,(4)转产而清仓大甩卖？,,(5)生产技术改造而降低了成本？,,(6)价格敏感度高，降低能有效扩大需求？,3.案例讨论：××公司货币资金内控制度节选,,现金支票及银行存款统一由出纳保管，并按每天收支情况登记现金或银行存款日记账、每日结清；银行存款每月同银行对账，做到账款相符。

该制度有何缺陷？,4.从武汉到香港城市大学就读的女博士，由于担心考试不能通过，先是给出题教师的信箱里塞了一万元港币，继而多次以匿名邮件方式要求该教师向她提供试题和答案该教师向廉政公署举报此事，将一万元交给廉署，并按廉署要求发邮件约见该学生2006年12月14日，该女生被当场拘捕，随后被正式起诉，九龙城裁判法院以行贿罪判处该女生入狱6个月，并从宣判之日起“实时入狱”这一事件若发生在内地，情况会如何？,5.案例讨论：建达建材企业新CEO上台后为改变以往销售人员权限太大（折扣权限为7%）、低价拿回扣、只顾销售数额不顾盈利的状况，对销售业务做出如下折扣授权控制：,,,,,在CEO出国无法及时审批、大区总经理不在现场的情况下，销售经理王平在竞标过程中，自行以5.5%的折扣为销售不景气的建达建材公司拿下一宗2000万的大订单CEO决定以违反公司规定的名义开除王平你如何看待这一事件？,授权领导层次,销售经理,大区总经理,CEO,授权区间,3%以下,3%~5%,5%以上,6.案例讨论：某公司“资产减值准备内部控制制度”节选,,月、季、年度结账和决算前，由计划财务部协同证券部、资产管理部、项目策划部等相关部门，就列入计提减值范围内的资产按会计准则的规定进行减值测试，对确定减值的资产按项目编制计提资产减值准备表，经资产管理部审核后报总经理批准入账。

分析：该制度有何缺陷？,7.案例：某软件公司研发部做出了软件升级的计划，该计划的目标是：,,1.运用可拓展商业报告语言（XBRL，Extensible Business Reporting Language）开发完全符合会计准则的低成本的数据快速导入和转换软件；,,2.运用色彩、图形和图表显示财务数据和运营数据的可视化软件营销部马上进行了声势浩大的广告宣传活动，将公司逼入两难的境地：,,1.要么将未达到升级标准的软件仓促推入市场；,,2.要么无期限地推迟达到升级标准软件的上市时间,,结果公司声誉大受影响结合内部控制要素对此进行评价小组讨论：,,1.审计委员会的功能是什么？,,2.审计委员会与监事会是什么关系？,,3.审计委员会与审计部是什么关系？,,4.审计部归谁领导？,,(参考文献：杨有红：试论审计委员会关系定位与功能梳理，会计研究，2006年第5期),。