《内部控制ppt课件.ppt》由会员分享,可在线阅读,更多相关《内部控制ppt课件.ppt(143页珍藏版)》请在三一办公上搜索。
1、,内部控制与风险管理(内部控制学),2022/12/10,1,导论:为什么会有内部控制?,思考如下问题:1.为什么会有社会?2.为什么产生组织?3.为什么产生企业?4.为什么会有控制?5.为什么会有文化?6.为什么会有宗教?,2022/12/10,2,导论:为什么会有内部控制?,思考如下问题:1.企业的利润是如何产生的?2.会计在企业中承担什么样的角色?3.财务管理在企业中承担什么样的角色?4.什么是不确定性?5.什么是风险?风险、不确定性与利润作者: 弗兰克.H.奈特出版社: 商务印书馆出版年: 2006年2月,2022/12/10,3,导论:从吏治说起,参考文献:刘建基中国古代吏治札记 郭
2、道扬会计史1.治与乱的矛盾统一,辩证关系 孟子: “天下之生久矣,一治一乱” 三国演义:“话说天下大势,分久必合,合久必分” 黄炎培、毛泽东:“其兴也勃焉,其亡也忽焉”2. 监察制度 自成系统,独立行政监察。而且多用年轻、资历较浅、品位较低的官员作为监察官员,“以小制大”,使得监察官员要自身求发展必须勇于履行所担当的职责(官小才不惜官)。,2022/12/10,4,导论:从吏治说起,3.言官制度 中国古代官制中最有独创性的就是言官制度。所谓言官,狭义来说是指谏官,秦汉的给事中、历代的谏议大夫、魏晋以后的门下省等皆是言官。这个设置是专门诤谏国君的失误的。广义来说包括各级监察官员,即御史台的官员。
3、后世说到言官多是包括“台(御史台)谏” 两方面的。历代还准许御史们“风闻奏事” ,扩大了言官们的言论空间,以避免施政中出现重大错误。,2022/12/10,5,导论:从企业说起,1. 企业理论为什么会有企业?企业的目的是什么?企业的控制权问题内部控制解决企业的什么问题?2.企业(公司)治理企业所有权安排剩余控制权与剩余索取权的分布公司治理的结构内部控制与公司治理,2022/12/10,6,导论:从弊案说起,水门事件安然事件牟其中顾雏军张海龚家龙2004年11月30日,在新加坡上市的航空燃料供应商中国航油(新加坡)股份有限公司,因从事投机行为造成5.54亿美元巨额亏损,向新加坡高等法院申请破产保
4、护。创维集团:2004年11月底,创维数码控股有限公司主席黄宏生等10名高管因涉嫌造假账及挪用公司资金被捕。 伊利集团:2004年12月30日,伊利集团原董事长郑俊怀等名高管因涉嫌挪用公款罪被捕。,2022/12/10,7,参考书目,(美) Steven J. Root著;付涛, 卢远瞩, 黄翠竹译,超越COSO:加强公司治理的内部控制:internal control to enhance corporate governance,北京:清华大学出版社,2004 (美) COSO制定发布;方红星,王宏译企业风险管理:整合框架:integrated framework,大连:东北财经大学出版社
5、,2005牛成喆著,COSO框架下的内部控制,北京:经济科学出版社,2005朱荣恩等,企业内部控制制度设计,上海财经大学出版社,2005。张文贤等,内部控制会计制度设计,立信会计出版社,2004。朱荣恩等,内部控制案例,复旦大学出版社,2005。李凤鸣,内部控制学,北京大学出版社,2005。会计研究、审计研究等重要期刊文献。,2022/12/10,8,第一部分 内部控制的基本架构,2022/12/10,9,内部控制的基本理论,1,内部控制的目标与要素,2,内部控制的程序与方法,3,内部控制的组织与过程,4,第一章 内部控中的基本理论,第一节 基本概念第二节 历史演进第三节 动因分析第四节 基本
6、原理第五节 内控性质,2022/12/10,10,第一节 内部控制的基本概念,一、控制与内部的概念控制(“控制”一词最初来源于希腊语“掌舵术”。意指领航者通过发号施令将偏离航线的船只拉回正常轨道)即驾驭、支配使人类活动处于掌握、支配之中,不超出一定的范围和界限,达到某种目标韦伯词典:降低频率或严重性到无害水平现代管理学:控制即操作、管理、指挥、调节等。对控制理解的关键点表明控制是有界限的控制离不开目标的约束控制是波动的,2022/12/10,11,一、控制与内部的概念,内部韦伯词典:位于某事物的范围之内或表面和一个有组织的机构俱乐部、公司或政府相关蝴蝶效应啤酒游戏牛鞭效应内部控制可以超越组织,
7、包括采购服务这样的流程,2022/12/10,12,二、内部控制的概念:多维视角,美国职业会计师协会审计程序委员会(1988):定义:为了对实现特定公司目标提供合理保证,而建立的一系列政策和程序。(SAS55审计准则说明书)要素:控制环境、会计系统、控制程序世界最高审计机关组织(INTOSAI)内部控制准则委员会(1992年颁布,2004修订)内部控制是一个整体过程,它受到一个实体管理和人员的影响,它被设计用来警示风险并对达到实体目标提供合理保证,其要取得以下一般目标:有序的执行,合乎道德的、经济的、高效的和有效的运营;履行受托责任和义务;保护资源,防止损失、滥用和损坏。,2022/12/10
8、,13,二、内部控制的概念:多维视角,Treadway 小组(COSO报告)(1992)定义:“内部控制系为达成某些目标而设计的过程”;即内部控制是一种由企业董事会、管理阶层与其他人员执行,由管理人员阶层所设计为达成营运的效果及效率,财务报告的可靠性和相关法令的遵循提供合理保证的过程。(Committee Of Sponsoring Organization of the Treadway Commission,即COSO)中华人民共和国财政部(2001)定义:为了提高会计信息质量,保护资产的安全、完整,确保有关法律、法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。,202
9、2/12/10,14,二、内部控制的概念:多维视角,COSO报告(2004年企业风险管理框架 ERM)COSO认为,内部控制是风险管理的一部分,企业风险管理框架是在内部控制整体架构基础上发展而来的,内部控制与风险管理有着密切的联系。 “企业风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件并管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。”,2022/12/10,15,二、内部控制的概念:多维视角,COSO报告(2004年企业风险管理框架 ERM)ERM框架对内部控制的定义明确了
10、以下内容:1.是一个过程;2.被人影响;3.应用于战略制定;4.贯穿整个企业的所有层级和单位;5.旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;6.合理保证;7.为了实现各类目标。对比COSO1992年的定义,ERM概念要细化得多。由于新COSO报告提出了风险偏好、风险容忍度等概念,使得ERM的定义更加明确、具体。,2022/12/10,16,二、内部控制的概念:多维视角,COSO报告(2004年企业风险管理框架 ERM)风险管理的目标ERM认为风险管理的目标有:战略目标与使命相关联并支撑其使命;经营目标有效和高效率地利用其资源;报告目标报告的可靠性;合规性目标企业经营符合相关法律法
11、规的规定。ERM整体框架中除了经营目标和合规性目标与内部控制整体框架相似以外,还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表,包括中期和简要财务报表以及从这些财务报表中摘出的数据,如利润分配数据”;新报告则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”,该目标涵盖了企业的所有报告。除此之外,新COSO报告提出了一类新的目标战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。,2022/12/10,17,二、内部控制的概念:多维视角,COSO报告(200
12、4年企业风险管理框架 ERM)风险管理的目标ERM认为风险管理的目标有:战略目标与使命相关联并支撑其使命;经营目标有效和高效率地利用其资源;报告目标报告的可靠性;合规性目标企业经营符合相关法律法规的规定。ERM整体框架中除了经营目标和合规性目标与内部控制整体框架相似以外,还将“财务报告的可靠性”发展为“报告的可靠性”。原COSO报告把财务报告的可靠性界定为“编制可靠的公开财务报表,包括中期和简要财务报表以及从这些财务报表中摘出的数据,如利润分配数据”;新报告则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”,该目标涵盖了企业的所有报告。除此之外,新COSO报告提出了一类新的目标战略目标
13、。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。,2022/12/10,18,二、内部控制的概念:多维视角,中国内部控制基本规范(2008年五部委联合发布,财政部会同证监会、审计署、银监会、保监会)本规范所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。,2022/12/10,19,二、内部控制的概念:多维视角,一般概念全部控制论内部控制是指企业为了提高经营信息质量,提
14、升经营效率和充分有效地获取和使用各种资源,在相关法律法规的要求下,达到既定的管理目标,而在内部实施的各种制约和调节的组织、计划、方法和程序。实质(一种观点):是一种管理体系是现代分权管理的重要手段是有效执行组织策略的必备工具,2022/12/10,20,三、理解内部控制概念的关键点,内部控制的主体:由谁来实施内部控制?从系统论的角度分析,以“单位自我”的隔离线,内部控制的主体只能是企业内部人员。高层管理者履行的主要是例外的、非程序性的控制,中、低层管理者执行的主要是常规性、程序性的控制活动。策略控制、管理控制和作业控制,2022/12/10,21,三、理解内部控制概念的关键点,内部控制的客体:
15、内部控制的实施对象是?内部控制的客体是企业内部的基本要素人、财、物及其在生产经营过程中所形成的一系列组合关系和组合形式,最终表现为单位的资金运动、物资运动和各业务活动信息处理过程,亦即整个组织的活动。须加注意的是,内部控制的主体和客体的划分并不具有互斥性。,2022/12/10,22,三、理解内部控制概念的关键点,内部控制目标,应达到什么样的目标或效果?是企业实施内部制定所要达到的标准也是审计人员或社会中介机构评价企业内部控制系统的依据 内部控制的方法和手段为了实现组织内部控制的目标而采取的各项控制方法、制度和措施等。这些手段具有制约、反馈和激励等功能。,2022/12/10,23,有趣的理论
16、:混沌理论,什么是混沌理论研究复杂的、非线性的、动态的系统著名假设:蝴蝶效应经典例证:长期的天气预报是无效的混沌理论的启示无论内部控制的设计和实施多么好,也只能合理保证实体目标的实现。不能依赖内部控制防止大的灾难发生?理论上,具备好内部控制的组织,其发生灾难的可能性小内控的局限性判断失误、执行偏差、管理层越权、合伙同谋、成本效益,2022/12/10,24,影响内部控制的因素,公司治理价值创造风险和机会法律法规文化技术责任:私营部门的责任扩大和外部董事的介入谁应该负责?,2022/12/10,25,第二节 内部控制的历史演进,2022/12/10,26,一、内部牵制阶段,内部牵制阶段(20世纪
17、30年代及以前)理论假设 “一毫财赋之出入,数人耳目通焉” (朱熹:周礼理其财之所出) 18世纪产业革命后发展迅速泰罗、法约尔等提出管理理论,促使内部牵制成熟特点目的: 查错防弊手法:职务或责任分离、交互核对主要控制:钱、账、物等会计事项,2022/12/10,27,二、内部控制制度阶段,内部控制制度阶段(20世纪40年代70年代)1936年,美国会计师协会(AICPA前身)首次正式使用了“内部控制”这一专门术语 1938 麦克逊罗宾斯药材公司案促使审计关注内部控制 1949年,美国注册会计师协会(AICPA)审计程序委员会,第一次提出了内部控制的概念 ,但范围太广; 1950年,美国国会规定
18、“各机关应负责对各种款项、财产及其他资产的有效控制,会计记载等应经由适当的内部稽核”。这是世界是第一次将内部控制列入政府法规 ; 1958年,美国AICPA 审计程序委员会将内部控制划分为会计控制(Internal Accounting Control): 直接与保障财产和财务记录可靠性相关的所有方法和程序管理控制(Internal Administrative Control)与经营效率和坚持经营政策相关与保障财产和财务记录可靠性间接相关,2022/12/10,28,麦克逊罗宾斯药材公司案,案件事实:人物:公司总裁:有前科的诈骗犯合谋者:总裁的三个兄弟舞弊内容虚构1000万存货和900万应收
19、帐款伪造供货商、销售代理及收款银行对CPA的教训没有调查总裁的背景没有核实应收帐款和存货对责任没有分离的风险缺乏评估,2022/12/10,29,三、内部控制结构阶段,内部控制结构阶段(20世纪80年代)1988年AICPA又对内部控制进行了重新定义,以“内部控制结构”的概念取代了“内部控制制度”。 指出“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”特点三要素:控制环境、会计系统、控制程序早先认为控制环境是管理控制的子集不区分会计控制和管理控制理论体系形成,2022/12/10,30,四、内部控制整体框架阶段,“内部控制整体框架”阶段(20世纪90年代)1992
20、年9月,美国发起组织委员会(COSO)发布了纲领性文件Internal Control- Integrated Framework ,并于1994年和1996年进行了增补,这就是现在风行世界的COSO报告。COSO委员会指出:“内部控制是由企业董事会、经理阶层以及其他员工实施的,为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现而提供合理保证的过程”。五要素:控制环境、风险评估、控制活动、信息与沟通、监控,2022/12/10,31,二、企业风险管理阶段,企业风险管理阶段(21世纪以来)2004年9月,COSO发布了企业风险管理整合框架(Enterprise Risk
21、Management:Integrated Framework)描述了适用于各类规模组织的企业风险管理的重要构成要素、原则与概念。框架集中关注风险管理,为董事会与管理层识别风险、规避陷阱、把握机遇进而增加股东价值提供了清晰的指南。八要素: 内部环境、目标设定、事项识别、风险评估、风险反映、控制活动、信息与沟通、监控,2022/12/10,32,33,第二章 内部控制的构成要素,根据COSO报告,内部控制的整体框架包括八个因素内部环境(Internal Environment) 目标设定(Objective Setting)事项识别(Event Identification)风险评估(Risk
22、Assessment)风险反映(Risk Response)控制活动(Control Activities) 信息与沟通(Information and Communication)监控 (Monitoring),2022/12/10,34,一、内部环境(Internal Environment),定义:指公司管理层树立的风险观、建立的风险偏好及承受能力。企业的内部环境是其他所有风险管理要素的基础。重要概念: 风险偏好:是指企业在实现其目标的过程中愿意接受的风险的数量,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来,目的是帮助企业的管理者在不同战略间选择与企业的风险偏好相一
23、致的战略。,2022/12/10,35,一、内部环境(Internal Environment),内容(1)员工的诚实性和道德观。如有无描述可接受的商业行为、利益冲突、道德行为标准的行为准则;(2)员工的胜任能力。如雇员是否能胜任质量管理要求;(3)董事会或审计委员会。如董事会是否独立于管理层;,2022/12/10,36,一、内部环境(Internal Environment),内容(4)管理理念和经营方式。如管理层对管理与经营关系处理的态度;(5)组织结构。如信息是否到达合适的管理阶层;(6)授予权利和责任的方式。关键部门经理的职责是否有充分规定;(7)人力资源政策和实施。如是否有关于雇用
24、、培训、提升和奖励雇员的政策。,2022/12/10,37,二、目标设定(Objective Setting),内涵指管理层根据企业的任务或预期,制定企业的战略目标,并在企业内层层分解和落实。管理者必须首先确定企业的目标,才能够确定对目标的实现有潜在影响的事项,并进行相关识别。企业风险管理就是提供给企业管理者一个适当的过程,既能够帮助制定企业的目标,又能够将目标与企业的任务或预期联系在一起,并且保证制定 的目标与企业的风险偏好相一致。,2022/12/10,38,三、事项识别(Event Identification),内涵事项识别即识别对组织产生影响的潜在风险。内容包括内部和外部的反映潜在因
25、素怎样影响战略执行和目标业绩的要素也包括区别哪些是风险、哪些是机会以及风险和机会并存的事项。,2022/12/10,39,四、风险评估(Risk Assessment),内涵指管理层分析对经营、财务报告、符合性目标有影响的内部或外部风险。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估风险发生的可能性和影响。,2022/12/10,40,四、风险评估(Risk Assessment),重要概念 风险容忍度指在企业目标实现过程中对差异的可接受程度是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度在确定各目标的风险容忍度时,企业应考虑相
26、关目标的重要性,并将其与企业风险偏好联系起来。,2022/12/10,41,五、风险反应(Risk Response),内涵:指在公司战略和目标的指引下,管理层根据风险偏好和承受能力来选择方法考虑如何应对风险。,规避风险,减少风险,共担风险,接受风险,风险反应(主要内容),2022/12/10,42,coso report 2004,http:/,2022/12/10,43,六、控制活动(Control Activities),含义:指对所确认的风险采取必要的措施,以保证企业目标得以实现的政策和程序。Control activities are policies and procedures,
27、 which are the actions of people to implement the policies, directly or through application of technology, to help ensure that managements risk responses are carried out. Control activities can be categorized based on the nature of the entitys objectives to which they relate: strategic, operations,
28、reporting, and compliance.,2022/12/10,44,六、控制活动(Control Activities),类别业绩评价 信息处理实物控制 职责分离,2022/12/10,45,六、控制活动(Control Activities),CategorizationTop-level reviewsDirect functional or activity managementInformation processing Physical controlsPerformance indicatorsSegregation of duties,2022/12/10,46,六
29、、控制活动(Control Activities),(一)业绩评价 是指将实际业绩与其他标准如前期业绩、预算和外部基准尺度进行比较;将不同系列的数据相联系如经营数据和财务数据,对功能或运行业绩进行评价。,2022/12/10,47,六、控制活动(Control Activities),(二)信息处理定义指保证业务在信息系统中正确、完全和经授权处理的活动。分类 一般控制General ControlsGeneral controls include controls over information technology management, information technology in
30、frastructure, security management, and software acquisition, development, and maintenance.,2022/12/10,48,六、控制活动(Control Activities),(二)信息处理分类 应用控制 Application ControlsApplication controls focus directly on completeness, accuracy, authorization, and validity of data capture and processing. An importa
31、nt objective of application controls is to prevent errors from entering the system, as well as to detect and correct errors once they are present.,2022/12/10,49,六、控制活动(Control Activities),(二)信息处理分类 应用控制 Application ControlsBalancing control activitiesCheck digits Predefined data listings Data reason
32、ableness testsLogic tests,2022/12/10,50,六、控制活动(Control Activities),(三)实物控制 定义也称为资产和记录接近控制,这些控制活动包括实物安全控制、寻计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。 实物控制中防止资产被窃的程序与财务报告的可靠性有关 。,2022/12/10,51,六、控制活动(Control Activities),(四)职责分离定义指将各种功能性职责分离,以防止单独作业的雇员从事或隐藏不正常行为。一般来说,下面的职责应被分开:业务授权业务执行业务记录对业绩的独立检查理想状态的职责分离是,没有一
33、个职员负责超过一个的职能。,2022/12/10,52,六、控制活动(Control Activities),(四)职责分离For instance, responsibilities for authorizing transactions, recording them, and handling the related asset are divided. A manager authorizing credit sales would not be responsible for maintaining accounts receivable records or handling c
34、ash receipts. Similarly, salespersons would not have the ability to modify product price files or commission rates.,2022/12/10,53,七、信息与沟通(Information and Communication),定义指为了使职员能执行其职责,企业必须识别、捕捉、交流外部和内部信息。外部信息市场份额外负担法规要求客户投诉等信息。内部信息会计制度,即由管理当局建立的记录和报告经济业务和事项、维护资产、负债和业主权益的方法和记录。,2022/12/10,54,七、信息与沟通(
35、Information and Communication),Operating information from internal and external sources, both financial and non-financial, is relevant to multiple business objectives. Financial information, for instance, is used in developing financial statements for reporting purposes, and also for operating decis
36、ions, such as monitoring performance and allocating resources. Reliable financial information is fundamental to planning, budgeting, pricing, evaluating vendor performance, assessing joint ventures and alliances, and a range of other management activities.,2022/12/10,55,七、信息与沟通(Information and Commu
37、nication),沟通Communication is inherent in information systems.,2022/12/10,Open communication about the entitys risk appetite and risk tolerances is important, particularly for entities linked with others in supply chains or e-business enterprises. In such instances, management considers how its risk
38、appetite and risk tolerances align with those of its business partners, ensuring it does not inadvertently accept too much risk through its partners.,56,七、信息与沟通(Information and Communication),沟通Communication is inherent in information systems.,2022/12/10,Communication to stakeholders, regulators, fi
39、nancial analysts, and other external parties provides information relevant to their needs, so they can understand readily the circumstances and risks the entity faces. Such communication should be meaningful, pertinent, and timely,and conform to legal and regulatory requirements.,57,七、信息与沟通(Informat
40、ion and Communication),沟通的内容使员工了解其职责,保持对财务报告的控制。它包括使员工了解在会计制度中他们的工作如何与他人相联系,如何对上级报告例外情况。沟通的方式政策手册财务报告手册备查簿口头交流或管理示例等。,2022/12/10,58,七、信息与沟通(Information and Communication),沟通的内容使员工了解其职责,保持对财务报告的控制。它包括使员工了解在会计制度中他们的工作如何与他人相联系,如何对上级报告例外情况。沟通的方式政策手册财务报告手册备查簿口头交流或管理示例等。,2022/12/10,59,八、监控(Monitoring),定义指
41、评价内部控制质量的过程,即对内部控制运行及改进活动评价。内容包括内部审计和与企业外部人员、团体进行交流。,2022/12/10,60,八、监控(Monitoring),Monitoring can be done in two ways: through ongoing activities or separate evaluations. Enterprise risk management mechanisms usually are structured to monitor themselves on an ongoing basis, at least to some degree.
42、 The greater the degree and effectiveness of ongoing monitoring, the less need for separate evaluations.A variety of evaluation methodologies and tools are available, including checklists, questionnaires, and flowcharting techniques.,2022/12/10,61,角色和责任(ROLES AND RESPONSIBILITIES),所有在组织中的人都应承担相应的责任:
43、CEO承担“最终责任”;其他的管理者和员工按风险偏好和风险容忍度支持、执行企业的风险管理;董事会对企业风险管理进行监督和指导;外部的利益相关者为企业风险管理提供有益的信息但他们并不为其负责。,2022/12/10,62,角色和责任(ROLES AND RESPONSIBILITIES),Everyone in an entity has some responsibility for enterprise risk management. The chief executive officer is ultimately responsible and should assume “owner
44、ship.” Other managers support the risk management philosophy, promote compliance with the risk appetite, and manage risks within their spheres of responsibility consistent with risk tolerances.,2022/12/10,63,角色和责任(ROLES AND RESPONSIBILITIES),Other personnel are responsible for executing enterprise r
45、isk management in accordance with established directives and protocols. The board of directors provides important oversight to enterprise risk management. A number of external parties often provide information useful in effecting enterprise risk management, but they are not responsible for the effec
46、tiveness of the entitys enterprise risk management.,2022/12/10,64,角色和责任(ROLES AND RESPONSIBILITIES),Risk Officer风险总监建立企业风险管理政策包括定义角色和责任并参与目标设定;提升企业风险管理能力包括提升技术性的风险管理专业知识能力,帮助管理者将风险反应与风险容忍度结合,运用适当的控制;将风险管理与企业其他的商业计划和管理活动有机结合;建立通用的风险管理语言,包括对可能性和结果的通用计量以及通用的风险分类;促进管理者报告规则的制定,包括定量和定性的阈值,对报告过程的监控;向CEO报告进
47、程和例外,提出需要的建议。,2022/12/10,65,角色和责任(ROLES AND RESPONSIBILITIES),Risk Officer风险总监建立企业风险管理政策包括定义角色和责任并参与目标设定;提升企业风险管理能力包括提升技术性的风险管理专业知识能力,帮助管理者将风险反应与风险容忍度结合,运用适当的控制;将风险管理与企业其他的商业计划和管理活动有机结合;建立通用的风险管理语言,包括对可能性和结果的通用计量以及通用的风险分类;促进管理者报告规则的制定,包括定量和定性的阈值,对报告过程的监控;向CEO报告进程和例外,提出需要的建议。,2022/12/10,66,角色和责任(ROLE
48、S AND RESPONSIBILITIES),Financial Executives财务高级管理人员the chief financial officer, chief accounting officer, controller, and others in the financial function在企业风险管理中处于核心地位,预防和发现虚假报告;CFO对财务报告负责,并影响企业计划制定、实施和监控报告系统。,2022/12/10,67,角色和责任(ROLES AND RESPONSIBILITIES),External Parties外部利益相关者External Auditors
49、外部审计Legislators and Regulators立法者和管制者Parties Interacting with the Entity交易团体Customers, vendors, business partners, and others who conduct business with an entity are an important source of information used in enterprise risk management activities.Outsource Service Providers外包服务提供者Financial Analysts,
50、 Bond Rating Agencies, News Media金融分析师,评级机构,新媒体,2022/12/10,68,注释1:企业内部控制八要素的关系,企业风险管理并非一个严格的序列过程。在序列过程中,某一要素仅影响其后面接下来的那一要素。企业风险管理是一个多向的,相互作用的过程,几乎其中任一要素均能并且确实会影响另外的要素。,2022/12/10,69,注释2: COSO报告的贡献评价,(一)2004年新COSO报告的贡献(相对内部控制框架Internal ControlInternal Framework而言):1 增加了一个观念风险组合观;2 树立了一个目标战略目标;3 增加了两个
