COSO报告-内部控制与企业风险管理课件

1、COSO报告与企业风险管理,主讲：王咏梅 单位：上海国家会计学院教研部 Email：,2006-4-26,1,COSO报告-内部控制与企业风险管理,个 人 简 历,19932001：上海财经大学会计学院讲师 2001至今： 上海国家会计学院教研部 1999：加拿大注册会计师执业资格 2004至今：加拿大注册会计师协会上海分会主席,2006-4-26,2,COSO报告-内部控制与企业风险管理,内容简介,COSO报告的发展 从内部控制向企业风险管理转变的根源 企业风险管理整体框架,2006-4-26,3,COSO报告-内部控制与企业风险管理,COSO报告的发展,发展背景

2、 发展进程 有关规定,2006-4-26,4,COSO报告-内部控制与企业风险管理,COSO报告的发展背景,商业丑闻的影响 管理层对风险看法的转变 投资者的要求,2006-4-26,5,COSO报告-内部控制与企业风险管理,COSO报告的发展背景,二十世纪九十年代以来愈演愈烈的商业丑闻，使得投资者和其他利益相关者遭受了巨大的损失，人们在加强内部控制的同时，开始认识到全面风险管理的重要性，希望建立一个能有效地帮助管理策识别、评价和管理风险的思维框架。 安然事件 世通事件,2006-4-26,6,COSO报告-内部控制与企业风险管理,COSO报告的发展背景,低层次/经营层次。风险监控是内部审计人员

3、的职能 风险是一个需要控制的负面因素 风险管理在企业各部分个别展开 风险管理的责任被委派到低层次的人员 风险的衡量是主观的 无组织以及杂乱的风险管理职能,是CEO的工作 (也是董事会的监管职责) 风险是威胁也是机会 在整个企业范围内进行一体化的风险管理 风险管理的责任由高级管理人员和部门管理人员承担 风险数量化 风险管理被纳入所有的企业管理系统,管理层对风险看法的转变,从以往的操作角度 过渡到董事会关注,2006-4-26,7,COSO报告-内部控制与企业风险管理,COSO报告的发展背景,投资者的要求 随着国际上市融资的增多, 机构与个人投资者对全球股市重视程度的加强, 投资者正在寻找拥有成熟

4、监管体系的公司进行投资 为了应付国际压力, 各大公司都要对其公司监管的主要领域进行披露,2006-4-26,8,COSO报告-内部控制与企业风险管理,COSO报告的发展进程,1992年9月，COSO委员会发布内部控制整体框架（Internal Control Integrated Framework）； 1994年，COSO委员会发布内部控制整体框架的修改报告； 2001年年初，COSO 委员会成立了一个由维吉尼亚大学教授组成的专家组，以确认是否需要就企业风险管理开发出一个指导性的框架。专家组经过调研，发现公司董事会和董事会下的审计委员会对于企业风险管理有强烈的需求。COSO委员会因此从其五个

5、成员组织中召集人员成立了项目咨询委员会，并且请普华会计师事务所书写这一框架性的文件,2006-4-26,9,COSO报告-内部控制与企业风险管理,2002年7月25日，美国通过了 SOX法案（Sarbanes-Oxley Act） 2003年7月，COSO公布研究报告讨论稿 2004年9月，COSO正式发布研究报告“企业风险管理整体框架（ Enterprise Risk Management Integrated Framework,COSO报告的发展进程,COSO委员会的行动显示了内部控制向企业风险管理发展的趋势,2006-4-26,10,COSO报告-内部控制与企业风险管理,有关规定,国际

6、审计准则ISA 美国审计准则SAS，SOX法案 我国有关内部控制的规定 1999年10月修订的中华人民共和国会计法（第四章第27条） 财政部制定的一系列内部会计控制规范： 2001年7月，内部会计控制规范基本规范（试行）和内部会计控制规范货币资金（试行） 2002年12月，内部会计控制规范采购与付款（试行）和内部会计控制规范销售与收款（试行） 2003年10月，内部会计控制规范工程项目（试行） 2004年8月，内部会计控制规范担保（试行）和内部会计控制规范对外投资（试行） 2003年7月，内部会计控制规范成本费用（征求意见稿） 2003年11月，内部会计控制规范预算（征求意见稿） 2001年1

7、月，中国证监会公布证券公司内部控制指引 2002年9月7日，中国人民银行公布商业银行内部控制指引 中国人民银行加强金融机构内部控制的指导原则 2005年4月，上海证券交易所上市公司内部控制制度指引（征求意见稿,2006-4-26,11,COSO报告-内部控制与企业风险管理,控 制 环 境,风 险 评 估,控 制 活 动,监控,作 业 活 动 1,作 业 活 动 2,循,遵,营,经,告,报,信息与沟通,COSO1,COSO2-ERM,从内部控制向企业风险管理转变的根源,2006-4-26,12,COSO报告-内部控制与企业风险管理,从内部控制向企业风险管理转变的根源,企业风险管理的定义 “企业风

8、险管理是由企业的董事会、管理层和其他人员实施的，运用于战略制定，并贯穿整个企业的一个过程。这个过程的设计是为了及时识别可能影响企业的潜在事件，将风险控制在风险偏好范围内，为实现企业目标提供合理的保证。,2006-4-26,13,COSO报告-内部控制与企业风险管理,现代企业经营的基本原则： 每一个企业（不管是盈利性企业还是非盈利性企业）存在的目的都是为其利益相关者实现价值、创造价值。 对顾客的体现带来消费者剩余 对债权人的体现有足够的利润还本付息 对供应商有足够的信用支付货款 股东获得满意的投资回报,从内部控制向企业风险管理转变的根源,2006-4-26,14,COSO报告-内部控制与企业风险

9、管理,现代企业的经营特征,从内部控制向企业风险管理转变的根源,2006-4-26,15,COSO报告-内部控制与企业风险管理,从内部控制向企业风险管理转变的根源,现代企业的经营模式与控制： 所有经营活动的管理决策都会创造、保护或者破坏价值，包括战略制定到企业日常运营的各种经营活动 企业战略管理 对内外部重要战略风险的反应 理论上由公司经理层（CEO）提出建议，股东大会或董事会批准，董事会负责监督经理层战略的执行 监督的方法：关键成功要素、关键业绩指标 企业经营环节 关键经营环节就是对企业战略风险的反应 高层管理人员对经营环节的监控,2006-4-26,16,COSO报告-内部控制与企业风险管理

10、,企业的业绩监控：计量驱动业绩 平衡计分卡,财务方面,目标,计量,公司怎么看待股东,顾客怎么看公司,顾客方面,目标,计量,创新和学习方面,目标,计量,内部经营方面,目标,计量,如何继续提高和创造价值,必需在哪方面胜出,从内部控制向企业风险管理转变的根源,2006-4-26,17,COSO报告-内部控制与企业风险管理,ERM支持价值的创造，可以帮助管理层： 有效地处理带来不确定性的未来潜在事件。 正确地应对事件，减少发生负面结果的可能性，增加正面的影响。 COSO的ERM框架为企业风险管理定义了几个基本要素，提出了通用用语，并且提供了清晰的方向和指引,从内部控制向企业风险管理转变的根源,2006

11、-4-26,18,COSO报告-内部控制与企业风险管理,企业风险管理整体框架,四个目标： 战略 经营 报告 遵循,2006-4-26,19,COSO报告-内部控制与企业风险管理,企业风险管理整体框架,ERM考虑了组织中所有层次上的活动： 企业整体层次 分支机构或者子公司 业务单元环节,2006-4-26,20,COSO报告-内部控制与企业风险管理,企业风险管理整体框架,八个基本要素 内部环境 目标制定 事件识别 风险评估 风险应对 控制活动 信息和沟通 监控,2006-4-26,21,COSO报告-内部控制与企业风险管理,企业风险管理整体框架,内部环境 风险管理哲学-风险文化-董事会-诚信与道

12、德-能力承诺-管理层哲学与经营风格-组织结构-责权划分-人力资源政策与实务-环境差异,信息与沟通 信息-战略与综合的系统-沟通,风险评估 固有风险、剩余风险-可能性和影响-定性与定量,工作方法、技巧-相关性,风险应对 确认风险应对-评价可能风险应对-选择应对-组合视角,控制活动 与风险应对相结合-控制行动类型-一般控制-应用控制-个体特征,监控 持续-个别评估-报告缺陷,事件识别 事件-影响战略与目标之因素-工作方法和技巧-相互依存事件-事件分类-风险与机遇,目标设定 战略目标-相关目标-选定目标-风险偏好-风险容忍度,2006-4-26,22,COSO报告-内部控制与企业风险管理,ERM1.

13、内部环境,建立风险管理理念。应认识到未预期事件与预期事件一样可能发生。 建立企业的风险文化。 考虑所有的其他组织行为如何影响风险文化,2006-4-26,23,COSO报告-内部控制与企业风险管理,ERM 2.目标设定,在设定目标时，管理层应该考虑风险战略。 形成企业的风险偏好（risk appetite） 从高层次的视角来确定管理层和董事会乐意接受多大风险。 风险容忍度（risk tolerance），是指目标变化程度的可接受水平，是与风险偏好相联系的,2006-4-26,24,COSO报告-内部控制与企业风险管理,ERM 3.事件识别,区分风险和机会。 带来负面影响的事件代表风险。 带来正

14、面影响的事件代表自动抵消（机会），管理层应该在战略制定中重新考虑这些事件的存在。 考虑发生在内部的或发生在外部的可能影响战略和目标实现的事件。 指出内部资源与外部资源应如何结合起来，相互作用来影响风险的组合,2006-4-26,25,COSO报告-内部控制与企业风险管理,ERM 4.风险评估,使得企业了解潜在事件影响目标的程度。 从两个角度评估风险 风险发生的可能性 风险发生的影响力 不仅可以用来评估风险，还可以用来衡量相关目标。 结合运用定性的和定量的风险评估方法。 将时间纬度与目标纬度联系起来。 既要评估固有风险，还要评估剩余风险,2006-4-26,26,COSO报告-内部控制与企业风险

15、管理,ERM 5.风险应对,识别并评价潜在的风险应对方案。 根据企业的风险偏好、潜在风险应对方案的成本效益以及应对方案能够降低风险影响力和（或）可能性的程度来评估各种方案。 在评估风险组合和应对方案的基础上，选择并实施应对方案,2006-4-26,27,COSO报告-内部控制与企业风险管理,ERM 6.控制活动,控制活动是保证风险应对方案以及其他企业指令得到执行的相关政策和程序。 控制活动是对风险应对的支持。 控制活动存在于整个企业，包括各个层面和各个职能部门。 控制活动包括操作控制和一般的信息技术控制,2006-4-26,28,COSO报告-内部控制与企业风险管理,ERM 7.信息与沟通,管

16、理层必须以一定的格式和时间间隔识别、捕捉和传递有关信息，以保证企业的员工能够执行各自的职责。 沟通的意义广泛，包括企业内自上而下、自下而上以及横向的沟通,2006-4-26,29,COSO报告-内部控制与企业风险管理,ERM 7.信息与沟通,内部和外部的相关信息 以一定形式和时间间隔确认、收集和传递信息 深入整个ERM系统 质量、深度和及时性的考虑 内部与外部、自上而下、自下而上以及横向的沟通 沟通的有效性 常规的渠道，备选的（非常的）的渠道 （例如：吹哨者whistleblower,2006-4-26,30,COSO报告-内部控制与企业风险管理,ERM 8.监控,通过以下三种方式对ERM的其

17、他几个要素进行监控： 持续的监控活动 个别评估 两者的结合,2006-4-26,31,COSO报告-内部控制与企业风险管理,ERM与内部控制整体框架的关系,一个有力的内部控制系统对有效的企业风险管理来说是至关重要的。 扩展并详尽阐述了COSO“控制框架”中的内部控制要素。 将目标设定作为一个单独的组成部分。目标是内部控制的“前提”。 扩展了控制框架的“财务报告”和“风险评估,2006-4-26,32,COSO报告-内部控制与企业风险管理,ERM的作用与职责,管理层 董事会 风险官（CRO） 内部审计人员,2006-4-26,33,COSO报告-内部控制与企业风险管理,ERM中内部审计人员的作用

18、,内部审计人员在ERM监控过程中起到重要作用，但是并没有实施或维护ERM监控过程的主要职责。 通过以下方式帮助管理层和董事会或审计委员会来履行其职责 ： 监控 评估 检查 报告 提出改进建议,2006-4-26,34,COSO报告-内部控制与企业风险管理,ERM的关键实施因素,经营的组织设计 建立一个ERM组织 执行风险评估 确定总体风险偏好 确定风险应对方案 沟通传递风险结果 监控 管理层的监督和定期审查,2006-4-26,35,COSO报告-内部控制与企业风险管理,1.关键的实施因素组织设计,经营战略 关键经营目标 将关键经营目标分解至组织各个层次的相关目标 组织单元和负责人的职责分配

19、（上述几者之间具有关联关系,2006-4-26,36,COSO报告-内部控制与企业风险管理,2.关键的实施因素建立ERM,确定风险理念 调查风险文化 考虑组织的诚实和道德价值 确定任务和职责,2006-4-26,37,COSO报告-内部控制与企业风险管理,3.关键的实施因素评估风险,风险评估是对影响经营目标的风险进行鉴定和分析。风险评估是确定如何管理风险的基础,2006-4-26,38,COSO报告-内部控制与企业风险管理,4.关键的实施因素确定风险偏好,风险偏好是企业在追求价值过程中所愿意接受的总体水平上的风险量。 采用定量的或者定性的观点，并考虑风险容忍度（可接受的变动范围）。 主要问题：

20、 组织不能接受哪些风险？（例如，环境或质量承诺） 组织采取新举措时，会面临哪些风险？（例如，新的生产线） 组织为达到竞争性目标会接受哪些风险？（例如，利润总额VS.市场份额,2006-4-26,39,COSO报告-内部控制与企业风险管理,5.关键的实施因素确定风险应对方案,量化风险 可用方案 接受 = 监控 避免 = 消除（摆脱这一境遇） 减少 = 施加控制 共享 = 与他方合作（例如，保险） 剩余风险（未降低的风险例如，损耗,2006-4-26,40,COSO报告-内部控制与企业风险管理,实际的风险应对战略举例,2006-4-26,41,COSO报告-内部控制与企业风险管理,6.关键的实施因素结果的沟通,风险与相关风险应对方案的仪表盘（与风险容忍度相比，关键风险所处的形象化状况） 环节流程图，包括所记录的控制 对经营