风险与内部控制-普华永道-RISK(powerpoint 77页)

1、企业目标企业目标(mbio), 风险与内部控制风险与内部控制- 通过风险管理实现企业目标通过风险管理实现企业目标第一页，共七十九页。2企业目标企业目标, 风险与内部风险与内部(nib)(通过风险管理实现企业目标通过风险管理实现企业目标)提纲提纲: 什么是风险管理什么是风险管理 投资者的要求投资者的要求(yoqi) 企业目标企业目标, 风险与内部控制的关系风险与内部控制的关系 控制结构框架控制结构框架 风险管理风险管理实施实施 (案例分析案例分析) 第二页，共七十九页。PwC第三页，共七十九页。4“管理是管理是:和和的的, 并且并且帮助帮助(bngzh)组织组织, 并并的的” 第四页，共七十九页

2、。5管理层对风险(fngxin)的看法的转变低层次低层次/经营层次。风险经营层次。风险(fngxin)监控是内监控是内部审计人员的职能。部审计人员的职能。风险是一个需要控制的负面因素。风险是一个需要控制的负面因素。风险管理在企业各部分个别展开风险管理在企业各部分个别展开风险管理的责任被委派到低层次的人员风险管理的责任被委派到低层次的人员风险的衡量是主观的风险的衡量是主观的无组织以及杂乱的风险管理职能无组织以及杂乱的风险管理职能从过往从过往(guwng)操作角度操作角度过渡到董事会关注过渡到董事会关注是是CEO的工作的工作 (也是也是董事会的监管董事会的监管)风险其实是一个机会风险其实是一个机会

3、在整个企业范围内进行一体化的风险管理在整个企业范围内进行一体化的风险管理风险管理的责任由高级和部门管理人员承担风险管理的责任由高级和部门管理人员承担风险的数化风险的数化风险管理被纳入所有企业管理系统风险管理被纳入所有企业管理系统第五页，共七十九页。投资者的要求投资者的要求(yoqi)PwC第六页，共七十九页。7 投资者关注投资者关注: 一系列大公一系列大公司司(n s)倒闭事件倒闭事件, 如: 1991年: Bank of Credit & Commerce (BCCI), Maxwell 1995年: 巴林银行巴林银行, Daiwa银行银行 投资者投资者及有关各方有关各方对公司报告公

4、司报告和道德行为标准的要求不断提道德行为标准的要求不断提高高 第七页，共七十九页。8 随着国际上市融资的增多, 机构与个人投资者对全球股市重视程度的加强, 投资者正在 为了应付(yng f)国际压力, 中国是幸运的. 她可以关注着各主要金融中心关于公司监管的探讨的发展进程. . 第八页，共七十九页。9 投资者要什么投资者要什么? 一个一个(y )建立在建立在EVA或或MVA基础上基础上长期长期, 稳定而稳定而能接能接受受的回的回报报 第九页，共七十九页。10 公司目标公司目标又又是是什么什么? 最大最大股东股东(gdng)财富财富 第十页，共七十九页。企业目标, 风险与内部(nib)控制的关系

5、PwC第十一页，共七十九页。12通过管理程序或活动减少风险通过管理程序或活动减少风险可量化，可衡量，可以达到的业务目标可量化，可衡量，可以达到的业务目标可能影响业务目标实现的事件可能影响业务目标实现的事件第十二页，共七十九页。13 具体化 可衡量 可达到 有经济效益(jn j xio y) 与企业长远目标相联第十三页，共七十九页。14 一年内将股东价值提高一年内将股东价值提高30% 在在18个月内实现个月内实现(shxin)成本降低达成本降低达 25% 6个月内提高生产率个月内提高生产率20% 实现共享服务实现共享服务 (Shared Services Initiatives) 建立电子商务建

6、立电子商务 (E-Business Initiatives) 新的新的/改良的系统改良的系统 (New/Modified Systems)第十四页，共七十九页。15 组织机构和业务单位是否对各自应实现的目标承担责任组织机构和业务单位是否对各自应实现的目标承担责任? 最重要的客户和其组成部分是什么最重要的客户和其组成部分是什么? 利益相关者的期盼是什么利益相关者的期盼是什么? 影响影响: 对于公司对于公司, 业务单位或业务流程而言业务单位或业务流程而言, 什么样的目标有最大的影响什么样的目标有最大的影响力力? 时间时间: 短期短期(dun q)来看来看, 哪些目标是最重要的哪些目标是最重要的?第

7、十五页，共七十九页。16A. 请根据具体情况请根据具体情况, 比如您所在的中化产业比如您所在的中化产业(chny)链链 (如油品，塑料，橡胶如油品，塑料，橡胶, 化工产品化工产品, 贸易贸易) 和企业特点和企业特点 (如集团公如集团公司司, 职能部门职能部门, 产业产业(chny)集团公司集团公司, 产业产业(chny)子公司等等子公司等等), 描述您明年的最重要的五个目标描述您明年的最重要的五个目标: 目标目标描述描述1. 2. 3. 4. 5. 第十六页，共七十九页。17What keeps management up at night?什么事情使管理层夜不能寐什么事情使管理层夜不能寐?W

8、hat doesnt keep management up at night, but should? 什么事情应该引起管理层的注意，而实际什么事情应该引起管理层的注意，而实际(shj)却没有却没有?Any issue which could impact an Organizations ability to meet its objectives. 任何可能影响某一组织实现其目标的事项。任何可能影响某一组织实现其目标的事项。第十七页，共七十九页。18 遵守风险遵守风险 (法律和政策法律和政策) 财务风险财务风险 经营风险经营风险 (包括包括战略风险和科技风险战略风险和科技风险) 在企业在企

9、业(qy)成立之初，内部审计职能的建立一般是以财务和成立之初，内部审计职能的建立一般是以财务和遵守法律和政策为重点，但是随着企业的成长，发展以增值为遵守法律和政策为重点，但是随着企业的成长，发展以增值为重点。重点。第十八页，共七十九页。19Economic (经济经济) Political (政治政治) Legal (法律法律)Technology (科技科技)Competition (竞争竞争)Foreign Exchange (外汇风险外汇风险)Market stagnation (市场萧条市场萧条)Supplier (供应商供应商)Market related risk (市场固有风险市

10、场固有风险)Security/fraud activity (安全安全(nqun)/欺诈行为欺诈行为)Change in IT (IT 变革变革)People (人人)Reputation/media (声誉声誉/媒体媒体)Product/Production (产品产品(chnpn)/生产生产)Purchasing/Procurement (采购采购)Accounting (会计会计)Working capital mgmt (流动资本管理流动资本管理)Management information (管理信息管理信息)Financial controls (财务控制财务控制)第十九页，共七十

11、九页。20威胁威胁不确定因素不确定因素机会机会战略风险战略风险财务财务/市场风险市场风险经营性的经营性的/法律法律法规性的风险法规性的风险风险包括风险包括:恶性事件带来的威胁恶性事件带来的威胁(risk as hazard)尚不能确定尚不能确定(qudng)后果的事件后果的事件(risk as uncertainty)可转化为机会的事件可转化为机会的事件 (risk as opportunity) 风险是任何风险是任何(rnh)可能影响某一组可能影响某一组织实现其目标的事项织实现其目标的事项第二十页，共七十九页。21 风险风险(fngxin)长期存在长期存在 不总能被消除不总能被消除 必须与机

12、会同时权衡必须与机会同时权衡第二十一页，共七十九页。22需要需要(xyo)更有力更有力的控制的控制Sears误导性的汽车销售误导性的汽车销售(xioshu)方法方法Salomon债券债券(zhiqun)拍卖丑闻拍卖丑闻Bausch & Lomb来自来自CEO的的的销售压力的销售压力Hudson Foods污染的污染的牛肉牛肉General Motors未能察觉的未能察觉的虚假虚假的代理商的代理商销售销售Beech-Nut Foods质量控制的合规性质量控制的合规性Archer Daniels Midland控制价格的指控控制价格的指控Barings未得许可的交易风险未得许可的交易风险D

13、aiwa贸易损失贸易损失Cathy Lee Gifford压榨劳工压榨劳工Foundation for NewEra PhilanthropyPonzi 投资计划投资计划Texaco种族歧视种族歧视United Way有问题的管理模式有问题的管理模式Dennys歧视歧视Firestone产品质量产品质量不幸的转轮不幸的转轮第二十二页，共七十九页。23 管理层的能力管理层的能力 (Competence of management ) 管理层的道德观管理层的道德观 (Integrity of management) 近期系统变化近期系统变化 (Recent changes in systems)

14、组织规模组织规模 (Size of unit) 资产流动性资产流动性 (Liquidity of assets) 变革变革 (Change) 复杂程度复杂程度 (Complexity) 快速增长快速增长 (Rapid growth) 规章制度规章制度(u zhn zh d)是否健全是否健全 (Level of regulation)第二十三页，共七十九页。24 B. 请根据您所要实现的企业目标请根据您所要实现的企业目标, 列出将面对的风险列出将面对的风险(fngxin)并评价其对实现企业目标的关键性并评价其对实现企业目标的关键性: 目标目标风险风险高高 /中中/低低1. 2. 3. 4. 5.

15、 第二十四页，共七十九页。25实施程序实施程序/活动活动(hu dng)以减少风险以减少风险 内部控制内部控制定义定义: 管理层采取的计划管理层采取的计划,组织组织,指导行动为保证以下目标的实现指导行动为保证以下目标的实现: - 达到预定目标达到预定目标 - 经济并有效的使用资源经济并有效的使用资源 - 防止资产防止资产(zchn)流失流失 - 信息的可靠性与整体性信息的可靠性与整体性 - 与政策与政策, 计划计划, 程序程序, 法律法规保持一致法律法规保持一致 (来源来源:英国内部审计委员会英国内部审计委员会)第二十五页，共七十九页。26实施程序实施程序(chngx)/活动以减少风险活动以减

16、少风险 内部控制能够帮助内部控制能够帮助(bngzh)企业达成其目标，同时在前进过程中避免企业达成其目标，同时在前进过程中避免各种错误和意外各种错误和意外. 随着对价值随着对价值, 责任责任, 信任和授权的认可加强信任和授权的认可加强, 控制也被认为是一控制也被认为是一个有活力的个有活力的, 不断发展的系统不断发展的系统.第二十六页，共七十九页。27原有风险的变化和新的风险对早期设计的内部原有风险的变化和新的风险对早期设计的内部(nib)控制系统施加压力控制系统施加压力.企业组织的变化企业组织的变化内部因素内部因素外部因素外部因素 降低成本的要求降低成本的要求工艺流程的改进工艺流程的改进和变化

17、和变化 市场竞争市场竞争执法者观点的执法者观点的改变改变新的技术新的技术第二十七页，共七十九页。28 公司的指导与控制体系公司的指导与控制体系. 包括公司各方面的运营包括公司各方面的运营活动活动, , 如财务管理与报告如财务管理与报告, , 经营经营效率与效果效率与效果(xiogu)(xiogu), ,遵守相关法律遵守相关法律. . 由股东指定的董事会负责公司管理由股东指定的董事会负责公司管理. 第二十八页，共七十九页。29 有关公司监管讨论的一个中心问题是: 建立一个强有力的内部控制系统. Adrian Cadbury爵士甚至(shnzh)断言, 有效的内部控制是公司高效管理的必要部分这一观

18、点已得到广泛认可.第二十九页，共七十九页。30 我们应该积极的看待我们应该积极的看待内部控制内部控制(kngzh), 它使董事们自信它使董事们自信地地运营公运营公司司, 达到他们达到他们运营和赢利的目标运营和赢利的目标, 同时同时防止资源的流失防止资源的流失. 内部控内部控制在协助管理层防止资源流失制在协助管理层防止资源流失, 保证信息的可靠性和系统整体保证信息的可靠性和系统整体恰当运转方面是必不可少的恰当运转方面是必不可少的. 第三十页，共七十九页。31 组织内部控制系统的设计组织内部控制系统的设计, 维护和监测的职责维护和监测的职责, 首先是首先是, 而且最重要的而且最重要的是是由董事会执

19、行的由董事会执行的. 在很多组织内部在很多组织内部, 这一职责是这一职责是由审计委员会负责的由审计委员会负责的. 仅仅建立仅仅建立内部内部控制系统是不够的控制系统是不够的. 内部控制系统内部控制系统需要不断的监管以保证组织需要不断的监管以保证组织达到其既定目标达到其既定目标. 因此因此, 除非建立一个除非建立一个有效的监管系统有效的监管系统, 否则我们否则我们不能确保内部控不能确保内部控制系统的有效性制系统的有效性. 监管程序的作用是给董事会一种监管程序的作用是给董事会一种(y zhn) “合合理的保证理的保证” , 即内部控制正在向既定目标前进即内部控制正在向既定目标前进.第三十一页，共七十

20、九页。32审计审计(shn j)的范围的范围企业企业(qy)风险管理风险管理预防预防与管理与管理层共同层共同参与参与重视交易重视交易遵守职能遵守职能重视过程重视过程协助管理层自我评价协助管理层自我评价内部审计职能内部审计职能管理层的期望管理层的期望侦察侦察加强加强咨询咨询第三十二页，共七十九页。33目标目标 1风险风险控制控制 (A) 短期目标短期目标: 2002 年度实现利润增长10%:- 销售收入增长20%- 经营成本降低15% (B) 长期目标长期目标: 在未来五年内实现利润平均每年净增长10% - 由于不可靠的和不切实际的销售预测, 在进出口业务中造成严重囤货和存货作废. - 由于履行

21、不平等的或不利的合同条款而造成严重损失 (如赔偿损失, 名誉损害) - 由于未被授权的/给予过多的折扣造成毛利降低或直接亏损 - 严重的坏帐损失 - 有效的编制和控制经营计划和财务预算 - 采取措施增强销售预测的准确性并且只承担经过衡量并能接受的风险, 比如: 获得可靠的市场信息, 将实际情况与预算进行比较等 - 在主要的经营领域建立制度和程序 (须涵盖集团总部的制度和程序): 销售, 采购, 财会, 投资等 第三十三页，共七十九页。34目标目标 1风险风险控制控制(续)(A) 短期目标短期目标: 2002 年度实现利润增长10%:- 销售收入增长20%- 经营成本降低15% (B) 长期目标

22、长期目标: 在未来五年内实现利润平均每年净增长10% (续) - 由于买进不需要的产品, 质量不合格的产品, 价格没有竞争力的产品而造成库存积压/存货作废/资源浪费/品质不良带来的信誉损害 - 错误的投资决定 - 不正当的付款- 舞弊行为 -外汇风险 - 投机行为 (续) - 设置控制程序 (包括预防性的和侦察性的)和监控系统, 如 -销售合同审阅和批准 -折扣的授权和审批 -信用控制 -采购和付款的权限分配表 -采购的申请 (合理性), 审阅, 批准 (整个过程需要书面化) -三个文件的付款核对: PO, GRN 和发票 -常规的投资评价过程 (如使用NPV(净现值)/Payback Met

23、hod (收回方式) -加强内部审计功能 第三十四页，共七十九页。35目标目标 1风险风险控制控制(续)(A) 短期目标短期目标: 2002 年度实现利润增长10%:- 销售收入增长20%- 经营成本降低15% (B) 长期目标长期目标: 在未来五年内实现利润平均每年净增长10% (续) - 由于不适当的赏罚制度, 关键员工的流失或管理人员能力不足对业务造成的不利影响 - 由于不遵守法规造成的罚款/处罚/名誉损害(续) - 在业务单位采取一些防止不正当的付款或舞弊等事件发生的措施, 营造一个反对不正当付款行为的环境, 如制订控制程序(预防性的和侦察性的), 职业道德规范, 签署利益冲突文件,

24、签署不进行“不正当付款保证”文件等- 外汇兑换管理包括 Hedging - 防止投机行为的措施- 人力资源管理： 建立并贯彻制度和程序 公平而有效的奖罚制度吸收, 教育, 培训及保留优秀员工 建立并贯彻职业经理人在责任，权利, 和义务方面的标准 设置公平，客观和及时的效绩考核系统第三十五页，共七十九页。36目标目标风险风险控制控制 有效的资金管理 产生人民币万由于以下原因造成现金流预算的失效并造成资金危机, 会导致例如供应商停止供货造成生产延误而不能执行合同的信誉损失： -与供应商和客户签订不平等或不利的合同 -过长的付款条款 -经常性的没有从供应商获得赊销坏帐 (不当的信用控制和应收货款管理

25、）错误的投资决策不必要的资金支出源于未经授权的多余的采购，不适当的付款和舞弊行为，付款错误等投机行为，如高风险的投资 资金预算的计划和控制按月份的资金预算报告（将上月的实际发生和预算相比较制定下月的预算）信用控制制度和程序, 包括信用审阅收款的制度和程序合同审阅过程对投资项目进行控制采购和付款控制防止投机行为的措施第三十六页，共七十九页。37目标目标风险风险控制控制 建立一个准确的，可靠的和及时的财务系统 由于不准确，不可靠，不及时的财务会计和管理报告或信息而造成错误的管理决策, 以及在年末才反应出来的令人不悦的经营结果 由于以下因素造成的不准确，不可靠和不及时的财务和管理报告： - 不合格的

26、，能力不够的财务经理和财务人员- 有弊病的财务系统：不完整或不相容，处理大量核算和交易但是财务系统没有实行电算化 资源的超负荷使用严格的财务和会计制度和程序财务部门的领导能力使用适当的人员教育和培训 年终结帐前的检查：检查帐目是否放映了实际情况 各种控制活动：核实查证，授权，审批，对帐(银行和供应商），责任分离，资产的安全保护 固定资产现场视察年度库存盘点周期性库存盘点现金库存抽查集团所有公司内部之间的对帐专业的税收和法律检查加强内部审计部门的职能第三十七页，共七十九页。38企业目标企业目标风险风险内部控制内部控制评价评价1. 2. 3. 4. 5. C. 请将前面讨论过的企业目标请将前面讨论

27、过的企业目标(mbio), 风险风险, 内部控制的关系综合起来内部控制的关系综合起来, 并提出您的见解并提出您的见解: 第三十八页，共七十九页。39第三十九页，共七十九页。40企业目标企业目标风险风险内部控制内部控制评价评价1. 2. 3. 4. 5. D. 小组讨论小组讨论: 请将前面请将前面(qin mian)讨论过的企业目标讨论过的企业目标, 风险风险, 内部控制的关系综合起来内部控制的关系综合起来, 并提出小组的见解并提出小组的见解: 第四十页，共七十九页。41第四十一页，共七十九页。PwC第四十二页，共七十九页。43COSO控制结构框架包含控制结构框架包含5个组成要素个组成要素：(C

28、ommittee of Sponsoring Organizations of the Treadway Commission)控制环境控制环境 (Control Environment)风险评估风险评估 (Risk Assessment)控制行动控制行动 (Control Activities)信息信息(xnx)与沟通与沟通 (Information and Communication)监控监控 (Monitoring) 第四十三页，共七十九页。44: 设定组织管理设定组织管理的基调基调 影响影响着员工的控制管理意识员工的控制管理意识 是其他四个内部控制组成部分的基础基础 提供纪律纪律和控制

29、结构控制结构第四十四页，共七十九页。45:企业每一个人每一个人的诚信、道德价值诚信、道德价值和能力能力(nngl)管理层管理层的管理理念管理理念和经营风格经营风格管理层管理层的授权方式授权方式和发展员工发展员工的方法方法董事会成员董事会成员对企业企业的关注和指导关注和指导第四十五页，共七十九页。46控制控制(kngzh)环环境境风险风险(fngxin)评评估估控制控制(kngzh)活活动动信息和沟通信息和沟通监控监控营营经经务务财财守守遵遵单位单位 1单位单位 2单位单位 3单位单位 4控制要素控制要素控制类别控制类别第四十六页，共七十九页。47 一个企业都面对一个企业都面对各种不同的内部和外

30、部的风险各种不同的内部和外部的风险，必须对这些，必须对这些(zhxi)风险风险进行评估进行评估 风险评估风险评估就是就是确定确定和和分析企业实现其目标的过程中的相关风险分析企业实现其目标的过程中的相关风险 风险评估风险评估的一个的一个前提条件前提条件就是就是企业已确立目标企业已确立目标, 这些目标在这些目标在各个层次上相互关联并且在各个层次上相互关联并且在企业内部是一致的企业内部是一致的 由于由于经济、行业、政策法规和经营条件经济、行业、政策法规和经营条件持续地变化持续地变化, 因此需要因此需要建立机制以及时确定和建立机制以及时确定和处理与这些变化相关的特定风险处理与这些变化相关的特定风险第四

31、十七页，共七十九页。48 什么因素什么因素可能会可能会妨碍妨碍本部门本部门实现其关键的业务目标实现其关键的业务目标? 要成功要成功, 需要完成一些必要的工作和程序需要完成一些必要的工作和程序, 而什么而什么因素因素会会阻碍这些工作和程序的完成阻碍这些工作和程序的完成和实现呢和实现呢? 发生率发生率: 这些风险中这些风险中, 什么风险是什么风险是最可能发生的最可能发生的? 影响影响: 哪些风险将对本部门哪些风险将对本部门实现其预定目标实现其预定目标的能力产生的能力产生最重大的影响最重大的影响? 有什么有什么有效的控制机制有效的控制机制可以可以(ky)减少减少这些风险及其这些风险及其影响影响? 第

32、四十八页，共七十九页。49 只要可能，获取只要可能，获取管理层和业务单位人员管理层和业务单位人员的的投入信息投入信息 通过通过(tnggu)职业判断职业判断和和借鉴以往的经验借鉴以往的经验 依照依照其影响其影响和和可能性将风险分类可能性将风险分类性质、程度性质、程度 (即，高、中、低等即，高、中、低等)量化量化 (即，即，5、3、1等等) 将风险将风险排序或制成图表排序或制成图表 集中精力集中精力对有对有巨大影响力和巨大风险进行评估巨大影响力和巨大风险进行评估第四十九页，共七十九页。50偶发性偶发性重要性重要性无关无关(wgun)性性日常性日常性 可能性可能性影影响响力力第五十页，共七十九页。

33、51 B. 请根据您所要实现请根据您所要实现(shxin)的企业目标的企业目标, 列出将面对的风险列出将面对的风险: 目标目标风险风险高高 /中中/低低1. 2. 3. 4. 5. 第五十一页，共七十九页。52控制控制(kngzh)环境环境风险风险(fngxin)评评估估控制控制(kngzh)活动活动信息和沟通信息和沟通监控监控营营经经务务财财守守遵遵单位单位 1单位单位 2单位单位 3单位单位 4确定确定控制要素控制要素控制类别控制类别第五十二页，共七十九页。53把对风险的认识风险的认识发展成为企业文化的一部分企业文化的一部分, 比如, 企业设有清晰并完整的辨别和处理风险的程序程序在员工中提

34、倡风险的意识提倡风险的意识, 通过公告通过公告, 阶段性的报告等手段阶段性的报告等手段让员工了解了解什么应该执行什么应该执行, 什么应该避免什么应该避免管理层在制定发展计划,设定目标时必须考虑到目标进行时可能遇考虑到目标进行时可能遇到的风险并进行评价到的风险并进行评价企业员工能够在被问到的时候清楚地说出企业的主要目标企业员工能够在被问到的时候清楚地说出企业的主要目标经常性地要求员工提出他们对风险的认识和看法对员工进行风险认识的培训.在提高(t go)对风险的认识问题上, 企业内部的交流 无论是主动的还是被动的 都是非常有效的.第五十三页，共七十九页。54员工在职责范围内关于减低风险的表现作为年

35、度业绩考核的一项条款员工在职责范围内关于减低风险的表现作为年度业绩考核的一项条款.负有降低风险责任和义务(yw)的管理人员对他们的职责非常清楚.每一件“坏事”发生的原因都被彻底调查清楚, 使这些因素能够被企业及其员工理解, 讨论并产生相应的对策.每一位经理在他/她能够影响的范围内, 都设立降低风险的目标.与风险相关联的任何经验都在企业内部进行广泛而有效的交流.风险进行分类, 既把风险看成是威胁又把风险看成是机会. 第五十四页，共七十九页。55 是协助管理层是协助管理层确保有关经营指导方针得以落实确保有关经营指导方针得以落实的的政策制度和程政策制度和程序序 帮助确保管理层帮助确保管理层采取必要的

36、措施行动采取必要的措施行动以处理企业在以处理企业在实现实现(shxin)其目标其目标的过程中所面临的风险的过程中所面临的风险 在在整个公司整个公司范围、范围、所有层次所有层次以及所有以及所有职能中实施职能中实施第五十五页，共七十九页。56控制控制(kngzh)活动包括活动包括: 审批审批 (Approvals) 授权授权 (Authorizations) 核实查证核实查证 (Verifications) 对帐对帐 (Reconciliation) 检查检查 (Review) 资产的安全资产的安全 (Security of assets) 责权分离责权分离 (Segregation of dut

37、ies)第五十六页，共七十九页。57评估(pn )适当的控制 能做什么工作来降低发生风险的可能性? 这些工作或活动现在存在吗? 足够吗? 现有的控制活动是否明确, 独特(dt)且没有彼此重复? 效率效率: 有没有更容易的或者成本更低的控制风险的方法? 效果效果: 这些控制活动是不是有效地降低了风险?第五十七页，共七十九页。58控制控制(kngzh)环环境境风险风险(fngxin)评估评估控制控制(kngzh)活活动动信息和沟通信息和沟通监控监控营营经经务务财财守守遵遵单位单位 1单位单位 2单位单位 3单位单位 4控制要素控制要素控制类别控制类别第五十八页，共七十九页。59 必须通过某种方式，

38、在一定的时间之内明确、获得并传达沟通相关信息以确保人们能够履行其职责。 信息系统提供有关财务、经营和法律法规的遵守等信息的报告，这些信息使企业的管理控制成为可能。 所有员工必须从高级管理层获得明确的信息指令，即所有人都必须认真看待和履行控制职责。第五十九页，共七十九页。60控制控制(kngzh)环境环境风险风险(fngxin)评评估估控制控制(kngzh)活活动动信息和沟通信息和沟通监控监控营营经经务务财财守守遵遵单位单位 1单位单位 2单位单位 3单位单位 4控制要素控制要素控制类别控制类别第六十页，共七十九页。61 内控系统需要监控 内控系统的监控通过以下工作实现： 进行中的监控工作 单独

39、的评估 (内部审计(shn j) 二者的结合 内部控制的不足应当逐级向上汇报，重大问题要报最高管理层和董事会。第六十一页，共七十九页。62控制控制(kngzh)环环境境风险风险(fngxin)评评估估控制控制(kngzh)活活动动信息和沟通信息和沟通监控监控营营经经务务财财守守遵遵单位单位 1单位单位 2单位单位 3单位单位 4控制要素控制要素控制类别控制类别第六十二页，共七十九页。63 通过使用通过使用COSO提供的框架提供的框架, 管理层可以处在一个更好的位置管理层可以处在一个更好的位置来把企业的内部控制系统和已建立的标准进行比较来把企业的内部控制系统和已建立的标准进行比较, 找出运找出运

40、营中营中, 财务报告中存在的问题以及财务报告中存在的问题以及(yj)是否遵守了法律法规是否遵守了法律法规, 并采取行动加以改进并采取行动加以改进. 第六十三页，共七十九页。64控制结构框架控制结构框架现有的风险管理情况现有的风险管理情况控制环境控制环境 风险评估风险评估 控制活动控制活动 信息和沟通信息和沟通 监控监控 E. 请按照控制结构框架的五个要素请按照控制结构框架的五个要素(yo s)描述贵公司现有的风险管理情况描述贵公司现有的风险管理情况: 第六十四页，共七十九页。65内部审计委员会建议内部审计委员会建议认真认真研究研究以下问题以下问题, 来来更好更好的理解他们组的理解他们组织的织的

41、管理系统管理系统: 董事会和管理层是怎样建立并维持公司的道德准则和文化? 公司是怎样识别和管理风险的? 公司是怎样评估其内部控制系统并使其有效运转(ynzhun)的? 公司是怎样判断其审计委员会工作效率的? 怎样得知内部审计功能是否有效?第六十五页，共七十九页。66 我们经常使用内部控制, 但我们对它还有很多误解. 因此, 我们需要花些时间来研究内部控制的本质和我们通过内部控制能得到什么. 一个强有力的内部控制系统意味着公司能够提高效率和功效, 加强对外部事物的控制能力. 另外, 人们可以得到可靠(kko)的相关信息, 他们可以在合适的时间和地点来使用. 好的管理和有效的内部控制可以保证一个组

42、织随时处理出现的不利情况, 限制其不利影响. 有效的控制可以给公司成员充分的自由度来发挥其判断力与想象力, 管理错误行为带来的风险, 从而帮助公司成功.第六十六页，共七十九页。67 然而然而, 内部控制并不能保证内部控制并不能保证(bozhng)公司的成功公司的成功. 内部控制只内部控制只是管是管理程序的一个部分理程序的一个部分,而不是全部而不是全部. 第六十七页，共七十九页。68第六十八页，共七十九页。69 在大多数情况在大多数情况(qngkung)下下, 内部审计功能应在审计委员会的指导内部审计功能应在审计委员会的指导下完成下完成, 并向后者按时汇报并向后者按时汇报. 内部审计职能并不是作

43、为审计委员会的备选方案内部审计职能并不是作为审计委员会的备选方案. 恰恰相反恰恰相反, 内部审计职能在协助审计委员会完成公司监管职责方面起着重内部审计职能在协助审计委员会完成公司监管职责方面起着重要作用要作用. 审计委员会的设立是重要的第一步审计委员会的设立是重要的第一步, 但只有建立专业但只有建立专业的内部审计功能才可以给审计委员会强有力的武器来保证对控的内部审计功能才可以给审计委员会强有力的武器来保证对控制所处环境的有效监测制所处环境的有效监测. 第六十九页，共七十九页。70 英国英国Cadbury报告中特别指出报告中特别指出, 对公司来讲对公司来讲, 建立内部审计功能是一建立内部审计功能

44、是一种很好的实践种很好的实践. 内部审计功能将对公司关键控制和程序进行常规监测内部审计功能将对公司关键控制和程序进行常规监测, 并且其本身应被看作公司内部控制整体的一个部分和一种保证内部并且其本身应被看作公司内部控制整体的一个部分和一种保证内部控制有效的途径控制有效的途径. 同样同样, COSO报告陈述道报告陈述道: “内部审计员在评估控制系统有效性方面起内部审计员在评估控制系统有效性方面起着重要的作用着重要的作用, 并对系统进行中的有效性作出贡献并对系统进行中的有效性作出贡献. 由于其组织性地由于其组织性地位和在实体中的权威位和在实体中的权威(qunwi), 内部审计经常发挥重要的监测职能内

45、部审计经常发挥重要的监测职能.” 目前目前, 建立专业内部审计功能以帮助管理层完成公司监管的职责建立专业内部审计功能以帮助管理层完成公司监管的职责, 已被广泛的看作一种很好的实践已被广泛的看作一种很好的实践.第七十页，共七十九页。风险管理风险管理实施实施(shsh) (案案 例例 分分 析析)PwC第七十一页，共七十九页。72全全面面XYZ 是一家大型国有企业集团是一家大型国有企业集团, PETER 是是XYZ 下属的下属的ABC 公司刚刚任命的总经理公司刚刚任命的总经理. PETER 的前任的前任JOHN, 在担任在担任ABC 公司总经公司总经理的理的3年时间里年时间里, 领导公司在销售收入

46、和完成利润方面取得了卓越的成绩领导公司在销售收入和完成利润方面取得了卓越的成绩. ABC 公司公司2002年财务年度的目标是销售收入和年财务年度的目标是销售收入和利润分别增长利润分别增长 15% 和和10%. PETER是技术出身的管理人员是技术出身的管理人员, 最近参加了一些风险管理的培训讲座最近参加了一些风险管理的培训讲座, 因此他对企业目标因此他对企业目标, 风险和内部控制的关系风险和内部控制的关系, 以及控以及控制框架的五个要素有一定的认识制框架的五个要素有一定的认识, 他也知道一些美国和欧洲的跨国公司因为内部控制不良而倒闭或陷入困境他也知道一些美国和欧洲的跨国公司因为内部控制不良而倒

47、闭或陷入困境. PETER 在上任后的一个月里和管理层开过几次会在上任后的一个月里和管理层开过几次会, 并且认识到管理人员对完成今年的销售和利润目标非常关注并且认识到管理人员对完成今年的销售和利润目标非常关注, 但是对风险管理却但是对风险管理却不以为然不以为然. 当当PETER 对他的副总经理对他的副总经理FRANCIS 谈到这个问题时谈到这个问题时, FRANCIS这样回答：这样回答： “我们的重点就是完成今年的目标风险管理是我们这个级别的子公司的目标和责任吗？我们总公司有风险管理部门嘛，如果这还不够我们的重点就是完成今年的目标风险管理是我们这个级别的子公司的目标和责任吗？我们总公司有风险管

48、理部门嘛，如果这还不够，总公司还有财务部门和内部审计部门我在咱们集团公司的时间很久了，我清楚地知道我们只要完成今年的任务就可以了！，总公司还有财务部门和内部审计部门我在咱们集团公司的时间很久了，我清楚地知道我们只要完成今年的任务就可以了！”对下属这样不关注风险管理有些失望但是，他也认识到在向市场经济过渡的过程中，人们是需要时间接受和适应对下属这样不关注风险管理有些失望但是，他也认识到在向市场经济过渡的过程中，人们是需要时间接受和适应(shyng)风险管理等概念和管理方式的风险管理等概念和管理方式的第七十二页，共七十九页。73全全面面回到办公室，看到桌子上集团首席执行官给各个子公司总经理的文件，

49、上面写到：回到办公室，看到桌子上集团首席执行官给各个子公司总经理的文件，上面写到： “虽然集团近年的发展状况很好，但是最近发生的一些问题要引起我们足够的重视：由于内部控制不良和其他一些因虽然集团近年的发展状况很好，但是最近发生的一些问题要引起我们足够的重视：由于内部控制不良和其他一些因素，一些曾经发展很快的子公司最近发生了严重的亏损，给集团造成了很大的损失我们必须在集团的各个单位素，一些曾经发展很快的子公司最近发生了严重的亏损，给集团造成了很大的损失我们必须在集团的各个单位加强风险管理不仅加强风险管理不仅(bjn)要保证完成公司制定的近期目标，更要确保实现公司较长期的目标和持续稳定地要保证完成

50、公司制定的近期目标，更要确保实现公司较长期的目标和持续稳定地增长增长 这时候，集团内部审计部的经理打来电话：这时候，集团内部审计部的经理打来电话：“，我不知道这对你是个好消息还是坏消息你们公我不知道这对你是个好消息还是坏消息你们公司被选定在两个月后进行内部审计司被选定在两个月后进行内部审计 集团的管理层是非常有集团的管理层是非常有前瞻性和明确战略目标的团队前瞻性和明确战略目标的团队 在过去的年中，集团取得了令人信服的发展业绩，并且在激烈在过去的年中，集团取得了令人信服的发展业绩，并且在激烈的市场竞争和中国加入的市场竞争和中国加入WTO的大环境下不断深化企业改革，包括建立市场机制下的专业管理环境，聘用受过高等教育的的大环境下不断深化企业改革，包括建立市场机制下的专业管理环境，聘用受过高等教育的有能力的职业管理人员，引进西方先进的管理理念等，不断调整集团的管理结构和方式方法以适应经济全球化下集团有能力的职业管理人员，引进西方先进的管理理念等，不断调整集团的管理结构和方式方法以适应经济全球化下集团发展的需要发展的需要 请问请问: 如果您是如果您是, 您将如何制订并贯彻一个您将如何制订并贯彻一个全全面风