第三章企业内部控制环境与风险评估ppt课件

1、控制环境风险评价控制活动信息与沟通内部监视内部控制要素篇 .第一节 企业内部控制环境 内部控制环境是对内部控制建立和运转有影响的一切事物的总和。内部环境是实施内部控制的根底。第三章企业内部控制环境与风险评价.美国COSO1994关于内部控制环境内容界定诚信原那么和品德价值执行与技艺董事会管理哲学与运营风格组织构造责任分配与授权人力资源政策与实施.我国内部控制制度框架体系.内部控制环境组织架构 开展战略人力资源社会责任企业文化外部环境技术特点企业的年龄和经理人任期企业规模舞弊风险. 风险评价首先应找到“风险动因，而不能简单地将业务部门或行政区域作为风险评价的对象，对“风险动因的详细元素进展逐个评

2、价后，风险既可以进展横向汇总对机构风险进展排序，也可以对不同业务进展纵向汇总对业务风险进展排序。对业务风险的评价和排序结果是进展专项检查的重要根据，为提高业务程度提供了能够。 第二节 风险评价与应对.一 风险评价与风险应对概述 中国指出，企业应对采用定性与定量相结合的方法，按照风险发生的能够性及其影响程度等，对识别的风险进展分析和排序，确定关注重点和优先控制的风险。企业进展风险分析，该当充分吸收专业人员，组成风险分析团队，按照严厉规范的程序开展任务，确保风险分析结果的准确性。企业应当根据风险分析的结果，结合风险接受度，权衡风险与收益，确定风险应对战略。企业该当合理分析，准确掌握高级管理人员，关

3、键岗位员工的风险偏好，采取适当的控制措施，防止因个人风险偏好给企运营带来艰苦损失。.企业应对风险的战略 风险躲避是企业对超出风险接受度的风险，经过放弃或者停顿与该风险相关的业务活动以防止和减轻损失的战略。 风险降低是企业在权衡本钱效益之后，预备采取适当的控制措施降低风险或减轻损失，将风险控制在风险接受度之内的战略。 风险分担是企业预备借助他人力量，采取业务分包，购买保险等方式和适当的措施，将风险控制在风险接受度之内的战略。风险接受是企业对风险接受度之内的内险，在权衡本钱效益之后，不采取控制措施降低风险或减轻损失的战略。.二 风险接受度的判别 确定企业的风险偏好程度，即采用定性和定量的方法确定企

4、业为了实现即定目的而情愿接受的风险程度。 明确企业的风险容忍度，即企业对目的实现差别的可接受才干，在目的实现过程中，应结合相关目的的重要性以及企业的风险偏好程度来确定。 对待单位风险要思索企业总体的风险组合。.三 风险识别 风险识别是指对企业所面的以及潜在的风险加以判别，归类和鉴定风险性质的过程，即确定企业正在或将要面临哪些风险。风险评价的根底无单一方法，是一个知识管理过程。重点是搜集风险信息，确认风险来源以及风险的性质。.风险识别的方法1风险清单分析法 该方法是美国风险和保险管理学会开发制定了风险清单，列示了已识别的、常见的企业风险。例如缺点 、员工忽略 、 雇员的欺诈行为 、 外部欺诈、专

5、利权的失效 、 存货短缺 、 管理失误等。. 在20世纪90年代早期，思科公司的股价是其每股销售收入的6倍，2000年第1季度，公司股价是公司未来销售收入的25倍，而公司的值资本市场上一种度量风险的高达1.13，公司的风险较高，但为股东发明了价值。 .表 思科公司关注的主要风险1增长率2毛利3并购4行业合并5对新产品开发的依赖6进入新的开展中的市场7国际运营风险8战略联盟9资产组合投资10竞争性风险要素 a价钱 b业绩 c提供方案与支持 d遵守准那么 e添加增值功能平安和可靠的才干11员工13产品的现成性14自然灾祸15季度数据的变动16组织变卦17效力提供商的销售18股价的动摇性19外汇汇率

6、风险20侵权风险.2现场调查法 现场调查法普通分为三步，即调查前的预备任务、现场调查以及构成调查报告。 见教材表3-1 .3财务报表分析法 趋势分析法 比率分析法 要素分析法 模型分析法 .4组织构造图分析法 根据需求画出企业或部门的整体构造图，寻觅部门之间能否存在反复性、依赖性或集中性；也可在组织构造图上标注该部门的原料供应量、收入、利润等，管理人员可以清楚的看到各部门的责任和风险，也可以自创战略地图对风险进展描画 5流程图法 配有解释表，用来详细阐明各流程阶段会发生的风险种类，可以直观的反响易发生风险的流程以及它对其他流程的影响 .6因果图法 因果图法是一种分析风险事故与导致风险事故要素之

7、间因果关系的有效工具。这一方法的关键是绘制因果图。图中主骨代表被分析的风险事件，大骨代表导致风险事件的主要缘由，中骨表示导致大骨的主要缘由，依此类推，将导致风险事件的要素尽能够的在图中表示 .7事故树法 由某一风险事件出发，运用逻辑推理的方法推导出其引发风险的缘由。从顶上事件风险事件中间事件根身手件进展事故树的构造图分析，从而确定风险源。.火灾镀膜着火火罩没有灭火火灾传送带过慢报警器失灵温度过高镀层过度速度设置错误报警器失灵没有翻开开关机器缺点电器缺点没有任务出现缺点没有翻开开关风扇没有任务报警器失灵风扇出现缺点机械缺点电器缺点资料损坏.8管理评分法9专家意见法10公司治理风险识别.四 风险评

8、价 风险评价是指在风险识别的根底上对风险进展定量和定性的综合分析，并确定风险影响的过程。评价风险发生的概率。评价风险呵斥的影响程度。分析采取何种措施应对该风险。.一风险评价程序 首先，在过去风险资料分析的根底上，运用概率论和数理统计的方法对某一特定或者几个风险事件发生的损失频率和损失程度做出定量估计。其次，评价风险，即在风险识别和风险丈量的根底上，把损失概率、损失的程度、风险评价规范以及其他要素综合起来思索，分析风险对企业的影响。 应从固有风险和剩余风险两方面进展分析。.二风险评价内容重要性原那么时间范围一致原那么可比性原那么一样目的来确定影响同类合并原那么相关性原那么. 3M公司建立风险投资

9、管理机制，为风险投资制定的运营方案包括对预期收益的估计、投资构造平衡、制定资金预算，为确保开发技术的胜利，只需在投资工程的收益大大超越损益平衡点时，才将开发的技术投入运用；由创新者、管理人员、财会人员共同对新产品、新技术、新工艺进展技术性、商业性评价，一旦证明创新概念具有经济价值，那么进入赢利性分析，包括预期的投资收益率，与之相关的、各自不同的风险，到达成熟期所需的时间等 .三风险分析方法 压力测试风险坐标图法蒙特卡罗方法.四风险/内部控制自我评价风险自我评价或内部控制自我评价以下简称自我评价是一种交融组织行为学、内部控制、风险管理、全面质量管理、绩效继续改良等多实际的方法自我评价内容包括四个

10、方面：确认风险；评价减少或管理风险的控制过程；开发用以将风险减少到可接受程度的行动方案；确定实现业务目的的能够性.内部控制的逻辑起点该当是“修己安人，“修己就是自我管理，自我管理应是内部控制的总纲，内部控制“无为而治是最高境界 国际内部审计师协会IIA于2002年对北美4500位来自各类组织的内部审计担任人进展调查，其结果显示内部控制自我评价 (CSA)被列为“当前内审最正确实务的第二位，在“未来将越来越重要的实务中排名第一 .一内部控制自我评价的优点实施自我评价程序，经过对自我评价，可以提高风险管理有效性。将以前“发现和评价为主要内容的活动向积极防备和提供处理方案的活动转变，从事后发现问题到

11、事前发现、防备风险转变为，从单纯强调控制转向积极关注、利用各种方法改善企业绩效，内部控制自我评价提高了内部控制效率。内部控制自我评价强调员工的参与性。 .二风险/内部控制自我评价的内容 国际内部审计师协会IIA以为，自我评价内容包括四个方面： 确认风险； 评价减少或管理风险的控制过程； 开发用以将风险减少到可接受程度的行动方案； 确定实现业务目的的能够性。并采用以下四种不同的方式展开：.一是以目的为根底。首先确定完成既定目的的现有控制方式，再确认剩余风险采用控制措施后依然存在的风险。评价现有的控制能否有效运作，剩余风险能否维持在可接受的程度 二是以风险为根底。先列举出影响目的实现的各种风险，然

12、后确定可以管理关键风险的适当控制，即典型的“目的风险控制方式。三是以控制为根底。在RSA之前已确认关键风险和控制，在RSA过程中把关注点放在评价内部控制运转的有效性 .四是以过程为根底。识别采购、产品开发、销售等过程中的优、缺陷，努力于评价、改善并简化整个过程，这一方式对流程再造、全面质量管理、继续改良等管理活动提供支持。五是除了IIA以上四种方式之外，以部门为根底的自我评价，即关注某个部门在整个组织中的位置，确认协助部门有效发扬功能以及妨碍部门目的实现的要素 。.普通采用两种方法：调查询卷法、研讨会，后者是自我评价的典型方法。研讨会通常继续24小时，由管理人员作为会议的引导者与协调者，引导与

13、会人员就某一议题充分讨论交流，在需求进展评价时利用电子记录与投票系统搜集信息，直接记录与会者的意见，及时获得反映与会者对处理议案的偏好、优先顺序的量化结果 。.宝钢国际公司，员工参与内部控制建立，表达了员工价值，将推进CSA的过程视为一个人力资源培训过程 自我评价报告包括三个部分：1评价的范围和评价过程的特殊性；2内部各个环节的风险程度，风险最高的是红色，较高的是黄色，其次是深绿色，再次是浅蓝色，风险最低的是白色；对红色和黄色的高风险环节进展详细描画，提出改良方案和完成时间、责任人；3制定减少或管理风险的行动方案 。.五. 风险应对 风险应对是针对风险评价的结果根据、企业的风险容量和风险容忍度，选择适当的风险管理战略 风险管理战略通常分为以下四类：逃避风险、损失控制、分别风险单位、非保险方式的转移风险包括转移风险源、签署免除责任协议、利用合同中的转移责任条款、保险等，逃避意味着所确定的应对方案都不能把风险的能够性和影响降低到一个可接受的程度，降低和分担意味着要把剩余风险降低到与期望的风险容忍度相协调的程度，而接受那么意味着固有风险曾经在风险容忍度之内。. 在评价了风险