基于风险管理的企业内部控制及设计课件

基于风险管理的企业内部控制及设计基于风险管理的企业内部控制及设计讲座大纲第一部分：内控的内涵和新形势第二部分：内部控制的风险框架第三部分：内部控制的局限性及改进第四部分：企业内部控制责任体系讲座大纲第一部分：内控的内涵和新形势1内控新形势和发展——美国公司欺诈舞弊安然：2001年年底，安然公司虚报近6亿美元的盈余和掩盖10亿多美元的巨额债务问题暴露。12月2日，安然公司向纽约破产法院申请破产保护，创下美国历史上最大宗的公司破产案纪录。安然公司曾是世界上最大的天然气交易商和最大的电力交易商，鼎盛时期其年收入达1000亿美元，在美国公司500强中名列第七。世通：美国第二大长途电话公司--世界通信(WorldCom)6月25日承认，自己在过去五个季度中，先后共虚报了38亿美元的利润。这一丑闻有可能成为美国历史上最大一起公司财务欺诈案。虚报赢利的丑闻暴光后，世界通信已将首席财政官沙里文解雇。美国众议院财政委员会7月8日在华盛顿举行世界通信公司财务丑闻听证会。案例1内控新形势和发展——美国公司欺诈舞弊安然：2001年年底美国公司欺诈舞弊施乐：今年4月，美国证交会宣布，施乐在1997年至2000年期间夸大了15亿美元的税前利润、30亿美元的营业收入。施乐此后与证交会达成了和解，并缴纳了1000万美元的民事罚金。这是美国公司因财务报告违规遭到的最大一笔罚款。默克：7月5日，全球第三大药品制造商、美国制药巨头默克公司在向美国证交委递交的报告中承认，从1999年到2001年，该公司在财务营收中有超过120亿美元的营收并不是其负责企业和健康保险公司的Medco药品福利部门的实际所得。这笔收入实际上从来没有打入过默克公司的户头里。

QWEST：Qwest国际通信公司日前向外界证实，设在丹佛的美国联邦检察官办公室已开始对该公司进行犯罪调查。而此前，该公司因涉嫌会计丑闻而接受了4个月的调查。

美国证交委在今年3月份就开始对Qwest国际通信公司的会计问题进行调查，该公司涉嫌和先前申请破产保护的环球电信串通作假，以大幅度提高公司营运收入数字。案例来自

中国最大的资料库下载美国公司欺诈舞弊施乐：今年4月，美国证交会宣布，施乐在199美国公司欺诈舞弊安达信：安然破产案曝光后，作为安然审计公司的安达信也被拖下了水。今年3月14日，美国司法部以“妨碍司法”为由，对安达信提起刑事诉讼，从而开创了美国历史上第一起大型会计师事务所受到刑事调查的案例。经裁决，安达信成为美国历史上第一家被判“有罪”的大型会计师事务所。美林证券：5月21日，美林因发布不实分析误导投资者面临法律制裁，后认罚1亿美元私了，以使自己免遭起诉。美林公司在与纽约州地方总检察官达成的协议中，除了同意支付1亿美元罚金之外，还将发表一份公开道歉书，并进行公改革。随后，美国检察官对其它一些美国著名的大型证券公司进行调查，并发去了传票，这些公司中包括高盛、摩根·斯坦利、索罗门美邦、瑞士信贷第一波士顿、贝尔斯登以及UBS潘韦伯证券等。案例美国公司欺诈舞弊安达信：安然破产案曝光后，作为安然审计公司的会计舞弊的骨牌效应根据美国财政部公布的最新统计数据：2002第一季度外国投资者净买入美国股票总计176亿美元，低于上一季度的337亿美元。同期购买美国债券的外资只有30亿美元，与2001的380亿美元相差甚远。国际投机基金开始大量抛售美国股票和债券，导致美元需求萎缩。会计舞弊的骨牌效应根据美国财政部公布的最新统计数据：会计舞弊的骨牌效应科尔尼公司公布了2002年度全球跨国直接投资信心指数（FDI），这次调查显示：中国首次超过美国成为最有吸引力的外国直接投资目的国。第二是美国，第三是英国，第四是德国。德国作为世界第三大经济体只吸收了320亿美金，而中国却吸收了470亿美金！去年对美国的外国直接投资下降了59％，总数为1240亿美金，对中国的投资则上升了15％，达到了470亿美金【2002年9月24日】会计舞弊的骨牌效应科尔尼公司公布了2002年度全球跨国直接投乱世用重典自出兵阿富汗以来，美国国会最协调一致的行动是在7月15日全票通过“萨班斯－奥克斯利法案”(Sarbanes-OxleyAct)，该法案的严肃性在于:公司治理被正式纳入联邦法律管辖范围，越来越多的财会欺诈者――无论他是CEO还是CFO都将被投入监狱。安然和世通之后，美国大公司都在丑闻深渊边如履薄冰，抓坏蛋和将前车之鉴铭刻于法律条文自然成为这一阶段的主题。来自

中国最大的资料库下载乱世用重典自出兵阿富汗以来，美国国会最协调一致的行动是在7月《萨班斯—奥克斯利法案》

上市公司会计监管委员会

审计师的独立性

公司的职责

加强财务信息的披露

分析员的利益冲突

证券监管委员会的资源与权限

研究和报告

公司和刑事舞弊的责任

加强对白领刑事犯罪的惩罚

公司税务申报表公司的舞弊行为及其相应的责任《萨班斯—奥克斯利法案》第404条:

管理层对公司内部控制的评估要求公司年报中包括一份“内部控制报告”，该报告应：明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任；

并且包含管理层在财务年度期末对公司财务报告相关内部控制体系及程序的有效性的评估。受托的上市公司审计师应按照上市公司会计监管委员会对审核约定所发布或采用的准则就管理层关于内部控制的评估进行鉴证并提交报告。此类鉴证约定并不构成单独的约定主体；SEC在提交的法案相关的报告中这样解释此条的立法目的：“委员会不希望审计师（对内部控制报告的）评估形成单独一份约定或者因此而导致审计费用的增加。”指导SEC进一步要求上市公司披露其是否为高级财务官员制定职业操守规范以及该规范的内容；指导SEC修改其以8-K表格进行即时披露的相关规则，

从而要求上市公司对任何职业操守规范的修改或废止事项立即进行披露。来自

中国最大的资料库下载第404条:

管理层对公司内部控制的评估要求公司年报中包括1内控新形势和发展——中国内控之路1986年财政部颁发《会计基础工作规范》，其中对企业（单位）内部控制制度作了明确规定；1997年1月中国注册会计师协会实施《独立审计具体准则第9号——企业内部控制与审计风险》，以便于会计师事务所评估审计风险，提高审计效率，保证执业质量；1999年全国人民代表大会通过新《会计法》，将企业（单位）内部控制制度当作保障会计信息“真实和完整”的基本手段之一；2000年1月国家审计署实施《中华人民共和国国家审计基本准则》，其中将对企业（单位）内部控制制度的测试当作“作业准则”予以明确；2000年11月证监会发布《公开发行证券公司信息披露编报规则》，要求公开发行证券的商业银行、保险公司、证券公司应建立健全企业内部控制制度；2001年6月财政部发布《内部会计控制—基本规范(试行)》和《内部会计控制基本规范——货币资金(试行)》1内控新形势和发展——中国内控之路1986年财政部颁发《会1内控新形势和发展——中国内控之路2002年6月13日中注协制定发布了《企业内部控制审核指导意见》；2002年9月7日中国人民银行发布《商业银行企业内部控制指引》，指出企业内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制；2002年12月19日中国证监会发布《证券投资基金管理公司企业内部控制指导意见》，首次系统地提出基金公司企业内部控制的目标和要求。2002年12月财政部发布《内部会计控制规范——采购与付款（试行）》和《内部会计控制规范——销售与收款（试行）》2003年10月财政部发布《内部会计控制规范——工程项目（试行）》2004年8月20日中国银行业监督管理委员会通过《商业银行内部控制评价试行办法》，自2005年2月1日起施行。1内控新形势和发展——中国内控之路2002年6月13日中注1内控新形势和发展——中国内控之路2006年06月05日上海证券交易所发布《上海证券交易所上市公司内部控制指引》，内部控制是指上市公司（以下简称公司）为了保证公司战略目标的实现，而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由公司董事会、管理层及全体员工共同参与的一项活动。公司内部控制通常应涵盖经营活动中所有业务环节、经营活动各环节之中的各项管理制度、信息管理、专项风险等。2006年6月6日国资委出台《中央企业全面风险管理指引》，本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。2006年7月15日，我国企业内部控制标准委员会成立大会暨第一次全体会议在北京举行。企业内部控制标准委员会主席由财政部、证监会、国资委等来自监管部门、实务界、理论界的专家学者。1内控新形势和发展——中国内控之路2006年06月05日上1.1内部控制的演变1阶段划分标志主要内容内部牵制【公元前3600年-20世纪初期以前】公元前3600年以前20世纪初期《柯氏会计词典》职责分工，相互检查内部控制制度[20世纪40年代/70年代初]1949/(AICPA/CPA)：《内部控制：系统协调的要素及其对管理部门和独立公共会计师的重要性》内部控制制度超过了与财会部门直接相关的事项；还包括成本控制、预算控制、定期报告经营情况、进行统计分析并保证管理部门所制定政策方针的贯彻执行1958(CAPNo,29)审计程序公报《独立审计人员评价内部控制的范围》将内部控制分为内部会计控制和内部管理控制两类1986年INTOSAI在第十二届国际审计会议上发表的《总声明》内部控制作为完整的财务和其他控制体系，包括了组织结构、方法程序、内部审计等重要内容1.1内部控制的演变1阶段划分标志主要内容内部牵制公元前1.1内部控制的演变2阶段划分标志主要内容内部控制结构[20世纪80年代以来]美国AICPA于1988年5月发布的《审计准则公告第55号》(SAS55)以“内部控制结构”概念取代了“内部控制制度”，三个要素组成：(1)控制环境(ControlEnvironment)(2)会计制度(AccountingSystem)(3)控制程序(ControlProcedure)内部控制整体框架[20世纪90年代初以来]美国注册会计师协会(AICPA)美国会计学会(AAA)财务执行官协会(FEl)国际内部审计师协会(IIA)管理会计师协会(MM)组成的COSO委员会提出的COSO报告，1992年9月1994年进行了增补提出了内部控制构成(InternalControlomponents)的概念，即内部控制整体框架包含了五个相互联系的要素：(1)控制环境(ControlEnvironment)(2)风险评估(RiskAppraisal)(3)控制活动(ControlActivity)(4)信息与沟通(InformationandCommunication)

(5)监控(Monitoring)来自

中国最大的资料库下载1.1内部控制的演变2阶段划分标志主要内容内部控制结构美1.1内部控制的演变3阶段划分标志主要内容风险管理框架【21世纪初】2003年7月15日，美国COSO委员会在广泛吸收各国理论界和实务界研究成果的基础上，公布了《企业风险管理框架》(EnterpriseRiskManagementFramework)讨论稿，并将于2004年4月颁布正式稿。该讨论稿在1992年COSO的内部控制框架报告的基础上建立企业风险管理框架，将企业管理的重心由内部控制转向以风险管理为中心。四大目标：战略目标经营目标报告目标合法性目标八大要素：内部环境目标制定事项识别风险评估风险反应控制活动信息和沟通监控1.1内部控制的演变3阶段划分标志主要内容风险管理框架四2企业内部控制——基于风险管理的定义企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。

2企业内部控制——基于风险管理的定义企业风险管理是一个由企基于风险管理的内部控制内涵企业的风险管理是一个过程，其本身并不是一个结果，而是实现结果的一种方式。企业的风险管理并不是一个事项或环境，而是渗透于企业各项活动中一系列行动。这些行动普遍存在于管理者对企业的日常管理中，是企业日常管理所固有的。企业风险管理是一个由人参与的过程，它不只是企业的政策、调查和表格，还涉及一个企业各个层次员工。该过程可用于企业的战略制定。一个企业确定其对未来的预期和任务，并制定企业的战略目标。企业的战略目标是企业最高层次的目标，它与企业的预期和任务相联系并支持预期和任务的实现。一个企业为实现其战略目标而制定战略，并将战略分解成相应的子目标，再将子目标层层分解到业务部门、行政部门和各生产过程。在制定战略时，管理者应考虑与不同的战略相关联的风险基于风险管理的内部控制内涵企业的风险管理是一个过程，其本身并基于风险管理的内部控制内涵该风险管理过程应应用于企业内部每个层次和部门，企业管理者对企业所面临的风险应有一个总体层面上的风险组合观。为使企业的风险管理获得成功，一个企业必须从全局、从总体层面上考虑企业的各项活动。企业的风险管理应考虑组织内所有层面的活动，从企业总体的活动（如战略计划和资源分配）到业务部门的活动（如市场部、人力资源部），再到业务流程（如生产过程和新客户信用复核）该过程是用来识别可能对企业造成潜在影响的事项并在企业风险偏好的范围内管理风险。

来自

中国最大的资料库下载基于风险管理的内部控制内涵该风险管理过程应应用于企业内部每个基于风险管理的内部控制内涵设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。不确定性和风险是与未来相关，但是没有人可以确切地预测未来。因此，即使建立风险管理框架，也只能提供合理保证。其原因在于人们在进行决策时的判断可能出错，对风险反应的决策和建立的控制需要考虑相关的成本和效益，由于人们简单的失误和错误可能出现企业的破产，可能由于两个或多个人的串通而绕过控制，管理者有能力忽视企业的风险管理决策等因素。这些限制使得董事会和管理者无法得到企业目标实现的绝对保证。企业风险管理框架针对一类或几类相互独立但又存在重叠的目标，目的在于企业目标的实现。有效的风险管理可以为企业财务报告和合法性目标的实现提供合理的保证。这些目标的实现一般在企业的控制范围内，其实现依赖于相关活动执行的好坏。但是，战略性目标和经营性目标并不一定在企业的控制范围内。对于战略目标和经营目标，企业风险管理只能合理保证管理者和董事会及时了解企业目标实现的进度。基于风险管理的内部控制内涵设计合理、运行有效的风险管理能够向2-1内部环境企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应。它还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。诚信的原则和道德价值观评定员工的能力董事会及其所属委员会、监事会管理哲学和经营风格组织结构权限和职责的分配方式人力资源政策及实务2-1内部环境企业的内部环境是其他所有风险管理要素的基础，2-1内控环境1——诚信的原则和道德价值观诚信的原则和道德价值观在现代所有权和经营权相分离的产权格局之下，企业（股东）目标、管理者目标和以及生产者的目标不尽相同以及信息不对称条件限制，企业高层管理者和员工都会存在“不道德”和逆向选择的风险另外；在企业运营过程种，经常由于受到某种压力或诱惑导致舞弊和贪污等，轻者带来企业效率低下、声誉受损，重者给企业带来损失和埋下隐患。企业应加强职业道德、诚信道德的教育和氛围培育，同时采取必要的措施减少错弊发生的机会和可能。加强企业的内部审核制度和发挥董事会的职能，使其客观监督企业的高层管理阶层，使所有雇员形成正确而持续的道德观和价值观，在一般和特定环境下能够保持正确的判断。2-1内控环境1——诚信的原则和道德价值观诚信的原则和道德价2-1内控环境2——评定员工的能力评定员工的能力员工的能力是目标实现的基础。如何评定并发掘、提高员工能力也是企业发展的重要方面。管理部门须制定正式或非正式的职务说明书，逐项分析并规定各工作岗位所须具备的知识和技能。2-1内控环境2——评定员工的能力评定员工的能力2-1内控环境3——董事会及其所属委员会、监事会董事会及其所属委员会、监事会企业战略制定和重大经营决策必须有专业和勤勉尽责的专业人事参与和把握。企业运营体现在董事会及其所属委员会的职能和组成。董事会及其所属委员会、监事会需要关注成员的经验、相对于管理层的独立性、外部董事的比例、其成员参与管理的程度；所采取措施的适宜性；对管理层提出问题的深度和广度、他们与内部、外部审计人员的关系实质等。2-1内控环境3——董事会及其所属委员会、监事会董事会及其所2-1内控环境4——管理哲学和经营风格管理哲学和经营风格：企业全体员工特别是高级管理人员经营理念和对企业风险的认知、偏好，都将给企业的运营打下烙印。包括：对待和承担经营风险的方式；依靠文件化的政策和业绩指标以及报告体系等与关键经理人员沟通；对财务报告的态度和所采取的措施；对信息处理以及会计功能所持的态度；对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度等。2-1内控环境4——管理哲学和经营风格管理哲学和经营风格：企2-1内控环境5——组织结构组织结构：企业的组织结构为公司活动提供计划、执行，控制和监督职能的整体框架。组织结构的合适性及其提供管理企业所需信息的沟通能力；各主管人员所负责任的适当性；按照主管人员所担负的责任判断其是否具备足够的知识及丰富的经验；当环境改变时企业配合改变其组织结构的程度；员工（尤其是负责管理及监督职能的员工）人数的充足程度等。

2-1内控环境5——组织结构组织结构：企业的组织结构为公司活2-1内控环境6——责任的分配与授权责任的分配与授权以科学而严密的责权体系进行业务的分工和配合，可以高效运用企业资源、确保达到目标。为业务过程中关键岗位的人员，提供和配备所需的资源并确保他们的经验和知识与职责权限相匹配，职责担负形式和认可方式，与达成组织目标的联系。2-1内控环境6——责任的分配与授权责任的分配与授权2-1内控环境7——人力资源政策及实务人力资源政策及实务

企业所有业务（包括内控）的进行都需要人来执行，人的素质、世界观、道德观、积极性都会影响业务目标是实现。企业必须有有完善的招聘与选拔方针及操作性程序；对新员工进行企业文化和道德价值观的导向培训；对违反行为准则的任何事项，制订纪律约束与处罚措施；对业绩良好的员工，制订具有奖励和激励作用的报酬计划，并避免诱发不道德行为；根据阶段性的业绩评估结果，对员工予以晋升、指导以及奖罚

2-1内控环境7——人力资源政策及实务人力资源政策及实务2-2目标制定根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中，其他相关目标是指除战略目标之外的其他三个目标，其制定应与企业的战略相联系。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。而企业风险管理就是提供给企业管理者一个适当的过程，既能够帮助制定企业的目标，又能够将目标与企业的任务或预期联系在一起，并且保证制定的目标与企业的风险偏好相一致。战略目标是企业的高层次目标，与企业的任务和预期相联系并支持企业的任务和预期。经营目标是指企业经营的有效性和效率，包括业绩目标和盈利性目标，根据管理者对企业结构和经营选择的不同而变化。报告目标指企业报告的有效性，包括内部和外部报告，既涉及财务信息，也涉及非财务信息。合法性目标是指企业是否符合相关的法律和法规。2-2目标制定根据企业确定的任务或预期，管理者制定企业的战2-3事项识别不确定性的存在，即管理者不能确切地知道某一事项是否会发生、何时发生或者事项的结果，使得企业的管理者需要对这些事项进行识别。而潜在事项对企业可能有正面的影响、负面的影响或者两者同时存在。有负面影响的事项是企业的风险，要求企业的管理者对其进行评估和反应风险是指某一对企业目标的实现可能造成负面影响的事项发生的可能性。对企业有正面影响的事项，或者是企业的机遇，或者是可以抵消风险对企业的负面影响的事项。机遇可以在企业战略或目标制定的过程中加以考虑，以确定有关行动抓住机遇。可能潜在地抵消风险的负面影响的事项则应在风险的评估和反应阶段予以考虑。2-3事项识别不确定性的存在，即管理者不能确切地知道某一事2-4风险评估风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估——风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。对于风险的评估应从企业战略和目标的角度进行。首先，应对企业的固有风险进行评估。固有风险是指企业没有采用任何管理措施可能使企业面临的风险。确定对固有风险的风险反应模式就能够确定对固有风险的管理措施。其次，管理者应在对固有风险采取有关管理措施的基础上，对企业的残存风险进行评估。残存风险是指管理者采取有关的管理措施后仍旧存在的风险。2-4风险评估风险评估可以使管理者了解潜在事项如何影响企业2-5风险反应风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险，降低风险发生的可能性或降低风险对企业的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。对于每一个重要的风险，企业都应考虑所有的风险反应方案，为风险反应方案的选择提供广泛的空间，这也是对现状提出挑战。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。选定某一风险反应方案后，管理者应在残存风险的基础上重新评估风险，即从企业总体的角度、或者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。这种组合风险观是相对于部门的目标和风险容忍度而言的。应用于各独立部门风险组合观，也可以被大多数高层管理者所采用，以决定企业总体的风险组合与相对企业目标而言的企业总体的风险偏好是否相等。2-5风险反应风险反应可以分为规避风险、减少风险、共担风险2-6控制活动控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业为实现其商业目标而执行的过程的一部分。通常包括两个要素：确定应该做什么的一个政策和影响该政策的一系列程序。每个主体都有其自己的一套目标和执行目标的方法，因此，其子目标、结构和相关的控制活动也会不同。即使两个企业有同样的目标和结构，由于每个企业的管理人员都不同，不同的管理人员在影响内部控制时使用不同的个人判断，他们的控制活动也很可能不同。控制活动还会受企业所处的环境和行业、企业的复杂性、企业的历史和文化的影响。

2-6控制活动控制活动是帮助保证风险反应方案得到正确执行的控制活动——1高层经理人员对企业绩效进行分析高层经理人员对企业绩效进行分析管理阶层记录经营活动(如：市场的扩展、生产过程改良、成本的控制)的结果，然后再与预算、预测、前期及竞争者的绩效相比较，以衡量目标达成的程度和监督计划(如：新产品开发、合资经营、融资行为)的执订情况。控制活动——1高层经理人员对企业绩效进行分析高层经理人员对企控制活动——2直接部门管理直接部门管理负责某一部门的经理人员复核自己所负责部门的业绩报告，检查本部门各业务活动的情况，以便辨认趋势。控制活动——2直接部门管理直接部门管理控制活动——3对信息处理的控制对信息处理的控制第一类是一般控制（generalcontrol），它帮助管理阶层确保系统能持续、适当的运转；(一般控制包括：对资料中心运作的控制；对系统软件的控制；存取安全的控制；对应用系统的发展及维护的控制）第二类是应用控制(applicationcontrol)，它包括应用软件中的电算化步骤及相关的人工程序。(应用控制包括：输入控制；输出控制)控制活动——3对信息处理的控制对信息处理的控制控制活动——4实物控制实物控制保护设备、存货、证券、现金和其它资产的实体安全，定期盘点并与控制记录所显示的金额相比较。控制活动——4实物控制实物控制控制活动——5绩效指标的比较绩效指标的比较把不同的几套数据资料(如：经营数据与财务数据)相互比较，分析它们之间的关系，然后再进行调查与纠正。以存货为例，其绩效指标包括：购货价差、订单中"紧急订货"比例、总订单中退货的比例。管理阶层需要调查超出计划的结果或者不正常的趋势，辨认采购作业的目标无法达成的原因。控制活动——5绩效指标的比较绩效指标的比较控制活动——6分工分工分工即指将责任划分，再将不相容职务分派给不同的员工，以降低错误或不当行为的风险。控制活动——6分工分工不相容职务分离会计记录财产保管业务经办审核监督授权批准不相容职务分离会计记录财产保管业务经办审核监督授权批准2-7信息和沟通来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通，包括企业内自上而下、自下而上以及横向的沟通有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换，如客户、供应商、行政管理部门和股东等。2-7信息和沟通来自于企业内部和外部的相关信息必须以一定的2-7-1信息系统建立良好的信息系统支持策略；信息系统与企业营运应有效的结合；选择更新信息系统的最佳时间；有很好的信息品质。良好信息系统标志市场销售人力资源资产生产物流客户服务研发财务管理2-7-1信息系统建立良好的信息系统支持策略；良好信息系统标2-7-2沟通－内部沟通负有重要营业责任或财务管理责任的员工，除了得到用以管理其负责活动的重要资料以外，还应当得到来自最高管理层

需谨慎承担内部控制责任的清楚信息；必须让每个人清楚的知道个人所担负的特定任务，了解内部控制制度的各项规定、它们如何生效，以及他(她)在控制系统中所扮演的角色及所承担的责任；员工在其执行任务时，一旦有非预期的事项发生，除了要注意该事项本身之外，还应当注意导致该事项发生的原因，如此才有办法辨认潜在缺失，采取行动，并预防再度发生；员工必须知道他(她)所负责的活动是怎样与他人的工作发生关联的；员工必须拥有在组织中向上沟通重要信息的方法。2-7-2沟通－内部沟通负有重要营业责任或财务管理责任的员工2-7-2沟通－外部沟通顾客和供应商能经过开放的沟通管道输入重要的信息；与相关的外部团体沟通，以便获悉关于本企业内部控制功能的重要信息；外部审计人员对企业营业、相关业务问题及控制系统审计后，可以提供给管理阶层及董事会重要的控制信息；政府主要机关(如：银行或保险机关)所报道的复核或检查的结果，可以有效的弥补控制的缺失。2-7-2沟通－外部沟通顾客和供应商能经过开放的沟通管道输入2-8监控对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控——持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内各管理层面和各部门持续得到执行监控还包括对企业风险管理的记录，对企业风险管理进行记录的程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。企业风险管理的内容没有记录并不意味着风险管理无效或无法对风险管理进行评估。但是，适当的记录通常会使风险管理的监控更为有效果和有效率。当企业管理者打算向外部相关方提供关于企业风险管理效率的报告时，他们应考虑为企业风险管理设计一套记录模式并保持有关的记录2-8监控对企业风险管理的监控是指评估风险管理要素的内容和监控——1持续的监督活动持续的监督活动在营运过程中发生，它包括例行的管理和监督活动，以及其他员工为履行其职务所采取的行动。管理阶层取得内部控制系统持续发挥功能的资料，当营运报告、财务报告与他们所得到的资料有大偏离时，可对报告提出质疑；来自外界团体的沟通，可以验证内部信息的正确性，并能及时反映问题的所在；

适当的组织机构及监督活动，可用来辨识缺失；

各个职务的分离，使不同员工之间可以彼此相互检查，以防止舞弊；

把信息系统所记录的资料同实际资产核对；

内、外部稽核人员定期提出强化内部控制系统的建议；

培训课程、规划会议和其他会议，可把控制是否有效的重要信息反馈给管理阶层定期要求员工陈述他们是否了解企业的行为准则，并加以遵守，对于负责业务和财务的员工，则要求他们陈述某些特定控制是否都予执行，管理阶层或内部稽核人员还必须验证这些陈述是否确实。监控——1持续的监督活动持续的监督活动在营运过程中发生，它包监控——2个别评估个别评估尽管持续监督程序可以有效的评价内部控制体系，但企业有时需要组织例外评估以直接监视控制系统的有效性，这种做法可评估持续性监督程序。评估的范围和频率，视风险的大小及控制的重要性而定。监控——2个别评估监控——3报告缺陷报告缺陷内部控制的缺失应由下往上报告，某些缺失应报告给高层管理阶层及董事会知道。监控——3报告缺陷报告缺陷3企业内部控制局限性成本限制人为错误串通舞弊滥用职权修订不及时非经常事项3企业内部控制局限性成本限制4.1董事会的地位和职责企业的管理者向董事会负责，而董事会对管理者履行管理、指导和监督职能。董事会是企业内部环境的一个组成部分，必须有保证风险管理有效的必要的组织结构和对风险管理的关注。通过选举管理者，董事会在界定其所期望的员工的操守和价值观时起主要作用，并能够通过监督活动证实其对员工的预期。同样，通过在某些关键的决策中保留其权限，董事会在制定战略、确定企业高层次的目标和进行广义的资源配置时起到一定的作用。了解管理者在企业内部建立有效的风险管理的程度；获知并认可企业的风险偏好；复核企业的风险组合观并与企业的风险偏好相比较；评估企业最重要的风险并评估管理者的风险反应是否适当。4.1董事会的地位和职责企业的管理者向董事会负责，而董事4企业内控的责任4.1董事会的地位和职责4.2管理者的地位和职责4.3风险管理员的地位和职责4.4内部审计人员的地位和职责4.5其他员工的地位和职责4.6外部人员的关系4企业内控的责任4.1董事会的地位和职责董事会和监事会(安然公司)我们查阅了安然公司2000年度报告，惊愕地发现：17名董事中，除了董事会主席和CEO外，其余15名全部为独立董事独立董事不乏著名社会人物审计委员会的7名委员全部由独立董事组成，主席为已退休的斯坦福大学商学院院长、会计学教授罗伯特.杰迪克这些德高望重的独立董事也不能未股东把好对高层管理人员的监督关，导致投资者遭受惨重损失。这些独立董事们不仅受到社会的责难，而且面临投资者的诉讼我国正大力推行独立董事制度，许多高校的学者纷纷“投笔从戎”，建议他们切记“独立”二字，认真研究安然事件，以免重蹈覆辙董事会和监事会(安然公司)4.2管理者的地位和职责企业的首席执行官对企业的风险管理最终负责，即拥有企业风险管理的“所有权”。与企业内其他员工不同，首席执行官在企业的高层确定风险管理的基调，从而影响企业内部环境中的员工操守和价值观及其他因素。。在大公司中，首席执行官通过向高级管理者分派领导权和提供指令并复核其管理企业的方式等来履行其职能；高级管理者会进一步将制定更具体的风险管理政策和程序的责任分派给负责各部门运行的管理者。在一个小企业，首席执行官既是企业的管理者，但同时也是企业的所有者，其对风险管理的影响则更为直接4.2管理者的地位和职责企业的首席执行官对企业的风险管理4.3风险管理员的地位和职责风险管理员是指某一组织内的首席风险管理员或首席风险管理经理，他与企业内其他管理者一起，在各自的职责范围内建立并维护有效的风险管理框架。首席风险管理员也可以担当监督风险管理进度和帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责，并可以成为企业风险管理委员会的一员。4.3风险管理员的地位和职责风险管理员是指某一组织内的首4.4内部审计人员的地位和职责内部审计人员在企业风险管理的监控中占有重要的地位，这一职责作为其日常职责的一部分，其执行质量依赖于高级管理者、子公司或部门管理者的特殊要求。通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会履行其职责。4.4内部审计人员的地位和职责内部审计人员在企业风险管理4.5其他员工的地位和职责

从某种程度上讲，企业风险管理是企业内每一个员工的责任，因此，风险管理应是企业内每一个员工的工作手册的一部分内容。本质上，企业所有的员工都应提供风险管理所需的信息或者采取必要的措施管理风险。同样，企业所有的员工都有责任向上报告风险，如经营中存在的问题，未遵守有关的行为规则的情况、其他违反政策的行为或非法活动4.5其他员工的地位和职责从某种程度上讲，企业风险管理是4.6外部人员的关系

企业的许多外部相关方也有助于企业目标的实现外部审计人员行政管理部门客户财务分析师债券承销商新闻4.6外部人员的关系企业的许多外部相关方也有助于企业目标谢谢！谢谢！基于风险管理的企业内部控制及设计基于风险管理的企业内部控制及设计讲座大纲第一部分：内控的内涵和新形势第二部分：内部控制的风险框架第三部分：内部控制的局限性及改进第四部分：企业内部控制责任体系讲座大纲第一部分：内控的内涵和新形势1内控新形势和发展——美国公司欺诈舞弊安然：2001年年底，安然公司虚报近6亿美元的盈余和掩盖10亿多美元的巨额债务问题暴露。12月2日，安然公司向纽约破产法院申请破产保护，创下美国历史上最大宗的公司破产案纪录。安然公司曾是世界上最大的天然气交易商和最大的电力交易商，鼎盛时期其年收入达1000亿美元，在美国公司500强中名列第七。世通：美国第二大长途电话公司--世界通信(WorldCom)6月25日承认，自己在过去五个季度中，先后共虚报了38亿美元的利润。这一丑闻有可能成为美国历史上最大一起公司财务欺诈案。虚报赢利的丑闻暴光后，世界通信已将首席财政官沙里文解雇。美国众议院财政委员会7月8日在华盛顿举行世界通信公司财务丑闻听证会。案例1内控新形势和发展——美国公司欺诈舞弊安然：2001年年底美国公司欺诈舞弊施乐：今年4月，美国证交会宣布，施乐在1997年至2000年期间夸大了15亿美元的税前利润、30亿美元的营业收入。施乐此后与证交会达成了和解，并缴纳了1000万美元的民事罚金。这是美国公司因财务报告违规遭到的最大一笔罚款。默克：7月5日，全球第三大药品制造商、美国制药巨头默克公司在向美国证交委递交的报告中承认，从1999年到2001年，该公司在财务营收中有超过120亿美元的营收并不是其负责企业和健康保险公司的Medco药品福利部门的实际所得。这笔收入实际上从来没有打入过默克公司的户头里。

QWEST：Qwest国际通信公司日前向外界证实，设在丹佛的美国联邦检察官办公室已开始对该公司进行犯罪调查。而此前，该公司因涉嫌会计丑闻而接受了4个月的调查。

美国证交委在今年3月份就开始对Qwest国际通信公司的会计问题进行调查，该公司涉嫌和先前申请破产保护的环球电信串通作假，以大幅度提高公司营运收入数字。案例来自

中国最大的资料库下载美国公司欺诈舞弊施乐：今年4月，美国证交会宣布，施乐在199美国公司欺诈舞弊安达信：安然破产案曝光后，作为安然审计公司的安达信也被拖下了水。今年3月14日，美国司法部以“妨碍司法”为由，对安达信提起刑事诉讼，从而开创了美国历史上第一起大型会计师事务所受到刑事调查的案例。经裁决，安达信成为美国历史上第一家被判“有罪”的大型会计师事务所。美林证券：5月21日，美林因发布不实分析误导投资者面临法律制裁，后认罚1亿美元私了，以使自己免遭起诉。美林公司在与纽约州地方总检察官达成的协议中，除了同意支付1亿美元罚金之外，还将发表一份公开道歉书，并进行公改革。随后，美国检察官对其它一些美国著名的大型证券公司进行调查，并发去了传票，这些公司中包括高盛、摩根·斯坦利、索罗门美邦、瑞士信贷第一波士顿、贝尔斯登以及UBS潘韦伯证券等。案例美国公司欺诈舞弊安达信：安然破产案曝光后，作为安然审计公司的会计舞弊的骨牌效应根据美国财政部公布的最新统计数据：2002第一季度外国投资者净买入美国股票总计176亿美元，低于上一季度的337亿美元。同期购买美国债券的外资只有30亿美元，与2001的380亿美元相差甚远。国际投机基金开始大量抛售美国股票和债券，导致美元需求萎缩。会计舞弊的骨牌效应根据美国财政部公布的最新统计数据：会计舞弊的骨牌效应科尔尼公司公布了2002年度全球跨国直接投资信心指数（FDI），这次调查显示：中国首次超过美国成为最有吸引力的外国直接投资目的国。第二是美国，第三是英国，第四是德国。德国作为世界第三大经济体只吸收了320亿美金，而中国却吸收了470亿美金！去年对美国的外国直接投资下降了59％，总数为1240亿美金，对中国的投资则上升了15％，达到了470亿美金【2002年9月24日】会计舞弊的骨牌效应科尔尼公司公布了2002年度全球跨国直接投乱世用重典自出兵阿富汗以来，美国国会最协调一致的行动是在7月15日全票通过“萨班斯－奥克斯利法案”(Sarbanes-OxleyAct)，该法案的严肃性在于:公司治理被正式纳入联邦法律管辖范围，越来越多的财会欺诈者――无论他是CEO还是CFO都将被投入监狱。安然和世通之后，美国大公司都在丑闻深渊边如履薄冰，抓坏蛋和将前车之鉴铭刻于法律条文自然成为这一阶段的主题。来自

中国最大的资料库下载乱世用重典自出兵阿富汗以来，美国国会最协调一致的行动是在7月《萨班斯—奥克斯利法案》

上市公司会计监管委员会

审计师的独立性

公司的职责

加强财务信息的披露

分析员的利益冲突

证券监管委员会的资源与权限

研究和报告

公司和刑事舞弊的责任

加强对白领刑事犯罪的惩罚

公司税务申报表公司的舞弊行为及其相应的责任《萨班斯—奥克斯利法案》第404条:

管理层对公司内部控制的评估要求公司年报中包括一份“内部控制报告”，该报告应：明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任；

并且包含管理层在财务年度期末对公司财务报告相关内部控制体系及程序的有效性的评估。受托的上市公司审计师应按照上市公司会计监管委员会对审核约定所发布或采用的准则就管理层关于内部控制的评估进行鉴证并提交报告。此类鉴证约定并不构成单独的约定主体；SEC在提交的法案相关的报告中这样解释此条的立法目的：“委员会不希望审计师（对内部控制报告的）评估形成单独一份约定或者因此而导致审计费用的增加。”指导SEC进一步要求上市公司披露其是否为高级财务官员制定职业操守规范以及该规范的内容；指导SEC修改其以8-K表格进行即时披露的相关规则，

从而要求上市公司对任何职业操守规范的修改或废止事项立即进行披露。来自

中国最大的资料库下载第404条:

管理层对公司内部控制的评估要求公司年报中包括1内控新形势和发展——中国内控之路1986年财政部颁发《会计基础工作规范》，其中对企业（单位）内部控制制度作了明确规定；1997年1月中国注册会计师协会实施《独立审计具体准则第9号——企业内部控制与审计风险》，以便于会计师事务所评估审计风险，提高审计效率，保证执业质量；1999年全国人民代表大会通过新《会计法》，将企业（单位）内部控制制度当作保障会计信息“真实和完整”的基本手段之一；2000年1月国家审计署实施《中华人民共和国国家审计基本准则》，其中将对企业（单位）内部控制制度的测试当作“作业准则”予以明确；2000年11月证监会发布《公开发行证券公司信息披露编报规则》，要求公开发行证券的商业银行、保险公司、证券公司应建立健全企业内部控制制度；2001年6月财政部发布《内部会计控制—基本规范(试行)》和《内部会计控制基本规范——货币资金(试行)》1内控新形势和发展——中国内控之路1986年财政部颁发《会1内控新形势和发展——中国内控之路2002年6月13日中注协制定发布了《企业内部控制审核指导意见》；2002年9月7日中国人民银行发布《商业银行企业内部控制指引》，指出企业内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制；2002年12月19日中国证监会发布《证券投资基金管理公司企业内部控制指导意见》，首次系统地提出基金公司企业内部控制的目标和要求。2002年12月财政部发布《内部会计控制规范——采购与付款（试行）》和《内部会计控制规范——销售与收款（试行）》2003年10月财政部发布《内部会计控制规范——工程项目（试行）》2004年8月20日中国银行业监督管理委员会通过《商业银行内部控制评价试行办法》，自2005年2月1日起施行。1内控新形势和发展——中国内控之路2002年6月13日中注1内控新形势和发展——中国内控之路2006年06月05日上海证券交易所发布《上海证券交易所上市公司内部控制指引》，内部控制是指上市公司（以下简称公司）为了保证公司战略目标的实现，而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由公司董事会、管理层及全体员工共同参与的一项活动。公司内部控制通常应涵盖经营活动中所有业务环节、经营活动各环节之中的各项管理制度、信息管理、专项风险等。2006年6月6日国资委出台《中央企业全面风险管理指引》，本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。2006年7月15日，我国企业内部控制标准委员会成立大会暨第一次全体会议在北京举行。企业内部控制标准委员会主席由财政部、证监会、国资委等来自监管部门、实务界、理论界的专家学者。1内控新形势和发展——中国内控之路2006年06月05日上1.1内部控制的演变1阶段划分标志主要内容内部牵制【公元前3600年-20世纪初期以前】公元前3600年以前20世纪初期《柯氏会计词典》职责分工，相互检查内部控制制度[20世纪40年代/70年代初]1949/(AICPA/CPA)：《内部控制：系统协调的要素及其对管理部门和独立公共会计师的重要性》内部控制制度超过了与财会部门直接相关的事项；还包括成本控制、预算控制、定期报告经营情况、进行统计分析并保证管理部门所制定政策方针的贯彻执行1958(CAPNo,29)审计程序公报《独立审计人员评价内部控制的范围》将内部控制分为内部会计控制和内部管理控制两类1986年INTOSAI在第十二届国际审计会议上发表的《总声明》内部控制作为完整的财务和其他控制体系，包括了组织结构、方法程序、内部审计等重要内容1.1内部控制的演变1阶段划分标志主要内容内部牵制公元前1.1内部控制的演变2阶段划分标志主要内容内部控制结构[20世纪80年代以来]美国AICPA于1988年5月发布的《审计准则公告第55号》(SAS55)以“内部控制结构”概念取代了“内部控制制度”，三个要素组成：(1)控制环境(ControlEnvironment)(2)会计制度(AccountingSystem)(3)控制程序(ControlProcedure)内部控制整体框架[20世纪90年代初以来]美国注册会计师协会(AICPA)美国会计学会(AAA)财务执行官协会(FEl)国际内部审计师协会(IIA)管理会计师协会(MM)组成的COSO委员会提出的COSO报告，1992年9月1994年进行了增补提出了内部控制构成(InternalControlomponents)的概念，即内部控制整体框架包含了五个相互联系的要素：(1)控制环境(ControlEnvironment)(2)风险评估(RiskAppraisal)(3)控制活动(ControlActivity)(4)信息与沟通(InformationandCommunication)

(5)监控(Monitoring)来自

中国最大的资料库下载1.1内部控制的演变2阶段划分标志主要内容内部控制结构美1.1内部控制的演变3阶段划分标志主要内容风险管理框架【21世纪初】2003年7月15日，美国COSO委员会在广泛吸收各国理论界和实务界研究成果的基础上，公布了《企业风险管理框架》(EnterpriseRiskManagementFramework)讨论稿，并将于2004年4月颁布正式稿。该讨论稿在1992年COSO的内部控制框架报告的基础上建立企业风险管理框架，将企业管理的重心由内部控制转向以风险管理为中心。四大目标：战略目标经营目标报告目标合法性目标八大要素：内部环境目标制定事项识别风险评估风险反应控制活动信息和沟通监控1.1内部控制的演变3阶段划分标志主要内容风险管理框架四2企业内部控制——基于风险管理的定义企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。

2企业内部控制——基于风险管理的定义企业风险管理是一个由企基于风险管理的内部控制内涵企业的风险管理是一个过程，其本身并不是一个结果，而是实现结果的一种方式。企业的风险管理并不是一个事项或环境，而是渗透于企业各项活动中一系列行动。这些行动普遍存在于管理者对企业的日常管理中，是企业日常管理所固有的。企业风险管理是一个由人参与的过程，它不只是企业的政策、调查和表格，还涉及一个企业各个层次员工。该过程可用于企业的战略制定。一个企业确定其对未来的预期和任务，并制定企业的战略目标。企业的战略目标是企业最高层次的目标，它与企业的预期和任务相联系并支持预期和任务的实现。一个企业为实现其战略目标而制定战略，并将战略分解成相应的子目标，再将子目标层层分解到业务部门、行政部门和各生产过程。在制定战略时，管理者应考虑与不同的战略相关联的风险基于风险管理的内部控制内涵企业的风险管理是一个过程，其本身并基于风险管理的内部控制内涵该风险管理过程应应用于企业内部每个层次和部门，企业管理者对企业所面临的风险应有一个总体层面上的风险组合观。为使企业的风险管理获得成功，一个企业必须从全局、从总体层面上考虑企业的各项活动。企业的风险管理应考虑组织内所有层面的活动，从企业总体的活动（如战略计划和资源分配）到业务部门的活动（如市场部、人力资源部），再到业务流程（如生产过程和新客户信用复核）该过程是用来识别可能对企业造成潜在影响的事项并在企业风险偏好的范围内管理风险。

来自

中国最大的资料库下载基于风险管理的内部控制内涵该风险管理过程应应用于企业内部每个基于风险管理的内部控制内涵设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。不确定性和风险是与未来相关，但是没有人可以确切地预测未来。因此，即使建立风险管理框架，也只能提供合理保证。其原因在于人们在进行决策时的判断可能出错，对风险反应的决策和建立的控制需要考虑相关的成本和效益，由于人们简单的失误和错误可能出现企业的破产，可能由于两个或多个人的串通而绕过控制，管理者有能力忽视企业的风险管理决策等因素。这些限制使得董事会和管理者无法得到企业目标实现的绝对保证。企业风险管理框架针对一类或几类相互独立但又存在重叠的目标，目的在于企业目标的实现。有效的风险管理可以为企业财务报告和合法性目标的实现提供合理的保证。这些目标的实现一般在企业的控制范围内，其实现依赖于相关活动执行的好坏。但是，战略性目标和经营性目标并不一定在企业的控制范围内。对于战略目标和经营目标，企业风险管理只能合理保证管理者和董事会及时了解企业目标实现的进度。基于风险管理的内部控制内涵设计合理、运行有效的风险管理能够向2-1内部环境企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织和对风险的识别、评估和反应。它还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。诚信的原则和道德价值观评定员工的能力董事会及其所属委员会、监事会管理哲学和经营风格组织结构权限和职责的分配方式人力资源政策及实务2-1内部环境企业的内部环境是其他所有风险管理要素的基础，2-1内控环境1——诚信的原则和道德价值观诚信的原则和道德价值观在现代所有权和经营权相分离的产权格局之下，企业（股东）目标、管理者目标和以及生产者的目标不尽相同以及信息不对称条件限制，企业高层管理者和员工都会存在“不道德”和逆向选择的风险另外；在企业运营过程种，经常由于受到某种压力或诱惑导致舞弊和贪污等，轻者带来企业效率低下、声誉受损，重者给企业带来损失和埋下隐患。企业应加强职业道德、诚信道德的教育和氛围培育，同时采取必要的措施减少错弊发生的机会和可能。加强企业的内部审核制度和发挥董事会的职能，使其客观监督企业的高层管理阶层，使所有雇员形成正确而持续的道德观和价值观，在一般和特定环境下能够保持正确的判断。2-1内控环境1——诚信的原则和道德价值观诚信的原则和道德价2-1内控环境2——评定员工的能力评定员工的能力员工的能力是目标实现的基础。如何评定并发掘、提高员工能力也是企业发展的重要方面。管理部门须制定正式或非正式的职务说明书，逐项分析并规定各工作岗位所须具备的知识和技能。2-1内控环境2——评定员工的能力评定员工的能力2-1内控环境3——董事会及其所属委员会、监事会董事会及其所属委员会、监事会企业战略制定和重大经营决策必须有专业和勤勉尽责的专业人事参与和把握。企业运营体现在董事会及其所属委员会的职能和组成。董事会及其所属委员会、监事会需要关注成员的经验、相对于管理层的独立性、外部董事的比例、其成员参与管理的程度；所采取措施的适宜性；对管理层提出问题的深度和广度、他们与内部、外部审计人员的关系实质等。2-1内控环境3——董事会及其所属委员会、监事会董事会及其所2-1内控环境4——管理哲学和经营风格管理哲学和经营风格：企业全体员工特别是高级管理人员经营理念和对企业风险的认知、偏好，都将给企业的运营打下烙印。包括：对待和承担经营风险的方式；依靠文件化的政策和业绩指标以及报告体系等与关键经理人员沟通；对财务报告的态度和所采取的措施；对信息处理以及会计功能所持的态度；对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度等。2-1内控环境4——管理哲学和经营风格管理哲学和经营风格：企2-1内控环境5——组织结构组织结构：企业的组织结构为公司活动提供计划、执行，控制和监督职能的整体框架。组织结构的合适性及其提供管理企业所需信息的沟通能力；各主管人员所负责任的适当性；按照主管人员所担负的责任判断其是否具备足够的知识及丰富的经验；当环境改变时企业配合改变其组织结构的程度；员工（尤其是负责管理及监督职能的员工）人数的充足程度等。

2-1内控环境5——组织结构组织结构：企业的组织结构为公司活2-1内控环境6——责任的分配与授权责任的分配与授权以科学而严密的责权体系进行业务的分工和配合，可以高效运用企业资源、确保达到目标。为业务过程中关键岗位的人员，提供和配备所需的资源并确保他们的经验和知识与职责权限相匹配，职责担负形式和认可方式，与达成组织目标的联系。2-1内控环境6——责任的分配与授权责任的分配与授权2-1内控环境7——人力资源政策及实务人力资源政策及实务

企业所有业务（包括内控）的进行都需要人来执行，人的素质、世界观、道德观、积极性都会影响业务目标是实现。企业必须有有完善的招聘与选拔方针及操作性程序；对新员工进行企业文化和道德价值观的导向培训；对违反行为准则的任何事项，制订纪律约束与处罚措施；对业绩良好的员工，制订具有奖励和激励作用的报酬计划，并避免诱发不道德行为；根据阶段性的业绩评估结果，对员工予以晋升、指导以及奖罚

2-1内控环境7——人力资源政策及实务人力资源政策及实务2-2目标制定根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。其中，其他相关目标是指除战略目标之外的其他三个目标，其制定应与企业的战略相联系。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。而企业风险管理就是提供给企业管理者一个适当的过程，既能够帮助制定企业的目标，又能够将目标与企业的任务或预期联系在一起，并且保证制定的目标与企业的风险偏好相一致。战略目标是企业的高层次目标，与企业的任务和预期相联系并支持企业的任务和预期。经营目标是指企业经营的有效性和效率，包括业绩目标和盈利性目标，根据管理者对企业结构和经营选择的不同而变化。报告目标指企业报告的有效性，包括内部和外部报告，既涉及财务信息，也涉及非财务信息。合法性目标是指企业是否符合相关的法律和法规。2-2目标制定根据企业确定的任务或预期，管理者制定企业的战2-3事项识别不确定性的存在，即管理者不能确切地知道某一事项是否会发生、何时发生或者事项的结果，使得企业的管理者需要对这些事项进行识别。而潜在事项对企业可能有正面的影响、负面的影响或者两者同时存在。有负面影响的事项是企业的风险，要求企业的管理者对其进行评估和反应风险是指某一对企业目标的实现可能造成负面影响的事项发生的可能性。对企业有正面影响的事项，或者是企业的机遇，或者是可以抵消风险对企业的负面影响的事项。机遇可以在企业战略或目标制定的过程中加以考虑，以确定有关行动抓住机遇。可能潜在地抵消风险的负面影响的事项则应在风险的评估和反应阶段予以考虑。2-3事项识别不确定性的存在，即管理者不能确切地知道某一事2-4风险评估风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估——风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。对于风险的评估应从企业战略和目标的角度进行。首先，应对企业的固有风险进行评估。固有风险是指企业没有采用任何管理措施可能使企业面临的风险。确定对固有风险的风险反应模式就能够确定对固有风险的管理措施。其次，管理者应在对固有风险采取有关管理措施的基础上，对企业的残存风险进行评估。残存风险是指管理者采取有关的管理措施后仍旧存在的风险。2-4风险评估风险评估可以使管理者了解潜在事项如何影响企业2-5风险反应风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险，降低风险发生的可能性或降低风险对企业的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。对于每一个重要的风险，企业都应考虑所有的风险反应方案，为风险反应方案的选择提供广泛的空间，这也是对现状提出挑战。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。选定某一风险反应方案后，管理者应在残存风险的基础上重新评估风险，即从企业总体的角度、或者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。这种组合风险观是相对于部门的目标和风险容忍度而言的。应用于各独立部门风险组合观，也可以被大多数高层管理者所采用，以决定企业总体的风险组合与相对企业目标而言的企业总体的风险偏好是否相等。2-5风险反应风险反应可以分为规避风险、减少风险、共担风险2-6控制活动控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业为实现其商业目标而执行的过程的一部分。通常包括两个要素：确定应该做什么的一个政策和影响该政策的一系列程序。每个主体都有其自己的一套目标和执行目标的方法，因此，其子目标、结构和相关的控制活动也会不同。即使两个企业有同样的目标和结构，由于每个企业的管理人员都不同，不同的管理人员在影响内部控制时使用不同的个人判断，他们的控制活动也很可能不同。控制活动还会受企业所处的环境和行业、企业的复杂性、企业的历史和文化的影响。

2-6控制活动控制活动是帮助保证风险反应方案得到正确执行的控制活动——1高层经理人员对企业绩效进行分析高层经理人员对企业绩效进行分析管理阶层记录经营活动(如：市场的扩展、生产过程改良、成本的控制)的结果，然后再与预算、预测、前期及竞争者的绩效相比较，以衡量目标达成的程度和监督计划(如：新产品开发、合资经营、融资行为)的执订情况。控制活动——1高层经理人员对企业绩效进行分析高层经理人员对企控制活动——2直接部门管理直接部门管理负责某一部门的经理人员复核自己所负责部门的业绩报告，检查本部门各业务活动的情况，以便辨认趋势。控制活动——2直接部门管理直接部门管理控制活动——3对信息处理的控制对信息处理的控制第一类是一般控制（generalcontrol），它帮助管理阶层确保系统能持续、适当的运转；(一般控制包括：对资料中心运作的控制；对系统软件的控制；存取安全的控制；对应用系统的发展及维护的控制）第二类是应用控制(applicationcontrol)，它包括应用软件中的电算化步骤及相关的人工程序。(应用控制包括：输入控制；输出控制)控制活动——3对信息处理的控制对信息处理的控制控制活动——4实物控制实物控制保护设备、存货、证券、现金和其它资产的实体安全，定期盘点并与控制记录所显示的金额相比较。控制活动——4实物控制实物控制控制活动——5绩效指标的比较绩效指标的比较把不同的几套数据资料(如：经营数据与财务数据)相互比较，分析它们之间的关系，然后再进行调查与纠正。以存货为例，其绩效指标包括：购货价差、订单中"紧急订货"比例、总订单中退货的比例。管理阶层需要调查超出计划的结果或者不正常的趋势，辨认采购作业的目标无法达成的原因。控制活动——5绩效指标的比较绩效指标的比较控制活动——6分工分工分工即指将责任划分，再将不相容职务分派给不同的员工，以降低错误或不当行为的风险。控制活动——6分工分工不相容职务分离会计记录财产保管业务经办审核监督授权批准不相容职务分离会计记录财产保管业务经办审核监督授权批准2-7信息和沟通来自于企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通，包括企业内自上而下、自下而上以及横向的沟通有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换，如客户、供应商、行政管理部门和股东等。2-7信息和沟通来自于企业内部和外部的相关信息必须以一定的2-7-1信息系统建立良好的信息系统支持策略；信息系统与企业营运应有效的结合；选择更新信息系统的最佳时间；有很好的信息品质。良好信息系统标志市场销售人力资源资产生产物流客户服务研发财务管理2-7-1信息系统建立良好的信息系统支持策略；良好信息系统标2-7-2沟通－内部沟通负有重要营业责任或财务管理责任的员工，除了得到用以管理其负责活动的重要资料以外，还应当得到来自最高管理层

需谨慎承担内部控制责任的清楚信息；必须让每个人清楚的知道个人所担负的特定任务，了解内部控制制度的各项规定、它们如何生效，以及他(她)在控制系统中所扮演的角色及所承担的责任；员工在其执行任务时，一旦有非预期的事项发生，除了要注意该事项本身之外，还应当注意导致该事项发生的原因，如此才有办法辨认潜在缺失，采取行动，并预防再度发生；员工必须知道他(她)所负责的活动是怎样与他人的工作发生关联的；员工必须拥有在组织中向上沟通重要信息的方法。2-7-2沟通－内部沟