S-X法案与风险管理框架课件

S-X法案与风险管理框架陈汉文经济学博士教授博士生导师厦门大学会计系主任S-X法案与风险管理框架陈汉文1一、引言一、引言2二、COSO报告（IC-IF1992）出台背景1.舞弊行为猖獗二、COSO报告（IC-IF1992）出台背景1.舞弊行为猖3二、COSO报告（IC-IF1992）出台背景2.风险与不确定性二、COSO报告（IC-IF1992）出台背景2.风险与不确4二、COSO报告（IC-IF1992）出台背景3.CPA诉讼爆炸与审计目标的变化二、COSO报告（IC-IF1992）出台背景3.CPA诉5二、COSO报告（IC-IF1992）出台背景4.《反海外公司腐败法》二、COSO报告（IC-IF1992）出台背景4.《反海外6二、COSO报告（IC-IF1992）出台背景反海外公司腐败法》与中国企业跨国经营

——以朗讯和中国人寿为例二、COSO报告（IC-IF1992）出台背景反海外公司腐7二、COSO报告（IC-IF1992）出台背景《反海外公司腐败法》与中国企业跨国经营

建设银行案二、COSO报告（IC-IF1992）出台背景《反海外公司8三、COSO报告（IC-IF1992）创新观点三、COSO报告（IC-IF1992）创新观点9控制环境监控控制程序风险信息沟通通沟息信三、COSO报告（IC-IF1992）创新观点控制环境监控控制程序风险信息沟通通沟息信三、COSO报告（I10三、COSO报告（IC-IF1992）创新观点

1、定义：

内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的真实性、相关法令的遵循性等目标的达成而提供合理保证的过程”。三、COSO报告（IC-IF1992）创新观点11三、COSO报告（IC-IF1992）创新观点2、内部控制是一种“过程”，讲求的是达到结果的过程而非结果本身；3、内部控制是受“人”影响的过程，是由“人”执行的过程而并非仅是政策手册与表格，它来自于组织内每一个阶层的人；4、内部控制只能为企业管理阶层与董事会提供“合理保证”而非绝对保证；5、不同类别的内部控制相互配合，以一种、多种或重叠性的类别达到多项管理目标（3目标）6、软控制7、内部控制的责任8、柔和管理与控制的界限三、COSO报告（IC-IF1992）创新观点12四、COSO报告（IC-IF1992）内容（一）控制环境

控制环境是对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素，它是内部控制其他构成要素的基础，它的设计和运行，不仅会影响企业整体活动方式，而且对企业目标制定与评估风险、控制活动、信息与沟通系统，以及监督活动等都会产生重大的影响。四、COSO报告（IC-IF1992）内容（一）控制环境13四、COSO报告（IC-IF1992）内容（一）控制环境

1.诚信的原则和道德价值观2.评定员工的能力3.董事会和审计委员会4.管理哲学和经营风格

四、COSO报告（IC-IF1992）内容（一）控制环境14四、COSO报告（IC-IF1992）内容（一）控制环境

5.组织结构6.责任的分配与授权7.人力资源政策及实务四、COSO报告（IC-IF1992）内容（一）控制环境15四、COSO报告（IC-IF1992）内容（二）风险评估

任何企业，不论其规模、结构、性质或行业如何，都会面临来自内部和外部的不同风险。风险是客观存在的，而管理者的每一项决策本身就在创造风险，从而企业管理者只能谨慎地接受风险，并将风险维持在一个合理的水平之内，因此风险评估应该成为内部控制的主要组成部分。四、COSO报告（IC-IF1992）内容（二）风险评估16四、COSO报告（IC-IF1992）内容（二）风险评估风险是不能实现目标的可能性，企业管理者在制定与其销售、生产、行销、财务等作业相结合的目标时，必须设立可辨认、分析和管理相关风险的机制，以了解自身所面临的风险，并适当加以处理。

环境控制和风险评估，是提高提高企业内部控制效率和效果的关键。

四、COSO报告（IC-IF1992）内容（二）风险评估17四、COSO报告（IC-IF1992）内容（二）风险评估１.目标２.风险３.环境变化后的管理四、COSO报告（IC-IF1992）内容（二）风险评估18四、COSO报告（IC-IF1992）内容（三）控制活动四、COSO报告（IC-IF1992）内容（三）控制活动19四、COSO报告（IC-IF1992）内容（三）控制活动

控制活动是指管理者对所确认的风险采取的必要措施，是帮助管理者确保各项指令能被执行的政策和程序。

控制活动出现在整个企业内的各个阶层与各种职能部门，包括诸如核准、授权、验证、调节、复核营业绩效、保障资产安全以及职务分工等多种活动。四、COSO报告（IC-IF1992）内容（三）控制活动20四、COSO报告（IC-IF1992）内容（三）控制活动

控制活动包括政策和程序两个要素，政策规定应该做什么，程序则使政策产生效果，政策是程序的基础。政策可能书面规定，也可能只是一个口头的指令而已，但无论政策是否做成书面，都应该前后一贯、彻底地加以执行。四、COSO报告（IC-IF1992）内容（三）控制活动21四、COSO报告（IC-IF1992）内容（三）控制活动政策一般针对某种情况，而执行程序必须视当时情况而定，如果只是机械地、被动地执行程序也不会取得理想的效果。四、COSO报告（IC-IF1992）内容（三）控制活动22四、COSO报告（IC-IF1992）内容（三）控制活动控制程序是针对关键控制点而制定的，因此，企业在制定控制活动时关键就是要寻找关键控制点。

四、COSO报告（IC-IF1992）内容（三）控制活动23四、COSO报告（IC-IF1992）内容（三）控制活动内容一般包括：（1）经济业务和经济活动的授权、批准；（2）明确有关人员的职责分工，并有效防止舞弊；（3）凭证和账单的设置和使用应保证业务和活动得到正确记载；（4）财产和记录的接触使用要有保护措施；（5）对已登记的业务及其计价要进行复核，等等。四、COSO报告（IC-IF1992）内容（三）控制活动24四、COSO报告（IC-IF1992）内容（四）信息与沟通

四、COSO报告（IC-IF1992）内容（四）信息与沟通25四、COSO报告（IC-IF1992）内容（四）信息与沟通

围绕在控制活动周围的是信息与沟通系统，这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并相互交换这些信息。

企业的信息系统不仅是企业控制环境建设的一个重要方面，同时也是企业内部控制的一项要素，是企业内部控制过程的一个部分。四、COSO报告（IC-IF1992）内容（四）信息与沟26四、COSO报告（IC-IF1992）内容1、一个良好的信息系统应能确保企业中每个人都清楚地知道其所承担的特定职务；2、它不仅要有向下的沟通渠道，还应该有向上的、横向的以及对外界的信息沟通渠道。3、会计信息系统为企业提供成本信息、营运信息、生产信息、库存信息等，是企业信息系统最为重要的组成部分。四、COSO报告（IC-IF1992）内容1、一个良好的信27四、COSO报告（IC-IF1992）内容（五）监督１.持续的监督活动２.个别评估３.报告缺陷四、COSO报告（IC-IF1992）内容（五）监督28四、COSO报告（IC-IF1992）内容（五）监督企业内部控制是一个过程，这个过程是通过纳入管理过程的大量制度及活动实现的。

因此，要确保内部控制被切实地执行且执行的效果良好、内部控制能够随时适应新情况等，整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。四、COSO报告（IC-IF1992）内容（五）监督29五、2002年的萨班斯—奥克斯利法案（Sarbanes-OxleyActof2002）1、302条款和404条款要求公众公司管理当局对企业内部控制的有效性进行披露报告，注册会计师必须对该份报告进行审计。2、在实践层面，美国证券交易委员会（SEC）通过制定规则（rules）来具体执行萨班斯—奥克斯利法案302和404条款，这些规则为CEO和CFO对主体财务呈报内部控制（entity’sinternalcontroloverfinancialreporting）和披露控制(disclosurecontrol)的报告提供了指南；

五、2002年的萨班斯—奥克斯利法案（Sarbanes-O30五、2002年的萨班斯—奥克斯利法案（Sarbanes-OxleyActof2002）

3、公众公司会计监管委员会（PCAOB）通过为注册会计师制定审计准则，直接影响注册会计师该类审计合约的计划与实施；4、COSO委员会制定内部控制标准框架，作为管理当局和注册会计师进行内部控制评价的基础。五、2002年的萨班斯—奥克斯利法案（Sarbanes-O31第1：SEC--“财务呈报内部控制”的操作性定义

第1：SEC--“财务呈报内部控制”的操作性定义32第2：年报—10K萨班斯法案404条款要求首席执行官（CEO）和首席财务官（CFO）对主体财务呈报内部控制的有效性进行评价和报告，该份报告包括在公司按年度递交给SEC的10K表（Form10K）中。第2：年报—10K萨班斯法案404条款要求33第3：实施时间第3：实施时间34第4：季度报告—10Q

第4：季度报告—10Q35第5：信息披露委员会

第5：信息披露委员会36第6：两个书面证明除了对披露控制和程序以及财务呈报内部控制进行报告外，SEC还要求公司的主要执行官和主要财务官签署两个书面证明，包括在公司的10Q和10K表中。这两个书面证明保证为萨班斯法案302和906条款所要求。

第6：两个书面证明除了对披露控制和程序以及财务呈报37六、COSO——企业风险管理综合框架

（ERM-IF，2004）六、COSO——企业风险管理综合框架

38伟大的爱情及伟大的成就，都伴随着巨大的风险！----《魔戒》想赢得更多，有时就得冒更大的风险。----比尔·盖茨伟大的爱情及伟大的成就，都伴随着巨大的风险！39COSO的ERM介绍定义：

ERM是一个在战略决策以及在整个组织中贯穿实施的过程，被设计用于确认影响组织的潜在事件，将风险控制在组织风险偏好的范围内，为组织目标的实现提供合理的保证。ERM受到组织董事会、管理层以及其他人员的影响。COSO的ERM介绍定义：40ERM是一个渗入到组织各种活动中的一系列行动ERM受到组织中人的影响，同时也影响着人们的行动在战略设置时实施ERM在整个组织中实施ERM风险偏好提供合理的保证四种目标

ERM是一个渗入到组织各种活动中的一系列行动41内控环境①⑤风险反应⑥控制活动目标制定②事项识别③⑦信息与沟通⑧监控和稽核风险评估④必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。

内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。

通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。

必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。管理当局选择风险应对——回避、承受、降低或者分担风险——采取一系列行动以便把风险控制在主体的风险容限（risktolerance）和风险容量以内。

制订和执行政策与程序以帮助确保风险应对得以有效实施。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。内控环境①⑤风险反应⑥控制活动目标制定②事项识别③⑦信息与沟42

企业风险管理--目标的实现

企业风险管理--目标的实现43风险管理的新格局旧新连续的风险管理过程是持续不断的整体的风险管理是整合高层主管的宏观视角，并把风险管理变为组织内每个人工作的一部分片面的风险管理仅由财务、资产、内审等部门各自独立操作随意的风险管理的执行是由主管个人判断何时需要全面的专注考量所有业务的风险与机会狭义的专注主要应用在可投保的风险及财务的风险上风险管理的新格局旧新连续的风险管理过程是持续不断的整体的风险44ERM步骤1目标设定：

ERM步骤1目标设定：45步骤2风险识别：步骤2风险识别：46步骤3步骤347步骤4步骤448步骤5持续监督－－由部门副经理负责复核独立监督－－内部审计部门进行步骤5持续监督－－由部门副经理负责复核49控制自我评估（CSA）、风险自我评估（RSA）CSA是1987年由加拿大海湾公司首先采用的，当时称为推动会议自我评估法。控制自我评估（CSA）、风险自我评估（RSA）501．什么是CSA1．什么是CSA512．CSA的形式

2．CSA的形式523．CSA的常用方式

3．CSA的常用方式534．CSA的优点及缺陷

4．CSA的优点及缺陷54七、山西票号案例分析

七、山西票号案例分析

55目录第一部分：控制环境第二部分：风险评估第三部分：控制活动第四部分：信息与沟通第五部分：监督目录第一部分：控制环境56控制环境控制环境57主要内容一、操守与价值观二、管理哲学与经营风格三、财东与掌柜的关系四、胜任之承诺主要内容一、操守与价值观58一、操守与价值观

老乞丐的故事（一）行为守则

一、操守与价值观老乞丐的故事59（二）与各界的关系在处理各方关系的时候，晋商策略非常老到。（二）与各界的关系在处理各方关系的时候，晋商策略非常老到。60

2、对竞争者

2、对竞争者613、对员工3、对员工62（三）动机和诱因（三）动机和诱因63二、管理哲学和经营风格（一）管理哲学山西票号安全哲学的主旨就是保证商事活动在未发生变异的“安全状态”或“准安全状态”下，提前对已经或即将发生的非安全状态的防范和补救。这同中国道家哲学所强调的“治于未乱”的安全思想是一脉相承的。二、管理哲学和经营风格（一）管理哲学64（二）稳健的经营风格（二）稳健的经营风格65三、财东与大掌柜的关系三、财东与大掌柜的关系66四、胜任之承诺（一）职责的界定

四、胜任之承诺（一）职责的界定67（二）掌柜的遴选（二）掌柜的遴选68（三）其他人员的培养（三）其他人员的培养69风险评估风险评估70主要内容一、整体风险及其管理二、作业层级风险及其管理三、对改变的管理主要内容一、整体风险及其管理71一、整体风险及其管理（一）整体目标：获利在《晋商兴衰史》中这样写到“商人经营的目的是获取利润，山西商人以他们的精明，在商业经营中获取了较大利润。从而为扩大经营积累了相当数额的资本”。可以看出，对商人们来说，票号的整体目标还是获利。票号首先要存在，在生存的基础上获利，同时获利又能保证票号的生存。百年老店的回味，辉煌中的叹息声。

一、整体风险及其管理（一）整体目标：获利72（二）外部风险

1、经济环境风险行会制度2、政治环境风险政商联营（二）外部风险73（三）内部风险

1、委托代理中的道德风险（1）“顶身股”激励制度（2）赏罚分明的约束机制（三）内部风险742、经营风险（1）苛刻的录用制度（2）全面的培训制度（3）严密的规章制度2、经营风险75二、作业层级风险及其管理（一）作业层级目标：防范各种具体经营风险山西票号是专门从事汇兑和存放款业务的金融机构，其作业层级风险主要体现在三个方面：汇兑风险、支付风险和贷款风险。因此，其作业层级目标即防范以上业务经营风险，以实现企业利润最大化。二、作业层级风险及其管理（一）作业层级目标：防范各种具体经营76（二）作业层级风险1、汇兑风险2、支付风险3、贷款风险（二）作业层级风险77（三）对改变的管理对改变的管理是指管理阶层应环境的变化而采取的行动。因此涉及到具体的管理活动，现以个别票号的应对策略来谈。并不是所有的票号没有审时度势，他们已经意识到了所面临的风险并作出了调整，大票号由于确是没有抓住时机，已经大势已去，这些措施想力挽狂澜为时已晚。（三）对改变的管理对改变的管理是指管理阶层应环境78控制活动

控制活动

79主要内容一、授权二、验证三、调节四、复核经营绩效五、保障资产安全六、职务分工主要内容一、授权80

一、授权一、授权81

二、验证定期结帐一次，由掌柜向财东汇报经营成果二、验证定82

三、调节分号信房定期向总号信房报告经营情况，总号也不断地通过信房系统下达指令三、调节83

四、复核经营绩效分号帐房向总号帐房报送的“月清摺”、“年总结”，由总号查对核实，如有问题即报总经理处理四、复核经营绩效84

五、保障资产安全五、保障资产安全85

六、职务分工六、职务分工86信息沟通机制

信息沟通机制87（一）总分号制下的内部组织结构（一）总分号制下的内部组织结构88（二）号规

（二）号规89（三）联络措施（三）联络措施90（四）信息传递方式（四）信息传递方式91（五）、信息安全保障措施

（五）、信息安全保障措施92监督监督93主要内容一、持续的监督活动（一）适当的组织结构的安排（二）会议商讨制度（三）内部稽核人员制度

二、报道缺失主要内容一、持续的监督活动94一、持续的监督活动一、持续的监督活动95（一）适当的组织结构的安排（一）适当的组织结构的安排963、职工的遴选制度

3、职工的遴选制度974、职工岗位调动制度4、职工岗位调动制度98（二）会议商讨制度

（二）会议商讨制度99（三）内部稽核人员制度

（三）内部稽核人员制度100二、报道缺失二、报道缺失101演讲完毕，谢谢观看！演讲完毕，谢谢观看！102S-X法案与风险管理框架陈汉文经济学博士教授博士生导师厦门大学会计系主任S-X法案与风险管理框架陈汉文103一、引言一、引言104二、COSO报告（IC-IF1992）出台背景1.舞弊行为猖獗二、COSO报告（IC-IF1992）出台背景1.舞弊行为猖105二、COSO报告（IC-IF1992）出台背景2.风险与不确定性二、COSO报告（IC-IF1992）出台背景2.风险与不确106二、COSO报告（IC-IF1992）出台背景3.CPA诉讼爆炸与审计目标的变化二、COSO报告（IC-IF1992）出台背景3.CPA诉107二、COSO报告（IC-IF1992）出台背景4.《反海外公司腐败法》二、COSO报告（IC-IF1992）出台背景4.《反海外108二、COSO报告（IC-IF1992）出台背景反海外公司腐败法》与中国企业跨国经营

——以朗讯和中国人寿为例二、COSO报告（IC-IF1992）出台背景反海外公司腐109二、COSO报告（IC-IF1992）出台背景《反海外公司腐败法》与中国企业跨国经营

建设银行案二、COSO报告（IC-IF1992）出台背景《反海外公司110三、COSO报告（IC-IF1992）创新观点三、COSO报告（IC-IF1992）创新观点111控制环境监控控制程序风险信息沟通通沟息信三、COSO报告（IC-IF1992）创新观点控制环境监控控制程序风险信息沟通通沟息信三、COSO报告（I112三、COSO报告（IC-IF1992）创新观点

1、定义：

内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的真实性、相关法令的遵循性等目标的达成而提供合理保证的过程”。三、COSO报告（IC-IF1992）创新观点113三、COSO报告（IC-IF1992）创新观点2、内部控制是一种“过程”，讲求的是达到结果的过程而非结果本身；3、内部控制是受“人”影响的过程，是由“人”执行的过程而并非仅是政策手册与表格，它来自于组织内每一个阶层的人；4、内部控制只能为企业管理阶层与董事会提供“合理保证”而非绝对保证；5、不同类别的内部控制相互配合，以一种、多种或重叠性的类别达到多项管理目标（3目标）6、软控制7、内部控制的责任8、柔和管理与控制的界限三、COSO报告（IC-IF1992）创新观点114四、COSO报告（IC-IF1992）内容（一）控制环境

控制环境是对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素，它是内部控制其他构成要素的基础，它的设计和运行，不仅会影响企业整体活动方式，而且对企业目标制定与评估风险、控制活动、信息与沟通系统，以及监督活动等都会产生重大的影响。四、COSO报告（IC-IF1992）内容（一）控制环境115四、COSO报告（IC-IF1992）内容（一）控制环境

1.诚信的原则和道德价值观2.评定员工的能力3.董事会和审计委员会4.管理哲学和经营风格

四、COSO报告（IC-IF1992）内容（一）控制环境116四、COSO报告（IC-IF1992）内容（一）控制环境

5.组织结构6.责任的分配与授权7.人力资源政策及实务四、COSO报告（IC-IF1992）内容（一）控制环境117四、COSO报告（IC-IF1992）内容（二）风险评估

任何企业，不论其规模、结构、性质或行业如何，都会面临来自内部和外部的不同风险。风险是客观存在的，而管理者的每一项决策本身就在创造风险，从而企业管理者只能谨慎地接受风险，并将风险维持在一个合理的水平之内，因此风险评估应该成为内部控制的主要组成部分。四、COSO报告（IC-IF1992）内容（二）风险评估118四、COSO报告（IC-IF1992）内容（二）风险评估风险是不能实现目标的可能性，企业管理者在制定与其销售、生产、行销、财务等作业相结合的目标时，必须设立可辨认、分析和管理相关风险的机制，以了解自身所面临的风险，并适当加以处理。

环境控制和风险评估，是提高提高企业内部控制效率和效果的关键。

四、COSO报告（IC-IF1992）内容（二）风险评估119四、COSO报告（IC-IF1992）内容（二）风险评估１.目标２.风险３.环境变化后的管理四、COSO报告（IC-IF1992）内容（二）风险评估120四、COSO报告（IC-IF1992）内容（三）控制活动四、COSO报告（IC-IF1992）内容（三）控制活动121四、COSO报告（IC-IF1992）内容（三）控制活动

控制活动是指管理者对所确认的风险采取的必要措施，是帮助管理者确保各项指令能被执行的政策和程序。

控制活动出现在整个企业内的各个阶层与各种职能部门，包括诸如核准、授权、验证、调节、复核营业绩效、保障资产安全以及职务分工等多种活动。四、COSO报告（IC-IF1992）内容（三）控制活动122四、COSO报告（IC-IF1992）内容（三）控制活动

控制活动包括政策和程序两个要素，政策规定应该做什么，程序则使政策产生效果，政策是程序的基础。政策可能书面规定，也可能只是一个口头的指令而已，但无论政策是否做成书面，都应该前后一贯、彻底地加以执行。四、COSO报告（IC-IF1992）内容（三）控制活动123四、COSO报告（IC-IF1992）内容（三）控制活动政策一般针对某种情况，而执行程序必须视当时情况而定，如果只是机械地、被动地执行程序也不会取得理想的效果。四、COSO报告（IC-IF1992）内容（三）控制活动124四、COSO报告（IC-IF1992）内容（三）控制活动控制程序是针对关键控制点而制定的，因此，企业在制定控制活动时关键就是要寻找关键控制点。

四、COSO报告（IC-IF1992）内容（三）控制活动125四、COSO报告（IC-IF1992）内容（三）控制活动内容一般包括：（1）经济业务和经济活动的授权、批准；（2）明确有关人员的职责分工，并有效防止舞弊；（3）凭证和账单的设置和使用应保证业务和活动得到正确记载；（4）财产和记录的接触使用要有保护措施；（5）对已登记的业务及其计价要进行复核，等等。四、COSO报告（IC-IF1992）内容（三）控制活动126四、COSO报告（IC-IF1992）内容（四）信息与沟通

四、COSO报告（IC-IF1992）内容（四）信息与沟通127四、COSO报告（IC-IF1992）内容（四）信息与沟通

围绕在控制活动周围的是信息与沟通系统，这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并相互交换这些信息。

企业的信息系统不仅是企业控制环境建设的一个重要方面，同时也是企业内部控制的一项要素，是企业内部控制过程的一个部分。四、COSO报告（IC-IF1992）内容（四）信息与沟128四、COSO报告（IC-IF1992）内容1、一个良好的信息系统应能确保企业中每个人都清楚地知道其所承担的特定职务；2、它不仅要有向下的沟通渠道，还应该有向上的、横向的以及对外界的信息沟通渠道。3、会计信息系统为企业提供成本信息、营运信息、生产信息、库存信息等，是企业信息系统最为重要的组成部分。四、COSO报告（IC-IF1992）内容1、一个良好的信129四、COSO报告（IC-IF1992）内容（五）监督１.持续的监督活动２.个别评估３.报告缺陷四、COSO报告（IC-IF1992）内容（五）监督130四、COSO报告（IC-IF1992）内容（五）监督企业内部控制是一个过程，这个过程是通过纳入管理过程的大量制度及活动实现的。

因此，要确保内部控制被切实地执行且执行的效果良好、内部控制能够随时适应新情况等，整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。四、COSO报告（IC-IF1992）内容（五）监督131五、2002年的萨班斯—奥克斯利法案（Sarbanes-OxleyActof2002）1、302条款和404条款要求公众公司管理当局对企业内部控制的有效性进行披露报告，注册会计师必须对该份报告进行审计。2、在实践层面，美国证券交易委员会（SEC）通过制定规则（rules）来具体执行萨班斯—奥克斯利法案302和404条款，这些规则为CEO和CFO对主体财务呈报内部控制（entity’sinternalcontroloverfinancialreporting）和披露控制(disclosurecontrol)的报告提供了指南；

五、2002年的萨班斯—奥克斯利法案（Sarbanes-O132五、2002年的萨班斯—奥克斯利法案（Sarbanes-OxleyActof2002）

3、公众公司会计监管委员会（PCAOB）通过为注册会计师制定审计准则，直接影响注册会计师该类审计合约的计划与实施；4、COSO委员会制定内部控制标准框架，作为管理当局和注册会计师进行内部控制评价的基础。五、2002年的萨班斯—奥克斯利法案（Sarbanes-O133第1：SEC--“财务呈报内部控制”的操作性定义

第1：SEC--“财务呈报内部控制”的操作性定义134第2：年报—10K萨班斯法案404条款要求首席执行官（CEO）和首席财务官（CFO）对主体财务呈报内部控制的有效性进行评价和报告，该份报告包括在公司按年度递交给SEC的10K表（Form10K）中。第2：年报—10K萨班斯法案404条款要求135第3：实施时间第3：实施时间136第4：季度报告—10Q

第4：季度报告—10Q137第5：信息披露委员会

第5：信息披露委员会138第6：两个书面证明除了对披露控制和程序以及财务呈报内部控制进行报告外，SEC还要求公司的主要执行官和主要财务官签署两个书面证明，包括在公司的10Q和10K表中。这两个书面证明保证为萨班斯法案302和906条款所要求。

第6：两个书面证明除了对披露控制和程序以及财务呈报139六、COSO——企业风险管理综合框架

（ERM-IF，2004）六、COSO——企业风险管理综合框架

140伟大的爱情及伟大的成就，都伴随着巨大的风险！----《魔戒》想赢得更多，有时就得冒更大的风险。----比尔·盖茨伟大的爱情及伟大的成就，都伴随着巨大的风险！141COSO的ERM介绍定义：

ERM是一个在战略决策以及在整个组织中贯穿实施的过程，被设计用于确认影响组织的潜在事件，将风险控制在组织风险偏好的范围内，为组织目标的实现提供合理的保证。ERM受到组织董事会、管理层以及其他人员的影响。COSO的ERM介绍定义：142ERM是一个渗入到组织各种活动中的一系列行动ERM受到组织中人的影响，同时也影响着人们的行动在战略设置时实施ERM在整个组织中实施ERM风险偏好提供合理的保证四种目标

ERM是一个渗入到组织各种活动中的一系列行动143内控环境①⑤风险反应⑥控制活动目标制定②事项识别③⑦信息与沟通⑧监控和稽核风险评估④必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。

内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。

通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。

必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。管理当局选择风险应对——回避、承受、降低或者分担风险——采取一系列行动以便把风险控制在主体的风险容限（risktolerance）和风险容量以内。

制订和执行政策与程序以帮助确保风险应对得以有效实施。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。内控环境①⑤风险反应⑥控制活动目标制定②事项识别③⑦信息与沟144

企业风险管理--目标的实现

企业风险管理--目标的实现145风险管理的新格局旧新连续的风险管理过程是持续不断的整体的风险管理是整合高层主管的宏观视角，并把风险管理变为组织内每个人工作的一部分片面的风险管理仅由财务、资产、内审等部门各自独立操作随意的风险管理的执行是由主管个人判断何时需要全面的专注考量所有业务的风险与机会狭义的专注主要应用在可投保的风险及财务的风险上风险管理的新格局旧新连续的风险管理过程是持续不断的整体的风险146ERM步骤1目标设定：

ERM步骤1目标设定：147步骤2风险识别：步骤2风险识别：148步骤3步骤3149步骤4步骤4150步骤5持续监督－－由部门副经理负责复核独立监督－－内部审计部门进行步骤5持续监督－－由部门副经理负责复核151控制自我评估（CSA）、风险自我评估（RSA）CSA是1987年由加拿大海湾公司首先采用的，当时称为推动会议自我评估法。控制自我评估（CSA）、风险自我评估（RSA）1521．什么是CSA1．什么是CSA1532．CSA的形式

2．CSA的形式1543．CSA的常用方式

3．CSA的常用方式1554．CSA的优点及缺陷

4．CSA的优点及缺陷156七、山西票号案例分析

七、山西票号案例分析

157目录第一部分：控制环境第二部分：风险评估第三部分：控制活动第四部分：信息与沟通第五部分：监督目录第一部分：控制环境158控制环境控制环境159主要内容一、操守与价值观二、管理哲学与经营风格三、财东与掌柜的关系四、胜任之承诺主要内容一、操守与价值观160一、操守与价值观

老乞丐的故事（一）行为守则

一、操守与价值观老乞丐的故事161（二）与各界的关系在处理各方关系的时候，晋商策略非常老到。（二）与各界的关系在处理各方关系的时候，晋商策略非常老到。162

2、对竞争者

2、对竞争者1633、对员工3、对员工164（三）动机和诱因（三）动机和诱因165二、管理哲学和经营风格（一）管理哲学山西票号安全哲学的主旨就是保证商事活动在未发生变异的“安全状态”或“准安全状态”下，提前对已经或即将发生的非安全状态的防范和补救。这同中国道家哲学所强调的“治于未乱”的安全思想是一脉相承的。二、管理哲学和经营风格（一）管理哲学166（二）稳健的经营风格（二）稳健的经营风格167三、财东与大掌柜的关系三、财东与大掌柜的关系168四、胜任之承诺（一）职责的界定

四、胜任之承诺（一）职责的界定169（二）掌柜的遴选（二）掌柜的遴选170（三）其他人员的培养（三）其他人员的培养171风险评估风险评估172主要内容一、整体风险及其管理二、作业层级风险及其管理三、对改变的管理主要内容一、整体风险及其管理173一、整体风险及其管理（一）整体目标：获利在《晋商兴衰史》中这样