风险管理讲座课件

内部控制

InternalControl

郑州航空工业管理学院张永国内部控制

InternalControl

郑州航空工业管1建立内部会计控制的假设前提假设是一切理论研究的出发点不信任假设。犯罪意识存在假设。制度有效假设。控制主体主动假设。建立内部会计控制的假设前提假设是一切理论研究的出发点2讲座提纲一、内部控制理论发展的四个阶段二、风险管理8要素三、内部控制结构四、全面预算讲座提纲一、内部控制理论发展的四个阶段3一、内部控制理论发展的四个阶段

---沿革与发展内部牵制阶段；侧重于财产安全和检查手段。会计控制和管理控制阶段；侧重于财产安全、信息真实，强调会计的控制作用。控制要素阶段；强调控制环境的作用。框架结构阶段：重视风险评估、信息沟通的控制作用。萨班斯法案：要求建立责任体系。建立内部控制制度是管理者自己革自己的命，是很难克服的自身弱点，既要加强风险防范，又要限制自己的权利。一、内部控制理论发展的四个阶段

---沿革与发展41-1内部牵制阶段

--内部控制的基本观念1-1-1内部控制制度定义（1936年）为保证公司现金和其他资产的安全，检查帐簿的准确性而采取的各种措施和方法。

（AICPA：【独立公共会计师对财务会计报告的审查】）1-1内部牵制阶段

--内部控制的基本观念151-1-2内部控制制度定义（1949年）

（AICPA：特别报告）基于保护企业资产，检查其会计资料正确可靠，提高业务效率，促进企业经营方针、组织计划的贯彻执行而在企业内部采取的各种稽查措施-------。该定义的内部控制制度包括：预算管理标准成本定期业务报告统计分析及运用职业培训计划、制度等

……1-1-2内部控制制度定义（1949年）

（AICPA：特61-2会计控制和管理控制阶段

内部控制的分野

【审计程序公告】SAPNO33，AICPA，1958年美国会计师协会的审计程序委员会发表了一份题为《内部控制协调系统诸要素及其对管理部门和注册会计师的必要性》的专题报告，将内部控制划分为内部会计控制和内部管理控制。这个控制包括授权与批准制度、从事财务记录和审核与从事经营或财产保管职务分离的控制、财产的实物控制和内部审计。内部会计控制制度基于会计自身的特征：复式记账、凭证记录、信息报告。内部管理控制制度治理结构、组织设计、授权、审批等手段。1-2会计控制和管理控制阶段

内部控制的分野

【审计程71-2-4【反国外行贿法】(联邦成文法)

（ForeignCorruptPracticesAct,FCPA1977年，卡特政府）法案产生的背景•水门事件，为商业利益贿赂国外政府官员，虚假会计记录掩盖非法支出•政府审查合法性困难•妨碍外部审计法案的作用•不得对国外政府官员及政党行贿•保持会计记录，建立内部控制•处罚：五年以下监禁，50万美元罚款法案的重要意义：建立内部控制是企业的法律责任1-2-4【反国外行贿法】(联邦成文法)

（Forei81-2-4行贿与虚假会计信息国外反行贿法案，是对证券法的修订，公司不能行贿。美国政府检查海外公司有无向当地政府、政党行贿，每年查出几十亿美元，这个钱是非法的，不能明记，所以只能做假帐。初级阶段的假账是账外账，高级阶段是真假一套账，黑白混淆在一起就是灰色，自己弄不清，别人更不行，所以经过审计的报告都是假的。国外反行贿法的现实意义，2004年8月沙特状告中国朗讯，向政府官员行贿，使他们损失了几亿美元，美国朗讯撤消了中国朗讯的领导，并由美国法院追究刑事责任。出现在中国的问题由美国的法律来处理，我们为什么没有揭露。要求中国进行商业规则整理。美国调查了在六个国家投资设立公司的行贿行为，都是腐败丛生的国家。1-2-4行贿与虚假会计信息国外反行贿法案，是对证券法的修订91-3内部控制要素阶段

（SASNO55，1988年）

1988年，美国注册会计师协会发布《审计准则公告第55号》，提出内部控制结构具体包括三个要素：控制环境、会计制度、控制程序。控制环境是指对建立、加强或消弱特定程序的效率发生影响的各种因素的态度和行为。具体包括：经营者的管理哲学和经营作风、董事会及审计委员会的职能、人事政策和程序等等。会计制度规定各项经济业务鉴定、分析、归类和编报的方法，明确各项资产和负债的经营管理责任。控制程序指管理局制定的政策和程序，以保证达到一定目的。它包括：经济业务和经济活动的批准权；明确各个人员的职责分工，防止有关人员对正常业务图谋不轨和隐匿错弊；充分的凭证、账单设置和记录；资产和记录的接触控制；业务的独立审核等。新意：控制环境纳入内部控制范畴。1-3内部控制要素阶段

（SASNO55，1988年）

101-4内部控制-整体框架

(InternalControl-IntegratedFramework)

CommitteeofSponsoringOrganizations

（COSO报告，1994年）1-4-1COSO委员会的组成AICPAAAAIIAFEIIMA1994年，美国反对虚假财务报告委员会公布了“COSO报告”。内部控制框架定义：“内部控制是一种由企业董事会、管理阶层和其他人员执行，由管理阶层设计，为达成有关下列目标提供合理保证的过程。营业的效果和效率；财务报告可信赖度；相关法令的遵循。”1-4内部控制-整体框架

(InternalCont11解释COSO-CommitteeofSponsoringOrganizations—发起组织委员会AICPA——美国注册会计师协会AAA——美国会计学会IIA——国际财务经理协会FEI——内部审计师协会IMA——管理会计师协会解释COSO-CommitteeofSponsorin122004年COSO报告—《风险管理框架》COSO：企业风险管理框架定义

企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主题的潜在事项，管理风险以使其在该主体的风险容量之内，并为主题目标的实现提供合理保证。

2004年COSO报告—《风险管理框架》COSO：企业风险管13定义解释该定义反映了几个基本概念，即：一个过程，它持续地刘东于主体之内；有组织中各个层次的人员实施；应用于战略制定；贯穿于企业，在各个层次和单元应用，还包括采用主体层级的风险组合观；旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量内；能够向一个主体的管理当局何董事会提供合理保证；力求实现一个或多个不同类型但相互交叉的目标。定义解释该定义反映了几个基本概念，即：141-4-2报告的目的1993内部控制的三大目标：

对现行法规的遵守——合法性目标

财务报告的可信赖度——可靠性目标

经营的效果和效率——效益性目标

2004内部控制的四大目标

战略目标——高层次目标，与使命相关联并支持其使命；

经营目标——有效和高效率地利用其资源；

报告目标——财务报表的可靠；

合规目标——相关法令的遵循。1-4-2报告的目的1993内部控制的三大目标：

152004COSO,风险管理框架八要素控制环境风险评价控制活动信息与沟通监控目标设定事项识别风险应对2004COSO,风险管理框架八要素控制环境风险评价控制活161-4-3COSO报告的新意COSO报告第一次明确提出“全员参与”思想，职工不是被动地执行内部控制。“以人为本”。COSO特别强调，只有人才可能制定企业的目标，并设置控制的机制。重视“软控制”的作用。软控制是指那些属于精神层面的东西。如企业高级管理阶层的价值观、管理哲学和管理风格、企业文化、内部控制意识等。强调风险意识。风险管理是现代企业的主旋律之一。明确指出内部控制只能做到“合理”保证。1-4-3COSO报告的新意COSO报告第一次明确提出“全171-5萨班斯-奥克斯利法案

《2002年公众公司会计改革和投资者保护法》美国安然公司的破产，政府很感兴趣，组织了6个调查组查明破产的原因，说明是企业的管制的制度方面出了大问题。美国参众两院针对问题公布执行萨班斯法案。萨班斯法案要求企业建立责任体系，人人承担责任，公司出了事，一查到底落实到人，所以两年来没有一家公司出事。我国是出了事公司买单，这是企业搞不好的主要原因。萨班斯法案要求企业报告内部控制，并对内部控制进行评价，04年6月生效，给那两年的时间，大型企业开始从组织结构入手，有组织就有路径便于落实工作。1-5萨班斯-奥克斯利法案

《2002年公众公司会计改革和18萨班斯-奥克斯利法案（2002）

Sarbanes-OxleyAct:302(4)签署报告的公司负责人（CEO、CFO或类似）对建立和保持完整的内部控制体系负责；保证已经设计了内部控制体系；保证已经评价了财务报告编制之前90天内的某一日的内部控制有效性；在对外报告中陈述内部控制有效性的评价结论。（5）向外部审计师和董事会下的审计委员会报告：在内部控制设计或运行中的所有重大控制缺陷；涉及管理层或在内部控制系统中起重要作用的其他雇员的任何欺诈行为；在对外报告中指明，在评价之后内部系统及其重要影响因素是否发生了重大变化以及整改措施；萨班斯-奥克斯利法案（2002）

Sarbanes-Oxl19404：管理层对内部控制的评价A、年报中包含的内部控制报告说明管理层对于建立和保持一套完整的内部控制体系和程序所承担的责任；包含管理层对截至到最近财务年度末内部控制体系及程序的有效性评价。B、内部控制评价和报告公司主审审计师应当验证并报告管理层所做的内部评估进行认证和报告。906：公司对财务报告的责任最高罚款500万美金，监禁20年，或两者并罚。404：管理层对内部控制的评价A、年报中包含的内部控制报告20作用：使之不能法律法规，使之不敢内部控制，使之不能职业道德，使之不愿作用：使之不能法律法规，使之不敢内部控制，使之不能职业道德，21二、风险管理框架8要素战略目标经营目标报告目标控制要素内部环境目标设定事项识别风险评估风险应对控制活动信息与沟通监控董事会经理层其他员工实施者控制过程企业目标合规目标二、风险管理框架8要素战略目标经营目标报告目标控制要素董事222-1内部环境1.概念内部环境是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构。它影响着战略和目标如何制定、经营活动如何组织、如何识别、评估风险并采取行动。它影响着控制活动、信息与沟通体系和监控措施的设计与运行。内部环境受主体的历史和文化的影响。2.内部环境8要素2-1内部环境1.概念23内部环境8要素风险管理理念风险容量董事会诚信与道德价值观权利与职责的分离对胜任能力的要求组织结构人力资源准则内部环境8要素风险管理理念风险容量董事会诚信与道德价值观权利242-1-1风险管理理念一个主体的风险管理理念是一套共同的信念和态度，它决定着该主体在做任何事情——从战略制定和执行到日常的活动——时如何考虑风险。风险管理理念反映了主体的价值观，影响它的文化和经营风格，并且决定如何应用企业风险管理的构成要素，包括如何识别风险，承担哪些风险，以及如何管理这些风险。不同的公司经营当局的风险管理理念不同2-1-1风险管理理念一个主体的风险管理理念是一套共同的信念252-1-2风险容量风险容量（偏好）是一个主体在追求价值的过程中所愿意承担的广泛意义上的风险的数量。它反映了企业的风险管理理念，进而影响了主体的文化和经营风格。风险容量在战略制定过程中加以考虑，应将战略的期望报酬与主体的风险容量相协调。主体运用类似高、适中或低等类别，从质的角度考虑风险容量，或运用量化的方法，来反映和平衡增长、报酬和风险方面的目标。2-1-2风险容量风险容量（偏好）是一个主体在追求价值的过程262-1-3董事会一个主体的董事会是内部环境的关键部分，它对其他要素有着重大影响。董事会对于管理当局的独立性、其成员的经验和才干、对活动参与和审察的程度，以及其行为的适当性都起着重要的作用。董事会的构成——投资人、管理者、独立董事有效的董事会能够确保管理当局保持有效的风险管理。2-1-3董事会一个主体的董事会是内部环境的关键部分，它对其272-1-4诚信与道德价值观主体的战略和目标以及它们得以推行的方式建立在偏好、价值判断和管理风格的基础之上。管理当局的诚信和对价值观的要求影响这些转化为行为准则的偏好和判断。管理当局的诚信是一个主体活动的所有方面的道德行为的先决条件。诚信和价值观是一个主体内部环境的关键因素，它影响着企业风险管理其他构成要素的设计、管理和监控。树立道德价值观通常很困难，因为需要考虑多方面的利益。管理当局的价值观必须平衡企业、员工、供应商、客户、竞争者和公众的利益。2-1-4诚信与道德价值观主体的战略和目标以及它们得以推行的28道德行为和管理当局的诚信是公司文化的副产品，公司文化包含道德和行为准则以及它们的沟通和强化方式。高层管理当局在确定公司文化方面起着关键作用。特定的组织因素也会影响出现欺诈性和可疑的财务报告行为的可能性。企业应有书面的行为守则，且为员工接受和理解，并进行适当的沟通。对违规者和知情不报者给与处罚是必要的，对举报者鼓励。道德行为和管理当局的诚信是公司文化的副产品，公司文化包含道德292-1-5对胜任能力的要求胜任能力反映实现规定的任务所需要的知识和技能。管理当局明确特定岗位的胜任能力水平，并把这些水平转换成所需要的知识和技能。2-1-5对胜任能力的要求胜任能力反映实现规定的任务所需要的302-1-6组织结构一个主体的组织结构提够了计划、执行、控制和监督其活动的框架。相关的组织结构包括确定权利与责任的关键区，以及确立恰当的报告途径。主体建立适合其需要的组织结构，集权型或分权型；直接报关关系或矩阵组织等等。一个主体的组织结构的适当性部分地取决于它的规模和所从事活动的性质。有着正式报告途径和职责的高度结构化的组织，可能适用于拥有很多经营分部、包括外国业务的大型主体。例子下图2-1-6组织结构一个主体的组织结构提够了计划、执行、控制和31组织结构股东大会总经理董事会监事会各职能部门及子公司战略发展委员会

薪酬与考核委员会

审计委员会

董事会秘书处

组织结构股东大会总经理董事会监事会各职能部门及子公司战略发展322-1-7权利和职责的分配权利和职责的分配涉及到个人和团队被授权并鼓励发挥主动性去提出问题和解决问题的程度，以及对他们权力的限制。它包括确立报告关系和授权规程，以及描述恰当经济活动的政策、关键人员的知识和经验，和履行职责而赋予的资源。一些主体将权力下放，以便使决策接近于一线的人员。一个关键的挑战是仅仅针对实现目标所需要的范围来进行授权。另一个挑战是确保所有的人员都了解主体的目标。2-1-7权利和职责的分配权利和职责的分配涉及到个人和团队被33授权与指挥三忌：多头领导；越级指挥；管辖人员过多组织行为与责任的分配对组织目标的协同作用责任与报告责任报告的内容很多，但核心是表明自己是干净的。

授权与指挥三忌：342-1-8人力资源准则包括雇佣、定位、培训、评价、咨询、晋升、付酬和采取补偿措施在内的人力资源业务向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息。对员工的多形式培训、奖励和惩处。后续教育的持续性。2-1-8人力资源准则包括雇佣、定位、培训、评价、咨询、晋升352-2目标设定设定战略层次的目标，为经营、报告和合规目标奠定基础。每一个企业都面临着来自外部和内部的一系列风险，确定目标是有效的事项识别，风险评价和风险应对的前提。企业首先必须制定目标，在此之后，管理层才能识别和评估影响目标实现的风险并采取必要的行动来管理风险。2-2目标设定设定战略层次的目标，为经营、报告和合规目标奠定36相关目标目标的实现风险容量（偏好）战略目标风险容限（风险可接受程度）经营风格相关目标目标的实现风险容量（偏好）战略目标风险容限（风险可接372-2-1战略目标一个主体的使命从广义上确定了该主体希望实现什么，不管采用什么术语，诸如“使命”、“愿景”、“目的”，重要的是管理当局——在董事会的监督下——明确确定了主体存在的广泛意义的原因。由此管理当局设定战略目标，进行战略规划，并组织确定相关的经营、合规和报告目标。战略目标是稳定的，是高层次的目标。2-2-1战略目标一个主体的使命从广义上确定了该主体希望实现382-2-2相关目标相对于主体的所有活动而言，制定支持选定的战略目标并与之相协调的正确的目标是成功的关键。通过设定主体和活动层次的目标，主体能够识别关键成功因素。这些关键因素存在于主体、业务单元、职能机构、部门或分部之中。如果目标和以前的活动和业绩相一致，各项活动之间的联系是已知的。但是，如果目标和主体过去的活动相背离，管理当局就必须指明这种关系或者应对更大的风险。目标需要得到充分的了解和计量。2-2-2相关目标相对于主体的所有活动而言，制定支持选定的战39相关目标的类别经营目标报告目标合规目标效率效果目标之间的交叉相关目标的类别经营目标报告目标合规目标效率效果目标之间的交叉402-2-3目标的实现有效地企业风险管理为主体的报告目标得以实现提供合理保证。同样，必须合理保证合规目标的实现。报告和合规目标的实现更多的是在主体的控制范围之内。战略目标和经营目标则不同，它们的实现受外部因素的影响。针对经营的企业风险管理主要专注于确定贯穿于整个组织的目标和目的的一致性，识别关键成功因素和风险，评估风险并作出知情的应对，实施恰当的风险应对并建立必要的控制，以及及时报告业绩和期望。2-2-3目标的实现有效地企业风险管理为主体的报告目标得以实412-2-4风险容量管理当局在董事会的监督下所确定的风险容量是站铝制定的指向标。公司可能将风险容量表述为增长、风险和报酬之间可接受的平衡，或者风险调整的股东增加值指标。主体的风险容量与它的战略之间存在着一种关系。即通过风险容量对不同战略进行选择。因此，主体的风险容量反映在主体的战略中。2-2-4风险容量管理当局在董事会的监督下所确定的风险容量是422-2-5风险容限风险容限是相对于目标的实现而言所能接受的偏离程度。2-2-5风险容限风险容限是相对于目标的实现而言所能接受的偏432-3事项识别即管理层识别将会对企业产生影响的潜在事项，如果存在，要确定他是否代表机会，或者会对企业成功地实施战略和目标的能力产生负面影响识别事项时，管理层应考虑在整个企业范围内的各种各样可能产生的风险和机会的内部和外部因素。2-3事项识别即管理层识别将会对企业产生影响的潜在事项，如果44影响因素事项识别的方法相互依赖性事项区别风险与机会影响因素事项识别的方法相互依赖性事项区别风险与机会452-3-1事项事项是源于内部或外部的影响战略实施或目标实现的事故或事件。事项可能带来正面或负面的影响，或者两者兼而有之。事项发生的不确定性。事项的存在有时是明显的，有时是隐晦的。事项产生的影响有的微不足道，有的十分重大。2-3-1事项事项是源于内部或外部的影响战略实施或目标实现的462-3-2影响因素外部因素：——与经济相关的因素——自然环境因素——政治因素——社会因素——技术因素2-3-2影响因素外部因素：47内部因素——基础结构——人员——流程——技术内部因素482-3-3事项识别技术主要的事项识别技术可能包含各项技术组合，以及支持性的工具。例如，管理当局可以利用互动式的团队研讨作为其实像是别方法的一部分，利用一系列技术为基础的工具中的任何一种为参与者提供辅助。事项识别技术既关注过去，又着眼于未来。2-3-3事项识别技术主要的事项识别技术可能包含各项技术组合492-3-4相互依赖性事项通常并不是独立的发生，一个事项可能引发另一个事项，事项也可能同时发生。在事项识别的过程中，管理当局应该明白事项彼此之间的关系。2-3-4相互依赖性事项通常并不是独立的发生，一个事项可能引502-3-5事项的类别将潜在的事项归入不同的类别可能很有用。通过归集类似的事项，管理当局能够更好地辨认机会和风险。事项分类还能够是管理当局得以考虑其事项识别工作的完整性。2-3-5事项的类别将潜在的事项归入不同的类别可能很有用。通512-3-6区分风险和机会事项——如果他们发生——具有负面影响、正面影响，或者二者兼有。具有负面影响的事项代表风险，它需要管理当局的评估和应对。风险是一个事项将会发生并对目标的实现产生负面影响的可能性。具有正面影响或者抵消风险的负面影响的事项代表机会。机会是一个事项将会发生并对实现目标和创造价值产生正面影响的可能性。2-3-6区分风险和机会事项——如果他们发生——具有负面影响522-4风险评估风险评估的背景.评估可能性与影响评估技术固有风险与剩余风险2-4风险评估风险评估的背景.评估可能性与影响评估技术固有风532-4-1风险评估的背景外部和内部因素影响会发生什么事项以及事项影响主体目标的程度。一些因素对于一个行业中的公司而言是共同的，但是其他的事项对于特定的主体而言通常是独特的。在评估风险时，管理当局应考虑预期事项和非预期事项2-4-1风险评估的背景外部和内部因素影响会发生什么事项以及542-4-2固有风险和剩余风险固有风险是指管理当局没有采取任何措施来改变风险的可能性或影响的情况下，一个主体所面临的风险。剩余风险是在管理当局的风险应对之后所残余的风险（控制风险）。管理当局对上述两种风险都要考虑。2-4-2固有风险和剩余风险固有风险是指管理当局没有采取任何552-4-3估计可能性和影响潜在事项的不确定性从两个方面进行评价——可能性和影响决定应该在多大程度上关注主体所面临的一系列风险的评估很困难，而且具有挑战性。评估风险的时间范围应该与相关战略和目标的时间范围相一致管理当局在确定目标的完成程度时常常采用业绩指标，并且在考虑风险对一向特定目标实现的潜在影响时通常采用相同的或适合的计量单位。估计可能性影响时，要注意用以判断的数据来源和判断人的视角2-4-3估计可能性和影响潜在事项的不确定性从两个方面进行评562-4-4评估技术一个主体的风险评估方法包含定性的和定量技术的结合。再不要求他们进行定量化的地方，或者在定量评估所需要的充分可靠数据实际上无法取得或者取得和分析数据不具有成本效益时，管理当局通常采用定性的评估技术。定量评估技术一般需要更高程度的努力和严密性，有时采用数学模型。2-4-4评估技术一个主体的风险评估方法包含定性的和定量技术57风险评估技术举例从企业战略角度对风险进行评估寻求企业的的经营领域.决定为经营领域服务的差别优势1.选择有吸引力的行业2.确定所提供的产品与服务3.找到企业实力的有利的领域1.谋求高产量、低成本2.有特色的研究与开发工作3.资源方面的有利实力风险评估技术举例从企业战略角度对风险进行评估寻求企业的的经营58战略的推进步骤.适时退出投资适当选择投资时机适当选择投资力度忌：一看二慢三通过。追大求全进入早了，是为他人做嫁衣；进入晚了，是拾人牙慧，只有不早不晚才最有利有投资就会有失败，如何对待失败的投资行为，尽量避免更大的损失，是企业必须面对的课题。战略的推进步骤.适时退出适当选择适当选择忌：一看二慢三通过。59期望取得的目标成果期望取得的目标成果60SWOT外部环境机会Opportunities企业内部劣势Weaknesses企业内部优势Strengths外部环境威胁Threats企业战略的评估方法——SWOTSWOT外部环境机会企业内部劣势企业内部优势外部环境威胁企业61企业内部优势Strengths企业内部劣势Weaknesses资金技术设备职工素质产品管理技能市场企业内部优势企业内部劣势资金技术设备职工素质产品管理技能市场62外部环境机会Opportunities外部环境威胁Threats政府支持高新技术的应用良好的供求关系新的竞争对手技术老化市场的放缓供求关系紧张外部环境机会外部环境威胁政府支持高新技术的应用良好的供求关系63内部劣势机会增长型战略威胁多种经营战略防御型战略扭转型战略内部优势内部劣势机会增长型战略威胁多种经营战略防御型战略扭转型战略内64从财务角度对风险进行评估从财务角度讨论公司财务困难的问题、发生的原因、防范措施、以及补救方法。成功的财务经理必须知道如何防范风险、控制风险并设置相应的预警体系从财务角度对风险进行评估从财务角度讨论公司财务困难的问成功的65企业风险预警系统的机制构成财务信息的收集、传递机制基础机制过程机制预警分析的组织机制会计信息系统风险分析机制风险处理机制风险责任机制企业风险预警系统的机制构成财务信息的收集、传递机制基础机制过66企业财务风险预警分析的类型按分析的方法分按分析判断的依据分按指标或因素分单变量预警分析多变量预警分析指标判断因素判断定量分析定性分析企业财务风险预警分析的类型按分析的方法分按分析判断的依据分按67偿债风险预警指标

一月到期债务偿还率警戒值（现金持有量／到期债务合计（应付工资×(1+45%)、应交税金(负值时取0)、一月内到期的票据、借款、长期应付款））现金比率警戒值（现金持有量／流动负债）速动比率警戒值［（流动资产－存货－待摊费用）／流动负债］流动比率警戒值（流动资产／流动负债）资产负债比率警戒值（负债总额／资产总额）备用金使用警戒值等。利息保障倍数所有者权益保值增值率偿债风险预警指标一月到期债务偿还率警戒值（现金持有量／到期68营运风险预警指标

货币资金最低存量银行存款最低原材料最低储备（量、额、期，下同）原材料最高资金占用额成品最低、最高储备低值易耗品（工装）最低储备量低值易耗品最高资金占用额包装物最低储备量包装物最高资金占用额在制品(民品)最高资金占用额产成品（军、民品）最高资金占用额一年未用的各种材料资金占用额营运风险预警指标货币资金最低存量69营运风险预警指标（续）在制品周转率产成品周转率应收账款最高限额（分职能部门、产品）应收账款最高账龄警戒值应收账款超期警示公司借款最高限额（按单位明细）独资单位借款最高限额备用金最高限额预付账款警戒期在建工程完工程度与预付款之比经营现金净流量(考虑盈亏问题)销售收现率=（经营现金流入量／销售收入(1+17%)）营运风险预警指标（续）在制品周转率70盈利风险预警指标

营业毛利率警戒值［（营业收入－营业成本－营业税金及附加）／营业收入］营业利润率或营业成本率警戒值［（营业利润／营业收入）或（营业成本／营业收入）］成本利润率警戒值（营业利润／营业成本）总资产报酬率警戒值（息税前利润总额／资产平均余额）净资产收益率警戒值（税后净利／所有者权益平均余额）对外投资报酬率警戒值（投资收益／对外投资平均余额）(分对内、对外)（分两级预警）期间费用距离限额警戒值（分财务费用、营业费用、各职能部门管理费用）产销率研发费占销售收入比盈利风险预警指标营业毛利率警戒值［（营业收入－营业成本－营71综合预警指标体系Z=aX1－bX2＋cX3＋dX4＋eX5X1：到期债务偿还率（或流动比率）；X2：资产负债率；X3：应收账款周转率；X4：（期末流动资产－期末流动负债）÷期末总资产；X5：总资产报酬率。（EBIT）权数a、b、c、d、e将利用公司的历史数据进行反复测算、分析、验证后予以确定。综合预警指标体系Z=aX1－bX2＋cX3＋dX4＋eX5722-5风险应对风险应对包括风险回避、降低、分担和承受。回避风险——推出产生风险的各项活动。降低风险——采取行动降低风险发生的可能性或降低风险影响的程度，或二者兼有。分担风险——通过将风险转移或分担部分风险来减少风险的可能性和影响。（买保险）承受风险——不采取任何行动去影响风险的可能性或影响。2-5风险应对风险应对包括风险回避、降低、分担和承受。732-5-1评价可能的应对分析固有风险和评价应对的目的在于使剩余风险水平与主体的风险容限相协调。在考虑应对的过程中，管理层应考虑：评估风险的可能性和影响的效果；评估成本效益；选择能够使剩余风险处于期望风险可接受程度以内的应对方案。2-5-1评价可能的应对分析固有风险和评价应对的目的在于使剩742-5-2选定的应对与组合观确定备选风险应对的效果之后，管理当局就应决定如何让管理风险，选择一个旨在使风险的可能性和影响处于风险容限之内的应对或者组合应对。一种或一个组合应对，本身可能就是风险选定的应对2-5-2选定的应对与组合观确定备选风险应对的效果之后，管理75风险组合观企业风险管理要求企业从整个企业的范围或组合的角度去考虑风险。管理层通常采用的方法是首先从各个业务单部门或职能机构的角度去考虑风险，让负有责任的管理人员对本单元的风险进行复合评估，以反映该单元预期目标和风险可接受程度相关的剩余风险。在此基础上，高层管理人员能够很好的采取组合观来确定企业的剩余风险和预期目标相关的总体风险偏好是否相称。风险组合观企业风险管理要求企业从整个企业的范围或组合的角762-6控制活动控制活动是帮助确定管理层的风险应对得以实施的政策与程序。控制活动发生并贯穿于整个组织，遍及各个层级和各个职能机构。它们包括一系列不同的活动，如批准、授权、验证、调节、经营业绩评价、资产安全以及职责分离。控制活动中的政策主要是指企业进行风险控制的制度文档，而程序主要是指人们直接或通过技术的应用来执行的政策的行为，是一个动态的执行过程。2-6控制活动控制活动是帮助确定管理层的风险应对得以实施的政77控制行为职责分割适当授权文件记录接触控制独立稽核控制活动5要素：控制行为职责分割适当授权文件记录接触控制独立稽核控制活动5要78目标控制、程序控制和制度控制目标控制程序设定目标分解目标实现目标控制活动的类型目标控制、程序控制和制度控制目标控制程序设定目标分解目标实79(1)充分的职责分离(2）对业务和行为的适当授权(3)充分的文件和记录(4)对资产和记录的实物控制(5)独立的业绩考核程序控制(1)充分的职责分离(2）对业务和行为的适当授权(3)充80(1)充分的职责分离资产保管会计from业务的审批相关资产的保管from经营责任帐簿记录责任fromIT职责使用部门from(1)充分的职责分离资产保管会计from业务的审批相关资产81(2)对业务和行为的适当授权一般授权特殊授权授权是对一般类别交易或特定交易的政策决定，而批准则是对管理当局一般授权决定的执行。(2)对业务和行为的适当授权一般授权特殊授权授权是对一般类别82(3)充分的文件与记录预先编号及时编制业务文件设计成复式格式应便于正确编制简单但保证正确理解(3)充分的文件与记录预先编号及时编制业务文件设计成复式格83(4)对资产和记录的实物控制谁使用，谁记录，谁保管内部稽核盘点控制接触控制(4)对资产和记录的实物控制谁使用，谁记录，谁保管内部稽核84(5)对业绩的独立稽核独立稽核产生的原因是除非有一个经常性的机构，否则，内部控制随时都有可能发生变化(5)对业绩的独立稽核独立稽核产生的原因是除非有一个85各业务环节的内部控制货币资金的内部控制职务分离货币资金收入控制现金预算控制银行往来帐户控制货币资金支出控制出纳人员之外人员不得接触现金现金日记帐控制会计人员不得记录现金帐簿支票保管人员不得管理其他帐簿银行调节表编制人员不得管理现金、银行存款及债权债务帐簿现金支出批准人员因与其他人员分离现钞收入控制汇款单收入控制支票收入控制现金支出支票支出开户审批经办业务人员的分离各业务环节的内部控制货币资金的内部控制职务分离货币资金收入控86筹资业务的内部控制职务分离筹资业务的审核债券与股票的发行债券与股票的保管债券与股票的签发审批与执行债券的保管、发行、收款与记录利息或股息的计算与支付、记录会计记录的控制利息支付的控制股息支付的控制偿债基金的控制筹资业务的内部控制职务分离筹资业务的审核债券与股票的发行债券87投资控制职务分离财务分析投资资产取得时的控制投资资产的保管投资记录与入帐的控制投资资产处置的控制投资的选择与审批投资收益与期末计价的控制投资控制职务分离财务分析投资资产取得投资资产的保管投资记录与88采购业务控制职务分离货物与劳务的请购应付帐款的控制付款的控制订货控制请购与采购分离付款审批与执行分离采购、验收、保管、使用与记录分离付款与记录分离请购制度审批制度订单控制订多少；2向谁订3.何时订验货的控制验收报告单（预先编号）采购业务控制职务分离货物与劳务的请购应付帐款的控制付款的控制89生产业务控制库存产成品材料的存储与耗用职责分离计划编制、复核与审批产品验收与生产盘点与保管、使用、记录保管与记录确定生产需要的控制生产制造的控制制定生产计划的控制成本核算的控制入库单出库单生产业务控制库存产成品材料的存储职责分离计划编制、复核与审批90销售业务控制职务分离订单的证实与审核销售业务的执行销售发票的控制营业收入的预算控制应收帐款的控制发运单的编制与证实销售业务控制职务分离订单的证实与审核销售业务的执行销售发票的91计划与决策程序控制生产经营决策程序控制经营计划的种类经营计划的内容经营计划的组织管理经营计划相关的资金管理控制经营计划的权力机构计划与决策程序控制生产经营决策程序控制经营计划的种类经营计划92投资决策程序控制投资立项项目可行性报告总经理办公会议决策董事会或股东大会决议项目计划书投资决策程序控制投资立项项目可行性报告总经理办公会议决策董事93财务决策程序控制（决策权力的确定）总公司控制所有融资计划对外担保抵押质押等一切行为经理办公会议批准所有对外借款计划均须总经理签批新开帐户必须报财务总监签批，并报总经理批准财务决策程序控制总公司控制所有融资计划对外担保抵押质押等一切94员工激励与约束控制选拔、考评、激励与约束控制是公司较好的发挥高级管理人员的才能，促进公司长远、良性发展的基础选拔机制业绩考评机制激励性、客观性、责任性员工激励与约束控制选拔、考评、激励与约束控制是公选拔机制业绩952-7信息与沟通内部环境目标制定事项识别风险评估风险反应控制活动信息与沟通监控内部控制神经按某种形式和时间频率，辨识、取得确切的信息，并进行沟通，已使员工能够履行其责任。信息沟通贯穿于整个控制。信息：内部和外部沟通：内部和外部2-7信息与沟通内部环境目标制定事项识别风险评估风险反应控制96管理就是决策——西蒙会计信息与沟通系统的目的…识别、记录、处理和报告经营业务并保持相关资产的会计责任.管理就是决策——西蒙会计信息与沟通系统的目的…识别、记录、处97要对企业会计系统进行全面的设计，管理人员需要确定：1.企业交易的主要类别2.这些交易是如何发生的3.现有的会计记录及其性质4.交易从发生到完成是如何处理的，包括运用计算机的程度和性质5.财务报告编制的细节和性质，包括进入交易总账及其调整的程序要对企业会计系统进行全面的设计，管理人员98纵向信息联系层级的处理规划和计划纵向信息系统增加层级职务组织结构的信息处理观纵向信息联系层级的处理规划和计划纵向信息系统增加层级职务组织99横向信息联系信息系统直接联系专职整合员任务组横向信息联系信息系统直接联系专职整合员任务组1002-8监控内部环境目标制定事项识别风险评估风险反应控制活动信息与沟通监控控制内部控制测试和评估内部控制系统设计合理性和运行有效性。1、持续监控活动2、个别评价3、报道缺陷2-8监控内部环境目标制定事项识别风险评估风险反应控制活动信1012-8-1个别评价范围和频率——各不相同谁来评价——特定单元或职能机构的负责人评价过程——控制的执行结果方法——核对清单、调查问卷、流程图文档——以适当的方式记录2-8-1个别评价范围和频率——各不相同1022-8-2报告缺陷一个主体的企业风险管理的缺陷可能从多个来源表现出来，包括主体的持续监督程序、个别评价和外部方面。外部方面提供此类信息的有客户、卖主和其他与主体开展业务的人、外部审计师和监督者。报告的内容并没有规定的内容，但对目标的实现有重大影响的风险管理缺陷是当然须报告的。报告的方式是逐级报告2-8-2报告缺陷一个主体的企业风险管理的缺陷可能从多个来源1032-9企业风险管理的局限性明确三个不同的理念：第一，风险与未来有关，而未来本来就具有不确定性。第二，企业风险管理——即使是有效的企业风险管理——针对不同的目标在不同层次上运行。第三，企业风险管理不能对任何一类目的提供绝对的保障。2-9企业风险管理的局限性明确三个不同的理念：104局限性判断故障串通成本与效益管理当局凌驾局限性判断105三、内部控制制度基本结构授权制度预算控制制会计信息系统控人力资源管理营销管理生产管理采购加工管理质量控制研究开发管理存货物流控制IT系统管理流程控制内部审计监督三、内部控制制度基本结构授权制度预算控制制会计信106总体思路控制要素经营效率和效益财务报告真实可靠合法经营控制活动信息与沟通监督风险评估环境控制风险管理8要素经营管理活动管理制度与惯例内部控制手册内部控制评价手册货币资金投资与筹资工资业务存货与固定资产生产成本费用销售业务采购业务业务循环控制目标总体思路控制要素经营效率和效益财务报告真实可靠合法经营控制活1073-1内部控制系统的6模块

渗透性制度，与所有制度有关，是企业内部管理控制系统的基础。其功能为权力和责任的分配及权力平衡的制度安排。公司治理是一个稳定的概念，不复杂，只有两个问题：权力平衡、会计独立。有了这两点想干坏事都干不成。怎样授权审批，路径决定成败，从上往下批，审批不起作用，必须从下往上批，分多少层，要看企业的规模和特征，关键看授权的起点。模块一，授权控制制度3-1内部控制系统的6模块渗透性制度，与所有108企业目标、年度全面规划的法定文件。企业控制制度的核心，与所有制度和行为有关，是企业经营活动价值控制的起点。其功能为：可从资源投入角度在第一时点控制全部业务活动的开展与资源的投入。执行授权的起点。控制和监督的依据。检查、分析和评价的基础。3-2内部控制系统的6模块模块二，预算控制制度企业目标、年度全面规划的法定文件。3-2内部控制系统的6模块1093-2预算控制制度

外国企业家谈企业文化，我们的公司经理问钱从哪里来？人家说，到处都是钱，要有3年的预算，3年的会计报表，保证真实就会有钱，预算说明未来，报表说明过去，说明了就给你钱，投资者从来都是把钱给赚钱的企业。企业运作的层次：目标：秩序稳定发展。运作：预算控制、绩效评估。报告：提供信息。流程：基于循环设计，监管要符合思想的要求。3-2预算控制制度

外国企业家谈企业文化，我们的公司经理问钱1103-3内部控制系统的6模块

模块三，会计信息系统与保护财产安全之企业会计责任及会计记录可靠性有关的组织、计划、程序、方法。是企业所有业务活动之价值结果的终点。设计完善的会计制度至少应包括如下因素：严格分工授权规范的会计政策和会计处理程序严格的核准制度独立稽核帐户体系凭证帐簿制度与会计信息处理及控制相关制度包括：现金及银行存款控制成本费用控制债权债务管理存货管理固定资产管理计算机处理系统控制会计档案管理会计工作交接部门职责及岗位责任说明书3-3内部控制系统的6模块

模块三，会计信息系统与保护财1113-4内部控制系统的6模块流程控制是组织的控制思想、控制程序和业务活动三位一体的集成。以流程形式将全部业务活动装入分工牵制的制度化组织过程，确保企业的控制思想和控制程序落实到全部具体的业务过程。流程的设计最难，基础是对人的观察和评估。核心要件：流程设计；流程环节的权限分割。中广核的“核安全文化”及流程控制。

模块四，流程控制3-4内部控制系统的6模块流程的设计最难，基础是对人的观112模块四，流程控制策划部财务部审计法务部总会计师总经理董事会投资委员会董事会董事会或公司级领导班子提出的对外投资项目分析论证可行性报告对外投资授文件投资合同投资合同资产支出凭证审核1可行性报告可行性报告可行性报告审签1 可行性报告审核2审核3可行性报告可行性报告审议可行性报告对外投资授权文件审批1审签2投资合同投资合同签章模块四，流程控制策划部财务部审计总总经理董事会投113内部控制的对象，内部控制的动态表现形式。内部控制制度结构的前4个要素均以各交易循环的各项交易或业务行为为落实对象：构成各交易控制制度的要素（如授权，批准，流程）；制约交易活动（预算控制）；规范交易活动（会计管理）。业务循环控制制度的功能，是为实现企业资源运用最优化的目标提供制度保证。3-5内部控制系统的6模块模块五，业务循环控制内部控制的对象，内部控制的动态表现形式。3-5内部控制系统的1143-6内部控制系统的6模块内部控制制度的组成部分，对全部控制制度的设计和执行过程以及执行结果进行监督检查。处于公司治理层次。完整意义的内部审计制度应包括：隶属审计委员会的专门机构提出增强内部控制效用的建议；强调对制度本身及对制度遵循情况的评价；强调对企业资源综合运用的效率、效果和效益的评价检查、评价企业既定经营目标和方针的执行情况模块六，内部审计3-6内部控制系统的6模块内部控制制度的组成部分，对全部115四、全面预算管理预算是以货币或现金流量的形式对企业未来一定期间内的经营活动及其财务的影响所作的计划。全年预算管理是利用全年预算对企业内部各部门、各单位的各种财务及非财务资源进行分配、考核、控制，以便有效地组织和协调企业的生产经营活动，完成既定的经营目标。财务预算与业务预算、资本预算、筹资预算共同构成企业的全面预算。

四、全面预算管理预算是以货币或现金流量的形式对企业未来全年预116企业全面预算应当围绕企业的战略要求和发展规划，以业务预算、资本预算为基础，以经营利润为目标，以现金流为核心进行编制，并主要以财务报表形式予以充分反映。

企业全面预算一般按年度编制，业务预算、资本预算、筹资预算分季度、月份落实。

基本原则和要求：1.坚持效益优先原则，实行总量平衡，进行全面预算管理；2.坚持积极稳健原则，确保以收定支，加强财务风险控制；3.坚持权责对等原则，确保切实可行，围绕经营战略实施。企业全面预算应当围绕企业的战略要求和发展规企业全面预算一般按117全面预算管理的基本功能确定目标整合资源评价业绩沟通信息全面预算管理的基本功能确定目标整合资源评价业绩沟通信息118全面预算的编制顺序业务预算资本预算筹资预算全面预算全面预算的编制顺序业务预算资本预算筹资预算全面预算119业务预算销售或营业预算生产预算产品成本预算制造费用预算营业成本预算期间费用预算采购预算业务预算销售或营业预算生产预算产品成本预算制造费用预算营业成120资本预算债券投资预算权益性资本投资预算固定资产投资预算资本预算债券投资预算权益性资本投资固定资产投资121筹资预算股权筹资预算偿债预算债权筹资预算筹资预算股权筹资预算偿债预算债权筹资预算122财务预算损益表预算资产负债表预算现金预算财务预算损益表预算资产负债表预算现金预算123全面预算的编制程序编制上报审查平衡审议批准下达执行审查－平衡－协调－调整－修订全面预算的编制程序编制上报审查平衡审议批准下达执行审查－平衡124预算的编制方法固定预算弹性预算零基预算概率预算滚动预算固定类项目与业务量相关的项目:成本、费用、利润季度预算一次性项目偶然性项目预算的编制方法固定预算弹性预算零基预算概率预算滚动预算固定类125全面预算的执行与控制下达单位各单位按预算执行定期上报执行情况实行偏差的调查与修订全面预算的执行与控制下达单位各单位按预算执行定期上报执行情况126预算结构图预算结构图127风险管理讲座128风险管理讲座129风险管理讲座130风险管理讲座131风险管理讲座132风险管理讲座133风险管理讲座134风险管理讲座135谢谢！谢谢！136内部控制

InternalControl

郑州航空工业管理学院张永国内部控制

InternalControl

郑州航空工业管137建立内部会计控制的假设前提假设是一切理论研究的出发点不信任假设。犯罪意识存在假设。制度有效假设。控制主体主动假设。建立内部会计控制的假设前提假设是一切理论研究的出发点138讲座提纲一、内部控制理论发展的四个阶段二、风险管理8要素三、内部控制结构四、全面预算讲座提纲一、内部控制理论发展的四个阶段139一、内部控制理论发展的四个阶段

---沿革与发展内部牵制阶段；侧重于财产安全和检查手段。会计控制和管理控制阶段；侧重于财产安全、信息真实，强调会计的控制作用。控制要素阶段；强调控制环境的作用。框架结构阶段：重视风险评估、信息沟通的控制作用。萨班斯法案：要求建立责任体系。建立内部控制制度是管理者自己革自己的命，是很难克服的自身弱点，既要加强风险防范，又要限制自己的权利。一、内部控制理论发展的四个阶段

---沿革与发展1401-1内部牵制阶段

--内部控制的基本观念1-1-1内部控制制度定义（1936年）为保证公司现金和其他资产的安全，检查帐簿的准确性而采取的各种措施和方法。

（AICPA：【独立公共会计师对财务会计报告的审查】）1-1内部牵制阶段

--内部控制的基本观念11411-1-2内部控制制度定义（1949年）

（AICPA：特别报告）基于保护企业资产，检查其会计资料正确可靠，提高业务效率，促进企业经营方针、组织计划的贯彻执行而在企业内部采取的各种稽查措施-------。该定义的内部控制制度包括：预算管理标准成本定期业务报告统计分析及运用职业培训计划、制度等

……1-1-2内部控制制度定义（1949年）

（AICPA：特1421-2会计控制和管理控制阶段

内部控制的分野

【审计程序公告】SAPNO33，AICPA，1958年美国会计师协会的审计程序委员会发表了一份题为《内部控制协调系统诸要素及其对管理部门和注册会计师的必要性》的专题报告，将内部控制划分为内部会计控制和内部管理控制。这个控制包括授权与批准制度、从事财务记录和审核与从事经营或财产保管职务分离的控制、财产的实物控制和内部审计。内部会计控制制度基于会计自身的特征：复式记账、凭证记录、信息报告。内部管理控制制度治理结构、组织设计、授权、审批等手段。1-2会计控制和管理控制阶段

内部控制的分野

【审计程1431-2-4【反国外行贿法】(联邦成文法)

（ForeignCorruptPracticesAct,FCPA1977年，卡特政府）法案产生的背景•水门事件，为商业利益贿赂国外政府官员，虚假会计记录掩盖非法支出•政府审查合法性困难•妨碍外部审计法案的作用•不得对国外政府官员及政党行贿•保持会计记录，建立内部控制•处罚：五年以下监禁，50万美元罚款法案的重要意义：建立内部控制是企业的法律责任1-2-4【反国外行贿法】(联邦成文法)

（Forei1441-2-4行贿与虚假会计信息国外反行贿法案，是对证券法的修订，公司不能行贿。美国政府检查海外公司有无向当地政府、政党行贿，每年查出几十亿美元，这个钱是非法的，不能明记，所以只能做假帐。初级阶段的假账是账外账，高级阶段是真假一套账，黑白混淆在一起就是灰色，自己弄不清，别人更不行，所以经过审计的报告都是假的。国外反行贿法的现实意义，2004年8月沙特状告中国朗讯，向政府官员行贿，使他们损失了几亿美元，美国朗讯撤消了中国朗讯的领导，并由美国法院追究刑事责任。出现在中国的问题由美国的法律来处理，我们为什么没有揭露。要求中国进行商业规则整理。美国调查了在六个国家投资设立公司的行贿行为，都是腐败丛生的国家。1-2-4行贿与虚假会计信息国外反行贿法案，是对证券法的修订1451-3内部控制要素阶段

（SASNO55，1988年）

1988年，美国注册会计师协会发布《审计准则公告第55号》，提出内部控制结构具体包括三个要素：控制环境、会计制度、控制程序。控制环境是指对建立、加强或消弱特定程序的效率发生影响的各种因素的态度和行为。具体包括：经营者的管理哲学和经营作风、董事会及审计委员会的职能、人事政策和程序等等。会计制度规定各项经济业务鉴定、分析、归类和编报的方法，明确各项资产和负债的经营管理责任。控制程序指管理局制定的政策和程序，以保证达到一定目的。它包括：经济业务和经济活动的批准权；明确各个人员的职责分工，防止有关人员对正常业务图谋不轨和隐匿错弊；充分的凭证、账单设置和记录；资产和记录的接触控制；业务的独立审核等。新意：控制环境纳入内部控制范畴。1-3内部控制要素阶段

（SASNO55，1988年）

1461-4内部控制-整体框架

(InternalControl-IntegratedFramework)

CommitteeofSponsoringOrganizations

（COSO报告，1994年）1-4-1COSO委员会的组成AICPAAAAIIAFEIIMA1994年，美国反对虚假财务报告委员会公布了“COSO报告”。内部控制框架定义：“内部控制是一种由企业董事会、管理阶层和其他人员执行，由管理阶层设计，为达成有关下列目标提供合理保证的过程。营业的效果和效率；财务报告可信赖度；相关法令的遵循。”1-4内部控制-整体框架

(InternalCont147解释COSO-CommitteeofSponsoringOrganizations—发起组织委员会AICPA——美国注册会计师协会AAA——美国会计学会IIA——国际财务经理协会FEI——内部审计师协会IMA——管理会计师协会解释COSO-CommitteeofSponsorin1482004年COSO报告—《风险管理框架》COSO：企业风险管理框架定义

企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主题的潜在事项，管理风险以使其在该主体的风险容量之内，并为主题目标的实现提供合理保证。

2004年COSO报告—《风险管理框架》COSO：企业风险管149定义解释该定义反映了几个基本概念，即：一个过程，它持续地刘东于主体之内；有组织中各个层次的人员实施；应用于战略制定；贯穿于企业，在各个层次和单元应用，还包括采用主体层级的风险组合观；旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量内；能够向一个主体的管理当局何董事会提供合理保证；力求实现一个或多个不同类型但相互交叉的目标。定义解释该定义反映了几个基本概念，即：1501-4-2报告的目的1993内部控制的三大目标：

对现行法规的遵守——合法性目标

财务报告的可信赖度——可靠性目标

经营的效果和效率——效益性目标

2004内部控制的四大目标

战略目标——高层次目标，与使命相关联并支持其使命；

经营目标——有效和高效率地利用其资源；

报告目标——财务报表的可靠；

合规目标——相关法令的遵循。1-4-2报告的目的1993内部控制的三大目标：

1512004COSO,风险管理框架八要素控制环境风险评价控制活动信息与沟通监控目标设定事项识别风险应对2004COSO,风险管理框架八要素控制环境风险评价控制活1521-4-3COSO报告的新意COSO报告第一次明确提出“全员参与”思想，职工不是被动地执行内部控制。“以人为本”。COSO特别强调，只有人才可能制定企业的目标，并设置控制的机制。重视“软控制”的作用。软控制是指那些属于精神层面的东西。如企业高级管理阶层的价值观、管理哲学和管理风格、企业文化、内部控制意识等。强调风险意识。风险管理是现代企业的主旋律之一。明确指出内部控制只能做到“合理”保证。1-4-3COSO报告的新意COSO报告第一次明确提出“全1531-5萨班斯-奥克斯利法案

《2002年公众公司会计改革和投资者保护法》美国安然公司的破产，政府很感兴趣，组织了6个调查组查明破产的原因，说明是企业的管制的制度方面出了大问题。美国参众两院针对问题公布执行萨班斯法案。萨班斯法案要求企业建立责任体系，人人承担责任，公司出了事，一查到底落实到人，所以两年来没有一家公司出事。我国是出了事公司买单，这是企业搞不好的主要原因。萨班斯法案要求企业报告内部控制，并对内部控制进行评价，04年6月生效，给那两年的时间，大型企业开始从组织结构入手，有组织就有路径便于落实工作。1-5萨班斯-奥克斯利法案

《2002年公众公司会计改革和154萨班斯-奥克斯利法案（2002）

Sarbanes-OxleyAct:302(4)签署报告的公司负责人（CEO、CFO或类似）对建立和保持完整的内部控制体系负责；保证已经设计了内部控制体系；保证已经评价了财务报告编制之前90天内的某一日的内部控制有效性；在对外报告中陈述内部控制有效性的评价结论。（5）向外部审计师和董事会下的审计委员会报告：在内部控制设计或运行中的所有重大控制缺陷；涉及管理层或在内部控制系统中起重要作用的其他雇员的任何欺诈行为；在对外报告中指明，在评价之后内部系统及其重要影响因素是否发生了重大变化以及整改措施；萨班斯-奥克斯利法案（2002）

Sarbanes-Oxl155404：管理层对内部控制的评价A、年报中包含的内部控制报告说明管理层对于建立和保持一套完整的内部控制体系和程序所承担的责任；包含管理层对截至到最近财务年度末内部控制体系及程序的有效性评价。B、内部控制评价和报告公司主审审计师应当验证并报告管理层所做的内部评估进行认证和报告。906：公司对财务报告的责任最高罚款500万美金，监禁20年，或两者并罚。404：管理层对内部控制的评价A、年报中包含的内部控制报告156作用：使之不能法律法规，使之不敢内部控制，使之不能职业道德，使之不愿作用：使之不能法律法规，使之不敢内部控制，使之不能职业道德，157二、风险管理框架8要素战略目标经营目标报告目标控制要素内部环境目标设定事项识别风险评估风险应对控制活动信息与沟通监控董事会经理层其他员工实施者控制过程企业目标合规目标二、风险管理框架8要素战略目标经营目标报告目标控制要素董事1582-1内部环境1.概念内部环境是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构。它影响着战略和目标如何制定、经营活动如何组织、如何识别、评估风险并采取行动。它影响着控制活动、信息与沟通体系和监控措施的设计与运行。内部环境受主体的历史和文化的影响。2.内部环境8要素2-1内部环境1.概念159内部环境8要素风险管理理念风险容量董事会诚信与道德价值观权利与职责的分离对胜任能力的要求组织结构人力资源准则内部环境8要素风险管理理念风险容量董事会诚信与道德价值观权利1602-1-1风险管理理念一个主体的风险管理理念是一套共同的信念和态度，它决定着该主体在做任何事情——从战略制定和执行到日常的活动——时如何考虑风险。风险管理理念反映了主体的价值观，影响它的文化和经营风格，并且决定如何应用企业风险管理的构成要素，包括如何识别风险，承担哪些风险，以及如何管理这些风险。不同的公司经营当局的风险管理理念不同2-1-1风险管理理念一个主体的风险管理理念是一套共同的信念1612-1-2风险容量风险容量（偏好）是一个主体在追求价值的过程中所愿意承担的广泛意义上的风险的数量。它反映了企业的风险管理理念，进而影响了主体的文化和经营风格。风险容量在战略制定过程中加以考虑，应将战略的期望报酬与主体的风险容量相协调。主体运用类似高、适中或低等类别，从质的角度考虑风险容量，或运用量化的方法，来反映和平衡增长、报酬和风险方面的目标。2-1-2风险容量风险容量（偏好）是一个主体在追求价值的过程1622-1-3董事会一个主体的董事会是内部环境的关键部分，它对其他要素有着重大影响。董事会对于管理当局的独立性、其成员的经验和才干、对活动参与和审察的程度，以及其行为的适当性都起着重要的作用。董事会的构成——投资人、管理者、独立董事有效的董事会能够确保管理当局保持有效的风险管理。2-1-3董事会一个主体的董事会是内部环境的关键部分，它对其1632-1-4诚信与道德价值观主体的战略和目标以及它们得以推行的方式建立在偏好、价值判断和管理风格的基础之上。管理当局的诚信和对价值观的要求影响这些转化为行为准则的偏好和判断。管理当局的诚信是一个主体活动的所有方面的道德行为的先决条件。诚信和价值观是一个主体内部环境的关键因素，它影响着企业风险管理其他构成要素的设计、管理和监控。树立道德价值观通常很困难，因为需要考虑多方面的利益。管理当局的价值观必须平衡企业、员工、供应商、客户、竞争者和公众的利益。2-1-4诚信与道德价值观主体的战略和目标以及它们得以推行的164道德行为和管理当局的诚信是公司文化的副产品，公司文化包含道德和行为准则以及它们的沟通和强化方式。高层管理当局在确定公司文化方面起着关键作用。特定的组织因素也会影响出现欺诈性和可疑的财务报告行为的可能性。企业应有书面的行为守则，且为员工接受和理解，并进行适当的沟通。对违规者和知情不报者给与处罚是必要的，对举报者鼓励。道德行为和管理当局的诚信是公司文化的副产品，公司文化包含道德1652-1-5对胜任能力的要求胜任能力反映实现规定的任务所需要的知识和技能。管理当局明确特定岗位的胜任能力水平，并把这些水平转换成所需要的知识和技能。2-1-5对胜任能力的要求胜任能力反映实现规定的任务所需要的1662-1-6组织结构一个主体的组织结构提够了计划、执行、控制和监督其活动的框架。相关的组织结构包括确定权利与责任的关键区，以及确立恰当的报告途径。主体建立适合其需要的组织结构，集权型或分权型；直接报关关系或矩阵组织等等。一个主体的组织结构的适当性部分地取决于它的规模和所从事活动的性质。有着正式报告途径和职责的高度结构化的组织，可能适用于拥有很多经营分部、包括外国业务的大型主体。例子下图2-1-6组织结构一个主体的组织结构提够了计划、执行、控制和167组织结构股东大会总经理董事会监事会各职能部门及子公司战略发展委员会

薪酬与考核委员会

审计委员会

董事会秘书处

组织结构股东大会总经理董事会监事会各职能部门及子公司战略发展1682-1-7权利和职责的分配权利和职责的分配涉及到个人和团队被授权并鼓励发挥主动性去提出问题和解决问题的程度，以及对他们权力的限制。它包括确立报告关系和授权规程，以及描述恰当经济活动的政策、关键人员的知识和经验，和履行职责而赋予的资源。一些主体将权力下放，以便使决策接近于一线的人员。一个关键的挑战是仅仅针对实现目标所需要的范围来进行授权。另一个挑战是确保所有的人员都了解主体的目标。2-1-7权利和职责的分配权利和职责的分配涉及到个人和团队被169授权与指挥三忌：多头领导；越级指挥；管辖人员过多组织行为与责任的分配对组织目标的协同作用责任与报告责任报告的内容很多，但核心是表明自己是干净的。

授权与指挥三忌：1702-1-8人力资源准则包括雇佣、定位、培训、评价、咨询、晋升、付酬和采取补偿措施在内的人力资源业务向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息。对员工的多形式培训、奖励和惩处。后续教育的持续性。2-1-8人力资源准则包括雇佣、定位、培训、评价、咨询、晋升1712-2目标设定设定战略层次的目标，为经营、报告和合规目标奠定基础。每一个企业都面临着来自外部和内部的一系列风险，确定目标是有效的事项识别，风险评价和风险应对的前提。企业首先必须制定目标，在此之后，管理层才能识别和评估影响目标实现的风险并采取必要的行动来管理风险。2-2目标设定设定战略层次的目标，为经营、报告和合规目标奠定172相关目标目标的实现风险容量（偏好）战略目标风险容限（风险可接受程度）经营风格相关目标目标的实现风险容量（偏好）战略目标风险容限（风险可接1732-2-1战略目标一个主体的使命从广义上确定了该主体希望实现什么，不管采用什么术语，诸如“使命”、“愿景”、“目的”，重要的是管理当局——在董事会的监督下——明确确定了主体存在的广泛意义的原因。由此管理当局设定战略