内控方法论与案例

回归和谐稳健成长

——内控和风险管理咨询方法论和案例

金蝶软件（中国）有限公司张红文金蝶研究院高级研究员中注协会员高级会计师Email：zhanghw@10/11/20231讲师简介简况：张红文，高级会计师、中国注册会计师协会会员。现任：金蝶研究院高级研究员，从事集团财务管理模式研究；历任规划部门经理负责规划了金蝶K/3及EAS集团财务管理软件；历任产品市场部门经理为招商局、中金岭南等数十家大型、超大型集团企业财务管理信息化提供过专业服务。曾任：公司财会部长、科长等职，服务于江西省医药集团、广东科龙集团，从事财务管理实务工作十余年。著述：出版个人著作《集团财务管理新思维》

目录内控与风险管理基础理论内控与风险管理实务框架内控与风险管理案例解析风险的概念19世纪，西方古典经济学家就提出了风险的概念，认为风险是经营活动的副产品，经营者的收入是其在经营活动承担风险的报酬。20年代初，美国经济学家奈特把风险与不确定性作了明确区分，指出风险是可测定的不确定性。认为风险存在着一定的统计规律，奠定了现代保险学的理论基础。80年代初，日本学者武井勋认为风险是特定环境中和特定期间内自然存在的导致经济损失的变化。本定义包括三种要素：第一，风险与不确定性有差异；第二，风险是客观存在的；第三，风险可以被测量。风险的概念：风险是可测定的不确定性具体风险的测定具有主观性与客观性风险的结果有正面与负面两方面的影响，正面可以带来收益，负面可能带来损失三国故事空城计史上著名的三大泡沫事件荷兰郁金香泡沫英国南海泡沫法国密西西比泡沫1593年克卢修斯受聘担任荷兰莱顿大学植物园的主管将郁金香带到了荷兰。1630年，荷兰的一朵郁金香花根售价是今天的76,000美元；六星期后一位初到荷兰的水手误食一枚价值五万美元的“永远的奥古斯都”的郁金香球茎，价格回落到每只1美元；1720年初，为了刺激股票发行，南海公司制造“新闻”、接受投资者分期付款购买新股，股价由129英镑一路狂飚到1000英镑以上，严重背离公司业绩。1720年7月起，内幕人士与政府官员大举抛售，南海公司股价一落千丈，12月跌至每股124英镑，南海泡沫破灭。1719年7月25日，约翰•劳的印度公司取得了皇家造币厂的承包权，8月取得农田间接税的征收权。从1719年5月开始，推动法国股票价格连续上升了13个月，股票价格从500里弗尔涨到一万多里弗尔，涨幅超过了20倍。从1720年5月法国股市开始崩溃，连续下跌13个月，跌幅为95%。荷兰：法庭就淹没在郁金香的官司之中,政府护盘未果,强行终止所有合同,最终所有的“苦果”只能由投机者自己咽下。法国：政府参与其中,信用严重受创;百姓卷入其中蒙受损失，投资信心受创。英国：不知情的投资人陷入悲惨世界，损失惨重的还有英国经济和政府信用。内部牵制以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有效的内部牵制以便使各项业务能完整正确地经过规定的处理程序，而在这规定的处理程序中，内部牵制机能永远是一个不可缺少的组成部分。——《柯氏会计辞典》1234两个假设三个构成要素四项基本职能五种不相容职务两个或两个以上的人或部门无意识地犯同样的错误机会较少；两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。L.R.Dicksee最早于1905年提出内部牵制（InternalCheck）时认为，内部牵制由三个要素构成：职责分工；会计记录；人员轮换。实物牵制如钥匙交两个以上的持有，物理牵制如银库大门按非正确手续操作就会报警、分权牵制每项业务由不同的人或部门去执行、簿记牵制如明细帐与总帐定期核对。授权批准、业务经办、会计记录、财产保管、稽核。内部控制“保护公司现金和其他资产，检查薄记事务的准确性，而在公司内部采用的手段和方法”1936年AICPA的定义内部控制包括组织的计划和企业为了保护资产，检查会计数据的准确性和可靠性，提高经营效率，以及促使遵循既定的管理方针等所采用的所有方法和措施。1949年AICPA的定义吉姆斯•D•威廉森在《现代主计长手册》第五版中指出：“为了合理地保障企业特定目标的实现，企业管理当局制定了许多政策和程序。这个政策和程序集合就是内部控制制度。”《现代主计长手册》1953年10月，AICPA－把内部控制分为会计控制和管理控制会计控制－“由组织计划和所有保护资产、保护会计记录可靠性或与此相关的方法和程序构成。包括：授权与批准制度；记账、编制财务报表、保管财务资产等职务的分离；财产的实物控制；内部审计等；管理控制－“由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接相关的方法和程序构成。通常只与财务记录发生间接的关系，包括统计分析、时动分析、经营报告、雇员培训计划和质量控制等。内部控制结构

内部控制结构是指为了对实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体，包括控制环境、会计系统及控制程序三个部分。——1988年美国审计准则委员会第55号《审计准则公告》控制环境会计系统控制程序

控制环境是对企业控制的建立和实施有重大影响的一组因素的统称。它们包括：管理哲学和经营风格；组织结构；董事会的职能；授权和分配责任的方式管理控制方法；内部审计；人事政策和实务；外部影响。

会计系统是企业为了汇总、分析、分类、记录和报告企业交易，并保持对相关资产与负债而建立的方法和记录。一个的效的会计系统应能做到以下几点：确认并记录所有真实的交易；及时且充分详细地描述交易，以便在财务报表上对交易作恰当的分类；计量交易的价值，以便在财务报表上记录其恰当的货币金额；确定交易发生的期间，以便将交易记录在适当的会计期间；在财务报表中恰当地表达的披露交易及相关事项。

控制程序同其他两个要素一样，也是为了合理保证公司目标的实现而建立的政策和程序，它既可以单独应用，也可以融合于控制环境或会计系统的特定组成部分。控制程序主要包括：恰当授权；职责分离凭证和记录；按近控制；独立检查。内部控制整合框架1985年，由AICPA、IIA、FEI、AAA、IMA等共同发起成立了“全国舞弊性财务报告委员会”（即Treadway委员会）。两年后，根据该会的建议，其赞助机构又成立了专门研究内部控制问题的组织，即COSO委员会。COSO的目的是制定一个服务于公司、独立公共会计师、立法者和监管部门需要的内部控制定义，为公司评价其内部控制系统的有效性提供一个参照标准的广泛框架。1992年，COSO发布了《内部控制－整合框架》“内部控制是由董事会、管理当局和其他职员实施（effect）的一个过程（process），旨在为下列各类目标的实现提供合理保证：经营效果和效率；财务报告的可靠性；遵循适用的法律和法规”。“将对内部控制的不同概念整合到一个框架中，从而达到对内部控制的共识，确定控制的构成要素”；试图“建立一个适用于各方需求的通用的定义；提供一个标准，无论规模大小、公众还是私人的、盈利性的还是非盈利性的业务和企业，均可以参照该标准评估他们的控制系统并决定如何改进”；从而“帮助公司和企业的管理层更好地控制组织的活动”。1994年COSO

委员会提出对外报告的修改篇，扩大了内部控制涵盖范围，增加了与保障资产安全有关的控制，得到了美国审计署(General

Accounting

Office，GAO)的认可。；“保护资产防止未经授权的取得、使用或处置的控制是一个过程，它是由组织的董事会、管理层及其他人员实现的，用来为防止或及时发现那些对财务报告有重大影响的未经授权取得、使用或处置资产的行为提供合理保证的”。内部控制整合框架监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。信息和交流（informationandcommunication）包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。控制环境（Controlenvironment）确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。风险评估（riskassessment）帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。控制活动（controlactivities）监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。监控（monitoring）COSO内部控制整合框架：三目标、五要素世界之交的挑战2000上世纪末本世纪初07年开始，全球经济因“次贷危机”这座冰山彻底改变了前进的航程。贝尔斯登破产两房面临破产困境雷曼兄弟倒闭、美林被收购AIG寻求政府救助高盛、摩根士丹利无奈转寻商业银行兼并“金融海啸”波及欧洲，影响全球。1997年6月开始，一场金融危机在亚洲爆发，打破了亚洲经济急速发展的景象，亚洲一些经济大国的经济开始萧条。1997年7月7日，泰国宣布放弃固定汇率制，实行浮动汇率制，引发了一场遍及东南亚的金融风暴。1998年初，印尼金融风暴再起。1998年8月初，美国股市动荡、日元汇率下跌，国际炒家对香港发动新一轮进攻。前车之鉴：安然破产2000年美国最大的石油和天然气企业当年的营业收入超过1000亿美元雇佣员工2万人美国《财富》500强第七名2001年末宣布第三季度6.4亿美元的亏损隐瞒了5亿美元的债务1997年以来虚报利润5.8亿美元股价由年初80美元跌至年末80美分此前10个月董事及高管红利3.2亿分析调查安然的董事会及审计委员会均采取不干预(“hands-off”)监控政策事件发生之后，部分董事表示不太了解安然的财务状况、期货及期权的业务安然重视短期的业绩指标安然管理高层常常藐视或推翻公司制定的内控制度前车之鉴：世通倒闭2001年美国第二大电信公司美国《财富》500强中排名前l00位2002年世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法在1998年至2002年期间，虚报利润110亿美元。股价从最高的96美元暴跌至90美分年末申请破产保护世通的4名主管(包括公司的CEO和CFO)承认串谋讹诈，被联邦法院刑事起诉。调查发现世通的董事会持续赋予公司的CEO(BernardEbbers)绝对的权力，让他一人独揽大权美国证监会的调查报告指出：世通完全没有制衡机制世通的董事会并没有负起监督管理层的责任世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金美国世通公司前CEO埃贝斯出庭受审前车之鉴:巴林破产英国巴林银行：20世纪90年代前英国最大的银行之一，有超过200年的历史。1992~1994年期间，巴林银行新加坡分行总经理里森(NickLesson)从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动，累积亏损超过10亿美元，导致巴林银行于1995年2月破产，最终被荷兰ING收购。调查发现巴林银行的高层对里森在新加坡的业务并不了解高层对财务报告不重视缺乏职责划分的机制，里森身兼巴林新加坡分行的交易员和结算员。里森在自传中说：“有一群人本来可以揭穿并阻止我的把戏，但他们没有这么做。我不知道他们在监督上的疏忽与罪犯的疏忽之间的界限何在，也不清楚他们是否对我负有什么责任。”前车之鉴：金融海啸中的五大投行企业风险管理整合框架2001年，COSO委托普华开发一个企业管理层评价和改进企业风险管理的框架；2003年，COSO发布《企业风险管理框架（草稿）》；2004年9月，COSO正式发布《企业风险管理－整合框架》。企业风险管理是“一个过程，它由一个主体的董事会、管理当局和其他人员实现（effect）的，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，为主体目标的实现提供合理保证”。内部控制已经包含在企业风险管理当中，而且是企业风险管理的一个组成部分，企业风险管理比内部控制宽泛，是在内部控制的基础上的拓展和精心设计，以形成一个更加充分关注风险的更“健壮”的概念体系。COSO不打算、也的确没有用企业风险管理框架取代内部控制框架，而是将内部控制框架纳入其中，公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要，还可以借此转向一个更加全面的风险管理过程。企业风险管理整合框架目标：从各种角度来考虑因素：从相联的各种过程来考虑地点：从组织的各个层次考虑与内部控制整合框架的差异与联系：从二者的框架结构看，ERM增加了战略目标；增加了目标设定，事件识别和风险对策三个要素。从二者的实质内容看一是内部控制仅是管理的一项职能，而全面风险管理贯穿于管理过程的各个方面；二是全面风险管理框架涵盖信用风险、市场风险、操作风险、战略风险、声誉风险及业务风险等各种风险，包括风险和机会；而内部控制框架没有区分风险和机会；三是由于全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，在风险度量的基础上有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资源分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的四项目标。全面风险管理涵盖了内部控制。

美国萨班斯法案SOX法案302节－“公司对财务报告的责任”签字官员（A）对建立及保持内部控制负责；（B）设计了所需的内部控制，以保证这些官员能知道该公司及其纳入合并报表的子公司的所有重大信息，尤其是报告期内的重大信息；（C）评价公司的内部控制在签署报告前90天内的有效性；（D）在该定期报告中发布他们上述评价的结论。签字官员已向公司的审计师及董事会下属的审计委员会（或担任同等职务的人员）披露了如下内容：（A）内部控制的设计或运行中，对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷。并向公司的审计师指出内部控制的重大缺陷。（B）在内部控制中担任重要职位的人员或其他雇员的欺诈行为，不论行为的影响是否重大。签字官员应在报告中指明在他们对内部控制评价后，内部控制是否发生了重大变化，或是其他可能对内部控制产生重要影响的因素，包括对内部控制的重大缺陷或重要缺点的更正措施。美国萨班斯法案SOX法案404节－“管理层对内部控制的评价”(a)内部控制方面的要求——SEC应当相应的规定，要求按《1934年证券交易法》第13节(a)或15节(d)编制的年度报告中包括内部控制报告，包括：(1)强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；(2)发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价；(b)内部控制评价报告——对于本节(a)中要求的管理层对内部控制的评价，担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。内部控制评价、审计公司管理层对财务报告内部控制有效性的评价注册会计师对财务报告内部控制的审计注册会计师的审计报告对内部控制有效性的审计意见内部控制的对外报告内部控制的对内报告内部控制报告——浙江工商大学张宜霞《美英上市公司内部控制评价与报告体系的比较研究》

美国SEC“财务报告内部控制”2003年6月，美国SEC发布“财务报告内部控制”；一个过程，它是由公司首席执行官和首席财务官或履行类似职能的人设计的或在其监督之下的，并由公司董事会、管理层和其他人员实施的，为财务报告的可靠性和按照公认会计原则编制对外财务报表提供合理保证；财务报告内部控制包括的政策和程序要：与保持适当详尽、准确和公允反映公司资产的交易和处置的记录相关；合理保证对交易进行了必要的记录以容许按照公认会计原则编制财务报表，以及公司的收入和支出只根据公司管理层和董事的授权进行；合理保证防止或及时发现未经批准取得、使用或处置那些可能会对财务报表产生重要影响的公司资产。美国PCAOB审计准则2004年发布标题为与财务报表审计相关的财务报告内部控制审计管理当局的责任：对公司财务会计报告内部控制的有效性负责；使用适当的控制标准（如COSO标准）；评价公司财务会计报告内部控制的有效性；提供足够的证据、包括记录编制来支持评价，以及在公司最近的财政年度末，就公司财务会计报告内部控制的有效性出具书面评价。

评价内控有效性的程序：确定需要测试的控制措施；评价控制失败导致财务报表错报的可能性、错报的重要性；评价控制措施的设计和实施有效性；确定已识别的内控缺失是否构成重要缺失或实质性薄弱；将发现传达给相关方；对发现是否支持其评价进行评估。PCAOB2号准则2007年6月发布审计准则五号，对缺陷、重大缺陷和实质性缺陷的定义在二号准则的基础上进行了修改和说明。缺陷指当控制的设计或运行不允许管理层或雇员实施他们的职能来及时防止错报的发生，从而发生了内部控制缺陷。缺陷分为设计缺陷和运行缺陷。重大缺陷内部控制对于财务报告的缺陷或缺陷的组合，没有实质性缺陷那么来重，但是重要到能够吸引对于财务报告负责检查的人员的注意力。实质性缺陷财务报告内部控帽方面的一项缺陷，或者一组缺陷的组合，使得在合理的可能性水平上，公司年度或者中期的财务报告的实质性错报无法及时被阻止或察觉到。PCAOB5号准则国际内控与风险管理趋势内部控制制度AICPA把内控划会计控制和组织控制。-建立内控-数据准确一致-内控可靠性内部牵制依据串通舞弊的可能性较小，提出五种不相容职务分离原则，实现实物与簿记牵制。三大目标-经营效果和效率-财务报告的可靠性-遵循适用的法律和法规五大要素-控制环境-风险评估-控制活动-信息沟通-监控（1994年，保护资产）四大目标-战略实现-经营效果和效率-财务报告的可靠性-遵循适用的法律和法规八大要素-内部环境-目标设置-事件识别-风险评估-风险反应-控制活动-信息与沟通-监控内部控制结构AICPA内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序；-控制环境-会计系统-控制程序（三要素）内部控制整合框架风险管理整合框架1936年1988年1994年2004年2002年：SOX法案2003年6月：SEC“财务报告内部控制”2004年：PCAOB2号准则2007年6月：PCAOB5号准则全球经济危机下中国企业的新挑战合俊倒闭中信巨亏三鹿破产更早前的案例2004年中航油炒作原油期货，巨亏5.5亿美元；银广夏造假、达尔曼资金黑洞、托普神话、德隆危机…美国金融危机波及中国实体经济企业倒闭第一案。高管“不知情的”澳元累计认购期权合约公允价值损失约186亿港元。三聚氰氨毒害一批婴幼儿，摧毁了三鹿，也损害了中国乳品行业。前车之鉴：合俊倒闭香港合俊控股集团成立于1996年，香港联交所上市企业，其主力生产基地就是设在樟木头镇的2家工厂，产品70%以上销往美国，包括为全球最大的玩具商美泰公司提供OEM（贴牌加工）业务。合俊大事记1995年：胡锦斌接下1700万港元的订单。一年后，合俊集团在东莞成立。2004年：在合俊开始挺进成人玩具市场。2006年9月：合俊集团在香港联交所上市，股票代码为02700。2007年9月：合俊集团买入福建天安矿业股份。2008年8月，为了缓解资金紧张，合俊以2700万元出售其在清远市佛冈的一块土地。最近一次合俊公布中期业绩，股东亏损2亿元，每股亏损0.44元，不派中期息。8月15日，危机终于爆发。2008年10月15日合俊集团旗下两工厂倒闭约6500名员工失业，事发后，政府将先行垫付2400万元工资。从影响和知名度来看，这被称为“美国金融危机波及中国实体经济企业倒闭第一案。”前车之鉴：中信巨亏中信泰富的前身泰富发展有限公司成立于1985年。1986年通过新景丰公司获得上市地位，同年2月泰富发行2.7亿股新股予中国国际信托投资（香港集团）有限公司1991年泰富正式易名为中信泰富。荣智健称“不知情”遭到质疑2008年10月20日中信泰富首告因澳元贬值跌破锁定汇价——澳元累计认购期权合约公允价值损失约147亿港元，至今巨额亏损已扩大到186亿港元。12月2日，中信泰富公开披露的股东通函显示，过去两年中，中信泰富分别与花旗银行香港分行、渣打银行、Rabobank、NATIXIS、瑞信国际、美国银行、巴克莱银行、法国巴黎银行香港分行、摩根士丹利资本服务、汇丰银行、Calyon、德意志银行等13家银行共签下24款外汇累计期权合约。前车之鉴：三鹿倒闭2008年报月12日官方初步认定：三鹿“问题奶粉”为不法分子在原奶收购中添加三聚氰胺所致已传唤78人;2008年9月18日，国家工商行政管理总局发出紧急通知，要求各地工商部门对市场上含三聚氰胺的液态奶，立即责令停止销售、下架退市。2008年9月19日，国家处理三鹿牌婴幼儿配方奶粉事件领导小组召开第二次全体会议，全国各地已退市问题奶粉3215.1吨。国务院办公厅１９日发出通知，要求各地区、各部门认真贯彻落实党中央、国务院的决策部署，以对人民群众高度负责的精神，进一步做好婴幼儿奶粉事件处置工作。2008年12月31日，原董事长受审。2009年02月13日，三鹿集团正式破产。2009年03月04日，三元以6.1650亿元拍得三鹿资产。企业内部控制基本规范五目标五原则五要素全面性原则重要性原则制衡性原则适应性原则成本效益原则合法合规资产安全财务报告经营绩效战略实现七项一般控制措施不相容职务分离控制授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制财政部、证监会、审计署、银监会、保监会五部委共同发布内部环境风险评估控制活动信息与沟通内部监督五个五：五目标、五原则、五要素、五部委发布共五十条内部控制应用指引1．组织架构及权责分配（治理结构、机构设置、权责分配、内部审计、总分公司等内容）2．母子公司（母子公司治理结构下母公司对子公司的控制问题）3．安全环保与社会责任（理念、制度、投入、管理、检查等内容）4．人力资源管理（扩充原内容，对人力资源进行全方位、全过程控制）5．货币资金（扩充内容，不局限于收付程序的审批，对资金管理中的高风险问题进行提示）6．采购与销售（购销高风险业务环节控制，对以下各业务与事项的控制相似）7．工程及实物资产8．研发及无形资产9．筹资10．对外投资11．运营管理（生产经营过程控制）12．信用管理（授信管理问题，包括对往来客户、分子公司等的授信政策和管理等）13．预算管理14．担保与投保15．合同协议与法律事务16．重组与并购17．关联交易18．内部报告与信息系统（侧重内部报告机制建设和信息系统安全控制，包括反舞弊问题等）19．对外报告（含信息披露）20．银行业务（含信托业务）21．保险业务22．证券业务（含基金业务）应用指引项目构成（征求意见稿）内部控制评价指引内部控制评价，是指由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。企业实施内部控制评价，包括对内部控制设计有效性和运行有效性的评价。信息系统的有效性评价包括信息系统一般控制评价和信息系统应用控制评价。企业集团对被评价单位内部控制的有效性的评价。内部控制评价的内容和标准内部控制评价工作方案内部控制评价工作程序内部控制评估和测试的方法内部控制有效性相关的证据内部控制有效性相关的判断内部控制评价证据保存内部控制评价证据报告内部控制评价的程序和方法内部控制缺陷分类（一般可分为设计缺陷和运行缺陷）内部控制缺陷判的断则内部控制缺陷判的整改年度内部控制评价报告内部控制缺陷认定和评价报告总则适用范围、概念、基本原则、评价组织内部控制鉴证指引企业内部控制鉴证，是指会计师事务所接受委托，对企业与财务报告相关的内部控制的有效性进行鉴证，并发表鉴证意见。企业内部控制鉴证指引是注册会计师执行企业内部控制(以下简称内部控制)鉴证业务的业务规范。制定鉴证计划

实施鉴证工作评价控制缺陷评价控制缺陷完成鉴证工作

鉴证报告工作底稿总则国资委风险管理指引目的：明确要求中央企业要重视和开展全面风险管理；明确什么是全面风险管理；指导企业如何开展全面风险管理工作。主要内容：第一章总则第二章风险管理初始信息第三章风险评估第四章风险管理策略第五章风险管理解决方案第六章风险管理的监督与改进第七章风险管理组织体系第八章风险管理信息系统第九章风险管理文化第十章附则风险管理文化全面风险管理体系风险管理基本流程一个流程一个体系一种文化全面风险管理框架全面风险的目标五个目标

五个目标风险控制在目标承受范围内确保与股东的财务信息沟通确保经营活动的效率与效果重大风险的危机处理合法合规目录内控与风险管理基础理论内控与风险管理实务框架内控与风险管理案例解析一、企业内控与风险管理需求简析需求价值障碍动力观念企业内控与风险管理观念的转变低层次/经营层次。风险监控是内部审计人员的职能。风险是一个需要控制的负面因素。风险管理在企业各部分个别展开风险管理的责任被委派到低层次的人员风险的衡量是主观的无组织以及杂乱的风险管理职能注重操作董事会关注是CEO的工作(也是董事会的监管)风险其实是一个机会在整个企业范围内进行一体化的风险管理风险管理的责任由高级和部门管理人员承担风险的数化风险管理被纳入所有企业管理系统内控与风险管理的三大动力管控需要环境变化法规要求企业国际：COSO、SOX等国内：企业内控规范、指引等全球经济一体化全球经济危机提高战略执行力的需要强化企业（集团）管理控制内控与风险管理的三大需求公司层面：流程层面：将内部控制嵌入管理流程，实现管理和业务过程的内部控制。法规层面：建立和遵从内控制度的相关记录与报告。建立公司内控与风险管理环境。监控内控与风险管理体系的运行。违规防范降低认证成本风险管理实现稳健经营内部控制强化战略执行三大需求是企业的普遍需求；其中内部控制是各类企业的基本需求；上市类公司及国资委企业出于法规的要求对风险管理有较高要求；金融类公司出于国际、国内法规要求对违规防范（合规管理）有更高要求。内控与风险管理的三大价值回归和谐稳健成长法规遵从以客户为导向，优化重组流程，确保业务流程协调一致、高效运行；引入风险意识，将内部控制嵌入企业日常管理与业务流程中；以战略为目标，整合优化流程，实现企业战略执行与内部运营的和谐。以战略为导向，纳入风险管理意识，建立企业内控与风险管理环境；以内控体系为基础，建立全面的风险监控体系；以风险预警为手段，全面监控企业战略风险，确保企业稳健成长。以相关政策法规为指南，建立内控与风险管理体系；以内控与风险管理体系为保障，确保企业运行符合相关政策法规要求；以内控与风险管理体系的合理设计与有效运行为基础，履行法规要求的记录与报告责任。内控与风险管理的三大障碍缺乏良好的控制环境法人治理结构不健全，内部控制的外部约束较弱；公司治理结构中责任不到位；缺乏绩效考核对内部控制与风险管理的引导机制高管层缺乏自主控制意识没有形成重视风险的控制文化缺乏内部控制方法理论缺乏理论指导，以最佳实践为参考，注重对事件本身的控制，忽视对责任人的行为尤其是高管层行为的控制；没有完善的行权、职责、反馈、改进规范；把内控看成一套制度，而不是过程，缺乏动态理念。崇尚经验式管理对管理的有效性和制度的适当性缺乏评价标准制度拟定部门从自身利益考虑，造成跨部门流程断裂或交叉对重要的职责与权限划分有较大的随意性，重权力划分，轻责任归属缺乏系统的风险评估方法和工具缺乏定期反馈和修正机制就内部控制建设而言，目前国企最缺乏的是制度化的风险评估以及科学的风险应对策略。内部控制环境是内部控制是否有效的关键因素。内控方法论应在行为管理学理论基础上创新发展二、内控与风险管理方案模型信息化平台建立内控与风险管理基础环境风险评估识别•定位•衡量评价内部控制流程设计/实施内部控制流程监控监控•持续改善制定风险管理策略•回避•分担•降低•承担信息与沟通设定目标1、内部环境基本框架管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会一个基础三道防线一种文化企业风险管理文化OECD公司治理结构原则保护股东权利平等对待股东利害相关者的作用及时准确地披露信息董事会的责任一个基础：公司治理结构狭义的公司治理是指一组联结并规范公司股东、董事会、经理人之间责、权、利关系的制度安排。广义上，公司治理还包括公司与其他利益相关者（Stakeholder，如员工、客户、供应商、债权人和社区等）之间的关系，以及有关的法律、法规和上市规则等。公司治理提供了对风险由上而下的监控与管理。近年多个国家都订立了公司治理的最佳守则：美国：纽约证交所最佳治理守则英国：Cadbury/HampelReport、TheCombinedCode加拿大：DeyReportOECDReport这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任公司治理结构的内控职责企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。股东（大）会董事会经理层监事会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。对股东（大）会负责，依法行使企业的经营决策权。负责风险与内控建立健全和有效实施。负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。负责组织领导企业内控与风险管理的日常运行。

对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。对董事会建立与实施内控与风险管理进行监督。三道防线：风险管理组织体系业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线第二道防线是风险管理委员会风险管理部职责包括：编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析，为各业务单位分配经济资本金第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题。内部审计的三大功能：财务监督，包括财务帐的可用性、内部管理和制度的执行。经营诊断，包括管理审计以及效率和效益审计、检查和诊断经营和管理过程中的偏差和失误。咨询顾问，包括企业风险管理和发展策略方面的咨询、调查领导关心的热点问题和管理薄弱环节。风险业务单位防线第二道防线第一道防线第三道防线风险管理单位防线内审单位防线风险管理组织体系及其职责内容董事会风险管理委员会总经理风险管理专职部门其他职能部门监督部门工作报告审议工作报告在董事会领导下，审议并提交风险管理各项方案、报告主持全面风险管理日常工作提出风险管理工作报告执行风险管理基本流程和制度规范。负责本部门工作。开展监督评价，出具评价报告风险策略确定风险管理总体目标和策略提出风险管理策略风险评估批准重大风险评估报告研究提出跨部门重大风险评估报告控制决策重大风险控制决策研究提出跨部门重大风险管理方案监督评价批准监督评价报告负责有效性评估提出改进方案组织机构批准组织协调日常工作2、设定目标：企业战略经营架构图战略形成外部环境分析客户满意程度主要成功因素风险评估理想及使命确定战略定位战略改进评估和控制特定战略执行经营计划内部因素分析行业/市场竞争分析全球最佳借鉴诊断成文执行评估SWOT分析——《中国重点国有企业领导人员培训-企业变革框架》安达信公司企业咨询部施能自二ＯＯ一年十月十九日核心价值观行为规范/法人治理结构运营管理战略管理愿景企业文化中国管理模式金字塔愿景指标化(量化、非量化指标)，不再是一句口号愿景指标与企业的财务目标、盈利、成长及股东价值有关；愿景指标逐步分解为下面的四个维度的指标，这些指标最终在愿景指标得到反映衡量战略的具体指标和标准包含战略要素、衡量指标、战略举措战略指标分解为运营指标与行动方案将各项战略指标转化为具体的可以操作的运营指标，每项战略指标可以分解出多项运营指标每项运营指标包含衡量指标、运营举措、责任人建立支撑运营的治理结构指标多为管理制度、激励制度等管理类定性指标为其他四个方面的宏大目标提供基础架构，是驱使前述指标获得卓越成效的动力两个主要范畴：1)企业文化：企业的灵魂；2)核心价值观：公司学习、进步、创新的动力源泉。中国管理模式的金字塔指标——《金蝶行业对标研究战略》金蝶研究院吴生平5.1创建持续创新、勇于变革、富有弹性的企业文化5.2提高员工满意度5.3营造激励性的创新文化3.1提高技术创新水平3.2提高对市场的洞察力，以市场引导销售3.3提高供应链管理水平3.4提高客户关系管理水平3.5建立并持续改善紫光流程和制度2.1增长战略：提高市场份额2.2生产率战略：提升人均生产率2.3成本战略：降低单产成本2.4企业和品牌战略：提高经销商满意度2.5市场盈利战略1.1企业行业地位1.2企业盈利指标1.3企业发展指标从企业使命引伸而来的关键成功因素愿景战略管理运营管理治理结构关键指标体系企业文化4.1建立有效的激励机制4.2建立网络化的治理结构4.3健全内部控制制度4.4加强透明化管理——《金蝶行业对标研究战略》金蝶研究院吴生平战略目标样本以公司的产品、服务和健康信息来源来提高公司顾客的生活品质；以永远求新为公司发展的企业核心愿景使命价值观提升在中国行业在国际的领导地位创新团队以人为本追求卓越战略

目标关键绩效指标加强政府关系管理健全零售及采购体系降低营运成本与费用增强员工技能并加强团队精神销售额市场份额品牌知晓度存货周期采购成本商品结构员工流动率员工满意度营运收入利润销售费用占总收入比例应收帐款周转率建立客户关系管理系统及电子商务客户满意度内容贡献电子商务收入实现国际化集团公司投资收益率组织及协办政府活动的次数提供明确的目标导向提供可衡量的指标以保证战略目标的实现——《中国重点国有企业领导人员培训-企业变革框架》安达信公司企业咨询部施能自二ＯＯ一年十月十九日3、风险识别：企业风险模型 竞争者 敏感性 股东关系 资金充足性 金融市场 灾难性损失 独立／政治 法律 行政管理 行业 环境风险信息技术风险使用权完整性 相关性可得到性基础设施 财务风险货币 利率流动性 结算再投资 信用双边关系现金转移或流速改变 廉政风险管理欺诈 雇员欺诈非法行为 无授权使用商誉 授权风险领导力 权力限制 表现激励沟通 营运风险客户满意 人力资源产品开发 效率能力 表现差异循环时间 资源商品定价 过失或损失符合性 业务中断健康和安全 环境产品或服务失败商标或产品名侵蚀流程风险 营运价格 合同投入衡量结盟 完整性和精确性管理报告决策信息风险 财务预算和计划 完整性和精确性会计信息 财务报告评价税收 养老基金投资评估 管理报告战略环境检视 业务组合价值衡量 组织结构资源分配 计划生命周期企业需要按照以下的“企业风险模型”设计企业内部管理及风险控制体系来全面减少企业的经营风险。阿瑟·安德森公司对商务风险的简明定义——《中国重点国有企业领导人员培训-企业变革框架》安达信公司企业咨询部施能自二ＯＯ一年十月十九日环境风险①竞争者②敏感性③股东关系④资本的可获得性⑤灾难性损失⑥政策法规风险⑦行业风险⑧金融市场风险竞争者令企业失去原有的市场竞争优势企业无法对变化的环境作出有效及时的反应直接关系到企业在资本市场上的筹资能力公司可能无法筹措到足够的资金来支持自身发展自然灾害给企业造成巨大的损失由政策法规的不可测性及变化给企业带来损失由于行业有关要素变化，使企业丧失在行业中的优势地位由于金融市场的价格波动给企业的金融性资产造成损失流程风险-营运风险1、客户满意由于对客户服务不够重视造成营业额下降2、人力资源岗位人员资格和能力不够3、产品开发新产品无法被市场接受4、效率企业效率底下令成本高居5、能力企业生产能力过剩或者不足6、表现差异企业的运作水平与国际先进水准之间还存在巨大的差距7、时间拖延业务流程耗时过多8、存货遗失由于管理不当，存货的遗失给企业业绩造成巨大的损失9、符合由于员工的失误，产品不符合市场需要，无法完成企业预期目标10、业务中断由于原材料供应中断、有经验人员流失等原因造成的业务中断流程风险-营运风险（续）11、采购企业可能由于缺乏材料供应商的选择余地造成采购成本偏高12、商品定价定价的不合理，由于市场价格的波动给企业带来可能的损失13、产品或服务失败由于某种产品的失败给企业的整个形象造成影响14、环境由于企业破坏环境而受到第三方或政府的罚款15、健康和安全由于对安全生产不够重视造成员工的伤亡给企业造成不必要的损失16、商标被侵蚀由于产品或服务的质量不佳，造成企业名誉受损……………………流程风险-财务风险12345货币风险利率风险流动性现金转移速度国际结算6再投资7信用利率波动可能会增加企业的借款费用和减少投资项目的产出资产变现能力差可能企业陷入财务危机现金的回笼速度直接影响企业对现金的使用效率企业资金在两国市场上运作，可能由于两个市场结算时间不同给企业的现金流带来影响资金在短期高回报投资项目结束回笼后无法再次获得相同回报的投资机会货币汇率的波动直接影响企业的业绩客户长期拖欠货款造成企业现金被大量挤占流程风险-授权风险…业务流程的负责人没有领导力…员工或者不能尽职或者做本不应由其完成的工作…管理层超越职权限制，滥用权利…由于表现评估制度不合理致使员工对工作缺乏兴趣…公司内部上下以及横向沟通不够造成内部合作不够紧密…1、领导力3、限制4、表现激励5、沟通2、职权流程风险-信息处理/技术风险1.使用权对数据使用的权限设置不够安全,造成机密的泄漏2.整合性由于系统不集成造成公司的数据不具整合性给管理造成困难4.可得到性急需的数据无法得到……3.相关性所收集的数据与管理所需的数据无关流程风险-廉政风险1.管理欺诈管理层在会计报表中作假蒙骗总公司领导和投资者廉政风险2.雇员欺诈雇员私自挪用公司资产造成企业重大损失3.非法行为管理人员或员工擅自以公司名义作出违法行为使企业蒙受损失4.无授权使用员工未经授权，为其他目的使用公司资产决策信息风险-营运风险1、定价风险定价不合理造成对企业业绩的影响公司可能由于没能按期完成合同，造成公司被大量罚款和最终失去某个客户由于缺乏可靠的衡量标准，造成管理层决策较为随意，容易造成决策失误给企业带来损失公司流程中所执行的目标和业绩考核标准与公司总体的目标所要求的不相符合向有关不门递交的报告不完整.不正确.不及时，使企业遭受有关方面的罚款等2、合同执行3、衡量4、符合性5、管理报告决策信息风险-财务1、预算和计划预算和计划不切实际，无法执行。企业财务数据不够完整和准确，无法全面真实地反映企业经营状况。过渡依赖于会计信息对企业经营状况作出判断，忽视其他的因素如客户满意度等由于企业没能按时按期依法纳税，遭到税务机关的罚款福利基金的不足造成员工缺乏工作积极性管理层在缺乏财务数据和相关信息的基础上作出投资评估，往往造成投资的失败2、完整性和准确性3、会计信息4、税收5、福利基金6、投资评估决策信息风险-战略无法及时发现竞争环境所发生的变化，及时调整战略。企业没有良好的业务组合来实现其业绩的最大化管理层没能从战略角度评估某项业务组织衡量标准只关注短期业绩或与业务战略不一致组织架构与变化了的企业战略不相适应资源分配无法维持企业在市场中的有利地位企业没能依照产品的生命周期及时调整自身的战略1、环境监视2、业务组合3、价值评估4、衡量标准5、组织结构6、资源分配7、生命周期风险识别方法风险识别的基本方法：风险清单潜在损失一览表：通过预先设计的表格进行分析识别。保单检视表：将保险公司现行出售的保险单所列出的风险与风险分析调查表的项目综合而成的问卷式表格。资产—暴露分析表：表内的内容分为资产和损失暴露两大类，不仅局限于可保风险，也包含不可保的纯风险。风险识别的辅助方法：财务报表分析法：从损失暴露入手，找出可能对这些损失暴露有影响的风险源。流程图法：根据业务或管理流程来识别风险。事故树法：遵循逻辑学演绎分析原则，从结果分析原因。调查问卷法：通过向被调查人员询问分析可能引起事项的内部和外部因素。小组讨论或访谈法：通过一对一的访谈或小组会议了解分析存在的风险。增量或临界触发器法：将当前交易或事件与预定标准进行比较，提醒管理者对这些事件的关注。过往损失事件数据法：对过往损失或失败事件建立数据库进行统计分析，帮助趋势分析和识别损失或失败的缘由。实地检查法：通过实地调查查明损失或失败可能的原因。风险列表风险分类风险名称风险描述风险的影响涉及的部门涉及的流程控制目标XX公司风险列表各行业的前10种最主要的风险因素（德勤统计数据）次序银行/保险业/证券制造业其他1内部控制的质量内部控制的质量内部控制的质量2管理人员的能力管理人员的能力管理人员的能力3管理人员的正直程度管理人员的正直程度管理人员的正直程度4会计系统的近期变动单位的规模会计系统的近期变动5单位的规模经济环境恶化业务的复杂性6资产的流动性业务的复杂性资产的流动性7重要人员的变动重要人员的变动单位的规模8业务的复杂性会计系统的近期变动经济环境恶化9快速的增长快速的增长重要人员的变动10政府法规管理人员对完成目标的压力快速的增长4、风险评估。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。risk1Risk2。。。。。。综合信息框架风险图谱风险识别风险分析风险初步判断确认风险事件风险定义归类红灯区黄灯区绿灯区可能性重要性风险列表分析结果风险表现分析风险影响分析风险动因分析风险关系分析风险发生可能性评价风险影响程度评价风险评价风险模型重大风险模型。。。。。。。。。风险评估报告——摘自《风险管理与内部控制》金蝶集团翁晓文2008年6月风险评估是在风险识别的基础上对风险进行计量、分析、判断、排序的过程，是风险应对的主要依据。《中央企业全面风险管理指引》要求，“企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估。”定性定量分析损失频率的评估损失频率：某风险单位因为某种损失原因而受损的概率。定性分析：风险管理者根据自己对风险的观念，将风险事件按照发生的可能性大小分级；概率测算：根据统计资料，应用概率统计方法进行计算。损失程度的评估损失程度：每次损失可能的规模，即损失金额大小。理查德·普台堤提出的概念：最大可能损失、最大可信损失、年度预期损失阿兰·弗雷德兰提出的概念：正常损失预期、可能最大损失、最大可预期损失、最大可能损失。戴维·柯米斯等人提出的概念：年度最大可信总损失。风险评估蒙特卡罗法量化风险分析建模概率计算模型修正操作步骤

将需要分析评估的风险进行量化，明确其度量单位，得到风险变量，并收集历史相关数据。

根据对历史数据的分析，借鉴常用建模方法，建立能描述该风险变量在未来变化的概率模型。利用随机数字发生器，将生成的随机数字代入上述概率模型，生成风险变量的概率分布初步结果。通过对生成的概率分布初步结果进行分析，用实验数据验证模型的正确性，并在实践中不断修正和完善模型。利用该模型分析评估风险情况。正态分布是蒙特卡罗风险方法中使用最广泛的一类模型。正态分布模型描述正态分布需要两个特征值：均值和标准差。其密度函数和分布函数的一般形式：密度函数：分布函数：其中

为均值，σ为标准差。

风险指标法123456分析风险成因，从中找出关键成因。将关键成因量化，确定其度量，分析确定导致风险事件发生（或极有可能发生）时该成因的具体数值。以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定数值后形成新的数值，该数值即为关键风险指标。建立风险预警系统，即当关键成因数值达到关键风险指标时，发出风险预警信息。制定出现风险预警信息时应采取的风险控制措施。跟踪监测关键成因数值的变化，一旦出现预警，即实施风险控制措施。压力测试法压力测试是指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法，目的是防止出现重大损失事件。分析极端情景评估可能的损失制定相应措施针对某一风险管理模型或内控流程，假设可能会发生哪些极端情景。极端情景是指在非正常情况下，发生概率很小，而一旦发生，后果十分严重的事情。评估极端情景发生时，该风险管理模型或内控流程是否有效。分析对目标可能造成的损失。制定相应措施，进一步修改和完善风险管理模型或内控流程。应用示例市场交易活动实施压力测试中各个月份的最大结果（税前）1999年度（截至12月31日）单位：百万美元平均最大最小1999年12月1998年12月压力测试计算出的税前损失（186）（150）（231）（302）（112）——《公司层面风险管理案例分析》大通曼哈顿银行案例董曲琰陈宇刘丽洁张闻唐琳琳行业标杆法杰克.韦尔奇：数一数二战略51015202530354045市场份额#3#2#1企业实力三个生存者三个赢利者挣扎者，局部细分市场填补者MS（#1）=4*MS（#3）三四规则港口业能源运输银行业1、現有集裝箱碼頭泊位1、VLCC船隊平均船齡1、資本充足率*2、在建集裝箱碼頭泊位2、船舶總噸位2、自營貸款余額*3、集裝箱吞吐量*3、VLCC船隊平均日租金TEC*3、貸存比4、每延米集裝箱吞吐量4、凈利潤*4、非利息收入增長率5、市場佔有率5、凈資產回報率ROE*5、零售業務收入增長率

6、凈利潤*6、信用成本7、凈資產回報率ROE*VLCC：“VeryLargeCrudeCarrier”超大型油轮7、成本收入比8、不良貸款率*9、撥備覆蓋率招商局集团核心产业竞争力指标体系的示范是将个案企业各项活动与从事该项活动最佳者进行比较，从而提出行动方法，以弥补自身的不足的方法、将外部企业的持久业绩作为自身企业内部发展目标并将外界的最佳做法移植到本企业的经营环节中去的一种方法。是将企业经营各方面状况和环节与竞争对手或行业内外一流的企业进行对照分析的过程；是一种评价自身企业和研究其他组织的手段。情景分析法情况分析未能是一种自上而下“如果-什么”的分析方法，可以计量某事件或事件组合对企业将会产生的影响。主要程序：确定分析的主题、明确分析的范围；建立风险数据库，并将风险按其对主题的影响进行分类。构思风险各种可能的未业图景；设想一些突发事件，看其对未来情景可能的影响；描述到未来各种状态的发展演变途径。在适用情景分析的过程中应明确以下三点：因变量：所关注的目标是什么；自变量：影响该目标的风险因素是什么；变量间的关系：该风险是如何影响目标的实现的，其变动对目标变动方向与程度如何。敏感度分析敏感度分析是指在合理范围内，通过改变输入参数的数值来观察并分析相应输出结果的分析模式。敏感性分析常用来评价潜在事项的正常或日常变影响。因变量：所关注的目标是什么；自变量：影响该目标的风险因素是什么；变量间的关系：该风险是如何影响目标的实现的，其变动对目标变动方向与程度如何。+20+100产品收入建设延期产品成本建设成本产品需求变量-10-10%固有的利润率的变化-50+500%变量的变化风险价值法风险价值法所谓风险价值是指在市场正常波动下，在一定的概率水平下，某一投资组合在未来特定期间内在给定的置信水平下，市场最坏时投资组合最大的可能损失。所谓风险值则是指在既定容忍水平下，市场最坏时投资组合最大的不可预期损失。它是综合市场风险、信用风险、利率风险与外汇风险等财务风险于一体的统一的标尺。——《公司层面风险管理案例分析》大通曼哈顿银行案例董曲琰陈宇刘丽洁张闻唐琳琳风险来源（单位：百万）平均VaR最小VaR最大VaRDec.311999VaRDec.311998VaR利率$20.2$10.7$36.5$20$20.1外汇交易7.002.321.33.002.3股票6.33.410.17.24.6商品3.51.99.003.42.6对冲基金投资4.13.14.63.3NA减：组合分散化-17NANA-13.7-8.9总VaR$24.1$12.3$41.8$23.2$20.71999年大通曼哈顿银行年报关于VaR的处理表风险图谱最高51722232425高41218192021中3613141516低22891011最低11345 7影响0.10.250.50.750.9可能性基本不可能不太可能可能很可能基本会发生评分可能性说明5几乎肯定在未来12个月内，这项风险几乎肯定会出现至少1次4极可能在未来12个月，这项风险极可能出现1次3可能在未来2至10年内，这项风险可能出现1次2低在未来10至100年内，这项风险可能出现至少1次1极低这项风险出现的可能性极低，估计在100年内出现的可能性少于1次评分损失程度说明5灾难令企业失去继续运作的能力(或占税前利润达20%)4重大对于企业在争取完成其策略性计划和目标，造成重大影响(5-10%税前利润)3中等对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍(至5%税前利润)2轻微对于企业在争取完成其策略性计划和目标，只造成轻微影响(至1%税前利润)1近乎没有影响程度十分轻微重大风险模型可研成本目标成本责任成本动态成本结算成本成本测算模型成本数据库经济标分析投标报价明细万科成本管理控制链新项目发展规划设计扩初设计施工图设计施工组织与材料采购竣工结算可研成本目标成本动态成本结算成本分析目标成本形成目标成本执行万科目标成本模式最大成本最可能的成本最小成本最可能成本和工期最大成本和工期最小工期最可能工期最大工期最小成本和工期成本工期成本、时间不确定性模型

超过95%大约50/50小于95%可行性研究设计阶段投标施工索赔结算最大H最可能M最小LMM实际成本时间不确定性可行性研究阶段MLH较少不确定性投标阶段MHL结算阶段MLH确定性成本变化的鱼雷模型5、风险应对固有风险在不考虑内部控制结构与风险管理措施的前提下，企业由于内部因素和客观环境的影响，偏离目标可能性。剩余风险运用了所有的控制和风险管理技术以后而留下来，未被管理的风险，即：未被企业有效控制的经营风险(含战略风险和流程风险等)的风险。固有风险-可控风险=剩余风险风险回报风险与回报成正比？风险风险控制后的回报冒险程度

–不够进取冒险程度–高危冒险程度–理想范围风险偏好与风险容忍度风险偏好为了实现目标，企业在承担风险的种类、大小等方面的基本态度。风险容忍度企业愿意承担的风险限度，也是企业风险偏好的边界。确定风险偏好和风险容忍度企业应根据不同业务特点统一确定风险偏好和风险容忍度，即企业愿意承担哪些风险，明确风险的最低限度和不能超过的最高限度，并据此确定风险的预警线及相应采取的对策。确定风险偏好和风险容忍度，要正确认识和把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规避风险而放弃发展机遇。预测值时间经营目标经营目标可接受区间不可接受不可接受风险的可接受性风险可接受性灾难的关键的严重的次重要的可忽略的经常不可接受不可接受不可接受不希望有的不希望有的很可能不可接受不可接受不希望有的不希望有的可接受偶然的不可接受不希望有的不希望有的可接受可接受极小不希望有的不希望有的可接受可接受可忽略的不可能不希望有的可接受可接受可忽略的可忽略的不可接受的无法忍受的，必须消除或转移的；不希望有的必须采取合理的行动，详细的调查和判断，必要的监测；可接受的假如风险可以管理的话，可以接受；可以忽略的不需要进一步的考虑。风险应对策略可能性高减少避免低接受转移低高影响风险应对策略，指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度，选择风险承担、风险避免、风险转移、风险减少等适合的风险应对措施的总体策略。风险应对主要策略避免禁止交易减少或限制交易量离开市场转移套期保险策略性联盟其他分担风险的安排减少投资广泛保护的安排订价反映风险程度接受自我保险预留储备增加监督实际的风险应对策略举例减少质量控制，管理与标准财务控制标准操作程序检查新员工条件研发与技术发展应急计划结构培训与其他程序监督避免决定退出某一地区当检查发现客户无信用时，决定不再与该客户进行交易决定不出售明知是一种不道德的产品接受成本效益原则，如针对风险制定控制与其他回应决定在一个面临绑架高风险的国家运营——你无法控制接受超过£1,000,000的保险费政策为提高销售数量，接受高信用风险客户转移采取保险政策定期维护外包给设备管理公司与供应商签订的合同应明确不能满足约定条件时，可以获得财务补偿与其他公司建立合资公司，与其共同开发商业机会6、内部控制设置企业管理与业务流程分析风险列表与图谱企业内部控制操作指引内部控制设置控制措施设置控制点设置预警条件设置内部控制设置原则：相互牵制原则协调配合原则岗位匹配原则内部控制设计方法：成本效益原则整体结构原则内部控制点设置应建立在尽可能接近行动发生之处控制活动的类型，一般包括人工控制和自动控制、预防性控制和发现性控制等。针对重要风险可综合运用多重控制、多种控制程序（技巧）1.批准2.配比和比较3.序号审核和记录4.复核计算5.合计控制6.验证7.分析性程序8.实际存在性验证9.函证10.控制科目与明细帐的对帐11.阶段性备抵科目的确定12.接触限制授权审批会计控制财产保护预算控制运营分析绩效考评职务分离内部控制措施设置营

运

流

程管

理

支

持

流

程13.绩效评估管理10.无形资产管理11.环境、员工健康和安全管理12.公共关系管理9.财务管理 8.人力资源管理2.制定愿景和战略1.了解市场和客户3.设计产品和服务4.市场营销5.生产和配送产品及提供服务6.服务性机构提供服务7.向客户开票收款及提供服务风险预警设置企业在设置控制点时应当根据风险重要程度设置相应的风险预警条件，当预警条件满足时及时发出风险预警，提示相关人员进行风险评估、采取应对措施。通常需要建立风险分析与预警的领域：筹资领域投资领域预算执行经济合同客户信用将内部控制嵌入流程目前将来基本业务要求/过去的惯例业务风险识别业务风险评估业务风险应对业务风险控制制定业务流程监控和评估管理改进基本业务要求/

过去的惯例制定业务流程业务流程需要以客户为导向，提高企业的核心竞争优势，确保主要业务流程协调一致:达到更高的效率(时间上)提供更好的质量(质量上)增强成本竞争力(成本上)防范企业风险信息技术控制信息技术风险与控制基础设施控制（ITGC）应用系统控制（ITAC）安全管理应用系统/变更数据管理与灾难恢复数据中心的操作及问题管理COSOCOSO将ITGC定义为：“有助于确保计算机信息系统能持续正确操作的政策及程序。这些政策及程序包括数据中心的操作控制、系统软件的获取和维护、存取的安全，以及应用系统的开发和维护。基础设施控制能够为程序化应用系统的控制提供支援。用来描述基础设施控制的其它称谓有一般计算机控制和信息系统控制。”COSO将ITAC定义为：“应用软件中的自动化控制，以及相关的人工程序，旨在协助确保信息流程的完整性和准确性。有关的范例包括：数据输入的计算机化编辑检查、数字顺序检查，以及就错误报告中所列项目而需进行的人工程序。”业务流程中的控制数据验证错误检查错误报告其它控制——《萨班斯奥克斯利法案指南-信息技术风险及控制常见问题解答》内部控制的局限性高层管理者自我违规操作行使控制职能的管理人员滥用职权、蓄意营私舞弊时，设计良好的内部控制也会失效。控制执行人员串通舞弊不相容职务的人员相互串通作弊时，与此相关的内部控制就会失失效。内控局限性控制执行人员责任性不强行使控制职能的人员素质不适应岗位要求，内部控制功能正常发挥将会受到影响。设置内控的成本效益考虑内部控制也是有成本的，在设计和实施内部控制时，在成本收益比不合算未设置或仅设置了简化的控制。超出设计范围的异常活动。内部控制一般都是针对经常而重复发生的业务而设置的，对临时或突发业务可能失效。内部控制缺陷内部控制缺陷内部控制设计缺陷内部控制运行缺陷设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。除重要缺陷和重大缺陷以外的其他缺陷。一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注。一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。重大缺陷（实质性漏洞）重要缺陷一般缺陷7、监督控制内部控制评价内部控制鉴证风险预警绩效评估全面风险管理信息系统风险战略内部控制风险理财组织职能信息框架风险评估监控改进实施风险战略+基于信息系统建立风险预警体系定期评估相关责任主体与流程绩效内控评价与鉴证持续改进风险管理体系和基本流程以及各种相关制度。内部控制自我评价报告风险管理管理报告内部控制鉴证报告实施监控持续改进报告内部控制评价方法个别访谈法。是指企业根据检查评价需要，对被查单位员工进行单独访谈，以获取有关信息。调查问卷法。是指企业设置问卷调查表，分别对不同层次的员工进行问卷调查，根据调查结果对相关项目作出评价。比较分析法。是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。标杆法。是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。穿行测试法。是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。抽样法。是指企业针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。实地查验法。是指企业对财产进行盘点、清查，以及对存货出、入库等控制环节进行现场查验。重新执行法。是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。专题讨论会法。是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。风险预警日常的经营分析、财务分析都能在一定程度上起来风险预警的作用，但主要依赖事后信息，时效性不强。将风险预警纳入日常管理与业务流程中，可以起到事中仍至事前预警的作用。信息技术的发展为风险预警的广泛应用提供了现实的可能。设定目标风险识别风险评估确定风险应对策略设定预警条件（临界值）运行监控风险处理评估改进内部审计企业内部的一个独立机构。内部审计的目的?通过