第三章企业内部控制环境与风险评估

控制环境风险评价控制活动信息与沟通内部监视内部控制要素篇1南开大学程新生等第一节企业内部控制环境内部控制环境是对内部控制建立和运转有影响的一切事物的总和。内部环境是实施内部控制的根底。第三章企业内部控制环境与风险评价2南开大学程新生等美国COSO〔1994〕关于内部控制环境内容界定诚信原那么和品德价值执行与技艺董事会管理哲学与运营风格组织构造责任分配与授权人力资源政策与实施3南开大学程新生等

我国内部控制制度框架体系

4南开大学程新生等内部控制环境组织架构开展战略人力资源社会责任企业文化外部环境技术特点企业的年龄和经理人任期企业规模舞弊风险5南开大学程新生等风险评价首先应找到“风险动因〞，而不能简单地将业务部门或行政区域作为风险评价的对象，对“风险动因〞的详细元素进展逐个评价后，风险既可以进展横向汇总对机构风险进展排序，也可以对不同业务进展纵向汇总对业务风险进展排序。对业务风险的评价和排序结果是进展专项检查的重要根据，为提高业务程度提供了能够。第二节风险评价与应对6南开大学程新生等一风险评价与风险应对概述中国<企业内部控制根本规范>指出，企业应对采用定性与定量相结合的方法，按照风险发生的能够性及其影响程度等，对识别的风险进展分析和排序，确定关注重点和优先控制的风险。企业进展风险分析，该当充分吸收专业人员，组成风险分析团队，按照严厉规范的程序开展任务，确保风险分析结果的准确性。企业应当根据风险分析的结果，结合风险接受度，权衡风险与收益，确定风险应对战略。企业该当合理分析，准确掌握高级管理人员，关键岗位员工的风险偏好，采取适当的控制措施，防止因个人风险偏好给企运营带来艰苦损失。7南开大学程新生等企业应对风险的战略风险躲避是企业对超出风险接受度的风险，经过放弃或者停顿与该风险相关的业务活动以防止和减轻损失的战略。风险降低是企业在权衡本钱效益之后，预备采取适当的控制措施降低风险或减轻损失，将风险控制在风险接受度之内的战略。风险分担是企业预备借助他人力量，采取业务分包，购买保险等方式和适当的措施，将风险控制在风险接受度之内的战略。风险接受是企业对风险接受度之内的内险，在权衡本钱效益之后，不采取控制措施降低风险或减轻损失的战略。8南开大学程新生等二风险接受度的判别确定企业的风险偏好程度，即采用定性和定量的方法确定企业为了实现即定目的而情愿接受的风险程度。明确企业的风险容忍度，即企业对目的实现差别的可接受才干，在目的实现过程中，应结合相关目的的重要性以及企业的风险偏好程度来确定。对待单位风险要思索企业总体的风险组合。9南开大学程新生等三风险识别风险识别是指对企业所面的以及潜在的风险加以判别，归类和鉴定风险性质的过程，即确定企业正在或将要面临哪些风险。风险评价的根底无单一方法，是一个知识管理过程。重点是搜集风险信息，确认风险来源以及风险的性质。10南开大学程新生等风险识别的方法〔1〕风险清单分析法该方法是美国风险和保险管理学会开发制定了风险清单，列示了已识别的、常见的企业风险。例如缺点、员工忽略、雇员的欺诈行为、外部欺诈、专利权的失效、存货短缺、管理失误等。11南开大学程新生等在20世纪90年代早期，思科公司的股价是其每股销售收入的6倍，2000年第1季度，公司股价是公司未来销售收入的25倍，而公司的值〔资本市场上一种度量风险的〕高达1.13，公司的风险较高，但为股东发明了价值。

12南开大学程新生等表思科公司关注的主要风险1．增长率2．毛利3．并购4．行业合并5．对新产品开发的依赖6．进入新的开展中的市场7．国际运营风险8．战略联盟9．资产组合投资10．竞争性风险要素a．价钱b．业绩c．提供方案与支持d．遵守准那么e．添加增值功能〔平安和可靠〕的才干11．员工13．产品的现成性14．自然灾祸15．季度数据的变动16．组织变卦17．效力提供商的销售18．股价的动摇性19．外汇汇率风险20．侵权风险13南开大学程新生等〔2〕现场调查法现场调查法普通分为三步，即调查前的预备任务、现场调查以及构成调查报告。〔见教材表3-1〕14南开大学程新生等〔3〕财务报表分析法趋势分析法比率分析法要素分析法模型分析法

15南开大学程新生等〔4〕组织构造图分析法根据需求画出企业或部门的整体构造图，寻觅部门之间能否存在反复性、依赖性或集中性；也可在组织构造图上标注该部门的原料供应量、收入、利润等，管理人员可以清楚的看到各部门的责任和风险，也可以自创战略地图对风险进展描画〔5〕流程图法配有解释表，用来详细阐明各流程阶段会发生的风险种类，可以直观的反响易发生风险的流程以及它对其他流程的影响16南开大学程新生等〔6〕因果图法因果图法是一种分析风险事故与导致风险事故要素之间因果关系的有效工具。这一方法的关键是绘制因果图。图中主骨代表被分析的风险事件，大骨代表导致风险事件的主要缘由，中骨表示导致大骨的主要缘由，依此类推，将导致风险事件的要素尽能够的在图中表示17南开大学程新生等〔7〕事故树法由某一风险事件出发，运用逻辑推理的方法推导出其引发风险的缘由。从顶上事件〔风险事件〕－中间事件－根身手件进展事故树的构造图分析，从而确定风险源。18南开大学程新生等火灾镀膜着火火罩没有灭火火灾传送带过慢报警器失灵温度过高镀层过度速度设置错误报警器失灵没有翻开开关机器缺点电器缺点没有任务出现缺点没有翻开开关风扇没有任务报警器失灵风扇出现缺点机械缺点电器缺点资料损坏19南开大学程新生等〔8〕管理评分法〔9〕专家意见法〔10〕公司治理风险识别20南开大学程新生等四风险评价风险评价是指在风险识别的根底上对风险进展定量和定性的综合分析，并确定风险影响的过程。评价风险发生的概率。评价风险呵斥的影响程度。分析采取何种措施应对该风险。21南开大学程新生等〔一〕风险评价程序首先，在过去风险资料分析的根底上，运用概率论和数理统计的方法对某一特定或者几个风险事件发生的损失频率和损失程度做出定量估计。其次，评价风险，即在风险识别和风险丈量的根底上，把损失概率、损失的程度、风险评价规范以及其他要素综合起来思索，分析风险对企业的影响。应从固有风险和剩余风险两方面进展分析。22南开大学程新生等〔二〕风险评价内容重要性原那么时间范围一致原那么可比性原那么〔一样目的来确定影响〕同类合并原那么相关性原那么23南开大学程新生等3M公司建立风险投资管理机制，为风险投资制定的运营方案包括对预期收益的估计、投资构造平衡、制定资金预算，为确保开发技术的胜利，只需在投资工程的收益大大超越损益平衡点时，才将开发的技术投入运用；由创新者、管理人员、财会人员共同对新产品、新技术、新工艺进展技术性、商业性评价，一旦证明创新概念具有经济价值，那么进入赢利性分析，包括预期的投资收益率，与之相关的、各自不同的风险，到达成熟期所需的时间等24南开大学程新生等〔三〕风险分析方法压力测试风险坐标图法蒙特卡罗方法25南开大学程新生等〔四〕风险/内部控制自我评价风险自我评价或内部控制自我评价〔以下简称自我评价〕是一种交融组织行为学、内部控制、风险管理、全面质量管理、绩效继续改良等多实际的方法自我评价内容包括四个方面：确认风险；评价减少或管理风险的控制过程；开发用以将风险减少到可接受程度的行动方案；确定实现业务目的的能够性26南开大学程新生等内部控制的逻辑起点该当是“修己安人〞，“修己〞就是自我管理，自我管理应是内部控制的总纲，内部控制“无为而治〞是最高境界国际内部审计师协会〔IIA〕于2002年对北美4500位来自各类组织的内部审计担任人进展调查，其结果显示内部控制自我评价(CSA)被列为“当前内审最正确实务〞的第二位，在“未来将越来越重要的实务〞中排名第一27南开大学程新生等〔一〕内部控制自我评价的优点实施自我评价程序，经过对自我评价，可以提高风险管理有效性。将以前“发现和评价〞为主要内容的活动向积极防备和提供处理方案的活动转变，从事后发现问题到事前发现、防备风险转变为，从单纯强调控制转向积极关注、利用各种方法改善企业绩效，内部控制自我评价提高了内部控制效率。内部控制自我评价强调员工的参与性。28南开大学程新生等〔二〕风险/内部控制自我评价的内容国际内部审计师协会〔IIA〕以为，自我评价内容包括四个方面：确认风险；评价减少或管理风险的控制过程；开发用以将风险减少到可接受程度的行动方案；确定实现业务目的的能够性。并采用以下四种不同的方式展开：29南开大学程新生等一是以目的为根底。首先确定完成既定目的的现有控制方式，再确认剩余风险〔采用控制措施后依然存在的风险〕。评价现有的控制能否有效运作，剩余风险能否维持在可接受的程度二是以风险为根底。先列举出影响目的实现的各种风险，然后确定可以管理关键风险的适当控制，即典型的“目的－风险－控制〞方式。三是以控制为根底。在RSA之前已确认关键风险和控制，在RSA过程中把关注点放在评价内部控制运转的有效性30南开大学程新生等四是以过程为根底。识别采购、产品开发、销售等过程中的优、缺陷，努力于评价、改善并简化整个过程，这一方式对流程再造、全面质量管理、继续改良等管理活动提供支持。五是除了IIA以上四种方式之外，以部门为根底的自我评价，即关注某个部门在整个组织中的位置，确认协助部门有效发扬功能以及妨碍部门目的实现的要素。31南开大学程新生等普通采用两种方法：调查询卷法、研讨会，后者是自我评价的典型方法。研讨会通常继续2－4小时，由管理人员作为会议的引导者与协调者，引导与会人员就某一议题充分讨论交流，在需求进展评价时利用电子记录与投票系统搜集信息，直接记录与会者的意见，及时获得反映与会者对处理议案的偏好、优先顺序的量化结果。32南开大学程新生等宝钢国际公司，员工参与内部控制建立，表达了员工价值，将推进CSA的过程视为一个人力资源培训过程自我评价报告包括三个部分：〔1〕评价的范围和评价过程的特殊性；〔2〕内部各个环节的风险程度，风险最高的是红色，较高的是黄色，其次是深绿色，再次是浅蓝色，风险最低的是白色；对红色和黄色的高风险环节进展详细描画，提出改良方案和完成时间、责任人；〔3〕制定减少或管理风险的行动方案。33南开大学程新生等五.风险应对风险应对是针对风险评价的结果根据、企业的风险容量和风险容忍度，选择适当的风险管理战略风险管理战略通常分为以下四类：逃避风险、损失控制、分别风险单位、非保险方式的转移风险〔包括转移风险源、签署免除责任协议、利用合同中的转移责任条款〕、保险等，逃避意味着所确定的应对方案都不能把风险的能够性和影响降低到一个可接受的程度，降低和分担意味着要把剩余风险降低到与期望的风险容忍度相协调的程度，而接受那么意味着固有风险曾经