第六章
风险管理框架下的内部控制
E NjD~ S 1.内部控制理论的发展阶段
PaJwM%s)L (1)内部牵制阶段
- Sgp,"a (2)内部控制制度阶段
X+@,vCC (3)内部控制结构阶段
U8z"{ (4)内部控制整合框架阶段
83*k.]S` (5)全面风险管理阶段
0
E1)&f 2.COSO:Internal Control-IntegratedFramework三项目标
?\r3
_ (1)取得经营的有效性和效率
r!iuwE@ (2)确保
财务报告的可靠性
_S1uJ~j;E (3)遵循适用的
法律法规 nJg2O@mRJ 3.COSO:Internal Control-IntegratedFramework五项要素
#ySx$WT; (1)控制环境
axOy~%%
c (2)风险评估
zxdO3I (3)控制活动
ZW%`G@d"H- (4)信息与沟通
h_!"CF<n (5)监督
S}O\<6& 4.COSO:Enterprise Risk Management-IntegratedFramework的三个维度
0MPDD%TP
(1)企业的目标
)>p6h]]a (2)全面风险管理要素
(B#|3o (3)企业的各个层级
zt0 zKXw 5.COSO:ERM企业的目标内容
k0?6.[ku (1)战略目标
&nProzC (2)经营目标
iKY&gnu" (3)报告目标
s&</zU' (4)合规目标
`_i-BdW 6.COSO:ERM全面风险管理要素内容
8ipLq`) (1)内部环境
`_)dEu (2)目标设定
;v\n[ (3)事项识别
(J*0/7
eX (4)风险评估
)`-]nMc (5)风险应对
rOT8!" (6)控制活动
v g]&T (7)信息与沟通
+dv@N3GV (8)监督
iN*@
f8gf 7.COSO:ERM企业各个层级内容
r kl7p? (1)主体层次
Efl+`6`J (2)各分部
FoQk (3)各业务单元
vxx3^;4p (4)下属各子公司
C-Z,L# 8.COSO:ERM三个维度之间的关系
B"v=Fr[ (1)风险管理的八个要素都是为企业的四个目标服务
i|mA/
e3b (2)企业各个层级都要坚持同样的四个目标
u'p J9>sC (3)每个层次都必须从以上八个方面进行风险管理
"Wp<^s sMo 9.COSO Internal Control and ERM两份文件异同
JhcS 与COSO内部控制整合框架相比,ERM整合框架具有下列特点:
rge/jE,^~Z (1)内部控制涵盖在企业风险管理活动之中,是其不可分割的组成部分
./'n2$^3 (2)拓展了所需实现目标的内容(增加了更高层次的战略目标、将财务报告扩展至所有报告编制、引入了风险偏好和风险容忍度概念)
}^q#0`e(y (3)引入风险组合观
!:5n (4)更加强调风险评估在风险管理中的基础地位,并建议设置首席风险官
4KnDXQ% (5)扩展了控制环境内涵,强调风险管理概念和董事会的独立性
r "R\ (6)扩展了信息与沟通要素,不仅要关注历史信息,还要关注现在和未来可能影响目标实现的各种事项的影响
=qR
VKz 10.内部控制与风险管理的关系
W%ud nJ (1)观点1:内部控制包含风险管理
U|nk86r (2)观点2:风险管理包含内部控制
4Q5v8k= (3)观点3:内部控制与风险管理是一对既互相联系又互相差别的概念。
-E7\.K3 11.内部控制与风险管理的异同(第3种观点)
~7
TzUb (1)两者均是合理保证目标实现的过程(相同点)
UsTPNQj (2)风险管理更偏向这一过程的前端,更偏向对影响目标实现的因素的分析、评估与应对(不同点)
xo$ZPnf(zv (3)相对于内部控制,风险管理是一个更为独立的过程。内部控制更加重视实施,嵌入企业各业务流程的具体业务活动中(不同点)
jo~Pr 12.一个规范,三个指引
d}Om?kn (1)《企业内部控制基本规范》(核心统领)
C0RwW??t (2)《企业内部控制应用指引》(应用指引)
:-)[B^0 (3)《企业内部控制评价指引》(事后鉴定)
$/H'Dt6x (4)《企业内部控制
审计指引》(事后鉴定)
J"y@n~*0 13.《企业内部控制基本规范》的五个目标r
F@BNSs N= (1)合理保证企业经营管理合法合规
jYkx]J%S (2)资产安全(中国特色新增目标)
\<} nn?~n (3)合理保证财务报告及相关信息真实完整
~CA+'e%~~ (4)提高经营效率和效果
_,^sI% (5)促进企业实现发展战略
\w3wh* 14.《企业内部控制基本规范》的五个要素
i?>"}h (1)内部环境
&ly[mBP~ (2)风险评估
8~i@7~
J (3)控制活动
FyEl@ }W (4)信息与沟通
l-
l}xBf (5)内部监督
]^y}}y 15.《企业内部控制应用指引》分类
LjH];=R (1)内部环境类指引:
组织结构、发展战略、人力资源、社会责任、企业文化
d,77L (2)控制活动类指引:资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告
P*SXfb"HC (3)控制手段类指引:全面预算、合同管理、内部信息传递、
信息系统 A SSoKrFL 16.内部控制定义解读
/ @&Sqv4? (1)内部控制是一个过程,是实现目的的手段,而非目的本身
MD7
[}cB (2)内部控制受人的影响,涉及企业各层次的人员
}/VHeHd (3)内部控制只能提供合理的保证,而非绝对的保证
e([&Nr8h
(4)内部控制是为了实现五类既相互独立又相互联系的目标
g:Dg?_o 17.内部控制应当遵循的原则
9\8
""- (1)全面性原则
[3.rG!Na (2)重要性原则
I
I91Ia (3)制衡性原则
B:4u2/!5 (4)适应性原则
HZT;7
< (5)成本效益原则
_KFKx3<m! 18.内部控制实施体系
p,Z6/e[SI (1)以法制为推动
K +~ (2)以企业实施为主体
aqB^ %e (3)以政府监管和社会评价为保障
i"'k|TGW^ 19.内部控制五要素之内部环境
3{ci]h`:y8 内部环境是企业实施内部控制的基础。
ciTQH (G (1)公司治理结构
+FiV!nRkZ (2)内部机构设置与职责分工
&l Q j?] (3)内部审计
Ur`v*LT}~ (4)人力资源政策
;Gi w7a) (5)企业文化
-4Xr5j%o (6)法制环境
9hv\%_>o 20.内部控制五要素之风险评估
rnr7t \a~] (1)确定风险承受度
=4zsAa (2)识别风险(内部风险和外部风险)
\o^+'4hq<5 (3)风险分析
s+[=nau('w (4)风险应对(风险承担、风险规避、风险转移、风险转换)
U2aE:$oeYi 21.内部控制五要素之控制活动
UW+I 8\^ (1)不相容职务分离控制
;[xDc>&("Q (2)授权审批控制
?d%_o@ (3)
会计系统控制
0XYxMN) (4)财产保护控制
|0&S>%= (5)预算控制
4Mprc~ 7vr (6)运营分析控制
{b?)|@)is (7)绩效考评控制
' 9,}N:p (企业应当建立重大风险预警机制和突发事件应急处理机制)
"%Jx,L\f{ 22.“三重一大”
/eI38>v (1)重大决策
TX>;2S3q (2)重大事项
F4}Zl (3)重要人事任免
ri:fo'4TO (4)大额资金支付
=3"Nn4Z 23.《企业内部控制评价指引》要点
rN}^^9 (1)内部控制自我评价是由企业董事会和管理层实施的
6?_Uow} (2)进行评价的具体内容为内部控制内容中的五个要素以及《基本规范》及《应用指引》中的内容
(~P&$$qfD (3)在确定具体内容后,企业应制定内部控制评价程序,对内部控制有效性进行全面评价,包括:财务报告内部控制有效性和非财务报告内部控制有效性
l- X|3 , (4)同时形成工作底稿,详细记录企业执行评价工作的内容
'1w<<?vX? (5)企业在评价工作中明确内部控制缺陷的认定准则
!O5UE (6)完成评价后,企业应当准备一份内部控制自我评价报告,在其年报中进行披露
u7/M>YJ`T (7)企业董事会应当对内部控制评价报告的真实性负责
65
AOFH 24.内部控制评价应当遵循的原则
MT9a 1 > (1)全面性原则
"-hgeQX (2)重要性原则
}$7Hf+G (3)客观性原则
k@Hu0x 25.内部控制评价的程序
A$5T3j' (1)制定评价控制方案
sK\?i3<? (2)组织评价工作组
M6e"4Gh (3)实施评价工作与测试
'g^]ZTxb (4)认定控制缺陷
?FA:K0H?zl (5)汇总评价结果
$Ec;w
~e (6)编报评价报告
q%JV"9, 26.实施评价工作与测试的内容要点
nhIITfJJ (1)了解公司层面基本情况
,^+3AT (2)了解各业务层面的主要流程及风险(风险控制矩阵文档、流程图文档、审批权限表文档)
HsO=
%bb (3)确定检查评价范围和重点
F;zmq%rK (4)开展现场检查测试(个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法)
9@h>_1RJz 27.按照内部控制缺陷的本质分类
6G(
k{S (1)设计缺陷
TWn7&,N (2)运行缺陷
S"Efp/- 28.按照内部控制严重程度分类
'C[gcp (1)重大缺陷(也称实质性漏洞)
6@T_1 (2)重要缺陷
R ~cc]kp0 (3)一般缺陷
p*^O8o 29.内部控制的认定
l/TH"z( S`J_}> )N}xKw | E J 9A
4B 30.内部控制的整改
4
Hu+ljdjB (1)对于重大缺陷和重要缺陷的整改方案,应向董事会(审计委员会)、监事会或经理层报告并审定
^wX_@?aKtt (2)如果出现不适合向经理层报告的情形,内部控制评价组应当直接向董事会(审计委员会)、监事会报告
p0@iGyd (3)重要缺陷并不影响企业内部控制的整体有效性,但是应当引起董事会和管理层的重视
%TLAn[LW( (4)对于一般缺陷,可以与企业管理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告
0]" j
, 31.内部控制评价报告的披露内容
a#kZY7s (1)Responsibilities董事会对内部控制报告真实性的声明,实质就是董事会全体成员对内部控制有效性负责
v.\&gn