第六章 风险管理框架下的内部控制 8-"D.b4
1.内部控制理论的发展阶段 Al1}Ir
(1)内部牵制阶段 AM0CIRX$
(2)内部控制制度阶段 9RPZj>ezjA
(3)内部控制结构阶段 2Krh&
(4)内部控制整合框架阶段 xj[v$HP
(5)全面风险管理阶段 X`20=x
2.COSO:Internal Control-IntegratedFramework三项目标 FnPn#Cv>*
(1)取得经营的有效性和效率 w `nm}4M
(2)确保财务报告的可靠性 d{Cg3v` Rd
(3)遵循适用的法律法规 ~p`[z~|
3.COSO:Internal Control-IntegratedFramework五项要素 4YSVy2x
(1)控制环境 Alk+MwjR
(2)风险评估 Ay6]vU
(3)控制活动 <{T5}"e
(4)信息与沟通 4:=VHd
(5)监督 %i) 0sET
4.COSO:Enterprise Risk Management-IntegratedFramework的三个维度 fuU
3?SG
(1)企业的目标 t3b M4+n
(2)全面风险管理要素 fcTg/EXn
(3)企业的各个层级 w\RYxu?
5.COSO:ERM企业的目标内容 #p<(2wN
(1)战略目标 >a;LBQ0
(2)经营目标 T#\=v(_NR
(3)报告目标 D}`MY
\H
(4)合规目标 ZPG~@lU
6.COSO:ERM全面风险管理要素内容 t$&'mJ_-w
(1)内部环境 }9V0Cu1
(2)目标设定 \fsNI T/
(3)事项识别 PLJDRp 2o
(4)风险评估 Ss3~X90!*B
(5)风险应对 p}Um+I=1
(6)控制活动 lA`qB1x
(7)信息与沟通 ?_B'#,tI
(8)监督 8,IQ6Or|-2
7.COSO:ERM企业各个层级内容 )3WUyD*UZN
(1)主体层次 # w@FBFr@
(2)各分部
KF6N P
(3)各业务单元 ]K'OH&
(4)下属各子公司 t`Rbn{
8.COSO:ERM三个维度之间的关系 TBIr^n>Z<k
(1)风险管理的八个要素都是为企业的四个目标服务 !sp`oM
(2)企业各个层级都要坚持同样的四个目标 3+\Zom4
(3)每个层次都必须从以上八个方面进行风险管理 $Xh5N3
9.COSO Internal Control and ERM两份文件异同 XmP,3KG2{S
与COSO内部控制整合框架相比,ERM整合框架具有下列特点: `oTV)J'~
(1)内部控制涵盖在企业风险管理活动之中,是其不可分割的组成部分 au]W*;x
(2)拓展了所需实现目标的内容(增加了更高层次的战略目标、将财务报告扩展至所有报告编制、引入了风险偏好和风险容忍度概念) -Q/wW4dE=
(3)引入风险组合观 QUm[7<"
(4)更加强调风险评估在风险管理中的基础地位,并建议设置首席风险官 S5:&_&R8[
(5)扩展了控制环境内涵,强调风险管理概念和董事会的独立性 =w3 cF)&
(6)扩展了信息与沟通要素,不仅要关注历史信息,还要关注现在和未来可能影响目标实现的各种事项的影响 aCJ-T8?'
10.内部控制与风险管理的关系 9 ^8_^F
(1)观点1:内部控制包含风险管理 ->*~e~T
(2)观点2:风险管理包含内部控制 9{}"tk5$h
(3)观点3:内部控制与风险管理是一对既互相联系又互相差别的概念。 bXeJk]#y
11.内部控制与风险管理的异同(第3种观点) 9 I:3
(1)两者均是合理保证目标实现的过程(相同点) )%b 5uZ
(2)风险管理更偏向这一过程的前端,更偏向对影响目标实现的因素的分析、评估与应对(不同点) uzI-1@`
(3)相对于内部控制,风险管理是一个更为独立的过程。内部控制更加重视实施,嵌入企业各业务流程的具体业务活动中(不同点) 6HPuCP
12.一个规范,三个指引 XSCcumde!
(1)《企业内部控制基本规范》(核心统领) jZQ{XMF
(2)《企业内部控制应用指引》(应用指引) f1S%p
(3)《企业内部控制评价指引》(事后鉴定) .mNw^>:cq
(4)《企业内部控制审计指引》(事后鉴定) -Mf-8zw8G
13.《企业内部控制基本规范》的五个目标r =4sx(<
(1)合理保证企业经营管理合法合规 E`.:V<KW/
(2)资产安全(中国特色新增目标) (5A8# 7a
(3)合理保证财务报告及相关信息真实完整 K,6{c^qf
(4)提高经营效率和效果 xSm~V3bc
(5)促进企业实现发展战略 dq%C~j{v
14.《企业内部控制基本规范》的五个要素 (w#)|9Cxm
(1)内部环境 ;n.h !wmJ}
(2)风险评估 kT]jJbb"
(3)控制活动 4\ |/S@.
(4)信息与沟通 DZ1.Bm0
(5)内部监督 1JJ1!& >
15.《企业内部控制应用指引》分类 R!
n7g8I%
(1)内部环境类指引:组织结构、发展战略、人力资源、社会责任、企业文化 Bt#'6::
(2)控制活动类指引:资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告 VT-%o7%N
(3)控制手段类指引:全面预算、合同管理、内部信息传递、信息系统 PJ=| g7I
16.内部控制定义解读 *&I
_fAh]
(1)内部控制是一个过程,是实现目的的手段,而非目的本身 D+jE{v'
(2)内部控制受人的影响,涉及企业各层次的人员 fq4uiFi<
(3)内部控制只能提供合理的保证,而非绝对的保证 ]rSg,Q>E
(4)内部控制是为了实现五类既相互独立又相互联系的目标 XZS%az1%
17.内部控制应当遵循的原则 (sI`FW_
(1)全面性原则 itE/QB
(2)重要性原则 K}MlC}oIt
(3)制衡性原则 x}O,xquY
(4)适应性原则 7SN61)[m
(5)成本效益原则 [c -|`d^
18.内部控制实施体系 BR-wL3x
b
(1)以法制为推动 L7n G5i
(2)以企业实施为主体 ?`xm_udc
(3)以政府监管和社会评价为保障 ]jPP]Z:y
19.内部控制五要素之内部环境 q!+:zZu
内部环境是企业实施内部控制的基础。 ;y{(#X#
(1)公司治理结构 ;q5|If
(2)内部机构设置与职责分工 6xAxLZz<
(3)内部审计 6tjV^sjs
(4)人力资源政策 O,-
NzGs
(5)企业文化 l^KCsea
#
(6)法制环境 {
;th~[
20.内部控制五要素之风险评估 ]d~{8h!G
(1)确定风险承受度 4;>HBCM4-
(2)识别风险(内部风险和外部风险) S>p0{:zM
(3)风险分析 uix/O*^
(4)风险应对(风险承担、风险规避、风险转移、风险转换) rC]k'p2x
21.内部控制五要素之控制活动 X&| R\v=}
(1)不相容职务分离控制 OHW|?hI=[
(2)授权审批控制 xX9snSGz
(3)会计系统控制 n(|n=P:o
(4)财产保护控制 )m[<lJbw
(5)预算控制 FV3[7w=D\
(6)运营分析控制 #0Uz1
[
(7)绩效考评控制 p@Cas
(企业应当建立重大风险预警机制和突发事件应急处理机制) ,%BDBZ
22.“三重一大” _~D#?cFY6
(1)重大决策 :bi(mX7t
(2)重大事项 6|{&7=1t
(3)重要人事任免 |:Maa6(W
(4)大额资金支付 gHkHAOe/
23.《企业内部控制评价指引》要点 ]zCD1*)
(1)内部控制自我评价是由企业董事会和管理层实施的 ?FUK_]
(2)进行评价的具体内容为内部控制内容中的五个要素以及《基本规范》及《应用指引》中的内容 ywkRH
(3)在确定具体内容后,企业应制定内部控制评价程序,对内部控制有效性进行全面评价,包括:财务报告内部控制有效性和非财务报告内部控制有效性 S
v0?_3C
(4)同时形成工作底稿,详细记录企业执行评价工作的内容 '\+"3!$
(5)企业在评价工作中明确内部控制缺陷的认定准则 %3|/t-US
(6)完成评价后,企业应当准备一份内部控制自我评价报告,在其年报中进行披露 .p*?g;
(7)企业董事会应当对内部控制评价报告的真实性负责 ~'0ZW<X.
24.内部控制评价应当遵循的原则 61_-G#W
(1)全面性原则 h:U#F )
(2)重要性原则 EaHJl
(3)客观性原则 c`UFNNm=
25.内部控制评价的程序 $duT'G, -
(1)制定评价控制方案 hQ!59
(2)组织评价工作组 lUA-ug! ^
(3)实施评价工作与测试 _d!o,=}
(4)认定控制缺陷 `W" ;4A
(5)汇总评价结果 ;"ESN)*|i
(6)编报评价报告 }@ktAt
26.实施评价工作与测试的内容要点 ggitUQ+t;G
(1)了解公司层面基本情况 "vQ%`
Q
(2)了解各业务层面的主要流程及风险(风险控制矩阵文档、流程图文档、审批权限表文档) q,%Fvcmx+e
(3)确定检查评价范围和重点 e=s85!
(4)开展现场检查测试(个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法) %;R&cSZ