,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,U:Admin975SCI ADMIN ONLYGraphicsGraphics Admin01.NON-SCI WORK32.Design ServicesInternal audit(Tracy Barnard)Aug 05Final internal audit template 14 Sept 05 main body.ppt,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,U:Admin975SCI ADMIN ONLYGraphicsGraphics Admin01.NON-SCI WORK32.Design ServicesInternal audit(Tracy Barnard)Aug 05Final internal audit template 14 Sept 05 main body.ppt,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,风险管理基础知识分享,风险管理基础知识分享,目 录,风险管理基础理论介绍,风险评估流程和步骤,目 录风险管理基础理论介绍风险评估流程和步骤,全面风险管理与内部控制监管的发展历程,美国蓝丝带委员会,改善企业审计委员会有效性的报告,经济合作与发展组织,公司治理原则,世界银行,公司治理：实施的框架,英格兰及威尔斯特许会计师公会,内部控制：综合守则,董事会指引,美国国会,萨班斯,奥克斯利法案,香港交易所,企业管治常规守则,经济合作与发展组织对,公司治理原则,进行修订,2003,2002,1999,2000,2004,2006,2007,国资委,中央企业财务内部控制工作指引,深交所,中小企业板上市公司内部审计工作指引,国资委,中央企业全面风险管理指引,深圳证券交易所,上市公司内部控制指引,上海证券交易所,上市公司内部控制指引,英国财务报告委员会,企业管治综合守则,2008,五部委联合发布,企业内部控制基本规范,及三个指引（征求意见稿）,美国证监会,审计委员会披露原则,全面风险管理与内部控制监管的发展历程 美国蓝丝带委员会,外部驱动因素,合规压力,出现新的经营风险,股东或投资者对风险和控制关注程度的提高,股东要求更强的可问责性,宏观经济及政治因素存在更大程度的不确定性,金融市场的波动,引起风险与控制变革的主要因素,高级管理层及董事会关注程度的提高,对成本削减和效率的关注,市场扩展,经营区域的扩展,出现新的经营风险,组织内部逐渐强化的风险文化,内部驱动因素,外部驱动因素合规压力引起风险与控制变革的主要因素高级管理层及,几个基本概念,企业目标：,可量化，可衡量，可以,实现,的业务目标,风险,：,企业面临的风险,是由内部或外部因素,引起,的，对企业的现实目标或潜在目标造成影响的一系列不确定事件,内部控制措施：,通过,系统的,管理程序或活动,确保风险应对策略的有效实施，,减少,不确定性的影响,风险,应对策略：,企业根据,自身条件和风险偏好,、,风险承受度,，选择风险承担、规避、转移、转换、对冲、补偿、控制等适合的风险管理总体策略,？,企业目标,风险,风险应对策略,内部控制措施,几个基本概念企业目标：风险：内部控制措施：风险应对策略：？,目标：,确保海外公司编制的财务报表符合当地准则规定，且能够满足合并要求,“风险”具有发生,可能性和影响程度,两个基本属性。通过有效的控制手段，可以降低发生的可能性或一旦发生后的严重程度，从而总体上降低风险。,没影响 较小 普通 较大 极大,经常,可能,普通,较小,极小,固有风险,剩余风险,发生的可能性,影响的严重性,高,低,图示,:,极高,中,会计系统设置不符合当地准则,会计人员不熟悉当地准则,子公司报表存在错误,风险,风险,风险,风险的属性,目标：“风险”具有发生可能性和影响程度两个基本属性。通过有效,那么，内部控制是什么？,COSO(,The Committee of Sponsoring Organizations of the Treadway Commission,，,即美国反对虚假财务报告委员会的发起组织委员会,),把内部控制定义为一种过程，受到企业董事会、管理当局和其它职员的影响，旨在为企业的经营效果和效率、财务报告的可靠性、遵循适当的法规等而提供合理保证。,基本概念包括,：,内部控制是一种过程；,内部控制的有效运作受人影响；,内部控制只能为企业提供合理保证；,内部控制的设计旨在达成企业之目标。,COSO,的网址,:,http:/,www.coso.org,那么，内部控制是什么？COSO(The Committee,1,协助企业实现目标,为什么要实施内部控制？,2,与目标相关的内外部风险,内部控制的对象是什么？,3,企业全体员工,由谁来实施内部控制？,内部控制是什么,1协助企业实现目标为什么要实施内部控制？,所有五大元素必须同时发挥作用，才能让内部控制有效地运作,控制活动,确保落实管理层的政策,/,流程,措施包括审批、授权、确认、建议、业绩考核、资产保全和权限分离,监控,评估内部控制系统,整合及时独立的评估,管理层和监控机构的工作,内部审计,信息和沟通,定期获取、确定并交流相关的信息,评审内部和外部获取的信息,信息流：职责指导,管理层的总结,成功的措施,控制环境,管理哲学和经营风格,因素包括正直、道德价值、能力、权威和责任,董事会和审计委员会,人力资源政策和实务,是其它内部控制组成部分的基础,风险评估,风险评估是因应一些决定性的内部控制活动和企业目标而确认和分析相关风险的工作,营运,财务报告,合规性,监控,信息和沟通,控制活动,控制环境,业务单位甲,业务单位乙,活动一,活动二,风险评估,9,COSO,内部控制框架,所有五大元素必须同时发挥作用，才能让内部控制有效地运作控制活,COSO,内部控制整合框架,COSO企业风险管理整合框架,弥补缺口,COSO框架的演化,2004,年,9,月，,COSO,发布了,全面风险管理综合框架,报告。报告指出，全面风险管理是由董事会、管理层及其他人员实施，在战略制定过程中和整个企业中予以采用的一个过程，旨在识别可能会对企业产生影响的潜在事件，把风险控制在企业的承受能力之内。,营运,财务报告,合规性,监控,信息和沟通,控制活动,控制环境,业务单位甲,业务单位乙,活动一,活动二,风险评估,COSO内部控制整合框架COSO企业风险管理整合框架弥补缺口,从两者的发展关系来看,从两者的包含关系来看,风险管理理论是在内部控制理论基础上的发展和延伸,但风险管理框架,并非替代内部控制框架，而是包含了内部控制框架的精髓，在内部控制的有关概念上，两者都保持了一致和连贯,风险管理框架更为广泛，包含了内部控制的内容,但内部控制框架中也包含了风险评估的内容,内部控制与风险管理的关系,从两者的发展关系来看从两者的包含关系来看风险管理理论是在内部,风险管理流程,风险管理流程,目 录,风险管理基础理论介绍,风险评估流程和步骤,目 录风险管理基础理论介绍风险评估流程和步骤,第一步：风险识别，考虑：,现有风险管理文档,现有的风险评估结果,行业风险,第三步：确定可能性，考虑：,风险评估范围,控制环境的有效性,职业判断和历史经验,第二步：确认风险类别，包括：,风险分类定义,风险层级架构,风险目录及组合,第四步：确定严重性，考虑：,与第三步一样的内容,多个风险发生的可能性，而不只是考虑最坏情景,普通风险评估以外的风险,第五步：固有风险排序及应对，包括,：,确定关键固有风险排序,确定风险应对授权及方式方法,确定风险应对报告及负责人,第六步：风险应对有效性评估，包括,：,固有关键风险应对措施有效性评估,第七步：剩余风险评级排序与进一步应对，包括,：,确认剩余风险评级并进行排序；,对超出公司承受范围的剩余风险采取进一步的应对措施,风险评估方法论,风险识别,风险分类,固有风险,发生可能性,固有风险,发生严重性,固有风险排,序及应对,风险应对有效性评估,持续监控,剩余风险,排序与进,一步应对,第八步：持续监控风险，包括,：,持续监控风险确保风险处于公司可接受的范围内,第一步：风险识别，考虑：第三步：确定可能性，考虑：第二步：确,评估剩余风险,固有风险,控制有效性,调整因素,评估固有风险,风险发生可能性,历史数据库,违约概率,损失事件发生频率,风险影响程度,风险偏好和风险容忍度,声誉和品牌,财务报告的准确性,对业务的影响,管理层投入精力,评估控制有效性,COSO,内部控制框架,内部控制自我评估,以前年度内部审计结果,审计项目报告,风险评估,固有风险,控制有效性,=,剩余风险,评估剩余风险评估固有风险风险发生可能性风险影响程度评,风险评估流程,固有风险评级,固有风险评级可以用固有风险矩阵描述,举例,：,假设该风险具有高固有风险可能性和低固有风险影响程度，固有风险评级应为：高风险。,影响程度,可能性,轻微,较小,中等,严重,非常严重,非常高,高,高,极大,极大,极大,较高,中,高,高,极大,极大,中,低,中,高,极大,极大,低,低,低,中,高,极大,极低,低,低,中,高,极大,IR,风险评估流程 固有风险评级 固有风险评级可以用固有风险矩,风险评估流程,控制有效性评级,控制有效性可以用控制有效性矩阵描述,举例：,假设对该风险的控制有很强的设计和强的实施有效性，控制有效性评级应为：很有效。,控制,执行,控制设计,很弱,弱,中,强,很强,很强,很弱,弱,有效,很有效,很有效,强,很弱,弱,有效,很有效,很有效,中,很弱,弱,有效,有效,有效,弱,很弱,弱,弱,弱,弱,很弱,很弱,很弱,很弱,很弱,很弱,控制有效性评级依据,很有效,控制很大程度上减少了风险，可能需要减少控制。,有效,控制合理地管理风险。,弱,需要进一步改进控制。,很弱,有重大控制问题，需要管理部门马上行动进行修改。,C,风险评估流程控制有效性评级控制有效性可以用控制有效性矩阵描,风险评估流程剩余风险评级,剩余风险可以用剩余风险矩阵描述,举例,：,例如，风险的固有评级为高，控制有效性评级为很有效，得到风险的剩余风险评级为低。,控制有效性,固有风险评级,很有效,有效,