奥鹏易百

 找回密码
 立即注册

扫一扫,访问微社区

QQ登录

只需一步,快速开始

帮助中心知识拓展客服QQ 515224986
查看: 473|回复: 0

3 大工20秋《内部控制与风险管理》辅导资料三

[复制链接]

1万

主题

4

回帖

2万

积分

论坛元老

积分
29078
发表于 2021-3-13 11:11:48 | 显示全部楼层 |阅读模式
扫码加微信
内部控制与风险管理辅导资料三主    题:第2章 COSO内部控制与企业风险管理整合框架(第1-2节)
学习时间:2020年10月12日-10月18日
内    容:
第2章 COSO内部控制与企业风险管理整合框架
这周我们将学习第二章中的第1-2节,这部分重点介绍COSO《内部控制整合框架》的概述、发展及其构成要素。希望通过下边的内容能够加深同学们对COSO的理解。
“不忘初心、牢记使命”主题理论学习:
每周文摘:担使命,就是要牢记我们党肩负的实现中华民族伟大复兴的历史使命,勇于担当负责,积极主动作为,用科学的理念、长远的眼光、务实的作风谋划事业;保持斗争精神,敢于直面风险挑战,知重负重、攻坚克难,以坚忍不拔的意志和无私无畏的勇气战胜前进道路上的一切艰难险阻;在实践历练中增长经验智慧,在经风雨、见世面中壮筋骨、长才干。
摘选自《在“不忘初心、牢记使命”主题教育工作会议上的讲话》2.1  COSO《内部控制整合框架》的概述及发展
2.1.1  COSO《内部控制整合框架》的缘起
内部控制理论的发展是一个逐步演变的过程,大致可以区分为内部牵引、内部控制制度、内部控制结构、内部控制整合框架及企业风险管理整合框架五个阶段。
以上是内部控制框架产生的理论脉络,从外部环境看,内部控制整合框架的产生可以追溯到美国的“水门事件”。
2.1.2  COSO《内部控制整合框架》的内容
COSO《内部控制整合框架》把内部控制划分为五个相互关联的要素:
控制环境;风险评估;控制活动;信息与沟通;监控
每个要素均承载三个目标:
经营目标;财务报告目标;合规性目标。
(1)控制环境
控制环境是内部控制体系的基础,是有效实施内部控制的有力保障。控制环境包括以下内容:
A.诚信与道德价值观;
B.致力于提高员工工作能力及促进员工发展的承诺;
C.管理层的理念与风格;
D.组织架构与职责分配;
E.人力资源政策及程序;
F.监管部门(监事会、审计委员会)的参与。
(2)风险评估
风险评估是识别及分析影响公司实现目标的风险的过程,是风险管理的基础。
管理层必须识别和应对各种变化,选择采取相关的措施化解或积极管理它,或者根据情况去承受。实际操作中,需要明确在重要会计科目、披露事项和相关财务报表认定中产生重大错报的风险。
(3)控制活动
控制活动是确保管理层的指令得到贯彻执行的必要措施,存在于整个机构内的所有级别和职能部门。
控制活动又可分为:预防性控制、检查性控制、人工控制、计算机控制、管理层控制等类型。
(4)信息与沟通
A.及时地获取、确定并交流相关的信息
B.从内部和外部获取信息
C.形成从职责要求到管理层有关管理行动等各方面内部控制的成功措施的信息流
(5)监控
A.不断评估内部体系的表现
B.整合实时和独立的评估
C.管理层和监督活动
D.内部审计工作2.1.3  COSO《内部控制整合框架》与《萨班斯法案》(SOX)
为了提高民众对美国金融市场及政府经济政策的信心,2002年7月美国国会通过了《萨班斯法案》,该法案对渎职和做假账的企业助管实行严厉的制裁,对上市公式实行更为严格的监管。
COSO《内部控制整合框架》是美国证券交易委员会(SEC)唯一推荐使用的内部控制框架,《萨班斯法案》第404条款的“最终细则”也明确表明COSO《内部控制整合框架》可以作为评估企业内部控制的标准。2.1.4  COSO《内部控制整合框架》的发展
1992年美国COSO委员会发布COSO《内部控制整合框架》;
2002年颁布的《萨班斯法案》也要求上市公司全面关注风险,加强风险管理,这在客观上也推动了《内部控制整合框架》;
2003年7月,美国COSO 委员会根据《萨班斯法案》的相关要求,发布了《企业风险管理整合框架》的讨论稿,该讨论稿是在《内部控制整合框架》的基础上进行扩展而得来的。
2004年9月正式发布了《企业风险管理整合框架》(COSO-REM),这标志着COSO委员会最新的内部控制研究成果面世了。2.2  COSO《企业风险管理整合框架》的构成要素
2.2.1  内部环境
内部环境包含组织的基调,它影响组织中人员的风险意识,是企业风险管理的其他构成要素的基础,为其他要素提供约束和结构。
内部环境包括以下八个方面:
(1)风险管理理念
风险管理理念是一整套共同的信念和态度,它决定一个企业在其经营活动中是如何考虑风险的。风险管理理念反映企业的价值观,影响企业的文化和经营风格,并且影响一个企业识别风险、承担风险,以及进行风险管理的方式和风格。
(2)风险偏好
风险偏好是一个企业在追求价值的过程中所愿意承担的广义上的风险的大小和数量。它反映了企业的风险管理理念,进而影响企业的文化和经营风格。
在制定战略的过程中要考虑风险偏好,对战略的期望回报应该与企业的风险偏好相协调。
(3)董事会
一个企业的董事会是内部环境的关键,它对其他要素有重大的影响。董事会对管理层的独立性及其成员的经验和才能,以及对活动参与和审查的程度都起着重要作用。
(4)诚信与道德价值观
企业的行为准则反映了诚信与道德价值观。管理层要以身作则,以行动向员工宣讲诚信与道德价值观。
(5)对胜任能力的要求
企业中人员的胜任能力反映完成指定任务所需要的知识和技能。
管理层需明确特定岗位的胜任能力和水平,并把这些水平转换成所需要的知识和技能。
管理层要在员工胜任能力和成本之间进行平衡。
(6)组织结构
组织结构界定权力和责任的关键范围,确立报告的途径。确定组织结构管理要考虑企业的规模和活动的性质,一个企业有效的组织结构为计划、执行、控制和监督活动提供了框架。
(7)权力与职责的分配
权力与职责的分配确定了个人和团队被授权和采取行动去处理问题和解决问题的程度,它还未权力提供了限制。权力与职责的分配确立了报告关系和授权规程,描述了进行的经营的政策、关键员工的知识和经验,以及相关的资源,从而使个人知道他们的行动是如何相互关联的以及对实现目标的贡献。
(8)人力资源准则
人力资源准则包括雇佣、定位、培训、评价、知道、晋升、薪酬和补偿措施的准则,在这些准则的基础上推动期望的诚信水平,道德行为和胜任能力。相关的惩戒措施传达违规行为将不会被宽容的信息。2.2.2  目标设定
目标设定是事项识别、风险评估和风险应对的前提。
(1)战略目标
战略目标是企业高层次的目标,它与企业的使命、愿景相协调,并支持使命和愿景。
(2)相关目标
通过关注战略目标和战略,企业能够建立在企业层次上的相关目标。相关目标的实现将会创造和保持价值。
(3)设定目标
在战略目标的基础上,开始考虑相关目标。尽管不同企业的相关目标各不相同,但是大致上可以设为经营目标、报告目标、合规目标三类。
a.经营目标:经营目标与企业经营的有效性和效率有关,包括业绩和盈利目标以及保护资源不受损失,它因管理层对结构和业绩的选择不同而不同。
b.报告目标:报告目标与报告的可靠性有关,包括内部与外部报告,并且可能涉及财务与非财务信息。
c.合规目标:合规目标与符合相关法律和法规有关,取决于外部因素
(4)风险偏好
管理层在董事会的监督下所确定的风险偏好是制定战略的风向标。公司可能将风险偏好表述为增长、风险和报酬之间可接受的平衡,或者风险调整的股东增加值指标。
(5)风险可接受程度
风险可接受程度是相对目标的实现而言所能接受的偏离程度。
在确定风险可接受程度的过程中,管理层要考虑相关目标的相对重要性,并使风险可接受程度与风险偏好相协调。2.2.3  事项识别
事项识别即管理层识别,是指如果存在对企业产生影响的潜在事项,管理层要确定它们是否代表机会,或者是否会对企业成功地实施战略和事项目标的能力产生负面影响。
识别事项时,管理层应考虑在整个企业范围内的各种可能产生风险和机会的内部与外部因素。
(1)事项
事项是源于外部或内部的、影响企业实现目标的事故或事件。管理层要识别影响战略或目标实现的潜在事项。
(2)影响因素
无数的内、外部因素决定着影响企业战略执行和目标实现的事项,管理层应认识到,理解这些内、外部因素及可能源于这些因素的事项类型对于有效的事项识别是很重要的。
(3)事项识别方法
企业的事项识别方法包含各种方法的组合,以及支持性的工具。
(4)事项相互依赖性
事项通常不是孤立发生的。一个事项可能引发另一个事项,事项也可能同时发生。在事项识别的过程中,管理层应了解事项彼此之间的关系,通过评估这种关系,可以确定采取最佳风险管理措施的方向。
(5)区分风险和机会
事项如果发生,可能具有负面影响,也可能具有正面影响,或二者兼有。
具有负面影响的事项代表风险,需要管理层进行评估与应对。
具有正面影响或者抵消负面影响的事项代表机会。
管理层应把代表机会的事项引入其战略或目标制定的过程中,通过明确的计划抓住这些机会。2.2.4  风险评估
风险评估能够使企业考虑潜在事项影响目标实现的程度。风险评估应该对企业内部潜在事项的正面和负面影响通过单独或分类的方式进行审查,并在固有风险和剩余风险的基础上来进行。
(1)风险评估的背景
管理层在评估风险时会考虑预期事项和非预期事项,大部分事项具有常规性和重复性,并且已经在管理层的计划和经营预算中提到了,而有些事项则是非预期的。管理层应评估可能对企业有重大影响的非预期的潜在事项及风险。
(2)固有风险与剩余风险
管理层既要考虑固有风险,也要考虑剩余风险。
固有风险是管理层在没有采取任何措施改变风险的可能性或影响的情况下,一个企业所面临的风险。
剩余风险是在管理层应对风险之后企业仍然存在的风险。
(3)评估可能性和影响
注意:评估风险所采用的时间范围应该与企业战略和目标的时间范围一致。
要采取与评价目标所采用的相同或接近的计量单位,同时给予可能性较高和具有重大潜在影响的风险更多关注。
(4)评估技术
对一个企业的风险评估方法包括定性和定量技术的结合。2.2.5  风险应对
(1)应对类型
A. 规避:退出会产生风险的活动。
B. 降低:采取措施减小风险的可能性或影响,或者同时降低两者。
C. 分担:通过转移来减小风险的可能性或影响,或分担一部分风险。
D. 承受:不采取任何措施去干预风险的可能性或影响。
(2)评估可能的应对措施
管理层要考虑这些风险应对多事对风险的可能性和影响的效果,使剩余风险水平与企业的风险可接受程度相协调。
管理层还要考虑这些应对的成本与效益,在两者之间做出权衡。
(3)选定的应对
在评估了备选风险应对的效果后,管理层决定如何管理风险,选择一个旨在使风险发生的可能性和影响处于风险可接受程度之内的应对或应对组合。
(4)风险组合观
企业风险管理要求从整个企业的范围或组合的角度去考虑风险。管理层通常采用的方法是先从菲菲业务单元、部门肯或只能机构的角度去考虑风险,让负有责任的管理人员对本单元的风险进行复核评估,以反映该单元预期目标和风险可接受程度相关的剩余风险。2.2.6  控制活动
控制活动是帮助确保管理层的风险应对得以实施的政策和程序。
(1)与风险应对相结合
选定了风险应对之后,管理层就要开始确定这些风险应对得以恰当和及时实施所需的控制活动。
(2)控制活动的类型
控制活动的类型包括预防性的、检查性的、人工的、计算机的控制。此外,控制活动还有根据特定的控制目标进行分类的,如确保数据处理的全面性和准确性的控制活动。另外,高层复合、信息处理、事务控制、业绩指标、职责分离也都是控制活动。
(3)政策和程序
控制活动主要包括两个方面:一是确定应该做什么政策,二是实现政策的程序。在执行政策的过程中,要敏锐地、持续地关注政策所针对的情况,不能机械地执行。
(4)对信息系统的控制
通常采用两个广义的信息系统类别:一是一般控制,它适用于许多但并非全部应用系统,并有助于确保他们持续、适当地运行;二是应用控制,它在应用软件中包含计算机化的步骤,以便对处理过程进行控制。2.2.7  信息与沟通
信息与沟通即相关的信息必须以某种形式在某个时段被识别、获取和沟通,以促使职责的履行。
信息系统生成报告,内容包括战略、经营、财务和合规性方面的信息,以使得管理层能够运作和控制业务活动。信息系统不只是处理内部生成的数据,而且还处理业务决策和物资部报告所必须的关于外部事件、活动和状况的信息。
(1)信息
企业从内部和外部获取相关的信息,获取和利用支持有效的企业风险管理所需要的历史和当前数据,信息基础机构把这些数据转换成帮助员工履行他们的企业风险管理和其他职责的相关信息,同时根据识别、评估和应对风险的需要把信息以可追溯的、可充分利用的及相关联的深度、形式和时机予以提供。
(2)沟通
管理层着眼于提供有关行为期望与员工职责具体的和指导性的沟通,包括对企业的风险管理理念和方法的清楚表述和权力的明确授予。
管理层还应有畅通的沟通渠道和倾听的意愿,并且使员工相信他们真的希望了解问题并将有效地处理它们。
在管理层和董事会之间应该有畅通的沟通渠道,从而使恰当的信息能被及时地沟通。2.2.8  监控
内部监控系统需要一套随时监督、评价内部控制系统运行状况的流程。通过持续的监督活动、单独的评价或者两者的结合来王城这种控制。监控主要包括持续监控、单独评价、报告缺陷三个方面。
(1)持续监控
持续监控包含在企业的正常的、反复的经营活动中,并在正常的业务经营过程中加以执行。它们被实时地执行,并且动态地对变化的情况做出反应。
(2)单独评价
单独评价直接关注企业风险管理的有效性,并提供了一套考察持续监控活动有效性的机会。
评价者了解所着眼的企业的各项活动和企业风险管理的各个构成要素。
(3)缺陷报告
对内部和外部报告的缺陷,要仔细地考虑它们对企业风险管理的影响,并采取恰当的矫正措施。2.2.9  职责与责任
一个企业中的每个人都对企业风险管理负有一定的责任。CEO负有最终的责任,并且应该假设其拥有所有权。其他管理人员支持风险管理理念,促使其符合风险偏好,并且在各自的职责范围内根据风险可接受程度去管理风险。
企业应设立一个风险管理部门来推动企业管理风险,在风险管理机构中的主要负责人是首席风险官,在其领导下,相关的管理人员致力于在职责范围内建立有效的企业风险管理体系。本周要求掌握的内容如下:
基本概念:控制环境、风险评估、控制活动、内部环境、风险管理理念。
基本理念:内部控制的五个相互关联的要素及其目标、COSO《内部控制整合框架》的发展进程、COSO《企业风险管理整合框架》的构成要素。习题:
【例题1·单选题】以下内容不属于COSO《内部控制整合框架》中内部控制五个相互关联的要素需承载的目标的是(   )。
A.经营目标;
B.财务报告目标;
C.谨慎性目标
D.合规性目标
【答案】C【例题2·多选题】公司可能将风险偏好表述为(   )之间可接受的平衡。
A. 增长
B. 风险
C. 报酬
D. 股东增加值
【答案】ABC

本内容由易百网整理发布
网址www.openhelp100.com
QQ 515224986
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|www.openhelp100.com ( 冀ICP备19026749号-1 )

GMT+8, 2024-11-24 07:51

Powered by openhelp100 X3.5

Copyright © 2001-2024 5u.studio.

快速回复 返回顶部 返回列表