COSO-与-企业风险管理.ppt

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,*,200,6,Deloitte&Touche,概要,什么是,COSO,内部控制框架,?,COSO,实施过程中的问题和公司采取行动,COSO,实施过程问题和方法,审计师关注点及公司采取的行动,控制模型实施的最佳方案,企业风险管理,1,什么是,COSO,内部控制框架,?,2,Presentation Name(View/Header and Footer),什么是,COSO,内部控制框架？,公司对于内部控制的基本态度,-”,来自上层的基调”,对于影响公司业绩的内部及外部因素的评估,确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程序,确保相关信息被及时识别及传递的过程,确认内部控制是否进行充分的设计和执行，以及是否具备有效性和适应性。,内部控制框架的组成要素,监 督,信 息 与 沟 通,控 制 活 动,风 险 评 估,控 制 环 境,业务活动1,业务活动,2,事业部2,事业部,1,经营效率与效果,对外财务报告,对法令和合约承诺之遵循,3,控制活动,控制活动,是确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程序,控制活动被融入在日常业务经营中，用来将风险控制在合理范围内，起到预防性、发现性和修正性的作用,控制活动的种类包括：,审批、授权和确认（如：权限分配）,日常的操作层面管理控制（如：对帐，差异调节）,绩效指标的审核,(,如,：,KPIs,metrics),资产的安全,(,如：物理控制,),职责分离,(,如：保管,授权,记录,),信息系统控制,(,如：安全访问,),6,信息与沟通,信息与沟通,要求相关的内、外部信息的识别、获取、处理，并在公司内部及时沟通,通过多种正规或非正规的渠道获取信息,语言沟通,(,如会议、反馈,),书面沟通,(,如政策、流程、职位描述,),行为示范,(,如管理层以行动展示正确的方式,),7,监督,监督的目的是,确认内部控制是否进行充分的设计和执行，以及是否具备有效性和适应性。,监督活动的范围和频率取决于被控制风险的重要性以及对降低风险的控制重要程度,监督活动应成为正规的、常年进行的工作,8,最新的,COSO,风险管理框架,Program Management Thread,Note,:The draft version of the COSO ERM framework may be found at,www.erm.coso.org,COSO,风险管理构架,操作,报告,符合,内部控制环境,目标设定,事件识别,风险评估,风险发生回应,控制活动,信息和交流,监控,公司层次,部门层次,执行单元层次,分支机构层次,战略,9,COSO,实施过程中的问题和公司采取行动,10,Presentation Name(View/Header and Footer),COSO,实施过程,运用,COSO,框架，将内部控制融入到公司与财务报告相关的业务活动中,内控设计,持续改进,监控,测试和整改,11,COSO,实施过程中的问题,项目管理,COSO,的实施,-,公司如何实施以及审计师如何评估内部控制框架,12,项目管理障碍,缺乏对,COSO,框架的认识和正确评价,缺乏指导而混淆,COSO,的专业术语,缺乏理论与实践的综合,缺乏对业务层面内部控制作用的认识,缺乏来自各层面员工的支持,对于变化的排斥,13,COSO,的实施方法,首席执行官,/,首席财务官,管理,差异分析,自我控制评估,软件工具,独立,审计师,审计,委员会,验证,内部监管,业务单元,差异分析,自我控制评估,软件工具,自上而下的控制与指导,自下而上的沟通,项目领导和实施方法,明确战略和目标,定义内部控制框架,(,如,COSO),构建最佳框架,培训,向最高管理层反映困难、寻求建议,提供自我控制评估的结果,采用自上而下的控制观念和最佳方案来详细明确业务单元的要求,14,审计师所关心的领域,-,控制环境,员工胜任能力,职业道德,董事会,管理理念和经营风格,组织架构,权利和职责的分配,人力资源政策与措施,控制环境,15,审计师考虑些什么问题,-,控制环境,(1),职业道德,公司是否制定了全面的行为准则并定期确保所有员工获知,?,员工是否在适度的竞争压力下采取正确的行为，还是“超近道”赚“快钱”,?,员工是否广泛明确采取不当行为会按公司规定受到一定的惩处,?,是否会对已制定政策的背离进行调查并记入文件,?,员工胜任能力,管理层已对完成每一项工作任务的能力进行分析评估。,管理层已对明确了完成每一项工作所需要具备的知识与技能。,有证据证明员工具备所需的知识和技能。,16,审计师考虑些什么问题,-,控制环境,(2),董事会,/,审计委员会,董事会是否是独立的，并能建设性的向管理层制定的计划提出质疑,?,主管是否拥有足够的知识、行业经验和时间来有效地为公司服务？,审计委员会成员是否定期会见首席财务官及内、外部审计师,，共同讨论财务报告过程和内部控制系统的合理性，并对管理层的绩效表现提出重大的意见和建议？,董事会是否定期收到重要信息,?,是否存在向董事会提供重要信息的途经与程序？,董事会和审计委员会成员是否充分参与评估公司高层管理者制定的一系列制度向下沟通及执行的有效性？,董事会是否发布了规范管理层的细则？,17,审计师考虑些什么问题,-,控制环境,(3),管理理念和经营风格,采取什么样模式扭转公司现状,?,任何关键职能上的人员轮换,?,管理者对数据处理和会计职能的态度,财务报表中会计准则的选定,高级管理层和业务经理层之间互相作用、影响的频率,组织结构,对于特定实体业务的类型，组织结构是适当集权化的还是非集权化的？,实体业务活动的职责和预期是否会清晰地传达给负责该活动的执行主管？,已制定的报告关系,?,实体的组织结构是否会根据行业变化定期进行评估？,18,审计师考虑些什么问题,-,控制环境,(4),权利和职责的分配,员工是否明确其权力和指责？,是否应用恰当的信息决定各工作职位的权利级别和职责范围？,是否存在职位描述,?,位于“适当”职位上的员工是否有权修正问题和实施改进？,人力资源政策与措施,现有的招聘政策和流程是否能够有助于发现并聘用能胜任工作并能信赖的员工？,当没有关于政策和实践的正式文件时，管理层会交流对招聘对象的期望，并直接参与到招聘过程中吗？,是否在业绩评估中会对职业道德进行评价？,是否核实应聘者的背景？,是否清晰、明确地制定了职位晋升和工资提升的标准？,19,可能采取的行动,控制环境,评估过程,可以采取的行动,符合上层的基调,实现的目标,制定一套全面的规范及业务标准,了解高层管理人员道德价值观的最低标准,要求高层管理人员具备高水平的职业道德,完善向董事会及审计委员会通报重大事件的程序,加强高层管理人员与业务经理之间的沟通,通过访谈管理层了解他们的道德价值观及管理风格,审查文档，用于了解现行的作法及政策,对高层管理人员进行背景调查,在员工内部展开调研，了解员工的道德价值观及他们对公司标准及政策认知度,20,可能采取的行动,控制环境,可以采取的行动,构建控制框架,实现的目标,描绘出清晰的组织结构图,明确定义每个员工的角色与职责,制定全面，完整的政策与程序,完善向董事会及审计委员会通报重大事件的程序,向管理层了解现行的规范、政策及标准,通过审查文档，了解关于工作指引、工作要求、政策及程序的规范,展开调查了解员工的角色与职责,审核组织结构,观察公司的实际架构,评估过程,21,可能采取的行动,控制环境,提高胜任能力,实现的目标,完善员工雇佣、培训、升职及赔偿政策,将职能描述留档,对新员工的特长及背景进行调查,明确员工的晋升标准,建立正式的业绩考评机制,提供连续的培训及学习条件,向管理层询问与人力资源政策相关的任何信息,审查文档，了解人力资源政策、职能描述及员工的背景,向管理层询问与员工培训及发展计划相关的信息,审查员工的培训记录,验证员工的招聘程序,评估过程,可以采取的行动,22,审计师考虑些什么问题？,-,风险评估,(1),公司层面目标,公司层面目标是否不同于一般目标？,与公司层面目标相关的信息是否传达给员工及董事会？,战略性的计划是否有助于实现公司层面的目标？,任何计划及预算是否,与公司层面目标、战略计划、及现有条件相一致？,业务层面目标,是否与所有重大的活动向关联,?,是否定期复核业务层面的目标,?,是否可以支持及稳固各种业务活动间的关系？,业务层面的目标是否与过去的行为及作法相一致？,这些目标是否包括衡量标准的尺度？,那些为取得必要资源的计划是否有助于目标的实现？,管理者们是否参与进与各自职责相关的业务目标的建设中？,现有的程序是否有助解决各种分歧？,23,审计师考虑些什么问题？,-,风险评估,(,2,),风险识别,识别风险的机制与下列外部因素有关,供应渠道,技术更新,客户需求,竞争对手策略动向,经济形势,政治因素,法律法规,自然灾害,识别风险的机制与下列内部因素有关,人力资源,财务状况,劳务关系,信息系统,24,审计师考虑些什么问题？,-,风险评估,(,3,),风险分析,风险分析机制是否可以识别重大风险，判断评价风险发生的可能性，以及考虑采取何种必要措施规避风险？,是否可以通过正式的程序或日常的管理活动分析风险？,相关的管理层是否参与风险分析？,管理的变动,常规的变动是否已在正常的风险识别和分析过程中考虑，或是通过单独的机制考虑？,是否建立一套可以鉴别变动的影响及做出必要反应的机制？,25,可以采取的行动,风险评估,评估过程,可以采取的行动,全面性,持续性,广泛参与性,有效控制风险性,Objective Achieved,制定一套连贯，简明，且全面的目标和商业计划，以此来规避公司及业务层面的风险,将与上述目标相关的信息灌输给各个级别的员工,各个管理层需要投入到目标制定的过程中,根据设定的目标，制定出有效机制来识别，分析，分级处理和监控由于内外因素和各种情况所引发的风险,制定出有效机制来预见和识别那些可能对企业财务报表产生影响的变动信息并能及时做出反应,制定防范机制来提供早期预警,通过访谈管理层来了解公司层面目标和信息沟通机制,获取公司一套整体的目标，审查公司层面目标与业务层面目标的一致性，如经营预算等,通过访谈管理层了解风险识别、评估及监控的程序,分析风险识别机制是否可以涵盖内部和外部各种因素，并且有助于实现目标,审查与风险评估相关的文档，据此来考虑风险评估程序是否可以起到判断风险发生的可能性及识别重大风险的作用,实现的目标,26,风险评估模式,风险管理流程,机会,业绩评估,监控风险和内控,减轻,/,控制风险,内控评价,衡量,/,评估风险,风险识别,设定预期,27,审计师考虑些什么问题？,-,控制活动,是否有适当的政策和程序规范公司的业务活动？,管理手册中是否描述了控制活动？,各种需进一步关注的例外事件和信息是否得到适当和及时的跟进？,监督人员是否检查各种控制活动实施的作用？,28,可以采取的行动,-,控制活动,评估过程,实现的目标,可以采取的行动,制定出全面的操作制度和程序,针对各种经营活动制定出重要的业绩指标,制定出全公司准行的时间表,记录各种控制活动,职责分离，避免与利益的冲突,执行定期的业绩考核,针对公司财产采取有效的安全措施,制定适当的会计制度,更大范围的执行自动化控制,向管理层询问各种制度，程序和控制活动,分析这些控制活动能否有效的用于风险识别，并有助于实现公司的目标,比较公司部门之间，实施地域之间对控制的不同需求,依据现行的政策和程序进行符合性测试，如：,检查批准，授权，审核和复查 的相关记录,观察企业对公司财产所采取的安全措施,风险管理,目标实现,29,审计师考虑些什么问题？,-,信息与沟通（,1,）,信息,是否有用于获得相关信息的机制？,管理层是否可以获得相关的分析数据以便采取适当的措施和行动？,信息提供是否及时？,是否存在可以辨别各种信息需求的机制,?,是否制定长期的信息系统计划，并与各战略措施相互关接？,是否有足够的资源来建立必需的信息系统？,30,审计师考虑些什么问题？,-,信息与沟通（,2,）,沟通,沟通工具是否可以有效地促进正式的培训、会谈及工作现场指导的进行？,员工是否知道他们各自的业务目标及如何达到这些目标？,员工是否知道他们的职责之间有什么相互影响？,销售人员是否通知工程部门，制造部门和客服部门客户的需求？,负责应收账款的人员是否通知信用批准部门那些付款延迟的客户？,工程部门，市场部门和销售人员是否知道竞争对手新产品和服务的信息,31,审计师考虑些什么问题？,-,信息与沟通（,3,）,沟通,(,继续,),员工是否善于接纳关于产品服务和其他事项的问题报告，这些问题报告是否被调查解决？,收款错误是否被纠正，错误的原因是否被调查及更正？,是否有适当的非关联人员处理这些投诉？,是否有适当的措施和进一步的沟通来处理那些错误的源头？,管理高层是否了解投诉的性质及数量？,32,可以采取的行动,信息与沟通,评估过程,实现的目标,可以采取的行动,财务系统与公司的业务系统相结合,制定报告草案,采用开放且有效的交流渠道,建立高层与下级之间双向沟通的机制,界定适当的报告期限,记录系统的变更,确定对系统的访问权限,定期召开涉及各级别员工的交流会议,通过对比员工的角色及职责，评价信息的所有权,向员工了解他们上报的途径和与其他员工之间交流的模式,分析信息从产生到发送的时间差,审核报告机制,审查管理人员用于决策的信息,审核信息系统中数据的变更的记录,审核信息系统访问权限的设置,适当的信息,及时性,时时性,准确性,可接受性,33,审计师考虑些什么问题？,-,监督（,1,）,持续的监督,经营管理者是否把生产，存货，销售和他们日常活动所得到的其他信息同系统自动产生的信息进行对比？,业务人员是否对他们所负责单位的财务报告签字，并对发现的错误承担相应的责任？,是否进行定期的对帐？,是否要求员工定期的进行行为规范符合性的承诺？,评估人是否堆公司活动有足够的理解？,是否有对系统的设计运行和实际运行的理解？,分析是否是在对比了考核结果和设立的标准的基础上进行的？,34,审计师考虑些什么问题？,-,监督（,2,）,个别评价,对于内控个别评价的范围和频率是否有管理层的审核和批准？,评估人员是否有必须的技能？,评估人员是否对于企业的活动和评估环境有足够的理解？,进行的分析是否是基于评估结果和制定的标准相对比的基础上？,评估所采用的方法是否包含问卷，调查表或其他工具？,是否记录下了评估的流程？,35,审计师考虑些什么问题？,-,监督（,3,）,缺陷披露,是否存在可以获取内外信息并能把监控和评价的结果进行报告的机制？,是否会把缺陷报告直接报给负责人和至少高一级的人员？,特别类型的缺陷是否会报告给更高级的管理层及董事会？,是否有适当的跟进行动来纠正发现的问题？,产生问题的主要原因是否被调查？,36,可以采取的行动,监督,评估过程,实现的目标,可以采取的行动,组成独立的审计委员会,建立一套能获取并报告控制缺陷的机制,建立报告草案,建立可以直接投诉给审计委员会的机制,记录评价的过程,建立审核调查表,定期的进行财务对帐,由独立的非相关利益人进行审查,定期进行存货及固定资产盘点,记录每次审查结果后，需相关负责人签字确认,访谈员工，了解他们的角色及职责,定期确认员工了解并且遵守企业的行为准则,通过获得复核的证据来测试监督的存在性,分析报告的有用性和全面性,分析反映控制缺陷的及时性,核实所实施的纠正工作,持续性,一致性,有效性,及时性,反映敏感性,37,控制模型实施的最佳方案,38,Presentation Name(View/Header and Footer),控制模型实施的最佳方案,将实际执行情况与内控模型进行对比，找出两者差距,对于控制模型的核心挑战，是用定义的控制模型评估现有的内控体系。首先要确认现行的控制体系涵盖及未涵盖的部分,高级管理层、审计委员会、审计员和流程里的重要人员需要参与方案的制定,如果执行过程中包含有企业理念等重大的改变，就不仅仅是审计的事情。高级管理层和审计委员会必须要参与带动这种改变。,评定商业环境，企业文化和重要参与者,为了成功的执行，潜在的执行者必须要问一些问题，比如（,1,）企业文化有何变化？（,2,）业务结构有何变化？（,3,）有没有和执行控制模型能联系起来的组织结构的变更？（,4,）公司组织结构中内审的比例？,39,控制模型实施的最佳方案,设计适合企业的最佳方案,COSO,指导原则是把在内部控制模型中描述的控制理论植入到企业中，并在企业中加以改进，优化，适应企业的发展形成最佳实务操作,决定执行的策略,如果,COSO,的执行可以结合企业组织结构变化，或是高层管理者能积极参与发起，那么,COSO,的执行就会相对简单。在任何情况下，制定切实可行的推行策略是非常关键的。大多的,COSO,推行者采取较慢的方法介绍新想法，建立企业中的人际关系，介绍和听取意见，逐渐的建立和达成对执行,COSO,的共识,为所有参与者提供培训,.,如果有什么因素对于成功的推行控制模型是最重要的，那就是参与的每一个人都要了解内部控制。一个有效的培训很大程度的决定于如何把概念加以解释并用具体的事例和练习使得参与者形象的理解概念内容,40,客户最急切需要的是什么？,降低合规性费用,改善项目总体效果,补救缺陷,使,Sarbanes-Oxley,与公司治理,/,风险管理项目融合考虑,其他,控制模型实施的最佳方案,41,控制模型实施的最佳方案,德勤的观点,指导原则,为了推行合理化控制，管理层应当对公司的财务报告风险有深刻的认识,作为迈向合理化控制至关重要的第一步，管理人员应当明确地应用,从上至下的从风险出发的控制措施范围确认方法,合理化控制是一项长期的持续的任务，它应当与企业的运营有效的结合在一起,合理化控制可以带来即时的效益；然而，采取长远的战略手段实现可持续的合规性可以更显著的节约成本,解决办法,公司应当采取一种基于风险的合理化控制措施来处理当前以及将来的合规性的挑战,定义,合理化控制,合理化控制是一种连续流程，这种流程用来制定最有效果和效率的控制来处理财务报告风险,.,它包括应用从上至下的从风险出发的方法，去除不必要的控制，制定从风险出发的测试计划，最优化公司层面和自动控制的设计，以及使控制标准化、集中化。,42,控制模型实施的最佳方案实现节约成本、各方平衡的控制设计,合理化,基于风险的措施,改善效力,削减成本,关注领域,使用从风险出发的合理化控制措施,公司可以从以下几方面增加合规性项目的效率和效力：改进测试方法，完善控制设计，更关注于高风险领域而相应削减低风险相关的费用。,(,范例,),当前状态,Category,1,5%,Category,2,15%,Category,3,80%,类别,1,5%,类别,2,15%,类别,3,80%,未来状态模型,(,有效果的,&,有效率的,),50%,35%,15%,1,2,3,1,2,3,例如,:,类别,1:,公司层面控制,(,比如：控制环境，期末财务报告,反舞弊项目,),类别,2:,计算机总体控制,(GCCs),对非常规账户和重大调整账户的控制,其他高风险领域的控制,类别,3:,常规流程控制,43,合理化控制方法基于风险的四阶段措施,阶段,1:,根据,SEC/PCAOB,的指导原则，应用,从上至下,的从风险出发确定控制措施范围的方法,阶段,3:,权衡自动控制与可启用的技术,阶段,4:,使流程和控制标准化、集中化,合规性的效力与效率,阶段,2:,使已存在的控制合理化,/,重新设计测试计划,战术的,/,短期的,战略性的,/,长期的,执行的时机,/,手段,44,1,识别和评估公司层面控制的设计,PCAOB,的,从上至下,措施,许多公司对怎样应用这些措施以使流程层面控制和计算机总体控制合理化而感到头痛,合理化控制措施阶段,1:,应用,从上至下,的从风险出发确定控制措施范围的方法,识别每个重要科目的相关认定,把重要科目与关键流程以及主要的交易类型联系起来,识别流程中有可能出现错误或者舞弊的点,将每个控制措施与重要科目及其相关认定联系起来,识别控制措施以便测试预防或发现错误或者舞弊,推荐的方法,确认那些可以有效地降低科目风险的公司层面控制,风险相关的认定直接影响投入的精力,确认所有的财务报告的风险（包括舞弊和,GCCs,方面的）都被识别，并且为控制目标划分风险等级,使控制合理化并且形成适当的测试计划（阶段,2,）,识别重要科目和披露内容,考虑定性的风险因素（例如由错误或舞弊引起的相关损失），而不仅仅从数量上考虑其重要与否,为主要的交易类型划分风险等级以便相应地投入精力,核实财务报告相关内部控制的设计含及相关的风险,2,3,4,5,6,7,1,2,3,4,5,6,7,PCAOB,的,从上至下,措施,45,合理化控制措施阶段,2:,使已存在的流程层面控制合理化,识别满足多重控制目,标的流程层面的控制措,施,(PLCs),考虑从测试范围中去除冗余的,流程层面控制,(PLCs),注释,:,某些控制措施只能部分满足控制目标，在某些情况下,两个这样的控制措施结合在一起，则可以完全满足某个控制目标,识别只满足单个控制目,标的流程层面控制,(PLCs),考虑从测试范围中去除无效的,流程层面控制,(PLCs),注释,:,在高风险领域，考虑保留冗余的控制,在这些流程层面的控制,措施,(PLCs),中优先考虑,自动控制措施,基于风险等级划分，考虑去除多,余的手工流程层面控制,(PLCs),形成一整套控制,(PLCs,CLCs,自动,手工,),以备测试,范围之外,识别控制目标,(COs),并为其划分风险级别,优化,具体流程的公司层面控制,考虑从测试范围中去除相关的,流程层面控制,(PLCs),重新设计的测试方法,平衡,形成从风险出发的测试方法,由阶段,1:,重要科目,相关认定,主要的交易类型,注释,:,公司层面控制,(CLCs),通常不够精准,。在这种情况下，要考虑完善公司层面控制,46,合理化控制措施阶段,2:,使现有,IT,总体控制合理化,去除不相关的控制目标,从测试范围中去除,不必要的控制,从风险出发形成,GCCs,的测试方法,对,GCCs,测试的效力及效率评估,计算机总体控制的合理化,*,效率评估标准,去除次要的或冗余的控制,在对相关的,IT,设置进行详尽测试之前，考虑测试,GCC,的流程,(e.g.,在密码设定之前对允许准入流程进行测试,),优先考虑处理多重风险的控制,=Supported by RACK,和财务报告目标以及关联的主要的交易类型风险等级 的相关性,重新设计的测试方法,注释,:,有效的合理化控制是建立在强有力的计算机整体控制,(GCCs),的基础之上的。缺少有效的计算机整体控制,(GCCs),，或者,GCCs,的测试措施不适当将使管理人员无法获得自动控制的“标杆”测试的益处,排除不相关的应用系统以及平台,识别相关,IT,应用系统，平台,(,从步骤,4),识别,GCC,领域,&,确认,GCC,控制目标的,相关性和风险等级,范围以内,范围之外,平衡,47,合理化控制措施阶段,3:,均衡自动控制和可启用的技术,更加,可靠,可潜在地,降低测试成本,:,范围,:,大大地缩小,;,通常需要较少的样本,(,因为出现例外的可能性较低,),时机,:,使部分应用系统控制,“标杆”,化以便降低测试频率,(,比如：每三年,),性质,:,更有效率地实施测试,与手工相比,更低的,实施控制的,成本,控制自动化,公司应当考虑启用他们已有的,IT,应用系统中的一些功能或者采用新的技术以便尽量降低对手工控制的依赖。,(,这应当基于稳健的计算机总体控制（,GCC,）的基础之上,).,对内部控制评估的影响,处理职责分离的冲突,提供用户准入,交易层面的控制监控,系统变更管理,舞弊监测程序,应当考虑增加新技术的领域,基于系统的发现性控制,基于系统的预防性控制,可预期,可靠性,基于人员的发现性控制,基于人员的预防性控制,48,合理化控制措施阶段,4:,使流程标准化、集中化,流程的标准化、集中化是一种长期的战略目标。另外,对流程和控制的标准化、集中化的价值远超过于每天的操作效率的改善,文件,:,使控制文件和相关的变更管理的操作的数量减少,(,例如流程描述,流程图控制矩阵,),穿行测试,:,减少穿行测试的数量,测试措施,:,使关注于风险的测试方法统一起来,样本,:,由于流程,/,控制数量的减少，样本数量也相应的减少,标准化、集中化的益处,集中的,单一的流程和控制,分散的,标准但不集中的,流程和控制,分散的流程,集中的控制,非标准的,非标准的,分散的,集中的,控制,流程,多重的,完全不同的,流程和控制,不同的流程，,标准的控制,49,企业风险管理,50,Presentation Name(View/Header and Footer),企业风险管理定义,:,“,是一个企业的董事会，管理层和其他人员实现的，贯穿于整个企业的过程，旨在识别影响企业的潜在事件和把企业风险控制在一定的范围内，以确保企业经营目标的实现。”,来源,:,COSO Enterprise Risk Management Integrated Framework,.2004.COSO.,Forrester Research Inc.,October 2005,简介,德勤一向把企业风险管理（,ERM,）看作是现代企业从事经营活动,的一个基本要素。正确的企业管理要求在商业策略中把业绩指标,和风险指标加以结合，以达到利益的最大化。在,Forrester,的评估,中，德勤展示了不容置疑的能力，在策略的制定和风险管理与,企业系统程序的融合等方面引领着其他事务所。,51,风险管理,策略,经济,保险,商业,流程,文化,资本市场,/,金融风险，,市场风险，破产奉献，分析和模型,信用分析,财产，意外事故，,负债，风险管理,多重方面,多重风险保障产品,操作,符合性,财务内部控制,客户服务,企业规范,实物的和信息的,安全,盟友,法规,策略，目标，,任务，目的,合资,外包,第三方,香港会计师公会,香港上市准则,资产保护,企业符合性,操作风险管理,财务的,操作的,符合,策略的,内部审计,风险管理可以把企业的各种目标融合在一起,52,制定风险管理的构架,AS/NZS43z60:2004,战略,COSO,风险管理构架,操作,报告,符合,内部控制环境,目标设定,事件识别,风险评估,风险发生回应,控制活动,信息和交流,监控,公司层次,部门层次,执行单元层次,分支机构层次,沟通和咨询,确定内容,风险管理内容,确定标准,定义结构,识别风险,会发生什么,时间和地点,如何和原因,分析风险,识别已经存在的控制,决定发生可能性,决定后果,决定风险水平,风险评估,与设定的标准对比,确定优先权,风险处理,确认选择,评估各种选择,准备和实施,分析和评价,监控和审查,战略,53,企业的风险管理框架包括四类目标和八个要素。四类目标分别是战略目标、经营目标、报告目标和合法性目标。八个要素分别是内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控，是企业目标实现的保证。,企业风险管理是一个过程，企业风险管理的有效性则是某一时点的一个状态或条件。决定一个企业的风险管理是否有效是基于对风险管理八要素设计和执行是否正确的评估基础上的一个主观判断。,为使风险管理有效，企业的风险管理框架必须包括所有的八个要素，并得到贯彻执行。但是，这并不意味着每一要素在不同的企业间，甚至是不同企业的同一管理层次上，都必须执行同样的功能。因为不同的要素之间可能存在着作用的相互抵消。由于企业风险管理的各种技术能够为企业不同的经营意图服务，因此，相对于某要素的技术也能够服务于通常是另一要素所体现出来的经营意图。此外，对某一特定风险的风险反应程度可能不同，以至于互补的风险反应模式可能各自对企业的影响都有限，合并后仍可以保持在风险容忍度的范围内。,COSO,：企业风险管理框架,54,在最新的,COSO,企业风险管理框架中包括八个相互关联的组成要素：,内部环境,目标制定,事项识别,风险评估,风险反应,控制活动,信息和沟通,监控,COSO,：企业风险管理框架,55,COSO,：企业风险管理框架,内部环境,企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。,内部环境影响企业战略和目标的制定、业务活动的组织和风险的识别、评估和执行等等。它还影响企业控制活动的设计和执行、信息和沟通系统以及监控活动。,内部环境包含很多内容，包括企业员工的道德观和胜任能力、人员的培训、管理者的经营模式、分配权限和职责的方式等。,56,COSO,：企业风险管理框架,目标制定,根据企业确定的任务或预期，管理者确定企业的战略目标，选择战略方案，确定相关的子目标并在企业内层层分解和落实，各子目标都应遵循企业的战略方案并与战略方案相联系。,企业的目标可以分为四类：,战略目标 是企业的高层次目标，与企业的任务和预期相联系并支持企业的任务和预期的实现。,经营目标 是指企业经营的效率性和效果性，包括经营业绩目标和盈利能力目标，由于管理者对企业结构和经营的不同选择，各企业的经营目标也不尽相同。,报告目标 指企业报告的有效性，包括企业内部和外部的报告，既包括财务信息，也包括非财务信息。,合法性目标 是指企业符合相关的法律和法规。,57,COSO,：企业风险管理框架,事项识别,管理者会意识到不确定性的存在，即管理者不能确切地知道某一事项是否会发生、何时发生或者如果发生其结果如何。作为事项识别的一部分，管理者应考虑会影响事项发生的各种企业内外部因素。外部因素包括经济、商业、自然环境、政治、社会和技术因素等，内部因素反映出管理者所做的选择，包括企业的基础设施、人员、生产过程和技术等事项。,58,COSO,：企业风险管理框架,风险评估,风险评估可以使企业了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估,风险发生的可能性和影响。,风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。,一个企业风险评估的方法通常是定量方法和定性分析技术的组合。,59,COSO,：企业风险管理框架,风险反应,管理者可以制定不同的风险反应方案，并在风险容忍度和成本效益原则的前提下，考虑每个方案如何影响事项发生的可能性和事项对企业的影响，并设计和执行风险反应方案。,风险反应可分为规避风险、减少风险、共担风险和接受风险四类。,选定某一个风险反应方案后，管理者应在残留风险的基础上重新评估风险，即从企业总体的风险组合的、预测的角度重新计量风险。在对各个独立部门的风险有一个认识的基础上，企业最高层的管理者应以组合的角度看待风险，以决定企业的风险组合与相对企业目标而言的总体的风险偏好是否相符。,60,COSO,：企业风险管理框架,控制活动,控制活动是帮助保证风险反应方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门。控制活动是企业努力实现其商业目标的过程的一部分。通常包括两个要素：确定应该做什么的一个政策和影响该政策的一系列过程。,因为每一个主体都有其自己的一套目标和执行目标的方法，因此其子目标、结构和相关的控制活动也会不同。即使两个企业有同样的目标和结构，他们的控制活动可很可能不同。每个企业的管理人员都不同，不同的管理人员在影响内部控制时使用不同的个人判断。而且，控制活动反映了一个企业所处的环境和行业，也会反映企业的复杂性、企业的历史和文化。,61,COSO,：企业风险管理框架,信息和沟通,来自企业内外部的相关信息必须以一定的行式和时间间隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责。有效的沟通也是广义上的沟通，包括企业内自上而下、自下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有效沟通和交换，如客户、供应商、行政管理部门和股东等。,62,COSO,：企业风险管理框架,监控,对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的一个过程。企业可以通过两种方式对风险管理进行监控,持续监控和个别评估。,持续监控是对企业日常的、重复的经营活动的监控，在实时的基础上进行，是对不断变化的环境的动态地反应，应在企业内部彻底地贯彻和执行。,个别评估的频率是企业管理者的主观判断问题。在决定个别评估的频率时，管理者应考虑来自于企业内部和外部事项的变化的性质和程度以及相应的风险、企业员工进行风险反应和相应控制的能力和经验、持续监控的结果等因素,。,63,一个好的组织结构有助于笼络各级别的员工,企业单元,识别风险,确定风险限额,实施政策,报告,管理委员会,批准政策,批准风险的限度,批准风险的容忍度,提供监督,风险管理委员会,监督,-,协调,-,管理,-,树立标准,董事会,制定政策,建议风险限度,建议风险容忍度,向,RMC,报告,发布实施,示例,1,示例,2,除了组织结构之外，还要给关键的参与者建立明确的职位和职责,协调人,高级经理,企业单元,风险管理人,报告,政策和指导,方法，工具,和技巧,64,建立目标，参数和风险术语,建立目标，参数和风险术语,定义各个部门，分支和,/,或各个单元,确定内部和外部的关联人和他们的任务目标,界定和评估：,结构,;,能力，各种资源比如人力，系统，程序和资金需求；,风险管理活动的深度和广度,;,决定各个参与部分在风险管理目标中的角色和职责,;,定义风险术语,了解所在工业和商业中驱动市场改变的力量,法规,会计师协会,法规建设,公司法规,证监会,监管,董事会和,审计委员会,的预期,竞争压力,其他,公众认知,网络化的经济,分析家,借款人,投资者,资本市场,更严格的法规,提高的批露制度,更低的风险容忍度,不可预知的法规复杂性,65,Member of,Deloitte Touche Tohmatsu,66,