850 likes | 963 Views
《企业内部控制》模块考试大纲. CERM 注册企业风险管理师培训专用课件. 一、考试目的. 本模块测试考生对企业内部控制基本理论和专业知识的掌握情况,考核考生运用内部控制这一企业风险管理措施与手段支持和落实企业风险治理对策的能力,考核考生在综合分析诊断企业全面和系统性风险问题时运用企业内部控制管理基本知识的能力,以及在一定程度上考核考生设计、实施和评价企业内部控制体系的专业水平。. 二、考试基本要求. 2.1 掌握以下内容 2.1.1 内部控制概述 1. 内部控制相关概念 2. 内部控制目标 3 .内部控制的原则
E N D
《企业内部控制》模块考试大纲 CERM 注册企业风险管理师培训专用课件 1
一、考试目的 • 本模块测试考生对企业内部控制基本理论和专业知识的掌握情况,考核考生运用内部控制这一企业风险管理措施与手段支持和落实企业风险治理对策的能力,考核考生在综合分析诊断企业全面和系统性风险问题时运用企业内部控制管理基本知识的能力,以及在一定程度上考核考生设计、实施和评价企业内部控制体系的专业水平。 2
二、考试基本要求 • 2.1 掌握以下内容 • 2.1.1 内部控制概述 • 1. 内部控制相关概念 • 2. 内部控制目标 • 3.内部控制的原则 • 4. 内部控制类型、要点、措施和方法 • 5. 内部控制的范围 • 6. 良好的内部控制特征 • 7. 内部控制的地位与作用 • 8. 企业内部控制框架 3
二、考试基本要求 • 2.1.2 内部控制的五大要素 • 1. 控制环境 • 2. 风险评估 • 3. 控制活动 • 4. 信息与沟通 • 5. 监控 • 2.1.3 内部控制体系设计、实施与评价 • 1. 内部控制体系设计考虑要点 • 2. 内部控制体系设计基本方法 • 3.关键业务控制设计实务要点 • 4. 内部控制体系建立与实施 • 5. 内部控制体系评价要点
二、考试基本要求 • 2.1.4 内部控制与相关管理实践的关系 • 1. 内部控制与公司治理 • 2. 内部控制目标与平衡计分卡 • 3. 内部控制与流程管理 • 4. 内部控制与操作风险管理及合规风险管理的关系 • 5. 内部控制在企业全面风险管理中的作用 • 6. 内部控制体系与其他管理体系的关系
二、考试基本要求 • 2.2 了解以下内容 • 2.2.1 了解内部控制发展历史与未来发展趋势 • 2.2.2 了解本地区与国际范围内部控制理论与实践 • 2.2.3 了解内部控制的局限性 • 2.2.4 了解有关内部控制重要的国际准则(例如COSO标准、萨班斯法案、ISO31000等) • 2.2.5 了解管理控制与财务控制的不同 • 2.2.6 内部控制人员素质要求
三、要点内容 • 3.1 内部控制概述 • 3.2 内部控制的五大要素的描述与实施要点 • 3.3 内部控制体系设计、实施与评价 • 3.4 内部控制与相关管理实践的关系 • 3.5 了解内部控制发展历史与未来发展趋势
3.1.1. 内部控制相关概念。 • 1. 管理:管理是指导和控制企业的协调活动。 • 管理活动通常包括:制定企业的战略(包括企业发展的方针、政策、目标等),以及相关的策划、控制、保证和改进活动(亦有表述为“计划、组织、协调、控制、指挥”等活动)。 • 2. 控制:控制是管理活动/职能的一部分,控制的目的是为了致力于实现相关目标、满足相关要求。 • 3. 内部控制:依照ISO/IEC 导则73《风险管理—术语》,内部控制是一类控制风险的措施,是一种风险治理的解决方案,旨在最小化风险。内部控制包括所有相关的政策、手段措施、实践和其他策划好的行动等。 • 依照目前COSO的定义,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。从COSO—内部控制框架延伸而来,目前一般用内部控制要素和内部控制目标来描述内部控制的主体框架。内部控制包括控制环境、风险评估、控制活动、信息及交流、内部监督等五个相互关联的过程要素。内部控制的目标包括:战略目标、经营目标、报告目标和合规目标。
3.1.1. 内部控制相关概念。 • 4. 内部控制政策:被企业决策高层批准的所有风险控制目标和风险控制方向。有关于内部控制政策的进一步解释请看后文。 • 5. 内部控制活动:是指确保管理层的要求得以实施的政策及程序。 • 6. 内部控制体系:内部控制体系是企业为实现经营管理目标,通过制定并实施系统化的政策、程序和方案,对风险进行有效识别、分析、评价、控制、监测和改进的动态过程和机制。 • 7. 内部控制自我评估:内部控制自我评估(Control Self—Assessment, CSA)系由企业操作人员/管理 人员/审计人员开展的、用以评估内部控制有效性的过程。其目的是对达成所有经营管理目标提供合 理的保证(assurance)。 • 内部控制自我评估亦称“风险控制自我评估”或“CRSA”。 • 实施内部控制自我评估的方法一般包括:问卷调查、流程图、检查表等方法。 • 8. 内部控制评价:内部控制评价是指对企业内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。 • 内部控制评价包括过程评价和结果评价。 • 过程评价是对内部控制的控制环境、风险评估、控制活动、信息与交流、监督管理等体系要素的评价。
3.1.2 内部控制目标 • 内部控制目标一般包括战略目标、经营目标、报告目标和合规目标,是合理保证企业经营管理合法合规、资产安全、财务报告报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。 • 企业内部控制的基本目标是通过风险管理和内部控制来实现价值持续增加的经营目标。 • 1.战略目标 • 2.经营目标 • 3.报告目标 • 4.合规目标
3.1.2 内部控制目标 • 此外,由于企业管理控制源自于企业财务控制的率先实践,因此从财务审计标准的角度来看,企业内部控制(例如其中的财务控制内容)的具体目标设定可参照以下八个方面: • 1.保护资产(safeguarding of assets) • 2.保护会计记录的可靠性(reliability of accounting—record) • 3.及时提供可靠的财务信息(timely preparation of reliable financial information) • 4.盈利和尽量减少不必要的花费(profitability and minimization of unnecessary costs) • 5.避免无意识地面临风险敞口(avoidance of unintentional exposure to risk) • 6.预防和查明错误和不正常现象(prevention or detection of errors and irregularities) • 7.保证授予的职责得到正确履行(assurance that delegated responsibility have been properly discharged) • 8.履行法律责任(discharge of statutory responsibilities)
3.1.3 内部控制的原则 • 1. 全面性原则 • 2. 重要性原则 • 3. 制衡性 • 4. 适应性原则 • 5. 成本效益原则 • 6. 预防性原则 • 7. 持续改进原则 • 8. 合规性原则
3.1.3 内部控制的原则 • 9.有效性原则 • 10.独立性原则 • 11.权威性和优先性原则 • 12.可控性原则 • 13.与管理过程相结合原则 • 14.风险评估先导性原则
3.1.4 内部控制类型、要点、措施和方法 • 1.控制类型 • 按照控制过程顺序分类:环境和结构控制、政策控制、预防性控制、操作控制(例如流程和程序)、发现性控制、纠错性控制。 • 按照控制目的分类,有以下四类: • ⑴ 预防型:以防止发生不良事态为目的的控制。较探测型控制而言,这种控制因为避免了错误、省去了纠错费用而具有更大的成本效益。 • ⑵ 引导型:引发或促使某一良性事态发生的控制。这种类型的控制同样具备成本效益,并有助于防止错误的产生。 • ⑶ 探测型:发现已经发生的不良事态。尽管总体上比前两种类型开支更大,但探测型控制能够衡量预防型和引导型控制的有效性,并能够发现通过预防制度不能有效控制的错误。 • ⑷ 纠错型:确保已经发生过的不良事态不会再度发现的控制。
3.1.4 内部控制类型、要点、措施和方法 • 2.控制要点 • ⑴ 对于可能导致偏离内部控制政策、目标的运行情况,应建立并保持书面程序和要求,并在程序中规定人员适任条件要求、授权要求、操作要求和控制标准。 • ⑵ 对于重要活动应考虑采用诸如“四眼原则”的制衡机制;实施连续记录和监督检查。 • ⑶ 在可能的情况下,应考虑运用计算机系统进行控制。 • ⑷ 对于采购或外包的设施、设备、系统和服务中已识别的风险,应建立并保持控制程序,并将有关程序和要求通报供方,确保其遵守企业相关的控制要求。 • ⑸ 对于产品、组织结构、流程、计算机系统的设计过程,应建立有效的控制程序。
3.1.4 内部控制类型、要点、措施和方法 • 3.内部控制措施 • 控制措施所涉及的范围一般可包括(但不限于此):目标控制、指标和标准控制、决策控制、预防控制、政策及制度控制、组织与结构控制、员工素质控制、信息控制、流程控制、程序控制、关键风险点强化控制、计划和预算控制、预测和预警控制、监测检查及监督控制、审计控制、记录控制、报告控制、追踪控制、纠错控制、试点控制、绩效考核控制等。
3.1.4 内部控制类型、要点、措施和方法 • 以下为一些通常采用的控制措施具体举例: • ⑴ 检查控制。 • ⑵ 行为控制。 • ⑶ 实物控制。 • ⑷ 风险暴露限制的审查。 • ⑸ 审批与授权。 • ⑹ 验证与核实。 • ⑺ 不兼容岗位的适当分离。
3.1.4 内部控制类型、要点、措施和方法 • 4.控制方法 • ⑴ 前馈控制(Forward Control):活动开始之前所作出的控制。这种方法属于预防性控制,是事前之控制用以阻止错误的发生。 • ⑵ 实时性控制(Concurrent Control):在活动进行中加以控制,让发生问题和矫正行动之时间间隔降至最低。 • ⑶ 回馈控制(Feedback Control):在活动发生后所采取的控制行动。
3.1.5 内部控制的范围 • 本考试大纲本模块依照战略、操作、财务和声誉四大板块思路绘制出企业应设置内部控制的领域分布图(如下图),供参考。
3.1.6 良好的内部控制特征 • 1.及时――内部控制体系应及早发现潜在或实际偏差以期减少损失。管理人员应对潜在问题作出预测,确保一旦出现问题就能够采取有效控制措施加以阻止并(或)予以确认和纠正。 • 2.节约――内部控制体系应作出“合理保证”,即以合理的较低费用实现预期的控制目标。可以实施绝对控制,但有可能得不偿失。内部控制体系应通过减少追加资金以外的开支及潜在损失来支付自身费用。因此,管理部门应将需要防止、查实或纠正的开支与相关控制制度的费用进行比较;效率与节约必须与控制的有效性一并考虑。然而,如果出于对安全、环境、敏感问题或提高信誉的考虑,某些控制应予以批准。 • 3.责任感――内部控制体系应促使员工对所肩负的任务表现出责任感。管理人员需要内部控制体系以使其尽职尽责,因此,他们应谙悉内部控制的目的及操作。 • 4.配置――内部控制措施应配置于最能发挥效力之处,如适当地置于关键过程之前、当中或结束时。 • 5.灵活性――内部控制体系应能够适应因时间关系所引起的程序变化,必须经过修订才能继续有效的内部控制体系则不足取。 • 6.确认起因――如果控制不但能发现问题,而且还能追本溯源,则有助于迅速实施纠正措施。 • 7.恰当――控制应符合管理之需要及目标。
3.1.8 企业内部控制的框架 • 1. 目前企业内部控制框架的实施状况 • 本考试大纲目前建议的企业内部控制框架(三维): • 目标层面:战略目标、运营目标、报告目标(修正之出强调风险报 告)和合规目标 • 要素层面:控制环境、风险评估、控制活动、信息与沟通、监控 • 结构层面:企业整体层面、分支机构、业务单位、子公司 • 2.未来企业内部控制框架的发展
3.2 内部控制的五大要素的描述与实施要点 • 内部控制具体包括:控制环境、风险评估、控制活动、信息与沟通、监控等五大要素。
3.2.1 控制环境 • 1. 内部环境要素描述 • 内部控制环境是企业实施内部控制的基础,影响着组织中员工的控制意识。控制环境是其他内部控制因素的基础,为内部控制界定了规则和结构。一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
3.2.1 控制环境 • 2. 内部环境要素实施要点 • ⑴ 公司治理 • ⑵ 机构与管理职能 • ⑶ 内部控制政策 • 内部控制政策应: • 与企业的经营宗旨和发展战略相一致; • 体现持续改进内部控制的要求; • 符合现行法律法规要求; • 规范内部控制实施的结构框架和过程框架; • 描述企业的风险偏好与风险容忍度,体现出侧重控制的风险类型; • 体现出对不同地区、行业、产品的风险控制要求; • 传达给适用岗位的员工,指导员工实施风险控制措施; • 可为风险相关方所获取,并寻求互利合作; • 定期进行评审,确保其持续的适宜性和有效性。
3.2.1 控制环境 • ⑷ 企业文化 • ⑸ 人力资源 • 人力资源政策(主要包括但不限于): • 员工的聘用、培训、辞退与辞职。 • 员工的薪酬、考核、晋升与奖惩。 • 关键岗位员工的强制休假制度和定期岗位轮换制度。 • 掌握重要商业秘密的员工离岗的限制性规定。 • 有关人力资源管理的其他政策。 • ⑹ 风险管理 • ⑺ 内部审计 • ⑻ 管理手册
3.2.2风险评估 • 1. 风险评估要素描述 • 企业科学系统识别、分析和评价影响企业各级目标实现的所有风险因素、局部风险因素或特定领域风险因素的这一过程被称为风险评估。风险评估是企业了解风险和确定风险控制目标的依据,是企业识别控制环节和控制关键点的依据,是企业实施内部控制过程管理不可逾越的关键步骤,是企业实施全面风险管理的方法论支撑基础。 • 每个组织(企业)都要面对需要评估的各种内部和外部的风险。风险评估的一个前提条件是要确立与不同级别相联系并内在统一的目标。风险评估就是要识别并分析影响组织(企业)目标实现的相关风险,并为决定如何管理和控制这些风险提供决策依据。由于经济、行业、法规和经营条件等的不断变化,相应的机制和风险也会产生改变,从而也要求风险评估的实施必须是及时的和周期持续的。
3.2.2风险评估 • 2.风险评估要素实施要点 • ⑴ 风险评估相关概念和原则 • ① 风险控制目标 • ② 固有风险、剩余风险和当前风险水平 • ③ 风险忍受度 • 风险忍受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。 • ④ 关键风险 • ⑤ 风险评估技术和方法
3.2.2风险评估 • ⑵风险识别 • ① 内部风险识别关注因素 • —董事、监事、经理及其他高级管理人员的职业操守和决策水平/风格。 • —员工专业胜任能力等人力资源因素。 • —组织机构、经营方式、资产管理、业务流程等管理因素。 • —研究开发、技术投入、信息技术运用等自主创新因素。 • —财务状况、经营成果、现金流量等财务因素。 • —营运质量和安全、员工健康、环境保护等安全环保因素。 • —信息的有效性、内部控制的有效性和公司治理有效性等识别。 • —合规风险的识别。 • —其他有关内部风险因素。
3.2.2风险评估 • ② 外部风险识别关注因素 • —经济形势、产业政策、投融资环境、市场竞争、资源供给等经济因素。 • —法律法规、监管要求等法律因素。 • —安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。 • —技术进步、工艺改进等科学技术因素。 • —自然灾害、环境状况等自然环境因素。 • —外部突发事件影响。 • —其他有关外部风险因素。
3.2.2风险评估 • ⑶ 风险分析 • 风险分析是为了更多或更精确地了解风险的特征,企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析。另外,在风险分析时还往往对风险的敏感性和不确定性等特征实施分析。 • ⑷ 风险评价 • ⑸ 风险治理对策 • ① 风险规避 ② 移走滋生风险的根源 ③ 改善风险的特征 • ④ 风险分担/风险转移 ⑤ 风险承受 ⑥ 风险应对 • ⑹ 选择内部控制这一风险改善对策的落实措施
3.2.3 控制活动 • 1.控制活动要素描述 • 2.控制活动要素实施要点 • ⑴ 企业应根据风险管理策略,针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。 • ⑵ 企业制定风险管理解决的外包方案,应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等,并制定相应的预防和控制措施。 • ⑶ 企业制定风险解决的内控方案,应满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。 • ⑷ 控制活动是体现控制政策的程序或行动,往往是控制措施的组合。前文有关于企业控制措施的相关内容已给出了基本的概念。 以下是一些可称之为常见的体现在企业各项控制活动中的内控措施,包括: ① 授权; ② 报告 ; ③ 批准 ; ④ 问责 ; ⑤ 审计检查 ; ⑥ 考核评价 ; ⑦ 重大风险预警 ; ⑧ 法律顾问 ; ⑨ 制衡,明确规定不相容职责的分离 。
3.2.4 信息与沟通 • 1.信息与沟通要素描述 • 2.信息与沟通要素实施要点 • ⑴ 信息与沟通制度 • ⑵ 信息收集 • ⑶ 信息传递和沟通 • ⑷ 以信息为基础的控制措施 • ⑸ 文件信息控制 • ⑹ 信息技术
3.2.5 监控 • 1.监控要素描述 • 监控是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,并提议改进。 • 2.监控要素实施要点 • ⑴ 内部控制监控制度 • 企业应当根据相关规范制定内部控制监控制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监控中的职责权限,规范内部监控的措施类别、程序、方法和要求。 • 内部监控分为日常监督和专项监控。
3.2.5 监控 • ⑵ 内部控制缺陷认定 • 企业应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。 • 内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。 • ⑶ 内部控制自我评价 • 企业应当结合内部监控情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。 • 内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。 • 国家有关法律法规另有规定的,从其规定。
3.2.5 监控 • ⑷ 监控报告 • 监控报告(除非就某一监控方面监管机构提出特别要求)因企业不同和因监控的目标任务不同而不同。一般监控报告应报告监控发现的事实和监控发现的潜在问题,有时也报告目标实现的可能性评估,如有必要也可给出就发现问题的应对建议。 • ⑸ 记录控制 • 应建立相关文档的保存和记录制度,以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。 • 记录应保持清晰、易于识别和检索,以提供符合要求和内部控制体系有效运行的证据,并可追溯到相关的活动。
3.3.1 内部控制体系设计考虑要点 • 企业在实施内部控制的设计时要考虑内部控制的目标和政策,要体现企业内部控制管理的总体原则(本考试大纲本模块的前文中已陈述了这一原则),要考虑内部控制的成本许可与实施的可行性,应征求企业利益相关者的建议并与他们实施充分的沟通和协商。
3.3.1 内部控制体系设计考虑要点 • 具体来讲,企业的内部控制体系的设计,一般可主要考虑以下要点: • 1. 企业战略的澄清及确认,以及企业目标管理体系的建立; • 2. 企业内部控制政策的制订。内部控制政策一般包括企业的组织结构,运营模式,部门及岗位职责、授权、报告路线,与目标相关的风险偏好及风险容忍度,风险管理基本对策; • 3. 企业管理及业务流程(程序)的梳理、整合与优化; • 4.了解和确认企业的风险管理目标和内部控制目标,遵循内部控制政策; • 5. 在遵循内部控制的原则基础上,识别、评估、监测、报告、控制和改进相关风险。
3.3.1 内部控制体系设计考虑要点 在设计企业内部控制时,在基于上述要点的基础上,还应进一步考虑以下内容: —有关控制指标界定或标准确定 — 内部控制要识别和考虑企业关键业务、关键业绩、关键流程与关键控制点 — 预警考虑 — 考虑合规要求 — 考虑风险评估结果建议 —评价现有风险控制水平和风险控制能力 —识别和确定企业所接受的风险控制水平 — 考虑控制成本 — 评价控制措施与非控制措施的风险应对效果和成本,进而做出控制措施选择 — 基于企业关键风险控制点的内部控制的流程和程序设计 — 确定控制措施、程序和控制活动 —从制度着手的内部控制 —从标准化和规范化角度着手的内部控制 — 确定应急措施 — 确定控制资源 —考虑常规控制和非常规控制,考虑风险控制的压力极限 —提出企业风险控制能力的建设和提升目标,设计合理的企业风险控制能力
3.3.2 内部控制体系设计的基本方法 • 企业应建立以企业经营管理目标为指针,以流程管理和风险管理为基础的,以“业务条线及管理职能、风险管理、审计”三道防线为机制,以内部控制五要素为框架的文件化的内部控制体系。 • 企业内部控制体系的设计应至少体现以下主要方法: • 1. 原则为本的方法(Principle—Based Approach) • 2. 绩效为本的方法(Performance—Based Approach) • 3. 流程为本的方法(Process—Based Approach) • 4. 职责为本的方法(Responsibility—Based Approach) • 5. 风险为本的方法(Risk—Based Approach) • 6. 体系为本的方法(System—Based Approach)
3.3.3 关键业务控制设计实务要点 • 企业内部控制的设计应包括战略、操作、报告、合规等几个层面。然而,在企业中最为关注的内控焦点仍然是基于关键业务、关键业绩、关键流程和关键风险点的内部控制的设计和有效运行的问题。由于内部控制的发展历经了几个重要时期的沿革,似乎每一个企业都感到自身在内部控制管理方面都或多或少的按照传统内控的某些理念做过一些工作(例如制订了各种制度),然而当如今企业需要在ERM的框架下重新梳理内部控制体系时却感到不知从何下手!原因是因为尚不能准确定位ERM时代内部控制设计的发展改进方向,不全面了解当代“管理控制”发展的最新设计思路和设计视角,也不十分清晰在ERM框架下实施“管理控制”的具科学性的程序和步骤。针对这一问题,为增加对内部控制学科实用性的指导力度,本考试大纲本模块特选择以“关键业务内部控制设计”为解说点,以陈述本模块所推介的有关该设计的程序或步骤,供读者或考生们参考。
3.3.3 关键业务控制设计实务要点 • 风险指标确认(考虑风险偏好、风险容忍度以及考虑合规) • 风险评估 (包括风险识别、风险分析和风险评价三个阶段) • 在风险评估的评价阶段,评价内控水平: • (1)确认关键风险点 • (2)评估目前的内控水平状况(可适度测试) • (3)确定适合于企业状况的内控应有水平 • (4)内控资源评价
3.3.3 关键业务控制设计实务要点 • 4. 基于风险评估的结果,为所选定的关键业务制订内部控制的框架方案 • 其中这一方案中应列出对已识别出来的每一个关键风险的控制措施,例如包括: • 在这一关键业务中,围绕着某一被识别出来的关键风险点,可采用的控制行动包括: • (1)在遵从企业整体风险的管理政策的基础之上,为该关键风险制定风险管理政策(例如其中声明风险容忍度,合规要求,声明该关键风险的控制责任等) • (2)制定风险管理计划(例如,该计划陈述落实风险管理政策的安排,并且还应包括应急计划预案等) • (3)考虑和设置预警(如有必要,或者有可能) • (4)恰当的制定或修订管理制度 • (5)以该关键风险治理和控制为思维出发点,考虑相关风险的关联性或可能的叠加效果 • (6)围绕着关键风险点,设计合理与充足的各类控制活动 • (7)将该关键风险的控制并入到所关注业务的流程控制中去,实施控制平衡 • (8)围绕关键风险点,结合各类控制活动,设定总体控制程序 • (9)为关键风险设置监控机制和报告机制 • (10)为关键风险设计周期性评价机制
3.3.3 关键业务控制设计实务要点 • 5、实施关键风险的控制框架 • 6、监督上述框架的实施 • 7、不断改进这一框架
3.3.4 内部控制体系的建立与实施 • 建立和实施内部控制体系的方法包括以下步骤: • 1. 确定企业各相关方的需求和期望; • 2. 澄清及确认组织的战略和经营管理目标; • 3. 确定实现企业经营管理目标必需的组织机构、职责、权限,以及报告路线; • 4. 制订相关的内部控制政策、管理程序、业务流程; • 5. 识别相关风险,并制订相关控制措施; • 6. 确定和提供实现经营管理目标必需的资源; • 7. 规定测量(检查或考核)每个业务及管理过程和风险的方法; • 8. 识别与评估所产生的风险,并采取相应的控制措施改进管理并使剩余风险处于可接受水平; • 9. 建立和应用持续改进内部控制体系的过程,尤其包括自我评价、风险评估与报告、审计等; • 10. 不断优化控制环境,并与企业全面风险管理的大环境相吻合与协调。
3.3.5 内部控制体系评价要点 • 1. 内部环境 • ⑴ 内部环境评价原则 • 企业董事会应负责审批企业的策略和政策;了解企业运作的风险(特别是关键性风险),确定企业对这些风险的承受力,并确保高级管理层采取必要措施识别、监管和控制这些风险;审批企业机构的框架,确保高级管理层对内部控制体系的有效性实行监管。 • 高级管理层有责任执行企业董事会审批的策略;制定合适的内部控制政策;监管内部控制体系的有效性。 • 企业董事会和高级管理层有责任提高自身的职业道德与廉洁自律的标准,在机构内部形成一种文化氛围,向各级人员说明并强调内部控制体系的重要性。企业的各级人员都应了解其自身的岗责,都应具备完成其岗责的能力,都应了解他们在内部控制程序中所分配的角色和应起的作用,并应在这一程序中全力以赴履行各自的职责。 • 企业应建立健全全面风险管理体系,为企业内部控制的有效实施提供基础性、体系性和全面性的支持环境。
3.3.5 内部控制体系评价要点 • ⑵ 内部环境评价要点 • ① 诚信与伦理价值观 • 管理层必须让雇员了解,诚信与伦理价值观是不能妥协的,雇员必须接受和理解这一点。管理层必须通过言行表现出对高尚道德标准的承诺。 • ● 行为规范及有关经营行为、利益冲突,伦理道德标准的政策是否存在并得到实施。 • ● “高层基调”(包括明确什么是对、什么是错的道德规范)是否已经建立。它在整个机构的交流程度如何。 • ● 处理与雇员、供应商、客户、投资商、贷款方、保险公司、竞争对手、稽核人员等的关系。 • ● 对不遵守公司政策、程序和违反行为规范的行为是否采取了恰当的补救措施。补救措施在多大程度上得以实施,并使企业内每位员工都能了解。 • ● 管理层对干预和超越内部控制的态度。 • ● 实现不现实的经营目标(特别是达到短期效果)的压力。达到这些经营自标后,存在的报酬奖励范围。
3.3.5 内部控制体系评价要点 • ② 对员工能力的承诺 • 管理层必须明确规定每项具体工作对职员能力的要求,并将这些能力要求以所需的知识与技能的方式表达。 • ● 对每项工作是否制定了正式或非正式的工作要求,或用其他方式对工作加以描述。 • ● 正确分析从事某项工作所需的知识与技能
3.3.5 内部控制体系评价要点 • ③ 董事会与审计委员会 • 一个活跃、有效的董事会将发挥重要的监督功能,因为管理层很可能凌驾于内部控制之上。董事会在保证内部控制的有效性方面将发挥重要作用。 • ● 监督工作独立于管理层之外是非常必要的,即便很难做到,显得过于追根究底,还是应该提出问题。 • ● 如果有必要对具体事务给予更深刻、更直接的关注,董事会是否能发挥应有作用,董事会的知识及经验 • ● 与财务会计主管、内部稽核员和外部审计师召开会议的频率和及时性 • ● 向董事会和稽核委员会成员提供的信息是否充分和及时,以使管理层的且标、战略、公司的财务状况、经营业绩、重要协议的条款得到监督。 • ● 董事会和稽核委员会处理敏感信息、调查不当行为的有效性与及时性。 • ● 是否监督高级官员和内部稽核主管制定了奖惩政策和对他们的任免制度 • ● 建立恰当“高层基调”作用 • ● 董事会或稽核委员会是否根据其发现的问题采取行动,包括必要时进行的特别调查。