內(nèi)部控制與風(fēng)險(xiǎn)管理框架

內(nèi)部控制與風(fēng)險(xiǎn)管理框架第一部分內(nèi)部控制的發(fā)展與演變一、內(nèi)部控制的淵源和早期發(fā)展二、內(nèi)部控制的初步形態(tài)：內(nèi)部牽制三、內(nèi)部控制理論和實(shí)踐的分野四、內(nèi)部控制的發(fā)展與演變五、國際上較有影響的內(nèi)部控制準(zhǔn)則或指南六、我國內(nèi)部控制規(guī)范建設(shè)的情況一、內(nèi)部控制的淵源和早期發(fā)展內(nèi)部控制的淵源十分久遠(yuǎn)，自從有了人類的群體活動(dòng)和組織之后，就會(huì)產(chǎn)生對組織的成員及其活動(dòng)進(jìn)行控制的需要內(nèi)部控制的發(fā)軔最早可以追溯到公元前3600年—公元前3200年的蘇美爾文化時(shí)期古埃及、古波斯、古希臘、古羅馬和古代中國都有原始內(nèi)部牽制制度的雛形原始的內(nèi)部牽制制度最早是為部落、城邦、莊園、國家服務(wù)的中世紀(jì)資本主義生產(chǎn)關(guān)系萌芽，商業(yè)組織開始出現(xiàn)，內(nèi)部牽制進(jìn)入企業(yè)領(lǐng)域，開啟了一個(gè)廣闊的發(fā)展空間控制（control）一詞最早產(chǎn)生于17世紀(jì)，其原始含義是“由登記者之外的人對帳冊進(jìn)行的核對和檢查”二、內(nèi)部控制的初步形態(tài)：內(nèi)部牽制內(nèi)部控制是從內(nèi)部牽制（internalcheck）的基礎(chǔ)上發(fā)展起來的20世紀(jì)以前，盛行的觀念和實(shí)務(wù)都停留在內(nèi)部牽制階段內(nèi)部牽制的目的是糾錯(cuò)防弊，其前提性假設(shè)是：兩個(gè)或多個(gè)人犯同一種錯(cuò)誤的概率較小，兩個(gè)或多個(gè)人串通舞弊的可能性較小，難度較大內(nèi)部牽制的基本思路是分工和牽制主要的牽制機(jī)能包括：分權(quán)牽制、實(shí)物牽制、機(jī)械牽制和簿記牽制三、內(nèi)部控制理論和實(shí)踐的分野審計(jì)視角下的內(nèi)部控制

20世紀(jì)以后，審計(jì)職業(yè)界出于擺脫全面查核、提高審計(jì)效率的考慮，開始關(guān)注內(nèi)部控制20世紀(jì)中葉，審計(jì)和內(nèi)部控制的發(fā)展不斷交織，進(jìn)而互動(dòng)和耦合，直接導(dǎo)致了制度基礎(chǔ)審計(jì)模式的誕生此后，內(nèi)部控制逐漸確立了在審計(jì)中的地位，成為推動(dòng)審計(jì)模式演變和探索審計(jì)理論與方法的重要因素之一內(nèi)部控制與審計(jì)的交叉和耦合，是推動(dòng)內(nèi)部控制理論與實(shí)踐發(fā)展的最主要的力量管理視角下的內(nèi)部控制

現(xiàn)代管理學(xué)說把控制看作管理的一項(xiàng)核心職能，圍繞著管理所展開的控制研究和實(shí)踐，是內(nèi)部控制發(fā)展的一個(gè)重要分支，我們一般把這個(gè)分支統(tǒng)稱為管理控制幾乎所有的著名管理大師，包括法約爾、德魯克、錢德勒、羅賓斯等，在他們的管理學(xué)著作中，都涉及到控制問題圍繞著管理控制，形成了自我控制論、控制過程論、控制系統(tǒng)論、控制動(dòng)力論、生態(tài)控制論等多個(gè)分支這個(gè)學(xué)派隨著控制論、系統(tǒng)論和現(xiàn)代管理學(xué)的發(fā)展而不斷發(fā)展而專以控制研究而著稱的前沿觀點(diǎn)以哈佛大學(xué)西蒙斯教授的管理杠桿理論最具代表性戰(zhàn)略管理會(huì)計(jì)視角下的內(nèi)部控制

隨著現(xiàn)代管理會(huì)計(jì)的發(fā)展，戰(zhàn)略管理會(huì)計(jì)學(xué)派的一個(gè)分支將組織內(nèi)的控制系統(tǒng)區(qū)分為戰(zhàn)略規(guī)劃、管理控制和作業(yè)控制三個(gè)層次管理控制主要是多事業(yè)部制的公司對其戰(zhàn)略業(yè)務(wù)單元（SBU）所進(jìn)行的戰(zhàn)略業(yè)績考評和控制系統(tǒng)這個(gè)學(xué)派的主要代表是哈佛大學(xué)的安東尼教授和卡普蘭教授四、內(nèi)部控制的發(fā)展與演變內(nèi)部控制階段1936，AIA，《獨(dú)立公共會(huì)計(jì)師對財(cái)務(wù)報(bào)表的檢查》，首次提出內(nèi)部控制的概念注冊會(huì)計(jì)師在制定審計(jì)程序時(shí)，應(yīng)考慮的一個(gè)重要因素是審查企業(yè)的內(nèi)部牽制和控制，企業(yè)的會(huì)計(jì)制度和內(nèi)部控制越健全，財(cái)務(wù)報(bào)表需要測試的范圍就越小內(nèi)部控制是為了保護(hù)公司現(xiàn)金和其他資產(chǎn)，核對簿記的準(zhǔn)確性，而在公司內(nèi)部采用的手段和方法1938年，麥克森—羅賓斯事件：PW的審計(jì)程序中缺少對內(nèi)部控制和會(huì)計(jì)處理程序的審查1939年10月，AIA審計(jì)程序委員會(huì)發(fā)布SAP1《審計(jì)程序的擴(kuò)展》，首次增加內(nèi)部控制審查的內(nèi)容1940年10月，SEC正式要求審計(jì)師在簽署的審計(jì)報(bào)告中增加類似的內(nèi)容1949年，AIA審計(jì)程序委員會(huì)（CAP），《內(nèi)部控制：一個(gè)協(xié)調(diào)的系統(tǒng)要素及其對管理層和獨(dú)立公共會(huì)計(jì)師的重要性》，首次給出內(nèi)部控制的權(quán)威定義內(nèi)部控制包括組織的計(jì)劃和為了保護(hù)資產(chǎn)、核對會(huì)計(jì)資料準(zhǔn)確性和可靠性、提高經(jīng)營效率、以及促使遵循管理層所制定的各項(xiàng)政策所采取的各種方法和措施內(nèi)部控制系統(tǒng)階段1958年10月，CAP發(fā)布了SAP29“獨(dú)立審計(jì)師評價(jià)內(nèi)部控制的范圍”，將內(nèi)部控制劃分為會(huì)計(jì)控制和管理控制1963年10月，CAP在SAP33“審計(jì)準(zhǔn)則與程序（匯編）”中強(qiáng)調(diào)：獨(dú)立審計(jì)師應(yīng)主要檢查會(huì)計(jì)控制1972年11月，SAP54“審計(jì)師對內(nèi)部控制的研究與評價(jià)”，對管理控制和會(huì)計(jì)控制的定義進(jìn)行了修訂和充實(shí)1972年11月，AudSEC

發(fā)布SAS1“審計(jì)準(zhǔn)則和程序匯編”會(huì)計(jì)控制包括組織的計(jì)劃和與保護(hù)資產(chǎn)和保證財(cái)務(wù)資料的可靠性有關(guān)的程序和記錄管理控制包括但不限于組織的計(jì)劃和與管理層授權(quán)辦理經(jīng)濟(jì)業(yè)務(wù)的決策過程有關(guān)的程序和記錄1977年，《反國外腐敗行為法案》（FCPA），要求公眾公司保持充分的內(nèi)部會(huì)計(jì)控制，采納SAS1的定義1979年，SEC要求公眾公司在年度報(bào)告中增加管理層報(bào)告，對公司內(nèi)部會(huì)計(jì)控制是否為FCPA規(guī)定的內(nèi)部控制目標(biāo)提供合理保證作出說明，并要求注冊會(huì)計(jì)師進(jìn)行審查、發(fā)表意見內(nèi)部控制結(jié)構(gòu)階段1988年4月，ASB發(fā)布SAS55“財(cái)務(wù)報(bào)表審計(jì)中對內(nèi)部控制的考慮”，引入“內(nèi)部控制結(jié)構(gòu)”的概念內(nèi)部控制結(jié)構(gòu)包括為合理保證企業(yè)特定目標(biāo)的實(shí)現(xiàn)而建立的各項(xiàng)政策和程序內(nèi)部控制結(jié)構(gòu)包括3個(gè)要素：控制環(huán)境，會(huì)計(jì)體系，控制程序內(nèi)部控制整合框架階段1992年9月，COSO發(fā)布《內(nèi)部控制——整合框架》（1994年局部修訂）COSO成立于1987年，是Treadway委員會(huì)（反欺詐財(cái)務(wù)報(bào)告全國委員會(huì)）的發(fā)起組織委員會(huì)，后者成立于1985年，由AICPA，AIA，IIA，F(xiàn)EI，IMA發(fā)起成立內(nèi)部控制的3個(gè)目標(biāo)：經(jīng)營的有效性和效率，財(cái)務(wù)報(bào)告的可靠性，對適用法律法規(guī)的遵循內(nèi)部控制的5個(gè)構(gòu)成要素：控制環(huán)境，風(fēng)險(xiǎn)評估，控制活動(dòng)，信息與溝通，監(jiān)控1995年12月，ASB發(fā)布SAS78“財(cái)務(wù)報(bào)表審計(jì)中對內(nèi)部控制的考慮：對SAS55的修正”，全面采納COSO的內(nèi)部控制框架SOX404及相關(guān)規(guī)則采用的也是這個(gè)框架監(jiān)控控制環(huán)境風(fēng)險(xiǎn)評估控制活動(dòng)信溝通息與溝通信息與企業(yè)風(fēng)險(xiǎn)管理整合框架：未來趨勢？2004年9月，COSO正式發(fā)布《企業(yè)風(fēng)險(xiǎn)管理——整合框架》ERM的4個(gè)目標(biāo)：戰(zhàn)略，經(jīng)營，報(bào)告，合規(guī)ERM的8個(gè)構(gòu)成要素：內(nèi)部環(huán)境，目標(biāo)設(shè)定，事項(xiàng)識別，風(fēng)險(xiǎn)評估，風(fēng)險(xiǎn)應(yīng)對，控制活動(dòng)，信息與溝通，監(jiān)控內(nèi)部環(huán)境戰(zhàn)略目標(biāo)設(shè)定事項(xiàng)識別風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)應(yīng)對控制活動(dòng)信息與溝通監(jiān)控經(jīng)營報(bào)告合規(guī)子公司業(yè)務(wù)單元分部企業(yè)層次五、國際上較有影響的內(nèi)部控制準(zhǔn)則或指南國際上較有影響的內(nèi)部控制框架、準(zhǔn)則和指南1．美國，COSO，《內(nèi)部控制——整合框架》，1992年9月（1994年局部修訂）（它是目前最有影響的框架性文件，是此后諸多準(zhǔn)則、指南的藍(lán)本。也是美國公認(rèn)審計(jì)準(zhǔn)則相關(guān)規(guī)定、SOX法案相關(guān)要求的主要參照）2．美國，GAO（審計(jì)總署，2004年改名為政府問責(zé)署，簡稱仍為GAO），《聯(lián)邦政府內(nèi)部控制準(zhǔn)則》，1999年11月（內(nèi)部控制進(jìn)入公共部門的代表性標(biāo)志）3．巴塞爾銀行業(yè)監(jiān)管委員會(huì)，《銀行業(yè)機(jī)構(gòu)內(nèi)部控制系統(tǒng)框架》，1998年9月（權(quán)威而影響廣泛的金融機(jī)構(gòu)內(nèi)部控制國際指南）4．英國，F(xiàn)RC（財(cái)務(wù)報(bào)告委員會(huì)），《Turnbull內(nèi)部控制指南》，2005年10月修訂（Turnbull內(nèi)部控制指南最初由ICAEW（英格蘭與威爾士特許會(huì)計(jì)師協(xié)會(huì)）于1999年發(fā)布）5．加拿大，CoCo（控制標(biāo)準(zhǔn)委員會(huì)，隸屬于加拿大特許會(huì)計(jì)師協(xié)會(huì)（CICA）），《控制指南》，1995年與風(fēng)險(xiǎn)管理相結(jié)合的權(quán)威內(nèi)部控制框架、準(zhǔn)則和指南1．美國，COSO，《企業(yè)風(fēng)險(xiǎn)管理——整合框架》，2004年9月2．英國，IRM（風(fēng)險(xiǎn)管理學(xué)會(huì)），AIRMIC（保險(xiǎn)與風(fēng)險(xiǎn)管理師協(xié)會(huì)），ALARM（全國公共部門風(fēng)險(xiǎn)管理論壇），《風(fēng)險(xiǎn)管理準(zhǔn)則》，2002年3．澳大利亞，新西蘭，AS/NZS4360，《風(fēng)險(xiǎn)管理準(zhǔn)則》，2004年（最初的版本于1995年發(fā)布）4．加拿大，CAN/CSA-Q850-97，《風(fēng)險(xiǎn)管理指南》，1997年10月5．南非，King委員會(huì)報(bào)告II，《公司治理報(bào)告》，2002年（其中包括內(nèi)部控制和風(fēng)險(xiǎn)管理）6．中國香港特別行政區(qū)，香港會(huì)計(jì)師公會(huì)（HKICPA），《內(nèi)部控制與風(fēng)險(xiǎn)管理——基本框架》，2005年6月7．日本，經(jīng)濟(jì)產(chǎn)業(yè)省風(fēng)險(xiǎn)管理與內(nèi)部控制研究會(huì)，《風(fēng)險(xiǎn)新時(shí)代的內(nèi)部控制》，2005年6月與信息技術(shù)相結(jié)合的權(quán)威內(nèi)部控制準(zhǔn)則和指南

1．國際標(biāo)準(zhǔn)組織（ISO），ISO17799，《信息系統(tǒng)安全》，2005年2．ISACA（信息系統(tǒng)審計(jì)與控制協(xié)會(huì)），ITGI（IT治理協(xié)會(huì)），《信息與相關(guān)技術(shù)的控制目標(biāo)》（COBIT），2003年（最初的版本于1996年發(fā)布）3．IIARF（內(nèi)部審計(jì)師協(xié)會(huì)研究基金會(huì)），《系統(tǒng)可審計(jì)性與控制》（SAC），最初于1991年發(fā)布，1994年修訂六、我國內(nèi)部控制規(guī)范建設(shè)的情況財(cái)政部《內(nèi)部會(huì)計(jì)控制規(guī)范》2001年6月22日，《內(nèi)部會(huì)計(jì)控制規(guī)范——基本規(guī)范（試行）》，《內(nèi)部會(huì)計(jì)控制規(guī)范——貨幣資金（試行）》2002年12月23日，《內(nèi)部會(huì)計(jì)控制規(guī)范——采購與付款（試行）》，《內(nèi)部會(huì)計(jì)控制規(guī)范——銷售與收款（試行）》2003年10月22日，《內(nèi)部會(huì)計(jì)控制規(guī)范——工程項(xiàng)目(試行)》2004年8月19日，《內(nèi)部會(huì)計(jì)控制規(guī)范——擔(dān)保（試行）》，《內(nèi)部會(huì)計(jì)控制規(guī)范——對外投資（試行）》商業(yè)銀行、保險(xiǎn)機(jī)構(gòu)內(nèi)部控制指引1997年5月16日，中國人民銀行，《加強(qiáng)金融機(jī)構(gòu)內(nèi)部控制的指導(dǎo)原則》（已廢止）2002年9月7日，中國人民銀行，《商業(yè)銀行內(nèi)部控制指引》2004年12月25日，中國銀監(jiān)會(huì)，《商業(yè)銀行內(nèi)部控制評價(jià)試行辦法》2005年2月28日，中國保監(jiān)會(huì)，《保險(xiǎn)中介機(jī)構(gòu)內(nèi)部控制指引（試行）》證券公司、基金公司內(nèi)部控制指引2001年1月31日，中國證監(jiān)會(huì)，《證券公司內(nèi)部控制指引》（已廢止）2002年12月3日，中國證監(jiān)會(huì)，《證券投資基金管理公司內(nèi)部控制指導(dǎo)意見》2003年12月15日，中國證監(jiān)會(huì)，《證券公司內(nèi)部控制指引》（修訂）2006年6月30日，中國證監(jiān)會(huì)，《證券公司融資融券業(yè)務(wù)試點(diǎn)內(nèi)部控制指引》2007年2月13日，中國證監(jiān)會(huì)，《證券投資基金銷售機(jī)構(gòu)內(nèi)部控制指導(dǎo)意見（征求意見稿）》上市公司內(nèi)部控制指引2006年6月5日，《上海證券交易所上市公司內(nèi)部控制指引》，自2006年7月1日起施行2006年9月28日，《深圳證券交易所上市公司內(nèi)部控制指引》，自2007年7月1日起施行其他2006年6月6日，國務(wù)院國有資產(chǎn)監(jiān)督管理委員會(huì)，《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》2002年2月，中國注冊會(huì)計(jì)師協(xié)會(huì)，《內(nèi)部控制審核指導(dǎo)意見》2006年7月6日，財(cái)政部企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會(huì)成立主席：王軍（財(cái)政部副部長）副主席：李小雪（中國證券監(jiān)督管理委員會(huì)紀(jì)委書記）邵寧（國務(wù)院國有資產(chǎn)監(jiān)督管理委員會(huì)副主任）秘書長：劉玉廷（財(cái)政部會(huì)計(jì)司司長）委員：29人2008年5月22日，財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》自2009年7月1日起在上市公司范圍內(nèi)施行鼓勵(lì)非上市的大中型企業(yè)執(zhí)行2010年4月26日，財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制配套指引》。該配套指引包括18項(xiàng)《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制評價(jià)指引》和《企業(yè)內(nèi)部控制審計(jì)指引》，并規(guī)定自2011年1月1日起在境內(nèi)外同時(shí)上市的公司執(zhí)行，2012年1月1日起在上交所、深交所主板上市公司執(zhí)行?！吨敢愤B同此前發(fā)布的《規(guī)范》，標(biāo)志著適合我國企業(yè)內(nèi)部控制規(guī)范體系已基本建成。

內(nèi)部控制標(biāo)準(zhǔn)體系基本規(guī)范應(yīng)用指引評價(jià)指引審計(jì)指引需要面對的問題《企業(yè)內(nèi)部控制基本規(guī)范》與兩個(gè)交易所《上市公司內(nèi)部控制指引》之間的關(guān)系《企業(yè)內(nèi)部控制基本規(guī)范》與《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》之間的關(guān)系第二部分內(nèi)部控制整合框架一、定義二、控制環(huán)境三、風(fēng)險(xiǎn)評估四、控制活動(dòng)五、信息與溝通六、監(jiān)控七、內(nèi)部控制的局限八、職能與責(zé)任一、定義內(nèi)部控制是一個(gè)由企業(yè)董事會(huì)、管理層和其他員工實(shí)施的、旨在為下列各類目標(biāo)的實(shí)現(xiàn)提供合理保證的過程：經(jīng)營的有效性和效率財(cái)務(wù)報(bào)告的可靠性遵循適用的法律和法規(guī)這個(gè)定義反映了一些基本概念：內(nèi)部控制是一個(gè)過程。它是實(shí)現(xiàn)目的的手段，而不是目的本身內(nèi)部控制由人員來實(shí)施。它并不僅僅是政策手冊和表格，還涉及組織中各個(gè)層級的人員只能期望內(nèi)部控制為主體的管理層和董事會(huì)提供合理保證，而不是絕對保證內(nèi)部控制被用來實(shí)現(xiàn)一個(gè)或多個(gè)彼此獨(dú)立又相互交叉的類別的目標(biāo)內(nèi)部控制的目標(biāo)：經(jīng)營（operations）目標(biāo)——與主體資源利用的有效性與效率有關(guān)財(cái)務(wù)報(bào)告（financialreporting）目標(biāo)——與編制可靠的公開財(cái)務(wù)報(bào)表有關(guān)合規(guī)（compliance）目標(biāo)——與主體對適用的法律和法規(guī)的遵循有關(guān)構(gòu)成要素：控制環(huán)境（controlenvironment）——所有業(yè)務(wù)活動(dòng)的核心都是人員——他們的個(gè)人特性，包括誠信、道德價(jià)值觀和勝任能力——以及他們進(jìn)行經(jīng)營所處的環(huán)境。他們是推動(dòng)主體發(fā)展的引擎，也是所有事情依賴的基礎(chǔ)

風(fēng)險(xiǎn)評估（riskassessment）——企業(yè)必須了解和應(yīng)對它所面臨的風(fēng)險(xiǎn)。它必須設(shè)定目標(biāo)，整合銷售、生產(chǎn)、營銷、財(cái)務(wù)和其他活動(dòng)，以便使組織協(xié)調(diào)一致地運(yùn)行。它還必須建立識別、分析和管理相關(guān)風(fēng)險(xiǎn)的機(jī)制

控制活動(dòng)（controlactivities）——必須確立和執(zhí)行控制政策和程序，以幫助確保那些被管理層確認(rèn)為對實(shí)現(xiàn)主體目標(biāo)的風(fēng)險(xiǎn)而言所必需的活動(dòng)得以有效地實(shí)施

信息與溝通（informationandcommunication）——圍繞在這些活動(dòng)周圍的是信息與溝通系統(tǒng)。它們使主體的員工能夠獲得和交換那些執(zhí)行、管理和控制其運(yùn)營所需的信息監(jiān)控（monitoring）——必須對整個(gè)過程進(jìn)行監(jiān)控，并在必要時(shí)作出修改。這樣，該體系才能作出動(dòng)態(tài)反應(yīng)，隨著情況的需要而變化監(jiān)控控制環(huán)境風(fēng)險(xiǎn)評估控制活動(dòng)信溝通息與溝通信息與目標(biāo)和構(gòu)成要素之間的關(guān)系：目標(biāo)和構(gòu)成要素之間有著直接的關(guān)系，目標(biāo)是主體努力爭取實(shí)現(xiàn)的東西，構(gòu)成要素則代表著要實(shí)現(xiàn)這些目標(biāo)需要什么每個(gè)構(gòu)成要素行都“貫穿”并適用于所有三類目標(biāo)所有五個(gè)構(gòu)成要素與每一類目標(biāo)都有關(guān)聯(lián)內(nèi)部控制與整個(gè)企業(yè)相關(guān)，或與它的某一部分（子公司、分部或其他業(yè)務(wù)單元，或者職能或諸如購買、生產(chǎn)、營銷等其他活動(dòng)）相關(guān)有效性如果董事會(huì)和管理層能夠合理保證以下三個(gè)方面，則內(nèi)部控制可以在三類目標(biāo)中任何一類上可分別被判斷為有效：?他們了解主體的經(jīng)營目標(biāo)得以實(shí)現(xiàn)的程度?公布的財(cái)務(wù)報(bào)表被可靠地編制?適用的法律和法規(guī)得到了遵循確定特定的內(nèi)部控制體系是否有效是一種主觀判斷，它來自對五個(gè)構(gòu)成要素是否存在并有效運(yùn)行的評估內(nèi)部控制和管理過程管理活動(dòng)內(nèi)部控制主體層次目標(biāo)設(shè)定——使命，價(jià)值觀陳述戰(zhàn)略規(guī)劃確立控制環(huán)境因素活動(dòng)層次目標(biāo)設(shè)定風(fēng)險(xiǎn)識別和分析風(fēng)險(xiǎn)管理實(shí)施控制活動(dòng)信息識別、獲取和溝通監(jiān)控糾正措施VVVVV二、控制環(huán)境控制環(huán)境設(shè)定了一個(gè)組織的基調(diào)，影響其員工的控制意識它是內(nèi)部控制的其他所有構(gòu)成要素的基礎(chǔ)，為其提供了秩序和結(jié)構(gòu)控制環(huán)境的要素包括誠信和道德價(jià)值觀對勝任能力的要求董事會(huì)或?qū)徲?jì)委員會(huì)管理層的理念和經(jīng)營風(fēng)格組織結(jié)構(gòu)權(quán)力和責(zé)任的分配人力資源政策和實(shí)務(wù)評價(jià)

誠信和道德價(jià)值觀?存在并執(zhí)行有關(guān)可接受的經(jīng)營實(shí)務(wù)、利益沖突或期望的道德行為準(zhǔn)則方面的行為守則和其他政策?涉及員工、供應(yīng)商、客戶、投資者、債權(quán)人、保險(xiǎn)公司、競爭者和審計(jì)師等（例如，管理層是否在一個(gè)較高的道德水準(zhǔn)上開展經(jīng)營，堅(jiān)持其他人也必須這樣，或者不重視道德問題）?達(dá)到不切實(shí)際的業(yè)績目標(biāo)——尤其是短期成果——的壓力，以及薪酬于實(shí)現(xiàn)這些業(yè)績目標(biāo)掛鉤的程度

對勝任能力的要求

?正式或非正式的崗位描述，或者其他界定構(gòu)成特定崗位的任務(wù)的方式

?對充分履行崗位職責(zé)所需要的知識和技能的分析董事會(huì)或?qū)徲?jì)委員會(huì)

?獨(dú)立于管理層，以便提出必要的問題，即使這些問題很困難或需要調(diào)查

?與首席財(cái)務(wù)官和/或會(huì)計(jì)負(fù)責(zé)人、內(nèi)部審計(jì)人員和外部審計(jì)師會(huì)談的頻率和及時(shí)性

?向董事會(huì)或?qū)ｉT委員會(huì)成員提供信息的充分性和及時(shí)性，提供這些信息是為了獲準(zhǔn)監(jiān)控管理層的目標(biāo)和戰(zhàn)略、企業(yè)的財(cái)務(wù)狀況和經(jīng)營成果，以及重大協(xié)議的條款

?向董事會(huì)或?qū)徲?jì)委員會(huì)通報(bào)敏感信息、調(diào)查事項(xiàng)和不當(dāng)行為（例如，高級官員的旅行費(fèi)用、重大訴訟、監(jiān)管機(jī)構(gòu)的調(diào)查、貪污、受賄或?yàn)E用公司資產(chǎn)、違反內(nèi)幕交易規(guī)則、政治性捐款、非法支付）的充分性和及時(shí)性管理層的理念和經(jīng)營風(fēng)格

?承擔(dān)的經(jīng)營風(fēng)險(xiǎn)的性質(zhì)，例如，管理層是否經(jīng)常涉足風(fēng)險(xiǎn)特別高的投機(jī)活動(dòng)，或者對在承擔(dān)風(fēng)險(xiǎn)方面極其保守

?高級管理層和運(yùn)營管理層之間互動(dòng)的頻率，尤其是在地理位置偏遠(yuǎn)的地區(qū)進(jìn)行運(yùn)營時(shí)

?對財(cái)務(wù)報(bào)告的態(tài)度和行動(dòng)，包括對會(huì)計(jì)處理方法運(yùn)用的爭議（例如，選擇穩(wěn)健的還是激進(jìn)的會(huì)計(jì)政策；是否錯(cuò)用了會(huì)計(jì)原則，沒有披露重要的財(cái)務(wù)信息，或者篡改或偽造記錄）組織結(jié)構(gòu)

?主體組織結(jié)構(gòu)的適當(dāng)性，以及提供必要的信息流以便管理其活動(dòng)的能力

?關(guān)鍵管理人員責(zé)任界定的適當(dāng)性，以及他們對這些責(zé)任了解的充分性

?相對于其責(zé)任而言，關(guān)鍵管理人員知識和經(jīng)驗(yàn)的充分性權(quán)力和責(zé)任的分配

?分配責(zé)任和授予權(quán)力以便實(shí)現(xiàn)組織宗旨和目標(biāo)、經(jīng)營職能和監(jiān)管要求，包括對信息系統(tǒng)的責(zé)任和對變革的授權(quán)

?與內(nèi)部控制相關(guān)的準(zhǔn)則和程序的適當(dāng)性，包括員工崗位描述

?足夠數(shù)量的具備與主體規(guī)模、活動(dòng)和系統(tǒng)的性質(zhì)和復(fù)雜程度相適應(yīng)的必要技能的人員，尤其是與數(shù)據(jù)處理和會(huì)計(jì)職能有關(guān)的人員人力資源政策和實(shí)務(wù)

?員工聘用、培訓(xùn)、晉升和薪酬方面的政策和程序制定到位的程度

?為應(yīng)對偏離既定政策和程序所采取的補(bǔ)救措施的適合性

?對員工候選人的背景進(jìn)行核查的充分性，尤其是當(dāng)企業(yè)認(rèn)為對其以前的行為或活動(dòng)無法接受的情況下

?員工保留和晉升標(biāo)準(zhǔn)以及信息收集方法（例如，業(yè)績評價(jià)）的適當(dāng)性，以及與行為守則和其他行為指南的關(guān)系三、風(fēng)險(xiǎn)評估每個(gè)主體都面臨著來自外部和內(nèi)部的必須予以評估的一系列風(fēng)險(xiǎn)風(fēng)險(xiǎn)評估的前提是設(shè)定在各個(gè)層次相互關(guān)聯(lián)和內(nèi)在一致的目標(biāo)風(fēng)險(xiǎn)評估是識別和分析影響目標(biāo)實(shí)現(xiàn)的相關(guān)風(fēng)險(xiǎn)，為確定應(yīng)該如何管理這些風(fēng)險(xiǎn)奠定基礎(chǔ)目標(biāo)目標(biāo)設(shè)定是風(fēng)險(xiǎn)評估的前提條件。必須首先有目標(biāo)，管理層才能識別實(shí)現(xiàn)這些目標(biāo)的風(fēng)險(xiǎn)，并采取必要的措施來管理風(fēng)險(xiǎn)目標(biāo)設(shè)定是管理過程的一個(gè)關(guān)鍵部分，盡管它不是內(nèi)部控制的構(gòu)成要素，但它是內(nèi)部控制的先決條件和使能方法目標(biāo)的類別：經(jīng)營目標(biāo)，財(cái)務(wù)報(bào)告目標(biāo)，合規(guī)目標(biāo)目標(biāo)的交叉：保護(hù)資產(chǎn)風(fēng)險(xiǎn)識別和分析風(fēng)險(xiǎn)的過程是一個(gè)持續(xù)的重復(fù)過程，它是有效的內(nèi)部控制體系的關(guān)鍵構(gòu)成要素風(fēng)險(xiǎn)識別主體層次：外部因素，內(nèi)部因素活動(dòng)層次風(fēng)險(xiǎn)分析

?估計(jì)風(fēng)險(xiǎn)的嚴(yán)重性

?評估風(fēng)險(xiǎn)發(fā)生的可能性（或頻率）

?考慮如何管理風(fēng)險(xiǎn)——即評估需要采取何種措施應(yīng)對變化評價(jià)主體層次的目標(biāo)?對主體目標(biāo)充分陳述的程度，是否對主體期望實(shí)現(xiàn)的目標(biāo)提供充分的指導(dǎo)，而且特定目標(biāo)直接與該主體相關(guān)?向員工和董事會(huì)傳達(dá)主體目標(biāo)的有效性?主體目標(biāo)與各種策略的關(guān)系和一致性?主體目標(biāo)、戰(zhàn)略計(jì)劃和當(dāng)前環(huán)境條件與經(jīng)營計(jì)劃和預(yù)算的一致性活動(dòng)層次的目標(biāo)

?活動(dòng)層次目標(biāo)與主體層次的目標(biāo)和戰(zhàn)略計(jì)劃的關(guān)聯(lián)度

?活動(dòng)層次目標(biāo)之間的一致性

?活動(dòng)層次目標(biāo)與所有重要的業(yè)務(wù)流程的相關(guān)性

?活動(dòng)層次目標(biāo)的特異性

?與目標(biāo)相關(guān)的資源是否充足

?識別對實(shí)現(xiàn)主體層次的目標(biāo)來說是較重要的目標(biāo)（關(guān)鍵成功因素）

?各級管理層參與目標(biāo)設(shè)定，以及他們對實(shí)現(xiàn)目標(biāo)履行諾言的程度風(fēng)險(xiǎn)

?識別外部因素造成風(fēng)險(xiǎn)的機(jī)制是否足夠全面

?識別內(nèi)部因素造成風(fēng)險(xiǎn)的機(jī)制是否足夠全面

?為每個(gè)重要的活動(dòng)層次目標(biāo)識別重大風(fēng)險(xiǎn)

?風(fēng)險(xiǎn)分析流程（包括估計(jì)風(fēng)險(xiǎn)的重要性、評估風(fēng)險(xiǎn)出現(xiàn)的可能性并確定需要采取的行動(dòng)）的徹底性和相關(guān)性應(yīng)對變化

?是否存在各種機(jī)制去預(yù)測、識別并對影響實(shí)現(xiàn)主體或活動(dòng)層次目標(biāo)的日常事件或活動(dòng)作出反應(yīng)（通常由負(fù)責(zé)受該種變化影響最大的業(yè)務(wù)活動(dòng)的管理人員來實(shí)施）

?是否存在各種機(jī)制去識別變化并對變化作出反應(yīng)，這種變化會(huì)給主體帶來巨大和滲透性影響而且可能還需要高級管理層的關(guān)注四、控制活動(dòng)控制活動(dòng)是指為確保管理層的指令得以貫徹執(zhí)行的政策和程序它有助于確保采取必要的行動(dòng)進(jìn)行風(fēng)險(xiǎn)管理和保證主體層次的目標(biāo)的實(shí)現(xiàn)控制活動(dòng)貫穿于主體的所有級別和職能部門它包括一系列不同的活動(dòng)，如批準(zhǔn)、授權(quán)、驗(yàn)證、核對、經(jīng)營業(yè)績評價(jià)、資產(chǎn)保全以及職責(zé)分離等控制活動(dòng)的類型高層復(fù)核直接的職能活動(dòng)或業(yè)務(wù)管理信息處理實(shí)物控制業(yè)績指標(biāo)職責(zé)分離對信息系統(tǒng)的控制一般控制數(shù)據(jù)中心操作控制系統(tǒng)軟件控制接觸安全控制應(yīng)用系統(tǒng)開發(fā)和維護(hù)控制應(yīng)用控制五、信息與溝通相關(guān)信息必須以某種形式和在一定時(shí)限內(nèi)被識別、獲得和傳達(dá)溝通，以便可以使員工履行自己的責(zé)任信息系統(tǒng)生成含有與經(jīng)營、財(cái)務(wù)和合規(guī)性有關(guān)信息的報(bào)告，從而使管理運(yùn)作和控制主體成為可能信息系統(tǒng)不僅處理內(nèi)部生成的數(shù)據(jù)，也處理有關(guān)外部事件、活動(dòng)和條件狀況的信息，這些信息對有資料依據(jù)的主體的決策和外部報(bào)告都是必需的有效的溝通也必須廣泛的進(jìn)行，自上而下、自下而上地貫穿整個(gè)主體所有人員都要從高級管理層獲得明確的信息：必須認(rèn)真對待控制責(zé)任他們必須了解各自在內(nèi)部控制體系中擔(dān)任的職能，以及個(gè)人參與的控制活動(dòng)與他人工作是如何相互關(guān)聯(lián)的他們必須有自下而上傳遞重要信息的渠道和方法同時(shí)，也需要與外部各方如客戶、供應(yīng)商、監(jiān)管機(jī)構(gòu)和股東等建立有效的溝通評價(jià)信息系統(tǒng)

·獲得外部和內(nèi)部信息，向管理層提供必要的報(bào)告，說明與實(shí)現(xiàn)主體確立目標(biāo)相關(guān)的主體業(yè)績表現(xiàn)·向合適的人及時(shí)提供足夠詳細(xì)的信息，使他們能夠有有效性和效率地履行其責(zé)任·依據(jù)一份信息系統(tǒng)戰(zhàn)略計(jì)劃（與主體總體戰(zhàn)略相關(guān)），發(fā)展或修改信息系統(tǒng)，使其為實(shí)現(xiàn)主體層次的目標(biāo)及活動(dòng)層次目標(biāo)服務(wù)·通過承諾提供適當(dāng)?shù)娜肆ω?cái)力資源顯示管理層對發(fā)展必要的信息系統(tǒng)的支持溝通系統(tǒng)

·傳達(dá)交流員工義務(wù)和控制責(zé)任的有效性

·建立溝通渠道，使員工可以舉報(bào)受到懷疑的不當(dāng)行為

·管理層對員工建議提高生產(chǎn)力、強(qiáng)化質(zhì)量或其它相似改進(jìn)的方法的接受程度·主體內(nèi)部相互之間溝通是否足夠（例如，采購活動(dòng)與生產(chǎn)活動(dòng)之間）；信息的完整性和及時(shí)性以及是否足以使人們有效地履行其責(zé)任·與客戶、供應(yīng)商和其他外部有關(guān)方溝通交流不斷變化的客戶需求信息的渠道的開放性和有效性·外部各方已了解該主體道德準(zhǔn)則的程度·管理層通過與客戶、供應(yīng)商、監(jiān)管機(jī)構(gòu)或其他外部有關(guān)方的溝通，采取了及時(shí)和合適的跟進(jìn)措施六、監(jiān)控對內(nèi)部控制需要進(jìn)行監(jiān)控監(jiān)控是一個(gè)評估內(nèi)部控制體系在一定時(shí)期內(nèi)運(yùn)行質(zhì)量的過程監(jiān)控可以通過持續(xù)性的監(jiān)控活動(dòng)、個(gè)別評價(jià)或兩者并用來實(shí)現(xiàn)這個(gè)過程持續(xù)性監(jiān)控活動(dòng)發(fā)生在經(jīng)營的過程中，它包括日常管理和監(jiān)控活動(dòng)以及個(gè)人在履行其責(zé)任時(shí)采取的其他行動(dòng)個(gè)別評價(jià)的范圍和頻率將主要取決于風(fēng)險(xiǎn)評估和持續(xù)性監(jiān)控程序的有效性應(yīng)自下而上匯報(bào)內(nèi)部控制的缺陷，其中嚴(yán)重的問題應(yīng)上報(bào)高級管理層和董事會(huì)持續(xù)性監(jiān)控活動(dòng)的例子在執(zhí)行常規(guī)管理活動(dòng)時(shí)，負(fù)責(zé)運(yùn)營的管理層獲取內(nèi)部控制持續(xù)發(fā)揮功能的證據(jù)與外界各方的溝通能夠印證內(nèi)部生成的信息或揭示問題適當(dāng)?shù)慕M織結(jié)構(gòu)和監(jiān)控活動(dòng)可監(jiān)控內(nèi)部控制職能的執(zhí)行并識別內(nèi)部控制的缺陷將信息系統(tǒng)所記錄的數(shù)據(jù)與實(shí)物資產(chǎn)相比較內(nèi)部及外部審計(jì)師定期為進(jìn)一步加強(qiáng)內(nèi)部控制的方法提供建議培訓(xùn)研討會(huì)、計(jì)劃會(huì)議及其他會(huì)議可以向管理層提供有關(guān)內(nèi)部控制是否有效的重要反饋定期要求主體員工明確說明他們是否理解并遵守主體的員工行為守則個(gè)別評價(jià)個(gè)別評價(jià)內(nèi)部控制的范圍和頻率主要取決于被控風(fēng)險(xiǎn)的重要性以及內(nèi)部控制在減少風(fēng)險(xiǎn)中的重要性內(nèi)部控制自我評估缺陷報(bào)告評價(jià)持續(xù)性監(jiān)控·在員工進(jìn)行其日?；顒?dòng)中獲得證據(jù)的程度，以此表明內(nèi)部控制體系是否繼續(xù)發(fā)揮作用·與外部各方進(jìn)行溝通確認(rèn)內(nèi)部生成的信息或指明問題的程度·定期對會(huì)計(jì)系統(tǒng)記錄的金額與實(shí)物資產(chǎn)進(jìn)行核對·對內(nèi)部和外部審計(jì)師建議增強(qiáng)內(nèi)部控制手段的反應(yīng)·培訓(xùn)研討會(huì)、計(jì)劃會(huì)議及其他會(huì)議向管理層提供有關(guān)內(nèi)部控制是否有效的重要反饋的程度·是否定期要求員工說明他們是否理解并遵守主體的員工行為守則并且正常執(zhí)行了關(guān)鍵控制活動(dòng)·內(nèi)部審計(jì)活動(dòng)的有效性。個(gè)別評價(jià)·內(nèi)部控制體系個(gè)別評價(jià)的范圍和頻率·評價(jià)流程的適合性·評價(jià)內(nèi)部控制體系的方法是否合理、適當(dāng)·文件記錄水平的適當(dāng)性報(bào)告缺陷·是否有獲取和報(bào)告識別出的內(nèi)部控制缺陷的機(jī)制·上報(bào)規(guī)程的適合性·跟進(jìn)行動(dòng)的適合性七、內(nèi)部控制的局限無論內(nèi)部控制設(shè)計(jì)和運(yùn)行的多完善，它也只能向管理層和董事會(huì)就實(shí)現(xiàn)主體目標(biāo)提供合理保證實(shí)現(xiàn)主體目標(biāo)的可能性受到所有內(nèi)部控制體系的固有局限的影響，這些局限包括：在決策時(shí)個(gè)人判斷可能會(huì)出錯(cuò)由于簡單的誤差或錯(cuò)誤這樣的失誤而可能出現(xiàn)內(nèi)部控制失效兩人或多人的串通也可以繞過內(nèi)部控制管理層能夠凌駕于內(nèi)部控制之上系統(tǒng)另一個(gè)限制性因素是需要考慮內(nèi)部控制的相對成本和收益八、職能與責(zé)任主體中每一個(gè)人都對內(nèi)部控制負(fù)有責(zé)任管理層要為主體的內(nèi)部控制體系負(fù)責(zé)首席執(zhí)行官最終對內(nèi)部控制體系負(fù)責(zé)并應(yīng)承擔(dān)內(nèi)部控制體系“所有權(quán)”的責(zé)任盡管管理層的所有成員都發(fā)揮著重要作用并對控制他們各自部門的活動(dòng)負(fù)責(zé)，但首席財(cái)務(wù)官和總會(huì)計(jì)師對管理層行使控制的方式起著主要的作用內(nèi)部審計(jì)人員在內(nèi)部控制體系持續(xù)有效性方面發(fā)揮著作用，但他們不承擔(dān)建立和維持該系統(tǒng)的主要責(zé)任董事會(huì)和其審計(jì)委員會(huì)對內(nèi)部控制體系提供重要的監(jiān)控外部有關(guān)方面（例如外部審計(jì)師）常常在實(shí)現(xiàn)主體目標(biāo)方面發(fā)揮作用并提供在實(shí)施內(nèi)部控制中有用的信息。但是，他們不是主體內(nèi)部控制體系的一部分，也不對內(nèi)部控制體系的有效性負(fù)責(zé)第三部分企業(yè)風(fēng)險(xiǎn)管理

整合框架一、定義二、內(nèi)部環(huán)境三、目標(biāo)設(shè)定四、事項(xiàng)識別五、風(fēng)險(xiǎn)評估六、風(fēng)險(xiǎn)應(yīng)對七、控制活動(dòng)八、信息與溝通九、監(jiān)控十、職能與責(zé)任十一、企業(yè)風(fēng)險(xiǎn)管理的局限一、定義不確定性與價(jià)值企業(yè)風(fēng)險(xiǎn)管理的一個(gè)基本前提是每一個(gè)主體存在的目的都是為它的利益相關(guān)者提供價(jià)值所有的主體都面臨不確定性，對于管理層的挑戰(zhàn)在于確定在追求增加利益相關(guān)者價(jià)值的同時(shí)，準(zhǔn)備承受多少不確定性事項(xiàng)——風(fēng)險(xiǎn)與機(jī)會(huì)風(fēng)險(xiǎn)是一個(gè)事項(xiàng)將會(huì)發(fā)生并給目標(biāo)實(shí)現(xiàn)帶來負(fù)面影響的可能性機(jī)會(huì)是一個(gè)事項(xiàng)將會(huì)發(fā)生并給目標(biāo)實(shí)現(xiàn)帶來正面影響的可能性企業(yè)風(fēng)險(xiǎn)管理的定義企業(yè)風(fēng)險(xiǎn)管理是一個(gè)過程，它由一個(gè)主體的董事會(huì)、管理層和其他人員實(shí)施，應(yīng)用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會(huì)影響主體的潛在事項(xiàng)，管理風(fēng)險(xiǎn)以使其在該主體的風(fēng)險(xiǎn)容量之內(nèi)，并為主體目標(biāo)的實(shí)現(xiàn)提供合理保證。企業(yè)風(fēng)險(xiǎn)管理是：一個(gè)過程，它持續(xù)地流動(dòng)于主體之內(nèi)；由組織中各個(gè)層級人員實(shí)施；應(yīng)用于戰(zhàn)略制訂；貫穿于企業(yè)，在各個(gè)層級和單元應(yīng)用，還包括采取主體層級的風(fēng)險(xiǎn)組合觀；旨在識別一旦發(fā)生將會(huì)影響主體的潛在事項(xiàng)，并把風(fēng)險(xiǎn)控制在風(fēng)險(xiǎn)容量以內(nèi)；能夠向一個(gè)主體的管理層和董事會(huì)提供合理保證；力求實(shí)現(xiàn)一個(gè)或多個(gè)不同類型但相互交叉的目標(biāo)——它只是實(shí)現(xiàn)結(jié)果的一種手段，并不是結(jié)果本身。風(fēng)險(xiǎn)容量與風(fēng)險(xiǎn)容限風(fēng)險(xiǎn)容量（riskappetite）是一個(gè)主體在追求價(jià)值的過程中所愿意承受的廣泛意義的風(fēng)險(xiǎn)的數(shù)量。它反映了主體的風(fēng)險(xiǎn)管理理念，進(jìn)而影響主體的文化和經(jīng)營風(fēng)格。風(fēng)險(xiǎn)容限（risktolerance）是相對于實(shí)現(xiàn)一項(xiàng)具體目標(biāo)而言，可以接受的偏離程度，它通常最好采用那些與度量相關(guān)目標(biāo)相同的單位進(jìn)行度量。四類目標(biāo)戰(zhàn)略——與高層次的目的相關(guān)，協(xié)調(diào)并支撐主體的目標(biāo)；經(jīng)營——與利用主體資源的有效性和效率相關(guān)；報(bào)告——與主體報(bào)告的可靠性相關(guān)；合規(guī)——與主體符合適用的法律和法規(guī)相關(guān)。企業(yè)風(fēng)險(xiǎn)管理的構(gòu)成要素內(nèi)部環(huán)境——管理層確立關(guān)于風(fēng)險(xiǎn)的理念，并確定風(fēng)險(xiǎn)容量。內(nèi)部環(huán)境為主體中的人們?nèi)绾慰创L(fēng)險(xiǎn)和著手控制確立了基礎(chǔ)。所有企業(yè)的核心都是人——他們的個(gè)人品性，包括誠信、道德價(jià)值觀和勝任能力——以及經(jīng)營所處的環(huán)境。目標(biāo)設(shè)定——必須先有目標(biāo)，管理層才能識別影響它們的實(shí)現(xiàn)的潛在事項(xiàng)。企業(yè)風(fēng)險(xiǎn)管理確保管理層采取恰當(dāng)?shù)某绦蛉ピO(shè)定目標(biāo)，確保所選定的目標(biāo)支持和切合該主體的使命，并且與它的風(fēng)險(xiǎn)容量相一致。事項(xiàng)識別——必須識別可能對主體產(chǎn)生影響的潛在事項(xiàng)。事項(xiàng)識別涉及到從影響目標(biāo)實(shí)現(xiàn)的內(nèi)部或外部原因中識別潛在的事項(xiàng)。它包括區(qū)分代表風(fēng)險(xiǎn)的事項(xiàng)和代表機(jī)會(huì)的事項(xiàng)，以及可能二者兼有的事項(xiàng)。機(jī)會(huì)被反饋到管理層的戰(zhàn)略或目標(biāo)制訂過程中。風(fēng)險(xiǎn)評估——要對識別的風(fēng)險(xiǎn)進(jìn)行分析，以便形成確定應(yīng)該如何對它們進(jìn)行管理的依據(jù)。風(fēng)險(xiǎn)與可能被影響的目標(biāo)相關(guān)聯(lián)。既要對固有風(fēng)險(xiǎn)進(jìn)行評估，也要對剩余風(fēng)險(xiǎn)進(jìn)行評估，評估要考慮到風(fēng)險(xiǎn)的可能性和影響。風(fēng)險(xiǎn)應(yīng)對——員工識別和評價(jià)可能的風(fēng)險(xiǎn)應(yīng)對，包括回避、承擔(dān)、降低和分擔(dān)風(fēng)險(xiǎn)。管理層選擇一系列措施使風(fēng)險(xiǎn)與主體的風(fēng)險(xiǎn)容限和風(fēng)險(xiǎn)容量相協(xié)調(diào)?？刂苹顒?dòng)——制訂和實(shí)施政策與程序以幫助確保管理層所選擇的風(fēng)險(xiǎn)應(yīng)對得以有效實(shí)施。信息與溝通——相關(guān)的信息以確保員工履行其職責(zé)的方式和時(shí)機(jī)予以識別、獲取和溝通。主體的各個(gè)層級都需要借助信息來識別、評估和應(yīng)對風(fēng)險(xiǎn)。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動(dòng)。員工獲得有關(guān)他們的職能和責(zé)任的清晰的溝通。監(jiān)控——對企業(yè)風(fēng)險(xiǎn)管理進(jìn)行全面監(jiān)控，必要時(shí)加以修正。通過這種方式，它能夠動(dòng)態(tài)地反應(yīng)，根據(jù)條件的要求而變化。監(jiān)控通過持續(xù)的管理活動(dòng)、對企業(yè)風(fēng)險(xiǎn)管理的個(gè)別評價(jià)或者兩者相結(jié)合來完成。目標(biāo)與構(gòu)成要素之間的關(guān)系

內(nèi)部環(huán)境戰(zhàn)略目標(biāo)設(shè)定事項(xiàng)識別風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)應(yīng)對控制活動(dòng)信息與溝通監(jiān)控經(jīng)營報(bào)告合規(guī)子公司業(yè)務(wù)單元分部企業(yè)層次有效性盡管企業(yè)風(fēng)險(xiǎn)管理是一個(gè)過程，它的有效性卻是在某個(gè)時(shí)點(diǎn)上的一種狀態(tài)或情況確定企業(yè)風(fēng)險(xiǎn)管理是否“有效”，是在對八個(gè)構(gòu)成要素是否存在和有效運(yùn)行的評估的基礎(chǔ)之上所作出的判斷如果這些構(gòu)成要素存在且正常運(yùn)行，那么就可能沒有重大缺陷，而風(fēng)險(xiǎn)可能已經(jīng)被控制在主體的風(fēng)險(xiǎn)容量以內(nèi)涵蓋內(nèi)部控制內(nèi)部控制是企業(yè)風(fēng)險(xiǎn)管理不可分割的一部分企業(yè)風(fēng)險(xiǎn)管理框架涵蓋了內(nèi)部控制，從而構(gòu)建一個(gè)更強(qiáng)有力的概念和管理工具企業(yè)風(fēng)險(xiǎn)管理與管理過程企業(yè)風(fēng)險(xiǎn)管理是管理過程的一部分但是并不是管理層所做的每一件事情都是企業(yè)風(fēng)險(xiǎn)管理的一部分管理層在決策和相關(guān)的管理活動(dòng)中所運(yùn)用的許多判斷，盡管是管理過程的一部分，但是并不是企業(yè)風(fēng)險(xiǎn)管理的一部分。例如：確保有一個(gè)恰當(dāng)?shù)哪繕?biāo)設(shè)定過程是企業(yè)風(fēng)險(xiǎn)管理的一個(gè)重要的構(gòu)成要素，但是管理層所選定的特定目標(biāo)并不是企業(yè)風(fēng)險(xiǎn)管理的一部分根據(jù)對風(fēng)險(xiǎn)的恰當(dāng)評估去應(yīng)對風(fēng)險(xiǎn)是企業(yè)風(fēng)險(xiǎn)管理的一部分，但是所選定的具體風(fēng)險(xiǎn)應(yīng)對和主體資源的相應(yīng)配置卻不是確定和執(zhí)行控制活動(dòng)以幫助確保管理層選擇的風(fēng)險(xiǎn)應(yīng)對得以有效實(shí)施是企業(yè)風(fēng)險(xiǎn)管理的一部分，但是所選定的特定的控制活動(dòng)卻不是二、內(nèi)部環(huán)境風(fēng)險(xiǎn)管理理念風(fēng)險(xiǎn)容量董事會(huì)誠信與道德價(jià)值觀對勝任能力的要求組織結(jié)構(gòu)權(quán)力和職責(zé)的分配人力資源準(zhǔn)則風(fēng)險(xiǎn)管理理念主體的風(fēng)險(xiǎn)管理理念代表著決定主體如何考慮所有活動(dòng)中的風(fēng)險(xiǎn)的共同的信念和態(tài)度它反映了主體的價(jià)值觀，影響它的文化和經(jīng)營風(fēng)格它影響著如何應(yīng)用企業(yè)風(fēng)險(xiǎn)管理的構(gòu)成要素，包括如何識別事項(xiàng)、所承受的風(fēng)險(xiǎn)的類型，以及如何對它們進(jìn)行管理它被很好地確立和理解，并為主體的員工所信奉它體現(xiàn)在政策描述、口頭和書面溝通以及決策之中管理層不僅通過語言而且通過日常行動(dòng)來強(qiáng)化這種理念風(fēng)險(xiǎn)容量主體的風(fēng)險(xiǎn)容量反映了主體的風(fēng)險(xiǎn)管理理念，并且影響著文化和經(jīng)營風(fēng)格它在戰(zhàn)略制訂的過程中予以考慮，使戰(zhàn)略與風(fēng)險(xiǎn)容量相協(xié)調(diào)董事會(huì)董事會(huì)是積極的，它擁有一定程度的管理、技術(shù)和其他專長，并且具有履行其監(jiān)督職責(zé)所需的思維方式它準(zhǔn)備質(zhì)疑和仔細(xì)審查管理層的活動(dòng)，提出不同的觀點(diǎn)，以及在遇到不當(dāng)行為時(shí)采取行動(dòng)獨(dú)立的外部董事至少占多數(shù)它提供對企業(yè)風(fēng)險(xiǎn)管理的監(jiān)督，并且知道和同意主體的風(fēng)險(xiǎn)容量誠信與道德價(jià)值觀主體的行為準(zhǔn)則反映了誠信和道德價(jià)值觀道德價(jià)值觀不僅通過有關(guān)什么是對的和錯(cuò)的的明確指南來進(jìn)行溝通，而且是與其共存的誠信和道德價(jià)值觀通過正式的行為守則予以溝通向上的溝通渠道存在于員工感覺帶來相關(guān)信息很舒服的地方對于違反守則的員工進(jìn)行處罰，鼓勵(lì)員工報(bào)告可疑的違反行為的機(jī)制，并針對有意不報(bào)告違反行為的員工采取懲戒措施誠信和道德價(jià)值觀通過管理層的行動(dòng)和他們樹立的榜樣予以溝通對勝任能力的要求主體中的人員的勝任能力反映完成指定任務(wù)所需的知識和技能管理層要協(xié)調(diào)勝任能力和成本組織結(jié)構(gòu)組織結(jié)構(gòu)界定職責(zé)和責(zé)任的關(guān)鍵范圍它確立了報(bào)告的途徑確定組織結(jié)構(gòu)要考慮主體的規(guī)模和活動(dòng)的性質(zhì)它使有效的企業(yè)風(fēng)險(xiǎn)管理成為可能權(quán)力和職責(zé)的分配權(quán)力和職責(zé)的分配確定了個(gè)人和團(tuán)隊(duì)被授權(quán)和鼓勵(lì)采取行動(dòng)去處理問題和解決問題的程度，它還為權(quán)力提供了限制分配確立了報(bào)告關(guān)系和授權(quán)規(guī)程描述恰當(dāng)經(jīng)營實(shí)務(wù)的政策，關(guān)鍵員工的知識和經(jīng)驗(yàn)，以及相關(guān)的資源個(gè)人知道他們的行動(dòng)是如何相互關(guān)聯(lián)的以及對實(shí)現(xiàn)目標(biāo)的貢獻(xiàn)人力資源準(zhǔn)則針對雇用、定位、培訓(xùn)、評價(jià)、指導(dǎo)、晉升、薪酬和補(bǔ)償措施的準(zhǔn)則，推動(dòng)期望的誠信水平、道德行為和勝任能力懲戒措施傳遞對期望行為的違反將不會(huì)被寬宥的信息三、目標(biāo)設(shè)定戰(zhàn)略目標(biāo)戰(zhàn)略目標(biāo)是高層次的目標(biāo)，它與主體的使命/愿景相協(xié)調(diào)，并支持后者戰(zhàn)略目標(biāo)反映了管理層就主體如何努力為它的利益相關(guān)者創(chuàng)造價(jià)值所作出的選擇相關(guān)目標(biāo)經(jīng)營目標(biāo)——這些目標(biāo)與主體經(jīng)營的有效性和效率有關(guān)，包括業(yè)績和贏利目標(biāo)和保護(hù)資源不受損失。它們因管理層對結(jié)構(gòu)和業(yè)績的選擇而異。報(bào)告目標(biāo)——這些目標(biāo)與報(bào)告的可靠性有關(guān)。它們包括內(nèi)部和外部報(bào)告，可能涉及到財(cái)務(wù)和非財(cái)務(wù)信息。合規(guī)目標(biāo)——這些目標(biāo)與符合相關(guān)法律和法規(guī)有關(guān)。它們?nèi)Q于外部因素，在一些情況下對所有主體而言都很類似，而在另一些情況下則在一個(gè)行業(yè)內(nèi)有共性。目標(biāo)的交叉保護(hù)資產(chǎn)/資源目標(biāo)的實(shí)現(xiàn)報(bào)告和合規(guī)目標(biāo)的實(shí)現(xiàn)更多的是在主體的控制范圍之內(nèi)戰(zhàn)略目標(biāo)和經(jīng)營目標(biāo)的實(shí)現(xiàn)并不完全在主體的控制范圍之內(nèi)對于戰(zhàn)略和經(jīng)營目標(biāo)，企業(yè)風(fēng)險(xiǎn)管理能夠合理保證管理層和履行監(jiān)督職責(zé)的董事會(huì)及時(shí)地知悉主體實(shí)現(xiàn)這些目標(biāo)的程度四、事項(xiàng)識別事項(xiàng)事項(xiàng)是源于內(nèi)部或外部的影響戰(zhàn)略實(shí)施或目標(biāo)實(shí)現(xiàn)的事故或事件事項(xiàng)可能帶來正面或負(fù)面影響，或者兩者兼而有之影響因素外部因素內(nèi)部因素外部因素經(jīng)濟(jì)自然環(huán)境政治社會(huì)技術(shù)內(nèi)部因素基礎(chǔ)結(jié)構(gòu)人員流程技術(shù)事項(xiàng)識別技術(shù)事項(xiàng)目錄（eventinventories）——這些是一個(gè)特定行業(yè)內(nèi)的公司所共通的潛在事項(xiàng)或者不同行業(yè)之間所共通的特定過程或活動(dòng)的詳細(xì)清單。軟件產(chǎn)品能夠列出共性潛在事項(xiàng)的有關(guān)清單，一些主體利用它作為事項(xiàng)識別的出發(fā)點(diǎn)。例如，從事一項(xiàng)軟件開發(fā)項(xiàng)目的公司編制了一份目錄，詳細(xì)列示了與軟件開發(fā)項(xiàng)目有關(guān)的共性事項(xiàng)。內(nèi)部分析（internalanalysis）——它可以作為常規(guī)性經(jīng)營規(guī)劃循環(huán)過程的一部分來完成，典型的是通過一個(gè)業(yè)務(wù)單元的員工會(huì)議。內(nèi)部分析有時(shí)利用來自其他利益相關(guān)者（客戶、供應(yīng)商、其他業(yè)務(wù)單元）的信息，或者針對具體問題征詢外部專家（內(nèi)部或外部職能機(jī)構(gòu)的專家或內(nèi)部審計(jì)師）的意見。例如，一家正在考慮引入一個(gè)新產(chǎn)品的公司利用它自己的歷史經(jīng)驗(yàn)以及外部市場調(diào)研來識別那些曾經(jīng)影響競爭者產(chǎn)品成功的事項(xiàng)。擴(kuò)大或底限觸發(fā)器（escalationorthresholdtriggers）——這些觸發(fā)器通過將現(xiàn)在的交易或事項(xiàng)與預(yù)先確定的標(biāo)準(zhǔn)進(jìn)行對比，提醒管理層關(guān)注的領(lǐng)域。一旦被觸發(fā)，可能就需要對一個(gè)事項(xiàng)進(jìn)行進(jìn)一步的評估或者立即予以應(yīng)對。例如，一家公司的管理層針對新的營銷或廣告計(jì)劃監(jiān)控市場上的銷售量，并根據(jù)其結(jié)果重新調(diào)配資源。另一家公司的管理層追蹤競爭者的定價(jià)結(jié)構(gòu)，并考慮在達(dá)到一個(gè)特定的底限時(shí)變更自己的價(jià)格。推進(jìn)式的研討與訪談（facilitatedworkshopsandinterviews）——這些技術(shù)通過經(jīng)過設(shè)計(jì)的討論，利用管理層、員工和其他利益相關(guān)者所積累的知識和經(jīng)驗(yàn)來識別事項(xiàng)。推進(jìn)者主導(dǎo)有關(guān)可能會(huì)影響主體或單元目標(biāo)實(shí)現(xiàn)的事項(xiàng)的討論。例如，一名財(cái)務(wù)主計(jì)長與會(huì)計(jì)團(tuán)隊(duì)的成員一起召開了一個(gè)研討會(huì)，來識別那些對主體的對外報(bào)告目標(biāo)有影響的事項(xiàng)。通過結(jié)合團(tuán)隊(duì)成員們的知識和經(jīng)驗(yàn)，能夠識別出否則就會(huì)被遺漏的重要事項(xiàng)。過程流動(dòng)分析（processflowanalysis）——這種技術(shù)考慮構(gòu)成一個(gè)過程的輸入、任務(wù)、責(zé)任和輸出的組合。通過考慮影響一個(gè)過程的投入或其中的活動(dòng)的內(nèi)部和外部因素，主體能識別那些可能影響過程目標(biāo)實(shí)現(xiàn)的事項(xiàng)。例如，一家醫(yī)學(xué)實(shí)驗(yàn)室繪制了血液樣本的接收和測試流程圖。它利用流程圖來考慮那些可能影響輸入、任務(wù)和責(zé)任的因素的范圍，識別與樣本標(biāo)注、過程中的傳遞以及人員換班變動(dòng)有關(guān)的風(fēng)險(xiǎn)。首要事項(xiàng)指標(biāo)（leadingeventindicators）——主體通過監(jiān)控與事項(xiàng)有相互關(guān)系的數(shù)據(jù)，來識別可能導(dǎo)致一個(gè)事項(xiàng)發(fā)生的情形是否存在。例如，金融機(jī)構(gòu)很早就認(rèn)識到延遲償還貸款與最終的貸款違約之間的相互關(guān)系，以及及早干預(yù)的積極作用。對償還方式的監(jiān)控使違約的可能性得以通過及時(shí)的行動(dòng)而降低。損失事項(xiàng)數(shù)據(jù)方法（losseventdatamethodologies）——有關(guān)過去單個(gè)損失事項(xiàng)的數(shù)據(jù)庫是識別趨勢和根本原因的一個(gè)有用的信息來源。一旦確定了根本原因，管理層就會(huì)發(fā)現(xiàn)它能比致力于單個(gè)事項(xiàng)更加有效地進(jìn)行評估和處理。例如，一家經(jīng)營大型車隊(duì)的公司維護(hù)了一個(gè)事故投訴的數(shù)據(jù)庫，通過分析發(fā)現(xiàn)事故的百分比在數(shù)量和貨幣金額上不成比例，它與特定單元、地域和年齡結(jié)構(gòu)的駕駛員工有關(guān)聯(lián)。這個(gè)分析使管理層能夠確定事項(xiàng)的根本原因并采取行動(dòng)。區(qū)分風(fēng)險(xiǎn)和機(jī)會(huì)具有負(fù)面影響的事項(xiàng)代表風(fēng)險(xiǎn)，它需要管理層的評估和應(yīng)對具有正面影響或者抵消風(fēng)險(xiǎn)的負(fù)面影響的事項(xiàng)代表機(jī)會(huì)代表機(jī)會(huì)的事項(xiàng)被反饋到管理層的戰(zhàn)略或目標(biāo)制訂過程中，以便規(guī)劃行動(dòng)去抓住機(jī)會(huì)。抵消風(fēng)險(xiǎn)的負(fù)面影響的事項(xiàng)在管理層的風(fēng)險(xiǎn)評估和應(yīng)對中予以考慮五、風(fēng)險(xiǎn)評估固有風(fēng)險(xiǎn)/剩余風(fēng)險(xiǎn)管理層既要考慮固有風(fēng)險(xiǎn)，也要考慮剩余風(fēng)險(xiǎn)固有風(fēng)險(xiǎn)是管理層沒有采取任何措施來改變風(fēng)險(xiǎn)的可能性或影響的情況下，一個(gè)主體所面臨的風(fēng)險(xiǎn)剩余風(fēng)險(xiǎn)是在管理層的風(fēng)險(xiǎn)應(yīng)對之后所殘余的風(fēng)險(xiǎn)一旦風(fēng)險(xiǎn)應(yīng)對已經(jīng)到位，管理層接下來就要考慮剩余風(fēng)險(xiǎn)估計(jì)可能性和影響可能性表示一個(gè)給定事項(xiàng)將會(huì)發(fā)生的或然率影響表示給定事項(xiàng)一旦發(fā)生所產(chǎn)生的后果評估技術(shù)對標(biāo)（benchmarking）——作為一組主體之間的協(xié)作過程，對標(biāo)著眼于具體的事項(xiàng)或過程，采用共通的標(biāo)準(zhǔn)比較計(jì)量指標(biāo)和結(jié)果，并且識別改進(jìn)的機(jī)會(huì)。建立有關(guān)事項(xiàng)、流程和計(jì)量指標(biāo)的數(shù)據(jù)來比較業(yè)績。一些公司利用對標(biāo)來在整個(gè)行業(yè)中評估潛在事項(xiàng)的可能性和影響。概率模型——概率模型根據(jù)特定的假設(shè)將一系列事項(xiàng)以及所造成的影響與這些事項(xiàng)的可能性聯(lián)系起來。在歷史數(shù)據(jù)或反映對未來行為的假設(shè)的模擬結(jié)果的基礎(chǔ)上，對可能性和影響進(jìn)行評估。概率模型的例子包括風(fēng)險(xiǎn)價(jià)值、風(fēng)險(xiǎn)現(xiàn)金流量、風(fēng)險(xiǎn)盈利以及信貸和經(jīng)營損失分布的計(jì)算等。概率模型可以采用不同的時(shí)間范圍，以估計(jì)諸如不同時(shí)期金融工具的價(jià)值范圍等結(jié)果。概率模型還可以用來評估期望的或平均的結(jié)果，以及極端的或非期望的影響。非概率模型——非概率模型在估計(jì)沒有量化相關(guān)可能性的事項(xiàng)的影響時(shí)，利用主觀的假設(shè)。根據(jù)歷史或模擬數(shù)據(jù)和對未來行為的假設(shè)對事項(xiàng)的影響進(jìn)行評估。非概率模型的例子包括敏感性指標(biāo)、壓力測試以及情景分析。