第二章内部控制的框架体系
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
操作风险具有普遍性和非营利性。
3.3 要素二:风险评估
(4)流动性风险,是指企业无力为负债的减 少或资产的增加提供融资而造成损失或破产的 风险。流动性风险包括资产流动性风险和负债 流动性风险。
流动性风险与信用风险、市场风险和操作风险 相比,形成的原因更加复杂和广泛,通常被视 为一种综合性风险。
3.2 要素一:内部环境
董事会对股东(大)会负责,依法行使企业 的经营决策权。
监事会对股东(大)会负责,监督企业董事、 经理和其他高级管理人员依法履行职责。
经理层负责组织实施股东(大)会、董事会 决议事项,主持企业的生产经营管理工作。
3.2 要素一:内部环境
同时,第十二条指出:董事会负责内部控制 的建立健全和有效实施。监事会对董事会建 立与实施内部控制进行监督。经理层负责组 织领导企业内部控制的日常运行。
3.2 要素一:内部环境
七、企业文化、价值观和社会责任感
《企业内部控制基本规范》第十八条指出:企 业应当加强文化建设,培育积极向上的价值观 和社会责任感,倡导诚实守信、爱岗敬业、开 拓创新和团队协作精神,树立现代管理理念, 强化风险意识。
董事、监事、经理及其他高级管理人员应当在 企业文化建设中发挥主导作用。
(四)信息与沟通。信息与沟通是企业及时、 准确地收集、传递与内部控制相关的信息,确 保信息在企业内部、企业与外部之间进行有效 沟通。
(五)内部监督。内部监督是企业对内部控制 建立与实施情况进行监督检查,评价内部控制 的有效性,发现内部控制缺陷,应当及时加以 改进。
五要素及其相互关系
基础
保证
企业应当成立专门机构或者指定适当的机构 具体负责组织协调内部控制的建立实施及日 常工作。
3.2 要素一:内部环境
【解读】公司治理结构的要旨在于明确划分股 东、董事会和经理人员各自权利、责任和利益, 形成三者之间的制衡关系。以国外现代公司为 例,其公司治理结构是现代法人产权制度下的 产物,其基本特征是:
(4)按风险发生的范围可以将风险划分为: 系统性风险和非系统性风险。
(5)按风险的可预见性可以将风险划分为: 预期风险、非预期风险、意外风险。
预期风险与非预期风险之间最重要的概念性区 别是:预期风险是在一般正常情况下,在一定 时期可预见的平均水平;非预期风险具有突发 性、复杂性、持续可变性、多层次性、模糊性 等特点。
监控
手段
信 控制活动 息
沟 通
风险评
载体
信 息
依据
沟
估
通
控
制
环
境
五要素与八要素比较图
八要素与五要素之间的对应关系
内部环境 目标制定 事项识别 风险评估 风险反应 控制活动 信息与沟通
监控
内部环境 风险评估 控制活动
信息与沟通 监控
3.2 要素一:内部环境
我国《企业内部控制基本 规范》第二章第十一条至 第十九条明确了内部环境 的具体内容。
3.3 要素二:风险评估
(二)风险的分类 为了有效识别和管理风险,有必要对企业所
面临的风险进行明确分类。根据不同的分类 标准可以将风险划分为不同的类型。 可见,设立期望目标是风险评估的前提条件, 只有先确立了目标,管理层才能针对目标确 定风险并采取必要的行动来管理风险。
3.3 要素二:风险评估
(一)内部环境。内部环境是企业实施内部 控制的基础,一般包括治理结构、机构设置 及权责分配、内部审计、人力资源政策、企 业文化等。
(二)风险评估。风险评估是企业及时识别、 系统分析经营活动中与实现内部控制目标相 关的风险,合理确定风险应对策略。
3.1 内部控制要素
(三)控制活动。控制活动是企业根据风险评 估结果,采用相应的控制措施,将风险控制在 可承受度之内。
3.2 要素一:内部环境
(四)掌握国家秘密或重要商业秘密的员工离 岗的限制性规定。
(五)有关人力资源管理的其他政策。 六、职业道德修养和专业胜任能力 《企业内部控制基本规范》第十七条指出:
企业应当将职业道德修养和专业胜任能力作为 选拔和聘用员工的重要标准,切实加强员工培 训和继续教育,不断提升员工素质。
(3)研究开发、技术投入、信息技术运用等 自主创新因素。
(4)财务状况、经营成果、现金流量等财务 因素。
(5)营运安全、员工健康、环境保护等安全 环保因素。
(6)其他有关内部风险因素。
3.3 要素二:风险评估
《企业内部控制基本规范》第二十三条指出, 企业 识别外部风险,应当关注下列因素:
(7)法律风险,即企业在日常经营活动或各 类交易发生的过程中,因为无法满足或违反法 律要求,导致企业不能履行合同、发生争议∕诉 讼或其他法律纠纷,而可能给企业造成经济损 失的风险。
3.3 要素二:风险评估
(8)战略风险,是指企业在追求短期商业目 的和长期发展目标的系统化管理过程中,不 适当的未来发展规划和战略决策可能威胁企 业未来发展的潜在风险。美国货币监理署 (OCC)认为,战略风险是指经营决策错误, 或决策执行不当,或对行业变化束手无策, 而对企业的收益或资本形成现实和长远的影 响。
1.按风险诱发的原因分类 按诱发风险的原因,巴塞尔委员会将风险划
分或交易对手未 能履行合同所规定的义务或信用质量发生变 化,影响金融产品价值,从而给债权人或金 融产品持有人造成经济损失的风险。
信用风险被认为是最为复杂的风险种类,通 常包括违约风险、结算风险等主要形式。
3.3 要素二:风险评估
(2)市场风险,是指由于市场价格(包括金 融资产价格和商品价格)波动而导致企业遭 受损失的风险。它可以分为利率风险、股票 风险、汇率风险和商品风险四种,其中利率 风险尤为重要。
3.3 要素二:风险评估
(3) 操作风险,是指由于人为错误、技术 缺陷或不利的外部事件所造成损失的风险。 操作风险可以分为由人员、系统、流程和外 部事件所引发的四类风险,并由此可以分为 七种表现形式:内部欺诈,外部欺诈,聘用 员工做法和工作场所安全性,客户、产品及 业务做法,实物资产损坏,业务中断和系统 失灵,交割及流程管理。
3.2 要素一:内部环境
五、人力资源政策 《企业内部控制基本规范》第十六条指出:企
业应当制定和实施有利于企业可持续发展的人 力资源政策。人力资源政策应当包括下列内容: (一)员工的聘用、培训、辞退与辞职。 (二)员工的薪酬、考核、晋升与奖惩。 (三)关键岗位员工的强制休假制度和定期岗 位轮换制度。
3.1 内部控制要素
根据系统论、控制论和信息论的 思想,我国《企业内部控制基本 规范》把企业内部控制系统划分 为相互关联的5个要素,以充分 发挥内部控制的“免疫”功能。
企业设计基于全面风险管理导向 的内部控制系统时必须体现5个 要素的要求。
3.1 内部控制要素
我国《企业内部控制基本规范》第五条指出: 企业建立与实施有效的内部控制,应当包括 下列要素:
审计委员会负责人应当具备相应的独立性、良 好的职业操守和专业胜任能力。
3.2 要素一:内部环境
三、内部机构设置、岗位职责、业务流程
《企业内部控制基本规范》第十四条指出: 企业应当结合业务特点和内部控制要求设置 内部机构,明确职责权限,将权利与责任落 实到各责任单位。
企业应当通过编制内部管理手册,使全体员 工掌握内部机构设置、岗位职责、业务流程 等情况,明确权责分配,正确行使职权。
公司治理与内部控制
第三章 内部控制的框架体系 (内部控制要素)
第一节 内部控制要素 第二节 内部环境 第三节 风险评估 第四节 控制活动 第五节 信息与沟通 第六节 内部监督
我国《企业内部控制基本 规范》第三条指出:“本 规范所称内部控制,是由 企业董事会、监事会、经 理层和全体员工实施的、 旨在实现控制目标的过 程。”并规范了基于企业 全面风险管理导向的内部 控制系统五要素。
3.3 要素二:风险评估
(三)风险识别的内外部因素
《企业内部控制基本规范》第二十二条指出, 企业识别内部风险,应当关注下列因素:
(1)董事、监事、经理及其他高级管理人员 的职业操守、员工专业胜任能力等人力资源 因素。
(2)组织机构、经营方式、资产管理、业务 流程等管理因素。
3.3 要素二:风险评估
(1)内部机构权责分明,相互制衡(“三权 分立,相互制衡 ”)。
(2)委托与代理,纵向授权。 (3)激励与约束机制并存。
3.2 要素一:内部环境
二、审计委员会
《企业内部控制基本规范》第十三条指出:企 业应当在董事会下设立审计委员会。审计委员 会负责审查企业内部控制,监督内部控制的有 效实施和内部控制自我评价情况,协调内部控 制审计及其他相关事宜等。
3.2 要素一:内部环境
一、公司治理结构和议事规则
《企业内部控制基本规范》第十一条指出:企 业应当根据国家有关法律法规和企业章程,建 立规范的公司治理结构和议事规则,明确决策、 执行、监督等方面的职责权限,形成科学有效 的职责分工和制衡机制。
股东(大)会享有法律法规和企业章程规定的 合法权利,依法行使企业经营方针、筹资、投 资、利润分配等重大事项的表决权。
3.2 要素一:内部环境
四、内部审计
《企业内部控制基本规范》第十五条指出: 企业应当加强内部审计工作,保证内部审计 机构设置、人员配备和工作的独立性。
内部审计机构应当结合内部审计监督,对内 部控制的有效性进行监督检查。内部审计机 构对监督检查中发现的内部控制缺陷,应当 按照企业内部审计工作程序进行报告;对监 督检查中发现的内部控制重大缺陷,有权直 接向董事会及其审计委员会、监事会报告。
3.3 要素二:风险评估
我国《企业内部控制 基本规范》第三章第 二十条至第二十七条 明确了风险评估的具 体内容。
3.3 要素二:风险评估
《企业内部控制基本规范》第二十条指出:企业 应当根据设定的控制目标,全面系统持续地收集 相关信息,结合实际情况,及时进行风险评估。
一、风险识别
《企业内部控制基本规范》第二十一条指出:企 业开展风险评估,应当准确识别与实现控制目标 相关的内部风险和外部风险,确定相应的风险承 受度。
(5)国家风险,是指经济主体在与非本国居 民进行国际经贸与金融往来时,由于别国经济、 政治和社会等方面的变化而遭受损失的风险。
3.3 要素二:风险评估
(6)声誉风险,是指由于意外事件,企业的 政策调整、市场表现或日常经营活动所产生的 负面结果,可能对企业“声誉”这种无形资产 造成损失的风险。
3.3 要素二:风险评估
2.风险的其他分类 (1)按风险事故可以将风险划分为:经济风
险、政治风险、社会风险,自然风险和技术风 险; (2)按损失结果可以将风险划分为:纯粹风 险和投机风险; (3)按是否能够量化可以将风险划分为:可 量化风险和不可量化风险;
3.3 要素二:风险评估
风险承受度是企业能够承担的风险限度,包括整 体风险承受能力和业务层面的可接受风险水平。
3.3 要素二:风险评估
(一)风险的本质 风险是未来结果对期望的偏离,即波动性。
任何偏离控制目标的因素(有利或不利)都 是风险的表现,这与金融投资普遍以收益率 方差(或标准差)作为风险计量指标的主流 分析框架相符。
【注】关于内部环境类内部控制应用指引
内部环境是企业实施内部控制的基础,支配 着企业全体员工的内控意识,影响着全体员 工实施控制活动和履行控制责任的态度、认 识和行为。内部环境类指引有5项,包括:
《企业内部控制应用指引第1号:组织架构》 《企业内部控制应用指引第2号:发展战略》 《企业内部控制应用指引第3号:人力资源》 《企业内部控制应用指引第4号:社会责任》 《企业内部控制应用指引第5号:企业文化》
企业员工应当遵守员工行为守则,认真履行岗 位职责。
3.2 要素一:内部环境
八、法制观念 《企业内部控制基本规范》第十九条指出:
企业应当加强法制教育,增强董事、监事、 经理及其他高级管理人员和员工的法制观念, 严格依法决策、依法办事、依法监督,建立 健全法律顾问制度和重大法律纠纷案件备案 制度。
3.3 要素二:风险评估
(4)流动性风险,是指企业无力为负债的减 少或资产的增加提供融资而造成损失或破产的 风险。流动性风险包括资产流动性风险和负债 流动性风险。
流动性风险与信用风险、市场风险和操作风险 相比,形成的原因更加复杂和广泛,通常被视 为一种综合性风险。
3.2 要素一:内部环境
董事会对股东(大)会负责,依法行使企业 的经营决策权。
监事会对股东(大)会负责,监督企业董事、 经理和其他高级管理人员依法履行职责。
经理层负责组织实施股东(大)会、董事会 决议事项,主持企业的生产经营管理工作。
3.2 要素一:内部环境
同时,第十二条指出:董事会负责内部控制 的建立健全和有效实施。监事会对董事会建 立与实施内部控制进行监督。经理层负责组 织领导企业内部控制的日常运行。
3.2 要素一:内部环境
七、企业文化、价值观和社会责任感
《企业内部控制基本规范》第十八条指出:企 业应当加强文化建设,培育积极向上的价值观 和社会责任感,倡导诚实守信、爱岗敬业、开 拓创新和团队协作精神,树立现代管理理念, 强化风险意识。
董事、监事、经理及其他高级管理人员应当在 企业文化建设中发挥主导作用。
(四)信息与沟通。信息与沟通是企业及时、 准确地收集、传递与内部控制相关的信息,确 保信息在企业内部、企业与外部之间进行有效 沟通。
(五)内部监督。内部监督是企业对内部控制 建立与实施情况进行监督检查,评价内部控制 的有效性,发现内部控制缺陷,应当及时加以 改进。
五要素及其相互关系
基础
保证
企业应当成立专门机构或者指定适当的机构 具体负责组织协调内部控制的建立实施及日 常工作。
3.2 要素一:内部环境
【解读】公司治理结构的要旨在于明确划分股 东、董事会和经理人员各自权利、责任和利益, 形成三者之间的制衡关系。以国外现代公司为 例,其公司治理结构是现代法人产权制度下的 产物,其基本特征是:
(4)按风险发生的范围可以将风险划分为: 系统性风险和非系统性风险。
(5)按风险的可预见性可以将风险划分为: 预期风险、非预期风险、意外风险。
预期风险与非预期风险之间最重要的概念性区 别是:预期风险是在一般正常情况下,在一定 时期可预见的平均水平;非预期风险具有突发 性、复杂性、持续可变性、多层次性、模糊性 等特点。
监控
手段
信 控制活动 息
沟 通
风险评
载体
信 息
依据
沟
估
通
控
制
环
境
五要素与八要素比较图
八要素与五要素之间的对应关系
内部环境 目标制定 事项识别 风险评估 风险反应 控制活动 信息与沟通
监控
内部环境 风险评估 控制活动
信息与沟通 监控
3.2 要素一:内部环境
我国《企业内部控制基本 规范》第二章第十一条至 第十九条明确了内部环境 的具体内容。
3.3 要素二:风险评估
(二)风险的分类 为了有效识别和管理风险,有必要对企业所
面临的风险进行明确分类。根据不同的分类 标准可以将风险划分为不同的类型。 可见,设立期望目标是风险评估的前提条件, 只有先确立了目标,管理层才能针对目标确 定风险并采取必要的行动来管理风险。
3.3 要素二:风险评估
(一)内部环境。内部环境是企业实施内部 控制的基础,一般包括治理结构、机构设置 及权责分配、内部审计、人力资源政策、企 业文化等。
(二)风险评估。风险评估是企业及时识别、 系统分析经营活动中与实现内部控制目标相 关的风险,合理确定风险应对策略。
3.1 内部控制要素
(三)控制活动。控制活动是企业根据风险评 估结果,采用相应的控制措施,将风险控制在 可承受度之内。
3.2 要素一:内部环境
(四)掌握国家秘密或重要商业秘密的员工离 岗的限制性规定。
(五)有关人力资源管理的其他政策。 六、职业道德修养和专业胜任能力 《企业内部控制基本规范》第十七条指出:
企业应当将职业道德修养和专业胜任能力作为 选拔和聘用员工的重要标准,切实加强员工培 训和继续教育,不断提升员工素质。
(3)研究开发、技术投入、信息技术运用等 自主创新因素。
(4)财务状况、经营成果、现金流量等财务 因素。
(5)营运安全、员工健康、环境保护等安全 环保因素。
(6)其他有关内部风险因素。
3.3 要素二:风险评估
《企业内部控制基本规范》第二十三条指出, 企业 识别外部风险,应当关注下列因素:
(7)法律风险,即企业在日常经营活动或各 类交易发生的过程中,因为无法满足或违反法 律要求,导致企业不能履行合同、发生争议∕诉 讼或其他法律纠纷,而可能给企业造成经济损 失的风险。
3.3 要素二:风险评估
(8)战略风险,是指企业在追求短期商业目 的和长期发展目标的系统化管理过程中,不 适当的未来发展规划和战略决策可能威胁企 业未来发展的潜在风险。美国货币监理署 (OCC)认为,战略风险是指经营决策错误, 或决策执行不当,或对行业变化束手无策, 而对企业的收益或资本形成现实和长远的影 响。
1.按风险诱发的原因分类 按诱发风险的原因,巴塞尔委员会将风险划
分或交易对手未 能履行合同所规定的义务或信用质量发生变 化,影响金融产品价值,从而给债权人或金 融产品持有人造成经济损失的风险。
信用风险被认为是最为复杂的风险种类,通 常包括违约风险、结算风险等主要形式。
3.3 要素二:风险评估
(2)市场风险,是指由于市场价格(包括金 融资产价格和商品价格)波动而导致企业遭 受损失的风险。它可以分为利率风险、股票 风险、汇率风险和商品风险四种,其中利率 风险尤为重要。
3.3 要素二:风险评估
(3) 操作风险,是指由于人为错误、技术 缺陷或不利的外部事件所造成损失的风险。 操作风险可以分为由人员、系统、流程和外 部事件所引发的四类风险,并由此可以分为 七种表现形式:内部欺诈,外部欺诈,聘用 员工做法和工作场所安全性,客户、产品及 业务做法,实物资产损坏,业务中断和系统 失灵,交割及流程管理。
3.2 要素一:内部环境
五、人力资源政策 《企业内部控制基本规范》第十六条指出:企
业应当制定和实施有利于企业可持续发展的人 力资源政策。人力资源政策应当包括下列内容: (一)员工的聘用、培训、辞退与辞职。 (二)员工的薪酬、考核、晋升与奖惩。 (三)关键岗位员工的强制休假制度和定期岗 位轮换制度。
3.1 内部控制要素
根据系统论、控制论和信息论的 思想,我国《企业内部控制基本 规范》把企业内部控制系统划分 为相互关联的5个要素,以充分 发挥内部控制的“免疫”功能。
企业设计基于全面风险管理导向 的内部控制系统时必须体现5个 要素的要求。
3.1 内部控制要素
我国《企业内部控制基本规范》第五条指出: 企业建立与实施有效的内部控制,应当包括 下列要素:
审计委员会负责人应当具备相应的独立性、良 好的职业操守和专业胜任能力。
3.2 要素一:内部环境
三、内部机构设置、岗位职责、业务流程
《企业内部控制基本规范》第十四条指出: 企业应当结合业务特点和内部控制要求设置 内部机构,明确职责权限,将权利与责任落 实到各责任单位。
企业应当通过编制内部管理手册,使全体员 工掌握内部机构设置、岗位职责、业务流程 等情况,明确权责分配,正确行使职权。
公司治理与内部控制
第三章 内部控制的框架体系 (内部控制要素)
第一节 内部控制要素 第二节 内部环境 第三节 风险评估 第四节 控制活动 第五节 信息与沟通 第六节 内部监督
我国《企业内部控制基本 规范》第三条指出:“本 规范所称内部控制,是由 企业董事会、监事会、经 理层和全体员工实施的、 旨在实现控制目标的过 程。”并规范了基于企业 全面风险管理导向的内部 控制系统五要素。
3.3 要素二:风险评估
(三)风险识别的内外部因素
《企业内部控制基本规范》第二十二条指出, 企业识别内部风险,应当关注下列因素:
(1)董事、监事、经理及其他高级管理人员 的职业操守、员工专业胜任能力等人力资源 因素。
(2)组织机构、经营方式、资产管理、业务 流程等管理因素。
3.3 要素二:风险评估
(1)内部机构权责分明,相互制衡(“三权 分立,相互制衡 ”)。
(2)委托与代理,纵向授权。 (3)激励与约束机制并存。
3.2 要素一:内部环境
二、审计委员会
《企业内部控制基本规范》第十三条指出:企 业应当在董事会下设立审计委员会。审计委员 会负责审查企业内部控制,监督内部控制的有 效实施和内部控制自我评价情况,协调内部控 制审计及其他相关事宜等。
3.2 要素一:内部环境
一、公司治理结构和议事规则
《企业内部控制基本规范》第十一条指出:企 业应当根据国家有关法律法规和企业章程,建 立规范的公司治理结构和议事规则,明确决策、 执行、监督等方面的职责权限,形成科学有效 的职责分工和制衡机制。
股东(大)会享有法律法规和企业章程规定的 合法权利,依法行使企业经营方针、筹资、投 资、利润分配等重大事项的表决权。
3.2 要素一:内部环境
四、内部审计
《企业内部控制基本规范》第十五条指出: 企业应当加强内部审计工作,保证内部审计 机构设置、人员配备和工作的独立性。
内部审计机构应当结合内部审计监督,对内 部控制的有效性进行监督检查。内部审计机 构对监督检查中发现的内部控制缺陷,应当 按照企业内部审计工作程序进行报告;对监 督检查中发现的内部控制重大缺陷,有权直 接向董事会及其审计委员会、监事会报告。
3.3 要素二:风险评估
我国《企业内部控制 基本规范》第三章第 二十条至第二十七条 明确了风险评估的具 体内容。
3.3 要素二:风险评估
《企业内部控制基本规范》第二十条指出:企业 应当根据设定的控制目标,全面系统持续地收集 相关信息,结合实际情况,及时进行风险评估。
一、风险识别
《企业内部控制基本规范》第二十一条指出:企 业开展风险评估,应当准确识别与实现控制目标 相关的内部风险和外部风险,确定相应的风险承 受度。
(5)国家风险,是指经济主体在与非本国居 民进行国际经贸与金融往来时,由于别国经济、 政治和社会等方面的变化而遭受损失的风险。
3.3 要素二:风险评估
(6)声誉风险,是指由于意外事件,企业的 政策调整、市场表现或日常经营活动所产生的 负面结果,可能对企业“声誉”这种无形资产 造成损失的风险。
3.3 要素二:风险评估
2.风险的其他分类 (1)按风险事故可以将风险划分为:经济风
险、政治风险、社会风险,自然风险和技术风 险; (2)按损失结果可以将风险划分为:纯粹风 险和投机风险; (3)按是否能够量化可以将风险划分为:可 量化风险和不可量化风险;
3.3 要素二:风险评估
风险承受度是企业能够承担的风险限度,包括整 体风险承受能力和业务层面的可接受风险水平。
3.3 要素二:风险评估
(一)风险的本质 风险是未来结果对期望的偏离,即波动性。
任何偏离控制目标的因素(有利或不利)都 是风险的表现,这与金融投资普遍以收益率 方差(或标准差)作为风险计量指标的主流 分析框架相符。
【注】关于内部环境类内部控制应用指引
内部环境是企业实施内部控制的基础,支配 着企业全体员工的内控意识,影响着全体员 工实施控制活动和履行控制责任的态度、认 识和行为。内部环境类指引有5项,包括:
《企业内部控制应用指引第1号:组织架构》 《企业内部控制应用指引第2号:发展战略》 《企业内部控制应用指引第3号:人力资源》 《企业内部控制应用指引第4号:社会责任》 《企业内部控制应用指引第5号:企业文化》
企业员工应当遵守员工行为守则,认真履行岗 位职责。
3.2 要素一:内部环境
八、法制观念 《企业内部控制基本规范》第十九条指出:
企业应当加强法制教育,增强董事、监事、 经理及其他高级管理人员和员工的法制观念, 严格依法决策、依法办事、依法监督,建立 健全法律顾问制度和重大法律纠纷案件备案 制度。