内部控制整理

一、风险管理

1.风险的含义、衡量

风险:可以用概率测量的不确定性。

企业风险：未来的不确定性对企业实现其经营目标的影响。

风险的衡量：

（1）概率

（2）期望值

（3）离散程度

标准差、标准离差率（对不同规模进行比较）

2.风险的分类：

（1）一般可以分为：战略风险、财务风险、市场风险、运营风险、法律风险等

（2）以能否为企业带来赢利为标志：纯粹风险（只有带来损失的一种可能性）和机会风险（带来损失和赢利的可能性并存）（系统风险和非系统风险）

（3）从企业划分：

经营风险：由于业务流程设计不合理或控制不当，可能导致监控不力，管理混乱，出现舞弊或差错。

财务风险

合规风险（遵守风险）：可能导致管理业务违反国家有关部门和公司的相关规定而受到处罚。从企业的角度分类（业务风险）：经营风险、财务风险、合规风险

只有有负债的企业才有财务风险（固定利息费用的存在）

经营风险：固定成本的存在。

3.企业风险管理：

是一套由企业董事会和管理层共同设立，与企业战略相结合的管理流程，其功能是识别那些会影响企业运作、潜在事件和把相关的风险管理控制在一个企业可接受的水平，从而帮助企业实现目标。

特点：企业风险管理是一个动态的过程、风险不能消除，只能管理

风险管理的总体目标：（企业风险管理是把风险控制到可接受的水平）

（1）确保风险控制在与总体目标相适应并可承受范围内。

（2）确保内外部实现真实可靠的信息沟通。

（3）确保遵守有关法律法规

（4）保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性。（5）确保企业建立各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。

****二、内部控制

1.为什么要关注内部控制？

（1）内部控制的重要性：

有助于防止组织失败

有助于提供高质量的报告信息

有助于保护组织资源的安全完整

有助于实现组织的合规运营

有助于克服人性弱点

（每个人都有道德缺陷、对舞弊产生威慑力、独立人能够识别并报告所发现的异常）

2.什么是内部控制

基于ERM框架的内部控制是指由企业董事会、管理层和全体员工共同实施的、应用于战略制定并贯穿整个企业经营过程，旨在识别并管理风险，为实现企业基本目标提供合理保证的一系列控制活动。

内部控制的目标：

合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展目标。

（COSO报告内部控制整合框架中，内部控制旨在为财务报告的可靠性、经营的效果和效率、符合适用的法律和法规目标提供合理保证）

3.企业目标、风险、内部控制的关系。

企业目标：生存、发展、获利

熟悉企业本身的业务和相关风险

建立内控和相互制衡机制

深化企业风险管理文化

4.理解内部控制能做什么，不能做什么。

1能帮助企业达到目标、同时在前进中避免各种意外和错误

2随着对价值、责任、信任和授权的认可和加强控制也被认为是一个有活力的不断发展的。

内可控制不能做什么？（理解，明白）

1内部控制能保证组织成功、实现基本商业目标，至少保证组织能生产，内部控制能帮助组织实现目标，却无法将糟糕的经济人变优秀，法规竞争行为或经济环境的变化能超过管理者的控制。

2内部控制能提供合理保证，而不是绝对保证。决策失误合伙串通舞弊，高管逾越内控等可能导致内控失效。

5.内部控制的本质

以外部控制为条件，以特定目标为动因，以降低风险为基础，以成本和利益平衡为前提，是相对控制，以多种方式为手段。

6.内部控制的职责

.内部控制的职责：组织内部控制系统的设计、维护和监控的职责，由董事会执行，内部控制系统需要不断的监管以保证达到其预定目标，组织监管是由审计委员会或监事会或独立董事（不能持有企业股份的董事）负责。

7.理解风险与收益的权衡

公司对待风险和收益关系的态度；公司是否有足够的能力化解风险；管理者能否有效监控风险

8、内部控制发展的五个阶段（前三个阶段保留了什么积极思想）

（1）内部牵制阶段{主要内容账目间的相互核对、主要方式是设立不兼容岗位}＝＝防止出错，而不是防止舞弊。

（2）内部控制制度阶段{以内部会计控制为核心，重点是建立健全的规章制度}

（3）内部控制结构阶段{内部控制被认为是合理保证企业为特定目标的实现而建立的各种政策和程序，分为内控环境、会计制度和控制程序）

（4）内部控制整合框架阶段

（5）基于ERM整合框架的内部控制阶段

9.新旧COSO报告

旧的COSO报告过分注重财务报告，而没有从企业全局和战略的高度来关注企业风险。可对比18题。

10.旧COSO报告内部控制的三个目标

财务报告的可靠性、经营的效果和效率、符合适用的法律和法规

11.理解旧COSO报告的五个要素

（1）****控制环境：是内部控制体系的基础，是有效实施内部控制的有力保障。

（2）****风险评估：识别及分析影响公司实现目标的风险的过程，是风险管理的基础。（3）控制活动：确保管理层的指令得到贯彻执行的必要措施，存在整个机构内的所有级别和职能部门。

（4）信息与沟通：有支持信息确认、获取信息交流的系统，公司各层面对相关信息进行有效的沟通并将其传达给相关的外部。

（5）监控：对内部控制体系的有效性进行评估的持续过程。（监督的持续性，第三方监督）

12.风险评估：能够使企业考虑潜在事项影响目标实现的程度。（可能性和影响程度）

评估风险所采用的时间范围应与企业战略和目标的时间范围一致。

13.风险分析

14.信息与沟通是保障机制

15.ERM目标、构成要素

ERM目标：

（1）对于纯粹风险，必须尽可能规避。

（2）对于投机风险应根据不同情况，分别采取完全规避和完全不规避及部份规避，部分不规避的对策。

（3）避免风险、控制风险（成本效益）、分散与中和风险（多元化横向）、承担风险（要求收益）、转移风险（投保）、集中风险

16.理解控制风险与分散风险（风险转移最明显的例子是投保）

风险应对的类型：

（1）规避：退出会产生风险的活动。（退出一条产品线、拒绝向一个新的地区市场拓展或者卖掉一个分部）