COSO与企业风险管理说课.ppt

Presentation Name (View / Header and Footer) COSO 与 企业风险管理 演讲-中国石油 2006年4月 概要 什么是 COSO内部控制框架? COSO 实施过程中的问题和公司采取行动 COSO实施过程问题和方法 审计师关注点及公司采取的行动 控制模型实施的最佳方案 企业风险管理 什么是 COSO内部控制框架? 什么是COSO内部控制框架？ 控制环境 控制环境是指一个公司的内部组织机构对风险控制的意识程度；是公司内部员工在进行日常业务活动的同时承担其对风险进行控制责任的环境。 内控环境既包括有形因素，也包括无形因素，例如: 职业道德 员工的胜任能力 组织架构 管理理念和经营风格 权利和职责的分配 人力资源政策与措施 董事会和审计委员会 反舞弊 风险评估 风险评估的过程应从确定与公司各级组织业务目标相关联的风险开始 公司层面 - 是有效内控的奠基石，同时指明了公司的整体方向 应与公司的财务预算、发展战略、及业务发展计划相一致 业务层面 应与公司层面目标相一致，同时又要考虑到其更加具体的业务目标和完成期限的要求 为管理层的日常控制提供指南 风险评估需要对内部及外部因素评估，同时要考虑到其对运营、对财务报表，以及对法律准则的影响 控制活动 控制活动是确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程序 控制活动被融入在日常业务经营中，用来将风险控制在合理范围内，起到预防性、发现性和修正性的作用 控制活动的种类包括： 审批、授权和确认（如：权限分配） 日常的操作层面管理控制（如：对帐，差异调节） 绩效指标的审核 (如 ：KPIs, metrics) 资产的安全 (如：物理控制) 职责分离 (如：保管—授权—记录) 信息系统控制 (如：安全访问) 信息与沟通 信息与沟通要求相关的内、外部信息的识别、获取、处理，并在公司内部及时沟通 通过多种正规或非正规的渠道获取信息 语言沟通 (如会议、反馈) 书面沟通 (如政策、流程、职位描述) 行为示范 (如管理层以行动展示正确的方式) 监督 监督的目的是确认内部控制是否进行充分的设计和执行，以及是否具备有效性和适应性。 监督活动的范围和频率取决于被控制风险的重要性以及对降低风险的控制重要程度 监督活动应成为正规的、常年进行的工作 必威体育精装版的 COSO 风险管理框架 COSO实施过程中的问题和公司采取行动 COSO 实施过程 运用COSO框架，将内部控制融入到公司与财务报告相关的业务活动中 COSO 实施过程中的问题 项目管理 COSO 的实施 -公司如何实施以及审计师如何评估内部控制框架 项目管理障碍 缺乏对COSO 框架的认识和正确评价 缺乏指导而混淆COSO的专业术语 缺乏理论与实践的综合 缺乏对业务层面内部控制作用的认识 缺乏来自各层面员工的支持 对于变化的排斥 COSO 的实施方法 审计师所关心的领域 - 控制环境 审计师考虑些什么问题 -控制环境 (1) 职业道德 公司是否制定了全面的行为准则并定期确保所有员工获知? 员工是否在适度的竞争压力下采取正确的行为，还是“超近道”赚“快钱”? 员工是否广泛明确采取不当行为会按公司规定受到一定的惩处? 是否会对已制定政策的背离进行调查并记入文件? 员工胜任能力 管理层已对完成每一项工作任务的能力进行分析评估。 管理层已对明确了完成每一项工作所需要具备的知识与技能。 有证据证明员工具备所需的知识和技能。 审计师考虑些什么问题 -控制环境 (2) 董事会 / 审计委员会 董事会是否是独立的，并能建设性的向管理层制定的计划提出质疑? 主管是否拥有足够的知识、行业经验和时间来有效地为公司服务？ 审计委员会成员是否定期会见首席财务官及内、外部审计师 ，共同讨论财务报告过程和内部控制系统的合理性，并对管理层的绩效表现提出重大的意见和建议？ 董事会是否定期收到重要信息? 是否存在向董事会提供重要信息的途经与程序？ 董事会和审计委员会成员是否充分参与评估公司高层管理者制定的一系列制度向下沟通及执行的有效性？ 董事会是否发布了规范管理层的细则？ 审计师考虑些什么问题 -控制环境 (3) 管理理念和经营风格 采取什么样模式扭转公司现状? 任何关键职能上的人员轮换? 管理者对数据处理和会计职能的态度 财务报表中会计准则的选定 高级管理层和业务经理层之间互相作用、影响的频率 组织结构 对于特定实体业务的类型，组织结构是适当集权化的还是非集权化的？ 实体业务活动的职责和预期是否会清晰地传达给负责该活动的执行主管？ 已制定的报告关系? 实体的组织结构是否会根据行业变化定期进行评估？ 审计师考虑些什么问题 -控制环境 (4) 权利和职责的分配 员工是否明确其权力和指责