企业内部控制与管理(郭致星).ppt

3.2.2风险评估 ② 外部风险识别关注因素 —经济形势、产业政策、投融资环境、市场竞争、资源供给等经济因素。 —法律法规、监管要求等法律因素。 —安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。 —技术进步、工艺改进等科学技术因素。 —自然灾害、环境状况等自然环境因素。 —外部突发事件影响。 —其他有关外部风险因素。 3.2.2风险评估 ⑶ 风险分析 风险分析是为了更多或更精确地了解风险的特征，企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析。另外，在风险分析时还往往对风险的敏感性和不确定性等特征实施分析。 ⑷ 风险评价 ⑸ 风险治理对策 ① 风险规避 ② 移走滋生风险的根源 ③ 改善风险的特征 ④ 风险分担/风险转移 ⑤ 风险承受 ⑥ 风险应对 ⑹ 选择内部控制这一风险改善对策的落实措施 3.2.3 控制活动 1．控制活动要素描述 2．控制活动要素实施要点 ⑴ 企业应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。 ⑵ 企业制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。 ⑶ 企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。 ⑷ 控制活动是体现控制政策的程序或行动，往往是控制措施的组合。前文有关于企业控制措施的相关内容已给出了基本的概念。 以下是一些可称之为常见的体现在企业各项控制活动中的内控措施，包括：　① 授权; ② 报告 ; ③ 批准 ; ④ 问责 ; ⑤ 审计检查 ; ⑥ 考核评价 ; ⑦ 重大风险预警 ; ⑧ 法律顾问 ; ⑨ 制衡，明确规定不相容职责的分离 。 3.2.4 信息与沟通 1．信息与沟通要素描述 2．信息与沟通要素实施要点 ⑴ 信息与沟通制度 ⑵ 信息收集 ⑶ 信息传递和沟通 ⑷ 以信息为基础的控制措施 ⑸ 文件信息控制 ⑹ 信息技术 3.2.5 监控 1．监控要素描述 监控是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并提议改进。 2．监控要素实施要点 ⑴ 内部控制监控制度 企业应当根据相关规范制定内部控制监控制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监控中的职责权限，规范内部监控的措施类别、程序、方法和要求。 内部监控分为日常监督和专项监控。 3.2.5 监控 ⑵ 内部控制缺陷认定 企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。 内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。 ⑶ 内部控制自我评价 企业应当结合内部监控情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。 内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。 国家有关法律法规另有规定的，从其规定。 3.2.5 监控 ⑷ 监控报告 监控报告（除非就某一监控方面监管机构提出特别要求）因企业不同和因监控的目标任务不同而不同。一般监控报告应报告监控发现的事实和监控发现的潜在问题，有时也报告目标实现的可能性评估，如有必要也可给出就发现问题的应对建议。 ⑸ 记录控制 应建立相关文档的保存和记录制度，以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。 记录应保持清晰、易于识别和检索，以提供符合要求和内部控制体系有效运行的证据，并可追溯到相关的活动。 3.3 内部控制体系设计、实施与评价 3.3.1 内部控制体系设计考虑要点 企业在实施内部控制的设计时要考虑内部控制的目标和政策，要体现企业内部控制管理的总体原则（本考试大纲本模块的前文中已陈述了这一原则），要考虑内部控制的成本