企业内部控制课件.pptx

《企业内部控制课件.pptx》由会员分享，可在线阅读，更多相关《企业内部控制课件.pptx（113页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1企业内部控制的内涵 内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程：经营的有效性和效率；财务报告的可靠性；遵守适用的法律和法规。2企业内部控制的内涵 这个定义反映了四个理念： 第一，内部控制是一个过程，它是实现目的的手段，而不是目的本身； 第二，内部控制由人员来实施，并不仅仅是政策手册和表格，还涉及组织中各个层级的人员； 第三，只能期望内部控制为企业的管理层和董事会提供合理保证，而不是绝对保证； 第四，内部控制被用来实现一个或多个彼此独立而又相互交叉类别的目标。3企业内部控制的目标 内部控制的目标一般分为三类： 经营（operations）目标

2、。与企业资源利用的有效性与效率有关； 财务报告（financial reporting）目标。与编制可靠的公开财务报表有关； 合规（compliance）目标。与企业符合适用的法律和法规有关。4企业内部控制的目标 专注于内部控制的不同方面； 互相区别又彼此交叉（某一种目标可以归入一个以上的类别）的类别； 针对不同的需要，可能是不同管理人员的直接责任； 这种分类还有助于区分每个类别的内部控制的预期结果；5企业内部控制的目标 目标的合理保证 合理保证实现 财务报告的可靠性 对法律和法规的遵循 合理保证了解进展 经营的效率和效果6内部控制的局限性 判断失误 实施故障 管理层凌驾 串通 成本与效益 7

3、相关各方责任 管理层的责任 积极的控制环境 高层基调 董事会的责任 指导和监督 董事会成员客观、胜任 内部审计师的责任 其他人员的责任 外部各方的责任 监管方8相关术语 控制目标控制目标，提供了一个据以评价控制有效性的具体目标（target）。财务报告内部控制的控制目标通常与一个相关认定有关，并阐明了一个评价标准，据以评价公司特定领域的控制程序是否能够合理保证相关认定的错报或漏报能被控制及时的防止或发现。9 财务报告内部控制缺陷财务报告内部控制缺陷。如果一项控制的设计或运行没有使管理层或员工在行使所赋职责的正常过程中及时防止或发现错报，就表明存在一项财务报告内部控制缺陷。 （1）设计缺陷：如果

4、（a）实现控制目标所必需的一项控制缺失，或（b）现有的一项控制设计不当，以至于即使该项控制按照设计运行也不会实现控制目标，就表明存在一项设计缺陷。 （2）运行缺陷：如果一项设计适当的控制没有按照设计运行，或实施该项控制的人员不具备有效实施该项控制所必需的权力或能力时，就表明存在一项运行缺陷。10 财务报表和相关披露，财务报表和相关披露，指的是公司按照公认会计原则呈报的财务报表和财务报表附注。这里所指的财务报表和相关披露没有扩展到“管理层讨论和分析”的编制或在公司基于公认会计原则的财务报表和附注之外呈报的其他类似财务信息，11 财务报告内部控制，财务报告内部控制，是一个过程，它是由公司首席执行官

5、和首席财务官或履行类似职能的人设计的或在其监督之下的，并由公司董事会、管理层和其他人员实施的，为财务报告的可靠性和按照公认会计原则编制对外财务报表提供合理保证，财务报告内部控制包括的政策和程序要： （1）与保持适当详尽、准确和公允反映公司资产的交易和处置的记录相关； （2）合理保证对交易进行了必要的记录以容许按照公认会计原则编制财务报表，以及公司的收入和支出只根据公司管理层和董事的授权进行； （3）合理保证防止或及时发现未经批准取得、使用或处置那些可能会对财务报表产生重要影响的公司资产。12 管理层的评估，管理层的评估，是规则S-B和S-K的308（a）(3)条款规定的那种评估，它包括在管理层

6、财务报告内部控制的年度报告中。 重大漏洞重大漏洞，是财务报告内部控制的一个缺陷或多个缺陷的联合，以至于公司年度或中期财务报表的一个重大错报没有被防止或及时发现存在相当的可能性（reasonable possibility）。13 财务报告的控制可以是预防性控制或探测性控预防性控制或探测性控制制。有效的财务报告内部控制通常包括一个预防性控制和探测性控制的联合。 （1）预防性控制的目标是防止能够导致财务报表错报的错误或舞弊的发生。 （2）探测性控制的目标是探测那些已经发生的、能够导致财务报表错报的错误或舞弊。 相关认定相关认定，是一个财务报表的认定，它以相当的可能性包含一个或多个会导致财务报表发生

7、重大错报的错报。确定一个认定是否是相关认定是基于固有风险，不考虑控制的影响。14 在考虑多报风险和低报风险的情况下，如果一个账户或披露以相当的可能性包含一个错报，它单独或与其他错报联合起来对财务报表具有重要影响，那么，这个账户或披露是一个重要账户或披露（significant account or disclosure）。确定一个账户或披露是否是重大是基于固有风险，不考虑控制的影响。 重要缺陷重要缺陷，是一个财务报告内部控制缺陷或多个财务报告内部控制缺陷的联合，它在严重性上小于重大漏洞，但其重要程度足以值得那些负责监督公司财务报告的人注意。15企业内部控制的构成要素 控制环境 风险评估 控制活

8、动 信息与沟通 监控16企业内部控制企业内部控制1718主要内容 1。制定与发布 2。不确定性、价值、事项 3。企业风险管理的内容 4。企业风险管理的内涵 5。企业风险管理的构成要素191。制定与发布 发布时间与制定机构 2004年9月 ； COSO-反欺诈财务报告委员会发起组织委员会（Committee of Sponsoring Organizations of the Treadway Commission ，“COSO”）； 企业风险管理整合框架(Enterprise Risk Management Integrated Framework )；202。不确定性、价值、事项 不确定性

9、企业经营所处的环境，如全球化、技术、重组、变化中的市场、竞争和管制等因素都会导致不确定性。 不确定性来源于不能准确地确定事项发生的可能性以及所带来的影响。 不确定性也是主体的战略选择所带来和导致的。212。不确定性、价值、事项 价值 管理当局的决策会创造、保持或破坏价值； 价值创造通过把资源，包括人、资本、技术和品牌，调配到能够产生比过去更多的利益的地方，就会发生价值创造； 价值保持当创造的价值通过更高的产品质量、生产能力和顾客满意度以及其他方式得以维持时，就会发生价值保持； 价值破坏当由于糟糕的战略或执行导致这些目标不能达成时，价值就会被破坏。 决策中伴随着对风险和机会的认识 ；222。不确

10、定性、价值、事项 事项 事项是影响目标实现的从内部或外部所发生的事故或事件。 风险 一个事项将会发生并给目标实现带来负面影响的可能性。？ 机会 一个事项将会发生并给目标实现带来正面影响的可能性。？232。不确定性、价值、事项 企业风险管理的基本前提 每一个主体，不管是营利性的、非营利性的，还是政府机构，存在的目的都是为它的利益相关者提供价值。所有的主体都面临不确定性，对于管理当局的挑战在于确定在追求增加利益相关者价值的同时，准备承受多少不确定性。不确定性潜藏着对价值的破坏或增进，既代表风险，也代表机会。243。企业风险管理的内容 价值最大化 去追求增长和报酬与相关风险之间的最优平衡； 高效率和

11、有效地配置资源，实现企业的目标； 企业风险管理 协调风险容量与战略 战略 风险容量 案例：企业生存陷入绝境 浙明星药企掌门自缢身亡 增进风险应对决策 风险回避 降低 分担 承受253。企业风险管理的内容 减少经营意外和损失 降低意外的发生和相关的成本或损失 ； 识别和管理贯穿于企业的风险 整体风险； 不同部分的个别风险； 总体应对风险； 提供对多重风险的整体应对策略 多重风险 整体应对263。企业风险管理的内容 抓住机会 潜在事项 机会 风险机会 改善资本调配 精确的风险信息； 有效估计资本需求；274。企业风险管理的内涵 企业风险管理 企业风险管理是一个过程，它由一个企业的董事会、管理当局和

12、其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该企业风险容量之内，并为企业目标的实现提供合理保证。284。企业风险管理的内涵 企业风险管理是一个过程，持续流动于企业之内 非静止，持续流动； 与主体的经营活动交织在一起 ； 将风险管理整合到基本的经营活动之中，避免不必要的程序和成本 ；294。企业风险管理的内涵 由组织中各个层级人员来实施 个人的独特的背景和技术能力； 统一的背景：帮助人们在主体目标的背景下去理解风险； 明确个人的责任和权力的限度； 明确职责和履行职责的方式与企业战略和目标之间的联系。 一个组织中的人包括董事会、管理当局和其他人员

13、 ；304。企业风险管理的内涵 应用于战略制定 企业的使命或愿景 ； 战略目标； 制定战略； 其他相关目标； 应用风险管理评价和选择企业的战略和相关目标； 314。企业风险管理的内涵 贯穿于企业，在各个层级和单元应用，采取风险组合观 全部活动 ：企业层次 业务单元 经营流程 特殊项目和新活动； 风险组合观：业务单元、职能机构、经营流程的风险评估企业整体的风险评估； 业务单元的风险与企业整体的风险企业的风险容量与战略；324。企业风险管理的内涵 旨在识别那些一旦发生将会影响企业的潜在事项，并把风险控制在风险容量以内 企业所愿意承受的广义的风险的数量，反映了企业的风险管理理念，影响主体的文化和经营

14、风格； 高、中 、低的定性计量和定量计量； 与企业的战略直接相关 ：不同的战略会使主体面临不同的风险 ；期望的价值创造主体的风险容量； 指导资源配置； 风险容限：与企业的目标相关，是相对于实现一项具体目标而言，可以接受的偏离程度； 风险容限与风险容量相协调 ；334。企业风险管理的内涵 向一个企业的管理当局和董事会提供合理保证 合理保证； 不可控事项、差错等会导致失败； 力求实现一个或多个不同类型但相互交叉的目标 344。企业风险管理的内涵 目标的实现 实现结果的一种手段，并不是结果本身； 四类目标： 战略战略与高层次的目的相关，协调并支撑主体的目标 经营经营与利用主体资源的有效性和效率相关

15、报告报告与主体报告的可靠性相关 合规合规与主体符合适用的法律和法规相关 截然不同却又重叠交叉例：保护资产； 目标实现的可控性：合规、报告合理保证实现；经营、战略合理保证及时了解目标实现的程度。35 企业风险管理与管理过程 企业风险管理是管理过程的一部分； 某些不是企业风险管理的组成部分： 确保恰当的目标设定过程；选定的特定目标； 根据风险评估去应对风险；具体的风险应对和资源的配置； 确定和执行控制活动；选定的特定控制活动； 确保管理层作出知情的风险基础决策的因素。 企业风险管理与内部控制的关系 企业内部控制是风险管理的一部分；365。企业风险管理的构成要素 企业风险管理的构成 ？ ？375。企

16、业风险管理的构成要素385。企业风险管理的构成要素39 案例：万科的降价促销战略 战略目标（圈地）经营目标（现金流）事项（抗议）风险评估（存在风险）风险应对（ ）控制活动（ ）停止降价40内部环境目标设定风险应对控制活动事项识别监 督风险评估信息与沟通41内控不再栖居在会计上之后，企业整体是合理的进化方向。等你明白了舍生取义，自然会和这些学者一起去研究内控。企业能建立内控真是气宇轩昂，闻名不如见面，我对它的景仰犹如滔滔江水，连绵不绝。股东猜中了这开头，但猜不中这结局。三人行，必有研究内控者。4243 这里没有答案，最多给你几这里没有答案，最多给你几个值得一试的猜想。个值得一试的猜想。 汤姆汤姆

17、彼得斯彼得斯4445 企业风险管理构成要素与目标的关系 四类目标、八个构成要素、四个层次; 每一类目标对应着八个要素、四个层次； 每一个要素对应着四类目标、四个层次； 每一个层次对应着八个要素、四个目标；4647Event IdentificationEvents Influencing Factors Event Identification Techniques Event Interdependencies Event Categories Distinguishing Risks and OpportunitiesRisk AssessmentInherent and Residual

18、 Risk Establishing Likelihood and Impact Data Sources Event RelationshipsRisk ResponseEvaluating Possible Responses Selected Responses Control ActivitiesIntegration with Risk Response Types of Control Activities Policies and Procedures Controls over Information Systems Entity SpecificInformation and

19、 CommunicationInformation CommunicationMonitoringRisk Appetite Board of Directors Assignment of Authority and ResponsibilityObjective SettingStrategic Objectives Related Objectives Selected Objectives Risk Appetite Risk TolerancesEvent IdentificationEvents Influencing Factors Event Identification Te

20、chniques Event Interdependencies Event Categories Distinguishing Risks and OpportunitiesMonitoring事项识别事项影响因素事项识别技术事项相互依赖性事项类别区分风险和机会风险评估固有风险和剩余风险确定可能性和影响数据来源评估技术事项相互关系风险应对评价可能的应对措施选择应对措施组合视角控制活动与风险应对相结合控制活动的类型政策与程序对信息系统的控制主体的特殊性信息与沟通信息沟通监控持续监控活动个别评价报告缺陷内部环境目标设定战略目标相关目标选定的目标风险容量风险容限 风险管理理念风险容量董事会诚信和道

21、德价值观对胜任能力的要求组织结构权力和职责的分配人力资源准则48内部环境内部环境49内部环境 内部环境包含组织的基调，它影响组织中人员的风险意识，是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构。内部环境因素包括主体的风险管理理念、它的风险容量、董事会的监督、主体中人员的诚信、道德价值观和胜任能力，以及管理当局分配权力和职责、组织和开发其员工的方式。50 一个组织的内部环境对企业风险管理如何持续地被实施和发挥作用具有重大影响。内部环境是应用企业风险管理其他构件的环境，通常具有强大的正面或负面影响。515253和尚开高档小车陪老婆买内衣 54 案例PK文化与拼酒 案例：粮库科长落网

22、后感叹油水太多， 想不出事都难5556 日本1984年经济白皮书写道：“在当前政府为建立日本产业所做的努力中，应该把哪些条件列为首要的呢？可能既不是资本，也不是法律和规章，因为这二者本身都是死的东西，是完全无效的。使资本和法规运转起来的是精神因此，如果就有效性来确定这三个因素的份量，则精神应占十分之五，法规占十分之四，而资本只占十分之一。 ”57微软的文化 微软文化把那些不喜欢大量规则、组织、计划，强烈反对官僚主义的PC程序员团结在一起，遵循“组建职能交叉专家小组”的策略准则； 授权专业部门自己定义他们的工作，招聘并培训新雇员，使工作种类灵活机动，让人们保持独立的思想性； 专家小组的成员可在工

23、作中学习，从有经验的人那里学习，没有太多的官僚主义规则和干预，没有过时的正式培训项目，没有“职业化”的管理人员，没有耍“政治手腕”、搞官僚主义的风气。58 松下文化-七条精神产业报国的精神光明正大的精神团结一致的精神奋斗向上的精神礼仪谦让的精神适应形势的精神感恩报德的精神。59 IBM（国际商用机器公司）的企业文化 可以用三条原则来表示： 必须尊重个人 必须尽可能给予顾客最好的服务 必须追求优异的工作表现。60华为公司基本法 第一条规定，我们的追求是在电子信息领域实现顾客的梦想，并依靠点点滴滴、持之以恒的艰苦追求，使我们成为世界级领先企业。 第四条规定，爱祖国、爱人民、爱事业和爱生活是我们凝聚

24、力的源泉。企业家精神、创新精神、敬业精神和团结合作精神是我们企业文化的精髓。我们决不让雷锋们、焦裕禄们吃亏，奉献者定当得到合理的回报。 第六条规定，我们以产业报国，以科教兴国为己任，以公司的发展为所在社区做出贡献。为伟大祖国的繁荣昌盛，为中华民族的振兴，为自己和家人的幸福而不懈努力。61 案例：吉林通化钢铁集团总经理遭职工围殴致死 62案例邯郸农行被盗案邯郸农行被盗案 2007年4月14日14 ； 被盗现金人民币近5100万元； 可以装满6个麻袋 ，总重近1.8吨； 银行现金管理中心管库员； 一次偷出与分多次偷出； 内部控制出了什么错？ 63风险管理理念共同认知 一个主体的风险管理理念是一整套

25、共同的信念和态度，它决定着该主体在做任何事情从战略制定和实施到日常的活动时如何考虑风险。 风险管理理念反映了主体的价值观，影响它的文化和经营风格，并且决定如何应用企业风险管理的构成要素，包括如何识别风险，承担哪些风险，以及如何管理这些风险。64风险管理理念共同认知 反映在管理当局在经营该主体的过程中所做的每一件事情上。它可以从政策表述、口头和书面的沟通以及决策中反映出来。 至关重要的是管理当局不仅要通过口头、而且还要通过日常的行动来强化理念。65 内部环境的影响；案例1 风险管理理念的描述：案例2，案例3； 风险管理理念要度量的特征或属性：案例4 风险管理理念的调查：案例5 行为规范：案例66

26、6风险容量 风险容量是一个主体在追求价值的过程中所愿意承担的广泛意义上的风险的数量。它反映了企业的风险管理理念，进而影响了主体的文化和经营风格。 主体运用类似高、适中或低等类别，从质的角度考虑风险容量，或者运用数量化的方法，来反映和平衡增长、报酬和风险方面的目标。67 风险容量在战略制定的过程中加以考虑，来自一项战略的期望报酬应该与主体的风险容量相协调。不同的战略会使主体面临不同程度的风险，应用于战略制定过程的企业风险管理帮助管理当局选择一个与主体的风险容量相一致的战略。68董事会 一个主体的董事会是内部环境的关键部分，它对内部环境的要素有着重大影响； 适当程度的管理、技术和其他专长，以及履行

27、监督职责所需要的思维方式。 必须包含外部董事。提供合理的建议、咨询和指导，而且还要对管理当局形成必要的检查和制衡。独立外部董事必须至少占多数 。 有效的董事会能确保管理当局保持有效的风险管理。 69诚信与道德价值观 主体的战略和目标以及它们得以实施的方式建立在偏好、价值判断和管理风格的基础之上。 管理当局的诚信是一个主体活动所有方面的道德行为的先决条件。 树立道德价值观通常很困难，因为需要考虑多个方面的利益。 道德行为和管理当局的诚信是公司文化的副产品，公司文化包含道德和行为准则以及它们的沟通和强化方式。 70诚信与道德价值观 特定的组织因素也会影响出现欺诈性和可疑的财务报告行为的可能性：强烈

28、动机或诱惑 。 正式的公司行为守则与向上沟通的渠道。 处罚，鼓励，惩戒； 高层管理当局的行为和他们所作的表率 ； 案例：夏新电子习惯性财务造假，四年三度遭证监局调查71对胜任能力的要求 实现规定的任务所需要的知识和技能 ：能力与成本之间的权衡。 明确特定岗位的胜任能力水平，并把这些水平转换成所需的知识和技能。 一个具体岗位所运用判断的性质和程度。 在监督的范围和所需的胜任能力水平之间做出权衡 。72组织结构 一个主体的组织结构提供了计划、执行、控制和监督其活动的框架。 包括确定权力与责任的关键界区，以及确立恰当的报告途径。 主体建立适合其需要的组织结构。一个主体的组织结构的适当性部分地取决于它

29、的规模和所从事活动的性质。 主体的组织方式都应该确保有效的企业风险管理，并进行活动以便实现其目标。 73权力和职责的分配 涉及到个人和团队被授权并鼓励发挥主动性去指出问题和解决问题的程度，以及对他们的权力的限制。 包括确立报告关系和授权规程，以及描述恰当经营活动的政策，关键人员的知识和经验，和为履行职责而赋予的资源。74 权力的集中或下放。 仅仅针对实现目标所需要的范围来进行授权 ；确保所有的人员都了解主体的目标 。 授权与组织扁平化更高的员工胜任能力水平以及更大的受托责任、要求管理当局采用有效的程序对结果进行监控。75人力资源政策 包括雇佣、定位、培训、评价、咨询、晋升、付酬和采取补偿措施

30、； 传达着有关诚信、道德行为和胜任能力的期望水平方面的信息 ； 培训政策 ：加强业绩和行为的期望水平 ； 调换与晋升；报酬计划 ；惩戒 ； 持续的教育过程； 76内部环境的影响 一般认为一家能源公司有着有效的企业风险管理，因为它有： 强力而受人尊敬的高层管理者 声望卓著的董事会 富有创新意识的战略 设计良好的信息系统和控制活动 描述风险和控制职能的广泛的政策手册，以及全面的调解和监督途径。 但是，它的内部环境却有重大缺陷。管理当局参与了十分可疑的经营业务，而董事会却视而不见。77 一个无效的内部环境的影响会很广泛 ； 光说得正确是不够的。“按我说的去做“与”按我做的去做”。78案例：高层基调

31、公司总经理到外地出差，总要司机拉着他到处转转，目的是为老婆买点礼物。在一家时装店，看中了一件女式睡衣，粉红色的，很漂亮，360元。付了钱，他感到有些后悔，原因是没有开“办公用品”的发票。这让总经理很为难，回去怎么报销哪？ 返回的路上，他一直想这个问题。车行至一路口，忽见一老农赶着一群猪过来。总经理顿时来了灵感，对司机说：“我给你嫂子买了一件睡衣，回去无法报销，你打个便条，就说路上开车不小心，撞死了农民的一头小母猪，赔款360元。” 第二天，司机打了便条，总经理签了字，拿到财务科报了销。79 过了些日子，总经理又到外地出差，又让自己拉着他到处转。在一家珠宝店，总经理看中了一对850元的耳环。付了

32、钱，珠宝店的营业员不肯开具“办公用品”的发票。 回去后，总经理又让司机打了一张和上次一样的便条。不过这次总经理在便条上改了一个字，把“撞死一头小母猪”改成了“撞死一头老母猪”。 总经理的车接连撞死母猪的消息，两位副总经理和近10位中层干部都知道是怎么回事。于是，今天是李副总经理，明天是王副总经理，后天是计划科的赵科长，再后天是安全办的赖主任、隔三差五，就有人拿着“撞死小母猪”或“撞死老母猪”的便条让总经理签字。80 于是，总经理召集所有公司干部开了一个会，专门研究这个问题。经过充分发扬民主，他们研究出了一个公司关于干部外出撞死母猪的规定。 规定强调：总经理每年可以撞死12头猪，其中老母猪不能超

33、过6头；副总经理每年可以撞死6头猪，老母猪不能超过3头；中层干部每年可以撞死3头猪，其中老母猪只能撞死1头；一般员工外出一概不准撞死猪。超过指标的，费用不得报销。81目标设定目标设定82目标设定 目标是设定在战略层次上的，它为经营、报告和合规目标奠定了基础。 每一个主体 都面临来自外部和内部的一系列风险，确定目标是有效的事项识别、风险评估和风险应对的前提。 目标与主体的风险容量相协调，后者决定了主体的风险容限水平。83主要内容 战略目标 相关目标 目标的实现 选定的目标 风险容量 风险容限84目标设定与其他要素的关系 目标设定是事项识别、风险评估和风险应对的前提。 在管理当局识别和评估实现目标

34、的风险并采取行动来管理风险之前，首先必须有目标。85战略目标 使命/愿景/目的企业存在的意义； 设定战略目标 进行战略规划 确定相关目标； 战略目标实现的风险评估：案例186相关目标 战略目标 相关目标； 层次：企业层次（创造和保持价值） 活动层次（销售、生产、职能机构） 关键成功因素 充分了解与可计量性 使命、战略目标、战略和相关目标：案例2，案例3 87相关目标 相关目标的类别 经营目标这些目标与主体经营的有效性和效率有关，包括业绩和赢利目标和保护资源不受损失。它们因管理当局对结构和业绩的选择而异。 报告目标这些目标与报告的可靠性有关。它们包括内部和外部报告，可能涉及到财务和非财务信息。

35、合规目标这些目标与符合相关法律和法规有关。它们取决于外部因素，在一些情况下对所有主体而言都很类似，而在另一些情况下则在一个行业内有共性。88相关目标 相关目标的差异： 报告与合规目标，特定的目标取决于主体所从事的经营业务； 经营目标，以及那些内部管理报告目标，更多地建立在偏好、判断和管理风格的基础上。 战略目标 89相关目标 经营目标经营目标 关系到主体经营的有效性和效率关系到主体经营的有效性和效率 ； 反映主体运作所处的特定的经营、行业和经济环境； 细化与次级经营目标； 一套与次级目标相关联的清晰的经营目标； 引导资源配置；90相关目标 报告目标 可靠的对内、对外报告； 对内报告：可靠的报告

36、为管理当局提供适合其既定目的的准确而完整的信息，比如，市场营销计划的结果、逐日销售快报、生产质量和员工与客户满意度结果 ； 对外报告：比如，财务报表与附注披露、管理当局的讨论与分析以及向监管机构提交的报告。91相关目标 合规目标合规目标 主体从事活动必须符合相关的法律和法规 ； 适用的法律和法规确定了最低的行为准则； 一个主体的合规记录可能会对它在社会和市场上的声誉产生极大的正面或负面影响； 保护资产 如果与公开的报告联系起来考虑，通常采用保护资产的狭义定义，即致力于防止或及时察觉对主体资产未经授权的采购、使用或出让。92目标的实现 报告目标与合规目标 有效的企业风险管理为主体的报告目标得以实

37、现提供合理保证。 有效的企业风险管理为合规目标的实现提供了合理保证。 报告和合规目标的实现更多的是在主体的控制范围之内。也就是说，一旦确定了目标，主体对其从事满足目标所需要的活动的能力具有控制力。93目标的实现 经营和战略目标 它们的实现并不完全在主体的控制范围之内。主体可能像预期的那样运作，也可能会被竞争者所超越。 外部事项例如政府的变动、恶劣的天气以及类似的情况的发生超出了它的控制范围。 合理保证管理当局和履行监督职责的董事会及时地知悉主体实现这些目标的程度。 94选定的目标 选定的目标选定的目标 支持主体的使命； 与主体的风险容量协调； 制定程序确保战略目标与使命的协调，与风险容量一致。

38、95风险容量 管理当局在董事会的监督下所确定的风险容量是战略制定的指向标 风险容量表述为增长、风险和报酬之间可接受的平衡，或者风险调整的股东增加值指标。 风险容量与战略之间的一致性； 主体的风险容量反映在主体的战略之中，进而指导资源配置 ； 要考虑的相关问题：案例4。 风险容限的表示方法：案例5风险地图96风险容限 风险容限是相对于目标的实现而言所能接受的偏离程度。 风险容限能够被计量，而且通常作为相关的目标,最好采用相同的单位进行计量。 在确定风险容限的过程中，管理当局要考虑相关目标的相对重要性，并使风险容限与风险容量相协调。97 在风险容限之内经营能够就主体保持在它的风险容量之内，为实现目

39、标提供合理保证。 风险容限的设定：案例6某航空公司准时服务的风险容限。 使命、目标、容量和容限之间的关系：案使命、目标、容量和容限之间的关系：案例例7；98事项识别事项识别99事项识别事项识别 管理当局识别将会对主体产生影响的潜在事项，并确定它们是否代表机会，或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。 带来负面影响的事项代表风险，它要求管理当局予以评估和应对带来。正面影响的事项代表机会，管理当局可以将其反馈到战略和目标设定过程之中。 在对事项进行识别时，管理当局要在组织的全部范围内考虑一系列可能带来风险和机会的内部和外部因素。 100事项识别事项识别 事项 影响因素 事项识别

40、技术 相互依赖性 事项类别 区分风险和机会101事项 事项是源于内部或外部的影响战略实施或目标实现的事故或事件； 事项可能带来正面或负面影响，或者两者兼有 ； 发生的可能性与影响； 衔接事项与目标案例1102影响因素 外部因素 与经济有关的因素 ； 自然环境因素 ； 政治因素 ； 社会因素 ； 技术因素 ；103影响因素 内部因素； 基础结构 ； 人员 ； 流程 ； 技术 ； 识别影响因素识别事项； 主要因素主要事项； 企业层面的事项；活动层面的事项104事项识别技术 各种技术； 既关注过去，又着眼于未来； 应用层面的差异； 事项与目标事项与目标 常用的事项识别技术 事项目录案例事项目录案例

41、一个特定行业内的公司所共通的潜在事项或者不同一个特定行业内的公司所共通的潜在事项或者不同行业之间所共通的特定过程或活动的详细清单行业之间所共通的特定过程或活动的详细清单 。105 内部分析内部分析 常规性经营规划循环过程的一部分； 通过一个业务单元的员工会议完成； 例：一家正在考虑引入一个新产品的公司利用它自己的历史经验以及外部市场调研来识别那些曾经影响竞争者产品成功的事项。 扩大或底限触发器扩大或底限触发器 ； 将现在的交易或事项与预先设定的标准进行对比，提醒管理层关注的领域；106 推进式的研讨推进式的研讨与与访谈访谈 通过经过设计的讨论，利用管理层、员工和其他利益相关者所积累的知识和经验

42、来识别事项。 过程流分析过程流分析 考虑构成一个过程的输入、任务、责任和输出的组合。107 首要事项指标首要事项指标 企业通过监控与事项有相互关系的数据来识别可能导致一个事项发生大情形是否存在。 损失事项数据方法损失事项数据方法 利用过去单个损失事项的数据库。108相互依赖性 事项通常并不是孤立地发生的。一个事项可能引发另一个事项，事项也可能会同时发生； 确定风险管理活动的方向； 109事项分类 了解事项时间的相互关系； 考虑事项识别工作的完整性 分类的标准：目标，可控性等110区分风险和机会 风险评估和应对 机会反馈到战略和目标的制定过程中；111112 案例：房产税对中国房地产市场的影响113