微软企业风险管理解决方案.ppt

微软企业风险管理解决方案
Microsoft Enterprise Risk Management Solution
什么是风险管理与内部控制
风险管理是指对业务流程中存在的风险的识别、评估和预警;而内部控制是指对识别出的风险进行处理与控制,规范企业业务流程,保障顺利达到内部控制的目标。
出差费用报销
是否授权出差
资金使用情况
报销到帐情况
风险识别
风险评估
风险发生概率
风险危害性
应对策略
风险控制
出差授权记录
报销明细记录
报销到帐记录
控制评价
重新评估风险
控制是否有效
其他缺陷
监督改进
政策解读
Regulatory Environment
政策环境中的中国企业
1992年,美国COSO委员会发布“企业风险管理与内部控制框架”
2002年7月30日,美国国会发布“Sarbanes-Oxley Act”(萨班斯法案)
要求海外在美国的上市公司从2006年7月15日开始必须合规
2003年美国证券交易委员会(SEC)发布对萨班斯法案404节解读的Final Rules
2006年8月9日SEC宣布允许小型上市公司延期1年执行404节……
2005年10月,证监会发布《关于提高上市公司质量的意见》,国务院批转
2006年5月,证监会发布《首次公开发行股票并上市管理办法》明确内控
2006年6月,上海证券交易所发布《上市公司内部控制指引》
要求上市公司从2006年年报起披露内控自我评估报告和会计师事务所的核实评价意见
2006年9月,深圳证券交易所公布《上市公司内部控制指引》
要求深市主板上市公司2007年6月30日前必须建立起完备的内部控制制度
在美国上市的
中国企业
国内的
上市企业
其他
国内企业
2004年8月,银监会发布《商业银行内部控制评价试行办法》
2006年1月,证监会发布《证券公司风险控制指标管理办法》
2006年1月,保监会下发《寿险公司内部控制评价办法》,4月份开始实施
2006年6月6日,国资委向下属159家央企发布《中央企业全面风险管理指引》
2006年7月15日,财政部、证监会、国资委成立“企业内部控制标准委员会”
美国发生的安然申请破产保护、世界通信会计假账事件,以及中国资本市场发生的“银广夏”等上市公司财务舞弊事件,都被归咎于企业风险管理与内部控制失灵。
萨班斯法案解读
法案内容
建立独立的非赢利的公众公司会计监管委员会(PCAOB),对上市公司审计进行监管
通过咨询与审计服务不兼容等提高审计的独立性
对公司高管人员的行为进行限定以增进公司的报告责任
对内控体系进行评价,加强财务报告的可靠性
提高对公司高管及白领犯罪的处罚,包括罚款与刑事责任
302
404
906
对 321家企业的调查结果显示,需要遵守萨班斯法案的美国大型企业第一年实施第404条款的总成本将超过460万美元。这些成本包括35000小时的内部人员投入、130万美元的外部顾问和软件费用以及150万美元的额外审计费用。
——国际财务执行官(FEI)
404节内容简单
公司管理层有责任建立和维护用于财务报告的内部控制体系及流程
公司管理层最近财年末对用于财务报告的内部控制体系及流程进行有效性评价
担任公司年报审计的会计公司应当对管理层的内控评价进行测试和评价
2003年美国证券交易委员会(SEC)的补充条款
建议使用COSO框架,如果不使用COSO框架,那么所选用的内控框架必须能够“映射”到COSO框架上
管理层:对建立和维护用于财务报告的内控体系的责任声明;对用于财务报告的内控体系的有效性评价;使用何种框架体系来评价内控有效性的声明
会计公司:对财务报告的审核意见;对管理层内控评价结果的意见;单独出具内控有效性的意见
COSO内部控制与风险管理框架
mittee of anizations of the mission(COSO,该委员会是由美国会计师协会、美国证监会等联合设立)于1992年发布,要求企业建立与财务报告相关的内部控制体系。
COSO框架主要包括企业风险管理的目标、企业风险管理的要素和企业风险管理的执行层次。
COSO框架将内控定义为一个流程,受企业管理层的影响,用来为以下目标提供保证:
财务报表的可靠性
运营的高效性
对相应的法律法规的遵循
第二个维度是关注的层次:在经营实体的层次,还是活动流程的层次。
第三个维度包括五大要素:控制活动、控制环境、信息/通信、监视、风险评估。
这个框架的工作方式如下:根据任何给定的目标,比如财务报告的可靠性,管理层必须在经营实体的层次和活动流程的层次来评估内部控制的五大要素。
中国的内部控制与风险管理框架
风险评估包括风险辨识、风险分析与风险评价三个步骤
风险评估应将定性与定量方法相结合,定