控制与风险管理框架课件

《控制与风险管理框架课件》由会员分享，可在线阅读，更多相关《控制与风险管理框架课件（198页珍藏版）》请在装配图网上搜索。

1、 内部控制与风险管理内部控制与风险管理框架专题框架专题 20112011年年3 3月月引子:日本核危机与内部控制 技术缺陷 一旦燃料棒过热 核泄漏几率九成早在1972年，美国原子能源委员会专家就曾建议全面停用“Mark 1”沸水反应堆技术，因为一旦燃料棒过热，安全壳容易爆裂，并造成核泄漏，几率高达9成。设备老化 老爷车开上高速 出事是早晚的 曾任东芝公司核电站设计师的后藤政志说，可以初步认定福岛第一核电站1号机组发生的放射性物质泄漏事故是核电站抗震能力不足和设备老化所致。设计漏洞 七成核反应堆建在地震高危区 国际原子能组织(IAEA)早在2008年就指出，日本的核电站不足以抵挡大地震的破坏，存

2、在着巨大的安全隐患。然而，这一问题却未能得到日本方面的重视。引子:日本核危机与内部控制 监管缺位 自己经营自己监管 难免糊弄 在这次引发全球担忧的核危机爆发后，美国彭博社评论称，福岛核电站看不到头的灾难背后，是日本核能行业数十年来伪造安全报告、隐瞒死亡事故和对地震危险性估计不足等丑相百出。日本负责核电站安全检查的部门是原子力安全和保安院，直属日本经产省。由于日本发展核电主要依循“国策民营”的模式，即由民间企业出头来经营核电事业，而他们的顶头上司就是日本经产省。“自己经营，自己监管，难免会监管不严，糊弄了事。”专家称福岛核电站“放射性烟羽”或将遍布北半球 灾难考验日本民众道德底线 抢劫和偷窃事件

3、增加 中国各地食盐抢购已经平息销量大幅减少 引子:扁鹊的医术 史记载，魏文侯曾问扁鹊说：“你们三兄弟中谁最善于当医生？”扁鹊回答说：“长兄医术最好，中兄次之，自己最差。”文侯说：“可以说出来听一听吗？”扁鹊说：“长兄治病，是治于病情未发作之前，由于一般人不知道他事先能铲除病因，所以他的名气无法传出去。中兄治病，是治于病情初起之时，一般人以为他只能治轻微的小病，所以他的名气只及于乡里。而我是治于病情严重之时，在经脉上穿针管来放血，在皮肤上敷药，所以都以为我的医术最高明，名气因此响遍天下。”引子:扁鹊的医术 故事的管理学启示事后控制不如事中控制，事中控制不如事前控制 可惜大多数的事业经营者均未能体

4、会到这一点 总是等到错误的决策造成了重大的损失才寻求弥补 总是事后弥补，亡羊补牢，为时已晚 为何不“未雨绸缪”，防患于未然过去的十年：充满变动与不确定性 2000：“年市”与千年虫 2001：911 2002：安然世通与其他公司丑闻 2002-03：新管制规则与立法 2004-07：突出财务控制 2008：全球金融与经济危机 2009：经济的复苏与向好下一个十年：有什么样的预测 2011：千年极冷 2012：世界末日？百年一遇年年遇，历史罕见月月见 我们应如何应对？一个引起足够重视的问题研究：一个引起足够重视的问题研究：他们为什么没有能够防范失败的风险？他们为什么没有能够防范失败的风险？失控导

5、致失败 近10 多年来，中国商界风云诡谲，每隔一两年便有一些庞大而知名的企业轰然倒地。在大败局的众多案例中，那些曾经不可一世的企业家们缺乏现实的控制感和控制艺术大概是最为致命的弱项仰融无法控制华晨、唐万新无法控制德隆、顾雏军无法控制科龙、宋如华无法控制托普、李经纬和赵新先无法控制他们一手创办的健力宝和三九，等等，一切悲剧都潜伏着惊人一致的逻辑。1981 年，当有点口吃的杰克韦尔奇被任命为GE 新总裁后，他跑到洛杉矶附近的一个小城市去拜访当世最伟大的管理学家彼得德鲁克，他问的第一个问题就是：“我怎么控制GE下面的上千家公司？”一切伟大的治理都是从学习控制开始的。吴晓波大败局内控与谁有关 大企业：

6、治理层_“三会”管理层_高管、中干有志上位者 中小企业：所有者，小老板经营者 专业人士企业：财务总监、财务经理、内部审计师中介：注册会计师、管理咨询师、注册内部控制师？企业内部控制配套指引的发布 2010年4月26日，财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会，隆重发布了企业内部控制配套指引（以下简称配套指引）。与内部控制基本规范、企业内部控制制度共同构成了一个完整的内部控制规范体系。企业内部控制配套指引的实施 2011-1-1，在境内外同时上市的公司，60多家 2012-1-1，沪深主板，1000多家 择机，中小板和创业板 鼓励，非上市大中型企业企业内部控制配

7、套指引的实施 执行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。企业内部控制配套指引的结构核心，核心，“如如何控制何控制”，设计（建设）设计（建设）评价指引评价指引审计指引审计指引应用指引应用指引CPA外部审计外部审计（鉴证、审核）（鉴证、审核）内部控制咨询、培训内部控制咨询、培训内部控制审计内部控制审计注册会计师的新业务注册会计师的新业务同一事务所同一事务所不能同时做不能同时做公司管理层公司管理层自我评价自我评价企业内部控制配套指引的结构评价指引评价指引审计指引审计指引应用指

8、引应用指引1.组织架构组织架构2.发展战略发展战略3.人力资源人力资源4.社会责任社会责任5.企业文化企业文化控制环境类控制环境类控制手段类控制手段类控制活动类控制活动类6.资金活动资金活动7.采购业务采购业务8.资产管理资产管理9.销售业务销售业务10.研究与开发研究与开发11.工程项目工程项目12.担保业务担保业务13.业务外包业务外包14.财务报告财务报告 15.全面预算全面预算16.合同管理合同管理17.内部信息传递内部信息传递18.信息系统信息系统 第一部分 内部控制的发展与演变一、内部控制的渊源和早期发展二、内部控制的初步形态：内部牵制三、内部控制理论和实践的分野四、内部控制的发展

9、与演变五、国际上较有影响的内部控制准则或指南六、我国内部控制规范建设的情况一、内部控制的渊源和早期发展 内部控制的渊源十分久远，自从有了人类的群体活动和组织之后，就会产生对组织的成员及其活动进行控制的需要 内部控制的发轫最早可以追溯到公元前3600年公元前3200年的苏美尔文化时期 古埃及、古波斯、古希腊、古罗马和古代中国都有原始内部牵制制度的雏形 原始的内部牵制制度最早是为部落、城邦、庄园、国家服务的 中世纪资本主义生产关系萌芽，商业组织开始出现，内部牵制进入企业领域，开启了一个广阔的发展空间 控制（control）一词最早产生于17世纪，其原始含义是“由登记者之外的人对帐册进行的核对和检查

10、”二、内部控制的初步形态：内部牵制 内部控制是从内部牵制（internal check）的基础上发展起来的 20世纪以前，盛行的观念和实务都停留在内部牵制阶段 内部牵制的目的是纠错防弊，其前提性假设是：两个或多个人犯同一种错误的概率较小，两个或多个人串通舞弊的可能性较小，难度较大 内部牵制的基本思路是分工和牵制 主要的牵制机能包括：分权牵制、实物牵制、机械牵制和簿记牵制 三、内部控制理论和实践的分野 审计视角下的内部控制审计视角下的内部控制 20世纪以后，审计职业界出于摆脱全面查核、提高审计效率的考虑，开始关注内部控制20世纪中叶，审计和内部控制的发展不断交织，进而互动和耦合，直接导致了制度基

11、础审计模式的诞生此后，内部控制逐渐确立了在审计中的地位，成为推动审计模式演变和探索审计理论与方法的重要因素之一 内部控制与审计的交叉和耦合，是推动内部控制理论与实践发展的最主要的力量 管理视角下的内部控制管理视角下的内部控制 现代管理学说把控制看作管理的一项核心职能，围绕着管理所展开的控制研究和实践，是内部控制发展的一个重要分支，我们一般把这个分支统称为管理控制(计划指挥组织控制协调)几乎所有的著名管理大师，包括法约尔、德鲁克、钱德勒、罗宾斯等，在他们的管理学著作中，都涉及到控制问题 围绕着管理控制，形成了自我控制论、控制过程论、控制系统论、控制动力论、生态控制论等多个分支这个学派随着控制论、

12、系统论和现代管理学的发展而不断发展而专以控制研究而著称的前沿观点以哈佛大学西蒙斯教授的管理杠杆理论最具代表性 战略管理会计视角下的内部控制战略管理会计视角下的内部控制 随着现代管理会计的发展，战略管理会计学派的一个分支将组织内的控制系统区分为战略规划、管理控制和作业控制三个层次管理控制主要是多事业部制的公司对其战略业务单元（SBU）所进行的战略业绩考评和控制系统这个学派的主要代表是哈佛大学的安东尼教授和卡普兰教授 四、内部控制的发展与演变 内部控制阶段1936，AIA，独立公共会计师对财务报表的检查，首次提出内部控制的概念注册会计师在制定审计程序时，应考虑的一个重要因素是审查企业的内部牵制和控

13、制，企业的会计制度和内部控制越健全，财务报表需要测试的范围就越小内部控制是为了保护公司现金和其他资产，核对簿记的准确性，而在公司内部采用的手段和方法1938年，麦克森罗宾斯事件：PW的审计程序中缺少对内部控制和会计处理程序的审查1939年10月，AIA审计程序委员会发布SAP1审计程序的扩展，首次增加内部控制审查的内容1940年10月，SEC正式要求审计师在签署的审计报告中增加类似的内容1949年，AIA审计程序委员会（CAP），内部控制：一个协调的系统要素及其对管理层和独立公共会计师的重要性，首次给出内部控制的权威定义内部控制包括组织的计划和为了保护资产、核对会计资料准确性和可靠性、提高经营

14、效率、以及促使遵循管理层所制定的各项政策所采取的各种方法和措施 内部控制系统阶段1958年10月，CAP发布了SAP29“独立审计师评价内部控制的范围”，将内部控制划分为会计控制和管理控制 1963年10月，CAP在SAP33“审计准则与程序（汇编）”中强调：独立审计师应主要检查会计控制1972年11月，SAP54“审计师对内部控制的研究与评价”，对管理控制和会计控制的定义进行了修订和充实1972年11月，AudSEC 发布SAS1“审计准则和程序汇编”会计控制包括组织的计划和与保护资产和保证财务资料的可靠性有关的程序和记录管理控制包括但不限于组织的计划和与管理层授权办理经济业务的决策过程有关

15、的程序和记录1977年，反国外腐败行为法案（FCPA），要求公众公司保持充分的内部会计控制，采纳SAS1的定义1979年，SEC要求公众公司在年度报告中增加管理层报告，对公司内部会计控制是否为FCPA规定的内部控制目标提供合理保证作出说明，并要求注册会计师进行审查、发表意见 内部控制结构阶段1988年4月，ASB发布SAS55“财务报表审计中对内部控制的考虑”，引入“内部控制结构”的概念内部控制结构包括为合理保证企业特定目标的实现而建立的各项政策和程序内部控制结构包括3个要素：控制环境，会计体系，控制程序 内部控制整合框架阶段1992年9月，COSO发布内部控制整合框架（1994年局部修订）C

16、OSO成立于1987年，是Treadway委员会（反欺诈财务报告全国委员会）的发起组织委员会，后者成立于1985年，由AICPA，AIA，IIA，FEI，IMA发起成立内部控制的3个目标：经营的有效性和效率，财务报告的可靠性，对适用法律法规的遵循内部控制的5个构成要素：控制环境，风险评估，控制活动，信息与沟通，监控1995年12月，ASB发布SAS78“财务报表审计中对内部控制的考虑：对SAS55的修正”，全面采纳COSO的内部控制框架SOX404及相关规则采用的也是这个框架监控控 制 环 境风 险评 估控制活动信沟通息与沟通信息与 企业风险管理整合框架：未来趋势？2004年9月，COSO正式

17、发布企业风险管理整合框架ERM的4个目标：战略，经营，报告，合规ERM的8个构成要素：内部环境，目标设定，事项识别，风险评估，风险应对，控制活动，信息与沟通，监控内 部 环 境战 略目 标 设 定事 项 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告合规 子公司业务单元分 部企业层次五、国际上较有影响的内部控制准则或指南 国际上较有影响的内部控制框架、准则和指南1美国，COSO，内部控制整合框架，1992年9月（1994年局部修订）（它是目前最有影响的框架性文件，是此后诸多准则、指南的蓝本。也是美国公认审计准则相关规定、SOX法案相关要求的主要参照）2美国，GAO

18、（审计总署，2004年改名为政府问责署，简称仍为GAO），联邦政府内部控制准则，1999年11月（内部控制进入公共部门的代表性标志）3巴塞尔银行业监管委员会，银行业机构内部控制系统框架，1998年9月（权威而影响广泛的金融机构内部控制国际指南）4英国，FRC（财务报告委员会），Turnbull内部控制指南，2005年10月修订（Turnbull内部控制指南最初由ICAEW（英格兰与威尔士特许会计师协会）于1999年发布）5加拿大，CoCo（控制标准委员会，隶属于加拿大特许会计师协会（CICA），控制指南，1995年 与风险管理相结合的权威内部控制框架、准则和指南1美国，COSO，企业风险管理整

19、合框架，2004年9月2英国，IRM（风险管理学会），AIRMIC（保险与风险管理师协会），ALARM（全国公共部门风险管理论坛），风险管理准则，2002年3澳大利亚，新西兰，AS/NZS 4360，风险管理准则，2004年（最初的版本于1995年发布）4加拿大，CAN/CSA-Q850-97，风险管理指南，1997年10月5南非，King委员会报告II，公司治理报告，2002年（其中包括内部控制和风险管理）6中国香港特别行政区，香港会计师公会（HKICPA），内部控制与风险管理基本框架，2005年6月7日本，经济产业省风险管理与内部控制研究会，风险新时代的内部控制，2005年6月 与信息技术

20、相结合的权威内部控制准则和指南与信息技术相结合的权威内部控制准则和指南 1国际标准组织（ISO），ISO 17799，信息系统安全，2005年2ISACA（信息系统审计与控制协会），ITGI（IT治理协会），信息与相关技术的控制目标（COBIT），2003年（最初的版本于1996年发布）3IIARF（内部审计师协会研究基金会），系统可审计性与控制（SAC），最初于1991年发布，1994年修订六、我国内部控制规范建设的情况 财政部内部会计控制规范 2001年6月22日，内部会计控制规范基本规范（试行），内部会计控制规范货币资金（试行）2002年12月23日，内部会计控制规范采购与付款（试行），

21、内部会计控制规范销售与收款（试行）2003年10月22日，内部会计控制规范工程项目(试行)2004年8月19日，内部会计控制规范担保（试行），内部会计控制规范对外投资（试行）商业银行、保险机构内部控制指引1997年5月16日，中国人民银行，加强金融机构内部控制的指导原则（已废止）2002年9月7日，中国人民银行，商业银行内部控制指引2004年12月25日，中国银监会，商业银行内部控制评价试行办法2005年2月28日，中国保监会，保险中介机构内部控制指引（试行）证券公司、基金公司内部控制指引2001年1月31日，中国证监会，证券公司内部控制指引（已废止）2002年12月3日，中国证监会，证券投资

22、基金管理公司内部控制指导意见 2003年12月15日，中国证监会，证券公司内部控制指引（修订）2006年6月30日，中国证监会，证券公司融资融券业务试点内部控制指引2007年2月13日，中国证监会，证券投资基金销售机构内部控制指导意见（征求意见稿）上市公司内部控制指引2006年6月5日，上海证券交易所上市公司内部控制指引，自2006年7月1日起施行 2006年9月28日，深圳证券交易所上市公司内部控制指引，自2007年7月1日起施行 其他2006年6月6日，国务院国有资产监督管理委员会，中央企业全面风险管理指引中央企业全面风险管理指引2002年2月，中国注册会计师协会，内部控制审核指导意见 2

23、006年7月6日，财政部企业内部控制标准委员会成立主席：王 军（财政部副部长）副主席：李小雪（中国证券监督管理委员会纪委书记）邵 宁（国务院国有资产监督管理委员会副主任）秘书长：刘玉廷（财政部会计司司长）委员：29人 2008年5月22日，财政部、证监会、审计署、银监会、保监会发布企业内部控制基本规范自2009年7月1日起在上市公司范围内施行鼓励非上市的大中型企业执行 内部控制标准体系基本规范应用指引评价指引审计指引 需要面对的问题企业内部控制基本规范与两个交易所上市公司内部控制指引之间的关系企业内部控制基本规范与中央企业全面风险管理指引之间的关系“巨人”内部控制案例分析 巨人集团演绎了中国“

24、知识青年”冲浪市场经济最惨烈的悲喜剧和最为传奇的财富故事。掌门人史玉柱从一穷二白的创业青年，到福布斯排名大陆富豪第八位；在遭受几乎是毁灭性的失败后，又从负债2.5亿元之巨的全国“首负”，迅速崛起，成长为身家500亿元的内地新首富。以1997年为分界线，之前为老“巨人”，高开低走，盛极而衰；之后为新“巨人”，惊天逆转，涅磐重生。是宿命还是另有玄机？内部控制的严重缺陷是老“巨人”衰落的根本原因，而内部控制的保驾护航则是新“巨人”崛起的决定因素。老“巨人”的衰落内部控制分析 1989年8月，史玉柱用先打广告后付款的方式，将其研制的M-6401桌面排版印刷系统软件推向市场，赚进了经商生涯中的第一桶金，

25、奠定了巨人集团创业的基石。1991年4月，珠海巨人新技术公司成立；1993年7月，巨人集团下属全资子公司38个，成为中国第二大民营高科技企业；1994年年初，号称中国第一高楼的巨人大厦一期工程动土，同年史玉柱当选为“中国改革风云人物”；但1997年年初，巨人大厦在只完成了相当于三层楼高的首层大堂后停工，各方债主纷纷上门，老“巨人”的资金链断裂，负债2.5亿元的史玉柱黯然离开。（一）战略与经营目标确定“巨人”是国内第一个明确提出“管理也是生产力”的现代企业，同时也是一家很有危机意识的企业。史玉柱曾冷静地指出老“巨人”集团存在创业激情基本消失、出现大锅饭机制、管理水平低下、产品和产业单一、开发市场

26、能力停滞五大隐患。但“产品和产业单一”矫枉过正，变成了多线冒进。1994年8月，史玉柱提出走产业多元化的扩张之路，跳出电脑产业，将生物工程和房地产列为新的产业支柱。但他没有采取有效措施（如与外资合作、资产股权化、获得跨国公司的技术支撑等）稳定原有产业和已有项目，而是齐头并进、急于求成，在生物工程刚刚打开局面但尚未巩固的情况下，又贸然向房地产这一完全陌生的领域进军。拟建的巨人科技大厦设计也一变再变，从最初的18层一直涨到70层，投资预算也从2亿元涨到12亿元。从1994年2月大厦破土动工到1996年7月期间，老“巨人”未申请过一分钱的银行贷款，全凭自有资金和卖楼花的钱支撑，由于资金链上的难以为继

27、，就将生物工程的流动资金抽出投入巨人大厦的建设，结果多元化经营变成了多元化失败。（二）风险控制与监督 由于缺乏必要的财务危机意识和预警机制，老“巨人”的债务结构始终处在一种不合理的状态。在老“巨人”营销最辉煌的时期，每月市场回款可达3 000万5 000万元。以如此高额的营业额和流动额，完全可以陆续申请流动资金贷款，并逐渐转化为在建项目的分段抵押贷款。但史玉柱一向以零负债为荣，以不求银行为傲。一味指望用保健品的利润积累来盖大厦，这成了老“巨人”突发财务危机的致命伤。与此同时，老“巨人”子公司的财务管理也不同程度地失控，坐交货款、资金流失严重。集团公司内各种违规违纪、挪用贪污事件层出不穷。其全资

28、子公司康元公司，至1996年年底累计债务就已达1亿元，其中相当一部分是由于公司内部人员侵吞造成的。1996年，脑黄金销售额为5.6亿元，但坏账就高达3亿多元。资金在各个环节被无情地吞噬，成为资金链断裂的导火索。（三）信息与沟通 1995年2月，老“巨人”以集束轰炸的方式，一次性推出电脑、保健品、药品三大系列的30个新品，其中主打的保健品一下就推出12个品种，几乎涵盖了所有的保健概念。但保健品是一种以功效诉求为主的消费品，广告只能起诱发购买的作用，要让消费者持续购买，必须依赖产品的效果。由于没弄清消费者的真正需求，虽然广告的知名度和关注度都有，但效果不佳。在巨人的保健品中，有一种儿童开胃的“巨人

29、吃饭香”，与当时畅销的“娃哈哈儿童营养液”类似。在一份广为散发的宣传册子中，巨人称“据说娃哈哈有激素，造成儿童早熟，产生许多现代儿童病。”娃哈哈就此向杭州市中级人民法院起诉。1996年10月，巨人答应庭外调解，向娃哈哈赔偿经济损失200万元。1997年1月，在娃哈哈的一再坚持下，巨人不得不在杭州召开联合新闻发布会，公开向娃哈哈道歉。正是史玉柱缺乏沟通的个性和危机处理能力，在关键时刻最终葬送了老“巨人”。在这一事件中，老“巨人”始终没有跟媒体、社会进行过认真、知心的对话，仅仅委派了律师与债权人和记者周旋。于是种种流言迅速在媒体上被放大曝光，老“巨人”在公众和媒体心目中的形象轰然倒塌。新“巨人”的

30、崛起内部控制分析 1997年，史玉柱带领旧部研制“脑白金”，开始了负债重新创业。1999年，成立上海健特（Gaint，巨人的音译）生物科技有限公司。2000年，史玉柱悄悄还清了老“巨人”时期所欠的全部债务。2001年，成立上海黄金搭档生物科技有限公司，当选为“CCTV中国经济年度人物”。2003年，购入民生银行6.98亿股流通股和华夏银行的1.012亿股流通股，并将脑白金和黄金搭档的知识产权及其营销网络75%的股权以12.4亿元卖给了四通电子。2004年，成立上海征途网络科技有限公司，次年推出征途，成为全球第三款同时在线人数超过100万人的中文网络游戏。2006年，在开曼群岛注册巨人网络科技有

31、限公司。2007年，更名为巨人网络集团后在纽约交易所挂牌上市，成为中国登陆美国最大IPO民营企业，也是美国本土外最大IPO的IT企业。手握68.43%巨人股权的史玉柱，跃升为拥有500亿元身价的内地新“首富”。（一）战略与经营目标确定 全面冒进的多元化战略方向失误让史玉柱意识到，投资产业需要慎重考虑三个条件：首先判断它是否为朝阳产业；其次是人才储备够不够；最后是资金够不够。因此，新“巨人”业务的发展强调安全，第一个项目做成功后，再考虑做第二个项目，一点点往前推进。在新的战略思想指导下，新“巨人”环环相扣地进入保健品、金融、IT行业，全面取得成功。1998年，新“巨人”开始运作脑白金项目，把江阴

32、作为东山再起的根据地。江阴市场打开以后，再把赚到的钱投入其他市场。通过滚动操作，1999年年底打开了全国市场，2000年成为保健品的状元，规模超过了鼎盛时期的老“巨人”。保健品营销的成功，使“巨人”得以重塑信用，并拥有了投资其他行业的财力。2003年新“巨人”投资3亿元买入银行的法人股，目前所持有的华夏银行、民生银行股权价值已经超过130亿元，而且随时可以变现。坐拥上百亿元的市值，新“巨人”完成了重返IT行业的资本积累。2004年，新“巨人”杀入网游业，开发的征途在IT行业同类网络游戏中排名第一。2007年，新“巨人”在纽约交易所上市，公司市值达42亿美元。如今，新“巨人”作百年老店、专注于网

33、络游戏主业的战略意图彰显无遗。（二）风险控制与监督 新“巨人”最在乎的事情，就是公司的现金流和时刻保持财务健康（负债率维持在5%的标准上）。史玉柱锻造队伍执行力的第一步，就是从管理好现金流量开始的。“款到提货”是脑白金的市场销售原则，而且大小经销商一视同仁。货款是经销商与总部之间的事情，分公司绝不染指。每个销售经理的背后，附带多人信用担保。为了提高执行力，新“巨人”为脑白金建立了一个50人的纠察队伍，负责对分公司的检查，省级分公司也有纠察队查市级市场，市级纠察队再查县级市场。从而摆脱了一般保健品企业对于经销商的严重依赖。同时，新“巨人”倡导“有奖必有罚，奖罚必配套”的企业文化，每次开总结大会，

34、一定是最佳和最差同时登台，最佳上台领奖金，最差下台领黄旗。对每一位经理，史玉柱不仅为他们提供了获得巨额奖金的可能，还给他们做不好就要接受大笔罚款的责任。在保健品行业，坏账10%可以算是优秀企业，20%也属正常，而脑白金10年来的销售额100多亿元，坏账金额是零。（三）信息与沟通 专注地研究消费者、琢磨消费者的需求并满足消费者的需求，是史玉柱坚持的营销理论。在脑白金上市前，史玉柱数次深入江阴的商场、农村，与潜在消费者进行了交流。“江阴调查”得出的结论是很多老人想吃保健品，但不舍得买。于是，史玉柱推出了家喻户晓的广告“今年过节不收礼，收礼只收脑白金”，播放了10年，为新“巨人”带来了100多亿元的

35、销售额。又力推维生素和矿物质的混合物类保健产品“黄金搭档”。史玉柱为它准备的广告词，几乎和脑白金的一样俗气。但在成功的广告策略和成熟的营销模式推动下，黄金搭档也很快走红全国市场，成为了保健品市场上的常青树 为了让玩家喜欢征途，史玉柱先后和600名玩家进行深入交流，并以玩家的需求为原动力进行设计。他突破行业内陈旧的条条框框，在国内率先推出免费模式：“让没钱的人免费玩，让有钱人开心玩，赚有钱人的钱”。史玉柱把他农村包围城市的脑白金式营销复制过来，征途主推二、三级城市。鉴于广告虽可带来一级城市用户，却很难影响二、三级城市，史玉柱吩咐在各县招聘公司员工，负责游戏的地面宣传、推广和售后服务。目前，征途的

36、营销网络代表已遍布全国，营销网络覆盖了超过11.65万家零售店，并保持了国内同类游戏中玩家流失率最低的记录。第二部分 内部控制整合框架一、定 义二、控制环境三、风险评估四、控制活动五、信息与沟通六、监 控七、内部控制的局限八、职能与责任一、定 义 内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程：经营的有效性和效率 财务报告的可靠性 遵循适用的法律和法规 这个定义反映了一些基本概念：内部控制是一个一个过程过程。它是实现目的的手段，而不是目的本身 内部控制由人员人员来实施。它并不仅仅是政策手册和表格，还涉及组织中各个层级的人员 只能期望内部控制为主体

37、的管理层和董事会提供合理保证合理保证，而不是绝对保证 内部控制被用来实现一个或多个彼此独立又相互交叉的类别的目标目标 内部控制的目标：经营（operations）目标与主体资源利用的有效性与效率有关 财务报告（financial reporting）目标与编制可靠的公开财务报表有关 合规（compliance）目标与主体对适用的法律和法规的遵循有关 构成要素：控制环境控制环境（control environment）所有业务活动的核心都是人员他们的个人特性，包括诚信、道德价值观和胜任能力以及他们进行经营所处的环境。他们是推动主体发展的引擎，也是所有事情依赖的基础 风险评估风险评估（risk a

38、ssessment）企业必须了解和应对它所面临的风险。它必须设定目标，整合销售、生产、营销、财务和其他活动，以便使组织协调一致地运行。它还必须建立识别、分析和管理相关风险的机制 控制活动控制活动（control activities）必须确立和执行控制政策和程序，以帮助确保那些被管理层确认为对实现主体目标的风险而言所必需的活动得以有效地实施 信息与沟通信息与沟通（information and communication）围绕在这些活动周围的是信息与沟通系统。它们使主体的员工能够获得和交换那些执行、管理和控制其运营所需的信息 监控监控（monitoring）必须对整个过程进行监控，并在必要时作

39、出修改。这样，该体系才能作出动态反应，随着情况的需要而变化监控控 制 环 境风 险评 估控制活动信沟通息与沟通信息与 目标和构成要素之间的关系：目标和构成要素之间有着直接的关系，目标是主体努力争取实现的东西，构成要素则代表着要实现这些目标需要什么 每个构成要素行都“贯穿”并适用于所有三类目标 所有五个构成要素与每一类目标都有关联 内部控制与整个企业相关，或与它的某一部分（子公司、分部或其他业务单元，或者职能或诸如购买、生产、营销等其他活动）相关 有效性如果董事会和管理层能够合理保证以下三个方面，则内部控制可以在三类目标中任何一类上可分别被判断为有效：他们了解主体的经营目标得以实现的程度 公布的

40、财务报表被可靠地编制 适用的法律和法规得到了遵循确定特定的内部控制体系是否有效是一种主观判断，它来自对五个构成要素是否存在并有效运行的评估 内部控制和管理过程管理活动管理活动内部控制内部控制主体层次目标设定使命，价值观陈述战略规划确立控制环境因素活动层次目标设定风险识别和分析风险管理实施控制活动信息识别、获取和沟通监控纠正措施VVVVV二、控制环境 控制环境设定了一个组织的基调，影响其员工的控制意识 它是内部控制的其他所有构成要素的基础，为其提供了秩序和结构 控制环境的要素包括诚信和道德价值观 对胜任能力的要求董事会或审计委员会管理层的理念和经营风格 组织结构 权力和责任的分配 人力资源政策和

41、实务 评评 价价 诚信和道德价值观诚信和道德价值观 存在并执行有关可接受的经营实务、利益冲突或期望的道德行为准则方面的行为守则和其他政策 涉及员工、供应商、客户、投资者、债权人、保险公司、竞争者和审计师等（例如，管理层是否在一个较高的道德水准上开展经营，坚持其他人也必须这样，或者不重视道德问题）达到不切实际的业绩目标尤其是短期成果的压力，以及薪酬于实现这些业绩目标挂钩的程度五粮液年报审计会计师早有前科五粮液年报审计会计师早有前科 9月月23日日证监会通报指出证监会通报指出,五粮液涉嫌三方五粮液涉嫌三方面违法违规面违法违规:一是未按照规定披露重大一是未按照规定披露重大证券证券投资投资行为及较大投

42、资行为及较大投资损失损失;二是未如实披露二是未如实披露重大重大证券证券投资损失投资损失;三是披露的三是披露的主营业务收主营业务收入入数据存在差错等之后。数据存在差错等之后。近日近日,代理五粮液小股东民事诉讼案件的代理五粮液小股东民事诉讼案件的上上海海市李国机律师事务所律师周爱文又市李国机律师事务所律师周爱文又称称:“从从消费税消费税的计的计税收税收入与酒产品的入与酒产品的成本成本、利润利润之间的关系发现之间的关系发现,五粮液三年至少存在五粮液三年至少存在偷税偷税约约10.11亿元嫌疑。亿元嫌疑。”五粮液年报审计会计师早有前科五粮液年报审计会计师早有前科 对于五粮液对于五粮液2008年度的年度的

43、审计报告审计报告,该事务所出具该事务所出具的是无保留意见的是无保留意见审计审计报告。当事人不接受采访报告。当事人不接受采访,这这让调查有些波折。但在审计报告中让调查有些波折。但在审计报告中,注册会计师陈注册会计师陈更生这一名字却让记者有了意外的发现。因为更生这一名字却让记者有了意外的发现。因为,其其也是五粮液也是五粮液2006年、年、2007年、年、2008年的首席签年的首席签字注册会计师。审计行业内部人士告诉记者字注册会计师。审计行业内部人士告诉记者,这样这样的级别应该是高级经理或者合伙人了。的级别应该是高级经理或者合伙人了。在2002年2月26日的中国证券监督管理委员会网站上稽查二局工作动

44、态中,有一份四川对华信（集团）会计师事务所及注册会计师陈更生、杨仕珍违反证券法规行为的处罚决定。五粮液年报审计会计师早有前科五粮液年报审计会计师早有前科 在该处罚决定中,四川华信（集团）会计师事务所在对一家公司的年度财务报告审计过程中,未勤勉尽责,未发现该公司下属非独立销售公司的销售费用,造成公司虚增利润。而四川华信（集团）会计师事务所为川电公司出具了无保留意见的审计报告。因此,四川华信（集团）会计师事务所签字注册会计师陈更生、杨仕珍对此负有责任。根据股票条例第七十三条的规定,决定:（一）对四川华信（集团）会计师事务所处以警告。（二）对陈更生、杨仕珍处以警告。对胜任能力的要求对胜任能力的要求

45、正式或非正式的岗位描述，或者其他界定构成特定岗位的任务的方式 对充分履行岗位职责所需要的知识和技能的分析重庆打黑公安队伍应有相应的专业素质 董事会或审计委员会董事会或审计委员会 独立于管理层，以便提出必要的问题，即使这些问题很困难或需要调查 与首席财务官和/或会计负责人、内部审计人员和外部审计师会谈的频率和及时性 向董事会或专门委员会成员提供信息的充分性和及时性，提供这些信息是为了获准监控管理层的目标和战略、企业的财务状况和经营成果，以及重大协议的条款 向董事会或审计委员会通报敏感信息、调查事项和不当行为（例如，高级官员的旅行费用、重大诉讼、监管机构的调查、贪污、受贿或滥用公司资产、违反内幕交

46、易规则、政治性捐款、非法支付）的充分性和及时性德棉股份及其审计单位双双遭处罚德棉股份及其审计单位双双遭处罚 上市公司山东德棉股份有限公司（下称德棉股份）在2007年3月16日至2008年5月13日的时间里，通过直接资金往来及借道第三方进行资金输送等形式向控股股东德棉集团累计提供资金4亿多元，且在中报和年报中做出虚假陈述。中国证监会经过详细调查，根据证券法相关规定，对德棉股份以及相关负责人做出处罚。管理层的理念和经营风格管理层的理念和经营风格 承担的经营风险的性质，例如，管理层是否经常涉足风险特别高的投机活动，或者对在承担风险方面极其保守 高级管理层和运营管理层之间互动的频率，尤其是在地理位置偏

47、远的地区进行运营时 对财务报告的态度和行动，包括对会计处理方法运用的争议（例如，选择稳健的还是激进的会计政策；是否错用了会计原则，没有披露重要的财务信息，或者篡改或伪造记录）组织结构组织结构 主体组织结构的适当性，以及提供必要的信息流以便管理其活动的能力 关键管理人员责任界定的适当性，以及他们对这些责任了解的充分性 相对于其责任而言，关键管理人员知识和经验的充分性权力和责任的分配权力和责任的分配 分配责任和授予权力以便实现组织宗旨和目标、经营职能和监管要求，包括对信息系统的责任和对变革的授权 与内部控制相关的准则和程序的适当性，包括员工岗位描述 足够数量的具备与主体规模、活动和系统的性质和复杂

48、程度相适应的必要技能的人员，尤其是与数据处理和会计职能有关的人员人力资源政策和实务人力资源政策和实务 员工聘用、培训、晋升和薪酬方面的政策和程序制定到位的程度 为应对偏离既定政策和程序所采取的补救措施的适合性 对员工候选人的背景进行核查的充分性，尤其是当企业认为对其以前的行为或活动无法接受的情况下 员工保留和晋升标准以及信息收集方法（例如，业绩评价）的适当性，以及与行为守则和其他行为指南的关系三、风险评估 每个主体都面临着来自外部和内部的必须予以评估的一系列风险 风险评估的前提是设定在各个层次相互关联和内在一致的目标 风险评估是识别和分析影响目标实现的相关风险，为确定应该如何管理这些风险奠定基

49、础 目标目标设定是风险评估的前提条件。必须首先有目标，管理层才能识别实现这些目标的风险，并采取必要的措施来管理风险 目标设定是管理过程的一个关键部分，尽管它不是内部控制的构成要素，但它是内部控制的先决条件和使能方法 目标的类别：经营目标，财务报告目标，合规目标目标的交叉：保护资产 风险识别和分析风险的过程是一个持续的重复过程，它是有效的内部控制体系的关键构成要素 风险识别主体层次：外部因素，内部因素活动层次风险分析 估计风险的严重性 评估风险发生的可能性（或频率）考虑如何管理风险即评估需要采取何种措施应对变化 评 价主体层次的目标 对主体目标充分陈述的程度，是否对主体期望实现的目标提供充分的指

50、导，而且特定目标直接与该主体相关 向员工和董事会传达主体目标的有效性 主体目标与各种策略的关系和一致性 主体目标、战略计划和当前环境条件与经营计划和预算的一致性活动层次的目标 活动层次目标与主体层次的目标和战略计划的关联度 活动层次目标之间的一致性 活动层次目标与所有重要的业务流程的相关性 活动层次目标的特异性 与目标相关的资源是否充足 识别对实现主体层次的目标来说是较重要的目标（关键成功因素）各级管理层参与目标设定，以及他们对实现目标履行诺言的程度风险 识别外部因素造成风险的机制是否足够全面 识别内部因素造成风险的机制是否足够全面 为每个重要的活动层次目标识别重大风险 风险分析流程（包括估计

51、风险的重要性、评估风险出现的可能性并确定需要采取的行动）的彻底性和相关性应对变化 是否存在各种机制去预测、识别并对影响实现主体或活动层次目标的日常事件或活动作出反应（通常由负责受该种变化影响最大的业务活动的管理人员来实施）是否存在各种机制去识别变化并对变化作出反应，这种变化会给主体带来巨大和渗透性影响而且可能还需要高级管理层的关注四、控制活动 控制活动是指为确保管理层的指令得以贯彻执行的政策和程序 它有助于确保采取必要的行动进行风险管理和保证主体层次的目标的实现 控制活动贯穿于主体的所有级别和职能部门 它包括一系列不同的活动，如批准、授权、验证、核对、经营业绩评价、资产保全以及职责分离等 控制

52、活动的类型高层复核直接的职能活动或业务管理信息处理实物控制业绩指标职责分离 对信息系统的控制一般控制数据中心操作控制系统软件控制接触安全控制应用系统开发和维护控制应用控制五、信息与沟通 相关信息必须以某种形式和在一定时限内被识别、获得和传达沟通，以便可以使员工履行自己的责任 信息系统生成含有与经营、财务和合规性有关信息的报告，从而使管理运作和控制主体成为可能 信息系统不仅处理内部生成的数据，也处理有关外部事件、活动和条件状况的信息，这些信息对有资料依据的主体的决策和外部报告都是必需的 有效的沟通也必须广泛的进行，自上而下、自下而上地贯穿整个主体 所有人员都要从高级管理层获得明确的信息：必须认真

53、对待控制责任 他们必须了解各自在内部控制体系中担任的职能，以及个人参与的控制活动与他人工作是如何相互关联的 他们必须有自下而上传递重要信息的渠道和方法 同时，也需要与外部各方如客户、供应商、监管机构和股东等建立有效的沟通 评价 信息系统 获得外部和内部信息，向管理层提供必要的报告，说明与实现主体确立目标相关的主体业绩表现 向合适的人及时提供足够详细的信息，使他们能够有有效性和效率地履行其责任 依据一份信息系统战略计划（与主体总体战略相关），发展或修改信息系统，使其为实现主体层次的目标及活动层次目标服务 通过承诺提供适当的人力财力资源显示管理层对发展必要的信息系统的支持沟通系统 传达交流员工义务

54、和控制责任的有效性 建立沟通渠道，使员工可以举报受到怀疑的不当行为 管理层对员工建议提高生产力、强化质量或其它相似改进的方法的接受程度 主体内部相互之间沟通是否足够（例如，采购活动与生产活动之间）；信息的完整性和及时性以及是否足以使人们有效地履行其责任 与客户、供应商和其他外部有关方沟通交流不断变化的客户需求信息的渠道的开放性和有效性 外部各方已了解该主体道德准则的程度 管理层通过与客户、供应商、监管机构或其他外部有关方的沟通，采取了及时和合适的跟进措施六、监 控 对内部控制需要进行监控 监控是一个评估内部控制体系在一定时期内运行质量的过程 监控可以通过持续性的监控活动、个别评价或两者并用来实

55、现这个过程 持续性监控活动发生在经营的过程中，它包括日常管理和监控活动以及个人在履行其责任时采取的其他行动 个别评价的范围和频率将主要取决于风险评估和持续性监控程序的有效性 应自下而上汇报内部控制的缺陷，其中严重的问题应上报高级管理层和董事会 持续性监控活动的例子在执行常规管理活动时，负责运营的管理层获取内部控制持续发挥功能的证据 与外界各方的沟通能够印证内部生成的信息或揭示问题 适当的组织结构和监控活动可监控内部控制职能的执行并识别内部控制的缺陷 将信息系统所记录的数据与实物资产相比较 内部及外部审计师定期为进一步加强内部控制的方法提供建议 培训研讨会、计划会议及其他会议可以向管理层提供有关

56、内部控制是否有效的重要反馈 定期要求主体员工明确说明他们是否理解并遵守主体的员工行为守则 个别评价个别评价内部控制的范围和频率主要取决于被控风险的重要性以及内部控制在减少风险中的重要性内部控制自我评估缺陷报告 评 价持续性监控在员工进行其日常活动中获得证据的程度，以此表明内部控制体系是否继续发挥作用与外部各方进行沟通确认内部生成的信息或指明问题的程度定期对会计系统记录的金额与实物资产进行核对对内部和外部审计师建议增强内部控制手段的反应培训研讨会、计划会议及其他会议向管理层提供有关内部控制是否有效的重要反馈的程度是否定期要求员工说明他们是否理解并遵守主体的员工行为守则并且正常执行了关键控制活动内

57、部审计活动的有效性。个别评价内部控制体系个别评价的范围和频率评价流程的适合性评价内部控制体系的方法是否合理、适当文件记录水平的适当性报告缺陷是否有获取和报告识别出的内部控制缺陷的机制上报规程的适合性跟进行动的适合性七、内部控制的局限 无论内部控制设计和运行的多完善，它也只能向管理层和董事会就实现主体目标提供合理保证 实现主体目标的可能性受到所有内部控制体系的固有局限的影响，这些局限包括：在决策时个人判断可能会出错由于简单的误差或错误这样的失误而可能出现内部控制失效两人或多人的串通也可以绕过内部控制管理层能够凌驾于内部控制之上系统另一个限制性因素是需要考虑内部控制的相对成本和收益八、职能与责任

58、主体中每一个人都对内部控制负有责任 管理层要为主体的内部控制体系负责 首席执行官最终对内部控制体系负责并应承担内部控制体系“所有权”的责任 尽管管理层的所有成员都发挥着重要作用并对控制他们各自部门的活动负责，但首席财务官和总会计师对管理层行使控制的方式起着主要的作用 内部审计人员在内部控制体系持续有效性方面发挥着作用，但他们不承担建立和维持该系统的主要责任 董事会和其审计委员会对内部控制体系提供重要的监控 外部有关方面（例如外部审计师）常常在实现主体目标方面发挥作用并提供在实施内部控制中有用的信息。但是，他们不是主体内部控制体系的一部分，也不对内部控制体系的有效性负责第三部分 企业风险管理整合

59、框架一、定义二、内部环境三、目标设定四、事项识别五、风险评估六、风险应对七、控制活动八、信息与沟通九、监控十、职能与责任十一、企业风险管理的局限一、定义 不确定性与价值不确定性与价值企业风险管理的一个基本前提是每一个主体存在的目的都是为它的利益相关者提供价值所有的主体都面临不确定性，对于管理层的挑战在于确定在追求增加利益相关者价值的同时，准备承受多少不确定性 事项事项风险与机会风险与机会风险是一个事项将会发生并给目标实现带来负面影响的可能性机会是一个事项将会发生并给目标实现带来正面影响的可能性 企业风险管理的定义企业风险管理的定义企业风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实

60、施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。企业风险管理是：一个过程，它持续地流动于主体之内；由组织中各个层级人员实施；应用于战略制订；贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；能够向一个主体的管理层和董事会提供合理保证；力求实现一个或多个不同类型但相互交叉的目标它只是实现结果的一种手段，并不是结果本身。风险容量与风险容限风险容量（risk appetite）是一个主体在追求价值的过程中所愿意承受的广泛意义的

61、风险的数量。它反映了主体的风险管理理念，进而影响主体的文化和经营风格。风险容限（risk tolerance）是相对于实现一项具体目标而言，可以接受的偏离程度，它通常最好采用那些与度量相关目标相同的单位进行度量。四类目标战略战略与高层次的目的相关，协调并支撑主体的目标；经营经营与利用主体资源的有效性和效率相关；报告报告与主体报告的可靠性相关；合规合规与主体符合适用的法律和法规相关。企业风险管理的构成要素企业风险管理的构成要素内部环境管理层确立关于风险的理念，并确定风险容量。内部环境为主体中的人们如何看待风险和着手控制确立了基础。所有企业的核心都是人他们的个人品性，包括诚信、道德价值观和胜任能力

62、以及经营所处的环境。目标设定必须先有目标，管理层才能识别影响它们的实现的潜在事项。企业风险管理确保管理层采取恰当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相一致。事项识别必须识别可能对主体产生影响的潜在事项。事项识别涉及到从影响目标实现的内部或外部原因中识别潜在的事项。它包括区分代表风险的事项和代表机会的事项，以及可能二者兼有的事项。机会被反馈到管理层的战略或目标制订过程中。风险评估要对识别的风险进行分析，以便形成确定应该如何对它们进行管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响。风险

63、应对员工识别和评价可能的风险应对，包括回避、承担、降低和分担风险。管理层选择一系列措施使风险与主体的风险容限和风险容量相协调。控制活动制订和实施政策与程序以帮助确保管理层所选择的风险应对得以有效实施。信息与沟通相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。员工获得有关他们的职能和责任的清晰的沟通。监控对企业风险管理进行全面监控，必要时加以修正。通过这种方式，它能够动态地反应，根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的个别评价或者两者相结合来完

64、成。目标与构成要素之间的关系目标与构成要素之间的关系内 部 环 境战 略目 标 设 定事 项 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告合规 子公司业务单元分 部企业层次 有效性有效性尽管企业风险管理是一个过程，它的有效性却是在某个时点上的一种状态或情况确定企业风险管理是否“有效”，是在对八个构成要素是否存在和有效运行的评估的基础之上所作出的判断如果这些构成要素存在且正常运行，那么就可能没有重大缺陷，而风险可能已经被控制在主体的风险容量以内 涵盖内部控制涵盖内部控制内部控制是企业风险管理不可分割的一部分企业风险管理框架涵盖了内部控制，从而构建一个更强有力的概念

65、和管理工具 企业风险管理与管理过程企业风险管理与管理过程企业风险管理是管理过程的一部分 但是并不是管理层所做的每一件事情都是企业风险管理的一部分 管理层在决策和相关的管理活动中所运用的许多判断，尽管是管理过程的一部分，但是并不是企业风险管理的一部分。例如：确保有一个恰当的目标设定过程是企业风险管理的一个重要的构成要素，但是管理层所选定的特定目标并不是企业风险管理的一部分根据对风险的恰当评估去应对风险是企业风险管理的一部分，但是所选定的具体风险应对和主体资源的相应配置却不是确定和执行控制活动以帮助确保管理层选择的风险应对得以有效实施是企业风险管理的一部分，但是所选定的特定的控制活动却不是二、内部

66、环境 风险管理理念风险管理理念 风险容量风险容量 董事会董事会 诚信与道德价值观诚信与道德价值观 对胜任能力的要求对胜任能力的要求 组织结构组织结构 权力和职责的分配权力和职责的分配 人力资源准则人力资源准则 风险管理理念风险管理理念 主体的风险管理理念代表着决定主体如何考虑所有活动中的风险的共同的信念和态度 它反映了主体的价值观，影响它的文化和经营风格 它影响着如何应用企业风险管理的构成要素，包括如何识别事项、所承受的风险的类型，以及如何对它们进行管理 它被很好地确立和理解，并为主体的员工所信奉 它体现在政策描述、口头和书面沟通以及决策之中 管理层不仅通过语言而且通过日常行动来强化这种理念 风险容量风险容量主体的风险容量反映了主体的风险管理理念，并且影响着文化和经营风格它在战略制订的过程中予以考虑，使战略与风险容量相协调 董事会董事会董事会是积极的，它拥有一定程度的管理、技术和其他专长，并且具有履行其监督职责所需的思维方式它准备质疑和仔细审查管理层的活动，提出不同的观点，以及在遇到不当行为时采取行动独立的外部董事至少占多数它提供对企业风险管理的监督，并且知道和同意主体的风险容量 诚信