安全治理相关标准笔记文档格式.docx
《安全治理相关标准笔记文档格式.docx》由会员分享,可在线阅读,更多相关《安全治理相关标准笔记文档格式.docx(12页珍藏版)》请在冰豆网上搜索。
3、事项识别-必须识别影响主体目标实现的内部和外部事项,区分风险和机会。
机会被反馈到管理当局的战略或目标制订过程中。
4、风险评估-通过考虑风险的可能性影响来对其加以分析,并以此作为决定如何进行管理的依据。
风险评估应立足于固有风险和剩余风险。
5、风险应对-管理当局选择风险应对-回避、承受、降低或者分担风险-采取一系列行动以便把风险控制在主体的风险容限(risktolerance)和风险容量以内。
6、控制活动-制订和执行政策与程序以帮助确保风险应对得以有效的实施。
7、信息与沟通-相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。
有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。
8、监控-对企业风险管理进行全面监控,必要时加以修正。
监控可以通过持续的管理活动,个别评价或者两者结合来完成。
企业风险管理并不是一个严格的顺次过程,一个构成要素并不是仅仅影响接下来的那个构成要素。
它是一个多方向的、反复的过程,在一个过程中几乎每一个构成要素都能够、也的确回影响其他构成要素。
目标与构成要素之间的关系
目标是指一个主体力图实现什么,企业风险管理的构成要素意味着需要什么来实现它们。
二者之间有着直接的关系。
有效性
认定一个主体的企业风险管理是否“有效”,是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断。
因此,构成要素也是判定企业风险管理的有效性标准。
如果确定企业风险管理在所有四类目标上是有效的,那么董事会和管理当局就可以合理保证它们里阿杰主体实现其战略和经营目标、主体的报告可靠以及符合适当的法律法规的程度。
局限
尽管企业风险管理带来了重要的好处,但是仍然存在着局限。
除了前面讨论过的因素之外,局限还导源与下列实现:
1、人在决策过程中的判断可能有纰漏
2、有关应对风险和建立控制的决策需要考虑相关的成本和效益
3、类似简单误差或错误的个人缺失可能会导致故障的发生
4、控制可能会因为两个或多个人员的窜通而被规避
5、管理当局有能力凌驾于企业风险管理决策之上
涵盖内部控制
内部控制是企业风险管理不可分割的一部分。
这份企业风险管理框架涵盖了内部控制,从而构建了一个更强有力的概念和管理工具。
尽管《内部控制-整体框架》在正文中只有一部分被本框架所使用,但本框架通过参考的方式把该框架整体融合了进来。
职责域责任
主体中的每一个人都对企业风险管理负有一定责任。
首席执行官(CEO)负有首要责任,并且应当假设其拥有所有权限。
其他管人员支持主体的风险管理理念,促使符合其风险容量,并在各自的责任范围内依据风险容限去管理风险。
风险官、财务、内部审计师等通常负有关键的支持责任。
主体中的其他人员负责按照既定的指引和规程去试试企业风险管理。
董事会对企业风险管理提供重要的监督,并察觉和认同主体的风险容量。
本报告的结构
本报告分为两卷。
第一卷包括“基本框架”和本部分“内容摘要”。
“基本框架”给企业风险管理下定义,并讲述原则和概念,为企业和其他组织中的各级管理人员提供用来评价和增进企业风险管理的有效性的指导。
“内容摘要”是一个针对首席执行官、其他高级管理人员、董事会成员和监管者的高度概括。
第二卷《应用技术》(ApplicationTechniques),讲解在应用本框架各个要素的过程中有用的技术。
本报告使用
根据本报告的建议所可能采取的行动,取决于相关方面的地位和职责:
1、董事会-董事会应当与高级管理人员讨论主题企业风险管理的现状,并提供必要的监督。
董事会应当确信知悉最大的风险,以及管理当局正在采取的行动和如何确保有效的企业风险管理。
董事会应当考虑寻求内部审计师、外部审计师和其他方面的参与。
2、高层管理当局-本项研究建议首席执行官评估组织的企业风险管理能力。
方法之一是,首席执行官把业务单位(businessunit)领导和关键职能机构人员召集到一起,讨论对企业风险管理能力和有效性的初步评价。
不管采取什么方式,初步评估应该确定是否需要以及如何进行更广泛、更深入的评价。
3、主体中的其他人员-管理人员和其他人员应该考虑如何根据本框架去履行他们的职责,并与更高层的人员讨论有关加强企业风险管理的看法。
内部审计师应该考虑他们关注的企业风险管理的范围。
4、监管者-本框架能增进有关企业风险管理的共识,包括它能干什么,以及它的局限性。
监管者在他们所监管的主体采用规则或指南等形式设定期望,或进行检查时,可以参考本框架。
5、专业组织-为财务管理、审计和相关领域提供指南的规则制定机构和其他专业组织应该对找本框架去考虑它们的准则和指南。
取消概念和术语方面的差别,对所有各方都有好处。
6、教育机构-本框架可以作为学术研究和分析的对象,以便探讨在那些方面还能作进一步的改进。
假设本报告能够被普遍接受的话,它的概念和术语应该设法进入大学的课程之中。
有了这个共同理解的基础,所有各方将能够用同一种语言讲话,更有效地进行沟通。
将来的研究可以建立在一个既定的基础之上。
立法者和监管者将能够获得对企业风险管理的更深入的理解,包括它的好处和局限。
如果所有各方都利用共同的企业风险管理框架,这些好处都将实现。
COSO企业风险管理整合框架第二卷
COSO框架下内部控制的作用
1、保证国家的方针政策、法律规范的贯彻实施、保证企业经营决策、规章制度的有效执行
2、及时提供真实、可靠的财务信息
3、有效的防范企业风险
4、维护财产和资源的安全完整
5、促进企业的有效经营
COSO框架下内部控制的局限性
1、受成本收益原则的约束
2、受人为错误的影响
3、受串通舞弊的限制
4、受管理越权的限制
5、受制度滞后的限制
总之,内部控制不是万能的“保险”系统,起作用只能是“合理保证”(ReasonableAssurance)。
正如COSO报告所说:
“不论设计及执行多么完善,内部控制都只能为管理层及董事会提供达成企业目标的合理保证,而目标达成的可能性还受到内部控制的先天条件限制。
”
中石油例子:
COSO框架下的控制环境
第一节诚信与道德价值观
1、道德准则的制度及推行
2、“高层管理基调”的建立
3、与利益相关方的关系
4、违规处理
5、管理层对干预或逾越既定控制的态度
6、实现目标的压力
第二节提高工作能力及促进员工发展的承诺
1、岗位职责描述
2、分析胜任工作所需要的知识和技能
第三节管理理念和经营风格
1、业务风险的接受程度
2、关键人员的更换频率
3、管理层对数据处理、财务报告等的态度
4、高级管理层相互交流的频率
第四节组织结构
1、组织结构适应信息流通和权力集中程度
2、关键管理人员的知识和经验
3、汇报机制的适当性
4、组织结构变化的适应性
5、职员人数足够
第五节权力和责任的分工
1、责任分配预授权
2、数据、会计等职员技能的充分性
3、授权和责任分配的适当性
第六节人力资源政策及实施
1、人力资源政策和程序
2、员工责任和目标
3、违规行为的纠正措施
4、道德标准的遵从
5、核查候选人的背景
第七节董事会与审计委员会
1、独立性
2、董事会/专门委员会
3、董事的知识和经验
4、与内、外部审计师等的会面频率和接触
5、信息的及时性和充分性
6、获知和调查不正当行为
7、报酬政策的监督
8、“高层管理基调”的审核
9、监督管理层对审计发现的跟进
第八节反舞弊
COSO框架下的风险评估
第一节COSO报告中的规定
1、风险评估步骤
a.企业必须确定目标
经营目标-运行的效率和效果
财务报告目标-财务报表的可靠性
合规性目标-法律法规的遵循性
b.识别与上述目标相关的风险
企业层面的风险
业务活动中的风险
c.评估上述识别出的风险的后果和可能性
评估风险的严重性
评估风险发生的可能性
d.针对风险评估的结果,考虑适当的控制活动
2、风险评估实施过程
描述公司所有的业务流程
识别业务流程相关的风险
对重要业务流程进行风险评估
根据上述风险评估的结果,建立风险评估制度体系
第二节描述业务流程
1、业务流程介绍
a.流程的概念
b.业务流程目录
流程目录设置的总体原则
流程的总体框架
c.流程的总体框架
2、业务流程描述
a.固定资产相关业务内部控制流程图
b.固定资产相关业务核算内部控制流程说明
第三节风险识别过程
1、确定重要会计科目和披露事项
a.确认的目的和用途
b.适用范围
c.重要会计科目确认的方法和标准
定量标准
定性标准
d.重要披露事项的确认
e.资料的收集和整理
取得股份公司中国会计准则的合并财务报告及相关附表
对部分合并财务报告层面的会计科目进行进一步的分散
重要会计科目的确定
f.维护和更新
2、识别与重要会计科目、披露事项相关的财务报表认定
a.识别财务报表认定的目的
b.使用范围
c.财务报表认定的分类标准
存在或发生
完整性
评估或分摊
权力与义务
表达与披露
d.维护和更新
e.重要会计科目财务报表认定
3、确定重要经营场所
a.确定重要经营场所的目的和用途
c.业务单元的分类标准
本身重要的业务单位
具有特殊风险的业务单元
汇总后重要的业务单元
汇总后仍不重要的业务单元
d.业务单位分类时定量指标的选择
e.重要业务单元的确认程序
确认本身重要的业务单位
确定汇总仍不重要的业务单元
确认具有特殊风险的业务单元
确认汇总后重要的单元
f.资料的收集和整理
g.
第四节
第五节
《萨班斯-奥克斯利法案》的内容
《萨班斯-奥克斯利法案》在会计师行业监管、外部审计独立性以及上市公司管理层责任等方面提出了许多新的严格的要求,对世界各国的会计制度、证券市场监管和公司治理产生了深远的影响。
美国证券交易监督委员会(U.S.SecuritiesandExchangeCommission),简称美国证监会(SEC),美国国会成立的政府委员会,负责监督证券市场及保障投资者的利益。
除此之外,委员会也负责监督美国的企业收购项目。
美国证监会由五名委员所组成。
美国证监会的法规旨在鼓励全面公开披露,以及保障投资公众,不会因为证券市场的欺诈或操控行为而蒙受损失。
一般来说,大部分美国发行都必须在美国证监会注册。
一、组建历史
美国的证券活动在一战后迅速发展。
在1929年之前,绝大多数公众并不希望政府对证券市场进行政府监管。
银行贷款条件宽松,投资者们怀着白手起家的梦想,根本不在意未被监控的证券市场中潜藏的巨大危险,纷纷投身于证券交易中。
在20年代,大约2000万美国人,在战后繁荣经济的诱使下,投身于证券市场,成为大大小小的股东,据估计在该时期约500亿美元的资金投入到了证券市场,这些资金在1929年的股票市场崩溃之后,有约一半化为乌有。
股票市场的崩盘,导致了无数投资者和银行损失惨重,而其引起的银行挤兑,更是导致了银行业的灾难,最终导致了1929年美国的经济大萧条。
为了回复经济,国会认为必须重树国民对资本市场的信心。
国会召开听证会研究解决办法,并根据听证会的结论而通过了《1933证券法案》和《1934证券交易法案》。
想要依据该法律来有力地监管证券市场并保护投资者的利益,就需要一支高度协调的证券监管队伍,于是国会于1934年建立了美国证券交易委员会(通常翻译为“证监会”来与中国同性质的“中国证监会”对应)。
时任总统的富兰克林·
罗斯福任命了约瑟·
P·
肯尼迪为第一人证监会主席,他也是日后美国总统约翰·
F·
肯尼迪的父亲。
二、任务目标
美国证监会的任务是保护投资者,维护公平、有秩序、高效率的证券市场,并协助家庭资本、国家资本向资本运作市场的流入。
三、机构组成
美国证监会约有3,100名员工。
总部位于华盛顿特区,另在美国的其他11个地区有分部。
美国证监会由以下部分组成:
5位委员,这五位委员由美国总统在参议院的建议和许可下亲自任命,任期五年,但五人的任期相隔一年地错开,也就是说每一年替换一位委员。
委员中的一名将被总统任命为证监会主席,来作为证监会的最高执行长官。
4个部门,即公司融资监管部(DivisionofCorporationFinance),证券市场管理部(DivisionofMarketRegulation),投资活动管理部(DivisionofInvestmentManagement),调查、执行部(DivisionofEnforcement)。
18个办公室。
四、监管法案
美国证监会所依据的最著名的证券监管法是《1933证券法案(SecuritiesActof1933)》,它以保护投资者、尤其是广大中小证券投资者为基本出发点。
常被称作“证券中的真相”法("
truthinsecurities"
law)。
基本内容有两点:
1>
证券投资者有权力获得在市场公开发售证券的公司的所有财务信息和其它重要信息。
2>
禁止证券掮客、证券交易者、证券交易机构等在证券销售中对投资者进行欺诈、提供虚假信息等任何欺骗行为。
其他监管法规还有《1934证券交易法案(SecuritiesExchangeActof1934)》,《1939信托契约法案(TrustIndentureActof1939)》,《1940投资公司法案(InvestmentCompanyActof1940)》,《1940投资顾问法案(InvestmentAdvisersActof1940》,《Sarbanes-OxleyActof2002》。
1.加强上市公司董事及高层管理人员的责任
a.明确规定规定了上市公司管理层对内部控制的评价。
(第404条款)
b.明确规定了上市公司首席执行官(CEO)和财务总监(CFO)对财务报表的书证要求。
(第302条款,第906条款分别在民事和刑事方面)
c.禁止上市公司向董事会和高层管理人员提供私人贷款,以降低公司的经营风险(第402条款)
d.董事会和高层管理人员必须返还公司虚报报表取得的激励性报酬和买卖股票收益(第304条款)
e.强化了SEC冻结支付的职责。
(第1103条款)
2.完善上市公司的审计制度
a.完善内部审计制度。
(第301条款)
b.强化外部审计监管。
(第201条款)
3.强化上市公司信息披露义务
a.加强SEC对上市公司信息披露的审计权。
(第401、408条款)
b.制定高级管理人员的道德规范。
(406条款)
c.有关审计委员会财务专家的信息披露。
(第407条款)
4.加强对违法行为处罚的力度
a.对于违反财务报表披露要求的行为。
(第904条款)
b.对于提供不真实的公司财务状况的执行官。
(第906条款)
c.对于公司破产或联邦调查期间故意毁灭、涂改公司财务文件的行为。
(第802、1102条款)
COBIT4.0中文版
业务向导是COBIT的主要宗旨。
COBIT不仅被IT服务提供商、用户和审计人员所使用,更重要的是为管理者和业务过程所有者提供了一个广泛的指南。
COBIT框架所提供的工具将有助于确保与业务要求的一致。
Cobit信息准则
为实现业务目标,信息须遵循特定的控制原则,Cobit称之为业务对信息的要求。
基于更为广泛的质量、可信和安全要求,七个独立但又有所重叠的信息准则定义如下:
有效性:
应及时、正确、一致和可用的方式来交付和与业务过程有关的信息;
效率:
通过优化(生产率最高且经济合理)资源使用来交付信息;
保密性:
保护敏感信息免受未授权泄漏;
完整性:
信息的正确和完整,并根据业务价值和期望进行验证;
可用性:
若业务过程现在或将来需要时,信息是可用的,可关注于保护所需资源及相关的能力;
符合性:
符合业务过程必须遵循的法律法规要求和合同约定,即外部的强制性要求和内部策略;
可靠性:
为管理者通过适当的信息,以管理组织并检验其可信和治理职责;
Cobit过程向导:
Cobit在四个域内采用过程模型的方式定义IT活动,四个域分别是:
组织与策划、获取与实施、交付与支持、监视与评价。
这些域映射到传统的IT职责域:
计划、建设、运营和监视。
27号文纲领性文件
网络与信息安全信息通报暂行办法
等级保护
风险评估
IT治理
内控
升级会员 