【正文】 交易、會計處理和報告的復雜程度252。有關評價的內部控制包括：SOA 404 要求 (續(xù) )如何建立內控以滿足索克斯法的要求COSO內控框架216。216。 業(yè)務單位包含了企業(yè)大部分的資產和業(yè)務，它們在日常工作中面對各類的風險，是企業(yè)的前線216。 企業(yè)風險管理框架v 股東對企業(yè)風險管理最關心的四個問題v 風險管理框架：一個基礎、三道防線v 構建風險管理的關鍵成功要素216。流程風險也包括合規(guī)性風險? 人為風險 概指因員工缺乏知識和能力、缺乏誠信或道德操守而引致?lián)p失的風險? 系統(tǒng)風險 是指因系統(tǒng)失靈、數據的存取和處理、系統(tǒng)的安全和可用性、系統(tǒng)的非法接入與使用而引致?lián)p失的風險? 事件風險 是指因內部或外部欺詐、市場扭曲、人為或自然災害而引致?lián)p失的風險? 業(yè)務風險 是指因市場或競爭環(huán)境出現(xiàn)預期以外的變化而引致?lián)p失的風險，所涉及的問題包括市場策略、客戶管理、產品開發(fā)、銷售渠道和定價等領域216。該準則不允許管理層在已發(fā)現(xiàn)內部控制制度有一處或多處 “ 重大缺陷 ”時，作出有關財務報表內部控制有效的認定。公司層面的 內控 ─監(jiān)控管理層出具內部控制報告評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng)理解并分別評估程序、交易及應用層面的風險評估公司層面的控制組織項目小組進行評估理解內部控制的概念重要性Staff Accounting Bulletin No. 99 “ 重要性 ” 指引上市公司和審計人員在估計項目的重要性時必須同時考慮金額的和性質的因素。1. 使管理層能將注意力集中在影響財務報告的關鍵風險范疇 。 業(yè)務的規(guī)模、組成和交易數量252。v 對形成和處理 非常規(guī)交易和非系統(tǒng)化交易 的控制；v 對防止、確認和發(fā)現(xiàn) 舞弊 的控制。 第三道防線涉及一個獨立于業(yè)務單位的部門，監(jiān)控企業(yè)內控和其他企業(yè)關心的問題216。美國內控研究委員會企業(yè)為何要建立風險管理？因為企業(yè)的股東與管理層常常要面對一些令他們寢食難安的問題。它的功能是識別那些會影響企業(yè)運作的潛在事件和把相關的風險管理到一個企業(yè)可接受的水平，從而幫助企業(yè)達至它的目標。” 美國內部審計師協(xié)會第三道防線：內審單位防線216。 ” 該控制政策和控制程序主要包括：v 對形成、記錄、處理和調節(jié)賬戶余額、交易的分類和披露以及財務報表的相關認定的控制。 交易活動的風險程度和發(fā)生重大錯誤的固有可能性252。2. 確保存在于不同層面的所有關鍵風險范疇均得到處理；3. 向所有員工傳達關鍵風險的概念，提高其控制意識；4. 提高公司的形象和加強投資者的信心。? 404的要求管理層有責任建立和維護健全的內部控制制度以確保財務報表所有重大方面的合理和準確性重要性 – 指引? 不能完全依賴金額標準 上市公司在判斷某一項目對財務報表是否重要時不能完全依賴金額標準，而應同時考慮金額和性質的因素；? 蓄意的錯誤 蓄意的錯誤，無論重要與否，都是不可接受的；? 蓄意違反聯(lián)邦法律的故意錯報 上市公司須遵守 1934年頒布的《證券交易法》第 13章 (b) (2)(7)的規(guī)定。該準則同時要求管理層 披露 評價過程中發(fā)現(xiàn)的任何 “ 重大缺陷 ” 。 操作風險風險發(fā)生的可能性評分 可能性 說明5 幾乎肯定 在未來 12個月內，這項風險幾乎肯定會出現(xiàn)至少 1次4 極可能 在未來 12個月，這項風險極可能出現(xiàn) 1次3 可能 在未來 2至 10年內，這項風險可能出現(xiàn) 1次2 低 在未來 10至 100年內，這項風險可能出現(xiàn)至少 1次1 極低 這項風險出現(xiàn)的可能性極低，估計在 100年內出現(xiàn)的可能性少于 1次評分 損失程度 說明5 災難 令企業(yè)失去繼續(xù)運作的能力 (或占稅前利潤達 20%)4 重大 對于企業(yè)在爭取完成其策略性計劃和目標，造成重大影響 (510%稅前利潤 )3 中等 對于企業(yè)在爭取完成其策略性計劃和目標的過程，在一定程度上造成阻礙 (至 5%稅前利潤 )2 輕微 對于企業(yè)在爭取完成其策略性計劃和目標，只造成輕微影響 (至 1%稅前利潤 )1 近乎沒有 影響程度十分輕微風險對企業(yè)造成的影響評分 有效性 說明5 極度過頭 處理方法能直接針對該項風險，但相信會令企業(yè)業(yè)績 “ 倒退 ” 或成本過高4 過頭 處理方法能直接針對該項風險，但由于需要投入大量資源或 /及將其他資源轉到處理該項風險上，會對企業(yè)的效率造成影響3 適中 處理方法有效針對該項風險，同時并不影響企業(yè)的效率2 低效 處理方法針對該項風險的效果不理想，或投入處理該風險的資源不充分或 /及對投入的資源未有適當利用1 近乎沒有 效果處理方法的效果十分低，可能是由于企業(yè)根本沒有處理方法，又或處理手法不當風險處理方法的效果風險地圖 (或風險共同語言 )影響程度近乎沒有 輕微 中等 重大 災難幾乎 肯定極可能可能低極低BCAGIDJK HEF可能性說明 :A – 人力資源風險B – 財務風險C – 競爭風險D – 開發(fā)風險E – 過度自信風險F – 系統(tǒng)故障風險G – 主要客戶風險H – 欺詐風險I – 政治風險J – 薪酬獎勵風險K – 科技風險風險處理策略影響程度可能性轉移 避免小心