1、如何建立 风险与内控管理体系,金蝶软件(中国)有限公司,一位财务总监的破冰之旅,公司正面临哪些风险?,最大的风险来自何方?,如何应对与化解风险?,怎样保证风险治理成果?,新的征程在那里?,让我们开始风险管控之旅吧!,报告主题,上市公司风险面面观 什么是风险管理框架 建立风险与内控体系的途径 内部控制成果的评价 风险与内控的信息化解决之道,报告主题,上市公司风险面面观 什么是风险管理框架 建立风险与内控体系的途径 内部控制成果的评价 风险与内控的信息化解决之道,上市,是企业发展的加速器,企业经营,企业融资,集团经营,企业投资,管控风险 稳健扩张,小型企业,中型企业,大型企业,集团企业,上市,封闭
2、公司向公众公司转变的要求,战略风险 经营风险 合规风险,财务报告 信息披露 关联交易,经济附加值 投资回报,证监会 投资人 银行,两权分离 三会分立,触目惊心的事实,促使全球商界、金融界、政府重新审视上市公司风险控制的内部制度和外部环境。,公司上市就一定会成功吗?,2008年,美国著名投行贝尔斯登等倒闭; 2002年美国世通公司丑闻; 2001年美国安然公司倒台; 1997年日本八百半公司破产; 1995年英国巴林银行的破产; ,2008年中信泰富因外汇衍生金融工具而亏损20亿美元; 2008年香港合俊集团因金融危机倒闭; 2004年中航油炒作原油期货巨亏5.5亿美元; 1998年香港百富勤投
3、资集团破产;银广夏造假、达尔曼资金黑洞、托普神话、德隆危机 ,内部风险控制的疏漏导致:,我国上市公司风险一览,上市公司 风险,灾害 风险,经营 风险,组织 风险,法律 风险,财务 风险,系统 风险,债务危机 清算危机 收购危机 发行危机,系统性 危机,决策失误 营销失败 科研失败 信用危机 退市危机,重大事故 自然灾害 核心人物意外,反倾销危机 知识产权 劳动纠纷 违规违法,组织结构危机 内部冲突危机 治理结构危机,集团管控的九大难题,管控模式选择难 跨地多元管控难 集团战略执行难,信息孤岛沟通难 财务信息反馈难 决策信息获取难,资金监控调度难 成本费用降低难 人力资源统管难,强化风险管控对上
4、市企业管理提出新的要求,万科-中国房地产行业的领跑者和长青树,30年来,房地产行业群雄并起,涌现出一大批规模、利润、品牌优秀的企业, 这其中万科始终以其规模、业绩、品牌和经营质量独占鳌头,被誉为中国房地产 行业的长青树。2008年市场占有率逆市上升。,万科在资本市场的表现,万科30年发展历程中的2次重要战略演变,涉及商业、地产、贸易、传媒等多元化发展。涉及住宅、商业、工业地产,“通过成本管理能够创造几亿甚至十几亿的利润空间,万科运用金蝶EAS系统,成本管理已经能精细化到一根电线,EAS系统领先业内同行数年,金蝶EAS实现了财务、成本、资金、审批流程的良好集成,为万科提供了数据共享的快乐”-万科
5、成本管理部总经理刘石磊,信息化手段是万科实现精细化管理的利器,目录,上市公司内部控制风险面面观 什么是风险管理框架 我国上市公司风险管理现状 企业内部控制基本规范概要 建立风险导向的内部控制框架体系 实施风险与内控的途径、方法 企业内部控制成果的评价 信息化:企业风险与内控解决之道,我国上市公司风险管理现状,德勤华永会计师事务所有限公司最新中国上市公司内部控制调查分析报告的调查结果显示,中国上市公司约58.82%的企业为应对金融危机而指定了专门的部门落实风险管理和内控工作,但是,仅有23.53%的企业将内控工作的重点从书面制度转变为具体实施;仅约17.65%的企业进行了内部控制评价。缺乏对风险
6、意识和企业文化的重视 企业治理结构有待完善 “人治”代替“法制”的观念根深蒂固 内部控制体系与企业运营难以有效结合 内部控制的执行力难以保证 内部控制信息沟通不畅 信息系统控制薄弱,-实物牵制 -薄记牵制,COSO 内部控制 整体框架,企业全面 风险管理 COSO ERM框架,内控评价 内部审计,1940s,1940s1970s,1980s1990s,1990s,21世纪,内部牵制,内部控制 结构完善,-控制环境 -会计系统 -控制程序,-控制环境 -风险评估 -控制活动 -信息沟通 -监督,-建立内控 -数据准确一致 -内控可靠性,-控制环境 -目标设置 -事件辨识 -风险评估 -风险反应
7、-控制活动 -信息沟通 -监督,风险管理的发展,企业内部控制基本规范,五目标,五原则,五要素,全面性原则 重要性原则 制衡性原则 适应性原则 成本效益原则,合法合规 资产安全 财务报告 经营绩效 战略实现,七项一般控制措施 不相容职务分离控制 授权审批控制 会计系统控制 财产保护控制 预算控制 运营分析控制 绩效考评控制,财政部、证监会、审计署、银监会、保监会五部委共同发布,内部环境 风险评估 控制活动 信息与沟通 内部监督,五个五:五目标、五原则、五要素、五部委发布共五十条,建立内部控制体系的技术依据,企业内部控制 基本规范,企业内部控 制应用指引,企业内部控 制评价指引,企业内部控 制鉴证
8、指引,2008年6月28日 财政部、证监会 审计署、银监会 保监会五部委联 合发布。,适用于企业、监管机构、咨询方、审计师,适用于审计师,内部控制应用指引,1组织架构及权责分配(治理结构、机构设置、权责分配、内部审计、总分公司等内容) 2母子公司(母子公司治理结构下母公司对子公司的控制问题) 3安全环保与社会责任(理念、制度、投入、管理、检查等内容) 4人力资源管理(扩充原内容,对人力资源进行全方位、全过程控制) 5货币资金(扩充内容,不局限于收付程序的审批,对资金管理中的高风险问题进行提示) 6采购与销售(购销高风险业务环节控制,对以下各业务与事项的控制相似) 7工程及实物资产 8研发及无形
9、资产 9筹资,10对外投资 11运营管理(生产经营过程控制) 12信用管理(授信管理问题,包括对往来客户、分子公司等的授信政策和管理等) 13预算管理 14担保与投保 15合同协议与法律事务 16重组与并购 17关联交易 18内部报告与信息系统(侧重内部报告机制建设和信息系统安全控制,包括反舞弊问题等) 19对外报告(含信息披露) 20银行业务(含信托业务) 21保险业务 22证券业务(含基金业务),应用指引项目构成(征求意见稿),内部控制评价指引,内部控制评价,是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。内部控制有效性是指企业建立与实施内部
10、控制能够为控制目标的实现提供合理的保证。,企业实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价。 信息系统的有效性评价包括信息系统一般控制评价和信息系统应用控制评价。 企业集团对被评价单位内部控制的有效性的评价。,内部控制评价的内容和标准,内部控制评价工作方案 内部控制评价工作程序 内部控制评估和测试的方法 内部控制有效性相关的证据 内部控制有效性相关的判断 内部控制评价证据保存 内部控制评价证据报告,内部控制评价的程序和方法,内部控制缺陷分类(一般可分为设计缺陷和运行缺陷) 内部控制缺陷判的断则 内部控制缺陷判的整改 年度内部控制评价报告,内部控制缺陷认定和评价报告,总则,适用范
11、围、概念、基本原则、评价组织,内部控制鉴证指引,企业内部控制鉴证,是指会计师事务所接受委托,对企业与财务报告相关的内部控制的有效性进行鉴证,并发表鉴证意见。 企业内部控制鉴证指引是注册会计师执行企业内部控制(以下简称内部控制)鉴证业务的业务规范。,制定鉴证计划,实施鉴证工作,评价控制缺陷,评价控制缺陷,完成鉴证工作,鉴证报告,工作底稿,总则,企业内控与风险管理观念的转变,低层次/经营层次。风险监控是内部审计人员的职能。 风险是一个需要控制的负面因素。 风险管理在企业各部分个别展开 风险管理的责任被委派到低层次的人员 风险的衡量是主观的 无组织以及杂乱的风险管理职能,注重操作,董事会关注,是CE
12、O的工作 (也是董事会的监管) 风险其实是一个机会 在整个企业范围内进行一体化的风险管理 风险管理的责任由高级和部门管理人员承担 风险的数化 风险管理被纳入所有企业管理系统,内控与风险管理的三大动力,管控需要,环境变化,法规要求,企业,国际:COSO、SOX等 国内:企业内控规范、指引等,全球经济一体化 全球经济危机,提高战略执行力的需要 强化企业(集团)管理控制,内控与风险管理的三大需求,公司层面:,流程层面:将内部控制嵌入管理流程,实现管理和业务过程的内部控制。,法规层面:建立和遵从内控制度的相关记录与报告。,建立公司内控与风险管理环境。,监控内控与风险管理体系的运行。,违规防范 降低认证
13、成本,风险管理 实现稳健经营,内部控制 强化战略执行,三大需求是企业的普遍需求; 其中内部控制是各类企业的基本需求; 上市类公司及国资委企业出于法规的要求对风险管理有较高要求; 金融类公司出于国际、国内法规要求对违规防范(合规管理)有更高要求。,内控与风险管理的三大价值,奠定基础,稳健成长,法规遵从,以客户为导向,优化重组流程,确保业务流程协调一致、高效运行; 引入风险意识,将内部控制嵌入企业日常管理与业务流程中; 以战略为目标,整合优化流程,实现企业战略执行与内部运营的和谐。,以战略为导向,纳入风险管理意识,建立企业内控与风险管理环境; 以内控体系为基础,建立全面的风险监控体系; 以风险预警
14、为手段,全面监控企业战略风险,确保企业稳健成长。,以相关政策法规为指南,建立内控与风险管理体系; 以内控与风险管理体系为保障,确保企业运行符合相关政策法规要求; 以内控与风险管理体系的合理设计与有效运行为基础,履行法规要求的记录与报告责任。,内控与风险管理的三大障碍,缺乏良好的控制环境 法人治理结构不健全,内部控制的外部约束较弱; 公司治理结构中责任不到位; 缺乏绩效考核对内部控制与风险管理的引导机制 高管层缺乏自主控制意识 没有形成重视风险的控制文化,缺乏内部控制方法理论 缺乏理论指导,以最佳实践为参考,注重对事件本身的控制,忽视对责任人的行为尤其是高管层行为的控制; 没有完善的行权、职责、
15、反馈、改进规范; 把内控看成一套制度,而不是过程,缺乏动态理念。,崇尚经验式管理 对管理的有效性和制度的适当性缺乏评价标准 制度拟定部门从自身利益考虑,造成跨部门流程断裂或交叉 对重要的职责与权限划分有较大的随意性,重权力划分,轻责任归属 缺乏系统的风险评估方法和工具 缺乏定期反馈和修正机制,就内部控制建设而言,目前国企最缺乏的是制度化的风险评估以及科学的风险应对策略。,内部控制环境是内部控制是否有效的关键因素。,内控方法论应在行为管理学理论基础上创新发展,内部环境基本框架,一个基础 三道防线 一种文化,企业风险管理文化,一个基础:公司治理结构,狭义的公司治理是指一组联结并规范公司股东、董事会
16、、经理人之间责、权、利关系的制度安排。 广义上,公司治理还包括公司与其他利益相关者(Stakeholder,如员工、客户、供应商、债权人和社区等)之间的关系,以及有关的法律、法规和上市规则等。 公司治理提供了对风险由上而下的监控与管理。 近年多个国家都订立了公司治理的最佳守则: 美国:纽约证交所最佳治理守则 英国:Cadbury/Hampel Report、The Combined Code 加拿大:Dey Report OECD Report 这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任,公司治理结构的内控职责,企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事
17、规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。,股东(大)会,董事会,经理层,监事会,享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。,对股东(大)会负责,依法行使企业的经营决策权。 负责风险与内控建立健全和有效实施。,负责组织实施股东(大)会、董事会决议事项,主持企业的生产经营管理工作。 负责组织领导企业内控与风险管理的日常运行。,对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。 对董事会建立与实施内控与风险管理进行监督。,风险管理组织体系及其职责,三道防线:风险管理组织体系,业务单位包
18、含了企业大部分的资产和业务,它们在日常工作中面对各类的风险,是企业的前线 企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中,才能建立好防范风险的第一道防线,第二道防线是风险管理委员会 风险管理部职责包括: 编制规章制度 对各业务单位的风险进行组合管理 度量风险和评估风险的界限 建立风险信息系统和预警系统 、厘定关键风险指标 负责风险信息披露、沟通、协调员工培训和学习的工作 按风险与回报的分析,为各业务单位分配经济资本金,第三道防线涉及一个独立于业务单位的部门,监控企业内控和其他企业关心的问题。 内部审计的三大功能: 财务监督,包括财务帐的可用性、内部管理和制度的执行。 经营诊断,
19、包括管理审计以及效率和效益审计、检查和诊断经营和管理过程中的偏差和失误。 咨询顾问,包括企业风险管理和发展策略方面的咨询、调查领导关心的热点问题和管理薄弱环节。,风,险,业务单位防线,第二道防线,第一道防线,第三道防线,风险管理单位防线,内审单位防线,目录,上市公司风险面面观 什么是风险管理框架 实施风险与内控的途径 企业内部控制成果的评价 信息化:企业风险与内控解决之道,构建风险与内控体系的五个阶段,测试,总结,评估,计划,推广,内部控制体系构建的计划阶段,项目计划的制定 项目启动的准备工作 项目范围的确定 项目的时间和人员预算 培训,计划阶段-项目计划的制定,建立项目组,审计委员会,项目领
20、导小组,A公司*CEO,咨询方*合伙人,领导团队,项目管理办公室,A公司;*副总 *负责经理,咨询方:*负责合伙人 *负责经理,执行团队,技术支持团队,咨询方:*合伙人,*经理,办公室 和办公设施,集中的办公场所 电脑、互联网、电话、电话会议或视频会议,打印设备等,项目运作 基础管理 办法,项目运营的内部政策,如技术指令的发布程序、技术资料的保管程序、项目组资料的保密要求、项目工作成果审核办法、考核办法 出差住宿的相关政策、项目组动态联系方式,项目组 联系清单,姓名、所属公司、所属团队、办公电话、手机号码、邮箱,计划阶段-项目计划的制定,项目启动的准备工作,计划阶段-项目计划的制定,项目范围的
21、确定1、了解企业内部控制现状 企业的组织架构,包括企业本部或总部的部门设置,还包括整个企业集团内的组织结构; 分析业务类型,确定不同的业务类型对企业集团重要财务指标的贡献度; 企业内部控制体系的现状 管理层目前对内部控制的看法。内部控制调查方法阅读:财务报告、组织结构图、部门权责、相关业务流程问卷:网上发布、手工填写、收集整理访谈:对有代表性部门的重要岗位人员进行访谈。,计划阶段-项目计划的制定,公司运营现状记录表(样例),公司经营现状;,背景信息 组织结构及重要业务单元 -公司整体组织框架 -业务单元或单位企业1 -业务单元或单位企业2 -业务单元或单位企业3 -业务单元或单位企业*重要流程
22、 -业务流程1 -业务流程2 -业务流程3 -业务流程*,重要系统 -整体it组织框架背景信息 -系统1 -系统2 -系统3 -系统* 审计及风险考虑事项 财务报告目标 -截止性 -有效性 -完整性 -估价 -记录 -表达,计划阶段-项目计划的制定,项目范围的确定2、确定具体的项目范围 方法一:以公司具体业务作为项目范围:如全面预算、合同管理、采购业务、销售业务、研究与开发、资金活动、资产管理、工程项目、银行业务、证券期货业务、保险业务、担保业务、业务外包、财务报告等业务; 方法二:按照重要性原则,确定具体的项目范围主要是为了满足“财务报告及相关信息的真实、完整”的目标。,计划阶段-项目计划的
23、制定,确定重要性项目的财务报表分析法 第一步:确定重要性水平:如总资产的0.5%-1%税后净利润的5%-10%净资产的1%营业收入的0.5%-1% 第二步:根据重要性水平,选择单独重要的单位。 第三步:考虑定性因素,确定单独重要的单位。 第四步:考虑覆盖率,确定重要单位 第五步:确定重要的会计报表科目和披露事项 第六步:根据第五步确定重要的业务流程 第七步:利用覆盖率,确定需要纳入范围的具体业务流程 第八步:最后的定性考虑,计划阶段-项目计划的制定,概要 重要的普遍存在的流程管理信息技术 管理财务报告与关账 管理披露 重要的交易流程资金管理 采购与支出 收入与成本核算 固定资产 工资与人事 存
24、货管理,计划阶段-项目计划的制定,项目的时间和人员预算项目时间安排用倒推法1、披露内部控制评估报告和审计报告2、董事会审议内部控制评估报告,审计师出具审计报告。3、管理层进行的内部控制测试及审计师实施的内部控制审计4、管理层进行的内部控制测试及内部控制的整改。5、内部控制梳理及构建,计划阶段-项目计划的制定,培训 1、项目组内的技术培训:统一技术语言,掌握相关技术、确保项目顺利进行。(主要采用课堂式讲授、小组讨论、角色扮演)2、项目组外人员的培训:介绍内部控制的基本理念、内部控制优化的重要意义、需要各部门什么样的配合和支持等。(课堂式讲授),构建风险与内控体系的五个阶段,测试,总结,评估,计划
25、,推广,评估阶段,风险识别 风险评估 控制活动的识别 风险应对 风险控制,评估阶段-风险识别,风险识别: 要了解企业面临的风险有哪些? 他们各自的风险因素是什么? 如果发生会有什么后果? 导致风险事故的原因有哪些? 风险识别中的关键问题: 风险识别方法的选择 风险识别路线的选择 风险系统的预测和以往资料的利用,公司层面风险示意图,2008年7月份,邀请专家组织开展了全面风险管理工作的专项培训,对于全面风险办公室成员及部分员工进行了较为系统的培训。培训会后,下发了调查问卷,通过问卷调查的方式,在集团/股份总部职能部室、事业部本部及国际贸易部范围内进行广泛征集,共收到风险事件371件。经过汇总、分
26、类、风险辨识分析、调整等环节,初步搭建完成PTAC风险分类框架,形成了PTAC风险事件库,包括战略、财务、市场、运营、法律五个大类,28项风险,共计143条风险事件。,某企业集团风险管理评估案例,-49-,-50-,(一)风险识别工作风险类别定义,战略风险,财务风险,市场风险,运营风险,法律风险,(一)风险识别工作风险框架及风险事件分布,-51-,在全面风险辨识的基础上,结合公司内、外部情况,对风险事件从可持续发展能力的影响、财务方面的影响、以及发生可能性等三个维度请各部门总经理对风险事件进行了逐条评估、打分。根据风险评估问卷调查结果通过加权汇总计算以及定量、定性分析,在对风险进行排序的基础上
27、,绘制了“PTAC风险坐标图”,将风险划分为高、中、低三级。,(二)风险评估工作,-52-,风险发生可能性分析,风险发生可能性分析表,影响程度,发生可能性,-54-,高风险 8项,低风险 1项,中风险 19项,(二)风险评估工作PTAC风险分布坐标图,(二)风险评估工作重大高风险列表,-55-,八项重大高风险发生可能性和影响程度都很高的风险(红色区域)。,(二)风险评估工作中风险与低风险,-11-,(三)重大高风险分析战略类风险,-57-,A,风险基本信息,B,该风险在企业的表现形式,C,风险举例,A,(三)重大高风险分析战略类风险,-58-,A,风险基本信息,B,该风险在企业的表现形式,C,
28、风险举例,A,(三)重大高风险分析财务类风险,-59-,A,风险基本信息,B,该风险在企业的表现形式,C,风险举例,A,(三)重大高风险分析财务类风险(,-60-,A,风险基本信息,B,该风险在企业的表现形式,C,风险举例,A,(三)重大高风险分析财务类风险,-61-,A,风险基本信息,B,该风险在企业的表现形式,C,风险举例,A,(三)重大高风险分析市场类风险,-62-,A,风险基本信息,B,该风险在企业的表现形式,C,风险举例,A,(三)重大高风险分析运营类风险,-63-,A,风险基本信息,B,该风险在企业的表现形式,C,风险举例,A,(三)重大高风险分析运营类风险,-64-,A,风险基本
29、信息,B,该风险在企业的表现形式,C,风险举例,A,风险后果评价举例(重要性水平),一、工作内容介绍,二、报告工作成果,四、提出初步建议,三、分析查找原因,制作全面风险评估报告主要内容介绍,项目启动 建立组织机构 风险辨识分析 风险评估,风险事件库 风险分类框架 风险图谱 重大高风险,组织相关责任部门对重大高风险进行研究,分析其产生的原因,暴露存在的问题。,根据重大风险产生的原因,提出初步改进建议。,-66-,评估阶段-风险应对,风险应对即针对各类重大风险事项(例如财务报告合规相关风险)制定应对方案,降低可能的损失,提高机会收益。其核心功能主要包括了风险与控制应对、剩余风险评估、监控对策等。
30、风险应对的主要策略: 避免风险 控制风险 分散与中和风险 承担风险 转移风险 集中风险,风险应对:避免风险,任何经济单位对风险的对策,首先考虑到的是避免风险,尤其是对静态风险尽可能予以避免。凡风险所造成的损失不能由该项目可能获得利润予以抵消时,避免风险是最可行的简单方法。 局限性 只有在风险可以避免的情况下,避免风险才有效果; 有些风险无法避免; 有些风险可能避免但成本过大; 消极地避免风险,只能使企业安于现状。不求进取。,风险应对:避免风险,避免风险的方法还可以分为完全避免和部分避免两种。 完全避免,就要不惜放弃伴随风险而来的盈利机会。部分避免,主要取决于成本因素和非经济因素。如果避免收益大
31、于避免成本,就可以考虑避免,否则可以不要避免。是否部分避免还取决于社会心理、道德、美学等方面的因素。 在采取部分避免风险时,往往还有两种战略:一种是进攻性战略,即在高收益和低风险“替代选择”中,挑选高收益而不顾忌风险;另一种是防守战略,即在高收益和低风险的“替代选择”中,挑选低风险而不在乎收益。,风险应对:控制风险,在风险不能避免或在从事某项经济活动势必面临某些风险时,首先想到的是如何控制风险发生、减少风险发生,或如何减少风险发生后所造成的损失,即为控制风险预防和抑制风险。 控制风险主要有两方面意思:一是控制风险因素,减少风险的发生;二是控制风险发生的频率和降低风险损害程度。要控制风险发生的频
32、率就要进行准确的预测,如对汇率预测、利率预测、债务人信用评估等。要降低风险损害程度就要果断地采取有效措施,如在股票投资中采用心理界线法(也称心理目标法),当股价下跌到一定程度(心理界线)时就要毫不犹豫地抛出,以防股价进一步下滑而造成更大的损失。,风险应对:分散与中和风险,分散风险,主要指经济单位采取多角经营、多方投资、多方筹资、外汇资产多源化、吸引多方供应商、争取多方客户以分散风险的方式。 中和风险,主要是指在外汇风险管理中所采用的决策,如减少外汇头寸、期货套期保值、远期外汇业务等以中和风险。,风险应对:承担风险,企业既不能避免风险,又不能完全控制风险。分散风险、中和风险或减少损失时,只能自己
33、承担风险所造成的损失。 经济单位承担风险的方式可以分为无计划的单纯自留或有计划的自己保险。 无计划的单纯自留,主要是指对未预测到的风险所造成损失的承担方式。有计划的自己保险是指已预测到的风险所造成损失的承担方式,如提取坏账准备金等形式。,风险应对:转移风险,经济单位为了避免自己在承担风险后对其经济活动的妨害和不利,可以对风险采用各种不同的转移方式,如进行保险或非保险形式转移。 现代保险制度是转移风险的最理想方式。如单位进行财产、医疗等方面保险,把风险损失转移给保险公司。 此外,单位还可以通过合同条款规定,把部分风险转移给对方。,风险应对:集中风险,保险企业和大型集团性企业主要采用风险集中的方法
34、,如保险企业向许多投保单位收取保险金,虽然每个单位交的数目很小,但加在一起数目就很大,足以用来应付风险,这就是保险集中的方法。 由于大型集团企业分支机构多,通过预测,每年要求各分支机构交少量管理费,由集团公司自己承担某些风险,而不利用保险。,评估阶段-风险控制,古人云:有控则强,失控则弱;无控则乱,不控则败,评估阶段-风险控制,企业内部控制基本规范第二十八条 :企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制和发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。 控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制
35、和绩效考评控制等,内部会计控制,会计组织控制 会计机构 会计基础 实物资产控制防舞弊控制防盗控制防损控制 纪律控制 职责分工 内部监控制度,评估阶段-风险控制,内部管理控制,组织控制、 人事控制、 业务操作与产品质量控制、 风险与安全控制、 管理技术控制,业务控制,职务分离控制 制度约束控制 程序控制 安全控制 监督,内部控制,评估阶段-风险控制,企业风险控制 应遵循原则,合法性原则,一贯性原则,成本效益型原则,实用性原则,相互制约性原则,整体性原则,企业风险控制原则,评估阶段-风险控制,风险控制执行流程,市 场 环 境,任 务 和 目 标,风 险 评 估,测 试 评 价,实 现 目 标,持续
36、改进,控制标准,设计控制系统,执行控制系统,适当性,有效性,评估阶段-风险控制,企业风险措施制定流程,信息反馈,设计,改进,评价,执行,持续改进,风险评估,信息反馈,评估阶段-风险控制,建立内控 责任制度,评估阶段(回顾总结),风险识别 风险评估 控制活动的识别 风险应对 风险控制,构建风险与内控体系的五个阶段,测试,总结,评估,计划,推广,小规模企业,一般会选择2-3个稍简单的业务流程作为试点, 试点和推广之间相隔的时间一般很短。,推广阶段-不同类型企业的选择,业务统一的大型企业,要选择有代表性的单位进行试点, 确定出能够满足监管要求,由无缝嵌入企业生产经营活动各环节的控制手段 推广时间需要
37、4-6个月的 时间,业务多元化的大型企业,要选择各行业有代表性的单位进行试点, 根据行业特点制定不同的内部控制标准模板 推广时间依难度和人员而定,一般在1年左右时间。,推广阶段-主要工作内容,在理解标准模板的基础上,对标准的控制活动进行本地化,即按照标准模板的要求,识别出适用于本单位的本地化的控制活动; 用统一的格式记录这些本地化的控制活动,形成内部控制文档; 按照这些本地化的控制活动执行,使这些本地化的控制活动成为正常生产经营活动的一部分,并确保这些控制执行有效。,推广阶段-推广指导小组的工作任务,组织培训工作,确保推广单位理解相关的知识和要求 现场指导推广工作,确保识别出的本地化控制活动满
38、足标准模板的要求; 复核推广单位记录的内部控制文档; 在时间允许的情况下,抽查内部控制的实际执行情况,若发现缺陷,则提出改进的建议。,推广阶段-集团企业的推广建议,选取一个单位试点 按照二级子集团推广 在子集团中按照业务类型和管控力度采取不同方式 对下属单位管理集中程度较高的,业务管理模式一致的,采取一次性全面推广的办法,并由子集团公司派员会同项目组成员对下属各推广单位的推广效果进行检查 对于下属各单位管理差异较大,采取分两批推广的办法,在第一批推广展开时候,自第二批单位中临时抽调人员参与推广。,构建风险与内控体系的五个阶段,测试,总结,评估,计划,推广,测试阶段-目的,通过对风险控制点的实际
39、情况进行有效性检测,以确定:1、各业务流程中的控制是否依照公司内部控制的规定运行;2、向公司报告测试结果及失效控制点的整改建议,监督整改落实情况;3、为公司董事会出具内部控制评价报告提供依据。,测试阶段-测试标准,内部控制测试,控制活动 设计的有效性,控制活动 执行的有效性,是否合规 是否可操作,对各控制点的实际执行情 况进行检测,测试阶段-主要工作内容,测试范围 执行人员 测试工具 测试前的培训工作 测试工作底稿提交和审核的时间点 各流程组的工作底稿审核流程 测试工作底稿的统计和归档,测试阶段-测试工具,过程流程图 风险与控制矩阵 风险与控制参考手册 使用内部行业或同行的信息确定基准 计算机
40、辅助审计系统 风险与控制自我评价讨论会 调查问卷 动员会,测试阶段-测试活动流程图,测试阶段-三类缺陷判断方法,测试阶段-流程层面缺陷评估步骤,确定受缺陷影响的会计科目和披露事项 判断错报发生的可能性 计算潜在影响金额 检查是否存在补偿性控制活动 确定考虑补偿性控制活动后的潜在影响金额 根据错报发生的可能性和潜在影响金额,判断缺陷类型 考虑定性因素 重新认定缺陷类型,测试阶段-公司层面缺陷评估步骤,控制缺陷在公司中的普遍性 控制缺陷对公司层面各组成要素的相对重要性 产生错误风险增加的迹象(根据以往错报记录) 舞弊的可能性(包括管理层越权的风险) 控制运行有效性方面已发现的例外情况的原因和频率
41、缺陷可能导致的后果。,构建风险与内控体系的五个阶段,测试,总结,评估,计划,推广,总结报告阶段主要工作要点,报告 考核 工作成果归档和移交 项目组成员后续安排 项目回顾与经验总结,总结阶段-报告与总结,上市公司向公众和投资者股东的报告,(1)审计报告(必须包括的报告) (2)公司治理报告(一般包括的报告) (3)企业可持续发展报告 (4)风险因素披露报告 (5)企业全面风险管理报告 (6)企业的社会责任报告 (7)环境报告 (8)质量报告 (9)企业内部控制程序与原则 (10)损失事件和损失报告 (11)某些行业特定风险报告,内部控制体系项目路线图,项目 计划,内控项目 具体计划,组建项目 管
42、理办公 室,控制环境,风险评估,技术方案,项目团队 组建培训,试点单位控制 活动 识别与归档,推广单位控制 活动测试及 缺陷整改,项目交接,项目验收,推广,项目结束,培训及 知识转移,绩效提高,技术方案更新及实施,变更管理及监督,项目沟通,项目管理及质量保证,制定标准模板,信息与沟通,(1),(2),(3),(4),(5),(6),(4),(7),(8),(9),(10),(11),(12),基础活动,目录,上市公司风险面面观 什么是风险管理框架 实施风险与内控的途径、方法 企业内部控制成效的评价与鉴定 信息化:企业风险与内控解决之道,企业内部控制成效的检验,企业内部控制 基本规范,企业内部控
43、 制应用指引,企业内部控 制评价指引,企业内部控 制鉴证指引,2008年6月28日 财政部、证监会 审计署、银监会 保监会五部委联 合发布。,企业董事会、股东会、经营层,外部 审计师,企业内部控制评价-意义,风险管理评价的程序,评价准备 评价实施 评价报告 后续审计或评价,风险管理评价的程序,风险管理评价的程序-评价准备,收集评价资料 非现场评价结果汇总分析 制定评价方案 组成评价组 征求上级有关单位对被评价单位的评价意见 发出风险管理与内部控制评价通知书,评价准备-被评价单位提供的资料清单,资料名称,评价准备-被评价单位各部门提供资料清单,评价实施-健全性测试,健全性测试主要是了解、检查和评
44、价企业各种业务和事项中的风险是否被识别、关键风险点的定位是否准确,是否有相应的管理和控制制度、措施。 五种测试方式 问卷调查 询问调查 查阅被评价单位各项管理制度和相关文件以及风险管理与内部控制过程中形成的文件和记录 观察被评价单位业务活动和内部控制的实际运行情况,了解被评价单位内部控制体系的基本情况(穿行测试) 流程图比较,评价实施-健全性测试,风险管理与内部控制缺陷登记表,被评价单位 :,评价实施-初步评价,风险管理与内部控制健全性测试结果登记表,评价实施-符合性测试和评价,符合性测试主要检查在实际业务环节活动中企业是否贯彻风险与内控制度 符合性测试样本数量的确定(与风险与内控发生频率成反
45、比) 符合性测试的方法 证据检查法 穿行测试法 实地观察法,评价实施-符合性测试和评价,符合性测试表,评价实施-实质性测试,实质性测试的重点领域:缺少风险管理与内部控制的重要业务领域 风险管理与内部控制设置不合理、控制目标不能实现的领域 风险管理与内部控制没有发挥作用的领域,评价实施-综合评价,基本情况,企业概况、主要业务类型和经营范围 问卷调查的基本情况、企业关键风险点及配套制度的建设、执行情况 子企业风险管理情况 行业特定风险 风控部门独立性,评价报告,评价结果,企业主要成绩和存在的主要不足 逐项列示存在的重大违规事项和重大风险管理与内部控制缺陷 详细说明各样本测试单位定性评价结果的整体分
46、布情况及其对企业集团整体定性评价结果的影响,评价分析,分析企业集团整体的风险管理与内部控制水平 逐项说明重大风险与内部控制缺陷、分析制度健全性与合理性 分析缺陷的主要环节、原因及其影响、提出完善建议 反馈意见、双方分歧和各自依据,主要内容,风险评价体系-六个评价系统,企业风险 管理环境,风险管理信息 交流与反馈,风险管理 监督与改进,风险管理与案件 和责任事故评价,企业 内部控制,企业风险 识别与评估,25%,10%,50%,5%,10%,-10%,风险评价体系-基本评价标准(每个系统),风险管理评级的确定,综合评分90分以上,企业风险与内控体系健全、规章制度得到有效执行,管理与控制效果显著。,80以上90分以下,风险与内控制度体系比较健全,虽然存在个别缺陷,未对业务安全性和制度有效性产生很大影响,风险与内控制度基本得到执行,管理与控制效果较好。,70以上80以下,企业风险与内控体系存在明显缺陷,但风险在可控范围内,风险与内控规章制度基本得到执行,管理与控制效果一般。,60以上70以下,60分以下,企业风险与内控体系不健全,存在严重漏洞和缺陷,风险与内控制度贯彻执行较差,已发生了数量较多或性质比较严重的案件、责任事故等。,
