中石油内控指引讲解指引.ppt

内部控制体系建设初步指引 1 指引架构 建设内容 方法和 工具及 附录 总体情况 总则 内控体系建设 监督 内部环境 目标制定 事件识别 风险评估 风险反应 控制活动 信息与沟通 方法和工具 附录 2 指引内容 u总体情况 u内控体系建设内容 u方法和工具及附录 3 总体情况 p第一章：总则 p第二章：内控体系建设 4 第一章： 总 则 编制目的 编制依据 编制原则 指引的主要内容 5 编制目的、依据、原则 n编制的目的 为了加强对内控体系建设的指导，向内控体系建设提供技术和理 论支持，确保内控体系建设工作的系统化、规范化和有序开展。 n编制的依据 l国务院国资委中央企业全面风险管理指引； l集团公司内部控制体系建设实施方案； lCOSO企业风险管理框架； lCOSO内部控制框架； l国家其他法律法规。 n编制的原则 本着有利于建立内控体系建设的总体概念，有利于明确建设重点 ，有利于指导具体操作的原则编制了本指引。 6 指引的主要内容 指引共包括三大部分，十二章的具体内容： l总体情况部分包括两章，即总则和内控体系建 设； l建设内容按照COSO八要素分为八章，各章均包 括概念及要素、重点关注的内容、主要工作、 基本方法和工具； l方法和工具及附录部分包括两章，即方法和工 具、附录。 7 总体情况 p第一章：总则 p第二章：内控体系建设 8 第二章：内控体系建设 指导思想 建设范围 总目标 建设内容 机构及职责分工 工作步骤 9 指导思想 按照国务院国资委的要求，瞄准国际大公司的 内控建设水平，立足改革发展全局，坚持“统 筹规划、整体设计”的原则，以源头治理和过 程控制为核心，以防范风险和提高效率为重点 ，对现有管理制度、职责分工和业务流程进行 全面梳理，力求促进各项管理工作实现程序化 、规范化、制度化、标准化，建立一套设计科 学、简洁适用、运行有效的内部控制体系，使 集团公司所有企事业单位和所有经营管理环节 都处于受控状态，有效防范风险，增强抵御风 险的能力，实现经济资源的高效配置，为实现 集团公司战略发展目标提供合理保障。 10 范围、总目标 n建设范围包括： 集团公司总部、直属企事业单位、全资公司 、绝对控股公司等应按照本指引和各项工作要 求，具体完成内部控制体系建设；相对控股公 司和参股公司可以参照执行本指引。 n总目标是： 用两年左右的时间，基本建立和谐的内部环 境、规范高效的业务流程、权责明晰的治理结 构、简洁适用的风险管理措施，并以此为基础 在“十一五”末初步建立内部控制体系，为“ 十二五”发展奠定基础 。 11 l内部环境 l目标制定 l事件识别 l风险评估 l风险反应 l控制活动 l信息与沟通 l监督 建设内容体现和满足了“收集风险管理初始信息、进行风险评估、制 定风险管理策略、提出和实施风险管理解决方案、风险管理的监督 与改进”的风险管理基本流程思路。 建设内容 12 机构及职责分工、工作步骤 n机构及职责分工： 总部和各单位都要建立由主要领导参加的组 织领导机构，并抽调综合素质高、业务全面和 具有较强协调能力的人员组成具体工作机构， 负责本单位内控体系建设工作。 n工作步骤： l准备阶段（2006年年底前） l实施阶段（2007年1月2008年12月） l系统化测试和完善阶段（2009年1月12月） l运行维护阶段（2010年开始） 13 指引内容 u总体情况 u内控体系建设内容 u方法和工具及附录 14 内控体系建设内容 p第三章：内部环境 p第四章：目标制定 p第五章：事件识别 p第六章：风险评估 p第七章：风险反应 p第八章：控制活动 p第九章：信息与沟通 p第十章：监督 15 第三章：内部环境 概念及要素 重点关注的内容 主要工作 基本方法和工具 16 概念及要素 l内部环境 l风险管理理念 l员工职业道德 l组织结构 l员工的胜任能力 l权限和责任分配 l人力资源政策 l决策机构与监督机构 l反舞弊 17 概念及要素 n内部环境： 内部环境是其他要素的基础，包括企业风险 管理理念、员工职业道德、组织结构、员工的 胜任能力、权限和职责分配、人力资源政策、 决策机构与监督机构等要素。 n风险管理理念： 风险管理理念是指企业经营活动中以风险为 特征的信念和态度，它反映企业的价值观，影 响企业文化和经营风格，也影响企业风险管理 的其他要素，具体包括识别风险的方式、可接 受风险的种类以及如何进行风险管理等。 18 概念及要素 n员工职业道德： 员工职业道德体现企业的价值判断和管理层 经营风格等，具体包括道德准则、行为准则和 强化这些准则的方式。 n组织结构： 组织结构是指企业为实现风险管理目标，对 各项风险管理活动进行规划、执行、控制和监 督的构架。组织结构是集权还是分权，取决于 企业的规模及其企业活动的性质。 19 概念及要素 n员工胜任能力： 胜任能力是指管理层在考虑企业的战略、目标及其实施方式等 方面后，对工作岗位明确规定胜任能力要求，并将要求转变为员 工完成工作任务所需要的知识和技能。 n权限和责任分配： 权限和责任分配是指建立上下级报告制度、授权协议以及合理 划分权限和职责的过程。为保证授权的充分性和有效性，企业必 须对相关人员的角色与责任给予明确。 n人力资源政策： 人力资源政策引导员工达到企业期望的职业道德水平和胜任能 力，包括员工聘用、定岗、培训、评估、就业咨询、晋升、薪酬 等活动。 20 概念及要素 n决策机构与监督机构： 决策机构在公司制企业是董事会，其他企业决策机 构是高级管理层办公会等； 监督机构包括监事会、审计委员会、专职监督部门 等行使监督职能的机构； 决策机构与监督机构相对于管理层的独立性、其成 员的经验和道德境界、参与和监督企业活动的范围及 行为的适当性都对内部环境发挥作用。 n反舞弊： 舞弊是指以故意的行为获得不当或非法利益；反舞弊 就是采取适当措施防止和控制舞弊的发生。 21 重点关注的内容 l风险管理组织体系 l风险管理文化 l反舞弊重点 22 重点关注的内容 n风险管理组织体系： 风险管理组织体系包括明确组织结构、部门 权限和职责分配、员工胜任能力以及人力资源 政策。 n反舞弊重点： 反舞弊重点关注报告的舞弊、资产盗用、不 当目的的支出或负债、以欺诈方式取得资产和 收入、以欺诈方式避免成本或费用、决策机构 或管理层的不当行为等。 23 重点关注的内容 n风险管理文化 风险管理文化包括企业风险管理理念的确定、员工职业道德的制 定和宣贯、举报机制等； 风险管理做的较好的企业，具有共同的特征：领导者有极强的风 险意识，并极力将这种意识灌输给企业内的所有成员，即注重风 险管理文化的培育； 全面风险管理不是某个人或某个部门的单独的事情，而是涉及企 业各个层面、各个业务领域、所有员工的事情，只有将风险意识 和理念融入企业文化中，把风险意识转化为全体员工的共同认识 和自觉行动，才能确保风险管理目标的实现； 企业的所有生产经营行为、所有的控制制度，最终都由具体的人 来操作和完成。如果员工没有正确的风险管理意识，再好的体系 和机制，也难免会出现重大风险事件。 24 主要工作 l评估内部环境 l建立完善风险管理组织体系 l建立风险管理文化 l建立反舞弊与控制 25 主要工作 n评估内部环境： 设计访谈提纲和调查问卷，了解企业治理结构、各部门业务和权 责划分、各部门对企业风险管理和内部控制的看法、集团公司和 各企业的业务流程； 访谈各级管理人员，全面掌握内部环境现状； 分析评价企业内部环境现状。 n 建立完善风险管理组织体系： 按照企业规模、业务复杂程度等标准， 设计企业的风险管理组织 结构模型方案； 按照结构模型设计企业风险管理组织体系； 制定人力资源政策； 确定业绩衡量标准。 26 主要工作 n建立风险管理文化： 将风险管理文化建设融入企业文化建设全过程； 在企业各个层面营造风险管理文化氛围； 加强员工法律素质和职业道德教育； 建立举报机制； 宣传企业风险管理文化，牢固树立所有员工的风险意识。 n建立反舞弊与控制： 建立必要的反舞弊程序和控制； 建立舞弊风险数据库； 宣传和培训反舞弊控制； 加强监督，保证实施有效，并不断修订完善反舞弊措施。 27 基本方法和工具 内部环境建设的主要方法有：访谈方法 、标杆法等。 内部环境建设的主要工具有：访谈提纲 、调查问卷、内部环境现状评价表、权 限指引、岗位职责描述等。 28 标杆法举例 标杆分析三个阶段 选定标杆学习伙伴阶段改进建议阶段 分析阶段 确定行业的一流 企业和做法，搜集 其最佳实践典范， 结合集团公司给出 的要素，确定自己 内部环境要素。 将收集的资料进 行汇总分析，同时 参考目前本企业内 部环境现状进行比 较。 针对分析阶段的 比较结果，对本企 业内部环境进行广 泛的讨论，最终给 出合理优化建议。 29 标杆法实例 员员工职业职业 道德的评估 内控环环境要素 现现状建议议 标杆企业管理层对 员工职业道德很关 注，企业有行为规 范守则（包括道德 准则、行为准则） ， 并且守则定期 、充分在企业内部 传达并交流。 管理层注重倡导正直和诚信 的道德价值观，在员工手册 中提倡“忠诚奋斗，合作创 新” ，但是这种理念还没 有成熟，员工的思想道德建 设与管理层的期望有一定的 差距；虽然制定了员工职 业道德规范，但是并没有 在企业内部充分传达； 未制定高级财务管理人员（ 总会计师、财务主管和会计 主管）正式的行为守则。 加强员工职业道德 建设，通过会议、 培训、文件、宣传 和监控措施等向全 体员工传达并要求 员工职业道德价值 观； 建议管理层参考集 团公司的要求，制 定高级管理人员书 面的道德守则。 样例 30 内控体系建设内容 p第三章：内部环境 p第四章：目标制定 p第五章：事件识别 p第六章：风险评估 p第七章：风险反应 p第八章：控制活动 p第九章：信息与沟通 p第十章：监督 31 概念及要素 l目标制定 l风险偏好 l风险承受度 32 概念及要素 n目标制定： 目标制定是指管理层围绕企业的使命，制定 战略目标，阐述企业战略，并为企业确立经营 、报告和合规性目标。目标制定是事件识别、 风险评估和风险反应的前提。 n风险偏好： 风险偏好是指企业希望承受的风险范围，即 企业决策层和管理层在追求实现其价值的过程 中愿意接受什么风险。 33 概念及要素 n风险承受度： 风险承受度指在企业实现特定目标过程中对目标相 关变量的接受程度，与风险容量相一致。风险承受度 是风险容量的边界和企业采取行动的指标。 比如一个企业能承担的投资损失额为一千万元，该 企业投资某个项目时候，企业准备承担最大的损失额 为九十万元。经分析若该项目失败则损失为一百万， 企业经过研究决定放弃这个项目，因为该企业在投资 上的风险容量为一千万，在这个项目上的风险承受度 是九十万，所以企业放弃了这个项目。 34 重点关注的内容 l战略目标 l经营目标 l报告目标 l合规性目标 35 重点关注的内容 战略目标战略目标 经营目标经营目标报告目标报告目标合规性目标合规性目标 战略目标是管理层根据企业使命，阐述企业战略， 并指引企业确立经营、报告和合规性目标的最高层 次目标。 36 重点关注的内容 n经营目标： 经营目标反映企业经营的效率和效果。经营目标围绕企业战略 目标，反映市场地的实际和需求情况，可以用业绩和利润性目标 以及防止企业亏损的衡量指标来描述。 n报告目标： 报告目标是根据企业经营的业务制定的，主要指编制可靠的报 告，包括内部和外部报告，涉及与目标相适应的准确完整的全部 企业信息。 coso企业风险管理框架把原来内控框架中的财务报告目标扩展 为报告目标。 n合规性目标： 这类目标涉及企业必须遵守的法律法规，主要取决于外部因素 。企业必须依照适用的法律法规开展其业务活动。 37 主要工作 l确定战略目标 l制定经营目标、报告目标和合规性目标 l建立业务流程目录 l制定相关子目标 l分解目标，制定考核标准 l传递相关信息 38 主要工作 n确定战略目标： 按照章程规定的使命，本着从实际出发，务 求实效的原则，确定战略目标。战略目标与企 业的使命相一致，同时要考虑企业的风险容量 和风险承受度。 n制定经营目标、报告目标和合规性目标 ： 根据确定的战略目标，制定企业的经营目标 、报告目标、合规性目标等相关目标。相关目 标要支持确定的战略目标并与其相一致。 39 主要工作 n建立业务流程目录： 按照确定的目标，分析业务活动，建立业务流程目 录。在集团公司范围内统一建立一、二、三级流程目 录，各单位结合集团公司的一、二、三级业务流程目 录，自行制定四级及以下业务流程目录，末级业务流 程不超过六级，四级业务流程目录在集团公司备案。 内部控制一级业务流程目录有21个：规划计划、建设 施工、物资采购、服务采购、生产管理、质量管理、 产品销售、存货管理、股权管理、人力资源与绩效考 核、信息管理、科研开发、健康安全环保、财务资产 、内部审计、纪检监察监督、合同管理、法律事务、 企业文化、公共关系、权证管理。 40 主要工作 n制定相关子目标： 根据相关目标，各职能部门、各企业制定相 关的子目标。 n分解目标，制定考核标准： 结合业务流程的梳理，将各类目标分解，并 明确职责，制定业绩考核标准。 n传递相关信息： 将上述信息传递到企业所有层面的员工，保 证员工理解计划要实现的目标以及业绩考核标 准和方法。 41 基本方法和工具 目标制定的主要方法有：头脑风暴法、 访谈法、问卷调查法、参考与征求意见 法等。 目标制定的主要工具有：流程目录等。 42 内控体系建设内容 p第三章：内部环境 p第四章：目标制定 p第五章：事件识别 p第六章：风险评估 p第七章：风险反应 p第八章：控制活动 p第九章：信息与沟通 p第十章：监督 43 概念及要素 l事件及事件识别 l风险 l机遇 44 概念及要素 n事件及事件识别： 事件是源自外部或内部、影响企业目标实现的事情。 按事件带来的影响不同，可以划分为风险和机遇。 事件识别是明确可能影响企业目标实现的事件，并确 定风险和机遇的过程。 n风险： 风险是未来的不确定性对实现企业目标可能性产生 的负面影响，也称为纯粹风险。按照不同的标准，风 险分类也多种多样。 n机遇： 机遇是未来的不确定性对实现企业目标和支持企业 发展产生的积极影响，也称为机会风险。 45 重点关注的内容 l事件的范围 l事件和目标的联系 l识别事件需要考虑的内外部因素 l事件的相互依存 l事件区分和风险分类 l持续性事件识别 46 重点关注的内容 n事件的范围： 与企业所处的内外部环境、行业领域、经营 业务范畴以及对实现企业目标可能产生影响的 相关事件都要考虑。 n事件和目标的联系： 为保证目标的实现，每个企业、职能部门、 甚至个人都承担与其职责相应的目标。目标的 承担者首先在与自己目标相关的范围内明确事 件，然后将这些事件进行汇总，并按照目标对 事件分类。 47 重点关注的内容 n识别事件需要考虑的内外部因素： 外部因素主要包括经济因素、自然环境因素、 政治因素、社会因素、技术性因素等。 内部因素主要包括内部环境因素、基础设施因 素、员工因素、流程因素、技术因素等。 n事件的相互依存： 事件通常不是孤立出现和存在的。一个事件 的发生可以引发另一个相关事件的发生，数个 事件也可能同时发生。在事件识别过程中，应 考虑事件及其相关事件。 48 重点关注的内容 n事件区分和风险分类： 在识别出事件的基础上，应区分事件属于风险或是 机遇。对于带来风险的事件，按照风险和企业目标的 相关性进行分类，可以分为战略风险、财务风险、市 场风险、运营风险、法律风险等。 n持续性事件识别： 企业对风险和机遇的识别应保持连续性。企业在发 展过程中会不断的修正和调整目标，因此也需要不断 评估风险与企业目标的匹配和适合能力，以保证风险 适合企业目标。 49 主要工作 l收集信息 l明确关联事件 l对事件进行分类 l持续进行事件识别 50 主要工作 n收集信息： 企业广泛、持续地收集与本企业风险和风险管理相 关的内外部初始信息，包括历史数据和未来预测。各 相关部门和业务单位从这些相关信息中识别出本部门 的事件。 n 收集信息的外部渠道： 国家、行业宏观政策与信息的发布平台和网络； 新闻、媒体报道几及专业机构的出版物； 商业伙伴（客户、供应商）提供的战略信息； 私人商业与社会网络等。 n收集信息的内部渠道： 内部会议纪要及战略分析报告； 以往战略决策的成功案例及重大偏差； 企业自身的战略规划、计划等决策信息； 企业战略规划方面的内部控制机制等。 51 主要工作 n明确关联事件： 事件通常不是孤立出现的，理解事件间相互 联系的方式，以便明确关联事件。 n对事件进行分类： 对事件按照影响目标的类型、影响事件的内 外部因素按照是风险还是机遇进行分类，形成 事件库。 n持续进行事件识别： 不间断进行事件识别，如事件有变更需及时 调整备案，同时维护更新事件库。 52 基本方法和工具 事件识别的主要方法有：头脑风暴法、 访谈法、问卷调查法、流程及流程分析 法、征求意见法、事件重要指标法等。 事件识别的主要工具有：事件库等。 53 内控体系建设内容 p第三章：内部环境 p第四章：目标制定 p第五章：事件识别 p第六章：风险评估 p第七章：风险反应 p第八章：控制活动 p第九章：信息与沟通 p第十章：监督 54 概念及要素 l风险评估 l固有风险 l剩余风险 l风险识别 l风险分析 l风险评价 55 概念及要素 风险评估是指管理层采用定量或定性的 方法，考虑企业潜在事件发生的可能性 及对实现企业目标的影响程度。风险评 估的步骤如下： 风险 识别 风险 分析 风险 评价 123 56 概念及要素 n固有风险： 管理层不采取任何措施去改变风险的可 能性或影响的情况下企业所面对的风险 。 n剩余风险： 管理层在对某风险采取措施后仍然存在 的风险 。 57 概念及要素 风险识别是指查找企业各业务单元、各项重要经 营活动极其重要业务流程中有无风险，有哪些风险。 风险风险类别风险产生 部门 公司因进入新的市场和推出新产品 所带来的潜在的法律风险，包括产 品责任，违反有关国际贸易的法例 和规则，违反当地对外资企业的法 律、指令和社会环境方面的限制等 法律法律部 58 概念及要素 风险分析是对识别出的风险及其特征进行明确的定义描 述，分析和描述风险发生可能性的高低、风险发生的条件。 风险清单及风险发生可能性（举例） 序号风险 风险 类别 风险 管理者 风险成因原因类别 可能 性 1对新兴市场缺乏认识，不能及 时掌握市场变化，丧失在该市 场的发展潜能 战略战略部缺乏有效的市 场发展策略， 资源不能有计 划地被分配 人员，策 略，政策 ，流程和 程序 高 2流动资金风险：由于资产的可 变现性和融资问题导致企业无 法满足其现金流量需求的风险 财务财务部没有周详的现 金流量预算 流程和 程序 中等 3商品价格风险：商品价格变动 带给企业的不利影响（例如煤 、燃料、燃气、热能等) 市场财务部 、 采购部 市场因素外部 事件 极高 59 极高 高 中等 低 极低 极低 低 中等 高 极高 影响程度 可能性 B区域C区域 A区域 B区域 承担A区域中的各项 风险且不再增加控制 措施 严格控制B区域中的 各项风险且专门补充 制定各项控制措施 确保规避和减少C区 域中的各项风险且优 先安排实施各项防范 措施 2 853 417 6 9 风险坐标图 (以固有风险绘制) 概念及要素 风险评价是评估风险 对企业实现目标的影 响程度、风险的价值 等。 60 重点关注的内容 l固有风险与剩余风险 l风险和目标的适合度 l风险识别和确认的即时性 l风险组合 l风险评估机制 61 重点关注的内容 n固有风险与剩余风险： 风险评估首先应用于固有风险，在制定风险反应方 案后，管理层应考虑剩余风险。 n风险和目标的适合度： 企业会在发展过程中不断的修正和调整目标，因此 企业要不断评估风险和目标的匹配和适合能力。 n风险识别和确认的及时性： 企业内外部环境是不断变化的，在某种特定环境下有 效的内部控制在另一种环境下未必有效，因此要及时 随环境的变化评估和确认风险。 62 重点关注的内容 n 风险组合： 从统筹角度来考虑风险，管理层确定企业各业务单 元的剩余风险是否与企业的总体风险容量一致，存在 于不同业务单元的风险可能在该业务单元的风险承受 度范围内，但是汇总时，风险则有可能会超出企业整 体的风险容量范围；另外一些风险间也存在自然对冲 ，相互抵消的关系。 n风险评估机制： 风险评估机制要求建立相关的制度和规范，以便对 风险管理的机构及职责、风险管理的原则及要素、风 险评估的程序及方法、风险识别和确认的及时性等进 行明确的规定和落实。 63 主要工作 l制定风险评估标准 l选择风险评估办法 l确定风险等级 l明确风险间的关系 l建立风险数据库 64 主要工作 n制定风险评估标准： 按照自身特性，分析企业规模、业务复杂性、信息 处理方法、适用的法律法规等，结合管理层的判断， 制定风险评估标准。 n选择风险评估办法： 根据业务活动、业务流程描述和风险评估标准，选 择适合本企业或本部门的风险评估方法。 n确定风险等级： 具体识别和确认业务流程中的风险，分析风险的重要 性程度、评估风险发生的可能性或频率，确定其风险 等级。 65 主要工作 n明确风险间的关系： 根据对风险的评估和分析，确认相关风险间是否相 关、相关程度和相关方向，明确风险间的关系，以便 从风险策略上对风险进行统一集中管理。 n各风险之间的自然对冲 n风险事件发生的正负相关性等组合效应 n建立风险数据库： 详细描述风险表征，建立风险数据库。附录1-14附 录2-7.doc 66 基本方法和工具 风险评估方法主要有：头脑风暴法、访 谈法、问卷调查法、参考与征求意见法 、概率与非概率模型法、风险坐标图等 。 风险评估的工具主要有：风险评估问 卷、风险数据库等 。 67 风险评估问卷 n问卷内容设计分为三部分风险，环境风险：可能 受到哪些来自外部的，对业务产生重大影响的风 险；流程风险：业务流程中，由哪些可能影响企 业执行业务能力的风险；决策信息风险：在流程 、财务、战略等方面的决策，可能影响到决策的 正确性的风险； n对这三方面从风险“影响的严重程度”和“发生 的可能性”进行评估。 68 风险评估问卷样例 69 内控体系建设内容 p第三章：内部环境 p第四章：目标制定 p第五章：事件识别 p第六章：风险评估 p第七章：风险反应 p第八章：控制活动 p第九章：信息与沟通 p第十章：监督 70 概念及要素 l风险反应 l风险管理策略 l风险预警机制 l风险管理解决方案 71 概念及要素 n风险反应： 管理层按照风险管理优先顺序和风险管理策略 ，结合风险预警机制，对各类风险或每一项重 大风险制定、评估和选择风险管理解决方案， 确定如何应对风险。 n风险管理的优选顺序可以考虑以下几个因素： n风险管理的难度 n风险事件发生的可能性和影响 n合规的需要 n对企业技术准备、人力、资金的需求 n利益相关人的要求 72 概念及要素 n风险管理策略： 风险管理策略指企业根据自身条件和内外部环境，围 绕企业发展战略和制定的目标，确定风险偏好、风险 承受度、风险管理有效性标准，选择适合的风险管理 工具，并确定风险管理所需资源的配置原则。 风险偏好和风险承受度 “承担什么风险？承担多少？” 全面风险管理的有效性标准 “怎样衡量我们的风险管理工作成效？” 风险管理的工具选择 “怎样管理重大风险？” 全面风险管理的资源配置 “如何安排人力、财力、物资、外部资源等风险管理资源 ？” 73 概念及要素 n风险预警机制： 风险预警机制是指企业从谨慎角度出发，对重大风 险进行持续不断的监测，及时发布预警信息，根据企 业应对风险的资源状况，制定应急预案，并根据情况 变化不断调整控制措施。 n风险管理解决方案： 风险管理解决方案一般应包括风险解决的具体目标 ，所需的组织领导，所涉及的业务管理流程，所需的 条件、手段等资源，风险事件发生前、中、后所采取 的具体应对措施以及风险管理工具。风险管理解决方 案一般可分为四类：规避风险、减少风险、分担风险 、接受风险。 74 重点关注的内容 l风险管理解决方案的标准 75 重点关注的内容 风险管理的有效性标准是指企业衡量企 业风险管理是否有效的标准。 n风险管理有效性标准的作用是帮助企业了解： n企业现在的风险是否在风险承受度范围之内，即风险是否优 化 n企业风险状况的变化是否所要求的，即风险的变化是否优化 n因此，量化的企业风险管理有效性标准可以基于企业风险承受度 的度量 选择风险管理解决方案时，着重考虑以下因素 ： n风险容量和风险承受度。在评估风险管理解决方案时，要考虑采 取方案后的剩余风险是否在企业的风险容量和风险承受度之内。 n成本和收益。对实施风险管理解决方案进行成本和效益测算。 n方案的机遇。考虑风险方案中的机遇，分析是否有机遇价值超过 风险的情况。 76 主要工作 l制定风险管理解决方案 l评估风险管理解决方案 l选择风险管理解决方案 77 主要工作 n制定风险管理解决方案： 根据风险管理解决方案的标准，结合企业风险偏好等实际情况 ，对自身面临的风险制定具体的风险管理解决方案。 n评估风险管理解决方案： 评估方案的效应 评估方案成本和收益 评估外包风险管理方案的可行性 评估方案的内容 n选择风险管理解决方案： 在对风险管理解决方案进行评估后，管理层选择能使风险可能 性和影响维持在风险承受度范围内的一种风险管理解决方案或者 组合管理解决方案。 78 基本方法 风险反应的方法主要有：关键风险指标 管理、压力测试等 79 内控体系建设内容 p第三章：内部环境 p第四章：目标制定 p第五章：事件识别 p第六章：风险评估 p第七章：风险反应 p第八章：控制活动 p第九章：信息与沟通 p第十章：监督 80 概念及要素 l控制活动 l关键控制 l政策 l程序 l控制活动分类 81 概念及要素 n控制活动： 控制活动是指为确保风险管理解决方案得以贯彻执 行的政策和程序。控制活动贯穿于企业的所有职能部 门、每项生产经营活动和所有员工中。它包括一系列 不同的活动，如批准、授权、验证、核对、经营业绩 评价、资产保全措施和职责分工等。 n关键控制： 关键控制指在相关流程中影响力和控制力相对较强 的一项或多项控制，其控制作用是必不可少和不可替 代的。如果缺少该项控制，将在很大程度上直接导致 重要风险的产生。 82 概念及要素 n政策： 政策指确定应该做什么，包括成文的政策和不成文的政策。 n程序： 程序指实施政策。所有的政策都要得到全面、认真、始终如一的 贯彻执行，在执行程序过程中要关注政策存在的条件。 n控制活动分类： 控制活动按照不同的标准可以分成若干类，一般说来，我们可 以对其进行如下分类： 按目标可以分为战略、经营、报告、合规性。 按内容可以分为企业层面控制、业务活动层面控制和信息系统总 体控制。 按作用可以分为预防性控制和发现性控制。 按控制手段可以分为人工控制和自动控制。 83 重点关注的内容 l建立适当的政策和程序 l执行情况 84 重点关注的内容 n建立适当的政策和程序： 针对企业的每一项业务活动都要有必要 和恰当的政策和程序。政策和程序同风 险管理解决方案要匹配。 n执行情况： 着重关注风险管理解决方案中规定的控 制措施是否得到了恰当的执行。 85 l梳理现有制度和业务流程 l建立健全相关制度 l编制风险控制管理文件 l确认关键流程、控制点和控制措施 l优化业务流程 l动态管理控制活动 控制活动建设要求领导带头、全员参与、激励配套、注重培训、持 续改进。 主要工作 86 主要工作 n梳理现有制度和业务流程： 梳理现有制度和所有业务流程，制定风险控 制文档和程序文件的编制和记录规范。 n建立健全相关制度： 企业根据自身的实际情况建立和健全内控岗 位授权制度、内控报告制度、内控批准制度、 内控责任制度、内控审计检查制度、内控考核 评价制度、重大风险预警制度、重要岗位权利 制衡制度等。 87 主要工作 n编制风险控制管理文件： 针对影响企业目标实现的重要风险，结合企 业描述的业务流程，编制风险控制管理文件， 包括风险控制流程图、风险控制文档和控制程 序文件等。 n确认关键流程、控制点和控制措施： 按照风险控制管理文件、业务流程描述，标 注风险点和关键控制点，确认关键控制流程、 关键控制点和控制措施。 88 主要工作 n优化业务流程： 对现有控制和业务流程进行分析，查找差距 和不足，结合风险管理解决方案，制定、补充 和完善相关制度和实施证据，优化业务流程。 n动态管理控制活动： 定期组织相关部门进行研究，新增或变动的 风险是否新增了相关控制活动；已有的控制活 动是否有变化；是否需要重新确定关键控制。 根据控制活动的变化，对相关文件进行更新。 89 基本方法和工具 控制活动的主要方法有：流程图、文字 描述等。 控制活动的主要工具有：利用软件描述 流程图、风险控制文档、关键控制文档 、控制程序文件等。 90 风险控制文档模板 控 制 点 编 号 风险类别风 险 描 述 控制目标 的类型 控制 目标 具体 描述 现有 控 制措 施 控制 方 法（ 自动 / 人工 ） 控制类型 （预防性 / 发现 性 ） 控制 频率 ( 随时, 日,周, 月度, 季度, 年度) 控制 实施 证据 控制 文件 的文 号及 名称 已有制度 新 建 制 度 经 营 决 策 风 险 违 反 法 律 法 规 财 务 报 告 失 真 资 产 安 全 受 到 威 胁 营 私 舞 弊 C: 完 整 性 控 制 A: 准 确 性 控 制 V: 有 效 性 控 制 R: 接 触 性 控 制 在 使 用 修 订 使 用 废 止 单位名称：流程名称: 编制人:流程编号 业务 主管部门:最后更新时间 : 业务 参与部门:版本： 91 风险描述 控制 点编 号 风险类别 风险 描述 控制目标 的类型 控制目标具体描 述 现有控制措施 经 营 决 策 风 险 违 反 法 律 法 规 财 务 报 告 失 真 资 产 安 全 受 到 威 胁 营 私 舞 弊 C: 完 整 性 控 制 A: 准 确 性 控 制 V: 有 效 性 控 制 R: 接 触 性 控 制 1.没有将租赁赁 费费用记记入正确 的会计计期间间。 q将所识别的风险在该栏目具体描述。 q参考风险数据库的内容，根据本单位的实际情况进行风险识别和描述。 若对风险数据库进行删减、增加、修改应加以解释。 q对于增加的风险，有关风险描述的文字要清晰地反映影响目标实现的因 素。 92 控制目标的类型 控制点 编号 风险类别 风险 描述 控制目标的类 型 控制目标具体描述现有控制措施 经 营 决 策 风 险 违 反 法 律 法 规 财 务 报 告 失 真 资 产 安 全 受 到 威 胁 营 私 舞 弊 C: 完 整 性 控 制 A: 准 确 性 控 制 V: 有 效 性 控 制 R: 接 触 性 控 制 1.没有将租赁费赁费 用 记记入正确的会计计期 间间。 q完整性控制（C）：指建立完整规范的控制体系和标准；生产经营和财务信息数据的 采集、记录和处理完整，无遗漏和重复。如租金未及时确认，或重复确认当期费用就会 影响完整性；准确性控制（A）：指所有信息和数据计算、归集和记录操作等准确。如 账务处理的金额错误会影响准确性； 有效性控制（V）：指所有的生产经营活动都经过 适当的授权和批准，都是真实发生的，并按规定保存有效的原始文件。如付款未经审批 ，就会影响有效性；接触性控制（R）：指信息处理和实物资产的保护和安全控制。如 缺少对企业投资实施计划的保密，让不相关的人员知悉；或会计处理现金实物都会影响 接触性。 93 控制目标具体描述 控制点 编号 风险类别风险 描述 控制目标 的类型 控制目标具体描 述 现有控制措施 经 营 决 策 风 险 违 反 法 律 法 规 财 务 报 告 失 真 资 产 安 全 受 到 威 胁 营 私 舞 弊 C: 完 整 性 控 制 A: 准 确 性 控 制 V: 有 效 性 控 制 R: 接 触 性 控 制 1.没有将租赁赁 费费用记记入正确 的会计计期间间。 完整、及时时地记记 录录租赁费赁费 用。 根据所选的控制目标的类型，具体描述针对风险的控制目标。 94 现有控制措施 控制 点编 号 风险类别 风险 描述 控制目标的 类型 控制目标具体描述现有控制措施 经 营 决 策 风 险 违 反 法 律 法 规 财 务 报 告 失 真 资 产 安 全 受 到 威 胁 营 私 舞 弊 C: 完 整 性 控 制 A: 准 确 性 控 制 V: 有 效 性 控 制 R: 接 触 性 控 制 1.没有将租赁赁 费费用记记入正确 的会计计期间间。 完整、及时时地记录记录 租赁费赁费 用。 所属单单位资产资产 管理科 定期审查审查 租赁赁合同履 行报报告。 在该栏目描述： q 哪个（岗位）负责执行控制 q 控制的具体内容 95 控制类型（预防性/ 发现性 ） q “预防性”控制：在风险发生之前，为避免风险采取的措施。例如：制定 政策、准备备查清单、合同在执行前需要审批，等为预防性控制； q “发现性”控制：事后做的、为及时发现问题而采取的措施是发现性控 制。例如：核对财务系统和资产系统的余额是否一致，审核记账凭证是否 准确、编制银行存款余额调节表等。 控制方 法 （自动/ 人工） 控制类 型 （预 防性/ 发现 性 ） 控制频 率 (随 时,日, 周,月度 ,季度, 年度) 控制实 施证据 控制文 件的文 号及名 称 已有制度 新 建 制 度 在 使 用 修 订 使 用 废 止 发现发现 性 96 控制实施证据 q控制实施的证据 是指在实施现有控制时所使用的报告，表单 ，签字等；如果在实施现有控制时没有使用相应的报告，表单， 签字等，则应填“无”；在实施现有控制时使用了相应的报告，表 单，但在文件和规章制度中没有相应的规定，应作为文件不完善 在“现有控制在规章制度方面存在的问题”进行描述。 控制方 法 （自动/ 人工） 控制类 型 （预 防性/ 发现 性 ） 控制频 率 (随 时,日, 周,月度 ,季度, 年度) 控制实 施证据 控制文 件的文 号及名 称 已有制度 新 建 制 度 在 使 用 修 订 使 用 废 止 发现发现 性合同履 行报报告 97 内控体系建设内容 p第三章：内部环境 p第四章：目标制定 p第五章：事件识别 p第六章：风险评估 p第七章：风险反应 p第八章：控制活动 p第九章：信息与沟通 p第十章：监督 98 概念及要素 l信息 l沟通 l信息系统总体控制 l信息系统应用控制 l信息披露 99 概念及要素 n信息： 信息指来源于企业内部或外部，与制定战略和目标 、识别事件、分析风险、确定风险反应方案以及实施 企业风险管理和其它管理活动相关的信息，包括从外 部获取的行业、经济、监管信息以及内部产生的经营 管理、财务等方面的信息。 n沟通： 沟通指信息在企业内部各层次、各部门以及在企业 与需求方、供应商、监管者和股东等外部环境之间的 传递。 n信息披露： 信息披露是指企业向出资人、相关管理部门、利益 相关者提供及时、有序、一致、准确、完整、可靠和 可信的企业信息的过程。 100 概念及要素 n信息系统总体控制： 信息系统总体控制是适用于企业在信息技术的开发、 实施、运行、维护及管理等方面的控制，它可以更好 地保护企业的信息资产，提高信息系统对业务的支撑 力度，增强企业信息系统的运行效力。 n信息系统应用控制： 信息系统应用控制包括应用软件中的电算化步骤以及 用以控制不同种类交易处理的相关手工操作程序。 信息系统总体控制和应用控制是相互关联的。信息系 统总体控制是应用系统控制的基础，应用系统控制依 赖于信息系统总体控制，信息系统总体控制和应用控 制共同保证信息处理的完整性和准确性。 101 第九章：信息与沟通 概念及要素 重点关注的内容 主要工作 基本方法和工具 102 重点关注的内容 l内外部沟通的有效性 l信息系统总体控制 l信息系统应用控制 103 重点关注的内容 n内外部沟通的有效性： 向内部员工传达企业目标、风险管理的 重要性、风险容量和承受度以及员工的 职责； 向外部相关方传达企业的道德价值观、 行为准则以及风险容量和承受度等； 向外部相关方了解客户需要和偏好的变 化等。 104 重点关注的内容 n信息系统总体控制： 加强信息系统控制环境和项目建设过程的管理； 加强对逻辑安全、物理安全和网络安全的建设； 加强信息系统日常运作、变更和对最终用户操作的管理。 n信息系统应用控制： 所有业务都经过处理，但不允许数据的重复录入和处理； 所有的数据是正确和合理的； 例外情况能被及时发现和处理； 交易被适当授权； 系统不接受虚假交易； 未经授权，不能对数据进行修改； 重要数据可以进行保密； 物理设备的安全得到保证等。 105 主要工作 l确定信息与沟通建设的总目标和规划 l明确沟通方式和渠道 l制定信息披露制度和流程 l建立信息系统总体控制 l建立信息系统应用控制 106 主要工作 n确定信息与沟通建设的总目标和规划： 明确企业内部需要进行沟通及传递的信息， 管理层负责根据企业整体发展战略，组织确定 企业信息技术发展总体目标和战略规划。 n明确沟通方式和渠道： 建立并完善信息管理制度，明确企业应建立 的沟通方式及沟通渠道。 n制定信息披露制度和流程： 明确信息披露的部门、信息披露管理流程和 制度。 107 主要工作 n建立信息系统总体控制： 企业重点对信息系统控制环境、信息安全、 信息系统项目建设管理、信息系统变更管理、 信