风险控制目标和控制解释剖析课件

风险控制目标和控制解释2022/11/151风险控制目标和控制解释2022/11/121风险控制简述风险控制是指控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的2022/11/152风险控制简述2022/11/122风险控制简述通常影响某一风险的因素有很多。风险控制可以通过控制这些因素中的一个或多个来达到目的，但主要的是风险事件发生的概率和发生后的损失。前者的例子如室内使用不易燃地毯，山上禁止吸烟等；后者的例子如修建水坝防洪，设立质量检查防止次品出厂等风险控制的对象一般是可控风险，包括多数运营风险，如质量、安全和环境风险，以及法律风险中的合规性风险2022/11/153风险控制简述通常影响某一风险的因素有很多。风险控制可以通过控相关定义可能性用作对事件发生概率或频率的定性描述。频率：是以规定的时间内发生次数来表达事件发生率的量度。概率：是以特定事件或结果与可能发生事件或结果的总数之比，来量度的特定事件或结果的可能性。概率用数字0至1来表达，0表示一个不可能的事件或结果，而1表示一个必然的事件或结果。 影响性（Consequence）：后果等级以定量或定性的方式表示的一个事件的结果（一个事件可能有多个与其相关的结果）。2022/11/154相关定义2022/11/124相关定义风险点是指风险因素在业务流程中环节的反映和表现。损失是指任何财务或其他方面的负面影响。固有风险是指在没有考虑控制活动的有效性或其他减小风险的措施没有付诸实施之前已经存在的风险。剩余风险是指在采取控制活动或其他风险减轻措施后所剩余的风险。可接受风险是指其程度已降低到银行考虑监管要求和内控政策后能接受的水平的风险。2022/11/155相关定义风险点2022/11/125风险事件类型内部欺诈外部欺诈就业制度和工作场所安全事件客户、产品和业务活动事件实物资产的损坏IT系统事件执行、交割和流程管理事

2022/11/156风险事件类型内部欺诈2022/11/126现有控制描述流程内控制控制与风险重合控制环节前置控制环节后置

2022/11/157现有控制描述2022/11/127现有控制描述流程外控制其他流程控制（如监控流程控制）非流程控制（如政策控制、责任控制）2022/11/158现有控制描述2022/11/128现有控制描述风险与控制重合控制 2控制 1控制 315243控制 4非流程控制5

2022/11/159现有控制描述风险与控制重合控制 2控制 1控制 315243现有控制评价控制有效当采取控制措施后，风险等级从不可接受（E、H、M）达到I（极小风险）时，控制基本有效当采取控制措施后，风险等级从不可接受（E、H、M）达到L（低风险）时，可2022/11/1510现有控制评价控制有效2022/11/1210现有控制评价控制不足当采取控制措施后，风险等级仍处于从不可接受（E、H、M）时，可以认为控制不足，需要进一步采取控制措施控制过度当采取控制措施后，风险等级能够从不可接受（E、H、M）达到基本可接受L（低风险）或I（极小风险），但为此付出的控制的成本过高，适当减少控制时仍能使风险处于可接受状态，此时可以认为控制过度2022/11/1511现有控制评价控制不足2022/11/1211风险控制策划风险评估底稿控制目标风险评估结果判断是否增加控制措施

分析新增控制措施确定新增控制措施确定实施部门

确定监控部门生成控制底稿分析控制效果

风险控制底稿2022/11/1512风险控制策划风险评估控制目标风险评估结果判断是否增加控制措施控制目标对于所有风险因素均需明确具体的控制目标2022/11/1513控制目标2022/11/1213改进控制方案对于经评估认为需要改进控制措施的，在新增控制措施填列所增加的措施，对于不需要新增加措施的，可以不填2022/11/1514改进控制方案2022/11/1214控制部门/岗位对风险控制自评进行控制的部门或岗位2022/11/1515控制部门/岗位2022/11/1215全面风险管理的必要举措内部控制是通过有关企业流程的设计和实施的一系列政策、制度、程序和措施，控制影响流程目标的各种风险的过程内控系统是全面风险管理的重要组成部分，是全面风险管理的基础设施和必要举措一般说来，内部控制系统针对的风险一般是可控纯粹风险，其控制对象是企业中的个人，其控制目的是规范员工的行为，其控制范围是企业的业务和管理流程2022/11/1516全面风险管理的必要举措2022/11/1216内控制定的原则企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。2022/11/1517内控制定的原则2022/11/1217内控系统的历史发展内部控制的概念始于上一世纪初的财务控制，在80年代以后逐渐受到各国的重视，特别是监管机构的重视。在发展过程中，内部控制的理论吸收了控制论、系统论、组织理论、行为科学、心理学、管理学等多学科的内容美国COSO组织1992年的整合内控体系对世界各国公司立法和管理影响巨大美国2002年通过的萨班斯法案将建立和维持有效的内控系统作为对上市公司的法律合规要求2022/11/1518内控系统的历史发展2022/11/1218内控设计的基本原则全面性–覆盖企业所有重要业务及管理流程和流程的全过程系统性–按统一原则制定，与风险策略一致合规性–符合国家有关法律法规成本效益–控制与收益平衡权力分离及相互制约–岗位之间相互制约，重要流程及决策不能由一个人完成2022/11/1519内控设计的基本原则2022/11/1219内控设计的基本原则激励平衡–权责明确及奖惩结合信息反馈–内部控制应有自我调节功能可操作性–根据企业现有操作水平制定包容性–不致因个别环节失灵导致全系统失灵2022/11/1520内控设计的基本原则2022/11/1220内控的设计按照风险管理的基本流程进行：对象流程的环境信息，包括目标、全流程各个步骤、有关法规制度风险评估设计控制策略设计控制措施监控改进2022/11/1521内控的设计2022/11/1221内控的设计监控改进制定风险管理策略风险评估1.2.5.4.3.信息沟通贯穿始终制定实施解决方案建立初始信息2022/11/1522内控的设计监控改进制定风险管理策略风险评估1.2.5.4.3

内控与流程再造

内控设计以流程为基础。因此，在建立内部控制系统时，首先要梳理现有的管理和业务流程。必要时，建立相关的流程完善的流程包括完善的内部控制；设计内控的过程也是完善流程的过程。因此，涉及内部控制的过程一般会涉及流程的再造，加强现有流程的内控也是流程再造的一部分2022/11/1523

内控与流程再造

2022/11/1223流程的内部控制

流程风险控制点控制措施?流程是否存在设计是否合理职责是否明确执行是否严格奖惩是否明白效果是否满意关键绩效区

风险是否辨识影响什么指标影响哪些流程影响哪些部门或哪一级企业分析是否彻底应对是否存在设计是否合理职责是否明确是否经过检验效果是否满意2022/11/1524流程的内部控制

流程风险控制点控制措施?流程是否存在关键萨班斯法案404条款的要求在美国上市的中国公司应当遵守萨班斯法案的要求萨班斯法案要求所有美国的上市公司要在所有与财务报告有关的流程建立并维持足够的内部控制因此，满足萨班斯法案的第一步就是识别所有与财务报告有关的流程外部审计师须对公司的财务报告流程的内部控制进行审计，并出具意见404条款-年度财务报告内部控制的公司管理层报告书设立并维持了足够的财务报告内控体系；财务报告内控体系有效性的评价；为评价财务报告内控体系而采用的评价体系的说明。Sarbanes-OxleyActof20022022/11/1525萨班斯法案404条款的要求在美国上市的中国公司应当遵守萨班斯内控的基本应对手段授权报告批准责任审计检查考核评价预警法律风险防范体系权力制衡内部控制的系统主要包括企业的过程、程序、政策、准则、方针、结构、规范2022/11/1526内控的基本应对手段授权内部控制的系统主要包括企业的过程、程序建立授权制度

(一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；授权制度至关重要。要做到事事有授权，尤其是重大决策更是要明确的授权授权应当遵循岗位分离的原则，授权范围要适当。不可过宽，过宽则内控失灵；不可过窄，过窄则影响效率授权应当结合激励机制，明确授权的同时明确奖惩信息系统在流程中的使用有助授权制度的刚性化2022/11/1527建立授权制度授权制度至关重要。要做到事事有授权，尤其建立内控报告

(二)建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等；内控报告制度是内控信息反馈原则的具体体现内控报告制度是内控的有效性保证，其作用是使各级管理层和企业内外部的利益相关人能够及时得到企业的内控的真实信息内控报告制度是风险管理信息沟通，其时间、频率、内容等应与针对的风险匹配2022/11/1528建立内控报告(二)建立内控报告制度。明确规定报告人与建立内控批准制度

(三)建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；内控批准制度是授权制度的表现对内控所涉及的重要事项，如重大决策与重要信息的披露等建立明确的批准制度，使得流程的控制更加严密要坚持风险控制与运营效率及效果相平衡的原则，对公司内控所涉及的事项进行分级、分类的管理，同时可利用信息系统提高运营效率2022/11/1529建立内控批准制度(三)建立内控批准制度。对内控所涉建立内控责任制度

(四)建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；内控责任制度应与内控授权制度配套，并配之以合理的奖惩措施要明确每一个员工在内部控制中的责任及其奖惩，并严格执行。没有奖惩制度的责任会落空，不严格执行的奖惩制度也会落空内控责任可能与业务无关，但同样需要考核2022/11/1530建立内控责任制度(四)建立内控责任制度。按照权利、建立内控审计检查制度内控审计制度是内控系统中的重要组成部分，是内控系统执行风险管理基本流程中监控改进步骤的重要环节，使保证内控有效并不断提高的关键应当坚持审计部门与内控的执行部门的相对独立内控审计的计划和审计报告应当得到风险管理委员会的批准内控审计是审计业务的一个新事物，但是国际上的趋势。公司应当高度重视，配备人才，做好这项工作

(五)建立内控审计检查制度。结合内控的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等；2022/11/1531建立内控审计检查制度内控审计制度是内控系统中的重要组成部分，建立内控考核评价制度

(六)建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩；内控的绩效考核是内控的奖惩措施的落实在有条件时，要量化内控的绩效。可以考虑使用如内控失灵造成的损失、产生的次质品、客户满意度，人才流失度等指标来衡量内控的效果不能量化内控的绩效时，可以采用同行评比，专家意见等方法2022/11/1532建立内控考核评价制度(六)建立内控考核评价制度。具建立重大风险预警制度

(七)建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施；关于建立重大风险的预警制度，可参考前面关键风险指标管理的内容2022/11/1533建立重大风险预警制度(七)建立重大风险预警制度。对法律风险管理

(八)建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度；法律风险管理是企业全面风险管理的一部分，管理企业法律风险要服从企业整体风险管理策略随着市场环境的变化和国企走出国门，法律风险日益突出要充分考虑到法律风险的环境特性和复合特性，即法律风险管理的专业性2022/11/1534法律风险管理(八)建立健全以总法律顾问制度为核心建立重要岗位权力制衡制度

(九)建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括：授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。这是内控的基本原则首先要明确重要的岗位，涉及重大决策制定、重大事件应对、重大风险管理、重要信息的披露等的责任应视为重要岗位完善的公司治理制度，即董事会和管理层的分离、决策层和执行层的分离是权力制衡的设计典范特别要注意在大的流程设计层面，重要流程及决策不能由一个人或一个部门自始至终完成2022/11/1535建立重要岗位权力制衡制度(九)建立重要岗位权力制内控手册内部控制手册第一章总则

1.1前言

1.2内部控制框架第二章业务流程

2.1采购 2.2成本 2.3销售

2.4资金

2.5投资内控控制的结果一般制成业务手册，以便员工遵照执行。内控手册一般包括总则，流程定义，流程目标，流程步骤描述，流程风险，控制点，相关资料，流程图，权限，信息沟通，监控等内容。左图为内控手册一例。示例2022/11/1536内控手册内部控制手册内控控制的结果一般制成业务手册，以便员工Thankyou!2022/11/1537Thankyou!2022/11/1237风险控制目标和控制解释2022/11/1538风险控制目标和控制解释2022/11/121风险控制简述风险控制是指控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的2022/11/1539风险控制简述2022/11/122风险控制简述通常影响某一风险的因素有很多。风险控制可以通过控制这些因素中的一个或多个来达到目的，但主要的是风险事件发生的概率和发生后的损失。前者的例子如室内使用不易燃地毯，山上禁止吸烟等；后者的例子如修建水坝防洪，设立质量检查防止次品出厂等风险控制的对象一般是可控风险，包括多数运营风险，如质量、安全和环境风险，以及法律风险中的合规性风险2022/11/1540风险控制简述通常影响某一风险的因素有很多。风险控制可以通过控相关定义可能性用作对事件发生概率或频率的定性描述。频率：是以规定的时间内发生次数来表达事件发生率的量度。概率：是以特定事件或结果与可能发生事件或结果的总数之比，来量度的特定事件或结果的可能性。概率用数字0至1来表达，0表示一个不可能的事件或结果，而1表示一个必然的事件或结果。 影响性（Consequence）：后果等级以定量或定性的方式表示的一个事件的结果（一个事件可能有多个与其相关的结果）。2022/11/1541相关定义2022/11/124相关定义风险点是指风险因素在业务流程中环节的反映和表现。损失是指任何财务或其他方面的负面影响。固有风险是指在没有考虑控制活动的有效性或其他减小风险的措施没有付诸实施之前已经存在的风险。剩余风险是指在采取控制活动或其他风险减轻措施后所剩余的风险。可接受风险是指其程度已降低到银行考虑监管要求和内控政策后能接受的水平的风险。2022/11/1542相关定义风险点2022/11/125风险事件类型内部欺诈外部欺诈就业制度和工作场所安全事件客户、产品和业务活动事件实物资产的损坏IT系统事件执行、交割和流程管理事

2022/11/1543风险事件类型内部欺诈2022/11/126现有控制描述流程内控制控制与风险重合控制环节前置控制环节后置

2022/11/1544现有控制描述2022/11/127现有控制描述流程外控制其他流程控制（如监控流程控制）非流程控制（如政策控制、责任控制）2022/11/1545现有控制描述2022/11/128现有控制描述风险与控制重合控制 2控制 1控制 315243控制 4非流程控制5

2022/11/1546现有控制描述风险与控制重合控制 2控制 1控制 315243现有控制评价控制有效当采取控制措施后，风险等级从不可接受（E、H、M）达到I（极小风险）时，控制基本有效当采取控制措施后，风险等级从不可接受（E、H、M）达到L（低风险）时，可2022/11/1547现有控制评价控制有效2022/11/1210现有控制评价控制不足当采取控制措施后，风险等级仍处于从不可接受（E、H、M）时，可以认为控制不足，需要进一步采取控制措施控制过度当采取控制措施后，风险等级能够从不可接受（E、H、M）达到基本可接受L（低风险）或I（极小风险），但为此付出的控制的成本过高，适当减少控制时仍能使风险处于可接受状态，此时可以认为控制过度2022/11/1548现有控制评价控制不足2022/11/1211风险控制策划风险评估底稿控制目标风险评估结果判断是否增加控制措施

分析新增控制措施确定新增控制措施确定实施部门

确定监控部门生成控制底稿分析控制效果

风险控制底稿2022/11/1549风险控制策划风险评估控制目标风险评估结果判断是否增加控制措施控制目标对于所有风险因素均需明确具体的控制目标2022/11/1550控制目标2022/11/1213改进控制方案对于经评估认为需要改进控制措施的，在新增控制措施填列所增加的措施，对于不需要新增加措施的，可以不填2022/11/1551改进控制方案2022/11/1214控制部门/岗位对风险控制自评进行控制的部门或岗位2022/11/1552控制部门/岗位2022/11/1215全面风险管理的必要举措内部控制是通过有关企业流程的设计和实施的一系列政策、制度、程序和措施，控制影响流程目标的各种风险的过程内控系统是全面风险管理的重要组成部分，是全面风险管理的基础设施和必要举措一般说来，内部控制系统针对的风险一般是可控纯粹风险，其控制对象是企业中的个人，其控制目的是规范员工的行为，其控制范围是企业的业务和管理流程2022/11/1553全面风险管理的必要举措2022/11/1216内控制定的原则企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。2022/11/1554内控制定的原则2022/11/1217内控系统的历史发展内部控制的概念始于上一世纪初的财务控制，在80年代以后逐渐受到各国的重视，特别是监管机构的重视。在发展过程中，内部控制的理论吸收了控制论、系统论、组织理论、行为科学、心理学、管理学等多学科的内容美国COSO组织1992年的整合内控体系对世界各国公司立法和管理影响巨大美国2002年通过的萨班斯法案将建立和维持有效的内控系统作为对上市公司的法律合规要求2022/11/1555内控系统的历史发展2022/11/1218内控设计的基本原则全面性–覆盖企业所有重要业务及管理流程和流程的全过程系统性–按统一原则制定，与风险策略一致合规性–符合国家有关法律法规成本效益–控制与收益平衡权力分离及相互制约–岗位之间相互制约，重要流程及决策不能由一个人完成2022/11/1556内控设计的基本原则2022/11/1219内控设计的基本原则激励平衡–权责明确及奖惩结合信息反馈–内部控制应有自我调节功能可操作性–根据企业现有操作水平制定包容性–不致因个别环节失灵导致全系统失灵2022/11/1557内控设计的基本原则2022/11/1220内控的设计按照风险管理的基本流程进行：对象流程的环境信息，包括目标、全流程各个步骤、有关法规制度风险评估设计控制策略设计控制措施监控改进2022/11/1558内控的设计2022/11/1221内控的设计监控改进制定风险管理策略风险评估1.2.5.4.3.信息沟通贯穿始终制定实施解决方案建立初始信息2022/11/1559内控的设计监控改进制定风险管理策略风险评估1.2.5.4.3

内控与流程再造

内控设计以流程为基础。因此，在建立内部控制系统时，首先要梳理现有的管理和业务流程。必要时，建立相关的流程完善的流程包括完善的内部控制；设计内控的过程也是完善流程的过程。因此，涉及内部控制的过程一般会涉及流程的再造，加强现有流程的内控也是流程再造的一部分2022/11/1560

内控与流程再造

2022/11/1223流程的内部控制

流程风险控制点控制措施?流程是否存在设计是否合理职责是否明确执行是否严格奖惩是否明白效果是否满意关键绩效区

风险是否辨识影响什么指标影响哪些流程影响哪些部门或哪一级企业分析是否彻底应对是否存在设计是否合理职责是否明确是否经过检验效果是否满意2022/11/1561流程的内部控制

流程风险控制点控制措施?流程是否存在关键萨班斯法案404条款的要求在美国上市的中国公司应当遵守萨班斯法案的要求萨班斯法案要求所有美国的上市公司要在所有与财务报告有关的流程建立并维持足够的内部控制因此，满足萨班斯法案的第一步就是识别所有与财务报告有关的流程外部审计师须对公司的财务报告流程的内部控制进行审计，并出具意见404条款-年度财务报告内部控制的公司管理层报告书设立并维持了足够的财务报告内控体系；财务报告内控体系有效性的评价；为评价财务报告内控体系而采用的评价体系的说明。Sarbanes-OxleyActof20022022/11/1562萨班斯法案404条款的要求在美国上市的中国公司应当遵守萨班斯内控的基本应对手段授权报告批准责任审计检查考核评价预警法律风险防范体系权力制衡内部控制的系统主要包括企业的过程、程序、政策、准则、方针、结构、规范2022/11/1563内控的基本应对手段授权内部控制的系统主要包括企业的过程、程序建立授权制度

(一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；授权制度至关重要。要做到事事有授权，尤其是重大决策更是要明确的授权授权应当遵循岗位分离的原则，授权范围要适当。不可过宽，过宽则内控失灵；不可过窄，过窄则影响效率授权应当结合激励机制，明确授权的同时明确奖惩信息系统在流程中的使用有助授权制度的刚性化2022/11/1564建立授权制度授权制度至关重要。要做到事事有授权，尤其建立内控报告

(二)建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等；内控报告制度是内控信息反馈原则的具体体现内控报告制度是内控的有效性保证，其作用是使各级管理层和企业内外部的利益相关人能够及时得到企业的内控的真实信息内控报告制度是风险管理信息沟通，其时间、频率、内容等应与针对的风险匹配2022/11/1565建立内控报告(二)建立内控报告制度。明确规定报告人与建立内控批准制度

(三)建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；内控批准制度是授权制度的表现对内控所涉及的重要事项，如重大决策与重要信息的披露等建立明确的批准制度，使得流程的控制更加严密要坚持风险控制与运营效率及效果相平衡的原则，对公司内控所涉及的事项进行分级、分类的管理，同时可利用信息系统提高运营效率2022/11/1566建立内控批准制度(三)建立内控批准制度。对内控所涉建立内控责任制度

(四)建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；内控责任制度应与内控授权制度配套，并配之以合理的奖惩措施要明确每一个员工在内部控制中的责任及其奖惩，并严格执行。没有奖惩制度的责任会落空，不严格执行的奖惩制度也会落空内控责任可能与业务无关，但同样需要考核2022/11/1567建立内控责任制度(四)建立内控责任制度。按照权利、建立内控审计检查制度内控审计制度是内控系统中的重要组成部分，是内控系统执行风险管理基本流程中监控改进步骤的重要环节，使保证内控有效并不断提高的关键应当坚持审计部门与内控的执行部门的相对独立内控审计的计划和审计报告应当得到风险管理委员会的批准内控审计是审计业务的一个新事物，但是国际上的趋势。公司应当高度重视，配备人才，做好这项工作

(五)建立内控审计检查制度。结合内控的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等；2022/11/1568建立内控审计检查制度内控审计制度是内控系统中的重要组成部分，建立内控考核评价制度