风险管理与内部控制.ppt

风险管理与内部控制 课程目标 企业风险管理实务公司治理中国内部控制现状及困惑内部审计的新趋势 时间分配 1 ERP系统实施风险及常见挑战2 内部审计参与ERP管理的职责定位 ERP系统选型ERP系统实施ERP系统持续审计及合规评估 第一章 企业风险管理实务 为何要对风险进行管理何为风险管理基本原则与组织构架风险评估风险应对策略关键风险指标挑战及解决方案问题与解答 风险案例举例 1 河南平顶山市区大屏幕播放苍井空AV短片近20分钟 风险案例举例 2 许家印 帝国 保卫战 风险案例举例 2 许家印 帝国 保卫战 风险案例举例 2 许家印 帝国 保卫战 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 2 为何要对风险进行管理 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 3 项目实施的动因 外部要求 国家政策性要求国资委2006年6月颁布 中央企业全面风险管理指引 指出 具备条件的企业应全面推进 尽快建立全面风险管理 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 5 国务院国资委全面风险管理定义本指引所称全面风险管理 指企业围绕总体经营目标 通过在企业管理的各个环节和经营过程中执行风险管理的基本流程 培育良好的风险管理文化 建立健全全面风险管理体系 包括风险管理策略 风险理财措施 风险管理的组织职能体系 风险管理信息系统和内部控制系统 从而为实现风险管理的总体目标提供合理保证的过程和方法 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 7 不同公司拥有不同的目标 战略 结构 文化 风险偏好和金融手段 因此 没有任何两个ERM的解决方法是相同的 减低不合理的业绩波动即时应对商业环境的变化 实现公司及部门战略目标改善公司治理 有限资源的合理配置建立投资者信心 实行全面风险管理的益处 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 8 企业风险管理的目标风险管理 能够帮助一个企业管理其风险 进而从三个方面为企业创造和保护其价值 建立可持续的竞争优势 优化管理成本 提高经营绩效 我们必须不断地把宝贵的资源投入到那些前景乐观但又具有不确定性的商务活动中去 我们必须在变化无常的环境中管理好自己的企业 使公司的投资者 董事和其他利害攸关者相信 企业在茁壮成长的同时 成功地掌握并控制住了风险 近年来重要的风险管理失控的教训 中国篇 近年来重要的风险管理失控的教训 国际篇欧洲英国巴林银行的破产法国兴业银行金融舞弊丑闻亚洲日本八百伴的扩张失败嘉娜宝集团财务造假事件韩国大宇集团的衰落美洲安然事件世通倒闭雷曼兄弟近期摩根大通巨亏 近年来重要的风险管理失控的教训 近期摩根大通巨亏 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 10 风险 能够导致一个企业不能够实现其业务目标和战略计划的威胁 潜在的因素 或一系列事件 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 11 何为风险管理 风险管理就像汽车的刹车一样 为的是能够让您更加享受驾驶的乐趣 如果您想开的越快 就越需要灵敏的刹车 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 13 增 加的价值 财务 管理 业务风险管理 重点 财务风险与机遇的联系 了解范围 涉及财务 业务风险管理重点 业务风险与机遇的联系 更清晰 范围 负有责任的业务经理 按不同风险分担责任 企业全面风险管理 重点 业务风险与机遇的联系 非常明确范围 在企业层面基础人员 技术与知识 保险及业务部门风险管理发展状况 增加的价值是指风险管理为创造企业竞争优势 提高企业业绩 优化成本所做的贡献 风险管理向战略性过程的进化战略 2011甫瀚咨询 上海 有限公司 机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 16 16 内部环境建设风险管理的培训及宣贯风险管理手册更新公司级风险评估公司级风险审视实施应对方案日常业务风险评估 内部控制自我评估对风险管理工作的监督 执行政策制度流程回顾政策制度及内控手册的制定及更新经营活动中的重大问题管理管理报告例会制度 企业集团风险管理实务中的主要工作 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 21 独立挑战和保证 审核和挑战的程度依赖于整个保证流程的充分性和完整性 评估由管理层和监督部门作出的声明的有效性 评估保证框架和董事会对控制的信赖程度 战略管理 政策制定 监督职能 监督职能 如提供资金 新产品发展 制定政策以及评估控制和流程的充分性及完整性 董事会决定监督职能被审核和挑战的程度 管理层设计并实施控制 管理层有关有效性的报告使董事会得以安心 执行管理层 风险管理委员会 审计委员会 董事会 企业风险管理架构风险日常业务运营 管理层识别风险 风险 风险 风险管理的角色与职责 样本 有效的企业风险管理需要组织内所有级别人员的参与 企业风险管理 角色 理解风险问题 制定政策和程序创建评估工具和度量方法在具体风险领域的专业技能制定风险战略 监督风险管理流程与结果以及就有关问题提请上级审阅 提供绩效保证和推动持续改进 风险管理推动者 审核 批准政策 风险战略与容忍度监督风险管理流程 结果确定战略目的设计业务 风险战略与政策调配资本审核 批准风险管理政策 管理与流程建立问责制监督内部 外部事件审核 批准风险战略 容忍度 建立风险管理架构监督和推动企业整体风险管理有效性评价 协调统一激励系统 董事会高级管理层首席执行官 首席信息官 首席财务官 首席风险官 首席学习官 首席运营官 执行企业整体风险管理有效性评价识别 溯源和度量风险应用控制资源 识别和纠正控制缺陷提供及时的风险报告 22 就有关问题提请上级审阅 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 业务单位 关键流程 产品经理 业务单位2 业务单位1 业务单位4 业务单位3 风险管理人员 风险管理委员会 支持部门 内部审计人员 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 23 公司董事会 风险管理委员会 第二道防线 审核委员会 最终责任机构组织层级监督机构 第三道防线 内部审计部组织层级 风控管理组 第二道防线 各系统管理层 第一道防线 决策机构组织层级 执行机构 监查 风控管理组领导组风控管理组执行组各系统风险管理岗位 第一道防线 企业集团风险管理架构 实务举例组织层级 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 24 企业集团风险管理架构 实务举例 续 公司的风险管理组织架构是由三道防线组成的 主要包括 第一道防线 系统 基本执行机构第一道防线主要包括系统管理层 系统工作人员以及系统中的风险管理岗位 他们通过在日常工作中严格执行公司政策制度以及对执行情况进行自查 从而降低公司的整体风险水平 同时 他们也是最早发现各种风险现象或者征兆的岗位基本职责包括但不限于 执行公司政策制度 政策制度执行是风险管理的基础工作 如果执行本身不到位 就有极大可能给公司造成极大的经济损失 对于公司的重大风险 以项目组的方式设计并执行风险应对的实施方案 每年进行流程回顾 并相应制定或者更新政策和流程 设计并执行公司经营活动中的重大问题的解决方案 参与公司级风险评估 内部控制自我评估 风险管理培训以及风险管理例会 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 25 企业集团风险管理架构 实务举例 续 第二道防线 风险管理委员会及风控管理组 决策及协调机构第二道防线包括两个部分 风险管理委员会和风控管理组 其中 风险管理委员会主要由公司CXO 分管新业务副总裁 信息技术系统总经理和人力资源系统总经理 主要在风险管理工作中起到决策 指导和协调的作用 风控管理组则由公司财务 信息技术 人力资源 法务及战略高级别管理人员以及业务系统委派的高级别管理人员 专职风险管理人员以及各系统风险管理岗位组成 主要是在风险管理委员会的领导和授权下 执行风险管理工作相关的指引 组织 协调 推动 监督和检查工作风险管理委员会基本职责包括但不限于 对与风险管理相关的政策进行审批 对与风险管理相关的工作方案及报告进行讨论及审批 对经营活动中发生的重大问题的解决方案进行决策 通过例会 管理报告及内部审计报告了解公司风险管理工作现状 并对其进行指导和规范 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 26 企业集团风险管理架构 实务举例 续 第二道防线 风险管理委员会及风控管理组 决策及协调机构 续 风控管理组基本职责包括但不限于 实施公司范围的风险管理工作 包括风险评估及内部控制自我评估等 监督公司及系统风险管理工作的实施情况 组织及协调每年的流程回顾 编制管理报告 参与制定经营活动中发生重大问题的解决方案并监督其实施 组织培训 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 27 企业集团风险管理架构 实务举例 续 第三道防线 审核委员会及内部审计部 监督机构第三道防线由公司的审核委员会及内部审计部组成 对公司董事会直接负责 可以相对独立地对公司的风险管理工作方式方法 结果及执行进行监督和检查 并将相关结果和发现报送公司董事会 公司管理层及风险管理委员会基本职责包括但不限于 评价政策制度中的控制活动的执行情况 评价公司级风险评估过程 结果及应对 评价经营活动中的重大问题的分析及应对 实施内部控制自我评估检查 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 28 企业集团风险管理架构 实务举例 续 最终责任机构 董事会董事会是风险管理工作的最终责任机构 就公司整体风险管理工作的实施效果以及风险现状对股东大会负责董事会在风险管理中的职责 通过对公司管理层的干预 实现其对与风险管理相关的期望目标 通过监督活动 确定其期望目标是否实现 董事会可以通过以下方式对企业风险管理进行监督 1 了解公司有效的风险管理范围2 知悉最重大风险以及公司管理层是否恰当地应对3 知晓并认同公司的整体风险偏好及审核公司的风险组合观4 了解经营活动中的重大问题及公司管理层的应对 利用董事会下属的各类委员会来行使他们的特定职责 在特定的关键决策上保留权力 关键决策权涉及的范围包括但不限于 公司风险管理组织架构 公司中长期风险管理工作规划 公司级风险评估结果 公司级重大风险应对方案以及公司经营活动中的重大问题的解决方案 风险管理的三道防线 结合企业实际建业集团企业风险管理三道防线第一道防线 系统 基本执行机构各城市公司 项目公司 专业公司等一线机构业务部门 风险管理的三道防线 结合企业实际建业集团企业风险管理三道防线第二道防线 集团各职能中心集团总部各业务主管部门 风险管理的三道防线 结合企业实际建业集团企业风险管理三道防线第三道防线 审核委员会及内部审计部 监督机构集团审计及检查部门 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 30 风险评估 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 31 何谓企业风险评估 ERA 企业风险评估是对未来潜在事件的前瞻活动 以确定这些事件在特定时段之内对目标所产生的潜在影响 以及出现的可能性 企业 横跨整个机构风险 那些可能会影响业务目标实现的潜在事件评估 涉及高层及中层的管理人员 了解其影响 可能性及现行用以处理风险的活动 建立计划来改善现有的风险应对措施 内部环境 目标设定 事项识别 风险评估 风险应对 分单 企机位 机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 32 理综合框架联系 这是一个贯彻及标准的方案 有助识别 划分 评估及应对风险 该方法具灵活性 可以根据不同的目的及目标进行调整 事件识别 风险评估 风险应对计划 项目管理 知识分享 报告 企业风险评估方法与COSO的企业风险管 内部环境及目标 子公业司务 支业构层面 监控信息和沟通控制活动风险评估控制环境控制活动信息与沟通监督 2011甫瀚咨询 上海 有限公司 企业风险评估方法 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 34 企业风险评估方法 影响程度标准实务 评分标准财务损失企业日常运行 1极轻微的较低不受影响 2轻微的轻微轻度影响 造成轻微的人身伤害 情况立刻受到控制 3中等的中等中度影响 造成一定人身伤害 需要医疗救援 情况需要外 部支持才能得到控制 4重大的重大严重影响 企业失去一些业务能力 造成严重人身伤害 情 况失控 但无致命影响 5灾难性的极大重大影响 重大业务失误 造成重大人身伤亡 情况失控 给企业致 命影响 企业声誉 负面消息在企业内部流传 企业声誉没有受损 负面消息在当地局部流传 对企业声誉造成轻微损害 负面消息在某区域流传 对企业声誉造成中等损害 负面消息在全国各地流传 对企业声誉造成重大损害 负面消息流传世界各地 政府或监管机构进行调查 引起公众关注 对企业声誉造成无法弥补的损害 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 35 评分标准发生可能性 1极低一般情况下不会发生今后10年内发生的可能少于1次 2低极少情况下才发生今后5 10年内可能发生1次 3中等某些情况下发生今后2 5年内可能发生1次 4高较多情况下发生今后1年内可能发生1次 5极高常常会发生今后1年内至少发生1次 企业风险评估方法 可能性标准实务 37 风险评估方法 实务举例 确定实施方案 确定战略目标 风险识别与分析 风险评估访谈 重大风险初步排序 风险评估讨论会 重大风险排序 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 审阅关键政策与文件风险应对调查问卷 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 38 工作内容1 确定公司级风险评估实施方案在实施公司级风险评估工作以前 应该有完整的实施方案 包括 风险评估所涵盖的单位 需要评估的风险事项 风险评估的方式方法 工作步骤以及时间安排 公司的风控管理组编制风险评估实施方案 风险评估实施方案需要经过风控管理组和风险管理委员会的审批 2 确定公司战略目标因为公司的战略目标会影响公司所面临的风险 所以在进行公司级风险评估以前 风险管理委员会应该明确公司的战略目标 特别是需要明确公司战略目标的变化部分 3 风险识别与分析风险识别是公司级风险评估的实施基础 根据公司发展目标 重要经营活动及相关业务流程 公司过往年度经营活动中发生的重大问题 以及公司过往年度的重大风险等信息 对影响公司实现发展目标的风险进行识别 确定风险评估的范畴 参与部门 风控管理组 风险管理委员会 风险管理委员会 风控管理组 企业集团风险评估方法 实务举例 续 详细步骤 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 39 工作内容4 风险评估访谈通过资料分析确定的风险评估范畴应该与公司管理层主要管理人员以及重要业务流程主要负责人进行确认 以确保对于公司风险状况理解的合理性和全面性 这项工作主要是通过对公司管理层和重要经济活动或者业务流程的相关人员进行访谈来完成的 5 审阅关键政策与文件通过对与公司相关的外部监管文件 分析报告 内部制度 内部政策 审计报告 专题研究等信息的查阅和分析 对风险评估范畴进行进一步的确定和调整 6 调查问卷通过风险调查问卷的形式 对公司高级管理层进行调查 初步对公司管理层对于公司级风险的认识进行了解 风险调查问卷包括风险的类别 风险定义 风险发生可能性的高低标准以及风险如果发生对公司经营活动影响的轻重标准 风险调查问卷编制完成后 通过系统或以书面问卷的形式下发调查问卷参与者 要求调查问卷参与者在规定时间段内完成 系统或风险管理机构对风险调查问卷结果进行汇总 初步确定公司经营活动中所面临的风险 参与部门 风控管理组 相关公司高级管理层 相关系统人员 风控管理组 风控管理组 公司高级管理层 企业集团风险评估方法 实务举例 续 详细步骤 续 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 40 工作内容7 风险评估讨论会根据风险调查问卷和流程级风险评估的结果 组织公司高级管理层对公司级风险进行沟通和评估 统一对风险的认识 确定下阶段风险管理工作的重点 8 风险应对对于风险评估讨论会确定的下阶段风险管理工作的重点 由相关系统在风险管理委员会及风控管理组的协助下 以项目组的形式 利用公司的整体资源制定风险应对方案 确定通过什么样的方式可以降低相关公司级风险发生的可能性或者减弱风险发生后所带来的影响 经过恰当的审批后 进行实施 参与部门 风控管理组 公司高级管理层 系统人员 风控管理组 风险管理委员会 企业集团风险评估方法 实务举例 续 详细步骤 续 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 41 企业集团风险评估方法 实务举例 续 除风控管理组职能部门和业务部门参与的工作 参与风险评估访谈 就所在部门 所在岗位所了解的公司经营活动中面临的主要风险和过去经营活动中发生的重大问题进行沟通 为风险评估提供充分信息 例如在本次风险评估中 省区经理就参与了风险评估访谈 为对公司风险现状的理解提供了有用的信息 完成风险调查问卷 根据所在部门 所在岗位及所知 对风险调查问卷中的风险发生的可能性和重大性进行判断 并将判断结果及时回复风控管理组 参与公司级风险评估 主要工作内容包括 对所涉及的业务的主要风险点及形成的原因进行描述 对针对各主要风险点设置的控制及详细操作情况进行描述 对所涉及的业务在过去期间发生的重大问题 根据风险评估人员的清单提供测试资料 组织或者参与公司级风险评估 主要工作内容详见下一部分 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 42 企业风险评估中共同的挑战 定义时间范围和覆盖范围 定义时间范围 何时 持续时间是多久 一年 五年 未来和可预测 覆盖范围 有多大的可能性在一个特定的区域 街道我们的手机没电 有多大可能性在上海没电 有多大的可能性在中国没电 确认覆盖范围对企业风险管理很重要 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 43 1 2 3 4 5 6 7 缺乏足够资深级别的员工顾客对我们工作的不重视人员调整中的员工流失重大诉讼的威胁员工培训的缺乏缺少具有专业知识的员工来支持项目较低的工作收益率 在回顾了主要起因后 风险可被归纳成以下三种风险 1 2 3 缺乏合理的技能完成工作 1 3 5 6 市场中薄弱的价值主张 2 7 缺乏充足的品质以减轻职业风险 4 企业风险评估的共同挑战 合并风险范例 高级管理层确定了下列风险 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 46 风险应对策略 风险应对策略是指导企业防范和抑制风险的基本方针 措施和方法 根据预测风险发生的可能性以及企业条件 制订不同的应对方案 采取不同的管理策略 从而实现风险管理任务 企业应根据自身条件和外部环境 围绕企业发展目标和战略 确定风险偏好 风险承受度 选择 避免 接受 减少或者共享 的总策略 并确定风险管理所需要的人力和财力资源的配置 52 企业集团风险应对策略 实务举例 组建项目组风险应对方案 报系统负责人审批 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 风控管理组审阅 风险管理委员会审批 实施风险应对方案公司管理层审批 定期汇报 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 53 工作内容1 组建项目组根据风险评估讨论会上确定的风险责任系统 由系统负责人指定一个风险应对的责任人 然后由责任人组建项目组 制定风险应对方案 2 制定风险应对方案由项目组制定风险应对方案 风险应对方案包括的主要内容有 公司级重大风险包括的风险细分内容及原因 建议需要重点解决的细分风险及原因 建议的细分风险应对方案 实施步骤及时间表 建议制定或者完善的制度政策 方案实施进度及质量的评价标准 可能存在及亟待解决的难点 包括技术 资源 权限及协调3 系统负责人审批风险应对方案系统负责人从业务角度审批风险应对方案的合理性和完整性 如果风险应对方案涉及多个系统 则风险应对方案还需要相关系统负责人的联签 参与部门 风险责任系统 风险责任系统 相关系统 风险责任系统 相关系统 企业集团风险应对策略 实务举例详细步骤 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 54 工作内容4 风控管理组审阅风险应对方案风控管理组成员根据各自的专业角度判断或建议 公司级重大风险细分的完整性和合理性 应对方案的合理性和可行性 相关制度政策的完整性 针对可能存在的难点的解决建议以审阅报告的形式报送风险管理委员会5 风险管理委员会审批风险应对方案风险管理委员会根据风控管理组的审阅报告及风险应对方案 审批并明确 风险应对方案是否可行 风险应对方案需要改进的部分 风险应对方案实施需要的资源及权限划拨 参与部门 风控管理组 风险管理委员会 企业集团风险应对策略 实务举例详细步骤 续 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 55 工作内容6 公司管理层审批风险应对方案风险应对方案送交公司管理层进行审批 风险管理委员会的审批意见将作为公司管理层审批的依据和参考信息 7 实施风险应对方案相关系统根据审批的风险应对方案进行实施 8 定期汇报相关系统应在风险管理月度报告中反映风险应对方案的实施进度及问题 参与部门 公司管理层 风险责任系统 相关系统 风险责任系统 相关系统 企业集团风险应对策略 实务举例详细步骤 续 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 56 企业集团风险应对策略 实务举例举例说明A公司在公司级风险评估时确定原材料风险为公司的重大风险 公司在风险评估讨论会上指定燃料管理部为重大风险责任部门 并由燃料管理部负责组织相关部门提供风险应对方案 燃料管理部组织本部门相关人员分析讨论 确定原材料风险主要由五项子风险组成 原材料来源风险 原材料价格风险 原材料品质风险 原材料运输风险以及原材料存储风险 根据对行业数据和过往公司数据分析 确定其中的原材料价格风险 原材料品质风险以及原材料运输风险属于主要的子风险 需要公司重点关注和优先处理 分析上述三个风险的主要成因 针对主要成因设计有效的控制活动 确认设计的控制活动是否已经包含在公司的流程规章制度中 如果公司现有的流程规章制度中已经包含了设计的控制活动 需要明确设计的控制活动与现存的控制活动是否匹配 是否有书面制度 是否被有效执行 如果公司现有的流程规章制度没有包含设计的控制活动 燃料管理部及相关部门人员提出改进措施 需要的资源 可能存在的重点难点问题 实施时间及检验标准 分析结果及改进方案应该以书面报告的形式 报送部门负责人及风险管理办公室 部门负责人审批分析结果及改进方案 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 57 企业集团风险应对策略 实务举例举例说明 续 风险管理办公室审阅分析结果是否合理 改进方案中的控制活动是否合理 并针对资源需求以及重点难点提出建议 以书面报告的形式将审阅意见报送风险管理项目管理委员会 风险管理项目管理委员会基于风险责任部门负责人以及风险管理办公室的审阅意见对改进方案进行审批 并协调相应资源及部门 由风险责任部门根据审批后的改进方案进行实施 并每月以书面报告的方式向部门负责人以及风险管理办公室汇报实施情况 风险管理办公室每季度将所有重大改进方案的实施情况进行汇总 并报送风险管理项目管理委员会 审计监察部会在改进方案的实施过程中或者结束时进行至少一次的审计工作 并将审计结果以书面报告的方式报送审计委员会 风险管理项目管理委员会以及风险责任部门负责人 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 58 公司治理 董事会需要及时了解公司的重大 风险的性质及对公司战略目标的影响程度 对管理层管理风险的活动和能力予以监督 监督风险及内部控制系统的工作 范畴及质量 企业全面风险管理 帮助董事会及管理层识别 评估风险 制定正确的风险管理应对策略 加强对风险的管理 定期向董事会和管理层提交风险状态报告 对风险进行 及时地监控 将风险与内部控制体系关联 为内部审计提供基础内部审计 基于风险评估的结果制定内部审计计划对于重大风险的内部控制系统的设计有效性和执行有效性进行审计向审计委员会汇报内部控制系统的运行情况向管理层提供管理建议 进一步降低风险 公司治理 企业全面 风险管理 内部审计 将风险管理与治理联系起来 59 与控制活动的对接 控制活动是企业根据风险评估结果 结合风险应对策略 确保内部控制目标得以实现的方法和手段 它确保必要的活动得到执行 以降低风险 达成企业的目标 控制活动贯穿于整个企业组织内 涉及所有的级别和部门 它包括一系列的行为 如 授权审批 验证 调节 业绩复核 资产保全 职责分工控制措施不是能够通过单一政策 制度或者规范进行梳理就能实现的 是需要贯穿于不同的业务流程及内部控制的各个层次的 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 61 内控手册投资者关系 外部合规业务流程规范化内控管理机构自我评估机制 了 内控手册 对 内控手册 的制定和更新 成为公司开展内控工作的基础 根据联交所 上市规则 要求 进行例行的内控自我评估检查 满足了外部监管法规对公司内控工作的监管要求 使得投资者对于公司的内部控制状况非常满意 提升了公司的价值 内控手册 的制定和更新 促进了公司制度建设 使得公司的业务流程更加完善 各项工作的开展更加清晰顺畅 内控管理机构的设立使得公司能够更有效的推进内部控制工作 保证了公司内部控制的顺利实施 提升了公司的内部管理水平 通过推行合理的内部控制自我评估机制 提升了各部门内部控制的知识和技能 加强了公司整体的内部控制意识 对接成果 企业集团内控最佳实务分享公司搭建了完善的公司治理架构 建立了完善的内部控制体系 颁布 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 62 企业最常问到的问题风险管理 内部控制 机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 63 内部控制 风险管理 内部控制与风险管理的关系 联系 COSO 企业风险管理 整合框架 明确指出 风险管理整合框架是以内部控制 整合框架为基础开发的 内部控制工作是风险管理工作不可或缺的部分 是风险管理工作的执行基础 差异 差异关注和管理的范围管理过程全面性 2011甫瀚咨询 上海 有限公司 内部控制主要关注的是企业内部的 可控的因素主要是通过过程和事后控制发现风险多由部门层级发起 缺乏公司整体层级的关注 可能造成风险遗漏 或者 对风险管理过度投入 风险管理内容还包括企业外部的 不可控的因素除了对过程和事后进行控制外 也强调了对风险的分析和预防保证所需管理风险的全面性 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 64 内部控制与风险管理的关系 续 差异 续 关注和管理的范围不同内部控制是通过政策规章及流程制度的设立和实施为企业经营目标 财务报告目标及合规目标提供合理保证 其工作的主要关注点是企业内部的 可控的各种因素 而风险管理工作的主要关注点则是影响企业目标 战略目标 经营目标 报告目标及合规目标 实现的所有不确定因素 既包括企业内部的因素 也包括企业外部的因素 既包括企业可控的因素 也包括企业不可控的因素 管理的过程不同内部控制更多的体现为管理的一项职能 主要是通过对业务的过程和事后的控制来发现风险 减轻对企业目标实现的影响 而风险管理除了对业务的过程和事后进行控制外 也强调了对业务所含风险的分析和预防 对风险的防范范围更加扩大 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 65 内部控制与风险管理的关系 续 差异 续 管理的全面性不同内部控制多是由部门针对某一业务线或者某一系统制定和规范流程政策 而缺乏与其他业务线或者系统的联系 可能造成对于部分需管理风险点的遗漏或者对某些风险点的控制成本投入过度 而风险管理通过建立风险管理组织架构对企业的风险进行全面管理 可以促进企业对需要管理的重要风险点进行合理管控 同时 从企业全局出发 平衡对重要风险点控制成本的投入 COSO企业风险管理 整合框架强调了企业风控管理组合观的概念 即某些风险在各业务线或者各系统内较小 但合并后对于企业整体可能无法承受 或者某些风险在各业务线或者各系统内较大 但是由于其他业务线或者系统存在对该部分风险的控制活动 因此 合并后对于企业整体变为可以接受 而不需要额外的控制活动 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 67 企业风险管理常用的技术方法关键风险指标 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 68 关键风险指标 KRI 的搭建关键风险指标 KRI 是指引起风险事件发生的关键成因指标 是用来考察企业风险状况的统计数据或指标 通过控制引发风险事件的关键风险指标 KRI 可以达到控制风险的目的 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 69 关键风险指标 KRI 的搭建 实务举例 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 70 关键风险指标 KRI 的搭建 实务举例 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 71 关键风险指标 KRI 的搭建 实务举例 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 72 关键风险指标 KRI 的搭建 实务举例 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 73 关键风险指标 KRI 的搭建 实务举例 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 74 大型企业集团风险管理面临的挑战及建议解决方案 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 75 大型企业集团的风险管理贯穿全集团 并且需要持续进行 企业在实施的过程中 难免会遇到各种各样的问题 我们将从如下几方面同大家一起讨论大型企业集团在执行风险管理的过程常遇到的问题 企业风险管理框架目标设定事件识别风险评估方法企业风险管理实施推广 风险应对控制活动信息与沟通监督 大型企业集团风险管理 常见问题 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 76 大型企业集团风险管理 常见问题 续 常见问题 解决方案 企业风险管理框架 在企业风险管理 战略计划和企业预算体系之间缺乏实质上的整合缺乏与企业战略计划的整合 未能将风险和战略挂钩 以及未能进行风险合并 在企业风险管理框架和战略计划缺失的前提下施行企 业风险管理 缺乏首席执行官强有力的支持 将企业风险管理视作一个独立的项目 而不是一个长 期持续的工作 仅仅将企业风险管理视作一个 兼职 的工作风险管理中的各角色缺乏合作 对其职责认知不足缺乏拥有相关经验的人员 同时忽视企业现有的风险管理能力 确立来自董事会 高级管理层或者业务负责人的支持 确保风险管理文化与企业战略的融合 风险管理方法论涵盖了企业整体的战略和流程风险管理 战略风险不是独 立的 明确风险管理中的角色及职责 保持充足的系统容量 77 常见问题 建议的解决方案 目标设定事件识别 目标设定不清晰 准确 完整 可能导致参与风险评估人员无法较好的理解风险 并进行有效的风险评估和应对风险事件识别不完整 程度 分类不准确 风险库中的风险事件更新不及时 导致与实际 公司发展脱节的情况 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 COSOII的四大目标作为分析的框架基础目标设定的SMART原则建立共同的风险语言 使用有效的风险模型 如ProtivitiRiskModel 作为分析基础 有效沟通 持续更新 大型企业集团风险管理 常见问题 续 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 78 常见问题 解决方案 风险评估方法 不恰当的风险评估计划对于商业风险评估的初步结果表现的无所适从企业风险管理操作 方法缺乏一贯性仅部分施行企业风险管理方案 战略风险管理被独立于企业总体风险管理体系之外不恰当的风险评估方法 对风险 风险结果 风险诱因及抱怨的混淆 未能获取或及时获取关键信息 采取自上而下的风险评估方式 关注支持企业发展战略的关键流程 并且能够在不同层面进行风险关联和风险合并选择试点 对风险涉及人员进行适当培训保持风险管理方法的一贯性IT技术只是支持业务运行的一个工具 企业风险管理实施推广 过多参与改进计划的制定过程 影响关键 风险负责人 的积极性及弥补计划的可操作性将企业风险管理视作一个 一劳永逸 的项目 并在 缺乏有序组织的情况下 期待项目带来明显效果 过早地在全集团范围内推行全面风险评估 无法及时解决因各分子公司个性所导致的问题 建立标杆样本 以通过成效快速获得支持和认同重视单位之间情况的迥异 实施有效的 配置 提供切实的反馈并进行适当的调整全面的推广不能操之过急 大型企业集团风险管理 常见问题 续 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 79 常见问题 建议的解决方案 控制活动 控制活动设计缺陷 如缺乏必要的权责分离 设计与实际脱节 无法得以执行 控制活动的执行与设计要求相背离 控制活动的定期评估与自我评估相结合 沟通渠道的畅通 控制缺陷或问题信息得以及时收集 并着手解决独立的监督检查与考核 风险应对 未在识别出重要风险并采取了管理策略基础上 进一步做好其排序工作 导致有限资源 未得到更集中 有效的投入 风险应对方案与流程脱节具体的应对措施与现有流程进行匹配与跟踪的工作 并作好记录 在风险排序的基础上制定有效的风险应对计划和具体方案 有效安排资源的投入 完善内控文档化建设 对于风险事件识别 应对策略 的确定及相关原因 应对策略与主要业务流程的关系确认 以及控制活动的完整性进行记录 记录的方式可以通过会议纪要 书面报告 流程描述或者是风险控制矩阵 大型企业集团风险管理 常见问题 续 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 80 常见问题 建议的解决方案 信息与沟通 人员变动引发的沟通不畅 信息未得到有效的传递和继承问题汇报的渠道不畅 单位间信息沟通不畅 经验教训未得到有效 的传播与共享 关键指标数据统计信息未得到妥善的记录 对新调换人员进行相关职能培训 确保其了解并掌握相关知识 建立完善的工作交接程序 定期安排对风险管理人员进行相关知识培训 如每三 个月进行一次 建立专门的风险管理沟通信箱 有效设定关键数据的收集与报告要求 逐步完善风险 指标的支持数据库 监督 缺乏持续监督缺乏独立监督或独立监督范围不足 监督工作缺乏必要的授权 工作执行不力 职能及职责的有效设计与授权与内部审计的协作与沟通 大型企业集团风险管理 常见问题 续 2011甫瀚咨询 上海 有限公司机密 此文件只供贵公司内部参阅 请勿复制或分发予第三方 81 问题与解答 2011甫瀚咨询 上海 有限公司对此报告保留最终解释权 保密资料 1 主要内容1 什么是公司治理2 中国企业公司治理现状3 公司治理的思路 2011甫瀚咨询 上海 有限公司对此报告保留最终解释权 保密资料 2 什么是公司治理 2011甫瀚咨询 上海 有限公司对此报告保留最终解释权 保密资料 3 经济合作发展组织对于公司治理的定义 OECD 公司治理是一套监管和管理公司业务的系统 公司治理架构列明公司内各个参与者的权利和责任分布 例如董事会 经理 股东和其他利益关系者 并说明公司事务的决策规则和程序 这套系统不但提供一个架构让公司定立目标 也提供各项达致目标和监察表现的方法 经营管理机构 监督机构 公司治理的定义权力机构 2011甫瀚咨询 上海 有限公司对此报告保留最终解释权 保密资料 4 公司治理的定义 续 公司治理是指诸多利益相关者的关系 主要包括股东 董事会 经理层的关系 这些利益关系决定企业的发展方向和业绩 公司治理讨论的基本问题 就是如何使企业的管理者在利用资本供给者提供的资产发挥资产用途的同时 承担起对资本供给者的责任 利用公司治理的结构和机制 明确不同公司利益相关者的权力 责任和影响 建立委托代理人之间激励兼容的制度安排 是提高企业战略决策能力 为投资者创造价值管理大前提 在最广泛的层面 公司治理包含了规则 关系 制度和程序 简而言之 公司治理结构是一种旨在对公司内部各利益相关者的相互关系和行为进行约束和规范 以实现公司经营目标的制衡机制 5 非上市公司 上市公司 低 高市 场对公 司治理结构的要求 合伙制企业 所有者即经营者 所有者拥有一切的经营信息 无董事会等机构 无公司治理结构 企业所有者是数目有限的股东 只需向股东定期披露经营信息 可以根据经营规模大小考虑是否设置董事会及监事会 对公司治理结构的要求高 企业所有者是广大的社会公众 公司的所有权 股权高度分散 社会公众对公司的各类信息披露要求很高 必须依法设置股东大会 董事会及监事会 对公司治理结构的要求最高 高 2011甫瀚咨询 上海 有限公司对此报告保留最终解释权 保密资料 低 股权集中程度 企业发展对公司治理的要求 2011甫瀚咨询 上海 有限公司对此报告保留最终解释权 保密资料 6 所有权 控制权 监督权 经营权四权分立 公司所有权 corporateownership 该权利是公司出资人的权利 它决定着公司剩余的分配 是公司控制权的基础 公司控制权 corporatecontrol 该权利本质上是决定公司董事会成员任免的权利 该权利属于所有者或股东 公司治理权 corporategovernance 该权利是董事会对经理人员的管理和经营行为进行监控的权利 公司经营权 corporatemanagement 该权利是公司经理人员所从事的公司日常经营和管理活动 包括计划 组织 指挥和协调等 2011甫瀚咨询 上海 有限公司对此报告保留最终解释权 保密资料 7 对股东会负责 作为公司的经营管理机构 委托经理进行公司经 决定董事会和监事会人选 对董事会 监事会工作进行 对股东会负责 代表股东会监督公司经营 营 对董事会负责 进行公司经营的执行工作 股东会 董事会 授权 不随便干预董事会工作监事会 经理层 所有权 控制权 监督权 经营权四权分立 续 2011甫瀚咨询 上海 有限公司对此报告保留最终解释权 保密资料 8 公司治理结构遵循的一般原则 保护性 公司治理结构的首要目标就是保护股东的各项权益 股东有能力通过董事会 监事会对公司经营层进行有效监控 公平性 保证公平合理地对待公司所有的股东 包括小股东及外方股东 所有股东都有机会纠正其不当行为 责任性 承认利益相关者的合法权利 遵守相关法律法规 并通过与利益相关者的密切合作 提高企业的社会效益并实现持续发展 透明性 确保公司信息得到及时准确地披露 包括公司的财务状况 经营绩效 所有权信息以及监管信息等 职责性 明确董事会的角色与职责 董事会既要对公司负责 也要对股东负责 确保董事会对公司的战略性指导及对经营层的有效监督 2011甫瀚咨询 上海 有限公司对此报告保留最终解释权 保密资料 9 中 美 港公司治理主要内容 项目 中国 美国 香港 主要法规 公司法 上市公司治理准 则 证监会 等 萨班斯法 等 证券法 证券交易法 证券与期货条例 上市 规则 企业管治常规守则 等 主要内容 股东大会 控股股东与上市公司 董事与董事会 独立董事制度与董事会议事规则 董事会专门委员会 战略委员会 审计委员会 提名委员会 薪酬与考核委员会 绩效评价与激励约束机制 相关利益者 信息披露与透明度 股东大会 董事与董事会 独立董事制度 董事会专门委员会 审计委员会 提名委员会 薪酬与考核委员会 信息披露与透明度 内部审计 董事 董事会组成 董事责任 董事与高级管理人员薪酬 问责与核数 包括财务报告及内部控制 审核委员会 董事会权力转授 与股东沟通 信息披露 2011甫瀚咨询 上海 有限公司对此报告保留最终解释权 保密资料 10 中 美 港公司治理要求的特点 美国 项目规定的强制性关注大股东与上市公司 的关系 中国较高非常关注 有详细规定 高一般 香港较低非常关注 有详细规定 强调股东大会 强调 一般 更强调董事会的 作用 强调 强调董事会完善的独立董事制度包含薪酬系统强调内部审计的作用监事会 一般配套制度较差有明确的薪酬方面的规定一般有 非常强调完善由公司自行规定 没有法规规定强调无 强调比较完善有明确的薪酬方面的规定强调无 2011甫瀚咨询 上海 有限公司对此报告保留最终解释权 保密资料 11 公司治理 董事会需要及时了解公司的重大风险的性质及对公司战略目标的影响程度 对管理层管理风险的活动和能力予以监督 监督风险及内部控制系统的工作范畴及质量 全面企业风险管理 帮助董事会及管理层识别 评估风险 制定正确的风险管理应对策略 加强对风险的管理 定期向董事会和管理层提交风险状态报告 对风险进行及时地监控 将风险与内部控制体系关联 为内部审计提供基础 内部审计 基于风险评估的结果制定内部审计计划 对于重大风险的内部控制系统的设计有效性和执行有效性进行审计 向审计委员会汇报内部控制系统的运行情况 向管理层提供管理建议 进一步降低风险 公司治理 全面企业风险管理内部审计 公司治理和风险管理及内部审计的关系 三 中国企业内部控制现状与困惑 2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释权 保密资料 1 主要内容中国企业内部控制现状中国企业内部控制改进中的困惑 2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释权 保密资料 2 中国的内控发展 中国人的特性 规则与人情 精确与模糊 坦率与委婉 冒险与中庸 解剖与系统