如何建立风险与内控管理体系.ppt

如何建立风险与内控管理体系 金蝶软件 中国 有限公司 一位财务总监的破冰之旅 公司正面临哪些风险 最大的风险来自何方 如何应对与化解风险 怎样保证风险治理成果 新的征程在那里 让我们开始风险管控之旅吧 报告主题 上市公司风险面面观什么是风险管理框架建立风险与内控体系的途径内部控制成果的评价风险与内控的信息化解决之道 报告主题 上市公司风险面面观什么是风险管理框架建立风险与内控体系的途径内部控制成果的评价风险与内控的信息化解决之道 上市 是企业发展的加速器 企业经营 企业融资 集团经营 企业投资 管控风险稳健扩张 小型企业 中型企业 大型企业 集团企业 上市 封闭公司向公众公司转变的要求 战略风险经营风险合规风险 财务报告信息披露关联交易 经济附加值投资回报 证监会投资人银行 两权分离三会分立 触目惊心的事实 促使全球商界 金融界 政府重新审视上市公司风险控制的内部制度和外部环境 公司上市就一定会成功吗 2008年 美国著名投行贝尔斯登等倒闭 2002年美国世通公司丑闻 2001年美国安然公司倒台 1997年日本八百半公司破产 1995年英国巴林银行的破产 2008年中信泰富因外汇衍生金融工具而亏损20亿美元 2008年香港合俊集团因金融危机倒闭 2004年中航油炒作原油期货巨亏5 5亿美元 1998年香港百富勤投资集团破产 银广夏造假 达尔曼资金黑洞 托普神话 德隆危机 内部风险控制的疏漏导致 我国上市公司风险一览 上市公司风险 灾害风险 经营风险 组织风险 法律风险 财务风险 系统风险 债务危机清算危机收购危机发行危机 系统性危机 决策失误营销失败科研失败信用危机退市危机 重大事故自然灾害核心人物意外 反倾销危机知识产权劳动纠纷违规违法 组织结构危机内部冲突危机治理结构危机 集团管控的九大难题 管控模式选择难跨地多元管控难集团战略执行难 信息孤岛沟通难财务信息反馈难决策信息获取难 资金监控调度难成本费用降低难人力资源统管难 强化风险管控对上市企业管理提出新的要求 万科 中国房地产行业的领跑者和长青树 30年来 房地产行业群雄并起 涌现出一大批规模 利润 品牌优秀的企业 这其中万科始终以其规模 业绩 品牌和经营质量独占鳌头 被誉为中国房地产行业的长青树 2008年市场占有率逆市上升 万科在资本市场的表现 万科30年发展历程中的2次重要战略演变 涉及商业 地产 贸易 传媒等多元化发展 涉及住宅 商业 工业地产 通过成本管理能够创造几亿甚至十几亿的利润空间 万科运用金蝶EAS系统 成本管理已经能精细化到一根电线 EAS系统领先业内同行数年 金蝶EAS实现了财务 成本 资金 审批流程的良好集成 为万科提供了数据共享的快乐 万科成本管理部总经理刘石磊 信息化手段是万科实现精细化管理的利器 目录 上市公司内部控制风险面面观什么是风险管理框架我国上市公司风险管理现状 企业内部控制基本规范 概要建立风险导向的内部控制框架体系实施风险与内控的途径 方法企业内部控制成果的评价信息化 企业风险与内控解决之道 我国上市公司风险管理现状 德勤华永会计师事务所有限公司最新 中国上市公司内部控制调查分析报告 的调查结果显示 中国上市公司约58 82 的企业为应对金融危机而指定了专门的部门落实风险管理和内控工作 但是 仅有23 53 的企业将内控工作的重点从书面制度转变为具体实施 仅约17 65 的企业进行了内部控制评价 缺乏对风险意识和企业文化的重视企业治理结构有待完善 人治 代替 法制 的观念根深蒂固内部控制体系与企业运营难以有效结合内部控制的执行力难以保证内部控制信息沟通不畅信息系统控制薄弱 实物牵制 薄记牵制 COSO内部控制整体框架 企业全面风险管理COSOERM框架 内控评价内部审计 1940 s 1940 s 1970 s 1980 s 1990 s 1990 s 21世纪 内部牵制 内部控制结构完善 控制环境 会计系统 控制程序 控制环境 风险评估 控制活动 信息沟通 监督 建立内控 数据准确一致 内控可靠性 控制环境 目标设置 事件辨识 风险评估 风险反应 控制活动 信息沟通 监督 风险管理的发展 企业内部控制基本规范 五目标 五原则 五要素 全面性原则重要性原则制衡性原则适应性原则成本效益原则 合法合规资产安全财务报告经营绩效战略实现 七项一般控制措施不相容职务分离控制授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制 财政部 证监会 审计署 银监会 保监会五部委共同发布 内部环境风险评估控制活动信息与沟通内部监督 五个五 五目标 五原则 五要素 五部委发布共五十条 建立内部控制体系的技术依据 企业内部控制基本规范 企业内部控制应用指引 企业内部控制评价指引 企业内部控制鉴证指引 2008年6月28日财政部 证监会审计署 银监会保监会五部委联合发布 适用于企业 监管机构 咨询方 审计师 适用于审计师 内部控制应用指引 1 组织架构及权责分配 治理结构 机构设置 权责分配 内部审计 总分公司等内容 2 母子公司 母子公司治理结构下母公司对子公司的控制问题 3 安全环保与社会责任 理念 制度 投入 管理 检查等内容 4 人力资源管理 扩充原内容 对人力资源进行全方位 全过程控制 5 货币资金 扩充内容 不局限于收付程序的审批 对资金管理中的高风险问题进行提示 6 采购与销售 购销高风险业务环节控制 对以下各业务与事项的控制相似 7 工程及实物资产8 研发及无形资产9 筹资 10 对外投资11 运营管理 生产经营过程控制 12 信用管理 授信管理问题 包括对往来客户 分子公司等的授信政策和管理等 13 预算管理14 担保与投保15 合同协议与法律事务16 重组与并购17 关联交易18 内部报告与信息系统 侧重内部报告机制建设和信息系统安全控制 包括反舞弊问题等 19 对外报告 含信息披露 20 银行业务 含信托业务 21 保险业务22 证券业务 含基金业务 应用指引项目构成 征求意见稿 内部控制评价指引 内部控制评价 是指由企业董事会和管理层实施的 对企业内部控制有效性进行评价 形成评价结论 出具评价报告的过程 内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证 企业实施内部控制评价 包括对内部控制设计有效性和运行有效性的评价 信息系统的有效性评价包括信息系统一般控制评价和信息系统应用控制评价 企业集团对被评价单位内部控制的有效性的评价 内部控制评价的内容和标准 内部控制评价工作方案内部控制评价工作程序内部控制评估和测试的方法内部控制有效性相关的证据内部控制有效性相关的判断内部控制评价证据保存内部控制评价证据报告 内部控制评价的程序和方法 内部控制缺陷分类 一般可分为设计缺陷和运行缺陷 内部控制缺陷判的断则内部控制缺陷判的整改年度内部控制评价报告 内部控制缺陷认定和评价报告 总则 适用范围 概念 基本原则 评价组织 内部控制鉴证指引 企业内部控制鉴证 是指会计师事务所接受委托 对企业与财务报告相关的内部控制的有效性进行鉴证 并发表鉴证意见 企业内部控制鉴证指引是注册会计师执行企业内部控制 以下简称内部控制 鉴证业务的业务规范 制定鉴证计划 实施鉴证工作 评价控制缺陷 评价控制缺陷 完成鉴证工作 鉴证报告 工作底稿 总则 企业内控与风险管理观念的转变 低层次 经营层次 风险监控是内部审计人员的职能 风险是一个需要控制的负面因素 风险管理在企业各部分个别展开风险管理的责任被委派到低层次的人员风险的衡量是主观的无组织以及杂乱的风险管理职能 注重操作 董事会关注 是CEO的工作 也是董事会的监管 风险其实是一个机会在整个企业范围内进行一体化的风险管理风险管理的责任由高级和部门管理人员承担风险的数化风险管理被纳入所有企业管理系统 内控与风险管理的三大动力 管控需要 环境变化 法规要求 企业 国际 COSO SOX等国内 企业内控规范 指引等 全球经济一体化全球经济危机 提高战略执行力的需要强化企业 集团 管理控制 内控与风险管理的三大需求 公司层面 流程层面 将内部控制嵌入管理流程 实现管理和业务过程的内部控制 法规层面 建立和遵从内控制度的相关记录与报告 建立公司内控与风险管理环境 监控内控与风险管理体系的运行 违规防范降低认证成本 风险管理实现稳健经营 内部控制强化战略执行 三大需求是企业的普遍需求 其中内部控制是各类企业的基本需求 上市类公司及国资委企业出于法规的要求对风险管理有较高要求 金融类公司出于国际 国内法规要求对违规防范 合规管理 有更高要求 内控与风险管理的三大价值 奠定基础 稳健成长 法规遵从 以客户为导向 优化重组流程 确保业务流程协调一致 高效运行 引入风险意识 将内部控制嵌入企业日常管理与业务流程中 以战略为目标 整合优化流程 实现企业战略执行与内部运营的和谐 以战略为导向 纳入风险管理意识 建立企业内控与风险管理环境 以内控体系为基础 建立全面的风险监控体系 以风险预警为手段 全面监控企业战略风险 确保企业稳健成长 以相关政策法规为指南 建立内控与风险管理体系 以内控与风险管理体系为保障 确保企业运行符合相关政策法规要求 以内控与风险管理体系的合理设计与有效运行为基础 履行法规要求的记录与报告责任 内控与风险管理的三大障碍 缺乏良好的控制环境法人治理结构不健全 内部控制的外部约束较弱 公司治理结构中责任不到位 缺乏绩效考核对内部控制与风险管理的引导机制高管层缺乏自主控制意识没有形成重视风险的控制文化 缺乏内部控制方法理论缺乏理论指导 以最佳实践为参考 注重对事件本身的控制 忽视对责任人的行为尤其是高管层行为的控制 没有完善的行权 职责 反馈 改进规范 把内控看成一套制度 而不是过程 缺乏动态理念 崇尚经验式管理对管理的有效性和制度的适当性缺乏评价标准制度拟定部门从自身利益考虑 造成跨部门流程断裂或交叉对重要的职责与权限划分有较大的随意性 重权力划分 轻责任归属缺乏系统的风险评估方法和工具缺乏定期反馈和修正机制 就内部控制建设而言 目前国企最缺乏的是制度化的风险评估以及科学的风险应对策略 内部控制环境是内部控制是否有效的关键因素 内控方法论应在行为管理学理论基础上创新发展 内部环境基本框架 一个基础三道防线一种文化 企业风险管理文化 一个基础 公司治理结构 狭义的公司治理是指一组联结并规范公司股东 董事会 经理人之间责 权 利关系的制度安排 广义上 公司治理还包括公司与其他利益相关者 Stakeholder 如员工 客户 供应商 债权人和社区等 之间的关系 以及有关的法律 法规和上市规则等 公司治理提供了对风险由上而下的监控与管理 近年多个国家都订立了公司治理的最佳守则 美国 纽约证交所最佳治理守则英国 Cadbury HampelReport TheCombinedCode加拿大 DeyReportOECDReport这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任 公司治理结构的内控职责 企业应当根据国家有关法律法规和企业章程 建立规范的公司治理结构和议事规则 明确决策 执行 监督等方面的职责权限 形成科学有效的职责分工和制衡机制 股东 大 会 董事会 经理层 监事会 享有法律法规和企业章程规定的合法权利 依法行使企业经营方针 筹资 投资 利润分配等重大事项的表决权 对股东 大 会负责 依法行使企业的经营决策权 负责风险与内控建立健全和有效实施 负责组织实施股东 大 会 董事会决议事项 主持企业的生产经营管理工作 负责组织领导企业内控与风险管理的日常运行 对股东 大 会负责 监督企业董事 经理和其他高级管理人员依法履行职责 对董事会建立与实施内控与风险管理进行监督 风险管理组织体系及其职责 三道防线 风险管理组织体系 业务单位包含了企业大部分的资产和业务 它们在日常工作中面对各类的风险 是企业的前线企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中 才能建立好防范风险的第一道防线 第二道防线是风险管理委员会风险管理部职责包括 编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统 厘定关键风险指标负责风险信息披露 沟通 协调员工培训和学习的工作按风险与回报的分析 为各业务单位分配经济资本金 第三道防线涉及一个独立于业务单位的部门 监控企业内控和其他企业关心的问题 内部审计的三大功能 财务监督 包括财务帐的可用性 内部管理和制度的执行 经营诊断 包括管理审计以及效率和效益审计 检查和诊断经营和管理过程中的偏差和失误 咨询顾问 包括企业风险管理和发展策略方面的咨询 调查领导关心的热点问题和管理薄弱环节 风 险 业务单位防线 第二道防线 第一道防线 第三道防线 风险管理单位防线 内审单位防线 目录 上市公司风险面面观什么是风险管理框架实施风险与内控的途径企业内部控制成果的评价信息化 企业风险与内控解决之道 构建风险与内控体系的五个阶段 测试 总结 评估 计划 推广 内部控制体系构建的计划阶段 项目计划的制定项目启动的准备工作项目范围的确定项目的时间和人员预算培训 计划阶段 项目计划的制定 建立项目组 审计委员会 项目领导小组 A公司 CEO 咨询方 合伙人 领导团队 项目管理办公室 A公司 副总 负责经理 咨询方 负责合伙人 负责经理 执行团队 技术支持团队 咨询方 合伙人 经理 办公室和办公设施 集中的办公场所电脑 互联网 电话 电话会议或视频会议 打印设备等 项目运作基础管理办法 项目运营的内部政策 如技术指令的发布程序 技术资料的保管程序 项目组资料的保密要求 项目工作成果审核办法 考核办法出差住宿的相关政策 项目组动态联系方式 项目组联系清单 姓名 所属公司 所属团队 办公电话 手机号码 邮箱 计划阶段 项目计划的制定 项目启动的准备工作 计划阶段 项目计划的制定 项目范围的确定1 了解企业内部控制现状企业的组织架构 包括企业本部或总部的部门设置 还包括整个企业集团内的组织结构 分析业务类型 确定不同的业务类型对企业集团重要财务指标的贡献度 企业内部控制体系的现状管理层目前对内部控制的看法 内部控制调查方法阅读 财务报告 组织结构图 部门权责 相关业务流程问卷 网上发布 手工填写 收集整理访谈 对有代表性部门的重要岗位人员进行访谈 计划阶段 项目计划的制定 公司运营现状记录表 样例 公司经营现状 背景信息组织结构及重要业务单元 公司整体组织框架 业务单元或单位企业1 业务单元或单位企业2 业务单元或单位企业3 业务单元或单位企业 重要流程 业务流程1 业务流程2 业务流程3 业务流程 重要系统 整体it组织框架背景信息 系统1 系统2 系统3 系统 审计及风险考虑事项财务报告目标 截止性 有效性 完整性 估价 记录 表达 计划阶段 项目计划的制定 项目范围的确定2 确定具体的项目范围方法一 以公司具体业务作为项目范围 如全面预算 合同管理 采购业务 销售业务 研究与开发 资金活动 资产管理 工程项目 银行业务 证券期货业务 保险业务 担保业务 业务外包 财务报告等业务 方法二 按照重要性原则 确定具体的项目范围主要是为了满足 财务报告及相关信息的真实 完整 的目标 计划阶段 项目计划的制定 确定重要性项目的财务报表分析法第一步 确定重要性水平 如总资产的0 5 1 税后净利润的5 10 净资产的1 营业收入的0 5 1 第二步 根据重要性水平 选择单独重要的单位 第三步 考虑定性因素 确定单独重要的单位 第四步 考虑覆盖率 确定重要单位第五步 确定重要的会计报表科目和披露事项第六步 根据第五步确定重要的业务流程第七步 利用覆盖率 确定需要纳入范围的具体业务流程第八步 最后的定性考虑 计划阶段 项目计划的制定 概要重要的普遍存在的流程管理信息技术管理财务报告与关账管理披露重要的交易流程资金管理采购与支出收入与成本核算固定资产工资与人事存货管理 计划阶段 项目计划的制定 项目的时间和人员预算项目时间安排用倒推法1 披露内部控制评估报告和审计报告2 董事会审议内部控制评估报告 审计师出具审计报告 3 管理层进行的内部控制测试及审计师实施的内部控制审计4 管理层进行的内部控制测试及内部控制的整改 5 内部控制梳理及构建 计划阶段 项目计划的制定 培训1 项目组内的技术培训 统一技术语言 掌握相关技术 确保项目顺利进行 主要采用课堂式讲授 小组讨论 角色扮演 2 项目组外人员的培训 介绍内部控制的基本理念 内部控制优化的重要意义 需要各部门什么样的配合和支持等 课堂式讲授 构建风险与内控体系的五个阶段 测试 总结 评估 计划 推广 评估阶段 风险识别风险评估控制活动的识别风险应对风险控制 评估阶段 风险识别 风险识别 要了解企业面临的风险有哪些 他们各自的风险因素是什么 如果发生会有什么后果 导致风险事故的原因有哪些 风险识别中的关键问题 风险识别方法的选择风险识别路线的选择风险系统的预测和以往资料的利用 公司层面风险示意图 2008年7月份 邀请专家组织开展了全面风险管理工作的专项培训 对于全面风险办公室成员及部分员工进行了较为系统的培训 培训会后 下发了调查问卷 通过问卷调查的方式 在集团 股份总部职能部室 事业部本部及国际贸易部范围内进行广泛征集 共收到风险事件371件 经过汇总 分类 风险辨识分析 调整等环节 初步搭建完成PTAC风险分类框架 形成了PTAC风险事件库 包括战略 财务 市场 运营 法律五个大类 28项风险 共计143条风险事件 某企业集团风险管理评估案例 49 50 一 风险识别工作 风险类别定义 战略风险 财务风险 市场风险 运营风险 法律风险 一 风险识别工作 风险框架及风险事件分布 51 在全面风险辨识的基础上 结合公司内 外部情况 对风险事件从可持续发展能力的影响 财务方面的影响 以及发生可能性等三个维度请各部门总经理对风险事件进行了逐条评估 打分 根据风险评估问卷调查结果通过加权汇总计算以及定量 定性分析 在对风险进行排序的基础上 绘制了 PTAC风险坐标图 将风险划分为高 中 低三级 二 风险评估工作 52 风险发生可能性分析 风险发生可能性分析表 影响程度 发生可能性 54 高风险8项 低风险1项 中风险19项 二 风险评估工作 PTAC风险分布坐标图 二 风险评估工作 重大高风险列表 55 八项重大高风险 发生可能性和影响程度都很高的风险 红色区域 二 风险评估工作 中风险与低风险 11 三 重大高风险分析 战略类风险 57 A 风险基本信息 B 该风险在企业的表现形式 C 风险举例 A 三 重大高风险分析 战略类风险 58 A 风险基本信息 B 该风险在企业的表现形式 C 风险举例 A 三 重大高风险分析 财务类风险 59 A 风险基本信息 B 该风险在企业的表现形式 C 风险举例 A 三 重大高风险分析 财务类风险 60 A 风险基本信息 B 该风险在企业的表现形式 C 风险举例 A 三 重大高风险分析 财务类风险 61 A 风险基本信息 B 该风险在企业的表现形式 C 风险举例 A 三 重大高风险分析 市场类风险 62 A 风险基本信息 B 该风险在企业的表现形式 C 风险举例 A 三 重大高风险分析 运营类风险 63 A 风险基本信息 B 该风险在企业的表现形式 C 风险举例 A 三 重大高风险分析 运营类风险 64 A 风险基本信息 B 该风险在企业的表现形式 C 风险举例 A 风险后果评价举例 重要性水平 一 工作内容介绍 二 报告工作成果 四 提出初步建议 三 分析查找原因 制作全面风险评估报告 主要内容介绍 项目启动建立组织机构风险辨识分析风险评估 风险事件库风险分类框架风险图谱重大高风险 组织相关责任部门对重大高风险进行研究 分析其产生的原因 暴露存在的问题 根据重大风险产生的原因 提出初步改进建议 66 评估阶段 风险应对 风险应对即针对各类重大风险事项 例如财务报告合规相关风险 制定应对方案 降低可能的损失 提高机会收益 其核心功能主要包括了风险与控制应对 剩余风险评估 监控对策等 风险应对的主要策略 避免风险控制风险分散与中和风险承担风险转移风险集中风险 风险应对 避免风险 任何经济单位对风险的对策 首先考虑到的是避免风险 尤其是对静态风险尽可能予以避免 凡风险所造成的损失不能由该项目可能获得利润予以抵消时 避免风险是最可行的简单方法 局限性只有在风险可以避免的情况下 避免风险才有效果 有些风险无法避免 有些风险可能避免但成本过大 消极地避免风险 只能使企业安于现状 不求进取 风险应对 避免风险 避免风险的方法还可以分为完全避免和部分避免两种 完全避免 就要不惜放弃伴随风险而来的盈利机会 部分避免 主要取决于成本因素和非经济因素 如果避免收益大于避免成本 就可以考虑避免 否则可以不要避免 是否部分避免还取决于社会心理 道德 美学等方面的因素 在采取部分避免风险时 往往还有两种战略 一种是进攻性战略 即在高收益和低风险 替代选择 中 挑选高收益而不顾忌风险 另一种是防守战略 即在高收益和低风险的 替代选择 中 挑选低风险而不在乎收益 风险应对 控制风险 在风险不能避免或在从事某项经济活动势必面临某些风险时 首先想到的是如何控制风险发生 减少风险发生 或如何减少风险发生后所造成的损失 即为控制风险预防和抑制风险 控制风险主要有两方面意思 一是控制风险因素 减少风险的发生 二是控制风险发生的频率和降低风险损害程度 要控制风险发生的频率就要进行准确的预测 如对汇率预测 利率预测 债务人信用评估等 要降低风险损害程度就要果断地采取有效措施 如在股票投资中采用心理界线法 也称心理目标法 当股价下跌到一定程度 心理界线 时就要毫不犹豫地抛出 以防股价进一步下滑而造成更大的损失 风险应对 分散与中和风险 分散风险 主要指经济单位采取多角经营 多方投资 多方筹资 外汇资产多源化 吸引多方供应商 争取多方客户以分散风险的方式 中和风险 主要是指在外汇风险管理中所采用的决策 如减少外汇头寸 期货套期保值 远期外汇业务等以中和风险 风险应对 承担风险 企业既不能避免风险 又不能完全控制风险 分散风险 中和风险或减少损失时 只能自己承担风险所造成的损失 经济单位承担风险的方式可以分为无计划的单纯自留或有计划的自己保险 无计划的单纯自留 主要是指对未预测到的风险所造成损失的承担方式 有计划的自己保险是指已预测到的风险所造成损失的承担方式 如提取坏账准备金等形式 风险应对 转移风险 经济单位为了避免自己在承担风险后对其经济活动的妨害和不利 可以对风险采用各种不同的转移方式 如进行保险或非保险形式转移 现代保险制度是转移风险的最理想方式 如单位进行财产 医疗等方面保险 把风险损失转移给保险公司 此外 单位还可以通过合同条款规定 把部分风险转移给对方 风险应对 集中风险 保险企业和大型集团性企业主要采用风险集中的方法 如保险企业向许多投保单位收取保险金 虽然每个单位交的数目很小 但加在一起数目就很大 足以用来应付风险 这就是保险集中的方法 由于大型集团企业分支机构多 通过预测 每年要求各分支机构交少量管理费 由集团公司自己承担某些风险 而不利用保险 评估阶段 风险控制 古人云 有控则强 失控则弱 无控则乱 不控则败 评估阶段 风险控制 企业内部控制基本规范 第二十八条 企业应当结合风险评估结果 通过手工控制与自动控制 预防性控制和发现性控制相结合的方法 运用相应的控制措施 将风险控制在可承受度之内 控制措施一般包括 不相容职务分离控制 授权审批控制 会计系统控制 财产保护控制 预算控制 运营分析控制和绩效考评控制等 内部会计控制 会计组织控制会计机构会计基础实物资产控制防舞弊控制防盗控制防损控制纪律控制职责分工内部监控制度 评估阶段 风险控制 内部管理控制 组织控制 人事控制 业务操作与产品质量控制 风险与安全控制 管理技术控制 业务控制 职务分离控制制度约束控制程序控制安全控制监督 内部控制 评估阶段 风险控制 企业风险控制应遵循原则 合法性原则 一贯性原则 成本效益型原则 实用性原则 相互制约性原则 整体性原则 企业风险控制原则 评估阶段 风险控制 风险控制执行流程 市场环境 任务和目标 风险评估 测试评价 实现目标 持续改进 控制标准 设计控制系统 执行控制系统 适当性 有效性 评估阶段 风险控制 企业风险措施制定流程 信息反馈 设计 改进 评价 执行 持续改进 风险评估 信息反馈 评估阶段 风险控制 建立内控责任制度 评估阶段 回顾总结 风险识别风险评估控制活动的识别风险应对风险控制 构建风险与内控体系的五个阶段 测试 总结 评估 计划 推广 小规模企业 一般会选择2 3个稍简单的业务流程作为试点 试点和推广之间相隔的时间一般很短 推广阶段 不同类型企业的选择 业务统一的大型企业 要选择有代表性的单位进行试点 确定出能够满足监管要求 由无缝嵌入企业生产经营活动各环节的控制手段推广时间需要4 6个月的时间 业务多元化的大型企业 要选择各行业有代表性的单位进行试点 根据行业特点制定不同的内部控制标准模板推广时间依难度和人员而定 一般在1年左右时间 推广阶段 主要工作内容 在理解标准模板的基础上 对标准的控制活动进行本地化 即按照标准模板的要求 识别出适用于本单位的本地化的控制活动 用统一的格式记录这些本地化的控制活动 形成内部控制文档 按照这些本地化的控制活动执行 使这些本地化的控制活动成为正常生产经营活动的一部分 并确保这些控制执行有效 推广阶段 推广指导小组的工作任务 组织培训工作 确保推广单位理解相关的知识和要求现场指导推广工作 确保识别出的本地化控制活动满足标准模板的要求 复核推广单位记录的内部控制文档 在时间允许的情况下 抽查内部控制的实际执行情况 若发现缺陷 则提出改进的建议 推广阶段 集团企业的推广建议 选取一个单位试点按照二级子集团推广在子集团中按照业务类型和管控力度采取不同方式对下属单位管理集中程度较高的 业务管理模式一致的 采取一次性全面推广的办法 并由子集团公司派员会同项目组成员对下属各推广单位的推广效果进行检查对于下属各单位管理差异较大 采取分两批推广的办法 在第一批推广展开时候 自第二批单位中临时抽调人员参与推广 构建风险与内控体系的五个阶段 测试 总结 评估 计划 推广 测试阶段 目的 通过对风险控制点的实际情况进行有效性检测 以确定 1 各业务流程中的控制是否依照公司内部控制的规定运行 2 向公司报告测试结果及失效控制点的整改建议 监督整改落实情况 3 为公司董事会出具内部控制评价报告提供依据 测试阶段 测试标准 内部控制测试 控制活动设计的有效性 控制活动执行的有效性 是否合规是否可操作 对各控制点的实际执行情况进行检测 测试阶段 主要工作内容 测试范围执行人员测试工具测试前的培训工作测试工作底稿提交和审核的时间点各流程组的工作底稿审核流程测试工作底稿的统计和归档 测试阶段 测试工具 过程流程图风险与控制矩阵风险与控制参考手册使用内部行业或同行的信息确定基准计算机辅助审计系统风险与控制自我评价讨论会调查问卷动员会 测试阶段 测试活动流程图 测试阶段 三类缺陷判断方法 测试阶段 流程层面缺陷评估步骤 确定受缺陷影响的会计科目和披露事项判断错报发生的可能性计算潜在影响金额检查是否存在补偿性控制活动确定考虑补偿性控制活动后的潜在影响金额根据错报发生的可能性和潜在影响金额 判断缺陷类型考虑定性因素重新认定缺陷类型 测试阶段 公司层面缺陷评估步骤 控制缺陷在公司中的普遍性控制缺陷对公司层面各组成要素的相对重要性产生错误风险增加的迹象 根据以往错报记录 舞弊的可能性 包括管理层越权的风险 控制运行有效性方面已发现的例外情况的原因和频率缺陷可能导致的后果 构建风险与内控体系的五个阶段 测试 总结 评估 计划 推广 总结报告阶段主要工作要点 报告考核工作成果归档和移交项目组成员后续安排项目回顾与经验总结 总结阶段 报告与总结 上市公司向公众和投资者股东的报告 1 审计报告 必须包括的报告 2 公司治理报告 一般包括的报告 3 企业可持续发展报告 4 风险因素披露报告 5 企业全面风险管理报告 6 企业的社会责任报告 7 环境报告 8 质量报告 9 企业内部控制程序与原则 10 损失事件和损失报告 11 某些行业特定风险报告 内部控制体系项目路线图 项目计划 内控项目具体计划 组建项目管理办公室 控制环境 风险评估 技术方案 项目团队组建培训 试点单位控制活动识别与归档 推广单位控制活动测试及缺陷整改 项目交接 项目验收 推广 项目结束 培训及知识转移 绩效提高 技术方案更新及实施 变更管理及监督 项目沟通 项目管理及质量保证 制定标准模板 信息与沟通 1 2 3 4 5 6 4 7 8 9 10 11 12 基础活动 目录 上市公司风险面面观什么是风险管理框架实施风险与内控的途径 方法企业内部控制成效的评价与鉴定信息化 企业风险与内控解决之道 企业内部控制成效的检验 企业内部控制基本规范 企业内部控制应用指引 企业内部控制评价指引 企业内部控制鉴证指引 2008年6月28日财政部 证监会审计署 银监会保监会五部委联合发布 企业董事会 股东会 经营层 外部审计师 企业内部控制评价 意义 风险管理评价的程序 评价准备评价实施评价报告后续审计或评价 风险管理评价的程序 风险管理评价的程序 评价准备 收集评价资料非现场评价结果汇总分析制定评价方案组成评价组征求上级有关单位对被评价单位的评价意见发出 风险管理与内部控制评价通知书 评价准备 被评价单位提供的资料清单 资料名称 评价准备 被评价单位各部门提供资料清单 评价实施 健全性测试 健全性测试主要是了解 检查和评价企业各种业务和事项中的风险是否被识别 关键风险点的定位是否准确 是否有相应的管理和控制制度 措施 五种测试方式问卷调查询问调查查阅被评价单位各项管理制度和相关文件以及风险管理与内部控制过程中形成的文件和记录观察被评价单位业务活动和内部控制的实际运行情况 了解被评价单位内部控制体系的基本情况 穿行测试 流程图比较 评价实施 健全性测试 风险管理与内部控制缺陷登记表 被评价单位 评价实施 初步评价 风险管理与内部控制健全性测试结果登记表 评价实施 符合性测试和评价 符合性测试主要检查在实际业务环节活动中企业是否贯彻风险与内控制度符合性测试样本数量的确定 与风险与内控发生频率成反比 符合性测试的方法证据检查法穿行测试法实地观察法 评价实施 符合性测试和评价 符合性测试表 评价实施 实质性测试 实质性测试的重点领域 缺少风险管理与内部控制的重要业务领域风险管理与内部控制设置不合理 控制目标不能实现的领域风险管理与内部控制没有发挥作用的领域 评价实施 综合评价 基本情况 企业概况 主要业务类型和经营范围问卷调查的基本情况 企业关键风险点及配套制度的建设 执行情况子企业风险管理情况行业特定风险风控部门独立性 评价报告 评价结果 企业主要成绩和存在的主要不足逐项列示存在的重大违规事项和重大风险管理与内部控制缺陷详细说明各样本测试单位定性评价结果的整体分布情况及其对企业集团整体定性评价结果的影响 评价分析 分析企业集团整体的风险管理与内部控制水平逐项说明重大风险与内部控制缺陷 分析制度健全性与合理性分析缺陷的主要环节 原因及其影响 提出完善建议反馈意见 双方分歧和各自依据 主要内容 风险评价体系 六个评价系统 企业风险管理环境 风险管理信息交流与反馈 风险管理监督与改进 风险管理与案件和责任事故评价 企业内部控制 企业风险识别与评估 25 10 50 5 10 10 风险评价体系 基本评价标准 每个系统 风险管理评级的确定 综合评分