企业风险管理与内部控制实务进阶课件

1、企业风险管理与内部控制实务进阶 杨 奕正确认识风险管理与内部控制企业风险的识别、评价及风险管理策略企业财务风险防控与内部审计企业内部控制体系建设实务内部控制描述、评价与改善目 录风险是任何可能影响某一组织实现其目标的事项，风险是一种不确定性。我们不可能生活在远离风险的真空地带，但可以通过业务多样性和良好的运营系统来控制风险 GE公司董事长兼首席执行官 杰夫 . 伊梅尔特风险可知 可控 可承受内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 风险管理由企业董事会与管理层共同设立、和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险

2、管理到一个企业可接受的水平，从而帮助企业达至其目标西方 内部控制与风险管理规范内部控制整合框架美国萨班斯法案COSO 2风险管理整合框架Your Text1992年2002年2004年COSO2（企业风险管理整合框架（2004）中明确指出，风险管理包含内部控制，二者相互融合COSO 1SOX公众公司会计改革和投资者保护法案之所以要设置内部控制，就是促使企业在迈向获利目标的路上，达成管理理念，并把路上的意外惊吓减到最少。标题内 部 环 境战 略目 标 设 定风 险 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告遵 循子公司业务单位分支机构企业整体层次COSO 1CO

3、SO 2COSO 1COSO2（内部控制企业风险管理）三个层面、三个目标和五个要素作业层面规法守遵靠可表报效效率果内部环境风险评估控制活动信息与沟通监控公司层面部门层面四个层面、四个目标和八个要素我国内部控制法律规范2006国务院国资委2008 五部委2010 五部委中央企业全面风险管理指引，上市公司内部控制指引企业内部控制基本规范企业内部控制配套指引财政部、证监会、审计署、银监会、保监会2006上海深圳证券交易所2012.2.23 财政部 企业内部控制规范体系实施中相关问题解释第1号内部控制规范体系基本规范为纲，配套指引为目 企业内部控制基本规范相互独立，相互联系解释审计指引评价指引应用指引

4、整个规范体系的基石，概念框架对企业建立健全企业内部控制所提供的指引，是具体的操作指南和范本，主体地位为企业管理层对本企业内部控制有效性进行自我评价提供的指引为注册会计师和会计师事务所执行内部控制审计业务的执业准则基本规范内部控制原则内部监督内部环境风险评估控制活动信息与沟通内部控制要素基本规范内部控制要素 融合了八要素与风险管理指引的精神内部环境是企业实施内部控制的基础，包括治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化企业及时识别、系统分析经营活动中与实现内部控制目标风险，合理确定风险应对策略企业根据风险评估结果、采用相应的控制措施，将风险控制在可承受度之内企业及时、准确地收

5、集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通企业对内部控制建立实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进企业内部控制应用指引框架体系 应用指引类别 具体指引内部环境类第1号组织架构第2号发展战略第3号人力资源第4号社会责任第5号企业文化控制活动类第6号资金活动第7号采购业务第8号资产管理第9号销售业务第10号研究与开发第11号工程项目第12号担保业务第13号业务外包第14号财务报告控制手段类第15号全面预算第16号合同管理第17号内部信息传递第18号信息系统注意：1、是对十八项关注业务的内控建设要求，而不是全部2、是对每项业务

6、的重点风险、关键控制的要求，而不是全部 3、是对内部控制的基本要求，而不是高标准企业层面的控制业务层面的控制强制事项强制要求自我评价对内部控制的有效性进行全面自我评价，披露年度自我评价报告内控审计聘请具有证券、期货业务资格的会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。注册会计师不仅应当对公司财务报告内部控制有效性发表审计意见，同时还应当向投资者提示非财务报告内部控制重大缺陷。注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中，增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相

7、关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。谁对企业内部控制负责？组织架构：确保决策、执行、监督相互分离，形成制衡重大决策重大事项重要人事任免大额资金支付业务按照规定的权限和程序集体决策审批或者联签制度任何个人不得单独进行决策或者擅自改变集体决策意见三重一大内部控制环境正确认识风险管理与内部控制企业风险的识别、评价及风险管理策略企业财务风险防控与内部审计企业内部控制体系建设实务内部控制描述、评价与改善目 录风险管理流程图1、建立初始信息框架广泛持续搜集责任人：业务单位职能部门全员18战略性风

8、险是指公司因作出战略性错误的决定而导致经济上的损失战略性风险是业务单位、高级管理层和董事会的共同责任常见的战略性风险包括：企业的目标与方针市场潜在的威胁业务的范围(深度与广度)品牌及形象的建立战略性风险与战略性伙伴的合作投资和融资的策略员工的素质和雇员关系企业的信息及监控系统19操作风险是指企业内部流程、人为错误或外部因素而令公司产生经济损失的风险，它包括了公司的流程风险、人为风险、系统风险、事件风险和业务风险等流程风险是指交易流程中出现错误而引致损失的风险，流程包括如：销售、定价、记录、确认、出货/提供服务等环节。流程风险也包括合规性风险人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而

9、引致损失的风险系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的风险事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险业务风险是指因市场或竞争环境出现预期以外的变化而引致损失的风险，所涉及的问题包括市场策略、客户管理、产品开发、销售渠道和定价等领域操作风险风险的识别常用方法风险识别-头脑风暴（集体讨论）-专家咨询 -问卷调查、管理层访谈；-行业参照、行业标杆比较；-业务流程分析；-情境分析（最好和最差情境）；-事件分析； -研讨会；-调查与审计-政策分析定量方法可采用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模

10、式与影响分析、事件树分析等。风险是您实现业务目标的现存的或潜在的障碍 什么因素可能会妨碍本部门实现其关键的业务目标? 要成功, 需要完成一些必要的工作和程序, 而什么因素会阻碍这些工作和程序的完成和实现呢? 发生率: 这些风险中, 什么风险是最可能发生的? 影响: 哪些风险将对本部门实现其预定目标的能力产生最重大的影响? 有什么有效的控制机制可以减少这些风险及其影响? 2、风险评估：22风险评价风险发生的可能性评分可能性说明5几乎肯定在未来12个月内，这项风险几乎肯定会出现至少 1次4极可能在未来12个月，这项风险极可能出现1次3可能在未来2至10年内，这项风险可能出现1次2低在未来10至10

11、0年内，这项风险可能出现至少1次1极低这项风险出现的可能性极低，估计在100年内出现的可能性少于1次23评分损失程度说明5灾难令企业失去继续运作的能力(或占税前利润达20%)4重大对于企业在争取完成其策略性计划和目标，造成重大影响(5-10%税前利润)3中等对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍(至5%税前利润)2轻微对于企业在争取完成其策略性计划和目标，只造成轻微影响(至1%税前利润)1近乎没有影响程度十分轻微风险评价风险对企业造成的影响24评分有效性说明5极度过头处理方法能直接针对该项风险，但相信会令企业业绩 “倒退” 或成本过高4过头处理方法能直接针对该项风险，

12、但由于需要投入大量资源或/及将其他资源转到处理该项风险上，会对企业的效率造成影响3适中处理方法有效针对该项风险，同时并不影响企业的效率2低效处理方法针对该项风险的效果不理想，或投入处理该风险的资源不充分或/及对投入的资源未有适当利用1近乎没有 效果处理方法的效果十分低，可能是由于企业根本没有处理方法，又或处理手法不当风险评价风险处理方法的效果风险坐标图把风险发生可能性的高低、风险发生后对目标的影响程度，作为两个维度绘制在同一个平面上某公司绘制了如下风险坐标图，并将该图划分为A、B、C三个区域，公司决定承担A区域中的各项风险且不再增加控制措施；严格控制B区域中的各项风险且专门补充制定各项控制措施

13、；确保规避和转移C区域中的各项风险且优先安排实施各项防范措施。案例：某企业风险管理坐标图27为管理和减少风险而制定的政策制度和程序2022/8/2128计提资产减值损失退出停止出售客户信用评价，信用制度保险，产业链持股，战略合作套期保值设限完善流程多元化3、制定风险管理策略风险规避 回避、停止或退出蕴含某风险的商业活动或商业环境退出某一市场以避免激烈竞争拒绝与信用不好的交易对手进行交易外包某项对工人健康安全风险较高的工作停止生产可能有潜在客户安全隐患的产品回避政治动荡的地区禁止各业务单位在金融市场进行投机，只准套期保值不准员工访问某些网站或下载某些内容风险转移 通过合同将风险转移到第三方，企业

14、对转移后的风险不再拥有所有权保险非保险型的风险转移：将风险可能导致的财务损失负担转移给非保险机构。例如服务保证书 风险证券化：通过证券化保险风险构造的保险连接型证券（ILS）。这种债券的利息支付和本金偿还还取决于某个风险事件的发生或严重程度风险对冲 采取各种手段，引入多个风险因素或承担多个风险，使得这些风险能够互相对冲，也就是，使这些风险的影响相互抵销风险控制 控制风险事件发生的动因、环境、条件等，以达到减轻风险事件发生时的损失或降低风险事件发生的可能性的目的通常影响某一风险的因素有很多 风险控制可以通过控制这些因素中的一个或多个来达到目的，但主要的是风险事件发生的概率和发生后的损失。 控制概

15、率：如室内使用不易燃地毯，山上禁止吸烟； 控制损失：如修建水坝防洪，设立质量检查防止次品出厂风险控制的对象一般是可控风险 包括多数运营风险，如质量、安全和环境风险 还包括法律风险中的合规性风险4、制定实施解决方案内部解决方案：风险管理策略组织职能内部控制，包括政策、制度、程序信息系统，包括报告体系风险理财 外部解决方案 外包：如企业聘用投资银行、信用评级公司、保险公司、律师事务所、会计事务所等专业机构 外包有可能在规避一些风险的同时，带来另一些风险，应当加以控制。监督的对象1、风险管理初始信息2、风险评估3、风险管理策略4、关键控制活动5、风险管理解决方案监督的重点1、重大风险2、重大事项和重

16、大决策3、重大管理及业务流程风险管理活动是否有效改进即管理层和董事会是否能在以下四个方面得到合理保证：了解企业战略目标实现的程度了解企业企业经营目标实现的程度企业财务报告的可靠性企业对相关法律法规的遵守结论5、监控改进风险管理信息系统风险管理系统必须建立良好的信息传递机制，这种传递机制应当建立于风险管理的各个环节中分析的内容、层次、方法和频度都应是信息分析环节关注的重点信息采集必须明确需要哪些基础信息，信息的来源、收集频度，不同基础信息之间的口径差异，信息的采集流程，技术手段等信息存储需要建立良好的数据架构，解决好数据标准化和存储技术问题基础信息需要进行加工和提炼才能成为可进行分析的风险管理信

17、息6、信息沟通正确认识风险管理与内部控制企业风险的识别、评价及风险管理策略企业财务风险防控与内部审计企业内部控制体系建设实务内部控制描述、评价与改善目 录财务系统主要风险：38财务报告系统的功能股东监管部门其他利益相关者分析和修正企业远景、战略和目标企业经营、管理和控制企业业绩的度量和报告财务报告系统财务信息披露和报告39企业内部控制应用指引第14 号财务报告 风险40财务报告系统的典型问题输入资料不准确或不完整缺乏内部控制员工缺乏应有的知识和资历对资料的要求不清晰缺乏一套清晰和统一的会计政策如何确认收入？如何计提准备金？如何界定经营性与资本性支出？会计科目设计不完善依靠人手操作或缺乏合适和统

18、一的电子核算平台如何反映对外投资？如何记录各类金融衍生工具？41财务报告系统的典型问题3. 关帐或财务结算程序不规范没有明确财务结算的工作和程序没有利用标准的结算表/模板没有订立重要性的门槛4. 未能披露或提供重要信息什么数据或差异需要进行分析？需要与什么数据进行比较？分析需要得到什么数据的支持？什么资料可协助管理层加强管理？42财务报告的编制：重点关注会计政策和会计估计在编制年度财务报告前，进行必要的资产清查、减值测试和债权债务核实做到内容完整、数字真实、计算准确，不得漏报或者随意进行取舍。各项资产计价方法不得随意变更，合理计提减值准备，严禁虚增虚减资产不得提前、推迟或不确认负债，严禁虚增或

19、虚减负债。做好所有者权益保值增值工作，严禁虚假出资、抽逃出资、资本不实。不得虚列或者隐瞒收入，推迟或提前确认收入。不得随意改变费用、成本的确认标准或计量方法，虚列、多列、不列或者少列费用、成本。不得随意调整利润的计算、分配方法，编造虚假利润。划清经营活动、投资活动和筹资活动各类交易和事项的现金流量界限。按照国家统一的会计准则制度编制附注，对报表作出真实、完整、清晰的说明。企业集团编制合并财务报表，如实反映企业集团的财务状况、经营成果和现金流量。充分利用信息技术，提高工作效率和工作质量，减少或避免编制差错和人为调整因素。43财务报告的分析利用：定期召开财务分析会议，吸收有关部门负责人参加，总会计

20、师或分管会计工作的负责人在财务分析和利用工作中发挥主导作用。通过资产负债率、流动比率、资产周转率等指标，分析企业的偿债能力和营运能力。通过净资产收益率、每股收益等指标，分析企业的盈利能力和发展能力。重点关注现金流量能否保证生产经营过程的正常运行，防止现金短缺或闲置。定期的财务分析形成分析报告，构成内部报告的组成部分财务分析报告结果及时传递给企业内部有关管理层级，充分发挥财务报告在企业生产经营管理中的重要作用。44企业内部控制应用指引第6 号资金活动风险45总则：完善严格的资金授权、批准、审验等相关管理制度，加强资金活动的集中归口管理，明确筹资、投资、营运等各环节的职责权限和岗位分离要求，定期或

21、不定期检查和评价资金活动情况，落实责任追究制度，确保资金安全和有效运行。企业财会部门负责资金活动的日常管理，参与投融资方案等可行性研究。总会计师或分管会计工作的负责人应当参与投融资决策过程。有条件的企业集团，应当探索财务公司、资金结算中心等资金集中管控模式。 筹资：银行借款或发行债券重点关注利率风险、筹资成本、偿还能力以及流动性风险；发行股票重点关注发行风险、市场风险、政策风险以及公司控制权风险。投资：突出主业，加强可行性研究重大投资项目实行集体决策或者联签制度对到期无法收回的投资，建立责任追究制度。营运：资金在采购、生产、销售等各环节的综合平衡发挥全面预算管理在资金综合平衡中的作用47企业内

22、部控制应用指引第8 号资产管理 含义：拥有或控制的存货、固定资产和无形资产风险：（1）存货积压或短缺，可能导致流动资金占用过量、存货价值贬损或生产中断；（2）固定资产更新改造不够、使用效能低下、维护不当、产能过剩，可能导致企业缺乏竞争力、资产价值贬损、安全事故频发或资源浪费；（3）无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患，可能导致企业法律纠纷、缺乏可持续发展能力。48存货：明确存货取得、验收入库、原料加工、仓储保管、领用发出、盘点处置等环节的管理要求。接触存货（除存货管理、监督部门及仓储人员外），以及大批存货、贵重商品或危险品的发出，实行特别授权。存货的验收，外购重点关注

23、合同、发票等原始单据与存货的数量、质量、规格等核对一致；自制重点关注产品质量；其他方式重点关注存货来源、质量状况、实际价值是否符合有关合同或协议的约定。建立存货保管制度，存货流动办理出入库手续；健全防火、防洪、防盗、防潮、防病虫害和防变质等管理规范；代管、代销、暂存、受托加工的存货单独存放和记录。加强存货的保险投保，建立盘点清查制度。49固定资产：重视固定资产维护和更新改造，严格执行固定资产日常维修和大修理计划。制定固定资产目录，建立固定资产卡片。强化对生产线等关键设备运转的监控，实行岗前培训和岗位许可制度。保持固定资产技术的先进性和发展的可持续性严格执行固定资产投保政策，规范固定资产抵押管理

24、。建立固定资产清查制度，至少每年进行全面清查。加强固定资产处置的控制，关注固定资产处置中的关联交易和处置定价。50无形资产：加强对品牌、商标、专利、专有技术、土地使用权等无形资产的管理，分类制定无形资产管理办法。加强无形资产权益保护，防范侵权行为和法律风险。无形资产具有保密性质的，应当采取严格保密措施，严防泄露商业秘密。取得土地使用权有效证明文件定期对专利、专有技术等无形资产的先进性进行评估，加大研发投入。重视品牌建设，打造和培育主业品牌。51风险导向的内部审计与传统内审的不同：（一）审计的重点不同传统的内部审计是以企业的内部控制为出发点，重点进行单个项目的审计。风险导向内部审计是在熟悉被审单

25、位内控的情况下，主要分析企业当前极其未来所面临的经营和战略风险，对一些重大的风险领域进行实质性测试和余额细节测试，同时告知企业管理部门所面临的主要风险，使企业主动地规避这些风险。这样审计人员就能实质性地参与到企业的管理中去。（二）风险的认识不同传统的风险导向审计的主要风险是在审查被审单位中面临的固有风险和控制风险，而这两种风险是在审查被审单位的报表中才可能面临的。现代的风险导向内部审计采取的是主动防御风险的措施，先要分析企业面临的各种风险，同时把企业面临的这些风险如实上报企业，充当企业管理的高参。（三）分析着重点不同在以往的内部审计中，审计人员主要偏向于对企业内部控制的分析，找出其中的漏洞，是

26、一种事后审计状态。风险导向内部审计主要对企业面临的经营环境和法律体系等各方面的影响企业发展的因素进行分析，从而精确判断出企业所面临的一系列风险，找出规避这些风险的手段和方法，是一种事前审计状态。（四）导向不同以往的内部审计是以内部控制为导向，也就是业务导向审计阶段，对企业的报表查错防弊。风险导向内部审计是以企业面临的风险为导向，分析和判断企业面临的一系列风险，上报管理部门，同时找出应对这些风险的措施。导向不同使内部审计人员由单方面监控的角色转变成为管理的角色。开展风险导向内部审计的要点（一）科学确定审计目标内部审计人员审计目标由差错防弊向公司治理的模式来转变内部审计人员首先要分析企业面临的经营

27、环境和市场环境，在这种环境下判断企业所面临的各种风险，在一些高风险领域对审计项目进行审计。同时把这些高风险领域上报企业管理部门，找出规避这些风险的措施，使企业在不受这些风险因素的困扰下按着既定的目标平稳，有序的发展。（二）选择风险模型运用审计风险模型制定一个审计工作的大致框架审计风险模型有五种模式，即：控制风险导向模型、经营风险导向模型、舞弊风险导向模型、企业治理系统风险导向模型和重大错报风险导向模型。从经营风险导向模型入手，它是全新的一种审计模式，是以企业经营风险为导向，确定高风险的审计领域和审计重点。在这些高风险的领域中进行实质性测试和余额细节测试，使检查风险降到最低水平，但经营风险必须通

28、过内部审计人员对企业面临的竞争环境和监管环境的分析与判断中才能找出来，同时上报企业管理部门，找出规避这种风险的措施，从而降低经营风险。（三）科学运用审计抽样方法风险导向内部审计和以往内部审计不同，它的抽样范围扩展到较高的风险领域，只有确定了企业所面临的较高的风险领域，才能运用统计抽样或判断抽样的方法进行实质性测试和余额细节测试。但只运用审计抽样方法还是难以减少审计风险，要合理运用内部审计人员的专业判断，才能够准确探测出企业所面临的高风险领域。风险的控制和不确定因素要由审计人员正确的专业判断来加以解决。（四）实施后续审计后续审计是内部审计机构为检查被审计单位对审计发现的问题所采取的纠正措施极其效

29、果而实施的审计，相当于是第二次监督。实施后续审计有很大的意义，不仅可以让被审计单位在双重监督中发现对企业生产经营过程中致命的风险因素，从而重视这些风险，也可以让内部审计人员积累工作。实施后续审计，验证正确的审计意见和审计结论将增强审计人员的工作信心，若经实践验证属审计失误，则有利于找出差距，分析原因，把审计工作做的更好。正确认识风险管理与内部控制企业风险的识别、评价及风险管理策略企业财务风险防控与内部审计企业内部控制体系建设实务内部控制描述、评价与改善目 录59企业风险管理框架一个基础公司治理三道防线业务单位防线、风险管理单位防线、内审单位防线管理层CEO第三道防线第二道防线第一道防线业务部门

30、董事会风险管理内部审计审计委员会风险管理委员会60企业建立的第一道防线，就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等，系统化地进行分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进行记录和存档，对内控措施的有效性不断进行测试和更新第一道防线：业务单位防线管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会61第二道防线：风险管理单位防线第二道防线是在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，

31、它的职责包括：编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统 、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析，为各业务单位分配经济资本金62“内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。内审通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标。” 美国内部审计师协会第三道防线：内审单位防线第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题63职责重整流程重整制度重整建立检查评价保障体系内控手册任务2-5成果风险筛查与评估任务1

32、:有何风险如何防范风险运营分析控制 绩效考评控制 预算控制 内部控制常用方法工具不相容职务分离所谓不相容职务，是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为，因而必须予以分离的职务如：授权批准、业务经办、会计记录、财产保管和稽核检查以任何个人或部门不能单独控制任何一项或一部分业务权力的方式，进行组织上的责任分工；每项业务通过正常发挥其他个人或部门的功能，进行交叉检查或交叉控制授权控制权限指引 常规性授权：在日常经营管理活动中，按照既定的职责和 程序进行的授权 临时性授权：在特殊情况、特定条件下进行的应急性授权规定每一类经济业务的审批程序，以便按程序办理审批，避免

33、越级审批和违规审批。从总经理开始，所有人的权力都是有限的，被约束的控制目的：对各类经济业务在其发生时就加以控制，使企业各级人员按所批准的权限办事，并强化信息反馈，实施事前、事中、事后控制授权管理的方法：通过授权通知书来明确授权事项和使用资金的限额授权管理的原则：对在授权范围内的行为给予充分信任，但对授权之外的行为不予认可制定责任追究制度，管理人员如违反要求，将受到追究和处理67会计系统控制严格执行国家统一的会计准则制度加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。 财产保护控制建立财产日常管理制度和定期清查制度财产记录、实物保管、定期盘点、账实核对严格限制未经