《管理风险掌握未来》

管理风险，掌握未来

得控则强，失控则弱目录从危机事件和企业角度看风险和内控国家对企业风险和内控的监管要求我们对风险及内控体系的理解风险及内控体系建设内容及步骤管理咨询+IT的解决方案及价值分析到底该如何理解风险呢？定义：风险是任何可能影响您实现目标的因素。危险坏的事情发生的风险结果的不确定性不能满足预期机会丧失机会透过危机事件看风险管理

–更多的风险案例巴林银行法兴银行施乐网景雷曼兄弟世通公司安然中航油中储棉三鹿奶粉巨人集团创维集团深圳石化中信泰富国际案例国内案例全球经济危机下中国企业的新挑战合俊倒闭中信巨亏三鹿破产更早前的案例2004年中航油炒作原油期货，巨亏5.5亿美元；银广夏造假、达尔曼资金黑洞、托普神话、德隆危机…美国金融危机波及中国实体经济企业倒闭第一案。高管“不知情的”澳元累计认购期权合约公允价值损失约186亿港元。三聚氰氨毒害一批婴幼儿，摧毁了三鹿，也损害了中国乳品行业。前车之鉴：中信巨亏荣智健称“不知情”遭到质疑2008年10月20日中信泰富首告因澳元贬值跌破锁定汇价——澳元累计认购期权合约公允价值损失约147亿港元，至今巨额亏损已扩大到186亿港元。对外汇交易合约的风险缺乏正确评估；合同的签订未经过恰当的审批，控制程序失效；对财务董事及总监的行为缺乏必要监管。中信泰富外汇合约巨亏

买入杠杆式外汇合约要承担可能高达 150亿元巨亏！

10日之内，股价从14.52港元直降至5 港元红色家族掌门人：董事会主席荣智健居然

事前毫不知情前车之鉴：三鹿倒闭2008年报月12日官方初步认定：三鹿“问题奶粉”为不法分子在原奶收购中添加三聚氰胺所致已传唤78人;2008年9月18日，国家工商行政管理总局发出紧急通知，要求各地工商部门对市场上含三聚氰胺的液态奶，立即责令停止销售、下架退市。产品质量缺乏内部控制；法规遵循缺乏持续监督；风险管理缺乏应对策略。2008年9月19日，国家处理三鹿牌婴幼儿配方奶粉事件领导小组召开第二次全体会议，全国各地已退市问题奶粉3215.1吨。国务院办公厅１９日发出通知，要求各地区、各部门认真贯彻落实党中央、国务院的决策部署，以对人民群众高度负责的精神，进一步做好婴幼儿奶粉事件处置工作。2008年12月31日，原董事长受审。2009年02月13日，三鹿集团正式破产。2009年03月04日，三元以6.1650亿元拍得三鹿资产。723高铁事故“723”甬温线动车追尾事故原因初明为雷击，信号设备在设计上严重缺陷，遭雷击发生故障后，导致本应显示为红灯的区间信号机错误显示为绿灯，同时值班人员安全意识淡薄，可谓是天灾加人祸。有投资者将此事故视作一起“黑天鹅事件”，它不仅令资本市场相关公司的股价突遭打击，而且有可能就此改变中国铁路系统管控现状，高铁“大跃进”势头也将因此降温。高铁一直是中国经济取得腾飞突进的旗帜。而最近的动车事件，不经意就改写了中国高铁这段辉煌历史。2011年7月23日2011年7月23日2011年7月23日2011年7月23日2011年7月23日2011年7月23日2011年7月23日2011年7月23日82%的机构投资者表示他们愿意为那些能够展示其有效风险控制的企业付出溢价。61%的机构投资者表示他们没有对那些风险控制不善的企业进行投资。根据安永对全球137家主要机构投资者的调研对风险管理工作的市场调研国际资本市场的看法未能有效管理的风险类别战略合规财务运营早期案例美国安然美国世通英国巴林银行日本八佰伴香港百富勤中航油近期案例法国兴业银行三鹿集团中信泰富合俊集团雷曼兄弟AIG案例：企业层面的重大风险如果缺乏有效控制可能会给企业带来重大的灾难风险

风险之于企业，是与生俱来的。在当今复杂的商业环境中，每个企业都面临众多的风险因素，不仅是火灾、财产损害、业务中断、盗窃及产品责任等传统风险，还包括市场风险、运营风险、人力资源风险、恐怖主义和影响企业创新的规则等不断涌现的风险因素，企业的声誉也受到不同风险因素的威胁。企业就像一条船，需要一个载体支撑这条船，这个载体就是企业的全面风险管理。风险管理已经成为企业管理中的重要内容，风险管理机制更是企业管理体系的关键组成部分。－16－面对不同的风险，不同的企业通过不同的风险应对策略进行内部控制风险内部控制风险回避风险减轻风险转移风险承受回避与风险有关的经营活动降低风险发生的频率和减少损失程度由企业自己来承担风险所产生的损失由企业自己来承担风险所产生的损失风险应对策略目录从危机事件和企业角度看风险和内控国家对企业风险和内控的监管要求我们对风险及内控体系的理解风险及内控体系建设内容及步骤管理咨询+IT的解决方案及价值分析200620012002200320042005美国《萨班斯－奥克斯利法案》（SOA）颁布《巴塞尔新资本协议》出台安然、世通事件相继爆发中航油事件国储抛铜事件国资委主办的首届企业全面风险管理高峰论坛在京召开巴塞尔银行监管委员会和英国“特恩布尔委员会”向欧盟企业提出企业风险管理要求和建议国资委出台《中央企业全面风险管理指引》美国COSO《企业风险管理－整合框架》发布（金融行业）（上市公司）2007（国外）（国内）国资委举办“2007·大型企业风险管理高层论坛”国内外风险事件频发，风险管理越来越受到企业管理者和监管机构的重视，提高企业风险管理能力成为当务之急国内外内控规范发展的历程回顾国际内控与风险管理趋势内部控制制度AICPA把内控分为会计控制和组织控制。-建立内控-数据准确一致-内控可靠性内部牵制依据串通舞弊的可能性较小，提出五种不相容职务分离原则，实现实物与簿记牵制。三大目标-经营效果和效率-财务报告的可靠性-遵循适用的法律和法规五大要素-控制环境-风险评估-控制活动-信息沟通-监控（1994年，保护资产）四大目标-战略实现-经营效果和效率-财务报告的可靠性-遵循适用的法律和法规八大要素-内部环境-目标设置-事件识别-风险评估-风险反应-控制活动-信息与沟通-监控内部控制结构AICPA内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序；-控制环境-会计系统-控制程序（三要素）内部控制整合框架风险管理整合框架1936年1988年1994年2004年2002年：SOX法案2003年6月：SEC“财务报告内部控制”2004年：PCAOB2号准则2007年6月：PCAOB5号准则由内部控制到风险管理：COSO理论演进合规运营财务报告功能单位业务单位控制环境风险评估控制活动信息与沟通监督企业风险管理-整合框架COSO内控框架企业风险管理-整合框架（COSO-ERM)是由COSO内控框架扩展而来的国资委全面风险管理指引目的：明确要求中央企业要重视和开展全面风险管理；明确什么是全面风险管理；指导企业如何开展全面风险管理工作。主要内容：第一章总则第二章风险管理初始信息第三章风险评估第四章风险管理策略第五章风险管理解决方案第六章风险管理的监督与改进第七章风险管理组织体系第八章风险管理信息系统第九章风险管理文化第十章附则风险管理文化全面风险管理体系风险管理基本流程一个流程一个体系一种文化全面风险管理框架全面风险的目标五个目标

五个目标风险控制在目标承受范围内确保与股东的财务信息沟通确保经营活动的效率与效果重大风险的危机处理合法合规监管机构对企业内控体系建设已经提出了具体的要求2011年中国证监会主席郭树清在上海公司治理论坛上指出，监管层将进一步促进和完善公司治理。自2012年1月1日起，国家相关部委联合发布的企业内部控制规范的监管范围将由试点扩大到主板上市公司，并将在中小板和创业板上市公司择机实行。监管要求（五部委）企业内部控制基本规范企业内部控制配套指引实施范围2011年1月1日境内外同时上市的公司2012年1月1日主板上市公司择机中小板、创业板上市公司鼓励非上市大中型企业财政部、证监会、审计署、银监会、保监会五部委共同发布企业内部控制基本规范

组织架构发展战略人力资源社会责任企业文化内部信息传递信息系统财务报告资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包全面预算合同管理企业内部控制基本规范企业内部控制评价指引企业内部控制审计指引企业内部控制应用指引内控环境(5）控制活动(9）控制手段(4）境内外同时上市公司2011年执行企业内控规范报告财政部会计司和证监会会计部昨日（2012年9月19日）联合发布《中国境内外同时上市公司2011年执行企业内控规范体系情况分析报告》(下称“《报告》”)。报告显示，截至2010年12月31日，境内外同时上市的公司为67家，而这67家公司中，有15家在2011年存在不同程度的内控缺陷。《报告》指出，总体上看，67家公司2011年执行企业内控规范体系情况良好，为国内主板上市公司和其他企业的内控建设提供了宝贵的经验。但《报告》也披露了15家企业的内控缺陷，分别是晨鸣纸业(000488.SZ；01812.HK)、东北电气(000585.SZ；00042.HK)、新华制药(000756.SZ；00719.HK)、山东墨龙(002490.SZ；00568.HK)、中海发展(600026.SH；01138.HK)、兖州煤业(600188.SH；00835.HK)、中新药业、广船国际(600685.SH；00317.HK)、四川成渝(601107.SH；00107.HK)、交通银行、中国中铁(601390.SH；00390.HK)、中国人寿、中国南车(601766.SH；01766.HK)、大连港(601880.SH；02880.HK)、中煤能源(601898.SH；01898.HK).境内外同时上市公司2011年执行企业内控规范报告其中，交通银行(601328.SH；03328.HK)的内部控制“个别方面还有待进一步完善和提高”，在信贷业务方面，应加强对贷款实际用途的识别和监控，增强银行资金与民间融资的隔离控制等。另一金融机构中国人寿(601628.SH；02628.HK)则存在总公司及个别分公司在软件需求评审、桌面设备管理、保单回执核销、销售人员管理、银邮代理协议管理和系统权限管理等环节存在执行不到位的问题。其中，新华制药的内控问题存在一项重大缺陷，即子公司山东新华医药贸易有限公司(下称“医贸公司”)对客户授信额度过大，导致较大经济损失。具体体现为：内部控制制度缺少多头授信的明确规定，导致多部门分别向同一客户授信，且在实际业务中对部分客户授信超出其注册资本，还存在未授信的发货情况。广船国际存在财务报告会计基础工作方面的内部缺陷，如存货盘查时个别月份没有签名记录、个别内部固定资产转移台账变更记录的及时性以及员工离职软件系统未及时与实际记录核对等。中国南车则存在与非财务报告相关的内部控制缺陷，即尚未全面开展IT审计活动，部分子公司存在采购合同评审、工作计划审批等控制活动缺乏可验证的记录或记录不完善的现象。此外，大连港、四川成渝存在内控制度设计与执行上的缺陷，中煤能源个别所属企业人力资源的激励约束机制不健全、物资采购中退货管理不明确、新增部门的业务流程不完善、信息系统中应收应付模块有待改进。目录从危机事件和企业角度看风险和内控国家对企业风险和内控的监管要求我们对风险及内控体系的理解风险及内控体系建设内容及步骤管理咨询+IT的解决方案及价值分析如何理解风险管理与内部控制战略风险与内控流程与控制改善与提升监督评估企业的战略定位与目标是决定企业风险管理与内部控制体系的最直接的因素风险管理与内部控制是风险管控体系下两个紧密相关的内容风险管理应该与企业绩效管理相联系，在关键绩效指标的基础上，通过关键风险指标体现风险管理的价值，促进企业战略目标的实现内部控制体系是支撑企业对风险进行有效管理的重要组成部分，并与企业战略目标的实现紧密相连。企业风控体系与业务体系之间的互动和连动第三道防线第一道防线第二道防线董事会总经理层管理层业务部门部门A部门B部门C内控部门审计委员会内审部门独立监督、评价、咨询管理、协调执行层完善的公司治理是是内控管理体系建设的起点和保障，而董事会建设则是公司治理的核心。风险管理和内部控制不仅是风控部门或内审部门的工作，业务部门是风险管理和内部控制的直接和主要的参与方和责任方。内控部门的角色和职责是组织、协调。内审部门的角色和职责是监督、评价和咨询。答：不是。企业需要从全局高度、体系化地进行内控管理，形成风险管控的三道防线内控管理仅是内控管理部门的事情吗？企业管控及风险管控是解决和改善管理问题的管理方法体系和工具集合管理问题管理工具风险管控体系管理支撑体系无法获得企业经营绩效状况无法决策绩效改进的方向员工绩效指标与组织目标脱节集团业务未能形成战略协同资源整和能力弱财务监控力度弱、无法保证财务报告可靠性责任难以追究业务环节效率低成本高安全健康环保等合规要求多、成本高风险意识薄弱、风险无法评估IT系统安全性和可靠性战略规划KPI平衡记分卡对标Benchmarking并购管理预算控制BPRABC作业成本法业务活动监控风险指标监控内部审计内部控制与合规管理...Governance公司治理Risk风险管理Compliance内控合规企业绩效管理业务流程管理企业信息化管理IT管控和服务管理风险管理内控管理流程管控应对策略内控落地业务风险管理提升风险导向持续优化风险体系搭建风险应对风险评估风险报告风险识别战略目标梳理对标内控评价缺陷整改控制措施流程制度流程梳理流程监控管理提升流程优化运营结果风险管控体系中的风险管理、内控管理、流程管控从支撑战略目标实现、构建管理结构、建立业务规则、执行业务流程、到内控监测整改，构成一个可持续改进的完整闭环。风险管控体系的范围及组成

整体规划企业管控业务发展蓝图，明晰发展路径符合政策法规证监会合规管理指引企业内控基本规范国资委要求其它法律法规条款体现管控收益风险管理融入战略和目标制定中通过风险管理增加利润，优化内部资源分配和投资决策合规型内控（结果管理）管理型内控（过程管理）风险管理全面管控推动创新管理全面风险管理公司治理各层次都有IT解决方案支持提高经营效率内控和风险管理融入日常经营中降低不确定因素对目标实现的影响提高执行力全面风险管控及集团管控体系架构与视图内控合规管理风险管理公司治理战略目标财务合并全面预算组织架构企业文化信息安全访问控制授权控制敏感度内控落地账户管理用户管理基础调研梳理对标穿行测试风险调查制度梳理手册管理内控报告监管配合外部审计持续改进内控矩阵流程优化内控手册执行测试内控自评社会责任信息披露IT治理业务流程采购管理生产管理销售管理项目管理资产管理财务管理人力资源信息系统管理信息化系统市场风险市场定价…压力测试利率Var流动性风险流动性敞口…市场流动KRI操作风险RCSA风险计量LDC风险因子信用风险信用评级…Var设置风险评价风险管理流程风险控制审计管理审计计划现场审计数据分析审计报告整改跟踪后续审计OA办公ERP财务系统

CRM资产管理人力资源其他系统流程优化流程监控内控提醒内控嵌入…..风险应对风险管理风险预警风险报告专项风险管理风险评估风险识别政府培训咨询服务咨询服务系统支撑系统支撑系统支撑意识到风控重要性领会政策意识到位建立组织建立独立风控部门或指定部门履行职能组织到位建立认知邀请内外咨询，梳理风控管理体系.形成矩阵知识到位风控组织有效运转组织职能清晰，并依据制度有层次的开展工作执行到位结合业务落地风控与业务流程紧密结合，实现对业务的控制应用到位全面发扬综合提升风控管理贯穿企业管理，发挥更大价值融合到位企业实现风控的六个阶段和企业状态分布目录从危机事件和企业角度看风险和内控国家对企业风险和内控的监管要求我们对风险及内控体系的理解风险及内控体系建设内容及步骤内部控制管理咨询+IT的解决方案及价值分析从构建合规内控为基础逐步提升企业管理能力，帮助企业持续发展数据显示世界500强企业平均寿命42岁，一般性跨国公司平均寿命12岁，中国企业平均寿命9岁，中国民营企业的平均寿命2.9岁。内控部门的核心任务就是梳理风险、优化流程，从企业管理的角度打通以部门为界限的设计工作，帮助企业成为“百年老店”。以风险为导向，以控制为中心，以提升为目的以内控合规为目标控制大的风险表现为“家法家规”解决有无的问题以提升管理能力为目标将内控与日常管理结合把内控作为一个管理工具，帮助企业完成绩效指标更多的自动控制管理内控以提升内控工作价值为目标有效利用有利风险为企业各部门提供咨询服务更多的预防性控制价值内控合规内控内控体系建设咨询成为企业管理提升的基础理解并领会监管要求，规范管理体系战略目标报告目标合规目标经营目标资产安全内部环境公司层面业务单元子公司风险评估控制活动信息与沟通内部监督内控规范及指引公司环境及业务流程管理销售物料管理采购排产组织视图销售处理检查信用额度确定交付日期询价处理报价处理功能视图报价客户询价数据视图询价处理询价已受理询价处理完毕报价处理客户报价询价销售流程视图客户订单客户询价客户报价产品/服务视图企业建设内部控制体系的路线图内控梳理对标内控整改固化内控自评制定监督制度跟踪缺陷整改开展自我评价编制自评报告记录内控缺陷设计整改方案完善内控制度更新内控文件成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控审计提供所需证据出具管理声明披露审计报告内部控制应用指引内部控制评价指引内部控制审计指引内部控制基本规范管理层持续整改/内部监督持续开展信息化建设各阶段工作方案分享－内控梳理对标成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标内控整改固化内控自评内控审计内控梳理对标内控的日常运行

负责内部控制的建立健全和有效实施经理层(各业务部门)董事会负责组织协调内控的建立实施及日常工作对内控体系运行进行监督检查专门或适当机构内部审计机构监督内控的有效实施和内控自我评价情况审计委员会对董事会建立实施内部控制进行监督监事会内控建设&日常运行内控监督有权向董事会/审计委员会/监事会报告监督检查中发现的内控重大缺陷各阶段工作解决方案分享－内控梳理对标（续）成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标风险识别和管理工具-企业价值地图内控梳理对标内控整改固化内控自评内控审计各阶段工作解决方案分享－内控梳理对标（续）成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标风险识别和管理工具－企业风险地图内控梳理对标内控整改固化内控自评内控审计成立专属部门实施风险识别整理现有制度辨识内控环节对标管理规范内控梳理对标依托最佳实践和控制数据库进行对标梳理内部控制应用指引访谈内容企业现有制度内控梳理对标内控整改固化内控自评内控审计各阶段工作解决方案分享－内控梳理对标（续）各阶段工作解决方案分享－内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化建立内部控制缺陷认定汇总表

记录内部控制缺陷成因、表现形式和影响程度

以控制目标为核心，打破部门和流程局限，设计适合企业运营特点的整改方案

明确整改责任部门与责任人

明确整改完成期限

追踪整改进度

保留整改证据内控梳理对标内控整改固化内控自评内控审计内部控制缺陷内部控制缺陷内部控制设计缺陷内部控制运行缺陷设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。除重要缺陷和重大缺陷以外的其他缺陷。一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注。一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。重大缺陷（实质性漏洞）重要缺陷一般缺陷各阶段工作解决方案分享－内控整改固化（续）记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化内部控制手册、业务流程图与流程文件内控梳理对标内控整改固化内控自评内控审计形成内部控制管理手册公司简介手册说明关于《内部控制管理手册》使用指南关键术语和定义1内部控制体系框架1.1概述1.2内部控制框架1.3内控管理组织架构2内部环境2.1概述2.2治理结构2.3发展战略2.4组织架构2.4人力资源2.5社会责任2.6企业文化2.7反舞弊机制3风险评估3.1概述3.2信息收集3.2风险评估3.4风险管理策略3.5风险管理解决方案3.6风险管理监督与改进4控制活动4.1概述4.2资金活动4.3采购业务4.4资产管理4.5销售业务4.6研究与开发4.7工程项目4.8担保业务…5信息与沟通5.1概述5.2内部信息传递5.3信息系统5.4信息披露6内部监督6.1概述6.2日常监督6.3专项评估6.4缺陷报告附录1:组织架构图附录2:权责指引示例成果样例–流程框架及流程描述示例传统业务流程图描述流程中揉入风险因素、内部控制标准风险职责表单控制流程目标输出具体的作业流程图形式，体现事流流程图流程相关节点的职责职责作业过程中产生的核心文件及其流转途径表单对该作业流程进行内控的目标体现在哪些方面？内控目标主要的控制点和控制活动描述控制活动控制活动的缺失可能引起的风险后果参照风险流程图未来流程优化后的流程图描述（加入内控及风险要素、计算机自动控制）风险及控制点自动控制替代手工控制风险及控制点组织、岗位数据表单、计算机自动控制风险、控制要求等成果样例––风险控制矩阵注：仅供参考使用。内部控制矩阵，采取统一的格式。控制目标为公司未完善内部控制，所期望达到的效果；风险因素根据公司即已识别的业务风险点填列；示例成果样例––风险控制矩阵注：仅供参考使用。标准控制活动为行业内广为接受的、较为完善的内部控制；实际控制活动为公司为了达到控制目标，结合自身情况所设定的内控控制行为；由各业务部门与子公司通过对标准控制活动的阅读进行梳理，写出符合自身的实际控制活动示例成果样例––风险控制矩阵设计有效性为测试人员对该内部控制情况在设计层面上是否有效作出的判断；执行有效性为测试人员对既有的控制执行测试后，对该控制活动是否被有效执行作出的判断。示例成果样例––风险控制矩阵内控缺陷为测试人员通过执行审计程序后所识别出的缺陷，该缺陷可能是内控设计层面上的，也可能是执行侧面上的。示例内部控制文件包括哪些？整体梳理、总体构建、整版发布吸收借鉴COSO框架的理念方法制度

流程

控制点“三位一体”基本制度级操作流程级标准操作文件标准操作流程图风险控制矩阵企业宗旨/使命公司治理ISO9000体系行政管理制度……内部控制文件包括哪些？根据《企业内部控制基本规范》和《企业内部控制配套指引》编制《内部控制制度汇编》，涵盖《企业内部控制应用指引》全部18项内容。主要内容如下：第一部分内部环境1、企业文化2、组织架构3、发展战略4、人力资源政策5、社会责任6、公司治理续约与议事规则7、道德与行为守则8、岗位职责（包括不相容职务分离）第二部分风险评估9、风险管理制度10、重大风险预警和突发事件应急处理制度第三部分控制活动11、授权管理制度12、预算管理制度13、财务报告管理制度14、资金管理制度15、担保管理制度16、资产管理制度17、合同管理制度18、销售管理制度19、采购管理制度20、研发管理制度21、业务外包管理制度22、工程项目管理制度第四部分信息与沟通23、反舞弊制度24、举报投诉和举报人保护制度25、信息系统管理制度26、内部信息传递管理制度第五部分内部监督27、内部审计管理制度28、内部控制评价方法（包括控制缺陷认定标准）《内部控制制度汇编》《内部控制流程汇编》

包括：标准操作文件、标准操作流程图、风险控制矩阵销售与收款流程客户管理与信用评估销售合同管理销售收款与开票管理销售收入确认与记录应收账款管理坏帐管理采购与付款流程供应商选择与评估采购计划与订单/合同管理采购验收应付帐款管理费用管理固定资产管理流程固定资产采购、验收与领用建筑工程安装固定资产折旧固定资产盘点固定调拨、维修、处置与减值内部控制文件包括哪些？存货管理流程出入库管理生产计划管理存货盘点存货跌价准备资金管理流程资产收购与投资管理股权和债权融资管理长短期借款管理现金收款与付款管理银行帐户管理银行收款与付款管理银行余额调节票据管理流程预算管理税务管理流程企业所得税管理增值税管理营业税管理递延税管理资源税管理财务报告与披露流程会计基础数据维护程序记帐凭证编制与审核程序生产成本核算程序期末结帐流程内部往来核对程序关联方交易审批程序集团合并调整程序合并报表编制与审核程序报表披露信息准备与审核程序人力资源与薪酬管理流程工资信息管理工资的核算与发放社会保险的计算与缴纳资金的核算与发放股权激励管理通用计算机控制流程信息系统安全系统运营管理系统开发和维护网络维护备份和灾备管理业务持续性规划各阶段工作解决方案分享－内控自评制定监督制度跟踪缺陷整改开展自我评价披露自评报告内控自评制定监督制度、明确监督活动外部监督内部审计监督持续监督监督主体工作内容政府、外部审计师等公司内部审计监督各业务系统日常监督内控鉴证监管检查专项内部控制评价内部控制缺陷整改跟踪按内部控制制度自我监督内控梳理对标内控整改固化内控自评内控审计各阶段工作解决方案分享－内控自评制定监督制度跟踪缺陷整改开展自我评价披露自评报告内控自评内控梳理对标内控整改固化内控自评内控审计制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告62成果样例––内控自我评价报告示例各阶段工作解决方案分享－内控审计企业应提供详尽的以下信息将有利于注册会计师省时高效的完成内部控制审计

与企业相关的风险

相关法律法规和行业概况企业组织结构、经营特点和资本结构等相关重要事项企业内部控制最近发生变化的程度

相关制度政策及内部控制文档已注意到的内部控制缺陷与内部控制有效性相关的证据

自我评价工作底稿提供所需证据出具管理声明披露审计报告内控审计内控梳理对标内控整改固化内控自评内控审计64企业内部控制体系建设成功的关键因素65目录从危机事件和企业角度看风险和内控国家对企业风险和内控的监管要求我们对风险及内控体系的理解风险及内控体系建设内容及步骤风险管理管理咨询+IT的解决方案及价值分析通过企业风险管理体系的全面建设，帮助企业有效地预测和响应不同级别、不同影响的风险，把风险控制在企业的承受能力之内，并为实现企业目标提供合理保证。风险管理主要流程日常监控与持续改进闭环风险监控闭环风险建模闭环风险识别与认知风险识别与认知管理政策行业案例风险事件风险损失风险辨识风险评估风险评估风险分析量化评价风险排序风险图谱风险应对与控制风险应对与控制应对策略指标监控异动发现预案执行控制点固化过程跟踪实时提醒效果比对风控评价与整改风控评价与整改测评计划任务分派检查测评部门自测缺陷整改风控报告信息沟通信息与沟通统计视图监控报告协作交流流程督办风险体系管理体系维护职责分解流程关联制度关联风险体系管理调研企业战略、业务目标及风险来源第一步的重点是了解风险管理的现状。在我们以往的经验基础上，通过访谈管理层和相关责任人、审阅资料和文件等形式充分了解公司现状。主要体现在以下内容：2、了解公司的管理政策和流程现状3、了解各个部门的相应职责、管理现状、部门内和部门间的信息流4、了解公司管理绩效考核体系和主要业绩评价标准5、了解到目前为止发生的风险事件、风险管理案例，其中包括负面风险和正面风险，以及对机会风险的把握和利用的案例结合用友的风险管理专业知识、经验以及行业经验全面理解和分析风险现状；为制定一套具有操作性的风险管理方案奠定基础1、了解公司的战略定位和发展方向以及所遇见的管理困难和问题战略目标样本以公司的产品、服务和健康信息来源来提高公司顾客的生活品质；以永远求新为公司发展的企业核心愿景使命价值观提升在中国行业在国际的领导地位创新团队以人为本追求卓越战略

目标关键绩效指标加强政府关系管理健全零售及采购体系降低营运成本与费用增强员工技能并加强团队精神销售额市场份额品牌知晓度存货周期采购成本商品结构员工流动率员工满意度营运收入利润销售费用占总收入比例应收帐款周转率建立客户关系管理系统及电子商务客户满意度内容贡献电子商务收入实现国际化集团公司投资收益率组织及协办政府活动的次数提供明确的目标导向提供可衡量的指标以保证战略目标的实现——《中国重点国有企业领导人员培训-企业变革框架》安达信公司企业咨询部施能自二ＯＯ一年十月十九日如何通过风险进行战略解码公司愿景使命战略财务规划扩张收入投资回报……指标团队、组织团队部门KPI指标1指标2指标3……部门重点工作指标1指标2指标3指标4指标5……客户市场份额收入客户满意度……战略愿景内部流程市场研发……学习成长IT建设培训体系职位体系……团队优先工作重点衡量标准1XXXXXXXXXXXXXXXXXX2XXXXXXXXXXXXXXXXXX3XXXXXXXXXXXXXXXXXX4XXXXXXXXXXXXXXXXXX重点要素KPI基本业务流程公司战略澄清客户财务业务学习成长客户KPIs财务KPIs业务KPIs学习成长KPIs确定战略战略澄清KPI指标与重点KPI指标分解关键风险指标KRI指标资产负债率流动比率现金比率经费自给率科研拨款超支率对外投资回报率形成风险分类、风险框架事件(风险来源)目标战略目标经营目标报告目标内部&外部法律合规外部事件经济环境政治社会科学技术内部事件基础设施人力资源业务流程信息技术经济资金的可用性信贷风险流动性融资风险现金流收购与兼并市场风险(如：

价格，利率，竞争，失业率，指数，汇率，估价）政治政府变化立法公共政策法规信息技术数据完整性数据/系统可用性系统选择系统开发系统配置系统维护基础设施资产的可用性资产的能力资金的获取复杂性业务流程能力设计执行供应商/依赖关系环境污染物排放能源自然灾害可持续发展外部事件类型分类举例内部事件类型分类举例社会人口消费者习惯企业社会责任隐私恐怖主义科学技术中断电子商务外部数据科技进步人力资源雇员的能力欺诈行为员工的健康与安全违法行为监管实践风险分类及分层框架自下而上自上而下风险清单调查问卷归类分析战略目标梳理影响因素分析通过自上而下和自下而上两种方式进行风险调研，结合用友的经验形成的企业的风险分类和分层框架。71风险分类与风险识别1.风险分类框架2.财务风险事件示例：风险调查问卷3.风险调查问卷识别分析应对监督报告风险管理流程成果示例：风险清单4.风险识别成果风险认知与风险评估商业机密5.风险评估标准6.风险评分汇总7.风险评分计算8.风险评估结果识别分析应对监督报告风险管理流程进行风险排序并标识出企业面临的重大风险9.风险评估结果示例：各大类风险评估结果10.风险图谱示例：风险图谱风险自动预警与监控运营风险盈余利息保障流动资产周转率应收账款周转率存货周转次数净资产增长率÷营业收入平均流动资产数据采集平台销售管理系统资产管理系统指标实时监控预警区间设定以运营风险中某指标为例首先要理清关键风险指标对KPI的影响现金比率网点数量经费拨款到位率存货周转率投资收益率变化波动应收帐款周转率资产负债率项目工程进度客户满意度投资支出比率代理商数量经费自给率对外投资回报率

KRI指标资产负债率流动比率现金比率经费自给率科研拨款超支率对外投资回报率KPI指标定义：研发经费-经费拨款到位率业务层面的含义：评价当年经费拨款预算完成情况计算方法：当期已到拨款额/年度拨款预算数×100%

参数来源：经费报表通过分析当年经费拨款预算完成情况,因为到位的资金是保证科研活动正常开展的基本前提和保证。通过与管理层的沟通，确认当到位率在80%以上为可接收状态，60%-80%为预警区域，60%以下为报警区域。1.风险指标清单2.关键风险指标清单选择与梳理3.风险指标与KPI关系定义4.关键风险指标阈值确定顾客转化率确定关键风险预警指标并逐步形成风险模型

分三个区间，两级预警：简化示例1.明确企业各项经营目标2.收集和分析历史经营数据3.确定风险容忍度4.设定风险指标预警线了解企业当前和以往的各项业务经营发展目标，明确这些目标的定性和定量描述以企业各项目标为导向，收集企业以往经营数据和信息，包括内外部损失数据对比以往企业历史数据，对比目前的各项业务目标，考虑指标变动值，分析企业重大风险的容忍度根据风险容忍度，编制企业重大风险的KRI预警线，设置预警区间，与相关部门研讨后确定确定风险指标预警值和预警区间风险指标对应的预警值和预警区间对风险应对过程及措施执行有效性进行跟踪，实现风险应对的规范化管理与精细化管理知识库最佳应对分析方法预警规则历史事件火灾风险对现金流的影响自由现金流分布火灾损失分布将风险因素和基准财务指标联系起来建立模型价格风险对现金流的影响自由现金流分布价格波动的分布将风险因素和基准财务指标联系起来建立模型罢工风险对现金流的影响

自由现金流分布交货期的分布将风险因素和基准财务指标联系起来建立模型新竞争者进入的风险对现金流的影响

自由现金流分布交货期的分布市场份额损失的分布将风险因素和基准财务指标