内部控制、风险管理与内部审计的关系和整合.ppt

1、内部控制、风险管理和 内部审计的关系与整合,2,目录 对内部控制的理解 风险管理与其在企业管理中的作用 内部审计及其在企业管理中的作用 内部控制、风险管理和内部审计的关系与整合 风险导向的内部控制体系的构建,内部控制的演变和发展趋势,3,COSO 内部控制 整体框架,内控评价 内部审计,进展,40年代前,4070年代,8090年代,90年代后,2002年后,2006年后,内部牵制 -实物牵制 -薄记牵制,内部控制 结构完善,-控制环境 -会计系统 -控制程序,-建立内控 -数据准确一致 -内控可靠性,以风险为 导向的内 部控制 广义内控,长期性 持续性,后萨班 萨班斯 斯时代 法案,-法律责任

2、 -控制环境 -与财务报 -风险评估 告相关的 -控制活动 内部控制 -信息沟通 -持续监控,内部控制的作用,4,良好的内部控制会: 降低舞弊的可能 获得(或重获)投资者的信心 遵守法律和法规 降低资源流失的风险 以更高质量和更及时的信息优 化业务决策 暴露经营中的低效环节,薄弱的内部控制会: 提高舞弊发生的可能 错误的财务报表 不良的公众形象 对股东价值的负面影响 招致证券监管机构制裁 诉讼或者其他法律纠纷 资产的流失, 经营决策不能最优化 内部控制不是静止的，是会随着时间的流逝和经验的增加而不 断进步。,5,目录 对内部控制的理解 风险管理与其在企业管理中的作用 内部审计及其在企业管理中的

3、作用 内部控制、风险管理和内部审计的关系与整合 风险导向的内部控制体系的构建,6,风险管理的演化发展 全面风险管理 风险的数量化 管理 保险和安全生产,70年代,1995年,7,国外主要风险管理标准,支柱1 最低资本要求 信用风险 标准化流程 基础IRB 高级IRB 市场风险 标准化流程 内部VaR模型 操作风险 基本指标法 标准法,支柱2 监管当局的监督检查 银行框架 良好的资本评估 整体资本充足率 全面风险评估 监管框架 银行内部系统评估 风险组合评估 合规性评估 监管机制,支柱3 市场约束 披露要求 银行风险信息的对市 场的透明度 提高银行间的可比性,8,国外主要风险管理标准巴巴塞尔新资

4、本协议 2004年6月，巴塞尔委员会发布了统一资本计量和资本标准的国际协议：修订框架，新协 议将会对整个国际金融市场产生深远的影响：签署新协议的100多个国家的银行、证券公司、 基金公司、资产管理公司、保险公司等都会受到直接或间接的影响。我国于1996年加入了巴 塞尔成员国行列，标志着我国银行业接受了巴塞尔协议的要求。 财务稳定性,沟通及协商,监控及评价,9,建立风险评估基础 内外部基础信息，包括对公 司目标的了解和信息掌握 风险管理基础设定 识别风险 分析风险 现有风险结构 影响程度 可能性 风险值 整合风险 评估风险 应对风险 评估各种可能方案,国外主要风险管理标准：澳新标准框架 澳新标准

5、是由澳大利亚与新西兰,联合标准委员会发布的关于风险 管理的一个标准。 该标准主要建立了一个风险管理 的基础框架，为企业提供一个通 用的建立和实施有效风险管理流 程的指引，强调在实施风险评估 工作之前要建立风险评估基础。,10,国外主要风险管理标准：COSO的ERM框架 2004年9月，COSO正式颁布企业风险管理整体框架，包含4大目标（战略、经营、报告和合 规目标）、8个相互关联的要素（内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、 信息与沟通、监控）和应用的企业及单位（公司层面、子公司、业务单元和科室）。,保险风险 市场风险 信用风险,流动性风险,操作风险,支柱1,投资规则 执

6、行,定量要求 准备金 最低资本金要求,支柱2,(监管者的能力 和职权, 活动领 域) 控制,监管者复核 定性要求 金融服务法规监 管,支柱3,竞争相关因素 披露,市场约束 透明度 披露要求,国外主要风险管理标准：偿付能力 （Solvency II） 2003年4月，欧盟保险委员会(European Insurance Committee)会议确定了偿付能力的基本概 念和原则。修改定稿的偿付能力将于2011年10月提交英国金融服务管理局（FSA），预计可 于2012年10月正式实施。这也将可能成为我国保险行业未来的趋势。 SOLVENCY II 将Solvency II嵌入业务,11,12,国内

7、主要风险管理规定,13,国资委中央企业全面风险管理指引,战略风险信息, ,财务风险信息 市场风险信息 运营风险信息 法律风险信息,风险管理 初始信息,风险辨识, ,风险分析 风险评价,风险解决具体目, ,标 所需的组织领导 所涉及的管理及 业务流程以及资 源等 风险事件发生前、 中、后所采取的,应对措施以及风 险管理工具,部门和业务单, ,位自查和检验 风险管理职能 部门检查和检 验 内部审计部门 监督评价 中介机构评价,风险管理 流程,风险评估,风险管理解决方案,风险管理的 监督与改进,风险承担, ,风险规避 风险转移 风险转换 风险对冲 风险补偿 风险控制,风险管理策略, ,董事会就全面风

8、险管理工作的有效性对股东（大）会负责 风险管理委员会对董事会负责 总经理对全面风险管理工作的有效性向董事会负责 设立专职部门或确定相关职能部门履行全面风险管理职责 董事会下设立审计委员会，内审部门对审计委员会负责 其他职能部门及各业务单位接受风险管理职能部门和内部 审计部门的组织、协调、指导和监督 指导和监督其全资、控股子企业,风险管理组织体系, ,信息技术应用于风险管理实践 风险管理信息系统保障风险信息量化值的 要求 风险管理信息系统的功能要求 风险管理信息系统应该实现跨部门的集成 与共享 风险管理信息系统应确保安全、稳定运行 风险管理信息系统的建设与更新,风险管理 体系,风险管理信息系统,

9、风险管理 文化, ,风险管理文化建设的目标和任务 风险管理文化的内涵 风险管理文化传播和培育的方法,中央企业全面风险管理指引,14,风险管理流程 纵观以上国际国内的风险管理标准和指引，我们可以看到： 风险管理的框架和概念存在着多个流派，风险管理框架和风险管理语言的不统一； 多种风险管理框架造成多重的监管标准要求，使得风险管理在实务界存在重复投资 和资源浪费现象，最后导致损失的是企业。 我们认为，风险管理不是罗列所有风险，而是一个循环管理的机制，通过识别、评估 风险、建立应对措施、对风险进行监控与汇报、针对风险持续改善这个流程，形成风 险管理机制，为公司健康发展奠定基础。核心是风险管理文化与意识

10、。,理同经营,规划和战,冗余,劲高效的 略制定相 综合风险转,结合,风险评估,流程,优化风险,争优势,保护和提升,企业价值,牌形象,15,企业风险管理的作用,裁减 活动,将风险管 实施更强 建立竞 管理成本,定因素,移和风险 接受决策 正确厘定交易 固有风险的价 格 协调风险偏好与战 略的关系，确保两 者间匹配 提高应对变革的,就绪程度 减少经营损 失和意外事 件 改善合规和 风险应对措 施,改善对全 企业共同 风险的管 理 改善资本 利用及资 源调配 确保风险承 担与核心业,深化对影 响收益和 资本的风,险认识,务竞争力相 符 保护声 誉和品 引入系统 化的风险 评估流程 ，提高管理 层对风

11、险管 理的信心,改善经 营绩效 预见和 沟通绩 效目标 中固有 的不确,企业风险管理的价值 主张： 企业风险管理除推动管 理层的风险管理能力日 趋成熟以外，还从以下 三方面帮助管理层保护 和提升企业价值： 建立可持续的竞争优势；,优化风险管理成本 帮助管理层改善经营业 绩,16,1 通过评估重大事件 发生的可能性及其 影响效应，以及提 出预防这些事件发 生或管理这些事件 （如确实已经发生） 影响的响应措施， 减少绩效的不稳定 性。 减少绩效的 不稳定性,2 当风险管理的职能 部门不止一个，而 要管理的风险也不 止一种时，就需要 有一个通用的框架。 同时也可回答投资 者经常提出的问题： “有哪些

12、风险，怎么 管理这些风险，你 又是怎么知道这些 风险的?” 协调和整合风险 管理的职能部门 和管理程序,3 投资者可评价企业 在了解和管理风险 方面的能力，以便 对照所承受的风险， 粗略地评估自己的 投资回报是否足够 丰厚。 增强投资者的 信心,4 提升企业识别风险、 确定风险轻重缓急 次序和规划风险的 能力，合理调配企 业资源。 响应不断变化的业 务环境,企业风险管理的作用（续） 企业风险管理有助于管理层协调风险偏好与企业战略之间的匹配关系，强化 风险应对决策，减少营运意外事件和损失，识别和管理贯穿整个企业的风险， 建立抵抗多重风险的综合响应预案，抓住机遇及改善资本配置。,17,目录 对内部

13、控制的理解 风险管理与其在企业管理中的作用 内部审计及其在企业管理中的作用 内部控制、风险管理和内部审计的关系与整合 风险导向的内部控制体系的构建,内部审计演进,控制纠正,与管理层合作,价值创造 实行风险和 控制自我评估,中间阶段 流程改进,企业全面风险管理,持续的风 险管理,风险咨询,舞弊防范,财务/合规 性审计,合规性,价值保护 关注交易/ 资产保护,相关风险范围,流程分析 & 最佳实务操作,有限的,全面的,18,风险评估及 建立模型 制定内部 审计方案,提交结论及 建议 执行内部 审计测试,内部审计 建立内部 审计测试,德勤内部审计模型 审计准备,20,目录 对内部控制的理解 风险管理与

14、其在企业管理中的作用 内部审计及其在企业管理中的作用 内部控制、风险管理和内部审计的关系与整合 风险导向的内部控制体系的构建,目标设定,事项识别,风险评估,风险应对,内部控制和风险管理的框架：COSO框架的演进,监控,子 公 业 司 务 分 单 支 位 企 机 业 构 层 面,内部环境 信息和沟通 控制活动 风险评估 控制环境 控制活动 信息与沟通 监督,COSO内控框架(1992),COSO风险管理框架(2004),21,目前对风险管理与内控认识存在的误区,把内部控制与全面风险管 理体系的建设理解为建章 立制。 内部控制体系和全面风险 管理体系是相互独立的。 内部控制和全面风险管理 的作用被

15、夸大。 内部控制与全面风险管理 理念在企业实践落地难。,误区, 内置于企业日常管理过程中，是 一种常规运行的机制。 整合建设，但根据企业特点各有 侧重。 无论多么先进的内部控制和风险 管理体系都只能为企业相关目标 的实现提供合理的而非绝对的保 证。 新事物的导入有个过程，要认清 风险管理成熟度。,正解, 22,风险管理与内部控制的关系 理论界对内部控制与风险管理的关系有两种观点： q 观点1：认为风险管理是内部控制的组成部分 q 观点2：认为内部控制是风险管理的组成部分,23,24,风险管理与内部控制的关系（续） 我们的看法是： q 如果以风险作为管理的起点，则内部控制是风险的应对，可以理 解

16、为控制属于风险管理的实现工具，因此控制包含于风险管理； q 如果认为企业管理的实质是控制，风险管理只是在资源有限性和 对象复杂性矛盾下的平衡和导向，那么风险管理可以作为控制系 统的一部分； q 从组织结构来看，内部控制和风险管理相应的组织结构是完全一 致的，说明二者都应该无缝整合到一定的组织结构中，和其他有 关的业务和职能管理共同服务于企业管理。,风险管理与内部控制的关系（续） 公司治理、风险管理和内部控 制是现代企业管控体制的组成 部分。,q 公司治理：是现代企业调 整所有者和管理者矛盾的 体系；,q 风险管理：是管理层应对 内外的各种挑战和不确定 因素的时候，所采用的较 为系统的方法和过程

17、； q 内部控制是：现代企业内 部日常经营运作的业务过 程，管理者负有实施和监 督的完全责任。,现代企业管控体制 公司治理,风险管理,内部控制,25, 风险管理：做正确的事 风险管理解决的不仅是流程问题，更是 要解决战略决策问题、应急处理问题； 不仅要解决当前的问题，更要预测和应 对将来可能发生的问题；不但要解决“ 正确地做事”，关键是还要解决“做正确 的事” 风险管理更偏向于前端，对影响目标实 现的因素的分析、评估与应对，防止重 大决策失误，防止出现重大危机问题。, 内控：正确的做事 内控解决的是流程问题，包括业务流 程、管理流程中的风险控制，解决的 是“正确地做事”。 内部控制更加重视实施

18、，嵌入到企业 各业务流程的具体业务活动中，融合 在企业的各项规章制度之中，使企业 在正常运营过程中自发地防止错误， 确保合规和真实，从而合理保证目标 的实现。,26,风险管理与内部控制的关系（续）,27,风险管理与内部控制的关系（续） 我们认为，风险管理不是罗列所有风险，而是一个循环管理的机制，通过识别、评估 风险、建立应对措施、对风险进行监控与汇报、针对风险持续改善这个流程，形成风 险管理机制，为公司健康发展奠定基础。核心是风险管理文化与意识。,固有风险 - 风险控制措施 =,变幻无常的世界 财务 声誉 法律法规 健康安全环保 无处不在的病菌 病毒库,企业可接受的风 险 和管理缺陷 如何积极

19、应对 病痛 服药/手术,企业的管控体系 预防或 积极应对及 恢复 提升 人体免疫系统 自身免疫/锻炼,剩余风险 （风险敞口）,28,风险管理与内部控制的关系（续）,29,风险管理与内部控制的关系（续） 风险与内控要适度，过度的控制和过度的风险都会给公司带来不利影响。 过度的控制 官僚作风 生产力 复杂性 周期 非增值性活动 过度的风险 资产的损失 业务决策不流畅 不守法 丑闻,内部审计与内部控制的关系 判定内部控制设计的有 效性和执行的有效性， 定期评估内控 内外审计监控 内控缺失弥补 内部审计部门对内部控制履行事后检查监督职能。内部审计部门定期对公司内部控 制的健全性、合理性和有效性进行审计

20、，审计范围应覆盖公司所有主要风险点。审 计发现的内控缺陷向同级内控管理职能部门反馈，确保内控缺陷及时彻底整改。,30,内部审计与风险管理的关系 内部审计部门在审计委员会的领导下作为企业风险管理的第三道防线，针对公司已经建 立的风险管理流程和各项风险的控制程序和活动进行监督。,31,内部控制和风险管理体系对内部审计的作用 q 内部审计在制定审计计划的过程中，可以利用风险评估结果，对 于高风险领域投入更多的审计资源； q 对于内部控制自评估发现的缺陷，内部审计可以借鉴利用，提高 内部控制审计质量； q 内部控制对业务流程的梳理和关键控制的确定可以加深内部审计 对于企业业务的深入理解； q 风险管理

21、体系中识别的风险，可以为审计业务的开展提供很好的 参考。,32,实践中的做法,业务部门,搭建风险与内控管理框架， 确定风险分类和路径： 协助各部门、单位识别各种风 险； 收集风险信息并定期更新风险 数据库，对风险进行分类，进 行内控体系建设和操作风险管 理； 共享内审部门风险导向型审计 计划的同时，及时从内审部门 获取各项评估或者审计的结果， 并据其对风险做进一步评估及 排序。 风险与 内控管理部门,按照既定规程操作和运营： 向风险管理部门提供风险信息； 定期确认风险控制矩阵的持续 正确，并对过时的内容提出更 新建议； 在内审部门牵头下进行测试以 验证控制设计有效性； 开展自我评估，自我确认关

22、键 控制执行是否有效； 在内控执行力评估的过程中， 配合内审部门开展运行有效性 测试的工作。 内部审计 部门,对管理层内部控制自我评估工作进行监督： 结合风险评估制定年度审计计划，在高风险领域投入更多 的审计资源 在内控执行力评估中，进行独立评价，审阅内控缺陷汇总 及整改情况，并对监督检查中发现的内部控制重大缺陷， 有权直接向董事会及其审计委员会、监事会报告。,33,德勤关于建立健全内部控制体系的实施方法论,34,35,目录 对内部控制的理解 风险管理与其在企业管理中的作用 内部审计及其在企业管理中的作用 内部控制、风险管理和内部审计的关系与整合 风险导向的内部控制体系的构建,建设内部控制体系

23、的路线图,内控评价 制定内控评价办 法 开展内控评价 跟踪缺陷整改 编制内控评价报 告,内控整改固化 记录内控缺陷 设计整改方案 完善内控制度 更新内控文件,内控梳理对标 成立专属部门 确定梳理范围 实施风险评估 整理现有制度 辨识内控环节 对标管理规范,内控审计 进行模拟审计 提供所需证据 出具管理声明 披露审计报告,信息化建设 管理层持续整改/内部监督持续开展,36,37,各阶段工作解决方案分享内控梳理对标,38,成立专属部门 确定梳理范围 实施风险评估 整理现有制度 辨识内控环节 对标管理规范,内控梳理对标,风险应对 变革管理,内部审计机制,控制活动,治理结构、 内部机构设置 与职责分配

24、 企业文化与 道德规范 人力资源政策,目标设定 风险识别 风险分析,内部信息 收集与沟通 外部信息 收集与沟通 反舞弊机制,日常监督 专项监督,人力资源,合同,资金 销售 全面预算,工程项目 信息系统一 般控制,财务报告 存货 固定资产 管理,信息与沟 通,采购 ,风险评估,内部控制,内部环境,各阶段工作解决方案分享内控梳理对标（续） 从内部控制五要素出发梳理企业内控，关注重要业务事项和高风险领域：,成立专属部门 确定梳理范围 实施风险评估 整理现有制度 辨识内控环节 对标管理规范, 可运用适当的风险识别工具，逐步细化风险点和管理手段 充分运用风险管理工具，强化风险管理，提升经营水平，并为 内

25、控体系建设和内控评价奠定良好基础,39,各阶段工作解决方案分享内控梳理对标（续） 风险识别与评估的依据： 内控梳理对标 应重点关注18个内部控制应用指引中所列示的风险,40,各阶段工作解决方案分享内控梳理对标（续） 风险识别和管理工具企业风险地图 内控梳理对标 成立专属部门 确定梳理范围 实施风险评估 整理现有制度 辨识内控环节 对标管理规范,成立专属部门 确定梳理范围 确定梳理范围 整理现有制度 辨识内控环节 对标管理规范,企业现有制度 访谈内容,41,各阶段工作解决方案分享内控梳理对标（续） 依托最佳实践和控制数据库进行对标梳理 内控梳理对标,控制活动编写的原则：4W+1H WHO:哪个岗

26、位执行控制活动 WHEN:该控制活动发生的时间或频率 WHERE: 该控制活动发生的地点 WHAT: 根据什么进行控制如制度、单据、报告、 电子邮件、系统数据等 HOW: 控制活动的具体内容是如何？如何操作？,42,内控梳理对标 成立专属部门 确定梳理范围 确定梳理范围 整理现有制度 辨识内控环节 对标管理规范,各阶段工作解决方案分享内控梳理对标（续）,内控整改固化 记录内控缺陷 设计整改方案 完善内控制度 更新内控文件, 记录内部控制缺陷成因、表现形式和影响程度 以控制目标为核心，打破部门和流程局限，设计 适合企业运营特点的整改方案 明确整改责任部门与责任人 明确整改完成期限 追踪整改进度

27、保留整改证据,43,各阶段工作解决方案分享内控整改固化 建立内部控制缺陷认定汇总表,44,各阶段工作解决方案分享内控整改固化（续） 内部控制手册、业务流程图与流程文件 内控整改固化 记录内控缺陷 设计整改方案 完善内控制度 更新内控文件,内控整改固化 记录内控缺陷 设计整改方案 完善内控制度 更新内控文件, 版式、内容更新： 制度中规定的内容切合现行业务现状以及管控现状，实质内 容不需更新，但是需要依据公司管理层的要求对行文或格式 进行调整； 制度中规定的相关内容已经不适用于公司运作现状，需要对 相关内容进行调整更新，调整更新的方式包括：重新编写部 分内容，对某些制度中的相关内容按照实际情况，

28、进行删减、 合并或者替换等； 制度新增：公司无此制度，建议新增的制度 名称更新：根据管理制度覆盖面，内容和细致度等进行分层级划 分，统一制度名称。如划分为准则或规则、制度、管理办法、细 则或程序、及其他等。,45,各阶段工作解决方案分享内控整改固化（续） 管理制度更新,46,各阶段工作解决方案分享内控整改固化（续） 内控活动与制度对接 内控整改固化 记录内控缺陷 设计整改方案 完善内控制度 更新内控文件,47,各阶段工作解决方案分享内控整改固化（续） 内控与制度智能化查询软件 内控整改固化 记录内控缺陷 设计整改方案 完善内控制度 更新内控文件,制定内控评价 办法 开展内控评价 跟踪缺陷整改

29、编制内控评价 报告,48,制定评 价工作 方案,组成评 价工作 组,实施现 场测试,认定控 制缺陷,汇总评 价结果,编报评 价报告,各阶段工作解决方案分享内控评价 解决方案一：基于指引，实施方案的最低要求： 内控评价,控制活动编号 控制活动,IV-CA-104 采购预报与收货清单信息核对一致后，收货组人员对货物进行初步检查，检查无误后在收货凭证上签字；对于检查,有误的情况，填写业务联系单，经业务主管及分管仓储的副总监审核确认后，通知采购中心，并根据其回复意 见处理。 集团项目组测试,截止上次测试累计有效样本量,0 个,总样本量 具体测试方法,25个 获取存货收货凭证，检查：,1.与该批存货对应

30、的采购预报、收货清单上信息一致； 2.收货组人员在收货凭证上签字确认； 若存在检查有误的情况，还需获取业务联系单并检查： 1.业务联系单依次经过业务主管及分管仓储分总监审核； 2.采购中心根据管理层意见执行相关处理。,测试属性,样本描述,预报、收货清单上信息上签字确认 一致,次经过业务主管及分管仓储分总监审核；解释 同时.采购中心根据管理层意见执行相,与该批存货对应的采购收货组人员在收货凭证 检查有误的情况，业务联系单依 样本属性 未达标样本底稿索引,关处理 第一轮测试样本： 1）XXX集团-2009.10.23-存,货收款凭证编号X235498号，,金额RMB 2,394,000元,是,是,

31、不适用,正常,不适用,控制测试底稿模版示例,制定内控评价 办法 开展内控评价 跟踪缺陷整改 编制内控评价 报告,50,业务 部门 自评,组成 评价 工作 组,实施 现场 测试,认定 控制 缺陷,汇总 评价 结果,编报 评价 报告,制定 评价 工作 方案 建议：,在内控评价部门及其工作小组开展内部控制评价工作之前，编制内部控 制自评问卷，交由各业务部门各控制责任人，自行梳理相关内部控制、 检查内部控制的有效性并填写内部控制自评问卷。内控评价部门及其工 作小组在各业务部门自评的基础上开展内部控制评价工作。,各阶段工作解决方案分享内控评价（续） 解决方案二：基于指引，实施方案的建议要求： 内控评价,

32、内部控制自我评价问卷模版示例,52,业务部 门自评,组成评 价工作 组,实施现 场测试,认定控 制缺陷,汇总评 价结果,编报评 价报告,制定评 价工作 方案 建议：,在内控建立阶段，就将企业内部控制固化至信息系统中，在信息系统 中为各内部控制落实责任人，审阅人、自评记录以及测试记录、结果 汇总、缺陷跟踪等功能配置，使得上述“解决方案二”的工作完全可以 在线维护，在线开展！,制定内控评价 办法 开展内控评价 跟踪缺陷整改 编制内控评价 报告,各阶段工作解决方案分享内控评价（续） 解决方案三：基于指引，实施方案的最佳要求： 内控评价 运用信息系统，将工作IT化,内控评价,53,解决方案一,Vs,解决方案二,Vs,解决方案三,制定内控评价 办法 开展内控评价 跟踪缺陷整改 编制内控评价 报告,各阶段工作