1、内控审计部内控与风险管理体系建设回顾与改革内控与风险管理体系建设回顾与改革内控审计部内控与风险管理处内控审计部内控与风险管理处 内控审计部目录目录一、内控与风险的内在逻辑一、内控与风险的内在逻辑二、内控与风险管理的外部环境二、内控与风险管理的外部环境三、内控与风险管理体系建设经验总结三、内控与风险管理体系建设经验总结四、内控与风险管理体系建设的改革四、内控与风险管理体系建设的改革内控审计部一、内部控制与风险的内在逻辑一、内部控制与风险的内在逻辑 一、内控与传统管理中的控制的一、内控与传统管理中的控制的区别与联系区别与联系 二、内控是不是制度汇编?二、内控是不是制度汇编?内部控制,是由企业董事会
2、、监事会、经理层和全体员工内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发关信息真实完整,提高经营效率和效果,促进企业实现发展战略。展战略。三、内控与传统管理不同,内控引入三、内控与传统管理不同,内控引入风险风险的理念,这一理的理念,这一理念的提出是一次革命念的提出是一次革命内控审计部一、内部控制与风险的内在逻辑一、内部控制与风险的内在逻辑 四、
3、风险是什么?四、风险是什么?风险是不确定性对目标的影响,风险是不确定性对目标的影响,影响是与期待的偏差影响是与期待的偏差-积积极和极和/或消极,目标可以有不同方面(如财务、健康安全或消极,目标可以有不同方面(如财务、健康安全、以及环境目标),可以体现在不同的层次(如战略、组、以及环境目标),可以体现在不同的层次(如战略、组织范围、项目、产品和过程)。织范围、项目、产品和过程)。风险通常以潜在事件和后果,或它们的组合来描述风险通常以潜在事件和后果,或它们的组合来描述。风险。风险通常以事件(包括环境的变化)后果和发生可能性的组合通常以事件(包括环境的变化)后果和发生可能性的组合来表达。不确定性是指
4、,与事件和其后果或可能性的理解来表达。不确定性是指,与事件和其后果或可能性的理解或知识相关的信息的缺陷的状态,或不完整。或知识相关的信息的缺陷的状态,或不完整。五、风险管理五、风险管理 针对风险指挥和控制组织的协调活动。针对风险指挥和控制组织的协调活动。六、体系泛指一定范围内或同类的事物按照一定的秩序和六、体系泛指一定范围内或同类的事物按照一定的秩序和内部联系组合而成的整体,是不同系统组成的系统。内部联系组合而成的整体,是不同系统组成的系统。内控审计部二、二、内部控制内部控制与风险管理与风险管理的的外部环境外部环境外部监管规定 1992年COSO委员会提出了内部控制整合框架;2002年美国国会
5、通过了萨班斯法案;2001年12月美国最大的能源公司之一安然公司,突然申请破产保护,此后上市公司和证券市场丑闻不断,特别是2002年6月的世界通信公司会计丑闻事件,“彻底打击了投资者对资本市场的信心”(国会报告,2002)。美国国会和政府加速通过了该法案以图改变这一局面。法案的第一句话:“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。”这该法案的主要内容之一就是明确公司管理阶层责任(如对公司内部控制进行评估等)、尤其是对股东所承担的受讬责任,同时,加大对公司管理阶层及白领犯罪的刑事责任。内控审计部二、二、内部控制内部控制与风险管理与风险管理的的外部环境外部环境 2004
6、年COSO委员会提出了风险管理整合框架 2005年香港联交所颁布了公司管治常规守则 2006年国资委出台了中央企业全面风险管理指引,2008年财政部会同证监会、审计署、银监会、保监会制定了企业内部控制基本规范 2010年财政部会同证监会、审计署、银监会、保监会发布了企业内部控制配套指引 内控审计部 二、二、内部控制内部控制与风险管理与风险管理的的外部环境外部环境2013COSO17个核心内控原则:1 组织对正直和道德等价值观做出承诺;2 董事会独立于管理层,并对内部控制的推进与成效加以监督控制;3 管理层围绕其目标,在治理层监督下,建立健全组织架构、汇报条线、合理的授权与责任等机制;4 组织对
7、吸引、开发和保留与认同组织目标的人才做出承诺;5 组织根据其目标,使员工各自担负起内部控制的相关责任;6 就识别和评估与其目标相关的风险,组织做出清晰的目标设定;内控审计部 二、二、内部控制内部控制与风险管理与风险管理的的外部环境外部环境 7 组织对影响其目标实现的风险进行全范围的识别和分析,并以此为基础来决定风险应如何进行管理;8 组织在风险评估过程中,考虑潜在的舞弊行为;9 组织识别和评估对内部控制体系可能造成较大影响的改变;10 组织选择并开展控制活动,将风险对其目标实现的影响降到可接受水平;11 对(信息)技术,组织选择并开展一般控制以支持其目标的实现;12 组织通过合理的政策制度和保
8、证这些政策制度切实执行的流程程序,来实施控制活动;内控审计部 二、二、内部控制内部控制与风险管理与风险管理的的外部环境外部环境 13组织获取或生成,并使用相关、有质量的信息来支持内部控制发挥作用;14组织在其内部沟通传递包括内部控制的目标和责任在内的必要信息以支持内部控制发挥作用;15组织与外部相关方就影响内部控制发挥作用的事宜进行沟通;16组织选择、推动并实施持续且(或)独立的评估以确认内部控制的要素是存在且正常运转的;17组织在相应的时间范围内,评价内部控制的缺陷,并视情况与那些应采取正确行动的相关方(如:高级管理层,董事会)进行沟通。内控审计部二、二、内部控制内部控制与风险管理与风险管理
9、的的外部环境外部环境 2012年5月7日,财政部、国资委下发关于加快构建中央企业内部控制体系有关事项的通知(国资发评价201268号),要求所属控股上市公司资产比重超过60%的中央企业,应当于2012年建立起覆盖全集团的内部控制体系。中国神华占集团公司收入的73%,利润的88%.中国与世界经营国际化接轨的重要组成部分 中央企业做强做优、培育具有国际竞争力的世界一流企业对标指引(国资发改革2013 18号)中央企业做强做优、培肓具有国际竞争力的世界一流企业要素指引(国资发改革201317号,提出的公司治理、人才开发与企业文化、业务结构、自主研发、自主品牌、管理与商业模式、集团管控、风险管理、信息
10、化、并购重组、国际化、社会责任、绩效衡量与管理等)内控审计部二、二、内部控制内部控制与风险管理与风险管理的的外部环境外部环境 风险管理要素风险管理要素【目标】风险管理要成为覆盖从战略决策到岗位操作的全过程、全方位、全员的管理,防范损失、创造价值,为企业可持续发展提供保障。【指导原则】遵循国资委和相关部委、监管机构发布的风险管理规则要求,并根据企业发展战略和管理需要,借鉴国内外最佳实践,将风险管理融入制度建设、流程优化和生产经菅全过程,持续提升风险管控能力。【体系建设】公司治理、集团管控和组织设计能满足风险管理要求,内部控制覆盖全面、合规有效,风险管理策略清晰并具有量化的风险承受度,以信息化手段
11、确保风险管理体系的规范高效运行。内控审计部二、二、内部控制内部控制与风险管理与风险管理的的外部环境外部环境【重点监控】明确各层级风险管控的重点领域、环节、事项和关键岗位,有效配置管控资源,构建预警指标体系并不断完善,持续监测评估风险,制定应对措施和预案并适时评价其有效性,防范和化解重大风险。【制度文化】加强风险防范制度建设,完善风险防范机制,提高依法治企水平。着力培育与企业灾化融为一体、支持风险管理体系有效运行的风险文化。不断强化员工风险意识,使管控风险成为全员自觉行为。内控审计部三、内控与风险管理体系建设经验总结三、内控与风险管理体系建设经验总结 对照五个一一个理念:1、“企业可以做到有序经
12、营不破产”,“超出风险可接受水平就是经济安全事故”2、经济大案要案零容忍3、违法违纪违规零容忍4、生产安全风险预控理念:煤矿可以做到不死人,生产瓦斯不超限,超限就是事故,现在又提出零死亡,零伤害更高目标内控审计部三、内控与风险管理体系建设经验总结三、内控与风险管理体系建设经验总结一个体系 内部控制手册旨在搭建公司内控体系建设的基础平台,明确内控组织及职责权限,确立业务管理流程控制、监督与评价以及管理改进等内控执行系统的基本程序与方法,提出内控环境建设、全面风险管理以及信息沟通等内控支持系统的具体要求,将内部控制环境建设、目标设定中的风险考量、风险管理、业务管理流程控制、信息与沟通、监控与评价以
13、及管理改进紧密联系,形成建设、检查和改进的闭环控制责任体系。一个流程,年初风险评估报告,季度重大风险监控、季度内控缺陷整改完成情况报告,年度内控评价内控审计部三、内控与风险管理体系建设经验总结三、内控与风险管理体系建设经验总结 具体标准:建立全集团适用的,基本的、统一的内部控制建设原则,评价标准,建立涵盖业务风险、控制标准为内容的横向到边、纵向到底内部控制建设评价体系。横向到边包括公司治理、战略规划、五型企业及绩效、企业文化、生产运营指挥、煤炭生产、电力生产、铁路运输、港口生产、航运生产、煤制油化工、投资管理、工程管理、资本运营、物资与采购、市场与销售、业务外包、综合办公、法律事务、财务管理、
14、人力资源、产权管理、安全与健康、信息化、企业运作、科技创新、环境保护、内部控制审计、纪检监察、工会工作、新闻宣传、信访管理共三十二项主要业务,与制度体系组织体系是一致的。纵向到底包括集团总部(控制标准及原则)、二及公司总部(本地化控制活动)、含管理层的基层单位(本地化控制活动)、生产性的基层单位(本地化控制活动)等所有单位。内控审计部三、内控与风险管理体系建设经验总结三、内控与风险管理体系建设经验总结一个途径(一)内控设计:管理制度化(制度风险审核)、制度流程化(流程优化)、流程表单化(工作表单)、表单信息化(ERP自动控制)、(二)内控执行:业务评估风险、风险控制留痕(日志授权)、留痕检查评
15、价(内控评价)(三)建设路径:1、中国神华的内控建设首先是在公司总部进行,通过现状评估,与国际先进能源企业对标,发现差距,完善制度流程及组织架构,总部内控体系框架建立起来后,首先动态风险评估、内控评价,发现问题,问题整改,管理系统改进。内控审计部三、内控与风险管理体系建设经验总结三、内控与风险管理体系建设经验总结2、上市范围企业在股份总部内控体系建设及评估基础上,总结经验,进行系统风险评估和内控检查评价,开展内控体系建设。3、非上市企业在上市企业风险评估内控检查评价基础上,推广进行系统风险评估和内控检查评价。4、子分公司层面,统一要求在资金(财务)管理、采购管理、招投标管理、产权管理、销售管理
16、、工程项目管理、境外业务管理等7个高风险业务领域推进经济本安体系建设。子分公司是否设置内控与风险管理专职部门,以及如何对内控与风险管理计划和规划,可以在集团公司内控评价标准的架构指导下选择建设内容,但评价统一要求。内控审计部三、内控与风险管理体系建设经验总结三、内控与风险管理体系建设经验总结一支队伍 董事会设立全面风险管理委员会,内控审计部是全面风险管理委员会报告工作,内控审计部设立内控与风险管理处,形成跨部门的内控与风险工作机制。(一)内控审计部:内控审计部是在公司董事长的领导下负责承担公司内部审计管理、内部控制管理和风险管理的职能部门。负责公司内部审计的组织实施和管理,内部控制的监督检查、
17、评价和缺陷整改落实,风险管理体系建设和风险评估、监控等,牵头组织集团公司经济本质安全体系建设的实施工作。(2014年第一季度内控审计机构人统计显示,全集团内控审计人员340人,其中专职294人,内控人员73人,占25%,兼职人员46人,内控人员7人,占8%)。内控审计部三、内控与风险管理体系建设经验总结三、内控与风险管理体系建设经验总结(二)企业管理部:企业管理部负责建立基于制度和流程管理的内部控制体系,制订相关制度、流程、标准,并监督执行;专门成立流程处。(三)各部门共有职责:参与公司战略、规划的制定、审核、执行、监控、评估和调整;参与公司年度预算和滚动预算的编制、调整、执行、控制、分析,参
18、与审核所属单位本业务领域的预算;根据信息化规划,负责组织推进本业务领域的信息化工作,参与跨业务领域信息化建设工作,参与审核所属单位本业务领域的信息化项目;参与公司全面风险管理工作,负责本业务领域的风险管理策略制定、风险识别、风险评估,制定并落实消减措施、处理风险事件。内控审计部三、内控与风险管理体系建设经验总结三、内控与风险管理体系建设经验总结一个文化 通过上市推动公司管理的变革,上市公司内控公开透明的信息披露要求 加内控与风险管理制度建设管理制度 1 全面风险管理办法(集团)专业规范 2 内部控制评价办法(集团,股份)3 风险评估办法(集团)(经过三个部门审核)4 重大风险季度监控实施细则(
19、集团)已下发 5 内部控制手册(股份)(科尔尼)6 自我评估手册(股份)(科尔尼)7 经济本质安全管理体系总体架构(集团)(业务领域风险管理、实施评估风险,应对 )内控审计部三、内控与风险管理体系建设经验总结三、内控与风险管理体系建设经验总结专项实务 8 内部控制评价标准(包括禁止性规定、不相容 职务分离建议)(集团、股份)(德勤)指南 9 内部控制自我评价手册(集团、股份)(每年 修订)10 内部控制检查评价手册(集团、股份)(每 年修订)(利安达07年至11年)11 内部控制评价技术指南(集团)12 内部控制评分办法(集团)13 煤炭板块企业风险预警指标体系(集团)(每年修订)内控审计部四
20、、内控与风险理体系建设改革四、内控与风险理体系建设改革一、风险源排查,事前管理管风险,事中管理管隐患,事后管理管事故二、专项评价(日常评价)三、明确责任(内控建设是一项复杂的工程,授权(人力资源部、企管部、法律事务部、内控审计部,内控建设比授权远远大得多)四、分类建设(基建单位,经济规模大小,一体化板块,金融,海外)五、责任追究(风险源没识别、识别没控制、控制没检查)内控审计部四、内控与风险理体系建设改革四、内控与风险理体系建设改革 监管机构的意见:法律 解释 监督 国际交流 监管 创业板择机 IPO四、内控体系建设改革四、内控体系建设改革内控审计部四、内控与风险理体系建设改革四、内控与风险理体系建设改革内控与风险管理体系建设的优化,控制活动转变为控制环境1、组织责任与授权2、风险评估与预警3、制度流程控制4、信息系统控制5、应急机制6、监督与评价7、绩效考核与问责内控审计部结束语结束语 风险是动态变化的,要实时评估风险 要定期进行风险管理能力评估,控制等级评估 内控与风险管理体系建设只有起点没有终点
