1、内部控制与全面风险管理内部控制与全面风险管理主讲主讲:李三喜李三喜目目 录录 一一案例介绍案例介绍 三三过程分析过程分析 二二动因分析动因分析四四实务分析实务分析 效果分析效果分析 五五案例介绍:案例介绍:基本情况基本情况中国三泰集团公司的经济结构庞杂:房地产开发 物业管理 工业制造 商业贸易等中国三泰集团公司的业务特点上:点多面广 业务复杂中国三泰集团公司组织内的各个法人主体:业务多元化 从事同一业务的手段、方式、环境相对多样化 业务变化性比较强 形成集团统一的内部控制手册难度较大案例介绍:案例介绍:基本思路基本思路明确主要业务目标。规范主要业务流程。强调业务的程序设计,规范业务流程,力求业
2、务流程清晰、规范、统一。明确权限。要明确母子公司、公司与分公司、公司职能部门及重要负责人在业务流程中的权限与责任,责任落实到人或岗位。明确业务风险,突出重点控制环节。总公司内控手册按业务块划分进行。总公司内控手册与现行制度的关系:内控手册侧重于主要业务目标的确立、主要业务流程的规范、主要业务的风险控制,权限划分、责任到人;现行制度是内控手册的支持性文件,制度强调政策性、全面性。在内控手册的大纲设计与编制模式上,将进一步听取和采纳有关专家、咨询机构的论证意见。案例介绍:案例介绍:项目组织项目组织成立内控领导小组,组长由董事长担任。副组长:总会计师领导小组成员:由总经办、人力资源部、财务部、资金部
3、、企管部、法律部、项目部、市场部、科技部、政工部、审计部等相关部门领导组成。领导小组下设内部控制手册制定办公室,由审计部、财务部、法律部联合组成。办公室主任:财务部总经理;副主任:审计部总经理 副主任:法律部总经理办公室成员由相关部门及下属单位有关人员组成,办公室具体落实编写成员并组织编写。建立风控体系的目的建立风控体系的目的1 1内控现状评价报告内控现状评价报告2 2内部控制手册内部控制手册3 3内控自我评估手册内控自我评估手册4 4 全面风险管理手册全面风险管理手册本项目主要成果本项目主要成果满足监管要求满足监管要求国香港联交所公司管治常规守则 企业管治报告。财政部内部控制基本规范等国资委
4、中央企业全面风险管理指引提升风险提升风险管理水平管理水平2009年各项制度160多项,1215页,约300万字。线条粗放,不完整、不深入 主要是文字的表述,但大部分没有流程上的规范,导致同一个制度在执行中存在多种理解、执行的结果也有很大区别。案例介绍:案例介绍:目的及成果目的及成果目目 录录 一一案例介绍案例介绍 三三过程分析过程分析 二二动因分析动因分析四四实务分析实务分析 效果分析效果分析 五五满足监管要求满足监管要求 中国香港联交所监管规定 上海证券交易所监管规定 国资委中央企业全面风险管理指引 COSO企业风险管理整合框架提升公司提升公司管理水平管理水平 通过风控体系建设推动公司管理创
5、新,力求实现不确定环境中公司价值最大化,从而为实现公司战略目标提供合理保障加快内审加快内审战略转型战略转型 实施以管理为目标,以风险为导向,以控制为中心,以增值为目的的现代管理审计动因分析:动因分析:外部监管要求和自身发展需要外部监管要求和自身发展需要中国三泰案例中国三泰案例 风险及其影响风险及其影响风险意味着风险意味着动因分析:风险无处不在、无时不在动因分析:风险无处不在、无时不在 企业的重大损失企业的重大损失甚至倒闭都是由于不甚至倒闭都是由于不良的风险管理所造成。良的风险管理所造成。中航油中航油中储棉中储棉安然安然巴林银行巴林银行风风 险险长虹长虹世通世通德隆德隆长期资本管理长期资本管理八
6、佰伴八佰伴安达信安达信动因分析:动因分析:风险案例及其警示风险案例及其警示 案例带来的思考案例带来的思考 企业在实现目标的道路企业在实现目标的道路上,机遇与风险并存。上,机遇与风险并存。始终能保持竞争力的企始终能保持竞争力的企业,是那些拥有良好的内部业,是那些拥有良好的内部控制力与风险防范的企业控制力与风险防范的企业目目 录录 一一案例介绍案例介绍 三三过程分析过程分析 二二动因分析动因分析四四实务分析实务分析 效果分析效果分析 五五合规型内控合规型内控符合政策法规符合政策法规证券交易所守则国资委要求其它法律法规条款管理型内控管理型内控提高经营效率提高经营效率内控和风险管理融入日常经营中 降低
7、不确定因素对目标实现的影响提高执行力全面风险管理全面风险管理增加股东价值增加股东价值风险管理融入战略和目标制定中 通过风险管理增加利润,优化内部资源分配和投资决策中国三泰案例中国三泰案例国资委国资委中央企业全面中央企业全面风险管理指引风险管理指引的目标的目标过程分析:过程分析:逻辑思路逻辑思路意识决定行动。管理层的风险意识是决定风险管理体系建立和有效实施的原动力。中国中国三泰的风险管理体系建设是一个过程,是一个持续改进、不断完善的过程。中国中国三泰风险管理关键是执行,而不是设计。+控制环境控制环境风险评风险评估估控制活控制活动动信息和信息和沟通沟通监督监督运营运营财务报财务报告告合规性合规性国
8、国投投钦钦州州公公司司各各部部门门各各业业务务单单元元业业务务单单元元COSOCOSO集成的内部控制框架集成的内部控制框架=过程分析:过程分析:逻辑思路逻辑思路控制环境控制环境风险评估风险评估控制活动控制活动信息和沟信息和沟通通监督监督运营运营财务报告财务报告合规性合规性国国投投钦钦州州公公司司相相关关部部门门业业务务单单元元业业务务单单元元COSOCOSO集成的内部控制框架集成的内部控制框架 1992年,美国“反对虚假财务报告委员会(由美国注册会计师协会、国际内部审计师协会等团体发起成立)下设的COSO委员会提出了内部控制整体框架(简称COSO框架)。该框架认为,内部控制应当由五个基本要素组
9、成,即控制环境、风险评估、控制活动、信息与沟通和监督。五个要素构成内部控制的基本体系。2004年COSO委员会又颁布了一个概念全新的COSO报告:即企业风险管理-总体框架。企业风险管理由八项相互关联的要素组成即控制环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通和监督。该框架发布后,得到各国政府相关部门、企业界、审计界的广泛认同,成为现代风险管理理论与实务的基础。过程分析:过程分析:逻辑思路逻辑思路 2006年3月,中天恒历时三年苦心研究推出了”中国式全面控制框架“(简称3C框架)。2007年4月,中天恒又在中国式全面控制框架的基础上,推出3C全面风险管理标准。2009年4月
10、,中天恒又推出3C内控评审操作标准及信息系统。3C框架认为,目标风险管理,这是全面风险管理的内在逻辑。3C框架认为,目标体系、风险融合和管理融合组成企业全面风险管理的有机体系。3C框架认为,全面风险管理实务由风险管理准备、风险管理实施、风险管理报告和风险管理改进组成。3C3C框架框架过程分析:过程分析:逻辑思路逻辑思路第一阶段第一阶段项目启动项目启动第二阶段第二阶段方案设计方案设计第三阶段第三阶段方案试行方案试行第四阶段第四阶段后续完善后续完善第五阶段第五阶段全面实施全面实施项目启动及项目组培训流程和制度梳理风险识别风险分析和评价完善制度和证据编制风险管理手册培训辅导和指导评估完善风险管理手册
11、.全面推广风险整合与风险应对过程分析:过程分析:建设过程建设过程中国三泰案例中国三泰案例 搜集国家有关法律法规单位的组织结构部门岗位职责现行各项规章制度 过程分析:过程分析:操作路径操作路径(1)编制业务流程目录。中国三泰业务流程目录中国三泰业务流程目录流程编号流程编号一级流程一级流程二级流程二级流程三级流程三级流程四级流程四级流程五级流程五级流程CA09财务管理财务管理CA09.01全面预算CA09.01.01预算编制CA09.01.02预算执行CA09.01.03预算调整CA09.01.04预算考评CA09.02资金管理CA09.02.01资金收付管理CA09.02.01.01收款管理CA
12、09.02.01.02付款管理过程分析:过程分析:操作路径操作路径(2)绘制业务流程图。)绘制业务流程图。过程分析:过程分析:操作路径操作路径中国三泰单位风险数据库中国三泰单位风险数据库流程编号一级流程二级流程三级流程四级流程五级流程相关风险备注CA09财务管理CA09财务管理CA09.02资金管理CA09.02.01资金收付管理CA09.02.01.01收款管理不相容岗位未分离收到的款项未及时、全部入账坐支现金库存现金超限额、账实不符现金存取不安全银行存款账实不符过程分析:过程分析:操作路径操作路径 针对具体的风险,为每一个控制点制定出具体的控制措施一般控制点关键控制点过程分析:过程分析:操
13、作路径操作路径 在确定各控制点和控制措施的基础上,将控制在确定各控制点和控制措施的基础上,将控制责任落实到相应的部门和岗位上,以保证责任到人,责任落实到相应的部门和岗位上,以保证责任到人,失职必究。失职必究。过程分析:过程分析:操作路径操作路径 一是表单本身就是控制措施的落实,将控制点和控制措施落到实处;二是表单的流转为内部控制留下痕迹,有利于进行内部控制测试与评价。过程分析:过程分析:操作路径操作路径控制目标风险分析控制点控制措施控制责任控制证据过程分析:过程分析:操作路径操作路径 对现场工作取得的成果和收集的资料进行进一步整理和完善,编制控制程序文件,并将上述各阶段成果汇总形成企业的风控手
14、册。过程分析:过程分析:操作路径操作路径 考虑到中国企业对制度的高度认同和有效执行,根据内部控制措施对现有制度进行完善,制度修订后下发执行。过程分析:过程分析:操作路径操作路径目目 录录 一一案例介绍案例介绍 三三过程分析过程分析 二二动因分析动因分析四四实务分析实务分析 效果分析效果分析 五五Establish Establish Control Control environmentenvironmentMonitor and Monitor and improvingimproving IdentifyIdentify risks risksEstablish Establish Con
15、textContext R Riskiskresponseresponse R RiskiskControl Control activitiesactivitiesInformation Information communicatiocommunication nRiskRisk assessmentassessment风险管理环境风险管理环境 公司文化 管理政策 风险容忍度 跨功能风险 管理组织目标设定目标设定 战略 运营 合规风险识别风险识别 关键成功 因素 威胁因素 主要风险风险评估风险评估 描述 量化 整合 排序风险回应风险回应 决策 机会与威胁 把握风险控制风险控制 风险处理 计
16、划 流程 资讯与沟通资讯与沟通 监控报告 监控与改进监控与改进 审计:内部和外部 检查:专项、CSA 中国三泰案例实务分析:中国三泰案例实务分析:中国三泰案例 国务院国资委实务分析:实务分析:国家标准国家标准第一章总则第二章风险管理初始信息第三章风险评估第四章风险管理策略第五章风险管理解决方案第六章风险管理的监督与改进第七章风险管理组织体系第八章风险管理信息系统第九章风险管理文化第十章附则附录:风险管理常用技术方法简介附录:风险管理常用技术方法简介 第五章第五章 信息与沟通信息与沟通 第六章第六章 内部监督内部监督 第七章第七章 附则附则 内部控制基本规范内部控制基本规范 中天恒管理咨询公司和
17、中天恒会计师事务所以构建中国企业自己的全面风险管理标准为己任,在继2006年推出的中国式全面控制框架(简称“3C框架”)的基础,于2007年4月19日(农历三月初三)正式推出了“3C框架:中国式全面风险管理标准”(简称“3C全面风险管理标准”),包括3C全面风险管理基本框架、3C全面风险管理实务标准、3C全面风险管理操作指南三部分。3C框架:中国企业自己的全面风险管理标准框架:中国企业自己的全面风险管理标准 实务分析:实务分析:3C3C框架框架1.3C框架全面风险管理框架图(框架全面风险管理框架图(1)标标 准准 框框 图图 3C框架全面风险管理流程简图框架全面风险管理流程简图 标标 准准 框
18、框 图图 1.1.概念概念 风险识别=风险辨识=风险确认=事件识别,是确认风险的过程。2.2.内容内容 关键是把风险叼出来,一般可绘制成如下“骨”图:p风险识别风险识别实务实务分析:分析:管理实务管理实务中国三泰案例中国三泰案例:p风险评估风险评估1.1.概念概念 全面风险管理的一个重要组成部分,是在风险识别的基础上对风险进行计量、分析、判断、排序的过程,包括风险计价、风险分析、风险评价等步骤,是风险应对的主要依据,应立足于对固有风险和剩余风险的评估。2.2.内容内容 一般来说,对识别出来的风险,从可能性和影响两个方面进行评估后,就可以根据评估的结果采取应对措施。3.3.方法方法 风险评估方法
19、包括定性方法和定量方法,应定性方法和定量方法相结合进行。企业的在风险评估中访谈、集体讨论、专家咨询、问卷调查、标杆分析是比较常用的方法,我国中央企业在实践中已采用过去风险事件总结和分析、同业企业风险事件总结和分析、部门初始风险评估表、企业初始风险汇总表等具有自主创新,有很强的实用性。risrisk1k1RiRisksk2 2。综合信息框架综合信息框架风险图谱风险图谱风险辨识风险分析风险初步判断确认风险事件风险定义归类红灯区黄灯区绿灯区可能性重要性风险列表风险列表分析结果分析结果风险表现分析风险影响分析风险动因分析风险关系分析风险发生可能性评价风险影响程度评价风险评价风险模型重大风险模型。风险评
20、估报告风险评估报告p风险应对风险应对1.1.概念概念 选择应对风险策略的过程,是全面风险管理的重要环节。2.2.内容内容风险规避彻底避免改变条件中途放弃风险降低消除风险可能发生的根源降低损失发生的可能性、频率缩小损失程度风险分散多角经营多方投资多方筹资外汇资产多元化多方供应商多方客户风险转移控制型非保险转移财务型非保险转移保险风险接受全部风险接受部分风险接受之分风险利用把风险当作机遇风险利用,实现目标3.3.方法方法研讨会访谈复核分析聘请外部专家p风险控制风险控制1.1.概念概念 风险控制=控制活动=控制政策=控制程序=控制措施的=应对措施,就是应对风险的各种措施。2.2.内容内容 就是风险控
21、制的措施,从风险角度看:管理风险控制措施经营风险控制措施财务风险控制措施法律风险控制措施其他风险控制措施3.3.步骤步骤建立风险控制文档建立关键控制制定控制程序文件根据变化的内外部环境调整控制措施,并完善相应的制度文件4.4.方法方法岗位授权岗位授权审批制度审批制度绩效考核绩效考核敏感性职责分离敏感性职责分离权力制衡权力制衡信息系统控制信息系统控制预警机制等预警机制等p风险报告风险报告1.1.概念概念 就是对企业风险管理的情况的报告,报告风险是全面风险管理的一个重要环节,可作为全面风险管理的独立环节,根据需要可在全面风险管理的过程中随时报告重大的风险情况。2.2.内容内容 关键要素是风险、损失
22、、管理、指标和措施。引言引言 简要本期进行风险管理的人员、时间、范围及其风险管理责任等。正文正文 (一)风险及损失情况 (二)全面风险管理情况 (三)加强全面风险管理建议 附件附件1.1.概念概念 风险预警作为风险管理报告阶段的一个重要环节,或作为风险报告的一项重要内容。风险预警能够预先告知管理当局和投资者有关组织内部所隐藏的问题,及早采取防范措施。2.2.风险预警内容风险预警内容p风险预警风险预警风险预警机制风险预警模式风险预警指标风险预警标准p风险监督风险监督1.1.概念概念 风险监督=监督检查=监督评价=持续监督=监控=监控系统=内部监督,就是企业全面风险管理健全、合理、有效性进行监督检
23、查的过程.2.2.内容内容 全面风险管理管理什么就得监督什么。风险监督的内容不是监督的方式,更不是监督的主体,但风险监督的内容因监督方式、监督主体的不同而不同。持续监督专项监督3.3.步骤步骤对风险从开始监督到结束监督行为的基本过程。包括:如何做好计划如何进行具体实施如何报告监督的结果4.4.风险监督方法风险监督方法核对清单调查问卷流程图技术自我评估法p风险审计风险审计1.1.概念概念2.2.内容内容 独立审计 政府审计 内部审计重点审查的重点审查的内容内容可能引发风险的内外因素可能引发风险的内外因素 风险发生的可能性和预计带来的后果风险发生的可能性和预计带来的后果对抗风险的能力对抗风险的能力
24、 风险管理的具体方法及效果风险管理的具体方法及效果p管理改进管理改进1.1.概念概念 根据存在的缺陷和变化的情况改进风险管理动态过程2.2.内容内容 至少包括改进报告缺陷和应对变化。3.3.流程流程 流程一:分析总结报告缺陷,编制风险管理缺陷汇总分析表流程一:分析总结报告缺陷,编制风险管理缺陷汇总分析表风险管理缺陷汇总分析表风险管理缺陷汇总分析表序号缺陷发现来源问题描述缺陷分析影响评价改进意见涉及部门 流程二:识别变化情况,编制风险管理变化情况分析表流程二:识别变化情况,编制风险管理变化情况分析表风险管理变化情况分析表风险管理变化情况分析表序号类别原情况摘要变化后情况摘要影响评价改进意见涉及部
25、门1战略决策2组织架构3人力资源4业务流程5信息系统6调整事项7政策法规8监管要求9市场供需10技术趋势11自然环境管理层管理层CEO第第三三道防线道防线第第二二道防线道防线第一道防线第一道防线业务部门业务部门董事会董事会风险管理风险管理内部审计内部审计审计委员审计委员会会风险管理风险管理委员会委员会实务分析:实务分析:如何落地如何落地目目 录录 一一案例介绍案例介绍 三三过程分析过程分析 二二动因分析动因分析四四实务分析实务分析 效果分析效果分析 五五效果分析:效果分析:初步成效初步成效提升了公司提升了公司治理水平治理水平重建了投资重建了投资管理合理模式管理合理模式初步初步成效成效重建了安全
26、重建了安全管理合理模式管理合理模式为公司实现跨为公司实现跨越式发展提供越式发展提供了保障了保障重建了资金重建了资金管理合理模式管理合理模式促进了国有促进了国有资产保值增值资产保值增值中国中国三泰集团的法人治理结构更加完善,企业文化良性发展,风险管理机制有效运转,制度执行力得到加强,资产管理水平进一步提高,信息披露质量更加可靠,公司管理基础更加扎实,有效地保障了公司的健康、长远发展”国资委国资委效果分析:效果分析:受到主管部门好评受到主管部门好评项目成功的关键因素项目成功的关键因素高层领导的全力支持高层领导的全力支持与风控部团队的精诚合作与风控部团队的精诚合作总部各部门的密切配合总部各部门的密切
27、配合分(子)公司的密切配合分(子)公司的密切配合对相关人员提供培训对相关人员提供培训 全公司启动大会,陈董事长亲自动员,指示方向,总裁亲自部署,10人次高管层访谈,4次总裁及监事会汇报风控部团队严控制量,把握具体的思路,平均每周1-2次项目讨论,逐章逐节逐字推敲558页手册,500多页报告、汇报、培训演示文档,4次月进度质量评价 20人次管理层访谈,173份问卷调查,针对26个重要流程进行了21场部门管控研讨 8人次管理层访谈 5 次风控相关人员培训(21场部门培训)项目实施具体工作项目实施具体工作效果分析:效果分析:成功秘笈成功秘笈 风险管理失效关键是不执行风险管理失效关键是不执行 没有执行力,就没有竞争力没有执行力,就没有竞争力 执行是风险管理之生命执行是风险管理之生命没有控制力就没有执行力,要从管没有控制力就没有执行力,要从管住规划、管住人、管住账本三方面住规划、管住人、管住账本三方面入手,增强集团公司控制力。入手,增强集团公司控制力。效果分析:效果分析:借鉴启示借鉴启示 对任何企业来说,再对任何企业来说,再完美的制度,如果得不到完美的制度,如果得不到严格执行,就是一种摆严格执行,就是一种摆设。设。效果分析:效果分析:借鉴启示借鉴启示效果分析:效果分析:借鉴启示借鉴启示企业让您寝食难安的问题是什么?您认为您的企业是否为高风险行业?您认为您的企业是否应该加强风险管理?