1、王玥技术顾问微软(中国)有限公司微软企业风险管理解决方案Microsoft Enterprise Risk Management Solution什么是风险管理与内部控制风险管理是指对业务流程中存在的风险的识别、评估和预警;而内部控制是指对识别出的风险进行处理与控制,规范企业业务流程,保障顺利达到内部控制的目标。出差费用报销 是否授权出差 资金使用情况 报销到帐情况风险识别风险识别风险评估风险评估 风险发生概率 风险危害性 应对策略风险控制风险控制 出差授权记录 报销明细记录 报销到帐记录控制评价控制评价 重新评估风险 控制是否有效 其他缺陷监督改进监督改进Regulatory Environ
2、ment政策环境中的中国企业1992年,美国COSO委员会发布“企业风险管理与内部控制框架”2002年7月30日,美国国会发布“Sarbanes-Oxley Act”(萨班斯法案)要求海外在美国的上市公司从2006年7月15日开始必须合规2003年美国证券交易委员会(SEC)发布对萨班斯法案404节解读的Final Rules2006年8月9日SEC宣布允许小型上市公司延期1年执行404节2005年10月,证监会发布关于提高上市公司质量的意见,国务院批转2006年5月,证监会发布首次公开发行股票并上市管理办法明确内控2006年6月,上海证券交易所发布上市公司内部控制指引要求上市公司从2006年
3、年报起披露内控自我评估报告和会计师事务所的核实评价意见2006年9月,深圳证券交易所公布上市公司内部控制指引要求深市主板上市公司2007年6月30日前必须建立起完备的内部控制制度2004年8月,银监会发布商业银行内部控制评价试行办法2006年1月,证监会发布证券公司风险控制指标管理办法2006年1月,保监会下发寿险公司内部控制评价办法,4月份开始实施2006年6月6日,国资委向下属159家央企发布中央企业全面风险管理指引2006年7月15日,财政部、证监会、国资委成立“企业内部控制标准委员会”美国发生的安然申请破产保护、世界通信会计假账事件,以及中国资本市场发生的“银广夏”等上市公司财务舞弊事
4、件,都被归咎于企业风险管理与内部控制失灵。萨班斯法案解读建立独立的非赢利的公众公司会计监管委员会(PCAOB),对上市公司审计进行监管通过咨询与审计服务不兼容等提高审计的独立性对公司高管人员的行为进行限定以增进公司的报告责任对内控体系进行评价,加强财务报告的可靠性提高对公司高管及白领犯罪的处罚,包括罚款与刑事责任对 321家企业的调查结果显示,需要遵守萨班斯法案的美国大型企业第一年实施第404条款的总成本将超过460万美元。这些成本包括35000小时的内部人员投入、130万美元的外部顾问和软件费用以及150万美元的额外审计费用。国际财务执行官(FEI)404节内容简单公司管理层有责任建立和维护
5、用于财务报告的内部控制体系及流程公司管理层最近财年末对用于财务报告的内部控制体系及流程进行有效性评价担任公司年报审计的会计公司应当对管理层的内控评价进行测试和评价2003年美国证券交易委员会(SEC)的补充条款建议使用COSO框架,如果不使用COSO框架,那么所选用的内控框架必须能够“映射”到COSO框架上管理层:对建立和维护用于财务报告的内控体系的责任声明;对用于财务报告的内控体系的有效性评价;使用何种框架体系来评价内控有效性的声明会计公司:对财务报告的审核意见;对管理层内 控评价结果的意见;单独出具内控有效性的意见COSO内部控制与风险管理框架该框架由the Committee of Sp
6、onsoring Organizations of the Treadway Commission(COSO,该委员会是由美国会计师协会、美国证监会等联合设立)于1992年发布,要求企业建立与财务报告相关的内部控制体系。COSO框架主要包括企业风险管理的目标、企业风险管理的要素和企业风险管理的执行层次。COSO框架将内控定义为一个流程,受企业管理层的影响,用来为以下目标提供保证:财务报表的可靠性运营的高效性对相应的法律法规的遵循第二个维度是关注的层次:在经营实体的层次,还是活动流程的层次。第三个维度包括五大要素:控制活动、控制环境、信息/通信、监视、风险评估。这个框架的工作方式如下:根据任何给
7、定的目标,比如财务报告的可靠性,管理层必须在经营实体的层次和活动流程的层次来评估内部控制的五大要素。中国的内部控制与风险管理框架风险评估包括风险辨识、风险分析与风险评价三个步骤风险评估应将定性与定量方法相结合,定期或不定期进行重新评估确定风险偏好、风险承受度、风险管理有效性标准选择风险承担、规避、转移、转换、对冲、补偿、控制等适合的风险管理策略外包方案:成本与收益平衡、外包的质量、商业秘密的保护及外包产生的风险内控方案:合规,坚持经营战略与风险策略一致、风险控制与运营效果相平衡风险管理部门定期进行自查和检查,内部审计部门至少每年进行监督评价企业可聘请外部机构对企业全面风险管理工作进行评价收集企
8、业风险信息,含战略风险、财务风险、市场风险、运营风险、法律风险对收集的信息进行必要的筛选、提炼、对比、分类和组合初始信息风险评估风险管理策略风险管理方案监督和改进从2005年开始,中国政府机构对企业风险管理与内部控制有了前所未有的重视,其中包含证监会、银监会、保监会、深交所、上交所、财政部、国资委等。国资委中央企业全面风险管理指引定义的企业内部控制系统,指围绕风险管理策略目目标标,针对各项业务及其重要业务流程业务及其重要业务流程,执行风险管理基本流程风险管理基本流程。对企业的挑战与对策对风险管理意识不强各部门与各经营实体在风险管理上各自为战缺乏专业人员原有内控制度无法满足要求企业风险管理职能部
9、门统一各部门与经营实体对风险管理与内控的认识与管理引入外部专业顾问(不是外部审计师)制定风险管理与内控制度内控与风险管理框架在有限时间内满足合规要求流程、文档与权限管理(流程记录,内控分析,监督和测试、评估与报告)风险的信息采集、量化分析、监控预警、报告建议的内控与风险管理框架企业风险管理系统Microsoft Enterprise Risk Management Solution解决方案逻辑架构不仅能用于萨班斯法案合规,更可适合中国政策,且不依赖于某一咨询公司框架。基于SharePoint平台,有内容管理的先天优势,和工作流引擎提供的强大工作流的能力。与用户习惯的Word、Excel等工具紧
10、密集成,具备BizTalk等提供的系统集成能力。解决方案产品架构如何帮助企业进行风险管理与内部控制信息收集与风险定义首先,企业需要设定风险管理与内部控制的目标;然后,针对经营实体与业务流程,按照建议的风险管理流程,进行内部控制与风险评估。根据风险管理与内部控制的目标,收集相关信息,进行分析、筛选、提炼。根据企业自身情况与所处环境进行风险结构定义。业务与流程分析首先,企业需要设定风险管理与内部控制的目标;然后,针对经营实体与业务流程,按照建议的风险管理流程,去进行内部控制与风险评估。企业组织结构分析:部门与业务单位结构。企业业务流程的梳理与分析。定义业务流程中的活动与风险控制点。优化活动编号活动
11、名称整体风险风险A风险B风险C风险B1风险B2风险B3风险B2.1风险B2.2风险B3.1风险B3.2风险B3.3AX.X.1Rx.x.1.AX.X.2Rx.x.2.1Rx.x.2.2AX.X.3Rx.x.3如何帮助企业进行风险管理与内部控制风险评估与策略制定首先,企业需要设定风险管理与内部控制的目标;然后,针对经营实体与业务流程,按照建议的风险管理流程,去进行内部控制与风险评估。风险评估包括风险辨识、风险分析与风险评价三个步骤,将定性与定量方法相结合。使用技术方法进行风险评估,如风险坐标图。制定风险策略:风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风
12、险对冲、风险补偿、风险控制等。如何帮助企业进行风险管理与内部控制设定风险控制机制首先,企业需要设定风险管理与内部控制的目标;然后,针对经营实体与业务流程,按照建议的风险管理流程,去进行内部控制与风险评估。建立风险量化评分体系,包括系统提示定义及标识、分数区间和对应说明等内容。风险指标管理与预警设置。根据风险管理策略和风险评估结果来选择风险控制手段。百分制评分体系系统提示定义分数区间说明与建议控制手段 无异常80 100分 系统提示60 80分 系统报警 60分如何帮助企业进行风险管理与内部控制风险监控与报告首先,企业需要设定风险管理与内部控制的目标;然后,针对经营实体与业务流程,按照建议的风险
13、管理流程,去进行内部控制与风险评估。为了落实“面向管理的向上的”全面风险管理,风险控制部门需要整体评估风险状况,并以最直观的方式向管理层进行展示和报告。风险管理与内部控制是循环往复的过程,在监控中可能需要对风险评估、策略、控制机制进行调整。风险风险识别识别风险风险监督监督风险风险评估评估风险风险控制控制监控监控机制机制如何帮助企业进行风险管理与内部控制解决方案的价值风险管理内控评估审计测评面向管理/决策层企业战略风险管理关键风险类型的识别面向风险控制部门参与业务流程梳理风险控制评估/测评面向内部审计部门进行持续/专项业审计完全基于数据和样本报告报表 2006 Microsoft Corporation.All rights reserved.This presentation is for informational purposes only.Microsoft makes no warranties,express or implied,in this summary.
