1、 版权所有 1993-2009 金蝶软件(中国)有限公司11/6/20221n上市公司风险面面观n什么是风险管理框架n建立风险与内控体系的途径n内部控制成果的评价n风险与内控的信息化解决之道n上市公司风险面面观n什么是风险管理框架n建立风险与内控体系的途径n内部控制成果的评价n风险与内控的信息化解决之道企业经营企业融资 集团经营企业投资管控风险管控风险稳健扩张稳健扩张 投资回报公司治理外部监管信息透明风险管控 触目惊心的事实,促使全球商界、金融界、政府重新审视上市公司风险控制的内部制度和外部环境。u2008年,美国著名投行贝尔斯登等倒闭;u2002年美国世通公司丑闻;u2001年美国安然公司倒
2、台;u1997年日本八百半公司破产;u1995年英国巴林银行的破产;uu2008年中信泰富因外汇衍生金融工具而亏损20亿美元;u2008年香港合俊集团因金融危机倒闭;u2004年中航油炒作原油期货巨亏5.5亿美元;u1998年香港百富勤投资集团破产;u 银广夏造假、达尔曼资金黑洞、托普神话、德隆危机u内部风险控制的疏漏导致:内部风险控制的疏漏导致:管理层决策层运作层管控模式选择难跨地多元管控难集团战略执行难信息孤岛沟通难财务信息反馈难决策信息获取难资金监控调度难成本费用降低难人力资源统管难 精心运作型土地增值型服务增值型概念创新型金融投资型案例中海北辰万科万通首创客户选择 根据土地选择客户 北
3、京由外至内发展 跨地域发展房地产开发商一般消费者 跨地域客户群体 主流群体 中高端市场 现房出租 不动产服务 跨地域发展选择项目升值潜力参控股投资项目多跨地域发展价值获取 项目驱动 满足客户要求靠土地增值客户开发销售商场经营 在低成本土地基础上依靠品牌和服务获取高价值 DIY-万通筑巢网 多种收益手段(供应、服务)靠房地产升值获取投资回报战略控制 内部运作流程 资金 品牌土地储备资金 物业建品牌 跨地域项目复制 资金规模 土地储备 客户要求的控制 和实现准确的机会评估投融资控制土地储备业务范围 房地产开发 物业管理房地产开发商场经营 物业 房地产开发 开发销售 服务管理房地产投资二手房投资万科
4、在资本市场的表现万科在资本市场的表现融资时间融资方式融资额1988年A股公开上市2800万1991年定向增发1.27亿1993年H股公开上市4.5亿港元1997年定向增发3.8亿2006年定向增发42亿2007年定向增发100亿合计10次193.33亿n上市公司内部控制风险面面观n什么是风险管理框架n我国上市公司风险管理现状n企业内部控制基本规范概要n建立风险导向的内部控制框架体系n实施风险与内控的途径、方法n企业内部控制成果的评价n信息化:企业风险与内控解决之道 德勤华永会计师事务所有限公司最新中国上市公司内部控制调查分析报告的调查结果显示,中国上市公司约58.82%的企业为应对金融危机而指
5、定了专门的部门落实风险管理和内控工作,但是,仅有23.53%的企业将内控工作的重点从书面制度转变为具体实施;仅约17.65%的企业进行了内部控制评价。n缺乏对风险意识和企业文化的重视n企业治理结构有待完善n“人治”代替“法制”的观念根深蒂固n内部控制体系与企业运营难以有效结合n内部控制的执行力难以保证n内部控制信息沟通不畅n信息系统控制薄弱-实物牵制-薄记牵制COSO内部控制内部控制整体框架整体框架企业全面企业全面风险管理风险管理COSO ERM框架框架内控评价内控评价内部审计内部审计1940s1940s1970s1980s1990s1990s21世纪世纪内部牵制内部牵制内部控制内部控制结构完
6、善结构完善-控制环境-会计系统-控制程序-控制环境-风险评估-控制活动-信息沟通-监督-建立内控-数据准确一致-内控可靠性-控制环境-目标设置-事件辨识-风险评估-风险反应-控制活动-信息沟通-监督五目标五原则 五要素n全面性原则n重要性原则n制衡性原则n适应性原则n成本效益原则n合法合规n资产安全n财务报告n经营绩效n战略实现七项一般控制措施n不相容职务分离控制n授权审批控制n会计系统控制n财产保护控制n预算控制n运营分析控制n绩效考评控制 n财政部、证监会、审计署、银监会、保监会五部委共同发布财政部、证监会、审计署、银监会、保监会五部委共同发布 n内部环境n风险评估n控制活动n信息与沟通n
7、内部监督五个五:五目标、五原则、五要素、五部委发布共五十条 1组织架构及权责分配(治理结构、机构设置、权责分配、内部审计、总分公司等内容)2母子公司(母子公司治理结构下母公司对子公司的控制问题)3安全环保与社会责任(理念、制度、投入、管理、检查等内容)4人力资源管理(扩充原内容,对人力资源进行全方位、全过程控制)5货币资金(扩充内容,不局限于收付程序的审批,对资金管理中的高风险问题进行提示)6采购与销售(购销高风险业务环节控制,对以下各业务与事项的控制相似)7工程及实物资产8研发及无形资产9筹资10对外投资11运营管理(生产经营过程控制)12信用管理(授信管理问题,包括对往来客户、分子公司等的
8、授信政策和管理等)13预算管理14担保与投保15合同协议与法律事务16重组与并购17关联交易18内部报告与信息系统(侧重内部报告机制建设和信息系统安全控制,包括反舞弊问题等)19对外报告(含信息披露)20银行业务(含信托业务)21保险业务22证券业务(含基金业务)应用指引项目构成(征求意见稿)应用指引项目构成(征求意见稿)n企业实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价。n信息系统的有效性评价包括信息系统一般控制评价和信息系统应用控制评价。n企业集团对被评价单位内部控制的有效性的评价。n内部控制评价工作方案n内部控制评价工作程序n内部控制评估和测试的方法n内部控制有效性相关的
9、证据n内部控制有效性相关的判断n内部控制评价证据保存n内部控制评价证据报告n内部控制缺陷分类(一般可分为设计缺陷和运行缺陷)n内部控制缺陷判的断则n内部控制缺陷判的整改n年度内部控制评价报告n企业内部控制鉴证,是指会计师事务所接受委托,对企业与财务报告相关的内部控制的有效性进行鉴证,并发表鉴证意见。n企业内部控制鉴证指引是注册会计师执行企业内部控制(以下简称内部控制)鉴证业务的业务规范。低层次/经营层次。风险监控是内部审计人员的职能。风险是一个需要控制的负面因素。风险管理在企业各部分个别展开风险管理的责任被委派到低层次的人员风险的衡量是主观的无组织以及杂乱的风险管理职能注重操作注重操作董事会关
10、注董事会关注是CEO的工作(也是董事会的监管)风险其实是一个机会在整个企业范围内进行一体化的风险管理风险管理的责任由高级和部门管理人员承担风险的数化风险管理被纳入所有企业管理系统公司层面:n流程层面:将内部控制嵌入管理流程,实现管理和业务过程的内部控制。法规层面:建立和遵从内控制度的相关记录与报告。建立公司内控与风险管理环境。监控内控与风险管理体系的运行。奠定基础稳健成长法规遵从 以客户为导向,优化重组流程,确保业务流程协调一致、高效运行;引入风险意识,将内部控制嵌入企业日常管理与业务流程中;以战略为目标,整合优化流程,实现企业战略执行与内部运营的和谐。以战略为导向,纳入风险管理意识,建立企业
11、内控与风险管理环境;以内控体系为基础,建立全面的风险监控体系;以风险预警为手段,全面监控企业战略风险,确保企业稳健成长。以相关政策法规为指南,建立内控与风险管理体系;以内控与风险管理体系为保障,确保企业运行符合相关政策法规要求;以内控与风险管理体系的合理设计与有效运行为基础,履行法规要求的记录与报告责任。n缺乏良好的控制环境n法人治理结构不健全,内部控制的外部约束较弱;n公司治理结构中责任不到位;n缺乏绩效考核对内部控制与风险管理的引导机制n高管层缺乏自主控制意识n没有形成重视风险的控制文化n缺乏内部控制方法理论n缺乏理论指导,以最佳实践为参考,注重对事件本身的控制,忽视对责任人的行为尤其是高
12、管层行为的控制;n没有完善的行权、职责、反馈、改进规范;n把内控看成一套制度,而不是过程,缺乏动态理念。n崇尚经验式管理n对管理的有效性和制度的适当性缺乏评价标准n制度拟定部门从自身利益考虑,造成跨部门流程断裂或交叉n对重要的职责与权限划分有较大的随意性,重权力划分,轻责任归属n缺乏系统的风险评估方法和工具n缺乏定期反馈和修正机制就内部控制建设而言,目前国企最缺乏的是制度化的风险评估以及科学的风险应对策略。内部控制环境是内部控制是否有效的关键因素。内控方法论应在行为管理学理论基础上创新发展管理层管理层CEO第第三三道防线道防线第第二二道防线道防线第一道防线第一道防线业务部门业务部门董事会董事会
13、风险管理风险管理内部审计内部审计审计委员会审计委员会风险管理风险管理委员会委员会一个基础 三道防线 一种文化保护股保护股东权利东权利平等对平等对待股东待股东利害相关利害相关者的作用者的作用及时准及时准确地披确地披露信息露信息董事会董事会的责任的责任n狭义的公司治理是指一组联结并规范公司股东、董事会、经理人之间责、权、利关系的制度安排。n广义上,公司治理还包括公司与其他利益相关者(Stakeholder,如员工、客户、供应商、债权人和社区等)之间的关系,以及有关的法律、法规和上市规则等。n公司治理提供了对风险由上而下的监控与管理。n近年多个国家都订立了公司治理的最佳守则:n美国:纽约证交所最佳治
14、理守则n英国:Cadbury/Hampel Report、The Combined Coden加拿大:Dey ReportnOECD Report这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。的职责分工和制衡机制。内容 董事会 风险管理委员会 总经理 风险管理专职部门其他职能部门 监督部门 工作报告 审议工作报告 在董
15、事会领导下,审议并提交风险管理各项方案、报告 主持全面风险管理日常工作 提出风险管理工作报告 执行风险管理基本流程和制度规范。负责本部门工作。开展监督评价,出具评价报告风险策略 确定风险管理总体目标和策略 提出风险管理策略 风险评估 批准重大风险评估报告 研究提出跨部门重大风险评估报告 控制决策 重大风险控制决策 研究提出跨部门重大风险管理方案 监督评价 批准监督评价报告 负责有效性评估提出改进方案 组织机构 批准 组织协调日常工作 业务单位防线业务单位防线第二道防线第二道防线第一道防线第一道防线第三道防线第三道防线风险管理单位防线风险管理单位防线内审单位防线内审单位防线n上市公司风险面面观n
16、什么是风险管理框架n实施风险与内控的途径n企业内部控制成果的评价n信息化:企业风险与内控解决之道测试总结评估计划 推广 n项目计划的制定n项目启动的准备工作n项目范围的确定n项目的时间和人员预算n培训n建立项目组 办公室办公室和办公设和办公设施施n集中的办公场所n电脑、互联网、电话、电话会议或视频会议,打印设备等项目运作项目运作基础管理基础管理办法办法n项目运营的内部政策,如技术指令的发布程序、技术资料的保管程序、项目组资料的保密要求、项目工作成果审核办法、考核办法n出差住宿的相关政策、项目组动态联系方式项目组项目组联系清联系清单单n姓名、所属公司、所属团队、办公电话、手机号码、邮箱n项目启动
17、的准备工作 n项目范围的确定 1、了解企业内部控制现状n企业的组织架构,包括企业本部或总部的部门设置,还包括整个企业集团内的组织结构;n分析业务类型,确定不同的业务类型对企业集团重要财务指标的贡献度;n企业内部控制体系的现状n管理层目前对内部控制的看法。内部控制调查方法 阅读:财务报告、组织结构图、部门权责、相关业务流程 问卷:网上发布、手工填写、收集整理 访谈:对有代表性部门的重要岗位人员进行访谈。n公司运营现状记录表(样例)n项目范围的确定 2、确定具体的项目范围方法一:以公司具体业务作为项目范围:如全面预算、合同管理、采购业务、销售业务、研究与开发、资金活动、资产管理、工程项目、银行业务
18、、证券期货业务、保险业务、担保业务、业务外包、财务报告等业务;方法二:按照重要性原则,确定具体的项目范围 主要是为了满足“财务报告及相关信息的真实、完整”的目标。n确定重要性项目的财务报表分析法n第一步:确定重要性水平:如总资产的0.5%-1%税后净利润的5%-10%净资产的1%营业收入的0.5%-1%n第二步:根据重要性水平,选择单独重要的单位。n第三步:考虑定性因素,确定单独重要的单位。n第四步:考虑覆盖率,确定重要单位n第五步:确定重要的会计报表科目和披露事项n第六步:根据第五步确定重要的业务流程n第七步:利用覆盖率,确定需要纳入范围的具体业务流程n第八步:最后的定性考虑公司2008年账
19、户 支持业务流程货币资金资金管理、采购与支出、收入与成本核算、固定资产、工资与人事、财务报告与关账应收账款收入与成本核算、财务报告与关账存货采购与支出、收入与成本核算、存货管理、财务报告与关账长期股权投资资金管理、财务报告关账固定资产固定资产、财务报告关账商誉固定资产、财务报告关账短期借款资金管理、财务报告关账应付账款应付职工薪酬采购支出、固定资产、财务报告与关账职工与人事、财务报告与关账应缴税费工资与人事、财务报告与关账、收入与成本人事实收资本资金管理、财务报告与关账营业总收入收入与成本核算、财务报告与关账财务费用资金管理、财务报告与关账-nn项目的时间和人员预算 项目时间安排用倒推法 1、
20、披露内部控制评估报告和审计报告 2、董事会审议内部控制评估报告,审计师出具审计报告。3、管理层进行的内部控制测试及审计师实施的内部控制审计 4、管理层进行的内部控制测试及内部控制的整改。5、内部控制梳理及构建n培训1、项目组内的技术培训:统一技术语言,掌握相关技术、确保项目顺利进行。(主要采用课堂式讲授、小组讨论、角色扮演)2、项目组外人员的培训:介绍内部控制的基本理念、内部控制优化的重要意义、需要各部门什么样的配合和支持等。(课堂式讲授)测试总结评估计划 推广 n风险识别n风险评估n控制活动的识别n风险应对n风险控制风险识别:n要了解企业面临的风险有哪些?n他们各自的风险因素是什么?n如果发
21、生会有什么后果?n导致风险事故的原因有哪些?风险识别中的关键问题:n风险识别方法的选择n风险识别路线的选择n风险系统的预测和以往资料的利用 2008年7月份,邀请专家组织开展了全面风险管理工作的专项培训,对于全面风险办公室成员及部分员工进行了较为系统的培训。培训会后,下发了调查问卷,通过问卷调查的方式,在集团/股份总部职能部室、事业部本部及国际贸易部范围内进行广泛征集,共收到风险事件371件。经过汇总、分类、风险辨识分析、调整等环节,初步搭建完成PTAC风险分类框架,形成了PTAC风险事件库,包括战略、财务、市场、运营、法律五个大类,28项风险,共计143条风险事件。某企业集团风险管理评估案例
22、某企业集团风险管理评估案例-49-50-(一)风险识别工作(一)风险识别工作风险类别定义风险类别定义战略风险战略风险财务风险财务风险市场风险市场风险运营风险运营风险法律风险法律风险战略类风险(46件)财务类风险(27件)市场类风险(10件)运营类风险(54件)法律类风险(6件)风险名称数量风险名称数量风险名称数量风险名称数量风险名称数量政策法规风险4预算管理风险3竞争风险5人力资源风险14合同管理风险5宏观经济风险3资金管理风险5产品资源风险5信息管理风险3诉讼纠纷风险1战略规划风险5资产管理风险6IT系统风险8投资风险7应收账款风险8沟通风险4品牌声誉风险5担保风险2灾害风险1公司治理风险2
23、0账务处理风险2库存管理风险3企业文化管理风险2税务管理风险1信用管理风险4物流管理风险3销售管理风险11安全风险3-51-在全面风险辨识的基础上,结合公司内、外部情况,对风险事件从可持续发展能力的影响、财务方面的影响、以及发生可能性等三个维度请各部门总经理对风险事件进行了逐条评估、打分。根据风险评估问卷调查结果通过加权汇总计算以及定量、定性分析,在对风险进行排序的基础上,绘制了“PTAC风险坐标图”,将风险划分为高、中、低三级。(二)风险评估工作(二)风险评估工作-52-风险发生可能性分析表级别描述符具体标准发生的可能性1几乎是确定的风险每天不只发生一次非常高2很可能约每三天发生一次高3可能
24、的约每十天发生一次中等4不太可能的约每半年发生一次低5很少的约每一年或约每三年以上发生一次非常低影响程度发生可能性-54-高风险高风险8项项低风险低风险1项项中风险中风险19项项(二)风险评估工作二)风险评估工作PTACPTAC风险分风险分布坐标图布坐标图风险编号风险大类风险名称风险事件(件)104104战略类风险投资风险7 7103103战略类风险战略规划风险5 5204204财务类风险应收账款风险8 8202202财务类风险资金管理风险5 5205205财务类风险担保风险2 2302302市场类风险产品资源风险5 5406406运营类风险库存管理风险3 3409409运营类风险销售管理风险
25、1111-55-八项重大高风险八项重大高风险发生可能性和影响程度都很高的风险(红色区域)。1 1项低风险:项低风险:安全风险安全风险19 19 项项 中中 风风 险险 战略类风险战略类风险政策法规风险政策法规风险宏观经济风险宏观经济风险品牌声誉风险品牌声誉风险公司治理风险公司治理风险企业文化管理企业文化管理风险风险财务类风险财务类风险市场类风险市场类风险运营类风险运营类风险法律类风险法律类风险人力资源风险人力资源风险信息管理风险信息管理风险IT系统风险系统风险沟通风险沟通风险灾难风险灾难风险信用管理风险信用管理风险物流管理风险物流管理风险合同管理风险合同管理风险诉讼纠纷风险诉讼纠纷风险竞争风险
26、竞争风险预算管理风险预算管理风险资产管理风险资产管理风险账务处理风险账务处理风险税务管理风险税务管理风险-11-57-A A风险基本信息风险基本信息B B该风险在企业的表现形式该风险在企业的表现形式典型表现形式(主要风险事件)1.重大投资可行性研究不够,新设公司或新设项目缺乏调研,导致投资失误。2.零售店面仓促建设运营,导致经营损失。3.投资前期调查研究不够全面、深入,导致提供的决策信息不充分、不真实。4.重大投资项目未经公司领导集体决策,导致决策风险或决策失误。5.分、子单位未经批准擅自进行投资,导致投资管理失控。6.未对投资的实施及日常运营进行监控,管理不到位,导致项目运营失控。7.投资项
27、目未经法律、技术、业务等部门论证、把关,导致投资项目存在技术、法律风险。CC风险举例风险举例n 原华北公司超负荷投资、经营酒店资产,最终因经营不善导致重大损失n 投资并购零售店面但缺乏管控能力,造成经营亏损名称:投资风险所属类别:战略类风险A-58-A A风险基本信息风险基本信息B B该风险在企业的表现形式该风险在企业的表现形式典型表现形式(主要风险事件)1.经营手段单一,外部环境变化对企业经营和财务状况影响巨大。2.企业盲目扩张,导致经营成本增长过快。3.经营业务种类过于单一,四项主业之间发展严重不均衡,导致公司整体经营效益下降。CC风险举例风险举例 公司过于依赖分销业务的经营,该项业务的业
28、绩好坏直接影响公司整体的业绩,业务发展不平衡。名称:战略规划风险所属类别:战略类风险A-59-A A风险基本信息风险基本信息B B该风险在企业的表现形式该风险在企业的表现形式典型表现形式(主要风险事件)1.缺乏对应收账款的催收管理机制,回款率低,导致流动资金减少、偿债能力差。2.3个月以上应收账款清理不及时,导致坏账产生的可能性增大。3.应收账款收款责任不明确,未落实到人,没有与个人考核直接挂钩,或业务人员离职时交接不清,导致后期回款困难。4.分、子公司额度超期使用过多,导致应收账款数额过大,欠款收不回来,贷款增加。5.运营商占用资金周期长,金额大,导致资金成本增加。CC风险举例风险举例 原某
29、建总公司的工程应收款产生坏账无法收回名称:应收账款风险所属类别:财务类风险A-60-A A风险基本信息风险基本信息B B该风险在企业的表现形式该风险在企业的表现形式典型表现形式(主要风险事件)1.资金管理计划性差,缺乏监管,导致资金链出现问题,无法保证按时付款。2.子公司资金体外循环,导致总部对资金无控制力。3.筹资受阻,资金不能及时到位,影响公司正常业务开展。4.资金分散管理,使用效率不高,导致财务成本增加。CC风险举例风险举例 以前各公司的资金分散使用,没有统筹规划,资金成本较高。名称:资金管理风险所属类别:财务类风险A-61-A A风险基本信息风险基本信息B B该风险在企业的表现形式该风
30、险在企业的表现形式典型表现形式(主要风险事件)1.违规担保,造成经济损失。2.被担保单位出现违约行为,导致连带偿债责任增加。CC风险举例风险举例 原通建总公司未审慎履行前期核查,违规对外担保,导致被动承担担保赔偿责任,损失巨大名称:担保风险所属类别:财务类风险A-62-A A风险基本信息风险基本信息B B该风险在企业的表现形式该风险在企业的表现形式典型表现形式(主要风险事件)1.对主要供应商(终端厂商)依赖过强,导致公司未来收益存在重大不确定性。2.手机资源单一,产品结构不合理,导致市场竞争力下降。3.对市场了解不够全面,终端进货量过大,导致库存过大,易发生跌价损失。4.供应商受市场等因素影响
31、,无法继续维持,退出市场,造成产品价格崩盘,引起库存积压、跌价损失。5.经济波动,产品价格变动,导致产品跌价,利润不稳定。CC风险举例风险举例n 严重依赖某一厂家的供货n 争取不到市场接受程度高的产品资源 名称:产品资源风险所属类别:市场类风险A-63-A A风险基本信息风险基本信息B B该风险在企业的表现形式该风险在企业的表现形式典型表现形式(主要风险事件)1.进、销、存管理不系统,导致库存积压严重,存货周转率降低,占用大量资金,从而引发财务危机。2.3个月以上库存积压严重,折扣、折让补偿不确定,价格倒挂,极易发生存货减值损失。3.积压库存的清理,责任不明确,导致消化积压库存不积极,增大潜亏
32、。CC风险举例风险举例n 我公司产品转型()时,尾货库存的压货n 原大区公司国产手机销售不畅导致的存货损失名称:库存管理风险所属类别:运营类风险A-64-A A风险基本信息风险基本信息B B该风险在企业的表现形式该风险在企业的表现形式典型表现形式(主要风险事件)1.产品终端价格制定过于随意,产品价格混乱,导致违规窜货、利润流失。2.分、子公司或分销商经营能力不佳,导致销量降低、库存增加、应收款增加。3.终端销售渠道扁平化,导致分销行业利润率下降。4.在个体、私营企业和事业部的分公司之间,产品资源分配不平衡,影响分公司积极性。5.客户关系维护不当,缺乏对业务员控制的客户关系进行规范管理,导致客户
33、关系未成为公司资源,甚至关键客户流失。CC风险举例风险举例 原大区公司之间打价格战,出现大量违规窜货,扰乱价格体系,造成资源内耗,利润降低名称:销售管理风险所属类别:运营类风险A基本流程基本流程风险点风险点等级等级预算管理预算管理1、未编制固定资产投资预算22、预算编制不正确2请购请购3、固定资产投资立项依据不充分44、审批程序不符合规定2固定资产购置固定资产购置5、购建固定资产不符合规定46、采购方式不符合规定4固定资产日常管理固定资产日常管理7、固定资产状况不佳28、固定资产管理责任不明确49、资产账实不符410、资产盘点差异未得到有效处理211、计算机网络安全存在隐患412、移动设备遗失
34、4维修维修13、维修计划不合理214、维修审批程序不符合规定2报废与处置报废与处置15、资产报废不符合规定216、闲置资产处置未经审批217、资产处置未实行必要的牵制2一、工作一、工作内容介绍内容介绍 二、报告二、报告工作成果工作成果四、提出四、提出初步建议初步建议 三、分析三、分析查找原因查找原因 项目启动项目启动 建立组织机构建立组织机构 风险辨识分析风险辨识分析 风险评估风险评估 风险事件库风险事件库 风险分类框架风险分类框架 风险图谱风险图谱 重大高风险重大高风险 组织相关责任部门对组织相关责任部门对重大高风险进行研究,分重大高风险进行研究,分析其产生的原因,暴露存析其产生的原因,暴露
35、存在的问题。在的问题。根据重大风险产根据重大风险产生的原因,提出初步生的原因,提出初步改进建议。改进建议。-66-风险应对即针对各类重大风险事项(例如财务报告合规相关风险)制定应对方案,降低可能的损失,提高机会收益。其核心功能主要包括了风险与控制应对、剩余风险评估、监控对策等。风险应对的主要策略:n避免风险n控制风险n分散与中和风险n承担风险n转移风险n集中风险l任何经济单位对风险的对策,首先考虑到的是避免风险,尤其是对静态风险尽可能予以避免。凡风险所造成的损失不能由该项目可能获得利润予以抵消时,避免风险是最可行的简单方法。l局限性n只有在风险可以避免的情况下,避免风险才有效果;n有些风险无法
36、避免;n有些风险可能避免但成本过大;n消极地避免风险,只能使企业安于现状。不求进取。l避免风险的方法还可以分为完全避免和部分避免两种。l完全避免,就要不惜放弃伴随风险而来的盈利机会。部分避免,主要取决于成本因素和非经济因素。如果避免收益大于避免成本,就可以考虑避免,否则可以不要避免。是否部分避免还取决于社会心理、道德、美学等方面的因素。l在采取部分避免风险时,往往还有两种战略:一种是进攻性战略,即在高收益和低风险“替代选择”中,挑选高收益而不顾忌风险;另一种是防守战略,即在高收益和低风险的“替代选择”中,挑选低风险而不在乎收益。n在风险不能避免或在从事某项经济活动势必面临某些风险时,首先想到的
37、是如何控制风险发生、减少风险发生,或如何减少风险发生后所造成的损失,即为控制风险预防和抑制风险。n控制风险主要有两方面意思:一是控制风险因素,减少风险的发生;二是控制风险发生的频率和降低风险损害程度。要控制风险发生的频率就要进行准确的预测,如对汇率预测、利率预测、债务人信用评估等。要降低风险损害程度就要果断地采取有效措施,如在股票投资中采用心理界线法(也称心理目标法),当股价下跌到一定程度(心理界线)时就要毫不犹豫地抛出,以防股价进一步下滑而造成更大的损失。l分散风险,主要指经济单位采取多角经营、多方投资、多方筹资、外汇资产多源化、吸引多方供应商、争取多方客户以分散风险的方式。l中和风险,主要
38、是指在外汇风险管理中所采用的决策,如减少外汇头寸、期货套期保值、远期外汇业务等以中和风险。n企业既不能避免风险,又不能完全控制风险。分散风险、中和风险或减少损失时,只能自己承担风险所造成的损失。n经济单位承担风险的方式可以分为无计划的单纯自留或有计划的自己保险。n无计划的单纯自留,主要是指对未预测到的风险所造成损失的承担方式。有计划的自己保险是指已预测到的风险所造成损失的承担方式,如提取坏账准备金等形式。n经济单位为了避免自己在承担风险后对其经济活动的妨害和不利,可以对风险采用各种不同的转移方式,如进行保险或非保险形式转移。n现代保险制度是转移风险的最理想方式。如单位进行财产、医疗等方面保险,
39、把风险损失转移给保险公司。n此外,单位还可以通过合同条款规定,把部分风险转移给对方。n保险企业和大型集团性企业主要采用风险集中的方法,如保险企业向许多投保单位收取保险金,虽然每个单位交的数目很小,但加在一起数目就很大,足以用来应付风险,这就是保险集中的方法。n由于大型集团企业分支机构多,通过预测,每年要求各分支机构交少量管理费,由集团公司自己承担某些风险,而不利用保险。古人云:古人云:有控则强,失控则弱;有控则强,失控则弱;无控则乱,不控则败无控则乱,不控则败企业内部控制基本规范第二十八条:企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制和发现性控制相结合的方法,运用相应的控制措施
40、,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等 内部会计控制内部会计控制n会计组织控制会计机构会计基础n实物资产控制 防舞弊控制 防盗控制 防损控制n纪律控制职责分工内部监控制度内部管理控制内部管理控制n组织控制、n人事控制、n业务操作与产品质量控制、n风险与安全控制、n管理技术控制业务控制业务控制n职务分离控制n制度约束控制n程序控制n安全控制n监督企业风险控制企业风险控制应遵循原则应遵循原则合法性原则合法性原则一贯性原则一贯性原则成本效益型原则成本效益型原则实用性原则实用性原则相互制约性原则
41、相互制约性原则整体性原则整体性原则风险控制执行流程风险控制执行流程企业风险措施制定流程建立内控建立内控责任制度责任制度风险控制风险控制内容内容建立内控建立内控审计检查制度审计检查制度建立重大建立重大风险预警制度风险预警制度建立企业法律建立企业法律顾问制度顾问制度建立内部建立内部考核评价制度考核评价制度建立重要岗位建立重要岗位权利制衡制度权利制衡制度建立内部建立内部岗位授权制度岗位授权制度建立内控建立内控报告制度报告制度n风险识别n风险评估n控制活动的识别n风险应对n风险控制测试总结评估计划 推广 小规模企业小规模企业n一般会选择2-3个稍简单的业务流程作为试点,n试点和推广之间相隔的时间一般很
42、短。业务统一的大型企业业务统一的大型企业n要选择有代表性的单位进行试点,n确定出能够满足监管要求,由无缝嵌入企业生产经营活动各环节的控制手段n推广时间需要4-6个月的 时间业务多元化的大型企业业务多元化的大型企业n要选择各行业有代表性的单位进行试点,n根据行业特点制定不同的内部控制标准模板n推广时间依难度和人员而定,一般在1年左右时间。n在理解标准模板的基础上,对标准的控制活动进行本地化,即按照标准模板的要求,识别出适用于本单位的本地化的控制活动;n用统一的格式记录这些本地化的控制活动,形成内部控制文档;n按照这些本地化的控制活动执行,使这些本地化的控制活动成为正常生产经营活动的一部分,并确保
43、这些控制执行有效。n组织培训工作,确保推广单位理解相关的知识和要求n现场指导推广工作,确保识别出的本地化控制活动满足标准模板的要求;n复核推广单位记录的内部控制文档;n在时间允许的情况下,抽查内部控制的实际执行情况,若发现缺陷,则提出改进的建议。n选取一个单位试点n按照二级子集团推广n在子集团中按照业务类型和管控力度采取不同方式n对下属单位管理集中程度较高的,业务管理模式一致的,采取一次性全面推广的办法,并由子集团公司派员会同项目组成员对下属各推广单位的推广效果进行检查n对于下属各单位管理差异较大,采取分两批推广的办法,在第一批推广展开时候,自第二批单位中临时抽调人员参与推广。测试总结评估计划
44、 推广 n通过对风险控制点的实际情况进行有效性检测,以确定:1 1、各业务流程中的控制是否依照公司内部控制的、各业务流程中的控制是否依照公司内部控制的规定运行;规定运行;2 2、向公司报告测试结果及失效控制点的整改建议,、向公司报告测试结果及失效控制点的整改建议,监督整改落实情况;监督整改落实情况;3 3、为公司董事会出具内部控制评价报告提供依据。、为公司董事会出具内部控制评价报告提供依据。n测试范围n执行人员n测试工具n测试前的培训工作n测试工作底稿提交和审核的时间点n各流程组的工作底稿审核流程n测试工作底稿的统计和归档n过程流程图n风险与控制矩阵n风险与控制参考手册n使用内部行业或同行的信
45、息确定基准n计算机辅助审计系统n风险与控制自我评价讨论会n调查问卷n动员会缺陷分类错报的可能性关联性错报的潜在程度一般缺陷微小或不重要重要缺陷大于微小及大于不重要重大缺陷大于微小及重大n确定受缺陷影响的会计科目和披露事项n判断错报发生的可能性n计算潜在影响金额n检查是否存在补偿性控制活动n确定考虑补偿性控制活动后的潜在影响金额n根据错报发生的可能性和潜在影响金额,判断缺陷类型n考虑定性因素n重新认定缺陷类型n控制缺陷在公司中的普遍性n控制缺陷对公司层面各组成要素的相对重要性n产生错误风险增加的迹象(根据以往错报记录)n舞弊的可能性(包括管理层越权的风险)n控制运行有效性方面已发现的例外情况的原
46、因和频率n缺陷可能导致的后果。测试总结评估计划 推广 n报告n考核n工作成果归档和移交n项目组成员后续安排n项目回顾与经验总结工作阶段报告阶段报告对象计划阶段工作计划、项目预算项目领导小组、审计委员会评估阶段标准模板的技术要点项目领导小组、审计委员会推广阶段推广工作进度、整改方案项目领导小组、审计委员会、被测试单位管理层测试阶段被测试单位测试结果分析、测试结果总结与评价被测试单位管理层及项目管理办公室报告与总结阶段项目成果总结、内部控制相关职能落实建议项目领导小组、企业管理层、审计委员会(1)审计报告(必须包括的报告)(2)公司治理报告(一般包括的报告)(3)企业可持续发展报告(4)风险因素披
47、露报告(5)企业全面风险管理报告(6)企业的社会责任报告(7)环境报告(8)质量报告(9)企业内部控制程序与原则(10)损失事件和损失报告(11)某些行业特定风险报告 n上市公司风险面面观n什么是风险管理框架n实施风险与内控的途径、方法n企业内部控制成效的评价与鉴定n信息化:企业风险与内控解决之道 对风险管理制度对风险管理制度贯彻执行情况贯彻执行情况的检查与强化的检查与强化对企业审计和对企业审计和自律监管重点自律监管重点的选择和确定的选择和确定对风险管理制对风险管理制度可行性检测度可行性检测和改进和改进n评价准备n评价实施n评价报告n后续审计或评价评价准备评价准备风险管理风险管理评价程序评价程
48、序后续审计后续审计或评价或评价评价实施评价实施评价报告评价报告n收集评价资料n非现场评价结果汇总分析n制定评价方案n组成评价组n征求上级有关单位对被评价单位的评价意见n发出风险管理与内部控制评价通知书数量提供时间调阅人签名归还时间收回人签名企业风险管理报告。主要包括的内容:1、风险管理的基本情况;2、采取的主要措施和成效;3、风险管理存在的主要问题;4、对以前评价、审计和检查中发现问题的整改情况;5、评价期发生的案件和责任事故情况,6、进一步加强风险管理的思路本单位机构设置情况,包括领导人员及分工、内设部门及职能、风险管理机构体系构成等本单位的各项规章制度、业务流程图、自律监管相关文件和有关资
49、料等。股东会、董事会、监事会、经理办公会以及有关专业委员会会议记录、纪要等内部风险管理部门、审计部门等,对本单位风险管理与内部控制审计、检查形成的工作底稿和检查(审计)报告等年度工作计划、评价年度工作总结等外部监管部门、中介机构(包括监事会、政府审计部门、安全、环保等部门、会计师事务所等)对本单位的各项检查报告、通报等;其他:12 资料名称数量所属部门提供时间调阅人签名归还日期收回人签名本部门年初工作计划本部门年度工作总结本部门职责本部门人员分工及岗位职责本部门工作流程本部门制定的各项规章制度本部门办公会议记录和纪要有关专业委员会会议记录和纪要本部门业务工作会议相关文件本部门自律监管相关资料本
50、部门风险管理机构、内部审计、纪检监察等部门检查中涉及本部门的问题及其整改情况外部监管部门、中介机构(包括政府审计部门、安全、环保等部门、会计师事务所等)各项检查中涉及本部门的问题及其整改意见其他:12n健全性测试主要是了解、检查和评价企业各种业务和事项中的风险是否被识别、关键风险点的定位是否准确,是否有相应的管理和控制制度、措施。n五种测试方式n问卷调查n询问调查n查阅被评价单位各项管理制度和相关文件以及风险管理与内部控制过程中形成的文件和记录n观察被评价单位业务活动和内部控制的实际运行情况,了解被评价单位内部控制体系的基本情况(穿行测试)n流程图比较评价项目管理与控制缺陷潜在错弊补偿性措施重
