流程层面风险评估与控制措施

流程层面风险评估与控制措施,版权所有 1993-2011 金蝶国际软件集团有限公司,培训时间：2017年11月10日,风险管理与内部控制咨询阶段,方法论核心以风险为导向内部控制,方法论基础流程体系框架之流程图,方法论基础流程体系框架之流程图,方法论核心以风险为导向内部控制,风险和内控的逻辑关系,方法论核心以风险为导向内部控制,通过管理程序或活动减少风险,可量化，可衡量，可以达到的业务目标,可能影响业务目标实现的隐患事件,三张表单的关系,风 险控 制矩 阵,风控体系,目 录,认识“风险”,风险定义：是未来的不确定性对企业实现其既定目 标的影响。,错失时机,不利事故,不确定性,认识“风险”,认识“风险”,风险是您实现业务目标的现存的或潜在的障碍： 什么因素可能会妨碍本部门实现其关键的业务目标? 要成功, 需要完成一些必要的工作和程序, 而什么因素会阻碍这些工作和程序的完成和实现呢? 发生率: 这些风险中, 什么风险是最可能发生的? 影响: 哪些风险将对本部门实现其预定目标的能力产生最重大的影响? 有什么有效的控制机制可以减少这些风险及其影响?,认识“风险”,水利水电工程风险管理实例-黄河小浪底水利枢纽不确定性分析： 费用额的不确定性 进度的不确定性 工程质量的不确定性 水文及地质条件的不确定性 工程收益的不确定性 淹没补偿、征地拆迁、移民安置的不确定性,认识“风险”,风险清单：不可抗力风险 资源（水）供应风险法规变更风险行政风险利率风险通货膨胀风险技术/设施风险完工风险市场风险经营风险偿还期限风险费用超支风险,认识“风险”,小浪底工程风险识别结果,目 录,认识“控制”,控制措施：是企业根据风险评估结果，结合风险应对策略， 确保内部控制目标得以实现的方法和手段。,为管理和减少风险而制定的政策制度和程序能做什么工作来降低发生风险的可能性? 这些工作或活动现在存在吗? 足够吗? 现有的控制活动是否明确, 独特且没有彼此重复? 效率: 有没有更容易的或者成本更低的控制风险的方法?效果: 这些控制活动是不是有效地降低了风险?,认识“控制”,鉴别控制措施 实现控制目标，主要是控制容易发生风险或偏差的业务环节。这些可能发生错弊因而需要控制的业务环节，通常称为控制措施或控制点。控制点按其发挥作用的程度而论，可以分为关键控制点和一般控制点。那些在业务处理过程中发挥作用最大，影响范围最广，甚至决定全局成效的控制点，对于保证整个业务活动的控制目标具有至关重要的影响，即为关键控制点；相比之下，那些只能发挥局部作用，影响特定范围的控制点，则是一般控制点。 如材料采购业务中的“验收”控制点，对于保证材料采购业务的完整性、实物安全性等控制目标都起着重要的保障作用，因此是材料采购控制系统中的关键控制点；相比之下，”审查”、”审核”、”审议”、“审批”、“签约”、“登记”、“记账”等控制点，则是一般控制点。需要说明的是，关键控制点和一般控制点在一定条件下是可以相互转化的。某个控制点在此项业务活动中是关键控制点，在另外一项活动中则可能是一股控制点，反之亦然。,认识“控制”,目 录,标识填写要求,认真拷贝每个流程标识即可。,标识填写要求,示 例,目标编号填写要求,以“T+数字”顺次编号。,控制目标填写要求,指流程所要完成的基本目标，一个流程的控制目标可能有多种，基本上可以按流程的各项控制活动所要实现的目的进行列示。,示 例,控制目标填写要求,风险编号填写要求,以“R+数字”顺次编号。,风险描述填写要求（一）,1）针对目标而言，影响目标实现的不利因素均可能是风险，在描述过程中需要将些影响因素逻辑清晰的表达出来。在实际列示时可以反过来针对控制措施来写，即如果没有相应的控制会出现何种问题或损失； 2）列示思路（风险六要素）：制度和程序是否缺失（有无依据）有无组织完善与人员授权执行否（影响）方法合理否管理报告保管与使用否系统完善与应用否；,风险描述填写要求（二）,3）针对具体步骤列示如果不执行该控制可能产生的不良后果，简明扼要写出最直接和最相关的影响，不要太空泛太粗糙，注意风险的种属关系。4) 对于风险控制矩阵里面，有风险但无对应的控制措施存在的地方，在“控制措施编号”及“控制措施”统一填写“N/A”表示不存在。请注意凡N/A的地方，必然是存在缺陷的。不可能有风险，没有控制点也没缺陷。,风险描述填写要求（三）,示 例,控制措施编号填写要求,以“C+数字”顺次编号。,控制措施填写要求,与流程描述的一致,复制过来即可。,示 例,控制措施填写要求,风险控制矩阵重要提示,目 录,标识填写要求,认真拷贝每个流程标识即可。,标识填写要求,示 例,风险编号与描述填写要求,与风险控制矩阵一样，直接从风险控制矩阵复制即可。,风险类别填写要求,风险类别如下表。,风险类别填写要求,示 例,发生可能性填写要求,风险真正发生的概率是多少。如下表。,发生可能性填写要求,示 例,影响程度填写要求,风险发生时造成的不良影响或损失有多大 。如下表。,影响程度填写要求,示 例,风险等级填写要求,就风险发生的可能性与影响程度乘积。,风险等级填写要求,示 例,对应关键控制编号填写要求,与控制文档中关键控制编号相同，从控制文档中复制过来 。,对应关键控制编号填写要求,示 例,目 录,标识填写要求,认真拷贝每个流程标识即可。,标识填写要求,示 例,步骤编号、步骤填写要求,与流程图一样，直接从流程描述复制即可。,步骤编号、步骤填写要求,示 例,流程步骤类型填写要求,分为一般流程步骤、一般控制、关键控制，根据评估结果后填写。,流程步骤类型填写要求,示 例,控制措施编号、控制措施填写要求,与流程描述的一致,复制过来即可。,控制措施编号、控制措施填写要求,示 例,权重填写要求,人为赋予（一般流程步骤1分，一般控制3分，关键控制5分）。权重取值公式在附件中明确。,权重填写要求,示 例,控制类型填写要求,在该活动处理之前就设定的控制，即为事前控制；活动处理之时才发生的控制即是事中控制；如是活动处理完毕进行后续处理的即是事后控制。,控制类型填写要求,示 例,控制方式填写要求,只要是通过人工进行处理的，不论通过信息系统还是线下处理必须认定为人工控制；如果由计算机自动处理，不需要人为操作的即是自动控制。,控制方式填写要求,示 例,控制频率填写要求,流程控制的时间间隔有多长，一般分为随时、每天一次（多次）、每月（一次）、每季一次、每年一次等 。,控制频率填写要求,示 例,实施证据填写要求,能进行穿行测试的文档、表单等资料或详细的信息系统操作界面 。,实施证据填写要求,示 例,责任部门、岗位填写要求,流程责任部门，与流程描述一致 。,责任部门、岗位填写要求,示 例,步骤编号、步骤填写要求,示 例,目 录,谢 谢!,没有金蝶软件（中国）有限公司的特别许可，任何人不能以任何形式或为任何目的复制或传播本文档的任何部分。本文档中包含的信息如有更改，恕不另行通知。 由金蝶软件（中国）有限公司和其分销商所销售的某些软件产品包含有其它软件供应商版权所有的软件组件。Microsoft、WINDOWS、NT、EXCEL、Word、PowerPoint 和SQL Server 是微软公司的注册商标。IBM、DB2、DB2 通用数据库、OS/2、Parallel Sysplex、MVS/ESA、AIX、S/390、AS/400、OS/390、OS/400、iSeries、pSeries、xSeries、zSeries、z/OS、AFP、Intelligent Miner、WebSphere、Netfinity、Tivoli、Informix 和Informix 动态ServerTM 是IBM 公司在美国或其他公司的商标。ORACLE 是ORACLE 公司的注册商标。UNIX、X/Open、OSF/1 和Motif 是Open Group 的注册商标。Citrix、Citrix 徽标、ICA、Program Neighborhood 、MetaFrame 、WinFrame 、VideoFrame 、MultiWin以及此处引用的Citrix 产品名是Citrix Systems 公司的商标或注册商标。HTML、DHTML、XML 和XHTML 是W3C、World Wide Web 协会、计算机科学实验室的商标或注册商标。JAVA 是Sun Microsystems 公司的注册商标。JAVASCRIP