企业风险管理及内部控制制度框架

1、12 2001 Andersen. All Rights Reserved.345678910111213有形资产有形资产 土地土地 建筑物建筑物 机器设备机器设备 存货存货财务资产财务资产 现金现金 应收帐款应收帐款 投资投资 权益权益 与资金提供者的关系与资金提供者的关系员工供应商员工供应商 员工员工 供应商供应商 合作伙伴合作伙伴客户资产客户资产 顾客顾客 渠道渠道 关联企业关联企业组织资产组织资产领导能力领导能力创新能力创新能力经营战略经营战略知识管理知识管理组织架构组织架构信息系统信息系统企业文化企业文化业务流程业务流程 品牌品牌 智慧财产智慧财产1415市市 场场 持续发展集成性的

2、持续发展集成性的产品与服务产品与服务高效的运作机制高效的运作机制电子商务电子商务客户客户关系管理关系管理战略性采购战略性采购16n战略一 强化高效运营机制n战略二 建立客户关系管理系统n战略三 策略性采购n战略四 定义核心业务n战略五 选择目标市场n战略六 发展集成化的产品17战略战略形成形成外部环境分析外部环境分析客户满意程度客户满意程度主要成功因素主要成功因素风险评估风险评估理想及使命确定理想及使命确定战略定位战略定位战略改进战略改进评估和控制评估和控制特定战略特定战略执行执行经营计划经营计划内部因素分析内部因素分析行业行业/ /市场竞争分析市场竞争分析全球最佳借鉴全球最佳借鉴诊断诊断成文

3、成文执行执行评估评估SWOTSWOT分析分析1819主要战略主要战略实施计划实施计划战略目标与衡量指标战略目标与衡量指标价值观价值观使命使命愿景愿景2021222324设定风险管理流程设定风险管理流程q目的及目标q共同语言q结构决策资料决策资料订立策略订立策略q 避 免q 利 用q 接 受q转移q减低评估风险评估风险q验明q来源q量度不断的改善不断的改善管理能力管理能力设计或引进设计或引进管理能力管理能力监察风险监察风险管理表现管理表现 2001 Andersen. All Rights Reserved.25标题内 部 环 境战 略目 标 设 定风 险 识 别风 险 评 估风 险 应 对控

4、制 活 动信息与沟通监 控经 营报 告遵 循子公司业务单位分支机构企业整体层次内控环境风险评估控制活动信息与沟通监控COSO 1COSO 2COSO 1COSO2（内部控制企业风险管理） 2001 Andersen. All Rights Reserved.26 n内涵内涵: 2001 Andersen. All Rights Reserved.27 n5.该过程是用来识别可能对企业造成潜在影响的事项该过程是用来识别可能对企业造成潜在影响的事项并在企业风险偏好的范围内管理风险。并在企业风险偏好的范围内管理风险。n6.设计合理、运行有效的风险管理能够向企业的管理设计合理、运行有效的风险管理能够向

5、企业的管理者和董事会在企业各目标的实现上提供合理的保证者和董事会在企业各目标的实现上提供合理的保证n7.企业风险管理框架针对一类或几类相互独立但又存企业风险管理框架针对一类或几类相互独立但又存在重叠的目标，目的在于企业目标的实现。在重叠的目标，目的在于企业目标的实现。 2001 Andersen. All Rights Reserved.28标题COSO2 企业风险管理构成(八大要素)内部环境内部环境 风险管理哲学风险管理哲学-风险文化风险文化-董事会董事会-诚信与道德诚信与道德-能力承诺能力承诺-管理层哲学与经管理层哲学与经营风格营风格-组织结构组织结构-责权划分责权划分-人力资源政策与实务

6、人力资源政策与实务-环境差异环境差异信息与沟通信息与沟通 信息信息-战略性与整体系统战略性与整体系统-沟通沟通 风险评估风险评估 固有风险、剩余风险固有风险、剩余风险-可能性和影响可能性和影响-定性与定量定性与定量,工作方法、技巧工作方法、技巧-相关相关性性 风险应对风险应对 确认风险应对确认风险应对-评价可能风险应对评价可能风险应对-选择应对选择应对-组合视角组合视角控制活动控制活动 结合风险应对结合风险应对-控制行动类型控制行动类型-一般控制一般控制-应用控制应用控制-子公司具体情况子公司具体情况 监控监控 持续持续-分别评价分别评价-报告不足报告不足 事项识别事项识别 事件事件-影响战略

7、与目标之因素影响战略与目标之因素-工作方法和技巧工作方法和技巧-相互依存事件相互依存事件-事件分类事件分类-风险与机风险与机遇遇 目标设定目标设定 战略目标战略目标-相关目标相关目标-选定目标选定目标-风险偏好风险偏好-风险容忍度风险容忍度 2001 Andersen. All Rights Reserved.29 2001 Andersen. All Rights Reserved.30 。 2001 Andersen. All Rights Reserved.31标题COSO2 企业风险管理构成 2001 Andersen. All Rights Reserved.32标题整体风险管理方法

8、的优点减少用于”救火”的管理时间较少的突发事件较少的诉讼遵循法律法规较好地理解风险揭示,在一般情况下及特定情况下较好地配置资源更加集中地以正确的方式作正确的事能从过去的失误中吸取教训能更好地沟通,在同事、供应商、客户等之间更好地分享企业目标、程序和风险更加可能地完成企业目标更加系统地决策，导致较高质量的决策增加主动变革的可能性能够成功地接受更高风险的业务获得更高的回报总体风险成本降低 2001 Andersen. All Rights Reserved.33企业风险管理架构董事会审计委员会风险管理委员会风险管理部门内部稽核 运营管理根据中国证监会要求证券公司治理准则（试行）设计的企业风险管理架

9、构根据中国证监会要求证券公司治理准则（试行）设计的企业风险管理架构 2001 Andersen. All Rights Reserved.34董事会风险管理委员会风险管理委员会应包括独立董事，且至少有三名成员。该委员会必须要高度独立，以监控运营单位的风险管理。其职责有： 协助管理层决定公司的风险取向 负责建立并维护有效的风险管理 负责监控风险信息在公司纵向或横向报告的过程，并对有关管理人员提供必要的协助 制定风险管理的政策和策略 提供适当的培训，在公司内部建立起一种具有风险意识的企业文化 为公司的业务部门建立内部风险政策和结构 设计风险管理的流程，并对其进行审查 协调各种对组织内部风险管理问题

10、提供建议的职能行为 制定风险应对程序，包括或有事项、业务持续方案 为董事会和利益相关者编制风险报告35竞争者竞争者敏感性敏感性股东关系股东关系资金充足性资金充足性 金融市场金融市场灾难性损失灾难性损失独立政治独立政治法律法律行政管理行政管理行业行业环境环境风险风险信息技术风险信息技术风险使用权使用权 完整性完整性相关性相关性 可得到性可得到性 基础设施基础设施财务风险财务风险货币货币利率利率流动性流动性结算结算再投资再投资信用信用双边关系双边关系现金转移或流速改变现金转移或流速改变廉政风险廉政风险管理欺诈管理欺诈雇员欺诈雇员欺诈非法行为非法行为无授权使用商誉无授权使用商誉授权风险授权风险领导力

11、领导力权力权力限制限制 表现激励表现激励沟通沟通营运风险营运风险客户满意客户满意人力资源人力资源产品开发产品开发效率效率能力能力表现差异表现差异循环时间循环时间资源资源商品定价商品定价过失或损失过失或损失符合性符合性业务中断业务中断健康和安全健康和安全 环境环境产品或服务失败产品或服务失败 商标或产品名侵蚀商标或产品名侵蚀营运营运价格价格合同投入衡量合同投入衡量结盟结盟完整性和精确性完整性和精确性管理报告管理报告决策信决策信息风险息风险财务财务预算和计划预算和计划 完整性和精确性完整性和精确性会计信息会计信息财务报告评价财务报告评价税收税收养老基金养老基金投资评估投资评估管理报告管理报告 战略

12、战略环境检视环境检视业务组合业务组合价值衡量价值衡量组织结构组织结构资源分配资源分配计划计划生命周期生命周期36373839404142434445464748495051525354555657注：COSO是指美国反对虚假财务报告委员会所属的内部控制专门研究委员会发起机构委员会（Committee of Sponsoring Organizations of the Treadway Commission， 简称COSO）。它包括美国注册会计师协会，内部审计师协会，财务经理协会，美国会计学会，管理会计协会。内部控制是企业为控制经营风险、实现经营目标而制定的各项政策内部控制是企业为控制经营风险

13、、实现经营目标而制定的各项政策与程序。与程序。COSOCOSO报告指出：内部控制是一个过程，受企业董事会、管理当局报告指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。风险评估、控制活动、信息与沟通、监督五项要素构成。58系 统检查控制系系 统统检查控制检查控制人 工检查控制人人 工工检查控制检查控制人 工预防控制人人

14、 工工预防控制预防控制系 统预防控制系系 统统预防控制预防控制可取的可取的可信的可信的可信的可信的可取的可取的59决策信息决策信息监监 督督特定风险控制特定风险控制 业务控制业务控制信息及信息处理控制信息及信息处理控制全面控制全面控制6061n相互牵制原则相互牵制原则n协调配合原则协调配合原则n岗位匹配原则岗位匹配原则n成本效益原则成本效益原则n整体结构原则整体结构原则6263采采 购购存存 货货销销 售售生生 产产原材料原材料产成品产成品收付款收付款投投 资资工工 资资 付款方向付款方向64656667内部控制的局限主要表现在：内部控制的局限主要表现在：内部管理人员滥用职权、蓄意营私舞弊等，

15、导致内部控制失去应有的控制效能。内部管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去应有的控制效能。内部人员相互串通作弊导致相关内部控制失去作用。内部人员相互串通作弊导致相关内部控制失去作用。内部人员素质不适应岗位要求，影响内部控制功能的正常发挥。内部人员素质不适应岗位要求，影响内部控制功能的正常发挥。成本效益问题。成本效益问题。对于不经常发生或未预计到的经济业务，原有的控制可能不适用。临时控制若对于不经常发生或未预计到的经济业务，原有的控制可能不适用。临时控制若不及时会影响内部控制的作用。不及时会影响内部控制的作用。6869707172营营运运流流程程2. 2.制定制定愿景和愿景和战略战略

16、1. 1.了解了解市场和市场和客户客户3. 3. 设计产设计产品和服品和服务务4. 4.市场市场营销营销5. 5.生产和配生产和配送产品及送产品及提供服务提供服务6. 6.服务性机服务性机构提供服务构提供服务7. 7.向客户向客户开票收开票收款及提款及提供服务供服务73信息技术信息技术业绩评估业绩评估组织架构组织架构7475 策略策略计划和执行计划和执行监督和评估监督和评估激励和反馈激励和反馈建立目标和评估体系建立目标和评估体系关键绩效指标关键绩效指标绩效评估绩效评估数据筛选和转换数据筛选和转换数据库数据库( (客户中枢系统客户中枢系统) )数据采集数据采集管理信息查询系统管理信息查询系统在线分析流程在线分析流程 OLAPOLAP知识管理系统知识管理系统销售和分销销售和分销跟踪系统跟踪系统客户服务客户服务系统系统企业资源规划系统企业资源规划系统767778798081828384n虚报冒领：虚报冒领：n阴阳发票：阴阳发票：n无中生有：无中生有：n侵吞不报：侵吞不报：n模仿签字：模仿签字：n假公济私：假公济私：n瞒天过海：瞒天过海：85n里应外合：里应外合：n暗渡陈仓：暗渡陈仓：n混水摸鱼：混水摸鱼：n偷梁换柱：偷梁换柱：n张冠李戴：张冠李戴：