风险控制目标和控制解释

1、2022-5-51风险控制目标和控制解释22022-5-5风险控制简述q风险控制是指控制风险事件发生的动因、环境、条件等，来达到减轻风险事件发生时的损失或降低风险事件发生的概率的目的32022-5-5风险控制简述n通常影响某一风险的因素有很多。风险控制可以通过控制这些因素中的一个或多个来达到目的，但主要的是风险事件发生的概率和发生后的损失。前者的例子如室内使用不易燃地毯，山上禁止吸烟等；后者的例子如修建水坝防洪，设立质量检查防止次品出厂等n风险控制的对象一般是可控风险，包括多数运营风险，如质量、安全和环境风险，以及法律风险中的合规性风险42022-5-5相关定义n可能性 用作对事件发生概率或频

2、率的定性描述。n频率：是以规定的时间内发生次数来表达事件发生率的量度。 n概率：是以特定事件或结果与可能发生事件或结果的总数之比，来量度的特定事件或结果的可能性。概率用数字0至1来表达，0表示一个不可能的事件或结果，而1表示一个必然的事件或结果。n影响性（Consequence） ：后果等级以定量或定性的方式表示的一个事件的结果（一个事件可能有多个与其相关的结果）。 52022-5-5相关定义n风险点 是指风险因素在业务流程中环节的反映和表现。 n损失 是指任何财务或其他方面的负面影响。 n固有风险是指在没有考虑控制活动的有效性或其他减小风险的措施没有付诸实施之前已经存在的风险。 n剩余风险是

3、指在采取控制活动或其他风险减轻措施后所剩余的风险。 n可接受风险是指其程度已降低到银行考虑监管要求和内控政策后能接受的水平的风险。 62022-5-5风险事件类型 n内部欺诈 n外部欺诈 n就业制度和工作场所安全事件 n客户、产品和业务活动事件 n实物资产的损坏 nIT系统事件 n执行、交割和流程管理事 72022-5-5现有控制描述n流程内控制 n控制与风险重合 n控制环节前置 n控制环节后置 82022-5-5现有控制描述n流程外控制n其他流程控制（如监控流程控制） n非流程控制（如政策控制、责任控制） 92022-5-5现有控制描述风险与控制重合控制2控制1控制315243控制4非流程控

4、制5 102022-5-5现有控制评价n控制有效n当采取控制措施后，风险等级从不可接受（E、H、M）达到I（极小风险）时，n控制基本有效n当采取控制措施后，风险等级从不可接受（E、H、M）达到L（低风险）时，可112022-5-5现有控制评价n控制不足n当采取控制措施后，风险等级仍处于从不可接受（E、H、M）时，可以认为控制不足，需要进一步采取控制措施 n控制过度n当采取控制措施后，风险等级能够从不可接受（E、H、M）达到基本可接受L（低风险）或I（极小风险），但为此付出的控制的成本过高，适当减少控制时仍能使风险处于可接受状态，此时可以认为控制过度 122022-5-5风险控制策划风险评估底稿

5、控制目标风险评估结果判断是否增加控制措施 分析新增控制措施 确定新增控制措施确定实施部门 确定监控部门生成控制底稿分析控制效果 风险控制底稿132022-5-5控制目标 n对于所有风险因素均需明确具体的控制目标142022-5-5改进控制方案n对于经评估认为需要改进控制措施的，在新增控制措施填列所增加的措施，对于不需要新增加措施的，可以不填 152022-5-5控制部门/岗位 n对风险控制自评进行控制的部门或岗位162022-5-5全面风险管理的必要举措n内部控制是通过有关企业流程的设计和实施的一系列政策、制度、程序和措施，控制影响流程目标的各种风险的过程n内控系统是全面风险管理的重要组成部分

6、，是全面风险管理的基础设施和必要举措n一般说来，内部控制系统针对的风险一般是可控纯粹风险，其控制对象是企业中的个人，其控制目的是规范员工的行为，其控制范围是企业的业务和管理流程172022-5-5内控制定的原则n企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。182022-5-5内控系统的历史发展n内部控制的概念始于上一世纪初的财务控制，在80年代以后逐渐受到各国的重视，特别是监管机构的重

7、视。在发展过程中，内部控制的理论吸收了控制论、系统论、组织理论、行为科学、心理学、管理学等多学科的内容n美国COSO组织1992年的整合内控体系对世界各国公司立法和管理影响巨大n美国2002年通过的萨班斯法案将建立和维持有效的内控系统作为对上市公司的法律合规要求经营经营财务财务合规合规监控监控信息沟通信息沟通控制活动控制活动风险评估风险评估控制环境控制环境单单位位1 1单单位位2 2流流程程1 1流流程程2 2192022-5-5内控设计的基本原则n全面性 覆盖企业所有重要业务及管理流程和流程的全过程n系统性 按统一原则制定，与风险策略一致n合规性 符合国家有关法律法规n成本效益 控制与收益平

8、衡n权力分离及相互制约 岗位之间相互制约，重要流程及决策不能由一个人完成202022-5-5内控设计的基本原则n激励平衡 权责明确及奖惩结合n信息反馈 内部控制应有自我调节功能n可操作性 根据企业现有操作水平制定n包容性 不致因个别环节失灵导致全系统失灵212022-5-5内控的设计n按照风险管理的基本流程进行：n对象流程的环境信息，包括目标、全流程各个步骤、有关法规制度n风险评估n设计控制策略n设计控制措施n监控改进222022-5-5内控的设计监控改进监控改进制定风险制定风险管理策略管理策略风险评估风险评估1.2.5.4.3.信息沟通贯穿始终信息沟通贯穿始终制定实施解制定实施解决方案决方案

9、建立初始建立初始信息信息232022-5-5内控与流程再造n内控设计以流程为基础。因此，在建立内部控制系统时，首先要梳理现有的管理和业务流程。必要时，建立相关的流程n完善的流程包括完善的内部控制；设计内控的过程也是完善流程的过程。因此，涉及内部控制的过程一般会涉及流程的再造，加强现有流程的内控也是流程再造的一部分242022-5-5流程的内部控制流程风险控制点控制措施? 流程是否存在 设计是否合理 职责是否明确 执行是否严格 奖惩是否明白 效果是否满意 关键绩效区 风险是否辨识 影响什么指标 影响哪些流程 影响哪些部门 或哪一级企业 分析是否彻底 应对是否存在 设计是否合理 职责是否明确 是否

10、经过检验 效果是否满意252022-5-5萨班斯法案404条款的要求n在美国上市的中国公司应当遵守萨班斯法案的要求n萨班斯法案要求所有美国的上市公司要在所有与财务报告有关的流程建立并维持足够的内部控制n因此，满足萨班斯法案的第一步就是识别所有与财务报告有关的流程n外部审计师须对公司的财务报告流程的内部控制进行审计，并出具意见404条款- 年度财务报告内部控制的公司管理层报告书设立并维持了足够的财务报告内控体系；财务报告内控体系有效性的评价；为评价财务报告内控体系而采用的评价体系的说明。Sarbanes-Oxley Act of 2002262022-5-5内控的基本应对手段n授权n报告n批准n

11、责任n审计检查n考核评价n预警n法律风险防范体系n权力制衡内部控制的系统主要包括企业的过程、程序、政策、准则、方针、结构、规范272022-5-5建立授权制度 (一一) 建立内控岗位授权制建立内控岗位授权制度。对内控所涉及的度。对内控所涉及的各岗位明确规定授权各岗位明确规定授权的对象、条件、范围的对象、条件、范围和额度等，任何组织和额度等，任何组织和个人不得超越授权和个人不得超越授权做出风险性决定；做出风险性决定；n授权制度至关重要。要做到事事有授权，尤其是重大决策更是要明确的授权n授权应当遵循岗位分离的原则，授权范围要适当。不可过宽，过宽则内控失灵；不可过窄，过窄则影响效率n授权应当结合激励

12、机制，明确授权的同时明确奖惩n信息系统在流程中的使用有助授权制度的刚性化282022-5-5建立内控报告 ( (二二) ) 建立内控报告制建立内控报告制度。明确规定报告人度。明确规定报告人与接受报告人，报告与接受报告人，报告的时间、内容、频率、的时间、内容、频率、传递路线、负责处理传递路线、负责处理报告的部门和人员等报告的部门和人员等；n内控报告制度是内控信息反馈原则的具体体现n内控报告制度是内控的有效性保证，其作用是使各级管理层和企业内外部的利益相关人能够及时得到企业的内控的真实信息n内控报告制度是风险管理信息沟通，其时间、频率、内容等应与针对的风险匹配292022-5-5建立内控批准制度

13、(三三) 建立内控批准制度。建立内控批准制度。对内控所涉及的重要对内控所涉及的重要事项，明确规定批准事项，明确规定批准的程序、条件、范围的程序、条件、范围和额度、必备文件以和额度、必备文件以及有权批准的部门和及有权批准的部门和人员及其相应责任人员及其相应责任；n内控批准制度是授权制度的表现n对内控所涉及的重要事项，如重大决策与重要信息的披露等建立明确的批准制度，使得流程的控制更加严密n要坚持风险控制与运营效率及效果相平衡的原则，对公司内控所涉及的事项进行分级、分类的管理，同时可利用信息系统提高运营效率302022-5-5建立内控责任制度 (四四) 建立内控责任制度。建立内控责任制度。按照权利、

14、义务和责按照权利、义务和责任相统一的原则，明任相统一的原则，明确规定各有关部门和确规定各有关部门和业务单位、岗位、人业务单位、岗位、人员应负的责任和奖惩员应负的责任和奖惩制度制度；n内控责任制度应与内控授权制度配套，并配之以合理的奖惩措施n要明确每一个员工在内部控制中的责任及其奖惩，并严格执行。没有奖惩制度的责任会落空，不严格执行的奖惩制度也会落空n内控责任可能与业务无关，但同样需要考核312022-5-5建立内控审计检查制度n内控审计制度是内控系统中的重要组成部分，是内控系统执行风险管理基本流程中监控改进步骤的重要环节，使保证内控有效并不断提高的关键n应当坚持审计部门与内控的执行部门的相对独

15、立n内控审计的计划和审计报告应当得到风险管理委员会的批准n内控审计是审计业务的一个新事物，但是国际上的趋势。公司应当高度重视，配备人才，做好这项工作 (五五) 建立内控审计检查建立内控审计检查制度。结合内控的有制度。结合内控的有关要求、方法、标准关要求、方法、标准与流程，明确规定审与流程，明确规定审计检查的对象、内容、计检查的对象、内容、方式和负责审计检查方式和负责审计检查的部门等的部门等；322022-5-5建立内控考核评价制度 (六六) 建立内控考核评价建立内控考核评价制度。具备条件的企制度。具备条件的企业应把各业务单位风业应把各业务单位风险管理执行情况与绩险管理执行情况与绩效薪酬挂钩效薪

16、酬挂钩；n内控的绩效考核是内控的奖惩措施的落实n在有条件时，要量化内控的绩效。可以考虑使用如内控失灵造成的损失、产生的次质品、客户满意度，人才流失度等指标来衡量内控的效果n不能量化内控的绩效时，可以采用同行评比，专家意见等方法332022-5-5建立重大风险预警制度 (七七) 建立重大风险预警建立重大风险预警制度。对重大风险进制度。对重大风险进行持续不断的监测，行持续不断的监测，及时发布预警信息，及时发布预警信息，制定应急预案，并根制定应急预案，并根据情况变化调整控制据情况变化调整控制措施措施；n关于建立重大风险的预警制度，可参考前面关键风险指标管理的内容342022-5-5法律风险管理 (八

17、八) 建立健全以总法律顾问建立健全以总法律顾问制度为核心的企业法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风制度。大力加强企业法律风险防范机制建设，形成由企险防范机制建设，形成由企业决策层主导、企业总法律业决策层主导、企业总法律顾问牵头、企业法律顾问提顾问牵头、企业法律顾问提供业务保障、全体员工共同供业务保障、全体员工共同参与的法律风险责任体系。参与的法律风险责任体系。完善企业重大法律纠纷案件完善企业重大法律纠纷案件的备案管理制度；的备案管理制度；n法律风险管理是企业全面风险管理的一部分，管理企业法律风险要服从企业整体风险管理策略n随着市场环境的变化和国企走出国门，法律风险日益突出n

18、要充分考虑到法律风险的环境特性和复合特性，即法律风险管理的专业性352022-5-5建立重要岗位权力制衡制度 (九九) 建立重要岗位权力制衡制度，建立重要岗位权力制衡制度，明确规定不相容职责的分离。明确规定不相容职责的分离。主要包括：授权批准、业务经主要包括：授权批准、业务经办、会计记录、财产保管和稽办、会计记录、财产保管和稽核检查等职责。对内控所涉及核检查等职责。对内控所涉及的重要岗位可设置一岗双人、的重要岗位可设置一岗双人、双职、双责，相互制约；明确双职、双责，相互制约；明确该岗位的上级部门或人员对其该岗位的上级部门或人员对其应采取的监督措施和应负的监应采取的监督措施和应负的监督责任；将该岗位作为内部审督责任；将该岗位作为内部审计的重点等。计的重点等。n这是内控的基本原则n首先要明确重要的岗位，涉及重大决策制定、重大事件应对、重大风险管理、重要信息的披露等的责