企业风险管理与内部控制理论与实务课件

1、企业风险管理与内部控制理论与实务2016年07月安永.吴玮不会87.73%会95.05% 您认为风险管理与内部控制失效导致的管理混乱可能会发生在贵公司吗？ 您认为风险管理与内部控制失效导致的管理混乱可能会发生在其他公司吗？2012年证监会和中国风险管理与内部控制协会开展了一次针对上市公司风险与内控意识的调查，对主板上市、证券公司等1250家企业进行了问卷统计调查，调查结果显示：对待风险控制的态度：风险内控意识调查对待风险控制的态度：华人世界首富的风险观我会不停研究每个项目要面对可能发生的坏情况下出现的问题，所以往往花90%考虑失败。就是因为这样，这么多年来李嘉诚雄踞华人首富十六年（截止2013

2、年），屹立不倒的秘诀在于：2007年全球商业和商业周刊采访李嘉诚的访谈实录对待风险控制的态度：海恩法则1000次事故隐患300次未遂先兆29次轻微事故1次严重事故严重问题；应急、追责、 整改出现问题；调查、整改、 报告预警警报；监控、检查、 报告没有损失；设计、执行、 评价、改进华丽且自信满满仅仅关注有限领域并不具备足够的风险承受能力并不能时时专心对待风险控制的态度：我们可能我们遇到的问题？?什么是风险控制?为什么要风险控制?如何开展风险控制?目 录1什么是风险管理与内部控制2为什么要开展风险管理与内部控制3如何开展风险管理与内部控制第一部分什么是风险管理与内部控制目 录什么是风险定义：R =

3、 f（ O， U，E），O目标；U不确定性；E影响风险：“不确定性对目标的影响” 引自 ISO 指南 73：2009 风险管理术语为什么会存在风险？不确定性：不知道会不会发生？什么时候发生？发生的可能性有多大？发生的后果是什么？后果产生的影响有多大？不确定性既受制于外在的客观性（客观不确定性）；在企业管理实践的实践规范里面，更重要的是受制于人的态度、能力和经验（主观不确定性）风险控制的根本目的是着眼于：改变人的意识，提升应对能力和积累判断经验！什么是控制控制是根据组织的计划和事先规定的标准，监督检查各项活动及其结果，并根据偏差或调整行动或调整计划，使计划和实际相吻合，保证目标实现的行为。 风险

4、管理术语“风险管理是一种程序，由企业的董事会、管理层和其他成员共同使其生效，用以对以下目标的实现提供合理的保证： (b) 适用法律法规的合规性 (a) 财务报告的可靠性 (c) 经营活动的效率和效果 (d) 战略目标的实现。”监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部环境目标识定事项识别风险评估风险对策控制活动信息与沟通监督检查COSO对风险管理的定义：什么是风险管理“一套由董事会、管理层及其它相关人员共同实施的程序，以合理确保下列各项的目标得以实现： (b) 适用法律法规的合规性 (a) 财务报告的可靠性 (c) 经营活动的效率和效果。”监控

5、信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部环境风险评估控制措施信息与沟通监督检查COSO对内部控制的定义：什么是内部控制COSO模型的发展监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部环境风险评估控制措施信息与沟通监督检查监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部环境目标识定事项识别风险评估风险对策控制活动信息与沟通监督检查COSO内部控制模型COSO风险管理模型中央企业全面风险管理指引(一)收集风险管理初始信息(二)进行风险评估(三)制定风险管理策略(

6、四)提出和实施风险管理解决方案 (五)风险管理的监督与改进风险管理基本流程COSO全面风险管理框架风险管理三道防线企业内部控制基本规范第一章 总则第二章 内部环境第三章 风险评估第四章 控制活动第五章 信息与沟通第六章 内部监督第七章 附则 监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部环境经营报告风险评估控制措施信息与沟通监督检查合规企业战略资产安全COSO 内部控制模型企业内部控制基本规范企业内部控制基本规范有效的控制风险实现目标目标风险控制管理提升风险管控不是消灭风险，而是把风险控制在合理的范畴，让目标的偏差能够接受。目标决定了我们该管控哪些

7、风险目标的多样性、分层性和联动性，决定了风险管控需要系统化实施：中长期战略目标/产业战略目标/职能战略目标/年度经营目标/项目经营目标；理解目标、风险、控制如果你有小孩，为了保护孩子安全，你需要控制什么风险？你有哪些控制措施？婴幼儿安全三聚氰胺甲醛PM2.5劣质玩具人贩子幼儿园行凶幼师虐童危险车辆当前社会，关于婴幼儿安全的不确定性因素越来越多，发生的可能性越来越高：食品安全风险-香港限奶令家居安全风险-环保油漆和家居自然环境风险-口罩热销产品质量风险-玩具出口转内销社会治安风险-儿童定位手表交通环境风险-安全座椅热卖第二部分为什么要开展风险管理与内部控制目 录您是否听到过这样的声音？制度么，就

8、是用来看看的，嘻嘻说归说，但是我们一般都不那样做，太费事了那个制度阿，我不知道有没有人看，反正别人现在怎么做我就怎么做从来没看到过别的部门的制度，我们部门的也有吧，好几年了我们制度很多，很厚几本呢，但是太散乱，我也懒得去看哎，这个事情说不好，我也不知道其他部门的事情这个事情不是我们做的，但是，我也不知道其他部门是不是做了这个事情为什么是我来做啊（分工不太合理）这个事情啊，不是我不想做，但是也没有人告诉我怎么做啊我也不知道为什么要这么做，但是人家都这样做我知道这样做有风险，但是公司也没有说不让我这么做，我也不知道怎么做更好什么是内控呀，我们没有什么标准，反正一直就是这么做，都几十年了这个就是经验

9、这个不用说的，我们都知道以下这些事情在您的企业中可能发生吗？A.有人偷偷地溜到公司的计算机库房，把公司所有数据储存都毁了！B.市场竞争激烈，我们渐渐失去了资源的垄断优势。C.有人可能在挪用公司的资金，但也没人发现，没人管！D.公司的规章制度看上去挺多的，但实际比较混乱，大家平时工作基本不参照。E.公司大锅饭的氛围还是挺浓厚的，工作没啥积极性。F.公司想进军新的领域了，虽然不太懂这个新的行业，但大家都觉得前景很好！G.公司存货的管理比较混乱，东西多一件少一件，根本没人知道。H.公司领导天天审批，天天开会讨论经营事项，身陷繁杂的具体事务。I.公司部门中的岗位只是为了区别工资待遇，和工作内容没啥关系

10、，领导让你干嘛就干嘛J.为什么要开展风险管理与内部控制大势所趋，保护领导风险管控进入中共中央最高层公报中共中央十八届四中全会通过关于全面推进依法治国若干重大问题的决定 把公众参与、专家论证、风险评估、合法性审查、集体讨论决定确定为重大行政决策法定程序，确保决策制度科学、程序正当、过程公开、责任明确。建立行政机关内部重大决策合法性审查机制，未经合法性审查或经审查不合法的，不得提交讨论。 加强对政府内部权力的制约，是强化对行政权力制约的重点。对财政资金分配使用、国有资产监管、政府投资、政府采购、公共资源转让、公共工程建设等权力集中的部门和岗位实行分事行权、分岗设权、分级授权，定期轮岗，强化内部流程

11、控制，防止权力滥用。完善政府内部层级监督和专门监督，改进上级机关对下级机关的监督，建立常态化监督制度。完善纠错问责机制，健全责令公开道歉、停职检查、引咎辞职、责令辞职、罢免等问责方式和程序。风险管控成为国有企业领导履职的法定责任2014年1月份，由审计署、中纪委、国资委、中组部、人社部等七部委召开经济责任审计联席会议，提出2014年开始的经济责任审计实施细则指导意见。涉及到国有企业领导人相关会议精神：要严肃揭露和查处国有企业领导人重大的违法违规案件线索，重大的决策失当，重大的失职渎职行为，重大的损失浪费，重大的管理漏洞。2014年7月，七部委颁布党政主要领导干部和国有企业领导人员经济责任审计规

12、定实施细则第十六条国有企业领导人员经济责任审计的主要内容：（九）企业法人治理结构的健全和运转情况，以及财务管理、业务管理、风险管理、内部审计等内部管理制度的制定和执行情况，厉行节约反对浪费和职务消费等情况，对所属单位的监管情况；风险管控失效成为国有企业责任追究的重要因素2008年国务院国资委20号令中央企业资产损失责任追究暂行办法：第二十五条除第十六条至第二十四条以外，因企业内部控制存在重大缺陷或者内部控制执行不力等其他情形造成资产损失的，应当追究相关责任人的责任。第二十七条企业因未建立内控管理制度或者内控管理制度存在重大缺陷，造成企业重大或者特别重大资产损失的，除按照本办法对其他相关责任人进

13、行责任认定外，企业分管负责人和企业主要负责人应当分别承担分管领导责任和重要领导责任。第三十七条对调离工作岗位或者已离退休的资产损失相关责任人，应当按照本办法相关规定给予经济处罚、行政处分和禁入限制。给予经济处罚的，若离职后薪金尚未发放完毕，应当扣发相应的薪金；对继续在中央企业担任职务的，应当在其以后年度薪金中予以扣发；对调离中央企业的，应当向其工作单位提出处罚建议。第三十八条建立董事会制度的企业（含董事会试点企业），董事未履行或者未正确履行职责给企业造成资产损失的，除依法承担赔偿责任以外，国资委应当依照本办法及公司法规定的有关程序对其选任的董事进行处罚。 为什么要开展风险管理与内部控制监管要求

14、，保障合规国际化监管政策国会1977FCPAAICPA1980SAS No.30/60COSO1992ICIFAICPA1993 GAAS No.2/3AICPA1995 SAS No.78国会2002SOXCOSO2004ERMIFCOSO2006ICFR-GSPCPCAOB 2007ASNo.5PCAOB 2009ASNo.7COSO2009GMICSIMA2010ICERMFRCOSO2013ICIF风险管控规范金融商品交易法内部控制评价与审计准则企业管治常规守则2014年修订公司治理联合准则风险管控框架报告公司监管守则COCO风险管控框架澳大利亚新西兰风险管控标准（AS/NZS 436

15、0）金融安全法2009 ISO 310002009 ISO guide732009 ISO 310102013 ISO 31004201x ISO 31020国内监管政策 直接对风险管理/内部控制提出明确要求的单位包括：中共中央、中纪委、中组部、全国人大、财政部、交通部、原电力部、原煤炭部、证监会、保监会、银监会、审计署、中国人民银行、国务院国资委、国家税务总局、住建部、卫计委、安监总局、环保部、民航总局、国家标准委、中注协、上交所、深交所等超过150个法律法规、部门规章及规范文件等。近5年出台了60个文件！直接监管文件：管“头”对下一年风险状况进行评估国资委办公厅关于2015年中央企业开展全

16、面风险管理工作有关事项的通知明晰风险管理政策，提升风险研判能力健全风险评估机制，服务重大事项决策构筑风险信息平台，完善监控预警机制融入日常经营管理，提高风险防控能力直接监管文件：管“尾”对上一年风险控制进行评价财政部、证监会公开发行证券的公司信息披露编报规则第21号年度内部控制评价报告的一般规定本规则是对年度内部控制评价报告披露的最低要求。应当说明董事会、监事会及董事、监事、高级管理人员对内部控制及年度内部控制评价报告的相关责任。评价结论应当分别披露对财务报告内部控制有效性的评价结论，以及是否发现非财务报告内部控制重大缺陷。评价工作情况应当披露内部控制评价范围、内部控制评价工作依据及内部控制缺

17、陷认定标准，以及内部控制缺陷认定及整改情况。评价范围应当从纳入评价范围的主要单位、业务和事项以及高风险领域三个方面进行披露。评价工作依据及缺陷认定标准应当披露公司开展内部控制评价工作的具体依据以及进行缺陷认定的具体标准及其变化情况。缺陷认定及整改情况应当区分财务报告内部控制和非财务报告内部控制，分别披露报告期内部控制重大缺陷和重要缺陷的认定结果及缺陷的性质、影响、整改情况、整改计划等内容。中国证监会对上市公司的要求:管“进门”2015年4月，中国证监会对中国核能电力股份有限公司IPO申请材料进行审核，并反馈了16项问题。这些问题，绝大部分和内部控制直接相关。其中财务管理部分直接要求第三方出具内

18、部控制专项审核报告：独立规范：关联交易、信息披露、财务人员独立性（股份总部）市场营销：产品定价、市场竞争（股份总部+子公司）财务管理：成本控制、费用管理、资金管理、税收管理、存货管理（股份总部+子公司）风险评估：重大风险不清晰、过于泛化（股份总部+子公司）资产管理：金融资产、专利技术、土地获得（股份总部+子公司）人力资源：高管任职、薪酬管理（股份总部+子公司）法律管理：证照管理（股份总部+子公司）为什么要开展风险管理与内部控制经营所需，创造价值风险管控对企业经营的价值：活得更久 自然界生存下来的，既不是四肢最强壮的，也不是头脑最聪明的，而是有能力适应变化的物种。 达尔文物种起源风险管控对企业经

19、营的价值：活得明白Only when the tide goes out do you discover whos been swimming naked.Warren Edward Buffett只有当潮水退去的时候，你才知道谁在裸泳。 沃伦巴菲特第三部分如何开展风险管理与内部控制目 录风险管理与内部控制工作核心 固有风险可控风险（内控举措有效性）剩余风险风险辨识识别现有管理举措改善现有管理举措评价剩余风险高低进行风险应对完善内控体系降低剩余风险风险等式12345风险管控就是做减法制度流程体系授权体系岗位职责体系与现有管理相结合 真实反映运行管理现状目标设定风险控制水平评估差异/缺陷认定以风

20、险控制优化为导向 优化提升现有管理体系 优化至固化是必须的过程内控评价-闭环管理持续优化与长效机制以优化-固化-标准化为思路 固化管理程序控制点 管理制度化制度流程化流程信息化以信息化为目标 建立风控信息化系统诊断 优化 固化 信息化 工作实施路径风险管理与内部控制工作路径结合风险管控工作的内在规律和长期的内控建设经验，风险管控体系建设工作以建立风控长效机制为目标，构建风控闭环工作流程，具体包括管理现状诊断、风险控制优化、管理程序固化、内控体系信息化四方面，并以实现管理制度化、制度流程化、流程信息化作为风险管理体系建设的中长目标。风险识别与评估目标风险识别制度流程优化控制评价控制矩阵设计目标分

21、解与跟踪缺陷整改风险管控策略重点控制查询监控体系更新企业战略目标市场环境内部需求控制执行监控重要控制 监督检查缺陷管理 绩效考核评价机制设计抽样测试穿行测试风险控制的长效运行机制风险控制评价监督机制风险控制职能部门履行职责风险管理与内部控制工作思路风险管理与内部控制工作程序 内部控制评价监督与改进构建体系框架设计及组织建设（明确风险管控功能的相关责任主体机构、价值定位） 风险应对与内控梳理 （重大及重要 风险应对，梳理风险管理程序） 风险监控预警 （重大及重要风险 关键预警指标）风险管理与内部控制文化培养与信息系统支持 风险识别与评估 （风险识别、风险分析、 风险评价）目标设定闭环运行，持续运

22、行、监督改善！风控实施程序构建组织架构风险识别与评估风险应对与内控梳理风险监控预警内控监督评价构建合理的风控组织架构构建合理的风控组织架构其中，风险管控“三道防线”的内涵为： 所有业务部门和职能部门第一道防线：识别、评估和上报风险，设计并实施内控措施，保存控制执行证据，开展控制自我评价 风控管理职能部门 内部监督职能部门第二道防线：统筹组织、协调规划、技术支持、监控评价第三道防线：实施内控独立监督评价，促进内控体系的不断优化和完善建设期运行期优化期明确职责后，需要建立起纵向到底和横向到边的立体网状的风险管控组织机构。分管风控总经理风控主责部门职能部门风控管理岗业务岗1业务岗2业务岗3风控合规岗

23、分公司总经理办公会业务岗1业务岗2业务岗3分管风控总经理风控主责部门职能部门风控管理岗业务岗1业务岗2业务岗3风控合规岗直属项目总经理业务岗1业务岗2业务岗3董事会审计委员会分管风控副总风控主责部门XX事业部/中心职能部门风控管理岗业务岗1业务岗2业务岗3业务一处业务二处业务三处风控合规岗业务岗1业务岗2业务岗3风控合规岗监事会专门委员会总经理办公会审计部董事会审计委员会分管风控总经理风控管理部门XX事业部/中心职能部门风控体系处合规处风控评价处整改处业务一处业务二处业务三处风控合规处业务岗1业务岗2业务岗3风控合规岗监事会专门委员会总经理办公会审计部建立纵向到底（分支机构和并表单位）风险管理

24、组织机构建立横向到边（业务条线和部门）风险管理组织机构内控相关职能的整合与归并内控机构设置是刚性的内控岗位人员可以专职和兼职并举派驻式和内设式构建合理的风控组织架构制度文件操作规范总体规划风险管理与内部控制提升方案作为规划指导文件，明确公司风险管控工作的原则和整体要求。风险管理与内部控制办法，从组织职责分工、风险管控工作内容和工作流程等方面明确对各项工作的基本要求。围绕风险管理与内部控制办法，分阶段制定风险评估、内控梳理、监控预警、内控评价指引，明确工作操作规范和要求。根据风险管理与内部控制制度和细化规范，结合实施成果，形成风险管理与内部控制手册。提升方案全面风险管理办法风险评估指引风险监控预

25、警指引风险管理评价指引全面风险管理手册风险管理与内部控制制度体系构建风控组织架构风险管理与内部控制工作程序构建组织架构风险识别与评估风险应对与内控梳理风险监控预警内控监督评价风险识别风险分析风险评价查找企业各业务单元、各项重要经营活动及其重要业务流程中是否有风险，有哪些风险。对辨识出的风险及其特征进行分析和描述风险发生可能性的高低、评估风险发生后对企业实现目标的影响程度。评估风险的价值，确定风险等级，明确风险管理重点。 风险识别风险评价风险分析风险识别与评估风险信息收集：内部风险内部风险识别管理因素人力资源因素自主创新因素财务因素组织结构经营方式资产管理业务流程营运安全员工健康环境保护研究开发

26、技术投入信息技术财务状况经营成果现金流量职业操守专业胜任能力团队精神安全环保因素* 注释：摘自企业内部控制基本规范风险识别风险信息收集：外部风险外部风险识别经济因素自然环境因素社会因素行业技术因素经济形势产业政策融资环境法律法规监管要求安全稳定文化传统社会信用教育水平消费者行为技术进步工艺改进自然灾害环境状况法律因素市场竞争资源供给* 注释：摘自企业内部控制基本规范风险识别以公司主要业务板块的战略目标和经营目标为基础，构建公司风险数据库，建立规范统一的风险语言，为开展风险评估和应对提供基础。公司总部宏观经险风险投资风险现金流风险土地开发板块工程项目风险安全运营风险采购管理风险基础设施板块工程项

27、目风险安全运营风险持续运行风险房地产开发板块工程项目风险安全运营风险采购管理风险投资板块投资组合风险风险评估技术风险持续监控风险公共服务设施板块安全运营风险管道设施风险价格风险安居工程项目风险安全运营风险项目开发设备检修风险价格风险土地资源获取环境保护风险价格风险骨干路网运营安全运营风险价格风险公路运营大修风险路政风险产业园区环境保护风险安全风险商业地产政策风险资金风险酒店运营标准化风险客户体验风险城镇改造政策风险招商风险公共服务设置安全风险管道设备风险配套设施管道设备风险价格风险物业管理环保风险价格风险海外窗口国别风险投资论证风险风险投资人力资源风险退出风险产业投资环境保护风险价格风险 风险

28、框架需至 上而下，统一 设计 风险相关概念 需明确，使用 规范 风险命名、分 类规则明确 风险数据库维 护职责机制明 确示例风险识别战略风险市场风险财务风险运营风险法律风险 明确风险分类原则、命名规则编制风险数据库为，风险评估工作的基础。风险识别 进行风险分析与评价，应将定性与定量方法相结合，详见后表风险分析与评价标准对企业面临的风险进行有效识别后，应对各种风险发生的可能性及其对公司运营造成威胁的大小进行分析和评价，对风险进行排序，形成风险分析结果，为风险控制决策提供科学依据。风险分析与评价根据风险的性质，通常运用说明性标准进行评分 适用于可以通过历史数据计算出风险发生概率的风险 针对大型灾害

29、/事件类的潜在风险 针对日常运营中可能发生的潜在风险数值1）说明性2）发生概率（定量）3）针对大型灾害/事件类（定量）4）针对日常营运（定性）5基本确定=95%今后1年内至少发生1次常常会发生4很可能50-95%今后1年内可能发生1次较多情况下发生3可能30-50%今后25年内可能发生1次某些情况下发生2不太可能5-30%今后510年内可能发生1次极少情况下才发生1几乎不可能5%今后10年内发生的可能少于1次一般情况下不会发生风险发生可能性 评价标准（标准应当差异化、本地化）风险分析与评价风险影响程度 评价标准（标准应当差异化、本地化）影响程度评分12345定量方法描述税前利润1% 以下税前利

30、润的1-5%税前利润的6-10%税前利润的11-20%税前利润20%以上定性方法描述极轻微的轻微的中等的重大的灾难性的极低低中等高极高适用于所有行业企业日常运行不会影响企业的日常运行对企业日常运营有轻度影响，造成轻微的人身伤害，情况立刻受到控制对企业日常运营有中度影响，需要医疗救援，情况需要外部支持才能得到控制企业失去一些业务能力，造成严重人身伤害，情况失去控制但无致命影响重大业务失误及人身伤亡财务影响较低的财务损失轻微的财务损失中等的财务损失重大的财务损失极大的财务损失声誉影响负面消息在企业内部流传，企业声誉未有受损负面消息在当地局 部流传，对企业声 誉造成轻微损害负面消息在某区域上 流传，

31、对企业声誉造成中等损害负面消息在全国各地流传，对企业声誉造成重大损害负面消息造成国际影响，政府或监管机构进行调查，引起公众关注，对企业声誉造成无法弥补的损害风险分析与评价风险序号风险名称各项风险之等级分值被选总和各项风险之等级被选次数平均值项:MAXP-AV平均值项:MAXS-AVRisk Grades排序p1p2p3p4p5s1s2s3s4s5p1p2p3p4p5s1s2s3s4s5R31执行力风险5048162306454116705016446621829143.9342103.28947312.94148194R01政策与宏观经济风险41899108153147812820493327

32、337263243.2105263.19736810.26523545R06投资风险022215621588361168501171443841229174.1315783.32894713.75380882R09整合重组与改制风险5507844306407568552526116620251712.7236842.5526316.952562327R10人力资源风险314968810418788410373222249262122.7763152.5526317.086911356R12集团管控风险748903610646844057243092623281012.5131572.38157

33、85.985283939R14现金流风险712032265883048170760853841012344.1578943.47368414.44321331R20筹资风险116257481585866361011311912382922922.5394732.3421055.9477146810R21偿债风险1250844051044725651225281011022241412.5131572.4605266.183691138R22市场风险6069441804060148406023113640203783.9342103.31578913.04501383根据风险发生的可能性和影响程

34、度的标准，从定量和定性两个角度对企业各类风险进行分析排序:风险分析与评价风险序号风险描述风险发生可能性风险影响程度风险等级人数均值人数均值P1P2P3P4P5S1S2S3S4S5R14现金流风险7608534.15789841012343.4736814.4432开展德尔菲调研，运用离散度分析，进行多轮次打分，防止打分过程中的“噪音”。风险分析与评价Risk=可能性*影响程度影响程度极低低中等高极高极高高中等低极低1810734621159可能性根据最终确定风险等级及排序绘制风险坐标图，了解风险分布情况。风险分析与评价基于企业价值实现过程明确重大、重要风险分布，以便风险应对：并购整合风险产业结

35、构风险招商引资运作风险投资风险安全质量管理风险项目合作开发风险应收账款风险人力资源风险风险分析与评价识别重大风险，拟定风险应对方案确定风险责任人，明确重大风险管理责任，为重大风险的管理找到“落脚点”示 例清晰定义各项风险管理策略，为建立重大风险管理体系搭建良好的基础排序风险名称风险责任部门137 人才储备风险 人力资源部212 组织结构风险 人力资源部335 制度风险 政策法律部45 战略规划风险 计划发展部5劳动力关系风险人力资源部641 执行不力风险内部控制合规审计内控部641 执行不力风险外部客户需求、法律行规合规政策法律部77 投资决策风险 计划发展部821 规模风险董事长990 工程

36、地质及重大自然灾害风险水电工程工程项目部990 工程地质及重大自然灾害风险综合产业工程综合产业部1023 能源需求风险 商务部示 例成果展示风险分析与评价根据风险评估结果，研究制定重大、重要风险的管理目标和策略，加强风险应对。梳理现有内部控制、专业管理制度加强风险控制；根据内外部环境变化，及时调整、完善风险应对措施，建立健全重大、重要风险应急预案。风险 控制 = 可接受风险度可接受风险度了解业务目标了解风险管理风险适当的内部控制能降低企业所面对的风险至它可接受的风险程度，但不能完全消除所有的风险。风险管理与内部控制工作程序构建组织架构风险识别与评估风险应对与内控梳理风险监控预警内控监督评价风险

37、应对与内控梳理风险应对策略的制定是指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险控制等适合的风险管控工具的总体策略，并确定风险管控所需人力和财力资源的配置方法的过程。风险应对策略制定内部风险外部风险纯粹风险机会风险 ：重新部署有限的风险管理资源、止损 ：设计或重新设计风险控制 ：积极降低并利用风险：动态跟踪随时应变兵法版风险应对策略：第象限，以风险承担为主，兵来将挡水来土掩；第象限，以风险转移为主，调虎离山围魏救赵避实击虚；第象限，以风险控制为主，擒贼擒王釜底抽薪不战屈人；第象限，以风险规避为主，隔岸观火走为

38、上计；事 前制度组织文化事 中事 后流程表单系统检查审计奖惩风险应对与内控梳理成果展示-基于价值链的内控流程体系框架内控管理框架依据风险分布情况，结合业务现状、现有制度，对企业业务流程进行分类和梳理，绘制出各业务流程的流程图，以特有的原素符号展现业务逻辑及控制点，将风险关联到责任部门岗位及重要文档输出。流程步骤的责任部门、岗位该流程步骤中涉及的重要文档输出，与步骤编号对应。以各种图元素展现流程步骤及关键控制点举 例内控流程梳理流程架构层级分类原则末级流程企业地图流程区域资金管理银行账户管理流程财务管理流程场景采购仓储管理付款管理供应商管理人事管理财务管理物业设备管理IT 管理示例价值链分解细化

39、 从管控层面面到操作层面可行性研究与审批流程项目组织与计划流程组织实施与过程管理流程 总结与验收流程 成果管理流程成本风险进度风险人力资源风险内部协调风险课题时效性风险性能缺陷风险资产风险保密风险可研风险技术可行性风险经济可行性风险资金风险资源配置风险目标风险项目组织风险程序风险标准风险舞弊风险误报风险知识管理风险成果转化风险保密风险资产风险时效风险政策波动风险廉洁风险专业技能风险课题优先级风险风险与流程匹配示例示 例风险与业务流程匹配成本风险风险应对风险管理策略现行控制措施改进措施风险基本态度策略具体描述内控流程及控制点管理制度其他管理措施管控有效性风险控制 目前公司权证的申报、保管、使用等

40、管理工作由相关部门、各单位自行负责管理，企业管理部对所负责权证外借有相关流程表单。但公司尚未制定完善的权证管理制度和内控业务流程，对公司权证进行统一管理。无无/无效 公司应制定相关权证管理办法，办法中可对权证的范围及种类、权证归口管理部门职责、权证的申报、保管、使用、借用等程序进行明确的规范，确保资质的管理工作有效开展。公司应梳理权证管理工作内控业务流程，识别出权证借用环节的关键控制点，明确责任部门/单位，列出相关控制文档，确保权证管理工作在有效的控制环境下开展。风险与业务流程匹配对重大风险，建立监控预警指标体系与监控预警机制。对引起风险事件发生的关键成因指标进行管理，确定风险预警指标及预警区

41、间，并建立及时、有效的风险监控预警信息传递机制。风险管理与内部控制工作程序构建组织架构风险识别与评估风险应对与内控梳理风险监控预警内控监督评价风险监控预警确定监控预警方式 风险预警有定性和定量两种方式。定性方式预警主要是按照既定的频率对风险进行定性评估，通过评估对风险进行监控。定量方式预警主要是按照既定的频率对风险对应的预警指标进行监控，根据预警指标状况对风险进行监控。两种预警方式的预警思路如下所示：风险辨识风险分析风险评价公司整体风险框架关键风险框架风险评估指标体系设计公司指标库风险因素量化关键指标库风险因素量化属性阈值确定监控方式 制定应对预案 建立应对机制风险预警指标运行系统管理制度 信

42、息化 管理流程设计监控预警指标重点风险领域关键业务流程关键报告、关键指标关键风险指标识别关键风险指标度量值测算单一风险预警方案设计风险预警机制设计风险偏好范围平衡点一级预警点二级预警点时间设计监控预警指标举 例设计监控预警指标确定监控预警阀值适度从紧的原则加权平均原则原则企业历史值企业考核值企业风险偏好依据行业值、企业绩效评价标准值根据风险预警指标体系建设要求，预警指标选取重点考虑在不确定的条件下生存与发展的实际情况，在考虑生存的同时，重点考虑公司的发展问题，发展类预警指标阈值区间设定主要防消极和防冲动。较低值平均值超过优秀值的10%超过优秀值的20%消极红灯预警消极黄灯预警冲动红灯预警冲动黄

43、灯预警稳 健较低值平均值较差值良好值优秀值比较分析法历史数据法专家征询法预警区间依据业务个性化设置确定监控预警阀值确定监控预警阀值1、亮灯预警红灯表示存在重大风险（重点跟踪）黄灯表示存在一定风险（予以关注）绿灯表示基本安全2、趋势预警 绿灯状态的指标，波幅 异常的亮黄灯红色箭头表示较上期恶化绿色箭头表示较上期好转黄色箭头表示与上期没变3、程度预警4、波动预警风险监控预警处置物资供应部党群工作部公司领导燃料管理部人力资源部预警处理监控基础数据计划经营部审计部财务部预警中心燃料卸运部设备管理部发电部检修维护部脱硫部厂办公室安全环保部数据收集与上报预警监控与反馈 依靠各部门数据收集与上报，完成预警系

44、统的运行，通过监控结果的反馈与处理，达到风险日常监控与管理的目的。风险监控预警处置“企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对内部控制的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。” 关注风险管理的目标 持续提升风险管理水平根据变化情况及时加以改进监督和改进的实质执行相关测试和自我评估发现并传递重大风险管理缺陷分析风险管理实施的有效性风险管控程序构建组织架构风险识别与评估风险应对与内控梳理风险监控预警内控监督评

45、价内部控制监督评价评价的重点监督的对象1.风险管理初始信息 2.风险评估 3.风险管理策略 4.关键控制活动 5.风险管理解决方案 1. 重大风险2. 重大事项和重大决策3. 重要管理及业务流程风险管理活动是否有效结论改进即管理层和董事会是否能在以下四个方面得到合理保证：了解企业战略目标实现的程度了解企业经营目标实现的程度企业财务报告的可靠性企业对相关法律法规的遵守内部控制监督评价针对重大、重要风险控制点编制测试底稿，根据明确的测试方法、测试要点定期开展控制设计与执行有效性评价。主表填制说明副表举 例内部控制监督评价整理管理建议组织整改优化：针对识别的每项风控缺陷，进行具体分析，编制管理建议报

46、告，主要内容包括：缺陷概述、涉及的业务流程、对应的风险、问题的具体阐述、影响结果和整改建议、计划完成时间等。缺陷概述涉及流程对应风险现状阐述影响结果整改建议计划完成时间内部控制监督评价风险管理与内部控制体系工作程序企业风险管理与内部控制体系讲求的是闭环、系统。风险管理与内部控制体系现状规模增长带来不确定性急剧放大，逐步关注法规要求，对现有的政策和程序等管控措施进行对标，以底线、安全为管控重心合规型风控发展期聚焦安全，重视危机应对增长趋于回归，内外部复杂性加剧，强化SOP和监督机制，坚定地推动政策和程序的执行，以执行力、落地为管控重心监督型风控转型期聚焦变革，重视执行监督价值链趋于稳定，规模效应

47、消退，精细化管理要求增多。关注岗位、活动的实现过程和效果，以过程规范、有序为管控重心管理型风控成熟期聚焦稳健，重视规范运营以良好过程、结果数据治理为特征，运用大数据挖掘、分析，构建度量过程和结果的指标和模型，以量化、增值为管控重心价值型风控领先期聚焦创新，重视价值发现“基于企业发展周期的企业风险管控模式”：没有好或者不好的体系，只有合适或不合适的体系。安永咨询服务介绍9安永是全球领先的专业服务机构安永全球安永中国安永是全球四大专业服务机构之一，拥有超过212,000名专业人士安永通过全球150余个国家的办事处为客户提供专业的审计、税务、咨询、交易并购等全方位服务安永2015财年营收287亿美元

48、安永目前在大中华区有1.6万名员工安永大中华区域一共设立了24家办事处其中包括1200名咨询顾问，并成立了专门的风险控制服务部2015财年亚太地区咨询业项目收入高达3.1亿美元，同比增长11.3% 连续多年全球最具吸引力公司排名前三甲2015财年营业收入比2014财年增长11.6%2015财年新入职员工高达23，000名人员安永在大中华区的人才力量安永在大中华区提供专业服务的历史已有45年，目前员工数达16,000名，共设立了24家办事处，分别位于上海、北京、香港、广州、深圳、大连、武汉、成都、澳门、苏州、南京、天津、青岛、杭州、厦门、沈阳、长沙、西安、台北、中坜、新竹、台中、台南和高雄。安永

49、咨询服务团队是在国内最早开展企业咨询服务的专业咨询机构之一，目前共有专业服务顾问约1200名。分布在北京、上海、香港、南京、广州、深圳、大连、武汉、成都、苏州、青岛、杭州、天津、沈阳、厦门、西安、澳门、台湾18个城市和地区。从专业资格来看，大批的专业顾问取得了国际内部审计师（CIA）、中国注册会计师（CICPA）、美国注册会计师（AICPA）、香港注册会计师（HKICPA）、加拿大注册会计师（CGA）、英国注册会计师（ACCA/FCCA、ICAS、ICAEW）或澳洲注册会计师（CPAA）等资格证书。从执业经验来看，约三分之一顾问具有5年以上的专业服务经验， 其中具有8年以上专业服务经验约占百分

50、之十三。风险管理与内部控制咨询的领导者安永是全球专业服务机构中提供内部控制及风险管理服务的领导者之一，风险管理咨询业务的市场份额在四大会计师事务所中居前列。近年来，我们投资超过五亿美元以用于全球企业风险管理服务的持续发展。现在，我们全球已拥有了8,000多位风险管理服务专业人员服务于各个国家，是全球最大的风险服务咨询公司。领先的风险管理咨询服务风险管理业务市场份额安永 EY其他 Others55%45%资料来源: 商业周刊杂志注：Forrester,IDC,Gartner 等均为全球知名独立市场及工具调研机构。安永近年来荣获了以下殊荣评测机构与评测名称评测结果IDC1.亚太地区商业咨询服务领导

51、者2.全球范围风险咨询服务领导者3.全球金融服务咨询领导者Forrester3.信息安全咨询领导者4.业务连续性优秀服务提供商Gartner5.安全咨询服务全球排名第二6.金融咨询服务各地区排名第一或第二肯尼迪咨询7.金融咨询服务金融服务咨询提供商首位安永安永近年所获部分奖项财富“100家工作环境最佳的公司”之一(1999至2013年) 美国培训 (Training) 杂志“十大学习型企业”(2002至2012年) 最受推崇的知识型机构奖(1998至2012年)Asia Risk (亚洲风险)“最佳咨询机构”(2012年)最佳职场研究所 (Great Place to Work Institute)“大中华区最佳职场” (2012年) CFO Innovation Asia Magazine“亚太区年度税务咨询机构” (2012年) 企业内部控制知识竞赛优秀组织奖、个人奖（2013年）中国标准创新贡献一等奖-XBRL(2013年