风险管理与内部控制培训课程课件

风险管理与内部控制风险管理与内部控制课程目标企业风险管理实务公司治理中国内部控制现状及困惑内部审计的新趋势课程目标企业风险管理实务时间分配14：00--14：50内容分享14：50--15：00休息15：00--15：30讨论15：30--16：00内容分享16：00--答疑时间分配14：00--14：50内容分享14：501、ERP系统实施风险及常见挑战2、内部审计参与ERP管理的职责定位ERP系统选型ERP系统实施ERP系统持续审计及合规评估第一章：

企业风险管理实务为何要对风险进行管理何为风险管理基本原则与组织构架风险评估风险应对策略关键风险指标挑战及解决方案问题与解答1、ERP系统实施风险及常见挑战ERP系统选型第一章：企业风险案例举例风险案例举例风险案例举例2、许家印“帝国”保卫战（/zt2012/xujiayin/index.htm、/a/20120625/000413.htm）

背景资料：

美国做空机构香橼投资发布报告称恒大资不抵债，发布报告称恒大地产资不抵债，其网站公开称：1.恒大滥用资本市场支持和政府贷款，中饱私囊，把钱挥霍在个人爱好上；2.贿赂、过度支出及表外交易；3.连中国财政部都因其财务造假而进行了处罚；4.代表了中国新型资本主义糟粕中的糟粕。风险案例举例2、许家印“帝国”保卫战（http://fina风险案例举例2、许家印“帝国”保卫战（/zt2012/xujiayin/index.htm、/a/20120625/000413.htm）关键词：许家印：许家印在短短6年多的时间里，将一个最初只有20多人、不多的资金的小型企业，发展成为今天拥有3000多名员工，总资产达63亿，一举跻身于中国企业500强行列的大型企业集团的创举，让人为之惊讶。恒大地产：恒大地产集团是中国十大房地产企业之一，它连续五年荣登中国房地产企业10强，并拥有中国一级资质的房地产开发企业等。现已发展为中国最具影响力的房地产企业之一。

风险案例举例风险案例举例2、许家印“帝国”保卫战（/zt2012/xujiayin/index.htm、/a/20120625/000413.htm）影响：由于这份报告，恒大市值损失巨大。受其拖累，恒大6月21日顾家暴跌17%，市值一度蒸发132亿港元，当日收盘整体下跌11%，市值损失76亿港元。随后22日股价再次下跌，短短两日，已跌去15%。风险案例举例2、许家印“帝国”保卫战（http://fina©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。2为何要对风险进行管理©2011甫瀚咨询（上海）有限公司2为何要对风险进行管理©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。3项目实施的动因

–

外部要求-

国家政策性要求

国资委2006年6月颁布《中央企

业全面风险管理指引》，指出：

“具备条件的企业应全面推进，

尽快建立全面风险管理

”。©2011甫瀚咨询（上海）有限公司3项目实施的动因–©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。5国务院国资委全面风险管理定义

本指引所称全面风险管理，指企业围绕总体经营目标，

通过在企业管理的各个环节和经营过程中执行风险管理的

基本流程，培育良好的风险管理文化，建立健全全面风险

管理体系，包括风险管理策略、风险理财措施、风险管理

的组织职能体系、风险管理信息系统和内部控制系统，从

而为实现风险管理的总体目标提供合理保证的过程和方法。©2011甫瀚咨询（上海）有限公司5国务院国资委全面风险管©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。7不同公司拥有不同的目标、战略、结构、文化、风险偏好和

金融手段。因此，没有任何两个ERM的解决方法是相同的。

减低不合理的

业绩波动即时应对商业环境

的变化实现公司及部门

战略目标

改善公司治理

有限资源的

合理配置建立投资者信心实行全面风险管理的益处©2011甫瀚咨询（上海）有限公司7不同公司拥有不同的目标©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。8

企业风险管理的目标风险管理，能够帮助一个企业管理其风险，进而从三个方面为企业

创造和保护其价值。建立可持续的竞争优势。优化管理成本。提高经营绩效。•••我们必须不断地把宝贵的资源投入到那些前景乐观但又具有不确定性的商务活动中去！我们必须在变化无常的环境中管理好自己的企业！使公司的投资者、董事和其他利害攸关者相信：企业在茁壮成长的同时，成功地掌握并控制住了风险！©2011甫瀚咨询（上海）有限公司8 企业风险管理的目标建近年来重要的风险管理失控的教训中国篇事件发生时间事件内容银广夏事件2001年缺乏风险监督。企业通过各种手段虚构巨额利润7.71亿元，导致大量投资者损失严重（60亿元假合同，财务资料神秘消失，库房及工艺不许外人查看）中航油事件2004年违规越权炒作期货业务行为，造成高达5.5亿元美金的巨额损失，新加波上市公司神话破灭。德隆事件2004年公司治理结构及筹资渠道不合理，企业缺乏风险管理，最终导致德隆系股票的崩盘。齐哈二药事件2006年因风险意识缺失，以毒药当良药使用，造成13人死亡，三位老总被判刑。三鹿奶粉事件2008年奶粉中三聚氰胺含量过高，导致使用的婴儿出现肾结石问题，党委书记被拘留，石家庄市长被免职。近年来重要的风险管理失控的教训中国篇事件发生时间事件内容银广近年来重要的风险管理失控的教训国际篇欧洲英国巴林银行的破产

法国兴业银行金融舞弊丑闻亚洲日本八百伴的扩张失败

嘉娜宝集团财务造假事件

韩国大宇集团的衰落美洲安然事件

世通倒闭

雷曼兄弟近期摩根大通巨亏

近年来重要的风险管理失控的教训国际篇近年来重要的风险管理失控的教训近年来重要的风险管理失控的教训©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。10风险：

“能够导致一个企业不能够实现其业务目标和战略

计划的威胁/潜在的因素（或一系列事件）

。”©2011甫瀚咨询（上海）有限公司10风险：©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。11何为风险管理

?

风险管理就像汽车的刹车一样，为的是能够

让您更加享受驾驶的乐趣。

如果您想开的越快，就越需要灵敏的刹车。©2011甫瀚咨询（上海）有限公司11何为风险管理?©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。13增加的价值

*财务管理

业务风险管理重点：财务风险与机遇的联系：了解范围：涉及财务、

业务风险管理重点：业务风险与机遇的联系：更清晰范围：负有责任的业务经理（按不同风险分担责任）企业全面风险管理重点：业务风险与机遇的联系：非常明确范围：在企业层面基础人员、技术与知识

保险及业务部门

风险管理发展状况*增加的价值是指风险管理为创造企业竞争优势、提高企业业绩、优化成本所做的贡献风险管理向战略性过程的进化

战略©2011甫瀚咨询（上海）有限公司13增加财务管理 业务重©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。1616内部环境建设风险管理的培训及宣贯风险管理手册更新公司级风险评估公司级风险审视实施应对方案日常业务风险评估内部控制自我评估对风险管理工作的监督执行政策制度流程回顾政策制度及内控手册的制定及更新经营活动中的重大问题管理管理报告例会制度企业集团风险管理实务中的主要工作©2011甫瀚咨询（上海）有限公司机密：此文件只供贵公司内©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。21

独立挑战和保证

审核和挑战的程度依赖于整个保证流程的充分性和完整性

评估由管理层和监督部门作出的声明的有效性

评估保证框架和董事会对控制的信赖程度

战略管理、政策制定、监督职能

监督职能，如提供资金、新产品发展、制定政策以及评估控制和流程

的充分性及完整性

董事会决定监督职能被审核和挑战的程度

管理层设计并实施控制

管理层有关有效性的报告使董事会得以安心执行管理层风险管理

委员会审计委员会董事会

企业风险管理架构

风险日常业务运营

管理层识别风险风险风险©2011甫瀚咨询（上海）有限公司21独立挑战和保

风险管理的角色与职责

（样本）有效的企业风险管理需要组织内所有级别人员的参与。企业风险管理角色•理解风险问题••••制定政策和程序创建评估工具和度量方法在具体风险领域的专业技能制定风险战略•监督风险管理流程与结果以及就有关问题提请上级审阅•

提供绩效保证和推动持续改进风险管理推动者•••••••••审核/批准政策、风险战略与容忍度监督风险管理流程/结果确定战略目的设计业务/风险战略与政策调配资本审核/批准风险管理政策、管理与流程建立问责制监督内部/外部事件审核/批准风险战略/容忍度••建立风险管理架构监督和推动企业整体风险管理有效性评价•协调统一激励系统

董事会高级管理层

首席执行官首席信息官首席财务官首席风险官首席学习官首席运营官•••执行企业整体风险管理有效性评价识别、溯源和度量风险应用控制资源••识别和纠正控制缺陷提供及时的风险报告

•22就有关问题提请上级审阅

©2011

甫瀚咨询（上海）有限公司

机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。业务单位/关键流程/产品经理业务单位2业务单位1业务单位4业务单位3风险管理人员风险管理委员会支持部门内部审计人员 风险管理的角色与职责（样本）企业风险管理角色•理解风险©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。23公司董事会

风险管理

委员会（第二道防线）审核委员会最终责任机构组织层级监督机构（第三道防线）

内部审计部组织层级

风控

管理组（第二道防线）

各系统管理层

（第一道防线）决策机构组织层级执行机构监查

风控管理组

领导组

风控管理组

执行组

各系统

风险管理岗位（第一道防线）企业集团风险管理架构

–

实务举例

组织层级©2011甫瀚咨询（上海）有限公司23公司董事会 风险管理©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。24企业集团风险管理架构

–

实务举例（续）

公司的风险管理组织架构是由三道防线组成的，主要包括：

第一道防线：系统-基本执行机构

第一道防线主要包括系统管理层、系统工作人员以及系统中的风险管理岗位。他们通过在日常工作中严

格执行公司政策制度以及对执行情况进行自查，从而降低公司的整体风险水平。同时，他们也是最早发

现各种风险现象或者征兆的岗位

基本职责包括但不限于：

执行公司政策制度。政策制度执行是风险管理的基础工作，如果执行本身不到位，就有极大可能给

公司造成极大的经济损失

对于公司的重大风险，以项目组的方式设计并执行风险应对的实施方案

每年进行流程回顾，并相应制定或者更新政策和流程

设计并执行公司经营活动中的重大问题的解决方案

参与公司级风险评估、内部控制自我评估、风险管理培训以及风险管理例会©2011甫瀚咨询（上海）有限公司24企业集团风险管理架构©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。25企业集团风险管理架构

–

实务举例（续）

第二道防线：风险管理委员会及风控管理组-决策及协调机构

第二道防线包括两个部分，风险管理委员会和风控管理组。其中，风险管理委员会主要由公司CXO、分

管新业务副总裁、信息技术系统总经理和人力资源系统总经理，主要在风险管理工作中起到决策、指导

和协调的作用。风控管理组则由公司财务、信息技术、人力资源、法务及战略高级别管理人员以及业务

系统委派的高级别管理人员、专职风险管理人员以及各系统风险管理岗位组成，主要是在风险管理委员

会的领导和授权下，执行风险管理工作相关的指引、组织、协调、推动、监督和检查工作

风险管理委员会基本职责包括但不限于：

对与风险管理相关的政策进行审批

对与风险管理相关的工作方案及报告进行讨论及审批

对经营活动中发生的重大问题的解决方案进行决策

通过例会、管理报告及内部审计报告了解公司风险管理工作现状，

并对其进行指导和规范©2011甫瀚咨询（上海）有限公司25企业集团风险管理架构©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。26企业集团风险管理架构

–

实务举例（续）

第二道防线：风险管理委员会及风控管理组-决策及协调机构（续）

风控管理组基本职责包括但不限于：

实施公司范围的风险管理工作，包括风险评估及内部控制自我评估等

监督公司及系统风险管理工作的实施情况

组织及协调每年的流程回顾

编制管理报告

参与制定经营活动中发生重大问题的解决方案并监督其实施

组织培训©2011甫瀚咨询（上海）有限公司26企业集团风险管理架构©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。27企业集团风险管理架构

–

实务举例（续）

第三道防线：审核委员会及内部审计部-监督机构

第三道防线由公司的审核委员会及内部审计部组成，对公司董事会直接负责，可以相对独立地对公司的

风险管理工作方式方法、结果及执行进行监督和检查，并将相关结果和发现报送公司董事会、公司管理

层及风险管理委员会

基本职责包括但不限于：

评价政策制度中的控制活动的执行情况

评价公司级风险评估过程、结果及应对

评价经营活动中的重大问题的分析及应对

实施内部控制自我评估检查©2011甫瀚咨询（上海）有限公司27企业集团风险管理架构©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。28企业集团风险管理架构

–

实务举例（续）

最终责任机构：董事会

董事会是风险管理工作的最终责任机构，就公司整体风险管理工作的实施效果以及风险现

状对股东大会负责

董事会在风险管理中的职责：

通过对公司管理层的干预，实现其对与风险管理相关的期望目标

通过监督活动，确定其期望目标是否实现。董事会可以通过以下方式对企业风险管理进

行监督：

1.

了解公司有效的风险管理范围

2.

知悉最重大风险以及公司管理层是否恰当地应对

3.

知晓并认同公司的整体风险偏好及审核公司的风险组合观

4.

了解经营活动中的重大问题及公司管理层的应对

利用董事会下属的各类委员会来行使他们的特定职责

在特定的关键决策上保留权力。关键决策权涉及的范围包括但不限于：公司风险管理组

织架构、公司中长期风险管理工作规划、公司级风险评估结果、公司级重大风险应对方

案以及公司经营活动中的重大问题的解决方案©2011甫瀚咨询（上海）有限公司28企业集团风险管理架构风险管理的三道防线结合企业实际建业集团企业风险管理三道防线第一道防线：系统-基本执行机构各城市公司、项目公司、专业公司等一线机构业务部门。风险管理的三道防线结合企业实际建业集团企业风险管理三道防线风险管理的三道防线结合企业实际建业集团企业风险管理三道防线第二道防线：集团各职能中心集团总部各业务主管部门。风险管理的三道防线结合企业实际建业集团企业风险管理三道防线风险管理的三道防线结合企业实际建业集团企业风险管理三道防线第三道防线：

审核委员会及内部审计部-监督机构集团审计及检查部门。风险管理的三道防线结合企业实际建业集团企业风险管理三道防线©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。30风险评估©2011甫瀚咨询（上海）有限公司30风险评估©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。31

何谓企业风险评估(ERA)？

企业风险评估是对未来潜在事件的前瞻活动，以确定这些事件在特定时段之内对目标所产生的潜在影响，以及出现的可能性。

企业：

横跨整个机构

风险：

那些可能会影响业务

目标实现的潜在事件

评估：涉及高层及中层的管理人员

了解其影响、可能性及现行用以处理风险的活动

建立计划来改善现有的风险应对措施©2011甫瀚咨询（上海）有限公司31 何谓企业风险评估内部环境目标设定事项识别风险评估风险应对分单企机位机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。32

理综合框架联系这是一个贯彻及标准的方案，有助识别、

划分、评估及应对风险该方法具灵活性，可以根据不同的目的及

目标进行调整事件识别风险评估风险应对计划项目管理

/

知识分享

/

报告

企业风险评估方法与COSO

的企业风险管内部环境及目标

子

公业司务

支业构层面

监控

信息和沟通

控制活动

风险评估

控制环境

控制活动

信息与沟通

监督©2011

甫瀚咨询（上海）有限公司企业风险评估方法内部环境目标设定事项识别风险评估风险应对分单企机位机密：此文©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。34企业风险评估方法

-

影响程度标准实务

评分标准财务损失企业日常运行

1

极轻微的较低不受影响

2

轻微的轻微轻度影响(造成轻微的人身伤害，情况立刻受到控制)

3

中等的中等中度影响(造成一定人身伤害，需要医疗救援，情况需要外部支持才能得到控制)

4

重大的重大严重影响(企业失去一些业务能力，造成严重人身伤害，情况失控，但无致命影响)

5

灾难性的极大重大影响(重大业务失误，造成重大人身伤亡，情况失控，给企业致命影响)企业声誉负面消息在企业内部流传，企业声誉没有受损负面消息在当地局部流传，对企业声誉造成轻微损害负面消息在某区域流传，对企业声誉造成中等损害负面消息在全国各地流传，对企业声誉造成重大损害负面消息流传世界各地，政府或监管机构进行调查，引起公众关注，对企业声誉造成无法弥补的损害©2011甫瀚咨询（上海）有限公司34企业风险评估方法©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。35评分标准发生可能

性

1

极低一般情况下不会发生今后10年内发生的可能少于1次

2

低极少情况下才发生今后5－10年内可能发生1次

3

中等某些情况下发生今后2－5年内可能发生1次

4

高较多情况下发生今后1年内可能发生1次

5

极高常常会发生今后1年内至少发生1次企业风险评估方法

–

可能性标准实务©2011甫瀚咨询（上海）有限公司35评分 1 2 37风险评估方法

–

实务举例确定实施方案确定战略目标风险识别与分析风险评估访谈重大风险初步排序风险评估讨论会

重大风险排序©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。

审阅关键政策与文件风险应对

调查问卷37风险评估方法–实务举例确定实施方案确定战略目标风©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。38

工作内容1.确定公司级风险评估实施方案在实施公司级风险评估工作以前，应该有完整的实施方案，包括：风险评估所涵盖的单位、需要评估的风险事项、风险评估的方式方法、工作步骤以及时间安排。公司的风控管理组编制风险评估实施方案。风险评估实施方案需要经过风控管理组和风险管理委员会的审批。2.确定公司战略目标因为公司的战略目标会影响公司所面临的风险，所以在进行公司级风险评估以前，风险管理委员会应该明确公司的战略目标

，特别是需要明确公司战略目标的变化部分。3.风险识别与分析风险识别是公司级风险评估的实施基础。根据公司发展目标，重要经营活动及相关业务流程，公司过往年度经营活动中发生的重大问题，以及公司过往年度的重大风险等信息，对影响公司实现发展目标的风险进行识别，确定风险评估的范畴。

参与部门

风控管理组

风险管理委员会

风险管理委员会

风控管理组企业集团风险评估方法

–

实务举例（续）

详细步骤©2011甫瀚咨询（上海）有限公司38 工作内容 参与部门©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。39

工作内容4.风险评估访谈通过资料分析确定的风险评估范畴应该与公司管理层主要管理人员以及重要业务流程主要负责人进行确认，以确保对于公司风险状况理解的合理性和全面性。这项工作主要是通过对公司管理层和重要经济活动或者业务流程的相关人员进行访谈来完成的。5.审阅关键政策与文件通过对与公司相关的外部监管文件、分析报告、内部制度、内部政策、审计报告、专题研究等信息的查阅和分析，对风险评估范畴进行进一步的确定和调整

。6.调查问卷通过风险调查问卷的形式，对公司高级管理层进行调查，初步对公司管理层对于公司级风险的认识进行了解。风险调查问卷包括风险的类别，风险定义，风险发生可能性的高低标准以及风险如果发生对公司经营活动影响的轻重标准。风险调查问卷编制完成后，通过系统或以书面问卷的形式下发调查问卷参与者，要求调查问卷参与者在规定时间段内完成。系统或风险管理机构对风险调查问卷结果进行汇总，初步确定公司经营活动中所面临的风险。

参与部门

风控管理组

相关公司高级管理

层

相关系统人员

风控管理组

风控管理组

公司高级管理层企业集团风险评估方法

–

实务举例（续）

详细步骤（续）©2011甫瀚咨询（上海）有限公司39 工作内容 参与部©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。40

工作内容7.风险评估讨论会根据风险调查问卷和流程级风险评估的结果，组织公司高级管理层对公司级风险进行沟通和评估，统一对风险的认识，确定下阶段风险管理工作的重点。8.风险应对对于风险评估讨论会确定的下阶段风险管理工作的重点，由相关系统在风险管理委员会及风控管理组的协助下，以项目组的形式，利用公司的整体资源制定风险应对方案，确定通过什么样的方式可以降低相关公司级风险发生的可能性或者减弱风险发生后所带来的影响，经过恰当的审批后，进行实施。

参与部门

风控管理组

公司高级管理层

系统人员

风控管理组

风险管理委员会企业集团风险评估方法

–

实务举例（续）

详细步骤（续）©2011甫瀚咨询（上海）有限公司40 工作内容 参与部门©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。41企业集团风险评估方法

–

实务举例（续）

除风控管理组职能部门和业务部门参与的工作：

参与风险评估访谈，就所在部门，所在岗位所了解的公司经营活动中面临的主要风

险和过去经营活动中发生的重大问题进行沟通，为风险评估提供充分信息。例如在

本次风险评估中，省区经理就参与了风险评估访谈，为对公司风险现状的理解提供

了有用的信息。

完成风险调查问卷，根据所在部门、所在岗位及所知，对风险调查问卷中的风险发

生的可能性和重大性进行判断，并将判断结果及时回复风控管理组。

参与公司级风险评估，主要工作内容包括：对所涉及的业务的主要风险点及形成的

原因进行描述；对针对各主要风险点设置的控制及详细操作情况进行描述；对所涉

及的业务在过去期间发生的重大问题；根据风险评估人员的清单提供测试资料。

组织或者参与公司级风险评估，主要工作内容详见下一部分。©2011甫瀚咨询（上海）有限公司41企业集团风险评估方法©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。42

企业风险评估中共同的挑战：

-

定义时间范围和覆盖范围

定义时间范围

-

何时-持续时间是多久？

-

一年？

-

五年？

-

未来和可预测

覆盖范围

-

有多大的可能性在一个特定的区域/街道我们的手机没电？

-

有多大可能性在上海没电？

-

有多大的可能性在中国没电？

•

确认覆盖范围对企业风险管理很重要©2011甫瀚咨询（上海）有限公司42 企业风险评估中©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。4.5.6.7.缺乏足够资深级别的员工顾客对我们工作的不重视人员调整中的员工流失重大诉讼的威胁员工培训的缺乏缺少具有专业知识的员工来支持项目较低的工作收益率在回顾了主要起因后，风险可被归纳成以下三种风险：1.2.3.缺乏合理的技能完成工作（1，3，5，6）市场中薄弱的价值主张（2，7）缺乏充足的品质以减轻职业风险（4）企业风险评估的共同挑战：-

合并风险

范例:

高级管理层确定了下列风险：©2011甫瀚咨询（上海）有限公司431.缺乏足够资深级别©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。46风险应对策略

风险应对策略是指导企业防范和抑制风险的基本方针、措施和方法，

根据预测风险发生的可能性以及企业条件，制订不同的应对方案，

采取不同的管理策略，从而实现风险管理任务；

企业应根据自身条件和外部环境，围绕企业发展目标和战略，确定

风险偏好、风险承受度，选择“避免、接受、减少或者共享”的总

策略，并确定风险管理所需要的人力和财力资源的配置。©2011甫瀚咨询（上海）有限公司46风险应对策略52企业集团风险应对策略

–

实务举例

组建项目组风险应对方案

报系统负责人审批©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。风控管理组审阅风险管理委员会审批

实施风险应对方案公司管理层审批定期汇报52企业集团风险应对策略–实务举例 组建项目组 报系©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。53

工作内容1.组建项目组根据风险评估讨论会上确定的风险责任系统，由系统负责人指定一个风险应对的责任人，然后由责任人组建项目组，制定风险应对方案。2.制定风险应对方案由项目组制定风险应对方案，风险应对方案包括的主要内容有：-

公司级重大风险包括的风险细分内容及原因-

建议需要重点解决的细分风险及原因-

建议的细分风险应对方案、实施步骤及时间表-

建议制定或者完善的制度政策-

方案实施进度及质量的评价标准-

可能存在及亟待解决的难点，包括技术、资源、权限及协调3.系统负责人审批风险应对方案系统负责人从业务角度审批风险应对方案的合理性和完整性。如果风险应对方案涉及多个系统，则风险应对方案还需要相关系统负责人的联签。

参与部门

风险责任系统

风险责任系统

相关系统

风险责任系统

相关系统

企业集团风险应对策略

–

实务举例详细步骤©2011甫瀚咨询（上海）有限公司53 工作内容 参与部门©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。54

工作内容4.风控管理组审阅风险应对方案风控管理组成员根据各自的专业角度判断或建议：-

公司级重大风险细分的完整性和合理性-

应对方案的合理性和可行性-

相关制度政策的完整性-

针对可能存在的难点的解决建议以审阅报告的形式报送风险管理委员会5.风险管理委员会审批风险应对方案风险管理委员会根据风控管理组的审阅报告及风险应对方案，审批并明确：-

风险应对方案是否可行-

风险应对方案需要改进的部分-

风险应对方案实施需要的资源及权限划拨

参与部门

风控管理组

风险管理委员会

企业集团风险应对策略

–

实务举例详细步骤（续）©2011甫瀚咨询（上海）有限公司54 工作内容 参与部门©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。55

工作内容6.公司管理层审批风险应对方案风险应对方案送交公司管理层进行审批，风险管理委员会的审批意见将作为公司管理层审批的依据和参考信息。7.实施风险应对方案相关系统根据审批的风险应对方案进行实施。8.定期汇报相关系统应在风险管理月度报告中反映风险应对方案的实施进度及问题。

参与部门

公司管理层

风险责任系统

相关系统

风险责任系统

相关系统

企业集团风险应对策略

–

实务举例详细步骤（续）©2011甫瀚咨询（上海）有限公司55 工作内容 参与部门©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。56

企业集团风险应对策略

–

实务举例举例说明A公司在公司级风险评估时确定原材料风险为公司的重大风险。公司在风险评估讨论会上指定燃料管理部为重大风险责任部门，并由燃料管理部负责组织相关部门提供风险应对方案。-

燃料管理部组织本部门相关人员分析讨论，确定原材料风险主要由五项子风险组成：原材料来源风险、原材料价格风险、原材料品质风险、原材料运输风险以及原材料存储风险。-

根据对行业数据和过往公司数据分析，确定其中的原材料价格风险、原材料品质风险以及原材料运输风险属于主要的子风险，需要公司重点关注和优先处理。分析上述三个风险的主要成因，针对主要成因设计有效的控制活动。-

确认设计的控制活动是否已经包含在公司的流程规章制度中，如果公司现有的流程规章制度中已经包含了设计的控制活动，需要明确设计的控制活动与现存的控制活动是否匹配，是否有书面制度，是否被有效执行。如果公司现有的流程规章制度没有包含设计的控制活动，燃料管理部及相关部门人员提出改进措施、需要的资源、可能存在的重点难点问题、实施时间及检验标准。分析结果及改进方案应该以书面报告的形式，报送部门负责人及风险管理办公室。-

部门负责人审批分析结果及改进方案。©2011甫瀚咨询（上海）有限公司56 企业集团风险应对策©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。57

企业集团风险应对策略

–

实务举例举例说明（续）-

风险管理办公室审阅分析结果是否合理，改进方案中的控制活动是否合理，并针对资源需求以及重点难点提出建议，以书面报告的形式将审阅意见报送风险管理项目管理委员会。-

风险管理项目管理委员会基于风险责任部门负责人以及风险管理办公室的审阅意见对改进方案进行审批，并协调相应资源及部门。由风险责任部门根据审批后的改进方案进行实施，并每月以书面报告的方式向部门负责人以及风险管理办公室汇报实施情况。-

风险管理办公室每季度将所有重大改进方案的实施情况进行汇总，并报送风险管理项目管理委员会。-

审计监察部会在改进方案的实施过程中或者结束时进行至少一次的审计工作，并将审计结果以书面报告的方式报送审计委员会、风险管理项目管理委员会以及风险责任部门负责人。©2011甫瀚咨询（上海）有限公司57 企业集团风险应对策©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。58公司治理•

董事会需要及时了解公司的重大

风险的性质及对公司战略目标的

影响程度•

对管理层管理风险的活动和能力

予以监督•

监督风险及内部控制系统的工作范畴及质量企业全面风险管理•

帮助董事会及管理层识别、

评估风险•

制定正确的风险管理应对策

略，加强对风险的管理•

定期向董事会和管理层提交

风险状态报告，对风险进行

及时地监控•

将风险与内部控制体系关联，

为内部审计提供基础内部审计••••基于风险评估的结果制定内部审计计划对于重大风险的内部控制系统的设计有效性和执行有效性进行审计向审计委员会汇报内部控制系统的运行情况向管理层提供管理建议，进一步降低风险公司治理企业全面风险管理内部审计将风险管理与治理联系起来©2011甫瀚咨询（上海）有限公司58公司治理•董事会59与控制活动的对接

控制活动是企业根据风险评估结果，结合风险应对策略，确

保内部控制目标得以实现的方法和手段。

它确保必要的活动得到执行，以降低风险，达成企业的目标。

控制活动贯穿于整个企业组织内，涉及所有的级别和部门。

它包括一系列的行为，如：

授权审批

验证、调节

业绩复核、资产保全

职责分工

控制措施不是能够通过单一政策、制度或者规范进行梳理就

能实现的，是需要贯穿于不同的业务流程及内部控制的各个

层次的。©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。59与控制活动的对接 控制活动是企业根据风险评估结果，结合©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。61

内控手册

投资者关系

/外部合规业务流程规范化

内控管理机构

自我评估机制了《内控手册》，对《内控手册》的制定和更新，成为公司开展内控工作的基础。根据联交所《上市规则》要求，进行例行的内控自我评估检查，满足了外部监管法规对公司内控工作的监管要求，使得投资者对于公司的内部控制状况非常满意，提升了公司的价值。《内控手册》的制定和更新，促进了公司制度建设，使得公司的业务流程更加完善，各项工作的开展更加清晰顺畅。内控管理机构的设立使得公司能够更有效的推进内部控制工作，保证了公司内部控制的顺利实施，提升了公司的内部管理水平。通过推行合理的内部控制自我评估机制，提升了各部门内部控制的知识和技能，加强了公司整体的内部控制意识。对接成果

-

企业集团内控最佳实务分享

公司搭建了完善的公司治理架构，建立了完善的内部控制体系，颁布©2011甫瀚咨询（上海）有限公司61 内控手册了《©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。62企业最常问到的问题

风险管理？

内部控制？©2011甫瀚咨询（上海）有限公司62企业最常问到的问题机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。63内部控制风险管理内部控制与风险管理的关系

联系COSO《企业风险管理-整合框架》明确指出，风险管理整合框架是以内部控制-整合框架为基础开发的，内部控制工作是风险管理工作不可或缺的部分，是风险管理工作的执行基础。

差异

差异关注和管理的范围管理过程全面性

©2011

甫瀚咨询（上海）有限公司

内部控制主要关注的是企业内部的、可控的因素主要是通过过程和事后控制发现风险多由部门层级发起，缺乏公司整体层级的关注，可能造成风险遗漏，或者，对风险管理过度投入

风险管理内容还包括企业外部的、不可控的因素除了对过程和事后进行控制外，也强调了对风险的分析和预防保证所需管理风险的全面性机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。63©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。64内部控制与风险管理的关系（续）

差异（续）

关注和管理的范围不同

内部控制是通过政策规章及流程制度的设立和实施为企业经营目标、财务报告目标及合规

目标提供合理保证，其工作的主要关注点是企业内部的、可控的各种因素。而风险管理工

作的主要关注点则是影响企业目标（战略目标、经营目标、报告目标及合规目标）实现的

所有不确定因素，既包括企业内部的因素，也包括企业外部的因素，既包括企业可控的因

素，也包括企业不可控的因素。

管理的过程不同

内部控制更多的体现为管理的一项职能，主要是通过对业务的过程和事后的控制来发现风

险，减轻对企业目标实现的影响。而风险管理除了对业务的过程和事后进行控制外，也强

调了对业务所含风险的分析和预防，对风险的防范范围更加扩大。©2011甫瀚咨询（上海）有限公司64内部控制与风险管理的©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。65内部控制与风险管理的关系（续）

差异（续）

管理的全面性不同

内部控制多是由部门针对某一业务线或者某一系统制定和规范流程政策，而缺乏与其他业

务线或者系统的联系，可能造成对于部分需管理风险点的遗漏或者对某些风险点的控制成

本投入过度。而风险管理通过建立风险管理组织架构对企业的风险进行全面管理，可以促

进企业对需要管理的重要风险点进行合理管控。同时，从企业全局出发，平衡对重要风险

点控制成本的投入。COSO企业风险管理-整合框架强调了企业风控管理组合观的概念，即某

些风险在各业务线或者各系统内较小，但合并后对于企业整体可能无法承受，或者某些风

险在各业务线或者各系统内较大，但是由于其他业务线或者系统存在对该部分风险的控制

活动，因此，合并后对于企业整体变为可以接受，而不需要额外的控制活动。©2011甫瀚咨询（上海）有限公司65内部控制与风险管理的©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。67企业风险管理常用的技术方法

关键风险指标©2011甫瀚咨询（上海）有限公司67企业风险管理常用的技©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。68

关键风险指标（KRI）的搭建关键风险指标（KRI）是指引起风险事件发生的关键成因指标，是用来考察企业风险状况的统计数据或指标。通过控制引发风险事件的关键风险指标（KRI）可以达到控制风险的目的。©2011甫瀚咨询（上海）有限公司68 关键风险指标（KR©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。69关键风险指标（KRI）的搭建（实务举例）©2011甫瀚咨询（上海）有限公司69关键风险指标（KRI©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。70关键风险指标（KRI）的搭建（实务举例）©2011甫瀚咨询（上海）有限公司70关键风险指标（KRI©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。71关键风险指标（KRI）的搭建（实务举例）©2011甫瀚咨询（上海）有限公司71关键风险指标（KRI©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。72关键风险指标（KRI）的搭建（实务举例）©2011甫瀚咨询（上海）有限公司72关键风险指标（KRI©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。73关键风险指标（KRI）的搭建（实务举例）©2011甫瀚咨询（上海）有限公司73关键风险指标（KRI©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。74

大型企业集团风险管理面临的挑战及建议解决方案©2011甫瀚咨询（上海）有限公司74 大型企业集团风险管©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。75大型企业集团的风险管理贯穿全集团，并且需要持续进行。企业在实施的过程中，难免会遇到各种各样的问题；我们将从如下几方面同大家一起讨论大型企业集团在执行风险管理的过程常遇到的问题：企业风险管理框架目标设定事件识别风险评估方法企业风险管理实施推广风险应对控制活动信息与沟通监督大型企业集团风险管理–

常见问题©2011甫瀚咨询（上海）有限公司75大型企业集团的风险©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。76大型企业集团风险管理–

常见问题（续）常见问题解决方案企业风险管理框架在企业风险管理，战略计划和企业预算体系之间缺乏实质上的整合缺乏与企业战略计划的整合，未能将风险和战略挂钩，以及未能进行风险合并在企业风险管理框架和战略计划缺失的前提下施行企业风险管理缺乏首席执行官强有力的支持将企业风险管理视作一个独立的项目，而不是一个长期持续的工作仅仅将企业风险管理视作一个“兼职”的工作风险管理中的各角色缺乏合作，对其职责认知不足缺乏拥有相关经验的人员，同时忽视企业现有的风险管理能力确立来自董事会、高级管理层或者业务负责人的支持确保风险管理文化与企业战略的融合风险管理方法论涵盖了企业整体的战略和流程风险管理，战略风险不是独立的明确风险管理中的角色及职责保持充足的系统容量©2011甫瀚咨询（上海）有限公司76大型企业集团风险管理77常见问题建议的解决方案目标设定事件识别目标设定不清晰、准确、完整，可能导致参与风险评估人员无法较好的理解风险，并进行有效的风险评估和应对风险事件识别不完整，程度、分类不准确风险库中的风险事件更新不及时,导致与实际

公司发展脱节的情况©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。COSO

II

的四大目标作为分析的框架基础目标设定的SMART原则建立共同的风险语言，使用有效的风险模型（如Protiviti

Risk

Model）作为分析基础有效沟通、持续更新大型企业集团风险管理–

常见问题（续）77常见问题建议的解决方案目标设定目标设定不清晰、准确、完©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。78常见问题解决方案风险评估方法不恰当的风险评估计划对于商业风险评估的初步结果表现的无所适从企业风险管理操作/方法缺乏一贯性仅部分施行企业风险管理方案——战略风险管理被独立于企业总体风险管理体系之外不恰当的风险评估方法——对风险、风险结果、风险诱因及抱怨的混淆未能获取或及时获取关键信息采取自上而下的风险评估方式，关注支持企业发展战略的关键流程，并且能够在不同层面进行风险关联和风险合并选择试点，对风险涉及人员进行适当培训保持风险管理方法的一贯性IT技术只是支持业务运行的一个工具企业风险管理实施推广过多参与改进计划的制定过程，影响关键“风险负责人”的积极性及弥补计划的可操作性将企业风险管理视作一个“一劳永逸”的项目，并在缺乏有序组织的情况下，期待项目带来明显效果过早地在全集团范围内推行全面风险评估，无法及时解决因各分子公司个性所导致的问题建立标杆样本，以通过成效快速获得支持和认同重视单位之间情况的迥异，实施有效的配置提供切实的反馈并进行适当的调整全面的推广不能操之过急大型企业集团风险管理–

常见问题（续）©2011甫瀚咨询（上海）有限公司78常见问题解决方案风险©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。79常见问题建议的解决方案控制活动控制活动设计缺陷，如缺乏必要的权责分离；设计与实际脱节，无法得以执行控制活动的执行与设计要求相背离。控制活动的定期评估与自我评估相结合沟通渠道的畅通，控制缺陷或问题信息得以及时收集并着手解决独立的监督检查与考核风险应对未在识别出重要风险并采取了管理策略基础上，进一步做好其排序工作，导致有限资源未得到更集中、有效的投入风险应对方案与流程脱节具体的应对措施与现有流程进行匹配与跟踪的工作，并作好记录在风险排序的基础上制定有效的风险应对计划和具体方案，有效安排资源的投入完善内控文档化建设，对于风险事件识别，应对策略的确定及相关原因，应对策略与主要业务流程的关系确认，以及控制活动的完整性进行记录。记录的方式可以通过会议纪要、书面报告、流程描述或者是风险控制矩阵大型企业集团风险管理–

常见问题（续）©2011甫瀚咨询（上海）有限公司79常见问题建议的解决方©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。80常见问题建议的解决方案信息与沟通人员变动引发的沟通不畅，信息未得到有效的传递和继承问题汇报的渠道不畅单位间信息沟通不畅，经验教训未得到有效的传播与共享关键指标数据统计信息未得到妥善的记录对新调换人员进行相关职能培训，确保其了解并掌握相关知识。建立完善的工作交接程序。定期安排对风险管理人员进行相关知识培训（如每三个月进行一次）建立专门的风险管理沟通信箱有效设定关键数据的收集与报告要求，逐步完善风险指标的支持数据库监督缺乏持续监督缺乏独立监督或独立监督范围不足监督工作缺乏必要的授权，工作执行不力职能及职责的有效设计与授权与内部审计的协作与沟通大型企业集团风险管理–

常见问题（续）©2011甫瀚咨询（上海）有限公司80常见问题建议的解决方©2011

甫瀚咨询（上海）有限公司机密：此文件只供贵公司内部参阅，请勿复制或分发予第三方。81问题与解答©2011甫瀚咨询（上海）有限公司81问题与解答©

2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。保密资料1主要内容

1.什么是公司治理

2.中国企业公司治理现状

3.公司治理的思路©2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。©

2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。保密资料2什么是公司治理©2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。©

2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。保密资料3

经济合作发展组织对于公司治理的定义（OECD）公司治理是一套监管和管理公司业务的系统。公司治理架构列明公司内各个参与者的权利和责任分布，例如董事会、经理、股东和其他利益关系者，并说明公司事务的决策规则和程序。这套系统不但提供一个架构让公司定立目标，也

提供各项达致目标和监察表现的方法。经营管理机构监督机构公司治理的定义

权力机构©2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。©

2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。保密资料4公司治理的定义（续）

公司治理是指诸多利益相关者的关系，主要包括股东、董事会、经理层的关系，这

些利益关系决定企业的发展方向和业绩。公司治理讨论的基本问题，就是如何使企

业的管理者在利用资本供给者提供的资产发挥资产用途的同时，承担起对资本供给

者的责任。利用公司治理的结构和机制，明确不同公司利益相关者的权力、责任和

影响，建立委托代理人之间激励兼容的制度安排，是提高企业战略决策能力，为投

资者创造价值管理大前提。在最广泛的层面，公司治理包含了规则、关系、制度和

程序。

简而言之，公司治理结构是一种旨在对公司内部各利益相关者的相互关系和行为进

行约束和规范，以实现公司经营目标的制衡机制。©2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。5非上市公司上市公司低高市场对公司治理结构的要求

合伙制企业

所有者即经营者

所有者拥有一切的经营

信息

无董事会等机构

无公司治理结构

企业所有者是数目有限的

股东

只需向股东定期披露经营

信息

可以根据经营规模大小考

虑是否设置董事会及监事

会

对公司治理结构的要求高

企业所有者是广大的社会

公众

公司的所有权/股权高度

分散

社会公众对公司的各类信

息披露要求很高

必须依法设置股东大会、

董事会及监事会

对公司治理结构的要求最

高

高©

2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。保密资料低股权集中程度企业发展对公司治理的要求5非上市公司上市公司低高场司 合伙制企业企业所有者是©

2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。保密资料6所有权、控制权、监督权、经营权四权分立

公司所有权(corporate

ownership

)

–该权利是公司出资人的权利，它决定着公司剩余的分配，是公司控制权的基础

公司控制权(corporate

control

)

–该权利本质上是决定公司董事会成员任免的权利，该权利属于所有者或股东

公司治理权（corporate

governance)

–该权利是董事会对经理人员的管理和经营行为进行监控的权利

公司经营权（corporate

management)

–该权利是公司经理人员所从事的公司日常经营和管理活动，包括计划、组织、指挥和协

调等©2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。©

2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。保密资料7对股东会负责

作为公司的经营管理

机构

委托经理进行公司经决定董事会和监事会人选

对董事会、监事会工作进行

对股东会负责

代表股东会监督

公司经营营

对董事会负责

进行公司经营的

执行工作股东会董事会

授权

不随便干预董事会工作

监事会经理层所有权、控制权、监督权、经营权四权分立（续）©2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。©

2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。保密资料8公司治理结构遵循的一般原则

保护性：公司治理结构的首要目标就是保护股东的各项权益，股东有

能力通过董事会、监事会对公司经营层进行有效监控。

公平性：保证公平合理地对待公司所有的股东，包括小股东及外方股

东，所有股东都有机会纠正其不当行为。

责任性：承认利益相关者的合法权利，遵守相关法律法规，并通过与

利益相关者的密切合作，提高企业的社会效益并实现持续发展。

透明性：确保公司信息得到及时准确地披露，包括公司的财务状况、

经营绩效、所有权信息以及监管信息等。

职责性：明确董事会的角色与职责，董事会既要对公司负责，也要对

股东负责，确保董事会对公司的战略性指导及对经营层的有效监督。©2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。©

2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。保密资料9中、美、港公司治理主要内容项目中国美国香港主要法规《公司法》、《上市公司治理准则》（证监会）等。《萨班斯法》等。《证券法》、《证券交易法》、《证券与期货条例》、《上市规则》、《企业管治常规守则》等主要内容股东大会控股股东与上市公司董事与董事会独立董事制度与董事会议事

规则董事会专门委员会（战略委

员会、审计委员会、提名委

员会、薪酬与考核委员会）绩效评价与激励约束机制相关利益者信息披露与透明度股东大会董事与董事会独立董事制度董事会专门委员会（审计

委员会、提名委员会、薪

酬与考核委员会）信息披露与透明度内部审计董事、董事会组成、董事

责任董事与高级管理人员薪酬问责与核数（包括财务报

告及内部控制）审核委员会董事会权力转授与股东沟通信息披露©2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。©

2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。保密资料10中、美、港公司治理要求的特点美国

项目规定的强制性关注大股东与上市公司的关系

中国较高非常关注，有详细规定高一般

香港较低非常关注，有详细规定强调股东大会强调一般，更强调董事会的作用强调强调董事会完善的独立董事制度包含薪酬系统强调内部审计的作用监事会一般配套制度较差有明确的薪酬方面的规定一般有非常强调完善由公司自行规定，没有法规规定强调无强调比较完善有明确的薪酬方面的规定强调无©2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。©

2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。保密资料11公司治理•

董事会需要及时了解公司

的重大风险的性质及对公

司战略目标的影响程度•

对管理层管理风险的活动

和能力予以监督•

监督风险及内部控制系统

的工作范畴及质量全面企业风险管理•

帮助董事会及管理层识别、

评估风险•

制定正确的风险管理应对

策略，加强对风险的管理•

定期向董事会和管理层提

交风险状态报告，对风险

进行及时地监控•

将风险与内部控制体系关

联，为内部审计提供基础内部审计•

基于风险评估的结果制定内部审计计划•

对于重大风险的内部控制系统的设计有效性和执行有效性进行审计•

向审计委员会汇报内部控制系统的运行情况•

向管理层提供管理建议，进一步降低风险公司治理

全面企业

风险管理内部审计公司治理和风险管理及内部审计的关系©2011甫瀚咨询（上海）有限公司对此报告保留最终解释权。三中国企业内部控制现状与困惑三中国企业内部控制现状与困惑©

2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释权。保密资料1主要内容

中国企业内部控制现状

中国企业内部控制改进中的困惑©2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释©

2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释权。保密资料2中国的内控发展-中国人的特性•

规则与人情•

精确与模糊•

坦率与委婉•

冒险与中庸•

解剖与系统

•

请评阅《兰德公司对中国人的评价》

–面子，信仰，诚信，教育……©2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释©

2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释权。保密资料3中国的内控发展-政出多门©2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释©

2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释权。保密资料4中国企业内控现状-概况

随着公司规模的日益扩大,出于应对日益激烈的市场竞争和满足业务扩张的需要。

动力主要来源于国内外各种监管机构的要求。

1990年家长式管理

2010年规范化管理©2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释©

2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释权。保密资料5理水平高，内控完善中国企业内控现状可分为三个层级

第一层级

企业从内控水平的分级

管第二层级第三层级©2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释©

2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释权。保密资料6第一层级

第二层级

第三层级中国企业内控现状-第一层级

第一层级：中国在海外的上市公司，特别是美国、日本、香港上市公司，以及银行业

特点：

完善的内部控制体系

侧重财务报告的真实准确性目标

缺乏完善的风险评估和应对体系©2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释©

2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释权。保密资料7第一层级

第二层级

第三层级美国日本香港萨班斯-奥克斯利法案金融商品交易法企业管治常规守则香港联合交易所有限公司证券上市规

则第21项应用指引银行业

行业特殊，风险高，巴塞尔协议II中国企业内控现状-第一层级

中国在海外的上市公司©2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释©

2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释权。保密资料8第三层级中国企业内控现状-第二层级

第二层级：

中国内地上市公司及非上市大中型企业

第一层级

第二层级特点：中国内地上市公司：出具针对内部控制审计报

告的公司不普遍非上市大中型企业：缺乏外部监管要求

内部控制水平良莠不齐©2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释©

2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释权。保密资料9第一层级

第二层级

第三层级中国企业内控现状-第三层级

第三层级：非上市的中小型企业

特点：

内部控制非常薄弱

关注盈利指标

依靠创业者个人或家庭成员来管理©2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释©

2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释权。保密资料10中国企业内控现状-内部控制的典型问题(一)海外上市公司内控存在的问题(二)

内地上市公司及非上市大中型企业内控存在的问题

(三)

信息系统常见的内控问题

中国企业的典型问题分类©2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释©

2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释权。保密资料11海外上市公司内控主要问题(一)海外上市公司内控存在的问题以“合规”为终极目标，内控建设流于形式抛弃了固有管理基础忽略了财务报告以外其他管理目标无法识别风险、无法考虑控制活动的适当性问题1©2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释©

2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释权。保密资料12(一)海外上市公司内控存在的问题缺乏明确的风险管理理念，风险管理体系缺乏风险意识缺乏风险分析和应对能力过度关注具体的控制活动,高度不足问题2海外上市公司内控主要问题©2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释©

2011上海甫瀚投资管理咨询有限公司对此报告保留最终解释权。保密资料13

停留在