内部控制与全面风险管理课件

内部控制与全面风险管理

主讲:目录

一案例介绍

三过程分析二动因分析四实务分析效果分析

五案例介绍：基本情况中国三泰集团公司的经济结构庞杂：房地产开发物业管理工业制造商业贸易等中国三泰集团公司的业务特点上：点多面广业务复杂中国三泰集团公司组织内的各个法人主体：业务多元化从事同一业务的手段、方式、环境相对多样化业务变化性比较强形成集团统一的内部控制手册难度较大案例介绍：基本思路明确主要业务目标。规范主要业务流程。强调业务的程序设计，规范业务流程，力求业务流程清晰、规范、统一。明确权限。要明确母子公司、公司与分公司、公司职能部门及重要负责人在业务流程中的权限与责任，责任落实到人或岗位。明确业务风险，突出重点控制环节。总公司《内控手册》按业务块划分进行。总公司《内控手册》与现行制度的关系：《内控手册》侧重于主要业务目标的确立、主要业务流程的规范、主要业务的风险控制，权限划分、责任到人；现行制度是《内控手册》的支持性文件，制度强调政策性、全面性。在《内控手册》的大纲设计与编制模式上，将进一步听取和采纳有关专家、咨询机构的论证意见。案例介绍：项目组织成立内控领导小组，组长由董事长担任。副组长：总会计师领导小组成员：由总经办、人力资源部、财务部、资金部、企管部、法律部、项目部、市场部、科技部、政工部、审计部等相关部门领导组成。领导小组下设《内部控制手册》制定办公室，由审计部、财务部、法律部联合组成。办公室主任：财务部总经理；副主任：审计部总经理副主任：法律部总经理办公室成员由相关部门及下属单位有关人员组成，办公室具体落实编写成员并组织编写。建立风控体系的目的1《内控现状评价报告》2《内部控制手册》3《内控自我评估手册》4《全面风险管理手册》本项目主要成果满足监管要求国香港联交所《公司管治常规守则》

《企业管治报告》。财政部《内部控制基本规范》等国资委《中央企业全面风险管理指引》提升风险

管理水平2009年各项制度160多项，1215页，约300万字。线条粗放，不完整、不深入主要是文字的表述，但大部分没有流程上的规范，导致同一个制度在执行中存在多种理解、执行的结果也有很大区别。案例介绍：目的及成果目录

一案例介绍

三过程分析二动因分析四实务分析效果分析

五满足监管要求中国香港联交所监管规定上海证券交易所监管规定国资委《中央企业全面风险管理指引》COSO《企业风险管理－整合框架》提升公司管理水平通过风控体系建设推动公司管理创新，力求实现不确定环境中公司价值最大化，从而为实现公司战略目标提供合理保障加快内审战略转型实施以管理为目标，以风险为导向，以控制为中心，以增值为目的的现代管理审计动因分析：外部监管要求和自身发展需要中国三泰案例风险及其影响风险意味着动因分析：风险无处不在、无时不在

企业的重大损失甚至倒闭都是由于不良的风险管理所造成。

中航油中储棉安然巴林银行风险长虹世通德隆长期资本管理八佰伴安达信——没完没了风险大案动因分析：风险案例及其警示风险案例及其警示——增强企业风险管理水平案例带来的思考……

企业在实现目标的道路上，机遇与风险并存。始终能保持竞争力的企业，是那些拥有良好的内部控制力与风险防范的企业目录

一案例介绍

三过程分析二动因分析四实务分析效果分析

五合规型内控符合政策法规证券交易所守则国资委要求其它法律法规条款管理型内控提高经营效率内控和风险管理融入日常经营中降低不确定因素对目标实现的影响提高执行力全面风险管理增加股东价值风险管理融入战略和目标制定中通过风险管理增加利润，优化内部资源分配和投资决策中国三泰案例国资委《中央企业全面风险管理指引》的目标过程分析：逻辑思路意识决定行动。管理层的风险意识是决定风险管理体系建立和有效实施的原动力。中国中国三泰的风险管理体系建设是一个过程，是一个持续改进、不断完善的过程。中国中国三泰风险管理关键是执行，而不是设计。+3C框架中国特色管控体系COSO体系控制环境风险评估控制活动信息和沟通监督运营财务报告合规性国投钦州公司各部门各业务单元业务单元COSO集成的内部控制框架=过程分析：逻辑思路控制环境风险评估控制活动信息和沟通监督运营财务报告合规性国投钦州公司相关部门业务单元业务单元COSO集成的内部控制框架COSO体系

1992年，美国“反对虚假财务报告委员会（由美国注册会计师协会、国际内部审计师协会等团体发起成立）下设的COSO委员会提出了《内部控制——整体框架》（简称COSO框架）。该框架认为，内部控制应当由五个基本要素组成，即控制环境、风险评估、控制活动、信息与沟通和监督。五个要素构成内部控制的基本体系。

2004年COSO委员会又颁布了一个概念全新的COSO报告：即《企业风险管理----总体框架。企业风险管理由八项相互关联的要素组成即控制环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通和监督。该框架发布后，得到各国政府相关部门、企业界、审计界的广泛认同，成为现代风险管理理论与实务的基础。过程分析：逻辑思路

2006年3月，中天恒历时三年苦心研究推出了”中国式全面控制框架“（简称3C框架）。

2007年4月，中天恒又在中国式全面控制框架的基础上，推出3C全面风险管理标准。2009年4月，中天恒又推出3C内控评审操作标准及信息系统。3C框架认为，目标——风险——管理，这是全面风险管理的内在逻辑。

3C框架认为，目标体系、风险融合和管理融合组成企业全面风险管理的有机体系。

3C框架认为，全面风险管理实务由风险管理准备、风险管理实施、风险管理报告和风险管理改进组成。3C框架过程分析：逻辑思路第一阶段项目启动第二阶段方案设计第三阶段方案试行第四阶段后续完善第五阶段全面实施项目启动及项目组培训流程和制度梳理风险识别风险分析和评价完善制度和证据编制风险管理手册培训辅导和指导评估完善风险管理手册….全面推广风险整合与风险应对过程分析：建设过程中国三泰案例

1、收集资料和了解情况阶段搜集国家有关法律法规单位的组织结构部门岗位职责现行各项规章制度过程分析：操作路径

2、现状流程描述阶段（1）编制业务流程目录。中国三泰业务流程目录流程编号一级流程二级流程三级流程四级流程五级流程……

CA09财务管理

CA09.01

全面预算

CA09.01.01

预算编制

CA09.01.02

预算执行

CA09.01.03

预算调整

CA09.01.04

预算考评

CA09.02

资金管理

CA09.02.01

资金收付管理

CA09.02.01.01

收款管理

CA09.02.01.02

付款管理

……

过程分析：操作路径

2、现状流程描述阶段（2）绘制业务流程图。过程分析：操作路径

3、进行风险评估中国三泰单位风险数据库流程编号一级流程二级流程三级流程四级流程五级流程相关风险备注……CA09财务管理CA09财务管理……CA09.02

资金管理CA09.02.01资金收付管理CA09.02.01.01收款管理不相容岗位未分离收到的款项未及时、全部入账坐支现金库存现金超限额、账实不符现金存取不安全银行存款账实不符过程分析：操作路径

4、寻找控制点,确定控制措施针对具体的风险,为每一个控制点制定出具体的控制措施一般控制点关键控制点过程分析：操作路径

5、明确控制责任在确定各控制点和控制措施的基础上，将控制责任落实到相应的部门和岗位上，以保证责任到人，失职必究。过程分析：操作路径

6、完善控制证据。一是表单本身就是控制措施的落实，将控制点和控制措施落到实处；二是表单的流转为内部控制留下痕迹，有利于进行内部控制测试与评价。过程分析：操作路径7、编制内部控制文档控制目标风险分析控制点控制措施控制责任控制证据过程分析：操作路径8、设计风控手册对现场工作取得的成果和收集的资料进行进一步整理和完善，编制控制程序文件，并将上述各阶段成果汇总形成企业的风控手册。过程分析：操作路径9、制度优化考虑到中国企业对制度的高度认同和有效执行，根据内部控制措施对现有制度进行完善，制度修订后下发执行。过程分析：操作路径目录

一案例介绍

三过程分析二动因分析四实务分析效果分析

五EstablishControlenvironmentMonitorandimproving

IdentifyrisksEstablishContext

Riskresponse

RiskControlactivitiesInformationcommunicationRiskassessment风险管理环境

公司文化

管理政策风险容忍度跨功能风险管理组织目标设定

战略

运营

合规风险识别

关键成功因素

威胁因素

主要风险风险评估描述

量化

整合排序风险回应

决策机会与威胁把握风险控制风险处理计划流程

资讯与沟通

监控报告

监控与改进

审计：内部和外部

检查：专项、CSA中国三泰案例实务分析：中国三泰案例国务院国资委实务分析：国家标准第一章总则第二章风险管理初始信息第三章风险评估第四章风险管理策略第五章风险管理解决方案第六章风险管理的监督与改进第七章风险管理组织体系第八章风险管理信息系统第九章风险管理文化第十章附则附录：风险管理常用技术方法简介中央企业全面风险管理指引第一章总则

第二章内部环境

第三章风险评估

第四章控制活动

第五章信息与沟通

第六章内部监督

第七章附则

[内部控制基本规范]中天恒管理咨询公司和中天恒会计师事务所以构建中国企业自己的全面风险管理标准为己任，在继2006年推出的中国式全面控制框架（简称“3C框架”）的基础，于2007年4月19日（农历三月初三）正式推出了“3C框架：中国式全面风险管理标准”（简称“3C全面风险管理标准”），包括3C全面风险管理基本框架、3C全面风险管理实务标准、3C全面风险管理操作指南三部分。

3C框架：中国企业自己的全面风险管理标准实务分析：3C框架1.3C框架全面风险管理框架图（1）

标准框图3C框架全面风险管理流程简图

标准框图

1.概念风险识别=风险辨识=风险确认=事件识别，是确认风险的过程。

2.内容关键是把风险叼出来，一般可绘制成如下“骨”图：风险识别实务分析：管理实务中国三泰案例:风险评估1.概念全面风险管理的一个重要组成部分，是在风险识别的基础上对风险进行计量、分析、判断、排序的过程，包括风险计价、风险分析、风险评价等步骤，是风险应对的主要依据，应立足于对固有风险和剩余风险的评估。2.内容一般来说，对识别出来的风险，从可能性和影响两个方面进行评估后，就可以根据评估的结果采取应对措施。3.方法风险评估方法包括定性方法和定量方法，应定性方法和定量方法相结合进行。企业的在风险评估中访谈、集体讨论、专家咨询、问卷调查、标杆分析是比较常用的方法，我国中央企业在实践中已采用过去风险事件总结和分析、同业企业风险事件总结和分析、部门初始风险评估表、企业初始风险汇总表等具有自主创新，有很强的实用性。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。risk1Risk2。。。。。。综合信息框架风险图谱风险辨识风险分析风险初步判断确认风险事件风险定义归类红灯区黄灯区绿灯区可能性重要性风险列表分析结果风险表现分析风险影响分析风险动因分析风险关系分析风险发生可能性评价风险影响程度评价风险评价风险模型重大风险模型。。。。。。。。。风险评估报告风险应对1.概念选择应对风险策略的过程，是全面风险管理的重要环节。2.内容风险规避彻底避免改变条件中途放弃风险降低消除风险可能发生的根源降低损失发生的可能性、频率缩小损失程度风险分散多角经营多方投资多方筹资外汇资产多元化多方供应商多方客户风险转移控制型非保险转移财务型非保险转移保险风险接受全部风险接受部分风险接受之分风险利用把风险当作机遇风险利用，实现目标3.方法研讨会访谈复核分析聘请外部专家风险控制1.概念风险控制=控制活动=控制政策=控制程序=控制措施的=应对措施,就是应对风险的各种措施。2.内容就是风险控制的措施,从风险角度看:管理风险控制措施经营风险控制措施财务风险控制措施法律风险控制措施其他风险控制措施3.步骤建立风险控制文档建立关键控制制定控制程序文件根据变化的内外部环境调整控制措施，并完善相应的制度文件4.方法岗位授权审批制度绩效考核敏感性职责分离权力制衡信息系统控制预警机制等风险报告1.概念就是对企业风险管理的情况的报告，报告风险是全面风险管理的一个重要环节，可作为全面风险管理的独立环节，根据需要可在全面风险管理的过程中随时报告重大的风险情况。2.内容关键要素是风险、损失、管理、指标和措施。

引言简要本期进行风险管理的人员、时间、范围及其风险管理责任等。正文（一）风险及损失情况（二）全面风险管理情况（三）加强全面风险管理建议附件1.概念风险预警作为风险管理报告阶段的一个重要环节，或作为风险报告的一项重要内容。风险预警能够预先告知管理当局和投资者有关组织内部所隐藏的问题，及早采取防范措施。2.风险预警内容风险预警风险预警机制风险预警模式风险预警指标风险预警标准风险监督1.概念风险监督=监督检查=监督评价=持续监督=监控=监控系统=内部监督,就是企业全面风险管理健全、合理、有效性进行监督检查的过程.2.内容全面风险管理管理什么就得监督什么。风险监督的内容不是监督的方式，更不是监督的主体，但风险监督的内容因监督方式、监督主体的不同而不同。持续监督专项监督3.步骤对风险从开始监督到结束监督行为的基本过程。包括:如何做好计划如何进行具体实施如何报告监督的结果4.风险监督方法核对清单调查问卷流程图技术自我评估法风险审计1.概念2.内容独立审计政府审计内部审计重点审查的内容可能引发风险的内外因素

风险发生的可能性和预计带来的后果对抗风险的能力风险管理的具体方法及效果管理改进1.概念根据存在的缺陷和变化的情况改进风险管理动态过程2.内容至少包括改进报告缺陷和应对变化。3.流程

流程一：分析总结报告缺陷，编制风险管理缺陷汇总分析表风险管理缺陷汇总分析表序号缺陷发现来源问题描述缺陷分析影响评价改进意见涉及部门…………………流程二：识别变化情况，编制风险管理变化情况分析表风险管理变化情况分析表序号类别原情况摘要变化后情况摘要影响评价改进意见涉及部门1战略决策2组织架构3人力资源4业务流程5信息系统6调整事项7政策法规8监管要求9市场供需10技术趋势11自然环境…………………管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会全面风险管理三道防线实务分析：如何落地目录

一案例介绍

三过程分析二动因分析四实务分析效果分析

五效果分析：初步成效提升了公司治理水平重建了投资管理合理模式初步成效重建了安全管理合理模式为公司实现跨越式发展提供了保障重建了资金管理合理模式促进了国有资产保值增值中国中国三泰集团的法人治理结构更加完善，企业文化良性发展，风险管理机制有效运转，制度执行力得到加强，资产管理水平进一步提高，信息披露质量更加可靠，公司管理基础更加扎实，有效地保障了公司的健康、长远发展”

——国资委效果分析：受到主管部门好评项目成功的关键因素高层领导的全力支持1与风控部团队的精诚合作2总部各部门的密切配合3分（子）公司的密切配合4对相关人员提供培训5全公司启动大会，陈董事长亲自动员，指示方向，总裁亲自部署，10人次高管层访谈，4次总裁及监事会汇报风控部团队严控制量，把握具体的思路，平均每周1-2次项目讨论，逐章逐节逐字推敲558页《手册》，500多页报告、汇报、培训演示文档，4次月进度质量评价20人次管理层访谈，173份问卷调查，针对26个重要流程进行了21场部门管控研讨8人次管理层访谈5次风控相关人员培训（21场部门培训）项目实施具体工作效果分析：成功秘笈——增强企业风险管理水平

风险管理失效关键是不执行没有执行力，就没有竞争力

执行是风险管理之生命没有控制力就没有执行力，要从管住规划、管住人、管住账本三方面入手，增强集团公司控制力。

——李荣融主任效果分析：借鉴启示

对任何企业来说，再完美的制度，如果得不到严格执行，就是一种摆设。

——总审计师孙宝厚博士

——增强企业风险管理水平效果分析：借鉴启示——增强企业风险管理水平领导是关键中的关键