全面风险管理咨询项目设计方案书课件

全面风险管理体系建设方案设计

内控体系项目工作流程全面风险管理整合框架概述我国企业风险管理现状对全面风险管理的理解全面风险管理体系方案设计123456联合优势2023/8/71全面风险管理体系建设方案设计全面风险管理整合框架概述我国企业一、企业全面风险管理整合框架概述企业全面风险管理是企业在实现未来战略目标的过程中，试图将各类不确定因素产生的结果控制在预期可接受范围内的方法和过程，以确保和促进组织的整体利益实现。企业风险管理（ERM）框架是由美国虚假财务报告全国委员会的发起组织委员会（COSO）在内部控制框架的基础上，于2004年9月提出的企业风险管理的整合概念。

什么是企业全面风险管理：

2023/8/72一、企业全面风险管理整合框架概述企业全面风险管理是风险管理理论的发展

以“安全和保险”为特征的风险管理。100多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。

以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展，公司对业务管理和流程方面的内部控制提出了要求。美国1977年的《反国外贿赂法》要求公司管理层加强内部会计控制；1992年的《COSO内部控制综合框架》提出以财务管理为主线的内部控制系统。

以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明，仅靠内部控制难以实现企业的最终目标。为此，COSO于2004年9月出台了《COSO企业全面风险管理整合框架》（简称ERM），提出了由三个维度构成的风险管理整合框架。

我国国务院国资委于2006年发布《中央企业全面风险管理指引》（以下简称《指引》），标志着我国中央企业建立全面风险管理体系工作的启动。

第一阶段：

第二阶段：

第三阶段：2023/8/73风险管理理论的发展

COSO企业风险管理构成八个要素在内部控制整合框架五个要素的基础上，COSO企业风险管理的构成要素增加到八个，八个要素相互关联，贯穿于企业风险管理的过程中。

监控内部环境目标设定事项识别风险评估风险应对控制活动信息与沟通（1）（2）（3）（4）（5）（6）（7）（8）2023/8/74COSO企业风险管理构成八个要素在内部控制整合框全面风险管理框架的8个要素构成

企业内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。其中特别是大型企业领导班子的风险偏好，决定了大型企业对可能出现的预料之外的事件的态度，企业管理层必须明确战略及其执行过程中的风险和回报。

（一）内部环境

管理层制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。管理层必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。企业风险管理就是提供给企业管理层一个适当的过程，将目标与企业的任务或预期联系在一起，保证制定的目标与企业的风险偏好相一致。

（二）目标设定

2023/8/75全面风险管理框架的8个要素构成企业内部环境是其他所有风险管

企业风险管理要求辨别可能对实现企业目标产生负面影响的所有重要情况或事件，事项识别的基础是将可能的风险与环境进行对比。这要求综合运用各种专业知识，尽可能地了解企业当前或将来的环境和经营情况。一般用可能性（概率）和影响结果两个指标度量风险。风险评估的过程根据不同的情况，采用定性和定量相结合的方法。若可以获取充足的数据，可采用决策风险定量评估方法；若潜在的可能性及影响结果都较小，或者无法获得数据，则可采取定性的评估方法。（四）风险评估

（三）事项识别

全面风险管理框架的8个要素构成

2023/8/76

企业风险管理要求辨别可能对实现企业目标产生负面影响的所企业要对每一个重要的风险及其对应的回报进行评价和平衡，据平衡的情况采取包括回避、接受、共担或降低这些风险。风险应对是企业风险管理的整体重要组成部分。

控制活动包括在整个组织使用的审核、批准、授权、确认以及对经营绩效考核、资产安全管理、不相容职务分离等方法。这是企业管理层设计的政策和程序，为执行特定的风险应对措施提供合理保证。（六）控制活动

（五）风险应对

全面风险管理框架的8个要素构成

2023/8/77企业要对每一个重要的风险及其对应的回报进行评价和平衡，据风险信息必须以一定的形式和框架进行交流，使企业员工、管理层履行各自的责任。企业必须对各种数据和信息流进行加工，形成关于企业风险组合轮廓的统一观点，以利于交流。通常存在自上而下式、平行式和自下而上式3种有效的交流形式。员工的风险信息交流意识是风险管理环境的重要组成部分，应鼓励员工就其意识到的重要风险与管理层进行交流，企业管理层应当重视员工的意见。

企业应通过持续的监控和独立的评价活动，监控企业风险管理的有效性。持续监控以日常经营中发生的事件和交易为对象，包括企业管理层和专门的监控人员的活动。（八）监控

（七）信息与沟通

全面风险管理框架的8个要素构成

2023/8/78风险信息必须以一定的形式和框架进行交流，使企业员工、管COSO企业风险管理的性质COSO在对《企业风险管理》的界定中重点强调了七个属性和理念：企业风险管理力求实现一个或多个不同类型但相互交叉的目标。企业风险管理能够向一个企业的管理当局和董事会提供合理保证；企业风险管理旨在识别那些一旦发生将会影响企业的潜在事项，并把风险控制在风险容量以内；企业风险管理贯穿企业整体，在各个层级和单元应用，还包括采取企业整体层级的风险组合观；企业风险管理应用于战略制定的过程中；企业风险管理是由组织中各个层级的人员来实施的；企业风险管理是一个过程，它持续流动于企业之内；(1)(2)(3)(4)(5)(6)(7)2023/8/79COSO企业风险管理的性质COSO在对《企业风险管理》的界企业风险管理可以发挥以下作用2023/8/710企业风险管理可以发挥以下作用2023/7/2510企业风险管理的目标体系

企业风险管理框架提出了四类目标：

在这个目标体系中，增加了内部控制整合框架中所没有的一类目标：战略目标。虽然是平行的方式列示，但是，战略目标在这个目标体系中是最高层次的，其它三类目标都应当从属于战略目标。都是在为战略目标服务。

战略(Stntegic)目标，即高层次目标，与使命相关联并支撑使命经营(operations)目标，高效率地利用资源报告(reporting)目标，报告的可靠性合规(compliance)目标，符合适用的法律和法规(1)(2)(3)(4)2023/8/711企业风险管理的目标体系企业风险管理框架提出了四类目COSO内控框架三个维度具体内容COSO内控框架内控环境风险评估控制活动信息和沟通监控业务部门业务功能整体营运财务报告合规第一个维度（上面维度）是是目标体系，包括四类目标：(1)战略(Stntegic)目标，即高层次目标，与使命相关联并支撑使命；(2)经营(operations)目标，高效率地利用资源；(3)报告(reporting)目标，报告的可靠性；(4)合规(compliance)目标，符合适用的法律和法规。

第二个维度（正面维度）是管理要素，包括八个相互关联的构成要素,它们源自管理当局的经营方式，并与管理过程整合在一起，(1)内部环境、(2)目标设定、(3)事项识别、(4)风险评估、(5)风险应对、(6)控制活动、(7)信息与沟通、(8)监控。第三个维度（侧面维度）是主体单元，包括集团、部门、业务单元、分支机构四个层面。2023/8/712COSO内控框架三个维度具体内容COSO内控框架内控环境风二、我国企业风险管理概述

企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

——《中央企业全面风险管理指引》2023/8/713二、我国企业风险管理概述

企业围绕总体经营目标，通过在企国内企业的风险管理处于起步阶段风险管理刚刚起步，表现为：经理人阶层普遍缺乏风险意识与风险管理的知识企业管理过程中缺乏风险管理的内容，除金融企业保险与金融领域缺乏风险管理的工具缺少独立的风险管理行业与市场原因在于：绩效考核中基本不计入风险因素法规缺乏对上市公司披露风险管理情况的要求股市缺乏对上市公司风险管理的压力14国内企业的风险管理处于起步阶段原因在于：14

我国企业风险管理法律文献

2023/8/715《内部会计控制规范》《证券公司内部控制指引》《证券投资基金管理公司内部控制指导意见》《独立审计准则第9号——内部控制和审计风险》1996年2001年《商业银行内部控制指引》2006年《中国企业会计准则体系》《上市公司内部控制指引》《中央企业全面风险管理指引》中国企业内部控制标准委员会（CICSC）成立《企业内部控制规范》（征求意见稿）2006年2023/8/715

我国企业风险管理法律文献

2023/7/2515《独立审计全面风险管理框架的设立原则我国大型企业要在促进国有经济布局和结构优化方面发挥表率作用，实现国有资本优化配置，充分发挥跨省市经营，产业分布广的优势，就必须逐步建立全面风险管理框架，降低生产经营风险。在企业全面风险管理建立和实施的过程中，应该遵循以下原则：

成功地回避风险，必须建立在对风险发生可能性科学预测的基础上，这就要求在选择具体操作方法时，坚持理论与实际、定性与定量、历史与未来相结合的方法，以确保实施方法的准确性和有效性。

一、预测先导原则

2023/8/716全面风险管理框架的设立原则我国大型企业要在促进对风险的性质、风险程度做出合理评估，结合企业管理、财务等综合能力，制定风险管理方针和策略。

全面风险管理框架的设立原则对因进行风险管理而产生的成本及其绩效进行比较，择优采用。如果风险防范成本超出了最终风险可预测损失，那么，该项风险防范措施的效果无疑应该大打折扣。

四、成本效益原则

国资委或中央企业应对所属企业管理者的风险管理能力进行监控，避免超出其承受能力的经营风险。三、避免超载原则

二、权衡轻重原则

2023/8/717对风险的性质、风险程度做出合理评估，结合企业管理、财务风险管理总体目标与战略目标一致财务报告真实可靠合规合法高效运营应对突发事件，防止重大损失根据客户要求，可增加或减少。三、全面风险管理的理解2023/8/718风险管理总体目标与战略目标一致财务报告真实可靠合规合法高效运1、收集初始信息2、风险评估3、制定风险管理策略4、风险管理解决方案5、风险管理监督与改进信息与沟通（访谈）工作步骤2023/8/7191、收集初始信息2、风险评估3、制定风险管理策略4、风险管理

全面风险管理三道防线

管理层第1道防线第3道防线第2道防线风险管理内部审计业务部门A业务部门B业务部门C审计委员会风控委员会XX委员会XX委员会董事会一个基础2023/8/720

全面风险管理三道防线

管理层第1一个基础：公司治理结构公司治理是涉及公司的表现：它关系到一家公司如何得到有效的管理，从而发挥最佳表现公司治理是涉及责任的问题：它关系到董事会及管理层如何向股东负责，而使股东能从公司的表现中得益公司治理2023/8/721一个基础：公司治理结构公司治理是涉及公司的表现：它关系到一家公司治理与风险管理有什么关系？公司治理是风险管理的一个必要的组成部份，因为它提供了对风险由上而下的监控与管理近年多个国家都订立了公司治理的最佳守则：美国：纽约证交所最佳治理守则英国：Cadbury/HampelReport、TheCombinedCode加拿大：DeyReportOECDReport 这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任2023/8/722公司治理与风险管理有什么关系？公司治理是风险管理的一如何构建有利风险管理的公司治理结构建立一个健全的、以董事会为首的公司治理结构订立企业的目标和战略，包括企业的风险政策和极限贯彻一套重视风险管理的企业文化和价值观2023/8/723如何构建有利风险管理的公司治理结构建立一个健全的、以董事会为第一道防线：业务单位防线业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线2023/8/724第一道防线：业务单位防线业务单位包含了企业大部分的资1、了解企业战略目标及可能影响企业达标的风险2、识别风险类别3、对相关风险作出评估4、决定转移、避免或减低风险的策略5、计设及实施风险策略的相关内部控制如何建立第一道防线2023/8/7251、了解企业战略目标及可能影响企业达标的风险如何建立第一道防(风险宇宙TM)资信制度知识产权财务流动资产与信贷资本结构市场财务报告营运法律生产程序经营环境市场结构民风与文化治理策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规风险宇宙(对企业进行风险分析诊断)2023/8/726(风险宇宙TM)资信制度知识产权财务流动资产与资本结构市场风险发生的可能性2023/8/727风险发生的可能性2023/7/2527风险对企业造成的影响2023/8/728风险对企业造成的影响2023/7/2528风险处理方法的效果2023/8/729风险处理方法的效果2023/7/2529风险地图(或风险共同语言)影响程度近乎没有轻微中等重大灾难几乎肯定极可能可能低极低BCAGIDJKHEF可能性说明:A–人力资源风险B–财务风险C–竞争风险D–开发风险E–过度自信风险F–系统故障风险G–主要客户风险H–欺诈风险I–政治风险J–薪酬奖励风险K–科技风险2023/8/730风险地图(或风险共同语言)影响程度近乎没有轻微中等重大灾难几风险处理组合

处理评级风险评级近乎没有效果低效适中超标极度极高高中等低BCAGIDJKHE说明:A–人力资源风险B–财务风险C–竞争风险D–开发风险E–过度自信风险F–系统故障风险G–主要客户风险H–欺诈风险I–政治风险J–薪酬奖励风险K–科技风险F采取行动密切监控定期审阅2023/8/731风险处理组合处理评级风险评级近乎没有效果低效适中超标风险处理策略影响程度可能性转移避免小心管理可接受大小高低2023/8/732风险处理策略影响程度可能性转移避免小心管理可接受大小高低20风险策略避免禁止交易减少或限制交易量离开市场转移套期保险策略性联盟其他分担风险的安排小心管理投资广泛保护的安排订价反映风险程度可接受自我保险预留储备增加监督风险处理策略影响程度大小可能性转移避免小心管理可接受高低2023/8/733风险策略小心管理风险处理策略影响程度大小可能性转移避免小心管企业建立的第一道防线，就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等，系统化地进行分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进行记录和存档，对内控措施的有效性不断进行测试和更新第一道防线：总结管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会2023/8/734企业建立的第一道防线，就是要各业务单位就其战略性风险、信贷风第二道防线：风险管理单位防线第二道防线是在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括：编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析，为各业务单位分配经济资本金2023/8/735第二道防线：风险管理单位防线第二道防线是在业务单位之上建立一36“内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。内审通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标。”美国内部审计师协会第三道防线：内审单位防线第三道防线涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题内部审计的定义：2023/8/73636“内部审计是一项独立、客观的审查和咨询活动，其目的在于增内部审计的三大功能财务监督财务帐的可用性内部管理和制度的执行典型例子：检查分、子公司上报总部的财务报表的 准确性以及执行财务管理政策的情况经营诊断管理审计以及效率和效益审计检查和诊断经营和管理过程中的偏差和失误典型例子： 企业对某业务单位或某部门执行效益审计 (一个输入与产出的关系)

2023/8/737内部审计的三大功能财务监督2023/7/2537咨询顾问企业风险管理和发展策略方面的咨询调查领导关心的热点问题和管理薄弱环节典型例子：兼并收购时调查被投资公司的内部管理和流程操作，了解薄弱环节或其他影响并购交易的重大事项，从而确定管理方法和并购策略2023/8/738咨询顾问2023/7/2538构建企业风险管理的关键成功要素1、股东确立对企业监督的机制，考虑是否需要在集团层面：引入以董事会领导的管理体制聘任有经验的外部董事，来加强对企业的监督要求企业建立风险管理和内控系统，并对其运作及有效性作出定期的汇报2023/8/739构建企业风险管理的关键成功要素1、股东确立对企业监督的机制2、管理高层的支持和参与确立方向和目标营造必要的环境为平衡风险与回报作出战略性的决定风险回报风险与回报成正比？风险调整风险后的回报冒险程度

–不够进取冒险程度–高危冒险程度–理想范围2023/8/7402、管理高层的支持和参与风险回报风险与回报成正比？风险调整风413. 建立风险管理文化风险管理的手段，必须融入日常的管理流程通过讨论和培训，使风险管理的实施得到“全民”的支持通过经验的分享，不断加强风险管理的认同性4. 采用先进的风险管理的实施方法借鉴如美国Treadway委员会所提出的COSO内控框架采用各种识别和度量风险的先进的方法采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务，构建信息管理系统和预警系统2023/8/7413. 建立风险管理文化2023/7/2541财务内控财务控制是风险管理的主要内容主要内容2023/8/742财务内控财务控制是风险管理的主要内容主要内容2023/7/财务报告系统的功能股东监管部门其他利益相关者分析和修正企业远景、战略和目标企业经营、管理和控制企业业绩的度量和报告财务报告系统财务信息披露和报告2023/8/743财务报告系统的功能股东监管部门其他利益相关者分析和修正企业远经常性业务交易非经常性业务交易资料和数据的处理目标：更自动化、更程序化、更规范化缩短编制时间、减少人为错误财务报告系统加强业务与财会人员之间的沟通了解会计准则的要求，减少个别主观人为判断财务报告系统管理2023/8/744经常性业务交易非经常性业务交易资料和数据的处理目标：更自动化财务报告系统的典型问题1、输入资料不准确或不完整缺乏内部控制员工缺乏应有的知识和资历对资料的要求不清晰2、缺乏一套清晰和统一的会计政策如何确认收入？如何计提准备金？如何界定经营性与 资本性支出？会计科目设计不完善依靠人手操作或缺乏合适和统一的电子核算平台如何反映对外投资？如何记录各类金融衍生工具？2023/8/745财务报告系统的典型问题1、输入资料不准确或不完整会计科目设计财务报告系统的典型问题3、关帐或财务结算程序不规范没有明确财务结算的工作和程序没有利用标准的结算表/模板没有订立重要性的门槛4、未能披露或提供重要信息什么数据或差异需要进行分析？需要与什么数据进行比较？分析需要得到什么数据的支持？什么资料可协助管理层加强管理？2023/8/746财务报告系统的典型问题3、关帐或财务结算程序不规范2023/财务报告系统和内部控制的关系财务报告系统是为企业内部管理提供信息和与外部利益相关者(如股东、监管机构)沟通的主要工具和媒介财务报告系统需要一个完善的内部控制环境，才能及时和有效地执行和发挥它应有的作用2023/8/747财务报告系统和内部控制的关系财务报告系统是为企业内部管理提供内部控制的作用内部控制的作用在于保证/保护：信息（会计信息和经营信息）的可靠性和完整性遵循政策、计划、程序、法律和法规资产的安全提高经营效益和效能实现经营的目标和防止浪费资源2023/8/748内部控制的作用内部控制的作用在于保证/保护：2023/7/2内部控制不能：将一个原本拙劣的管理体系改变成一个优良的管理体系影响环境因素，如政府的法规和政策、竞争对手的行动或经济状况保证企业的成功或不会面临倒闭的命运杜绝员工或管理层舞弊和欺诈的行为2023/8/749内部控制不能：2023/7/2549控制环境风险评估信息和沟通控制活动监控如何构建内部控制—公司层面的评估管理层关于内部控制的报告评估内控的整体的有效性，找出有待改进的地方，并建立一个监控体系在流程、交易和应用层面，理解和评估内部控制在全公司层面评估内部控制组织项目小组实施评估工作理解内部控制的定义2023/8/750控制环境风险评估信息和沟通控制活动监控如何构建内部控制—公司公司层面的内控─控制环境企业道德规范与价值观员工的行为操守与企业文化公司治理结构和政策董事会及各委员会的构成企业规章制度董事会与管理层之间的关系、权力和职责2023/8/751公司层面的内控─控制环境企业道德规范与价值观2023/7/2公司层面的内控─风险评估企业是否拥有既定的程序以确定、评估和度量影响企业达标的风险？先进的内审部门？风险管理部门？全面风险评估？企业有否详细记录评估风险的结果？有否进行详细的讨论和沟通？2023/8/752公司层面的内控─风险评估企业是否拥有既定的程序以确定、评估和公司层面的内控─信息和沟通企业的架构是否能够令各部门及业务单位明确各自的职责及促进沟通企业是否拥有一个合适的电子平台处理管理信息和数据确保信息能够及时发放确保各类信息和报告的准确性和可用性2023/8/753公司层面的内控─信息和沟通企业的架构是否能够令各部门及业务单规章制度

审批程序资产实物的安全特殊报告表现指标信息系统控制职责划分公司层面的内控─控制活动2023/8/754规章制度公司层面的内控─控制活动2023/7/2554公司层面的内控─控制活动规章制度

董事会及各委员会的章程企业风险政策员工招聘守则企业采购政策会计及财务管理守则2023/8/755公司层面的内控─控制活动规章制度2023/7/2555审批程序一种预防性的控制措施确保规章制度得以落实执行知识与经验分享责任的承担2023/8/756审批程序2023/7/2556公司层面的内控─控制活动资产实物的安全

档案/库存上锁减少利用现金交易

办工室安全系统/警铃资料数据库进入的限制保安人员员工身份证机器上的标记隐型录相机2023/8/757公司层面的内控─控制活动资产实物的安全2023/7/255公司层面的内控─控制活动特殊报告逾期应收款报告工作超时完成报告原材料不合格报告机器故障报告产品不合格或退货报告存货台帐红字报告2023/8/758公司层面的内控─控制活动特殊报告2023/7/2558公司层面的内控─控制活动表现指标预算与实际比较项目管理报告财务指标报告系统可用性报告员工利用率报告2023/8/759公司层面的内控─控制活动表现指标2023/7/2559公司层面的内控─控制活动职责划分一种员工之间相互制约的控制，以减少出错或越权的情况不能由同一人发起、批准和记录一宗交易不能由同一人保管和记录资产定期轮换职责，在日常运作中的主要控制点应有高管人员的参与或由独立的人员作出审查2023/8/760公司层面的内控─控制活动职责划分2023/7/2560公司层面的内控─控制活动风险控制平衡的区域

高

低过份控制

低

高风险程度控制效果控制不够2023/8/761公司层面的内控─控制活动高低过份控制低高风险程度控制监控是对一定时期内内部控制执行质量的评价程序，考虑相关内部控制是否能够满足最初设计的目标，并保证在不同情况下进行适当的修改。

考虑并记录是否定期对内部控制进行评价；管理层是否采纳内部和外部审计师关于内部控制的建议；是否存在内部审计部门以协助管理层进行监控。公司层面的内控─监控2023/8/762监控是对一定时期内内部控制执行质量的评价程序，考虑相关内部控程序、交易及资讯科技应用层面评估因素:竞争力、完整性、员工的忠诚度及管理层的监管能力管理层之间的摩擦职责划分控制的稳定性关键账项管理层对财务报表的认定?可能发生的错误控制关键流程固有风险及主要经营风险2004Financial

Statements财务报告选出容易发生重大差错的关键账项*存在(资产负债表)与发生(利润表)完整性（资产负债表/利润表）估价(资产负债表)与计量(利润表)权利与义务(资产负债表)类型:交易流程惯例特殊估计对每一种认定应考虑：在流程的哪一交易环节容易发生错误？例如:

帐户：现金或应付

程序：支付

认定：估价

是否有人工或自动的程序确保支票或转账的数目与审批的付款数目一致？检验:对差错的监督防止:防止出现差错由何人来执行?是否有程序自动控制?识别处理系统评估/监督*单项差错或几项差错如不被发现，可能对财务报表造成重大影响，或导致非法行为或利益冲突。即使造成非重大影响，也会对公司的信誉、与客户及投资者的关系，以及公众形象造成负面影响。确认财务帐户及其相关系统记录系统及控制评估/监督步骤行为主要关注点从财务角度从程序角度2023/8/763程序、交易及资讯科技应用层面评估因素:关键账项管理层对财务报Iftheguidelinecontrolisnotapplicable,thenpleasestateareason.2023/8/764Iftheguidelinecontrolisno2023/8/7652023/7/2565控制频率相关政策规定控制设计的有效性应当对实质性控制提供尽可能详尽的细节描述，以便具备相应知识水平的人员能够正确合理的予以执行。这些描述必须依照控制的本质去描述，并随着控制的变化而不断修正更新，但不可以描述成在未来才可以予以实施或者具备一定条件才可以实施的控制。控制策划者是指负责更正那些不可能实际实施的控制的人员。这种更正包括更新控制文件（适当的流程图和控制表格和其他相关的文件）对于拥有同一控制的不同经济业务有可能设置同一控制策划者。控制实施的频繁度说明了该控制在与其特有的风险评估相关的流程中的重要性。可以选择是每日/每周/每月/每年两次/每年或其他。

这是为了符合相关流程、指南（包括授权的指南）、准则、系统说明、工作描述等等。2023/8/766控制频率相关政策规定控制设计的有效性应当对实质性控制提供尽可评估整体控制的有效性，确定应改进的地方并建立监督系统1、内控设计缺陷之弥补2、业务流程之穿行测试3、主要内控点之测试策略4、主要内控点实际操作之测试5、内控实际操作缺陷之弥补及再测试6、评估整体财务报告内控的有效性672023/8/767评估整体控制的有效性，1、内控设计缺陷之弥补672023/7

四、全面风险管理体系建设方案设计

控制流程基础设施治理结构人员程序方法系统数据识别评估控制测量报告外部环境控制要求验证改进

风险战略控制目标风险偏好风险政策政治文化法制宏观经济行业环境监管要求2023/8/768

四、全面风险管理体系建设方案设计

控制流程基础设施治理结方案设计的理念

全面风险管理基于全面风险管理的内控全流程内控财务内控2023/8/769方案设计的理念全面风险管理基于全面风险管理的内控全全面风险管理流程示意图供应链管理生产管理人力资源管理销售管理投融资管理风险因素和风险事件流程流程流程流程流程…………风险管理接口全面风险管理体系2023/8/770全面风险管理流程示意图供应链管理生产管理人力资源管理销售管理例如：组织解构图设计：例如：XX公司的概况例如：1、业务板块：以XX行业产品业核心主业，兼营采矿、机械、电子、建筑、房地产、服务业、海外贸易。一业多地2、营业收入874.7亿元利润16.5亿元职工总数8.25万3、弘扬长征精神立志创新创优创业

2023/8/771例如：组织解构图设计：例如：XX公司的概况2023/7/2还可以给出另外的组织结构图评级部数据中心市场部总裁办董事会秘书行政管理部技术支持部人力资源部分支机构部战略发展2部企划部审计委员会薪酬委员会股东会董事会监事会分支机构采购部物流部商账管理部财务部评审委员会全面风险控制委员经营团队2023/8/772还可以给出另外的组织结构图评级部数据中心市场部总裁办董事行Xx公司关键词提炼（理念、宗旨等）

海外上市、结构调整、技术创新、并购重组内部控制、风险管理抓结构、保质量、打品种、提效益、创品牌稳、实、好、快、强2023/8/773Xx公司关键词提炼（理念、宗旨等）

海外上市、结构调整、技术全面风险管理体系建设遵循原则

长期目标与短期目标结合国际先进经验与公司实际结合1、2、2023/8/774全面风险管理体系建设遵循原则

长期目标与短期目标结合国际五、内控体系项目工作流程项目启动调研评估体系设计运行测试持续完善2023/8/775五、内控体系项目工作流程项目启动调研评估体系设计运行测试持续调研评估体系设计运行测试持续完善主要任务：初步调研，成立项目管理组织架构，组织内部培训，界定体系建设范围，明确项目目标，编制项目计划。工作成果：《XX公司全面风险诊断报告》《XX公司全面风险管理体系建设项目计划书》阶段重点：充分沟通治理结构和管理文化，通过培训导入风险管理和内控的理念，统一认识，实现项目动员。明确项目长期和短期目标，根据“自上而下、风险导向、重点突破、循序渐进”的策略制定合理的进度计划。项目启动2023/8/776调研评估体系设计运行测试持续完善主要任务：初步调研，成立项目体系设计运行测试持续完善项目启动主要任务：内部环境调研，流程梳理，风险评估。工作成果：《XX公司风险管理内部环境调研报告》《XX公司重点流程内控风险评估报告》阶段重点：全面深入调研，准确掌握企业各个层面对全面风险管理的真实需求。统一流程梳理和风险评估的工具及模版，形成规范的流程描述和风险评估文档。调研评估2023/8/777体系设计运行测试持续完善项目启动主要任务：内部环境调研，流程主要任务：以全面风险管理为导向进行有针对性的内控体系设计。工作成果：《XX公司基于全面风险管理的内控体系设计框架》《XX公司内部控制管理手册》阶段重点：确保所设计的体系能够与原有运营体制衔接，融入全面风险管理的理念，嵌入风险管理基础手段，预留风险管理接口。运行测试持续完善项目启动调研评估体系设计2023/8/778主要任务：以全面风险管理为导向进行有针对性的内控体系设计。运运行测试主要任务：体系试运行，并进行符合性测试和管理层测试，根据测试结果进一步改进。工作成果《XX公司内控体系运行测试与改进报告》《经修正后的内控运行报告》阶段重点：实现体系的全面试运行，在运行中发现偏差，并提出改进意见和改进措施。持续完善项目启动调研评估体系设计运行测试2023/8/779运行测试主要任务：体系试运行，并进行符合性测试和管理层测试，主要任务：根据经营过程中的内外部环境变化适时调整体系。工作成果：内控体系建设阶段项目成果全面移交

《xx公司内控体系与全面风险管理体系接口说明书》阶段重点：内部工作人员掌握体系持续完善的方法，实现体系自我持续完善，并根据风险管理需求安排全面风险管理体系的过渡。项目启动调研评估体系设计运行测试持续完善2023/8/780主要任务：根据经营过程中的内外部环境变化适时调整体系。项目启工作方式选择2023/8/781工作方式选择2023/7/2581企业主导项目实施

我们的工作方式以项目工作组为单位建立紧密沟通机制联合信用提供全程技术支持和实施辅导1、

2、3、2023/8/782企业主导项目实施我们的工作方式以项目工作组为单位建立紧密沟机构组织设置情况注