集团企业风险管理与内部控制

集团企业风险管理与内部控制风险管理部CISA,CRISC2023/11/4目录2什么是风险？风险是一种可以识别的不确定性。这种不确定性能够对企业经济利益造成（有利或不利）影响。风险特性：风险长期存在、不总能被消除、必须与机会同时权衡库房偷盗彩票3资信制度知识产权财务流动资产与信贷资本结构市场财务报告营运法律生产程序环境市场结构民风与文化管控策略董事会活动交易并购变卖声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规企业风险矩阵4

什么是风险管理？风险管理是一套由董事会与管理层共同设立的与企业战略相关的管理流程。它的功能是识别那些影响企业运作的潜在事件并把风险降低到企业可接受的水平，从而帮助企业达至它的目标。内控研究委员会设定风险管理流程目的及目标共同语言结构决策资料订立策略

避免

利用

接受转移减低评估风险验明来源量度不断的改善管理能力设计或引进管理能力监察风险管理表现5风险地图(或风险共同语言)影响程度近乎没有轻微中等重大灾难几乎肯定极可能可能低极低BCAGIDJKHEF可能性说明:A–人力资源风险B–财务风险C–竞争风险D–开发风险E–过度自信风险F–系统故障风险G–主要客户风险H–欺诈风险I–政治风险J–薪酬奖励风险K–科技风险6风险处理策略影响程度可能性转移避免小心管理可接受大小高低BCAGIDJKHEF风险策略避免禁止交易减少或限制交易量离开市场转移套期保险策略性联盟其他分担风险的安排小心管理投资广泛保护的安排订价反映风险程度可接受自我保险预留储备增加监督7风险管理更多的控制控制

(秩序)风险/失控

(混乱)

控制会增加成本，——风险管理应当在风险和控制之间取得平衡，以实现业务目标。无风险等价=期望报酬率-风险厌恶系数*风险程度8公司层面风险是指公司因作出战略性错误的决定而导致经济上的损失公司层面风险是业务单位、高级管理层和董事会的共同责任常见的公司层面风险包括：企业的目标与方针市场潜在的威胁业务的范围(深度与广度)品牌及形象的建立公司层面风险与战略性伙伴的合作投资和融资的策略员工的素质和雇员关系企业的信息及监控系统9操作风险是指企业内部流程、人为错误或外部因素而令公司产生经济损失的风险，它包括了公司的流程风险、人为风险、系统风险、事件风险和业务风险等流程风险是指交易流程中出现错误而引致损失的风险，流程包括如：销售、定价、记录、确认、出货/提供服务等环节。流程风险也包括合规性风险人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而引致损失的风险系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的风险事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险业务风险是指因市场或竞争环境出现预期以外的变化而引致损失的风险，所涉及的问题包括市场策略、客户管理、产品开发、销售渠道和定价等领域业务层面风险10目录11风险与内部控制的关系企业以风险为导向评估并改善内部控制的基本思路：风险评估：-风险确认（识别）-

风险计量-风险排序内部控制：-评估现有内部控制的充分性-分析内部控制的改善措施并加以实施-建立持续有效的目标-风险-控制的评估过程

暴露的金额发生的可能性内部控制降低风险的大小控制内部控制定义：内部控制是由公司董事会、管理层和其他员工实施的，为实现经营的效果性和效率性、财务报告的可靠性以及适用法律、法规的遵循性等目标提供合理保证的一个过程。12COSO内部控制框架保证信息能及时有效地沟通的流程信息的决策支持信息系统开发维护灾难恢复计划信息有效沟通判定内部控制设计的充分性，执行的有效性，定期评估内控内控缺失弥补内外审计监控对内部、外部影响企业绩效的因素的评估目标设定风险识别及评估应变措施会计政策变更程序企业内部控制的道德意识，是“来自高层的声音”诚信与道德观组织结构管理理念和经营风格职责与职权的分配员工胜任能力人力资源政策和实践董事会和审计委员会确保风险管理活动被及时执行的政策和流程政策和程序经营目标合理职责分工资产与记录保护数据访问的保护13内部控制类型职责分离控制授权批准控制内部报告控制信息技术控制一些重要的内控方法14目录15全面风险管理框架（ERM）COSO为内控开发了一个全面的风险管理框架这个内控框架是唯一被世界公认为完整、全面和不偏依的内控框架构建内部控制须分三个层面：公司层面流程、交易层IT应用层面16企业风险管理框架一个基础三道防线管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会17企业风险管理结构战略管理经营管理供应投资活动资产售后服务业务管理资源管理法务管理人力资源资金生产研发活动销售信息战略风险供应风险投资风险资产风险售后风险人力风险资金风险生产风险研发风险销售风险信息风险公司治理内部控制企业风险管理法律风险目录19内部审计结构20内部审计与风险管理的关系21内部审计的角色及价值22常规的内部审计类型23内部审计人员工作模式计算机辅助审计系统信息系统监控审计26

审计书面资料方法顺查法

按经济业务发生时间由前往后查逆查法

按经济业务发生时间由后往前查详查法

全面地、细致地、彻底审查抽查法

全部检查资料的部分审查，以点代面审阅法

查看、会计、管理资料核对法

查检查资料是否记录完否、正确、真实查询法

电函、函询、人去查分析法

分析事宜、判断线索、找异常实务：检查方法—书面资料内部审计方法检查的技术方法：

审查或证实检查项目真实性、合法性及正确性的专门方法。证实客观事物方法盘存法实物盘点如：现金库、材料库、固定资产等调节法验证某项数据正确性、相互调节（公式）观察法检查人员亲临现场观察现象鉴定法通过物理、化学技术鉴定鉴别真伪实务：检查方法—其他资料内部审计方法目录29构建企业风险管理的关键成功要素1. 股东确立对企业监督的机制，考虑是否需要在集团层面：引入以董事会领导的管理体制聘任有经验的外部董事，来加强对企业的监督要求企业建立风险管理和内控系统，并对其运作及有效性作出定期的汇报2. 管理高层的支持和参与确立方向和目标，营造必要的环境为平衡风险与回报作出战略性的决定3. 建立风险管理文化风险管理的手段，必须融入日常的管理流程通过讨论和培训，使风险管理的实施得到“全民”的支持通过经验的分享，不断加强风险管理的认同性4. 采用先进的风险管理实施方法借鉴如美国所提出的COSO内控框架采用各种识别和度量风险的先进的方法采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务，构建信息管理系统和预警系统30集团公司内控手册

上册－公司层面控制中册－IT一般控制下册－业务流程层面控制总部及分公司的实施细则配套的权限列表其他内控制度、办法

上述内控制度体系用以指导日常工作，同时也是开展内控自我评估，内控独立评估和外部审计师内控审计的依据。如何建立一套有效的内控体系31方面考虑的因素高管层的诚信、道德和行为控制意识和经营风格胜任能力和承担董事会或审计委员会的监管组织结构、权限和责任人力资源政策和程序风险评估流程对重要事件的预测、识别和反应机制识别会计准则差异、业务操作和内部控制变化的程序提供完整的业绩报告与业务策略相联系持续开发、测试和监控计算机系统和程序计算机业务持续性系统和应急计划便于职员履行职责而建立的沟通渠道有必要的政策和程序有明确的财务目标，并对其主动监控合理的职责分离预算与实际情况的定期比较对文件、记录和财产的适当保管对内部控制的定期评估实施改进建议建立内部审计职能以实施监控控制环境风险评估信息和沟通控制活动监控公司层面的评估管理层关于内部控制的报告有待改进的地方，并建立一个监控体系在流程、交易和应用层面，理解和评估内部控制在全公司层面评估内部控制组织项目小组实施评估工作理解内部控制的定义如何建立一套有效的内控体系32流程、交易及IT应用层面的评估评估和监控控制的有效性评价控制是否合乎当初设计的有效识别和记录影响每一财务报表科目的关键业务和固有风险在主要流程层面记录对关键业务风险的理解和他们怎样影响财务报表科目记录对每一财务报表科目固有风险的评价识别重要科目考虑下列因素：潜在的重大差错规模和组成对于人为操纵和损失的敏感性较多的交易数量交易的复杂性决定科目余额的主观性科目的性质识别和理解重要流程包括对于能够影响重要科目(或科目组合)的主要交易类别，识别和理解其流程及相关会计核算活动会计核算活动也包括制定和记录关键会计估计或在期末完成财务报表结算的流程识别和减低风险的控制识别和考虑针对每一重要流程解决其“可能出错”的问题的控制措施这些控制能够为防止发生重要的错误或能发现并更正错误提供合理保证控制可能并不显而易见，可能是