企业风险管理与内部控制理论与实务.ppt

1、企业风险管理与内部控制理论与实务 2016年07月 .,不会,87.73%,会,95.05%,您认为风险管理与内部控制失效导致的管理混乱可能会发生在贵公司吗？,您认为风险管理与内部控制失效导致的管理混乱可能会发生在其他公司吗？,2012年证监会和中国风险管理与内部控制协会开展了一次针对上市公司风险与内控意识的调查，对主板上市、证券公司等1250家企业进行了问卷统计调查，调查结果显示：,对待风险控制的态度：风险内控意识调查,对待风险控制的态度：华人世界首富的风险观,我会不停研究每个项目要面对可能发生的坏情况下出现的问题，所以往往花90%考虑失败。就是因为这样，这么多年来,李嘉诚雄踞华人首富十六年

2、（截止2013年），屹立不倒的秘诀在于：,2007年全球商业和商业周刊采访李嘉诚的访谈实录,对待风险控制的态度：海恩法则,严重问题；应急、追责、 整改,出现问题；调查、整改、 报告,预警警报；监控、检查、 报告,没有损失；设计、执行、 评价、改进,华丽且自信满满,仅仅关注有限领域,并不具备足够的风险承受能力,并不能时时专心,对待风险控制的态度：我们可能,我们遇到的问题？,?,?,?,?,?,?,?,?,?,?,?,什么是风险控制?,为什么要风险控制?,如何开展风险控制?,目 录,1,什么是风险管理与内部控制,2,为什么要开展风险管理与内部控制,3,如何开展风险管理与内部控制,第一部分 什么是风

3、险管理与内部控制,目 录,什么是风险,定义：R = f（ O， U，E），O目标；U不确定性；E影响,风险：“不确定性对目标的影响” 引自 ISO 指南 73：2009 风险管理术语,为什么会存在风险？不确定性： 不知道会不会发生？什么时候发生？发生的可能性有多大？发生的后果是什么？后果产生的影响有多大？ 不确定性既受制于外在的客观性（客观不确定性）； 在企业管理实践的实践规范里面，更重要的是受制于人的态度、能力和经验（主观不确定性） 风险控制的根本目的是着眼于：改变人的意识，提升应对能力和积累判断经验！,什么是控制,控制是根据组织的计划和事先规定的标准，监督检查各项活动及其结果，并根据偏差或

4、调整行动或调整计划，使计划和实际相吻合，保证目标实现的行为。 风险管理术语,“风险管理是一种程序，由企业的董事会、管理层和其他成员共同使其生效，用以对以下目标的实现提供合理的保证：,(b) 适用法律法规的合规性,(a) 财务报告的可靠性,(c) 经营活动的效率和效果,(d) 战略目标的实现。”,COSO对风险管理的定义：,什么是风险管理,“一套由董事会、管理层及其它相关人员共同实施的程序，以合理确保下列各项的目标得以实现：,(b) 适用法律法规的合规性,(a) 财务报告的可靠性,(c) 经营活动的效率和效果。”,COSO对内部控制的定义：,什么是内部控制,COSO模型的发展,COSO内部控制模

5、型,COSO风险管理模型,中央企业全面风险管理指引,COSO全面风险管理框架,风险管理三道防线,企业内部控制基本规范,第一章 总则 第二章 内部环境 第三章 风险评估 第四章 控制活动 第五章 信息与沟通 第六章 内部监督 第七章 附则,监控,信息和沟通,控制活动,风险评估,控制环境,营运,财务报告,合规性,业,务,单,位,A,业,务,单,位,B,活,动,2,活,动,1,内部环境,经营,报告,风险评估,控制措施,信息与沟通,监督检查,合规,企业战略,资产安全,COSO 内部控制模型,企业内部控制基本规范,企业内部控制基本规范,有效的控制风险实现目标,目标,风险,控制,风险管控不是消灭风险，而是

6、把风险控制在合理的范畴，让目标的偏差能够接受。,目标决定了我们该管控哪些风险目标的多样性、分层性和联动性，决定了风险管控需要系统化实施： 中长期战略目标/产业战略目标/职能战略目标/年度经营目标/项目经营目标；,理解目标、风险、控制,如果你有小孩，为了保护孩子安全，你需要控制什么风险？你有哪些控制措施？,婴幼儿安全,三聚氰胺,甲醛,PM2.5,劣质玩具,人贩子,幼儿园行凶,幼师虐童,危险车辆,当前社会，关于婴幼儿安全的不确定性因素越来越多，发生的可能性越来越高： 食品安全风险-香港限奶令 家居安全风险-环保油漆和家居 自然环境风险-口罩热销 产品质量风险-玩具出口转内销 社会治安风险-儿童定位

7、手表 交通环境风险-安全座椅热卖,第二部分 为什么要开展风险管理与内部控制,目 录,您是否听到过这样的声音？,制度么，就是用来看看的，嘻嘻 说归说，但是我们一般都不那样做，太费事了 那个制度阿，我不知道有没有人看，反正别人现在怎么做我就怎么做 从来没看到过别的部门的制度，我们部门的也有吧，好几年了 我们制度很多，很厚几本呢，但是太散乱，我也懒得去看 哎，这个事情说不好，我也不知道其他部门的事情 这个事情不是我们做的，但是，我也不知道其他部门是不是做了 这个事情为什么是我来做啊（分工不太合理） 这个事情啊，不是我不想做，但是也没有人告诉我怎么做啊 我也不知道为什么要这么做，但是人家都这样做 我知

8、道这样做有风险，但是公司也没有说不让我这么做，我也不知道怎么做更好 什么是内控呀，我们没有什么标准，反正一直就是这么做，都几十年了 这个就是经验 这个不用说的，我们都知道,以下这些事情在您的企业中可能发生吗？,A.有人偷偷地溜到公司的计算机库房，把公司所有数据储存都毁了！ B.市场竞争激烈，我们渐渐失去了资源的垄断优势。 C.有人可能在挪用公司的资金，但也没人发现，没人管！ D.公司的规章制度看上去挺多的，但实际比较混乱，大家平时工作基本不参照。 E.公司大锅饭的氛围还是挺浓厚的，工作没啥积极性。 F.公司想进军新的领域了，虽然不太懂这个新的行业，但大家都觉得前景很好！ G.公司存货的管理比较

9、混乱，东西多一件少一件，根本没人知道。 H.公司领导天天审批，天天开会讨论经营事项，身陷繁杂的具体事务。 I.公司部门中的岗位只是为了区别工资待遇，和工作内容没啥关系，领导让你干嘛就干嘛 J.,为什么要开展风险管理与内部控制,大势所趋，保护领导,风险管控进入中共中央最高层公报,中共中央十八届四中全会通过关于全面推进依法治国若干重大问题的决定 把公众参与、专家论证、风险评估、合法性审查、集体讨论决定确定为重大行政决策法定程序，确保决策制度科学、程序正当、过程公开、责任明确。建立行政机关内部重大决策合法性审查机制，未经合法性审查或经审查不合法的，不得提交讨论。 加强对政府内部权力的制约，是强化对行

10、政权力制约的重点。对财政资金分配使用、国有资产监管、政府投资、政府采购、公共资源转让、公共工程建设等权力集中的部门和岗位实行分事行权、分岗设权、分级授权，定期轮岗，强化内部流程控制，防止权力滥用。完善政府内部层级监督和专门监督，改进上级机关对下级机关的监督，建立常态化监督制度。完善纠错问责机制，健全责令公开道歉、停职检查、引咎辞职、责令辞职、罢免等问责方式和程序。,风险管控成为国有企业领导履职的法定责任,2014年1月份，由审计署、中纪委、国资委、中组部、人社部等七部委召开经济责任审计联席会议，提出2014年开始的经济责任审计实施细则指导意见。涉及到国有企业领导人相关会议精神：要严肃揭露和查处

11、国有企业领导人重大的违法违规案件线索，重大的决策失当，重大的失职渎职行为，重大的损失浪费，重大的管理漏洞。 2014年7月，七部委颁布党政主要领导干部和国有企业领导人员经济责任审计规定实施细则第十六条国有企业领导人员经济责任审计的主要内容： （九）企业法人治理结构的健全和运转情况，以及财务管理、业务管理、风险管理、内部审计等内部管理制度的制定和执行情况，厉行节约反对浪费和职务消费等情况，对所属单位的监管情况；,风险管控失效成为国有企业责任追究的重要因素,2008年国务院国资委20号令中央企业资产损失责任追究暂行办法： 第二十五条除第十六条至第二十四条以外，因企业内部控制存在重大缺陷或者内部控制

12、执行不力等其他情形造成资产损失的，应当追究相关责任人的责任。 第二十七条企业因未建立内控管理制度或者内控管理制度存在重大缺陷，造成企业重大或者特别重大资产损失的，除按照本办法对其他相关责任人进行责任认定外，企业分管负责人和企业主要负责人应当分别承担分管领导责任和重要领导责任。 第三十七条对调离工作岗位或者已离退休的资产损失相关责任人，应当按照本办法相关规定给予经济处罚、行政处分和禁入限制。给予经济处罚的，若离职后薪金尚未发放完毕，应当扣发相应的薪金；对继续在中央企业担任职务的，应当在其以后年度薪金中予以扣发；对调离中央企业的，应当向其工作单位提出处罚建议。 第三十八条建立董事会制度的企业（含董

13、事会试点企业），董事未履行或者未正确履行职责给企业造成资产损失的，除依法承担赔偿责任以外，国资委应当依照本办法及公司法规定的有关程序对其选任的董事进行处罚。,为什么要开展风险管理与内部控制,监管要求，保障合规,国际化监管政策,国会1977FCPA AICPA1980SAS No.30/60 COSO1992ICIF AICPA1993 GAAS No.2/3 AICPA1995 SAS No.78 国会2002SOX COSO2004ERMIF COSO2006ICFR-GSPC PCAOB 2007ASNo.5 PCAOB 2009ASNo.7 COSO2009GMICS IMA2010IC

14、ERMFR COSO2013ICIF,风险管控规范,金融商品交易法 内部控制评价与审计准则,企业管治常规守则 2014年修订,公司治理联合准则 风险管控框架报告,公司监管守则,COCO风险管控框架,澳大利亚新西兰风险管控标准（AS/NZS 4360）,金融安全法,2009 ISO 31000 2009 ISO guide73 2009 ISO 31010 2013 ISO 31004 201x ISO 31020,国内监管政策,直接对风险管理/内部控制提出明确要求的单位包括：中共中央、中纪委、中组部、全国人大、财政部、交通部、原电力部、原煤炭部、证监会、保监会、银监会、审计署、中国人民银行、国

15、务院国资委、国家税务总局、住建部、卫计委、安监总局、环保部、民航总局、国家标准委、中注协、上交所、深交所等超过150个法律法规、部门规章及规范文件等。近5年出台了60个文件！,直接监管文件：管“头”对下一年风险状况进行评估,国资委办公厅关于2015年中央企业开展全面风险管理工作有关事项的通知 明晰风险管理政策，提升风险研判能力 健全风险评估机制，服务重大事项决策 构筑风险信息平台，完善监控预警机制 融入日常经营管理，提高风险防控能力,直接监管文件：管“尾”对上一年风险控制进行评价,财政部、证监会公开发行证券的公司信息披露编报规则第21号年度内部控制评价报告的一般规定 本规则是对年度内部控制评价

16、报告披露的最低要求。 应当说明董事会、监事会及董事、监事、高级管理人员对内部控制及年度内部控制评价报告的相关责任。 评价结论应当分别披露对财务报告内部控制有效性的评价结论，以及是否发现非财务报告内部控制重大缺陷。 评价工作情况应当披露内部控制评价范围、内部控制评价工作依据及内部控制缺陷认定标准，以及内部控制缺陷认定及整改情况。 评价范围应当从纳入评价范围的主要单位、业务和事项以及高风险领域三个方面进行披露。 评价工作依据及缺陷认定标准应当披露公司开展内部控制评价工作的具体依据以及进行缺陷认定的具体标准及其变化情况。 缺陷认定及整改情况应当区分财务报告内部控制和非财务报告内部控制，分别披露报告期

17、内部控制重大缺陷和重要缺陷的认定结果及缺陷的性质、影响、整改情况、整改计划等内容。,中国证监会对上市公司的要求:管“进门”,2015年4月，中国证监会对中国核能电力股份有限公司IPO申请材料进行审核，并反馈了16项问题。这些问题，绝大部分和内部控制直接相关。其中财务管理部分直接要求第三方出具内部控制专项审核报告： 独立规范：关联交易、信息披露、财务人员独立性（股份总部） 市场营销：产品定价、市场竞争（股份总部+子公司） 财务管理：成本控制、费用管理、资金管理、税收管理、存货管理（股份总部+子公司） 风险评估：重大风险不清晰、过于泛化（股份总部+子公司） 资产管理：金融资产、专利技术、土地获得（

18、股份总部+子公司） 人力资源：高管任职、薪酬管理（股份总部+子公司） 法律管理：证照管理（股份总部+子公司）,为什么要开展风险管理与内部控制,经营所需，创造价值,风险管控对企业经营的价值：活得更久,自然界生存下来的，既不是四肢最强壮的，也不是头脑最聪明的，而是有能力适应变化的物种。 达尔文物种起源,风险管控对企业经营的价值：活得明白,Only when the tide goes out do you discover whos been swimming naked. Warren Edward Buffett 只有当潮水退去的时候，你才知道谁在裸泳。 沃伦巴菲特,第三部分 如何开展风险管理

19、与内部控制,目 录,风险管理与内部控制工作核心,1,2,3,4,5,风险管控就是做减法,工作实施路径,风险管理与内部控制工作路径,结合风险管控工作的内在规律和长期的内控建设经验，风险管控体系建设工作以建立风控长效机制为目标，构建风控闭环工作流程，具体包括管理现状诊断、风险控制优化、管理程序固化、内控体系信息化四方面，并以实现管理制度化、制度流程化、流程信息化作为风险管理体系建设的中长目标。,风险识别与评估,目标风险识别,制度流程优化,控制评价,控制矩阵设计,目标分解与跟踪,缺陷整改,风险管控策略,重点控制查询监控,体系更新,企业战略目标,市场环境,内部需求,控制执行监控,重要控制 监督检查,缺

20、陷管理 绩效考核,评价机制设计,抽样测试,穿行测试,风险控制的长效运行机制,风险控制评价监督机制,风险控制职能部门履行职责,风险管理与内部控制工作思路,风险管理与内部控制工作程序,内部控制评价 监督与改进,构建体系框架 设计及组织建设 （明确风险管控功能的相关责任 主体机构、 价值定位）,风险应对与 内控梳理 （重大及重要 风险应对，梳理风 险管理程序）,风险监控预警 （重大及重要风险 关键预警指标）,风险管理与内部控制文化培养与信息系统支持,风险识别与评估 （风险识别、 风险分析、 风险评价）,目标设定,闭环运行，持续运行、监督改善！,风控实施程序,构建组织架构,风险识别与评估,风险应对与内

21、控梳理,风险监控预警,内控监督评价,构建合理的风控组织架构,构建合理的风控组织架构其中，风险管控“三道防线”的内涵为：,所有业务部门和职能部门,第一道防线：识别、评估和上报风险，设计并实施内控措施，保存控制执行证据，开展控制自我评价,风控管理职能部门,内部监督职能部门,第二道防线：统筹组织、协调规划、技术支持、监控评价,第三道防线：实施内控独立监督评价，促进内控体系的不断优化和完善,建设期,运行期,优化期,明确职责后，需要建立起纵向到底和横向到边的立体网状的风险管控组织机构。,分管风控总经理,风控主责部门,职能部门,风控管理岗,业务岗1,业务岗2,业务岗3,风控合规岗,分公司总经理办公会,业务

22、岗1,业务岗2,业务岗3,董事会,审计委员会,分管风控总经理,风控管理部门,XX事业部/中心,职能部门,风控体系处,合规处,风控评价处,整改处,业务一处,业务二处,业务三处,风控合规处,业务岗1,业务岗2,业务岗3,风控合规岗,监事会,专门委员会,总经理办公会,审计部,建立纵向到底（分支机构和并表单位） 风险管理组织机构,建立横向到边（业务条线和部门） 风险管理组织机构,内控相关职能的整合与归并,内控机构设置是刚性的 内控岗位人员可以专职和兼职并举 派驻式和内设式,构建合理的风控组织架构,风险管理与内部控制制度体系,构建风控组织架构,风险管理与内部控制工作程序,构建组织架构,风险识别与评估,风

23、险应对与内控梳理,风险监控预警,内控监督评价,风险识别,风险分析,风险评价,查找企业各业务单元、各项重要经营活动及其重要业务流程中是否有风险，有哪些风险。,对辨识出的风险及其特征进行分析和描述风险发生可能性的高低、评估风险发生后对企业实现目标的影响程度。,评估风险的价值，确定风险等级，明确风险管理重点。,风险识别与评估,风险信息收集：内部风险,* 注释：摘自企业内部控制基本规范,风险识别,风险信息收集：外部风险,* 注释：摘自企业内部控制基本规范,风险识别,以公司主要业务板块的战略目标和经营目标为基础，构建公司风险数据库，建立规范统一的风险语言，为开展风险评估和应对提供基础。,风险框架需至 上

24、而下，统一 设计,风险相关概念 需明确，使用 规范,风险命名、分 类规则明确,风险数据库维 护职责机制明 确,示例,风险识别,战略风险,市场风险,财务风险,运营风险,法律风险,明确风险分类原则、命名规则编制风险数据库为，风险评估工作的基础。,风险识别,进行风险分析与评价，应将定性与定量方法相结合，详见后表,风险分析与评价标准,对企业面临的风险进行有效识别后，应对各种风险发生的可能性及其对公司运营造成威胁的大小进行分析和评价，对风险进行排序，形成风险分析结果，为风险控制决策提供科学依据。,风险分析与评价,根据风险的性质，通常运用说明性标准进行评分,适用于可以通过历史数据计算出风险发生概率的风险,

25、针对大型灾害/事件类的潜在风险,针对日常运营中可能发生的潜在风险,风险发生可能性 评价标准（标准应当差异化、本地化）,风险分析与评价,风险影响程度 评价标准（标准应当差异化、本地化）,风险分析与评价,根据风险发生的可能性和影响程度的标准，从定量和定性两个角度对企业各类风险进行分析排序:,风险分析与评价,开展德尔菲调研，运用离散度分析，进行多轮次打分，防止打分过程中的“噪音”。,风险分析与评价,Risk=可能性*影响程度,影响程度,极低,低,中等,高,极高,极高,高,中等,低,极低,1,8,10,7,3,4,6,2,11,5,9,可能性,根据最终确定风险等级及排序绘制风险坐标图，了解风险分布情况

26、。,风险分析与评价,基于企业价值实现过程明确重大、重要风险分布，以便风险应对：,并购整合风险,产业结构风险,招商引资运作风险,投资风险,安全质量管理风险,项目合作开发风险,应收账款风险,人力资源风险,风险分析与评价,识别重大风险，拟定风险应对方案,确定风险责任人，明确重大风险管理责任，为重大风险的管理找到“落脚点”,示 例,清晰定义各项风险管理策略，为建立重大风险管理体系搭建良好的基础,示 例,成果展示,风险分析与评价,风险管理与内部控制工作程序,构建组织架构,风险识别与评估,风险应对与内控梳理,风险监控预警,内控监督评价,风险应对与内控梳理,风险应对策略的制定是指企业根据自身条件和外部环境，

27、围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险控制等适合的风险管控工具的总体策略，并确定风险管控所需人力和财力资源的配置方法的过程。,风险应对策略制定, ：设计或重新设计风险控制, ：积极降低并利用风险,：动态跟踪随时应变,兵法版风险应对策略： 第象限，以风险承担为主，兵来将挡水来土掩； 第象限，以风险转移为主，调虎离山围魏救赵避实击虚； 第象限，以风险控制为主，擒贼擒王釜底抽薪不战屈人； 第象限，以风险规避为主，隔岸观火走为上计；,事 中,事 后,流程 表单 系统,检查 审计 奖惩,风险应对与内控梳理,成果展示-基于价值链的内控流程体系

28、框架,内控管理框架,依据风险分布情况，结合业务现状、现有制度，对企业业务流程进行分类和梳理，绘制出各业务流程的流程图，以特有的原素符号展现业务逻辑及控制点，将风险关联到责任部门岗位及重要文档输出。,举 例,内控流程梳理,流程架构层级分类原则,价值链分解细化 从管控层面面到操作层面,可行性研究 与审批流程,项目组织 与计划流程,组织实施与 过程管理流程,总结与验收流程,成果管理流程,成本风险,进度风险,人力资源风险,内部协调风险,课题时效性风险,性能缺陷风险,资产风险,保密风险,可研风险,技术可行性风险,经济可行性风险,资金风险,资源配置风险,目标风险,项目组织风险,程序风险,标准风险,舞弊风险

29、,误报风险,知识管理风险,成果转化风险,保密风险,资产风险,时效风险,政策波动风险,廉洁风险,专业技能风险,课题优先级风险,风险与流程匹配示例,示 例,风险与业务流程匹配,成本风险,风险与业务流程匹配,风险管理与内部控制工作程序,构建组织架构,风险识别与评估,风险应对与内控梳理,风险监控预警,内控监督评价,风险监控预警,确定监控预警方式,风险预警有定性和定量两种方式。定性方式预警主要是按照既定的频率对风险进行定性评估，通过评估对风险进行监控。定量方式预警主要是按照既定的频率对风险对应的预警指标进行监控，根据预警指标状况对风险进行监控。两种预警方式的预警思路如下所示：,指标体系设计,属性,阈值,

30、确定监控方式 制定应对预案 建立应对机制,风险预警指标运行系统,管理制度 信息化 管理流程,设计监控预警指标,关键风险指标识别,关键风险指标度量值测算,单一风险预警方案设计,风险预警机制设计,风险偏好范围,平衡点,一级预警点,二级预警点,时间,设计监控预警指标,举 例,设计监控预警指标,确定监控预警阀值,原 则,企业风险偏好,依据,行业值、企业绩效评价标准值,根据风险预警指标体系建设要求，预警指标选取重点考虑在不确定的条件下生存与发展的实际情况，在考虑生存的同时，重点考虑公司的发展问题，发展类预警指标阈值区间设定主要防消极和防冲动。,较低值,平均值,超过优秀值的10%,超过优秀值的20%,消极

31、红 灯预警,消极黄 灯预警,冲动红 灯预警,冲动黄 灯预警,稳 健,较低值,平均值,较差值,良好值,优秀值,比较分析法,历史数据法,专家征询法,预警区间依据业务个性化设置,确定监控预警阀值,确定监控预警阀值,1、亮灯预警,2、趋势预警,绿灯状态的指标，波幅 异常的亮黄灯,绿色箭头表示较上期好转,黄色箭头表示与上期没变,3、程度预警,4、波动预警,风险监控预警处置,物资供应部,党群工作部,燃料管理部,人力资源部,预警,处理,监控,基础数据,计划经营部,审计部,财务部,预警中心,燃料卸运部,设备管理部,发电部,检修维护部,脱硫部,厂办公室,安全环保部,数据收集与上报,预警监控与反馈,依靠各部门数据

32、收集与上报，完成预警系统的运行，通过监控结果的反馈与处理，达到风险日常监控与管理的目的。,风险监控预警处置,“企业应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督，采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对内部控制的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。”,风险管控程序,构建组织架构,风险识别与评估,风险应对与内控梳理,风险监控预警,内控监督评价,内部控制监督评价,评价的重点,监督的对象,1.风险管理初始信息,2.风险评估,3.风险管理策略,4.关键控制活动

33、,5.风险管理解决方案,1. 重大风险,2. 重大事项和重大决策,3. 重要管理及业务流程,风险管理活动是否有效,结论,改进,即管理层和董事会是否能在以下四个方面得到合理保证： 了解企业战略目标实现的程度 了解企业经营目标实现的程度 企业财务报告的可靠性 企业对相关法律法规的遵守,内部控制监督评价,针对重大、重要风险控制点编制测试底稿，根据明确的测试方法、测试要点定期开展控制设计与执行有效性评价。,主表,填制说明,副表,举 例,内部控制监督评价,整理管理建议组织整改优化：,针对识别的每项风控缺陷，进行具体分析，编制管理建议报告，主要内容包括：缺陷概述、涉及的业务流程、对应的风险、问题的具体阐述

34、、影响结果和整改建议、计划完成时间等。,缺陷概述 涉及流程 对应风险 现状阐述,影响结果,整改建议,计划完成时间,内部控制监督评价,风险管理与内部控制体系工作程序,企业风险管理与内部控制体系讲求的是闭环、系统。,风险管理与内部控制体系现状,“基于企业发展周期的企业风险管控模式”：没有好或者不好的体系，只有合适或不合适的体系。,安永咨询服务介绍,9,安永是全球领先的专业服务机构,安永全球,安永中国,安永是全球四大专业服务机构之一，拥有超过212,000名专业人士,安永通过全球150余个国家的办事处为客户提供专业的审计、税务、咨询、交易并购等全方位服务,安永2015财年营收287亿美元,安永目前在

35、大中华区有1.6万名员工,安永大中华区域一共设立了24家办事处,其中包括1200名咨询顾问，并成立了专门的风险控制服务部,2015财年亚太地区咨询业项目收入高达3.1亿美元，同比增长11.3%,连续多年全球最具吸引力公司排名前三甲,2015财年营业收入比2014财年增长11.6%,2015财年新入职员工高达23，000名人员,安永在大中华区的人才力量,安永在大中华区提供专业服务的历史已有45年，目前员工数达16,000名，共设立了24家办事处，分别位于上海、北京、香港、广州、深圳、大连、武汉、成都、澳门、苏州、南京、天津、青岛、杭州、厦门、沈阳、长沙、西安、台北、中坜、新竹、台中、台南和高雄。

36、 安永咨询服务团队是在国内最早开展企业咨询服务的专业咨询机构之一，目前共有专业服务顾问约1200名。分布在北京、上海、香港、南京、广州、深圳、大连、武汉、成都、苏州、青岛、杭州、天津、沈阳、厦门、西安、澳门、台湾18个城市和地区。 从专业资格来看，大批的专业顾问取得了国际内部审计师（CIA）、中国注册会计师（CICPA）、美国注册会计师（AICPA）、香港注册会计师（HKICPA）、加拿大注册会计师（CGA）、英国注册会计师（ACCA/FCCA、ICAS、ICAEW）或澳洲注册会计师（CPAA）等资格证书。 从执业经验来看，约三分之一顾问具有5年以上的专业服务经验， 其中具有8年以上专业服务经

37、验约占百分之十三。,风险管理与内部控制咨询的领导者,安永是全球专业服务机构中提供内部控制及风险管理服务的领导者之一，风险管理咨询业务的市场份额在四大会计师事务所中居前列。近年来，我们投资超过五亿美元以用于全球企业风险管理服务的持续发展。现在，我们全球已拥有了8,000多位风险管理服务专业人员服务于各个国家，是全球最大的风险服务咨询公司。,领先的风险管理咨询服务,风险管理业务市场份额,55%,45%,资料来源: 商业周刊杂志,注：Forrester,IDC,Gartner 等均为全球知名独立市场及工具调研机构。,安永近年来荣获了以下殊荣,安永近年所获部分奖项,财富“100家工作环境最佳的公司”之

38、一(1999至2013年) 美国培训 (Training) 杂志“十大学习型企业”(2002至2012年) 最受推崇的知识型机构奖(1998至2012年) Asia Risk (亚洲风险)“最佳咨询机构”(2012年) 最佳职场研究所 (Great Place to Work Institute)“大中华区最佳职场” (2012年) CFO Innovation Asia Magazine“亚太区年度税务咨询机构” (2012年) 企业内部控制知识竞赛优秀组织奖、个人奖（2013年） 中国标准创新贡献一等奖-XBRL(2013年） 金融时报及并购市场资讯公司(Mergermarket)“年度最佳会计师事务所”奖(2010年) 中国2010年上海世界博览会荣誉纪念证书(2010年) 信息周刊全球500家创新信息科技应用公司之一(2000至2009年) 翰威特中国十大最佳雇主(2009年),2015年财富全球10大“最受景仰企业”中，我们为其中6家企业的审计师:,安永管理咨询服务影响力,安永参与支持的国家