风险控制自我评估培训

1©2008Deloitte德勤华永会计师事务所企业风险管理服务二零一零年一月十四日中国中材国际工程股份有限公司-风险内控自我评估实施培训2©2008Deloitte本年后续工作如何进行？•－缺陷评估•－风险内控自我评估声明•－内部控制自我评估报告编制下一年风险内控自我评估工作如何进行？本次培训将帮助您解决以下问题3©2008Deloitte培训议程一风险内控自我评估的定义、目标和意义二风险内控自我评估工作的组织与责任三风险内控自我评估流程管理四风险评估标准和缺陷认定标准五有效内部控制的文档要求及准备六控制自我评估的具体实施七年度评估报告的编写与披露八与外审的工作沟通九与风险内控自我评估与绩效考核的挂钩4©2008Deloitte一、风险内控自我评估的定义、目标和意义5©2008Deloitte内部控制自我评估的背景：C-SOX2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》（以下简称基本规范）。基本规范自2009年7月1日起先在上市公司范围内施行，上市公司应当对本公司内部控制的有效性进行自我评估，披露年度自我评估报告。据此时限要求，中材国际需披露2009年度的内部控制自我评估报告。在此之前，公司需完善内控体系，建立内控自评机制，并完成内控自我评估。6©2008Deloitte风险内部控制自我评估(RiskControlSelf-Assessment,简写成RCSA)是对企业风险管理和内部控制的效力进行检查和评价的过程，其目标是为企业实现所有经营目标提供合理的保证。对于中材国际而言，风险内控自我评估是一个广义的活动集合，以达成风险可控，合规和内部控制体系建立健全及其执行持续有效的目的，主要包括如下“三项评估”工作内容：v风险控制矩阵评估——识别在达成企业战略和经营目标过程中存在的重要风险，并定期评估其风险大小；根据重要风险确定对应的控制目标；根据控制目标确定相关的关键控制活动，并定期更新；v关键控制点自我评估——各级管理层对其负责的关键控制点进行自我评估，并定期更新；v内控执行力评估——独立于管理层的部门执行内控有效性测试，以便对其内控关键点自我评估的真实性以及相关控制活动的有效性进行验证。风险内部控制自我评估的定义7©2008Deloitte内部控制自我评估的内控框架五项基本要素根据《企业内部控制基本规范》第一章第五条，内控框架包括五个控制要素，分别为：内部环境、风险评估、控制活动、信息与沟通、内部监督。其层次关系如下图所示：v内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。v风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。v控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。v信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。v内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。8©2008Deloittev任何企业的核心是企业中的人及其活动v人的活动在环境中进行，人的品性包括操守、价值观和能力等，它们既是构成环境的重要要素之一，又与环境相互影响、相互作用v环境要素是推动公司发展的引擎，也是其他一切要素的核心v内部环境包括无形和有形因素：q正直和道德标准(Tonesatthetop)q致力于竞争力的提升q企业治理和组织结构q管理哲学和运营风格q职权和职责的分配q人事政策和实务等内部环境要素8内部监督信息沟通控制活动风险评估内部环境董事会监事会经理层全体人员9©2008Deloittev以风险管理的角度实施内部控制v公司必须制定目标，该目标必须和销售、生产、行销、财务等作业相结合v为此，公司也必须设立可辨认、分析和管理相关风险的机制，以了解自身所面临的风险，并适时加以处理v不论是否进行了控制，风险始终是存在的！！v可能有什么风险？风险会有什么影响？风险发生的概率v考虑要素–设定目标–识别风险–评估风险–管理应对风险风险评估要素9内部监督信息沟通控制活动风险评估内部环境董事会监事会经理层全体人员10©2008Deloitte风险管理五步走11©2008Deloitte控制活动：是指确保管理层指令得以实现的机制，包括那些被识别能够缓和风险的活动，是实现内部控制各种目标的重点。包括：v交易的批准及授权，复核v核实v业绩评估，趋势分析v物理控制：设备及存货的限制性接触，实物资产及信息资产的安全存放等v不相容职责划分v信息系统：一般控制与应用控制控制活动要素内部监督信息沟通控制活动风险评估内部环境董事会监事会经理层全体人员12©2008Deloitte信息沟通要素v信息沟通——贯穿内控系统的生命线v要求能在整个企业内及时地识别、获取、流转、传递相关的外部和内部信息v通过正式和非正式的方式传递§口头传达（例如会议，信息反馈）§书面传达（例如政策，程序，岗位描述）§行为示范（例如管理层树立榜样）v完整的高质量的信息对于商业决策至关重要§要求内控机制可以合理保证信息是适当的，现时的，及时的，准确的和可行的v管理层的职责§传达员工的义务和职责§使企业内部的信息沟通自下而上，自上而下，以及平级流动§敞开与消费者，供应商和其他外部机构的沟通渠道内部监督信息沟通控制活动风险评估内部环境董事会监事会经理层全体人员13©2008DeloitteA.管理层的日常监督和自我评估——管理层发挥主观能动性，基于权责对等的原则，对自己所负责管辖的范围进行日常监督和定期自查；对于自查有问题的部分进行自我改进与完善。B.子公司内控部或内控职能的监督――子公司内控部或内控岗位对子公司业务及管理部门在风险内控自我评估过程中担当的工作进行适时监督。C.中材国际内控部（指中材国际北京总部和南京母公司层面的内控部，暂合称为“总部内控部”）的监督――中材国际总部内控部对于中材国际总部的业务及管理部门在风险内控自我评估中担当的工作进行适时监督，同时对其下属子公司内控部监督工作进行指导和审阅。D.内审部门的独立监督-基于一定的风险判断和审计计划，对内部控制进行“独立”的复核，并对不足提出建议。内审的独立测评内审的独立测评集中体现为内部集中体现为内部控制自我评估其中，监督是非常重要的一个组成要素，整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。内部监督要素内部监督信息沟通控制活动风险评估内部环境董事会监事会经理层全体人员14©2008Deloitte相关规定及指引内容摘要生效日期证监会：国务院批转证监会《关于提高上市公司质量意见》的通知要求：“上市公司要加强内部控制制度建设，强化内部管理，对内部控制制度的完整性、合理性及其实施的有效性进行定期检查和评估，同时要通过外部审计对公司的内部控制制度以及公司的自我评估报告进行核实评价，并披露相关信息。”2005-11-01上海证券交易所《上海证券交易所上市公司内部控制指引》的通知第三十二条公司董事会应在年度报告披露的同时，披露年度风险内控自我评估报告，并披露会计师事务所对风险内控自我评估报告的核实评价意见。2006-07-01财政部：《企业内部控制基本规范》第四十六条企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。2009-07-01内部控制自我评估的意义：合规意义（续）15©2008Deloitte相关规定及指引内容摘要生效日期国资发改革[2006]108号《中央企业全面风险管理指引》第三十八条企业各有关部门和业务单位应定期对风险管理工作进行自查和检验，及时发现缺陷并改进，其检查、检验报告应及时报送企业风险管理职能部门。第三十九条企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验，要根据本指引第三十条要求对风险管理策略进行评估，对跨部门和业务单位的风险管理解决方案进行评价，提出调整或改进建议，出具评价和建议报告，及时报送企业总经理或其委托分管风险管理工作的高级管理人员。2006-06-06内部控制自我评估的意义：合规意义（续）16©2008Deloitte•中材国际作为上交所上市公司，需要满足内部控制方面的法规要求，对内部控制的有效性进行自我评价，披露年度自我评价报告。•中材国际作为国内水泥工程及技术装备制造业标杆，面临巨大的业务发展和扩张机遇。随之而来的是战略定位及实施、海外业务履约、外汇、子公司管理等多方面的潜在重大风险，因此建立健全内控和风险管理体系已经成为了公司未来发展的必修课。•根据《中央企业全面风险管理指引》的要求，企业全面风险管理是一项十分重要的工作，关系到国有资产保值增值和企业持续、健康、稳定发展，同时进一步提高企业管理水平，增强企业竞争力，促进企业稳步发展。内部控制自我评估的意义：管理意义17©2008Deloitte二、风险内控自我评估工作的组织与责任18©2008Deloitte组织领导内控的日常运行负责内部控制的建立健全和有效实施管理层董事会负责组织协调内控的建立实施及日常工作对内控有效性进行监督检查专门或适当机构内部审计机构监督内控的有效实施和内控自我评价情况审计委员会对董事会建立实施内部控制进行监督监事会有权向董事会/审计委员会/监事会报告监督检查中发现的内控重大缺陷图2内部环境18风险内控自我评估工作的组织与责任19©2008Deloitte根据《企业内部控制评价指引》要求，中材国际风险内控自我评估工作的需由总部及相关各子公司业务及管理部门、总部及相关各子公司内控部及总部内审部参与，即形成了风险内控自我评估工作中主要的‘三道防线’：•第一道防线－总部及相关各子公司业务及管理部门：在日常工作中负有建立健全制度，按照既定规程操作和运营的责任•第二道防线－总部及相关各子公司内控部：风险的日常管理、协助业务及管理部门开展自评和监督整改、编制内控自我评估报告•第三道防线－总部及相关各子公司内审部：制定年度审计计划、进行独立评价、监督检查重大缺陷、向董事会及其审计委员会、监事会报告。总部及相关各子公司业务及管理部门第一道防线总部及相关各子公司内控部第二道防线总部及相关各子公司内审部第三道防线风险内控自我评估工作的组织与责任（续）20©2008Deloitte三、风险内控自我评估流程管理21©2008Deloitte§总部内控部确定风险及内控自我评估的范围；§中材国际内控部统筹，子公司内控部或职能部门牵头进行风险内控自我评估问卷的分配和评价工作。§中材国际内控部和各子公司内控部或内控职能部门协助各业务及管理部门对风险控制矩阵的风险、控制活动部分及流程图进行更新。§各子公司内控部或职能部门汇总公司业务及管理部门更新的情况及时汇报中材国际内控部。第一步：风险控制矩阵自我评估风险内控自我评估流程管理风险控制矩阵自我评估(内控部或职能部门)关键控制点自我评估(内控部或职能部门)内控执行力自我评估(内审部)22©2008Deloitte第二步：关键控制点自我评估§将审阅完的风险内控自我评估问卷分割/分配到各业务及管理部门；§公司各业务及管理部门流程职员对分配到的风险内控自我评估问卷逐一对控制活动的设计和运行有效性进行确认；公司内控部或职能部门适时监督工作的推进情况；§公司各业务及管理部门自行提出整改方案和整改计划；§部门负责人跟进整改执行，并向内控部汇报，内控部对整改情况进行跟踪；§由该缺陷的整改负责人对整改后的缺陷进行再次分类，同时内控部会安排人员进行监督以确保缺陷分类的合理性。风险控制矩阵自我评估(内控部或职能部门)关键控制点自我评估(内控部或职能部门)内控执行力自我评估(内审部)风险内控自我评估流程管理23©2008Deloitte第三步：内控执行力自我评估§内审部审阅风