业务层面风险分析与..(王志成)

业务层面风险分析与控制设计业务层面风险分析与控制设计设计设计华北电力大学经济与管理学院王志成博士1366102156613661021566@139.com教师简介王志成，管理学（会计）博士，北京国家会计学院特聘教授，中国注册会计师，华北电力大学经济与管理学院会计教研室主任，中国注册会计师，华北电力大学经济与管理学院会计教研室主任，硕士生导师。曾任一家国际四大会计师事务所企业风险管理服务部经理。长期在北京国家会计学院、厦门国家会计学院、北京大学产业文化研究中心、清华大学职业经理训练中心、中国人民大学继续教育学院、北京交通大学EMBA教育中心、财政部财政科学研究教育学院、北京交通大学EMBA教育中心、财政部财政科学研究所从事企业风险管理与内部控制、预算管理、会计准则等方面的培训。曾经为70余家央企开设过培训课程。具有10余年的管理咨询工作经验，主要的咨询领域包括内部控制、全面预算管理、会计核算、工程财务等；主要的客户包括中国电信集团公司、中国移动通信集团公司、中国铝业股份有限公国电信集团公司、中国移动通信集团公司、中国铝业股份有限公司、中国通信建设总公司、中粮集团公司、国华电力公司等。2008年到2009年，作为财政部内部控制研究课题《企业内部第1页Logo008年到009年，作为财政部内部控制研究课题《企业内部控制实施指引——对子公司的控制》课题组组长，参与了企业内部控制实施指引的起草工作。今日主题今日主题132内部控制规范的出台内部控制制度体系的内部控制制度体系的内部控制规范的出台背景？1.1内部控制为什么会受重视内部控制制度体系的建立2.1控制环境描述内部控制制度体系的执行3.1控制制度细化会受到重视？1.2什么是内部控制？1.3什么是风险管2.2控制流程描述2.3设定目标24事项识别3.2制度的动态修正3.3制度考核1.3什么是风险管理1.4内部控制与风险管理2.4事项识别2.5风险评估2.6风险应对3.3制度考核管理1.5企业内部控制部的定位16内部控制的原则2.7控制评价2.8控制优化第2页Logo1.6内部控制的原则1.1内部控制为什么会受到如此关注企业内部控制基本规范中央企业全面风险管理指引在美上市央企执行美国法律企业失败的案例修改为全面风险管理框架2001年会计监管理美国出台强调2001年开始的会计丑闻会计监管理念由重结果转为结果过程并重美国出台sox法案，要求在美上市公司执行强调COSO内部控制的权威性第3页Logo1.2什么是内部控制？是什么？内部控制，是2011年开始境是什么？由企业董事会、监事会、经理层和全体员工实施内外同时上市的公司执行。内部控制和全体员工实施的、旨在实现控制目标的过程。2012年国内上市公司执行。要求会计师事务所进行审计。做什么？第4页Logo附：财政部、证监会、审计署、银监会、保监会发布的内部控制要求2008年6月28日五部委联合发布《企业内部控制基本规2008年6月28日五部委联合发布《企业内部控制基本规范》。原要求自2009年7月1日起在上市公司范围内实施。2010年4月26日，发布企业内部控制规范配套指引。要求2011年开始在境内外同时上市的公司施行，自2012在主板上市公司施行，鼓励非上市大中型企业提前施行。•企业内部控制应用指引（18项）企业内部控制应用指引（18项）•企业内部控制评价指引（1项）•企业内部控制审计指引（1项）第5页Logo企业内部控制审计指引（1项）1.3什么是风险管理？是什么做什么是什么•指企业围绕总体经营目标，通过在企业管理的各个环节做什么•在自愿申报的基础上，编报风险管理自我评价报告通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风风险管理自我评价报告。险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。第6页Logo附：中央企业全面风险管理指引2006年6月6日，印发《中央企业全面风险管理指引》，共有十章，七十条，全面启动国有企业风险管理。第章总则•第一章总则•第二章风险管理初始信息•第三章风险评估•第四章风险管理策略•第五章风险管理解决方案•第六章风险管理的监督与改进•第六章风险管理的监督与改进•第七章风险管理组织体系•第八章风险管理信息系统•第九章风险管理文化•第十章附则第7页Logo1.4内部控制与风险管理还关注由于外部还关注由于外部环境所造成的风险。险。内部控制：以流程为基础更加程为基础，更加关注企业内部流程执行中的风险。第8页Logo附：内部控制的整体框架COSO信息与沟通持续监控控制活动风险评估控制环境COSO建立公司层面的目标和风险评估过程制定识别，传达会计制定必要的政策和程序使该政策和程序所包含的控制在实践中得以贯彻实施信息系统为管理层决策提供支持开放并改善信息系统以定期评估内部控制及人员实施内部控制管理意见及时改进缺陷管理层的正直，道德价值观和行为管理层的控制意识和准则变化（GAAP)及内部控制或其运行环境变化的程序参股公司层面目标建立具体的活动目标管理层制定清晰明确的财务及经营目标并进行差异分析和追踪合理分配工作职责以开放并改善信息系统以适应公司的战略目标管理层提供保证并监控在信息系统开发和测试中的人力和财务资源的参与度见，及时改进缺陷，适当回应监管部门的报告及建议管理层利用内部审计协助进行监控运作类型管理层对员工能力的承诺董事会和审计委员会立具体的活动目标合理分配工作职责以降低舞弊风险保护文档，记录及实物资产的安全参与度管理层对所有主要数据中心建立业务持续计划/灾难恢复计划管理层对员工的责任和内控中的个别（专项）评价流程汇报内控缺陷流程董事会和审计委员会的监督组织架构已经权责的分配授权的界面应该清晰确保信息系统安全，对信息系统安全政策及程序的合规性进行监控管理层对员工的责任和职责进行有效沟通并建立针对潜在问题的沟通渠道来自外部的信息在公司内部及时有效的进行沟人力资源政策和实践第9页Logo内部及时有效的进行沟通，使管理层能够采取及时适合的行动附：企业风险管理八大要素内部环境内部环境对策对策风险管理理念、风险文化、董事会胜任能力评估、管理方法与经营模式风险偏好风险对策风险对策确认风险对策-评估风险对策-选择对策方案-风险组合观目标制定目标制定战略目标-其他相关目标-选择目控制活动控制活动与风险对策相结合控制活动类标-风险偏好-风险容忍度事件识别事件识别与风险对策相结合-控制活动类型-一般控制-应用控制-特定主体信息与沟通信息与沟通事件-影响战略及目标的因素-方法和技术-事件相互依存性-事件类别-风险和机遇信息与沟通信息与沟通信息-战略和整合系统-沟通风险评估风险评估固有风险-残存风险-可能性和影响-方法和技术-相关性监控监控个别评估-持续评估第10页Logo响方法和技术相关性1.5内部控制的原则重要性全面性制衡性适应性成本效益效益第11页Logo1.6内部控制部的职责定位牵头制定制度基础其他审计1321工程系列审计制度审计审计工作1、传统的办公室负责制度制定存在的问题1、内部审计工作2、从制度层面解决审计中的问题1、工程系列审计2、离任审计3、专项审计2、系统规划、制定计划、以制度为基础分配职责跨部门协决审计中的问题3、不要简单的寻找其他部门的错误专项审计。。。分配职责、跨部门协调、独立判断第12页Logo今日主题今日主题132内部控制规范的出台内部控制制度体系的内部控制制度体系的内部控制规范的出台背景？1.1内部控制为什么会受重视内部控制制度体系的建立2.1控制环境描述内部控制制度体系的执行3.1控制制度细化会受到重视？1.2什么是内部控制？1.3什么是风险管2.2控制流程描述2.3设定目标24事项识别3.2制度的动态修正3.3制度考核1.3什么是风险管理1.4内部控制与风险管理2.4事项识别2.5风险评估2.6风险应对3.3制度考核管理1.5企业内部控制部的定位16内部控制的原则2.7控制评价2.8控制优化第13页Logo1.6内部控制的原则内部控制制度体系建设总体思路•公司层面描述评价现状•组织调整•流程层面描述•设计完整性•设计合理性执行有效性•流程优化•执行细化描述现状•执行有效性内控优化第14页Logo2.12.1描述内部控制环境描述内部控制环境1.什么事控制环境？任何企业的核心是企业中的人及其活动人的活动在任何企业的核心是企业中的人及其活动。人的活动在环境中进行，人的品性包括操守、价值观和能力等，它们既是构成环境的重要要素之一，又与环境相互影响、相互作用。环境要素是推动企业发展的引擎，也是其他一切要素的核心。-风险管理观念-风险文化诚信与价值观-诚信与价值观-员工的胜任能力，如雇员是否能胜任质量管理要求-董事会或审计委员会，如董事会是否独立于管理层-管理哲学和经营方式，如管理层对人为操纵的或错误的记录的态度组织结构如信息是否到达合适的管理阶层第15页Logo-组织结构，如信息是否到达合适的管理阶层2.12.1描述内部控制环境描述内部控制环境2.如何描述内部控制环境？是一个word文件；以财政部的文件要求为目录，对照企业的实际情况；以企业的文件制度、相关记录和高层观念为依据。3.要不要描述内部控制环境？4.内部控制环境对内部控制具有基础性的作用！第16页Logo2.2.12.2.1控制流程控制流程————描述原则描述原则制度流程化流程岗位化控制制度化没有明确为制度的内部控制，是小企业的有机组织形式没有流程化的制度往往有缺陷且难以发现，故而不能执行；不能到达岗位的流程化是说明流程；式；随着组织结构的扩大，组织的规则由于企业改革、规模扩大、重组等原则造成的组织结构变化，使得流通过岗位的流程化衔接，实现流程化。，必须形成成文的制度。程经常不符合企业组织；流程化解释随意化。第17页Logo2.2.22.2.2控制流程（续）-描述方法将企业分将每一个将每一个将企业分解为相对独立的最将每个业务单元分解为不将每个业务领域分解为不独立的最末级业务单元分解为不同的业务领域分解为不同的业务模式单元。领域。模式。第18页Logo2.2.22.2.2控制流程（续）-描述方法谁什么时候根据什么根据什么做什么得出什么报告给谁每年11月底之前，分厂等各二级单位计划员根据本单位下年度生产及业务发展情况现有固定报告给谁本单位下一年度生产及业务发展情况、现有固定资产情况等因素，编制本单位下一年度资本性支出计划，分项目列明项目名称、建设内容、经济效益、总投资、需要拆除的固定资产等内容，规效益总投资需要拆除的固定资产等内容，规模较大、项目建设比较复杂的项目，还需要同时报送项目建议书。投资计划和项目建议书报分公司计划经营部发展规划科。第19页Logo2.2.22.2.2控制流程（续）-描述方法第20页Logo2.2.32.2.3控制流程控制流程————常见业务领域常见业务领域研究与开发工程项目组织架构发展战略担保业务业务外包人力资源社会责任财务报告全面预算企业文化资金活动合同管理内部信息传递信息系统采购业务资产管理销售业务信息系统销售业务第21页Logo2.2.32.2.3常见业务领域举例常见业务领域举例————资金资金财政部文件•第一章总则•第一章总则建议•现金盘点•现金盘点•投融资决策失误、资金调度不合理导致断链、资金安全。•第二章筹资筹资方案可行性研究报告审批与•投融资决策失误、资金调度不合理导致断链、资金安全。•第二章筹资筹资方案可行性研究报告审批与•银行账户管理•银行存款余额调节表•预警管理资金调度的模式•银行账户管理•银行存款余额调节表•预警管理资金调度的模式•筹资方案、可行性研究报告、审批与集体决策、按计划执行•第三章投资•投资方案主业突出可行性研究•筹资方案、可行性研究报告、审批与集体决策、按计划执行•第三章投资•投资方案主业突出可行性研究•资金调度