大型集团企业全面风险管理与内控体系建设-与网上视频培

©本资料在AMTConsulting文档控制范围之内，在得到许可后方可使用大型集团企业全面风险管理与内控体系建设易凯2012年9月AMT咨询专业实用为您着想第2页易凯先生武汉理工大学MBA易凯内控与风险咨询总监全面风险管理、内部控制、集团管控、组织管理、制度及流程管理内控与风险领域服务客户（部分）教育背景特长领域中国长江电力总公司中国长江三峡集团总公司中国中铁总公司、中铁六局、中铁资源中国航天科工集团第二研究院上海浦发集团、浦发财务公司、浦发置业公司、浦发商业公司浙江交通投资集团江西省赣粤高速股份有限公司浙江物产金属集团本溪钢铁集团、本钢板材股份有限公司中国东方航空西北分公司河南思维自动化设备股份有限公司中集安瑞科股份有限公司中冶纸业集团有限公司CERM中国注册企业风险管理师特聘教师AMT咨询专业实用为您着想第3页近期的一些培训及公开课照片AMT咨询专业实用为您着想第4页近期的一些培训及公开课照片AMT咨询专业实用为您着想第5页近期的一些培训及公开课照片AMT咨询专业实用为您着想第6页前言：风险管理工作容易流于形式，怎么办？如何切实与企业经营管理结合，带来价值？而不仅仅是防范损失？内部控制与实际业务管理比较密切（容易嵌入制度与流程），但全面风险管理工作显得比较虚，往往流于形式，怎么办？风险管理工作人员除了进行风险与内控体系建设于维护之外，日常工作还应该做什么？如何产生价值？其他部门不是很配合风险管理工作人员，怎么办？企业领导者到底该怎么定位风险管理人员？他们在公司里到底应该是个什么定位？什么级别？什么权限？AMT咨询专业实用为您着想第7页讨论一：该如何对待这个快递员？会带来什么风险？某知名快递公司快递员，某天他送一批快递到一个县城，按公司规定今天必须送到，但遇到大雨，高速公路封路，眼看还剩十几公里了，他未经请示，擅自用自己的信用卡花了5万块调来了直升飞机把货按时送到了目的地。此事无意经媒体曝光，该公司大受好评，赢得一片赞誉，带来更多更大订单（其价值远超5万）。但是，你若作为公司总经理（或职业经理人），该如何对待这个快递员？你的做法会带来什么新风险？你作为一个风险官，该如何为职业经理人的决策进行风险分析和风险提示，帮助他做更合适的决策？AMT咨询专业实用为您着想第8页目录第二部分第三部分第一部分集团型企业特有的风险管理难点集团管控在全面风险管理与内控体系中的应用全面风险管理、内部控制及其他管理体系的区别与联系第四部分GRM（集团风险管理）体系介绍、建设步骤及成果展示AMT咨询专业实用为您着想第9页您在全面风险管理与内部控制工作中是否遇到以下困惑？全面风险管理与内部控制归属两个不同的部门进行管理，但工作上有些重叠，界定不清对于全面风险管理与内部控制工作中的重叠部分，到底该哪个部门牵头实施？全面风险管理与内部控制到底是什么关系？全面风险管理体系、内部控制体系、ISO体系、SOX财务内控体系……这些体系互相间是个什么关系？如何融合？具体怎么操作？AMT咨询专业实用为您着想第10页一、内控与全面风险管理的理论区别1、从COSO来看美国COSO委员会于1992年颁布了《企业内部控制基本框架》（1994年修改），于2004年颁布了《企业风险管理整合框架》注：COSO是指美国反对虚假财务报告委员会所属的内控专门研究委员会——发起机构委员（CommitteeofSponsoringOrganizationsoftheTreadwayCommission，简称COSO）。它包括美国注册会计师协会，内部审计师协会，财务经理协会，美国会计学会，管理会计协会。AMT咨询专业实用为您着想第11页一、内控与全面风险管理的理论区别1、从COSO来看（续）控制活动确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监督不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。内部审计工作。控制环境营造单位气氛－让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础所有的五个部分必须同时作用才能使内部控制得以产生影响监控信息和沟通控制活动风险评估控制环境监督信息和沟通控制活动风险评估控制环境COSO内部控制框架AMT咨询专业实用为您着想第12页一、内控与全面风险管理的理论区别1、从COSO来看（续）COSO风险管理框架AMT咨询专业实用为您着想第13页一、内控与全面风险管理的理论区别2、从《企业内部控制基本规范》和《中央企业全面风险管理指引》来看——来自《企业内部控制基本规范》控制活动企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。内部监督企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。内部环境企业实施内部控制的基础，一般包括治理结构、机构设臵及权责分配、内部审计、人力资源政策、企业文化等。信息和沟通企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。风险评估企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。监控信息和沟通控制活动风险评估控制环境内部监督信息和沟通控制活动风险评估内部环境我国的内部控制体系框架——与COSO非常相似AMT咨询专业实用为您着想第14页一、内控与全面风险管理的理论区别2、从《企业内部控制基本规范》和《中央企业全面风险管理指引》来看（续）——来自《中央企业全面风险管理指引》我国的全面风险管理体系框架——与COSO不同注意AMT咨询专业实用为您着想第15页一、内控与全面风险管理的理论区别3、从对内部控制、风险、风险管理、风险应对策略的理解来看“本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”——《企业内部控制基本规范》“本指引所称内部控制系统，指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。”——《中央企业全面风险管理指引》关于“内部控制”AMT咨询专业实用为您着想第16页一、内控与全面风险管理的理论区别3、从对内部控制、风险、风险管理、风险应对策略的理解来看（续）《企业内部控制基本规范》中未对风险、风险管理进行定义，但风险发生可能性、风险影响程度的评价方法与《中央企业全面风险管理指引》一致。“本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。”——《中央企业全面风险管理指引》“风险，是指未来的不确定性对目标的影响，包括积极和消极的影响”——《ISO31000风险管理标准》“本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。”——《中央企业全面风险管理指引》关于“风险”及“风险管理”AMT咨询专业实用为您着想第17页一、内控与全面风险管理的理论区别3、从对内部控制、风险、风险管理、风险应对策略的理解来看（续）“企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。”——《企业内部控制基本规范》“本指引所称风险管理策略，指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略”——《中央企业全面风险管理指引》关于“风险应对策略”AMT咨询专业实用为您着想第18页企业内部控制控制环境风险评估控制活动信息与沟通内部监督全面风险管理内部环境目标设定事项识别风险评估风险应对控制活动信息与沟通监督企业管理战略管理经营管理人力资源管理财务管理资金管理资产管理内部审计………内部控制的特点手段导向关注结果的真实主要管理内部风险重点关注财务层面重点关注决策后的控制全面风险管理的特点目标导向关注结果的好坏管理内部、外部风险重点关注战略与财务层重点关注决策前风险提示总结内控是全面风险管理的基础，是风险管理的组成部分，解决的是“正确的做事”，而全面风险管理解决的是“做正确的事”。二、内控、全面风险管理与企业管理的区别举例公司要进行一个项目投资，投资前进行可研分析，开展风险评估，向决策者提供《风险分析报告》，为决策提供支持，甚至CRO可以否决决策者的决议，这就是风险管理；投资后建立内控体系，进行严格的投资过程控制，防范项目实施过程中的风险，这就是内控。AMT咨询专业实用为您着想第19页三、内控体系建设与全面风险管理体系建设内容的区别内部环境要素《公司章程》股东会、董事会、监事会、经理会《议事规则》《高级管理人员行为规范》《组织架构及岗位说明书》《员工行为手册》《企业文化手册》《社会责任报告》人力资源管理制度体系内部审计制度体系企业出版著作、内部刊物……风险评估要素《风险数据库》《风险评估问卷》《风险评估报告》《风险坐标地图》《风险基本应对策略》……控制活动要素《权限指引表》《内部控制制度汇编》流程图、流程文件汇编流程风险控制矩阵汇编……信息与沟通要素合理的组织架构、权责分配和谐的内部氛围信息系统经营报告、财务报告、管理报告……内部监督要素日常监督、专项监督、反舞弊机制《内部控制体系监督管理办法》《内部举报管理办法》《内部控制测试及自我评价实施细则》及测试评价底稿《内部控制缺陷汇总及改进建议表》《XX年度内部控制自我评价报告》……再加上一个《内部控制手册》监控信息和沟通控制活动风险评估控制环境内部监督信息和沟通控制活动风险评估内部环境完整的内部控制体系建设内容AMT咨询专业实用为您着想第20页完整的全面风险管理体系建设内容三、内控体系建设与全面风险管理体系建设内容的区别全面风险管理信息系统风险信息采集风险信息存储风险信息加工风险信息分析风险与内控测试风险信息传递风险信息报告风险报告披露……风险管理组织风险管理领导机构风险管理委员会职责风险管理三道防线职责风险管理部职责各部门风险管理职责（编入《全面风险管理手册》）……内部控制系统《权限指引表》《内部控制制度汇编》流程图、流程文件汇编流程风险控制矩阵汇编……风险管理基本流程《风险识别与评估流程》《风险预警指标管理流程》《风险管理策略制定流程》《风险预警实施流程》《风险应对策略实施流程》《风险管理报告流程》《风险管理监督与改进流程》……风险管理制度《全面风险管理办法》《风险预警管理办法》《风险管理绩效考核办法》《风险管理监督办法》《风险管理报告管理办法》……再加上一个《全面风险管理手册》风险管理文化风险管理物质文化风险管理理念文化风险管理行为文化风险管理培训制度融入《企业文化手册》……风险评估《风险数据库》《风险事件库》《风险评估问卷》《风险评估报告》《风险预警指标库》《风险基本对策表》《重大风险解决方案》AMT咨询专业实用为您着想第21页内容区别内部控制体系全面风险管理体系目标合法合规、财务报告、资产安全风险可控、信息真实、合法合规、战略实现、危机处理风险偏好与承受度有，但难以具象化有，但难以具象化组织治理结构、权责分配、《权限指引表》风险管理决策与执行机构、风险管理三道防线、《各部门风险管理职责》风险评估有，分为公司层面和流程层面有，分为公司层面和流程层面风险应对主要针对内部