企业内部控制与风险管理XXXX[修复的]

1企业内部控制与全面风险管理主讲人：卜范涛2卜范涛讲师简介近期服务过的主要客户中国国家电网、中国广东核电集团、中国航天科工集团、东风南方实业集团、中国移动、中国电信、中电投宁夏青铜峡能源铝业集团、香港华宝国际控股集团、光大集团、北京建工集团、柳工机械、海汽集团、北京玉渊潭酒店管理集团、武汉钢铁集团有限公司、北京创景天下旅游规划设计院、北大维信生物医药股份有限公司、北京中建京海计算机工程有限公司、武汉老村长餐饮管理有限公司、深圳誉兴饮食管理有限公司等数百家企业。鹤岗市人民政府、周口市人民政府、南阳市旅游局等数十家政府机关及职能部门。中国工商银行、中国银行、中国建设银行、中国农业银行、中国邮政储蓄银行、中信银行、浦发银行、光大银行、广发银行、兴业银行、华夏银行、南京银行、苏州银行、福建三明农村商业银行、武汉市农村商业银行、温州农村信用联社、中山信用联社、贵州省农信社、烟台农信社等数百家各类商业银行。学术博客：百度卜范涛博客/微博/视频•国家注册信用管理师培训师，中国企业联合会特聘全国财务总监培训教授、实战派风险内控培训（咨询）师，中国管理研究院风险管理研究所所长，中国创新管理研究院高级研究员，清华大学总裁班、首都经贸大学、中国石油大学经管学院等多所高校客座教授，几十家电视台联播节目特聘专家，欧中美联国际教育集团特聘培训（咨询）专家，中国智慧工程研究会理事。我国最早一批从事风险管理研究和实践的专家型咨询师和培训师，成功为数十家大中小型企业提供内训及咨询服务。3内部管理失控导致风险案件频发链接：长虹美国巨亏４.６亿美元链接：中航油新加坡巨亏５.５亿美元中铁建沙特巨亏41亿人民币俄罗斯灰色清关群死群伤内部管理失控导致风险案例叙利亚战争中资企业遭受巨额损失4企业内控过程中必须处理好的几个关系风险内控五大策略内部控制的核心内容课程目录内控体系和全面风险管理体系的联系和区别企业风险内控落地执行面临的四大困惑RMCTTC风险内控的落地执行操作实践企业内部控制与全面风险管理实施风险内控的四项条件和三种利器5风险管理概念的统一风险的概念根据ISO/IECrisk-Guide73（2009）的定义：风险是不确定性对目标的影响。风险管理根据ISO/IECrisk-Guide73（2009）的定义：风险管理是督导和控制企业风险的所有协调性活动。风险管理框架根据ISO/IECrisk-Guide73（2009）的定义：风险管理框架有关设计、执行、监控、评审和持续改进组织风险管理的一套实施基础工作指引和策略安排指导。风险管理政策根据ISO/IECrisk-Guide73（2009）的定义：风险管理政策是组织就风险管理的目的和方向而做出的总体声明。6国际标准1、ISO-31000“风险管理原则与指引”2、ISO/IECguide73(2009)风险管理术语3、ISO-31010”风险评估“风险管理的国家标准与国际标准国家标准1、GBT23694风险管理术语2、GBT24353风险管理原则与指引3、GBT24420供应链风险管理指南4、风险评估标准5、GB／T26317—2010公司治理风险管理指南7内部控制能够帮助我们绕过途中的陷阱，到达目的地。----MOTOROLA总裁加利·吐克内部控制是什么？内部控制是在组织内建立经营政策、标准和程序，并通过各级管理层和员工有效运行，以此来防范风险，达成组织的目标。组织中的所有人员都负有相应的职责。8内部控制的有关问题控制为什么++控制什么谁来控制帮助达成组织目标风险董事会总裁室经理层员工层=9内部控制的核心内容－－三个“五”风险管理基础知识基本理论体系五大目标五大原则五大要素合规真实效益战略安全环境是基础目标是关键原则是保障全面重要制衡适应成本环境评估管控信息监督10企业风险管理基本框架（COSO）监督风险管理风险环境风险评估信息沟通美国金融危机源自监管失控11信息与沟通控制环境风险评估控制活动监控环境建设是风险内控成功的基础有效控制手段：风险管理前置风险文化风险制度组织架构风险战略绩效标准12信息与沟通控制环境风险评估控制活动监控风险是一种潜在的问题或损失，也可能是机会。风险评估：确定什么地方可能出错，会有什么影响量化是关键量化是风险评估的关键13信息与沟通控制环境风险评估控制活动监控为防范风险所采取的措施和行动。控制活动包括：组织机构、政策、标准、流程的建立，授权、批准，复核经营业绩，保护资产，职责分离控制活动能够抵偿风险风险控制能力和水平决定着企业的核心竞争力14信息与沟通控制环境风险评估控制活动监控监督和评估内部控制系统设计合理性和运行有效性没有有效监督就不可能有很好的风险内控15信息与沟通控制环境风险评估控制活动监控为了实现控制目标，保证内部控制各个要素的可靠性，有关信息必须及时沟通。信息沟通贯穿于整个控制内部控制的神经系统信息和沟通是企业内控管理的命脉16中国的风控之路证监会证券公司内部控制指引2001-1中国人民银行商业银行内部控制指引2002-9财政部7项内部会计控制规范(试行)2001~04中注协企业内部控制审核指导意见2002-2银监会商业银行内部控制评价试行办法2004-8上交所上交所上市公司内部控制指引2006-5深交所深交所上市公司内部控制指引2006-9国资委中央企业全面风险管理指引2006-6五部委企业内部控制基本规范2008-5-22五部委企业内部控制应用指引、审计指引、评价指引2010-4-26国家标准GBT24353--2009全面风险管理200917国家对内控与风险管理的重视•2006年6月6日，国务院国有资产监督管理委员会发布《中央企业全面风险管理指引》要求中央企业逐步进行企业风险管理。•2008年6月28日，财政部、证监会、审计署、银监会、保监会五部委发布了《企业内部控制基本规范》•国际风险管理标准－－ISO31000•国家标准－－GBT24353全面风险管理18财政部等五部委配套指引的整体结构其他监管要求•应用指引•由内部环境、控制活动、控制手段三大类，18个指引组成，企业可以根据实际情况进行增减•审计指引•审计师进行外部独立审计时使用•评价指引•适用于所有企业，包括：总则评价内容评价程序缺陷认定评价报告《企业内部控制基本规范》50条适用于企业适用于会计公司19企业内控过程中必须处理好的几个关系风险内控五大策略内部控制的核心内容课程目录内控体系和全面风险管理体系的联系和区别企业风险内控落地执行面临的四大困惑RMCTTC风险内控的落地执行操作实践企业内部控制与全面风险管理实施风险内控的四项条件和三种利器20风险内控的四大困惑1、环境之惑2、人才之惑3、工具这惑4、持续之惑21企业内控过程中必须处理好的几个关系风险内控五大策略内部控制的核心内容课程目录内控体系和全面风险管理体系的联系和区别企业风险内控落地执行面临的四大困惑RMCTTC风险内控的落地执行操作实践企业内部控制与全面风险管理实施风险内控的四项条件和三种利器22内部控制的前世今生23目标层级内部环境目标设定事项识别风险评估风险应对控制活动信息与沟通监控战略目标经营目标报告目标合规目标子公司各条业务线各职能部门整个企业要素全面风险管理弥补了内部控制的不足全面风险管理风控纵深化要素细致化目标多元化信息与沟通控制环境风险评估控制活动监控24全面风险管理相对内控在理念上的两大突破突破一首次提出风险容忍度概念突破二首次提出风险偏好概念（承认风险的客观性）（风险管理既对事也要对人）25企业的风险集合企业风险战略风险运营风险信用风险流动风险人力资源风险声誉风险法律风险市场风险财务风险操作风险统计结果显示：企业风险11000多种26全面风险管理的一个基础和三道防线一个基础三道防线管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会一个基础－－公司治理结构27企业内控过程中必须处理好的几个关系风险内控五大策略内部控制的核心内容课程目录内控体系和全面风险管理体系的联系和区别企业风险内控落地执行面临的四大困惑RMCTTC风险内控的落地执行操作实践企业内部控制与全面风险管理实施风险内控的四项条件和三种利器28处理好内部控制与相关管理实践的关系1.内部控制与公司治理2.内部控制目标与平衡计分卡3.内部控制与流程管理4.内部控制与操作风险管理及合规风险管理的关系5.内部控制在企业全面风险管理中的作用6.内部控制体系与其他管理体系的关系29内部控制目标与平衡计分卡的关系平衡计分卡(TheBalancedScoreCard，简称BSC），是20世纪90年代初由哈佛商学院的罗伯特·卡普兰(RobertKaplan)和诺朗诺顿研究所所长、美国复兴全球战略集团创始人兼总裁戴维·诺顿(DavidNorton)发展出的一种全新的组织绩效管理方法。平衡积分卡不仅是一种管理手段，也体现了一种管理思想，具体体现为：1.只有量化的指标才是可以考核的，必须将要考核的指标进行量化。2.组织愿景的达成要考核多方面的指标，不仅是财务要素，还应包括客户、业务流程、学习与成长。实施BSC的企业的绩效管理指标体系完全应满足风险管理与内部控制的相关目标管理方面的要求，并且较直接机械地按内部控制四大目标分类分解实施目标管理的做法更具有科学性、系统性和可操作性。30内部控制与流程管理的关系顾客和其他各项、各方需求和要求均是通过流程（过程）实现的，有需求就有流程。因此，企业为实现经营管理目标，在通过制定并实施系统化的政策、程序和方案，以建立对风险进行有效识别、分析、评价、控制、监测、改进的动态过程和机制的内部控制体系时，必须将这些政策、程序和方案与企业的战略流程、核心流程和操作流程相结合，将对风险的识别、管理与流程相关联，将风险揭示在每个流程中，并对风险进行有效的监测、评估，并采取措施进行控制，同时明确岗责要求和绩效考评要求，实现有效内控。31内部控制与操作风险管理的关系•内部控制和操作风险管理在内容、对象和范围上基本相同，不同之处主要在于管理手段和方法。•内部控制是组织为实现经营管理目标，通过制订系统化的政策、程序和方案，对风险进行识别、评估、控制、监测和改进的动态过程和机制•从内容上看，内部控制侧重管理的改进（或者说更关注对所识别风险的管理改进措施或行动方案），而操作风险管理则侧重对于对风险（尤其是采取控制措施后的剩余风险）的计量与管理；从对象和范围上看，内部控制除控制操作风险以外，还应包括其他风险（如信用风险、市场风险、声誉风险等）。32有效性说明极度过头处理方法能直接针对该项风险，但相信会令企业业绩“倒退”或成本过高过头处理方法能直接针对该项风险，但由于需要投入大量资源或/及将其他资源转到处理该项风险上，会对企业的效率造成影响适中处理方法有效针对该项风险，同时并不影响企业的效率低效处理方法针对该项风险的效果不理想，或投入处理该风险的资源不充分或/及对投入的资源未有适当利用近乎没有效果处理方法的效果十分低，可能是由于企业根本没有处理方法，又或处理手法不当处理好风险管理与经营效益的关系33企业内控过程中必须处理好的几个关系风险内控五大策略内部控制的核心内容课程目录内控体系和全面风险管理体系的联系和区别企业风险内控落地执行面临的四大困惑RMCTTC风险内控的落地执行操作实践企业内部控制与全面风险管理风险内控落地实施的四项条件和三种利器34制度健全组织保障执行效果有效监督实施企业内部控制的四个必要条件一、职责分离。明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。二、强调“三重一大”。企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度；任何个人不得单独进行决策或者擅自改变集体决策意见。三、合理设置内部职能机构。明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。组织机构设置的原则组织结构应由企业的战略目标决定从业务流程出发，运用信息技术，进行绩效