企业风险管理与内部控制理论与实务

企业风险管理与内部控制理论与实务2016年07月安永.吴玮Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.不会87.73%会95.05%您认为风险管理与内部控制失效导致的管理混乱可能会发生在贵公司吗？您认为风险管理与内部控制失效导致的管理混乱可能会发生在其他公司吗？2012年证监会和中国风险管理与内部控制协会开展了一次针对上市公司风险与内控意识的调查，对主板上市、证券公司等1250家企业进行了问卷统计调查，调查结果显示：对待风险控制的态度：风险内控意识调查Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.对待风险控制的态度：华人世界首富的风险观我会不停研究每个项目要面对可能发生的坏情况下出现的问题，所以往往花90%考虑失败。就是因为这样，这么多年来……李嘉诚雄踞华人首富十六年（截止2013年），屹立不倒的秘诀在于：—2007年《全球商业》和《商业周刊》采访李嘉诚的访谈实录Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.对待风险控制的态度：海恩法则1000次事故隐患300次未遂先兆29次轻微事故1次严重事故严重问题；应急、追责、整改出现问题；调查、整改、报告预警警报；监控、检查、报告没有损失；设计、执行、评价、改进Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.华丽且自信满满……仅仅关注有限领域……并不具备足够的风险承受能力……并不能时时专心……对待风险控制的态度：我们可能……Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.我们遇到的问题？什么是风险控制?为什么要风险控制?如何开展风险控制?Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.目录1什么是风险管理与内部控制2为什么要开展风险管理与内部控制3如何开展风险管理与内部控制Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.第一部分什么是风险管理与内部控制目录Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.什么是风险定义：R=f（O，U，E），O目标；U不确定性；E影响风险：“不确定性对目标的影响”—引自ISO指南73：2009《风险管理——术语》•为什么会存在风险？——不确定性：•不知道会不会发生？什么时候发生？发生的可能性有多大？发生的后果是什么？后果产生的影响有多大？•不确定性既受制于外在的客观性（客观不确定性）；•在企业管理实践的实践规范里面，更重要的是受制于人的态度、能力和经验（主观不确定性）•风险控制的根本目的是着眼于：改变人的意识，提升应对能力和积累判断经验！Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.什么是控制控制是根据组织的计划和事先规定的标准，监督检查各项活动及其结果，并根据偏差或调整行动或调整计划，使计划和实际相吻合，保证目标实现的行为。《风险管理—术语》Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.“风险管理是一种程序，由企业的董事会、管理层和其他成员共同使其生效，用以对以下目标的实现提供合理的保证：(b)适用法律法规的合规性(a)财务报告的可靠性(c)经营活动的效率和效果(d)战略目标的实现。”监控信息和沟通控制活动风险评估控制环境内部环境目标识定事项识别风险评估风险对策控制活动信息与沟通监督检查COSO对风险管理的定义：什么是风险管理Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.“一套由董事会、管理层及其它相关人员共同实施的程序，以合理确保下列各项的目标得以实现：(b)适用法律法规的合规性(a)财务报告的可靠性(c)经营活动的效率和效果。”监控信息和沟通控制活动风险评估控制环境内部环境风险评估控制措施信息与沟通监督检查COSO对内部控制的定义：什么是内部控制Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.COSO模型的发展监控信息和沟通控制活动风险评估控制环境内部环境风险评估控制措施信息与沟通监督检查监控信息和沟通控制活动风险评估控制环境内部环境目标识定事项识别风险评估风险对策控制活动信息与沟通监督检查COSO内部控制模型COSO风险管理模型Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.中央企业全面风险管理指引(一)收集风险管理初始信息(二)进行风险评估(三)制定风险管理策略(四)提出和实施风险管理解决方案(五)风险管理的监督与改进风险管理基本流程控制环境目标制定事件识别风险评估风险应对控制活动信息与沟通监督检查战略经营报告合规总部分部业务单位附属机构COSO全面风险管理框架风险管理三道防线Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.企业内部控制基本规范第一章总则第二章内部环境第三章风险评估第四章控制活动第五章信息与沟通第六章内部监督第七章附则监控信息和沟通控制活动风险评估控制环境内部环境风险评估控制措施信息与沟通监督检查COSO内部控制模型企业内部控制基本规范Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.企业内部控制基本规范Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.有效的控制风险实现目标目标风险控制管理提升风险管控不是消灭风险，而是把风险控制在合理的范畴，让目标的偏差能够接受。目标决定了我们该管控哪些风险——目标的多样性、分层性和联动性，决定了风险管控需要系统化实施：中长期战略目标/产业战略目标/职能战略目标/年度经营目标/项目经营目标；Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.理解目标、风险、控制如果你有小孩，为了保护孩子安全，你需要控制什么风险？你有哪些控制措施？婴幼儿安全三聚氰胺甲醛PM2.5劣质玩具人贩子幼儿园行凶幼师虐童危险车辆当前社会，关于婴幼儿安全的不确定性因素越来越多，发生的可能性越来越高：•食品安全风险-香港限奶令•家居安全风险-环保油漆和家居•自然环境风险-口罩热销•产品质量风险-玩具出口转内销•社会治安风险-儿童定位手表•交通环境风险-安全座椅热卖Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.第二部分为什么要开展风险管理与内部控制目录Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.您是否听到过这样的声音？►制度么，就是用来看看的，嘻嘻►说归说，但是我们一般都不那样做，太费事了►那个制度阿，我不知道有没有人看，反正别人现在怎么做我就怎么做►从来没看到过别的部门的制度，我们部门的也有吧，好几年了►我们制度很多，很厚几本呢，但是太散乱，我也懒得去看►哎，这个事情说不好，我也不知道其他部门的事情►这个事情不是我们做的，但是，我也不知道其他部门是不是做了►这个事情为什么是我来做啊（分工不太合理）►这个事情啊，不是我不想做，但是也没有人告诉我怎么做啊►我也不知道为什么要这么做，但是人家都这样做►我知道这样做有风险，但是公司也没有说不让我这么做，我也不知道怎么做更好►什么是内控呀，我们没有什么标准，反正一直就是这么做，都几十年了►这个就是经验►这个不用说的，我们都知道Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.以下这些事情在您的企业中可能发生吗？A.有人偷偷地溜到公司的计算机库房，把公司所有数据储存都毁了！B.市场竞争激烈，我们渐渐失去了资源的垄断优势。。。。。。C.有人可能在挪用公司的资金，但也没人发现，没人管！D.公司的规章制度看上去挺多的，但实际比较混乱，大家平时工作基本不参照。。。E.公司大锅饭的氛围还是挺浓厚的，工作没啥积极性。。。F.公司想进军新的领域了，虽然不太懂这个新的行业，但大家都觉得前景很好！G.公司存货的管理比较混乱，东西多一件少一件，根本没人知道。。。H.公司领导天天审批，天天开会讨论经营事项，身陷繁杂的具体事务。。。I.公司部门中的岗位只是为了区别工资待遇，和工作内容没啥关系，领导让你干嘛就干嘛J…….Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.为什么要开展风险管理与内部控制大势所趋，保护领导Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.风险管控进入中共中央最高层公报中共中央十八届四中全会通过《关于全面推进依法治国若干重大问题的决定》-把公众参与、专家论证、风险评估、合法性审查、集体讨论决定确定为重大行政决策法定程序，确保决策制度科学、程序正当、过程公开、责任明确。建立行政机关内部重大决策合法性审查机制，未经合法性审查或经审查不合法的，不得提交讨论。-加强对政府内部权力的制约，是强化对行政权力制约的重点。对财政资金分配使用、国有资产监管、政府投资、政府采购、公共资源转让、公共工程建设等权力集中的部门和岗位实行分事行权、分岗设权、分级授权，定期轮岗，强化内部流程控制，防止权力滥用。完善政府内部层级监督和专门监督，改进上级机关对下级机关的监督，建立常态化监督制度。完善纠错问责机制，健全责令公开道歉、停职检查、引咎辞职、责令辞职、罢免等问责方式和程序。Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.风险管控成为国有企业领导履职的法定责任2014年1月份，由审计署、中纪委、国资委、中组部、人社部等七部委召开经济责任审计联席会议，提出2014年开始的经济责任审计实施细则指导意见。涉及到国有企业领导人相关会议精神：要严肃揭露和查处国有企业领导人重大的违法违规案件线索，重大的决策失当，重大的失职渎职行为，重大的损失浪费，重大的管理漏洞。2014年7月，七部委颁布《党政主要领导干部和国有企业领导人员经济责任审计规定实施细则》第十六条国有企业领导人员经济责任审计的主要内容：（九）企业法人治理结构的健全和运转情况，以及财务管理、业务管理、风险管理、内部审计等内部管理制度的制定和执行情况，厉行节约反对浪费和职务消费等情况，对所属单位的监管情况；Confidential–AllRightsReserved–Ernst&Young(China)AdvisoryLimited.风险管控失效成为国有企业责任追究的重要因素2008年国务院国资委20号令《中央企业资产损失责任追究暂行办法》：第二十五条除第十六条至第二十四条以外，因