内部控制、风险管理与内部审计的关系和整合

内部控制、风险管理和内部审计的关系与整合2目录对内部控制的理解风险管理与其在企业管理中的作用内部审计及其在企业管理中的作用内部控制、风险管理和内部审计的关系与整合风险导向的内部控制体系的构建内部控制的演变和发展趋势3COSO内部控制整体框架内控评价内部审计进展40年代前40－70年代80－90年代90年代后2002年后2006年后内部牵制-实物牵制-薄记牵制内部控制结构完善-控制环境-会计系统-控制程序-建立内控-数据准确一致-内控可靠性以风险为导向的内部控制广义内控长期性持续性后萨班萨班斯斯时代法案-法律责任-控制环境-与财务报-风险评估告相关的-控制活动内部控制-信息沟通-持续监控内部控制的作用4良好的内部控制会:•降低舞弊的可能•获得(或重获)投资者的信心•遵守法律和法规•降低资源流失的风险•以更高质量和更及时的信息优化业务决策•暴露经营中的低效环节薄弱的内部控制会:•提高舞弊发生的可能•错误的财务报表•不良的公众形象•对股东价值的负面影响•招致证券监管机构制裁•诉讼或者其他法律纠纷•资产的流失•经营决策不能最优化内部控制不是静止的，是会随着时间的流逝和经验的增加而不断进步。5目录对内部控制的理解风险管理与其在企业管理中的作用内部审计及其在企业管理中的作用内部控制、风险管理和内部审计的关系与整合风险导向的内部控制体系的构建6风险管理的演化发展全面风险管理风险的数量化管理保险和安全生产70年代1995年时间机构/国家标准1988年BCBS巴塞尔协议1999年澳大利亚和新西兰AS/NZ436019992002年加拿大风险管理：决策者指南—加拿大国家标准2003年英国AIRMIC/ALARM/IRM2004年COSO企业风险管理—整合框架2004年BCBS巴塞尔协议Ⅱ2005年香港会计师公会内部控制与风险管理的基本架构2008欧洲委员会偿付能力Ⅱ7国外主要风险管理标准支柱1最低资本要求信用风险•标准化流程•基础IRB•高级IRB市场风险•标准化流程•内部VaR模型操作风险•基本指标法•标准法支柱2监管当局的监督检查银行框架•良好的资本评估•整体资本充足率•全面风险评估监管框架•银行内部系统评估•风险组合评估•合规性评估•监管机制支柱3市场约束披露要求•银行风险信息的对市场的透明度•提高银行间的可比性8国外主要风险管理标准巴巴塞尔新资本协议2004年6月，巴塞尔委员会发布了《统一资本计量和资本标准的国际协议：修订框架》，新协议将会对整个国际金融市场产生深远的影响：签署新协议的100多个国家的银行、证券公司、基金公司、资产管理公司、保险公司等都会受到直接或间接的影响。我国于1996年加入了巴塞尔成员国行列，标志着我国银行业接受了《巴塞尔协议》的要求。财务稳定性沟通及协商监控及评价9建立风险评估基础•内外部基础信息，包括对公司目标的了解和信息掌握•风险管理基础设定识别风险分析风险现有风险结构影响程度可能性风险值整合风险评估风险应对风险•评估各种可能方案国外主要风险管理标准：澳新标准框架澳新标准是由澳大利亚与新西兰联合标准委员会发布的关于风险管理的一个标准。该标准主要建立了一个风险管理的基础框架，为企业提供一个通用的建立和实施有效风险管理流程的指引，强调在实施风险评估工作之前要建立风险评估基础。10国外主要风险管理标准：COSO的ERM框架2004年9月，COSO正式颁布《企业风险管理——整体框架》，包含4大目标（战略、经营、报告和合规目标）、8个相互关联的要素（内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控）和应用的企业及单位（公司层面、子公司、业务单元和科室）。保险风险市场风险信用风险流动性风险操作风险支柱1投资规则执行定量要求准备金最低资本金要求支柱2(监管者的能力和职权,活动领域)控制监管者复核定性要求金融服务法规监管支柱3竞争相关因素披露市场约束透明度披露要求国外主要风险管理标准：偿付能力Ⅱ（SolvencyII）2003年4月，欧盟保险委员会(EuropeanInsuranceCommittee)会议确定了偿付能力Ⅱ的基本概念和原则。修改定稿的偿付能力Ⅱ将于2011年10月提交英国金融服务管理局（FSA），预计可于2012年10月正式实施。这也将可能成为我国保险行业未来的趋势。SOLVENCYII将SolvencyII嵌入业务11时间机构标准2005年银监会商业银行市场风险管理指引2006年国资委中央企业全面风险管理指引2006年银监会商业银行合规风险管理指引2007年银监会商业银行操作风险管理指引2007年保监会保险公司风险管理指引2009年银监会商业银行流动风险管理指引2009年银监会商业银行声誉风险管理指引2009年银监会商业银行信息科技风险管理指引2010年保监会人身保险公司全面风险管理实施指引12国内主要风险管理规定13国资委—中央企业全面风险管理指引•战略风险信息••••财务风险信息市场风险信息运营风险信息法律风险信息风险管理初始信息•风险辨识••风险分析风险评价•风险解决具体目•••标所需的组织领导所涉及的管理及业务流程以及资源等风险事件发生前、中、后所采取的应对措施以及风险管理工具•部门和业务单•••位自查和检验风险管理职能部门检查和检验内部审计部门监督评价中介机构评价风险管理流程风险评估风险管理解决方案风险管理的监督与改进•风险承担••••••风险规避风险转移风险转换风险对冲风险补偿风险控制风险管理策略•••••••董事会就全面风险管理工作的有效性对股东（大）会负责风险管理委员会对董事会负责总经理对全面风险管理工作的有效性向董事会负责设立专职部门或确定相关职能部门履行全面风险管理职责董事会下设立审计委员会，内审部门对审计委员会负责其他职能部门及各业务单位接受风险管理职能部门和内部审计部门的组织、协调、指导和监督指导和监督其全资、控股子企业风险管理组织体系••••••信息技术应用于风险管理实践风险管理信息系统保障风险信息量化值的要求风险管理信息系统的功能要求风险管理信息系统应该实现跨部门的集成与共享风险管理信息系统应确保安全、稳定运行风险管理信息系统的建设与更新风险管理体系风险管理信息系统风险管理文化•••风险管理文化建设的目标和任务风险管理文化的内涵风险管理文化传播和培育的方法中央企业全面风险管理指引14风险管理流程纵观以上国际国内的风险管理标准和指引，我们可以看到：•风险管理的框架和概念存在着多个流派，风险管理框架和风险管理语言的不统一；•多种风险管理框架造成多重的监管标准要求，使得风险管理在实务界存在重复投资和资源浪费现象，最后导致损失的是企业。我们认为，风险管理不是罗列所有风险，而是一个循环管理的机制，通过识别、评估风险、建立应对措施、对风险进行监控与汇报、针对风险持续改善这个流程，形成风险管理机制，为公司健康发展奠定基础。核心是风险管理文化与意识。理同经营规划和战冗余劲高效的略制定相综合风险转结合风险评估流程优化风险争优势保护和提升企业价值牌形象15企业风险管理的作用裁减活动将风险管实施更强建立竞管理成本定因素移和风险接受决策正确厘定交易固有风险的价格协调风险偏好与战略的关系，确保两者间匹配提高应对变革的就绪程度减少经营损失和意外事件改善合规和风险应对措施改善对全企业共同风险的管理改善资本利用及资源调配确保风险承担与核心业深化对影响收益和资本的风险认识务竞争力相符保护声誉和品引入系统化的风险评估流程，提高管理层对风险管理的信心改善经营绩效预见和沟通绩效目标中固有的不确企业风险管理的价值主张：企业风险管理除推动管理层的风险管理能力日趋成熟以外，还从以下三方面帮助管理层保护和提升企业价值：•建立可持续的竞争优势；•优化风险管理成本•帮助管理层改善经营业绩161通过评估重大事件发生的可能性及其影响效应，以及提出预防这些事件发生或管理这些事件（如确实已经发生）影响的响应措施，减少绩效的不稳定性。减少绩效的不稳定性2当风险管理的职能部门不止一个，而要管理的风险也不止一种时，就需要有一个通用的框架。同时也可回答投资者经常提出的问题：“有哪些风险，怎么管理这些风险，你又是怎么知道这些风险的?”协调和整合风险管理的职能部门和管理程序3投资者可评价企业在了解和管理风险方面的能力，以便对照所承受的风险，粗略地评估自己的投资回报是否足够丰厚。增强投资者的信心4提升企业识别风险、确定风险轻重缓急次序和规划风险的能力，合理调配企业资源。响应不断变化的业务环境企业风险管理的作用（续）企业风险管理有助于管理层协调风险偏好与企业战略之间的匹配关系，强化风险应对决策，减少营运意外事件和损失，识别和管理贯穿整个企业的风险，建立抵抗多重风险的综合响应预案，抓住机遇及改善资本配置。17目录对内部控制的理解风险管理与其在企业管理中的作用内部审计及其在企业管理中的作用内部控制、风险管理和内部审计的关系与整合风险导向的内部控制体系的构建内部审计演进控制纠正与管理层合作价值创造实行风险和控制自我评估中间阶段流程改进企业全面风险管理持续的风险管理风险咨询舞弊防范财务/合规性审计合规性价值保护关注交易/资产保护相关风险范围流程分析&最佳实务操作有限的全面的18风险评估及建立模型制定内部审计方案提交结论及建议执行内部审计测试内部审计建立内部审计测试德勤内部审计模型审计准备20目录对内部控制的理解风险管理与其在企业管理中的作用内部审计及其在企业管理中的作用内部控制、风险管理和内部审计的关系与整合风险导向的内部控制体系的构建目标设定事项识别风险评估风险应对内部控制和风险管理的框架：COSO框架的演进监控子公业司务分单支位企机业构层面内部环境信息和沟通控制活动风险评估控制环境控制活动信息与沟通监督COSO内控框架(1992)COSO风险管理框架(2004)21目前对风险管理与内控认识存在的误区把内部控制与全面风险管理体系的建设理解为建章立制。内部控制体系和全面风险管理体系是相互独立的。内部控制和全面风险管理的作用被夸大。内部控制与全面风险管理理念在企业实践落地难。误区•内置于企业日常管理过程中，是一种常规运行的机制。•整合建设，但根据企业特点各有侧重。•无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。•新事物的导入有个过程，要认清风险管理成熟度。正解••••22风险管理与内部控制的关系理论界对内部控制与风险管理的关系有两种观点：q观点1：认为风险管理是内部控制的组成部分q观点2：认为内部控制是风险管理的组成部分2324风险管理与内部控制的关系（续）我们的看法是：q如果以风险作为管理的起点，则内部控制是风险的应对，可以理解为控制属于风险管理的实现工具，因此控制包含于风险管理；q如果认为企业管理的实质是控制，风险管理只是在资源有限性和对象复杂性矛盾下的平衡和导向，那么风险管理可以作为控制系统的一部分；q从组织结构来看，内部控制和风险管理相应的组织结构是完全一致的，说明二者都应该无缝整合到一定的组织结构中，和其他有关的业务和职能管理共同服务于企业管理。风险管理与内部控制的关系（续）公司治理、风险管理和内部控制是现代企业管控体制的组成部分。q公司治理：是现代企业调整所有者和管理者矛盾的体系；q风险管理：是管理层应对内外的各种挑战和不确定因素的时候，所采用的较为系统的方法和过程；q内部控制是：现代企业内部日常经营运作的业务过程，管理者负有实施和监督的完全责任。现代企业管控体制公司治理风险管理内部控制25风险管理：做正确的事•风险管理解决的不仅是流程问题，更是要解决战略决策问题、应急处理问题；不仅要解决当前的问题，更要预测和应对将来可能发生的问题；不但要解决“正确地做事”，关键是还要解决“做正确的事”•风险管理更偏向于前端，对影响目标实现的因素的分析、评估与应对，防止重大决策失误，防止出现重大危机问题。内控：正确的做事•内控解决的是流程问题，包括业务流程、管理流程中的风险控制，解决的是“正确地做事”。•内部控制更加重视实施，嵌入到企业各业务流程的具体业务活动中，融合在企业的各项