内部控制与风险管理(课件)

内部控制与全面风险管理主讲:李三喜目录一案例介绍三过程分析二动因分析四实务分析效果分析五案例介绍：基本情况中国三泰集团公司的经济结构庞杂：房地产开发物业管理工业制造商业贸易等中国三泰集团公司的业务特点上：点多面广业务复杂中国三泰集团公司组织内的各个法人主体：业务多元化从事同一业务的手段、方式、环境相对多样化业务变化性比较强形成集团统一的内部控制手册难度较大案例介绍：基本思路•明确主要业务目标。•规范主要业务流程。强调业务的程序设计，规范业务流程，力求业务流程清晰、规范、统一。•明确权限。要明确母子公司、公司与分公司、公司职能部门及重要负责人在业务流程中的权限与责任，责任落实到人或岗位。•明确业务风险，突出重点控制环节。•总公司《内控手册》按业务块划分进行。•总公司《内控手册》与现行制度的关系：《内控手册》侧重于主要业务目标的确立、主要业务流程的规范、主要业务的风险控制，权限划分、责任到人；现行制度是《内控手册》的支持性文件，制度强调政策性、全面性。•在《内控手册》的大纲设计与编制模式上，将进一步听取和采纳有关专家、咨询机构的论证意见。案例介绍：项目组织•成立内控领导小组，组长由董事长担任。•副组长：总会计师•领导小组成员：由总经办、人力资源部、财务部、资金部、企管部、法律部、项目部、市场部、科技部、政工部、审计部等相关部门领导组成。•领导小组下设《内部控制手册》制定办公室，由审计部、财务部、法律部联合组成。•办公室主任：财务部总经理；副主任：审计部总经理副主任：法律部总经理•办公室成员由相关部门及下属单位有关人员组成，办公室具体落实编写成员并组织编写。建立风控体系的目的1《内控现状评价报告》2《内部控制手册》3《内控自我评估手册》4《全面风险管理手册》本项目主要成果满足监管要求•国香港联交所《公司管治常规守则》《企业管治报告》。•财政部《内部控制基本规范》等•国资委《中央企业全面风险管理指引》提升风险管理水平•2009年各项制度160多项，1215页，约300万字。•线条粗放，不完整、不深入•主要是文字的表述，但大部分没有流程上的规范，导致同一个制度在执行中存在多种理解、执行的结果也有很大区别。案例介绍：目的及成果目录一案例介绍三过程分析二动因分析四实务分析效果分析五满足监管要求中国香港联交所监管规定上海证券交易所监管规定国资委《中央企业全面风险管理指引》COSO《企业风险管理－整合框架》提升公司管理水平通过风控体系建设推动公司管理创新，力求实现不确定环境中公司价值最大化，从而为实现公司战略目标提供合理保障加快内审战略转型实施以管理为目标，以风险为导向，以控制为中心，以增值为目的的现代管理审计动因分析：外部监管要求和自身发展需要中国三泰案例风险及其影响动因分析：风险无处不在、无时不在企业的重大损失甚至倒闭都是由于不良的风险管理所造成。中航油中储棉安然巴林银行风险长虹世通德隆长期资本管理八佰伴安达信——没完没了风险大案动因分析：风险案例及其警示风险案例及其警示——增强企业风险管理水平案例带来的思考……企业在实现目标的道路上，机遇与风险并存。始终能保持竞争力的企业，是那些拥有良好的内部控制力与风险防范的企业目录一案例介绍三过程分析二动因分析四实务分析效果分析五合规型内控符合政策法规•证券交易所守则•国资委要求•其它法律法规条款管理型内控提高经营效率•内控和风险管理融入日常经营中•降低不确定因素对目标实现的影响•提高执行力全面风险管理增加股东价值•风险管理融入战略和目标制定中•通过风险管理增加利润，优化内部资源分配和投资决策中国三泰案例国资委《中央企业全面风险管理指引》的目标过程分析：逻辑思路意识决定行动。管理层的风险意识是决定风险管理体系建立和有效实施的原动力。中国中国三泰的风险管理体系建设是一个过程，是一个持续改进、不断完善的过程。中国中国三泰风险管理关键是执行，而不是设计。+3C框架COSO体系控制环境风险评估控制活动信息和沟通监督COSO集成的内部控制框架=过程分析：逻辑思路控制环境风险评估控制活动信息和沟通监督COSO集成的内部控制框架COSO体系1992年，美国“反对虚假财务报告委员会（由美国注册会计师协会、国际内部审计师协会等团体发起成立）下设的COSO委员会提出了《内部控制——整体框架》（简称COSO框架）。该框架认为，内部控制应当由五个基本要素组成，即控制环境、风险评估、控制活动、信息与沟通和监督。五个要素构成内部控制的基本体系。2004年COSO委员会又颁布了一个概念全新的COSO报告：即《企业风险管理----总体框架。企业风险管理由八项相互关联的要素组成即控制环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通和监督。该框架发布后，得到各国政府相关部门、企业界、审计界的广泛认同，成为现代风险管理理论与实务的基础。过程分析：逻辑思路2006年3月，中天恒历时三年苦心研究推出了”中国式全面控制框架“（简称3C框架）。2007年4月，中天恒又在中国式全面控制框架的基础上，推出3C全面风险管理标准。2009年4月，中天恒又推出3C内控评审操作标准及信息系统。3C框架认为，目标——风险——管理，这是全面风险管理的内在逻辑。3C框架认为，目标体系、风险融合和管理融合组成企业全面风险管理的有机体系。3C框架认为，全面风险管理实务由风险管理准备、风险管理实施、风险管理报告和风险管理改进组成。3C框架过程分析：逻辑思路第一阶段项目启动第二阶段方案设计第三阶段方案试行第四阶段后续完善第五阶段全面实施项目启动及项目组培训流程和制度梳理风险识别风险分析和评价完善制度和证据编制风险管理手册培训辅导和指导评估完善风险管理手册….全面推广风险整合与风险应对过程分析：建设过程中国三泰案例1、收集资料和了解情况阶段搜集国家有关法律法规单位的组织结构部门岗位职责现行各项规章制度过程分析：操作路径2、现状流程描述阶段（1）编制业务流程目录。中国三泰业务流程目录流程编号一级流程二级流程三级流程四级流程五级流程……CA09财务管理CA09.01全面预算CA09.01.01预算编制CA09.01.02预算执行CA09.01.03预算调整CA09.01.04预算考评CA09.02资金管理CA09.02.01资金收付管理CA09.02.01.01收款管理CA09.02.01.02付款管理……过程分析：操作路径2、现状流程描述阶段（2）绘制业务流程图。CA09.02.01.01收款管理银行相关业务部门财务部门通过不通过6会计人员09.制单、记账记账凭证1、现金日记账2、银行存款日记账出纳04.记账2，3，4,53.1M银行01.收到款后，发出到账通知单出纳05.每日对库存现金进行盘点，与现金日记账余额核对结束10.复核员复核记账凭证出纳06.取得银行对帐单结算人员08.开具发票出纳03.加盖收讫章、收取现金业务部门07.产品出库等银行04.存款并发出到账通知单2.1M到账通知单结算人员02.开具收据相关人员01.办理收取现金手续1.1M,1.2M收款收据4.1M现金盘点表15.1M会计07.核对并编制银行余额调节表银行余额调节表6.1M过程分析：操作路径3、进行风险评估中国三泰单位风险数据库流程编号一级流程二级流程三级流程四级流程五级流程相关风险备注……CA09财务管理CA09财务管理……CA09.02资金管理CA09.02.01资金收付管理CA09.02.01.01收款管理不相容岗位未分离收到的款项未及时、全部入账坐支现金库存现金超限额、账实不符现金存取不安全银行存款账实不符过程分析：操作路径4、寻找控制点,确定控制措施针对具体的风险,为每一个控制点制定出具体的控制措施一般控制点关键控制点过程分析：操作路径5、明确控制责任在确定各控制点和控制措施的基础上，将控制责任落实到相应的部门和岗位上，以保证责任到人，失职必究。过程分析：操作路径6、完善控制证据。一是表单本身就是控制措施的落实，将控制点和控制措施落到实处；二是表单的流转为内部控制留下痕迹，有利于进行内部控制测试与评价。过程分析：操作路径7、编制内部控制文档控制目标风险分析控制点控制措施控制责任控制证据过程分析：操作路径8、设计风控手册对现场工作取得的成果和收集的资料进行进一步整理和完善，编制控制程序文件，并将上述各阶段成果汇总形成企业的风控手册。过程分析：操作路径9、制度优化考虑到中国企业对制度的高度认同和有效执行，根据内部控制措施对现有制度进行完善，制度修订后下发执行。过程分析：操作路径目录一案例介绍三过程分析二动因分析四实务分析效果分析五EstablishControlenvironmentMonitorandimprovingIdentifyrisksEstablishContextRiskresponseRiskControlactivitiesInformationcommunicationRiskassessment风险管理环境•公司文化•管理政策•风险容忍度•跨功能风险管理组织目标设定•战略•运营•合规风险识别•关键成功因素•威胁因素•主要风险风险评估•描述•量化•整合•排序风险回应•决策•机会与威胁把握风险控制•风险处理•计划•流程资讯与沟通•监控报告•监控与改进•审计：内部和外部•检查：专项、CSA•中国三泰案例实务分析：中国三泰案例•国务院国资委5.监督与改进1.收集初始信息2.进行风险评估3.制定风险策略4.实施解决方案实务分析：国家标准第一章总则第二章风险管理初始信息第三章风险评估第四章风险管理策略第五章风险管理解决方案第六章风险管理的监督与改进第七章风险管理组织体系第八章风险管理信息系统第九章风险管理文化第十章附则附录：风险管理常用技术方法简介中央企业全面风险管理指引•第一章总则•第二章内部环境•第三章风险评估•第四章控制活动•第五章信息与沟通•第六章内部监督•第七章附则[内部控制基本规范]中天恒管理咨询公司和中天恒会计师事务所以构建中国企业自己的全面风险管理标准为己任，在继2006年推出的中国式全面控制框架（简称“3C框架”）的基础，于2007年4月19日（农历三月初三）正式推出了“3C框架：中国式全面风险管理标准”（简称“3C全面风险管理标准”），包括3C全面风险管理基本框架、3C全面风险管理实务标准、3C全面风险管理操作指南三部分。3C框架：中国企业自己的全面风险管理标准实务分析：3C框架1.3C框架全面风险管理框架图（1）标准框图3C框架全面风险管理流程简图标准框图1.概念风险识别=风险辨识=风险确认=事件识别，是确认风险的过程。2.内容关键是把风险叼出来，一般可绘制成如下“骨”图：风险识别实务分析：管理实务中国三泰案例:风险评估1.概念全面风险管理的一个重要组成部分，是在风险识别的基础上对风险进行计量、分析、判断、排序的过程，包括风险计价、风险分析、风险评价等步骤，是风险应对的主要依据，应立足于对固有风险和剩余风险的评估。2.内容一般来说，对识别出来的风险，从可能性和影响两个方面进行评估后，就可以根据评估的结果采取应对措施。3.方法风险评估方法包括定性方法和定量方法，应定性方法和定量方法相结合进行。企业的在风险评估中访谈、集体讨论、专家咨询、问卷调查、标杆分析是比较常用的方法，我国中央企业在实践中已采用过去风险事件总结和分析、同业企业风险事件总结和分析、部门初始风险评估表、企业初始风险汇总表等具有自主创新，有很强的实用性。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。risk1Risk2。。。。。。综合信息框架风险图谱风险辨识风险分析风险初步判断确认风险事件风险定义归类红灯区黄灯区绿灯区可能性重要性风险列表分析结果风险表现分析风险影响分析风险动因分析风险关系分析风险发生可能性评价风险影响程度评价风险评价风险模型重大风险模型。。。。。。。。。风险评估报告风险应对1.概念选择应对风险策略的过程，是全面风险管理的重要环节。2.内容风险规避彻底避免改变条件中途放弃风险降低消除风险可能发生的根源降低损失发