普华永道全面风险管理培训.ppt

中国华电集团中国华电集团全面风险管理全面风险管理研讨会研讨会2010年3月主讲人：普华永道-杨丰禹（合伙人）普华永道2009年8月第 2页提纲一、中央企业全面风险管理指引-背景-全面风险管理体系-全面风险管理基本流程二、企业内部控制基本规范三、风险管理与内部控制及其他管理体系四、整合公司治理、风险、控制及合规活动普华永道2009年8月第 3页提纲一、一、中央企业全面风险管理指引中央企业全面风险管理指引-背景-全面风险管理体系-全面风险管理基本流程二、企业内部控制基本规范三、风险管理与内部控制及其他管理体系四、整合公司治理、风险、控制及合规活动普华永道2009年8月第 4页中国式集团的特征中国式集团的特征母公司空心化母公司空心化行政组建或者行政组建或者剥离改制而成剥离改制而成财务决策监控财务决策监控弱化和过度干弱化和过度干预并存预并存反跨国反跨国公司现象公司现象没有收入，只收管理费；没有业务，只有上传下达很多都没有资本纽带，不是由逐级投资形成，资本产权不清晰，连结不紧密，控制不力有的多达十几级企业，松散的管理模式，有的子公司小日子过得不错，不希望被干预，监控弱化，有的被完全捆住手脚，丧失活力集团越大越松散，越没有竞争力普华永道2009年8月第 5页中国环境下集团化经营的风险特征中国环境下集团化经营的风险特征财务杠杆的不财务杠杆的不当使用当使用投资陷阱投资陷阱内部人控制内部人控制资金的管理和资金的管理和运用运用内控流程风险内控流程风险借款和担保的借款和担保的控制控制关联交易关联交易通过集团内购销业务转移利润；集团内过度担保或者集团外担保互换；信贷资金转移；相互注资集团以当期利润作为子公司的业绩考核及激励的标准，子公司的经营者盲目投资；发生困难靠母公司救济度日；没有实收资本，靠银行贷款；没有盈利还要支付大量财务费用；盲目多元化投资 子公司层面治理结构控制能力薄弱，导致管理层实际控制，内部人控制现象严重有的子公司持有过量的存量现金，其它子公司却资金匮乏；集团公司的资金使用效率低下虽然存在很多制度，但是，这些现行的制度往往没有得到充分的执行，且由于制度执行不力的情况广泛存在，制度之间的相互矛盾以及制度本身的不具可操作性，造成企业的管理制度有名无实。跨区域经营和管理链过长，子公司的对外担保和对外贷款难以实施有效控制，承担其它企业经营风险这种杠杆效应是指集团公司可以通过一层一层控股多次运用同样资本取得不同的贷款，对其控制的资产和收益发挥很大的杠杆作用 普华永道2009年8月第 6页国有企业进行全面风险管理的迫切性国有企业进行全面风险管理的迫切性p在扩张的冲动下对并购的风险认识不足，涉足不熟悉的行业而带来巨大的风险；p盲目追求企业的规模，造成高负债率、低现金流的运营局面而引发危机；p对从事证券、外汇、期货等金融业务的风险认识不足而带来风险；p由于公司规模庞大、组织结构复杂，对下属企业的管理力度削弱，而导致下属企业发生重大风险事故；p盲目对外担保，因连带责任被冻结资产和强行偿债；p忽视安全生产和环境保护，而导致重大安全事故和环境污染事故。国有企业风险管理的教训国有企业风险管理的教训新形势下国有企业面临的风险新形势下国有企业面临的风险p市场竞争加剧；p国家政策导向的变化；p战略决策失误；pWTO及全球一体化；p关键人才流失；p利率及汇率波动；p客户需求变化；p环境保护普华永道2009年8月第 7页股东（出资方）、经营层、执行层各个层级风险信息严重不对股东（出资方）、经营层、执行层各个层级风险信息严重不对称是全面风险管理产生的内在需求称是全面风险管理产生的内在需求股东承担企业经营的最终风险，即以其出资额为限承担有限责任。因此各级国有资本的出资人关心并要求企业控制风险是天职。股东希望企业系统化地建立一套风险管理体制，从而识别影响企业目标实现的关键因素，并对那些会影响企业达标的风险进行监控及管理。普华永道2009年8月第 8页国务院国资委颁布国务院国资委颁布中央企业全面风险管理指引中央企业全面风险管理指引，以推进风险，以推进风险管理工作管理工作学习国际上先进的做法，引进全面风险管理2006年年6月，国务院国资委发布月，国务院国资委发布中央企业全面风险管理指引中央企业全面风险管理指引,尝试在中央国有企业中引入全面尝试在中央国有企业中引入全面风险管理风险管理近近10多年来，国内企多年来，国内企业因为风险管理不善业因为风险管理不善或缺失而导致的重大或缺失而导致的重大风险事件也屡有发生风险事件也屡有发生p中航油新加坡公司；p三九集团；p海南发展银行；p广东国际信托投资 公司；这一系列的国有企业风险事件直接危及到国有资产的安全，更直接影响到国有资产保值增值这一目标的实现p指引要求中央企业建立健全全面风险管理体系，并要求董事会上报“风险管理年度工作报告”；p将风险管理纳入企业领导人员考核和评价体系；p加强责任追究，未按指引要求重视风险管理而导致风险事件的发生，将追究相关领导人责任。指引的发布正式拉开了中国企业开展全面风险管理的序幕，同年5月、7月，深交所和上交所发布了上市公司内部控制指引，同时部分省级国资委也开始进行全面风险管理试点普华永道2009年8月第 9页什么是企业的全面风险管理？什么是企业的全面风险管理？“企业的全面风险管理是一套由企业董事会与管理层共同设立、与企业战企业的全面风险管理是一套由企业董事会与管理层共同设立、与企业战略相结合的略相结合的管理流程管理流程。它的功能是识别那些会影响企业运作的潜在事件并把相关的风。它的功能是识别那些会影响企业运作的潜在事件并把相关的风险管理到一个企业可接受的水平，从而帮助企业达至它的目标。险管理到一个企业可接受的水平，从而帮助企业达至它的目标。”美国内控研究委员会美国内控研究委员会（COSO)COSO)“全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的经营过程中执行风险管理的基本流程基本流程，培育良好的风险管理，培育良好的风险管理文化文化，建立健全全面风险，建立健全全面风险管理管理体系体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。法。”国务院国资委国务院国资委中央企业全面风险管理指引中央企业全面风险管理指引 普华永道2009年8月第 10页全面风险管理的目标全面风险管理的目标p达到与企业整体经营战略相结合的风险最优化达到与企业整体经营战略相结合的风险最优化 从企业的战略目标出发，充分认识某些风险与机会共存的特性，制定与企业战略相适应的风险管理策略，实现风险的最优化管理；p保护企业不至因灾害性事件或错误而遭受重大损失保护企业不至因灾害性事件或错误而遭受重大损失 对灾害性事件的预防是传统意义上的企业风险管理的基本内容；p运营的效率和效果运营的效率和效果 通过避免无效率和低效率的操作以及降低风险事件带来的损失，帮助企业有效提升经营业绩；p可靠的信息沟通可靠的信息沟通,包括可靠的财务报告包括可靠的财务报告 消除企业的经营者和所有者之间的信息不对称，使企业的所有者能及时、全面和客观地了解企业；p遵守法律法规遵守法律法规 通过对相关法律法规的知晓和遵守而避免不合规操作带来的损失。普华永道2009年8月第 11页全面风险管理框架全面风险管理框架 一个流程一个流程风险管理基本流程风险管理基本流程一个体系一个体系全面风险管理体系全面风险管理体系一种文化一种文化风险管理文化风险管理文化普华永道2009年8月第 12页提纲一、中央企业全面风险管理指引-背景-全面风险管理体系-全面风险管理基本流程二、企业内部控制基本规范三、风险管理与内部控制及其他管理体系四、整合公司治理、风险、控制及合规活动普华永道2009年8月第 13页全面风险管理框架结构全面风险管理框架结构全面风险管理循环流程全面风险管理循环流程监控改进监控改进制定风险制定风险管理策略管理策略风险评估风险评估1.1.2.2.5.5.4.4.3.3.信息沟通贯穿始终信息沟通贯穿始终制定实施制定实施解决方案解决方案建立初始建立初始信息框架信息框架全面风全面风险管理险管理风险管理风险管理流程流程风险管理风险管理组织体系组织体系风险管理风险管理文化文化全面风险管理构成要素全面风险管理构成要素普华永道2009年8月第 14页风险管理策略风险管理策略企业使命战略风险管理策略重大风险管理目标风险偏好风险承受度风险应对策略风险管理策略是根据企业经营战略制定的全面风险管理的整体策略风险管理策略在整个风险管理体系中起着统领全局的作用制定风险管理策略的工作主要是根据企业整体经营战略等综合信息和风险评估的结果，为风险管理制定出可行有效的战略，以解决以下问题：应该承担什么风险怎样承担这些风险承担多少风险如何管理这些风险普华永道2009年8月第 15页风险偏好、风险承受度是风险策略的核心风险偏好、风险承受度是风险策略的核心q风险偏好风险偏好承担什么风险承担什么风险承担多少风险承担多少风险q风险承受度风险承受度作为风险偏好的边界作为风险偏好的边界作为预警指标作为预警指标v应当进入工程用车市场么？投资多少？v我们应当为这个客户担保么？是否需要抵押？需要多少抵押？v应当保持多少资产负债率？v是否应当跨省投资？v应当和这个公司联盟么？v是否需要套期保值？v市场表现到什么时候，我们就应当追加投资或者一定退出？v资产负债率高到什么时候，我们需要停止利用财务杠杆？普华永道2009年8月第 16页风险管理职能体系设计的原则风险管理职能体系设计的原则董事会董事会风险管理委员会风险管理委员会其它职能部门其它职能部门风险管理专职机构风险管理专职机构经营单位董事会经营单位董事会投资企业投资企业经营单位职能部门经营单位职能部门经营单位风险管理机构经营单位风险管理机构其它专业委员会其它专业委员会总总部部经经营营单单位位投投资资单单位位风风险险分分层层管管理理风险集中管理风险集中管理风险分类管理风险分类管理普华永道2009年8月第 17页企业风险管理企业风险管理组织职能体系组织职能体系一个基础一个基础三道防线三道防线管理层管理层CEOCEO第三道防线第三道防线第二道防线第二道防线第一道防线第一道防线业务部门业务部门董事会董事会风险管理风险管理内部审计内部审计审计委员审计委员会会风险管理风险管理委员会委员会普华永道2009年8月第 18页公司治理结构是全面风险管理的基础公司治理结构是全面风险管理的基础公司治理是风险管理的一个必要的组成部份，因为它提供了对风险由上而下的监控与管理近年多个国家都订立了公司治理的最佳守则：美国：纽约证交所最佳治理守则英国：Cadbury/Hampel Report、The Combined Code加拿大：Dey ReportOECD Report这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任订立企业的目标和战略，包括企业的风险政策和极限贯彻一套重视风险管理的企业文化和价值观普华永道2009年8月第 19页第一道防线：业务单位防线第一道防线：业务单位防线业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线执行全面风险管理的基本流程普华永道2009年8月第 20页第二道防线：风险管理单位防线第二道防线：风险管理单位防线第二道防线是在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、风险管理委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括：编制规章制度对各业务单位的风险进行管理和监控度量风险和评估风险的界限建立风险信息系统和预警系统、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析，为各业务单位分配经济资本金普华永道2009年8月第 21页第三道防线：内审单位防线第三道防线：内审单位防线内部审计作为整个风险管理监督的最后一道防线，它的职责是：确保业务部门自己进行有效的风险管理（包括对自己所从事的确保业务部门自己进行有效的风险管理（包括对自己所从事的业务的风险管理的监督与改进）业务的风险管理的监督与改进）确保风险管理职能部门确实履行了自己对风险管理进行监督与确保风险管理职能部门确实履行了自己对风险管理进行监督与改进的职责，是对公司整体风险管理的独立客观的监督。改进的职责，是对公司整体风险管理的独立客观的监督。防范误区：内部审计对风险管理的监督职责不能替代风险管理职能部门的工防范误区：内部审计对风险管理的监督职责不能替代风险管理职能部门的工作，更不能替代业务部门对风险管理进行监督改进的职责。在目前国内的企作，更不能替代业务部门对风险管理进行监督改进的职责。在目前国内的企业中，很容易把这些监督职责全部放到内部审计的头上，致使内部审计越俎业中，很容易把这些监督职责全部放到内部审计的头上，致使内部审计越俎代庖。代庖。普华永道2009年8月第 22页风险管理的角色和责任风险管理的角色和责任企业中每一个人都对企业风险管理负有责任。首席执行官最终对企业风险管理负责并应承担最终责任。经理人员支持风险管理理念，促使企业与其风险偏好保持一致，并在其职责范围内管理风险使其与企业的风险容忍度相一致。普通人员负责根据企业管理层确定的指令和规章实施企业风险管理。董事会对企业风险管理提供重要的监督。外部有关方常常提供在实施企业风险管理中有用的信息，但是，他们不对企业风险管理的有效性负责。普华永道2009年8月第 23页风险管理的角色和责任风险管理的角色和责任董事会董事会管理层向董事会负责，董事会提供监督、指导和指示。通过选择管理层，董事会在确定其期望的企业诚信和道德价值观方面发挥着主要作用.董事会监督经营管理活动来确认是否符合董事会的期望。通过保留在某些关键决策上的权限，董事会可以在企业制定战略、明确高层次的目标和广泛的资源配置方面发挥作用。有效率的董事拥有丰富的工作经验，承诺利用必要的时间履行其董事的责任。他们根据需要，利用资源进行专门的调查，并有与内部审计师、外部审计师和法律顾问的开放、无任何限制的沟通渠道。董事会可能利用各种委员会来履行其职责。董事会CEO高级管理人员2风险管理负责人高级管理人员1基层基层基层基层基层内审普华永道2009年8月第 24页风险管理的角色和责任风险管理的角色和责任首席执行官首席执行官首席执行官对企业风险管理负有最终的所有权责任。执行这一职责的最重要的一个方面是保证企业有一个积极的内部环境。首席执行官的责任包括确认企业风险管理的所有要素全部到位。首席执行官一般通过以下方式履行其这个职责：领导和指导高级管理人员；与他们一起，首席执行官决定构成企业全面风险管理基础的价值观、原则和主要的经营策略。首席执行官和关键的高级管理人员制定企业的战略目标、战略以及有关的高层面目标。首席执行管和高级管理层通过制订政策，阐述企业风险管理理念、风险偏好和文化。定期与负责主要职能领域如销售、营销、生产、采购、财务、人力资源等部门的高级管理人员会面，审查他们的职责包括他们管理企业风险的方式。董事会CEO高级管理人员2风险管理负责人高级管理人员1基层基层基层基层基层内审普华永道2009年8月第 25页风险管理的角色和责任风险管理的角色和责任高级管理层高级管理层高级管理人员对与自己分管的部门目标有关的风险管理负责。他们把企业战略转变为经营活动、识别事件和评估风险并实施风险应对方案。管理人员在其责任范围内指导应用企业风险管理的要素，并确保实际应用与企业的风险容忍度相一致。高级管理人员实际上就是其负责范围内的“首席执行官”。高级管理人员通常将建立更具体的企业风险管理程序的责任分配给具体流程、职能或部门的负责人。董事会CEO高级管理人员2风险管理负责人高级管理人员1基层基层基层基层基层内审普华永道2009年8月第 26页风险管理的角色和责任风险管理的角色和责任风险管理的负责人风险管理的负责人风险管理负责人（风险管理总监（CRO)或风险管理经理）在其负责的领域内与其他管理人员共同工作确立有效的企业风险管理；确立企业风险管理政策，包括定义作用和职责，并参与制定实施目标；为业务单位制定实施企业风险管理的权限和责任；促进提高整个企业的全面风险管理能力，指导企业风险管理与其他业务规划和管理活动的整合；确立一种通用的风险管理语言，包括围绕可能性和影响的通用测量方法以及通用的风险类别；推动管理人员制订报告的内容格式规定，包括定量和定性的界定，并监督整个报告流程；向首席执行官报告工作进展和外部反馈，并根据需要建议采取行动。董事会CEO高级管理人员2风险管理负责人高级管理人员1基层基层基层基层基层内审普华永道2009年8月第 27页风险管理的角色和责任风险管理的角色和责任内部审计内部审计内部审计师在评估（以及建议改进）企业风险管理的有效性方面发挥着关键作用。内部审计师协助管理层和董事会或审计委员会对企业风险管理的充分性和有效性进行审查、评价、报告并提出建议予以改进。应发挥合适的作用，但要对其审计的活动保持客观。董事会CEO高级管理人员2风险管理负责人高级管理人员1基层基层基层基层基层内审普华永道2009年8月第 28页风险管理的角色和责任风险管理的角色和责任普通人员普通人员企业风险管理是企业中所有人的职责，因此应成为每个人岗位职责（无论清晰还是含蓄的）描述中的一部分，几乎所有员工都在实施风险管理中发挥作用。所有企业员工都有责任支持企业风险管理中固有的信息流动和沟通交流。企业风险管理是企业中每个人的事情，因此应明确界定每个人的角色和职责并进行有企业风险管理是企业中每个人的事情，因此应明确界定每个人的角色和职责并进行有效地传达沟通。效地传达沟通。董事会CEO高级管理人员2风险管理负责人高级管理人员1基层基层基层基层基层内审普华永道2009年8月第 29页提纲一、中央企业全面风险管理指引-背景-全面风险管理体系-全面风险管理基本流程二、企业内部控制基本规范三、风险管理与内部控制及其他管理体系四、整合公司治理、风险、控制及合规活动普华永道2009年8月第 30页风险管理基本流程风险管理基本流程建立综建立综合信息合信息框架框架制定实制定实施解决施解决方案方案监控监控改进改进制定风制定风险管理险管理策略策略风险风险评估评估1 12 23 34 45 5普华永道2009年8月通过收集企业的相关资料，组织对企业管理层和员工的访谈和问卷调查，以及对企业相通过收集企业的相关资料，组织对企业管理层和员工的访谈和问卷调查，以及对企业相关流程的梳理，来获得对企业进行风险判断的基础资料。关流程的梳理，来获得对企业进行风险判断的基础资料。收集相关资料对管理层和相关员工进行访谈公司范围内进行问卷调查对主要流程进行梳理获得企业风险管理现状的全面的信息建立综合信息框架建立综合信息框架内部信息外内部信息外部信息部信息风险管理现状、风险管理现状、风险文化风险文化蕴含于业务层蕴含于业务层面的风险点面的风险点普华永道2009年8月第 32 页识别风险识别风险v风险识别风险识别风险的主要来源风险是指对企业目标实现可能造成影响的事项发生的可能性。风险是指对企业目标实现可能造成影响的事项发生的可能性。电力企业电力企业共有外部风险共有外部风险电力企业电力企业共有内部风险共有内部风险发电企业发电企业特有风险特有风险自然风险经济风险技术风险天气风险负荷预测风险规划风险燃料管理风险经济调度风险电力行业政策地方自备电厂政策电力环保政策政策法规风险财务管理风险资金管理风险 施工风险维修风险安全运行风险用户最大负荷持续时间、用电量风险交易模式带来的风险竞价上网风险用户用电时间特性风险普华永道2009年8月第 33页流程梳理既是内部风险初始信息的环节，也是风险评估的最有效方法之一流程梳理既是内部风险初始信息的环节，也是风险评估的最有效方法之一公司层面公司层面11.人力资源与薪金福利12.法律事务管理02.采购与应付01.燃料采购02.物资采购03.固定资产零星采购04.服务采购04.生产、成本与库存01.生产管理02.成本管理03.库存管理05.安全、健康和环境管理08.无形资产管理09.资金管理01.现金与银行存款管理02.债务管理03.投资管理04.金融风险管理05.保险管理06.网上银行管理07.担保管理08.付款管理09.收款管理10.资金结算10.税务管理03.销售与应收01.预算与计划管理01.预算的编制与审批02.危急事件管理03.业务绩效审核与经营活动 分析 06.工程管理电厂建设管理07.固定资产管理13.会计处理、结账与财务报告流程14.信息系统管理15.内部审计业务流程层面业务流程层面内部环境控制活动共性方面内部监控风险监控信息与沟通流程梳理流程梳理普华永道2009年8月第 34页根据评估结果描述出公司面临的风险及分类根据评估结果描述出公司面临的风险及分类影响程度影响程度近乎没有轻微中等重大灾难几乎 肯定极可能可能低极低BCAGIDJKHEF可可能能性性说明:A 市场风险B 资金沉淀风险C 投资失误风险D 自然灾害风险E 人力资源风险F 设备故障风险G 燃煤供应风险H 生产事故风险I 政策风险J 工程项目风险K 信息技术风险普华永道2009年8月第 35页风险策略风险策略避免禁止主营业务之外的实体投资禁止投资股票和房地产撤出某高风险的地区转移为设备投保险为厂房投保险小心管理建立应急预案体系加强设备的维护维修加强燃煤库存管理与煤矿建立战略性联盟关系可接受自我保险预留储备增加监督风险处理策略风险处理策略影响程度影响程度大大小小可可能能性性转移转移避免避免小心管理小心管理可接受可接受高高低低普华永道2009年8月第 36页制定实施解决方案的工作是对应用范围内风险管理策略的执行方案，包制定实施解决方案的工作是对应用范围内风险管理策略的执行方案，包括所需要的以下各方面要素：括所需要的以下各方面要素：组织体系、责权分配、奖惩措施和报告体系政策、制度、程序监控手段、信息系统业务和管理的调整方案具体风险的管理方案的设计实施，如应急措施和预警方案制定实施解决方案制定实施解决方案普华永道2009年8月第 37页监控改进的工作是监控风险和风险管理的情况，并据此更新综监控改进的工作是监控风险和风险管理的情况，并据此更新综合信息框架，对全面风险管理的工作作出持续的改进，包括：合信息框架，对全面风险管理的工作作出持续的改进，包括：监督内外部风险的发展和风险事件的发生，如市场的变化、法律法规的变更、企业自身的战略变化等监控全面风险管理的运行情况改进风险管理策略改进解决方案监控改进监控改进普华永道2009年8月第 38页构建企业风险管理的关键成功要素构建企业风险管理的关键成功要素1.1.股东确立对企业监督的机制，考虑是否需要在集团层面：股东确立对企业监督的机制，考虑是否需要在集团层面：引入以董事会领导的管理体制聘任有经验的外部董事，来加强对企业的监督要求企业建立风险管理和内控系统，并对其运作及有效性作出定期的汇报2.2.管理高层的支持和参与管理高层的支持和参与确立方向和目标营造必要的环境为平衡风险与回报作出战略性的决定3.3.建立风险管理文化建立风险管理文化风险管理的手段，必须融入日常的管理流程通过讨论和培训，使风险管理的实施得到“全民”的支持通过经验的分享，不断加强风险管理的认同性4.4.采用先进的风险管理的实施方法采用先进的风险管理的实施方法以国务院国资委全面风险管理指引作为指导文件采用各种识别和度量风险的先进的方法采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务，构建信息管理系统和预警系统普华永道2009年8月第 39页1.1 1.1 了解了解风险管理管理的重要性的重要性2.2 2.2 风险机构和机构和政策制定政策制定3.2 3.2 主要主要风险指指标4.2 4.2 考考虑外部数外部数据据3.1 3.1 自我自我评估工具估工具2.1 2.1 风险识别和和风险图1.1.文化文化3.3.定性管理定性管理5.5.整合管理整合管理2.2.风险识别4.4.定量衡量定量衡量4.3 4.3 量化量化风险和和资本的内部模型本的内部模型4.1 4.1 收集内部收集内部损失数据失数据5.4 5.4 向管理向管理层和和利益关系方利益关系方汇报5.3 5.3 管理控制与管理控制与纠正行正行动5.2 5.2 风险回回报指指标5.1 5.1 与公司与公司现存存体系的整合体系的整合实施企施企业风险管理的五个管理的五个阶段段向企业风险管理迈进需要五个重要阶段向企业风险管理迈进需要五个重要阶段普华永道2009年8月第 40页提纲一、中央企业全面风险管理指引-背景-全面风险管理体系-全面风险管理基本流程二、企业内部控制基本规范三、风险管理与内部控制及其他管理体系四、整合公司治理、风险、控制及合规活动普华永道2009年8月第 41页财政部、证监会、审计署、银监会、保监会联合发布的财政部、证监会、审计署、银监会、保监会联合发布的企业内企业内部控制基本规范部控制基本规范生效日期：2011.1.1颁布单位：财政部、证监会、审计署、银监会、保监会联合发布通知也要求执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。普华永道2009年8月第 42页财政部、证监会、审计署、银监会、保监会联合发布的财政部、证监会、审计署、银监会、保监会联合发布的企业内企业内部控制基本规范部控制基本规范（续）（续）一、内部控制中的责任体系 企业董事会负责内部控制的建立健全和有效实施，监事会对董事会建立与实施内部控制进行监督，经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作，企业审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况。普华永道2009年8月第 43页财政部、证监会、审计署、银监会、保监会联合发布的财政部、证监会、审计署、银监会、保监会联合发布的企业内企业内部控制基本规范部控制基本规范（续）（续）二、内部控制目标和范围规范将内部控制定义为：由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。普华永道2009年8月第 44页财政部、证监会、审计署、银监会、保监会联合发布的财政部、证监会、审计署、银监会、保监会联合发布的企业内企业内部控制基本规范部控制基本规范（续）（续）三、内部控制内容和方法规范要求企业的内部控制应当包括五个基本要素：内部环境、风险评估、控制活动、信息与沟通和内部监督；而在实质上应当体现风险管理的八要素框架（即内部环境、目标制定、时间识别、风险评估、风险应对、控制活动、信息与沟通、监督）框架的实质。规范要求企业按照一定的方法，全面系统持续地收集相关信息，及时进行风险评估、对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施将风险控制在可接受度之内。普华永道2009年8月第 45页财政部、证监会、审计署、银监会、保监会联合发布的财政部、证监会、审计署、银监会、保监会联合发布的企业内企业内部控制基本规范部控制基本规范（续）（续）四、评估、审计和咨询要求 企业企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。审计接受企业委托从事内部控制审计的会计师事务所，应当根据规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。咨询为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。普华永道2009年8月第 46页财政部、证监会、审计署、银监会、保监会联合发布的财政部、证监会、审计署、银监会、保监会联合发布的企业内企业内部控制基本规范部控制基本规范（续）（续）五、要求的强制性及保障性以下要求将随着各项配套规章的完善而对规范起到推动作用：规范要求企业应当建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻实施本规范的具体要求，对企业建立与实施内部控制的情况进行监督检查。企业接受从事内部控制审计的会计师事务所的审计。普华永道2009年8月第 47页财政部、证监会、审计署、银监会、保监会联合发布的财政部、证监会、审计署、银监会、保监会联合发布的企业内企业内部控制基本规范部控制基本规范（续）（续）六、企业内部控制基本规范的配套措施企业内部控制应用指引企业内部控制应用指引 规范在方法体系上为企业提供了良好的开端，同时企业内部控制应用指引（征求意见稿）也已出台，作为企业建立内部控制的指导性文件。企业内部控制评价指引企业内部控制评价指引规范中要求企业定期对内部控制进行评价并出具评价报告。企业内部控制评价指引（征求意见稿）的第一、第二稿也已出台，作为评价的范围、内容、标准、程序以及评价结论等的规范。企业内部控制鉴证指引企业内部控制鉴证指引 审计指引审计指引 中国注册会计师协会日前也就规范的推出，发布了企业内部控制鉴证指引（征求意见稿）普华永道2009年8月第 48页提纲一、中央企业全面风险管理指引-风险事件-背景-全面风险管理体系-全面风险管理基本流程二、企业内部控制基本规范三、风险管理与内部控制及其他管理体系四、整合公司治理、风险、控制及合规活动普华永道2009年8月第 49页其他管理体系其他管理体系ISO 9000 ISO 9000 质量管理体系质量管理体系 主要通过对申请认证组织的质量管理体系提出各项要求来规范组织的质量管理体系。主要分为五大模块的要求，这五大模块分别是：质量管理体系、管理职责、资源管理、产品实现、测量分析和改进。ISO 14000 ISO 14000 环境管理环境管理体系体系 环境管理体系的国际标准，目的是规范企业和社会团体等所有组织的环境行为，以达到节省资源、减少环境污染、改善环境质量、促进经济持续、健康发展的目的。OHSMSOHSMS职业安全健康管理体系职业安全健康管理体系 OHSMS的基本思想是实现体系持续改进，通过周而复始地进行“计划、实施、监测、评审”活动，使体系功能不断加强。它要求组织在实施职业安全卫生管理体系时始终保持持续改进意识，对体系进行不断修正和完善，最终实现预防和控制工伤事故、职业病及其他损失的目标。ISO9000ISO9000其他其他OHSMSOHSMSISO14000ISO14000电力企力企业人力资源管理体系人力资源管理体系财务管理体系财务管理体系运营管理体系运营管理体系法律管理体系法律管理体系普华永道2009年8月第 50页内控与风险管理的区别与结合内控与风险管理的区别与结合全面风险管理则贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在 风险管理风险管理内部控制内部控制内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标 范畴范畴不一不一致致区别区别COSO中央企业全面风险管理指引COSO企业内部控制基本规范标准标准不同不同全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作 。两者两者的活的活动不动不一致一致 普华永道2009年8月第 51页风险管理与其他管理体系的区别与结合风险管理与其他管理体系的区别与结合风险管理体系并不是完全独立于其他管理体系的，关注的范围包含了其他的管理体系，在风险管理体系建设的同时，我们需要考虑到其他的管理体系，但却并不越俎代庖，因为其是两个层面的体系。风险管理与其他管理体系不同之处在于风险管理与其他管理体系不同之处在于：1、风险管理是企业高层领导驾驭企业、提升企业管理水平的有力工具。风险管理风险管理其他管理体系（如质量、安全等）其他管理体系（如质量、安全等）1、其他管理体系是具体操作的规范化、标准化的依据。2、涉及企业整个管理及业务领域2、关注企业某个方面的管理与控制（系统、条线）高度高度范围范围3、关注的是管理、业务的风险点2、关注的是操作流程的合理、合规关注关注点点普华永道2009年8月第 52页风险管理、内控和其他管理体系的关系风险管理、内控和其他管理体系的关系ISO9000ISO9000ISO14000ISO14000QHS18000QHS18000价值链价值链采购生产销售服务研发人力资源财务/预算计划润润利利际际边边战略层面战略层面执行层面执行层面风风险险管管理理内内部部控控制制其其他他管管理理体体系系日常日常风险管理最终风险管理最终为战略决策提为战略决策提供支持依据供支持依据普华永道2009年8月第 53页举例：全面预算管理与内部控制的关系举例：全面预算管理与内部控制的关系企业全面预算是风险管理意图的一种体现形式，而内部控制活动是合理保证其得到实现的工具与手段。具体而言：1.针对全面预算实施的内部控制存在明确的目标明确的目标；通过对预算指标的分解明确各责任预算单位的目标责任，并以此为依据强化内部预算监控与考核，以达到全面控制的目标。2.针对全面预算实施的内部控制是一种程序控制程序控制；以预算管理决策权限的划分和授权控制、预算组织不相容职务分离控制、预算审核控制、预算监控与内部审计等落实全面预算。3.针对全面预算实施的内部控制需通过授权进行授权进行；相关部门与岗位在处理业务时，需得到相应授权，公司内部需通过预算审批权限和预算执行权限的划分规则，进一步明确各责任主体的管理职责。4.针对全面预算实施的内部控制需被适当监督与考核；监督与考核；任何控制都不能离开适当的监督和考核，以维护控制的权威性，并且执行监督和考核的管理职能应当实现其独立性，才能保证全面预算在企业中真正发挥效用。普华永道2009年8月第 54页实现全面预算管理应具备的先决条件实现全面预算管理应具备的先决条件1.公司高级管理层的参与与支持2.预算模型与发展战略、风险管理以及经营模型相吻合3.基础数据的准确性和完整性4.信息管理系统和工具的有效支持5.提高财务人员的综合素质水平6.预算编制与实施中相关内部控制的有效实施7.预算实施和考评的严肃性普华永道2009年8月第 55页风险管理、内控和经济增加值（风险管理、内控和经济增加值（EVAEVA）考核的联系）考核的联系经济增加值（EVA）体现了企业为股东、债权人所创造的价值，是一种建立在均衡价值观基础之上的为股东谋求最大价值的思想。将经济增加值（EVA）指标替代财务业绩指标，作为经营绩效的主要考核指标之一，将对企业在主辅业经营、投资、融资等多个领域带来不同程度的影响。例如，非经常性收益不仅对经济增加值没有贡献，还可能因占用了原本可用于增加主业的资源而导致经济增加值的减少，影响到企业的综合考核结果。因此在战略层面，风险管理方面，如风险偏好、风险承受能力、风险应对策略等，应在企业经营管理的各个领域根据目标进行相应调整，以保证影响目标实现的内外部风险得到有效管理。在执行层面，通过设计并实施相应的内部控制活动以实现风险管理的各项目标。普华永道2009年8月第 56页提纲一、中央