内审、内控与风险管理框架(培训).ppt

《内审、内控与风险管理框架(培训).ppt》由会员分享，可在线阅读，更多相关《内审、内控与风险管理框架(培训).ppt（91页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 2014年4月构建以全面风险管理为核心构建以全面风险管理为核心的内部管控体系的内部管控体系恩歌源集团内部培训恩歌源集团内部培训v 房地产新政与地产宏观大势房地产新政与地产宏观大势v 资源竞争 资本竞争 管理竞争 向管理要效益向管理要效益具体项目操作能力具体项目操作能力各专业的管理能力各专业的管理能力企业综合管理能力企业综合管理能力专业间的集成能力专业间的集成能力行行业业竞竞争争激激烈烈宏宏观观经经济济调调控控企企业业利利润润趋趋薄薄管管理理精精细细化化管管理理出出效效益益四象限法 波士顿矩阵波士顿矩阵认识恩歌源-集团核心业务建设板块地产建设科技集团核心业务基础-保饭碗地产-求发展科技-拼机遇

2、农业农业认识恩歌源-集团核心竞争力建设板块软实力硬实力发展力战略决策优势商业模式优势相对优势（务实、团结、灵活）业务布局（传统产业-新兴产业）管理优势企业文化 什么是风险？什么是风险？风险在哪里？风险在哪里？案例分析v.安然公司（财务造假）安然公司（财务造假）巴林银行（高风险业务）巴林银行（高风险业务）TCLTCL海外并购的失败（并购风险）海外并购的失败（并购风险）三九集团多元化之路（盲目扩张）三九集团多元化之路（盲目扩张）富士康采购控制漏洞（控制漏洞、串通舞弊）富士康采购控制漏洞（控制漏洞、串通舞弊）龙岗舞王俱乐部火灾（没有风险预案）龙岗舞王俱乐部火灾（没有风险预案）20082008胶济铁路

3、火车相撞事故（执行不力，海恩法则胶济铁路火车相撞事故（执行不力，海恩法则-天灾天灾VSVS人祸？）人祸？）-“四不放过四不放过原则原则”某集团高管贪污（职责分离不明，不受控制岗位存在）某集团高管贪污（职责分离不明，不受控制岗位存在）回顾事件发生的经过，了解引致公司倒闭或严重损失的内控缺陷，从案例中回顾事件发生的经过，了解引致公司倒闭或严重损失的内控缺陷，从案例中吸吸取取的教训的教训 欺诈欺诈 舞弊舞弊 渎职渎职 管什么？管什么？风险管理风险管理管多深？管多深？谁来管？谁来管？怎么管？怎么管？决定了管理成效与企业命运决定了管理成效与企业命运取决于管理层的认识取决于管理层的认识风险管理体系风险管理

4、体系全面风险管理全面风险管理全面风险管理全面风险管理HSEHSEHSEHSE体系体系体系体系内控体系建设内控体系建设内控体系建设内控体系建设什么是风险？什么是风险管理？v2006年国资委中央企业全面风险管理指引 第三条：本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。第四条：本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和

5、经营过程中执行风险管理的执行风险管理的基本流程基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法过程和方法。风险处理策略风险处理策略影响影响程度程度可可能能性性转转移移避避免免降低降低承担承担大大小小高高低低风险策略风险策略v避免禁止交易减少或限制交易量离开市场v转移套期保险策略性联盟其他分担风险的安排v降低投资广泛保护的安排订价反映风险程度v承担自我保险预留储备增加监督 什么是内部控制?v2008年五部委委企业内部控制基本规范年五部委委企业内部

6、控制基本规范 第三条 本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。v2006上交所上海证券交易所上市公司内部控制指引上交所上海证券交易所上市公司内部控制指引 第二条第二条 内部控制是指上市公司（以下简称公司）为了内部控制是指上市公司（以下简称公司）为了保证公司战略目标的实现保证公司战略目标的实现，而对公司，而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由公司董事会、管理战略制定和经营活动中存在的风险予以

7、管理的相关制度安排。它是由公司董事会、管理层及全体员工共同参与的一项活动。层及全体员工共同参与的一项活动。内部审计定义.“内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。内审通过系统的方法，评价和改进企业的风险管理风险管理、控制和治理控制和治理流程的效益，帮助企业实现其目标。”美国内部审计师协会美国内部审计师协会中国内部审计协会内部审计，是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动业务活动、内部控制内部控制和风险管理风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。案例分析v.案案例例分析分析：安然公司（财

8、务造假）安然公司（财务造假）巴林银行（高风险业务）巴林银行（高风险业务）TCLTCL海外并购的失败（并购风险）海外并购的失败（并购风险）三九集团多元化之路（盲目扩张）三九集团多元化之路（盲目扩张）富士康采购控制漏洞（控制漏洞、串通舞弊）富士康采购控制漏洞（控制漏洞、串通舞弊）龙岗舞王俱乐部火灾（没有风险预案）龙岗舞王俱乐部火灾（没有风险预案）回顾事件发生的经过回顾事件发生的经过了解引致公司倒闭或严重损失的内控缺陷了解引致公司倒闭或严重损失的内控缺陷从案例中从案例中吸吸取的教训取的教训 欺诈欺诈 舞弊舞弊 抵御风险的三道屏障。业务层（内部控制）财务层（风险管理）审计层（风险评价）控制与效率的矛盾

9、统一控制与效率的矛盾统一目目 录录内审、内控与风险管理的关系与定内审、内控与风险管理的关系与定位位 2内审、内控与风险管理体系建设思内审、内控与风险管理体系建设思路路 3内审、内控与风险管理概念内审、内控与风险管理概念 1内控与风险管理工作实施重点内控与风险管理工作实施重点4集团监管的几个重要制度集团监管的几个重要制度5目目 录录内审、内控与风险管理基本概念内审、内控与风险管理基本概念 1企业内部的一个独立机构企业内部的一个独立机构。内部审计的目的内部审计的目的?服务于集团战略，有效监管各类风险，通过检查、评估组织内部的服务于集团战略，有效监管各类风险，通过检查、评估组织内部的各项活动，评估其

10、效果和效率。各项活动，评估其效果和效率。进行原因分析、提供咨询建议。进行原因分析、提供咨询建议。为什么要有内部审计为什么要有内部审计?集团公司规模的日益扩大集团公司规模的日益扩大 机构和其业务的日益复杂机构和其业务的日益复杂 协助管理层更有效地履行其责任协助管理层更有效地履行其责任 提高企业的运作效率并增强其活动的附加值提高企业的运作效率并增强其活动的附加值什么是内部审计？内部审计定义“内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。内审通过系统的方法，评价和改进企业的风险管理风险管理、控制和治理控制和治理流程的效益，帮助企业实现其目标。”美国内部审计师协会美国内

11、部审计师协会中国内部审计协会内部审计，是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动业务活动、内部控制内部控制和风险管理风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。.审计法规内审准则 审计法律法规审计法律法规 内部审计准则内部审计准则中华人民共和国审计法中华人民共和国审计法中华人民共和国审计法实施中华人民共和国审计法实施条例条例审计署关于内部审计工作的审计署关于内部审计工作的规定规定内部审计基本准则内部审计基本准则上市公司内部审计工作指引上市公司内部审计工作指引企业内部控制基本规范企业内部控制基本规范作为内部员工，由管理层选派指定作

12、为外部聘请的专业人员，由股东大会选派指定由管理层决定需要由注册会计师协会及其他资格认定机构确定只有作为内部职工的权利由相关法律规定由管理层决定，如防错纠弊、效率考察等对财务报表发表真实公允的审计意见由管理层决定不应受到任何限制对审计委员会、董事会或其他内部机构,不具鉴证作用对董事会或股东大会报告,所出具报告具有鉴证作用仅独立于被审计的机构既独立于委托人,又独立于被审计机构内部审计与外部审计的比较第一代第一代（19801980之前）之前）第二代第二代（8080年代）年代）第三代第三代（9090年代）年代）第四代第四代（2121世纪）世纪）控制控制企业风险企业风险企业风险管理流程企业风险管理流程控

13、制结构控制结构 出发点是已有的流程、程序和控制 以符合性测试为主 出发点是财务 风险和符合性 风险 确定应该存 在的控制 审计目的是评 估控制的设计、运行效果和合 规性 出发点是对企 业和各种风险 的充分理解 确定应该存 在的控制 审计目的是评 估控制的设计、运行效果和合 规性 确定应该存在的能有效控制风险的企业风险管理流程 评估在各个企业 风险管理流程的 设计、运行效果 和合规性内部审计的演变历史出发点是对企业和各种风险的充分理解查查 错错 纠纠 弊弊 向向 全全 面面 风风 险险 管管 理理 审审 计计 延延 伸伸内部审计在现代企业中的角色和职能转变财财 务务 审审 计计 向向 全全 面面

14、 内内 部部 控控 制制 审审 计计 延延 伸伸事事后后审审计计向向业业务务管管理理事事中中、事事前前审审计计延延伸伸监 督 型 审 计服 务 型 审 计增 值 型 审 计防范风险增加价值存货盘点发询证函指标考核符合性测试价值评估效率考察协助外审咨询建议.内审在现代企业中的角色和职能n n企业内部活动的再监督企业内部活动的再监督企业内部活动的再监督企业内部活动的再监督n n防错纠弊的检察员防错纠弊的检察员防错纠弊的检察员防错纠弊的检察员n n监控企业运作和资源使监控企业运作和资源使监控企业运作和资源使监控企业运作和资源使用的效率和效果用的效率和效果用的效率和效果用的效率和效果n n协助外部审计

15、人员协助外部审计人员协助外部审计人员协助外部审计人员n n风险管理咨询风险管理咨询风险管理咨询风险管理咨询q q 保护资产保护资产保护资产保护资产q q 遵守政策、机会、程序和法律法规遵守政策、机会、程序和法律法规遵守政策、机会、程序和法律法规遵守政策、机会、程序和法律法规q q 对经营或项目的设定目标的完成情况对经营或项目的设定目标的完成情况对经营或项目的设定目标的完成情况对经营或项目的设定目标的完成情况内部审计在现代企业中的角色n n企业内部活动的监督者企业内部活动的监督者企业内部活动的监督者企业内部活动的监督者n n防错纠弊的检察员防错纠弊的检察员防错纠弊的检察员防错纠弊的检察员q q舞

16、弊是如何发生的舞弊是如何发生的舞弊是如何发生的舞弊是如何发生的q q怎样改正内部控制中导致舞弊的缺陷怎样改正内部控制中导致舞弊的缺陷怎样改正内部控制中导致舞弊的缺陷怎样改正内部控制中导致舞弊的缺陷q q怎样杜绝未来舞弊的发生怎样杜绝未来舞弊的发生怎样杜绝未来舞弊的发生怎样杜绝未来舞弊的发生q q比发现舞弊更好的是通过有效的控制防比发现舞弊更好的是通过有效的控制防比发现舞弊更好的是通过有效的控制防比发现舞弊更好的是通过有效的控制防止舞弊止舞弊止舞弊止舞弊通过检查和评价控制的有效性、完备性以及执行分配责通过检查和评价控制的有效性、完备性以及执行分配责通过检查和评价控制的有效性、完备性以及执行分配责

17、通过检查和评价控制的有效性、完备性以及执行分配责任的质量来确保：任的质量来确保：任的质量来确保：任的质量来确保：q q 机构内部控制系统的有效性和完备性机构内部控制系统的有效性和完备性机构内部控制系统的有效性和完备性机构内部控制系统的有效性和完备性q q 信息的可靠性和一致性信息的可靠性和一致性信息的可靠性和一致性信息的可靠性和一致性有效地运用资源有效地运用资源有效地运用资源有效地运用资源q q 制定经营标准制定经营标准制定经营标准制定经营标准q q 根据经营标准评价效率根据经营标准评价效率根据经营标准评价效率根据经营标准评价效率q q 识别并报告低效使用识别并报告低效使用识别并报告低效使用识

18、别并报告低效使用内部审计在现代企业中的角色n n监控企业运作和资源使用的效率和效果监控企业运作和资源使用的效率和效果监控企业运作和资源使用的效率和效果监控企业运作和资源使用的效率和效果内部审计与单位管理层的关系n n相对独立、绝对服务相对独立、绝对服务相对独立、绝对服务相对独立、绝对服务n n协同、帮助，而非对立协同、帮助，而非对立协同、帮助，而非对立协同、帮助，而非对立n n发现事项、改进建议须得到管理层的同意，而非命令发现事项、改进建议须得到管理层的同意，而非命令发现事项、改进建议须得到管理层的同意，而非命令发现事项、改进建议须得到管理层的同意，而非命令n n内审的价值不仅是发现问题还要提

19、出可行的建议，协助管理层解内审的价值不仅是发现问题还要提出可行的建议，协助管理层解内审的价值不仅是发现问题还要提出可行的建议，协助管理层解内审的价值不仅是发现问题还要提出可行的建议，协助管理层解决问题决问题决问题决问题理 解 期 望分 析 相 关 程 序 及 风 险 汇 报 结 果确 认 相 关 程 序 及 风 险 跟 踪理 解、分 析 经 营 状 况理 解 企 业 经 营 战 略，目 标 企企 业业 整整 体体 经经 营营 风风 险险 分分 析析理 解 有 关 业 绩 衡 量 指 标了 解 有 关 程 序理 解 分 析 相 关 经 营 风 险 及 内 部 控 制评评 估估 具具 体体 程程

20、序序 的的 有有 效效 性性 及及 缺缺 陷陷评评 估估 具具 体体 程程 序序 内内 的的 风风 险险测测 试试 现现 有有 的的 控控 制制 程程 序序 确确 认认 控控 制制 弱弱 点点 原原 因因 补补 救救 措措 施施 程程 序序 改改 进进 程程 序序 测测 试试 程程 序序 分分 析析内部审计过程简介 与管理层讨论与管理层讨论与管理层讨论与管理层讨论(Discussion)Discussion)Discussion)Discussion)实地观察实地观察实地观察实地观察(Observation)Observation)Observation)Observation)审阅书面资料审

21、阅书面资料审阅书面资料审阅书面资料(Inspection)Inspection)Inspection)Inspection)抽样测试抽样测试抽样测试抽样测试(Sampling)Sampling)Sampling)Sampling)基本审计方法 休息一下休息一下 审计工作总体思路v目标目标：确保集团战略目标的实现（具体包括经营效率性、财务信息真实性、资产安全性、内控有效性和反舞弊等子目标）v核心核心：建立以全面风险管理为导向的内部控制体系v抓手抓手：以高管理解并重视为前提，以目标考核为抓手v原则原则：适合性原则，成本效益原则，前瞻性原则v重点工作重点工作：1、以综合目标考核为基础的经济性审计；（

22、成立考核小组，明确下达业绩目标、考核目标实现情况，定“赏罚”，重激励；）2、以全面风险管理为核心的内控审计；（明确管理目标，将制度流程的完善性、有效性作为组织考核的一项内容，定规范，重养成执行力）3、以反舞弊等专项组织的专项审计。（建立反反舞弊机制，形成廉明的风尚，定“赏罚”，重惩戒）4、完成其他审计监察内容及领导交代的工作。（工程监察审计、合同监察审计等）什么是风险？什么是风险管理？v2006年国资委中央企业全面风险管理指引 第三条：本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等

23、机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。第四条：本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。什么是内部控制？v2008年五部委委企业内部控制基本规范年五部委委企业内部控制基本规范 第三条 本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控

24、制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。20世纪70至80年代 1977年 美国国会反海外贿赂法案 1979年 SEC管理层对内部会计控制的公告提案 1988年 SEC第34-25925号提案：管理层责任报告20世纪60年代之前 1933年 格拉斯斯蒂尔法案 1939年 AICPA第1号审计程序公告 1940年 美国SEC要求CPA在审计报告里增加内控审查的内容 1949年 AICPA出版内部控制-体系要素及对管理层和会计师的意义 50年代 美国CAP制定审计准则将内控评价作为财报审计的必要程序20世纪90年代 1

25、991年 美国国会联邦储蓄保险公司改善法 1992年 COSO委员会内部控制框架 1993年 AICPA发布SSAE2财报内控的审核21世纪10年代 2002年 美国国会萨班斯奥克斯利法案 2004年 COSO委员会风险管理框架21世纪10年代之后 全球内部控制和风险管理标准的融合 国外内控与风险管理的发展路径国外内控与风险管理的发展路径20世纪70至80年代 1988年 财政部CPA检查验证会计报表规则（试行）第二十六条20世纪60年代之前 20世纪90年代 1996年 中注协独立审计具体准则第9号-内部控制与审计风险 21世纪10年代 2002年 中注协内部控制审核指导意见 2003年 审

26、计署审计机关内控测评准则 2006年 国资委中央企业全面风险管理指引 2008年 五部委企业内部控制基本规范21世纪10年代之后 2010年 五部委企业内部控制配套指引国内内控与风险管理的发展路径国内内控与风险管理的发展路径国际风险管理与内控的主要标准国际内控与风险管理的主要标准国际内控与风险管理的主要标准内部控制基本框架内部控制基本框架 COSO I“一套由董事会、管理层及其它相一套由董事会、管理层及其它相关人员共同实施的程序，以合理确关人员共同实施的程序，以合理确保下列各项的目标得以实现保下列各项的目标得以实现：(b)(b)适用法律法规的合规性适用法律法规的合规性 (a)(a)财务报告的可

27、靠性财务报告的可靠性 (c)(c)经营活动的效率和效果经营活动的效率和效果。”内部环境内部环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督经经营营报报告告合合规规COSO内部控制框架的结构及对内部控制的定义：内部控制框架的结构及对内部控制的定义：内部控制基本框架内部控制基本框架 COSO ICOSO内部控制框架的意义：内部控制框架的意义：将内部控制从有限的财务报告扩展到企业经营及法律遵循等广阔将内部控制从有限的财务报告扩展到企业经营及法律遵循等广阔的领域，为管理层提供了一系列的实用工具；的领域，为管理层提供了一系列的实用工具；提供了一个能适用于不同用户需求的内部控制概念，被理论

28、界和提供了一个能适用于不同用户需求的内部控制概念，被理论界和实务界广泛接受，从而提供了一个可以共同理解的概念和实践平台；实务界广泛接受，从而提供了一个可以共同理解的概念和实践平台；首次将内部控制理论体系从平面结构发展为立体结构，形成了坚首次将内部控制理论体系从平面结构发展为立体结构，形成了坚实的内部控制理论框架体系；实的内部控制理论框架体系；提出了内部控制的本质是合理保证实现特定目标的过程；提出了内部控制的本质是合理保证实现特定目标的过程；首次将风险评估和信息沟通作为基本构成要素引入内部控制领域；首次将风险评估和信息沟通作为基本构成要素引入内部控制领域；提供了一套完成的内部控制评价标准，该标准

29、适用于任何公司和提供了一套完成的内部控制评价标准，该标准适用于任何公司和其他类型或性质的组织，在内部控制有效性评价方面取得革命性的其他类型或性质的组织，在内部控制有效性评价方面取得革命性的突破；突破；前所未有的强调环境、人和资源配置的重要性。前所未有的强调环境、人和资源配置的重要性。风险管理基本框架风险管理基本框架 COSO II“风险管理是一种程序，由企业的风险管理是一种程序，由企业的董事会、管理层和其他成员共同使董事会、管理层和其他成员共同使其生效，用以对以下目标的实现提其生效，用以对以下目标的实现提供合理的保证：供合理的保证：(b)(b)适用法律法规的合规性适用法律法规的合规性(a)(a

30、)财务报告的可靠性财务报告的可靠性(c)(c)经营活动的效率和效果经营活动的效率和效果(d)(d)战略目标的实现。战略目标的实现。”内部环境内部环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督目标设定目标设定事项识别事项识别风险应对风险应对经经营营报报告告合合规规战战略略COSO风险管理框架的结构及对风险管理的定义：风险管理框架的结构及对风险管理的定义：内部控制与风险管理政策及法规内部控制与风险管理政策及法规中央企业全面风险中央企业全面风险中央企业全面风险中央企业全面风险管理指引管理指引管理指引管理指引 企业内部控制企业内部控制企业内部控制企业内部控制基本规范基本规范基本规范基

31、本规范 上海证券交易所上海证券交易所上海证券交易所上海证券交易所内部控制指引内部控制指引内部控制指引内部控制指引 深圳证券交易所深圳证券交易所深圳证券交易所深圳证券交易所内部控制指引内部控制指引内部控制指引内部控制指引 全面风险管理报告全面风险管理报告全面风险管理报告全面风险管理报告内部控制自我评估内部控制自我评估内部控制自我评估内部控制自我评估报告报告报告报告内部控制自我评估内部控制自我评估内部控制自我评估内部控制自我评估报告报告报告报告内部控制自我评估内部控制自我评估内部控制自我评估内部控制自我评估报告报告报告报告企业内部控制基本规范企业内部控制基本规范v第一章第一章 总则总则v第二章第二

32、章 内部环境内部环境v第三章第三章 风险评估风险评估v第四章第四章 控制活动控制活动v第五章第五章 信息与沟通信息与沟通v第六章第六章 内部监督内部监督v第七章第七章 附则附则 监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1内部环境内部环境经营经营报告报告风险评估风险评估控制措施控制措施信息与沟通信息与沟通监督检查监督检查合规合规企业战略企业战略资产安全资产安全COSO 内部控制模型内部控制模型企业内部控制基本规范企业内部控制基本规范企业内部控制基本规范企业

33、内部控制基本规范20082008年年年年内部控制最新法规内部控制最新法规企业内部控制应用指引企业内部控制应用指引包括：包括：第第1号组织架构号组织架构 第第2号发展战略号发展战略第第3号人力资源号人力资源 第第4号社会责任号社会责任第第5号企业文化号企业文化 第第6号资金活动号资金活动第第7号采购业务号采购业务 第第8号资产管理号资产管理第第9号销售业务号销售业务 第第10号研究与开发号研究与开发第第11号工程项目号工程项目 第第12号担保业务号担保业务第第13号业务外包号业务外包 第第14号财务报告号财务报告第第15号全面预算号全面预算 第第16号合同管理号合同管理第第17号内部信息传递号内

34、部信息传递 第第18号信息系统号信息系统 企业内部控制应用指引企业内部控制应用指引目目 录录内控与风险管理的关系与定位内控与风险管理的关系与定位 2COSO模型的发展模型的发展COSO内部控制模型内部控制模型COSO风险管理模型风险管理模型控制环境控制环境风险评估风险评估控制活动控制活动信息与沟信息与沟通通监督监督经经营营报报告告合合规规内部环境内部环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督目标设定目标设定事项识别事项识别风险应对风险应对经经营营报报告告合合规规战战略略目标设定目标设定风险评估风险评估控制环境控制环境事项识别事项识别风险评估风险评估风险应对风险应对监控监控

35、信息与沟通信息与沟通控制活动控制活动内部控制与风险管理融合框架内部控制与风险管理融合框架内控与风险管理体系的作用内控与风险管理体系的作用内控与风险管理体系与现有管理体系的关系是什么？新新的的思思路路新新的的技技术术新新的的工工具具新新的的效效果果现有现有管理管理体系体系优化优化和和 提升提升自成体系，另起炉灶？自成体系，另起炉灶？独立运行，后台监督？独立运行，后台监督？有益补充，完全融合？有益补充，完全融合？内部控制体系的准确定位内部控制体系的准确定位公司治理结构公司治理结构/组织架构组织架构 内控流程体系内控流程体系 风险策略与应对风险策略与应对 风险管理工具风险管理工具控制体系控制体系 专

36、项管理工具专项管理工具 风险识别系统风险识别系统 风险评估程序风险评估程序 业务系统业务系统 制度体系制度体系 数据库数据库 其他体系其他体系 监督与检查监督与检查 风险库风险库 内控环境评估内控环境评估 风险预警体系风险预警体系信息与沟通信息与沟通 优化与维护优化与维护 自我评估自我评估 报告体系报告体系 风险风险公司层面重大风险流程层面业务风险风险评估与应对剩余风险控制控制控制策略控制活动控制有效性评估控制资源最优分配目标目标 战略目标战略目标 经营管理目标经营管理目标 风险控制目标风险控制目标公司治理结构公司治理结构/组织架构组织架构 与与现现有管理体系的关系有管理体系的关系内控与风险管

37、理体系建设思路内控与风险管理体系建设思路 3内控与风险管理体系能带来什么？内控与风险管理体系能带来什么？内控与风险管理对现有管理体系的改变责责任任明明确确主主动动管管理理可可评评价价长长效效机机制制现有现有管理管理体系体系管理管理出出 效益效益风险管理风险管理目标目标 风险风险 识别识别保障保障匹配匹配控制控制 按照财政部等五部委按照财政部等五部委企业内部控制基本规范企业内部控制基本规范和配套指引、国资委和配套指引、国资委中央中央企业全面风险管理指引企业全面风险管理指引以及上级单位的要求，基于企业的业务特点和管理模式，以及上级单位的要求，基于企业的业务特点和管理模式，确定内控与风险管理体系建设

38、项目的总体目标为：确定内控与风险管理体系建设项目的总体目标为：项目总体目标项目总体目标规范业务操作，防范经营风险规范业务操作，防范经营风险有效识别经营风险，严格防范控制缺陷，将风险控制在可承受范围内，从而规范业务操作，为业务的 稳健和可持续发展保驾护航。建立内控体系，提高运营效率和效果建立内控体系，提高运营效率和效果通过对关键内控制度和流程的全面梳理，建立符合战略发展需求及经营管理特点的内控流程 体系，提高公司运营效率和效果。满足监管机构和上级单位要求，实现合规目标满足监管机构和上级单位要求，实现合规目标建立以风险管理为导向的内部控制体系，完成监管机构和上级单位要求，确保通过外部内控审计。项目

39、目标项目目标54项目工作方案项目工作方案编制流程体系编制流程体系文件，全面覆文件，全面覆盖经营管理业盖经营管理业务循环务循环1、编制流程图及流程描述2、进行穿行测试，分析流程现状基于业务流程，基于业务流程，识别、评估经识别、评估经营管理风险营管理风险1、确定业务活动的经营管理目标2、识别影响业务目标实现的风险事项评价控制措施的有效性1、对比流程风险,评价控制措施的有效性2、识别控制缺陷,进行流程优化编制管理建议书和 内控与风险管理手册1、编制管理建议书2、编制内控与风险管理手册公司风险 识别与要素 评估1、识别公司层面重大风险，建立风险数据库2、公司层面重大风险评估 建立内部控 制评价体系1、

40、建立内部控制评价制度，形成管理闭环2、确定内部控制评价方法 第一阶段第一阶段流程体系框架建设流程体系框架建设三三级级流流程程投资投资规划规划的编的编制和制和审批审批流程流程长期长期股权股权投资投资意向意向的编的编制和制和审批审批流程流程中介中介机构机构选择选择流程流程中介中介服务服务合同合同审批审批签署签署流程流程尽职尽职调查调查报告报告审批审批流程流程资产资产评估评估报告报告审批审批流程流程可行可行性研性研究报究报告的告的编制编制及审及审批流批流程程投资投资决策决策审批审批流程流程投资投资协议协议签署签署流程流程投资投资项目项目资本资本注入注入及入及入账流账流程程投资投资项目项目考核考核评价

41、评价及专及专项审项审计流计流程程投资投资规划规划的编的编制和制和审批审批流程流程前期前期调研调研分析分析与数与数据收据收集流集流程程投资投资意向意向的编的编制和制和审批审批流程流程中介中介机构机构选择选择流程流程中介中介服务服务合同合同审批审批签署签署流程流程可行可行性研性研究报究报告的告的编制编制及审及审批流批流程程投资投资决策决策审批审批流程流程土地土地投标投标流程流程投资投资项目项目报批报批流程流程投资投资付款付款及入及入账流账流程程投资投资项目项目考核考核评价评价及专及专项审项审计流计流程程二二级级流流程程债券、债券、基金基金及其及其它金它金融产融产品投品投资管资管理理合营、合营、联营

42、联营企业企业投资投资管理管理长期长期股权股权投资投资管理管理新设新设企业企业投资投资管理管理增资增资扩股扩股和产和产权收权收购投购投资管资管理理股票股票投资投资管理管理土地土地及房及房地产地产投资投资管理管理流程体系框架流程体系框架一一级级流流程程审审计计监监察察模模块块战战略略及及发发展展规规划划模模块块资资产产管管理理模模块块经经营营管管理理业业务务模模块块财财务务管管理理模模块块人人力力资资源源模模块块投投资资管管理理模模块块质质量量与与安安全全管管理理模模块块信信息息管管理理模模块块科科技技研研发发模模块块法法律律及及行行政政模模块块市市场场营营销销模模块块流程体系框架流程体系框架内控

43、流程体系文件内控流程体系文件现阶段每个三级流程对应成果展示现阶段每个三级流程对应成果展示 1 1、流程图、流程图 2 2、流程描述、流程描述 3 3、风险控制矩阵、风险控制矩阵 4 4、风险数据库、风险数据库 5 5、控制文档、控制文档 6 6、缺陷跟踪报告、缺陷跟踪报告 举例举例 举例举例 举例举例 举例举例 举例举例 举例举例 本阶段项目成果本阶段项目成果流程图流程图 明确每个流程步骤的执行部门及岗位明确每个流程步骤的执行部门及岗位明确每个流程步骤的执行部门及岗位明确每个流程步骤的执行部门及岗位 明确每个步骤的输入和明确每个步骤的输入和明确每个步骤的输入和明确每个步骤的输入和输出文档输出文

44、档输出文档输出文档 明确每个具体步骤的操作内容明确每个具体步骤的操作内容明确每个具体步骤的操作内容明确每个具体步骤的操作内容 明确流程控制点明确流程控制点明确流程控制点明确流程控制点流程图示例本阶段项目成果（续）本阶段项目成果（续）流程描述流程描述流程描述示例第二阶段第二阶段风险控制矩阵建立风险控制矩阵建立本阶段项目成果本阶段项目成果风险控制矩阵风险控制矩阵风险控制矩阵示例监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1内部环境内部环境目标识定目标识定事项识别

45、事项识别风险评估风险评估风险对策风险对策控制活动控制活动信息与沟通信息与沟通监督检查监督检查企业内控企业内控基本规范基本规范第二十条 第二十一条 -第二十三条第二十四条第二十五条 -第二十七条第三阶段第三阶段风险数据库建设风险数据库建设本阶段项目成果（续）本阶段项目成果（续）流程层面风险数据库流程层面风险数据库风险数据库示例本阶段项目成果控制文档控制文档控制文档示例本阶段项目成果（续）本阶段项目成果（续）缺陷跟踪报告缺陷跟踪报告缺陷跟踪报告示例第四阶段第四阶段工作步骤工作步骤公司层面重大风险识别及评估公司层面重大风险识别及评估外部环境分析 战略目标分析内部环境分析 风险识别 建立风险库 德尔斐

46、调研调研结果测试 重大风险排序 调查问卷 风险库 调研结果 测试公式及结果风险分布图 迪博风险库 工作方法工作方法-风险调查问卷风险调查问卷风险调查问卷风险调查问卷成果示例工作成果工作成果-风险库风险库公司层面风险库公司层面风险库政策成果示例工作方法工作方法-德尔斐调研德尔斐调研德尔斐调研德尔斐调研参与者通过匿名投票。针对每个问参与者通过匿名投票。针对每个问题进行多次讨论和投票，从而达到题进行多次讨论和投票，从而达到深入而一致的理解：深入而一致的理解：关于业务问题的量化理解关于业务问题的量化理解不带个人冲突地解决争论不带个人冲突地解决争论展示同意、不同意和极端意见的展示同意、不同意和极端意见的

47、模式模式提供谈判和一致同意的事实依据提供谈判和一致同意的事实依据工作成果工作成果-风险地图风险地图风险地图风险地图样本展示样本展示第五阶段第五阶段管理建议书管理建议书工作成果工作成果成果示例工作成果（工作成果（续续）内部控制与风险管理手册内部控制与风险管理手册成果示例第六阶段第六阶段内控内控评评价底稿示例价底稿示例成果示例内控与风险管理工作实施重点内控与风险管理工作实施重点4风险管理体系建设主要阶段风险管理体系建设主要阶段流程体系管理财务指标分析与现有管理相结合真实反映现有管理需求真实反映现有管理需求 目标管理内部/行业标杆管理差异/缺陷分析以风险控制为导向优化提升现有管理体系优化提升现有管理

48、体系 自我评估独立评估内部审计以长效机制为目标设计监督检查程序设计监督检查程序 风险预警压力测试应急方案以风险预警为方向建立主动风险管理机制建立主动风险管理机制 风险管理体系建设主要阶段及内容：风险管理体系建设主要阶段及内容：内控与内控与风险风险管理核心程序管理核心程序 确定目标-战略目标-经营目标-控制目标识别与评估风险确定控制缺陷-控制优化-提升风险管理水平控制活动-设计合理性-执行有效性步骤一 步骤三 步骤二 步骤四 风险偏好风险偏好风险容限风险容限风险应对风险应对风险组合风险组合确保与加强确保与加强公司层面风险公司层面风险-战略风险-市场风险-财务风险-运营风险-法律风险-其他内控与内

49、控与风险管理体系风险管理体系 流程层面风险流程层面风险-业务风险-操作风险-交易风险目标：目标：-战略目标-经营目标目标：目标：-流程目标-控制目标控制：控制：-公司层面控制-整体控制控制：控制：-流程层面控制-具体控制内控与风险管理体系的主要层次内控与风险管理体系的主要层次关注风险性质与类型：关注风险性质与类型：内控与风险管理体系的效果内控与风险管理体系的效果5第 83 页标准化的管理与经营体系标准化的管理与经营体系 流程体系与制度体系 风险识别与评估体系 控制设计与评价体系.持续优化与提升持续优化与提升 重大业务风险识别评估 风险控制缺陷识别 缺陷评估与认定 缺陷整改.提高经营效率与效果提

50、高经营效率与效果 加强管控 促进战略落地 实现风险导向绩效评估.有效内部控制体系的特征有效内部控制体系的特征风险导向流程体系风险导向流程体系制度流程化制度流程化实现体系化管理实现体系化管理加强部门间协作加强部门间协作各项管理体系的共各项管理体系的共同平台同平台体系化的基础体系化的基础管理平台管理平台推动持续的优推动持续的优化与改进化与改进加强管控效果加强管控效果促进战略落地促进战略落地识别剩余风险识别剩余风险发现控制缺陷发现控制缺陷定位管理漏洞定位管理漏洞持续优化与改进持续优化与改进提升管理水平提升管理水平可靠的长效管可靠的长效管理体系理体系先进的风险文化先进的风险文化清醒的风险意识清醒的风险