全面风险管理咨询项目设计方案书.ppt

《全面风险管理咨询项目设计方案书.ppt》由会员分享，可在线阅读，更多相关《全面风险管理咨询项目设计方案书.ppt（90页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 全面风险管理咨询项目方案设计2023/5/281全面风险管理体系建设方案设计 内控体系项目工作流程全面风险管理整合框架概述全面风险管理整合框架概述我国企业风险管理现状对全面风险管理的理解对全面风险管理的理解全面风险管理体系方案设计全面风险管理体系方案设计123456联合优势2023/5/282一、企业全面风险管理整合框架概述 企业全面风险管理是企业在实现未来战略目标的过程中，试图将各类不确定因素产生的结果控制在预期可接受范围内的方法和过程，以确保和促进组织的整体利益实现。企业风险管理（ERM）框架是由美国虚假财务报告全国委员会的发起组织委员会（COSO）在内部控制框架的基础上，于2004年9

2、月提出的企业风险管理的整合概念。什么是企业全面风险管理：2023/5/283风险管理理论的发展 以“安全和保险”为特征的风险管理。100多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展，公司对业务管理和流程方面的内部控制提出了要求。美国1977年的反国外贿赂法要求公司管理层加强内部会计控制；1992年的COSO内部控制综合框架提出以财务管理为主线的内部控制系统。以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明，仅靠内部控制难以实现企业的最终目标。为此，COSO于2004年9月出台

3、了COSO企业全面风险管理整合框架（简称ERM），提出了由三个维度构成的风险管理整合框架。我国国务院国资委于2006年发布中央企业全面风险管理指引（以下简称指引），标志着我国中央企业建立全面风险管理体系工作的启动。第一阶段：第二阶段：第三阶段：2023/5/284COSO企业风险管理构成八个要素 在内部控制整合框架五个要素的基础上，COSO企业风险管理的构成要素增加到八个，八个要素相互关联，贯穿于企业风险管理的过程中。监控内部环境目标设定事项识别风险评估风险应对控制活动信息与沟通（1）（2）（3）（4）（5）（6）（7）（8）2023/5/285全面风险管理框架的8个要素构成 企业内部环境是其

4、他所有风险管理要素的基础，为其他要素提供规则和结构。其中特别是大型企业领导班子的风险偏好，决定了大型企业对可能出现的预料之外的事件的态度，企业管理层必须明确战略及其执行过程中的风险和回报。（一）内部环境 管理层制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。管理层必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。企业风险管理就是提供给企业管理层一个适当的过程，将目标与企业的任务或预期联系在一起，保证制定的目标与企业的风险偏好相一致。（二）目标设定 2023/5/286 企业风险管理要求辨别可能对实现企业目标产生负面影响的所有重要情况或事件，事项识别的

5、基础是将可能的风险与环境进行对比。这要求综合运用各种专业知识，尽可能地了解企业当前或将来的环境和经营情况。一般用可能性（概率）和影响结果两个指标度量风险。风险评估的过程根据不同的情况，采用定性和定量相结合的方法。若可以获取充足的数据，可采用决策风险定量评估方法；若潜在的可能性及影响结果都较小，或者无法获得数据，则可采取定性的评估方法。（四）风险评估（三）事项识别 全面风险管理框架的8个要素构成 2023/5/287 企业要对每一个重要的风险及其对应的回报进行评价和平衡，据平衡的情况采取包括回避、接受、共担或降低这些风险。风险应对是企业风险管理的整体重要组成部分。控制活动包括在整个组织使用的审核

6、、批准、授权、确认以及对经营绩效考核、资产安全管理、不相容职务分离等方法。这是企业管理层设计的政策和程序，为执行特定的风险应对措施提供合理保证。（六）控制活动 （五）风险应对 全面风险管理框架的8个要素构成 2023/5/288 风险信息必须以一定的形式和框架进行交流，使企业员工、管理层履行各自的责任。企业必须对各种数据和信息流进行加工，形成关于企业风险组合轮廓的统一观点，以利于交流。通常存在自上而下式、平行式和自下而上式3种有效的交流形式。员工的风险信息交流意识是风险管理环境的重要组成部分，应鼓励员工就其意识到的重要风险与管理层进行交流，企业管理层应当重视员工的意见。企业应通过持续的监控和独

7、立的评价活动，监控企业风险管理的有效性。持续监控以日常经营中发生的事件和交易为对象，包括企业管理层和专门的监控人员的活动。（八）监控（七）信息与沟通 全面风险管理框架的8个要素构成 2023/5/289 COSO企业风险管理的性质COSO在对企业风险管理的界定中重点强调了七个属性和理念：企业风险管理力求实现一个或多个不同类型但相互交叉的目标。企业风险管理能够向一个企业的管理当局和董事会提供合理保证；企业风险管理旨在识别那些一旦发生将会影响企业的潜在事项，并把风险控制在风险容量以内；企业风险管理贯穿企业整体，在各个层级和单元应用，还包括采取企业整体层级的风险组合观；企业风险管理应用于战略制定的过

8、程中；企业风险管理是由组织中各个层级的人员来实施的；企业风险管理是一个过程，它持续流动于企业之内；(1)(2)(3)(4)(5)(6)(7)2023/5/2810企业风险管理可以发挥以下作用(1)衔接风险容量与战略管理当局在评价战略方案、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在主体的风险容量(2)增进风险应对决策企业风险管理应能提高企业选择风险应对策略的准确性(3)抑减经营意外和损失主体识别潜在事项和实施应对的能力得以增强，抑减了意外情况以及伴随而来的成本或损失(4)识别和管理贯穿于企业的多重风险每一家企业都面临影响自身不同组成部分的一系列风险，企业风险管理有助于有效地应对交

9、互影响，以及整合式地应对多重风险(5)抓住机会通过全面考虑潜在事项，促使管理当局识别并积极地把握机会(6)改善资本配置通过全面考虑潜在事项，促使管理当局识别并积极地把握机会改善资本配置。获取强有力的风险信息，以使管理当局能够有效地评估总体资本需求，并改进资本配置2023/5/2811企业风险管理的目标体系 企业风险管理框架提出了四类目标：在这个目标体系中，增加了内部控制整合框架中所没有的一类目标：战略目标。虽然是平行的方式列示，但是，战略目标在这个目标体系中是最高层次的，其它三类目标都应当从属于战略目标。都是在为战略目标服务。战略(Stntegic)目标，即高层次目标，与使命相关联并支撑使命

10、经营(operations)目标，高效率地利用资源 报告(reporting)目标，报告的可靠性 合规(compliance)目标，符合适用的法律和法规(1)(2)(3)(4)2023/5/2812COSOCOSO内控框架内控框架三个维度具体内容COSO 内控框架内控环境风险评估控制活动信息和沟通监控业务部门业务功能整体营运财务报告合规 第一个维度（上面维度）是是目标体系，包括四类目标：(1)战略(Stntegic)目标，即高层次目标，与使命相关联并支撑使命；(2)经营(operations)目标，高效率地利用资源；(3)报告(reporting)目标，报告的可靠性；(4)合规(complia

11、nce)目标，符合适用的法律和法规。第二个维度（正面维度）是管理要素，包括八个相互关联的构成要素,它们源自管理当局的经营方式，并与管理过程整合在一起，(1)内部环境、(2)目标设定、(3)事项识别、(4)风险评估、(5)风险应对、(6)控制活动、(7)信息与沟通、(8)监控。第三个维度（侧面维度）是主体单元，包括集团、部门、业务单元、分支机构四个层面。2023/5/2813二、我国企业风险管理概述 企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信

12、息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。中央企业全面风险管理指引2023/5/2814 国内企业的风险管理处于起步阶段风险管理刚刚起步，表现为：经理人阶层普遍缺乏风险意识与风险管理的知识企业管理过程中缺乏风险管理的内容，除金融企业保险与金融领域缺乏风险管理的工具缺少独立的风险管理行业与市场原因在于：绩效考核中基本不计入风险因素法规缺乏对上市公司披露风险管理情况的要求股市缺乏对上市公司风险管理的压力15我国企业风险管理法律文献2023/5/2816内部会计控制规范内部会计控制规范证券公司内部控制指引证券公司内部控制指引证券投资基金管理公司内部控制指导意见证券投

13、资基金管理公司内部控制指导意见 独立审计准则第独立审计准则第9 9号号内部控制和审计风险内部控制和审计风险19961996年年20012001年年商业银行内部控制指引商业银行内部控制指引20062006年年中国企业会计准则体系中国企业会计准则体系上市公司内部控制指引上市公司内部控制指引中央企业全面风险管理指引中央企业全面风险管理指引 中国企业内部控制标准委员会（中国企业内部控制标准委员会（CICSCCICSC）成立）成立企业内部控制规范企业内部控制规范（征求意见稿）（征求意见稿）20062006年年2023/5/2816全面风险管理框架的设立原则 我国大型企业要在促进国有经济布局和结构优化方面

14、发挥表率作用，实现国有资本优化配置，充分发挥跨省市经营，产业分布广的优势，就必须逐步建立全面风险管理框架，降低生产经营风险。在企业全面风险管理建立和实施的过程中，应该遵循以下原则：成功地回避风险，必须建立在对风险发生可能性科学预测的基础上，这就要求在选择具体操作方法时，坚持理论与实际、定性与定量、历史与未来相结合的方法，以确保实施方法的准确性和有效性。一、预测先导原则 2023/5/2817 对风险的性质、风险程度做出合理评估，结合企业管理、财务等综合能力，制定风险管理方针和策略。全面风险管理框架的设立原则对因进行风险管理而产生的成本及其绩效进行比较，择优采用。如果风险防范成本超出了最终风险可

15、预测损失，那么，该项风险防范措施的效果无疑应该大打折扣。四、成本效益原则 国资委或中央企业应对所属企业管理者的风险管理能力进行监控，避免超出其承受能力的经营风险。三、避免超载原则 二、权衡轻重原则 2023/5/2818风险管理总体目标风险管理总体目标与战略目与战略目标一致标一致财务报告财务报告真实可靠真实可靠合规合法合规合法高效运营高效运营应对突发事件，应对突发事件，防止重大损失防止重大损失根据客户要求，可增加或减少。三、全面风险管理的理解2023/5/28191 1、收集初始、收集初始信息信息2 2、风险、风险评估评估3 3、制定风、制定风险管理策险管理策略略4 4、风险管理解决、风险管理

16、解决方案方案5 5、风险、风险管理监管理监督与改督与改进进信息与沟通信息与沟通（访谈）（访谈）工作步骤2023/5/2820全面风险管理三道防线 管管 理理 层层 第1道防线第第3 3道防线道防线 第第2 2道防线道防线风险管理风险管理内部审计业务部门业务部门A A业务部门业务部门B B业务部门业务部门C C审计委员会审计委员会风控委员会风控委员会 XX XX委员会委员会 XX XX委员会委员会 董董 事事 会会一个基础2023/5/2821一个基础：公司治理结构公司治理是涉及公司的表现：它关系到一家公司如何得到有效的管理，从而发挥最佳表现公司治理是涉及责任的问题：它关系到董事会及管理层如何向

17、股东负责，而使股东能从公司的表现中得益公司治理2023/5/2822公司治理与风险管理有什么关系？公司治理是风险管理的一个必要的组成部份，因为它提供了对风险由上而下的监控与管理 近年多个国家都订立了公司治理的最佳守则：美国：纽约证交所最佳治理守则英国：Cadbury/Hampel Report、The Combined Code加拿大：Dey ReportOECD Report这些最佳守则均清楚指出建立风险管理是董事会及管理层的责任2023/5/2823如何构建有利风险管理的公司治理结构建立一个健全的、以董事会为首的公司治理结构订立企业的目标和战略，包括企业的风险政策和极限贯彻一套重视风险管理

18、的企业文化和价值观2023/5/2824第一道防线：业务单位防线 业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线 企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线2023/5/28251、了解企业战略目标及可能影响企业达标的风险2、识别风险类别3、对相关风险作出评估4、决定转移、避免或减低风险的策略5、计设及实施风险策略的相关内部控制如何建立第一道防线2023/5/2826(风险宇宙TM)资信制度知识产权财务流动资产与信贷资本结构市场财务报告营运法律生产程序经营环境市场结构民风与文化治理策略董事会活动交易并购变卖

19、声誉道德社区责任风险管理董事会及管理层业绩组织结构监察与沟通执行筹划与开发利益有关方供应商政府顾客股东经济情况国家情况市场变化竞争对手人才资源雇员沟通有形资产机器、厂房与土地其他有形资产负债合约法规市场与销售生产及流通商品/服务开发流程估值与选择买家评估与甄选尽职调查并购后整合资信管理运营组织与监察硬件软件网络无形资产知识管理信息现金管理对冲融资股东资本债务商品利率外汇税务会计合规风险宇宙(对企业进行风险分析诊断)2023/5/2827风险发生的可能性评分评分可能性可能性说明说明5几乎肯定在未来12个月内，这项风险几乎肯定会出现至少 1次4极可能在未来12个月，这项风险极可能出现1次3可能在未

20、来2至10年内，这项风险可能出现1次2低在未来10至100年内，这项风险可能出现至少1次1极低这项风险出现的可能性极低，估计在100年内出现的可能性少于1次2023/5/2828评分评分 损失程度损失程度说明说明5灾难令企业失去继续运作的能力(或占税前利润达20%)4重大对于企业在争取完成其策略性计划和目标，造成重大影响(5-10%税前利润)3中等对于企业在争取完成其策略性计划和目标的过程，在一定程度上造成阻碍(至5%税前利润)2轻微对于企业在争取完成其策略性计划和目标，只造成轻微影响(至1%税前利润)1近乎没有影响程度十分轻微风险对企业造成的影响2023/5/2829评分评分有效性有效性说明

21、说明5极度过头处理方法能直接针对该项风险，但相信会令企业业绩“倒退”或成本过高4过头处理方法能直接针对该项风险，但由于需要投入大量资源或/及将其他资源转到处理该项风险上，会对企业的效率造成影响3适中处理方法有效针对该项风险，同时并不影响企业的效率2低效处理方法针对该项风险的效果不理想，或投入处理该风险的资源不充分或/及对投入的资源未有适当利用1近乎没有 效果处理方法的效果十分低，可能是由于企业根本没有处理方法，又或处理手法不当风险处理方法的效果2023/5/2830风险地图(或风险共同语言)影响程度近乎没有轻微中等重大灾难几乎 肯定极可能可能低极低BCAGIDJKHEF可能性说明:A 人力资源

22、风险B 财务风险C 竞争风险D 开发风险E 过度自信风险F 系统故障风险G 主要客户风险H 欺诈风险I 政治风险J 薪酬奖励风险K 科技风险2023/5/2831风险处理组合 处理评级风险评级近乎没有效果低效适中超标极度极高高中等低BCAGIDJKHE说明:A 人力资源风险B 财务风险C 竞争风险D 开发风险E 过度自信风险F 系统故障风险G 主要客户风险H 欺诈风险I 政治风险J 薪酬奖励风险K 科技风险F采取行动密切监控定期审阅2023/5/2832风险处理策略影响程度可能性转移避免小心管理可接受大小高低2023/5/2833风险策略避免禁止交易减少或限制交易量离开市场转移套期保险策略性联

23、盟其他分担风险的安排小心管理投资广泛保护的安排订价反映风险程度可接受自我保险预留储备增加监督风险处理策略影响程度大小可能性转移避免小心管理可接受高低2023/5/2834企业建立的第一道防线，就是要各业务单位就其战略性风险、信贷风险、市场风场和操作风险等等，系统化地进行分析、确认、度量、管理和监控企业需要把评估风险与内控措施的结果进行记录和存档，对内控措施的有效性不断进行测试和更新第一道防线：总结管理层CEO第三道防线第二道防线第一道防线业务部门董事会风险管理内部审计审计委员会风险管理委员会2023/5/2835第二道防线：风险管理单位防线第二道防线是在业务单位之上建立一个更高层次的风险管理功

24、能，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括：编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按风险与回报的分析，为各业务单位分配经济资本金2023/5/283637“内部审计是一项独立、客观的审查和咨询活动，其目的在于增加企业的价值和改进经营。内审通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标。”美国内部审计师协会第三道防线：内审单位防线第三道防线涉及

25、一个独立于业务单位的部门，监控企业内控和其他企业关心的问题内部审计的定义：2023/5/2837内部审计的内部审计的三大功能三大功能财务监督财务帐的可用性内部管理和制度的执行典型例子：检查分、子公司上报总部的财务报表的准确性以及执行财务管理政策的情况经营诊断管理审计以及效率和效益审计检查和诊断经营和管理过程中的偏差和失误典型例子：企业对某业务单位或某部门执行效益审计(一个输入与产出的关系)2023/5/2838咨询顾问企业风险管理和发展策略方面的咨询调查领导关心的热点问题和管理薄弱环节典型例子：兼并收购时调查被投资公司的内部管理和流程操作，了解薄弱环节或其他影响并购交易的重大事项，从而确定管理

26、方法和并购策略2023/5/2839构建企业风险管理的关键成功要素构建企业风险管理的关键成功要素 1、股东确立对企业监督的机制，考虑是否需要在集团层面：引入以董事会领导的管理体制聘任有经验的外部董事，来加强对企业的监督要求企业建立风险管理和内控系统，并对其运作及有效性作出定期的汇报2023/5/28402、管理高层的支持和参与确立方向和目标营造必要的环境为平衡风险与回报作出战略性的决定风险回报风险与回报成正比？风险调整风险后的回报冒险程度 不够进取冒险程度 高危冒险程度 理想范围2023/5/2841423.建立风险管理文化风险管理的手段，必须融入日常的管理流程通过讨论和培训，使风险管理的实施

27、得到“全民”的支持通过经验的分享，不断加强风险管理的认同性4.采用先进的风险管理的实施方法借鉴如美国 Treadway 委员会所提出的COSO内控框架采用各种识别和度量风险的先进的方法采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务，构建信息管理系统和预警系统2023/5/28财务内控财务内控 财务控制是风险管理的主要内容主要内容2023/5/2843财务报告系统的功能股东监管部门其他利益相关者分析和修正企业远景、战略和目标企业经营、管理和控制企业业绩的度量和报告财务报告系统财务信息披露和报告2023/5/2844经常性业务交易非经常性业务交易资料和数据的处理n目标：更

28、自动化、更程序化、更规范化n缩短编制时间、减少人为错误财务报告系统n加强业务与财会人员之间的沟通n了解会计准则的要求，减少个别主观人为判断财务报告系统管理2023/5/2845财务报告系统的典型问题1、输入资料不准确或不完整缺乏内部控制员工缺乏应有的知识和资历对资料的要求不清晰2、缺乏一套清晰和统一的会计政策如何确认收入？如何计提准备金？如何界定经营性与资本性支出？会计科目设计不完善依靠人手操作或缺乏合适和统一的电子核算平台如何反映对外投资？如何记录各类金融衍生工具？2023/5/2846财务报告系统的典型问题3、关帐或财务结算程序不规范没有明确财务结算的工作和程序没有利用标准的结算表/模板没

29、有订立重要性的门槛4、未能披露或提供重要信息什么数据或差异需要进行分析？需要与什么数据进行比较？分析需要得到什么数据的支持？什么资料可协助管理层加强管理？2023/5/2847财务报告系统和内部控制的关系财务报告系统和内部控制的关系财务报告系统是为企业内部管理提供信息和与外部利益相关者(如股东、监管机构)沟通的主要工具和媒介财务报告系统需要一个完善的内部控制环境，才能及时和有效地执行和发挥它应有的作用2023/5/2848内部控制的作用内部控制的作用内部控制的作用在于保证/保护：信息（会计信息和经营信息）的可靠性和完整性遵循政策、计划、程序、法律和法规资产的安全提高经营效益和效能实现经营的目标

30、和防止浪费资源2023/5/2849内部控制不能：将一个原本拙劣的管理体系改变成一个优良的管理体系影响环境因素，如政府的法规和政策、竞争对手的行动或经济状况保证企业的成功或不会面临倒闭的命运杜绝员工或管理层舞弊和欺诈的行为2023/5/2850方面方面需考虑的因素需考虑的因素高管层的诚信、道德和行为控制意识和经营风格胜任能力和承担董事会或审计委员会的监管组织结构、权限和责任人力资源政策和程序风险评估流程对重要事件的预测、识别和反应机制识别会计准则差异、业务操作和内部控制变化的程序提供完整的业绩报告与业务策略相联系持续开发、测试和监控计算机系统和程序计算机业务持续性系统和应急计划便于职员履行职责

31、而建立的沟通渠道有必要的政策和程序有明确的财务目标，并对其主动监控合理的职责分离预算与实际情况的定期比较对文件、记录和财产的适当保管对内部控制的定期评估实施改进建议建立内部审计职能以实施监控控制环境风险评估信息和沟通控制活动监控如何构建内部控制公司层面的评估管理层关于内部控制的报告评估内控的整体的有效性，找出有待改进的地方，并建立一个监控体系在流程、交易和应用层面，理解和评估内部控制在全公司层面评估内部控制组织项目小组实施评估工作理解内部控制的定义2023/5/2851公司层面的内控控制环境企业道德规范与价值观员工的行为操守与企业文化公司治理结构和政策董事会及各委员会的构成企业规章制度董事会与

32、管理层之间的关系、权力和职责2023/5/2852公司层面的内控风险评估企业是否拥有既定的程序以确定、评估和度量影响企业达标的风险？-先进的内审部门？-风险管理部门？-全面风险评估？企业有否详细记录评估风险的结果？有否进行详细的讨论和沟通？2023/5/2853公司层面的内控信息和沟通企业的架构是否能够令各部门及业务单位明确各自的职责及促进沟通企业是否拥有一个合适的电子平台-处理管理信息和数据-确保信息能够及时发放-确保各类信息和报告的准确性和可用性2023/5/2854规章制度 审批程序资产实物的安全 特殊报告 表现指标 信息系统控制职责划分公司层面的内控控制活动2023/5/2855公司层

33、面的内控控制活动规章制度 董事会及各委员会的章程企业风险政策员工招聘守则企业采购政策会计及财务管理守则2023/5/2856审批程序 一种预防性的控制措施确保规章制度得以落实执行知识与经验分享责任的承担2023/5/2857公司层面的内控控制活动资产实物的安全 档案/库存上锁减少利用现金交易 办工室安全系统/警铃资料数据库进入的限制保安人员员工身份证机器上的标记隐型录相机2023/5/2858公司层面的内控控制活动特殊报告逾期应收款报告工作超时完成报告原材料不合格报告机器故障报告 产品不合格或退货报告存货台帐红字报告2023/5/2859公司层面的内控控制活动表现指标预算与实际比较项目管理报告

34、财务指标报告系统可用性报告 员工利用率报告2023/5/2860公司层面的内控控制活动职责划分一种员工之间相互制约的控制，以减少出错或越权的情况不能由同一人发起、批准和记录一宗交易不能由同一人保管和记录资产定期轮换职责，在日常运作中的主要控制点应有高管人员的参与或由独立的人员作出审查2023/5/2861公司层面的内控控制活动风险控制 平衡的区域 高 低过份控制 低 高风险程度控制效果控制不够2023/5/2862监控是对一定时期内内部控制执行质量的评价程序，考虑相关内部控制是否能够满足最初设计的目标，并保证在不同情况下进行适当的修改。考虑并记录是否定期对内部控制进行评价；管理层是否采纳内部和

35、外部审计师关于内部控制的建议；是否存在内部审计部门以协助管理层进行监控。公司层面的内控监控2023/5/2863程序、交易及资讯科技应用层面评估因素:竞争力、完整性、员工的忠诚度及管理层的监管能力管理层之间的摩擦职责划分控制的稳定性关键账项管理层对财务报表的认定?可能发生的错误控制关键流程固有风险及主要经营风险2004FinancialStatements财务报告选出容易发生重大差错的关键账项*存在(资产负债表)与发生(利润表)完整性（资产负债表/利润表）估价(资产负债表)与计量(利润表)权利与义务(资产负债表)类型:交易流程惯例特殊估计对每一种认定应考虑：在流程的哪一交易环节容易发生错误？例

36、如:帐户：现金或应付程序：支付认定：估价是否有人工或自动的程序确保支票或转账的数目与审批的付款数目一致？检验:对差错的监督防止:防止出现差错由何人来执行?是否有程序自动控制?识别处理系统评估/监督*单项差错或几项差错如不被发现，可能对财务报表造成重大影响，或导致非法行为或利益冲突。即使造成非重大影响，也会对公司的信誉、与客户及投资者的关系，以及公众形象造成负面影响。确认财务帐户及其相关系统记录系统及控制评估/监督步骤行为主要关注点从财务角度从程序角度2023/5/2864If the guideline control is not applicable,then please state a

37、 reason.2023/5/2865二级流程二级流程控制目标控制目标财务报表认定财务报表认定财务报表风险财务报表风险应有控制手段应有控制手段评估新项目投资评估新项目投资的建议的建议保证资本投资的合理授权和审批符合集团的政策规定价值和 计量资本投资没有得到正确的评估以及 IRR 出现负值从而导致公司的损失具备标准的政策指标和价值模型来评估资本投资存在和发生出于舞弊和虚报的目的提出未经授权的投资建议投资建议必须经过相关负责人的复合和审批2023/5/2866实质性控制实质性控制补救措施补救措施描述描述控制策划人控制策划人 控制频率相关政策规定控制设计的有效性应当对实质性控制提供尽可能详尽的细节描

38、述，以便具备相应知识水平的人员能够正确合理的予以执行。这些描述必须依照控制的本质去描述，并随着控制的变化而不断修正更新，但不可以描述成在未来才可以予以实施或者具备一定条件才可以实施的控制。控制策划者是指负责更正那些不可能实际实施的控制的人员。这种更正包括更新控制文件（适当的流程图和控制表格和其他相关的文件）对于拥有同一控制的不同经济业务有可能设置同一控制策划者。控制实施的频繁度说明了该控制在与其特有的风险评估相关的流程中的重要性。可以选择是每日/每周/每月/每年两次/每年或其他。这是为了符合相关流程、指南（包括授权的指南）、准则、系统说明、工作描述等等。2023/5/2867评估整体控制的有效

39、性，评估整体控制的有效性，确定应改进的地方并建立监督系统确定应改进的地方并建立监督系统1、内控设计缺陷之弥补2、业务流程之穿行测试3、主要内控点之测试策略4、主要内控点实际操作之测试5、内控实际操作缺陷之弥补及再测试6、评估整体财务报告内控的有效性682023/5/2868四、全面风险管理体系建设方案设计全面风险管理体系建设方案设计控制流程控制流程基基础础设设施施治理结构治理结构人员人员程序程序方法方法系统系统数据数据识别识别评估评估控制控制测量测量报告报告外外部部环环境境控制要求控制要求验证改进验证改进政政 治治文文 化化法法 制制宏观经济宏观经济行业环境行业环境监管要求监管要求2023/5

40、/2869方案设计的理念 全面风险管理全面风险管理基于全面风险管理基于全面风险管理的内控的内控 全流程内控全流程内控财务内控财务内控2023/5/2870全面风险管理流程示意图供应链管理生产管理人力资源管理销售管理投融资管理风险因素和风险事件流程流程流程流程流程流程风险管理接口全面风险管理体系2023/5/2871 例如：组织解构图设计：例如：例如：XXXX公司的概况公司的概况例如：1、业务板块：以XX行业产品业核心主业，兼营采矿、机械、电子、建筑、房地产、服务业、海外贸易。一业多地2、营业收入874.7亿元利润16.5亿元职工总数8.25万3、弘扬长征精神 立志创新创优创业 2023/5/2

41、872还可以给出另外的组织结构图 评级部评级部数据中心数据中心市场部市场部总裁办总裁办董事董事会秘书会秘书行政管行政管理部理部技术支技术支持部持部人力人力资源部资源部分支机分支机构部构部战略发战略发展展2 2部部企企划部划部审计委员会审计委员会薪酬委员会薪酬委员会 股东会股东会董事会董事会监事会监事会分支分支机构机构采购部采购部物流部物流部商账商账管理部管理部财务部财务部评审委员会评审委员会全面风全面风险控制险控制委员委员经营经营团队团队2023/5/2873Xx公司关键词提炼（理念、宗旨等）海外上市、结构调整、技术创新、并购重组内部控制、风险管理抓结构、保质量、打品种、提效益、创品牌稳、实、

42、好、快、强2023/5/2874全面风险管理体系建设遵循原则 长期目标与短期目标结合国际先进经验与公司实际结合1、2、2023/5/2875五、内控体系项目工作流程项目启动项目启动调研评估调研评估体系设计体系设计运行测试运行测试持续完善持续完善2023/5/2876调研评估调研评估体系设计体系设计运行测试运行测试持续完善持续完善主要任务：初步调研，成立项目管理组织架构，组织内部培训，界定体系建设范围，明确项目目标，编制项目计划。工作成果：XX公司全面风险诊断报告 XX公司全面风险管理体系建设项目计划书阶段重点：充分沟通治理结构和管理文化，通过培训导入风险管理和内控的理念，统一认识，实现项目动员

43、。明确项目长期和短期目标，根据“自上而下、风险导向、重点突破、循序渐进”的策略制定合理的进度计划。项目启动项目启动2023/5/2877体系设计体系设计运行测试运行测试持续完善持续完善项目启动项目启动主要任务：内部环境调研，流程梳理，风险评估。工作成果：XX公司风险管理内部环境调研报告 XX公司重点流程内控风险评估报告阶段重点：全面深入调研，准确掌握企业各个层面对全面风险管理的真实需求。统一流程梳理和风险评估的工具及模版，形成规范的流程描述和风险评估文档。调研评估调研评估2023/5/2878主要任务：以全面风险管理为导向进行有针对性的内控体系设计。工作成果：XX公司基于全面风险管理的内控体系

44、设计框架 XX公司内部控制管理手册阶段重点：确保所设计的体系能够与原有运营体制衔接，融入全面风险管理的理念，嵌入风险管理基础手段，预留风险管理接口。运行测试运行测试持续完善持续完善项目启动项目启动调研评估调研评估体系设计体系设计2023/5/2879运行测试运行测试主要任务：体系试运行，并进行符合性测试和管理层测试，根据测试结果进一步改进。工作成果 XX公司内控体系运行测试与改进报告 经修正后的内控运行报告阶段重点：实现体系的全面试运行，在运行中发现偏差，并提出改进意见和改进措施。持续完善持续完善项目启动项目启动调研评估调研评估体系设计体系设计运行测试运行测试2023/5/2880主要任务：根

45、据经营过程中的内外部环境变化适时调整体系。工作成果：内控体系建设阶段项目成果全面移交 xx公司内控体系与全面风险管理体系接口说明书 阶段重点：内部工作人员掌握体系持续完善的方法，实现体系自我持续完善，并根据风险管理需求安排全面风险管理体系的过渡。项目启动项目启动调研评估调研评估体系设计体系设计运行测试运行测试持续完善持续完善2023/5/2881工作方式选择由企业主导由企业主导由中介机构主导由中介机构主导优优势势深度介入体系建立全过程深度介入体系建立全过程直接的管理控制直接的管理控制确保与企业实际良好衔接确保与企业实际良好衔接敏感性信息的保密性较高敏感性信息的保密性较高迅速启动项目迅速启动项目

46、强大的后台技术支持，包括风险管强大的后台技术支持，包括风险管理方法、技术、专业人员等理方法、技术、专业人员等按风险管理实施方法要求灵活配置按风险管理实施方法要求灵活配置人员和技术组合人员和技术组合具有较好的独立性具有较好的独立性更容易掌握风险管理的成本更容易掌握风险管理的成本挑挑战战项目计划和启动时间长项目计划和启动时间长文化惯性和企业内部阻力文化惯性和企业内部阻力不易掌握最新的风险管理方法不易掌握最新的风险管理方法和工具和工具在项目实施方面缺乏经验在项目实施方面缺乏经验可能减低管理层对风险管理监控的责可能减低管理层对风险管理监控的责任感任感对企业的运营和流程了解需要时间对企业的运营和流程了解

47、需要时间2023/5/2882企业主导项目实施 我们的工作方式以项目工作组为单位建立紧密沟通机制联合信用提供全程技术支持和实施辅导 1、2、3、2023/5/2883机构组织设置情况注册情况规模最大资本市场信贷市场联合信用管理有限公司（简称“联合信用”）是经国家工商总局核准，于2000年1月在北京成立的全国性专业信用信息服务机构，2009年4月天津泰达国际(集团)控股有限公司入资联合信用，总公司迁址天津。目前设有研发部、评级事业部（天津分公司业务并入评级事业部）、征信事业部、财务审计部、综合管理部。注册资本1.25亿元人民币，是目前国内最大的信用信息服务机构之一。目前设有有分支机构33家，其中

48、联合资信和天津中诚从事资本市场业务，天津中融从事证券咨询业务。其它子公司和分公司分别在北京、上海、天津、山东、福建、海南、重庆、湖北、河北、山西、内蒙古、新疆、四川、江苏、浙江、陕西、辽宁、吉林、黑龙江、甘肃、宁夏、安徽、广东、湖南、云南等26个省市开展信贷市场业务 联合优势2023/5/2884黑龙江吉林辽宁天津山东青岛河南河北山西宁夏陕西甘肃新疆重庆四川云南湖北湖南江苏上海安徽福建广东深圳广西北京海南内蒙浙江2家资本市场评级机构1家投资咨询服务机构30家信贷市场评级机构服务网络2023/5/2885专家队伍王少波博士：战略管理专家欧志伟博士：风险分析专家李信宏博士：风险分析专家郭其阳硕士：

49、财务分析专家马文洛硕士：结构分析专家李 萌硕士：IT统计专家刘文良硕士：风险分析专家任利刚硕士：评级技术专家2023/5/2886人总行认可的银行间债券市场评级业务资格国家发改委认可的企业债券评级业务资格中国保监会认可的企业债券评级业务资格中国证监会认可的证券市场评级业务资格和证券咨询资质人总行及26个省市分行、支行认定的借款企业、中小企业评级机构国家发改委认定的国家级中小企业信用服务体系建设试点评级机构国家发改委认定的国内担保机构信用评级机构国资委、全国整规办认定的行业商会（协会）信用评价试点评级机构12345678具有评级机构全部的从业资质2023/5/2887全国主要业务开展情况累计对8

50、4支企业债券进行信用评级，累计市场占有率36.8%，2007年 市场占有率46.7%，居国内第一。累计对293家次企业短期融资券进行信用评级；2007年对131家企业短期融资券评级，市场占有率42.12%，居国内第一。累计对32支金融机构债券进行信用评级，市场占有78.2%，居国内第一。创立国内中小企业企业集合债券信用评级，评级业务量居全国第一。在18个省市开展担保机构评级业务，累计对600多家担保机构进行了评级，市场占有率80%以上，居国内第一。较早开展中小银行内部评级体系研究，与近30家中小金融机构建立了战略合作关系，已成功为多家中小银行开发了内部评级系统。集合债券银行内部评级体系金融机构