内部控制与风险管理(课件).ppt

内部控制与全面风险管理,目 录,案例介绍：基本情况,中国三泰集团公司的经济结构庞杂： 房地产开发 物业管理 工业制造 商业贸易等 中国三泰集团公司的业务特点上： 点多面广 业务复杂 中国三泰集团公司组织内的各个法人主体： 业务多元化 从事同一业务的手段、方式、环境相对多样化 业务变化性比较强 形成集团统一的内部控制手册难度较大,案例介绍：基本思路,明确主要业务目标。 规范主要业务流程。强调业务的程序设计，规范业务流程，力求业务流程清晰、规范、统一。 明确权限。要明确母子公司、公司与分公司、公司职能部门及重要负责人在业务流程中的权限与责任，责任落实到人或岗位。 明确业务风险，突出重点控制环节。 总公司内控手册按业务块划分进行。 总公司内控手册与现行制度的关系：内控手册侧重于主要业务目标的确立、主要业务流程的规范、主要业务的风险控制，权限划分、责任到人；现行制度是内控手册的支持性文件，制度强调政策性、全面性。 在内控手册的大纲设计与编制模式上，将进一步听取和采纳有关专家、咨询机构的论证意见。,案例介绍：项目组织,成立内控领导小组，组长由董事长担任。 副组长：总会计师 领导小组成员：由总经办、人力资源部、财务部、资金部、企管部、法律部、项目部、市场部、科技部、政工部、审计部等相关部门领导组成。 领导小组下设内部控制手册制定办公室，由审计部、财务部、法律部联合组成。 办公室主任：财务部总经理； 副主任：审计部总经理 副主任：法律部总经理 办公室成员由相关部门及下属单位有关人员组成，办公室具体落实编写成员并组织编写。,建立风控体系的目的,本项目主要成果,满足监管要求,国香港联交所公司管治常规守则 企业管治报告。 财政部内部控制基本规范等 国资委中央企业全面风险管理指引,提升风险 管理水平,2009年各项制度160多项，1215页，约300万字。 线条粗放，不完整、不深入 主要是文字的表述，但大部分没有流程上的规范，导致同一个制度在执行中存在多种理解、执行的结果也有很大区别。,案例介绍：目的及成果,目 录,动因分析：外部监管要求和自身发展需要,中国三泰案例,风险及其影响,风险意味着,动因分析：风险无处不在、无时不在,企业的重大损失甚至倒闭都是由于不良的风险管理所造成。,没完没了风险大案,动因分析：风险案例及其警示,风险案例及其警示,增强企业风险管理水平,案例带来的思考,目 录,合规型内控,管理型内控,全面风险管理,增加股东价值,风险管理融入战略和目标制定中 通过风险管理增加利润，优化内部资源分配和投资决策,中国三泰案例,国资委中央企业全面风险管理指引的目标,过程分析：逻辑思路,意识决定行动。管理层的风险意识是决定风险管理体系建立和有效实施的原动力。 中国中国三泰的风险管理体系建设是一个过程，是一个持续改进、不断完善的过程。 中国中国三泰风险管理关键是执行，而不是设计。,+,3c框架,coso体系,=,过程分析：逻辑思路,coso体系,1992年，美国“反对虚假财务报告委员会（由美国注册会计师协会、国际内部审计师协会等团体发起成立）下设的coso委员会提出了内部控制整体框架（简称coso框架）。 该框架认为，内部控制应当由五个基本要素组成，即控制环境、风险评估、控制活动、信息与沟通和监督。五个要素构成内部控制的基本体系。 2004年coso委员会又颁布了一个概念全新的coso报告：即企业风险管理-总体框架。企业风险管理由八项相互关联的要素组成即控制环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通和监督。 该框架发布后，得到各国政府相关部门、企业界、审计界的广泛认同，成为现代风险管理理论与实务的基础。,过程分析：逻辑思路,2006年3月，中天恒历时三年苦心研究推出了”中国式全面控制框架“（简称3c框架）。 2007年4月，中天恒又在中国式全面控制框架的基础上，推出3c全面风险管理标准。 2009年4月，中天恒又推出3c内控评审操作标准及信息系统。 3c框架认为，目标风险管理，这是全面风险管理的内在逻辑。 3c框架认为，目标体系、风险融合和管理融合组成企业全面风险管理的有机体系。 3c框架认为，全面风险管理实务由风险管理准备、风险管理实施、风险管理报告和风险管理改进组成。,3c框架,过程分析：逻辑思路,过程分析：建设过程,中国三泰案例,1、收集资料和了解情况阶段,过程分析：操作路径,2、现状流程描述阶段,（1）编制业务流程目录。,中国三泰业务流程目录,过程分析：操作路径,2、现状流程描述阶段,（2）绘制业务流程图。,过程分析：操作路径,3、进行风险评估,中国三泰单位风险数据库,过程分析：操作路径,过程分析：操作路径,在确定各控制点和控制措施的基础上，将控制责任落实到相应的部门和岗位上，以保证责任到人，失职必究。,过程分析：操作路径,一是表单本身就是控制措施的落实，将控制点和控制措施落到实处； 二是表单的流转为内部控制留下痕迹，有利于进行内部控制测试与评价。,过程分析：操作路径,7、编制内部控制文档,过程分析：操作路径,8、设计风控手册,过程分析：操作路径,9、制度优化,过程分析：操作路径,目 录,中国三泰案例,实务分析：中国三泰案例,国务院国资委,实务分析：国家标准,中央企业全面风险管理指引,第一章 总 则 第二章 内部环境 第三章 风险评估 第四章 控制活动 第五章 信息与沟通 第六章 内部监督 第七章 附则,内部控制基本规范,3c框架：中国企业自己的全面风险管理标准,实务分析： 3c框架,1.3c框架全面风险管理框架图（1）,标 准 框 图,3c框架全面风险管理流程简图,标 准 框 图,1.概念 风险识别=风险辨识=风险确认=事件识别，是确认风险的过程。 2.内容 关键是把风险叼出来，一般可绘制成如下 “骨”图：,风险识别,实务分析：管理实务,中国三泰案例:,风险评估,1.概念 全面风险管理的一个重要组成部分，是在风险识别的基础上对风险进行计量、分析、判断、排序的过程，包括风险计价、风险分析、风险评价等步骤，是风险应对的主要依据，应立足于对固有风险和剩余风险的评估。 2.内容 一般来说，对识别出来的风险，从可能性和影响两个方面进行评估后，就可以根据评估的结果采取应对措施。 3.方法 风险评估方法包括定性方法和定量方法，应定性方法和定量方法相结合进行。 企业的在风险评估中访谈、集体讨论、专家咨询、问卷调查、标杆分析是比较常用的方法，我国中央企业在实践中已采用过去风险事件总结和分析、同业企业风险事件总结和分析、部门初始风险评估表、企业初始风险汇总表等具有自主创新，有很强的实用性。,综合信息框架,风险图谱,风险辨识,风险分析,风险初步判断,确认风险事件,风险定义归类,风险列表,分析结果,风险表现分析,风险影响分析,风险动因分析,风险关系分析,风险发生 可能性评价,风险影响 程度评价,风险评价,风险模型,重大风险模型,风险评估报告,风险应对,1.概念 选择应对风险策略的过程，是全面风险管理的重要环节。 2.内容,3.方法,风险控制,1.概念 风险控制=控制活动=控制政策=控制程序=控制措施的=应对措施,就是应对风险的各种措施。 2.内容 就是风险控制的措施, 从风险角度看:,3.步骤,4.方法,风险报告,1.概念 就是对企业风险管理的情况的报告，报告风险是全面风险管理的一个重要环节，可作为全面风险管理的独立环节，根据需要可在全面风险管理的过程中随时报告重大的风险情况。 2.内容 关键要素是风险、损失、管理、指标和措施。 引言 简要本期进行风险管理的人员、时间、范围及其风险管理责任等。 正文 （一）风险及损失情况 （二）全面风险管理情况 （三）加强全面风险管理建议 附件,1.概念 风险预警作为风险管理报告阶段的一个重要环节，或作为风险报告的一项重要内容。风险预警能够预先告知管理当局和投资者有关组织内部所隐藏的问题，及早采取防范措施。 2.风险预警内容,风险预警,风险监督,1.概念 风险监督=监督检查=监督评价=持续监督=监控=监控系统=内部监督,就是企业全面风险管理健全、合理、有效性进行监督检查的过程. 2.内容 全面风险管理管理什么就得监督什么。风险监督的内容不是监督的方式，更不是监督的主体，但风险监督的内容因监督方式、监督主体的不同而不同。 持续监督 专项监督 3.步骤 对风险从开始监督到结束监督行为的基本过程。包括: 如何做好计划 如何进行具体实施 如何报告监督的结果,4.风险监督方法,风险审计,1.概念 2.内容 独立审计 政府审计 内部审计,管理改进,1.概念 根据存在的缺陷和变化的情况改进风险管理动态过程 2.内容 至少包括改进报告缺陷和应对变化。 3.流程 流程一：分析总结报告缺陷，编制风险管理缺陷汇总分析表,风险管理缺陷汇总分析表,流程二：识别变化情况，编制风险管理变化情况分析表 风险管理变化情况分析表,全面风险管理三道防线,实务分析：如何落地,目 录,效果分析：初步成效,中国中国三泰集团的法人治理结构更加完善，企业文化良性发展，风险管理机制有效运转，制度执行力得到加强，资产管理水平进一步提高，信息披露质量更加可靠，公司管理基础更加扎实，有效地保障了公司的健康、长远发展” 国资委,效果分析：受到主管部门好评,项目成功的关键因素,全公司启动大会，陈董事长亲自动员，指示方向，总裁亲自部署，10人次高管层访谈，4次总裁及监事会汇报 风控部团队严控制量，把握具体的思路，平均每周1-2次项目讨论，逐章逐节逐字推敲558页手册，500多页报告、汇报、培训演示文档，4次月进度质量评价 20人次管理层访谈，173份问卷调查，针对26个重要流程进行了21场部门管控研讨 8人次管理层访谈 5 次风控相关人员培训（21场部门培训）,项目实施具体工作,效果分析：成功秘笈,增强企业风险管理水平,风险管理失效关键是不执行 没有执行力，就没有竞争力,执行是风险管理之生