内审、内控与风险管理框架(培训).ppt

2014年4月,构建以全面风险管理为核心 的内部管控体系,恩歌源集团内部培训,房地产新政与地产宏观大势 资源竞争 资本竞争 管理竞争,向管理要效益,具体项目操作能力,各专业的管理能力,企业综合管理能力,专业间的集成能力,行业竞争激烈,宏观经济调控,管理精细化,管理出效益,四象限法,波士顿矩阵,认识恩歌源-集团核心业务,建设,科技,集团核心业务 基础-保饭碗 地产-求发展 科技-拼机遇,农业,农业,认识恩歌源-集团核心竞争力,硬实力,发展力,战略决策优势 商业模式优势 相对优势（务实、团结、灵活） 业务布局（传统产业-新兴产业） 管理优势 企业文化,什么是风险？ 风险在哪里？,案例分析,.,安然公司（财务造假） 巴林银行（高风险业务） TCL海外并购的失败（并购风险） 三九集团多元化之路（盲目扩张） 富士康采购控制漏洞（控制漏洞、串通舞弊） 龙岗舞王俱乐部火灾（没有风险预案） 2008胶济铁路火车相撞事故（执行不力，海恩法则-天灾VS人祸？）-“四不放过原则” 某集团高管贪污（职责分离不明，不受控制岗位存在） 回顾事件发生的经过，了解引致公司倒闭或严重损失的内控缺陷，从案例中吸取的教训,欺诈,舞弊,渎职,决定了管理成效与企业命运,取决于管理层的认识,风险管理体系,全面风险管理,HSE体系,内控体系建设,什么是风险？ 什么是风险管理？,2006年国资委中央企业全面风险管理指引 第三条：本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。 第四条：本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。,风险处理策略,风险策略 避免 禁止交易 减少或限制交易量 离开市场 转移 套期 保险 策略性联盟 其他分担风险的安排,降低 投资 广泛保护的安排 订价反映风险程度 承担 自我保险 预留储备 增加监督,什么是内部控制?,2008年五部委委企业内部控制基本规范 第三条 本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。 2006上交所上海证券交易所上市公司内部控制指引 第二条 内部控制是指上市公司（以下简称公司）为了保证公司战略目标的实现，而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由公司董事会、管理层及全体员工共同参与的一项活动。,内部审计定义,.,中国内部审计协会,内部审计，是一种独立、客观的确认和咨询活动，它通过运用系统、 规范的方法，审查和评价组织的业务活动、内部控制和风险管理的 适当性和有效性，以促进组织完善治理、增加价值和实现目标。,案例分析,.,案例分析： 安然公司（财务造假） 巴林银行（高风险业务） TCL海外并购的失败（并购风险） 三九集团多元化之路（盲目扩张） 富士康采购控制漏洞（控制漏洞、串通舞弊） 龙岗舞王俱乐部火灾（没有风险预案） 回顾事件发生的经过 了解引致公司倒闭或严重损失的内控缺陷 从案例中吸取的教训,欺诈,舞弊,抵御风险的 三道屏障,。,业务层（内部控制）,财务层（风险管理）,审计层（风险评价）,控制与效率的矛盾统一,目 录,目 录,企业内部的一个独立机构。,内部审计的目的?,服务于集团战略，有效监管各类风险，通过检查、评估组织内部的各项活动，评估其效果和效率。 进行原因分析、提供咨询建议。,为什么要有内部审计?,集团公司规模的日益扩大 机构和其业务的日益复杂 协助管理层更有效地履行其责任 提高企业的运作效率并增强其活动的附加值,什么是内部审计？,内部审计定义,中国内部审计协会,内部审计，是一种独立、客观的确认和咨询活动，它通过运用系统、 规范的方法，审查和评价组织的业务活动、内部控制和风险管理的 适当性和有效性，以促进组织完善治理、增加价值和实现目标。,.,审计法规 内审准则,审计法律法规 内部审计准则,中华人民共和国审计法 中华人民共和国审计法实施条例 审计署关于内部审计工作的规定 内部审计基本准则 上市公司内部审计工作指引 企业内部控制基本规范,作为内部员工，由管理层选派指定,作为外部聘请的专业人员，由股东大会选派指定,由管理层决定需要,由注册会计师协会及其他资格认定机构确定,只有作为内部职工的权利,由相关法律规定,由管理层决定，如防错纠弊、效率考察等,对财务报表发表真实公允的审计意见,由管理层决定,不应受到任何限制,对审计委员会、董事会或其他内部机构, 不具鉴证作用,对董事会或股东大会报告, 所出具报告具有鉴证作用,仅独立于被审计的机构,既独立于委托人, 又独立于被审计机构,内部审计与外部审计的比较,第一代 （1980之前）,第二代 （80年代）,第三代 （90年代）,第四代 （21世纪）,控制,企业风险,企业风险管理流程,控制结构,出发点是已有的流程、程序和控制,以符合性测试为主,出发点是财务 风险和符合性 风险,确定应该存 在的控制,审计目的是评 估控制的设计、 运行效果和合 规性,出发点是对企 业和各种风险 的充分理解,确定应该存 在的控制,审计目的是评 估控制的设计、 运行效果和合 规性,确定应该存在的能有效控制风险的企业风险管理流程,评估在各个企业 风险管理流程的 设计、运行效果 和合规性,内部审计的演变历史,出发点是对企业和各种风险的充分理解,查错纠弊向全面风险管理审计延伸,内部审计在现代企业中的角色和职能转变,财务审计向全面内部控制审计延伸,事后审计向业务管理事中、事前审计延伸,监督型审计,服务型审计,增值型审计,防范风险,增加价值,存货盘点,发询证函,指标考核,符合性测试,价值评估,效率考察,协助外审,咨询建议,.,.,内审在现代企业中的角色和职能,企业内部活动的再监督 防错纠弊的检察员 监控企业运作和资源使用的效率和效果 协助外部审计人员 风险管理咨询,保护资产 遵守政策、机会、程序和法律法规 对经营或项目的设定目标的完成情况,内部审计在现代企业中的角色,企业内部活动的监督者,防错纠弊的检察员,舞弊是如何发生的 怎样改正内部控制中导致舞弊的缺陷 怎样杜绝未来舞弊的发生 比发现舞弊更好的是通过有效的控制防止舞弊,通过检查和评价控制的有效性、完备性以及执行分配责任的质量来确保： 机构内部控制系统的有效性和完备性 信息的可靠性和一致性,有效地运用资源 制定经营标准 根据经营标准评价效率 识别并报告低效使用,内部审计在现代企业中的角色,监控企业运作和资源使用的效率和效果,内部审计与单位管理层的关系,相对独立、绝对服务 协同、帮助，而非对立 发现事项、改进建议须得到管理层的同意，而非命令 内审的价值不仅是发现问题还要提出可行的建议，协助管理层解决问题,理 解 期 望,分 析 相 关 程 序 及 风 险,汇 报 结 果,确 认 相 关 程 序 及 风 险,跟 踪,理 解 、 分 析 经 营 状 况, 确 认 控 制 弱 点 原 因 补 救 措 施,内部审计过程简介,与管理层讨论 (Discussion) 实地观察 (Observation) 审阅书面资料 (Inspection) 抽样测试 (Sampling),基本审计方法,休息一下,审计工作总体思路,目标：确保集团战略目标的实现（具体包括经营效率性、财务信息真实性、资产安全性、内控有效性和反舞弊等子目标） 核心：建立以全面风险管理为导向的内部控制体系 抓手：以高管理解并重视为前提，以目标考核为抓手 原则：适合性原则，成本效益原则，前瞻性原则 重点工作： 1、以综合目标考核为基础的经济性审计； （成立考核小组，明确下达业绩目标、考核目标实现情况，定“赏罚”，重激励；） 2、以全面风险管理为核心的内控审计； （明确管理目标，将制度流程的完善性、有效性作为组织考核的一项内容，定规范，重养成执行力） 3、以反舞弊等专项组织的专项审计。 （建立反反舞弊机制，形成廉明的风尚，定“赏罚”，重惩戒） 4、完成其他审计监察内容及领导交代的工作。 （工程监察审计、合同监察审计等）,什么是风险？ 什么是风险管理？,2006年国资委中央企业全面风险管理指引 第三条：本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。 第四条：本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。,什么是内部控制？,2008年五部委委企业内部控制基本规范 第三条 本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。,20世纪70至80年代 1977年 美国国会反海外贿赂法案 1979年 SEC管理层对内部会计控制的公告提案 1988年 SEC第34-25925号提案：管理层责任报告,20世纪60年代之前 1933年 格拉斯斯蒂尔法案 1939年 AICPA第1号审计程序公告 1940年 美国SEC要求CPA在审计报告里增加内控审查的内容 1949年 AICPA出版内部控制-体系要素及对管理层和会计师的意义 50年代 美国CAP制定审计准则将内控评价作为财报审计的必要程序,20世纪90年代 1991年 美国国会联邦储蓄保险公司改善法 1992年 COSO委员会内部控制框架 1993年 AICPA发布SSAE2财报内控的审核,21世纪10年代 2002年 美国国会萨班斯奥克斯利法案 2004年 COSO委员会风险管理框架,21世纪10年代之后 全球内部控制和风险管理标准的融合,国外内控与风险管理的发展路径,20世纪70至80年代 1988年 财政部CPA检查验证会计报表规则（试行） 第二十六条,20世纪60年代之前 ,20世纪90年代 1996年 中注协独立审计具体准则第9号-内部控制与审计风险,21世纪10年代 2002年 中注协内部控制审核指导意见 2003年 审计署审计机关内控测评准则 2006年 国资委中央企业全面风险管理指引 2008年 五部委企业内部控制基本规范,21世纪10年代之后 2010年 五部委企业内部控制配套指引,国内内控与风险管理的发展路径,国际风险管理与内控的主要标准,国际内控与风险管理的主要标准,内部控制基本框架 COSO I,“一套由董事会、管理层及其它相关人员共同实施的程序，以合理确保下列各项的目标得以实现：,(b) 适用法律法规的合规性,(a) 财务报告的可靠性,(c) 经营活动的效率和效果。”,内部环境,风险评估,控制活动,信息与沟通,监督,经营,报告,合规,COSO内部控制框架的结构及对内部控制的定义：,内部控制基本框架 COSO I,COSO内部控制框架的意义： 将内部控制从有限的财务报告扩展到企业经营及法律遵循等广阔的领域，为管理层提供了一系列的实用工具； 提供了一个能适用于不同用户需求的内部控制概念，被理论界和实务界广泛接受，从而提供了一个可以共同理解的概念和实践平台； 首次将内部控制理论体系从平面结构发展为立体结构，形成了坚实的内部控制理论框架体系； 提出了内部控制的本质是合理保证实现特定目标的过程； 首次将风险评估和信息沟通作为基本构成要素引入内部控制领域； 提供了一套完成的内部控制评价标准，该标准适用于任何公司和其他类型或性质的组织，在内部控制有效性评价方面取得革命性的突破； 前所未有的强调环境、人和资源配置的重要性。,风险管理基本框架 COSO II,“风险管理是一种程序，由企业的董事会、管理层和其他成员共同使其生效，用以对以下目标的实现提供合理的保证：,(b) 适用法律法规的合规性,(a) 财务报告的可靠性,(c) 经营活动的效率和效果,(d) 战略目标的实现。”,内部环境,风险评估,控制活动,信息与沟通,监督,目标设定,事项识别,风险应对,经营,报告,合规,战略,COSO风险管理框架的结构及对风险管理的定义：,内部控制与风险管理政策及法规,中央企业全面风险 管理指引,企业内部控制 基本规范,上海证券交易所 内部控制指引,深圳证券交易所 内部控制指引,全面风险管理报告,内部控制自我评估报告,内部控制自我评估报告,内部控制自我评估报告,企业内部控制基本规范,第一章 总则 第二章 内部环境 第三章 风险评估 第四章 控制活动 第五章 信息与沟通 第六章 内部监督 第七章 附则,监控,信息和沟通,控制活动,风险评估,控制环境,营运,财务报告,合规性,业,务,单,位,A,业,务,单,位,B,活,动,2,活,动,1,内部环境,经营,报告,风险评估,控制措施,信息与沟通,监督检查,合规,企业战略,资产安全,COSO 内部控制模型,企业内部控制基本规范2008年,内部控制最新法规,企业内部控制应用指引包括： 第1号组织架构 第2号发展战略 第3号人力资源 第4号社会责任 第5号企业文化 第6号资金活动 第7号采购业务 第8号资产管理 第9号销售业务 第10号研究与开发 第11号工程项目 第12号担保业务 第13号业务外包 第14号财务报告 第15号全面预算 第16号合同管理 第17号内部信息传递 第18号信息系统,企业内部控制应用指引,目 录,COSO模型的发展,COSO内部控制模型,COSO风险管理模型,控制环境,风险评估,控制活动,信息与沟通,监督,经营,报告,合规,内部环境,风险评估,控制活动,信息与沟通,监督,目标设定,事项识别,风险应对,经营,报告,合规,战略,目标设定,风险评估,控制环境,事项识别,风险评估,风险应对,监控,信息与沟通,控制活动,内部控制与风险管理融合框架,内控与风险管理体系的作用,内控与风险管理体系与现有管理体系的关系是什么？,新的思路,新的技术,新的工具,新的效果,现有管理体系,优化和 提升,自成体系，另起炉灶？ 独立运行，后台监督？ 有益补充，完全融合？,内部控制体系的准确定位,与现有管理体系的关系,内控与风险管理体系能带来什么？,内控与风险管理对现有管理体系的改变,责任明确,主动管理,可评价,长效机制,现有管理体系,管理出 效益,按照财政部等五部委企业内部控制基本规范和配套指引、国资委中央企业全面风险管理指引以及上级单位的要求，基于企业的业务特点和管理模式，确定内控与风险管理体系建设项目的总体目标为：,项目总体目标,规范业务操作，防范经营风险 有效识别经营风险，严格防范控制缺陷，将风险控制在可承受范围内，从而规范业务操作，为业务的 稳健和可持续发展保驾护航。,建立内控体系，提高运营效率和效果 通过对关键内控制度和流程的全面梳理， 建立符合战略发展需求及经营管理特点的内控流程 体系，提高公司运营效率和效果。,满足监管机构和上级单位要求，实现合规目标 建立以风险管理为导向的内部控制体系，完成监管机构和上级单位要求，确保通过外部内控审计。,项目目标,54,项目工作方案,编制流程体系文件，全面覆盖经营管理业务循环,1、编制流程图及流程描述 2、进行穿行测试，分析流程现状,基于业务流程，识别、评估经营管理风险,1、确定业务活动的经营管理目标 2、识别影响业务目标实现的风险事项,公司风险 识别与要素 评估,1、识别公司层面重大风险，建立风险数据库 2、公司层面重大风险评估,建立内部控 制评价体系,1、建立内部控制评价制度，形成管理闭环 2、确定内部控制评价方法,流程体系框架建设,流程体系框架,一级流程,审计监察模块,资产管理模块,经营管理业务模块,财务管理模块,人力资源模块,投资管理模块,质量与安全管理模块,信息管理模块,科技研发模块,法律及行政模块,市场营销模块,流程体系框架,内控流程体系文件,现阶段每个三级流程对应成果展示,1、流程图 2、流程描述 3、风险控制矩阵 4、风险数据库 5、控制文档 6、缺陷跟踪报告,本阶段项目成果,流程图,明确每个流程步骤的执行部门及岗位 明确每个步骤的输入和输出文档 明确每个具体步骤的操作内容 明确流程控制点,流程图示例,本阶段项目成果（续）,流程描述,流程描述示例,风险控制矩阵建立,本阶段项目成果,风险控制矩阵,风险控制矩阵 示例,风险数据库建设,本阶段项目成果（续）,流程层面风险数据库,风险数据库 示例,本阶段项目成果,控制文档,控制文档示例,本阶段项目成果（续）,缺陷跟踪报告,缺陷跟踪报告示例,工作步骤,公司层面重大风险识别及评估,工作方法-风险调查问卷,风险调查问卷,成果示例,工作成果-风险库,公司层面风险库,成果示例,工作方法-德尔斐调研,德尔斐调研 参与者通过匿名投票。针对每个问题进行多次讨论和投票，从而达到深入而一致的理解： 关于业务问题的量化理解 不带个人冲突地解决争论 展示同意、不同意和极端意见的模式 提供谈判和一致同意的事实依据,工作成果-风险地图,风险地图,样本展示,管理建议书,工作成果,成果示例,工作成果（续）,内部控制与风险管理手册,成果示例,内控评价底稿示例,成果示例,风险管理体系建设主要阶段,风险管理体系建设主要阶段及内容：,内控与风险管理核心程序,确定目标 战略目标 经营目标 控制目标,识别与评估风险,确定控制缺陷 -控制优化 -提升风险管理水平,控制活动 设计合理性 执行有效性,步骤一,步骤三,步骤二,步骤四,公司层面风险 - 战略风险 - 市场风险 - 财务风险 - 运营风险 法律风险 其他,内控与 风险管理体系,流程层面风险 业务风险 操作风险 交易风险,目标： 战略目标 经营目标,目标： 流程目标 控制目标,控制： 公司层面控制 整体控制,控制： 流程层面控制 具体控制,内控与风险管理体系的主要层次,关注风险性质与类型：,第 83 页,标准化的管理与经营体系 流程体系与制度体系 风险识别与评估体系 控制设计与评价体系.,持续优化与提升 重大业务风险识别评估 风险控制缺陷识别 缺陷评估与认定 缺陷整改.,提高经营效率与效果 加强管控 促进战略落地 实现风险导向绩效评估.,有效内部控制体系的特征,风险导向流程体系 制度流程化 实现体系化管理 加强部门间协作 各项管理体系的共同平台,体系化的基础管理平台,推动持续的优化与改进,加强管控效果促进战略落地,识别剩余风险 发现控制缺陷 定位管理漏洞 持续优化与改进 提升管理水平,可靠的长效管理体系,先进的风险文化 清醒的风险意识 系统的工作程序 一整套复合工具 价值链管理的基础,实现各项业务活动过程的可追溯性 实现执行力和管理效果的可评价性 提升各单位的管理透明度 促进战略落地,内控与风险管理体系的