聯(lián)合信用管理公司全面風險管理咨詢項目方案設計(與“風險”有關文檔共89張)

全面風險管理體系建設方案設計

內(nèi)控體系項目工作流程全面風險管理整合框架概述我國企業(yè)風險管理現(xiàn)狀對全面風險管理的理解全面風險管理體系方案設計123456聯(lián)合優(yōu)勢第1頁，共89頁。一、企業(yè)全面風險管理整合框架概述企業(yè)全面風險管理是企業(yè)在實現(xiàn)未來戰(zhàn)略目標的過程中，試圖將各類不確定因素產(chǎn)生的結(jié)果控制在預期可接受范圍內(nèi)的方法和過程，以確保和促進組織的整體利益實現(xiàn)。企業(yè)風險管理（ERM）框架是由美國虛假財務報告全國委員會的發(fā)起組織委員會（COSO）在內(nèi)部控制框架的基礎上，于2004年9月提出的企業(yè)風險管理的整合概念。

什么是企業(yè)全面風險管理：

第2頁，共89頁。風險管理理論的發(fā)展

以“安全和保險”為特征的風險管理。100多年前航運企業(yè)風險管理的主要措施就是通過保險把風險轉(zhuǎn)移給保險公司。

以“內(nèi)部控制和控制純粹風險”為特征的風險管理。隨著工業(yè)革命的發(fā)展，公司對業(yè)務管理和流程方面的內(nèi)部控制提出了要求。美國1977年的《反國外賄賂法》要求公司管理層加強內(nèi)部會計控制；1992年的《COSO內(nèi)部控制綜合框架》提出以財務管理為主線的內(nèi)部控制系統(tǒng)。

以“風險管理戰(zhàn)略與企業(yè)總體發(fā)展戰(zhàn)略緊密結(jié)合”為特征的全面風險管理。風險管理實踐表明，僅靠內(nèi)部控制難以實現(xiàn)企業(yè)的最終目標。為此，COSO于2004年9月出臺了《COSO企業(yè)全面風險管理整合框架》（簡稱ERM），提出了由三個維度構成的風險管理整合框架。

我國國務院國資委于2006年發(fā)布《中央企業(yè)全面風險管理指引》（以下簡稱《指引》），標志著我國中央企業(yè)建立全面風險管理體系工作的啟動。

第一階段：

第二階段：

第三階段：第3頁，共89頁。COSO企業(yè)風險管理構成八個要素在內(nèi)部控制整合框架五個要素的基礎上，

COSO企業(yè)風險管理的構成要素增加到八個，八個要素相互關聯(lián)，貫穿于企業(yè)風險管理的過程中。

監(jiān)控內(nèi)部環(huán)境目標設定事項識別風險評估風險應對控制活動信息與溝通（1）（2）（3）（4）（5）（6）（7）（8）第4頁，共89頁。全面風險管理框架的8個要素構成

企業(yè)內(nèi)部環(huán)境是其他所有風險管理要素的基礎，為其他要素提供規(guī)則和結(jié)構。其中特別是大型企業(yè)領導班子的風險偏好，決定了大型企業(yè)對可能出現(xiàn)的預料之外的事件的態(tài)度，企業(yè)管理層必須明確戰(zhàn)略及其執(zhí)行過程中的風險和回報。

（一）內(nèi)部環(huán)境

管理層制定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略并確定其他與之相關的目標并在企業(yè)內(nèi)層層分解和落實。管理層必須首先確定企業(yè)的目標，才能夠確定對目標的實現(xiàn)有潛在影響的事項。企業(yè)風險管理就是提供給企業(yè)管理層一個適當?shù)倪^程，將目標與企業(yè)的任務或預期聯(lián)系在一起，保證制定的目標與企業(yè)的風險偏好相一致。

（二）目標設定

第5頁，共89頁。

企業(yè)風險管理要求辨別可能對實現(xiàn)企業(yè)目標產(chǎn)生負面影響的所有重要情況或事件，事項識別的基礎是將可能的風險與環(huán)境進行對比。這要求綜合運用各種專業(yè)知識，盡可能地了解企業(yè)當前或?qū)淼沫h(huán)境和經(jīng)營情況。一般用可能性（概率）和影響結(jié)果兩個指標度量風險。風險評估的過程根據(jù)不同的情況，采用定性和定量相結(jié)合的方法。若可以獲取充足的數(shù)據(jù)，可采用決策風險定量評估方法；若潛在的可能性及影響結(jié)果都較小，或者無法獲得數(shù)據(jù)，則可采取定性的評估方法。（四）風險評估

（三）事項識別

全面風險管理框架的8個要素構成

第6頁，共89頁。企業(yè)要對每一個重要的風險及其對應的回報進行評價和平衡，據(jù)平衡的情況采取包括回避、接受、共擔或降低這些風險。風險應對是企業(yè)風險管理的整體重要組成部分。

控制活動包括在整個組織使用的審核、批準、授權、確認以及對經(jīng)營績效考核、資產(chǎn)安全管理、不相容職務分離等方法。這是企業(yè)管理層設計的政策和程序，為執(zhí)行特定的風險應對措施提供合理保證。（六）控制活動

（五）風險應對

全面風險管理框架的8個要素構成

第7頁，共89頁。如何構建內(nèi)部控制—公司層面的評估主要任務：以全面風險管理為導向進行有針對性的內(nèi)控體系設計。有明確的財務目標，并對其主動監(jiān)控處理方法能直接針對該項風險，但由于需要投入大量資源或/及將其他資源轉(zhuǎn)到處理該項風險上，會對企業(yè)的效率造成影響在企業(yè)全面風險管理建立和實施的過程中，應該遵循以下原則：第二個維度（正面維度）是管理要素，包括八個相互關聯(lián)的構成要素,它們源自管理當局的經(jīng)營方式，并與管理過程整合在一起，(1)內(nèi)部環(huán)境、(2)目標設定、(3)事項識別、(4)風險評估、(5)風險應對、(6)控制活動、(7)信息與溝通、(8)監(jiān)控。管理層對財務報表的認定保證資本投資的合理授權和審批符合集團的政策規(guī)定3、主要內(nèi)控點之測試策略第二個維度（正面維度）是管理要素，包括八個相互關聯(lián)的構成要素,它們源自管理當局的經(jīng)營方式，并與管理過程整合在一起，(1)內(nèi)部環(huán)境、(2)目標設定、(3)事項識別、(4)風險評估、(5)風險應對、(6)控制活動、(7)信息與溝通、(8)監(jiān)控。主要任務：初步調(diào)研，成立項目管理組織架構，組織內(nèi)部培訓，界定體系建設范圍，明確項目目標，編制項目計劃。風險管理的手段，必須融入日常的管理流程全面風險管理體系建設遵循原則累計對84支企業(yè)債券進行信用評級，累計市場占有率36.權利與義務(資產(chǎn)負債表)什么數(shù)據(jù)或差異需要進行分析？風險信息必須以一定的形式和框架進行交流，使企業(yè)員工、管理層履行各自的責任。企業(yè)必須對各種數(shù)據(jù)和信息流進行加工，形成關于企業(yè)風險組合輪廓的統(tǒng)一觀點，以利于交流。通常存在自上而下式、平行式和自下而上式3種有效的交流形式。員工的風險信息交流意識是風險管理環(huán)境的重要組成部分，應鼓勵員工就其意識到的重要風險與管理層進行交流，企業(yè)管理層應當重視員工的意見。

企業(yè)應通過持續(xù)的監(jiān)控和獨立的評價活動，監(jiān)控企業(yè)風險管理的有效性。持續(xù)監(jiān)控以日常經(jīng)營中發(fā)生的事件和交易為對象，包括企業(yè)管理層和專門的監(jiān)控人員的活動。（八）監(jiān)控

（七）信息與溝通

全面風險管理框架的8個要素構成

第8頁，共89頁。COSO企業(yè)風險管理的性質(zhì)COSO在對《企業(yè)風險管理》的界定中重點強調(diào)了七個屬性和理念：企業(yè)風險管理力求實現(xiàn)一個或多個不同類型但相互交叉的目標。企業(yè)風險管理能夠向一個企業(yè)的管理當局和董事會提供合理保證；企業(yè)風險管理旨在識別那些一旦發(fā)生將會影響企業(yè)的潛在事項，并把風險控制在風險容量以內(nèi)；企業(yè)風險管理貫穿企業(yè)整體，在各個層級和單元應用，還包括采取企業(yè)整體層級的風險組合觀；企業(yè)風險管理應用于戰(zhàn)略制定的過程中；企業(yè)風險管理是由組織中各個層級的人員來實施的；企業(yè)風險管理是一個過程，它持續(xù)流動于企業(yè)之內(nèi)；(1)(2)(3)(4)(5)(6)(7)第9頁，共89頁。企業(yè)風險管理可以發(fā)揮以下作用(1)銜接風險容量與戰(zhàn)略管理當局在評價戰(zhàn)略方案、設定相關目標和建立相關風險的管理機制的過程中，需要考慮所在主體的風險容量(2)增進風險應對決策企業(yè)風險管理應能提高企業(yè)選擇風險應對策略的準確性(3)抑減經(jīng)營意外和損失主體識別潛在事項和實施應對的能力得以增強，抑減了意外情況以及伴隨而來的成本或損失(4)識別和管理貫穿于企業(yè)的多重風險每一家企業(yè)都面臨影響自身不同組成部分的一系列風險，企業(yè)風險管理有助于有效地應對交互影響，以及整合式地應對多重風險(5)抓住機會通過全面考慮潛在事項，促使管理當局識別并積極地把握機會(6)改善資本配置通過全面考慮潛在事項，促使管理當局識別并積極地把握機會改善資本配置。獲取強有力的風險信息，以使管理當局能夠有效地評估總體資本需求，并改進資本配置第10頁，共89頁。企業(yè)風險管理的目標體系

企業(yè)風險管理框架提出了四類目標：

在這個目標體系中，增加了內(nèi)部控制整合框架中所沒有的一類目標：戰(zhàn)略目標。雖然是平行的方式列示，但是，戰(zhàn)略目標在這個目標體系中是最高層次的，其它三類目標都應當從屬于戰(zhàn)略目標。都是在為戰(zhàn)略目標服務。

戰(zhàn)略(Stntegic)目標，即高層次目標，與使命相關聯(lián)并支撐使命經(jīng)營(operations)目標，高效率地利用資源報告(reporting)目標，報告的可靠性合規(guī)(compliance)目標，符合適用的法律和法規(guī)(1)(2)(3)(4)第11頁，共89頁。COSO內(nèi)控框架三個維度具體內(nèi)容COSO內(nèi)控框架內(nèi)控環(huán)境風險評估控制活動信息和溝通監(jiān)控業(yè)務部門業(yè)務功能整體營運財務報告合規(guī)第一個維度（上面維度）是是目標體系，包括四類目標：(1)戰(zhàn)略(Stntegic)目標，即高層次目標，與使命相關聯(lián)并支撐使命；(2)經(jīng)營(operations)目標，高效率地利用資源；(3)報告(reporting)目標，報告的可靠性；(4)合規(guī)(compliance)目標，符合適用的法律和法規(guī)。

第二個維度（正面維度）是管理要素，包括八個相互關聯(lián)的構成要素,它們源自管理當局的經(jīng)營方式，并與管理過程整合在一起，(1)內(nèi)部環(huán)境、(2)目標設定、(3)事項識別、(4)風險評估、(5)風險應對、(6)控制活動、(7)信息與溝通、(8)監(jiān)控。第三個維度（側(cè)面維度）是主體單元，包括集團、部門、業(yè)務單元、分支機構四個層面。第12頁，共89頁。二、我國企業(yè)風險管理概述

企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。

——《中央企業(yè)全面風險管理指引》第13頁，共89頁。國內(nèi)企業(yè)的風險管理處于起步階段風險管理剛剛起步，表現(xiàn)為：經(jīng)理人階層普遍缺乏風險意識與風險管理的知識企業(yè)管理過程中缺乏風險管理的內(nèi)容，除金融企業(yè)保險與金融領域缺乏風險管理的工具缺少獨立的風險管理行業(yè)與市場原因在于：績效考核中基本不計入風險因素法規(guī)缺乏對上市公司披露風險管理情況的要求股市缺乏對上市公司風險管理的壓力第14頁，共89頁。

我國企業(yè)風險管理法律文獻

2022/11/2715《內(nèi)部會計控制規(guī)范》《證券公司內(nèi)部控制指引》《證券投資基金管理公司內(nèi)部控制指導意見》《獨立審計準則第9號——內(nèi)部控制和審計風險》1996年2001年《商業(yè)銀行內(nèi)部控制指引》2006年《中國企業(yè)會計準則體系》《上市公司內(nèi)部控制指引》《中央企業(yè)全面風險管理指引》中國企業(yè)內(nèi)部控制標準委員會（CICSC）成立《企業(yè)內(nèi)部控制規(guī)范》（征求意見稿）2006年第15頁，共89頁。全面風險管理框架的設立原則我國大型企業(yè)要在促進國有經(jīng)濟布局和結(jié)構優(yōu)化方面發(fā)揮表率作用，實現(xiàn)國有資本優(yōu)化配置，充分發(fā)揮跨省市經(jīng)營，產(chǎn)業(yè)分布廣的優(yōu)勢，就必須逐步建立全面風險管理框架，降低生產(chǎn)經(jīng)營風險。在企業(yè)全面風險管理建立和實施的過程中，應該遵循以下原則：

成功地回避風險，必須建立在對風險發(fā)生可能性科學預測的基礎上，這就要求在選擇具體操作方法時，堅持理論與實際、定性與定量、歷史與未來相結(jié)合的方法，以確保實施方法的準確性和有效性。

一、預測先導原則

第16頁，共89頁。對風險的性質(zhì)、風險程度做出合理評估，結(jié)合企業(yè)管理、財務等綜合能力，制定風險管理方針和策略。

全面風險管理框架的設立原則對因進行風險管理而產(chǎn)生的成本及其績效進行比較，擇優(yōu)采用。如果風險防范成本超出了最終風險可預測損失，那么，該項風險防范措施的效果無疑應該大打折扣。

四、成本效益原則

國資委或中央企業(yè)應對所屬企業(yè)管理者的風險管理能力進行監(jiān)控，避免超出其承受能力的經(jīng)營風險。三、避免超載原則

二、權衡輕重原則

第17頁，共89頁。風險管理總體目標與戰(zhàn)略目標一致財務報告真實可靠合規(guī)合法高效運營應對突發(fā)事件，防止重大損失根據(jù)客戶要求，可增加或減少。三、全面風險管理的理解第18頁，共89頁。1、收集初始信息2、風險評估3、制定風險管理策略4、風險管理解決方案5、風險管理監(jiān)督與改進信息與溝通（訪談）工作步驟第19頁，共89頁。

全面風險管理三道防線

管理層第1道防線第3道防線第2道防線風險管理內(nèi)部審計業(yè)務部門A業(yè)務部門B業(yè)務部門C審計委員會風控委員會XX委員會XX委員會董事會一個基礎第20頁，共89頁。一個基礎：公司治理結(jié)構公司治理是涉及公司的表現(xiàn)：它關系到一家公司如何得到有效的管理，從而發(fā)揮最佳表現(xiàn)公司治理是涉及責任的問題：它關系到董事會及管理層如何向股東負責，而使股東能從公司的表現(xiàn)中得益公司治理第21頁，共89頁。公司治理與風險管理有什么關系？

公司治理是風險管理的一個必要的組成部份，因為它提供了對風險由上而下的監(jiān)控與管理近年多個國家都訂立了公司治理的最佳守則：美國：紐約證交所最佳治理守則英國：Cadbury/HampelReport、TheCombinedCode加拿大：DeyReportOECDReport

這些最佳守則均清楚指出建立風險管理是董事會及管理層的責任第22頁，共89頁。如何構建有利風險管理的公司治理結(jié)構建立一個健全的、以董事會為首的公司治理結(jié)構訂立企業(yè)的目標和戰(zhàn)略，包括企業(yè)的風險政策和極限貫徹一套重視風險管理的企業(yè)文化和價值觀第23頁，共89頁。第一道防線：業(yè)務單位防線

業(yè)務單位包含了企業(yè)大部分的資產(chǎn)和業(yè)務，它們在日常工作中面對各類的風險，是企業(yè)的前線企業(yè)必須把風險管理的手段和內(nèi)控程序融入到業(yè)務單位的工作與流程中，才能建立好防范風險的第一道防線第24頁，共89頁。1、了解企業(yè)戰(zhàn)略目標及可能影響企業(yè)達標的風險2、識別風險類別3、對相關風險作出評估4、決定轉(zhuǎn)移、避免或減低風險的策略5、計設及實施風險策略的相關內(nèi)部控制如何建立第一道防線第25頁，共89頁。(風險宇宙TM)資信制度知識產(chǎn)權財務流動資產(chǎn)與信貸資本結(jié)構市場財務報告營運法律生產(chǎn)程序經(jīng)營環(huán)境市場結(jié)構民風與文化治理策略董事會活動交易并購變賣聲譽道德社區(qū)責任風險管理董事會及管理層業(yè)績組織結(jié)構監(jiān)察與溝通執(zhí)行籌劃與開發(fā)利益有關方供應商政府顧客股東經(jīng)濟情況國家情況市場變化競爭對手人才資源雇員溝通有形資產(chǎn)機器、廠房與土地其他有形資產(chǎn)負債合約法規(guī)市場與銷售生產(chǎn)及流通商品/服務開發(fā)流程估值與選擇買家評估與甄選盡職調(diào)查并購后整合資信管理運營組織與監(jiān)察硬件軟件網(wǎng)絡無形資產(chǎn)知識管理信息現(xiàn)金管理對沖融資股東資本債務商品利率外匯稅務會計合規(guī)風險宇宙(對企業(yè)進行風險分析診斷)第26頁，共89頁。風險發(fā)生的可能性評分可能性說明5幾乎肯定在未來12個月內(nèi)，這項風險幾乎肯定會出現(xiàn)至少1次4極可能在未來12個月，這項風險極可能出現(xiàn)1次3可能在未來2至10年內(nèi)，這項風險可能出現(xiàn)1次2低在未來10至100年內(nèi)，這項風險可能出現(xiàn)至少1次1極低這項風險出現(xiàn)的可能性極低，估計在100年內(nèi)出現(xiàn)的可能性少于1次第27頁，共89頁。評分損失程度說明5災難令企業(yè)失去繼續(xù)運作的能力(或占稅前利潤達20%)4重大對于企業(yè)在爭取完成其策略性計劃和目標，造成重大影響(5-10%稅前利潤)3中等對于企業(yè)在爭取完成其策略性計劃和目標的過程，在一定程度上造成阻礙(至5%稅前利潤)2輕微對于企業(yè)在爭取完成其策略性計劃和目標，只造成輕微影響(至1%稅前利潤)1近乎沒有影響程度十分輕微風險對企業(yè)造成的影響第28頁，共89頁。評分有效性說明5極度過頭處理方法能直接針對該項風險，但相信會令企業(yè)業(yè)績“倒退”或成本過高4過頭處理方法能直接針對該項風險，但由于需要投入大量資源或/及將其他資源轉(zhuǎn)到處理該項風險上，會對企業(yè)的效率造成影響3適中處理方法有效針對該項風險，同時并不影響企業(yè)的效率2低效處理方法針對該項風險的效果不理想，或投入處理該風險的資源不充分或/及對投入的資源未有適當利用1近乎沒有效果處理方法的效果十分低，可能是由于企業(yè)根本沒有處理方法，又或處理手法不當風險處理方法的效果第29頁，共89頁。風險地圖(或風險共同語言)影響程度近乎沒有輕微中等重大災難幾乎肯定極可能可能低極低BCAGIDJKHEF可能性說明:A–人力資源風險B–財務風險C–競爭風險D–開發(fā)風險E–過度自信風險F–系統(tǒng)故障風險G–主要客戶風險H–欺詐風險I–政治風險J–薪酬獎勵風險K–科技風險第30頁，共89頁。風險處理組合

處理評級風險評級近乎沒有效果低效適中超標極度極高高中等低BCAGIDJKHE說明:A–人力資源風險B–財務風險C–競爭風險D–開發(fā)風險E–過度自信風險F–系統(tǒng)故障風險G–主要客戶風險H–欺詐風險I–政治風險J–薪酬獎勵風險K–科技風險F采取行動密切監(jiān)控定期審閱第31頁，共89頁。風險處理策略影響程度可能性轉(zhuǎn)移避免小心管理可接受大小高低第32頁，共89頁。風險策略避免禁止交易減少或限制交易量離開市場轉(zhuǎn)移套期保險策略性聯(lián)盟其他分擔風險的安排小心管理投資廣泛保護的安排訂價反映風險程度可接受自我保險預留儲備增加監(jiān)督風險處理策略影響程度大小可能性轉(zhuǎn)移避免小心管理可接受高低第33頁，共89頁。企業(yè)建立的第一道防線，就是要各業(yè)務單位就其戰(zhàn)略性風險、信貸風險、市場風場和操作風險等等，系統(tǒng)化地進行分析、確認、度量、管理和監(jiān)控企業(yè)需要把評估風險與內(nèi)控措施的結(jié)果進行記錄和存檔，對內(nèi)控措施的有效性不斷進行測試和更新第一道防線：總結(jié)管理層CEO第三道防線第二道防線第一道防線業(yè)務部門董事會風險管理內(nèi)部審計審計委員會風險管理委員會第34頁，共89頁。第二道防線：風險管理單位防線第二道防線是在業(yè)務單位之上建立一個更高層次的風險管理功能，它的組成部份可能包括風險管理部門、信貸審批委員會、投資審批委員會風險管理部的責任是領導和協(xié)調(diào)公司內(nèi)各單位在管理風險方面的工作，它的職責包括：編制規(guī)章制度對各業(yè)務單位的風險進行組合管理度量風險和評估風險的界限建立風險信息系統(tǒng)和預警系統(tǒng)、厘定關鍵風險指標負責風險信息披露、溝通、協(xié)調(diào)員工培訓和學習的工作按風險與回報的分析，為各業(yè)務單位分配經(jīng)濟資本金第35頁，共89頁。36“內(nèi)部審計是一項獨立、客觀的審查和咨詢活動，其目的在于增加企業(yè)的價值和改進經(jīng)營。內(nèi)審通過系統(tǒng)的方法，評價和改進企業(yè)的風險管理、控制和治理流程的效益，幫助企業(yè)實現(xiàn)其目標。”美國內(nèi)部審計師協(xié)會第三道防線：內(nèi)審單位防線第三道防線涉及一個獨立于業(yè)務單位的部門，監(jiān)控企業(yè)內(nèi)控和其他企業(yè)關心的問題內(nèi)部審計的定義：第36頁，共89頁。內(nèi)部審計的三大功能財務監(jiān)督財務帳的可用性內(nèi)部管理和制度的執(zhí)行典型例子：檢查分、子公司上報總部的財務報表的 準確性以及執(zhí)行財務管理政策的情況經(jīng)營診斷管理審計以及效率和效益審計檢查和診斷經(jīng)營和管理過程中的偏差和失誤典型例子： 企業(yè)對某業(yè)務單位或某部門執(zhí)行效益審計 (一個輸入與產(chǎn)出的關系)

第37頁，共89頁。咨詢顧問企業(yè)風險管理和發(fā)展策略方面的咨詢調(diào)查領導關心的熱點問題和管理薄弱環(huán)節(jié)典型例子：兼并收購時調(diào)查被投資公司的內(nèi)部管理和流程操作，了解薄弱環(huán)節(jié)或其他影響并購交易的重大事項，從而確定管理方法和并購策略第38頁，共89頁。構建企業(yè)風險管理的關鍵成功要素1、股東確立對企業(yè)監(jiān)督的機制，考慮是否需要在集團層面：引入以董事會領導的管理體制聘任有經(jīng)驗的外部董事，來加強對企業(yè)的監(jiān)督要求企業(yè)建立風險管理和內(nèi)控系統(tǒng)，并對其運作及有效性作出定期的匯報第39頁，共89頁。2、管理高層的支持和參與確立方向和目標營造必要的環(huán)境為平衡風險與回報作出戰(zhàn)略性的決定風險回報風險與回報成正比？風險調(diào)整風險后的回報冒險程度

–

不夠進取冒險程度–

高危冒險程度–

理想范圍第40頁，共89頁。413. 建立風險管理文化風險管理的手段，必須融入日常的管理流程通過討論和培訓，使風險管理的實施得到“全民”的支持通過經(jīng)驗的分享，不斷加強風險管理的認同性4. 采用先進的風險管理的實施方法借鑒如美國Treadway委員會所提出的COSO內(nèi)控框架采用各種識別和度量風險的先進的方法采用標準的模板和程序確認風險、評估風險、建立記錄和文檔、參考國際最佳實務，構建信息管理系統(tǒng)和預警系統(tǒng)第41頁，共89頁。財務內(nèi)控財務控制是風險管理的主要內(nèi)容主要內(nèi)容第42頁，共89頁。財務報告系統(tǒng)的功能股東監(jiān)管部門其他利益相關者分析和修正企業(yè)遠景、戰(zhàn)略和目標企業(yè)經(jīng)營、管理和控制企業(yè)業(yè)績的度量和報告財務報告系統(tǒng)財務信息披露和報告第43頁，共89頁。經(jīng)常性業(yè)務交易非經(jīng)常性業(yè)務交易資料和數(shù)據(jù)的處理目標：更自動化、更程序化、更規(guī)范化縮短編制時間、減少人為錯誤財務報告系統(tǒng)加強業(yè)務與財會人員之間的溝通了解會計準則的要求，減少個別主觀人為判斷財務報告系統(tǒng)管理第44頁，共89頁。財務報告系統(tǒng)的典型問題1、輸入資料不準確或不完整缺乏內(nèi)部控制員工缺乏應有的知識和資歷對資料的要求不清晰2、缺乏一套清晰和統(tǒng)一的會計政策如何確認收入？如何計提準備金？如何界定經(jīng)營性與 資本性支出？會計科目設計不完善依靠人手操作或缺乏合適和統(tǒng)一的電子核算平臺如何反映對外投資？如何記錄各類金融衍生工具？第45頁，共89頁。財務報告系統(tǒng)的典型問題3、關帳或財務結(jié)算程序不規(guī)范沒有明確財務結(jié)算的工作和程序沒有利用標準的結(jié)算表/模板沒有訂立重要性的門檻4、未能披露或提供重要信息什么數(shù)據(jù)或差異需要進行分析？需要與什么數(shù)據(jù)進行比較？分析需要得到什么數(shù)據(jù)的支持？什么資料可協(xié)助管理層加強管理？第46頁，共89頁。財務報告系統(tǒng)和內(nèi)部控制的關系財務報告系統(tǒng)是為企業(yè)內(nèi)部管理提供信息和與外部利益相關者(如股東、監(jiān)管機構)溝通的主要工具和媒介財務報告系統(tǒng)需要一個完善的內(nèi)部控制環(huán)境，才能及時和有效地執(zhí)行和發(fā)揮它應有的作用第47頁，共89頁。內(nèi)部控制的作用內(nèi)部控制的作用在于保證/保護：信息（會計信息和經(jīng)營信息）的可靠性和完整性遵循政策、計劃、程序、法律和法規(guī)資產(chǎn)的安全提高經(jīng)營效益和效能實現(xiàn)經(jīng)營的目標和防止浪費資源第48頁，共89頁。內(nèi)部控制不能：將一個原本拙劣的管理體系改變成一個優(yōu)良的管理體系影響環(huán)境因素，如政府的法規(guī)和政策、競爭對手的行動或經(jīng)濟狀況保證企業(yè)的成功或不會面臨倒閉的命運杜絕員工或管理層舞弊和欺詐的行為第49頁，共89頁。方面需考慮的因素高管層的誠信、道德和行為控制意識和經(jīng)營風格勝任能力和承擔董事會或?qū)徲嬑瘑T會的監(jiān)管組織結(jié)構、權限和責任人力資源政策和程序風險評估流程對重要事件的預測、識別和反應機制識別會計準則差異、業(yè)務操作和內(nèi)部控制變化的程序提供完整的業(yè)績報告與業(yè)務策略相聯(lián)系持續(xù)開發(fā)、測試和監(jiān)控計算機系統(tǒng)和程序計算機業(yè)務持續(xù)性系統(tǒng)和應急計劃便于職員履行職責而建立的溝通渠道有必要的政策和程序有明確的財務目標，并對其主動監(jiān)控合理的職責分離預算與實際情況的定期比較對文件、記錄和財產(chǎn)的適當保管對內(nèi)部控制的定期評估實施改進建議建立內(nèi)部審計職能以實施監(jiān)控控制環(huán)境風險評估信息和溝通控制活動監(jiān)控如何構建內(nèi)部控制—公司層面的評估管理層關于內(nèi)部控制的報告評估內(nèi)控的整體的有效性，找出有待改進的地方，并建立一個監(jiān)控體系在流程、交易和應用層面，理解和評估內(nèi)部控制在全公司層面評估內(nèi)部控制組織項目小組實施評估工作理解內(nèi)部控制的定義第50頁，共89頁。公司層面的內(nèi)控─控制環(huán)境企業(yè)道德規(guī)范與價值觀員工的行為操守與企業(yè)文化公司治理結(jié)構和政策董事會及各委員會的構成企業(yè)規(guī)章制度董事會與管理層之間的關系、權力和職責第51頁，共89頁。公司層面的內(nèi)控─風險評估企業(yè)是否擁有既定的程序以確定、評估和度量影響企業(yè)達標的風險？先進的內(nèi)審部門？風險管理部門？全面風險評估？企業(yè)有否詳細記錄評估風險的結(jié)果？有否進行詳細的討論和溝通？第52頁，共89頁。公司層面的內(nèi)控─信息和溝通企業(yè)的架構是否能夠令各部門及業(yè)務單位明確各自的職責及促進溝通企業(yè)是否擁有一個合適的電子平臺處理管理信息和數(shù)據(jù)確保信息能夠及時發(fā)放確保各類信息和報告的準確性和可用性第53頁，共89頁。規(guī)章制度審批程序資產(chǎn)實物的安全特殊報告表現(xiàn)指標信息系統(tǒng)控制職責劃分公司層面的內(nèi)控─控制活動第54頁，共89頁。公司層面的內(nèi)控─控制活動規(guī)章制度董事會及各委員會的章程企業(yè)風險政策員工招聘守則企業(yè)采購政策會計及財務管理守則第55頁，共89頁。審批程序一種預防性的控制措施確保規(guī)章制度得以落實執(zhí)行知識與經(jīng)驗分享責任的承擔第56頁，共89頁。*單項差錯或幾項差錯如不被發(fā)現(xiàn)，可能對財務報表造成重大影響，或?qū)е路欠ㄐ袨榛蚶鏇_突。以“風險管理戰(zhàn)略與企業(yè)總體發(fā)展戰(zhàn)略緊密結(jié)合”為特征的全面風險管理。企業(yè)風險管理和發(fā)展策略方面的咨詢企業(yè)風險管理是由組織中各個層級的人員來實施的；遵循政策、計劃、程序、法律和法規(guī)全面風險管理體系方案設計采用各種識別和度量風險的先進的方法確保規(guī)章制度得以落實執(zhí)行第二道防線是在業(yè)務單位之上建立一個更高層次的風險管理功能，它的組成部份可能包括風險管理部門、信貸審批委員會、投資審批委員會工作成果：內(nèi)控體系建設階段項目成果全面移交什么數(shù)據(jù)或差異需要進行分析？財務報告系統(tǒng)需要一個完善的內(nèi)部控制環(huán)境，才能及時和有效地執(zhí)行和發(fā)揮它應有的作用公司層面的內(nèi)控─控制活動資產(chǎn)實物的安全

檔案/庫存上鎖減少利用現(xiàn)金交易辦工室安全系統(tǒng)/警鈴資料數(shù)據(jù)庫進入的限制保安人員員工身份證機器上的標記隱型錄相機第57頁，共89頁。公司層面的內(nèi)控─控制活動特殊報告逾期應收款報告工作超時完成報告原材料不合格報告機器故障報告產(chǎn)品不合格或退貨報告存貨臺帳紅字報告第58頁，共89頁。公司層面的內(nèi)控─控制活動表現(xiàn)指標預算與實際比較項目管理報告財務指標報告系統(tǒng)可用性報告員工利用率報告第59頁，共89頁。公司層面的內(nèi)控─控制活動職責劃分一種員工之間相互制約的控制，以減少出錯或越權的情況不能由同一人發(fā)起、批準和記錄一宗交易不能由同一人保管和記錄資產(chǎn)定期輪換職責，在日常運作中的主要控制點應有高管人員的參與或由獨立的人員作出審查第60頁，共89頁。公司層面的內(nèi)控─控制活動風險控制平衡的區(qū)域

高

低過份控制

低

高風險程度控制效果控制不夠第61頁，共89頁。監(jiān)控是對一定時期內(nèi)內(nèi)部控制執(zhí)行質(zhì)量的評價程序，考慮相關內(nèi)部控制是否能夠滿足最初設計的目標，并保證在不同情況下進行適當?shù)男薷?。考慮并記錄是否定期對內(nèi)部控制進行評價；管理層是否采納內(nèi)部和外部審計師關于內(nèi)部控制的建議；是否存在內(nèi)部審計部門以協(xié)助管理層進行監(jiān)控。公司層面的內(nèi)控─監(jiān)控第62頁，共89頁。程序、交易及資訊科技應用層面評估因素:競爭力、完整性、員工的忠誠度及管理層的監(jiān)管能力管理層之間的摩擦職責劃分控制的穩(wěn)定性關鍵賬項管理層對財務報表的認定?可能發(fā)生的錯誤控制關鍵流程固有風險及主要經(jīng)營風險2004Financial

Statements財務報告選出容易發(fā)生重大差錯的關鍵賬項*存在(資產(chǎn)負債表)與發(fā)生(利潤表)完整性（資產(chǎn)負債表/利潤表）估價(資產(chǎn)負債表)與計量(利潤表)權利與義務(資產(chǎn)負債表)類型:交易流程慣例特殊估計對每一種認定應考慮：在流程的哪一交易環(huán)節(jié)容易發(fā)生錯誤？例如:

帳戶：現(xiàn)金或應付

程序：支付

認定：估價

是否有人工或自動的程序確保支票或轉(zhuǎn)賬的數(shù)目與審批的付款數(shù)目一致？檢驗:對差錯的監(jiān)督防止:防止出現(xiàn)差錯由何人來執(zhí)行?是否有程序自動控制?識別處理系統(tǒng)評估/監(jiān)督*單項差錯或幾項差錯如不被發(fā)現(xiàn)，可能對財務報表造成重大影響，或?qū)е路欠ㄐ袨榛蚶鏇_突。即使造成非重大影響，也會對公司的信譽、與客戶及投資者的關系，以及公眾形象造成負面影響。確認財務帳戶及其相關系統(tǒng)記錄系統(tǒng)及控制評估/監(jiān)督步驟行為主要關注點從財務角度從程序角度第63頁，共89頁。Iftheguidelinecontrolisnotapplicable,thenpleasestateareason.第64頁，共89頁。二級流程控制目標

財務報表認定

財務報表風險

應有控制手段

評估新項目投資的建議保證資本投資的合理授權和審批符合集團的政策規(guī)定價值和計量資本投資沒有得到正確的評估以及

IRR出現(xiàn)負值從而導致公司的損失具備標準的政策指標和價值模型來評估資本投資存在和發(fā)生出于舞弊和虛報的目的提出未經(jīng)授權的投資建議投資建議必須經(jīng)過相關負責人的復合和審批………第65頁，共89頁。實質(zhì)性控制補救措施

描述

控制策劃人

控制頻率相關政策規(guī)定控制設計的有效性應當對實質(zhì)性控制提供盡可能詳盡的細節(jié)描述，以便具備相應知識水平的人員能夠正確合理的予以執(zhí)行。這些描述必須依照控制的本質(zhì)去描述，并隨著控制的變化而不斷修正更新，但不可以描述成在未來才可以予以實施或者具備一定條件才可以實施的控制?？刂撇邉澱呤侵肛撠煾切┎豢赡軐嶋H實施的控制的人員。這種更正包括更新控制文件（適當?shù)牧鞒虉D和控制表格和其他相關的文件）對于擁有同一控制的不同經(jīng)濟業(yè)務有可能設置同一控制策劃者?？刂茖嵤┑念l繁度說明了該控制在與其特有的風險評估相關的流程中的重要性?？梢赃x擇是每日/每周/每月/每年兩次/每年或其他。

這是為了符合相關流程、指南（包括授權的指南）、準則、系統(tǒng)說明、工作描述等等。第66頁，共89頁。評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng)1、內(nèi)控設計缺陷之彌補2、業(yè)務流程之穿行測試3、主要內(nèi)控點之測試策略4、主要內(nèi)控點實際操作之測試5、內(nèi)控實際操作缺陷之彌補及再測試6、評估整體財務報告內(nèi)控的有效性67第67頁，共89頁。

四、全面風險管理體系建設方案設計

控制流程基礎設施治理結(jié)構人員程序方法系統(tǒng)數(shù)據(jù)識別評估控制測量報告外部環(huán)境控制要求驗證改進

風險戰(zhàn)略控制目標風險偏好風險政策政治文化法制宏觀經(jīng)濟行業(yè)環(huán)境監(jiān)管要求第68頁，共89頁。方案設計的理念

全面風險管理基于全面風險管理的內(nèi)控全流程內(nèi)控財務內(nèi)控第69頁，共89頁。全面風險管理流程示意圖供應鏈管理生產(chǎn)管理人力資源管理銷售管理投融資管理風險因素和風險事件流程流程流程流程流程…………風險管理接口全面風險管理體系第70頁，共89頁。例如：組織解構圖設計：例如：XX公司的概況例如：1、業(yè)務板塊：以XX行業(yè)產(chǎn)品業(yè)核心主業(yè)，兼營采礦、機械、電子、建筑、房地產(chǎn)、服務業(yè)、海外貿(mào)易。一業(yè)多地2、營業(yè)收入億元利潤億元職工總數(shù)萬3、弘揚長征精神立志創(chuàng)新創(chuàng)優(yōu)創(chuàng)業(yè)

第71頁，共89頁。還可以給出另外的組織結(jié)構圖評級部數(shù)據(jù)中心市場部總裁辦董事會秘書行政管理部技術支持部人力資源部分支機構部戰(zhàn)略發(fā)展2部企劃部審計委員會薪酬委員會股東會董事會監(jiān)事會分支機構采購部物流部商賬管理部財務部評審委員會全面風險控制委員經(jīng)營團隊第72頁，共89頁。Xx公司關鍵詞提煉（理念、宗旨等）

海外上市、結(jié)構調(diào)整、技術創(chuàng)新、并購重組內(nèi)部控制、風險管理抓結(jié)構、保質(zhì)量、打品種、提效益、創(chuàng)品牌穩(wěn)、實、好、快、強第73頁，共89頁。全面風險管理體系建設遵循原則

長期目標與短期目標結(jié)合國際先進經(jīng)驗與公司實際結(jié)合1、2、第74頁，共89頁。五、內(nèi)控體系項目工作流程項目啟動調(diào)研評估體系設計運行測試持續(xù)完善第75頁，共89頁。調(diào)研評估體系設計運行測試持續(xù)完善主要任務：初步調(diào)研，成立項目管理組織架構，組織內(nèi)部培訓，界定體系建設范圍，明確項目目標，編制項目計劃。工作成果：《XX公司全面風險診斷報告》《XX公司全面風險管理體系建設項目計劃書》階段重點：充分溝通治理結(jié)構和管理文化，通過培訓導入風險管理和內(nèi)控的理念，統(tǒng)一認識，實現(xiàn)項目動員。明確項目長期和短期目標，根據(jù)“自上而下、風險導向、重點突破、循序漸進”的策略制定合理的進度計劃。項目啟動第76頁，共89頁。體系設計運行測試持續(xù)完善項目啟動主要任務：內(nèi)部環(huán)境調(diào)研，流程梳理，風險評估。工作成果：《XX公司風險管理內(nèi)部環(huán)境調(diào)研報告》《XX公司重點流程內(nèi)控風險評估報告》階段重點：全面深入調(diào)研，準確掌握企業(yè)各個層面對全面風險管理的真實需求。統(tǒng)一流程梳理和風險評估的工具及模版，形成規(guī)范的流程描述和風險評估文檔。調(diào)研評估第77頁，共89頁。主要任務：以全面風險管理為導向進行有針對性的內(nèi)控體系設計。工作成果：《XX公司基于全面風險管理的內(nèi)控體系設計框架》《XX公司內(nèi)部控制管理手冊》階段重點：確保所設計的體系能夠與原有運營體制銜接，融入全面風險管理的理念，嵌入風險管理基礎手段，預留風險管理接口。運行測試持續(xù)完善項目啟動調(diào)研評估體系設計第78頁，共89頁。運行測試主要任務：體系試運行，并進行符合性測試和管理層測試，根據(jù)測試結(jié)果進一步改進。工作成果《XX公司內(nèi)控體系運行測試與改進報告》《經(jīng)修正后的內(nèi)控運行報告》階段重點：實現(xiàn)體系的全面試運行，在運行中發(fā)現(xiàn)偏差，并提出改進意見和改進措施。持續(xù)完善項目啟動調(diào)研評估體系設計運行測試第79頁，共89頁。主要任務：根據(jù)經(jīng)營過程中的內(nèi)外部環(huán)境變化適時調(diào)整體系。工作成果：內(nèi)控體系建設階段項目成果全面移交

《xx公司內(nèi)控體系與全面風險管理體系接口說明書》階段重點：內(nèi)部工作人員掌握體系持續(xù)完善的方法，實現(xiàn)體系自我持續(xù)完善，并根據(jù)風險管理需求安排全面風險管理體系的過渡。項目啟動調(diào)研評估體系設計運行測試持續(xù)完善第80頁，共89頁。工作方式選擇由企業(yè)主導由中介機構主導優(yōu)勢深度介入體系建立全過程直接的管理控制確保與企業(yè)實際良好銜接敏感性信息的保密性較高迅速啟動項目強大的后臺技術支持，包括風險管理方法、技術、專業(yè)人員等按風險管理實施方法要求靈活配置人員和技術組合具有較好的獨