《集团企业风险管理与内部控制.ppt》由会员分享,可在线阅读,更多相关《集团企业风险管理与内部控制.ppt(34页珍藏版)》请在三一办公上搜索。
1、2023/2/25,集团企业风险管理与内部控制,风险管理部 CISA,CRISC,目 录,Page2,什么是风险?,风险是一种可以识别的不确定性。这种不确定性能够对企业经济利益造成(有利或不利)影响。,风险特性:风险长期存在、不总能被消除、必须与机会同时权衡,库房偷盗,彩票,Page3,资信,制度,知识产权,财务,流动资产与信贷,资本结构,市场,财务报告,营运,法律,生产程序,环境,市场结构,民风与文化,管控,策略,董事会活动,交易,并购,变卖,声誉,道德,社区责任,风险管理,董事会及管理层业绩,组织结构,监察与沟通,执行,筹划与开发,利益有关方,供应商,政府,顾客,股东,经济情况,国家情况,
2、市场变化,竞争对手,人才资源,雇员,沟通,有形资产,机器、厂房与土地,其他有形资产,负债,合约,法规,市场与销售,生产及流通,商品/服务开发,流程,估值与选择买家,评估与甄选,尽职调查,并购后整合,资信管理,运营,组织与监察,硬件,软件,网络,无形资产,知识管理,信息,现金管理,对冲,融资,股东资本,债务,商品,利率,外汇,税务,会计,合规,企业风险矩阵,Page4,什么是风险管理?,风险管理是一套由董事会与管理层共同设立的与企业战略相关的管理流程。它的功能是识别那些影响企业运作的潜在事件并把风险降低到企业可接受的水平,从而帮助企业达至它的目标。-内控研究委员会,Page5,设定风险管理流程,
3、目的及目标共同语言结构,决策资料,订立策略,避 免,利 用,接 受,转移,减低,评估风险,验明来源量度,不断的改善管理能力,设计或引进管理能力,监察风险管理表现,风险地图(或风险共同语言),影响程度,几乎 肯定,极可能,可能,低,极低,B,C,A,G,I,D,J,K,H,E,F,可能性,说明:A 人力资源风险B 财务风险C 竞争风险D 开发风险E 过度自信风险F 系统故障风险G 主要客户风险H 欺诈风险I 政治风险J 薪酬奖励风险K 科技风险,Page6,风险处理策略,Page7,B,C,A,G,I,D,J,K,H,E,F,风险策略避免禁止交易减少或限制交易量离开市场转移套期保险策略性联盟其他
4、分担风险的安排,小心管理投资广泛保护的安排订价反映风险程度可接受自我保险预留储备增加监督,风险管理 更多的控制,控制(秩序),风险/失控(混乱),控制会增加成本,风险管理应当在风险和控制之间取得平衡,以实现业务目标。,无风险等价=期望报酬率-风险厌恶系数*风险程度,Page8,Page9,公司层面风险是指公司因作出战略性错误的决定而导致经济上的损失公司层面风险是业务单位、高级管理层和董事会的共同责任常见的公司层面风险包括:企业的目标与方针市场潜在的威胁业务的范围(深度与广度)品牌及形象的建立,公司层面风险,与战略性伙伴的合作投资和融资的策略员工的素质和雇员关系企业的信息及监控系统,Page10
5、,操作风险是指企业内部流程、人为错误或外部因素而令公司产生经济损失的风险,它包括了公司的流程风险、人为风险、系统风险、事件风险和业务风险等流程风险是指交易流程中出现错误而引致损失的风险,流程包括如:销售、定价、记录、确认、出货/提供服务等环节。流程风险也包括合规性风险人为风险概指因员工缺乏知识和能力、缺乏诚信或道德操守而引致损失的风险系统风险是指因系统失灵、数据的存取和处理、系统的安全和可用性、系统的非法接入与使用而引致损失的风险事件风险是指因内部或外部欺诈、市场扭曲、人为或自然灾害而引致损失的风险业务风险是指因市场或竞争环境出现预期以外的变化而引致损失的风险,所涉及的问题包括市场策略、客户管
6、理、产品开发、销售渠道和定价等领域,业务层面风险,目 录,Page11,风险与内部控制的关系,企业以风险为导向评估并改善内部控制的基本思路:风险评估:-风险确认(识别)-风险计量-风险排序内部控制:-评估现有内部控制的充分性-分析内部控制的改善措施并加以实施-建立持续有效的目标-风险-控制的评估过程,暴露的金额,发生的可能性,风险的大小,Page12,内部控制定义:内部控制是由公司董事会、管理层和其他员工实施的,为实现经营的效果性和效率性、财务报告的可靠性以及适用法律、法规的遵循性等目标提供合理保证的一个过程。,COSO内部控制框架,保证信息能及时有效地沟通的流程信息的决策支持信息系统开发维护
7、灾难恢复计划 信息有效沟通,判定内部控制设计的充分性,执行的有效性,定期评估内控内控缺失弥补内外审计监控,对内部、外部影响企业绩效的因素的评估目标设定 风险识别及评估 应变措施 会计政策变更程序,企业内部控制的道德意识,是“来自高层的声音”诚信与道德观 组织结构管理理念和经营风格 职责与职权的分配员工胜任能力 人力资源政策和实践董事会和审计委员会,确保风险管理活动被及时执行的政策和流程政策和程序 经营目标 合理职责分工 资产与记录保护数据访问的保护,Page13,内部控制类型,职责分离控制授权批准控制内部报告控制信息技术控制,一些重要的内控方法,Page14,目 录,Page15,全面风险管理
8、框架(ERM),COSO为内控开发了一个全面的风险管理框架这个内控框架是唯一被世界公认为完整、全面和不偏依的内控框架构建内部控制须分三个层面:公司层面流程、交易层IT应用层面,Page16,Page17,企业风险管理框架,一个基础三道防线,企业风险管理结构,战略管理,经营管理,供应,投资活动,资产,售后服务,业务管理,资源管理,法务管理,人力资源,资金,生产,研发活动,销售,信息,战略风险,供应风险,投资风险,资产风险,售后风险,人力风险,资金风险,生产风险,研发风险,销售风险,信息风险,公司治理,内部控制,企业风险管理,法律风险,目 录,Page19,内部审计结构,Page20,内部审计与风
9、险管理的关系,Page21,内部审计的角色及价值,Page22,常规的内部审计类型,Page23,内部审计人员工作模式,计算机辅助审计系统,信息系统监控审计,Page26,实务:检查方法书面资料,内部审计方法,检查的技术方法:审查或证实检查项目真实性、合法性及正确性的专门方法。,实务:检查方法其他资料,内部审计方法,目 录,Page29,构建企业风险管理的关键成功要素,1.股东确立对企业监督的机制,考虑是否需要在集团层面:引入以董事会领导的管理体制聘任有经验的外部董事,来加强对企业的监督要求企业建立风险管理和内控系统,并对其运作及有效性作出定期的汇报,Page30,2.管理高层的支持和参与确立
10、方向和目标,营造必要的环境为平衡风险与回报作出战略性的决定,3.建立风险管理文化风险管理的手段,必须融入日常的管理流程通过讨论和培训,使风险管理的实施得到“全民”的支持通过经验的分享,不断加强风险管理的认同性4.采用先进的风险管理实施方法借鉴如美国所提出的COSO内控框架采用各种识别和度量风险的先进的方法采用标准的模板和程序确认风险、评估风险、建立记录和文档、参考国际最佳实务,构建信息管理系统和预警系统,31,集团公司内控手册 上册公司层面控制 中册IT一般控制 下册业务流程层面控制总部及分公司的实施细则 配套的权限列表其他内控制度、办法,上述内控制度体系用以指导日常工作,同时也是开展内控自我
11、评估,内控独立评估和外部审计师内控审计的依据。,如何建立一套有效的内控体系,控制环境,风险评估,信息和沟通,控制活动,监控,公司层面的评估,管理层关于内部控制的报告,有待改进的地方,并建立一个监控体系,在流程、交易和应用层面,理解和评估内部控制,在全公司层面评估内部控制,组织项目小组实施评估工作,理解内部控制的定义,Page32,如何建立一套有效的内控体系,Page33,流程、交易及IT应用层面的评估,评估和监控控制的有效性评价控制是否合乎当初设计的有效,识别和记录影响每一财务报表科目的关键业务和固有风险在主要流程层面记录对关键业务风险的理解和他们怎样影响财务报表科目记录对每一财务报表科目固有
12、风险的评价,识别重要科目考虑下列因素:潜在的重大差错规模和组成对于人为操纵和损失的敏感性较多的交易数量交易的复杂性决定科目余额的主观性科目的性质,识别和理解重要流程包括对于能够影响重要科目(或科目组合)的主要交易类别,识别和理解其流程及相关会计核算活动会计核算活动也包括制定和记录关键会计估计或在期末完成财务报表结算的流程,识别和减低风险的控制识别和考虑针对每一重要流程解决其“可能出错”的问题的控制措施这些控制能够为防止发生重要的错误或能发现并更正错误提供合理保证控制可能并不显而易见,可能是电子化或者是人工的,亦可能同时是高层及基层实施,提出“什么会出错”的问题对于每一重大科目需要提出在交易的过程中哪里可能产生重大错误的问题根据我们对每一接受评价的重要流程可能引起的财务报告风险及其在整个财务报表中的相对重要性的认识,决定恰当的处理,财务报告,重要科目,关键业务风险和固有风险,管理层认定,重要流程,什么会出错,控制,评价和监控,测试和报告,测试控制的有效性并作出结论发现问题并提出解决方案及行动计划,如何建立一套有效的内控体系,Page34,
