全面风险管理体系建设工作模板及工作方法培训刘文明2009年10月中国葛洲坝集团股份有限公司深圳市迪博全面风险管理技术有限公司自我介绍刘文明高级经理联系方式电话:0755-83890942手机:13826520319传真:0755-83890258邮箱:wenming.liu@dibcn.com业务领域流程管理风险管理内部控制内部审计行业专长通信行业能源和公用事业金融行业具有多年企业管理实战经验,曾在某香港上市通信公司管理部门工作,负责公司的战略规划、流程管理及组织体系构建等工作,作为管理负责人多次参与公司的流程管理体系、供应链管理、CMMI、质量等管理体系建设。同时作为内部管理培训讲师,多次为管理层提供《流程管理》培训。从事咨询顾问期间,作为项目经理为中石油、中电投、中国电信、中国电子科技集团、蒙牛集团、瑞石投资等国内多个行业及大型企业提供了组织与流程管理、研发管理、内控及风险管理体系咨询项目。全面风险管理体系建设主要工作程序一目录流程梳理阶段工作操作介绍二风险评估阶段工作操作介绍三工作交付文档流程框架流程图流程描述风险控制矩阵风险数据库控制文档缺陷跟踪报告收集制度及相关资料访谈汇总并形成制度清单构建流程框架编制流程图及流程文件说明识别流程风险识别流程控制点缺陷及改进建议评估控制有效性讨论确认全面风险管理体系建设主要程序总部流程图总部流程框架总部制度清单流程图流程文件风险矩阵风险数据库缺陷跟踪报告控制文档访谈提纲访谈纪要流程框架流程清单记录流程图流程描述总部审核客户确认修改再次确认签字/邮件了解实际业务流程收集穿行测试资料收集制度资料风险控制矩阵缺陷及建议流程责任人确认总部审核讨论会确认流程梳理工作过程全面风险管理体系建设主要工作程序一目录流程梳理阶段工作操作介绍二风险评估阶段工作操作介绍三1、收集信息具体岗位职责和制度行业标准以往实施经验确保流程框架制定有据可依。但应注意,暂时未获得部门/岗位职责及制度的可能性,因而此种方法并无法确保框架确立。防止管理空缺未能及时发现。流程框架不是将不是按照部门划分,因此部门和岗位会发生调整,但是主要业务流程仍需要有人完成,流程框架不会发生太大改变。交易/业务大量发生或业务十分复杂可能涉及到反舞弊管理层判断为未来业务重点收集制度、岗位职责及相关资料整理相关制度及资料收集制度及相关资料后应该做什么?1.形成制度清单2.整理各部门职责3.熟悉制度4.制定工作计划5.做好访谈准备(形成访谈提纲)2、访谈访谈的基本步骤:1.约定时间2.提前准备3.简介、陈述目的4.正式访谈5.访谈记录整理访谈基本步骤1.做笔记–单据如何传递,信息如何流转。抓住三个”W”一个”H”进行提问2.引导话题(开放式或封闭式提问)3.询问对方的忧虑,观察对方的表情4.掌握节奏/时间控制5.总结关键内容6.复阅笔记访谈技巧“我们必须缩短交货时间以满足客户的需求”“我们未能取得来自市场的准确信息”客户现在的需求一般是多少天?我们目前能做到的是多少天?差距主要是什么原因造成的?为什么没有拿到?主要障碍在哪里?行业领先者他们是否能做到?访谈需获取的流程以外信息访谈要求:1.抓住信息流动的衔接、完整2.信息传递的方式3.明确至各个职能岗位访谈要求成功的访谈至关重要!成功访谈能使顾问和客户流程责任人建立良好的信任和沟通关系,是后续工作完成得保障。成功的访谈是业务流程梳理的基础,是识别控制的出发点,也是发现流程缺陷的关键。成功访谈的重要性提问3、构建流程框架一般来说,构建企业或部门的流程框架采取如下形式:基于制度基于业务例子:集团公司流程框架H公司人力资源流程框架流程框架的构建方式提问3、编制流程图及流程说明常用标准图例开始流程开始,不包括从其它流程转入职能带部门和岗位步骤流程中主要步骤进程流程中每个动作,包括控制点连线流程节点连接线判定判定选择条件子流程从其它子流程转入转出时使用文档流程步骤输出文档接口流程内转入转出结束流程结束,不包括转至其它流程控制点流程中的控制节点缺陷流程中的缺陷流程图样本流程图是以可视的方式,运用特定符号展示某一流程的一种形式。它的意义在于帮助人们认识重要交易是如何发生、授权、记录、处理及报告的。流程图对业务流程中可能出现风险的环节及所存在的控制环节进行了描述。流程图清晰、直观有助于识别步骤和控制完成的流程图可作为对流程进一步讨论的起点有助于与其他流程图相联系来解释相关的活动有助于发现收集和处理数据有助于分离可能出现问题的区域有助于向不熟悉的人解释流程流程图使用的好处对于编制流程图,并没有强制的或速成的规则,但是了解一些编制的基本方针还是很有用的:确定流程参与的部门及具体岗位确定每个流程的开始(以触发性事件作为起点)和结束关注流程的关键步骤,确保流程的连贯性及合理性使用标准图例如何创建流程图流程描述是可以替代流程图或与流程图并列的业务流程记录形式。流程描述应保留足够的细节,让其他没有接触过该流程的人能够了解该流程的各环节、各控制点,能够对流程设计的有效性进行整体评估,能够进行测试以验证流程执行的有效性。记录应该反映现有的流程,而不是计划中的将来。流程描述流程描述是可以替代流程图或与流程图并列的业务流程记录形式。流程描述应保留足够的细节,让其他没有接触过该流程的人能够了解该流程的各环节、各控制点,能够对流程设计的有效性进行整体评估,能够进行测试以验证流程执行的有效性。记录应该反映现有的流程,而不是计划中的将来。流程描述对流程描述中的每一个步骤、控制、文档以及控制缺陷进行编号在进行流程描述记录的时候,应该包括以下一些基本点:•谁(Who)•什么时候(When)•什么事(What)•怎样(How)•频率(Frequency)每一个步骤要明确到具体的部门岗位以及该步骤所对应的文档流程最终涉及到的具体会计处理流程的转入、转出、流程结束等记录流程描述的要求流程描述需要详细地说明业务流程的步骤使用简练的陈述句进行描述流程描述中不应出现“应该”、“应当”等文字保持流程描述前后的一致性及连贯性记录流程描述的注意事项一级流程用三个字母代替(按照后附缩写字母编号),二级子流程按照1.0/2.0/3.0…等进行编号,三级子流程按照1.1/1.2/2.1…等进行编号;在流程描述中请使用【C#01】,【EF#01】和红色三角进行编号。在RCM中请使用R#01,C#01,GAP#01。在文件中需要相互索引时,分为3种情况:1)引用来自不同主流程的编号方式为:“一级流程编号-流程号码-【C#01】/【EF#01】/红色三角符号”;2)引用来自相同主流程及不同子流程的编号方式:“流程号码-【C#01】/【EF#01】/红色三角符号”;3)引用来自同一子流程的编号方式:“【C#01】/【EF#01】/【GAP#01】”。流程描述编号规则4)流程中适用的政策及制度:政策与制度请写在流程描述第二页“3相关政策及制度”中,编号规则为【AR#01】;如果该子流程每个步骤均遵循某个政策及制度,不需要标注在流程图中。仅在流程描述中写明即可,不需要对其进行编号;如果步骤中涉及不同制度,请将其编号填写在“适用政策与制度”一栏中。流程描述编号规则(续)页眉部分填写不完整;流程负责人不够明确,未将部门下具体执行人员的职位写出:如相关责任人/采购部;相关人员/销售部;同一部门职位前后文说法不一致;“相关资料”未填写清楚文档和系统文件;流程描述文字颜色、字体不统一;未保持文字与标题部分的上下对齐;“相关资料”、“引用其它流程”(首页中项目)在前后文不一致;不同流程之间缺乏必要的勾稽关系;如存在多份文档,未能写清每一份的流转去向和保管人,如:发票一式三联,记账联由财务部xx会计作为会计收入账务处理的附件,客户联由销售部业务人员交给客户,存根联由财务部xx会计存档保管。流程描述常见问题编写流程描述练习。疑问练习步骤编号使用标准图标各个步骤之间的连线为单向黑色实线,最多有两个拐点,且不允许出现交叉文件在第一次出现的步骤表示即可,以后再出现可不必再次记录复核或审批不作为判断框处理,而使用活动符号表示一般审批不通过不作返回每张流程图一般只保留一个“开始”、一个“结束”;如需要,起点可从其它流程引入,终点可引出至其它流程,注意各个子流程之间的勾稽关系将部门及岗位用多条列表示流程图编制事项全面风险管理体系建设主要工作程序一目录流程梳理阶段工作操作介绍二风险评估阶段工作操作介绍三外部环境分析战略目标分析内部环境分析问卷调查德尔斐调研离散度测试重大风险排序调研结果调查问卷风险地图公司重大风险识别及评估测试公式及结果建立风险库风险库重大风险识别及评估程序风险控制矩阵风险控制矩阵“RiskandControlMatrix”就是将流程中所涉及的风险和对应的内部控制进行汇总,以发现控制缺陷的一种矩阵表格。风险控制矩阵应该回答这些问题:•风险有哪些?•控制有哪些?•谁对流程/控制负责?•控制是怎样设计的?•控制设计的有效性风险控制矩阵是针对每个业务流程记录的关键文件之一。风险控制矩阵明确公司所面临的风险明确针对风险现有的内部控制对公司现有内部控制的重要性进行了划分发现控制缺陷风险控制矩阵优点“风险”:风险是一种威胁,这一威胁将对公司完成经营目标和执行经营战略产生不利的影响。简单的说,就是可能影响控制目标实现的因素。风险举例:•×××记录不完整•×××记录不准确,缺乏适当的估价与分摊•已记录的××可能并不存在(如固定资产、存货已转移或被盗等)•已记录的××并不属于公司(如经营租赁的固定资产不可以记录等)•×××未得到适当的披露(如一年内到期的长期贷款未适当披露等)回顾-风险风险举例:•××制度不完整•××缺乏适当的授权•××缺乏适当的审批•××缺乏适当的复核•××缺乏适当的权责分离这些扩展风险是为了帮助使用者更清晰、直观的了解到可能存在的风险,其根本还是这些点可能会导致控制目标/认定无法有效实现。回顾-风险其他风险进一步举例:另外,还有一些风险本身并不直接影响到财务报告的认定,而是导致经营效率低下或企业行为不合法合规等问题。•未与供应商签订包含法律责任条款的协议文书;•逾期未到货的采购订单未被有效地监控;回顾-风险控制活动是一种保证管理层的指令得到实施的政策和程序。它确保必要的活动得到执行,以降低风险,达成企业的目标。控制活动贯穿于整个企业组织内,涉及所有的级别和部门。它包括一系列的行为,如:授权审批验证、调节业绩复核、资产保全职责分工控制活动可以分为预防性控制与发现性控制。回顾-控制识别风险和控制点。练习问题和回答识别流程缺陷有效控制点的特征:对相关的风险有影响有足够的运行频率实施这些控制活动的人员有足够的知识和经验存在适当的职责分工发现的问题和例外情况得到很快处理该控制活动的执行是基于可靠的信息无效控制点举例:操作人员自行复核、信用风险控制等。较强的控制较弱的控制自动控制人工控制多个相互关联的控制单个控制由高层人员执行由基层人员执行预防性控制发现性控制100%进行的使用抽样方法的实时进行的滞后的控制有效性评估缺陷分为设计缺陷和执行缺陷两类:1.设计缺陷是指业务流程中不存在足以规避相关风险的控制点。2.执行缺陷是指业务流程中虽然存在足以规避相关风险的控制点,但由于没有执行或无效执行从而仍然无法规避相关风险的情况。缺陷分类设计有效性不健全不科学不合理缺陷执行有效性未按制度操作未按流程设计操作实例1:实例2:实例3:识别设计缺陷识别执行缺陷的方法包括穿行性测试和统计抽样测试。而测试方法又包括:询问观察检查重新执行如何识别执行缺陷问题和回答必要性质的改进建议1.必要性质的改进建议是指哪些如果不执行该控制则很可能无法规避相关风险的控制建议。2.必要性质的改进建议举例。提高性质的改进建议1.提高性质的改进建议是指即使不执行也不一定不能规避相关风险的控制建议,但若实施该控制则可进一步提高风险防御能