集团内控与风险管理

严格内控应对风险知行合一提高绩效用友NC内控与风险管理解决方案用友软件股份有限公司刘巍2010年2月目录用友公司介绍NC发展历程介绍XX集团内控与风险管理目标XX集团内控风险信息化需求理解和分析内控与风险管理解决方案行业方案用友NC技术方案用友NC实施服务方案用友NC典型案例控制失败案件回放-四川长虹案例背景主要问题1994年在上海证券交易所上市，曾一度是国内股市少有的绩优股2004年12月28日长虹发布了上市10年以来的首次预亏报告；亏损主要缘自对单一应收款帐户（美国APEX公司）的坏账准备从1998年到现在，APEX公司已经累积拖欠四川长虹4.67亿美元货款对主要经销商的运营缺乏充分了解，对运营风险掌握不足；缺乏有效的内部控制制度，以反映应收帐款的回收问题；管理者可能刻意隐瞒已发生的损失，MBO的国企叫停诱因。控制失败案件回放-中国海外集团案例背景主要问题全球85个国家经营2008年春节爆发韩国控股公司4000万美金（约合3亿人民币）神秘失踪；韩国控股公司财务以及审计负责人李克江前后100余次截留转移运费收入，并携款潜逃岗位设置严重失误，财务和内部审计居然为同一人负责；内部审计形同虚设，长时间多次作案总部毫无察觉缺乏有效的内部控制制度，资金控制失效；国资委强调国企加强集团资金集中管理控制失败案件回放-中国兵器工业集团公司案例背景主要问题集团公司拥有研发、流通和生产企业140余家，并在全球数十个国家和地区建立了近百家海外分支机构。至2006年底，资产总额近1400亿元，主营业务收入逾千亿元，员工30万人。经济运营部改革办公室原副主任贾硕在2003年8月至2007年2月之间，利用职务便利，将用于下属企业破产清算的千万元公款挪用，在网络上参与赌球活动，最终给国家造成损失754万余元。北京市第一中级人民法院2009年2月对此案作出一审判决，以挪用公款罪判处贾硕有期徒刑15年。内控缺陷：没有遵循牵制原则。款项结算没有及时银行对账和内部核对机制。内部财务审计长期形同虚设控制失败案件回放-中信泰富集团案例背景主要问题金融海啸，外汇大幅波动，中信泰富公布，两名高层未取得主席荣智健批准前，签订多份属杠杆式外汇买卖合约(Accumulator，俗称Ikillyoulater)，涉及澳元和欧元等，作为业务对冲，但汇价劲挫，引致严重亏损，预计09年业绩亏蚀额或扩大至一百五十五亿元，两名高层（财务总监周志贤、财务董事张立宪）已辞职。中信泰富发出盈警，更要由母公司中信集团急调约一百一十七亿元，作为备用信贷救急。中信泰富财务董事没有遵守风险政策，公司内部监控制度存在严重失职行为。内情：公司治理结构有严重缺陷荣智健表示，公司本来已设立由主席及财务总监的双重审批制度，惜未能阻止事件发生，董事会对事件表示歉意。此外，中信泰富董事总经理范鸿龄也表示，有关外汇合同与数间大型银行签定，相信事件只是同事希望降低项目成本，并不涉及欺诈或不法行为。公司并聘请普华永道就改良监控制度给予意见。财务部实际负责人荣明方乃荣智健的女儿，被降级调离财务部。控制失败案件回放-深圳南山热电股份(深南电)案例背景主要问题深南电A(000037)在2009年12月29日发布的公告宣称，高盛全资子公司杰润公司(04年中航油事件的始作俑者)来函要求立即支付因一年前石油油价对赌合约中深南电公司违约赔偿本息8369.99万美元，而2009年该公司净利润约为8000万人民币。中国证监会，指出深南电签订的期权合约未按规定履行决策程序、未按规定及时履行信息披露义务及涉嫌违反国家法律、法规的强制性规定，并以此要求深南电限期整改。深南电“金蝉脱壳”不予认可赔偿，称对方有欺诈行为，夸大收益隐瞒风险。1、公司治理缺陷：公司称“相关人员”未经公司授权签订协议。2、业绩评价缺陷：深南电方面称，当初签订对赌协议是因为面临成本压力，初衷是以套期保值为目的，化解和抵御成本风险，降低经营成本。——靠非主业盈利弥补主业经营惨淡？3、风险评估失位，信息披露问题：整个事件涉及210万美元资金去向不明国资委要求国企停止所有的金融衍生品交易。2010年对国企领导人采用EVA评价体系，当中利润指标要求剔除非主业利润影响。控制失败案件回放-丰田“召回门”案例背景主要问题因油门踏板质量以及制动刹车系统问题，全球最大的汽车企业——丰田公司自09年10月起，在全球范围内召回的问题车辆已超过850万辆，涉及8款车型，超过了去年的销售总和。目前，丰田公司股价下跌，市值损失超过200亿美元，本财年计划开支1800亿日元（约合20亿美元）用于维修召回车辆维修以及相关赔偿支付。社长丰田章男将出席美国交通管理局听证会，同时面临多宗美国民间集体诉讼，赔偿要求达到36亿美元，整个公司陷入“信任危机”1、规模迅速扩张，集团质量管理能力下降；2、盲目削减成本，忽视供应商综合评估与监控管理；3、04年出现的质量问题的后续风险未得到总部重视，风险意识不强；4、公司高层危机处理能力差，显示集团没有相关策略思考。内部控制失败以及缺乏风险管理的后果竞争失败（企业由于竞争的失败会遭受诸多的不利）经营中断（企业目标无法实现）法律诉讼（给企业带来经济和信誉损失）商业欺诈（给企业带来经济损失）无益开支（企业收益能力下降利润水平下降）资产损失（动摇持续经营能力）融资失败（资本市场法规屏蔽以及投资者不信任）决策失误（企业倒闭）内控与风险管理的目标一•合理保证企业经营管理合法合规二•资产安全三•财务报告及相关信息真实完整四•提高效率和效果五•促进企业实现发展战略由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。企业内控基本要素内控环境风险评估控制活动信息与沟通内部监督治理结构机构设置及权责分配内部审计人力资源政策企业文化识别、分析风险确定风险应对策略控制措施可承受度之内收集、传递与内部控制相关的信息建立、监督检查、评价有效性、发现缺陷，改进内控企业在内控与风险管理中常见的误区一个项目：将内控与风险管理当作一个短期的项目来运作一个部门/实体/层级：把内控和风险管理看作是某一部门的工作、集团总部的工作、高管层的工作一套制度：内控与风险管理停留在静态制度层面上，没有与日常管理，业务操作，绩效考核挂钩一个报告：对内控与风险的监督与管理单纯依赖下级的报告，缺乏多种管理手段一种技术：认为使用某种工具或技术就可以解决内控与风险管理，寄希望于IT部门或技术部门来实现长远规划、整体分析，内控与风险管理将伴随着企业长期存在和发展全员参与、分层管理，管理层负责、业务部门实施、风险管理部实施监控和第三方独立评估一套可管理、可监控、可采集、可评估的，与业务操作和日常运营紧密结合的风险管理体系风险指标、事件及流程操作有效性的多维管控，贯穿事前防范、事中控制、事后检查是管理+技术的有效结合，观念、方法、流程、工具的与业务的整合应用才能实现有效的内控与风险管理目录用友公司介绍NC发展历程介绍XX集团内控与风险管理目标XX集团内控风险信息化需求理解和分析内控与风险管理解决方案行业方案用友NC技术方案用友NC实施服务方案用友NC典型案例制度缺失•与实际不符•制度缺失•版本混乱•没有统一管理执行不力•与制度不一致•缺乏监督•信息沟通不顺畅•战略不能贯彻意识不足•领导重视不够•没有专业人员•绩效无关联•缺乏专业知识分子公司管控难•分散管理，各自为政•缺乏明确管理主线•上下信息不对称•缺乏激励与制衡被动响应监管要求•内部管理与监管要求难以统一•忙于应对多种合规要求•缺少统一内控与风险管理体系•合规管理与业务管理没有整合缺乏监督•内控与风控没有融入日常管理•缺乏自我评估与定期检查•缺少监控体系和工具•信息系统建设滞后无从入手•风险无处不在•风险难以度量•缺乏风险指标•没有整体规划企业实施内控与风险管理面临困惑与瓶颈良好的内控和风险管理全面提升企业管理1、风险内控意识普及化2、内控制度规范与执行一致化3、业务控制流程化4、集团管控集中化7、风险管理标准化6、监督与改进系统化5、管理与合规一体化快速、均衡、稳健发展集团内控与风险管理为什么需要信息化系统？第七条：企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。第五十三条：企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。IT系统成为内控与风险管理过程中重要的控制手段和应对策略组成部分，降低内控与风险管理成本的主要途径。集团内控与风险管理对IT系统的需求对IT系统应用功能需求可行：将内控要素和关键控制点与业务流程管理整合可控：实现内控体系与全面预算、集团管控体系整合可视：内控执行过程和效果可查询可评价对IT系统技术性能的需求安全、稳定、运行可靠；高性能、TCO低廉可集成、可扩展、满足个性化应用对IT系统管理的要求COBIT可管理：开发与维护可监控：访问与变更、输入与输出可信任：存储与保管目录用友公司介绍NC发展历程介绍XX集团内控与风险管理目标XX集团内控风险信息化需求理解和分析内控与风险管理解决方案行业方案用友NC技术方案用友NC实施服务方案用友NC典型案例内控风险管理要素与企业管理环环相扣（1）建立内控制度的知识管理平台，将内控手册电子化、规范意识普及化；（2）将企业内控规范与日常业务运作结合，并实现实时监控（3）建立企业重大风险事项的内控预警平台，防患未然（4）建立完善的集团管控体系，加强对分子公司重大风险事项的监控（5）建立有效长期的内控审计监督机制，持续跟踪改进内控风险管理体系用友内控与风险管理解决方案架构图集团内控与风险管理对IT系统的需求对IT系统应用功能需求可行：将内控要素和关键控制点与业务流程管理整合可控：实现内控体系与全面预算、集团管控体系整合可视：内控执行过程和效果可查询可评价对IT系统技术性能的需求安全、稳定、运行可靠；高性能、TCO低廉可集成、可扩展、满足个性化应用对IT系统管理的要求COBIT可管理：开发与维护可监控：访问与变更、输入与输出可信任：存储与保管实施风险与内控管理的流程建立内控环境进行风险识别评估确定风险控制策略实时进行风险监控开展风险内控审计与评价1、树立意识；2、明确组织与分工3、将绩效与内控挂钩风险内控意识普及化：企业文化建设树立法制观念通过新闻、讨论、公告等实现沟通、延伸企业文化建设，树立集团统一意识形态制度归档目录，审批流程沉淀为历史记录知识所有生产经营相关的文档财务报告、财务月报、审批记录、总结规划建议、管理制度等各类信息在文档中存放，并通过授权领导可以查看风险内控意识普及化：建立知识平台与人员培训可以追溯查阅内控手册的版本变化以及员工订阅浏览的信息记录，并能将变化自动通知更新。按年、季度、公司、部门分类查看人员课程信息部室、部门更名管理集团总部部室及所属企业的部门变更（合并、变更、调级等）的管理集团及所属企业的设立、修改、冻结、撤销、删除组织机构管理成立内控组织，明确所有组织的职能、编制、岗位和权限岗位管理岗位设计与职责说明权限管理•集团可以对下属单位关键岗位进行轮岗管理；绩效管理是推进风险与内控实施的关键集团战略和远景适合战略的组织公司定位和职责岗位定位和职责集团年度目标公司年度目标部门/员工年度目标目标实施绩效考核结果应用：绩效工资、任免、培训、招聘指标分解指标分解年度计划编制绩效管理体系是使战略成为行动的工具，是人力资源管理的核心•战略支撑性•行动驱动性人力资源管理体系•集团可以对下属单位管理班子进行绩效考核；绩效管理影响薪资及职位变动实施风险与内控管理的流程建立内控环境进行风险识别评估确定风险控制策略实时进行风险监控开展风险内控审计与评价1、风险识别；2、风险影响评估识别企业集团面临的全部风险及其特性风险涉及的指标进行量化分析与情报搜集实施风险与内控管理的流程建立内控环境进行风险识别评估确定风险控制策略实时进行风险监控开展风险内控审计与评价1、规范