企业风险管理与内部控制解读主要内容•风险管理与内部控制项目概述•风险管理与内部控制项目主要成果•法规视角下的内部控制•公司层面的内部控制•业务流程层面的内部控制•内部控制与业务流程变革•风险管理与内部控制•内部控制手册•内部控制自评估机制•风险管理信息系统•总结第一章风险管理与内部控制项目概述项目目标风险管理与内部控制项目的目标为协助集团公司实现:风险管理与内部控制项目实施路线图项目主要工作内容搭建集团公司风险分类框架和风险库任务工作层级主要内容风险与控制现状调研与诊断集团总部二级总部三级企业与高级管理层、外籍管理人员、业务部门骨干人员开展访谈收集分析相关制度,进行分析和诊断风险识别集团总部二级总部三级企业以全球化工行业通用风险库为基础参考全球及国内主要化工企业主要风险对标结果,以及央企先进经验根据风险与控制现状调研与诊断,识别战略转型期特有的风险形成为集团公司量身打造的风险分类框架和风险库开展年度风险评估,编制风险评估报告任务工作层级主要内容风险评估集团总部二级总部三级企业根据集团总部、二级总部和三级企业具体情况,经过多轮沟通确定风险评估标准组织集团总部、二级总部和三级企业各部门使用“风险评估表”进行风险评估与国际国内标杆企业识别的重大风险进行对标,分析风险评估初步结果的完整性和合理性与集团总部8名高级管理人员、二级总部6名外籍高管和3名中方高管进行访谈,对风险评估结果和重大风险排序进行沟通形成2010年各级公司风险坐标图和重大风险事件清单重大风险应对思路和解决方案集团总部二级总部三级企业结合公司正在开展或拟开展的管理变革工作,落实风险管控举措对于管理变革工作尚未覆盖的领域,起草重大风险解决方案,向高级管理层进行汇报2010年度风险管理报告集团总部二级总部三级企业根据国资委对中央企业2010年度风险管理报告的要求,草拟2010年度风险管理报告,协助完成首次报送根据确认后的风险评估结果,编制二级总部和三级企业风险管理报告/总结编制内部控制指引,试点企业内部控制体系建设任务工作层级主要内容编制内部控制指引集团总部二级总部结合国资委和财政部相关要求,分别编制集团总部和二级总部内部控制指引,明确内部控制目标与控制措施试点企业内部控制体系建设三级企业按业务流程开展内部控制有效性测试,针对内控薄弱环节,提出应对方案和改进建议对内控薄弱环节的改进情况进行持续监控编制内部控制手册、内部控制自评估手册和内部控制自评估文档,作为今后管理层实施内控自评估的模板建议风险管理组织体系和工作流程任务工作层级主要内容建议风险管理组织体系集团总部二级总部三级企业编制集团总部、二级总部和三级企业风险管理办法,明确集团公司及其所属单位风险管理组织体系结构、职责分工和工作流程,并统筹考虑风险管理职能在各层级企业的接口风险管理文化培育和知识转移任务工作层级主要内容风险管理和内部控制知识转移集团总部二级总部三级企业在集团总部和二级总部开展了3场风险管理和内部控制基础培训、风险评估技术培训在三级企业举行了10场风险管理与内部控制专题培训,超过100位流程负责人和业务骨干参与了培训培育风险管理企业文化集团总部二级总部三级企业编制风险管理与内部控制知识百问在内部报刊上发布,提升全员对全面风险管理的正确认知,培育风险管理理念和风险管理氛围项目主要内容总结内部控制项目与其他管理变革项目项目交付成果概述项目第一阶段共形成交付成果21项,各类成果所占比例如下:第二章法规视角下的内部控制现代企业理论—内部控制萨班斯法案404条款的要求在美国上市的中国公司应当遵守萨班斯法案的要求萨班斯法案要求所有美国的上市公司要在所有与财务报告有关的流程建立并维持足够的内部控制满足萨班斯法案的第一步就是识别所有与财务报告有关的流程外部审计师须对公司的财务报告流程的内部控制进行审计,并出具意见404条款-年度财务报告内部控制的公司管理层报告设立并维持了足够的财务报告内控体系;财务报告内控体系有效性的评价;为评价财务报告内控体系而采用的评价体系的说明。我国《内部控制基本规范》法定要求财政部、审计署、保监会、银监会、证监会联合下发了《企业内部控制基本规范》,要求上市公司于2009年7月1日起开始实施,对本公司内部控制的有效性进行自我评价,披露年度自我评价报告。集团公司下属的A股上市公司根据要求需要编制内控自评估报告,同时面临外部审计师对其内部控制现状的检验。2008年6月28日财政部等五部委联合发布《企业内部控制基本规范》及其三项配套指引《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》,前两个指引适用于企业、监管机构、咨询方、审计师,第三个指引适用于审计师。国资委的全面风险管理要求国务院国资委2006年6月6日发布了《中央企业全面风险管理指引》,要求所有的中央企业根据实际情况推行企业风险管理工作。COSO内部控制整合框架VS企业风险管理整合框架内控是风险管理的重要组成部分,风险管理是内控的扩展。我国内部控制体系框架公司层面的内部控制控制环境控制环境——员工守则企业的诚信和道德价值观一般通过员工行为准则来体现,它是告诉企业员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。对于企业来说,首要的工作是建立一套员工能够接受和理解的诚信和道德标准,如员工行为手册;其次是必须让员工知晓和理解这些规定,这是执行的前提条件;最后就是贯彻执行。控制环境——企业文化控制环境——管理理念和经营风格策略类型投资/成长获利/保护收成/合并管理风格创业家经营者管理者行为特征.风险偏好者2.喜欢冒险3.讲求效率4.具有吸引力5.个人导向6.较少的控制7.创新性思维8.机会主义者1.风险计算者2.适度的冒险3.讲求效率与效果4.具有说服力5.团队建立者6.适度的控制7.适应性思维者8.分析者1.风险规避者2.较为保守3.讲求效果4.依赖纪律的约束5.群体维持者6.高度控制7.推断性思考者8.务实主义者控制环境——组织结构简单结构具有简单结构的企业,通常是被个人控制;组织的形态也是以个人所建立与维系的关系和做事的非正式流程为主;这种结构类型的主要问题:企业只在一定的规模以下才能正常运转,一旦超过一定规模,一个人将难当重任。职能结构优点•首席执行官掌握各运行部门•简化控制机制•明确的职责划分•在中高层管理者中有某种职能专家缺点•高层管理者为事务性工作所困扰•高层管理者容易忽视战略性问题•较难应对组织内的多样性•各职能部门之间的协调比较困难•适应能力差多分部结构优点•集中精力于业务领域(如产品、市场)•有利于对各部门业绩的考核•增减业务单位十分便利•有利于高级管理者将注意力放在战略问题上•鼓励综合管理层的发展缺点•职责不清(集权与分权的界限不清)•各分部之间易发生冲突•管理成本高昂•部门之间的交易使管理变得复杂•分部成长得过于庞大•分部过多会使协调变得更为复杂化矩阵结构优点•当有利益冲突时可以做出明智的选择•直接交流取代了官僚主义•管理层有更大的主动性•参与决策使管理者有更好的发展空间缺点•决策时间延长•工作和任务职责不清晰•成本与利润责任不明确•冲突的可能性增大•容易忽略主要矛盾传统组织结构的缺陷一项业务流程流经各个职能部门,环环相等,整个流程被分解部门之间在衔接中大量等待各部门增加重复劳动,大大延长了完成任务所花费的时间层次过多,管理费用和组织成本过大信息传递速度过慢、信息质量较差扁平化流程型组织模型扁平化组织的目的在于改善一个组织的工作流程和作业,从而更为实际而有效地满足或超越顾客不断变化的需求。降低管理费用与组织成本提高信息质量与沟通速度减少不必要的错误、提高快速反应能力控制环境——权责分配战略规划类型财务控制类型战略控制类型控制环境——内部审计内部审计范围和主要领域的演变内部审计的转型方向国际注册内部审计师协会关于内部审计职责的相关规定国际内部审计师协会(IIA)新版的《内部审计实务标准》中,内部审计的定义发生了明显的变化。《内部审计实务标准》关于内部审计的两大职责:鉴证(Assurance)咨询(Consulting)风险导向内部审计的核心流程基本风险的年度审计计划:了解公司战略和业务目标确定目标程序/风险实施公司级风险评估程序排列风险优先次序确定审计范畴制定年度和长期计划风险导向的审计项目实施程序:对下属企业开展初步的风险评估了解业务流程根据业务流程中的风险确定审计重点沟通风险导向的测试计划测试关键控制对风险管理能力的评估考虑风险的基础上汇总结果海外企业-风险坐标图海外企业——以风险为导向内部审计计划AUDITPROJECTPRIORITYFREQUENCY(Years)InformationTechnologyGeneralControls(ITGC)13ProcessControlSystems(ITGC)13CommodityHedging(Platinum)13FinancialReporting24IntellectualProperty24Treasury24StrategicPurchasing24PlantPurchasing24Inventory24ForeignSubsidiaries(1or2peryear)24Payroll35FixedAssets35Legal–ContractAdministration35Note:Theaboveprojectsrepresenttherecommendedrecurringauditableunitstobeaddressedoverthecycle.EachyeartheywouldprovidethebasisofadraftauditplanfordiscussionwithmanagementoncurrentriskfactorstodevelopanauditplanforsubmissiontotheAuditCommittee.Inadditiontotheaboveprojectsmanagementrequestsforparticularauditsorinvestigationswouldbeconsideredwhentheannualplanwasbeingdiscussedoratanyothertime.控制环境——人力资源政策和措施人力资源战略与企业战略企业战略廉价战略优质战略创新战略人力资源战略吸引战略参与战略投资战略特点中央集权高度分工严格控制依靠工资与奖金来维持员工积极性企业决策权下放员工参与管理藉此提供员工认同/归属感注重发挥绝大多数员工的积极性、创造性和主动性重视人才资本投资企业与员工建立长期工作关系注重发挥管理人员和技术人员的作用目标设定——内部控制的目标目标设定——战略目标目标体系:目标设定——发展战略(Ansoff矩阵)目标设定——战略目标目标分解目标设定——战略目标战略的三个层次竞争战略的基本类型战略目标竞争优势整个市场低成本独特性成本领先战略差异化战略特定细分市场集中化战略成本领先化集中化差异化集中化风险管理如何推动战略管理五竞争力模型SWOT分析框架价值链•基本活动是指那些与产品或服务的创造或交付直接相关的活动;•辅助活动帮助提高基本活动的效果或效率。成本领先战略的价值链差异化战略的价值链目标设定——目标的实现•一项行动计划有助于实现多个控制目标;•报告目标和合规性目标相对比较容易实现,在企业的控制范围之内;•经营目标比较难以实现,取决于外部因素:–外部竞争对手的状况–环境因素–政治因素–法律因素•风险管理有助于减轻外部因素的影响风险偏好和风险承受度风险偏好和风险承受度是风险管理策略的重要组成部分风险容量是一个企业在追求价值过程中所愿意承受的风险的数量。风险承受度是相对于目标的实现而言所能接受的偏离程度。风险容限与企业的目标相关,是相对于实现一项具体目标而言可接受的偏离程度。风险承受度有两重含义:作为风险偏好的边界和企业采取行动的指标。在风险偏好以外,企业可以设置若