《全面风险管理体系工作方法培训课件》由会员分享,可在线阅读,更多相关《全面风险管理体系工作方法培训课件(62页珍藏版)》请在金锄头文库上搜索。
1、全面风险管理体系建设工作模板及工作方法培训,刘文明 2009年10月,中国葛洲坝集团股份有限公司,深圳市迪博全面风险管理技术有限公司,自我介绍,具有多年企业管理实战经验,曾在某香港上市通信公司管理部门工作,负责公司的战略规划、流程管理及组织体系构建等工作,作为管理负责人多次参与公司的流程管理体系、供应链管理、CMMI、质量等管理体系建设。同时作为内部管理培训讲师,多次为管理层提供流程管理培训。 从事咨询顾问期间,作为项目经理为中石油、中电投、中国电信、中国电子科技集团、蒙牛集团、瑞石投资等国内多个行业及大型企业提供了组织与流程管理、研发管理、内控及风险管理体系咨询项目。,目录,工作交付文档,收
2、集制度及 相关资料,访谈,汇总并形成 制度清单,构建流程框架,编制流程图及 流程文件说明,识别流程 风险,识别流程 控制点,缺陷及改 进建议,评估控制 有效性,讨论确认,全面风险管理体系建设主要程序,总部流程图,总部流程 框架,总部制度 清单,流程图,流程文件,风险矩阵,风险数据库,缺陷跟踪报告,控制文档,访谈提纲,访谈纪要,流程框架,流程清单,记录流程图,流程描述,总部审核,客户确认,修改,再次确认 签字/邮件,了解实际 业务流程,收集穿行 测试资料,收集制度 资料,风险控制 矩阵,缺陷及 建议,流程责任人 确认,总部审核,讨论会确认,流程梳理工作过程,目录,1、收集信息,具体岗 位职责和
3、制度,行业标准,以往实施 经验,确保流程框架制定有据可依。 但应注意,暂时未获得部门/岗位职责及制度的可能性,因而此种方法并无法确保框架确立。,防止管理空缺未能及时发现。 流程框架不是将不是按照部门划分,因此部门和岗位会发生调整,但是主要业务流程仍需要有人完成,流程框架不会发生太大改变。,交易/业务大量发生或业务十分复杂 可能涉及到反舞弊 管理层判断为未来业务重点,收集制度、岗位职责及相关资料,整理相关制度及资料,收集制度及相关资料后应该做什么? 形成制度清单 整理各部门职责 熟悉制度 制定工作计划 做好访谈准备(形成访谈提纲),2、访谈,访谈的基本步骤: 约定时间 提前准备 简介、陈述目的
4、正式访谈 访谈记录整理,访谈基本步骤,1.做笔记 单据如何传递,信息如何流转。抓住三个”W”一个”H”进行提问 2.引导话题(开放式或封闭式提问) 3.询问对方的忧虑,观察对方的表情 4.掌握节奏/时间控制 5.总结关键内容 6.复阅笔记,访谈技巧,“我们必须缩短交货时间以满足客户的需求” “我们未能取得来自市场的准确信息”,客户现在的需求一般是多少天?我们目前能做到的是多少天?差距主要是什么原因造成的?,为什么没有拿到?主要障碍在哪里?行业领先者他们是否能做到?,访谈需获取的流程以外信息,访谈要求: 抓住信息流动的衔接、完整 信息传递的方式 明确至各个职能岗位,访谈要求,成功的访谈至关重要!
5、 成功访谈能使顾问和客户流程责任人建立良好的信任和沟通关系,是后续工作完成得保障。 成功的访谈是业务流程梳理的基础,是识别控制的出发点,也是发现流程缺陷的关键。,成功访谈的重要性,提问,3、构建流程框架,一般来说,构建企业或部门的流程框架采取如下形式: 基于制度 基于业务 例子: 集团公司流程框架 H公司人力资源流程框架,流程框架的构建方式,提问,3、编制流程图及流程说明,常用标准图例,样本展示,流程图样本,流程图是以可视的方式,运用特定符号展示某一流程的一种形式。 它的意义在于帮助人们认识重要交易是如何发生、授权、记录、处理及报告的。 流程图对业务流程中可能出现风险的环节及所存在的控制环节进
6、行了描述。,流程图,清晰、直观 有助于识别步骤和控制 完成的流程图可作为对流程进一步讨论的起点 有助于与其他流程图相联系来解释相关的活动 有助于发现收集和处理数据 有助于分离可能出现问题的区域 有助于向不熟悉的人解释流程,流程图使用的好处,对于编制流程图,并没有强制的或速成的规则,但是了解一些编制的基本方针还是很有用的: 确定流程参与的部门及具体岗位 确定每个流程的开始(以触发性事件作为起点)和结束 关注流程的关键步骤,确保流程的连贯性及合理性 使用标准图例,如何创建流程图,流程描述是可以替代流程图或与流程图并列的业务流程记录形式。流程描述应保留足够的细节,让其他没有接触过该流程的人能够了解该
7、流程的各环节、各控制点,能够对流程设计的有效性进行整体评估,能够进行测试以验证流程执行的有效性。 记录应该反映现有的流程,而不是计划中的将来。,流程描述,流程描述是可以替代流程图或与流程图并列的业务流程记录形式。流程描述应保留足够的细节,让其他没有接触过该流程的人能够了解该流程的各环节、各控制点,能够对流程设计的有效性进行整体评估,能够进行测试以验证流程执行的有效性。 记录应该反映现有的流程,而不是计划中的将来。,流程描述,对流程描述中的每一个步骤、控制、文档以及控制缺陷进行编号 在进行流程描述记录的时候,应该包括以下一些基本点: 谁(Who) 什么时候(When) 什么事(What) 怎样(
8、How) 频率(Frequency) 每一个步骤要明确到具体的部门岗位以及该步骤所对应的文档 流程最终涉及到的具体会计处理 流程的转入、转出、流程结束等,记录流程描述的要求,流程描述需要详细地说明业务流程的步骤 使用简练的陈述句进行描述 流程描述中不应出现“应该”、“应当”等文字 保持流程描述前后的一致性及连贯性,记录流程描述的注意事项,一级流程用三个字母代替(按照后附缩写字母编号),二级子流程按照1.0/2.0/3.0等进行编号,三级子流程按照1.1/1.2/2.1等进行编号; 在流程描述中请使用【C#01】,【EF#01】和红色三角进行编号。在RCM中请使用R#01,C#01, GAP#0
9、1。 在文件中需要相互索引时,分为3种情况: 引用来自不同主流程的编号方式为: “一级流程编号-流程号码-【C#01】/【EF#01】/红色三角符号”; 引用来自相同主流程及不同子流程的编号方式: “流程号码-【C#01】/【EF#01】/红色三角符号”; 引用来自同一子流程的编号方式: “【C#01】/【EF#01】/【GAP#01】”。,流程描述编号规则,4) 流程中适用的政策及制度: 政策与制度请写在流程描述第二页“3 相关政策及制度”中,编号规则为【AR#01】; 如果该子流程每个步骤均遵循某个政策及制度,不需要标注在流程图中。仅在流程描述中写明即可,不需要对其进行编号; 如果步骤中涉
10、及不同制度,请将其编号填写在“适用政策与制度”一栏中。,流程描述编号规则(续),页眉部分填写不完整; 流程负责人不够明确,未将部门下具体执行人员的职位写出:如相关责任人/采购部;相关人员/销售部; 同一部门职位前后文说法不一致; “相关资料”未填写清楚文档和系统文件; 流程描述文字颜色、字体不统一;未保持文字与标题部分的上下对齐; “相关资料”、“引用其它流程”(首页中项目)在前后文不一致; 不同流程之间缺乏必要的勾稽关系; 如存在多份文档,未能写清每一份的流转去向和保管人,如:发票一式三联,记账联由财务部xx会计作为会计收入账务处理的附件,客户联由销售部业务人员交给客户,存根联由财务部xx会
11、计存档保管。,流程描述常见问题,编写流程描述练习。 疑问,练习,步骤编号 使用标准图标 各个步骤之间的连线为单向黑色实线,最多有两个拐点,且不允许出现交叉 文件在第一次出现的步骤表示即可,以后再出现可不必再次记录 复核或审批不作为判断框处理,而使用活动符号表示 一般审批不通过不作返回 每张流程图一般只保留一个“开始”、一个“结束”;如需要,起点可从其它流程引入,终点可引出至其它流程,注意各个子流程之间的勾稽关系 将部门及岗位用多条列表示,流程图编制事项,目录,外部环境 分析,战略目标 分析,内部环境 分析,问卷调查,德尔斐 调研,离散度 测试,重大风险 排序,调研结果,调查问卷,风险地图,公司
12、重大风险识别及评估,测试公式 及结果,建立 风险库,风险库,重大风险识别及评估程序,风险控制矩阵,风险控制矩阵“Risk and Control Matrix”就是将流程中所涉及的风险和对应的内部控制进行汇总,以发现控制缺陷的一种矩阵表格。 风险控制矩阵应该回答这些问题: 风险有哪些? 控制有哪些? 谁对流程/控制负责? 控制是怎样设计的? 控制设计的有效性 风险控制矩阵是针对每个业务流程记录的关键文件之一。,风险控制矩阵,明确公司所面临的风险 明确针对风险现有的内部控制 对公司现有内部控制的重要性进行了划分 发现控制缺陷,风险控制矩阵优点,“风险”:风险是一种威胁,这一威胁将对公司完成经营目
13、标和执行经营战略产生不利的影响。简单的说,就是可能影响控制目标实现的因素。 风险举例: 记录不完整 记录不准确,缺乏适当的估价与分摊 已记录的可能并不存在(如固定资产、存货已转移或被盗等) 已记录的并不属于公司(如经营租赁的固定资产不可以记录等) 未得到适当的披露(如一年内到期的长期贷款未适当披露等),回顾-风险,风险举例: 制度不完整 缺乏适当的授权 缺乏适当的审批 缺乏适当的复核 缺乏适当的权责分离 这些扩展风险是为了帮助使用者更清晰、直观的了解到可能存在的风险,其根本还是这些点可能会导致控制目标/认定无法有效实现。,回顾-风险,其他风险进一步举例: 另外,还有一些风险本身并不直接影响到财
14、务报告的认定,而是导致经营效率低下或企业行为不合法合规等问题。 未与供应商签订包含法律责任条款的协议文书; 逾期未到货的采购订单未被有效地监控;,回顾-风险,控制活动是一种保证管理层的指令得到实施的政策和程序。 它确保必要的活动得到执行,以降低风险,达成企业的目标。 控制活动贯穿于整个企业组织内,涉及所有的级别和部门。 它包括一系列的行为,如: 授权审批 验证、调节 业绩复核、资产保全 职责分工 控制活动可以分为预防性控制与发现性控制。,回顾-控制,识别风险和控制点。,练习,问题和回答,识别流程缺陷,有效控制点的特征: 对相关的风险有影响 有足够的运行频率 实施这些控制活动的人员有足够的知识和
15、经验 存在适当的职责分工 发现的问题和例外情况得到很快处理 该控制活动的执行是基于可靠的信息,无效控制点举例:操作人员自行复核、信用风险控制等。,控制有效性评估,缺陷分为设计缺陷和执行缺陷两类: 设计缺陷是指业务流程中不存在足以规避相关风险的控制点。 执行缺陷是指业务流程中虽然存在足以规避相关风险的控制点,但由于没有执行或无效执行从而仍然无法规避相关风险的情况。,缺陷分类,设计有效性 不健全 不科学不合理,缺陷,执行有效性 未按制度操作 未按流程设计操作,实例1: 实例2: 实例3:,识别设计缺陷,识别执行缺陷的方法包括穿行性测试和统计抽样测试。而测试方法又包括: 询问 观察 检查 重新执行,
16、如何识别执行缺陷,问题和回答,必要性质的改进建议 1. 必要性质的改进建议是指哪些如果不执行该控制则很可能无法规避相关风险的控制建议。 2. 必要性质的改进建议举例。 提高性质的改进建议 1. 提高性质的改进建议是指即使不执行也不一定不能规避相关风险的控制建议,但若实施该控制则可进一步提高风险防御能力或管理水平。 2. 提高性质的改进建议举例。,改进建议分类,控制点越多越好 控制点的增加必然会降低运营效率 适合局部的控制就是适合全局的 不适合局部的控制就是不适合全局的 控制点在企业的各个发展阶段是一成不变的 同行业公司的控制点可以照搬,改进建议的几个误区,流程修改建议汇总表,样本展示,问题和回答,确认新流程及新流程的试行,咨询顾问在此阶段的主要工作包括: 与流程负责人确认改进建议,并且落实改进措施及实施时间 对流程负责人进行内控建议实施指导 监督内控建议的最终落实 流程负责人在
