《内控与风险管理体系建设回顾与改革内控审计部内控与风险管》由会员分享,可在线阅读,更多相关《内控与风险管理体系建设回顾与改革内控审计部内控与风险管(25页珍藏版)》请在金锄头文库上搜索。
1、内控审计部内控与风险管理体系建设回顾与改革内控审计部内控与风险管理处2014年6月北京内控审计部目录内控审计部一、内部控制与风险的内在逻辑 一、内控与传统管理中的控制的区别与联系 二、内控是不是制度汇编?内部控制,是由企业董事会、监事会、经理层和全体员工 实施的、旨在实现控制目标的过程。内部控制的目标是合 理保证企业经营管理合法合规、资产安全、财务报告及相 关信息真实完整,提高经营效率和效果,促进企业实现发 展战略。 三、内控与传统管理不同,内控引入风险的理念,这一理 念的提出是一次革命内控审计部一、内部控制与风险的内在逻辑 四、风险是什么?风险是不确定性对目标的影响,影响是与期待的偏差-积极
2、 和/或消极,目标可以有不同方面(如财务、健康安全、 以及环境目标),可以体现在不同的层次(如战略、组织 范围、项目、产品和过程)。风险通常以潜在事件和后果,或它们的组合来描述。风险 通常以事件(包括环境的变化)后果和发生可能性的组合 来表达。不确定性是指,与事件和其后果或可能性的理解 或知识相关的信息的缺陷的状态,或不完整。 五、风险管理 针对风险指挥和控制组织的协调活动。 六、体系泛指一定范围内或同类的事物按照一定的秩序和 内部联系组合而成的整体,是不同系统组成的系统。内控审计部二、内部控制与风险管理的外部环境外部监管规定 1992年COSO委员会提出了内部控制整合框架; 2002年美国国
3、会通过了萨班斯法案;2001年12月美国最大的能源公司之一安然公司,突然申请 破产保护,此后上市公司和证券市场丑闻不断,特别是 2002年6月的世界通信公司会计丑闻事件,“彻底打击了 投资者对资本市场的信心”(国会报告,2002)。美国 国会和政府加速通过了该法案以图改变这一局面。法案 的第一句话:“遵守证券法律以提高公司披露的准确性 和可靠性,从而保护投资者及其他目的。”这该法案的 主要内容之一就是明确公司管理阶层责任(如对公司内 部控制进行评估等)、尤其是对股东所承担的受讬责任 ,同时,加大对公司管理阶层及白领犯罪的刑事责任。内控审计部二、内部控制与风险管理的外部环境 2004年COSO委
4、员会提出了风险管理整合框架 2005年香港联交所颁布了公司管治常规守则 2006年国资委出台了中央企业全面风险管理指引, 2008年财政部会同证监会、审计署、银监会、保监会制定 了企业内部控制基本规范 2010年财政部会同证监会、审计署、银监会、保监会发布 了企业内部控制配套指引 内控审计部二、内部控制与风险管理的外部环境2013COSO17个核心内控原则: 1 组织对正直和道德等价值观做出承诺; 2 董事会独立于管理层,并对内部控制的推进与成效加以 监督控制; 3 管理层围绕其目标,在治理层监督下,建立健全组织架 构、汇报条线、合理的授权与责任等机制; 4 组织对吸引、开发和保留与认同组织目
5、标的人才做出承 诺; 5 组织根据其目标,使员工各自担负起内部控制的相关责 任; 6 就识别和评估与其目标相关的风险,组织做出清晰的目 标设定;内控审计部二、内部控制与风险管理的外部环境 7 组织对影响其目标实现的风险进行全范围的识别和分析 ,并以此为基础来决定风险应如何进行管理; 8 组织在风险评估过程中,考虑潜在的舞弊行为; 9 组织识别和评估对内部控制体系可能造成较大影响的改 变; 10 组织选择并开展控制活动,将风险对其目标实现的影 响降到可接受水平; 11 对(信息)技术,组织选择并开展一般控制以支持其 目标的实现; 12 组织通过合理的政策制度和保证这些政策制度切实执 行的流程程序
6、,来实施控制活动;内控审计部二、内部控制与风险管理的外部环境 13组织获取或生成,并使用相关、有质量的信息来支持内 部控制发挥作用; 14组织在其内部沟通传递包括内部控制的目标和责任在内 的必要信息以支持内部控制发挥作用; 15组织与外部相关方就影响内部控制发挥作用的事宜进行 沟通; 16组织选择、推动并实施持续且(或)独立的评估以确认 内部控制的要素是存在且正常运转的; 17组织在相应的时间范围内,评价内部控制的缺陷,并视 情况与那些应采取正确行动的相关方(如:高级管理层, 董事会)进行沟通。内控审计部二、内部控制与风险管理的外部环境 2012年5月7日,财政部、国资委下发关于加快构建中央
7、企业内部控制体系有关事项的通知(国资发评价 201268号),要求所属控股上市公司资产比重超过60%的 中央企业,应当于2012年建立起覆盖全集团的内部控制体 系。中国神华占集团公司收入的73%,利润的88%. 中国与世界经营国际化接轨的重要组成部分 中央企业做强做优、培育具有国际竞争力的世界一流企业 对标指引(国资发改革2013 18号) 中央企业做强做优、培肓具有国际竞争力的世界一流企业 要素指引(国资发改革201317号, 提出的公司治理、人才 开发与企业文化、业务结构、自主研发、自主品牌、管理 与商业模式、集团管控、风险管理、信息化、并购重组、 国际化、社会责任、绩效衡量与管理等)内控
8、审计部二、内部控制与风险管理的外部环境 风险管理要素 【目标】风险管理要成为覆盖从战略决策到岗位操作的全过 程、全方位、全员的管理,防范损失、创造价值,为企业可 持续发展提供保障。 【指导原则】遵循国资委和相关部委、监管机构发布的风险 管理规则要求,并根据企业发展战略和管理需要,借鉴国内 外最佳实践,将风险管理融入制度建设、流程优化和生产经 菅全过程,持续提升风险管控能力。 【体系建设】公司治理、集团管控和组织设计能满足风险管 理要求,内部控制覆盖全面、合规有效,风险管理策略清晰 并具有量化的风险承受度,以信息化手段确保风险管理体系 的规范高效运行。内控审计部二、内部控制与风险管理的外部环境【
9、重点监控】明确各层级风险管控的重点领域、环节、事项 和关键岗位,有效配置管控资源,构建预警指标体系并不断 完善,持续监测评估风险,制定应对措施和预案并适时评价 其有效性,防范和化解重大风险。 【制度文化】加强风险防范制度建设,完善风险防范机制,提 高依法治企水平。着力培育与企业灾化融为一体、支持风 险管理体系有效运行的风险文化。不断强化员工风险意识, 使管控风险成为全员自觉行为。内控审计部三、内控与风险管理体系建设经验总结 对照五个一 一个理念: 1、“企业可以做到有序经营不破产”, “超出风险可接受 水平就是经济安全事故” 2、经济大案要案零容忍 3、违法违纪违规零容忍 4、生产安全风险预控
10、理念:煤矿可以做到不死人,生产瓦 斯不超限,超限就是事故,现在又提出零死亡,零伤害更 高目标内控审计部三、内控与风险管理体系建设经验总结一个体系 内部控制手册旨在搭建公司内控体系建设的基础平台 ,明确内控组织及职责权限,确立业务管理流程控制、监 督与评价以及管理改进等内控执行系统的基本程序与方法 ,提出内控环境建设、全面风险管理以及信息沟通等内控 支持系统的具体要求,将内部控制环境建设、目标设定中 的风险考量、风险管理、业务管理流程控制、信息与沟通 、监控与评价以及管理改进紧密联系,形成建设、检查和 改进的闭环控制责任体系。 一个流程,年初风险评估报告,季度重大风险监控、季度 内控缺陷整改完成
11、情况报告,年度内控评价内控审计部三、内控与风险管理体系建设经验总结 具体标准:建立全集团适用的,基本的、统一的内部控 制建设原则,评价标准,建立涵盖业务风险、控制标准为内 容的横向到边、纵向到底内部控制建设评价体系。横向到边 包括公司治理、战略规划、五型企业及绩效、企业文化、生 产运营指挥、煤炭生产、电力生产、铁路运输、港口生产、 航运生产、煤制油化工、投资管理、工程管理、资本运营、 物资与采购、市场与销售、业务外包、综合办公、法律事务 、财务管理、人力资源、产权管理、安全与健康、信息化、 企业运作、科技创新、环境保护、内部控制审计、纪检监察 、工会工作、新闻宣传、信访管理共三十二项主要业务,
12、与 制度体系组织体系是一致的。纵向到底包括集团总部(控制 标准及原则)、二及公司总部(本地化控制活动)、含管理 层的基层单位(本地化控制活动) 、生产性的基层单位(本 地化控制活动)等所有单位。内控审计部三、内控与风险管理体系建设经验总结一个途径 (一)内控设计:管理制度化(制度风险审核)、制度流程 化(流程优化)、流程表单化(工作表单)、表单信息化 (ERP自动控制)、 (二)内控执行:业务评估风险、风险控制留痕(日志授权 )、留痕检查评价(内控评价) (三)建设路径:1、中国神华的内控建设首先是在公司总部进行,通过现 状评估,与国际先进能源企业对标,发现差距,完善制度 流程及组织架构,总部
13、内控体系框架建立起来后,首先动 态风险评估、内控评价,发现问题,问题整改,管理系统 改进。内控审计部三、内控与风险管理体系建设经验总结2、上市范围企业在股份总部内控体系建设及评估基础上, 总结经验,进行系统风险评估和内控检查评价,开展内控 体系建设。 3、非上市企业在上市企业风险评估内控检查评价基础上, 推广进行系统风险评估和内控检查评价。 4、子分公司层面,统一要求在资金(财务)管理、采购管 理、招投标管理、产权管理、销售管理、工程项目管理、 境外业务管理等7个高风险业务领域推进经济本安体系建 设。子分公司是否设置内控与风险管理专职部门,以及如 何对内控与风险管理计划和规划,可以在集团公司内
14、控评 价标准的架构指导下选择建设内容,但评价统一要求。内控审计部三、内控与风险管理体系建设经验总结一支队伍 董事会设立全面风险管理委员会,内控审计部是全面风险 管理委员会报告工作,内控审计部设立内控与风险管理处 ,形成跨部门的内控与风险工作机制。 (一)内控审计部: 内控审计部是在公司董事长的领导下负责承担公司内部审 计管理、内部控制管理和风险管理的职能部门。负责公司 内部审计的组织实施和管理,内部控制的监督检查、评价 和缺陷整改落实,风险管理体系建设和风险评估、监控等 ,牵头组织集团公司经济本质安全体系建设的实施工作。 ( 2014年第一季度内控审计机构人统计显示,全集团内控 审计人员340
15、人,其中专职294人,内控人员73人,占25% ,兼职人员46人,内控人员7人,占8%)。内控审计部三、内控与风险管理体系建设经验总结(二)企业管理部: 企业管理部负责建立基于制度和流程管理的内部控制体系 ,制订相关制度、流程、标准,并监督执行;专门成立流 程处。 (三)各部门共有职责: 参与公司战略、规划的制定、审核、执行、监控、评估和调整; 参与公司年度预算和滚动预算的编制、调整、执行、控制、分析 ,参与审核所属单位本业务领域的预算; 根据信息化规划,负责组织推进本业务领域的信息化工作,参与 跨业务领域信息化建设工作,参与审核所属单位本业务领域的信 息化项目; 参与公司全面风险管理工作,负
16、责本业务领域的风险管理策略制 定、风险识别、风险评估,制定并落实消减措施、处理风险事件 。内控审计部三、内控与风险管理体系建设经验总结一个文化 通过上市推动公司管理的变革,上市公司内控公开透明的信 息披露要求 加内控与风险管理制度建设 管理制度 1 全面风险管理办法(集团) 专业规范 2 内部控制评价办法(集团,股份)3 风险评估办法(集团) (经过三个部门审核) 4 重大风险季度监控实施细则(集团) 已下发 5 内部控制手册(股份)(科尔尼)6 自我评估手册(股份)(科尔尼)7 经济本质安全管理体系总体架构(集团)(业务 领域风险管理、实施评估风险,应对 ) 内控审计部三、内控与风险管理体系建设经验总结专项实务 8 内部控制评价标准(包括禁止性规定、不相容职务分离建议)(集团、股份)(德勤) 指南 9 内部控制自我
