《企业风险管理和内部控制解读》由会员分享,可在线阅读,更多相关《企业风险管理和内部控制解读(63页珍藏版)》请在金锄头文库上搜索。
1、 企业风险管理与内部控制解读主要内容风险管理与内部控制项目概述风险管理与内部控制项目主要成果法规视角下的内部控制公司层面的内部控制业务流程层面的内部控制内部控制与业务流程变革风险管理与内部控制内部控制手册内部控制自评估机制风险管理信息系统总结第一章风险管理与内部控制项目概述项目目标风险管理与内部控制项目的目标为协助集团公司实现:风险管理与内部控制项目实施路线图项目主要工作内容搭建集团公司风险分类框架和风险库任务工作层级主要内容风险与控制现状调研与诊断集团总部二级总部三级企业与高级管理层、外籍管理人员、业务部门骨干人员开展访谈收集分析相关制度,进行分析和诊断风险识别集团总部二级总部三级企业以全球
2、化工行业通用风险库为基础参考全球及国内主要化工企业主要风险对标结果,以及央企先进经验根据风险与控制现状调研与诊断,识别战略转型期特有的风险形成为集团公司量身打造的风险分类框架和风险库开展年度风险评估,编制风险评估报告任务工作层级主要内容风险评估集团总部二级总部三级企业根据集团总部、二级总部和三级企业具体情况,经过多轮沟通确定风险评估标准组织集团总部、二级总部和三级企业各部门使用“风险评估表”进行风险评估与国际国内标杆企业识别的重大风险进行对标,分析风险评估初步结果的完整性和合理性与集团总部8名高级管理人员、二级总部6名外籍高管和3名中方高管进行访谈,对风险评估结果和重大风险排序进行沟通形成20
3、10年各级公司风险坐标图和重大风险事件清单重大风险应对思路和解决方案集团总部二级总部三级企业结合公司正在开展或拟开展的管理变革工作,落实风险管控举措对于管理变革工作尚未覆盖的领域,起草重大风险解决方案,向高级管理层进行汇报2010年度风险管理报告集团总部二级总部三级企业根据国资委对中央企业2010年度风险管理报告的要求,草拟2010年度风险管理报告,协助完成首次报送根据确认后的风险评估结果,编制二级总部和三级企业风险管理报告/总结编制内部控制指引,试点企业内部控制体系建设任务工作层级主要内容编制内部控制指引集团总部二级总部结合国资委和财政部相关要求,分别编制集团总部和二级总部内部控制指引,明确
4、内部控制目标与控制措施试点企业内部控制体系建设三级企业按业务流程开展内部控制有效性测试,针对内控薄弱环节,提出应对方案和改进建议对内控薄弱环节的改进情况进行持续监控编制内部控制手册、内部控制自评估手册和内部控制自评估文档,作为今后管理层实施内控自评估的模板建议风险管理组织体系和工作流程任务工作层级主要内容建议风险管理组织体系集团总部二级总部三级企业编制集团总部、二级总部和三级企业风险管理办法,明确集团公司及其所属单位风险管理组织体系结构、职责分工和工作流程,并统筹考虑风险管理职能在各层级企业的接口风险管理文化培育和知识转移任务工作层级主要内容风险管理和内部控制知识转移集团总部二级总部三级企业在
5、集团总部和二级总部开展了3场风险管理和内部控制基础培训、风险评估技术培训在三级企业举行了10场风险管理与内部控制专题培训,超过100位流程负责人和业务骨干参与了培训培育风险管理企业文化集团总部二级总部三级企业编制风险管理与内部控制知识百问在内部报刊上发布,提升全员对全面风险管理的正确认知,培育风险管理理念和风险管理氛围项目主要内容总结内部控制项目与其他管理变革项目项目交付成果概述项目第一阶段共形成交付成果21项,各类成果所占比例如下:第二章法规视角下的内部控制现代企业理论内部控制萨班斯法案404条款的要求在美国上市的中国公司应当遵守萨班斯法案的要求u萨班斯法案要求所有美国的上市公司要在所有与财
6、务报告有关的流程建立并维持足够的内部控制u满足萨班斯法案的第一步就是识别所有与财务报告有关的流程u外部审计师须对公司的财务报告流程的内部控制进行审计,并出具意见404条款-年度财务报告内部控制的公司管理层报告u设立并维持了足够的财务报告内控体系;u财务报告内控体系有效性的评价;u为评价财务报告内控体系而采用的评价体系的说明。我国内部控制基本规X法定要求财政部、审计署、保监会、银监会、证监会联合下发了企业内部控制基本规X,要求上市公司于2009年7月1日起开始实施,对本公司内部控制的有效性进行自我评价,披露年度自我评价报告。集团公司下属的A股上市公司根据要求需要编制内控自评估报告,同时面临外部审
7、计师对其内部控制现状的检验。2008年6月28日财政部等五部委联合发布企业内部控制基本规X及其三项配套指引企业内部控制应用指引、企业内部控制评价指引、企业内部控制审计指引,前两个指引适用于企业、监管机构、咨询方、审计师,第三个指引适用于审计师。国资委的全面风险管理要求国务院国资委2006年6月6日发布了中央企业全面风险管理指引,要求所有的中央企业根据实际情况推行企业风险管理工作。COSO内部控制整合框架VS企业风险管理整合框架内控是风险管理的重要组成部分,风险管理是内控的扩展。我国内部控制体系框架公司层面的内部控制控制环境控制环境员工守则企业的诚信和道德价值观一般通过员工行为准则来体现,它是告
8、诉企业员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。对于企业来说,首要的工作是建立一套员工能够接受和理解的诚信和道德标准,如员工行为手册;其次是必须让员工知晓和理解这些规定,这是执行的前提条件;最后就是贯彻执行。控制环境企业文化控制环境管理理念和经营风格策略类型投资/成长获利/保护收成/合并管理风格创业家经营者管理者行为特征.风险偏好者2.喜欢冒险3.讲求效率4.具有吸引力5.个人导向6.较少的控制7.创新性思维8.机会主义者1.风险计算者2.适度的冒险3.讲求效率与效果4.具有说服力5.团队建立者6.适度的控制7.适应性思维者8.分析者1.风险规避者2.较为保守3.
9、讲求效果4.依赖纪律的约束5.群体维持者6.高度控制7.推断性思考者8.务实主义者控制环境组织结构简单结构具有简单结构的企业,通常是被个人控制;组织的形态也是以个人所建立与维系的关系和做事的非正式流程为主;这种结构类型的主要问题:企业只在一定的规模以下才能正常运转,一旦超过一定规模,一个人将难当重任。职能结构优点首席执行官掌握各运行部门简化控制机制明确的职责划分在中高层管理者中有某种职能专家缺点高层管理者为事务性工作所困扰高层管理者容易忽视战略性问题较难应对组织内的多样性各职能部门之间的协调比较困难适应能力差多分部结构优点集中精力于业务领域(如产品、市场)有利于对各部门业绩的考核增减业务单位十
10、分便利有利于高级管理者将注意力放在战略问题上鼓励综合管理层的发展缺点职责不清(集权与分权的界限不清)各分部之间易发生冲突管理成本高昂部门之间的交易使管理变得复杂分部成长得过于庞大分部过多会使协调变得更为复杂化矩阵结构优点当有利益冲突时可以做出明智的选择直接交流取代了官僚主义管理层有更大的主动性参与决策使管理者有更好的发展空间缺点决策时间延长工作和任务职责不清晰成本与利润责任不明确冲突的可能性增大容易忽略主要矛盾传统组织结构的缺陷一项业务流程流经各个职能部门,环环相等,整个流程被分解部门之间在衔接中大量等待各部门增加重复劳动,大大延长了完成任务所花费的时间层次过多,管理费用和组织成本过大信息传递
11、速度过慢、信息质量较差扁平化流程型组织模型扁平化组织的目的在于改善一个组织的工作流程和作业,从而更为实际而有效地满足或超越顾客不断变化的需求。降低管理费用与组织成本提高信息质量与沟通速度减少不必要的错误、提高快速反应能力控制环境权责分配战略规划类型财务控制类型战略控制类型控制环境内部审计内部审计X围和主要领域的演变内部审计的转型方向国际注册内部审计师协会关于内部审计职责的相关规定国际内部审计师协会(IIA)新版的内部审计实务标准中,内部审计的定义发生了明显的变化。内部审计实务标准关于内部审计的两大职责:鉴证(Assurance)咨询(Consulting)风险导向内部审计的核心流程基本风险的年度审计计划:了解公司战略和业务目标确定目标程序/风险实施公司级风险评估程序排列风险优先次序确定审计X畴制定年度和长期计划风险导向的审计项目实施程序:对下属企业开展初步的风险评估了解业务流程根据业务流程中的风险确定审计重点沟通风险导向的测试计划测试关键控制对风险管理能力的评估考虑风险的基础上汇总结果海外企业-风险坐标图海外企业以风险为导向内部审计计划AUDIT PROJECTPRIORITYFREQUENCY(Years)Information Technology General Controls (ITGC)
