《07第六章风险管理的监督与改进(德勤.pptx》由会员分享,可在线阅读,更多相关《07第六章风险管理的监督与改进(德勤.pptx(49页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 风险管理的监督与改进风险管理的监督与改进德勤华永会计师事务所2006年8月 2培训内容培训内容q第一部分:本章概述第一部分:本章概述q第二部分:逐条讲解第二部分:逐条讲解q第三部分:重点回顾第三部分:重点回顾 3第一部分:本章概述第一部分:本章概述前面各章内容的回顾前面各章内容的回顾本章内容的概要本章内容的概要如何对风险管理进行如何对风险管理进行监督和改进?监督和改进?企业如何落实风险管理的企业如何落实风险管理的监督和改进?专业机构可监督和改进?专业机构可以起到什么作用?以起到什么作用?企业各部门在风险管理监企业各部门在风险管理监督和改进中各自应负的职督和改进中各自应负的职责?责?4培训内容
2、培训内容q第一部分:本章概述第一部分:本章概述q第二部分:逐条讲解第二部分:逐条讲解q第三部分:重点回顾第三部分:重点回顾 5第二部分:逐条讲解第二部分:逐条讲解第六章第六章 监督与改进监督与改进第三十六条概述性描述第三十六条概述性描述第三十七条建立信息沟通渠道第三十七条建立信息沟通渠道第三十八条各相关部门与业务单位的责任第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第三十九条风险管理职能部门的责任第第 四十四十 条内部审计部门的责任条内部审计部门的责任 第四十一条专业机构的参与第四十一条专业机构的参与 6第三十六条监督与改进的概括性描述“企业应以重大风险、重大事件和重大
3、决策、重要管理及业务流程为重点,对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督,采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。”1.1.监督与改进在风险管理体系中的重监督与改进在风险管理体系中的重要性要性2.2.监督与改进的实质监督与改进的实质3.3.监督与改进的对象、内容及结论监督与改进的对象、内容及结论4.4.监督风险管理有效性的方法监督风险管理有效性的方法 7监督与改进在风险管理体系中的重要性监督与改进在风险管理体系中的重要性控制活动控制活动目标设定目标设定事项识别
4、事项识别风险评估风险评估风险应对风险应对内部环境内部环境信息与沟通信息与沟通监督监督内部环境包括组织基调,它为企业人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。基于基于COSOCOSO模型的企业风险管理八要素模型的企业风险管理八要素:管理当局只有预先设定目标来能识别影响目标实现的潜在事项。管理层采取适当的程序设定目标,确保目标支持和切合企业使命,并且与企业的风险容量相符。必须识别影响主体目标实现的内部和外部事项,区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。通过考虑风险的可能性和影响来对风险加以分析,并以此作为决定如何进行
5、管理的依据。风险评估应立足于固有风险和剩余风险。风险应对回避、承受、降低分担风险采取一系列行动把风险控制在主体的风险承受力和风险容量以内。制订和执行政策与程序以确保风险应对得以有效实施。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。对企业风险管理的实施效果进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。8监督和改进在风险管理体系中的重要性监督和改进在风险管理体系中的重要性(续)续)引自引自COSO ERMCOSO ERM框架框架考虑考虑 企业各个层面企业各个层面的活动的活动企
6、业风险管理的企业风险管理的8 8要素要素可在可在4 4个范畴内审阅个范畴内审阅 确保及时执行确保及时执行风险管理风险管理活动的政策和流程活动的政策和流程对影响企业绩效的内对影响企业绩效的内外部因素的评估外部因素的评估企业的控制意识,企业的控制意识,“来自高层的声音来自高层的声音”判定内部控制判定内部控制设计设计、执行执行充分性、充分性、有有效性效性和和适应性适应性的流程的流程持续监控持续监控控制活动控制活动风险响应风险响应风险评估风险评估目标设定目标设定事件辨别事件辨别信息与沟通信息与沟通确保确保及时及时识别并传达识别并传达相关信息相关信息的流程的流程 9监督和改进的实质监督和改进的实质监督和
7、改进的实质是关注风险管理的目标、深思熟虑的对风险管理进行分析、集中发现关于重大风险、重大事件、重要管理及业务流程的风险管理的缺陷、并根据变化情况进行改进,持续提升风险管理水平。关注风险管理的关注风险管理的目标目标分析风险管理实分析风险管理实施的有效性施的有效性发现并传递重大发现并传递重大风险风险管理缺陷管理缺陷持续提升风险管持续提升风险管理水平理水平根据变化情况及根据变化情况及时加以改进时加以改进监督和改进的实质监督和改进的实质执行相关测试和执行相关测试和自我评估自我评估 10监督的对象、重点及结论监督的对象、重点及结论监督的重点监督的重点监督的对象监督的对象1.1.风险管理初始信息风险管理初
8、始信息 2.2.风险评估风险评估 3.3.风险管理策略风险管理策略 4.4.关键控制活动关键控制活动 5.5.风险管理解决方案风险管理解决方案 1.1.重大风险重大风险2.2.重大事项和重大决策重大事项和重大决策3.3.重要管理及业务流程重要管理及业务流程风险管理活动是风险管理活动是否有效否有效结论结论改进改进即管理层和董事会是否能在以下四个方面得到合理保证:了解企业战略目标实现的程度了解企业经营目标实现的程度企业财务报告的可靠性企业对相关法律法规的遵守 11以重大风险、重大事件和重大决策、重要管理及业务流程为重点以重大风险、重大事件和重大决策、重要管理及业务流程为重点高影响高影响低发生可能性
9、低发生可能性低影响低影响低发生可能性低发生可能性高影响高影响高发生可能性高发生可能性低影响低影响高发生可能性高发生可能性对实现商业对实现商业目标的影响目标的影响风险发生的可能性风险发生的可能性低低灾难灾难性的性的影影响响不不大大高高 12监督风险管理有效性的方法监督风险管理有效性的方法压力测试压力测试返回测试返回测试穿行测试穿行测试风险控制风险控制自我评估自我评估 4指在极端情景下,分析评估风险管理模型或内控流程的有效性,发现问题,制定改进措施的方法,目的是防止出现重大损失事件。4将历史数据输入到风险管理模型或内控流程中,把结果与预测值对比,以检验其有效性的方法。4在正常运行条件下,将初始数据
10、输入内控流程,穿越全流程和所有关键环节,把运行结果与设计要求对比,以发现内控流程缺陷的方法。4风险控制自我评估(RSA)是一种新兴的技术和方法,即公司为更好地实现风险管理的目标,定期或不定期地评价自己及子公司的风险管理系统、风险管理的有效性及风险管理实施的效率效果。13第二部分:逐条讲解第二部分:逐条讲解第三十六条监督与改进的概述第三十六条监督与改进的概述第三十七条建立信息沟通渠道,奠定监督基础第三十七条建立信息沟通渠道,奠定监督基础第三十八条各相关部门与业务单位的责任第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第三十九条风险管理职能部门的责任第四十条第四十条 内部审计
11、部门的责任内部审计部门的责任 第四十一条专业机构的参与第四十一条专业机构的参与 14第三十七条建立信息沟通渠道第三十七条建立信息沟通渠道“企业应建立贯穿于整个风险管理基本流程,连接各上下级、各部门和业务单位的风险管理信息沟通渠道,确保信息沟通的及时、准确、完整,为风险管理监督与改进奠定基础。”1.1.风险管理信息沟通的必要性风险管理信息沟通的必要性2.2.对风险管理信息沟通的要求对风险管理信息沟通的要求3.3.建设信息沟通渠道的具体措施建设信息沟通渠道的具体措施 15风险管理信息沟通的必要性风险管理信息沟通的必要性引自引自COSO ERMCOSO ERM框架框架考虑考虑 企业各个层面企业各个层
12、面的活动的活动企业风险管理的企业风险管理的8 8要素要素可在可在4 4个范畴内审阅个范畴内审阅 确保及时执行确保及时执行风险管理风险管理活动的政策和流程活动的政策和流程对影响企业绩效的内对影响企业绩效的内外部因素的评估外部因素的评估企业的控制意识,企业的控制意识,“来自高层的声音来自高层的声音”判定内部控制判定内部控制设计设计、执行执行充分性、充分性、有有效性效性和和适应性适应性的流程的流程持续监控持续监控控制活动控制活动风险响应风险响应风险评估风险评估目标设定目标设定事件辨别事件辨别信息与沟通信息与沟通确保确保及时及时识别并传达识别并传达相关信息相关信息的流程的流程 16对风险管理信息沟通的
13、要求对风险管理信息沟通的要求传递的内容:传递的内容:以重大风险、重大事件和重大决策、重要管理及业务流程为重点,传递风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况。传递的要求:传递的要求:及时及时保证把重要相关信息在应该被传递的时间传递到相关部门和岗位准确准确保证把重要风险管理信息不被修饰或改变地传递到相关部门和岗位完整完整保证把应该传递的信息不打任何折扣地传递到相关部门和岗位沟通频率高、方式随意沟通频率高、方式随意具有沟通所需的物质条件具有沟通所需的物质条件完善的沟通制度和系统完善的沟通制度和系统全方位的信息共享全方位的信息共享 17建设信息沟通渠道的具体措
14、施建设信息沟通渠道的具体措施管理层定期向董事会就最新的业绩、发展、风险、重要事件或事故等问题进行汇报。公司管理层定期或不定期召开各种会议,及时与相关职能部门领导、各业务单位负责人就生产、运营情况进行沟通、交流;财务部门定期向各部门交流和通报财务状况、经营成果、预算执行情况等。财务部门定期将应收帐款情况反馈给销售部门和清欠办公室。员工除了正常向直属上级汇报工作的沟通渠道外,还可以通过电话、邮件、面谈各种方式与本单位主要领导和纪检、监察部门进行直接沟通,提出合理化建议和要求、反映违纪和舞弊问题等。各部门定期组织对本部门员工的定期培训,使员工清楚他的目标及他的职责和别人的职责如何相互影响;人事部门根
15、据公司制定的各种业绩考核办法组织对各级人员进行业绩考核,并及时将考核结果反馈给被考核人,有效检查各级人员对其职责的理解和有效控制明确职责和有效控制明确职责和有效控制内部沟通与交流内部沟通与交流 18第二部分:第二部分:指引指引讲解讲解第三十六条监督与改进的概述第三十六条监督与改进的概述第三十七条建立信息沟通渠道,奠定监督基础第三十七条建立信息沟通渠道,奠定监督基础第三十八条各相关部门与业务单位的责任第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第三十九条风险管理职能部门的责任第四十条第四十条 内部审计部门的责任内部审计部门的责任 第四十一条专业机构的参与第四十一条专业机构
16、的参与 19第三十八条各相关部门与业务单位的责任第三十八条各相关部门与业务单位的责任“企业各有关部门和业务单位应定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应及时报送企业风险管理职能部门。”1.1.各相关部门与业务单位是对风险各相关部门与业务单位是对风险管理进行监督的第一道防线管理进行监督的第一道防线2.2.如何进行自查和检查如何进行自查和检查3.3.缺陷报告和改进措施缺陷报告和改进措施 20各相关部门和业务单位是对风险管理进行监督的第一道防线各相关部门和业务单位是对风险管理进行监督的第一道防线各相关部门和业务单位各相关部门和业务单位风险管理职能部门和董事会下风险管理
17、职能部门和董事会下设的风险管理委员会设的风险管理委员会 内部审计部门和董事会下设的内部审计部门和董事会下设的审计委员会审计委员会 风险管理的三道防线风险管理的三道防线定期自查和检验并汇报检查、检验并评价出具评价和建议报告 监督评价 21风险管理中各部门的职责分工质量控制各相关职能部门和业务单位各相关职能部门和业务单位审计委员会审计委员会CEO/CFOCEO/CFO风险管理流程所有者风险管理流程所有者 中介机构中介机构共同组建项目组风险管理委员会风险管理委员会 (ICC)(ICC)风险管理评估报告项目执行技术专家公司层面控制项目组业务层面控制项目组信息系统控制项目组内部审计师内部审计师 22各相
18、关部门和业务单位如何进行自查和检查各相关部门和业务单位如何进行自查和检查获得风险管理执行的证据获得风险管理执行的证据 获得外部对内部信息的反映和印证获得外部对内部信息的反映和印证定期核对会计记录与实物资产定期核对会计记录与实物资产对外部审计师提出的建议作出响应对外部审计师提出的建议作出响应建立相关渠道获得风险管理的反馈信息建立相关渠道获得风险管理的反馈信息监督员工对道德规范的遵守情况和是否执行了监督员工对道德规范的遵守情况和是否执行了控制活动控制活动 23缺陷报告和改进措施缺陷报告和改进措施 部门和业务单位应将风险管理的缺陷向直接负责人、至少高一级别的人,以及风险管理部门汇报,但特殊类型的缺陷
19、必须直接向高级管理层和董事会汇报。识别出错误交易或行为识别出错误交易或行为针对问题的根本原因针对问题的根本原因进行调查进行调查实施跟进,确保必要的纠正措实施跟进,确保必要的纠正措施得到实施施得到实施识别高风险区域识别高风险区域防范误区:防范误区:“他律他律”24第二部分:逐条讲解第二部分:逐条讲解第三十六条监督与改进的概述第三十六条监督与改进的概述第三十七条建立信息沟通渠道,奠定监督基础第三十七条建立信息沟通渠道,奠定监督基础第三十八条各相关部门与业务单位的责任第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第三十九条风险管理职能部门的责任第第 四十四十 条内部审计部门的责
20、任条内部审计部门的责任 第四十一条专业机构的参与第四十一条专业机构的参与 25第三十九条风险管理职能部门的责任第三十九条风险管理职能部门的责任“企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验,要根据本指引第三十条要求对风险管理策略进行评估,对跨部门和业务单位的风险管理解决方案进行评价,提出调整或改进建议,出具评价和建议报告,及时报送企业总经理或其委托分管风险管理工作的高级管理人员。”1.1.对风险管理策略进行定期评估对风险管理策略进行定期评估2.2.对各部门和业务单位风险管理工作实对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验施情况和有效性
21、进行检查和检验3.3.对跨部门和业务单位的风险管理解决对跨部门和业务单位的风险管理解决方案进行评价方案进行评价4.4.风险管理职能部门的报告路线风险管理职能部门的报告路线 26对风险管理策略进行定期评估对风险管理策略进行定期评估什么是风险管理策什么是风险管理策略?略?4指引第二十六条明确规定:“风险管理策略是指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。”谁来制定风险管理谁来制定风险管理策略?策略?4
22、董事会及其下属的风险管理委员会应当负责制定风险管理策略。怎样管理风险管理怎样管理风险管理策略?策略?4指引第三十条中明确规定:“企业应定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断修订和完善。其中,应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。”风险管理职能部门风险管理职能部门作为其支持机构的作为其支持机构的主要职责?主要职责?4保证风险管理策略得以遵循和落实,负责协同有关部门制定具体执行办法和风险管理解决方案;4随时审视公司的经营环境、发展战略和业务开展等重要风险因素的变化,对风险管理策略是否合理和适用做出判断,必要时做
23、出调整建议;4定期总结汇报企业风险因素的变化情况和风险管理的各方面工作,为其决策提供全面的信息支持。27对风险管理工作实施情况和有效性进行检查和检验对风险管理工作实施情况和有效性进行检查和检验有效性合理性适用性定期审查定期审查各部门的各部门的风险管理风险管理工作工作公司总体风险管理状公司总体风险管理状况的报告况的报告 28对跨部门和业务单位的风险管理解决方案进行评价对跨部门和业务单位的风险管理解决方案进行评价风险管理部门应当定期评价风险管理方案的适当性、合理性和有效性,从以下两个方面着手:一是审视风险管理解决方案的执行情况,了解其中的问题,提出调整和改进建议,保证有效性;二是根据风险管理策略的
24、变化做出调整建议,保证其适用性。风险管理解决方案一般应包括风险解决的具体目标,所需的组织领导,所涉及风险管理解决方案一般应包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具取的具体应对措施以及风险管理工具(如:关键风险指标管理、损失事件管理如:关键风险指标管理、损失事件管理等等)。(见。(见指引指引第三十一条)第三十一条)29风险管理职能部门的报告路线风险管理职能部门的报告路线董事会及其下设的风险管理委员董事会及其下设的风险管理委员
25、会会 总经理或主管副总总经理或主管副总风险管理职能部门风险管理职能部门 30小结小结 作为企业风险管理的专业部门,风险管理部门的职责应当体现风险管理流程的各个环节,主要包括以下各个方面:收集风险管理初始信息,掌握企业面临的风险状况采用专业并适用的系统评估方法进行风险评估协调风险管理的内部各方的工作,保证各项工作有效开展合理利用外部专业机构的服务,提高风险管理专业性,保证工作的效率和效果 31第二部分:逐条讲解第二部分:逐条讲解第三十六条监督与改进的概述第三十六条监督与改进的概述第三十七条建立信息沟通渠道,奠定监督基础第三十七条建立信息沟通渠道,奠定监督基础第三十八条各相关部门与业务单位的责任第
26、三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第三十九条风险管理职能部门的责任第第 四十四十 条内部审计部门的责任条内部审计部门的责任 第四十一条专业机构的参与第四十一条专业机构的参与 32第四十条内部审计部门的责任第四十条内部审计部门的责任“企业内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价,监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。此项工作也可结合年度审计、任期审计或专项审计工作一并开展。”1.1.回顾内部审计的定义回顾内部审计的定义2.2.内部审计在风险管理
27、监督中的职责内部审计在风险管理监督中的职责3.3.内部审计对风险管理监督结果的报告路线内部审计对风险管理监督结果的报告路线4.4.内部审计在风险管理监督中的工作方法内部审计在风险管理监督中的工作方法 33内部审计定义回顾内部审计定义回顾内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营x效益。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。第一代(1980之前)第二代(80年代)第三代(90年代)第四代(21世纪)控制控制企业风险企业风险企业风险管理流程企业风险管理流程控制结构控制结构 出发点是已有的流程、程序和控制 以符合性测试
28、为主 出发点是财务 风险和符合性 风险 确定应该存 在的控制 审计目的是评 估控制的设计、运行效果和合 规性 出发点是对企 业和各种风险 的充分理解 确定应该存 在的控制 审计目的是评 估控制的设计、运行效果和合 规性 确定应该存在的能 有效控制风险的企 业风险管理流程 评估在各个企业 风险管理流程的 设计、运行效果 和合规性 出发点是对企业和 各种风险的充分理 解 34内部审计职能的转变内部审计职能的转变财务报表审计财务报表审计离任审计离任审计审慎性复核审慎性复核前瞻性前瞻性前瞻性前瞻性ProactiveProactiveProactiveProactive过去过去内审的改变内审的改变未来未
29、来被动性被动性被动性被动性ReactiveReactiveReactiveReactive内部控制内部控制风险管理风险管理公司治理公司治理 35内部审计在现代企业中的新角色内部审计在现代企业中的新角色存货盘点发询证函指标考核符合性测试价值评估效率考察协助外审咨询建议.企业内部控制有效的有企业内部控制有效的有效组成部分效组成部分 防错纠弊的检察员防错纠弊的检察员 监控企业运作和资源使监控企业运作和资源使用的效率和效果用的效率和效果 协助外部审计协助外部审计 风险管理咨询风险管理咨询 36内部审计在风险管理监督中的职责内部审计在风险管理监督中的职责内部审计作为整个风险管理监督的最后一道防线,它的职
30、责是:防范误区:内部审计对风险管理的监督职责不能替代风险管理职能部门的工作,更不能替代业务部门对风险管理进行监督和改进的职责。在目前国内的企业中,很容易把这些监督职责全部放到内部审计的头上,致使内部审计越俎代庖。确保业务部门自己进行有效的风险管理(包括自己对所从事业务的风险管理的监督与改进)确保风险管理职能部门确实履行了自己对风险管理进行监督与改进的职责,是对公司整体风险管理的独立可观的监督。37内部审计对风险管理监督结果的报告路线内部审计对风险管理监督结果的报告路线内部审计对风险管理监督结果应直接报告给董事会或董事会下设的风险管理委员会和审计委员会各相关部门和业务单位各相关部门和业务单位风险
31、管理职能部门和董事会下风险管理职能部门和董事会下设的风险管理委员会设的风险管理委员会 内部审计部门和董事会下设的内部审计部门和董事会下设的审计委员会审计委员会 风险管理的三道防线风险管理的三道防线定期自查和检验并汇报检查、检验并评价出具评价和建议报告 监督评价 38内部审计在风险管理监督中的工作方法内部审计在风险管理监督中的工作方法内部审计的主要工作是确保业务部门和风险管理职能部门能够识别出企业的重大风险并对这些重大风险进行了有效管理。关注企业的重大风险,不能平均用力关注企业的重大风险,不能平均用力关注企业的重大风险,不能平均用力关注企业的重大风险,不能平均用力。39第二部分:逐条讲解第二部分
32、:逐条讲解第三十六条监督与改进的概述第三十六条监督与改进的概述第三十七条建立信息沟通渠道,奠定监督基础第三十七条建立信息沟通渠道,奠定监督基础第三十八条各相关部门与业务单位的责任第三十八条各相关部门与业务单位的责任第三十九条风险管理职能部门的责任第三十九条风险管理职能部门的责任第第 四十四十 条内部审计部门的责任条内部审计部门的责任 第四十一条专业机构的参与第四十一条专业机构的参与 40第四十一条专业机构的参与第四十一条专业机构的参与“企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价,出具风险管理评估和建议专项报告。报告一般应包括以下几方面的实施情况、存在缺
33、陷和改进建议:(一)风险管理基本流程与风险管理策略;(二)企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设;(三)风险管理组织体系与信息系统;(四)全面风险管理总体目标。”1.1.国有企业实施全面风险管理的难点国有企业实施全面风险管理的难点2.2.专业中介机构参与这项工作的必要性专业中介机构参与这项工作的必要性3.3.专业中介机构的工作内容和方法专业中介机构的工作内容和方法4.4.专业咨询机构参与企业风险管理监督的专业咨询机构参与企业风险管理监督的成功要素成功要素 41国有企业实施全面风险管理的难点国有企业实施全面风险管理的难点目前,在美国上市的中国公司已经开始按照萨班
34、斯法案404条款的要求建立全面的内部控制体系,如中海油、中国石油、中国联通、中国铝业、华能电力、中国人寿等。根据德勤的项目经验,国有企业目前实施全面风险管理的难点主要是:目标设定目标设定 未设定具体控制目标风险评估风险评估无正式风险评估程序控制措施控制措施不正规不标准或没有证据支持的控制措施控制文件不完整,如不完整或过时的政策和程序缺乏对主要业务环节/程序/目标/风险/控制的全面分析不符合COSO标准的控制框架内部审计不完全独立,更像一个特别财务项目小组 测试方法测试方法 缺乏正式的测试方法来支持管理层对内控的评估 42国有企业实施全面风险管理的难点(续)国有企业实施全面风险管理的难点(续)内
35、部控制整体框架内部控制整体框架 仅仅认为内控是在业务层面,忽略了公司层面和IT基础层面的内控 内控目标内控目标 很多中国企业思考的内控目标也囿于财务报告可靠性而忽略运营效果&效率和合规性目标,使得内部控制仅仅限制在财务会计部门,成为一种纯粹的会计控制,因此无法延伸到整个企业的各个流程内部,进而演变为一种管理文化。实施方法实施方法 很多企业尚未建立流程企业的观念,建立内控体系时仍然按照职能部门展开。内部审计内部审计 缺乏强有力的内部审计部门来评估内部控制设计的合理性和执行的有效性内控观念内控观念 很多企业思考内控时,一般都是“他律”的概念,并未考虑与“自律”的业绩管理的结合问题。信息化管理信息化
36、管理 忽略信息化在内控的应用 43培训内容培训内容q第一部分:本章概述第一部分:本章概述q第二部分:逐条讲解第二部分:逐条讲解q第三部分:重点回顾第三部分:重点回顾 44第三部分:重点回顾第三部分:重点回顾风险管理监督和改进的对象和重点风险管理监督和改进的对象和重点三道防线各自在风险管理监督和改进中的作用和职责三道防线各自在风险管理监督和改进中的作用和职责专业中介机构在风险管理监督和改进中的作用专业中介机构在风险管理监督和改进中的作用 45监督的对象监督的对象监督和改进的对象和重点监督和改进的对象和重点监督的重点监督的重点1.风险管理初始信息风险管理初始信息 2.风险评估风险评估3.风险管理策
37、略风险管理策略 4.关键控制活动关键控制活动 5.风险管理解决方案风险管理解决方案 1.重大风险重大风险2.重大事项和重大决策重大事项和重大决策3.重要管理及业务流程重要管理及业务流程风险管理活动是风险管理活动是否有效否有效结论结论改进改进 46三道防线各自在风险管理监督和改进中的作用和职责三道防线各自在风险管理监督和改进中的作用和职责风险管理流风险管理流程所有者程所有者4持续自我评估以识别风险和控制4文档记录和实施控制4识别控制差异4执行补救活动4运行和监督公司风险管理活动4维持基本结构和执行风险管理职能部门的建议4定义风险管理流程所有者和确保执行管理控制活动4报告风险管理信息4确保维持和评
38、估风险管理有效性4监督风险管理缺陷的补救措施4报告风险管理信息拥有和管理风险拥有和管理风险内部控制责任主体内部控制责任主体监视和建议监视和建议内审部门和内审部门和内审委员会内审委员会风险管理职能部门和风险管理职能部门和风险管理委员会风险管理委员会各相关部门和业务单位各相关部门和业务单位确认和确认和报告报告4向董事会报告风险管理的现状4证明各自领域风险管理的设计和执行有效性风险管理 47专业中介机构在风险管理监督和改进中的作用专业中介机构在风险管理监督和改进中的作用加强并改进项目管理成立项目管理办公室项目计划项目管理和质量保证项目结束Assertion项目计划试点、推广 、全面实施 项目结束En
39、tity-Level Process-LevelTechnology Solution SupportProgram CommunicationsProject TeamScope&PlanAssess&DefineIdentify&DocumentTest&RemediateMonitor,Certify&Assert规范和完善控制目标和控制活动内部控制手册监控程序运行控制活动并进一步改进控制目标公司层面控制流程层面控制控制活动控制矩阵 内部控制手册技术技术流程流程人员人员项目管理项目管理方法方法 落实分层责任项目组的沟通与协调培训及知识转移共同组成项目组并进行培训阶段阶段范围和计划范围和计划识别和记录识别和记录规范和完善规范和完善运行及改进运行及改进监督及报告监督及报告价值管理COSO框架价值分析风险评估IT层面控制根据客户要求以及德勤在全球的服务经验,德勤开发了风险管理咨询项目整体框架:成立项目管理办公室项目管理和质量保证 48问答问答 49演讲完毕,谢谢观看!