2014年4月 构建以全面风险管理为核心的内部管控体系 恩歌源集团内部培训 房地产新政与地产宏观大势资源竞争资本竞争管理竞争 向管理要效益 具体项目操作能力 各专业的管理能力 企业综合管理能力 专业间的集成能力 四象限法 波士顿矩阵 认识恩歌源 集团核心业务 建设 科技 集团核心业务基础 保饭碗地产 求发展科技 拼机遇 农业 农业 认识恩歌源 集团核心竞争力 硬实力 发展力 战略决策优势商业模式优势相对优势 务实 团结 灵活 业务布局 传统产业 新兴产业 管理优势企业文化 什么是风险 风险在哪里 案例分析 安然公司 财务造假 巴林银行 高风险业务 TCL海外并购的失败 并购风险 三九集团多元化之路 盲目扩张 富士康采购控制漏洞 控制漏洞 串通舞弊 龙岗舞王俱乐部火灾 没有风险预案 2008胶济铁路火车相撞事故 执行不力 海恩法则 天灾VS人祸 四不放过原则 某集团高管贪污 职责分离不明 不受控制岗位存在 回顾事件发生的经过 了解引致公司倒闭或严重损失的内控缺陷 从案例中吸取的教训 欺诈 舞弊 渎职 决定了管理成效与企业命运 取决于管理层的认识 风险管理体系 全面风险管理 HSE体系 内控体系建设 什么是风险 什么是风险管理 2006年国资委 中央企业全面风险管理指引 第三条 本指引所称企业风险 指未来的不确定性对企业实现其经营目标的影响 企业风险一般可分为战略风险 财务风险 市场风险 运营风险 法律风险等 也可以能否为企业带来盈利等机会为标志 将风险分为纯粹风险 只有带来损失一种可能性 和机会风险 带来损失和盈利的可能性并存 第四条 本指引所称全面风险管理 指企业围绕总体经营目标 通过在企业管理的各个环节和经营过程中执行风险管理的基本流程 培育良好的风险管理文化 建立健全全面风险管理体系 包括风险管理策略 风险理财措施 风险管理的组织职能体系 风险管理信息系统和内部控制系统 从而为实现风险管理的总体目标提供合理保证的过程和方法 风险处理策略 风险策略避免禁止交易减少或限制交易量离开市场转移套期保险策略性联盟其他分担风险的安排 降低投资广泛保护的安排订价反映风险程度承担自我保险预留储备增加监督 什么是内部控制 2008年五部委委 企业内部控制基本规范 第三条本规范所称内部控制 是由企业董事会 监事会 经理层和全体员工实施的 旨在实现控制目标的过程 内部控制的目标是合理保证企业经营管理合法合规 资产安全 财务报告及相关信息真实完整 提高经营效率和效果 促进企业实现发展战略 2006上交所 上海证券交易所上市公司内部控制指引 第二条内部控制是指上市公司 以下简称公司 为了保证公司战略目标的实现 而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排 它是由公司董事会 管理层及全体员工共同参与的一项活动 内部审计定义 中国内部审计协会 内部审计 是一种独立 客观的确认和咨询活动 它通过运用系统 规范的方法 审查和评价组织的业务活动 内部控制和风险管理的适当性和有效性 以促进组织完善治理 增加价值和实现目标 案例分析 案例分析 安然公司 财务造假 巴林银行 高风险业务 TCL海外并购的失败 并购风险 三九集团多元化之路 盲目扩张 富士康采购控制漏洞 控制漏洞 串通舞弊 龙岗舞王俱乐部火灾 没有风险预案 回顾事件发生的经过了解引致公司倒闭或严重损失的内控缺陷从案例中吸取的教训 欺诈 舞弊 抵御风险的三道屏障 业务层 内部控制 财务层 风险管理 审计层 风险评价 控制与效率的矛盾统一 目录 目录 企业内部的一个独立机构 内部审计的目的 服务于集团战略 有效监管各类风险 通过检查 评估组织内部的各项活动 评估其效果和效率 进行原因分析 提供咨询建议 为什么要有内部审计 集团公司规模的日益扩大机构和其业务的日益复杂协助管理层更有效地履行其责任提高企业的运作效率并增强其活动的附加值 什么是内部审计 内部审计定义 中国内部审计协会 内部审计 是一种独立 客观的确认和咨询活动 它通过运用系统 规范的方法 审查和评价组织的业务活动 内部控制和风险管理的适当性和有效性 以促进组织完善治理 增加价值和实现目标 审计法规内审准则 审计法律法规内部审计准则 中华人民共和国审计法 中华人民共和国审计法实施条例 审计署关于内部审计工作的规定 内部审计基本准则 上市公司内部审计工作指引 企业内部控制基本规范 作为内部员工 由管理层选派指定 作为外部聘请的专业人员 由股东大会选派指定 由管理层决定需要 由注册会计师协会及其他资格认定机构确定 只有作为内部职工的权利 由相关法律规定 由管理层决定 如防错纠弊 效率考察等 对财务报表发表真实公允的审计意见 由管理层决定 不应受到任何限制 对审计委员会 董事会或其他内部机构 不具鉴证作用 对董事会或股东大会报告 所出具报告具有鉴证作用 仅独立于被审计的机构 既独立于委托人 又独立于被审计机构 内部审计与外部审计的比较 第一代 1980之前 第二代 80年代 第三代 90年代 第四代 21世纪 控制 企业风险 企业风险管理流程 控制结构 出发点是已有的流程 程序和控制 以符合性测试为主 出发点是财务风险和符合性风险 确定应该存在的控制 审计目的是评估控制的设计 运行效果和合规性 出发点是对企业和各种风险的充分理解 确定应该存在的控制 审计目的是评估控制的设计 运行效果和合规性 确定应该存在的能有效控制风险的企业风险管理流程 评估在各个企业风险管理流程的设计 运行效果和合规性 内部审计的演变历史 出发点是对企业和各种风险的充分理解 查错纠弊向全面风险管理审计延伸 内部审计在现代企业中的角色和职能转变 财务审计向全面内部控制审计延伸 事后审计向业务管理事中 事前审计延伸 监督型审计 服务型审计 增值型审计 防范风险 增加价值 存货盘点 发询证函 指标考核 符合性测试 价值评估 效率考察 协助外审 咨询建议 内审在现代企业中的角色和职能 企业内部活动的再监督防错纠弊的检察员监控企业运作和资源使用的效率和效果协助外部审计人员风险管理咨询 保护资产遵守政策 机会 程序和法律法规对经营或项目的设定目标的完成情况 内部审计在现代企业中的角色 企业内部活动的监督者 防错纠弊的检察员 舞弊是如何发生的怎样改正内部控制中导致舞弊的缺陷怎样杜绝未来舞弊的发生比发现舞弊更好的是通过有效的控制防止舞弊 通过检查和评价控制的有效性 完备性以及执行分配责任的质量来确保 机构内部控制系统的有效性和完备性信息的可靠性和一致性 有效地运用资源制定经营标准根据经营标准评价效率识别并报告低效使用 内部审计在现代企业中的角色 监控企业运作和资源使用的效率和效果 内部审计与单位管理层的关系 相对独立 绝对服务协同 帮助 而非对立发现事项 改进建议须得到管理层的同意 而非命令内审的价值不仅是发现问题还要提出可行的建议 协助管理层解决问题 理解期望 分析相关程序及风险 汇报结果 确认相关程序及风险 跟踪 理解 分析经营状况 确认控制弱点 原因 补救措施 内部审计过程简介 与管理层讨论 Discussion 实地观察 Observation 审阅书面资料 Inspection 抽样测试 Sampling 基本审计方法 休息一下 审计工作总体思路 目标 确保集团战略目标的实现 具体包括经营效率性 财务信息真实性 资产安全性 内控有效性和反舞弊等子目标 核心 建立以全面风险管理为导向的内部控制体系抓手 以高管理解并重视为前提 以目标考核为抓手原则 适合性原则 成本效益原则 前瞻性原则重点工作 1 以综合目标考核为基础的经济性审计 成立考核小组 明确下达业绩目标 考核目标实现情况 定 赏罚 重激励 2 以全面风险管理为核心的内控审计 明确管理目标 将制度流程的完善性 有效性作为组织考核的一项内容 定规范 重养成执行力 3 以反舞弊等专项组织的专项审计 建立反反舞弊机制 形成廉明的风尚 定 赏罚 重惩戒 4 完成其他审计监察内容及领导交代的工作 工程监察审计 合同监察审计等 什么是风险 什么是风险管理 2006年国资委 中央企业全面风险管理指引 第三条 本指引所称企业风险 指未来的不确定性对企业实现其经营目标的影响 企业风险一般可分为战略风险 财务风险 市场风险 运营风险 法律风险等 也可以能否为企业带来盈利等机会为标志 将风险分为纯粹风险 只有带来损失一种可能性 和机会风险 带来损失和盈利的可能性并存 第四条 本指引所称全面风险管理 指企业围绕总体经营目标 通过在企业管理的各个环节和经营过程中执行风险管理的基本流程 培育良好的风险管理文化 建立健全全面风险管理体系 包括风险管理策略 风险理财措施 风险管理的组织职能体系 风险管理信息系统和内部控制系统 从而为实现风险管理的总体目标提供合理保证的过程和方法 什么是内部控制 2008年五部委委 企业内部控制基本规范 第三条本规范所称内部控制 是由企业董事会 监事会 经理层和全体员工实施的 旨在实现控制目标的过程 内部控制的目标是合理保证企业经营管理合法合规 资产安全 财务报告及相关信息真实完整 提高经营效率和效果 促进企业实现发展战略 20世纪70至80年代 1977年美国国会 反海外贿赂法案 1979年SEC 管理层对内部会计控制的公告 提案 1988年SEC 第34 25925号提案 管理层责任报告 20世纪60年代之前 1933年 格拉斯斯蒂尔法案 1939年AICPA第1号 审计程序公告 1940年美国SEC要求CPA在审计报告里增加内控审查的内容 1949年AICPA出版 内部控制 体系要素及对管理层和会计师的意义 50年代美国CAP制定审计准则将内控评价作为财报审计的必要程序 20世纪90年代 1991年美国国会 联邦储蓄保险公司改善法 1992年COSO委员会 内部控制框架 1993年AICPA发布SSAE2 财报内控的审核 21世纪10年代 2002年美国国会 萨班斯奥克斯利法案 2004年COSO委员会 风险管理框架 21世纪10年代之后 全球内部控制和风险管理标准的融合 国外内控与风险管理的发展路径 20世纪70至80年代 1988年财政部 CPA检查验证会计报表规则 试行 第二十六条 20世纪60年代之前 20世纪90年代 1996年中注协 独立审计具体准则第9号 内部控制与审计风险 21世纪10年代 2002年中注协 内部控制审核指导意见 2003年审计署 审计机关内控测评准则 2006年国资委 中央企业全面风险管理指引 2008年五部委 企业内部控制基本规范 21世纪10年代之后 2010年五部委 企业内部控制配套指引 国内内控与风险管理的发展路径 国际风险管理与内控的主要标准 国际内控与风险管理的主要标准 内部控制基本框架 COSOI 一套由董事会 管理层及其它相关人员共同实施的程序 以合理确保下列各项的目标得以实现 b 适用法律法规的合规性 a 财务报告的可靠性 c 经营活动的效率和效果 内部环境 风险评估 控制活动 信息与沟通 监督 经营 报告 合规 COSO内部控制框架的结构及对内部控制的定义 内部控制基本框架 COSOI COSO内部控制框架的意义 将内部控制从有限的财务报告扩展到企业经营及法律遵循等广阔的领域 为管理层提供了一系列的实用工具 提供了一个能适用于不同用户需求的内部控制概念 被理论界和实务界广泛接受 从而提供了一个可以共同理解的概念和实践平台 首次将内部控制理论体系从平面结构发展为立体结构 形成了坚实的内部控制理论框架体系 提出了内部控制的本质是合理保证实现特定目标的过程 首次将风险评估和信息沟通作为基本构成要素引入内部控制领域 提供了一套完成的内部控制评价标准 该标准适用于任何公司和其他类型或性质的组织 在内部控制有效性评价方面取得革命性的突破 前所未有的强调环境 人和资源配置的重要性 风险管理基本框架 COSOII 风险管理是一种程序 由企业的董事会 管理层和其他成员共同使其生效 用以对以下目标的实现提供合理的保证 b 适用法律法规的合规性 a 财务报告的可靠