內部控制及風險管理內部審計的關系整合

1、內部控制、風險管理和內部控制、風險管理和內部審計的關系與整合內部審計的關系與整合2 2目錄目錄對內部控制的理解風險管理與其在企業(yè)管理中的作用內部審計及其在企業(yè)管理中的作用內部控制、風險管理和內部審計的關系與整合風險導向的內部控制體系的構建內部控制的演變和發(fā)展趨勢內部控制的演變和發(fā)展趨勢3 3COSOCOSO內部控制內部控制整體框架整體框架內控評價內控評價內部審計內部審計進展進展40年代前年代前4070年代年代8090年代年代90年代后年代后2002年后年后2006年后年后內部牽制內部牽制-實物牽制-薄記牽制內部控制內部控制結構完善結構完善-控制環(huán)境-會計系統(tǒng)-控制程序-建立內控-數(shù)據(jù)準確一致-

2、內控可靠性以風險為以風險為導向的內導向的內部控制部控制廣義內控廣義內控長期性長期性持續(xù)性持續(xù)性后薩班后薩班薩班斯薩班斯 斯時代斯時代法案法案-法律責任-控制環(huán)境 -與財務報-風險評估 告相關的-控制活動 內部控制-信息溝通-持續(xù)監(jiān)控內部控制的作用內部控制的作用4 4良好的內部控制會良好的內部控制會: : 降低舞弊的可能 獲得(或重獲)投資者的信心 遵守法律和法規(guī) 降低資源流失的風險 以更高質量和更及時的信息優(yōu)化業(yè)務決策 暴露經(jīng)營中的低效環(huán)節(jié)薄弱的內部控制會薄弱的內部控制會: : 提高舞弊發(fā)生的可能 錯誤的財務報表 不良的公眾形象 對股東價值的負面影響 招致證券監(jiān)管機構制裁 訴訟或者其他法律糾紛

3、 資產的流失 經(jīng)營決策不能最優(yōu)化內部控制不是靜止的，是會隨著時間的流逝和經(jīng)驗的增加而不斷進步。5 5目錄目錄對內部控制的理解風險管理與其在企業(yè)管理中的作用內部審計及其在企業(yè)管理中的作用內部控制、風險管理和內部審計的關系與整合風險導向的內部控制體系的構建6 6風險管理的演化發(fā)展風險管理的演化發(fā)展全面風險管理全面風險管理風險的數(shù)量化風險的數(shù)量化管理管理保險和安全生產保險和安全生產70年代年代1995年年時間時間機構機構/ /國家國家標準標準1988年BCBS巴塞爾協(xié)議1999年澳大利亞和新西蘭AS/NZ436019992002年加拿大風險管理：決策者指南加拿大國家標準2003年英國AIRMIC/A

4、LARM/IRM2004年COSO企業(yè)風險管理整合框架2004年BCBS巴塞爾協(xié)議2005年香港會計師公會內部控制與風險管理的基本架構2008歐洲委員會償付能力7 7國外主要風險管理標準國外主要風險管理標準支柱1最低資本要求信用風險標準化流程基礎IRB高級IRB市場風險標準化流程內部VaR模型操作風險基本指標法標準法支柱2監(jiān)管當局的監(jiān)督檢查銀行框架良好的資本評估整體資本充足率全面風險評估監(jiān)管框架銀行內部系統(tǒng)評估風險組合評估合規(guī)性評估監(jiān)管機制支柱3市場約束披露要求銀行風險信息的對市場的透明度提高銀行間的可比性8國外主要風險管理標準巴巴塞爾新資本協(xié)議國外主要風險管理標準巴巴塞爾新資本協(xié)議2004年

5、6月，巴塞爾委員會發(fā)布了統(tǒng)一資本計量和資本標準的國際協(xié)議：修訂框架，新協(xié)議將會對整個國際金融市場產生深遠的影響：簽署新協(xié)議的100多個國家的銀行、證券公司、基金公司、資產管理公司、保險公司等都會受到直接或間接的影響。我國于1996年加入了巴塞爾成員國行列，標志著我國銀行業(yè)接受了巴塞爾協(xié)議的要求。財務穩(wěn)定性財務穩(wěn)定性溝通及協(xié)商溝通及協(xié)商監(jiān)控及評價監(jiān)控及評價9 9建立風險評估基礎建立風險評估基礎內外部基礎信息，包括對公司目標的了解和信息掌握風險管理基礎設定識別風險識別風險分析風險分析風險現(xiàn)有風險結構影響程度 可能性風險值整合風險整合風險評估風險評估風險應對風險應對風險 評估各種可能方案國外主要風險

6、管理標準：澳新標準框架國外主要風險管理標準：澳新標準框架澳新標準是由澳大利亞與新西蘭聯(lián)合標準委員會發(fā)布的關于風險管理的一個標準。該標準主要建立了一個風險管理的基礎框架，為企業(yè)提供一個通用的建立和實施有效風險管理流程的指引，強調在實施風險評估工作之前要建立風險評估基礎。1010國外主要風險管理標準：國外主要風險管理標準：COSOCOSO的的ERMERM框架框架2004年9月，COSO正式頒布企業(yè)風險管理整體框架，包含4大目標（戰(zhàn)略、經(jīng)營、報告和合規(guī)目標）、8個相互關聯(lián)的要素（內部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監(jiān)控）和應用的企業(yè)及單位（公司層面、子公司、業(yè)務單

7、元和科室）。保險風險市場風險信用風險流動性風險操作風險支柱支柱1投資規(guī)則執(zhí)行定量要求定量要求準備金最低資本金要求支柱支柱2(監(jiān)管者的能力和職權, 活動領域)控制監(jiān)管者復核監(jiān)管者復核定性要求金融服務法規(guī)監(jiān)管支柱支柱3競爭相關因素披露市場約束市場約束透明度披露要求國外主要風險管理標準：償付能力 （Solvency II）2003年4月，歐盟保險委員會(European Insurance Committee)會議確定了償付能力的基本概念和原則。修改定稿的償付能力將于2021年10月提交英國金融服務管理局（FSA），預計可于2021年10月正式實施。這也將可能成為我國保險行業(yè)未來的趨勢。SOLVEN

8、CY II將Solvency II嵌入業(yè)務11時間時間機構機構標準標準2005年銀監(jiān)會商業(yè)銀行市場風險管理指引2006年國資委中央企業(yè)全面風險管理指引2006年銀監(jiān)會商業(yè)銀行合規(guī)風險管理指引2007年銀監(jiān)會商業(yè)銀行操作風險管理指引2007年保監(jiān)會保險公司風險管理指引2009年銀監(jiān)會商業(yè)銀行流動風險管理指引2009年銀監(jiān)會商業(yè)銀行聲譽風險管理指引2009年銀監(jiān)會商業(yè)銀行信息科技風險管理指引2010年保監(jiān)會人身保險公司全面風險管理實施指引1212國內主要風險管理規(guī)定國內主要風險管理規(guī)定1313國資委國資委中央企業(yè)全面風險管理指引中央企業(yè)全面風險管理指引戰(zhàn)略風險信息財務風險信息市場風險信息運營風險信

9、息法律風險信息風險管理初始信息風險辨識風險分析風險評價風險解決具體目標所需的組織領導所涉及的管理及業(yè)務流程以及資源等風險事件發(fā)生前、中、后所采取的應對措施以及風險管理工具部門和業(yè)務單位自查和檢驗風險管理職能部門檢查和檢驗內部審計部門監(jiān)督評價中介機構評價風險管理流程風險評估風險管理解決方案風險管理的監(jiān)督與改進風險承擔風險規(guī)避風險轉移風險轉換風險對沖風險補償風險控制風險管理策略董事會就全面風險管理工作的有效性對股東（大）會負責風險管理委員會對董事會負責總經(jīng)理對全面風險管理工作的有效性向董事會負責設立專職部門或確定相關職能部門履行全面風險管理職責董事會下設立審計委員會，內審部門對審計委員會負責其他職

10、能部門及各業(yè)務單位接受風險管理職能部門和內部審計部門的組織、協(xié)調、指導和監(jiān)督指導和監(jiān)督其全資、控股子企業(yè)風險管理組織體系信息技術應用于風險管理實踐風險管理信息系統(tǒng)保障風險信息量化值的要求風險管理信息系統(tǒng)的功能要求風險管理信息系統(tǒng)應該實現(xiàn)跨部門的集成與共享風險管理信息系統(tǒng)應確保安全、穩(wěn)定運行風險管理信息系統(tǒng)的建設與更新風險管理體系風險管理信息系統(tǒng)風險管理文化風險管理文化建設的目標和任務風險管理文化的內涵風險管理文化傳播和培育的方法中央企業(yè)全面風險管理指引1414風險管理流程風險管理流程縱觀以上國際國內的風險管理標準和指引，我們可以看到： 風險管理的框架和概念存在著多個流派，風險管理框架和風險管理

11、語言的不統(tǒng)一； 多種風險管理框架造成多重的監(jiān)管標準要求，使得風險管理在實務界存在重復投資和資源浪費現(xiàn)象，最后導致?lián)p失的是企業(yè)。我們認為，風險管理不是羅列所有風險，而是一個循環(huán)管理的機制，通過識別、評估風險、建立應對措施、對風險進行監(jiān)控與匯報、針對風險持續(xù)改善這個流程，形成風險管理機制，為公司健康發(fā)展奠定基礎。核心是風險管理文化與意識。理同經(jīng)營理同經(jīng)營規(guī)劃和戰(zhàn)規(guī)劃和戰(zhàn)冗余冗余勁高效的勁高效的 略制定相略制定相 綜合風險轉綜合風險轉結合結合風險評估風險評估流程流程優(yōu)化風險優(yōu)化風險爭優(yōu)勢爭優(yōu)勢保護和提升保護和提升企業(yè)價值企業(yè)價值牌形象牌形象1515企業(yè)風險管理的作用企業(yè)風險管理的作用裁減裁減活動活動

12、將風險管將風險管實施更強實施更強建立競建立競 管理成本管理成本定因素定因素移和風險移和風險接受決策接受決策正確厘定交易正確厘定交易固有風險的價固有風險的價格格協(xié)調風險偏好與戰(zhàn)協(xié)調風險偏好與戰(zhàn)略的關系，確保兩略的關系，確保兩者間匹配者間匹配提高應對變革的提高應對變革的就緒程度就緒程度減少經(jīng)營損減少經(jīng)營損失和意外事失和意外事件件改善合規(guī)和改善合規(guī)和風險應對措風險應對措施施改善對全改善對全企業(yè)共同企業(yè)共同風險的管風險的管理理改善資本改善資本利用及資利用及資源調配源調配確保風險承確保風險承擔與核心業(yè)擔與核心業(yè)深化對影深化對影響收益和響收益和資本的風資本的風險認識險認識務競爭力相務競爭力相符符保護聲保護

13、聲譽和品譽和品引入系統(tǒng)引入系統(tǒng)化的風險化的風險評估流程評估流程，提高管理，提高管理層對風險管層對風險管理的信心理的信心改善經(jīng)改善經(jīng)營績效營績效預見和預見和溝通績溝通績效目標效目標中固有中固有的不確的不確企業(yè)風險管理的價值企業(yè)風險管理的價值主張：主張：企業(yè)風險管理除推動管理層的風險管理能力日趨成熟以外，還從以下三方面幫助管理層保護和提升企業(yè)價值：建立可持續(xù)的競爭優(yōu)勢；優(yōu)化風險管理成本幫助管理層改善經(jīng)營業(yè)績16161通過評估重大事件發(fā)生的可能性及其影響效應，以及提出預防這些事件發(fā)生或管理這些事件（如確實已經(jīng)發(fā)生）影響的響應措施，減少績效的不穩(wěn)定性。減少績效的不穩(wěn)定性2當風險管理的職能部門不止一個，

14、而要管理的風險也不止一種時，就需要有一個通用的框架。同時也可回答投資者經(jīng)常提出的問題：“有哪些風險，怎么管理這些風險，你又是怎么知道這些風險的?”協(xié)調和整合風險管理的職能部門和管理程序3投資者可評價企業(yè)在了解和管理風險方面的能力，以便對照所承受的風險，粗略地評估自己的投資回報是否足夠豐厚。增強投資者的信心4提升企業(yè)識別風險、確定風險輕重緩急次序和規(guī)劃風險的能力，合理調配企業(yè)資源。響應不斷變化的業(yè)務環(huán)境企業(yè)風險管理的作用（續(xù)）企業(yè)風險管理的作用（續(xù)）企業(yè)風險管理有助于管理層協(xié)調風險偏好與企業(yè)戰(zhàn)略之間的匹配關系，強化風險應對決策，減少營運意外事件和損失，識別和管理貫穿整個企業(yè)的風險，建立抵抗多重風

15、險的綜合響應預案，抓住機遇及改善資本配置。1717目錄目錄對內部控制的理解風險管理與其在企業(yè)管理中的作用內部審計及其在企業(yè)管理中的作用內部控制、風險管理和內部審計的關系與整合風險導向的內部控制體系的構建內部審計演進內部審計演進控制糾正與管理層合作價值創(chuàng)造實行風險和控制自我評估中間階段流程改進企業(yè)全面風險管理持續(xù)的風險管理風險咨詢舞弊防范財務/合規(guī)性審計合規(guī)性價值保護關注交易/資產保護相關風險范圍流程分析&最佳實務操作有限的全面的1818風險評估及風險評估及建立模型建立模型制定內部制定內部審計方案審計方案提交結論及提交結論及建議建議執(zhí)行內部執(zhí)行內部審計測試審計測試內部審計內部審計建立內部

16、建立內部審計測試審計測試德勤內部審計模型德勤內部審計模型審計準備審計準備2020目錄目錄對內部控制的理解風險管理與其在企業(yè)管理中的作用內部審計及其在企業(yè)管理中的作用內部控制、風險管理和內部審計的關系與整合風險導向的內部控制體系的構建目標設定目標設定事項識別事項識別風險評估風險評估風險應對風險應對內部控制和風險管理的框架：內部控制和風險管理的框架：COSOCOSO框架的演進框架的演進監(jiān)控監(jiān)控子子公公業(yè)業(yè) 司司務務分分 單單支支 位位企企 機機業(yè)業(yè) 構構層層面面內部環(huán)境內部環(huán)境信息和溝通信息和溝通控制活動控制活動風險評估風險評估控制環(huán)境控制環(huán)境控制活動控制活動信息與溝通信息與溝通監(jiān)督監(jiān)督COSO內

17、控框架內控框架(1992)COSO風險管理框架風險管理框架(2004)2121目前對風險管理與內控認識存在的誤區(qū)目前對風險管理與內控認識存在的誤區(qū)把內部控制與全面風險管理體系的建設理解為建章立制。內部控制體系和全面風險管理體系是相互獨立的。內部控制和全面風險管理的作用被夸大。內部控制與全面風險管理理念在企業(yè)實踐落地難。誤區(qū)誤區(qū) 內置于企業(yè)日常管理過程中，是一種常規(guī)運行的機制。 整合建設，但根據(jù)企業(yè)特點各有側重。 無論多么先進的內部控制和風險管理體系都只能為企業(yè)相關目標的實現(xiàn)提供合理的而非絕對的保證。 新事物的導入有個過程，要認清風險管理成熟度。正解2222風險管理與內部控制的關系風險管理與內部

18、控制的關系理論界對內部控制與風險管理的關系有兩種觀點：q 觀點1：認為風險管理是內部控制的組成部分q 觀點2：認為內部控制是風險管理的組成部分23232424風險管理與內部控制的關系（續(xù)）風險管理與內部控制的關系（續(xù)）我們的看法是：q 如果以風險作為管理的起點，則內部控制是風險的應對，可以理解為控制屬于風險管理的實現(xiàn)工具，因此控制包含于風險管理；q 如果認為企業(yè)管理的實質是控制，風險管理只是在資源有限性和對象復雜性矛盾下的平衡和導向，那么風險管理可以作為控制系統(tǒng)的一部分；q 從組織結構來看，內部控制和風險管理相應的組織結構是完全一致的，說明二者都應該無縫整合到一定的組織結構中，和其他有關的業(yè)務

19、和職能管理共同服務于企業(yè)管理。風險管理與內部控制的關系（續(xù)）風險管理與內部控制的關系（續(xù)）公司治理、風險管理和內部控制是現(xiàn)代企業(yè)管控體制的組成部分。q 公司治理：是現(xiàn)代企業(yè)調整所有者和管理者矛盾的體系；q 風險管理：是管理層應對內外的各種挑戰(zhàn)和不確定因素的時候，所采用的較為系統(tǒng)的方法和過程；q 內部控制是：現(xiàn)代企業(yè)內部日常經(jīng)營運作的業(yè)務過程，管理者負有實施和監(jiān)督的完全責任。現(xiàn)代企業(yè)管控體制現(xiàn)代企業(yè)管控體制公司治理公司治理風險管理風險管理內部控制內部控制2525 風險管理：做正確的事 風險管理解決的不僅是流程問題，更是要解決戰(zhàn)略決策問題、應急處理問題；不僅要解決當前的問題，更要預測和應對將來可能

20、發(fā)生的問題；不但要解決“正確地做事”，關鍵是還要解決“做正確的事” 風險管理更偏向于前端，對影響目標實現(xiàn)的因素的分析、評估與應對，防止重大決策失誤，防止出現(xiàn)重大危機問題。 內控：正確的做事 內控解決的是流程問題，包括業(yè)務流程、管理流程中的風險控制，解決的是“正確地做事”。 內部控制更加重視實施，嵌入到企業(yè)各業(yè)務流程的具體業(yè)務活動中，融合在企業(yè)的各項規(guī)章制度之中，使企業(yè)在正常運營過程中自發(fā)地防止錯誤，確保合規(guī)和真實，從而合理保證目標的實現(xiàn)。2626風險管理與內部控制的關系（續(xù)）風險管理與內部控制的關系（續(xù)）2727風險管理與內部控制的關系（續(xù)）風險管理與內部控制的關系（續(xù)）我們認為，風險管理不是

21、羅列所有風險，而是一個循環(huán)管理的機制，通過識別、評估風險、建立應對措施、對風險進行監(jiān)控與匯報、針對風險持續(xù)改善這個流程，形成風險管理機制，為公司健康發(fā)展奠定基礎。核心是風險管理文化與意識。固有風險固有風險 - - 風險控制措施風險控制措施 = =變幻無常的世界變幻無常的世界財務財務聲譽聲譽法律法規(guī)法律法規(guī)健康安全環(huán)保健康安全環(huán)保無處不在的病菌無處不在的病菌病毒庫病毒庫企業(yè)可接受的風企業(yè)可接受的風險險和管理缺陷和管理缺陷如何積極應對如何積極應對病痛病痛服藥服藥/ /手術手術企業(yè)的管控體系企業(yè)的管控體系預防或預防或積極應對及積極應對及恢復恢復提升提升人體免疫系統(tǒng)人體免疫系統(tǒng)自身免疫自身免疫/ /鍛

22、煉鍛煉剩余風險剩余風險（風險敞口）（風險敞口）2828風險管理與內部控制的關系（續(xù)）風險管理與內部控制的關系（續(xù)）2929風險管理與內部控制的關系（續(xù)）風險管理與內部控制的關系（續(xù)）風險與內控要適度，過度的控制和過度的風險都會給公司帶來不利影響。過度的控制過度的控制官僚作風官僚作風 生產力生產力復雜性復雜性周期周期非增值性活動非增值性活動過度的風險過度的風險資產的損失資產的損失業(yè)務決策不流暢業(yè)務決策不流暢不守法不守法丑聞丑聞內部審計與內部控制的關系內部審計與內部控制的關系判定內部控制設計的有效性和執(zhí)行的有效性，定期評估內控內外審計監(jiān)控內控缺失彌補內部審計部門對內部控制履行事后檢查監(jiān)督職能。內部

23、審計部門定期對公司內部控制的健全性、合理性和有效性進行審計，審計范圍應覆蓋公司所有主要風險點。審計發(fā)現(xiàn)的內控缺陷向同級內控管理職能部門反饋，確保內控缺陷及時徹底整改。3030內部審計與風險管理的關系內部審計與風險管理的關系內部審計部門在審計委員會的領導下作為企業(yè)風險管理的第三道防線，針對公司已經(jīng)建立的風險管理流程和各項風險的控制程序和活動進行監(jiān)督。3131內部控制和風險管理體系對內部審計的作用內部控制和風險管理體系對內部審計的作用q 內部審計在制定審計計劃的過程中，可以利用風險評估結果，對于高風險領域投入更多的審計資源；q 對于內部控制自評估發(fā)現(xiàn)的缺陷，內部審計可以借鑒利用，提高內部控制審計質

24、量；q 內部控制對業(yè)務流程的梳理和關鍵控制的確定可以加深內部審計對于企業(yè)業(yè)務的深入理解；q 風險管理體系中識別的風險，可以為審計業(yè)務的開展提供很好的參考。3232實踐中的做法實踐中的做法業(yè)務部門業(yè)務部門搭建風險與內控管理框架，搭建風險與內控管理框架，確定風險分類和路徑：確定風險分類和路徑： 協(xié)助各部門、單位識別各種風險； 收集風險信息并定期更新風險數(shù)據(jù)庫，對風險進行分類，進行內控體系建設和操作風險管理； 共享內審部門風險導向型審計計劃的同時，及時從內審部門獲取各項評估或者審計的結果，并據(jù)其對風險做進一步評估及排序。風險與風險與內控管理部門內控管理部門按照既定規(guī)程操作和運營：按照既定規(guī)程操作和運

25、營： 向風險管理部門提供風險信息； 定期確認風險控制矩陣的持續(xù)正確，并對過時的內容提出更新建議； 在內審部門牽頭下進行測試以驗證控制設計有效性； 開展自我評估，自我確認關鍵控制執(zhí)行是否有效； 在內控執(zhí)行力評估的過程中，配合內審部門開展運行有效性測試的工作。內部審計內部審計部門部門對管理層內部控制自我評估工作進行監(jiān)督：對管理層內部控制自我評估工作進行監(jiān)督： 結合風險評估制定年度審計計劃，在高風險領域投入更多的審計資源 在內控執(zhí)行力評估中，進行獨立評價，審閱內控缺陷匯總及整改情況，并對監(jiān)督檢查中發(fā)現(xiàn)的內部控制重大缺陷，有權直接向董事會及其審計委員會、監(jiān)事會報告。3333德勤關于建立健全內部控制體系

26、的實施方法論德勤關于建立健全內部控制體系的實施方法論34343535目錄目錄對內部控制的理解風險管理與其在企業(yè)管理中的作用內部審計及其在企業(yè)管理中的作用內部控制、風險管理和內部審計的關系與整合風險導向的內部控制體系的構建建設內部控制體系的路線圖建設內部控制體系的路線圖內控評價內控評價制定內控評價辦法開展內控評價跟蹤缺陷整改編制內控評價報告內控整改固化內控整改固化記錄內控缺陷設計整改方案完善內控制度更新內控文件內控梳理對標內控梳理對標成立專屬部門確定梳理范圍實施風險評估整理現(xiàn)有制度辨識內控環(huán)節(jié)對標管理規(guī)范內控審計內控審計進行模擬審計提供所需證據(jù)出具管理聲明披露審計報告信息化建設信息化建設管理層持

27、續(xù)整改管理層持續(xù)整改/ /內部監(jiān)督持續(xù)開展內部監(jiān)督持續(xù)開展3637各階段工作解決方案分享內控梳理對標各階段工作解決方案分享內控梳理對標38成立專屬部門確定梳理范圍確定梳理范圍實施風險評估整理現(xiàn)有制度辨識內控環(huán)節(jié)對標管理規(guī)范內控梳理對標內控梳理對標風險應對風險應對變革管理變革管理內部審計機制內部審計機制控制活動控制活動治理結構、治理結構、內部機構設置內部機構設置與職責分配與職責分配企業(yè)文化與企業(yè)文化與道德規(guī)范道德規(guī)范人力資源政策人力資源政策目標設定目標設定風險識別風險識別風險分析風險分析內部信息內部信息收集與溝通收集與溝通外部信息外部信息收集與溝通收集與溝通反舞弊機制反舞弊機制日常監(jiān)督日常監(jiān)督專

28、項監(jiān)督專項監(jiān)督人力資源人力資源合同合同資金資金銷售銷售全面預算全面預算工程項目工程項目信息系統(tǒng)一信息系統(tǒng)一般控制般控制財務報告財務報告存貨存貨固定資產固定資產管理管理信息與溝信息與溝通通采購采購 風險評估風險評估內部控制內部控制內部環(huán)境內部環(huán)境各階段工作解決方案分享內控梳理對標（續(xù)）各階段工作解決方案分享內控梳理對標（續(xù)）從內部控制五要素五要素出發(fā)梳理企業(yè)內控，關注重要業(yè)務事項和高風險領域：成立專屬部門確定梳理范圍實施風險評估實施風險評估整理現(xiàn)有制度辨識內控環(huán)節(jié)對標管理規(guī)范 可運用適當?shù)娘L險識別工具，逐步細化風險點和管理手段 充分運用風險管理工具，強化風險管理，提升經(jīng)營水平，并為內控體系建設和

29、內控評價奠定良好基礎39各階段工作解決方案分享內控梳理對標（續(xù)）各階段工作解決方案分享內控梳理對標（續(xù)）風險識別與評估的依據(jù)：內控梳理對標內控梳理對標 應重點關注18個內部控制應用指引中所列示的風險40各階段工作解決方案分享內控梳理對標（續(xù)）各階段工作解決方案分享內控梳理對標（續(xù)）風險識別和管理工具企業(yè)風險地圖內控梳理對標內控梳理對標成立專屬部門確定梳理范圍實施風險評估實施風險評估整理現(xiàn)有制度辨識內控環(huán)節(jié)對標管理規(guī)范成立專屬部門確定梳理范圍確定梳理范圍整理現(xiàn)有制度整理現(xiàn)有制度辨識內控環(huán)節(jié)辨識內控環(huán)節(jié)對標管理規(guī)范對標管理規(guī)范企業(yè)現(xiàn)有制度訪談內容41各階段工作解決方案分享內控梳理對標（續(xù)）各階段工

30、作解決方案分享內控梳理對標（續(xù)）依托最佳實踐和控制數(shù)據(jù)庫進行對標梳理內控梳理對標內控梳理對標控制活動編寫的原則：4W+1H WHO:哪個崗位執(zhí)行控制活動 WHEN:該控制活動發(fā)生的時間或頻率 WHERE: 該控制活動發(fā)生的地點 WHAT: 根據(jù)什么進行控制如制度、單據(jù)、報告、電子郵件、系統(tǒng)數(shù)據(jù)等 HOW: 控制活動的具體內容是如何？如何操作？42內控梳理對標內控梳理對標成立專屬部門確定梳理范圍確定梳理范圍整理現(xiàn)有制度整理現(xiàn)有制度辨識內控環(huán)節(jié)辨識內控環(huán)節(jié)對標管理規(guī)范對標管理規(guī)范各階段工作解決方案分享內控梳理對標（續(xù)）各階段工作解決方案分享內控梳理對標（續(xù)）內控整改固化內控整改固化記錄內控缺陷設計

31、整改方案完善內控制度更新內控文件 記錄內部控制缺陷成因、表現(xiàn)形式和影響程度 以控制目標為核心，打破部門和流程局限，設計適合企業(yè)運營特點的整改方案 明確整改責任部門與責任人 明確整改完成期限 追蹤整改進度 保留整改證據(jù)43各階段工作解決方案分享內控整改固化各階段工作解決方案分享內控整改固化 建立內部控制缺陷認定匯總表44各階段工作解決方案分享內控整改固化（續(xù)）各階段工作解決方案分享內控整改固化（續(xù)）內部控制手冊、業(yè)務流程圖與流程文件內控整改固化內控整改固化記錄內控缺陷設計整改方案完善內控制度更新內控文件內控整改固化內控整改固化記錄內控缺陷設計整改方案完善內控制度更新內控文件 版式、內容更新： 制

32、度中規(guī)定的內容切合現(xiàn)行業(yè)務現(xiàn)狀以及管控現(xiàn)狀，實質內容不需更新，但是需要依據(jù)公司管理層的要求對行文或格式進行調整； 制度中規(guī)定的相關內容已經(jīng)不適用于公司運作現(xiàn)狀，需要對相關內容進行調整更新，調整更新的方式包括：重新編寫部分內容，對某些制度中的相關內容按照實際情況，進行刪減、合并或者替換等； 制度新增：公司無此制度，建議新增的制度名稱更新：根據(jù)管理制度覆蓋面，內容和細致度等進行分層級劃分，統(tǒng)一制度名稱。如劃分為準則或規(guī)則、制度、管理辦法、細則或程序、及其他等。45各階段工作解決方案分享內控整改固化（續(xù)）各階段工作解決方案分享內控整改固化（續(xù)）管理制度更新46各階段工作解決方案分享內控整改固化（續(xù)）

33、各階段工作解決方案分享內控整改固化（續(xù)）內控活動與制度對接內控整改固化內控整改固化記錄內控缺陷設計整改方案完善內控制度更新內控文件47各階段工作解決方案分享內控整改固化（續(xù)）各階段工作解決方案分享內控整改固化（續(xù)）內控與制度智能化查詢軟件內控整改固化內控整改固化記錄內控缺陷設計整改方案完善內控制度更新內控文件制定內控評價辦法開展內控評價跟蹤缺陷整改編制內控評價報告48制定評制定評價工作價工作方案方案組成評組成評價工作價工作組組實施現(xiàn)實施現(xiàn)場測試場測試認定控認定控制缺陷制缺陷匯總評匯總評價結果價結果編報評編報評價報告價報告各階段工作解決方案分享內控評價各階段工作解決方案分享內控評價解決方案一解決

34、方案一：基于指引，實施方案的最低要求：內控評價內控評價控制活動編號控制活動IV-CA-104采購預報與收貨清單信息核對一致后，收貨組人員對貨物進行初步檢查，檢查無誤后在收貨憑證上簽字；對于檢查有誤的情況，填寫業(yè)務聯(lián)系單，經(jīng)業(yè)務主管及分管倉儲的副總監(jiān)審核確認后，通知采購中心，并根據(jù)其回復意見處理。集團項目組測試集團項目組測試截止上次測試累計有效樣本量0 個總樣本量具體測試方法25個獲取存貨收貨憑證，檢查：1.與該批存貨對應的采購預報、收貨清單上信息一致；2.收貨組人員在收貨憑證上簽字確認；若存在檢查有誤的情況，還需獲取業(yè)務聯(lián)系單并檢查：1.業(yè)務聯(lián)系單依次經(jīng)過業(yè)務主管及分管倉儲分總監(jiān)審核；2.采購

35、中心根據(jù)管理層意見執(zhí)行相關處理。測試屬性樣本描述預報、收貨清單上信息上簽字確認一致次經(jīng)過業(yè)務主管及分管倉儲分總監(jiān)審核；解釋同時.采購中心根據(jù)管理層意見執(zhí)行相與該批存貨對應的采購收貨組人員在收貨憑證 檢查有誤的情況，業(yè)務聯(lián)系單依 樣本屬性 未達標樣本底稿索引關處理第一輪測試樣本：1）XXX集團-2021.10.23-存貨收款憑證編號X235498號，金額RMB 2,394,000元是是不適用正常不適用控制測試底稿模版示例控制測試底稿模版示例制定內控評價辦法開展內控評價跟蹤缺陷整改編制內控評價報告50業(yè)務業(yè)務部門部門自評自評組成組成評價評價工作工作組組實施實施現(xiàn)場現(xiàn)場測試測試認定認定控制控制缺陷缺

36、陷匯總匯總評價評價結果結果編報編報評價評價報告報告制定制定評價評價工作工作方案方案建議：在內控評價部門及其工作小組開展內部控制評價工作之前，編制內部控制自評問卷，交由各業(yè)務部門各控制責任人，自行梳理相關內部控制、檢查內部控制的有效性并填寫內部控制自評問卷。內控評價部門及其工作小組在各業(yè)務部門自評的基礎上開展內部控制評價工作。各階段工作解決方案分享內控評價（續(xù)）各階段工作解決方案分享內控評價（續(xù)）解決方案二解決方案二：基于指引，實施方案的建議要求：內控評價內控評價內部控制自我評價問卷模版示例內部控制自我評價問卷模版示例52業(yè)務部業(yè)務部門自評門自評組成評組成評價工作價工作組組實施現(xiàn)實施現(xiàn)場測試場測

37、試認定控認定控制缺陷制缺陷匯總評匯總評價結果價結果編報評編報評價報告價報告制定評制定評價工作價工作方案方案建議：在內控建立階段，就將企業(yè)內部控制固化至信息系統(tǒng)中，在信息系統(tǒng)中為各內部控制落實責任人，審閱人、自評記錄以及測試記錄、結果匯總、缺陷跟蹤等功能配置，使得上述“解決方案二”的工作完全可以在線維護，在線開展！制定內控評價辦法開展內控評價跟蹤缺陷整改編制內控評價報告各階段工作解決方案分享內控評價（續(xù)）各階段工作解決方案分享內控評價（續(xù)）解決方案三解決方案三：基于指引，實施方案的最佳要求：內控評價內控評價運用信息系統(tǒng)，將工作運用信息系統(tǒng)，將工作IT化化方案方案要求要求特點特點一最低要求滿足合規(guī)二推薦要求有利于提高業(yè)務部門的意識和責任感，為管理提升和未來走向全面風險內控打下基礎三努力方向，最佳要求此為方案二的增強版，用IT系統(tǒng)固化，企業(yè)競爭能力融入管理體系中而不是個別領導腦袋中。內控評價內控評價53解決方案一解決方案一Vs解決方案二解決方案二Vs解決方案三解決方案三制定內控評價辦法開展內控評價跟蹤缺陷整改編制內控評價報告各階段工作解決方案分享內控評價（續(xù)）各階段