【文章內(nèi)容簡介】 事項識別 風險評估 風險應對 內(nèi)部控制和風險管理的框架： COSO框架的演進 監(jiān)控 子 公 業(yè) 司 務 分 單 支 位 企 機 業(yè) 構 層 面 內(nèi)部環(huán)境 信息和溝通 控制活動 風險評估 控制環(huán)境 控制活動 信息與溝通 監(jiān)督 COSO內(nèi)控框架 (1992) COSO風險管理框架 (2023) 21 目前對風險管理與內(nèi)控認識存在的誤區(qū) 把內(nèi)部控制與全面風險管 理體系的建設理解為建章 立制。 內(nèi)部控制體系和全面風險 管理體系是相互獨立的。 內(nèi)部控制和全面風險管理 的作用被夸大。 內(nèi)部控制與全面風險管理 理念在企業(yè)實踐落地難。 誤區(qū) ? 內(nèi)置于企業(yè)日常管理過程中，是 一種常規(guī)運行的機制。 ? 整合建設，但根據(jù)企業(yè)特點各有 側重。 ? 無論多么先進的內(nèi)部控制和風險 管理體系都只能為企業(yè)相關目標 的實現(xiàn)提供合理的而非絕對的保 證。 ? 新事物的導入有個過程， 要認清 風險管理成熟度 。 正解 ? ? ? ? 22 風險管理與內(nèi)部控制的關系 理論界對內(nèi)部控制與風險管理的關系有兩種觀點： q 觀點 1：認為風險管理是內(nèi)部控制的組成部分 q 觀點 2：認為內(nèi)部控制是風險管理的組成部分 23 24 風險管理與內(nèi)部控制的關系（續(xù)） 我們的看法是： q 如果以風險作為管理的起點，則內(nèi)部控制是風險的應對，可以理 解為控制屬于風險管理的實現(xiàn)工具，因此控制包含于風險管理； q 如果認為企業(yè)管理的實質(zhì)是控制，風險管理只是在資源有限性和 對象復雜性矛盾下的平衡和導向，那么風險管理可以作為控制系 統(tǒng)的一部分； q 從組織結構來看，內(nèi)部控制和風險管理相應的組織結構是完全一 致的，說明二者都應該無縫整合到一定的組織結構中，和其他有 關的業(yè)務和職能管理共同服務于企業(yè)管理。 風險管理與內(nèi)部控制的關系（續(xù)） 公司治理、風險管理和內(nèi)部控 制是現(xiàn)代企業(yè)管控體制的組成 部分。 q 公司治理：是現(xiàn)代企業(yè)調(diào) 整所有者和管理者矛盾的 體系； q 風險管理：是管理層應對 內(nèi)外的各種挑戰(zhàn)和不確定 因素的時候，所采用的較 為系統(tǒng)的方法和過程； q 內(nèi)部控制是：現(xiàn)代企業(yè)內(nèi) 部日常經(jīng)營運作的業(yè)務過 程，管理者負有實施和監(jiān) 督的完全責任。 現(xiàn)代企業(yè)管控體制 公司治理 風險管理 內(nèi)部控制 25 ? 風險管理：做正確的事 ? 風險管理解決的不僅是流程問題，更是 要解決戰(zhàn)略決策問題、應急處理問題； 不僅要解決當前的問題，更要預測和應 對將來可能發(fā)生的問題；不但要解決 “ 正確地做事 ”，關鍵是還要解決 “做正確 的事 ” ? 風險管理更偏向于前端，對影響目標實 現(xiàn)的因素的分析、評估與應對，防止重 大決策失誤，防止出現(xiàn)重大危機問題。 ? 內(nèi)控：正確的做事 ? 內(nèi)控解決的是流程問題，包括業(yè)務流 程、管理流程中的風險控制，解決的 是 “正確地做事 ”。 ? 內(nèi)部控制更加重視實施，嵌入到企業(yè) 各業(yè)務流程的具體業(yè)務活動中，融合 在企業(yè)的各項規(guī)章制度之中，使企業(yè) 在正常運營過程中自發(fā)地防止錯誤， 確保合規(guī)和真實，從而合理保證目標 的實現(xiàn)。 26 風險管理與內(nèi)部控制的關系（續(xù)） 27 風險管理與內(nèi)部控制的關系（續(xù)） 我們認為，風險管理不是羅列所有風險，而是一個循環(huán)管理的機制，通過識別、評估 風險、建立應對措施、對風險進行監(jiān)控與匯報、針對風險持續(xù)改善這個流程，形成風 險管理機制，為公司健康發(fā)展奠定基礎。核心是風險管理文化與意識。 固有風險 風險控制措施 = 變幻無常的世界 財務 聲譽 法律法規(guī) 健康安全環(huán)保 －－－－－－－－ 無處不在的病菌 病毒庫 企業(yè)可接受的風 險 和管理缺陷 如何積極應對 －－－－－－－ 病痛 服藥 /手術 企業(yè)的管控體系 預防或 積極應對及 恢復 提升 －－－－－－－－－－ 人體免疫系統(tǒng) 自身免疫 /鍛煉 剩余風險 （風險敞口） 28 風險管理與內(nèi)部控制的關系（續(xù)） 29 風險管理與內(nèi)部控制的關系（續(xù)） 風險與內(nèi)控要適度，過度的控制和過度的風險都會給公司帶來不利影響。 過度的控制 －官僚作風 － 生產(chǎn)力 －復雜性 －周期 －非增值性活動 過度的風險 －資產(chǎn)的損失 －業(yè)務決策不流暢 －不守法 －丑聞 內(nèi)部審計與內(nèi)部控制的關系 判定內(nèi)部控制設計的有 效性和執(zhí)行的有效性， ?定期評估內(nèi)控 ?內(nèi)外審計監(jiān)控 ?內(nèi)控缺失彌補 內(nèi)部審計部門對內(nèi)部控制履行事后檢查監(jiān)督職能。內(nèi)部審計部門定期對公司內(nèi)部控 制的健全性、合理性和有效性進行審計，審計范圍應覆蓋公司所有主要風險點。審 計發(fā)現(xiàn)的內(nèi)控缺陷向同級內(nèi)控管理職能部門反饋，確保內(nèi)控缺陷及時徹底整改。 30 內(nèi)部審計與風險管理的關系 內(nèi)部審計部門在審計委員會的領導下作為企業(yè)風險管理的第三道防線，針對公司已經(jīng)建 立的風險管理流程和各項風險的控制程序和活動進行監(jiān)督 。 31 內(nèi)部控制和風險管理體系對內(nèi)部審計的作用 q 內(nèi)部審計在制定審計計劃的過程中，可以利用風險評估結果，對 于高風險領域投入更多的審計資源； q 對于內(nèi)部控制自評估發(fā)現(xiàn)的缺陷，內(nèi)部審計可以借鑒利用，提高 內(nèi)部控制審計質(zhì)量； q 內(nèi)部控制對業(yè)務流程的梳理和關鍵控制的確定可以加深內(nèi)部審計 對于企業(yè)業(yè)務的深入理解； q 風險管理體系中識別的風險，可以為審計業(yè)務的開展提供很好的 參考。 32 實踐中的做法 業(yè)務部門 搭建風險與內(nèi)控管理框架， 確定風險分類和路徑： ? 協(xié)助各部門、單位識別各種風 險； ? 收集風險信息并定期更新風險 數(shù)據(jù)庫，對風險進行分類，進 行內(nèi)控體系建設和操作風險管 理； ? 共享內(nèi)審部門風險導向型審計 計劃的同時，及時從內(nèi)審部門 獲取各項評估或者審計的結果， 并據(jù)其對風險做進一步評估及 排序。 風險與 內(nèi)控管理部門 按照既定規(guī)程操作和運營： ? 向風險