企业风险管理与内部控制理论与实务课件

企业风险管理与内部控制理论与实务2016年07月安永.吴玮企业风险管理与内部控制理论与实务Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.不会87.73%会95.05%您认为风险管理与内部控制失效导致的管理混乱可能会发生在贵公司吗？您认为风险管理与内部控制失效导致的管理混乱可能会发生在其他公司吗？2012年证监会和中国风险管理与内部控制协会开展了一次针对上市公司风险与内控意识的调查，对主板上市、证券公司等1250家企业进行了问卷统计调查，调查结果显示：对待风险控制的态度：风险内控意识调查不会87.73%会95.05%您认为风险管理与内部控制失效Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.对待风险控制的态度：华人世界首富的风险观我会不停研究每个项目要面对可能发生的坏情况下出现的问题，所以往往花90%考虑失败。就是因为这样，这么多年来李嘉诚雄踞华人首富十六年（截止2013年），屹立不倒的秘诀在于：2007年全球商业和商业周刊采访李嘉诚的访谈实录对待风险控制的态度：华人世界首富的风险观我会不停研究每个项目Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.对待风险控制的态度：海恩法则1000次事故隐患300次未遂先兆29次轻微事故1次严重事故严重问题；应急、追责、整改出现问题；调查、整改、报告预警警报；监控、检查、报告没有损失；设计、执行、评价、改进对待风险控制的态度：海恩法则1000次300次29次1次严重Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.华丽且自信满满仅仅关注有限领域并不具备足够的风险承受能力并不能时时专心对待风险控制的态度：我们可能华丽且自信满满仅仅关注有限领域并不具备足够的风险承受Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.我们遇到的问题？什么是风什么是风险控制险控制?为什么要为什么要风险控制风险控制?如何开展如何开展风险控制风险控制?我们遇到的问题？?什么是风险控制?为什么Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.目目 录录1什么是风险管理与内部控制什么是风险管理与内部控制2为什么要开展风险管理与内部控制为什么要开展风险管理与内部控制3如何开展风险管理与内部控制如何开展风险管理与内部控制目 录1什么是风险管理与内部控制2为什么要开展风险管理与内部Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.第一部分什么是风险管理与内部控制目目 录录第一部分目 录Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.什么是风险定义：R=f（O，U，E），O目标；U不确定性；E影响风险风险：“不确定性对目标的影响不确定性对目标的影响”引自 ISO 指南 73：2009 风险管理术语为什么会存在风险？不确定性：不知道会不会发生？什么时候发生？发生的可能性有多大？发生的后果是什么？后果产生的影响有多大？不确定性既受制于外在的客观性（客观不确定性）；在企业管理实践的实践规范里面，更重要的是受制于人的态度、能力和经验（主观不确定性）风险控制的根本目的是着眼于：改变人的意识，提升应对能力和积累判断经验！什么是风险定义：R=f（O，U，E），O目标；U不确Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.什么是控制控制是根据组织的计划和事先规定的标准，监督检查各项活动及其结果，并根据偏差或调整行动或调整计划，使计划和实际相吻合，保证目标实现的行为。风险管理术语什么是控制控制是根据组织的计划和事先规定的标准，监督检查各项Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.“风险管理是一种程序，由企业的董事会、管理层和其他成员共同使其生效，用以对以下目标的实现提供合理的保证：(b)适用法律法规的合规性 (a)财务报告的可靠性 (c)经营活动的效率和效果 (d)战略目标的实现。”监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部环境目标识定事项识别风险评估风险对策控制活动信息与沟通监督检查COSO对风险管理的对风险管理的定义：定义：什么是风险管理“风险管理是一种程序，由企业的董事会、管理层和其他成员共同使Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.“一套由董事会、管理层及其它相关人员共同实施的程序，以合理确保下列各项的目标得以实现：(b)适用法律法规的合规性 (a)财务报告的可靠性 (c)经营活动的效率和效果。”监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部环境风险评估控制措施信息与沟通监督检查COSO对内部控制的定义：对内部控制的定义：什么是内部控制“一套由董事会、管理层及其它相关人员共同实施的程序，以合理确Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.COSO模型的发展监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部环境风险评估控制措施信息与沟通监督检查监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部环境目标识定事项识别风险评估风险对策控制活动信息与沟通监督检查COSO内部控制模型内部控制模型COSO风险管理模型COSO模型的发展监控信息和沟通控制活动风险评估控制环境营运Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.中央企业全面风险管理指引(一)收集风险管理初始信息(二)进行风险评估(三)制定风险管理策略(四)提出和实施风险管理解决方案(五)风险管理的监督与改进风险管理基本流程COSO全面风险管理框架风险管理三道防线中央企业全面风险管理指引(一)(二)(三)(四)(五)风险管Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.企业内部控制基本规范v第一章 总则v第二章 内部环境v第三章 风险评估v第四章 控制活动v第五章 信息与沟通v第六章 内部监督v第七章 附则 监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部环境经营报告风险评估控制措施信息与沟通监督检查合规企业战略资产安全COSO 内部控制模型企业内部控制基本规范企业内部控制基本规范企业内部控制基本规范第一章 总则监控信息和沟通控制活动风险评Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.企业内部控制基本规范企业内部控制基本规范Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.有效的控制风险实现目标目标风险控制管理提升风险管控不是消灭风险，而是把风险控制在合理的范畴，让目标的偏差能够接受。目标决定了我们该管控哪些风险目标的多样性、分层性和联动性，决定了风险管控需要系统化实施：中长期战略目标/产业战略目标/职能战略目标/年度经营目标/项目经营目标；有效的控制风险实现目标目标风险控制管理提升风险管控不是消灭风Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.理解目标、风险、控制如果你有小孩，为了保护孩子安全，你需要控制什么风险？你有哪些控制措施？婴幼儿安全三聚氰胺甲醛PM2.5劣质玩具人贩子幼儿园行凶幼师虐童危险车辆当前社会，关于婴幼儿安全的不确定性因素越来越多，发生的可能性越来越高：食品安全风险-香港限奶令家居安全风险-环保油漆和家居自然环境风险-口罩热销产品质量风险-玩具出口转内销社会治安风险-儿童定位手表交通环境风险-安全座椅热卖理解目标、风险、控制如果你有小孩，为了保护孩子安全，你需要控Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.第二部分为什么要开展风险管理与内部控制目目 录录第二部分目 录Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.您是否听到过这样的声音？制度么，就是用来看看的，嘻嘻说归说，但是我们一般都不那样做，太费事了那个制度阿，我不知道有没有人看，反正别人现在怎么做我就怎么做从来没看到过别的部门的制度，我们部门的也有吧，好几年了我们制度很多，很厚几本呢，但是太散乱，我也懒得去看哎，这个事情说不好，我也不知道其他部门的事情这个事情不是我们做的，但是，我也不知道其他部门是不是做了这个事情为什么是我来做啊（分工不太合理）这个事情啊，不是我不想做，但是也没有人告诉我怎么做啊我也不知道为什么要这么做，但是人家都这样做我知道这样做有风险，但是公司也没有说不让我这么做，我也不知道怎么做更好什么是内控呀，我们没有什么标准，反正一直就是这么做，都几十年了这个就是经验这个不用说的，我们都知道您是否听到过这样的声音？制度么，就是用来看看的，嘻嘻Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.以下这些事情在您的企业中可能发生吗？A.有人偷偷地溜到公司的计算机库房，把公司所有数据储存都毁了！B.市场竞争激烈，我们渐渐失去了资源的垄断优势。C.有人可能在挪用公司的资金，但也没人发现，没人管！D.公司的规章制度看上去挺多的，但实际比较混乱，大家平时工作基本不参照。E.公司大锅饭的氛围还是挺浓厚的，工作没啥积极性。F.公司想进军新的领域了，虽然不太懂这个新的行业，但大家都觉得前景很好！G.公司存货的管理比较混乱，东西多一件少一件，根本没人知道。H.公司领导天天审批，天天开会讨论经营事项，身陷繁杂的具体事务。I.公司部门中的岗位只是为了区别工资待遇，和工作内容没啥关系，领导让你干嘛就干嘛J.以下这些事情在您的企业中可能发生吗？A.有人偷偷地溜到公司的Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.为什么要开展风险管理与内部控制大势所趋，保护领导为什么要开展风险管理与内部控制大势所趋，保护领导Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险管控进入中共中央最高层公报中共中央十八届四中全会通过关于全面推进依法治国若干重大问题的决定-把公众参与、专家论证、风险评估、合法性审查、集体讨论决定确定为重大行政决策法定程序，确保决策制度科学、程序正当、过程公开、责任明确。建立行政机关内部重大决策合法性审查机制，未经合法性审查或经审查不合法的，不得提交讨论。-加强对政府内部权力的制约，是强化对行政权力制约的重点。对财政资金分配使用、国有资产监管、政府投资、政府采购、公共资源转让、公共工程建设等权力集中的部门和岗位实行分事行权、分岗设权、分级授权，定期轮岗，强化内部流程控制，防止权力滥用。完善政府内部层级监督和专门监督，改进上级机关对下级机关的监督，建立常态化监督制度。完善纠错问责机制，健全责令公开道歉、停职检查、引咎辞职、责令辞职、罢免等问责方式和程序。风险管控进入中共中央最高层公报中共中央十八届四中全会通过关Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险管控成为国有企业领导履职的法定责任2014年1月份，由审计署、中纪委、国资委、中组部、人社部等七部委召开经济责任审计联席会议，提出2014年开始的经济责任审计实施细则指导意见。涉及到国有企业领导人相关会议精神：要严肃揭露和查处国有企业领导人重大的违法违规案件线索，重大的决策失当，重大的失职渎职行为，重大的损失浪费，重大的管理漏洞。2014年7月，七部委颁布党政主要领导干部和国有企业领导人员经济责任审计规定实施细则第十六条国有企业领导人员经济责任审计的主要内容：（九）企业法人治理结构的健全和运转情况，以及财务管理、业务管理、风险管理、内部审计等内部管理制度的制定和执行情况，厉行节约反对浪费和职务消费等情况，对所属单位的监管情况；风险管控成为国有企业领导履职的法定责任2014年1月份，由审Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险管控失效成为国有企业责任追究的重要因素2008年国务院国资委20号令中央企业资产损失责任追究暂行办法：第二十五条除第十六条至第二十四条以外，因企业内部控制存在重大缺陷或者内部控制执行不力等其他情形造成资产损失的，应当追究相关责任人的责任。第二十七条企业因未建立内控管理制度或者内控管理制度存在重大缺陷，造成企业重大或者特别重大资产损失的，除按照本办法对其他相关责任人进行责任认定外，企业分管负责人和企业主要负责人应当分别承担分管领导责任和重要领导责任。第三十七条对调离工作岗位或者已离退休的资产损失相关责任人，应当按照本办法相关规定给予经济处罚、行政处分和禁入限制。给予经济处罚的，若离职后薪金尚未发放完毕，应当扣发相应的薪金；对继续在中央企业担任职务的，应当在其以后年度薪金中予以扣发；对调离中央企业的，应当向其工作单位提出处罚建议。第三十八条建立董事会制度的企业（含董事会试点企业），董事未履行或者未正确履行职责给企业造成资产损失的，除依法承担赔偿责任以外，国资委应当依照本办法及公司法规定的有关程序对其选任的董事进行处罚。风险管控失效成为国有企业责任追究的重要因素2008年国务院国Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.为什么要开展风险管理与内部控制监管要求，保障合规为什么要开展风险管理与内部控制监管要求，保障合规Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.国际化监管政策国会1977FCPAAICPA1980SASNo.30/60COSO1992ICIFAICPA1993GAASNo.2/3AICPA1995SASNo.78国会2002SOXCOSO2004ERMIFCOSO2006ICFR-GSPCPCAOB2007ASNo.5PCAOB2009ASNo.7COSO2009GMICSIMA2010ICERMFRCOSO2013ICIF风险管控规范金融商品交易法内部控制评价与审计准则企业管治常规守则2014年修订公司治理联合准则风险管控框架报告公司监管守则COCO风险管控框架澳大利亚新西兰风险管控标准（AS/NZS4360）金融安全法2009ISO310002009ISOguide732009ISO310102013ISO31004201xISO31020国际化监管政策国会1977FCPA风险管控规范金融商品交易法Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.国内监管政策直接对风险管理/内部控制提出明确要求的单位包括：中共中央、中纪委、中组部、全国人大、财政部、交通部、原电力部、原煤炭部、证监会、保监会、银监会、审计署、中国人民银行、国务院国资委、国家税务总局、住建部、卫计委、安监总局、环保部、民航总局、国家标准委、中注协、上交所、深交所等超过150个法律法规、部门规章及规范文件等。近5年出台了60个文件！国内监管政策 直接对风险管理/内部控制提出明确要求Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.直接监管文件：管“头”对下一年风险状况进行评估国资委办公厅关于2015年中央企业开展全面风险管理工作有关事项的通知1.明晰风险管理政策，提升风险研判能力2.健全风险评估机制，服务重大事项决策3.构筑风险信息平台，完善监控预警机制4.融入日常经营管理，提高风险防控能力直接监管文件：管“头”对下一年风险状况进行评估国资委办公Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.直接监管文件：管“尾”对上一年风险控制进行评价财政部、证监会公开发行证券的公司信息披露编报规则第21号年度内部控制评价报告的一般规定1.本规则是对年度内部控制评价报告披露的最低要求。2.应当说明董事会、监事会及董事、监事、高级管理人员对内部控制及年度内部控制评价报告的相关责任。3.评价结论应当分别披露对财务报告内部控制有效性的评价结论，以及是否发现非财务报告内部控制重大缺陷。4.评价工作情况应当披露内部控制评价范围、内部控制评价工作依据及内部控制缺陷认定标准，以及内部控制缺陷认定及整改情况。5.评价范围应当从纳入评价范围的主要单位、业务和事项以及高风险领域三个方面进行披露。6.评价工作依据及缺陷认定标准应当披露公司开展内部控制评价工作的具体依据以及进行缺陷认定的具体标准及其变化情况。7.缺陷认定及整改情况应当区分财务报告内部控制和非财务报告内部控制，分别披露报告期内部控制重大缺陷和重要缺陷的认定结果及缺陷的性质、影响、整改情况、整改计划等内容。直接监管文件：管“尾”对上一年风险控制进行评价财政部、证监Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.中国证监会对上市公司的要求:管“进门”2015年4月，中国证监会对中国核能电力股份有限公司IPO申请材料进行审核，并反馈了16项问题。这些问题，绝大部分和内部控制直接相关。其中财务管理部分直接要求第三方出具内部控制专项审核报告：独立规范：关联交易、信息披露、财务人员独立性（股份总部）市场营销：产品定价、市场竞争（股份总部+子公司）财务管理：成本控制、费用管理、资金管理、税收管理、存货管理（股份总部+子公司）风险评估：重大风险不清晰、过于泛化（股份总部+子公司）资产管理：金融资产、专利技术、土地获得（股份总部+子公司）人力资源：高管任职、薪酬管理（股份总部+子公司）法律管理：证照管理（股份总部+子公司）中国证监会对上市公司的要求:管“进门”2015年4月，中国证Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.为什么要开展风险管理与内部控制经营所需，创造价值为什么要开展风险管理与内部控制经营所需，创造价值Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险管控对企业经营的价值：活得更久自然界生存下来的，既不是四肢最强壮的，也不是头脑最聪明的，而是有能力适应变化的物种。达尔文物种起源风险管控对企业经营的价值：活得更久Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险管控对企业经营的价值：活得明白Onlywhenthetidegoesoutdoyoudiscoverwhosbeenswimmingnaked.WarrenEdwardBuffett只有当潮水退去的时候，你才知道谁在裸泳。沃伦巴菲特风险管控对企业经营的价值：活得明白Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.第三部分如何开展风险管理与内部控制目目 录录第三部分目 录Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险管理与内部控制工作核心固有风险可控风险（内控举措有效性）剩余风险风险辨识识别现有管理举措改善现有管理举措评价剩余风险高低进行风险应对完善内控体系降低剩余风险风险等式1 12 23 34 45 5风险管控就是做减法风险管理与内部控制工作核心 固有风险可控风险剩余风险风险辨Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.制度流程体系授权体系岗位职责体系与现有管理相结合真实反映运行管理现状目标设定风险控制水平评估差异/缺陷认定以风险控制优化为导向优化提升现有管理体系优化至固化是必须的过程内控评价-闭环管理持续优化与长效机制以优化-固化-标准化为思路固化管理程序控制点管理制度化制度流程化流程信息化以信息化为目标建立风控信息化系统诊断优化固化信息化工作实施路径风险管理与内部控制工作路径结合风险管控工作的内在规律和长期的内控建设经验，风险管控体系建设工作以建立风控长效机制为目标，构建风控闭环工作流程，具体包括管理现状诊断、风险控制优化、管理程序固化、内控体系信息化四方面，并以实现管理制度化、制度流程化、流程信息化作为风险管理体系建设的中长目标。风险识别与评估制度流程体系与现有管理相结合 真实反映运行管理现状目标设定以Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.目目标风险识别标风险识别制度流程制度流程优优化化控制控制评评价价控制矩控制矩阵设计阵设计目目标标分解与跟踪分解与跟踪缺陷整改缺陷整改风险风险管控策略管控策略重点控制重点控制查查询监询监控控体系更新体系更新企企业战业战略目略目标标市市场环场环境境内部需求内部需求控制控制执执行行监监控控重要控制重要控制监监督督检查检查缺陷管理缺陷管理绩绩效考核效考核评评价机制价机制设计设计抽抽样测试样测试穿行穿行测试测试风险控制的长效运行机制风险控制评价监督机制风险控制职能部门履行职责风险管理与内部控制工作思路目标风险识别制度流程优化控制评价控制矩阵设计目标分解与跟踪缺Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险管理与内部控制工作程序内部控制评价监督与改进构建体系框架设计及组织建设（明确风险管控功能的相关责任主体机构、价值定位）风险应对与内控梳理（重大及重要风险应对，梳理风险管理程序）风险监控预警（重大及重要风险关键预警指标）风险管理与内部控制文化培养与信息系统支持风险识别与评估（风险识别、风险分析、风险评价）目标设定闭环运行，持续运行、监督改善！风险管理与内部控制工作程序 内部控制评价 Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风控实施程序构建组织架构风险识别与评估风险应对与内控梳理风险监控预警内控监督评价构建合理的风控组织架构构建合理的风控组织架构其中，风险管控“三道防线”的内涵为：所有业务部门和职能部门第一道防线：识别、评估和上报风险，设计并实施内控措施，保存控制执行证据，开展控制自我评价风控管理职能部门内部监督职能部门第二道防线：统筹组织、协调规划、技术支持、监控评价第三道防线：实施内控独立监督评价，促进内控体系的不断优化和完善建设期建设期运行期运行期优化期优化期风控实施程序构建组织架构风险识别与评估风险应对与内控梳理风险Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.明确职责后，需要建立起纵向到底和横向到边的立体网状的风险管控组织机构。分管风控总经理风控主责部门职能部门风控管理岗业务岗1业务岗2业务岗3风控合规岗分公司总经理办公会业务岗1业务岗2业务岗3分管风控总经理风控主责部门职能部门风控管理岗业务岗1业务岗2业务岗3风控合规岗直属项目总经理业务岗1业务岗2业务岗3董事会审计委员会分管风控副总风控主责部门XX事业部/中心职能部门风控管理岗业务岗1业务岗2业务岗3业务一处业务二处业务三处风控合规岗业务岗1业务岗2业务岗3风控合规岗监事会专门委员会总经理办公会审计部董事会审计委员会分管风控总经理风控管理部门XX事业部/中心职能部门风控体系处合规处风控评价处整改处业务一处业务二处业务三处风控合规处业务岗1业务岗2业务岗3风控合规岗监事会专门委员会总经理办公会审计部建立纵向到底（分支机构和并表单位）风险管理组织机构建立横向到边（业务条线和部门）风险管理组织机构内控相关职能的整合与归并内控机构设置是刚性的内控岗位人员可以专职和兼职并举派驻式和内设式构建合理的风控组织架构明确职责后，需要建立起纵向到底和横向到边的立体网状的风险管控Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.制度文件操作规范总体规划n风险管理与内部控制提升方案作为规划指导文件，明确公司风险管控工作的原则和整体要求。n风险管理与内部控制办法，从组织职责分工、风险管控工作内容和工作流程等方面明确对各项工作的基本要求。n围绕风险管理与内部控制办法，分阶段制定风险评估、内控梳理、监控预警、内控评价指引，明确工作操作规范和要求。n根据风险管理与内部控制制度和细化规范，结合实施成果，形成风险管理与内部控制手册。提升方案提升方案提升方案提升方案全面风险管理办法风险评估指引风险监控预警指引风险管理评价指引全面风险管理手册风险管理与内部控制制度体系构建风控组织架构制度文件操作规范总体规划风险管理与内部控制提升方案作为规划指Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险管理与内部控制工作程序构建组织架构风险识别与评估风险应对与内控梳理风险监控预警内控监督评价风险识别风险分析风险评价查找企业各业务单元、各项重要经营活动及其重要业务流程中是否有风险，有哪些风险。对辨识出的风险及其特征进行分析和描述风险发生可能性的高低、评估风险发生后对企业实现目标的影响程度。评估风险的价值，确定风险等级，明确风险管理重点。风险识别风险评价风险分析风险识别与评估风险管理与内部控制工作程序构建组织架构风险识别与评估风险应对Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险信息收集：内部风险内部风险识别管理因素人力资源因素自主创新因素财务因素组织结构经营方式资产管理业务流程营运安全员工健康环境保护研究开发技术投入信息技术财务状况经营成果现金流量职业操守专业胜任能力团队精神安全环保因素*注释：摘自企业内部控制基本规范风险识别风险信息收集：内部风险内部风险识别管理因素人力资源因素自主创Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险信息收集：外部风险外部风险识别经济因素自然环境因素社会因素行业技术因素经济形势产业政策融资环境法律法规监管要求安全稳定文化传统社会信用教育水平消费者行为技术进步工艺改进自然灾害环境状况法律因素市场竞争资源供给*注释：摘自企业内部控制基本规范风险识别风险信息收集：外部风险外部风险识别经济因素自然环境因素社会因Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.以公司主要业务板块的战略目标和经营目标为基础，构建公司风险数据库，建立规范统一的风险语言，为开展风险评估和应对提供基础。公司总部宏观经险风险投资风险现金流风险土地开发板块工程项目风险安全运营风险采购管理风险基础设施板块工程项目风险安全运营风险持续运行风险房地产开发板块工程项目风险安全运营风险采购管理风险投资板块投资组合风险风险评估技术风险持续监控风险公共服务设施板块安全运营风险管道设施风险价格风险安居工程项目风险安全运营风险项目开发设备检修风险价格风险土地资源获取环境保护风险价格风险骨干路网运营安全运营风险价格风险公路运营大修风险路政风险产业园区环境保护风险安全风险商业地产政策风险资金风险酒店运营标准化风险客户体验风险城镇改造政策风险招商风险公共服务设置安全风险管道设备风险配套设施管道设备风险价格风险物业管理环保风险价格风险海外窗口国别风险投资论证风险风险投资人力资源风险退出风险产业投资环境保护风险价格风险风险框架需至上而下，统一设计风险相关概念需明确，使用规范风险命名、分类规则明确风险数据库维护职责机制明确示例示例风险识别以公司主要业务板块的战略目标和经营目标为基础，构建公司风险数Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.战略风险市场风险财务风险运营风险法律风险明确风险分类原则、命名规则编制风险数据库为，风险评估工作的基础。风险识别战略风险市场风险财务风险运营风险法律风险 明确风险分类原则Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.进行风险分析与评价，应将定性与定量方法相结合，详见后表风险分析与评价标准对企业面临的风险进行有效识别后，应对各种风险发生的可能性及其对公司运营造成威胁的大小进行分析和评价，对风险进行排序，形成风险分析结果，为风险控制决策提供科学依据。风险分析与评价 风险分析与评价标准对企业面临的风险进行有效识别后，应对各种Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.根据风险的性质，通常运用说明性标准进行评分 适用于可以通过历史数据计算出风险发生概率的风险 针对大型灾害/事件类的潜在风险 针对日常运营中可能发生的潜在风险数值数值1 1）说明性）说明性2 2）发生概率（定）发生概率（定量）量）3 3）针对大型灾害）针对大型灾害/事件类（定量）事件类（定量）4 4）针对日常营运（定性）针对日常营运（定性）5基本确定=95%今后1年内至少发生1次常常会发生4很可能50-95%今后1年内可能发生1次较多情况下发生3可能30-50%今后25年内可能发生1次某些情况下发生2不太可能5-30%今后510年内可能发生1次极少情况下才发生1几乎不可能5%今后10年内发生的可能少于1次一般情况下不会发生风险发生可能性评价标准（标准应当差异化、本地化）风险分析与评价根据风险的性质，通常运用说明性标准进行评分 适用于可以通过Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险影响程度评价标准（标准应当差异化、本地化）影响程度评分12345定量方法描述税前利润1%以下税前利润的1-5%税前利润的6-10%税前利润的11-20%税前利润20%以上定性方法描述极轻微的轻微的中等的重大的灾难性的极低低中等高极高适用于所有行业企业日常运行不会影响企业的日常运行对企业日常运营有轻度影响，造成轻微的人身伤害，情况立刻受到控制对企业日常运营有中度影响，需要医疗救援，情况需要外部支持才能得到控制企业失去一些业务能力，造成严重人身伤害，情况失去控制但无致命影响重大业务失误及人身伤亡财务影响较低的财务损失轻微的财务损失中等的财务损失重大的财务损失极大的财务损失声誉影响负面消息在企业内部流传，企业声誉未有受损负面消息在当地局部流传，对企业声誉造成轻微损害负面消息在某区域上流传，对企业声誉造成中等损害负面消息在全国各地流传，对企业声誉造成重大损害负面消息造成国际影响，政府或监管机构进行调查，引起公众关注，对企业声誉造成无法弥补的损害风险分析与评价风险影响程度 评价标准（标准应当差异化、本地化）影响程度Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险序号风险名称各项风险之等级分值被选总和各项风险之等级被选次数平均值项:MAXP-AV平均值项:MAXS-AVRiskGrades 排序p1p2p3p4p5s1s2s3s4s5p1p2p3p4p5s1s2s3s4s5R31执行力风险5048162306454116705016446621829143.9342103.28947312.94148194R01政策与宏观经济风险41899108153147812820493327337263243.2105263.19736810.26523545R06投资风险022215621588361168501171443841229174.1315783.32894713.75380882R09整合重组与改制风险5507844306407568552526116620251712.7236842.5526316.952562327R10人力资源风险314968810418788410373222249262122.7763152.5526317.086911356R12集团管控风险748903610646844057243092623281012.5131572.3815785.985283939R14现金流风险712032265883048170760853841012344.1578943.47368414.44321331R20筹资风险116257481585866361011311912382922922.5394732.3421055.9477146810R21偿债风险1250844051044725651225281011022241412.5131572.4605266.183691138R22市场风险6069441804060148406023113640203783.9342103.31578913.04501383根据风险发生的可能性和影响程度的标准，从定量和定性两个角度对企业各类风险进行分分析排序析排序:风险分析与评价风险序号风险名称各项风险之等级分值被选总和各项风险之等级被选Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险序号风险描述风险发生可能性风险影响程度风险等级人数均值人数均值P1P2P3P4P5S1S2S3S4S5R14现金流风险7608534.15789841012343.4736814.4432开展德尔菲调研，运用离散度分析，进行多轮次打分，防止打分过程中的“噪音”。风险分析与评价风险序号风险描述风险发生可能性风险影响程度风险等级人数均值人Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.Risk=可能性*影响程度影响程度极低低中等高极高极高高中等低极低1810734621159可能性根据最终确定风险等级及排序绘制风险坐标图风险坐标图，了解风险分布情况。风险分析与评价Risk=可能性*影响程度影响程度极低低中等高极高极高高中等Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.基于企业价值实现过程明确重大、重要风险分布，以便风险应对：并购整合风险产业结构风险招商引资运作风险投资风险安全质量管理风险项目合作开发风险应收账款风险人力资源风险风险分析与评价基于企业价值实现过程明确重大、重要风险分布，以便风险应对：并识别重大风险，拟定风险应对方案确定风险责任人，明确重大风险管理责任，为重大风险的管理找到“落脚点”示例清晰定义各项风险管理策略，为建立重大风险管理体系搭建良好的基础排序风险名称风险责任部门137人才储备风险人力资源部212组织结构风险人力资源部335制度风险政策法律部45战略规划风险计划发展部5劳动力关系风险人力资源部641执行不力风险内部控制合规审计内控部641执行不力风险外部客户需求、法律行规合规政策法律部77投资决策风险计划发展部821规模风险董事长990工程地质及重大自然灾害风险水电工程工程项目部990工程地质及重大自然灾害风险综合产业工程综合产业部1023能源需求风险商务部示例成果展示风险分析与评价识别重大风险，拟定风险应对方案确定风险责任人，明确重大风险管Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.根据风险评估结果，研究制定重大、重要风险的管理目标和策略，加强风险应对。梳理现有内部控制、专业管理制度加强风险控制；根据内外部环境变化，及时调整、完善风险应对措施，建立健全重大、重要风险应急预案。风险控制=可接受风险度可接受风险度了解业务目标了解风险管理风险适当的内部控制能降低企业所面对的风险至它可接受的风险程度，但不能完全消除所有的风险。风险管理与内部控制工作程序构建组织架构风险识别与评估风险应对与内控梳理风险监控预警内控监督评价风险应对与内控梳理根据风险评估结果，研究制定重大、重要风险的管理目标和策略，加Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险应对策略的制定是指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险控制等适合的风险管控工具的总体策略，并确定风险管控所需人力和财力资源的配置方法的过程。风险应对策略制定内部风险外部风险纯粹风险机会风险：重新部署有限的风险管理资源、止损：设计或重新设计风险控制：积极降低并利用风险：动态跟踪随时应变兵法版风险应对策略：第象限，以风险承担为主，兵来将挡水来土掩；第象限，以风险转移为主，调虎离山围魏救赵避实击虚；第象限，以风险控制为主，擒贼擒王釜底抽薪不战屈人；第象限，以风险规避为主，隔岸观火走为上计；风险应对策略的制定是指企业根据自身条件和外部环境，围绕企业发Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.事前制度组织文化事中事后流程表单系统检查审计奖惩风险应对与内控梳理事 前制度事 中事 后流程检查风险应对与内控梳理Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.成果展示成果展示-基于价基于价值链的内控流程体系框架的内控流程体系框架内控管理框架成果展示-基于价值链的内控流程体系框架内控管理框架Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.依据风险分布情况，结合业务现状、现有制度，对企业业务流程进行分类和梳理，绘制出各业务流程的流程图，以特有的原素符号展现业务逻辑及控制点，将风险关联到责任部门岗位及重要文档输出。流程步骤的责任部门、岗位该流程步骤中涉及的重要文档输出，与步骤编号对应。以各种图元素展现流程步骤及关键控制点举例内控流程梳理依据风险分布情况，结合业务现状、现有制度，对企业业务流程进行流程架构流程架构层级分分类原原则末级流程企业地图流程区域资金管理银行账户管理流程财务管理流程场景采购仓储管理付款管理供应商管理人事管理财务管理物业设备管理IT 管理示例示例价值链分解细化从管控层面面到操作层面流程架构层级分类原则末级流程企业地图流程区域资金管理银行账户可行性研究可行性研究与与审批批流程流程项目目组织与与计划划流程流程组织实施与施与过程程管理管理流程流程 总结与与验收收流程流程 成果成果管理管理流程流程成本风险进度风险人力资源风险内部协调风险课题时效性风险性能缺陷风险资产风险保密风险可研风险技术可行性风险经济可行性风险资金风险资源配置风险目标风险项目组织风险程序风险标准风险舞弊风险误报风险知识管理风险成果转化风险保密风险资产风险时效风险政策波动风险廉洁风险专业技能风险课题优先级风险风险与流程匹配示例示例风险与业务流程匹配成本风险可行性研究项目组织组织实施与 总结与验收流程 Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险应对风险管理策略现行控制措施改进措施风险基本态度策略具体描述内控流程及控制点管理制度其他管理措施管控有效性风险控制目前公司权证的申报、保管、使用等管理工作由相关部门、各单位自行负责管理，企业管理部对所负责权证外借有相关流程表单。但公司尚未制定完善的权证管理制度和内控业务流程，对公司权证进行统一管理。无无/无效公司应制定相关权证管理办法，办法中可对权证的范围及种类、权证归口管理部门职责、权证的申报、保管、使用、借用等程序进行明确的规范，确保资质的管理工作有效开展。公司应梳理权证管理工作内控业务流程，识别出权证借用环节的关键控制点，明确责任部门/单位，列出相关控制文档，确保权证管理工作在有效的控制环境下开展。风险与业务流程匹配风险应对风险管理策略现行控制措施改进措施风险基本态度策略具体Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.对重大风险，建立监控预警指标体系与监控预警机制。对引起风险事件发生的关键成因指标进行管理，确定风险预警指标及预警区间，并建立及时、有效的风险监控预警信息传递机制。风险管理与内部控制工作程序构建组织架构风险识别与评估风险应对与内控梳理风险监控预警内控监督评价风险监控预警对重大风险，建立监控预警指标体系与监控预警机制。对引起风险事Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.确定监控预警方式风险预警有定性和定量两种方式。定性方式预警主要是按照既定的频率对风险进行定性评估，通过评估对风险进行监控。定量方式预警主要是按照既定的频率对风险对应的预警指标进行监控，根据预警指标状况对风险进行监控。两种预警方式的预警思路如下所示：确定监控预警方式 风险预警有定性和定量两种方式。Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.风险辨识风险分析风险评价公司整体风险框架公司整体风险框架关键风险框架关键风险框架风险评估风险评估指标体系设计指标体系设计公司指标库公司指标库风险因素量化关键指标库关键指标库风险因素量化属性属性阈值阈值确定监控方式确定监控方式 制定应对预案制定应对预案 建立应对机制建立应对机制风险预警指标运行系统风险预警指标运行系统管理制度管理制度 信息化信息化 管理流程管理流程设计监控预警指标风险辨识风险分析风险评价公司整体风险框架关键风险框架风险评估Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.重点风险领域关键业务流程关键报告、关键指标关键风险指标识别关键风险指标度量值测算单一风险预警方案设计风险预警机制设计风险偏好范围平衡点一级预警点二级预警点时间设计监控预警指标重点风险领域关键业务流程关键报告、关键指标关键风险指标识别关Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.举例设计监控预警指标举 例设计监控预警指标Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.确定监控预警阀值适度从紧的原则加权平均原则原原则则企业历史值企业考核值企业风险偏好依依据据行业值、企业绩效评价标准值确定监控预警阀值适度从紧的原则加权平均原则原企业历史值企业考Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.根据风险预警指标体系建设要求，预警指标选取重点考虑在不确定的条件下生存与发展的实际情况，在考虑生存的同时，重点考虑公司的发展问题，发展类预警指标阈值区间设定主要防消极和防冲动。较低值平均值超过优秀值的10%超过优秀值的20%消极红灯预警消极黄灯预警冲动红灯预警冲动黄灯预警稳 健较低值平均值较差值良好值优秀值比较分析法历史数据法专家征询法预警区间依据业务个性化设置预警区间依据业务个性化设置确定监控预警阀值根据风险预警指标体系建设要求，预警指标选取重点考虑在不确定的Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.确定监控预警阀值确定监控预警阀值Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.u1、亮灯预警红灯表示存在重大风险（重点跟踪）黄灯表示存在一定风险（予以关注）绿灯表示基本安全u2、趋势预警 绿灯状态的指标，波幅 异常的亮黄灯红色箭头表示较上期恶化绿色箭头表示较上期好转黄色箭头表示与上期没变u3、程度预警u4、波动预警风险监控预警处置1、亮灯预警红灯表示存在重大风险（重点跟踪）黄灯表示存在一定Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.物资供应部党群工作部公司领导燃料管理部人力资源部预警处理监控基础数据计划经营部审计部财务部预警中心燃料卸运部设备管理部发电部检修维护部脱硫部厂办公室安全环保部数据收集与上报预警监控与反馈依靠各部门数据收集与上报，完成预警系统的运行，通过监控结果的反馈与处理，达到风险日常监控与管理的目的。风险监控预警处置物资供应部党群工作部公司领导燃料管理部人力资源部预警处理监控Confidential All Rights Reserved Ernst&Young(China)Advisory Limited.“企业应以重大风险、重大事件和重大决