風險控制目標和控制解釋剖析資料

風險控制目標和控制解釋剖析風險控制簡述通常影響某一風險的因素有很多。風險控制可以通過控制這些因素中的一個或多個來達到目的，但主要的是風險事件發(fā)生的概率和發(fā)生后的損失。前者的例子如室內使用不易燃地毯，山上禁止吸煙等；后者的例子如修建水壩防洪，設立質量檢查防止次品出廠等風險控制的對象一般是可控風險，包括多數(shù)運營風險，如質量、安全和環(huán)境風險，以及法律風險中的合規(guī)性風險2023/2/72相關定義可能性用作對事件發(fā)生概率或頻率的定性描述。頻率：是以規(guī)定的時間內發(fā)生次數(shù)來表達事件發(fā)生率的量度。概率：是以特定事件或結果與可能發(fā)生事件或結果的總數(shù)之比，來量度的特定事件或結果的可能性。概率用數(shù)字0至1來表達，0表示一個不可能的事件或結果，而1表示一個必然的事件或結果。 影響性（Consequence）：后果等級以定量或定性的方式表示的一個事件的結果（一個事件可能有多個與其相關的結果）。2023/2/73相關定義風險點是指風險因素在業(yè)務流程中環(huán)節(jié)的反映和表現(xiàn)。損失是指任何財務或其他方面的負面影響。固有風險是指在沒有考慮控制活動的有效性或其他減小風險的措施沒有付諸實施之前已經存在的風險。剩余風險是指在采取控制活動或其他風險減輕措施后所剩余的風險?？山邮茱L險是指其程度已降低到銀行考慮監(jiān)管要求和內控政策后能接受的水平的風險。2023/2/74風險事件類型內部欺詐外部欺詐就業(yè)制度和工作場所安全事件客戶、產品和業(yè)務活動事件實物資產的損壞IT系統(tǒng)事件執(zhí)行、交割和流程管理事

2023/2/75現(xiàn)有控制描述流程內控制控制與風險重合控制環(huán)節(jié)前置控制環(huán)節(jié)后置

2023/2/76現(xiàn)有控制描述流程外控制其他流程控制（如監(jiān)控流程控制）非流程控制（如政策控制、責任控制）2023/2/77現(xiàn)有控制描述風險與控制重合控制 2控制 1控制 315243控制 4非流程控制5

2023/2/78現(xiàn)有控制評價控制有效當采取控制措施后，風險等級從不可接受（E、H、M）達到I（極小風險）時，控制基本有效當采取控制措施后，風險等級從不可接受（E、H、M）達到L（低風險）時，可2023/2/79現(xiàn)有控制評價控制不足當采取控制措施后，風險等級仍處于從不可接受（E、H、M）時，可以認為控制不足，需要進一步采取控制措施控制過度當采取控制措施后，風險等級能夠從不可接受（E、H、M）達到基本可接受L（低風險）或I（極小風險），但為此付出的控制的成本過高，適當減少控制時仍能使風險處于可接受狀態(tài)，此時可以認為控制過度2023/2/710風險控制策劃風險評估底稿控制目標風險評估結果判斷是否增加控制措施

分析新增控制措施確定新增控制措施確定實施部門

確定監(jiān)控部門生成控制底稿分析控制效果

風險控制底稿2023/2/711控制目標對于所有風險因素均需明確具體的控制目標2023/2/712改進控制方案對于經評估認為需要改進控制措施的，在新增控制措施填列所增加的措施，對于不需要新增加措施的，可以不填2023/2/713控制部門/崗位對風險控制自評進行控制的部門或崗位2023/2/714全面風險管理的必要舉措內部控制是通過有關企業(yè)流程的設計和實施的一系列政策、制度、程序和措施，控制影響流程目標的各種風險的過程內控系統(tǒng)是全面風險管理的重要組成部分，是全面風險管理的基礎設施和必要舉措一般說來，內部控制系統(tǒng)針對的風險一般是可控純粹風險，其控制對象是企業(yè)中的個人，其控制目的是規(guī)范員工的行為，其控制范圍是企業(yè)的業(yè)務和管理流程2023/2/715內控制定的原則企業(yè)制定風險解決的內控方案，應滿足合規(guī)的要求，堅持經營戰(zhàn)略與風險策略一致、風險控制與運營效率及效果相平衡的原則，針對重大風險所涉及的各管理及業(yè)務流程，制定涵蓋各個環(huán)節(jié)的全流程控制措施；對其他風險所涉及的業(yè)務流程，要把關鍵環(huán)節(jié)作為控制點，采取相應的控制措施。2023/2/716內控系統(tǒng)的歷史發(fā)展內部控制的概念始于上一世紀初的財務控制，在80年代以后逐漸受到各國的重視，特別是監(jiān)管機構的重視。在發(fā)展過程中，內部控制的理論吸收了控制論、系統(tǒng)論、組織理論、行為科學、心理學、管理學等多學科的內容美國COSO組織1992年的整合內控體系對世界各國公司立法和管理影響巨大美國2002年通過的薩班斯法案將建立和維持有效的內控系統(tǒng)作為對上市公司的法律合規(guī)要求2023/2/717內控設計的基本原則全面性–覆蓋企業(yè)所有重要業(yè)務及管理流程和流程的全過程系統(tǒng)性–按統(tǒng)一原則制定，與風險策略一致合規(guī)性–符合國家有關法律法規(guī)成本效益–控制與收益平衡權力分離及相互制約–崗位之間相互制約，重要流程及決策不能由一個人完成2023/2/718內控設計的基本原則激勵平衡–權責明確及獎懲結合信息反饋–內部控制應有自我調節(jié)功能可操作性–根據(jù)企業(yè)現(xiàn)有操作水平制定包容性–不致因個別環(huán)節(jié)失靈導致全系統(tǒng)失靈2023/2/719內控的設計按照風險管理的基本流程進行：對象流程的環(huán)境信息，包括目標、全流程各個步驟、有關法規(guī)制度風險評估設計控制策略設計控制措施監(jiān)控改進2023/2/720內控的設計監(jiān)控改進制定風險管理策略風險評估1.2.5.4.3.信息溝通貫穿始終制定實施解決方案建立初始信息2023/2/721

內控與流程再造

內控設計以流程為基礎。因此，在建立內部控制系統(tǒng)時，首先要梳理現(xiàn)有的管理和業(yè)務流程。必要時，建立相關的流程完善的流程包括完善的內部控制；設計內控的過程也是完善流程的過程。因此，涉及內部控制的過程一般會涉及流程的再造，加強現(xiàn)有流程的內控也是流程再造的一部分2023/2/722流程的內部控制

流程風險控制點控制措施?流程是否存在設計是否合理職責是否明確執(zhí)行是否嚴格獎懲是否明白效果是否滿意關鍵績效區(qū)

風險是否辨識影響什么指標影響哪些流程影響哪些部門或哪一級企業(yè)分析是否徹底應對是否存在設計是否合理職責是否明確是否經過檢驗效果是否滿意2023/2/723薩班斯法案404條款的要求在美國上市的中國公司應當遵守薩班斯法案的要求薩班斯法案要求所有美國的上市公司要在所有與財務報告有關的流程建立并維持足夠的內部控制因此，滿足薩班斯法案的第一步就是識別所有與財務報告有關的流程外部審計師須對公司的財務報告流程的內部控制進行審計，并出具意見404條款-年度財務報告內部控制的公司管理層報告書設立并維持了足夠的財務報告內控體系；財務報告內控體系有效性的評價；為評價財務報告內控體系而采用的評價體系的說明。Sarbanes-OxleyActof20022023/2/724內控的基本應對手段授權報告批準責任審計檢查考核評價預警法律風險防范體系權力制衡內部控制的系統(tǒng)主要包括企業(yè)的過程、程序、政策、準則、方針、結構、規(guī)范2023/2/725建立授權制度

(一)建立內控崗位授權制度。對內控所涉及的各崗位明確規(guī)定授權的對象、條件、范圍和額度等，任何組織和個人不得超越授權做出風險性決定；授權制度至關重要。要做到事事有授權，尤其是重大決策更是要明確的授權授權應當遵循崗位分離的原則，授權范圍要適當。不可過寬，過寬則內控失靈；不可過窄，過窄則影響效率授權應當結合激勵機制，明確授權的同時明確獎懲信息系統(tǒng)在流程中的使用有助授權制度的剛性化2023/2/726建立內控報告

(二)建立內控報告制度。明確規(guī)定報告人與接受報告人，報告的時間、內容、頻率、傳遞路線、負責處理報告的部門和人員等；內控報告制度是內控信息反饋原則的具體體現(xiàn)內控報告制度是內控的有效性保證，其作用是使各級管理層和企業(yè)內外部的利益相關人能夠及時得到企業(yè)的內控的真實信息內控報告制度是風險管理信息溝通，其時間、頻率、內容等應與針對的風險匹配2023/2/727建立內控批準制度

(三)建立內控批準制度。對內控所涉及的重要事項，明確規(guī)定批準的程序、條件、范圍和額度、必備文件以及有權批準的部門和人員及其相應責任；內控批準制度是授權制度的表現(xiàn)對內控所涉及的重要事項，如重大決策與重要信息的披露等建立明確的批準制度，使得流程的控制更加嚴密要堅持風險控制與運營效率及效果相平衡的原則，對公司內控所涉及的事項進行分級、分類的管理，同時可利用信息系統(tǒng)提高運營效率2023/2/728建立內控責任制度

(四)建立內控責任制度。按照權利、義務和責任相統(tǒng)一的原則，明確規(guī)定各有關部門和業(yè)務單位、崗位、人員應負的責任和獎懲制度；內控責任制度應與內控授權制度配套，并配之以合理的獎懲措施要明確每一個員工在內部控制中的責任及其獎懲，并嚴格執(zhí)行。沒有獎懲制度的責任會落空，不嚴格執(zhí)行的獎懲制度也會落空內控責任可能與業(yè)務無關，但同樣需要考核2023/2/729建立內控審計檢查制度內控審計制度是內控系統(tǒng)中的重要組成部分，是內控系統(tǒng)執(zhí)行風險管理基本流程中監(jiān)控改進步驟的重要環(huán)節(jié)，使保證內控有效并不斷提高的關鍵應當堅持審計部門與內控的執(zhí)行部門的相對獨立內控審計的計劃和審計報告應當?shù)玫斤L險管理委員會的批準內控審計是審計業(yè)務的一個新事物，但是國際上的趨勢。公司應當高度重視，配備人才，做好這項工作

(五)建立內控審計檢查制度。結合內控的有關要求、方法、標準與流程，明確規(guī)定審計檢查的對象、內容、方式和負責審計檢查的部門等；2023/2/730建立內控考核評價制度

(六)建立內控考核評價制度。具備條件的企業(yè)應把各業(yè)務單位風險管理執(zhí)行情況與績效薪酬掛鉤；內控的績效考核是內控的獎懲措施的落實在有條件時，要量化內控的績效。可以考慮使用如內控失靈造成的損失、產生的次質品、客戶滿意度，人才流失度等指標來衡量內控的效果不能量化內控的績效時，可以采用同行評比，專家意見等方法2023/2/731建立重大風險預警制度

(七)建立重大風險預警制度。對重大風險進行持續(xù)不斷的監(jiān)測，及時發(fā)布預警信息，制定應急預案，并根據(jù)情況變化調整控制措施；關于建立重大風險的預警制度，可參考前面關鍵風險指標管理的內容2023/2/732法律風險管理

(八)建立健全以總法律顧問制度為核心的企業(yè)法律顧問制度。大力加強企業(yè)法律風險防范機制建設，形成由企業(yè)決策層主導、企業(yè)總法律顧問牽頭、企業(yè)法律顧問提供業(yè)務保障、全體員工共同參與的法律風險責任體系。完善企業(yè)重大法律糾紛案件的備案管理制度；法律風險管理是企業(yè)全面風險管理的一部分，管理企業(yè)法律風險要服從企業(yè)整體風險管理策略隨著市場環(huán)境的變化和國企走出國門，法律風險日益突出要充分考慮到法律風險的環(huán)境特性和復合特性，即法律風險管理的專業(yè)性2023/2/733建立重要崗位權力制衡制度

(九)建立重要崗位權力制衡制度，明確規(guī)定不相容職責的分離。主要包括：授權批準、業(yè)務經辦、會計記錄、財產保管和稽核檢查等職責。對內控所涉及的重要崗位可設置一崗雙人、雙職、雙責，相互制約；明確該崗位的上級部門或人員對其應采取的監(jiān)督措施和應負的監(jiān)督責任；將該崗位作為內部審計的重點等。這是內控的基本原則首先要明確重要的崗位，涉及重大決策制定、重大事件應對、重大風險管理、重要信息的披露等的責任應視為重要崗位完善的公司治理制度，即董事會和管理層的分離、決策層和執(zhí)行層的分離是權力制衡的設計典范特別要注意在大的流程設計層面，重要流程及決策不能由一個人或一個部門自始至終完成2023/2/734內控手冊內