如何建立

風險與內控管理體系

金蝶軟件（中國）有限公司12/13/20221如何建立

風險與內控管理體系

金蝶軟件（中國）有限公司12/一位財務總監的破冰之旅公司正面臨哪些風險？最大的風險來自何方？如何應對與化解風險？怎樣保證風險治理成果？新的征程在那里？讓我們開始風險管控之旅吧！一位財務總監的破冰之旅公司正面臨哪些風險？最大的報告主題上市公司風險面面觀什么是風險管理框架建立風險與內控體系的途徑內部控制成果的評價風險與內控的信息化解決之道報告主題上市公司風險面面觀報告主題上市公司風險面面觀什么是風險管理框架建立風險與內控體系的途徑內部控制成果的評價風險與內控的信息化解決之道報告主題上市公司風險面面觀上市，是企業發展的加速器企業經營企業融資集團經營企業投資管控風險穩健擴張小型企業中型企業大型企業集團企業上市上市，是企業發展的加速器企業經營企業融資集團經營企封閉公司向公眾公司轉變的要求投資回報公司治理外部監管信息透明風險管控戰略風險經營風險合規風險財務報告信息披露關聯交易經濟附加值投資回報證監會投資人銀行兩權分離三會分立封閉公司向公眾公司轉變的要求投資回報公司治理外部監管信息透明觸目驚心的事實，促使全球商界、金融界、政府重新審視上市公司風險控制的內部制度和外部環境。公司上市就一定會成功嗎？2008年，美國著名投行貝爾斯登等倒閉；2002年美國世通公司丑聞；2001年美國安然公司倒臺；1997年日本八百半公司破產；1995年英國巴林銀行的破產；……2008年中信泰富因外匯衍生金融工具而虧損20億美元；2008年香港合俊集團因金融危機倒閉；2004年中航油炒作原油期貨巨虧5.5億美元；1998年香港百富勤投資集團破產；銀廣夏造假、達爾曼資金黑洞、托普神話、德隆危機……內部風險控制的疏漏導致：觸目驚心的事實，促使全球商界、金融界、政府重新審視上我國上市公司風險一覽

上市公司風險災害風險經營風險組織風險法律風險財務風險系統風險債務危機清算危機收購危機發行危機系統性危機決策失誤營銷失敗科研失敗信用危機退市危機重大事故自然災害核心人物意外反傾銷危機知識產權勞動糾紛違規違法組織結構危機內部沖突危機治理結構危機我國上市公司風險一覽上市公司災害經營組織法律財務系統債管理層決策層運作層集團管控的九大難題管控模式選擇難跨地多元管控難集團戰略執行難信息孤島溝通難財務信息反饋難決策信息獲取難資金監控調度難成本費用降低難人力資源統管難管理層決策層運作層集團管控的九大難題管控模式選擇難信息孤島溝強化風險管控對上市企業管理提出新的要求2002年美國國會通過《薩班斯—奧克斯利法案》，強制要求企業建立內部控制制度，加強風險管理。2008年財政部、證監會、審計署、銀監會、保監會聯合頒布《內部控制基本規范》，將有利于提高上市公司的經營管理水平和風險防范能力。2006年2月，財政部頒布《新會計準則》，要求上市公司率先執行，為投資者和社會公眾提供有用的決策信息。9月，上海、深圳證交所分別發布《上市公司內部控制指引》，促進上市公司規范運作和健康發展。6月，國資委出臺《中央企業全面風險管理指引》，要求中央企業建立健全風險管理體系。強化風險管控對上市企業管理提出新的要求2002年美國國會通過萬科-中國房地產行業的領跑者和長青樹

精心運作型土地增值型服務增值型概念創新型金融投資型案例中海北辰萬科萬通首創客戶選擇根據土地選擇客戶北京由外至內發展跨地域發展房地產開發商一般消費者跨地域客戶群體主流群體中高端市場現房出租不動產服務跨地域發展選擇項目升值潛力參控股投資項目多跨地域發展價值獲取項目驅動滿足客戶要求靠土地增值客戶開發銷售商場經營在低成本土地基礎上依靠品牌和服務獲取高價值DIY-萬通筑巢網多種收益手段（供應、服務）靠房地產升值獲取投資回報戰略控制內部運作流程資金品牌土地儲備資金物業建品牌跨地域項目復制資金規模土地儲備客戶要求的控制和實現準確的機會評估投融資控制土地儲備業務范圍房地產開發物業管理房地產開發商場經營物業房地產開發開發銷售服務管理房地產投資二手房投資30年來，房地產行業群雄并起，涌現出一大批規模、利潤、品牌優秀的企業，這其中萬科始終以其規模、業績、品牌和經營質量獨占鰲頭，被譽為中國房地產行業的長青樹。2008年市場占有率逆市上升。萬科-中國房地產行業的領跑者和長青樹精心運作型土地增值型服萬科在資本市場的表現融資時間融資方式融資額1988年A股公開上市2800萬1991年定向增發1.27億1993年H股公開上市4.5億港元1997年定向增發3.8億………2006年定向增發42億2007年定向增發100億合計10次193.33億萬科在資本市場的表現融資時間融資方式融資額1988年A股公開萬科30年發展歷程中的2次重要戰略演變第2個10年：專業化第3個10年：精細化第1個10年：多元化從行業多元化聚焦于地產從多品種經營聚集于住宅持續重視戰略先行持續重視客戶忠誠度提升持續重視并細分品牌持續重視人才持續重視市場細分持續重視投資者和股東回報持續重視網絡資源績效化持續重視社會責任持續重視融資和融資渠道持續重視樹立對標企業涉及商業、地產、貿易、傳媒等多元化發展。涉及住宅、商業、工業地產萬科30年發展歷程中的2次重要戰略演變第2個10年：專業化第

“通過成本管理能夠創造幾億甚至十幾億的利潤空間，萬科運用金蝶EAS系統，成本管理已經能精細化到一根電線，EAS系統領先業內同行數年，金蝶EAS實現了財務、成本、資金、審批流程的良好集成，為萬科提供了數據共享的快樂”----萬科成本管理部總經理劉石磊信息化手段是萬科實現精細化管理的利器“通過成本管理能夠創造幾億甚至十幾億的利潤空間，萬目錄上市公司內部控制風險面面觀什么是風險管理框架我國上市公司風險管理現狀《企業內部控制基本規范》概要建立風險導向的內部控制框架體系實施風險與內控的途徑、方法企業內部控制成果的評價信息化：企業風險與內控解決之道目錄上市公司內部控制風險面面觀我國上市公司風險管理現狀德勤華永會計師事務所有限公司最新《中國上市公司內部控制調查分析報告》的調查結果顯示，中國上市公司約58.82%的企業為應對金融危機而指定了專門的部門落實風險管理和內控工作，但是，僅有23.53%的企業將內控工作的重點從書面制度轉變為具體實施；僅約17.65%的企業進行了內部控制評價。缺乏對風險意識和企業文化的重視企業治理結構有待完善“人治”代替“法制”的觀念根深蒂固內部控制體系與企業運營難以有效結合內部控制的執行力難以保證內部控制信息溝通不暢信息系統控制薄弱我國上市公司風險管理現狀德勤華永會計-實物牽制-薄記牽制COSO內部控制整體框架企業全面風險管理COSOERM框架內控評價內部審計~1940’s1940’s~1970’s1980’s~1990’s1990’s21世紀內部牽制內部控制結構完善-控制環境-會計系統-控制程序-控制環境-風險評估-控制活動-信息溝通-監督-建立內控-數據準確一致-內控可靠性-控制環境-目標設置-事件辨識-風險評估-風險反應-控制活動-信息溝通-監督風險管理的發展-實物牽制COSO企業全面內控評價~1940’s1940’s企業內部控制基本規范五目標五原則五要素全面性原則重要性原則制衡性原則適應性原則成本效益原則合法合規資產安全財務報告經營績效戰略實現七項一般控制措施不相容職務分離控制授權審批控制會計系統控制財產保護控制預算控制運營分析控制績效考評控制財政部、證監會、審計署、銀監會、保監會五部委共同發布內部環境風險評估控制活動信息與溝通內部監督五個五：五目標、五原則、五要素、五部委發布共五十條企業內部控制基本規范五目標五原則五要素全面性原則合法合規七項建立內部控制體系的技術依據

企業內部控制基本規范企業內部控制應用指引企業內部控制評價指引企業內部控制鑒證指引2008年6月28日財政部、證監會審計署、銀監會保監會五部委聯合發布。適用于企業、監管機構、咨詢方、審計師適用于審計師建立內部控制體系的技術依據企業內部控制企業內部控企業內部內部控制應用指引1．組織架構及權責分配（治理結構、機構設置、權責分配、內部審計、總分公司等內容）2．母子公司（母子公司治理結構下母公司對子公司的控制問題）3．安全環保與社會責任（理念、制度、投入、管理、檢查等內容）4．人力資源管理（擴充原內容，對人力資源進行全方位、全過程控制）5．貨幣資金（擴充內容，不局限于收付程序的審批，對資金管理中的高風險問題進行提示）6．采購與銷售（購銷高風險業務環節控制，對以下各業務與事項的控制相似）7．工程及實物資產8．研發及無形資產9．籌資10．對外投資11．運營管理（生產經營過程控制）12．信用管理（授信管理問題，包括對往來客戶、分子公司等的授信政策和管理等）13．預算管理14．擔保與投保15．合同協議與法律事務16．重組與并購17．關聯交易18．內部報告與信息系統（側重內部報告機制建設和信息系統安全控制，包括反舞弊問題等）19．對外報告（含信息披露）20．銀行業務（含信托業務）21．保險業務22．證券業務（含基金業務）應用指引項目構成（征求意見稿）內部控制應用指引1．組織架構及權責分配（治理結構、機構設置、內部控制評價指引內部控制評價，是指由企業董事會和管理層實施的，對企業內部控制有效性進行評價，形成評價結論，出具評價報告的過程。內部控制有效性是指企業建立與實施內部控制能夠為控制目標的實現提供合理的保證。企業實施內部控制評價，包括對內部控制設計有效性和運行有效性的評價。信息系統的有效性評價包括信息系統一般控制評價和信息系統應用控制評價。企業集團對被評價單位內部控制的有效性的評價。內部控制評價的內容和標準內部控制評價工作方案內部控制評價工作程序內部控制評估和測試的方法內部控制有效性相關的證據內部控制有效性相關的判斷內部控制評價證據保存內部控制評價證據報告內部控制評價的程序和方法內部控制缺陷分類（一般可分為設計缺陷和運行缺陷）內部控制缺陷判的斷則內部控制缺陷判的整改年度內部控制評價報告內部控制缺陷認定和評價報告總則適用范圍、概念、基本原則、評價組織內部控制評價指引內部控制評價，是指由企業董事會和管理層實施的內部控制鑒證指引企業內部控制鑒證，是指會計師事務所接受委托，對企業與財務報告相關的內部控制的有效性進行鑒證，并發表鑒證意見。企業內部控制鑒證指引是注冊會計師執行企業內部控制(以下簡稱內部控制)鑒證業務的業務規范。制定鑒證計劃

實施鑒證工作評價控制缺陷評價控制缺陷完成鑒證工作

鑒證報告工作底稿總則內部控制鑒證指引企業內部控制鑒證，是指會計師事務所接受委托，企業內控與風險管理觀念的轉變低層次/經營層次。風險監控是內部審計人員的職能。風險是一個需要控制的負面因素。風險管理在企業各部分個別展開風險管理的責任被委派到低層次的人員風險的衡量是主觀的無組織以及雜亂的風險管理職能注重操作董事會關注是CEO的工作(也是董事會的監管)風險其實是一個機會在整個企業范圍內進行一體化的風險管理風險管理的責任由高級和部門管理人員承擔風險的數化風險管理被納入所有企業管理系統企業內控與風險管理觀念的轉變低層次/經營層次。風險監控是內部內控與風險管理的三大動力管控需要環境變化法規要求企業國際：COSO、SOX等國內：企業內控規范、指引等全球經濟一體化全球經濟危機提高戰略執行力的需要強化企業（集團）管理控制內控與風險管理的三大動力管控需要環境變化法規要求企業國際：C內控與風險管理的三大需求公司層面：流程層面：將內部控制嵌入管理流程，實現管理和業務過程的內部控制。法規層面：建立和遵從內控制度的相關記錄與報告。建立公司內控與風險管理環境。監控內控與風險管理體系的運行。違規防范降低認證成本風險管理實現穩健經營內部控制強化戰略執行三大需求是企業的普遍需求；其中內部控制是各類企業的基本需求；上市類公司及國資委企業出于法規的要求對風險管理有較高要求；金融類公司出于國際、國內法規要求對違規防范（合規管理）有更高要求。內控與風險管理的三大需求公司層面：流程層面：將內部控制嵌入管內控與風險管理的三大價值奠定基礎穩健成長法規遵從以客戶為導向，優化重組流程，確保業務流程協調一致、高效運行；引入風險意識，將內部控制嵌入企業日常管理與業務流程中；以戰略為目標，整合優化流程，實現企業戰略執行與內部運營的和諧。以戰略為導向，納入風險管理意識，建立企業內控與風險管理環境；以內控體系為基礎，建立全面的風險監控體系；以風險預警為手段，全面監控企業戰略風險，確保企業穩健成長。以相關政策法規為指南，建立內控與風險管理體系；以內控與風險管理體系為保障，確保企業運行符合相關政策法規要求；以內控與風險管理體系的合理設計與有效運行為基礎，履行法規要求的記錄與報告責任。內控與風險管理的三大價值奠定基礎穩健成長法規遵從以客戶為導向內控與風險管理的三大障礙缺乏良好的控制環境法人治理結構不健全，內部控制的外部約束較弱；公司治理結構中責任不到位；缺乏績效考核對內部控制與風險管理的引導機制高管層缺乏自主控制意識沒有形成重視風險的控制文化缺乏內部控制方法理論缺乏理論指導，以最佳實踐為參考，注重對事件本身的控制，忽視對責任人的行為尤其是高管層行為的控制；沒有完善的行權、職責、反饋、改進規范；把內控看成一套制度，而不是過程，缺乏動態理念。崇尚經驗式管理對管理的有效性和制度的適當性缺乏評價標準制度擬定部門從自身利益考慮，造成跨部門流程斷裂或交叉對重要的職責與權限劃分有較大的隨意性，重權力劃分，輕責任歸屬缺乏系統的風險評估方法和工具缺乏定期反饋和修正機制就內部控制建設而言，目前國企最缺乏的是制度化的風險評估以及科學的風險應對策略。內部控制環境是內部控制是否有效的關鍵因素。內控方法論應在行為管理學理論基礎上創新發展內控與風險管理的三大障礙缺乏良好的控制環境缺乏內部控制方法理內部環境基本框架管理層CEO第三道防線第二道防線第一道防線業務部門董事會風險管理內部審計審計委員會風險管理委員會一個基礎三道防線一種文化企業風險管理文化內部環境基本框架管理層第三道防線第二道防線第一道防線業務部門OECD公司治理結構原則保護股東權利平等對待股東利害相關者的作用及時準確地披露信息董事會的責任一個基礎：公司治理結構狹義的公司治理是指一組聯結并規范公司股東、董事會、經理人之間責、權、利關系的制度安排。廣義上，公司治理還包括公司與其他利益相關者（Stakeholder，如員工、客戶、供應商、債權人和社區等）之間的關系，以及有關的法律、法規和上市規則等。公司治理提供了對風險由上而下的監控與管理。近年多個國家都訂立了公司治理的最佳守則：美國：紐約證交所最佳治理守則英國：Cadbury/HampelReport、TheCombinedCode加拿大：DeyReportOECDReport這些最佳守則均清楚指出建立風險管理是董事會及管理層的責任OECD公司治理結構原則保護股東權利平等對待股東利害相關者的公司治理結構的內控職責企業應當根據國家有關法律法規和企業章程，建立規范的公司治理結構和議事規則，明確決策、執行、監督等方面的職責權限，形成科學有效的職責分工和制衡機制。股東（大）會董事會經理層監事會享有法律法規和企業章程規定的合法權利，依法行使企業經營方針、籌資、投資、利潤分配等重大事項的表決權。對股東（大）會負責，依法行使企業的經營決策權。負責風險與內控建立健全和有效實施。負責組織實施股東（大）會、董事會決議事項，主持企業的生產經營管理工作。負責組織領導企業內控與風險管理的日常運行。

對股東（大）會負責，監督企業董事、經理和其他高級管理人員依法履行職責。對董事會建立與實施內控與風險管理進行監督。公司治理結構的內控職責企業應當根據國家有關法律法規和企業章程風險管理組織體系及其職責內容董事會風險管理委員會總經理風險管理專職部門其他職能部門監督部門工作報告審議工作報告在董事會領導下，審議并提交風險管理各項方案、報告主持全面風險管理日常工作提出風險管理工作報告執行風險管理基本流程和制度規范。負責本部門工作。開展監督評價，出具評價報告風險策略確定風險管理總體目標和策略提出風險管理策略風險評估批準重大風險評估報告研究提出跨部門重大風險評估報告控制決策重大風險控制決策研究提出跨部門重大風險管理方案監督評價批準監督評價報告負責有效性評估提出改進方案組織機構批準組織協調日常工作風險管理組織體系及其職責內容董事會風險管理委員會總經三道防線：風險管理組織體系業務單位包含了企業大部分的資產和業務，它們在日常工作中面對各類的風險，是企業的前線企業必須把風險管理的手段和內控程序融入到業務單位的工作與流程中，才能建立好防范風險的第一道防線第二道防線是風險管理委員會風險管理部職責包括：編制規章制度對各業務單位的風險進行組合管理度量風險和評估風險的界限建立風險信息系統和預警系統、厘定關鍵風險指標負責風險信息披露、溝通、協調員工培訓和學習的工作按風險與回報的分析，為各業務單位分配經濟資本金第三道防線涉及一個獨立于業務單位的部門，監控企業內控和其他企業關心的問題。內部審計的三大功能：財務監督，包括財務帳的可用性、內部管理和制度的執行。經營診斷，包括管理審計以及效率和效益審計、檢查和診斷經營和管理過程中的偏差和失誤。咨詢顧問，包括企業風險管理和發展策略方面的咨詢、調查領導關心的熱點問題和管理薄弱環節。風險業務單位防線第二道防線第一道防線第三道防線風險管理單位防線內審單位防線三道防線：風險管理組織體系業務單位包含了企業大部分的資產和業目錄上市公司風險面面觀什么是風險管理框架實施風險與內控的途徑企業內部控制成果的評價信息化：企業風險與內控解決之道目錄上市公司風險面面觀構建風險與內控體系的五個階段測試總結評估計劃推廣構建風險與內控體系的五個階段測試總結評估計劃推廣內部控制體系構建的計劃階段項目計劃的制定項目啟動的準備工作項目范圍的確定項目的時間和人員預算培訓內部控制體系構建的計劃階段項目計劃的制定計劃階段----項目計劃的制定建立項目組審計委員會項目領導小組A公司**CEO咨詢方**合伙人領導團隊項目管理辦公室A公司;**副總**負責經理咨詢方：**負責合伙人**負責經理執行團隊流程組1組長：**組員：**流程組2組長：**組員：**流程組3組長：**組員：**流程組4組長：**組員：**技術支持團隊咨詢方：**合伙人**經理計劃階段----項目計劃的制定建立項目組審計委員會項目領導小

辦公室和辦公設施集中的辦公場所電腦、互聯網、電話、電話會議或視頻會議，打印設備等項目運作基礎管理辦法項目運營的內部政策，如技術指令的發布程序、技術資料的保管程序、項目組資料的保密要求、項目工作成果審核辦法、考核辦法出差住宿的相關政策、項目組動態聯系方式項目組聯系清單姓名、所屬公司、所屬團隊、辦公電話、手機號碼、郵箱計劃階段----項目計劃的制定項目啟動的準備工作辦公室集中的辦公場所項目運作項目運營的內部政策，如技術計劃階段----項目計劃的制定項目范圍的確定1、了解企業內部控制現狀企業的組織架構，包括企業本部或總部的部門設置，還包括整個企業集團內的組織結構；分析業務類型，確定不同的業務類型對企業集團重要財務指標的貢獻度；企業內部控制體系的現狀管理層目前對內部控制的看法。內部控制調查方法

閱讀：財務報告、組織結構圖、部門權責、相關業務流程問卷：網上發布、手工填寫、收集整理訪談：對有代表性部門的重要崗位人員進行訪談。計劃階段----項目計劃的制定項目范圍的確定計劃階段----項目計劃的制定公司運營現狀記錄表（樣例）公司經營現狀;背景信息組織結構及重要業務單元----公司整體組織框架----業務單元或單位企業1----業務單元或單位企業2----業務單元或單位企業3----業務單元或單位企業*重要流程----業務流程1----業務流程2----業務流程3----業務流程*重要系統----整體it組織框架背景信息----系統1----系統2----系統3----系統*審計及風險考慮事項財務報告目標----截止性----有效性----完整性----估價----記錄----表達計劃階段----項目計劃的制定公司運營現狀記錄表（樣例）公司計劃階段----項目計劃的制定項目范圍的確定2、確定具體的項目范圍方法一：以公司具體業務作為項目范圍：如全面預算、合同管理、采購業務、銷售業務、研究與開發、資金活動、資產管理、工程項目、銀行業務、證券期貨業務、保險業務、擔保業務、業務外包、財務報告等業務；方法二：按照重要性原則，確定具體的項目范圍主要是為了滿足“財務報告及相關信息的真實、完整”的目標。計劃階段----項目計劃的制定項目范圍的確定計劃階段----項目計劃的制定確定重要性項目的財務報表分析法第一步:確定重要性水平：如總資產的0.5%-1%稅后凈利潤的5%-10%凈資產的1%營業收入的0.5%-1%第二步：根據重要性水平，選擇單獨重要的單位。第三步：考慮定性因素，確定單獨重要的單位。第四步：考慮覆蓋率，確定重要單位第五步：確定重要的會計報表科目和披露事項第六步：根據第五步確定重要的業務流程第七步：利用覆蓋率，確定需要納入范圍的具體業務流程第八步：最后的定性考慮計劃階段----項目計劃的制定確定重要性項目的財務報表分析法計劃階段----項目計劃的制定公司2008年賬戶支持業務流程貨幣資金資金管理、采購與支出、收入與成本核算、固定資產、工資與人事、財務報告與關賬應收賬款收入與成本核算、財務報告與關賬存貨采購與支出、收入與成本核算、存貨管理、財務報告與關賬長期股權投資資金管理、財務報告關賬固定資產固定資產、財務報告關賬商譽固定資產、財務報告關賬短期借款資金管理、財務報告關賬應付賬款應付職工薪酬采購支出、固定資產、財務報告與關賬職工與人事、財務報告與關賬應繳稅費工資與人事、財務報告與關賬、收入與成本人事實收資本資金管理、財務報告與關賬營業總收入收入與成本核算、財務報告與關賬財務費用資金管理、財務報告與關賬------概要重要的普遍存在的流程管理信息技術管理財務報告與關賬管理披露

重要的交易流程資金管理采購與支出收入與成本核算固定資產工資與人事存貨管理

計劃階段----項目計劃的制定公司2008年賬戶計劃階段----項目計劃的制定項目的時間和人員預算

項目時間安排用倒推法

1、披露內部控制評估報告和審計報告2、董事會審議內部控制評估報告，審計師出具審計報告。3、管理層進行的內部控制測試及審計師實施的內部控制審計4、管理層進行的內部控制測試及內部控制的整改。5、內部控制梳理及構建計劃階段----項目計劃的制定項目的時間和人員預算計劃階段----項目計劃的制定培訓1、項目組內的技術培訓：

統一技術語言，掌握相關技術、確保項目順利進行。（主要采用課堂式講授、小組討論、角色扮演）2、項目組外人員的培訓：

介紹內部控制的基本理念、內部控制優化的重要意義、需要各部門什么樣的配合和支持等。(課堂式講授）計劃階段----項目計劃的制定培訓構建風險與內控體系的五個階段測試總結評估計劃推廣構建風險與內控體系的五個階段測試總結評估計劃推廣評估階段風險識別風險評估控制活動的識別風險應對風險控制評估階段風險識別評估階段----風險識別風險識別：要了解企業面臨的風險有哪些？他們各自的風險因素是什么？如果發生會有什么后果？導致風險事故的原因有哪些？風險識別中的關鍵問題：風險識別方法的選擇風險識別路線的選擇風險系統的預測和以往資料的利用評估階段----風險識別風險識別：公司層面風險示意圖

風險目錄風險類別管理風險運營風險財務風險法律風險戰略風險信息風險生產風險客戶風險籌資風險稅務風險政策風險決策風險計劃預算風險銷售風險內部溝通風險投資風險現金流量風險訴訟風險道德風險人力資源風險物流風險外部溝通風險信用風險固定資產風險合同風險治理風險環境風險采購風險產品風險擔保風險往來款項風險合規性風險公司層面風險示意圖風險目錄風險類別管理風險運營風險財務風2008年7月份，邀請專家組織開展了全面風險管理工作的專項培訓，對于全面風險辦公室成員及部分員工進行了較為系統的培訓。培訓會后，下發了調查問卷，通過問卷調查的方式，在集團/股份總部職能部室、事業部本部及國際貿易部范圍內進行廣泛征集，共收到風險事件371件。經過匯總、分類、風險辨識分析、調整等環節，初步搭建完成PTAC風險分類框架，形成了PTAC風險事件庫，包括戰略、財務、市場、運營、法律五個大類，28項風險，共計143條風險事件。某企業集團風險管理評估案例-49-2008年7月份，邀請專家組織開展了-50-（一）風險識別工作——風險類別定義戰略風險財務風險市場風險運營風險法律風險-50-（一）風險識別工作——風險類別定義戰略風險財務風險市

（一）風險識別工作—風險框架及風險事件分布戰略類風險（46件）財務類風險（27件）市場類風險（10件）運營類風險（54件）法律類風險（6件）風險名稱數量風險名稱數量風險名稱數量風險名稱數量風險名稱數量政策法規風險4預算管理風險3競爭風險5人力資源風險14合同管理風險5宏觀經濟風險3資金管理風險5產品資源風險5信息管理風險3訴訟糾紛風險1戰略規劃風險5資產管理風險6

IT系統風險8

投資風險7應收賬款風險8

溝通風險4

品牌聲譽風險5擔保風險2

災害風險1

公司治理風險20賬務處理風險2

庫存管理風險3

企業文化管理風險2稅務管理風險1

信用管理風險4

物流管理風險3

銷售管理風險11

安全風險3

-51-（一）風險識別工作—風險框架及風險事件分布戰略類風險（4

在全面風險辨識的基礎上，結合公司內、外部情況，對風險事件從可持續發展能力的影響、財務方面的影響、以及發生可能性等三個維度請各部門總經理對風險事件進行了逐條評估、打分。根據風險評估問卷調查結果通過加權匯總計算以及定量、定性分析，在對風險進行排序的基礎上，繪制了“PTAC風險坐標圖”，將風險劃分為高、中、低三級。（二）風險評估工作-52-在全面風險辨識的基礎上，結合公司內、外部風險發生可能性分析風險發生可能性分析表級別描述符具體標準發生的可能性1幾乎是確定的風險每天不只發生一次非常高2很可能約每三天發生一次高3可能的約每十天發生一次中等4不太可能的約每半年發生一次低5很少的約每一年或約每三年以上發生一次非常低風險發生可能性分析影響程度發生可能性-54-高風險8項低風險1項中風險19項（二）風險評估工作—PTAC風險分布坐標圖影響程度發生可能性-54-高風險低風險中風險（二）風險評估工（二）風險評估工作—重大高風險列表風險編號風險大類風險名稱風險事件（件）104戰略類風險投資風險7103戰略類風險戰略規劃風險5204財務類風險應收賬款風險8202財務類風險資金管理風險5205財務類風險擔保風險2302市場類風險產品資源風險5406運營類風險庫存管理風險3409運營類風險銷售管理風險11-55-八項重大高風險——發生可能性和影響程度都很高的風險（紅色區域）。（二）風險評估工作—重大高風險列表風險編號風險大類風險名稱風（二）風險評估工作—中風險與低風險1項低風險：安全風險19項中風險戰略類風險政策法規風險宏觀經濟風險品牌聲譽風險公司治理風險企業文化管理風險財務類風險市場類風險運營類風險法律類風險人力資源風險信息管理風險IT系統風險溝通風險災難風險信用管理風險物流管理風險合同管理風險訴訟糾紛風險競爭風險預算管理風險資產管理風險賬務處理風險稅務管理風險-11-（二）風險評估工作—中風險與低風險1項低風險：安全風險（三）重大高風險分析－戰略類風險-57-A風險基本信息B該風險在企業的表現形式典型表現形式（主要風險事件）1.重大投資可行性研究不夠，新設公司或新設項目缺乏調研，導致投資失誤。2.零售店面倉促建設運營，導致經營損失。3.投資前期調查研究不夠全面、深入，導致提供的決策信息不充分、不真實。4.重大投資項目未經公司領導集體決策，導致決策風險或決策失誤。5.分、子單位未經批準擅自進行投資，導致投資管理失控。6.未對投資的實施及日常運營進行監控，管理不到位，導致項目運營失控。7.投資項目未經法律、技術、業務等部門論證、把關，導致投資項目存在技術、法律風險。C風險舉例原華北公司超負荷投資、經營酒店資產，最終因經營不善導致重大損失投資并購零售店面但缺乏管控能力，造成經營虧損名稱：投資風險所屬類別：戰略類風險A（三）重大高風險分析－戰略類風險-57-A風險基本信息B該風（三）重大高風險分析－戰略類風險

-58-A風險基本信息B該風險在企業的表現形式典型表現形式（主要風險事件）1.經營手段單一，外部環境變化對企業經營和財務狀況影響巨大。2.企業盲目擴張，導致經營成本增長過快。3.經營業務種類過于單一，四項主業之間發展嚴重不均衡，導致公司整體經營效益下降。C風險舉例公司過于依賴分銷業務的經營，該項業務的業績好壞直接影響公司整體的業績，業務發展不平衡。名稱：戰略規劃風險所屬類別：戰略類風險A（三）重大高風險分析－戰略類風險

-58-A風險基本信息B該（三）重大高風險分析－財務類風險-59-A風險基本信息B該風險在企業的表現形式典型表現形式（主要風險事件）1.缺乏對應收賬款的催收管理機制，回款率低，導致流動資金減少、償債能力差。2.3個月以上應收賬款清理不及時，導致壞賬產生的可能性增大。3.應收賬款收款責任不明確，未落實到人，沒有與個人考核直接掛鉤，或業務人員離職時交接不清，導致后期回款困難。4.分、子公司額度超期使用過多，導致應收賬款數額過大，欠款收不回來，貸款增加。5.運營商占用資金周期長，金額大，導致資金成本增加。C風險舉例原某建總公司的工程應收款產生壞賬無法收回名稱：應收賬款風險所屬類別：財務類風險A（三）重大高風險分析－財務類風險-59-A風險基本信息B該風（三）重大高風險分析－財務類風險（-60-A風險基本信息B該風險在企業的表現形式典型表現形式（主要風險事件）1.資金管理計劃性差，缺乏監管，導致資金鏈出現問題，無法保證按時付款。2.子公司資金體外循環，導致總部對資金無控制力。3.籌資受阻，資金不能及時到位，影響公司正常業務開展。4.資金分散管理，使用效率不高，導致財務成本增加。C風險舉例以前各公司的資金分散使用，沒有統籌規劃，資金成本較高。名稱：資金管理風險所屬類別：財務類風險A（三）重大高風險分析－財務類風險（-60-A風險基本信息B該（三）重大高風險分析－財務類風險-61-A風險基本信息B該風險在企業的表現形式典型表現形式（主要風險事件）1.違規擔保，造成經濟損失。2.被擔保單位出現違約行為，導致連帶償債責任增加。C風險舉例原通建總公司未審慎履行前期核查，違規對外擔保，導致被動承擔擔保賠償責任，損失巨大名稱：擔保風險所屬類別：財務類風險A（三）重大高風險分析－財務類風險-61-A風險基本信息B該風（三）重大高風險分析－市場類風險-62-A風險基本信息B該風險在企業的表現形式典型表現形式（主要風險事件）1.對主要供應商（終端廠商）依賴過強，導致公司未來收益存在重大不確定性。2.手機資源單一，產品結構不合理，導致市場競爭力下降。3.對市場了解不夠全面，終端進貨量過大，導致庫存過大，易發生跌價損失。4.供應商受市場等因素影響，無法繼續維持，退出市場，造成產品價格崩盤，引起庫存積壓、跌價損失。5.經濟波動，產品價格變動，導致產品跌價，利潤不穩定。C風險舉例嚴重依賴某一廠家的供貨爭取不到市場接受程度高的產品資源名稱：產品資源風險所屬類別：市場類風險A（三）重大高風險分析－市場類風險-62-A風險基本信息B該風（三）重大高風險分析－運營類風險-63-A風險基本信息B該風險在企業的表現形式典型表現形式（主要風險事件）1.進、銷、存管理不系統，導致庫存積壓嚴重，存貨周轉率降低，占用大量資金，從而引發財務危機。2.3個月以上庫存積壓嚴重，折扣、折讓補償不確定，價格倒掛，極易發生存貨減值損失。3.積壓庫存的清理，責任不明確，導致消化積壓庫存不積極，增大潛虧。C風險舉例我公司產品轉型（）時，尾貨庫存的壓貨原大區公司國產手機銷售不暢導致的存貨損失名稱：庫存管理風險所屬類別：運營類風險A（三）重大高風險分析－運營類風險-63-A風險基本信息B該風（三）重大高風險分析－運營類風險-64-A風險基本信息B該風險在企業的表現形式典型表現形式（主要風險事件）1.產品終端價格制定過于隨意，產品價格混亂，導致違規竄貨、利潤流失。2.分、子公司或分銷商經營能力不佳，導致銷量降低、庫存增加、應收款增加。3.終端銷售渠道扁平化，導致分銷行業利潤率下降。4.在個體、私營企業和事業部的分公司之間，產品資源分配不平衡，影響分公司積極性。5.客戶關系維護不當，缺乏對業務員控制的客戶關系進行規范管理，導致客戶關系未成為公司資源，甚至關鍵客戶流失。C風險舉例原大區公司之間打價格戰，出現大量違規竄貨，擾亂價格體系，造成資源內耗，利潤降低名稱：銷售管理風險所屬類別：運營類風險A（三）重大高風險分析－運營類風險-64-A風險基本信息B該風風險后果評價舉例(重要性水平）基本流程風險點等級預算管理1、未編制固定資產投資預算22、預算編制不正確2請購3、固定資產投資立項依據不充分44、審批程序不符合規定2固定資產購置5、購建固定資產不符合規定46、采購方式不符合規定4固定資產日常管理7、固定資產狀況不佳28、固定資產管理責任不明確49、資產賬實不符410、資產盤點差異未得到有效處理211、計算機網絡安全存在隱患412、移動設備遺失4維修13、維修計劃不合理214、維修審批程序不符合規定2報廢與處置15、資產報廢不符合規定216、閑置資產處置未經審批217、資產處置未實行必要的牽制2風險后果評價舉例(重要性水平）基本流程風險點等級預算管理1、

一、工作內容介紹二、報告工作成果四、提出初步建議

三、分析查找原因制作全面風險評估報告－主要內容介紹

項目啟動建立組織機構風險辨識分析風險評估風險事件庫風險分類框架風險圖譜重大高風險組織相關責任部門對重大高風險進行研究，分析其產生的原因，暴露存在的問題。根據重大風險產生的原因，提出初步改進建議。-66-

一、工作內容介紹二、報告工作成果四、提出初步建議三、分評估階段----風險應對風險應對即針對各類重大風險事項（例如財務報告合規相關風險）制定應對方案，降低可能的損失，提高機會收益。其核心功能主要包括了風險與控制應對、剩余風險評估、監控對策等。風險應對的主要策略：避免風險控制風險分散與中和風險承擔風險轉移風險集中風險評估階段----風險應對風險應對風險應對：避免風險任何經濟單位對風險的對策，首先考慮到的是避免風險，尤其是對靜態風險盡可能予以避免。凡風險所造成的損失不能由該項目可能獲得利潤予以抵消時，避免風險是最可行的簡單方法。局限性只有在風險可以避免的情況下，避免風險才有效果；有些風險無法避免；有些風險可能避免但成本過大；消極地避免風險，只能使企業安于現狀。不求進取。

風險應對：避免風險任何經濟單位對風險的對策，首先考慮到的是避風險應對：避免風險避免風險的方法還可以分為完全避免和部分避免兩種。完全避免，就要不惜放棄伴隨風險而來的盈利機會。部分避免，主要取決于成本因素和非經濟因素。如果避免收益大于避免成本，就可以考慮避免，否則可以不要避免。是否部分避免還取決于社會心理、道德、美學等方面的因素。在采取部分避免風險時，往往還有兩種戰略：一種是進攻性戰略，即在高收益和低風險“替代選擇”中，挑選高收益而不顧忌風險；另一種是防守戰略，即在高收益和低風險的“替代選擇”中，挑選低風險而不在乎收益。

風險應對：避免風險避免風險的方法還可以分為完全避免和部分避免風險應對：控制風險

在風險不能避免或在從事某項經濟活動勢必面臨某些風險時，首先想到的是如何控制風險發生、減少風險發生，或如何減少風險發生后所造成的損失，即為控制風險預防和抑制風險。控制風險主要有兩方面意思：一是控制風險因素，減少風險的發生；二是控制風險發生的頻率和降低風險損害程度。要控制風險發生的頻率就要進行準確的預測，如對匯率預測、利率預測、債務人信用評估等。要降低風險損害程度就要果斷地采取有效措施，如在股票投資中采用心理界線法（也稱心理目標法），當股價下跌到一定程度（心理界線）時就要毫不猶豫地拋出，以防股價進一步下滑而造成更大的損失。

風險應對：控制風險在風險不能避免或在從事某項經濟活動勢必面風險應對：分散與中和風險

分散風險，主要指經濟單位采取多角經營、多方投資、多方籌資、外匯資產多源化、吸引多方供應商、爭取多方客戶以分散風險的方式。中和風險，主要是指在外匯風險管理中所采用的決策，如減少外匯頭寸、期貨套期保值、遠期外匯業務等以中和風險。

風險應對：分散與中和風險分散風險，主要指經濟單位采取多角經風險應對：承擔風險

企業既不能避免風險，又不能完全控制風險。分散風險、中和風險或減少損失時，只能自己承擔風險所造成的損失。經濟單位承擔風險的方式可以分為無計劃的單純自留或有計劃的自己保險。無計劃的單純自留，主要是指對未預測到的風險所造成損失的承擔方式。有計劃的自己保險是指已預測到的風險所造成損失的承擔方式，如提取壞賬準備金等形式。

風險應對：承擔風險企業既不能避免風險，又不能完全控制風險。風險應對：轉移風險

經濟單位為了避免自己在承擔風險后對其經濟活動的妨害和不利，可以對風險采用各種不同的轉移方式，如進行保險或非保險形式轉移。現代保險制度是轉移風險的最理想方式。如單位進行財產、醫療等方面保險，把風險損失轉移給保險公司。此外，單位還可以通過合同條款規定，把部分風險轉移給對方。

風險應對：轉移風險經濟單位為了避免自己在承擔風險后對其經濟風險應對：集中風險

保險企業和大型集團性企業主要采用風險集中的方法，如保險企業向許多投保單位收取保險金，雖然每個單位交的數目很小，但加在一起數目就很大，足以用來應付風險，這就是保險集中的方法。由于大型集團企業分支機構多，通過預測，每年要求各分支機構交少量管理費，由集團公司自己承擔某些風險，而不利用保險。

風險應對：集中風險保險企業和大型集團性企業主要采用風險集中評估階段----風險控制

古人云：有控則強，失控則弱；無控則亂，不控則敗評估階段----風險控制評估階段----風險控制《企業內部控制基本規范》第二十八條：

企業應當結合風險評估結果，通過手工控制與自動控制、預防性控制和發現性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內。控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等評估階段----風險控制《企業內部控制基本規范》第二十八條內部會計控制會計組織控制會計機構會計基礎實物資產控制防舞弊控制防盜控制防損控制紀律控制職責分工內部監控制度評估階段----風險控制內部管理控制組織控制、人事控制、業務操作與產品質量控制、風險與安全控制、管理技術控制業務控制職務分離控制制度約束控制程序控制安全控制監督內部控制內部會計控制會計組織控制評估階段----風險控制內部管理控制評估階段----風險控制企業風險控制應遵循原則合法性原則一貫性原則成本效益型原則實用性原則相互制約性原則整體性原則企業風險控制原則評估階段----風險控制企業風險控制合法性原則一貫性原則成本評估階段----風險控制風險控制執行流程市場環境任務和目標風險評估測試評價實現目標持續改進控制標準設計控制系統執行控制系統適當性有效性評估階段----風險控制風險控制執行流程市任風測實持續改進控評估階段----風險控制企業風險措施制定流程信息反饋設計改進評價執行持續改進風險評估信息反饋評估階段----風險控制企業風險措施制定流程信息反饋設計改進評估階段----風險控制建立內控責任制度風險控制內容建立內控審計檢查制度建立重大風險預警制度建立企業法律顧問制度建立內部考核評價制度建立重要崗位權利制衡制度建立內部崗位授權制度建立內控報告制度評估階段----風險控制建立內控風險控制建立內控建立重大建立評估階段（回顧總結）風險識別風險評估控制活動的識別風險應對風險控制評估階段（回顧總結）風險識別構建風險與內控體系的五個階段測試總結評估計劃

推廣

構建風險與內控體系的五個階段測試總結評估計劃推廣小規模企業一般會選擇2-3個稍簡單的業務流程作為試點，試點和推廣之間相隔的時間一般很短。

推廣階段-----不同類型企業的選擇業務統一的大型企業要選擇有代表性的單位進行試點，確定出能夠滿足監管要求，由無縫嵌入企業生產經營活動各環節的控制手段推廣時間需要4-6個月的時間業務多元化的大型企業要選擇各行業有代表性的單位進行試點，根據行業特點制定不同的內部控制標準模板推廣時間依難度和人員而定，一般在1年左右時間。

小規模企業一般會選擇2-3個稍簡單的業務流程作為試點，推廣階推廣階段-----主要工作內容在理解標準模板的基礎上，對標準的控制活動進行本地化，即按照標準模板的要求，識別出適用于本單位的本地化的控制活動；用統一的格式記錄這些本地化的控制活動，形成內部控制文檔；按照這些本地化的控制活動執行，使這些本地化的控制活動成為正常生產經營活動的一部分，并確保這些控制執行有效。推廣階段-----主要工作內容在理解標準模板的基礎上，對標準推廣階段-----推廣指導小組的工作任務組織培訓工作，確保推廣單位理解相關的知識和要求現場指導推廣工作，確保識別出的本地化控制活動滿足標準模板的要求；復核推廣單位記錄的內部控制文檔；在時間允許的情況下，抽查內部控制的實際執行情況，若發現缺陷，則提出改進的建議。推廣階段-----推廣指導小組的工作任務組織培訓工作，確保推推廣階段-----集團企業的推廣建議選取一個單位試點按照二級子集團推廣在子集團中按照業務類型和管控力度采取不同方式對下屬單位管理集中程度較高的，業務管理模式一致的，采取一次性全面推廣的辦法，并由子集團公司派員會同項目組成員對下屬各推廣單位的推廣效果進行檢查對于下屬各單位管理差異較大，采取分兩批推廣的辦法，在第一批推廣展開時候，自第二批單位中臨時抽調人員參與推廣。推廣階段-----集團企業的推廣建議選取一個單位試點構建風險與內控體系的五個階段測試總結評估計劃推廣構建風險與內控體系的五個階段測試總結評估計劃推廣測試階段---目的通過對風險控制點的實際情況進行有效性檢測，以確定：

1、各業務流程中的控制是否依照公司內部控制的規定運行；2、向公司報告測試結果及失效控制點的整改建議，監督整改落實情況；3、為公司董事會出具內部控制評價報告提供依據。測試階段---目的通過對風險控制點的實際情況進行有效性檢測，測試階段----測試標準

內部控制測試控制活動設計的有效性控制活動執行的有效性是否合規是否可操作對各控制點的實際執行情況進行檢測測試階段----測試標準內部控制測試控制活動控制活動是測試階段----主要工作內容測試范圍執行人員測試工具測試前的培訓工作測試工作底稿提交和審核的時間點各流程組的工作底稿審核流程測試工作底稿的統計和歸檔測試階段----主要工作內容測試范圍測試階段----測試工具過程流程圖風險與控制矩陣風險與控制參考手冊使用內部行業或同行的信息確定基準計算機輔助審計系統風險與控制自我評價討論會調查問卷動員會測試階段----測試工具過程流程圖測試階段----測試活動流程圖測試階段----測試活動流程圖測試階段----三類缺陷判斷方法缺陷分類錯報的可能性關聯性錯報的潛在程度一般缺陷微小或不重要重要缺陷大于微小及大于不重要重大缺陷大于微小及重大測試階段----三類缺陷判斷方法缺陷分類錯報的可能性關聯性錯測試階段----流程層面缺陷評估步驟確定受缺陷影響的會計科目和披露事項判斷錯報發生的可能性計算潛在影響金額檢查是否存在補償性控制活動確定考慮補償性控制活動后的潛在影響金額根據錯報發生的可能性和潛在影響金額，判斷缺陷類型考慮定性因素重新認定缺陷類型測試階段----流程層面缺陷評估步驟確定受缺陷影響的會計科目測試階段----公司層面缺陷評估步驟控制缺陷在公司中的普遍性控制缺陷對公司層面各組成要素的相對重要性產生錯誤風險增加的跡象（根據以往錯報記錄）舞弊的可能性（包括管理層越權的風險）控制運行有效性方面已發現的例外情況的原因和頻率缺陷可能導致的后果。測試階段----公司層面缺陷評估步驟控制缺陷在公司中的普遍性構建風險與內控體系的五個階段測試總結評估計劃推廣構建風險與內控體系的五個階段測試總結評估計劃推廣總結報告階段主要工作要點報告考核工作成果歸檔和移交項目組成員后續安排項目回顧與經驗總結總結報告階段主要工作要點報告總結階段----報告與總結工作階段報告階段報告對象計劃階段工作計劃、項目預算項目領導小組、審計委員會評估階段標準模板的技術要點項目領導小組、審計委員會推廣階段推廣工作進度、整改方案項目領導小組、審計委員會、被測試單位管理層測試階段被測試單位測試結果分析、測試結果總結與評價被測試單位管理層及項目管理辦公室報告與總結階段項目成果總結、內部控制相關職能落實建議項目領導小組、企業管理層、審計委員會總結階段----報告與總結工作階段報告階段報告對象計劃階段工上市公司向公眾和投資者股東的報告（1）審計報告（必須包括的報告）（2）公司治理報告（一般包括的報告）（3）企業可持續發展報告（4）風險因素披露報告（5）企業全面風險管理報告（6）企業的社會責任報告（7）環境報告（8）質量報告（9）企業內部控制程序與原則（10）損失事件和損失報告（11）某些行業特定風險報告上市公司向公眾和投資者股東的報告（1）審計報告（必須包括的報內部控制體系項目路線圖

項目計劃內控項目具體計劃組建項目管理辦公室控制環境風險評估技術方案項目團隊組建培訓試點單位控制活動識別與歸檔推廣單位控制活動測試及缺陷整改項目交接項目驗收推廣項目結束培訓及知識轉移績效提高技術方案更新及實施變更管理及監督項目溝通項目管理及質量保證制定標準模板信息與溝通（1）（2）（3）（4)(5)(6)(4)(7)(8)(9)(10)(11)(12)基礎活動內部控制體系項目路線圖項目內控項目組建項目控制環境風險目錄上市公司風險面面觀什么是風險管理框架實施風險與內控的途徑、方法企業內部控制成效的評價與鑒定信息化：企業風險與內控解決之道目錄上市公司風險面面觀企業內部控制成效的檢驗

企業內部控制基本規范企業內部控制應用指引企業內部控制評價指引企業內部控制鑒證指引2008年6月28日財政部、證監會審計署、銀監會保監會五部委聯合發布。企業董事會、股東會、經營層外部審計師企業內部控制成效的檢驗企業內部控制企業內部控企業內部控企企業內部控制評價----意義對風險管理制度貫徹執行情況的檢查與強化對企業審計和自律監管重點的選擇和確定對風險管理制度可行性檢測和改進企業內部控制評價----意義對風險管理制度對企業審計和對風險風險管理評價的程序評價準備評價實施評價報告后續審計或評價風險管理評價的程序評價準備風險管理評價的程序評價準備風險管理評價程序后續審計或評價評價實施評價報告風險管理評價的程序評價準備風險管理后續審計評價實施評價報告風險管理評價的程序---評價準備收集評價資料非現場評價結果匯總分析制定評價方案組成評價組征求上級有關單位對被評價單位的評價意見發出《風險管理與內部控制評價通知書》風險管理評價的程序---評價準備收集評價資料評價準備----被評價單位提供的資料清單數量提供時間調閱人簽名歸還時間收回人簽名企業風險管理報告。主要包括的內容：1、風險管理的基本情況；2、采取的主要措施和成效；3、風險管理存在的主要問題；4、對以前評價、審計和檢查中發現問題的整改情況；5、評價期發生的案件和責任事故情況，6、進一步加強風險管理的思路本單位機構設置情況，包括領導人員及分工、內設部門及職能、風險管理機構體系構成等本單位的各項規章制度、業務流程圖、自律監管相關文件和有關資料等。股東會、董事會、監事會、經理辦公會以及有關專業委員會會議記錄、紀要等內部風險管理部門、審計部門等，對本單位風險管理與內部控制審計、檢查形成的工作底稿和檢查（審計）報告等年度工作計劃、評價年度工作總結等外部監管部門、中介機構（包括監事會、政府審計部門、安全、環保等部門、會計師事務所等）對本單位的各項檢查報告、通報等；其他：12資料名稱評價準備----被評價單位提供的資料清單數量提供時間調閱人簽評價準備----被評價單位各部門提供資料清單資料名稱數量所屬部門提供時間調閱人簽名歸還日期收回人簽名本部門年初工作計劃本部門年度工作總結本部門職責本部門人員分工及崗位職責本部門工作流程本部門制定的各項規章制度本部門辦公會議記錄和紀要有關專業委員會會議記錄和紀要本部門業務工作會議相關文件本部門自律監管相關資料本部門風險管理機構、內部審計、紀檢監察等部門檢查中涉及本部門的問題及其整改情況外部監管部門、中介機構（包括政府審計部門、安全、環保等部門、會計師事務所等）各項檢查中涉及本部門的問題及其整改意見其他：12評價準備----被評價單位各部門提供資料清單評價實施----健全性測試健全性測試主要是了解、檢查和評價企業各種業務和事項中的風險是否被識別、關鍵風險點的定位是否準確，是否有相應的管理和控制制度、措施。五種測試方式問卷調查詢問調查查閱被評價單位各項管理制度和相關文件以及風險管理與內部控制過程中形成的文件和記錄觀察被評價單位業務活動和內部控制的實際運行情況，了解被評價單位內部控制體系的基本情況(穿行測試）流程圖比較評價實施----健全性測試健全性測試主要是了解、檢查和評價企評價實施----健全性測試評價項目管理與控制缺陷潛在錯弊補償性措施重要性備注風險管理與內部控制缺陷登記表被評價單位：評價實施----健全性測試評價項目管理與控制缺陷潛在錯弊補償評價實施----初步評價風險管理與內部控制制度健全性缺陷已采取的補償性措施潛在風險已發生的風險情況（典型案件）風險管理與內部控制健全性測試結果登記表評價實施----初步評價風險管理與內部控制制度健全性缺陷已采評價實施----符合性測試和評價符合性測試主要檢查在實際業務環節活動中企業是否貫徹風險與內控制度符合性測試樣本數量的確定（與風險與內控發生頻率成反比）符合性測試的方法證據檢查法穿行測試法實地觀察法評價實施----符合性測試和評價符合性測試主要檢查在實際業務評價實施----符合性測試和評價測試項目測試方法和數量測試結果被查人員評價人員日期備注符合性測試表評價實施----符合性測試和評價測試項目測試方法和數量測試結評價實施----實質性測試實質性測試的重點領域：缺少風險管理與內部控制的重要業務領域風險管理與內部控制設置不合理、控制目標不能實現的領域風險管理與內部控制沒有發揮作用的領域評價實施----實質性測試實質性測試的重點領域：評價實施---綜合評價評價實施---綜合評價基本情況企業概況、主要業務類型和經營范圍問卷調查的基本情況、企業關鍵風險點及配套制度的建設、執行情況子企業風險管理情況行業特定風險風控部門獨立性評價報告評價結果企業主要成績和存在的主要不足逐項列示存在的重大違規事項和重大風險管理與內部控制缺陷詳細說明各樣本測試單位定性評價結果的整體分布情況及其對企業集團整體定性評價結果的影響評價分析分析企業集團整體的風險管理與內部控制水平逐項說明重大風險與內部控制缺陷、分析制度健全性與合理性分析缺陷的主要環節、原因及其影響、提出完善建議反饋意見、雙方分歧和各自依據主要內容基本情況企業概況、主要業務類型和經營范圍評價報告評價結果企業風險評價體系----六個評價系統…企業風險管理環境風險管理信息交流與反饋風險管理監督與改進風險管理與案件和責任事故評價企業內部控制企業風險識別與評估25%10%50%5%10%-10%風險評價體系----六個評價系統…企業風險風險管理信息風險管風險評價體系----基本評價標準（每個系統）等級對應得分說明完善100%-90%以上風險管理與內部控制充分、適宜、合規、有效；現場評價和非現場評價均沒有發現問題、缺陷。較強90%-80%以上風險與內控制度措施比較健全、適宜、合規，并得到較好貫徹執行，但現場評價和非現場評價發現風險與內控存在個別性質輕微的問題缺陷。一般80%-70%以上風險與內控制度基本健全、適宜、合規，并得到較好的貫徹執行，控制效果一般，現場評價和非現場評價發現風險與內控存在一些明顯的問題、缺陷。較弱70%-60%以上風險與內控制度措施不夠充分、適宜或不夠合規，風險與內控的制度措施執行不力，控制效果差，現場與非現場評價發現存在的問題、缺陷較多，風險較大，但未造成嚴重后果、損失失控60%以下風險與內控制度措施缺失、不合理或不合規，風險與內控制度措施沒有得到貫徹執行，現場與非現場評價中發現風險與內控存在普遍性或者性質比較嚴重、已經造成風險損失的問題缺陷風險評價體系----基本評價標準（每個系統）等級對應得分說明風險管理評級的確定綜合評分90分以上企業風險與內控體系健全、規章制度得到有效執行，管理與控制效果顯著。80以上90分以下風險與內控制度體系比較健全，雖然存在個別缺陷，未對業務安全性和制度有效性產生很大影響，風險與內控制度基本得到執行，管理與控制效果較好。70以上80以下企業風險與內控體系存在明顯缺陷，但風險在可控范圍內，風險與內控規章制度基本得到執行，管理與控制效果一般。60以上70以下60分以下企業風險與內控體系不健全，存在嚴重漏洞和缺陷，風險與內控制度貫徹執行較差，已發生了數量較多或性質比較嚴重的案件、責任事故等。ABCDE企業內部控制體系存在較多缺陷。內部控制規章制度沒有得到有效執行，內部控制效果較差，業務經營安全面臨較大風險。風險管理評級的確定綜合評分90分以上企業風險與內控體系健全、企業風險與內控評價計分表（實例）企業風險與內控評價計分表（實例）企業風險與內控評價計分表（實例）企業風險與內控評價計分表（實例）企業風險與內控評價計分表（實例）企業風險與內控評價計分表（實例）外部審計師對風險與內控的簽證

企業內部控制基本規范企業內部控制應用指引企業內部控制評價指引企業內部控制鑒證指引2008年6月28日財政部、證監會審計署、銀監會保監會五部委聯合發布。企業董事會、股東會、經營層外部審計師外部審計師對風險與內控的簽證企業內部控制企業內部控企業內外部審計師對風險與內控的簽證制定內部控制鑒證計劃實施內部控制鑒證工作實施鑒證工作的程序評估控制缺陷完成鑒證工作出具鑒證報告外部審計師對風險與內控的簽證制定內部控制鑒證計劃目錄上市公司風險面面觀什么是風險管理框架實施風險與內控的途徑、方法企業內部控制成果的評價信息化：企業風險與內控解決之道目錄上市公司風險面面觀財務危機預警指標體系一級指標二級指標核心指標預警界限補充指標安全性1、安全邊際率28%-32%1、安全邊際2、經營杠桿3倍-5倍2、損益平衡點

3、安全生產成本短期償債能力1、流動比率2現金流入量對負債的比率2、速動比率1長期償債能力1、資產負債率0.751、產權比率2、資產凈值負債率12、有形凈值負債率營運能力1、應收賬款周轉率41、固定資產周轉率2、存貨周轉率62、總資產周轉率

3、營運資金周轉率盈利能力1、銷售利潤率4.50%1、已獲利息倍數2、資本收益率6.50%2、成本費用利潤率3、資產報酬率5.00%3、股東權益利潤率成長能力

1、銷售增長率資本保值增值率5.00%2、資產增加值率

3、凈利增長率財務危機預警指標體系一級指標二級指標核心指標預警界限補充指標謝謝!謝謝!特別聲明沒有金蝶軟件（中國）有限公司的特別許可，任何人不能以任何形式或為任何目的復制或傳播本文檔的任何部分。本文檔中包含的信息如有更改，恕不另行通知。

由金蝶軟件（中國）有限公司和其分銷商所銷售的某些軟件產品包含有其它軟件供應商版權所有的軟件組件。Microsoft?、WINDOWS?、NT?、EXCEL?、Word?、PowerPoint?和SQLServer?是微軟公司的注冊商標。IBM?、DB2?、DB2通用數據庫、OS/2?、ParallelSysplex?、MVS/ESA、AIX?、S/390?、AS/400?、OS/390?、OS/400?、iSeries、pSeries、xSeries、zSeries、z/OS、AFP、IntelligentMiner、WebSphere?、Netfinity?、Tivoli?、Informix和Informix?動態ServerTM是IBM公司在美國或其他公司的商標。ORACLE?是ORACLE公司的注冊商標。UNIX?、X/Open?、OSF/1?和Motif?是OpenGroup的注冊商標。Citrix?、Citrix徽標、ICA、ProgramNeighborhood?、MetaFrame?、WinFrame?、VideoFrame?、MultiWin?以及此處引用的Citrix產品名是CitrixSystems公司的商標或注冊商標。HTML、DHTML、XML和XHTML是W3C?、WorldWideWeb協會、計算機科學實驗室的商標或注冊商標。JAVA?是SunMicrosystems公司的注冊商標。JAVASCRIPT?SunMicrosystems公司的注冊商標，由其技術開發和實施商Netscape許可使用。本文檔提到的金蝶?

、金蝶KIS?

、金蝶K/3?

、金蝶EAS?

、Apusic?

、金蝶iFly?和其它金蝶產品和服務以及它們各自的徽標是金蝶軟件（中國）有限公司在中國和世界其它一些國家的商標或注冊商標。本文檔提到的