風險控制目標和控制解釋

風險控制簡述22023/10/1風險控制是指控制風險事件發生的動因、環境、條件等，來達到減輕風險事件發生時的損失或降低風險事件發生的概率的目的風險控制簡述32023/10/1通常影響某一風險的因素有很多。風險控制可以通過控制

這些因素中的一個或多個來達到目的，但主要的是風險事

件發生的概率和發生后的損失。前者的例子如室內使用不

易燃地毯，山上禁止吸煙等；后者的例子如修建水壩防洪，設立質量檢查防止次品出廠等風險控制的對象一般是可控風險，包括多數運營風險，如質量、安全和環境風險，以及法律風險中的合規性風險相關定義42023/10/1可能性用作對事件發生概率或頻率的定性描述。頻率：是以規定的時間內發生次數來表達事件發生率的量度。概率：是以特定事件或結果與可能發生事件或結果的總數之比，來量度的特定事件或結果的可能性。概率用數字0至1來表達，0表示一個不可能的事件或結果，而1表示一個必然的事件或結果

影響性（Consequence）：后果等級以定量或定性的方式表示的一個事件的結果（一個事件可能有多個與其相關的結果）。相關定義52023/10/1風險點是指風險因素在業務流程中環節的反映和表現。損失是指任何財務或其他方面的負面影響。固有風險是指在沒有考慮控制活動的有效性或其他減小風險的措施沒有付諸實施之前已經存在的風險。剩余風險是指在采取控制活動或其他風險減輕措施后所剩余的風險。可接受風險是指其程度已降低到銀行考慮監管要求和內控政策后能接受的水平的風險。風險事件類型62023/10/1內部欺詐外部欺詐就業制度和工作場所安全事件客戶、產品和業務活動事件實物資產的損壞IT系統事件執行、交割和流程管理事現有控制描述72023/10/1流程內控制控制與風險重合控制環節前置控制環節后置現有控制描述82023/10/1流程外控制其他流程控制（如監控流程控制）非流程控制（如政策控制、責任控制）現有控制描述風險與控制重合控制

2控制

1控制

315243控制

4非流程控制592023/10/1現有控制評價102023/10/1控制有效當采取控制措施后，風險等級從不可接受（E、H、M）達到I（極小風險）時，控制基本有效當采取控制措施后，風險等級從不可接受（E、H、M）達到L（低風險）時，可現有控制評價112023/10/1控制不足當采取控制措施后，風險等級仍處于從不可接受（E、H、M）時，可以認為控制不足，需要進一步采取控制措施控制過度當采取控制措施后，風險等級能夠從不可接受（E、H、M）達到基本可接受L（低風險）或I（極小風險），但為此付

出的控制的成本過高，適當減少控制時仍能使風險處于可

接受狀態，此時可以認為控制過度風險控制策劃風險評估底稿控制目標風險評估結果判斷是否增加控制措施分析新增控制措施確定新增控制措施確定實施部門確定監控部門生成控制底稿分析控制效果風險控制底稿122023/10/1控制目標132023/10/1對于所有風險因素均需明確具體的控制目標改進控制方案142023/10/1對于經評估認為需要改進控制措施的，在新增控制措施填列所增加的措施，對于不需要新增加措施的，可以不填控制部門/崗位152023/10/1對風險控制自評進行控制的部門或崗位全面風險管理的必要舉措162023/10/1內部控制是通過有關企業流程的設計和實施的一系列政策、制度、程序和措施，控制影響流程目標的各種風險的過程內控系統是全面風險管理的重要組成部分，是全面風險管理的基礎設施和必要舉措一般說來，內部控制系統針對的風險一般是可控純粹風險，其控制對象是企業中的個人，其控制目的是規范員工的行為，其控制范圍是企業的業務和管理流程內控制定的原則172023/10/1企業制定風險解決的內控方案，應滿足合規的要求，堅持經營戰略與風險策略一致、風險控制與運營效率及效果相平衡的原則，針對重大風險所涉及的各管理及業務流程，制定涵蓋各個環節的全流程控制措施；對其他風險所涉及的業務流程，要把關鍵環節作為控制點，采取相應的控制措施。內控系統的歷史發展內部控制的概念始于上一世紀初的財務控制，在80年代以后逐漸受到各國的重視，特別是監管機構的重視。在發展過程中，內部控制的理論吸收了控制論、系統論、組織理論、行為科學、心理學、管理學等多學科的內容美國COSO組織1992年的整合內控體系對世界各國公司立法和管理影響巨大美國2002年通過的薩班斯法案將建立和維持有效的內控系統作為對上市公司的法律合規要求182023/10/1內控設計的基本原則192023/10/1全面性–覆蓋企業所有重要業務及管理流程和流程的全過程系統性–按統一原則制定，與風險策略一致合規性–符合國家有關法律法規成本效益–控制與收益平衡權力分離及相互制約

–

崗位之間相互制約，重要流程及決策不能由一個人完成內控設計的基本原則202023/10/1激勵平衡–權責明確及獎懲結合信息反饋–內部控制應有自我調節功能可操作性–根據企業現有操作水平制定包容性–不致因個別環節失靈導致全系統失靈內控的設計212023/10/1按照風險管理的基本流程進行：對象流程的環境信息，包括目標、全流程各個步驟、有關法規制度風險評估設計控制策略設計控制措施監控改進內控的設計監控改進222023/10/1制定風險管理策略風險評估1.2.5.4.3.信息溝通貫穿始終制定實施解決方案建立初始信息內控與流程再造232023/10/1內控設計以流程為基礎。因此，在建立內部控制系統時，首先要梳理現有的管理和業務流程。必要時，建立相關

的流程完善的流程包括完善的內部控制；設計內控的過程也是完善流程的過程。因此，涉及內部控制的過程一般會涉及流程的再造，加強現有流程的內控也是流程再造的一部分流程的內部控制流程風險控制點控制措施?242023/10/1流程是否存在設計是否合理職責是否明確執行是否嚴格獎懲是否明白效果是否滿意關鍵績效區風險是否辨識影響什么指標影響哪些流程影響哪些部門或哪一級企業分析是否徹底應對是否存在設計是否合理職責是否明確是否經過檢驗效果是否滿意薩班斯法案404條款的要求在美國上市的中國公司應當遵守薩班斯法案的要求薩班斯法案要求所有美國的上市公司要在所有與財務報告有關的流程建立并維持足夠的內部控制因此，滿足薩班斯法案的第一步就是識別所有與財務報告有關的流程外部審計師須對公司的財務報告流程的內部控制進行審計，并出具意見404條款-年度財務報告內部控制的公司管理層報告書設立并維持了足夠的財務報告內控體系；財務報告內控體系有效性的評價；為評價財務報告內控體系而采用的評價體系的說明。252023/10/1Sarbanes-OxleyAct

of

2002內控的基本應對手段授權報告批準責任審計檢查考核評價預警法律風險防范體系權力制衡內部控制的系統主要包括企業的過程、程序、政策、準則、方針、結構、規范262023/10/1建立授權制度(一)建立內控崗位授權制度。對內控所涉及的各崗位明確規定授權的對象、條件、范圍和額度等，任何組織和個人不得超越授權做出風險性決定；授權制度至關重要。要做到事事有授權，尤其是重大決策更是要明確的授權授權應當遵循崗位分離的原則，授權范圍要適當。不可過寬，過寬則內控失靈；不可過窄，過窄則影響效率授權應當結合激勵機制，明確授權的同時明確獎懲信息系統在流程中的使用有助授權制度的剛性化272023/10/1建立內控報告(二)建立內控報告制

度。明確規定報告人

與接受報告人，報告

的時間、內容、頻率、傳遞路線、負責處理

報告的部門和人員等；內控報告制度是內控信息反饋原則的具體體現內控報告制度是內控的有效性保證，其作用是使各級管理層和企業內外部的利益相關人能夠及時得到企業的內控的真實信息內控報告制度是風險管理信息溝通，其時間、頻率、內容等應與針對的風險匹配282023/10/1建立內控批準制度(三)建立內控批準制度。對內控所涉及的重要事項，明確規定批準的程序、條件、范圍和額度、必備文件以及有權批準的部門和人員及其相應責任；內控批準制度是授權制度的表現對內控所涉及的重要事項，如重大決策與重要信息的披露等建立明確的批準制度，使得流程的控制更加嚴密要堅持風險控制與運營效率及效果相平衡的原則，對公司內控所涉及的事項進行分級、分類的管理，同時可利用信息系統提高運營效率292023/10/1建立內控責任制度(四)建立內控責任制度。按照權利、義務和責任相統一的原則，明確規定各有關部門和業務單位、崗位、人員應負的責任和獎懲制度；內控責任制度應與內控授權制度配套，并配之以合理的獎懲措施要明確每一個員工在內部控制中的責任及其獎懲，并嚴格執行。沒有獎懲制度的責任會落空，不嚴格執行的獎懲制度也會落空內控責任可能與業務無關，但同樣需要考核302023/10/1建立內控審計檢查制度內控審計制度是內控系統中的重要組成部分，是內控系統執行風險管理基本流程中監控改進步驟的重要環節，使保證內控有效并不斷提高的關鍵應當堅持審計部門與內控的執行部門的相對獨立內控審計的計劃和審計報告應當得到風險管理委員會的批準內控審計是審計業務的一個新事物，但是國際上的趨勢。公司應當高度重視，配備人才，做好這項工作(五)建立內控審計檢查制度。結合內控的有

關要求、方法、標準

與流程，明確規定審

計檢查的對象、內容、方式和負責審計檢查

的部門等；312023/10/1建立內控考核評價制度(六)建立內控考核評價制度。具備條件的企業應把各業務單位風險管理執行情況與績效薪酬掛鉤；內控的績效考核是內控的獎懲措施的落實在有條件時，要量化內控的績效。可以考慮使用如內控失靈造成的

損失、產生的次質品、客戶滿意

度，人才流失度等指標來衡量內

控的效果不能量化內控的績效時，可以采用同行評比，專家意見等方法322023/10/1建立重大風險預警制度(七)建立重大風險預警制度。對重大風險進行持續不斷的監測，及時發布預警信息，制定應急預案，并根據情況變化調整控制措施；關于建立重大風險的預警制度，可參考前面關鍵風險指標管理的內容332023/10/1法律風險管理(八)建立健全以總法律顧問制度為核心的企業法律顧問制度。大力加強企業法律風險防范機制建設，形成由企業決策層主導、企業總法律顧問牽頭、企業法律顧問提供業務保障、全體員工共同參與的法律風險責任體系。完善企業重大法律糾紛案件的備案管理制度；法律風險管理是企業全面風險管理的一部分，管理企業法律風險要服從企業整體風險管理策略隨著市場環境的變化和國企走出國門，法律風險日益突出要充分考慮到法律風險的環境特性和復合特性，即法律風險管理的專業性342023/10/1建立重要崗位權力制衡制度(九)建立重要崗位權力制衡制度，明確規定不相容職責的分離。主要包括：授權批準、業務經辦、會計記錄、財產保管和稽核檢查等職責。對內控所涉及的重要崗位可設置一崗雙人、雙職、雙責，相互制約；明確該崗位的上級部門或人員對其應采取的監督措施和應負的監督責任；將該崗位作為內部審計的重點等。這是內控的基本原則首先要明確重要的崗位，涉及重大決策制定、重大事件應對、重大風險管理、重要信息的披露等的責任應視為重要崗位完善的公司治理制度，即董事會和管理層的分離、決策層和執行層的