银行业内控信息化系统建设
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 内部控制 – 依照ISO/IEC 导则73《风险管理—术语》,内部控制是一类控制风险的措施,是一种风险治理的解决方案,旨 在最小化风险。内部控制包括所有相关的政策、手段措施、实践和其他策划好的行动等。 – 依照目前COSO的定义,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的 过程。 – 内部控制包括控制环境、风险评估、控制活动、信息及交流、内部监督等五个相互关联的过程要素。 – 控制目标包括:战略目标、经营目标、报告目标、资产目标和合规目标。
2013/5/31
《企业内部控制基本规范》的文件构成
Page 4
Page 4
2
2013/5/31
与内部控制相关的概念。
• 管理:指导和控制组织的协调活动。 – 管理活动通常包括:制定企业的战略(包括企业发展的方针、政策、目标等),以及相关的策划、控制、保 证和改进活动(亦有表述为“计划、组织、协调、控制、指挥”等活动)。 – 控制:正在改变风险的措施。控制包括任何过程、策略、设备、实践或其他改变风险的活动;控制并非总是 希望改变预期或假定的影响。 – 控制是管理活动/职能的一部分,控制的目的是为了致力于实现相关目标、满足相关要求。
10
内控与信息化的关系-成果落地
公司层级成果展示
2013/5/31
内控与信息化的关系-成果落地
业务层级成果展示
11
内控与信息化的关系-成果落地
流程层级成果展示-控制措施
2013/5/31
内控与信息化的关系-成果落地
流程层级成果展示-风控对应
12
2013/5/31
内控与合规、操作风险的关系
从三合一整合逻辑图中可以看出,内控、合规、操作风险有: 共同的梳理基础-流程; 统一的问题管理,内控对应缺陷、合规对应违规事件、操作风险 对应损失数据; 因此,完全可以通过一次梳理、一次上报完成三种不同的管理需 求,减轻分支行数据上报的压力。
Page 5
内控的多视角困惑:横看成岭侧成峰
Page 6
3
2013/5/31
与风险相关的概念。
• 风险:不确定性对目标的影响。 – 影响可能偏离预期(正面的和/或负面的);目标可以有不同的方面(如财务、健康安全以及环境目标),并应用 于不同的层次(如战略、组织整体、项目、产品和过程); – 风险常具有潜在事件、后果或二者结合的特征;经常用一个事件的后果(包括情况变化)和对应的发生可能性这 两者的结合来表示风险; – 不确定性是指缺乏甚至部分缺乏一个事件、其后果或发生可能性的有关信息、了解或认识。
2013/5/31
商业银行内部控制信息化建设
汪健豪 北京普信管理咨询有限公司
2013年6月
主讲人介绍:汪健豪
国家注册高级风险管理师、高级工程师
北京普信管理咨询有限公司
董事长 首 席 专 家
财政部“企业内部控制标准委员会”
咨询专家
财政部“会计信息化委员会”
咨询专家
山东大学经济学院
金融学硕士生导师
• 可能性:某事发生的可能程度。
Page 7
风险与风险赋值
• 风险:某一事件发生的可能性和其后果的组合。
大
可 能 性
小
Page 8
中等风险 /高风险
-内部控制
- 风险规避
高风险
低风险
风险坐标图分析
- 风险承受
-保险工具
- 衍生工具 中等风险 /高风险
低
高
后果
4
2013/5/31
Page 9
Page 9
基础管理支撑体系
包括制度体系、岗责体系、考核体系、风控管理信息系统等。
14
2013/5/31
内控与合规、操作风险的关系-整合的理论基础
整合实施工具:一图两表。以流程为基础,将相关管理要素通过IT技术 手段关联,实现了信息时代管理整合的落地应用。
内控与合规、操作风险的关系-整合的理论基础
15
2013/5/31
完善的内控梳理框架应该在银行不同的层级展现和发挥管控效果, 确保银行经营管理合法合规、资产安全、财务报告与相关信息真 实完整,提高经营效率和效果、促进实现发展战略。在贯穿四个 层级的内控梳理体系框架下,分别开展公司层级、业务层级、流 程层级和产品层级的内控梳理工作,在满足外部监管要求的前提 下实现内部的精细化管理
内控与合规、操作风险的关系-整合内容
流程管理整合:
操作风险管理以流程管理为基础,主要采用流程法进行风险识别。内控合规 的具体落实也是以流程为基础的,通过流程落实控制措施并识别缺陷。清晰 规范的流程是两者管理的基础,也是企业标准化规范化管理的基础。
内控与合规、操作风险的关系-整合内容
风险识别评估(RCSA)整合:
16
2013/5/31
内控与合规、操作风险的关系-整合内容
指标(KRI)管理:
关键风险指标体系的建立,可以为管理者提供反映当前特定业务部门中风险水平和内控水平 的相关数据。指标体系的管理与应用具有通用性,这样的特性便于建立全行统一的指标体系。 内控有五大控制目标,这五大目标细化就是内控合规指标体系,关键指标用于反映内控管理 水平和管理成果,管理者根据这些指标确定控制设计的有效性与执行的有效性。指标包括定 性与定量分类,数据项,计算公式,阀值等要素。操作风险指标大部分是定量指标。 操作风险关键指标是反映操作风险领域变化情况并可定期监控的统计指标。关键风险指标可 用于监测可能造成损失事件的各项风险及控制措施,并作为反映风险变化情况的早期预警指 标(高级管理层可据此迅速采取措施)。关键风险指标应该随着时间而变化。新风险出现, 需要更换新的关键风险指标。当风险管理者对业务更为熟悉时,可以进一步追溯因果关系链。
内控与合规、操作风险的关系-整合内容
问题/事件管理的整合:
问题/事件发生在不同的机构与流程中,事件上报没有必要重复报送,耗费资 源。一次上报多次利用能发挥更好的管理效率,事件的属性可以整合内控合 规与操作风险的需求。事件管理过程包括报告、原因分析与分类、整改计划、 风险评估、损失数据收集、处理处罚、整改落实。这个过程涵盖了内部控制、 合规与操作风险对事件的管理活动。
6
2013/5/31
内控与信息化的关系-成果应用
随着信息技术的飞速发展,银行已经或者正在将各个业务实现为IT 流程,并在流程中进行了相关风险的控制,比如没有录入有效的 身份信息,交易系统将验证失败。但这种固化的、静态的系统控 制并不能满足动态的风险变化趋势,又比如目前汽车都可以远程 锁控制,但如果附近有电子锁干扰器,就会使得此项控制失效, 造成经济损失。因此银行需要建立的是完整的、动态的、符合 PDCA的内控信息化系统。
17
2013/5/31
内控与合规、操作风险的关系-整合内容
监测与驱动机制的整合:
监测活动与驱动RCSA与管理改进的机制对内部控制与合规改进、操作风险 识别评估同样有效。在RCSA提到驱动机制的来源,包括内外部环境变化、 内外规变化、新业务、检查、指标数据监测、评价与测试(穿行测试与控制 测试)、事件案件等。 监测活动包括监测策划、执行、结果利用等,应由相关部门统筹规划,以节 省资源,提高监测活动的效率和结果利用率。
《中央企业全面风险管理指引》关于“全面风险管理”的定义
全面风险管理指企业围绕总体经营目标,通过在企业管理的各个环节和经 营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全 全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织 职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总 体目标提供合理保证的过程和方法。
《银行家》杂志社
编委 兼 上海首席代表
证监会《上市公司内控体系建设工作指南》
专家组成员
《国家注册风险管理师考试大纲》编委会
编委
及《内部控制》教程
作者
Page 2
1
目录
• 内控相关基本概念 • 商业银行内控实施方法论 • 内控与信息化的关系 • 内控与合规、操作风险的关系 • 三合一整合思路
内控与信息化的关系-成果应用
统一的内控系统可以为各个业务系统提供一致的基础数据,例如 风险点库、控制措施库、控制字典库、流程库等等。基于此可以 随着风险、控制的变化动态的影响业务系统的控制逻辑,从而可 以将内控建设的成果坚实有效的落地。
7
2013/5/31
内控与信息化的关系-体系建立
通过信息化系统可以将内控梳理的过程和结果进行落地,使用引 导式的界面设计,可以辅助指导业务人员的梳理过程,通过内控 策划、内控建设、运营控制、评价监督快速建立内控体系。形成 统一的风险定义与分类、统一的指标分类和数据来源、统一的风 控评估标准和地图、统一的流程框架
基础管理 支撑体系
战略 治理结构
风控战略
风控机制与工具
• 银行流程体系 机制与工• 具风险识别评估
• 控制识别评估 • 风险与控制关键指标 • 风险事件管理 基础管理支•• 撑内资体控 本系评 计价 量管 管理 理
Basel+COSO+监管要求
三
道 公防 司线 治
理
内控与合规、操作风险的关系-整合的理论基础
(识别、评估、 (目标、岗责、
方法
机制
控制、监测) 风险、控制)
13
2013/5/31
内控与合规、操作风险的关系-整合的理论基础
根据COSO的ERM框架以及《企业内部控制基本规范》,结合Basel操作风险三大 工具,以及相关分析,可以整合成银行风控整体框架,包括“风控战略”,“治理架 构”,“风控机制与工具”以及内在的“支撑体系”的整合框架模型。
Page 10
Page 10
5
内控评价模型示意图
2013/5/31
企业风险管理显现的有三个视角:目标,组织架构,风险管理。还有一个隐含的视角:流程。 所以企业风险管理与内部控制是四元结构:目标,组织,流程,风险。
风险可以从四个维度的任意一个维度而涉及到其他方面。
Page 11
Page 11
商业银行内控实施方法论
风控整合模型是以“风控战略”为导向,“治理结构”为保障,“机制与 工具”为实施,同时以“基础管理支撑体系”为支持的模型,如下图所示:
战略
确定银行对风控管理的策略;确定风险偏好;确定风险容忍度;确定风险管理政策。
治理结构
建立风险治理架构;建立三道防线组织架构;确定风控管理角色与责任。
机制与工具
包括流程体系、RSA,CSA、KRI、LDC、内控评价管理、计量管理等。
• 事件:一些特定情况发生的事情及其变化。 – 一个事件可以是一个或更多发生的事,并且可以有众多原因;一个事件可以由未发生的事情组成; – 一个事件有时被称为“不良事件”或“事故”;一个未有后果的事件也可以被称为“临近过失”、“不良事件”、 “临近伤害”或“最后通牒”。
• 后果:一个影响目标的事件后果。 – 一个事件可能 各种后果;一个后果可能是确定的或不确定的,且对目标可能有正面的或负面的影响; – 可定性或定量地表示后果;通过连锁效应可以使最初的后果升级。
内控与合规、操作风险的关系-整合的理论基础
三者作为一个管理整体,必须遵循管理的基本原理和方法,即: • 过程/流程方法 • PDCA改进机制 • 统一在风险管理过程:识别、评估、控制、监测 • 并涉及基本管理要素:目标、岗责、风险、控制等等
合规、内控、操作风险
过程/流程 PDCA改进 风险管理过程 基本管理要素
内控与信息化的关系-体系建立
内控策划的导航
8
内控与信息化的关系-体系建立
内控建设的导航
2013/5/31
内控与信ቤተ መጻሕፍቲ ባይዱ化的关系-体系建立
运营控制的导航
9
内控与信息化的关系-体系建立
评价监督的导航
2013/5/31
内控与信息化的关系-成果落地
经过向导式的建立过程,可以将梳理的成果落地到系统中进行 全面多维度的分析,通过信息化手段,避免了之前成果是一堆 Excel文件的情况,使得内控体系的建立成为银行内部业务操作 的基础。
操作风险工具之一是RCSA,也是内控与合规风险管理的基本工具。RCSA定 义了风险、风险区域、等级、控制、控制评估等要素,这些要素是合规、内 控与操作风险共同关注的内容。 RCSA的驱动机制来源于:内外部环境变化、内外规变化、新业务、检查、 指标数据监测、评价与测试(穿行测试与控制测试)、事件案件等,这些驱 动机制一方面用于风险的识别、评估,另一方面也用于内控缺陷的识别评估。
内部控制整合框架与企业风险管理整合框架
《企业内部控制基本规范》关于“内部控制”与“内部控制目标”的定义 内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现 控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告 及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
2013/5/31
《企业内部控制基本规范》的文件构成
Page 4
Page 4
2
2013/5/31
与内部控制相关的概念。
• 管理:指导和控制组织的协调活动。 – 管理活动通常包括:制定企业的战略(包括企业发展的方针、政策、目标等),以及相关的策划、控制、保 证和改进活动(亦有表述为“计划、组织、协调、控制、指挥”等活动)。 – 控制:正在改变风险的措施。控制包括任何过程、策略、设备、实践或其他改变风险的活动;控制并非总是 希望改变预期或假定的影响。 – 控制是管理活动/职能的一部分,控制的目的是为了致力于实现相关目标、满足相关要求。
10
内控与信息化的关系-成果落地
公司层级成果展示
2013/5/31
内控与信息化的关系-成果落地
业务层级成果展示
11
内控与信息化的关系-成果落地
流程层级成果展示-控制措施
2013/5/31
内控与信息化的关系-成果落地
流程层级成果展示-风控对应
12
2013/5/31
内控与合规、操作风险的关系
从三合一整合逻辑图中可以看出,内控、合规、操作风险有: 共同的梳理基础-流程; 统一的问题管理,内控对应缺陷、合规对应违规事件、操作风险 对应损失数据; 因此,完全可以通过一次梳理、一次上报完成三种不同的管理需 求,减轻分支行数据上报的压力。
Page 5
内控的多视角困惑:横看成岭侧成峰
Page 6
3
2013/5/31
与风险相关的概念。
• 风险:不确定性对目标的影响。 – 影响可能偏离预期(正面的和/或负面的);目标可以有不同的方面(如财务、健康安全以及环境目标),并应用 于不同的层次(如战略、组织整体、项目、产品和过程); – 风险常具有潜在事件、后果或二者结合的特征;经常用一个事件的后果(包括情况变化)和对应的发生可能性这 两者的结合来表示风险; – 不确定性是指缺乏甚至部分缺乏一个事件、其后果或发生可能性的有关信息、了解或认识。
2013/5/31
商业银行内部控制信息化建设
汪健豪 北京普信管理咨询有限公司
2013年6月
主讲人介绍:汪健豪
国家注册高级风险管理师、高级工程师
北京普信管理咨询有限公司
董事长 首 席 专 家
财政部“企业内部控制标准委员会”
咨询专家
财政部“会计信息化委员会”
咨询专家
山东大学经济学院
金融学硕士生导师
• 可能性:某事发生的可能程度。
Page 7
风险与风险赋值
• 风险:某一事件发生的可能性和其后果的组合。
大
可 能 性
小
Page 8
中等风险 /高风险
-内部控制
- 风险规避
高风险
低风险
风险坐标图分析
- 风险承受
-保险工具
- 衍生工具 中等风险 /高风险
低
高
后果
4
2013/5/31
Page 9
Page 9
基础管理支撑体系
包括制度体系、岗责体系、考核体系、风控管理信息系统等。
14
2013/5/31
内控与合规、操作风险的关系-整合的理论基础
整合实施工具:一图两表。以流程为基础,将相关管理要素通过IT技术 手段关联,实现了信息时代管理整合的落地应用。
内控与合规、操作风险的关系-整合的理论基础
15
2013/5/31
完善的内控梳理框架应该在银行不同的层级展现和发挥管控效果, 确保银行经营管理合法合规、资产安全、财务报告与相关信息真 实完整,提高经营效率和效果、促进实现发展战略。在贯穿四个 层级的内控梳理体系框架下,分别开展公司层级、业务层级、流 程层级和产品层级的内控梳理工作,在满足外部监管要求的前提 下实现内部的精细化管理
内控与合规、操作风险的关系-整合内容
流程管理整合:
操作风险管理以流程管理为基础,主要采用流程法进行风险识别。内控合规 的具体落实也是以流程为基础的,通过流程落实控制措施并识别缺陷。清晰 规范的流程是两者管理的基础,也是企业标准化规范化管理的基础。
内控与合规、操作风险的关系-整合内容
风险识别评估(RCSA)整合:
16
2013/5/31
内控与合规、操作风险的关系-整合内容
指标(KRI)管理:
关键风险指标体系的建立,可以为管理者提供反映当前特定业务部门中风险水平和内控水平 的相关数据。指标体系的管理与应用具有通用性,这样的特性便于建立全行统一的指标体系。 内控有五大控制目标,这五大目标细化就是内控合规指标体系,关键指标用于反映内控管理 水平和管理成果,管理者根据这些指标确定控制设计的有效性与执行的有效性。指标包括定 性与定量分类,数据项,计算公式,阀值等要素。操作风险指标大部分是定量指标。 操作风险关键指标是反映操作风险领域变化情况并可定期监控的统计指标。关键风险指标可 用于监测可能造成损失事件的各项风险及控制措施,并作为反映风险变化情况的早期预警指 标(高级管理层可据此迅速采取措施)。关键风险指标应该随着时间而变化。新风险出现, 需要更换新的关键风险指标。当风险管理者对业务更为熟悉时,可以进一步追溯因果关系链。
内控与合规、操作风险的关系-整合内容
问题/事件管理的整合:
问题/事件发生在不同的机构与流程中,事件上报没有必要重复报送,耗费资 源。一次上报多次利用能发挥更好的管理效率,事件的属性可以整合内控合 规与操作风险的需求。事件管理过程包括报告、原因分析与分类、整改计划、 风险评估、损失数据收集、处理处罚、整改落实。这个过程涵盖了内部控制、 合规与操作风险对事件的管理活动。
6
2013/5/31
内控与信息化的关系-成果应用
随着信息技术的飞速发展,银行已经或者正在将各个业务实现为IT 流程,并在流程中进行了相关风险的控制,比如没有录入有效的 身份信息,交易系统将验证失败。但这种固化的、静态的系统控 制并不能满足动态的风险变化趋势,又比如目前汽车都可以远程 锁控制,但如果附近有电子锁干扰器,就会使得此项控制失效, 造成经济损失。因此银行需要建立的是完整的、动态的、符合 PDCA的内控信息化系统。
17
2013/5/31
内控与合规、操作风险的关系-整合内容
监测与驱动机制的整合:
监测活动与驱动RCSA与管理改进的机制对内部控制与合规改进、操作风险 识别评估同样有效。在RCSA提到驱动机制的来源,包括内外部环境变化、 内外规变化、新业务、检查、指标数据监测、评价与测试(穿行测试与控制 测试)、事件案件等。 监测活动包括监测策划、执行、结果利用等,应由相关部门统筹规划,以节 省资源,提高监测活动的效率和结果利用率。
《中央企业全面风险管理指引》关于“全面风险管理”的定义
全面风险管理指企业围绕总体经营目标,通过在企业管理的各个环节和经 营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全 全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织 职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总 体目标提供合理保证的过程和方法。
《银行家》杂志社
编委 兼 上海首席代表
证监会《上市公司内控体系建设工作指南》
专家组成员
《国家注册风险管理师考试大纲》编委会
编委
及《内部控制》教程
作者
Page 2
1
目录
• 内控相关基本概念 • 商业银行内控实施方法论 • 内控与信息化的关系 • 内控与合规、操作风险的关系 • 三合一整合思路
内控与信息化的关系-成果应用
统一的内控系统可以为各个业务系统提供一致的基础数据,例如 风险点库、控制措施库、控制字典库、流程库等等。基于此可以 随着风险、控制的变化动态的影响业务系统的控制逻辑,从而可 以将内控建设的成果坚实有效的落地。
7
2013/5/31
内控与信息化的关系-体系建立
通过信息化系统可以将内控梳理的过程和结果进行落地,使用引 导式的界面设计,可以辅助指导业务人员的梳理过程,通过内控 策划、内控建设、运营控制、评价监督快速建立内控体系。形成 统一的风险定义与分类、统一的指标分类和数据来源、统一的风 控评估标准和地图、统一的流程框架
基础管理 支撑体系
战略 治理结构
风控战略
风控机制与工具
• 银行流程体系 机制与工• 具风险识别评估
• 控制识别评估 • 风险与控制关键指标 • 风险事件管理 基础管理支•• 撑内资体控 本系评 计价 量管 管理 理
Basel+COSO+监管要求
三
道 公防 司线 治
理
内控与合规、操作风险的关系-整合的理论基础
(识别、评估、 (目标、岗责、
方法
机制
控制、监测) 风险、控制)
13
2013/5/31
内控与合规、操作风险的关系-整合的理论基础
根据COSO的ERM框架以及《企业内部控制基本规范》,结合Basel操作风险三大 工具,以及相关分析,可以整合成银行风控整体框架,包括“风控战略”,“治理架 构”,“风控机制与工具”以及内在的“支撑体系”的整合框架模型。
Page 10
Page 10
5
内控评价模型示意图
2013/5/31
企业风险管理显现的有三个视角:目标,组织架构,风险管理。还有一个隐含的视角:流程。 所以企业风险管理与内部控制是四元结构:目标,组织,流程,风险。
风险可以从四个维度的任意一个维度而涉及到其他方面。
Page 11
Page 11
商业银行内控实施方法论
风控整合模型是以“风控战略”为导向,“治理结构”为保障,“机制与 工具”为实施,同时以“基础管理支撑体系”为支持的模型,如下图所示:
战略
确定银行对风控管理的策略;确定风险偏好;确定风险容忍度;确定风险管理政策。
治理结构
建立风险治理架构;建立三道防线组织架构;确定风控管理角色与责任。
机制与工具
包括流程体系、RSA,CSA、KRI、LDC、内控评价管理、计量管理等。
• 事件:一些特定情况发生的事情及其变化。 – 一个事件可以是一个或更多发生的事,并且可以有众多原因;一个事件可以由未发生的事情组成; – 一个事件有时被称为“不良事件”或“事故”;一个未有后果的事件也可以被称为“临近过失”、“不良事件”、 “临近伤害”或“最后通牒”。
• 后果:一个影响目标的事件后果。 – 一个事件可能 各种后果;一个后果可能是确定的或不确定的,且对目标可能有正面的或负面的影响; – 可定性或定量地表示后果;通过连锁效应可以使最初的后果升级。
内控与合规、操作风险的关系-整合的理论基础
三者作为一个管理整体,必须遵循管理的基本原理和方法,即: • 过程/流程方法 • PDCA改进机制 • 统一在风险管理过程:识别、评估、控制、监测 • 并涉及基本管理要素:目标、岗责、风险、控制等等
合规、内控、操作风险
过程/流程 PDCA改进 风险管理过程 基本管理要素
内控与信息化的关系-体系建立
内控策划的导航
8
内控与信息化的关系-体系建立
内控建设的导航
2013/5/31
内控与信ቤተ መጻሕፍቲ ባይዱ化的关系-体系建立
运营控制的导航
9
内控与信息化的关系-体系建立
评价监督的导航
2013/5/31
内控与信息化的关系-成果落地
经过向导式的建立过程,可以将梳理的成果落地到系统中进行 全面多维度的分析,通过信息化手段,避免了之前成果是一堆 Excel文件的情况,使得内控体系的建立成为银行内部业务操作 的基础。
操作风险工具之一是RCSA,也是内控与合规风险管理的基本工具。RCSA定 义了风险、风险区域、等级、控制、控制评估等要素,这些要素是合规、内 控与操作风险共同关注的内容。 RCSA的驱动机制来源于:内外部环境变化、内外规变化、新业务、检查、 指标数据监测、评价与测试(穿行测试与控制测试)、事件案件等,这些驱 动机制一方面用于风险的识别、评估,另一方面也用于内控缺陷的识别评估。
内部控制整合框架与企业风险管理整合框架
《企业内部控制基本规范》关于“内部控制”与“内部控制目标”的定义 内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现 控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告 及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。