内部控制及风险管理内部审计的关系整合

时间
2005年 2006年 2006年 2007年 2007年 2009年 2009年 2009年 2010年
机构
银监会 国资委 银监会 银监会 保监会 银监会 银监会 银监会 保监会
标准
商业银行市场风险管理指引 中央企业全面风险管理指引 商业银行合规风险管理指引 商业银行操作风险管理指引 保险公司风险管理指引 商业银行流动风险管理指引 商业银行声誉风险管理指引 商业银行信息科技风险管理指引 人身保险公司全面风险管理实施指引
1995年
国外主要风险管理标准
时间
1988年 1999年 2002年 2003年 2004年 2004年 2005年 2008
机构/国家
标准
BCBS
巴塞尔协议
澳大利亚和新西兰 AS/NZ43601999
加拿大
风险管理：决策者指南—加拿大国家标准
英国
AIRMIC/ALARM/IRM
COSO
企业风险管理—整合框架
12
国资委—中央企业全面风险管理指引
风险管理 初始信息
•
风险管理 流程
• •
•
•
战略风险信息
财务风险信息 市场风险信息 运营风险信息 法律风险信息
风险评估
•
风险辨识
•
风险分析
•
风险评价
风险管理策略
• 风险承担 • 风险规避 • 风险转移 • 风险转换 • 风险对冲 • 风险补偿 • 风险控制
风险管理组织体系
2006年后
3
内部控制的作用
良好的内部控制会:
• 降低舞弊的可能 • 获得(或重获)投资者的信心 • 遵守法律和法规 • 降低资源流失的风险 • 以更高质量和更及时的信息优
化业务决策 • 暴露经营中的低效环节
薄弱的内部控制会:
• 提高舞弊发生的可能 • 错误的财务报表 • 不良的公众形象 • 对股东价值的负面影响 • 招致证券监管机构制裁 • 诉讼或者其他法律纠纷 • 资产的流失 • 经营决策不能最优化
萨班斯 斯时代 法案
长期性 持续性
内部牵制
-实物牵制 -薄记牵制
-控制环境
-会计系统 -建立内控 -控制程序
-数据准确一致 -内控可靠性
-法律责任
-控制环境 -与财务报 -风险评估 告相关的 -控制活动 内部控制 -信息沟通 -持续监控
以风险为
导向的内 部控制 广义内控
40年代前 40－70年代 80－90年代 90年代后 2002年后
内部控制、风险管理和 内部审计的关系与整合
目录
对内部控制的理解 风险管理与其在企业管理中的作用 内部审计及其在企业管理中的作用 内部控制、风险管理和内部审计的关系与整合 风险导向的内部控制体系的构建
2
内部控制的演变和发展趋势
进展
内控评价 内部审计
内部控制 结构完善
wenku.baidu.com
COSO
内部控制 整体框架
后萨班
支柱3 市场约束
披露要求
•银行风险信息的对市 场的透明度
•提高银行间的可比性
8
国外主要风险管理标准：澳新标准框架
监控及评价 沟通及协商
澳新标准是由澳大利亚与新西兰 联合标准委员会发布的关于风险 管理的一个标准。 该标准主要建立了一个风险管理 的基础框架，为企业提供一个通 用的建立和实施有效风险管理流 程的指引，强调在实施风险评估 工作之前要建立风险评估基础。
保险风险 市场风险 信用风险 流动性风险 操作风险
支柱1 定量要求
准备金
SOLVENCY II
将Solvency II嵌入业务
支柱2 监管者复核
定性要求
最低资本金要求
金融服务法规监 管
支柱3 市场约束
透明度
披露要求
投资规则
执行
(监管者的能力 和职权, 活动领
域)
控制
竞争相关因素
披露
11
国内主要风险管理规定
BCBS
巴塞尔协议Ⅱ
香港会计师公会
内部控制与风险管理的基本架构
欧洲委员会
偿付能力Ⅱ
7
国外主要风险管理标准巴巴塞尔新资本协议
2004年6月，巴塞尔委员会发布了《统一资本计量和资本标准的国际协议：修订框架》，新协 议将会对整个国际金融市场产生深远的影响：签署新协议的100多个国家的银行、证券公司、 基金公司、资产管理公司、保险公司等都会受到直接或间接的影响。我国于1996年加入了巴 塞尔成员国行列，标志着我国银行业接受了《巴塞尔协议》的要求。
风险管理解决方案
风险管理的 监督与改进
• 风险解决具体目
• 部门和业务单
标
位自查和检验
•
所需的组织领导
• 所涉及的管理及
业务流程以及资
•
风险管理职能
部门检查和检
验
源等
•
内部审计部门
• 风险事件发生前、
监督评价
中、后所采取的
•
中介机构评价
应对措施以及风
险管理工具
风险管理信息系统
• 风险管理 •
体系 • •
内部控制不是静止的，是会随着时间的流逝和经验的增加而不 断进步。
4
目录
对内部控制的理解 风险管理与其在企业管理中的作用 内部审计及其在企业管理中的作用 内部控制、风险管理和内部审计的关系与整合 风险导向的内部控制体系的构建
5
风险管理的演化发展
全面风险管理
风险的数量化 管理
保险和安全生产
70年代
6
9
建立风险评估基础 •内外部基础信息，包括 对公 握 司目标的了解和信息掌 •风险管理基础设定
识别风险 分析风险 现有风险结构 影响程度 可能性
风险值 整合风险
评估风险
应对风险 • 评估各种可能方案
国外主要风险管理标准：COSO的ERM框架
2004年9月，COSO正式颁布《企业风险管理——整体框架》，包含4大目标（战略、经营、报告和合 规目标）、8个相互关联的要素（内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、 信息与沟通、监控）和应用的企业及单位（公司层面、子公司、业务单元和科室）。
支柱1 最低资本要求
信用风险 •标准化流程 •基础IRB •高级IRB
市场风险 •标准化流程 •内部VaR模型
操作风险 •基本指标法 •标准法
财务稳定性
支柱2 监管当局的监督检查
银行框架 •良好的资本评估 •整体资本充足率 •全面风险评估
监管框架 •银行内部系统评估 •风险组合评估 •合规性评估 •监管机制
10
国外主要风险管理标准：偿付能力Ⅱ （Solvency II）
2003年4月，欧盟保险委员会(European Insurance Committee)会议确定了偿付能力Ⅱ的基本概 念和原则。修改定稿的偿付能力Ⅱ将于2011年10月提交英国金融服务管理局（FSA），预计可 于2012年10月正式实施。这也将可能成为我国保险行业未来的趋势。
•
•
•
风险管理 •
文化
•
•
董事会就全面风险管理工作的有效性对股东（大）会负责 风险管理委员会对董事会负责 总经理对全面风险管理工作的有效性向董事会负责 设立专职部门或确定相关职能部门履行全面风险管理职责 董事会下设立审计委员会，内审部门对审计委员会负责 其他职能部门及各业务单位接受风险管理职能部门和内部 审计部门的组织、协调、指导和监督 指导和监督其全资、控股子企业