内部控制、风险管理与内部审计的关系和整合

SOLVENCY II
将Solvency II嵌入业务 保险风险 市场风险 信用风险 流动性风险 操作风险
投资规则 (监管者的能力 和职权, 活动领 域) 竞争相关因素 支柱1 定量要求 准备金 最低资本金要求 支柱2 监管者复核 定性要求 支柱3 市场约束 透明度
金融服务法规监 管
披露要求
执行
11
风险解决具体目 标 所需的组织领导 所涉及的管理及 业务流程以及资 源等 风险事件发生前、 中、后所采取的 应对措施以及风 险管理工具 • • • •
风险管理的 监督与改进
部门和业务单 位自查和检验 风险管理职能 部门检查和检 验 内部审计部门 监督评价 中介机构评价
风险管理 流程
• • • •
•
风险管理组织体系
1
通过评估重大事件 发生的可能性及其 影响效应，以及提 出预防这些事件发 生或管理这些事件 （如确实已经发生） 影响的响应措施， 减少绩效的不稳定 性。
2
当风险管理的职能 部门不止一个，而 要管理的风险也不 止一种时，就需要 有一个通用的框架。 同时也可回答投资 者经常提出的问题： “有哪些风险，怎么 管理这些风险，你 又是怎么知道这些 风险的?”
内部控制、风源自文库管理和
内部审计的关系与整合
目录
对内部控制的理解
风险管理与其在企业管理中的作用
内部审计及其在企业管理中的作用
内部控制、风险管理和内部审计的关系与整合
风险导向的内部控制体系的构建
2
内部控制的演变和发展趋势
进展
COSO 内部控制 整体框架 后萨班 萨班斯 斯时代 法案
长期性 持续性
内部控制 结构完善 内控评价 内部审计 内部牵制
统的一部分； q 从组织结构来看，内部控制和风险管理相应的组织结构是完全一 致的，说明二者都应该无缝整合到一定的组织结构中，和其他有 关的业务和职能管理共同服务于企业管理。
COSO风险管理框架(2004)
21
目前对风险管理与内控认识存在的误区
误区
•
正解
• 内置于企业日常管理过程中，是 一种常规运行的机制。
• 整合建设，但根据企业特点各有 侧重。 • 无论多么先进的内部控制和风险 管理体系都只能为企业相关目标 的实现提供合理的而非绝对的保 证。 • 新事物的导入有个过程，要认清 风险管理成熟度。
6
国外主要风险管理标准
时间
1988年
机构/国家
BCBS
标准
巴塞尔协议
1999年
2002年 2003年 2004年 2004年 2005年 2008
7
澳大利亚和新西兰
加拿大 英国 COSO BCBS 香港会计师公会 欧洲委员会
AS/NZ43601999
风险管理：决策者指南—加拿大国家标准 AIRMIC/ALARM/IRM 企业风险管理—整合框架 巴塞尔协议Ⅱ 内部控制与风险管理的基本架构 偿付能力Ⅱ
综合风险转
和提升企业价值：
•建立可持续的竞争优势； •优化风险管理成本 •帮助管理层改善经营业 绩
建立竞 争优势 保护和提升 企业价值
优化风险 管理成本
正确厘定交易 固有风险的价 格 协调风险偏好与战 略的关系，确保两 者间匹配 提高应对变革的 就绪程度
改善经 营绩效
预见和 沟通绩 效目标 中固有 的不确 定因素
风险管理文化建设的目标和任务 风险管理文化的内涵 风险管理文化传播和培育的方法
风险管理 文化
• • •
中央企业全面风险管理指引
13
风险管理流程
纵观以上国际国内的风险管理标准和指引，我们可以看到： • 风险管理的框架和概念存在着多个流派，风险管理框架和风险管理语言的不统一； • 多种风险管理框架造成多重的监管标准要求，使得风险管理在实务界存在重复投资
内部控制不是静止的，是会随着时间的流逝和经验的增加而不 断进步。
4
目录
对内部控制的理解
风险管理与其在企业管理中的作用
内部审计及其在企业管理中的作用
内部控制、风险管理和内部审计的关系与整合
风险导向的内部控制体系的构建
5
风险管理的演化发展
全面风险管理
风险的数量化 管理
保险和安全生产
70年代 1995年
监控及评价
分析风险 现有风险结构 影响程度 可能性 风险值 整合风险 评估风险 应对风险 • 评估各种可能方案
程的指引，强调在实施风险评估
工作之前要建立风险评估基础。
9
国外主要风险管理标准：COSO的ERM框架
2004年9月，COSO正式颁布《企业风险管理——整体框架》，包含4大目标（战略、经营、报告和合
• • •
把内部控制与全面风险管 理体系的建设理解为建章 立制。 内部控制体系和全面风险 管理体系是相互独立的。 内部控制和全面风险管理 的作用被夸大。 内部控制与全面风险管理 理念在企业实践落地难。
22
风险管理与内部控制的关系
理论界对内部控制与风险管理的关系有两种观点：
q 观点1：认为风险管理是内部控制的组成部分
q 观点2：认为内部控制是风险管理的组成部分
23
风险管理与内部控制的关系（续）
我们的看法是： q 如果以风险作为管理的起点，则内部控制是风险的应对，可以理 解为控制属于风险管理的实现工具，因此控制包含于风险管理； q 如果认为企业管理的实质是控制，风险管理只是在资源有限性和
对象复杂性矛盾下的平衡和导向，那么风险管理可以作为控制系
目录
对内部控制的理解
风险管理与其在企业管理中的作用
内部审计及其在企业管理中的作用
内部控制、风险管理和内部审计的关系与整合
风险导向的内部控制体系的构建
17
内部审计演进
价值保护 中间阶段 价值创造
流程改进 控制纠正 关注交易/ 资产保护
与管理层合作 实行风险和 控制自我评估
有限的 合规性
财务/合规 性审计 舞弊防范
和资源浪费现象，最后导致损失的是企业。
我们认为，风险管理不是罗列所有风险，而是一个循环管理的机制，通过识别、评估 风险、建立应对措施、对风险进行监控与汇报、针对风险持续改善这个流程，形成风 险管理机制，为公司健康发展奠定基础。核心是风险管理文化与意识。
14
企业风险管理的作用
企业风险管理的价值 主张：
国外主要风险管理标准巴巴塞尔新资本协议
2004年6月，巴塞尔委员会发布了《统一资本计量和资本标准的国际协议：修订框架》，新协
议将会对整个国际金融市场产生深远的影响：签署新协议的100多个国家的银行、证券公司、
基金公司、资产管理公司、保险公司等都会受到直接或间接的影响。我国于1996年加入了巴 塞尔成员国行列，标志着我国银行业接受了《巴塞尔协议》的要求。
-实物牵制 -薄记牵制 40年代前
-建立内控 -数据准确一致 -内控可靠性
-控制环境 -会计系统 -控制程序
-法律责任 -控制环境 -与财务报 -风险评估 告相关的 -控制活动 内部控制 -信息沟通 -持续监控
以风险为 导向的内 部控制 广义内控
40－70年代
80－90年代
90年代后
2002年后
2006年后
3
内部控制的作用
良好的内部控制会: • 降低舞弊的可能
薄弱的内部控制会: • 提高舞弊发生的可能
• 获得(或重获)投资者的信心
• 遵守法律和法规 • 降低资源流失的风险 • 以更高质量和更及时的信息优 化业务决策 • 暴露经营中的低效环节
• 错误的财务报表
• 不良的公众形象 • 对股东价值的负面影响 • 招致证券监管机构制裁 • 诉讼或者其他法律纠纷 • 资产的流失 • 经营决策不能最优化
• • • • • •
风险管理信息系统
• • • • • • 信息技术应用于风险管理实践 风险管理信息系统保障风险信息量化值的 要求 风险管理信息系统的功能要求 风险管理信息系统应该实现跨部门的集成 与共享 风险管理信息系统应确保安全、稳定运行 风险管理信息系统的建设与更新
风险管理 体系
•
董事会就全面风险管理工作的有效性对股东（大）会负责 风险管理委员会对董事会负责 总经理对全面风险管理工作的有效性向董事会负责 设立专职部门或确定相关职能部门履行全面风险管理职责 董事会下设立审计委员会，内审部门对审计委员会负责 其他职能部门及各业务单位接受风险管理职能部门和内部 审计部门的组织、协调、指导和监督 指导和监督其全资、控股子企业
引入系统 化的风险 评估流程 ，提高管理 深化对影 层对风险管 响收益和 理的信心 资本的风 险认识
减少经营损 失和意外事 件 改善合规和 风险应对措 施
15
企业风险管理的作用（续）
企业风险管理有助于管理层协调风险偏好与企业战略之间的匹配关系，强化 风险应对决策，减少营运意外事件和损失，识别和管理贯穿整个企业的风险， 建立抵抗多重风险的综合响应预案，抓住机遇及改善资本配置。
财务稳定性
支柱1 最低资本要求 信用风险 •标准化流程 •基础IRB •高级IRB 市场风险 •标准化流程 •内部VaR模型 操作风险 •基本指标法 •标准法 支柱2 监管当局的监督检查 银行框架 •良好的资本评估 •整体资本充足率 •全面风险评估 监管框架 •银行内部系统评估 •风险组合评估 •合规性评估 •监管机制 支柱3 市场约束 披露要求 •银行风险信息的对市 场的透明度 •提高银行间的可比性
内部控制、风险管理和内部审计的关系与整合
风险导向的内部控制体系的构建
20
内部控制和风险管理的框架：COSO框架的演进
内部环境 目标设定 信息和沟通
控制活动
监控
事项识别
风险评估
风险评估
风险应对
控制环境
子 公 业 司 务 分 单 支 位 企 机 业 构 层 面
控制活动 信息与沟通 监督
COSO内控框架(1992)
12
国资委—中央企业全面风险管理指引
风险管理 初始信息
• 战略风险信息 财务风险信息 市场风险信息 运营风险信息 法律风险信息 • • •
风险评估
风险辨识 风险分析 风险评价 • • • • • • •
风险管理策略
风险承担 风险规避 风险转移 风险转换 风险对冲 风险补偿 风险控制 • • •
风险管理解决方案
规目标）、8个相互关联的要素（内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、
信息与沟通、监控）和应用的企业及单位（公司层面、子公司、业务单元和科室）。
10
国外主要风险管理标准：偿付能力Ⅱ （Solvency II）
2003年4月，欧盟保险委员会(European Insurance Committee)会议确定了偿付能力Ⅱ的基本概 念和原则。修改定稿的偿付能力Ⅱ将于2011年10月提交英国金融服务管理局（FSA），预计可 于2012年10月正式实施。这也将可能成为我国保险行业未来的趋势。
相关风险范围
全面的 企业全面风险管理
持续的风 险管理
流程分析 & 最佳实务操作
风险咨询
18
德勤内部审计模型
审计准备 提交结论及 建议
风险评估及 建立模型
内部审计
执行内部 审计测试 建立内部 审计测试
制定内部 审计方案
目录
对内部控制的理解
风险管理与其在企业管理中的作用
内部审计及其在企业管理中的作用
8
国外主要风险管理标准：澳新标准框架
澳新标准是由澳大利亚与新西兰 联合标准委员会发布的关于风险 管理的一个标准。 该标准主要建立了一个风险管理 的基础框架，为企业提供一个通 用的建立和实施有效风险管理流
沟通及协商
建立风险评估基础 •内外部基础信息，包括 对公 司目标的了解和信息掌 握 •风险管理基础设定 识别风险
企业风险管理除推动管 理层的风险管理能力日 趋成熟以外，还从以下 三方面帮助管理层保护
实施更强 风险评估 流程 改善对全 企业共同 风险的管 理 改善资本 利用及资 源调配 确保风险承 担与核心业 务竞争力相 符 保护声 誉和品 牌形象
将风险管 理同经营 规划和战 劲高效的 结合
裁减 冗余 略制定相 活动 移和风险 接受决策
控制
披露
国内主要风险管理规定
时间
2005年 2006年 2006年 2007年 2007年 2009年 2009年 2009年 2010年 银监会 国资委 银监会 银监会 保监会 银监会 银监会 银监会 保监会
机构
标准
商业银行市场风险管理指引 中央企业全面风险管理指引 商业银行合规风险管理指引 商业银行操作风险管理指引 保险公司风险管理指引 商业银行流动风险管理指引 商业银行声誉风险管理指引 商业银行信息科技风险管理指引 人身保险公司全面风险管理实施指引
3
投资者可评价企业 在了解和管理风险 方面的能力，以便 对照所承受的风险， 粗略地评估自己的 投资回报是否足够 丰厚。
4
提升企业识别风险、 确定风险轻重缓急 次序和规划风险的 能力，合理调配企 业资源。
减少绩效的 不稳定性
16
协调和整合风险 管理的职能部门 和管理程序
增强投资者的 信心
响应不断变化的业 务环境