第一篇:内控与风险管理提升心得体会
内控与风险管理提升心得体会
众所周知,一个没有免疫系统、或免疫力偏低的生命体是不可能
健康成长的,而内部控制就是企业“生命体”的免疫系统。因此,欲使
邮政储蓄银行不断成长壮大,就必须在大力拓展各项业务的同时,更
加有效地推进其自身免疫系统—内控制度建设,以保证邮政储蓄银行的稳健发展。邮政储蓄银行尽快建立起规范、科学而运转良好的内控
制度不仅是日益加强的金融监管的外在要求,同时也是实现预定发展
战略目标和防范金融风险的内在需要。运行良好的内部控制可以发挥
如下作用:一是确保国家法律法规和监管规章的贯彻执行;二是确保
将各种风险控制在可承受的范围内;三是确保自身发展战略和经营目
标的全面实现;四是有利于查错防弊,堵塞漏洞,消除隐患,保证业
务稳健运行。
开展“内控与风险提升年”活动,其目的是进一步落实各项内控制
度,提高全体员工团结务实、审慎经营、爱岗敬业、遵章守纪的自觉
性,查摆、堵塞工作中的漏洞,遏制各类案件的发生,全面提高工作
质量和服务水平。转变工作作风,大兴求真务实之风,使全体员工以
满腔的热情和昂扬的斗志全身心投入到工作中去,为我行内控的发展
提供有力的保障。现就学习完“内控与风险提升年”活动细则后谈谈自
己的体会:
一、当前内控制度存在的问题
1、对内控制度的认识不到位。有的把内部控制简单地理解为各种规章制度的制定、装订、汇总,认为做了整章建制方面的工作,就等于建立了内控机制;有的在把握内控与管理、内控与风险、内控与发展的关系等问题上,认识有偏差,把加强内控与发展和效益对立起来,在业务拓展和风险防范的抉择中,侧重于抓规模、抓效益,不切实际地求得资产规模的扩张,造成违规违章现象发生,以致资产质量低下。
2、稽核、监察监督机制不建全,是直接影响内控制度的有效落实。稽核、监察部门不能起到查错防漏、纠正违规、强化管理、控制风险的作用。内部稽核、监察体制不顺,本身没有处理问题权,有的问题得不到真实反映,使一些问题被积压下来,没有相应的制约措施。
3、风险控制系统不健全,对内部控制的评价与监督不够。风险控制是金融机构内部控制中的一个难点,目前我行缺乏具体风险评估及控制为核心的信贷风险管理体系.管理制度也极不完善,贷款发放还没有实行风险度管理。
二、本人的体会
所谓有效的内部控制包含有四层含义,即:其一,它是无时不控的---贯穿于业务操作的始终;其二,它是无处不控的——与业务的速度和空间同步,甚至有所超前,以体现内控优先的思想,其三,它是无人不控的——上到管理者,下至每位员工,只有严格执行内部控制才是至高无尚的;其四,它是无事不控的——小业务要控,大事情更要控,一切经营管理活动无不在其控制之下进行,没有例外与“个案”处理。
邮政储蓄银行要建立怎样的内部控制呢?首先我本人认为:增强自律意识是根本。一切活动离不开人,人是生产力中最活的因素,内部控制不能例外。良好的内部控制既是经营管理者设计构造的产物,也是其遵循维护的结果。如果说设计构造不易,那么有颜色遵循维护则更难。因为,需要持之以恒孜孜不倦,一以贯之。从这一意义上说,自律意识牢固树立之日,才是内部控制运行完全到位之时。
增强自律意识,从基本面来看,就是要增强全员的自律意识。即:每位员工首先要强化按规章制度办事的观念,不再是凭“经验”操作。其次,要树立制度面前人人平等的信念,不再是惟命是从。再者,要树立内部控制人人有责,从我做起的思想,不再是事不关己,高高挂起。
增强自律意识,从重点对象看,就是要增强两级经营管理班子的自律意识,真正做到经营与管理两手抓,业务发展与内控建设两手抓,效益与守规两手抓,做自律的表率。
增强自律意识可以从学习教育、剖析典型、调整人员等三方面入手。一线操作人员要做到业务再忙不忘学习规章制度;通过学习,要教育每位员工知道该做什么,不该做什么,从而有的放矢开展各项业务。要剖析正反两方面典型,使全体员工能够在学习经验上有标杆,吸取教训上有对象。要顶住一切压力,对那些置内控制度于不顾的我行我素者,果敢地进行调整,直到清理出队伍,以儆效尤。
严格严厉查处是保障。内控制度的建立并不意味着就一定能有效贯彻执行,这是因为还存在削弱其效力的主客观因素。如:严格检查,严厉处置。即严格检查:就是要坚持以制度为标准,事实为依据,甄别是非,确认对错,分清主次,界定责任。不搞双重或多重标准,不故意夸大或缩小问题,不回避矛盾,混淆是非,不当“和事老”,报实情、说实话、办实案。严厉处置:就是要对一切破坏内部控制运行的违纪违规者,不管是谁,纵然?过“功高盖主”的业绩,也要做到王子犯法与庶民同罪,以维护制度的严肃性、权威性。否则,姑息迁就,不过是内部控制建设上的叶公好龙;“下不为例”则久必酿成大祸;搞“心太软”将无异于自我放纵等等。所有这些管理之大忌,足以令人警醒。
综上所述,通过“内控与风险提升年”活动的学习,使我在今后的工作中,必须忠于职守,弘扬创新之风,履职责;弘扬学习之风,强
素质;弘扬务实之风,讲效率;弘扬艰苦奋斗之风,树形象。牢固树立“勤政、廉洁、求实、高效”的工作作风,带头模范执行“内控与风险提升年”活动,促进规范经营,营造公平有序的竞争环境和秩序。通过“内控与风险提升年”活动的有效开展,增强了本人遵纪守法的自觉性,显示了遵纪守法的必要性,激发了遵纪守法的热情,提高了工作中的自律意识,使我们广大职工在日常的工作中要“细到项目,认真到成因”,自发地以“自重、自省、自警、自励”严格严格要求自己,并做到遵纪守法,严以律己,尽职尽责,恪守职业道德。
通过“内控与风险提升年”活动的有效开展,使我一定以此次活动学习的开展为契机,在自己的工作岗位上多出成效,多创佳绩,为促进邮政储蓄银行的各项工作得到健康的发展做出自己的贡献。
第二篇:内控与风险管理提升心得体会
内控与风险管理提升心得体会
众所周知,一个没有免疫系统、或免疫力偏低的生命体是不可能健康成长的,而内部控制就是企业“生命体”的免疫系统。因此,欲使邮政储蓄银行不断成长壮大,就必须在大力拓展各项业务的同时,更加有效地推进其自身免疫系统—内控制度建设,以保证邮政储蓄银行的稳健发展。邮政储蓄银行尽快建立起规范、科学而运转良好的内控制度不仅是日益加强的金融监管的外在要求,同时也是实现预定发展战略目标和防范金融风险的内在需要。运行良好的内部控制可以发挥如下作用:一是确保国家法律法规和监管规章的贯彻执行;二是确保将各种风险控制在可承受的范围内;三是确保自身发展战略和经营目标的全面实现;四是有利于查错防弊,堵塞漏洞,消除隐患,保证业务稳健运行。
开展“内控与风险提升年”活动,其目的是进一步落实各项内控制度,提高全体员工团结务实、审慎经营、爱岗敬业、遵章守纪的自觉性,查摆、堵塞工作中的漏洞,遏制各类案件的发生,全面提高工作质量和服务水平。转变工作作风,大兴求真务实之风,使全体员工以满腔的热情和昂扬的斗志全身心投入到工作中去,为我行内控的发展提供有力的保障。现就学习完“内控与风险提升年”活动细则后谈谈自己的体会:
一、当前内控制度存在的问题
1、对内控制度的认识不到位。有的把内部控制简单地理解为各种规章制度的制定、装订、汇总,认为做了整章建制方面的工作,就等于建立了内控机制;有的在把握内控与管理、内控与风险、内控与发展的关系等问题上,认识有偏差,把加强内控与发展和效益对立起来,在业务拓展和风险防范的抉择中,侧重于抓规模、抓效益,不切实际地求得资产规模的扩张,造成违规违章现象发生,以致资产质量低下。
2、稽核、监察监督机制不建全,是直接影响内控制度的有效落实。稽核、监察部门不能起到查错防漏、纠正违规、强化管理、控制风险的作用。内部稽核、监察体制不顺,本身没有处理问题权,有的问题得不到真实反映,使一些问题被积压下来,没有相应的制约措施。
3、风险控制系统不健全,对内部控制的评价与监督不够。风险控制是金融机构内部控制中的一个难点,目前我行缺乏具体风险评估及控制为核心的信贷风险管理体系.管理制度也极不完善,贷款发放还没有实行风险度管理。
二、本人的体会
所谓有效的内部控制包含有四层含义,即:其一,它是无时不控的---贯穿于业务操作的始终;其二,它是无处不控的——与业务的速度和空间同步,甚至有所超前,以体现内控优先的思想,其三,它是无人不控的——上到管理者,下至每位员工,只有严格执行内部控制才是至高无尚的;其四,它是无事不控的——小业务要控,大事情更要控,一切经营管理活动无不在其控制之下进行,没有例外与“个案”处理。
邮政储蓄银行要建立怎样的内部控制呢?首先我本人认为:增强自律意识是根本。一切活动离不开人,人是生产力中最活的因素,内部控制不能例外。良好的内部控制既是经营管理者设计构造的产物,也是其遵循维护的结果。如果说设计构造不易,那么有颜色遵循维护则更难。因为,需要持之以恒孜孜不倦,一以贯之。从这一意义上说,自律意识牢固树立之日,才是内部控制运行完全到位之时。
增强自律意识,从基本面来看,就是要增强全员的自律意识。即:每位员工首先要强化按规章制度办事的观念,不再是凭“经验”操作。其次,要树立制度面前人人平等的信念,不再是惟命是从。再者,要树立内部控制人人有责,从我做起的思想,不再是事不关己,高高挂起。
增强自律意识,从重点对象看,就是要增强两级经营管理班子的自律意识,真正做到经营与管理两手抓,业务发展与内控建设两手抓,效益与守规两手抓,做自律的表率。
增强自律意识可以从学习教育、剖析典型、调整人员等三方面入手。一线操作人员要做到业务再忙不忘学习规章制度;通过学习,要教育每位员工知道该做什么,不该做什么,从而有的放矢开展各项业务。要剖析正反两方面典型,使全体员工能够在学习经验上有标杆,吸取教训上有对象。要顶住一切压力,对那些置内控制度于不顾的我行我素者,果敢地进行调整,直到清理出队伍,以儆效尤。
严格严厉查处是保障。内控制度的建立并不意味着就一定能有效贯彻执行,这是因为还存在削弱其效力的主客观因素。如:严格检查,严厉处置。即严格检查:就是要坚持以制度为标准,事实为依据,甄别是非,确认对错,分清主次,界定责任。不搞双重或多重标准,不故意夸大或缩小问题,不回避矛盾,混淆是非,不当“和事老”,报实情、说实话、办实案。严厉处置:就是要对一切破坏内部控制运行的违纪违规者,不管是谁,纵然?过“功高盖主”的业绩,也要做到王子犯法与庶民同罪,以维护制度的严肃性、权威性。否则,姑息迁就,不过是内部控制建设上的叶公好龙;“下不为例”则久必酿成大祸;搞“心太软”将无异于自我放纵等等。所有这些管理之大忌,足以令人警醒。
综上所述,通过“内控与风险提升年”活动的学习,使我在今后的工作中,必须忠于职守,弘扬创新之风,履职责;弘扬学习之风,强素质;弘扬务实之风,讲效率;弘扬艰苦奋斗之风,树形象。牢固树立“勤政、廉洁、求实、高效”的工作作风,带头模范执行“内控与风险提升年”活动,促进规范经营,营造公平有序的竞争环境和秩序。
通过“内控与风险提升年”活动的有效开展,增强了本人遵纪守法的自觉性,显示了遵纪守法的必要性,激发了遵纪守法的热情,提高了工作中的自律意识,使我们广大职工在日常的工作中要“细到项目,认真到成因”,自发地以“自重、自省、自警、自励”严格严格要求自己,并做到遵纪守法,严以律己,尽职尽责,恪守职业道德。
通过“内控与风险提升年”活动的有效开展,使我一定以此次活动学习的开展为契机,在自己的工作岗位上多出成效,多创佳绩,为促进邮政储蓄银行的各项工作得到健康的发展做出自己的贡献。
第三篇:内控与风险管理培训心得体会
内控与风险管理培训心得体会
无论多么完美的内控制度,如果得不到有效的执行,也只能是聋子的耳朵——一种摆设而已。合规经营是企业稳健运行的内在要求,也是每一个员工必须履行的职责,同时也是保障自己切身利益的有力武器。通过这次培训,使我对合规有了更加深刻的认识。
首先,规范是防范操作风险的需要。合规经营是规范操作行为,遏制违规违纪问题和防范案件发生,全面防范风险,提升经营管理水平的需要。因为合规与信用社的成本控制、风险控制、资本回报等银行经营的核心要素具有正相关的关系,能为信用社创造价值,而且有效的合规经营能将合规风险消除于无形。
其次,规范是完善制度体系的需要。企业赖以生存的质量效益源于依法合规经营,源于产生质量和效益的每一个环节,源于每一个岗位的每一位员工。所以信用社的发展一定要以合法、合规经营为前提,这样才能从源头上预防风险。
再次,规范经营是落实科学发展观,实现发展目标的重要保证。因为合规经营就是为业务保驾护航的,是为了更好地促进业务发展服务的。在发展、开拓业务和同业竞争中,只有紧紧遵循合规经营的理念,提高管理的质量,才能保证信用社的经久不衰。
那么,怎样才能使规范经营深入人心,我认为,惟有做到“五个到位”:
一要道德教育到位。“思考方式决定行为和成就。”必须让合规的观念和意识渗透到每一个员工的血液中,渗透到每个岗位、每个业务操作环节中,营造“重操守、讲合规、促案防”的良好氛围,促使所有员工在开展经营管理工作时能够遵循法律、规则和标准。一是强化法
纪意识。积极开展法制教育,增强员工的防范意识、法律意识;用现实的案例教育身边的人,使员工将法纪规范熔铸在自己思想中。
二是强化奉献意识。引导员工加强自身修养,学会心理调控,不盲目与人攀比,防微杜渐,面对各种诱惑保持高度的警觉性;正确处理好群体与个体、个体与社会、个体与个体利益得失的矛盾。三是强化自觉意识。引导员工树立正确的人生观和价值观,自觉地运用各种社会规范指导和检点自己的行为,使自己循规蹈矩。四是强化集体意识。引导每个员工珍爱集体荣誉,关心集体的共同利益、共同目标、共同荣誉,增强集体观念。
二要执行能力到位。根据自身的改革和发展的形势,制定尽可能详尽的业务规章制度和操作流程,建立以提高执行力为目标的制度体系。一是加大制度的执行力度,引导员工增强利用制度自我保护意识,由“要我执行制度”转变为“我要执行制度”,做到有章必循,违章必究,形成制度制约。二是不断创新操作流程和管理制度,对实践证明仍然行之有效的管理办法,必须坚持,制定合规经营程序以及合规手册、员工行为准则等合规指南,为员工恰当执行法律、规则和准则提供指导。
三是培养员工良好习惯,坚持按照操作规程处理每一笔业务,把习惯性的合规操作工作嵌入各项业务活动之中,让合规的习惯动作成为习惯的合规操作。四是正确处理好合规经营与业务发展的辨 证关系,只有合规经营,业务才能更好更快地发展,在合规的基础上创新,在创新的平台上达到更高质量和更有效益的合规。
四要监督管理到位。完善业务发展与合理管理并重的绩效考核办法,建立风险防范的监督机制。一是将合规经营落实情况考核纳入业绩考核指标体系,并作为衡量各单位工作绩效的指标之一,使其和领导业绩、员工收入紧密挂钩。二是建立奖罚并重的专项考核激励机制。
对合规工作做得好或对举报、抵制违规有贡献者给予保护、表扬或奖励;对履行工作职责中仅有微小偏差或偶然失误、且未造成不良后果的,予以免责或从轻处理;对存在或隐瞒违规问题、造成不良后果者,要按照规定给予处罚,追究责任。三是建立沟通制度。制度不是放在案头的装饰品,它需要管理人员经常地向员工宣讲,不厌其烦地沟通、解释、提醒,制度才能得以执行。四是建立合理化建议制度。通过开展“合理化建议活动”,充分发挥员工的智慧,重视他们的意见,给他们发现问题、提出解决问题的机会,引导他们提出改善业务操作、防范风险的合理化建议,凡是自己提出来且受到重视并在实践中得以运用的建议,员工自然会铭记在心,自觉执行。
五要榜样作用到位。“榜样的力量是无穷的”。正面典型是旗帜,可以启迪心灵,引路导航;反面典型是警钟,可以敲山震虎,以之为鉴。一是领导干部要率先垂范,身体力行,给下属员工做出合规操作的良好示范。
第四篇:内控风险管理
风险的含义和特征
一、对企业风险的认识
企业要建立内部控制体系,需要建立在对企业进行风险管理的基础之上。企业的发展过程就是一个风险释放的过程。因此,我们首先要对风险有一个明确的认识。
风险会给企业带来损失,这种损失是潜在的,但是在未来的时间内可能变成现实;同时,风险也可能带来收益。这就是要在企业管理和经营过程中进行风险管理的价值所在。面对风险,企业永远处于收益和潜在损失之间的博弈状态,在这个博弈的过程中企业家需要运用智慧对内、外部的资源进行有效配置和管理,从而实现企业的发展。
(一)识别企业风险
企业的风险是有规律的,而这种规律需要我们运用各种方法去学习和认知。要想做好基于风险管理的企业内部控制,首先要认识企业风险的特征和企业在不同的发展阶段的风险特点。在企业初创阶段,对企业产生致命影响甚至是毁灭性打击的是产品。企业需要对市场做出一种判断,利用现有技术生产出适合客户需求的优质产品。在企业发展到一定规模的时候,对企业影响较大的就是销售渠道的拓宽和市场销售量的增加。当企业发展到更高的阶段、打下了较为坚实的基础的时候,决定企业发展命运的就是内部的人、财、物的配置和利用,我们称之为管理。
现在很多的企业都会发出感叹:业务大了,人多了,收入高了,利润增加了,但是人心变坏了,企业难管了,干得没意思了,勾心斗角多了。这些问题都会给企业带来不确定性的风险,造成一定的损失。事实上,这些问题归结起来就是企业管理的问题。如何对人、财、物进行合理配置和利用才有利于企业的健康发展,这需要一个系统的管理过程。如果企业在发展到更高阶段的时候,一切都处于稳定的运行状态,管理理顺了,岗位理顺了,职责理顺了,并不能说企业就可以放松管理了。这个时候,企业需要居安思危。市场竞争无处不在,企业必须要不断地改进和发展,才能长久生存下去。
(二)文化差异
企业风险管理和内部控制理论都是最先从西方发达国家发展起来的,我国的企业在把这一套东西拿过来使用的时候,我们需要注意东、西方企业在文化背景之间的差异。
1.中西方企业存在状况的差异
我们有很多企业。每年都有数万的新企业诞生,同时也有很多老企业倒下去。为什么我们中国的企业,总是各领风骚三五年,企业寿命比西方国家的要短很多?在思考这些问题的时候我们要想想实力不是依靠时间的长短来衡量的,西方国家的经济发达有它的道理,而中国企业的短命也有它的痼疾。
企业寿命短的一个原因是,我们的观念存在问题。现在要做的就是改变观念,在运营企业方面进行观念变革。当企业有了突破性发展的时候,往往会有更大的风险潜在于企业的周围。所以,企业需要有一个长远的、总体的目标,也就是企业战略。
企业在创立初期的好处就是,船小好调头。但是,船大才好出海,市场就像一片汪洋大海,企业必须发展到一定的规模,才能航行得更远。怎样把企业这艘船做大,怎样抵御更大、更强的海上风险,拓展海外的发展,就成为了企业家们要思考和解决的问题。无论企业是走向国外,还是在国内发展,都需要一段很长的时间做全面的准备,制定长期的发展战略,才能够在“狼来了”的时候有资本与之共舞。
很多国际化的企业,例如海尔、联想、格兰仕、中石油、中石化、中海油,这些大型企业集团现在的发展规模不是靠一个制度、一项政策、一个预算就能解决问题的。同样,跨国企业落户中国也不是说依靠一个美国的制度就能解决在中国遇到的问题。这中间的文化差异导致的问题还需要本土化来解决。中国人崇尚和为贵,这种和为贵走出国门之后是什么样的概念呢?海尔的免费售后服务,顾客就是上帝,是非常好的理念,但是免费售后服务的理念到了美国行不通,导致海尔不得不改变最初的战略。因此,在拥有不同文化背景的区域里发展的时候,我们要思考另外一个问题,就是在不同的文化之下,同一种发展战略,同一种发展方式,同一种业务管理的模式,会受到一种挑战。这是文化给企业带来的影响,间接决定了企业如何分配利用资源和开展经营活动的策略。
2.中国人谦虚的观念
我国很多企业在管理资源的配置过程中受到一种潜意识的影响就是,越谦虚的人越有本事。谦虚是中国人的传统美德。很多人在去企业求职的时候,被问到曾经做过什么,回答就是念过书,没干过什么有成就的事。这样的人怎么会被企业看中呢? 例如,一个总会计师第一天上岗的时候,在就职演说中提到多多包涵,这几年我没干什么事,希望大家互相帮助等。这是我们中国人的含蓄和谦虚。但是一些外籍的评估专家听了之后就觉得不可思议,他竟然什么都不懂,为什么能来上岗呢?按照中国人的想法是,在中国越是说什么都没干,越是什么都不懂的人,其实是最有水平、能力最强的人。而说什么都干过,这也行那也行的人,肯定是个光说不练的人,没什么真本事。这是我们中国人的文化观念特征。
外国的专家在中国工作一段时间之后才会明白,在不同的文化之下,管理方式、管理模式和管理思想是不一样的。这个时候对企业影响最深、最大、最长远的就是文化。例如,中国的联想收购IBM全球个人电脑业务之后获得了极大的扩张,它在全球运营中碰到的文化差异问题是需要谨慎对待的。联想在海外的拓展之路到底能走多远?人们都十分期待,也深深祝愿。毕竟中华民族的一大产业能够得到更高层次的跨越式的发展,在世界上产生重要影响,这是中华民族的骄傲。
内部控制的意义
在企业管理和经营活动过程中,时时刻刻伴随着企业的就是潜在风险。企业的内部控制不是为了控制而控制,也不是为了美国证监会或者中国证监会而控制,而是为了帮助企业防范不同阶段的风险才进行控制。
也就是说,企业的内部控制,第一是为风险而控制;第二则是每个阶段的风险是不一样的,每个阶段的风险不一样,那么控制的方法,控制的目标,控制的目的,控制的手段也就不一样。这是控制的多样性、复杂性和艰巨性。
一、影响美国的两大事件
为了对企业的风险有个更为准确的认识,我们可以把发生在美国的两个重大事件进行对比。一个是美国9•11恐怖袭击事件,另一个就是美国安然公司的假账事件。
(一)事件回顾
【案例】
美国9•11事件
“9•11事件”指的是2001年9月11日恐怖分子劫持的飞机撞击美国纽约世贸中心和华盛顿五角大楼的历史事件。2001年9月11日,四架民航客机在美国的上空飞翔,然而这四架飞机却被劫机犯无声无息地劫持。当美国人刚刚准备开始新一天的工作之时,纽约世贸中心连续发生撞机事件。世贸中心的摩天大楼,轰然倒塌,化为一片废墟,该事件造成3000多人丧生。
当白宫办公厅的主任告诉布什,飞机连续两次撞了世贸中心之后,布什先生当时的表情显得非常吃惊。
“美国9•11事件”的发生,对一些产业造成了直接经济损失和影响,使得美国经济一度处于瘫痪状态。地处纽约曼哈顿岛的世界贸易中心是20世纪70年代初建起来的摩天大楼,造价高达11亿美元,是世界商业力量的汇聚之地,来自世界各地的企业共计1200家之多,平时有5万人上班,每天来往办事的业务人员和游客约有15万人。两座直冲云霄的大楼一下子化为乌有,五角大楼的修复工作至少在几亿美元之上,人才损失更是难以用数字估量。无论是对美国总统布什,还是对美国民众或者对美国政坛人士来说,9月11日所遭遇的恐怖分子攻击事件都是一次历史性的震撼。在两小时之内,造成美国本土遭遇数以千计的伤亡。甚至连白宫、总统的空军一号座机、国防部大楼、金融财务中心的世界贸易大楼,都成了恐怖分子攻击的目标。
这一事件也给交通运输和旅游业造成严重损失。美国国内航班一天被劫持了四架,并造成巨大的人员伤亡和财产损失,确实是历史罕见。事件发生后,布什立即采取适当行动,恢复政府、社会正常活动。为了显示他不受恐怖威胁,9月11日晚上,虽然白宫仍有受到攻击的威胁,他仍决定返回白宫,并在白宫向全国民众发表讲话,借此显示:恐怖分子并不能阻断美国行政中心的运作。
“美国9•11事件”的经济影响不仅局限于事件本身的直接损失,更重要的是影响了人们的投资信心和消费信心,使美元等主要货币贬值、股市下跌,石油等战略物资价格一度上涨,并实时从地域上波及欧洲及亚洲等主流金融市场,引起市场的过激反应,从而导致美国和世界其他国家经济增长减慢。
点评:911事件后美国低下高昂的头颅,和各国进行协商,和全世界人民一起反恐,得到各国人民的理解、同情和支持。所以,美国在9•11之后,得到的几乎是一正一负的效果,一方面受到了打击,经济损失十分严重;另一方面又展开反恐行动,极大地改善了它的国际形象和国际地位。进入21世纪以来,美国在改变自己的世界形象当中做了一个很好的扭转,可以说在得失方面打了个平手。
【案例】 安然的末日 一直以来,安然身上都笼罩着一层层的金色光环:作为世界最大的能源交易商,安然在2000年的总收入高达1010亿美元,名列《财富》杂志“美国500强”的第七名;掌控着美国20%的电能和天然气交易,是华尔街竞相追捧的宠儿;安然股票是所有的证券评级机构都强力推荐的绩优股,股价高达70多美元并且仍然呈上升之势。直到破产前,公司营运业务覆盖全球40个国家和地区,共有雇员2.1万人,资产额高达620亿美元;安然一直鼓吹自己是“全球领先企业”,业务包括能源批发与零售、宽带、能源运输以及金融交易,连续4年获得“美国最具创新精神的公司”称号,并与小布什政府关系密切„„
1.安然的噩梦 2001年年初,一家有着良好声誉的短期投资机构老板吉姆•切欧斯公开对安然的盈利模式表示了怀疑。他指出,虽然安然的业务看起来很辉煌,但实际上赚不到什么钱,也没有人能够说清安然是怎么赚钱的。据他分析,安然的盈利率在2000年为5%,到了2001年初就降到2%以下,对于投资者来说,投资回报率仅有7%左右。切欧斯还注意到有些文件涉及了安然背后的合伙公司,这些公司和安然有着说不清的幕后交易。作为安然的首席执行官,斯基林一直在抛出手中的安然股票——而他不断宣称安然的股票会从当时的70美元左右升至126美元。按照美国法律规定,公司董事会成员如果没有离开董事会,就不能抛出手中持有的公司股票。也许正是这一点引发了人们对安然的怀疑,并开始真正追究安然的盈利情况和现金流向。到了8月中旬,人们对于安然的疑问越来越多,并最终导致了股价下跌。8月9日,安然股价已经从年初的80美元左右跌到了42美元。
10月16日,安然发表2001年第二季度财报,宣布公司亏损总计达到6.18亿美元,即每股亏损1.11美元。同时首次透露因首席财务官安德鲁•法斯托与合伙公司经营不当,公司股东资产缩水12亿美元。
10月22日,美国证券交易委员会瞄上安然,要求公司主动提交某些交易的细节内容。并最终于10月31日开始对安然及其合伙公司进行正式调查。
11月1日,安然抵押了公司部分资产,获得J.P摩根和所罗门史密斯巴尼的10亿美元信贷额度担保,但美林和标普公司仍然再次调低了对安然的评级。
11月8日,安然被迫承认做了假账,虚报数字让人瞠目结舌:自1997年以来,安然虚报盈利共计近6亿美元。
11月9日,迪诺基公司宣布准备用80亿美元收购安然,并承担130亿美元的债务。当天午盘安然股价下挫0.16美元。
11月28日,标准普尔将安然债务评级调低至“垃圾债券”级。
11月30日,安然股价跌至0.26美元,市值由峰值时的800亿美元跌至2亿美元。
12月2日,安然正式向破产法院申请破产保护,破产清单中所列资产高达498亿美元,成为美国历史上最大的破产企业。当天,安然还向法院提出诉讼,声称迪诺基中止对其合并不合规定,要求赔偿。
2.安然模式的破产
首先遭到质疑的是安然公司的管理层,包括董事会、监事会和公司高级管理人员。他们面临的指控包括疏于职守、虚报账目、误导投资人以及牟取私利等。在10月16日安然公布第二季度财报以前,安然公司的财务报告是所有投资者都乐于见到的。看看安然过去的财务报告:2000年第四季度,“公司天然气业务翻升3倍,公司能源服务公司零售业务翻升5倍”;2001年第一季度,“季营收成长4倍,是连续21个盈余成长的财季”„„在安然,衡量业务成长的单位不是百分比,而是倍数,这让所有投资者都笑逐颜开。到了2001年第二季度,公司突然亏损了,而且亏损额还高达6.18亿美元!
然后,一直隐藏在安然背后的合伙公司开始露出水面。经过调查,这些合伙公司大多被安然高层官员所控制,安然对外的巨额贷款经常被列入这些公司,而不出现在安然的资产负债表上。这样,安然高达130亿美元的巨额债务就不会为投资人所知,而安然的一些官员也从这些合伙公司中牟取私利。更让投资者气愤的是,显然安然的高层对于公司运营中出现的问题非常了解,但长期以来熟视无睹甚至有意隐瞒。包括首席执行官斯基林在内的许多董事会成员一方面鼓吹股价还将继续上升,一方面却在秘密抛售公司股票。而公司的14名监事会成员有7名与安然关系特殊,要么正在与安然进行交易,要么供职于安然支持的非盈利机构,对安然的种种劣迹睁一只眼闭一只眼。
安然假账问题也让其审计公司安达信面临着被诉讼的危险。位列世界第五的会计师事务所安达信作为安然公司财务报告的审计者,既没审计出安然虚报利润,也没发现其巨额债务。今年6月,安达信曾因审计工作中出现欺诈行为被美国证券交易委员会罚了700万美元。
点评:安然事件虽然是一个单纯的经济事件,却在全球范围内掀起了一阵狂波巨浪,所有的矛头都指向了美国的经济制度,撼动了美国为之骄傲的经济体系。在9•11事件之后,美国政府主动出击,对恐怖袭击行为坚决进行打击,无论从道义还是力量上来说都受到世界人民的支持。但是安然事件却让山姆大叔的颜面扫地,自己内部机制出现大窟窿,对世界造成了很坏的影响,受到人们的严厉指责,而补救还得靠自己。
但是,在美国的这两大事件当中,美国人的危机公关,化被动为主动来解决危机的做法,是值得学习和讨论的。
(二)安然事件带来的结果
不管是企业还是社会,都在面临着各种不确定性的风险,如果没有对这种风险进行充分的认识,在前期阶段加以防范和阻止,就有可能酿成大祸。从安然事件中我们可以看到以下几点:
1.会计丑闻
现在的社会是经济社会,经济社会是一个市场进行资源优化和资源配置的过程。资源在优化配置、自由流动的过程当中,有个依据和指向,那就是会计信息。我们资源怎么去优化配置?通俗一点就是说,买股票的时候,买谁的,怎么去买?这些就要依靠会计信息所反映出来的内容。
会计信息是市场的一个指向标,一旦会计信息机制失灵,整个国民经济就会混乱。安然的假账事件让外国投资者对美国投资回报的信心丧失,大量国际资金抽离美国,外国对美国的投资下降近60%,同时对中国的投资上升近15%。
2.安然事件对美国股市的影响 美国是世界上的经济强国,在很多方面都实行霸权主义和强权主义,然而真正让美国在全世界人民面前低下头颅的是安然事件。安然事件反映的是整个会计信息机制和体系制度,特别是经济基础上的漏洞和缺失,对此美国必须进行反思。9•11让美国的股市跌了近1000点,而安然事件之后,2002年美国股市连续下跌,远远突破了1000点。
萨班斯-奥克斯利法案
安然事件不只是安然公司的一个事件,而是由会计丑闻引发的对整个会计体系的质疑,这种质疑对美国的影响是巨大的。为了应对这种危机,解决由会计体系缺陷造成的恶劣影响,完善社会的经济制度,当时美国有两位议员提出一种议案,叫萨班斯—奥克斯利法案。这个法案从以下11个方面来管制以会计信息为主体的市场资源配置,以及与会计信息相关的权利、责任义务和法则等。
(1)上市公司会计监管委员会;(2)审计师的独立性;(3)公司的职责;
(41)加强财务信息的披露;(5)分析员的利益冲突;
(6)证券监管委员会的资源与权限;(7)研究和报告;
(8)公司和徇私舞弊的责任;(9)加强对白领刑事犯罪的惩罚;(10)公司税务申报表;
(11)公司的舞弊行为及应承担的相应责任。
(一)萨班斯—奥克斯利法案的意义
经过安然公司的假账事件对经济社会的冲击之后,美国出台了专门针对会计制度的萨班斯—奥克斯利法案。这项法案主要解决了监管、中介机构和企业内部财务管理三个问题,从这项法案中我们也可以学到一些做企业的规则的道理。
1.法案解决的问题
以前人们总是认为美国的会计制度很完善,几乎无懈可击,但事实证明任何看似完善的制度都有可能遭受风险的袭击,演变成对企业和社会的巨大危害。美国出台的这项法案主要解决了以下三个问题: Æ监管问题
在安然事件之前,美国经济是自由主义式的发展,也就是民不告,官不理,当股民最后上当了,亏损了,最后发现了虚假的会计信息,才去找政府部门解决问题。美国的会计准则是由社会中介机构和社会团体公认形成的,没有很大的强制性。与中国会计准则不同,中国会计准则是由中华人民共和财政部统一制定,具有强制性的法规特征。
安然事件发生后,美国意识到自治式的会计信息有极大的漏洞,所以必须加强管制,成立会计监管委员会,对企业的会计信息进行监管。Æ中介机构问题
美国的中介机构不独立。安然在整个发展过程当中,它的品牌、业务和战略都是没有问题的,但是很多项目在具体管理和落实当中出现了一些问题。例如在印度投资的电厂暂时没有盈利,但是股东又要分红,又要和竞争对手、标杆企业进行比拼赛跑,于是找到安达信咨询公司出谋划策。
安达信帮助企业通过各种延伸产品,包括在自己的内部进行大量的交易产生利润,也就是把钱从左口袋弄到右口袋。可是没有现金流怎么办?于是安达信又给安然设计一个方法,就是SPE实体。通过联合投资的公司,进行银行贷款,沟通项目的操作,让现金返回到公司的母体,成为现金流,再用这种方式进行分红。
作为中介机构,安达信对安然公司的账进行检查的时候,当然对自己做过的账持肯定态度,向股民保证没有问题。这样的双面角色导致了安达信这种中介机构失去了独立性。所以在这项法案中对中介机构的业务行为专门做了限制性和规范性的规定,防止中介机构出现监守自盗的问题。
Æ企业内部财务管理的问题
安然事件之后全世界的企业对会计信息制度的重视上升到了一个前所未有的高度。首先,加强了高层人员的责任。公司的财务领导肩负着会计的重任,下面做好财务报表,子公司上交到母公司,母公司要合并报表,合并报表做完上报国资委,或者再报证监会、财政部等。如果报表中出现问题,发现公司有做假账的行为,要追究的就是领导的责任。
但是我们实务操作过程当中,发现两个很大的问题。企业出现了会计问题,如果老总被抓,公司的几千员工怎么办?还有,如果他被抓后拒不认罪,比如安然公司的老总被抓后就拒绝认罪,只是说愿意承担责任。这个责任指的是他愿意承担领导责任,没有领导好做会计的属下,会计部门的水平不高,所以才导致现在的后果。看似很有道理,这种说法其实是他把责任推到财务主管身上。所以调查安然事件的相关人员花了几年的时间,用了几千万的巨额成本才让那些高层领导人员伏法。
所以,在萨班斯—奥克斯利法案中,专门明确了公司出现财务问题后,总经理和财务总监应当共同承担责任。
2.萨班斯—奥克斯利法案与内部控制的联系
萨班斯—奥克斯利法案对企业的影响就是加强会计信息的权利区位,意思是公司必须设立审计委员会,审计委员会必须全部是独立董事,专门负责对公司会计信息的管理。通过这样的内部审查,提高公司的会计信息管理机制和层次体系,避免了企业老总个人左右财务信息的局面。
关于企业内部控制的发展在萨班斯—奥克斯利法案第402条款里面得到了一个体现,就是加强管理层对内部控制的评估。
【案例】
萨班斯—奥克斯利法案第404条: 管理层对公司内部控制的评估 该条规定中要求公司年报中包括一份“内部控制报告”,该报告应:
(1)明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任;并且包含管理层在财务期末对公司财务报告相关内部控制体系及程序的有效性评估。
(2)受委托的上市公司审计师应按照上市公司会计监管委员会对审核约定所发布或采用的准则就管理层关于内部控制的评估进行鉴证并提交报告。此类鉴证约定并不构成单独的约定主体;
(3)SEC在提交的法案相关的报告中这样解释此条的立法目的:“委员会不希望审计师(对内部控制报告的)评估形成单独一份约定或者因此而导致审计费用的增加。”指导SEC进一步要求上市公司披露其是否为高级财务官员制定职业操守规范以及该规范的内容;
(4)指导SEC修改其以8-K表格进行即时披露的相关规则,从而要求上市公司对任何职业操守规范的修改或废止事项应立即进行披露。
点评:这项法案里面对内部控制的相关规定说明了两层意思。第一,需要评估企业有没有内部控制;第二,规定了企业内部控制要做到的程度。企业必须就这两点向美国证监会有个明确的交代。
例如对企业内部现有的业务进行评估,要考察所有的业务是不是被囊括到企业现有的制度里面。没囊括的业务有多少,比例有多大。在所有没被囊括的比例之下,有多少业务已被执行,执行的效率有多高,比如执行了80%,还有20%没有执行,在执行80%里面哪些能够把问题解决,哪些不能把问题解决。企业必须拿出具体的数字进行详细的说明。这就是以强制性的手段和手腕保证企业内部控制的执行,可见健全企业内部控制的必要性和紧迫性。
第五篇:NC内控与风险管理解决方案2011(范文)
全面管理风险
提升企业绩效
为企业发展保驾护航
用友NC集团全面风险管理解决方案
用友软件股份有限公司
[在此处键入文档的摘要。摘要通常是对文档内容的简短总结。在此处键入文档的摘要。摘要通常是对文档内容的简短总结。]
目录 走向世界的中国企业面临巨大风险...............................................................................4 1.1 1.2 1.3 1.4 2 案例一:中国铁路建设沙特项目巨亏41.53亿元.................................................4 案例二:受累汤姆逊清算,TCL集团遭遇2.11亿元索赔....................................4 案例三:诺西收购摩托罗拉受阻,华为诉讼初步胜利........................................5 权威机构针对企业风险管理的调查分析................................................................5
实施全面风险与内控管理的困惑...................................................................................5 2.1 2.2 2.3 2.4 2.5 缺乏全面风险与内控管理运作体系........................................................................5 全面风险和内部控制的管理流程难以长期坚持....................................................6 全面风险管理与内部控制管理分离独自运作........................................................6 风险控制评价工作量巨大,管理成本高企............................................................6 风险管理和内控管理报告输出困难........................................................................6 企业全面风险和内控体系建设思路...............................................................................6 3.1 3.2 3.3 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 路径一:先风险后内控............................................................................................7 路径二:先内控后风险............................................................................................7 标准的风险内控体系建设步骤................................................................................7 机构设立和计划阶段............................................................................................8 辨识风险/记录风险内部控制缺陷阶段...............................................................8 设计缺陷整改/健全内部控制阶段.......................................................................9 监督风险/内控措施有效执行阶段.....................................................................10 董事会报告及披露阶段......................................................................................11 5 企业全面风险/内控管理对信息化系统的要求............................................................11 用友NC全面风险与内控管理解决方案......................................................................13 5.1 5.2 5.2.1 5.2.2 5.2.3 5.2.4 本解决方案的应用架构..........................................................................................13 实现集团级风险管理的全流程管理平台..............................................................15 风险管理系统流程..............................................................................................15 实现多级风险信息收集管理..............................................................................15 支持多种评估标准和模型管理..........................................................................17 实现风险指标监控、自动预警..........................................................................19 5.2.5 5.2.6 5.2.7 5.3 5.3.1 5.3.2 5.3.3 5.4 5.4.1 5.4.2 5.5 5.5.1 5.5.2 6 实现风险应对管理..............................................................................................20 记录风险控制的评价与改进..............................................................................21 实现风险控制的监督与报告..............................................................................22 实现COSO全面风险综合架构,与内控体系整合...............................................23 通过风险应对方案建立与内控体系的联系......................................................23 通过内控系统完成与业务系统运作管理的结合..............................................25 通过内控审计评测,验证风险管理方案的有效性..........................................26 实现对业务系统的自动监控..................................................................................28 构建IT系统安全控制监控平台.........................................................................28 实现对业务系统关键流程的自动检测..............................................................30 建立集团级高性能、柔性开放平台......................................................................31 构建系统整合平台,风险信息门户..................................................................31 高效率、个性化柔性扩展开发平台..................................................................33
解决方案的价值.............................................................................................................34 6.1.1 6.1.2 6.1.3 实现全面风险与内控管理,提高企业竞争能力..............................................35 快速遵从财政部、国资委相关管理条文要求..................................................35 快速遵从SOX法规要求.....................................................................................35 走向世界的中国企业面临巨大风险
1.1 案例一:中国铁路建设沙特项目巨亏41.53亿元
10月25日,中国铁建公告称其承建的沙特轻轨项目因实际工程数量比签约时预计工程量大幅增加等原因,预计将亏损人民币41.53亿元。由此引发中国铁建股价剧烈波动,跌幅超过10%。
中国铁建2011年1月21日发布公告称,为妥善处理沙特麦加轻轨项目索赔事宜,上市公司中国铁建与其控股股东中国铁建总公司(国有企业)签署协议,后者向中国铁建支付20.77亿元对价,接手沙特麦加轻轨项目的未完工工程。由此,通过母公司承担损失的方式,中国铁建顺利保证财务账面上的盈利。
此事件凸显公司在海外工程项目的管理短板。
1.2 案例二:受累汤姆逊清算,TCL集团遭遇2.11亿元索赔
本该是“好事”,可终究酿出了“苦果”。TCL集团并购法国汤姆逊公司后不但业绩遭遇连连亏损,事端频发,如今受累法国汤姆逊公司清算,再次陷入财务压力困境。
2011年3月14日,TCL集团在停牌一天后公告称,法国南特商业法庭于3月10日对TTE欧洲公司重组诉讼案的第一令诉讼作出初审判决,要求TCL集团、TCL多媒体及其4家全资子公司向TTE欧洲之法定清盘人赔偿2310万欧元(约2.11亿元),目前TCL多媒体已于2010财务报表中对TTE诉讼计提预计负债1000万欧元。
实际去年就已经传出这个消息,TCL也立刻引起警觉,谋划对策。然而还是终究难逃与汤姆逊合资成立的TTE欧洲公司的清算悲剧的波及。
格力空调副总裁黄辉表示:“格力这两年在巴西销量超过5000万台,中国企业在国外并购充满陷阱,一不小心就会翻身,并购涉及文化融合、法规等无法协调。逐步收购是格力的战略。” 1.3 案例三:诺西收购摩托罗拉受阻,华为诉讼初步胜利
在美国市场备受阻挠的中国最大电信设备供应商华为,终于赢得了一次阶段性的胜利。华为公司2011年2月23日晚间发表声明,称美国伊利诺伊州北区法院就华为起诉摩托罗拉公司和诺基亚西门子公司(以下称诺西公司)一案,正式做出裁决,颁发了初步禁止令。
该初步禁止令除了2011年1月14日法院发出的临时禁止令中要求摩托罗拉禁止向诺西转移华为的保密信息外,还增加了要求摩托罗拉聘请独立第三方进行华为保密信息的安全删除检查,及允许华为对诺西维护摩托罗拉设备的服务记录进行审计等要求。
而我们也注意到,美国议员在2010年10月底要求联邦通信委员会(FCC)重审自华为和中兴订购网络设备可能的“安全”风险。这意味着华为在美国的各种官司将长期纠结,为此,华为公司也预备计提5亿美金的诉讼费用。
1.4 权威机构针对企业风险管理的调查分析
德勤发布2011年《中国企业风险管理白皮书》。上榜企业共25家。调研结果显示,中国企业在未来三年将面临宏观经济、竞争和人才短缺三大风险。超过半数的受访企业称已经建立应对重大风险的基本流程,但仍需要进一步完善。只有10%的企业认为其风险应对流程非常完善。还有10%的企业表示,一旦发生重大或危急的风险事件,自己能在第一时间有效管理。超过50%的企业对大部分重大风险都能实时采取适当的响应措施。接近30%的企业只针对部分重要流程建立了监督与报告程序。实施全面风险与内控管理的困惑
2.1 缺乏全面风险与内控管理运作体系
企业缺少如何建立全面风险管理和内部控制体系的思路、方法论。或者缺乏专门的组织、工作流程和与之配套的绩效考核制度。2.2 全面风险和内部控制的管理流程难以长期坚持
全面风险和内部控制由于涉及企业的方方面面,可以说是全员参与,因此程序繁杂,涉及面广,大量手工工作致使管理成本增加,难以长期坚持。
2.3 全面风险管理与内部控制管理分离独自运作
体现在企业中经常把全面风险管理与内部控制管理进行分离,两套组织班子,两套工作流程。同时,这两个工作与实际的业务系统大多也是独立部署运作,仅仅局限在个别财务数据的提取分析,完全无法实现对业务过程的真正监控。
2.4 风险控制评价工作量巨大,管理成本高企
由于一个重大风险的应对措施,往往涉及多个业务流程、多个控制点和多个业务系统、多部门协同运作,因此控制评价往往需要采集多个环节的大量样本进行测试,然后进行综合评价,依赖于控制评价人员的测试方案设计能力、职业判断能力等等,工作量非常巨大,造成这部分的管理成本上升。同时为了满足控制评价的需要,业务部门也需要按照测试评价的要求保留各种资料文件,也造成相应的办公成本增加。
2.5 风险管理和内控管理报告输出困难
目前,中央到地方国资委,各地政府分管上市工作的部门,以及证交所、证监会等多家机构,都要求企业建立健全全面风险和内部控制管理体系,并能按时按要求提供相应的内部和外部审计报告,同时要求按照各自的样板格式内容进行提报,造成相关企业的管理人员必须 企业全面风险和内控体系建设思路
根据COSO委员会在1992年公布的《内部控制—综合框架》(也称“COSO内部控制框架”),以及2004年提出内部控制向全面风险管理转变,出台了《全面风险管理—综合框架》。
由此可见,风险管理和内控管理实际上是不同发展阶段的产物。但是由于中国国资委和财政部等机构发布相关政策所引用的框架基础不同,名称不同,导致企业要同时满足两个标准要求,也引发国内企业出现了分离两者,分别建设、两套班子等现象。所以,不同的企业也根据自身的条件提出了不同的建设路径,主要为以下两种:
3.1 路径一:先风险后内控
此类企业多属于国资委下属国企,在《中央企业全面风险管理指引》文件的要求和指导下,首先在集团内部建立全面风险管理体系,然后针对选择的重大风险进行内控建设。这种建设路径相对成本较低,但是容易受到主观判断导致部分重要的内控领域被忽略,而提高突发重大风险发生的可能性。
3.2 路径二:先内控后风险
此类企业通常多属于上市公司,或者已经在海外上市,基于萨班斯法案要求,或者国内财政部发布的《企业内部控制基本规范》要求,首先在集团内部建立比较完善的内控体系,然后根据国资委监管的要求,拓展风险信息搜集和目标设定的管理环节。这种建设路径相对体系化比较好,更能覆盖企业管理的方方面面,效益比较明显。
3.3 标准的风险内控体系建设步骤
实际上企业全面风险的建设过程应该涵盖内部控制管理的同步建设,建议企业一套班子、一套流程、一套制度统筹考虑一体化建设。因此本方案提供一个标准的体系建设步骤: 3.3.1 机构设立和计划阶段
A.主要步骤
a)成立专门职能部门(检查监督部门),定义监督检查部门职责分工; b)确定项目计划以建立/完善公司的内部控制; c)梳理现有内部管理政策/制度,明确权责分配; d)制定可持续发展的人力资源政策; e)进行针对性培训;
f)将内控项目计划承交董事会审阅。B.关键事项
a)管理层委任项目领导及项目小组;
b)高层重视并直接参与非常重要;管理层事先将内控项目计划向董事会汇报符合财政部内控基本规范中有关控制环境的精神:以董事会为内控制度之完整合理、实施有效之责任主体;
c)制定分批/分对象因材施教的培训计划,增进全员意识。分批/分对象地实施培训。
C.工作成果
a)制定项目小组制度,以及专门委派的职能部门或项目小组定义项目职责分工; b)制定项目实施具体计划; c)制定分批/分对象的培训计划; d)制作培训材料;
e)分批/分对象地实施培训。
3.3.2 辨识风险/记录风险内部控制缺陷阶段
A.主要步骤
a)设计风险评估标准,基于集团风险调查问卷汇总开展风险评估; b)设定风险容忍程度,确认重大风险及其相关认定及流程;
c)使用内控自我评估问卷辨识与记录工作范围内的企业层面和流程层面的内部控制活动;
d)记录各业务流程中发现的内部控制设计缺陷,汇总并提出整改方案。B.关键事项
a)以风险评估为基础,有侧重点地选择哪些下属部门/公司的、哪些业务环节需要进行内控建立健全的工作;
b)根据最佳实践和监管机构要求,设计内控自我评估问卷,并以此作为起点,逐步调整,建立适合公司的内部控制制度;
c)公司各级人员回答的问卷将为公司的工作提供富有效率的证据基础,而且也体现了内控全员参与的精神;
d)对在建立健全内控过程中发现的控制缺陷提出内控设计整改方案和时间表是非常关键的,这将为管理层增加长期价值,并非只是为了符合监管要求,而是为公司规范运作和长远发展打下更好的基础。
C.工作成果
a)风险评估标准;
b)确认项目范围和流程的风险评估工作表,风险地图;
c)内部控制手册(不兼容职责表,控制矩阵,流程图,流程汇编); d)控制效果的穿行测试;
e)控制缺陷报告和相应的整改方案建议。
3.3.3 设计缺陷整改/健全内部控制阶段
A.主要步骤
a)根据整改方案纠正内部控制设计缺陷;
b)按照法律法规,部门规章及证券交易所上市规则的规定制定/完善内部控制制度;
c)更新内部控制的记录文件。B.关键事项
a)对监督过程中发现的内部控制缺陷,提出整改方案,采取适当形式向董事会,监事会或者经理层报告; b)跟踪监控内控运行整改方案的实施情况,不仅是合规的要求,也是提升公司执行力的关键。
C.工作成果
a)控制缺陷报告和相应的整改方案建议。
3.3.4 监督风险/内控措施有效执行阶段
A.主要步骤
a)制定风险内控监督制度,规范其程序,方法和要求; b)开展风险内部控制自我评价,出具内部控制自我评价报告; c)跟踪风险内部控制运行缺并及时改进。B.关键事项
a)应根据风险评估的结果,制定内控监督检查办法和内控自评和检查计划,使有限的资源被有侧重地运用到高风险的领域;
b)抽检管理层的内控自我评估问卷,通过检查和必要的抽样测试等手段确认内控自我评估问卷是否准确填写,并向总裁办公会及董事会报告测试结果。管理层内控自我评估加上检查监督部门循环抽查符合《指引》中内控框架下“检查监督”层面的精神;
c)跟踪监控内控运行整改方案的实施情况,不仅是合规的要求,也是提升公司执行力的关键;
d)监管要求指出,检查监督部门的工作资料,包括底稿和报告等需要保存十年。C.工作成果
a)在风险评估的基础上,制定风险内控监督检查办法和内控检查计划; b)设计开展内控自我评价和抽样评审的标准和工具,包括:风险内控自评的问卷,抽样测试的程序、方法和具体工作底稿; c)风险内控监督检查报告。3.3.5 董事会报告及披露阶段
A.主要步骤
a)董事会/审计委员会审核《内部控制检查监督工作报告》;并以此为基础制作《内部控制自我评估报告》形成董事会决议;
b)披露《内部控制自我评估报告》以及会计师事务所对该报告出具的核实评价意见;
c)以内控自我评估报告为基础,结合国资委风险管理报告模板框架,披露《风险管理报告》。
B.关键事项
a)董事会是公司内控制度之完整合理、实施有效之责任主体;
b)董事会应当根据监管机构将要出台的董事会议事规则以及其它相关法规的要求,采取适当的步骤和取得充分的资料,来支持其对公司内控有效性的决议,这些资料既应包括检查监督部门递交的《内部控制检查监督工作报告》;也应包括管理层提交的其他支持性文件,包括管理层的内控自我评估问卷等;
C.工作成果
a)根据上交所将要出台的董事会议事规则以及其它相关法规的要求,制定董事会内部控制检查监督清单(Checklist);
b)制定董事会内部控制资料检查制度,制度中规定董事会应采取的适当步骤,来支持其对公司内控的决议或有重大内部控制缺陷时的披露程序; c)拟定《内部控制自我评估报告》、《全面风险管理报告》或者其他的披露文件。企业全面风险/内控管理对信息化系统的要求
在企业建立了全面风险管理和内部控制体系的基础上,企业对信息化系统的要求可以概述为以下几点:
A.建立适应集团企业全员应用的、集中部署的风险管理工作平台; a)完成风险管理的业务流程:包括从风险组织和管理标准设立、风险信息搜集、风险评估、风险应对、风险控制、风险评价与改进、风险监督与报告;
b)满足集团多层级、多部门的风险管理审批、评估等工作中全员参与、流程流转、信息互通的要求;
c)满足各类风险评估、应对、监督和评价信息的共计、汇总分析,支持各类外部监管机构的报告输出要求。
B.能够将全面风险管理与内部控制体系无缝集成;
a)达到风险管理与内部控制体系的集成应用,实现一套班子、一套体系、一套流程的统一管理;
b)通过风险管理的应对方案,实现通过内部控制体系实现风险控制的目的;
c)风险控制点可以直接控制业务系统的运作; d)实现业务系统数据自动支持风险预警、风险识别。C.实现风险控制节点监督的自动检测;
a)通过内控体系实现对业务系统风险控制点的自动监控,降低风险监督人工成本;
b)实现对现有各类业务系统安全控制的监察,防止由于系统安全策略和漏洞造成系统应用风险。
D.建立风险管理知识库,完善相应的绩效考核和保障机制
a)构建集团统一的风险管理知识平台,加强风险管理意识普及; b)设计风险指标,并根据控制效果评价影响相关部门人员的绩效考核。E.满足大用户量大并发的效率要求,支持后续应用变化引起的系统整合、个性化开发应用需求 5 用友NC全面风险与内控管理解决方案
5.1 本解决方案的应用架构
用友全面风险管理与内控架构公司治理层风险信息搜集风险评估管理风险应对管理风险监督与改进风险控制评价内控体系管理内控手册管理IT控制监控报告内控审计管理风险管理报告战略管理层企业绩效管理全面预算与计划管理集团报表与合并管理组织与策略管理业务经营层集团客户关系管理集团财务管理集团供应链管理集团人力资源管理电子商务应用集团资产管理行业特殊应用集团知识文化管理基础平台层身份与权限管理动态会计平台办公协同与门户流程管理平台集成应用平台预警平台二次开发平台商务智能平台NC全面风险/内控管理体系架构图
广义的NC全面风险与内控管理解决方案由依托于UAP平台包括业务经营层、战略管理层和公司治理层三部分,而狭义的全面风险与内控管理方案则专指公司治理层。其中,全面风险管理的业务运作可以用下图标示:
风险组织风险知识库风险分类风险问卷风险评估标准风险评估模型流程管理报告模板风险指标设置风险预警设置基础设置业务处理风险信息搜集突发重大风险风险评估风险应对管理重大风险应对风险执行跟踪跟踪改进报告风险预警分析与报告风险分布热图风险事件查询风险自检查询风险自评报告13
全面风险管理系统架构图
基础设置层:本层是整个风险管理信息系统的平台基础,包括风险管理组织设置、风险分类与信息、风险知识库、风险预警设置、风险评估标准与模型、风险问卷管理等。构建整个风险管理的基础环境。
业务处理层:本层是整个风险管理信息系统的核心业务处理部分。包括从风险信息搜集、风险识别与评估、风险预警和应对管理、风险应对执行与监督管理。实现集团多层级的协同风险管理作业,建立相关的标准流程和信息共享。
分析与报告层:本层处理是风险信息查询分析和风险管理报告披露的部分。包括风险管理报告管理、风险热图和矩阵分析等。5.2 实现集团级风险管理的全流程管理平台 5.2.1 风险管理系统流程
全面风险管理集团设定风险识别周期制定风险识别问卷模板公司调整风险识别信息提交审核部门问卷提交公司部门下发风险识别问卷到公司下发风险识别问卷到部门风险识别提交部门内部审核风险收集与管理公司内部审核审批上报风险评估模板风险发生可能性评估标准风险影响程度评估标准风险评估分值设置公司评估结果确认规则固有风险评估上报评估结果审核提交风险分析与评价集团进行固有风险评估审批确认重大风险风险应对方案制定应对方案剩余风险评估全面风险管理系统流程
5.2.2 实现多级风险信息收集管理
支持集团全面风险管理问卷的设计、下发与信息上报管理。 支持重大风险事件的上报管理。
【风险调查问卷下发】
【重大风险事件上报】
5.2.3 支持多种评估标准和模型管理
支持集团多层级、多部门风险评估运作机制; 支持风险评估标准与模型建立; 支持评估结果自动选取标准。
【风险评估流程图】
【评估结果生成规则】
【固定风险评估】
5.2.4 实现风险指标监控、自动预警
针对风险成因,设置相应的参照指标,可以是定性指标,可以是定量指标。其中定量指标可以设置报警区间,一旦满足预警条件,系统自动发送相关信息给指定人;
【风险指标设置】
系统提供预警信息报送机制的设置,以各种方式传递。
【预警方式设置】
5.2.5 实现风险应对管理
风险应对策略方案的管理; 建立与内控措施关联关系; 形成风险控制矩阵。
【风险应对方案】
【风险控制矩阵】
5.2.6 记录风险控制的评价与改进
根据风险管理组织和岗位分工,支持风险岗位针对风险控制点的测试,记录测试结果,并进行统计分析
【风险控制点测试】
支持对失效的控制点进行设计和运行缺陷的认定,并制定整改的时间和相关负责人。
【风险缺陷评价】
5.2.7 实现风险控制的监督与报告
支持以风险为核心的各种信息搜集、评估、应对、控制执行测试等综合信息的报告式输出; 支持以word、excel、txt、html等多种格式输出系统内的信息,形成相关分析报告; 支持向外部风险管理和内控审计机构提供相关信息。
【风险管理综合报告】
5.3 实现COSO全面风险综合架构,与内控体系整合 5.3.1 通过风险应对方案建立与内控体系的联系
系统在风险应对方案中,建立与内部控制体系之间的对应关系,从而实现:
风险应对方案直接对应内控措施,包括控制点、控制业务流程、监督措施、监督部门、监督岗位;
【风险应对与内控措施对应】
内部控制管理手册中直接选取关联的业务风险,定义控制点、监督检查方法、业务流程等,实现双向的互相索引关联。
【内控手册维护】
5.3.2 通过内控系统完成与业务系统运作管理的结合
提供关键业务数据审计线索配置与监控查询:包括基础数据档案,诸如客户档案、会计科目、银行账户档案等。系统可自动记录这些关键数据的变化日志,特别是编辑的时间、前后变化的对比、编辑人员等关键信息。
【关键数据审计线索配置】
提供关键业务流程审计线索的配置与监控查询:指流程配置平台制定的业务流程,一旦发生变化,系统将自动记录变化前后的流程,以及变化的时点、操作员。方便审计人员追查系统控制变化的过程,防止非授权情况下对业务系统的改变。
【关键业务流程审计配置】
提供关键控制参数审计线索的配置和监控查询:指系统中各种集团级别、公司级别的业务系统参数,可以设计参数变化的日志记录,便于审计人员和系统管理人员监控和追查。
5.3.3 通过内控审计评测,验证风险管理方案的有效性
通过内控审计平台,针对内部控制进行专项审计,并形成内部的审计评估报告: 支持内控审计项目计划、任务分配、工作日志和协同合作的项目管理; 支持设置内控审计工作底稿、工作组分发、底稿填报与汇总的管理; 支持内控审计评估报告的编写、签审、发布和内部传阅的管理。
【内控审计项目计划】
【内控审计工作底稿】
【内控审计评估报告】
5.4 实现对业务系统的自动监控 5.4.1 构建IT系统安全控制监控平台
当前企业越来越依赖ERP业务系统对于日常业务的管理,但是,如果业务系统没有足够的安全控制能力,或者说无法对系统的安全机制进行监控,那么整个系统输出的数据结果将存在很大的可质疑之处。
授权监控:通过对关键用户、关键角色、关键功能、关键流程的设置,NC系统可以自动对这些关键点进行授权情况以及变化情况进行跟踪,形成相关的管理日志,并支持输出到指定格式的报告。
【关键功能设置】
【关键流程授权监控】
互斥设置:系统内置内控措施当中不相容职责分离的模型。通过对关键业务流程的各个业务环节设置互斥,从而提供授权时的互斥职能检测,防止出现不相容职责授权失误。
【互斥设置】
特殊日志报告:系统为IT管理人员提供一些特殊用户的监测日志,防止诸如系统管理员之类的特殊用户对系统造成数据干扰。包括:特殊用户(指系统管理员、帐套管理员)操作日志报告、离职人员报告、调配人员报告、不明身份人员报告(指无法与人员档案建立对应关系的用户)。
安全策略监控:提供对于不同角色、人员密码策略的设置,以及策略变化的日志记录。
5.4.2 实现对业务系统关键流程的自动检测
用友NC系统针对主数据和业务流程的变动情况,自动进行日志记录,给出相应的报告,方便内部和外部内控审计人员进行管理过程的跟踪和评价。
【关键数据监控报告】
【关键流程检查报告】
5.5 建立集团级高性能、柔性开放平台 5.5.1 构建系统整合平台,风险信息门户
用友引进IBM的企业服务总线(ESB)平台,为企业围绕风险管理的各个业务系统进行基于信息管理服务的整合,实现跨平台、跨系统的风险信息整合披露和搜集管理,并完成风险
控制过程中要求的业务整合和流程控制。
【企业整合平台——企业信息服务总线】
为达到各系统的信息整合和互通利用,用友提供对各个业务系统基础数据的统一标准化管理平台——主数据管理平台,帮助集团IT部门统一集团内各企业业务系统的共有基础数据信息,统一发布机制和编码机制,为后续的集成和管理提供基础。
【主数据管理平台】
此外,为提高系统使用人员的应用体验,利于整个风险管理工作的顺利开展,用友提供
统一的风险信息门户,并可与企业的办公信息门户集成,实现统一登录、信息集成的应用效果。同时,在该门户可以集成风险知识库管理,便于风险管理的工作人员查找相应的案例、信息的沟通和制度的梳理保管等。
5.5.2 高效率、个性化柔性扩展开发平台
由于全面风险管理和内部控制管理系统,将是涉及集团内部各个企业、部门和人员的综合系统,因此必须能够满足大用户量、大并发情况下的高性能运作。用友NC系统已经在2010年9月发布《NC5.6 3万人Hpux的性能测试报告》。其中,平均反应时间、处理事务的能力、CPU利用率等指标均达到良好水平。
【NC事务平均响应时间】
UAP-NC平台除了提供标准的客户化交付模式外,可以通过功能强大的二次开发平台,根据企业应用的实际需求,进行贴身的项目开发,充分贴现客户的个性化。通过二次开发平台提供的各项工具,可以让技术或者实施人员方便地存取到UAP-NC平台系统资源,包括数据字典、表格、模板、组件、管理要素、控制函数等接口。
【开发建模管理】 解决方案的价值
基于COSO 框架的全面风险管理解决方案侧重于从企业整体层面制定风险战略、完善内控体系、利用IT 技术建立完善的风险管理流程和内部控制。帮助企业搭建风险管理的综合IT架构,建立风险管理的长效机制,从根本上提升风险管理的效率和效果。
6.1.1 实现全面风险与内控管理,提高企业竞争能力
能够形成企业上下统一的内部控制管理标准,并通过规范化与系统化的业务流程及控制节点保障内控制度的有效实施。
明确风险管理职责,将所有风险的管理责任落实到企业的各个层面,形成风险信息的收集、分析、报告系统,为风险的实时有效监控和应对提供依据。 避免企业重大损失,支持企业战略目标的实现。
通过电子化的手段汇总整理内控体系建设过程中的相关手册、文档,避免在工作中翻阅大量文字资料,提升工作效率。
对日常经营管理活动中出现的问题进行记录与跟踪以满足合规要求,并定期审核内控流程的执行有效性,生成内控评估报告。
促进组织成员之间的信息交流和沟通,改善企业控制环境,提升内部控制管理效率。
6.1.2 快速遵从财政部、国资委相关管理条文要求
涵盖财政部关于企业内部控制基本规范的17项控制内容和控制方法。
覆盖国资委关于央企全面风险管理指引中要求的风险管理流程,特别是战略、财务、法律风险管理信息的搜集、风险评估、风险行为管理等方面
符合深交所、上交所关于上市公司加强内部控制和信息披露方面的要求和控制点;
6.1.3 快速遵从SOX法规要求
能够帮助管理层评估公司遵守SOX404法案的情况,保证内控报告的质量,提升管理层签署内控报告的信心。
规范公司SOX404 测试工作的程序,提高SOX404测试工作效率,加强工作质量保证。 降低沟通协调的人力成本。
降低遵从SOX 法案的长期成本,提高内部控制环境的整体效率。 统一国内公司与海外公司的内部控制标准和实施要求。