第一篇:学习内控与风险管理部马占义总经理的讲话
学习中国人寿保险股份有限公司内控与风险管理部马占义总经理的讲话《强力推进内控标准执行 建立风控机制》
尊敬的保监会梁主任,各位来宾,各位朋友,大家上午好!我汇报的题目是“夯实内控基础,构建全员参与的风险管理体系”。风险管理工作是寿险行业的健康稳定发展的生命线,中国人寿保险股份有限公司以管制先进,制度健全,内控严密为根本的任务,以创建国际一流寿险公司为总体目标,积极的实现风险管控工作的内在价值管理技术和管理能力的提高,为探索实践中国人寿保险股份有限公司特色寿险道路提供坚强的保证。
为了加强公司内控与风险管理水平,强化风险管理工作的执行力度,公司构建了内控与风险管理的五级组织架构,具体包括董事会层面审计委员会,风险管理委员会,总公司层面内控及管理委员会,内控管理部及相关管控部门,在省直辖市成立风险管理内控管理委员会,内控合规部及相关管理部门。关键岗位检查岗及相关管控位置,营销服务内控风险管理责任,这就是我们的五级的组织体系。
公司按照业务经营管理流程,构建了内部控制运行机制,建立了四道防线组织内控与风险防范体系,第一道防线由销售部门和销售督察部门构成。第二道防线由运营管理部门组成。第三道防线由风险管理部门组成。第四道防线由检查审计部门组成四套运行体系。
下面我从四个方面具体汇报一下。
第一、强力推进内控标准执行,培育全员参与的风险管理文化。
1.建立内部控制标准,构建内部控制基本法,建立健全内部控制体系,是公司各项经营管理工作的基础和核心,更是确保公司秩序经营有序发展的前提和保障,也是提高公司核心竞争力的必然途径。为此,公司建立了以内控标准执行手册和内控评估手册为核心,以内部控制评价办法和内部控制手册维护办法为配套的内部控制标准体系。与境外上时机国内监管机构要求相吻合,内容为19章,1490个控制措施,完整记录了公司的治理,财务管理,业务管理,产品开发,精算,客户服务,以及信息技术经营管理各环节的控制点和控制措施,明确了可控制单位,责任部门,责任岗位,针对控制措施检查办法和评价的标准。
手册也回答了公司的内部控制是什么?风险在哪里?如何控制,由谁来控制?以及如何判断控制执行好坏等问题。使各层级单位,各职能部门各岗位人员对自身的流程,涉及的风险控制措施一目了然,成为各级公司各个部门开展内控工作的依据和标杆,检验控制执行效果的有利手段,内控评估的基本依据,强化内控执行力、提升管理基础,防范化解经营风险,满足上市地及国内监管机构多元化监管要求的保证,是公司内部控制工作的遵循的基本法。
2.强力推进内控标准执行,培育全员内控文化,为了提升公司经营防范风险能力,我们公司从08年开始,公司以内控标准体系为依托,深入开展内控标准执行工作,通过以上措施保障了内控执行工作的效果。
3.我们层层分解落实内控标准,各级公司针对手册中的控制措施按照岗位进行分解,通过职能部门各岗位风险控制责任,各岗位根据自己有关要求开展对比执行,有效提升公司员工的业务水平和内控意识。签署内控标准承诺生命,要求各级公司管理人员在内所有员工签署承诺书,对履行自身控制责任,以及做好内控标准执行工作进行承诺和声明。
4.通过多种手段宣导内控标准,全系统开展宣导,向全系统员工宣导内控标准体系和内控与风险管理的理念,通过长期的宣传教育,营造良好的内控环境,企业文化环境,树立良好的执行的操守,通过采取以上一些举措,内控标准的推广工作取得了预期效果。各岗位人员也明确了本岗位控制责任,以及相关的管理制度。各岗位人员也了解了自己在业务流程中所处的位置,增强了员工的全局意识和控制理念,主动遵循防控意识进一步强化,为风险防范相关要求,提高公司内控管理水平,奠定良好基础,逐步形成有中国人寿特色全员参与的企业内控文化。
第三,评价内控标准执行效果,建立防范风险责任机制。
1.作为美国上市的公众公司,公司必须遵循萨班斯方案的要求,信息沟通,制定计划,评估测试等在内的内部控制系统,尊重重要性的原则,对财务相关报告进行评估,我们通常说的404,公司建立了从确定评估范围,制定计划,评估测试,缺陷整改,整改验收,补充测试,内控评估报告到确定内控评估范围这么一个每年循环以往的404遵循日常化管理内控评估机制。评估内容包括公司层面,流程层面和IT层面。08年我们为满足公司内控管理和监管要求,公司依据手册继续探索以风险为导向的内部评估机制,由404遵循下单一财务报告相关的内部控制评估,我们进一步扩大到了销售、业务管理,客户服务等,通过检查标准执行效果,科学评估内控有效性,深入剖析产生的原因,及时补充完善内部控制制度,并加强控制的执行力。
2、公司建立了缺陷整改跟进机制,督察机制,责任机制,发现执行层面的问题,执行整改有效监督,内部省级部门缺陷整改的效果,评价,进一步促进了内控标准的执行效果,提高了全系统开展内控执行工作的积极性和自觉性。
3、建立科学的内控风险管理考核评价体系,强化风险防范的问责机制,建立自上而下的内控与风险管理责任的传导机制,制定针对分公司领导班子,内控与风险管理量化指标和实施的细则,通过内控评估现场和非现场检查,对于内控标准的执行,内控的评估,缺陷整改进行考核评价,检验标准执行质量和效果,推动执行工作的落实到位。也要通过问责,通报警示函等方式促进管理体系的改进。
大家都知道2004年颁布的巴塞尔讲风险操作风险成为全球金融业风险管理的重要领域之一,操作风险由于不正确的内部操作流程,人为因素,系统和内部事件造成直接或间接的损失的风险,全球金融业发展趋势来看,不断完善法律和监管体系,新经营模式的出现,更为复杂的交易工具,技术系统可靠性,业务量的提高增大金融机构操作风险发生的可能性。比如英国的巴林银行,导致了经济上的巨大损失,甚至公司倒闭。由于一些关键岗位人员的法制观念不强,操作不规范,其违法违纪行为给公司带来了经济损失和负面影响。从保险企业发生案件看,关键岗位人员的违法违规行为损害了企业形象,不利于企业的秩序健康的发展,因此,确实加强对关键岗位人员的监督,防范关键岗位的操作风险就显得尤为迫切和重要。
2008年5月,我们公司为了加强内部控制,防范关键岗位及道德风险,实现对关键岗位人员风险的事前事后事中全过程监控,进一步完善内部体系建设,成立了专门组织机构,探索关键岗位操作风险的管控机制。以下我从三个方面进行了一些研究。
1、界定关键岗位范围,找准关键岗位防控切入点。通过近两年研究实践,我公司已经确定关键岗位的定义和范围,我们认为关键岗位是在公司经营管理环节中承担较高的风险责任,直接涉及到公司的资金进出或重要资源的变更,需要进行重点的管理和监督的工作岗位,我们认为这是工作岗位一个重要的原因。作为关键岗位的风险一般来源于制度的漏洞,程序的缺陷,监督的缺位,有章不行等方面,违规操作等侵占公司,及客户资金资产作为风险防控切入点,同时我们也根据公司的经营管理环节中各岗位风险潜在度,风险发生概率,及可能造成的损失要素,对省市县关键结构岗位进行梳理,最终确定涉及业务,行政管理,信息技术,销售管理,等七个方面共14类关键刚才,在此基础上,针对每一个关键岗位操作流程,主要风险,防控举措进行研究,为总体要求以关键岗位规定为工作指引,以关键岗位检查手册为操作指引等一整套的规范实用检查的制度体系和实物。
2.建立关键岗位管控机制,从源头上防控操作风险。
3.防范关键岗位风险,查,我们过去只是一种手段,管才是根本,我们公司研究政策之初将风险管理机制作为重点,建立关键岗位的风险教育机制,注重运用反面典型案例进行警示作用,从中吸取教训,从中反思,服从制度,信任不忘制度习惯要为制度扎根的在每个人员头脑中。实现关键岗位的任职情况动态追踪机制,排查风险隐患,对待同一关键岗位连续任职人员,定期进行风险排查,排除隐患。推进关键岗位风险评级及报告机制,强化对关键岗位人员操控行为的管控。对关键岗位人员不正确履职给予制止,发现违规操作人员给予通报指示。实行关键岗位的轮岗及强制休假制度,加强对关键岗位人员的管理。我公司在部分单位实行了关键岗位的轮岗和强制制度,对符合条件的关键岗位人员进行岗位轮换,对风险较大的关键岗位人员我们实行了检查的回避制度。切实的提升试点单位对操控风险的管控力度。强化关键岗位的监督检查责任追究,监督对象,为较好的执行监督责任,为及时发现内部控制部门和检查人员实行双向问责,督促各级公司积极履行切实发挥监督作用。
推行常态化检查,实现对关键操作风险全过程监控。主要采取是机动检查和日常检查两种方式,其中机动检查在不提前被检查单位和人员情况下对关键岗位人员办理的业务进行全面的风险排查。日常检查是对关键岗位人员面临的各种风险自动开展经常性定期滚动检查,关键岗位检查特点,通过抽取数据,对比分析,找出可疑数据,确认风险源,这种检查方式不仅注重对关键岗位的风险定性诊断,更注重对关键岗位定量分析。公司已经设立48项风险管理监控指标及风险管理模型,通过定期抽取99组,98组风险数据进行分析,锁定监控目标基础上,有针对性排查风险隐患。
一方面可以及时发现并纠正关键岗位人的违规作业行为,防范可能存在的欺诈和舞弊行为,进而达到防控金融风险的目的。另一方面按照时间的进度定期采取高频率非现场核验,讲事前事中事后有机结合,及时发现风险,警示关键岗位人员,降低操作风险发生频率,有效防范关键岗位操作经营风险。我们通过这两年试点实践,我们也认为建立关键岗位检查机制对保险企业非常重要,也十分必要。有利于规避和弥补保险企业内部管理中的缺失和不足,有利于促进各级公司落实制度,加强执行。有利于秩序改进管理,增强公司的核心竞争力。
贯彻落实保监会分类监管政策,实施风险预警以风险管理。我们公司在合规型风险管理基础上,根据保监会分类监管政策,制定并实施风险预警及管理办法,构建风险管理指标量化评估体系,以提升整体风险管理水平,公司设立了反映公司业务发展经营管理所面临的各类风险指标定期进行评估,评估总分公司面临的风险状况,对于重点的风险进行预警,从而形成了从风险的识别,风险的评价,风险的预警及分级管理到风险的整改和监督。这样形成了一个闭环,及时的发现风险,有效的防范风险,风险预警指标作为衡量风险基本要素,贯穿整个工作流始终,风险预警以分析管理工作较公司以往风险管控方法有了一定的改进和创新,是与国际风险管控理念的一个接轨,推动合规性风险管控到合理性的风险管控方向迈进。
从风险指标的选择上,对于预警指标选取的标准共有三条原则。一是全面性,风险预警指标选取,选取自保监会分类监管指标,公司的绩效考核指标,经营管理中涉及重点风险而制定,涵盖公司业务发展,和经营发展各个方面内容。二,可量化性,三,数据集中性,加强总公司数据统一管理,增强数据提示及时性,对于指标的衡量标准我们采用了包括指标的绝对数值全国平均数加全本期与上期的比较,特定公司设定的特定的限额等多种衡量的方式,同时也允许有一定的波幅,较为充分客观考虑各分公司历史原因和客观情况。
我们将总公司风险细化成偿付能力风险,业务经营风险,财务风险,资金运用风险,公司治理和内控风险,我们将风险面临细化成业务内风险,也就是第一道风险,经营类风险属于第二道防线,监督和控制风险作为第三和第四道风险,我们采用自上而下方法对面临的风险进行了细化和识别,建立了预警指标。从总公司风险指标22个,分公司指标55个,共计77个指标,我们实行季度,半年,和全年进行分析和评价。
从风险的评价,公司通过定期进行风险指标的计算,从单一的分公司和公司整体两个层面进行风险评价,分公司的风险评价,通过预警指标的计算,形成分公司建立,起综合交错的评价机制,纵向对某分公司风险状况总体进行评价。公司的总体风险评价是通过汇总总公司以及分公司预警指标计算结果,根据指标加权重,指标和结果将对公司的风险分成高等风险,中等风险和低等风险,为公司提供了风险的管控重点。
下面是风险预警和分级管理,我们也通过风险的预警和分级评级两种方式,对分公司指标运行情况进行一个处置,一是风险预警,我们根据指标计算的结果,公司定期将超标准的指标向总分公司以风险提示函形式进行预警,要求相关单位分析整改。二是风险的评级,我们也结合风险预警指标衡量标准和权重,计算出总分公司的总体得分,并划分风险等级。比如A级公司B级公司和C级公司。采用不同的管理措施将评级结果以预警通知书形式发送给B级和C级公司。
风险整改和监督,我们和指标超标单位通过风险分析整改和风险的监督等两种方式,对指标情况进行整改。
风险分析整改指标超标单位接到风险提示函和预警通知书之后,对超标指标进行分析,提出风险的整改计划,并开展整改工作。风险的监督,子公司指标超标单位通过分析指标评价超标单位的风险整改效果。
把握机遇,直面挑战,构建全面风险管理体系。
夯实基础,健全以全面风险管理为导向的内控体系,在404工作和内控标准工作基础之上,不断的完善内部控制手段和方法,建立健全以全面风险管理为导向的内控体系,特别要继续加强内控与风险管理信息系统建设,一方面将分散的制度、岗位、控制活动,相关的表单等要素有机进行结合,形成公司业务流程,和内控管理的集成平台,既可展示规范化流程操作手册和规定,也可以通过流程测试对执行情况进行管控。另一方面,通过风险指标,对风险进行量化,借助信息化的手段来完成全系统风险预警及分级管理,提高对风险的事前监控。
明确定位发挥风险管理的服务价值。
全面风险管理工作一般要经历三个阶段,我们公司在全面风险管理体系中,第一阶段,合规性的风险管控工作满足上市地监管部门最低要求,建设合规建设为基本目标,目前该阶段已经完成。完成工作包括基础数据的搜集,风险监控指标的搜集,各类报告的上报与披露,完成风险管理的矩阵式模板,填报直营等。第二,这一阶段目标实行对主要业务监控与预警,满足公司的管理的需求,这一阶段我们也将在今年十月前来完成,主要工作是落实保监会保险公司风险管理指引,涉及风险的偏好,调查问卷,完成信息模块的初始化及调试工作,目前我公司正处于这个阶段。第三个阶段就是价值性的风险管控体系,防范并化解经营管理中的风险,提升公司内在的企业价值。
贯彻落实保监会寿险全面风险管理实施指导意见,公司将大力贯彻落实指导意见,树立健全风险管理组织架构,修订完善风险的管理制度和流程,实施风险管理的具体实施措施,实现风险管控工作由管理型向驾驶型的一个转变。在我公司全面风险管理体系建设中,也希望得到保监会的帮助和指导,以及同行业的经验和交流,谢谢大家!
第二篇:银行风险管理部总经理工作思路
风险管理部总经理工作思路
我对风险管理部总经理这个职位总体理解是:这个岗位是管理者与领导者的结合体,对于相对独立的风险条线来说,这个岗位管理者与领导者相结合的特点很明显。
首先,风险管理部作为一个部门,承担着分行风险管理的部门职责,总经理作为这个部门的管理者,首先要做的事情就是把这个部门管理好。管理是一门科学,主要工作是计划、组织、协调和沟通,要把省、市分行的计划落实好,要把风险工作组织起来,还要搞好与其他部门尤其是业务部门的协调,这个是重点,还有就是要搞好沟通,包括内部沟通、与上级风险主管及省分行以及外部监管机构的沟通等等。通过计划、组织、协调和沟通几方面的努力,先要把管理者的事情做好。
其次,这个岗位还是一名领导者,领导是一门艺术,需要有自己的风格,需要创新。既要有改变旧模式旧思维的勇气,也需要有在风险主管和分行党委领导下的大局观意识。(此处结合自身实际加入自己工作创新之处)。例如,重点从提高风险经理素质入手,把风险经理逐步培养成能够发表独立见解,在某些行业或领域有一定专业水平的准专业人才,为分行领导决策提供重要的依据。
总之,借用风险管理的专业术语来总结我的工作思路,就是 “预期损失”和“非预期损失”两方面都把握好。在风险管理领域,“预期损失”是通过日常计提损失准备金来化解的,“非预期损失”是需要用经济资本来防御的。我的工作思路就是:对于日常常规存在的风险点,通过科学的管理,重点把制度建设好,通过“硬件”的完善来制约风险的发生;而对于一些不可预测的非常规存在的风险点,要通过提升软实力,加强对队伍的领导,提高风险队伍整体素质和全行员工风险意识着手,来把风险化解于无形。我想,通过以上两方面的努力,一定可以使我行全面风险管理的理念深入人心。2011.9.15
第三篇:NC内控与风险管理解决方案2011(范文)
全面管理风险
提升企业绩效
为企业发展保驾护航
用友NC集团全面风险管理解决方案
用友软件股份有限公司
[在此处键入文档的摘要。摘要通常是对文档内容的简短总结。在此处键入文档的摘要。摘要通常是对文档内容的简短总结。]
目录 走向世界的中国企业面临巨大风险...............................................................................4 1.1 1.2 1.3 1.4 2 案例一:中国铁路建设沙特项目巨亏41.53亿元.................................................4 案例二:受累汤姆逊清算,TCL集团遭遇2.11亿元索赔....................................4 案例三:诺西收购摩托罗拉受阻,华为诉讼初步胜利........................................5 权威机构针对企业风险管理的调查分析................................................................5
实施全面风险与内控管理的困惑...................................................................................5 2.1 2.2 2.3 2.4 2.5 缺乏全面风险与内控管理运作体系........................................................................5 全面风险和内部控制的管理流程难以长期坚持....................................................6 全面风险管理与内部控制管理分离独自运作........................................................6 风险控制评价工作量巨大,管理成本高企............................................................6 风险管理和内控管理报告输出困难........................................................................6 企业全面风险和内控体系建设思路...............................................................................6 3.1 3.2 3.3 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 路径一:先风险后内控............................................................................................7 路径二:先内控后风险............................................................................................7 标准的风险内控体系建设步骤................................................................................7 机构设立和计划阶段............................................................................................8 辨识风险/记录风险内部控制缺陷阶段...............................................................8 设计缺陷整改/健全内部控制阶段.......................................................................9 监督风险/内控措施有效执行阶段.....................................................................10 董事会报告及披露阶段......................................................................................11 5 企业全面风险/内控管理对信息化系统的要求............................................................11 用友NC全面风险与内控管理解决方案......................................................................13 5.1 5.2 5.2.1 5.2.2 5.2.3 5.2.4 本解决方案的应用架构..........................................................................................13 实现集团级风险管理的全流程管理平台..............................................................15 风险管理系统流程..............................................................................................15 实现多级风险信息收集管理..............................................................................15 支持多种评估标准和模型管理..........................................................................17 实现风险指标监控、自动预警..........................................................................19 5.2.5 5.2.6 5.2.7 5.3 5.3.1 5.3.2 5.3.3 5.4 5.4.1 5.4.2 5.5 5.5.1 5.5.2 6 实现风险应对管理..............................................................................................20 记录风险控制的评价与改进..............................................................................21 实现风险控制的监督与报告..............................................................................22 实现COSO全面风险综合架构,与内控体系整合...............................................23 通过风险应对方案建立与内控体系的联系......................................................23 通过内控系统完成与业务系统运作管理的结合..............................................25 通过内控审计评测,验证风险管理方案的有效性..........................................26 实现对业务系统的自动监控..................................................................................28 构建IT系统安全控制监控平台.........................................................................28 实现对业务系统关键流程的自动检测..............................................................30 建立集团级高性能、柔性开放平台......................................................................31 构建系统整合平台,风险信息门户..................................................................31 高效率、个性化柔性扩展开发平台..................................................................33
解决方案的价值.............................................................................................................34 6.1.1 6.1.2 6.1.3 实现全面风险与内控管理,提高企业竞争能力..............................................35 快速遵从财政部、国资委相关管理条文要求..................................................35 快速遵从SOX法规要求.....................................................................................35 走向世界的中国企业面临巨大风险
1.1 案例一:中国铁路建设沙特项目巨亏41.53亿元
10月25日,中国铁建公告称其承建的沙特轻轨项目因实际工程数量比签约时预计工程量大幅增加等原因,预计将亏损人民币41.53亿元。由此引发中国铁建股价剧烈波动,跌幅超过10%。
中国铁建2011年1月21日发布公告称,为妥善处理沙特麦加轻轨项目索赔事宜,上市公司中国铁建与其控股股东中国铁建总公司(国有企业)签署协议,后者向中国铁建支付20.77亿元对价,接手沙特麦加轻轨项目的未完工工程。由此,通过母公司承担损失的方式,中国铁建顺利保证财务账面上的盈利。
此事件凸显公司在海外工程项目的管理短板。
1.2 案例二:受累汤姆逊清算,TCL集团遭遇2.11亿元索赔
本该是“好事”,可终究酿出了“苦果”。TCL集团并购法国汤姆逊公司后不但业绩遭遇连连亏损,事端频发,如今受累法国汤姆逊公司清算,再次陷入财务压力困境。
2011年3月14日,TCL集团在停牌一天后公告称,法国南特商业法庭于3月10日对TTE欧洲公司重组诉讼案的第一令诉讼作出初审判决,要求TCL集团、TCL多媒体及其4家全资子公司向TTE欧洲之法定清盘人赔偿2310万欧元(约2.11亿元),目前TCL多媒体已于2010财务报表中对TTE诉讼计提预计负债1000万欧元。
实际去年就已经传出这个消息,TCL也立刻引起警觉,谋划对策。然而还是终究难逃与汤姆逊合资成立的TTE欧洲公司的清算悲剧的波及。
格力空调副总裁黄辉表示:“格力这两年在巴西销量超过5000万台,中国企业在国外并购充满陷阱,一不小心就会翻身,并购涉及文化融合、法规等无法协调。逐步收购是格力的战略。” 1.3 案例三:诺西收购摩托罗拉受阻,华为诉讼初步胜利
在美国市场备受阻挠的中国最大电信设备供应商华为,终于赢得了一次阶段性的胜利。华为公司2011年2月23日晚间发表声明,称美国伊利诺伊州北区法院就华为起诉摩托罗拉公司和诺基亚西门子公司(以下称诺西公司)一案,正式做出裁决,颁发了初步禁止令。
该初步禁止令除了2011年1月14日法院发出的临时禁止令中要求摩托罗拉禁止向诺西转移华为的保密信息外,还增加了要求摩托罗拉聘请独立第三方进行华为保密信息的安全删除检查,及允许华为对诺西维护摩托罗拉设备的服务记录进行审计等要求。
而我们也注意到,美国议员在2010年10月底要求联邦通信委员会(FCC)重审自华为和中兴订购网络设备可能的“安全”风险。这意味着华为在美国的各种官司将长期纠结,为此,华为公司也预备计提5亿美金的诉讼费用。
1.4 权威机构针对企业风险管理的调查分析
德勤发布2011年《中国企业风险管理白皮书》。上榜企业共25家。调研结果显示,中国企业在未来三年将面临宏观经济、竞争和人才短缺三大风险。超过半数的受访企业称已经建立应对重大风险的基本流程,但仍需要进一步完善。只有10%的企业认为其风险应对流程非常完善。还有10%的企业表示,一旦发生重大或危急的风险事件,自己能在第一时间有效管理。超过50%的企业对大部分重大风险都能实时采取适当的响应措施。接近30%的企业只针对部分重要流程建立了监督与报告程序。实施全面风险与内控管理的困惑
2.1 缺乏全面风险与内控管理运作体系
企业缺少如何建立全面风险管理和内部控制体系的思路、方法论。或者缺乏专门的组织、工作流程和与之配套的绩效考核制度。2.2 全面风险和内部控制的管理流程难以长期坚持
全面风险和内部控制由于涉及企业的方方面面,可以说是全员参与,因此程序繁杂,涉及面广,大量手工工作致使管理成本增加,难以长期坚持。
2.3 全面风险管理与内部控制管理分离独自运作
体现在企业中经常把全面风险管理与内部控制管理进行分离,两套组织班子,两套工作流程。同时,这两个工作与实际的业务系统大多也是独立部署运作,仅仅局限在个别财务数据的提取分析,完全无法实现对业务过程的真正监控。
2.4 风险控制评价工作量巨大,管理成本高企
由于一个重大风险的应对措施,往往涉及多个业务流程、多个控制点和多个业务系统、多部门协同运作,因此控制评价往往需要采集多个环节的大量样本进行测试,然后进行综合评价,依赖于控制评价人员的测试方案设计能力、职业判断能力等等,工作量非常巨大,造成这部分的管理成本上升。同时为了满足控制评价的需要,业务部门也需要按照测试评价的要求保留各种资料文件,也造成相应的办公成本增加。
2.5 风险管理和内控管理报告输出困难
目前,中央到地方国资委,各地政府分管上市工作的部门,以及证交所、证监会等多家机构,都要求企业建立健全全面风险和内部控制管理体系,并能按时按要求提供相应的内部和外部审计报告,同时要求按照各自的样板格式内容进行提报,造成相关企业的管理人员必须 企业全面风险和内控体系建设思路
根据COSO委员会在1992年公布的《内部控制—综合框架》(也称“COSO内部控制框架”),以及2004年提出内部控制向全面风险管理转变,出台了《全面风险管理—综合框架》。
由此可见,风险管理和内控管理实际上是不同发展阶段的产物。但是由于中国国资委和财政部等机构发布相关政策所引用的框架基础不同,名称不同,导致企业要同时满足两个标准要求,也引发国内企业出现了分离两者,分别建设、两套班子等现象。所以,不同的企业也根据自身的条件提出了不同的建设路径,主要为以下两种:
3.1 路径一:先风险后内控
此类企业多属于国资委下属国企,在《中央企业全面风险管理指引》文件的要求和指导下,首先在集团内部建立全面风险管理体系,然后针对选择的重大风险进行内控建设。这种建设路径相对成本较低,但是容易受到主观判断导致部分重要的内控领域被忽略,而提高突发重大风险发生的可能性。
3.2 路径二:先内控后风险
此类企业通常多属于上市公司,或者已经在海外上市,基于萨班斯法案要求,或者国内财政部发布的《企业内部控制基本规范》要求,首先在集团内部建立比较完善的内控体系,然后根据国资委监管的要求,拓展风险信息搜集和目标设定的管理环节。这种建设路径相对体系化比较好,更能覆盖企业管理的方方面面,效益比较明显。
3.3 标准的风险内控体系建设步骤
实际上企业全面风险的建设过程应该涵盖内部控制管理的同步建设,建议企业一套班子、一套流程、一套制度统筹考虑一体化建设。因此本方案提供一个标准的体系建设步骤: 3.3.1 机构设立和计划阶段
A.主要步骤
a)成立专门职能部门(检查监督部门),定义监督检查部门职责分工; b)确定项目计划以建立/完善公司的内部控制; c)梳理现有内部管理政策/制度,明确权责分配; d)制定可持续发展的人力资源政策; e)进行针对性培训;
f)将内控项目计划承交董事会审阅。B.关键事项
a)管理层委任项目领导及项目小组;
b)高层重视并直接参与非常重要;管理层事先将内控项目计划向董事会汇报符合财政部内控基本规范中有关控制环境的精神:以董事会为内控制度之完整合理、实施有效之责任主体;
c)制定分批/分对象因材施教的培训计划,增进全员意识。分批/分对象地实施培训。
C.工作成果
a)制定项目小组制度,以及专门委派的职能部门或项目小组定义项目职责分工; b)制定项目实施具体计划; c)制定分批/分对象的培训计划; d)制作培训材料;
e)分批/分对象地实施培训。
3.3.2 辨识风险/记录风险内部控制缺陷阶段
A.主要步骤
a)设计风险评估标准,基于集团风险调查问卷汇总开展风险评估; b)设定风险容忍程度,确认重大风险及其相关认定及流程;
c)使用内控自我评估问卷辨识与记录工作范围内的企业层面和流程层面的内部控制活动;
d)记录各业务流程中发现的内部控制设计缺陷,汇总并提出整改方案。B.关键事项
a)以风险评估为基础,有侧重点地选择哪些下属部门/公司的、哪些业务环节需要进行内控建立健全的工作;
b)根据最佳实践和监管机构要求,设计内控自我评估问卷,并以此作为起点,逐步调整,建立适合公司的内部控制制度;
c)公司各级人员回答的问卷将为公司的工作提供富有效率的证据基础,而且也体现了内控全员参与的精神;
d)对在建立健全内控过程中发现的控制缺陷提出内控设计整改方案和时间表是非常关键的,这将为管理层增加长期价值,并非只是为了符合监管要求,而是为公司规范运作和长远发展打下更好的基础。
C.工作成果
a)风险评估标准;
b)确认项目范围和流程的风险评估工作表,风险地图;
c)内部控制手册(不兼容职责表,控制矩阵,流程图,流程汇编); d)控制效果的穿行测试;
e)控制缺陷报告和相应的整改方案建议。
3.3.3 设计缺陷整改/健全内部控制阶段
A.主要步骤
a)根据整改方案纠正内部控制设计缺陷;
b)按照法律法规,部门规章及证券交易所上市规则的规定制定/完善内部控制制度;
c)更新内部控制的记录文件。B.关键事项
a)对监督过程中发现的内部控制缺陷,提出整改方案,采取适当形式向董事会,监事会或者经理层报告; b)跟踪监控内控运行整改方案的实施情况,不仅是合规的要求,也是提升公司执行力的关键。
C.工作成果
a)控制缺陷报告和相应的整改方案建议。
3.3.4 监督风险/内控措施有效执行阶段
A.主要步骤
a)制定风险内控监督制度,规范其程序,方法和要求; b)开展风险内部控制自我评价,出具内部控制自我评价报告; c)跟踪风险内部控制运行缺并及时改进。B.关键事项
a)应根据风险评估的结果,制定内控监督检查办法和内控自评和检查计划,使有限的资源被有侧重地运用到高风险的领域;
b)抽检管理层的内控自我评估问卷,通过检查和必要的抽样测试等手段确认内控自我评估问卷是否准确填写,并向总裁办公会及董事会报告测试结果。管理层内控自我评估加上检查监督部门循环抽查符合《指引》中内控框架下“检查监督”层面的精神;
c)跟踪监控内控运行整改方案的实施情况,不仅是合规的要求,也是提升公司执行力的关键;
d)监管要求指出,检查监督部门的工作资料,包括底稿和报告等需要保存十年。C.工作成果
a)在风险评估的基础上,制定风险内控监督检查办法和内控检查计划; b)设计开展内控自我评价和抽样评审的标准和工具,包括:风险内控自评的问卷,抽样测试的程序、方法和具体工作底稿; c)风险内控监督检查报告。3.3.5 董事会报告及披露阶段
A.主要步骤
a)董事会/审计委员会审核《内部控制检查监督工作报告》;并以此为基础制作《内部控制自我评估报告》形成董事会决议;
b)披露《内部控制自我评估报告》以及会计师事务所对该报告出具的核实评价意见;
c)以内控自我评估报告为基础,结合国资委风险管理报告模板框架,披露《风险管理报告》。
B.关键事项
a)董事会是公司内控制度之完整合理、实施有效之责任主体;
b)董事会应当根据监管机构将要出台的董事会议事规则以及其它相关法规的要求,采取适当的步骤和取得充分的资料,来支持其对公司内控有效性的决议,这些资料既应包括检查监督部门递交的《内部控制检查监督工作报告》;也应包括管理层提交的其他支持性文件,包括管理层的内控自我评估问卷等;
C.工作成果
a)根据上交所将要出台的董事会议事规则以及其它相关法规的要求,制定董事会内部控制检查监督清单(Checklist);
b)制定董事会内部控制资料检查制度,制度中规定董事会应采取的适当步骤,来支持其对公司内控的决议或有重大内部控制缺陷时的披露程序; c)拟定《内部控制自我评估报告》、《全面风险管理报告》或者其他的披露文件。企业全面风险/内控管理对信息化系统的要求
在企业建立了全面风险管理和内部控制体系的基础上,企业对信息化系统的要求可以概述为以下几点:
A.建立适应集团企业全员应用的、集中部署的风险管理工作平台; a)完成风险管理的业务流程:包括从风险组织和管理标准设立、风险信息搜集、风险评估、风险应对、风险控制、风险评价与改进、风险监督与报告;
b)满足集团多层级、多部门的风险管理审批、评估等工作中全员参与、流程流转、信息互通的要求;
c)满足各类风险评估、应对、监督和评价信息的共计、汇总分析,支持各类外部监管机构的报告输出要求。
B.能够将全面风险管理与内部控制体系无缝集成;
a)达到风险管理与内部控制体系的集成应用,实现一套班子、一套体系、一套流程的统一管理;
b)通过风险管理的应对方案,实现通过内部控制体系实现风险控制的目的;
c)风险控制点可以直接控制业务系统的运作; d)实现业务系统数据自动支持风险预警、风险识别。C.实现风险控制节点监督的自动检测;
a)通过内控体系实现对业务系统风险控制点的自动监控,降低风险监督人工成本;
b)实现对现有各类业务系统安全控制的监察,防止由于系统安全策略和漏洞造成系统应用风险。
D.建立风险管理知识库,完善相应的绩效考核和保障机制
a)构建集团统一的风险管理知识平台,加强风险管理意识普及; b)设计风险指标,并根据控制效果评价影响相关部门人员的绩效考核。E.满足大用户量大并发的效率要求,支持后续应用变化引起的系统整合、个性化开发应用需求 5 用友NC全面风险与内控管理解决方案
5.1 本解决方案的应用架构
用友全面风险管理与内控架构公司治理层风险信息搜集风险评估管理风险应对管理风险监督与改进风险控制评价内控体系管理内控手册管理IT控制监控报告内控审计管理风险管理报告战略管理层企业绩效管理全面预算与计划管理集团报表与合并管理组织与策略管理业务经营层集团客户关系管理集团财务管理集团供应链管理集团人力资源管理电子商务应用集团资产管理行业特殊应用集团知识文化管理基础平台层身份与权限管理动态会计平台办公协同与门户流程管理平台集成应用平台预警平台二次开发平台商务智能平台NC全面风险/内控管理体系架构图
广义的NC全面风险与内控管理解决方案由依托于UAP平台包括业务经营层、战略管理层和公司治理层三部分,而狭义的全面风险与内控管理方案则专指公司治理层。其中,全面风险管理的业务运作可以用下图标示:
风险组织风险知识库风险分类风险问卷风险评估标准风险评估模型流程管理报告模板风险指标设置风险预警设置基础设置业务处理风险信息搜集突发重大风险风险评估风险应对管理重大风险应对风险执行跟踪跟踪改进报告风险预警分析与报告风险分布热图风险事件查询风险自检查询风险自评报告13
全面风险管理系统架构图
基础设置层:本层是整个风险管理信息系统的平台基础,包括风险管理组织设置、风险分类与信息、风险知识库、风险预警设置、风险评估标准与模型、风险问卷管理等。构建整个风险管理的基础环境。
业务处理层:本层是整个风险管理信息系统的核心业务处理部分。包括从风险信息搜集、风险识别与评估、风险预警和应对管理、风险应对执行与监督管理。实现集团多层级的协同风险管理作业,建立相关的标准流程和信息共享。
分析与报告层:本层处理是风险信息查询分析和风险管理报告披露的部分。包括风险管理报告管理、风险热图和矩阵分析等。5.2 实现集团级风险管理的全流程管理平台 5.2.1 风险管理系统流程
全面风险管理集团设定风险识别周期制定风险识别问卷模板公司调整风险识别信息提交审核部门问卷提交公司部门下发风险识别问卷到公司下发风险识别问卷到部门风险识别提交部门内部审核风险收集与管理公司内部审核审批上报风险评估模板风险发生可能性评估标准风险影响程度评估标准风险评估分值设置公司评估结果确认规则固有风险评估上报评估结果审核提交风险分析与评价集团进行固有风险评估审批确认重大风险风险应对方案制定应对方案剩余风险评估全面风险管理系统流程
5.2.2 实现多级风险信息收集管理
支持集团全面风险管理问卷的设计、下发与信息上报管理。 支持重大风险事件的上报管理。
【风险调查问卷下发】
【重大风险事件上报】
5.2.3 支持多种评估标准和模型管理
支持集团多层级、多部门风险评估运作机制; 支持风险评估标准与模型建立; 支持评估结果自动选取标准。
【风险评估流程图】
【评估结果生成规则】
【固定风险评估】
5.2.4 实现风险指标监控、自动预警
针对风险成因,设置相应的参照指标,可以是定性指标,可以是定量指标。其中定量指标可以设置报警区间,一旦满足预警条件,系统自动发送相关信息给指定人;
【风险指标设置】
系统提供预警信息报送机制的设置,以各种方式传递。
【预警方式设置】
5.2.5 实现风险应对管理
风险应对策略方案的管理; 建立与内控措施关联关系; 形成风险控制矩阵。
【风险应对方案】
【风险控制矩阵】
5.2.6 记录风险控制的评价与改进
根据风险管理组织和岗位分工,支持风险岗位针对风险控制点的测试,记录测试结果,并进行统计分析
【风险控制点测试】
支持对失效的控制点进行设计和运行缺陷的认定,并制定整改的时间和相关负责人。
【风险缺陷评价】
5.2.7 实现风险控制的监督与报告
支持以风险为核心的各种信息搜集、评估、应对、控制执行测试等综合信息的报告式输出; 支持以word、excel、txt、html等多种格式输出系统内的信息,形成相关分析报告; 支持向外部风险管理和内控审计机构提供相关信息。
【风险管理综合报告】
5.3 实现COSO全面风险综合架构,与内控体系整合 5.3.1 通过风险应对方案建立与内控体系的联系
系统在风险应对方案中,建立与内部控制体系之间的对应关系,从而实现:
风险应对方案直接对应内控措施,包括控制点、控制业务流程、监督措施、监督部门、监督岗位;
【风险应对与内控措施对应】
内部控制管理手册中直接选取关联的业务风险,定义控制点、监督检查方法、业务流程等,实现双向的互相索引关联。
【内控手册维护】
5.3.2 通过内控系统完成与业务系统运作管理的结合
提供关键业务数据审计线索配置与监控查询:包括基础数据档案,诸如客户档案、会计科目、银行账户档案等。系统可自动记录这些关键数据的变化日志,特别是编辑的时间、前后变化的对比、编辑人员等关键信息。
【关键数据审计线索配置】
提供关键业务流程审计线索的配置与监控查询:指流程配置平台制定的业务流程,一旦发生变化,系统将自动记录变化前后的流程,以及变化的时点、操作员。方便审计人员追查系统控制变化的过程,防止非授权情况下对业务系统的改变。
【关键业务流程审计配置】
提供关键控制参数审计线索的配置和监控查询:指系统中各种集团级别、公司级别的业务系统参数,可以设计参数变化的日志记录,便于审计人员和系统管理人员监控和追查。
5.3.3 通过内控审计评测,验证风险管理方案的有效性
通过内控审计平台,针对内部控制进行专项审计,并形成内部的审计评估报告: 支持内控审计项目计划、任务分配、工作日志和协同合作的项目管理; 支持设置内控审计工作底稿、工作组分发、底稿填报与汇总的管理; 支持内控审计评估报告的编写、签审、发布和内部传阅的管理。
【内控审计项目计划】
【内控审计工作底稿】
【内控审计评估报告】
5.4 实现对业务系统的自动监控 5.4.1 构建IT系统安全控制监控平台
当前企业越来越依赖ERP业务系统对于日常业务的管理,但是,如果业务系统没有足够的安全控制能力,或者说无法对系统的安全机制进行监控,那么整个系统输出的数据结果将存在很大的可质疑之处。
授权监控:通过对关键用户、关键角色、关键功能、关键流程的设置,NC系统可以自动对这些关键点进行授权情况以及变化情况进行跟踪,形成相关的管理日志,并支持输出到指定格式的报告。
【关键功能设置】
【关键流程授权监控】
互斥设置:系统内置内控措施当中不相容职责分离的模型。通过对关键业务流程的各个业务环节设置互斥,从而提供授权时的互斥职能检测,防止出现不相容职责授权失误。
【互斥设置】
特殊日志报告:系统为IT管理人员提供一些特殊用户的监测日志,防止诸如系统管理员之类的特殊用户对系统造成数据干扰。包括:特殊用户(指系统管理员、帐套管理员)操作日志报告、离职人员报告、调配人员报告、不明身份人员报告(指无法与人员档案建立对应关系的用户)。
安全策略监控:提供对于不同角色、人员密码策略的设置,以及策略变化的日志记录。
5.4.2 实现对业务系统关键流程的自动检测
用友NC系统针对主数据和业务流程的变动情况,自动进行日志记录,给出相应的报告,方便内部和外部内控审计人员进行管理过程的跟踪和评价。
【关键数据监控报告】
【关键流程检查报告】
5.5 建立集团级高性能、柔性开放平台 5.5.1 构建系统整合平台,风险信息门户
用友引进IBM的企业服务总线(ESB)平台,为企业围绕风险管理的各个业务系统进行基于信息管理服务的整合,实现跨平台、跨系统的风险信息整合披露和搜集管理,并完成风险
控制过程中要求的业务整合和流程控制。
【企业整合平台——企业信息服务总线】
为达到各系统的信息整合和互通利用,用友提供对各个业务系统基础数据的统一标准化管理平台——主数据管理平台,帮助集团IT部门统一集团内各企业业务系统的共有基础数据信息,统一发布机制和编码机制,为后续的集成和管理提供基础。
【主数据管理平台】
此外,为提高系统使用人员的应用体验,利于整个风险管理工作的顺利开展,用友提供
统一的风险信息门户,并可与企业的办公信息门户集成,实现统一登录、信息集成的应用效果。同时,在该门户可以集成风险知识库管理,便于风险管理的工作人员查找相应的案例、信息的沟通和制度的梳理保管等。
5.5.2 高效率、个性化柔性扩展开发平台
由于全面风险管理和内部控制管理系统,将是涉及集团内部各个企业、部门和人员的综合系统,因此必须能够满足大用户量、大并发情况下的高性能运作。用友NC系统已经在2010年9月发布《NC5.6 3万人Hpux的性能测试报告》。其中,平均反应时间、处理事务的能力、CPU利用率等指标均达到良好水平。
【NC事务平均响应时间】
UAP-NC平台除了提供标准的客户化交付模式外,可以通过功能强大的二次开发平台,根据企业应用的实际需求,进行贴身的项目开发,充分贴现客户的个性化。通过二次开发平台提供的各项工具,可以让技术或者实施人员方便地存取到UAP-NC平台系统资源,包括数据字典、表格、模板、组件、管理要素、控制函数等接口。
【开发建模管理】 解决方案的价值
基于COSO 框架的全面风险管理解决方案侧重于从企业整体层面制定风险战略、完善内控体系、利用IT 技术建立完善的风险管理流程和内部控制。帮助企业搭建风险管理的综合IT架构,建立风险管理的长效机制,从根本上提升风险管理的效率和效果。
6.1.1 实现全面风险与内控管理,提高企业竞争能力
能够形成企业上下统一的内部控制管理标准,并通过规范化与系统化的业务流程及控制节点保障内控制度的有效实施。
明确风险管理职责,将所有风险的管理责任落实到企业的各个层面,形成风险信息的收集、分析、报告系统,为风险的实时有效监控和应对提供依据。 避免企业重大损失,支持企业战略目标的实现。
通过电子化的手段汇总整理内控体系建设过程中的相关手册、文档,避免在工作中翻阅大量文字资料,提升工作效率。
对日常经营管理活动中出现的问题进行记录与跟踪以满足合规要求,并定期审核内控流程的执行有效性,生成内控评估报告。
促进组织成员之间的信息交流和沟通,改善企业控制环境,提升内部控制管理效率。
6.1.2 快速遵从财政部、国资委相关管理条文要求
涵盖财政部关于企业内部控制基本规范的17项控制内容和控制方法。
覆盖国资委关于央企全面风险管理指引中要求的风险管理流程,特别是战略、财务、法律风险管理信息的搜集、风险评估、风险行为管理等方面
符合深交所、上交所关于上市公司加强内部控制和信息披露方面的要求和控制点;
6.1.3 快速遵从SOX法规要求
能够帮助管理层评估公司遵守SOX404法案的情况,保证内控报告的质量,提升管理层签署内控报告的信心。
规范公司SOX404 测试工作的程序,提高SOX404测试工作效率,加强工作质量保证。 降低沟通协调的人力成本。
降低遵从SOX 法案的长期成本,提高内部控制环境的整体效率。 统一国内公司与海外公司的内部控制标准和实施要求。
第四篇:集团企业内控与风险管理
核工业集团内部控制与全面风险管理培训框架
========================
为贯彻落实中国核工业集团公司近期有关实现集团跨越式发展的要求,深入研究并积极探讨解决核电产业集团化运作、专业化运营的有效途径,尤其是在此过程中产生的管控风险,我们组织了相应领域的专家进行了具有针对性的分析,提出了一个具有完整框架的培训方案:
========================
一、理论框架theoretical framework
========================
集团战略管控体系集团风险管理体系集团内部控制体系
========================
二、培训课程模块curriculum introduction
========================
(一)内部控制篇
■ 内部控制——企业良性经营的关键 1.COSO的内部控制整合框架包括哪些内容 2.企业内部控制的目标
3.企业建立与实施内部控制应当遵循的原则 4.实施有效内部控制的关键要素 5.企业内部控制的框架
■ 企业内部控制管理系统的核心制度(相关案例分析、互动研讨)1.重大风险预警制度 2.内控报告制度 3.内控批准制度 4.内控责任制度 5.内控审计检查制度 6.内控考核评价制度
7.健全以总法律顾问制度为核心的企业法律顾问制度 8.内控岗位授权制度 9.重要岗位权力制衡制度
■ 企业内部控制的内容以及实务操作(相关案例分析、互动研讨)1.内部环境及其要素 2.风险评估及其步骤 3.控制活动及其措施 4.信息与沟通及其要求 5.内部监督及其程序
(二)全面风险管理篇
■ 企业风险管理,大风起于青萍之末(相关案例分析、互动研讨)1.我们生活的世界越来越不确定
2.企业各类风险事件展示——前车之鉴、后事之师 3.我国企业全面风险管理的背景 4.风险管理背后的推动力 5.企业风险管理势在必行 6.标杆企业的风险管理实践
■ 企业全面风险管理——构筑企业安全的防火墙 1.企业风险和风险管理的基本理念 2.风险偏好和风险容忍度 3.企业风险文化 4.风险预警 5.风险指标
6.固有风险和剩余风险 7.企业全面风险管理人员的结构 8.企业风险沟通
9.企业全面风险管理的流程 10.企业全面风险管理的目标
■ 企业全面风险管理的核心问题(相关案例分析、互动研讨)1.企业风险管理成熟的标志 2.企业风险管理要成为什么 3.企业风险管理的最终落脚点 4.企业风险管理的实质
5.企业风险管理始终关注的两个问题 6.企业风险管理是纲——全面的风险管理
■ 企业全面风险管理的实务操作(建立全面风险管理体系)(相关案例分析、互动研讨)1.收集企业风险管理的初始信息(不同的企业有相应的初始信息)(1)战略信息(2)财务信息(3)市场信息(4)运营信息(5)法律信息
2.设计企业全面风险管理的过程(1)收集风险管理初始信息(2)进行风险评估(3)制定风险管理策略(4)提出和实施风险管理解决方案(5)风险管理的监督与改进 3.企业风险评估
(1)风险识别(根据不同企业和行业识别不同的风险)——风险管理的方法(2)风险分析 ——风险管理的技术(3)风险评价 ——风险管理的工具
4.制定企业全面风险管理的策略(1)风险回避(2)风险减少(3)风险转移(4)风险接受(5)风险对冲
5.实施企业全面风险管理的方案(1)风险管理的内部控制方案(2)风险管理的全面方案 6.企业剩余风险的管理 ——剩余风险管理的最终目标 7.企业风险管理的监督与改进(1)持续监督(2)单独评价(3)报告缺陷(4)压力测试(5)返回测试(6)穿行测试(7)风险控制(8)自我评估
8.建立健全企业风险管理的组织体系(1)规范的法人治理结构和议事规则(2)组织机构设置与权责分配 9.完善企业全面风险管理的信息系统(1)内部信息和外部信息(2)信息的沟通与反馈
(3)风险管理信息系统的工作流程(4)风险管理信息系统的价值 10.培育企业全面风险管理文化(1)风险管理理念(2)风险控制行为(3)风险道德标准(4)风险管理环境
■ 如何编写企业全面风险管理报告(相关案例分析、互动研讨)1.第一思路:按照相关文件的框架 2.第二思路:
(1)企业对已经存在的风险早发现早治疗
(2)企业对可能发生的风险防患于未然
(3)制定企业风险管理的计划 3.第三思路:依据企业自身情况独创
========================
三、课程收益training income
======================== ◆ 了解企业内部控制的基本理念
◆ 掌握企业内部控制管理系统的核心制度 ◆ 学会具体的企业内部控制实务操作 ◆ 能具体实施企业内部控制 ◆ 了解企业当前风险管理的环境;
◆ 掌握企业全面风险管理的基本理念和核心问题; ◆ 熟悉企业全面风险管理的流程; ◆ 运用企业全面风险管理的方法、技术和工具; ◆ 理解企业风险评估的步骤;
◆ 制定并实施企业全面风险管理的策略和方案; ◆ 加强企业全面风险管理的监督与改进; ◆ 建立健全企业全面风险管理的组织体系; ◆ 完善企业全面风险管理的信息系统; ◆ 培育企业全面风险管理文化; ◆ 学会制作企业全面风险管理报告。
========================
四、讲师简介lecturer synopsis
======================= 主讲专家:殷俊先生 ■ 资历
☆ 中国管理科学研究院社会信用体系建设发展中心专家委员会副主任 ☆ 国资委职业经理研究中心特聘专家
☆ 企业危机管理与风险管理网络商学院执行院长
☆ “职业经理(企业风险管理)资质评价与能力测评项目”教材主编 ☆ 企业危机管理与风险管理培训网CEO www.xiexiebang.com ☆ 清华大学能源规划与管理训练中心特聘专家 ☆ 北大经济管理学院客座专家 ☆ 上海复旦、上海交大MBA培训班讲师 ☆ 浙江大学总裁班特聘教授
☆ 企业风险管理与危机管理培训论坛秘书长 ☆ 企业危机管理与风险管理培训咨询公司总裁 ☆ 资深危机管理专家
曾在多家公司任职理事长、首席顾问、总监,并入选首本《国际职业培训师大黄页》,有着多年的管理实践经验。长期的实践,铸就了自身在“企业危机管理(与金融危机相结合)、企业危机管理与风险管理(与金融危机相结合)、企业全面风险管理(与金融危机相结合)、公共危机管理、企业内部控制、突发事件的应急管理、冲突管理与有效沟通、冲突管理”等通用管理方面较强的培训功底,并形成了实战、互动、系统、有效的培训风格。能广泛地联系企业的实际情况,根据企业存在的问题,为企业提供有针对性的咨询式培训,从而解决相应的问题。培训的内容富有理性,而培训的方式却充满激情!
在培训过程中,擅于引用经典的思想、丰富的案例、真实的数据、典型的事件;运用互动研讨的方式,并穿插角色扮演活动,在案例分析、互动研讨的同时,让大家深刻感悟,形成共鸣,达成共识,同时创造性地提出相应观点,将培训的效果发挥到极致!■ 部分服务客户:
大连红沿河核电站、国家行政学院、中国管理科学学会、国资委研究中心、国资委职业经理研究中心、中国企业家协会、北京西城区国资委、上海长宁区国资委、上海市干部培训中心、昆山经贸委、常州工商联、浙江舟山贸促会、福建南平经贸委、宁夏中小企业研究中心、、甘肃百家大讲堂、中小企业竞争力工程、广东顺德勒流五金商会、宁波市成人集团学校、宁波市企业联合会、宁波市企业家协会、广东东莞市财政局、四川眉山市青神县组织部、南宁市地税局、浙江大学总裁班、北京大学经济学院、清华大学继续教育学院总裁班、上海交通大学总裁班和EMBA班、复旦大学网络教育学院、复旦大学总裁班和EMBA班、沈阳哈普瑞商学院、职业经理人资格认证上海培训中心、深圳国信证券、福建建行、上海奉贤农行、广州广晟资产经营公司、北京郊区电信实业、湖北联通、广西邮政局、北京三元集团、浙江严州府、辽宁合兴、中国药材集团、常州四药、法国赛诺菲-安万特制药、广东东通文具、浙江日月首饰、富士康电子工业发展昆山有限公司、北京松下、广东佛山平洲电子、广州联众、苏州信越聚合、温州正泰电器上海公司、温州创奇科技电子、上海锦虎电子、深圳大大电子、温州华龙汽车电子、奥克斯集团、河南新飞电器、北京康平空调新疆美克集团、四川列维士家具有限公司、广东永其祥织染、浙江红绿蓝纺织、浙江凯喜雅、温州娅米茄服饰、常州依丽雅斯、上海新长宁集团、杭州中豪控股、四川丰泰集团、四川大地房地产、深圳特发物业、深圳特发地产、厦门夏商集团、长春一汽、长安汽车集团、上海航天技术研究院、上海机场集团、东方航空、上海航空、南方航空、正大集团、华东计算技术研究所、上海建工集团、上海市安装工程有限公司、北京京港地铁、北京博维科技、香港富勤环保集团、天津光电、苏州三洋能源、华北电网、北京电力、保定电力局、河北电力、陕西电力、山西省电力、浙江余杭电力、浙江嘉兴电力、山东枣庄电力、北京密云供电局、四川广安爱众股份、神华浙江国华浙能发电有限公司、施耐德(陕西)宝光电气、浙江江山化工股份、浙江衢州巨化、西安北方庆华机电、宝钢集团、通化钢铁、中交第三航务工程局、中交一航局、中船重工第704研究所、厦门港务船务、海洲国际、沪东中华、中国石化国际事业有限公司、中国油田新疆石油管理局、中海油、华夏建龙矿业、山东新汶矿业、岛津国际贸易、中化国际等。
第五篇:国寿内控与风险管理
国寿内控与风险管理
一、国寿内控与风险管理组织架构
国寿在董事会下设了风险管理委员会,作为内控与风险管理的最高决策机构,在总裁室下设内控与风险管理委员会指导相关工作的开展,在总公司设立内控与风险管理部(合计18人,设内控管理处、风险管理处、关键岗位检查处、反洗钱处,合规管理的职能仍在法律部/合规部)负责具体工作,在总公司各部门设立内控与风险管理联系人和责任人。
国寿在各省级分公司均独立设臵内控与风险管理部,其中多者10余人,少者10人左右;在各地市级分公司均设臵1个专职人员,配臵在综合管理部;同时由各地市、县支公司一把手担任内控与风险管理的责任人。
二、国寿内控管理工作开展情况
(一)实施内控项目
2004年,为满足美国上市要求,国寿按照“萨班斯”法案要求,开展并完成了“404项目”(与我公司“内控项目”性质相同),并以当时参与项目的人员为班底,组建了国寿总、省两级的内控与风险管理部门。
国寿在完成“404项目后”,形成《内部控制手册》和《内控标准手册》,其中《内部控制手册》作为公司实施内部控制的基本法,《内控标准手册》作为内控自我评估工作的依据(与我公司《内部控制手册》与《内部控制评价手册》的作用相同)。
(二)建立内控手册更新机制
国寿完成“404项目”后,每年均对《内部控制手册》进行修订。在项目完成的最初两年,采取集中各部门的人员进行修订的方式进行(类似我公司的集中封闭梳理),最近两年,已改为以内控与风险管理部人员为主进行修订、各部门审核的方式进行。
工作方式之所以发生改变,国寿表示,在“404项目”启动之初,由于美国上市的压力,抽调各部门骨干完成相关工作的方式尚较为可行,各部门也能够给予配合,但随着时间的推移,各部门配合的积极性有所降低,原有工作机制不具有可持续性。
(三)开展内控自我评估工作
国寿自2004年起,用了三年的时间,完成了对公司范围内所有地市和县支公司的全面评估(评估的广度和深度高于我公司)。近年来,国寿已经形成了较为成熟的内控自我评估机制:
1.各岗位人员自评
国寿按照“控制执行岗位”(等同于我公司“控制责任人”的概念,即某一控制的具体执行人),将内部控制手册中的“控制措施”层层分解,最终落实到具体的执行岗位,由执行岗位人员比照“控制措施”和自己的实际操作,对控制的执行情况进行自我评估,然后逐级上报评估结果。
2.组织开展内控自我评估
在每年的4至5月,国寿总公司内控与风险管理部门完成对本内控评估测试方案、底稿的拟定工作,并组织省级分公司开展试点测试(等同于我公司内控项目试点测试阶段),然后在对方案和底稿进行修订后,在7至8月进行推广评估(2010年,国寿完成了对140余家地市级分公司的评估),在9至10月份,由被测试单位针对发现的内控缺陷进行整改,在11月份,由总公司组织开展对整改效果的再评估工作,在下一的1月份,对上12月份内控的变化情况进行覆盖测试,最终达到“自我评估覆盖全年”的要求。
(四)组织开展内控缺陷整改 1.缺陷分级
国寿在对内控缺陷的严重程度进行分级认定时,区分为财务报告相关内控缺陷和非财务报告相关内控缺陷,由总公司进行缺陷认定:财务报告相关内控缺陷按照“萨班斯”法案的要求,根据对财务报表影响程度进行划分,以定量分级为主;非财务报告内控缺陷按照缺陷发生频率、引起损失金额(参考违法违规和监管处罚确定)、缺陷的覆盖面(缺陷存在的范围)、缺陷可能导致违规行为的严重程度等因素来进行判定,以定性分级为主。
2.缺陷整改 国寿在启动“404项目”的初期,对于发现的大量内控缺陷,先是由内控与风险管理部以专题报告的方式上报总裁室,由总裁室将整改工作分解到各部门进行整改,再定期跟踪报告缺陷的整改情况,直至缺陷整改到位。此项工作持续开展多年后,已经得到平级部门的理解和支持,缺陷整改工作重点也从项目开展之初的全面整改方式转向重点整改的方式,每年集中力量对几个重要缺陷进行整改,力争体现整改成效。
国寿表示,在项目开展的初期,由于牵涉各方利益,缺陷整改工作的推动阻力相当之大,所幸由于美国上市的要求,公司领导给予了极大的支持,此项工作才得以完成,内控项目的工作成效得以逐步显现。约有20%左右的内控缺陷通过加强信息系统刚性管控的方式得以有效改进。
三、国寿风险管理工作开展情况
(一)风险管理处的主要职责
国寿风险管理处的主要职责包括投资风险的评估与分析,风险预警体系的构建,此外,风险管理处还负有风险管理系统开发、风险管理相关制度的制订等职责,而对于保险风险、再保风险、风险容忍度等工作则分别由各专业部门进行推动。
(二)当前风险管理的主要工作
一是开展风险预警指标体系监测工作,监测每季度进行一次,实施已有一年,共涵盖业务质量和财务质量的40多项指标,其中定量指标占多数;二是着手制订《风险管理办法》;三是启动风险管理系统开发工作(目前正处于规划阶段);四是由精算部开展风险容忍度的制定工作。
四、国寿反洗钱工作开展情况
国寿在2007年开始开展反洗钱工作,由于寿险公司反洗钱风险相对财险公司来说更高,国寿在相应层级成立了反洗钱领导小组,在总公司单设了反洗钱处,并配臵了三名专职人员,在各省级分公司配备了反洗钱专岗人员,从以下四方面开展系统反洗钱工作:
一是开发客户身份识别系统,由展业人员将客户身份资料录入该系统,对于缺失的客户身份资料事后补齐(寿险与客户联系比较密切,事后补齐的工作没有太大困难)。
二是积极向监管部门反映,要求监管部门出台行业客户风险等级指引。
三是按照客户的特点或者账户的属性,综合考虑地域、行业、客户是否为外国政要等因素,结合反洗钱“黑名单”,依托客户风险等级系统及客户身份识别系统,实现客户风险等级全自动划分,并区分风险等级采取不同的审核标准。
四是在信息系统自动排查的基础上,对可疑交易进行人工识别,确定审核流程,制订问责制度,同时将大额及可疑交易系统与客户身份识别系统相对接,确保各种可疑交易数据及时反映。
点击咨询 