风险管理与内部审计

风险管理与内部审计

• 企业如何构筑可持续的竞争力

• 第二节：识别企业经营风险 企业面临的重要风险领域

• 介绍6种管理风险的技巧

• 企业内部控制的5步流程和16个步骤

• 企业内部控制机制的实战应用

• 介绍内部审计常用的方法和技巧

• 第七节：利用审计结果，追求不断的改进 审计结果的分析和应用

• 案例：ABC公司审计服务招标

第一节： 企业目标与经营风险 • 企业目标的实现过程

• 经营环境的变化（市场/政策/竞争/技术） • 企业的持续竞争力是如何构筑的 案例1：巴林银行的倒闭 巴林银行倒闭的原因

 银行的人员；账目；资金管理没有监督约束机制  银行对有利益冲突的角色没有实行权责分离 （交易和清算）

 对营运中暴露出的错误，没有及时纠正  没有―内部控制‖系统预报风险 案例2：安然公司的崩溃

 美国第七大公司  市值500亿美元

 世界公认最具创新能力的公司  不到一年时间，股票下跌95%

 2001年12月宣布破产，美国历史上最大的破产案 安然为何突然破产

• ―鼓励大家藐视各种规章制度‖

• ―揭开皇帝的新衣‖——谁也无法解释收入从何而来

•

―一只手作账，另一只手证明这只手作的账‖ ―利益冲突‖把安然送进坟墓

摘自美《幸福》杂志2002/39期

“郑百文”内控失败的警示

1996年上市： 销售收入10年增长45倍 利润成长36倍

居全国商业批发业前茅 1999年破产: 亏损9.8亿元,创沪市亏损之最

郑百文的警示

1. 赊销失控，坏账高筑，断送―郑百文‖

2. 盲目扩张，资产负债率失控，没有风险意识 3. 对销售人员只有―激励‖没有―约束‖管理 4. 信息失真，为上市做假账，虚报利润 故事带来的思考……

1. 企业的目标的实现是一个过程 2. 机会与风险并存

3. 激励与约束的机制一个都不能少

输入

输出

人/资金/技术

定单/产品/服务

成功企业如何构筑可持续竞争力 • 优质的产品与服务 • 强大的销售网 • 诚信的品牌 • 卓越的领导 • 充足的资金 • 领先的技术市场 • 垄断的市场……

企业竞争力=企业效益+管理流程-经营风险

联想 收入 营销 货币资金 海尔 盈利 财务 资源使用 新东方 成绩 学习方法 考试机制

传统：财务报表审计

现代：管理风险审计

符合测试 数据准确 财务报表

财务报表 物流；人员； 内部控制/管理效益

业务结果 管理效益 客户体验

做正确的事；把正确的事做好。

Do the right thing; Do the right things right

联想集团的风险控制系统

1、销售与收款循环 2、存活与生产循环 3、融资与投资循环

公司目标业务系统

4、人事与工资循环 5、信息系统安全循环 6、采购与付款循环

产品系统 服务系统 六 大 循 环 控 制 系 统

第一节：回顾

企业在实现目标的道路上， 机遇与风险并存。

始终能保持竞争力的企业， 是那些

拥有良好的内部控制机制与商业风险防范的企业

第二节：识别重要风险领域 内容简介：

1. 企业内部控制主要领域 2. 财政部要求内部控制内容 3. 惠普公司内部控制内容 4. 企业失败的六种常见风险

内部控制的重要风险领域

IT信息系统

货币资金流 -资金安全 -收入确认 -费用核销 销售与收款流 -合同确认 -商务条款 -应收帐款

库存与资产流 -资产安全 -存货管理 -物流追踪 采购与付款流 -采购合同 -供应商管理 -产品性价比

人力资源（岗位职责/绩效标准/薪酬机制）

例1：财政部关于企业内控的重点

1. 货币资金控制 2. 实物资金控制 3. 对外投资控制

4. 工程项目投资决策控制 5. 采购与付款业务控制 6. 筹资控制

7. 销售与收款控制 8. 成本费用控制 9. 担保控制

例2:HP内部控制的主要内容

1. 财务报表 2. 定单合同 3. 经销商管理 4. 应收账款 5. 收入确认 6. 费用核销 7. 库存与物流

8. 企业道德行为准则（SBC) 9. 信息系统安全 企业失败的六种常见风险

• 效果性风险=〉目标偏离或错误（法国审计）

• 效率性风险=〉资源浪费或无效使用（软件升级资料） • 资产性风险=〉资产流失、损坏等（备件管理） • 信息性风险=〉信息失真、不足或泄密（信用调查） • 遵循性风险=〉法规、计划、贯彻失败（不清洁订单）

• 无标准风险=〉缺乏标准和规范（集成中心） 第二节：回顾

了解，识别，确定企业的重要风险领域是建立企业内部控制系统的基础 第三节：管理风险的技巧 内容简介：

1. 介绍6种管理风险的技巧 2. 选择风险管理方法的参考标准 风险管理的技巧

• 避免 Avoid

• 控制 Control

• 转移 Transfer • 分散 Diversity

• 共享 Share

• 接受 Accept

方法一：避免风险 Avoid 特点：

常规作业 可以控制 发生概率高 风险危害大

方法：

通过政策规定，规范业务行为 通过定期检查，避免重大风险 实例：

财务报销基本流程和规定 采购批准的审核权限 销售订单的审核标准

方法二：分散风险 Diversity 特点： 风险危害大 发生可能大 控制成本高 方法有限 方法：

分散防范措施 降低风险 实例：

企业多元化投资 经销商三选一 关键信息的备份

方法三：控制风险 Control 特点：

涉及资产金额巨大 与经营目标关系密切 可以控制

方法：

建立内控系统 外部/内部审计 建立作业流程

实例：

全面预算管理

大额采购的招标制度 固定资产的定期盘点 关键绩效定期报告

方法四：转移风险 Transfer 特点： 风险大

单方不可控制 损失成本过高 风险后果影响大

方法：

转移自身风险到第三方 减轻风险损失 实例

买各类保险 防范天灾人祸

方法五：分担风险 Share

特点：

风险大

参与方交易规则明确 不可控制因素多

风险后果危害大，成本高

方法：

分工负责，规定义务 双/多方共同分担风险

实例：

总包与分包合 信用证结算 贷款的担保制度

方法六：接受风险 Accept 特点：

清楚风险来源 发生可能性低 有预防措施

方法： 防范 接受风险

实例：

坐车；过马路 公司访客 开拓新市场

选择风险管理方法的标准

1. 风险范围，金额大小 2. 严重程度，影响大小 3. 发生的可能性的高低 4. 紧迫程度高低 5. 可控/不可控 6. 控制成本高低 7. 可操作性 8. 公司主营业务

针对ABC公司目前存在的问题， 有哪些适宜的风险管理方法？

第三节：回顾

针对具体的环境，

选择不同的方法管理经营风险

多，快，好，省地实现企业的管理目标

第四节：建立企业内部控制系统

内容简介：

1.建立企业内部控制的5步流程

• 确认目标与流程

• 设计内部控制的绩效标准 • 选择控制绩效评估的方法

• 判断实际结果与绩效标准是否一致 • 调整与改进

2.具体实施的16个步骤

案例：建立HP应收帐款控制系统

企业为什么需要管理控制

1. 确保企业计划目标与实际活动一致 2. 有效地利用组织的资源

3. 帮助管理者监督，约束管理活动的效果 4. 适应瞬息万变的环境，及时反映调整

5. 创造更好的质量；更快的循环；更高的绩效 设计内部控制的关键要素 关键绩效区

（KPA:Key Performance Areas） 战略控制点

（SCP:Strategic Control Point） 选择测评绩效的方法 （Methodology） 关键绩效区

• 关键绩效区是什么？

Key Performance Areas （ KPA）

• 要实现流程的基本目标，必须做好的领域。 如果KPA出现失误，则此流程的目标就不可能实现

• 流程的复杂程度不同，可能会出现若干个 KPA

• KPA可能是部门，可能是管理职能，也可能是其他 战略控制点

在每一个关键绩效区域中，都有管理的目标。

用以衡量这个目标是否能实现地量化指标，叫做绩效控制点： Key Performance Index （ KPI）

那些为数不多的关键绩效控制点就是战略控制点 Strategic Control Point （SCP）

战略控制点需要有相应的数据/记录或报告

建立企业内部控制的5步流程

1.明确企业目标与内控目标 企业目标与内控目标一致 内控目标从属于企业目标

例：M1确认目标

企业目标：2002

年净盈利达到6%

√内控目标：应收账款>90天 账期比率低于10% ×内控目标：建立应收帐款管理标准程序

2.确定与目标相关的业务流程

应收帐款

合同 付款方式 金额

交运 发货 收货

发票 收据 账期

3.描述业务流程详细步骤

1) 发货后出具销售发票 2) 寄出发票给客户 3) 财务记录应收账款 4) 信贷部催收AR

5) 信贷部AR账龄报告

6) 用户汇款，财务冲帐……

输入 输出

4.找出核心流程/负责人

流程步骤 核心流程 部门/负责 1. 发货后出具销售发票 Y 商务/张梅 2. 寄出发票给客户 N

3. 财务记录应收帐款 Y 财务/陈利 4. 信贷部催收AR Y 信贷/孟勇 5. 信贷部AR帐龄报告 Y 信贷/王林 6. AR原因分析 N

7. 用户汇款，财务冲帐 Y 财务/康平 8. 坏帐准备 N M2

设计内控

5.识别关键绩效区

例：各职能部门的关键绩效区

生产 销售 服务 财务

数量 销售额 维修质量 资金 质量 销售费用 维修速度 库存 生产率 广告支出 客户满意 利润 成本 个人业绩 服务方式 资产

6.选择战略控制点 原则

1. 抓住运营过程中 2. 识别运营过程中的地方 3. 监测

例：发货后出具销售发票的控制点

 核对：发票与定单内容

 检查：出发票时间/内容/准确 例：选择战略控制点 内控目标：应收账款账期

关键绩效区之一：销售发票管理

管理目标：销售发票及时送出，内容准确

绩效控制点： 数据纪录 1）发票与定单核对误差率小于3% 误差率纪录 2）开票3天内寄出发票 开出/寄出日 3）发票预编号 发票存档 4）当月发票汇总 财务报告 那个是战略控制点？

7.设计战略测评标准 1.相对指标

适用：比较，趋势，追踪 -每月AR超过90天%

适用：衡量总量 -贷款平均回收天数

适用：不易用数字衡量的项目 -审计不合格项 -客户满意度

4.考虑内部资源与外部环境 -可操作性

-同行业标准

设计内部控制的步骤小结

1) 2) 确认这一流程的管理目标

3) 4)

5) 6) /记录/报告 M3

选择方法

8.建立制度，规范行为 第一层：Policy&Procedure 企业/组织/公司的规章制度 道德行为准则 ISO流程

差旅报销规定

第二层：Working&Instruction 具体部门/工作的操作流程 订单审核要求 供应商选择程序 库房管理流程 维修工作单纪录

9.核心业务的定期报告

 主要财务指标 （预算收入/销售月报）  效益报告 （单位成本/人均收入）  重大项目追踪报告 （项目追踪/重要工作客户）  重要决策变动报告 （付款方式：信用额度）  关键信息定期报告 （AR账龄月报）

 市场动态 （市场价格走势） AR账龄月报；AR超过90天%

10.部门关键绩效报告 例：信贷收款部：

大于90天AR% 20% 18% 22% 19% 大于180天AR% 10% 6% 12% 9% 平均回款天数 100天 83 96 79

坏帐金额 10K / / /

11.规范管理授权职责

通过《授权表》规定每项业务，须经由哪个部门， 那一级经理的批准，来规范/简化管理授权。

适用：适合于反复，常规，普遍的业务行为

例如： 费用报销 采购申请 差旅批准 合同签订

例：批准权限表 Approval Matrix

M4

检验结果

12.抽样核实与偏差分析 针对关键绩效区的控制点

 财务帐目与实物账目（库存管理）  财务报表的出入项目（总账—分账）  外部记录与内部纪录（内部—对外报告）  系统数据与文档目录（系统报告/文档记录）  财务中易出错的项目（费用预提；收入递延）

 不规范操作 （非标准合同；授权外批准） 13.符合性测试

方法：对照制度/规定/标准流程 自我检查事后测试

1. ISO质量体系的维护

1. HP的―商业道德行为准则‖

1. IT部门对系统安全的强制测试

惠普公司的SBC

• 公司最高领导层将SBC提升到前所未有的高度

―惠普的领导地位不仅仅由收入和市场份额、利润或能力来决定的，它还取决于我们的品格‖。 ―惠普业务经营准则体现了我们对惠普的道德和法律义务的基本原则。这些原则适用于我们在全球范围内的所有职员和董事会成员。任何不道德或非法业务经营行为都是不可接受和不能容忍的‖。―在由最新技术所定义和塑造的世界中，我们必须保持这些永恒的价值观‖

摘自SBC《首席执行官的致辞》

M4

实施/检查 14.实质性测试

方法：外部，内部审计，可行性评估

1.海关；税务部门检查

2.HP亚太总部每年对各个国家审计

3.HP授权代理商绩效结果，检查与实际付费挂钩 15.内部审计

方法：利用内部人员，围绕组织目标，绩效标准 核查实际管理结果与标准是否一致

1. 发现企业内部管理问题 2. 检查管理活动效益

3. 提出建议，预警管理风险 4. 采取纠正措施 M5

调整改进

16.调查改进

 针对发现问题，及时采取纠正措施  修改/重建业务流程

 调整关键绩效标准或控制点  提出管理建议，调整战略  接受差异，不做处理

建立企业内部控制系统的16个步骤

第四节：回顾

掌握建立企业内部控制的 5个基本流程 16个具体步骤

帮助您在企业营运管理中

防范风险隐患，提高竞争能力

第五节：企业内部控制机制的应用

运用《建立内部控制系统》的流程和步骤，在核心领 域建立全方位的内控机制，为企业创造永续的竞争力。

1. 销售与收款的内控与审计 2. 采购与付款的内控与审计 3. 客户服务管理的内控与审计 4. 库存与物流的内控与审计 5. 项目管理的内控与审计 6. 电子信息系统的内控与审计 中国惠普公司经历过的挑战

 改革惠普员工薪资福利制度 ----人力资源

 各类政府稽查的挑战 ----环境风险  建立电话响应中心 ----服务模式  保税库的管理模式 ----内部营运

内部审计在惠普服务的应用 1.培养自己的内审员

-量身定做的内审人力资源 2.发挥专家特长

-天网恢恢，疏而不漏

3.按需组合审计资源

-按审计范围，搭配最佳审计资源 4.拓宽工作，岗位置换

-培养优秀员工和经理的有效途径 5.定期体检，预警风险

-为企业管理预警风险，培养―保健医生‖ 第六节：介绍内部审计的技巧 内容简介:

• 内部审计的国际国际标准与目标 • 内部审计的组织设置 • 挑选与确定审计重点 • 掌握审计抽样原则 • 选择有效的审计的方法 • 学会编制内部审计详细提纲 • 分析与判断审计发现问题 • 发现风险隐患，提出管理建议 • 撰写审计报告 独立审计与内部审计比较

内部审计的国际标准

1992年美国COSO发布企业内部控制准则

国际认可的内部审计整体框架（认证CIA 标准）

1. 环境控制 2. 风险评估 3. 控制活动 4. 信息和沟通

5. 自我评估和内部监督 企业内部审计目标

1. 保护企业资产安全 2. 保证财务数据准确可靠 3. 保障管理目标实现

4. 保证业务活动与公司规定一致 5. 发现潜在问题，预警风险 6. 促进企业提高管理效益 确定审计重点范围

 是否核心部门业务流程  占业务总量的%  占主要财务指标的%  距上次审计时间  是否新开拓业务  是否管理层要求  财务报告中是否异常 风险评估表

风险（H/M/L)=发生概率*影响程度*权值 （练习5-1） 内部审计的常用方法

1. 企业/部门自查 Self assessment 2. 在线提问审查 On-line test 3. 业务审计 Business audit 4. 穿行式审计 End-to-end audit 5. 专项审计 Special topic audit 6. ISO审计 ISO audit 编制审计详细提纲

按业务流程编制---抓住控制点

按业务部门职责编制---找出测评指标

按专题编制---确定最低风险水平 例：编制维修代理审计提纲

1. 检查表 —— 查找问题类别，分布，特点 2. 鱼骨图 —— 分析造成问题的因素 3. 帕拉图 —— 针对核心问题分析 4. 敏感性分析 —— 分析影响程度大小 5. KT分析法 —— 判断问题的根源 检查表(CHECK SHEET)

以简单的数据，用容易了解的方式，做出图形或 表格，只要记上检查记号，并加以统计整理，作 出为进一步分析或核对检查用。

因果图（鱼骨图 )CAUSE EFFECT DIAGRAM

一个问题受到一些因素的影响时，我们将这些因 素加以整理，成为相互有关系且有条理的图形， 这个图形称为因果图，由于形状就像鱼的骨头， 所以又叫做鱼骨图 分析问题根源和影响

METHOD 方法

MACHINE 工具

柏拉图（PAPETO DIAGRAM）

根据所收集的数据，找出比率最大的项目，并且 依照项目的大小顺利排序，再加上累计值的图形。

CAUSE CATEGORIES

KT分析法

 根据所收集的信息与数据，采取―排除‖法锁定导致事件发生的可能范围；  根据圈定的―可能范围‖，找出―变化‖要素；  聚焦―变化‖要素，找出问题根源；  验证数据

例：发现问题，预警风险（1）

IMPORTANCE

问题发现

维修单先斩后奏 事后报批 影响评估 1.费用结构 2.客户满意度

3.是核心业务的标准流程

根源分析

应客户要求，假设没问题

经理当时不在 审计结论/建议 1.针对不同种类维修情况， 将流程标准细化 2.内审不合格项

例：发现问题，预警风险（2）

问题发现

代理商备件返还绩效 有名无实

影响评估

•维修零备件库存周转

•代理商绩效考核质控制虚设量

根源分析

有流程规定， 无绩效考核手段

审计结论/建议  内部审计不合格项

 修改代理商备件追踪系统  将备件返还绩效与付费挂钩

例：发现问题，预警风险（3）

问题发现

管理文件的保密

影响评估 1.商业机密外流 2.不利市场竞争 3.影响公司声誉

根源分析

内部使用文件， 忽略保密标注

审计结论/建议 1.内部审计不合格项 2.标准化文件保密类别 3.加强培训

利用审计结果，提高管理效益 People:1.Train up 30 self-auditors

人才 2.Widen & Sharpen their job content knowledge 3.Improve cross dept understanding

第七节：回顾

利用内部审计暴露潜在问题 利用内部审计提高营运效益 利用内部审计预警管理风险 利用内部审计培养管理人才

内部审计

=为企业做健康体检 帮助企业构筑可持续竞争力

第八节：模拟审计实战，预警管理风险 案例：ABC公司审计服务招标

1. 阅读案例

2. 公司管理团队介绍 3. 明确审计服务招标要求 4. 各个团队准备方案 5. 各团队介绍方案 6. 公司管理团队评标 7. 开标-公布结果 8. 发奖

我回去可以做什么？

 成功的企业中―激励‖与―约束‖机制一个也不能少

完善企业内控制度的建设，如：业务流程/监控制度/控制点

 复习并运用内部控制机制的5步流程和16个步骤 试做一个具体业务流程联系

 1. 针对自己主管的业务和公司目标，试描述具体的业务流程，试找出核心绩效区和战

略控制点

2. 对照现有的管理制度，业务数据，绩效标准，检查它们是不是反映关键绩效区的控

制点？是否可以改进？

3. 试一试找出本企业或本部门的某个薄弱环节，看看能否运用内部审计的方法找出问

题的根源，提出管理建议？

内部审计的广泛应用

 HPS的内部审计  德国大众  联想集团  中国证监会  干部离任

用审计的技巧 —— 分析管理效益 从经营的角度 —— 预警管理风险