IM电竞 IM电竞appIM电竞 IM电竞app基于管理的系统思想,我想,其构建与运行也应当不是单独而存在,它的运行势必会与其他管理内容相互融合、相互促进。本文站在风险管理与内控控制规范体系构建及运行的角度,尝试着构建一个内控的全框架,试着告诉自己内控以后究竟是个什么样。
内在机理:将内控与风险管理提升到战略高度,将其上升为战略实现的风险识别、分析、评价、应对及预警、监控的常态机制。
COSO-ERM的内在要求。战略为风险管理及内部控制提供目标、指引方向。作为一项不断优化、持续改进的工作,建立战略规划有助于树立风控建设的发展观、有助于提升风险管理及内部控制的重视程度、有助于保障风险管理及内部控制机制的执行。
基于中长期战略规划,建立与战略规划匹配的风险管理职能子战略,对公司战略实施过程中预估的重大风险进行分析预测,制定并执行主要应对策略及方案、并在滚动期间更新;2、
结合战略及年度计划,开展公司风险识别、分析、评估,确定公司重大风险相关的重大领域(产业板块、业务领域、业务单元、管理领域、流程…);3、
在集团范围内选取风险焦点(产业板块、业务领域、业务单元、管理领域、流程…)做专项风险识别、分析、评估,并制定工作计划;4、
结合子战略、年度计划、年度公司层面风险评估制定年度工作计划(包括重大风险应对策略及解决方案及具体工作计划、内部控制监督检查计划);
内在机理:对于比较陌生或抵触或不支持的风险管理而言,激励及约束机制的必要的。这是基于
、包含内部控制与风险管理有效性的绩效考核体系及薪酬体系;可采取在考核体系中预留内控与风险管理有效性的分值及比例,可按照设计及执行有效性两个维度,分别设计考核指标。落实到子公司、到中高级管理人员、到每一位员工。
内在机理:风险管理三道防线:业务单位及职能部门;风险管理、内部控制、合规等职能部门、风险管理委员会等;审计监察、纪委等职能部门、审计委员会、董事会等。第一道防线外的第二及第三道防线为公司风险管理的监督部门。
基于风险导向,对全公司的全管理领域、全业务、全过程实施全面监督。全面覆盖
覆盖全管理领域、全业务、全过程的全面风险管理(含组织及责权、含流程、含制度、信息系统、含风险点、含控制点、含知识…..)体系运行的监督检查稽核机制(含优化);4、
内在机理:风险无时无处不在,风险有大有小、有可容忍的有难以承受的,风险导向的内部控制或者经营管理尤其独特的可为之处。实施全面覆盖
内在机理:流程作为经济业务及管理活动的直接反映,其具有连续性、真实性的特征。基于流程进行风险管理及内部控制现状的梳理,是非常好的入手路径。
当然现状梳理,还需要加上隐藏在制度、组织架构及责权、表单、信息系统等方面的控制设计,才能反映公司风险管控全貌。但无论如何,基于流程进行内控梳理,是个非常好的,易于操作和接受的路径。
同理,风险与内控的有效落地,也很大程度上依赖于流程的设计与执行。风险点在流程里、控制点也在流程里。魔鬼在细节里,细节决定成败。
自查自纠:执行层季度开展执行有效性测试,自查制度、流程、外部规范等执行情况,并组织改进;执行层季度自省流程、制度、控制、组织、信息系统等设计有效性缺陷;
独立评价:公司至少统一组织年度评价,全面评价公司风险管理及内部控制有效性;运作良好的公司至少每半年独立开展一次评价。
内在机理:重视程度及企业文化决定了大环境,具备胜任力的人才以及执行者的权责安排决定了风控是否能迈开步子一步一步走起来。
管理层:风险管理与内部控制领导小组或总经理办公会;专项风险管理小组;风险管理部门、审计部门;(3)
领导小组为公司高管及相关中层,领导小组总负责人应当为董事长或CEO,执行负责人以精通公司管理及业务运营者为佳,可以为执行董事、CEO、COO、CFO等;专项风险管理小组由公司专项风险管理负责人担当,成员至少相关职能部门或单位负责人;
执行层部门领导主责、配备专人或兼任,业务单位要求领导挂帅、专人专岗或专门部门;组织及相应的人才应当保持一定的稳定性,管理部门的专职人员应当具备相应的胜任能力等职业道德特征。
治理层:监督权及决策权;总体负责、提要求、批准规划计划、定期审视风险管理及内部控制现状;(2)
管理层:组织实施、牵头研究、日常负责,拥有全公司风险干预权、风险管理相关体系的管理权、风险考核权;(4)
执行层:配合、执行、对本部门本单位风险管理有效性负责、牵头研究、建议权;4、
公司拥有一套科学合理的组织、权责体系、人才梯队,用于保障在经营管理的具体业务或事项中保持风险管理及内部控制的胜任力。
全面风险管理与内部控制运行机制本身的制度保障:包括全面风险管理与内部控制的目标、组织架构及责权、规划计划、构建、运行维护、监督检查、评价、审计、绩效考核、优化等各环节的内容及机制的规范;2、
风控长效机制的根本保障。风控是否能在企业落地生根,最终是否能变成公司及其员工的一举手一抬头一蹙眉,皆在于文化。
、风险管理文化:科学看待风险,以风险为导向、基于风险评估制定决策,人人考虑风险、人人应对风险,将风险探讨及应对融入日常工作,不仅防范控制纯粹风险,更利用机会风险获得成功2
让风险管理及内部控制融入业务、嵌入管理、变成企业及员工的日常行为,it无疑是最好的工具利器。
建立融合公司管治、风险管理、内部控制、合规机制的GRC信息系统,实现风险管理等工作本身的信息化,固化落地全面风险管理机制;
基于信息化整体架构、信息化基础设施及基础平台,构建以BPMS、ERP、GRC等为核心的,覆盖企业业务、管理活动的管理信息系统(MIS),对组织风险管理及内部控制状况进行动态监控
内在机理:风险无时无处不在。风险的识别、分析及应对需要每一业务板块、每一管理领域、每一操作过程的知识作为支持。风险及其应对的进化,亦需要知识的不断创造、分享、推广、应用、沉淀、更新。
全面风险管理、内部控制本身的理念、方法、工具、模板、制度、流程、经验、技能的不断总结沉淀;具体构建可能以流程、或以岗位、或以某项专门风险为基础构建风险管理知识地图、知识历程图,构建风险管理及内部控制知识的需求识别、创造或引进、分享或推广、使用、积累沉淀、更新等一系列机制等;
