1、基于風險的業(yè)務流程審計定位和角色管理層：寶鋼股份：繆建亞 1. 目前有各種類型的審核，審計和評估，如何在公司中，能很好的協(xié)調(diào)好相互關系，目前公司對于其管理的不同領域，如何管理？2. 體系，風險，內(nèi)控來自不同的領域和要求，評估報告可行度？3. 各種審核，審計，對于問題的提出過于表層，作為管理者，既希望了解企業(yè)實情，又怕對最深入的問題，實際性的公開。4. 各個部門站在自己本位考慮問題，審計部門作為新型部門，不敢得罪業(yè)務元老，審計報告是否可信？5. 公司的業(yè)務流程，是否能有效運轉(zhuǎn)？完成公司年度計劃和戰(zhàn)略規(guī)劃？6. 公司業(yè)務流程管理的主要問題在哪里？7. 影響公司業(yè)

2、務目標實現(xiàn)的主要風險在哪里？如何急躁發(fā)現(xiàn)這些風險，如何能夠管理這些風險？8. 業(yè)務部門說預算遠遠不夠，但是審計部門說，業(yè)務太浪費了，打起來了，沃恩管理層蓋如何抉擇？審計報告可行嗎？l 困惑的老大l 當關系VS規(guī)則l 當資源VS能力l 企業(yè)成熟度模型？l 審計報告成熟度模型：審計報告的藝術？l 企業(yè)經(jīng)營的進銷存：n 進：供應商n 存：存量n 銷售：客戶n 上述進銷存的整合定位：被審核方：寶鋼：胡靜1. 審核組的專業(yè)性2. 審核方式，集中？滾動？3. 審核名目繁多，缺少整合？4. 免檢可能性？5. 內(nèi)審過程不規(guī)范？6. 審核報告，形式不深入？角色？內(nèi)審員？7. 不能真正發(fā)現(xiàn)問題，信息安全，內(nèi)控風險

3、？8. 改進建議缺乏？l 期望：l 免檢機制l 盡量整合l 主題明確l 免檢：還是體現(xiàn)在對于風險的認可程度，對于成熟度的認可程度，對于企業(yè)內(nèi)部的各個流程成熟度的認可？定位：客戶：1. 售后服務系統(tǒng)是否完善2. 訂單交付流程是否完善？3. 質(zhì)量保障體系是否能滿足客戶要求？4. 客戶的一些特殊要求在公司內(nèi)審內(nèi)有得到關注5. 合同交付組織流程？6. 客戶投訴后內(nèi)部反應機制？7. 內(nèi)部審計活動是否存在缺失？8. 內(nèi)審發(fā)現(xiàn)問題的整改是否能夠做到舉一反三？定位：內(nèi)部審計人員制度對應責任資金流和工作流：制度建立在流程上，制度作為一種要求，大于流程；制度：What？流程：How？內(nèi)審：l 三個要素l 威懾力度

4、l 問題的診斷者l 問題的解決者，或者是問題的解決者之一1. 流程審計對于內(nèi)控職責的配合與職責劃分2. 對業(yè)務的了解，熟悉度不夠3. 流程的可執(zhí)行程度不高4. 流程的KPI 績效考核不清楚，不明確5. 流程優(yōu)化的思路和建議6. 內(nèi)審結果的被認可程度？7. 流程中的風險識別，關鍵控制點的把握？8. 被審計方的抵觸情緒，不能正確認識，甚至可能不配合作為基于業(yè)務的風險審計工作的開展：1. 老板：企業(yè)的能力： ownership 2. 部門：KPI和短期的問題：真正短視的人，都在部門內(nèi)部。3. 審計人員的營銷能力，審計人員的個人成熟程度a) 歸類：合規(guī)的，不合規(guī)的b) 分級的：i. 成熟度分級ii.

5、成熟度，五級從控制角度來講：三道防線：1. 業(yè)務部門：希望控制風險a) 效率b) 更加高效的做事c) 所以關注流程d) 事情做對2. 財務控制風險：財務做的，財務舞弊；只看到結果，財務可以作假a) 財務控制衍生出：風險控制部：Chief Risk Officer CROb) 制度和要求，規(guī)范等等，相當多的要求和規(guī)范c) 制度：符合規(guī)范3. 威懾力：審計a) 威懾力b) 檢查c) 指導者4. 上述三個方面的，共同點在什么，在哪里？做風險控制的方法就是：l 最根本的方法就是：崗位分離 SODl 真的崗位分離了，就發(fā)現(xiàn)：效率低下？：事后查一下：審計出現(xiàn)了l 其他：控制方式 控制：l 管理：PDCA，

6、但是缺乏的是：缺點是：考核機制的導向問題l 治理：發(fā)現(xiàn)控制的不全治理：1. 決策：誰，用什么方式?jīng)Q策？2. 激勵：激勵導向，和績效相掛鉤；績效考評；機制；六西格瑪；a) 審計者：有個權利，權力；曝光的權力，起到避害的作用3. 管控：a) 資源是有限的，b) 目標挑戰(zhàn)的c) 要求有限的；其他因素是不確定的d) 考慮風險的一個度，度量，量化風險業(yè)務增長：企業(yè)增長的環(huán)境：有價值的增長？l 微利增長？超越行業(yè)的增長？可持續(xù)的增長？從外部看：企業(yè)發(fā)展的環(huán)境：l 經(jīng)營環(huán)境l 行業(yè)所處的環(huán)境l 組織環(huán)境從內(nèi)部看：l 管理l 成熟度l 風險的概念，企業(yè)風險認知程度不確定性和負責經(jīng)營環(huán)境下的風險策略l 審計為核

7、心前提下的：l 增長機會l 經(jīng)營環(huán)境l 風險策略ln 保守還是進攻？n 宏觀環(huán)境分析：u PESTLEu P：政治的u E：經(jīng)濟的u S：社會的：微博的力量u T：技術u L：法律的u E：環(huán)境行業(yè)分析：五力模型分析，用于分析宏觀環(huán)境l 替代威脅l 買方議價能力l 新進入者的威脅l 供應商的議價能力l 核心是：行業(yè)內(nèi)部現(xiàn)有競爭對手能力型的企業(yè)：看重的是客戶資源型的企業(yè)：看重的是：不出事故，不出事；企業(yè)資產(chǎn)：l 企業(yè)資產(chǎn)保值l 企業(yè)資產(chǎn)增值企業(yè)資產(chǎn)分類舉例：1、 人員2、 財產(chǎn)3、 物力4、 人員衍生出來的關系資產(chǎn)5、 財產(chǎn)衍生出來的，品牌資產(chǎn)6、 物產(chǎn)衍生出來的信息資產(chǎn)，IT信息資產(chǎn)資產(chǎn)：資源

8、型企業(yè)：穩(wěn)健能力型企業(yè)：資產(chǎn)增值：對人員要求很高；企業(yè)組織的文化：體現(xiàn)在：1、 人員關系處理？2、 約定成俗的規(guī)定；3、 文檔：4、 文檔的整合a) 企業(yè)內(nèi)部環(huán)境：i. 方針目標ii. 人員能力iii. 信息系統(tǒng)iv. 價值觀v. 文化vi. 管理工具vii. 契約合同viii. 組織結構責任要求：1、 紅頭文件2、 表格3、 流程圖整合：如何整合l 文檔整合l 流程和制度的整合n 風險和效率的整合l 組織架構的整合：n 人的整合ERM：企業(yè)風險管理COSO模型：推行困難企業(yè)生命周期：l 成長期：對人的要求很高：效率第一；風險接受程度：企業(yè)愿意在其業(yè)務高速增加的時候，承擔相應風險；接受風險加上

9、，事后審計的工作，時刻給老板，一些決策：強大的審計合規(guī)部門；龐大的審計部門，來確定和控制企業(yè)高速發(fā)展風險。舉例：華為公司的例子。l 成熟期：l 衰退期動態(tài)情報系統(tǒng)反饋給決策者l 審計以目標為導向l 授權快。審計分類：1、 審計趨勢2、 審計關系3、 審計價值審計趨勢：財務發(fā)展來的審計，財務審計所關心的：1、 人員2、 合規(guī)3、 業(yè)務要做的；所以，就出現(xiàn)了流程的概念4、 財務到業(yè)務；5、 業(yè)務到ERP：企業(yè)資源規(guī)劃6、 信息系統(tǒng) IT審計價值：1、 合規(guī)審計：2、 能力3、 成熟度模型：CMMI4、 沒有考慮環(huán)境的因素5、 環(huán)境是動態(tài)變化的審計的既定和未確定的關系問題：關注合規(guī)性1、 第一方審計

10、 ：內(nèi)審要求是否已經(jīng)符合2、 第二方審計：我的事情，你是不是做了？：關注能力a) 基于BCP：業(yè)務持續(xù)性的，可以給他機會改進；3、 關注自己的風險：第三方審計：關注合規(guī)；核心是：企業(yè)關注自己的風險：依賴于：第一方的內(nèi)部審計；業(yè)務風險關注：1、 效率2、 有效IT審計：1、 關注流程2、 CIA 信息安全的概念：完整性，可用性，機密性3、 可信可靠程度IT審計：去做技術了忘記了信息這個主體；我們做IT審計，應該關注的是信息這個主體：業(yè)務審計趨勢：1、 基于合規(guī)，基于要求的審核：符合性審計：制度，責任，關注：過去發(fā)生了什么，發(fā)生的什么事情，是不是符合了我的現(xiàn)有制度要求；2、 基于流程的能力審核：是

11、一種 水平，效率，效果，流程關注，能力，資源，問題，關注現(xiàn)在3、 基于風險的保障審計：對環(huán)境狀態(tài)的判斷，對業(yè)務的熟悉程度；關注將來；目標，風險，保障；環(huán)境內(nèi)容ISO9001企業(yè)內(nèi)控驅(qū)動力管理層或者是客戶的要求監(jiān)管要求或者是股東來源英國的BS5750美國的COSO，上市公式監(jiān)管需要以風險為基礎的全面風險控制目標客戶滿意，經(jīng)營效果，合規(guī)性，能力導向合規(guī)，資產(chǎn)安全，財務報告，以及信息真實完整，經(jīng)營效率和效果，以風險為導向。范圍高度運營層次（流程和執(zhí)行）治理層次（結構、機制、績效、文化），包括組織結構，發(fā)展戰(zhàn)略，人力資源社會責任和企業(yè)文化等我哥應用指引范圍-廣度、深度經(jīng)營管理體系（活動）、風險管理體系

12、（風險）、內(nèi)控體系（控制） 第一道防線經(jīng)營管理體系（活動）、風險管理體系（風險）、內(nèi)控體系（控制） 第二道防線驗收方式內(nèi)部審核和外部認證，以自愿性為主內(nèi)控有效性評價，內(nèi)部和外部審計，以強制性為主人員：l 人員能力l 人員權力l 人員l 是否能夠適應環(huán)境變化？資源：能力資源安全資源，安全保證資源風險是未知的，未來的，不確定的，一定是使用 If 假定方式來做的。流程管理成熟度水平：等級狀態(tài)描述1初級流程沒有定義以個人經(jīng)驗為主2可重復級別部分流程已經(jīng)規(guī)定團隊按照了解的要求；來完成職能工作3已經(jīng)定義級別多數(shù)流程進行了識別和規(guī)定，部分流程進行了測量。價值流，價值鏈已經(jīng)明確，且能夠持續(xù)穩(wěn)定的滿足顧客的期望

13、4可管理級別流程被定性，定量化的管理，與績效管理整合；既有效果，且既有效率，同時也有一定的敏捷性5最優(yōu)級別達到了同行業(yè)水平對比的最好結果，并且進行持續(xù)改進以適應變化的要求。整合是為了什么：效率提高？安全提高？1、 整合：提高效率2、 分開：為了強化某些東西3、 組織架構調(diào)整：調(diào)整目的：有一個主導的目的，其他目的都可以放棄。跟企業(yè)發(fā)展的階段，有關系。COSO中的，關于風險的六個方面：責、權、利人、財、物人規(guī)模化經(jīng)營崗位發(fā)揮其創(chuàng)新能力制度標準化領導能力自動化績效信息化成為領導力可預測團隊風險可預知針對這個人，有制度的要求，對管理人的要求，對游戲規(guī)則的要求；做流程業(yè)務流程分析固化流程把人的作用降到最

14、??；平安保險：把制度建設在流程上，形成對人的行為規(guī)范。這個制度才能落地。流程上有制度，人們才可以執(zhí)行流程?？计钢贫?，沒有。升職的，審計報告，管理工具。其他部門要給你一份 風險控制的 自我評價報告。ERM：企業(yè)風險管理風險和風險推動：l 已知風險：l 處置中風險：Ongoingl 未知風險l 未知的未知風險：最好是轉(zhuǎn)嫁風險；用別人的血汗來取得經(jīng)驗。l 時間觸發(fā)：每隔一段時間，就做一次l 事件觸發(fā)風險認知l 變更觸發(fā)風險認知：公司組織結構重組；企業(yè)經(jīng)營環(huán)境改變。l 動態(tài)觸發(fā)的l 風險認知以后的推動：n 大部分項目再沒有人推動的時候，應該如何去推動？有個Baseline：基準線。n 由什么部門，n

15、什么人去推動僅僅代表一個企業(yè)的利益相關方；風險清單：1、 外部審計2、 規(guī)定哪里有？3、 哪一個標準有一個風險清單4、 識別風險，和控制風險？5、 風險清單？6、 是一個最佳實踐，通行做法？7、 是不是最佳，就看如何落地？8、 標準和企業(yè)的整合，結合是不是默契？Risk Point風險點的一個體系形式和展示的方法：風險：l 風險是對目標的不確定影響ISO 31000：2009有效和效率：效率：1、 成本效率2、 時間效率3、 目標：財務數(shù)據(jù)的可靠性，財務報告的正確性；體現(xiàn)在信息安全的CIA：4、 合規(guī)嗎？風險的分類：l 戰(zhàn)略風險l 運營風險l 財務風險l 名譽風險l IT風險l 法律風險l 合

16、規(guī)風險l 人員風險l戰(zhàn)略風險，轉(zhuǎn)化成為機會的話：項目管理，項目群來實現(xiàn)。靠運營來正常維護經(jīng)營。戰(zhàn)略風險，變成機會項目風險：介于中間狀態(tài)；運營風險：預防為主，不出事，就是很OK，項目風險：l 項目管理中得項目風險準備金；l風險：轉(zhuǎn)移風險：中止風險，終止風險：計劃處置風險：計劃容忍風險：審計自查自評：Audit內(nèi)部審計師：風險管理如何做？ISO 28002+ 31000風險管理：28001+28002項目風險：風險分類風險定級風險分步實施風險識別：1. 基于流程分析的風險識別：按部就班方法2. 基于資源的風險識別：專家方法信息安全風險評估標準：CC 13335 標準。風險識別：練習題目：案例學習：

17、企業(yè)案例風險識別學習操練分析：發(fā)貨流程：配送流程：1、 客戶自提模式：a) 客人到了自提點，無法提貨，因為只能存有6天的存貨量，客人的貨物，無法到達客人的自提點b) 等候區(qū)?？腿塑囕v停滿了，導致重型貨車在等候區(qū)的車輛，停滯，排隊等待，導致交通擁阻。c) 在指定的客人自提模式時間點上，客人爽約，該來提貨的，結果沒來；d) 客人臨時說：臨時有事，要求更改提貨時間：e) 應對措施：i. 提高存貨的容量，進行容量管理2、 送貨上門模式a) 在承諾配送到的時間范圍內(nèi)，配送的物流公司員工，無法做到，導致客人不滿，直接導致，客人進行投訴b) 送貨上門的，配送過程中，客人所訂購的商品，存現(xiàn)小部分，大部分，全部

18、損壞，導致客人感受度極差，導致客人強烈投訴；c) 在承諾配送的時間范圍內(nèi)，客人臨時有事，不能在指定時間，指定地點，跟配送師傅見面，因此無法完成配送的：客人收貨，客人付款的最后一步流程上述兩個發(fā)貨的流程的不完善，導致客人在對其AX公司，在互聯(lián)網(wǎng)上，頻頻發(fā)布對其產(chǎn)品和服務不滿意的評論，直接導致了AX公司的聲譽影響供應鏈管理：采購：由母公司提供原材料：母公司XYZ公司的SAP信息系統(tǒng)和子公司AX公司的SAP系統(tǒng)，不是同一個系統(tǒng)，是兩套系統(tǒng)，存在手動錄入以后的信息不對稱，直接容易導致非自動控制而造成的風險：比如進貨單證，出貨單證；在進存銷上的問題；且兩次錄入SAP系統(tǒng)以后，事后沒有人能做到及時復核，及時核實進銷存訂單單證信息。原料、添加劑斷貨風險母公司XYZ公司提供給子公司AX公司主要的原材料，但是子材料，添加劑，需要子公司AX公司自己采購，可能存在斷貨風險，如果斷貨，直接導致 非