第一步：全面调研，发现问题

    为保障风控体系建立后能得到有效推行，需要对公司管理现状进行全面的梳理。系统梳理公司层面、流程层面含流程设计层面和执行层面存在的主要问题。

    内控环境作为企业实施内部控制的基础，是调研诊断需要重点关注的内容，通常包括治理结构、机构设置、权责分配、内部审计机制、人力资源及企业文化等。

    第二步：风险识别，建立风险库

    风险识别是指查找各业务单元、各项重要经营活动及业务流程中是否有风险，有哪些风险。风险识别的方法主要有风险事件识别法和流程分析法，二者通常需结合使用才能更有效、更充分地识别各类风险。流程分析法主要围绕各流程，有效识别流程步骤、风险点、控制点以及缺陷点，在识别风险点的基础上识别控制点。

    在风险识别过程中，一方面可以参考借鉴行业风险库，充分利用行业积累;一方面需要各个部门深度参与，结合企业实际来识别风险。风险识别的成果即是一份完整覆盖企业各业务模块、职能模块的风险库，下表为模块的部分风险清单示例。

    第三步：风险评估，重点关注高风险

    风险评估是指对风险严重程度的评价过程。在实施评估中，为了对风险严重程度进行量化，按惯例将风险按照严重程度分为三级：高风险、中风险和低风险。企业可根据自身实际情况或管理需要，亦可以将风险管理分为五级，企业对于高风险需重点关注并进行降级处理。

    在实际操作中，风险评估标准确定是风险管理的技术障碍之一，企业需要根据自身的风险容忍度制定风险评估标准，不同模块的风险评估标准应有所区别。此外，风险评估人员需要具备较强的业务能力，对风险有较为客观的认知和理解，通过培训能够熟练掌握风险评估工具和标准，下表为风险评估标准示例。

    第四步：风险应对，量身打造应对措施

    风险应对策略指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度，选择风险承受、风险规避、风险分担、风险降低等适合的风险应对措施的总体策略。

    具体的风险控制措施一定是基于对业务的深刻了解，而非放之四海皆准的万能之策，风控措施要落地，必须从业务角度进行控制。

    第五步：体系优化，建立风控体系

    实践证明，只有将风险控制措施融入现有的流程指引制度中，保证风控体系和管理体系融为一体，才能真正实现风控体系落地执行的最大价值。完善的风控体系需要有配套的管理文件作为支撑，通常指导性文件有以下两个手册：

    《内部控制手册》旨在完善企业内部控制制度，规范各管理层次相关业务流程，分解落实责任，控制企业风险，保证财务报告真实性，确保企业资产安全高效运行。

    《内部控制评价手册》旨在指导企业定期地按照程序对自身的内部控制系统进行评价，重点是评估内部控制的有效性及其实施效率与效果，促进组织改善内部控制与风险管理。

    第六步：自评准备，提高自评效率

    自评组织和准备工作主要包括组成评价工作组、确定评价范围和内容、确定评价工作方案。

    1评价小组成员至少应包括审计人员、法务人员、内控人员、流程管理人员及财务人员等。

    2评价范围：集团层面、业务活动层面和评价内容以及具体的被评价单位。

    3评价工作发方案：为了更好的组织评价工作，明确评价的目的及范围，合理安排评价小组成员的组成及分工，规范评价方法程序，应当制定科学合理的评价工作方案。

    第七步：实施自评，实现自我提升

    内部控制体系评价的程序主要包括内部控制测试、缺陷认定与编制评价报告。

    1内部控制测试是按照规定的程序、方法和标准，对公司内部控制体系设计有效性和执行有效性进行检查。

    2缺陷认定是对例外事项的成因、表现形式及风险程序进行定量或定性的综合分析判断缺陷等级。对于认定的内部控制缺陷，提出整改建议，要求责任单位及时整改。

    3评价报告是在测试和缺陷认定结果的基础上，综合内部控制工作整体情况，客观、公正、完整地编制内部控制评价报告，最终由管理层审核确认。

 感谢您的阅读，祝您生活愉快。下载本文