风险快讯

风险快讯© 2016普华永道。版权所有。普华永道系指普华永道网络及/或普华永道网络中各自独立的成员机构。详情请进入www.pwc.com/structure。中国风险及控制服务2016年第6期市场热点优化关联交易的内控管理框架关联交易是指公司与其关联方之间相互转移资源或义务的一种商业交易行为，近年来，多家上市公司因涉嫌违规关联交易及与关联交易相关的信息披露违法违规行为，而遭到监管机构的关注或处罚，处罚的对象不仅包括公司本身，也可能包括对违法违规行为负有直接责任的高管和董事。常见的违规原因主要包括：1.关联方及关联交易管理制度存在缺失、过时或与监管规定存在冲突；2.缺乏有效的关联法人和关联自然人识别机制，董监高人员对关联关系的自我申报不完整或不及时；3.关联交易事项审议程序缺失、执行不到位、或关联情况发生变化时审议不及时；4.关联方及关联交易披露不完整、不及时或披露不实。普华永道建议上市公司优化关联交易管理机制，将法规和管理要求细化为内控措施，以便宣贯理解与落地实施，具体的内控措施包括：•完善制度、持续更新、培训宣导。安排具备有关法律法规知识及管理经验的专职人员，持续关注并学习监管要求；•明确并落实各环节管理责任，明确公司总经理的整体管理职责，并规范其他各部门各岗位在调研、识别、申报与审批等程序中的职责；•建立并完善关联方识别、申报、审议、披露等各环节的控制；•定期自我核查，安排内控或内审人员作为关联交易管理的独立核查部门，定期开展自查，如发现问题应及时采取补救措施。优化上市公司的内控管理机制一直是国内资本市场监管机构的重头戏，也是提升上市公司对外形象重要的衡量指标。在优化内控管理框架中，关联交易是重中之重的环节，公司管理层切记不可掉以轻心。www.pwccn.com 风险快讯© 2016普华永道。版权所有。普华永道系指普华永道网络及/或普华永道网络中各自独立的成员机构。详情请进入www.pwc.com/structure。中国风险及控制服务2016年第6期www.pwccn.com监管政策普华永道关于应对香港上市监管要求修订的最新市场趋势调研普华永道根据香港联交所2014年12月修订的《企业管治守则》及《企业管治报告》有关内部监控条文，对190家香港主板上市公司的2015年度《企业管治报告》中关于风险管理与内部监控方面的披露进行准备情况评估，经过调研分析，我们发现：1.67%的公司披露了已对风险管理和内控体系进行审阅2.33%的公司通过开展内控自评来评估其内控体系有效性3.超过80%的公司披露了其建立了内部审计职能，但多数还未披露董事会每年对内审资源的充分性和内审职能的资历等进行评估4.对于披露公司风险管理的程序和特征这个要求，市场的准备情况则较为参差，较大型和成熟的公司（例如大部分恒生指数成分股）更愿意披露其风险识别、评估和如何管理关键风险，而中小型或内地企业对这方面的披露则较为保守，只有少数对此进行详细披露。行业动态北注协发布P2P企业收入确认审计要点2016年5月26日，北京注册会计师协会发布《专家委员会专家提示[2016]第2号——关于P2P信贷服务及第三方支付企业收入确认的一般考虑》（下称《提示》）。《提示》中，专家委员会针对P2P信贷及第三方支付企业基础业务相关的收入审计技巧和方法，从业务模式、业务流程、收入确认审计要点等方面做出了指引。其中P2P业务收入确认审计要点包括识别收入舞弊风险、P2P项目完整性的认定、P2P项目真实性的认定、对P2P平台的风控管理审核以及必要的分析性程序；第三方支付业务收入确认审计要点包括收入舞弊审计、收入截止测试程序、收入的完整性认定以及真实性认定。《提示》中还明确指出，两种形式的收入确认审计均需依赖IT审计的审计结论。 风险快讯www.pwchk.com© 2016普华永道。版权所有。普华永道系指普华永道网络中国或香港成员机构，有时也指普华永道网络。每家成员机构各自独立。详情请进入www.pwc.com/structure。香港风险及控制服务2016年第6期市场热点针对舞弊风险检测的数据分析目前，超过95%的财务数据和记录是以电子格式存储的（例如：数据库）。商业系统亦增加了抓取非结构化数据（例如：扫描文件、照片、录像、声音）的趋势。虽则信息体量的增大会对公司数据储存能力、数据安全以及系统性能带来压力，然而也给予企业发掘商业远见与问题的重大机遇。在运用数据分析和数据可视化工具分析、报告财务数据的过程中，运营信息以及系统审计日志对确定风险及机遇大有裨益。先进机构一直通过此类技术揭露违法商业行为和欺诈活动。该类技术处理财务调查、舞弊检查与网络犯罪分析的能力也颇为强大。例如，对会计数据进行舞弊风险分析有助于管理层识别并解决潜在舞弊和内控问题（挪用资产、虚构供应商、虚构客户、欺诈销售、违规开销、贪腐等）。监管政策香港金融管理局宣布实施网络防卫计划为进一步强化香港银行的网络防卫，香港金融管理局（金管局）于2016年5月宣布实施网络防卫计划(CFI)，该计划涵盖以下三个方面：(i)网络防卫评估框架(C-RAF)；(ii)网络风险资讯共享平台(CISP)；(iii)专业培训计划(PDP)。作为行业层面的计划，CISP和PDP旨在搭建风险资讯共享机制、培养更多网络安全领域的合格人才；而C-RAF则是面向银行、基于风险的网络安全完备程度评估框架。经由这一过程，银行将能根据自身网络风险状况来更好地理解、评估并持续提高自身网络防卫能力。众所周知，传统的系统安全渗透测试早已无法应对现实生活中网络攻击的风险。C-RAF中新引进了以资讯为导向的网络攻击模拟测试(iCAST)框架，有助于银行对自身识别并应对现实生活中针对个人、流程和技术的网络攻击的能力作出更确切的评估。尽管C-RAF还面临着为期3个月的行业咨询流程，网络威胁的脚步却不会放缓。先进的金融机构此刻应当着手体验这一框架带来的益处。行业动态香港强制性公积金受托人预设投资策略推行实施为应对强制性公积金（强积金）成员在做出强积金利益投资决策时所面临的难题，以及解决目前行政管理费过高的问题，香港18个强积金受托人（受托人）需要在2017年第一季度结束前引入一套标准统一、收费可控的预设投资策略(DIS)。鉴于策略变动在实施中的复杂性，受托人或在预设投资策略实施期间面临各种难题，例如：1.风险降低特性：受托人需确保风险降低机制能够应对各种复杂情境（例如，强积金成员在预设投资策略成分基金中拥有多个投资账户，包括有和没有风险降低机制的投资账户）。受托人还需确保影响风险降低管控的基础数据（例如，出生日期）的准确性。2.预设投资账户(DIA)的确认：受托人系统中收录的信息不够充分，造成预设投资账户确认困难（例如，成员是否对当前的基金做出了明确的选择，或者其是否由于未明示偏好而分配给特定的基金选项）。3.行政费用管控机制：受托人需确保进行的管控充足有效，确保日支付服务款项（例如，行政费）及年现金支出费用不会超过规管限制。受托人应即刻作出计划，充分做好准备，实施及复核其产品、流程、机制以及管控变动，确保该等措施能够顺利生效。