全面風險管理體系建設方案設計

內(nèi)控體系項目工作流程全面風險管理整合框架概述我國企業(yè)風險管理現(xiàn)狀對全面風險管理的理解全面風險管理體系方案設計123456聯(lián)合優(yōu)勢2023/1/81全面風險管理體系建設方案設計全面風險管理整合框架概述我國企業(yè)一、企業(yè)全面風險管理整合框架概述企業(yè)全面風險管理是企業(yè)在實現(xiàn)未來戰(zhàn)略目標的過程中，試圖將各類不確定因素產(chǎn)生的結果控制在預期可接受范圍內(nèi)的方法和過程，以確保和促進組織的整體利益實現(xiàn)。企業(yè)風險管理（ERM）框架是由美國虛假財務報告全國委員會的發(fā)起組織委員會（COSO）在內(nèi)部控制框架的基礎上，于2004年9月提出的企業(yè)風險管理的整合概念。

什么是企業(yè)全面風險管理：

2023/1/82一、企業(yè)全面風險管理整合框架概述企業(yè)全面風險管理是風險管理理論的發(fā)展

以“安全和保險”為特征的風險管理。100多年前航運企業(yè)風險管理的主要措施就是通過保險把風險轉(zhuǎn)移給保險公司。

以“內(nèi)部控制和控制純粹風險”為特征的風險管理。隨著工業(yè)革命的發(fā)展，公司對業(yè)務管理和流程方面的內(nèi)部控制提出了要求。美國1977年的《反國外賄賂法》要求公司管理層加強內(nèi)部會計控制；1992年的《COSO內(nèi)部控制綜合框架》提出以財務管理為主線的內(nèi)部控制系統(tǒng)。

以“風險管理戰(zhàn)略與企業(yè)總體發(fā)展戰(zhàn)略緊密結合”為特征的全面風險管理。風險管理實踐表明，僅靠內(nèi)部控制難以實現(xiàn)企業(yè)的最終目標。為此，COSO于2004年9月出臺了《COSO企業(yè)全面風險管理整合框架》（簡稱ERM），提出了由三個維度構成的風險管理整合框架。

我國國務院國資委于2006年發(fā)布《中央企業(yè)全面風險管理指引》（以下簡稱《指引》），標志著我國中央企業(yè)建立全面風險管理體系工作的啟動。

第一階段：

第二階段：

第三階段：2023/1/83風險管理理論的發(fā)展

COSO企業(yè)風險管理構成八個要素在內(nèi)部控制整合框架五個要素的基礎上，COSO企業(yè)風險管理的構成要素增加到八個，八個要素相互關聯(lián)，貫穿于企業(yè)風險管理的過程中。

監(jiān)控內(nèi)部環(huán)境目標設定事項識別風險評估風險應對控制活動信息與溝通（1）（2）（3）（4）（5）（6）（7）（8）2023/1/84COSO企業(yè)風險管理構成八個要素在內(nèi)部控制整合框全面風險管理框架的8個要素構成

企業(yè)內(nèi)部環(huán)境是其他所有風險管理要素的基礎，為其他要素提供規(guī)則和結構。其中特別是大型企業(yè)領導班子的風險偏好，決定了大型企業(yè)對可能出現(xiàn)的預料之外的事件的態(tài)度，企業(yè)管理層必須明確戰(zhàn)略及其執(zhí)行過程中的風險和回報。

（一）內(nèi)部環(huán)境

管理層制定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略并確定其他與之相關的目標并在企業(yè)內(nèi)層層分解和落實。管理層必須首先確定企業(yè)的目標，才能夠確定對目標的實現(xiàn)有潛在影響的事項。企業(yè)風險管理就是提供給企業(yè)管理層一個適當?shù)倪^程，將目標與企業(yè)的任務或預期聯(lián)系在一起，保證制定的目標與企業(yè)的風險偏好相一致。

（二）目標設定

2023/1/85全面風險管理框架的8個要素構成企業(yè)內(nèi)部環(huán)境是其他所有風險管

企業(yè)風險管理要求辨別可能對實現(xiàn)企業(yè)目標產(chǎn)生負面影響的所有重要情況或事件，事項識別的基礎是將可能的風險與環(huán)境進行對比。這要求綜合運用各種專業(yè)知識，盡可能地了解企業(yè)當前或?qū)淼沫h(huán)境和經(jīng)營情況。一般用可能性（概率）和影響結果兩個指標度量風險。風險評估的過程根據(jù)不同的情況，采用定性和定量相結合的方法。若可以獲取充足的數(shù)據(jù)，可采用決策風險定量評估方法；若潛在的可能性及影響結果都較小，或者無法獲得數(shù)據(jù)，則可采取定性的評估方法。（四）風險評估

（三）事項識別

全面風險管理框架的8個要素構成

2023/1/86

企業(yè)風險管理要求辨別可能對實現(xiàn)企業(yè)目標產(chǎn)生負面影響的所企業(yè)要對每一個重要的風險及其對應的回報進行評價和平衡，據(jù)平衡的情況采取包括回避、接受、共擔或降低這些風險。風險應對是企業(yè)風險管理的整體重要組成部分。

控制活動包括在整個組織使用的審核、批準、授權、確認以及對經(jīng)營績效考核、資產(chǎn)安全管理、不相容職務分離等方法。這是企業(yè)管理層設計的政策和程序，為執(zhí)行特定的風險應對措施提供合理保證。（六）控制活動

（五）風險應對

全面風險管理框架的8個要素構成

2023/1/87企業(yè)要對每一個重要的風險及其對應的回報進行評價和平衡，據(jù)風險信息必須以一定的形式和框架進行交流，使企業(yè)員工、管理層履行各自的責任。企業(yè)必須對各種數(shù)據(jù)和信息流進行加工，形成關于企業(yè)風險組合輪廓的統(tǒng)一觀點，以利于交流。通常存在自上而下式、平行式和自下而上式3種有效的交流形式。員工的風險信息交流意識是風險管理環(huán)境的重要組成部分，應鼓勵員工就其意識到的重要風險與管理層進行交流，企業(yè)管理層應當重視員工的意見。

企業(yè)應通過持續(xù)的監(jiān)控和獨立的評價活動，監(jiān)控企業(yè)風險管理的有效性。持續(xù)監(jiān)控以日常經(jīng)營中發(fā)生的事件和交易為對象，包括企業(yè)管理層和專門的監(jiān)控人員的活動。（八）監(jiān)控

（七）信息與溝通

全面風險管理框架的8個要素構成

2023/1/88風險信息必須以一定的形式和框架進行交流，使企業(yè)員工、管COSO企業(yè)風險管理的性質(zhì)COSO在對《企業(yè)風險管理》的界定中重點強調(diào)了七個屬性和理念：企業(yè)風險管理力求實現(xiàn)一個或多個不同類型但相互交叉的目標。企業(yè)風險管理能夠向一個企業(yè)的管理當局和董事會提供合理保證；企業(yè)風險管理旨在識別那些一旦發(fā)生將會影響企業(yè)的潛在事項，并把風險控制在風險容量以內(nèi)；企業(yè)風險管理貫穿企業(yè)整體，在各個層級和單元應用，還包括采取企業(yè)整體層級的風險組合觀；企業(yè)風險管理應用于戰(zhàn)略制定的過程中；企業(yè)風險管理是由組織中各個層級的人員來實施的；企業(yè)風險管理是一個過程，它持續(xù)流動于企業(yè)之內(nèi)；(1)(2)(3)(4)(5)(6)(7)2023/1/89COSO企業(yè)風險管理的性質(zhì)COSO在對《企業(yè)風險管理》的界企業(yè)風險管理可以發(fā)揮以下作用2023/1/810企業(yè)風險管理可以發(fā)揮以下作用2023/1/810企業(yè)風險管理的目標體系

企業(yè)風險管理框架提出了四類目標：

在這個目標體系中，增加了內(nèi)部控制整合框架中所沒有的一類目標：戰(zhàn)略目標。雖然是平行的方式列示，但是，戰(zhàn)略目標在這個目標體系中是最高層次的，其它三類目標都應當從屬于戰(zhàn)略目標。都是在為戰(zhàn)略目標服務。

戰(zhàn)略(Stntegic)目標，即高層次目標，與使命相關聯(lián)并支撐使命經(jīng)營(operations)目標，高效率地利用資源報告(reporting)目標，報告的可靠性合規(guī)(compliance)目標，符合適用的法律和法規(guī)(1)(2)(3)(4)2023/1/811企業(yè)風險管理的目標體系企業(yè)風險管理框架提出了四類目COSO內(nèi)控框架三個維度具體內(nèi)容COSO內(nèi)控框架內(nèi)控環(huán)境風險評估控制活動信息和溝通監(jiān)控業(yè)務部門業(yè)務功能整體營運財務報告合規(guī)第一個維度（上面維度）是是目標體系，包括四類目標：(1)戰(zhàn)略(Stntegic)目標，即高層次目標，與使命相關聯(lián)并支撐使命；(2)經(jīng)營(operations)目標，高效率地利用資源；(3)報告(reporting)目標，報告的可靠性；(4)合規(guī)(compliance)目標，符合適用的法律和法規(guī)。

第二個維度（正面維度）是管理要素，包括八個相互關聯(lián)的構成要素,它們源自管理當局的經(jīng)營方式，并與管理過程整合在一起，(1)內(nèi)部環(huán)境、(2)目標設定、(3)事項識別、(4)風險評估、(5)風險應對、(6)控制活動、(7)信息與溝通、(8)監(jiān)控。第三個維度（側面維度）是主體單元，包括集團、部門、業(yè)務單元、分支機構四個層面。2023/1/812COSO內(nèi)控框架三個維度具體內(nèi)容COSO內(nèi)控框架內(nèi)控環(huán)境風二、我國企業(yè)風險管理概述

企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。

——《中央企業(yè)全面風險管理指引》2023/1/813二、我國企業(yè)風險管理概述

企業(yè)圍繞總體經(jīng)營目標，通過在企國內(nèi)企業(yè)的風險管理處于起步階段風險管理剛剛起步，表現(xiàn)為：經(jīng)理人階層普遍缺乏風險意識與風險管理的知識企業(yè)管理過程中缺乏風險管理的內(nèi)容，除金融企業(yè)保險與金融領域缺乏風險管理的工具缺少獨立的風險管理行業(yè)與市場原因在于：績效考核中基本不計入風險因素法規(guī)缺乏對上市公司披露風險管理情況的要求股市缺乏對上市公司風險管理的壓力14國內(nèi)企業(yè)的風險管理處于起步階段原因在于：14

我國企業(yè)風險管理法律文獻

2023/1/815《內(nèi)部會計控制規(guī)范》《證券公司內(nèi)部控制指引》《證券投資基金管理公司內(nèi)部控制指導意見》《獨立審計準則第9號——內(nèi)部控制和審計風險》1996年2001年《商業(yè)銀行內(nèi)部控制指引》2006年《中國企業(yè)會計準則體系》《上市公司內(nèi)部控制指引》《中央企業(yè)全面風險管理指引》中國企業(yè)內(nèi)部控制標準委員會（CICSC）成立《企業(yè)內(nèi)部控制規(guī)范》（征求意見稿）2006年2023/1/815

我國企業(yè)風險管理法律文獻

2023/1/815《獨立審計準全面風險管理框架的設立原則我國大型企業(yè)要在促進國有經(jīng)濟布局和結構優(yōu)化方面發(fā)揮表率作用，實現(xiàn)國有資本優(yōu)化配置，充分發(fā)揮跨省市經(jīng)營，產(chǎn)業(yè)分布廣的優(yōu)勢，就必須逐步建立全面風險管理框架，降低生產(chǎn)經(jīng)營風險。在企業(yè)全面風險管理建立和實施的過程中，應該遵循以下原則：

成功地回避風險，必須建立在對風險發(fā)生可能性科學預測的基礎上，這就要求在選擇具體操作方法時，堅持理論與實際、定性與定量、歷史與未來相結合的方法，以確保實施方法的準確性和有效性。

一、預測先導原則

2023/1/816全面風險管理框架的設立原則我國大型企業(yè)要在促進對風險的性質(zhì)、風險程度做出合理評估，結合企業(yè)管理、財務等綜合能力，制定風險管理方針和策略。

全面風險管理框架的設立原則對因進行風險管理而產(chǎn)生的成本及其績效進行比較，擇優(yōu)采用。如果風險防范成本超出了最終風險可預測損失，那么，該項風險防范措施的效果無疑應該大打折扣。

四、成本效益原則

國資委或中央企業(yè)應對所屬企業(yè)管理者的風險管理能力進行監(jiān)控，避免超出其承受能力的經(jīng)營風險。三、避免超載原則

二、權衡輕重原則

2023/1/817對風險的性質(zhì)、風險程度做出合理評估，結合企業(yè)管理、財務風險管理總體目標與戰(zhàn)略目標一致財務報告真實可靠合規(guī)合法高效運營應對突發(fā)事件，防止重大損失根據(jù)客戶要求，可增加或減少。三、全面風險管理的理解2023/1/818風險管理總體目標與戰(zhàn)略目標一致財務報告真實可靠合規(guī)合法高效運1、收集初始信息2、風險評估3、制定風險管理策略4、風險管理解決方案5、風險管理監(jiān)督與改進信息與溝通（訪談）工作步驟2023/1/8191、收集初始信息2、風險評估3、制定風險管理策略4、風險管理

全面風險管理三道防線

管理層第1道防線第3道防線第2道防線風險管理內(nèi)部審計業(yè)務部門A業(yè)務部門B業(yè)務部門C審計委員會風控委員會XX委員會XX委員會董事會一個基礎2023/1/820

全面風險管理三道防線

管理層第1一個基礎：公司治理結構公司治理是涉及公司的表現(xiàn)：它關系到一家公司如何得到有效的管理，從而發(fā)揮最佳表現(xiàn)公司治理是涉及責任的問題：它關系到董事會及管理層如何向股東負責，而使股東能從公司的表現(xiàn)中得益公司治理2023/1/821一個基礎：公司治理結構公司治理是涉及公司的表現(xiàn)：它關系到一家公司治理與風險管理有什么關系？公司治理是風險管理的一個必要的組成部份，因為它提供了對風險由上而下的監(jiān)控與管理近年多個國家都訂立了公司治理的最佳守則：美國：紐約證交所最佳治理守則英國：Cadbury/HampelReport、TheCombinedCode加拿大：DeyReportOECDReport 這些最佳守則均清楚指出建立風險管理是董事會及管理層的責任2023/1/822公司治理與風險管理有什么關系？公司治理是風險管理的一如何構建有利風險管理的公司治理結構建立一個健全的、以董事會為首的公司治理結構訂立企業(yè)的目標和戰(zhàn)略，包括企業(yè)的風險政策和極限貫徹一套重視風險管理的企業(yè)文化和價值觀2023/1/823如何構建有利風險管理的公司治理結構建立一個健全的、以董事會為第一道防線：業(yè)務單位防線業(yè)務單位包含了企業(yè)大部分的資產(chǎn)和業(yè)務，它們在日常工作中面對各類的風險，是企業(yè)的前線企業(yè)必須把風險管理的手段和內(nèi)控程序融入到業(yè)務單位的工作與流程中，才能建立好防范風險的第一道防線2023/1/824第一道防線：業(yè)務單位防線業(yè)務單位包含了企業(yè)大部分的資1、了解企業(yè)戰(zhàn)略目標及可能影響企業(yè)達標的風險2、識別風險類別3、對相關風險作出評估4、決定轉(zhuǎn)移、避免或減低風險的策略5、計設及實施風險策略的相關內(nèi)部控制如何建立第一道防線2023/1/8251、了解企業(yè)戰(zhàn)略目標及可能影響企業(yè)達標的風險如何建立第一道防(風險宇宙TM)資信制度知識產(chǎn)權財務流動資產(chǎn)與信貸資本結構市場財務報告營運法律生產(chǎn)程序經(jīng)營環(huán)境市場結構民風與文化治理策略董事會活動交易并購變賣聲譽道德社區(qū)責任風險管理董事會及管理層業(yè)績組織結構監(jiān)察與溝通執(zhí)行籌劃與開發(fā)利益有關方供應商政府顧客股東經(jīng)濟情況國家情況市場變化競爭對手人才資源雇員溝通有形資產(chǎn)機器、廠房與土地其他有形資產(chǎn)負債合約法規(guī)市場與銷售生產(chǎn)及流通商品/服務開發(fā)流程估值與選擇買家評估與甄選盡職調(diào)查并購后整合資信管理運營組織與監(jiān)察硬件軟件網(wǎng)絡無形資產(chǎn)知識管理信息現(xiàn)金管理對沖融資股東資本債務商品利率外匯稅務會計合規(guī)風險宇宙(對企業(yè)進行風險分析診斷)2023/1/826(風險宇宙TM)資信制度知識產(chǎn)權財務流動資產(chǎn)與資本結構市場風險發(fā)生的可能性2023/1/827風險發(fā)生的可能性2023/1/827風險對企業(yè)造成的影響2023/1/828風險對企業(yè)造成的影響2023/1/828風險處理方法的效果2023/1/829風險處理方法的效果2023/1/829風險地圖(或風險共同語言)影響程度近乎沒有輕微中等重大災難幾乎肯定極可能可能低極低BCAGIDJKHEF可能性說明:A–人力資源風險B–財務風險C–競爭風險D–開發(fā)風險E–過度自信風險F–系統(tǒng)故障風險G–主要客戶風險H–欺詐風險I–政治風險J–薪酬獎勵風險K–科技風險2023/1/830風險地圖(或風險共同語言)影響程度近乎沒有輕微中等重大災難幾風險處理組合

處理評級風險評級近乎沒有效果低效適中超標極度極高高中等低BCAGIDJKHE說明:A–人力資源風險B–財務風險C–競爭風險D–開發(fā)風險E–過度自信風險F–系統(tǒng)故障風險G–主要客戶風險H–欺詐風險I–政治風險J–薪酬獎勵風險K–科技風險F采取行動密切監(jiān)控定期審閱2023/1/831風險處理組合處理評級風險評級近乎沒有效果低效適中超標風險處理策略影響程度可能性轉(zhuǎn)移避免小心管理可接受大小高低2023/1/832風險處理策略影響程度可能性轉(zhuǎn)移避免小心管理可接受大小高低20風險策略避免禁止交易減少或限制交易量離開市場轉(zhuǎn)移套期保險策略性聯(lián)盟其他分擔風險的安排小心管理投資廣泛保護的安排訂價反映風險程度可接受自我保險預留儲備增加監(jiān)督風險處理策略影響程度大小可能性轉(zhuǎn)移避免小心管理可接受高低2023/1/833風險策略小心管理風險處理策略影響程度大小可能性轉(zhuǎn)移避免小心管企業(yè)建立的第一道防線，就是要各業(yè)務單位就其戰(zhàn)略性風險、信貸風險、市場風場和操作風險等等，系統(tǒng)化地進行分析、確認、度量、管理和監(jiān)控企業(yè)需要把評估風險與內(nèi)控措施的結果進行記錄和存檔，對內(nèi)控措施的有效性不斷進行測試和更新第一道防線：總結管理層CEO第三道防線第二道防線第一道防線業(yè)務部門董事會風險管理內(nèi)部審計審計委員會風險管理委員會2023/1/834企業(yè)建立的第一道防線，就是要各業(yè)務單位就其戰(zhàn)略性風險、信貸風第二道防線：風險管理單位防線第二道防線是在業(yè)務單位之上建立一個更高層次的風險管理功能，它的組成部份可能包括風險管理部門、信貸審批委員會、投資審批委員會風險管理部的責任是領導和協(xié)調(diào)公司內(nèi)各單位在管理風險方面的工作，它的職責包括：編制規(guī)章制度對各業(yè)務單位的風險進行組合管理度量風險和評估風險的界限建立風險信息系統(tǒng)和預警系統(tǒng)、厘定關鍵風險指標負責風險信息披露、溝通、協(xié)調(diào)員工培訓和學習的工作按風險與回報的分析，為各業(yè)務單位分配經(jīng)濟資本金2023/1/835第二道防線：風險管理單位防線第二道防線是在業(yè)務單位之上建立一36“內(nèi)部審計是一項獨立、客觀的審查和咨詢活動，其目的在于增加企業(yè)的價值和改進經(jīng)營。內(nèi)審通過系統(tǒng)的方法，評價和改進企業(yè)的風險管理、控制和治理流程的效益，幫助企業(yè)實現(xiàn)其目標?！泵绹鴥?nèi)部審計師協(xié)會第三道防線：內(nèi)審單位防線第三道防線涉及一個獨立于業(yè)務單位的部門，監(jiān)控企業(yè)內(nèi)控和其他企業(yè)關心的問題內(nèi)部審計的定義：2023/1/83636“內(nèi)部審計是一項獨立、客觀的審查和咨詢活動，其目的在于增內(nèi)部審計的三大功能財務監(jiān)督財務帳的可用性內(nèi)部管理和制度的執(zhí)行典型例子：檢查分、子公司上報總部的財務報表的 準確性以及執(zhí)行財務管理政策的情況經(jīng)營診斷管理審計以及效率和效益審計檢查和診斷經(jīng)營和管理過程中的偏差和失誤典型例子： 企業(yè)對某業(yè)務單位或某部門執(zhí)行效益審計 (一個輸入與產(chǎn)出的關系)

2023/1/837內(nèi)部審計的三大功能財務監(jiān)督2023/1/837咨詢顧問企業(yè)風險管理和發(fā)展策略方面的咨詢調(diào)查領導關心的熱點問題和管理薄弱環(huán)節(jié)典型例子：兼并收購時調(diào)查被投資公司的內(nèi)部管理和流程操作，了解薄弱環(huán)節(jié)或其他影響并購交易的重大事項，從而確定管理方法和并購策略2023/1/838咨詢顧問2023/1/838構建企業(yè)風險管理的關鍵成功要素1、股東確立對企業(yè)監(jiān)督的機制，考慮是否需要在集團層面：引入以董事會領導的管理體制聘任有經(jīng)驗的外部董事，來加強對企業(yè)的監(jiān)督要求企業(yè)建立風險管理和內(nèi)控系統(tǒng)，并對其運作及有效性作出定期的匯報2023/1/839構建企業(yè)風險管理的關鍵成功要素1、股東確立對企業(yè)監(jiān)督的機制2、管理高層的支持和參與確立方向和目標營造必要的環(huán)境為平衡風險與回報作出戰(zhàn)略性的決定風險回報風險與回報成正比？風險調(diào)整風險后的回報冒險程度

–不夠進取冒險程度–高危冒險程度–理想范圍2023/1/8402、管理高層的支持和參與風險回報風險與回報成正比？風險調(diào)整風413. 建立風險管理文化風險管理的手段，必須融入日常的管理流程通過討論和培訓，使風險管理的實施得到“全民”的支持通過經(jīng)驗的分享，不斷加強風險管理的認同性4. 采用先進的風險管理的實施方法借鑒如美國Treadway委員會所提出的COSO內(nèi)控框架采用各種識別和度量風險的先進的方法采用標準的模板和程序確認風險、評估風險、建立記錄和文檔、參考國際最佳實務，構建信息管理系統(tǒng)和預警系統(tǒng)2023/1/8413. 建立風險管理文化2023/1/841財務內(nèi)控財務控制是風險管理的主要內(nèi)容主要內(nèi)容2023/1/842財務內(nèi)控財務控制是風險管理的主要內(nèi)容主要內(nèi)容2023/1/財務報告系統(tǒng)的功能股東監(jiān)管部門其他利益相關者分析和修正企業(yè)遠景、戰(zhàn)略和目標企業(yè)經(jīng)營、管理和控制企業(yè)業(yè)績的度量和報告財務報告系統(tǒng)財務信息披露和報告2023/1/843財務報告系統(tǒng)的功能股東監(jiān)管部門其他利益相關者分析和修正企業(yè)遠經(jīng)常性業(yè)務交易非經(jīng)常性業(yè)務交易資料和數(shù)據(jù)的處理目標：更自動化、更程序化、更規(guī)范化縮短編制時間、減少人為錯誤財務報告系統(tǒng)加強業(yè)務與財會人員之間的溝通了解會計準則的要求，減少個別主觀人為判斷財務報告系統(tǒng)管理2023/1/844經(jīng)常性業(yè)務交易非經(jīng)常性業(yè)務交易資料和數(shù)據(jù)的處理目標：更自動化財務報告系統(tǒng)的典型問題1、輸入資料不準確或不完整缺乏內(nèi)部控制員工缺乏應有的知識和資歷對資料的要求不清晰2、缺乏一套清晰和統(tǒng)一的會計政策如何確認收入？如何計提準備金？如何界定經(jīng)營性與 資本性支出？會計科目設計不完善依靠人手操作或缺乏合適和統(tǒng)一的電子核算平臺如何反映對外投資？如何記錄各類金融衍生工具？2023/1/845財務報告系統(tǒng)的典型問題1、輸入資料不準確或不完整會計科目設計財務報告系統(tǒng)的典型問題3、關帳或財務結算程序不規(guī)范沒有明確財務結算的工作和程序沒有利用標準的結算表/模板沒有訂立重要性的門檻4、未能披露或提供重要信息什么數(shù)據(jù)或差異需要進行分析？需要與什么數(shù)據(jù)進行比較？分析需要得到什么數(shù)據(jù)的支持？什么資料可協(xié)助管理層加強管理？2023/1/846財務報告系統(tǒng)的典型問題3、關帳或財務結算程序不規(guī)范2023/財務報告系統(tǒng)和內(nèi)部控制的關系財務報告系統(tǒng)是為企業(yè)內(nèi)部管理提供信息和與外部利益相關者(如股東、監(jiān)管機構)溝通的主要工具和媒介財務報告系統(tǒng)需要一個完善的內(nèi)部控制環(huán)境，才能及時和有效地執(zhí)行和發(fā)揮它應有的作用2023/1/847財務報告系統(tǒng)和內(nèi)部控制的關系財務報告系統(tǒng)是為企業(yè)內(nèi)部管理提供內(nèi)部控制的作用內(nèi)部控制的作用在于保證/保護：信息（會計信息和經(jīng)營信息）的可靠性和完整性遵循政策、計劃、程序、法律和法規(guī)資產(chǎn)的安全提高經(jīng)營效益和效能實現(xiàn)經(jīng)營的目標和防止浪費資源2023/1/848內(nèi)部控制的作用內(nèi)部控制的作用在于保證/保護：2023/1/8內(nèi)部控制不能：將一個原本拙劣的管理體系改變成一個優(yōu)良的管理體系影響環(huán)境因素，如政府的法規(guī)和政策、競爭對手的行動或經(jīng)濟狀況保證企業(yè)的成功或不會面臨倒閉的命運杜絕員工或管理層舞弊和欺詐的行為2023/1/849內(nèi)部控制不能：2023/1/849控制環(huán)境風險評估信息和溝通控制活動監(jiān)控如何構建內(nèi)部控制—公司層面的評估管理層關于內(nèi)部控制的報告評估內(nèi)控的整體的有效性，找出有待改進的地方，并建立一個監(jiān)控體系在流程、交易和應用層面，理解和評估內(nèi)部控制在全公司層面評估內(nèi)部控制組織項目小組實施評估工作理解內(nèi)部控制的定義2023/1/850控制環(huán)境風險評估信息和溝通控制活動監(jiān)控如何構建內(nèi)部控制—公司公司層面的內(nèi)控─控制環(huán)境企業(yè)道德規(guī)范與價值觀員工的行為操守與企業(yè)文化公司治理結構和政策董事會及各委員會的構成企業(yè)規(guī)章制度董事會與管理層之間的關系、權力和職責2023/1/851公司層面的內(nèi)控─控制環(huán)境企業(yè)道德規(guī)范與價值觀2023/1/8公司層面的內(nèi)控─風險評估企業(yè)是否擁有既定的程序以確定、評估和度量影響企業(yè)達標的風險？先進的內(nèi)審部門？風險管理部門？全面風險評估？企業(yè)有否詳細記錄評估風險的結果？有否進行詳細的討論和溝通？2023/1/852公司層面的內(nèi)控─風險評估企業(yè)是否擁有既定的程序以確定、評估和公司層面的內(nèi)控─信息和溝通企業(yè)的架構是否能夠令各部門及業(yè)務單位明確各自的職責及促進溝通企業(yè)是否擁有一個合適的電子平臺處理管理信息和數(shù)據(jù)確保信息能夠及時發(fā)放確保各類信息和報告的準確性和可用性2023/1/853公司層面的內(nèi)控─信息和溝通企業(yè)的架構是否能夠令各部門及業(yè)務單規(guī)章制度

審批程序資產(chǎn)實物的安全特殊報告表現(xiàn)指標信息系統(tǒng)控制職責劃分公司層面的內(nèi)控─控制活動2023/1/854規(guī)章制度公司層面的內(nèi)控─控制活動2023/1/854公司層面的內(nèi)控─控制活動規(guī)章制度

董事會及各委員會的章程企業(yè)風險政策員工招聘守則企業(yè)采購政策會計及財務管理守則2023/1/855公司層面的內(nèi)控─控制活動規(guī)章制度2023/1/855審批程序一種預防性的控制措施確保規(guī)章制度得以落實執(zhí)行知識與經(jīng)驗分享責任的承擔2023/1/856審批程序2023/1/856公司層面的內(nèi)控─控制活動資產(chǎn)實物的安全

檔案/庫存上鎖減少利用現(xiàn)金交易

辦工室安全系統(tǒng)/警鈴資料數(shù)據(jù)庫進入的限制保安人員員工身份證機器上的標記隱型錄相機2023/1/857公司層面的內(nèi)控─控制活動資產(chǎn)實物的安全2023/1/857公司層面的內(nèi)控─控制活動特殊報告逾期應收款報告工作超時完成報告原材料不合格報告機器故障報告產(chǎn)品不合格或退貨報告存貨臺帳紅字報告2023/1/858公司層面的內(nèi)控─控制活動特殊報告2023/1/858公司層面的內(nèi)控─控制活動表現(xiàn)指標預算與實際比較項目管理報告財務指標報告系統(tǒng)可用性報告員工利用率報告2023/1/859公司層面的內(nèi)控─控制活動表現(xiàn)指標2023/1/859公司層面的內(nèi)控─控制活動職責劃分一種員工之間相互制約的控制，以減少出錯或越權的情況不能由同一人發(fā)起、批準和記錄一宗交易不能由同一人保管和記錄資產(chǎn)定期輪換職責，在日常運作中的主要控制點應有高管人員的參與或由獨立的人員作出審查2023/1/860公司層面的內(nèi)控─控制活動職責劃分2023/1/860公司層面的內(nèi)控─控制活動風險控制平衡的區(qū)域

高

低過份控制

低

高風險程度控制效果控制不夠2023/1/861公司層面的內(nèi)控─控制活動高低過份控制低高風險程度控制監(jiān)控是對一定時期內(nèi)內(nèi)部控制執(zhí)行質(zhì)量的評價程序，考慮相關內(nèi)部控制是否能夠滿足最初設計的目標，并保證在不同情況下進行適當?shù)男薷摹?/p>

考慮并記錄是否定期對內(nèi)部控制進行評價；管理層是否采納內(nèi)部和外部審計師關于內(nèi)部控制的建議；是否存在內(nèi)部審計部門以協(xié)助管理層進行監(jiān)控。公司層面的內(nèi)控─監(jiān)控2023/1/862監(jiān)控是對一定時期內(nèi)內(nèi)部控制執(zhí)行質(zhì)量的評價程序，考慮相關內(nèi)部控程序、交易及資訊科技應用層面評估因素:競爭力、完整性、員工的忠誠度及管理層的監(jiān)管能力管理層之間的摩擦職責劃分控制的穩(wěn)定性關鍵賬項管理層對財務報表的認定?可能發(fā)生的錯誤控制關鍵流程固有風險及主要經(jīng)營風險2004Financial

Statements財務報告選出容易發(fā)生重大差錯的關鍵賬項*存在(資產(chǎn)負債表)與發(fā)生(利潤表)完整性（資產(chǎn)負債表/利潤表）估價(資產(chǎn)負債表)與計量(利潤表)權利與義務(資產(chǎn)負債表)類型:交易流程慣例特殊估計對每一種認定應考慮：在流程的哪一交易環(huán)節(jié)容易發(fā)生錯誤？例如:

帳戶：現(xiàn)金或應付

程序：支付

認定：估價

是否有人工或自動的程序確保支票或轉(zhuǎn)賬的數(shù)目與審批的付款數(shù)目一致？檢驗:對差錯的監(jiān)督防止:防止出現(xiàn)差錯由何人來執(zhí)行?是否有程序自動控制?識別處理系統(tǒng)評估/監(jiān)督*單項差錯或幾項差錯如不被發(fā)現(xiàn)，可能對財務報表造成重大影響，或?qū)е路欠ㄐ袨榛蚶鏇_突。即使造成非重大影響，也會對公司的信譽、與客戶及投資者的關系，以及公眾形象造成負面影響。確認財務帳戶及其相關系統(tǒng)記錄系統(tǒng)及控制評估/監(jiān)督步驟行為主要關注點從財務角度從程序角度2023/1/863程序、交易及資訊科技應用層面評估因素:關鍵賬項管理層對財務報Iftheguidelinecontrolisnotapplicable,thenpleasestateareason.2023/1/864Iftheguidelinecontrolisno2023/1/8652023/1/865控制頻率相關政策規(guī)定控制設計的有效性應當對實質(zhì)性控制提供盡可能詳盡的細節(jié)描述，以便具備相應知識水平的人員能夠正確合理的予以執(zhí)行。這些描述必須依照控制的本質(zhì)去描述，并隨著控制的變化而不斷修正更新，但不可以描述成在未來才可以予以實施或者具備一定條件才可以實施的控制。控制策劃者是指負責更正那些不可能實際實施的控制的人員。這種更正包括更新控制文件（適當?shù)牧鞒虉D和控制表格和其他相關的文件）對于擁有同一控制的不同經(jīng)濟業(yè)務有可能設置同一控制策劃者。控制實施的頻繁度說明了該控制在與其特有的風險評估相關的流程中的重要性?？梢赃x擇是每日/每周/每月/每年兩次/每年或其他。

這是為了符合相關流程、指南（包括授權的指南）、準則、系統(tǒng)說明、工作描述等等。2023/1/866控制頻率相關政策規(guī)定控制設計的有效性應當對實質(zhì)性控制提供盡可評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng)1、內(nèi)控設計缺陷之彌補2、業(yè)務流程之穿行測試3、主要內(nèi)控點之測試策略4、主要內(nèi)控點實際操作之測試5、內(nèi)控實際操作缺陷之彌補及再測試6、評估整體財務報告內(nèi)控的有效性672023/1/867評估整體控制的有效性，1、內(nèi)控設計缺陷之彌補672023/1

四、全面風險管理體系建設方案設計

控制流程基礎設施治理結構人員程序方法系統(tǒng)數(shù)據(jù)識別評估控制測量報告外部環(huán)境控制要求驗證改進

風險戰(zhàn)略控制目標風險偏好風險政策政治文化法制宏觀經(jīng)濟行業(yè)環(huán)境監(jiān)管要求2023/1/868

四、全面風險管理體系建設方案設計

控制流程基礎設施治理結方案設計的理念

全面風險管理基于全面風險管理的內(nèi)控全流程內(nèi)控財務內(nèi)控2023/1/869方案設計的理念全面風險管理基于全面風險管理的內(nèi)控全全面風險管理流程示意圖供應鏈管理生產(chǎn)管理人力資源管理銷售管理投融資管理風險因素和風險事件流程流程流程流程流程…………風險管理接口全面風險管理體系2023/1/870全面風險管理流程示意圖供應鏈管理生產(chǎn)管理人力資源管理銷售管理例如：組織解構圖設計：例如：XX公司的概況例如：1、業(yè)務板塊：以XX行業(yè)產(chǎn)品業(yè)核心主業(yè)，兼營采礦、機械、電子、建筑、房地產(chǎn)、服務業(yè)、海外貿(mào)易。一業(yè)多地2、營業(yè)收入874.7億元利潤16.5億元職工總數(shù)8.25萬3、弘揚長征精神立志創(chuàng)新創(chuàng)優(yōu)創(chuàng)業(yè)

2023/1/871例如：組織解構圖設計：例如：XX公司的概況2023/1/8還可以給出另外的組織結構圖評級部數(shù)據(jù)中心市場部總裁辦董事會秘書行政管理部技術支持部人力資源部分支機構部戰(zhàn)略發(fā)展2部企劃部審計委員會薪酬委員會股東會董事會監(jiān)事會分支機構采購部物流部商賬管理部財務部評審委員會全面風險控制委員經(jīng)營團隊2023/1/872還可以給出另外的組織結構圖評級部數(shù)據(jù)中心市場部總裁辦董事行Xx公司關鍵詞提煉（理念、宗旨等）

海外上市、結構調(diào)整、技術創(chuàng)新、并購重組內(nèi)部控制、風險管理抓結構、保質(zhì)量、打品種、提效益、創(chuàng)品牌穩(wěn)、實、好、快、強2023/1/873Xx公司關鍵詞提煉（理念、宗旨等）

海外上市、結構調(diào)整、技術全面風險管理體系建設遵循原則

長期目標與短期目標結合國際先進經(jīng)驗與公司實際結合1、2、2023/1/874全面風險管理體系建設遵循原則

長期目標與短期目標結合國際五、內(nèi)控體系項目工作流程項目啟動調(diào)研評估體系設計運行測試持續(xù)完善2023/1/875五、內(nèi)控體系項目工作流程項目啟動調(diào)研評估體系設計運行測試持續(xù)調(diào)研評估體系設計運行測試持續(xù)完善主要任務：初步調(diào)研，成立項目管理組織架構，組織內(nèi)部培訓，界定體系建設范圍，明確項目目標，編制項目計劃。工作成果：《XX公司全面風險診斷報告》《XX公司全面風險管理體系建設項目計劃書》階段重點：充分溝通治理結構和管理文化，通過培訓導入風險管理和內(nèi)控的理念，統(tǒng)一認識，實現(xiàn)項目動員。明確項目長期和短期目標，根據(jù)“自上而下、風險導向、重點突破、循序漸進”的策略制定合理的進度計劃。項目啟動2023/1/876調(diào)研評估體系設計運行測試持續(xù)完善主要任務：初步調(diào)研，成立項目體系設計運行測試持續(xù)完善項目啟動主要任務：內(nèi)部環(huán)境調(diào)研，流程梳理，風險評估。工作成果：《XX公司風險管理內(nèi)部環(huán)境調(diào)研報告》《XX公司重點流程內(nèi)控風險評估報告》階段重點：全面深入調(diào)研，準確掌握企業(yè)各個層面對全面風險管理的真實需求。統(tǒng)一流程梳理和風險評估的工具及模版，形成規(guī)范的流程描述和風險評估文檔。調(diào)研評估2023/1/877體系設計運行測試持續(xù)完善項目啟動主要任務：內(nèi)部環(huán)境調(diào)研，流程主要任務：以全面風險管理為導向進行有針對性的內(nèi)控體系設計。工作成果：《XX公司基于全面風險管理的內(nèi)控體系設計框架》《XX公司內(nèi)部控制管理手冊》階段重點：確保所設計的體系能夠與原有運營體制銜接，融入全面風險管理的理念，嵌入風險管理基礎手段，預留風險管理接口。運行測試持續(xù)完善項目啟動調(diào)研評估體系設計2023/1/878主要任務：以全面風險管理為導向進行有針對性的內(nèi)控體系設計。運運行測試主要任務：體系試運行，并進行符合性測試和管理層測試，根據(jù)測試結果進一步改進。工作成果《XX公司內(nèi)控體系運行測試與改進報告》《經(jīng)修正后的內(nèi)控運行報告》階段重點：實現(xiàn)體系的全面試運行，在運行中發(fā)現(xiàn)偏差，并提出改進意見和改進措施。持續(xù)完善項目啟動調(diào)研評估體系設計運行測試2023/1/879運行測試主要任務：體系試運行，并進行符合性測試和管理層測試，主要任務：根據(jù)經(jīng)營過程中的內(nèi)外部環(huán)境變化適時調(diào)整體系。工作成果：內(nèi)控體系建設階段項目成果全面移交

《xx公司內(nèi)控體系與全面風險管理體系接口說明書》階段重點：內(nèi)部工作人員掌握體系持續(xù)完善的方法，實現(xiàn)體系自我持續(xù)完善，并根據(jù)風險管理需求安排全面風險管理體系的過渡。項目啟動調(diào)研評估體系設計運行測試持續(xù)完善2023/1/880主要任務：根據(jù)經(jīng)營過程中的內(nèi)外部環(huán)境變化適時調(diào)整體系。項目啟工作方式選擇2023/1/881工作方式選擇2023/1/881企業(yè)主導項目實施

我們的工作方式以項目工作組為單位建立緊密溝通機制聯(lián)合信用提供全程技術支持和實施輔導1、

2、3、2023/1/882企業(yè)主導項目實施我們的工作方式以項目工作組為單位建立緊密溝機構組織設置情況注冊情況規(guī)模最大資本市場信貸市場聯(lián)合信用管理有限公司（簡稱“聯(lián)合信用”）是經(jīng)國家工商總局核準，于2000年1月在北京成立的全國性專業(yè)信用信息服務機構，2009年4月天津泰達國際(集團)控股有限公司入資聯(lián)合信用，總公司遷址天津。目前設有研發(fā)部、評級事業(yè)部（天津分公司業(yè)務并入評級事業(yè)部）、征信事業(yè)部、財務審計部、綜合管理部。注冊資本1.25億元人民幣，是目前國內(nèi)最大的信用信息服務機構之一。目前設有有分支機構33家，其中聯(lián)合資信和天津中誠從事資本市場業(yè)務，天津中融從事證券咨詢業(yè)務。其它子公司和分公司分別在北京、上海、天津、山東、福建、海南、重慶、湖北、河北、山西、內(nèi)蒙古、新疆、四川、江蘇、浙江、陜西、遼寧、吉林、黑龍江、甘肅、寧夏、安徽、廣東、湖南、云南等26個省市開展信貸市場業(yè)務聯(lián)合優(yōu)勢2023/1/883機構組織設置情況注冊情況規(guī)模最大資本市場信貸市場聯(lián)合信用管理黑龍江吉林遼寧天津山東青島河南河北山西寧夏陜西甘肅新疆重慶四川云南湖北湖南江蘇上海安徽福建廣東深圳廣西北京海南內(nèi)蒙浙江2家資本市場評級機構1家投資咨詢服務機構30家信貸市場評級機構服務網(wǎng)絡2023/1/884黑龍江吉林遼寧天津山東青島河南河北山西寧夏陜西甘肅新疆重慶四專家隊伍王少波博士：戰(zhàn)略管理專家歐志偉博士：風險分析專家李信宏博士：風險分析專家郭其陽碩士：財務分析專家馬文洛碩士：結構分析專家李萌碩士：IT統(tǒng)計專家劉文良碩士：風險分析專家任利剛碩士：評級技術專家2023/1/885專家隊伍王少波博士：戰(zhàn)略管理專家2023/1/885人總行認可的銀行間債券市場評級業(yè)務資格國家發(fā)改委認可的企業(yè)債券評級業(yè)務資格中國保監(jiān)會認可的企業(yè)債券評級業(yè)務資格中國證監(jiān)會認可的證券市場評級業(yè)務資格和證券咨詢資質(zhì)人總行及26個省市分行、支行認定的借款企業(yè)、中小企業(yè)評級機構國家發(fā)改委認定的國家級中小企業(yè)信用服務體系建設試點評級機構國家發(fā)改委認定的國內(nèi)擔保機構信用評級機構國資委、全國整規(guī)辦認定的行業(yè)商會（協(xié)會）信用評價試點評級機構12345678具有評級機構全部的從業(yè)資質(zhì)2023/1/886人總行認可的銀行間債券市場評級業(yè)務資格國家發(fā)改委認可的企業(yè)債全國主要業(yè)務開展情況累計對84支企業(yè)債券進行信用評級，累計市場占有率36.8%，2007年

市場占有率46.7%，居國內(nèi)第一。累計對293家次企業(yè)短期融資券進行信用評級；2007年對131家企業(yè)短期融資券評級，市場占有率42.12%，居國內(nèi)第一。累計對32支金融機構債券進行信用評級，市場占有78.2%，居國內(nèi)第一。創(chuàng)立國內(nèi)中小企業(yè)企業(yè)集合債券信用評級，評級業(yè)務量居全國第一。在18個省市開展擔保機構評級業(yè)務，累計對600多家擔保機構進行了評級，市場占有率80%以上，居國內(nèi)第一。較早開展中小銀行內(nèi)部評級體系研究，與近30家中小金融機構建立了戰(zhàn)略合作關系，已成功為多家中小銀行開發(fā)了內(nèi)部評級系統(tǒng)。集合債券銀行內(nèi)部評級體系金融機構債券短期融資券企業(yè)債擔保機構評級2023/1/887全國主要業(yè)務開展情況累計對84支企業(yè)債券進行信用評級，累計市借款企業(yè)評級業(yè)務總收入31個子公司和分公司在26個省市開展借款企業(yè)、中小企業(yè)信用評級，年評級業(yè)務量達7000余家次，居全國評級機構前列。2008年聯(lián)合信用共計完成營業(yè)收入12523萬元，比2007年增長39.7%，其中資本市場評級營業(yè)收入6865萬元，占總營業(yè)收入的54.8%；完成利潤共計總額2618萬元，比2007年增長145.6%。全國主要業(yè)務開展情況2023/1/888借款企業(yè)評級業(yè)務總收入31個子公司和分公司在26個省市開展借謝謝大家的時間2023/1/889謝謝大家的時間2023/1/889全面風險管理體系建設方案設計

內(nèi)控體系項目工作流程全面風險管理整合框架概述我國企業(yè)風險管理現(xiàn)狀對全面風險管理的理解全面風險管理體系方案設計123456聯(lián)合優(yōu)勢2023/1/890全面風險管理體系建設方案設計全面風險管理整合框架概述我國企業(yè)一、企業(yè)全面風險管理整合框架概述企業(yè)全面風險管理是企業(yè)在實現(xiàn)未來戰(zhàn)略目標的過程中，試圖將各類不確定因素產(chǎn)生的結果控制在預期可接受范圍內(nèi)的方法和過程，以確保和促進組織的整體利益實現(xiàn)。企業(yè)風險管理（ERM）框架是由美國虛假財務報告全國委員會的發(fā)起組織委員會（COSO）在內(nèi)部控制框架的基礎上，于2004年9月提出的企業(yè)風險管理的整合概念。

什么是企業(yè)全面風險管理：

2023/1/891一、企業(yè)全面風險管理整合框架概述企業(yè)全面風險管理是風險管理理論的發(fā)展

以“安全和保險”為特征的風險管理。100多年前航運企業(yè)風險管理的主要措施就是通過保險把風險轉(zhuǎn)移給保險公司。

以“內(nèi)部控制和控制純粹風險”為特征的風險管理。隨著工業(yè)革命的發(fā)展，公司對業(yè)務管理和流程方面的內(nèi)部控制提出了要求。美國1977年的《反國外賄賂法》要求公司管理層加強內(nèi)部會計控制；1992年的《COSO內(nèi)部控制綜合框架》提出以財務管理為主線的內(nèi)部控制系統(tǒng)。

以“風險管理戰(zhàn)略與企業(yè)總體發(fā)展戰(zhàn)略緊密結合”為特征的全面風險管理。風險管理實踐表明，僅靠內(nèi)部控制難以實現(xiàn)企業(yè)的最終目標。為此，COSO于2004年9月出臺了《COSO企業(yè)全面風險管理整合框架》（簡稱ERM），提出了由三個維度構成的風險管理整合框架。

我國國務院國資委于2006年發(fā)布《中央企業(yè)全面風險管理指引》（以下簡稱《指引》），標志著我國中央企業(yè)建立全面風險管理體系工作的啟動。

第一階段：

第二階段：

第三階段：2023/1/892風險管理理論的發(fā)展

COSO企業(yè)風險管理構成八個要素在內(nèi)部控制整合框架五個要素的基礎上，COSO企業(yè)風險管理的構成要素增加到八個，八個要素相互關聯(lián)，貫穿于企業(yè)風險管理的過程中。

監(jiān)控內(nèi)部環(huán)境目標設定事項識別風險評估風險應對控制活動信息與溝通（1）（2）（3）（4）（5）（6）（7）（8）2023/1/893COSO企業(yè)風險管理構成八個要素在內(nèi)部控制整合框全面風險管理框架的8個要素構成

企業(yè)內(nèi)部環(huán)境是其他所有風險管理要素的基礎，為其他要素提供規(guī)則和結構。其中特別是大型企業(yè)領導班子的風險偏好，決定了大型企業(yè)對可能出現(xiàn)的預料之外的事件的態(tài)度，企業(yè)管理層必須明確戰(zhàn)略及其執(zhí)行過程中的風險和回報。

（一）內(nèi)部環(huán)境

管理層制定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略并確定其他與之相關的目標并在企業(yè)內(nèi)層層分解和落實。管理層必須首先確定企業(yè)的目標，才能夠確定對目標的實現(xiàn)有潛在影響的事項。企業(yè)風險管理就是提供給企業(yè)管理層一個適當?shù)倪^程，將目標與企業(yè)的任務或預期聯(lián)系在一起，保證制定的目標與企業(yè)的風險偏好相一致。

（二）目標設定

2023/1/894全面風險管理框架的8個要素構成企業(yè)內(nèi)部環(huán)境是其他所有風險管

企業(yè)風險管理要求辨別可能對實現(xiàn)企業(yè)目標產(chǎn)生負面影響的所有重要情況或事件，事項識別的基礎是將可能的風險與環(huán)境進行對比。這要求綜合運用各種專業(yè)知識，盡可能地了解企業(yè)當前或?qū)淼沫h(huán)境和經(jīng)營情況。一般用可能性（概率）和影響結果兩個指標度量風險。風險評估的過程根據(jù)不同的情況，采用定性和定量相結合的方法。若可以獲取充足的數(shù)據(jù)，可采用決策風險定量評估方法；若潛在的可能性及影響結果都較小，或者無法獲得數(shù)據(jù)，則可采取定性的評估方法。（四）風險評估

（三）事項識別

全面風險管理框架的8個要素構成

2023/1/895

企業(yè)風險管理要求辨別可能對實現(xiàn)企業(yè)目標產(chǎn)生負面影響的所企業(yè)要對每一個重要的風險及其對應的回報進行評價和平衡，據(jù)平衡的情況采取包括回避、接受、共擔或降低這些風險。風險應對是企業(yè)風險管理的整體重要組成部分。

控制活動包括在整個組織使用的審核、批準、授權、確認以及對經(jīng)營績效考核、資產(chǎn)安全管理、不相容職務分離等方法。這是企業(yè)管理層設計的政策和程序，為執(zhí)行特定的風險應對措施提供合理保證。（六）控制活動

（五）風險應對

全面風險管理框架的8個要素構成

2023/1/896企業(yè)要對每一個重要的風險及其對應的回報進行評價和平衡，據(jù)風險信息必須以一定的形式和框架進行交流，使企業(yè)員工、管理層履行各自的責任。企業(yè)必須對各種數(shù)據(jù)和信息流進行加工，形成關于企業(yè)風險組合輪廓的統(tǒng)一觀點，以利于交流。通常存在自上而下式、平行式和自下而上式3種有效的交流形式。員工的風險信息交流意識是風險管理環(huán)境的重要組成部分，應鼓勵員工就其意識到的重要風險與管理層進行交流，企業(yè)管理層應當重視員工的意見。

企業(yè)應通過持續(xù)的監(jiān)控和獨立的評價活動，監(jiān)控企業(yè)風險管理的有效性。持續(xù)監(jiān)控以日常經(jīng)營中發(fā)生的事件和交易為對象，包括企業(yè)管理層和專門的監(jiān)控人員的活動。（八）監(jiān)控

（七）信息與溝通

全面風險管理框架的8個要素構成

2023/1/897風險信息必須以一定的形式和框架進行交流，使企業(yè)員工、管COSO企業(yè)風險管理的性質(zhì)COSO在對《企業(yè)風險管理》的界定中重點強調(diào)了七個屬性和理念：企業(yè)風險管理力求實現(xiàn)一個或多個不同類型但相互交叉的目標。企業(yè)風險管理能夠向一個企業(yè)的管理當局和董事會提供合理保證；企業(yè)風險管理旨在識別那些一旦發(fā)生將會影響企業(yè)的潛在事項，并把風險控制在風險容量以內(nèi)；企業(yè)風險管理貫穿企業(yè)整體，在各個層級和單元應用，還包括采取企業(yè)整體層級的風險組合觀；企業(yè)風險管理應用于戰(zhàn)略制定的過程中；企業(yè)風險管理是由組織中各個層級的人員來實施的；企業(yè)風險管理是一個過程，它持續(xù)流動于企業(yè)之內(nèi)；(1)(2)(3)(4)(5)(6)(7)2023/1/898COSO企業(yè)風險管理的性質(zhì)COSO在對《企業(yè)風險管理》的界企業(yè)風險管理可以發(fā)揮以下作用2023/1/899企業(yè)風險管理可以發(fā)揮以下作用2023/1/810企業(yè)風險管理的目標體系

企業(yè)風險管理框架提出了四類目標：

在這個目標體系中，增加了內(nèi)部控制整合框架中所沒有的一類目標：戰(zhàn)略目標。雖然是平行的方式列示，但是，戰(zhàn)略目標在這個目標體系中是最高層次的，其它三類目標都應當從屬于戰(zhàn)略目標。都是在為戰(zhàn)略目標服務。

戰(zhàn)略(Stntegic)目標，即高層次目標，與使命相關聯(lián)并支撐使命經(jīng)營(operations)目標，高效率地利用資源報告(reporting)目標，報告的可靠性合規(guī)(compliance)目標，符合適用的法律和法規(guī)(1)(2)(3)(4)2023/1/8100企業(yè)風險管理的目標體系企業(yè)風險管理框架提出了四類目COSO內(nèi)控框架三個維度具體內(nèi)容COSO內(nèi)控框架內(nèi)控環(huán)境風險評估控制活動信息和溝通監(jiān)控業(yè)務部門業(yè)務功能整體營運財務報告合規(guī)第一個維度（上面維度）是是目標體系，包括四類目標：(1)戰(zhàn)略(Stntegic)目標，即高層次目標，與使命相關聯(lián)并支撐使命；(2)經(jīng)營(operations)目標，高效率地利用資源；(3)報告(reporting)目標，報告的可靠性；(4)合規(guī)(compliance)目標，符合適用的法律和法規(guī)。

第二個維度（正面維度）是管理要素，包括八個相互關聯(lián)的構成要素,它們源自管理當局的經(jīng)營方式，并與管理過程整合在一起，(1)內(nèi)部環(huán)境、(2)目標設定、(3)事項識別、(4)風險評估、(5)風險應對、(6)控制活動、(7)信息與溝通、(8)監(jiān)控。第三個維度（側面維度）是主體單元，包括集團、部門、業(yè)務單元、分支機構四個層面。2023/1/8101COSO內(nèi)控框架三個維度具體內(nèi)容COSO內(nèi)控框架內(nèi)控環(huán)境風二、我國企業(yè)風險管理概述

企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。

——《中央企業(yè)全面風險管理指引》2023/1/8102二、我國企業(yè)風險管理概述

企業(yè)圍繞總體經(jīng)營目標，通過在企國內(nèi)企業(yè)的風險管理處于起步階段風險管理剛剛起步，表現(xiàn)為：經(jīng)理人階層普遍缺乏風險意識與風險管理的知識企業(yè)管理過程中缺乏風險管理的內(nèi)容，除金融企業(yè)保險與金融領域缺乏風險管理的工具缺少獨立的風險管理行業(yè)與市場原因在于：績效考核中基本不計入風險因素法規(guī)缺乏對上市公司披露風險管理情況的要求股市缺乏對上市公司風險管理的壓力103國內(nèi)企業(yè)的風險管理處于起步階段原因在于：14

我國企業(yè)風險管理法律文獻

2023/1/8104《內(nèi)部會計控制規(guī)范》《證券公司內(nèi)部控制指引》《證券投資基金管理公司內(nèi)部控制指導意見》《獨立審計準則第9號——內(nèi)部控制和審計風險》1996年2001年《商業(yè)銀行內(nèi)部控制指引》2006年《中國企業(yè)會計準則體系》《上市公司內(nèi)部控制指引》《中央企業(yè)全面風險管理指引》中國企業(yè)內(nèi)部控制標準委員會（CICSC）成立《企業(yè)內(nèi)部控制規(guī)范》（征求意見稿）2006年2023/1/8104

我國企業(yè)風險管理法律文獻

2023/1/815《獨立審計準全面風險管理框架的設立原則我國大型企業(yè)要在促進國有經(jīng)濟布局和結構優(yōu)化方面發(fā)揮表率作用，實現(xiàn)國有資本優(yōu)化配置，充分發(fā)揮跨省市經(jīng)營，產(chǎn)業(yè)分布廣的優(yōu)勢，就必須逐步建立全面風險管理框架，降低生產(chǎn)經(jīng)營風險。在企業(yè)全面風險管理建立和實施的過程中，應該遵循以下原則：

成功地回避風險，必須建立在對風險發(fā)生可能性科學預測的基礎上，這就要求在選擇具體操作方法時，堅持理論與實際、定性與定量、歷史與未來相結合的方法，以確保實施方法的準確性和有效性。

一、預測先導原則

2023/1/8105全面風險管理框架的設立原則我國大型企業(yè)要在促進對風險的性質(zhì)、風險程度做出合理評估，結合企業(yè)管理、財務等綜合能力，制定風險管理方針和策略。

全面風險管理框架的設立原則對因進行風險管理而產(chǎn)生的成本及其績效進行比較，擇優(yōu)采用。如果風險防范成本超出了最終風險可預測損失，那么，該項風險防范措施的效果無疑應該大打折扣。

四、成本效益原則

國資委或中央企業(yè)應對所屬企業(yè)管理者的風險管理能力進行監(jiān)控，避免超出其承受能力的經(jīng)營風險。三、避免超載原則

二、權衡輕重原則

2023/1/8106對風險的性質(zhì)、風險程度做出合理評估，結合企業(yè)管理、財務風險管理總體目標與戰(zhàn)略目標一致財務報告真實可靠合規(guī)合法高效運營應對突發(fā)事件，防止重大損失根據(jù)客戶要求，可增加或減少。三、全面風險管理的理解2023/1/8107風險管理總體目標與戰(zhàn)略目標一致財務報告真實可靠合規(guī)合法高效運1、收集初始信息2、風險評估3、制定風險管理策略4、風險管理解決方案5、風險管理監(jiān)督與改進信息與溝通（訪談）工作步驟2023/1/81081、收集初始信息2、風險評估3、制定風險管理策略4、風險管理

全面風險管理三道防線

管理層第1道防線第3道防線第2道防線風險管理內(nèi)部審計業(yè)務部門A業(yè)務部門B業(yè)務部門C審計委員會風控委員會XX委員會XX委員會董事會一個基礎2023/1/8109

全面風險管理三道防線

管理層第1一個基礎：公司治理結構公司治理是涉及公司的表現(xiàn)：它關系到一家公司如何得到有效的管理，從而發(fā)揮最佳表現(xiàn)公司治理是涉及責任的問題：它關系到董事會及管理層如何向股東負責，而使股東能從公司的表現(xiàn)中得益公司治理2023/1/8110一個基礎：公司治理結構公司治理是涉及公司的表現(xiàn)：它關系到一家公司治理與風險管理有什么關系？公司治理是風險管理的一個必要的組成部份，因為它提供了對風險由上而下的監(jiān)控與管理近年多個國家都訂立了公司治理的最佳守則：美國：紐約證交所最佳治理守則英國：Cadbury/HampelReport、TheCombinedCode加拿大：DeyReportOECDReport 這些最佳守則均清楚指出建立風險管理是董事會及管理層的責任2023/1/8111公司治理與風險管理有什么關系？公司治理是風險管理的一如何構建有利風險管理的公司治理結構建立一個健全的、以董事會為首的公司治理結構訂立企業(yè)的目標和戰(zhàn)略，包括企業(yè)的風險政策和極限貫徹一套重視風險管理的企業(yè)文化和價值觀2023/1/8112如何構建有利風險管理的公司治理結構建立一個健全的、以董事會為第一道防線：業(yè)務單位防線業(yè)務單位包含了企業(yè)大部分的資產(chǎn)和業(yè)務，它們在日常工作中面對各類的風險，是企業(yè)的前線企業(yè)必須把風險管理的手段和內(nèi)控程序融入到業(yè)務單位的工作與流程中，才能建立好防范風險的第一道防線2023/1/8113第一道防線：業(yè)務單位防線業(yè)務單位包含了企業(yè)大部分的資1、了解企業(yè)戰(zhàn)略目標及可能影響企業(yè)達標的風險2、識別風險類別3、對相關風險作出評估4、決定轉(zhuǎn)移、避免或減低風險的策略5、計設及實施風險策略的相關內(nèi)部控制如何建立第一道防線2023/1/81141、了解企業(yè)戰(zhàn)略目標及可能影響企業(yè)達標的風險如何建立第一道防(風險宇宙TM)資信制度知識產(chǎn)權財務流動資產(chǎn)與信貸資本結構市場財務報告營運法律生產(chǎn)程序經(jīng)營環(huán)境市場結構民風與文化治理策略董事會活動交易并購變賣聲譽道德社區(qū)責任風險管理董事會及管理層業(yè)績組織結構監(jiān)察與溝通執(zhí)行籌劃與開發(fā)利益有關方供應商政府顧客股東經(jīng)濟情況國家情況市場變化競爭對手人才資源雇員溝通有形資產(chǎn)機器、廠房與土地其他有形資產(chǎn)負債合約法規(guī)市場與銷售生產(chǎn)及流通商品/服務開發(fā)流程估值與選擇買家評估與甄選盡職調(diào)查并購后整合資信管理運營組織與監(jiān)察硬件軟件網(wǎng)絡無形資產(chǎn)知識管理信息現(xiàn)金管理對沖融資股東資本債務商品利率外匯稅務會計合規(guī)風險宇宙(對企業(yè)進行風險分析診斷)2023/1/8115(風險宇宙TM)資信制度知識產(chǎn)權財務流動資產(chǎn)與資本結構市場風險發(fā)生的可能性2023/1/8116風險發(fā)生的可能性2023/1/827風險對企業(yè)造成的影響2023/1/8117風險對企業(yè)造成的影響2023/1/828風險處理方法的效果2023/1/8118風險處理方法的效果2023/1/829風險地圖(或風險共同語言)影響程度近乎沒有輕微中等重大災難幾乎肯定極可能可能低極低BCAGIDJKHEF可能性說明:A–人力資源風險B–財務風險C–競爭風險D–開發(fā)風險E–過度自信風險F–系統(tǒng)故障風險G–主要客戶風險H–欺詐風險I–政治風險J–薪酬獎勵風險K–科技風險2023/1/8119風險地圖(或風險共同語言)影響程度近乎沒有輕微中等重大災難幾風險處理組合

處理評級風險評級近乎沒有效果低效適中超標極度極高高中等低BCAGIDJKHE說明:A–人力資源風險B–財務風險C–競爭風險D–開發(fā)風險E–過度自信風險F–系統(tǒng)故障風險G–主要客戶風險H–欺詐風險I–政治風險J–薪酬獎勵風險K–科技風險F采取行動密切監(jiān)控定期審閱2023/1/8120風險處理組合處理評級風險評級近乎沒有效果低效適中超標風險處理策略影響程度可能性轉(zhuǎn)移避免小心管理可接受大小高低2023/1/8121風險處理策略影響程度可能性轉(zhuǎn)移避免小心管理可接受大小高低20風險策略避免禁止交易減少或限制交易量離開市場轉(zhuǎn)移套期保險策略性聯(lián)盟其他分擔風險的安排小心管理投資廣泛保護的安排訂價反映風險程度可接受自我保險預留儲備增加監(jiān)督風險處理策略影響程度大小可能性轉(zhuǎn)移避免小心管理可接受高低2023/1/8122風險策略小心管理風險處理策略影響程度大小可能性轉(zhuǎn)移避免小心管企業(yè)建立的第一道防線，就是要各業(yè)務單位就其戰(zhàn)略性風險、信貸風險、市場風場和操作風險等等，系統(tǒng)化地進行分析、確認、度量、管理和監(jiān)控企業(yè)需要把評估風險與內(nèi)控措施的結果進行記錄和存檔，對內(nèi)控措施的有效性不斷進行測試和更新第一道防線：總結管理層CEO第三道防線第二道防線第一道防線業(yè)務部門董事會風險管理內(nèi)部審計審計委員會風險管理委員會2023/1/8123企業(yè)建立的第一道防線，就是要各業(yè)務單位就其戰(zhàn)略性風險、信貸風第二道防線：風險管理單位防線第二道防線是在業(yè)務單位之上建立一個更高層次的風險管理功能，它的組成部份可能包括風險管理部門、信貸審批委員會、投資審批委員會風險管理部的責任是領導和協(xié)調(diào)公司內(nèi)各單位在管理風險方面的工作，它的職責包括：編制規(guī)章制度對各業(yè)務單位的風險進行組合管理度量風險和評估風險的界限建立風險信息系統(tǒng)和預警系統(tǒng)、厘定關鍵風險指標負責風險信息披露、溝通、協(xié)調(diào)員工培訓和學習的工作按風險與回報的分析，為各業(yè)務單位分配經(jīng)濟資本金2023/1/8124第二道防線：風險管理單位防線第二道防線是在業(yè)務單位之上建立一125“內(nèi)部審計是一項獨立、客觀的審查和咨詢活動，其目的在于增加企業(yè)的價值和改進經(jīng)營。內(nèi)審通過系統(tǒng)的方法，評價和改進企業(yè)的風險管理、控制和治理流程的效益，幫助企業(yè)實現(xiàn)其目標?！泵绹鴥?nèi)部審計師協(xié)會第三道防線：內(nèi)審單位防線第三道防線涉及一個獨立于業(yè)務單位的部門，監(jiān)控企業(yè)內(nèi)控和其他企業(yè)關心的問題內(nèi)部審計的定義：2023/1/812536“內(nèi)部審計是一項獨立、客觀的審查和咨詢活動，其目的在于增內(nèi)部審計的三大功能財務監(jiān)督財務帳的可用性內(nèi)部管理和制度的執(zhí)行典型例子：檢查分、子公司上報總部的財務報表的 準確性以及執(zhí)行財務管理政策的情況經(jīng)營診斷管理審計以及效率和效益審計檢查和診斷經(jīng)營和管理過程中的偏差和失誤典型例子： 企業(yè)對某業(yè)務單位或某部門執(zhí)行效益審計 (一個輸入與產(chǎn)出的關系)

2023/1/8126內(nèi)部審計的三大功能財務監(jiān)督2023/1/837咨詢顧問企業(yè)風險管理和發(fā)展策略方面的咨詢調(diào)查領導關心的熱點問題和管理薄弱環(huán)節(jié)典型例子：兼并收購時調(diào)查被投資公司的內(nèi)部管理和流程操作，了解薄弱環(huán)節(jié)或其他影響并購交易的重大事項，從而確定管理方法和并購策略2023/1/8127咨詢顧問2023/1/838構建企業(yè)風險管理的關鍵成功要素1、股東確立對企業(yè)監(jiān)督的機制，考慮是否需要在集團層面：引入以董事會領導的管理體制聘任有經(jīng)驗的外部董事，來加強對企業(yè)的監(jiān)督要求企業(yè)建立風險管理和內(nèi)控系統(tǒng)，并對其運作及有效性作出定期的匯報2023/1/8128構建企業(yè)風險管理的關鍵成功要素1、股東確立對企業(yè)監(jiān)督的機制2、管理高層的支持和參與確立方向和目標營造必要的環(huán)境為平衡風險與回報作出戰(zhàn)略性的決定風險回報風險與回報成正比？風險調(diào)整風險后的回報冒險程度

–不夠進取冒險程度–高危冒險程度–理想范圍2023/1/81292、管理高層的支持和參與風險回報風險與回報成正比？風險調(diào)整風1303. 建立風險管理文化風險管理的手段，必須融入日常的管理流程通過討論和培訓，使風險管理的實施得到“全民”的支持通過經(jīng)驗的分享，不斷加強風險管理的認同性4. 采用先進的風險管理的實施方法借鑒如美國Treadway委員會所提出的COSO內(nèi)控框架采用各種識別和度量風險的先進的方法采用標準的模板和程序確認風險、評估風險、建立記錄和文檔、參考國際最佳實務，構建信息管理系統(tǒng)和預警系統(tǒng)2023/1/8413. 建立風險管理文化2023/1/8130財務內(nèi)控財務控制是風險管理的主要內(nèi)容主要內(nèi)容2023/1/8131財務內(nèi)控財務控制是風險管理的主要內(nèi)容主要內(nèi)容2023/1/財務報告系統(tǒng)的功能股東監(jiān)管部門其他利益相關者分析和修正企業(yè)遠景、戰(zhàn)略和目標企業(yè)經(jīng)營、管理和控制企業(yè)業(yè)績的度量和報告財務報告系統(tǒng)財務信息披露和報告2023/1/8132財務報告系統(tǒng)的功能股東監(jiān)管部門其他利益相關者分析和修正企業(yè)遠經(jīng)常性業(yè)務交易非經(jīng)常性業(yè)務交易資料和數(shù)據(jù)的處理目標：更自動化、更程序化、更規(guī)范化縮短編制時間、減少人為錯誤財務報告系統(tǒng)加強業(yè)務與財會人員之間的溝通了解會計準則的要求，減少個別主觀人為判斷財務報告系統(tǒng)管理2023/1/8133經(jīng)常性業(yè)務交易非經(jīng)常性業(yè)務交易資料和數(shù)據(jù)的處理目標：更自動化財務報告系統(tǒng)的典型問題1、輸入資料不準確或不完整缺乏內(nèi)部控制員工缺乏應有的知識和資歷對資料的要求不清晰2、缺乏一套清晰和統(tǒng)一的會計政策如何確認收入？如何計提準備金？如何界定經(jīng)營性與 資本性支出？會計科目設計不完善依靠人手操作或缺乏合適和統(tǒng)一的電子核算平臺如何反映對外投資？如何記錄各類金融衍生工具？2023/1/8134財務報告系統(tǒng)的典型問題1、輸入資