風險管理解決方案

2006年8月《中央企業(yè)全面風險管理指引》輔導班中央企業(yè)全面風險管理指引第一章總則第二章風險管理初始信息第三章風險評估第四章風險管理策略第五章風險管理解決方案第六章風險管理的監(jiān)督與改進第七章風險管理組織體系第八章風險管理信息系統(tǒng)第九章風險管理文化第十章附則引言這里介紹的內容涉及的主要章節(jié)2內容概括逐條解釋指引第五章有關內容的要點進一步敘述風險管理解決方案，重點講解內部控制3制定風險管理策略后的邏輯步驟按照風險管理的基本流程，制定風險管理策略后的工作是制定實施風險管理解決方案，也就是，執(zhí)行前一階段制定風險管理解決策略，進一步落實風險管理工作監(jiān)控改進制定風險管理策略風險評估1.2.5.4.3.信息溝通貫穿始終制定實施解決方案建立初始信息4第五章 風險管理解決方案綜述

本章即指引第三十一條至第三十六條的內容：提出風險管理解決方案風險管理解決方案的組成部分外包風險管理解決方案的注意事項內部控制的原則內部控制的內容提出落實的要求5第五章 風險管理解決方案第三十一條企業(yè)應根據(jù)風險管理策略，針對各類風險或每一項重大風險制定風險管理解決方案。方案一般應包括風險解決的具體目標，所需的組織領導，所涉及的管理及業(yè)務流程，所需的條件、手段等資源，風險事件發(fā)生前、中、后所采取的具體應對措施以及風險管理工具(如：關鍵風險指標管理、損失事件管理等)。

企業(yè)應根據(jù)面臨的風險制定解決方案解決方案的組成部分包括目標、組織、范圍、實施條件、手段和工具6解決方案風險管理解決方案分外部和內部解決方案內部解決方案是前面所說風險管理策略的實施，是全面風險管理體系的運轉。因此，在具體實施中，一般是以下幾種手段的綜合應用：風險管理策略；組織職能；內部控制，包括政策、制度、程序；信息系統(tǒng)，包括報告體系；風險理財。7關鍵風險指標管理關鍵風險指標管理是對引起風險事件發(fā)生的關鍵成因指標進行管理的方法關鍵風險指標管理可以管理單項風險的多個關鍵成因指標，也可以管理影響企業(yè)主要目標的多個主要風險假設公司現(xiàn)在關心的主要目標是年度盈利指標影響年度盈利指標的風險因素有許多，包括年度銷售額、原材料價格、制造成本、銷售成本、投資收入、利息、應收賬款等8量化風險指標具體操作步驟：分析風險成因，從中找出關鍵成因。將關鍵成因量化，確定其度量，分析確定導致風險事件發(fā)生（或極有可能發(fā)生）時該成因的具體數(shù)值。經(jīng)過數(shù)據(jù)分析，認定影響盈利的主要風險是信用風險，其代表性的風險事件是客戶還款不及時，導致應收賬款大量增加進一步量化，得到月度壞賬損失額、每日未回收的應收賬款和客戶結構變化率等三個量化指標，并得出預警值9建立預警系統(tǒng)具體操作步驟：以該具體數(shù)值為基礎，以發(fā)出風險預警信息為目的，加上或減去一定數(shù)值后形成新的數(shù)值，該數(shù)值即為關鍵風險指標建立風險預警系統(tǒng)，即當關鍵成因數(shù)值達到關鍵風險指標時，發(fā)出風險預警信息0204060801001月2月3月4月月度壞賬損失額135萬150萬每日應收未收賬款167萬190萬客戶結構變化率35%40%10監(jiān)控實施預預警措施具體操作步步驟：制定出現(xiàn)風風險預警信信息時應采采取的風險險控制措施施跟蹤監(jiān)測關關鍵成因數(shù)數(shù)值的變化化，一旦出出現(xiàn)預警，，即實施風風險控制措措施風險事件不需要關注風險預警，需要關注重大風險，需要采取行動11關鍵風險指指標的分解解企業(yè)目標的的實現(xiàn)要靠靠企業(yè)的各各個部門和和業(yè)務單元元共同的努努力，同樣樣，企業(yè)的的指標要分分解到企業(yè)業(yè)的各個部部門和業(yè)務務單元。對對于關鍵風風險指標也也是一樣但是，對于于關鍵風險險指標的分分解要注意意部門和業(yè)業(yè)務單元之之間的關系系。這里的的關鍵是從從企業(yè)整體體出發(fā)和把把風險控制制在一定范范圍內。切切不可采用用“最大化化”的說法法。比如，，信用管理理部門負責責信用風險險的管理，，如果其強強調最小化化信用風險險，緊縮信信用，則會會給負責擴擴大市場占占有率和銷銷量的市場場和銷售部部門造成傷傷害，從而而影響公司司整體目標標的實現(xiàn)對于關鍵風風險指標的的分解，要要兼顧各部部門和業(yè)務務單元的訴訴求。一個個可行的方方法是在企企業(yè)的總體體領導和整整體戰(zhàn)略的的指導下進進行部門和和業(yè)務單元元間的協(xié)商商12第五章風風險管理解解決方案第三十二條條企業(yè)制制定風險管管理解決的的外包方案案，應注重重成本與收收益的平衡衡、外包工工作的質量量、自身商商業(yè)秘密的的保護以及及防止自身身對風險解解決外包產(chǎn)產(chǎn)生依賴性性風險等，，并制定相相應的預防防和控制措措施。企業(yè)采取風風險解決的的外包方案案應當注意意的事項13風險管理外外包的注意意事項企業(yè)經(jīng)營活活動外包是是利用產(chǎn)業(yè)業(yè)鏈專業(yè)分分工，提供供運營效率率的必要措措施企業(yè)許多風風險管理工工作可以外外包出去，，如企業(yè)使使用投資銀銀行、信用用評級公司司、保險公公司、律師師事務所、、會計事務務所、風險險管理咨詢詢公司等專專業(yè)機構，，將有關方方面的工作作外包，可可以降低企企業(yè)的風險險，提供效效率外包可以使企企業(yè)規(guī)避一些些風險的同時時，可能帶來來另一些風險險，應當加以以控制14第五章 風險險管理解決方方案第三十三條企企業(yè)制定風風險解決的內內控方案，應應滿足合規(guī)的的要求，堅持持經(jīng)營戰(zhàn)略與與風險策略一一致、風險控控制與運營效效率及效果相相平衡的原則則，針對重大大風險所涉及及的各管理及及業(yè)務流程，，制定涵蓋各各個環(huán)節(jié)的全全流程控制措措施；對其他他風險所涉及及的業(yè)務流程程，要把關鍵鍵環(huán)節(jié)作為控控制點，采取取相應的控制制措施。內控制定的原原則15全面風險管理理的必要舉措措內控系統(tǒng)是全全面風險管理理的重要組成成部分，是全全面風險管理理的基礎設施施和必要舉措措一般說來，內內部控制系統(tǒng)統(tǒng)針對的風險險一般是可控控純粹風險，，其控制對象象是企業(yè)中的的個人，其控控制目的是規(guī)規(guī)范員工的行行為，其控制制范圍是企業(yè)業(yè)的業(yè)務和管管理流程內部控制是通通過有關企業(yè)業(yè)流程的設計計和實施的一一系列政策、、制度、程序序和措施，控控制影響流程程目標的各種種風險的過程程16內控系統(tǒng)的歷歷史發(fā)展美國COSO組織1992年的整合內控控體系對世界界各國公司立立法和管理影影響巨大美國2002年通過的薩班班斯法案將建建立和維持有有效的內控系系統(tǒng)作為對上上市公司的法法律合規(guī)要求求COSO1992內部控制的概概念始于上一一世紀初的財財務控制，在在80年代以后逐漸漸受到各國的的重視，特別別是監(jiān)管機構構的重視。在在發(fā)展過程中中，內部控制制的理論吸收收了控制論、、系統(tǒng)論、組組織理論、行行為科學、心心理學、管理理學等多學科科的內容17內控設計的基基本原則全面性–覆蓋企業(yè)所有有重要業(yè)務及及管理流程和和流程的的全過程系統(tǒng)性–按統(tǒng)一原則制制定，與風險險策略一致合規(guī)性–符合國家有關關法律法規(guī)成本效益–控制與收益平平衡權力分離及相相互制約–崗位之間相互互制約，重要要流程及決策策不能由一個個人完成激勵平衡–權責明確及獎獎懲結合信息反饋–內部控制應有有自我調節(jié)功功能可操作性–根據(jù)企業(yè)現(xiàn)有有操作水平制制定包容性–不致因個別環(huán)環(huán)節(jié)失靈導致致全系統(tǒng)失靈靈18內控的設計按照風險管理理的基本流程程進行：對象流程的環(huán)環(huán)境信息，包包括目標、全全流程各個步步驟、有關法法規(guī)制度風險評估設計控制策略略設計控制措施施監(jiān)控改進監(jiān)控改進制定風險管理策略風險評估1.2.5.4.3.信息溝通貫穿始終制定實施解決方案建立初始信息19內控與流程再再造內控設計以流流程為基礎。。因此，在建建立內部控制制系統(tǒng)時，首首先要梳理現(xiàn)現(xiàn)有的管理和和業(yè)務流程。。必要時，建建立相關的流流程完善的流程包包括完善的內內部控制；設設計內控的過過程也是完善善流程的過程程。因此，涉涉及內部控制制的過程一般般會涉及流程程的再造，加加強現(xiàn)有流程程的內控也是是流程再造的的一部分20流程風險控制點控制措施?流程的內部控控制流程是否存在在設計是否合理理職責是否明確確執(zhí)行是否嚴格格獎懲是否明白白效果是否滿意意關鍵績效區(qū)風險是否辨識識影響什么指標標影響哪些流程程影響哪些部門門或或哪一級企業(yè)業(yè)分析是否徹底底應對是否存在在設計是否合理理職責是否明確確是否經(jīng)過檢驗驗效果是否滿意意21薩班斯法案404條款的要求在美國上市的的中國公司應應當遵守薩班班斯法案的要要求薩班斯法案要要求所有美國國的上市公司司要在所有與與財務報告有有關的流程建建立并維持足足夠的內部控控制因此，滿足薩薩班斯法案的的第一步就是是識別所有與與財務報告有有關的流程外部審計師須須對公司的財財務報告流程程的內部控制制進行審計，，并出具意見見404條款-年度財務報告告內部控制的的公司管理層層報告書設立并維持了了足夠的財務務報告內控體體系；財務報告內控控體系有效性性的評價；為評價財務報報告內控體系系而采用的評評價體系的說說明。Sarbanes-OxleyActof200222第五章 風險險管理解決方方案第三十四條企企業(yè)制定內內控措施，一一般至少包括括以下內容：：(一)建立內控崗位位授權制度。。對內控所涉涉及的各崗位位明確規(guī)定授授權的對象、、條件、范圍圍和額度等，，任何組織和和個人不得超超越授權做出出風險性決定定；(二)建立內控報告告制度。明確確規(guī)定報告人人與接受報告告人，報告的的時間、內容容、頻率、傳傳遞路線、負負責處理報告告的部門和人人員等；(三)建立內控批準準制度。對內內控所涉及的的重要事項，，明確規(guī)定批批準的程序、、條件、范圍圍和額度、必必備文件以及及有權批準的的部門和人員員及其相應責責任；(四)建立內控責任任制度。按照照權利、義務務和責任相統(tǒng)統(tǒng)一的原則，，明確規(guī)定各各有關部門和和業(yè)務單位、、崗位、人員員應負的責任任和獎懲制度度；(五)建立內控審計計檢查制度。。結合內控的的有關要求、、方法、標準準與流程，明明確規(guī)定審計計檢查的對象象、內容、方方式和負責審審計檢查的部部門等；(六)建立內控考核核評價制度。。具備條件的的企業(yè)應把各各業(yè)務單位風風險管理執(zhí)行行情況與績效效薪酬掛鉤；；(七)建立重大風險險預警制度。。對重大風險險進行持續(xù)不不斷的監(jiān)測，，及時發(fā)布預預警信息，制制定應急預案案，并根據(jù)情情況變化調整整控制措施；；(八)建立健全以總總法律顧問制制度為核心的的企業(yè)法律顧顧問制度。大大力加強企業(yè)業(yè)法律風險防防范機制建設設，形成由企企業(yè)決策層主主導、企業(yè)總總法律顧問牽牽頭、企業(yè)法法律顧問提供供業(yè)務保障、、全體員工共共同參與的法法律風險責任任體系。完善善企業(yè)重大法法律糾紛案件件的備案管理理制度；(九)建立重要崗位位權力制衡制制度，明確規(guī)規(guī)定不相容職職責的分離。。主要包括：：授權批準、、業(yè)務經(jīng)辦、、會計記錄、、財產(chǎn)保管和和稽核檢查等等職責。對內內控所涉及的的重要崗位可可設置一崗雙雙人、雙職、、雙責，相互互制約；明確確該崗位的上上級部門或人人員對其應采采取的監(jiān)督措措施和應負的的監(jiān)督責任；；將該崗位作作為內部審計計的重點等。。23內控的基本應應對手段授權報告批準責任審計檢查考核評價預警法律風險防范范體系權力制衡內部控制的系系統(tǒng)主要包括括企業(yè)的過程程、程序、政政策、準則、、方針、結構構、規(guī)范24建立授權制度度(一)建立內控崗位位授權制度。。對內控所涉涉及的各崗位位明確規(guī)定授授權的對象、、條件、范圍圍和額度等，，任何組織和和個人不得超超越授權做出出風險性決定定；授權制度至關關重要。要做做到事事有授授權，尤其是是重大決策更更是要明確的的授權授權應當遵循循崗位分離的的原則，授權權范圍要適當當。不可過寬寬，過寬則內內控失靈；不不可過窄，過過窄則影響效效率授權應當結合合激勵機制，，明確授權的的同時明確獎獎懲信息系統(tǒng)在流流程中的使用用有助授權制制度的剛性化化25建立內控報告告制度(二)建立立內控報告制制度。明確規(guī)規(guī)定報告人與與接受報告人人，報告的時時間、內容、、頻率、傳遞遞路線、負責責處理報告的的部門和人員員等；內控報告制度度是內控信息反反饋原則的具具體體現(xiàn)內控報告制度度是內控的有有效性保證，，其作用是使使各級管理層層和企業(yè)內外外部的利益相相關人能夠及及時得到企業(yè)業(yè)的內控的真真實信息內控報告制度度是風險管理理信息溝通，，其時間、頻頻率、內容等等應與針對的的風險匹配26建立內控批準準制度(三)建立立內控批準制制度。對內控控所涉及的重重要事項，明明確規(guī)定批準準的程序、條條件、范圍和和額度、必備備文件以及有有權批準的部部門和人員及及其相應責任任；內控批準制度度是授權制度度的表現(xiàn)對內控所涉及及的重要事項項，如重大決決策與重要信信息的披露等等建立明確的的批準制度，，使得流程的的控制更加嚴嚴密要堅持風險控控制與運營效效率及效果相相平衡的原則則，對公司內內控所涉及的的事項進行分分級、分類的的管理，同時時可利用信息息系統(tǒng)提高運運營效率27建立內控責任任制度(四)建立立內控責任制制度。按照權權利、義務和和責任相統(tǒng)一一的原則，明明確規(guī)定各有有關部門和業(yè)業(yè)務單位、崗崗位、人員應應負的責任和和獎懲制度；內控責任制度度應與內控授授權制度配套套，并配之以以合理的獎懲懲措施要明確每一個個員工在內部部控制中的責責任及其獎懲懲，并嚴格執(zhí)執(zhí)行。沒有獎獎懲制度的責責任會落空，，不嚴格執(zhí)行行的獎懲制度度也會落空內控責任可能能與業(yè)務無關關，但同樣需需要考核28建立內控審計計檢查制度(五)建立立內控審計檢檢查制度。結結合內控的有有關要求、方方法、標準與與流程，明確確規(guī)定審計檢檢查的對象、、內容、方式式和負責審計計檢查的部門門等；內控審計制度度是內控系統(tǒng)統(tǒng)中的重要組組成部分，是是內控系統(tǒng)執(zhí)執(zhí)行風險管理理基本流程中中監(jiān)控改進步步驟的重要環(huán)環(huán)節(jié)，使保證證內控有效并并不斷提高的的關鍵應當堅持審計計部門與內控控的執(zhí)行部門門的相對獨立立內控審計的計計劃和審計報報告應當?shù)玫降斤L險管理委委員會的批準準內控審計是審審計業(yè)務的一一個新事物，，但是國際上上的趨勢。公公司應當高度度重視，配備備人才，做好好這項工作29建立內控考核核評價制度(六)建立立內控考核評評價制度。具具備條件的企企業(yè)應把各業(yè)業(yè)務單位風險險管理執(zhí)行情情況與績效薪薪酬掛鉤；內控控的的績績效效考考核核是是內內控控的的獎獎懲懲措措施施的的落落實實在有有條條件件時時，，要要量量化化內內控控的的績績效效。?？煽梢砸钥伎紤]慮使使用用如如內內控控失失靈靈造造成成的的損損失失、、產(chǎn)產(chǎn)生生的的次次質質品品、、客客戶戶滿滿意意度度，，人人才才流流失失度度等等指指標標來來衡衡量量內內控控的的效效果果不能能量量化化內內控控的的績績效效時時，，可可以以采采用用同同行行評評比比，，專專家家意意見見等等方方法法30建立立重重大大風風險險預預警警制制度度(七七)建建立立重重大大風風險險預預警警制制度度。。對對重重大大風風險險進進行行持持續(xù)續(xù)不不斷斷的的監(jiān)監(jiān)測測，，及及時時發(fā)發(fā)布布預預警警信信息息，，制制定定應應急急預預案案，，并并根根據(jù)據(jù)情情況況變變化化調調整整控控制制措措施施；關于于建建立立重重大大風風險險的的預預警警制制度度，，可可參參考考前前面面關關鍵鍵風風險險指指標標管管理理的的內內容容31法律風險險管理(八)建立健全全以總法法律顧問問制度為為核心的的企業(yè)法法律顧問問制度。。大力加加強企業(yè)業(yè)法律風風險防范范機制建建設，形形成由企企業(yè)決策策層主導導、企業(yè)業(yè)總法律律顧問牽牽頭、企企業(yè)法律律顧問提提供業(yè)務務保障、、全體員員工共同同參與的的法律風風險責任任體系。。完善企企業(yè)重大大法律糾糾紛案件件的備案案管理制制度；法律風險險管理是是企業(yè)全全面風險險管理的的一部分分，管理理企業(yè)法法律風險險要服從從企業(yè)整整體風險險管理策策略隨著市場場環(huán)境的的變化和和國企走走出國門門，法律律風險日日益突出出要充分考考慮到法法律風險險的環(huán)境境特性和和復合特特性，即即法律風風險管理理的專業(yè)業(yè)性32建立重要要崗位權權力制衡衡制度(九)建立重要要崗位權權力制衡衡制度，，明確規(guī)規(guī)定不相相容職責責的分離離。主要要包括：：授權批批準、業(yè)業(yè)務經(jīng)辦辦、會計計記錄、、財產(chǎn)保保管和稽稽核檢查查等職責責。對內內控所涉涉及的重重要崗位位可設置置一崗雙雙人、雙雙職、雙雙責，相相互制約約；明確確該崗位位的上級級部門或或人員對對其應采采取的監(jiān)監(jiān)督措施施和應負負的監(jiān)督督責任；；將該崗崗位作為為內部審審計的重重點等。。這是內控控的基本本原則首先要明明確重要要的崗位位，涉及及重大決決策制定定、重大大事件應應對、重重大風險險管理、、重要信信息的披披露等的的責任應應視為重重要崗位位完善的公公司治理理制度，，即董事事會和管管理層的的分離、、決策層層和執(zhí)行行層的分分離是權權力制衡衡的設計計典范特別要注注意在大大的流程程設計層層面，重重要流程程及決策策不能由由一個人人或一個個部門自自始至終終完成33內控手冊冊內部控制制手冊第一章總總則1.1前言1.2內部控制制框架第二章業(yè)業(yè)務流流程2.1采購2.2成本2.3銷售2.4資金2.5投資內控控