第一篇：內控與風險管理培訓心得體會

內控與風險管理培訓心得體會

無論多么完美的內控制度，如果得不到有效的執行，也只能是聾子的耳朵——一種擺設而已。合規經營是企業穩健運行的內在要求，也是每一個員工必須履行的職責，同時也是保障自己切身利益的有力武器。通過這次培訓，使我對合規有了更加深刻的認識。

首先，規范是防范操作風險的需要。合規經營是規范操作行為，遏制違規違紀問題和防范案件發生，全面防范風險，提升經營管理水平的需要。因為合規與信用社的成本控制、風險控制、資本回報等銀行經營的核心要素具有正相關的關系，能為信用社創造價值，而且有效的合規經營能將合規風險消除于無形。

其次，規范是完善制度體系的需要。企業賴以生存的質量效益源于依法合規經營，源于產生質量和效益的每一個環節，源于每一個崗位的每一位員工。所以信用社的發展一定要以合法、合規經營為前提，這樣才能從源頭上預防風險。

再次，規范經營是落實科學發展觀，實現發展目標的重要保證。因為合規經營就是為業務保駕護航的，是為了更好地促進業務發展服務的。在發展、開拓業務和同業競爭中，只有緊緊遵循合規經營的理念，提高管理的質量，才能保證信用社的經久不衰。

那么，怎樣才能使規范經營深入人心，我認為，惟有做到“五個到位”：

一要道德教育到位?！八伎挤绞經Q定行為和成就?！北仨氉尯弦幍挠^念和意識滲透到每一個員工的血液中，滲透到每個崗位、每個業務操作環節中，營造“重操守、講合規、促案防”的良好氛圍，促使所有員工在開展經營管理工作時能夠遵循法律、規則和標準。一是強化法

紀意識。積極開展法制教育，增強員工的防范意識、法律意識；用現實的案例教育身邊的人，使員工將法紀規范熔鑄在自己思想中。

二是強化奉獻意識。引導員工加強自身修養，學會心理調控，不盲目與人攀比，防微杜漸，面對各種誘惑保持高度的警覺性；正確處理好群體與個體、個體與社會、個體與個體利益得失的矛盾。三是強化自覺意識。引導員工樹立正確的人生觀和價值觀，自覺地運用各種社會規范指導和檢點自己的行為，使自己循規蹈矩。四是強化集體意識。引導每個員工珍愛集體榮譽，關心集體的共同利益、共同目標、共同榮譽，增強集體觀念。

二要執行能力到位。根據自身的改革和發展的形勢，制定盡可能詳盡的業務規章制度和操作流程，建立以提高執行力為目標的制度體系。一是加大制度的執行力度，引導員工增強利用制度自我保護意識，由“要我執行制度”轉變為“我要執行制度”，做到有章必循，違章必究，形成制度制約。二是不斷創新操作流程和管理制度，對實踐證明仍然行之有效的管理辦法，必須堅持，制定合規經營程序以及合規手冊、員工行為準則等合規指南，為員工恰當執行法律、規則和準則提供指導。

三是培養員工良好習慣，堅持按照操作規程處理每一筆業務，把習慣性的合規操作工作嵌入各項業務活動之中，讓合規的習慣動作成為習慣的合規操作。四是正確處理好合規經營與業務發展的辨 證關系，只有合規經營，業務才能更好更快地發展，在合規的基礎上創新，在創新的平臺上達到更高質量和更有效益的合規。

四要監督管理到位。完善業務發展與合理管理并重的績效考核辦法，建立風險防范的監督機制。一是將合規經營落實情況考核納入業績考核指標體系，并作為衡量各單位工作績效的指標之一，使其和領導業績、員工收入緊密掛鉤。二是建立獎罰并重的專項考核激勵機制。

對合規工作做得好或對舉報、抵制違規有貢獻者給予保護、表揚或獎勵；對履行工作職責中僅有微小偏差或偶然失誤、且未造成不良后果的，予以免責或從輕處理；對存在或隱瞞違規問題、造成不良后果者，要按照規定給予處罰，追究責任。三是建立溝通制度。制度不是放在案頭的裝飾品，它需要管理人員經常地向員工宣講，不厭其煩地溝通、解釋、提醒，制度才能得以執行。四是建立合理化建議制度。通過開展“合理化建議活動”，充分發揮員工的智慧，重視他們的意見，給他們發現問題、提出解決問題的機會，引導他們提出改善業務操作、防范風險的合理化建議，凡是自己提出來且受到重視并在實踐中得以運用的建議，員工自然會銘記在心，自覺執行。

五要榜樣作用到位?！鞍駱拥牧α渴菬o窮的”。正面典型是旗幟，可以啟迪心靈，引路導航；反面典型是警鐘，可以敲山震虎，以之為鑒。一是領導干部要率先垂范，身體力行，給下屬員工做出合規操作的良好示范。

第二篇：內控與風險管理提升心得體會

內控與風險管理提升心得體會

眾所周知，一個沒有免疫系統、或免疫力偏低的生命體是不可能

健康成長的，而內部控制就是企業“生命體”的免疫系統。因此，欲使

郵政儲蓄銀行不斷成長壯大，就必須在大力拓展各項業務的同時，更

加有效地推進其自身免疫系統—內控制度建設，以保證郵政儲蓄銀行的穩健發展。郵政儲蓄銀行盡快建立起規范、科學而運轉良好的內控

制度不僅是日益加強的金融監管的外在要求，同時也是實現預定發展

戰略目標和防范金融風險的內在需要。運行良好的內部控制可以發揮

如下作用：一是確保國家法律法規和監管規章的貫徹執行;二是確保

將各種風險控制在可承受的范圍內;三是確保自身發展戰略和經營目

標的全面實現;四是有利于查錯防弊，堵塞漏洞，消除隱患，保證業

務穩健運行。

開展“內控與風險提升年”活動，其目的是進一步落實各項內控制

度，提高全體員工團結務實、審慎經營、愛崗敬業、遵章守紀的自覺

性，查擺、堵塞工作中的漏洞，遏制各類案件的發生，全面提高工作

質量和服務水平。轉變工作作風，大興求真務實之風，使全體員工以

滿腔的熱情和昂揚的斗志全身心投入到工作中去，為我行內控的發展

提供有力的保障?，F就學習完“內控與風險提升年”活動細則后談談自

己的體會：

一、當前內控制度存在的問題

1、對內控制度的認識不到位。有的把內部控制簡單地理解為各種規章制度的制定、裝訂、匯總，認為做了整章建制方面的工作，就等于建立了內控機制;有的在把握內控與管理、內控與風險、內控與發展的關系等問題上，認識有偏差，把加強內控與發展和效益對立起來，在業務拓展和風險防范的抉擇中，側重于抓規模、抓效益，不切實際地求得資產規模的擴張，造成違規違章現象發生，以致資產質量低下。

2、稽核、監察監督機制不建全，是直接影響內控制度的有效落實?；?、監察部門不能起到查錯防漏、糾正違規、強化管理、控制風險的作用。內部稽核、監察體制不順，本身沒有處理問題權，有的問題得不到真實反映，使一些問題被積壓下來，沒有相應的制約措施。

3、風險控制系統不健全，對內部控制的評價與監督不夠。風險控制是金融機構內部控制中的一個難點，目前我行缺乏具體風險評估及控制為核心的信貸風險管理體系.管理制度也極不完善，貸款發放還沒有實行風險度管理。

二、本人的體會

所謂有效的內部控制包含有四層含義，即：其一，它是無時不控的---貫穿于業務操作的始終;其二，它是無處不控的——與業務的速度和空間同步，甚至有所超前，以體現內控優先的思想，其三，它是無人不控的——上到管理者，下至每位員工，只有嚴格執行內部控制才是至高無尚的;其四，它是無事不控的——小業務要控，大事情更要控，一切經營管理活動無不在其控制之下進行，沒有例外與“個案”處理。

郵政儲蓄銀行要建立怎樣的內部控制呢?首先我本人認為：增強自律意識是根本。一切活動離不開人，人是生產力中最活的因素，內部控制不能例外。良好的內部控制既是經營管理者設計構造的產物，也是其遵循維護的結果。如果說設計構造不易，那么有顏色遵循維護則更難。因為，需要持之以恒孜孜不倦，一以貫之。從這一意義上說，自律意識牢固樹立之日，才是內部控制運行完全到位之時。

增強自律意識，從基本面來看，就是要增強全員的自律意識。即：每位員工首先要強化按規章制度辦事的觀念，不再是憑“經驗”操作。其次，要樹立制度面前人人平等的信念，不再是惟命是從。再者，要樹立內部控制人人有責，從我做起的思想，不再是事不關己，高高掛起。

增強自律意識，從重點對象看，就是要增強兩級經營管理班子的自律意識，真正做到經營與管理兩手抓，業務發展與內控建設兩手抓，效益與守規兩手抓，做自律的表率。

增強自律意識可以從學習教育、剖析典型、調整人員等三方面入手。一線操作人員要做到業務再忙不忘學習規章制度;通過學習，要教育每位員工知道該做什么，不該做什么，從而有的放矢開展各項業務。要剖析正反兩方面典型，使全體員工能夠在學習經驗上有標桿，吸取教訓上有對象。要頂住一切壓力，對那些置內控制度于不顧的我行我素者，果敢地進行調整，直到清理出隊伍，以儆效尤。

嚴格嚴厲查處是保障。內控制度的建立并不意味著就一定能有效貫徹執行，這是因為還存在削弱其效力的主客觀因素。如：嚴格檢查，嚴厲處置。即嚴格檢查：就是要堅持以制度為標準，事實為依據，甄別是非，確認對錯，分清主次，界定責任。不搞雙重或多重標準，不故意夸大或縮小問題，不回避矛盾，混淆是非，不當“和事老”，報實情、說實話、辦實案。嚴厲處置：就是要對一切破壞內部控制運行的違紀違規者，不管是誰，縱然?過“功高蓋主”的業績，也要做到王子犯法與庶民同罪，以維護制度的嚴肅性、權威性。否則，姑息遷就，不過是內部控制建設上的葉公好龍;“下不為例”則久必釀成大禍;搞“心太軟”將無異于自我放縱等等。所有這些管理之大忌，足以令人警醒。

綜上所述，通過“內控與風險提升年”活動的學習，使我在今后的工作中，必須忠于職守，弘揚創新之風，履職責;弘揚學習之風，強

素質;弘揚務實之風，講效率;弘揚艱苦奮斗之風，樹形象。牢固樹立“勤政、廉潔、求實、高效”的工作作風，帶頭模范執行“內控與風險提升年”活動，促進規范經營，營造公平有序的競爭環境和秩序。通過“內控與風險提升年”活動的有效開展，增強了本人遵紀守法的自覺性，顯示了遵紀守法的必要性，激發了遵紀守法的熱情，提高了工作中的自律意識，使我們廣大職工在日常的工作中要“細到項目，認真到成因”，自發地以“自重、自省、自警、自勵”嚴格嚴格要求自己，并做到遵紀守法，嚴以律己，盡職盡責，恪守職業道德。

通過“內控與風險提升年”活動的有效開展，使我一定以此次活動學習的開展為契機，在自己的工作崗位上多出成效，多創佳績，為促進郵政儲蓄銀行的各項工作得到健康的發展做出自己的貢獻。

第三篇：內控與風險管理提升心得體會

內控與風險管理提升心得體會

眾所周知，一個沒有免疫系統、或免疫力偏低的生命體是不可能健康成長的，而內部控制就是企業“生命體”的免疫系統。因此，欲使郵政儲蓄銀行不斷成長壯大，就必須在大力拓展各項業務的同時，更加有效地推進其自身免疫系統—內控制度建設，以保證郵政儲蓄銀行的穩健發展。郵政儲蓄銀行盡快建立起規范、科學而運轉良好的內控制度不僅是日益加強的金融監管的外在要求，同時也是實現預定發展戰略目標和防范金融風險的內在需要。運行良好的內部控制可以發揮如下作用：一是確保國家法律法規和監管規章的貫徹執行;二是確保將各種風險控制在可承受的范圍內;三是確保自身發展戰略和經營目標的全面實現;四是有利于查錯防弊，堵塞漏洞，消除隱患，保證業務穩健運行。

開展“內控與風險提升年”活動，其目的是進一步落實各項內控制度，提高全體員工團結務實、審慎經營、愛崗敬業、遵章守紀的自覺性，查擺、堵塞工作中的漏洞，遏制各類案件的發生，全面提高工作質量和服務水平。轉變工作作風，大興求真務實之風，使全體員工以滿腔的熱情和昂揚的斗志全身心投入到工作中去，為我行內控的發展提供有力的保障?，F就學習完“內控與風險提升年”活動細則后談談自己的體會：

一、當前內控制度存在的問題

1、對內控制度的認識不到位。有的把內部控制簡單地理解為各種規章制度的制定、裝訂、匯總，認為做了整章建制方面的工作，就等于建立了內控機制;有的在把握內控與管理、內控與風險、內控與發展的關系等問題上，認識有偏差，把加強內控與發展和效益對立起來，在業務拓展和風險防范的抉擇中，側重于抓規模、抓效益，不切實際地求得資產規模的擴張，造成違規違章現象發生，以致資產質量低下。

2、稽核、監察監督機制不建全，是直接影響內控制度的有效落實。稽核、監察部門不能起到查錯防漏、糾正違規、強化管理、控制風險的作用。內部稽核、監察體制不順，本身沒有處理問題權，有的問題得不到真實反映，使一些問題被積壓下來，沒有相應的制約措施。

3、風險控制系統不健全，對內部控制的評價與監督不夠。風險控制是金融機構內部控制中的一個難點，目前我行缺乏具體風險評估及控制為核心的信貸風險管理體系.管理制度也極不完善，貸款發放還沒有實行風險度管理。

二、本人的體會

所謂有效的內部控制包含有四層含義，即：其一，它是無時不控的---貫穿于業務操作的始終;其二，它是無處不控的——與業務的速度和空間同步，甚至有所超前，以體現內控優先的思想，其三，它是無人不控的——上到管理者，下至每位員工，只有嚴格執行內部控制才是至高無尚的;其四，它是無事不控的——小業務要控，大事情更要控，一切經營管理活動無不在其控制之下進行，沒有例外與“個案”處理。

郵政儲蓄銀行要建立怎樣的內部控制呢?首先我本人認為：增強自律意識是根本。一切活動離不開人，人是生產力中最活的因素，內部控制不能例外。良好的內部控制既是經營管理者設計構造的產物，也是其遵循維護的結果。如果說設計構造不易，那么有顏色遵循維護則更難。因為，需要持之以恒孜孜不倦，一以貫之。從這一意義上說，自律意識牢固樹立之日，才是內部控制運行完全到位之時。

增強自律意識，從基本面來看，就是要增強全員的自律意識。即：每位員工首先要強化按規章制度辦事的觀念，不再是憑“經驗”操作。其次，要樹立制度面前人人平等的信念，不再是惟命是從。再者，要樹立內部控制人人有責，從我做起的思想，不再是事不關己，高高掛起。

增強自律意識，從重點對象看，就是要增強兩級經營管理班子的自律意識，真正做到經營與管理兩手抓，業務發展與內控建設兩手抓，效益與守規兩手抓，做自律的表率。

增強自律意識可以從學習教育、剖析典型、調整人員等三方面入手。一線操作人員要做到業務再忙不忘學習規章制度;通過學習，要教育每位員工知道該做什么，不該做什么，從而有的放矢開展各項業務。要剖析正反兩方面典型，使全體員工能夠在學習經驗上有標桿，吸取教訓上有對象。要頂住一切壓力，對那些置內控制度于不顧的我行我素者，果敢地進行調整，直到清理出隊伍，以儆效尤。

嚴格嚴厲查處是保障。內控制度的建立并不意味著就一定能有效貫徹執行，這是因為還存在削弱其效力的主客觀因素。如：嚴格檢查，嚴厲處置。即嚴格檢查：就是要堅持以制度為標準，事實為依據，甄別是非，確認對錯，分清主次，界定責任。不搞雙重或多重標準，不故意夸大或縮小問題，不回避矛盾，混淆是非，不當“和事老”，報實情、說實話、辦實案。嚴厲處置：就是要對一切破壞內部控制運行的違紀違規者，不管是誰，縱然?過“功高蓋主”的業績，也要做到王子犯法與庶民同罪，以維護制度的嚴肅性、權威性。否則，姑息遷就，不過是內部控制建設上的葉公好龍;“下不為例”則久必釀成大禍;搞“心太軟”將無異于自我放縱等等。所有這些管理之大忌，足以令人警醒。

綜上所述，通過“內控與風險提升年”活動的學習，使我在今后的工作中，必須忠于職守，弘揚創新之風，履職責;弘揚學習之風，強素質;弘揚務實之風，講效率;弘揚艱苦奮斗之風，樹形象。牢固樹立“勤政、廉潔、求實、高效”的工作作風，帶頭模范執行“內控與風險提升年”活動，促進規范經營，營造公平有序的競爭環境和秩序。

通過“內控與風險提升年”活動的有效開展，增強了本人遵紀守法的自覺性，顯示了遵紀守法的必要性，激發了遵紀守法的熱情，提高了工作中的自律意識，使我們廣大職工在日常的工作中要“細到項目，認真到成因”，自發地以“自重、自省、自警、自勵”嚴格嚴格要求自己，并做到遵紀守法，嚴以律己，盡職盡責，恪守職業道德。

通過“內控與風險提升年”活動的有效開展，使我一定以此次活動學習的開展為契機，在自己的工作崗位上多出成效，多創佳績，為促進郵政儲蓄銀行的各項工作得到健康的發展做出自己的貢獻。

第四篇：內控風險管理

風險的含義和特征

一、對企業風險的認識

企業要建立內部控制體系，需要建立在對企業進行風險管理的基礎之上。企業的發展過程就是一個風險釋放的過程。因此，我們首先要對風險有一個明確的認識。

風險會給企業帶來損失，這種損失是潛在的，但是在未來的時間內可能變成現實；同時，風險也可能帶來收益。這就是要在企業管理和經營過程中進行風險管理的價值所在。面對風險，企業永遠處于收益和潛在損失之間的博弈狀態，在這個博弈的過程中企業家需要運用智慧對內、外部的資源進行有效配置和管理，從而實現企業的發展。

(一)識別企業風險

企業的風險是有規律的，而這種規律需要我們運用各種方法去學習和認知。要想做好基于風險管理的企業內部控制，首先要認識企業風險的特征和企業在不同的發展階段的風險特點。在企業初創階段，對企業產生致命影響甚至是毀滅性打擊的是產品。企業需要對市場做出一種判斷，利用現有技術生產出適合客戶需求的優質產品。在企業發展到一定規模的時候，對企業影響較大的就是銷售渠道的拓寬和市場銷售量的增加。當企業發展到更高的階段、打下了較為堅實的基礎的時候，決定企業發展命運的就是內部的人、財、物的配置和利用，我們稱之為管理。

現在很多的企業都會發出感嘆：業務大了，人多了，收入高了，利潤增加了，但是人心變壞了，企業難管了，干得沒意思了，勾心斗角多了。這些問題都會給企業帶來不確定性的風險，造成一定的損失。事實上，這些問題歸結起來就是企業管理的問題。如何對人、財、物進行合理配置和利用才有利于企業的健康發展，這需要一個系統的管理過程。如果企業在發展到更高階段的時候，一切都處于穩定的運行狀態，管理理順了，崗位理順了，職責理順了，并不能說企業就可以放松管理了。這個時候，企業需要居安思危。市場競爭無處不在，企業必須要不斷地改進和發展，才能長久生存下去。

（二）文化差異

企業風險管理和內部控制理論都是最先從西方發達國家發展起來的，我國的企業在把這一套東西拿過來使用的時候，我們需要注意東、西方企業在文化背景之間的差異。

1.中西方企業存在狀況的差異

我們有很多企業。每年都有數萬的新企業誕生，同時也有很多老企業倒下去。為什么我們中國的企業，總是各領風騷三五年，企業壽命比西方國家的要短很多？在思考這些問題的時候我們要想想實力不是依靠時間的長短來衡量的，西方國家的經濟發達有它的道理，而中國企業的短命也有它的痼疾。

企業壽命短的一個原因是，我們的觀念存在問題。現在要做的就是改變觀念，在運營企業方面進行觀念變革。當企業有了突破性發展的時候，往往會有更大的風險潛在于企業的周圍。所以，企業需要有一個長遠的、總體的目標，也就是企業戰略。

企業在創立初期的好處就是，船小好調頭。但是，船大才好出海，市場就像一片汪洋大海，企業必須發展到一定的規模，才能航行得更遠。怎樣把企業這艘船做大，怎樣抵御更大、更強的海上風險，拓展海外的發展，就成為了企業家們要思考和解決的問題。無論企業是走向國外，還是在國內發展，都需要一段很長的時間做全面的準備，制定長期的發展戰略，才能夠在“狼來了”的時候有資本與之共舞。

很多國際化的企業，例如海爾、聯想、格蘭仕、中石油、中石化、中海油，這些大型企業集團現在的發展規模不是靠一個制度、一項政策、一個預算就能解決問題的。同樣，跨國企業落戶中國也不是說依靠一個美國的制度就能解決在中國遇到的問題。這中間的文化差異導致的問題還需要本土化來解決。中國人崇尚和為貴，這種和為貴走出國門之后是什么樣的概念呢？海爾的免費售后服務，顧客就是上帝，是非常好的理念，但是免費售后服務的理念到了美國行不通，導致海爾不得不改變最初的戰略。因此，在擁有不同文化背景的區域里發展的時候，我們要思考另外一個問題，就是在不同的文化之下，同一種發展戰略，同一種發展方式，同一種業務管理的模式，會受到一種挑戰。這是文化給企業帶來的影響，間接決定了企業如何分配利用資源和開展經營活動的策略。

2.中國人謙虛的觀念

我國很多企業在管理資源的配置過程中受到一種潛意識的影響就是，越謙虛的人越有本事。謙虛是中國人的傳統美德。很多人在去企業求職的時候，被問到曾經做過什么，回答就是念過書，沒干過什么有成就的事。這樣的人怎么會被企業看中呢？ 例如，一個總會計師第一天上崗的時候，在就職演說中提到多多包涵，這幾年我沒干什么事，希望大家互相幫助等。這是我們中國人的含蓄和謙虛。但是一些外籍的評估專家聽了之后就覺得不可思議，他竟然什么都不懂，為什么能來上崗呢？按照中國人的想法是，在中國越是說什么都沒干，越是什么都不懂的人，其實是最有水平、能力最強的人。而說什么都干過，這也行那也行的人，肯定是個光說不練的人，沒什么真本事。這是我們中國人的文化觀念特征。

外國的專家在中國工作一段時間之后才會明白，在不同的文化之下，管理方式、管理模式和管理思想是不一樣的。這個時候對企業影響最深、最大、最長遠的就是文化。例如，中國的聯想收購IBM全球個人電腦業務之后獲得了極大的擴張，它在全球運營中碰到的文化差異問題是需要謹慎對待的。聯想在海外的拓展之路到底能走多遠？人們都十分期待，也深深祝愿。畢竟中華民族的一大產業能夠得到更高層次的跨越式的發展，在世界上產生重要影響，這是中華民族的驕傲。

內部控制的意義

在企業管理和經營活動過程中，時時刻刻伴隨著企業的就是潛在風險。企業的內部控制不是為了控制而控制，也不是為了美國證監會或者中國證監會而控制，而是為了幫助企業防范不同階段的風險才進行控制。

也就是說，企業的內部控制，第一是為風險而控制；第二則是每個階段的風險是不一樣的，每個階段的風險不一樣，那么控制的方法，控制的目標，控制的目的，控制的手段也就不一樣。這是控制的多樣性、復雜性和艱巨性。

一、影響美國的兩大事件

為了對企業的風險有個更為準確的認識，我們可以把發生在美國的兩個重大事件進行對比。一個是美國9?11恐怖襲擊事件，另一個就是美國安然公司的假賬事件。

（一）事件回顧

【案例】

美國9?11事件

“9?11事件”指的是2001年9月11日恐怖分子劫持的飛機撞擊美國紐約世貿中心和華盛頓五角大樓的歷史事件。2001年9月11日，四架民航客機在美國的上空飛翔，然而這四架飛機卻被劫機犯無聲無息地劫持。當美國人剛剛準備開始新一天的工作之時，紐約世貿中心連續發生撞機事件。世貿中心的摩天大樓，轟然倒塌，化為一片廢墟，該事件造成3000多人喪生。

當白宮辦公廳的主任告訴布什，飛機連續兩次撞了世貿中心之后，布什先生當時的表情顯得非常吃驚。

“美國9?11事件”的發生，對一些產業造成了直接經濟損失和影響，使得美國經濟一度處于癱瘓狀態。地處紐約曼哈頓島的世界貿易中心是20世紀70年代初建起來的摩天大樓，造價高達11億美元，是世界商業力量的匯聚之地，來自世界各地的企業共計1200家之多，平時有5萬人上班，每天來往辦事的業務人員和游客約有15萬人。兩座直沖云霄的大樓一下子化為烏有，五角大樓的修復工作至少在幾億美元之上，人才損失更是難以用數字估量。無論是對美國總統布什，還是對美國民眾或者對美國政壇人士來說，9月11日所遭遇的恐怖分子攻擊事件都是一次歷史性的震撼。在兩小時之內，造成美國本土遭遇數以千計的傷亡。甚至連白宮、總統的空軍一號座機、國防部大樓、金融財務中心的世界貿易大樓，都成了恐怖分子攻擊的目標。

這一事件也給交通運輸和旅游業造成嚴重損失。美國國內航班一天被劫持了四架，并造成巨大的人員傷亡和財產損失，確實是歷史罕見。事件發生后，布什立即采取適當行動，恢復政府、社會正常活動。為了顯示他不受恐怖威脅，9月11日晚上，雖然白宮仍有受到攻擊的威脅，他仍決定返回白宮，并在白宮向全國民眾發表講話，借此顯示：恐怖分子并不能阻斷美國行政中心的運作。

“美國9?11事件”的經濟影響不僅局限于事件本身的直接損失，更重要的是影響了人們的投資信心和消費信心，使美元等主要貨幣貶值、股市下跌，石油等戰略物資價格一度上漲，并實時從地域上波及歐洲及亞洲等主流金融市場，引起市場的過激反應，從而導致美國和世界其他國家經濟增長減慢。

點評：911事件后美國低下高昂的頭顱，和各國進行協商，和全世界人民一起反恐，得到各國人民的理解、同情和支持。所以，美國在9?11之后，得到的幾乎是一正一負的效果，一方面受到了打擊，經濟損失十分嚴重；另一方面又展開反恐行動，極大地改善了它的國際形象和國際地位。進入21世紀以來，美國在改變自己的世界形象當中做了一個很好的扭轉，可以說在得失方面打了個平手。

【案例】 安然的末日 一直以來，安然身上都籠罩著一層層的金色光環：作為世界最大的能源交易商，安然在2000年的總收入高達1010億美元，名列《財富》雜志“美國500強”的第七名；掌控著美國20％的電能和天然氣交易，是華爾街競相追捧的寵兒；安然股票是所有的證券評級機構都強力推薦的績優股，股價高達70多美元并且仍然呈上升之勢。直到破產前，公司營運業務覆蓋全球40個國家和地區，共有雇員2．1萬人，資產額高達620億美元；安然一直鼓吹自己是“全球領先企業”，業務包括能源批發與零售、寬帶、能源運輸以及金融交易，連續4年獲得“美國最具創新精神的公司”稱號，并與小布什政府關系密切??

1.安然的噩夢 2001年年初，一家有著良好聲譽的短期投資機構老板吉姆?切歐斯公開對安然的盈利模式表示了懷疑。他指出，雖然安然的業務看起來很輝煌，但實際上賺不到什么錢，也沒有人能夠說清安然是怎么賺錢的。據他分析，安然的盈利率在2000年為5％，到了2001年初就降到2％以下，對于投資者來說，投資回報率僅有7％左右。切歐斯還注意到有些文件涉及了安然背后的合伙公司，這些公司和安然有著說不清的幕后交易。作為安然的首席執行官，斯基林一直在拋出手中的安然股票——而他不斷宣稱安然的股票會從當時的70美元左右升至126美元。按照美國法律規定，公司董事會成員如果沒有離開董事會，就不能拋出手中持有的公司股票。也許正是這一點引發了人們對安然的懷疑，并開始真正追究安然的盈利情況和現金流向。到了8月中旬，人們對于安然的疑問越來越多，并最終導致了股價下跌。8月9日，安然股價已經從年初的80美元左右跌到了42美元。

10月16日，安然發表2001年第二季度財報，宣布公司虧損總計達到6．18億美元，即每股虧損1．11美元。同時首次透露因首席財務官安德魯?法斯托與合伙公司經營不當，公司股東資產縮水12億美元。

10月22日，美國證券交易委員會瞄上安然，要求公司主動提交某些交易的細節內容。并最終于10月31日開始對安然及其合伙公司進行正式調查。

11月1日，安然抵押了公司部分資產，獲得J．P摩根和所羅門史密斯巴尼的10億美元信貸額度擔保，但美林和標普公司仍然再次調低了對安然的評級。

11月8日，安然被迫承認做了假賬，虛報數字讓人瞠目結舌：自1997年以來，安然虛報盈利共計近6億美元。

11月9日，迪諾基公司宣布準備用80億美元收購安然，并承擔130億美元的債務。當天午盤安然股價下挫0．16美元。

11月28日，標準普爾將安然債務評級調低至“垃圾債券”級。

11月30日，安然股價跌至0．26美元，市值由峰值時的800億美元跌至2億美元。

12月2日，安然正式向破產法院申請破產保護，破產清單中所列資產高達498億美元，成為美國歷史上最大的破產企業。當天，安然還向法院提出訴訟，聲稱迪諾基中止對其合并不合規定，要求賠償。

2.安然模式的破產

首先遭到質疑的是安然公司的管理層，包括董事會、監事會和公司高級管理人員。他們面臨的指控包括疏于職守、虛報賬目、誤導投資人以及牟取私利等。在10月16日安然公布第二季度財報以前，安然公司的財務報告是所有投資者都樂于見到的。看看安然過去的財務報告：2000年第四季度，“公司天然氣業務翻升3倍，公司能源服務公司零售業務翻升5倍”；2001年第一季度，“季營收成長4倍，是連續21個盈余成長的財季”??在安然，衡量業務成長的單位不是百分比，而是倍數，這讓所有投資者都笑逐顏開。到了2001年第二季度，公司突然虧損了，而且虧損額還高達6．18億美元！

然后，一直隱藏在安然背后的合伙公司開始露出水面。經過調查，這些合伙公司大多被安然高層官員所控制，安然對外的巨額貸款經常被列入這些公司，而不出現在安然的資產負債表上。這樣，安然高達130億美元的巨額債務就不會為投資人所知，而安然的一些官員也從這些合伙公司中牟取私利。更讓投資者氣憤的是，顯然安然的高層對于公司運營中出現的問題非常了解，但長期以來熟視無睹甚至有意隱瞞。包括首席執行官斯基林在內的許多董事會成員一方面鼓吹股價還將繼續上升，一方面卻在秘密拋售公司股票。而公司的14名監事會成員有7名與安然關系特殊，要么正在與安然進行交易，要么供職于安然支持的非盈利機構，對安然的種種劣跡睜一只眼閉一只眼。

安然假賬問題也讓其審計公司安達信面臨著被訴訟的危險。位列世界第五的會計師事務所安達信作為安然公司財務報告的審計者，既沒審計出安然虛報利潤，也沒發現其巨額債務。今年6月，安達信曾因審計工作中出現欺詐行為被美國證券交易委員會罰了700萬美元。

點評：安然事件雖然是一個單純的經濟事件，卻在全球范圍內掀起了一陣狂波巨浪，所有的矛頭都指向了美國的經濟制度，撼動了美國為之驕傲的經濟體系。在9?11事件之后，美國政府主動出擊，對恐怖襲擊行為堅決進行打擊，無論從道義還是力量上來說都受到世界人民的支持。但是安然事件卻讓山姆大叔的顏面掃地，自己內部機制出現大窟窿，對世界造成了很壞的影響，受到人們的嚴厲指責，而補救還得靠自己。

但是，在美國的這兩大事件當中，美國人的危機公關，化被動為主動來解決危機的做法，是值得學習和討論的。

（二）安然事件帶來的結果

不管是企業還是社會，都在面臨著各種不確定性的風險，如果沒有對這種風險進行充分的認識，在前期階段加以防范和阻止，就有可能釀成大禍。從安然事件中我們可以看到以下幾點：

1.會計丑聞

現在的社會是經濟社會，經濟社會是一個市場進行資源優化和資源配置的過程。資源在優化配置、自由流動的過程當中，有個依據和指向，那就是會計信息。我們資源怎么去優化配置？通俗一點就是說，買股票的時候，買誰的，怎么去買？這些就要依靠會計信息所反映出來的內容。

會計信息是市場的一個指向標，一旦會計信息機制失靈，整個國民經濟就會混亂。安然的假賬事件讓外國投資者對美國投資回報的信心喪失，大量國際資金抽離美國，外國對美國的投資下降近60%，同時對中國的投資上升近15%。

2.安然事件對美國股市的影響 美國是世界上的經濟強國，在很多方面都實行霸權主義和強權主義，然而真正讓美國在全世界人民面前低下頭顱的是安然事件。安然事件反映的是整個會計信息機制和體系制度，特別是經濟基礎上的漏洞和缺失，對此美國必須進行反思。9?11讓美國的股市跌了近1000點，而安然事件之后，2002年美國股市連續下跌，遠遠突破了1000點。

薩班斯－奧克斯利法案

安然事件不只是安然公司的一個事件，而是由會計丑聞引發的對整個會計體系的質疑，這種質疑對美國的影響是巨大的。為了應對這種危機，解決由會計體系缺陷造成的惡劣影響，完善社會的經濟制度，當時美國有兩位議員提出一種議案，叫薩班斯—奧克斯利法案。這個法案從以下11個方面來管制以會計信息為主體的市場資源配置，以及與會計信息相關的權利、責任義務和法則等。

（1）上市公司會計監管委員會；（2）審計師的獨立性；（3）公司的職責；

（41）加強財務信息的披露；（5）分析員的利益沖突；

（6）證券監管委員會的資源與權限；（7）研究和報告；

（8）公司和徇私舞弊的責任；（9）加強對白領刑事犯罪的懲罰；（10）公司稅務申報表；

（11）公司的舞弊行為及應承擔的相應責任。

（一）薩班斯—奧克斯利法案的意義

經過安然公司的假賬事件對經濟社會的沖擊之后，美國出臺了專門針對會計制度的薩班斯—奧克斯利法案。這項法案主要解決了監管、中介機構和企業內部財務管理三個問題，從這項法案中我們也可以學到一些做企業的規則的道理。

1.法案解決的問題

以前人們總是認為美國的會計制度很完善，幾乎無懈可擊，但事實證明任何看似完善的制度都有可能遭受風險的襲擊，演變成對企業和社會的巨大危害。美國出臺的這項法案主要解決了以下三個問題： ?監管問題

在安然事件之前，美國經濟是自由主義式的發展，也就是民不告，官不理，當股民最后上當了，虧損了，最后發現了虛假的會計信息，才去找政府部門解決問題。美國的會計準則是由社會中介機構和社會團體公認形成的，沒有很大的強制性。與中國會計準則不同，中國會計準則是由中華人民共和財政部統一制定，具有強制性的法規特征。

安然事件發生后，美國意識到自治式的會計信息有極大的漏洞，所以必須加強管制，成立會計監管委員會，對企業的會計信息進行監管。?中介機構問題

美國的中介機構不獨立。安然在整個發展過程當中，它的品牌、業務和戰略都是沒有問題的，但是很多項目在具體管理和落實當中出現了一些問題。例如在印度投資的電廠暫時沒有盈利，但是股東又要分紅，又要和競爭對手、標桿企業進行比拼賽跑，于是找到安達信咨詢公司出謀劃策。

安達信幫助企業通過各種延伸產品，包括在自己的內部進行大量的交易產生利潤，也就是把錢從左口袋弄到右口袋?？墒菦]有現金流怎么辦？于是安達信又給安然設計一個方法，就是SPE實體。通過聯合投資的公司，進行銀行貸款，溝通項目的操作，讓現金返回到公司的母體，成為現金流，再用這種方式進行分紅。

作為中介機構，安達信對安然公司的賬進行檢查的時候，當然對自己做過的賬持肯定態度，向股民保證沒有問題。這樣的雙面角色導致了安達信這種中介機構失去了獨立性。所以在這項法案中對中介機構的業務行為專門做了限制性和規范性的規定，防止中介機構出現監守自盜的問題。

?企業內部財務管理的問題

安然事件之后全世界的企業對會計信息制度的重視上升到了一個前所未有的高度。首先，加強了高層人員的責任。公司的財務領導肩負著會計的重任，下面做好財務報表，子公司上交到母公司，母公司要合并報表，合并報表做完上報國資委，或者再報證監會、財政部等。如果報表中出現問題，發現公司有做假賬的行為，要追究的就是領導的責任。

但是我們實務操作過程當中，發現兩個很大的問題。企業出現了會計問題，如果老總被抓，公司的幾千員工怎么辦？還有，如果他被抓后拒不認罪，比如安然公司的老總被抓后就拒絕認罪，只是說愿意承擔責任。這個責任指的是他愿意承擔領導責任，沒有領導好做會計的屬下，會計部門的水平不高，所以才導致現在的后果。看似很有道理，這種說法其實是他把責任推到財務主管身上。所以調查安然事件的相關人員花了幾年的時間，用了幾千萬的巨額成本才讓那些高層領導人員伏法。

所以，在薩班斯—奧克斯利法案中，專門明確了公司出現財務問題后，總經理和財務總監應當共同承擔責任。

2.薩班斯—奧克斯利法案與內部控制的聯系

薩班斯—奧克斯利法案對企業的影響就是加強會計信息的權利區位，意思是公司必須設立審計委員會，審計委員會必須全部是獨立董事，專門負責對公司會計信息的管理。通過這樣的內部審查，提高公司的會計信息管理機制和層次體系，避免了企業老總個人左右財務信息的局面。

關于企業內部控制的發展在薩班斯—奧克斯利法案第402條款里面得到了一個體現，就是加強管理層對內部控制的評估。

【案例】

薩班斯—奧克斯利法案第404條: 管理層對公司內部控制的評估 該條規定中要求公司年報中包括一份“內部控制報告”，該報告應：

（1）明確指出公司管理層對建立和保持一套完整的與財務報告相關的內部控制系統和程序所負有的責任；并且包含管理層在財務期末對公司財務報告相關內部控制體系及程序的有效性評估。

（2）受委托的上市公司審計師應按照上市公司會計監管委員會對審核約定所發布或采用的準則就管理層關于內部控制的評估進行鑒證并提交報告。此類鑒證約定并不構成單獨的約定主體；

（3）SEC在提交的法案相關的報告中這樣解釋此條的立法目的：“委員會不希望審計師（對內部控制報告的）評估形成單獨一份約定或者因此而導致審計費用的增加?！敝笇EC進一步要求上市公司披露其是否為高級財務官員制定職業操守規范以及該規范的內容；

（4）指導SEC修改其以8-K表格進行即時披露的相關規則，從而要求上市公司對任何職業操守規范的修改或廢止事項應立即進行披露。

點評：這項法案里面對內部控制的相關規定說明了兩層意思。第一，需要評估企業有沒有內部控制；第二，規定了企業內部控制要做到的程度。企業必須就這兩點向美國證監會有個明確的交代。

例如對企業內部現有的業務進行評估，要考察所有的業務是不是被囊括到企業現有的制度里面。沒囊括的業務有多少，比例有多大。在所有沒被囊括的比例之下，有多少業務已被執行，執行的效率有多高，比如執行了80%，還有20%沒有執行，在執行80%里面哪些能夠把問題解決，哪些不能把問題解決。企業必須拿出具體的數字進行詳細的說明。這就是以強制性的手段和手腕保證企業內部控制的執行，可見健全企業內部控制的必要性和緊迫性。

第五篇：NC內控與風險管理解決方案2011（范文）

全面管理風險

提升企業績效

為企業發展保駕護航

用友NC集團全面風險管理解決方案

用友軟件股份有限公司

[在此處鍵入文檔的摘要。摘要通常是對文檔內容的簡短總結。在此處鍵入文檔的摘要。摘要通常是對文檔內容的簡短總結。]

目錄 走向世界的中國企業面臨巨大風險...............................................................................4 1.1 1.2 1.3 1.4 2 案例一：中國鐵路建設沙特項目巨虧41.53億元.................................................4 案例二：受累湯姆遜清算，TCL集團遭遇2.11億元索賠....................................4 案例三：諾西收購摩托羅拉受阻，華為訴訟初步勝利........................................5 權威機構針對企業風險管理的調查分析................................................................5

實施全面風險與內控管理的困惑...................................................................................5 2.1 2.2 2.3 2.4 2.5 缺乏全面風險與內控管理運作體系........................................................................5 全面風險和內部控制的管理流程難以長期堅持....................................................6 全面風險管理與內部控制管理分離獨自運作........................................................6 風險控制評價工作量巨大，管理成本高企............................................................6 風險管理和內控管理報告輸出困難........................................................................6 企業全面風險和內控體系建設思路...............................................................................6 3.1 3.2 3.3 3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 路徑一：先風險后內控............................................................................................7 路徑二：先內控后風險............................................................................................7 標準的風險內控體系建設步驟................................................................................7 機構設立和計劃階段............................................................................................8 辨識風險/記錄風險內部控制缺陷階段...............................................................8 設計缺陷整改/健全內部控制階段.......................................................................9 監督風險/內控措施有效執行階段.....................................................................10 董事會報告及披露階段......................................................................................11 5 企業全面風險/內控管理對信息化系統的要求............................................................11 用友NC全面風險與內控管理解決方案......................................................................13 5.1 5.2 5.2.1 5.2.2 5.2.3 5.2.4 本解決方案的應用架構..........................................................................................13 實現集團級風險管理的全流程管理平臺..............................................................15 風險管理系統流程..............................................................................................15 實現多級風險信息收集管理..............................................................................15 支持多種評估標準和模型管理..........................................................................17 實現風險指標監控、自動預警..........................................................................19 5.2.5 5.2.6 5.2.7 5.3 5.3.1 5.3.2 5.3.3 5.4 5.4.1 5.4.2 5.5 5.5.1 5.5.2 6 實現風險應對管理..............................................................................................20 記錄風險控制的評價與改進..............................................................................21 實現風險控制的監督與報告..............................................................................22 實現COSO全面風險綜合架構，與內控體系整合...............................................23 通過風險應對方案建立與內控體系的聯系......................................................23 通過內控系統完成與業務系統運作管理的結合..............................................25 通過內控審計評測，驗證風險管理方案的有效性..........................................26 實現對業務系統的自動監控..................................................................................28 構建IT系統安全控制監控平臺.........................................................................28 實現對業務系統關鍵流程的自動檢測..............................................................30 建立集團級高性能、柔性開放平臺......................................................................31 構建系統整合平臺，風險信息門戶..................................................................31 高效率、個性化柔性擴展開發平臺..................................................................33

解決方案的價值.............................................................................................................34 6.1.1 6.1.2 6.1.3 實現全面風險與內控管理，提高企業競爭能力..............................................35 快速遵從財政部、國資委相關管理條文要求..................................................35 快速遵從SOX法規要求.....................................................................................35 走向世界的中國企業面臨巨大風險

1.1 案例一：中國鐵路建設沙特項目巨虧41.53億元

10月25日，中國鐵建公告稱其承建的沙特輕軌項目因實際工程數量比簽約時預計工程量大幅增加等原因，預計將虧損人民幣41.53億元。由此引發中國鐵建股價劇烈波動，跌幅超過10%。

中國鐵建2011年1月21日發布公告稱，為妥善處理沙特麥加輕軌項目索賠事宜，上市公司中國鐵建與其控股股東中國鐵建總公司（國有企業）簽署協議，后者向中國鐵建支付20.77億元對價，接手沙特麥加輕軌項目的未完工工程。由此，通過母公司承擔損失的方式，中國鐵建順利保證財務賬面上的盈利。

此事件凸顯公司在海外工程項目的管理短板。

1.2 案例二：受累湯姆遜清算，TCL集團遭遇2.11億元索賠

本該是“好事”，可終究釀出了“苦果”。TCL集團并購法國湯姆遜公司后不但業績遭遇連連虧損，事端頻發，如今受累法國湯姆遜公司清算，再次陷入財務壓力困境。

2011年3月14日，TCL集團在停牌一天后公告稱，法國南特商業法庭于3月10日對TTE歐洲公司重組訴訟案的第一令訴訟作出初審判決，要求TCL集團、TCL多媒體及其4家全資子公司向TTE歐洲之法定清盤人賠償2310萬歐元(約2.11億元)，目前TCL多媒體已于2010財務報表中對TTE訴訟計提預計負債1000萬歐元。

實際去年就已經傳出這個消息，TCL也立刻引起警覺，謀劃對策。然而還是終究難逃與湯姆遜合資成立的TTE歐洲公司的清算悲劇的波及。

格力空調副總裁黃輝表示：“格力這兩年在巴西銷量超過5000萬臺，中國企業在國外并購充滿陷阱，一不小心就會翻身，并購涉及文化融合、法規等無法協調。逐步收購是格力的戰略?！?1.3 案例三：諾西收購摩托羅拉受阻，華為訴訟初步勝利

在美國市場備受阻撓的中國最大電信設備供應商華為，終于贏得了一次階段性的勝利。華為公司2011年2月23日晚間發表聲明，稱美國伊利諾伊州北區法院就華為起訴摩托羅拉公司和諾基亞西門子公司(以下稱諾西公司)一案，正式做出裁決，頒發了初步禁止令。

該初步禁止令除了2011年1月14日法院發出的臨時禁止令中要求摩托羅拉禁止向諾西轉移華為的保密信息外，還增加了要求摩托羅拉聘請獨立第三方進行華為保密信息的安全刪除檢查，及允許華為對諾西維護摩托羅拉設備的服務記錄進行審計等要求。

而我們也注意到，美國議員在2010年10月底要求聯邦通信委員會（FCC）重審自華為和中興訂購網絡設備可能的“安全”風險。這意味著華為在美國的各種官司將長期糾結，為此，華為公司也預備計提5億美金的訴訟費用。

1.4 權威機構針對企業風險管理的調查分析

德勤發布2011年《中國企業風險管理白皮書》。上榜企業共25家。調研結果顯示，中國企業在未來三年將面臨宏觀經濟、競爭和人才短缺三大風險。超過半數的受訪企業稱已經建立應對重大風險的基本流程，但仍需要進一步完善。只有10%的企業認為其風險應對流程非常完善。還有10%的企業表示，一旦發生重大或危急的風險事件，自己能在第一時間有效管理。超過50%的企業對大部分重大風險都能實時采取適當的響應措施。接近30%的企業只針對部分重要流程建立了監督與報告程序。實施全面風險與內控管理的困惑

2.1 缺乏全面風險與內控管理運作體系

企業缺少如何建立全面風險管理和內部控制體系的思路、方法論。或者缺乏專門的組織、工作流程和與之配套的績效考核制度。2.2 全面風險和內部控制的管理流程難以長期堅持

全面風險和內部控制由于涉及企業的方方面面，可以說是全員參與，因此程序繁雜，涉及面廣，大量手工工作致使管理成本增加，難以長期堅持。

2.3 全面風險管理與內部控制管理分離獨自運作

體現在企業中經常把全面風險管理與內部控制管理進行分離，兩套組織班子，兩套工作流程。同時，這兩個工作與實際的業務系統大多也是獨立部署運作，僅僅局限在個別財務數據的提取分析，完全無法實現對業務過程的真正監控。

2.4 風險控制評價工作量巨大，管理成本高企

由于一個重大風險的應對措施，往往涉及多個業務流程、多個控制點和多個業務系統、多部門協同運作，因此控制評價往往需要采集多個環節的大量樣本進行測試，然后進行綜合評價，依賴于控制評價人員的測試方案設計能力、職業判斷能力等等，工作量非常巨大，造成這部分的管理成本上升。同時為了滿足控制評價的需要，業務部門也需要按照測試評價的要求保留各種資料文件，也造成相應的辦公成本增加。

2.5 風險管理和內控管理報告輸出困難

目前，中央到地方國資委，各地政府分管上市工作的部門，以及證交所、證監會等多家機構，都要求企業建立健全全面風險和內部控制管理體系，并能按時按要求提供相應的內部和外部審計報告，同時要求按照各自的樣板格式內容進行提報，造成相關企業的管理人員必須 企業全面風險和內控體系建設思路

根據COSO委員會在1992年公布的《內部控制—綜合框架》（也稱“COSO內部控制框架”），以及2004年提出內部控制向全面風險管理轉變，出臺了《全面風險管理—綜合框架》。

由此可見，風險管理和內控管理實際上是不同發展階段的產物。但是由于中國國資委和財政部等機構發布相關政策所引用的框架基礎不同，名稱不同，導致企業要同時滿足兩個標準要求，也引發國內企業出現了分離兩者，分別建設、兩套班子等現象。所以，不同的企業也根據自身的條件提出了不同的建設路徑，主要為以下兩種：

3.1 路徑一：先風險后內控

此類企業多屬于國資委下屬國企，在《中央企業全面風險管理指引》文件的要求和指導下，首先在集團內部建立全面風險管理體系，然后針對選擇的重大風險進行內控建設。這種建設路徑相對成本較低，但是容易受到主觀判斷導致部分重要的內控領域被忽略，而提高突發重大風險發生的可能性。

3.2 路徑二：先內控后風險

此類企業通常多屬于上市公司，或者已經在海外上市，基于薩班斯法案要求，或者國內財政部發布的《企業內部控制基本規范》要求，首先在集團內部建立比較完善的內控體系，然后根據國資委監管的要求，拓展風險信息搜集和目標設定的管理環節。這種建設路徑相對體系化比較好，更能覆蓋企業管理的方方面面，效益比較明顯。

3.3 標準的風險內控體系建設步驟

實際上企業全面風險的建設過程應該涵蓋內部控制管理的同步建設，建議企業一套班子、一套流程、一套制度統籌考慮一體化建設。因此本方案提供一個標準的體系建設步驟： 3.3.1 機構設立和計劃階段

A.主要步驟

a)成立專門職能部門（檢查監督部門），定義監督檢查部門職責分工； b)確定項目計劃以建立/完善公司的內部控制； c)梳理現有內部管理政策/制度，明確權責分配； d)制定可持續發展的人力資源政策； e)進行針對性培訓；

f)將內控項目計劃承交董事會審閱。B.關鍵事項

a)管理層委任項目領導及項目小組；

b)高層重視并直接參與非常重要；管理層事先將內控項目計劃向董事會匯報符合財政部內控基本規范中有關控制環境的精神：以董事會為內控制度之完整合理、實施有效之責任主體；

c)制定分批/分對象因材施教的培訓計劃，增進全員意識。分批/分對象地實施培訓。

C.工作成果

a)制定項目小組制度，以及專門委派的職能部門或項目小組定義項目職責分工； b)制定項目實施具體計劃； c)制定分批/分對象的培訓計劃； d)制作培訓材料；

e)分批/分對象地實施培訓。

3.3.2 辨識風險/記錄風險內部控制缺陷階段

A.主要步驟

a)設計風險評估標準，基于集團風險調查問卷匯總開展風險評估； b)設定風險容忍程度，確認重大風險及其相關認定及流程；

c)使用內控自我評估問卷辨識與記錄工作范圍內的企業層面和流程層面的內部控制活動；

d)記錄各業務流程中發現的內部控制設計缺陷，匯總并提出整改方案。B.關鍵事項

a)以風險評估為基礎，有側重點地選擇哪些下屬部門/公司的、哪些業務環節需要進行內控建立健全的工作；

b)根據最佳實踐和監管機構要求，設計內控自我評估問卷，并以此作為起點，逐步調整，建立適合公司的內部控制制度；

c)公司各級人員回答的問卷將為公司的工作提供富有效率的證據基礎，而且也體現了內控全員參與的精神；

d)對在建立健全內控過程中發現的控制缺陷提出內控設計整改方案和時間表是非常關鍵的，這將為管理層增加長期價值，并非只是為了符合監管要求，而是為公司規范運作和長遠發展打下更好的基礎。

C.工作成果

a)風險評估標準；

b)確認項目范圍和流程的風險評估工作表，風險地圖；

c)內部控制手冊(不兼容職責表，控制矩陣，流程圖,流程匯編)； d)控制效果的穿行測試；

e)控制缺陷報告和相應的整改方案建議。

3.3.3 設計缺陷整改/健全內部控制階段

A.主要步驟

a)根據整改方案糾正內部控制設計缺陷；

b)按照法律法規，部門規章及證券交易所上市規則的規定制定/完善內部控制制度；

c)更新內部控制的記錄文件。B.關鍵事項

a)對監督過程中發現的內部控制缺陷，提出整改方案，采取適當形式向董事會，監事會或者經理層報告； b)跟蹤監控內控運行整改方案的實施情況，不僅是合規的要求，也是提升公司執行力的關鍵。

C.工作成果

a)控制缺陷報告和相應的整改方案建議。

3.3.4 監督風險/內控措施有效執行階段

A.主要步驟

a)制定風險內控監督制度，規范其程序，方法和要求； b)開展風險內部控制自我評價，出具內部控制自我評價報告； c)跟蹤風險內部控制運行缺并及時改進。B.關鍵事項

a)應根據風險評估的結果，制定內控監督檢查辦法和內控自評和檢查計劃，使有限的資源被有側重地運用到高風險的領域；

b)抽檢管理層的內控自我評估問卷，通過檢查和必要的抽樣測試等手段確認內控自我評估問卷是否準確填寫，并向總裁辦公會及董事會報告測試結果。管理層內控自我評估加上檢查監督部門循環抽查符合《指引》中內控框架下“檢查監督”層面的精神；

c)跟蹤監控內控運行整改方案的實施情況，不僅是合規的要求，也是提升公司執行力的關鍵；

d)監管要求指出，檢查監督部門的工作資料，包括底稿和報告等需要保存十年。C.工作成果

a)在風險評估的基礎上，制定風險內控監督檢查辦法和內控檢查計劃； b)設計開展內控自我評價和抽樣評審的標準和工具，包括：風險內控自評的問卷，抽樣測試的程序、方法和具體工作底稿； c)風險內控監督檢查報告。3.3.5 董事會報告及披露階段

A.主要步驟

a)董事會/審計委員會審核《內部控制檢查監督工作報告》；并以此為基礎制作《內部控制自我評估報告》形成董事會決議；

b)披露《內部控制自我評估報告》以及會計師事務所對該報告出具的核實評價意見；

c)以內控自我評估報告為基礎，結合國資委風險管理報告模板框架，披露《風險管理報告》。

B.關鍵事項

a)董事會是公司內控制度之完整合理、實施有效之責任主體；

b)董事會應當根據監管機構將要出臺的董事會議事規則以及其它相關法規的要求，采取適當的步驟和取得充分的資料，來支持其對公司內控有效性的決議，這些資料既應包括檢查監督部門遞交的《內部控制檢查監督工作報告》；也應包括管理層提交的其他支持性文件，包括管理層的內控自我評估問卷等；

C.工作成果

a)根據上交所將要出臺的董事會議事規則以及其它相關法規的要求，制定董事會內部控制檢查監督清單（Checklist）；

b)制定董事會內部控制資料檢查制度，制度中規定董事會應采取的適當步驟，來支持其對公司內控的決議或有重大內部控制缺陷時的披露程序； c)擬定《內部控制自我評估報告》、《全面風險管理報告》或者其他的披露文件。企業全面風險/內控管理對信息化系統的要求

在企業建立了全面風險管理和內部控制體系的基礎上，企業對信息化系統的要求可以概述為以下幾點：

A.建立適應集團企業全員應用的、集中部署的風險管理工作平臺； a)完成風險管理的業務流程：包括從風險組織和管理標準設立、風險信息搜集、風險評估、風險應對、風險控制、風險評價與改進、風險監督與報告；

b)滿足集團多層級、多部門的風險管理審批、評估等工作中全員參與、流程流轉、信息互通的要求；

c)滿足各類風險評估、應對、監督和評價信息的共計、匯總分析，支持各類外部監管機構的報告輸出要求。

B.能夠將全面風險管理與內部控制體系無縫集成；

a)達到風險管理與內部控制體系的集成應用，實現一套班子、一套體系、一套流程的統一管理；

b)通過風險管理的應對方案，實現通過內部控制體系實現風險控制的目的；

c)風險控制點可以直接控制業務系統的運作； d)實現業務系統數據自動支持風險預警、風險識別。C.實現風險控制節點監督的自動檢測；

a)通過內控體系實現對業務系統風險控制點的自動監控，降低風險監督人工成本；

b)實現對現有各類業務系統安全控制的監察，防止由于系統安全策略和漏洞造成系統應用風險。

D.建立風險管理知識庫，完善相應的績效考核和保障機制

a)構建集團統一的風險管理知識平臺，加強風險管理意識普及； b)設計風險指標，并根據控制效果評價影響相關部門人員的績效考核。E.滿足大用戶量大并發的效率要求，支持后續應用變化引起的系統整合、個性化開發應用需求 5 用友NC全面風險與內控管理解決方案

5.1 本解決方案的應用架構

用友全面風險管理與內控架構公司治理層風險信息搜集風險評估管理風險應對管理風險監督與改進風險控制評價內控體系管理內控手冊管理IT控制監控報告內控審計管理風險管理報告戰略管理層企業績效管理全面預算與計劃管理集團報表與合并管理組織與策略管理業務經營層集團客戶關系管理集團財務管理集團供應鏈管理集團人力資源管理電子商務應用集團資產管理行業特殊應用集團知識文化管理基礎平臺層身份與權限管理動態會計平臺辦公協同與門戶流程管理平臺集成應用平臺預警平臺二次開發平臺商務智能平臺NC全面風險/內控管理體系架構圖

廣義的NC全面風險與內控管理解決方案由依托于UAP平臺包括業務經營層、戰略管理層和公司治理層三部分，而狹義的全面風險與內控管理方案則專指公司治理層。其中，全面風險管理的業務運作可以用下圖標示：

風險組織風險知識庫風險分類風險問卷風險評估標準風險評估模型流程管理報告模板風險指標設置風險預警設置基礎設置業務處理風險信息搜集突發重大風險風險評估風險應對管理重大風險應對風險執行跟蹤跟蹤改進報告風險預警分析與報告風險分布熱圖風險事件查詢風險自檢查詢風險自評報告13

全面風險管理系統架構圖

? 基礎設置層：本層是整個風險管理信息系統的平臺基礎，包括風險管理組織設置、風險分類與信息、風險知識庫、風險預警設置、風險評估標準與模型、風險問卷管理等。構建整個風險管理的基礎環境。

? 業務處理層：本層是整個風險管理信息系統的核心業務處理部分。包括從風險信息搜集、風險識別與評估、風險預警和應對管理、風險應對執行與監督管理。實現集團多層級的協同風險管理作業，建立相關的標準流程和信息共享。

? 分析與報告層：本層處理是風險信息查詢分析和風險管理報告披露的部分。包括風險管理報告管理、風險熱圖和矩陣分析等。5.2 實現集團級風險管理的全流程管理平臺 5.2.1 風險管理系統流程

全面風險管理集團設定風險識別周期制定風險識別問卷模板公司調整風險識別信息提交審核部門問卷提交公司部門下發風險識別問卷到公司下發風險識別問卷到部門風險識別提交部門內部審核風險收集與管理公司內部審核審批上報風險評估模板風險發生可能性評估標準風險影響程度評估標準風險評估分值設置公司評估結果確認規則固有風險評估上報評估結果審核提交風險分析與評價集團進行固有風險評估審批確認重大風險風險應對方案制定應對方案剩余風險評估全面風險管理系統流程

5.2.2 實現多級風險信息收集管理

? 支持集團全面風險管理問卷的設計、下發與信息上報管理。? 支持重大風險事件的上報管理。

【風險調查問卷下發】

【重大風險事件上報】

5.2.3 支持多種評估標準和模型管理

? 支持集團多層級、多部門風險評估運作機制； ? 支持風險評估標準與模型建立； ? 支持評估結果自動選取標準。

【風險評估流程圖】

【評估結果生成規則】

【固定風險評估】

5.2.4 實現風險指標監控、自動預警

? 針對風險成因，設置相應的參照指標，可以是定性指標，可以是定量指標。其中定量指標可以設置報警區間，一旦滿足預警條件，系統自動發送相關信息給指定人；

【風險指標設置】

? 系統提供預警信息報送機制的設置，以各種方式傳遞。

【預警方式設置】

5.2.5 實現風險應對管理

? 風險應對策略方案的管理； ? 建立與內控措施關聯關系； ? 形成風險控制矩陣。

【風險應對方案】

【風險控制矩陣】

5.2.6 記錄風險控制的評價與改進

? 根據風險管理組織和崗位分工，支持風險崗位針對風險控制點的測試，記錄測試結果，并進行統計分析

【風險控制點測試】

? 支持對失效的控制點進行設計和運行缺陷的認定，并制定整改的時間和相關負責人。

【風險缺陷評價】

5.2.7 實現風險控制的監督與報告

? 支持以風險為核心的各種信息搜集、評估、應對、控制執行測試等綜合信息的報告式輸出； ? 支持以word、excel、txt、html等多種格式輸出系統內的信息，形成相關分析報告； ? 支持向外部風險管理和內控審計機構提供相關信息。

【風險管理綜合報告】

5.3 實現COSO全面風險綜合架構，與內控體系整合 5.3.1 通過風險應對方案建立與內控體系的聯系

系統在風險應對方案中，建立與內部控制體系之間的對應關系，從而實現：

? 風險應對方案直接對應內控措施，包括控制點、控制業務流程、監督措施、監督部門、監督崗位；

【風險應對與內控措施對應】

? 內部控制管理手冊中直接選取關聯的業務風險，定義控制點、監督檢查方法、業務流程等，實現雙向的互相索引關聯。

【內控手冊維護】

5.3.2 通過內控系統完成與業務系統運作管理的結合

? 提供關鍵業務數據審計線索配置與監控查詢：包括基礎數據檔案，諸如客戶檔案、會計科目、銀行賬戶檔案等。系統可自動記錄這些關鍵數據的變化日志，特別是編輯的時間、前后變化的對比、編輯人員等關鍵信息。

【關鍵數據審計線索配置】

? 提供關鍵業務流程審計線索的配置與監控查詢：指流程配置平臺制定的業務流程，一旦發生變化，系統將自動記錄變化前后的流程，以及變化的時點、操作員。方便審計人員追查系統控制變化的過程，防止非授權情況下對業務系統的改變。

【關鍵業務流程審計配置】

? 提供關鍵控制參數審計線索的配置和監控查詢：指系統中各種集團級別、公司級別的業務系統參數，可以設計參數變化的日志記錄，便于審計人員和系統管理人員監控和追查。

5.3.3 通過內控審計評測，驗證風險管理方案的有效性

通過內控審計平臺，針對內部控制進行專項審計，并形成內部的審計評估報告： ? 支持內控審計項目計劃、任務分配、工作日志和協同合作的項目管理； ? 支持設置內控審計工作底稿、工作組分發、底稿填報與匯總的管理； ? 支持內控審計評估報告的編寫、簽審、發布和內部傳閱的管理。

【內控審計項目計劃】

【內控審計工作底稿】

【內控審計評估報告】

5.4 實現對業務系統的自動監控 5.4.1 構建IT系統安全控制監控平臺

當前企業越來越依賴ERP業務系統對于日常業務的管理，但是，如果業務系統沒有足夠的安全控制能力，或者說無法對系統的安全機制進行監控，那么整個系統輸出的數據結果將存在很大的可質疑之處。

? 授權監控：通過對關鍵用戶、關鍵角色、關鍵功能、關鍵流程的設置，NC系統可以自動對這些關鍵點進行授權情況以及變化情況進行跟蹤，形成相關的管理日志，并支持輸出到指定格式的報告。

【關鍵功能設置】

【關鍵流程授權監控】

? 互斥設置：系統內置內控措施當中不相容職責分離的模型。通過對關鍵業務流程的各個業務環節設置互斥，從而提供授權時的互斥職能檢測，防止出現不相容職責授權失誤。

【互斥設置】

? 特殊日志報告：系統為IT管理人員提供一些特殊用戶的監測日志，防止諸如系統管理員之類的特殊用戶對系統造成數據干擾。包括：特殊用戶（指系統管理員、帳套管理員）操作日志報告、離職人員報告、調配人員報告、不明身份人員報告（指無法與人員檔案建立對應關系的用戶）。

? 安全策略監控：提供對于不同角色、人員密碼策略的設置，以及策略變化的日志記錄。

5.4.2 實現對業務系統關鍵流程的自動檢測

用友NC系統針對主數據和業務流程的變動情況，自動進行日志記錄，給出相應的報告，方便內部和外部內控審計人員進行管理過程的跟蹤和評價。

【關鍵數據監控報告】

【關鍵流程檢查報告】

5.5 建立集團級高性能、柔性開放平臺 5.5.1 構建系統整合平臺，風險信息門戶

用友引進IBM的企業服務總線（ESB）平臺，為企業圍繞風險管理的各個業務系統進行基于信息管理服務的整合，實現跨平臺、跨系統的風險信息整合披露和搜集管理，并完成風險

控制過程中要求的業務整合和流程控制。

【企業整合平臺——企業信息服務總線】

為達到各系統的信息整合和互通利用，用友提供對各個業務系統基礎數據的統一標準化管理平臺——主數據管理平臺，幫助集團IT部門統一集團內各企業業務系統的共有基礎數據信息，統一發布機制和編碼機制，為后續的集成和管理提供基礎。

【主數據管理平臺】

此外，為提高系統使用人員的應用體驗，利于整個風險管理工作的順利開展，用友提供

統一的風險信息門戶，并可與企業的辦公信息門戶集成，實現統一登錄、信息集成的應用效果。同時，在該門戶可以集成風險知識庫管理，便于風險管理的工作人員查找相應的案例、信息的溝通和制度的梳理保管等。

5.5.2 高效率、個性化柔性擴展開發平臺

由于全面風險管理和內部控制管理系統，將是涉及集團內部各個企業、部門和人員的綜合系統，因此必須能夠滿足大用戶量、大并發情況下的高性能運作。用友NC系統已經在2010年9月發布《NC5.6 3萬人Hpux的性能測試報告》。其中，平均反應時間、處理事務的能力、CPU利用率等指標均達到良好水平。

【NC事務平均響應時間】

UAP-NC平臺除了提供標準的客戶化交付模式外，可以通過功能強大的二次開發平臺，根據企業應用的實際需求，進行貼身的項目開發，充分貼現客戶的個性化。通過二次開發平臺提供的各項工具，可以讓技術或者實施人員方便地存取到UAP-NC平臺系統資源，包括數據字典、表格、模板、組件、管理要素、控制函數等接口。

【開發建模管理】 解決方案的價值

基于COSO 框架的全面風險管理解決方案側重于從企業整體層面制定風險戰略、完善內控體系、利用IT 技術建立完善的風險管理流程和內部控制。幫助企業搭建風險管理的綜合IT架構，建立風險管理的長效機制，從根本上提升風險管理的效率和效果。

6.1.1 實現全面風險與內控管理，提高企業競爭能力

? 能夠形成企業上下統一的內部控制管理標準，并通過規范化與系統化的業務流程及控制節點保障內控制度的有效實施。

? 明確風險管理職責，將所有風險的管理責任落實到企業的各個層面，形成風險信息的收集、分析、報告系統，為風險的實時有效監控和應對提供依據。? 避免企業重大損失，支持企業戰略目標的實現。

? 通過電子化的手段匯總整理內控體系建設過程中的相關手冊、文檔，避免在工作中翻閱大量文字資料，提升工作效率。

? 對日常經營管理活動中出現的問題進行記錄與跟蹤以滿足合規要求，并定期審核內控流程的執行有效性，生成內控評估報告。

? 促進組織成員之間的信息交流和溝通，改善企業控制環境，提升內部控制管理效率。

6.1.2 快速遵從財政部、國資委相關管理條文要求

? 涵蓋財政部關于企業內部控制基本規范的17項控制內容和控制方法。

? 覆蓋國資委關于央企全面風險管理指引中要求的風險管理流程，特別是戰略、財務、法律風險管理信息的搜集、風險評估、風險行為管理等方面

? 符合深交所、上交所關于上市公司加強內部控制和信息披露方面的要求和控制點；

6.1.3 快速遵從SOX法規要求

? 能夠幫助管理層評估公司遵守SOX404法案的情況，保證內控報告的質量，提升管理層簽署內控報告的信心。

? 規范公司SOX404 測試工作的程序，提高SOX404測試工作效率，加強工作質量保證。? 降低溝通協調的人力成本。

? 降低遵從SOX 法案的長期成本，提高內部控制環境的整體效率。? 統一國內公司與海外公司的內部控制標準和實施要求。