第一篇：全面風險管理與內(nèi)部控制體系建設(shè)實施方案

全面風險管理與內(nèi)部控制體系

建設(shè)實施方案

一、指導(dǎo)思想

圍繞公司戰(zhàn)略目標，通過在公司管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，實現(xiàn)風險管理的總體目標。

二、方案參考依據(jù)

《中央企業(yè)全面風險管理指引》國資發(fā)改革[2006]108號；《山東省省管企業(yè)全面風險管理指引》魯國資企改〔2008〕22號；財政部發(fā)《企業(yè)內(nèi)部控制規(guī)范—基本規(guī)范》和《薩班斯-奧克斯利法案》等。

三、總體策略

（一）方案內(nèi)容

1、通過對公司內(nèi)、外部信息包括歷史信息和預(yù)測信息進行全面、細致調(diào)研的基礎(chǔ)上，充分辨識、分析、評價公司可能面臨的各種風險，主要包括戰(zhàn)略風險、財務(wù)風險、市場風險、運營風險、法律風險等；

2、針對識別的各種風險，制定相應(yīng)的風險管理策略，即圍繞企業(yè)發(fā)展戰(zhàn)略，確定風險偏好、風險承受度、風險管理有效性標準，選擇風險承擔、風險規(guī)避、風險轉(zhuǎn)移、風險轉(zhuǎn)換、風險對沖、風險補償、風險控制等適合的風險管理工具的總體策略，確定風險管理所需人力和財力資源的配臵原則；

3、根據(jù)風險管理策略制定具體的實施策略，確定具體的風險管理目標、對策、組織領(lǐng)導(dǎo)、管理流程、投入資源，以及風險事件發(fā)生前、中、后可采取的具體管理措施及風險管理工具，也即建立、健全、完善內(nèi)部控制制度。

4、建立風險管理信息系統(tǒng)。

5、建立風險管理的監(jiān)督與改進機制，及時跟蹤風險及管理狀況，建設(shè)并及時更新風險信息庫，并根據(jù)風險監(jiān)督結(jié)果對風險管理工作進行相應(yīng)改進與提升，從而保證企業(yè)全面風險管理的效果。

（二）取得的成果

通過以上工作內(nèi)容，我們會為公司出具以下工作成果：

1、公司風險信息庫

2、公司風險評估報告。

3、公司全面風險管理策略。

4、公司全面風險管理解決方案（或稱為內(nèi)部控制手冊），包括（1）公司風險管理職能體系；（2）重大風險管理職責分工；

（3）針對企業(yè)戰(zhàn)略、規(guī)劃、產(chǎn)品研發(fā)、投融資、市場運營、財務(wù)、內(nèi)部審計、法律事務(wù)、人力資源、采購、加工制造、銷售、物流、質(zhì)量、安全生產(chǎn)、環(huán)境保護等各項業(yè)務(wù)管理及其重要業(yè)務(wù)流程制定的制度、程序和措施；

（4）風險管理體系考核辦法。

5、建立風險管理信息系統(tǒng)

6、全面風險管理的監(jiān)督與改進制度

（三）實現(xiàn)或達到的目標

1、確保將風險控制在與公司戰(zhàn)略目標相適應(yīng)并可承受的范圍內(nèi)。

2、確保內(nèi)外部，尤其是公司與股東之間實現(xiàn)真實可靠的信息溝通。

3、確保遵守有關(guān)法律法規(guī)。

4、確保公司規(guī)章和制度措施的貫徹執(zhí)行，保障經(jīng)營管理的有效性，減少實現(xiàn)經(jīng)營目標的不確定性。

5、確保公司建立針對各項重大風險發(fā)生后的危機處理計劃，保護公司不因災(zāi)害性風險或人為失誤而遭受重大損失。

二、具體方案和完成時間

（一）初始信息收集

1、收集內(nèi)容：公司戰(zhàn)略、業(yè)務(wù)數(shù)據(jù)、管理信息、歷史資料、外部環(huán)境信息、行業(yè)風險信息等。

2、收集方式：初步調(diào)查問卷、訪談等。

3、小組討論研究收集的所有信息，并匯總整理形成風險管理初始信息。

4、制定風險辨識評估計劃。本階段所需時間約 個工作日。

（二）辨識、分析、評價風險 辨識：

1、在公司各部門發(fā)放風險辨識調(diào)查問卷，要求部門領(lǐng)導(dǎo)從自己業(yè)務(wù)和工作流程角度出發(fā)填寫可能面臨的各種風險。

2、匯總風險辨識調(diào)查問卷，連同在初始信息收集階段辨識的風險，根據(jù)風險業(yè)務(wù)流程分別編制風險評估問卷，并發(fā)至相關(guān)部門，要求相關(guān)部門為各種可能的或潛在的風險打分。

3、根據(jù)事先制定的評估標準，對收回的風險評估問卷進行初步分析，提煉風險事件，并在公司職能部門進行訪談和研討，確認辨識結(jié)果，形成風險信息列表。

本階段所需時間約 個工作日。分析：

1、根據(jù)風險信息列表，利用各種定性或定量分析工具，分析和描述風險發(fā)生可能性的高低、風險發(fā)生的條件。

2、分析各風險及事件對公司戰(zhàn)略規(guī)劃目標或關(guān)鍵績效指標的影響路徑和影響大小。本階段所需時間約 個工作日。評價：

1、確定風險重要性的評價標準，對風險進行綜合評價及比較排序，形成初步評價結(jié)果。

2、開展部門訪談或研討，對評價結(jié)果進行修正。

3、征詢公司領(lǐng)導(dǎo)意見，確認評價結(jié)果。

4、形成風險評價的結(jié)論，即評估風險對企業(yè)實現(xiàn)目標的影響程度、風險的價值等。

5、形成XX公司風險庫。

本階段所需時間約 個工作日。

（三）編制《風險評估報告》

個人認為該報告是對前面三個環(huán)節(jié)即風險辨識、分析、評價的一個匯總，內(nèi)容可分為三個部分，第一部分 公司存在的重大風險； 第二部分 重大風險的分析和說明；第三部分 風險可能對公司的戰(zhàn)略目標或經(jīng)營目標產(chǎn)生的影響。

本階段所需時間約 個工作日。

（四）制定風險管理策略。即圍繞企業(yè)發(fā)展戰(zhàn)略，確定風險偏好、風險承受度、風險管理有效性標準，選擇風險承擔、風險規(guī)避、風險轉(zhuǎn)移、風險轉(zhuǎn)換、風險對沖、風險補償、風險控制等適合的風險管理工具的總體策略，確定風險管理所需人力和財力資源的配臵原則。

本階段所需時間約 個工作日。

（五）風險管理解決方案。根據(jù)制定的風險管理策略，設(shè)計公司風險管理組織職能、風險管理業(yè)務(wù)流程、風險管理考核方案，也就是針對前述識別的風險，建立、健全、完善內(nèi)部控制制度。

1、收集信息：收集公司組織架構(gòu)情況、職能部門崗位描述、職能部門目前實際行使的風險管理職能情況、未來組織改革的需求等信息、公司的制度流程文件等。

2、設(shè)立公司風險管理組織職能。

A、結(jié)合公司現(xiàn)有組織結(jié)構(gòu)，設(shè)計公司風險管理組織體系框架；

B、結(jié)合現(xiàn)有部門職能及崗位設(shè)臵情況，提出風險管理責任部門及有關(guān)機構(gòu)的設(shè)臵方案與人員配臵方案；

C、明確公司風險管理負責部門、各職能部門之間的交互關(guān)系和權(quán)限； D、研討、修改方案；

3、設(shè)計公司風險管理業(yè)務(wù)流程。

A、結(jié)合公司現(xiàn)有的業(yè)務(wù)流程，設(shè)計風險管理流程；

B、對風險管理流程中的相關(guān)內(nèi)容及相關(guān)職責劃分方案進行確認； C、完成制度文件的初步撰寫；

D、征求相關(guān)部門對制度流程的意見，整理、完善制度文件；

4、設(shè)計公司風險管理考核方案。

A、對公司現(xiàn)有的考核體系進行診斷，明確風險管理考核的目標和內(nèi)容； B、確定公司及各職能部門關(guān)注的考核點；

C、設(shè)計公司風險管理考核的基本框架，確定考核各類和層級關(guān)系； D、設(shè)計風險管理考核的內(nèi)容； E、設(shè)計考核的量化指標

F、征求各部門對考核的意見和建議

《央企全面風險管理指引》規(guī)定，內(nèi)部控制制度至少包括以下內(nèi)容：（1）建立內(nèi)控崗位授權(quán)制度。（2）建立內(nèi)控報告制度。（3）建立內(nèi)控批準制度。（4）建立內(nèi)控責任制度。（5）建立內(nèi)控審計檢查制度。（6）建立內(nèi)控考核評價制度。（7）建立重大風險預(yù)警制度。（8）建立健全以總法律顧問制度為核心的企業(yè)法律顧問制度。（9）建立重要崗位權(quán)力制衡制度，明確規(guī)定不相容職責的分離。

本階段所需時間約 個工作日。

（六）建立風險管理信息系統(tǒng)。（由軟件程序設(shè)計者完成此部分內(nèi)容）

（七）風險管理報告制度，即全面風險管理的監(jiān)督與改進制度

對公司重大風險、重大事件和重大決策、重要管理及業(yè)務(wù)流程等進行監(jiān)督，建立風險管理報告制度，對風險管理的有效性進行檢驗，根據(jù)變化情況和存在的缺陷及時加以改進。

1、收集公司現(xiàn)有的監(jiān)督體系，包括內(nèi)容及信息溝通渠道，對現(xiàn)有的體系診斷，明確改進方向。

2、設(shè)計公司監(jiān)督管理體系的基本架構(gòu)，包括種類和層級關(guān)系等。

3、結(jié)合各類重大風險，設(shè)計各類風險管理報告的內(nèi)容。

4、設(shè)計各類風險管理報告的對象、職責、路線、頻率等。本階段所需時間約 個工作日。

第二篇：面風險管理與內(nèi)部控制體系建設(shè)實施方案

面風險管理與內(nèi)部控制體系建設(shè)實施方案

總體目標：通過全面風險管理與內(nèi)部控制工作的開展，在全面梳理,分析公司各業(yè)務(wù)流程中存在風險點的基礎(chǔ)上,有針對性地提出風險管理策略和風險防范方案,并隨著公司業(yè)務(wù)發(fā)展,內(nèi)外經(jīng)營環(huán)境變化,通過持續(xù)監(jiān)督與改進不斷改善業(yè)務(wù)流程,加強風險防范與內(nèi)部控制措施,提高抗風險能力，力爭用三年左右的時間，在公司系統(tǒng)內(nèi)構(gòu)建起全面風險管理與內(nèi)部控制的組織職能體系、制度體系、風險評估與管理體系、信息與監(jiān)測體系、培訓(xùn)與文化體系及監(jiān)督與改進體系等“六大體系”，有效地防范政策與政府風險、戰(zhàn)略與決策風險、財務(wù)與資金風險、管理與開發(fā)運營風險、法律與合規(guī)風險及道德與廉政風險等“六大類風險”，促進公司又好又快地發(fā)展。同時在決策層、管理層及員工等不同層面都樹立起風險意識,形成風險文化并將其融入企業(yè)文化中去。

（二）工作原則和總體規(guī)劃

在具體工作中，要堅持以下原則：

1．尊重現(xiàn)實、注重實效

2．涵蓋整體、突出重點

3．統(tǒng)一設(shè)計、分步實施

一是建立健全起公司全面風險管理與內(nèi)部控制的組織、制度體系，明確相關(guān)工作職責；二是梳理、分析公司面臨的風險點，形成風險信息庫，基本搭建起涵蓋風險評估、風險管理策略和防范方案的風險內(nèi)控體系和風險監(jiān)控管理系統(tǒng)；

三是做好經(jīng)驗教訓(xùn)總結(jié)工作，逐步完善公司全面風險管理體系，為下一步在項目公司推廣全面風險管理體系奠定基礎(chǔ)。

四是將全面風險管理及內(nèi)部控制工作從管理部門延伸至生產(chǎn)經(jīng)營第一線，從公司總部縱向延伸到項目公司。將風險管理工作落實到最基層，落實到項目公司。

對企業(yè)在發(fā)展戰(zhàn)略、財務(wù)資金、市場運營、投融資、項目管理、安全質(zhì)量環(huán)保、法律合同等工作中存在的問題和風險，進行認真的查找、分析、研究，梳理出現(xiàn)階段存在的主要風險源和重大風險點，進而及時制定出相應(yīng)的風險防控措施和應(yīng)對方案，有效地規(guī)避或化解經(jīng)營管理工作中所面臨的重大風險。

在實際工作中，要正確處理好風險與收益的有機關(guān)系，牢固樹立“效益、效率和風險相平衡”的經(jīng)營觀念。在抓市場機遇的同時，要按照風險的兩面性原理，注重風險的防范與控制，將風險控制在可承受的范圍之內(nèi)。在提高效率的同時，注重風險的控制程度與效率的平衡，注重處理好風險控制的嚴肅性與風險內(nèi)控體系動態(tài)適應(yīng)性的關(guān)系，強化關(guān)鍵風險點的管控，使風險控制與工作效率的提高形成良性的互動。

正確處理好全面風險管理與各項日常業(yè)務(wù)工作的關(guān)系，統(tǒng)籌安排好各項工作，確保必要的資源配置與投入，為工作開展提供有力的組織保障。

全面風險管理的最終目的是通過管理體系的建設(shè)和優(yōu)化，保障和促進企業(yè)持續(xù)快速健康發(fā)展。

風險管理的全面性、持續(xù)性、動態(tài)性特征要求我每一位員工都要樹立起長期的風險管理理念。

第三篇：內(nèi)部控制體系建設(shè)實施方案

內(nèi)部控制體系建設(shè)實施方案

為積極穩(wěn)妥地推進建立以源頭治理和過程控制為核心的企業(yè)內(nèi)控體系，健全和完善對全資、控股、參股公司的管理控制體系，全面提升集團公司管理水平，強化集團公司在國際化建設(shè)過程中防范風險的能力，促進集團公司戰(zhàn)略發(fā)展目標的實現(xiàn)，特制定本方案。

一、集團公司內(nèi)部控制體系建設(shè)的基本情況

集團公司非常重視內(nèi)部控制制度的建設(shè)，這些制度的有效執(zhí)行對提高集團公司管理水平和各階段發(fā)展目標的實現(xiàn)起到了積極的促進作用。但是，從我們對股份公司、****公司等單位內(nèi)控體系建設(shè)調(diào)研的情況，以及國務(wù)院國資委對中央企業(yè)開展內(nèi)控體系建設(shè)的總體要求看，目前的各項管理制度還沒有真正融為一體，成為一套系統(tǒng)化的體系。由此導(dǎo)致了職能部門之間管理界面不清晰、管理責任不到位；下級單位對上級多頭匯報、多頭請示；同級業(yè)務(wù)單位之間業(yè)務(wù)交叉，工作標準參差不齊。這些問題和矛盾的存在，制約著集團公司整體科學管理水平的進一步提高，與集團公司的戰(zhàn)略發(fā)展目標也不相適應(yīng)，需要我們對現(xiàn)有的各項管理制度進行梳理并系統(tǒng)化，以形成一套科學、完整的制度化體系。

二、內(nèi)部控制體系建設(shè)的必要性

內(nèi)部控制是由企業(yè)決策層、管理層和其他人員實施的，為實現(xiàn)企業(yè)戰(zhàn)略發(fā)展目標提供合理保證的過程。建立健全和不斷完善內(nèi)部控制體系是國內(nèi)外企業(yè)長期管理實踐經(jīng)驗的結(jié)晶，有助于約束和規(guī)范企業(yè)管理行為的基本準則，有效規(guī)避風險。

（一）實施內(nèi)控體系建設(shè)是實現(xiàn)集團公司整體協(xié)調(diào)發(fā)展目標的需要。

“十一五”期間，集團公司將以保障國家油氣安全供應(yīng)為己任，突出實施資源、市場和國際化戰(zhàn)略，率先建成一流的社會主義現(xiàn)代化和具有較強國際競爭力的跨國企業(yè)集團。隨著集團公司的發(fā)展，尤其是實施國際化經(jīng)營戰(zhàn)略，客觀上需要集團公司理順內(nèi)部管理流程，針對關(guān)鍵的風險控制點，采取積極穩(wěn)妥可行的措施，建立起一套科學、有效的內(nèi)部控制體系，增強抵御內(nèi)外部風險的能力，為實現(xiàn)集團公司的整體協(xié)調(diào)發(fā)展目標創(chuàng)造適合的環(huán)境和氛圍。

（二）實施內(nèi)控體系建設(shè)是集團公司提升科學管理水平的需要。

內(nèi)部控制是企業(yè)科學管理的重要內(nèi)容，是實現(xiàn)企業(yè)目標的重要依托。建立并認真執(zhí)行一套設(shè)計科學、簡潔適用、運行有效的內(nèi)控體系，將有助于企業(yè)及時發(fā)現(xiàn)和掌握經(jīng)營管理中的突出風險，有助于企業(yè)強化內(nèi)部管理控制措施，有助于用規(guī)范和制度約束管理行為，有助于企業(yè)整合優(yōu)化內(nèi)部資源配置，提高資源的使用效率和效果。通過對內(nèi)控體系的長期有效執(zhí)行和不斷完善，將使集團公司各個層面的各項經(jīng)營活動處于受控狀態(tài)，全面提升集團公司的科學管理水平。

（三）實施內(nèi)控體系建設(shè)是集團公司履行出資人職責的需要。

建立現(xiàn)代企業(yè)制度，完善法人治理結(jié)構(gòu)是實現(xiàn)集團公司發(fā)展目標的重要組織保障。這就要求必須推行內(nèi)控體系建設(shè)，規(guī)范出資人與經(jīng)理人之間的代理關(guān)系和授權(quán)管理，明確各自的職責和權(quán)限，強化信息獲取、傳遞和溝通，促使被投資企業(yè)實現(xiàn)信息的透明化和信息披露的完整、充分、必要，使集團公司能夠從管理上、制度上形成一套規(guī)避風險的運行機制，及時獲取充分有效的信息用于分析和化解面臨的各種風險，實施有力監(jiān)督，增強有效防范風險的能力，防止出現(xiàn)內(nèi)部人控制或降低內(nèi)部人控制的程度，以維護集團公司作為出資人的權(quán)益。

（四）實施內(nèi)控體系建設(shè)是集團公司實施依法治企的需要。

二、當前企業(yè)內(nèi)部控制制度設(shè)計的誤區(qū)

近年來，越來越多的企業(yè)將內(nèi)部控制制度作為企業(yè)管理的主要手段，內(nèi)部控制制度的建設(shè)受到了廣大企業(yè)的高度重視，我國企業(yè)在內(nèi)部控制制度的設(shè)計領(lǐng)域開展了卓有成效的實踐，取得了長足的進步。但是由于經(jīng)驗不足、內(nèi)部控制制度設(shè)計人員素質(zhì)不高等原因，在現(xiàn)階段，我國企業(yè)的內(nèi)部控制制度設(shè)計從總體上看質(zhì)量不高，對內(nèi)部控制各要素的設(shè)計不系統(tǒng)、不科學，企業(yè)的內(nèi)部控制制度設(shè)計仍存在著諸多誤區(qū)，主要表現(xiàn)在以下幾個方面：

第一，企業(yè)在進行內(nèi)部控制制度設(shè)計時忽略了實施成本問題，雖然制定出了嚴謹?shù)膬?nèi)部控制制度，但是實行該制度所花費的成本超過了因此而產(chǎn)生的經(jīng)濟效益，缺乏可操作性，得不償失。

第二，企業(yè)在進行內(nèi)部控制制度設(shè)計時過于注重制度的文字編寫，忽略了制度的執(zhí)行和其作用的發(fā)揮，使制度流于形式，有的企業(yè)甚至將制定內(nèi)部控制制度作為應(yīng)付相關(guān)部門檢查、審計的手段，沒有真正意識到企業(yè)內(nèi)部控制制度的重要性。

第三，企業(yè)在進行內(nèi)部控制制度設(shè)計時對內(nèi)部控制監(jiān)督機制設(shè)計的重視程度不夠，導(dǎo)致對企業(yè)內(nèi)部控制的監(jiān)督薄弱，難以確保制度的執(zhí)行和其有效性。由于監(jiān)督的失效容易出現(xiàn)“內(nèi)部人控制”的現(xiàn)象，將影響全體企業(yè)員工的控制意識和行為，嚴重的甚至導(dǎo)致內(nèi)部控制的失敗。

第四，對已經(jīng)制定的內(nèi)部控制制度，很多企業(yè)未能根據(jù)企業(yè)的發(fā)展狀況及時對內(nèi)部控制制度作出適當?shù)恼{(diào)整，致使內(nèi)部控制制度不適應(yīng)企業(yè)的發(fā)展，難以對企業(yè)新的經(jīng)濟業(yè)務(wù)進行有效控制。第五，在內(nèi)部控制制度的設(shè)計中忽略了人的因素，須知無論如何完善的制度，最終還是需要人去執(zhí)行，如果內(nèi)部控制制度未得到員工的認同和理解，那么制度最終會淪為一紙空文。

三、企業(yè)內(nèi)部控制制度的設(shè)計要點

企業(yè)內(nèi)部控制制度設(shè)計的優(yōu)劣將直接影響內(nèi)部控制制度執(zhí)行的有效性，因此，在進行企業(yè)內(nèi)部控制制度的設(shè)計過程當中，應(yīng)該避免走入設(shè)計誤區(qū)，并抓住設(shè)計要點進行制度設(shè)計，以確保企業(yè)內(nèi)部控制制度的科學合理。

1．控制目標設(shè)計

企業(yè)內(nèi)部控制制度首先需要有明確的控制目標?？刂颇繕耸枪芾斫?jīng)濟活動的基本要求、實施內(nèi)部控制的最終目的，同時也是評價內(nèi)部控制的最高標準。簡單來說，設(shè)置企業(yè)內(nèi)部控制目標解決了企業(yè)為什么要進行控制的問題，為內(nèi)部控制指明了努力的方向。在企業(yè)內(nèi)部控制制度的設(shè)計中，企業(yè)內(nèi)部控制目標的定位應(yīng)該與企業(yè)的發(fā)展戰(zhàn)略相結(jié)合，應(yīng)該把握控制目標的動態(tài)性、層次性和全面性的特征進行設(shè)計。眾所周知，處于不同發(fā)展階段的企業(yè)，由于發(fā)展戰(zhàn)略各異，其內(nèi)部控制的側(cè)重點有所不同，因此，企業(yè)內(nèi)部控制目標具有動態(tài)性，進行內(nèi)部控制目標設(shè)計應(yīng)該隨企業(yè)的發(fā)展而變化，實行跟蹤控制；還應(yīng)該針對企業(yè)的不同治理結(jié)構(gòu)層次、內(nèi)容對企業(yè)內(nèi)部控制目標進行分解，滿足內(nèi)部控制目標的層次性要求，做到目標明確、分而治之。同時，還要在制度上體現(xiàn)對內(nèi)部控制多個目標間的協(xié)調(diào)，使整體控制效果達到最佳狀態(tài)。

2．控制流程設(shè)計

控制流程是依次貫穿于某項業(yè)務(wù)活動始終的基本控制步驟及相應(yīng)環(huán)節(jié)，控制流程往往是與業(yè)務(wù)流程相吻合的。在企業(yè)內(nèi)部控制制度設(shè)計中，控制流程的設(shè)計應(yīng)該是與企業(yè)控制目標相適應(yīng)的?？刂屏鞒痰脑O(shè)計思路和方法很多，如按會計科目設(shè)計、按經(jīng)濟業(yè)務(wù)類型設(shè)計、按經(jīng)營單位或管理部門設(shè)計，等等。但是，無論使用哪種(或多種)設(shè)計思路，都需要根據(jù)企業(yè)的實際情況，結(jié)合企業(yè)所制定的內(nèi)部控制目標進行權(quán)衡比對，從而選擇最適合的設(shè)計思路和方法。為了確保制度設(shè)計的科學合理，在進行流程設(shè)計之前應(yīng)該對企業(yè)現(xiàn)有經(jīng)濟業(yè)務(wù)進行分類、整合和提煉，避免重復(fù)設(shè)計流程(如控制手段、控制過程相同的不同經(jīng)濟事項被重復(fù)進行設(shè)計)。另外，在進行控制流程設(shè)計時不可避免會出現(xiàn)交叉或重復(fù)的內(nèi)容，此時需要對這些內(nèi)容進行適當調(diào)整，否則將影響其客觀性。

3．控制點設(shè)計

控制流程是由控制點組成的，控制點又分為關(guān)鍵控制點和一般控制點兩種類型，對不同的控制點需要采用不同的控制方法進行管理。關(guān)鍵控制點與一般控制點在一定的條件下是可以相互轉(zhuǎn)化的。企業(yè)制定內(nèi)部控制措施的關(guān)鍵在于抓住關(guān)鍵控制點，企業(yè)管理者只有將注意力集中于業(yè)務(wù)處理過程當中發(fā)揮作用大、影響范圍廣、對保證整個業(yè)務(wù)活動的控制目標至關(guān)重要的關(guān)鍵控制點上，才能確保內(nèi)部控制的效率和效果。因此，控制點的設(shè)計非常重要，其中關(guān)鍵控制點的選擇更是重中之重。內(nèi)部控制關(guān)鍵控制點應(yīng)該以選擇關(guān)鍵的成本項目、業(yè)務(wù)活動、業(yè)務(wù)環(huán)節(jié)、重要要素及重要資源為選擇依據(jù)，即將影響成本項目費用的主要因素，對企業(yè)競爭力、盈利能力有重大影響的活動、要素和資源及容易發(fā)生且可能造成重大損失的環(huán)節(jié)設(shè)定為內(nèi)部控制關(guān)鍵控制點。值得注意的是，不同的經(jīng)濟業(yè)務(wù)活動其關(guān)鍵控制點是不同的，某環(huán)節(jié)在某項業(yè)務(wù)中屬于內(nèi)部控制關(guān)鍵控制點并不意味著它永遠都是，也許在其他的業(yè)務(wù)活動中，該環(huán)節(jié)僅是一般控制點。因此，在進行內(nèi)部控制制度設(shè)計中，必須根據(jù)管理或內(nèi)部控制目標的具體要求、業(yè)務(wù)活動的類型及特點等來選擇和確定企業(yè)內(nèi)部控制的關(guān)鍵控制點。4．控制權(quán)限設(shè)計

內(nèi)部控制權(quán)限的設(shè)計是企業(yè)建立內(nèi)部控制制度的精髓之一，控制權(quán)限是否設(shè)置合理，直接決定了內(nèi)部控制制度的客觀性和有效性。內(nèi)部控制要求企業(yè)必須建立合理的授權(quán)機制，對內(nèi)部控制的控制權(quán)限進行合理配置。筆者認為，對內(nèi)部控制權(quán)限進行設(shè)計要遵循重要性原則、責任明確原則，既要滿足控制目標的需要，又要兼顧工作效率。明確內(nèi)部控制的控制權(quán)限應(yīng)從授權(quán)階段就開始進行控制。管理層在進行授權(quán)時，應(yīng)該統(tǒng)籌考慮授權(quán)的范圍、層次與責任，將所有的經(jīng)營活動都納入授權(quán)范圍，把經(jīng)濟活動的重要性列為權(quán)限劃分的重要依據(jù)，防止出現(xiàn)權(quán)力重疊或責任真空的現(xiàn)象，做到權(quán)責明晰，為各中間管理層和全體員工以所授權(quán)限開展工作提供依據(jù)。管理者通過合理授權(quán)以保證經(jīng)營決策得以有效運行、管理制度有效貫徹，實現(xiàn)權(quán)力制衡。在設(shè)計中實現(xiàn)相互牽制也非常重要，若同一項經(jīng)濟業(yè)務(wù)由一個人(或一個部門)包辦，則難以實現(xiàn)管理控制的目標，必須要有相互牽制、相互制約和相互監(jiān)督，進行控制權(quán)限設(shè)計同樣需要考慮這方面的問題。

5．控制監(jiān)督設(shè)計

內(nèi)部控制監(jiān)督是經(jīng)營管理部門對內(nèi)部控制的管理監(jiān)督及內(nèi)審監(jiān)察部門對內(nèi)部控制的再監(jiān)督活動的總稱，是隨著時間的推移而評估制度執(zhí)行質(zhì)量的過程。在我國，很多企業(yè)并非沒有建立內(nèi)部控制制度，困擾企業(yè)的主要問題是所建立的內(nèi)部控制制度的執(zhí)行效果不佳，某些參與制定內(nèi)部控制制度的負責人內(nèi)部控制意識薄弱，致使內(nèi)部控制制度形同虛設(shè)或出現(xiàn)“對上不對下”的尷尬局面。造成這種不良現(xiàn)象出現(xiàn)的主要原因就是企業(yè)忽視了對內(nèi)部控制監(jiān)督的設(shè)計，監(jiān)督機制不完善。因此，要確保企業(yè)所建立的內(nèi)部控制制度被切實執(zhí)行并獲得良好的執(zhí)行效果，就必須對內(nèi)部控制過程施以恰當?shù)谋O(jiān)督，內(nèi)部控制監(jiān)督設(shè)計的重要性可見一斑。在進行內(nèi)部控制設(shè)計時，應(yīng)該關(guān)注監(jiān)督評審程序的合理性、對內(nèi)部控制缺陷的報告和對政策程序的調(diào)整。要將內(nèi)部控制監(jiān)督工作列為企業(yè)日常工作之一，將內(nèi)部審計列為重點監(jiān)督手段，使內(nèi)部審計充分發(fā)揮監(jiān)督企業(yè)經(jīng)營業(yè)務(wù)、提供完善內(nèi)部控制制度和糾錯的建議的作用。同時，暢通監(jiān)督信息反饋渠道可以使管理層或其他人員在發(fā)現(xiàn)企業(yè)內(nèi)部控制缺陷時，能及時向上反饋或提供建設(shè)性建議，使企業(yè)內(nèi)部控制的缺陷得以及時、果斷處理。

6．控制制度體例設(shè)計

企業(yè)內(nèi)部控制制度體例是內(nèi)部控制制度的基礎(chǔ)和骨架，除非遇到特殊情況或特殊需要，一般來說，內(nèi)部控制制度的體例是不需要作重大調(diào)整的。倘若內(nèi)部控制制度的體例設(shè)計不合理，企業(yè)對體例作出重大調(diào)整時，將會耗費大量的人力、物力。另外，頻繁地調(diào)整內(nèi)部控制制度的體例也不利于制度的執(zhí)行，同時也削弱了制度的權(quán)威性。因此，內(nèi)部控制制度體例的設(shè)計至關(guān)重要，在設(shè)計時，不但要考慮一般的設(shè)計問題，還要考慮到所設(shè)計的制度體例能夠適應(yīng)今后修改完善的要求，預(yù)留一定的修訂、完善空間。例如，對內(nèi)部控制制度條目的排序可以用1.1、1.2、2.1等排序，能夠較好地解決對業(yè)務(wù)流程、控制步驟和控制點進行增補、修改或刪除的需要。而在文字編排方面，諸如基本原則、要求、一般規(guī)定等應(yīng)該在制度大綱中描述，而不宜放在具體的業(yè)務(wù)流程當中。總的來說，就是內(nèi)部控制制度的體例設(shè)計要確保制度整體結(jié)構(gòu)在一定時期內(nèi)保持穩(wěn)定，同時可以適應(yīng)修訂和完善的需求。

四、結(jié)語

總之，建立健全企業(yè)的內(nèi)部控制制度是企業(yè)增強市場競爭力、迎接經(jīng)濟全球化挑戰(zhàn)的必然選擇。應(yīng)該看到，我國的企業(yè)內(nèi)部控制尚不成熟，對內(nèi)部控制制度的設(shè)計仍存在缺陷，這就要求我們必須在實踐中繼續(xù)完善內(nèi)部控制制度的設(shè)計。企業(yè)內(nèi)部控制制度的設(shè)計是一個動態(tài)的過程，制度設(shè)計人員要在具體執(zhí)行、正確評價等實踐過程當中不斷完善內(nèi)部控制制度，才能真正確保企業(yè)控制目標的實現(xiàn)。

第四篇：全面風險管理與內(nèi)部控制的關(guān)系

全面風險管理與內(nèi)部控制的關(guān)系

摘 要：內(nèi)部控制是企業(yè)全面風險管理的基礎(chǔ)，同時內(nèi)部控制也是全面風險管理不可或缺的重要組成部分。內(nèi)部控制與全面風險管理之間既存在著聯(lián)系又有所不同，為了使企業(yè)能充分發(fā)揮內(nèi)部控制和全面風險管理的作用，應(yīng)該對兩者之間的關(guān)系有清楚的認識。本文主要介紹了全面風險管理和內(nèi)部控制，以及二者之間的關(guān)系。

關(guān)鍵詞：全面風險管理；內(nèi)部控制；關(guān)系

（一）內(nèi)部控制

內(nèi)部控制是指企業(yè)為了合理保證財務(wù)報告的可靠性、經(jīng)營的效率和效果以及對法律法規(guī)的遵守，由治理層、管理層和其他人員設(shè)計和執(zhí)行的政策和程序。關(guān)于內(nèi)部控制的定義，COSO委員會經(jīng)過相對較長時間的研究，于1992年發(fā)布了《內(nèi)部控制——整體框架》，1994年形成正式文稿。《內(nèi)部控制——整體框架》認為內(nèi)部控制是為實現(xiàn)企業(yè)經(jīng)營效率和效果、財務(wù)報告的可信性及相關(guān)法令的遵循等企業(yè)目標而提供合理保證的過程。內(nèi)部控制的實施者為企業(yè)董事會、經(jīng)理層和其他員工。內(nèi)部控制是整個企業(yè)設(shè)計的系統(tǒng)，不是為了某個人或某個層級的人提出來的專門針對某個人或某個層級的人的制度。沒有人能脫離這一系統(tǒng)而獨立運作。管理層、董事會、內(nèi)部審計和其他員工都應(yīng)該對內(nèi)部控制承擔責任。

內(nèi)部控制目標有三點，一是財務(wù)報告的可靠性。企業(yè)決策層要想在瞬息萬變的市場競爭中有效地管理經(jīng)營企業(yè)，就必須及時掌握各種信息，以確保決策的正確性，并可以通過控制手段盡量提高所獲信息的準確性和真實性。因此，建立內(nèi)部控制系統(tǒng)可以提高會計信息的正確性和可靠性。二是經(jīng)營的效果和效率。內(nèi)部控制系統(tǒng)通過確定職責分工，嚴格各種手續(xù)、制度、工藝流程、審批程序、檢查監(jiān)督手段等．可以有效地控制本單位生產(chǎn)和經(jīng)營活動順利進行、防止出現(xiàn)偏差，糾正失誤和弊端，保證實現(xiàn)單位的經(jīng)營目標。三是合規(guī)性。企業(yè)決策層不但要制定管理經(jīng)營方針、政策、制度，而且要狠抓貫徹執(zhí)行。內(nèi)部控制則可以通過袱定辦法，審核批準，監(jiān)督檢查等手段促使全體職工貫徹和執(zhí)行既定的方針、政策和制度，同時，可以促使企業(yè)領(lǐng)導(dǎo)和有關(guān)人員執(zhí)行國家的方針、政策．在遵守國家法規(guī)紀律的前提下認真貫徹企業(yè)的既定方針。

企業(yè)建立與實施有效的內(nèi)部控制，應(yīng)當包括下列要素：

一是內(nèi)部環(huán)境。內(nèi)部環(huán)境是企業(yè)實施內(nèi)部控制的基礎(chǔ)，一般包括治理結(jié)構(gòu)、機構(gòu)設(shè)置及權(quán)責分配、內(nèi)部審計、人力資源政策、企業(yè)文化等。

二是風險評估。風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關(guān)的風險，合理確定風險應(yīng)對策略。三是控制活動?？刂苹顒邮瞧髽I(yè)根據(jù)風險評估結(jié)果，采用相應(yīng)的控制措施，將風險控制在可承受度之內(nèi)。

四是信息與溝通。信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關(guān)的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通。

五是內(nèi)部監(jiān)督。內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查，評價內(nèi)部控制的有效性，發(fā)現(xiàn)內(nèi)部控制缺陷，應(yīng)當及時加以改進。

（二）全面風險管理

所謂全面風險管理，是指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。

2004年COSO委員會發(fā)布《企業(yè)風險管理——整合框架》。企業(yè)風險管理整合框架認為“企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應(yīng)用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證。”該框架拓展了內(nèi)部控制，更有力、更廣泛地關(guān)注于企業(yè)風險管理這一更加寬泛的領(lǐng)域。

全面風險管理框架包括了八個要素：

一是內(nèi)部環(huán)境。管理當局確立關(guān)于風險的理念，并確定風險容量。所有企業(yè)的核心都是人(他們的個人品性，包括誠信、道德價值觀和勝任能力)以及經(jīng)營所處的環(huán)境,內(nèi)部環(huán)境為主體中的人們?nèi)绾慰创L險和著手控制風險確立了基礎(chǔ)。

二是目標設(shè)定。必須先有目標，管理當局才能識別影響目標實現(xiàn)的潛在事項。企業(yè)風險管理確保管理當局采取恰當?shù)某绦蛉ピO(shè)定目標，并保證選定的目標支持主體的使命并與其相銜接，以及與它的風險容量相適應(yīng)。

三是事項識別。必須識別可能對主體產(chǎn)生影響的潛在事項，包括表示風險的事項和表示機會的事項，以及可能二者兼有的事項。機會被追溯到管理當局的戰(zhàn)略或目標制定過程。

四是風險評估。要對識別的風險進行分析，以便確定管理的依據(jù)。風險與可能被影響的目標相關(guān)聯(lián)。既要對固有風險進行評估，也要對剩余風險進行評估，評估要考慮到風險的可能性和影響。

五是風險應(yīng)對。員工識別和評價可能的風險應(yīng)對措施，包括回避、承擔、降低和分擔風險。管理當局選擇一系列措施使風險與主體的風險容限和風險容量相適應(yīng)。六是控制活動。制定和實施政策與程序以確保管理當局所選擇的風險應(yīng)對策略得以有效實施。

七是信息與溝通。主體的各個層級都需要借助信息來識別、評估和應(yīng)對風險。廣泛意義的有效溝通包括信息在主體中向下、平行和向上流動。

八是監(jiān)控。整個企業(yè)風險管理處于監(jiān)控之下,必要時還會進行修正。這種方式能夠動態(tài)地反應(yīng)風險管理狀況，并使之根據(jù)條件的要求而變化。監(jiān)控通過持續(xù)的管理活動、對企業(yè)風險管理的單獨評價或者兩者的結(jié)合來完成。

（三）全面風險管理與內(nèi)部控制的關(guān)系

談到風險管理，則一定會提到企業(yè)內(nèi)部控制。在實踐中有很多企業(yè)不能真正理解全面風險管理與內(nèi)部控制的區(qū)別和聯(lián)系，要么將兩者完全隔離開來，要么只是簡單地將它們等同起來。其實，兩者之間既有區(qū)別又有聯(lián)系。

全面風險管理與內(nèi)部控制的聯(lián)系：

一是全面風險管理涵蓋了內(nèi)部控制。COSO框架中明確地指出全面風險管理體系框架包括內(nèi)部控制，將之作為一個子系統(tǒng)。

二是內(nèi)部控制是全面風險管理的必要環(huán)節(jié)。內(nèi)部控制的動力來自企業(yè)對風險的認識和管理，對于企業(yè)所面臨的大部分運營風險，或者說對于在企業(yè)的所有業(yè)務(wù)流程之中的風險，內(nèi)控系統(tǒng)是必要的、高效的和有效的風險管理方法。同時，維持充分的內(nèi)控系統(tǒng)也是國內(nèi)外許多法律法規(guī)的合規(guī)要求。因此，滿足內(nèi)部控制系統(tǒng)的要求也是企業(yè)風險管理體系建立應(yīng)該達到的基本狀態(tài)。

全面風險管理與內(nèi)部控制的區(qū)別：

一是兩者的范疇不一致。內(nèi)部控制僅是管理的一項職能，主要是通過事后和事中的控制來實現(xiàn)其目標，而全面風險管理則貫穿于管理過程的各個階段，覆蓋了各個不同的環(huán)節(jié)，更重要的是在事前就對風險有了一定的預(yù)見性的考慮。而且，全面風險管理所要達到的目標多于內(nèi)部控制。

二是兩者的活動不一致。全面風險管理的一系列具體活動并不都是內(nèi)部控制要做的。全面風險管理包含了選擇風險評估方法、制定風險管理目標、制定相關(guān)戰(zhàn)略、報告程序及聘用管理人員等多個環(huán)節(jié)，而內(nèi)部控制主要負責的是風險管理過程中間及其以后的重要活動，例如對風險的評估和，對財務(wù)報告的評估，信息與交流活動的監(jiān)督，對操作流程的不規(guī)范進行糾正等等。兩者最大的差別在于內(nèi)部控制不負責企業(yè)經(jīng)營目標的具體設(shè)立，而只是對目標的制定過程進行監(jiān)控和評價，尤其是對目標制定中的風險進行評估。

三是兩者對風險的管理不一致。全面風險管理框架包括了風險偏好、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎(chǔ)上，促使企業(yè)發(fā)展戰(zhàn)略向風險偏好靠攏，根據(jù)資金投入、經(jīng)營風險與利潤回報之間的聯(lián)系，進行經(jīng)濟資本分配，幫助管理層實現(xiàn)全面風險管理的目標。這些功能都是內(nèi)部控制框架能力范圍之外的。

從目前企業(yè)的管理發(fā)展趨勢來看，企業(yè)的全面風險管理與內(nèi)部控制管理已經(jīng)交集密切，互相密不可分。通過上面的描述，我們可以看出，全面風險管理及內(nèi)部控制實際上都是以保護企業(yè)的財產(chǎn)安全、保證企業(yè)的經(jīng)營結(jié)果、實現(xiàn)企業(yè)的戰(zhàn)略目標為最終的目的。內(nèi)部控制是全面風險管理的重要核心內(nèi)容，而全面風險管理則在內(nèi)部控制的基礎(chǔ)上升華擴散。概括的說，內(nèi)部控制使得企業(yè)的日常經(jīng)營管理流程更加規(guī)范、財務(wù)管理真正的有效實施，與此同時企業(yè)內(nèi)部的規(guī)范性操作流程、財務(wù)管理控制也正是全面風險管理在企業(yè)實施的基本條件。

第五篇：淺析全面風險管理與內(nèi)部控制的關(guān)系

淺析全面風險管理與內(nèi)部控制的關(guān)系

一、內(nèi)部控制和全面風險管理在COSO框架中的定義

現(xiàn)代理論界對內(nèi)部控制的定義各不相同，但被普遍接受的定義是國際權(quán)威機構(gòu)美國的COSO委員會對內(nèi)部控制的定義。COSO于2004 年發(fā)布了《企業(yè)風險管理——整合框架》，在該框架的附錄C中指出，“內(nèi)部控制被涵蓋在企業(yè)風險管理之內(nèi)，是其不可分割的一部分”。

該組織認為：企業(yè)內(nèi)部控制是由企業(yè)董事會、經(jīng)理層以及其他員工共同實施的，為財務(wù)報告的準確性、經(jīng)營活動的效率與效果、相關(guān)法律法規(guī)的遵循等目標的實現(xiàn)而提供合理保證的過程。在COSO委員會的《內(nèi)部控制管理框架》中，把內(nèi)部控制活動分成五大組成部分，即：控制環(huán)境、風險評估、控制活動、信息與交流和監(jiān)督評審。

在多年的管理實踐中，人們意識到一個企業(yè)內(nèi)部不同部門或不同業(yè)務(wù)的風險，有的會相互疊加放大，有的則相互抵消減少。因此，風險的考慮不能僅僅從某項業(yè)務(wù)、某個部門的角度出發(fā)，必須根據(jù)風險組合的觀點，從貫穿整個企業(yè)的角度看風險，即要實行全面風險管理。

依據(jù)COSO委員會 2003年7月完成的《全面風險管理框架》定義：企業(yè)風險管理是一個過程，是由企業(yè)的董事會、管理層以及其他人員共同實施的，應(yīng)用于戰(zhàn)略制定及企業(yè)各個層次的活動，旨在識別可能影響企業(yè)的各種潛在事件，并按照企業(yè)的風險偏好管理風險，為企業(yè)目標的實現(xiàn)提供合理的保證。該框架有三個維度，第一維是企業(yè)的目標；第二維是全面風險管理要素；第三維是企業(yè)的各個層級。第一維企業(yè)的目標有4個，即戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。第二維全面風險管理要素有8個，即內(nèi)部環(huán)境、目標設(shè)定、事件識別、風險評估、風險對策、控制活動、信息和交流、監(jiān)控。第三個維度是企業(yè)的各個層級，包括整個企業(yè)、各職能部門、各條業(yè)務(wù)線及下屬各子公司?！度骘L險管理框架》三個維度的關(guān)系是：全面風險管理的8個要素都是為企業(yè)的四個目標服務(wù)的；企業(yè)各個層級都要堅持同樣的四個目標；每個層次都必須從以上8個方面進行風險管理。

二、內(nèi)部控制與全面風險管理的聯(lián)系

1.全面風險管理涵蓋了內(nèi)部控制。COSO2003年7月公布了全面風險管理框架的征求意見稿中明確地指出全面風險管理體系框架包括內(nèi)控作為一個子系統(tǒng)。全面風險管理除包括內(nèi)部控制的3個目標之外，還增加了戰(zhàn)略目標；全面風險管理的8個要素除了包括內(nèi)部控制的全部5個要素之外，還增加了目標設(shè)定、事件識別和風險對策3個要素。從時間先后和內(nèi)容上來看，全面風險管理是對內(nèi)部控制的拓展和延伸。

2.內(nèi)部控制是全面風險管理的必要環(huán)節(jié)。內(nèi)部控制的動力來自企業(yè)對風險的認識和管理，對于企業(yè)所面臨的大部分運營風險，或者說對于在企業(yè)的所有業(yè)務(wù)流程之中的風險，內(nèi)控系統(tǒng)是必要的、高效的和有效的風險管理方法。同時，維持充分的內(nèi)控系統(tǒng)也是國內(nèi)外許多法律法規(guī)的合規(guī)要求。因此，滿足內(nèi)部控制系統(tǒng)的要求也是企業(yè)風險管理體系建立應(yīng)該達到的基本狀態(tài)。

3.內(nèi)部控制是風險管理的重要手段。內(nèi)部控制是風險管理的重要手段體現(xiàn)在以下三個方面：第一，采用內(nèi)部控制措施可以處理大部分風險。就一般工業(yè)企業(yè)而言，除采取保險等措施外，大部分風險都可以通過采取內(nèi)部控制措施來解決，而這也正是我們所熟悉的，如內(nèi)部牽制措施、預(yù)算控制、實物控制、運營分析等。如果主要通過外包方案或者外部的其他力量來解決風險，其比采用內(nèi)部控制控制措施的成本會高很多。第二，可以采取內(nèi)部控制和其他措施聯(lián)合解決的部分風險。內(nèi)部控制措施可能只能在一定程度上解決某項具體風險，或者說僅采用內(nèi)部控制措施還不能使風險保持在可以承受的范圍內(nèi)，因此必須協(xié)同其他措施進行聯(lián)合管理，如外匯風險、被收購的風險、稅務(wù)風險等，以稅務(wù)風險為例，企業(yè)聘請中介機構(gòu)代為申報納稅，或者由中介機構(gòu)對企業(yè)稅務(wù)申報情況出具審核報告，從而減少稅務(wù)合規(guī)性風險。第三，對于完全采取內(nèi)部控制以外惡其他措施解決的風險在實務(wù)中非常少見。

三、內(nèi)部控制與全面風險管理的差異

1.兩者的范疇不一致。內(nèi)部控制僅是管理的一項職能，主要是通過事后和過程的控制來實現(xiàn)其自身的目標；而全面風險管理則貫穿于管理過程的各個方面，控制的手段不僅體現(xiàn)在事中和事后的控制，更重要的是在事前制訂目標時就充分考慮了風險的存在。而且，在兩者所要達到的目標上，全面風險管理多于內(nèi)部控制。

2.兩者的活動不一致。全面風險管理的一系列具體活動并不都是內(nèi)部控制要做的。目前所提倡的全面風險管理包含了風險管理目標和戰(zhàn)略的設(shè)定、風險評估方法的選擇、管理人員的聘用、有關(guān)的預(yù)算和行政管理、以及報告程序等活動。而內(nèi)部控制所負責的是風險管理過程中間及其以后的重要活動，如對風險的評估和由此實施的控制活動、信息與交流活動和監(jiān)督評審與缺陷的糾正等工作。兩者最明顯的差異在于內(nèi)部控制不負責企業(yè)經(jīng)營目標的具體設(shè)立，而只是對目標的制定過程進行評價，特別是對目標和戰(zhàn)略計劃制定當中的風險進行評估。

3.兩者對風險的定義不一致。在COSO委員會的全面風險管理框架中，把風險明確定義為“對企業(yè)的目標產(chǎn)生負面影響的事件發(fā)生的可能性”（將產(chǎn)生正面影響的事件視為機會），將風險與機會區(qū)分開來；而在COSO委員會的內(nèi)部控制框架中，沒有區(qū)分風險和機會。

4.兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎(chǔ)上，有利于企業(yè)的發(fā)展戰(zhàn)略與風險偏好相一致，增長、風險與回報相聯(lián)系，進行經(jīng)濟資本分配及利用風險信息支持業(yè)務(wù)前臺決策流程等，從而幫助董事會和高級管理層實現(xiàn)全面風險管理的4項目標。這些內(nèi)容都是內(nèi)部控制框架中沒有的，也是其所不能做到的。

四.與內(nèi)部控制相比，全面風險管理在范圍與內(nèi)容上的擴大

簡單地看，相對于內(nèi)部控制框架而言，新的COSO報告新增加了一個觀念、一個目標、兩個概念和三個要素，即“風險組合觀”、“戰(zhàn)略目標”、“風險偏好”和“風險容忍度”的概念以及“目標制定”、“事項識別”和“風險反應(yīng)”要素。對應(yīng)風險管理的需要，新框架還要求企業(yè)設(shè)立一個新的部門——風險管理部。新的風險管理框架比起內(nèi)部控制框架，無論在內(nèi)容還是范圍上都有所擴大和提高，具體表現(xiàn)在：

1.提出一個新的觀念―風險組合觀

在單獨考慮如何實現(xiàn)企業(yè)各個目標的過程中，企業(yè)風險管理框架更看重風險因素。除單獨考慮各個風險因素之外，更有必要從總體的、組合的角度理解風險。企業(yè)風險管理要求企業(yè)管理者以風險組合的觀點看待風險，對相關(guān)的風險進行識別并采取措施使企業(yè)所承擔的風險在風險偏好的范圍內(nèi)。對企業(yè)內(nèi)每個單位而言，其風險可能落在該單位的風險容忍度范圍內(nèi)，但從企業(yè)總體來看，總風險可以超過企業(yè)總體的風險偏好范圍。因此，應(yīng)從企業(yè)總體的風險組合的觀點看待風險。

2．增加一類目標—戰(zhàn)略目標，并擴大了報告目標的范疇

內(nèi)部控制框架將企業(yè)的目標分為三類――經(jīng)營、財務(wù)報告和合法性目標。企業(yè)風險管理框架也包含三個類似的目標，但是其中只有兩個目標與內(nèi)部控制框架中的定義相同，財務(wù)報告目標的界定則有所區(qū)別。內(nèi)部控制框架中的財務(wù)報告目標只與公開披露的財務(wù)報表的可靠性相關(guān)，而企業(yè)風險管理框架中的報告目標的范圍有很大的擴展，該目標覆蓋了企業(yè)編制的所有報告，既包括內(nèi)部報告，也包括外部報告；既包括企業(yè)內(nèi)部管理者使用的報告，也包括向外部提供的報告；既包括法定報告，也包括向其他利益相關(guān)者年的非法定報告；既包括財務(wù)信息，也包括非財務(wù)信息。此外，企業(yè)風險管理框架比內(nèi)部控制框架增加了一個目標——戰(zhàn)略目標。該目標的層次比其他三個目標更高。戰(zhàn)略目標來源于企業(yè)的任務(wù)或?qū)ξ磥淼念A(yù)期，經(jīng)營、報告和合法目標都與其相關(guān)。企業(yè)的風險管理在應(yīng)用于實現(xiàn)企業(yè)其他三類目標的過程中，也應(yīng)用于企業(yè)的戰(zhàn)略制定階段。

3．針對風險度量提出兩個新概念—風險偏好和風險容忍度

風險管理框架是針對企業(yè)目標實現(xiàn)過程中所面臨的風險，對企業(yè)風險管理提出風險偏好和風險容忍度兩個概念。從廣義上看，風險偏好是指企業(yè)在實現(xiàn)其目標的過程中愿意接受的風險的數(shù)量。一般從定性的角度將風險偏好分為風險喜好、風險中性和風險厭惡三種類型。此外，企業(yè)也可以采用定量的方法對風險偏好進行衡量，反映企業(yè)的目標、收益與風險之間的關(guān)系并進行權(quán)衡。企業(yè)的風險偏好與企業(yè)的戰(zhàn)略直接相關(guān)，企業(yè)在制定戰(zhàn)略時，應(yīng)考慮將該戰(zhàn)略的既定收益與企業(yè)的風險偏好結(jié)合起來。不同的戰(zhàn)略給企業(yè)帶來的風險也不同，在企業(yè)戰(zhàn)略制定階段就進行風險管理，就是要幫助企業(yè)的管理者在不同戰(zhàn)略間選擇與企業(yè)的風險偏好相一致的戰(zhàn)略。

風險偏好的概念是建立在風險容忍度概念基礎(chǔ)上的。風險容忍度是指在企業(yè)目標實現(xiàn)的過程中對差異的可接受程度，是企業(yè)在風險偏好的基礎(chǔ)上設(shè)定的對相關(guān)目標實現(xiàn)過程中所出現(xiàn)的差異的可容忍限度。在確定各目標的風險容忍度時，企業(yè)應(yīng)考慮相關(guān)目標的重要性，并將其與企業(yè)風險偏好聯(lián)系起來。將風險控制在風險容忍度之內(nèi)能夠在更大程度上保證企業(yè)的風險被控制在風險偏好的范圍內(nèi)，也就能夠從更高程度上保證企業(yè)目標的實現(xiàn)。

4．增加了三個風險管理要素，對其他要素的分析更加深入，范圍上也有所擴大

企業(yè)風險管理框架新增了三個風險管理要素——“目標制定”、“事項識別”和“風險反應(yīng)”。此外，針對企業(yè)將管理的重心移至風險管理，風險管理框架更加深入地闡述了其他要素的內(nèi)涵，并擴大了相關(guān)要素的范圍。

（1）目標制定:在風險管理框架中，由于要針對不同的目標分析其相應(yīng)的風險，因此目標的制定自然就成為風險管理流程的首要步驟，并將其確認為風險管理框架的一部分。

（2）事項識別:企業(yè)風險管理和內(nèi)部控制框架都承認風險來自于企業(yè)內(nèi)、外部各種因素，而且可能在企業(yè)的各個層面上出現(xiàn)，并且應(yīng)根據(jù)對實現(xiàn)企業(yè)目標的潛在影響來確認風險。但是，企業(yè)風險管理框架深入探討了潛在事項的概念，認為潛在事項是指來自于企業(yè)內(nèi)部和外部資源的，可能影響企業(yè)戰(zhàn)略的執(zhí)行和目標的實現(xiàn)的一件或者一系列偶發(fā)事項。存在潛在的積極影響的事項代表機遇，而存在潛在負面影響的事項則稱為風險。企業(yè)風險管理框架采用一系列技術(shù)來識別有關(guān)事項并考慮有關(guān)事項的起因，對企業(yè)過去和未來的潛在事項以及事項的發(fā)生趨勢進行計量。

（3）風險反應(yīng):企業(yè)風險管理框架提出對風險的四種反應(yīng)方案――規(guī)避、減少、共擔和接受風險。作為風險管理的一部分，管理者應(yīng)比較不同反應(yīng)方案的潛在影響，并且在接受的殘存風險應(yīng)在企業(yè)風險容忍度范圍內(nèi)的假設(shè)下，考慮風險反應(yīng)方案的選擇。在個別和分組考慮風險的各反應(yīng)方案后，企業(yè)管理者應(yīng)從總體的角度考慮企業(yè)選擇的所有風險反應(yīng)方案組合后對企業(yè)的總體影響。

（4）控制環(huán)境:在控制環(huán)境要素上，企業(yè)風險管理框架更直接、更廣泛地關(guān)注風險是如何影響企業(yè)的風險文化，無論是明確地還是無意地影響。企業(yè)的風險文化是企業(yè)員工共有的態(tài)度、價值、目標和行動的集合，它表明企業(yè)是如何認識風險的。

（5）風險評估:內(nèi)部控制框架和企業(yè)風險管理框架都強調(diào)對風險的評估，評估特定風險發(fā)生的可能性和風險的潛在影響，但企業(yè)風險管理框架建議更加透徹地看待風險管理，即從固有風險和殘存風險的角度來看待風險，對風險影響的分析則采用簡單算術(shù)平均數(shù)、最差的情形下的估計值或者事項的分布等技術(shù)來分析。最好能夠找到與風險相關(guān)的目標一致的計量單位進行計量，將風險與相關(guān)的目標聯(lián)系起來。風險評估的時間基準應(yīng)與企業(yè)的戰(zhàn)略和目標相一致，如果可能，時間基準也應(yīng)與可觀測到的數(shù)據(jù)相一致。企業(yè)風險管理框架還要求注意相互關(guān)聯(lián)的風險，確定一件單一的事項如何為企業(yè)帶來多重的風險。

（6）信息和溝通:企業(yè)風險管理框架擴大了企業(yè)信息和溝通的構(gòu)成內(nèi)容，認為企業(yè)的信息應(yīng)包括來自過去、現(xiàn)在和未來潛在事項的數(shù)據(jù)。歷史數(shù)據(jù)可以使企業(yè)將實際的經(jīng)營成果與目標、計劃和預(yù)期相比較，以深入了解企業(yè)在過去不斷變化的市場條件下是如何經(jīng)營的?，F(xiàn)在狀況的數(shù)據(jù)可以向企業(yè)管理者提供更多重要的信息，而未來潛在事項的數(shù)據(jù)和潛在的影響因素可以幫助完成對信息的分析。企業(yè)的信息系統(tǒng)的基本職能應(yīng)以時間序列的形式收集、捕捉數(shù)據(jù)，其收集數(shù)據(jù)的詳細程度則視企業(yè)風險識別、評估和反應(yīng)的需要而定，并保證將風險維持在風險偏好的范圍內(nèi)。此外，由于各管理層是企業(yè)風險管理（或者內(nèi)部控制）的組成部分，并為企業(yè)的風險管理（或者內(nèi)部控制）提供信息，因此，兩個框架對不同管理層的地位和責任都比較關(guān)注。但相對于內(nèi)部控制框架，企業(yè)風險管理框架提出設(shè)立新的風險管理部門并規(guī)定了風險管理員的地位和職責，同時擴大了董事會的職責。

研1310 蔡燁路 132060461