风险管理的组织体系

1、第七章第七章 风险管理组织体系风险管理组织体系 市场经济的本质特征：市场经济的本质特征： 法制经济、产权经济、信用经济、风险经济。法制经济、产权经济、信用经济、风险经济。市场经济与生俱来充满了风险，人们通过追寻市场经济与生俱来充满了风险，人们通过追寻风险、承担风险，市场经济才得以存在和发展。风险、承担风险，市场经济才得以存在和发展。市场就意味风险，风险无处不在、无时不在。市场就意味风险，风险无处不在、无时不在。人们不能识别风险的存在，风险就会造成损失。人们不能识别风险的存在，风险就会造成损失。而有效的管理和化解风险，就可以避免风险带而有效的管理和化解风险，就可以避免风险带来的损失，并可能带来机

2、会和收益。来的损失，并可能带来机会和收益。 就如一辆汽车，一上路就存在风险。规避风就如一辆汽车，一上路就存在风险。规避风险关键是控制好刹车。刹车系统就是风险管险关键是控制好刹车。刹车系统就是风险管理组织体系。理组织体系。4242条：企业应建立健全风险管理组织体系，主条：企业应建立健全风险管理组织体系，主要包括规范的公司法人治理结构，风险管理要包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导及其他有关职能部门、业务单位的组织领导机构及其职责。机构及其职责。 首先应充分了解企业风险管理组织体系各组

3、成首先应充分了解企业风险管理组织体系各组成部分及其相应职责、运作流程。部分及其相应职责、运作流程。全方位的风险管理体系全方位的风险管理体系审计委员会审计委员会风险管理风险管理委员会委员会内部审计内部审计风险管理风险管理业务部门和业务单位业务部门和业务单位总经理总经理董事会董事会 传统国有企业的管理体制是总经理负责制或传统国有企业的管理体制是总经理负责制或董事长负责制。大量的案例证明，将一个企董事长负责制。大量的案例证明，将一个企业的命运系于业的命运系于“一把手一把手”身上，是十分危险身上，是十分危险的。的。“成也萧何，败也萧何成也萧何，败也萧何”。“一把手一把手”体制本身就是企业产生风险的内在

4、原因。主体制本身就是企业产生风险的内在原因。主席讲过，席讲过，“内因是根据，外因是条件，外因内因是根据，外因是条件，外因通过内因起作用通过内因起作用”。 某央企曾宣传过其制胜法宝就是法定代表人某央企曾宣传过其制胜法宝就是法定代表人负责制。这个企业正在破产重组。事实证明，负责制。这个企业正在破产重组。事实证明，这个企业的衰落也正在于此。这个企业的衰落也正在于此。 某上市公司自上市以来某上市公司自上市以来1010亿元募集资金全部亿元募集资金全部打了水漂。随意扩张、随意投资、随意对外打了水漂。随意扩张、随意投资、随意对外担保，一切随心所欲，结果从龙头股跌落成担保，一切随心所欲，结果从龙头股跌落成ST

5、ST公司。公司。 大企业，尤其是国有独资公司，要改革大企业，尤其是国有独资公司，要改革“一一把手把手”体制，建立规范的公司法人治理结构。体制，建立规范的公司法人治理结构。这正是国资委最重要的改革工作。从企业制这正是国资委最重要的改革工作。从企业制度层面根除产生风险的体制根源。度层面根除产生风险的体制根源。 大企业，尤其是特大型企业，应设立专门的大企业，尤其是特大型企业，应设立专门的风险管理职能部门。该部门的作用及价值在风险管理职能部门。该部门的作用及价值在于减少风险损失，判断风险机会，创造风险于减少风险损失，判断风险机会，创造风险利润。该部门的职责统管企业全员、全过程、利润。该部门的职责统管企

6、业全员、全过程、全方位的风险管理工作。全方位的风险管理工作。 企业内部审计部门在风险管理职能上与风险企业内部审计部门在风险管理职能上与风险管理职能部门、其他有关职能部门、业务单管理职能部门、其他有关职能部门、业务单位的组织领导机构形成相互制衡关系。位的组织领导机构形成相互制衡关系。 企业法律事务部门专司防范和处理企业各类企业法律事务部门专司防范和处理企业各类法律事务、法律风险和法律纠纷。法律事务、法律风险和法律纠纷。 企业其他有关职能部门、业务单位的组织领企业其他有关职能部门、业务单位的组织领导机构在其职能范围内，负有相应风险控制导机构在其职能范围内，负有相应风险控制责任。如产品研发、市场采购

7、、生产运营、责任。如产品研发、市场采购、生产运营、市场销售、对外投资、财务管理等部门。市场销售、对外投资、财务管理等部门。 例：长安汽车公司产品研发七年投入例：长安汽车公司产品研发七年投入3030亿元。亿元。每一款新车都需投入数千万元。这里的风险每一款新车都需投入数千万元。这里的风险就是新车投入市场后能否收回研发成本；长就是新车投入市场后能否收回研发成本；长安汽车为缩短产品研发周期，在意大利设立安汽车为缩短产品研发周期，在意大利设立了专门的产品研发机构。中国和意大利两地了专门的产品研发机构。中国和意大利两地实行实行2424小时研发体系。意大利每小时加班工小时研发体系。意大利每小时加班工资增加工

8、资资增加工资25%25%，加班，加班3 3小时每小时加班工资小时每小时加班工资增加增加40%-60%40%-60%。这里的风险就是效率和成本之。这里的风险就是效率和成本之间的关系。两地研发虽然使研发成本增加了，间的关系。两地研发虽然使研发成本增加了，但研发周期从但研发周期从4 4年缩短到年缩短到3333个月。个月。4343条：企业应建立健全规范的公司法人治理结条：企业应建立健全规范的公司法人治理结构，股东（大）会（对于国有独资公司或国构，股东（大）会（对于国有独资公司或国有独资企业，即指国资委，下同）、董事会、有独资企业，即指国资委，下同）、董事会、监事会、经理层依法履行职责，形成高效运监事会

9、、经理层依法履行职责，形成高效运转、有效制衡的监督约束机制。转、有效制衡的监督约束机制。董事会董事会股东大会股东大会经理层经理层选聘选聘负责负责选聘选聘负责负责监事会监事会负责负责选聘选聘监督监督监督监督 风险管理组织体系各组成部分及其职责风险管理组织体系各组成部分及其职责 内容内容 董事会董事会 风险风险管理管理委员委员会会 总总经经理理 风险管理专职部门风险管理专职部门其他其他职能职能部门部门 监督监督部门部门 工作报告工作报告 审议工作报告 在董事会领导下，审议并提交风险管理各项方案、报告 主持全面风险管理日常工作 提出风险管理工作报告 执行风险管理基本流程和制度规范。负责本部门工作。

10、开展监督评价，出具评价报告风险策略风险策略 确定风险管理总体目标和策略 提出风险管理策略 风险评估风险评估 批准重大风险评估报告 研究提出跨部门重大风险评估报告 控制决策控制决策 重大风险控制决策 研究提出跨部门重大风险管理方案 监督评价监督评价 批准监督评价报告 负责有效性评估提出改进方案 组织机构组织机构 批准 组织协调日常工作 公司治理的两大核心公司治理的两大核心1.1.有效制衡：有效制衡： 公司法人治理结构的各部分之间不仅要协公司法人治理结构的各部分之间不仅要协调配合，而且还要有效地实现制衡，包括调配合，而且还要有效地实现制衡，包括不同层级机构之间的制衡，不同利益主体不同层级机构之间的

11、制衡，不同利益主体之间的制衡，利用制衡控制风险。之间的制衡，利用制衡控制风险。2.2.科学决策：科学决策： 科学决策是现代企业制度建设追求的一个科学决策是现代企业制度建设追求的一个重要目标。它要求企业设计好企业法人治重要目标。它要求企业设计好企业法人治理结构中的决策权的配置与控制体系、科理结构中的决策权的配置与控制体系、科学的决策程序，以及董事责任可追溯制度，学的决策程序，以及董事责任可追溯制度，从决策环节防范企业风险。从决策环节防范企业风险。 股东承担企业经营的最终风险，即以其出资股东承担企业经营的最终风险，即以其出资额为限承担有限责任。因此股东，尤其是大额为限承担有限责任。因此股东，尤其是

12、大股东，本能的关心企业产生的各种风险。各股东，本能的关心企业产生的各种风险。各级国有资本的出资人关心并要求企业控制风级国有资本的出资人关心并要求企业控制风险是天职。险是天职。 董事会的主要有三项职责：第一是把方向；董事会的主要有三项职责：第一是把方向；第二是选对人；第三是控风险。董事会的重第二是选对人；第三是控风险。董事会的重要职责就是判断风险、控制风险，并承担风要职责就是判断风险、控制风险，并承担风险决策的责任。险决策的责任。 监事会负责对总经理及董事会全面风险管理监事会负责对总经理及董事会全面风险管理工作进行评价和监督。工作进行评价和监督。 总经理对企业日常全面风险管理负责，全面总经理对企

13、业日常全面风险管理负责，全面掌控风险的能力是判断总经理是否称职的重掌控风险的能力是判断总经理是否称职的重要条件。要条件。4444条：国有独资公司和国有控股公司应建立外条：国有独资公司和国有控股公司应建立外部董事、独立董事制度，外部董事、独立董部董事、独立董事制度，外部董事、独立董事人数应超过董事会全部成员的半数，以保事人数应超过董事会全部成员的半数，以保证董事会能够在重大决策、重大风险管理等证董事会能够在重大决策、重大风险管理等方面作出独立于经理层的判断和选择。方面作出独立于经理层的判断和选择。 设立以外部董事、独立董事为主的董事会，是设立以外部董事、独立董事为主的董事会，是建立大企业稳定发展

14、的体制基础，是企业防范建立大企业稳定发展的体制基础，是企业防范风险的制度保障。从企业制度上解决了科学决风险的制度保障。从企业制度上解决了科学决策的问题和出题的问题。策的问题和出题的问题。 失效董事会的特征失效董事会的特征： 1.1.董事会全部由内部董事组成。董事长与董事董事会全部由内部董事组成。董事长与董事之间实质上是领导与被领导的关系。董事会上之间实质上是领导与被领导的关系。董事会上难以有不同声音，难以相互制衡，难以落实董难以有不同声音，难以相互制衡，难以落实董事个人责任。事个人责任。 2.2.董事会成员与经理层高度重合。决策层与经董事会成员与经理层高度重合。决策层与经营层合一，决策职能与执

15、行职能混淆。由于此，营层合一，决策职能与执行职能混淆。由于此，自己不可能为难自己，无法自我考核，无法自自己不可能为难自己，无法自我考核，无法自我约束，无法自己给自己出题目。因此，董事我约束，无法自己给自己出题目。因此，董事会难以履行控制风险的职责。会难以履行控制风险的职责。 有效董事会特征：有效董事会特征： 1.1.董事会建立外部董事、独立董事制度。董事会建立外部董事、独立董事制度。 2.2.董事会中外部董事、独立董事人数超过董事会成董事会中外部董事、独立董事人数超过董事会成员半数。员半数。 必要性：必要性： 1.1.外部董事、独立董事与内部董事之间不存在领导外部董事、独立董事与内部董事之间不

16、存在领导与被领导关系。外部董事、独立董事能充分、真实与被领导关系。外部董事、独立董事能充分、真实地发表意见，利于董事会科学决策。地发表意见，利于董事会科学决策。 2.2.决策层与经理层分开，外部董事、独立董事独立决策层与经理层分开，外部董事、独立董事独立于经理层做出决策、做出判断、做出选择。外部董于经理层做出决策、做出判断、做出选择。外部董事、独立董事与内部董事产生制衡，董事会才能与事、独立董事与内部董事产生制衡，董事会才能与经理层形成制衡。董事会才能给经理层出题目，对经理层形成制衡。董事会才能给经理层出题目，对经理层提出考核与奖惩，才能说经理层提出考核与奖惩，才能说“不不”。 董事会应当依据

17、什么原则控制风险？董事会应当依据什么原则控制风险？ 我们认为，这个原则并不是凡是有风险的我们认为，这个原则并不是凡是有风险的决策董事会都予以反对。因为，风险与机决策董事会都予以反对。因为，风险与机遇并存，有多大机遇就有多大风险。但董遇并存，有多大机遇就有多大风险。但董事会应当对风险度加以控制，不能超越企事会应当对风险度加以控制，不能超越企业的承受范围，应在董事会可控范围内把业的承受范围，应在董事会可控范围内把握机遇。同时，董事应对其风险判断、风握机遇。同时，董事应对其风险判断、风险控制的结果负责。总之，企业既不能不险控制的结果负责。总之，企业既不能不发展，又不能失控地发展。发展，又不能失控地发

18、展。45条：条：董事会就全面风险管理工作的有效性对股东（大）董事会就全面风险管理工作的有效性对股东（大）会负责。董事会在全面风险管理方面主要履行以下职会负责。董事会在全面风险管理方面主要履行以下职责：责：（一）审议并向股东（大）会提交企业全面风险管理年度工作（一）审议并向股东（大）会提交企业全面风险管理年度工作报告；报告；（二）确定企业风险管理总体目标、风险偏好、风险承受度，（二）确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；批准风险管理策略和重大风险管理解决方案；（三）了解和掌握企业面临的各项重大风险及其风险管理现状，（三）了解和掌握企业面临的各项重

19、大风险及其风险管理现状，做出有效控制风险的决策；做出有效控制风险的决策；（四）批准重大决策、重大风险、重大事件和重要业务流程的（四）批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；判断标准或判断机制；（五）批准重大决策的风险评估报告；（五）批准重大决策的风险评估报告；（六）批准内部审计部门提交的风险管理监督评价审计报告；（六）批准内部审计部门提交的风险管理监督评价审计报告；（七）批准风险管理组织机构设置及其职责方案；（七）批准风险管理组织机构设置及其职责方案；（八）批准风险管理措施，纠正和处理任何组织或个人超越风（八）批准风险管理措施，纠正和处理任何组织或个人超越风险管理制

20、度做出的风险性决定的行为；险管理制度做出的风险性决定的行为；（九）督导企业风险管理文化的培育；（九）督导企业风险管理文化的培育；（十）全面风险管理其他重大事项。（十）全面风险管理其他重大事项。 （一）审议并向股东（大）会提交企业全面风险管理年度工一）审议并向股东（大）会提交企业全面风险管理年度工作报告；作报告； 由董事会审议并向股东（大）会提交企业全面风险管理年由董事会审议并向股东（大）会提交企业全面风险管理年度工作报告，并将这项工作作为董事会在风险管理中的首度工作报告，并将这项工作作为董事会在风险管理中的首要职责，这是过去没有明确的。此次提出，是从制度体系要职责，这是过去没有明确的。此次提出

21、，是从制度体系上明确董事会在企业全面风险管理中的重要职责，使董事上明确董事会在企业全面风险管理中的重要职责，使董事会的责任更加明确化、具体化。会的责任更加明确化、具体化。 （二）确定企业风险管理总体目标、风险偏好、风险承受度，（二）确定企业风险管理总体目标、风险偏好、风险承受度，批准风险管理策略和重大风险管理解决方案；批准风险管理策略和重大风险管理解决方案； 董事会是企业决策的制定者，同时在全面风险管理中担当董事会是企业决策的制定者，同时在全面风险管理中担当着统领全局的重要角色。着统领全局的重要角色。 风险偏好和风险承受能力通俗而言就是指企业承担什么样风险偏好和风险承受能力通俗而言就是指企业承

22、担什么样的风险以及承担多少风险。董事会在充分考虑企业风险管的风险以及承担多少风险。董事会在充分考虑企业风险管理总体目标、风险偏好及风险承受度之后，批准企业的风理总体目标、风险偏好及风险承受度之后，批准企业的风险管理策略和重大风险管理解决方案。险管理策略和重大风险管理解决方案。（三）了解和掌握企业面临的各项重大风险及其风险管（三）了解和掌握企业面临的各项重大风险及其风险管理现状，做出有效控制风险的决策；理现状，做出有效控制风险的决策；董事应从宏观层面上，如国家大的方针政策、行业发展董事应从宏观层面上，如国家大的方针政策、行业发展态势、竞争对手的竞争格局，甚至国际政治经济重大变态势、竞争对手的竞争

23、格局，甚至国际政治经济重大变化等方面，了解这些情况、掌握这些信息，才能做出有化等方面，了解这些情况、掌握这些信息，才能做出有效控制风险的决策。效控制风险的决策。（四）批准重大决策、重大风险、重大事件和重要业务（四）批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；流程的判断标准或判断机制；公司董事在业务判断、企业管理、会计与财务、危机反公司董事在业务判断、企业管理、会计与财务、危机反应、行业知识、国际市场经验、战略远见中的某个或某应、行业知识、国际市场经验、战略远见中的某个或某几个领域具有丰富的知识与阅历。在利用这些知识与阅几个领域具有丰富的知识与阅历。在利用这些知识与阅历的

24、基础上，董事应对企业的重大决策、重大风险、重历的基础上，董事应对企业的重大决策、重大风险、重大事件和重要业务流程进行全面深刻的了解，并能够做大事件和重要业务流程进行全面深刻的了解，并能够做出自己的独立判断。出自己的独立判断。（五）批准重大决策的风险评估报告；（五）批准重大决策的风险评估报告；企业管理层对一些重大事项的决策提出风险评估报告，企业管理层对一些重大事项的决策提出风险评估报告，由董事会进行评估与判断（个案的判断）。对这些个由董事会进行评估与判断（个案的判断）。对这些个案的评估与判断是对企业日常经营以及重大决策风险案的评估与判断是对企业日常经营以及重大决策风险控制的。控制的。（六）批准内

25、部审计部门提交的风险管理监督评价审（六）批准内部审计部门提交的风险管理监督评价审计报告；计报告；内部审计部门所进行的风险管理是在一般职能部门所内部审计部门所进行的风险管理是在一般职能部门所进行的风险管理基础上的再监督，其提交的风险管理进行的风险管理基础上的再监督，其提交的风险管理监督评价报告应包括三个方面内容：第一，评估风险监督评价报告应包括三个方面内容：第一，评估风险识别的充分性；第二，评价已有风险衡量的恰当性；识别的充分性；第二，评价已有风险衡量的恰当性；第三，评估风险防范措施的充分性，并提出改进措施。第三，评估风险防范措施的充分性，并提出改进措施。（七）批准风险管理组织机构设置及其职责方

26、案；（七）批准风险管理组织机构设置及其职责方案；企业应当根据各自的业务特点与企业组织架构的具体企业应当根据各自的业务特点与企业组织架构的具体情况，灵活设置风险管理组织机构。其中，对于风险情况，灵活设置风险管理组织机构。其中，对于风险职能部门是单独设立，还是将其职责放到某个其他机职能部门是单独设立，还是将其职责放到某个其他机构中，由董事会做出判断。构中，由董事会做出判断。（八）批准风险管理措施，纠正和处理任何组（八）批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定织或个人超越风险管理制度做出的风险性决定的行为；的行为；其实质是由董事会对内部违规性行为作出处理。其实质是由

27、董事会对内部违规性行为作出处理。（九）督导企业风险管理文化的培育；（九）督导企业风险管理文化的培育；风险管理文化的培育是企业全面风险管理的基风险管理文化的培育是企业全面风险管理的基础工作，其具体内容将在础工作，其具体内容将在指引指引第九章中详第九章中详细阐述。细阐述。（十）全面风险管理其他重大事项。（十）全面风险管理其他重大事项。4646条：条：具备条件具备条件的企业，董事会可下设风险管理委员会。的企业，董事会可下设风险管理委员会。该委员会的召集人应由不兼任总经理的董事长担任；董该委员会的召集人应由不兼任总经理的董事长担任；董事长兼任总经理的，召集人应由外部董事或独立董事担事长兼任总经理的，召

28、集人应由外部董事或独立董事担任。该委员会成员中需有熟悉企业重要管理及业务流程任。该委员会成员中需有熟悉企业重要管理及业务流程的董事，以及具备风险管理监管知识或经验，具有一定的董事，以及具备风险管理监管知识或经验，具有一定法律知识的董事。法律知识的董事。 战略战略委员委员会会风险风险管理管理委员委员会会审计审计委员委员会会薪酬薪酬委员委员会会提名提名委员委员会会董事会董事会常设常设 对于对于“具备条件企业具备条件企业”的理解：的理解： 第一，从企业规模上理解。大企业或特大第一，从企业规模上理解。大企业或特大型企业具备设立风险管理委员会的条件，型企业具备设立风险管理委员会的条件，特别是特大型企业，

29、原则上都应该设立风特别是特大型企业，原则上都应该设立风险管理委员会。险管理委员会。 第二，从企业经营类型上理解。若企业所第二，从企业经营类型上理解。若企业所经营的业务风险度高，则应设立风险管理经营的业务风险度高，则应设立风险管理委员会；若企业业务风险度小，则可以不委员会；若企业业务风险度小，则可以不设风险管理委员会。设风险管理委员会。 4747条：风险管理委员会对董事会负责，主要履行以下职责：条：风险管理委员会对董事会负责，主要履行以下职责：（一）提交全面风险管理年度报告；（一）提交全面风险管理年度报告；（二）审议风险管理策略和重大风险管理解决方案；二）审议风险管理策略和重大风险管理解决方案；

30、（三）审议重大决策、重大风险、重大事件和重要业务流程（三）审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；的判断标准或判断机制，以及重大决策的风险评估报告；（四）审议内部审计部门提交的风险管理监督评价审计综合（四）审议内部审计部门提交的风险管理监督评价审计综合报告；报告；（五）审议风险管理组织机构设置及其职责方案；（五）审议风险管理组织机构设置及其职责方案；（六）办理董事会授权的有关全面风险管理的其他事项。（六）办理董事会授权的有关全面风险管理的其他事项。 董事会董事会风险管理委员会风险管理委员会总经理总经理 提交全面风险管理年度报告提交全面风险

31、管理年度报告咨询、建议咨询、建议4848条：企业总经理对全面风险管理工作的有条：企业总经理对全面风险管理工作的有效性向董事会负责。总经理或总经理委托效性向董事会负责。总经理或总经理委托的高级管理人员，负责主持全面风险管理的高级管理人员，负责主持全面风险管理的日常工作，负责组织拟订企业风险管理的日常工作，负责组织拟订企业风险管理组织机构设置及其职责方案。组织机构设置及其职责方案。 董事会董事会总经理总经理负责负责监督监督 全面风全面风险管理险管理工作的工作的有效性有效性 股东大会股东大会负责负责监督监督4949条：企业应设立专职部门或确定相应职能部门履行全面风险管理的职责。该条：企业应设立专职部

32、门或确定相应职能部门履行全面风险管理的职责。该部门对总经理或其委托的高级管理人员负责，主要履行以下职责：部门对总经理或其委托的高级管理人员负责，主要履行以下职责：（一）研究提出全面风险管理工作报告；（一）研究提出全面风险管理工作报告；（二）研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程（二）研究提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；的判断标准或判断机制；（三）研究提出跨职能部门的重大决策风险评估报告；（三）研究提出跨职能部门的重大决策风险评估报告；（四）研究提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责（四）研究提出风险管理

33、策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对该风险的日常监控；该方案的组织实施和对该风险的日常监控；（五）负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案；（五）负责对全面风险管理有效性评估，研究提出全面风险管理的改进方案；（六）负责组织建立风险管理信息系统；（六）负责组织建立风险管理信息系统；（七）负责组织协调全面风险管理日常工作；（七）负责组织协调全面风险管理日常工作；（八）负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展（八）负责指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作；全面风险管理工作；（九）办理风险管理

34、其他有关工作。（九）办理风险管理其他有关工作。 总经理总经理提出：提出：报告、报告、标准、标准、方案。方案。风险管风险管理专职理专职部门部门其他职其他职能部门能部门其他职其他职能部门能部门 建立高效的风险管理职能部门应当遵建立高效的风险管理职能部门应当遵循两个基本准则循两个基本准则: :一是风险管理职能部门必须具备高度一是风险管理职能部门必须具备高度独立性，以提供最佳的风险规避策独立性，以提供最佳的风险规避策略略; ;二是风险管理职能部门不具备或具备二是风险管理职能部门不具备或具备非常有限的风险管理策略执行权，非常有限的风险管理策略执行权，以降低运营风险以降低运营风险( (例如道德风险等例如道

35、德风险等) )5050条：企业应在董事会下设立审计委员会，企业内部审计部条：企业应在董事会下设立审计委员会，企业内部审计部门对审计委员会负责。审计委员会和内部审计部门的职责门对审计委员会负责。审计委员会和内部审计部门的职责应符合应符合中央企业内部审计管理暂行办法中央企业内部审计管理暂行办法（国资委令第（国资委令第8 8号）的有关规定。内部审计部门在风险管理方面，主要负号）的有关规定。内部审计部门在风险管理方面，主要负责研究提出全面风险管理监督评价体系，制定监督评价相责研究提出全面风险管理监督评价体系，制定监督评价相关制度，开展监督与评价，出具监督评价审计报告。关制度，开展监督与评价，出具监督评

36、价审计报告。 负责负责 董事会董事会审计委员会审计委员会 内部审计内部审计部门部门其他职能其他职能部门部门 监督指导监督指导总经理总经理 审计委员会在公司的组织结构中隶属于董事会，是董事会审计委员会在公司的组织结构中隶属于董事会，是董事会下属的一个专门委员会，一般由下属的一个专门委员会，一般由3-53-5名独立董事组成。从公名独立董事组成。从公司整体组织架构而言，审计委员会的地位要高于内部审计司整体组织架构而言，审计委员会的地位要高于内部审计部门，并形成对其的一种监督关系。通过对内部审计的监部门，并形成对其的一种监督关系。通过对内部审计的监督而与之保持信息的沟通与互动，审计委员会可以充分利督而

37、与之保持信息的沟通与互动，审计委员会可以充分利用内部审计的资源优势，更好地履行职责。用内部审计的资源优势，更好地履行职责。 国务院国资委第国务院国资委第8 8号令（号令（中央企业内部审计管理暂行办中央企业内部审计管理暂行办法法）第）第8 8条指出，企业审计委员会应当履行一下主要职责：条指出，企业审计委员会应当履行一下主要职责： 审议企业年度内部审计工作计划；审议企业年度内部审计工作计划； 监督企业内部审计质量与财务信息披露；监督企业内部审计质量与财务信息披露； 监督企业内部审计机构负责人的任免，提出有关意见；监督企业内部审计机构负责人的任免，提出有关意见； 监督企业社会中介审计等机构的聘用、更

38、换和报酬支付；监督企业社会中介审计等机构的聘用、更换和报酬支付； 审查企业内部控制程序的有效性，并接受有关方面的投审查企业内部控制程序的有效性，并接受有关方面的投诉；诉； 其他重要审计事项。其他重要审计事项。 企业内部审计，是指企业内部审计机构依据国家有关法律企业内部审计，是指企业内部审计机构依据国家有关法律法规、财务会计制度和企业内部管理规定，对本企业及子法规、财务会计制度和企业内部管理规定，对本企业及子企业（单位）财务收支、财务预算、资产质量、经营绩效企业（单位）财务收支、财务预算、资产质量、经营绩效, ,以及建设项目或者有关经济活动的真实性、合法性和效益以及建设项目或者有关经济活动的真实

39、性、合法性和效益型进行监督和评价工作。型进行监督和评价工作。 由于企业内部风险具有传递性、不对称性等特征，即一个由于企业内部风险具有传递性、不对称性等特征，即一个部门造成的风险或疏于风险管理所带来的后果往往不是由部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而是会传递到其他部门，最终可能使整个企其直接承担，而是会传递到其他部门，最终可能使整个企业陷入困境。例如，采购部门为节约采购成本，就会忽视业陷入困境。例如，采购部门为节约采购成本，就会忽视对材料规格、型号、质量方面的检查，或者有意购买残次对材料规格、型号、质量方面的检查，或者有意购买残次品，这种暗藏的风险会在生产车间或销售部

40、门反映出来，品，这种暗藏的风险会在生产车间或销售部门反映出来，最终给企业造成巨大损失。因此对风险的认识和防范、控最终给企业造成巨大损失。因此对风险的认识和防范、控制需要从全局考虑，而各业务部门又很难做到这一点。内制需要从全局考虑，而各业务部门又很难做到这一点。内部审计部门不从事具体业务活动，独立于业务管理部门之部审计部门不从事具体业务活动，独立于业务管理部门之外，这使得它们可以从全局出发、从客观的角度对风险进外，这使得它们可以从全局出发、从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。行识别，及时建议管理部门采取措施控制风险。 国资委国资委8 8号令（号令（中央企业内部审计管理暂

41、行办中央企业内部审计管理暂行办法法）第）第1313条第条第9 9款规定：内部审计机构对本企业款规定：内部审计机构对本企业及其子企业内部控制系统的健全性、合理性和有及其子企业内部控制系统的健全性、合理性和有效性进行检查、评价和意见反馈，对企业有关业效性进行检查、评价和意见反馈，对企业有关业务的经营风险进行评估和意见反馈；务的经营风险进行评估和意见反馈； 国资委国资委8 8号令（号令（中央企业内部审计管理暂行办中央企业内部审计管理暂行办法法）第）第3030条规定：企业内部审计机构应当对违条规定：企业内部审计机构应当对违反国家法律法规和企业内部管理制度的行为及时反国家法律法规和企业内部管理制度的行为

42、及时报告，并提出处理意见；对发现的企业内部控制报告，并提出处理意见；对发现的企业内部控制管理漏洞，及时提出改进意见。管理漏洞，及时提出改进意见。 5151条：企业其他职能部门及各业务单位在全面风险管理工作中，应接受条：企业其他职能部门及各业务单位在全面风险管理工作中，应接受风险管理职能部门和内部审计部门的组织、协调、指导和监督，主要履风险管理职能部门和内部审计部门的组织、协调、指导和监督，主要履行以下职责：行以下职责：（一）执行风险管理基本流程；（一）执行风险管理基本流程；（二）研究提出本职能部门或业务单位重大决策、重大风险、重大事件（二）研究提出本职能部门或业务单位重大决策、重大风险、重大事

43、件和重要业务流程的判断标准或判断机制；和重要业务流程的判断标准或判断机制；（三）研究提出本职能部门或业务单位的重大决策风险评估报告；（三）研究提出本职能部门或业务单位的重大决策风险评估报告；（四）做好本职能部门或业务单位建立风险管理信息系统的工作；（四）做好本职能部门或业务单位建立风险管理信息系统的工作；（五）做好培育风险管理文化的有关工作；（五）做好培育风险管理文化的有关工作；（六）建立健全本职能部门或业务单位的风险管理内部控制子系统；（六）建立健全本职能部门或业务单位的风险管理内部控制子系统；（七）办理风险管理其他有关工作。（七）办理风险管理其他有关工作。 风险管理专职部门风险管理专职部门

44、 内部审计部门内部审计部门组织、协调组织、协调指导、监督指导、监督企业其他职能部门企业其他职能部门（一）执行风险管理基本流程；（一）执行风险管理基本流程； 风险管理基本流程包括以下主要工作：收集风险管理初始信风险管理基本流程包括以下主要工作：收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险管理的监督与改进。企业各职能部门是对理解决方案、风险管理的监督与改进。企业各职能部门是对该基本流程的具体执行部门。该基本流程的具体执行部门。（二）研究提出本职能部门或业务单位重大决策、重大风险、重大（二）研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；事件和重要业务流程的判断标准或判断机制； 企业是由各种职能的部门（或业务单位）构成的。企业各职企业是由各种职能的部门（或业务单位）构成的。企业各职能部门充分了解本部门、本业务单位的工作流程、业务特点能部门充分了解本部门、本业务单位的工作流程、业务特点以及风险控制点。因此，各职能部门