EAS内部控制和风险管理体系论述

1、更多企业学学院： 中小企业业管理全全能版183套讲讲座+8897000份资料总经理、高高层管理理49套讲座座+1663888份资料中层管理理学院46套讲座座+60020份份资料国学智慧慧、易经经46套讲座座人力资源源学院56套讲座座+2771233份资料各阶段员员工培训训学院77套讲座座+ 3324份份资料员工管理理企业学学院67套讲座座+ 887200份资料工厂生产产管理学学院52套讲座座+ 1139220份资料财务管理理学院53套讲座座+ 1179445份资料销售经理理学院56套讲座座+ 1143550份资料销售人员员培训学学院72套讲座座+ 448799份资料EAS内部部控制与与风险管管

2、理体系系EAS战略略管理系系统部 王王云 导读 风险管管理系统统对很多多客户、机机构营销销实施等等人员来来说，都是一一个新领领域。美国Commmittteee off Spponssoriing Orgganiizattionns (COSSO) 于20004年年9月发发布了企业业风险管管理整合框框架。20004版的的COSSO框架架构建了了一个较较为完善善的企业业风险管管理框架架，它提供供了关键原原则和概概念、共共同的语语言以及及明晰的的方向和和指南。作作为一本本国际权权威文献献，该框架除了了在美国国企业中中应用，也也为其他他国家广广泛借鉴鉴应用，同同时也是是金蝶EEAS风风险管理理系统建建

3、立的重重要理论论标准。 适用范范围 本本文适用用于EAAS 项项目实施施人员。适适用与EEAS 所有通通用版本本。请注意：本本文件只只作为产产品介绍绍之用，不不属于您您与金蝶蝶签署的的任何协协议。本本文件仅仅包括金金蝶既定定策略、产产品及功功能方面面的信息息，不能能以本文文件作为为要求金金蝶履行行商务条条款、产产品策略略以及开开发义务务的依据据。本文文件内容容可能随随时变更更，恕不不另行通通知。目 录录TOC o 1-2 h z u内部控制与与风险管管理体系系背景内部控制与与风险管管理在国国外经历历了几十十年的发发展与演演进，形形成了以以保障战战略目标标、经营营目标、报报告目标标、合规规目标为

4、为主要目目标的一一套相对对完整的的体系。在在内部控控制与风风险管理理理论的的不断发发展与完完善的不不同时期期，学界界与业界界有着不不同的解解读与认认识，但但从目前前多国的的普遍研研究与实实践看，监监管部门门与集团团企业管管理层对对内部控控制与风风险管理理达到了了前所未未有的重重视程度度。风险险管理已已经成为为企业管管理信息息系统的的主线和和方向，信信息系统统和内控控风险管管理趋于于融合和和统一。风风险识别别重要，而而对风险险的控制制和预防防更重要要，风险险与控制制活动是是蕴含在在业务流流程之中中的，所所以信息息系统就就成为风风险控制制的有力力工具，而而要有效效发挥这这种工具具的价值值，风险险管

5、理要要求融入入信息系系统之中中就成为为一种必必然。因因此我们们必须尽尽快学习习并掌握握风险管管理理论论体系，为为把握风风险管理理产品、协协助集团团企业构构建科学学的内控控与风险险管理系系统做好好充分的的知识准准备。内部控制与与风险管管理体系系概述2001年年前后爆爆发的一系列列公司丑丑闻，使使得各国国对采用用新的法法律法规规和上市市公司监监督准则则来加强强公司治治理与风险险管理的的要求变变得日益益迫切。美美国Coommiitteee oof SSponnsorringg Orrgannizaatioons (COOSO) 首先先于20004年年9月发发布了企业业风险管管理整合框框架。20004

6、版的的COSSO框架架构建了了一个较较为完善善的企业业风险管管理框架架，它提供供了关键原原则和概概念、共共同的语语言以及及明晰的的方向和和指南。作作为一本本国际权权威文献献，该框架除了了在美国国企业中中应用，也也为其他他国家广广泛借鉴鉴应用。COSSO框架架常以下下图所示示的立方方体形式式表达。这这一框架架体现了了企业风风险管理理的八个个要素，同同时也展展现了企企业目标标和组织织结构这这两个重重要维度度。这一框架体体现了企企业风险险管理的的八个要要素，同同时也展展现了企企业目标标和组织织结构这这两个重重要维度度。作为为企业风风险管理理核心的的八要素素，从不不同方面面体现了了企业风风险管理理的重

7、要要步骤，详详见上图图分析。总总体来讲讲20006年五五部委颁颁布的企企业内部部控制基基本规范范的主主要框架架同上述述COSSO框架架基于同同样的风风险管理理理念，事事实基基本规范范的五五要素体体系严格格对应了了92版版的COOSO框框架。常用术语与与概念风险容量是是一个主主体在追追求价值值的过程程中所愿愿意承担担的广泛泛意义上上的风险险的数量量。它反反映了企企业的风风险管理理理念，进进而影响响了主体体的文化化和经营营风格。事项是源于于内部或或外部的的影响战战略实施施或目标标实现的的事故或或事件。风险是一个个事项将将会发生生并给目目标实现现带来负负面影响响的可能能性。事项识别即即管理当当局识别

8、别将会对对主体产产生影响响的潜在在事项。确确定它们们是否代代表机会会，或者者是否会会对主体体成功地地实施战战略和实实现目标标的能力力产生负负面影响响。带来来负面影影响的事事项代表表风险，它它要求管管理当局局予以评评估和应应对。正正面影响响的事项项代表机机会，管管理当局局可以将将其反馈馈到战略略和目标标设定过过程之中中。风险评估使使主体能能够考虑虑潜在事事项影响响目标实实现的程程度。管管理当局局从两个个角度：可能性性和影响响，对事事项进行行评估，并并且通常常采用定定性和定定量相结结合的方方法。固有风险是是管理当当局没有有采取任任何措施施来改变变风险的的可能性性或影响响的情况况下，一一个主体体所面

9、临临的风险险。剩余风险是是在管理理当局的的风险应应对之后后所残余余的风险险。一旦旦风险应应对已经经就绪，管管理当局局接下来来就要考考虑剩余余风险。风险应对策策略包括括风险回回避、降降低、分分担和承承受。在在考虑应应对的过过程中，管管理当局局评估风风险的可可能性和和影响的的后果，以以及成本本效益，选选择能够够使剩余余风险处处于期望望的风险险容限以以内的应应对策略略。风险管理组组织体系系：组织织结构和和责任归归属的构构建与落落实在企企业风险险管控的的实施过过程中有有极其重重要的地地位。可可以说是是整个项项目成功功与否的的基础。特特别是对对于一个个周期长长、涉及及企业层层级多、业业务范围围广、参参与

10、人员员众多、内内容复杂并需需要企业业全体人人员尤其其是企业业高层管管理者全全力支持持的项目目来说。整个风险管管控的组组织构成成涉及了了企业管管理的各各个层面面和不同同职能部部门。下下图展现现的是基基于中央央国资委委全面面风险管管理指引引的一一个典型型的风险险管控组组织结构构。企业风险管管理整合合框架如上所述，220044版的企企业风险险管理整整合框架架是一本本国际权权威文献献，该框架除了了在美国国企业中中应用，也也为其他他国家广广泛借鉴鉴应用，另另外也是是金蝶EEAS风风险管理理系统建建立的重重要理论论标准。因此我我们必须须首先学学习并把把握该框框架相关关内容：内容概述企业风险管管理的基基础性

11、前前提是每每一个主主体的存存在都是是为它的的利益相相关者提提供价值值。所有有的主体体都面临临不确定定性，管管理当局局所面临临的挑战战就是在在为增加加利益相相关者价价值而奋奋斗的同同时，要要确定承承受多大大的不确确定性。不不确定性性可能会会破坏或或增加价价值，因因而它既既代表风风险，也也代表机机会。企企业风险险管理使使管理当当局能够够有效地地应对不不确定性性以及由由此带来来的风险险和机会会，增进进创造价价值的能能力。 当管理当局局通过制制订战略略和目标标，力求求实现增增长和报报酬目标标以及相相关的风风险之间间的最优优平衡，并并且在追追求所在在主体的的目标的的过程中中高效率率和有效效地调配配资源时

12、时，价值值得以最最大化。企业风险管理包括： 协调风险容容量（rriskk apppettitee）与战战略管理当当局在评评价备选选的战略略、设定定相关目目标和建建立相关关风险的的管理机机制的过过程中，需需要考虑虑所在主主体的风风险容量量。 增进风险应应对决策策企业业风险管管理为识识别和在在备选的的风险应应对风险回回避、降降低、分分担和承承受之间进进行选择择提供了了严密性性。抑减经营意意外和损损失主体识识别潜在在事项和和实施应应对的能能力得以以增强，抑抑减了意意外情况况以及由由此带来来的成本本或损失失。识别和管理理多重的的和贯穿穿于企业业的风险险每一一家企业业都面临临影响组组织的不不同部分分的一

13、系系列风险险，企业业风险管管理有助助于有效效地应对对交互影影响，以以及整合合式地应应对多重重风险。抓住机会通过过考虑全全面范围围内的潜潜在事项项，促使使管理当当局识别别并积极极地实现现机会。改善资本调调配获取强强有力的的风险信信息，使使得管理理当局能能够有效效地评估估总体资资本需求求，并改改进资本本配置。 企业风险管管理所固固有的这这些能力力帮助管管理当局局实现所所在主体体的业绩绩和赢利利目标，防防止资源源损失。企企业风险险管理有有助于确确保有效效的报告告以及符符合法律律和法规规，还有有助于避避免对主主体声誉誉的损害害以及由由此带来来的后果果。总之之，企业业风险管管理不仅仅帮助一一个主体体到达

14、期期望的目目的地，还还有助于于避开前前进途中中的隐患患和意外外。要素解析：企业风险管管理整合合框架构构成要素素包括：内部环环境、目目标设定定、事项项识别、风风险评估估、风险险应对、控控制活动动、信息息与沟通通及监督督。各要要素解析析：内部环境内部环境是是企业风风险管理理所有其其他构成成要素的的基础，为为其他要要素提供供约束和和结构。它它影响着着战略和和目标如如何制订订、经营营活动如如何组织织以及如如何识别别、评估估风险并并采取行行动。它它还影响响着控制制活动、信信息与沟沟通体系系和监控控措施的的设计与与运行。内部环境受受到主体体的历史史和文化化的影响响。它包包含许多多要素，一般包括治理结构、机

15、构设置及权责分配、内部审计、人力资源政策、企业文化等。董事会是内部环境的一个关键部分，它对其他的内部环境要素有重大的影响。目标设定目标是设定定在战略略层次上上的，它它为经营营、报告告和合规规目标奠奠定了基基础。目目标设定定是事项项识别、风风险评估估和风险险应对的的前提。在在管理当当局识别别和评估估实现目目标的风风险并采采取行动动来管理理风险之之前，首首先必须须有目标标。从20044年版本本的“企业风风险管理理整合框框架”看，企企业目标标包括如如下四类类：战略目标：管理层层从愿景景出发，制制定企业业战略目目标。战战略目标标是高层层次的目目标，它它反映了了管理层层就企业如何何努力为为它的利利益相关

16、关者创造造价值所所做出的选选择。经营目标：经营目目标关系系到主体体经营的的有效性性和效率率，反映映主体运运作所处处的特定定的经营营、行业业和经济济环境。报告目标：报告目目标包括括可靠的的对内、对对外报告告；对内内报告为为管理当当局提供供适合其其既定目目的的准准确而完完整的信信息；对对外报告告可能包包括财务务报表与与附注披披露、管管理当局局的讨论论与分析析以及向向监管机机构提交交的报告告。合规目标：企业从从事经营营活动所所必须符符合的相相关法律律和法规规。从20088年财政政部等五五部委联联合颁布布的“企业内内部控制制基本规规范”看，企企业目标标是：企企业经营营管理合合法合规规、资产产安全、财财

17、务报告告及相关关信息真真实完整整，提高高经营效效率和效效率，促促进企业业实现发发展战略略。即包包括的五五类目标标：战略略目标、经经营目标标、报告告目标、合合规目标标及资产产安全目目标。相相比COOSO企企业风险险管理框框架，增增加了资资产安全全目标。事项识别事项是源于于内部或或外部的的影响战战略实施施或目标标实现的的事故或或事件。事事项可能能带来正正面或负负面影响响，或者者两者兼兼而有之之。在事项识别别的过程程中，管管理当局局认识到到不确定定性的存存在，但但是并不不知道一一个事项项是否会会发生，或或什么时时候发生生，或者者它所带带来的确确切影响响。管理理当局最最初只考考虑源于于外部和和内部的的

18、一系列列潜在事事项，而而没有对对它们的的影响是是正面的的还是负负面的作作必要的的关注。管管理当局局按照这这种方法法识别的的不仅仅仅是具有有负面影影响的潜潜在事项项，而且且还包括括那些代代表着应应该追逐逐的机会会的事项项。事项有的明明显，有有的很隐隐晦；所所产生的的影响有有的微不不足道，有有的十分分重大。为为了避免免忽略相相关的事事项，最最好把识识别与对对事项发发生的可可能性和和它的影影响的评评估区分分开来。风险评估风险评估使使主体能能够考虑虑潜在事事项影响响目标实实现的程程度。管管理当局局从两个个角度：可能性性和影响响程度，对对事项进进行评估估，并且且通常采采用定性性和定量量相结合合的方法法。

19、在评估风险险时，管管理当局局考虑预预期事项项和非预预期事项项。许多多事项是是常规性性的和重重复性的的，并且且已经在在管理当当局的计计划和经经营预算算中提到到，而其其他的事事项则是是非预期期的。管管理当局局评估可可能对主主体有重重大影响响的非预预期的潜潜在事项项以及预预期事项项的风险险。在评估风险险时，管管理当局局既考虑虑固有风风险，也也考虑剩剩余风险险。固有有风险是是管理当当局没有有采取任任何措施施来改变变风险的的可能性性或影响响的情况况下，一一个主体体所面临临的风险险。剩余余风险是是在管理理当局的的风险应应对之后后所残余余的风险险。一旦旦风险应应对已经经就绪，管管理当局局接下来来就要考考虑剩

20、余余风险。在评估风险险时，对对风险的的可能性性和影响响的估计计值通常常利用来来自过去去的可观观察事项项的数据据来确定定，它提提供了一一个比完完全主观观的估计计值更加加客观的的依据。根根据一个个主体自自己的经经验内部部生成的的数据可可能会反反映较少少的主观观个人偏偏见，并并提供比比来自外外部渠道道的数据据更好的的结果。但但是，即即使在内内部生成成的数据据是主要要输入的的地方，外外部数据据作为一一个印证证或者对对于增进进分析可可能很有有用。例例如，一一家公司司的管理理当局在在评估由由于设备备故障所所导致的的生产中中断风险险时，首首先看它它自己的的制造设设备先前前发生故故障的频频率和影影响。接接下来

21、用用行业基基准来补补充数据据。这样样就能够够对故障障的可能能性和影影响进行行更精确确的估计计，从而而能够制制订更有有效的防防护性维维护计划划。当利利用过去去的事项项来对未未来进行行预测时时，应该该保持谨谨慎，因因为影响响事项的的因素可可能随着着时间的的推移而而发生变变化。风险应对在评估了相相关的风风险之后后，管理理当局就就要确定定如何应应对。风风险应对对包括风风险回避避、降低低、分担担和承受受。在考考虑风险险应对的的过程中中，管理理当局评评估对风风险的可可能性和和影响的的效果，以以及成本本效益，选选择能够够使剩余余风险处处于期望望的风险险容限以以内的应应对。管管理当局局识别所所有可能能存在的的

22、机会，从从主体范范围或组组合的角角度去认认识风险险，以确确定总体体剩余风风险是否否在主体体的风险险容量之之内。控制活动控制活动是是帮助确确保管理理当局的的风险应应对得以以实施的的政策和和程序。控控制活动动的发生生贯穿于于整个组组织，遍遍及各个个层级和和各个职职能机构构。它们们包括一一系列不不同的活活动，例例如批准准、授权权、验证证、调节节、经营营业绩评评价、资资产安全全以及职职责分离离。控制活动的的类型的的许多不不同的表表述，包包括预防防性的、检查性的、人工的、计算机的以及管理控制。控制活动还可以根据特定的控制目标来进行分类，例如确保数据处理的全面性和准确性。如：高层复核：高层管管理当局局对照

23、预预算、预预测、以以前期间间和竞争争者来复复核实际际的业绩绩。主要要的活动动例如如营销冲冲刺、改改进生产产流程以以及成本本抑制或或降低计计划等被反反映到任任务实现现程度的的计量指指标上。并并对新产产品开发发、合营营企业或或筹资计计划的执执行进行行监控。直接的职能能或活动动管理：负责职职能机构构或活动动的管理理人员业业绩报告告。一位位负责一一家银行行的消费费者贷款款的管理理人员审审核按分分行、地地区和贷贷款（担担保）种种类区分分的报告告，核对对摘要，识识别趋势势，并将将结果与与经济统统计数据据和任务务进行对对照。分分行管理理人员收收到按贷贷款官员员和地区区客户分分片区分分的新业业务数据据。分行行

24、管理人人员还要要关注合合规问题题，审核核监管机机构对规规定金额额的新存存款所要要求的报报告。根根据集中中为隔夜夜转账和和投资所所报告的的净头寸寸，调节节每日的的现金流流量。信息处理：实施一一系列的的控制来来检查交交易的准准确性、完完整性和和授权。输输入的数数据要经经过联机机编辑核核对（oon-llinee eddit cheeckss）或与与经批准准的控制制文件相相匹配。例例如，一一个客户户的指令令只有在在对照了了经批准准的客户户文件 和信用用限额之之后才能能被接受受。对交交易的数数量化结结果进行行核算，对对例外情情况追查查到底并并报告给给监督人人员。对对新系统统的开发发和现有有系统的的改变，

25、以以及对数数据、文文件和程程序的进进入都要要加以控控制。实物控制：对设备备、存货货、证券券、现金金和其他他资产进进行实物物性的保保护，定定期盘点点，并与与控制记记录上所所反映的的数额相相比较。业绩指标：把不同同系列的的经营营的或者者财务的的数据据彼此联联系起来来，与对对相互关关系的分分析以及及调查和和矫正措措施一起起，构成成了一项项控制活活动。例例如，业业绩指标标包括各各个单元元的员工工流动率率。通过过调查非非预期的的结果或或异常的的趋势，管管理当局局可以识识别由于于没有足足够的能能力去完完成关键键的流程程而可能能意味着着实现目目标的可可能性较较低的情情况。管管理当局局如何利利用这种种信息仅仅

26、仅用于经经营决策策，或是是还要追追查报告告系统中中非预期期的结果果决定定着对业业绩指标标的分析析是只能能用于经经营目的的，还是是也能同同时用于于报告控控制目的的。职责分离：把不同同人员的的职责予予以分开开或隔离离，以便便降低错错误或舞舞弊的风风险。举举例来说说，交易易授权、记记录和处处理相关关资产的的职责就就要分开开。一位位授权赊赊销的管管理人员员不能负负责记录录应收账账款或处处理现金金回款。同同样，销销售人员员无权修修改产品品价格文文件或佣佣金比率率。通常执行一一个控制制组合来来处理相相关的风风险应对对。例如如，一家家公司的的管理当当局设定定交易限限额来管管理与一一个投资资组合相相关的风风险

27、，并并确定旨旨在帮助助确保不不超过交交易限额额的控制制活动。控控制活动动包括在在之前停停止特定定交易的的预防性性控制，以以及及时时地识别别其他交交易的检检查性控控制。控控制活动动把计算算机和人人工控制制结合起起来，包包括确保保正确获获取了所所有信息息的自动动抽，以以及使负负有责任任的个人人能够授授权或批批准投资资决策的的途径程程序。信息与沟通通信息与沟通通是企业业及时、准准确地收收集、传传递与风风险管理理相关的的信息，确确保信息息在企业业内部、企企业与外外部之间间进行有有效沟通通。有效的的信息沟通通会出现现信息在组组织中向向下、平平行和向向上的流流动。一个组织中中的各个个层次都都需要信信息，以

28、以便识别别、评估估和应对对风险，以以及从其其他方面面去经营营主体和和实现其其目标。要要利用与与一个或或多个目目标类别别相关的的大量信信息。来来自内部部和外部部来源的的经营信信息，包包括财务务的和非非财务的的，与多多个经营营目标相相关。例例如，财财务信息息不仅用用来编制制财务报报表以实实现报告告目的，还还用于经经营决策策，例如如监控业业绩和配配置资源源。可行行的财务务信息对对于计划划、预算算、定价价、评价价卖主的的业绩、主主体合营营企业和和联盟以以及一系系列其他他的管理理活动而而言是十十分重要要的。监控监控是企业业对内部部控制与与风险管管理体系系的建立立与实施施情况进进行监督督检查。监监控可以以

29、通过持持续监控控、个别别评价或或者两者者相结合合来完成成。持续监控包包含于一一个主体体正常的的、反复复的经营营活动之之中。持持续监控控被实时时执行，动动态地应应对变化化的情况况，并且且植根于于主体之之中。因因此，它它比个别别评价更更加有效效。由于于个别评评价发生生在事后后，所以以通过持持续监控控程序通通常能够够更迅速速地识别别问题。许许多主体体尽管有有着良好好的持续续监控活活动，也也会定期期对企业业风险管管理进行行个别评评价。如如果需要要经常性性个别评评价的主主体，应应该集中中精力去去改进持持续监控控活动。在正常的经经营过程程中，许许多活动动可以考考虑到监监控企业业风险管管理的有有效性的的作用

30、。它它们来自自定期的的管理活活动，可可能包括括差异分分析、对对来自不不同渠道道的信息息的比较较，以及及应对非非预期的的突发事事件。持续监控活活动一般般由直线线式的经经营管理理人员或或职能式式的辅助助管理人人员来执执行，以以便对他他们所接接收的信信息的含含意予以以深入考考虑。通通过关注注关系、矛矛盾或其其他的相相应含意意，他们们提出问问题并追追查必要要的其他他员工，以以确定是是否需要要矫正或或其他措措施。持持续监控控活动应应与经营营过程中中的政策策所要求求执行的的活动区区分开来来。例如如，作为为信息系系统或会会计程序序所要求求的步骤骤来执行行的交易易审批、账账户余额额调节以以及验证证主要文文件的

31、准准确性，最最好界定定为控制制活动。尽管持续监监控程序序通常能能提供有有关企业业风险管管理的其其他要素素的有效效性重要要反馈。但但是有时时候采取取个别评评价直接接关注企企业风险险管理的的有效性性可能是是很有用用的。它它也能提提供一个个考察持持续监控控程序的的持续有有效性机机会。内部控制基基本规范范在20088年6月月28日日，财政政部等五五部委联联合正式式发布企企业内部部控制基基本规范范；基基本规范范自20009年年7月11日起先先在上市市公司范范围内施施行，鼓鼓励非上上市的其其他大中中型企业业执行。由于受到金融危危机等经经济环境境影响,已将实实施时间间延后。届届时,全全体上市市公司都都将向交

32、交易所提提交企业业内部控控制,而而对于其其他非上上市公司司则予以以鼓励施施行。企业内部部控制基基本规范范明确确指出企企业要建建立与实实施有效效的内部部控制，应应当包括括下列要要素：内内部环境境、风险评评估、控制活活动、信息与与沟通、内部监监督。如下图图所示：从上可以看看出，新新的企业业内部控控制基本本规范的的体系基基础仍是是COSSO的内内部控制制框架；但重点突出出如下内内容：1、科学界界定了内内部控制制的内涵涵。强调调内部控控制是由由企业董董事会、监监事会、经经理层和和全体员员工实施施的、旨旨在实现现控制目目标的过过程，有有利于树树立全面面、全员员、全过过程控制制的理念念；2、准确定定位内部

33、部控制的的目标。要要求企业业在保证证经营管管理合法法合规、资资产安全全、财务务报告及及相关信信息真实实完整，提提高经营营效率和和效果的的基础上上，着力力促进企企业实现现发展战战略；3、统筹构构建了内内部控制制的要素素。有机机融合世世界主要要经济体体加强内内部控制制的做法法经验，构构建了以以内部控控制环境境为重要要基础、以以风险评评估为重重要环节节、以控控制活动动为重要要手段、以以信息与与沟通为为重要条条件、以以内部监监督为重重要保障障，相互互联系、相相互促进进的五要要素内部部控制模模型；4、开创性性地建立立了以企企业为主主体、以以政府监监管为促促进、以以中介机机构审计计为重要要组成部部分的内内

34、部控制制实施机机制。要要求企业业实行内内部控制制自我评评价制度度；国务务院有关关监管部部门有权权对企业业建立并并实施内内部控制制的情况况进行监监督检查查；明确确企业可可以依法法委托会会计师事事务所对对本企业业内部控控制的有有效性进进行审计计，出具具审计报报告。国有企业内内部控制制框架内控与风险险管理在在国企开开展近年来，国国资委采采取了一一系列措措施来加加强和推推动风险险管理在在企业中中的开展展：首先，推动动央企逐逐步建立立切实可可行的风风险管理理体系。其次，建立立中国国国情的企企业内部部控制和和风险管管理的制制度体系系。20006年年至20008年年，国资资委、财财政部等等部门发发布一系系列

35、的制制度与规规范（如如中央央企业全全面风险险管理指指引）。再次，加强强央企内内部风险险管理和和主要风风险领域域的监管管。主要要是落实实企业内内部控制制和风险险管理的的责任，并并且责任任到人。如如：20006年年4月国资资委发布布了中中央企业业总会计计师工作作职责管管理暂行行办法。最后，建立立健全资资产损失失责任追追究制度度。如：20008年国国资委出出台了中中央企业业资产损损失责任任追究管管理办法法，进进一步明明确企业业负责人人、相关关责任人人在加强强企业内内部控制制和风险险管理方方面的管管理和监监督责任任；组织织对企业业高风险险业务的的管理方方式、管管理效率率和投资资结果的的客观、公公正的评

36、评价；对对在内部部管理、内内部控制制和风险险管理方方面违反反国家法法律法规规或工作作不尽职职造成重重大资产产损失的的责任人人，国资资委将按按规定进进行责任任追究。近期，再次次强调并并要求央央企建立立建全“全面风风险管理理管理体体系”，如220099.122.144.，国国资委在在中央企企业负责责人会议议中再次次强调并并要求持持续推动动企业健健全全面面风险管管理管理理体系。由此可看出出，风险险管理已已成为国国资委对对国有企企业及其其高管人人员进行行规范与与考核的的重要标标准。由由于包括括央企与与地方国国企等在在内的大大中型国国有企业业集团也也是金蝶蝶EASS的目标标客户，为为此我们们需要熟熟悉该

37、基基本框架架。国企内部控控制基本本框架国资委“国国有企业业内部控控制研究究课题组组”在综合合考虑国国有企业业特殊环环境及国国有企业业在内部部控制建建设实践践过程中中所获取取的经验验与认知知的同时时，借鉴鉴COSSO内部部控制基基本框架架和COOSO的的风险管管理框架架，参考考萨班斯斯法案4404条条款，提提出并建建立了国国有企业“123345内内部控制制基本框框架”，即：一个首要目目标：运运营效率率与效果果。两大责任主主体：主主要管理理人与控控股股东东。三条建设主主线：治治理环境境、会计计财务控控制和业业务控制制。四大基本原原则：强强支撑、短短流程、高高授权、大大监督。五项保障措措施：改改善支

38、撑撑环境、提提高风险险应对能能力、完完善政策策流程、促促进信息息沟通、提提高监督督能力。基本框架从从3个纬纬度确定定了内部部控制框框架的基基本构成成，即目目标、内内容和措措施；从从两个层层面确定定了内部部控制建建设和实实施的责责任主体体，即国国有大股股东和管管理层；从4个个角度确确定了内内部控制制建设和和实施的的基本原原则，即即强支撑撑、短流流程、高高授权、大大监督。体系涉及的的几个重重要关系系内部控制与与风险管管理的关关系内部控制与与风险管管理是一一对既有有联系又又互有差差别的概概念。内部控制是是为了提提高经营营效率与与效果，遵遵守有关关法律法法规与企企业内部部规章制制度，保保证信息息的真实

39、实、可靠靠和资产产安全、完完整，从从而实现现企业的的战略目目标。风险管理包包括狭义义的风险险管理与与广义的的风险管管理。狭狭义的风风险管理理是企业业先收集集风险信信息，进进行风险险评估，选选择风险险管理策策略，制制定风险险管理方方案，并并对风险险管理进进行持续续的监督督和改进进，同时时还要构构建风险险管理组组织体系系和风险险管理信信息系统统，营造造风险管管理文化化。相对对于内部部控制，狭狭义的风风险管理理是一个个更为独独立的过过程，更更偏向对对于影响响目标实实现的风风险的识别、分分析、评评估与应应对。广义的风险险管理涵涵盖内部部控制，内内部控制制是企业业风险管管理不可可分割的的一部分分。COO

40、SO委委员会220044年颁布布的“企业风风险管理理整合框框架”涵盖了了内部控控制整合合框架，构构建了一一个更强强有力的的概念和和管理工工具。在在实际操操作中，内内部控制制是基于于风险的的控制过过程，内内部控制制活动通通常嵌入入到企业业各业务务流程的的具体业业务活动动，融合合在企业业的各项项规章制制度中，使使企业在在正常运运营过程程中自发发地防止止错误，防防范风险险，提高高效率，合合理保障障企业目目标的实实现。风险管理与与内部审审计的关关系风险管理与与内部审审计两者者之间存存在互相相促进、互互相提升升的关系系。风险管管理的内内涵非常常广泛，而且且风险管管理过程程是一个个连续不不断的过过程，几几乎覆盖盖了企业业周转运运营的各各个方面面。内部部审计是是公司治理理的四大大基石之之一，是是风险管管理的