内部控制与风险管理-教学计划

《内部控制与风险管理》教学计划适用课程：内部控制、风险管理或其他类似课程适用专业：会计学、财务管理、审计、资产评估、金融学、保险学、财政学、企业管理等财经类专业适用对象：以上专业的本科生、学术研究生与专业研究生以及政府、企事业单位的培训人员编写人员：编写时间：

目录第一部分教材概述一、教材性质二、教材特色三、学习目标四、前置课程五、学时、学分六、教学主要内容七、课堂讲授及作业布置八、部分阅读文献第二部分学时分配表第三部分各章主要知识点第1章内部控制与风险管理的发展历程第2章内部控制与风险管理的框架第3章我国内部控制与风险管理的规范与指引第4章内部环境第5章风险识别第6章风险分析第7章风险应对第8章控制活动第9章信息与沟通第10章内部监督

第一部分教材概述一、教材性质本书是内部控制与风险管理的入门教材，适合开设相同或类似课程的所有专业的本科生学习，包括会计学、财务管理、审计学、资产评估、金融学、保险学、财政学等专业，同时也可作为这些专业的研究生以及MBA、MPA、MPAcc、MV、MAud等专业硕士学习内部控制与风险管理的参考教材。也可以作为政府部门与企事业单位开展内部控制与风险管理培训的教材。二、教材特色本书的特色在于以风险为主线。在结构上，本书强调内部控制是以风险为导向的控制，通过风险识别、风险分析与风险应对三章篇幅对风险管理详加阐述。在内容上，本书追求“新”，力求反映国内外有关内部控制与风险管理的最新进展。同时，在形式上，本书追求“简”，在篇幅上简洁精炼，却囊括大量的实际案例、章末思考题与案例分析题。三、学习目标使学生能比较全面系统地掌握风险管理的基本理论、基本知识和基本方法，认识风险管理过程，了解常见的企业风险，包括战略风险、财务风险、经营风险等。四、前置课程初步掌握管理学、经济学、财务管理等基本知识。五、学时、学分54小时或36小时的课内学习，2-3学分。六、教学主要内容可以按照教材设计的章节完成教学任务，共包括10章内容，分别是内部控制与风险管理的发展历程、内部控制与风险管理的框架、我国内部控制与风险管理的规范与指引、内部环境、风险识别、风险分析、风险应对、控制活动、信息与沟通、内部监督。也可以根据讲授对象的不同，有针对性、有重点地择取部分章节进行讲授。七、课堂讲授及作业布置内部控制与风险管理是理论性和实务性兼顾的课程，同时会综合运用到其他经济管理课程的知识。要求教师在组织课堂教学过程中，及时布置作业，比如案例分析、计算练习等，并安排一定课时组织课堂练习。但由于受课时限制，课程学习还要求的大量的相关阅读与练习需安排在课外进行。

第二部分学时分配表课程总学时54小时章

节学时讲授内容备注第1章41.1美国内部控制与风险管理的发展

1.2英国内部控制与风险管理的发展

1.3我国内部控制与风险管理的发展课外文献阅读第2章62.1COSO的内部控制整合框架

2.2COSO的企业风险管理整合框架

2.3内部控制与风险管理整合框架的比较

2.4内部控制与风险管理的新发展

课外文献阅读第3章53.1中央企业全面风险管理指引

3.2企业内部控制规范体系第4章44.1企业组织架构

4.2发展战略

4.3人力资源政策

4.4社会责任与企业文化

第5章85.1风险识别概述

5.2风险识别的内容和程序

5.3风险识别的方法含案例讨论（2学时）第6章66.1风险分析概述

6.2风险分析的流程

6.3风险分析的方法

含作业评析（2学时）第7章67.1风险应对的原则与决策程序

7.2风险应对策略

7.3风险应对策略的选择

7.4企业主要风险的应对方案

含案例讨论（2学时）第8章88.1不相容职务分离控制

8.2授权审批控制

8.3会计系统控制

8.4财产保护控制

8.5全面预算控制

8.6运营分析控制

8.7绩效考评控制

8.8合同控制含案例讨论（2学时）第9章49.1财务报告内部控制

9.2管理报告内部控制

9.3信息系统内部控制第10章310.1内部监督概述

10.2内部审计

10.3内部控制评价课程总学时36小时章

节学时讲授内容备注第1章41.1美国内部控制与风险管理的发展

1.2英国内部控制与风险管理的发展

1.3我国内部控制与风险管理的发展课外文献阅读第2章42.1COSO的内部控制整合框架

2.2COSO的企业风险管理整合框架

2.3内部控制与风险管理整合框架的比较

2.4内部控制与风险管理的新发展

课外文献阅读第3章53.1中央企业全面风险管理指引

3.2企业内部控制规范体系第4章24.1企业组织架构

4.2发展战略

4.3人力资源政策

4.4社会责任与企业文化

第5章65.1风险识别概述

5.2风险识别的内容和程序

5.3风险识别的方法含作业评析（1学时）第6章46.1风险分析概述

6.2风险分析的流程

6.3风险分析的方法

第7章37.1风险应对的原则与决策程序

7.2风险应对策略

7.3风险应对策略的选择

7.4企业主要风险的应对方案

含案例讨论（1.5学时）第8章38.1不相容职务分离控制

8.2授权审批控制

8.3会计系统控制

8.4财产保护控制

8.5全面预算控制

8.6运营分析控制

8.7绩效考评控制

8.8合同控制第9章29.1财务报告内部控制

9.2管理报告内部控制

9.3信息系统内部控制第10章310.1内部监督概述

10.2内部审计

10.3内部控制评价

第三部分主要知识点第1章内部控制与风险管理的发展历程本章首先介绍了美国内部控制与风险管理发展的四个阶段，之后介绍了英国内部控制与风险管理发展史上的三大重要报告，最后介绍了我国内部控制与风险管理的发展历程。1.1美国内部控制与风险管理的发展美国内部控制与风险管理理论与实践的发展大体上经历了四个阶段：内部控制制度阶段、内部控制结构阶段、内部控制整体框架阶段和风险管理整合框架阶段。第一阶段——内部控制制度阶段。该阶段的特点是“制度二分法”或“二要素”。在这一阶段，AICPA不断修正内部控制的定义、类型、目标，并将内部控制分为内部会计控制与内部管理控制。内部控制正式被纳入制度体系之中，同时管理控制成为内部控制的一个重要组成部分。第二阶段——内部控制结构阶段。该阶段的特点是“内部控制结构”概念，内部控制结构不同于第一阶段的“制度二分法”，它不再区分会计控制和管理控制，而是确立一种包含为提供取得企业特定目标的合理保证而建立的各种政策和程序的内部控制结构，该结构分为控制环境、会计系统、控制程序，将会计控制和管理控制融于一体，进入“结构三要素”阶段。第三阶段——内部控制整体框架阶段。该阶段的特点是集大成性，1992年9月，COSO发布了著名的《内部控制——整合框架》标志着内部控制的发展阶段正式进入了整体框架建立的阶段，该文件权威得明确了内部控制的定义、内涵、特征、内容等方方面面，集以往内部控制理论和实践发展之大成，成为世界通行的内部控制权威标准。第四个阶段——企业风险管理整合框架阶段。该阶段的特点将内部控制的整体框架与企业风险管理相结合。COSO发布的《企业风险管理——整合框架》（简称ERM框架）认为，风险管理是由董事会、管理层和其他人员实施的，应用于战略制定并贯穿于企业之中，旨在识别可能影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证的过程。这一阶段，将内部控制上升到了全面风险管理的高度。该框架包括四类目标（战略目标、经营目标、报告目标和合规目标），八个要素（内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控），要素为目标服务，企业的各个层面都坚持四类目标，从八个要素进行风险管理，这样内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一体系；同时，对内部控制要素的进一步细分和充实，使内部控制与风险管理日益融合，拓展了内部控制。1.2英国内部控制与风险管理的发展卡德伯利报告（CadburyReport）、哈姆佩尔报告（HampelReport）以及作为公司治理委员会综合准则指南的特恩布尔报告(TurnbullReport)堪称英国公司治理和内部控制研究历史上的三大里程牌。卡德伯利报告，该报告明确要求建立审计委员会、实行独立董事制度；同时将内部控制作为公司治理的组成部分，强调内部审计的日常监督是内部控制的整体组成部分。哈姆佩尔报告，该报告弱化了董事会就内部控制有效性作出判断这一要求的必然性，重新定位董事会在内部控制方面的责任，同时审计师不必向社会公众公布其对董事会报告的审查结果，从而为双方建立良好的沟通渠道。特恩布尔报告，该报告是前两个报告的集大成者，对内部控制提出了综合性和原则性的规定，它为公司及董事会提供了具体的、颇具可行性的内部控制指引。1.3我国内部控制与风险管理的发展我国的内部控制制度建设经历了不同的阶段，分别是起步阶段、发展阶段、建设阶段与完善阶段。（1）起步阶段（1985-1997）。在该阶段，首先1985年《会计法》首次在法律文件上对内部牵制提出明确要求；1996年《会计基础工作规范》中对会计监督的要求是我国企业早期的内部控制；1996年《中国注册会计师独立审计准则》中关于内部控制的描述和要求进一步推动我国内部控制的建设；1997年，我国专门针对内部控制的第一个行政规定出台，中国人民银行颁布了《加强金融机构内部控制的指导原则》。就银行、保险公司等金融机构内部控制的目标、原则、要素、基本要求等做出了规范，要求各金融机构建立健全有效的内部控制运行机制。（2）发展阶段（1998-2004）。在亚洲金融危机的背景下，我国借鉴亚洲各国在金融危机中的经验教训，积极推进了一系列企业管理制度改革和会计监督制度建设。具体如下：对资产减值的内部控制提出要求，防范企业资产损失风险；以六条原则加强保险公司的内部制度建设；将会计监督写入法律当中；加强期货经纪公司内部控制的建设；将内部控制信息的披露作为企业风险管理完善程度的一个标志；加强外部审计对企业内部控制制度的测试；要求证券公司、商业银行建立健全内部控制制度，并给予方向性指导；明确单位建立和完善内部会计控制体系的基本框架和要求。（3）建设阶段（2005-2007）。该阶段中，我国要求上市公司、保险公司对内部控制制度的完整性、合理性及其实施的有效性进行定期检查和评估，同时要通过外部审计对公司的内部控制制度以及公司的自我评估报告进行核实评价，并披露相关信息；对中央企业开展全面风险管理建设，明确总体原则、基本流程、组织体系、风险评估等各个方面；成立企业内部控制标准委员会、会计师事务所内部治理之道委员会；以法规形式明确商业银行内部控制；加强证券投资基金销售机构内部控制。（4）完善阶段（2008年以后）。2008年，我国财政部等5部委发布《企业内部控制基本规范》，确定了内部控制制度的五目标、五原则及五要素，搭建了我国内部控制体系的框架，标志着我国内部控制制度的建设迈上新的台阶；2010年，18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》发布标志着适应我国实际情况，结合国际先进经验的“以防范风险和控制舞弊为中心，以控制标准和评价标准为主体，结合合理、层次分明、衔接有序、方法科学、体系完备”的中国企业内部控制规范体系已基本建成。第2章内部控制与风险管理的框架本章首先介绍了COSO的内部控制整合框架和风险管理整合框架，之后对二者进行了系统的比较，最后介绍了内部控制整合框架与风险管理整合框架的新发展。2.1COSO的内部控制整合框架1992年9月美国COSO委员会发布的《内部控制——整合框架》，是目前国际上认同度最高和最具有权威性的内部控制概念框架。该框架提出了内部控制的概念、目标及其五要素。内部控制的概念COSO的《内部控制——整合框架》认为，内部控制是由企业的董事会、管理层和其他员工实施的，目的是为经营的效率和效果、财务报告的可靠性以及遵循适用的相关法律法规等目标提供合理保证的过程。内部控制的目标1）经营目标——关于企业资源利用的效率、效果；2）财务报告目标——关于编制公开财务报表的可靠性；3）遵循性目标——关于法律和法规的遵循性。内部控制的要素COSO《内部控制整合框架》把内部控制划分为五个相互关联的要素，分别是：控制环境、风险评估、控制活动、信息与沟通以及监控。目标与要素之间的相互联系内部控制的五个要素源自管理层的经营方式，并与管理过程紧密相连，每个要素均承载内部控制的三个目标。内部控制的三个目标与五个要素贯穿于机构的各业务单位和各个层面的业务活动中。在内部控制制度设计中，公司可以根据公司的规模和结构采用不同的方式来实施这五大要素。内部控制框架的局限性无论内部控制设计和执行得多好，它也只能对于管理层和董事会就企业目标的实现提供合理的保证。实现的可能性受所有内部控制系统固有的局限的影响，这些固有局限包括：决策人判断上的失误，由于简单差错或错误导致的失效，两个或更多的人联合欺诈或串通以绕过内部控制，管理层凌驾于内部控制之上而失效和外部不受控事件的影响而导致的失效，还有一种限制是要考虑与控制相关的成本和收益。这些固有局限使得董事会和管理层无法对组织目标的实现提供绝对保证，所以内部控制提供的是合理保证而非绝对保证。管理层在设计和执行内部控制时，仍应当考虑并最大可能将这些内在的局限性最小化。2.2COSO的企业风险管理整合框架2004年9月，COSO发布了《企业风险管理——整合框架》（简称ERM框架），新的框架是在1992年的《内部控制——整合框架》的基础上，结合《萨班斯——奥克斯利法案》在报告方面的要求，进行扩展研究得到的。风险管理框架的范围比内部控制整合框架的范围更为广泛，是对内部控制整合框架的扩展，是一个主要针对风险的更为明确的概念。企业风险管理的定义企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。该定义强调：1）企业风险管理是一个过程；2）企业风险管理是一个由人参与的过程；3）风险管理过程可应用于战略制订；4）风险管理过程可应用贯穿于企业。5）风险管理过程旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内。6）设计合理、运行有效的风险管理能够向企业的管理当局和董事会在企业的各目标的实现上提供合理保证。7）企业风险管理框架针对一类或几类相互独立但又存在重叠的目标，目的在于企业目标的实现。企业风险管理整合框架的目标1）战略目标——是企业高层次的目标，它与企业的使命、愿景相协调，并支持使命和愿景。战略目标反映了管理层就企业如何努力为它的利益相关者创造价值所做出的选择，管理层要识别与此选择相关联的风险，并考虑它们可能产生的影响。2）经营目标——经营目标与企业经营的有效性和效率有关，包括业绩和盈利目标以及保护资源不受损失，它因管理层对结构和业绩的选择不同而不同。3）报告目标——报告目标与报告的可靠性有关，包括内部与外部报告，并且可能涉及财务与非财务信息。4）合规目标——合规目标与符合相关法律和法规有关，取决于外部因素，在一些情况下对所有企业而言都很类似，而在另一些情况下则在一个行业内有共性。企业风险管理整合框架的要素企业风险管理包括八个相互关联的构成要素，分别是：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。根据COSO的风险管理整合框架，内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一整体；同时，对内部控要素的进一步细分和充实，使内部控制与风险管理日益融合，拓展了内部控制。1）内部环境――管理当局确立关于风险的理念，并确定风险容量。2）目标设定――必须先有目标，管理当局才能识别影响它们实现的潜在事项。3）事项识别――必须识别可能对主体产生影响的潜在事项。4）风险评估――要对识别的风险进行分析，以便形成确定应该如何对它们进行管理的依据。5）风险应对――员工识别和评价可能的风险应对，包括回避、承担、降低和分担风险。6）控制活动――制订和实施政策与程序以帮助确保管理当局所选择的风险应对得以有效实施。7）信息与沟通――企业需按某种形式辨识、取得确切的信息以确保员工履行其职责，并且能够借助这些信息来识别、评估和应对风险，同时企业需要确保信息的流动性。8）监控――对企业风险管理进行全面监控，必要时加以修正。风险管理整合框架的评价与局限性ERM框架再一次强调了系统的概念，即在实施企业整体风险管理过程中，主体中的每个人都对企业风险管理负有责任。同时，ERM框架可以为不同的利益相关者提供有效的借鉴和指导。但不管设计和运行得多么好，有效的企业风险管理只能向管理当局和董事会提供有关主体目标实现的合理保证。目标的实现受到所有管理过程中固有局限的影响，这些固有局限包括以下实际情况：决策过程中的人为判断可能有缺点，由于类似简单差错或错误等人为失败可能导致的故障，控制可能会通过两个或多个人的串通而被绕过及管理当局有能力凌驾于企业风险管理过程——包括风险应对决策和控制活动——之上，另一个限制因素是需要考虑风险应对的相关成本与效益。2.3内部控制与风险管理整合框架的比较相对于《内部控制整合框架》而言，《企业风险管理整合框架》，无论在内容上还是范围上都有所扩大和提高。简单来看，《企业风险管理——整合框架》在《内部控制——整合框架》的基础上增加了一个新观念（风险组合观）、一个战略目标（由三类目标扩展为四类目标）、两个概念（风险偏好和风险容忍度）和三个要素（目标设定、事项识别、风险应对，由五要素扩展为八要素，将企业的管理重心更多地移向风险管理）。针对企业风险管理的需要，风险管理整合框架要求设立一个新的部门——风险管理部，并相应设立首席风险官（CRO），全面地、集中化地推进企业风险管理。表2-1COSO《内部控制整合框架》与《企业风险管理整合框架》的比较表描述类型COSO《内部控制整合框架》COSO《企业风险管理整合框架》基调管理层为达到目标而进行的内部控制要求满足管理层为了达到一定的目标进行企业风险管理的需求目标战略目标（新增，全局掌控）经营目标经营目标财务报告目标报告目标（范围更广）合规目标合规目标风险观没有提出风险组合观，只有风险评估从企业总体层面，提出风险组合观环境管理层及员工的内部控制观念管理层及员工的风险观念，并提出风险偏好、风险可接受程度的概念要素控制环境内部环境(更广义）目标设定（新增）事项识别（新增）风险评估风险评估风险应对（新增）控制活动控制活动信息与沟通信息与沟通监控监控2.4内部控制与风险管理的新发展2013年5月，COSO发布了修订后的《内部控制——整合框架》及其配套指南，并提议2014年12月15日以后用该框架取代1992年发布的原框架指南。新《内部控制——整合框架》的发布将有助于公司高管在企业运营、法规遵从以及财务报告等方面采用更为严密的内控措施，提升内控的质量。新框架的主要变化1）新框架明确列示了用以支持内部控制五大要素的17项原则；2）新框架明确了目标设定在内部控制中的作用；3）新框架反映了科技日益深入的相关性，日益先进的技术会影响所有内部控制要素的实施方式；4）新框架更深入地讨论了有关治理的概念，强调董事会监督对有效的内部控制至关重要；5）新框架扩大了报告目标类别，总共有四类报告——内部财务、内部非财务、外部财务以及外部非财务报告；6）新框架加强了对反舞弊预期的考虑；7）新框架更加关注非财务目标。第3章我国内部控制与风险管理的规范本章首先介绍了中央企业风险管理指引的主要内容及颁布背景，之后又介绍了我国内部控制规范体系，分析了其基本框架结构，并分别从颁布背景、主要内容、评价解析三个方面对基本规范、配套指引、解释公告和操作指南进行了详细的分析。3.1中央企业全面风险管理指引国务院国有资产监督管理委员会于2006年6月20日出台了《中央企业全面风险管理指引》（简称《指引》）。《指引》共10章70条，主要内容如下：1）全面风险管理的总体目标一是确保将风险控制在与总体目标相适应并可承受的范围内；二是确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；三是确保遵守有关法律法规；四是确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；五是确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。2）风险的分类及风险管理策略企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。指引指出，一般情况下，对战略、财务、运营和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法；对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。企业应根据不同业务特点统一确定风险偏好和风险承受度，即企业愿意承担哪些风险，明确风险的最低限度和不能超过的最高限度，并据此确定风险的预警线及相应采取的对策。3）风险管理基本流程及全面风险管理工作的开展风险管理基本流程应包括：收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案以促进风险管理的监督与改进。企业应本着从实际出发，务求实效的原则，以对重大风险、重大事件（指重大风险发生后的事实）的管理和重要流程的内部控制为重点，积极开展全面风险管理工作。3.2企业内部控制规范体系内部控制基本规范和配套指引的发布，标志着我国内部控制规范体系的基本形成，是我国内部控制体系建设的里程碑。我国企业内部控制规范体系的框架主要包括基本规范、配套指引、解释公告与操作指南四个层次。1）基本规范《企业内部控制基本规范》于2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。它是内部控制体系的最高层次，属于总纲，起统驭作用。它描述了建立与实施内部控制体系必须建立的框架结构，规定了内部控制的定义、目标、原则、要素等基本要求，是制定配套指引、解释公告和操作指南的基本依据。《企业内部控制基本规范》共7章50条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。其主要内容可以概括出“五个五”，即“五个部委联合发布”、“五个目标”、“五个原则”、“五个要素”、“五十条”。“五个部委联合发布”是指由财政部、证监会、审计署、银监会、保监会五个部委联合发布。“五个目标”是指“合理保证企业经营合法合规、资产安全、财务报告及相关信息真实完整、提高经济效率和效果、促进企业实现发展战略”。“五个原则”是指内部控制建设应当遵循的原则，即“全面性、重要性、制衡性、适应性、成本效益”原则。“五个要素”是企业建立与实施有效的内部控制应当包括的要素，即“内部环境、风险评估、控制活动、信息与沟通、内部监督。2）配套指引2010年4月26日，财政部等五部委发布了《企业内部控制配套指引》（下称“配套指引”）。配套指引是内部控制体系的主要内容，是为促进企业建立、实施和评价内部控制，规范会计师事务所内部控制审计行为所提供的指引。配套指引由《企业内部控制应用指引》（此次发布18项，涉及银行、证券期货和保险等业务的3项指引暂未发布）、《企业内部控制评价指引》和《企业内部控制审计指引》组成。（1）应用指引可以划分为三类：内部环境类指引、控制活动类指引、控制手段类指引。这三类指引基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。内部环境是企业实施内部控制的基础，内部环境类指引包括组织架构、发展战略、人力资源、企业文化和社会责任等五项指引。控制活动类指引是对各项具体业务活动实施的控制，此类指引有9项，包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告等指引。控制手段类指引偏重于“工具”性质，往往涉及企业整体业务或管理。此类指引有4项，包括全面预算、合同管理、内部信息传递和信息系统等指引。（2）评价指引内部控制评价是指企业董事会或类似决策机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。主要内容包括：实施内部控制评价应遵循的原则、内部控制评价的组织、内部控制评价的内容、内部控制评价的流程与方法、内部控制评价缺陷的认定、内部控制评价报告及其报送与披露。（3）审计指引内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计，它是企业内部控制规范体系实施中引入的强制性要求。主要内容包括：审计责任划分、审计范围、整合审计、计划审计工作、实施审计工作、评价控制缺陷、出具审计报告以及记录审计工作。3）解释公告解释公告是就企业内部控制规范体系实施中普遍反映和亟须解决的问题进行的解释说明，是对内部控制规范体系的重要补充，是政府监管机构企业内部控制规范体系实施过程的监控和反馈。2012年2月，财政部会同证监会、审计署、银监会、保监会联合印发了《企业内部控制规范体系实施中相关问题解释第1号》。《企业内部控制规范体系实施中相关问题解释第2号》于2012年9月印发。4）操作指南为了满足部分行业企业的个性化需求，对内部控制规范体系的建设方法、控制程序、实施步骤、考核办法进行行业内的具体规定，财政部启动了分行业的内部控制操作指南的编制工作，以期为各类企业建设实施内部控制规范体系提供经验借鉴和具体实务操作指导。2013年12月28日，财政部编制并发布了《石油石化行业内部控制操作指南》。该操作指南共分为八章，内容基本涵盖了三大石油石化企业上、中、下游的主要业务，形成了具有石油石化行业特点的内部控制建设与实施的操作指南。操作指南属于具有指导性、参考性的操作手册，而非强制性要求。《石油石化行业内部控制操作指南》能够为石油石化行业各类型企业开展内部控制体系建设与实施工作提供经验借鉴；也可为中介结构开展内部控制咨询、实施内部控制审计提供重要参考；还可为政府监管部门开展内部控制监督提供有益帮助。第4章内部环境本章从企业组织架构、发展战略、人力资源政策、社会责任和企业文化五个方面介绍了企业的内部环境以及企业在内部环境方面需关注的风险。COSO在ERM框架中指出，企业的内部环境是其他所有风险管理要素的基础，为其他要素提供规则和结构。企业的内部环境不仅影响企业战略和目标的制定、业务活动的组织及对风险的识别、评估和反应，还影响企业控制活动、信息和沟通系统以及监控活动的设计和执行。根据《企业内部控制基本规范》的定义，“内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。”企业内部控制应用指引中，内部环境类应用指引具体包括《企业内部控制应用指引第1号——组织架构》、《企业内部控制应用指引第2号——发展战略》、《企业内部控制应用指引第3号——人力资源》、《企业内部控制应用指引第4号——社会责任》、《企业内部控制应用指引第5号——企业文化》等,它们分别从不同方面解读了内部环境构成的主要内容。4.1企业组织架构组织架构是指企业按照国家有关法律、法规、股东（大）会决议、企业章程，结合本企业实际情况，明确董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。1）治理结构治理结构即企业治理层面的组织架构，是与外部主体发生各项经济关系的法人所必备的组织基础，它可以使企业成为在法律上具有独立责任的主体，从而使得企业能够在法律许可的范围内拥有特定权利、履行相应义务，以保障各利益相关方的基本权益。公司治理的关键在于明确、合理地配置公司股东、董事会、经理人员和其他利益相关者之间的权利、责任和利益，从而形成有效的制衡关系。2）内部机构的组织形式内部机构是企业内部分别设置不同层次的管理人员及其由各专业人员组成的管理团队，针对各项业务功能行使决策、计划、执行、监督、评价的权利并承担相应的义务，是业务顺利开展的保证现代企业的内部机构一般包括四种基本形式，即U型结构、M型结构、H型结构和矩阵型结构。3）治理结构设计的主要风险点从治理结构层面看，主要风险在于：治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。具体而言，组织架构设计中的风险点主要存在于以下十种情况：①股东（大）会是否规范而有效地召开，股东是否可以通过股东（大）会行使自己的权利。②企业与控股股东是否在资产、财务、人员方面实现相互独立，企业与控股股东的关联交易是否贯彻平等、公开、自愿的原则。③对与控股股东相关的信息是否根据规定及时完整的披露。④企业是否对中小股东权益采取了必要的保护措施，使中小股东能够和大股东同等条件参加股东（大）会，获得与大股东一致的信息，并行使相应的权利。⑤董事会是否独立于经理层和大股东，董事会及其审计委员会中是否有适当数量的独立董事存在且能有效发挥作用。⑥董事对于自身的权力和责任是否有明确的认知，并且有足够的知识、经验和时间来勤勉、诚信、尽责的履行职责。⑦董事会是否能够保证企业建立并实施有效的内部控制，审批企业发展战略和重大决策并定期检查、评价其执行情况，明确设立企业可接受的风险承受度，并督促经理层对内部控制有效性进行监督和评价。⑧监事会的构成是否能够保证其独立性、监事能力是否与相关领域相匹配。⑨监事会是否能够规范而有效的运行，监督董事会、经理层正确地履行职责并纠正损害企业利益的行为。⑩对经理层的权利是否存在必要的监督和约束机制。4）内部机构组织形式的设计内部机构的设计是组织架构设计的关键环节。内部机构的设计应满足以下三个要求：（1）企业应当按照科学、精简、高效、透明、制衡的原则，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。（2）企业应当对各机构的职能进行科学合理的分解，确定具体岗位的名称、职责和工作要求等，明确各个岗位的权限和相互关系。尤其应当体现不相容岗位相分离原则，努力识别出不相容职务。（3）企业应当制定组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。内部机构设计而言，建立权限指引和授权机制非常重要。4.2发展战略根据《企业内部控制应用指引第2号——发展战略》，发展战略是企业在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的中长期发展目标与战略规划。制定公司发展战略是实现健康可持续发展的起点。4.2.1发展战略的制定1）建立和健全发展战略制定机构公司应当在董事会下设立战略委员会，或指定相关机构负责公司发展战略管理工作，履行相应职责。战略委员会对董事会负责，委员包括董事长和其他董事。战略委员会委员应当具有较强的综合素质和实践经验。同时，委员的任职资格和选任程序应符合有关法律法规和公司章程的规定。战略委员会主席应当由董事长担任；委员中应当有一定数量的独立董事，以保证委员会更具独立性和专业性。必要时，战略委员会还可聘请社会专业人士担任顾问，提供专业咨询意见。

战略委员会的主要职责是对公司长期发展战略和重大\o"投资"投资决策进行研究并提出建议，具体包括：对\o"房地产公司"公司的长期发展规划、经营目标、发展方针进行研究并提出建议，对公司涉及产品战略、市场战略、\o"营销"营销战略、研发战略、人才战略等经营战略进行研究并提出建议，对公司重大战略性投资、融资\o"销售方案"方案进行研究并提出建议，对公司重大资本运作、资产经营项目进行研究并提出建议等。为确保战略委员会议事过程透明、决策程序科学民主，公司应当明确相关议事规则，对战略委员会会议的召开程序、表决方式、提案审议、保密要求和会议记录等做出明确约定。2）分析评价影响发展战略的因素企业外部环境、内部资源等因素是影响发展战略制定的关键因素。只有对企业所处的外部环境和拥有的内部资源展开深度分析，才能制定出科学合理的发展战略。外部环境是制定企业发展战略的重要影响因素，包括企业所处的宏观环境、行业环境及竞争对手、经营环境等。分析企业面临的外部环境，应当着重分析环境的变化和发展趋势及其对发展战略的重要影响，同时评估企业可能的机会与威胁。内部资源是企业发展战略的重要制约条件，包括企业资源、企业能力、核心竞争力等各种有形和无形资源。分析企业拥有的内部资源和能力，应当着重分析这些资源和能力使企业在同行业中处于何种地位，与竞争对手相比，企业有哪些优势和劣势。3）制定科学的发展战略发展战略可以分为发展目标和战略规划两个层次。发展目标是企业发展战略的核心和基本内容，表明企业在未来一段时期内所要努力的方向和所要达到的水平。战略规划是为了实现发展目标而制定的具体规划，表明企业在每个发展阶段的具体目标、工作任务和实施路径。4）严格审议和批准发展战略发展战略拟定后，应当按照规定的权限和程序对发展战略方案进行审议和批准。审议战略委员会提交的发展战略建议方案，是董事会的重要职责。在审议过程中，董事会应着力关注发展战略的全局性、长期性和可行性。董事会在审议中如果发现发展战略方案存在重大缺陷问题，应当责成战略委员会对建议方案进行调整。企业发展战略方案经董事会审议通过后，应当报经股东（大）会批准后付诸实施。4.2.2发展战略的实施1）发展战略实施的组织领导企业经理层作为发展战略制定的直接参与者，往往比一般员工掌握更多的战略信息，对企业发展目标、战略规划和战略实施路径的理解和体会也更加全面深刻，应当担当发展战略实施的领导者。2）发展战略的分解落实（1）要根据战略规划，制定年度工作计划。（2）要按照上下结合、分级编制、逐级汇总的原则编制全面预算、将发展目标分解并落实到产销水平、资产负债规模、收入及利润增长幅度、投资回报、风险管控、技术创新、品牌建设、人力资源建设、制度建设、企业文化、社会责任等可操作层面，确保发展战略能够真正有效的指导企业各项生产经营管理活动。（3）要进一步将年度预算细分为季度、月度预算，通过实施分期预算控制，促进年度预算目标的实现。（4）要通过建立发展战略实施的激励约束机制，将各责任单位年度预算目标完成情况纳入绩效考核体系，切实做到有奖有惩、奖惩分明，以促进发展战略的有效实施。3）发展战略的执行战略实施过程是一个系统的有机整体，在目前复杂动态的市场环境和激烈的市场竞争中，对企业内部不同部门之间的协同运作提出了越来越高的要求。为此，企业应当培育发展战略相匹配的企业文化，优化调整组织结构，整合内外部资源，相应调整管理方式。4）发展战略的宣传培训企业应当重视发展战略的宣传培训工作，为推进发展战略实施提供强有力的思想支撑和行为导向。5）发展战略的调整企业战略委员会应当加强对发展战略实施情况的监控，定期收集和分析相关信息，对于明显偏离发展战略的情况，应当及时报告。由于经济形势、产业政策、技术进步、行业状况以及不可抗力等因素发生重大变化，确需对发展战略做出调整的，应当按照规定权限和程序调整发展战略。4.2.3企业制定与实施发展战略存在的风险企业制定与实施发展战略至少应当关注下列风险：1）缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。2）发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。3）发展战略因主观原因频繁变动，可能导致资源浪费，甚至会危及企业的生存和持续发展。4.3人力资源政策根据《企业内部控制应用指引第3号——人力资源》的定义，人力资源是指企业组织生产经营活动而录（任）用的各种人员，包括董事、监事、高级管理人员和一般员工，其本质是企业组织中各种人员所具有的脑力和体力的总和。人力资源管理的主要风险人力资源管理的风险是指企业在人力资源管理过程中，由于各种不确定性因素以及工作失误的影响，而遭受损失的可能性和程度。1）人力资源获取风险：主要是指企业招聘新员工时，受企业内外部不确定性因素或内部工作人为失误的影响，不能获得所需要的人力资源，或者在选人工作上产生错误，给企业造成损失的可能性和程度。主要有两个方面风险：（1）企业内部的决策风险，由于企业在甄选和录用员工时，需要解决“招聘什么人”和“招聘多少人”等问题，从而存在着企业内部的决策风险。（2）外部环境风险，由于企业外部环境的一些不确定性因素的影响，企业的人员招聘很困难，可能造成企业停工或开工不足等损失。2）人力资源投资风险：主要有投资对象的选择风险和人员的离职风险。3）人力资源使用风险：主要是指企业在人员的使用调配和上司的管理授权时，由于人事决策失误、组织协调失衡、员工的思想道德问题或者能力的不足等给企业造成损失的可能性和程度。主要存在职位能力风险、道德风险、授权风险和激励政策风险等。4）人力资源保护风险人力资源保护包括劳动者的劳动权利、劳动利益的保护，劳动者工伤事故、身体健康的保护，劳动争议中对劳动者合法权益的保护，对劳动者因公或非因公而丧失劳动能力后基本生活的保障，劳动者生、老、病、死的各种权益的保护。在人力资源保护方面存在着人身安全风险和劳动纠纷风险。4.3.3人力资源政策的主要内容1）人力资源规划：也叫人力资源计划，是指在企业发展战略和经营规划的指导下进行人员的供需平衡，以满足企业在不同发展时期对人员的需求，为企业的发展提供合质合量的人力资源保证，其最终目的是为了达成企业的战略目标和长期利益。人力资源规划的内容，主要包括两个方面：①人力资源总体规划，是指对计划期内人力资源规划结果的总体描述，包括预测的需求和供给分别是多少，企业平衡供需的指导原则和总体政策是什么，等等。②人力资源业务规划，是总体规划的分解和具体，包括人员补充计划、人员配置计划、人员接替和提升计划、人员培训与开发计划、工资激励计划、员工关系计划、退休解聘计划等内容，这些业务规划的每一项都应当设定出自己的目标、任务和实施步骤，其有效实施是总体规划得以实现的重要保证。2）招聘与录用招聘是指在企业总体发展战略规划的指导下，制定相应的职位空缺计划，并决定如何寻找合适的人员来填补这些职位空缺的过程，其实质是让潜在的合格人员对本企业的相关职位产生兴趣并且前来应聘这些职位。选拔录用也叫人员甄选，是指通过运用一定的工具和手段对已经招募到的求职者进行鉴别和考察，区分他们的人格特点与知识技能水平、预测他们的未来工作绩效，从而最终挑选出企业所需要的、恰当的职位空缺填补者。3）培训与开发培训与开发是指企业通过各种方式使员工具备完成现在或者将来工作所需要的知识、技能并改变他们的工作态度，以改善员工在现有或将来职位上的工作业绩，并最终实现企业整体绩效提升的一种计划性和连续性的活动。4）绩效管理绩效管理是指制定员工的绩效目标并收集与绩效有关的信息，定期对员工的绩效目标完成情况做出评价和反馈，以确保员工的工作活动和工作产出与组织保持一致，进而保证组织目标完成的管理手段与过程。5）薪酬管理薪酬管理是指企业在经营战略和发展规划的指导下，综合考虑内部各种因素的影响，确定自身的薪酬水平、薪酬结构和薪酬形式，并进行薪酬调整和薪酬控制的整个过程。4.4社会责任与企业文化企业社会责任的定义：根据《企业内部控制应用指引第4号——社会责任》的规定，企业社会责任，是指企业在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量（含服务）、环境保护、资源节约、促进就业、员工权益保护等。企业文化的定义：企业文化是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称，主要包括企业的整体价值观，高级管理人员的管理理念、经营哲学与职业操守，员工的行为守则等。企业履行社会责任应关注的主要风险：1）安全生产措施不到位，责任不落实，可能导致企业发生安全事故。2）产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产。3）环境保护投入不足，资源耗费大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业。4）促进就业和员工权益保护的力度不够，可能导致员工积极性受挫，影响企业发展和社会稳定。企业文化建设应关注的主要风险1）形式化的风险：个别企业在开展企业文化建设过程中，存在一种形式主义倾向。2）功利化的风险：个别企业、个别领导有贪功求快的心理，希望企业文化建设多出亮点、快见成效。3）虚无化的风险：是上级形式主义在基层导致的必然结果，企业文化建设中广大员工尤其是一线、基层员工将被排除在外，出现高层热闹非凡、底层漠不关心的现象。4）个人化的风险：以领导个人喜好对企业文化建设工作过多干涉，一个领导一个样、换个领导换风格等现象的发生。5）部门化、孤立化的风险：部门化，是指企业文化往往成为某个部门、某些人员的事情，其他部门、其他员工以一种事不关己高高挂起的心态对待这项工作，只在迫不得已的情况下才完成相关任务，缺乏参与企业文化建设过程的积极性和主动性。所谓孤立化，是指企业文化建设脱离了日常生产经营，成为一项“运动”式的工作。第5章风险识别本章首先介绍了风险识别的内涵，之后介绍了风险识别的内容，最后介绍了风险识别的主要方法。5.1风险识别概述风险识别的定义：风险识别是对企业面临的各种潜在事项进行确认。所谓潜在事项，是指来自于企业内部和外部、可能影响企业战略的执行和目标的实现的一件或者一系列偶发事项。对于风险识别的概念，可以从以下几个方面理解：1）风险识别是一项动态的、连续不断的、系统性的重复过程；2）风险识别是一项复杂的系统工程，不能局限在某一个专门部门或者专门的环节，风险识别要把主体作为完整的系统看待；3）风险识别是整个风险评估过程中重要的程序之一，风险识别的目的就是确认所有风险的来源、种类以及发生损失的可能性，为风险分析和风险应对提供依据。风险识别的基础：了解风险主体的活动内容及活动环境对企业活动内容的认识，要涵盖以下几个方面：1）公司治理结构；2）组织机构设置；3）企业文化；4）人力资源政策；5）内部控制制度；6）内部审计机制；7）公司业务流程和盈利模式对企业活动环境的认识，可以采用PEST分析法，即从政治环境、经济环境、社会环境和技术环境四个方面来对企业的活动环境进行评估，风险识别的原则1）实时性原则：要求风险管理部门应当根据实时信息随时关注风险的变化，连续识别风险，并及时调整风险应对策略。否则，滞后的风险管理系统将难以适应风险环境的瞬息万变。2）系统性原则：要求按照风险活动的流程、顺序、内在结构关系识别风险。3）重要性原则：是指由于风险管理的投入产出以及资源的稀缺性，风险识别应有所侧重。4）经济性原则：是指风险识别要权衡成本和收益，从而选择和确定最佳的识别方法。风险识别的要点1）风险识别贵在全面：风险识别是否全面，直接影响着企业风险管理的质量。2）风险事件是相互依赖的：主要体现在两个方面。一方面，一个事件往往会引发其他事件的发生；另一方面，多个事件有可能同时发生，共同影响企业的风险。因此，在风险识别的过程中要注意风险事件之间的关联，系统地看问题而不是将各个风险因素孤立。3）将风险因素进行分类：按照内部外部、业务模块、部门单位等条件将各类风险因素进行分类汇总，有助于管理层更好地理解因素之间的关系，从整体上把握风险，并且有助于各职能部门更好地认识和关注与其直接相关的风险。5.2风险识别的内容风险识别的基本内容：包括感知风险事项和分析风险事项感知风险，即通过调查和了解，识别风险事项的存在。分析风险事项，是通过归类分析，掌握风险事项产生的原因和条件以及风险事项具有的性质。感知风险事项和分析风险事项是相辅相成，互相联系的。感知风险事项是风险识别的基础，分析风险事项是风险识别的关键，只有通过感知风险，才能进一步进行分析，只有通过风险分析，才能寻找到可能导致风险事故发生的各种因素，为拟定风险应对方案和进行风险管理决策服务。风险识别关注的因素1）内部风险：来源于企业的决策和经营活动。企业决策的风险一方面表现在与外界环境不相适应，另一方面表现在企业本身的经营活动中，经营活动中的风险来自企业的各个流程和各个部门。风险事项关注的因素内部风险(1)董事、监事、经理及其他高级管理人员的职业操守,员工专业胜任能力等人力资源因素；(2)组织机构、经营方式、资产管理、业务流程等管理因素；(3)研究开发、技术投入、信息技术运用等自主创新因素；(4)财务状况、经营成果、现金流量等财务管理因素；(5)营运安全、员工健康、环境保护等安全环保因素；(6)其他有关企业识别内部风险的因素。2）外部风险：来自企业经营的外部环境，包括外部环境本身和外部环境的变化对企业目标的影响。风险事项关注的因素外部风险(1)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素；(2)法律、法规、监管要求等法律因素；(3)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；(4)技术进步、工艺改进等科学技术因素；(5)自然灾害、环境状况等自然环境因素；(6)其他有关外部风险的因素。企业常见的风险1）战略风险：指不确定性对企业战略目标实现的影响。一是战略风险是未来影响企业的各种不确定性事件，已经发生的确定性事件不能作为企业战略风险；二是尽管企业战略因素来源广泛，但并不是每个事件或可能性都构成战略风险，只有当这个事件或偶然性影响到战略目标的实现时，才可以称为战略风险。2）财务风险：指在企业各项财务活动过程中，由于各种难以预料或控制的因素影响，使企业的财务收益与预期收益发生偏离，从而使企业有蒙受损失的可能性。企业财务风险可分为筹资风险、投资风险和收益分配风险。3）市场风险：包括产品市场风险、金融市场风险等。4）营运风险：指企业内部流程、人为错误或外部因素而令公司产生经济损失的风险。营运风险包括公司的流程风险、人为风险、信息系统风险、事件风险和业务风险。5）法律风险：指因企业内外部的具体行为不规范，引起与企业所期望达到的目标相违背的法律上的不利后果发生的可能性。可以分为外部环境法律风险和企业内部法律风险。所谓外部环境法律风险，是指由于企业以外的社会环境、法律环境、政策环境等因素引发的法律风险。所谓企业内部法律风险，是指企业战略决策、内部管控、经营行为、经营决策等因素引发的法律风险。表现为企业自身法律意识淡薄，未设置较为完备的法律风险防范机制，对法律环境认知不够，经营决策欠考虑法律因素，甚至违法经营等。风险识别的程序风险识别的过程实际上就是收集有关风险因素、风险事故、损失暴露、危害和损失等方面信息的过程。1）发现或者调查风险因素；2）认知风险因素；3）预见危害；4）重视风险暴露。一般把风险暴露分为以下几个方面：（1）实物资产风险暴露；（2）无形资产风险暴露；（3）金融资产风险暴露；（4）责任风险暴露；（5）人力资本风险暴露。5.3风险识别的方法风险识别的方法一般有：财务报表分析法、流程图分析法、事件树分析法、因果图分析法、现场调查法和风险清单法等。5.3.1财务报表分析法财务报表分析法是通过资产负债表、损益表、现金流量表和其他附表等财务信息的分析来识别风险事项。1）财务报表分析法的类型：趋势分析法、比率分析法、因素分析法、综合分析法2）财务报表分析法的优点：（1）财务报表分析法能够识别风险。（2）财务报表分析法识别风险具有可靠性和客观性。（3）财务报表分析法可以为风险投资、风险融资提供依据。3）财务报表分析法的缺点：（1）专业性强。（2）财务报表分析法识别风险的基础是财务信息具有真实性和全面性。5.3.2流程图分析法流程图分析法是将风险主体的全部生产经营过程，按其内在的逻辑联系绘成作业流程图，并针对流程中的关键环节和薄弱环节进行调查和识别风险的方法。1）流程图的类型按照流程路线的复杂程度划分，可以分为简单流程图和复杂流程图。按照流程的内容划分，流程图可分为内部流程图和外部流程图。按照流程图的表现形式划分，可分为实物形态流程图和价值形态流程图。2）流程图分析法的优点（1）流程图可以比较清楚地反映活动（或工序）流程的风险。（2）流程图强调活动的流程，而不寻求引发风险事故的原因。3）流程图分析法的缺点（1）流程图是否准确，决定着风险管理部门识别风险的准确性。（2）流程图识别风险的管理成本比较高。一般来说，流程图由具有专业知识的风险管理人员绘制，需要花费的时间比较多，耗费的管理成本也比较高。5.3.3事件树分析法事件树分析法又称故障树法，其实质是利用逻辑思维的规律和形式，从宏观的角度去分析事故形成的过程。其理论基础是，任何一起事故的发生，必定是一系列事件按时间顺序相继出现的结果，前一事件的出现是随后事件发生的条件，在事件的发展过程中，每一事件有两种可能的状态，即成功和失败。事件树法从某一风险结果出发，运用逻辑推理的方法推导出引发风险的原因，遵循风险事件—中间事件—基本事件的逻辑结构。1）事件树分析法的优点（1）运用事件树分析法可以指出防止事故发生的途径。（2）运用事件树分析法可以灵活选择解决措施。（3）运用事件树分析法能够找出消除事故的根本措施。2）事件树分析法的缺点（1）事件树的绘制需要专门的技术。（2）采用事件树法识别风险的管理成本比较高。（3）相关概率的准确性直接影响估测的结果。5.3.4因果图分析法因果图分析法是一种用于分析风险事故与影响风险事故原因之间关系的比较有效的分析方法。在风险管理中，导致风险事故的原因可以归纳为类别和子原因，可以画成形似鱼刺的图（因果图）。1）因果图分析法的优点（1）因果图是一种非定量的工具，可以辨识出导致风险的所有原因，分析各原因之间的相互关系，并从中找到根本原因。（2）运用因果图分析法识别风险，关注于因果分析，简单直观，便于理解。2）因果图分析法的缺点（1）对于导致风险事故原因调查的疏漏，会影响因果图分析的结论。（2）不同的风险管理人员对风险因素重要性的认识不同，会影响因果图分析的结论。5.3.5现场调查法1）现场调查法的优点（1）获得风险主体从事活动的第一手资料。（2）了解风险主体的资信状况，避免道德风险的发生。（3）防止风险事故的发生。2）现场调查法的缺点（1）采用现场调查法耗费的时间比较多。（2）现场调查的管理成本比较高。（3）风险管理人员的风险识别能力和水平决定调查的结果。5.3.6风险清单分析法风险清单分析法又称列表检查法，即事前设计好调查表并将已经识别的主要风险填列其中，进行对照检查。1）风险清单分析法的优点（1）运用风险清单发现、识别风险，可以降低风险管理的成本。（2）运用风险清单发现、识别风险，可以避免遗漏重要的风险源。2）风险清单分析法的缺点（1）风险清单不可能概括风险主体面临的特殊风险。（2）风险清单只考虑了纯粹风险，没有考虑投机风险。5.3.7其他风险识别方法经常检查关键文档就是一种有效的方法。关键文档包括：董事会会议的详细记录、资金申请表、公司指南、年度报告等。面谈也是另外一种获取重要信息资源的渠道。第6章风险分析本章首先介绍了风险分析的特点和内容，之后介绍了风险分析的流程，最后介绍了风险分析的方法。6.1风险分析概述风险分析的概念：风险分析是在风险识别的基础上，结合企业特定条件(如企业规模、经营战略等)，运用定量或定性方法进一步分析风险发生的可能性和对企业目标实现的影响程度，并对风险的状况进行综合评价，以便，为制定合理的风险应对策略提供依据。风险分析是风险应对的基础，没有客观、充分、合理的风险分析，风险应对将无法达到预期效果。风险分析的特点：1）风险分析是对风险的综合分析；2）风险分析离不开特定的国家和制度；3）风险分析受到企业管理层和各级员工风险偏好、管理水平的影响。风险分析的内容1）风险因素分析内部因素和外部因素都会影响企业目标的实现程度，尽管有些因素对于一个行业中的企业而言是共同的，但是更多的因素对于特定的主体而言却是特有的。管理层在进行风险分析时应着重关注这些特有的因素，结合本企业的规模、经营的复杂性等，分析风险发生的可能性和影响。一般来说，企业应当结合自身情况，着重从战略风险、财务风险、市场风险、运营风险、法律风险等方面进行分析国务院国有资产监督管理委员会：国务院国有资产监督管理委员会：《中央企业全面风险管理指引》，2006。2）风险发生的可能性和影响程度分析明确风险发生的可能性和影响程度是风险分析的两大核心任务。可能性表示一个给定事项将会发生的概率，影响程度则代表它的后果。风险发生的可能性分析是指假定企业不采取任何措施，以此来影响经营管理过程，将会发生风险的概率。风险可能性分析的结果一般有“极低”、“低”、“中等”、“高”和“极高”五种情况。影响程度分析主要是指对目标实现的负面影响程度分析，也即对风险事故可能造成的损失值的分析。按照可能的影响结果（通常是量化成数值），一般将风险划分为“不重要”、“次要”、“中等”、“主要”和“灾难性”五级。3)风险之间的关系分析除了对单项风险分别进行分析，还要考虑各单项风险综合起来的总体效果。另外，企业在分析多项风险时，应根据风险发生可能性分析和影响程度分析的结果，绘制风险坐标图，对各项风险进行比较，初步确定各项风险的管理优先顺序和应对策略。6.2风险分析的流程——建立风险分析流程风险分析流程是指，识别风险分析过程中所有必要的活动，确定这些活动的顺序和相互关系，准确地描述，并形成书面化的文件，加以实施和监控的过程风险分析的基本流程包括分析策划、收集风险数据、选择分析技术和方法、综合分析实施阶段、撰写风险分析报告、建立风险分析数据库等基本活动。同时，为保证风险分析流程的有效运行，必须对流程的各个环节进行规定，提出明确具体的责任目标及分析要求。对于风险分析活动过程应进行必要的记录，相关记录也应该加以存档。——分析策划1）风险分析参与人员的结构与技能要求；2）风险分析策划的时机；3）风险分析所需的相关信息及来源；4）风险分析的相关技术与方法（包括定量分析和定性分析）。——收集风险数据一般来讲，这些资料来源有以下几个方面：1）宏观数据；2）行业数据；3）专家数据；4）历史数据——选择分析技术和方法1）定性分析方法定性分析是指对风险的影响和可能性以定性的方式进行描述。定性分析方法是目前风险分析中采用比较多的方法，在不要求做定量分析时，或者定量分析所需的充分、可靠地数据实际上无法取得，以及获取这些数据不符合成本效益原则时，管理者通常采用定性分析的方法。2）定量分析方法在可以获得充分、准确的数据和有必要实施定量评估的情况下，选择定量评估技术分析风险是适当的。3）定性与定量相结合理论上讲，通过定量分析可以对风险进行精确分析，而且定量分析的结果很直观，容易理解。但定量分析法的应用是以可靠的数据为前提的。事实上，在信息系统日益复杂多变的今天，定量分析所依据的数据的可靠性是很难保证的，再加上数据统计缺乏长期性，获得更多的数据需要更高的成本，这就给定量分析的细化带来了很大的困难。此外，定量分析法虽然较精确，但许多非计量因素无法考虑。与定量分析相比较，定性分析的可行性较好但精确度不够。定性分析虽然可以将一些非计量因素考虑进去，但估计的准确性在很大程度上受分析人员的经验和能力的影响，这不可避免地使风险分析结果因人而异，带有一定的主观随意性，且定性分析的结果也很难有统一的解释。因此，风险分析中，定量分析方法与定性分析方法的结合是必要的，两者可以互补其不足。企业可以依据自身的风险情况采用具体的结合形式。——综合分析实施阶段风险分析的参与者一般由企业（风险管理部门）组织有关职能部门和业务单位实施，也可聘请有资质、信誉好、风险管理专业能力强的专门机构（比如，专门的风险管理咨询公司等）协助实施。不同分析组织的优势与劣势 由风险管理部门负责由专业机构负责优势更直接的管理控制对于内部运作和情况有很好的了解敏感性信息的保密性较高能更快开展工作有强大的后台支撑，包括风险管理方法、技术和专业人员等能灵活配置人员和技术组合更易掌握风险管理的成本劣势准备时间很长，包括人员安排与培训等不易掌握最新的风险管理方法和工具对风险管理实施方法的需求波动缺乏弹性处理可能导致管理层对风险管理监控责任感的降低了解企业的运营和流程需要时间——撰写风险分析报告风险分析报告至少包括以下内容：1）风险可能性；2）风险影响程度；3）风险重要性评级；4）综合风险地图，以此初步确定对各项风险的管理优先顺序和策略，并制定管理风险的应对方案。——建立风险分析数据库把风险分析过程的数据或记录加以保存，使之成为企业风险管理数据库的重要组成部分。6.3风险分析的方法6.3.1风险坐标图风险坐标图是把风险发生可能性的高低、风险发生后对目标的影响程度，作为两个维度绘制在同一个平面上（即绘制成直角坐标系）。一般来说，风险坐标系的横轴表示风险对目标的影响程度，纵轴表示风险发生可能性的高低。对风险发生可能性的高低、风险对目标影响程度进行定性或定量评估之后，依据评估结果绘制风险坐标图。绘制风险坐标图的目的在于对多项风险进行直观的比较，从而确定对各项风险进行管理的优先顺序和策略。6.3.2敏感性分析敏感性分析是通过分析，预测项目主要因素发生变化时对经济评价指标的影响，从中找出敏感因素，并确定其影响程度。敏感性分析的步骤：（1）选择评价指标作为敏感性分析的对象；（2）选择敏感性分析的风险因素；（3）确定系统目标对各种敏感性因素的敏感程度；（4）经分析比较找出最敏感因素，并对风险情况作出判断。敏感性分析方法容易理解，使用广泛且方便，是一种实用性很强的风险分析方法。但也有其弱点，该方法需要使用准确的企业内部数据，而且当因变量随多个自变量变化时，就难以确定每个变量对其的影响。此外，该方法要求每一关键变量的变化是相互独立的，仅仅考虑独立的因素是不现实的，因为它们往往是相互影响的。6.3.3情景分析情景分析法又称脚本法或者前景描述法,是假定某种现象或某种趋势将持续到未来的前提下,对预测现象可能出现的情况或引起的后果作出预测的方法。情景分析的设计是一个复杂而且困难的过程，其主要步骤如下：1）定义情景；2）推断风险因子；3）制定应对措施；4）定期评估情景。情景分析法适用于对可变因素较多的项目进行风险预测和识别。它在假定关键影响因素有可能发生的基础上，构造出多种情景，提出多种未来的可能结果，以便采取适当措施防患于未然。6.3.4蒙特卡罗法蒙特卡罗方法是一种随进模拟数学方法。该方法用来分析评估风险发生可能性、风险的成因、风险造成的损失或带来的机会等变量在未来变化的概率分布。由于蒙特卡罗随机模拟法依赖于模型的选择，因此，模型本身的选择对于蒙特卡罗方法计算结果的精度影响甚大。蒙特卡罗随机模拟法计算量很大，通常借助计算机完成。6.3.5关键风险指标法关键风险指标法是对引起风险事件发生的关键成因指标进行管理的方法，具体操作步骤如下：1）分析风险成因，从中找出关键成因。2）将关键成因量化，确定其度量，分析确定导致风险事件发生（或极有可能发生）时该成因的具体数值。3）以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定数值后形成新的数值，该数值即为关键风险指标。4）建立风险预警系统，即当关键成因数值达到关键风险指标时，发出风险预警信息。5）制定出现风险预警信息时应采取的风险控制措施。6）跟踪监测关键成因数值的变化，一旦出现预警，即实施风险控制措施。该方法既可以管理单项风险的多个关键成因指标，也可以管理影响企业主要目标的多个主要风险。使用该方法，要求风险的关键成因分析准确，且易量化、易统计、易跟踪监测。6.3.6风险价值法风险价值（ValueatRisk，简称VaR），是指在正常的市场条件和给定的置信水平上，在给定的特有期间内，某一投资组合预期所面临的潜在的最大损失金额。或者说，在正常的市场条件和给定的时间段内，该投资组合发生VaR损失的概率为给定的概率水平(置信水平)。计算VaR常用的方法主要有3种，分别是历史模拟法、方差-协方差法和蒙特卡罗模拟法。VaR的特点主要有：首先，VaR值可以用来简单明了地表示市场风险的大小，单位是人民币、美元或其他货币单位，没有任何技术色彩，没有任何专业背景的投资者和管理者都可以通过VaR值对金融风险进行评判；其次，可以事前计算风险，不像以往风险管理的方法都是在事后衡量风险大小；最后，不仅能计算单个管理工具的风险，而且能计算由多个管理工具组成的投资组合风险，这是传统风险管理所不能做到的。但是VaR本身仍存在一定的局限性，而且中国金融市场现阶段与VaR所要求的有关应用条件也存在一定距离。因此VaR法的使用应当与其他风险衡量和管理技术、方法相结合。6.3.7压力测试压力测试，是指在具有极端影响事件的情景下，分析评估风险管理模型或内部控制流程的有效性，发现问题，制定改进措施的方法。极端情景是指在非正常情况下，发生概率很小，而一旦发生，后果十分严重的事情。它与情景分析中关注一个更正常规模的变化相反，压力测试一般被用作概率度量方法的补充。用来分析那些通过与概率技术一起使用的分布假设可能没有充分捕捉到的低可能性、高影响力的事件的结果。应当指出的是，情景测试和压力测试并不意味着捕捉可能发生的“绝对最坏”的情况（事情总是可能变得更坏），而是给出了在高层管理者心目中可能发生的最严重事件。另外，压力测试的缺点之一是它只专注于极端不利的事件，而不能捕捉不那么极端但更可能发生的不利事件的影响。第7章风险应对本章首先介绍了风险应对的定义、原则与决策程序，然后重点阐述了风险应对的四种策略以及风险应对策略的选择，最后介绍了企业主要风险的应对方案。7.１风险应对的原则与决策程序7.1.1风险应对的原则1）战略目标导向原则2）经济性原则3）客观性原则4）满意性原则5）重要性原则7.1.2风险应对的决策程序1）制定风险应对策略和方案2）评估风险应对策略和方案(1)评价备选方案的预期效果(2)评估方案实施的成本与效益3）确定风险应对策略和方案7.2风险应对策略风险应对策略是指企业基于内外环境以及企业发展战略，根据企业自身风险偏好、风险承受度而确定风险管理所需资源的总体配置原则。7.2.1风险规避风险规避是指根据企业的风险偏好、风险承受能力以及企业自身战略目标，结合管理者对某项风险发生的可能性或影响的预计，以及对企业风险容限的限定，而采取中止、放弃或拒绝可能诱发风险事项的策略。风险规避是风险应对策略中相对比较简单且消极的处理方法。风险规避的优势主要有：(1)能够做到事前控制，不仅能够在风险事件发生后止损，更能有效降低风险发生的概率，从源头避免可能遭受的损失；(2)风险规避策略通过限制企业经营和管理行为，有效防止了企业盲目投资及非理性经营活动，从而节约了企业资源。风险规避的不足主要有：(1)企业可能因完全放弃某事项而丧失可能盈利的机会；(2)有些风险无法规避，如世界性的经济危机、能源危机、自然灾害等基本风险。风险规避的适用情况：(1)某项经营活动风险发生的可能性很高或风险影响程度超出企业可防范和控制的范围。(2)在企业为实现某项目标而有多种备选方案，且各方案的风险程度不同时，企业可以放弃高风险方案从而规避风险。(3)当企业进行某项活动的过程中遇到难以克服的风险因素时，可以采取措施规避风险。(4)当采用其他风险应对策略的成本高于其效益时，可以采用风险规避。7.2.2风险降低风险降低，又称风险抑制，是指企业在充分进行风险识别与分析的基础上，结合成本效益原则，有意识地接受经营管理中的风险，并以谨慎的态度采取适当的控制措施，以降低风险发生概率或减小损失的风险应对策略。风险降低分为风险分散、风险分摊以及企业内部活动控制三种方式。风险分散是指将企业面临的风险划分为若干个较小而价值低的独立单位，分散在不同的空间，以减少企业将遭受的风险损失的程度。其目的是减少任何一次损失发生造成的最大可能损失的幅度。风险分摊是指基于企业的风险承受能力，以及企业风险识别与分析的结果，管理者认为风险的影响超出了企业