企业内部控制与风险管理

第57页共57页━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━企业内部控制(风险管理)制度设计与评价专题讲座引：全球金融危机中的中国企业风险管理【相关媒体报道摘录】2007年美国抵押贷款风险引发的全球性金融风暴及其对我国企业的影响目前世界上最热门的名词：次贷危机次贷危机(subprimelendingcrisis)又称次级房贷危机，也译为次债危机。它是指一场发生在美国，因次级抵押贷款机构破产、投资基金被迫关闭、股市剧烈震荡引起的风暴。它致使全球主要金融市场隐约出现流动性不足危机。美国“次贷危机”是从2006年春季开始逐步显现的。2007年8月席卷美国、欧盟和日本等世界主要金融市场，印发了一场全球金融风暴。一、危机出现：2007年美国抵押贷款风险浮出水面曾经被视作美国经济增长最大引擎的房地产业，在2007年以前的五年中不仅拉动了与建筑业相关的产业增长，更成为许多市场蓬勃兴旺的主要推动力，这其中就包括如滚雪球般逐年扩大的美国住房抵押贷款市场。伴随房地产市场降温，有关抵押贷款风险的问题越来越成为人们关注的焦点，也频频见诸报端。这个此前仍处于潜在担忧层面的风险更是以英国汇丰控股突发盈利预警的形式第一次真正浮出水面。2007年2月7日由于次级抵押贷款只是汇丰控股诸多业务中的一个方面，因此汇丰股价所受影响算不上惊天动地。然而，汇丰公告对于整个美国抵押贷款市场来说却无异于平地惊雷，投资者似乎从中看到了不祥的信号，许多主营次级抵押贷款业务的金融机构股价在8日集体跳水。当天活跃于美国的七家次级抵押贷款发放机构的总市值缩水了37亿美元。糟糕的是，人们担心的远不只是几家抵押贷款发放机构的股价涨跌。近年来抵押贷款证券化的发展使得这一市场日益庞大而复杂，以购买证券方式投资抵押贷款的市场参与者从数目到种类上都在急速上升。人们更担心，一小条裂缝有可能引发极具杀伤力的地震。美国最大的抵押贷款放贷机构之一富国银行首席执行官科瓦切维奇在接受记者采访时坦言，大家(包括美联储在内)谁都不清楚的就是现在这些抵押贷款证券究竟是什么人在持有。最好这种持有是非常分散的，否则后果将不堪设想。相比之下，放贷机构本身的风险较为透明。通过抵押贷款证券化，放贷机构可以分散风险，从而有能力发放更多贷款，但是把抵押贷款证券化并不能彻底解除他们的风险。事实上，放贷机构发行抵押贷款证券的时候，合同中通常都包括这样一个条款，即如果借款人在最初的还款周期中就无法按时偿付，投资者可以迫使放贷机构回购这些证券。这样，一旦坏账率高企，大量回购抵押贷款证券将在瞬间之内增大放贷机构的财务负担。事实上，过去两个月中美国已经有一些规模较小的次级贷款放贷机构因此而破产倒闭。而瑞士第一信贷上周三发布的一份报告显示，截至12月份，2006年美国有四分之一的次级抵押贷款合同出现了至少8%的坏账率。应该说，造成今天美国抵押贷款市场风险积聚的原因有很多。但是追根溯源，新的市场参与者出于逐利目的而过分追求高风险贷款这一条最难逃干系。就在三年前，美国的抵押贷款市场还是由政府支持的房利美和房迪美这两家公司主宰。这两家公司将贷款打包成证券，承诺投资者能够获得本金和利率。然而，伴随这两大公司财务丑闻的爆发，其他投资者蜂拥而入这一市场，抢夺原本可能由这两大公司购得的贷款。其结果就是，房利美和房迪美在美国抵押贷款市场中的份额一泻千里，到去年底已经从2003年的70%降到了40%。在这两大公司扮演垄断性角色的时候，他们通常会制定明确的放贷标准，严格规定哪些类型的贷款可以发放。而现在，由于全球各地成千上万高风险偏好的对冲基金、养老金基金以及其他基金的介入，原有的放贷标准在高额利率面前早已成为一纸空文，新的市场参与者不断鼓励放贷机构尝试各种各样的贷款类型。许多放贷机构甚至不要求次级贷款借款人提供包括税收表格在内的财务资质证明；在做房屋价值评估时，放贷机构也更多地依赖机械的计算机程序而不是评估师的结论。在所有的人都沉浸在对高额回报的憧憬中时，风险也就悄无声息地膨胀起来。在房市高热的时候，这些贷款的风险并不高，坏账率也始终保持在极低的水平。原因很简单，在借款人感到无力偿还贷款时，他完全可以通过出售房屋还清欠款，再凭借更宽松的条款获得新的贷款。然而，随着美国房价渐趋平抑，部分地区房价甚至开始下降，这种贷款立刻成为高危品种。一方面房子出手越来越难，另一方面卖房所得也未必能够帮助借款人还清贷款。其结果就是，还不起债的人多了，坏账率上升了。数据显示，去年11月，在美国被打包成抵押贷款证券的次级贷款中，有近13%的贷款逾期60天以上无法偿还，这一比例较上年同期上扬了8.1%。上述情形一旦发生恶化，则美国监管机构将面临巨大难题。毕竟，人们再不能奢望美联储在1998年紧急援助长期资本管理公司时所采取的大手笔了。在眼下这个高度分割的抵押贷款证券市场，没有哪个机构能把所有的市场参与者都集中起来，帮助“遇难”机构化险为夷。人们惟一能够期待的恐怕就是吸取教训，别再让错误重新上演。美国次贷危机—→全球金融危机(一)美国次贷危机—→全球金融危机(二)二、席卷美国的金融风暴2007-02：抵押贷款风险浮出水面2007-04：美国3月成屋销量大跌2007-08：全球金融市场震荡2007-08：欧美股市全线暴跌2007-08：贝尔斯登总裁辞职2008-01：金融机构相继爆巨亏2008-03：美联储2000亿美元救市2008-06：贝尔斯登被收购2008-07：危机扩散至美国银行业2008-09：美国政府接管“两房”2008-09：雷曼兄弟破产2008-09：十大银行设700亿基金2008-09：美国银行收购美林2008-09：美国政府接管AIG2008-09：各央行联手注资2470亿2008-09：美政府7000亿救市计划2008-09：高盛大摩变身传统银行2008-09：华盛顿互惠银行破产三、美国的金融风暴——波及中国(一)三大漩涡金融海啸的威力已是无人不晓，但这场灾难，对于中国企业到底危害在哪里?1.首先是金融市场。漩涡的中心在美国，殃及欧洲，中国处于边缘地位，所以直接的财富损失微乎其微。2.其次是消费市场。漩涡的中心也是在美国。由于美国的过度消费和中国的过剩产能相互依存，中国处于次中心地位，经济增长中的出口贡献度将从2007年的高峰进入2009-2010年的低谷，直接影响估计会占到中国GDP增长速度的3%～4%。3.再次是资产估值。这是一个巨大的漩涡，中心覆盖面远远超过美国欧洲，中国企业在这个层次中的财富损失远大于前两个漩涡。(二)直接影响1.美国消费减少影响中国出口：雷曼兄弟公司的倒闭和美林公司被收购与始自去年的次贷危机一脉相承，在众多专家看来，这个事件仅是整个危机过程中泛起的一朵浪花，不应该被孤立看待，其对中国经济的冲击实际上也是次贷危机对中国宏观经济影响的延续。可以从出口和进口两个方面来理解这次危机对我国的影响。出口方面：可以预料的是我国宏观经济的外部环境将由于此次席卷华尔街的金融风暴而更显严峻。海关总署的进出口数据显示，2008年前8个月，我国外贸出口额的增幅下行放缓的趋势明显，由于美国是中国商品最大的出口市场，一度在6-7月份冲高的中国外贸出口增速又将遭遇考验，外需下降意味着外国消费者对高附加值产品和低附加值产品需求的同时下降。在这种环境下，出口商很可能没有动力革新技术，而是被迫通过压低产品价格去维持市场份额，这可能导致中国出口企业贸易条件的进一步恶化。进口方面：受此次金融危机的冲击，美国经济在下半年仍有下滑的可能，从而导致其国民消费能力和消费欲望继续降低，而投资支出将出现增加，“这对中国的外贸出口并不是一个利好消息”，如果美国国民的消费需求减少而制造业因投资增加而逐渐恢复活力，那么势必减少从中国进口商品的数量。(2)加大国内进口商品成本：进口方面，由金融风暴带来的冲击则与美元汇率密切相关，目前国际市场上大宗商品几乎都以美元定价，美元走势的强弱决定了大宗商品价格走势的高低，从可以观察到的数据来看，由于近期美元逐渐反转走强，原油、铁矿石等商品的价格显现下降趋势，这对需要大量资源性产品的中国来说本属利好消息，然而雷曼兄弟公司破产倒闭、美林公司被收购不期而至，再加上一周前被美国政府宣布接管的“两房”，美国金融市场反复动荡严重影响到美元汇率的走势和持有者的信心。虽然美国经济形势在二季度表现优于预期，体现出了足够的韧性，但这是由于美元弱势所带来的强劲出口所致，因此，在金融风暴袭来，国内需求更趋疲弱的情况下，美国政府将继续推动“弱势美元”下的出口，给美联储预留出进一步降息的空间。虽然中长期还是看好美国经济走强和美元汇率走高，但是短期内弱势美元的政策似乎已被市场所认可，如此一来，原油、铁矿石等资源性产品的价格将被再度推高，我国进口以美元计价的大宗商品付出的成本也大为增加。(3)重创国内金融市场信心：中央财经大学中国银行业研究中心主任郭田勇：雷曼兄弟公司破产是美国次债危机的延续，带给金融机构的损失和震动相当大，华尔街五大投行拥有强大的投资和研究团队，资产超过数千亿美元，信息资源也极为丰富，这样大型的投行也纷纷倒闭，说明了此次危机的严重性。“不同的金融机构出现了不同程度的损失，有所区分的只是损失额度大小，像雷曼兄弟，还包括前面被美国政府接管的“两房”和3月份被摩根大通收购的贝尔斯登等，但与其估算投资者的直接损失不如考量对金融市场的信心打击。具体到中国而言，影响在两个层面上，第一个层面是市场信心，美国出大问题的机构相继破产，给中国的投资者心理蒙上了一层阴影。可以获得印证的是，雷曼兄弟公司破产消息传来的次日，正值A股结束中秋三天假日开市，沪深两市银行板块全线暴跌，其表现只能以“惨不忍睹”来形容，其中，工商银行跌9.95%，建设银行跌9.94%，中国银行跌9.17%。在多方利空消息的垂直打击之下，沪深两市银行股全天放量大跌超过9.0%，多达8家银行股跌停。招商银行持有雷曼兄弟公司发行的债券敞口共计7000万美元，其中，高级债券6000万美元，次级债券1000万美元，并且公司尚未对上述债券提取减值准备。(4)给国内金融机构带来直接损失：雷曼兄弟破产给国内金融机构带来的直接影响，包括两方面：一方面，我国的金融机构、投资者持有较多的次级债券，形成实际损失；另一方面，金融危机导致美国出现衰退，它会传导到中国来。对持有大量美国金融机构股票和基金的中国银行业的担心。根据破产文件显示，雷曼兄弟前30大无抵押债权人主要是亚洲金融机构，包括日本的Aozora银行、中央三井信托、住友三井金融、瑞穗实业银行、信金中央金库、国内金融机构中中国银行再度被牵涉其中。据报道，雷曼对日本Aozora银行欠款额达4.62亿美元，对瑞穗实业银行欠款额达3.82亿美元，对花旗集团香港子公司欠款额约为2.75亿美元，而中国银行纽约分行也曾主导给雷曼贷款5000万美元。●中资银行拥有雷曼资产《市场报》报道，到目前为此，七家上市银行持有雷曼资产共7.2164亿美元，占各大银行资产比例较小，因此，雷曼破产所造成的直接影响有限。但是，从三大银行今年中报数据来看，中国银行的美元资金达到了1.2119万亿元人民币；三大上市中资行的海外美元资产达到3000多亿美元。由此看来，中国银行无疑成为中国内地最大的美元资产债权人，在这1.2119万亿元人民币中，交易类金融资产、可供出售类金融资产和持有到期类投资的数目分别达到273.92亿元、2896.77亿元和953.56亿元；另有5.38亿元应收款项债券投资。■外汇储备受冲击更大中信资产管理有限公司总经济师吴宝起分析，中国外汇储备、金融机构、企业在美国的投资主要投向债券，美国这些金融机构一旦破产，其债券及其他投资品的价值就急速下滑，市场风险极大。目前美国经济衰退已现端倪，一旦出现资本大逃亡，美元储备越多的国家损失也越大，而中国的外汇储备非常多，损失是不可低估的。吴宝起说：“类似雷曼这样的美国金融机构，许多都在中国有投资的公司和项目。一旦在华尔街的母公司出了问题，肯定会影响到在中国的投资、合作项目。如果这些公司大量出售在中国的资产，大量资金从中国汇出去的话，短期内给中国外汇市场冲击也较大。”四、全球金融危机中的中国企业风险管理(略)一、国内外最新内部控制制度(风险管理)理论研究成果介绍(一)COSO《内部控制——整体框架》1.关于COSO委员会(COSO官方网站的英文简介)Originallyformedin1985tosponsortheNationalCommissiononFraudulentFinancialReporting,COSOisavoluntaryprivatesectororganizationdedicatedtoimprovingthequalityoffinancialreportingthroughbusinessethics,effectiveinternalcontrols,andcorporategovernance.COSOcomprisesTheAmericanAccountingAssociation(AAA),TheAmericanInstituteofFinancialExecutivesInternational(FEI),TheInstituteofTheInstituteofInternalAuditors(IIA).2.《内部控制——整体框架》(InternalControl—IntegratedFramework)1992年，美国“反对虚假财务报告委员会”下属的由美国会计学会、注册会计师协会、国际内部审计师协会、财务经理协会和管理会计学会等组织参与的“发起组织委会”(Committee

of

Sponsoring

Organizations

of

TreadwayCommission)发布了内部控制的最新准则《内部控制—整体框架》(Internal

control－integrated

framework)，并于1994年进行了修订，这就是著名的“COSO报告”。COSO报告首次把内部控制从原来的平面结构提升为立体结构，是内部控制理论研究的历史性突破，代表了内部控制研究的最高水平，也是当今世界最权威、使用面最广的内部控制准则，被人们形象地称作内部控制的“圣经”。主要内容包括：(1)关于内部控制的定义(COSO官方网站的英文定义)COSOdefinesinternalcontrolasaprocess,effectedbyanentity’sboardofdirectors,managementandotherpersonnel.Thisprocessisdesignedtoprovidereasonableassuranceregardingtheachievementofobjectivesineffectivenessandefficiencyofoperations,reliabilityoffinancialreporting,andcompliancewithapplicablelawsandregulations.Internalcontrolisaprocess.Itisameanstoanend,notanendinitself.Internalcontrolisnotmerelydocumentedbypolicymanualsandforms.Rather,itisputinbypeopleateverylevelofanorganization.Internalcontrolcanprovideonlyreasonableassurance,notabsoluteassurance,toanentity’smanagementandboard.Internalcontrolisgearedtotheachievementofobjectivesinoneormoreseparatebutoverlappingcategories.COSO报告将内部控制定义为：“由一个企业的董事长、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：经营的效果和效率；财务报告的可靠性；符合适用的法律和法规”。在这个定义中，有四个关键词值得注意：●目标(objectives)●人(personnel)●过程(process)●合理保证(reasonable

assurance)。也就是说，内部控制以过程为导向；受人的因素影响；受目标的驱动；存在局限性，即内部控制所提供的是合理的保证而非绝对的保证。(2)关于内部控制的构成要素COSO报告提出了内部控制的五个构成要素，即所谓的“五要素论”，它们分别是控制环境、风险评估、控制活动、信息与沟通、监控。①控制环境(Control

Environment)COSO报告把控制环境作为内部控制系统的首要因素，认为控制环境是一个企业进行内部控制的氛围，是其它控制成份的基础。具体包括以下内容：Ⅰ员工的诚实性和道德观，如有无描述可接受的商业行为、利益冲突、道德行为标准的行为准则；Ⅱ员工的胜任能力，如雇员是否能胜任质量管理的要求；Ⅲ董事会或审计委员会，如董事会是否独立于管理层；Ⅳ管理哲学和经营方式，如管理层对人为操纵的或错误的记录的态度。Ⅴ组织结构，如信息是否到达合适的管理阶层。Ⅵ授予权利和责任的方式，如关键部门的经理的职责是否有充分规定。Ⅶ人力资源政策和实施，如是否有关于雇佣、培训、提升和奖励雇员的政策。②风险评估(Risk

Assessment)COSO报告认为，风险评估指管理层识别并采取相应行动来管理对经营、财务报告、合规性目标有影响的内部或外部风险，包括风险识别和风险分析。风险识别包括对外部因素(如技术发展、竞争、经济变化)和内部因素(如员工素质、公司活动性质、信息系统处理的特点)进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性、考虑如何管理风险等。③控制活动(Control

Activities)控制活动是企业内部控制的实质性要素，是依托于控制环境进行的实际控制行为。COSO报告认为，控制活动指对所确认的风险采取必要的措施，以保证单位目标得以实现的政策和程序。实践中，控制活动形式多样，可将其归结为以下几类：Ⅰ业绩评价，是指将实际业绩与其他标准比较。Ⅱ信息处理，指保证业务在信息系统中正确、完全和经授权处理的活动。Ⅲ实物控制，也称为资产和记录接近控制，这些控制活动包括实物安全控制、对计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。Ⅳ职责分离，指将各种功能性职责分离，以防止单独作业的雇员从事或隐藏不正常行为。一般来说，下面的职责应被分开：ⅰ业务授权(管理功能)ⅱ业务执行(保管职能)ⅲ业务记录(会计职能)ⅳ对业绩的独立检查(监督职能)。理想状态的职责分离是，没有一个职员负责超过一个的职能。④信息与沟通(Information

and

Communication)信息与沟通，指为了使职员能执行其职责，企业必须识别、捕捉、交流外部和内部信息。外部信息包括市场份额、法规要求和客户投诉等信息。内部信息包括会计制度，即由管理当局建立的记录和报告经济业务和事项，维护资产、负债和业主权益的方法和记录。有效的会计制度应是：Ⅰ包括可以确认所有有效业务的方法和记录；Ⅱ序时详细记录业务以便于归类，提供财务报告；Ⅲ采用恰当的货币价值来计量业务；Ⅳ确定业务发生时期以保证业务记录于合理的会计期间，在财务报告中恰当披露业务。(5)监控(Monitoring)COSO报告认为，监控指评价内部控制质量的过程，即对内部控制改革、运行及改进活动进行评价。监控实际上是企业对内部控制实施效果进行评价的过程，是企业站在更高的整体的层面对其他控制要素的整合及调适，是独立的、进一步的控制活动，因而是企业完整的内部控制系统必不可少的后续要素。(6)整体框架(Whole

Framework)上述五大要素之间具有紧密的关系：控制环境是其他控制成份的基础，在规划控制活动时，必须对企业可能面临的风险有细致的了解和评估；而风险评估和控制活动必须借助企业内部信息有效的沟通；最后，实施有效的监控以保障内部控制的实施质量。五大要素实际上构成了内部控制的立体框架模式，如图所示。(英文版)监控监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1(中文版)■COSO《内部控制——整体框架》的影响：Ⅰ美国：是美国证券交易委员会唯一推荐使用的内部控制框架，同时《萨班斯法案》第404条款的「最终细则」也明确表明COSO《内部控制——整体框架》可以作为评估企业内部控制的标准；美国注册会计师协会、国际内部审计师协会、美国审计署等均接受。Ⅱ国内：接受COSO《内部控制——整体框架》的政府部门和行业协会包括财政部及其所属的中国注册会计师协会、会计准则委员，审计署及其所属的中国内部审计协会、中国证券监督管理委员会及其管辖的深圳证券交易所、上海证券交易所，中国银行业监督管理委员会、香港联合交易所有限公司等等。(二)COSO《企业风险管理——整合框架》【COSO的《企业风险管理—整合框架》(COSO官方网站的简体中文版)】企业风险管理—整合框架(内容摘要)企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性，管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时，要确定承受多大的不确定性。不确定性可能会破坏或增加价值，因而它既代表风险，也代表机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会，增进创造价值的能力。当管理当局通过制订战略和目标，力求实现增长和报酬目标以及相关的风险之间的最优平衡，并且在追求所在主体的目标的过程中高效率和有效地调配资源时，价值得以最大化。企业风险管理包括：•协调风险容量(riskappetite)(也有人将其翻译为“风险偏好”、“风险需求”、“风险承受能力”等—译者注)与战略—管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在主体的风险容量。•增进风险应对决策—企业风险管理为识别和在备选的风险应对—风险回避、降低、分担和承受—之间进行选择提供了严密性。•抑减经营意外和损失—主体识别潜在事项和实施应对的能力得以增强，抑减了意外情况以及由此带来的成本或损失。•识别和管理多重的和贯穿于企业的风险—每一家企业都面临影响组织的不同部分的一系列风险，企业风险管理有助于有效地应对交互影响，以及整合式地应对多重风险。•抓住机会—通过考虑全面范围内的潜在事项，促使管理当局识别并积极地实现机会。•改善资本调配—获取强有力的风险信息，使得管理当局能够有效地评估总体资本需求，并改进资本配置。企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标，防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规，还有助于避免对主体声誉的损害以及由此带来的后果。总之，企业风险管理不仅帮助一个主体到达期望的目的地，还有助于避开前进途中的隐患和意外。事项—风险与机会事项可能会带来负面的影响，也可能会带来正面的影响，抑或二者兼而有之。带来负面影响的事项代表风险，它会妨碍价值创造或者破坏现有价值。带来正面影响的事项可能会抵消负面影响，或者说代表机会。机会是一个事项将会发生并对目标—支持价值创造或保持—的实现产生正面影响的可能性。管理当局把机会反馈到战略或目标制订过程中，以便制订计划去抓住机会所定义的企业风险管理企业风险管理处理影响价值创造或保持的风险和机会，定义如下：企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。这个定义反映了几个基本概念。企业风险管理是：•一个过程，它持续地流动于主体之内；•由组织中各个层级的人员实施；•应用于战略制订；•贯穿于企业，在各个层级和单元应用，还包括采取主体层级的风险组合观；•旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；•能够向一个主体的管理当局和董事会提供合理保证；•力求实现一个或多个不同类型但相互交叉的目标。这个定义比较宽泛。它抓住了对于公司和其他组织如何管理风险至关重要的关键概念，为不同组织形式、行业和部门的应用提供了基础。它直接关注特定主体既定目标的实现，并为界定企业风险管理的有效性提供了依据。目标的实现在主体既定的使命或愿景(vision)(也有人将其翻译为“远景”、“远景规划”、“长远构想”等—译者注。)范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的以下四种类型的目标：•战略(strategic)目标—高层次目标，与使命相关联并支撑其使命；•经营(operations)目标—有效和高效率地利用其资源；•报告(reporting)目标—报告的可靠性；•合规(compliance)目标—符合适用的法律和法规。对主体目标的这种分类可以使我们关注企业风险管理的不同侧面。这些各不相同但却相互交叉的类别—一个特定的目标可以归入多个类别，反映了主体的不同需要，而且可能会成为不同管理人员的直接责任。这个分类还有助于区分从每一类目标中能够期望的是什么。一些主体采用的另一类目标—保护资源也包含在上述类别之内。因为有关报告的可靠性和符合法律、法规的目标在主体的控制范围之内，所以可以期望企业风险管理为实现这些目标提供合理保证。但是，战略目标和经营目标的实现取决于并不一定总在主体控制范围之内的外部事项，对于这些目标而言，企业风险管理能够合理地保证管理当局和起监督作用的董事会及时地了解主体朝着实现目标前进的程度。企业风险管理的构成要素企业风险管理包括八个相互关联的构成要素。它们来源于管理当局经营企业的方式，并与管理过程整合在一起。这些构成要素是：•内部环境—内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。•目标设定—必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。•事项识别—必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。•风险评估—通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。•风险应对—管理当局选择风险应对—回避、承受、降低或者分担风险—采取一系列行动以便把风险控制在主体的风险容限(risktolerance)(也有人将其翻译为“风险容忍度”、“风险承受力”等—译者。)和风险容量以内。•控制活动—制订和执行政策与程序以帮助确保风险应对得以有效实施。•信息与沟通—相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。•监控—对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。目标与构成要素之间的关系目标是指一个主体力图实现什么，企业风险管理的构成要素则意味着需要什么来实现它们，二者之间有着直接的关系。这种关系可以通过一个三维矩阵以立方体的形式表示出来。(英文版)四种类型的目标—战略、经营、报告和合规—用垂直方向的栏表示，八个构成要素用水平方向的行表示，而一个主体内的各个单元则用第三个维度表示。这种表示方式使我们既能够从整体上关注一个主体的企业风险管理，也可以从目标类别、构成要素或主体单元的角度，乃至其中的任何一个分项的角度去加以认识。有效性认定一个主体的企业风险管理是否“有效”，是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断。因此，构成要素也是判定企业风险管理有效性的标准。构成要素如果存在并且正常运行，那么就可能没有重大缺陷，而风险则可能已经被控制在主体的风险容量范围之内。如果确定企业风险管理在所有四类目标上都是有效的，那么董事会和管理当局就可以合理保证他们了解主体实现其战略和经营目标、主体的报告可靠以及符合适用的法律和法规的程度。八个构成要素在每个主体中的运行并不是千篇一律的。例如，在中小规模主体中的应用可能不太正式，不太健全。尽管如此，当八个构成要素存在且正常运行时，小规模主体依然会拥有有效的企业风险管理。局限尽管企业风险管理带来了重要的好处，但是仍然存在着局限。除了前面讨论过的因素之外，局限还导源于下列现实：人类在决策过程中的判断可能有纰漏，有关应对风险和建立控制的决策需要考虑相关的成本和效益，类似简单误差或错误的个人缺失可能会导致故障的发生，控制可能会因为两个或多个人员的串通而被规避，以及管理当局有能力凌驾于企业风险管理决策之上。这些局限使得董事会和管理当局不可能就主体目标的实现形成绝对的保证。涵盖内部控制内部控制是企业风险管理不可分割的一部分。这份企业风险管理框架涵盖了内部控制，从而构建了一个更强有力的概念和管理工具。内部控制是在《内部控制—整合框架》中加以定义和描述的。由于该框架经受了时间的考验，并且成为现行规则、法规和法律的基础，因此那份文件对内部控制的定义和框架依然有效。尽管《内部控制—整合框架》的正文中只有一部分被本框架所引用，但是本框架通过参考的方式把该框架整体融合了进来。职能与责任主体中的每个人都对企业风险管理负有一定的责任。首席执行官(CEO)负有首要责任，并且应当假设其拥有所有权。其他管理人员支持主体的风险管理理念，促使符合其风险容量，并在各自的责任范围内依据风险容限去管理风险。风险官、财务官、内部审计师等通常负有关键的支持责任。主体中的其他人员负责按照既定的指引和规程去实施企业风险管理。董事会对企业风险管理提供重要的监督，并察觉和认同主体的风险容量。很多外部方面，例如顾客、卖主、商业伙伴、外部审计师、监管者和财务分析师常常提供影响企业风险管理的有用信息，但是他们不但不对主体的企业风险管理的有效性承担任何责任，而且也不是它的组成部分。本报告的结构本报告分两卷。第一卷包括“基本框架”和本部分“内容摘要”。“基本框架”给企业风险管理下定义，并讲述原则和概念，为企业和其他组织中的各级管理人员提供用来评价和增进企业风险管理有效性的指导。“内容提要”是一个针对首席执行官、其他高级管理人员、董事会成员和监管者的高度概括。第二卷《应用技术》(ApplicationTechniques)，讲解在应用本框架各个要素的过程中有用的技术。本报告的使用根据本报告的建议所可能采取的行动，取决于相关方面的地位和职责：•董事会—董事会应当与高级管理人员讨论主体企业风险管理的现状，并提供必要的监督。董事会应当确信知悉最重大的风险，以及管理当局正在采取的行动和如何确保有效的企业风险管理。董事会应当考虑寻求内部审计师、外部审计师和其他方面的参与。•高层管理当局—本项研究建议首席执行官评估组织的企业风险管理能力。方法之一是，首席执行官把业务单元(businessunit)领导和关键职能机构人员召集到一起，讨论对企业风险管理能力和有效性的初步评价。不管采取什么方式，初步评估应该确定是否需要以及如何进行更广泛、更深入的评价。•主体中的其他人员—管理人员和其他人员应该考虑如何根据本框架去履行他们的职责，并与更高层的人员讨论有关加强企业风险管理的看法。内部审计师应该考虑他们关注企业风险管理的范围。•监管者—本框架能增进有关企业风险管理的共识，包括它能干什么，以及它的局限。监管者在对他们所监管的主体采用规则或指南等形式设定期望，或进行检查时，可以参考本框架。•专业组织—为财务管理、审计和相关领域提供指南的规则制定机构和其他专业组织应该对照本框架去考虑它们的准则和指南。消除概念和术语方面的差别，对所有各方都有好处。•教育机构—本框架可以作为学术研究和分析的对象，以便探讨在哪些方面还能作进一步的改进。假设本报告能够被普遍接受的话，它的概念和术语应该设法进入大学的课程之中。有了这个共同理解的基础，所有各方将能够用同一种语言讲话，更有效地进行沟通。企业的执行官将能够对照一套标准去评估他们公司的企业风险管理过程，强化这个过程从而使他们的企业朝着既定的目标迈进。将来的研究可以建立在一个既定的基础之上。立法者和监管者将能够获得对企业风险管理的更深入的理解，包括它的好处和局限。如果所有各方都利用共同的企业风险管理框架，这些好处都将实现。■(简体中文翻译：中国东北财经大学方红星教授)■COSO《企业风险管理——整合框架》的影响：深圳证券交易所：《深圳证券交易所上市公司内部控制指引》(深圳证券交易所2006年9月28日发布，2007年7月1日起施行上海证券交易所：《上海证券交易所上市公司内部控制指引》(2006年6月5日，2006年7月1日起施行)(三)3C全面控制框架、3C全面风险管理标准1.3C框架—2006年3月3日，在由中国内部审计协会举办的“全面控制与风险管理”高层论坛上，中天恒会计师事务所有限责任公司、中天恒管理咨询有限公司(以下合称“中天恒”)隆重推出该所历时3年研究取得的研究成果——“中国式全面控制框架”，简称3C框架(3C是ChineseCompleteControl的第一个英文字母的缩写)，亦称3C全面控制框架。“中天恒”提出的3C全面控制框架的主要观点包括：(1)加强控制已经成为国内企事业单位面临的重大而迫切的课题。(2)国际上权威的“COSO内部控制框架”不是“圣经”。(3)美国的萨班斯法案肯定不适应中国的国情。(4)西方式的控制制度手册在中国更是水土不服。(5)全盘照抄照搬别人的控制制度是劳民伤财之举。(6)构建适合中国国情、符合国内企事业单位实际情况、具有可操作性的“中国式的全面控制框架”具有十分重要的理论和现实意义。(7)所谓中国式全面控制，就是既符合中国国情，又符合中国企事业单位实际情况，从公司治理、战略管理的高度，以风险管理为导向，对企事业单位实行全过程、全方位、全员的控制。(8)中国式全面控制框架简称“3C框架”，3C的意思是ChineseCompleteControl的第一个英文字母)(9)建立中国式的全面控制原因为我国的政治、经济、法律、文化等背景与与西方有着很大的差异。(10)中国式控制制度要与国际趋同，要大胆借鉴国际上先进理念和科学方法，但要坚持“立足国情、借鉴国际、有取有舍、为我所有”的原则，不能过于迷信西方内部控制的“圣经”，更不能将国外的标准简单直译成中文就实施。(11)全面控制，是全过程、全方位和全员的控制，应包括方方面面，是人、财、物三维之间的“无缝”整合。(12)全过程控制，是指控制应贯穿于管理过程的始终，重点强调的是控制的持续改进和不断完善。(13)全方位控制，是指控制不应仅局限于内部规章制度，而是涵盖了公司治理、战略决策、风险管理、组织文化、制度执行和责任追究等立体交叉、多角度的风险防范体系。(14)全员控制，是指控制不仅仅是内部审计机构或董事会的责任，单位中的每一个人都对控制负有责任。(15)在全面控制建设中，人人有责，但高层管理人员应承担主要责任。(16)全面控制设计和执行关键是高层领导人员。(17)全面控制，从范围看应当包括外部控制和内部控制。(18)根据中国的实际情况，单位外部控制，尤其是政府，必须建立健全相应的控制规范和控制机制，以影响和推动单位内部控制。(19)在我国现阶段，加强外部控制具有十分重要的现实意义。(20)单位内部控制不能局限于会计控制，要从公司治理、战略管理的高度，重点关注风险，内容至少还要包括管理控制。(21)建立全新的控制框架需要有破的勇气、立的胆略，要超越大家已经很熟悉的内部控制的概念，引入全面控制的概念。(22)建立全面控制框架需要引入公司治理概念，建立健全公司治理结构。(23)建立全面控制框架需要引入战略管理概念，建立健全战略决策控制。(24)建立全面控制框架需要引入风险管理概念，重点关注风险，对风险进行全过程控制等。(25)一个单位的全面控制到底包括那些内容应视单位具体情况而定，而不能模式化、固定化。(26)3C框架，是由中国式概念、目标、内容、方法、标准、指标等构成的一个有机整体。(27)3C框架其内在的逻辑关系：战略——目标——风险——控制。(28)3C框架不拘泥于某一种固定模式，永远是多模式并存的。(29)全面控制模式会计控制为主模式、治理控制为主模式、风险控制为主模式、激励和约束为主的模式，但全面控制的模式永远是多模式并存的，不可能实行一种模式，最好的全面控制模式是适应单位控制需要的模式。(30)中天恒推出的3C框架中的全面控制实质是对风险的控制，是以风险管理为导向的控制。这个控制不是结果，是过程，是持续的动态监控，要建立风险控制模型，要建立记录动态过程的台账，并随时出具监控报告。(31)中天恒推出的3C框架是一个整体框架，应分主体、分阶段、分需要逐步实施。(32)所谓分主体，就是针对不同的主体设计不同的控制制度。总体上控制主体可分非营利组织和企业。非营利组织可细分行政单位和事业单位，对事业单位还可细分教、科、文、卫等。对企业至少要按行业和规模来进行分类。(33)所谓分阶段，就是充分考虑我国整体控制现状和具体每个单位控制的实际情况，准确定位到底处在哪个阶段。(34)我国的全面控制应处于政府大力推动单位建立健全会计控制的阶段，财政部制定和颁布实施的一系列内部会计控制规范是中国式全面控制现阶段的现实选择。(35)中国企事业单位的控制制度建设差距非常大，个别单位(主要是在海外上市的企业)已经建立符合西方COSO内部控制框架的控制制度，大多数单位连会计控制制度还没有建立起来，因此，中国式的全面控制的建设应分阶段进行。(36)所谓分需要，就是应根据各单位的实际需要，建立相应的控制制度，在现阶段至少应分管理控制和会计控制。单位管理人员尤其高层管理人员特别需要的管理控制，审计人员尤其是外部审计人员需要的会计控制。(37)中国式全面控制的建立应进行明确合理的分工。(38)财政部根据其职责应重点制定和完善内部会计控制规范，进而促进单位内部会计控制建设。(39)国资委正在制定中的企业内部控制管理办法，应重点制定更加关注风险的管理控制规范，进而促进单位管理控制建设。(40)单位管理部门(不包括财务、审计部门)应根据分工承担起管理控制建设的任务，财务、审计部门人员要重新重视被人们忽视的“内部会计控制”的概念，重点进行内部会计控制的建设。(41)实际工作中，把全面控制的任务交由财务、审计部门来完成的做法是不现实的，是超出财务、审计的职责权限和能力的。(42)现阶段要外部审计要对全面控制尤其管理控制的可靠性作出保证的要求是不现实的，是超出审计人员能力所为的。(43)构建中国式全面控制框架涉及管理学、法学、人力资源、伦理等多种学科，是一个巨大的系统的工程，不可能一蹴而就，需要全社会不断的努力。(44)构建中国式全面控制框最大的难点是要建立建立风险模型，对机构、业务等的风险等级进行评价，找出风险控制点，并进行排序。这需要计算机解决风险模型。(45)风险与收益并存。(46)风险是变化的，要进行持续的动态控制，过程要进行排序。(47)中国式全面控制框的风险与控制是分不开的。(48)构建中国式全面控制框应先建立全面控制的概念框架或理论框架，这是全面控制建设的基础和前提。(49)全面控制概念框架是由目标和与之相互联系的基本概念组成的一个连贯的理论体系，并对内部控制的性质、作用局限性作出规定。目标用于识别内部控制的目的和宗旨，基本概念是全面控制的基础概念。(50)全面控制理论的基础：资源理论、混沌理论、管理学理论。基础包括理论基础、社会基础、经济基础、人员基础和环境基础。(51)全面控制要素就是内容，包括：管理控制活动、业务控制活动、会计会计活动。(52)全面控制方法主要包括：目标控制方法、组织控制方法、授权控制方法、程序控制方法、措施控制方法、检查控制方法以及标准控制方法等。(53)全面内部会计控制方法主要包括：不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制、财产保全控制、风险控制、内部报告控制、电子信息技术控制等。(54)外部控制制度设计的主体是政府，内部控制制度的设计主体是单位自己不是政府。(55)全面控制不是设计出来的是干出来的。(56)全面控制一定要嵌入企业管理的日常工作中。(57)全面控制的核心是对高管人员的控制，而不是对员工。(58)控制环境不是内控制要素，是一个基础条件。(59)什么控制等于什么都没有控制，人人控制等于没有控制。(60)在中国式全面控制建设中要把复杂问题简单化，不能把简单问题复杂化。(61)按西方的COSO框架设置中国企业的手册是劳民伤财之举，不符合成本效益原则。(62)管理层有关内部控制效果的声明的价值是靠不住的。2.3C“中天恒”在3C框架—中国式全面控制的基础上，提出了3C全面风险管理标准。“中天恒”认为，3C全面风险管理标准是在大胆借鉴国际上权威的风险管理框架或标准，认真学习汲取了国际、国内有关风险管理方面大量最新研究成果的基础上，依据国务院国资委颁布的《中央企业全面风险管理指引》文件精神，多方面总结我国企业风险管理和内部控制制度建设实践的经验，历经四年之久地深入研究和几十次的高峰论坛的基础上，研究开发出来的，充分考虑了中国企业的实际情况，是中国企业自己的全面风险管理标准。3C全面风险管理框架图如图、图2所示。图1：3C全面风险管理框架图1图1.7.2：3C全面风险管理框架23C全面风险管理文件目录内容摘要基本框架◎目标体系1.目标概念2.目标分类3.目标体系4.目标确定◎风险整合1.风险概念2.风险要素3.风险属性4.风险分类5.风险偏好6.风险意识7.风险理念8.风险文化9.风险整合◎管理融合1.全面风险管理概念2.全面风险管理目标3.全面风险管理意义4.全面风险管理政策5.全面风险管理战略6.全面风险管理策略7.全面风险管理决策8.全面风险管理主体9.全面风险管理内容10.全面风险管理流程11.全面风险管理方法12.全面风险管理信息13.全面风险管理沟通14.全面风险管理学习15.全面风险管理融合实务标准◎管理准备1.选择项目2.确定目标3.成立小组4.收集信息5.初步了解6.制定计划7.编制方案8.下发倡议◎管理实施1.风险识别2.风险评估3.风险应对4.风险控制◎管理报告1.风险预警2.风险报告◎监督改进1.风险监督2.风险审计3.管理改进操作指南◎操作工具3C框架全面风险管理常用技术3C框架全面风险管理创新技术3C框架全面风险管理常用工具◎操作简图..8.19.20.◎操作简表..4.55.二、《企业内部控制基本规范》(财会[2008]7号、2009年7月1日起财政部证监会审计署银监会保监会关于印发《企业内部控制基本规范》的通知财会[2008]7号中直管理局，铁道部、国管局，总后勤部、武警总部，各省、自治区、直辖市、计划单列市财政厅(局)、审计厅(局)，新疆生产建设兵团财务局、审计局，中国证监会各省、自治区、直辖市、计划单列市监管局，中国证监会上海、深圳专员办，各保监局、保险公司，各银监局、政策性银行、国有商业银行、股份制商业银行、邮政储蓄银行、资产管理公司，各省级农村信用联社，银监会直接管理的信托公司、财务公司、租赁公司，有关中央管理企业：为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。执行中有何问题，请及时反馈我们。附件：企业内部控制基本规范附件：企业内部控制基本规范第一章总则第一条为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他有关法律法规，制定本规范。第二条本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。第三条本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。第四条企业建立与实施内部控制，应当遵循下列原则：(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。(二)重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。(四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。(五)成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。第五条企业建立与实施有效的内部控制，应当包括下列要素：(一)内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。(二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。(三)控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。(四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。(五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。第六条企业应当根据有关法律法规、本规范及其配套办法，制定本企业的内部控制制度并组织实施。第七条企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。第八条企业应当建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。第九条国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻实施本规范的具体要求，对企业建立与实施内部控制的情况进行监督检查。第十条接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。第二章内部环境第十一条企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。股东(大)会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东(大)会负责，依法行使企业的经营决策权。监事会对股东(大)会负责，监督企业董事、经理和其他高级管理人员依法履行职责。经理层负责组织实施股东(大)会、董事会决议事项，主持企业的生产经营管理工作。第十二条董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。第十三条企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。第十四条企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。第十五条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。第十六条企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容：(一)员工的聘用、培训、辞退与辞职。(二)员工的薪酬、考核、晋升与奖惩。(三)关键岗位员工的强制休假制度和定期岗位轮换制度。(四)掌握国家秘密或重要商业秘密的员工离岗的限制性规定。(五)有关人力资源管理的其他政策。第十七条企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。第十八条企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则，认真履行岗位职责。第十九条企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。第三章风险评估第二十条企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。第二十一条企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。第二十二条企业识别内部风险，应当关注下列因素：(一)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。(二)组织机构、经营方式、资产管理、业务流程等管理因素。(三)研究开发、技术投入、信息技术运用等自主创新因素。(四)财务状况、经营成果、现金流量等财务因素。(五)营运安全、员工健康、环境保护等安全环保因素。(六)其他有关内部风险因素。第二十三条企业识别外部风险，应当关注下列因素：(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。(二)法律法规、监管要求等法律因素。(三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。(四)技术进步、工艺改进等科学技术因素。(五)自然灾害、环境状况等自然环境因素。(六)其他有关外部风险因素。第二十四条企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。第二十五条企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。第二十六条企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。第二十七条企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。第四章控制活动第二十八条企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。第二十九条不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。第三十条授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。第三十一条会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。企业应当依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职权重叠的副职。第三十二条财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。第三十三条

预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。第三十四条运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。第三十五条绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。第三十六条企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。第三十七条企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。第五章信息与沟通第三十八条企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。第三十九条企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。第四十条企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。第四十一条企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。第四十二条企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点：(一)未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。(二)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。(三)董事、监事、经理及其他高级管理人员滥用职权。(四)相关机构或人员串通舞弊。第四十三条企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。第六章内部监督第四十四条企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。第四十五条企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。第四十六条企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。第四十七条企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。第七章附则第四十八条本规范由财政部会同国务院其他有关部门解释。第四十九条本规范的配套办法由财政部会同国务院其他有关部门另行制定。第五十条本规范自2009年7月1日起实施。二OO八年五月二十二日三、《中央企业全面风险管理指引》(国资发改革[2006]108号)解读国务院国有资产监督管理委员会文件国资发改革[2006]108号关于印发《中央企业全面风险管理指引》的通知各中央企业：

企业全面风险管理是一项十分重要的工作，关系到国有资产保值增值和企业持续、健康、稳定发展。为了指导企业开展全面风险管理工作，进一步提高企业管理水平，增强企业竞争力，促进企业稳步发展，我们制定了《中央企业全面风险管理指引》，现印发你们，请结合本企业实际执行。企业在实施过程中的经验、做法及遇到的问题，请及时反馈我委。国务院国有资产监督管理委员会二○○六年六月六日中央企业全面风险管理指引第一章总则

第一条为指导国务院国有资产监督管理委员会(以下简称国资委)履行出资人职责的企业(以下简称中央企业)开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定发展，根据《中华人民共和国公司法》、《企业国有资产监督管理暂行条例》等法律法规，制定本指引。

第二条中央企业根据自身实际情况贯彻执行本指引。中央企业中的国有独资公司董事会负责督导本指引的实施；国有控股企业由国资委和国资委提名的董事通过股东(大)会和董事会按照法定程序负责督导本指引的实施。

第三条本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。

第四条本指引所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

第五条本指引所称风险管理基本流程包括以下主要工作：

(一)收集风险管理初始信息；

(二)进行风险评估；

(三)制定风险管理策略；

(四)提出和实施风险管理解决方案；

(五)风险管理的监督与改进。

第六条本指引所称内部控制系统，指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。

第七条企业开展全面风险管理要努力实现以