第二章企业风险管理实践

第二章企业风险管理实践19一月2023第二章企业风险管理在各国的实践1本章学习目标了解英国公司治理的发展历程，掌握卡德伯利报告、哈姆佩尔报告和特恩布尔报告的主要内容掌握美国企业风险管理发展的5个阶段掌握COSO《内部控制—整合框架》的主要内容掌握萨班斯一奥克斯利法案的内容概要理解萨班斯一奥克斯利法案的精髓和缺陷掌握COSO《企业风险管理—整合框架》的主要内容掌握COSO《企业风险管理—整合框架》和《内部控制—整合框架》的联系与区别理解我国企业风险管理的发展历程及存在的问题了解其它国家和地区的企业风险管理实践总体状况目前各国的风险管理水平的大致情况是：美国、澳大利亚最超前、成熟；日本、英国、加拿大等国在风险管理标准方面的研究也较为深入。我国风险管理事业虽然起步较晚，风险管理的系统实施尚不普及，但部分从业人员的水平居世界前列。19一月2023第二章企业风险管理在各国的实践2第二章企业风险管理实践19一月2023第一章绪论3第一节企业风险管理在英国的实践1第二节企业风险管理在美国的实践2第三节企业风险管理在我国的实践34第四节企业风险管理在其他国家和地区的实践4第一节企业风险管理在英国的实践19一月2023第一章绪论4英国企业风险管理的发展离不开公司治理研究的推动。报告名称发布日期卡德伯利报告（CadburyReport）1992年12月格林伯利报告（CreenburyReport）1995年7月哈姆佩尔准则（HampelCode）1998年6月特恩布尔报告（TurnbullReport）1999年9月迈尔斯评论（MynersReview）2001年3月史密斯报告（SmithReport）2003年1月西格斯报告（HiggsReport）2003年1月泰森报告（TysonReport）2003年6月综合准则（TheCombinedCode）2003年7月一、卡德伯利报告(CadburyReport)19一月2023第一章绪论5该报告从财务角度对公司治理进行了深度的剖析，同时将内部控制置于公司治理的框架之下。建议从四个方面改善公司治理：公司董事会层面：重大事项经董事会决议公司非执行独立董事层面：首次提出NEDs公司执行董事层面:董事薪酬委员会应由NEDs主导报告和控制层面：董事会必须向公司股东清晰直观地呈报公司的当前经营和历史经营状况、公司的盈利前景一、卡德伯利报告(CadburyReport)19一月2023第一章绪论6除了公司治理环境，卡德伯利报告更从公司管理层次上提出，健全的内部控制是公司有效管理的一个重要方面。因此，建议董事们应发表一个声明，对公司内部控制的有效性进行详细描述。同时，外部审计师应对这份声明进行复核和报告，并规定在董事会认可声明之前，公司的审计委员会必须对公司的内部控制声明进行复核。该报告还认为，内部审计有助于确保内部控制的有效性，内部审计的日常监督是内部控制的整体组成部分，会计师应在以下方面对公司的内部控制起到督导作用：①建立用以评估有效性的一整套标准；②建立董事会报告形式的具体指南；③建立审计师用以相关审计程序和报告格式的具体指南。“内外双重审计”制度的创设，最大限度地避免了董事会、董事甚至内部审计人员串通舞弊的可能性。二、格林伯利报告（GreenburyReport）19一月2023第一章绪论7格林伯利董事薪酬研究委员会成立于1995年，重点关注董事薪酬增长速度与水平与公司业绩表现严重脱钩的问题。该委员会的主旨在于建立董事薪酬决策的最佳实践，尤其针对以前所忽视的与公司绩效挂钩的薪酬支付。该委员会提交的董事薪酬最佳指引最终成为1995年上市准则（ListingRules）的附属文件。格林伯利报告的核心思想有以下几个方面：严禁执行董事自己给自己设定薪酬及其影响要素；在董事薪酬设计软件中引入更严格的条件，着重关注董事业绩激励与公司回报之间的关系；改善对股东的义务。三、哈姆佩尔报告（HampelReport）19一月2023第一章绪论8哈姆佩尔报告于1998年6月问世并取代了卡德伯利报告和格林伯利报告，成为了在英国伦敦交易所上市必须遵循的上市规则。哈姆佩尔报告将内部控制的目的定位于保护资产的安全、保持正确的财务会汁记录、保证公司内部使用和向外部提供的财务信息的可靠性，同时鼓励董事对内部控制的各个方面进行复核，包括确保高效经营、遵守法律法规方面的控制。哈姆佩尔报告认为，将财务控制与其他控制区分开来是十分困难的，而且也并没有太大的意义。该报告还坚信董事及管理人员对控制的各个方面进行复核具有重要意义，内部控制不应仅局限于公司治理的财务方面。从内部控制制度来看，哈姆佩尔报告与卡德伯利报告在诸多方面形成了鲜明对比。四、特恩布尔报告（TurnbullReport）19一月2023第一章绪论9特恩布尔报告。作为指导企业构建内部控制的指南，该报告的意义在于，它为公司及董事会提供了具体的、颇具操作性的内部控制指引。其主要内容包括：董事会对公司的内部控制负责执行风险控制政策是管理层的职责合理的内部控制要素公司内部控制的控制环境：①控制活动；②信息和沟通程序；③持续性监督程序。特恩布尔报告还描述了健全的内部控制所应具备的基本特征：①内部控制根植于公司的经营之中，成为公司文化的一部分，换言之，它不仅仅是为了取悦监管者而进行的年度例行检查，更是真正意义上的对公司既定战略目标的执行和公司治理的延伸；②针对公司所面临的日新月异的风险，内部控制应具有快速反应的能力；③具有对管理中存在的缺陷或失败进行快速报告的能力，并且能及时地采取纠正措施。五、迈尔斯评论（MynersReview）19一月2023第一章绪论10针对机构投资者（包括养老金计划、保险公司）投资决策过程有效性进行研究。2001年3月，鲍尔.迈尔斯公布了相应的研究。报告中除了指明当时英国机构投资者在投资决策过程中显著缺失有效性和灵活性外，还对投资决策有效步骤提出了基本的原则，对机构投资者的投资控制有着指导意义。六、史密斯斯报告（SmithReport）01一月月2023第一章绪绪论112003年1月发布的史史密斯报告告为上市公公司提供了了董事会如何何安排审计计委员会以以及审计委委员会中的的董事如何何履行职责责的指引该报告提供供的指引包包含以下内内容：①审计委员员会的组成成与角色，，人选程序序和来源；；②与董事会会的关系；；③角色与职职能；④与股东的的沟通七、西格斯斯报告（HiggsReport）01一月月2023第一章绪绪论122002年4月，英国财政政部和贸易中中心为了提高高英国各行业业的生产效率率，发起了对对公众上市公公司非执行董董事有效性的的调研，对非执行董事事的角色和效效率提高进行行彻底澄清就独立非执行行董事在独立立性、雇佣、、任命、就职职、任期、薪薪酬、辞职、、审计委员会会、职责和投投资者关系各各个方面提出出了长达6页纸的改进建建议。八、泰森报告告（TysonReport）01一一月月2023第一一章章绪绪论论13泰森森报报告告共共有有12章，，涵涵盖盖独独立立非非执执行行董董事事的的属属性性、、成成员员来来源源、、当当前前状状况况、、独独立立非非执执行行董董事事成成员员多多样样性性的的优优势势、、董董事事会会构构成成的的约约束束条条件件、、未未来来的的培培训训事事宜宜等等。。主主要要特特点点如如下下：：基于于对对公公司司的的特特殊殊需需要要和和所所面面临临的的挑挑战战进进行行详详细细评评估估而而作作出出的的对对每每一一个个独独立立非非执执行行董董事事的的任任命命过过程程；；适用用范范围围扩扩大大，，包包括括公公众众上上市市公公司司、、专专业业服服务务公公司司、、非非上上市市公公司司、、私私人人股股权权公公司司、、非非商商业业部部门门以以及及外外资资企企业业中中的的商商业业和和非非商商业业部部门门；；为董董事事会会成成员员提提供供正正式式的的培培训训和和评评估估；；形成成新新的的组组织织，，对对董董事事会会的的构构成成提提供供常常规规的的、、可可靠靠的的评评估估。。九、、公公司司治治理理联联合合条条例例01一月月2023第一章绪绪论142003年的公司治治理联合条条例取代了了1998年由哈姆贝贝尔委员会会发布的条条例。2003年的联合条条例在原来来条例的基基础上，新新增了西格斯报告关关于独立非非执行董事事和史密斯报告告关于审计计委员会的的内容。英国金融融服务当局局（FSA）决定将新新联合条例例加入到上上市准则中中，在2003年11月及以后的的上市公司司报告中实实行。上市公司披披露报告将将有两部分分内容涉及及到上市准准则的修订订：在报告告的第一部部分将要求求陈述公司司治理政策策，第二部部分将要求求说明在哪哪些方面遵遵守了联合合条例的条条款，而在在哪些方面面没有遵守守，不遵守守的理由是是什么。在在实际操作作中准则仍仍然采用沿沿用了10年之久的““遵守或解解释”的方方法。联合条例分分为5个部分，分分别是董事、薪酬酬、问责制制度与审计计、股东关关系以及机机构股东。。英国企业风风险管理实实践总结总之，英国国企业内部部控制的发发展离不开开公司治理理的推动，，内部控制和和内部审计计研究均置置于公司治治理的框架架之内，重视从公公司治理的的角度来巩巩固内部控控制制度的的效果，把把内部控制制看作公司司治理在企企业日常运运用中的有有效延伸，，这是英国国公司治理理和内部控控制体系发发展带给我我们最大的的启发，也也是当前企企业风险管管理体系的的核心，并并催生了当前前的公司治治理的问责责制和最佳佳实践的基基本原则。01一一月月2023第一一章章绪绪论论15英国国企企业业风风险险管管理理实实践践总总结结公司司治治理理的的目目的的是是建建立立一一种种问问责责性性制制度度(Accountability),以使使公公司司的的董董事事会会和和管管理理人人员员切切实实承承担担其其责责任任，，有有效效地地运运用用他他们们受受托托管管理理的的资资金金，，为为投投资资者者（（股股东东））谋谋取取利利益益。。健健康康的的公公司司治治理理要要求求董董事事会会内内设设置置足足够够多多的的外外部部独独立立董董事事（（甚甚至至过过半半）），，而而不不是是让让负负责责经经营营管管理理公公司司的的内内部部人人员员控控制制董董事事会会。。董事事会会任任命命的的某某些些附附属属委委员员会会应应该该完完全全由由外外部部独独立立董董事事组组成成，，以以便便保保障障健健康康的的公公司司治治理理实实践践。。对对审审计计委委员员会会而而言言，，这这一一点点尤尤为为重重要要。。独立立董董事事的的重重要要作作用用越越来来越越多多地地在在公公司司治治理理准准则则和和金金融融机机构构管管理理法法规规中中得得到到反反映映和和体体现现。。01一一月月2023第一章章绪绪论16第二节节企业风风险管管理在在美国国的实实践01一一月月2023第一章章绪绪论17一、美美国的的风险险管理理发展展历程程01一月2023第一章绪绪论18-实物牵制-薄记牵制法律责任,广义内控COSO内部控制整合框架萨班斯法案内控评价内部审计进展40年代前40-70年代80-90年代90年代后2002年后内部牵制内部控制结构完善-控制环境-会计系统-控制程序-控制环境-风险评估-控制活动-信息沟通-监督-建立内控-数据准确一致致-内控可靠性

COSO企业风险管理理整合框架-内部环境-目标设置-事件辨识-风险评估-风险反应-控制活动-信息与沟通-监控二、COSO《内部控制—整合框架》01一一月月2023第一一章章绪绪论论19（一一））内内部部控控制制定定义义由一一个个实实体体的的董董事事会会、、管管理理层层与与其其他他人人员员所所实实施施的的一一个个流流程程，，用用于于提提供供实实现现以以下下几几方方面面目目标标的的合合理理保保证证：：第第一一，，财财务务报报告告的的可可靠靠性性；；第第二二，，运运营营的的有有效效性性与与效效率率；；第第三三，，符符合合相相关关法法律律法法规规COSO的三三维维整整合合框框架架为为管管理理层层提提供供了了评评估估内内部部控控制制所所需需的的标标准准：：内部部控控制制的的设设计计旨旨在在合合理理保保证证实实现现公公司司以以下下目标：运营的有效性性与效率（包包括资产保护护）、财务报报告的可靠性性以及符合相相关的法律法法规。内部控制制度度在公司内部部贯穿的范围围：部门单位位层（EntityLevel)与行动层（ActivitiesLevel，或称流程层层）。公司必必须在这两个个层次上对其其内部控制进进行评估：部部门单位层、、行动层或流流程层。内部控制制度度的五大要素素01一一月2023第一章绪绪论20【例】下下列选项项中属于于COSO委员会内内部控制制基本目目标的是是（））。A.资产安全全B.运营的效效益和效效率C.财务报告告的可靠靠性D.遵守适用用的法律律法规『正确答答案』BCD『答案解解析』COSO委员会对对内部控控制的定定义是“公司的董董事会、、管理层层及其他他人士为为实现以以下目标标提供合合理保证证而实施施的程序序：运营营的效益益和效率率，财务务报告的的可靠性性和遵守守适用的的法律法法规。”01一月月2023第二章企企业风风险管理在在各国的实实践21（二）内部部控制五大大要素控制环境—控制环境决决定了一个个组织的基基调，影响响成员对于于控制的意意识。它是是内部控制制所有其他他部分的基基础，提供供纲领和结结构。控制制环境因素素包括：诚信信、道德价价值观和企企业员工的的竞争力；；管理哲学学和经营风风格；管理理层如何进进行授权和和职责分配配，如何组组织和发展展它的员工工；董事会会提供的关关注和指导导；风险评估—每个公司都都面临着内内外部风险险，这些风风险必须被被评估。风风险评估的的前提是建建立不同层层次但具有有内部一致致性的目标标。风险评评估是发现现和分析对对达到目标标有影响的的风险的过过程，是确确定如何管管理和控制制风险的基基础。控制活动—控制活动是是确保管理理层指令得得到执行的的公司政策策和流程。。它确保企企业针对相相关的风险险采取了必必要的措施施，以实现现企业的目目标。控制制活动存在在于整个组组织的所有有层次和所所有职能部部门中。控控制活动包包括一系列列不同的活活动，例如如对经营活动动的审批、、授权、确确认、核对对、审核，，对资产的的保护，职职权分离等01一一月月2023第一一章章绪绪论论22（二二））内内部部控控制制五五大大要要素素信息息与与沟沟通通—相关关的的信信息息必必须须以以某某种种形形式式并并在在某某个个时时段段被被识识别别、、获获得得和和沟沟通通，，以以促促使使职职责责的的履履行行。。信信息息系系统统生生成成报报告告，，内内容容包包括括经经营营、、财财务务和和合合规规性性方方面面的的信信息息，，以以使使得得管管理理层层能能够够运运作作和和控控制制业业务务活活动动。。有有效效的的沟沟通通应应当当基基于于更更为为广广泛泛的的理理解解，，自自上上而而下下、、自自下下而而上上地地贯贯穿穿整整个个组组织织。。监控控—内部部控控制制系系统统需需要要监监督督—一套套随随时时评评价价内内部部控控制制系系统统运运行行状状况况的的流流程程。。通通过过持持续续的的监监督督活活动动、、单单独独的的评评价价或或者者两两者者的的结结合合来来完完成成这这种种控控制制。。01一月2023第一章绪绪论23【例】在COSO内部控制框架架中，作为其其它要素的基基础的是（））。A.控制环境B.风险评估C.控制活动D.监察『正确答案』』A【例】某大型型银行规定，，顾客贷款经经理在批准贷贷款前，必须须复核其下级级提交的顾客客分析报告及及相关文件，，并签字授权权，然后才能能为贷款者发发放贷款。根根据以上信息息可以判断，，该银行的这这种控制活动动属于（））。A.授权和批准B.人员控制C.监督及管理控控制D.计算算和和会会计计『正正确确答答案案』』A01一一月2023第二章企企业风险险管理在在各国的的实践24（三）COSO报告中对对公司人人员在内内部控制制中的阐阐述管理层：：公司首席席执行官官（CEO）对内部部控制负负有全面面的责任任，可以以看作是是内部控控制系统统的“责责任人””。依次次的，高高级管理理人员向向负责企企业运营营的员工工分配建建立更为为具体的的内部控控制政策策和程序序的责任任。董事会：：管理层对对董事会会负责，，董事会会实施治理理、指导导和监督督。内部审计计师：内部审计计师在评价内部部控制有有效性方面起着着重要的的作用，，对维持有效效性也有所贡贡献。内内部审计计职能部部门因为为其在企企业中的的地位和和权利，，起着重重要的监监督作用用。内部其他他人员：：内部控制制从某种种程度上上是组织织中每个个人的责责任，因因此应当当作为每每个人工工作范围围的明确确或非明明确的一一部分。。外部人员员。公司的外外部人员员也有助助于控制制目标的的实现。。如外部审审计、法法律顾问问、监管管部门、、客户、、其他往往来单位位、财务务分析师师、信用用评级公公司、新新闻媒体体等01一月月2023第一章绪绪论25三、萨班斯斯一奥克斯斯利法案萨班斯法案案的关键点就是是建立起公公司财务报报告的可靠靠性。萨班斯法案案共计11章，分别为为公众公司司审计委员员会、审计计师的独立立性、公司司的责任、、强化财务务资讯披露露、利益冲冲突的分析析、委员会会的组成及及其权利、、研究及报报告、公司司欺诈及其其刑事责任任、强化白白领刑事责责任、公司司纳税申报报表和公司司欺诈责任任。11章下又分为为66节，其中最最重要的302节和404节第302节公司对财务务报告的责责任第404节管理层对内内部控制的的评价01一一月2023第一章绪绪论26萨班斯法法案中的的302与404条款01一月2023第二章企企业风险管管理在各国的的实践27302条款–定期公开报告告的附加CEO/CFO承诺书与披露露已审阅了上报报的该定期报报告；该报告无失失实陈述、、或漏报重重大事实、、或误导情情况；该报告公允允地反映了了公司的财财务状况；；设立并维持持了足够的的披露内控控体系；财务报告内内控体系披露内控体体系已于该报告告中评价内内控体系的的有效性；；对财务报告告内控体系系的重要变变化说明；；已对审计师师披露财务务报告内控控体系的重重大缺陷和和不足，以以及对财务务报告内控控有重大影影响的雇员员欺诈行为为。404条款-年度财务报报告内部控控制的公司司管理层报报告书设立并维持持了足够的的财务报告告内控体系系；财务报告内内控体系有有效性的评评价；为评价财务务报告内控控体系而采采用的评价价体系的说说明。Sarbanes-OxleyActof2002萨班斯一奥奥克斯利法法案的精髓髓（1）禁止向本本公司董事事或高管人人员提供私私人贷款；；在养老金金计划管制制期内，公公司的董事事和高层管管理人员不不能直接或或间接交易易或持有该该公司股票票或从中获获益的其他他行为；对对于有违反反证券法规规情节的有有关人士，，美国证监监会可以禁禁止他们担担任公司的的管理人员员或者董事事等。（2）上市公司司所有定期期报告（包包括公司依依照1934年证券交易易法规定编编制的会计计报表）应应附有公司司首席执行行官与首席席财务官签签署的承诺函；承诺函中中的内容包包括：确保保本公司定定期报告所所含会计报报表及信息息披露的适适当性，并并且保证此此会计报表表及信息披披露在所有有重大方面面都公正地地反映了公公司的经营营成果及财财务状况。。01一月月2023第一章绪绪论28萨班斯一奥奥克斯利法法案的精髓髓（3）在公司定定期报告中中若发现因因实质性违违反监管法法规而被要要求重编会会计报表时时，公司的的CEO/CFO应当返还给给公司12个月内从公公司收到的的所有奖金金、红利、、其他形式式的激励性性报酬以及及买卖本公公司股票所所得收益；；如果公司司CEO/CFO事先知道违违规事项，，但仍提交交承诺函，，最多可以以判处10年监禁，以以及100万美元的罚罚款；对于于故意做出出虚假承诺诺的，最多多可以被监监禁20年并判处500万美元的罚罚款，20年监禁的重重刑—这和美国持持枪抢劫的的最高刑罚罚相同。01一月2023第一章绪绪论29萨班斯一奥克克斯利法案的的精髓（4）提高财务报告告披露的及时时性。将年度报告告期由90天缩短为60天；季度报告告由45天缩短为35天。年报及季季报都需要注注册会计师的的审计；强化化上市公司内内控及报告制制度，要求公公司年度报告告中提供“内内部控制报告告”，说明公公司内部控制制制度及其实实施的有效性性，“内部控控制报告”要要出具注册会会计师的意见见；提高对公公司信息披露露可用性的要要求，包括定定期报告中披披露所有的资资产负债表外外交易、财务务状况的预测测性信息、高高层财务人员员的道德守则则、所有由注注册会计师出出具的实质性性的纠正调整整、临时报告告中公司财务务状况或财务务经营状况的的实质性变化化等。01一月2023第一章绪绪论30萨班斯一奥克克斯利法案的的精髓（5）公司的审计委委员会必须完完全由“独立立董事”组成成独立董事不得得是公司或者者其子公司的的关联人士，，其中至少一一人应是财务务专家；独立董事不得得从公司接受受任何咨询费费、顾问费或或者其他酬金金；公司聘用会计计师事务所及及报酬方式要要由审计委员员会批准，并并接受审计委委员会的监督督；会计师事务所所在审计过程程中遇到的重重大事项必须须及时报告审审计委员会；；为保证审计委委员会能够及及时发现公司司的会计和审审计问题，还还需要建立一一套处理举报报或投诉的工工作程序以及及相应的监测测系统、反应应机制。01一一月2023第一章绪绪论31萨班斯一一奥克斯斯利法案案的精髓髓（6）禁止会会计师事事务所在在进行审审计业务务的同时时提供非非审计业业务；强强制实行行注册会会计师定定期轮换换制。（7）要求美国国证券交交易委员员会制定定相关的的规定和和细则，，以避免免证券分分析师在在其研究究报告或或公开场场合向投投资者推推荐股票票时“见见利忘义义”，以以提高研研究报告告的客观观性，向投资者者提供更更为有用用和可靠靠的信息息；规定定一定期期限内担担任或即即将担任任公开发发行股票票承销商商或坐市市商(Dealers)的经纪人人和交易易商不得得公开发发布关于于该股票票或发行行人的研研究报告告；在执执业的经经纪人和和交易商商内部建建立制度度架构体体系，将将证券分分析师划划分为复复核、强强制(Pressure)、监察等不同同的工作部门门，以避免参参与投资银行行业务的人员员存有潜在的的偏见；要求求证券分析师师、经纪人和和交易商在研研究报告公布布的同时，披披露已知的和和应当知晓的的利益冲突事事项。01一月2023第一章绪绪论32萨班斯一奥克克斯利法案的的精髓（8）任何人通过过信息欺诈或或价格操纵在在证券市场获获取利益，最最多可监禁25年或处以罚款款；对违法的的注册会计师师可被判处10年以下监禁或或罚款；延长长了对证券欺欺诈的追诉期期，起诉时间间可以延长至至非法行为发发现的2年内，或者非非法行为实施施后的5年内；新的规规定将保护公公司检举揭发发的员工，对对举报者进行行打击报复的的，最高可判判处10年监禁，还规规定了对举报报者的具体的的补偿措施，，比如恢复职职务、补发报报酬及其他损损失等。01一一月2023第一章绪绪论33萨班斯一一奥克斯斯利法案案实施的的短板和和误区考问之一一：正确确地做事事还是做做正确的的事。考问之二二；纸面面工作还还是风险险导向。。考问之三三：独立立会计师师对公司司经营风风险的把把握和胜胜任能力力。01一一月2023第一章绪绪论34四、COSO《企业风险险管理—整合框架架》（一）产产生背景景进人21世纪以来来风险管管理课题题的日益益凸显，，要求一一个内涵涵更为丰丰富的理理论框架架以有效效地识别别、评估估与管理理风险。。在广泛泛吸收各各国理论论界（例例如：英英国的Turnbull报告，加加拿大的的COCO）和实务务界（例例如：银银行业的的BaseⅡ）等研究究结果的的基础之之上，并并且经过过充分的的意见征征求与讨讨论之后后，COSO将其理论论体系进进行了进进一步的的丰富与与提升，，并于2004年9月在《内部控制制—整合框架架》理论的基基础之上上推出了了《企业风险险管理一一整合框框架)((EnterpriseRiskManagement，ERM框架)。01一月2023第二章企企业风险管管理在各国的的实践35（二）主要内容根据COSO的《企业风险管理理—整合框架》，企业风险管管理应包括八个相互关联的构构成要素。它它们是：内部部环境、目标设置、事事件辨识、风险评估、风险反应（对对策）、控制活动、、信息和沟通通、监控。01一一月2023第二章企企业风险险管理在在各国的的实践361．内部环环境内部环境境是企业业风险管管理所有有其它构构成要素素的基础础，为其其他要素素提供约约束和结结构。它它影响战战略和目目标如何何制订，，经营活活动如何何组织以以及如何何识别、、评估风风险并采采取行动动。它还还影响着着控制活活动、信信息与沟沟通体系系和监控控措施的的设计与与运行。。内部环境境包含很很多要素素，关键键要素有有风险管理理哲学、、风险偏偏好、风风险文化化、董事事会、操操守与道道德价值值观、能能力、管管理哲学学和经营营风险、、组织架架构、权权责划分分以及人人力资源源标准。。01一一月2023第二章企企业风险险管理在在各国的的实践371．内部环环境（1）风险管理理哲学：企业的的风险管管理哲学学指的是是企业从从战略制制定到日日常经营营过程中中对待风风险的一一系列信信念与态态度，它它反映了了企业的的价值观观，影响响着企业业的文化化和经营营风格，，也影响响到企业业风险管管理要素素的应用用，如风风险如何何确认、、评估或或管理。。（2）风险偏好好：风险偏偏好是指指企业为为追求某某个目标标或价值值可以接接受的风风险程度度。（3）风险文化化：风险文文化是指指企业内内部知识识共享的的态度和和对风险险的价值值观，它它贯穿于于企业风风险评估估的日常常操作中中。（4）董事会：董事会会是内部部环境的的重要组组成部分分，而且且对其他他的内部部环境因因素有重重要影响响。（5）操守和道道德价值值观：管理层层操守和和道德价价值观会会改变风风险偏好好和价值值判断，，并进一一步影响响行为准准则及战战略目标标的实现现。01一一月2023第二章企企业风险险管理在在各国的的实践381．内部环环境（6）员工能力力：员工能能力指员员工执行行所分配配的工作作所需要要的知识识和技术术。（7）管理哲学学和经营营风格：管理哲哲学与运运营风格格影响企企业的管管理方式式，包括括可以接接受的风风险种类类。（8）组织架构构：企业的的组织结结构指为为企业活活动提供供计划、、执行、、控制和和监督职职能的整整体框架架。（9）授权与责责任：权责分分配包括括对个人人或团体体的授权权程度，，对创造造性地处处理、解解决问题题的鼓励励，以及及所授权权限的范范围。授授权应该该授到被被授权人人能够完完成目标标的程度度。（10）人力资源源准则：：内部控制制是由人人来进行行设计并并实施的的，保证证组织内内所有成成员具有有一定水水准的诚诚信、道道德观和和能力的的人力资资源方针针与实践践，是内内部控制制有效的的关键因因素之一一。01一一月2023第二章章企企业风风险管管理在在各国国的实实践392．目标标设置置目标设设置是是风险险事件件辨识识、风风险评评估和和设定定风险险对策策的基基础。。01一一月月2023第二章章企企业风风险管管理在在各国国的实实践40战略目标相关目标选定的目标包括经营目标报告目标合规目标风险偏好风险容忍度符合目标重合3.事件辨辨识事件是是指影影响企企业目目标实实现的的内部部和外外部事事件。。事件件的发发生对对企业业可能能有正正面或或负面面的影影响。。识别别这些些事件件，区区分风风险和和机会会，并并将机机会反反馈到到管理理层的的战略略或目目标制制订过过程中中。企业对对事件件识别别时可可以有有多种种方法法进行行选择择事件之之间具具有相相关性性01一月月2023第二章企企业风风险管理在在各国的实实践414.风险评估企业对于辨辨识出的事事件进行评评估，通过过考虑事件件带来风险险的可能性性和影响来来对其加以以分析，并并以此作为为决定如何何进行管理理的依据。。风险评估估应立足于于固有风险和剩余风险。固有风险指企业经营营运作中必必定存在的的风险，企企业的风险险控制活动动会影响此此类风险发发生的可能能性及其影影响。剩余风险是在管理当当局的风险险应对之后后所残余的的风险。风险评估可可以采取定定量或定性性的方法进进行。01一一月月2023第二二章章企企业业风风险险管管理理在在各各国国的的实实践践425．风风险险反反应应对相相关关风风险险评评估估后后，，管管理理层层应应当当采采取取相相应应的的应应对对策策略略。。管管理理层层可可以以选选择择的的风风险险对对策策有有风险险回回避避、风险险承承担担、风险险降降低低或者者风险险对对冲冲（风风险险分分担担））。。采采取取一一系系列列风风险险应应对对行行动动以以便便把把风风险险控控制制在在企企业业的的风风险险容容忍忍度度以以内内。。01一一月月2023第二二章章企企业业风风险险管管理理在在各各国国的的实实践践436．控控制制活活动动控制制活活动动是指指制制订订和和执执行行政政策策与与程程序序以以帮帮助助确确保保风风险险应应对对措措施施得得以以有有效效实实施施。。控制制活活动动类类型型多多样样，，包包括括预预防防性性控控制制和和发发现现性性控控制制，，或或者者手手工工控控制制、、计计算算机机控控制制和和管管理理控控制制等等。。01一一月月2023第二二章章企企业业风风险险管管理理在在各各国国的的实实践践447．信信息息与与沟沟通通信息息包包括括业业务务信信息息和和财财务务信信息息。。信信息息可可以以是是正正式式的的或或非非正正式式的的。。相相关关的的信信息息有有助助于于管管理理层层把把握握风风险险和和机机会会，，可可以以确确保保员员工工履履行行其其职职责责的的方方式式和和时时机机予予以以识识别别、、获获取取和和沟沟通通。。在信息基基础上，，还需要要沟通来来共享信信息资源源。01一一月2023第二章企企业风险险管理在在各国的的实践458．监控全面风险险管理是是不断变变化持续续的过程程，会因因内外部部环境的的变化而而改变，，因此需需要对企企业风险险管理进进行全面面监控，，必要时时加以修修正。监监控可以以通过持持续的管管理活动动、个别别评价或或者两者者结合来来完成。。01一一月月2023第二二章章企企业业风风险险管管理理在在各各国国的的实实践践46（三三））全全面面风风险险管管理理的的目目标标战略略（（strategic）目目标标：这这是是企企业业的的高高层层次次目目标标，，与与企企业业使命命相关关联联并并支支撑撑其其使使命命；；风风险险管管理理目目标标必必须须与与企企业业发发展展的的战战略略目目标标相相辅辅相相成成，，战战略略目目标标的的实实现现可可以以通通过过企企业业风风险险管管理理的的风风险险分分析析、、风风险险控控制制等等途途径径实实现现。。经营营（（operations）目目标标：指指企企业业应应有有效效和和高高效效率率地地利利用用其其资资源源，，高高效效运运营营。。报告告（（reporting）目目标标：指指企企业业要要真真实实披披露露企企业业的的经经营营业业绩绩，，确保保财财务务报报告告真真实实可可靠靠。合规规（（compliance）目目标标：指指企企业业要要遵遵循循相相关关法法律律和和法法规规的的规规定定，，合合规规经经营营。。01一一月2023第二章企企业风险险管理在在各国的的实践47（四）内内控框架架与风险险框架01一月2023第二章企企业风险管管理在各国的的实践48内控系统：风风险管理的必必经之路01一月2023第二章企企业风险管管理在各国的的实践49内控系统是全全面风险管理理的子系统。。相对于整个个全面风险管管理而言，内内控在目标、、手段、对象象范围等方面面都有局限COSO的综合内控体体系对世界各各国公司立法法和管理影响响巨大美国通过的Sarbanes-Oxley(2002)法案将建立和和维持有效的的内控系统作作为对上市公公司的法律合合规要求COSO1992内部控制是通通过有关企业业流程的设计计和实施的一一系列政策、、制度、程序序和措施，控控制影响流程程目标的各种种风险的过程程风险管理与内内部控制的关关系01一一月2023第二章企企业风险险管理在在各国的的实践50《ERM框架》并非意在在取代，，也没有有取代《内部控制制框架》，而更应应当说是是吸纳了了《内部控制制框架》的精髓；；《ERM框架》既能满足足内部控控制的需需要，又又能进一一步地充充实完善善风险管管理流程程。概念的扩扩大：内部控制制，将事事情做正正确；全全面风险险管理：：做正确确的事情情目标的发发展：增加战略略目标，，报告目目标扩大大操作性的的提升：：风险管理理应用于于企业战战略制定定要素的发发展：五要素至至八要素素第3节企业风风险管理理在我国国的实践践我国内部部控制制制度的建建设和发发展源于于20世纪90年代，主主要由政府、证证券监督督管理机机构、行行业监管管机构等制定的的内部有有关法律律、法规规、指引引等推动动。2006年6月，国资资委发布布了《中央企业业全面风风险管理理指引》2008年6月28日，财政政部、证证监会、、审计署署、银监监会、保保监会联联合发布布了《企业内部部控制基基本规范范》（以下简简称基本本规范））。01一一月2023第二章企企业风险险管理在在各国的的实践51第3节企业风风险管理理在我国国的实践践2008年6月12日，财政政部会同同国务院院有关部部门草拟拟了《企业内部部控制评评价指引引》（征求意意见稿））、《企业内部部控制应应用指引引》（征求意意见稿））和《企业内部部控制鉴鉴证指引引》（征求意意见稿））。其中中《企业内部部控制应应用指引引》（征求意意见稿））包含资资金、采采购、存存货、销销售、工工程项目目、固定定资产、、无形资资产、长长期股权权投资、、筹资、、预算、、成本费费用、担担保、合合同协议议、业务务外包、、对子公公司的控控制、财财务报告告编制与与披露、、人力资资源政策策、信息息系统一一般控制制、衍生生工具、、企业并并购、关关联交易易和内部部审计22个项目。。2008年12月31日，财政政部又新新增了组组织架构构、发展展战略、、人力资资源、企企业文化化和社会会责任等等5个应用指指引项目目的征求求意见稿稿。01一月月2023第二章企企业风风险管理在在各国的实实践52第四节企业风险管管理在其他他国家和地地区的实践践一、澳大利利亚和新西西兰国家风风险管理标标准AS/NZS436001一一月月2023第二二章章企企业业风风险险管管理理在在各各国国的的实实践践53国家家标标准准AS/NZS43601995:1999世界界上上第第一一个个国国家家企企业业风风险险管管理理标标准准定义义了了风风险险管管理理的的标标准准程程序序突出出了了风风险险管管理理的的内内部部与与外外部部环环境境二、、加加拿拿大大COCO的《控制制指指南南》与COSO框架架文文件件中中所所使使用用的的““内内部部控控制制””术术语语相相比比，，COCO更倾倾向向于于使使用用““控控制制””一一词词，，并并且且““控控制制””一一词词的的含含义义比比与与财财务务报报告告有有关关的的内内部部控控制制的的含含义义更更为为宽宽泛泛。。内部部控控制制的的定定义义在在指指南南中中不不是是一一个个过过程程，，而而是是组组织织(包括括资资源源、、系系统统、、程程序序、、文文化化、、结结构构和和任任务务)的一一部部分分，，所所有有这这些些组组成成部部分分结结合合在在一一起起，，确确保保了了组组织织目目标标的的实实现现。。01一月月2023第二章企企业风风险管理在在各国的实