企业风险管理实践教材

第二章企业风险管理实践06一月2024企业风险管理第二章企业风险管理在各国的实践1本章学习目标了解英国公司治理的开展历程，掌握卡德伯利报告、哈姆佩尔报告和特恩布尔报告的主要内容掌握美国企业风险管理开展的5个阶段掌握COSO?内部控制—整合框架?的主要内容掌握萨班斯一奥克斯利法案的内容概要理解萨班斯一奥克斯利法案的精髓和缺陷掌握COSO?企业风险管理—整合框架?的主要内容掌握COSO?企业风险管理—整合框架?和?内部控制—整合框架?的联系与区别理解我国企业风险管理的开展历程及存在的问题了解其它国家和地区的企业风险管理实践总体状况目前各国的风险管理水平的大致情况是：美国、澳大利亚最超前、成熟；日本、英国、加拿大等国在风险管理标准方面的研究也较为深入。我国风险管理事业虽然起步较晚，风险管理的系统实施尚不普及，但局部从业人员的水平居世界前列。06一月2024企业风险管理第二章企业风险管理在各国的实践2第二章企业风险管理实践06一月2024企业风险管理第一章绪论3第一节企业风险管理在英国的实践1第二节企业风险管理在美国的实践2第三节企业风险管理在我国的实践34第四节企业风险管理在其他国家和地区的实践4第一节企业风险管理在英国的实践06一月2024企业风险管理第一章绪论4英国企业风险管理的开展离不开公司治理研究的推动。报告名称发布日期卡德伯利报告（CadburyReport）1992年12月格林伯利报告（CreenburyReport）1995年7月哈姆佩尔准则（HampelCode）1998年6月特恩布尔报告（TurnbullReport）1999年9月迈尔斯评论（MynersReview）2001年3月史密斯报告（SmithReport）2003年1月西格斯报告（HiggsReport）2003年1月泰森报告（TysonReport）2003年6月综合准则（TheCombinedCode）2003年7月一、卡德伯利报告(CadburyReport)06一月2024企业风险管理第一章绪论5该报告从财务角度对公司治理进行了深度的剖析，同时将内部控制置于公司治理的框架之下。建议从四个方面改善公司治理：公司董事会层面：重大事项经董事会决议公司非执行独立董事层面：首次提出NEDs公司执行董事层面:董事薪酬委员会应由NEDs主导报告和控制层面：董事会必须向公司股东清晰直观地呈报公司的当前经营和历史经营状况、公司的盈利前景一、卡德伯利报告(CadburyReport)06一月2024企业风险管理第一章绪论6除了公司治理环境，卡德伯利报告更从公司管理层次上提出，健全的内部控制是公司有效管理的一个重要方面。因此，建议董事们应发表一个声明，对公司内部控制的有效性进行详细描述。同时，外部审计师应对这份声明进行复核和报告，并规定在董事会认可声明之前，公司的审计委员会必须对公司的内部控制声明进行复核。该报告还认为，内部审计有助于确保内部控制的有效性，内部审计的日常监督是内部控制的整体组成局部，会计师应在以下方面对公司的内部控制起到督导作用：①建立用以评估有效性的一整套标准；②建立董事会报告形式的具体指南；③建立审计师用以相关审计程序和报告格式的具体指南。“内外双重审计〞制度的创设，最大限度地防止了董事会、董事甚至内部审计人员串通舞弊的可能性。二、格林伯利报告〔GreenburyReport〕06一月2024企业风险管理第一章绪论7格林伯利董事薪酬研究委员会成立于1995年，重点关注董事薪酬增长速度与水平与公司业绩表现严重脱钩的问题。该委员会的主旨在于建立董事薪酬决策的最正确实践，尤其针对以前所无视的与公司绩效挂钩的薪酬支付。该委员会提交的董事薪酬最正确指引最终成为1995年上市准那么〔ListingRules〕的附属文件。格林伯利报告的核心思想有以下几个方面：严禁执行董事自己给自己设定薪酬及其影响要素；在董事薪酬设计软件中引入更严格的条件，着重关注董事业绩鼓励与公司回报之间的关系；改善对股东的义务。三、哈姆佩尔报告〔HampelReport〕06一月2024企业风险管理第一章绪论8哈姆佩尔报告于1998年6月问世并取代了卡德伯利报告和格林伯利报告，成为了在英国伦敦交易所上市必须遵循的上市规那么。哈姆佩尔报告将内部控制的目的定位于保护资产的平安、保持正确的财务会汁记录、保证公司内部使用和向外部提供的财务信息的可靠性，同时鼓励董事对内部控制的各个方面进行复核，包括确保高效经营、遵守法律法规方面的控制。哈姆佩尔报告认为，将财务控制与其他控制区分开来是十分困难的，而且也并没有太大的意义。该报告还坚信董事及管理人员对控制的各个方面进行复核具有重要意义，内部控制不应仅局限于公司治理的财务方面。从内部控制制度来看，哈姆佩尔报告与卡德伯利报告在诸多方面形成了鲜明比照。四、特恩布尔报告〔TurnbullReport〕06一月2024企业风险管理第一章绪论9特恩布尔报告。作为指导企业构建内部控制的指南，该报告的意义在于，它为公司及董事会提供了具体的、颇具操作性的内部控制指引。其主要内容包括：董事会对公司的内部控制负责执行风险控制政策是管理层的职责合理的内部控制要素公司内部控制的控制环境：①控制活动；②信息和沟通程序；③持续性监督程序。特恩布尔报告还描述了健全的内部控制所应具备的根本特征：①内部控制根植于公司的经营之中，成为公司文化的一局部，换言之，它不仅仅是为了取悦监管者而进行的年度例行检查，更是真正意义上的对公司既定战略目标的执行和公司治理的延伸；②针对公司所面临的日新月异的风险，内部控制应具有快速反响的能力；③具有对管理中存在的缺陷或失败进行快速报告的能力，并且能及时地采取纠正措施。五、迈尔斯评论〔MynersReview〕06一月2024企业风险管理第一章绪论10针对机构投资者〔包括养老金方案、保险公司〕投资决策过程有效性进行研究。2001年3月，鲍尔.迈尔斯公布了相应的研究。报告中除了指明当时英国机构投资者在投资决策过程中显著缺失有效性和灵活性外，还对投资决策有效步骤提出了根本的原那么，对机构投资者的投资控制有着指导意义。六、史密斯报告〔SmithReport〕06一月2024企业风险管理第一章绪论112024年1月发布的史密斯报告为上市公司提供了董事会如何安排审计委员会以及审计委员会中的董事如何履行职责的指引该报告提供的指引包含以下内容：①审计委员会的组成与角色，人选程序和来源；②与董事会的关系；③角色与职能；④与股东的沟通七、西格斯报告〔HiggsReport〕06一月2024企业风险管理第一章绪论122024年4月，英国财政部和贸易中心为了提高英国各行业的生产效率，发起了对公众上市公司非执行董事有效性的调研，对非执行董事的角色和效率提高进行彻底澄清就独立非执行董事在独立性、雇佣、任命、就职、任期、薪酬、辞职、审计委员会、职责和投资者关系各个方面提出了长达6页纸的改进建议。八、泰森报告〔TysonReport〕06一月2024企业风险管理第一章绪论13泰森报告共有12章，涵盖独立非执行董事的属性、成员来源、当前状况、独立非执行董事成员多样性的优势、董事会构成的约束条件、未来的培训事宜等。主要特点如下：基于对公司的特殊需要和所面临的挑战进行详细评估而作出的对每一个独立非执行董事的任命过程；适用范围扩大，包括公众上市公司、专业效劳公司、非上市公司、私人股权公司、非商业部门以及外资企业中的商业和非商业部门；为董事会成员提供正式的培训和评估；形成新的组织，对董事会的构成提供常规的、可靠的评估。九、公司治理联合条例06一月2024企业风险管理第一章绪论142024年的公司治理联合条例取代了1998年由哈姆贝尔委员会发布的条例。2024年的联合条例在原来条例的根底上，新增了西格斯报告关于独立非执行董事和史密斯报告关于审计委员会的内容。英国金融效劳当局〔FSA〕决定将新联合条例参加到上市准那么中，在2024年11月及以后的上市公司报告中实行。上市公司披露报告将有两局部内容涉及到上市准那么的修订：在报告的第一局部将要求陈述公司治理政策，第二局部将要求说明在哪些方面遵守了联合条例的条款，而在哪些方面没有遵守，不遵守的理由是什么。在实际操作中准那么仍然采用沿用了10年之久的“遵守或解释〞的方法。联合条例分为5个局部，分别是董事、薪酬、问责制度与审计、股东关系以及机构股东。英国企业风险管理实践总结总之，英国企业内部控制的开展离不开公司治理的推动，内部控制和内部审计研究均置于公司治理的框架之内，重视从公司治理的角度来稳固内部控制制度的效果，把内部控制看作公司治理在企业日常运用中的有效延伸，这是英国公司治理和内部控制体系开展带给我们最大的启发，也是当前企业风险管理体系的核心，并催生了当前的公司治理的问责制和最正确实践的根本原那么。06一月2024企业风险管理第一章绪论15英国企业风险管理实践总结公司治理的目的是建立一种问责性制度(Accountability),以使公司的董事会和管理人员切实承担其责任，有效地运用他们受托管理的资金，为投资者〔股东〕谋取利益。健康的公司治理要求董事会内设置足够多的外部独立董事〔甚至过半〕，而不是让负责经营管理公司的内部人员控制董事会。董事会任命的某些附属委员会应该完全由外部独立董事组成，以便保障健康的公司治理实践。对审计委员会而言，这一点尤为重要。独立董事的重要作用越来越多地在公司治理准那么和金融机构管理法规中得到反映和表达。06一月2024企业风险管理第一章绪论16第二节

企业风险管理在美国的实践美国作为当前全球对风险管理控制最为严厉的国家，其风险管理的开展经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架与整体内部控制和企业全面风险管理5个不同阶段。COSO委员会〔发起组织委员会〕官网：/06一月2024企业风险管理第一章绪论17一、美国的风险管理开展历程06一月2024企业风险管理第一章绪论18-实物牵制-薄记牵制法律责任,广义内控COSO内部控制整合框架萨班斯法案内控评价内部审计进展40年代前40-70年代80-90年代90年代后2024年后内部牵制内部控制结构完善-控制环境-会计系统-控制程序-控制环境-风险评估-控制活动-信息沟通-监督-建立内控-数据准确一致-内控可靠性

COSO企业风险管理整合框架-内部环境-目标设置-事件辨识-风险评估-风险反响-控制活动-信息与沟通-监控二、COSO?内部控制—整合框架?06一月2024企业风险管理第一章绪论19〔一〕内部控制定义由一个实体的董事会、管理层与其他人员所实施的一个流程，用于提供实现以下几方面目标的合理保证：第一，财务报告的可靠性；第二，运营的有效性与效率；第三，符合相关法律法规COSO的三维整合框架为管理层提供了评估内部控制所需的标准：内部控制的设计旨在合理保证实现公司以下目标：运营的有效性与效率〔包括资产保护〕、财务报告的可靠性以及符合相关的法律法规。内部控制制度在公司内部贯穿的范围：部门单位层〔EntityLevel)与行动层〔ActivitiesLevel，或称流程层〕。公司必须在这两个层次上对其内部控制进行评估：部门单位层、行动层或流程层。内部控制制度的五大要素06一月2024企业风险管理第一章绪论20【例】以下选项中属于COSO委员会内部控制根本目标的是〔〕。

A.资产平安

B.运营的效益和效率

C.财务报告的可靠性

D.遵守适用的法律法规

『正确答案』BCD

『答案解析』COSO委员会对内部控制的定义是“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规。〞06一月2024企业风险管理第二章企业风险管理在各国的实践21〔二〕内部控制五大要素控制环境—控制环境决定了一个组织的基调，影响成员对于控制的意识。它是内部控制所有其他局部的根底，提供纲领和结构。控制环境因素包括：诚信、道德价值观和企业员工的竞争力；管理哲学和经营风格；管理层如何进行授权和职责分配，如何组织和开展它的员工；董事会提供的关注和指导；风险评估—每个公司都面临着内外部风险，这些风险必须被评估。风险评估的前提是建立不同层次但具有内部一致性的目标。风险评估是发现和分析对到达目标有影响的风险的过程，是确定如何管理和控制风险的根底。控制活动—控制活动是确保管理层指令得到执行的公司政策和流程。它确保企业针对相关的风险采取了必要的措施，以实现企业的目标。控制活动存在于整个组织的所有层次和所有职能部门中。控制活动包括一系列不同的活动，例如对经营活动的审批、授权、确认、核对、审核，对资产的保护，职权别离等06一月2024企业风险管理第一章绪论22〔二〕内部控制五大要素信息与沟通—相关的信息必须以某种形式并在某个时段被识别、获得和沟通，以促使职责的履行。信息系统生成报告，内容包括经营、财务和合规性方面的信息，以使得管理层能够运作和控制业务活动。有效的沟通应当基于更为广泛的理解，自上而下、自下而上地贯穿整个组织。监控—内部控制系统需要监督—一套随时评价内部控制系统运行状况的流程。通过持续的监督活动、单独的评价或者两者的结合来完成这种控制。06一月2024企业风险管理第一章绪论23【例】在COSO内部控制框架中，作为其它要素的根底的是〔〕。

A.控制环境B.风险评估C.控制活动D.监察

『正确答案』A【例】某大型银行规定，顾客贷款经理在批准贷款前，必须复核其下级提交的顾客分析报告及相关文件，并签字授权，然后才能为贷款者发放贷款。根据以上信息可以判断，该银行的这种控制活动属于〔〕。

A.授权和批准B.人员控制

C.监督及管理控制D.计算和会计

『正确答案』A

06一月2024企业风险管理第二章企业风险管理在各国的实践24〔三〕COSO报告中对公司人员在内部控制中的阐述管理层：公司首席执行官〔CEO〕对内部控制负有全面的责任，可以看作是内部控制系统的“责任人〞。依次的，高级管理人员向负责企业运营的员工分配建立更为具体的内部控制政策和程序的责任。董事会：管理层对董事会负责，董事会实施治理、指导和监督。内部审计师：内部审计师在评价内部控制有效性方面起着重要的作用，对维持有效性也有所奉献。内部审计职能部门因为其在企业中的地位和权利，起着重要的监督作用。内部其他人员：内部控制从某种程度上是组织中每个人的责任，因此应当作为每个人工作范围的明确或非明确的一局部。外部人员。公司的外部人员也有助于控制目标的实现。如外部审计、法律参谋、监管部门、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等06一月2024企业风险管理第一章绪论25三、萨班斯一奥克斯利法案萨班斯法案的关键点就是建立起公司财务报告的可靠性。萨班斯法案共计11章，分别为公众公司审计委员会、审计师的独立性、公司的责任、强化财务资讯披露、利益冲突的分析、委员会的组成及其权利、研究及报告、公司欺诈及其刑事责任、强化白领刑事责任、公司纳税申报表和公司欺诈责任。11章下又分为66节，其中最重要的302节和404节第302节

公司对财务报告的责任第404节

管理层对内部控制的评价06一月2024企业风险管理第一章绪论26萨班斯法案中的302与404条款06一月2024企业风险管理第二章企业风险管理在各国的实践27302条款–定期公开报告的附加CEO/CFO承诺书与披露已审阅了上报的该定期报告；该报告无失实陈述、或漏报重大事实、或误导情况；该报告公允地反映了公司的财务状况；设立并维持了足够的披露内控体系；财务报告内控体系披露内控体系已于该报告中评价内控体系的有效性；对财务报告内控体系的重要变化说明；已对审计师披露财务报告内控体系的重大缺陷和缺乏，以及对财务报告内控有重大影响的雇员欺诈行为。404条款-年度财务报告内部控制的公司管理层报告书设立并维持了足够的财务报告内控体系；财务报告内控体系有效性的评价；为评价财务报告内控体系而采用的评价体系的说明。Sarbanes-OxleyActof2024萨班斯一奥克斯利法案的精髓〔1〕禁止向本公司董事或高管人员提供私人贷款；在养老金方案管制期内，公司的董事和高层管理人员不能直接或间接交易或持有该公司股票或从中获益的其他行为；对于有违反证券法规情节的有关人士，美国证监会可以禁止他们担任公司的管理人员或者董事等。〔2〕上市公司所有定期报告〔包括公司依照1934年证券交易法规定编制的会计报表〕应附有公司首席执行官与首席财务官签署的承诺函；承诺函中的内容包括：确保本公司定期报告所含会计报表及信息披露的适当性，并且保证此会计报表及信息披露在所有重大方面都公正地反映了公司的经营成果及财务状况。06一月2024企业风险管理第一章绪论28萨班斯一奥克斯利法案的精髓〔3〕在公司定期报告中假设发现因实质性违反监管法规而被要求重编会计报表时，公司的CEO/CFO应当返还给公司12个月内从公司收到的所有奖金、红利、其他形式的鼓励性报酬以及买卖本公司股票所得收益；如果公司CEO/CFO事先知道违规事项，但仍提交承诺函，最多可以判处10年监禁，以及100万美元的罚款；对于成心做出虚假承诺的，最多可以被监禁20年并判处500万美元的罚款，20年监禁的重刑—这和美国持枪抢劫的最高刑罚相同。06一月2024企业风险管理第一章绪论29萨班斯一奥克斯利法案的精髓〔4〕提高财务报告披露的及时性。将年度报告期由90天缩短为60天；季度报告由45天缩短为35天。年报及季报都需要注册会计师的审计；强化上市公司内控及报告制度，要求公司年度报告中提供“内部控制报告〞，说明公司内部控制制度及其实施的有效性，“内部控制报告〞要出具注册会计师的意见；提高对公司信息披露可用性的要求，包括定期报告中披露所有的资产负债表外交易、财务状况的预测性信息、高层财务人员的道德守那么、所有由注册会计师出具的实质性的纠正调整、临时报告中公司财务状况或财务经营状况的实质性变化等。06一月2024企业风险管理第一章绪论30萨班斯一奥克斯利法案的精髓〔5〕公司的审计委员会必须完全由“独立董事〞组成独立董事不得是公司或者其子公司的关联人士，其中至少一人应是财务专家；独立董事不得从公司接受任何咨询费、参谋费或者其他酬金；公司聘用会计师事务所及报酬方式要由审计委员会批准，并接受审计委员会的监督；会计师事务所在审计过程中遇到的重大事项必须及时报告审计委员会；为保证审计委员会能够及时发现公司的会计和审计问题，还需要建立一套处理举报或投诉的工作程序以及相应的监测系统、反响机制。06一月2024企业风险管理第一章绪论31萨班斯一奥克斯利法案的精髓〔6〕禁止会计师事务所在进行审计业务的同时提供非审计业务；强制实行注册会计师定期轮换制。〔7〕要求美国证券交易委员会制定相关的规定和细那么，以防止证券分析师在其研究报告或公开场合向投资者推荐股票时“见利忘义〞，以提高研究报告的客观性，向投资者提供更为有用和可靠的信息；规定一定期限内担任或即将担任公开发行股票承销商或坐市商(Dealers)的经纪人和交易商不得公开发布关于该股票或发行人的研究报告；在执业的经纪人和交易商内部建立制度架构体系，将证券分析师划分为复核、强制(Pressure)、监察等不同的工作部门，以防止参与投资银行业务的人员存有潜在的偏见；要求证券分析师、经纪人和交易商在研究报告公布的同时，披露的和应当知晓的利益冲突事项。06一月2024企业风险管理第一章绪论32萨班斯一奥克斯利法案的精髓〔8〕任何人通过信息欺诈或价格操纵在证券市场获取利益，最多可监禁25年或处以罚款；对违法的注册会计师可被判处10年以下监禁或罚款；延长了对证券欺诈的追诉期，起诉时间可以延长至非法行为发现的2年内，或者非法行为实施后的5年内；新的规定将保护公司检举揭发的员工，对举报者进行打击报复的，最高可判处10年监禁，还规定了对举报者的具体的补偿措施，比方恢复职务、补发报酬及其他损失等。06一月2024企业风险管理第一章绪论33萨班斯一奥克斯利法案实施的短板和误区考问之一：正确地做事还是做正确的事。考问之二；纸面工作还是风险导向。考问之三：独立会计师对公司经营风险的把握和胜任能力。06一月2024企业风险管理第一章绪论34四、COSO?企业风险管理—整合框架?〔一〕产生背景进人21世纪以来风险管理课题的日益凸显，要求一个内涵更为丰富的理论框架以有效地识别、评估与管理风险。在广泛吸收各国理论界〔例如：英国的Turnbull报告，加拿大的COCO〕和实务界〔例如：银行业的BaseⅡ〕等研究结果的根底之上，并且经过充分的意见征求与讨论之后，COSO将其理论体系进行了进一步的丰富与提升，并于2024年9月在?内部控制—整合框架?理论的根底之上推出了?企业风险管理一整合框架)((EnterpriseRiskManagement，ERM框架)。06一月2024企业风险管理第二章企业风险管理在各国的实践35〔二〕主要内容根据COSO的?企业风险管理—整合框架?，企业风险管理应包括八个相互关联的构成要素。它们是：内部环境、目标设置、事件辨识、风险评估、风险反响〔对策〕、控制活动、信息和沟通、监控。06一月2024企业风险管理第二章企业风险管理在各国的实践361．内部环境内部环境是企业风险管理所有其它构成要素的根底，为其他要素提供约束和结构。它影响战略和目标如何制订，经营活动如何组织以及如何识别、评估风险并采取行动。它还影响着控制活动、信息与沟通体系和监控措施的设计与运行。内部环境包含很多要素，关键要素有风险管理哲学、风险偏好、风险文化、董事会、操守与道德价值观、能力、管理哲学和经营风险、组织架构、权责划分以及人力资源标准。06一月2024企业风险管理第二章企业风险管理在各国的实践371．内部环境〔1〕风险管理哲学：企业的风险管理哲学指的是企业从战略制定到日常经营过程中对待风险的一系列信念与态度，它反映了企业的价值观，影响着企业的文化和经营风格，也影响到企业风险管理要素的应用，如风险如何确认、评估或管理。〔2〕风险偏好：风险偏好是指企业为追求某个目标或价值可以接受的风险程度。〔3〕风险文化：风险文化是指企业内部知识共享的态度和对风险的价值观，它贯穿于企业风险评估的日常操作中。〔4〕董事会：董事会是内部环境的重要组成局部，而且对其他的内部环境因素有重要影响。〔5〕操守和道德价值观：管理层操守和道德价值观会改变风险偏好和价值判断，并进一步影响行为准那么及战略目标的实现。06一月2024企业风险管理第二章企业风险管理在各国的实践381．内部环境〔6〕员工能力：员工能力指员工执行所分配的工作所需要的知识和技术。〔7〕管理哲学和经营风格：管理哲学与运营风格影响企业的管理方式，包括可以接受的风险种类。〔8〕组织架构：企业的组织结构指为企业活动提供方案、执行、控制和监督职能的整体框架。〔9〕授权与责任：权责分配包括对个人或团体的授权程度，对创造性地处理、解决问题的鼓励，以及所授权限的范围。授权应该授到被授权人能够完成目标的程度。〔10〕人力资源准那么：内部控制是由人来进行设计并实施的，保证组织内所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践，是内部控制有效的关键因素之一。06一月2024企业风险管理第二章企业风险管理在各国的实践392．目标设置目标设置是风险事件辨识、风险评估和设定风险对策的根底。06一月2024企业风险管理第二章企业风险管理在各国的实践40战略目标相关目标选定的目标包括经营目标报告目标合规目标风险偏好风险容忍度符合目标重合3.事件辨识事件是指影响企业目标实现的内部和外部事件。事件的发生对企业可能有正面或负面的影响。识别这些事件，区分风险和时机，并将时机反响到管理层的战略或目标制订过程中。企业对事件识别时可以有多种方法进行选择事件之间具有相关性06一月2024企业风险管理第二章企业风险管理在各国的实践414.风险评估企业对于辨识出的事件进行评估，通过考虑事件带来风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。固有风险指企业经营运作中必定存在的风险，企业的风险控制活动会影响此类风险发生的可能性及其影响。剩余风险是在管理当局的风险应对之后所剩余的风险。风险评估可以采取定量或定性的方法进行。06一月2024企业风险管理第二章企业风险管理在各国的实践425．风险反响对相关风险评估后，管理层应当采取相应的应对策略。管理层可以选择的风险对策有风险回避、风险承担、风险降低或者风险对冲〔风险分担〕。采取一系列风险应对行动以便把风险控制在企业的风险容忍度以内。06一月2024企业风险管理第二章企业风险管理在各国的实践436．控制活动控制活动是指制订和执行政策与程序以帮助确保风险应对措施得以有效实施。控制活动类型多样，包括预防性控制和发现性控制，或者手工控制、计算机控制和管理控制等。06一月2024企业风险管理第二章企业风险管理在各国的实践447．信息与沟通信息包括业务信息和财务信息。信息可以是正式的或非正式的。相关的信息有助于管理层把握风险和时机，可以确保员工履行其职责的方式和时机予以识别、获取和沟通。在信息根底上，还需要沟通来共享信息资源。06一月2024企业风险管理第二章企业风险管理在各国的实践458．监控全面风险管理是不断变化持续的过程，会因内外部环境的变化而改变，因此需要对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。06一月2024企业风险管理第二章企业风险管理在各国的实践46〔三〕全面风险管理的目标战略〔strategic〕目标：这是企业的高层次目标，与企业使命相关联并支撑其使命；风险管理目标必须与企业开展的战略目标相辅相成，战略目标的实现可以通过企业风险管理的风险分析、风险控制等途径实现。经营〔operations〕目标：指企业应有效和高效率地利用其资源，高效运营。报告〔reporting〕目标：指企业要真实披露企业的经营业绩，确保财务报告真实可靠。合规〔compliance〕目标：指企业要遵循相关法律和法规的规定，合规经营。06一月2024企业风险管理第二章企业风险管理在各国的实践47〔四〕内控框架与风险框架06一月2024企业风险管理第二章企业风险管理在各国的实践48内控系统：风险管理的必经之路06一月2024企业风险管理第二章企业风险管理在各国的实践49内控系统是全面风险管理的子系统。相对于整个全面风险管理而言，内控在目标、手段、对象范围等方面都有局限COSO的综合内控体系对世界各国公司立法和管理影响巨大美国通过的Sarbanes-Oxley(2024)法案将建立和维持有效的内控系统作为对上市公司的法律合规要求COSO1992内部控制是通过有关企业流程的设计和实施的一系列政策、制度、程序和措施，控制影响流程目标的各种风险的过程风险管理与内部控制的关系06一月2024企业风险管理第二章企业风险管理在各国的实践50?ERM框架?并非意在取代，也没有取代?内部控制框架?，而更应当说是吸纳了?内部控制框架?的精髓；?ERM框架?既能满足内部控制的需要，又能进一步地充实完善风险管理流程。概念的扩大：内部控制，将事情做正确；全面风险管理：做正确的事情目标的开展：增加战略目标，报告目标扩大操作性的提升：风险管理应用于企业战略制定要素的开展：五要素至八要素第3节企业风险管理在我国的实践我国内部控制制度的建设和开展源于20世纪90年代，主要由政府、证券监督管理机构、行业监管机构等制定的内部有关法律、法规、指引等推动。2024年6月，国资委发布了?中央企业全面风险管理指引?2024年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了?企业内部控制根本标准?〔以下简称根本标准〕。06一月2024企业风险管理第二章企业风险管理在各国的实践51第3节企业风险管理在我国的实践2024年6月12日，财政部会同国务院有关部门草拟了?企业内部控制评价指引?〔征求意见稿〕、?企业内部控制应用指引?〔征求意见稿〕和?企业内部控制鉴证指引?〔征求意见稿〕。其中?企业内部控制应用指引?〔征求意见稿〕包含资金、采购、存货、销售、工程工程、固定资产、无形资产、长期股权投资、筹资、预算、本钱费用、担保、合同协议、业务外包、对子公司的控制、财务报告编制与披露、人力资源政策、信息系统一般控制、衍生工具、企业并购、关联交易和内部审计22个工程。2024年12月31日，财政部又新增了组织架构、开展战略、人力资源、企业文化和社会责任等5个应用指引工程的征求意见稿。06一月2024企业风险管理第二章企业风险管理在各国的实践52第四节

企业风险管理在其他国家和地区的实践一、澳大利亚和新西兰国家风险管理标准AS/NZS436006一月2024企业风险管理第二章企业风险管理在各国的实践53国家标准AS/NZS43601995:1999

世界上第一个国家企业风险管理标准定义了风险管理的标准程序突出了风险管理的内部与外部环境二、