第9章-经营、报告、合规风险管理

第9章经营、报告、合规风险管理本章学习目标1.熟悉经营风险管理含义及流程2.熟悉报告风险管理含义及流程3.熟悉合规风险管理含义及流程第九章经营、报告、合规风险管理第一节经营风险管理第二节报告风险管理第三节合规风险管理

第一节经营风险管理

一、经营风险管理概述二、经营风险管理流程三、经营风险管理(分类别)实务及流程模板一、经营风险管理概述

经营风险包括了企业内部环境控制活动、业务及运营活动、和财务及信息活动三类活动产生的不确定性（如下表）。经营风险管理是对经营过程中的不确定性进行管控的活动。国内涉及经营（运营）风险管理的规范/指引/指南2006年《中央企业全面风险管理指引》2008年《企业内部控制基本规范》2009年《风险管理原则与实施指南》(GB/T24353—2009)》2010年《企业内部控制应用/评价/审计指引》2016年《管理会计基本指引》二、经营风险管理流程（一）经营风险识别（二）经营风险分析（三）经营风险评价（四）经营风险应对（一）经营风险识别分析企业经营活动中涉及风险因素建立经营风险因素模型收集与企业经营风险相关信息形成企业经营风险评估清单（下表）经营风险评估清单(二)经营风险分析

1-经营风险发生可能性分析2-经营风险影响程度分析

国家标准《风险管理原则与实施指南》（GB/T24353-2009）中将风险分析定义为根据风险类型获得的信息和风险评估结构的使用目的，对识别出的风险进行定性和定量的分析，为风险评价和风险应对提供支持。

对于经营风险，具体从发生可能性和影响程度两方面展开分析。1-经营风险发生可能性分析经营风险发生可能性指经营风险发生概率；分析维度为三方面16个因素，采用企业经营风险评估清单（下表）汇总；2-经营风险影响程度分析经营风险影响程度是指经营风险对公司的经营管理和业务发展产生的影响程度。分析维度包括财产类损失、非财产类损失和影响范围。如下表所示。(三)经营风险评价：经营风险评价表基于经营风险发生可能性和经营风险影响程度，确定经营风险等级。并根据经营风险分析结果编制经营风险评价表，具体如下表所示。(四)经营风险应对：经营风险应对计划表建立经营风险基础信息明确经营风险应对措施制定经营风险应对计划经营风险应对计划表三、经营风险管理(分类别)实务及流程模板经营风险具体分为17类风险要素，本节以“人力资源、资金活动及信息系统”3类要素为例，介绍各类经营风险管理的实务和流程。(一)人力资源风险管理实务及流程模板(二)资金活动风险管理实务及流程模板(三)信息系统风险管理实务及流程模板(一)人力资源风险管理实务及流程模板

依据《企业内部应用指引第3号——人力资源》，企业人力资源管理重需关注的主要风险包括：人力资源缺乏或过剩、结构不合理、开发机制不健全；人力资源激励约束制度不合理、关键岗位人员管理不完善；人力资源退出机制不当。人力资源风险管理实务及流程模板-1

本部分以招聘风险管理和员工变动风险管理为例，介绍人力资源风险管理具体实务，内容包括各级流程，风险描述、控制目标、控制标准和责任部门，具体如人力资源(招聘/员工变动)风险管理实务表（部分）所示。人力资源风险管理实务及流程模板-2通过人力资源管理(招聘管理)控制流程图（部分），展示企业人力资源管理中涉及的用人部门，人力资源部，用人部门主管领导，总经理，总经理办公会和董事长之间的关系路径。(二)资金活动风险管理实务及流程模板

依据《企业内部控制应用指引第6号—资金活动》，资金活动中需关注的主要风险包括：筹资决策不当；投资决策失误；资金调度不合理、营运不畅；资金活动管控不严。资金活动风险管理实务及流程模板-1

以资金活动（投资管理）风险管理为例，介绍资金活动风险管理具体实务，包括各级流程，风险描述、控制目标、控制标准和责任部门，具体如资金活动(投资管理)风险管理实务表（部分）所示。资金活动风险管理实务及流程模板-2通过资金活动管理(投资管理)控制流程图（部分），展示企业资金活动管理中涉及的子公司、投融资部、投融资委员会、党委会、总办会、董事会和股东会之间的关系路径。(三)信息系统风险管理实务及流程模板

依据《企业内部控制应用指引第18号—信息系统》，信息系统需关注的主要风险包括：信息系统缺乏或规划不合理；系统开发不符合内部控制要求，授权管理不当；系统运行维护和安全措施不到位。信息系统风险管理实务及流程模板-1

以信息系统风险管理为例，介绍信息系统风险管理具体实务，包括各级流程，风险描述、控制目标、控制标准和责任部门，具体如信息及财务活动(信息安全)风险管理实务表（部分）所示。信息系统风险管理实务及流程模板-2通过信息及财务活动(信息安全)控制流程图（部分），展示企业信息活动管理中涉及的需求单位/部门、综合管理部及部门经理间的关系路径。第二节报告风险管理一、报告风险管理概述二、报告风险管理流程一、报告风险管理概述

基于安然事件等系列财务造假事件背景下的《萨班斯-奥克斯利法案》(Sarbanes-OxleyAct,2002)是海外关于报告风险管理的重要文件；另外，COSO(1992,2004,2013,2017)发布的一些列报告也涉及对报告风险的管控问题。国内对于报告风险的管理始于对上市公司信息披露、公司治理等的相关规定，之后2006年颁布的《中央企业全面风险管理指引》、2008年颁布的《企业内部控制基本规范》及后续系列指引，成为我国对于报告风险管理的重要规范和指南。二、报告风险管理流程(一)报告风险识别(二)报告风险分析(三)报告风险评价(四)报告风险应对(一)报告风险识别报告风险识别涵盖财务报告的生成全过程的各个环节；根据企业财务报告的生成过程，可分为编制、审核、审计、批准、发布和使用等环节，其中最主要环节是财务报告的编制环节；报告风险清单（下页）据此分为“报告编制环节”和“报告其他环节”两部分列示，具体如下所示。报告风险清单(二)报告风险分析

1-报告风险发生可能性分析2-报告风险影响程度分析

国家标准《风险管理原则与实施指南》（GB/T24353-2009）中将风险分析定义为根据风险类型，获得的信息和风险评估结构的使用目的，对识别出的风险进行定性和定量的分析，为风险评价和风险应对提供支撑的过程。对于报告营风险，具体从发生可能性和影响程度两方面展开分析：报告风险发生可能性指报告风险发生的概率，具体分析维度和得分情况如下表所示。1-报告风险发生可能性分析2-报告风险发生影响程度分析

报告风险影响程度是指报告风险对公司的经营管理和业务发展产生的影响程度；分析维度包括分析财产类损失大小、非财产类损失大小和影响范围，具体如下表所示。(三)报告风险评价基于报告风险发生可能性和报告风险影响程度，确定报告风险等级。根据报告风险分析结果编制报告风险评价表，具体如下所示。（四）报告风险应对报告风险应对计划表建立报告风险基础信息明确报告风险应对措施制定报告风险应对计划第三节合规风险管理

一、合规风险管理概述二、合规风险管理流程一、合规风险管理概述

合规概念起源于西方金融行业，国外涉及合规风险管理的代表性文件有《巴塞尔协议》(2005)、《内控、道德与合规,最佳实践指南》(OECD,2010)及《合规管理体系指南》(ISO,2004)。国内合规风险管理概述

我国合规风险管理主要由政府主导推动推动,如《证券公司和证券投资基金管理公司合规管理办法》、《合规管理体系指南》等。近年针对企业全球化经营中出现合规问题，出台《中央企业合规管理指引(试行)》、《企业境外经营合规管理指引》等文件进行规范。二、合规风险管理流程(一)合规风险识别(二)合规风险分析(三)合规风险评价(四)合规风险应对(一)合规风险识别

合规风险识别指发现、收集、确认、描述、分类、整理合规风险，对其产生原因、影响范围、潜在后果等进行分析归纳，并生成企业合规风险清单，为下一步合规风险的分析和评价明确对象和范围。合规风险清单（二）合规风险分析

根据国际标准暨我国国家标准IS019600《合规管理体系指南》第3.6条，合规风险分析是企业对不合规的原因、来源、后果的严重程度、不合规及其后果发生的可能性进行分析和研究，对识别出的合规风险进行定性、定量的分析，为合规风险的评价和应对提供支持。下面从合规风险发生的可能性和合规风险的影响程度两方面展开分析。1-合规风险发生可能性分析

合规风险发生可能性指合规风险发生概率的大小或发生的频率程度。对合规风险发生可能性的分析，可以从内部合规规范的完善程度等五个维度进行。具体如下表所示。2-合规风险影响程度分析合规风险