全面風(fēng)險管理的8個要素

1、全面風(fēng)險管理的8 個要素全面風(fēng)險管理的8 個要素，你都了解清楚了嗎？風(fēng)險管理是指如何在項目或者企業(yè)一個肯定有風(fēng)險的環(huán)境里把風(fēng)險可能造成的不良影響減至最低的管理過程。風(fēng)險管理的目標就是要以最小的成本獲取最大的安全保障。因此，它不僅僅只是一個安全生產(chǎn)問題，還包括識別風(fēng)險、評估風(fēng)險和處理風(fēng)險，涉及財務(wù)、安全、生產(chǎn)、設(shè)備、物流、技術(shù)等多個方面，是一套完整的方案，也是一個系統(tǒng)工程。全面風(fēng)險管理8 個要素：即內(nèi)部環(huán)境、目標設(shè)定、事件識別、風(fēng)險評估、風(fēng)險對策、控制活動、信息和交流、監(jiān)控?！鞠嚓P(guān)內(nèi)容】：淺談內(nèi)部控制與風(fēng)險管理的區(qū)別與聯(lián)系一、內(nèi)部控制和全面風(fēng)險管理在cosO匡架中的內(nèi)涵1 、cosO匡架中關(guān)于內(nèi)

2、部控制與全面風(fēng)險管理的定義現(xiàn)代理論界對內(nèi)部控制的定義各不相同，但被普遍接受的定義是國際權(quán)威機構(gòu)美國的 COSOg員會對內(nèi)部控制的定義。該組織認為：企業(yè)內(nèi)部控制是由企業(yè)董事會、經(jīng)理層以及其他員工共同實施的，為財務(wù)報告的準確性、經(jīng)營活動的效率與效果、相關(guān)法律法規(guī)的遵循等目標的實現(xiàn)而提供合理保證的過程。在COS陵員會的內(nèi)部控制管理框架中，把內(nèi)部控制活動分成五大組成部分，即：控制環(huán)境、風(fēng)險評估、控制活動、信息與交流和監(jiān)督評審。在多年的管理實踐中，人們意識到一個企業(yè)內(nèi)部不同部門或不同業(yè)務(wù)的風(fēng)險，有的會相互疊加放大，有的則相互抵消減少。因此，風(fēng)險的考慮不能僅僅從某項業(yè)務(wù)、某個部門的角度出發(fā)，必須根據(jù)風(fēng)險組

3、合的觀點，從貫穿整個企業(yè)的角度看風(fēng)險，即要實行全面風(fēng)險管理。依據(jù)COS匿員會2003年7月完成的全面風(fēng)險管理框架定義：企業(yè)風(fēng)險管理是一個過程，是由企業(yè)的董事會、管理層以及其他人員共同實施的，應(yīng)用于戰(zhàn)略制定及企業(yè)各個層次的活動，旨在識別可能影響企業(yè)的各種潛在事件，并按照企業(yè)的風(fēng)險偏好管理風(fēng)險，為企業(yè)目標的實現(xiàn)提供合理的保證。該框架有三個維度，第一維是企業(yè)的目標; 第二維是全面風(fēng)險管理要素; 第三維是企業(yè)的各個層級。第一維企業(yè)的目標有4個，即戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。第二維全面風(fēng)險管理要素有8 個，即內(nèi)部環(huán)境、目標設(shè)定、事件識別、風(fēng)險評估、風(fēng)險對策、控制活動、信息和交流、監(jiān)控。第三個

4、維度是企業(yè)的各個層級，包括整個企業(yè)、各職能部門、各條業(yè)務(wù)線及下屬各子公司。全面風(fēng)險管理框架三個維度的關(guān)系是：全面風(fēng)險管理的8 個要素都是為企業(yè)的四個目標服務(wù)的;企業(yè)各個層級都要堅持同樣的四個目標; 每個層次都必須從以上 8 個方面進行風(fēng)險管理。2 、內(nèi)部控制與全面風(fēng)險管理的聯(lián)系(1) 全面風(fēng)險管理涵蓋了內(nèi)部控制。COSO200笄7月公布了全面風(fēng)險管理框架的征求意見稿中明確地指出全面風(fēng)險管理體系框架包括內(nèi)控作為一個子系統(tǒng)。全面風(fēng)險管理除包括內(nèi)部控制的 3 個目標之外，還增加了戰(zhàn)略目標; 全面風(fēng)險管理的8個要素除了包括內(nèi)部控制的全部5 個要素之外，還增加了目標設(shè)定、事件識別和風(fēng)險對策3 個要素。從

5、時間先后和內(nèi)容上來看，全面風(fēng)險管理是對內(nèi)部控制的拓展和延伸。(2) 內(nèi)部控制是全面風(fēng)險管理的必要環(huán)節(jié)。內(nèi)部控制的動力來自企業(yè)對風(fēng)險的認識和管理，對于企業(yè)所面臨的大部分運營風(fēng)險，或者說對于在企業(yè)的所有業(yè)務(wù)流程之中的風(fēng)險，內(nèi)控系統(tǒng)是必要的、高效的和有效的風(fēng)險管理方法。同時，維持充分的內(nèi)控系統(tǒng)也是國內(nèi)外許多法律法規(guī)的合規(guī)要求。因此，滿足內(nèi)部控制系統(tǒng)的要求也是企業(yè)風(fēng)險管理體系建立應(yīng)該達到的基本狀態(tài)。(3) 、內(nèi)部控制與全面風(fēng)險管理的差異（1） 兩者的范疇不一致。內(nèi)部控制僅是管理的一項職能，主要是通過事后和過程的控制來實現(xiàn)其自身的目標; 而全面風(fēng)險管理則貫穿于管理過程的各個方面，控制的手段不僅體現(xiàn)在事中

6、和事后的控制，更重要的是在事前制訂目標時就充分考慮了風(fēng)險的存在。而且，在兩者所要達到的目標上，全面風(fēng)險管理多于內(nèi)部控制。（2） 兩者的活動不一致。全面風(fēng)險管理的一系列具體活動并不都是內(nèi)部控制要做的。目前所提倡的全面風(fēng)險管理包含了風(fēng)險管理目標和戰(zhàn)略的設(shè)定、風(fēng)險評估方法的選擇、管理人員的聘用、有關(guān)的預(yù)算和行政管理、以及報告程序等活動。而內(nèi)部控制所負責(zé)的是風(fēng)險管理過程中間及其以后的重要活動，如對風(fēng)險的評估和由此實施的控制活動、信息與交流活動和監(jiān)督評審與缺陷的糾正等工作。兩者最明顯的差異在于內(nèi)部控制不負責(zé)企業(yè)經(jīng)營目標的具體設(shè)立，而只是對目標的制定過程進行評價，特別是對目標和戰(zhàn)略計劃制定當(dāng)中的風(fēng)險進行評

7、估。（3） 兩者對風(fēng)險的定義不一致。在COS陵員會的全面風(fēng)險管理框架中，把風(fēng)險明確定義為“對企業(yè)的目標產(chǎn)生負面影響的事件發(fā)生的可能性”（ 將產(chǎn)生正面影響的事件視為機會） ，將風(fēng)險與機會區(qū)分開來；而在COS匿員會的內(nèi)部控制框架中，沒 有區(qū)分風(fēng)險和機會。（4） 兩者對風(fēng)險的對策不一致。全面風(fēng)險管理框架引入了風(fēng)險偏好、風(fēng)險容忍度、風(fēng)險對策、壓力測試、情景分析等概念和方法，因此，該框架在風(fēng)險度量的基礎(chǔ)上，有利于企業(yè)的發(fā)展戰(zhàn)略與風(fēng)險偏好相一致，增長、風(fēng)險與回報相聯(lián)系，進行經(jīng)濟資本分配及利用風(fēng)險信息支持業(yè)務(wù)前臺決策流程等，從而幫助董事會和高級管理層實現(xiàn)全面風(fēng)險管理的4 項目標。這些內(nèi)容都是內(nèi)部控制框架中沒

8、有的，也是其所不能做到的。二、內(nèi)部控制和全面風(fēng)險管理在國內(nèi)的運用1 、國內(nèi)關(guān)于內(nèi)部控制與全面風(fēng)險管理的定義目前國內(nèi)關(guān)于內(nèi)部控制和全面風(fēng)險管理的正式定義主要是財政部關(guān)于印發(fā)企業(yè)內(nèi)部控制規(guī)范基本規(guī)范和 17 項具體規(guī)范（ 征求意見稿） 的通知以及國務(wù)院國資委發(fā)布的中央企業(yè)全面風(fēng)險管理指引中有相關(guān)的表述。財政部關(guān)于內(nèi)部控制規(guī)范的通知中對內(nèi)部控制的定義是：是指由企業(yè)董事會（ 或者由企業(yè)章程規(guī)定的經(jīng)理、廠長辦公會等類似的決策、治理機構(gòu)，以下簡稱董事會） 、管理層和全體員工共同實施的、旨在合理保證實現(xiàn)以下基本目標的一系列控制活動：企業(yè)戰(zhàn)略; 經(jīng)營的效率和效果; 財務(wù)報告及管理信息的真實、可靠和完整; 資產(chǎn)

9、的安全完整; 遵循國家法律法規(guī)和有關(guān)監(jiān)管要求。國資委指引中關(guān)于全面風(fēng)險管理的定義是：指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風(fēng)險管理的基本流程，培育良好的風(fēng)險管理文化，建立健全全面風(fēng)險管理體系，包括風(fēng)險管理策略、風(fēng)險理財措施、風(fēng)險管理的組織職能體系、風(fēng)險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風(fēng)險管理的總體目標提供合理保證的過程和方法。2 、國內(nèi)關(guān)于內(nèi)部控制和全面風(fēng)險管理與COSO匡架的差異總體上來說，國內(nèi)關(guān)于內(nèi)部控制和全面風(fēng)險管理的內(nèi)容基本參照或遵從了 COS匿員會內(nèi)部控制管理框架和全面風(fēng)險管理框架，但結(jié)合國內(nèi)的實際情況和一些前沿的研究成果，國內(nèi)對于內(nèi)部控制和全面風(fēng)險管

10、理在各自領(lǐng)域都有不同程度的調(diào)整、拓展和延伸。(1) 目標緯度：財政部關(guān)于內(nèi)部控制的定義相對COSOg員會對內(nèi)部控制定義在實現(xiàn)目標上有所拓展，增加了企業(yè)戰(zhàn)略目標和資產(chǎn)的安全完整目標。而在國資委全面風(fēng)險管理的實現(xiàn)目標增加了“確保企業(yè)建立針對各項重大風(fēng)險發(fā)生后的危機處理計劃，保護企業(yè)不因災(zāi)害性風(fēng)險或人為失誤而遭受重大損失?！绷硗?，其他四個目標也與COSOlr面風(fēng)險管理四個目標在表述上有所差異，使之更適應(yīng)我國企業(yè)經(jīng)營管理表述習(xí)慣或者更具體而易于理解。從這個角度來說，特別是內(nèi)部控制實現(xiàn)目標的拓展使得其與全面風(fēng)險管理實現(xiàn)目標差異不大。(2) 要素緯度：財政部內(nèi)部控制通知形式上借鑒了COSOS告5要素框架，

11、同時在內(nèi)容上體現(xiàn)了風(fēng)險管理8要素框架的實質(zhì); 國資委全面風(fēng)險管理指引中則沒有明確指出是 5 要素還是8 要素，但通過風(fēng)險管理基本流程( 如圖1) 將全面風(fēng)險管理的一些要素融合到流程中，從實質(zhì)來說，也體現(xiàn)的是8要素的COSOir面風(fēng)險管理框架。(3) 層級緯度：財政發(fā)布的內(nèi)部控制通知目前主要以財務(wù)報告內(nèi)部控制目標為主線所涉及的業(yè)務(wù)層級有較詳細的規(guī)范 ; 國資委全面風(fēng)險管理指引關(guān)注范圍更廣泛，包括戰(zhàn)略、財務(wù)、市場、運營、法律等方面。因此，從企業(yè)的戰(zhàn)略風(fēng)險依次到經(jīng)營風(fēng)險、財務(wù)風(fēng)險，最后到財務(wù)報告，風(fēng)險管理與內(nèi)部控制的相對重要性應(yīng)該各有不同。在戰(zhàn)略風(fēng)險方面，風(fēng)險管理應(yīng)該發(fā)揮主導(dǎo)作用，內(nèi)部控制起到配合作

12、用。這一角色逐步逆轉(zhuǎn)，到財務(wù)報告層次，應(yīng)該是內(nèi)部控制發(fā)揮主導(dǎo)作用，風(fēng)險管理起到配合作用。(4) 兩者關(guān)系：國資委全面風(fēng)險管理指引明確指出內(nèi)部控制是全面風(fēng)險管理體系的組成部分，同時也指出除內(nèi)部控制外的其他全面風(fēng)險管理組成部分( 如圖2) 。但由于財政部內(nèi)部控制通知由臺較晚，且借鑒了COSOr面風(fēng)險管理框架的內(nèi)容，使得其內(nèi)部控制的邊界擴大了不少，包括實現(xiàn)目標和要素都與全面風(fēng)險管理差異不大。因此，我們理解全面風(fēng)險管理指引中提到的內(nèi)部控制與財政部內(nèi)部控制已經(jīng)不可同日而語。從國際國內(nèi)發(fā)展趨勢來看，隨著內(nèi)部控制或風(fēng)險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統(tǒng)一。(5) 、國內(nèi)關(guān)于內(nèi)部

13、控制與全面風(fēng)險管理運用的一些誤區(qū)(1) 把內(nèi)部控制與全面風(fēng)險管理體系的建設(shè)理解為建章立制。其實從COSOS架的定義中，我們可以看由它們都被明確為是一個“過程”，不能當(dāng)作某種靜態(tài)的東西，如制度文件、技術(shù)模型等，也不是單獨或額外的活動，如檢查評估等，最好是內(nèi)置于企業(yè)日常管理過程中，作為一種常規(guī)運行的機制來建設(shè)。(2) 內(nèi)部控制體系和全面風(fēng)險管理體系是相互獨立的。建設(shè)內(nèi)部控制和全面風(fēng)險管理體系都是一個系統(tǒng)工程，兩者在內(nèi)涵上也有一定重合，企業(yè)需要綜合考慮自身業(yè)務(wù)特點、發(fā)展階段、信息技術(shù)條件、外部環(huán)境要求等，確定選擇合適的管理體 系和建設(shè)重點。比如，在監(jiān)管嚴格的金融業(yè)或涉及人民生命健 康的制藥與醫(yī)療行業(yè)

14、，風(fēng)險管理的迫切性更強，企業(yè)以風(fēng)險管 理主導(dǎo)內(nèi)部控制可能更方便。而在另一些企業(yè)，為了符合信息 披露中內(nèi)部控制報告的要求，企業(yè)以內(nèi)部控制系統(tǒng)為主導(dǎo)、兼 顧風(fēng)險管理可能更適合。在相關(guān)管理理論和實踐不斷發(fā)展變化的今天，有時候先做起來比爭論更有意義。(3) 內(nèi)部控制和全面風(fēng)險管理的作用被夸大。有些企業(yè)對 內(nèi)部控制和風(fēng)險管理體系的建設(shè)寄有過高期望，他們希望內(nèi)部控制和風(fēng)險管理可以確保企業(yè)的成功、確保財務(wù)報告的可靠性和法律法規(guī)的遵循性。而實際上無論多么先進的內(nèi)部控制和風(fēng)險管理體系都只能為企業(yè)相關(guān)目標的實現(xiàn)提供合理的而非絕對的保證。(4) 內(nèi)部控制與全面風(fēng)險管理理念在企業(yè)實踐落地難。由 于新的管理理念和方法的

15、引進，與國內(nèi)企業(yè)原有的管理體系和觀點存在較多的差異和差距，目前這些理念和方法還更多的處于導(dǎo)入階段，大多數(shù)企業(yè)管理人員還不能在這些框架和概念與 企業(yè)的日常經(jīng)營管理行為和語言之間建立直接的聯(lián)系。這造成了企業(yè)在這方面的理解有差異或者關(guān)注度不夠，除非出現(xiàn)強制 性的相關(guān)規(guī)范和要求。其實這些理念、概念的出現(xiàn)并不是說企 業(yè)就缺乏這些，事實是理論來源于實踐又高于實踐，這些理論 的提出有助于我們將散布于企業(yè)管理各個方面的相關(guān)元素按照框架的要求和標準進行補充、修正和組合。三、內(nèi)部控制與全面風(fēng)險管理體系構(gòu)建的一般過程內(nèi)部控制和全面風(fēng)險管理體系的構(gòu)建都是一個系統(tǒng)工程，基本涉及了企業(yè)管理的方方面面，因此企業(yè)不可能一步到

16、位建立一個完善的體系。實踐中企業(yè)往往根據(jù)自身的特點先搭建一個合理的體系框架并在此基礎(chǔ)上選擇某一目標或某一層面作為主線深入下去建立一個局域內(nèi)部控制或風(fēng)險管理體系，然后再在企業(yè)全局推廣。因此，由于內(nèi)容多，牽涉面廣，工作量大，企業(yè)往往需要組建相應(yīng)的專職團隊以項目的方式來運作或者在外界咨詢團隊的協(xié)助下開展工作。一般來說，我們將體系建設(shè)分為以下五個步驟，如圖3：第一步：確定內(nèi)控體系/ 風(fēng)險管理體系建設(shè)的目標和依據(jù)：確定項目組織架構(gòu)、項目管理制度和詳細的工作計劃; 梳理、明晰企業(yè)的中長期戰(zhàn)略發(fā)展目標，為從戰(zhàn)略高度結(jié)合cosO匡架建立內(nèi)控體系/風(fēng)險管理體系打下基礎(chǔ)；內(nèi)部控制/風(fēng)險管理體系尤其是上市公司的內(nèi)部

17、控制/ 風(fēng)險管理體系建設(shè)應(yīng)當(dāng)確定其需要遵循的相關(guān)法律法規(guī); 確定內(nèi)控/ 風(fēng)險管理體系需要實現(xiàn)的目標等。企業(yè)的業(yè)務(wù)特點、發(fā)展階段、信息技術(shù)條件、外部環(huán)境要求等因素的不同，分析的目標重點也不同，隨之也影響到后續(xù)步驟的工作內(nèi)容。第二步：各業(yè)務(wù)層面分析：綜合運用各種調(diào)研手段和現(xiàn)狀描述方法清晰表述出業(yè)務(wù)現(xiàn)狀，并進行研究分析，歸納總結(jié)出內(nèi)部控制/ 風(fēng)險管理存在的問題點。層面的劃分需要根據(jù)目標要求和企業(yè)特點，比如單體公司往往劃分為公司層面、業(yè)務(wù)層面、信息系統(tǒng)層面等，而集團公司就可能多出集團公司層面。第三步：差距分析：結(jié)合 COSO匡架中的5要素或8要素標準進行分析評價，發(fā)現(xiàn)差距，提出補充、修正或完善的方向。

18、第四步：內(nèi)部控制/ 風(fēng)險管理體系建設(shè)：以前幾步工作成果為依據(jù)，搭建內(nèi)部控制/ 風(fēng)險管理框架體系; 以某個目標或某個業(yè)務(wù)層面為主線，進行內(nèi)部控制/ 風(fēng)險管理體系的建設(shè)。第五步：測試及運營維護：協(xié)助企業(yè)或外部審計機構(gòu)進行評估和測試; 根據(jù)測試結(jié)果進行調(diào)整; 運行維護（ 推廣實施計劃 ）。前三步驟緊密結(jié)合cosO匡架的三個緯度展開（第一步審視企業(yè)體系建設(shè)目標緯度，強調(diào)體系建設(shè)的目標導(dǎo)向，第二步結(jié)合目標要求分析業(yè)務(wù)層面內(nèi)部控制或風(fēng)險管理存在的問題，第三步以莫目標或業(yè)務(wù)為主線分析與cosO匡架評價要素之間的差距 ） ，第四步根據(jù)前三步的分析結(jié)果針對性的進行內(nèi)部控制或風(fēng)險管理體系的設(shè)計，第五步為測試及運行

19、維護。【案例分析】：法國興業(yè)銀行巨虧一、案情2008 年 1 月 18 日 , 法國興業(yè)銀行收到了一封來自另一家大銀行的電子郵件, 要求確認此前約定的一筆交易, 但法國興業(yè)銀行和這家銀行根本沒有交易往來。因此, 興業(yè)銀行進行了一次內(nèi)部查清, 結(jié)果發(fā)現(xiàn), 這是一筆虛假交易。偽造郵件的是興業(yè)銀行交易員凱維埃爾。更深入地調(diào)查顯示, 法國興業(yè)銀行因凱維埃爾的行為損失了49 億歐元 , 約合 71 億美元。凱維埃爾從事的是什么業(yè)務(wù), 導(dǎo)致如此巨額損失?歐洲股指期貨交易, 一種衍生金融工具產(chǎn)品。早在2005 年 6 月 , 他利用自己高超的電腦技術(shù), 繞過興業(yè)銀行的五道安全限制, 開始了違規(guī)的歐洲股指期貨

20、交易, “我在安聯(lián)保險上建倉 , 賭股市會下跌。不久倫敦地鐵發(fā)生爆炸, 股市真的大跌。我就像中了頭彩盈利50萬歐元?！?2007年，凱維埃爾再賭市場下跌，因此大量做空, 他又賭贏了, 到 2007 年 12 月 31 日 , 他的賬面盈余達到了 14 億歐元 , 而當(dāng)年興行銀行的總盈利不過是55 億歐元。從 2008 年開始 , 凱維埃爾認為歐洲股指上漲, 于是開始買漲。然后, 歐洲乃至全球股市都在暴跌, 凱維埃爾的巨額盈利轉(zhuǎn)眼變成了巨大損失。二、原因1. 風(fēng)險巨大, 破壞性強。由于衍生金融工具牽涉的金額巨大 , 一旦出現(xiàn)虧損就將引起較大的震動。巴林銀行因衍生工具投機導(dǎo)致9.27 億英鎊的虧損

21、, 最終導(dǎo)致?lián)碛?33 年歷史、總投資 59 億英鎊的老牌銀行破產(chǎn)。法國興業(yè)銀行事件中, 損失達到71 億美元 , 成為歷史上最大規(guī)模的金融案件, 震驚了世界。2. 暴發(fā)突然, 難以預(yù)料。因違規(guī)進行衍生金融工具交易而受損、倒閉的投資機構(gòu), 其資產(chǎn)似乎在一夜間就化為烏有, 暴發(fā)的突然性往往出乎人們的預(yù)料。巴林銀行在1994 年底稅前利潤仍為 1.5 億美元 , 而僅僅不到3 個月后 , 它就因衍生工具上巨額損失而破產(chǎn)。中航油（ 新加坡 ） 公司在破產(chǎn)的6 個月前 , 其CEO®公開宣稱公司運行良好，風(fēng)險極低，在申請破產(chǎn)的前1個月前 , 還被新加坡證券委員會授予“最具透明度的企業(yè)”。3.

22、 原因復(fù)雜, 不易監(jiān)管。衍生金融工具風(fēng)險的產(chǎn)生既有金融自由化、金融市場全球化等宏觀因素, 也有管理層疏于監(jiān)督、金融企業(yè)內(nèi)部控制不充分等微觀因素, 形成原因比較復(fù)雜,即使是非常嚴格的監(jiān)管制度, 也不能完全避免風(fēng)險。像法興銀行這個創(chuàng)建于拿破侖時代的銀行, 內(nèi)部風(fēng)險控制不可謂不嚴, 但凱維埃爾還是獲得了非法使用巨額資金的權(quán)限, 違規(guī)操作近一年才被發(fā)現(xiàn)。這警示我們, 再嚴密的規(guī)章制度, 再安全的電腦軟件 , 都可能存在漏洞。對銀行系統(tǒng)的風(fēng)險控制, 絕不可掉以輕心特別是市場繁榮之際, 應(yīng)警惕因盈利而放松正常監(jiān)管。三、啟示衍生金融工具的風(fēng)險很大程度上表現(xiàn)為交易人員的道德風(fēng)險 , 但歸根結(jié)底, 風(fēng)險主要來源于金融企業(yè)內(nèi)部控制制度的缺乏和失靈。在國家從宏觀層面完善企業(yè)會計準則和增強金融企業(yè)實力的同時, 企業(yè)內(nèi)部也應(yīng)完善財務(wù)控制制度, 消除企業(yè)內(nèi)部的個別風(fēng)險。1.