企業(yè)內部控制與風險管理

第57頁共57頁━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━企業(yè)內部控制(風險管理)制度設計與評價專題講座引：全球金融危機中的中國企業(yè)風險管理【相關媒體報道摘錄】2007年美國抵押貸款風險引發(fā)的全球性金融風暴及其對我國企業(yè)的影響目前世界上最熱門的名詞：次貸危機次貸危機(subprimelendingcrisis)又稱次級房貸危機，也譯為次債危機。它是指一場發(fā)生在美國，因次級抵押貸款機構破產、投資基金被迫關閉、股市劇烈震蕩引起的風暴。它致使全球主要金融市場隱約出現流動性不足危機。美國“次貸危機”是從2006年春季開始逐步顯現的。2007年8月席卷美國、歐盟和日本等世界主要金融市場，印發(fā)了一場全球金融風暴。一、危機出現：2007年美國抵押貸款風險浮出水面曾經被視作美國經濟增長最大引擎的房地產業(yè)，在2007年以前的五年中不僅拉動了與建筑業(yè)相關的產業(yè)增長，更成為許多市場蓬勃興旺的主要推動力，這其中就包括如滾雪球般逐年擴大的美國住房抵押貸款市場。伴隨房地產市場降溫，有關抵押貸款風險的問題越來越成為人們關注的焦點，也頻頻見諸報端。這個此前仍處于潛在擔憂層面的風險更是以英國匯豐控股突發(fā)盈利預警的形式第一次真正浮出水面。2007年2月7日由于次級抵押貸款只是匯豐控股諸多業(yè)務中的一個方面，因此匯豐股價所受影響算不上驚天動地。然而，匯豐公告對于整個美國抵押貸款市場來說卻無異于平地驚雷，投資者似乎從中看到了不祥的信號，許多主營次級抵押貸款業(yè)務的金融機構股價在8日集體跳水。當天活躍于美國的七家次級抵押貸款發(fā)放機構的總市值縮水了37億美元。糟糕的是，人們擔心的遠不只是幾家抵押貸款發(fā)放機構的股價漲跌。近年來抵押貸款證券化的發(fā)展使得這一市場日益龐大而復雜，以購買證券方式投資抵押貸款的市場參與者從數目到種類上都在急速上升。人們更擔心，一小條裂縫有可能引發(fā)極具殺傷力的地震。美國最大的抵押貸款放貸機構之一富國銀行首席執(zhí)行官科瓦切維奇在接受記者采訪時坦言，大家(包括美聯儲在內)誰都不清楚的就是現在這些抵押貸款證券究竟是什么人在持有。最好這種持有是非常分散的，否則后果將不堪設想。相比之下，放貸機構本身的風險較為透明。通過抵押貸款證券化，放貸機構可以分散風險，從而有能力發(fā)放更多貸款，但是把抵押貸款證券化并不能徹底解除他們的風險。事實上，放貸機構發(fā)行抵押貸款證券的時候，合同中通常都包括這樣一個條款，即如果借款人在最初的還款周期中就無法按時償付，投資者可以迫使放貸機構回購這些證券。這樣，一旦壞賬率高企，大量回購抵押貸款證券將在瞬間之內增大放貸機構的財務負擔。事實上，過去兩個月中美國已經有一些規(guī)模較小的次級貸款放貸機構因此而破產倒閉。而瑞士第一信貸上周三發(fā)布的一份報告顯示，截至12月份，2006年美國有四分之一的次級抵押貸款合同出現了至少8%的壞賬率。應該說，造成今天美國抵押貸款市場風險積聚的原因有很多。但是追根溯源，新的市場參與者出于逐利目的而過分追求高風險貸款這一條最難逃干系。就在三年前，美國的抵押貸款市場還是由政府支持的房利美和房迪美這兩家公司主宰。這兩家公司將貸款打包成證券，承諾投資者能夠獲得本金和利率。然而，伴隨這兩大公司財務丑聞的爆發(fā)，其他投資者蜂擁而入這一市場，搶奪原本可能由這兩大公司購得的貸款。其結果就是，房利美和房迪美在美國抵押貸款市場中的份額一瀉千里，到去年底已經從2003年的70%降到了40%。在這兩大公司扮演壟斷性角色的時候，他們通常會制定明確的放貸標準，嚴格規(guī)定哪些類型的貸款可以發(fā)放。而現在，由于全球各地成千上萬高風險偏好的對沖基金、養(yǎng)老金基金以及其他基金的介入，原有的放貸標準在高額利率面前早已成為一紙空文，新的市場參與者不斷鼓勵放貸機構嘗試各種各樣的貸款類型。許多放貸機構甚至不要求次級貸款借款人提供包括稅收表格在內的財務資質證明；在做房屋價值評估時，放貸機構也更多地依賴機械的計算機程序而不是評估師的結論。在所有的人都沉浸在對高額回報的憧憬中時，風險也就悄無聲息地膨脹起來。在房市高熱的時候，這些貸款的風險并不高，壞賬率也始終保持在極低的水平。原因很簡單，在借款人感到無力償還貸款時，他完全可以通過出售房屋還清欠款，再憑借更寬松的條款獲得新的貸款。然而，隨著美國房價漸趨平抑，部分地區(qū)房價甚至開始下降，這種貸款立刻成為高危品種。一方面房子出手越來越難，另一方面賣房所得也未必能夠幫助借款人還清貸款。其結果就是，還不起債的人多了，壞賬率上升了。數據顯示，去年11月，在美國被打包成抵押貸款證券的次級貸款中，有近13%的貸款逾期60天以上無法償還，這一比例較上年同期上揚了8.1%。上述情形一旦發(fā)生惡化，則美國監(jiān)管機構將面臨巨大難題。畢竟，人們再不能奢望美聯儲在1998年緊急援助長期資本管理公司時所采取的大手筆了。在眼下這個高度分割的抵押貸款證券市場，沒有哪個機構能把所有的市場參與者都集中起來，幫助“遇難”機構化險為夷。人們惟一能夠期待的恐怕就是吸取教訓，別再讓錯誤重新上演。美國次貸危機—→全球金融危機(一)美國次貸危機—→全球金融危機(二)二、席卷美國的金融風暴2007-02：抵押貸款風險浮出水面2007-04：美國3月成屋銷量大跌2007-08：全球金融市場震蕩2007-08：歐美股市全線暴跌2007-08：貝爾斯登總裁辭職2008-01：金融機構相繼爆巨虧2008-03：美聯儲2000億美元救市2008-06：貝爾斯登被收購2008-07：危機擴散至美國銀行業(yè)2008-09：美國政府接管“兩房”2008-09：雷曼兄弟破產2008-09：十大銀行設700億基金2008-09：美國銀行收購美林2008-09：美國政府接管AIG2008-09：各央行聯手注資2470億2008-09：美政府7000億救市計劃2008-09：高盛大摩變身傳統(tǒng)銀行2008-09：華盛頓互惠銀行破產三、美國的金融風暴——波及中國(一)三大漩渦金融海嘯的威力已是無人不曉，但這場災難，對于中國企業(yè)到底危害在哪里?1.首先是金融市場。漩渦的中心在美國，殃及歐洲，中國處于邊緣地位，所以直接的財富損失微乎其微。2.其次是消費市場。漩渦的中心也是在美國。由于美國的過度消費和中國的過剩產能相互依存，中國處于次中心地位，經濟增長中的出口貢獻度將從2007年的高峰進入2009-2010年的低谷，直接影響估計會占到中國GDP增長速度的3%～4%。3.再次是資產估值。這是一個巨大的漩渦，中心覆蓋面遠遠超過美國歐洲，中國企業(yè)在這個層次中的財富損失遠大于前兩個漩渦。(二)直接影響1.美國消費減少影響中國出口：雷曼兄弟公司的倒閉和美林公司被收購與始自去年的次貸危機一脈相承，在眾多專家看來，這個事件僅是整個危機過程中泛起的一朵浪花，不應該被孤立看待，其對中國經濟的沖擊實際上也是次貸危機對中國宏觀經濟影響的延續(xù)?？梢詮某隹诤瓦M口兩個方面來理解這次危機對我國的影響。出口方面：可以預料的是我國宏觀經濟的外部環(huán)境將由于此次席卷華爾街的金融風暴而更顯嚴峻。海關總署的進出口數據顯示，2008年前8個月，我國外貿出口額的增幅下行放緩的趨勢明顯，由于美國是中國商品最大的出口市場，一度在6-7月份沖高的中國外貿出口增速又將遭遇考驗，外需下降意味著外國消費者對高附加值產品和低附加值產品需求的同時下降。在這種環(huán)境下，出口商很可能沒有動力革新技術，而是被迫通過壓低產品價格去維持市場份額，這可能導致中國出口企業(yè)貿易條件的進一步惡化。進口方面：受此次金融危機的沖擊，美國經濟在下半年仍有下滑的可能，從而導致其國民消費能力和消費欲望繼續(xù)降低，而投資支出將出現增加，“這對中國的外貿出口并不是一個利好消息”，如果美國國民的消費需求減少而制造業(yè)因投資增加而逐漸恢復活力，那么勢必減少從中國進口商品的數量。(2)加大國內進口商品成本：進口方面，由金融風暴帶來的沖擊則與美元匯率密切相關，目前國際市場上大宗商品幾乎都以美元定價，美元走勢的強弱決定了大宗商品價格走勢的高低，從可以觀察到的數據來看，由于近期美元逐漸反轉走強，原油、鐵礦石等商品的價格顯現下降趨勢，這對需要大量資源性產品的中國來說本屬利好消息，然而雷曼兄弟公司破產倒閉、美林公司被收購不期而至，再加上一周前被美國政府宣布接管的“兩房”，美國金融市場反復動蕩嚴重影響到美元匯率的走勢和持有者的信心。雖然美國經濟形勢在二季度表現優(yōu)于預期，體現出了足夠的韌性，但這是由于美元弱勢所帶來的強勁出口所致，因此，在金融風暴襲來，國內需求更趨疲弱的情況下，美國政府將繼續(xù)推動“弱勢美元”下的出口，給美聯儲預留出進一步降息的空間。雖然中長期還是看好美國經濟走強和美元匯率走高，但是短期內弱勢美元的政策似乎已被市場所認可，如此一來，原油、鐵礦石等資源性產品的價格將被再度推高，我國進口以美元計價的大宗商品付出的成本也大為增加。(3)重創(chuàng)國內金融市場信心：中央財經大學中國銀行業(yè)研究中心主任郭田勇：雷曼兄弟公司破產是美國次債危機的延續(xù)，帶給金融機構的損失和震動相當大，華爾街五大投行擁有強大的投資和研究團隊，資產超過數千億美元，信息資源也極為豐富，這樣大型的投行也紛紛倒閉，說明了此次危機的嚴重性。“不同的金融機構出現了不同程度的損失，有所區(qū)分的只是損失額度大小，像雷曼兄弟，還包括前面被美國政府接管的“兩房”和3月份被摩根大通收購的貝爾斯登等，但與其估算投資者的直接損失不如考量對金融市場的信心打擊。具體到中國而言，影響在兩個層面上，第一個層面是市場信心，美國出大問題的機構相繼破產，給中國的投資者心理蒙上了一層陰影。可以獲得印證的是，雷曼兄弟公司破產消息傳來的次日，正值A股結束中秋三天假日開市，滬深兩市銀行板塊全線暴跌，其表現只能以“慘不忍睹”來形容，其中，工商銀行跌9.95%，建設銀行跌9.94%，中國銀行跌9.17%。在多方利空消息的垂直打擊之下，滬深兩市銀行股全天放量大跌超過9.0%，多達8家銀行股跌停。招商銀行持有雷曼兄弟公司發(fā)行的債券敞口共計7000萬美元，其中，高級債券6000萬美元，次級債券1000萬美元，并且公司尚未對上述債券提取減值準備。(4)給國內金融機構帶來直接損失：雷曼兄弟破產給國內金融機構帶來的直接影響，包括兩方面：一方面，我國的金融機構、投資者持有較多的次級債券，形成實際損失；另一方面，金融危機導致美國出現衰退，它會傳導到中國來。對持有大量美國金融機構股票和基金的中國銀行業(yè)的擔心。根據破產文件顯示，雷曼兄弟前30大無抵押債權人主要是亞洲金融機構，包括日本的Aozora銀行、中央三井信托、住友三井金融、瑞穗實業(yè)銀行、信金中央金庫、國內金融機構中中國銀行再度被牽涉其中。據報道，雷曼對日本Aozora銀行欠款額達4.62億美元，對瑞穗實業(yè)銀行欠款額達3.82億美元，對花旗集團香港子公司欠款額約為2.75億美元，而中國銀行紐約分行也曾主導給雷曼貸款5000萬美元?！裰匈Y銀行擁有雷曼資產《市場報》報道，到目前為此，七家上市銀行持有雷曼資產共7.2164億美元，占各大銀行資產比例較小，因此，雷曼破產所造成的直接影響有限。但是，從三大銀行今年中報數據來看，中國銀行的美元資金達到了1.2119萬億元人民幣；三大上市中資行的海外美元資產達到3000多億美元。由此看來，中國銀行無疑成為中國內地最大的美元資產債權人，在這1.2119萬億元人民幣中，交易類金融資產、可供出售類金融資產和持有到期類投資的數目分別達到273.92億元、2896.77億元和953.56億元；另有5.38億元應收款項債券投資?！鐾鈪R儲備受沖擊更大中信資產管理有限公司總經濟師吳寶起分析，中國外匯儲備、金融機構、企業(yè)在美國的投資主要投向債券，美國這些金融機構一旦破產，其債券及其他投資品的價值就急速下滑，市場風險極大。目前美國經濟衰退已現端倪，一旦出現資本大逃亡，美元儲備越多的國家損失也越大，而中國的外匯儲備非常多，損失是不可低估的。吳寶起說：“類似雷曼這樣的美國金融機構，許多都在中國有投資的公司和項目。一旦在華爾街的母公司出了問題，肯定會影響到在中國的投資、合作項目。如果這些公司大量出售在中國的資產，大量資金從中國匯出去的話，短期內給中國外匯市場沖擊也較大?！彼?、全球金融危機中的中國企業(yè)風險管理(略)一、國內外最新內部控制制度(風險管理)理論研究成果介紹(一)COSO《內部控制——整體框架》1.關于COSO委員會(COSO官方網站的英文簡介)Originallyformedin1985tosponsortheNationalCommissiononFraudulentFinancialReporting,COSOisavoluntaryprivatesectororganizationdedicatedtoimprovingthequalityoffinancialreportingthroughbusinessethics,effectiveinternalcontrols,andcorporategovernance.COSOcomprisesTheAmericanAccountingAssociation(AAA),TheAmericanInstituteofFinancialExecutivesInternational(FEI),TheInstituteofTheInstituteofInternalAuditors(IIA).2.《內部控制——整體框架》(InternalControl—IntegratedFramework)1992年，美國“反對虛假財務報告委員會”下屬的由美國會計學會、注冊會計師協(xié)會、國際內部審計師協(xié)會、財務經理協(xié)會和管理會計學會等組織參與的“發(fā)起組織委會”(Committee

of

Sponsoring

Organizations

of

TreadwayCommission)發(fā)布了內部控制的最新準則《內部控制—整體框架》(Internal

control－integrated

framework)，并于1994年進行了修訂，這就是著名的“COSO報告”。COSO報告首次把內部控制從原來的平面結構提升為立體結構，是內部控制理論研究的歷史性突破，代表了內部控制研究的最高水平，也是當今世界最權威、使用面最廣的內部控制準則，被人們形象地稱作內部控制的“圣經”。主要內容包括：(1)關于內部控制的定義(COSO官方網站的英文定義)COSOdefinesinternalcontrolasaprocess,effectedbyanentity’sboardofdirectors,managementandotherpersonnel.Thisprocessisdesignedtoprovidereasonableassuranceregardingtheachievementofobjectivesineffectivenessandefficiencyofoperations,reliabilityoffinancialreporting,andcompliancewithapplicablelawsandregulations.Internalcontrolisaprocess.Itisameanstoanend,notanendinitself.Internalcontrolisnotmerelydocumentedbypolicymanualsandforms.Rather,itisputinbypeopleateverylevelofanorganization.Internalcontrolcanprovideonlyreasonableassurance,notabsoluteassurance,toanentity’smanagementandboard.Internalcontrolisgearedtotheachievementofobjectivesinoneormoreseparatebutoverlappingcategories.COSO報告將內部控制定義為：“由一個企業(yè)的董事長、管理層和其他人員實現的過程，旨在為下列目標提供合理保證：經營的效果和效率；財務報告的可靠性；符合適用的法律和法規(guī)”。在這個定義中，有四個關鍵詞值得注意：●目標(objectives)●人(personnel)●過程(process)●合理保證(reasonable

assurance)。也就是說，內部控制以過程為導向；受人的因素影響；受目標的驅動；存在局限性，即內部控制所提供的是合理的保證而非絕對的保證。(2)關于內部控制的構成要素COSO報告提出了內部控制的五個構成要素，即所謂的“五要素論”，它們分別是控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控。①控制環(huán)境(Control

Environment)COSO報告把控制環(huán)境作為內部控制系統(tǒng)的首要因素，認為控制環(huán)境是一個企業(yè)進行內部控制的氛圍，是其它控制成份的基礎。具體包括以下內容：Ⅰ員工的誠實性和道德觀，如有無描述可接受的商業(yè)行為、利益沖突、道德行為標準的行為準則；Ⅱ員工的勝任能力，如雇員是否能勝任質量管理的要求；Ⅲ董事會或審計委員會，如董事會是否獨立于管理層；Ⅳ管理哲學和經營方式，如管理層對人為操縱的或錯誤的記錄的態(tài)度。Ⅴ組織結構，如信息是否到達合適的管理階層。Ⅵ授予權利和責任的方式，如關鍵部門的經理的職責是否有充分規(guī)定。Ⅶ人力資源政策和實施，如是否有關于雇傭、培訓、提升和獎勵雇員的政策。②風險評估(Risk

Assessment)COSO報告認為，風險評估指管理層識別并采取相應行動來管理對經營、財務報告、合規(guī)性目標有影響的內部或外部風險，包括風險識別和風險分析。風險識別包括對外部因素(如技術發(fā)展、競爭、經濟變化)和內部因素(如員工素質、公司活動性質、信息系統(tǒng)處理的特點)進行檢查。風險分析涉及估計風險的重大程度、評價風險發(fā)生的可能性、考慮如何管理風險等。③控制活動(Control

Activities)控制活動是企業(yè)內部控制的實質性要素，是依托于控制環(huán)境進行的實際控制行為。COSO報告認為，控制活動指對所確認的風險采取必要的措施，以保證單位目標得以實現的政策和程序。實踐中，控制活動形式多樣，可將其歸結為以下幾類：Ⅰ業(yè)績評價，是指將實際業(yè)績與其他標準比較。Ⅱ信息處理，指保證業(yè)務在信息系統(tǒng)中正確、完全和經授權處理的活動。Ⅲ實物控制，也稱為資產和記錄接近控制，這些控制活動包括實物安全控制、對計算機以及數據資料的接觸予以授權、定期盤點以及將控制數據予以對比。Ⅳ職責分離，指將各種功能性職責分離，以防止單獨作業(yè)的雇員從事或隱藏不正常行為。一般來說，下面的職責應被分開：ⅰ業(yè)務授權(管理功能)ⅱ業(yè)務執(zhí)行(保管職能)ⅲ業(yè)務記錄(會計職能)ⅳ對業(yè)績的獨立檢查(監(jiān)督職能)。理想狀態(tài)的職責分離是，沒有一個職員負責超過一個的職能。④信息與溝通(Information

and

Communication)信息與溝通，指為了使職員能執(zhí)行其職責，企業(yè)必須識別、捕捉、交流外部和內部信息。外部信息包括市場份額、法規(guī)要求和客戶投訴等信息。內部信息包括會計制度，即由管理當局建立的記錄和報告經濟業(yè)務和事項，維護資產、負債和業(yè)主權益的方法和記錄。有效的會計制度應是：Ⅰ包括可以確認所有有效業(yè)務的方法和記錄；Ⅱ序時詳細記錄業(yè)務以便于歸類，提供財務報告；Ⅲ采用恰當的貨幣價值來計量業(yè)務；Ⅳ確定業(yè)務發(fā)生時期以保證業(yè)務記錄于合理的會計期間，在財務報告中恰當披露業(yè)務。(5)監(jiān)控(Monitoring)COSO報告認為，監(jiān)控指評價內部控制質量的過程，即對內部控制改革、運行及改進活動進行評價。監(jiān)控實際上是企業(yè)對內部控制實施效果進行評價的過程，是企業(yè)站在更高的整體的層面對其他控制要素的整合及調適，是獨立的、進一步的控制活動，因而是企業(yè)完整的內部控制系統(tǒng)必不可少的后續(xù)要素。(6)整體框架(Whole

Framework)上述五大要素之間具有緊密的關系：控制環(huán)境是其他控制成份的基礎，在規(guī)劃控制活動時，必須對企業(yè)可能面臨的風險有細致的了解和評估；而風險評估和控制活動必須借助企業(yè)內部信息有效的溝通；最后，實施有效的監(jiān)控以保障內部控制的實施質量。五大要素實際上構成了內部控制的立體框架模式，如圖所示。(英文版)監(jiān)控監(jiān)控信息和溝通控制活動風險評估控制環(huán)境營運財務報告合規(guī)性業(yè)務單位A業(yè)務單位B活動2活動1監(jiān)督信息和溝通控制活動風險評估控制環(huán)境營運財務報告合規(guī)性業(yè)務單位A業(yè)務單位B活動2活動1(中文版)■COSO《內部控制——整體框架》的影響：Ⅰ美國：是美國證券交易委員會唯一推薦使用的內部控制框架，同時《薩班斯法案》第404條款的「最終細則」也明確表明COSO《內部控制——整體框架》可以作為評估企業(yè)內部控制的標準；美國注冊會計師協(xié)會、國際內部審計師協(xié)會、美國審計署等均接受。Ⅱ國內：接受COSO《內部控制——整體框架》的政府部門和行業(yè)協(xié)會包括財政部及其所屬的中國注冊會計師協(xié)會、會計準則委員，審計署及其所屬的中國內部審計協(xié)會、中國證券監(jiān)督管理委員會及其管轄的深圳證券交易所、上海證券交易所，中國銀行業(yè)監(jiān)督管理委員會、香港聯合交易所有限公司等等。(二)COSO《企業(yè)風險管理——整合框架》【COSO的《企業(yè)風險管理—整合框架》(COSO官方網站的簡體中文版)】企業(yè)風險管理—整合框架(內容摘要)企業(yè)風險管理的基礎性前提是每一個主體的存在都是為它的利益相關者提供價值。所有的主體都面臨不確定性，管理當局所面臨的挑戰(zhàn)就是在為增加利益相關者價值而奮斗的同時，要確定承受多大的不確定性。不確定性可能會破壞或增加價值，因而它既代表風險，也代表機會。企業(yè)風險管理使管理當局能夠有效地應對不確定性以及由此帶來的風險和機會，增進創(chuàng)造價值的能力。當管理當局通過制訂戰(zhàn)略和目標，力求實現增長和報酬目標以及相關的風險之間的最優(yōu)平衡，并且在追求所在主體的目標的過程中高效率和有效地調配資源時，價值得以最大化。企業(yè)風險管理包括：?協(xié)調風險容量(riskappetite)(也有人將其翻譯為“風險偏好”、“風險需求”、“風險承受能力”等—譯者注)與戰(zhàn)略—管理當局在評價備選的戰(zhàn)略、設定相關目標和建立相關風險的管理機制的過程中，需要考慮所在主體的風險容量。?增進風險應對決策—企業(yè)風險管理為識別和在備選的風險應對—風險回避、降低、分擔和承受—之間進行選擇提供了嚴密性。?抑減經營意外和損失—主體識別潛在事項和實施應對的能力得以增強，抑減了意外情況以及由此帶來的成本或損失。?識別和管理多重的和貫穿于企業(yè)的風險—每一家企業(yè)都面臨影響組織的不同部分的一系列風險，企業(yè)風險管理有助于有效地應對交互影響，以及整合式地應對多重風險。?抓住機會—通過考慮全面范圍內的潛在事項，促使管理當局識別并積極地實現機會。?改善資本調配—獲取強有力的風險信息，使得管理當局能夠有效地評估總體資本需求，并改進資本配置。企業(yè)風險管理所固有的這些能力幫助管理當局實現所在主體的業(yè)績和贏利目標，防止資源損失。企業(yè)風險管理有助于確保有效的報告以及符合法律和法規(guī)，還有助于避免對主體聲譽的損害以及由此帶來的后果?？傊?，企業(yè)風險管理不僅幫助一個主體到達期望的目的地，還有助于避開前進途中的隱患和意外。事項—風險與機會事項可能會帶來負面的影響，也可能會帶來正面的影響，抑或二者兼而有之。帶來負面影響的事項代表風險，它會妨礙價值創(chuàng)造或者破壞現有價值。帶來正面影響的事項可能會抵消負面影響，或者說代表機會。機會是一個事項將會發(fā)生并對目標—支持價值創(chuàng)造或保持—的實現產生正面影響的可能性。管理當局把機會反饋到戰(zhàn)略或目標制訂過程中，以便制訂計劃去抓住機會所定義的企業(yè)風險管理企業(yè)風險管理處理影響價值創(chuàng)造或保持的風險和機會，定義如下：企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證。這個定義反映了幾個基本概念。企業(yè)風險管理是：?一個過程，它持續(xù)地流動于主體之內；?由組織中各個層級的人員實施；?應用于戰(zhàn)略制訂；?貫穿于企業(yè)，在各個層級和單元應用，還包括采取主體層級的風險組合觀；?旨在識別一旦發(fā)生將會影響主體的潛在事項，并把風險控制在風險容量以內；?能夠向一個主體的管理當局和董事會提供合理保證；?力求實現一個或多個不同類型但相互交叉的目標。這個定義比較寬泛。它抓住了對于公司和其他組織如何管理風險至關重要的關鍵概念，為不同組織形式、行業(yè)和部門的應用提供了基礎。它直接關注特定主體既定目標的實現，并為界定企業(yè)風險管理的有效性提供了依據。目標的實現在主體既定的使命或愿景(vision)(也有人將其翻譯為“遠景”、“遠景規(guī)劃”、“長遠構想”等—譯者注。)范圍內，管理當局制訂戰(zhàn)略目標、選擇戰(zhàn)略，并在企業(yè)內自上而下設定相應的目標。企業(yè)風險管理框架力求實現主體的以下四種類型的目標：?戰(zhàn)略(strategic)目標—高層次目標，與使命相關聯并支撐其使命；?經營(operations)目標—有效和高效率地利用其資源；?報告(reporting)目標—報告的可靠性；?合規(guī)(compliance)目標—符合適用的法律和法規(guī)。對主體目標的這種分類可以使我們關注企業(yè)風險管理的不同側面。這些各不相同但卻相互交叉的類別—一個特定的目標可以歸入多個類別，反映了主體的不同需要，而且可能會成為不同管理人員的直接責任。這個分類還有助于區(qū)分從每一類目標中能夠期望的是什么。一些主體采用的另一類目標—保護資源也包含在上述類別之內。因為有關報告的可靠性和符合法律、法規(guī)的目標在主體的控制范圍之內，所以可以期望企業(yè)風險管理為實現這些目標提供合理保證。但是，戰(zhàn)略目標和經營目標的實現取決于并不一定總在主體控制范圍之內的外部事項，對于這些目標而言，企業(yè)風險管理能夠合理地保證管理當局和起監(jiān)督作用的董事會及時地了解主體朝著實現目標前進的程度。企業(yè)風險管理的構成要素企業(yè)風險管理包括八個相互關聯的構成要素。它們來源于管理當局經營企業(yè)的方式，并與管理過程整合在一起。這些構成要素是：?內部環(huán)境—內部環(huán)境包含組織的基調，它為主體內的人員如何認識和對待風險設定了基礎，包括風險管理理念和風險容量、誠信和道德價值觀，以及他們所處的經營環(huán)境。?目標設定—必須先有目標，管理當局才能識別影響目標實現的潛在事項。企業(yè)風險管理確保管理當局采取適當的程序去設定目標，確保所選定的目標支持和切合該主體的使命，并且與它的風險容量相符。?事項識別—必須識別影響主體目標實現的內部和外部事項，區(qū)分風險和機會。機會被反饋到管理當局的戰(zhàn)略或目標制訂過程中。?風險評估—通過考慮風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據。風險評估應立足于固有風險和剩余風險。?風險應對—管理當局選擇風險應對—回避、承受、降低或者分擔風險—采取一系列行動以便把風險控制在主體的風險容限(risktolerance)(也有人將其翻譯為“風險容忍度”、“風險承受力”等—譯者。)和風險容量以內。?控制活動—制訂和執(zhí)行政策與程序以幫助確保風險應對得以有效實施。?信息與溝通—相關的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。?監(jiān)控—對企業(yè)風險管理進行全面監(jiān)控，必要時加以修正。監(jiān)控可以通過持續(xù)的管理活動、個別評價或者兩者結合來完成。企業(yè)風險管理并不是一個嚴格的順次過程，一個構成要素并不是僅僅影響接下來的那個構成要素。它是一個多方向的、反復的過程，在這個過程中幾乎每一個構成要素都能夠、也的確會影響其他構成要素。目標與構成要素之間的關系目標是指一個主體力圖實現什么，企業(yè)風險管理的構成要素則意味著需要什么來實現它們，二者之間有著直接的關系。這種關系可以通過一個三維矩陣以立方體的形式表示出來。(英文版)四種類型的目標—戰(zhàn)略、經營、報告和合規(guī)—用垂直方向的欄表示，八個構成要素用水平方向的行表示，而一個主體內的各個單元則用第三個維度表示。這種表示方式使我們既能夠從整體上關注一個主體的企業(yè)風險管理，也可以從目標類別、構成要素或主體單元的角度，乃至其中的任何一個分項的角度去加以認識。有效性認定一個主體的企業(yè)風險管理是否“有效”，是在對八個構成要素是否存在和有效運行進行評估的基礎之上所作的判斷。因此，構成要素也是判定企業(yè)風險管理有效性的標準。構成要素如果存在并且正常運行，那么就可能沒有重大缺陷，而風險則可能已經被控制在主體的風險容量范圍之內。如果確定企業(yè)風險管理在所有四類目標上都是有效的，那么董事會和管理當局就可以合理保證他們了解主體實現其戰(zhàn)略和經營目標、主體的報告可靠以及符合適用的法律和法規(guī)的程度。八個構成要素在每個主體中的運行并不是千篇一律的。例如，在中小規(guī)模主體中的應用可能不太正式，不太健全。盡管如此，當八個構成要素存在且正常運行時，小規(guī)模主體依然會擁有有效的企業(yè)風險管理。局限盡管企業(yè)風險管理帶來了重要的好處，但是仍然存在著局限。除了前面討論過的因素之外，局限還導源于下列現實：人類在決策過程中的判斷可能有紕漏，有關應對風險和建立控制的決策需要考慮相關的成本和效益，類似簡單誤差或錯誤的個人缺失可能會導致故障的發(fā)生，控制可能會因為兩個或多個人員的串通而被規(guī)避，以及管理當局有能力凌駕于企業(yè)風險管理決策之上。這些局限使得董事會和管理當局不可能就主體目標的實現形成絕對的保證。涵蓋內部控制內部控制是企業(yè)風險管理不可分割的一部分。這份企業(yè)風險管理框架涵蓋了內部控制，從而構建了一個更強有力的概念和管理工具。內部控制是在《內部控制—整合框架》中加以定義和描述的。由于該框架經受了時間的考驗，并且成為現行規(guī)則、法規(guī)和法律的基礎，因此那份文件對內部控制的定義和框架依然有效。盡管《內部控制—整合框架》的正文中只有一部分被本框架所引用，但是本框架通過參考的方式把該框架整體融合了進來。職能與責任主體中的每個人都對企業(yè)風險管理負有一定的責任。首席執(zhí)行官(CEO)負有首要責任，并且應當假設其擁有所有權。其他管理人員支持主體的風險管理理念，促使符合其風險容量，并在各自的責任范圍內依據風險容限去管理風險。風險官、財務官、內部審計師等通常負有關鍵的支持責任。主體中的其他人員負責按照既定的指引和規(guī)程去實施企業(yè)風險管理。董事會對企業(yè)風險管理提供重要的監(jiān)督，并察覺和認同主體的風險容量。很多外部方面，例如顧客、賣主、商業(yè)伙伴、外部審計師、監(jiān)管者和財務分析師常常提供影響企業(yè)風險管理的有用信息，但是他們不但不對主體的企業(yè)風險管理的有效性承擔任何責任，而且也不是它的組成部分。本報告的結構本報告分兩卷。第一卷包括“基本框架”和本部分“內容摘要”。“基本框架”給企業(yè)風險管理下定義，并講述原則和概念，為企業(yè)和其他組織中的各級管理人員提供用來評價和增進企業(yè)風險管理有效性的指導。“內容提要”是一個針對首席執(zhí)行官、其他高級管理人員、董事會成員和監(jiān)管者的高度概括。第二卷《應用技術》(ApplicationTechniques)，講解在應用本框架各個要素的過程中有用的技術。本報告的使用根據本報告的建議所可能采取的行動，取決于相關方面的地位和職責：?董事會—董事會應當與高級管理人員討論主體企業(yè)風險管理的現狀，并提供必要的監(jiān)督。董事會應當確信知悉最重大的風險，以及管理當局正在采取的行動和如何確保有效的企業(yè)風險管理。董事會應當考慮尋求內部審計師、外部審計師和其他方面的參與。?高層管理當局—本項研究建議首席執(zhí)行官評估組織的企業(yè)風險管理能力。方法之一是，首席執(zhí)行官把業(yè)務單元(businessunit)領導和關鍵職能機構人員召集到一起，討論對企業(yè)風險管理能力和有效性的初步評價。不管采取什么方式，初步評估應該確定是否需要以及如何進行更廣泛、更深入的評價。?主體中的其他人員—管理人員和其他人員應該考慮如何根據本框架去履行他們的職責，并與更高層的人員討論有關加強企業(yè)風險管理的看法。內部審計師應該考慮他們關注企業(yè)風險管理的范圍。?監(jiān)管者—本框架能增進有關企業(yè)風險管理的共識，包括它能干什么，以及它的局限。監(jiān)管者在對他們所監(jiān)管的主體采用規(guī)則或指南等形式設定期望，或進行檢查時，可以參考本框架。?專業(yè)組織—為財務管理、審計和相關領域提供指南的規(guī)則制定機構和其他專業(yè)組織應該對照本框架去考慮它們的準則和指南。消除概念和術語方面的差別，對所有各方都有好處。?教育機構—本框架可以作為學術研究和分析的對象，以便探討在哪些方面還能作進一步的改進。假設本報告能夠被普遍接受的話，它的概念和術語應該設法進入大學的課程之中。有了這個共同理解的基礎，所有各方將能夠用同一種語言講話，更有效地進行溝通。企業(yè)的執(zhí)行官將能夠對照一套標準去評估他們公司的企業(yè)風險管理過程，強化這個過程從而使他們的企業(yè)朝著既定的目標邁進。將來的研究可以建立在一個既定的基礎之上。立法者和監(jiān)管者將能夠獲得對企業(yè)風險管理的更深入的理解，包括它的好處和局限。如果所有各方都利用共同的企業(yè)風險管理框架，這些好處都將實現。■(簡體中文翻譯：中國東北財經大學方紅星教授)■COSO《企業(yè)風險管理——整合框架》的影響：深圳證券交易所：《深圳證券交易所上市公司內部控制指引》(深圳證券交易所2006年9月28日發(fā)布，2007年7月1日起施行上海證券交易所：《上海證券交易所上市公司內部控制指引》(2006年6月5日，2006年7月1日起施行)(三)3C全面控制框架、3C全面風險管理標準1.3C框架—2006年3月3日，在由中國內部審計協(xié)會舉辦的“全面控制與風險管理”高層論壇上，中天恒會計師事務所有限責任公司、中天恒管理咨詢有限公司(以下合稱“中天恒”)隆重推出該所歷時3年研究取得的研究成果——“中國式全面控制框架”，簡稱3C框架(3C是ChineseCompleteControl的第一個英文字母的縮寫)，亦稱3C全面控制框架。“中天恒”提出的3C全面控制框架的主要觀點包括：(1)加強控制已經成為國內企事業(yè)單位面臨的重大而迫切的課題。(2)國際上權威的“COSO內部控制框架”不是“圣經”。(3)美國的薩班斯法案肯定不適應中國的國情。(4)西方式的控制制度手冊在中國更是水土不服。(5)全盤照抄照搬別人的控制制度是勞民傷財之舉。(6)構建適合中國國情、符合國內企事業(yè)單位實際情況、具有可操作性的“中國式的全面控制框架”具有十分重要的理論和現實意義。(7)所謂中國式全面控制，就是既符合中國國情，又符合中國企事業(yè)單位實際情況，從公司治理、戰(zhàn)略管理的高度，以風險管理為導向，對企事業(yè)單位實行全過程、全方位、全員的控制。(8)中國式全面控制框架簡稱“3C框架”，3C的意思是ChineseCompleteControl的第一個英文字母)(9)建立中國式的全面控制原因為我國的政治、經濟、法律、文化等背景與與西方有著很大的差異。(10)中國式控制制度要與國際趨同，要大膽借鑒國際上先進理念和科學方法，但要堅持“立足國情、借鑒國際、有取有舍、為我所有”的原則，不能過于迷信西方內部控制的“圣經”，更不能將國外的標準簡單直譯成中文就實施。(11)全面控制，是全過程、全方位和全員的控制，應包括方方面面，是人、財、物三維之間的“無縫”整合。(12)全過程控制，是指控制應貫穿于管理過程的始終，重點強調的是控制的持續(xù)改進和不斷完善。(13)全方位控制，是指控制不應僅局限于內部規(guī)章制度，而是涵蓋了公司治理、戰(zhàn)略決策、風險管理、組織文化、制度執(zhí)行和責任追究等立體交叉、多角度的風險防范體系。(14)全員控制，是指控制不僅僅是內部審計機構或董事會的責任，單位中的每一個人都對控制負有責任。(15)在全面控制建設中，人人有責，但高層管理人員應承擔主要責任。(16)全面控制設計和執(zhí)行關鍵是高層領導人員。(17)全面控制，從范圍看應當包括外部控制和內部控制。(18)根據中國的實際情況，單位外部控制，尤其是政府，必須建立健全相應的控制規(guī)范和控制機制，以影響和推動單位內部控制。(19)在我國現階段，加強外部控制具有十分重要的現實意義。(20)單位內部控制不能局限于會計控制，要從公司治理、戰(zhàn)略管理的高度，重點關注風險，內容至少還要包括管理控制。(21)建立全新的控制框架需要有破的勇氣、立的膽略，要超越大家已經很熟悉的內部控制的概念，引入全面控制的概念。(22)建立全面控制框架需要引入公司治理概念，建立健全公司治理結構。(23)建立全面控制框架需要引入戰(zhàn)略管理概念，建立健全戰(zhàn)略決策控制。(24)建立全面控制框架需要引入風險管理概念，重點關注風險，對風險進行全過程控制等。(25)一個單位的全面控制到底包括那些內容應視單位具體情況而定，而不能模式化、固定化。(26)3C框架，是由中國式概念、目標、內容、方法、標準、指標等構成的一個有機整體。(27)3C框架其內在的邏輯關系：戰(zhàn)略——目標——風險——控制。(28)3C框架不拘泥于某一種固定模式，永遠是多模式并存的。(29)全面控制模式會計控制為主模式、治理控制為主模式、風險控制為主模式、激勵和約束為主的模式，但全面控制的模式永遠是多模式并存的，不可能實行一種模式，最好的全面控制模式是適應單位控制需要的模式。(30)中天恒推出的3C框架中的全面控制實質是對風險的控制，是以風險管理為導向的控制。這個控制不是結果，是過程，是持續(xù)的動態(tài)監(jiān)控，要建立風險控制模型，要建立記錄動態(tài)過程的臺賬，并隨時出具監(jiān)控報告。(31)中天恒推出的3C框架是一個整體框架，應分主體、分階段、分需要逐步實施。(32)所謂分主體，就是針對不同的主體設計不同的控制制度。總體上控制主體可分非營利組織和企業(yè)。非營利組織可細分行政單位和事業(yè)單位，對事業(yè)單位還可細分教、科、文、衛(wèi)等。對企業(yè)至少要按行業(yè)和規(guī)模來進行分類。(33)所謂分階段，就是充分考慮我國整體控制現狀和具體每個單位控制的實際情況，準確定位到底處在哪個階段。(34)我國的全面控制應處于政府大力推動單位建立健全會計控制的階段，財政部制定和頒布實施的一系列內部會計控制規(guī)范是中國式全面控制現階段的現實選擇。(35)中國企事業(yè)單位的控制制度建設差距非常大，個別單位(主要是在海外上市的企業(yè))已經建立符合西方COSO內部控制框架的控制制度，大多數單位連會計控制制度還沒有建立起來，因此，中國式的全面控制的建設應分階段進行。(36)所謂分需要，就是應根據各單位的實際需要，建立相應的控制制度，在現階段至少應分管理控制和會計控制。單位管理人員尤其高層管理人員特別需要的管理控制，審計人員尤其是外部審計人員需要的會計控制。(37)中國式全面控制的建立應進行明確合理的分工。(38)財政部根據其職責應重點制定和完善內部會計控制規(guī)范，進而促進單位內部會計控制建設。(39)國資委正在制定中的企業(yè)內部控制管理辦法，應重點制定更加關注風險的管理控制規(guī)范，進而促進單位管理控制建設。(40)單位管理部門(不包括財務、審計部門)應根據分工承擔起管理控制建設的任務，財務、審計部門人員要重新重視被人們忽視的“內部會計控制”的概念，重點進行內部會計控制的建設。(41)實際工作中，把全面控制的任務交由財務、審計部門來完成的做法是不現實的，是超出財務、審計的職責權限和能力的。(42)現階段要外部審計要對全面控制尤其管理控制的可靠性作出保證的要求是不現實的，是超出審計人員能力所為的。(43)構建中國式全面控制框架涉及管理學、法學、人力資源、倫理等多種學科，是一個巨大的系統(tǒng)的工程，不可能一蹴而就，需要全社會不斷的努力。(44)構建中國式全面控制框最大的難點是要建立建立風險模型，對機構、業(yè)務等的風險等級進行評價，找出風險控制點，并進行排序。這需要計算機解決風險模型。(45)風險與收益并存。(46)風險是變化的，要進行持續(xù)的動態(tài)控制，過程要進行排序。(47)中國式全面控制框的風險與控制是分不開的。(48)構建中國式全面控制框應先建立全面控制的概念框架或理論框架，這是全面控制建設的基礎和前提。(49)全面控制概念框架是由目標和與之相互聯系的基本概念組成的一個連貫的理論體系，并對內部控制的性質、作用局限性作出規(guī)定。目標用于識別內部控制的目的和宗旨，基本概念是全面控制的基礎概念。(50)全面控制理論的基礎：資源理論、混沌理論、管理學理論?；A包括理論基礎、社會基礎、經濟基礎、人員基礎和環(huán)境基礎。(51)全面控制要素就是內容，包括：管理控制活動、業(yè)務控制活動、會計會計活動。(52)全面控制方法主要包括：目標控制方法、組織控制方法、授權控制方法、程序控制方法、措施控制方法、檢查控制方法以及標準控制方法等。(53)全面內部會計控制方法主要包括：不相容職務相互分離控制、授權批準控制、會計系統(tǒng)控制、預算控制、財產保全控制、風險控制、內部報告控制、電子信息技術控制等。(54)外部控制制度設計的主體是政府，內部控制制度的設計主體是單位自己不是政府。(55)全面控制不是設計出來的是干出來的。(56)全面控制一定要嵌入企業(yè)管理的日常工作中。(57)全面控制的核心是對高管人員的控制，而不是對員工。(58)控制環(huán)境不是內控制要素，是一個基礎條件。(59)什么控制等于什么都沒有控制，人人控制等于沒有控制。(60)在中國式全面控制建設中要把復雜問題簡單化，不能把簡單問題復雜化。(61)按西方的COSO框架設置中國企業(yè)的手冊是勞民傷財之舉，不符合成本效益原則。(62)管理層有關內部控制效果的聲明的價值是靠不住的。2.3C“中天恒”在3C框架—中國式全面控制的基礎上，提出了3C全面風險管理標準?！爸刑旌恪闭J為，3C全面風險管理標準是在大膽借鑒國際上權威的風險管理框架或標準，認真學習汲取了國際、國內有關風險管理方面大量最新研究成果的基礎上，依據國務院國資委頒布的《中央企業(yè)全面風險管理指引》文件精神，多方面總結我國企業(yè)風險管理和內部控制制度建設實踐的經驗，歷經四年之久地深入研究和幾十次的高峰論壇的基礎上，研究開發(fā)出來的，充分考慮了中國企業(yè)的實際情況，是中國企業(yè)自己的全面風險管理標準。3C全面風險管理框架圖如圖、圖2所示。圖1：3C全面風險管理框架圖1圖1.7.2：3C全面風險管理框架23C全面風險管理文件目錄內容摘要基本框架◎目標體系1.目標概念2.目標分類3.目標體系4.目標確定◎風險整合1.風險概念2.風險要素3.風險屬性4.風險分類5.風險偏好6.風險意識7.風險理念8.風險文化9.風險整合◎管理融合1.全面風險管理概念2.全面風險管理目標3.全面風險管理意義4.全面風險管理政策5.全面風險管理戰(zhàn)略6.全面風險管理策略7.全面風險管理決策8.全面風險管理主體9.全面風險管理內容10.全面風險管理流程11.全面風險管理方法12.全面風險管理信息13.全面風險管理溝通14.全面風險管理學習15.全面風險管理融合實務標準◎管理準備1.選擇項目2.確定目標3.成立小組4.收集信息5.初步了解6.制定計劃7.編制方案8.下發(fā)倡議◎管理實施1.風險識別2.風險評估3.風險應對4.風險控制◎管理報告1.風險預警2.風險報告◎監(jiān)督改進1.風險監(jiān)督2.風險審計3.管理改進操作指南◎操作工具3C框架全面風險管理常用技術3C框架全面風險管理創(chuàng)新技術3C框架全面風險管理常用工具◎操作簡圖..8.19.20.◎操作簡表..4.55.二、《企業(yè)內部控制基本規(guī)范》(財會[2008]7號、2009年7月1日起財政部證監(jiān)會審計署銀監(jiān)會保監(jiān)會關于印發(fā)《企業(yè)內部控制基本規(guī)范》的通知財會[2008]7號中直管理局，鐵道部、國管局，總后勤部、武警總部，各省、自治區(qū)、直轄市、計劃單列市財政廳(局)、審計廳(局)，新疆生產建設兵團財務局、審計局，中國證監(jiān)會各省、自治區(qū)、直轄市、計劃單列市監(jiān)管局，中國證監(jiān)會上海、深圳專員辦，各保監(jiān)局、保險公司，各銀監(jiān)局、政策性銀行、國有商業(yè)銀行、股份制商業(yè)銀行、郵政儲蓄銀行、資產管理公司，各省級農村信用聯社，銀監(jiān)會直接管理的信托公司、財務公司、租賃公司，有關中央管理企業(yè)：為了加強和規(guī)范企業(yè)內部控制，提高企業(yè)經營管理水平和風險防范能力，促進企業(yè)可持續(xù)發(fā)展，維護社會主義市場經濟秩序和社會公眾利益，根據國家有關法律法規(guī)，財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會制定了《企業(yè)內部控制基本規(guī)范》，現予印發(fā)，自2009年7月1日起在上市公司范圍內施行，鼓勵非上市的大中型企業(yè)執(zhí)行。執(zhí)行本規(guī)范的上市公司，應當對本公司內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業(yè)務資格的會計師事務所對內部控制的有效性進行審計。執(zhí)行中有何問題，請及時反饋我們。附件：企業(yè)內部控制基本規(guī)范附件：企業(yè)內部控制基本規(guī)范第一章總則第一條為了加強和規(guī)范企業(yè)內部控制，提高企業(yè)經營管理水平和風險防范能力，促進企業(yè)可持續(xù)發(fā)展，維護社會主義市場經濟秩序和社會公眾利益，根據《中華人民共和國公司法》、《中華人民共和國證券法》、《中華人民共和國會計法》和其他有關法律法規(guī)，制定本規(guī)范。第二條本規(guī)范適用于中華人民共和國境內設立的大中型企業(yè)。小企業(yè)和其他單位可以參照本規(guī)范建立與實施內部控制。大中型企業(yè)和小企業(yè)的劃分標準根據國家有關規(guī)定執(zhí)行。第三條本規(guī)范所稱內部控制，是由企業(yè)董事會、監(jiān)事會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業(yè)經營管理合法合規(guī)、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業(yè)實現發(fā)展戰(zhàn)略。第四條企業(yè)建立與實施內部控制，應當遵循下列原則：(一)全面性原則。內部控制應當貫穿決策、執(zhí)行和監(jiān)督全過程，覆蓋企業(yè)及其所屬單位的各種業(yè)務和事項。(二)重要性原則。內部控制應當在全面控制的基礎上，關注重要業(yè)務事項和高風險領域。(三)制衡性原則。內部控制應當在治理結構、機構設置及權責分配、業(yè)務流程等方面形成相互制約、相互監(jiān)督，同時兼顧運營效率。(四)適應性原則。內部控制應當與企業(yè)經營規(guī)模、業(yè)務范圍、競爭狀況和風險水平等相適應，并隨著情況的變化及時加以調整。(五)成本效益原則。內部控制應當權衡實施成本與預期效益，以適當的成本實現有效控制。第五條企業(yè)建立與實施有效的內部控制，應當包括下列要素：(一)內部環(huán)境。內部環(huán)境是企業(yè)實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業(yè)文化等。(二)風險評估。風險評估是企業(yè)及時識別、系統(tǒng)分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。(三)控制活動。控制活動是企業(yè)根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。(四)信息與溝通。信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進行有效溝通。(五)內部監(jiān)督。內部監(jiān)督是企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現內部控制缺陷，應當及時加以改進。第六條企業(yè)應當根據有關法律法規(guī)、本規(guī)范及其配套辦法，制定本企業(yè)的內部控制制度并組織實施。第七條企業(yè)應當運用信息技術加強內部控制，建立與經營管理相適應的信息系統(tǒng)，促進內部控制流程與信息系統(tǒng)的有機結合，實現對業(yè)務和事項的自動控制，減少或消除人為操縱因素。第八條企業(yè)應當建立內部控制實施的激勵約束機制，將各責任單位和全體員工實施內部控制的情況納入績效考評體系，促進內部控制的有效實施。第九條國務院有關部門可以根據法律法規(guī)、本規(guī)范及其配套辦法，明確貫徹實施本規(guī)范的具體要求，對企業(yè)建立與實施內部控制的情況進行監(jiān)督檢查。第十條接受企業(yè)委托從事內部控制審計的會計師事務所，應當根據本規(guī)范及其配套辦法和相關執(zhí)業(yè)準則，對企業(yè)內部控制的有效性進行審計，出具審計報告。會計師事務所及其簽字的從業(yè)人員應當對發(fā)表的內部控制審計意見負責。為企業(yè)內部控制提供咨詢的會計師事務所，不得同時為同一企業(yè)提供內部控制審計服務。第二章內部環(huán)境第十一條企業(yè)應當根據國家有關法律法規(guī)和企業(yè)章程，建立規(guī)范的公司治理結構和議事規(guī)則，明確決策、執(zhí)行、監(jiān)督等方面的職責權限，形成科學有效的職責分工和制衡機制。股東(大)會享有法律法規(guī)和企業(yè)章程規(guī)定的合法權利，依法行使企業(yè)經營方針、籌資、投資、利潤分配等重大事項的表決權。董事會對股東(大)會負責，依法行使企業(yè)的經營決策權。監(jiān)事會對股東(大)會負責，監(jiān)督企業(yè)董事、經理和其他高級管理人員依法履行職責。經理層負責組織實施股東(大)會、董事會決議事項，主持企業(yè)的生產經營管理工作。第十二條董事會負責內部控制的建立健全和有效實施。監(jiān)事會對董事會建立與實施內部控制進行監(jiān)督。經理層負責組織領導企業(yè)內部控制的日常運行。企業(yè)應當成立專門機構或者指定適當的機構具體負責組織協(xié)調內部控制的建立實施及日常工作。第十三條企業(yè)應當在董事會下設立審計委員會。審計委員會負責審查企業(yè)內部控制，監(jiān)督內部控制的有效實施和內部控制自我評價情況，協(xié)調內部控制審計及其他相關事宜等。審計委員會負責人應當具備相應的獨立性、良好的職業(yè)操守和專業(yè)勝任能力。第十四條企業(yè)應當結合業(yè)務特點和內部控制要求設置內部機構，明確職責權限，將權利與責任落實到各責任單位。企業(yè)應當通過編制內部管理手冊，使全體員工掌握內部機構設置、崗位職責、業(yè)務流程等情況，明確權責分配，正確行使職權。第十五條企業(yè)應當加強內部審計工作，保證內部審計機構設置、人員配備和工作的獨立性。內部審計機構應當結合內部審計監(jiān)督，對內部控制的有效性進行監(jiān)督檢查。內部審計機構對監(jiān)督檢查中發(fā)現的內部控制缺陷，應當按照企業(yè)內部審計工作程序進行報告；對監(jiān)督檢查中發(fā)現的內部控制重大缺陷，有權直接向董事會及其審計委員會、監(jiān)事會報告。第十六條企業(yè)應當制定和實施有利于企業(yè)可持續(xù)發(fā)展的人力資源政策。人力資源政策應當包括下列內容：(一)員工的聘用、培訓、辭退與辭職。(二)員工的薪酬、考核、晉升與獎懲。(三)關鍵崗位員工的強制休假制度和定期崗位輪換制度。(四)掌握國家秘密或重要商業(yè)秘密的員工離崗的限制性規(guī)定。(五)有關人力資源管理的其他政策。第十七條企業(yè)應當將職業(yè)道德修養(yǎng)和專業(yè)勝任能力作為選拔和聘用員工的重要標準，切實加強員工培訓和繼續(xù)教育，不斷提升員工素質。第十八條企業(yè)應當加強文化建設，培育積極向上的價值觀和社會責任感，倡導誠實守信、愛崗敬業(yè)、開拓創(chuàng)新和團隊協(xié)作精神，樹立現代管理理念，強化風險意識。董事、監(jiān)事、經理及其他高級管理人員應當在企業(yè)文化建設中發(fā)揮主導作用。企業(yè)員工應當遵守員工行為守則，認真履行崗位職責。第十九條企業(yè)應當加強法制教育，增強董事、監(jiān)事、經理及其他高級管理人員和員工的法制觀念，嚴格依法決策、依法辦事、依法監(jiān)督，建立健全法律顧問制度和重大法律糾紛案件備案制度。第三章風險評估第二十條企業(yè)應當根據設定的控制目標，全面系統(tǒng)持續(xù)地收集相關信息，結合實際情況，及時進行風險評估。第二十一條企業(yè)開展風險評估，應當準確識別與實現控制目標相關的內部風險和外部風險，確定相應的風險承受度。風險承受度是企業(yè)能夠承擔的風險限度，包括整體風險承受能力和業(yè)務層面的可接受風險水平。第二十二條企業(yè)識別內部風險，應當關注下列因素：(一)董事、監(jiān)事、經理及其他高級管理人員的職業(yè)操守、員工專業(yè)勝任能力等人力資源因素。(二)組織機構、經營方式、資產管理、業(yè)務流程等管理因素。(三)研究開發(fā)、技術投入、信息技術運用等自主創(chuàng)新因素。(四)財務狀況、經營成果、現金流量等財務因素。(五)營運安全、員工健康、環(huán)境保護等安全環(huán)保因素。(六)其他有關內部風險因素。第二十三條企業(yè)識別外部風險，應當關注下列因素：(一)經濟形勢、產業(yè)政策、融資環(huán)境、市場競爭、資源供給等經濟因素。(二)法律法規(guī)、監(jiān)管要求等法律因素。(三)安全穩(wěn)定、文化傳統(tǒng)、社會信用、教育水平、消費者行為等社會因素。(四)技術進步、工藝改進等科學技術因素。(五)自然災害、環(huán)境狀況等自然環(huán)境因素。(六)其他有關外部風險因素。第二十四條企業(yè)應當采用定性與定量相結合的方法，按照風險發(fā)生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優(yōu)先控制的風險。企業(yè)進行風險分析，應當充分吸收專業(yè)人員，組成風險分析團隊，按照嚴格規(guī)范的程序開展工作，確保風險分析結果的準確性。第二十五條企業(yè)應當根據風險分析的結果，結合風險承受度，權衡風險與收益，確定風險應對策略。企業(yè)應當合理分析、準確掌握董事、經理及其他高級管理人員、關鍵崗位員工的風險偏好，采取適當的控制措施，避免因個人風險偏好給企業(yè)經營帶來重大損失。第二十六條企業(yè)應當綜合運用風險規(guī)避、風險降低、風險分擔和風險承受等風險應對策略，實現對風險的有效控制。風險規(guī)避是企業(yè)對超出風險承受度的風險，通過放棄或者停止與該風險相關的業(yè)務活動以避免和減輕損失的策略。風險降低是企業(yè)在權衡成本效益之后，準備采取適當的控制措施降低風險或者減輕損失，將風險控制在風險承受度之內的策略。風險分擔是企業(yè)準備借助他人力量，采取業(yè)務分包、購買保險等方式和適當的控制措施，將風險控制在風險承受度之內的策略。風險承受是企業(yè)對風險承受度之內的風險，在權衡成本效益之后，不準備采取控制措施降低風險或者減輕損失的策略。第二十七條企業(yè)應當結合不同發(fā)展階段和業(yè)務拓展情況，持續(xù)收集與風險變化相關的信息，進行風險識別和風險分析，及時調整風險應對策略。第四章控制活動第二十八條企業(yè)應當結合風險評估結果，通過手工控制與自動控制、預防性控制與發(fā)現性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內。控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。第二十九條不相容職務分離控制要求企業(yè)全面系統(tǒng)地分析、梳理業(yè)務流程中所涉及的不相容職務，實施相應的分離措施，形成各司其職、各負其責、相互制約的工作機制。第三十條授權審批控制要求企業(yè)根據常規(guī)授權和特別授權的規(guī)定，明確各崗位辦理業(yè)務和事項的權限范圍、審批程序和相應責任。企業(yè)應當編制常規(guī)授權的權限指引，規(guī)范特別授權的范圍、權限、程序和責任，嚴格控制特別授權。常規(guī)授權是指企業(yè)在日常經營管理活動中按照既定的職責和程序進行的授權。特別授權是指企業(yè)在特殊情況、特定條件下進行的授權。企業(yè)各級管理人員應當在授權范圍內行使職權和承擔責任。企業(yè)對于重大的業(yè)務和事項，應當實行集體決策審批或者聯簽制度，任何個人不得單獨進行決策或者擅自改變集體決策。第三十一條會計系統(tǒng)控制要求企業(yè)嚴格執(zhí)行國家統(tǒng)一的會計準則制度，加強會計基礎工作，明確會計憑證、會計賬簿和財務會計報告的處理程序，保證會計資料真實完整。企業(yè)應當依法設置會計機構，配備會計從業(yè)人員。從事會計工作的人員，必須取得會計從業(yè)資格證書。會計機構負責人應當具備會計師以上專業(yè)技術職務資格。大中型企業(yè)應當設置總會計師。設置總會計師的企業(yè)，不得設置與其職權重疊的副職。第三十二條財產保護控制要求企業(yè)建立財產日常管理制度和定期清查制度，采取財產記錄、實物保管、定期盤點、賬實核對等措施，確保財產安全。企業(yè)應當嚴格限制未經授權的人員接觸和處置財產。第三十三條

預算控制要求企業(yè)實施全面預算管理制度，明確各責任單位在預算管理中的職責權限，規(guī)范預算的編制、審定、下達和執(zhí)行程序，強化預算約束。第三十四條運營分析控制要求企業(yè)建立運營情況分析制度，經理層應當綜合運用生產、購銷、投資、籌資、財務等方面的信息，通過因素分析、對比分析、趨勢分析等方法，定期開展運營情況分析，發(fā)現存在的問題，及時查明原因并加以改進。第三十五條績效考評控制要求企業(yè)建立和實施績效考評制度，科學設置考核指標體系，對企業(yè)內部各責任單位和全體員工的業(yè)績進行定期考核和客觀評價，將考評結果作為確定員工薪酬以及職務晉升、評優(yōu)、降級、調崗、辭退等的依據。第三十六條企業(yè)應當根據內部控制目標，結合風險應對策略，綜合運用控制措施，對各種業(yè)務和事項實施有效控制。第三十七條企業(yè)應當建立重大風險預警機制和突發(fā)事件應急處理機制，明確風險預警標準，對可能發(fā)生的重大風險或突發(fā)事件，制定應急預案、明確責任人員、規(guī)范處置程序，確保突發(fā)事件得到及時妥善處理。第五章信息與溝通第三十八條企業(yè)應當建立信息與溝通制度，明確內部控制相關信息的收集、處理和傳遞程序，確保信息及時溝通，促進內部控制有效運行。第三十九條企業(yè)應當對收集的各種內部信息和外部信息進行合理篩選、核對、整合，提高信息的有用性。企業(yè)可以通過財務會計資料、經營管理資料、調研報告、專項信息、內部刊物、辦公網絡等渠道，獲取內部信息。企業(yè)可以通過行業(yè)協(xié)會組織、社會中介機構、業(yè)務往來單位、市場調查、來信來訪、網絡媒體以及有關監(jiān)管部門等渠道，獲取外部信息。第四十條企業(yè)應當將內部控制相關信息在企業(yè)內部各管理級次、責任單位、業(yè)務環(huán)節(jié)之間，以及企業(yè)與外部投資者、債權人、客戶、供應商、中介機構和監(jiān)管部門等有關方面之間進行溝通和反饋。信息溝通過程中發(fā)現的問題，應當及時報告并加以解決。重要信息應當及時傳遞給董事會、監(jiān)事會和經理層。第四十一條企業(yè)應當利用信息技術促進信息的集成與共享，充分發(fā)揮信息技術在信息與溝通中的作用。企業(yè)應當加強對信息系統(tǒng)開發(fā)與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運行。第四十二條企業(yè)應當建立反舞弊機制，堅持懲防并舉、重在預防的原則，明確反舞弊工作的重點領域、關鍵環(huán)節(jié)和有關機構在反舞弊工作中的職責權限，規(guī)范舞弊案件的舉報、調查、處理、報告和補救程序。企業(yè)至少應當將下列情形作為反舞弊工作的重點：(一)未經授權或者采取其他不法方式侵占、挪用企業(yè)資產，牟取不當利益。(二)在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等。(三)董事、監(jiān)事、經理及其他高級管理人員濫用職權。(四)相關機構或人員串通舞弊。第四十三條企業(yè)應當建立舉報投訴制度和舉報人保護制度，設置舉報專線，明確舉報投訴處理程序、辦理時限和辦結要求，確保舉報、投訴成為企業(yè)有效掌握信息的重要途徑。舉報投訴制度和舉報人保護制度應當及時傳達至全體員工。第六章內部監(jiān)督第四十四條企業(yè)應當根據本規(guī)范及其配套辦法，制定內部控制監(jiān)督制度，明確內部審計機構(或經授權的其他監(jiān)督機構)和其他內部機構在內部監(jiān)督中的職責權限，規(guī)范內部監(jiān)督的程序、方法和要求。內部監(jiān)督分為日常監(jiān)督和專項監(jiān)督。日常監(jiān)督是指企業(yè)對建立與實施內部控制的情況進行常規(guī)、持續(xù)的監(jiān)督檢查；專項監(jiān)督是指在企業(yè)發(fā)展戰(zhàn)略、組織結構、經營活動、業(yè)務流程、關鍵崗位員工等發(fā)生較大調整或變化的情況下，對內部控制的某一或者某些方面進行有針對性的監(jiān)督檢查。專項監(jiān)督的范圍和頻率應當根據風險評估結果以及日常監(jiān)督的有效性等予以確定。第四十五條企業(yè)應當制定內部控制缺陷認定標準，對監(jiān)督過程中發(fā)現的內部控制缺陷，應當分析缺陷的性質和產生的原因，提出整改方案，采取適當的形式及時向董事會、監(jiān)事會或者經理層報告。內部控制缺陷包括設計缺陷和運行缺陷。企業(yè)應當跟蹤內部控制缺陷整改情況，并就內部監(jiān)督中發(fā)現的重大缺陷，追究相關責任單位或者責任人的責任。第四十六條企業(yè)應當結合內部監(jiān)督情況，定期對內部控制的有效性進行自我評價，出具內部控制自我評價報告。內部控制自我評價的方式、范圍、程序和頻率，由企業(yè)根據經營業(yè)務調整、經營環(huán)境變化、業(yè)務發(fā)展狀況、實際風險水平等自行確定。國家有關法律法規(guī)另有規(guī)定的，從其規(guī)定。第四十七條企業(yè)應當以書面或者其他適當的形式，妥善保存內部控制建立與實施過程中的相關記錄或者資料，確保內部控制建立與實施過程的可驗證性。第七章附則第四十八條本規(guī)范由財政部會同國務院其他有關部門解釋。第四十九條本規(guī)范的配套辦法由財政部會同國務院其他有關部門另行制定。第五十條本規(guī)范自2009年7月1日起實施。二OO八年五月二十二日三、《中央企業(yè)全面風險管理指引》(國資發(fā)改革[2006]108號)解讀國務院國有資產監(jiān)督管理委員會文件國資發(fā)改革[2006]108號關于印發(fā)《中央企業(yè)全面風險管理指引》的通知各中央企業(yè)：

企業(yè)全面風險管理是一項十分重要的工作，關系到國有資產保值增值和企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展。為了指導企業(yè)開展全面風險管理工作，進一步提高企業(yè)管理水平，增強企業(yè)競爭力，促進企業(yè)穩(wěn)步發(fā)展，我們制定了《中央企業(yè)全面風險管理指引》，現印發(fā)你們，請結合本企業(yè)實際執(zhí)行。企業(yè)在實施過程中的經驗、做法及遇到的問題，請及時反饋我委。國務院國有資產監(jiān)督管理委員會二○○六年六月六日中央企業(yè)全面風險管理指引第一章總則

第一條為指導國務院國有資產監(jiān)督管理委員會(以下簡稱國資委)履行出資人職責的企業(yè)(以下簡稱中央企業(yè))開展全面風險管理工作，增強企業(yè)競爭力，提高投資回報，促進企業(yè)持續(xù)、健康、穩(wěn)定發(fā)展，根據《中華人民共和國公司法》、《企業(yè)國有資產監(jiān)督管理暫行條例》等法律法規(guī)，制定本指引。

第二條中央企業(yè)根據自身實際情況貫徹執(zhí)行本指引。中央企業(yè)中的國有獨資公司董事會負責督導本指引的實施；國有控股企業(yè)由國資委和國資委提名的董事通過股東(大)會和董事會按照法定程序負責督導本指引的實施。

第三條本指引所稱企業(yè)風險，指未來的不確定性對企業(yè)實現其經營目標的影響。企業(yè)風險一般可分為戰(zhàn)略風險、財務風險、市場風險、運營風險、法律風險等；也可以能否為企業(yè)帶來盈利等機會為標志，將風險分為純粹風險(只有帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性并存)。

第四條本指引所稱全面風險管理，指企業(yè)圍繞總體經營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內部控制系統(tǒng)，從而為實現風險管理的總體目標提供合理保證的過程和方法。

第五條本指引所稱風險管理基本流程包括以下主要工作：

(一)收集風險管理初始信息；

(二)進行風險評估；

(三)制定風險管理策略；

(四)提出和實施風險管理解決方案；

(五)風險管理的監(jiān)督與改進。

第六條本指引所稱內部控制系統(tǒng)，指圍繞風險管理策略目標，針對企業(yè)戰(zhàn)略、規(guī)劃、產品研發(fā)、投融資、市場運營、財務、內部審計、法律事務、人力資源、采購、加工制造、銷售、物流、質量、安全生產、環(huán)境保護等各項業(yè)務管理及其重要業(yè)務流程，通過執(zhí)行風險管理基本流程，制定并執(zhí)行的規(guī)章制度、程序和措施。

第七條企業(yè)開展全面風險管理要努力實現以