企業(yè)風險管理實踐教材

第二章企業(yè)風險管理實踐06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐1本章學習目標了解英國公司治理的開展歷程，掌握卡德伯利報告、哈姆佩爾報告和特恩布爾報告的主要內(nèi)容掌握美國企業(yè)風險管理開展的5個階段掌握COSO?內(nèi)部控制—整合框架?的主要內(nèi)容掌握薩班斯一奧克斯利法案的內(nèi)容概要理解薩班斯一奧克斯利法案的精髓和缺陷掌握COSO?企業(yè)風險管理—整合框架?的主要內(nèi)容掌握COSO?企業(yè)風險管理—整合框架?和?內(nèi)部控制—整合框架?的聯(lián)系與區(qū)別理解我國企業(yè)風險管理的開展歷程及存在的問題了解其它國家和地區(qū)的企業(yè)風險管理實踐總體狀況目前各國的風險管理水平的大致情況是：美國、澳大利亞最超前、成熟；日本、英國、加拿大等國在風險管理標準方面的研究也較為深入。我國風險管理事業(yè)雖然起步較晚，風險管理的系統(tǒng)實施尚不普及，但局部從業(yè)人員的水平居世界前列。06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐2第二章企業(yè)風險管理實踐06一月2024企業(yè)風險管理第一章緒論3第一節(jié)企業(yè)風險管理在英國的實踐1第二節(jié)企業(yè)風險管理在美國的實踐2第三節(jié)企業(yè)風險管理在我國的實踐34第四節(jié)企業(yè)風險管理在其他國家和地區(qū)的實踐4第一節(jié)企業(yè)風險管理在英國的實踐06一月2024企業(yè)風險管理第一章緒論4英國企業(yè)風險管理的開展離不開公司治理研究的推動。報告名稱發(fā)布日期卡德伯利報告（CadburyReport）1992年12月格林伯利報告（CreenburyReport）1995年7月哈姆佩爾準則（HampelCode）1998年6月特恩布爾報告（TurnbullReport）1999年9月邁爾斯評論（MynersReview）2001年3月史密斯報告（SmithReport）2003年1月西格斯報告（HiggsReport）2003年1月泰森報告（TysonReport）2003年6月綜合準則（TheCombinedCode）2003年7月一、卡德伯利報告(CadburyReport)06一月2024企業(yè)風險管理第一章緒論5該報告從財務角度對公司治理進行了深度的剖析，同時將內(nèi)部控制置于公司治理的框架之下。建議從四個方面改善公司治理：公司董事會層面：重大事項經(jīng)董事會決議公司非執(zhí)行獨立董事層面：首次提出NEDs公司執(zhí)行董事層面:董事薪酬委員會應由NEDs主導報告和控制層面：董事會必須向公司股東清晰直觀地呈報公司的當前經(jīng)營和歷史經(jīng)營狀況、公司的盈利前景一、卡德伯利報告(CadburyReport)06一月2024企業(yè)風險管理第一章緒論6除了公司治理環(huán)境，卡德伯利報告更從公司管理層次上提出，健全的內(nèi)部控制是公司有效管理的一個重要方面。因此，建議董事們應發(fā)表一個聲明，對公司內(nèi)部控制的有效性進行詳細描述。同時，外部審計師應對這份聲明進行復核和報告，并規(guī)定在董事會認可聲明之前，公司的審計委員會必須對公司的內(nèi)部控制聲明進行復核。該報告還認為，內(nèi)部審計有助于確保內(nèi)部控制的有效性，內(nèi)部審計的日常監(jiān)督是內(nèi)部控制的整體組成局部，會計師應在以下方面對公司的內(nèi)部控制起到督導作用：①建立用以評估有效性的一整套標準；②建立董事會報告形式的具體指南；③建立審計師用以相關審計程序和報告格式的具體指南?！皟?nèi)外雙重審計〞制度的創(chuàng)設，最大限度地防止了董事會、董事甚至內(nèi)部審計人員串通舞弊的可能性。二、格林伯利報告〔GreenburyReport〕06一月2024企業(yè)風險管理第一章緒論7格林伯利董事薪酬研究委員會成立于1995年，重點關注董事薪酬增長速度與水平與公司業(yè)績表現(xiàn)嚴重脫鉤的問題。該委員會的主旨在于建立董事薪酬決策的最正確實踐，尤其針對以前所無視的與公司績效掛鉤的薪酬支付。該委員會提交的董事薪酬最正確指引最終成為1995年上市準那么〔ListingRules〕的附屬文件。格林伯利報告的核心思想有以下幾個方面：嚴禁執(zhí)行董事自己給自己設定薪酬及其影響要素；在董事薪酬設計軟件中引入更嚴格的條件，著重關注董事業(yè)績鼓勵與公司回報之間的關系；改善對股東的義務。三、哈姆佩爾報告〔HampelReport〕06一月2024企業(yè)風險管理第一章緒論8哈姆佩爾報告于1998年6月問世并取代了卡德伯利報告和格林伯利報告，成為了在英國倫敦交易所上市必須遵循的上市規(guī)那么。哈姆佩爾報告將內(nèi)部控制的目的定位于保護資產(chǎn)的平安、保持正確的財務會汁記錄、保證公司內(nèi)部使用和向外部提供的財務信息的可靠性，同時鼓勵董事對內(nèi)部控制的各個方面進行復核，包括確保高效經(jīng)營、遵守法律法規(guī)方面的控制。哈姆佩爾報告認為，將財務控制與其他控制區(qū)分開來是十分困難的，而且也并沒有太大的意義。該報告還堅信董事及管理人員對控制的各個方面進行復核具有重要意義，內(nèi)部控制不應僅局限于公司治理的財務方面。從內(nèi)部控制制度來看，哈姆佩爾報告與卡德伯利報告在諸多方面形成了鮮明比照。四、特恩布爾報告〔TurnbullReport〕06一月2024企業(yè)風險管理第一章緒論9特恩布爾報告。作為指導企業(yè)構建內(nèi)部控制的指南，該報告的意義在于，它為公司及董事會提供了具體的、頗具操作性的內(nèi)部控制指引。其主要內(nèi)容包括：董事會對公司的內(nèi)部控制負責執(zhí)行風險控制政策是管理層的職責合理的內(nèi)部控制要素公司內(nèi)部控制的控制環(huán)境：①控制活動；②信息和溝通程序；③持續(xù)性監(jiān)督程序。特恩布爾報告還描述了健全的內(nèi)部控制所應具備的根本特征：①內(nèi)部控制根植于公司的經(jīng)營之中，成為公司文化的一局部，換言之，它不僅僅是為了取悅監(jiān)管者而進行的年度例行檢查，更是真正意義上的對公司既定戰(zhàn)略目標的執(zhí)行和公司治理的延伸；②針對公司所面臨的日新月異的風險，內(nèi)部控制應具有快速反響的能力；③具有對管理中存在的缺陷或失敗進行快速報告的能力，并且能及時地采取糾正措施。五、邁爾斯評論〔MynersReview〕06一月2024企業(yè)風險管理第一章緒論10針對機構投資者〔包括養(yǎng)老金方案、保險公司〕投資決策過程有效性進行研究。2001年3月，鮑爾.邁爾斯公布了相應的研究。報告中除了指明當時英國機構投資者在投資決策過程中顯著缺失有效性和靈活性外，還對投資決策有效步驟提出了根本的原那么，對機構投資者的投資控制有著指導意義。六、史密斯報告〔SmithReport〕06一月2024企業(yè)風險管理第一章緒論112024年1月發(fā)布的史密斯報告為上市公司提供了董事會如何安排審計委員會以及審計委員會中的董事如何履行職責的指引該報告提供的指引包含以下內(nèi)容：①審計委員會的組成與角色，人選程序和來源；②與董事會的關系；③角色與職能；④與股東的溝通七、西格斯報告〔HiggsReport〕06一月2024企業(yè)風險管理第一章緒論122024年4月，英國財政部和貿(mào)易中心為了提高英國各行業(yè)的生產(chǎn)效率，發(fā)起了對公眾上市公司非執(zhí)行董事有效性的調(diào)研，對非執(zhí)行董事的角色和效率提高進行徹底澄清就獨立非執(zhí)行董事在獨立性、雇傭、任命、就職、任期、薪酬、辭職、審計委員會、職責和投資者關系各個方面提出了長達6頁紙的改進建議。八、泰森報告〔TysonReport〕06一月2024企業(yè)風險管理第一章緒論13泰森報告共有12章，涵蓋獨立非執(zhí)行董事的屬性、成員來源、當前狀況、獨立非執(zhí)行董事成員多樣性的優(yōu)勢、董事會構成的約束條件、未來的培訓事宜等。主要特點如下：基于對公司的特殊需要和所面臨的挑戰(zhàn)進行詳細評估而作出的對每一個獨立非執(zhí)行董事的任命過程；適用范圍擴大，包括公眾上市公司、專業(yè)效勞公司、非上市公司、私人股權公司、非商業(yè)部門以及外資企業(yè)中的商業(yè)和非商業(yè)部門；為董事會成員提供正式的培訓和評估；形成新的組織，對董事會的構成提供常規(guī)的、可靠的評估。九、公司治理聯(lián)合條例06一月2024企業(yè)風險管理第一章緒論142024年的公司治理聯(lián)合條例取代了1998年由哈姆貝爾委員會發(fā)布的條例。2024年的聯(lián)合條例在原來條例的根底上，新增了西格斯報告關于獨立非執(zhí)行董事和史密斯報告關于審計委員會的內(nèi)容。英國金融效勞當局〔FSA〕決定將新聯(lián)合條例參加到上市準那么中，在2024年11月及以后的上市公司報告中實行。上市公司披露報告將有兩局部內(nèi)容涉及到上市準那么的修訂：在報告的第一局部將要求陳述公司治理政策，第二局部將要求說明在哪些方面遵守了聯(lián)合條例的條款，而在哪些方面沒有遵守，不遵守的理由是什么。在實際操作中準那么仍然采用沿用了10年之久的“遵守或解釋〞的方法。聯(lián)合條例分為5個局部，分別是董事、薪酬、問責制度與審計、股東關系以及機構股東。英國企業(yè)風險管理實踐總結總之，英國企業(yè)內(nèi)部控制的開展離不開公司治理的推動，內(nèi)部控制和內(nèi)部審計研究均置于公司治理的框架之內(nèi)，重視從公司治理的角度來穩(wěn)固內(nèi)部控制制度的效果，把內(nèi)部控制看作公司治理在企業(yè)日常運用中的有效延伸，這是英國公司治理和內(nèi)部控制體系開展帶給我們最大的啟發(fā)，也是當前企業(yè)風險管理體系的核心，并催生了當前的公司治理的問責制和最正確實踐的根本原那么。06一月2024企業(yè)風險管理第一章緒論15英國企業(yè)風險管理實踐總結公司治理的目的是建立一種問責性制度(Accountability),以使公司的董事會和管理人員切實承擔其責任，有效地運用他們受托管理的資金，為投資者〔股東〕謀取利益。健康的公司治理要求董事會內(nèi)設置足夠多的外部獨立董事〔甚至過半〕，而不是讓負責經(jīng)營管理公司的內(nèi)部人員控制董事會。董事會任命的某些附屬委員會應該完全由外部獨立董事組成，以便保障健康的公司治理實踐。對審計委員會而言，這一點尤為重要。獨立董事的重要作用越來越多地在公司治理準那么和金融機構管理法規(guī)中得到反映和表達。06一月2024企業(yè)風險管理第一章緒論16第二節(jié)

企業(yè)風險管理在美國的實踐美國作為當前全球?qū)︼L險管理控制最為嚴厲的國家，其風險管理的開展經(jīng)歷了內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結構、內(nèi)部控制整體框架與整體內(nèi)部控制和企業(yè)全面風險管理5個不同階段。COSO委員會〔發(fā)起組織委員會〕官網(wǎng)：/06一月2024企業(yè)風險管理第一章緒論17一、美國的風險管理開展歷程06一月2024企業(yè)風險管理第一章緒論18-實物牽制-薄記牽制法律責任,廣義內(nèi)控COSO內(nèi)部控制整合框架薩班斯法案內(nèi)控評價內(nèi)部審計進展40年代前40-70年代80-90年代90年代后2024年后內(nèi)部牽制內(nèi)部控制結構完善-控制環(huán)境-會計系統(tǒng)-控制程序-控制環(huán)境-風險評估-控制活動-信息溝通-監(jiān)督-建立內(nèi)控-數(shù)據(jù)準確一致-內(nèi)控可靠性

COSO企業(yè)風險管理整合框架-內(nèi)部環(huán)境-目標設置-事件辨識-風險評估-風險反響-控制活動-信息與溝通-監(jiān)控二、COSO?內(nèi)部控制—整合框架?06一月2024企業(yè)風險管理第一章緒論19〔一〕內(nèi)部控制定義由一個實體的董事會、管理層與其他人員所實施的一個流程，用于提供實現(xiàn)以下幾方面目標的合理保證：第一，財務報告的可靠性；第二，運營的有效性與效率；第三，符合相關法律法規(guī)COSO的三維整合框架為管理層提供了評估內(nèi)部控制所需的標準：內(nèi)部控制的設計旨在合理保證實現(xiàn)公司以下目標：運營的有效性與效率〔包括資產(chǎn)保護〕、財務報告的可靠性以及符合相關的法律法規(guī)。內(nèi)部控制制度在公司內(nèi)部貫穿的范圍：部門單位層〔EntityLevel)與行動層〔ActivitiesLevel，或稱流程層〕。公司必須在這兩個層次上對其內(nèi)部控制進行評估：部門單位層、行動層或流程層。內(nèi)部控制制度的五大要素06一月2024企業(yè)風險管理第一章緒論20【例】以下選項中屬于COSO委員會內(nèi)部控制根本目標的是〔〕。

A.資產(chǎn)平安

B.運營的效益和效率

C.財務報告的可靠性

D.遵守適用的法律法規(guī)

『正確答案』BCD

『答案解析』COSO委員會對內(nèi)部控制的定義是“公司的董事會、管理層及其他人士為實現(xiàn)以下目標提供合理保證而實施的程序：運營的效益和效率，財務報告的可靠性和遵守適用的法律法規(guī)。〞06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐21〔二〕內(nèi)部控制五大要素控制環(huán)境—控制環(huán)境決定了一個組織的基調(diào)，影響成員對于控制的意識。它是內(nèi)部控制所有其他局部的根底，提供綱領和結構?？刂骗h(huán)境因素包括：誠信、道德價值觀和企業(yè)員工的競爭力；管理哲學和經(jīng)營風格；管理層如何進行授權和職責分配，如何組織和開展它的員工；董事會提供的關注和指導；風險評估—每個公司都面臨著內(nèi)外部風險，這些風險必須被評估。風險評估的前提是建立不同層次但具有內(nèi)部一致性的目標。風險評估是發(fā)現(xiàn)和分析對到達目標有影響的風險的過程，是確定如何管理和控制風險的根底?？刂苹顒印刂苹顒邮谴_保管理層指令得到執(zhí)行的公司政策和流程。它確保企業(yè)針對相關的風險采取了必要的措施，以實現(xiàn)企業(yè)的目標?？刂苹顒哟嬖谟谡麄€組織的所有層次和所有職能部門中。控制活動包括一系列不同的活動，例如對經(jīng)營活動的審批、授權、確認、核對、審核，對資產(chǎn)的保護，職權別離等06一月2024企業(yè)風險管理第一章緒論22〔二〕內(nèi)部控制五大要素信息與溝通—相關的信息必須以某種形式并在某個時段被識別、獲得和溝通，以促使職責的履行。信息系統(tǒng)生成報告，內(nèi)容包括經(jīng)營、財務和合規(guī)性方面的信息，以使得管理層能夠運作和控制業(yè)務活動。有效的溝通應當基于更為廣泛的理解，自上而下、自下而上地貫穿整個組織。監(jiān)控—內(nèi)部控制系統(tǒng)需要監(jiān)督—一套隨時評價內(nèi)部控制系統(tǒng)運行狀況的流程。通過持續(xù)的監(jiān)督活動、單獨的評價或者兩者的結合來完成這種控制。06一月2024企業(yè)風險管理第一章緒論23【例】在COSO內(nèi)部控制框架中，作為其它要素的根底的是〔〕。

A.控制環(huán)境B.風險評估C.控制活動D.監(jiān)察

『正確答案』A【例】某大型銀行規(guī)定，顧客貸款經(jīng)理在批準貸款前，必須復核其下級提交的顧客分析報告及相關文件，并簽字授權，然后才能為貸款者發(fā)放貸款。根據(jù)以上信息可以判斷，該銀行的這種控制活動屬于〔〕。

A.授權和批準B.人員控制

C.監(jiān)督及管理控制D.計算和會計

『正確答案』A

06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐24〔三〕COSO報告中對公司人員在內(nèi)部控制中的闡述管理層：公司首席執(zhí)行官〔CEO〕對內(nèi)部控制負有全面的責任，可以看作是內(nèi)部控制系統(tǒng)的“責任人〞。依次的，高級管理人員向負責企業(yè)運營的員工分配建立更為具體的內(nèi)部控制政策和程序的責任。董事會：管理層對董事會負責，董事會實施治理、指導和監(jiān)督。內(nèi)部審計師：內(nèi)部審計師在評價內(nèi)部控制有效性方面起著重要的作用，對維持有效性也有所奉獻。內(nèi)部審計職能部門因為其在企業(yè)中的地位和權利，起著重要的監(jiān)督作用。內(nèi)部其他人員：內(nèi)部控制從某種程度上是組織中每個人的責任，因此應當作為每個人工作范圍的明確或非明確的一局部。外部人員。公司的外部人員也有助于控制目標的實現(xiàn)。如外部審計、法律參謀、監(jiān)管部門、客戶、其他往來單位、財務分析師、信用評級公司、新聞媒體等06一月2024企業(yè)風險管理第一章緒論25三、薩班斯一奧克斯利法案薩班斯法案的關鍵點就是建立起公司財務報告的可靠性。薩班斯法案共計11章，分別為公眾公司審計委員會、審計師的獨立性、公司的責任、強化財務資訊披露、利益沖突的分析、委員會的組成及其權利、研究及報告、公司欺詐及其刑事責任、強化白領刑事責任、公司納稅申報表和公司欺詐責任。11章下又分為66節(jié)，其中最重要的302節(jié)和404節(jié)第302節(jié)

公司對財務報告的責任第404節(jié)

管理層對內(nèi)部控制的評價06一月2024企業(yè)風險管理第一章緒論26薩班斯法案中的302與404條款06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐27302條款–定期公開報告的附加CEO/CFO承諾書與披露已審閱了上報的該定期報告；該報告無失實陳述、或漏報重大事實、或誤導情況；該報告公允地反映了公司的財務狀況；設立并維持了足夠的披露內(nèi)控體系；財務報告內(nèi)控體系披露內(nèi)控體系已于該報告中評價內(nèi)控體系的有效性；對財務報告內(nèi)控體系的重要變化說明；已對審計師披露財務報告內(nèi)控體系的重大缺陷和缺乏，以及對財務報告內(nèi)控有重大影響的雇員欺詐行為。404條款-年度財務報告內(nèi)部控制的公司管理層報告書設立并維持了足夠的財務報告內(nèi)控體系；財務報告內(nèi)控體系有效性的評價；為評價財務報告內(nèi)控體系而采用的評價體系的說明。Sarbanes-OxleyActof2024薩班斯一奧克斯利法案的精髓〔1〕禁止向本公司董事或高管人員提供私人貸款；在養(yǎng)老金方案管制期內(nèi)，公司的董事和高層管理人員不能直接或間接交易或持有該公司股票或從中獲益的其他行為；對于有違反證券法規(guī)情節(jié)的有關人士，美國證監(jiān)會可以禁止他們擔任公司的管理人員或者董事等。〔2〕上市公司所有定期報告〔包括公司依照1934年證券交易法規(guī)定編制的會計報表〕應附有公司首席執(zhí)行官與首席財務官簽署的承諾函；承諾函中的內(nèi)容包括：確保本公司定期報告所含會計報表及信息披露的適當性，并且保證此會計報表及信息披露在所有重大方面都公正地反映了公司的經(jīng)營成果及財務狀況。06一月2024企業(yè)風險管理第一章緒論28薩班斯一奧克斯利法案的精髓〔3〕在公司定期報告中假設發(fā)現(xiàn)因?qū)嵸|(zhì)性違反監(jiān)管法規(guī)而被要求重編會計報表時，公司的CEO/CFO應當返還給公司12個月內(nèi)從公司收到的所有獎金、紅利、其他形式的鼓勵性報酬以及買賣本公司股票所得收益；如果公司CEO/CFO事先知道違規(guī)事項，但仍提交承諾函，最多可以判處10年監(jiān)禁，以及100萬美元的罰款；對于成心做出虛假承諾的，最多可以被監(jiān)禁20年并判處500萬美元的罰款，20年監(jiān)禁的重刑—這和美國持槍搶劫的最高刑罰相同。06一月2024企業(yè)風險管理第一章緒論29薩班斯一奧克斯利法案的精髓〔4〕提高財務報告披露的及時性。將年度報告期由90天縮短為60天；季度報告由45天縮短為35天。年報及季報都需要注冊會計師的審計；強化上市公司內(nèi)控及報告制度，要求公司年度報告中提供“內(nèi)部控制報告〞，說明公司內(nèi)部控制制度及其實施的有效性，“內(nèi)部控制報告〞要出具注冊會計師的意見；提高對公司信息披露可用性的要求，包括定期報告中披露所有的資產(chǎn)負債表外交易、財務狀況的預測性信息、高層財務人員的道德守那么、所有由注冊會計師出具的實質(zhì)性的糾正調(diào)整、臨時報告中公司財務狀況或財務經(jīng)營狀況的實質(zhì)性變化等。06一月2024企業(yè)風險管理第一章緒論30薩班斯一奧克斯利法案的精髓〔5〕公司的審計委員會必須完全由“獨立董事〞組成獨立董事不得是公司或者其子公司的關聯(lián)人士，其中至少一人應是財務專家；獨立董事不得從公司接受任何咨詢費、參謀費或者其他酬金；公司聘用會計師事務所及報酬方式要由審計委員會批準，并接受審計委員會的監(jiān)督；會計師事務所在審計過程中遇到的重大事項必須及時報告審計委員會；為保證審計委員會能夠及時發(fā)現(xiàn)公司的會計和審計問題，還需要建立一套處理舉報或投訴的工作程序以及相應的監(jiān)測系統(tǒng)、反響機制。06一月2024企業(yè)風險管理第一章緒論31薩班斯一奧克斯利法案的精髓〔6〕禁止會計師事務所在進行審計業(yè)務的同時提供非審計業(yè)務；強制實行注冊會計師定期輪換制?！?〕要求美國證券交易委員會制定相關的規(guī)定和細那么，以防止證券分析師在其研究報告或公開場合向投資者推薦股票時“見利忘義〞，以提高研究報告的客觀性，向投資者提供更為有用和可靠的信息；規(guī)定一定期限內(nèi)擔任或即將擔任公開發(fā)行股票承銷商或坐市商(Dealers)的經(jīng)紀人和交易商不得公開發(fā)布關于該股票或發(fā)行人的研究報告；在執(zhí)業(yè)的經(jīng)紀人和交易商內(nèi)部建立制度架構體系，將證券分析師劃分為復核、強制(Pressure)、監(jiān)察等不同的工作部門，以防止參與投資銀行業(yè)務的人員存有潛在的偏見；要求證券分析師、經(jīng)紀人和交易商在研究報告公布的同時，披露的和應當知曉的利益沖突事項。06一月2024企業(yè)風險管理第一章緒論32薩班斯一奧克斯利法案的精髓〔8〕任何人通過信息欺詐或價格操縱在證券市場獲取利益，最多可監(jiān)禁25年或處以罰款；對違法的注冊會計師可被判處10年以下監(jiān)禁或罰款；延長了對證券欺詐的追訴期，起訴時間可以延長至非法行為發(fā)現(xiàn)的2年內(nèi)，或者非法行為實施后的5年內(nèi)；新的規(guī)定將保護公司檢舉揭發(fā)的員工，對舉報者進行打擊報復的，最高可判處10年監(jiān)禁，還規(guī)定了對舉報者的具體的補償措施，比方恢復職務、補發(fā)報酬及其他損失等。06一月2024企業(yè)風險管理第一章緒論33薩班斯一奧克斯利法案實施的短板和誤區(qū)考問之一：正確地做事還是做正確的事?？紗栔?；紙面工作還是風險導向?？紗栔邯毩嫀煂窘?jīng)營風險的把握和勝任能力。06一月2024企業(yè)風險管理第一章緒論34四、COSO?企業(yè)風險管理—整合框架?〔一〕產(chǎn)生背景進人21世紀以來風險管理課題的日益凸顯，要求一個內(nèi)涵更為豐富的理論框架以有效地識別、評估與管理風險。在廣泛吸收各國理論界〔例如：英國的Turnbull報告，加拿大的COCO〕和實務界〔例如：銀行業(yè)的BaseⅡ〕等研究結果的根底之上，并且經(jīng)過充分的意見征求與討論之后，COSO將其理論體系進行了進一步的豐富與提升，并于2024年9月在?內(nèi)部控制—整合框架?理論的根底之上推出了?企業(yè)風險管理一整合框架)((EnterpriseRiskManagement，ERM框架)。06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐35〔二〕主要內(nèi)容根據(jù)COSO的?企業(yè)風險管理—整合框架?，企業(yè)風險管理應包括八個相互關聯(lián)的構成要素。它們是：內(nèi)部環(huán)境、目標設置、事件辨識、風險評估、風險反響〔對策〕、控制活動、信息和溝通、監(jiān)控。06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐361．內(nèi)部環(huán)境內(nèi)部環(huán)境是企業(yè)風險管理所有其它構成要素的根底，為其他要素提供約束和結構。它影響戰(zhàn)略和目標如何制訂，經(jīng)營活動如何組織以及如何識別、評估風險并采取行動。它還影響著控制活動、信息與溝通體系和監(jiān)控措施的設計與運行。內(nèi)部環(huán)境包含很多要素，關鍵要素有風險管理哲學、風險偏好、風險文化、董事會、操守與道德價值觀、能力、管理哲學和經(jīng)營風險、組織架構、權責劃分以及人力資源標準。06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐371．內(nèi)部環(huán)境〔1〕風險管理哲學：企業(yè)的風險管理哲學指的是企業(yè)從戰(zhàn)略制定到日常經(jīng)營過程中對待風險的一系列信念與態(tài)度，它反映了企業(yè)的價值觀，影響著企業(yè)的文化和經(jīng)營風格，也影響到企業(yè)風險管理要素的應用，如風險如何確認、評估或管理。〔2〕風險偏好：風險偏好是指企業(yè)為追求某個目標或價值可以接受的風險程度?！?〕風險文化：風險文化是指企業(yè)內(nèi)部知識共享的態(tài)度和對風險的價值觀，它貫穿于企業(yè)風險評估的日常操作中?！?〕董事會：董事會是內(nèi)部環(huán)境的重要組成局部，而且對其他的內(nèi)部環(huán)境因素有重要影響?！?〕操守和道德價值觀：管理層操守和道德價值觀會改變風險偏好和價值判斷，并進一步影響行為準那么及戰(zhàn)略目標的實現(xiàn)。06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐381．內(nèi)部環(huán)境〔6〕員工能力：員工能力指員工執(zhí)行所分配的工作所需要的知識和技術?！?〕管理哲學和經(jīng)營風格：管理哲學與運營風格影響企業(yè)的管理方式，包括可以接受的風險種類?！?〕組織架構：企業(yè)的組織結構指為企業(yè)活動提供方案、執(zhí)行、控制和監(jiān)督職能的整體框架?！?〕授權與責任：權責分配包括對個人或團體的授權程度，對創(chuàng)造性地處理、解決問題的鼓勵，以及所授權限的范圍。授權應該授到被授權人能夠完成目標的程度?！?0〕人力資源準那么：內(nèi)部控制是由人來進行設計并實施的，保證組織內(nèi)所有成員具有一定水準的誠信、道德觀和能力的人力資源方針與實踐，是內(nèi)部控制有效的關鍵因素之一。06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐392．目標設置目標設置是風險事件辨識、風險評估和設定風險對策的根底。06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐40戰(zhàn)略目標相關目標選定的目標包括經(jīng)營目標報告目標合規(guī)目標風險偏好風險容忍度符合目標重合3.事件辨識事件是指影響企業(yè)目標實現(xiàn)的內(nèi)部和外部事件。事件的發(fā)生對企業(yè)可能有正面或負面的影響。識別這些事件，區(qū)分風險和時機，并將時機反響到管理層的戰(zhàn)略或目標制訂過程中。企業(yè)對事件識別時可以有多種方法進行選擇事件之間具有相關性06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐414.風險評估企業(yè)對于辨識出的事件進行評估，通過考慮事件帶來風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據(jù)。風險評估應立足于固有風險和剩余風險。固有風險指企業(yè)經(jīng)營運作中必定存在的風險，企業(yè)的風險控制活動會影響此類風險發(fā)生的可能性及其影響。剩余風險是在管理當局的風險應對之后所剩余的風險。風險評估可以采取定量或定性的方法進行。06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐425．風險反響對相關風險評估后，管理層應當采取相應的應對策略。管理層可以選擇的風險對策有風險回避、風險承擔、風險降低或者風險對沖〔風險分擔〕。采取一系列風險應對行動以便把風險控制在企業(yè)的風險容忍度以內(nèi)。06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐436．控制活動控制活動是指制訂和執(zhí)行政策與程序以幫助確保風險應對措施得以有效實施?？刂苹顒宇愋投鄻?，包括預防性控制和發(fā)現(xiàn)性控制，或者手工控制、計算機控制和管理控制等。06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐447．信息與溝通信息包括業(yè)務信息和財務信息。信息可以是正式的或非正式的。相關的信息有助于管理層把握風險和時機，可以確保員工履行其職責的方式和時機予以識別、獲取和溝通。在信息根底上，還需要溝通來共享信息資源。06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐458．監(jiān)控全面風險管理是不斷變化持續(xù)的過程，會因內(nèi)外部環(huán)境的變化而改變，因此需要對企業(yè)風險管理進行全面監(jiān)控，必要時加以修正。監(jiān)控可以通過持續(xù)的管理活動、個別評價或者兩者結合來完成。06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐46〔三〕全面風險管理的目標戰(zhàn)略〔strategic〕目標：這是企業(yè)的高層次目標，與企業(yè)使命相關聯(lián)并支撐其使命；風險管理目標必須與企業(yè)開展的戰(zhàn)略目標相輔相成，戰(zhàn)略目標的實現(xiàn)可以通過企業(yè)風險管理的風險分析、風險控制等途徑實現(xiàn)。經(jīng)營〔operations〕目標：指企業(yè)應有效和高效率地利用其資源，高效運營。報告〔reporting〕目標：指企業(yè)要真實披露企業(yè)的經(jīng)營業(yè)績，確保財務報告真實可靠。合規(guī)〔compliance〕目標：指企業(yè)要遵循相關法律和法規(guī)的規(guī)定，合規(guī)經(jīng)營。06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐47〔四〕內(nèi)控框架與風險框架06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐48內(nèi)控系統(tǒng)：風險管理的必經(jīng)之路06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐49內(nèi)控系統(tǒng)是全面風險管理的子系統(tǒng)。相對于整個全面風險管理而言，內(nèi)控在目標、手段、對象范圍等方面都有局限COSO的綜合內(nèi)控體系對世界各國公司立法和管理影響巨大美國通過的Sarbanes-Oxley(2024)法案將建立和維持有效的內(nèi)控系統(tǒng)作為對上市公司的法律合規(guī)要求COSO1992內(nèi)部控制是通過有關企業(yè)流程的設計和實施的一系列政策、制度、程序和措施，控制影響流程目標的各種風險的過程風險管理與內(nèi)部控制的關系06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐50?ERM框架?并非意在取代，也沒有取代?內(nèi)部控制框架?，而更應當說是吸納了?內(nèi)部控制框架?的精髓；?ERM框架?既能滿足內(nèi)部控制的需要，又能進一步地充實完善風險管理流程。概念的擴大：內(nèi)部控制，將事情做正確；全面風險管理：做正確的事情目標的開展：增加戰(zhàn)略目標，報告目標擴大操作性的提升：風險管理應用于企業(yè)戰(zhàn)略制定要素的開展：五要素至八要素第3節(jié)企業(yè)風險管理在我國的實踐我國內(nèi)部控制制度的建設和開展源于20世紀90年代，主要由政府、證券監(jiān)督管理機構、行業(yè)監(jiān)管機構等制定的內(nèi)部有關法律、法規(guī)、指引等推動。2024年6月，國資委發(fā)布了?中央企業(yè)全面風險管理指引?2024年6月28日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了?企業(yè)內(nèi)部控制根本標準?〔以下簡稱根本標準〕。06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐51第3節(jié)企業(yè)風險管理在我國的實踐2024年6月12日，財政部會同國務院有關部門草擬了?企業(yè)內(nèi)部控制評價指引?〔征求意見稿〕、?企業(yè)內(nèi)部控制應用指引?〔征求意見稿〕和?企業(yè)內(nèi)部控制鑒證指引?〔征求意見稿〕。其中?企業(yè)內(nèi)部控制應用指引?〔征求意見稿〕包含資金、采購、存貨、銷售、工程工程、固定資產(chǎn)、無形資產(chǎn)、長期股權投資、籌資、預算、本錢費用、擔保、合同協(xié)議、業(yè)務外包、對子公司的控制、財務報告編制與披露、人力資源政策、信息系統(tǒng)一般控制、衍生工具、企業(yè)并購、關聯(lián)交易和內(nèi)部審計22個工程。2024年12月31日，財政部又新增了組織架構、開展戰(zhàn)略、人力資源、企業(yè)文化和社會責任等5個應用指引工程的征求意見稿。06一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐52第四節(jié)

企業(yè)風險管理在其他國家和地區(qū)的實踐一、澳大利亞和新西蘭國家風險管理標準AS/NZS436006一月2024企業(yè)風險管理第二章企業(yè)風險管理在各國的實踐53國家標準AS/NZS43601995:1999

世界上第一個國家企業(yè)風險管理標準定義了風險管理的標準程序突出了風險管理的內(nèi)部與外部環(huán)境二、