内部控制与风险管理体系要点.docVIP

EAS内部控制与风险管理体系 EAS战略管理系统部 王云 导读 风险管理系统对很多客户、机构营销实施等人员来说，都是一个新领域。 美国Committee of Sponsoring Organizations (COSO) 于2004年9月发布《企业风险管理——整合框架》。企业风险管理框架提供关键原则和概念、共同的语言以及明晰的方向和指南。作为一本国际权威文献，框架1 背景 3 2 内部控制与风险管理体系 3 2.1 概述 3 2.2 常用术语与概念 3 2.3 企业风险管理整合框架 3 2.4 内部控制基本规范 3 2.5 国有企业内部控制框架 3 3 体系涉及的几个重要关系 3 3.1 内部控制与风险管理的关系 3 3.2 风险管理与内部审计的关系 3 3.3 指标监控、信息系统及风险管理的关系 3 3.4 风险管理与企业管理的关系 3 内部控制与风险管理体系 背景 内部控制与风险管理在国外经历了几十年的发展与演进，形成了以保障战略目标、经营目标、报告目标、合规目标为主要目标的一套相对完整的体系。在内部控制与风险管理理论的不断发展与完善的不同时期，学界与业界有着不同的解读与认识，但从目前多国的普遍研究与实践看，监管部门与集团企业管理层对内部控制与风险管理达到了前所未有的重视程度。风险管理已经成为企业管理信息系统的主线和方向，信息系统和内控风险管理趋于融合和统一。风险识别重要，而对风险的控制和预防更重要，风险与控制活动是蕴含在业务流程之中的，所以信息系统就成为风险控制的有力工具，而要有效发挥这种工具的价值，风险管理要求融入信息系统之中就成为一种必然。因此我们必须尽快学习并掌握风险管理理论体系，为把握风险管理产品、协助集团企业构建科学的内控与风险管理系统做好充分的知识准备。 内部控制与风险管理体系 概述 2001年前后爆发一系列公司丑闻，对采用新的法律法规和上市准则来加强公司治风险管理的。美国Committee of Sponsoring Organizations (COSO)于2004年9月发布《企业风险管理——整合框架》。企业风险管理框架提供关键原则和概念、共同的语言以及明晰的方向和指南。作为一本国际权威文献，框架?COSO框架常以下图所示的立方体形式表达。这一框架体现了企业风险管理的八个要素，同时也展现了企业目标和组织结构这两个重要维度。 这一框架体现了企业风险管理的八个要素，同时也展现了企业目标和组织结构这两个重要维度。作为企业风险管理核心的八要素，从不同方面体现了企业风险管理的重要步骤，详见上图分析。总体来讲2006年五部委颁布的《企业内部控制基本规范》的主要框架同上述COSO框架基于同样的风险管理理念，事实《基本规范》的五要素体系严格对应了92版的COSO框架。 常用术语与概念 风险容量是一个主体在追求价值的过程中所愿意承担的广泛意义上的风险的数量。它反映了企业的风险管理理念，进而影响了主体的文化和经营风格。 事项是源于内部或外部的影响战略实施或目标实现的事故或事件。 风险是一个事项将会发生并给目标实现带来负面影响的可能性。 事项识别即管理当局识别将会对主体产生影响的潜在事项。确定它们是否代表机会，或者是否会对主体成功地实施战略和实现目标的能力产生负面影响。带来负面影响的事项代表风险，它要求管理当局予以评估和应对。正面影响的事项代表机会，管理当局可以将其反馈到战略和目标设定过程之中。 风险评估使主体能够考虑潜在事项影响目标实现的程度。管理当局从两个角度：可能性和影响，对事项进行评估，并且通常采用定性和定量相结合的方法。? 固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下，一个主体所面临的风险。? 剩余风险是在管理当局的风险应对之后所残余的风险。一旦风险应对已经就绪，管理当局接下来就要考虑剩余风险。 风险应对策略包括风险回避、降低、分担和承受。在考虑应对的过程中，管理当局评估风险的可能性和影响的后果，以及成本效益，选择能够使剩余风险处于期望的风险容限以内的应对策略。 风险管理组织体系：组织结构和责任归属的构建与落实在企业风险管控的实施过程中有极其重要的地位。可以说是整个项目成功与否的基础。特别是对于一个周期长、涉及企业层级多、业务范围广、参与人员众多、内容复杂并需要企业全体人员尤其是企业高层管理者全力支持的项目来说。 整个风险管控的组织构成涉及了企业管理的各个层面和不同职能部门。下图展现的是基于中央国资委《全面风险管理指引》的一个典型的风险管控组织结构。 企业风险管理整合框架 如上所述，2004版的企业风险管理整合框架是一本国际权威文献，框架risk appetite）与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在主