探索公司全面风险管理体系建设研究--论中国殡葬设备企业发展的方向.doc

摘 要随着国内人工成本逐年提升，物流成本也是油涨车难求局面，对于生产制造型企业来说，这两项费用的加重，就如平静的水面砸了两颗大石头，周朝波纹迭起。原本被活跃的市场，密集的订单与利润所掩盖的风险和漏洞，逐渐浮出了水面，中国制造（made in china）似乎要被押解到审判台，终究要接受资本市场的考量。“暴发户”和“土豪”能否向“资本家”成功转型，关系到他们掌控的国内这一类代表劳动力密集型，福利性企业能否成就百年经典，打破富不过三代的厄运。然而，一个真正能称谓企业家的企业掌控人其实都知道，一个能真正代表行业发展方向的企业龙头，无论是劳动力密集型，技术密集性还是资本密集型，又或是享受国家调控特殊“待遇”的企业，无时无刻不是在接受外部市场风险和内部控制风险的考验，关键是看矛盾激化、问题暴露的那一刻能否防范和应对，抵御风险，平稳着陆。环保机械制造行业既有传统机械制造行业的劳动力密集型所遗传的负面因子，同时也赶上了新世纪环保行业的绿色直通车所带来的契机。本文通过对coso-erm2004从四类目标、八大要素和四层企业内部的不同层次的单元构成了三维视角的企业全面风险管理的模型的深入研究，依据中央企业全面风险管理指引、企业内部控制基本规范要求，对照n公司，一家殡葬及环保殊设备制造企业的现有执行的企业管理体系，发现其中的漏洞和不足，预测其可能面对的风险，模拟调整该公司的管理体系政策，总结适合该公司建立的具体风险管理体系框架，探索n公司所代表的这一特殊设备制造行业的发展方向。关键词：全面风险管理，coso-erm2004，中央企业全面风险管理指引，企业内部控制基本规范26目 录摘 要i第1章 绪论21.1 研究背景与意义21.2 研究目的与内容21.3研究方法与思路3第2章 全面风险管理理论发展与国内实践现状42.1企业全面风险管理理论的起源与发展42.2国内企业全面风险管理理论与实践现状9第3章：n公司全面风险管理体系的构建探索143.1 n公司基本情况143.2 n公司经营管理现瓶颈143.3 n公司目前全面风险管理现状163.4 n公司全面风险管理的选择：企业内部控制基本规范17第4章 结论与展望244.1主要结论244.2 研究局限254.3 后续研究的方向25参考文献26第1章 绪论1.1 研究背景与意义自2009年民政部颁发关于进一步深化殡葬改革促进殡葬事业科学发展的指导意见，同年发布并开始实施gb13801-2009燃油式火化机大气污染排放限值新标准以来，中国殡葬设备机械制造行业市场掀起了新一轮的争夺战，由同质化的价格战到环保技术创新的攻坚战，相关传统机械制造企业、公司和新型环保企业、公司经历了四年的较量，依然是前赴后继，至今未有停息。从企业性质来看，真正专属经营殡葬火化设备的国有企业目前全国范围不超过3家，然而专业经营该行业的民营企业、公司却超过200家以上，如果加上经营相关配套环保设备的企业、公司那就用雨后春笋来形容也不为过。作为特殊设备生产制造行业，该行业的企业、公司比起电梯、压力容器、阀门、起重设备等大众化行业、公司要更具特殊性，该行业的产品不会被大众所认知和使用，所以作为经营该产品的企业和公司在经营管理，尤其销售模式上更具有其特殊性。尽管作为行业的划分来说，单纯经营殡葬火化设备的企业和公司属于特殊行业，但从市场经营角度上来说，任何从事经营活动的个人、企业、公司都必须遵循市场规律，优胜劣汰是必然的结果，市场、环境带来的风险却以日剧增。事实上，随着我国殡葬事业的改革，殡葬火化设备技术的不断攻克，那些缺乏风险管理意识，眼中看不到竞争日益激烈的企业早已经被分化和淘汰，能够坚持存活和运营的企业、公司正面临着来自同行和相关配套环保设备企业的双重夹击，同时，企业内部自身的风险因为经营性质和资金等问题逐渐暴露。作者在鉴于对国内殡葬火化设备生产制造的企业和公司的重点调研中发现，无论是行业中历史悠久的龙头企业，还是新近成立的潜力企业，对于企业的风险管理理论与内部控制制度的建设和实施经验都远远无法与国内市场格局的发展同步。因此，在全面风险管理框架内，探索作为殡葬火化设备行业龙头企业的n公司有效建立并实施全面风险管理体系，有助于看清中国殡葬设备企业的发展方向。1.2 研究目的与内容本文通过对coso-erm2004从四类目标、八大要素和四层企业内部的不同层次的单元构成了三维视角的企业全面风险管理的模型的深入研究，依照中央企业全面风险管理指引、企业内部控制基本规范要求，再研究国内工程机械制造行业全面风险管理体系构建的方法、步骤和实施情况，根据殡葬火化设备企业的特点，探索n公司实施全面风险管理体系的有效途径，从而实现提高该公司管理层次、提高利润收益水准、实现殡葬设备行业与市场同步的战略目标，旨在解决建立殡葬设备企业全面风险管理体系的问题，明确该行业的发展方向。主要包括以下几个方面：（1） 基于对全面风险管理理论及国内外相关研究的理论文献综述，分析国内工程机械企业内部控制制度的建立和实施，旨在探索殡葬设备企业全面风险管理方面存在的问题及导致问题的成因。（2） 参考coso-erm2004的要素和原则，依据中央企业全面风险管理指引、企业内部控制基本规范，以n公司为例，探索目前我国殡葬设备企业内部控制建立和实施中的问题，借鉴国内不同行业企业的实施经验，导入适合于该公司的全面风险管理体系，为其建立提出初步的规划。（3） 预测n公司建立并实施合适的全面风险管理体系过程以及所可能产生的成效，探索为我国殡葬设备行业内部控制体系建立，提供一个具有可操作性的示范，并从中找出该行业企业的发展方向。1.3研究方法与思路本文通过理论分析和案例研究，采用理论分析和实际案例应用研究相结合、一般分析与重点分析相结合的研究方法。全文共分为4章，主要内容简述如下。第1章：绪论。介绍本论文研究的背景、意义、目的、内容、研究思路与方法。第2章：全面风险管理理论发展与国内实践现状。介绍全面风险管理理论与实践的发展阶段、国内企业风险管理的研究现状以及coso-erm2004从四类目标、八大要素和四层企业内部的不同层次的单元构成了三维视角的企业全面风险管理的模型，在中央企业全面风险管理指引、企业内部控制基本规范的基础上国内企业全面风险管理的实践现状。第3章：n公司全面风险管理体系的构建。通过对n公司基本状况、内部控制的现状、存在问题的思考，对照中央企业全面风险管理指引、企业内部控制基本规范，结合国外coso发布的整合框架下内部控制制度构建的探索。第4章：结论与展望。介绍本文总结的主要研究成果及本文在开展研究过程中的局限性，探索后续研究方向。第2章 全面风险管理理论发展与国内实践现状2.1企业全面风险管理理论的起源与发展关于企业全面风险管理理论的发展阶段，本文借用了刘立新所著风险管理中的观点，将其起源到后续的发展分为五个阶段1（29-32）。第一阶段，风险意识到风险管理意识的萌芽这一阶段如果再次进行追本溯源的划分，也可以再次分为两步走。第一步从人类出现，人类意识的诞生，思前想后就可以当成是风险意识的最初形态。第二步随着货币的出现，人类对交易、商人有了更加明确的认识和归类，对于交易过程中可能产生的风险开始有了预防和补救。例如在生产、运输、交货过程中的保护措施，这个阶段意味着商业形态的成熟，同时也反映了商人对于交易风险所形成的一种常识认知，我们可以认为在全职商人出现的那一刻，就是风险管理意识萌芽的开始，并随着市场的发展逐步的成为进行所有商业活动的关键准备阶段。第二阶段，企业风险管理意识的萌芽阶段（19世纪末20实际初）随着国外工业革命的诞生，国内近代民族工业的起步，公司、企业等经营形式悄然而生，这也就意味着风险管理意识的载体开始由自然人个体开始向法人个体转嫁。这一阶段的代表人物有法国的古典管理理论主要代表人之一、管理过程学派的创始人的亨利法约尔，其在1916年发表的著作工业管理与一般管理中，提出了管理活动的计划、组织、指挥、协调和控制的5要素2，安全职能等第一次将风险管理思想与企业管理紧密相连。工业革命所带来的除了生产方式与技术的翻天覆地的变化以外，还有生产关系的重大变革。尤其在资本主义国家，生产形势相比过去的传统手工时代发生了巨大的变化，带动了整个国际贸易格局的改变：从自由竞争阶段过渡到垄断资本主义阶段。然而，在资本家们疯狂积累资本的同时，资本主义国家本质的矛盾不可避免，并以各种各样的形式延伸到了资本市场的各个环节。资本土义国家第一次震撼世界的经济大危机悄然而来在这场危机中，美国可以作为代表，产品滞销、资本短缺、企业倒闭，经济出现大范围的萧条局面。面对突如其来的大灾难，如同地震、火山爆发、泥石流一样让人感觉无能为力，工厂倒闭、工人失业、社会财富遭到巨大损失的大灾难，人们开始思索如何减少和消除类似的灾难性后果。1930年，美国管理协会(ama)发起的第一次关于保险问题的会议上，宾夕法尼亚大学的所罗门许布纳博士指出：“防患于未然就是最大的保险”，这也表达了现代风险管理的一个重要思想。在20世纪初，人们对灾变与风险的认识还是以客观说为主，虽然没有“风险管理”这个词汇，但与其功能相关的安全管理与保险已经有了重大进展。1920年以后，一些企业就开始对通过保险转移企业风险的工作进行单独管理。除了企业自身对保险的重视以外，行业协会也意识到保险在企业管理中所处的特殊地位。1931年，美国管理协会大会上明确了风险管理的重大意义，并设立了保险部门作为该协会的独立机构。该保险部门每年召开两次会议，其职责除了开展保险管理以外，还进行风险管理的研究和咨询。但此时，安全管理与保险的对象还只是危害性风险，并且这两个领域沟通并不多，此外，工商企业购买保险的动机也并不完全是为了保障自身的利益，有的是出于人情的压力，或是由于想要向银行贷款等因素不得不购买保险。第三阶段：“风险管理”出现及危害性风险管理阶段（20世纪初至20世纪70年代）1938年以后，美国企业对风险管理开始采用科学的方法，并逐步积累了丰富的经验。1950年代风险管理发展成为一门学科，风险管理一词才形成。如同萌芽阶段，在这一阶段世界经济形势因为又一次的技术革命（第三次技术革命）发生了深刻变化，集中和垄断的加剧使得社会生产力有了巨大飞跃，生产高度社会化，企业无论从规模角度还是资产积累，其价值都发生了质的飞越。然而，世界格局的新成立，经营环境日趋复杂：一方面，竞争与角逐的激烈、贫富沟壑的加深、社会矛盾的尖锐、国际局势的动荡使得各类风险事件的发生日益频繁，另一方面，灾害事故的连锁性和扩散性也使得风险损失加大，大大增加了社会经济生活的不确定性。这也成为20世纪50年代以后风险管理在美国蓬勃发展的最深刻也是最基本的社会原因之一。 其次，企业内部对市场动荡和不确定性油然而生的风险防范意识需求，加剧了风险管理理论发展的步伐。1953年8月12日，一个位于美国密执安州的通用汽车公司的汽车变速器工厂发生火灾，火灾造成通用汽车公司直接间接损失以及影响卫星工厂的各类损失共计高达近亿美元。这一火灾成为风险管理发展史上的标志性事件，由于企业规模不断扩大，生产流程不断细化，生产中的任何疏忽大意都可能产生巨大的经济损失。而社会化生产程度的提高也使得企业之间的联系变得越来越紧密，企业的营销范围随着市场的不断扩人而扩展。这使得风险事件虽然发生在某一个局部，但其影响所波及的范围无论在空间上还是在时间上都可能发生扩散。加上社会、经济、法律等各方面压力，推动了风险管理的发展，也促使了现代意义上的风险管理理论产生。1982年美国风险与保险管理学会年会上通过的针对危害性风险的“101条风险管理准则”，可以称之为危害性（灾害性）风险管理的典型成果3。 最后，随着生产力的不断发展，人们在追求物质文明的同时，对社会福利，如社会救济、失业救济、养老保险和医疗保险等也有了更高的要求。1948年，美国钢铁行业因退休金及团体人身保险的劳工福利引起了工人大罢工，时间长达半年之久。 到了20世纪40年代，很多大型企业中都设有保险经理专门负责保险的购买，但过分保险、不足保险和重复保险的问题日渐突出，至50年代初，企业已经明显感觉到当时的“保险型风险管理”已不能满足现代企业的要求。在这样的背景下，企业为了保障自身的安全，开始仔细地研究如何购买合适的保险各个企业之间互相交换经验，进而发现了风险的存在，并进行评估与分析，以了解其性质以及可能造成的严重后果，并在此基础上探讨如何选择最适当的方法以避免或消除风险。 1955年，美国的“全国保险购买者协会(naib)”改名为“美国保险管理协会(asim)”，这反映了业界对保险的态度的转变。在学术界，也开始有学者呼吁企业中专门负责保险购买的应扩展为一个负责保险的购买与管理，并且还负责防损、工业安全和雇员福利计划的综合部门，而且这个部门的负责人不应该被称为保险经理，而应称为风险经理。但当时“风险管理”这个概念并没有引起太多人的重视，直到l956年，哈佛经济评论发表了拉塞尔格拉尔(gal-lagher,r.b.)的论文风险管理-成本控制的新时期(risk management-new phase of cost control)之后，风险管理的概念才开始广为传播。1962年，美国管理协会出版了第一本关于风险管理的专著风险管理之崛起，进一步推动了风险管理的发展。20世纪60年代初出版的两本大学教科书更使得风险管理的重要价值深入人心，一本是1963年伊利诺伊大学的教材梅尔和赫奇斯所著企业风险管理，另一本是l964年沃顿商学院的教材威廉姆斯和汉斯所著风险管理。到了70年代，美国主要大学的工商管理学院都开设了风险管理课程，传统的保险系也把教学重点转移到风险管理方面。虽然一些大型跨国公司已经开始进行风险管理，但在实践中，风险管理还是遇到了一些困难：一方面是缺乏合格的风险经理，自1966年美国保险学会和美国保险管理学会执了风险管理准会员(arm)的培训计划后，情况才遂渐好转。另一方面是高层管理人员的漠不关心，他们大多对风险管理的概念不熟悉，即使有些人熟悉，真正懂得并在组织和经营上加以应用的寥寥无几。因此，许多被任命为风险经理的人继续单纯地履行保险购买的职责：此外，另一些人抵制风险管理运动是因为他们认为风险管理理论中的权责集体制将威胁他们的地位；还有一些人认为任何明显的改变都会产生不确定性，只要不存在危机，就不应去改变。 直到60年代后期和70年代初期，危机开始出现。首先在财产保险领域，保险业没有能力或不愿意满足保险购买者更多的保险需求，高层管理部门不得不认识到风险自担并辅之以防损是补充和取代保险购买的一种方法。不久之后责任保险领域也出现了类似的承保能力问题，特别是医疗责任保险。除了保险公司的这种作用之外，保险经纪人主动开展风险咨询服务也是情况转变的个动力。由于安排保险变得越来越困难，保险经纪人便开始寻找新的收入来源这就是提供风险管理服务加之70年代初期开始出现的风险管理咨询公司，都在无形中进一步推动了风险管理的普及。 在这一阶段，人们仍然只关注危害性风险，以保险作为风险管理的主要工具，但安全管理与保险有融合的迹象。第四阶段：全方位风险管理逐步形成，运营型风险管理兴起阶段（20世纪70年代至20世纪90年代） 1971年7月1971年7月第七次美元危机爆发，尼克松政府于8月15日宣布实行“新经济政策”，停止履行外国政府或中央银行可用美元向美国兑换黄金的义务；1973年3月，西欧出现抛售美元，抢购黄金和马克的风潮。3月16日，欧洲共同市场9国在巴黎举行会议并达成协议，联邦德国、法国等国家对美元实行“联合浮动”，彼此之间实行固定汇率。英国、意大利、爱尔兰实行单独浮动，暂不参加共同浮动。其他主要西方货币实行了对美元的浮动汇率。至此，固定汇率制度完全垮台。上述两事件的发生标志着布雷顿森林体系(bretton woods system)的崩溃，任何经济实体都面临着空前的金融风险这使得企业认识到，风险管理不仅针对危害性风险也包含金融风险，金融风险管理日益受到重视。虽然在初期这两类风险还是由不同的部门分别管理，但不久人们就发现，这二者不能自行其是。其次，在这一阶段相继发生了一些大型科技灾难，对风险管理的思维造成极大的影响。1979年3月美国三里岛核电站的爆炸事故，1984年12月3日美国联合碳化物公司在印度的一家农药厂发生的毒气泄漏事故，创立于 l980年的风险分析学会(the society for risk analysissra)与1984年前苏联乌克兰切尔诺贝利核电站发生核事故等灾难性事件之后浮现的安全文化观念显示，管理风险不应只注重技术与财务，还应该注重个人行为与文化社会背景的影响。一些风险主观说的理论对风险管理的传统思维冲击很大。由此，风险管理历史上的一次革命性的转变产生了，传统的以保险为核心的风险管理中脱离出来，现代全方位风险管理逐渐形成。针对企业运营的风险管理理论和实践开始兴起。80年代中期，国外企业普遍设立企业法律顾问，我国企业也开始逐步确立企业法律顾问制度。1985年，由美国注册会计协会、美国会计协会、财务经理人协会、内部设计师协会、管理会计师协会联合创建了反虚假财务报告委员会。1987年iso9000系列标准问世，中外企业纷纷建立质量管理体系，申请质量体系认证。1987年，coso成立，并提出整合内控的概念。1992年，coso提出了内部控制整体框架，成为内部控制经典文献。在这一阶段，法律事务管理、质量管理、内部审计管理、内部控制等针对企业运营中风险的控制成为企业风险管理的主旋律。第五阶段：危害性风险管理、金融风险管理与信息风险管理等整合管理阶段（20世纪90年代至今） 20世纪90年以后，金融风险管理有了迅速发展，这同时促使危害性风险管理和金融风险管理有了更深层次的整台。因使用金融衍生产品不当而引发的金融风暴开始增多，并且损失巨大，如巴林银行事件、日本大和银行事件以及美国橙县的财政危机。这促使人们对金融风险管理的认识更加深入。“风险价值”(var)的提出、“30人小组(g-30)报告”的产生以及全球风险专业协会(global association of risk professionals，garp)的成立就说明了这一点。 此外，以危害性风险管理为主的保险市场和以金融风险管理为主的资本市场之间的界线被打破，出现了一些新型风险管理工具，如财务再保险(financial reinsurance)和保险期货(insurance future)等。虽然这些新型工具有的还不太成熟，但保险风险证券已成为风险管理领域的一个重要发展趋势，整合金融风险与危害性风险的风险管理决策应运而生。2001年，美国安然公司倒闭，之后西方国家相继出现公司舞弊丑闻。2002年7月，美国紧急出台萨班斯法案，要求所有在美国上市的公司必须建立完善内部控制体系。2004年9月，coso发布企业风险管理-整合框架（enterprise risk management-integrated framework），进一步拓宽了内部控制范畴，使内部控制发展到全面风险管理层面。coso2004框架成为全面风险管理理论的一个标志，为各国理论界和企业广泛接受。全面风险管理理论涵盖了企业战略风险、财务风险、市场风险、信息化等方方面面内容，提出了全面管理、整合管理、信息管理等新的理念。2.2国内企业全面风险管理理论与实践现状与国际上风险管理的理论与实践发展相比，我国的理论研究及实践相对较为滞后，但近年来也呈现快速普及、加快发展的态势。目前，在国内现代风险管理理论、实践中具有重要里程碑意义的文献、标准有四项：(1) coso2004年发布的企业风险管理整合框架coso2004年发布的企业风险管理整合框架erm报告分两卷，第一卷包括“内容概要”和“基本框架”，“内容概要”是面向首席执行官、其他高级管理人员、董事会成员和监管者的概要介绍（如表2-1）。“基本框架”给企业风险管理下定义，并讲述原则和概念，为企业和其他组织中的各级管理人员提供用来评价和增进企业风险管理有效性的指导。基本框架包括八个相互管理的构成要素（如表2-2所示）与四类目标（如图2-3所示），它们源于管理当局经营企业的方式，并与管理过程整合在一起。这些要素与目标联系起来，成为确定企业风险管理是否有效的标准，构成了三维视角的企业全面风险管理的模型（如图2-4所示）。报告对象职能与责任首席执行官（ceo）对风险管理负有首要责任，并且应当假设其拥有所有权其他高级管理人员风险官、财务官、内部审计师等负有关键的支持责任，支持主体的风险管理理念，促使符合其风险容量，并在各自的责任范围内依据风险容限去管理风险其他人员负责按照既定的指引和规程去实施企业风险管理董事会成员企业风险管理提供重要的监督，并察觉和认同主体的风险容量监管者（顾客、卖主、商业伙伴、外部审计师等）提供影响企业风险管理的有用信息，但是他们不但不对主体的企业风险管理的有效性承担任何责任，而且也不是它的组成部分表2-1 企业风险管理主体的职能与责任划分八大要素对应内容内部环境管理当局确立关于风险的理念，并确定风险容量。内部环境为主体中的人们如何看待风险和着手控制确立了基础。所有企业的核心都是人他们的个人品性，包括诚信、道德价值观和胜任能力以及经营所处的环境目标设定必须先有目标，管理当局才能识别影响它们实现的潜在事项。企业风险管理确保管理当局采取恰当的程序去设定目标，确保所选定的目标支持和符合该主体的使命，并且与它的风险容量相一致事项识别必须识别可能对主体产生影响的潜在事项。事项识别涉及到从影响目标实现的内部或外部原因中识别潜在的事项。它包括区分代表风险的事项和代表机会的事项，以及可能二者兼有的事项。机会被反馈到管理当局的战略或目标制订过程中风险评估要对识别的风险进行分析，以便形成应该如何对它们进行管理的依据。风险与可能被影响的目标相关联。既要对固有风险进行评估，也要对剩余风险进行评估，评估要考虑到风险的可能性和影响风险应对员工识别和评价可能的风险应对，包括回避、承担、降低和分担风险。管理当局选择一系列措施使风险与主体的风险容限和风险容量相协调控制活动制订和实施政策与程序以帮助确保管理者所选择的风险应对得以有效实施信息与沟通相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。主体的各个层级都需要借助信息来识别、评估和应对风险。有效沟通的含义比较广泛，包括信息在主体中向下、平行和向上流动。员工获得有关他们的职能和责任的清晰的沟通监控对企业风险管理进行全面监控，必要时加以修正。通过这种方式，它能够动态反映，根据条件的要求而变化。监控通过持续的管理活动、对企业风险管理的个别评价或者两者相结合来完成表2-2 企业风险管理整合框架的八大要素高层次目标，与使命相关联并支撑其使命 战略（strategic）目标有效和高效率地利用其资源经营（operations）目标报告的可靠性 报告（reporting）目标 合规（compliance）目标符合适用的法律和法规图2-3 企业风险管理整合框架的四大目标图2-4 企业风险管理整合框架模型第二卷应用技术(application techniques)，讲解说明应用erm框架的具体要素要用到的多种技术。 (2) 国务院国资委2006年发布的中央企业全面风险管理指引一方面，随着全球化经济形势的日益成熟，美国萨班斯法案的出台，我国中央企业为适应经济全球化的竞争需要与之相符的政策指导；另一方面，我国国有企业风险管理工作薄弱，缺乏风险防范机制，造成资产损失严重。据国资委企业改革局2006年对中央企业全面风险管理指引的解读，多年来由于管理体制、制度、机制等方面原因，乱投资、乱担保、乱扩张、乱理财、乱借款、乱放权现象所暴露的问题日益显现。指引是在总结国有企业的经验、损失、教训的基础上，参考国际经验、国际做法而制定的，具有较强的现实性和前瞻性。其目的是明确要求中央企业要重视和开展全面风险管理，明确什么是风险管理，企业如何开展全面风险管理工作。指引指出我国国有企业可能面临的主要风险形式：企业对外投资（包括海外投资）的风险，企业多元化经营的风险，企业对外担保的风险，企业委托理财的风险，企业对外承包工程的风险，企业内部管理失控的风险，企业经营过程中存货增加的风险，企业产品研发、产品更新、产品升级的风险，企业并购的风险，企业应收账款的风险，企业面临的利率、汇率风险，企业法律风险，上市公司可持续生存风险（sirt），企业供应商提供产品质量的风险，企业环保风险，企业环境（社会、人文）风险，企业现金流风险，企业员工劳动关系风险。分别从流程、体系、文化三个方面指导，国内企业建立良好的风险管理体系。(3) 财政部、证监会、审计署、银监会、保监会2008年发布的企业内部控制基本规范及之后发布的配套指引2008年6月28日，财政部、证监会、审计署、银监会、保监会在北京联合召开企业内部控制基本规范发布会，会议发布了企业内部控制基本规范，自2009年7月1日起现在上市公司范围内实施，鼓励其他非大中型企业执行4。基本规范共七章五十条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。基本规范坚持立足我国国情、借鉴国际惯例，确立了我国企业建立和实施内部控制的基础框架，并取得了重大突破。一是科学界定内部控制的内涵，强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，有利于树立全面、全员、全过程控制的理念。二是准确定位内部控制的目标，要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上，着力促进企业实现发展战略。三是合理确定内部控制的原则，要求企业在建立和实施内部控制全过程中贯彻全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。四是统筹构建内部控制的要素，有机融合世界主要经济体加强内部控制的做法经验，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架。五是开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制，要求企业实行内部控制自我评价制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系；国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查；明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计，出具审计报告。(4) 国际标准化组织2009年发布的iso310002009年，日内瓦的国际标准化组织发布了iso31000标准（以下简称iso31000）：风险管理原则与实施指南，提供了风险管理的原则和一般性指导方针。企业风险管理是一个复杂而抽象的实践过程，这方面的专业技术仅是组织开展日常工作的工具。就像一句隽语，即使是理解企业风险管理框架（erm）的人们，最后还是要理解那几个易于掌握的基本原则，其中一个原则就是风险管理是每个人工作的一部分5。事实也是如此，如果不了解如何进行风险管理，那么在日常工作中就不可能始终关注工作中的风险，就不可能很好地履行职责。 但问题在于，不是所有的erm专家都认可这些基本原则，即使认可也会有不同的理解。两个组织即使风险管理起点相同、原则相同、使用术语相同，也不会按照相同的方式实施erm。事实上，erm也没有要求两个组织使用同样的方法，因为风险管理实务在组织之间是存在差异的，有各种各样的风险管理方法。 确定风险管理模型是内部审计师对所在组织风险管理质量进行评价的第一步。现在，有许多风险管理模型可供考虑，如特恩布尔指南（the turnbull guidance）在英国就非常普遍地使用，coso指南也被广泛应用于美国和其他国家。但要建立一套国际风险管理标准却很困难，本标准就是在这样一个大背景之下建立起来的。 只有适合自己的才是最合适的，无论是带有英式风情的特恩布尔指南，还是美式的cosoerm框架，抑或是国际标准的iso31000，我国国内企业的风险管理体系必须在这些成熟的理论成果基础上进行具有中国特色的调整才能更好的适应发展所需。第3章：n公司全面风险管理体系的构建探索企业全面风险管理理论国内外都已发展到一个相对成熟的阶段，风险管理理论的实践案例更是层出不穷，尽管通过建立风险管理体系给企业带来的效益各有长短，但总的来说，只有重视企业的风险管理，才能使企业稳定发展，获得收益。本章以n公司为例，详细分析n公司的现状，风险管理政策实施的问题与不足，依照现有的国际、国内主流风险管理理论，预测构建适合n公司的全面风险管理体系。3.1 n公司基本情况n公司其前身是19世纪70年代经j省省委、省政府批准成立的特殊改造农场，20世纪初经过承包改制分别建立2个具有独立法人的机械制造厂，再到本世纪初，响应国家国有制改革号召，两厂合并成为公司股份制企业，是拥有独立法人资格的、集团性综合企业。公司成立之初，依据股东出资情况成立了股东会，董事会，监事会，n公司股东会成员约200人， 50%以上是工厂职工入股，其余约49%由j省厅级单位派属代表入股。公司董事会成员9-11人，监事会成员3人，最早是董事长兼任总经理，2008年以后董事长不再兼任总经理职务，董事长拥有2票决策权。n公司近年来，每年会组织召开2-3次董事会议以决定重大生产、经营管理决策以及重大产品开发方向。根据n公司的运营特点，公司主要从事殡葬火化设备的研发、制造、销售，产品包括火化机械、医疗焚烧处理、尾气处理、冷冻设备、土建工程等。该公司在2013年之前采用的是工厂责任管理制，公司与生产基地分开，公司只有总经办，生产基地有供销科、生产计划科、财务科、办公室，实施厂长责任制。进入到2013年，总公司决定实施生产承包经营管理制，公司与生产基地在管理架构上似乎进一步紧密连接起来形成一个树形整体（如图3-1），总公司下设总经办、综合服务部、销售部、财务部，生产基地的生产计划部独立经营管理。近年来，n公司在国内利好市场环境的大背景之下，销售订单逐年增加，继续保持了国内同行龙头企业的地位，主要城市市场占有率达到75%以上，产品早已远销俄罗斯、印度尼西亚、菲律宾等。尤其在2012年以后，国家民政部根据国家对城市环境保护的大原则下，颁布了对二噁英排放的限制规定，该公司率先取得了相关排放合格证书，尾气净化类产品销售订单仅用2年时间就突破了以往公司所有该类产品的订单之和，公司销售业绩也是逐年增加。3.2 n公司经营管理现瓶颈董事会董事长总经理常务副总常务副总财务部销售部综合服务部办公室生产计划部法务部监事会图3-1 n公司内部组织管理架构然而，就在这样一片大好的背景下，n公司内部却出现了重重危机，公司的经营管理决策频繁出招，却未能取得有利效果，资金、人才、技术缺失现象越来越凸显，具体表现在以下几方面：（1）历史遗留问题凸显难掩随着股份制改革的不断深入，历任管理层对于人事、薪酬等的管理政策实施所带来的一些弊端逐渐暴露，从中层管理人员到生产基地工人、工地施工人员对于公司早期的薪酬标准和人事任免政策抱怨呼声不断，已经开始影响正常的工作效率。行政人员、销售人员对公司的内债遗留呈现错综复杂现象，直接阻碍了销售、绩效管理政策的执行。（2）技术人才流失、内退成本增加一方面，由于对薪酬、人事任免制度的怨声载道的技术人员纷纷跳槽到竞争对手的同行公司，造成技术人才的严重流失；另一方面，由于享受了j省福利性企业的政策，近年因各种情况申请内退的职工不断增加，造成公司非营业成本大幅增加，同时严重影响在职工人的工作积极性。（3）资金回笼效率低下据该公司统计数字显示，截止2013年12月，该公司需要进行资金回笼的债务金额超过了该公司近5年的利润总和，如果该公司可以将所有外部应收账款回笼到位，可以满足该公司所有职工集体休假至少3年正常发放工资的需求。造成大量应收账款未回笼的原因，一方面是上述提到的历史遗留问题，销售人员消极回款，高层管理执行消极奖励政策形成恶性循环；另一方面是该行业的客户98%以上属于政府财政资金拨款，对付款的严格要求，造成项目尾款长期处于质保金状态，难以及时收回。（4）银行贷款举步维艰该公司从2009年至2010年间开始第一次出现银行贷款业务，逐步走向了负债企业行列，而且贷款金额逐年增加，到2013年所有银行贷款金额开始超过了近两年的利润总和，对公司资金的使用分配问题管理层开始出现分歧：有赞成增加对扩大经营范围和技术改造投入的，也有要求改善公司薪酬制度增加员工收益的，还有支持尽快缩小公司债务的。总之，该公司的现金流短缺问题日益严重，银行贷款缩紧，地方政府福利款项支持减少给公司的长远发展蒙上了阴影。（5）股东退股雪上加霜从2010年，n公司生产基地搬迁扩大，该公司普通职工股东开始陆续出现要求退股现象，起初因一年退股金额稀少，公司财务部门在得到公司同意情况下，基本都是执行宽松政策，及时办理。近期，该公司出现了扎堆退股现象，部分职工集合在一起要求公司给予退股，给公司内部信誉和资金都造成了巨大损失。3.3 n公司目前全面风险管理现状翻开n公司的所有企业成立、管理、运营档案，作者都没有发现有明确的相关执行全面风险管理政策批文，可以说该公司到目前为止在管理政策理论上并没有形成任何成型的风险管理体系或架构。对于公司产生的金融风险、危急性事件风险、信息风险等都仅仅停留在的风险反应的初级阶段。值得庆幸的是，n公司在生产基地管理上始终执行了iso9001质量管理体系和iso14001环境管理体系。由此，本文作者认为n公司在全面风险管理政策方面应该首先认识到内部自身存在的以下几方面问题6：（1） 缺乏正确的风险管理理念。风险管理理念是指对风险的态度和提前认识并作出一系列有效的应急反应。正确的风险管理理念既不是停留在对风险的遇见和刻意回避，也不是片面为追求高利益回报的不折手段；风险管理理念应该充分考虑到风险的基础上与企业所处的内部、外部环境，企业的资源状况以及企业的战略相适应，应该有助于企业战略目标的达成。n公司管理层严重缺乏对风险管理理念的认知。（2） 缺乏系统性的风险管理手段。 一方面，n公司的风险管理仅仅只是停留在一种“感性”管理，缺乏风险分析和度量手段，缺少专门化的风险管理工具；另一方面，风险管理往往按职能被切分到财务、运营、市场等多个层面，缺乏系统的、全局性的整合框架和主线。（3） 组织和流程层面缺乏对风险管理的认知。组织的风险理念往往缺乏清晰的表达和内部贯彻，并没有为大多数员工理解和认同，也无法落实到具体的日常工作中。3.4 n公司全面风险管理的选择：企业内部控制基本规范根据第2章对国内外企业全面风险管理理论及实践情况的研究，结合n公司所处的特殊环境及现状，最后，作者再对上述几种主流的风险管理理论进行比较（如表3-2所示），决定主要以国内五部门2008年颁布的企业内部控制基本规范为参考物对n公司建立全面风险管理体系预测。对比项目企业内部控制基本规范coso2004-erm中央企业全面风险管理指引定义由企业董事会、证监会、经理层和全体员工实施的，旨在实现控制目标的过程一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证由中央企业中的国有独资公司的董事会督导企业实施建立风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法适用范围适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照建立与实施内部控制。不明确的主体中央企业中的国有独资公司目标1.企业的经营要合法合规2.企业资产要安全完整3.企业财务报告的信息（财务信息）和其他信息要真实可靠完整4.通过内控提高企业的经营效率和效果。5.促成企业实现战略目标战略目标、经营目标、报告目标、合规目标，其最终目标是增加利益相关者的价值（一）确保将风险控制在与总体目标相适应并可承受的范围内；（二）确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；（三）确保遵守有关法律法规；（四）确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；（五）确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。要素内部环境、风险评估、控制活动、信息与沟通、内部监督内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控风险管理初始信息、风险评估、风险管理策略、风险管理解决方案、风险管理的监督与改进、风险管理组织体系、风险管理信息系统、风险管理文化表3-2 ：国内主要三项风险管理执行标准对比 第一步：推广和建设企业风险管理理念企业的每个管理主体就是控制主体经营者对企业的管理，是宏观层次的资源配置管理者对其所负责部门的管理也是资源配置。员工则是在其岗位上直接操持一定的资源并实现对资源的控制，员工是最基本的管理者是直接对资源进行控制的主体，而且是企业内部控制的最终落脚点。所以员工也就成为控制主体之一，每一个员工必须最大善意地使用自己直接控制的资源，保护企业财产和资源的安全如实报告各种相关信息。从组织的全体来看，至下而上的全员控制有助于改善内部信息不对称，由此受益的不仅仅是一般员工，对管理者的不同层次来说，同样也可以减少信息不对称造成的控制困难，因此可以说“人人都是控制者”。由此可见，企业风险管理是企业全员的责任，而且贯穿于企业经营管理的全过程。首先，积极在董事会及管理层宣扬企业风险管理理念的重要性，并逐步培养其对风险偏好的一致认识，愿意尝试并接受企业风险管理的推广方案及支持后续内部控制框架的建立。在公司内部行政管理人员、销售人员，到生产一线和安装一线人员内部通过各种宣扬方式传染企业风险理念的认知；其次，通过erp管理系统或类似联系所有职能部门的offer体系建立持续的风险沟通和监控机制。通过风险管理制度建设、风险管理组织与流程的优化，明确风险管理责任和权力的分配，保持风险沟通渠道始终畅通并及时有效。另一方面，可以将履行风险管理责任通过薪酬体系来进一步明确职责与利益的关系；最后，通过专业的培训团队制定符合的培训方案，对风险执行层进行整体、全面的培训，不断提升风险执行层的团队素质。根据n公司的实际情况，独立组建一支高素质的风险管理团队在时间和成本上都不切实际，这就需要董事会从管理层及中层管理人员中甄选出可以快速反应并能接受风险管理理念的专职管理团队接受培训，同时，这个团队必须具备将风险管理理念逐步灌输到全体员工的能力。当风险理念引导公司员工的行为，公司对管理层的风险责任强调与对其收入责任得强调具有相同程度，员工经过严格的风险理念、风险管理制度、风险管理操作方法和技术等相关培训，全体员工具有共同的风险管理理念和风险意识，并且将风险管理意识转化为员工的自觉行动，就标志着企业风险理念逐步转化一种公司文化深深烙印在公司的管理文化之中，推广和建设风险管理理念的任务才算完成。第二步：建立风险管理组织体系架构根据企业内部控制基本规范企业应该建立一个独立的风险管理部门，该部门主要负责人员应该具有单独向董事会或ceo汇报风险状况的权力，向下可以直接和各个职能部门汇总企业风险可能性，然而，n公司的实际情况是采用的生产承包经营管理模式，单独的风险管理部门也无法在短时间内在现有管理架构中获得最大的执行便利，而且其风险主要集中在内部控制与营销模式源头，所以，可以考虑从与董事会互相制衡的监事会及分管销售部门的管理层入手：（1）建立总公司层面风险管理部门与常务副总平级由董事会和高层管理人员（董事长与总经理）从监事会成员中确定风险管理部门的主要责任人，并制定和审议风险管理政策和原则，支持该责任人从常务副总以下甄选中层管理人员成为风险管理部门的成员（必须包含销售部门及薪酬部门主要责任人）。（2）在董事会及ceo层面建立单独风险管理部门的沟通渠道除了风险管理部门其它高层管理人员及其中层管理人员都必须执行风险管理政策和按照风险管理计划实施风险管理，对风险管理的有效性承担责任。风险管理部门责任人拥有独自向董事会或ceo汇报公司风险状况的沟通渠道，以对风险管理政策在执行和实施过程中存在的阻碍及时解决，并作出反应，同时也可以最大效率地对公司内部、外部风险作出评估，制定有效的应对策略。（3） 销售管理部门建立与风险管理部门直接对接的风险执行部门除了执行内部控制政策，销售管理部门作为n公司最前沿、资金重要来源部门必须专门设置与风险管理部门对接，共同制定和执行业务相关的模块管理政策。例如各区域在外货款管理、逾期货款催收、资产安全风险管控和区域销售人员风险逾期考核工作。（4）财务部门建立与风险管理部门直接对接的审计部门财务部门除了履行公司正常的资产应收、应付工作，需要单独设立公司运营成本审计部门，对公司各职能部门及各区域工程项目的成本进行审计，制定成本风险限值，作为考核各部门绩效及工地工程利润率的评价系数，严格掌控超出预算成本数据。第三步：建立风险管控流程根据上述n公司现状遇到的瓶颈，制定各个风险瓶颈化解指标和工作思路，通过风险识别、风险分析和风险评价过程实施风险评估，就瓶颈的严重性进行先后排序，再制定相关的治理策略并确保可能带来的遗留风险在公司可承受范围之内。始终保持在风险管理部门的监控状态之下，以确定可以及时作出策略微调。最后，总结风险管理经验，记录攻克风险过程。如图3-3所示