基于风险管理的内部控制建设的研究.doc

基于风险管理的内部控制建设的研究【摘要】：内部控制体系是进行全面风险管理的基础和重要组成部分，是企业自我调节和自我约束的内在机制。随着市场经济的发展以及企业竞争的越发激烈，风险管理在企业中的地位更为突显。在企业自身需要和外部监管要求双重因素的驱动下，建立基于风险管理的内部控制体系越来越重要。文章从企业风险管理的角度，以案例分析的形式总结了建立内部控制体系的重要性，从制度设计、风险防范、管理报告、长效机制等方面分析了内部控制建设的主要措施和方法，以及给企业带来的效益，并从监管机构方面对企业内部控制提出更高的要求，明确以风险管理为导向的思路，引导企业研究和探索适合自身实际的方法和机制。【关键词】：风险管理 内部控制 经营效率 企业价值 长效机24目 录序 言3第一章 企业建立内部控制体系的原因4一、案例分析和启示4二、国内外监管机构的强制要求7三、企业自身发展的迫切要求7第2章 建立基于风险管理的内部控制体系的方法10一、构建与实施的方法论和最佳方案10二、制定实施方案和计划12三、有效执行实施方案和计划13四、检验内部控制体系的有效性13第3章 实施内部控制给企业带来的效益15一、提升企业管理水平15二、提高企业经营效率与效果16三、提升企业内部控制的整体意识16四、增加企业价值16一、风险管理报告的组成要素17二、风险管理报告的撰写方法17第五章 建立企业内部控制长效机制19一、落实内部控制职责19二、完善体系化的内部控制制度19三、实施科学透明的考核方法20四、建立风险管理与内部控制信息系统20第六章 内部控制体系构建的关键因素21结 束 语22【参 考 文 献】23致 谢24序 言由于各种不确定因素，企业面临着各种风险，能否对风险进行有效的管理和控制，是企业能否生存发展、实现企业预期目标的关键。完善的风险管理和内部控制制度不仅可以帮助企业实现战略目标、提高企业的核心竞争力。制定基于风险管理的内部控制制度并切实执行是企业实现战略目标的保证。因为它不但对企业战略目标起到了强劲的科学支撑与持续保障作用，还使企业具备识别和管理整个企业多种风险的综合能力，从而提高企业的全盘控制能力，增强风险治理反映的决策能力，完善现代企业制度，减少企业的不确定性与赢利的波动性，增强企业的核心竞争力。第一章 企业建立内部控制体系的原因一、案例分析和启示2001年，安然公司财务丑闻的曝光引发了多米诺骨牌效应，随后美国338家上市公司遭到投资者抛弃，总计4093亿美元的资产申请破产保护。美国忠诚与保护公司的调查显示：70%的公司破产是由于内部控制不力导致的。巴林银行、“郑百文”、银广夏等曾经辉煌的企业，犹如一座大厦在顷刻间倒塌，其最主要的原因是被人们称为现代企业稳健发展的“稳定器”内部控制制度在这些企业成了一纸空文。安然、中航油等事件也是如此。这些企业的造假行为不仅欺骗了投资者，使自己付出了沉重的代价，同时也损害了资本市场的秩序，给所在国经济造成了重大的影响。内部控制失效的种种案例给研究提供了最为直接的反面素材，可以通过对这些案例的研究来寻找那些曾经拥有辉煌业绩的企业在内部控制方面究竟出了哪些问题，以便从中吸取教训，使其他企业避免出现同样问题，以保证企业稳定及可持续发展。1、案例分析（1）法国兴业银行事件。法国兴业银行是法国最大的商业银行集团之一，2008年1月24日，该银行宣称，由于旗下一名交易员杰洛米科维尔私下越权投资金融衍生品，该行蒙受了49亿欧元（约合71.6亿美元）的巨额亏损。科尔维利用在银行中台部门工作中了解的银行内部控制漏洞，蓄意侵入银行安全系统，精心设计虚构交易，隐藏了这一巨额的违规头寸。法国兴业银行的欺诈事件成为继巴林银行后单笔涉案金额最大的交易员欺诈事件。消息公布后，惠誉评级公司下调了对法国兴业银行的信用评级，法国兴业银行在巴黎泛欧证交所挂牌的股票被紧急停牌，巴黎银行放弃了收购法国兴业银行的方案，更另投资人对银行业的脆弱信心遭到重创。法国兴业银行欺诈案发生的根本原因是内部控制失效。有关报告指出，法国兴业银行内部监控机制未完全运转，内部监控系统多个方面可能存在漏洞，主要包括对交易员盘面资金的监督、对资金流动的跟踪、后台与前台完全隔离、信息系统的安全及密码保护等方面。（2）美国安然事件。安然公司成立于1985年，仅1990-2000年的十年间，安然公司的销售收入从59亿美元上升到了1008亿美元。2000年在美国财富杂志的美国500强排行榜位列第7名，在世界500强中位列第16位成为当时的商业帝国。然而，就在2001年年末，安然宣布第三季度亏损6.4亿美元，后经美国证交会调查发现，安然以表外形式，隐瞒了5亿元债务，同时还发现该公司1997年以来共虚报了5.86亿美元的利润。于是，安然的股份由2001年年初时的80美元暴跌至80美分。同年12月，安然申请破产保护令，然而仅仅在10个月之前，公司还因为股票价格超过预期目标而向董事及高级管理人员发放了3.2亿美元的红利。安然的财务危机严重影响了美国乃至全球股市，给汇市、期市、债市、金市带来很大影响，引起一系列企业倒闭的连锁反应，还拖累了一批银行。安然事件严重影响了投资者的信心，增加了美国经济的不确定性，使公司借贷更为困难，借贷成本更加高昂，同时银行也更加惜贷，更加谨慎，从而影响企业投资。安然事件连同“911”事件、世界通信公司会计造假案和安达信解体，被美国证监会前主席哈维皮特称为美国金融证券市场遭遇的“四大危机”，是美国商业史上最经典的案例。安然公司破产的原因主要有三点：一是安然公司在其发展过程中犯了战略错误；二是管理层滥用权力使公司的内部控制形同虚设；三是审计师违背职业操守帮助安然公司造假而不对其造假行为及时披露。（3）日本的八佰半事件。在20世纪90年代全盛时期，八佰半在全球16个国家拥有400多家百货公司，以雄霸世界零售业第一把交椅而扬名。1997年9月，八佰半宣布破产，向法院申请“公司更生法”保护，当时八佰半的负债额达到1613亿日元，是第二次世界大战后日本最大的一宗企业破产案。后来发现，导致八佰半破产的原因主要是对风险的认识不够，控制不力，具体体现在三个方面：八佰半低估经营非核心业务的风险；八佰半低估了扩张业务的风险；八佰半低估了开发海外新兴市场的风险。（4）新加波中航油事件。中航油公司自2003年开始做油品套期保值业务，但其总裁陈久霖擅自扩大业务范围，未经允许从事其股东方中航油集团公司明令禁止的石油衍生品期权交易。直到保证金支付问题难以解决、经营难以为继的情况下，公司才发现并向中航油集团公司紧急报告。但仍没说明实情，而且为了掩饰其违法行为，开始向上级公司提供假账，使得中航油事件从一个并不很大的失误开始，成为继巴林银行破产以来最大的投机丑闻。中航油有一个看似完善的公司治理结构，各种治理机关基本没有缺失；也有“符合国际惯例”的风险防范机制，聘请了世界知名咨询公司为其制定了风险管理手册及财务管理手册。但是，中航油的公司治理结构和机制却严重失效了。由此可见，制度健全并不等同于制度有效，“行”之有效才是真正的有效。（5）内蒙古伊利事件和创维事件。伊利公司董事长郑俊怀等5名高管人员在2000年间未经董事会同意，先后挪用1590万人民币和1400万人民币，分别给了其以亲属名义注册的私人企业；无独有偶，2004年11月30，创维数码董事局主席黄宏生，无视公司外部股东利益，绕开现有的董事会，私自将上市公司款项打入自己创办的企业，涉嫌盗取公司资金4800多万人民币，被香港廉政公署拘捕。上述案例的发生，或是董事会功能缺失，或是有内部控制制度但在实际业务中没有得到应有执行，或是根本就没有内部控制制度。这些案例提出了一个相同的问题：企业的内部控制到底出了什么问题？因此，如何基于企业风险管理的内容，在当前环境下建立起一套适合中国国情的内部控制机制，成为企业高层管理的一个新问题。2、案例启示以中航油事件为代表的一系列内部控制缺失案对中国的影响，正如以安然事件为代表的一系列内部控制缺失案对美国的影响一样，促使市场再次评估中国的经济及其企业。因风险管理不善及内部控制缺失的欺诈事件等而严重亏损或倒闭的国内外公司案例再次告诫企业：是中国企业领导人冷静思考，吸取教训，找到一套适合中国企业特色和发展方案的现代化风险管理机制的时候了。那么，中国企业应该从中航油、创维、伊利和新华人寿等事件中吸取什么教训呢？归纳起来主要有以下几点：（1）必须树立企业全员风险管理意识：企业必须熟悉业务和相关风险；关注影响企业的重大风险；深化企业风险管理文化。（2）建立完善的内部控制制度并保证有效执行：建立完善的内部控制制度；确保内部控制活动的执行。（3）基于内部控制的风险管理。（4）重点控制现金和现金流。现金流对于企业，就像血脉对于人体一样重要。企业的持续性发展经营，靠的不是高利润，而是良好、充足的现金流，良性现金流可以使企业健康成长。合理规划、控制企业现金流是企业健康发展的重要保证。二、国内外监管机构的强制要求1、国外监管机构的要求法国、日本等国在萨班斯法案出台后，也出台了类似的强化监管的新规。目前，全世界已有30多个国家和地区制定了与风险管理和内部控制有关的法律法规，这些行动极大地促进了世界范围内全面风险管理的普及和内部控制制度的构建。2、国内监管机构的要求国内监管机构也认识到了内部控制的重要作用。据资料显示，早在2001年，财政部就颁布了内部会计控制规范基于规范（试行）和5个具体规范，2005年国务院起草了关于提高上市公司质量意见，2006年国务院国有资产监督管理委员会出台了中央企业全面风险管理指引，2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范。三、企业自身发展的迫切要求虽然监管机构的推动对企业加强风险管理和内部控制起到了积极的推动作用，但是经济全球化的驱动、跨国发展、风险度增高、不确定性增加、对企业全盘控制能力的考虑、决策的前瞻性等因素都是推动企业构建风险管理和内部控制制度的动力。风险管理措施不力会让企业付出惨重的代价，这样的例子有很多：财务欺诈最终让安然轰然倒闭，壳牌公司在虚报石油储备丑闻曝光后不得不重编财务报表，在发展中国家的不当经营让耐克和雀巢的品牌形象受损，而麦当劳也遭到过危害公众健康的指责。完善的风险管理和内部控制制度不仅可以帮助企业实现战略目标、完善现代企业制度，还可以帮助企业走向世界，与国际一流企业竞争。1、帮助实现企业战略目标由于各种不确定因素，企业面临着各种风险，能否对风险进行有效的管理和控制，是企业能否生存发展、实现企业预期目标的关键。学术界对战略的研究相对成熟，尽管不同学派的观点和假设等不尽相同，但都强调战略环境的适应性，都承认“核心竞争力”是企业竟优势的所在。核心竞争力的关点可以用图1.2的模型来表示。 战略意图组织的期望水平战略结构核心产品核心竞争力组织利益资源的能力战略实施流程组织学习能力的结果创造新竞争领域开拓新事业竞争结果激发整个组织、共享思维模式，公司挑战，关注竞争力增强型收购，个人和团队激励 图1.2 核心竞争力观点核心竞争力战略理论认为，企业经营战略的关键在于培养和发展能使企业在未来市场居于有利地位的核心竞争力，所以，核心竞争力战略理论不断鼓励企业在扩张时进入那些与其核心优势缺乏较强战略关联性的企业领域。严格来说，任何一次成功的企业扩张都应围绕提升企业核心竞争力这一中心展开。制定基于风险管理的内部控制制度并切实执行是企业实现战略目标的保证。因为它不但对企业战略目标起到了强劲的科学支撑与持续保障作用，还使企业具备识别和管理整个企业多种风险的综合能力，从而提高企业的全盘控制能力，增强风险治理反映的决策能力，减少企业的不确定性与赢利的波动性，进而增强企业的核心竞争力。2、建立现代企业制度现代企业制度是指符合现代化社会大生产的要求，适应市场经济体制需要，体现企业成为独立法人实体和市场竞争主体的要求而确立的制度规范。它是以“自主经营、自负盈亏、自我发展、自我约束”和“产权清晰、权责明确、政企分开、管理科学”为基本特征的。现代企业制度的核心内容包括以下四点：（1）规范和完善的企业法人制度（2）严格而清晰的有限责任制度（3）科学的企业组织制度（4）科学的企业管理制度3、推动企业参与国际市场竞争随着全球经济关联性的增大，实施国际化经营战略的企业正处于一个存在诸多不确定因素和风险的竞争环境中，各种风险直接或间接地影响着企业的国际化经营。中国企业特别是国有企业在国家“走出去”战略的指引下，出于各种动机加速了“走出去”的步伐，在取得一定成就的同时，也经常面临着失败的危险，特别是近几年的中国企业跨国并购活动，面临的风险更大。一方面，源于拓展海外业务的要求；另一方面，源于缩短与国外企业风险管理差距的考虑。第2章 建立基于风险管理的内部控制体系的方法内部控制体系是企业自我调节和自我约束的内在机制，为了保证企业经济活动的正常运转，保护企业资产的安全、完整与有效运用，提高经济核算的正确性与可靠性，推动与考核企业各项方针、政策的贯彻执行，提高企业经营管理水平，企业必须结合自身的特点制定一套切实可行的内部控制制度，并将其贯穿于企业经营管理活动的各个方面。一、构建与实施的方法论和最佳方案内部控制体系的制定必须建立在企业的实际情况上，并全面考虑所有相关要素。国内企业在建立内部控制体系的过程中，总是难于找到一个标准且适用于所有企业的最佳方案。如果要构建出适合企业并能够有效运作的方案，每一个企业在制定内部控制方案时都必须考虑以下问题：1、确立内部控制体系构建的总体目标、总体规划和总体方针根据企业的实际情况确立内部控制体系构建的总体目标、总体规划和总体方针，它们是建立内部控制的行动指南，为成功构建内部控制体系提供强有力的保证。2、确定风险管理与内部控制的目标构建内部控制体系的目标要满足监管部门对于信息提供和披露方面的需求，还要从企业的愿景出发，帮助企业战略目标以及企业经营的效果和效率的实现。通过制度化规范标准的构建，来规范企业员工的行为，加强行为理性，提高企业的经济效益。3、确定风险管理与内部控制体系的内容从最初的内部牵制，发展到内部控制结构，再到COSO报告的内部控制整合框架以及后来企业风险管理整合框架，内部控制的范围正在日益扩大。基于全面风险管理的内部控制体系建设，必须注意到内部控制体系只是为达到特定目标提供合理保证而不是完全保证的体系。不同企业应根据自己内部控制的目标、战略发展、管理需要和面临的具体环境的不同来制定适合自己管理情况的内部控制体系。4、构建内部控制体系应以风险管理为导向构建内部控制体系的最终目的其实就是要控制风险，避免企业遭受损失，因此在构建内部控制体系的过程中，应该以风险管理理念为导向。内部控制体系的重点应该是分析、确认、揭示关键性的风险，并通过各种手段进行管理从而降低风险。5、企业内部控制体系应渗透于企业治理结构之中内部控制作为由管理当局为履行诸管理目标而建立的一系列规则、政策和组织实施程序，与企业治理结构是密不可分的。企业治理结构是促使内部控制有效运行，保证内部控制功能发挥的前提和基础，是实行内部控制的体系环境；而内部控制在企业治理结构中担当的是内部管理监控系统的角色，最有利于企业受托者实现企业经营管理目标，完成受托责任的一种手段，成为企业管理中不可缺少的部分。6、重视企业风险管理与内部控制体系的报告风险管理与内部控制报告是管理当局解除受托责任的一种方式，可以提高企业管理当局风险与内部控制意识，可以向报表使用者提供单纯的财务报告所不能提供的信息，有助于报表使用者进行决策。报告对于增强企业内部控制、减少财务报告舞弊现象、保障企业财产安全等方面都起着积极的作用。基于全面风险管理的内部控制体系建设是一个长期的过程，涉及企业的上上下下、方方面面，不可能一蹴面就。一个成熟有效的方法论可以为企业提供行动的指南，如图2.1所示。 基于内部控制成熟度模型的持续改进管 理 层外部监管机构范围确定、目标设定、风险评估了解、记录内部控制现状并评价内部控制的设计合理性针对设计合理性问题的整改设计内部控制测试方法并测试内部控制的执行有效性针对执行有效性问题的整改准备内部控制的报告外部独立鉴证及报告计划设 计测 试报告鉴定项 目 管 理图2.1 内部控制体系建设方法论模型“基于内部控制成熟度模型的持续改进”是一个环形的循环改进模型，展示了内部控制体系建设的全过程，融入项目管理的经验与方法，体现出管理层与外部监管机构的互动关系。二、制定实施方案和计划无论企业在风险管理与内部控制体系时采用何种方法论，在说明方案与计划制定的方法前，都应先明确其中需要重点考虑的要点。内部控制的重点逐渐向以下两个方面聚焦：一是内部控制制度设计是否完整和合理；二是企业内部控制制度是否得到有效的执行。合理和完整的内部控制制度设计及有效执行是保证企业内部控制目标得以实现的必要条件。而内部控制的制定是实施的前提，在制定内部控制之前，应明确内部控制体系的基本构成，进而通过计划和调研设计出科学合理的内部控制制度。1、内部控制体系的基本构成内部控制体系的制定是企业实施方案和计划的第一步，主要是解决内部控制制度设计是否完整和合理的问题。内部控制体系的制定要针对特定企业的业务模式、组织结构、规模大小、企业文化、管理者素质等因素而分别进行研究，以减少内部控制框架落实到企业时呈现的诸多不适应症状。一般来说，一个完善的内部控制体系必须有良好的内部控制环境、健全的内部控制制度和完善的监管体系。（1）加强内部控制环境建设。主要应考虑管理层的重视、加强培训、建章建制三个方面的内容。（2）建立健全的内部控制制度。在建立内部控制系统时，首先要梳理现有的管理和业务流程，必要时还可以建立新的相关流程；其次，针对重大风险所涉及的各管理及业务流程，制定涵养各个环节的全流程控制措施，对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。（3）完善监管体系。完善的监管体系是企业规范运作的保证，企业应针对各自的实际情况，构建完善和规范的监管体系。2、内部控制体系的建立构建企业的内部控制体系，需要科学严谨的态度和严密细致的工作步骤，但主要应做好计划和调研、分析和设计的工作。（1）建立阶段的计划和调研工作。企业应当根据自己的实际情况和预期制定内部控制体系的构建计划，做好计划、调研、风险评估等方面的内容，并以此为行动指南，有目的地进行调研，以落实企业现有的内部控制流程，明确需要再设计的流程等内容，为内部控制的设计、实施和检查做好准备。（2）建立阶段的分析和设计工作。企业应遵循内部控制设计的原则，充分考虑控制目标和实际情况的差距，然后按要求设计内部控制体系。内部控制设计的基本原则主要包括：全面性、系统性、合规性、成本效益、权力分离及相互制约、可操作性、信息反馈、激励平衡、包容性等。三、有效执行实施方案和计划1、实施方案和计划执行的基本保障对任何企业来说，再完美的制度，如果得不到严格执行，就是一种摆设。要做到贯彻实施，企业必须考虑到一些因素，并确保得到有力执行：必须选用合适的内部控制制度管理人员并定期考核；高管层应该自觉带头贯彻执行内部控制制度；发挥内部审计和监事会的内部监督作用；通过外部监督不断完善企业内部控制制度；建立内部控制制度评价体系。2、实施方案和计划的执行按内部控制目标设计出的合理的内部控制体系，如果得不到有效执行，内部控制制度的构建就会前功尽弃。一般对于大中型企业建议分步实施，最好和企业治理相结合，对小型企业可以考虑一次性地全面推广。在推广过程中，公司强调职能部门与流程协同共同推进，在完成内部控制新机制推广的基础上，结合公司实际情况和全面风险管理的要求，对所有管理层面文件进行梳理；同时，对业务层面的管理制度做进一步优化，以适应新的业务发展和客户需求。四、检验内部控制体系的有效性1、对内部控制体系设计有效性的检验企业在设计内部控制体系时，始终伴随着设计有效性的测试。有效性测试主要是关注两个方面的内容：一是是否合规；二是是否可操作。不同的企业必须根据自己的内部控制现状和新设计的内部控制复杂程序来确定试点的范围。对于不合理的地方，需要进行整改，即返回再进行内部控制的调研、记录、分析并重新设计，然后对重新设计的地方进行再评价检验，直至通过有效性检验。有效性检验是一个反复循环的过程。2、内部控制体系执行有效性的检验企业在推进内部控制制度时，不论是一次性推广，还是通过试点逐步扩大范围，始终应该伴随着执行有效性的测试。在开展内部控制执行有效性的测试时，我们应充分考虑两个因素：（1）落实检验人员及其职责和权限；（2）设计测试流程图。3、内部控制体系设计与执行有效性的检验方法（1）测试工作要点。无论是设计有效性还是执行有效性的检验，都需要保证以下几方面的工作：设计测试工作。各测试单元相互配合。召开测试动员会议。设计有效性测试。执行有效性测试。编写测试报告。召开测试项目结束会议。（2）测试方法。测试人员可根据控制点的不同性质，选择适用于该控制点测试的方法或方法组合，对内部控制的执行有效性进行测试。测试方法主要有抽样；适当的人员询问；相关文档的审阅；控制点执行的实地观察；对控制点执行重复验证等。在采用这些测试方法进行测试时，参与人员必须对测试内容进行恰当和及时的记录，其记录方法主要有备忘录法、调查表法和流程图法。第3章 实施内部控制给企业带来的效益企业建立的目的是赢利，企业只有获利，才有存在的价值。基于全面风险管理构建与实施内部控制也必须能够为企业带来效益，企业才有动力愿意去实施这项工作。那么，构建与实施内部控制究竟能为企业带来什么效益呢？一、提升企业管理水平企业发展中不断面临着各种风险，因此很容易受到种种损失，甚至会经营失败。管理水平的高低是决定企业在激烈的市场环境中成功与否的关键因素。通过内部控制提高企业的管理水平就能使企业提高效率和抗风险能力，从而在激烈的市场竞争中乘风破浪，立于不败之地。可以用图3.1来直观感受内部控制对提升企业管理水平的作用。事后处理事前防范、事中控制、事后监督经验与习惯系统化、制度化、流程化管理被动地执行制度主动制定标准“要我管控” 转 变 “我要管控”单一制度执行体系的整体运转与文化引导结果管理过程管控、过程与结果兼有、形式与实质并存指标管理目标管理、实现管理与管控并举 图3.1 内部控制对提升企业管理水平的作用二、提高企业经营效率与效果很多人都对企业的经营效率和效果有一个直观的认识，比如麦当劳、肯德基刚进入中国时，其干净整洁的就餐环境，和迅速的点餐送餐都和原来上菜慢和桌子油腻的老式店有了鲜明的对比，究竟是什么造成了这些差异？就是管理方式导致的经营效率与效果的不同。当前，国内企业主要存在的问题主要是乱投资、乱担保、乱扩张、乱理财、乱融资、乱放弃等。内部控制需要企业建立本企业风险损失事件库，把曾经出现过的问题都输入事件库中，并及时总结，尽可能防止重复犯同样的错误，增强企业的抗风险能力，从而堵塞漏洞，完善企业的内部控制制度，提高企业经营效率和经营效果，最终保证企业又好又快地发展。三、提升企业内部控制的整体意识以全面风险管理为导向的内部控制体系是一项庞大的系统工程，企业要很好地防御风险，增强企业的发展实力，不仅需要公司领导的支持，还需要整个公司自上而下各级分公司各相关部门的大力配合，更需要提高全体员工的内部控制意识。内部控制意识的提升能极大促进企业构建并有效实施内部控制体系，增强内部控制的执行力，从而有效防范和抵御风险，最终提升企业整体管理水平。四、增加企业价值企业经营与管理控制风险的最终目的都是增加企业价值，使投资者利益最大化。内部控制作为一种先进的组织管理制度已经成为企业管理一个重要的组成部分。对于追求价值最大化的现代企业来说，内部控制在企业的生产经营活动中发挥着越来越重要的作用，内部控制执行得好坏将直接影响企业价值最大化目标的实现。第四章 风险管理报告的组成要素与撰写方法撰写风险管理报告已成为国外公司日常管理的一个重要组成部分，作为风险管理和内部控制体系构建的成果之一，风险管理报告为企业管理层、监督机构提供宝贵信息和有力的决策依据。一、风险管理报告的组成要素风险管理报告是企业总经理向董事长提交并经董事会审批的年度报告。不同的行业，风险管理报告有不同的构成要素，即使是同一行业的不同企业，由于经营情况的不同，其构成要素也有差异。但总的说来，风险管理报告应包括以下几个要素：1、风险管理原则或风险管理政策风险管理原则为企业执行风险管理提供总体指导，主要是对企业各部门在风险管理方面作用的一个简要描述。2、风险管理组织具体包括风险管理委员会的权力与责任，首席风险官的权力与责任，执行董事与监督董事各自的数量、作用及其责任，股东及股东大会的作用，内部审计委员会在风险管理中的作用及应当负担的责任。3、风险的种类及其应对风险的分类方法有很多，比如按风险损害的对象分为财产风险、人身风险、责任风险；按风险的性质可以分为纯粹风险、投机风险、收益风险；按损失的原因可分为自然风险、社会风险、经济风险、技术风险、政治风险和法律风险等。还有一种比较常见的方法将风险分为：信用风险、市场风险、运营风险。总之，在风险管理报告中，企业应当对所面临的各种风险进行详细的描述，包括定性和定量的描述，如风险的来源（成因）、风险发生的可能性大小、风险发生可能造成的损失及风险防范与应对方案。二、风险管理报告的撰写方法报告主要包括风险评估结果说明和风险管理情况说明两个部分。1、风险评估结果说明报告应说明企业风险评估的情况、企业风险评估的结果以及上列企业的重大风险对企业实现其目标的影响。2、风险管理情况说明报告应说明企业是否确定了其对每一个重大风险的整体风险偏好和风险承受度、风险管理策略和解决方案、风险管理组织职能的结构及其在本年度的变化、企业财务报告过程的内部控制状况及其在本年度的变化、企业内部审计对风险管理的评价结果、企业下一年度风险管理的重点工作安排、上一年度报告中安排的风险管理重点工作在本年度的落实情况和执行效果等。在具体撰写过程中，可以根据构成要素结合本企业风险管理的实际情况逐条撰写，也可以列表表示企业风险管理的情况。列表对于某个具体的风险管理尤其方便，如表4.1所示。表4.1 风险管理记录表风险名称风险识别人风险编号风险识别日期风险描述包括发生的可能性、风险严重性、风险评估目的、方法及范围风险应对措施跟踪记录记录当前风险状态（正在处理，已经解决，不作处理）第五章 建立企业内部控制长效机制由于企业各种环境因素会发生变动，企业的内部控制体系也应处于不断变动的状态，以适应变动的环境因素。企业制定的内部控制体系在有效执行之后，每年都要对其进行动态的管理，将前面的执行和检查等工作重新来一遍，并根据环境的变化和企业发展的要求进行不断完善和修订，这就决定了企业要构建内部控制体系的长效机制。内部控制长效机制是保证企业内部控制体系长久、合理、有效的各种保障，具休包括组织体系保障、制度体系保障和考核保障等内容。一、落实内部控制职责关键看该长效机制是否融入企业日常管理中去。为保障内部控制和风险管理工作的顺利有效进行，建立一个健全有效的组织体系是非常必要的。落实内部控制职责主要应做到以下三点：1、构建一个健全规范的企业法人治理结构；2、设置最高决策机构和风险管理（内部控制）委员会；3、明确企业内外部风险管理防线的职责。二、完善体系化的内部控制制度1、固化建设期已经规定的规章制度长效机制期和建设期的区别非常大，主要区别是：建设期的规章制度主要将企业的内部控制体系搭建起来，达到内部控制体系设计的合理性和执行的有效性；长效机制期的规章制度主要是在今后的经营环境中通过修订机制确保内部控制体系的继续有效性。所以，在长效机制阶段，有许多规章制度的目的和作用不再局限于建设期的功能，需要企业及时对其进行修订并重新进行规定。2、及时形成长效机制期的规章制度（1）建立科学、有效的激励约束机制；（2）建立涵养所有业务的全面、系统、成文的政策、制度和程序；（3）重新规定企业的培训制度；（4）明确标准流程的执行力度；（5）建立长期的检查制度；（6）建立风险控制的责任制度；（7）建立严格的问责制度；（8）建立风险管理报告制度；（9）将高管的重视制度化。三、实施科学透明的考核方法内部控制体系是否有效除了执行的问题，还取决于相应的考核办法是否科学可行。内部控制的构建，必须完善监督、检查、考核措施，使公司各项基础管理工作系统化、制度化、流程化，通过实施科学透明的考核办法来确保内部控制体系的执行和有效。主要的考核方法有：1、借外力完善管理层的考核；2、建立问责机制；3、借助外部审计结果考核。四、建立风险管理与内部控制信息系统如同风险管理与内部控制体系本身需要持续不断的评估、调整与更新，以保证与企业战略和管理需要的一致性，信息系统作为该项工作的基本工具和载体也不断完善优化，充分发挥其支撑作用。采用什么样的系统一般都会考虑三个方面的问题：以适合企业的风险评估和风险管理标准为基础，结合企业的业务特点，制定一套具有很好的可操作的方法，作为风险评估和风险管理系统执行工作的依据；成立信息安全管理部门，明确其任务，并在执行安全管理工作方面赋予相当的权利，以保证风险评估和风险管理系统真正发挥其价值；借助必需的工作流系统，监督风险管理和风险评估工作的状态、过程和最终结果，以体现计算安全