安永：《中央企业全面风险管理指引》辅导班第五章 风险管理解决方案_[全文]

风险管理解决方案2006年8月中央企业全面风险管理指引辅导班中央企业全面风险管理指引第一章总则第二章风险管理初始信息第三章风险评估第四章风险管理策略第五章风险管理解决方案第六章风险管理的监督与改进第七章风险管理组织体系第八章风险管理信息系统第九章风险管理文化第十章附则引言这里介绍的内容涉及的主要章节内容概括逐条解释指引第五章有关内容的要点进一步叙述风险管理解决方案，重点讲解内部控制制定风险管理策略后的逻辑步骤按照风险管理的基本流程，制定风险管理策略后的工作是制定实施风险管理解决方案，也就是，执行前一阶段制定风险管理解决策略，进一步落实风险管理工作监控改进制定风险管理策略风险评估132543信息沟通贯穿始终制定实施解决方案建立初始信息第五章风险管理解决方案综述本章即指引第三十一条至第三十六条的内容提出风险管理解决方案风险管理解决方案的组成部分外包风险管理解决方案的注意事项内部控制的原则内部控制的内容提出落实的要求第五章风险管理解决方案第三十一条企业应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具如关键风险指标管理、损失事件管理等。企业应根据面临的风险制定解决方案解决方案的组成部分包括目标、组织、范围、实施条件、手段和工具解决方案风险管理解决方案分外部和内部解决方案内部解决方案是前面所说风险管理策略的实施，是全面风险管理体系的运转。因此，在具体实施中，一般是以下几种手段的综合应用风险管理策略；组织职能；内部控制，包括政策、制度、程序；信息系统，包括报告体系；风险理财。关键风险指标管理关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法关键风险指标管理可以管理单项风险的多个关键成因指标，也可以管理影响企业主要目标的多个主要风险假设公司现在关心的主要目标是年度盈利指标影响年度盈利指标的风险因素有许多，包括年度销售额、原材料价格、制造成本、销售成本、投资收入、利息、应收账款等量化风险指标具体操作步骤分析风险成因，从中找出关键成因。将关键成因量化，确定其度量，分析确定导致风险事件发生（或极有可能发生）时该成因的具体数值。经过数据分析，认定影响盈利的主要风险是信用风险，其代表性的风险事件是客户还款不及时，导致应收账款大量增加进一步量化，得到月度坏账损失额、每日未回收的应收账款和客户结构变化率等三个量化指标，并得出预警值建立预警系统具体操作步骤以该具体数值为基础，以发出风险预警信息为目的，加上或减去一定数值后形成新的数值，该数值即为关键风险指标建立风险预警系统，即当关键成因数值达到关键风险指标时，发出风险预警信息0204060801001月2月3月4月4035客户结构变化率190万167万每日应收未收账款150万135万月度坏账损失额监控实施预警措施具体操作步骤制定出现风险预警信息时应采取的风险控制措施跟踪监测关键成因数值的变化，一旦出现预警，即实施风险控制措施风险事件不需要关注风险预警，需要关注重大风险，需要采取行动关键风险指标的分解企业目标的实现要靠企业的各个部门和业务单元共同的努力，同样，企业的指标要分解到企业的各个部门和业务单元。对于关键风险指标也是一样但是，对于关键风险指标的分解要注意部门和业务单元之间的关系。这里的关键是从企业整体出发和把风险控制在一定范围内。切不可采用“最大化”的说法。比如，信用管理部门负责信用风险的管理，如果其强调最小化信用风险，紧缩信用，则会给负责扩大市场占有率和销量的市场和销售部门造成伤害，从而影响公司整体目标的实现对于关键风险指标的分解，要兼顾各部门和业务单元的诉求。一个可行的方法是在企业的总体领导和整体战略的指导下进行部门和业务单元间的协商第五章风险管理解决方案第三十二条企业制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。企业采取风险解决的外包方案应当注意的事项风险管理外包的注意事项企业经营活动外包是利用产业链专业分工，提供运营效率的必要措施企业许多风险管理工作可以外包出去，如企业使用投资银行、信用评级公司、保险公司、律师事务所、会计事务所、风险管理咨询公司等专业机构，将有关方面的工作外包，可以降低企业的风险，提供效率外包可以使企业规避一些风险的同时，可能带来另一些风险，应当加以控制第五章风险管理解决方案第三十三条企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。内控制定的原则全面风险管理的必要举措内控系统是全面风险管理的重要组成部分，是全面风险管理的基础设施和必要举措一般说来，内部控制系统针对的风险一般是可控纯粹风险，其控制对象是企业中的个人，其控制目的是规范员工的行为，其控制范围是企业的业务和管理流程内部控制是通过有关企业流程的设计和实施的一系列政策、制度、程序和措施，控制影响流程目标的各种风险的过程内控系统的历史发展美国COSO组织1992年的整合内控体系对世界各国公司立法和管理影响巨大美国2002年通过的萨班斯法案将建立和维持有效的内控系统作为对上市公司的法律合规要求COSO1992内部控制的概念始于上一世纪初的财务控制，在80年代以后逐渐受到各国的重视，特别是监管机构的重视。在发展过程中，内部控制的理论吸收了控制论、系统论、组织理论、行为科学、心理学、管理学等多学科的内容内控设计的基本原则全面性覆盖企业所有重要业务及管理流程和流程的全过程系统性按统一原则制定，与风险策略一致合规性符合国家有关法律法规成本效益控制与收益平衡权力分离及相互制约岗位之间相互制约，重要流程及决策不能由一个人完成激励平衡权责明确及奖惩结合信息反馈内部控制应有自我调节功能可操作性根据企业现有操作水平制定包容性不致因个别环节失灵导致全系统失灵内控的设计按照风险管理的基本流程进行对象流程的环境信息，包括目标、全流程各个步骤、有关法规制度风险评估设计控制策略设计控制措施监控改进监控改进制定风险管理策略风险评估12543信息沟通贯穿始终制定实施解决方案建立初始信息内控与流程再造内控设计以流程为基础。因此，在建立内部控制系统时，首先要梳理现有的管理和业务流程。必要时，建立相关的流程完善的流程包括完善的内部控制；设计内控的过程也是完善流程的过程。因此，涉及内部控制的过程一般会涉及流程的再造，加强现有流程的内控也是流程再造的一部分流程风险控制点控制措施流程的内部控制流程是否存在设计是否合理职责是否明确执行是否严格奖惩是否明白效果是否满意关键绩效区风险是否辨识影响什么指标影响哪些流程影响哪些部门或哪一级企业分析是否彻底应对是否存在设计是否合理职责是否明确是否经过检验效果是否满意萨班斯法案404条款的要求在美国上市的中国公司应当遵守萨班斯法案的要求萨班斯法案要求所有美国的上市公司要在所有与财务报告有关的流程建立并维持足够的内部控制因此，满足萨班斯法案的第一步就是识别所有与财务报告有关的流程外部审计师须对公司的财务报告流程的内部控制进行审计，并出具意见404条款年度财务报告内部控制的公司管理层报告书设立并维持了足够的财务报告内控体系；财务报告内控体系有效性的评价；为评价财务报告内控体系而采用的评价体系的说明。SARBANESOXLEYACTOF2002第五章风险管理解决方案第三十四条企业制定内控措施，一般至少包括以下内容一建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；二建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等；三建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；四建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；五建立内控审计检查制度。结合内控的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等；六建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩；七建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施；八建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度；九建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。内控的基本应对手段授权报告批准责任审计检查考核评价预警法律风险防范体系权力制衡内部控制的系统主要包括企业的过程、程序、政策、准则、方针、结构、规范建立授权制度一建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；授权制度至关重要。要做到事事有授权，尤其是重大决策更是要明确的授权授权应当遵循岗位分离的原则，授权范围要适当。不可过宽，过宽则内控失灵；不可过窄，过窄则影响效率授权应当结合激励机制，明确授权的同时明确奖惩信息系统在流程中的使用有助授权制度的刚性化建立内控报告制度二建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等；内控报告制度是内控信息反馈原则的具体体现内控报告制度是内控的有效性保证，其作用是使各级管理层和企业内外部的利益相关人能够及时得到企业的内控的真实信息内控报告制度是风险管理信息沟通，其时间、频率、内容等应与针对的风险匹配建立内控批准制度三建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；内控批准制度是授权制度的表现对内控所涉及的重要事项，如重大决策与重要信息的披露等建立明确的批准制度，使得流程的控制更加严密要坚持风险控制与运营效率及效果相平衡的原则，对公司内控所涉及的事项进行分级、分类的管理，同时可利用信息系统提高运营效率建立内控责任制度四建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；内控责任制度应与内控授权制度配套，并配之以合理的奖惩措施要明确每一个员工在内部控制中的责任及其奖惩，并严格执行。没有奖惩制度的责任会落空，不严格执行的奖惩制度也会落空内控责任可能与业务无关，但同样需要考核建立内控审计检查制度五建立内控审计检查制度。结合内控的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等；内控审计制度是内控系统中的重要组成部分，是内控系统执行风险管理基本流程中监控改进步骤的重要环节，使保证内控有效并不断提高的关键应当坚持审计部门与内控的执行部门的相对独立内控审计的计划和审计报告应当得到风险管理委员会的批准内控审计是审计业务的一个新事物，但是国际上的趋势。公司应当高度重视，配备人才，做好这项工作建立内控考核评价制度六建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩；内控的绩效考核是内控的奖惩措施的落实在有条件时，要量化内控的绩效。可以考虑使用如内控失灵造成的损失、产生的次质品、客户满意度，人才流失度等指标来衡量内控的效果不能量化内控的绩效时，可以采用同行评比，专家意见等方法建立重大风险预警制度七建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施；关于建立重大风险的预警制度，可参考前面关键风险指标管理的内容法律风险管理八建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度；法律风险管理是企业全面风险管理的一部分，管理企业法律风险要服从企业整体风险管理策略随着市场环境的变化和国企走出国门，法律风险日益突出要充分考虑到法律风险的环境特性和复合特性，即法律风险管理的专业性建立重要岗位权力制衡制度九建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。这是内控的基