第二章企业风险管理实践

1、第二章第二章 企业风险管理实践企业风险管理实践2021年年11月月21日星期日日星期日企业风险管理企业风险管理第二章第二章 企业风险管理在各国的实践企业风险管理在各国的实践 1本章学习目标本章学习目标u了解英国公司治理的发展历程，掌握卡德伯利报告、哈姆佩尔报告和特恩布尔报告的主要内容u掌握美国企业风险管理发展的5个阶段u掌握COSO内部控制整合框架的主要内容u掌握萨班斯一奥克斯利法案的内容概要u理解萨班斯一奥克斯利法案的精髓和缺陷u掌握COSO企业风险管理整合框架的主要内容u掌握COSO企业风险管理整合框架和内部控制整合框架的联系与区别u理解我国企业风险管理的发展历程及存在的问题u了解其它国家

2、和地区的企业风险管理实践总体状况u目前各国的风险管理水平的大致情况是：目前各国的风险管理水平的大致情况是：美国、澳大利亚最超前、成熟；美国、澳大利亚最超前、成熟；日本、英国、加拿大等国在风险管理标准方面的研日本、英国、加拿大等国在风险管理标准方面的研究也较为深入。究也较为深入。我国风险管理事业虽然起步较晚，风险管理的系统我国风险管理事业虽然起步较晚，风险管理的系统实施尚不普及，但部分从业人员的水平居世界前列实施尚不普及，但部分从业人员的水平居世界前列。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第二章第二章 企业风险管理在各国的实践企业风险管理在各国的实践2第第 二二 章

3、企业风险管理实践章企业风险管理实践2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论3第一节 企业风险管理在英国的实践1第二节 企业风险管理在美国的实践2第三节 企业风险管理在我国的实践34第四节 企业风险管理在其他国家和地区的实践4第第 一一 节节 企业风险管理在英国的实践企业风险管理在英国的实践2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论4u英国企业风险管理的发展离不开公司治理研究的推动。报告名称报告名称发布日期发布日期卡德伯利报告（Cadbury Report）1992年12月格林伯利报告（Creenbur

4、y Report）1995年7月哈姆佩尔准则（Hampel Code）1998年6月特恩布尔报告（Turnbull Report）1999年9月迈尔斯评论（Myners Review）2001年3月史密斯报告（Smith Report）2003年1月西格斯报告（Higgs Report）2003年1月泰森报告（Tyson Report）2003年6月综合准则（The Combined Code）2003年7月一、卡德伯利报告一、卡德伯利报告(Cadbury Report)2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论5u该报告从财务角度对公司治理进行了

5、深度的该报告从财务角度对公司治理进行了深度的剖析，同时将内部控制置于公司治理的框架剖析，同时将内部控制置于公司治理的框架之下。建议从四个方面改善之下。建议从四个方面改善公司治理公司治理：公司董事会层面：公司董事会层面：重大事项经董事会决议重大事项经董事会决议公司非执行独立董事层面：公司非执行独立董事层面：首次提出首次提出NEDs公司执行董事层面公司执行董事层面: 董事薪酬委员会应由董事薪酬委员会应由NEDs主导主导报告和控制层面：报告和控制层面：董事会必须向公司股东清晰直观董事会必须向公司股东清晰直观地呈报公司的当前经营和历史经营状况、公司的盈地呈报公司的当前经营和历史经营状况、公司的盈利前景

6、利前景一、卡德伯利报告一、卡德伯利报告(Cadbury Report)2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论6u除了公司治理环境，卡德伯利报告更从公司管理层次上提出，健全的内部控制内部控制是公司有效管理的一个重要方面。因此，建议董事们应发表一个声明，对公司内部控制的有效性进行详细描述。同时，外部审计师外部审计师应对这份声明进行复核和报告，并规定在董事会认可声明之前，公司的审计委员会必须对公司的内部控制声明进行复核。u该报告还认为，内部审计内部审计有助于确保内部控制的有效性，内部审计的日常监督是内部控制的整体组成部分，会计师应在以下方面对公司的内

7、部控制起到督导作用：建立用建立用以评估有效性的一整套标准；建立董事会报告形式的具以评估有效性的一整套标准；建立董事会报告形式的具体指南；建立审计师用以相关审计程序和报告格式的具体指南；建立审计师用以相关审计程序和报告格式的具体指南。体指南。u“内外双重审计内外双重审计”制度的创设，最大限度地避免了董事会、董事甚至内部审计人员串通舞弊的可能性。二、格林伯利报告（二、格林伯利报告（Greenbury Report）2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论7n格林伯利董事薪酬研究委员会成立于1995年，重点关注董事薪酬增长速度与水平与公司业绩表现严重脱

8、钩的问题。该委员会的主旨在于建立董事薪酬决策的最佳实践，尤其针对以前所忽视的与公司绩效挂钩的薪酬支付。该委员会提交的董事薪酬最佳指引最终成为1995年上市准则（Listing Rules）的附属文件。格林伯利报告的核心思想有以下几个方面：严禁执行董事自己给自己设定薪酬及其影响要素；在董事薪酬设计软件中引入更严格的条件，着重关注董事业绩激励与公司回报之间的关系；改善对股东的义务。三、哈姆佩尔报告（三、哈姆佩尔报告（Hampel Report）2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论8n哈姆佩尔报告于1998年6月问世并取代了卡德伯利报告和格林伯利报

9、告，成为了在英国伦敦交易所上市必须遵循的上市规则。哈姆佩尔报告将内部控制的目的定位于保护资产的安全、保持哈姆佩尔报告将内部控制的目的定位于保护资产的安全、保持正确的财务会汁记录、保证公司内部使用和向外部提供的财务正确的财务会汁记录、保证公司内部使用和向外部提供的财务信息的可靠性，同时鼓励董事对内部控制的各个方面进行复核信息的可靠性，同时鼓励董事对内部控制的各个方面进行复核，包括确保高效经营、遵守法律法规方面的控制，包括确保高效经营、遵守法律法规方面的控制。哈姆佩尔报告认为，将财务控制与其他控制区分开来是十分困难的，而且也并没有太大的意义。该报告还坚信董事及管理人员对控制的各个方面进行复核具有重

10、要意义，内部控制不应仅局限于公司治理的财务方面内部控制不应仅局限于公司治理的财务方面。从内部控制制度内部控制制度来看，哈姆佩尔报告与卡德伯利报告在诸多方面形成了鲜明对比。四、特恩布尔报告（四、特恩布尔报告（T urnbull Report）2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论9n特恩布尔报告。作为指导企业构建内部控制的指南，该报告的意义在于，它为公司及董事会提供了具体的、颇具操作性的内部控制指引。其主要内容包括：董事会对公司的内部控制负责执行风险控制政策是管理层的职责合理的内部控制要素公司内部控制的控制环境：控制活动；信息和沟通程序；持续性监

11、督程序。特恩布尔报告还描述了健全的内部控制所应具备的基本特征：内部控制根植于公司的经营之中，成为公司文化公司文化的一部分，换言之，它不仅仅是为了取悦监管者而进行的年度例行检查，更是真正意义上的对公司既定战略目标的执行和公司治理的延伸；针对公司所面临的日新月异的风险，内部控制应具有快速反应快速反应的能力；具有对管理中存在的缺陷或失败进行快速报告的能力，并且能及时地采取纠正措施及时地采取纠正措施。五、迈尔斯评论（五、迈尔斯评论（Myners Review）2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论10u针对针对机构投资者（包括养老金计划、保险公司）投资

12、机构投资者（包括养老金计划、保险公司）投资决策过程有效性决策过程有效性进行研究。进行研究。u2001年年3月，鲍尔月，鲍尔.迈尔斯公布了相应的研究。报告中迈尔斯公布了相应的研究。报告中除了指明当时英国机构投资者在投资决策过程中显著除了指明当时英国机构投资者在投资决策过程中显著缺失有效性和灵活性外，还对投资决策有效步骤提出缺失有效性和灵活性外，还对投资决策有效步骤提出了基本的原则，对机构投资者的投资控制有着指导意了基本的原则，对机构投资者的投资控制有着指导意义。义。六、史密斯报告（Smith Report）2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论1

13、1u2003年年1月发布的史密斯报告为上市公司提供了月发布的史密斯报告为上市公司提供了董事董事会如何安排审计委员会以及审计委员会中的董事如会如何安排审计委员会以及审计委员会中的董事如何履行职责的指引何履行职责的指引u该报告提供的指引包含以下内容：该报告提供的指引包含以下内容：审计委员会的组成与角色，人选程序和来源；审计委员会的组成与角色，人选程序和来源；与董事会的关系；与董事会的关系；角色与职能；角色与职能；与股东的沟通与股东的沟通七、西格斯报告（Higgs Report）2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论12u2002年年4月，英国财政部

14、和贸易中心为了提高英国各月，英国财政部和贸易中心为了提高英国各行业的生产效率，发起了对公众上市公司非执行董行业的生产效率，发起了对公众上市公司非执行董事有效性的调研，事有效性的调研，对非执行董事的角色和效率提高对非执行董事的角色和效率提高进行彻底澄清进行彻底澄清u就独立非执行董事在独立性、雇佣、任命、就职、任期、薪就独立非执行董事在独立性、雇佣、任命、就职、任期、薪酬、辞职、审计委员会、职责和投资者关系各个方面提出了酬、辞职、审计委员会、职责和投资者关系各个方面提出了长达长达6页纸的改进建议。页纸的改进建议。八、泰森报告（Tyson Report）2021年年11月月21日星期日日星期日企业风

15、险管理企业风险管理 第一章第一章 绪论绪论13u泰森报告共有泰森报告共有12章，涵盖独立非执行董事的属性、章，涵盖独立非执行董事的属性、成员来源、当前状况、独立非执行董事成员多样性成员来源、当前状况、独立非执行董事成员多样性的优势、董事会构成的约束条件、未来的培训事宜的优势、董事会构成的约束条件、未来的培训事宜等。主要特点如下：等。主要特点如下：基于对公司的特殊需要和所面临的挑战进行详细评估而作出基于对公司的特殊需要和所面临的挑战进行详细评估而作出的对每一个独立非执行董事的任命过程；的对每一个独立非执行董事的任命过程；适用范围扩大，包括公众上市公司、专业服务公司、非上市适用范围扩大，包括公众上

16、市公司、专业服务公司、非上市公司、私人股权公司、非商业部门以及外资企业中的商业和公司、私人股权公司、非商业部门以及外资企业中的商业和非商业部门；非商业部门；为董事会成员提供正式的培训和评估；为董事会成员提供正式的培训和评估；形成新的组织，对董事会的构成提供常规的、可靠的评估。形成新的组织，对董事会的构成提供常规的、可靠的评估。九、公司治理联合条例2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论14u2003年的公司治理联合条例取代了年的公司治理联合条例取代了1998年由哈姆贝尔委员会年由哈姆贝尔委员会发布的条例。发布的条例。u2003年的联合条例在原来条

17、例的基础上，新增了西年的联合条例在原来条例的基础上，新增了西格斯报告格斯报告关于独立非执行董事关于独立非执行董事和和史密斯报告关于审计委员会的内容史密斯报告关于审计委员会的内容。英国金融服务当局（英国金融服务当局（FSA）决定将新联合条例加入到上市准）决定将新联合条例加入到上市准则中，在则中，在2003年年11月及以后的上市公司报告中实行。月及以后的上市公司报告中实行。u上市公司披露报告将有两部分内容涉及到上市准则的修订：上市公司披露报告将有两部分内容涉及到上市准则的修订：在报告的第一部分将要求陈述公司治理政策，第二部分将要在报告的第一部分将要求陈述公司治理政策，第二部分将要求说明在哪些方面遵

18、守了联合条例的条款，而在哪些方面没求说明在哪些方面遵守了联合条例的条款，而在哪些方面没有遵守，不遵守的理由是什么。在实际操作中准则仍然采用有遵守，不遵守的理由是什么。在实际操作中准则仍然采用沿用了沿用了10年之久的年之久的“遵守或解释遵守或解释”的方法。的方法。u联合条例分为联合条例分为5个部分，分别是个部分，分别是董事、薪酬、问责制度与审董事、薪酬、问责制度与审计、股东关系以及机构股东。计、股东关系以及机构股东。英国企业风险管理实践总结英国企业风险管理实践总结u总之，英国企业内部控制的发展离不开公司治理的推动，总之，英国企业内部控制的发展离不开公司治理的推动，内内部控制和内部审计研究均置于公

19、司治理的框架之内部控制和内部审计研究均置于公司治理的框架之内，重视从，重视从公司治理的角度来巩固内部控制制度的效果，把内部控制看公司治理的角度来巩固内部控制制度的效果，把内部控制看作公司治理在企业日常运用中的有效延伸，这是英国公司治作公司治理在企业日常运用中的有效延伸，这是英国公司治理和内部控制体系发展带给我们最大的启发，也是当前企业理和内部控制体系发展带给我们最大的启发，也是当前企业风险管理体系的核心，并风险管理体系的核心，并催生了当前的公司治理的问责制和催生了当前的公司治理的问责制和最佳实践的基本原则最佳实践的基本原则。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一

20、章第一章 绪论绪论15英国企业风险管理实践总结英国企业风险管理实践总结u公司治理的目的是建立一种问责性制度公司治理的目的是建立一种问责性制度(Accountability) ,以以使公司的董事会和管理人员切实承担其责任，有效地运用他使公司的董事会和管理人员切实承担其责任，有效地运用他们受托管理的资金，为投资者（股东）谋取利益。健康的公们受托管理的资金，为投资者（股东）谋取利益。健康的公司治理要求董事会内设置足够多的外部独立董事（甚至过半司治理要求董事会内设置足够多的外部独立董事（甚至过半），而不是让负责经营管理公司的内部人员控制董事会。），而不是让负责经营管理公司的内部人员控制董事会。u董事会

21、任命的某些附属委员会应该完全由外部独立董事组成董事会任命的某些附属委员会应该完全由外部独立董事组成，以便保障健康的公司治理实践。对审计委员会而言，这一，以便保障健康的公司治理实践。对审计委员会而言，这一点尤为重要。点尤为重要。u独立董事的重要作用越来越多地在公司治理准则和金融机构独立董事的重要作用越来越多地在公司治理准则和金融机构管理法规中得到反映和体现。管理法规中得到反映和体现。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论16第二节第二节 企业风险管理在美国的实践企业风险管理在美国的实践u美国作为当前全球对风险管理控制最为严厉的国家，其风险美国作为

22、当前全球对风险管理控制最为严厉的国家，其风险管理的发展经历了管理的发展经历了内部牵制内部牵制、内部控制制度内部控制制度、内部控制结构内部控制结构、内部控制整体框架与整体内部控制内部控制整体框架与整体内部控制和和企业全面风险管理企业全面风险管理5个不同阶段。个不同阶段。uCOSO委员会（发起组织委员会）官网：委员会（发起组织委员会）官网：/2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论17一、美国的风险管理发展历程一、美国的风险管理发展历程2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章

23、绪论绪论18-实物牵制-薄记牵制法律责任法律责任,广义内控广义内控COSO内部控制内部控制整合框架整合框架萨班斯法萨班斯法案案内控评价内控评价内部审计内部审计进展进展40年代年代前前40-70年年代代80-90年代年代90年代后年代后2002年后年后内部牵制内部牵制内部控制内部控制结构完善结构完善-控制环境-会计系统-控制程序-控制环境-风险评估-控制活动-信息沟通-监督-建立内控-数据准确一致-内控可靠性 COSO企业风险管理企业风险管理整合框架整合框架-内部环境-目标设置-事件辨识-风险评估-风险反应-控制活动-信息与沟通-监控二、COSO内部控制整合框架2021年年11月月21日星期日日

24、星期日企业风险管理企业风险管理 第一章第一章 绪论绪论19（一）内部控制定义u由一个实体的董事会、管理层与其他人员所实施的一个流程由一个实体的董事会、管理层与其他人员所实施的一个流程，用于提供实现以下几方面目标的合理保证：第一，财务报，用于提供实现以下几方面目标的合理保证：第一，财务报告的可靠性；第二，运营的有效性与效率；第三，符合相关告的可靠性；第二，运营的有效性与效率；第三，符合相关法律法规法律法规uCOSO的三维整合框架为管理层提供了评估内部控制所需的的三维整合框架为管理层提供了评估内部控制所需的标准：标准：内部控制的设计旨在合理保证实现公司以下内部控制的设计旨在合理保证实现公司以下目标

25、目标：运营的有运营的有效性与效率（包括资产保护）、财务报告的可靠性以及符合效性与效率（包括资产保护）、财务报告的可靠性以及符合相关的法律法规相关的法律法规。内部控制制度在公司内部贯穿的范围：部门单位层（内部控制制度在公司内部贯穿的范围：部门单位层（Entity Level )与行动层（与行动层（Activities Level，或称流程层）。公司必须，或称流程层）。公司必须在这两个层次上对其内部控制进行评估：部门单位层、行动在这两个层次上对其内部控制进行评估：部门单位层、行动层或流程层。层或流程层。内部控制制度的五大要素内部控制制度的五大要素2021年年11月月21日星期日日星期日企业风险管理

26、企业风险管理 第一章第一章 绪论绪论20u【例】下列选项中属于COSO委员会内部控制基本目标的是（）。A.资产安全B.运营的效益和效率C.财务报告的可靠性D.遵守适用的法律法规u正确答案BCD答案解析COSO委员会对内部控制的定义是“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规。” 2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第二章第二章 企业风险管理在各国的实践企业风险管理在各国的实践21（二）内部控制五大要素u控制环境控制环境控制环境决定了一个组织的基调，影响成员对于控控制环境决定了一个组

27、织的基调，影响成员对于控制的意识。它是内部控制所有其他部分的基础，提供纲领和结制的意识。它是内部控制所有其他部分的基础，提供纲领和结构。控制环境因素构。控制环境因素包括：诚信、道德价值观和企业员工的竞争包括：诚信、道德价值观和企业员工的竞争力；管理哲学和经营风格；管理层如何进行授权和职责分配，力；管理哲学和经营风格；管理层如何进行授权和职责分配，如何组织和发展它的员工；董事会提供的关注和指导；如何组织和发展它的员工；董事会提供的关注和指导；u风险评估风险评估每个公司都面临着内外部风险，这些风险必须被评每个公司都面临着内外部风险，这些风险必须被评估。风险评估的前提是建立不同层次但具有内部一致性的

28、目标估。风险评估的前提是建立不同层次但具有内部一致性的目标。风险评估是发现和分析对达到目标有影响的风险的过程，是。风险评估是发现和分析对达到目标有影响的风险的过程，是确定如何管理和控制风险的基础。确定如何管理和控制风险的基础。u控制活动控制活动控制活动是确保管理层指令得到执行的公司政策和控制活动是确保管理层指令得到执行的公司政策和流程。它确保企业针对相关的风险采取了必要的措施，以实现流程。它确保企业针对相关的风险采取了必要的措施，以实现企业的目标。控制活动存在于整个组织的所有层次和所有职能企业的目标。控制活动存在于整个组织的所有层次和所有职能部门中。控制活动包括一系列不同的活动，例如部门中。控

29、制活动包括一系列不同的活动，例如对经营活动的对经营活动的审批、授权、确认、核对、审核，对资产的保护，职权分离审批、授权、确认、核对、审核，对资产的保护，职权分离等等2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论22（二）内部控制五大要素u信息与沟通信息与沟通相关的信息必须以某种形式并在某个时段相关的信息必须以某种形式并在某个时段被识别、获得和沟通，以促使职责的履行。信息系统生成报被识别、获得和沟通，以促使职责的履行。信息系统生成报告，内容包括经营、财务和合规性方面的信息，以使得管理告，内容包括经营、财务和合规性方面的信息，以使得管理层能够运作和控制业务

30、活动。有效的沟通应当基于更为广泛层能够运作和控制业务活动。有效的沟通应当基于更为广泛的理解，自上而下、自下而上地贯穿整个组织。的理解，自上而下、自下而上地贯穿整个组织。u监控监控内部控制系统需要监督内部控制系统需要监督一套随时评价内部控制系一套随时评价内部控制系统运行状况的流程。通过持续的监督活动、单独的评价或者统运行状况的流程。通过持续的监督活动、单独的评价或者两者的结合来完成这种控制。两者的结合来完成这种控制。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论23u【例】在COSO 内部控制框架中，作为其它要素的基础的是（）。A.控制环境 B.风险评估

31、 C.控制活动 D.监察正确答案Au【例】某大型银行规定，顾客贷款经理在批准贷款前，必须复核其下级提交的顾客分析报告及相关文件，并签字授权，然后才能为贷款者发放贷款。根据以上信息可以判断，该银行的这种控制活动属于（）。A.授权和批准B.人员控制C.监督及管理控制D.计算和会计u正确答案A2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第二章第二章 企业风险管理在各国的实践企业风险管理在各国的实践24（三）（三）COSO报告中对公司人员在内报告中对公司人员在内部控制中的阐述部控制中的阐述u管理层：管理层：公司首席执行官（公司首席执行官（CEO）对内部控制负有全面的责任，）对内部

32、控制负有全面的责任，可以看作是内部控制系统的可以看作是内部控制系统的“责任人责任人”。依次的，高级管理人员。依次的，高级管理人员向负责企业运营的员工分配建立更为具体的内部控制政策和程序向负责企业运营的员工分配建立更为具体的内部控制政策和程序的责任。的责任。u董事会：董事会：管理层对董事会负责，董事会管理层对董事会负责，董事会实施治理、指导和监督实施治理、指导和监督。u内部审计师：内部审计师：内部审计师在内部审计师在评价内部控制有效性评价内部控制有效性方面起着重要的方面起着重要的作用，对作用，对维持有效性维持有效性也有所贡献。内部审计职能部门因为其在企也有所贡献。内部审计职能部门因为其在企业中的

33、地位和权利，起着重要的监督作用。业中的地位和权利，起着重要的监督作用。u内部其他人员：内部其他人员：内部控制从某种程度上是组织中每个人的责任，内部控制从某种程度上是组织中每个人的责任，因此应当作为每个人工作范围的明确或非明确的一部分。因此应当作为每个人工作范围的明确或非明确的一部分。u外部人员。外部人员。公司的外部人员也有助于控制目标的实现。公司的外部人员也有助于控制目标的实现。如外部审如外部审计、法律顾问、监管部门、客户、其他往来单位、财务分析师、计、法律顾问、监管部门、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等信用评级公司、新闻媒体等2021年年11月月21日星期日日星期日企

34、业风险管理企业风险管理 第一章第一章 绪论绪论25三、萨班斯一奥克斯利法案三、萨班斯一奥克斯利法案u萨班斯法案的萨班斯法案的关键点就是建立起公司财务报告的可关键点就是建立起公司财务报告的可靠性。靠性。u萨班斯法案共计萨班斯法案共计11章，分别为公众公司审计委员会章，分别为公众公司审计委员会、审计师的独立性、公司的责任、强化财务资讯披、审计师的独立性、公司的责任、强化财务资讯披露、利益冲突的分析、委员会的组成及其权利、研露、利益冲突的分析、委员会的组成及其权利、研究及报告、公司欺诈及其刑事责任、强化白领刑事究及报告、公司欺诈及其刑事责任、强化白领刑事责任、公司纳税申报表和公司欺诈责任。责任、公司

35、纳税申报表和公司欺诈责任。11章下又章下又分为分为66节，其中最重要的节，其中最重要的302节和节和404节节第第302节节 公司对财务报告的责任公司对财务报告的责任第第404节节 管理层对内部控制的评价管理层对内部控制的评价2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论26萨班斯法案中的萨班斯法案中的302与与404条款条款2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第二章第二章 企业风险管理在各国的实践企业风险管理在各国的实践27302条款 定期公开报告的附加CEO/CFO承诺书与披露已审阅了上报的该定期报告；该报告无失实陈述

36、、或漏报重大事实、或误导情况；该报告公允地反映了公司的财务状况；设立并维持了足够的披露内控体系；财务报告内控体系披露内控体系已于该报告中评价内控体系的有效性；对财务报告内控体系的重要变化说明；已对审计师披露财务报告内控体系的重大缺陷和不足，以及对财务报告内控有重大影响的雇员欺诈行为。404条款- 年度财务报告内部控制的公司管理层报告书设立并维持了足够的财务报告内控体系；财务报告内控体系有效性的评价；为评价财务报告内控体系而采用的评价体系的说明。Sarbanes-Oxley Act of 2002萨班斯一奥克斯利法案的精髓u（1）禁止向本公司董事或高管人员提供私人贷款；在养老）禁止向本公司董事或

37、高管人员提供私人贷款；在养老金计划管制期内，公司的董事和高层管理人员不能直接或间金计划管制期内，公司的董事和高层管理人员不能直接或间接交易或持有该公司股票或从中获益的其他行为；对于有违接交易或持有该公司股票或从中获益的其他行为；对于有违反证券法规情节的有关人士，美国证监会可以禁止他们担任反证券法规情节的有关人士，美国证监会可以禁止他们担任公司的管理人员或者董事等。公司的管理人员或者董事等。u（2）上市公司所有定期报告（包括公司依照）上市公司所有定期报告（包括公司依照1934年证券交年证券交易法规定编制的会计报表）应附有公司首席执行官与首席财易法规定编制的会计报表）应附有公司首席执行官与首席财务

38、官签署的务官签署的承诺函承诺函；承诺函中的内容包括：确保本公司定期；承诺函中的内容包括：确保本公司定期报告所含会计报表及信息披露的适当性，并且保证此会计报报告所含会计报表及信息披露的适当性，并且保证此会计报表及信息披露在所有重大方面都公正地反映了公司的经营成表及信息披露在所有重大方面都公正地反映了公司的经营成果及财务状况。果及财务状况。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论28萨班斯一奥克斯利法案的精髓u（3）在公司定期报告中若发现因实质性违反监管法规而被）在公司定期报告中若发现因实质性违反监管法规而被要求重编会计报表时，公司的要求重编会计报表

39、时，公司的CEO/CFO应当返还给公司应当返还给公司12个月内从公司收到的所有奖金、红利、其他形式的激励性报个月内从公司收到的所有奖金、红利、其他形式的激励性报酬以及买卖本公司股票所得收益；如果公司酬以及买卖本公司股票所得收益；如果公司CEO/CFO事先事先知道违规事项，但仍提交承诺函，最多可以判处知道违规事项，但仍提交承诺函，最多可以判处10年监禁，年监禁，以及以及100万美元的罚款；对于故意做出虚假承诺的，最多可万美元的罚款；对于故意做出虚假承诺的，最多可以被监禁以被监禁20年并判处年并判处500万美元的罚款，万美元的罚款，20年监禁的重刑年监禁的重刑这和美国持枪抢劫的最高刑罚相同。这和美

40、国持枪抢劫的最高刑罚相同。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论29萨班斯一奥克斯利法案的精髓u（4）提高财务报告披露的及时性提高财务报告披露的及时性。将年度报告期由。将年度报告期由90天缩短为天缩短为60天；季度报告由天；季度报告由45天缩短为天缩短为35天。年天。年报及季报都需要注册会计师的审计；强化上市公司报及季报都需要注册会计师的审计；强化上市公司内控及报告制度，要求公司年度报告中提供内控及报告制度，要求公司年度报告中提供“内部内部控制报告控制报告”，说明公司内部控制制度及其实施的有，说明公司内部控制制度及其实施的有效性，效性，“内部控

41、制报告内部控制报告”要出具注册会计师的意见要出具注册会计师的意见；提高对公司信息披露可用性的要求，包括定期报；提高对公司信息披露可用性的要求，包括定期报告中披露所有的资产负债表外交易、财务状况的预告中披露所有的资产负债表外交易、财务状况的预测性信息、高层财务人员的道德守则、所有由注册测性信息、高层财务人员的道德守则、所有由注册会计师出具的实质性的纠正调整、临时报告中公司会计师出具的实质性的纠正调整、临时报告中公司财务状况或财务经营状况的实质性变化等。财务状况或财务经营状况的实质性变化等。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论30萨班斯一奥克斯利

42、法案的精髓u（5）公司的审计委员会必须完全由公司的审计委员会必须完全由“独立董事独立董事”组组成成n独立董事不得是公司或者其子公司的关联人士，其中至少独立董事不得是公司或者其子公司的关联人士，其中至少一人应是财务专家；一人应是财务专家；n独立董事不得从公司接受任何咨询费、顾问费或者其他酬独立董事不得从公司接受任何咨询费、顾问费或者其他酬金；金；n公司聘用会计师事务所及报酬方式要由审计委员会批准，公司聘用会计师事务所及报酬方式要由审计委员会批准，并接受审计委员会的监督；并接受审计委员会的监督；n会计师事务所在审计过程中遇到的重大事项必须及时报告会计师事务所在审计过程中遇到的重大事项必须及时报告审

43、计委员会；审计委员会；n为保证审计委员会能够及时发现公司的会计和审计问题，为保证审计委员会能够及时发现公司的会计和审计问题，还需要建立一套处理举报或投诉的工作程序以及相应的监还需要建立一套处理举报或投诉的工作程序以及相应的监测系统、反应机制。测系统、反应机制。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论31萨班斯一奥克斯利法案的精髓u（6）禁止会计师事务所在进行审计业务的同时提供非审计）禁止会计师事务所在进行审计业务的同时提供非审计业务；强制实行注册会计师定期轮换制。业务；强制实行注册会计师定期轮换制。u（7）要求美国证券交易委员会制定相关的规定和细

44、则，以要求美国证券交易委员会制定相关的规定和细则，以避免证券分析师在其研究报告或公开场合向投资者推荐股票避免证券分析师在其研究报告或公开场合向投资者推荐股票时时“见利忘义见利忘义”，以提高研究报告的客观性，以提高研究报告的客观性，向投资者提供向投资者提供更为有用和可靠的信息；规定一定期限内担任或即将担任公更为有用和可靠的信息；规定一定期限内担任或即将担任公开发行股票承销商或坐市商开发行股票承销商或坐市商 (Dealers)的经纪人和交易商的经纪人和交易商不得公开发布关于该股票或发行人的研究报告；在执业的经不得公开发布关于该股票或发行人的研究报告；在执业的经纪人和交易商内部建立制度架构体系，将证

45、券分析师划分为纪人和交易商内部建立制度架构体系，将证券分析师划分为复核、强制复核、强制(Pressure)、监察等不同的工作部门，以避免参、监察等不同的工作部门，以避免参与投资银行业务的人员存有潜在的偏见；要求证券分析师、与投资银行业务的人员存有潜在的偏见；要求证券分析师、经纪人和交易商在研究报告公布的同时，披露已知的和应当经纪人和交易商在研究报告公布的同时，披露已知的和应当知晓的利益冲突事项。知晓的利益冲突事项。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论32萨班斯一奥克斯利法案的精髓u（8）任何人通过信息欺诈或价格操纵在证券市场获取利益）任何人通

46、过信息欺诈或价格操纵在证券市场获取利益，最多可监禁，最多可监禁25年或处以罚款；对违法的注册会计师可被判年或处以罚款；对违法的注册会计师可被判处处10年以下监禁或罚款；延长了对证券欺诈的追诉期，起诉年以下监禁或罚款；延长了对证券欺诈的追诉期，起诉时间可以延长至非法行为发现的时间可以延长至非法行为发现的2年内，或者非法行为实施年内，或者非法行为实施后的后的5年内；新的规定将保护公司检举揭发的员工，对举报年内；新的规定将保护公司检举揭发的员工，对举报者进行打击报复的，最高可判处者进行打击报复的，最高可判处10年监禁，还规定了对举报年监禁，还规定了对举报者的具体的补偿措施，比如恢复职务、补发报酬及其

47、他损失者的具体的补偿措施，比如恢复职务、补发报酬及其他损失等。等。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论33萨班斯一奥克斯利法案实施的短板和误区u考问之一：正确地做事还是做正确的事。考问之一：正确地做事还是做正确的事。u考问之二；纸面工作还是风险导向。考问之二；纸面工作还是风险导向。u考问之三：独立会计师对公司经营风险的把握和胜考问之三：独立会计师对公司经营风险的把握和胜任能力。任能力。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第一章第一章 绪论绪论34四、四、COSO企业风险管理企业风险管理整合框架整合框架u（一）产生

48、背景（一）产生背景 进人进人21世纪以来风险管理课题的日益凸显，要求一个内涵更世纪以来风险管理课题的日益凸显，要求一个内涵更为丰富的理论框架以有效地识别、评估与管理风险。在广泛为丰富的理论框架以有效地识别、评估与管理风险。在广泛吸收各国理论界（例如：英国的吸收各国理论界（例如：英国的Turnbull报告，加拿大的报告，加拿大的COCO）和实务界（例如：银行业的）和实务界（例如：银行业的Base ）等研究结果的）等研究结果的基础之上，并且经过充分的意见征求与讨论之后，基础之上，并且经过充分的意见征求与讨论之后，COSO将将其理论体系进行了进一步的丰富与提升，并于其理论体系进行了进一步的丰富与提升

49、，并于2004年年9月在月在内部控制内部控制整合框架整合框架理论的基础之上推出了理论的基础之上推出了企业风险企业风险管理一整合框架管理一整合框架)(Enterprise Risk Management，ERM框架框架)。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第二章第二章 企业风险管理在各国的实践企业风险管理在各国的实践35（二） 主要内容u根据根据COSO的的企业风险管理企业风险管理整合框架整合框架，企业风险管理，企业风险管理应包括应包括八个八个相互关联的构成要素。它们是：内部环境、相互关联的构成要素。它们是：内部环境、目标目标设置、事件辨识、设置、事件辨识、风险评

50、估、风险评估、风险反应（对策）风险反应（对策）、控制活动、控制活动、信息和沟通、监控。、信息和沟通、监控。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第二章第二章 企业风险管理在各国的实践企业风险管理在各国的实践361内部环境u内部环境是企业风险管理所有其它构成要素的基础，为其他内部环境是企业风险管理所有其它构成要素的基础，为其他要素提供约束和结构。它影响战略和目标如何制订，经营活要素提供约束和结构。它影响战略和目标如何制订，经营活动如何组织以及如何识别、评估风险并采取行动。它还影响动如何组织以及如何识别、评估风险并采取行动。它还影响着控制活动、信息与沟通体系和监控措施的

51、设计与运行。着控制活动、信息与沟通体系和监控措施的设计与运行。u内部环境包含很多要素，关键要素有内部环境包含很多要素，关键要素有风险管理哲学、风险偏风险管理哲学、风险偏好、风险文化、董事会、操守与道德价值观、能力、管理哲好、风险文化、董事会、操守与道德价值观、能力、管理哲学和经营风险、组织架构、权责划分以及人力资源标准。学和经营风险、组织架构、权责划分以及人力资源标准。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第二章第二章 企业风险管理在各国的实践企业风险管理在各国的实践371内部环境u（1）风险管理哲学风险管理哲学：企业的风险管理哲学指的是企业从战：企业的风险管理哲学

52、指的是企业从战略制定到日常经营过程中对待风险的一系列信念与态度，它略制定到日常经营过程中对待风险的一系列信念与态度，它反映了企业的价值观，影响着企业的文化和经营风格，也影反映了企业的价值观，影响着企业的文化和经营风格，也影响到企业风险管理要素的应用，如风险如何确认、评估或管响到企业风险管理要素的应用，如风险如何确认、评估或管理。理。u（2）风险偏好风险偏好：风险偏好是指企业为追求某个目标或价值：风险偏好是指企业为追求某个目标或价值可以接受的风险程度。可以接受的风险程度。u（3）风险文化风险文化：风险文化是指企业内部知识共享的态度和：风险文化是指企业内部知识共享的态度和对风险的价值观，它贯穿于企

53、业风险评估的日常操作中。对风险的价值观，它贯穿于企业风险评估的日常操作中。u（4）董事会董事会：董事会是内部环境的重要组成部分，而且对：董事会是内部环境的重要组成部分，而且对其他的内部环境因素有重要影响。其他的内部环境因素有重要影响。u（5）操守和道德价值观操守和道德价值观：管理层操守和道德价值观会改变：管理层操守和道德价值观会改变风险偏好和价值判断，并进一步影响行为准则及战略目标的风险偏好和价值判断，并进一步影响行为准则及战略目标的实现。实现。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第二章第二章 企业风险管理在各国的实践企业风险管理在各国的实践381内部环境u（6）

54、员工能力员工能力：员工能力指员工执行所分配的工作所需要：员工能力指员工执行所分配的工作所需要的知识和技术。的知识和技术。u（7）管理哲学和经营风格管理哲学和经营风格：管理哲学与运营风格影响企业：管理哲学与运营风格影响企业的管理方式，包括可以接受的风险种类。的管理方式，包括可以接受的风险种类。u（8）组织架构组织架构：企业的组织结构指为企业活动提供计划、：企业的组织结构指为企业活动提供计划、执行、控制和监督职能的整体框架。执行、控制和监督职能的整体框架。u（9）授权与责任授权与责任：权责分配包括对个人或团体的授权程度：权责分配包括对个人或团体的授权程度，对创造性地处理、解决问题的鼓励，以及所授权

55、限的范围，对创造性地处理、解决问题的鼓励，以及所授权限的范围。授权应该授到被授权人能够完成目标的程度。授权应该授到被授权人能够完成目标的程度。u（10）人力资源准则：人力资源准则：内部控制是由人来进行设计并实施的内部控制是由人来进行设计并实施的，保证组织内所有成员具有一定水准的诚信、道德观和能力，保证组织内所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践，是内部控制有效的关键因素之一。的人力资源方针与实践，是内部控制有效的关键因素之一。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第二章第二章 企业风险管理在各国的实践企业风险管理在各国的实践392目标设置u目标

56、设置是风险事件辨识、风险评估和设定风险对目标设置是风险事件辨识、风险评估和设定风险对策的基础。策的基础。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第二章第二章 企业风险管理在各国的实践企业风险管理在各国的实践40战略目标战略目标相关目标相关目标选定的目标选定的目标包包括括经营目标经营目标报告目标报告目标合规目标合规目标风险偏好风险偏好风险容忍度风险容忍度符符合合目标重合目标重合3. 事件辨识u事件是指影响企业目标实现的内部和外部事件。事件的发生事件是指影响企业目标实现的内部和外部事件。事件的发生对企业可能有正面或负面的影响。识别这些事件，区分风险对企业可能有正面或负面的

57、影响。识别这些事件，区分风险和机会，并将机会反馈到管理层的战略或目标制订过程中。和机会，并将机会反馈到管理层的战略或目标制订过程中。u企业对事件识别时可以有多种方法进行选择企业对事件识别时可以有多种方法进行选择u事件之间具有相关性事件之间具有相关性2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第二章第二章 企业风险管理在各国的实践企业风险管理在各国的实践414.风险评估u企业对于辨识出的事件进行评估，通过考虑事件带来风险的企业对于辨识出的事件进行评估，通过考虑事件带来风险的可能性和影响来对其加以分析，并以此作为决定如何进行管可能性和影响来对其加以分析，并以此作为决定如何进行

58、管理的依据。风险评估应立足于理的依据。风险评估应立足于固有风险固有风险和和剩余风险剩余风险。u固有风险固有风险指企业经营运作中必定存在的风险，企业的风险控指企业经营运作中必定存在的风险，企业的风险控制活动会影响此类风险发生的可能性及其影响。制活动会影响此类风险发生的可能性及其影响。u剩余风险剩余风险是在管理当局的风险应对之后所残余的风险。是在管理当局的风险应对之后所残余的风险。u风险评估可以采取定量或定性的方法进行。风险评估可以采取定量或定性的方法进行。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第二章第二章 企业风险管理在各国的实践企业风险管理在各国的实践425风险反应

59、u对相关风险评估后，管理层应当采取相应的对相关风险评估后，管理层应当采取相应的应对策略。管理层可以选择的风险对策有应对策略。管理层可以选择的风险对策有风风险回避险回避、风险承担风险承担、风险降低风险降低或者或者风险对冲风险对冲（风险分担）。采取一系列风险应对行动以（风险分担）。采取一系列风险应对行动以便把风险控制在企业的风险容忍度以内。便把风险控制在企业的风险容忍度以内。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第二章第二章 企业风险管理在各国的实践企业风险管理在各国的实践436控制活动u控制活动控制活动是指制订和执行政策与程序以帮助是指制订和执行政策与程序以帮助确保风

60、险应对措施得以有效实施。确保风险应对措施得以有效实施。u控制活动类型多样，包括预防性控制和发现控制活动类型多样，包括预防性控制和发现性控制，或者手工控制、计算机控制和管理性控制，或者手工控制、计算机控制和管理控制等。控制等。2021年年11月月21日星期日日星期日企业风险管理企业风险管理 第二章第二章 企业风险管理在各国的实践企业风险管理在各国的实践447信息与沟通u信息包括业务信息和财务信息。信息可以是信息包括业务信息和财务信息。信息可以是正式的或非正式的。相关的信息有助于管理正式的或非正式的。相关的信息有助于管理层把握风险和机会，可以确保员工履行其职层把握风险和机会，可以确保员工履行其职责