風險管理體系論文范文

前言：我們精心挑選了數篇優質風險管理體系論文文章，供您閱讀參考。期待這些文章能為您帶來啟發，助您在寫作的道路上更上一層樓。

第1篇

關鍵詞：內部審計;風險管理

每個組織的存在都有其目標，在實現目標的過程中，存在著影響目標實現的不確定性因素。企業管理層的一項重要職責就是要建立一個良好的風險管理體系，來識別、評價和控制風險，為企業目標的實現提供合理的保證。內部審計在風險管理中的作用就是監控、檢查、評估、報告管理層風險管理過程的充分性和有效性，提出改進意見，幫助企業改進風險管理與控制體系，從而為企業增加價值。

1企業風險管理體系簡介

企業風險管理（EnterpriseRiskManagement，簡寫為ERM）的實質是企業有效利用各種資源，以戰略的方式管理風險，使企業在多變的環境下以穩健的方式運作，從而獲得增加價值的機會。在全球競爭激烈的市場中，任何企業都處于動蕩多變的環境之中。企業面臨的風險越來越多，風險引發的損失規模也越來越大，這些都促使企業對風險管理給予高度的關注。要對風險管理過程的充分性和有效性進行評價，首先要對風險管理體系有一個初步的了解。根據美國COSO委員會《企業風險管理框架》的要求，建立風險管理體系包括相互關聯的八個風險管理要素，各要素貫穿在企業管理過程中，為實現企業目標提供保證。

（1）內控環境。主要是在企業中樹立風險管理理念，營造一種風險管理文化，包括建立企業的風險文化，制定明晰的戰略、目標，明確企業的風險責任人和利益相關者，使用統一的風險語言，為其他風險管理要素打下基礎。

（2）目標制定。管理者必須首先確定企業的目標，才能夠確定對目標的實現有潛在影響的事項。根據企業確定的任務或預期，管理者制定企業的戰略目標，選擇戰略并確定其他與之相關的目標并在企業內層層分解和落實。

（3）事項識別。下列事情可能給組織帶來風險：因使用不正確、不及時、不完整、不可靠的資料而導致決策錯誤；記錄有錯誤、會計核算資料不真實、不完整；資產保護不當；顧客不滿意，組織信譽受損；執行組織決策、計劃、程序不力，或有違法違規行為；不經濟地獲取或無效地利用資源；沒有完成組織的任務和目標。需要企業的管理者對其進行識別、評估和反應。

（4）風險評估。評估風險是ERM執行中關鍵的步驟之一。在評估風險的過程中要注意選擇合適的評估技術，評估風險事件發生的可能性和頻繁度，風險事件的潛在影響及其成本的高低，最后繪制一張風險地圖。評估風險事件的方法有很多，如定量方法、定性方法，企業可以根據自身的具體情況來制定自己的評估方法。

（5）風險反應。風險反應可以分為規避風險、減少風險、共擔風險和接受風險四類。對于每一個重要的風險，企

業都應考慮所有的風險反應方案。有效的風險管理要求管理者選擇可以使企業風險發生的可能性和影響都在風險容忍度之內的風險反應方案。

（6）控制活動?？刂拼胧┚褪窃诮邮茱L險的情況下，評估因接受風險所帶來的額外費用和保險費用，評估因控制帶來的管理成本和回報。在降低風險的情況下，明確所需的控制活動，評估這些控制活動所帶來的成本費用。控制活動還包括評估目前組織、程序、系統和反饋系統管理風險的能力。最后通過控制行為，調險地圖。風險發生的可能性和頻率是很難改變的，最有效的就是通過對風險管理成本的控制，將風險盡量降低到企業可承受范圍以內。

（7）信息和溝通。信息系統應當有效地追蹤企業當前正在發生的事件以及已經避免的事件。同時企業還要保證有及時的關于企業各個層面的ERM報告。在風險活動中發生的成本費用和控制活動。其次要溝通ERM的有效性和成本費用。保證在企業中有定期的ERM報告，尤其是包括員工的責任義務完成狀況以及對ERM的檢查情況，CRO和其他重要的執行官要對ERM的有效性和成本加以測量和存檔，同時明確向董事會和執行官報告的責任和途徑。

（8）監控。對企業風險管理的監控是指評估風險管理要素的內容和運行以及執行質量的一個過程。企業可以通過持續監控和個別評估兩種方式，來保證企業的風險管理在企業內務管理層面和各部門持續得到執行。風險不是靜態的，風險的數量和可能性會隨內外部環境的變化而變化，持續的監控對有效地管理風險是最基本的。通過持續的監控可以使企業明確在下一步的風險管理中應當改進的問題。通過這個環節可以明確ERM可以給企業帶來的利益與價值，了解風險評估的正確性，為下一次的評估提供經驗教訓，明確風險回應決策的有效性，同時還有助于控制成本費用。

從以上八個風險管理要素可以看出，企業風險管理是一個過程。是一個由企業的董事會、管理層和其他員工共同參與的，應用于企業戰略制定和企業內部各個層次和部門的，用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的，為企業目標的實現提供合理保證的過程。轉貼

2內部審計在風險管理中的作用

根據《內部審計實務標準》對內部審計的定義：內部審計是一種獨立、客觀的保證與咨詢活動，目的是為機構增加價值并提高機構的運作效率。它采用系統化規范化的方法來對風險管理、控制及治理程序進行評估和改善，從而幫助機構實現其目標。所以在風險管理中，內部審計可以發揮以下作用：

(1)內部審計人員熟悉公司業務并能夠隨時深入到生產經營的全過程去了解掌握具體情況，收集大量的第一手資料，從中發現存在風險的隱患問題，進行風險分析，提請管理層注意風險管理和控制等的相關建議。

(2)內部審計通過咨詢服務方式積極協助公司進行風險管理過程的建立。風險管理是一個復雜的系統工程，在一個組織內部應當明確職責分工，各司其職。董事會負責制定戰略目標，高層領導各負責一個方面的風險管理責任，其他管理人員由管理層分配一部分工作，操作人員負責日常監控，而內部審計人員則負責定期評價和保證工作。內部審計師可以促進、協助風險管理過程的建立，但不負風險管理的責任。

(3)內部審計通過將風險管理評價作為審計工作的重點，以檢查、評價風險管理過程的充分性和有效性。內部審計主要從兩個方面評估風險管理過程的充分性和有效性。

①評價風險管理主要目標的完成情況。主要表現在評價公司以及同行業的發展情況和趨勢，確定是否可能存在影響企業發展的風險；檢查公司的經營戰略，了解公司能夠接受的風險水平；與相關管理層討論部門的目標、存在的風險，以及管理層采取的降低風險和加強控制的活動，并評價其有效性；評價風險監控報告制度是否恰當；評價風險管理結果報告的充分性和及時性；評價管理層對風險的分析是否全面，為防止風險而采取的措施是否完善，建議是否有效；對管理層的自我評估進行實地觀察、直接測試，檢查自我評估所依據的信息是否準確，以及其他審計技術；評估與風險管理有關的管理薄弱環節，并與管理層、董事會、審計委員會討論。如果他們接受的風險水平與公司風險管理戰略不一致，應進行報告。

②評價管理層選擇的風險管理方式的適當性。由于各個公司的文化氛圍、管理理念和工作目標不同，風險管理的實施也有很大差別。每個公司應根據自身活動來設計風險管理過程。一般說來，規模大的、在市場籌資的公司必須用正式的定量風險管理方法；規模小的、業務不太復雜的，則可以設置非正式的風險管理委員會定期開展評價活動。內部審計人員的職責是評價公司風險管理方式與公司活動的性質是否適當。

(4)內部審計應積極持續地支持并參與風險管理過程，對風險管理過程進行管理和協調。在現代企業制度下，公司全面建立了風險管理過程，內部審計因此能夠擔負起風險管理的職能。首先，內部審計從評價各部門的內部控制制度入手，在生產、采購、銷售、財務會計、人力資源管理等各個領域查找管理漏洞，識別并防范風險，做出相關評價。其次，內部審計可以深入到企業管理的極細微的環節上查找問題，分析其合理性。內部審計人員更多的是以風險發生可能性大小為依據，深入到經營管理的各個過程，查找并防范風險。再次，內部審計在部門風險管理中還起著協調作用。不僅各部門有內部風險，而且各管理部門還有共同承擔的綜合風險，內部審計人員作為獨立的第三方，可協調各部門共同管理企業，以防范宏觀決策帶來的風險。

3將企業風險管理融入內部審計程序

在風險管理中，內部審計部門主要是對風險管理部門和其他相關部門所進行的風險管理進行再監督。因此內部審計程序與機構的風險管理之間應該協調一致，使這兩項工作產生協同增效的作用。

(1)在編制審計計劃時，應該在對可能影響機構的風險進行評估的基礎上，制定內部審計部門的審計計劃，確定審計項目。

(2)確定審計范圍時，要考慮并反映整個公司的戰略性計劃目標，并每年對審計范圍進行一次評估，以反映機構的最新戰略和方針。

(3)編制審計方案時，通過風險因素分析來確定審計業務工作重點；在審計實施過程中，通過評價內部控制制度，查找其中的疏漏和薄弱環節；在更新審計范圍與計劃的內容時，要反映管理層的方針、目標、工作重心出現的變化。在選擇檢測、證實風險的技術與方法時，應該能夠反映出風險的重大性與發生的可能性。

(4)在編制審計報告時，應對風險管理狀況進行評價，指出風險管理中存在的漏洞和不足之處，提出加強管理的建議。

第2篇

■中國銀行業風險管理體系失效，亟待反思風險管理的方法、目標及體系構建

■實施內部評級體系離不開完善共享數據庫等基礎設施

■任何脫離現實的硬性與國際風險管理慣例接軌的做法都只能形成障礙。

在現代商業銀行經營管理中，風險管理處于核心地位，風險管理能力實際上構成了銀行核心競爭力的主要基礎。衡量一家銀行的關鍵主要是看其能不能駕馭風險，能承受多大程度的風險，如何通過所具有的組織框架來認定、判斷、識別和管理風險。

從目前的實際情況看，中國銀行業的風險管理體系基本屬于失效的風險管理體系，不論是解決目前的風險還是應對未來風險環境的挑戰，商業銀行風險管理體系都存在嚴重的先天不足，特別在以下4方面面臨著現實抉擇。

風險管理方法：藝術還是科學？

銀行的風險管理在目前仍然被認為只是一門藝術，而尚未發展成一門真正的科學。這是由目前通行的風險管理技術本身所決定的。然而，巴賽爾銀行監管委員會所倡導的內部評級法是一種依據過去而預測未來的基于統計的方法，而由于管理環境和經濟基礎條件的持續性變化，以過去的數據為基礎并不能對未來進行準確的判斷，甚至還可能造成誤判。

代表了目前國際銀行業較為先進風險管理水平的內部評級法，旨在通過風險敏感度更高的監管資本要求來影響銀行的行為，促使銀行強化風險管理能力，從而增強整個銀行體系的安全性與穩定性。在設計內部評級法的過程中，巴賽爾委員會借鑒了國際銀行業近年來開發的多種現代信用風險管理模型的經驗，即在對信用風險的處理上采用風險價值的基本思想。具體來講，就是運用VaR來確定監管資本要求和在資產組合層面上處理信用風險，并在風險權重函數、期限調整因子的確定、風險集中度的調整以及風險要素的估計等方面廣泛地運用了這些模型的理念。

內部評級法體現了國際銀行業風險管理的發展趨勢，具有如下特點：

■從定性分析轉向定量分析；

■從計分卡向模型化轉化，并尋求二者的有機結合；

■從單項貸款分析轉向組合分析；

■從盯住賬面價值轉向盯住市場價值；

■描述風險的變量從離散型轉向連續型；

■嘗試考慮宏觀周期對信用風險的影響；

■廣泛汲取相關領域的最新研究成果，如保險精算理論、神經網絡理論等，并結合運用計算機大容量處理技術。

國際銀行業開始大量開發、使用并依賴于各種風險模型以識別、衡量并管理風險及進行決策始自于上個世紀70年代，經過30多年的發展，風險模型已經廣泛應用于企業風險管理、經濟資本與監管資本配置、銀行系統信用風險、信托資產管理及內部獲利能力等方面的衡量，并且發揮了一定的作用。但現有的模型也顯示出了一些缺陷和不足之處。

特別要指出的是，風險管理模型本身并未將金融業變成一個更安全的世界，甚至可能帶來模型風險。

任何分析工具都是人類智慧的產物，它們都試圖通過有限變量的模型來描繪真實世界。但一個模型可能會抓住它所描繪的真實世界的大部分特征，但也可能同時會忽略掉一些重要的內容，而且模型還可能會逐漸改變市場行為，從而使模型本身失去作用。

國內外的研究表明，在模型應用的實踐中，當銀行的經營者使用模型不當、或依據了錯誤的數據估計或夸大了模型解釋能力時，有可能會導致銀行信譽與獲利能力水平嚴重惡化，這種現象被學界和業界稱為模型風險。

這一現象包含了兩方面含義：一方面，就現有的模型能力和現實世界的復雜性來看，由于真實世界要遠遠復雜于任何我們能夠創建的用以描述它的數學模型，因此我們有可能采用不恰當的模型來描述真實世界的風險。另一方面，即使我們選擇了正確的模型，但由于數據過時、出現偏差和錯誤，實際業務也可能與模型的前提假設相互脫離從而造成銀行操作中的模型風險。巴賽爾銀行監管委員會成立的模型工作組對10國集團國家商業銀行內部評級體系現狀的調查表明，國際銀行業主要有三類評級過程：基于統計方法的評級過程；部分基于專家判斷的評級過程；完全基于專家判斷的評級過程。

只考慮各種定量技術（如信用評分模型）的內部評級體系和完全基于貸款和信用人員的個人經驗以及專業技能的內部評級體系，這只是兩種極端的做法。

大多數國際先進銀行根據多年的風險管理實踐得出了如下結論：即使在根據模型進行等級評定的系統中，個人的經驗也起著非常重要的作用，例如信用評估人員或貸款評估人員就可能會根據個人經驗來模型所評定的等級。此外，在開發、實施這些模型以及構建模型的輸入參數等方面，個人的專業技能也是一個重要的前提條件。

在所考察的銀行中，絕大多數銀行都表示，在內部評級體系中使用了大量的主觀判斷因素，其中對這些因素的相對重要性并沒有正式的約束。半數以上的銀行是利用專家對大型公司進行內部評級，而在所有基于無約束專家判斷的內部評級過程中，評級人員在進行等級評定時，都可以使得最終等級明顯偏離于統計模型所給出的結果。

總之，在風險管理模型尚未完備之前，具有豐富管理經驗的風險專家仍將發揮不可替代的作用，銀行風險管理在較長的時期內還會屬于管理藝術的范疇。

風險管理目標：效益還是風險？

效益與風險是一對對立統一的矛盾體，現代銀行的本質是通過管理風險來取得收益。但從國內商業銀行近年的管理實踐來看，存在著通過縮小信貸規模來降低風險的趨勢，甚至在某種意義上引發了困擾國有商業銀行的流動性陷阱問題。2002~2005年我國銀行業貸款復合增速率達到12.6%，其中增速最快的是股份制商業銀行和城市商業銀行，分別達到27.2%和21.6%，國有商業銀行在此期間的增長速度卻僅有8.3%。

風險作為一個永恒的主題，時時存在于銀行的各個層面，隨著國內存款比例的不斷上升，銀行風險主要表現為流動性過多帶給商業銀行的困境。自2000年以來，國內商業銀行由流動性不足轉為流動性過多，特別是2005年以來，金融機構流動性相對過多的問題越來越突出。截至2005年9月，中國銀行業存差資金9萬億元，是2000年的3.7倍。

流動性相對過剩，將導致銀行業過度競爭，盲目追逐大戶，非理性降低貸款條件和下浮貸款利率，從而放大信用風險和利率風險。將過高的流動性投向資金和貨幣市場，也將導致貨幣市場主要投資工具利率持續走低甚至與存款利率倒掛。由于流動性過剩涉及到金融市場很多方面的問題，故影響性及牽動性極大。社會資金過多涌入銀行，將使銀行業金融資產被動性膨脹，收益率持續下降，使得中國的銀行業面臨前所未有的流動性風險。

商業銀行還通過另外一種方式來規避風險在短期內的凸現，那就是從結構上加大中長期貸款的比重。2004~2005年底，中國銀行業短期貸款比重由42.16%降到43.64%，下降了5個百分點，而中長期貸款的比重則由42.96%上升到44.93%，上升了2個百分點，且逐季上升。在銀行分類中，國有銀行的中長期貸款比重較高，為56.6%，超過53.9%的定期存款比例；盡管股份制銀行的中長期貸款比重略低，為46.2%，且低于定期存款47.33%比例，但出于避險等目的，股份制銀行也在逐季不斷提高中長期貸款的比重。

按照新資本協議中的要求，商業銀行必須廣泛樹立全面風險管理的理念，任何業務部門和人員都要樹立風險觀念，都有責任控制本部門和本崗位的風險，并為推行全面風險管理的流程、組織、機制和體制奠定基礎。同時必須認識到，加強風險管理與提升經營業績是相得益彰，加強風險管理會降低不良貸款率和風險成本，能按季收到足夠多的貸款利息，從而提高創利水平和經營業績。講拓展必須要權衡數量質量、成本收入、風險效益、投入產出的關系。在注重業務發展的同時，必須將風險管理的理念貫穿到業務操作的各個環節，既要有效益觀念，也要有風險觀念、成本觀念。

風險管理體系：引進還是自建？

中國銀行業風險管理體系剛剛進入打分卡階段，多數中小銀行的發展程度更低，有的還停留在分析模版階段。與發達國家先進銀行相比，中國銀行業的差距不僅僅是資本充足率低、風險評級處于初級階段等方面，還有更多方面，既有體制上的差距，更有機制、觀念、文化、技術、理論、工具、模式、管理上的差距。

就內部評級體系來說，它不僅僅是一個分析模型和計算機系統問題，它涉及客戶評價、項目評價、資產五級分類、資產組合分析和信貸政策等多方面內容。而中國銀行業目前還只是從信譽、履約記錄上粗略地考察客戶，而不是以風險為核心進行深入分析。信用風險管理部門、審批部門等后臺部門對客戶風險評級具有的權限，以及如何應用評級結果進行決策和管理，目前仍不是十分明確。項目評價、債項評級、市場風險分析等功能，更是散落在多個部門手中，并未形成統一的模式和完整的體系。數據基礎是內部評級體系能否成功運行的保證，包括數據完整性、數據質量和管理信息系統（MIS）等三個方面。中國商業銀行開展內部評級的時間不長，數據儲備嚴重不足，且數據缺乏規范性、數據質量不高。首先，許多客戶的財務數據可能不真實或不夠準確；其次，評級基于客戶過去的財務指標，缺乏對現金流量的分析和預測，使評級結果不能反映客戶未來的償債能力；第三，指標的權重設置主要依據經驗或專家判斷，主觀因素影響較大，降低了評級結果的準確性；第四，評級過于依賴企業自身的財務數據，對宏觀經濟周期、行業和地區風險的分析不足，指標設置缺乏預警功能，導致評級結果對風險的敏感度不高，難以及時反映客戶信用狀況的變化。同時，缺乏統一的數據倉庫和現代化的管理信息系統及其相應的數據接口，無法滿足包括風險評級在內的各種管理工具的數據需要。

巴賽爾新資本協議規定，采用內部評級法初級法的銀行至少需要5年的數據來估計違約率（PD），而采用內部評級法高級法的銀行至少需要7年的數據來估計違約損失率（LGD）。由于中國建立內部評級體系的時間尚短，目前最缺的就是數據積累，特別是缺乏一個完整的經濟周期的數據，難以進行合理的壓力測試以及對評級結果的返回檢驗，這幾乎是所有銀行面臨的最大困難。

針對這種現狀，國內商業銀行的內部評級體系構建究竟應該選擇什么樣的路徑呢？完全照搬國外的管理模型存在著模型風險等水土不服的問題；全依靠自己又缺乏相應的人力資源基礎和足夠的數據；將項目采取外包的方式即不符合中國的國情，也存在數據的安全性等問題，況且國內尚不具備能為商業銀行提供這一服務能力的外部機構。不論以何種方式外包，其結果還將是由國外的機構來完成最終的工作。

從國內商業銀行實踐看，工商銀行的內部評級法構建似乎走出了一條相對成功之路：那就是依靠外部機構根據國際經驗提供需求，同時工行內部人員參與評級體系構建全過程，以達到培養自有人才之目的。最后再由工行的相應技術部門完成評級體系的設計和構建等工作。這一做法既保證了自有人才隊伍建設和數據安全，同時也使其體系的設計水平達到了與國際水平的充分對接。

風險管理信息系統：獨立還是聯合？

風險管理體系是指戰略、政策、模式、組織、文化等一整套體系。有效的風險管理體系要適應風險環境，并滲透在商業銀行經營活動的各個環節層次。目前國有商業銀行風險管理體系基本形成，但是在協同、貫徹以及風險文化建設等方面較為薄弱。

特別需要指出的是，有效風險管理的重要基礎是風險管理信息系統。只有具備有效的風險管理信息系統，才能識別、度量和分析風險，制訂正確的管理措施并落實風險管理責任。信息系統包括存儲客戶基本信息、財務信息、經營管理信息、信譽記錄、賬戶交易記錄、合同信息的客戶數據庫，存儲宏觀經濟、產業經濟、金融市場等信息的環境信息數據庫，存儲自身資產品種、數量、質量、分布的數據庫，以及建立在規范、完整、及時、準確的數據信息基礎上的計量、分析、評估、處置系統。目前，有效的風險管理信息系統已成為國有商業銀行實現現代風險管理的最大瓶頸。

新資本協議所倡導的內部評級法是建立在廣泛收集、總結各國成熟經驗、經過充分討論后提出的最基本的標準，對評級的主要環節給出了詳細的指導，具有相當的先進性、實用性和可操作性。

第3篇

【關鍵詞】內部控制;風險管理;公司治理;戰略管理

受美國2002年出臺的薩班斯——奧克斯利法案(以下簡稱SOX法案)的影響，我國所有赴美上市及計劃赴美上市的企業必須按照美國監管機構的要求，完善內部控制體系、完成內控評估報告。同時，隨著經濟全球化的深入，企業遭受產品市場、要素市場和金融市場的價格沖擊越來越大，各類風險產生的擴張效應和聯動效應越來越嚴重。因此，內部控制和風險管理成為現代企業重點關注的課題。

本文將在回顧內部控制和風險管理理論發展的基礎上，探討二者之間的關系，并結合寶鋼在內控體系建設和風險管理方面的最佳實踐，提出整合的風險管理框架設想，以期對我國企業的內控體系和風險管理體系建設提供借鑒。

一、內部控制、風險管理的理論發展及其關系

(一)內部控制理論的發展

20世紀70年代中期的“水門事件”引起了美國立法者和監管團體對內部控制問題的重視。美國國會于1977年通過的《反國外腐敗法》是美國在公司內部控制方面的第一個法案。1980年后，美國COSO委員會將“內部控制”定義為“一個組織設計并實施的一個程序，以便為達到該組織的經營目標提供合理保障”。在COSO委員會制定的內部控制框架中，把內部控制活動分成五大組成部分，即:控制環境、風險評估、控制活動、信息與交流和監督評審。

2002年，美國成立的上市公司會計監管委員會(簡稱PCAOB)明確采用了COSO內控框架作為內控評價的標準體系。許多國家和地區的資本市場也采用了COSO內控框架，有些國家和地區在參照該框架的基礎上建立了自己的內控體系。

我國在2005年先后出臺了《上交所上市公司內部控制指引》和《深交所上市公司內部控制指引》兩個文件。上述兩個文件參照了美國SOX法案的要求，在理論體系上和COSO內控框架一脈相承。

(二)風險管理理論的發展

企業風險管理理論發展大致分為三個階段。第一階段:以“安全和保險”為特征的風險管理。100多年前航運企業風險管理的主要措施就是通過保險把風險轉移給保險公司。第二階段:以“內部控制和控制純粹風險”為特征的風險管理。隨著工業革命的發展，公司對業務管理和流程方面的內部控制提出了要求。美國1977年的《反國外賄賂法》要求公司管理層加強內部會計控制;1992年的《COSO內部控制綜合框架》提出以財務管理為主線的內部控制系統。第三階段:以“風險管理戰略與企業總體發展戰略緊密結合”為特征的全面風險管理。風險管理實踐表明，僅靠內部控制難以實現企業的最終目標。為此，COSO于2004年9月出臺了《COSO企業全面風險管理整合框架》(簡稱ERM)，提出了由三個維度構成的風險管理整合框架。

我國國務院國資委于2006年《中央企業全面風險管理指引》(以下簡稱《指引》)，標志著我國中央企業建立全面風險管理體系工作的啟動。

(三)內控體系建設與全面風險管理工作的聯系和作用

全面風險管理與內部控制既相互聯系又存在差異。企業的內部控制體系是企業全面風險管理體系中重要的組成部分之一，而內控體系建設的動力則來自企業對風險的認識和管理。良好的內部控制可以合理保證合規經營、財務報表的真實可靠和經營結果的效率與效益，而這正是全面風險管理應該達到的基本狀態。此外，內控體系建設與全面風險管理工作的開展之間具有緊密的聯動作用，具體體現在以下兩個層面:

1.在理論框架層面，完整的內控體系包括依據COSO內控整體框架開展內部控制的評審體系以及內控自我評估體系;而目前國內外較為認可的企業風險管理理論框架是COSO企業風險管理整體框架。這兩個框架在理論基礎上具有繼承性和發展性。

2.在推進工作的步驟層面，從國內大型國有企業集團開展內部控制和風險管理的推進步驟來看，以內控先行、再逐步開展全面風險管理的做法是符合我國國情的。通過內控體系建設，在組織架構的完善、人員經驗的積累、內控流程的記錄等方面做好準備，可為公司未來開展全面風險管理打下較為完善的基礎。

至于差異，從二者的框架結構看，全面風險管理除包括內部控制的三個目標之外，還增加了戰略目標;全面風險管理的八個要素除了包括內部控制的全部五個要素之外，還增加了目標設定、事件識別和風險對策三個要素。從二者的實質內容看，內部控制僅是管理的一項職能，而全面風險管理貫穿于管理過程的各個方面。內部控制主要通過防范性的視角去降低企業內部可控的各種風險，側重于財務和運營;而全面風險管理強調通過前瞻性的視角去積極應對企業內外各種可控和不可控的風險，側重于戰略、市場、法律等領域。

二、寶鋼在內控體系建設領域的實踐

寶鋼股份是寶鋼集團的核心子公司。公司從2005年增資擴股后就著重于梳理內部流程，推廣管理標準。2007年3月，由公司總經理擔任組長的內控評審項目開始啟動。

內控項目工作范圍包括寶鋼股份總部以及下屬分子公司，資產規模和銷售收入合計占整個寶鋼股份合并報表范圍的80%以上。評審涉及寶鋼股份12大業務流程，梳理了各類大小流程300多個。在對12大流程風險控制點辨識的基礎上，逐步建立寶鋼股份上市公司內部控制體系，編制公司流程內控手冊，形成公司全面的內控改進點報告，建立公司層面基本內控體系。并在前期工作的基礎上，開展內控體系的自我評估工作，形成公司內控自我評估報告。

在項目實施過程中，公司組織了多場內控培訓會，形成了全員內控的企業文化。同時，公司對發現的內控薄弱點狠抓落實整改，并對各單位的問題匯總報告進行整理;評審項目組還組織各單位把相關流程發現的內控薄弱點和自身的業務進行對比分析，就同類問題開展自查自糾，以形成輻射效應。此外，寶鋼股份還將內控評審項目和常規審計工作相結合，在內部審計工作中跟蹤檢查問題的整改情況。

三、寶鋼在風險管理領域的實踐

寶鋼從2007年開始全力推進全面風險管理體系建設，這既是資本市場的要求，也是寶鋼自身發展的需要。寶鋼集團有限公司董事會確定的全面風險管理的總體目標是:圍繞寶鋼的戰略目標，在企業管理的各個環節和經營過程中執行風險管理流程，培育良好的風險管理文化，使風險管理機制成為寶鋼經營管理各個環節的有機組成部分。公司具體實施情況包括以下幾個方面:

(一)以法人治理為基礎，建設風險管理的組織體系

完善的法人治理是風險管理重要的內部環境，也是風險管理體系建設的起點和保障，而董事會建設則是法人治理的核心。寶鋼作為國資委所屬中央企業中首批董事會試點企業，在完善董事會試點的過程中優化董事會成員結構，建立外部董事制度，不斷完善董事會運作機制，初步形成了出資人、決策機構、監督機構和經營層之間各負其責、協調運轉、有效制衡的治理機制。

同時，寶鋼按照國資委《指引》的要求，構建了業務部門、風險管理部門和內部審計機構三道防線。第一道防線建設:總部各職能部門和各子公司作為風險管理的第一道防線，是所管業務風險的責任者，公司明確了其各自相應的職責。第二道防線建設:總部層面成立由分管副總經理擔任組長的“全面風險管理體系建設領導小組”，由系統運行改善部作為風險管理的綜合管理部門，對全面風險管理的日常工作進行協調和推進。第三道防線建設:審計部負責對風險管理體系的建設情況及工作效果進行客觀、獨立的監督評價。對各單位內部控制的合理性、完整性、有效性、可靠性作出評價，及時發現流程中存在的問題，提出內控完善的建議。

(二)與管控模式相結合，制定風險管理策略和流程

寶鋼采取的是“戰略控制型”的管控模式，即總部通過對策略性、全局性業務進行管控來確保戰略意圖的實現，對于具體執行性業務則授權給各子公司來執行，以確保整體運作效率和響應速度。

因此，寶鋼的風險管理體系分集團公司和各子公司兩個層面推進。集團公司以兼并重組、子公司管控和輔業改制等重大決策、重要業務和流程的風險管理為重點，通過推進風險管理文化建設、推動內控系統優化，確定重大風險的應對策略、完善重大風險預警和報告機制、強化風險管理的檢查監督機制等措施，建立并不斷完善風險管理體系。各子公司則結合自身產業特征，從防范運營風險的角度出發，重點推進四項工作:1.建立風險管理的組織體系和工作機制;2.對重大風險進行識別和評估，形成重大風險清單，確定風險管理的重點領域;3.針對重大風險涉及的重要業務流程和重大事件，評估、完善內控體系，并落實為工作規范，制定管理制度，形成內控手冊;4.針對可能發生重大突發事件的業務領域，建立預警機制，制定應急預案。

(三)建立了財務預警指標體系，使得財務風險以及可能造成的損失可以通過財務指標的計算和分析得到量化和預警在應急預案方面，在總部和子公司層面編制了一系列應急預案，提高寶鋼處置突發事件、保障公共安全的能力，最大程度地預防和減少突發事件及其造成的損害。

四、整合的風險管理框架設想

通過長期的工作實踐和思考分析，筆者認為:企業的風險管理工作需要和企業管理的多方面相結合，構建整合的企業風險管理系統。這不僅要考慮和內控體系的融合，還必須與企業公司治理、戰略管理等系統相整合。企業風險管理整合系統:

(一)風險管理系統應與公司治理系統進行整合

風險管理功能與公司治理功能相耦合和良性互動是風險管理系統與公司治理系統整合的目標。美國內部審計師協會(IIA)指出，企業風險管理的本質是“通過管理影響企業目標實現的不確定性來創造、保護和增強股東價值”。而公司治理則是董事會為了維護公司利害相關者的利益而對管理層提供指導、授權和監督的過程。整合風險管理與公司治理就是在公司治理框架中加入風險管理的角色。在這種拓展的公司治理框架中，高管和風險主管應當直接承擔風險管理的責任，董事會則應積極參與增值型的風險管理活動，如在風險管理的過程中對管理層進行指導、授權和監督等活動。:

(二)風險管理系統應與公司戰略管理系統相整合

風險管理功能與公司戰略管理功能相耦合，主要體現在圖2所示的戰略管理全過程中:

將戰略管理系統與風險管理系統相整合，有利于以較低的成本順利實現企業的戰略目標。公司治理確定企業風險管理的范圍和邊界，并為風險管理提供政策;而戰略管理則為風險管理提供資源與支持。公司實施不同的戰略，會引起不同的風險，也應采取不同的風險應對措施。因此，不同的戰略模式將會導致在不同的領域配置風險管理的資源。

企業戰略管理的最終目標是為了實現企業價值的持續增長，企業價值創造路徑應圍繞“股東價值客戶價值業務流程核心資源”這一路徑展開，該路徑表明企業長期股東價值的增長來自于客戶價值的增長。企業要獲得長期穩定的客戶價值，必須具有高效、快捷和質量可靠的業務流程，這些業務流程的價值創造能力又依賴于企業核心資源的研究與開發。這也是企業價值鏈的形成路徑，企業風險管理也應遵循這一路徑而展開。

總之，整合的風險管理框架應該是由公司治理層面確定風險管理的政策;由高管確定風險管理的偏好;由戰略管理層確定風險管理流程、文件和模型;在應用和基礎設施層面配備相應自動控制裝置，以促進事件的自動處理和報告的自動生成，并使用分析工具對這些事件及其組合與公司政策的相關性進行分析，為決策者提供風險應對的信息。

【主要參考文獻】

[1]張諫忠，吳軼倫.內部控制自我評價在寶鋼的運用[J].會計研究，2005，(2).

[2]吳軼倫.內部控制自我評價[J].上海財經大學學報，2004，(4).

[3]吳軼倫.內部審計職能的發展與風險管理模式的建設[J].冶金財會，2006，(3).

[4]方紅星.內部控制審計組織效率[J].會計研究，2002，(7).

[5]課題研究組.內部會計控制規范操作實務[M].中國商業出版社，2001.

[6]閻達五，宋建.雙元控制主體構架下現代企業會計控制的新思考[J].會計研究，2000，(3).

[7]朱榮恩、賀欣.內部控制框架的新發展——企業風險管理框架[J].審計研究，2003，(6).

[8]金或日方，李若山，徐明磊.COSO報告下的內部控制新發展[J].會計研究，2005，(2).

[9]嚴暉.風險導向內部審計整合框架研究[M].中國財政經濟出版社，2004.

[10]宋夏云.現代風險導向審計模式的背景分析與理論創新[J].中國審計，2005.

[11]胡春元.審計風險研究[M].東北財經大學出版社，1997.