內部控制過程包括過程控制、內部審計，過程控制使控制對象在行為過程中處于穩定狀態，并達成內部控制目標的控制活動，涉及運營風險監控、風險的自我評估和信息反饋等

內部控制過程篇1南開大學程新生等內部控制過程包括過程控制、內部審計，過程控制使控制對象在行為9．1運營風險9．2風險監控

9．3過程控制案例第九章過程控制2南開大學程新生等9．1運營風險第九章過程控制2南開大學程新生等9．1運營風險過程控制是指在內部控制框架下，使控制對象在行為過程中處于穩定狀態，并達成內部控制目標的控制活動。過程控制比結果控制要深入、具體，不僅對工作結果進行監控，而且要對整個過程進行控制，如風險監控是過程控制的重要內容

3南開大學程新生等9．1運營風險過程控制是指在內部控制框架下，使控制對象在行2001年，長虹公司為實現海外發展戰略、提高銷售額，將長虹彩電交由APEX公司在美國銷售。APEX方面總是以質量問題或貨物未收到為借口，拒付、拖欠貨款或少量付款。2002年底，長虹公司應收賬款為42.2億元，APEX公司就占了90%，達38.3億元。2003年底長虹公司應收賬款49.8億元，APEX公司就占了89%，達44.6億元。長虹公司內部為此專門成立了APEX項目管理小組

4南開大學程新生等2001年，長虹公司為實現海外發展戰略、提高銷售額，將長虹彩但令人無法理解的是，在提出對賬和索要貨款未果的情況下繼續發貨給APEX公司。2003年底，長虹公司派出高級管理人員與APEX交涉，結果2004年初長虹又發貨3000多萬美元，暴露了長虹公司在過程控制方面的問題。企業最高管理層需要樹立企業成長、盈利、風險三者平衡的風險控制觀，要求管理當局將主要精力放在風險管理方面，而不是所有細節的控制上

5南開大學程新生等但令人無法理解的是，在提出對賬和索要貨款未果的情況下繼續發貨一、流程風險風險具有普遍性、多樣性、可變性(一種風險可轉化或擴展成另一種風險)、突發性、隱蔽性、復雜性、可控性。流程風險源于缺乏有效的流程管理，包括生產流程風險、交易流程風險、產品或服務風險。生產過程風險包括生產能力風險、生產周期風險、生產中斷風險、存貨保持風險等。6南開大學程新生等一、流程風險6南開大學程新生等交易過程風險的發生可能發生在采購環節，也可能是由于企業對于供應商或客戶的評估而產生的。在采購過程中，如果原材料缺貨或成本過高，那么可能會影響到企業在客戶需要時提供具有競爭性價格的產品或服務的能力。另外，采購原料的質量問題也可能引起風險例如，上海寶鋼礦石供應的風險

7南開大學程新生等交易過程風險的發生可能發生在采購環節，也可能是由于企業對于供交易流程中的風險控制交易前交易中交易后交易管理工具訂單去向交易執行確認交易清算及核對會計記錄圖9－1交易流程中的風險控制定價信用記錄8南開大學程新生等交易流程中的風險控制交易前交易中交易后交易管理工具訂單去向交【英特爾的失誤】1994年11月，一位學術界人士告訴英特爾公司，它們生產的奔騰處理器有一個小的運算功能錯誤。但英特爾公司非常自信，沒有認真對待這位客戶的反應。發現瑕疵的教授通過互聯網詢問其他人是否也遇到了類似的問題，結果得到數以千計人的回答。盡管英特爾公司一再向用戶保證，處理器的這個微小的問題不會影響到PC機的整體功能（出現計算錯誤的概率為90億分之一），但用戶堅決要求更換產品。新聞媒體的批評是嚴厲的，IBM公司對裝有奔騰處理器的計算機停止發貨。雖然英特爾公司制定了更換產品的政策，但只有約3%的用戶的產品得到了更換，英特爾為此付出了4.75億美元的代價9南開大學程新生等【英特爾的失誤】9南開大學程新生等二、人員風險人員風險是指由于人員資格和能力不能夠滿足工作的要求，致使設計或操作出現漏洞、疏忽、工作完成的效果差、難以達到預計目標、生產經營效率低下、產品質量或服務質量不達標準的可能性有調查顯示，大型超市的經理僅將31%的庫存損失歸因于店鋪偷竊者，而將剩余的46%歸咎于員工偷竊。如果只是追求利潤而不將風險意識結合到公司的文化中，同樣會引發員工的不良表現

10南開大學程新生等二、人員風險10南開大學程新生等【迪斯尼公司的員工背景調查】迪斯尼樂園的業務是建立在公司安全及童趣的聲譽上：如果聲譽受損，業務就會下滑。1998年7月，迪斯尼公司一名年齡不到20歲的廚師被指控在酒店的衛生間侵犯了一位游客。這個廚師還有著相當多的犯罪和被捕記錄時，他的犯罪記錄還包括襲擊他人、入室偷竊等。在他被迪斯尼雇傭的時候，他處在緩刑期間。輿論對此曝光后，迪斯尼樂園的客流量和收入在一段時間內受到了打擊。這一事件之后，迪斯尼樂園將每一個員工都當作企業的風險源，更注重員工錄用時的背景調查。11南開大學程新生等【迪斯尼公司的員工背景調查】11南開大學程新生等海空物流公司CEO向公司的每一個員工發出了必須遵守基本的職業道德規范（CodeofBusinessConduct），將該職業道德規范放在網站上，要求每一位員工每年必須重新學習一遍，強化員工的控制意識

12南開大學程新生等海空物流公司CEO向公司的每一個員工發出了必須遵守基本的職業三、信息系統風險信息系統風險包括信息系統數據的真實性、系統的穩定性、系統使用的安全性等方面。運用信息系統的企業，在設計商業流程及系統時，應該明確地將數據安全、準確作為首要目標例如，一些物流公司在客戶出貨多的情況下，沒有及時掌握信息、制定流程控制防止業務人員操作失誤；在貨急和客戶提供信息不完整時，沒有應急的流程控制和信息溝通，容易造成客戶流失。13南開大學程新生等三、信息系統風險13南開大學程新生等四、外部風險這種風險的來源于企業外部，但屬于企業風險監控和內部控制范圍，未雨綢繆是一個比亡羊補牢更理性的選擇。外部風險可以是自然或人為的災難，可能來自于競爭具有偶然性，難以預測，一旦發生卻有著嚴重的后果外部風險還環境，使企業的原有運營環境遭到破壞，但是有效的管理可以降低此類風險。例如，IBM從一個硬件公司到一個服務及解決方案公司的轉型，較好地解決了競爭環境變化帶來的風險14南開大學程新生等四、外部風險14南開大學程新生等9．2風險監控以“目標—風險—控制”流程為指導，對所有的風險進行分析，包括管理層關注的事項以及引起責任人員注意的風險領域。關注高風險的領域，以提供相關的、符合管理層和董事會需求的信息風險管理源于20世紀30年代，在風險定性分析的基礎上，把保險作為處理風險的主要方法到了50年代，運用概率論和數理統計；60年代后，系統地研究風險管理；自70年代以來，風險管理逐漸發展成為新興的管理學科，不再局限于信用風險管理，80年代轉向財務風險管理（包括資本市場風險、信用風險等），90年代后期進入了全方位的企業風險管理15南開大學程新生等9．2風險監控以“目標—風險—控制”流程為指導，對所有的風企業風險管理財務風險管理信用風險管理圖9－2風險管理發展示意圖16南開大學程新生等企業風險管理財務風險管理信用風險管理圖9－2風險管理發展一、COSO委員會《企業風險管理－整合框架》（一）企業風險管理－整合框架2004年9月，由美國注冊會計師協會(AICPA)、國際內部審計師協會(IIA)、財務經理人協會(FEI)、管理會計師協會(IMA)、美國會計學會(AAA)組成的COSO委員會正式發布了《企業風險管理—整合框架》（EnterpriseRiskManagement，以下稱ERM），為企業管理當局評價和改進其所在組織的企業風險管理提供了一個框架17南開大學程新生等一、COSO委員會《企業風險管理－整合框架》17南開大學程企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰略制訂并貫徹執行之中，管理風險以使其在該組織的風險容量之內，為組織目標的實現提供合理保證

ERM框架明確了以下內容：風險管理是一個過程，受人的影響，應用于戰略制定，貫穿整個企業的所有層級和單位，旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險，為了實現各類目標提供合理保證18南開大學程新生等企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他ERM包括八個相互關聯的部分：（1）內部環境—為人員如何認識和對待風險設定了基礎，包括風險管理理念和風險容量、誠信和道德價值觀，以及所處的經營環境。（2）目標設定—必須先有目標，管理當局才能識別影響目標實現的潛在事項。（3）事件識別—必須識別影響組織目標實現的內部和外部事項，區分風險和機會，使機會被反饋到管理當局的戰略或目標制定過程中。19南開大學程新生等ERM包括八個相互關聯的部分：19南開大學程新生等（4）風險評估—通過考慮風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據。（5）風險應對—管理當局選擇風險應對策略—回避、承擔、降低或者分擔風險，以便把風險控制在組織的風險容忍度和風險容量以內。（6）控制活動—制定和實施政策和程序以確保風險應對方略得以有效實施。（7）信息和溝通—向組織的各個層級提供他(她)們識別、評估和應對風險所需的信息。有效溝通包括信息在組織中的向下、平行和向上流動。20南開大學程新生等（4）風險評估—通過考慮風險的可能性和影響來對其加以分析，并（8）監控—進行全面監控，必要時加以糾正。監控可以通過持續的管理活動、個別評價或者兩結合起來完成。企業風險管理的八個要素都是為企業的四個目標(經營效率、財務報告可靠性、合規合法性、戰略目標)服務的，企業各個層級都要堅持同樣的四個目標，每個層次都必須從以上八個方面進行風險管理。21南開大學程新生等（8）監控—進行全面監控，必要時加以糾正。監控可以通過持續的

企業風險管理主要有下列作用：（1）協調風險容量與戰略—管理當局在評價備選的戰略、設定相關目標和建立相關風險的管理機制的過程中，需要考慮所在組織的風險容量。（2）增進風險應對決策的嚴密性—ERM為識別和選擇風險應對策略—風險回避、承擔、降低或者分擔，提供了理論依據。（3）控制或抑減經營意外和損失——使組織識別潛在事項和實施應對的能力得以增強，從而抑減意外情況以及由此帶來的成本或損失。22南開大學程新生等企業風險管理主要有下列作用：22南開大學程新生等（4）識別、管理多重的和貫穿于企業的風險—每個企業都面臨著影響其不同部分的一系列風險，ERM有助于有效地應對交互影響的風險因素，應對多重風險。（5）抓住機會—通過全面考慮潛在事項，促使管理當局抓住并積極地利用機會。（6）改善資本配置—獲取有效的風險信息，幫助管理當局有效地評估資源需求，并改進資源配置。23南開大學程新生等（4）識別、管理多重的和貫穿于企業的風險—每個企業都面臨著影企業過程控制失控發生的損失公司損失未評估的風險Barclay’sBank巴克雷銀行由于在香港的交易商大量投資于金融衍生品，成為世界上最早開展其他業務的金融機構之一通過占據有利位置而不是套利，大量投資于金融衍生品。通過超額獎金激勵交易者WorldCom世通由于控制不完善、財務錯報和貸款給CEO導致公司破產財務報告涵蓋了三個以上地點；對CEO的貸款沒有抵押物；以股價為基礎激勵，內部控制失效Daimler-Chrysler戴姆克萊斯勒由于Chrysler公司收購Daimler公司而遭受重大財務和股價損失為了增加盈利，Chrysler將未達到Daimler質量的新產品打入市場中航油（新加坡）破產保護缺乏有效的風險監控系統24南開大學程新生等企業過程控制失控發生的損失公司損失未評估的風險Barcla風險偏好是企業為了追求更大價值而愿意承擔的風險容量，與戰略和資產配置有關。盡管企業風險管理有很多重要的作用，但它也存在著局限。這些局限主要源于下列方面：人們在決策過程中的判斷可能有紕漏，有關應對風險和建立控制的決策需要考慮相關的成本和效益；不可控的事項、差錯或不當報告偶爾也會發生，控制可能因為兩個或多個人員的串通而被規避；管理當局有可能凌駕于企業風險決策之上等

25南開大學程新生等風險偏好是企業為了追求更大價值而愿意承擔的風險容量，與戰略和（二）ERM與內部控制整合框架的關系ERM框架幾乎包含了COSO委員會在1992年發布(1994年修訂)的內部控制整合框架的所有內容，并進行了較全面的拓展。ERM框架是內部控制整合框架的升級，這種升級主要表現在以下幾個方面：1．提升了內部控制的目標層次2．增加和優化了內部控制的內容3．建立了風險的組合觀4．引入風險容量和風險容忍度的概念26南開大學程新生等（二）ERM與內部控制整合框架的關系26南開大學程新生等二、企業全面風險管理ERM風險管理框架發布后，引起企業界和監管部門的關注。在我國，國務院國有資產管理委員會2006年出臺了《中央企業全面風險管理指引》（以下簡稱《指引》），借鑒了COSO委員會“企業風險管理框架”和國內外先進企業風險管理方面的經驗，以及國內有關內部控制建設方面的規定，對中央企業開展全面風險管理工作的總體原則、基本流程、組織體系、風險管理、信息系統等方面進行了詳細闡述27南開大學程新生等二、企業全面風險管理27南開大學程新生等全面風險管理基本流程包括以下主要工作①收集風險管理初始信息；②進行風險評估；③制定風險管理策略；④提出和實施風險管理解決方案；⑤風險管理的監督與改進。28南開大學程新生等全面風險管理基本流程包括以下主要工作28南開大學程新生等具備條件的企業可建立風險管理三道防線：即各有關職能部門和業務單位為第一道防線風險管理職能部門和董事會下設的風險管理委員會為第二道防線內部審計部門和董事會下設的審計委員會為第三道防線

29南開大學程新生等具備條件的企業可建立風險管理三道防線：29南開大學程新生【中廣核集團全面風險管理體系建設案例】中廣核集團是在1985年與香港中電合資建設的大亞灣核電站的基礎上，于1994年9月經國務院批準成立的大型企業集團，從成立之初就十分重視風險管理工作，形成了一套比較完整的管理制度和程序，積累了一定的管理經驗，取得了較好的成效，中廣核集團借鑒國務院國有資產管理委員會《中央企業全面風險管理指引》，將風險管理作為重點工作之一，積極推進全面風險管理體系建設，保戰略目標實施、保可持續發展，取得了初步成效30南開大學程新生等【中廣核集團全面風險管理體系建設案例】30南開大學程新生1．全面開展風險評估診斷，明確所面臨的重大風險在進行風險調研的基礎上，組織填寫并回收調查問卷共計240多份，收集風險初始信息9474條，辨識出風險事件517個，最終在集團公司層面歸集為13大類、35個風險。在此基礎上，通過進一步從風險的影響程度、風險發生的可能性和管理改進的迫切性三個維度對所收集的風險信息和調查結果進行統計、分析、評價，繪制出集團風險圖譜，經過集團風險管理領導小組確認，明確了需要重點防范的九類重大風險

31南開大學程新生等1．全面開展風險評估診斷，明確所面臨的重大風險在進行風險調研2．制定重大風險管理策略和措施，加強重大風險管理針對評估辨識出的重大風險，推進小組通過對集團高層領導、集團公司顧問和相關專家、重要管理骨干等，共計78人次進行訪談，初步掌握重大風險的管理現狀，并將戰略、資金和核電工程建設等三個方面重大風險的管理作為突破口，對與其相關的管理制度和流程進行梳理、分析

對其關鍵業務環節設計了29個風險監控指標，制定了28項風險預警標準，建立了相應的風險監控報告和預警機制

32南開大學程新生等2．制定重大風險管理策略和措施，加強重大風險管理針對評估辨識三、風險監控風險評估首先應找到“風險動因”，而不能簡單地將業務部門或行政區域作為風險評估的對象，對“風險動因”的具體元素進行逐個評估后，風險既可以進行橫向匯總對機構風險進行排序，也可以對不同業務進行縱向匯總對業務風險進行排序。對業務風險的評估和排序結果是進行專項檢查的重要依據，為提高業務水平提供了可能。33南開大學程新生等三、風險監控33南開大學程新生等（一）風險監控流程有效的風險監控系統有助于實現內部控制的目標，將降低損失、減少重大負面事件發生的概率，為企業提供早期風險警告機制，改進企業實現其商業目標的能力，管理層將力量集中在創造價值的活動方面，而不是應付危機上；有效的風險監控使風險轉移合理化，提高企業的市場價值34南開大學程新生等（一）風險監控流程34南開大學程新生等過程控制目標收集風險方面的信息過程風險識別風險應對（確定風險管理模式）內部控制風險控制（改進風險管理能力，監督風險管理制度的實施）風險評估（分析風險來源并測量風險）風險導向下的過程控制35南開大學程新生等過程控制目標收集風險方面的信息過程風險識別風險應對內部控制風風險監控的流程可分為四個步驟：風險識別、風險評估、風險應對以及風險控制，以下分別敘述36南開大學程新生等風險監控的流程可分為四個步驟：36南開大學程新生等1.風險識別方法有七種：（1）風險清單分析法。該方法是美國風險和保險管理學會開發制定了風險清單，列示了已識別的、常見的企業風險。例如，玻璃或其他易碎品破碎；故障；員工疏忽；爆炸和內破裂；雇員的欺詐行為；征用；外部欺詐、偽造

37南開大學程新生等1.風險識別37南開大學程新生等（2）現場調查法：現場調查法一般分為三步，即調查前的準備工作、現場調查以及形成調查報告。調查前的準備工作要設計出調查表或調查問卷，內容包括調查的時間、地點、對象等

（3）財務報表分析法：一個股份公司，尤其是上市公司都會有自己的預期目標和遠景規劃，這些相關信息的披露將直接影響投資者的認可程度。NX公司計劃目標是，2007年實現銷售額增長10%，即1000萬元，凈利潤增加300萬元。為了實現這一目標就必須將目標分解為各個部門的目標，具體到每個人員的工作預期

38南開大學程新生等（2）現場調查法：現場調查法一般分為三步，即調查前的準備工作（4）組織結構圖分析法：根據需要畫出企業或部門的整體結構圖，尋找部門之間是否存在重復性、依賴性或集中性；也可在組織結構圖上標注該部門的原料供應量、收入、利潤等，管理人員可以清楚的看到各部門的責任和風險，也可以借鑒戰略地圖對風險進行描述

（5）流程圖法：配有解釋表，用來具體說明各流程階段會發生的風險種類，可以直觀的反應易發生風險的流程以及它對其他流程的影響

39南開大學程新生等（4）組織結構圖分析法：根據需要畫出企業或部門的整體結構圖，（6）因果圖法：因果圖法是一種分析風險事故與導致風險事故因素之間因果關系的有效工具。這一方法的關鍵是繪制因果圖。圖中主骨代表被分析的風險事件，大骨代表導致風險事件的主要原因，中骨表示導致大骨的主要原因，依此類推，將導致風險事件的因素盡可能的在圖中表示

40南開大學程新生等（6）因果圖法：因果圖法是一種分析風險事故與導致風險事故因素（7）事故樹法由某一風險事件出發，運用邏輯推理的方法推導出其引發風險的原因。從頂上事件（風險事件）－中間事件－基本事件進行事故樹的結構圖分析，從而確定風險源。在20世紀90年代早期，思科公司的股價是其每股銷售收入的6倍，2000年第1季度，公司股價是公司未來銷售收入的25倍，而公司的β值（資本市場上一種度量風險的指標）高達1.13。公司的風險較高，但為股東創造了價

41南開大學程新生等（7）事故樹法由某一風險事件出發，運用邏輯推理的方法推導出其表

思科公司的主要風險1．增長率2．毛利3．并購4．行業合并5．對新產品開發的依賴6．進入新的發展中的市場7．國際經營風險8．戰略聯盟9．資產組合投資10．競爭性風險因素a．價格b．業績c．提供方案與支持d．遵守準則e．添加增值功能（安全和可靠）的能力11．員工13．產品的現成性14．自然災害15．季度數據的變動16．組織變更17．服務提供商的銷售18．股價的波動性19．外匯匯率風險20．侵權風險42南開大學程新生等表思科公司的主要風險1．增長率9．資產組合投資13．產品2.風險評估風險評估是指在風險識別的基礎上對風險進行定量和定性的綜合分析，并確定風險影響的過程。首先對風險進行測量，在過去風險資料分析的基礎上，運用概率論和數理統計的方法對某一特定或者幾個風險事件發生的損失頻率和損失程度做出定量估計。其次，評估風險，即在風險識別和風險測量的基礎上，把損失概率、損失的程度、風險評估標準以及其他因素綜合起來考慮，分析風險對企業的影響。43南開大學程新生等2.風險評估43南開大學程新生等美林證券公司建立了風險管理體系，其風險管理組織結構有三大特點：一是在公司基層強調的是風險信息準確及時的獲得，在管理層面強調部門間協調與溝通；二是基層組織的設置、人員安排、工作范圍分工明確，公司管理層、部門和人員之間相互參與現象極為普遍；三是風險的監控滲透到每一項業務活動中，各項業務必須在業務指導部門、管理職能部門和風險管理部門三方的共同協調下開展

44南開大學程新生等美林證券公司建立了風險管理體系，其風險管理組織結構有三大特點圖美林證券風險管理的組織結構

45南開大學程新生等圖美林證券風險管理的組織結構

45南開大學程新生等3M公司建立風險投資管理機制，為風險投資制定的經營計劃包括對預期收益的估計、投資結構平衡、制定資金預算，為確保開發技術的成功，只有在投資項目的收益大大超過損益平衡點時，才將開發的技術投入應用；由創新者、管理人員、財會人員共同對新產品、新技術、新工藝進行技術性、商業性評估，一旦證實創新概念具有經濟價值，則進入贏利性分析，包括預期的投資收益率，與之相關的、各自不同的風險，達到成熟期所需的時間等

46南開大學程新生等3M公司建立風險投資管理機制，為風險投資制定的經營計劃包括對3.風險應對風險應對是針對風險評估的結果根據、企業的風險容量和風險容忍度，選擇適當的風險管理策略風險管理策略通常分為以下四類：回避風險、損失控制、分離風險單位、非保險方式的轉移風險（包括轉移風險源、簽訂免除責任協議、利用合同中的轉移責任條款）、保險等，回避意味著所確定的應對方案都不能把風險的可能性和影響降低到一個可接受的水平，降低和分擔意味著要把剩余風險降低到與期望的風險容忍度相協調的水平，而承受則意味著固有風險已經在風險容忍度之內47南開大學程新生等3.風險應對47南開大學程新生等企業應當認識到一定程度的剩余風險總是存在的，這不僅因為資源是有限的，而且還因為所有的活動在未來都有不確定性和局限。因此，風險應對并不是要把剩余風險降到最低。如果一個風險應對方案會導致剩余風險明顯低于風險容忍度，企業就應當對該應對方案進行反思和修改，或者在必要時重新考慮風險容忍度。因此，平衡風險與容忍度是一個不斷反復的過程

48南開大學程新生等企業應當認識到一定程度的剩余風險總是存在的，這不僅因為資源是三、風險/內部控制自我評估風險自我評估或內部控制自我評估（以下簡稱自我評估）是一種融合組織行為學、內部控制、風險管理、全面質量管理、績效持續改進等多理論的方法自我評估內容包括四個方面：確認風險；評價減少或管理風險的控制過程；開發用以將風險減少到可接受程度的行動計劃；確定實現業務目標的可能性49南開大學程新生等三、風險/內部控制自我評估49南開大學程新生等內部控制的邏輯起點應當是“修己安人”，“修己”就是自我管理，自我管理應是內部控制的總綱，內部控制“無為而治”是最高境界

國際內部審計師協會（IIA）于2002年對北美4500位來自各類組織的內部審計負責人進行調查，其結果顯示內部控制自我評估(CSA)被列為“當前內審最佳實務”的第二位，在“未來將越來越重要的實務”中排名第一

50南開大學程新生等內部控制的邏輯起點應當是“修己安人”，“修己”就是自我管理，（一）內部控制自我評價的優點實施自我評估程序，通過對自我評價，可以提高風險管理有效性。將以前“發現和評價”為主要內容的活動向積極防范和提供解決方案的活動轉變，從事后發現問題到事前發現、防范風險轉變為，從單純強調控制轉向積極關注、利用各種方法改善企業績效，內部控制自我評價提高了內部控制效率。內部控制自我評價強調員工的參與性。51南開大學程新生等（一）內部控制自我評價的優點51南開大學程新生等（二）風險/內部控制自我評估的內容

國際內部審計師協會（IIA）認為，自我評估內容包括四個方面：確認風險；評價減少或管理風險的控制過程；開發用以將風險減少到可接受程度的行動計劃；確定實現業務目標的可能性。并采用以下四種不同的形式展開：52南開大學程新生等（二）風險/內部控制自我評估的內容52南開大學程新生等一是以目標為基礎。首先確定完成既定目標的現有控制方式，再確認剩余風險（采納控制措施后依然存在的風險）。評估現有的控制是否有效運作，剩余風險是否維持在可接受的水平

二是以風險為基礎。先列舉出影響目標實現的各種風險，然后確定能夠管理關鍵風險的適當控制，即典型的“目標－風險－控制”模式。三是以控制為基礎。在RSA之前已確認關鍵風險和控制，在RSA過程中把關注點放在評估內部控制運行的有效性

53南開大學程新生等一是以目標為基礎。首先確定完成既定目標的現有控制方式，再確認四是以過程為基礎。識別采購、產品開發、銷售等過程中的優、缺點，致力于評價、改善并簡化整個過程，這一方式對流程再造、全面質量管理、持續改進等管理活動提供支持。五是除了IIA以上四種方式之外，以部門為基礎的自我評估，即關注某個部門在整個組織中的位置，確認幫助部門有效發揮功能以及阻礙部門目標實現的因素

54南開大學程新生等四是以過程為基礎。識別采購、產品開發、銷售等過程中的優、缺點一般采用兩種方法：調查問卷法、研討會，后者是自我評估的典型方法。研討會通常持續2－4小時，由管理人員作為會議的引導者與協調者，引導與會人員就某一議題充分討論交流，在需要進行評估時利用電子記錄與投票系統收集信息，直接記錄與會者的意見，及時獲得反映與會者對解決議案的偏好、優先順序的量化結果

55南開大學程新生等一般采用兩種方法：調查問卷法、研討會，后者是自我評估的典型方寶鋼國際公司，員工參與內部控制建設，體現了員工價值，將推進CSA的過程視為一個人力資源培訓過程

自我評估報告包括三個部分：（1）評價的范圍和評價過程的特殊性；（2）內部各個環節的風險程度，風險最高的是紅色，較高的是黃色，其次是深綠色，再次是淺藍色，風險最低的是白色；對紅色和黃色的高風險環節進行具體描述，提出改進方案和完成時間、責任人；（3）行動計劃

56南開大學程新生等寶鋼國際公司，員工參與內部控制建設，體現了員工價值，將推進C9．3過程控制案例案例背景ZHY公司（以下簡稱公司）成立于1993年，由中央某直屬大型國企控股（以下簡稱母公司），總部和注冊地均位于新加坡。公司成立之初經營十分困難，但到了2003年，公司凈資產超過1億美元，總部資產近30億元。公司董事會有八名董事，三名為獨立董事，其他五名均來自母公司（董事長是集團總經理，其他分別為集團財務部負責人、運銷處副處長、其他人員不明）。57南開大學程新生等9．3過程控制案例案例背景57南開大學程新生等案例背景1995年公司收購了另外兩家合資伙伴的全部股權，先后經歷了兩年的虧損和兩年的休眠期，1997年恢復運營之后，公司進行了兩次戰略轉型：第一次轉型，是從一家船務經紀公司重新定位為以航油采購為主的貿易公司；第二次轉型，是從一個純貿易型企業發展到以石油實業投資、國際石油貿易和進口航油采購為一體的工貿結合型的實體企業。58南開大學程新生等案例背景1995年公司收購了另外兩家合資伙2001年12月6日，公司在新加坡交易所主板成功掛牌上市，發售股票1.44億股，每股發行價0.56新加坡元；共籌資8064萬新加坡元，成為新加坡交易所當年上市公司中籌資量最大的公司，也是中國首家利用海外自有資產在國外上市的中資企業陳久霖擅自擴大業務范圍，從事石油衍生品期權交易，與日本三井銀行、法國興業銀行、英國巴克萊銀行、新加坡發展銀行和新加坡麥戈利銀行等在期貨交易場外，簽訂了合同。陳久霖買了“看跌”期權，賭注每桶38美元，但國際油價一路攀升

59南開大學程新生等2001年12月6日，公司在新加坡交易所主板成功掛牌上市，發2004年2月，總經理陳久霖在《2004年全國企業管理創新》大會演講時，把“風險管理”作為自己的發言主題，用了近三分之一的篇幅對公司風險管理系統作全面介紹，并以巴林銀行為前車之鑒，還特別提到“50萬美元”的平倉止損線。2004年被評為新加坡最具透明度的上市公司

2004年9月前，公司業績表現良好：60南開大學程新生等2004年2月，總經理陳久霖在《2004年全國企業管理創新》2000－2004年度主要財務數據

單位：新家坡元年份2004年9月2004年6月2004年3月2003年2002年2001年2000年營業額8億7906萬7億4190萬5億8396萬24億2509萬16億8962萬10億5103萬9億6371萬稅前盈利1126萬1934萬1896萬6709萬5464萬4447萬1618萬所得稅(246萬)(260萬)(277萬)(1282萬)(641萬)(393萬)(268萬)稅后凈利880萬1674萬1619萬5427萬4822萬4055萬1350萬每股收益0.9分1.7分2.3分7.9分7.0分9.1分3.1分61南開大學程新生等2000－2004年度主要財務數據

單位：新家坡元2004年10月，油價再創新高，公司此時的交易盤口達5200萬桶石油；賬面虧損再度大增。直到10月10日，面對嚴重資金周轉的問題，公司首次向母公司呈報交易和賬面虧損。為了補加交易商追加的保證金，公司已耗盡近2600萬美元的營運資本、1.2億美元銀團貸款和6800萬元應收賬款資金，賬面虧損高達1.8億美元，另外已支付8000萬美元的額外保證金

62南開大學程新生等2004年10月，油價再創新高，公司此時的交易盤口達52002004年10月20日，母公司提前配售15%的股票，將所得的1.08億美元資金貸款給公司。在2004年10月26、28日，公司因無法補加一些合同的保證金而遭逼倉，蒙受1.32億美元實際虧損；11月8日，公司的衍生商品合同繼續遭逼倉，截至25日的實際虧損達3.81億美元；公司最終于同年12月2日對外披露5.5億美元的衍生工具交易虧損，向新加坡證券交易所申請停牌，并且申請法律破產保護

63南開大學程新生等2004年10月20日，母公司提前配售15%的股票，將所得的2004年3月，公司在虧損580萬美元時，可以有三種選擇，一是斬倉，把虧損限制在當前水平；二是讓期貨合同自動到期，賬面虧損逐步轉為實際虧損；三是展期，油價下跌到期貨賣出價，實現盈利。如果選擇前兩種方式就意味著虧損，公司管理者可能會面臨來自市場、集團、國內監管方面的壓力，可能引發集團內部不滿者的行動。在交易員和風險管理委員會的建議下，該公司管理者選擇了展期這一方式；當公司虧損擴大到8000萬元后，管理者仍堅持已有的決定

64南開大學程新生等2004年3月，公司在虧損580萬美元時，可以有三種選擇，一案例分析盡管ZHY公司擁有一個由部門領導、風險管理委員會和內部審計部組成的三層“內部控制監督結構”，但這個結構的每個層次在本次事件中都犯有嚴重的錯誤。此次事件反映了我國國有企業治理結構不完善，內部人控制，對海外企業的行政化治理等明顯特征，董事會組成、高管人員任免、資金控制、董事問責制度等方面都存在問題65南開大學程新生等案例分析盡管ZHY公司擁有一個由部門領導、風險管理委員會和內公司早在2002年在外部審計師的協助下，制定了《風險管理手冊》，規定了衍生產品交易的止損限額；對新產品的交易必須在一個委員會和總裁的推薦下獲得董事會的批準。但執行風險管理制度時，經營者繞開了董事會，《風險管理手冊》沒有起到應有的作用防范風險的需要做兩件事：一是加強投資管理，二是完善財務報告系統。此外，企業產權主體缺位，沒有一套真正的、自上而下的、來自股東的內控體系

66南開大學程新生等公司早在2002年在外部審計師的協助下，制定了《風險管理手冊新加坡普華永道會計公司（簡稱普華）2005年3月29日提交了針對中航油發生石油期權虧損事件的第一期調查報告。該報告認為，中航油出現虧損的原因包括以下幾方面：2003年第四季度對未來油價走勢的錯誤判斷；公司未能根據行業標準評估期權組合價值；缺乏推行基本的對期權投機的風險管理措施；對期權交易的風險管理規則和控制，管理層也沒有做好執行的準備等

67南開大學程新生等新加坡普華永道會計公司（簡稱普華）2005年3月29日提交了2005年8月，ZHY公司與新加坡監管當局達成和解，因從事內幕交易接受民事處罰800萬新元。總經理陳久霖被判處4年零3個月監禁，處以33.5萬新元罰款；前財務經理被判處二年監禁，處以15萬新元罰款；ZHY非執行董事長、非執行董事兼特別工作組組長、非執行董事分別被罰款40、15、15萬新元。2007年2月6日，國務院國有資產管理委員會宣布對ZHY公司巨虧事件處理決定，董事長被責令辭職，總經理陳久霖被開除黨籍、開除公職

68南開大學程新生等2005年8月，ZHY公司與新加坡監管當局達成和解，因從事內案例分析ZHY公司事件在過程控制方面提供的啟示有兩點：其一，需完善企業內控和監控機制。首先要在企業內部建立一個制衡機制，做到權力和責任平衡，嚴格執行制度，做到任何人、任何行為都不能超越于制度之上；其次，要在企業內部建立風險預警機制，即對企業經營所涉及的市場風險、信用風險等進行定量測算，以防范企業風險。其二，提升企業的風險管理水平，使企業高層和相關人員對其所從事的經營活動所涉及到的風險有清醒的認識。69南開大學程新生等案例分析ZHY公司事件在過程控制方面提本章小結過程控制是使控制對象在行為過程中處于穩定狀態，并達成內部控制目標的控制活動。企業所面臨的風險可歸信用風險、市場風險以及運營風險。運營風險是企業經營管理活動不穩定的重要因素，因而過程控制的重點是對運營風險的控制。運營風險包括流程風險、人員風險、系統風險和外部風險。在ERM框架下，企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰略制訂并貫穿于主體之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證。結合企業全面風險管理的思想，風險監控包含四步流程，即過程風險識別、風險評估、風險應對以及風險控制。70南開大學程新生等本章小結70南開大學程新生等思考題、練習題指導性答案思考題1．如何理解過程控制這一概念的？答：過程控制是指在內部控制框架下，使控制對象在行為過程中處于穩定狀態，并達成內部控制目標的控制活動。過程控制比結果控制要深入、具體，不僅對工作結果進行監控，而且要對整個過程進行控制。過程控制的對象主要是企業經營管理面臨著各種風險，它以“目標—風險—控制”流程為指導，對所有的風險進行分析，包括管理層關注的事項以及引起責任人員注意的風險領域。關注高風險的領域，以提供相關的、符合管理層和董事會需求的信息。71南開大學程新生等思考題、練習題指導性答案思考題71南開大學程新生等2．試列舉企業過程活動中的運營風險答：運營風險是指由不健全或失敗的內部流程、人為錯誤、系統或外部事件所導致的直接或間接損失的風險。例如，在采購過程中，如果原材料缺貨或成本過高，那么可能會影響到企業在客戶需要時提供具有競爭性價格的產品或服務的能力；“黑客”惡意攻擊者未經授權進入網絡交易系統，使用非法手段，刪除、篡改數據，破壞原始信息，損害企業的經濟利益等等。72南開大學程新生等2．試列舉企業過程活動中的運營風險72南開大學程新生等3．怎樣理解ERM框架的含義、內容和作用？答：在ERM框架下，企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰略制訂并貫徹執行之中，管理風險以使其在該組織的風險容量之內，為組織目標的實現提供合理保證。它明確了以下內容：風險管理是一個過程，受人的影響，應用于戰略制定，貫穿整個企業的所有層級和單位，旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險，為了實現各類目標提供合理保證。它能夠幫助管理當局實現所在主體的業績和盈利目標，防止資源損失；有助于確保主體有效地報告以及主體活動符合法律和法規；還有助于避免對主體聲譽的損害以及由此帶來的后果。它也存在著一些局限：如人類在決策過程中的判斷可能有紕漏，有關應對風險和建立控制的決策需要考慮相關的成本和效益；不可控的事項、差錯或不當報告偶爾也會發生，控制可能因為兩個或多個人員的串通而被規避等等。73南開大學程新生等3．怎樣理解ERM框架的含義、內容和作用？73南開大學程新4．簡述企業開展全面風險管理的概念（有改動）答：根據2006年出臺了《中央企業全面風險管理指引》的論述，全面風險管理是企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略與措施、風險管理的組織體系、風險管理信息系統和內部控制，為實現風險管理的總體目標提供合理保證的過程和方法。74南開大學程新生等4．簡述企業開展全面風險管理的概念（有改動）74南開大學程5．簡述內部控制自我評估的內容答：國際內部審計師協會（IIA）認為，自我評估內容包括四個方面：確認風險；評價減少或管理風險的控制過程；開發用以將風險減少到可接受程度的行動計劃；確定實現業務目標的可能性。可以采用五種不同的形式展開：一是以目標為基礎；二是以風險為基礎；三是以控制為基礎；四是以過程為基礎；五是以部門為基礎的自我評估。75南開大學程新生等5．簡述內部控制自我評估的內容75南開大學程新生等練習題：1.ABCD2.ABCD3.ABCD4.BCD5.BD案例討論題提要：事故樹方法如下頁。從事故樹中確定火災發生的原因，尋找重點風險源，采取措施。76南開大學程新生等練習題：1.ABCD2.ABCD3.ABC火災鍍膜著火火罩沒有滅火火災傳送帶過慢報警器失靈溫度過高鍍層過度速度設置錯誤報警器失靈沒有打開開關機器故障電器故障沒有工作出現故障沒有打開開關風扇沒有工作報警器失靈風扇出現故障機械故障電器故障材料損壞77南開大學程新生等火災鍍膜著火火罩沒有滅火火災傳送帶過慢報警器失靈溫度過高鍍層參考文獻78南開大學程新生等參考文獻78南開大學程新生等趙帥．長虹事件四大教訓．環球時報（第12版），2005年1月5日詹姆斯.林

著，黃長全

譯.企業全面風險管理—從激勵到控制.北京：中國金融出版社，2006

LarryE.Rittenberg，BradleyJ.Schwieger，程新生

主譯．審計學：變化環境中的概念（第五版）．北京：清華大學出版社，2007

RothJ.andD.Espersen,AlltelControlandRiskSelf-AssessmentProcess,InternalAuditor’sRoleinCorporateGovernance,theIIAResearchFoundation,2003,6TritterR.P.，李海風，朱軍霞

譯.控制自我評估－以協調為基礎的咨詢指南.北京：清華大學出版社，2004

79南開大學程新生等趙帥．長虹事件四大教訓．環球時報（第12版），2005年1月內部控制過程包括過程控制、內部審計，過程控制使控制對象在行為過程中處于穩定狀態，并達成內部控制目標的控制活動，涉及運營風險監控、風險的自我評估和信息反饋等

內部控制過程篇80南開大學程新生等內部控制過程包括過程控制、內部審計，過程控制使控制對象在行為9．1運營風險9．2風險監控

9．3過程控制案例第九章過程控制81南開大學程新生等9．1運營風險第九章過程控制2南開大學程新生等9．1運營風險過程控制是指在內部控制框架下，使控制對象在行為過程中處于穩定狀態，并達成內部控制目標的控制活動。過程控制比結果控制要深入、具體，不僅對工作結果進行監控，而且要對整個過程進行控制，如風險監控是過程控制的重要內容

82南開大學程新生等9．1運營風險過程控制是指在內部控制框架下，使控制對象在行2001年，長虹公司為實現海外發展戰略、提高銷售額，將長虹彩電交由APEX公司在美國銷售。APEX方面總是以質量問題或貨物未收到為借口，拒付、拖欠貨款或少量付款。2002年底，長虹公司應收賬款為42.2億元，APEX公司就占了90%，達38.3億元。2003年底長虹公司應收賬款49.8億元，APEX公司就占了89%，達44.6億元。長虹公司內部為此專門成立了APEX項目管理小組

83南開大學程新生等2001年，長虹公司為實現海外發展戰略、提高銷售額，將長虹彩但令人無法理解的是，在提出對賬和索要貨款未果的情況下繼續發貨給APEX公司。2003年底，長虹公司派出高級管理人員與APEX交涉，結果2004年初長虹又發貨3000多萬美元，暴露了長虹公司在過程控制方面的問題。企業最高管理層需要樹立企業成長、盈利、風險三者平衡的風險控制觀，要求管理當局將主要精力放在風險管理方面，而不是所有細節的控制上

84南開大學程新生等但令人無法理解的是，在提出對賬和索要貨款未果的情況下繼續發貨一、流程風險風險具有普遍性、多樣性、可變性(一種風險可轉化或擴展成另一種風險)、突發性、隱蔽性、復雜性、可控性。流程風險源于缺乏有效的流程管理，包括生產流程風險、交易流程風險、產品或服務風險。生產過程風險包括生產能力風險、生產周期風險、生產中斷風險、存貨保持風險等。85南開大學程新生等一、流程風險6南開大學程新生等交易過程風險的發生可能發生在采購環節，也可能是由于企業對于供應商或客戶的評估而產生的。在采購過程中，如果原材料缺貨或成本過高，那么可能會影響到企業在客戶需要時提供具有競爭性價格的產品或服務的能力。另外，采購原料的質量問題也可能引起風險例如，上海寶鋼礦石供應的風險

86南開大學程新生等交易過程風險的發生可能發生在采購環節，也可能是由于企業對于供交易流程中的風險控制交易前交易中交易后交易管理工具訂單去向交易執行確認交易清算及核對會計記錄圖9－1交易流程中的風險控制定價信用記錄87南開大學程新生等交易流程中的風險控制交易前交易中交易后交易管理工具訂單去向交【英特爾的失誤】1994年11月，一位學術界人士告訴英特爾公司，它們生產的奔騰處理器有一個小的運算功能錯誤。但英特爾公司非常自信，沒有認真對待這位客戶的反應。發現瑕疵的教授通過互聯網詢問其他人是否也遇到了類似的問題，結果得到數以千計人的回答。盡管英特爾公司一再向用戶保證，處理器的這個微小的問題不會影響到PC機的整體功能（出現計算錯誤的概率為90億分之一），但用戶堅決要求更換產品。新聞媒體的批評是嚴厲的，IBM公司對裝有奔騰處理器的計算機停止發貨。雖然英特爾公司制定了更換產品的政策，但只有約3%的用戶的產品得到了更換，英特爾為此付出了4.75億美元的代價88南開大學程新生等【英特爾的失誤】9南開大學程新生等二、人員風險人員風險是指由于人員資格和能力不能夠滿足工作的要求，致使設計或操作出現漏洞、疏忽、工作完成的效果差、難以達到預計目標、生產經營效率低下、產品質量或服務質量不達標準的可能性有調查顯示，大型超市的經理僅將31%的庫存損失歸因于店鋪偷竊者，而將剩余的46%歸咎于員工偷竊。如果只是追求利潤而不將風險意識結合到公司的文化中，同樣會引發員工的不良表現

89南開大學程新生等二、人員風險10南開大學程新生等【迪斯尼公司的員工背景調查】迪斯尼樂園的業務是建立在公司安全及童趣的聲譽上：如果聲譽受損，業務就會下滑。1998年7月，迪斯尼公司一名年齡不到20歲的廚師被指控在酒店的衛生間侵犯了一位游客。這個廚師還有著相當多的犯罪和被捕記錄時，他的犯罪記錄還包括襲擊他人、入室偷竊等。在他被迪斯尼雇傭的時候，他處在緩刑期間。輿論對此曝光后，迪斯尼樂園的客流量和收入在一段時間內受到了打擊。這一事件之后，迪斯尼樂園將每一個員工都當作企業的風險源，更注重員工錄用時的背景調查。90南開大學程新生等【迪斯尼公司的員工背景調查】11南開大學程新生等海空物流公司CEO向公司的每一個員工發出了必須遵守基本的職業道德規范（CodeofBusinessConduct），將該職業道德規范放在網站上，要求每一位員工每年必須重新學習一遍，強化員工的控制意識

91南開大學程新生等海空物流公司CEO向公司的每一個員工發出了必須遵守基本的職業三、信息系統風險信息系統風險包括信息系統數據的真實性、系統的穩定性、系統使用的安全性等方面。運用信息系統的企業，在設計商業流程及系統時，應該明確地將數據安全、準確作為首要目標例如，一些物流公司在客戶出貨多的情況下，沒有及時掌握信息、制定流程控制防止業務人員操作失誤；在貨急和客戶提供信息不完整時，沒有應急的流程控制和信息溝通，容易造成客戶流失。92南開大學程新生等三、信息系統風險13南開大學程新生等四、外部風險這種風險的來源于企業外部，但屬于企業風險監控和內部控制范圍，未雨綢繆是一個比亡羊補牢更理性的選擇。外部風險可以是自然或人為的災難，可能來自于競爭具有偶然性，難以預測，一旦發生卻有著嚴重的后果外部風險還環境，使企業的原有運營環境遭到破壞，但是有效的管理可以降低此類風險。例如，IBM從一個硬件公司到一個服務及解決方案公司的轉型，較好地解決了競爭環境變化帶來的風險93南開大學程新生等四、外部風險14南開大學程新生等9．2風險監控以“目標—風險—控制”流程為指導，對所有的風險進行分析，包括管理層關注的事項以及引起責任人員注意的風險領域。關注高風險的領域，以提供相關的、符合管理層和董事會需求的信息風險管理源于20世紀30年代，在風險定性分析的基礎上，把保險作為處理風險的主要方法到了50年代，運用概率論和數理統計；60年代后，系統地研究風險管理；自70年代以來，風險管理逐漸發展成為新興的管理學科，不再局限于信用風險管理，80年代轉向財務風險管理（包括資本市場風險、信用風險等），90年代后期進入了全方位的企業風險管理94南開大學程新生等9．2風險監控以“目標—風險—控制”流程為指導，對所有的風企業風險管理財務風險管理信用風險管理圖9－2風險管理發展示意圖95南開大學程新生等企業風險管理財務風險管理信用風險管理圖9－2風險管理發展一、COSO委員會《企業風險管理－整合框架》（一）企業風險管理－整合框架2004年9月，由美國注冊會計師協會(AICPA)、國際內部審計師協會(IIA)、財務經理人協會(FEI)、管理會計師協會(IMA)、美國會計學會(AAA)組成的COSO委員會正式發布了《企業風險管理—整合框架》（EnterpriseRiskManagement，以下稱ERM），為企業管理當局評價和改進其所在組織的企業風險管理提供了一個框架96南開大學程新生等一、COSO委員會《企業風險管理－整合框架》17南開大學程企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰略制訂并貫徹執行之中，管理風險以使其在該組織的風險容量之內，為組織目標的實現提供合理保證

ERM框架明確了以下內容：風險管理是一個過程，受人的影響，應用于戰略制定，貫穿整個企業的所有層級和單位，旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險，為了實現各類目標提供合理保證97南開大學程新生等企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他ERM包括八個相互關聯的部分：（1）內部環境—為人員如何認識和對待風險設定了基礎，包括風險管理理念和風險容量、誠信和道德價值觀，以及所處的經營環境。（2）目標設定—必須先有目標，管理當局才能識別影響目標實現的潛在事項。（3）事件識別—必須識別影響組織目標實現的內部和外部事項，區分風險和機會，使機會被反饋到管理當局的戰略或目標制定過程中。98南開大學程新生等ERM包括八個相互關聯的部分：19南開大學程新生等（4）風險評估—通過考慮風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據。（5）風險應對—管理當局選擇風險應對策略—回避、承擔、降低或者分擔風險，以便把風險控制在組織的風險容忍度和風險容量以內。（6）控制活動—制定和實施政策和程序以確保風險應對方略得以有效實施。（7）信息和溝通—向組織的各個層級提供他(她)們識別、評估和應對風險所需的信息。有效溝通包括信息在組織中的向下、平行和向上流動。99南開大學程新生等（4）風險評估—通過考慮風險的可能性和影響來對其加以分析，并（8）監控—進行全面監控，必要時加以糾正。監控可以通過持續的管理活動、個別評價或者兩結合起來完成。企業風險管理的八個要素都是為企業的四個目標(經營效率、財務報告可靠性、合規合法性、戰略目標)服務的，企業各個層級都要堅持同樣的四個目標，每個層次都必須從以上八個方面進行風險管理。100南開大學程新生等（8）監控—進行全面監控，必要時加以糾正。監控可以通過持續的

企業風險管理主要有下列作用：（1）協調風險容量與戰略—管理當局在評價備選的戰略、設定相關目標和建立相關風險的管理機制的過程中，需要考慮所在組織的風險容量。（2）增進風險應對決策的嚴密性—ERM為識別和選擇風險應對策略—風險回避、承擔、降低或者分擔，提供了理論依據。（3）控制或抑減經營意外和損失——使組織識別潛在事項和實施應對的能力得以增強，從而抑減意外情況以及由此帶來的成本或損失。101南開大學程新生等企業風險管理主要有下列作用：22南開大學程新生等（4）識別、管理多重的和貫穿于企業的風險—每個企業都面臨著影響其不同部分的一系列風險，ERM有助于有效地應對交互影響的風險因素，應對多重風險。（5）抓住機會—通過全面考慮潛在事項，促使管理當局抓住并積極地利用機會。（6）改善資本配置—獲取有效的風險信息，幫助管理當局有效地評估資源需求，并改進資源配置。102南開大學程新生等（4）識別、管理多重的和貫穿于企業的風險—每個企業都面臨著影企業過程控制失控發生的損失公司損失未評估的風險Barclay’sBank巴克雷銀行由于在香港的交易商大量投資于金融衍生品，成為世界上最早開展其他業務的金融機構之一通過占據有利位置而不是套利，大量投資于金融衍生品。通過超額獎金激勵交易者WorldCom世通由于控制不完善、財務錯報和貸款給CEO導致公司破產財務報告涵蓋了三個以上地點；對CEO的貸款沒有抵押物；以股價為基礎激勵，內部控制失效Daimler-Chrysler戴姆克萊斯勒由于Chrysler公司收購Daimler公司而遭受重大財務和股價損失為了增加盈利，Chrysler將未達到Daimler質量的新產品打入市場中航油（新加坡）破產保護缺乏有效的風險監控系統103南開大學程新生等企業過程控制失控發生的損失公司損失未評估的風險Barcla風險偏好是企業為了追求更大價值而愿意承擔的風險容量，與戰略和資產配置有關。盡管企業風險管理有很多重要的作用，但它也存在著局限。這些局限主要源于下列方面：人們在決策過程中的判斷可能有紕漏，有關應對風險和建立控制的決策需要考慮相關的成本和效益；不可控的事項、差錯或不當報告偶爾也會發生，控制可能因為兩個或多個人員的串通而被規避；管理當局有可能凌駕于企業風險決策之上等

104南開大學程新生等風險偏好是企業為了追求更大價值而愿意承擔的風險容量，與戰略和（二）ERM與內部控制整合框架的關系ERM框架幾乎包含了COSO委員會在1992年發布(1994年修訂)的內部控制整合框架的所有內容，并進行了較全面的拓展。ERM框架是內部控制整合框架的升級，這種升級主要表現在以下幾個方面：1．提升了內部控制的目標層次2．增加和優化了內部控制的內容3．建立了風險的組合觀4．引入風險容量和風險容忍度的概念105南開大學程新生等（二）ERM與內部控制整合框架的關系26南開大學程新生等二、企業全面風險管理ERM風險管理框架發布后，引起企業界和監管部門的關注。在我國，國務院國有資產管理委員會2006年出臺了《中央企業全面風險管理指引》（以下簡稱《指引》），借鑒了COSO委員會“企業風險管理框架”和國內外先進企業風險管理方面的經驗，以及國內有關內部控制建設方面的規定，對中央企業開展全面風險管理工作的總體原則、基本流程、組織體系、風險管理、信息系統等方面進行了詳細闡述106南開大學程新生等二、企業全面風險管理27南開大學程新生等全面風險管理基本流程包括以下主要工作①收集風險管理初始信息；②進行風險評估；③制定風險管理策略；④提出和實施風險管理解決方案；⑤風險管理的監督與改進。107南開大學程新生等全面風險管理基本流程包括以下主要工作28南開大學程新生等具備條件的企業可建立風險管理三道防線：即各有關職能部門和業務單位為第一道防線風險管理職能部門和董事會下設的風險管理委員會為第二道防線內部審計部門和董事會下設的審計委員會為第三道防線

108南開大學程新生等具備條件的企業可建立風險管理三道防線：29南開大學程新生【中廣核集團全面風險管理體系建設案例】中廣核集團是在1985年與香港中電合資建設的大亞灣核電站的基礎上，于1994年9月經國務院批準成立的大型企業集團，從成立之初就十分重視風險管理工作，形成了一套比較完整的管理制度和程序，積累了一定的管理經驗，取得了較好的成效，中廣核集團借鑒國務院國有資產管理委員會《中央企業全面風險管理指引》，將風險管理作為重點工作之一，積極推進全面風險管理體系建設，保戰略目標實施、保可持續發展，取得了初步成效109南開大學程新生等【中廣核集團全面風險管理體系建設案例】30南開大學程新生1．全面開展風險評估診斷，明確所面臨的重大風險在進行風險調研的基礎上，組織填寫并回收調查問卷共計240多份，收集風險初始信息9474條，辨識出風險事件517個，最終在集團公司層面歸集為13大類、35個風險。在此基礎上，通過進一步從風險的影響程度、風險發生的可能性和管理改進的迫切性三個維度對所收集的風險信息和調查結果進行統計、分析、評價，繪制出集團風險圖譜，經過集團風險管理領導小組確認，明確了需要重點防范的九類重大風險

110南開大學程新生等1．全面開展風險評估診斷，明確所面臨的重大風險在進行風險調研2．制定重大風險管理策略和措施，加強重大風險管理針對評估辨識出的重大風險，推進小組通過對集團高層領導、集團公司顧問和相關專家、重要管理骨干等，共計78人次進行訪談，初步掌握重大風險的管理現狀，并將戰略、資金和核電工程建設等三個方面重大風險的管理作為突破口，對與其相關的管理制度和流程進行梳理、分析

對其關鍵業務環節設計了29個風險監控指標，制定了28項風險預警標準，建立了相應的風險監控報告和預警機制

111南開大學程新生等2．制定重大風險管理策略和措施，加強重大風險管理針對評估辨識三、風險監控風險評估首先應找到“風險動因”，而不能簡單地將業務部門或行政區域作為風險評估的對象，對“風險動因”的具體元素進行逐個評估后，風險既可以進行橫向匯總對機構風險進行排序，也可以對不同業務進行縱向匯總對業務風險進行排序。對業務風險的評估和排序結果是進行專項檢查的重要依據，為提高業務水平提供了可能。112南開大學程新生等三、風險監控33南開大學程新生等（一）風險監控流程有效的風險監控系統有助于實現內部控制的目標，將降低損失、減少重大負面事件發生的概率，為企業提供早期風險警告機制，改進企業實現其商業目標的能力，管理層將力量集中在創造價值的活動方面，而不是應付危機上；有效的風險監控使風險轉移合理化，提高企業的市場價值113南開大學程新生等（一）風險監控流程34南開大學程新生等過程控制目標收集風險方面的信息過程風險識別風險應對（確定風險管理模式）內部控制風險控制（改進風險管理能力，監督風險管理制度的實施）風險評估（分析風險來源并測量風險）風險導向下的過程控制114南開大學程新生等過程控制目標收集風險方面的信息過程風險識別風險應對內部控制風風險監控的流程可分為四個步驟：風險識別、風險評估、風險應對以及風險控制，以下分別敘述115南開大學程新生等風險監控的流程可分為四個步驟：36南開大學程新生等1.風險識別方法有七種：（1）風險清單分析法。該方法是美國風險和保險管理學會開發制定了風險清單，列示了已識別的、常見的企業風險。例如，玻璃或其他易碎品破碎；故障；員工疏忽；爆炸和內破裂；雇員的欺詐行為；征用；外部欺詐、偽造

116南開大學程新生等1.風險識別37南開大學程新生等（2）現場調查法：現場調查法一般分為三步，即調查前的準備工作、現場調查以及形成調查報告。調查前的準備工作要設計出調查表或調查問卷，內容包括調查的時間、地點、對象等

（3）財務報表分析法：一個股份公司，尤其是上市公司都會有自己的預期目標和遠景規劃，這些相關信息的披露將直接影響投資者的認可程度。NX公司計劃目標是，2007年實現銷售額增長10%，即1000萬元，凈利潤增加300萬元。為了實現這一目標就必須將目標分解為各個部門的目標，具體到每個人員的工作預期

117南開大學程新生等（2）現場調查法：現場調查法一般分為三步，即調查前的準備工作（4）組織結構圖分析法：根據需要畫出企業或部門的整體結構圖，尋找部門之間是否存在重復性、依賴性或集中性；也可在組織結構圖上標注該部門的原料供應量、收入、利潤等，管理人員可以清楚的看到各部門的責任和風險，也可以借鑒戰略地圖對風險進行描述

（5）流程圖法：配有解釋表，用來具體說明各流程階段會發生的風險種類，可以直觀的反應易發生風險的流程以及它對其他流程的影響

118南開大學程新生等（4）組織結構圖分析法：根據需要畫出企業或部門的整體結構圖，（6）因果圖法：因果圖法是一種分析風險事故與導致風險事故因素之間因果關系的有效工具。這一方法的關鍵是繪制因果圖。圖中主骨代表被分析的風險事件，大骨代表導致風險事件的主要原因，中骨表示導致大骨的主要原因，依此類推，將導致風險事件的因素盡可能的在圖中表示

119南開大學程新生等（6）因果圖法：因果圖法是一種分析風險事故與導致風險事故因素（7）事故樹法由某一風險事件出發，運用邏輯推理的方法推導出其引發風險的原因。從頂上事件（風險事件）－中間事件－基本事件進行事故樹的結構圖分析，從而確定風險源。在20世紀90年代早期，思科公司的股價是其每股銷售收入的6倍，2000年第1季度，公司股價是公司未來銷售收入的25倍，而公司的β值（資本市場上一種度量風險的指標）高達1.13。公司的風險較高，但為股東創造了價

120南開大學程新生等（7）事故樹法由某一風險事件出發，運用邏輯推理的方法推導出其表

思科公司的主要風險1．增長率2．毛利3．并購4．行業合并5．對新產品開發的依賴6．進入新的發展中的市場7．國際經營風險8．戰略聯盟9．資產組合投資10．競爭性風險因素a．價格b．業績c．提供方案與支持d．遵守準則e．添加增值功能（安全和可靠）的能力11．員工13．產品的現成性14．自然災害15．季度數據的變動16．組織變更17．服務提供商的銷售18．股價的波動性19．外匯匯率風險20．侵權風險121南開大學程新生等表思科公司的主要風險1．增長率9．資產組合投資13．產品2.風險評估風險評估是指在風險識別的基礎上對風險進行定量和定性的綜合分析，并確定風險影響的過程。首先對風險進行測量，在過去風險資料分析的基礎上，運用概率論和數理統計的方法對某一特定或者幾個風險事件發生的損失頻率和損失程度做出定量估計。其次，評估風險，即在風險識別和風險測量的基礎上，把損失概率、損失的程度、風險評估標準以及其他因素綜合起來考慮，分析風險對企業的影響。122南開大學程新生等2.風險評估43南開大學程新生等美林證券公司建立了風險管理體系，其風險管理組織結構有三大特點：一是在公司基層強調的是風險信息準確及時的獲得，在管理層面強調部門間協調與溝通；二是基層組織的設置、人員安排、工作范圍分工明確，公司管理層、部門和人員之間相互參與現象極為普遍；三是風險的監控滲透到每一項業務活動中，各項業務必須在業務指導部門、管理職能部門和風險管理部門三方的共同協調下開展

123南開大學程新生等美林證券公司建立了風險管理體系，其風險管理組織結構有三大特點圖美林證券風險管理的組織結構

124南開大學程新生等圖美