第二章企業風險管理實踐24十月2024企業風險管理第二章企業風險管理在各國的實踐1本章學習目標了解英國公司治理的發展歷程，掌握卡德伯利報告、哈姆佩爾報告和特恩布爾報告的主要內容掌握美國企業風險管理發展的5個階段掌握COSO《內部控制—整合框架》的主要內容掌握薩班斯一奧克斯利法案的內容概要理解薩班斯一奧克斯利法案的精髓和缺陷掌握COSO《企業風險管理—整合框架》的主要內容掌握COSO《企業風險管理—整合框架》和《內部控制—整合框架》的聯系與區別理解我國企業風險管理的發展歷程及存在的問題了解其它國家和地區的企業風險管理實踐總體狀況目前各國的風險管理水平的大致情況是：美國、澳大利亞最超前、成熟；日本、英國、加拿大等國在風險管理標準方面的研究也較為深入。我國風險管理事業雖然起步較晚，風險管理的系統實施尚不普及，但部分從業人員的水平居世界前列。24十月2024企業風險管理第二章企業風險管理在各國的實踐2第二章企業風險管理實踐24十月2024企業風險管理第一章緒論3第一節企業風險管理在英國的實踐1第二節企業風險管理在美國的實踐2第三節企業風險管理在我國的實踐34第四節企業風險管理在其他國家和地區的實踐4第一節企業風險管理在英國的實踐24十月2024企業風險管理第一章緒論4英國企業風險管理的發展離不開公司治理研究的推動。報告名稱發布日期卡德伯利報告（CadburyReport）1992年12月格林伯利報告（CreenburyReport）1995年7月哈姆佩爾準則（HampelCode）1998年6月特恩布爾報告（TurnbullReport）1999年9月邁爾斯評論（MynersReview）2001年3月史密斯報告（SmithReport）2003年1月西格斯報告（HiggsReport）2003年1月泰森報告（TysonReport）2003年6月綜合準則（TheCombinedCode）2003年7月一、卡德伯利報告(CadburyReport)24十月2024企業風險管理第一章緒論5該報告從財務角度對公司治理進行了深度的剖析，同時將內部控制置于公司治理的框架之下。建議從四個方面改善公司治理：公司董事會層面：重大事項經董事會決議公司非執行獨立董事層面：首次提出NEDs公司執行董事層面:董事薪酬委員會應由NEDs主導報告和控制層面：董事會必須向公司股東清晰直觀地呈報公司的當前經營和歷史經營狀況、公司的盈利前景一、卡德伯利報告(CadburyReport)24十月2024企業風險管理第一章緒論6除了公司治理環境，卡德伯利報告更從公司管理層次上提出，健全的內部控制是公司有效管理的一個重要方面。因此，建議董事們應發表一個聲明，對公司內部控制的有效性進行詳細描述。同時，外部審計師應對這份聲明進行復核和報告，并規定在董事會認可聲明之前，公司的審計委員會必須對公司的內部控制聲明進行復核。該報告還認為，內部審計有助于確保內部控制的有效性，內部審計的日常監督是內部控制的整體組成部分，會計師應在以下方面對公司的內部控制起到督導作用：①建立用以評估有效性的一整套標準；②建立董事會報告形式的具體指南；③建立審計師用以相關審計程序和報告格式的具體指南。“內外雙重審計”制度的創設，最大限度地避免了董事會、董事甚至內部審計人員串通舞弊的可能性。二、格林伯利報告（GreenburyReport）24十月2024企業風險管理第一章緒論7格林伯利董事薪酬研究委員會成立于1995年，重點關注董事薪酬增長速度與水平與公司業績表現嚴重脫鉤的問題。該委員會的主旨在于建立董事薪酬決策的最佳實踐，尤其針對以前所忽視的與公司績效掛鉤的薪酬支付。該委員會提交的董事薪酬最佳指引最終成為1995年上市準則（ListingRules）的附屬文件。格林伯利報告的核心思想有以下幾個方面：嚴禁執行董事自己給自己設定薪酬及其影響要素；在董事薪酬設計軟件中引入更嚴格的條件，著重關注董事業績激勵與公司回報之間的關系；改善對股東的義務。三、哈姆佩爾報告（HampelReport）24十月2024企業風險管理第一章緒論8哈姆佩爾報告于1998年6月問世并取代了卡德伯利報告和格林伯利報告，成為了在英國倫敦交易所上市必須遵循的上市規則。哈姆佩爾報告將內部控制的目的定位于保護資產的安全、保持正確的財務會汁記錄、保證公司內部使用和向外部提供的財務信息的可靠性，同時鼓勵董事對內部控制的各個方面進行復核，包括確保高效經營、遵守法律法規方面的控制。哈姆佩爾報告認為，將財務控制與其他控制區分開來是十分困難的，而且也并沒有太大的意義。該報告還堅信董事及管理人員對控制的各個方面進行復核具有重要意義，內部控制不應僅局限于公司治理的財務方面。從內部控制制度來看，哈姆佩爾報告與卡德伯利報告在諸多方面形成了鮮明對比。四、特恩布爾報告（TurnbullReport）24十月2024企業風險管理第一章緒論9特恩布爾報告。作為指導企業構建內部控制的指南，該報告的意義在于，它為公司及董事會提供了具體的、頗具操作性的內部控制指引。其主要內容包括：董事會對公司的內部控制負責執行風險控制政策是管理層的職責合理的內部控制要素公司內部控制的控制環境：①控制活動；②信息和溝通程序；③持續性監督程序。特恩布爾報告還描述了健全的內部控制所應具備的基本特征：①內部控制根植于公司的經營之中，成為公司文化的一部分，換言之，它不僅僅是為了取悅監管者而進行的年度例行檢查，更是真正意義上的對公司既定戰略目標的執行和公司治理的延伸；②針對公司所面臨的日新月異的風險，內部控制應具有快速反應的能力；③具有對管理中存在的缺陷或失敗進行快速報告的能力，并且能及時地采取糾正措施。五、邁爾斯評論（MynersReview）24十月2024企業風險管理第一章緒論10針對機構投資者（包括養老金計劃、保險公司）投資決策過程有效性進行研究。2001年3月，鮑爾.邁爾斯公布了相應的研究。報告中除了指明當時英國機構投資者在投資決策過程中顯著缺失有效性和靈活性外，還對投資決策有效步驟提出了基本的原則，對機構投資者的投資控制有著指導意義。六、史密斯報告（SmithReport）24十月2024企業風險管理第一章緒論112003年1月發布的史密斯報告為上市公司提供了董事會如何安排審計委員會以及審計委員會中的董事如何履行職責的指引該報告提供的指引包含以下內容：①審計委員會的組成與角色，人選程序和來源；②與董事會的關系；③角色與職能；④與股東的溝通七、西格斯報告（HiggsReport）24十月2024企業風險管理第一章緒論122002年4月，英國財政部和貿易中心為了提高英國各行業的生產效率，發起了對公眾上市公司非執行董事有效性的調研，對非執行董事的角色和效率提高進行徹底澄清就獨立非執行董事在獨立性、雇傭、任命、就職、任期、薪酬、辭職、審計委員會、職責和投資者關系各個方面提出了長達6頁紙的改進建議。八、泰森報告（TysonReport）24十月2024企業風險管理第一章緒論13泰森報告共有12章，涵蓋獨立非執行董事的屬性、成員來源、當前狀況、獨立非執行董事成員多樣性的優勢、董事會構成的約束條件、未來的培訓事宜等。主要特點如下：基于對公司的特殊需要和所面臨的挑戰進行詳細評估而作出的對每一個獨立非執行董事的任命過程；適用范圍擴大，包括公眾上市公司、專業服務公司、非上市公司、私人股權公司、非商業部門以及外資企業中的商業和非商業部門；為董事會成員提供正式的培訓和評估；形成新的組織，對董事會的構成提供常規的、可靠的評估。九、公司治理聯合條例24十月2024企業風險管理第一章緒論142003年的公司治理聯合條例取代了1998年由哈姆貝爾委員會發布的條例。2003年的聯合條例在原來條例的基礎上，新增了西格斯報告關于獨立非執行董事和史密斯報告關于審計委員會的內容。英國金融服務當局（FSA）決定將新聯合條例加入到上市準則中，在2003年11月及以后的上市公司報告中實行。上市公司披露報告將有兩部分內容涉及到上市準則的修訂：在報告的第一部分將要求陳述公司治理政策，第二部分將要求說明在哪些方面遵守了聯合條例的條款，而在哪些方面沒有遵守，不遵守的理由是什么。在實際操作中準則仍然采用沿用了10年之久的“遵守或解釋”的方法。聯合條例分為5個部分，分別是董事、薪酬、問責制度與審計、股東關系以及機構股東。英國企業風險管理實踐總結總之，英國企業內部控制的發展離不開公司治理的推動，內部控制和內部審計研究均置于公司治理的框架之內，重視從公司治理的角度來鞏固內部控制制度的效果，把內部控制看作公司治理在企業日常運用中的有效延伸，這是英國公司治理和內部控制體系發展帶給我們最大的啟發，也是當前企業風險管理體系的核心，并催生了當前的公司治理的問責制和最佳實踐的基本原則。24十月2024企業風險管理第一章緒論15英國企業風險管理實踐總結公司治理的目的是建立一種問責性制度(Accountability),以使公司的董事會和管理人員切實承擔其責任，有效地運用他們受托管理的資金，為投資者（股東）謀取利益。健康的公司治理要求董事會內設置足夠多的外部獨立董事（甚至過半），而不是讓負責經營管理公司的內部人員控制董事會。董事會任命的某些附屬委員會應該完全由外部獨立董事組成，以便保障健康的公司治理實踐。對審計委員會而言，這一點尤為重要。獨立董事的重要作用越來越多地在公司治理準則和金融機構管理法規中得到反映和體現。24十月2024企業風險管理第一章緒論16第二節

企業風險管理在美國的實踐美國作為當前全球對風險管理控制最為嚴厲的國家，其風險管理的發展經歷了內部牽制、內部控制制度、內部控制結構、內部控制整體框架與整體內部控制和企業全面風險管理5個不同階段。COSO委員會（發起組織委員會）官網：24十月2024企業風險管理第一章緒論17一、美國的風險管理發展歷程24十月2024企業風險管理第一章緒論18-實物牽制-薄記牽制法律責任,廣義內控COSO內部控制整合框架薩班斯法案內控評價內部審計進展40年代前40-70年代80-90年代90年代后2002年后內部牽制內部控制結構完善-控制環境-會計系統-控制程序-控制環境-風險評估-控制活動-信息溝通-監督-建立內控-數據準確一致-內控可靠性

COSO企業風險管理整合框架-內部環境-目標設置-事件辨識-風險評估-風險反應-控制活動-信息與溝通-監控二、COSO《內部控制—整合框架》24十月2024企業風險管理第一章緒論19（一）內部控制定義由一個實體的董事會、管理層與其他人員所實施的一個流程，用于提供實現以下幾方面目標的合理保證：第一，財務報告的可靠性；第二，運營的有效性與效率；第三，符合相關法律法規COSO的三維整合框架為管理層提供了評估內部控制所需的標準：內部控制的設計旨在合理保證實現公司以下目標：運營的有效性與效率（包括資產保護）、財務報告的可靠性以及符合相關的法律法規。內部控制制度在公司內部貫穿的范圍：部門單位層（EntityLevel)與行動層（ActivitiesLevel，或稱流程層）。公司必須在這兩個層次上對其內部控制進行評估：部門單位層、行動層或流程層。內部控制制度的五大要素24十月2024企業風險管理第一章緒論20

【例】下列選項中屬于COSO委員會內部控制基本目標的是（）。

A.資產安全

B.運營的效益和效率

C.財務報告的可靠性

D.遵守適用的法律法規

『正確答案』BCD

『答案解析』COSO委員會對內部控制的定義是“公司的董事會、管理層及其他人士為實現以下目標提供合理保證而實施的程序：運營的效益和效率，財務報告的可靠性和遵守適用的法律法規。”24十月2024企業風險管理第二章企業風險管理在各國的實踐21（二）內部控制五大要素控制環境—控制環境決定了一個組織的基調，影響成員對于控制的意識。它是內部控制所有其他部分的基礎，提供綱領和結構。控制環境因素包括：誠信、道德價值觀和企業員工的競爭力；管理哲學和經營風格；管理層如何進行授權和職責分配，如何組織和發展它的員工；董事會提供的關注和指導；風險評估—每個公司都面臨著內外部風險，這些風險必須被評估。風險評估的前提是建立不同層次但具有內部一致性的目標。風險評估是發現和分析對達到目標有影響的風險的過程，是確定如何管理和控制風險的基礎。控制活動—控制活動是確保管理層指令得到執行的公司政策和流程。它確保企業針對相關的風險采取了必要的措施，以實現企業的目標。控制活動存在于整個組織的所有層次和所有職能部門中。控制活動包括一系列不同的活動，例如對經營活動的審批、授權、確認、核對、審核，對資產的保護，職權分離等24十月2024企業風險管理第一章緒論22（二）內部控制五大要素信息與溝通—相關的信息必須以某種形式并在某個時段被識別、獲得和溝通，以促使職責的履行。信息系統生成報告，內容包括經營、財務和合規性方面的信息，以使得管理層能夠運作和控制業務活動。有效的溝通應當基于更為廣泛的理解，自上而下、自下而上地貫穿整個組織。監控—內部控制系統需要監督—一套隨時評價內部控制系統運行狀況的流程。通過持續的監督活動、單獨的評價或者兩者的結合來完成這種控制。24十月2024企業風險管理第一章緒論23【例】在COSO內部控制框架中，作為其它要素的基礎的是（）。

A.控制環境B.風險評估C.控制活動D.監察

『正確答案』A【例】某大型銀行規定，顧客貸款經理在批準貸款前，必須復核其下級提交的顧客分析報告及相關文件，并簽字授權，然后才能為貸款者發放貸款。根據以上信息可以判斷，該銀行的這種控制活動屬于（）。

A.授權和批準B.人員控制

C.監督及管理控制D.計算和會計

『正確答案』A

24十月2024企業風險管理第二章企業風險管理在各國的實踐24（三）COSO報告中對公司人員在內部控制中的闡述管理層：公司首席執行官（CEO）對內部控制負有全面的責任，可以看作是內部控制系統的“責任人”。依次的，高級管理人員向負責企業運營的員工分配建立更為具體的內部控制政策和程序的責任。董事會：管理層對董事會負責，董事會實施治理、指導和監督。內部審計師：內部審計師在評價內部控制有效性方面起著重要的作用，對維持有效性也有所貢獻。內部審計職能部門因為其在企業中的地位和權利，起著重要的監督作用。內部其他人員：內部控制從某種程度上是組織中每個人的責任，因此應當作為每個人工作范圍的明確或非明確的一部分。外部人員。公司的外部人員也有助于控制目標的實現。如外部審計、法律顧問、監管部門、客戶、其他往來單位、財務分析師、信用評級公司、新聞媒體等24十月2024企業風險管理第一章緒論25三、薩班斯一奧克斯利法案薩班斯法案的關鍵點就是建立起公司財務報告的可靠性。薩班斯法案共計11章，分別為公眾公司審計委員會、審計師的獨立性、公司的責任、強化財務資訊披露、利益沖突的分析、委員會的組成及其權利、研究及報告、公司欺詐及其刑事責任、強化白領刑事責任、公司納稅申報表和公司欺詐責任。11章下又分為66節，其中最重要的302節和404節第302節

公司對財務報告的責任第404節

管理層對內部控制的評價24十月2024企業風險管理第一章緒論26薩班斯法案中的302與404條款24十月2024企業風險管理第二章企業風險管理在各國的實踐27302條款–定期公開報告的附加CEO/CFO承諾書與披露已審閱了上報的該定期報告；該報告無失實陳述、或漏報重大事實、或誤導情況；該報告公允地反映了公司的財務狀況；設立并維持了足夠的披露內控體系；財務報告內控體系披露內控體系已于該報告中評價內控體系的有效性；對財務報告內控體系的重要變化說明；已對審計師披露財務報告內控體系的重大缺陷和不足，以及對財務報告內控有重大影響的雇員欺詐行為。404條款-年度財務報告內部控制的公司管理層報告書設立并維持了足夠的財務報告內控體系；財務報告內控體系有效性的評價；為評價財務報告內控體系而采用的評價體系的說明。Sarbanes-OxleyActof2002薩班斯一奧克斯利法案的精髓（1）禁止向本公司董事或高管人員提供私人貸款；在養老金計劃管制期內，公司的董事和高層管理人員不能直接或間接交易或持有該公司股票或從中獲益的其他行為；對于有違反證券法規情節的有關人士，美國證監會可以禁止他們擔任公司的管理人員或者董事等。（2）上市公司所有定期報告（包括公司依照1934年證券交易法規定編制的會計報表）應附有公司首席執行官與首席財務官簽署的承諾函；承諾函中的內容包括：確保本公司定期報告所含會計報表及信息披露的適當性，并且保證此會計報表及信息披露在所有重大方面都公正地反映了公司的經營成果及財務狀況。24十月2024企業風險管理第一章緒論28薩班斯一奧克斯利法案的精髓（3）在公司定期報告中若發現因實質性違反監管法規而被要求重編會計報表時，公司的CEO/CFO應當返還給公司12個月內從公司收到的所有獎金、紅利、其他形式的激勵性報酬以及買賣本公司股票所得收益；如果公司CEO/CFO事先知道違規事項，但仍提交承諾函，最多可以判處10年監禁，以及100萬美元的罰款；對于故意做出虛假承諾的，最多可以被監禁20年并判處500萬美元的罰款，20年監禁的重刑—這和美國持槍搶劫的最高刑罰相同。24十月2024企業風險管理第一章緒論29薩班斯一奧克斯利法案的精髓（4）提高財務報告披露的及時性。將年度報告期由90天縮短為60天；季度報告由45天縮短為35天。年報及季報都需要注冊會計師的審計；強化上市公司內控及報告制度，要求公司年度報告中提供“內部控制報告”，說明公司內部控制制度及其實施的有效性，“內部控制報告”要出具注冊會計師的意見；提高對公司信息披露可用性的要求，包括定期報告中披露所有的資產負債表外交易、財務狀況的預測性信息、高層財務人員的道德守則、所有由注冊會計師出具的實質性的糾正調整、臨時報告中公司財務狀況或財務經營狀況的實質性變化等。24十月2024企業風險管理第一章緒論30薩班斯一奧克斯利法案的精髓（5）公司的審計委員會必須完全由“獨立董事”組成獨立董事不得是公司或者其子公司的關聯人士，其中至少一人應是財務專家；獨立董事不得從公司接受任何咨詢費、顧問費或者其他酬金；公司聘用會計師事務所及報酬方式要由審計委員會批準，并接受審計委員會的監督；會計師事務所在審計過程中遇到的重大事項必須及時報告審計委員會；為保證審計委員會能夠及時發現公司的會計和審計問題，還需要建立一套處理舉報或投訴的工作程序以及相應的監測系統、反應機制。24十月2024企業風險管理第一章緒論31薩班斯一奧克斯利法案的精髓（6）禁止會計師事務所在進行審計業務的同時提供非審計業務；強制實行注冊會計師定期輪換制。（7）要求美國證券交易委員會制定相關的規定和細則，以避免證券分析師在其研究報告或公開場合向投資者推薦股票時“見利忘義”，以提高研究報告的客觀性，向投資者提供更為有用和可靠的信息；規定一定期限內擔任或即將擔任公開發行股票承銷商或坐市商

(Dealers)的經紀人和交易商不得公開發布關于該股票或發行人的研究報告；在執業的經紀人和交易商內部建立制度架構體系，將證券分析師劃分為復核、強制(Pressure)、監察等不同的工作部門，以避免參與投資銀行業務的人員存有潛在的偏見；要求證券分析師、經紀人和交易商在研究報告公布的同時，披露已知的和應當知曉的利益沖突事項。24十月2024企業風險管理第一章緒論32薩班斯一奧克斯利法案的精髓（8）任何人通過信息欺詐或價格操縱在證券市場獲取利益，最多可監禁25年或處以罰款；對違法的注冊會計師可被判處10年以下監禁或罰款；延長了對證券欺詐的追訴期，起訴時間可以延長至非法行為發現的2年內，或者非法行為實施后的5年內；新的規定將保護公司檢舉揭發的員工，對舉報者進行打擊報復的，最高可判處10年監禁，還規定了對舉報者的具體的補償措施，比如恢復職務、補發報酬及其他損失等。24十月2024企業風險管理第一章緒論33薩班斯一奧克斯利法案實施的短板和誤區考問之一：正確地做事還是做正確的事。考問之二；紙面工作還是風險導向。考問之三：獨立會計師對公司經營風險的把握和勝任能力。24十月2024企業風險管理第一章緒論34四、COSO《企業風險管理—整合框架》（一）產生背景進人21世紀以來風險管理課題的日益凸顯，要求一個內涵更為豐富的理論框架以有效地識別、評估與管理風險。在廣泛吸收各國理論界（例如：英國的Turnbull報告，加拿大的COCO）和實務界（例如：銀行業的BaseⅡ）等研究結果的基礎之上，并且經過充分的意見征求與討論之后，COSO將其理論體系進行了進一步的豐富與提升，并于2004年9月在《內部控制—整合框架》理論的基礎之上推出了《企業風險管理一整合框架)((EnterpriseRiskManagement，ERM框架)。24十月2024企業風險管理第二章企業風險管理在各國的實踐35（二）主要內容根據COSO的《企業風險管理—整合框架》，企業風險管理應包括八個相互關聯的構成要素。它們是：內部環境、目標設置、事件辨識、風險評估、風險反應（對策）、控制活動、信息和溝通、監控。24十月2024企業風險管理第二章企業風險管理在各國的實踐361．內部環境內部環境是企業風險管理所有其它構成要素的基礎，為其他要素提供約束和結構。它影響戰略和目標如何制訂，經營活動如何組織以及如何識別、評估風險并采取行動。它還影響著控制活動、信息與溝通體系和監控措施的設計與運行。內部環境包含很多要素，關鍵要素有風險管理哲學、風險偏好、風險文化、董事會、操守與道德價值觀、能力、管理哲學和經營風險、組織架構、權責劃分以及人力資源標準。24十月2024企業風險管理第二章企業風險管理在各國的實踐371．內部環境（1）風險管理哲學：企業的風險管理哲學指的是企業從戰略制定到日常經營過程中對待風險的一系列信念與態度，它反映了企業的價值觀，影響著企業的文化和經營風格，也影響到企業風險管理要素的應用，如風險如何確認、評估或管理。（2）風險偏好：風險偏好是指企業為追求某個目標或價值可以接受的風險程度。（3）風險文化：風險文化是指企業內部知識共享的態度和對風險的價值觀，它貫穿于企業風險評估的日常操作中。（4）董事會：董事會是內部環境的重要組成部分，而且對其他的內部環境因素有重要影響。（5）操守和道德價值觀：管理層操守和道德價值觀會改變風險偏好和價值判斷，并進一步影響行為準則及戰略目標的實現。24十月2024企業風險管理第二章企業風險管理在各國的實踐381．內部環境（6）員工能力：員工能力指員工執行所分配的工作所需要的知識和技術。（7）管理哲學和經營風格：管理哲學與運營風格影響企業的管理方式，包括可以接受的風險種類。（8）組織架構：企業的組織結構指為企業活動提供計劃、執行、控制和監督職能的整體框架。（9）授權與責任：權責分配包括對個人或團體的授權程度，對創造性地處理、解決問題的鼓勵，以及所授權限的范圍。授權應該授到被授權人能夠完成目標的程度。（10）人力資源準則：內部控制是由人來進行設計并實施的，保證組織內所有成員具有一定水準的誠信、道德觀和能力的人力資源方針與實踐，是內部控制有效的關鍵因素之一。24十月2024企業風險管理第二章企業風險管理在各國的實踐392．目標設置目標設置是風險事件辨識、風險評估和設定風險對策的基礎。24十月2024企業風險管理第二章企業風險管理在各國的實踐40戰略目標相關目標選定的目標包括經營目標報告目標合規目標風險偏好風險容忍度符合目標重合3.事件辨識事件是指影響企業目標實現的內部和外部事件。事件的發生對企業可能有正面或負面的影響。識別這些事件，區分風險和機會，并將機會反饋到管理層的戰略或目標制訂過程中。企業對事件識別時可以有多種方法進行選擇事件之間具有相關性24十月2024企業風險管理第二章企業風險管理在各國的實踐414.風險評估企業對于辨識出的事件進行評估，通過考慮事件帶來風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據。風險評估應立足于固有風險和剩余風險。固有風險指企業經營運作中必定存在的風險，企業的風險控制活動會影響此類風險發生的可能性及其影響。剩余風險是在管理當局的風險應對之后所殘余的風險。風險評估可以采取定量或定性的方法進行。24十月2024企業風險管理第二章企業風險管理在各國的實踐425．風險反應對相關風險評估后，管理層應當采取相應的應對策略。管理層可以選擇的風險對策有風險回避、風險承擔、風險降低或者風險對沖（風險分擔）。采取一系列風險應對行動以便把風險控制在企業的風險容忍度以內。24十月2024企業風險管理第二章企業風險管理在各國的實踐436．控制活動控制活動是指制訂和執行政策與程序以幫助確保風險應對措施得以有效實施。控制活動類型多樣，包括預防性控制和發現性控制，或者手工控制、計算機控制和管理控制等。24十月2024企業風險管理第二章企業風險管理在各國的實踐447．信息與溝通信息包括業務信息和財務信息。信息可以是正式的或非正式的。相關的信息有助于管理層把握風險和機會，可以確保員工履行其職責的方式和時機予以識別、獲取和溝通。在信息基礎上，還需要溝通來共享信息資源。24十月2024企業風險管理第二章企業風險管理在各國的實踐458．監控全面風險管理是不斷變化持續的過程，會因內外部環境的變化而改變，因此需要對企業風險管理進行全面監控，必要時加以修正。監控可以通過持續的管理活動、個別評價或者兩者結合來完成。24十月2024企業風險管理第二章企業風險管理在各國的實踐46（三）全面風險管理的目標戰略（strategic）目標：這是企業的高層次目標，與企業使命相關聯并支撐其使命；風險管理目標必須與企業發展的戰略目標相輔相成，戰略目標的實現可以通過企業風險管理的風險分析、風險控制等途徑實現。經營（operations）目標：指企業應有效和高效率地利用其資源，高效運營。報告（reporting）目標：指企業要真實披露企業的經營業績，確保財務報告真實可靠。合規（compliance）目標：指企業要遵循相關法律和法規的規定，合規經營。24十月2024企業風險管理第二章企業風險管理在各國的實踐47（四）內控框架與風險框架24十月2024企業風險管理第二章企業風險管理在各國的實踐48內控系統：風險管理的必經之路24十月2024企業風險管理第二章企業風險管理在各國的實踐49內控系統是全面風險管理的子系統。相對于整個全面風險管理而言，內控在目標、手段、對象范圍等方面都有局限COSO的綜合內控體系對世界各國公司立法和管理影響巨大美國通過的Sarbanes-Oxley(2002)法案將建立和維持有效的內控系統作為對上市公司的法律合規要求COSO1992內部控制是通過有關企業流程的設計和實施的一系列政策、制度、程序和措施，控制影響流程目標的各種風險的過程風險管理與內部控制的關系24十月2024企業風險管理第二章企業風險管理在各國的實踐50《ERM框架》并非意在取代，也沒有取代《內部控制框架》，而更應當說是吸納了《內部控制框架》的精髓；《ERM框架》既能滿足內部控制的需要，又能進一步地充實完善風險管理流程。概念的擴大：內部控制，將事情做正確；全面風險管理：做正確的事情目標的發展：增加戰略目標，報告目標擴大操作性的提升：風險管理應用于企業戰略制定要素的發展：五要素至八要素第3節企業風險管理在我國的實踐我國內部控制制度的建設和發展源于20世紀90年代，主要由政府、證券監督管理機構、行業監管機構等制定的內部有關法律、法規、指引等推動。2006年6月，國資委發布了《中央企業全面風險管理指引》2008年6月28日，財政部、證監會、審計署、銀監會、保監會聯合發布了《企業內部控制基本規范》（以下簡稱基本規范）。24十月2024企業風險管理第二章企業風險管理在各國的實踐51第3節企業風險管理在我國的實踐2008年6月12日，財政部會同國務院有關部門草擬了《企業內部控制評價指引》（征求意見稿）、《企業內部控制應用指引》（征求意見稿）和《企業內部控制鑒證指引》（征求意見稿）。其中《企業內部控制應用指引》（征求意見稿）包含資金、采購、存貨、銷售、工程項目、固定資產、無形資產、長期股權投資、籌資、預算、成本費用、擔保、合同協議、業務外包、對子公司的控制、財務報告編制與披露、人力資源政策、信息系統一般控制、衍生工具、企業并購、關聯交易和內部審計22個項目。2008年12月31日，財政部又新增了組織架構、發展戰略、人力資源、企業文化和社會責任等5個應用指引項目的征求意見稿。24十月2024企業風險管理第二章企業風險管理在各國的實踐52第四節

企業風險管理在其他國家和地區的實踐一、澳大利亞和新西蘭國家風險管理標準AS/NZS436024十月2024企業風險管理第二章企業風險管理在各國的實踐53國家標準AS/NZS43601995:1999

世界上第一個國家企業風險管理標準定義了風險管理的標準程序突出了風險管理的內部與外部環境二、加拿大COCO的《控制指南》與COSO框架文件中所使