内部控制与风险管理体系.docx

Prepared on 22 November 2020
内部控制与风险管理体系
EAS内部控制与风险管理体系
EAS战略管理系统部 王云
导读
风险管理系统对很多客户、机构营销实施等人员整个项目成功与否的基础。特别是对于一个周期长、涉及企业层级多、业务范围广、参与人员众多、内容复杂并需要企业全体人员尤其是企业高层管理者全力支持的项目来说。
整个风险管控的组织构成涉及了企业管理的各个层面和不同职能部门。下图展现的是基于中央国资委《全面风险管理指引》的一个典型的风险管控组织结构。
企业风险管理整合框架
如上所述，2004版的企业风险管理整合框架是一本国际权威文献，该框架除了在美国企业中应用，也为其他国家广泛借鉴应用，另外也是金蝶EAS风险管理系统建立的重要理论标准。因此我们必须首先学****并把握该框架相关内容：
内容概述
企业风险管理的基础性前提是每一个主体的存在都是为它的利益相关者提供价值。所有的主体都面临不确定性，管理当局所面临的挑战就是在为增加利益相关者价值而奋斗的同时，要确定承受多大的不确定性。不确定性可能会破坏或增加价值，因而它既代表风险，也代表机会。企业风险管理使管理当局能够有效地应对不确定性以及由此带来的风险和机会，增进创造价值的能力。
当管理当局通过制订战略和目标，力求实现增长和报酬目标以及相关的风险之间的最优平衡，并且在追求所在主体的目标的过程中高效率和有效地调配资源时，价值得以最大化。企业风险管理包括：
协调风险容量（risk appetite）与战略——管理当局在评价备选的战略、设定相关目标和建立相关风险的管理机制的过程中，需要考虑所在主体的风险容量。
增进风险应对决策——企业风险管理为识别和在备选的风险应对——风险回避、降低、分担和承受——之间进行选择提供了严密性。
抑减经营意外和损失——主体识别潜在事项和实施应对的能力得以增强，抑减了意外情况以及由此带来的成本或损失。
识别和管理多重的和贯穿于企业的风险——
每一家企业都面临影响组织的不同部分的一系列风险，企业风险管理有助于有效地应对交互影响，以及整合式地应对多重风险。
抓住机会——通过考虑全面范围内的潜在事项，促使管理当局识别并积极地实现机会。
改善资本调配——获取强有力的风险信息，使得管理当局能够有效地评估总体资本需求，并改进资本配置。
企业风险管理所固有的这些能力帮助管理当局实现所在主体的业绩和赢利目标，防止资源损失。企业风险管理有助于确保有效的报告以及符合法律和法规，还有助于避免对主体声誉的损害以及由此带来的后果。总之，企业风险管理不仅帮助一个主体到达期望的目的地，还有助于避开前进途中的隐患和意外。
要素解析：
企业风险管理整合框架构成要素包括：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通及监督。各要素解析：
内部环境
内部环境是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构。它影响着战略和目标如何制订、经营活动如何组织以及如何识别、评估风险并采取行动。它还影响着控制活动、信息与沟通体系和监控措施的设计与运行。
内部环境受到主体的历史和文化的影响。它包含许多要素，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。董事会是内部环境的一个关键部分，它对其他的内部环境要素有重大的影响。
目标设定
目标是设定在战略层次上的，它为经营、报告和合规目标奠定了基础。目标设定是事项识别、风险评估和风险应对的前提。在管理当局识别和评估实现目标的风险并采取行动来管理风险之前，首先必须有目标。
从2004年版本的“企业风险管理整合框架”看，企业目标包括如下四类：
战略目标：管理层从愿景出发，制定企业战略目标。战略目标是高层次的目标，它反映了管理层就企业如何努力为它的利益相关者创造价值所做出的选择。
经营目标：经营目标关系到主体经营的有效性和效率，反映主体运作所处的特定的经营、行业和经济环境。
报告目标：报告目标包括可靠的对内、对外报告；对内报告为管理当局提供适合其既定目的的准确而完整的信息；对外报告可能包括财务报表与附注披露、管理当局的讨论与分析以及向监管机构提交的报告。
合规目标：企业从事经营活动所必须符合的相关法律和法规。
从2008年财政部等五部委联合颁布的“企业内部控制基本规范”看，企业目标是：企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效率，促进企业实现发展战略。即包括的五类目标：战略目标、经营目标、报告目标、合规目标及资产安全目标。相比COSO企业风险管理框架，增加了资产安全目标。
事项识别
事项是源于内部或外部的影响战略实施或目标实现的事故或事件。事