《公司戰(zhàn)略與風險管理》第3版 課件 第6、7章 風險管理框架流程、風險管理體系

風險管理框架流程第6章本章學習目標1.掌握2004年COSO《企業(yè)風險管理——整合框架》框架流程2.掌握2017年COSO《企業(yè)風險管理——整合戰(zhàn)略與績效》框架流程3.掌握ISO31000:2009《風險管理——原則與指南》、ISO31000:2018《風險管理指南》中的原則、框架、流程4.掌握2006年國資委《中央企業(yè)全面風險管理指引》風險管理基本流程5.掌握2008年五部委《企業(yè)內部控制基本規(guī)范》內部控制基本流程6.了解上述五個風險管理流程的異同第六章風險管理框架流程第一節(jié)COSO企業(yè)風險管理框架流程第二節(jié)ISO風險管理的框架流程第三節(jié)2006年國資委企業(yè)全面風險管理的流程第五節(jié)風險管理流程的比較與總結第四節(jié)五部委內部控制規(guī)范框架第一節(jié)COSO企業(yè)風險管理框架流程一、2004年COSO《企業(yè)風險管理——整合框架》的框架流程二、2017年COSO《企業(yè)風險管理——整合戰(zhàn)略與績效》的框架流程一、2004年COSO《企業(yè)風險管理——整合框架》的框架流程一、2004年COSO《企業(yè)風險管理——整合框架》的框架流程內部環(huán)境——管理當局確立關于風險的理念,并確定風險容量。目標制定——必須先有目標,管理當局才能識別影響實現(xiàn)該目標的潛在事項.風險識別——必須識別可能對主體產生影響的潛在事項,涉及從影響目標實現(xiàn)的內部或外部原因中識別潛在的事項。風險評估——要對識別的風險進行分析,以便形成確定應該如何對它們進行管理的依據。風險應對——員工應識別和評價可能的風險應對,包括回避、承擔、降低和分擔風險。控制活動——制定和實施政策與程序以確保管理當局選擇的風險應對得以有效實施。信息與溝通——相關的信息能確保員工履行職責的方式和時機得到識別、獲取和溝通。監(jiān)督——對企業(yè)風險管理進行全面監(jiān)控,必要時加以修正。二、2017年COSO《企業(yè)風險管理——整合戰(zhàn)略與績效》的框架流程第二節(jié)ISO風險管理的框架流程一、ISO31000:2009《風險管理——原則與指南》的框架流程二、ISO31000:2018《風險管理指南》中風險管理的原則、框架、流程一、ISO31000:2009《風險管理——原則與指南》的框架流程

二、ISO31000:2018《風險管理指南》中風險管理的原則、框架、流程

（一）風險管理的原則

1.整合的。風險管理是所有組織活動的組成部分。2.結構化和全面性。風險管理的結構化和全面性有助于獲得一致和可比較的結果。3.定制化。風險管理框架和流程是根據組織與其目標相關的外部和內部環(huán)境來制定的,并與其密切相關。4.包容性。需要考慮利益相關方適當和及時的參與,融入他們的知識、觀點和看法。這可以增強風險意識并明智地管理風險。5.動態(tài)的。隨著組織內部和外部環(huán)境的變化,風險可能會出現(xiàn)、變化或消失。風險管理會以適當和及時的方式預測、監(jiān)督、掌握和響應這些變化和事件。6.有效信息利用。風險管理的輸入基于歷史和當前的信息以及對未來的預期。風險管理應明確考慮到與這些信息和期望相關的任何限制和不確定性。信息應及時、清晰地提供給利益相關方。7.人員與文化因素。人員行為和文化明顯影響著各級和各階段風險管理的各個方面。8.持續(xù)改進。通過學習和經驗積累不斷提高風險管理水平。

（二）風險管理的框架

1.整合。整合風險管理依賴于對組織架構和環(huán)境的理解。2.設計。在設計風險管理框架時,組織應該檢視并理解其內部和外部環(huán)境。3.實施?？蚣艿某晒嵤┬枰嫦嚓P方的參與和了解。4.評價。為了評估風險管理框架的有效性,組織應該根據其目的、實施計劃、指標和預期行為定期衡量風險管理框架的績效,并確定它是否仍然適合支撐組織目標的實現(xiàn)。5.改進。組織應持續(xù)監(jiān)控和調整風險管理框架,以適應內外部的變化。

（三）風險管理的流程

1.溝通和咨詢。溝通和咨詢的目的是協(xié)助利益相關方理解風險、明確做出決策的依據以及需要采取特定行動的原因。2.范圍、環(huán)境和準則。確定范圍、環(huán)境和準則的目的是有針對性地設置風險管理流程,實現(xiàn)有效的風險評估和恰當的風險應對。3.風險評估。風險評估是風險識別、風險分析和風險評價的整個過程。4.風險應對。風險應對的目的是選擇和實施應對風險的方案。5.監(jiān)督和審查。監(jiān)督和審查的目的是保證和提升流程設計、實施和結果的質量和有效性。6.記錄和報告。應通過適當的機制記錄和報告風險管理流程及其成果。(四)ISO新舊標準的不同之處（1）明確了風險管理原則（2）從組織治理維度強調了高級管理層的職責及其和各項管理活動的整合（3）強化了風險管理工作的迭代性質,提示在每一個流程環(huán)節(jié)要根據新的實踐、知識和分析能力對流程要素、方案和控制進行修正（4）精簡部分內容,成為一個更加開放和包容的系統(tǒng),以滿足多樣化的需求第三節(jié)2006年國資委企業(yè)全面風險管理的流程一、中央企業(yè)全面風險管理基本流程圖二、《中央企業(yè)全面風險管理指引》流程詳解一、基本流程圖

1.收集風險管理初始信息。廣泛地、持續(xù)不斷地收集與本企業(yè)風險和風險管理相關的內外部初始信息,包括歷史數據和未來預測。收集初始信息要根據所分析的風險類型具體展開。包括戰(zhàn)略風險、財務風險、市場風險、運營風險以及法律等方面的信息。二、《中央企業(yè)全面風險管理指引》流程詳解

2.風險評估。企業(yè)對收集的風險管理初始信息和企業(yè)各項業(yè)務管理及其重要業(yè)務流程進行風險評估。風險評估包括風險辨識、風險分析、風險評價三個步驟。風險辨識是指查找企業(yè)各業(yè)務單元、各項重要經營活動及其重要業(yè)務流程中有無風險、有哪些風險。風險分析是對辨識出的風險及其特征進行明確的定義描述,分析和描述風險發(fā)生可能性的高低、風險發(fā)生的條件。風險評價是評價風險對企業(yè)實現(xiàn)目標的影響程度、風險的價值等。二、《中央企業(yè)全面風險管理指引》流程詳解

3.制定風險管理策略。風險管理策略指企業(yè)根據自身條件和外部環(huán)境,圍繞企業(yè)發(fā)展戰(zhàn)略,確定風險偏好、風險承受度、風險管理有效性標準,選擇風險承擔、風險規(guī)避、風險轉移、風險轉換、風險對沖、風險補償、風險控制等適合的風險管理工具的總體策略,并確定風險管理所需人力和財力資源的配置原則。二、《中央企業(yè)全面風險管理指引》流程詳解

4.提出和實施風險管理解決方案。企業(yè)應根據風險管理策略,針對各類風險或每一項重大風險制定風險管理解決方案。制定風險解決的外包方案，應注重成本與收益的平衡、外包工作的質量、自身商業(yè)秘密的保護以及防止自身對風險解決外包產生依賴性風險等,并制定相應的預防和控制措施。制定風險解決的內控方案，至少包括建立內控崗位授權制度、建立內控報告制度、建立內控批準制度、建立內控責任制度、建立內控審計檢查制度、建立內控考核評價制度、建立重大風險預警制度、建立健全以總法律顧問制度為核心的企業(yè)法律顧問制度以及建立重要崗位權力制衡制度等內容。二、《中央企業(yè)全面風險管理指引》流程詳解

5.風險管理監(jiān)督與改進。企業(yè)應以重大風險、業(yè)務流程等為重點,對上述四個步驟的實施情況進行監(jiān)督,采用適當的方法進行檢驗,并且對存在的缺陷及時加以改進。評估報告一般應包括以下幾方面的實施情況、存在的缺陷和改進建議:(1)風險管理基本流程與風險管理策略;(2)企業(yè)重大風險、重大事件和重要管理及業(yè)務流程的風險管理及內部控制系統(tǒng)的建設;(3)風險管理組織體系與信息系統(tǒng);(4)全面風險管理總體目標。二、《中央企業(yè)全面風險管理指引》流程詳解

第四節(jié)五部委內部控制規(guī)范框架一、五部委內部控制規(guī)范體系二、內部控制五大要素一、五部委內部控制規(guī)范體系

二、內部控制五大要素

內部環(huán)境：企業(yè)實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業(yè)文化等。風險評估：企業(yè)及時識別、系統(tǒng)分析經營活動中與實現(xiàn)內部控制目標相關的風險，合理確定風險應對策略。控制活動：企業(yè)根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。信息與溝通：企業(yè)及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進行有效溝通。內部監(jiān)督：企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現(xiàn)內部控制缺陷，應當及時加以改進。

第五節(jié)風險管理流程的比較與總結

一、五個風險管理流程的比較二、五個風險管理流程的共同點第五節(jié)風險管理流程的比較與總結一、五部委內部控制規(guī)范體系二、內部控制五大要素一、五個風險管理流程的比較

二、五個風險管理流程的共同點

風險管理基礎條件：企業(yè)開展風險管理工作應具備的環(huán)境、條件與文化;風險管理目標：企業(yè)開展風險管理工作應有明確具體的目標,這是風險管理工作的起點;風險評估：通過風險識別、風險分析、風險評價三個步驟,確定風險的等級,進而找出企業(yè)的重大風險。風險應對：對評估的風險分別采用風險承擔、風險規(guī)避、風險轉移、風險控制的方法進行管理;監(jiān)督改進：風險管理要隨著外部環(huán)境和自身情況的變化不斷改進。本章在歷年CPA考試中涉及的考點《中央企業(yè)全面風險管理指引》中風險管理的基本流程1.2004年COSO《企業(yè)風險管理——整合框架》的八要素是什么?2.ISO31000:2018《風險管理指南》中提出的風險管理原則包括什么?3.國務院國資委《中央企業(yè)全面風險管理指引》提出的風險管理流程包括什么?4.我國五部委聯(lián)合發(fā)布的《企業(yè)內部控制應用指引》中，有關內部環(huán)境類應用指引包括哪些?5.我國五部委聯(lián)合發(fā)布的《企業(yè)內部控制應用指引》中，有關控制活動類應用指引包括哪些?6.我國五部委聯(lián)合發(fā)布的《企業(yè)內部控制應用指引》中，有關控制手段類應用指引包括哪些?本章思考題風險管理體系第7章本章學習目標1.熟知風險管理策略及其內涵2.熟練掌握風險管理(風險應對)工具3.掌握主要的風險理財措施4.熟悉風險管理的組織體系和信息系統(tǒng)的內容5.熟練掌握COSO內部控制框架體系和我國內部控制發(fā)展狀況第7章風險管理體系第一節(jié)風險管理策略第二節(jié)風險理財措施第三節(jié)風險管理組織體系第四節(jié)風險管理信息系統(tǒng)第五節(jié)內部控制系統(tǒng)第一節(jié)風險管理策略一、風險管理策略的內涵二、風險管理工具一、風險管理策略的內涵風險管理策略：企業(yè)根據自身條件和外部環(huán)境,圍繞企業(yè)發(fā)展戰(zhàn)略,確定風險偏好、風險承受度、風險管理有效性標準,選擇風險承擔、風險規(guī)避、風險轉移、風險轉換、風險對沖、風險補償、風險控制等適合的風險管理工具的總體策略,并確定風險管理所需人力和財力資源的配置原則。風險管理策略的定位：在整個風險管理體系中起著統(tǒng)領全局的作用;在企業(yè)戰(zhàn)略管理過程中起著承上啟下的作用。風險管理策略的作用：為企業(yè)的總體戰(zhàn)略服務,保證企業(yè)經營目標的實現(xiàn);連接企業(yè)的整體經營戰(zhàn)略和運營活動;指導企業(yè)的一切風險管理活動;為各領域的風險管理提供指導方針。二、風險管理工具風險管理工具：在實踐中通常被稱為“風險應對”。《中央企業(yè)全面風險管理》明確了企業(yè)管理重大風險的七種工具：風險承擔、風險規(guī)避、風險轉移、風險轉換、風險對沖、風險補償和風險控制。二、風險管理工具風險承擔：企業(yè)對所面臨的風險采取接受的態(tài)度,從而承擔風險帶來的后果。風險規(guī)避：企業(yè)回避、停止或退出暗含某一風險的商業(yè)活動或商業(yè)環(huán)境,避免成為風險的所有人。風險轉移：企業(yè)回避、停止或退出暗含某一風險的商業(yè)活動或商業(yè)環(huán)境,避免成為風險的所有人。風險轉移通常使用的方式有:保險非保險型的風險轉移。保險風險證券化。風險轉換：企業(yè)通過戰(zhàn)略調整等手段將企業(yè)面臨的風險轉換成另一種風險。風險對沖：采取各種手段,引入多個風險因素或承擔多個風險,使得這些風險能夠互相對沖,也就是使這些風險的影響互相抵銷。風險補償：企業(yè)對風險可能造成的損失采取適當的措施進行補償。風險控制：控制風險事件發(fā)生的動因、環(huán)境、條件等,來達到減輕風險事件發(fā)生時的損失或降低風險事件發(fā)生的概率的目的。二、風險管理工具第二節(jié)風險理財措施一、風險理財基礎知識二、風險自留三、保險四、套期保值一、風險理財基礎知識風險理財又稱融資型風險應對措施,是與控制型風險應對措施(簡稱風險控制)相對應的風險管理手段。風險理財就是通過金融手段來應對風險。風險理財與風險控制的關系如下圖：典型的風險理財行為：（1）物流倉儲企業(yè)為轉移火災損失購買火災保險。（2）外貿企業(yè)為控制匯率波動帶來的損失采用遠期合約進行風險對沖。（3）石油加工企業(yè)為避免原油價格波動帶來的損失采用期貨手段進行套期保值。（4）公司為了應對可能的突發(fā)性資金需求,與銀行簽訂應急資本協(xié)議。一、風險理財基礎知識一、風險理財基礎知識根據資金來源的不同,風險理財可以分為風險自留和風險轉移兩類。風險理財的必要性（1）對于可控風險,風險理財是風險控制的重要補充。（2）對于難以利用風險控制手段管理的風險,風險理財是重要的應對手段。風險理財發(fā)展迅速,形式靈活,覆蓋面廣,有很多創(chuàng)新,日益成為企業(yè)經營中不可回避的重要內容。一、風險理財基礎知識風險理財的特征：（1）風險理財不改變風險事件發(fā)生的可能性以及風險事件可能引起的直接損失的程度,只是提供事后的損失補償。（2）風險理財需要判斷風險的定價,因此量化的標準較高,不僅需要知道風險事件的可能性和損失的分布,更需要量化風險本身的價值。（3）風險理財的應用范圍一般不包括聲譽等難以衡量其價值的風險,難以消除戰(zhàn)略失誤造成的損失。(4)風險理財技術性強,許多風險理財工具本身有著比較復雜的風險特性,使用不當容易造成重大損失。一、風險理財基礎知識風險理財超出公司理財的范疇的具體表現(xiàn)：（1）風險理財關注的是風險因素對現(xiàn)金流的影響;（2）風險理財影響公司的資本結構,強調以最低成本獲得穩(wěn)定的現(xiàn)金流;（3）風險理財是公司戰(zhàn)略的有機組成部分,其風險管理的結果直接影響公司整體價值的提升。一、風險理財基礎知識風險理財創(chuàng)造價值傳統(tǒng)的風險理財是損失理財,即為可能發(fā)生的損失融資,補償風險造成的財務損失,如購買保險。傳統(tǒng)的風險理財的目的是降低公司承擔的風險。與損失理財相反,公司可以通過使用金融工具來承擔額外的風險,改善公司的財務狀況,創(chuàng)造價值。一、風險理財基礎知識企業(yè)在選擇風險理財策略時應注意以下原則和要求：（1）風險理財策略要與公司整體風險管理策略一致。（2）風險理財策略要與公司面對的風險的性質相匹配。（3）選擇風險理財工具的要求。（4）成本與收益的平衡。一、風險理財基礎知識二、風險自留風險自留是由經歷風險的組織自己承擔風險事故導致的損失的一種方法,它通過內部資金的融通來彌補損失。企業(yè)損失可分為預期損失和非預期損失。在風險自留情境下,預期損失攤入營業(yè)成本,作為運營資本的一部分;而非預期損失融資則屬于風險資本的范疇。二、風險自留風險資本是除經營所需資本之外,公司需要的用于補償風險造成的財務損失的額外資本。傳統(tǒng)的風險資本表現(xiàn)形式是風險準備金。風險資本是使公司破產的概率低于某一給定水平所需的資金,取決于公司的風險偏好。兩類重要的風險資本管理工具：應急資本與專業(yè)自保。（一）應急資本

應急資本是一個金融合約,規(guī)定在某一個時間段內、在某個特定事件發(fā)生的情況下,公司有權從應急資本提供方募集股本或貸款(或資產負債表上的其他實收資本項目),并為此按時間向資本提供方繳納相關費用。二、風險自留某公司應急資本的結構應急資本的特點（1）應急資本的提供方并不承擔特定事件發(fā)生的風險,而只是在事件發(fā)生并造成損失后提供用于彌補損失、持續(xù)經營的資金。（2）應急資本是一個綜合運用保險和資本市場技術進行設計和定價的產品。（3）應急資本是一個有一定使用條件的融資選擇權,公司可以不使用這個權利。（4）應急資本可以為經營持續(xù)性提供保證。二、風險自留（二）專業(yè)自保是另一類重要的風險資本管理工具。專業(yè)自保公司的優(yōu)點是:降低運營成本;改善公司現(xiàn)金流;保障項目更多;公平的承保費率;保障的穩(wěn)定性;直接進行再保險;提高服務水平;減少規(guī)章的限制;國外課稅扣除和流通轉移。專業(yè)自保公司的缺點是:內部管理成本高;資本投入較高;規(guī)模有限,損失儲備金薄弱;面臨稅收檢查;有可能減少其他保險的可得性。

二、風險自留三、保險保險是一種金融合約,是應對可保的純粹風險的一種重要的風險理財工具。對于企業(yè)來說,通過繳納保費將自身面臨的風險轉移給保險公司,即以小額成本(保費)替代大額的不確定損失(保險所保障的意外事故)。保險的基本功能是損失分擔和經濟補償。派生功能則包括風險管理、資金融通、社會管理等。按照承保對象的差異,保險大致可劃分為人身保險、財產保險、責任保險三類。三、保險人身保險轉移的是那些可能會妨礙個人收入的風險。這類風險共有四種類型:死亡、意外事故與疾病、失業(yè)以及年老。按照保險責任的差異,人身保險可分為：人壽保險：主要是為了讓家庭在戶主死亡或退休后獲得一定的經濟保障?；痉N類包括：定期壽險、終身壽險、兩全保險、其他壽險等。年金保險：是用年金的方法給付保險金，保險人在被保險人或年金受領者的生存期或特定時期按照約定的金額做定期給付的產品,主要提供退休收入。健康保險：以疾病或人身傷害損失為保險標的的保險。主要包括：意外保險和醫(yī)療保險。三、保險財產保險：是以財產以及與其相關的利益為保險標的的保險,主要包括:火災保險、海洋運輸保險、內陸運輸保險、盜竊保險、忠誠保證保險、鍋爐保險、農業(yè)保險、信用保險。

責任保險：起源于19世紀,截至目前,主要包括如下幾類:普通責任保險、受托人責任保險、職業(yè)責任保險、雇主責任保險。

四、套期保值金融衍生品的買賣具有雙重屬性。為沖抵風險而進行的買賣屬于套期保值;與之相反的操作屬于投機行為。套期保值的目的是降低風險;投機的目的是承擔額外的風險以盈利。金融衍生品的類型金融衍生品的特點：優(yōu)點:準確性高;時效性強;使用方便;有成本優(yōu)勢;有靈活性;對于管理金融資產價格等市場風險具有不可替代的作用。缺點:衍生產品的杠桿作用很大,因而風險很大,如用來投機可能會造成巨大損失。運用金融衍生品進行風險管理的主要思路增加自己愿意承擔的風險;消除或減少自己不愿承擔的風險;轉換不同的風險。四、套期保值運用金融衍生產品進行風險管理需滿足的條件滿足合規(guī)要求;與公司的業(yè)務和發(fā)展戰(zhàn)略保持一致;要建立完善的內部控制措施,包括授權、計劃、報告、監(jiān)督、決策等流程和規(guī)范;采用能夠準確反映風險狀況的風險計量方法,明確頭寸、損失、風險限額;具備完善的信息溝通機制,保證頭寸、損失、風險敞口的報告及時可靠;具備合格的操作人員。四、套期保值四、套期保值常見的套期保值工具主要有四種：1.遠期合約套期保值2.互換交易套期保值3.期貨合約套期保值4.期權合約套期保值1.遠期合約套期保值遠期合約(forwardcontract)指合約雙方同意在未來日期按照固定價格交換金融資產的合約,承諾以當前約定的條件在未來進行交易,會指明買賣的商品或金融工具種類、價格及交割結算的日期。遠期合約主要有遠期利率協(xié)議、遠期外匯合約、遠期股票合約。常用術語:如果即期價格低于遠期價格,市場狀況被描述為正向市場或溢價(contango);如果即期價格高于遠期價格,市場狀況被描述為反向市場或差價(backwardation)。2.互換交易套期保值互換交易(swaptransaction,

swaps)主要指對相同貨幣的債務和不同貨幣的債務通過金融中介進行互換的一種行為?；Q的種類包括:利率互換、貨幣互換、商品互換、其他互換3.期貨合約套期保值期貨(futures)指在約定的將來某個日期按約定的條件(包括價格、交割地點、交割方式)買入或賣出一定標準數量的某種資產。期貨合約(futurescontract)是期貨交易的買賣對象或標的物,是由期貨交易所統(tǒng)一制定的,規(guī)定在某一特定的時間和地點交割一定數量和質量商品的標準化合約。期貨價格是通過公開競價達成的。利用期貨套期保值有兩種方式：空頭期貨套期保值、多頭期貨套期保值4.期權合約套期保值期權(option)是在規(guī)定的一段時間內,可以以規(guī)定的價格購買或者出賣某種規(guī)定的資產的權利。期權合約(optioncontract)指以金融衍生產品作為行權品種的交易合約,是在特定時間內以特定價格買賣一定數量交易品種的權利。按交易主體劃分,期權可分為兩類：買入期權套期保值：買方期權指賦予期權持有人在期權有效期內按履約價格買進(但不負有必須買進的義務)規(guī)定的資產的權利。賣出期權套期保值：賣方期權指期權持有人在期權有效期內按履約價格賣出(但不負有必須賣出的責任)規(guī)定的資產的權利。第三節(jié)風險管理組織體系一、規(guī)范的公司法人治理結構二、風險管理委員會三、風險管理職能部門四、審計委員會五、企業(yè)其他職能部門及各業(yè)務單位、下屬公司六、風險管理組織體系的三道防線模型一、規(guī)范的公司法人治理結構企業(yè)應建立健全規(guī)范的公司法人治理結構,股東(大)會(對于國有獨資公司或國有獨資企業(yè),即指國資委,下同)、董事會、監(jiān)事會、經理層依法履行職責,形成高效運轉、有效制衡的監(jiān)督約束機制。國有獨資公司和國有控股公司應建立外部董事、獨立董事制度,外部董事、獨立董事人數應超過董事會全部成員的半數,以保證董事會能夠在重大決策、重大風險管理等方面做出獨立于經理層的判斷和選擇。一、規(guī)范的公司法人治理結構董事會就全面風險管理工作的有效性對股東(大)會負責。董事會在全面風險管理方面主要履行十項職責：審議并向股東(大)會提交企業(yè)全面風險管理年度工作報告;確定企業(yè)風險管理總體目標、風險偏好、風險承受度,批準風險管理策略和重大風險管理解決方案;了解和掌握企業(yè)面臨的各項重大風險及其風險管理現(xiàn)狀,做出有效控制風險的決策;批準重大決策、重大風險、重大事件和重要業(yè)務流程的判斷標準或判斷機制;批準重大決策的風險評估報告;批準內部審計部門提交的風險管理監(jiān)督評價審計報告;批準風險管理組織機構設置及其職責方案;批準風險管理措施,糾正和處理任何組織或個人超越風險管理制度做出的風險性決定的行為;督導企業(yè)風險管理文化的培育;全面風險管理的其他重大事項。二、風險管理委員會具備條件的企業(yè)的董事會可下設風險管理委員會。該委員會的召集人應由不兼任總經理的董事長擔任;董事長兼任總經理的,召集人應由外部董事或獨立董事?lián)?。該委員會成員中需有熟悉企業(yè)重要管理及業(yè)務流程的董事,以及具備風險管理監(jiān)管知識或經驗、具有一定法律知識的董事。二、風險管理委員會風險管理委員會對董事會負責,主要六項職責：提交全面風險管理年度報告;審議風險管理策略和重大風險管理解決方案;審議重大決策、重大風險、重大事件和重要業(yè)務流程的判斷標準或判斷機制,以及重大決策的風險評估報告;審議內部審計部門提交的風險管理監(jiān)督評價審計綜合報告;審議風險管理組織機構設置及其職責方案;辦理董事會授權的有關全面風險管理的其他事項。三、風險管理職能部門

企業(yè)應設立專職部門或確定相關職能部門履行全面風險管理的職責。該部門對總經理或其委托的高級管理人員負責,主要履行以下職責：研究提出全面風險管理工作報告;研究提出跨職能部門的重大決策、重大風險、重大事件和重要業(yè)務流程的判斷標準或判斷機制;研究提出跨職能部門的重大決策風險評估報告;研究提出風險管理策略和跨職能部門的重大風險管理解決方案,并負責該方案的組織實施和對該風險的日常監(jiān)控;負責對全面風險管理有效性評估,研究提出全面風險管理的改進方案;負責組織建立風險管理信息系統(tǒng);負責組織協(xié)調全面風險管理日常工作;負責指導、監(jiān)督有關職能部門、各業(yè)務單位以及全資、控股子企業(yè)開展全面風險管理工作;辦理風險管理的其他有關工作。四、審計委員會

企業(yè)應在董事會下設立審計委員會,企業(yè)內部審計部門對審計委員會負責。內部審計部門在風險管理方面,主要負責研究提出全面風險管理監(jiān)督評價體系,制定監(jiān)督評價相關制度,開展監(jiān)督與評價,出具監(jiān)督評價審計報告。審計委員會履行職責的方式：董事會應決定委派給審計委員會的責任,審計委員會的任務會因企業(yè)的規(guī)模大小、復雜性及風險狀況而有所不同。審計委員會與合規(guī)：審計委員會的主要活動之一是核查對外報告規(guī)定的遵守情況。審計委員會一般有責任確保企業(yè)履行對外報告的義務。管理層的責任是編制財務報表,審計師的責任是編制審計計劃和執(zhí)行審計。審計委員會與內部審計：確保充分且有效的內部控制是審計委員會的義務,其中包括負責監(jiān)督內部審計部門的工作。審計委員會應監(jiān)察和評估內部審計職能在企業(yè)整體風險管理系統(tǒng)中充當的角色和發(fā)揮的作用。五、企業(yè)其他職能部門及各業(yè)務單位、下屬公司

企業(yè)其他職能部門及各業(yè)務單位在全面風險管理工作中,應接受風險管理職能部門和內部審計部門的組織、協(xié)調、指導和監(jiān)督,主要履行以下職責：執(zhí)行風險管理基本流程;研究提出本職能部門或業(yè)務單位重大決策、重大風險、重大事件和重要業(yè)務流程的判斷標準或判斷機制;研究提出本職能部門或業(yè)務單位的重大決策風險評估報告;做好本職能部門或業(yè)務單位建立風險管理信息系統(tǒng)的工作;做好培育風險管理文化的有關工作;建立健全本職能部門或業(yè)務單位的風險管理內部控制子系統(tǒng);辦理風險管理其他有關工作。六、風險管理組織體系的“三道防線”

通過明確角色和職責，三道防線增強了對風險管理和控制的理解。它的基本前提是，在高級管理層和董事會的監(jiān)督和指導下，組織內部有三道獨立的防線，這對風險控制進行有效管理是必要的。在國際上，“三道防線”的含義并未統(tǒng)一，目前包括三種主流的提法：英國風險管理協(xié)會國際內部審計師協(xié)會COSO六、風險管理組織體系的“三道防線”

（一）英國風險管理協(xié)會的“三道防線”企業(yè)的業(yè)務部門作為前端部門是風險管理的第一道防線；企業(yè)風險管理職能機構作為風險管理的第二道防線；企業(yè)的內部審計職能機構作為風險管理的第三道防線。第一道防線建立風險偏好；實行風險管理程序；風險管理控制；對風險反應采取決策；為了管理的利益，實施風險應對；風險管理的責任。六、風險管理組織體系的“三道防線”

（一）英國風險管理協(xié)會的“三道防線“第二道防線促進風險的識別與評估；指導在應對風險方面的管理；統(tǒng)籌企業(yè)風險管理活動；綜合風險報告；保持和發(fā)展企業(yè)風險管理框架；倡導企業(yè)風險管理的建立；為獲得委員會批準，發(fā)展風險管理戰(zhàn)略。六、風險管理組織體系的“三道防線”

（一）英國風險管理協(xié)會的“三道防線“第三道防線給予風險管理程序控制；給予正確評估風險的控制；評估風險管理程序；評估關鍵風險的報告；審查關鍵風險管理。六、風險管理組織體系的“三道防線”（二）國際內部審計師協(xié)會的“三道防線”第一道防線是管理控制、內部控制措施，功能是擁有和管理風險和控制；第二道防線是財務控制、安全、風險管理、質量、檢查、承諾，監(jiān)控風險和控制，以支持管理；第三道防線是內部審計部門，就風險和控制管理的有效性(內部審計)向董事會和高級管理層提供獨立保證。高級管理人員理事機構/董事會/審計委員會第三道防線管理控制第一道防線第二道防線內部控制措施財務控制安全風險管理質量檢查承諾內部審計外部審計監(jiān)管機構國際內部審計師協(xié)會的“三道防線”六、風險管理組織體系的“三道防線”（三）COSO的“三道防線”第一道防線為核心業(yè)務，是管理層為了實現(xiàn)戰(zhàn)略及經營目標，開展績效和風險管理日常工作第二道防線為支持性職能（也稱為業(yè)務輔助職能），包括負責監(jiān)管績效及企業(yè)風險管理的管理層及其他人員。第三道防線為保證職能，常由內部審計者負責，通常通過對企業(yè)風險管理實踐的審計或檢查、識別問題及改進機會、提出建議并使董事會及管理層時刻關注需解決的問題來履行最后一層職能。第四節(jié)風險管理信息系統(tǒng)企業(yè)應將信息技術應用于風險管理的各項工作,建立涵蓋風險管理基本流程和內部控制系統(tǒng)各環(huán)節(jié)的風險管理信息系統(tǒng),包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等。風險管理信息系統(tǒng)應能夠進行對各種風險的計量和定量分析、定量測試;能夠實時反映風險矩陣和排序頻譜、重大風險和重要業(yè)務流程的監(jiān)控狀態(tài);能夠對超過風險預警上限的重大風險實施信息報警;能夠滿足風險管理內部信息報告制度和企業(yè)對外信息披露管理制度的要求。第五節(jié)內部控制系統(tǒng)一、1992年COSO關于內部控制的定義與框架二、2013年修訂后的COSO內部控制框架三、我國內部控制規(guī)范體系一、1992年COSO關于內部控制的定義與框架內部控制:“由企業(yè)董事會、管理層和全體員工共同實施的、旨在合理保證實現(xiàn)企業(yè)基本目標的一系列控制活動。控制環(huán)境：決定了企業(yè)的基調,直接影響企業(yè)員工的控制意識。風險評估：每個企業(yè)都面臨諸多來自內部和外部的有待評估的風險。控制活動：控制活動指那些有助于管理層決策順利實施的政策和程序。信息和溝通：公允信息必須被確認、捕獲并以一定形式及時傳遞,以便員工履行職責。監(jiān)督：內部控制系統(tǒng)需要被監(jiān)督,即對該系統(tǒng)有效性進行評估。一、1992年COSO關于內部控制的定義與框架COSO(1992)對內部控制五要素的概述是:內部控制是一個實現(xiàn)目標的程序及方法,其本身并非目標;內部控制只提