风险控制报告

时间：2023-08-23 16:59:29

风险控制报告

第1篇

为及时对安全风险进行管控，预防生产安全事故，保障职工生命安全和公司生产安全，根据有关法律法规、规章制度，制定本制度。

二、编制依据

（一）《国务院安委会办公室关于实施遏制重特大事故工作指南构建双重预防机制的意见》（安委办〔2016〕11号）。

（二）国家煤矿安全监察局关于印发《煤矿安全生产标准化管理体系考核定级办法（试行）》和《煤矿安全生产标准化管理体系基本要求及评分方法（试行）》的通知(〔2020〕16号)。

（三）《陕西省煤矿安全生产标准化管理体系考核定级实施细则（试行）》(陕应急〔2020〕140号)（试行）。

（四）《招贤矿业安全风险分级管控实施方案》。

三、主题内容

（一）煤矿是安全风险分级管控的责任主体。总经理对本矿安全风险分级管控负全面责任；各分管副总经理对分管业务范围内的安全风险分级管控负责，对分管业务范围内存在的重大风险，并按规定向董事长、总经理报告。

（二）矿每月开展由总经理组织1次对各专业安全风险分级管控情况排查；每月各专业分管领导对分管业务范围内安全风险分级管控情况进行2次全面排查；各基层科区、队、班组负责人和安全管理人员随时进行安全风险分级管控情况进行检查。检查结果在每月召开一次安全风险分级管控工作会议进行报告。

（三）风险分级管控工作会议报告的内容应当包括：

1.本专业本月风险分级管控排查情况、管控措施落实情况。

2.制定并报告根据每月生产工作计划，制定下月的风险管控重点。

3.对存在的重大风险已经采取的措施和应急预案情况。

（四）公司每月召开的安全风险分级管控工作会议对检查中的发现的安全风险进行分级管控，并建档管理，对需要上报的重大风险及时向上级相关监察部门和集团公司报告。

（五）安全监察部等业务职能部室对各专业安全风险分级管控报告工作负有监督检查和考核的职责，对不按规定报告风险管控情况进行相应的处罚。

（六）对不履行风险分级管控报告职责给予责任单位党政正职罚款100元/次，对公司分管领导按公司章程处理。

四、实施

本制度自发布之日起施行，解释权属招贤矿业安全监察部。

第2篇

一、以财政政策应对下滑风险

如果仔细审视中央“双防”基调的前后变化，我们会发现，中央2008年的财政中心思想是让经济软着陆。也就是说，在防止经济增长大幅下滑的同时，让通胀形势得以缓和，继续过去低通胀、经济适度增长的态势。防止恶性通胀是2008年经济工作的首要目标，这是没有讨论余地的，但信贷紧缩的结果也许会造成经济骤然下滑，这种风险也是必须予以考虑的。实际上，为了防止经济由偏快转为过热，中央在政策上过去一直是有压缩投资的趋势。很多大项目都被停了，同时目前物价上涨压力趋大，消费必将受到一定的抑制。出口方面则由于外部经济形势严峻，有下行风险。出口一直是中国经济增长的主要引擎，一旦对外出口这台经济引擎熄火，那么经济可持续发展的动力从何而来？回答是通过财政支出大幅增长，刺激内需和投资增长，从而保证经济增速不大幅下滑。

实际上去年年底中央对2008年经济工作基调“货币从紧、财政稳健”，本身就含有以财政手段对冲货币紧缩风险之意。当经济增长有乏力迹象时，“稳健财政”就成了“宽松财政”的代名词。目前中国政府有此心，也有此力：2007年，全国税收收入完成49442.73亿元，比上年增长31.4%。全年财政收入将近5.1万亿元，比上年增长31%左右。如此多的银子，当然不能借“稳健财政”的名义乱花，对于增收的钱应该怎样花？财政部有关负责人今年年初就表示，财政增收的钱将重点投向“三农”、教育、医疗卫生、社会保障、环境保护、公共安全等方面，更好地让广大人民群众共享改革开放和经济发展成果。因此2008年财政支出新增的主要部分，还是朝着“和谐社会”目标去的，通过各种渠道变相补贴城乡居民。这性质上有点像新加坡、香港财政上直接给境内居民发红包，不过一个是直接送钱，一个是间接搞项目。无论如何，这些钱最终都要通过各种方式送到城乡居民手中花掉，从而刺激消费和投资，最后拉动经济增长。

尽管政府工作报告中提到2008年GDP增幅是保8%，但实际经济增长可能还是会达到10%甚至更高，因为财政手段在2008年中国经济中将发挥巨大的能量和作用。财政手段是否对冲掉信贷紧缩风险，最后完成经济软着陆的目标还有待于观察，但有一点是肯定的：今年政府防止经济过分紧缩的主要手段还是财政政策。

二、财政风险的界定

所谓风险，是未来可能发生的危险。而财政风险是在财政领域，在未来一段时间内可能会发生的危险。目前我国财政界对财政风险的内涵，主要是从财政收支的角度进行界定的，核心问题在于财政的债务承受状况、承受能力以及债务变动对财政收支平衡的危害。结合财政债务变动和中心财政的调控能力，一些学者又把财政性资金在各个部门、各层环节之间的配置结构及其变动趋势，也作为衡量财政风险的一个重要内容。概括而论，当前我国的基本观点认为，财政风险是指财政收支之间的不平衡关系以及财政不能提供足够的财力维持国家机器正常运转和国民经济良好运行，从而造成社会危害的可能性。就其具体内容，大致可以按宽和窄两个口径划分财政风险。

（一）窄口径财政风险

即以财政赤字等财政直接负债衡量财政风险，主要指标是《马斯特里赫特条约》规定的“欧元区”成员单位的财政健全标准，即财政赤字不能超过GDP的3％、财政赤字余额不能超过GDP的60％。2002年我国财政赤字占GDP的比例为3％，但我国财政赤字余额占GDP的比重还只有16％，由此而看，我国财政还有一定的举债空间。

（二）宽口径财政风险

1．所有债务。这一指标主要由以下部分构成：国有金融机构不良资产带来的风险、国有企业及国有资产经营带来的风险、财政投融资带来的风险、外债带来的风险和社会保障支出带来的风险。依照该标准使我国实际的财政风险远大于财政直接负债规模。

2．财力的结构变动。一是财政性资金的横向分布情况，其主要衡量指标是预算内外、体制内外资金的规模和比例关系。其基本观点是预算外和体制外资金过大，意味着财力过于分散，财政的宏观调控能力也因此大大削弱。二是财政性资金的纵向分布状况，其主要衡量指标是中心财政和地方财政收入的规模和比例关系，一般用财政收入占GDP的比重和中心财政收人占财政总收入的比重为标准。其基本观点是，目前发达国家的“两个比重”一般是40％和70％，发展中国家的“两个比重”一般是25％和60％。

三、对财政风险的控制手段之一：法律控制

对风险的处置方式有很多种类，法律控制是其中较为有效和直接的方式，而且对于财政这一关涉到国计民生和社会发展的重要领域，只有通过国家立法并且用法律的手段加以治理，才符合政治治理理论和立法法中规定的要求。

财政风险在各国的表现不尽相同，因此对不同的风险所采取的应对手段也略有差别，本文将从中国现阶段的财政风险的体现，从应然和实际两个角度来看对财政风险的法律控制的表现。

综合债务构成的财政风险的控制方式：调整纳税对象和纳税额

国有金融机构不良资产、国有企业及国有资产经营、财政投融资、外债和社会保障支出带来的风险是当前造成我国财政风险的又一主要原因，非凡是国有企业。我国国有企业的现实问题很多，诸如经济结构不合理、高负债率、低利润率，建立现代企业制度的困难，国有企业多余职工的分流和再就业，等等。所有这些问题，无一不与财政有关。政企关系不清集中体现在企业与财政关系不清上，企业改革的各种风险必将形成财政风险。

94年税改后，对于企业所得税方面实现了内资和外资企业的统一，但是在其他很多方面却依然是内外有别。对于国企，国家实质上给予其很多优惠政策，可是他们没有充分利用，反而将这些机会发展成了自己谋取私利的工具。在我国加入WTO后，对于外资企业应该采取国民待遇原则，所以我们要更好地处理两者之间平等互促的关系，在税率的缴纳和纳税对象的选择上考虑多方因素，协调好关系，减少国企引发的财政风险。

财政结构横向层面的财政风险的控制方式：完善预算法

主要是预算外和体制外预算资金过大，意味着财力过于分散，财政的宏观调控能力也因此大大削弱。我国目前的预算体制仍然相当薄弱，因此要加强预算硬约束，统一财政资金治理，实行集中支付制度和政府采购制度。要增强其作为国家财力计划的法律约束力和技术稳定性，严厉预算编制，严格执行预算。目前，我国已经开始部门预算编制试点，试行零基预算编制方法，这是增强预算约束力的有益尝试。之所以会产生如此多的预算外资金，正是因为我们采取的预算编制是综合的，没有分项目细化，从而使得预算在很大程度上无法清楚明确地体现真正的统筹，在一定程度上为预算外资金的存在提供了“温床”，导致财政风险出现的可能性增加。同时，维护财政资金的统一性也很重要，财政资金的所有权归各级政府，治理权属各级财政部门，由财政部门统一治理财政资金符合财政资金的属性，也是降低财政风险的重要途径。

财政结构纵向层面的财政风险的控制方式：明确中心地方的税收权限

中心和地方的税收权限是一个焦点问题。政府间关系是一种地缘关系，这种关系首先表现为经济上的相互依靠性，其次才是行政权力范围的地缘性。下级政府部门在财政权力上缺乏自主性，因而也就没有责任心，形成了滥用财权，浪费财力的局面。中心和地方的事权划分不清楚，而公共治理中，权、责、利三者是紧密结合的，享有的权利和承担的义务应该大体一致，符合比例原则。我国现行体制下的财政平衡需要兼顾“中心与地方”的纵向平衡和“地方与地方”的横向平衡，这造成了近年来中心政府“结构性剩余”无法弥补地方“结构性赤字”的尴尬。财政体系出现了“两头弱化”的明显特征：中心财政和县乡以下基础财政积弱明显。中心财政以税收的超常增收和辉煌举债才是弥补了其本身财力的不足，但这多少带有“涸泽而渔”的味道；基层财政则是寅吃卯粮，兼有腐败。

对此，可考虑先在中心和省两级财政之间进行财权和事权的界定，在部分省市进行发行地方政府债券的试点，并附以地方财政破产制度。否则中心财政的债务包袱就会重不可抑，中心财政的权威就会逐渐弱化。

国债发行的不合理造成财政风险的控制方式：建立国债专项预算

国债导致的财政风险主要表现为三个方面：一是量大造成的过度风险；二是结构不合理造成的风险；三是使用不当造成的风险。我国国债增长速度远高于国民经济发展的速度，属超常发展。加之我国国债治理手段落后，国债的使用效率不高，长此下去，势必产生不利后果，形成赤字政府的恶性循环。

第3篇

近年来，网络借贷P2P平台深受广大投资者和融资者欢迎，其数量亦呈逐年高速增长的态势。互联网金融为中国大地注入鲜活血液的同时，“风险”也接踵而至。实践中，P2P网络借贷面临诸多风险，如债务人信用风险、P2P平台运营风险等。其中，债务人信用风险无疑是影响P2P平台发展的重大风险。目前，学界对P2P风险管控的探讨多聚焦于投资人决策因素、借款人信誉管理和平台运行风险三方面，对债务人信用风险管控机制、私法机制中具体民事法律关系的研究甚少。

本文基于采集的10份典型样本，将从理论层面剖析我国P2P平台运营模式，又通过实践调查探究我国P2P平台管控债务人信用风险的私法机制运用现状；具体分析平台的风险控制模式中所涉及的民事法律关系，以期为关注P2P平台的社会各界人士提供现实依据与理论参考。

二、调查方法、对象和过程

方法：此次调查采取个案研究的方法，主要是对P2P平台管控债务人信用风险控制进行的探测性研究。个案研究方法相比定量问卷调查研究方法更具有优势，它更灵活，对事物的了解更深入、详细、全面，更有利于把握事物的细节和复杂性。[1]且我国P2P平台数量多，分布范围广，风控模式不尽相同，若采用常规的定量问卷调查研究，在变量的确定上存在客观障碍。

对象：为尽量选取最具代表性的样本，以涵盖实践中P2P平台采用的各类风险管控机制，本文综合考虑地域、规模、运营模式等因素，从大量P2P平台样本中选取了10个典型样本：成都易贷网、北京积木盒子、宜信、人人贷、上海陆金所、拍拍贷、重庆贷贷金融、种钱网、安徽德众金融、杭州微贷网。

过程：初期，通过收集相关文献资料、数据等初步了解我国P2P平台管控债务人信用风险运用的私法机制。包括平台的性质；各个产品采取的风险控制措施；平台对借款人的审核程序；平台的项目是否存在第三方机构担保及其对借款人的信用风险的管控等。

三、样本平台管控债务人风险模式调查

初期的网络数据调查得知，P2P网络信贷过程中债务人的信用风险主要表现在三方面：借款人使用虚假的身份信息获取贷款；借款人违规、违法使用贷款资金导致物理还款造成的违约；借款人恶意拖延或拒绝还款而导致的信用风险。[2]针对三方面的债务人信用风险，P2P网络借贷平台管控风险的模式主要包括平台附自身担保模式、引入第三方担保机构模式和债权转让模式等。

（一）平台附自身担保模式――风险准备金模式

据调查我国尚存在P2P网络借贷平台向投资人提供平台担保的经营模式。德众金融、积木盒子平台都在宣传中出现“本金保障”、“本息保障”等担保性条款，承诺以“风险储备金”为放款人提供本息保障。该风险准备金是由平台的自有资金、合作机构提供资金以及从收取的手续费中按一定比例提取的资金共同组成，对平台内融资项目风险提供有限金额的担保，并存入银行专门设立的账户内，平台不得随意提取。

（二）引入第三方担保机构模式

调查显示贷贷兴隆、种钱网、德众金融、拍拍贷、人人贷、陆金所均引入第三方担保机构对债务承担连带责任保证。第三方担保机构性质多样，包括融资性担保公司、非融资性公司、国有企业、资产管理公司等。第三方担保机构为严控风险，往往进一步建立反担保机制。P2P平台反担保制度的建立则要求线上融资人必须线下提供房屋、车辆抵押等担保。值得注意的是，与种钱网合作的第三方担保机构要求其股东对债务承担连带责任。另外，部分第三方担保机构也有着特殊身份，如：

1、贷贷兴隆以其母公司作为第三方担保机构。在此种模式下，母公司对借款项目承担主要审核任务，并对债务人债务承担连带责任保证担保。

2、德众金融采用核心企业作为第三方担保机构，为上下游企业提供连带责任保证。此处的核心企业通常是指控制着上下游企业资金流和物流的大型企业。

（三）债权转让模式

1、不改变债权性质的直接性债权转让

资金的供给方与需求方不直接签订债权债务合同，而是由第三方主体，包括自然人、法人或其他组织，先将资金借给资金需求方，第三方主体再将其所拥有的对资金需求者的债权转让给资金供给者。[3]在这一过程中，按照P2P网络借贷平台不同的作用，具体又有以下三种情况：

（1）P2P网络借贷平台仅为第三方主体的债权转让行为进行信息发布、撮合和资信评估的功能，仍由第三方主体与资金供给者签订合同。一旦借款人违约，第三方主体承诺无条件回购债权，如德众金融“债易宝”、“周转易”产品。

（2）第三方主体先将债权转让给 P2P 网络借贷平台，而后 P2P网络借贷平台再将债权转让给资金供给者；

（3）第三方主体委托P2P网络借贷平台以第三方主体名义代为转让其享有的债权，且债权转让行为之法律后果全部归于第三方主体；

2、改变债权本质属性的证券化金融产品之债权转让

改变债权本质属性的证券化金融产品之债权转让是指采用诸如债权分拆方式对各类债权中的风险与收益要素进行分离与重组，形成与原有债权性质不同的金融产品并出售。在该种模式中，债权本质上已经变为债券或其他具有证券属性的理财产品。如人人贷的U计划、陆金所的稳赢安e贷款。

（四）其他模式

1、车辆房屋抵押模式。据调查，德众金融、微贷网P2P网络借贷平台均要求借款人向其提供足值固定资产抵押，如房屋、车辆等。但凡经平台合理催告后债务人逾期仍未还本息的，平台将以风险准备金向投资人现行垫付本息，同时将抵押物以折价或者拍卖、变卖方式获取价款，从中优先受偿。

2、债权质押模式。调查显示，德众金融、人人贷、陆金所P2P网络借贷平台运用该模式管控信用风险，即借款人以其在第三方支付机构所设立资金账户中的应收账款作为质押，以获得投放借款标的资格。借贷双方约定，若到期无法足额偿还，借款人以其在平台上的应收账款一次性支付本息及罚息。

3、严格审核模式。多数平台为管控债务人风险，对于债务人的信息均会进行审核，如积木盒子采取线上与线下审核。但各平台对该模式在管控债务人风险中发挥的作用重视程度却大相径庭。调查显示，此类平台采用社会信用因素审核：与全国多家数据中心合作；将借款人的社交网络资料（P2P网络借贷平台、朋友圈等数据）作为信用测评内容；综合考虑多个指标运用评价系统自动测算借款方违约成本和违约概率，并确定安全信用额度。

四、管控模式的合法性分析

根据上述实践调查结果，结合我国相关的法律法规规定，下文将着重分析平台管控债务人风险措施的合法性，即管控模式是否具有法律风险性。平台只有严控债务人信用风险以及其自身法律风险，才能真正得到可持续发展。

2015年7月中国人民银行等十部门联合印发《关于促进互联网金融健康发展的指导意见》（以下简称《意见》）。该《意见》指明个体网络借贷是个体和个体之间通过互联网平台实现的直接借贷，即P2P网络借贷的范围为个体和个体之间，排除了组织之间。但实践中，如积木盒子等既样本平台既存在借贷服务，又提供基金、股票等理财产品服务，显已不属于纯网络借贷平台。

据《意见》第二类第八项规定，P2P网络借贷平台的性质为“信息中介”。①“信息中介”指平台为投资方和融资方提供的是信息交互、撮合、资信评估等中介服务，主要为借贷双方的直接借贷提供信息服务，而并非增信服务，也不得非法集资。网络借贷属于互联网金融，因此对于网络借贷法律风险问题的分析，应以《民法通则》、《合同法》、《担保法》等相关法律、行政法规、规章规定以及商事法律制度及国家政策规范为准则。基于社会调查结果，本文对我国P2P平台管控债务人信用风险私法机制运用中存在的主要法律问题予以分析：

（一）平台担保的合法性分析

根据我国《意见》规定，P2P网络借贷平台性质为“信息中介”。因此平台在法律上只能扮演“居间人”的角色，不应当为债务人在平台上筹得的贷款提供担保或保证。另据据《融资性担保公司管理暂行办法》规定，“任何单位和个人未经监督部门批准，不得经营融资性担保业务”。可见，作为“信息中介”的P2P网络借贷平台在未经批准而从事融资性担保业务的行为显已超出了合法性范畴，与其“居间人”角色相违背。

但是，多数平台建立的风险准备金预防机制与其本身提供担保不同，并非由P2P平台无条件承担连带保证责任担保，而是以风险准备金为限保障投资人的利益。由于风险金通常属于平台所有，P2P网络借贷平台以其自有的资金为借款人的融资行为提供担保，在性质上仍然属于从事融资性担保业务。

因此，平台自担保的行为不仅容易给自身带来资金风险，更是缺乏合法性。

（二）第三方担保机构担保的合法性分析

有些平台采取的引入第三方担保机构管控债务人风险的模式，即在进行网络借贷过程中，第三方担保机构参与其中为债务人的债务向投资人提供担。这是符合我国法律规定，具有合法性，无法律风险。但凡从事融资性担保的机构均需经相关监管部门的批准。

（三）债权转让的合法性分析

该模式中不改变债权性质的债权转让，根据我国《合同法》第七十九条规定，“债权人可以将合同的权利或者部分转让给第三人”。对此，P2P平台收购逾期债权的做法应当规制。除此之外，第三人（转让人）转让债权又承诺无条件回购债权的做法亦需防涉嫌非法集资等行为之嫌。其判断标准主要为第三人（转让人）是否真正享有债权，是否随意拆分、重组债权。因此，审核第三人（转让人）资质为关键。

五、研究结论与启示

P2P平台对于债务人申请前的身份虚假信用风险的措施，平台可以采取线上和线下结合审核的方式，减小该风险。且该措施已为大多数平台采取，并且符合我国法律的规定。

对于债务人是否按照资金用途利用所借资金来带的一种违法、隐性风险。首先平台作为理性经济主体，多为盈利性平台，则按照经济效益最大化原则，多数不会对该风险采取相关措施。其筛选的部分项目标准是怎样的，以及具体调查的效果如何，均不得而知。并不利于保障债权人利益，减小风险。借鉴国外经验，美国的2007年建立的Lending Club网络借贷平台采取的社交网络贷款，则主要利用face book等网络交际平台集合出借人和借款人，则有利于出借人与借款人建立更加紧密的联系。[4]从而债权人可以自己通过社交网络平台对债务人资金用途的监管，减小风险。

债务人“跑路”的信用风险，上述中平台引入有资质的第三方担保机构担保机制、平台作为“居间人”的债权转让和债权质押方式等管控债务人风险的模式符合我国《意见》规定的“信息中介”性质。（作者单位：西南政法大学经济法学院）

2015年西南政法大学本科生科研训练创新活动资助项目成果，批准号：2015-BZX-080

第4篇

一、内部控制理论的演进历史

内部控制的思想和实践历史悠久，其伴随着组织的形成而产生。内部控制理论的发展大体上经历了内部牵制、内部控制制度、内部控制结构、内部控制框架等四个阶段。在每一阶段，内部控制都被赋予不同的内涵。

（一）内部牵制阶段。一般认为，20世纪40年代以前是内部牵制阶段。内部控制思想的萌芽早在五千多年前就出现了。苏美尔文化的史料记载中会计账簿数字边的标记、古埃及古物入仓时的职务分离、我国周朝留下的记录——“一毫财赋之出入，数人之耳目通焉”等，均反映了内部牵制的基本原理，即以账目间的相互核对为主要内容并实施岗位分离。内部牵制理论建立在两个基本假设之上：两个或两个以上的人或部门无意识地犯同样错误的可能性很小；两个或两个以上的人或部门有意识地串通舞弊的可能性大大低于单独一个人或部门舞弊的可能性。美国著名审计学家蒙哥马利1912年所著的《审计——理论与实践》一书中已明确表述过这种思想，这种思想在早期被认为是确保所有账目正确无误的一种理想控制方法。

（二）内部控制制度阶段。20世纪40年代到20世纪70年代，在内部牵制思想的基础上逐渐产生了内部控制概念。1949年美国注册会计师协会（AICPA）所属的审计程序委员会发表了一份题为《内部控制：系统协调的要素及其对管理部门和独立公共会计师的重要性》的特别报告，首次正式提出了内部控制的定义：“内部控制包括组织的计划和企业为了保护资产，检查会计数据的准确性和可靠性，提高经营效率，以及促使遵循既定的管理方针等所采用的所有方法和措施”。这一概念突破了与财务会计部门直接有关的控制局限，使内部控制扩大到企业内部各个领域。内部控制的内容也发生了变化，从内部牵制时期的账户核对和职务分离逐步演变为由组织机构、岗位职责、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密的内部控制系统。

1958年，出于审计人员测试与财务报表有关的内部控制的需要，审计程序委员会又将内部控制分为内部会计控制和内部管理控制。前者是指与财产安全和会计记录的准确性、可靠性有直接联系的方法和程序；后者主要是与贯彻管理方针和提高经营效率有关的方法和程序。将内部控制一分为二使得审计人员在研究和评价企业内部控制制度的基础上来确定实质性测试的范围和方式成为可能。由此内部控制进入“制度二分法”阶段。

（三）内部控制结构阶段。20世纪70年代以后，内部控制的理论研究又有了新的发展，研究重点逐步从一般涵义向具体内容深化。在实践中审计人员发现很难确切区分内部会计控制和内部管理控制，而且后者对前者其实有很大影响，无法在审计时完全忽略。于是，1988年5月AICPA发布了第55号审计准则公告《财务报表审计中内部控制结构的考虑》，以“内部控制结构”的概念取代了“内部控制制度”。该公告认为：“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”，并指出内部控制结构包括三个组成要素：控制环境，会计制度和控制程序。从而，内部控制从“制度二分法”步入“结构分析法”阶段，这是内部控制发展史上的一次重要改变。

（四）内部控制整体框架阶段。1992年9月，由美国注册会计师协会、美国会计学会（AAA）、国际内部审计师协会（IIA）、财务经理协会（FEI）以及管理会计师协会（IMA）共同组成的COSO委员会发布了指导内部控制实践的纲领性文件COSO研究报告：《内部控制——整体框架》（IC-IF），并于1994年作了修改。该报告重新定义了内部控制：“内部控制是受董事会、管理当局和其他职员影响，为企业经营活动的效率和效果、财务报告的可靠性，相关法律法规的遵循性等目标的实现提供合理保证的过程。”内部控制整体框架由控制环境、风险评估、控制活动、信息与沟通、监控等五个要素组成。同以往的内部控制理论及研究成果相比，COSO报告提出了许多有价值的新观点，阐述了内部控制的各个组成部分，客观地指出了内部控制的局限性，而且明确了不同人员在内部控制中的角色和责任。

二、企业风险管理框架

自COSO报告发布以来，内部控制框架已经被世界上许多企业所采用，但理论界和实务界纷纷对该框架提出改进建议，认为其对风险强调不够，使得内部控制无法与企业风险管理相结合（朱荣恩、贺欣，2003）。因此2004年9月，COSO委员会在1992年的COSO报告的基础上，结合《萨班斯——奥克斯利法案》在报告方面的要求，颁布了《企业风险管理整体框架》的报告（ERM）。该报告把企业风险管理定义为：“企业风险管理是一个受企业的董事会、管理当局和其他职员影响，应用于战略制定并贯穿于整个企业，用于识别可能影响企业的潜在事项并在企业的风险偏好内管理风险，为企业目标的实现提供合理保证的过程”。企业风险管理由内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控等八个相互关联的要素组成。企业风险管理的信息流程如下图所示：

图在文尾！

企业风险管理的信息流程

该流程并不代表风险管理的组织流程，但可以从信息流的角度透视企业的风险管理流程。企业风险管理的信息流程描述如下：由董事会的风险管理委员会确定内部环境中的风险管理文化和风险偏好；董事会与经理层设定包括战略目标及其他相关目标在内的目标体系，在设定目标时，要考虑企业的风险容忍度、风险偏好以及事项识别环节所确定的机会；确定了目标，企业就要考虑其所面临的内部因素和外部因素，并识别相关可能带来潜在不利影响的事项（风险）；在风险评估部分评价风险损失额和风险发生概率，同时考虑剩余风险；采用组合风险观和其他具体的应对措施来应对风险；在控制活动环节继续落实有助于风险反应的政策和措施，并报告结果。然后，从控制活动环节返回到事项识别环节，重复事项识别、风险评估、风险反应、控制活动这个流程；监控则对上述所有环节的效率和效果进行监督和控制。

企业风险管理整体框架与内部控制整体框架相比，有以下几种变化：第一，目标的拓展。由IC-IF的三个目标——经营、财务报告和遵循性，扩大到ERM的四个目标——战略、经营、报告和遵循性，两者中只有经营和遵循性这两个目标的定义相同。IC-IF中的财务报告目标只与公开披露的财务报告的可靠性相关，而ERM中的报告目标的范围有很大的扩展，包括企业所有对内和对外的报告，报告目标的范围从仅仅关注财务信息扩展到同时关注非财务信息。此外，ERM还增加了战略目标，不仅强调在整个企业范围内识别和管理风险的重要性，还强调应针对企业目标的实现在企业战略制定阶段就考虑一系列备选方案的风险因素，从而使 ERM 的应用深入到了战略制定层次。第二，要素的增加。ERM 增加了目标设定，事项识别和风险反应这三个与风险密切相关的要素，遵循了“目标——风险——控制”的逻辑顺序，充分体现了对风险的关注。第三，对原有要素内容的充实和丰富。在内部环境要素中，ERM更直接关注企业的风险文化与风险偏好。在风险评估要素中，倾向于更准确地进行风险评估，采用定性或定量的方法对事项发生的后果和可能性进行估计，并将风险与相关的目标联系起来。在信息与沟通要素中，考虑了来自历史、现在和将来潜在的事项和沟通方式，并要求与企业信息系统整合。此外，ERM还明确了控制活动的目的，指出控制是有助于确保管理层的风险反应措施得以执行的政策和程序。第四，提出了风险组合观的概念，全面贯彻了风险理念。ERM要求管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施使企业所承担的风险保持在风险偏好的范围内。因为对企业内部各个部门而言，其风险可能落在该部门的风险容忍度范围内，但从企业总体来看，总风险则有可能超过企业总体的风险偏好范围。

三、内部控制与风险管理日益融合

实行内部控制和风险管理都是为了维护投资者利益，实现企业目标。内部控制的起源较风险管理要早。最初的内部控制是随着生产的大规模化和资本社会化产生的，是互相牵制的思想，通常采取账目核对的方法，以确保财产安全和账目正确。风险管理则是在新技术和市场条件下出现的，风险管理是内部控制概念的自然延伸。关于这点，可以从企业风险管理框架的变化中得到证明。框架最大的变化，就是将企业内部控制更名为企业风险管理，这一变化是有特殊意义的。事实上，几乎所有的公司都有一大套管理制度，这些制度大到包括对外投资，小到包括差旅费报销等，应有尽有。因此，董事会与管理层往往认为，这些制度的贯彻与执行就是内部控制的所有内容。其实，企业的管理资源是有限的，控制也是需要成本的，如果将企业主要精力放在所有细小的、或微不足道的控制上，往往会舍本求末。如有些企业在差旅费报销的规定上长达数十页，极其繁琐，表面上控制得很好，但浪费了许多管理资源，还会忽视企业重大风险。所以，框架要求董事会与管理层将精力主要放在可能产生重大风险的环节上而不是放在所有细小环节上，将风险管理作为内部控制的最主要内容，这是一个革命性的变化。

四、结语

内部控制理论发展反映了内部控制实践的发展。当今社会经济环境日趋复杂，企业不可避免地会遇到各种风险，因此企业应建立风险管理机制，以防范和规避风险。而分析和辨认风险是有效内部控制的关键组成要素。从COSO的两份重要报告中可以看出，不论是1992年的《内部控制——整体框架》，还是2004年的《企业风险管理——整体框架》，均把风险管理作为主要的内部控制要素，强调识别和管理风险的重要性，强调企业的风险管理应针对企业目标的实现并且在企业战略制定阶段就应该予以考虑。英国的特恩布尔报告扩大了内部控制的范围，将内部控制与风险管理合为一体，认为两者是近乎等同的概念。可见，内部控制和风险管理日益融合，风险导向已是内部控制的发展方向。

————————

参考文献

[1]《内部控制问题研究》课题组：《基于公司治理结构的内部控制有关问题研究》，《会计论坛》2005年第2期。

[2]金彧昉、李若山、徐明磊：《COSO报告下的内部控制新发展——从中航油事件看企业风险管理》，《会计研究》2005年第2期。

[3]陈关亭：《我国企业内部控制缺陷的评析与建议》，《财务与会计》（理论版）2006年第4期。

[4]林玮：《内部控制概念的演进及其与公司治理的关系》，《福建金融管理干部学院学报》2005年第5期。

第5篇

【关键词】管理学内部控制风险管理

一、美国内部控制与风险管理的融合

在美国，COSO报告中内部控制的手段主要体现在事前控制上。在不考虑其他条件的情况下，企业采取的控制措施越强，其所面临风险的可能性以及所可能遭受的损失则越小。所以企业的管理者经常使用风险评估手段识别和分析企业面临的风险并不断完善内部控制的具体环节，从而将经营管理风险于事前控制在最小程度。

而在全面风险管理（ERM）框架中，与内部控制一样，企业风险管理被定义为一个过程。ERM指出，风险管理是渗透于企业各项活动中的一系列行动，贯穿于管理过程的各个方面。风险管理不只是某个人或者某个部门的事，而是贯穿到整个企业、整个员工，贯穿到业务的每一个环节，有赖于高管人员到基层员工各层次人员的相互配合。

二、英国内部控制与风险管理的融合

在英国，有关内部控制的理论研究主要见于《卡德伯利报告》、《拉特曼报告》、《哈姆佩尔报告》以及《特恩布尔报告》。其中：《卡德伯利报告》和《拉特曼报告》认为，内部控制的对象限于对企业的财务控制，企业实施内部控制的主要功能在于保护企业资产的安全、保持正确的财务会计记录以及确保公司内部使用和向外部提供的财务信息的可靠性。

而《哈姆佩尔报告》认为企业实施内部控制的目的，除了保持财务会计记录的真实准确、保护企业的资产安全以及各项信息的可靠性外，还应该充分重视董事在内部控制中的作用。该报告认为企业风险评估和反映、财务管理、遵守法律法规、保护资产安全以及使舞弊风险最小化等也是极其重要的，企业内部控制的实施离不开董事等高级管理人员对企业经营的各方面进行复核。

《特恩布尔报告》在理解内部控制活动范围时，将内部控制与风险管理合为一体，认为内部控制与风险管理的概念涵义基本一致，认为公司经营管理和内部控制组织的环境处于不断变化之中，而企业所面临的风险也是不断变化的，内部控制的目的就是帮助企业正确地分析评估、管理和控制风险。因此，该报告认为对公司所面临风险进行全面分析评估，是一个健全的内部控制必不可少的内容。

三、我国内部控制与风险管理的融合

在我国，审计署党组成员、总审计师孙宝厚先生曾在“融合之道——内部控制和风险管理高峰论坛》上真言不讳的讲：“内部控制、内部审计是风险管理的重要组成部分。”他认为：内部控制中的审计活动一定意义上讲就是要防范和减少错弊或者损失的发生。因此，企业审计在针对企业可能遇到的内外部风险（如经营风险、市场风险、法律风险、政治风险、信用风险、技术更新风险等）的预防控制方面具有较大的局限性。尤其是企业的内部审计活动，在内部控制以及风险管理控制上的作用主要是局限于财务和内部的操作风险方面；至于外部的、长远的其他方面的风险，审计活动算是鞭长莫及。所以，企业就需要考虑另外一种能够同时应对外部的、长远风险的管理角色。

此外，加拿大CICA的控制委员会对内部控制与风险管理关系的认识也逐步从对立走向融合，认为“控制应包括对风险的确认和规避”。当前，加拿大的学者逐渐认识到将内部控制和风险管理的二者加以隔离的分析方法的不足，控制的过程本身即是对风险的评估确认以及合理规避。CICA控制委员会认为在企业管理中，只有将内部控制与风险管理二者加以结合，才能发挥最佳的企业管理效果。例如，Blackburn（1999）就认为“风险管理与内部控制仅是人为的分离，而在现实的商业行为中，他们是一体化的”。

从以上分析可以看出，内部控制和风险管理相融合的理论演变，恰恰使得有关内部控制的定义变得清晰，使内部控制的内容跳出传统的内部财务控制的限制，扩展到了企业的战略制定等所有价值创造领域，标志着风险导向型内部控制时代的开始。

参考文献：

[1]许开端.企业内部控制系统设计之我[J].会计师.2010（1）.

[2]李星辰.内部会计控制与公司治理结构[J].华北科技学院学报.2003，（3）.

[3张景安.风险投资中的风险控制[J].中国内部审计，2007.

[4]王光远.公司治理下的内部控制与审计——英国的经验与启示[J].中国注册会计师，2003.

第6篇

公司治理和内部控制发展史上的三大报告

历史上看，英国内部控制的发展离不开公司治理研究的推动。20世纪80-90年代，英国的公司治理像今天的美国一样，面临着巨大的信任危机。面对创造性(creative accounting)的泛滥、公司经营的失败和连续不断的丑闻、董事薪酬激增以及短期行为主义猖獗等一系列公司治理问题，公众、监管机构的不满情绪日益升温。这一阶段也就成为英国公司治理问题研究的一个高峰期，各种专门委员会纷纷成立，并发布了各自的研究报告，其中比较著名的有卡德伯利报告(Cadbury Report，1992)、拉特曼报告(Rutterman Report，1994)、格林伯利报告(Creenbury Report，1995)和哈姆佩尔报告(Hampel Report，1998)。在吸收这些研究成果的基础上，1998年最终形成了公司治理委员会综合准则(Combined Code of the committee on Corporate Governance)。综合准则很快就被伦敦证券交易所认可，成为交易所上市规则的补充，要求所有英国上市公司强制性遵守。这些研究成果从理论和实践两个方面，极大地推动了英国公司治理和内部控制的发展，尤其是卡德伯利报告、哈姆佩尔报告，以及作为综合准则指南的特恩布尔报告(Turnbull Report，1999)，堪称英国公司治理和内部控制研究历史上的三大里程牌。

一、卡德伯利报告

卡德伯利报告从财务角度研究公司治理，同时将内部控制置于公司治理的框架之下。其实，1985年“公司法”S.221条款就规定，董事对公司保持充分的会计记录负责，为满足上述要求，在现实中董事必须建立公司财务管理方面的内部控制制度，包括设计程序使舞弊风险最小化。也就是说，1985年的“公司法”已经对董事确保适当的内部控制制度提出了含蓄的要求。

卡德伯利报告进一步认为，有效的内部控制是公司有效管理的一个重要方面。因此建议董事们应发表一个声明，对公司内部控制的有效性进行详细描述，外部审计师对其声明进行复核(review)和报告，同时规定在董事会认可声明之前，审计委员会应对公司的内部控制声明进行复核。该报告还认为，内部审计有助于确保内部控制的有效性，内部审计的日常监督是内部控制的整体组成部分，会计师职业应在以下方面起到领导作用: (1)开发用以评估有效性的一整套标准; (2)开发董事会报告形式的具体指南; (3)开发审计师用以相关审计程序和报告格式的具体指南。

卡德伯利报告在许多方面开创了英国公司治理历史的先河，它明确要求建立审计委员会、实行独立董事制度，同时将内部控制作为公司治理的组成部分。尽管报告尚存在许多局限性，但它所确认的公司治理的许多原则一直沿用至今。

二、哈姆佩尔报告

哈姆佩尔报告将内部控制的目的定位于保护资产的安全、保持正确的财务会计记录、保证公司内部使用和向外部提供的财务信息的可靠性，同时鼓励董事对内部控制的各个方面进行复核，包括确保高效经营、遵守法规方面的控制。哈姆佩尔报告认为，很难将财务控制与其他控制区分开来，并坚信董事及管理人员对控制的各个方面进行复核具有重要意义，内部控制不应仅局限于公司治理的财务方面。该报告全面赞同卡德伯利报告将内部控制视为有效管理的重要方面的观点，并认为董事会应该对内部控制进行复核以强调相关控制目标，这些目标包括对企业风险评估和反映、财务管理、遵守法律法规、保护资产安全以及使舞弊风险最小化等方面。

尽管哈姆佩尔报告所提出的准则，将公司治理向前推进了一步，但并未满足普遍的要求，其主要的批评意见集中于该报告的缺乏新意、委员会主要由既得利益者组成、有关原则难以付诸实施、责任不够明确等。当时贸易与部的负责人玛格丽特·贝凯特就认为，报告在受托责任与透明度方面仍有不足。

三、特恩布尔报告

卡德伯利报告和哈姆佩尔报告都程度不同地对公司内部控制提出了要求，作为集大成者的综合准则在“最佳实务准则(Best Practice Code)”中对内部控制提出了综合性和原则性的规定。尽管综合准则要求公司董事会应建立健全内部控制，但是该准则并未就如何构建“健全的内部控制”提供详细的指南。因此，英格兰和威尔士特许会计师协会(ICAEW)与伦敦证券交易所达成一致，为上市公司执行准则中与内部控制相关的要求提供具体指南。1999年ICAEW组成的以尼格尔·特恩布尔(Nigel Turnbull)为主席的十人工作小组公布了《内部控制：综合准则董事指南》，即特恩布尔报告。作为指导企业构建内部控制的指南，该报告的意义在于，它为公司及董事会提供了具体的、颇具可行性的内部控制指引。其主要内容是：

董事会对公司的内部控制负责，应制定正确的内部控制政策，并寻求日常的保证，使内部控制系统有效发挥作用，还应进一步确认内部控制在风险管理方面是有效的。在决定内部控制政策，并在此基础上评估特定环境下内部控制的构成时，董事会应对以下进行深入思考：(1)公司面临风险的性质和程度；(2)公司可承受风险的程度和类型；(3)风险发生的可能性；(4)公司减少事故的能力及对已发生风险的；(5)实施特殊风险控制的成本，以及从相关风险管理中获取的利益。

执行风险控制政策是管理层的职责，在履行其职责的过程中，管理层应确认、评价公司所面临的风险，并执行董事会所设计、运行的内部控制政策。公司员工有义务将内部控制作为实现其责任目标的组成部分，他们应集体具备必要的知识、技能、信息和授权，以建立、运行和监督公司内部控制系统。这要求对公司及其目标，所处的产业和市场以及面临的风险有深入的理解。

合理的内部控制要素包括政策、程序、任务、行为以及公司的其他方面，这些要素结合在一起，对影响公司目标实现的重大的商业性、业务性、财务性和遵循性风险做出正确反应，以提高公司经营的效率和效果。其中包括避免资产的不当使用、损失或舞弊，并保证已对负债进行了确认和管理。

公司的内部控制应反映组织结构在内的控制环境，包括：(1)控制活动；(2)信息和沟通程序；(3)持续性监督程序。特恩布尔报告指出了健全的内部控制所应具备的基本特征：(1)它根植于公司的经营之中，形成公司文化的一部分。换言之，它不仅仅是为了取悦监管者而进行的年度例行检查; (2)针对公司面临的不断变化的风险，具有快速反应的能力; (3)具有对管理中存在的缺陷或失败进行快速报告的能力，并且能及时地采取纠正措施。

对内部控制有效性进行复核是董事会职责的必备部分。董事会应在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断。董事会应限定对内部控制复核的过程，包括一年中复核的范围、收到报告的频率以及年度评估的程序等，这也将为公司年报和记录中的内部控制声明提供适当的支持。

内部控制的若干趋势

一、对内部控制有效性进行报告的要求日趋减弱

卡德伯利报告建议，董事应就内部控制的有效性进行报告，并要求审计师对董事会报告进行复核。由此产生了一系列问题，其中之一就是审计师应向谁进行报告、是否应将其复核报告公开。在向公众提供公开报告方面，有效性要求使董事会和审计师均感到很困惑，因为那将意味着内部控制将为避免错误或舞弊提供“绝对保证”，而事实上没有一个内部控制系统能够完全避免人为错误。如果由于非故意原因导致错误陈述或遗漏，董事或审计师将因为其确认的有效性而承担责任。Power(1997)的发现，当内部控制及其有效性的概念仍处于模糊状态时，董事会及师均不愿做出这样的声明。

与卡德伯利报告形成鲜明对比的是，哈姆佩尔报告鼓励而非要求董事就内部控制的有效性作出判断，并对卡德伯利准则中的第4.5条款进行了修改，将原来的“董事应就公司内部控制的有效性进行报告”，修改为“董事应对公司内部控制进行报告”，删除了“有效性”一词。哈姆佩尔报告建议，在董事会报告中明确董事在内部控制方面的责任，说明内部控制仅能为避免重大的错误或遗漏提供“合理”保证，描述公司为提供有效的财务控制而建立的主要程序，并确认董事已经就系统的有效性进行了复核。哈姆佩尔报告认为，审计师不必向社会公众公布其对董事会报告的审查结果。这样做会在董事会与审计师之间建立更为有效的沟通渠道，使得最佳实务在报告的范围和性质方面不断进步。

而特恩布尔报告则规定，董事会应对公司内部控制的有效性进行复核，进行复核所使用的程序，并在年度报告或记录中披露用于解决内部控制重大问题的和过程，董事会至少还应披露用于确认、评估和管理重要风险的持续性监督程序。特恩布尔报告还鼓励董事会在年报中提供额外的信息，以帮助信息使用者理解公司的风险管理程序和内部控制。由此可见，英国对有关公司内部控制的报告和披露方面的要求并未放松，但对内部控制有效性进行报告的规定却日趋减弱。

二、内部控制与风险管理的融合日趋紧密

表一概括了英国内部控制范围的演化过程和趋势。卡德伯利报告和拉特曼报告对内部控制的要求主要限于财务控制，而财务控制的主要功能在于保护资产的安全、保持正确的财务记录以及确保公司内部使用和向外部提供的财务信息的可靠性。哈姆佩尔报告则向前推进了一步，认为很难将财务控制与其他控制区分开来，鼓励董事对有效经营、遵守法规等方面进行复核，从而大大扩大了内部控制的范围。特恩布尔报告再次扩大了内部控制的范围，将其与风险管理联系起来。内部控制与风险管理的结合很早就引发了人们的关注，但两者的关系仍无普遍认可的观点。一种观点认为内部控制从属于风险管理的范畴，是风险管理的方式之一。例如Krogstad(1999)就认为内部控制不存在于真空或暗箱之中，而存在于协助组织进行风险管理并提升有效的治理程序之中，McNamee也认为内部控制是管理者对企业风险的反应。另一种有代表性的观点是将风险管理纳入内部控制体系，认为控制包含了风险。例如，美国的COSO报告将风险评估视为内部控制的五个要素之一。加拿大CICA的控制委员会则认为“控制应包括对风险的确认和规避”(1999)。经过争论和实践，人们对二者关系的认识不断深化，逐渐认识到将两者关系隔离的是不可取的，内部控制与风险管理只有相融合，才能实现最佳效果。例如，Blackburn(1999)就认为“风险管理与内部控制仅是人为的分离，而在现实的商业行为中，他们是一体化的”，这种融合极大地推进了内部控制定义的发展。

Maijoor(2000)曾指出定义内部控制的困难所在，并进一步认为当前内部控制的是零散和不完善的，内部控制在公司治理中的作用并不明显，导致政策建议建立在未经证实的假设之上。特恩布尔报告转向扩张的观念，将内部控制与风险管理合为一体，认为两者是近乎等同的概念。这是英国与公司治理相关的公开文件中，第一次强调内部控制与企业风险的关系。而此前的卡德伯利报告没有明确两者之间的关系，哈姆佩尔报告也仅在内部控制的环境下简单地提及风险管理。

特恩布尔报告认为公司经营的目标、内部控制组织和环境处于不断变化之中，作为结果，其面临的风险也在不断变化。一个健全的内部控制依赖于对公司所面临风险性质和程度的全面、综合的评价。因为利润本身部分地作为企业成功冒险的回报，内部控制的目的就是帮助正确地管理和控制风险，而非减少风险。正如该委员会主席尼格尔·特恩布尔所说：“我们致力于制定实务指南，以保证董事会知晓公司所面临的重要风险，并制定相应的程序对风险进行管理，执行的管理层负责通过建立有效的内部控制系统进行风险管理，而董事会作为一个整体对其进行报告。”

这种融合避免了对内部控制定义不清的麻烦，使之从传统的内部财务控制的狭窄范围内摆脱出来，扩展至通过战略参与公司价值创造，同时亦标志着风险导向内部控制的来临。

三、内部审计的角色由监督者逐步转变为控制者

内部审计一度曾被定位于“监督者”的角色。卡德伯利报告认为，内部审计是对外部审计的补充，建立内部审计机构对关键控制和程序进行监督是良好公司实务的组成部分，这种日常监督也是公司内部控制整体中的一部分，它有利于保持内部控制系统的有效性。内部控制代表董事会对任何有舞弊可疑性的行为执行调查，为保证其地位的独立性，应使内部审计负责人与审计委员会主席的沟通畅通无阻。哈姆佩尔报告却认为，没有必要对内部审计做出严格的规定，但董事会应经常考虑，是否需要建立独立内部审计机构。

特恩布尔报告对内部审计做出了更为详细的指引，认为是否建立内部审计机构不能一概而论，而是取决于公司具体的因素。这些因素包括规模、公司行为的多样性和复杂性、员工的数量以及成本效益方面的考虑。高级管理人员和董事会需要对风险和控制给出客观的保证和建议，一个有效的内部审计部门(或独立第三方)则可以提供这种保证和建议，内部审计亦可以在诸如健康和安全、管制和法律遵守及环境等提供保证和建议。

特恩布尔报告认为，在决定是否有必要建立单独的内部审计机构这一上，董事会应考虑公司行为、市场、组织重构、信息系统和其他外部环境方面因素是否会增加公司所面临的风险。那些未建立内部审计机构的公司，其管理人员应使用其他监督程序，以确保内部控制能正常、按要求运转，董事会有必要对这些程序是否提供足够和客观的保证进行评估。

特恩布尔报告还认为，内部审计师的主要作用是"确证和建议"，而不再是以往的“监督和复核”。这一转变赋予内部审计更多的内涵，也推动了英国内部审计职业角色的转变。这一转变也与内部审计师协会(IIA)将内部审计定位成增值性审计的想法不谋而合。在风险导向的内部控制下，内部审计计划与公司风险管理策略联系在一起，内部审计利用对当前的风险，保证其审计计划与的经营计划相一致。正如McNamee所预言的那样，内部审计师应成为内部战略计划者--一个管理控制的扩展，以确保系统正常运做，实现组织目标，内部审计师应最终脱离狭隘的之源。在变革的，内部审计师应在全面管理中发挥更高价值的功能，这一崭新的定位已经成为内部审计师职业的目标，也为内部审计师在组织中占据新的位置提供了机遇。

四、内部控制自我评估日益受到重视

内部控制自我评估(CAS)是公司管理层和员工在专题讨论中，共同对内部控制进行的评估(Mc Namee，1995)。自我评估是组织监督和评估内部控制系统的主要工具，它将运行和维持内部控制的主要责任赋予公司管理层，同时使员工和内部审计与管理层一道承担对内部控制评估的责任。这使以往由内部审计对控制的充足性及有效性进行独立验证发展到全新的阶段，即通过设计、规划和运行内部控制自我评估程序，由组织整体对管理控制和治理负责。

英国一直重视内部控制的自我评估，但卡德伯利报告和哈姆佩尔报告仅要求对内部控制系统进行复核(review)。而在特恩布尔报告中，则第一次使用了评估(assessment)的字眼，报告还用相当大篇幅对内部控制自我评估做出了原则性的规定。特恩布尔报告规定，在给董事会的报告中，管理层应对与其相关的领域中所存在的风险，以及相应的内部控制系统的有效性提供平衡的自我评估。特恩布尔报告认为，在对内部控制进行自我评估时，应特别考虑以下几个问题：(1)自上次评估以来，重要风险的性质和程度所发生的变化，以及公司对这些商业风险和外部环境变化所做出反应的能力。(2)管理层对内部控制系统和风险持续监督的范围和质量，以及内部审计功能和其他保证方式的工作状况如何。(3)就监督的结果与董事会交流的程度和频率，以便在公司内建立起累计评估体系，对内部控制状况及风险管理有效程度加以评估。(4)期间内任一时间所确认的重大控制失败或弱点，及其所导致或可能导致的不可遇见的结果及或有事项的程度，以及对公司财务状况和业绩产生的重大。(5)公司公开报告程序的有效性。一旦知道内部控制中所存在的重大失败或弱点，董事会应决定这种失败或弱点是如何产生的，并对内部控制系统的有效性进行重新评估。

从上述情况看，尽管报告尚未对评估的程序、等做出更为具体的规定，但明显地，对内部控制自我评估的重视程度，是日益加强的。

几点启示

一、内部控制定位问题

长期以来，我国内部控制理论研究主要集中于会计审计领域，侧重从会计和审计的角度研究内部控制，其研究成果也主要服务于审计方法的、审计成本的节约和审计风险的控制。注册会计师职业在审计中采用制度基础审计方法，通过对内部控制的测试，确定审计的重点和风险，进一步修改审计计划，而内部审计师则将内部控制作为监督或评价的重点目标。

仅从会计和审计的角度研究内部控制，必然导致视角过于狭窄。1996年财政部颁布的《独立审计具体准则第9号—内部控制和审计风险》，对企业内部控制的定义、目标和局限性等做出了较为全面的阐述，但它所采用的内部控制是英、美等国家所“淘汰”的概念，其作用也仅局限于对注册会计师从事审计业务提供具体指引。2001年财政部颁布的《内部会计控制规范——基本规范(试行)》是我国内部控制领域内最具权威的标准，也是上市公司进行内部控制实践所依据标准，但该《规范》仍局限在内部会计控制领域。而英国内部控制的发展，经历了财务控制、财务控制与管理控制相结合、内部控制与风险管理相融合等几个阶段，其范围不断扩大，早已超出了会计控制的范围。2002年1月，证监会颁布了我国第一部公司治理准则—《上市公司治理准则》，对公司治理的诸多方面进行了规范，但该准则却并没有涉及内部控制方面的，这使得该准则自诞生之日起便带有明显的缺陷。公司治理与内部控制之间应形成良性互动关系，内部控制的发展离不开公司治理的推动，公司治理的优化也离不开有效的内部控制作为保障。我们认为，两者间的关系应该在准则中得到反映，治理准则对内部控制、内部审计亦应作出明确的规定。

英国内部控制的离不开公司治理的推动，内部控制和内部审计均置于公司治理的框架之内，重视从公司治理的角度研究内部控制，把内部控制看作公司治理的有机组成部分。我们认为，应借鉴其英国内部控制研究的经验，加强对内部控制的研究，致力于研究内部控制是否对公司治理产生、这种影响机制如何发生作用以及公司董事会和管理层如何设计、运行公司内部控制机制等基本理论。

二、对内部控制的有效性进行强制性报告有待商榷

我国上市公司的内部控制实行的是强制性披露制度。虽然这种强制性的信息披露有利于投资者了解上市公司的相关信息和投资决策。但是，这种强制性披露要求的合理性仍值得商榷。因为，如果公司或注册师在报告中认为上市公司的内部控制是“有效性”的，这就意味着他们做出了某种承诺和保证，且给人绝对承诺和保证的印象。实际上，内部控制所能提供的仅是“合理”保证，而非“绝对”保证，这种绝对的保证很容易将自身置于潜在的诉讼风险之中。正是出于对诉讼风险的担心，英国上市公司的董事及注册会计师才反复游说，最终取消了对“有效性”报告的规定。

由于内部控制的涵盖范围很大，涉及到财务会计、经营管理、合法合规等诸多方面，使得任何一起证券市场民事诉讼都有可能牵扯到内部控制。发起人、负有责任的董事、监事以及注册会计师均有可能因对内部控制的“有效性”做出承诺而面临诉讼，而导致巨额的赔偿。因此，要求上市公司或注册会计师对内部控制的有效性进行报告的做法，值得进一步探讨。这是英国内部控制发展给我们的另一个启示。

三、风险导向内部审计是内部审计的发展方向

第7篇

关键词：注册会计师　风险评估　风险管理　内部控制

一、引言

2010年美国公众公司会计监督委员会(Public Company Accounting Oversight Board，PCAOB)通过了新的审计准则(审计准则第8号至第15号)，以规范审计师对审计风险的评估和反应。目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告，以保护投资者利益并增进公众利益。在PCAOB此次行动之前，不断有人发出强烈的信息，让审计职业人员在风险管理中扮演更积极的角色。而且PCAOB早在两年前就已经提出了实施具体风险评估准则的信息，这些准则旨在解决从最初计划到结果评估的审计过程问题。这些新准则是在审计促进成熟风险评估中非常重要的一步，可以把审计师未能发现的重大错报事故风险降到最小。PCAOB执行主席丹尼尔・格尔泽尔说一旦这些标准被采用，在审计财务申明中发现，适当计划以及实施审计以解决这些风险问题以增强投资者的信息是非常重要的。这些审计标准包括：审计风险、审计计划、审计参与监督、计划执行审计中的思考、重大错报事故的确认与评估、审计师对重大错报事故的回应、评估审计结果以及审计证据。它们贯穿了从初始计划阶段到审计结果评估的整个审计流程。PCAOB主席丹尼尔・高泽(DanielL，Goelzer)说：这些新准则的出台意味着在促进精密的审计风险评估与将审计人员未能发现重大误报的风险降至最低方面迈出了重要一步。识别风险，并通过正确地审计计划和开展审计活动来应对风险，对于提升投资者对经审计财务报表的信心是至关重要的。

二、风险评估、企业风险管理与审计风险

(一)注册会计师风险评估　风险导向审计的核心是审计风险，任何审计业务都必须将审计风险控制在可接受的风险水平内。因此风险导向审计要求注册会计师加强对被审计单位及其环境的了解，在审计的所有阶段都要实施风险评估程序，并将识别和的评估的风险与实施的审计程序挂钩，而且要求针对重大的各类交易、账户余额和列报实施实质性程序，可以说风险评估程序是风险导向审计模式落实到审计工作的核心环节，风险导向审计下审计风险模型如下：审计风险=重大错报风险×检查风险。审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。重大错报风险是指财务报表在审计钱存在重大错报的可能性，检查风险是指某一认定存在错报，该错报单独或连同其他错报是重大的，但注册会计师未能发现这种错报的可能性。注册会计师合理设计审计程序的性质、时间和范围，并有效执行审计程序，以控制检查风险。注册会计师采取以下方法展开审计工作：(1)注册会计师应当针对财务报表层次的重大错报风险置顶总体应对措施；(2)注册会计师应当针对认定层次的重大错报风险设计和实施进一步审计程序，包括测试控制的执行有效性以及实施实质性程序；(3)注册会计师应当评价风险评估的结果是否适当，并确定是否已经获取充分、适当的审计证据；(4)注册会计师应当将实施关键的程序形成审计工作记录。我们发现，注册会计师以针对评估的财务报表层次重大错报风险为起点，确定总体应对措施，并有针对评估的认定层次重大错报风险设计和实施进一步审计程序，以将审计风险控制在可接受的低水平。风险导向的核心是审计风险，控制审计风险的关键是风险评估程序，另一方面，企业必须准确地评价和有效地管理各项与企业成功息息相关的风险。管理层不但需要准确地了解各项业务风险以及不良控制的后果，并且能够根据所确认风险的残余影响的轻重程度分配资源和关注程度。所以注册会计师的风险评估将有利于企业的风险管理。

(二)企业的风险管理　每个企业在经营中存在各种风险，而我们这里讨论的企业风险管理中的风险概念与金融市场的风险概念有所不同，当然金融风险也是企业(特别是金融类企业)面临的风险之一，企业风险就是企业面临的可能导致企业亏损的各种不确定性事件，降低企业的价值。所以风险管理需要做的就是尽量避免这种不确定性事件的发生，或者是降低不确定性事件发生后对企业造成的损失。企业风险管理包括四个环节：风险识别、风险评估、风险应对、风险监察。第一，风险识别是指尽力识别可能对企业取得成功产生影响的风险，包括整个业务面临的较大的风险，以及与每个项目或较小的业务单位关系的风险，识别潜在风险可以认识到企业面临的各种风险类型，而且风险识别程序应该在企业内的多个层级得以执行，这与注册会计师的风险评估贯彻于整个审计过程一样。第二，风险评估是在识别了各种风险后，对风险的的性质、风险的类型、风险的发生频率等进行评价，这种评价最主要分为两方面，一个是影响，另一个是可能性，企业可能还会采用敏感性分析或者决策树等方法对风险的性质进行全面的认识。这与注册会计师的风险评估相似，不过更加具体、全面。第三，风险应对是指对上述评估的风险采取相应的措施，以避免该风险对企业产生的损失，风险应对的策略包括风险降低(如分散投资，就是一种降低风险的措施)，风险消除(使得该风险事件发生的概率降低为零)，风险转移(将风险的后果采用保险、合同等方式转移出企业)，风险保留(定期风险复核、控制风险情境)。第四，风险监察是指企业监测目标的实现过程，关注新的风险和相关损失，企业需要对风险进行监察，并在需要时不断作出调整。风险检查者定期检查正在发生的亏损，以了解他们的控制建议得以实施，并设计过程来改善风险管理的过程，制定一项战略来应对出现的新风险。

(三)风险评估与经营风险、审计风险　企业的风险识别是风险管理的第一步，是指对企业面临的，以及潜在的风险加以判断、归类和鉴定风险性质的过程。企业的风险一般可以分为两类：系统风险和非系统风险。系统风险是由公司之外的各种因素引起的，如战争、经济衰退、通货膨胀、高利率等与政治、经济和社会相联系的风险，是不能通过多元化投资而分散的，因此又称作不可分散风险或市场风险。非系统风险也被称作可分散风险，它是由公司本身的商业活动和财务活动带来的，如企业的管理水平、研究与开发、消费者需求的改变、市场营销风险以及法律诉讼等，其可以通过多元化投资组合而分散，是公司特有的风险。而现代风险导向审计将风险评估、风险应对与审计程序联系起来，这就使得注册会计师审计不仅仅是出具审计报告的鉴证业务，也可以起到促进企业风险管理的作用，注册会计师审计过程中必须进行风险评估，风险评估的过程是为了能够获得尽可能准确的财务报表重大错报风险信息，以控制审计风险，企业风险管理的过程是为了控制企业经营风险，从审计风险与企业经营风险的关系，我们发现：其一，风险评估是指评估被审计单位风险，评估的过程是企业风险管理中的一个环节，所以在性质上他们具有相似性。其二，风险评估的程序包括：了

解被审计单位及其环境、了解被审计单位的内部控制等，而风险管理也需要进行这些工作，方法包括：观察、检查、分析程序，穿行测试等。风险评估。其三，风险评估的目的相同：对于注册会计师而言，风险评估的目的是为了了解被评估的财务报表重大错报风险，并且制定风险应对措施，有效地实施审计程序；对于企业而言，风险评估的目的是为了控制企业的风险点，防止企业出现亏损的不利情况而实现企业价值增值。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角度对事项进行评估：可能性和严重程度，并且通常采用定性和定量相结合的方法。在不要求定量化的地方，或者在定量评估所需的可靠数据无法取得或获取和分析数据不具有成本效益时，管理者通常采用定性评估技术。定量技术精确度更高，通常应用在更加复杂的活动中，以对定性技术进行补充。评估风险时既要考虑固有风险，也要考虑剩余风险。固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下，一个企业所面临的风险。剩余风险是在管理当局应对风险后所残余的风险。审计中注册会计师更多关注的是审计风险以及企业的经营风险，但是对于企业其他风险管理(如制度风险管理、法律风险管理)考虑不足，当然这是注册会计师收益成本分析后的结果，但是注册会计师必须区分企业经营风险与审计风险，经营风险是指实现不了经营目标和战略的可能性，经营失败是经营风险的扩大化，指企业由于经济或经济条件的变化而无法满足投资者的预期，经营失败的极端情况是申请破产。诚然企业经营失败可能使得注册会计师面临审计诉讼，经营风险与审计风险有一定的相关性，但风险导向的核心是审计风险，而不是企业的经营风险。

三、注册会计师风险评估与企业风险管理关系

(一)二者时间发展顺序　环境变化促使越来越多的企业实施全面风险管理，也促进了风险导向审计的发展：从20世纪90年代开始，随着新的科技技术和经济全球化带来企业组织结构虚拟化、集约化、专业化及扁平化等新的商业特征，许多跨国公司开始实施全面风险管理方法，一些国际咨询公司和会计师事务所也开始运用这一概念并将其同咨询或审计业务相结合。全面风险管理体系正在随着企业治理的完善而越发受到重视，风险管理的概念逐步引入到我国的企业中，使得我国企业的风险管理工作纳入了公司治理的范围。2004年9月，COSO了《企业风险管理框架》。该框架是在《内部控制――整体框架》报告的基础上，结合《萨班斯――奥克斯法案》在报告方面的要求，明确提出企业风险管理是由企业董事会、管理层和其他员工共同参与，应用于企业战略制定，以及企业内部各层次和部门，用于识别可能对企业造成影响的事项，管理风险为企业目标的实现提供合理保证。同时该框架还指出：企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素构成。这也奠定了企业风险管理系统的组织模式。风险导向审计的发展也与全面的风险管理系统构建同步，2003年10月，国际会计师联合会下属的国际审计准则委员会了三个新的国际审计风险准则，并从2004年12月15日或之后开始的期间财务报表审计起执行这三个新准则。2004年10月，中国注册会计师协会根据国际审计准则的最新发展，对已修订的四个新审计风险准则在全国范围内征求意见，并且于2007年1月1日开始实施。风险导向审计已经深入了我国审计的实际工作，为审计业务的展开提供了指引。

(二)二者业务性质相互影响　全面风险管理为现代风险导向审计风险评估提供了更好的基础为了评估客户是否有效地监督和控制了其战略风险及其他经营风险，注册会计师必须识别、收集和处理大量与客户经营活动相关的证据。当企业没有实施全面风险管理时，收集这些证据即使在理论上是可行的，但为此付出的成本对注册会计师而言也常常是不经济的。注册会计师的风险评估程序对企业风险管理有以下益处：(1)了解企业的外部环境风险以及内部控制成为风险评估的重要组成部分，注册会计师也将公司内部控制的有效性作为风险应对的考虑因素。所以注册会计师关于企业内部控制的评价将为企业的风险管理提供建议。(2)注册会计师在实施控制测试与实质性测试时，会将交易的内部控制目标与关键内部控制联系起来，然后将测试的结果与风险评估的结果进行对比，这将有助于公司相关交易所涉及人员在业务流程中履行好自己的职责，注册会计师审计可以起到监督作用，发现企业内部控制的风险点。企业风险管理对注册会计师的风险评估有以下益处：第一，企业风险管理的完善性与企业内部控制系统有着很强的相关性，所以如果企业建立了一整套风险管理的体系，那么注册会计师的风险评估程序就会减少程序，因为风险评估在整个审计过程中的验证过程都是可靠的。第二，企业风险管理的方式与注册会计师风险评估。企业全员参与风险管理，从整个企业组合的角度实施风险管理，增强了企业风险管理的有效性，注册会计师能够在更大程度上信赖企业的全面风险管理，实施风险评估。第三，企业风险管理系统的完善性越不好，注册会计师所涉及的这部分程序设计需要越谨慎，而风险评估程序后提出建议的边际贡献越高，这二者之间的交互作用就在于风险评估程序是对风险管理的一种再监察。

(三)二者存在的不同　当然二者存在着以下区别：注册会计师风险评估更多是对内部控制有效性的评估，这种评估是因为审计的效率所决定的，而企业的风险管理需要覆盖企业的整体层面和各个业务流程，所以我们注册会计师的风险评估结果对于企业而言是一种参考，注册会计师的风险评估只是对内部控制水平高低的一个评价，这并不能完全说明企业风险管理的有效性。注册会计师可以通过对企业内部控制系统有效性评价来评估客户监督和控制其战略风险及其他经营风险的情况，如果仅仅是审计过程，注册会计师不需要提出风险管理改进建议，他们评估的财务报表重大错报风险只是为了控制检查风险，进而控制审计风险。所以注册会计师审计过程的风险评估与企业风险管理过程中的风险评估目的相似，但企业风险管理的目的和注册会计师的风险评估还是存在不同。

四、企业风险管理及风险评估路径

(一)风险评估报告与企业风险管理　(图1)呈现了风险导向审计的框架，风险导向审计最大的要点就在于实施基本审计程序前的风险评估。而且后来的审计程序结果会不断检验风险评估的结果，不断地修正与调整风险估计水平，在整个审计过程中都需要进行风险评估过程，所以注册会计师可以在审计完成后形成风险评估的最终结果，形成风险评估报告，以评价内部控制的有效性及风险管理控制的水平。该报告可能涉及内部环境、企业风险评估、风险反应、控制活动、信息和沟通、监控等要素，对企业内部控制的测试结果进行一个总结性陈述，形成风险评估报告。风险评估报告作为风险导向审计阶段性成果在审计完成后反馈给被审计客户，以帮助被审计客户进一步完善内部控制水平，但我们必须意识到：风险评估报告不是审计报告的子报告，风险评估报告仅仅为被审计单位进一步提高内部控制水平而用，而非鉴证报告，注册会计师不需要提供保证。

(二)风险评估报告与信息系统风险管理　注册会计师评价内部控制有效性的要求里就包括了评价信息系统的有效性，所以注

第8篇

【关键词】信托风险管理管理体系

全面风险管理是一门新兴学科，近年来发展迅速，已引起世界各国经济界的重视，并且随着发展，企业管理中也已开始广泛应用。风险管理产生于本世纪初的西方工业化国家，其之所以能够发展成为一门独立的学科，是与企业面临的日益增加的风险分不开的。

风险管理的起源，包括两个方面：其一，第一次世界大战之后，德国的通货膨胀加剧，经济衰竭，因此德国的经济学界提出了包括风险管理在内的企业经营管理问题。因此我们通常将德国看作是风险管理的起源地。其二，上个世纪30年代的经济危机给美国造成了巨大的经济损失，从而促使管理者注意采取某种措施来控制风险，以减少风险给生产带来的负面影响。后来，对风险管理的研究逐步趋向系统化、专门化，风险管理也成了企业管理科学中一门独立学科。

信托公司在我国已走过了30年历程，为我国经济对外开放、探索建立社会主义市场经济体制下的金融体系作出了重要贡献，是我国金融领域的重要组成部分。信托业的风险管理是伴随金融业市场的发展而发展的，这一发展过程体现为巴塞尔委员会监管协议的出台过程。在20世纪80年代，拉美债务危机的爆发对西方的金融业产生了巨大冲击，风险带来了相当大的损失，金融行业开始重视对信贷风险的防范与管理，巴塞尔资本协议的出台则适时的反映了这种趋势。在上世纪90年代，伴随着市场整合，多元化经营模式不断涌现，同时信托业也在经历着变化，盈利模式也在趋向多元化，盈利的波动性也变得更大，对于市场风险的管理变得越来越重要。如今信托公司承担风险的含义已迥然不同。愈演愈烈的竞争、多元化经营、新产品以及新开发的地区市场都表明，风险的范围和特征正在经历剧烈变化。不仅风险参数增加了，风险参数本身也发生了变化，这些风险迫使信托公司在综合且透明的框架下，采用新技术来管理风险，测量风险调整的收益率，从而对风险进行更加有效的管理和控制。

全面风险管理是目前风险管理发展的最新趋势，它是一种站在整个公司角度进行的整体化风险管理方式，我们平时见到的公司风险管理（Corporate Risk Management）或整体风险管理（Enterprise-wide Risk Management）也是指全面风险管理。全面风险管理的核心思想是：一个公司的风险来自很多方面，比如，一个保险公司可能会面对由需求变化、利率变化、资产价格变化等带来的种种不同风险，最终对公司产生影响的不是某一种风险，而是所有风险联合作用的结果，所以只有从公司整体角度进行的风险管理才是最有效的。目前关于全面风险管理的理论与方法主要有以下两大类：

第一类是基于组织结构体系全面风险标准化度量的全面风险管理方法――ERM(Enterprise-wide Risk Management)。ERM的概念是由美国最大的几家银行和证券公司最先提出的。其核心理念是从企业整体的角度，对整个机构内部各个层次的业务单位和业务环节的各个种类的风险进行通盘管理。ERM 要求对市场风险、信用风险、操作风险等各种风险、各种风险所涉及的金融资产与资产组合（利率、汇率、股票、期权等）以及承担具体风险的各个业务单位，进行全面有效的整合风险管理。

第二类是基于风险决策因素的全面风险管理理论――TRM。TRM(Total Risk Management)是从风险决策角度提出的另一种全面风险管理理论，其核心思想是从系统决策的角度出发，引入风险管理策略的三因素概念，这三个因素包括概率( Probability )、价格(Price)和偏好(Preference)因素。风险管理的目标是谋求三要素(3P’S）的最优均衡。价格用来确定风险防范所需支付的成本，概率用来估计风险(含衍生交易本身风险)发生的可能性，而偏好则用来确定决策者愿意承受风险的程度和信心。目前TRM还只是一个理论上的概念，现实生活中建立如此庞大而复杂的TRM系统现在看来似乎是不可能的。相对TRM理论而言，ERM具有良好的现实可操作性，本文所讲的全面风险管理指的是ERM。

信托公司的全面风险管理体系是风险管理工作的基础，包括风险管理组织职能、风险管理流程、报告机制和风险关键点控制四个部分。

一、风险管理组织职能

董事会的风险管理职责：董事会是集团全面风险管理工作的最高领导机构，对集团全面风险管理的有效性负最终领导责任。具体为：确定集团公司全面风险管理总体目标、风险偏好、风险承受度，审批集团公司风险管理策略和重大风险解决方案；了解和掌握集团公司面临的各项重大风险及其风险管理现状，审批集团公司重大风险管理解决方案；审议全面风险管理年度报告；审批风险管理工作流程；审定全面风险管理组织机构设置及其职责方案；批准重大决策、重大风险、重要业务流程的判断标准和判断机制；批准重大决策的风险评估报告；督导培育风险管理文化；办理出资人要求的有关全面风险管理的其他重大事项。

风险管理委员会职责：风险管理委员会主要职责为领导、指导和监督全面风险管理工作，对董事会负责。风险管理委员会人员构成如下：董事长、总经理、总法律顾问、总会计师、1－2名独立董事、主管投资的副总经理、主管风险管理的副总经理、风险管理部负责人、审计部负责人、1－2名外部顾问委员（如政策专家和风险管理专家）。风险管理文员会的议事规则一般应体现在以下几个方面，日常会议，由委员会主席召集，每季度一次；专项会议，遇有突发重大事项需要决策时，由成员提议召开

风险管理委员会的主要职责如下：审议全面风险管理年度报告，并提交董事会；审议风险管理策略和重大风险管理解决方案；审议风险管理工作流程，报董事会审批；审议全面风险管理组织机构设置及其职责方案，报董事会审批；审议风险管理监督评价年度审计报告；组织集团公司全面风险管理信息系统和集团公司风险管理文化建设；落实董事会决定的有关全面风险管理的其它事项。

设置独立的风险管理部，强化风险集中分析和协作管理。根据风险集中管理的原则，在总部层面设立独立的风险管理职能，负责风险的集中分析和跨部门风险的协调管理。风险管理部的主要职责为：拟订提出风险管理工作流程；提出全面风险管理组织职能体系建设建议方案；负责指导、监督有关职能部门、各业务单位开展全面风险管理工作；开发并管理全面风险管理信息系统；研究提出风险管理策略和跨职能部门重大决策的风险评估报告及其解决方案；研究提出全面风险管理年度报告；负责组织协全面风险管理日常工作；负责风险管理委员会有关全面风险管理会议的组织、会议纪要的整理和议决事项的督促落实；办理全面风险管理其他有关工作。

二、风险管理流程

1.风险评估流程

为开展风险评估提供一套标准化的工作流程和机制；辨识出当期重大风险。其中主要控制点为：风险事件描述标准统一，结合动因影响以及主责部门等信息；风险评估的标准需结合企业实际情况；风险评估的范围和答卷人的权重设置。

2.风险策略的制定及实施流程

通过制定下年度的风险管理策略，形成公司下一年度全面风险管理工作开展的总体原则和指导方针；通过对上一年度风险监控情况、评估结果，提出下一年度风险应对策略和解决方案建议，实现策略制定到实时监控的有效循环。主要控制点为：风险策略的制定特别是公司风险偏好和承受度的制定，需以企业总体战略目标为原则，结合企业现实情况多次论证确认；重大风险管理策略的制定，需要风险管理部门和相应部门结合动因的产生的多个层面考虑；各部门在日常风险管理中对风险策略的落实。

3.风险监控流程

建立对公司重大风险持续监控和报告机制，及时发现新的风险，明确风险监控责任；建立体系化的风险跟踪和应对机制；根据及时的风险报告机制，使得公司管理层能够及时掌握公司风险特征，为决策提供参考。主要控制点：日常工作中对重大风险监控预警的重视，对监控信息的整理和分析，发现问题及时上报并参与制定风险解决方案；对审定后的风险解决方案的落实，做到实时监控。

4.重大风险事件应对流程

规范落实公司中风险事件的报告机制和应对处理活动的要求；通过编制应急预案及时处理所面临的重大风险，使风险降低到承受范围以内；及时总结经验，提升公司紧急事件的处理能力。主要控制点：风险管理部能够正确评价重大风险的影响，并做出及时恰当的应对建议；由风险管理部监督各职能部门和所属公司全力执行重大风险的应对措施，并上报应对的效果；风险管理部对各职能部门和所属公司重大风险的应对情况进行评价，并组织制定该类重大风险应急预案。

三、报告机制

风险管理报告主要包括定期报告和专项报告两种，其中：定期报告主要包括：部门月度/季度风险报告、公司季度风险报告、公司年度风险评估报告、公司年度风险管理报告。同时公司针对突发重大事件，会有不定期的专项重大风险报告。在投资决策阶段，需要将可行性研究报告中辨识出的风险信息，报送风险管理部，同时进入公司风险库，风险管理部将为每个投资项目在信息系统中建立自身的风险事件信息库。所属企业需要在报送部门季度风险管理时，对现有投资项目的风险重新进行回顾，如发生变化要及时反映在部门季度风险报告中，风险管理部将根据。

四、风险关键点控制

信托投资公司的重要管理活动分为投资、财务、人力资源、法律和安全，根据分类，分别制订风险管理策略和控制方案，从而覆盖风险评估中的重大风险――现金流风险、投资项目管理风险、财务风险和人才保障风险。

1.现金流风险

因为现金流是投资与财务活动风险管理策略的关键度量指标，所以可以用现金流风险的风险偏好和承受度用来代表投资和财务活动的风险偏好和承受度，计划财务部按照月度频率监控现金流风险的度量指标，投资管理部作为辅助部门配合，向风险管理部提交部门风险报告中包含此项指标监控内容。

2.投资项目风险管理

根据投资活动的过程，将投资管理活动分为四个阶段：投资规划、投资决策、投资项目管理和投资退出。

3.财务风险

风险控制目标：通过计划预算的改进，对现金流风险进行事前控制，针对影响现金流的关键风险，提前制订应对计划。

4.人才保障风险

第9篇

（一）国内外重大财务舞弊案挑战公司的内部控制

1.国外安然公司事件

2001年12月2日，作为美国500强公司排名第七的美国能源业巨头安然公司正式向纽约联邦地方法院申请破产。安然事件引发了全世界一系列深层次、广泛的讨论。从表面上看安然公司的破产失败与其财务舞弊有着直接的关系，但从深层分析，与公司治理结构的不合理和内部控制实施中的缺陷和问题更有直接关系。安然公司正是利用了公司治理结构最薄弱的环节和内部控制上的缺陷，而且走得太远，才导致破产的。除了公司发生的重大财务造假问题外，许多专家学者都普遍认为，正是由于安然公司内部控制上的缺陷，诱发了财务舞弊，进而加剧导致了安然的破产。

国际上大量事实已证明，舞弊案件的出现与公司内部控制未能发挥应有的作用存在直接关系，这使人们不得不把关注的焦点从企业外部环境转向企业的内部控制机制方面，认为外部环境是外因，有效的内部控制机制是内因。因此，在全球范围内要求加强对公司内部控制的监管呼声日盛，人们逐渐地认识到，会计监管的第一要务是对内部控制的监管。

2.国内公司财务造假事件

我国股市中虚假财务报告也时有发生，琼民源、郑百文、黎明股份、红光实业、银广夏等一系列会计造假案无不折射出内部控制问题。银广夏案件的天津广夏公司，就是由李有强一人担任董事长兼总经理，大大削弱了内部控制中的公司治理制度的相互制衡机制。高层管理人员交叉任职，董事会和总经理班子人员重叠，这种交叉任职的后果是董事会与总经理班子之间权责不清，制衡力度锐减。李有强大权独揽，常常集控制权、执行权和监督权于一身，并有较大的任意性，使内部控制中的公司治理制度难以奏效。

德隆系崩盘不仅牵连上市公司20余家，且市值超过200亿。江苏琼花事件同样造成新生中小板流通市值损失一度超过5.42亿，在一定程度上也是因为这些企业的内部控制形同虚设。

郑州亚细亚内部控制失败案例也使我们记忆犹新，该商场1989年5月开业，1990年收入达1.86亿，1995年收入达4.8亿，引来当时全国30个省市的200多家企业领导参观，、朱镕基、李岚清等国家领导甚至也都参观过。但是由于在经营中控制环境失效，风险意识差，没有适当的控制活动，内部监督不力，信息沟通不畅，该公司于1998年8月15日关门。

（二）内部控制与财务造假

对于一个企业而言，要解决的管理上的基本问题可归纳为两个，一是激励问题，二是约束问题。这两个问题都与控制有着密切的联系。在管理活动中只有计划、组织和领导是远远不够的。人是容易犯错误的，即使大多数的人都具有良好的动机和意图，而少数别有用心的人更难免弄虚作假的行为。所以，要保证实现经营目标，就要检验进行的或已完成的工作是否同所拟定的计划、发出的指示和确定的原则相符合。旨在发现、纠正和防止错误，这就是控制。内部控制是公司的管理层建立的，为了保证财产的安全完整、信息披露的准确性和可靠性、提高企业的经营效率以及促进企业贯彻既定的经营方针，所设计的总体规划及所采用的与总体规划相适应的一切方法、程序和措施。内部控制是公司治理结构的有机组成部分，是完善公司治理结构的可靠保证。

有史以来的财务造假案的具体目的复杂多样，但归纳起来可形成两个主要的驱动，一是个人贪欲的驱动，二是粉饰公司业绩的驱动。在我国的企事业单位中，个人贪污犯罪的方式和手段各有不同。但是，所有的犯罪事实中有一个共同点是他们通过会计造假来实施犯罪，而会计造假的环境支持是单位内部控制的漏洞或失效。他们利用单位内部控制的漏洞和缺陷，大肆贪污、挪用公款，给国家和企业造成了重大经济损失。

国内外一系列的公司财务造假案的共同目的是为了粉饰公司业绩。出于这种目的的财务造假与公司内部控制的关系可从两个方面分析：

1.采取违反财务报告的内部会计控制的做法进行会计造假，虚构财务数据，达到粉饰公司业绩的目的。公司财务报告的内部会计控制的漏洞为会计造假的成功提供了可乘之机。世通公司就是利用公司财务报告的内部会计控制的漏洞进行会计造假，虚构了近100亿美元的利润。公司在2001年前三个季度对外披露的资本支出中，有20亿美元既未纳入2001年度的资本支出预算，也未获得任何授权批准，严重违反了内部控制。公司内部审计人员还查出了一笔既没有原始凭证支持，也没有授权签字的5亿美元的电脑费用。可见，公司财务报告的内部会计控制上的漏洞和失效，是许多公司财务舞弊频频得手的重要因素。

2.公司忽视风险管理与控制，一旦遭受风险时，便萌生了通过财务造假来维系公司业绩的动机。大量的研究已经表明，当公司业绩不佳或下滑的时候，公司更容易滋生会计造假的邪念。而大多数公司业绩不佳或下滑的主要原因是不重视内部控制中的风险评估与管理。国内外发生财务造假案的许多公司董事会和管理层都缺乏对公司风险管理活动的控制和评价，当风险来临时会措手不及、无力抵御，难以用真实的业绩来支撑高位的股价，因此铤而走险选择会计造假。在内部控制中的风险管理与财务造假的关系中，呈现出一种特殊的形式：公司忽视风险管理-风险来临时业绩下滑-进行会计造假粉饰业绩-造假行为被查出、曝光-遭到法律诉讼-破产解散。

上述分析表明，无论会计造假的目的如何，会计造假与内部控制都产生了一种必然的联系，因此，强化对公司财务报告的内部会计控制和风险评估与管理的监管势在必行。

二、安然事件前后美国对公司内部控制的监管

安然事件发生之前的较长一段时间内，从上世纪70年代末以来，美国各界就一直在争论公司在年度报告中是否必须提供内部控制报告以及独立审计师是否需要对内部控制报告进行评价和鉴证。由于存在一系列的争论，因此在《萨班斯——奥克斯莱法案》出台之前，虽然美国的个别法律对小部分金融机构要求提供内部控制报告，并经独立审计师的审计，但对大多数公司没有要求对财务报告的内部控制有效性单独披露和报告。在现有的独立审计的一般公认审计准则中，要求审计师通过执行审计程序，了解与财务报表审计有关的内部控制，以便计划审计工作。审计师除了通过内部控制的测试来获得有效性的证据并使用这些证据来调查个别金融机构外，很少单独提供内部控制有效性的报告。

安然事件发生后，包括注册会计师在内的会计监管问题引起了美国各方面的空前关注，其中最引人注目的就是2002年7月25日美国国会通过的《萨班斯——奥克斯莱法案》（以下简称《法案》）。该《法案》提出了很多加强监管方面的要求，本文只关注与公司内部控制有关的监管内容。在《法案》的404条款内部控制的管理评估中，要求上市公司在报告年度向证券交易委员会提交关于财务报告的内部控制报告，同时必须附有管理当局声明，说明管理层负有建立和维护财务报告的内部控制结构和程序充分有效的责任，并提供管理当局对公司财务报告的内部控制有效性的评估。上市公司的审计师必须对管理层的内部控制评估报告进行测试和评价，并出具评价报告和鉴证。《法案》404条款的这些要求实际上给以往的争论划上了一个句号，对美国现有的上市公司财务报告和注册会计师的审计报告内容产生了重要影响。

为配合《法案》规定的上市公司提交关于财务报告的内部控制报告以及审计师必须对管理层的内部控制评估报告进行审计的要求，美国证券交易委员会（sec）在规则中，对上市公司财务报告的内部控制报告的内容进行了具体的规定。包括：①管理当局建立和维护适当企业财务呈报内部控制的责任报告；②管理当局用于评价企业财务呈报内部控制有效性的方法框架的报告；③管理当局对到最近财政年末为止的企业财务呈报内部控制的有效性的评价；④一个声明，即会计师事务所已经对管理当局的财务呈报内部控制有效性评价意见的鉴证报告（陈汉文等，2005）。2004年美国上市公司会计监管委员会（pcaob）也了第2号审计准则，以满足404条款的要求。在第2号审计准则中，pcaob就有关财务报告的内部控制审计的目标，审计的程序、方法和具体步骤，审计证据的搜集，审计判断，审计意见的发表和财务报告的内部控制审计与财务报表审计的关系等，作出了具体的规定。

安然、世通等重大财务舞弊案件的曝光，引起了人们对内部控制中风险管理与评估的关注。2004年，coso提出了内部控制新的概念体系，即《企业风险管理框架》。这一框架中包括了风险管理的定义；企业风险管理的8个构成要素，即内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息交流和监督；4个风险管理目标，即战略目标、经营目标、报告目标和合法性目标。加强对内部控制中的风险管理的监管不仅有利于遏止财务造假行为，也有利于促进上市公司的持续发展，促进资本市场健康发展。

一、问题的提出

（一）国内外重大财务舞弊案挑战公司的内部控制

1.国外安然公司事件

2.国内公司财务造假事件

（二）内部控制与财务造假

国内外一系列的公司财务造假案的共同目的是为了粉饰公司业绩。出于这种目的的财务造假与公司内部控制的关系可从两个方面分析：

二、安然事件前后美国对公司内部控制的监管

对公司的会计监管涉及到很多方面，但从以上的分析中可以看出，无论是财务造假还是公司衰败，无不导因于内部控制的缺陷和失效。内部控制是实现公司的管理目标和经营目标的一整套支持系统。如果系统紊乱或不起作用，目标无从谈起。因此内部控制的监管是公司会计监管的核心和基础，是公司会计监管之本。

在我国，上世纪90年代起，政府才开始加大对企业内部控制的推动作用。1997年中国人民银行颁布了《加强金融机构内部控制的指导原则》，这是我国第一个关于内部控制的行政规定。1996年12月财政部《独立审计具体准则第9号-内部控制和审计风险》，提出审查内部控制的规定。中国证监会2000年11月的《公开发行证券公司信息披露编报规则》要求公开发行证券的商业银行、保险公司、证券公司应建立健全内部控制制度，并在招股说明书正文中专设一部分，对其内部控制制度的完整性、合理性和有效性作出说明。1999年10月颁布的《会计法》，明确提出各单位应当建立、健全本单位内部会计监督制度，这是我国第一部体现内部控制要求的法律。2001年6月财政部了《内部会计控制规范—基本规范（试行）》和《内部会计控制规范—货币资金（试行）》，随后又了采购付款、销售收款、在建过程、对外投资和担保等多项内部会计控制规范，对内部会计控制作出了专门的具体的规定。2001年中国证监会还颁布实施了《证券公司内部控制指引》。上述我国对企业内部控制监管的法规、制度相当不完善，主要表现在：一是对内部控制规范的要求明确，但缺乏对企业的内部控制评价、监督和检查等监管方面的具体措施；二是对内部控制监管的企业范围还比较窄，如证监会的规定只涉及到公开发行证券的金融机构。这种状况致使相当一部分企业的内部控制不存在或形同虚设。因此，必须有效实施对企业内部控制的监管，借鉴国际经验，故提出以下对策：

（一）企业内部监管

笔者认为，在内部控制监管实践中，来自企业内部的监管举足轻重，是重中之重。因为，第一，客观存在的外部人士与内部人士的信息不对称，会导致监管效果和监管质量的差异；第二，外部监管由于环境和条件所限，其监管行为往往发生在事后，而内部监管可以在事中进行监管；第三，内部监管实质上是一种自我监管，整个的监管都是建立在自我监管的基础之上的，没有一个有效的自我监管机制，整个监管无从谈起。众所周知的美国世通公司的100多亿利润的会计造假案，既不是注册会计师，也不是政府监管部门，而是公司的内部审计人员发现和揭露的，内部监管的重要性可见一斑。国内外对企业内部控制实施内部监管的具体执行机构都是内部审计部门。

我国企业的内部审计现状存在很多问题，比较突出的主要问题是：

1.内部审计机构设置不健全或形同虚设的现象比较普遍存在。长沙内部审计协会的一份调查显示：该市已开展内部审计工作的单位中，仅有32%的单位设立了健全的内部审计机构，还有不少单位没有设立内部审计机构，根本没有开展内部审计工作，甚至包括一些上市公司。

2.内部审计的独立性和权威性较弱，内部审计的作用大打折扣。多年来内部审计较弱的独立性和较低的权威性问题一直是阻碍内部审计产生良好效应的根本障碍。我国企业内部审计机构的设置基本上延用的是行政模式，内部审计部门与财务部门及其他职能部门平级，甚至隶属于财务部门，也有的由分管财务的副总经理或总会计师直接领导。由于内部审计的地位低下，使内部审计的独立性、内部审计职能的充分履行和内部审计目标的实现都受到了严重影响。常常是内部审计人员提出的合理的审计建议，不能被采纳或应用，甚至得不到审计回复。

3.内部审计各项职能的履行存在偏失。内部审计的职能应该包括监督、评价和服务。但长期以来，我国内部审计部门对各项职能的协调不够，在强调和偏重于某项职能时，会忽略其他的内部审计职能。近年来，不少企业偏重于服务职能而忽略了内部控制的监督和评价，对企业风险管理的评估在许多企业的内部审计中几乎是空白。

针对上述问题，为了加强企业内部审计工作，解决企业内部控制的自我监管问题，建议采取以下必要的措施：

1.应强制要求所有企业必须建立内部审计机构或设置专职的内部审计人员。美国新的纽约股票交易规则要求，所有纳斯达克上市的公司必须有内部审计部门。我国应在有关的法律和法规中作出相应规定。

2.内部审计机构必须由审计委员会直接领导，并向董事会和审计委员会报告工作。审计委员会决定内部审计主管的聘用和解聘，以增强内部审计的独立性和权威性。

3.内部审计部门应加强对企业内部控制的评审。国家审计署在2003年3月的《审计署关于内部审计工作的规定》中，明确规定了内部审计的职责之一是对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审。内部审计在履行其职能时，应加强对企业内部控制的评审，定期对内部控制设计和实施的有效性进行评估，并提出评估报告。

4.内部审计部门应有效开展对内部控制中的风险评估的评审

风险评估，是指组织管理层对影响组织目标实现的不确定性事件的评估。风险评估是组织内部控制的要素之一，也是组织风险管理过程的组成内容。建立、健全风险评估机制并使之有效运行是组织管理层的责任。内部审计机构和人员应当充分了解组织的风险评估工作，审查和评价其充分性和有效性，以协助组织管理层进行有效的风险管理活动。在完成风险评估过程的评价之后，内部审计应当对组织管理层是否根据风险评估结果采取适当的风险应对措施进行进一步的评价。内部审计人员应向组织适当管理层报告对风险评估的审查和评价结果。对风险评估的审查和评价结果一般包括在内部控制审计报告中。

5.强化公司审计委员会制度，改变目前对建立审计委员会的非强制性要求，将建立审计委员会的要求写进公司法。

（二）企业外部监管

1.政府监管

我国政府对企业的会计监管主要是国家证券管理部门和国家财政部门。中国证监会和证券交易所的监管对象是上市公司，监管范围是公司治理和信息披露。我国现行的公司治理准则和信息披露制度中，有关对内部控制的监管要求所见无几。现实中很多上市公司的定期报告中都很少提及内部控制实施和公司风险管理的评估情况。虽然在定期报告中增加了“管理层讨论与分析部分”，只是要求公司管理层对报告期内发生和将要发生的重大事项对公司经营成果和财务状况的影响进行讨论与分析。但是，没有对所有上市公司就其内部控制实施情况提出集中、明确和普遍的评价要求。为加强财务报告的内部控制，从机制上遏制财务舞弊，应修订上市公司年度报告披露准则，要求上市公司在年度报告中增加公司内部控制报告，并要求注册会计师提供公司内部控制评审报告。公司内部控制报告应不仅限于财务报告方面的控制，也应包括风险管理与评估的控制。

财政部的监管对象是所有企业，监管范围是会计核算与会计监督。虽然目前的《会计法》明确要求企业要建立、健全内部会计监督制度，并且财政部已经了一系列内部会计控制规范，但对内部控制监管并无具体措施和要求。在国务院的《企业财务会计报告条例》中，对企业的半年和年度财务报告要求提供会计报表附注和财务情况说明书，但其中都没有涉及到企业内部控制情况的说明。可见我国目前在财务报告体系中对企业内部控制的监管措施仍然是苍白无力。应在财务报告的构成内容上要求企业在年度财务报告中增加内部控制报告，尤其是关于财务报告的内部控制报告，并要求凡是企业财务报告须经注册会计师审计的，同时要求注册会计师对企业内部控制报告进行审计。

2.社会监管

第10篇

风险预警报告是根据对各项风险指标分析、评价出来的风险等级进行总结，并出具预警报告。风险预警报告的内容包括：涉险项目或名称、风险等级、预计发生时间、业务主管部门、涉及金额、信息来源、发生原因和分析依据、可能造成的经济损失、事态发展预期、采取的措施或建议、报告人等。建立风险责任机制，企业的经营者全面负责本企业的风险管理，并将风险责任落实到各级部门和相关责任人员，对相关责任主体建立考核机制，促使各责任主体提高警惕，增加风险管理意识。

二、风险预警的处置

建立由企业经营者领导下的总会计师或财务总监具体负责的风险管理小组或风险控制中心，负责制定和完善财务风险处理机制及企业财务风险预警的处置。财务风险处理机制应该包括应急方案、预案、补救方法和改进措施，等等。其中应急方案是针对风险所制定措施；预案则是应急方案无法补救的情况下启动的备用方案；补救方法主要是指采取措施尽可能减少损失；改进措施主要在于防止类似的风险再次发生。

三、财务风险管控体系的保障

（一）加强企业的组织领导，提高风险管控意识

通过加强企业财务风险控制，可以发现企业内部控制存在的问题，促进企业完善各项内部控制制度，实现科学决策、科学管理，形成完整的决策机制、激励机制和制约机制，提高风险敏感度，做到及时分析，准确评价和有效控制公司的财务风险。加强财务风险控制可促进企业树立现金至上意识，科学应对复杂经济形势，优化资本结构，保持资本的流动性，以保障现金循环顺畅，实现企业健康、可持续发展。为此，企业应成立风险管理小组或风险控制中心，负责组织开展企业的财务风险防范、预警和处置工作。

（二）强化风险管控的日常管理

强化现金管理，规范资金预算管理及审批流程，加强付款审批和资金集中管理，确保企业资金链安全并实现良性运转。加强全面预算管理，坚持一切经营活动受控于预算管理，扩大预算控制范围，健全预算预警机制，规范预算调整行为，完善预算管理手段，强化预算过程控制，凡预算外资金一律不准支出。强化两金占用管理，除正常长期战略用户滚动结算外，其他用户一律不得赊销，严禁为确保开工组织生产，为确保销售进行赊销，对客户信用品质进行评价并建立信用档案，分类管理。做好存货管理工作，分析存货结构，分清正常储备及非正常储备。实行市场决定生产原则，以销定产，避免产品积压，严格追究产品残次责任人责任。严格成本费用控制，全面实施成本费用定额管理，积极运用信息化手段强化成本费用监控，用单耗管理做好主要产品成本的控制工作。

（三）做好财务风险的预警

财务风险预警体系是控制财务风险的重要内容，决定着财务风险控制体系的运行质量。企业应对预警信息重点监控、定期报告。根据企业盈亏和现金流情况，可将风险分为一般风险、较大风险、重大风险、特大风险等进行财务风险控制。通过财务风险预警，企业对较大、重大和特大风险单位进行重点监控。对较大风险采取月度报告制度，对重大和特大风险采取每周报告制度。预警信息不仅包括预警资料的收集，还要包括对收集资料进行加工处理、分析判断和防范、处置措施等。对收集、加工、分析和整理后的资料和措施建议等信息，要及时逐级汇总和上报企业财务风险管理小组，对需企业批准的事项应逐级进行上报和批复。建立定性和定量相结合的预警指标体系。企业财务风险预警体系应采用定性和定量指标综合分析，定性指标如“经营活动现金净流量出现负数、主要财务指标显示财务状况恶化”等，定量预警如“现金到期债务比、现金销售率”等。企业要根据自身实际，参照行业或区域标准对上述指标进行细分和量化，以满足财务风险预警的质量要求，确保财务风险预警的准确性。有重点地分析财务风险的成因，评估其可能造成的损失，根据财务风险成因，针对性地制订处置财务风险的措施。

（四）做好财务风险的应急处理

第11篇

6月28日，财政部、证监会、审计署、银监会、保监会联合了《企业内部控制基本规范》（以下简称《规范》）。《规范》旨在加强和规范企业内控，提高企业经营管理水平和风险防范能力，其为企业构筑了一道风险防火墙。

《规范》要求，中国境内上市公司须自2009年7月1日起执行该规范，同时鼓励非上市公司的大中型企业参照执行。萨班斯法案对美国上市公司的内控规范作出了较为详细的规定，并确立了COSO（美国虚假财务报告委员会下属发起人委员会)于1992年制定的《内部控制框架》（以下简称COSO框架）作为对上市公司内控审计的审计标准。以下对《规范》与萨班斯法案下的内控规范体系进行一些比较分析，以期加深对《规范》的理解。

内控制度的改进与加强

萨班斯法案在其404条款中强制要求公众公司年报中应包含内控报告及其评价，并要求会计师事务所对公司管理层作出的评价出具鉴证报告。《规范》之前，我国仅在《首次公开发行股票并上市管理办法》第二十九条中要求拟公开发行股票并上市的公司的内控在所有重大方面是有效的，并由注册会计师出具了无保留结论的内控鉴证报告。除此之外，上市公司的定期财务报告制度中并没有要求对其内控状况作出报告，提供注册会计师出具的内控鉴证报告也没有成为对上市公司的强行性要求。《规范》要求执行该规范的上市公司，应当对本公司内控的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内控的有效性进行审计。这意味着设计和实施有效的内控成为了上市公司的一项法定义务。

可以看出，《规范》借鉴了萨班斯法，这对于保护公众投资者有重要的作用，投资者可以借助内控审计报告进一步判断公司财务信息的真实性。同时，注册会计师对管理层的内控报告的评价也揭示了管理层的品行，由此促使管理层认真地去执行《规范》。

内控制度控制要素分析

《规范》对内控的基本要素作了指引性的统一规定，基本与COSO框架一致，包括了控制环境、风险评估、控制活动、信息与沟通、内部监督这五个方面。

控制环境

《规范》及COSO框架中所指的控制环境主要包括了公司的治理结构、机构设置及权责分配、内部审计、人力资源政策、企业内部的文化和诚信价值观念等。《规范》之前，我国在各种内控指导原则、意见或指引中对内控环境这一要素缺乏详细的规范。《规范》将内控环境作为内控框架的首要要素，认为其是企业内控体系得以真正发挥作用的关键，而对控制环境影响重大的一个因素就是企业治理层的参与程度。《规范》明确指出了董事会、监事会以及经理层在内控建立和完善过程中的职责:董事会负责内控的建立健全和有效实施，监事会对董事会建立与实施内控进行监督，经理层负责组织领导内控的日常运行。

《规范》还规定企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程，明确各自权责分配，正确行使职权。这将有助于形成全员参与的控制环境，体现了内控建设的全面性原则。

控制活动

COSO框架下内控活动是指为确保管理层指示得以执行的政策和程序。包括了高层复核、指导并管理业务活动、资产保护即实物控制、信息核对、业绩指标分析、职责分离等具体活动和措施。《规范》对控制活动的定义是“企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内”。按照COSO 框架下的理解，控制活动旨在确保管理层指示得以执行，而《规范》认为控制活动旨在将风险降低到可承受范围内。笔者认为后者的表述更加恰当，因为一旦出现管理层凌驾于内控之上的情形时，旨在确保管理层指示得以执行的控制活动很可能无法发挥其控制风险的应有作用。

《规范》列举了控制活动的一般内容，包括:不相容职务分离、授权审批、会计系统控制、财产保护、预算控制、运营分析和绩效考评。这些列举同COSO框架基本一致。《规范》对这些控制活动的具体含义和设计要求都作出了比较详尽的描述，例如对于财产保护控制，《规范》详细描述了这一控制应包括财产日常管理和定期清查制度以及财产记录、实物保管、定期盘点、账实核对等具体措施。这对于指引企业建立起常用的、基本的控制措施作用很大。

《规范》对于控制活动的规定相较于COSO框架有两个创造性的发展。第一，《规范》强调了预算控制在控制活动中的重要性，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算对企业活动的约束。完善的预算管理可以降低企业经营活动的不可预见的程度，从而将经营风险降低到可接受的范围内。第二，《规范》提出了企业应当建立重大风险预警机制和制定突发事件应急预案。在复杂多变的经济环境下，这些控制措施对于提高企业应对突况和重大变化的能力有着积极的作用，能够有效地降低经营风险。

风险管理

内控要素方面的另一个主要构成就是风险管理。任何经济组织在经营活动中都会面临各种各样的的风险，风险对其生存能力和竞争能力产生影响。很多风险并不为经济组织所控制，但管理层应当确定可以承受的风险水平，识别这些风险并采取一定的应对措施。将风险评估纳入内控要素是COSO框架的创举，并且还提出了风险评估的过程即风险识别、风险分析和应对变化。从本质上说，内控制度是对企业经营活动过程中所遇到或可能遇到的各种风险或者说整体风险进行预测、估计和应对，以实现企业的战略与运营目标。这也就是COSO为何如此重视风险管理的根本原因。

《规范》明确地规定了企业的内控应当包括风险评估过程，即及时识别、系统分析经营活动中与实现内控目标相关的风险，合理确定风险应对策略。同时《规范》非常详细地列举了企业识别内部及外部风险时应当关注的各个方面，有效地指引企业对其经营活动中的各种风险进行全面评估。

信息沟通

为使内控相关信息能够被及时地搜集、处理和沟通，以促进内控的有效运行，《规范》提出完整的内控框架中应当包含有效的信息系统和沟通机制。《规范》中所称的信息包括了内部信息和外部信息。信息的沟通不仅发生在企业内部各管理级次、责任单位、业务环节之间，同时还发生在企业外部投资者、债权人、客户、供应商、中介机构和监管部门之间。《规范》要求所有重要的信息都应当及时传递给公司的治理层和管理层，这将有助于及时地发现、识别风险并尽早作出应对措施。

在企业经营管理的过程中，舞弊导致的风险难以识别，造成的后果相对较严重。因此《规范》特别强调了信息和沟通机制应当发挥反舞弊的作用，要求企业建立举报投诉制度和设置举报专线，并明确举报投诉的处理程序、办理时限和办结要求。

第12篇

（一）国内外重大财务舞弊案挑战公司的内部控制

1.国外安然公司事件

2. 国内公司财务造假事件

郑州亚细亚内部控制失败案例也使我们记忆犹新，该商场1989年5 月开业，1990年收入达1.86亿，1995年收入达4.8亿，引来当时全国30 个省市的200多家企业领导参观，李鹏、朱镕基、李岚清等国家领导甚至也都参观过。但是由于在经营中控制环境失效，风险意识差，没有适当的控制活动，内部监督不力，信息沟通不畅，该公司于1998年8月15日关门。

（二）内部控制与财务造假

国内外一系列的公司财务造假案的共同目的是为了粉饰公司业绩。出于这种目的的财务造假与公司内部控制的关系可从两个方面分析：

二、安然事件前后美国对公司内部控制的监管

为配合《法案》规定的上市公司提交关于财务报告的内部控制报告以及审计师必须对管理层的内部控制评估报告进行审计的要求，美国证券交易委员会（sec）在规则中，对上市公司财务报告的内部控制报告的内容进行了具体的规定。包括：①管理当局建立和维护适当企业财务呈报内部控制的责任报告；②管理当局用于评价企业财务呈报内部控制有效性的方法框架的报告；③管理当局对到最近财政年末为止的企业财务呈报内部控制的有效性的评价；④一个声明，即会计师事务所已经对管理当局的财务呈报内部控制有效性评价意见的鉴证报告（陈汉文等，2005）。2004年美国上市公司会计监管委员会（pcaob）也发布了第2号审计准则，以满足404条款的要求。在第2号审计准则中，pcaob就有关财务报告的内部控制审计的目标，审计的程序、方法和具体步骤，审计证据的搜集，审计判断，审计意见的发表和财务报告的内部控制审计与财务报表审计的关系等，作出了具体的规定。

三、我国实施内部控制监管的问题和对策

在我国，上世纪90年代起，政府才开始加大对企业内部控制的推动作用。1997年中国人民银行颁布了《加强金融机构内部控制的指导原则》，这是我国第一个关于内部控制的行政规定。1996 年12月财政部发布《独立审计具体准则第9号-内部控制和审计风险》，提出审查内部控制的规定。中国证监会2000年11月发布的《公开发行证券公司信息披露编报规则》要求公开发行证券的商业银行、保险公司、证券公司应建立健全内部控制制度，并在招股说明书正文中专设一部分，对其内部控制制度的完整性、合理性和有效性作出说明。1999年10月颁布的《会计法》，明确提出各单位应当建立、健全本单位内部会计监督制度，这是我国第一部体现内部控制要求的法律。2001年6月财政部发布了《内部会计控制规范—基本规范（试行）》和《内部会计控制规范—货币资金（试行）》，随后又发布了采购付款、销售收款、在建过程、对外投资和担保等多项内部会计控制规范，对内部会计控制作出了专门的具体的规定。2001年中国证监会还颁布实施了《证券公司内部控制指引》。上述我国对企业内部控制监管的法规、制度相当不完善，主要表现在：一是对内部控制规范的要求明确，但缺乏对企业的内部控制评价、监督和检查等监管方面的具体措施；二是对内部控制监管的企业范围还比较窄，如证监会的规定只涉及到公开发行证券的金融机构。这种状况致使相当一部分企业的内部控制不存在或形同虚设。因此，必须有效实施对企业内部控制的监管，借鉴国际经验，故提出以下对策：

（一）企业内部监管

我国企业的内部审计现状存在很多问题，比较突出的主要问题是：

针对上述问题，为了加强企业内部审计工作，解决企业内部控制的自我监管问题，建议采取以下必要的措施：

1. 应强制要求所有企业必须建立内部审计机构或设置专职的内部审计人员。美国新的纽约股票交易规则要求，所有纳斯达克上市的公司必须有内部审计部门。我国应在有关的法律和法规中作出相应规定。

3.内部审计部门应加强对企业内部控制的评审。国家审计署在2003年3月发布的《审计署关于内部审计工作的规定》中，明确规定了内部审计的职责之一是对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审。内部审计在履行其职能时，应加强对企业内部控制的评审，定期对内部控制设计和实施的有效性进行评估，并提出评估报告。

4.内部审计部门应有效开展对内部控制中的风险评估的评审

5.强化公司审计委员会制度，改变目前对建立审计委员会的非强制性要求，将建立审计委员会的要求写进公司法。

（二）企业外部监管

1.政府监管

财政部的监管对象是所有企业，监管范围是会计核算与会计监督。虽然目前的《会计法》明确要求企业要建立、健全内部会计监督制度，并且财政部已经发布了一系列内部会计控制规范，但对内部控制监管并无具体措施和要求。在国务院发布的《企业财务会计报告条例》中，对企业的半年和年度财务报告要求提供会计报表附注和财务情况说明书，但其中都没有涉及到企业内部控制情况的说明。可见我国目前在财务报告体系中对企业内部控制的监管措施仍然是苍白无力。应在财务报告的构成内容上要求企业在年度财务报告中增加内部控制报告，尤其是关于财务报告的内部控制报告，并要求凡是企业财务报告须经注册会计师审计的，同时要求注册会计师对企业内部控制报告进行审计。

2.社会监管

优秀范文

风险控制报告

第1篇

第2篇

第3篇

第4篇

第5篇

第6篇

第7篇

第8篇

第9篇

第10篇

第11篇

第12篇

贸易风险预警

风险灾害危机研究

先锋

动漫先锋