风险管理和内部控制体系范文

美国政府颁布的《萨班斯法案》（SOX），美国COSO（发起人组织委员会）颁布的《内部控制--整合框架》和《企业风险管理框架》，我国财政部等五部委的《企业内部控制应用指引》等，这些都表明强化企业内部控制，建立完善的风险管理体系，正在成为现代企业管理制度的重要组成部分。

一、内部控制与风险管理的关系

内部控制与风险管理具有不同的内涵和外延，两者不能相互替代。

风险管理是识别和评价附属于企业的实际的和潜在的风险领域，进而通过合适的内部控制消除、转移、接受或是减轻风险。

内部控制是一种控制和最小化风险的机制，目标是保护企业资产和投资，支持企业目标，对与企业有法定利益关系的利益相关者承担责任。

内部控制是风险管理的重要环节但不是全部。它对完成企业目标有着重要意义，良好的内部控制依赖于彻底的、规范的对公司所处风险的性质与范围的评价。

二、企业风险管理的内部控制整合框架

我国财政部等五部委制定的企业内部控制基本规范，在形式上借鉴了美国COSO报告为代表的内部控制整合框架（五要素框架），同时在内容上体现了风险管理整合框架的实质。

在内部控制整合框架中，内部控制划分为内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素。

内部环境包括治理结构、机构设置及权责分配等，规定企业的纪律与架构，影响经营管理目标的制定，是企业建立与实施内部控制的基础。

风险评估包括目标设定、风险识别、风险分析和风险应对，及时识别、科学分析经营活动中与实际控制目标相关的风险，合理确定风险应对策略，实施内部控制。

控制活动是根据风险应对策略，采取相应的控制措施，将风险控制在可承受度之内。

信息与沟通确保信息质量，建立沟通制度、信息系统、反舞弊机制，保证信息在企业内部、企业与外部之间的有效沟通。

内部监督对企业内部控制建立与实施情况进行监督检查，评价内部控制的有效性，对于发现的内部控制缺陷及时加以改正。

三、我国企业内部控制和风险管理现状

（一）我国企业的内部控制和风险管理实践落后于企业发展和管理的需要

随着市场经济发展，企业经营风险明显加大各种贪污舞弊事件不断发生，资本市场发展导致虚假会计信息的风险增加。然而，由于我国理论上进行内部控制和风险管理研究，实践中开展内部控制管理的时间远远滞后，内部控制和风险管理水平无法满足企业发展和管理的需要。

（二）企业管理者对于内部控制和风险管理的意识比较薄弱

企业管理者大多看重经营，侧重追求企业盈利能力，没有充分接受现代内部控制和风险管理的管理理念。建立一套科学有效内部控制制度及风险管理机制，目标是保持企业稳定及实现可持续发展，进而增强企业的盈利能力和生存能力，应提高企业管理者对这方面的认识。

（三）有限的管理制度没有得到很好的贯彻和执行

要使内部控制和风险管理取得比较好的控制效果，必须由企业董事会、管理层和其他员工共同参与，组成一个有效的控制体系。从现实情况看，很多企业都在一定程度上存在管理松懈、内控弱化、监督不力等问题。

（四）缺乏精通内部控制和风险管理的专门人才

我国目前有关内部控制的评价和咨询主要由注册会计师来进行，企业没有专门的管理人才，因此无法从企业战略目标制定和执行、经营目标实现、管理效率提高、资产安全性等角度来评价内部控制，评估风险。

四、内部控制的风险管理机制设计

依据《企业内部控制应用指引》五要素框架，设计内部控制风险管理程序。

首先，全面总结和分析企业的组织体系、机构设置、营业范围、经营方式、主要业务以及所处外部环境等。

其次，按照一定方法，合理归集、构建适应企业经营管理状况和内部控制要求的相关子系统，包括公司层面子系统和业务层面子系统。

然后，用文字、流程图、风险控制文档等形式将各子系统业务和事项的风险类型、控制目标、关键控制点、控制措施加以规定和说明。

设计内部控制框架，重要的一环是企业应建立风险评估机制。

（一）风险测评系统

1.企业整体风险测评。企业整体风险测评即企业层面面临风险的测评，主要包括组织架构设计和运行的风险、发展战略制定和实施的风险、人力资源引进开发、使用和退出的风险等。

2.岗位或业务环节风险测评。岗位或业务环节风险测评是对企业的日常经营管理中，每一项业务或每一个工作流程中产生风险的可能性的预测。主要包括资金活动风险、采购活动风险、资产管理风险等。

（二）风险控制系统

1.决策风险控制系统。完善法人治理结构，加强决策的集中性、统一性和权威性，实行与个人责任密切联系的集体决策制度。

2.经营业务风险控制系统。在企业内部建立专家委员会业务管理体制。专家委员会负责市场、政策及社会环境的研究；负责制定和指导企业经营业务的操作流程；负责项目立项、策划、创新业务的咨询和评审等。

3.财务风险控制体系。实行统一的财务制度控制，严格授权审批制度，实行财产纪录监控，控制筹资、投资、信用等资金活动风险，确保财务报告的真实准确，规避风险。

（三）风险监控系统

1.岗位监督管理由全体员工对岗位风险控制有效性进行自我评价，以及对控制缺陷和意见进行反馈；

2.专业监督管理由专业内部控制部门定期或不定期对内部控制落实情况进行检查和评价；

风险管理和内部控制体系范文

关键词：财务风险管理内部控制体系框架设计构建

我国现代企业管理过程中出现的财务管理信息失真、经营过程违法以及企业集团的倒塌等事件的不断涌现，在某种程度上都可以认为是与企业内部控制管理的缺失有关。例如银广夏财务虚构事件、琼民源证券欺诈案件、郑州亚细亚的商站、明星电力的资金黑洞都与企业内部控制管理有密切联系。因此，企业内部控制管理现已发展成为企业化解财务风险管理的一个重要手段。强化了企业的内部控制管理，对提升财务信息数据的真实性、完善企业治理结构以及有效预防和控制企业财务风险有极其重要的作用。

目前，很多国际性大型企业已将加强内部控制管理作为企业治理的重要方法，相关方面的研究也为强化企业内部控制提供了基础和方法。2000年我国新修订了《会计法》，2001年后连续了有关内部控制管理的规范性文件，2008年修订的《企业内部控制基本规范》，2007年财政部又在企业内征求意见稿，重新修正了内部控制的基本规范和十七项具体规定，对完善企业内部控制的原因作了详细阐述和分析。这一系列政策文件的陆续出台，表明内部控制已受到我国政府部门的强烈关注。近年来由于我国社会经济环境的变化，市场竞争日益激烈，企业之间的竞争意识也越来越激烈，随之也不断提升了企业的财务风险。但从我国企业目前现状来看，其财务风险意识并未与财务风险同步提升，在财务风险预防管理中也没有有效的应对策略。因此，本文从企业内部控制与财务风险的相关性入手，阐述企业内部控制与财务风险之间的传导机制，提出如何通过加强企业内部控制来防范财务风险的管理策略，促进我国经济快速发展。

一、文献综述与研究框架

本文试图构建适用于我国企业进行财务风险防范的内部控制体系，文献梳理主要从国内外两部分展开，总结企业内部控制与财务风险管理的相关性，为本文研究框架的建立奠定基础。另外，也对相关学者提出的企业内部控制与财务风险管理体系相结合的策略进行梳理，来借鉴相关学者研究的成果与不足，从而引发本文研究的主题并进行深入探讨。

（一）国外研究现状

目前国外大部分学者是从财务管理的审计角度来研究企业内部控制问题的，例如如何提升审计的效率、如何降低企业财务风险、如何有效明确财务管理责任等，与此相关的研究有：LeeT.A曾在1971年对企业内部控制开展研究时指出，财务管理应该与企业内部控制的问题一起研究，同时他也对十七世纪前企业的内部控制管理也作了相关梳理，指出内部控制是否得当与财务管理联系非常密切。LawrenceR.Dicksee（1957）是较早研究企业内部控制管理的学者之一，他很早就发现若企业财务信息不准确、不完整及企业财务信息不及时会直接导致企业内部控制不足的问题产生，应对企业中不规范的财务管理行为进行监督和惩罚。此外，也指出企业在运宫过程中应设计好内部控制体系，完善企业的管理信息系统，以便获得及时、准确、可靠的财务信息。Beaver（1995）也曾指出企业内部控制与会计管理、财务风险的发生有很大相关性。财会数据的准确性和可靠度可用于检验企业的内部控制管理体系，对于提升企业营运效率、提升企业内部控制程度以及降低企业财务风险的产生有很重要作用①。Ross.Westerfield.Jordan（1995）认为企业的财务风险是因为企业的负债规模无法实现有效控制而产生的一种权益风险，即如果企业控制不好自身债务的规模，会直接提升企业股东的风险程度，这也表明企业财务风险与企业内部控制的有效性密切相关②。

（二）国内研究现状

国内学者对财务风险管理的研究是始于20世纪80年代，研究的焦点主要在企业内部控制与财务风险的相关性上，总体而言相关研究较少。何庆光、王玉梅（2004）也从企业内部控制与财务风险的相关性出发，研究后指出企业内部控制体系除包含管理控制外，还应包括以财务管理为核心的财务控制，在企业内部控制体系中建立财务风险的预警机制，制定应对财务风险管理的各种措施③。朱其俊、苍玉霞（2004）从上市企业的内部控制完善策略出发，指出企业的财务风险管理应与内部控制体系有效结合，一方面要加强对其内部控制体系的监督与评价机制，另一方面也要加强控制体系的法律机制建设④。鄂秀丽（2008）则是采用了计量学模型，随机选择了114户大型国有企业作为研究样本，通过统计分析的方法对企业内部控制体系与企业的财务风险之间的相关性进行了具体分析，为今后相关方面的定量研究指明了新的研究视角。其研究结果表明，企业财务风险预警指标随着企业管理者对内部控制体系的加强与完善也开始朝正常化发展，即企业内部控制制度对财务风险有显著的负向影响，内部控制体系越完善，财务风险程度越低⑤。如黄秋菊（2014）基于企业内部控制和财务风险的相关性分析后指出，二者之间存在很多问题，第一，容易混淆企业内部控制与财务风险管理的关系。企业管理者一般认为企业内部控制与财务管理问题是相同的过程，而没有意识到内部控制其实是财务风险管理的重要方面，二者有本质的区别。第二，经常忽视财务风险的管理，而过于注重企业内部控制管理。企业管理者一般倾向于将注意力放在细小的日常管理控制上，浪费了管理资源，而忽视了企业潜在的财务风险管理。第三，在重视企业内部控制的设计，却忽视了执行内部控制的效果，对于企业存在的机遇与风险无法及时和正确的把控，致使企业易于陷于沉重财务危机之中⑥。

（三）研究述评

通过以上国内外文献梳理发现，无论是从微观角度还是从宏观角度切入研究企业财务风险管理与内部控制体系的关系，国外对于企业内部控制与财务风险管理的研究相对国内来说更早，且研究成果更多。一般企业都已有完善的内部控制体系与风险管理策略，而我国还需要吸取国外的研究理论和实践经验。

国内大部分研究存在以下问题：一是仍然停留在企业进行财务风险管理的对策建议上，缺乏系统的内部控制管理框架或体系的探讨。二是相关研究数量不多，基本都是通过对内部控制管理的研究，指出内部控制管理的建设有助于降低企业财务风险的结论。因此，如何从财务风险视角构建符合我国企业特征，且管理体系较严密、管理层次较分明的企业内部控制管理体系是非常有意义、非常迫切的。

二、基于财务风险管理的内部控制体系的框架设计与构建

（一）基于财务风险管理的内部控制体系的框架设计

本文将依据企业内部控制设计的基本原则，以目标导向为目标，结合上述研究成果，运用规范的研究方法，将内部控制的着眼点与财务风险内部控制的各种风险点相结合，将其融合到企业内部的各项管理和各项业务活动之中。因此，本文研究内容涉及企业管理层级的内部控制与企业业务活动层级的内部控制，围绕这两方面首先明确内部控制的目标，然后再寻找企业的财务风险控制点，构建基于财务风险管理的内部控制体系框架。试图以企业的财务风险管理理论与实践为基础，构建基于财务风险中管理更全面、逻辑更严密的内部控制体系。

（二）基于财务风险管理的内部控制体系的框架构建

鉴于企业的内部控制管理与财务风险管理过程均是系统的、全面的、复杂的过程，因此可结合我国最新颁布的《企业内部控制基本规范》（2009）中提出的建立与实施有效控制的五大要素（内部环境、风险评估、控制活动、信息与沟通以及内部监督）来展开分析。

本文将着重探讨构建基于财务风险管理的内部控制体系的框架结构，主要包括五大子系统：第一是完善的内部环境子系统，第二全面的财务风险评估子系统，第三是良好的控制活动子系统，第四是沟通顺畅的信息子系统，第五是有效的内部监督子系统。本文将从这五个子系统分析其构建的内容与解决方法⑦。

（1）完善的内部环境子系统。考虑到企业经营活动中容易产生的道德风险、逆向选择等内部人控制问题，使财务风险控制点应放在对内部环境的完善上，如对管理者、员工的激励机制、管理者与员工的良好关系建立等方面。因此企业内部控制成效的重点在于营造一种良好的人文内部环境，其中的关键就在于企业员工的素质水平。员工的素质水平由忠诚、勤劳、高效、正直等因素构成。一般来说，企业的人力资源政策能直接影响到企业内部员工的素质高低。因此，企业的人力资源制度对于提升内部员工的素质水平、对于内部员工是否能高效地执行内部控制政策有决定性影响。

为建立完善的企业内部环境子系统，企业首先应从完善自身的人力资源制度着手，如定期对内部员工进行专业的业务培训，定期对员工业绩进行考核和评价，也可以实行工作职位丰富化或岗位轮换制度，同时在这些环节要实施经常的、及时地奖惩措施，让员工意识到高效的执行内部控制制度的结果。此外，还要加强企业文化塑造，为员工提供良好的价值观导向，让员工从意识、行为上自觉地融入文化塑造中。

（2）全面的财务风险评估子系统。根据我国颁布的《企业内部控制基本规范》（2009）可知，明确规定了企业应根据企业的内部控制目标及时地实施财务风险评估。在开展风险评估的过程中需要注意区分企业内部财务风险和企业外部的财务风险，并同时确定内外部风险的承受水平，对企业预见到的各种风险水平进行分析和确定控制的优先顺序，为全面的财务风险评估子系统的建立奠定基础。

一般企业的财务风险评估可通过企业内部的财务风险、分析企业财务状况、分析企业的经营过程、企业现金流量支出等环节来识别。然后通过定性与定量相结合的分析方法研究企业内部可能存在的各种财务风险，再在上述环节分析的过程中选择关键的财务风险指标，构建企业内部控制的风险评估子系统。在风险评估子系统中，风险预警是其中的重要评估要素，如果能从预警系统中获取及时地信息并做出准确判断，企业才能通过对关键财务风险点的分析做好风险规避，实现对财务风险的有效控制⑧。

（3）良好的控制活动子系统。根据前面的风险评估子系统的评估结果，需要建立良好的控制活动子系统，即通过采取及时地控制方式，将企业财务风险控制在可以承受的水平之间。为了有效执行这个控制系统，企业首先需要针对关键的财务风险点来设计相应的控制应对策略，因此，控制活动子系统的主要任务就是关键的财务风险控制点。

一般我们可以根据企业的经营过程和财务管理环节，将财务活动划分为资本筹资、投资、资本运营、资本回收等活动，对针对这些活动需要具体设计相应的内部控制策略：如各环节职务单独控制、财务授权与审核控制、财务系统控制、财务资金控制、财务预算控制、企业营运分析控制以及培训考核控制等⑨。

（4）沟通顺畅的信息子系统。根据我国颁布的《企业内部控制基本规范》（2009）可知，企业应当建立沟通顺畅的信息子系统，明确企业内部控制所需的各方信息的收集、传递等程序，同时也要确保企业内部能对这些信息开展及时有沟通，以保证企业内部控制的有效实施。

企业所获取的信息主要来源于企业内部与企业外部，以及企业经营活动中反映出来的各种财务信息。这顺畅的沟通主要是指导能够及时准备在将各种财务信息在企业内部以及从企业内部传递到企业外部相关的部门及相关员工，如此才能促进企业内部和企业外部的评估、控制、监督环节。此外，沟通顺畅的信息子系统还需要从沟通的环境、沟通的方式和手段、沟通的渠道等方面来保证信息的畅通传递。如加强企业内部ERP系统建立、建设统一的信息数据化平台、提升财务人员专业素质等。只有建立沟通顺畅的信息子系统，才能为有效的内部监督实施提供保障。

（5）有效的内部监督子系统。《企业内部控制基本规范》（2009）也明确了企业应该制定内部监督制度，对企业内部监督的责任、权利、程序及方法要求都给出了具体的规定。企业内部监督的实质是对企业内部管理及财务风险评估等制度执行质量的一个评价过程。在内部监督子系统中，非常重要的一项内容就是内部审计的监督。内部审计监督是指对企业内部控制体系以及内部控制体系的评价系统的有效性进行检查。从一般企业的管理实践来看，企业内部的审计监督应对董事会负责，这样能防止企业内部人控制掌权、防止董事会职责和权利弱化等现象的产生，同时指导企业的业务活动也能对董事会形成某种程度的牵制，这样才能形成有效的内部监督子系统。为加强有效的内部监督的可执行度，将其分为日常监督和专项监督。根据企业的实际情况及企业发展战略，结合企业的组织结构、经营活动、业务流程、财务风险管理等开展不同类型内部监督活动。

企业的内部控制管理与财务风险管理是一项非常复杂的工程，尤其是对当前市场经济体制下的企业而言更是如此。在实施企业内部控制过程中经常会面临一系列的财务风险问题，

其风险管理主体、风险控制程度以及风险处理策略一般很难达到科学、有效的水平，因此需要从财务风险的角度出发，去构建一个完善有效的内部控制系统来控制与处理各种财务风险。本文正是基于财务风险的内部控制研究，侧重于完善内部控制体系，力求从财务活动的业务过程中构建有效的内部控制体系。我们基于财务风险管理的内部控制体系主要由完善的内部环境、全面的财务风险评估、良好的控制活动、沟通顺畅的信息以及有效的内部监督五个子系统构成，这五个子系统相互联系、相互制约，旨在实施有效的内部控制，防范企业的各种财务风险产生。

注释：

①BeaverHW，Riskmanagement，ProblemsandSolutions，Newyork，McGraw―Hill，Inc，1995

②Ross.Westerfield.Jordan，FundamentalsofCorporateFinance，1995.

③何庆光，王玉梅.内部控制与企业风险的防范和化解[J].经济与社会发展，2004（2）：34-56.

④朱其俊，苍玉霞.我国上市公司内部控制与风险防范[J].合肥工业大学学报，2004：23-45.

⑤鄂秀丽.企业内部控制与财务风险相关性研究[D].吉林大学，2008：29-36.

⑥黄秋菊.对我国《企业内部控制审计指引》有关问题的探讨[J].中国注册会计师，2014，3：66-72.

⑦陈岚.基于财务风险的内部控制研究[D].贵州大学，2011：26-29.

风险管理和内部控制体系范文篇3

【关键词】内部控制;风险管理;公司治理;战略管理

受美国2002年出台的萨班斯——奥克斯利法案(以下简称SOX法案)的影响，我国所有赴美上市及计划赴美上市的企业必须按照美国监管机构的要求，完善内部控制体系、完成内控评估报告。同时，随着经济全球化的深入，企业遭受产品市场、要素市场和金融市场的价格冲击越来越大，各类风险产生的扩张效应和联动效应越来越严重。因此，内部控制和风险管理成为现代企业重点关注的课题。

本文将在回顾内部控制和风险管理理论发展的基础上，探讨二者之间的关系，并结合宝钢在内控体系建设和风险管理方面的最佳实践，提出整合的风险管理框架设想，以期对我国企业的内控体系和风险管理体系建设提供借鉴。

一、内部控制、风险管理的理论发展及其关系

(一)内部控制理论的发展

20世纪70年代中期的“水门事件”引起了美国立法者和监管团体对内部控制问题的重视。美国国会于1977年通过的《反国外腐败法》是美国在公司内部控制方面的第一个法案。1980年后，美国COSO委员会将“内部控制”定义为“一个组织设计并实施的一个程序，以便为达到该组织的经营目标提供合理保障”。在COSO委员会制定的内部控制框架中，把内部控制活动分成五大组成部分，即:控制环境、风险评估、控制活动、信息与交流和监督评审。

2002年，美国成立的上市公司会计监管委员会(简称PCAOB)明确采用了COSO内控框架作为内控评价的标准体系。许多国家和地区的资本市场也采用了COSO内控框架，有些国家和地区在参照该框架的基础上建立了自己的内控体系。

我国在2005年先后出台了《上交所上市公司内部控制指引》和《深交所上市公司内部控制指引》两个文件。上述两个文件参照了美国SOX法案的要求，在理论体系上和COSO内控框架一脉相承。

(二)风险管理理论的发展

企业风险管理理论发展大致分为三个阶段。第一阶段:以“安全和保险”为特征的风险管理。100多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。第二阶段:以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展，公司对业务管理和流程方面的内部控制提出了要求。美国1977年的《反国外贿赂法》要求公司管理层加强内部会计控制;1992年的《COSO内部控制综合框架》提出以财务管理为主线的内部控制系统。第三阶段:以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明，仅靠内部控制难以实现企业的最终目标。为此，COSO于2004年9月出台了《COSO企业全面风险管理整合框架》(简称ERM)，提出了由三个维度构成的风险管理整合框架。

我国国务院国资委于2006年《中央企业全面风险管理指引》(以下简称《指引》)，标志着我国中央企业建立全面风险管理体系工作的启动。

(三)内控体系建设与全面风险管理工作的联系和作用

全面风险管理与内部控制既相互联系又存在差异。企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一，而内控体系建设的动力则来自企业对风险的认识和管理。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益，而这正是全面风险管理应该达到的基本状态。此外，内控体系建设与全面风险管理工作的开展之间具有紧密的联动作用，具体体现在以下两个层面:

1.在理论框架层面，完整的内控体系包括依据COSO内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的企业风险管理理论框架是COSO企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。

2.在推进工作的步骤层面，从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看，以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设，在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备，可为公司未来开展全面风险管理打下较为完善的基础。

至于差异，从二者的框架结构看，全面风险管理除包括内部控制的三个目标之外，还增加了战略目标;全面风险管理的八个要素除了包括内部控制的全部五个要素之外，还增加了目标设定、事件识别和风险对策三个要素。从二者的实质内容看，内部控制仅是管理的一项职能，而全面风险管理贯穿于管理过程的各个方面。内部控制主要通过防范性的视角去降低企业内部可控的各种风险，侧重于财务和运营;而全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险，侧重于战略、市场、法律等领域。

二、宝钢在内控体系建设领域的实践

宝钢股份是宝钢集团的核心子公司。公司从2005年增资扩股后就着重于梳理内部流程，推广管理标准。2007年3月，由公司总经理担任组长的内控评审项目开始启动。

内控项目工作范围包括宝钢股份总部以及下属分子公司，资产规模和销售收入合计占整个宝钢股份合并报表范围的80%以上。评审涉及宝钢股份12大业务流程，梳理了各类大小流程300多个。在对12大流程风险控制点辨识的基础上，逐步建立宝钢股份上市公司内部控制体系，编制公司流程内控手册，形成公司全面的内控改进点报告，建立公司层面基本内控体系。并在前期工作的基础上，开展内控体系的自我评估工作，形成公司内控自我评估报告。

在项目实施过程中，公司组织了多场内控培训会，形成了全员内控的企业文化。同时，公司对发现的内控薄弱点狠抓落实整改，并对各单位的问题汇总报告进行整理;评审项目组还组织各单位把相关流程发现的内控薄弱点和自身的业务进行对比分析，就同类问题开展自查自纠，以形成辐射效应。此外，宝钢股份还将内控评审项目和常规审计工作相结合，在内部审计工作中跟踪检查问题的整改情况。

三、宝钢在风险管理领域的实践

宝钢从2007年开始全力推进全面风险管理体系建设，这既是资本市场的要求，也是宝钢自身发展的需要。宝钢集团有限公司董事会确定的全面风险管理的总体目标是:围绕宝钢的战略目标，在企业管理的各个环节和经营过程中执行风险管理流程，培育良好的风险管理文化，使风险管理机制成为宝钢经营管理各个环节的有机组成部分。公司具体实施情况包括以下几个方面:

(一)以法人治理为基础，建设风险管理的组织体系

完善的法人治理是风险管理重要的内部环境，也是风险管理体系建设的起点和保障，而董事会建设则是法人治理的核心。宝钢作为国资委所属中央企业中首批董事会试点企业，在完善董事会试点的过程中优化董事会成员结构，建立外部董事制度，不断完善董事会运作机制，初步形成了出资人、决策机构、监督机构和经营层之间各负其责、协调运转、有效制衡的治理机制。

同时，宝钢按照国资委《指引》的要求，构建了业务部门、风险管理部门和内部审计机构三道防线。第一道防线建设:总部各职能部门和各子公司作为风险管理的第一道防线，是所管业务风险的责任者，公司明确了其各自相应的职责。第二道防线建设:总部层面成立由分管副总经理担任组长的“全面风险管理体系建设领导小组”，由系统运行改善部作为风险管理的综合管理部门，对全面风险管理的日常工作进行协调和推进。第三道防线建设:审计部负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性作出评价，及时发现流程中存在的问题，提出内控完善的建议。

(二)与管控模式相结合，制定风险管理策略和流程

宝钢采取的是“战略控制型”的管控模式，即总部通过对策略性、全局性业务进行管控来确保战略意图的实现，对于具体执行性业务则授权给各子公司来执行，以确保整体运作效率和响应速度。

因此，宝钢的风险管理体系分集团公司和各子公司两个层面推进。集团公司以兼并重组、子公司管控和辅业改制等重大决策、重要业务和流程的风险管理为重点，通过推进风险管理文化建设、推动内控系统优化，确定重大风险的应对策略、完善重大风险预警和报告机制、强化风险管理的检查监督机制等措施，建立并不断完善风险管理体系。各子公司则结合自身产业特征，从防范运营风险的角度出发，重点推进四项工作:1.建立风险管理的组织体系和工作机制;2.对重大风险进行识别和评估，形成重大风险清单，确定风险管理的重点领域;3.针对重大风险涉及的重要业务流程和重大事件，评估、完善内控体系，并落实为工作规范，制定管理制度，形成内控手册;4.针对可能发生重大突发事件的业务领域，建立预警机制，制定应急预案。

(三)建立了财务预警指标体系，使得财务风险以及可能造成的损失可以通过财务指标的计算和分析得到量化和预警在应急预案方面，在总部和子公司层面编制了一系列应急预案，提高宝钢处置突发事件、保障公共安全的能力，最大程度地预防和减少突发事件及其造成的损害。

四、整合的风险管理框架设想

通过长期的工作实践和思考分析，笔者认为:企业的风险管理工作需要和企业管理的多方面相结合，构建整合的企业风险管理系统。这不仅要考虑和内控体系的融合，还必须与企业公司治理、战略管理等系统相整合。企业风险管理整合系统:

(一)风险管理系统应与公司治理系统进行整合

风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(IIA)指出，企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中，高管和风险主管应当直接承担风险管理的责任，董事会则应积极参与增值型的风险管理活动，如在风险管理的过程中对管理层进行指导、授权和监督等活动。:

(二)风险管理系统应与公司战略管理系统相整合

风险管理功能与公司战略管理功能相耦合，主要体现在图2所示的战略管理全过程中:

将战略管理系统与风险管理系统相整合，有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界，并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。公司实施不同的战略，会引起不同的风险，也应采取不同的风险应对措施。因此，不同的战略模式将会导致在不同的领域配置风险管理的资源。

企业战略管理的最终目标是为了实现企业价值的持续增长，企业价值创造路径应围绕“股东价值客户价值业务流程核心资源”这一路径展开，该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值，必须具有高效、快捷和质量可靠的业务流程，这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径，企业风险管理也应遵循这一路径而展开。

总之，整合的风险管理框架应该是由公司治理层面确定风险管理的政策;由高管确定风险管理的偏好;由战略管理层确定风险管理流程、文件和模型;在应用和基础设施层面配备相应自动控制装置，以促进事件的自动处理和报告的自动生成，并使用分析工具对这些事件及其组合与公司政策的相关性进行分析，为决策者提供风险应对的信息。

【主要参考文献】

[1]张谏忠，吴轶伦.内部控制自我评价在宝钢的运用[J].会计研究，2005，(2).

[2]吴轶伦.内部控制自我评价[J].上海财经大学学报，2004，(4).

[3]吴轶伦.内部审计职能的发展与风险管理模式的建设[J].冶金财会，2006，(3).

[4]方红星.内部控制审计组织效率[J].会计研究，2002，(7).

[5]课题研究组.内部会计控制规范操作实务[M].中国商业出版社，2001.

[6]阎达五，宋建.双元控制主体构架下现代企业会计控制的新思考[J].会计研究，2000，(3).

[7]朱荣恩、贺欣.内部控制框架的新发展——企业风险管理框架[J].审计研究，2003，(6).

[8]金或日方，李若山，徐明磊.COSO报告下的内部控制新发展[J].会计研究，2005，(2).

[9]严晖.风险导向内部审计整合框架研究[M].中国财政经济出版社，2004.

[10]宋夏云.现代风险导向审计模式的背景分析与理论创新[J].中国审计，2005.

[11]胡春元.审计风险研究[M].东北财经大学出版社，1997.