基于COSO框架的企业全面风险管理对策探析

基于COSO框架的企业全面风险管理对策探析 基于COSO框架的企业全面风险管理对策探析——以中国 电信四川公司全面风险管理为例 第二章企业全面风险管理(COSO框架)评述 2(1企业全面风险管理提出背景 企业全面风险管理亦称企业级风险管理，它的最初定义来源于巴 塞尔银行监管委员会(BCBS)针对商业银行保险管理问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 于2003年 出台的“巴塞尔新资本协议“，是指金融企业对整个企业的风险进行 识别和控制。但是，企业全面风险管理的理念和 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 从20世纪90年 代后期开始就在跨国公司中广泛采用。 20世纪末以来，企业面对的经营管理环境日趋复杂，企业风险 快速发展和变化，主要表现在:! l、世界市场变化莫测，风险与日俱增。‘正如有些调查报告指出，’ 今天市场上一个典型的大企业面临1万多种风险，比较有效的能够管 理的风险不过2500多种，剩下的7600余种风险都是由公司或者股东 自觉不自觉在财务上承担了。- 2、旧的风险管理范例不足以作为化解当今有代表性的企业所面 临的风险的参考。一些调查报告指出，在所有风险之中，被企业经理 们列为榜首的是非传统性风险，而此类风险仅用传统的风险管理手段 是不能有效管理的。 3、商业模式的综合性已日渐突出;如何以企业价值增值为目标! 打造企业价值链，面临机遇，更面临挑战c: 4、新技术的发展加快了资金和信息的流动，提高了企业的风险 发生水平，但也促进了新风险策略的实施。特别是信息技术在20世 纪90年代的急速发展使得对许多风险的有效监控成为可能。 5、股东们对稳步增长的兴趣，对良好的风险管理操作也是一种 鼓励。投资者们极力避免像美国长期资本管理公司(LTCM)、安然 (Enron)等公司的破产厄运。研究表明，市场对多年来稳步增长的 公司给予了lO,或更高的市场溢价。对于公司的负责人来说，优越 的风险管理成为了一个重要的价值要求。 6、随着更多世界上的政府和国际组织要求上市公司报告风险管 理情况，管制的压力也越来越大。最近在美国、英国、德国、澳大利 亚、日本、法国等地相继出现了与风险管理相关的法律。 7、步入新世纪以来，一些灾难性事件，如在美国发生的证券市 场崩溃，安然公司丑闻，特别是美国“9?1l"事件将人们的注意力 转向风险管理领域。在“9?11"事件之后狂涨的保险市场和低迷的 证券市场迫使全球的公司主管们寻求更佳的风险管理方案来适应经 营的环境。 因此，企业界已经更加清楚的认识到仅仅从内部控制的角度实施 风险管理已无法满足现代企业管理变革的需要一一许多企业在经营 中存在业务战略和风险战略不匹配的问题，表现为在经济扩展时期企 业对业务发展给予更多关注，风险管理往往未得到应有的重视，而在 经济紧缩时期风险控制受到高度重视，市场开发则缺乏足够的动力。 为有效解决这一问题，企业界逐渐意识到:企业风险管理从内部控制 走向全面风险管理是一种必然趋势。 2(2企业全面风险管理的含义 所谓企业全面风险管理，是指从企业所有的业务范围出发、积极、 超前和系统的理解、管理和交流风险，从企业的目标出发制定风险管 理策略。它首先需要将企业在所有层面上的风险评估出来，然后集合 所有这些层面上的结果以优化风险管理措施，并确定这些措施的优先 次序。 全面风险管理的中心理念是:整个机构内各个层次的业务单位， 各个种类风险的通盘管理。全面风险管理系统要求风险管理系统不仅 仅处理市场风险或信用风险，还要处理各种风险。并要求包含这些风 险涉及的各种资产与资产组合，以及承担这些风险的各个业务单位，管理体系要有能力在一 致的基础上测量并加总这些风险，考虑全部的 相关性，而不是分离的，用不同的方法去处理不同的风险。10 此外，企业全面风险管理还突出了企业内外环境对企业风险管理 成效的影响。作为复杂的系统工程，企业进行全面风险管理必须具备 良好的内外部环境。外部环境主要是指国家法律法规、产业政策等影 响企业管理的众多因素，这些因素即构成了企业经营的宏观外在环 境，也影响着企业风险管理的决策和成效。企业内部环境则包括治理 结构、组织架构、信息技术和企业文化等方面。 2(3 COS0《企业风险管理一整合框架》主要内容 美国作为当前全球对风险管理控制最为严厉的国家，从美国最具 有代表意义的内部控制发展到其风险管理架构完善的过程中，更能 深刻的把握风险和风险管理的含义，更有助于了解全面风险管理的特 征。同时，由于美国在全球资本市场的重要地位，在美国内部控制制 度和风险管理的发展历程中，COS0委员会在1992年提出的报告《内 部控制一整体框架》、2002年《萨班斯一奥克斯法案》和COS0委员 会2004年颁布的《企业风险管理一整合框架》，即企业全面风险管理 的框架，其中，《内部控制一整体框架》和《企业风险管理一整合框 架》已成为在美上市公司管理层制定内部控制和构建全面风险管理体 系所公认、恰当的框架，其影响力已经超过了单个国家的范畴，包括 中国在美上市公司在内。 《企业风险管理一整合框架》在《内部控制一整体框架》基础上， 将企业风险管理分为内部环境、目标制定、事项识别、风险评估、风 险反应、控制活动、信息和沟通、监控等八个相互关联的要素，各要 素贯穿在企业的管理过程之中。? 1、内部环境 企业的内部环境是其他所有风险管理要素的基础，为其他要素提务活动的组织和对风险的识 别、评估和反应，还影响企业控制活动、 信息和沟通系统以及监控活动的设计和执行。董事会是内部环境的重 要组成部分，对其他内部环境要素有重要的影响。企业的管理者也是 内部环境的一部分，其职责是建立企业风险管理理念，确定企业的风 险偏好，营造企业的风险文化，并将企业的风险管理和相关的初步行 动结合起来。 2、目标制定 根据企业确定的任务或预期，管理者制定企业的战略目标，选择 战略并确定其他与之相关的目标并在企业内层层分解和落实。其中， 其他相关目标是指除战略目标之外的其他三个目标，其制定应与企业 的战略相联系。管理者必须首先确定企业的目标，才能够确定对目标 的实现有潜在影响的事项。而企业风险管理就是提供给企业管理者一 个适当的过程，既能够帮助制定企业的目标，又能够将目标与企业的 任务或预期联系在一起，并且保证制定的目标与企业的风险偏好相一 致。‘ 3、事项识别 不确定性的存在，使得企业的管理者需要对这些事项进行识别。 而潜在事项对企业可能有正面的彭响、负面的影响或者两者同时存 在。有负面影响约事项是企业的风险，要求企业的管理者对其进行评 估和反应。因此，风险是指某一对企业目标的实观可能造成负面影响 的事项发生的可能性。对企业有正面影响的事项，或者是企业的机遇， 或者是可以低消风险对企业的负面影响的事项。机遇可以在企业战略 或目标制定的过程中加以考虑，以确定有关行动抓住机遇。可能潜在 地抵消风险的负面影响的事项则应在风险的评估和反应阶段予以考 虑。 4、风险评估 风险评估可以使管理者了解潜在事项如何影响企业目标的实现。 管理者应从两个方面对风险进行评估——风险发生的可能性和影响。进行。首先，应对企业 的固有风险进行评估。确定对固有风险的风险 反应模式就能够确定对固有风险的管理措施。其次，管理者应在对固 有风险采取有关管理措施的基础上，对企业的残存风险进行评估。 5、风险反应 风险反应可以分为规避风险、减少风险、共担风险和接受风险四 类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险 是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担 风险是指通过转嫁风险或与他人共担风险，降低风险发生的可能性或 降低风险对企业的影响。接受风险则是不采取任何行动而接受可能发 生的风险及其影响。对于每一个重要的风险，企业都应考虑所有的风 险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的 可能性和影响都落在风险容忍度之内的风险反应方案。 选定某一风险反应方案后，管理者应在残存风险的基础上重新评 估风险，即从企业总体的角度、或者组合风险的角度重新计量风险。( 各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该 部门的风险进行复合式评估并选择相应的风险反应方案。 6、控制活动 控制活动是帮助保证风险反应方案得到正确执行的相关政策和 程序。控制活动存在于企业的各部分、各个层面和各个部门，通常包 括两个要素:确定应该做什么的政策和影响该政策的一系列程序。 7、信息和沟通 来自于企业内部和外部的相关信息必须以一定的格式和时问间 隔进行确认、捕捉和传递，以保证企业的员工能够执行各自的职责: 有效的沟通也是广义上的沟通，包括企业内自上而下、自下而上以及 横向的沟通。有效的沟通还包括将相关的信息与企业外部相关方的有 效沟通和交换，如客户、供应商、行政管理部门和股东等。 8、监控 对企业风险管理的监控是指评估风险管理要素的内容和运行以保证企业的风险管理在企业 内务管理层面和各部门持续得到执行。 监控还包括对企业风险管理的记录。对企业风险管理进行记录的 程度根据企业的规模、经营的复杂性和其他因素的影响而有所不同。 适当的记录通常会使风险管理的监控更为有效果和有效率。当企业管 理者打算向外部相关方提供关于企业风险管理效率的报告时，他们应 考虑为企业风险管理设计一套记录模式并保持有关的记录。 第三章中国电信[]11 1公司构建全面风险管理体系的 背月历景专7分】’?析I 3(1中国电信四川公司企业分析 3(1(1公司历史变革及发展 中国电信四Jll公司是中国电信股份有限公司在川设立的子公司， 2 是四川省主体电信企业和综合信息服务提供主导企业。注册资本81(亿元，固定资产原值395亿元;现有员工2j 3万人。根据中国电信股 份有限公司的授权，对中国电信股份有限公司在川设立的21个市州 分公司、157个县(市、区)分公司、‘1个控股公司和1个专业分公 司实施管理，并辖四川机动通信局、四川省长途传输通信局两个直属 单位。 中国电信四川公司的前身是四川省邮电管理局，从1998年开始， 根据国家电信体制改革的相关政策，先后经历了寻呼剥离入联通:邮 政电信分营、移动通信和卫星通信剥离运营、政企分离等重大改革。 2000年7月四川省电信公司成立并开始公司化运作。2003年，一四川 省电信有限公司注册成立，当年底被中国电信股份有限公司整体收购 实现在纽约、香港上市。 公司化以来，中国电信四川公司按照建立现代企业制度的要求，: 稳步实施、深入推进以主辅主附分离、五项集中管理、三项制度改革、 五项机制创新和内控制度建设为代表的多项重大体制机制创新:改 革，实现了由政企合一的传统国有企业向现代企业的转变，初步建立 起“以市场为导向、以客户为中心、以效益为目标"的现代企业运营 模式，实现了持续健康稳定的发展，价值创造能力不断增强。目前，展、促进改革开放和改 进人们生产生活方式、提高工作效率和生活质 量等发挥更加重要的作用。” 3(1 2公司组织结构 3(1(3公司所在行业分析 2006年以后互联网、移动业务对传统固网语音业务带来了巨大 冲击，普遍出现增量不增收的局面。随着用户需求日益多样化和市场 的不断变化，电信业普遍面l临着过度投资带来的压力、互联网的冲击、大。 1、中国移动一家独大，竞争格局严重失衡，中国电信面临可持 续发展的巨大风险 据国资委和信息产业部的数据显示:2004"--2006年，中国移动 的主营业务收入在全国电信业中的市场份额分别为37(95,、40(47 ,、44,。2006年，中国移动、中国联通、中国电信、中国网通四 家的营业收入分别是2954亿元、943亿元、1750亿元和869亿元， 同比增长分别为21(5,、8(3,、3(4,和1(2,，移动收入分别是后三家 的3倍、1(7倍和3(4倍;四家净利润分别为661亿元、37亿元、271 亿元和130亿元，同比增长分别为23(6,、-24(5,、-2(9,和一6(5,， 移动净利润分别是后三者的17(9倍、2(4倍和5倍，超过了其他三 家运营商的总和，是三家纯利润总和的1(5倍。在电信业新增业务收 入中，中国移动占了70,以上。四川情况与全国类似，移动仍是一家 独大、超速发展，已形成绝对垄断:2005年、2006年和2007年卜9 月，移动在四川电信行业收入中的市场份额分别为:38(90,、44(04,、 47(37,;用户市场份额为35(29,、38(73,、41(1l,。2007年卜6月 5家企业累计增量收入比例分别为移动72(41,、联通11(25,、电信 9(27,、网通5(93,、铁通1(14,，移动的收入增幅是其他4家相加的 6倍、电信的8倍、网通的12(5倍。移动收入 2(88倍，是联通的6( 和用户在新增市场份额上都占据了70,以上。这种失衡格局无法形成 有效的市场竞争，已成为电信业进一步发展的瓶颈。 j 2、固网发展举步维艰，5000亿元国资面l临贬值 随着移动技术的不断更新和资费的不断降低，移动对固网的替代 正逐步加强，固网发展陷入高离网率、高拆机率、低ARPU值(每用 户平均收入)和增量不增收甚至减量减收的经营困境，数千亿元国有 资产面临被移动替代从而造成大幅贬值的危险。据了解，我国在固定 电话上的投资高达8000多亿元，占据了电信业国有资产60,以上。 8000亿元资产中60,以上主要用于承载话音业务，约5000亿元国有净增的3倍多;2007 年l一10月流失用户数达到了净增用户的17倍 多。而且新增固话用户的低值化趋势十分明显，2006年底ARPU值为 37(62元，到今年9月下降为34(2元，下降了9(1,。另外，作为电 信业改革的母体，中国电信几次分营和重组后，大量冗余人员、债务 及不良资产留了下来，公司负重前行、举步维艰。四川电信现有员工 1(7万人，离退休、内退人员1(2万人，2004--2006年企业共支出 44(9亿元人工成本，其中离退休、内退人员的管理及成本支出3(73 亿元。如果固网企业效益持续下滑，资产加速贬值，企业可支持发展 赖以生存的基础一资产，面临难以重置及更新的威胁。 3、市场无序竞争加剧，受政府监管政策限制，严重影响公司创 新产品应对竞争，维持企业生命活力能力’ 移动电话之间、固定电话之间、移动电话与小灵通及固话之间， 以及不同的通信方式之间，竞争交织一起并日趋白热化，使电信市场 十分混乱。一是以价格战为主的不当竞争普遍存在。五花八门的套餐 使最低通话费不足0(05元,分钟，电话卡以2折3折倾销，赠手机、 送话费己成为基本营销模式，等等，使部分业务的实际资费水平远远 低于国家资费标准。四川网通在成都全面低价发展固定电话、大灵通， 推出免月租、免来电显示、市话最低0(06元,分钟(国家资费标准为 O(22元,前三分钟，以后0(11元,分钟)，宽带最低达到38元,月(电 信98元,月，铁通80元,月)。二是为抢占市场份额而进行的恶性竞 争行为时有发生。一些运营商为抢业务而不择手段，人为设置电路障 碍降低异网电话接通率，挖“墙脚”、换SIM卡等，有的地方甚至发 生剪光缆、断电路、砍电杆、锯铁塔等破坏通信设施的恶性事件。这 些行为不仅扰乱了市场秩序，导致运营商之间的矛盾加剧，而受政府 监管政策限制，严重影响公司创新产品应对竞争，维持企业生命活力 能力。 4、服务质量问题较多，顾客不满情绪渐涨 近年来，由于几大电信运营企业主要精力用于营销，对内部管理比增长20(7,，占服务类 投诉的四分之一。2006年四季度，2007年 一、二季度信息产业部从电信用户申诉受理机构、政府网站、部长信 箱等渠道共受理关于电信服务的申诉分别为5659人次、6439人次和 9117人次;季度用户申诉率(人次,百万用户)分别为6(9、6(8和 lO(5。根据四川省电信服务质量通告，中国电信四川公司用户申诉受 理中心2006年共受理792件，2007年前三季度共受理957件，申诉 总量也呈上升趋势，消费者的不满主要集中在网间通信受阻、短信诱 骗、垃圾短信等方面。 3(2中国电信四川公司构建全面风险管理的动因分析 3(2(1国有资产出资人的要求 国务院国资委作为中央企业的出资人，高度重视中央企业的全面 风险管理工作，不仅提出了企业全面风险管理的目标和具体要求，而 且将风险管理作为中央企业领导人员考核和企业 评价 LEC评价法下载LEC评价法下载评价量规免费下载学院评价表文档下载学院评价表文档下载 的一个重要指 标。 3(2(2资本市场监管机构的要求 为保证上市公司财务报告的真实性，美国制定了萨班斯一奥克斯 利法。该法律对在美国上市企业的内控制度建设尤其是与财务报告相 关的流程和信息披露提出了要求，明确规定上市公司管理层做内控评 估时应坚持风险导向。借鉴国际经验，香港证券监管机构也制定了旨 在强化企业内部风险控制和保证信息真实准确的《企业管治常规守 则》。该规定C(2(1条款明确要求上市公司董事应至少每年检讨一次 上市公司及其附属企业的内部监控系统是否有效，并在《企业管治告》 中向股东汇报已经完成有关检讨。有关检讨应涵盖所有重要的监控方 面，包括财务监控、运作监控及合规监控以及风险管理功能。 内部经营管理的需要 3(2(3企业 不断提高风险管理水平，是有效应对不确定的监管环境和激烈的 市场竞争、需求环境变化的需要。随着企业战略转型的不断深入，公 司面对的风险将会越来越多。开展风险管理工作，可以确保将风险控 制在一定范围内，提高经营管理的有效性，更好地促进战略转型目标 的实现。 3(3中国电信四川公司构建全面风险管理的现实基础分析 作为一个从政企合一到逐步走向香港、纽约上市的国有控股企 业，中国电信四川公司按国家政策要求大力推进改革改制，从1997 年到2003年的6年多时间，先后经历了寻呼剥离、邮政分营、移动 分离、政企分开、主辅主附分离、南北分离、改制上市等体制、机制 改革，随着公司在香港和纽约资本市场的成功上市，对公司管理提出 了更高的要求;但公司不断进行体制机制创新、精干核心业务、理顺 资本链条关系，大力推进五项集中管理、建立健全内部控制等，面对 监控政策的不对称管制，在固话业务日益萎缩、市场竞争日益失衡的 情况下，积极努力拓展市场，大力推进企业转型，“外抓市场、内强 管理”，资本链条关系日益清晰，内部控制有效执行、财务状况明显 改善，基本实现了对资本市场的承诺、满足了国有资本监督管理的要 求、保持了国有资产的保值增值。 l、实施主辅主附分离，精干主业、转换机制 由于历史原因，电信公司化初拥有相当数量的多经企业、附属单 位，管理链条复杂，权责不清，市场拓展能力和管理水平低下，严重 制约了公司主业的健康发展。为此，按照国家“提高企业集团核心竞 争力，精干主业，分离辅业和企业办社会职能”的精神，在集团公司的 统一部署下，四川公司于2000年8月启动主附主辅分离、清理规范 多种经营企业工作。在清产核资的基础上，将原公司的多元化经营部事业单位，后勤辅助部 门和多种经营企业)划入四川省电信实业有限 责任公司。其中，划入人员7042人，资产11(16亿元，多经企业181 家。 通过这项工作，逐步理顺和缩短了公司的资本链条关系，纠正了 企业进行盲目多元化扩张的不良倾向，解决了当时普遍存在的“三 产”侵蚀主业资金资产、产权不明、权责不清、管理不善等问题，公 司及时回归到了核心业务领域，为企业稳定健康发展奠定了坚实基 础。 2、建立集中、统一、规范、高效的财务会计管理体系 2000年以来，公司以“集中、统一、规范、高效”为创新财务管 理的切入点，在全省实行了以“资金收支两条线’’和“本地网集中会 计核算"为主要内容的财务体制改革，促进了企业筹资、投资、资产 管理等方面的深刻变革，与大宗物资采购、网络集中维护二网络资源 集中管理、计费集中管理等形成“五项集中 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 ”(j有力推动了 全省电信整体管理水平的提高。( (???( 通过集中投资管理，扭转了政企合一时期投资失控、管理失效、 帐外资产、帐外资金十分严重的局面;通过负债集中管理，在有效降 低筹资成本的同时，资本结构优化、财务风险防范取得良好成效;通 过强化资产管理、产权管理和对外投资管理，与之配套的科学制度逐 步建立、完善;通过本地网集中会计核算，不但适应了上市公司信息 披露及时、准确、全面的要求，更重要的是明确了市州分公司关键财 务职能调整，准确定位了县级分公司财务管理职能，推动了市县分公 司向市场经营和竞争主体的转变，真正成为了经营、成本中心。 3、以海外上市为契机，完善公司治理，建立现代企业制度 2003年下半年，作为经国务院同意进行国家授权投资的机构和 国家控股公司的试点，中国电信集团对四川省电信公司实施业务和资 产的重组，将四川省电信公司的所有主业业务和与之相关的优良资产 剥离出来，经评估和国资委核准评估结果后，注入由中国电信集团公收购四川省电信有限公 司的全部权益，实现在纽约和香港上市。并按 现代企业制度要求，建立完善了公司董事会、监事会、经营管理层等 公司治理结构。 4、加快推进战略转型，积极应对经营困难 近年来，由于受到移动通信替代、IP技术等新技术新业务的冲 击，固网运营企业收入急剧下降，发展受到严峻挑战。在这种背景下， 根据中国电信集团的总体发展战略，结合四川在西部的定位，公司制 订了建成“西部领先的现代综合信息服务提供商”的转型战略目标。 (见图3-1) 公司通过打造商务领航、我的E家客户品牌以及互联星空、号码 百事通、全球眼、中国电信互联网等综合信息业务品牌价值链;适应 网络融合(FMC等)、业务融合的趋势，在巩固现有业务的基础上，快 速发展宽带、全球眼、号码百事通、视讯、ICT等综合信息业务，降 低传统固定电话业务收入比例，有效释放经营风险，保持公司稳定发 展(见图3-2) 7、强化内控体系建设，有效防范经营管理风险 2004年以来，公司采用国际上公认的COSO内部控制框架，通过 三年左右努力，逐步建立起了内部控制体系，重点保证上市财务报告 的可靠性、法律法规的遵循性。创建了内控制度、责任、工作、岗位 等体系。内控建设纵向延伸到县分公司，横向拓展到所有报表合并单 位，同时实现了内控文档标准化、内控流程定期修订、责任体系动态 调整、内控评估定期开展，整改工作有推动、整改效果有评估的格局。 (1)制度体系 制定了公司内部控制手册。手册根据COSO报告提出的内部控制 框架，分五个部分(控制环境、风险评估、控制行为、信息和沟通、 监控)阐述公司在与财务报告相关内部控制方面的方针、政策，汇总 公司相关制度、规定，并详细定义和规范了公司内各相关岗位的工作 流程和控制职责，为创建并保持良好的与财务报告相关的内部控制提 供制度上的依据和保证。制定了权限列表、市县分公司内控手册，建 立了内控建设和执行的问责制度。 (2)流程体系 公司建立了37个全省统一的标准内控流程，覆盖工程建设、招 标及采购、资金资产管理、营销与计费、成本管理、预算管理、信息 系统管理等企业管理的主要方面，设立了1083个控制点，其中关键 控制点492个。 (3)责任体系 按部门、岗位进行了流程责任分解，通过分解表明确了部门责任 和员工责任。 (4)岗位体系 通过建立内控工作团队、内控评估团队、流程协调责任人、系统 协调责任任，部门内控管理员岗位体系，确保内部控制的建设、自我 评估和整改推进。 (5)独立评估体系发现缺陷、整改、细则修订这样子内部控制的闭环运作。 通过内控体系建设，公司各级领导和员工逐步树立了内控观念， 诚信经营得以加强;规范了业务和管理流程，逐步理顺了职责;决策 程序总体规范，内控执行整体有效，提高了财务信息的真实性。截至 2007年底，公司先后接受并通过了3次毕马威对公司内控的外部独 立审计及集团公司对相关单位的内控独立评估检查。 3(4中国电信四川公司全面风险管理现状分析 2007年，中国电信集团公司为贯彻落实国务院国有资产监督管 理委员会《中央企业全面风险管理指引》，逐步建立、完善中国电信 全面风险管理体系，有效防范风险，为国有资产保值增值和企业各项 工作提供保障，开始推进全面风险管理工作。 一、提出了中国电信全面风险管理的总体目标 在中国电信实施战略转型进程中，通过全面风险管理优化公司治 理结构、强化基础管理，提高运行效率和经济效益，保证公司持续健 康发展，促进中国电信“做世界级综合信息服务提供商”战略目标的 实现。 1、短期目标(2007-2008年):基本完成全面风险管理的基础 性建设工作。包括:初步建立全面风险管理体系;建立全面风险管理 工作机制;初步建立风险管理流程;普及风险管理知识，基本统一对 风险管理的认识;辨识、评估和解决战略转型过程中面临的重大风险; 协调与内控、内审、法律、监察等现有相关工作的关系，形成企业综 合监督控制防范体系。 2、中长期目标(2009—2012年):整体提升公司全面风险管理 水平。包括:形成完善的全面风险管理体系;形成明确的风险战略， 针对面临的各类风险制定全面风险管理策略;建设相应的风险管理信 息系统模块;制定中国电信风险理财与风险经营指导方针;形成完善(一)集团公司责任:统 一中国电信风险管理要求和原则性标准; 建立健全中国电信全面风险管理体系;建立中国电信风险管理文化; 建立风险管理工作机制;对全集团重大风险进行关注和应对。 1、现阶段暂由总经理办公会行使风险管理的决策职责: 2、建立全面风险管理的三道防线。集团公司各职能部门是全面 风险管理的第一道防线，负责本部门和集团内纵向归口管理事项的风 险管理工作。 3、集团公司风险管理工作协调小组是全面风险管理的第二道防 线。协调小组由企业战略部牵头，会同市场部、财务部、审计部等部 门相关人员组成。协调小组依托现有内控工作团队人员承担全面风险 管理的具体工作。 4、集团公司审计部和监察局是全面风险管理的第三道防线。 (二)集团公司各所属公司(单位)责任:对本公司(单位)各 类风险负责;按照集团公司目标要求，制定本公司(单位)全面风险 管理的目标，建立全面风险管理相关制度，执行风险管理基本流程， 通过信息沟通和协作建立更有效地贯穿于各个子系统之间的风险管 理平台;明确本公司(单位)各风险管理职能部门内部及相互之间的 职责和评估体系;统一风险管理的方法、工具及报告。 (三)各级员工责任:对本工作岗位涉及的各类风险负责:提高 个人对全面风险管理的认识;落实个人在全面风险管理中的责任;执 行公司风险管理制度及流程;对具体风险进行监控和度量;运用各种 风险管理工具和风险管理方法对风险进行管理;向直线经理和风险管 理部门汇报风险管理状况;办理本岗位与风险管理有关的其他工作。 第四章中国电信四川公司全面风险管理体系构建 对策思考 中国电信四川公司作为中国国有企业率先遵循萨班斯法案并依 据COSO《内部控制一整体框架》构建公司内部控制的在香港和纽约 上市的国有企业，在构建全面风险管理所遵循的依据主要有三个: (1)萨班斯法案，监控的范围最小，主要是财务风险;(( (2)香港C2(I条款，扩大了监控范围，主要是财务风险、运作 风险、合规风险和风险管理; (3)国资委(《中央企业全面风险管理指引》，要求最全面，主要 有战略风险、市场风险、财务风险、法律风险、运营风险等?(贯穿企: 业运营的各个环节。 作为香港C2(1条款和国资委《指引》的依据，尚没有具体的具 体操作细则出台，在实际的操作中，具有一定的难度;而结合萨班斯 法案要求，COSO颁布的《企业风险管理一整合框架》，对企业风险管 理和监控，进行了重要的扩展，具有较强的实践和操作性。 1、COSO风险管理框架是对内控框架的重要扩展 自1992年美国COSO委员会发布《内部控制框架》(简称COSO报 告)以来，该内部控制框架已经被世界上许多企业所采用，但理论界( 和实务界纷纷对内部控制框架提出一些改进建议，强调内部控制框架 的建立应与企业的风险管理相结合。新的企业风险管理框架就是在 1992年的研究成果——《内部控制框架》报告的基础上，结合《萨 班斯一奥克斯法案》(Sarbanes---Oxley Act)在报告方面的要求，进 行扩展研究得到的。普华永道的项目参与者认为，新报告中有60, 的内容得益于COSO 1992年报告所做的工作。但由于风险是一个比内 部控制更为广泛的概念，因此，新框架中的许多讨论比92年报告的是企业风险管理必不可 少的一部分。风险管理框架的范围比内部控制 框架的范围更为广泛，是对内部控制框架的扩展，是一个主要针对风 险的更为明确的概念。 概括地看，相对于内部控制框架而言，新的COSO企业风险管理 框架新增加了一个观念、一个目标、两个概念和三个要素，即“风险 组合观"、“战略目标”、“风险偏好"和“风险容忍度”的概念以及“目 标制定"、“事项识别"和“风险反应"要素。对应风险管理的需要， 新眶架还要求企业设立一个新的部门——风险管理部。新的风险管理 框架比起内部控制框架，无论在内容还是范围上都有所扩大和提高， 具体表现在:协 (1)提出一个新的观念——风险组合观 企业风险管理要求企业管理者以风险组合的观点看待风险，对相 关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范 围内。对企业内每个单位而言，其风险可能落在该单位的风险容忍度 范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范 围。因此，应从企业总体的风险组合的观点看待风险。 (2)增加一类目标——战略目标，并扩大了报告目标的范畴 内部控制框架将企业的目标分为经营、财务报告和合法性目标。 企业风险管理框架也包含三个类似的目标，但是其中只有两个目标与 内部控制框架中的定义相同，财务报告目标的界定则有所区别:内部 控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关， 而企业风险管理框架中的报告目标的范围有很大的扩展，该目标覆盖 了企业编制的所有报告。 此外，企业风险管理框架比内部控制框架增加下一个目标——战 略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用 于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。 (3)针对风险度量提出两个新概念——风险偏好和风险容忍度 针对企业目标实现过程中所面临的风险，风险管理框架对企业好是指企业在实现其目标的过 程中愿意接受的风险的数量。企业的风 险偏好与企业的战略直接相关，企业在制定战略时，应考虑将该战略 的既定收益与企业的风险偏好结合起来，目的是要帮助企业的管理者 在不同战略间选择与企业的风险偏好相一致的战略。 风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度 是指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好 的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。在 确定各目标的风险容忍度时，企业应考虑相关目标的重要性，并将其 与企业风险偏好联系起来。 (4)增加了三个风险管理要素，对其他要素的分析更加深入，范 围上也有所扩大 企业风险管理框架新增了三个风险管理要素一“目标制定"、“事 项识别"和“风险反应”。此外，针对企业将管理的重心移至风险管 理，风险管理框架更加深入地阐述了其他要素的内涵，并扩大了相关 要素的范围。 ?目标制定。在风险管理框架中，由于要针对不同的目标分析其 相应的风险，因此目标的制定自然就成为风险管理流程的首要步骤， 并将其确认为风险管理框架的一部分。 ?事项识别。企业风险管理和内部控制框架都承认风险来自于企 业内、外部各种因素，而且可能在企业的各个层面上出现，并且应根 据对实现企业目标的潜在影响来确认风险。但是，企业风险管理框架 深入探讨了潜在事项的概念，认为潜在事项是指来自于企业内部和外 部资源的，可能影响企业战略的执行和目标实现的一件或者一系列偶 发事项。存在潜在的积极影响的事项代表机遇，而存在潜在负面影响 的事项则称为风险。企业风险管理框架采用一系列技术来识别有关事 项并考虑有关事项的起因，对企业过去和未来的潜在事项以及事项的 发生趋势进行计量。 ?风险反应。企业风险管理框架提出对风险的四种反应方案:规虑风险反应方案的选择。在 个别和分组考虑风险的各反应方案后，企 业管理者应从总体的角度考虑企业选择的所有风险反应方案组合后 对企业的总体影响。 ?风险评估。内部控制框架和风险管理框架都强调对风险的评 估，但风险管理框架建议更加透彻地看待风险管理，即从固有风险和 残存风险的角度来看待风险，对风险影响的分析则采用简单算术平均 数、最差的情形下的估计值或者事项的分布等技术来分析。最好能够 找到与风险相关的目标一致的计量单位进行计量，将风险与相关的目 标联系起来。风险评估的时间基准应与企业的战略和目标相一致，如 果可能，也应与可观测到的数据相一致。企业风险管理框架还要求注 意相互关联的风险，确定单一的事项如何为企业带来多重的风险。 正如前面所说，企业风险管理需要管理者建立一种企业总体层面 上的风险组合观。在风险评估方面体现为，对各业务单位、职能部门、 生产过程或相应的其他活动负责的各层管理者对其负责的部门或单 位的风险应进行复合式评估，而企业高层管理者也应从企业总体层面 上考虑相互关联的风险和企业的总风险。 ?信息和沟通。企业风险管理框架扩大了企业信息和沟通的构成 内容，认为企业的信息应包括来自过去、现在和未来潜在事项的数据。 企业的信息系统的基本职能应以时间序列的形式收集、捕捉数据，其 收集数据的详细程度则视企业风险识别、评估和反应的需要而定，并 保证将风险维持在风险偏好的范围内。 总的来讲，新的框架强调在整个企业范围内识别和管理风险的重 要性，强调企业的风险管理应针对企业目标的实现在企业战略制定阶 段就予以考虑，而企业在对其下属部门进行风险管理时，应对风险进 行加总，从组织的顶端、以一种全局的风险组合观来看待风险。此外， 根据风险管理的需要，对企业目标进行重新的分类，明确战略目标在 风险管理中的地位。 2、COS0风险管理框架是《指引》制定的重要基础之一 由于中国电信四川公司同时为在香港纽约上市的国有企业，遵循 萨班斯法案和两地资本市场监管要求，追求企业价值和股东价值最大 化，是公司目前的面临的基本选择和基础。同时，自2004年开始， 为遵循萨班斯法案要求，公司高调和强力构建和推进了基于COSO内 部控制框架的的内部控制制度，对提高公司基础管理水平和能力、防年顺利通过毕马威会计 师事务所的内部控制独立评估审计，得到了资 本市场的认可，对夯实企业基础管理能力，提高企业价值打下了坚实 的基础。 同时，一项调查结果显示，大多数企业在采取那种风险管理标准 开展工作时，大多数企业选择“参考公共标准，然后依据企业的自身 实际情况进行调整"。其中，多数上市公司倾向于采用COSO框架或者 依据COSO框架来进行调整。14 因此，本文认为，中国电信四川公司选择依据COSO《企业风险 管理一整合框架》构建企业全面风险管理体系，比当前选择依据《指 引》构建企业全面风险管理体系，具有现实成果、认识、成本、环境、 控制措施、评价体系等客观的优势和现实意义，使公司的全面风险管 理管理工作在国际公认的、恰当的框架范围内实施，能更好的满足国 际资本市场和国有出资人的要求，同时，也更符合当前公司内部管理 的实际和内在要求。并且，结合企业的实际情况，应该从以下几个方 面着手，初步构建起基于COSO框架的企业全面风险管理体系。 4(1全面风险管理与公司战略的融合 4(1(1全面风险管理对公司战略的影响 不良的风险管理很可能产生可怕的后果，以下都是近年来在国内 与国际发生的很著名的例子，其中很多被列入教科书:巴林银行，长 期资本管理公司。安然、安达信、德隆，中航油等，这些都是因为不 良的风险管理给企业造成重大损失，甚至导致企业的破产，这一点也 是我们在古今中外的市场上观察所有的公司无一例外的情况。也就是 说所有企业的倒闭或者遭受重大损失都是因为不良的风险管理造成 的。 AT,T公司成立于1885年，创始人，贝尔，AT,T公司一度是美国 最大的公司，其年产值列在全世界前十几名，2005年1月，AT,T被SBC收购，现在AT ,T作为独立的公司不存在了。看一看它走过的道 路，近年来有几个显著事件:第一个是1984年拆分，这是AT,T长期 受到反垄断法案的困扰，终于1984年输了，被政府强令拆分;1996 年又分出了Lucent和电脑部门NCR;1998年并购了有线电视巨头TCI， 然后收购了MO公司，然后再拆分成消费者、企业、宽带及无线四家 公司;由于经营不好，2002年进行了并购，把宽带卖了;2004年把 无线也卖了;最后2005年被SBC收购。 分析案例可以看出，背景是反垄断法，当时有人认为是政策风险 与法律风险没有管理好而造成的这个情况。现在看起来它的过错是拆 分太彻底，其实还有很多种方案，当时拆分把自己后路断掉了。拆分 以后，第二步就是并购，并购的背景因为美国新的电信法出台，很快 原来7个小贝尔公司变成3个，接入网变成垄断，这时候，AT,T买 了TCI公司要做一站购齐的信息巨人，长途业务利润下降，公司总体 增长缓慢。现在回过头来看，当时主要因为它的一站购齐式，虽然是 电信发展趋势，但是当时做的并不好。第三步，由于无奈再拆分，拆 分的背景是因为要不断拆分出卖资产支持不断下跌的股价，集中力量 争夺专门的市场，当时很多人可以看到分业经营的风险，分业经营带 来很多竞争，违反电信业自然的发展规律，否则不会看到美国电信在 拆分之后立刻就整合，而且整合速度非常快，所以AT,T在这时候发 生了很大的错误。这时候开始无奈了，就被收购了，从AT,T这几年 做法可以看到战略决策的风险、。转型的风险、并购的风险、法律风险、 政策风险等等。很多都集中表现在AT,T身上，再强大的公司都难逃 覆灭的命运。 通过上例可以看出风险对企业的影响。风险影响企业各种利益相 关者人的利益。企业的风险利益相关人有政府、员工、社会、股东、 债权人、管理层、商业伙伴。这些不同利益相关人因为不同的立场、 不同的利益出发点，因而对企业的风险管理要求也不一样，从股东来 讲，要求公司以最小的风险实现最大的公司价值。从监管部门可以看理要求可以说是一个最 基本的要求，起码的要求，更多的要求来自于 企业内部，来自企业内部可持续性发展的驱动。 一个企业要想基业常青，获得可持续发展，必须有一个正确的愿 景和使命，还要建立正确的战略，有了正确战略之后，管理层还要面 临风险的挑战，因为企业目标能否实现是一个未知数，目标是将来实 现，从现在看将来具有不确定性。在今天这样一个风险的社会中，企 业管理层不能满足粗线条的回答，我们能不能完成今年任务，差多少 等等，相反应该问我们有多少把握实现战略目标，98,?95,?，如 果98,，那2,可能性隐含什么情况?万一这些情况发生给企业造成 什么影响?等等，这就是全面风险管理提出的原因。 4(1(2全面风险管理与公司战略的融合对策 COSO风险管理框架力求实现主体的战略、经营、报告和合规四 大目标，将风险管理应用于战略制定并贯穿于企业之中，其“目标设 定”要素要求:通过选择适当程序制定目标、识别影响目标的潜在事 项，采取措施将潜在事项的影响控制和管理在企业的风险容忍范围 内，力求达到实现战略目标和相关风险之间的最优平衡。 中国电信四川公司《企业发展规划管理实施办法(试行)》指出， “四川电信企业发展规划是以中国电信集团公司总体发展战略为指 导，通过客观分析评价企业区域运营环境和内部能力，对企业的中长 期发展目标、发展路径和重大举措做出全面、系统的安排，从而落实 公司发展战略，控制企业发展风险。四川电信在未来相当长一段时期 的企业战略是积极实施企业转型、创建西部领先的现代综合信息服务 提供商。’’，同时，公司也充分认识到:“当前企业面临的经营风险 是外部风险、行业格局、内部机制和管理矛盾的综合体现。必须通过 坚定的推进转型，并在转型推进中同步解决各种新问题，防范好转型 本身的风险，提升公司对风险的综合防范控制能力。"15 在公司战略规划、控制及执行方面，公司企业战略部最近几年围 个企业战略目标，通过组织完成了包括综合滚动规划及市场发展、网 络、运维、IT、财务、人力资源、移动等10余个专业和专项滚动规 划的2007-2009年滚动规划编制工作，全面、系统地安排了业务、网 络与技术及组织与人力转型的目标及路径，通过战略目标制定和规 划，大力推进实施企业精确管理举措、通过绩效考核的激励手段、运 用组织架构调整的机制保障，确保战略规划的执行，促进组织目标实 现。 面对全面风险管理体系构建，公司还需要大力推进全面风险管理 与公司战略的融合。 1、制定公司全面风险管理的战略目标。从公司现状来看，其上 级单位中国电信集团已经规划出短、中、长期目标，在中国电信四川 公司的层面，还没有相应的承接和规划。因此，公司规划出一个全面 风险管理的战略目标，结合实际，制定短、中、长期目标;详细规划、 稳步推进、分布实施的战略 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 ;同时，要考虑实现的路径、组织环 境保障、绩效考核等具体推进意见，以达到组织落实、职能落实、责 任落实的目的;最后，要风险战略制定时，考虑资源的准备，包括培 养风险管理人才。 2、制定公司战略目标要充分考虑风险因素。当前，公司在制定 战略目标的过程，不能按照只求结果的单性思维模式，还必须在战略 目标制定时，考虑充分考虑企业面临的风险因素，考虑在目标实现的 过程中，企业面临的风险是否在企业可承受的限度范围，否则，战略 目标的制定和实施，很可能对企业造成大伤元气的损失，甚至是遭遇 倒闭破产的厄运。巨人集团战略目标制定时，过于好高骛远，制定超 过企业承受力的战略目标而加以实施，最终导致巨人倒塌得到充分的 实践、检验和印证。4(2全面风险管理与公司治理的融合 4(2(1公司治理对全面风险管理的影响 公司的所有权和经营权的分离，扩大了公司价值的核心一一人力 资源的流动，同时，也早就了当前规模空前的职业经理人这一阶层。 无容置疑，将资源用在最能创造价值的地方，是对公司生产效率的最 直接扩大。可随之而来的的，却是无法摆脱的代理问题(Agency Problem)的阴影，这在公司各个利益集团之间，即公司的原所有人、 公司的股东和公司高级管理层，产生了冲突，就形成了现代公司有别 于传统家族式企业最为独特的一道分水岭。 公司的代理问题在跨入了21世纪已经演变得愈演愈烈，特别是 董事会在处理对股东披露业绩和公司定位时得束手无策，更是将现在 公司治理的核心交织在了董事和董事会的问责制上。安然事件的公司 董事们，持续不断地高估公司利润，将公司的财务实际状况所面临的 风险隐瞒不报，甚至到宣布破产保护的前一天才向公司股东进行通 告，这完全将投资者信任的热情投入了万丈深渊;同样，当时名列全 球石油公司前三甲的荷兰皇家壳牌石油，公司董事一直夸大公司的石 油储备，当虚报石油储备被市场发现后，公司股票市值损失数十亿英 镑。而且，更具讽刺意义的是，壳牌公司之后对石油储备进行了多大 四次的更正，并引发了美国和英国监管当局的调查，对壳牌石油上百 年建树的信誉带来了毁灭性的打击。 因此，可以看出，公司治理是企业的经营作风和风险应对的核心， 全面风险管理就是企业董事会及经理阶层为实现未来战略目标的过 程中，将市场变化不确定因素产生的影响控制在可接受范围内的过程 和系统方法。因此，公司全面风险管理体系构建，应当突破传统单纯 着眼单个风险管控的模式，将全面风险管理纳入公司治理的框架之 中，将全面风险管理与公司治理融合。4(2(2全面风险管理与公司治理的融合对策 COSO风险管理框架在“内部环境"要素中明确指出:董事会是 内部环境的重要组成部分，对其他内部环境要素有重要的影响。企业 的管理者也是内部环境的一部分，其职责是建立企业风险管理理念， 确定企业的风险偏好，营造企业的风险文化，并将企业的风险管理和 相关的初步行动结合起来。 中国电信四川公司认识到，董事会及其委员会、监事会的重要监 督功能对于确保进行有效的内部控制并防范内控风险中具有至关重 要的意义。为进一步完善董事会和监事会职能，着重从董事会下属委 员会和监事会的任职资格、运作模式和职责权限等方面进行了规定，( 目的旨在明确公司董事会下属委员会和监事会的角色，规范公司董事 会下属委员会和监事会的运作，完善公司内部控制，防范内控风险。 因此，公司在构建全面风险管理体系的控制环境方面，应该实现 与公司治理的两个融合: 1、实现与公司治理结构的融合。在董事会下设风险管理委员会; 董事会、风险管理委员会和审计委员会构成了企业有效的全面风险管 理组织体系，明确全面风险管理在公司治理层次能地位和职责:全面 风险管理是董事会职能的一部分，公司通过在董事会下设风险管理委 员会和独立审计委员会，将全面风险管理纳入公司治理的框架之中， 风险管理委员会与独立审计委员会是全面风险管理与公司治理融合 最直接的体现。同时，风险管理委员会下设的风险管理职能部门主要 负责事前风险防范和事中风险管理。审计委员会下设的审计职能部门 主要负责事后风险管理。 针对中国电信四川公司的治理结构现状和国有控股企业的公司 治理特性，构建如下图4(2的公司治理机制，能较好的实现全面风险 管理与公司治理的融合。 2、实现与公司治理职能(职责)的融合。明确董事会、审计委 员会(监事会)在全面风险管理体系中的职责，来从公司治理层面实 现全面风险管理的管理和控制。 (1)董事会。对风险管理负有最终责任。 ?制定风险政策、确定损失容忍度、以风险一资金比例及目标债 务评级方式的方式来确定公司的风险承受能力。 ?公司机构具有风险管理技能及消除风险的能力，以保证战略目 标的实现。 ?建立组织机构，明确风险管理层的作用和责任，包括首席风险 官的作用。 ?通过“自上而下设定基调”的方式，用实际的激励政策来兑现 承诺。 ?安排适当的机会，组织学习，从以前的风险案例中吸取教训。 持续开展风险管理培训活动。 (2)风险管理委员会。审查企业风险管理的重要发展规划、方 案及重大事项。公司风险管理委员会的建立，将进一步加强公司的风管理委员会审议的事项。 ?协调监督各成员机构对风险管理委员会会议决议和风险管理 规范、办法、标准等的遵守、落实情况。 ?对成员机构违反会议决议或跨行业务风险管理相关规定的行 为，提出处罚意见。 ?依据风险管理委员会会议决议或跨地区业务风险管理有关规 定，对各成员机构、各部门、各单元对风险损失的相关责任进行认定。 ?负责受理首席风险官、风险管理机构提交的各项议题，并对相 关议题进行调研、审核和反馈。 ?建立会议纪要制度，记录、汇总委员会审议过程和决策意见， (并向董事会(或董事长)报告重要决议、评审意见及会议纪要等事项。 (3)审计委员会。内部审计是实现审计委员会功能的重要手段。 审计委员会具有多项职能，其中包括报告和监督职能，而这两项职能 的实现，必须借助于内部审计的有效工作j因此，内部审计可以保证 审计委员会履行职能，从而有效的治理会计信息失真的问题。当然，。 认真履行职责的审计委员会也能强有力的保证内部审计有很高的地 位和权威性，从而提高他的独立性，保证其审计结果能被高度重视。 因此，内部审计是企业进行全面风险管理的重要途径。 (4)首席风险官(分管风险副总)。尽管全面风险管理有很多好 处，但是在面对内外部环境的监管和需要情况下，公司的管理当局对 全面风险管理的前景茫然不知;在面对企业方方面面的风险的时候， 反而迷失了方向，不知道当地企业面临着多少风险，有多少的潜在损 失，当前主要的面对的风险是什么，如何控制?在高级管理层中间就 需要出现一个“风险主管者"，主要职能是提出主要计划，确立企业 范围的风险管理措施(在美国风险密集的行业广泛设立了“首席风险 官"的职位，比如金融机构、能源公司以及非金融类但有巨大投资行 为，或者有国外业务的公司)。 首席风险官向首席执行官或首席财务官汇报，有些首席风险官还 直接向董事会汇报。而信用风险、市场风险、运营风险、保险及资产政策、资金管理、风险 分析与报告，各业务部门风险管理负责人的工 作。 4(3内部控制与风险管理的融合 4(3(1内部控制在全面风险管理体系中的作用 1992年，COSO委员会颁布了《内部控制一整体框架》，2004年， 该委员会又颁布了《企业风险管理一整合框架》，在该框架附件C中 明确:内部控制被涵盖在企业风险管理之内，是其不可分割地一部分。 (内部控制:是一个组织设计并实施的一个程序，以便为达到该组 织的经营目标提供合理保障。其中经济组织的经营目标包括:经营的 效果和效率;真实可靠的财务报告;合规性经营。在COSO委员会的 《内部控制整体框架》中，把内部控制活动分成五大组成部分，即: 控制环境、风险评估、控制活动、信息与交流和监督评审。16 全面风险管理:全面风险管理是一个过程，受董事会、管理层和 其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活 动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企 业的风险偏好之内，合理确保企业取得既定的目标。在COSO委员会 的《企业全面风险管理整合框架》中，把全面风险管理活动分成八大 组成部分，即:内部环境、目标设定、事件识别、风险评估、风险对 策、控制活动、信息和交流、监控。" l、内部控制与全面风险管理是紧密相关的 (1)内部控制是全面风险管理的必要环节，内部控制的动力来 自企业对风险的认识和管理。由两者的定义可以看出，内部控制是为 了实现经济组织的管理目标而提供的一种合理保障，良好的内部控制 可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效 益。而合规经营、真实的财务报告和有效益的经营也正是企业全面风 险管理应该达到的基本状态。(2)全面风险管理涵盖了内部控制。从COSO委员会的全面风 险管理框架和内部控制框架可以看出，全面风险管理除包括内部控制 的3个目标之外，还增加了战略目标;全面风险管理的8个要素除了 包括内部控制的全部5个要素之外，还增加了目标设定、事件识别和 风险对策3个要素。 2、内部控制与全面风险管理也存在一定的差异 (1)两者的范畴不一致。内部控制仅是管理的一项职能，主要 是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯 穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控一 制，更重要的是在事前制订目标时就充分考虑了风险的存在。而且， 在两者所要达到的目标上，(全面风险管理多于内部控制。』? (2)两者的活动不一致。全面风险管理的一系列具体活动并 不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理 目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的 预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险 管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控 制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明 显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目 标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进 行评估。 (3)两者对风险的定义不一致。在COSO委员会的全面风险管 理框架中，把风险明确定义为“对企业的目标产生负面影响的事件发 生的可能性"(将产生正面影响的事件视为机会)’，将风险与机会区分 开来;而在COSO委员会的内部控制框架中，没有区分风险和机会。’ (4)两者对风险的对策不一致。全面风险管理框架引入了风险偏 好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因 此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好 相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信所不能做到的。 4(3(2 COSO内部控制实践的短板和误区 中国电信四川公司从2004年开始，按萨班斯法案要求，全面构 建基于COSO的内部控制制度，至2006年底已经全面完成，并进行评 估、修定阶段，有效对企业执行风险进行了防范。但通过实践和毕马 威会计师事务所的独立评估来看，在与实施全面风险管理以整体防范 企业风险，提升企业价值的要求方面，存在一些短板和误区。 1、正确的做事还是做正确的事。先抛开这是否是批判萨班斯一 奥克斯利法案实施的伪命题，但实践中的情况确实如此。萨班斯一奥 克斯利法案404条款规定的会计师必须对公司的内部控制发表意见， 已经演变成为对凭证和文档的审核了。只要按照公司的规定，在形式 上进行了签阅，并能够提供相应的书面审计证据，就算是404条款审 计的大道了、然而，其中真正的风险，真正的可控和失控，已经被派 出在外了。 2、纸面工作还是风险导向。无容置疑，404条款审计带来最大 的一个变化，除了公司财务人员在审计时战战兢兢外，更大的不同点 就是本来不需要打印成文稿的现在必须要打印了。在每一张文件上盖 上文件机密红印，并让相应的人员签上已阅字样后，这些文档背后确 切的含义反而变得不怎么重要了，而企业运作真正的财务风险和业务 风险，却被很大程度的忽略了。 3、独立会计师对公司经营风险的把握和胜任能力。内部控制不 同于一般的财务报表审计，内部控制体系更多地反映了公司对风险防 范、识别、控制和管理地能力。目不转睛的注视三张财务报表，而不 从公司具体的盈利模式、供应链和价值链着手，是无法对公司的内部 控$,jSwj度作出合理评价的。然而，目前的404条审计，已经几乎全部 放弃了经营风险的衡量，这不仅让公司质疑会计师事务所对内控制度 的解读能力。朝向以风险为导向的模式转变，就真正为企业带来有用的价值。 4(3(3全面风险管理与内部控制的融合对策 COSO风险管理框架，在“事项识别、风险评估、风险反应"要 素基础上提出“控制活动"要素，并指出控制活动是帮助保证风险反 应方案得到正确执行的相关政策和程序。 中国电信四川公司在建立内部控制防范内控风险的基础上，在 《关于推进中国电信全面风险管理工作的指导意见》中指出，公司层 面要建立全面风险管理相关制度，执行风险管理基本流程，通过信息 沟通和协作建立更有效地贯穿于各个子系统之间的风险管理平台;部 门层面明确内部及相互之间的职责和评估体系;员工层面要提高个人 对全面风险管理的认识;落实个人在全面风险管理中的责任;执行公 司风险管理制度及流程;对具体风险进行监控和度量:运用各种风险 管理工具和风险管理方法对风险进行管理;向直线经理和风险管理部 门汇报风险管理状况;报告层面要统一风险管理的方法、工具及报告。 因此，在事项识别、风险评估、风险反应、控制活动以及信息 和沟通方面，公司内部控制与风险管理走向融合，是一个必然的趋势， 融合是一种彼此的尊重，它可以让两个原本独立的系统在同一理念的 支配下形成一个大系统;融合是一种力量的凝聚，它可以实现1+1>2 的效果;融合是一种思维的创新，它可以创造一个和谐共赢的内外部 环境。 1、公司开展内控建设取得的董事会、监事会、管理层的充分重 视，有效的项目小组结构、适当的人力资源配置、明确的工作计划、 统一的工作方法、充分有效的培训等工作推进方式，风险管理理论及 规定、风险评估标准方法、内部控制的思路和设计、信息系统控制措 施等足够的知识和技能，都可以为下一步开展全面风险管理所借鉴， 促进内部控制与全面风险管理的融合。即通过借鉴实现融合。 2、充分利用内控工作成果，针对差异进行调整和补充(见图4—3)。理的需要，有针对性的 利用风险管理在风险识别、风险分析等方面的 组合管理理念与手段，通过对内部控制目标的调整，补充战略管理、 合规性、经营性等目标，建立风险管理的相关配套制度:风险判断标 准、组织架构调整、风险评估体系等，向COSO内部控制框架发展， 逐步过渡到企业全面风险管理，并开展全面风险管理工作，弥补企业 在内部控制为主要框架控制风险的短板和误区。即通过补充和调整实 现融合。 3、打破公司风险与控制水平之间的平衡，不能把现代企业的风 险管理和控制仅仅当成是一项纯粹的企业经营活动，而是一项包括了 企业咨询专家、企业决策者、中层管理层以及企业员工在内部的综合 管理系统工程，需要各方面力量的协调和配合才能实现。即通过更广 层面和范围的协作实现融合。 及治理过程的效果，帮助组织实现其目标。”18 在这个定义中，内部审计包括两种活动一一保证活动和咨询活 动。IIA实务标准将保证活动定义为客观地坚持证据以提供一个对风 险管理、控制或公司治理程序的独立的评估。 咨询活动是指作为顾问的活动和相关的客户服务活动，其性质和 工作范围由审计师和客户协商确定，其目的在于增值和改善组织地运 营。咨询活动包括指导内部控制培训，就新系统的内部控制给管理层 提出建议，起草政策，参加质量管理团队。 l、内部审计两大基本职能的比较 保证活动和咨询活动是两种不同地活动，两者之间有很大的区 别。 保证活动中有审计师活动、管理层和第三方活动，管理层是被审 计人。内部审计师通过审查活动管理层的活动，出具报告，这个报告 是提交给第三方的。在这里第三方是指没有包括在审计契约中的公司 利益相关者群体。审计师的工作并不是为自己的目的而工作，也不是 为了运营层工作，他们实际上是向第三方负责，第三方包括管理层和 董事会，即公司治理层，如果在上市公司中还涉及投资者和债权人、 员工、供货商等的利益相关者，审计师在做审计计划时必须考虑到所 有利益相关者的利益。由于第三方是信息不对称中的信息弱势方，他 们依赖于审计给予公司内部信息可靠的保证，所以审计师在审计中必 须考虑到第三方的利益。于是在保证活动中独立性和客观性就非常重 要，审计与保证标准是保护第三方利益的基本机制。 咨询活动牵涉到两方，一方是审计师，另一方是管理层;管理层 作为客户或消费者接受内部审计师的咨询服务，咨询活动的增值由管 理活动的价值来体现，审计师的工作由其与管理层的协商而定，审计 活到和报告不会涉及第三方利益相关者。 因此，保证活动和咨询活动主要的区别在于有没有第三方的利益 要求保护。有第三方的利益要求保护的保证活动的独立性强。于是，内部审计有两个极端客 户，一端是审计委员会，即公司的治理机构， 主要是关注公司的保证层面，如对法律法规的遵守情况及数据的可靠 性;另一端是管理层，他们关注的是如何改善公司的运营效果，他们 希望通过审计师的建议能使他们把事情做的更好。 2、风险管理审计是内部审计基本职能的扩展和延伸 上述内部审计职能定义，将内部审计的范围延伸到风险管理和公 司治理，认为内部审计是针对风险管理、控制及公司治理的有效性进 行评价和改善所必需的。风险管理已发展成为内部审计的一项重要内 容。事实上，根据2003年IIA全球审计信息网络调查结果表明，认 为未来的审计重点是风险管理系统审计的占63(9,。 可见，内部审计是风险管理的一种方法、一种手段，而风险管理 是内部审计的一项新的内容、一个新的领域。从发展趋势来看，内部 审计不仅越来越关注风险，同时，也是风险管理的重要组成部分。内 部审计更强调确认经营风险是否得到有效管理，由对交易事项和政策 的遵循的评价，转变为对目标、战略和风险管理程序的关注;内部审 计的建议更加强调风险的规避、风险转移和风险控制，通过有效的风 险管理提高组织整体管理的效果和效率。 因此，对于现代企业来说，风险无处不在。内部审计的责任就是 找出组织的主要风险。内部审计介入风险管理的主要原因:(1)内部 审计机构有独特的位置;(2)内部审计师更了解组织的高风险领域(包 括不当、无为及无效风险管理的风险);(3)内部审计师对于组织目 标的实现有更强的责任感。IIA将“评价和改进风险管理、控制和治 理过程的效果”作为内部审计师的重要职责，视风险管理为内部审计 的推动力，是国际内部审计几十年苦苦探索的经验总结，更为内部审 计未来发展指明了方向。 4(4(2全面风险管理与内部审计的融合对策 上述内部控制与风险管理走向融合的必然趋势，不仅是内部控制以增值为目的现代管理审计 转型，使内部审计工作更加符合成本效益 原则，更能够满足企业治理与管理的需要，更能体现内部审计的重要 价值，实现内部审计价值的最大化。19 COSO风险管理框架在其“监控’’要素中指出，对企业风险管理 的监控是指评估风险管理要素的内容和运行以及一段时期的执行质 量的一个过程;并同时指出内部审计师执行评估是内部审计师常规性 职责的一部分，并在评价企业风险管理有效性并提出改进建议方面起 着关键性的作用。 中国电信四川公司认识到，“审计部门要紧紧围绕当前影响企业 价值提升和风险管控的关键环节，进一步突出重点，加大审计监督力 度，促进企业进一步增强风险防范能力和竞争能力，提升企业价值"。 20《中国电信股份有限公司内部审计工作规定》内部审计要对公司内 部控制系统的健全性、合理性和有效性进行检查、评价和意见反馈， 对公司有关业务的经营风险进行评估和意见反馈;向管理层报告审计 工作中发现的重大违法违纪问题、重大资产损失情况、重大经济案件、 重大经营风险及重大内部控制缺陷等情况。 因此，在满足COSO风险管理框架监控要素方面，公司应大力推 进和实现全面风险管理与内部审计的融合。 1、将内部审计活动融入公司全面风险管理过程- (1)通过深化咨询活动，协助组进行具体的风险管理 公司内部审计在遵循萨班斯法案的影响下，发生了巨大的变化， 由于内部控制的推进和评估，改善了内部审计的所依赖的内外部环 境，公司管理层对内部审计的认识和需求都大为增强，强化对审计工 作的领导，增配审计资源、持续关心审计工作进展情况:。高度关注审 计工作结果，大力促进审计成果的转化，充分利用审计机构第三方视 角的作用，来为经营和管理服务，促进组织目标的实现;同时，公司 业务部门变被动审计为主动要求，就战略实施、经营发展、工程过程 管理、预算编制和执行、财务处理等多方面企业经营管理活动和经济业务事项，主要要求审 计部门进行评价，共同对在经营管理及经营业 务事项中可能面临的风险进行分析和识别，制定措施加以防范。因此， 审计部门进一步通过咨询活动的开展，协助组织进行风险管理，融入 到全面风险管理过程中去。 (2)以风险为导向，开展具体审计工作 风险在公司内部有一定的复杂性和综合性等特征，即一个部门造 成的风险或疏于风险管理所带来的后果往往不是尤其直接承担，而是 传递到其他部门，最终可能使整个企业陷于困境。因此，有些部门可 能会出现过渡到的风险。如采购部门为降低采购成本，就会忽视对材 料品质、使用效果等方面的检查，或者有意购买残次品。这种隐藏的 风险最终会在产品生产或在消费过程中反映出来，最终给企业造成巨 大损失，因此，对风险的防范、控制需要从整个系统进行综合考虑。 但各部门受专业的局限较难做到，而内部审计部门不从事具体业务活 动，可以从全局出发，从客观的角度对风险进行识别，及时预警管理 部门采取措施规避风险。 因此，公司内部审计部门运用全面风险管理的思维和方法，以风 险为导向，通过对来自全面风险管理过程的信息，在对可能影响公司 的风险进行评估的基础上，制定内部审计部门的审计计划，包括对公 司战略层面的风险评估和具体业务的风险评估。然后在评估风险优先 次序的基础上，’安排审计工作，并在开展审计业务时，用于检查、验 证风险的技术与方法，能够反映风险的重大性和发生的可能性。因此， 审计部门通过以风向为导向的保证活动的开展，融入到公司的全面风 险管理过程中去。 2、对公司全面风险管理体系建立、运行的适当有效进行评价 在新的内部审计范式下，内部审计将参与到公司治理与风险管理 中，帮助组织发现并评价重要的风险因素，促进组织改善风险管理体 系;评价并改进组织的治理程序，为组织的治理做贡献;同时继续原 有的对控制效率和效果的评价作用，帮助组织保持有效的控制。此时握与驾驭。 (1)从控制活动层面完善对内部控制的评估工作 从公司内部控制建设伊始，公司内部审计部门就介入到内部控制 的建设性去，提供制度建设的建议和支撑。从公司内部控制制度试运 行开始，公司审计部门通过检查、评估的方式，进一步优化了内控建 设、促进了内控制度的执行力。从当前公司的实际情况来看，目前存 在内部控制建设和执行在控制的效率效果、风险容忍度、控制成本尚 没有取得一个有效的平衡，过分强调各个业务流程的执行力;同时， 从内部控制的评估上看，也主要强调对执行缺陷的重点关注，而在区 分公司战略风险及重大业务风险，予以重点评估，将企业风险控制在 (可接受的水平之内，还比较僵化。 因此，公司坚持成功经验的基础上，突出重点，狠抓实效，努力 优化，提高效率，推动内控评估与日常管理工作的有效结合。:要围绕 主要风险，开展灵活多样的内部控制评估，评估过程要避免过多机械 地对照内控手册或实施细则做程序性的检查，要将内控手册和实施细 则与企业的各项规章制度结合起来，从风险是否得到有效管控出发开 展内控评估，确保评估工作抓住问题的实质。随着企业经营活动的不 断发展，内控流程也将不断更新和完善，内控评估的工作重点应当放 到解决突出的内控问题上来，关注内控设计是否能够适应企业经营活 动的发展变化，促进内控流程的不断改进、及时固化和有效执行，推 进各项内控流程真正落实到每一位员工的日常工作之中，防止重要风 险环节出现控制缺失和管理漏洞。 (2)从管理活动层面对全面风险管理体系进行定期评价 公司内部审计人员在评价企业全面风险管理体系的有效性，并提 出改进建议方面起到关键作用，包括全面风险管理和控制系统。公司 审计部门应通过系统化、规范化的方法来对公司全面风险管理体系的 恰当性和有效性进行检查、评价、报告和提出改进建议，协助公司董 事会、风险管理委员会更好的进行风险管理。 响企业发展的风险;检查公司的经营战略。 ?了解公司能够接受的风险水平;与相关管理层讨论部门的目 标、存在的风险以及对降低风险和加强控制的活动评价即有效性;评 价风险监控报告制度是否恰当:评价风险管理结果的充分性和及时 性;评价管理层对风险的分析是否全面，为防止风险而采取的措施是 否完善、建议是否有效;对管理层的自我评估进行实地考察、直接测 试。 ?检查自我评估所收集的信息是否准确，以及审计技术的应用; 评估与风险管理有关的薄弱环节，并与管理层、董事会、审计委员会 讨论，提出意见并监督实施。 ?对风险管理过程的充分性和有效性进行检查、评价和报告，提 出改进意见(包括评价相关部门评估风险识别的充分性、衡量已有风 险的准确性、风险防范措施的恰当性)，为管理层或审计委员会提供 帮助。 4(5构建全面风险管理的组织架构 4(5(1公司当前风险管理组织构架存在的不足 我国台湾地区学者朱明哲在《现代风险管理》一书中援引有关文 献指出，在公司组织架构中设立独立的风险管理部门，由专职的风险 管理专业人员负责风险管理业务大约可以节省10,成本。21然而，目 前中国电信四川公司将全面风险管理职能设置在企业战略部，将风险 管理业务分散在企业的各部门之中(见图表4-4)。在这样的组织结 构模式下，存在以下弊端: l、企业战略部f-JR是将风险管理职能作为本部门的一项次要工 程进行布置和安排 2、负责全面风险管理的人员主要是兼职，没有将工作的重心转 到风险管理上来。3、相关的人员缺乏全面风险管理所需的相关专业背景和经验。 4、虽成立相应的风险管理工作团队，但工作效率成效不明显。 4(5(2构建全面风险管理体系的组织架构对策 COSO风险管理框架“内部环境”要素中指出，一个主体的组织 结构提供了计划、执行、控制和监控其活动的框架;相关的组织结构 包括确定权力与责任的关键界区，以及确定家当的报告途径，是构成 其他风险要素的基础之一。 在中国电信四川I公司的《内部控制手册》指出，公司能够掌握影 响公司变化的各方面情况的变化，并分析其对现有组织机构适当性的 影响，又企业发展部负责，遵循一些既定的原则，包括组织配置支撑 业务发展、快速响应市场、精简高效、权责利统一、决策信息流畅通 等基本原则，及时提出组织结构变化方案，报请管理层后进行调整。 同时，公司管理层也大力推进在转型时期，“必须西调推进组织变革、 体制创新，打破束缚生产力发展的清规戒律，建立适应业务转型的组 织机构、管理模式和生产组织方式。”8 为此，中国电信四川I公司应进一步修正、并建立完善全面风险管 理组织架构，在明确组织架构中相关部门在全面风险管理体系的职责 和相互关系。 1、 成立独立的风险管理部门，与其他部门平行，负责整个企业的风险管理工作(见图表4-5)。 风险管理部直接向风险管理委员会和首席风险官负责和汇报工 作，主要职责是: (1)为企业风险管理提供全方位领导，提出远景，确定方向; (2)为企业内部建立一个全方位的风险管理框架; (3)确定风险管理政策，通过具体的风险管理限度，判定管理 层的风险承受能力; (4)运用一套风险指数，报告亏损、事故、重大风险程度和预 警指数; (5)根据商务风险的种类来分配资金，通过风险转移来转移策 略，最大限度地降低公司地风险; (6)向主要权益人(董事会、监管者、股票分析师、评级机构、 商业伙伴)传达公司的风险状况;? (7)开发分析系统和数据管理系统，以支持风险管理计划。实 施进展相当缓慢;涉及企业的方方面面的风险管理，需要企业各专业部门的通力协作和 有效沟通才能实现全面风险管理的战略目标，中国电信四川公司在 2004年开始推进内控建设时，通过组建内控工作团队取得了很好的 成效，因此，在构建全面风险管理管理体系时，也应当构建全面风险 管理工作团队，作为一个组织纽带，将整体风险管理策略传递到相关 部门予以实施具体的风险管理工作。 同时，全面风险管理管理团队成员应该是内控工作团队成员或者 各职能部门的流程主推人、内控管理员，将内控工作团队过渡到全面 风险管理团队，会具有经验、协作、沟通和专业的优势。