风险管理体系论文范文

前言：我们精心挑选了数篇优质风险管理体系论文文章，供您阅读参考。期待这些文章能为您带来启发，助您在写作的道路上更上一层楼。

第1篇

关键词：内部审计;风险管理

每个组织的存在都有其目标，在实现目标的过程中，存在着影响目标实现的不确定性因素。企业管理层的一项重要职责就是要建立一个良好的风险管理体系，来识别、评价和控制风险，为企业目标的实现提供合理的保证。内部审计在风险管理中的作用就是监控、检查、评估、报告管理层风险管理过程的充分性和有效性，提出改进意见，帮助企业改进风险管理与控制体系，从而为企业增加价值。

1企业风险管理体系简介

企业风险管理（EnterpriseRiskManagement，简写为ERM）的实质是企业有效利用各种资源，以战略的方式管理风险，使企业在多变的环境下以稳健的方式运作，从而获得增加价值的机会。在全球竞争激烈的市场中，任何企业都处于动荡多变的环境之中。企业面临的风险越来越多，风险引发的损失规模也越来越大，这些都促使企业对风险管理给予高度的关注。要对风险管理过程的充分性和有效性进行评价，首先要对风险管理体系有一个初步的了解。根据美国COSO委员会《企业风险管理框架》的要求，建立风险管理体系包括相互关联的八个风险管理要素，各要素贯穿在企业管理过程中，为实现企业目标提供保证。

（1）内控环境。主要是在企业中树立风险管理理念，营造一种风险管理文化，包括建立企业的风险文化，制定明晰的战略、目标，明确企业的风险责任人和利益相关者，使用统一的风险语言，为其他风险管理要素打下基础。

（2）目标制定。管理者必须首先确定企业的目标，才能够确定对目标的实现有潜在影响的事项。根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略并确定其他与之相关的目标并在企业内层层分解和落实。

（3）事项识别。下列事情可能给组织带来风险：因使用不正确、不及时、不完整、不可靠的资料而导致决策错误；记录有错误、会计核算资料不真实、不完整；资产保护不当；顾客不满意，组织信誉受损；执行组织决策、计划、程序不力，或有违法违规行为；不经济地获取或无效地利用资源；没有完成组织的任务和目标。需要企业的管理者对其进行识别、评估和反应。

（4）风险评估。评估风险是ERM执行中关键的步骤之一。在评估风险的过程中要注意选择合适的评估技术，评估风险事件发生的可能性和频繁度，风险事件的潜在影响及其成本的高低，最后绘制一张风险地图。评估风险事件的方法有很多，如定量方法、定性方法，企业可以根据自身的具体情况来制定自己的评估方法。

（5）风险反应。风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。对于每一个重要的风险，企

业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都在风险容忍度之内的风险反应方案。

（6）控制活动。控制措施就是在接受风险的情况下，评估因接受风险所带来的额外费用和保险费用，评估因控制带来的管理成本和回报。在降低风险的情况下，明确所需的控制活动，评估这些控制活动所带来的成本费用。控制活动还包括评估目前组织、程序、系统和反馈系统管理风险的能力。最后通过控制行为，调险地图。风险发生的可能性和频率是很难改变的，最有效的就是通过对风险管理成本的控制，将风险尽量降低到企业可承受范围以内。

（7）信息和沟通。信息系统应当有效地追踪企业当前正在发生的事件以及已经避免的事件。同时企业还要保证有及时的关于企业各个层面的ERM报告。在风险活动中发生的成本费用和控制活动。其次要沟通ERM的有效性和成本费用。保证在企业中有定期的ERM报告，尤其是包括员工的责任义务完成状况以及对ERM的检查情况，CRO和其他重要的执行官要对ERM的有效性和成本加以测量和存档，同时明确向董事会和执行官报告的责任和途径。

（8）监控。对企业风险管理的监控是指评估风险管理要素的内容和运行以及执行质量的一个过程。企业可以通过持续监控和个别评估两种方式，来保证企业的风险管理在企业内务管理层面和各部门持续得到执行。风险不是静态的，风险的数量和可能性会随内外部环境的变化而变化，持续的监控对有效地管理风险是最基本的。通过持续的监控可以使企业明确在下一步的风险管理中应当改进的问题。通过这个环节可以明确ERM可以给企业带来的利益与价值，了解风险评估的正确性，为下一次的评估提供经验教训，明确风险回应决策的有效性，同时还有助于控制成本费用。

从以上八个风险管理要素可以看出，企业风险管理是一个过程。是一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。转贴

2内部审计在风险管理中的作用

根据《内部审计实务标准》对内部审计的定义：内部审计是一种独立、客观的保证与咨询活动，目的是为机构增加价值并提高机构的运作效率。它采用系统化规范化的方法来对风险管理、控制及治理程序进行评估和改善，从而帮助机构实现其目标。所以在风险管理中，内部审计可以发挥以下作用：

(1)内部审计人员熟悉公司业务并能够随时深入到生产经营的全过程去了解掌握具体情况，收集大量的第一手资料，从中发现存在风险的隐患问题，进行风险分析，提请管理层注意风险管理和控制等的相关建议。

(2)内部审计通过咨询服务方式积极协助公司进行风险管理过程的建立。风险管理是一个复杂的系统工程，在一个组织内部应当明确职责分工，各司其职。董事会负责制定战略目标，高层领导各负责一个方面的风险管理责任，其他管理人员由管理层分配一部分工作，操作人员负责日常监控，而内部审计人员则负责定期评价和保证工作。内部审计师可以促进、协助风险管理过程的建立，但不负风险管理的责任。

(3)内部审计通过将风险管理评价作为审计工作的重点，以检查、评价风险管理过程的充分性和有效性。内部审计主要从两个方面评估风险管理过程的充分性和有效性。

①评价风险管理主要目标的完成情况。主要表现在评价公司以及同行业的发展情况和趋势，确定是否可能存在影响企业发展的风险；检查公司的经营战略，了解公司能够接受的风险水平；与相关管理层讨论部门的目标、存在的风险，以及管理层采取的降低风险和加强控制的活动，并评价其有效性；评价风险监控报告制度是否恰当；评价风险管理结果报告的充分性和及时性；评价管理层对风险的分析是否全面，为防止风险而采取的措施是否完善，建议是否有效；对管理层的自我评估进行实地观察、直接测试，检查自我评估所依据的信息是否准确，以及其他审计技术；评估与风险管理有关的管理薄弱环节，并与管理层、董事会、审计委员会讨论。如果他们接受的风险水平与公司风险管理战略不一致，应进行报告。

②评价管理层选择的风险管理方式的适当性。由于各个公司的文化氛围、管理理念和工作目标不同，风险管理的实施也有很大差别。每个公司应根据自身活动来设计风险管理过程。一般说来，规模大的、在市场筹资的公司必须用正式的定量风险管理方法；规模小的、业务不太复杂的，则可以设置非正式的风险管理委员会定期开展评价活动。内部审计人员的职责是评价公司风险管理方式与公司活动的性质是否适当。

(4)内部审计应积极持续地支持并参与风险管理过程，对风险管理过程进行管理和协调。在现代企业制度下，公司全面建立了风险管理过程，内部审计因此能够担负起风险管理的职能。首先，内部审计从评价各部门的内部控制制度入手，在生产、采购、销售、财务会计、人力资源管理等各个领域查找管理漏洞，识别并防范风险，做出相关评价。其次，内部审计可以深入到企业管理的极细微的环节上查找问题，分析其合理性。内部审计人员更多的是以风险发生可能性大小为依据，深入到经营管理的各个过程，查找并防范风险。再次，内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险，而且各管理部门还有共同承担的综合风险，内部审计人员作为独立的第三方，可协调各部门共同管理企业，以防范宏观决策带来的风险。

3将企业风险管理融入内部审计程序

在风险管理中，内部审计部门主要是对风险管理部门和其他相关部门所进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致，使这两项工作产生协同增效的作用。

(1)在编制审计计划时，应该在对可能影响机构的风险进行评估的基础上，制定内部审计部门的审计计划，确定审计项目。

(2)确定审计范围时，要考虑并反映整个公司的战略性计划目标，并每年对审计范围进行一次评估，以反映机构的最新战略和方针。

(3)编制审计方案时，通过风险因素分析来确定审计业务工作重点；在审计实施过程中，通过评价内部控制制度，查找其中的疏漏和薄弱环节；在更新审计范围与计划的内容时，要反映管理层的方针、目标、工作重心出现的变化。在选择检测、证实风险的技术与方法时，应该能够反映出风险的重大性与发生的可能性。

(4)在编制审计报告时，应对风险管理状况进行评价，指出风险管理中存在的漏洞和不足之处，提出加强管理的建议。

第2篇

■中国银行业风险管理体系失效，亟待反思风险管理的方法、目标及体系构建

■实施内部评级体系离不开完善共享数据库等基础设施

■任何脱离现实的硬性与国际风险管理惯例接轨的做法都只能形成障碍。

在现代商业银行经营管理中，风险管理处于核心地位，风险管理能力实际上构成了银行核心竞争力的主要基础。衡量一家银行的关键主要是看其能不能驾驭风险，能承受多大程度的风险，如何通过所具有的组织框架来认定、判断、识别和管理风险。

从目前的实际情况看，中国银行业的风险管理体系基本属于失效的风险管理体系，不论是解决目前的风险还是应对未来风险环境的挑战，商业银行风险管理体系都存在严重的先天不足，特别在以下4方面面临着现实抉择。

风险管理方法：艺术还是科学？

银行的风险管理在目前仍然被认为只是一门艺术，而尚未发展成一门真正的科学。这是由目前通行的风险管理技术本身所决定的。然而，巴赛尔银行监管委员会所倡导的内部评级法是一种依据过去而预测未来的基于统计的方法，而由于管理环境和经济基础条件的持续性变化，以过去的数据为基础并不能对未来进行准确的判断，甚至还可能造成误判。

代表了目前国际银行业较为先进风险管理水平的内部评级法，旨在通过风险敏感度更高的监管资本要求来影响银行的行为，促使银行强化风险管理能力，从而增强整个银行体系的安全性与稳定性。在设计内部评级法的过程中，巴赛尔委员会借鉴了国际银行业近年来开发的多种现代信用风险管理模型的经验，即在对信用风险的处理上采用风险价值的基本思想。具体来讲，就是运用VaR来确定监管资本要求和在资产组合层面上处理信用风险，并在风险权重函数、期限调整因子的确定、风险集中度的调整以及风险要素的估计等方面广泛地运用了这些模型的理念。

内部评级法体现了国际银行业风险管理的发展趋势，具有如下特点：

■从定性分析转向定量分析；

■从计分卡向模型化转化，并寻求二者的有机结合；

■从单项贷款分析转向组合分析；

■从盯住账面价值转向盯住市场价值；

■描述风险的变量从离散型转向连续型；

■尝试考虑宏观周期对信用风险的影响；

■广泛汲取相关领域的最新研究成果，如保险精算理论、神经网络理论等，并结合运用计算机大容量处理技术。

国际银行业开始大量开发、使用并依赖于各种风险模型以识别、衡量并管理风险及进行决策始自于上个世纪70年代，经过30多年的发展，风险模型已经广泛应用于企业风险管理、经济资本与监管资本配置、银行系统信用风险、信托资产管理及内部获利能力等方面的衡量，并且发挥了一定的作用。但现有的模型也显示出了一些缺陷和不足之处。

特别要指出的是，风险管理模型本身并未将金融业变成一个更安全的世界，甚至可能带来模型风险。

任何分析工具都是人类智慧的产物，它们都试图通过有限变量的模型来描绘真实世界。但一个模型可能会抓住它所描绘的真实世界的大部分特征，但也可能同时会忽略掉一些重要的内容，而且模型还可能会逐渐改变市场行为，从而使模型本身失去作用。

国内外的研究表明，在模型应用的实践中，当银行的经营者使用模型不当、或依据了错误的数据估计或夸大了模型解释能力时，有可能会导致银行信誉与获利能力水平严重恶化，这种现象被学界和业界称为模型风险。

这一现象包含了两方面含义：一方面，就现有的模型能力和现实世界的复杂性来看，由于真实世界要远远复杂于任何我们能够创建的用以描述它的数学模型，因此我们有可能采用不恰当的模型来描述真实世界的风险。另一方面，即使我们选择了正确的模型，但由于数据过时、出现偏差和错误，实际业务也可能与模型的前提假设相互脱离从而造成银行操作中的模型风险。巴赛尔银行监管委员会成立的模型工作组对10国集团国家商业银行内部评级体系现状的调查表明，国际银行业主要有三类评级过程：基于统计方法的评级过程；部分基于专家判断的评级过程；完全基于专家判断的评级过程。

只考虑各种定量技术（如信用评分模型）的内部评级体系和完全基于贷款和信用人员的个人经验以及专业技能的内部评级体系，这只是两种极端的做法。

大多数国际先进银行根据多年的风险管理实践得出了如下结论：即使在根据模型进行等级评定的系统中，个人的经验也起着非常重要的作用，例如信用评估人员或贷款评估人员就可能会根据个人经验来模型所评定的等级。此外，在开发、实施这些模型以及构建模型的输入参数等方面，个人的专业技能也是一个重要的前提条件。

在所考察的银行中，绝大多数银行都表示，在内部评级体系中使用了大量的主观判断因素，其中对这些因素的相对重要性并没有正式的约束。半数以上的银行是利用专家对大型公司进行内部评级，而在所有基于无约束专家判断的内部评级过程中，评级人员在进行等级评定时，都可以使得最终等级明显偏离于统计模型所给出的结果。

总之，在风险管理模型尚未完备之前，具有丰富管理经验的风险专家仍将发挥不可替代的作用，银行风险管理在较长的时期内还会属于管理艺术的范畴。

风险管理目标：效益还是风险？

效益与风险是一对对立统一的矛盾体，现代银行的本质是通过管理风险来取得收益。但从国内商业银行近年的管理实践来看，存在着通过缩小信贷规模来降低风险的趋势，甚至在某种意义上引发了困扰国有商业银行的流动性陷阱问题。2002~2005年我国银行业贷款复合增速率达到12.6%，其中增速最快的是股份制商业银行和城市商业银行，分别达到27.2%和21.6%，国有商业银行在此期间的增长速度却仅有8.3%。

风险作为一个永恒的主题，时时存在于银行的各个层面，随着国内存款比例的不断上升，银行风险主要表现为流动性过多带给商业银行的困境。自2000年以来，国内商业银行由流动性不足转为流动性过多，特别是2005年以来，金融机构流动性相对过多的问题越来越突出。截至2005年9月，中国银行业存差资金9万亿元，是2000年的3.7倍。

流动性相对过剩，将导致银行业过度竞争，盲目追逐大户，非理性降低贷款条件和下浮贷款利率，从而放大信用风险和利率风险。将过高的流动性投向资金和货币市场，也将导致货币市场主要投资工具利率持续走低甚至与存款利率倒挂。由于流动性过剩涉及到金融市场很多方面的问题，故影响性及牵动性极大。社会资金过多涌入银行，将使银行业金融资产被动性膨胀，收益率持续下降，使得中国的银行业面临前所未有的流动性风险。

商业银行还通过另外一种方式来规避风险在短期内的凸现，那就是从结构上加大中长期贷款的比重。2004~2005年底，中国银行业短期贷款比重由42.16%降到43.64%，下降了5个百分点，而中长期贷款的比重则由42.96%上升到44.93%，上升了2个百分点，且逐季上升。在银行分类中，国有银行的中长期贷款比重较高，为56.6%，超过53.9%的定期存款比例；尽管股份制银行的中长期贷款比重略低，为46.2%，且低于定期存款47.33%比例，但出于避险等目的，股份制银行也在逐季不断提高中长期贷款的比重。

按照新资本协议中的要求，商业银行必须广泛树立全面风险管理的理念，任何业务部门和人员都要树立风险观念，都有责任控制本部门和本岗位的风险，并为推行全面风险管理的流程、组织、机制和体制奠定基础。同时必须认识到，加强风险管理与提升经营业绩是相得益彰，加强风险管理会降低不良贷款率和风险成本，能按季收到足够多的贷款利息，从而提高创利水平和经营业绩。讲拓展必须要权衡数量质量、成本收入、风险效益、投入产出的关系。在注重业务发展的同时，必须将风险管理的理念贯穿到业务操作的各个环节，既要有效益观念，也要有风险观念、成本观念。

风险管理体系：引进还是自建？

中国银行业风险管理体系刚刚进入打分卡阶段，多数中小银行的发展程度更低，有的还停留在分析模版阶段。与发达国家先进银行相比，中国银行业的差距不仅仅是资本充足率低、风险评级处于初级阶段等方面，还有更多方面，既有体制上的差距，更有机制、观念、文化、技术、理论、工具、模式、管理上的差距。

就内部评级体系来说，它不仅仅是一个分析模型和计算机系统问题，它涉及客户评价、项目评价、资产五级分类、资产组合分析和信贷政策等多方面内容。而中国银行业目前还只是从信誉、履约记录上粗略地考察客户，而不是以风险为核心进行深入分析。信用风险管理部门、审批部门等后台部门对客户风险评级具有的权限，以及如何应用评级结果进行决策和管理，目前仍不是十分明确。项目评价、债项评级、市场风险分析等功能，更是散落在多个部门手中，并未形成统一的模式和完整的体系。数据基础是内部评级体系能否成功运行的保证，包括数据完整性、数据质量和管理信息系统（MIS）等三个方面。中国商业银行开展内部评级的时间不长，数据储备严重不足，且数据缺乏规范性、数据质量不高。首先，许多客户的财务数据可能不真实或不够准确；其次，评级基于客户过去的财务指标，缺乏对现金流量的分析和预测，使评级结果不能反映客户未来的偿债能力；第三，指标的权重设置主要依据经验或专家判断，主观因素影响较大，降低了评级结果的准确性；第四，评级过于依赖企业自身的财务数据，对宏观经济周期、行业和地区风险的分析不足，指标设置缺乏预警功能，导致评级结果对风险的敏感度不高，难以及时反映客户信用状况的变化。同时，缺乏统一的数据仓库和现代化的管理信息系统及其相应的数据接口，无法满足包括风险评级在内的各种管理工具的数据需要。

巴赛尔新资本协议规定，采用内部评级法初级法的银行至少需要5年的数据来估计违约率（PD），而采用内部评级法高级法的银行至少需要7年的数据来估计违约损失率（LGD）。由于中国建立内部评级体系的时间尚短，目前最缺的就是数据积累，特别是缺乏一个完整的经济周期的数据，难以进行合理的压力测试以及对评级结果的返回检验，这几乎是所有银行面临的最大困难。

针对这种现状，国内商业银行的内部评级体系构建究竟应该选择什么样的路径呢？完全照搬国外的管理模型存在着模型风险等水土不服的问题；全依靠自己又缺乏相应的人力资源基础和足够的数据；将项目采取外包的方式即不符合中国的国情，也存在数据的安全性等问题，况且国内尚不具备能为商业银行提供这一服务能力的外部机构。不论以何种方式外包，其结果还将是由国外的机构来完成最终的工作。

从国内商业银行实践看，工商银行的内部评级法构建似乎走出了一条相对成功之路：那就是依靠外部机构根据国际经验提供需求，同时工行内部人员参与评级体系构建全过程，以达到培养自有人才之目的。最后再由工行的相应技术部门完成评级体系的设计和构建等工作。这一做法既保证了自有人才队伍建设和数据安全，同时也使其体系的设计水平达到了与国际水平的充分对接。

风险管理信息系统：独立还是联合？

风险管理体系是指战略、政策、模式、组织、文化等一整套体系。有效的风险管理体系要适应风险环境，并渗透在商业银行经营活动的各个环节层次。目前国有商业银行风险管理体系基本形成，但是在协同、贯彻以及风险文化建设等方面较为薄弱。

特别需要指出的是，有效风险管理的重要基础是风险管理信息系统。只有具备有效的风险管理信息系统，才能识别、度量和分析风险，制订正确的管理措施并落实风险管理责任。信息系统包括存储客户基本信息、财务信息、经营管理信息、信誉记录、账户交易记录、合同信息的客户数据库，存储宏观经济、产业经济、金融市场等信息的环境信息数据库，存储自身资产品种、数量、质量、分布的数据库，以及建立在规范、完整、及时、准确的数据信息基础上的计量、分析、评估、处置系统。目前，有效的风险管理信息系统已成为国有商业银行实现现代风险管理的最大瓶颈。

新资本协议所倡导的内部评级法是建立在广泛收集、总结各国成熟经验、经过充分讨论后提出的最基本的标准，对评级的主要环节给出了详细的指导，具有相当的先进性、实用性和可操作性。

第3篇

【关键词】内部控制;风险管理;公司治理;战略管理

受美国2002年出台的萨班斯——奥克斯利法案(以下简称SOX法案)的影响，我国所有赴美上市及计划赴美上市的企业必须按照美国监管机构的要求，完善内部控制体系、完成内控评估报告。同时，随着经济全球化的深入，企业遭受产品市场、要素市场和金融市场的价格冲击越来越大，各类风险产生的扩张效应和联动效应越来越严重。因此，内部控制和风险管理成为现代企业重点关注的课题。

本文将在回顾内部控制和风险管理理论发展的基础上，探讨二者之间的关系，并结合宝钢在内控体系建设和风险管理方面的最佳实践，提出整合的风险管理框架设想，以期对我国企业的内控体系和风险管理体系建设提供借鉴。

一、内部控制、风险管理的理论发展及其关系

(一)内部控制理论的发展

20世纪70年代中期的“水门事件”引起了美国立法者和监管团体对内部控制问题的重视。美国国会于1977年通过的《反国外腐败法》是美国在公司内部控制方面的第一个法案。1980年后，美国COSO委员会将“内部控制”定义为“一个组织设计并实施的一个程序，以便为达到该组织的经营目标提供合理保障”。在COSO委员会制定的内部控制框架中，把内部控制活动分成五大组成部分，即:控制环境、风险评估、控制活动、信息与交流和监督评审。

2002年，美国成立的上市公司会计监管委员会(简称PCAOB)明确采用了COSO内控框架作为内控评价的标准体系。许多国家和地区的资本市场也采用了COSO内控框架，有些国家和地区在参照该框架的基础上建立了自己的内控体系。

我国在2005年先后出台了《上交所上市公司内部控制指引》和《深交所上市公司内部控制指引》两个文件。上述两个文件参照了美国SOX法案的要求，在理论体系上和COSO内控框架一脉相承。

(二)风险管理理论的发展

企业风险管理理论发展大致分为三个阶段。第一阶段:以“安全和保险”为特征的风险管理。100多年前航运企业风险管理的主要措施就是通过保险把风险转移给保险公司。第二阶段:以“内部控制和控制纯粹风险”为特征的风险管理。随着工业革命的发展，公司对业务管理和流程方面的内部控制提出了要求。美国1977年的《反国外贿赂法》要求公司管理层加强内部会计控制;1992年的《COSO内部控制综合框架》提出以财务管理为主线的内部控制系统。第三阶段:以“风险管理战略与企业总体发展战略紧密结合”为特征的全面风险管理。风险管理实践表明，仅靠内部控制难以实现企业的最终目标。为此，COSO于2004年9月出台了《COSO企业全面风险管理整合框架》(简称ERM)，提出了由三个维度构成的风险管理整合框架。

我国国务院国资委于2006年《中央企业全面风险管理指引》(以下简称《指引》)，标志着我国中央企业建立全面风险管理体系工作的启动。

(三)内控体系建设与全面风险管理工作的联系和作用

全面风险管理与内部控制既相互联系又存在差异。企业的内部控制体系是企业全面风险管理体系中重要的组成部分之一，而内控体系建设的动力则来自企业对风险的认识和管理。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益，而这正是全面风险管理应该达到的基本状态。此外，内控体系建设与全面风险管理工作的开展之间具有紧密的联动作用，具体体现在以下两个层面:

1.在理论框架层面，完整的内控体系包括依据COSO内控整体框架开展内部控制的评审体系以及内控自我评估体系;而目前国内外较为认可的企业风险管理理论框架是COSO企业风险管理整体框架。这两个框架在理论基础上具有继承性和发展性。

2.在推进工作的步骤层面，从国内大型国有企业集团开展内部控制和风险管理的推进步骤来看，以内控先行、再逐步开展全面风险管理的做法是符合我国国情的。通过内控体系建设，在组织架构的完善、人员经验的积累、内控流程的记录等方面做好准备，可为公司未来开展全面风险管理打下较为完善的基础。

至于差异，从二者的框架结构看，全面风险管理除包括内部控制的三个目标之外，还增加了战略目标;全面风险管理的八个要素除了包括内部控制的全部五个要素之外，还增加了目标设定、事件识别和风险对策三个要素。从二者的实质内容看，内部控制仅是管理的一项职能，而全面风险管理贯穿于管理过程的各个方面。内部控制主要通过防范性的视角去降低企业内部可控的各种风险，侧重于财务和运营;而全面风险管理强调通过前瞻性的视角去积极应对企业内外各种可控和不可控的风险，侧重于战略、市场、法律等领域。

二、宝钢在内控体系建设领域的实践

宝钢股份是宝钢集团的核心子公司。公司从2005年增资扩股后就着重于梳理内部流程，推广管理标准。2007年3月，由公司总经理担任组长的内控评审项目开始启动。

内控项目工作范围包括宝钢股份总部以及下属分子公司，资产规模和销售收入合计占整个宝钢股份合并报表范围的80%以上。评审涉及宝钢股份12大业务流程，梳理了各类大小流程300多个。在对12大流程风险控制点辨识的基础上，逐步建立宝钢股份上市公司内部控制体系，编制公司流程内控手册，形成公司全面的内控改进点报告，建立公司层面基本内控体系。并在前期工作的基础上，开展内控体系的自我评估工作，形成公司内控自我评估报告。

在项目实施过程中，公司组织了多场内控培训会，形成了全员内控的企业文化。同时，公司对发现的内控薄弱点狠抓落实整改，并对各单位的问题汇总报告进行整理;评审项目组还组织各单位把相关流程发现的内控薄弱点和自身的业务进行对比分析，就同类问题开展自查自纠，以形成辐射效应。此外，宝钢股份还将内控评审项目和常规审计工作相结合，在内部审计工作中跟踪检查问题的整改情况。

三、宝钢在风险管理领域的实践

宝钢从2007年开始全力推进全面风险管理体系建设，这既是资本市场的要求，也是宝钢自身发展的需要。宝钢集团有限公司董事会确定的全面风险管理的总体目标是:围绕宝钢的战略目标，在企业管理的各个环节和经营过程中执行风险管理流程，培育良好的风险管理文化，使风险管理机制成为宝钢经营管理各个环节的有机组成部分。公司具体实施情况包括以下几个方面:

(一)以法人治理为基础，建设风险管理的组织体系

完善的法人治理是风险管理重要的内部环境，也是风险管理体系建设的起点和保障，而董事会建设则是法人治理的核心。宝钢作为国资委所属中央企业中首批董事会试点企业，在完善董事会试点的过程中优化董事会成员结构，建立外部董事制度，不断完善董事会运作机制，初步形成了出资人、决策机构、监督机构和经营层之间各负其责、协调运转、有效制衡的治理机制。

同时，宝钢按照国资委《指引》的要求，构建了业务部门、风险管理部门和内部审计机构三道防线。第一道防线建设:总部各职能部门和各子公司作为风险管理的第一道防线，是所管业务风险的责任者，公司明确了其各自相应的职责。第二道防线建设:总部层面成立由分管副总经理担任组长的“全面风险管理体系建设领导小组”，由系统运行改善部作为风险管理的综合管理部门，对全面风险管理的日常工作进行协调和推进。第三道防线建设:审计部负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性作出评价，及时发现流程中存在的问题，提出内控完善的建议。

(二)与管控模式相结合，制定风险管理策略和流程

宝钢采取的是“战略控制型”的管控模式，即总部通过对策略性、全局性业务进行管控来确保战略意图的实现，对于具体执行性业务则授权给各子公司来执行，以确保整体运作效率和响应速度。

因此，宝钢的风险管理体系分集团公司和各子公司两个层面推进。集团公司以兼并重组、子公司管控和辅业改制等重大决策、重要业务和流程的风险管理为重点，通过推进风险管理文化建设、推动内控系统优化，确定重大风险的应对策略、完善重大风险预警和报告机制、强化风险管理的检查监督机制等措施，建立并不断完善风险管理体系。各子公司则结合自身产业特征，从防范运营风险的角度出发，重点推进四项工作:1.建立风险管理的组织体系和工作机制;2.对重大风险进行识别和评估，形成重大风险清单，确定风险管理的重点领域;3.针对重大风险涉及的重要业务流程和重大事件，评估、完善内控体系，并落实为工作规范，制定管理制度，形成内控手册;4.针对可能发生重大突发事件的业务领域，建立预警机制，制定应急预案。

(三)建立了财务预警指标体系，使得财务风险以及可能造成的损失可以通过财务指标的计算和分析得到量化和预警在应急预案方面，在总部和子公司层面编制了一系列应急预案，提高宝钢处置突发事件、保障公共安全的能力，最大程度地预防和减少突发事件及其造成的损害。

四、整合的风险管理框架设想

通过长期的工作实践和思考分析，笔者认为:企业的风险管理工作需要和企业管理的多方面相结合，构建整合的企业风险管理系统。这不仅要考虑和内控体系的融合，还必须与企业公司治理、战略管理等系统相整合。企业风险管理整合系统:

(一)风险管理系统应与公司治理系统进行整合

风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(IIA)指出，企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者的利益而对管理层提供指导、授权和监督的过程。整合风险管理与公司治理就是在公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中，高管和风险主管应当直接承担风险管理的责任，董事会则应积极参与增值型的风险管理活动，如在风险管理的过程中对管理层进行指导、授权和监督等活动。:

(二)风险管理系统应与公司战略管理系统相整合

风险管理功能与公司战略管理功能相耦合，主要体现在图2所示的战略管理全过程中:

将战略管理系统与风险管理系统相整合，有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界，并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。公司实施不同的战略，会引起不同的风险，也应采取不同的风险应对措施。因此，不同的战略模式将会导致在不同的领域配置风险管理的资源。

企业战略管理的最终目标是为了实现企业价值的持续增长，企业价值创造路径应围绕“股东价值客户价值业务流程核心资源”这一路径展开，该路径表明企业长期股东价值的增长来自于客户价值的增长。企业要获得长期稳定的客户价值，必须具有高效、快捷和质量可靠的业务流程，这些业务流程的价值创造能力又依赖于企业核心资源的研究与开发。这也是企业价值链的形成路径，企业风险管理也应遵循这一路径而展开。

总之，整合的风险管理框架应该是由公司治理层面确定风险管理的政策;由高管确定风险管理的偏好;由战略管理层确定风险管理流程、文件和模型;在应用和基础设施层面配备相应自动控制装置，以促进事件的自动处理和报告的自动生成，并使用分析工具对这些事件及其组合与公司政策的相关性进行分析，为决策者提供风险应对的信息。

【主要参考文献】

[1]张谏忠，吴轶伦.内部控制自我评价在宝钢的运用[J].会计研究，2005，(2).

[2]吴轶伦.内部控制自我评价[J].上海财经大学学报，2004，(4).

[3]吴轶伦.内部审计职能的发展与风险管理模式的建设[J].冶金财会，2006，(3).

[4]方红星.内部控制审计组织效率[J].会计研究，2002，(7).

[5]课题研究组.内部会计控制规范操作实务[M].中国商业出版社，2001.

[6]阎达五，宋建.双元控制主体构架下现代企业会计控制的新思考[J].会计研究，2000，(3).

[7]朱荣恩、贺欣.内部控制框架的新发展——企业风险管理框架[J].审计研究，2003，(6).

[8]金或日方，李若山，徐明磊.COSO报告下的内部控制新发展[J].会计研究，2005，(2).

[9]严晖.风险导向内部审计整合框架研究[M].中国财政经济出版社，2004.

[10]宋夏云.现代风险导向审计模式的背景分析与理论创新[J].中国审计，2005.

[11]胡春元.审计风险研究[M].东北财经大学出版社，1997.