內控及全面風險管理手冊

『壹』 合規管理，內部控制，全面風險管理有什麼區別

你通過什麼來落實風險控制，你或者說你控制風險，進行風險管理的手段是什麼版呢？是制權度。沒有制度就沒有風險控制手段。制度執行到位與否，制度是否涵蓋所有風險點，是否確實有效控制了風險？這些都需要專門的管理與動態評價。通過管理手段監督推動風險管理機制的落實執行及動態調整，簡言之曰 合規管理。沒有合規管理，風險控制就是空談。合規 2008年出台了《企業內部控制基本規范》么？ 以後肯定會出台更多 相關的法規來規范上市公司、大中小企業的。 所以前途肯定很好。

『貳』 合規管理，內部控制，全面風險管理有什麼區別

作者：劉寧寧
鏈接：http://www.hu.com/question/26532559/answer/40181214
來源：知乎
著作權歸作者所有。商業轉載請聯系作者獲得授權，非商業轉載請註明出處。

第一，合規管理有廣義，狹義之分。狹義的合規，是指對外部法規的遵循。
狹義的合規，主要是依據銀監會《商業銀行合規風險管理指引》，「規」主要是指銀行外部的法律法規。
第三條 本指引所稱法律、規則和准則，是指適用於銀行業經營活動的法律、行政法規、部門規章及其他規范性文件、經營規則、自律性組織的行業准則、行為守則和職業操守。
本指引所稱合規，是指使商業銀行的經營活動與法律、規則和准則相一致。
本指引所稱合規風險，是指商業銀行因沒有遵循法律、規則和准則可能遭受法律制裁、監管處罰、重大財務損失和聲譽損失的風險。

廣義的合規，「規」還包括銀行內部的規章制度。

第二，內部控制要同時考慮外部法規、內部制度。從這個意義上，內部控制與廣義的合規類似。

根據《商業銀行內部控制指引》（2014）

第四條 商業銀行內部控制的目標：
（一）保證國家有關法律法規及規章的貫徹執行。
（二）保證商業銀行發展戰略和經營目標的實現。
（三）保證商業銀行風險管理的有效性。
（四）保證商業銀行業務記錄、會計信息、財務信息和其他管理信息的真實、准確、完整和及時。

第三，控制風險是合規管理、內部控制的都共同目標。 但是，內控的目標不光是控制風險，企業內部經營效率效果評價、流程優化乃至企業文化都屬於內控范疇。

第四，控制風險的手段之一，是定下行為規則，在規則內行事，制度就是一種規則。但是，是否符合了制度就能控制風險？顯然不是。這也是銀行內控管理、合規管理的尷尬之處。

『叄』 全面風險管理與內部控制要做哪些工作

內部控制與企業全面風險管理的區別和聯系

區別在於：

1. 兩者目標不同。風險管理的目標相較於內部控制增加了一個戰略目標，戰略目標的制定是企業治理層面需要參與解決的問題，這表明風險管理屬於治理層次，而內部控制屬於企業管理層次；此外，風險管理把財務目標擴展為報告目標，不僅包括了財務報告目標，還包括了非財務類報告，彌補了內控目標體系重財務信息輕其他信息的缺陷；

2. 兩者組成要素不同。相比起內控的五大要素，風險管理增加了「目標設定、事件識別和風險應對」三個因素，豐富了風險管理內容，體現了風險組合觀；

3. 兩者的范疇不一致。內控僅僅是管理的一項職能，主要是通過事後和過程的控制來實現其自身的目標，而全面風險管理則貫穿於管理過程的各個方面，尤其是在事前制定目標時就充分考慮了風險的存在；

4. 兩者的活動不一致。內部控制不負責企業經營目標的具體設立，而只是對目標的制定過程進行評價，而風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇等一系列活動；

5. 兩者對風險的定義不同。全面風險管理框架將風險明確定義為「對企業財務目標產生的負面影響事件發生的可能性」，將正面影響視作機會，將風險和機會區分開來，而內部控制框架中，尚未區分風險和機會；

6. 兩者對風險對策不一致，全面風險框架引入風險偏好和風險容忍度。在風險度量的基礎上，有利於企業的發展戰略與風險偏好相一致，增長、風險與回報相聯系，進行經濟資本分配及利用風險信息支持業務前台決策流程等，從而幫助董事會和高級管理層實現全面風險管理的4項目標。這些內容都是內部控制框架中沒有提出的。

它們之間的聯系有：

1. 內控或風險管理的根本作用都是維護投資者利益、保全企業資產，並創造新的價值。從理論上說，企業的內部控制是企業制度的組成部分，風險管理則是在新的技術與市場條件下對內控的自然擴展，在內控的基礎上增加了一個目標即戰略目標和三個要素：目標設定、事件識別、風險應對；

2. 內控是企業風險管理的必要環節，在全面風險管理中扮演關鍵角色，內控應被管理者看作是范圍更廣的風險管理的必要組成部分，對於企業所面臨的運營風險，內控是必要的。

內部控制是由主體的董事會、管理層和其他員工實施的，旨在為經營的效率和有效性、財務報告的可靠性、遵循適用的法律法規等目標的實現提供合理保證的過程。

全面風險管理是一個過程，它由一個主體的董事會、管理層和其他人員實施，應用於戰略制定並貫穿於企業之中，旨在識別可能影響主體的潛在事項、管理風險，以使其在該主體的風險容量之內，並為主體目標的實現提供合理保證。

內部控制與風險管理關系十分密切，內部控制和企業全面風險管理既有橫向交叉又有縱向融合，風險管理是企業為了適應時代的變化，以內部控制為架構演變成另一種以達到某種目標的過程和方法。二者在要素、目標、含義等方面有很多聯系和相同的地方，既是獨立又有關聯的體系，是針對企業所不同的需求而演變成的兩種過程與目標。

『肆』 《中央企業全面風險管理指引》中給出的內控措施有哪些

第三十四條企業制定內控措施，一般至少包括以下內容：
(一)建立內控崗位授權制度。對內控所涉及的各崗位明確規定授權的對象、條件、范圍和額度等，任何組織和個人不得超越授權做出風險性決定；
(二)建立內控報告制度。明確規定報告人與接受報告人，報告的時間、內容、頻率、傳遞路線、負責處理報告的部門和人員等；
(三)建立內控批准制度。對內控所涉及的重要事項，明確規定批準的程序、條件、范圍和額度、必備文件以及有權批準的部門和人員及其相應責任；
(四)建立內控責任制度。按照權利、義務和責任相統一的原則，明確規定各有關部門和業務單位、崗位、人員應負的責任和獎懲制度；
(五)建立內控審計檢查制度。結合內控的有關要求、方法、標准與流程，明確規定審計檢查的對象、內容、方式和負責審計檢查的部門等；
(六)建立內控考核評價制度。具備條件的企業應把各業務單位風險管理執行情況與績效薪酬掛鉤；
(七)建立重大風險預警制度。對重大風險進行持續不斷的監測，及時發布預警信息，制定應急預案，並根據情況變化調整控制措施；
(八)建立健全以總法律顧問制度為核心的企業法律顧問制度。大力加強企業法律風險防範機制建設，形成由企業決策層主導、企業總法律顧問牽頭、企業法律顧問提供業務保障、全體員工共同參與的法律風險責任體系。完善企業重大法律糾紛案件的備案管理制度；
(九)建立重要崗位權力制衡制度，明確規定不相容職責的分離。主要包括：授權批准、業務經辦、會計記錄、財產保管和稽核檢查等職責。對內控所涉及的重要崗位可設置一崗雙人、雙職、雙責，相互制約；明確該崗位的上級部門或人員對其應採取的監督措施和應負的監督責任；將該崗位作為內部審計的重點等。
第三十五條企業應當按照各有關部門和業務單位的職責分工，認真組織實施風險管理解決方案，確保各項措施落實到位。

『伍』 如何構建電網企業全面風險管理及內部控制體系

電網企業全面風險管理框架

（一）第一個維度是電網發展目標體系

1.戰略目標：電網發展高層次目標，與電網企業戰略發展相關聯並支撐電網企業目標實現。

2.經營報告：高效率地利用電網企業所佔有的各種資源。

3.報告目標：電網企業風險管理報告的准確性、及時性、可靠性。

4.合規目標：符合電網企業相關業務所在國家的法律與法規。

（二）第二個維度是電網企業管理要素

1.內部環境：電網企業內部員工確立風險理念，並確定各類風險管理的風險容量，電力企業的核心都是內外部人員以及經營所處的環境，內部環境的認知為員工確立了怎麼樣看待風險和風險的基礎。

2.目標設定：確立電網企業管理目標，發現影響管理目標實現的潛在事項。確保風險管理中採取恰當的風險管理程序進行目標設定，並確保目標的選定支持電網企業發展需求並適應其風險容納程度。

3.事項識別：對可能產生影響的各種潛在事項必須進行識別，包括風險事項和機會事項，以及可能二者兼而有之的事項。事項的識別應追溯到電網企業戰略目標制定的過程。

4.風險評估：對識別出的電網企業風險進行分析，以便確認電網企業風險管理的准確依據，風險評估過程應注意風險可能與被影響的目標有關，評估要考慮到風險的可能性和實際影響。

5.風險應對：制定電網企業風險應對措施，包括風險降低、轉移、承擔或分擔。一系列控制措施的選擇要使風險與電網企業自身的風險承受能力相適應。

6.控制活動：電網企業進行合理的風險控制過程，以確保有效實施所制定的風險控制措施。

7.信息與溝通：電網企業的各個層級部門都需要藉助可靠的信息渠道來識別、評估以及應對潛在風險或已經發送的風險事項。

8.監控：整個電網企業風險管理處於內審部門的監控之下，必要時外部專家還會進行完善和補充，監控方式應能夠動態地反映風險管理狀況，並使之根據內外部環境條件的要求而變化。監控通過持續的電網企業的經營管理活動，對企業風險管理的單獨評價或者兩者的結合來完成。

（三）第三個維度是主體單元，包括集團、企業、業務部門、分支機構四個層面

電網企業全面風險管理三道防線的構建

電網企業全面風險管理的框架是由一個基礎、三道防線來構架的。這個基礎指的是電網公司治理結構三道防線分別是公司各級業務部門、風險管理與內部控制委員會及辦公室三道防線為公司各級審計部門。

第一道防線為公司各級業務部門，電網企業日常業務經常面臨各種不同特徵的風險，電網業務部門是電網企業的第一道防線，因此必須把電網企業全面風險管理手段融入到相應的工作和流程中，才能建立好防範風險的第一道防線。這也是內控流程層面上的重要問題。

第二道防線是風險管理與內部控制委員會及辦公室。在電網監管部門的要求下，電網企業開始建立風險管理委員會。第二道防線在電網業務部門之上建立一個更高層次的風險管理功能部門——風險管理與內部控制委員會，主要是要確保企業風險管理方法在業務部門得到落實，並持續性監控相關工作的進展。其主要職責是對各類電網業務單位所存在的不同風險進行有效的組合性管理，披露相關風險信息，協助各業務單位完成符合全面風險管理要求的管理工作。

第三道防線是公司各級審計部門。第三道防線是內控制度得以有效執行的最重要部門，在配備足夠的具有專業知識技能的人員基礎上，使其具有相對的獨立性和權威性。現代電網企業建立風險管理系統是持續發展之道，而不是一種可有可無的選擇。隨著電網企業外部環境的風雲變換，其所存在的風險也隨之復雜變化，這更加迫切要求電網企業應該在內部控制的發生可能性和影響程度的基礎上進行風險的組合排序，把對電網企業內外部風險的考慮融入到電網企業的內部控制決策流程中。

『陸』 全面風險管理的內部控制

（1）全面風險管理涵蓋了內部控制。COSO框架中明確地指出全面風險管理體系框架包括內控，將之作為一個子系統。
（2）內部控制是全面風險管理的必要環節。內部控制的動力來自企業對風險的認識和管理，對於企業所面臨的大部分運營風險，或者說對於在企業的所有業務流程之中的風險，內控系統是必要的、高效的和有效的風險管理方法。同時，維持充分的內控系統也是國內外許多法律法規的合規要求。因此，滿足內部控制系統的要求也是企業風險管理體系建立應該達到的基本狀態。內部控制與全面風險管理的差異為（1）兩者的范疇不一致。內部控制僅是管理的一項職能，主要是通過事後和過程的控制來實現其自身的目標，而全面風險管理則貫穿於管理過程的各個方面，更重要的是在事前制訂目標時就充分考慮了風險的存在。而且，在兩者所要達到的目標上，全面風險管理多於內部控制。
（2）兩者的活動不一致。全面風險管理的一系列具體活動並不都是內部控制要做的。全面風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等活動。而內部控制所負責的是風險管理過程中間及其以後的重要活動，如對風險的評估和由此實施的控制活動、信息與交流活動和監督評審與缺陷的糾正等工作。兩者最明顯的差異在於內部控制不負責企業經營目標的具體設立，而只是對目標的制定過程進行評價，特別是對目標和戰略計劃制定當中的風險進行評估。
（3）兩者對風險的對策不一致。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上，有利於企業的發展戰略與風險偏好相一致，增長、風險與回報相聯系，進行經濟資本分配及利用風險信息支持業務前台決策流程等，從而幫助董事會和高級管理層實現全面風險管理的四項目標。這些內容都是現行的內部控制框架所不能做到的。
從國際國內發展趨勢來看，隨著內部控制或風險管理的不斷完善和變得更加全面，它們之間必然相互交叉、融合，直至統一。

『柒』 全面風險管理的實踐

中國在這方面的研究開始於上世紀80年代。一些學者將風險管理和安全系統工程理論引入中國，在少數企業試用中感覺比較滿意。但中國大部分企業缺乏對風險管理的認識，也沒有建立專門的風險管理機構和制度建設。
我國系統的內控制度建設是在有了《會計法》之後。1999年修訂的《會計法》第一次以法律的形式對建立健全內部控制提出原則要求，財政部隨即連續制定發布了《內部會計控制規范———基本規范》等7項內部會計控制規范。但從更寬泛的管理意義上來說，真正把內部控制和風險管理形成法規，是受到美國2002年安然事件、世通公司財務欺詐案及隨後美國的薩班斯法案的影響。2006年經當時國務院副總理黃菊的批准，這一問題提上議事日程，成立了企業內部控制標准委員會，正式開始這項工作。當年6月6日，國資委發布了《中央企業全面風險管理指引》，這是我國第一個全面風險管理的指導性文件，意味著中國走上了風險管理的中心舞台。2008年6月28日，財政部、證監會、審計署、銀監會、保監會五部門聯合發布了《企業內部控制基本規范》，《規范》自2009年7月1日起先在上市公司范圍內施行，鼓勵非上市的其他大中型企業執行。《規范》的發布，標志著我國企業內部控制規范體系建設取得重大突破，有業內人士和媒體甚至稱之為中國版的「薩班斯法案」。2010年4月26日，財政部、證監會、審計署、銀監會、保監會等五部委剛剛聯合並發布了《企業內部控制配套指引》。該配套指引包括18項《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》，連同此前發布的《企業內部控制基本規范》，標志著適應我國企業實際情況、融合國際先進經驗的中國企業內部控制規范體系基本建成。為確保企業內控規范體系平穩順利實施，財政部等五部門制定了實施時間表：自2011年1月1日起首先在境內外同時上市的公司施行，自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行；在此基礎上，擇機在中小板和創業板上市公司施行；同時，鼓勵非上市大中型企業提前執行。
《企業內部控制基本規范》及配套指引，在實踐中的應用范圍，可以分為三類企業：一類是上市公司，這是必須要進行的。其次是國有企業。按國資委出台的風險管理指引要求，下屬的企業都要全面貫徹風險管理。風險管理和內部控制是相通的。風險管理是戰略層面，最後要落腳到內部控制。對這部分企業來講，內控建設也是必須開展的。第三類就是民營企業。這一類公司沒有相關主管部門，在《基本規范》的實施上，有較大的自由度，但是作為一個真正有商業頭腦、有戰略眼光的企業家應該要做這個工作，畢竟從長遠來看，這個花費是值得的。