内控及全面风险管理手册

『壹』 合规管理，内部控制，全面风险管理有什么区别

你通过什么来落实风险控制，你或者说你控制风险，进行风险管理的手段是什么版呢？是制权度。没有制度就没有风险控制手段。制度执行到位与否，制度是否涵盖所有风险点，是否确实有效控制了风险？这些都需要专门的管理与动态评价。通过管理手段监督推动风险管理机制的落实执行及动态调整，简言之曰 合规管理。没有合规管理，风险控制就是空谈。合规 2008年出台了《企业内部控制基本规范》么？ 以后肯定会出台更多 相关的法规来规范上市公司、大中小企业的。 所以前途肯定很好。

『贰』 合规管理，内部控制，全面风险管理有什么区别

作者：刘宁宁
链接：http://www.hu.com/question/26532559/answer/40181214
来源：知乎
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

第一，合规管理有广义，狭义之分。狭义的合规，是指对外部法规的遵循。
狭义的合规，主要是依据银监会《商业银行合规风险管理指引》，“规”主要是指银行外部的法律法规。
第三条 本指引所称法律、规则和准则，是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。
本指引所称合规，是指使商业银行的经营活动与法律、规则和准则相一致。
本指引所称合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。

广义的合规，“规”还包括银行内部的规章制度。

第二，内部控制要同时考虑外部法规、内部制度。从这个意义上，内部控制与广义的合规类似。

根据《商业银行内部控制指引》（2014）

第四条 商业银行内部控制的目标：
（一）保证国家有关法律法规及规章的贯彻执行。
（二）保证商业银行发展战略和经营目标的实现。
（三）保证商业银行风险管理的有效性。
（四）保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。

第三，控制风险是合规管理、内部控制的都共同目标。 但是，内控的目标不光是控制风险，企业内部经营效率效果评价、流程优化乃至企业文化都属于内控范畴。

第四，控制风险的手段之一，是定下行为规则，在规则内行事，制度就是一种规则。但是，是否符合了制度就能控制风险？显然不是。这也是银行内控管理、合规管理的尴尬之处。

『叁』 全面风险管理与内部控制要做哪些工作

内部控制与企业全面风险管理的区别和联系

区别在于：

1. 两者目标不同。风险管理的目标相较于内部控制增加了一个战略目标，战略目标的制定是企业治理层面需要参与解决的问题，这表明风险管理属于治理层次，而内部控制属于企业管理层次；此外，风险管理把财务目标扩展为报告目标，不仅包括了财务报告目标，还包括了非财务类报告，弥补了内控目标体系重财务信息轻其他信息的缺陷；

2. 两者组成要素不同。相比起内控的五大要素，风险管理增加了“目标设定、事件识别和风险应对”三个因素，丰富了风险管理内容，体现了风险组合观；

3. 两者的范畴不一致。内控仅仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标，而全面风险管理则贯穿于管理过程的各个方面，尤其是在事前制定目标时就充分考虑了风险的存在；

4. 两者的活动不一致。内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，而风险管理包含了风险管理目标和战略的设定、风险评估方法的选择等一系列活动；

5. 两者对风险的定义不同。全面风险管理框架将风险明确定义为“对企业财务目标产生的负面影响事件发生的可能性”，将正面影响视作机会，将风险和机会区分开来，而内部控制框架中，尚未区分风险和机会；

6. 两者对风险对策不一致，全面风险框架引入风险偏好和风险容忍度。在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的4项目标。这些内容都是内部控制框架中没有提出的。

它们之间的联系有：

1. 内控或风险管理的根本作用都是维护投资者利益、保全企业资产，并创造新的价值。从理论上说，企业的内部控制是企业制度的组成部分，风险管理则是在新的技术与市场条件下对内控的自然扩展，在内控的基础上增加了一个目标即战略目标和三个要素：目标设定、事件识别、风险应对；

2. 内控是企业风险管理的必要环节，在全面风险管理中扮演关键角色，内控应被管理者看作是范围更广的风险管理的必要组成部分，对于企业所面临的运营风险，内控是必要的。

内部控制是由主体的董事会、管理层和其他员工实施的，旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保证的过程。

全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。

内部控制与风险管理关系十分密切，内部控制和企业全面风险管理既有横向交叉又有纵向融合，风险管理是企业为了适应时代的变化，以内部控制为架构演变成另一种以达到某种目标的过程和方法。二者在要素、目标、含义等方面有很多联系和相同的地方，既是独立又有关联的体系，是针对企业所不同的需求而演变成的两种过程与目标。

『肆』 《中央企业全面风险管理指引》中给出的内控措施有哪些

第三十四条企业制定内控措施，一般至少包括以下内容：
(一)建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；
(二)建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等；
(三)建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；
(四)建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；
(五)建立内控审计检查制度。结合内控的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等；
(六)建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩；
(七)建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施；
(八)建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度；
(九)建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括：授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。
第三十五条企业应当按照各有关部门和业务单位的职责分工，认真组织实施风险管理解决方案，确保各项措施落实到位。

『伍』 如何构建电网企业全面风险管理及内部控制体系

电网企业全面风险管理框架

（一）第一个维度是电网发展目标体系

1.战略目标：电网发展高层次目标，与电网企业战略发展相关联并支撑电网企业目标实现。

2.经营报告：高效率地利用电网企业所占有的各种资源。

3.报告目标：电网企业风险管理报告的准确性、及时性、可靠性。

4.合规目标：符合电网企业相关业务所在国家的法律与法规。

（二）第二个维度是电网企业管理要素

1.内部环境：电网企业内部员工确立风险理念，并确定各类风险管理的风险容量，电力企业的核心都是内外部人员以及经营所处的环境，内部环境的认知为员工确立了怎么样看待风险和风险的基础。

2.目标设定：确立电网企业管理目标，发现影响管理目标实现的潜在事项。确保风险管理中采取恰当的风险管理程序进行目标设定，并确保目标的选定支持电网企业发展需求并适应其风险容纳程度。

3.事项识别：对可能产生影响的各种潜在事项必须进行识别，包括风险事项和机会事项，以及可能二者兼而有之的事项。事项的识别应追溯到电网企业战略目标制定的过程。

4.风险评估：对识别出的电网企业风险进行分析，以便确认电网企业风险管理的准确依据，风险评估过程应注意风险可能与被影响的目标有关，评估要考虑到风险的可能性和实际影响。

5.风险应对：制定电网企业风险应对措施，包括风险降低、转移、承担或分担。一系列控制措施的选择要使风险与电网企业自身的风险承受能力相适应。

6.控制活动：电网企业进行合理的风险控制过程，以确保有效实施所制定的风险控制措施。

7.信息与沟通：电网企业的各个层级部门都需要借助可靠的信息渠道来识别、评估以及应对潜在风险或已经发送的风险事项。

8.监控：整个电网企业风险管理处于内审部门的监控之下，必要时外部专家还会进行完善和补充，监控方式应能够动态地反映风险管理状况，并使之根据内外部环境条件的要求而变化。监控通过持续的电网企业的经营管理活动，对企业风险管理的单独评价或者两者的结合来完成。

（三）第三个维度是主体单元，包括集团、企业、业务部门、分支机构四个层面

电网企业全面风险管理三道防线的构建

电网企业全面风险管理的框架是由一个基础、三道防线来构架的。这个基础指的是电网公司治理结构三道防线分别是公司各级业务部门、风险管理与内部控制委员会及办公室三道防线为公司各级审计部门。

第一道防线为公司各级业务部门，电网企业日常业务经常面临各种不同特征的风险，电网业务部门是电网企业的第一道防线，因此必须把电网企业全面风险管理手段融入到相应的工作和流程中，才能建立好防范风险的第一道防线。这也是内控流程层面上的重要问题。

第二道防线是风险管理与内部控制委员会及办公室。在电网监管部门的要求下，电网企业开始建立风险管理委员会。第二道防线在电网业务部门之上建立一个更高层次的风险管理功能部门——风险管理与内部控制委员会，主要是要确保企业风险管理方法在业务部门得到落实，并持续性监控相关工作的进展。其主要职责是对各类电网业务单位所存在的不同风险进行有效的组合性管理，披露相关风险信息，协助各业务单位完成符合全面风险管理要求的管理工作。

第三道防线是公司各级审计部门。第三道防线是内控制度得以有效执行的最重要部门，在配备足够的具有专业知识技能的人员基础上，使其具有相对的独立性和权威性。现代电网企业建立风险管理系统是持续发展之道，而不是一种可有可无的选择。随着电网企业外部环境的风云变换，其所存在的风险也随之复杂变化，这更加迫切要求电网企业应该在内部控制的发生可能性和影响程度的基础上进行风险的组合排序，把对电网企业内外部风险的考虑融入到电网企业的内部控制决策流程中。

『陆』 全面风险管理的内部控制

（1）全面风险管理涵盖了内部控制。COSO框架中明确地指出全面风险管理体系框架包括内控，将之作为一个子系统。
（2）内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。同时，维持充分的内控系统也是国内外许多法律法规的合规要求。因此，满足内部控制系统的要求也是企业风险管理体系建立应该达到的基本状态。内部控制与全面风险管理的差异为（1）两者的范畴不一致。内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标，而全面风险管理则贯穿于管理过程的各个方面，更重要的是在事前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部控制。
（2）两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。
（3）两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是现行的内部控制框架所不能做到的。
从国际国内发展趋势来看，随着内部控制或风险管理的不断完善和变得更加全面，它们之间必然相互交叉、融合，直至统一。

『柒』 全面风险管理的实践

中国在这方面的研究开始于上世纪80年代。一些学者将风险管理和安全系统工程理论引入中国，在少数企业试用中感觉比较满意。但中国大部分企业缺乏对风险管理的认识，也没有建立专门的风险管理机构和制度建设。
我国系统的内控制度建设是在有了《会计法》之后。1999年修订的《会计法》第一次以法律的形式对建立健全内部控制提出原则要求，财政部随即连续制定发布了《内部会计控制规范———基本规范》等7项内部会计控制规范。但从更宽泛的管理意义上来说，真正把内部控制和风险管理形成法规，是受到美国2002年安然事件、世通公司财务欺诈案及随后美国的萨班斯法案的影响。2006年经当时国务院副总理黄菊的批准，这一问题提上议事日程，成立了企业内部控制标准委员会，正式开始这项工作。当年6月6日，国资委发布了《中央企业全面风险管理指引》，这是我国第一个全面风险管理的指导性文件，意味着中国走上了风险管理的中心舞台。2008年6月28日，财政部、证监会、审计署、银监会、保监会五部门联合发布了《企业内部控制基本规范》，《规范》自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。《规范》的发布，标志着我国企业内部控制规范体系建设取得重大突破，有业内人士和媒体甚至称之为中国版的“萨班斯法案”。2010年4月26日，财政部、证监会、审计署、银监会、保监会等五部委刚刚联合并发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》，连同此前发布的《企业内部控制基本规范》，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。为确保企业内控规范体系平稳顺利实施，财政部等五部门制定了实施时间表：自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。
《企业内部控制基本规范》及配套指引，在实践中的应用范围，可以分为三类企业：一类是上市公司，这是必须要进行的。其次是国有企业。按国资委出台的风险管理指引要求，下属的企业都要全面贯彻风险管理。风险管理和内部控制是相通的。风险管理是战略层面，最后要落脚到内部控制。对这部分企业来讲，内控建设也是必须开展的。第三类就是民营企业。这一类公司没有相关主管部门，在《基本规范》的实施上，有较大的自由度，但是作为一个真正有商业头脑、有战略眼光的企业家应该要做这个工作，毕竟从长远来看，这个花费是值得的。