首页资料文库正文

风险管控的流程十篇

时间：2023-09-12 17:19:01

风险管控的流程

风险管控的流程篇1

关键词：供应链系统管理风险控制现代化企业管理

中图分类号：F274 文献标识码：A

文章编号：1004-4914（2012）05-279-01

供应链是围绕企业通过对信息流、物流、资金流的控制，从采购原材料开始到制成中间产品以及最终产品，最后由销售网络把产品送到消费者手中的一个整体的功能网链结构模式。由供应商、制造商、销售商、最终用户组成。

供应链管理是对信息流、物流、资金流通过计划、协调、控制及优化，最终使供应链产生的总价值最大化，其目标是每个运作计划都能够相互协调，使总成本最小化、客户服务最优化、总库存最少化、总周期最短化。

一、供应链管理的流程

供应链管理分为五个流程：

1.采购管理。供应链采购管理的核心内容是供应商的选择。在选择供应商时，不仅要考虑成本，同时应综合考虑供应商的信用等级、产品质量、产品价格、售后服务、财务状况。通过对供应商的评价与选择，合作关系的建立与维护，以确保在任何情况下，企业以低成本及时获得所需要的产品或服务。

2.生产管理。供应链的生产管理是生产商管理生产并协调与其他合作者之间的关系，目的是解决生产过程中遇到的问题。主要是在保证生产正常运行的前提下，库存最小。库存是指用于将来的目的而暂时闲置的资产。生产管理的核心是减少库存，同时又能保证生产过程顺利进行。

3.销售管理。供应链的销售管理是以客户为中心，及时满足客户需要，销售的产品使客户满意。在当今竞争激烈、变化莫测的市场中，保持终端客户的满意至关重要。一般采用平衡计分卡方法，采用财务和非财务的指标，对财务、客户、内部业务、学习与成长等方面来描述和评价，提高企业内部的管理水平，使客户得到最好的产品和服务。

4.信息化管理。供应链的信息管理是对系统内部存在和运行状况的不确定性的描述。如果没有对信息的准确描述，供应链中各环节就可能缺乏联系和协调，难以形成一个完整的体系。有效的供应链管理离不开信息技术提供的支持，信息技术可以收集资料，加工、保存，并对其进行分析，信息管理系统的采用是供应链管理的必然要求，收集的信息包括企业内部和外部的信息。信息系统能否正常运行关键是资料收集要充分，设计思路要清楚，应对方法要灵活。

5.成本管理。供应链的成本是指在供应链上发生的成本损耗。供应链的成本管理可以说是以成本为手段的管理方法。企业可以通过获得高层管理的支持，选择合适的信息系统等途径来降低供应链的成本。

二、供应链流程中的不确定因素

供应链在正常运行中存在一定的不确定因素，最终产生各种各样的风险。不确定因素的来源有三个方面：（1）供应商的不确定性。供应商的不确定原因是多方面的，比如供应商的生产发生故障导致供应不足或者延迟，供应商信用发生危机等等。（2）生产者的不确定性。主要表现在生产者本身系统是否可靠。在执行计划的过程中，因为生产过程的复杂多变，导致计划不能完全执行，如果计划不能准确反映企业的实际生产情况，就要对生产环境重新进行预测，不可避免地导致实际与计划的偏差，造成生产不足或过剩的风险。（3）客户的不确定性。主要表现在需求预测的变化、顾客的心理和个性及购买能力的变化，这些变化容易受外界市场及个人心理的诱导，不确定性因素很多，在实际执行过程中需要随时的修正。

存在不确定性就存在风险。对于任何存在不确定性的事件，正确的处理方法就是在事件的收益和人们对它的信心之间作出选择。在手段适应结果的过程中，对于一个一切都已“安排就绪”的世界，人们避之唯恐不及，所以理竭力将不确定性降到最低限度，将风险降到可控范围内。不确定性能否降低取决于两个条件，一是事件的不确定性要小于个别事件，二是不同的人群对不确定性认识的差异。

三、如何做好供应链系统中的风险控制

风险控制是指通过对潜在意外和损失的识别、衡量和分析，以最小的成本、最优组合对风险实行有效规避，实时监控，以保证供应链的安全、连续和高效。供应链风险分为外部风险和内部风险，外部风险包括社会环境风险、政策风险、市场风险、信用风险，内部风险包括偏离风险、中断风险等。对供应链的风险管理要经过四个环节：风险识别、风险度量、风险处理、风险控制。

企业内控制度的设计要从以上五点业务流程出发，在风险控制的过程中，按照内控制度对存货与生产管理环节、采购与付款环节、销售与收款环节的主要控制目标，找出各环节的风险点，分析业务流程中的各种潜在风险，制定出相应的关键控制活动，按照风险点结合内控制度要求采取控制措施，从而实现共同防范企业风险的目的。

风险控制措施从三个方面展开：

1.分工。供应链的信息管理以业务流程为基础，按照公司战略实施要求，把企业的人力、物力、财力等所有资源重新进行配置，建立适合企业发展要求的组织框架。按照分工步骤，结合内控制度，在每一个环节上找出风险点，制定控制措施。

2.流程设计。各项作业的不断重复一个业务循环，内部控制根据业务循环进行设置，通过不同的方式来控制业务流程的运作，将风险控制在可控范围内。

3.信息技术。内部控制的构成要素之一是信息和沟通，运用信息技术将所要涉及的各个业务以工作流的方式认定，将业务循环分解成各项活动，将各个活动点的运作记录下来，进行事后监督，提高循环运作的效率。

参考文献：

1.刘永胜，杜志平，肖晓娟著.供应链管理

风险管控的流程篇2

关键词:房地产企业风险管控业务流程优化

基金项目：2011年江苏省教育厅青蓝工程基金资助

一、新形势下房地产企业面临的多重风险

随着近年来房地产经济的发展，当前的房地产企业面临的风险已经发生了变化。房地产企业具有项目开发周期长、政策影响大、业务涉及范围广、组织结构多样化和业务流程柔性大等特点。

目前，我国房地产企业实际面临的风险包括：宏观经济波动性风险、金融政策风险、土地政策风险、税收政策风险、建筑材料供给价格风险、购买能力风险、行业竞争风险等。而目前影响我国房地产企业的众多风险因素在新形势下最终加剧了房地产企业的总风险。

(一)外部风险

1、政策性风险

在房地产投资过程中，国家政策（如政府的土地供给政策、地价政策、税费政策、住房政策、价格政策、金融政策、环境保护政策等）变化给房地产开发商带来不同形式的经济损失或机会从而给房地产投资者带来风险。

2、市场供求风险

由于房地产投资回收期长，房地产商品市场的供求调整比较迟钝。当房地产市场需求不足时，房地产商品持有者往往不愿意在较低价格售出或租出它们。房地产定价和买卖并不公开进行，这就使得房地产商品的市场机制作用缺失，房地产商品交易的价格并不能反映其实际价值，也不能调节房地产市供求到均衡的状态。按照国际通行惯例，商品房空置率在5％至10％之间为合理区，说明商品房供求平衡；空置率在10％至20％之问为危险区，房地产商要采取一定措施，加大商品房销售力度；空置率在20％以上则为商品房重积压区，如果不能采取有效措施，将直接影响国民经济的正常运行。当然房地产市场供求也取决于购买者的心理预期和有效购买能力。

3、金融风险

房地产对资金额的要求很高，这是因为土地的获取、工程施工到房屋销售环节等，耗资都是非常巨大的。在中国，房地产业资金筹措主要依靠银行，这就使得银行要承受大量的金融风险。主要指包括银行贷款政策变动风险、信用风险等。银行贷款政策的变动，如信贷额度大小、信用条件松紧、信贷政策倾向性的变动都将直接影响企业的资金流管理。随着目前国家一系列紧缩政策的出台，国内房地产企业开发“门槛”提高、银行贷款难度加大，对整个房地产市场产生很大的影响，房地产企业都会因此面临赚取利润的机会或亏损的风险。

(二)内部风险

内部风险是由于企业自身因素影响而使房地产投资不能达到预期收益的风险。如房地产管理者个人知识结构欠缺、对房地产投资和开发理论和基本知识缺乏全面了解，实践经验不足，而带来的主观上预测错误或管理不善造成的资本流失。房地产企业所面临的主要内部风险是经营管理风险，主要表现在以下几方面：

1、投资决策风险

由于房地产开发涉及的资本金金额大、开发周期长，通过决策所导致的结果来验证当初决策正确与否具有滞后性，因此在开发过程中对各开发环节所做的决策风险性极高。

2、项目管理风险

是指由于房地产企业或投资者由于对房地产企业管理不善而造成损失的风险。所谓管理不善主要包括：决策者不能胜任房地产企业经营管理工作；企业员工缺乏专业技能不能适应所在岗位；未处理好各种合同关系；违章或违法等。

3、财务风险

通常投资负债比率越大，财务风险就越高。如项目不能产生足够的现金流以按月或按年偿还债务本息的风险，或房地产商不能从资金市场或其他机构获得投资所需资金，出现资金链紧绷甚至断裂的风险。

房地产企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法即应当进行全面风险管理。

二、房地产企业风险管理现状

(一)房地产企业对房地产市场价格认识不足，不能及时、冷静地预测房地产的潜在风险

纵观国际上历次与房地产有关的危机，都具有房地产价格严重偏离其内在价值等共同特征。当房地产价格增长速度无法通过各地居民收入上升、城市人口增长等社会经济基础因素来解释，也并非由房产出租收益作支撑，那么房价上涨的趋势是不具有可持续性的。如果房地产商不能冷静预测这种潜在风险、及时调整房价促进销售和调整土地储备量，而是一味跟风逐利，就容易导致企业的资金链断裂乃至房地产危机的爆发。

(二)缺乏风险管理组织机构

目前许多房地产企业的风险管理实施，都是由董事长或总经理临时就企业运作过程中的某项活动的风险控制管理活动授权给某部门或人员，这种缺乏固定风险管理组织机构的情形必然导致企业的风险管理实施范围受到局限，风险管理意识不能成为一种企业文化深入到各个方面，风险管理经验、资料无法积累和传递。

(三)缺乏对宏观经济变化、国家和地方政策、法规的研读

房地产业是国家重要的产业链之一，受全国乃至世界的宏观经济环境影响较大。国家的土地供给政策、地价政策、税费政策等，均会对房地产投资者收益目标的实现产生巨大的影响，给房地产商也会带来风险。房地产企业如不能及时识别和控制宏观经济形势及政策法规变化所带来的风险，必将给企业带来诸多困境，甚至威胁企业的生存。

(四)风险管理非系统性

目前我国房地产企业虽然积极引入风险管理办法，如建立内部控制制度，独立开展内部审计工作等，但是风险管理仍然没有系统化，主要表现在：未建立有效的风险管理组织保证；风险管理内容主要集中在财务、工程施工的某些方面，涵盖面较窄，而风险是在企业决策、生产、销售、财务服务等各个环节都可能产生的，因此必然存在着风险管理漏洞；风险控制方法单一或缺乏灵活性。

三、房地产企业基于风险管控的业务流程优化

风险无处不在，企业要生存，要发展，风险管理是必需的，也是必然的；在对待风险进行管理时应把握关键控制点这是风险管理的积极态度，风险管理的目标是不出现系统性偏差；最终风险管理需要必须的手段，内控体系建立与不断完善是风险防范的有效手段。房地产企业如何系统地防范和管理风险？房地产企业要将风险管理要融入业务管理之中，思考设计管理――管什么? 现场管理――管什么？成本管理――管什么？识别风险并设计控制风险的方法，其核心是将预计到的未来事项的负面影响控制在最低程度。

(一)房地产企业业务流程的内容分析

房地产企业业务流程到底有哪些。这个问题至今还没有权威的说法，或许就根本没有现成的答案，原因很简单，没有两家完全一样的房地产企业，企业不同，架构不同，业务流程就可能不一样，但是房地产企业的核心业务流程却是相近的。主要是买地――建房――卖房，因此，我们可以把这些主营业务不断细分，把房地产企业业务流程划分为核心流程和支持流程。核心流程是指房地产企业那些特别重要的流程，决定着企业的独特性或竞争能力的流程。如投资决策分析流程、开发建设流程、营销服务流程及物业管理流程等，其他流程是对经营提供基本支持所需要的，称为支持流程，如采购、融资及人力资源管理等流程。

目前大多数房地产企业还没有真正实现以企业各种流程作为基本的控制单元。企业架构仅仅反映出企业组织形式，它不能体现出企业内部业务工作的流动情况以及顾客(市场)在组织中的核心地位。一个科学合理的房地产企业流程应该表达出企业各种主要流程的运作及相互作用方式。

房地产企业前期要进行充分的市场调查，投资分析。必要时引进外包公司进行前期策划，招商、营销进行市场论证，技术管理部进行工程论证，财务部门进行投资预算论证，最终确定项目的可行性，进行项目立项。

在建房过程中要加强项目管理平台的建设。包括建设过程中的成本管理；对外包公司和供应商的资质审查和管理。

在售房过程中要加强客户关系管理平台的建设。包括策划、营销和招商的运作管理；客户的信息管理，加强对客户的服务意识，提高满意度。

加强对财务的管理。包括应付/实付、应收/实收、现金流的管理。

在整个经营管理过程中全面加强对风险的管理。包括法务管理和审计管理。

■

(二)房地产企业业务流程优化的目标

房地产企业业务流程优化的目标是各部门在调整后的组织结构框架下能迅速开展工作；公司能够建立起核心管理团队；充分考虑公司各个部门的接口；在业务开发全程贯穿客户的需求，明确业务定位；加强各个部门在前期规划设计环节的作用；有效衔接规划设计环节与施工建造环节以及销售、招商、物业等环节；有效的管理规划设计、监理、招商等外包环节；部门之间责权清晰，迅速明确问题的责任人使得问题得到高效解决；激励员工要有主动性和敢于承担责任。

■

(三)房地产项目各阶段流程改进优化的控制点

1、市场策划阶段

市场策划阶段是整个项目开发的最关键阶段，很大程度决定了项目的成功与否。前期的要进行充分的市场调查，投资分析。必要时引进外包公司进行前期策划，招商、营销进行市场论证，房屋建设团队进行工程论证，财务部门进行投资预算论证，最终确定项目的可行性，进行项目立项。结合各部门对投资进行的评估意见，集团高层再进行最终的投资决策，这样可以大大降低风险。

2、方案设计阶段

在与设计单位签订合同前要先组织内部各相关部门进行讨论，明确提出具体的设计要求，并提前考虑后续的装修设计方案。

3、项目施工阶段

在项目施工阶段要加强现场管理和协调能力，包含有《招投标流程》、《设计变更流程》、《甲供材料采购流程》、《甲定乙供材料采购流程》、《工程质量管理制度》、《物业接管验收流程》。

4、销售、招商与服务阶段

企划部是衔接营销招商与施工环节协同配合的关键；本阶段流程优化有《策划管理流程》。全面提高客户的满意度，建立良好的信誉和口碑；本阶段流程优化包含：《销售管理流程》、《招商管理流程》、《租金收缴流程》、《退铺管理流程》等。

5、全程风险管理过程

风险控制是实现全程项目管理的关键；为了使决策更加充分科学，有效降低风险，所有招投标项目要在项目开始前三个月开始立项。本过程流程优化包含有《合同管理流程》、《付款控制流程》。立项申请到合同审批之间要留有比较充足的时间（比较重大事件至少要提前三个月）来分析论证，如果出现人为因素导致的很紧急而没有时间进行充分论证的合同签订，经办人及其部门领导将要承担为此风险带来的损失。

房地产企业经营管理者必须注意优化企业业务流程，提高企业财务风险评估系统运作效率。面对各种可能引起的多种风险因素，房地产企业经营管理者应该通过精简各种环节，建设和优化企业业务流程，提高资金流动效率。

参考文献:

[1]王爱敏,张惠玲.企业业务流程优化方案研究――以A公司核心业务流程方案设计为例[J].中国商贸.2011

[2]杨磊.试论加强房地产企业内部控制的对策[J].科技信息.2010

[3]魏巍.我国房地产企业风险管理现状及对策研究[J].商业会计.2009

风险管控的流程篇3

关键词：风险导向内部控制

针对多业态跨区域经营特点，为加强企业风险管控，公司结合生产经营实际，积极探索适合企业发展需要的以风险为导向的内部控制体系建设及管控模式。经过几年的探索实践，增强了企业风险管控能力，提升了企业经营管理水平，为实现公司战略目标起到了积极的促进作用。

一、建立以风险为导向的内控体系是提升公司风险防控能力的客观需要

（一）防控风险已经成为公司管理的重要目标

世界经济进入全球化时代，企业经营业务多元，地域分散，复杂的社会经济环境影响着公司的经营、稳定和发展。随着企业经营规模扩张，交易金额增大，交易频率加快，企业面临的不确定性因素增多，传统的企业管理制度局限性日益凸显。分析国内外企业倒闭或衰败的例证，总结本公司多年经营中的经验和教训，无不与企业风险管控密切相关，经营过程中的风险防控已经成为企业管理的重要目标和焦点。建设和完善风险为导向的内部控制体系已成为企业防控风险重要措施。

（二）防控企业风险要靠严密的内部控制体系做保障

公司风险管控经历了三个阶段，一是凭经验管理（公司初创时期），对有风险的业务选派“经验丰富”的人去管理，经营决策靠有经验的领导把关，被称为经验管控阶段。二是靠单项制度控制，针对高风险业务制定专门的控制措施，做到一事一制度，方法虽然简单，但由此步入了制度控制阶段。经过一段时间摸索，积累了一套行之有效的管理制度，在规范企业管理和防控风险中发挥了重要的作用。但由于规章制度多为单项规定，程序性规定很少，标准制度没有流程保证，且各专业部门颁布的管理制度都带有不同程度的局限性，缺乏系统性、全局性，已不能适应企业全面风险管理的要求。三是进入了体系控制阶段，为做好企业风险防控工作，公司结合不同风险特征，对现有的制度、标准和程序进行了完善，对业务流程进行了重构，提高了制度的可操作性、严谨性和规范性。将原有的内控制度提升以风险为导向内部控制体系，实现了风险管理多维度的体系控制。

（三）防控风险是提升公司综合管理能力有力手段

以风险为导向的内部控制体系建设及实施，不仅提升风险管控能力，而且提升了公司的综合管控能力，该体系明确了控制活动的对象，规范了交易活动源头控制的业务流程，强化了控制主体责任，使公司各种经济活动实现了全面受控。通过系统严谨闭环管控措施的落实，很好的与企业经营活动结合起来，逐步改善企业的内控管理，使公司综合管理能力不断提高。

二、以风险为导向的内部控制体系框架及做法

公司借鉴国内外内部控制实践经验，以COSO框架及财政部等五部委颁发的《企业内部控制基本规范》和国资委的《中央企业全面风险管理指引》为基础，结合企业实际，建立以公司战略为核心，以风险为导向，以责任为主线，以业务流程管控为方法，以监督与评价为手段，注重管理改进的企业内部控制管理系统。从确定内部控制体系的目标、辨识评估风险、梳理管控流程、制定控制措施、开展内控监督与评价和持续改进等五个方面，推动、构建和完善了以风险为导向的内部控制体系建设。

（一）确定以风险为导向的内部控制目标

目标设定是以风险为导向的内部控制体系建立的前提条件，在风险管理过程中是一个重要环节。首先是在设定内部控制目标的过程中，要充分考虑各种风险对企业经营管理的影响程度，把握对重大风险的判断。其次是要根据内部控制目标设定，确定内部控制实施方案，并随着目标改变适时进行必要的调整。三是风险控制措施根据内部控制目标的存在而确定，随着目标的改变而改变，只有先明确了内部控制目标，才能对识别出的风险制定相应控制措施。

公司围绕经营及管理风险，确立以资产的存在、完整、归属、计价正确和收益等属性的落实为风险控制的现实目标，以实现“体系可靠、风险可控、运行可持续”为体系规划目标。总目标是：以国家相关法律法规为依据，以公司现有资源为基础，以财务报告风险、法律风险、经营风险为切入点，以源头治理和过程控制为核心，以防范风险为重点，对企业现有管理制度、职责分工、权限分配和业务流程进行全面梳理，建立起设计科学、简洁适用、运行有效的内部控制体系，推进科学治企。

（二）建立风险数据库

通过收集风险事件，确定公司层面风险分类和风险名称，形成公司层面风险事件库和风险数据库。针对风险事件关联性，主要收集了连续三年公司内部风险事件案例、行业内相关历史事件和未来风险预测，包括公司相关材料记载的相关事件、内外部审计发现的问题、各业务部门存在的重大问题或隐患等。通过分析筛选，选取具有代表性的、对公司影响较大的事件共77条，形成公司层面的《风险事件库》。

在收集风险信息过程中。按照内外部、业务板块、部门单位等条件将各类风险因素进行分类汇总，厘清各个问题之间的因果关系，方便从整体上把握风险和机会，有助于各职能部门更好地认识和关注与其直接相关的风险。经过比对分析，确定公司各项业务、重要经营活动及重要业务流程中的风险，并予以客观准确地表述。通过与各职能部门以及所属单位反复沟通，识别出可能影响公司实现经营目标的风险因素，进行整理分析并编制《风险汇总表》，最终确定了公司层面风险分类和风险名称，共4大类24个风险，形成公司层面的《风险数据库》。

（三）识别与评估风险

风险是指可以识别的不确定性事项，它能对企业经济利益造成有利或不利影响，其来源及影响具有不确定性。风险评估的目的是对影响公司的不确定性因素进行识别，对其进行科学评估、量化，指导对不确定性因素的把控。

风险识别是风险评估的基础，其结果直接影响着整个风险管理流程的节点设置，公司各职能部门及所属各单位运用确定的风险识别方法，结合内外部风险事件信息，对本部门及本单位业务涉及的风险事项进行识别、归类，在分析的基础上确定本部门及本单位公司层面、业务活动层面、信息层面的风险。根据各部门及各单位识别出的风险，进行分类整理、分析汇总，确定公司存在的各类风险。

风险评估。在编制公司层面风险事件库和风险数据库的基础上，根据获得的历史数据和行业资料等信息，查找风险发生的内外部原因，组织开展公司风险发生的可能性及影响程度评分分析，对公司层面24个风险发生的可能性和影响程度进行评分，并计算个体评分的风险值。按照风险评分人员的业务能力、技术水平和工作经历等，对参与风险评分人员划分类别，设置相应权重，并采用加权平均的方法计算风险等级分值，评估公司面临的风险。按照上述方法计算24个风险的加权平均风险值并排序，依据公司风险等级标准，确定公司层面重要风险12个。

（四）梳理管控流程

按照《企业内部控制基本规范》，遵循内部控制体系固定的框架及文本模板，编制组织结构图，描述部门及岗位职责，建立起业务管理流程。公司针对确定的各类风险，按照规范及重要性原则，以实现业务不交叉、管理不重叠和责任不遗漏为前提，实现各类资源的优化配置，提升管理效率和市场反应速度，防控风险的目的。业务流程管理遵循风险导向、业务驱动、规范描述和强化执行的原则，突出流程与业务与管理的深度融合，将业务操作、管理制度、工作职责和信息化建设有机结合起来，形成了脉络清晰的流程架构。公司共梳理一级流程22个，二级流程165个，三级流程553个。设置318个风险点。建立了一套清晰顺畅、完整严密的业务及管理流程体系。

（五）制定控制措施

根据风险评估的结果制定控制措施是内控体系的关键环节，一是要针对重要业务流程，分析控制重点，按照公司各项规章规章制度，制定控制措施。二是参照《企业内部控制基本规范》，查找现有控制措施中的缺项和遗漏，设计改进措施方案。三是落实相关部门和责任岗位，固化到内部控制的各环节中。四是根据控制措施的描述，补充相关管理制度，完善以风险导向的内部控制体系的各项控制措施。五是对公司层面的控制主体、信息系统和内部监督等总体控制进行系统衔接，形成完备的内部控制措施体系。

制定公司层面风险管理策略。各责任部门根据风险的定义、影响因素及风险表现，结合本业务的风险偏好，确定应对风险的具体策略。根据业务流程确定风险领域和风险源，依据风险源来找寻关键风险成因，并确定相应的风险预警指标数值或区间，从控制风险的目的、组织、方式和监督等方面制定风险管理策略70条，关键控制点240个，制定控制措施368条。

基于风险导向的内控体系是以风险识别、评估为基础，进而分析、设计和实施内部控制的风险管理行为，亦是以流程为载体，管理界面、岗位职责、管理权限和控制措施清晰，满足风险控制要求及涵盖经营管理全部业务的内部控制体系，是公司实施对风险有效管控的制度保证。

三、以风险为导向的内部控制体系的运行管理

内部控制体系重在建设、关键是执行。公司在内部控制体系的建设过程中，根据内部控制体系建设总体要求，统筹安排各项具体工作。公司对颁布《内部控制管理手册》、内部控制体系组织实施、内部控制体系监督、测试、评价及改进等工作进行了周密部署，提出了加强内部控制环境建设的要求，制定了打造内部控制支持系统的具体措施，确定了内部控制体系推行的阶段性目标。

（一）颁布并全面实施内部控制管理手册

按照内部控制体系建设总体实施方案，公司把内部控制体系的执行作为内控管理的关键环节来抓。落实过程中，一是由公司总经理签发，以公司文件形式颁布内部控制体系实施令，确保内部控制管理手册的权威性和各单位、各业务层面及各管理岗位的全面执行。二是充分考虑企业整体经营管理现状，采取近期目标和远期目标相结合，优先解决风险管理中的薄弱环节，突出对重要单位、重要业务、重要流程和重要风险点的管控，实现将企业的风险控制在合理水平的目标，力求取得控制实效。三是根据公司业务发展的不同阶段，在内部控制基本手册推广执行基础上，结合海外后勤服务和房地产开发业务的特殊管理需要，分别编制公司海外后勤服务和房地产开发业务内部控制分册，在相关业务领域实施。四是统筹公司总部、各单位和各经营业务内部控制管理手册执行的管理，疏通内部职能部门之间、上下游业务之间及横向同级单位之间的流程管理接口，形成较为畅通的运行管道，使内部控制管理体系的管控触角横向到边，纵向到底，不留死角。

（二）编制年度风险管理报告，实施风险动态评估

公司为推动以风险为导向的内部控制体系建设，使风险管理向规范化、科学化和常态化方向发展。公司每年开展一次包括所属单位在内的风险管理报告编制工作，完善企业重大风险管理报告机制。一是强调全面反映本单位存在所有风险，明确面临重大风险，剖析风险产生的原因，反映造成直接和间接经济损失的量化指标，以及对企业的影响程度。二是报告内容要突出风险管理的动态、量化和信息化控制目标。三是对公司重大风险，要明确责任单位和人员，提出风险管控要求，完善风险应对措施，建立风险预警指标体系，合理配置管控资源，确保重大风险管理责任到位。

公司每年编制并风险管理报告，拓展对企业风险认识的深度和广度，并以风险管理报告为抓手，对重大风险统筹管控，确定管控目标，明晰管控措施，制定管控责任，实现对公司风险评估的持续推进和对风险的动态监控。

（三）开展内部控制体系运行控测试及评价

按照内部控制体系建设总体要求，公司依据《公司风险管理与内部控制体系评价管理办法》每年一次对内部控制体系运行情况进行测试及评价，并出具对风险管控体系设计科学性与运行有效性的评价结论。测试主要围绕公司层面，包括职业道德、高管基调、权利及责任分配、举报与违规处理、反舞弊程序和控制；业务活动层面，包括财务管理（资金管理、资产管理、会计核算、财务报告）、物资管理、合同管理；信息系统层面，包括控制环境、信息安全、变更管理、项目管理、日常运维和最终用户操作等六个部分进行测试。并根据公司主营业务，对重要业务流程进行跟单和关键控制测试，同时对电子表格的内容、密码保护、保存地点、变更和备份等进行符合测试。

通过持续开展内部控制体系的运行测试、内部控制审计和内部控制综合检查，全方位督促内部控制体系的落实，切实提高了内部控制体系的运行效果。几年来，公司层面风险由4大类24个风险，下降为3大类12个风险。公司内部控制体系运行总体评价一直保持在“良好”以上水平。

（四）持续修订完善《内部控制管理手册》

针对公司经营业务变化调整和企业管理提升，不可避免存在已实施的《风险管理与内部控制管理手册》与企业发展及管理强化不相适应的矛盾。因此，要保证内部控制体系持续有效运行。一是根据国家法律法规等政策调整，对内部控制体系的合法性控制条款进行补充修订，增强内部控制体系条法约束。二是在公司经营和管理等环境发生重大变化或部门职责、流程和人员等发生调整时，及时对涉及的相关业务流程重新进行梳理、评估及修订，并适当增加关键控制措施。三是针对内部控制体系评价中发现的管控缺陷和提出的管理建议，制定切实可行的改进措施和方案，对管控体系进行持续完善，优化控制措施，形成内部控制提升管理、管理推动内部控制的互动机制。四是在总结海外后勤基地服务和房地产开发业务内部控制管理分册运行成果的基础上，加大对包括酒店物业等公司内部控制手册分册的编制和推广力度，增加内部控制手册专业分册的覆盖面，提高特殊专业领域关键控制措施的针对性，增强控制效果，推进公司内部控制手册向专业化管理方向发展。

公司通过以风险为导向的内控体系建设实践，企业员工风险意思普遍增强，风险管控措施得到了较好的落实，企业风险得到了有效控制，内部控制管理能力大幅提高，公司以风险为导向的内部控制管理为企业效益提升和稳步发展做出了积极的贡献。

参考文献：

[1]《企业内部控制基本规范》.

[2]《中央企业全面风险管理指引》.

风险管控的流程篇4

关键词：企业；风险导向；内部审计

中图分类号：F239.45 文献标志码：A 文章编号：1673-291X（2014）02-0193-03

风险导向内部审计是企业进行风险管理的一种有效工具，其目标是在全面评估企业风险的基础上，通过对风险进行事前评估与控制，对风险处于何种状态做出准确判断，为控制风险提供依据。与传统的审计模式相比，现代风险导向内部审计更注重从宏观上把握审计风险，审计工作重心从实施阶段前移到计划阶段，关注的核心从内部控制转向风险，在审计的全过程自始至终都关注风险，依据风险选择项目，识别风险，测试管理者降低风险的方法，并以风险为中心出具审计报告，协助企业进行风险管理。审计方法从以审计测试为中心转移到以系统化的风险评估为中心，即计划阶段对风险进行评估，实施阶段对相关风险进行持续监控和报告，报告阶段提出风险管理建议。2007年新审计准则要求全面实施风险导向审计，故本文对我国企业如何实施风险导向内部审计提出几点建议，与大家探讨。

一、建立全流程风险管控机制

建立审计战略计划、审计项目计划和具体审计项目实施的全流程风险管控机制。

一是年度风险导向战略计划的制订。年度风险导向战略计划要与企业目标相契合，建立在对公司重要领域的认定、风险自我评估的基础上，以重大风险和重要风险为导向，明确审计重点，确定年度审计项目。在充分调研的基础上，组织相关部门进行风险自我评估，识别各自存在的风险，排列风险次序，出具风险自我评估结果，以此为依据，确定本年度审计关注点，编制年度审计计划。风险导向内部审计中，风险评估贯穿于年度审计计划、项目计划、执行审计、总结发现和报告的各个阶段，企业要根据风险评估结果和以前年度审计情况，合理分配审计资源，将审计资源重点放在高风险领域。

二是建立风险管控标准，有效识别风险。就是按统一的标准梳理各业务环节的流程，审计部门牵头，各业务单元的内控负责人统一对采购与应付、生产循环、销售与应收、存货与仓储、营销管理等业务循环的流程图和业务流程的风险点进行全面梳理，对应将风险点、控制措施嵌入到流程中，建立清晰的业务流程图、明确的岗位控制标准和风险防范控制措施。

三是业务流程测试和风险评估。风险评估通过实施不同的测试程序识别审计风险，包括企业整体层面控制评估、信息系统一般控制评估、流程层面控制评估、控制测试以及实质性测试等。建立业务循环各个节点的穿行测试标准，指导各单位业务人员开展业务流程的穿行测试，通过全流程的穿行测试验证各业务层面风险受控情况，运用自审、互审和复审相结合的方法，推进全员、全流程的风险自我审计。

四是出具风险评估报告及风险地图。审计部出具企业各业务单元的风险评估报告和完整的风险地图，建立企业审计风险资源库，为相关部门提供风险关注和控制优化的依据。

风险管控机制将风险管理流程与审计基本程序有机融合，更多地从全流程的角度对企业进行全面风险评估。企业要根据自身的具体情况设计风险管理流程、风险评估项目和评估标准，并根据风险环境的不断变化及时调整风险评价标准，以适应管理需要。而且，风险管控是一个持续、循环的管理过程，不能将风险管理审计作为一次性的专项审计项目，在风险管控执行过程中，要不断地关注风险，针对问题制定有效的控制措施。

二、以风险为导向，优化具体审计项目实施程序

以固定资产投资风险导向内部审计为例。固定资产投资项目投资额大、建设周期长，管理环节复杂，管理风险和审计风险都较高，采用风险导向固定资产投资审计，识别和评估重大管理风险和关键控制节点，全面审计，突出重点，可以有效提高审计效率，降低审计风险。其审计程序如下：

一是制订固定资产投资风险导向项目审计计划。风险导向项目审计计划是对具体审计项目实施全过程审计所作的综合安排，需要明确审计目的、审计范围、审计方法和审计程序、项目风险评估、关键风险点、项目组人员分工、时间安排以及其他事项等。固定资产投资审计目标要与企业固定资产投资目标相联系，审计范围包括选定经营单位、选定业务及流程、相关信息系统测试范围、测试时间范围等。

二是业务经营单位初步评估和关键风险识别。审计人员要掌握固定资产投资项目整体情况，注重从宏观层面了解固定资产投资项目的基本情况，获取背景信息，包括行业状况、监管环境、建设模式、建设目标等信息，对固定资产投资项目面临的风险进行分析，识别和评估固定资产投资项目系统风险和关键风险。

三是业务流程分析。在全面评估固定资产投资风险基础上，从投资项目风险入手，进一步了解流程，更新识别的风险，对高风险项目和资金重点监控，从整体上把握审计重点。

四是评估流程有效性和流程重大风险。在了解固定资产投资项目业务流程的基础上，运用分析性程序，分析关键流程，评估固定资产投资项目重大风险，分析对目标产生影响的风险以及风险控制，测试实际的控制能否切实管理这些风险，这是风险导向审计关注的重点。

五是根据风险评估结果，确定项目审计范围和审计重点，制定相应的审计策略。具体是设计审计步骤，根据审计步骤进行审计抽样并对样本进行监督，实施实质性测试等审计程序。在审计实施过程中，要根据审计实施情况对项目方案进行重新评估，扩大审计范围或增加审计程序，实施进一步测试以修订审计方案，保证审计质量。

杜邦“沸腾壶”审计抽样模型就是一种常用的审计抽样方法。它以审计项目风险为对象，建立风险识别模型，对每一类风险进行排序，将其划分为不同的级别，即高风险、敏感风险、适中风险、低风险，直观地反映风险与审计面的关系。杜邦“沸腾壶”模型说明，在风险因素中，风险结构一般是高风险占10%，敏感风险占30%，适中风险占40%，低风险占20%。风险审计规划在审计资源配置时，要依据风险水平高低配置审计资源，对不同级别的风险因素需实行差异化审计。高风险因素要进行详细审计，对于处于敏感风险性质的风险因素一般抽样50%进行重点审计，对于适中风险因素一般抽样 25%，而对于低风险的风险因素只需要抽样10%进行一般审计。风险级别越高，配置的审计资源越多，根据风险评估结果，将主要的审计资源分配在高风险领域，有的放矢，提高审计效率。

六是根据对流程设计有效性测试结果得出审计结论，出具审计报告，提出管理建议。

三、建立以审计调查法为基础的风险评估机制

风险评估机制包括风险识别、风险评估、风险模型的建立及风险评估结果分析等。对确定的审计项目进行风险评估，主要是通过对业务流程的梳理，找出流程关键控制点，并选择科学的风险评估方法对控制点进行风险分析，以准确识别和正确评价风险。以审计调查法为基础的风险评估方法，能清晰揭示风险的高发区域和风险变化趋势，操作性强，评估结果具有很强的说服力。即选取一定比例的被审单位实施风险典型调查，采用审计调查法对风险发生频率和严重程度进行分析和预测，对风险进行分级分类管理，根据风险水平确定审计重点。步骤如下：一是确定评估范围。评估范围与审计范围相关，对风险评估结果的运用有直接影响。二是风险评估数据的采集。采集近几年的相关风险数据，这些数据可以是以往风险管理审计、综合性审计及专项审计的相关资料和数据等。三是对风险评估基础数据进行整理和加工。内部审计人员依据原始资料和专业判断对一些定性资料进行量化处理，确定各组风险数据的影响程度级别，据此对项目风险进行评估。四是进行风险评估和预测。根据事先界定的评估范围，分别对审计项目各类风险、各类子风险的概率和影响程度进行评估，对所采集的一定期间的风险数据，采用审计调查法分析历史数据，寻找各风险的变化趋势和集中趋势，建立能描述各风险变量未来变化态势的模型，运用数学方法对各类风险的主要变量——风险概率和影响程度进行风险变动趋势分析及预测，求出风险预估值，并运用政策分析法，整理和分析可能影响各类风险变量的政策因素，对固定资产投资风险预测值进行修正和完善，确定风险估测值浮动区间。五是风险评估结果的分析和利用。根据风险分布情况，布局安排审计资源，对风险多发区域进行重点审计。风险评估结果可以应用于企业的风险管理，包括：将风险评估结果与企业事先确定的风险管理策略（如各类风险的承受度等）进行对比，并分别采取不同的风险应对措施；协助企业建立风险预警机制，对达到风险预警线的风险发出预警信号，采取相应的风险控制措施；对风险发展趋势进行预测，帮助企业规避和防范风险。

四、建立风险自我评估和预警机制

建立风险预警机制，对风险进行实时监控，可以有效管理和预防重大风险。风险预警机制前移风险管理关口，使风险管理重点由事后监督向事前预防、事中控制转移，防患于未然。企业可以根据风险评估结果，针对风险高发区域建立预警机制，完善风险预警指标体系，如利用DCCS法、盈亏临界点法及财务比率法等有效捕捉企业风险征兆，对异常情况提前发出预警，帮助管理层完善风险管理程序，控制风险。在风险导向内部审计中，使用风险自我评估（RSA）法，可以有效提升风险预警效率。风险自我评估是指内部审计要监督：（1）风险环境分析的恰当性。主要是对企业固有风险和控制风险进行评估，分析风险性质和影响程度的变化以及控制措施是否能与环境变化相符，并在审计报告中反映分析结果。（2）风险事件识别的充分性。（3）风险评估的恰当性。风险评估要从风险发生的可能性和影响性两方面对已识别的风险事件进行定量分析和定性分析。（4）风险度以及风险预报合理性。主要是审核风险度的计算方法是否科学合理，是否反映企业实际风险水平。综合分析企业的内外部环境，审核风险预报的根据及预报的级别是否合理。（5）风险控制措施的有效性。主要是对业务控制程序进行测试，检查是否有效，是否能够控制风险，并对检查发现的问题提出改进措施和建议，帮助企业管理风险，降低风险损失。（6）风险信息沟通的有效性。内部审计人员要从风险识别、评估信息的获得，风险警报的及时发出等方面评估风险信息是否被准确及时地传达给所有相关人员，让管理层了解风险是否被有效管理。风险信息沟通评估也可以提高外界对企业风险管理的信任度。

此外，企业应建立风险审计信息系统，完善审计资源数据库，积极推进审计手段创新，加强内部审计队伍建设，合理配备审计项目组成员，有效提高内部审计效率和质量，提升风险导向审计的价值增值功能。

参考文献：

风险管控的流程篇5

1.基于内部控制的集团企业全面风险管理的基本内涵内部控制与风险管理是基于内部控制的集团企业全面风险管理体系对立统一的两面，其基本内涵为：以集团企业战略目标为指导，将风险管理和内部控制纳入统一的一体化管理框架。首先，以风险为导向，在“全面风险管理”层次上对内部控制进行思考与定位，在全面评估风险的基础上，分析、设计、构建“风险导向的内部控制体系”；然后，以内部控制为平台，通过内部控制活动，在集团企业的风险偏好范围内管控风险，最终将风险控制在可接受的范围内，为企业战略目标的实现提供合理保证。总之，基于内部控制的集团企业全面风险管理，通过内部控制为全面风险管理找到着力点和切入点，能够有效避免风险管理和内部控制的分离，防止风险管理流于形式，以促进全面风险管理机制在集团企业内部有效运转。

2.基于内部控制的集团企业全面风险管理的主要内容根据coso《企业风险管理－整合框架》[2]，财政部等五部委《企业内部控制基本规范》的基本要求，国资委《中央企业全面风险管理指引》的基本内容为依据，参考《上海证卷交易所上市公司内部控制指引》、香港联交所的《公司管治常规法则》、英美等国家的管治守的基本要求，立足集团企业的实际情况，以集团企业战略目标为指引，构建以内部控制为基础的全面风险管理的体系，主要内容包括：全面风险管理目标、风险导向的内部控制体系、风险管控、风险管理考评、风险管理报告与风险预警六个方面。在实际操作过程中，基于内部控制的集团企业全面风险管理的主要内容一般通过编制《基于内部控制的集团企业全面风险管理手册》来体现，以其作为集团企业开展全面风险管理工作的操作性文件。

二、基于内部控制的集团企业全面风险管理的运行机制

以内部控制为基础的全面风险管理的运行机制主要包括设立全面风险管理目标、构建风险导向的内部控制体系、实施风险管控、开展全面风险管理考评、明确全面风险管理预警体系和建立全面风险管理报告体系等。

1.设立全面风险管理目标基于内部控制的集团企业全面风险管理应该始终围绕支持集团企业战略目标的实现而开展工作，使风险管控与集团企业战略目标相适应，并将风险控制在集团企业可承受的范围内，为确保集团企业战略目标的实现提供合理保障，以实现“最大限度的企业价值”。因此，需要在集团企业战略目标的指引下，设立全面风险管理目标。第一，进行集团企业环境分析。采用“SWOT”和“PEST”分析法，全面分析集团企业所处的内外部环境，并形成环境分析报告。第二，制定集团企业风险管理方针。基于环境分析报告，制定集团企业对各种重大风险和重要风险领域的风险管理方针。第三，设定集团企业战略目标。为了保证集团企业建立科学、合理战略目标，将集团企业战略与风险管理有机结合起来，将风险偏好与集团企业战略相联系。在集团企业战略目标设定过程中，需要充分考量各种风险的影响，使集团企业战略目标与风险管理方针相吻合，保证集团企业战略目标与其风险偏好相一致，确保集团企业发展战略、风险管理方针与价值创造相一致。因此，在制定集团企业战略时，一方面使集团企业发展战略符合既定的风险管理方针，另一方面，通过风险管理为促进集团企业战略目标的实现提供合理保障。第四，制定集团企业运营目标。以集团企业风险管理方针和战略目标为依据，设定运营目标，据此确定三年或五年滚动经营计划。在运营目标的设定和经营计划编制过程中，要充分考量各种运营风险，并使运营目标、经营计划与风险管理方针和战略目标相容。第五，建立集团企业全面风险管理目标体系。根据运营目标，制定集团企业全面风险管理总目标以及分子公司、各部门和业务单位的具体风险管理目标，形成集团企业全面风险管理目标体系。

2.构建风险导向的内部控制体系内部控制要以风险为导向，分析、设计和实施内部控制活动，旨在全面降低和管控集团企业风险。（1）开展内部控制现状诊断评价以集团企业全面风险管理目标体系为指导，以《企业内部控制基本规范》、《企业内部控制应用指引》为依据，以“行业最佳实践”为标杆，从“内部环境、风险管理、控制活动、信息与沟通、内部监督”五个方面，采用问卷调查、访谈、制度审核、流程测试等方法，了解集团企业业务运作、经营管理现状，分析评估内部控制事项是否符合相关的内部控制要求，是否符合集团企业制定的全面风险管理方针，诊断内控薄弱环节，评价内控有效性[3]。通过以上诊断以及评价，揭示风险管理的主要问题，确定基于内部控制的集团企业全面风险管理体系建设的重点。例如，2013年，JZ能源集团按照上述诊断评价方法，对“投资、融资、担保、销售、采购”五个重要业务环节，共设置了446个检查点，全面剖析经营管理及内部控制现状，查找不足。通过内部控制现状诊断评价发现五个重要业务环节的总体完善度为64.57%，属于中等；检查点的执行有效率为85.20%，结果良好；制度的总体合规率为75.78%，属于中等。由此可知，其内部控制还存在缺陷，需要强化内部控制体系建设和提升内部控制执行力。（2）建立风险识别分类框架结合集团企业生产、经营与管理现状、实际业务板块特点、外部环境以及内部条件，运用访谈、研讨、资料研究、发放调查问卷、审阅所有重要的管理制度以及制度与流程相结合的形式，建立风险识别分类框架，规范风险描述语言，统一对风险的认识和理解，并明确各类风险的责任管理部门。例如，2013年JZ能源集团按照上述方法，从“战略、法律、运营、财务、市场、投资”方面建立了风险识别分类框架，见图1。（3）进行风险辨识根据风险识别分类框架，对各类风险进行分类细化，辨识出集团企业需要关注的风险事件，形成集团企业风险事件库，找出各风险的关键影响因素，揭示风险发生的内外部原因、暴露状态以及潜在的不利后果，明确各项风险管控的关键责任部门与个人，对接集团企业的有关业务流程、管理流程和制度，确定关键业务流程、管理流程的风险事项。例如，JZ能源集团企业根据上述风险辨识流程与方法，初步建立了包含137条风险事件的风险事件库，形成了集团企业总部层面风险库，涵盖了集团企业内外部的主要风险表现。总部层面风险库的一级风险目录6个，分别为“战略风险、投资风险、市场风险、财务风险、运营风险、法律风险”。一级风险目录下又分为39个二级风险子类别，其中战略类风险8个，风险事件18条；市场类风险7个，事件36条；财务类风险7个，风险事件21条；运营类风险8个；风险事件20条，法律类风险5个，风险事件33条；投资类风险3个，风险事件9条。该集团企业风险整体分类框架见图1。（4）进行风险评估针对辨识出的风险事件，从风险发生的可能性和风险发生对战略目标、经营管理目标的影响程度两个纬度进行风险评估，确定其风险水平，找出面临的重大风险、重要风险、中等风险和低风险，确定各项风险的重要性排序和管控重点，绘制风险坐标图。据此，JZ能源集团通过风险评估，明确了2013年的重大风险和重要风险—9个重大风险和3个重要风险。9个重大风险分别为：战略类—资源获取风险、分子公司管控风险、产业政策风险；市场类—销售管理风险、采购风险；财务类—融资风险、担保风险；运营类—安全管理风险；投资类—产（股）权类投资风险。3个重要风险分别为：投资类—固定资产投资风险；运营类—环境保护风险、信息系统风险。JZ能源集团企业2013年重大、重要风险见图2。（5）制定风险管控策略根据风险评估结果，制定集团企业总部层面的风险管控策略，明确每一类（项）重大风险的风险偏好、风险承受度。一般来说，重大风险的风险偏好是集团企业愿意承担风险的重大决策，应该由董事会决定。风险承受度就是集团企业风险偏好的边界，即能够承担的风险水平。例如，2013年SH能源集团确定：安全管理风险偏好为：不能发生铁路颠覆、电力事故、瓦斯爆炸，港口淤泥等任何安全事故，确保安全运行；安全管理风险的风险承受度为：力争达到原煤生产百万吨零死亡率的目标，力争安全生产创出历史最好水平。（6）构建风险导向的内部控制环境风险导向的控制环境包括全面风险管理组织体系、全面风险管理信息系统、全面风险管理文化和全面风险管理制度体系。通过建立完善的风险导向的内部控制环境，塑造全面风险管理文化，进而培养员工的全面风险意识，形成人岗匹配、授权有度、运行有序、监控到位的内控环境。第一，建立权责清晰的全面风险管理组织体系。全面风险管理组织体系是有效实施全面风险管理的组织保障。主要包括规范的法人治理结构、风险管理职能部门、内部审计部门和法律事务部门以及其他职能部门、业务单位的风险管理组织领导机构及其职责。通过合理的组织结构设计和职能安排，将全面风险管理责任落实到每个部门和岗位，明确界定每个部门和岗位的职责并进行有效地传达沟通。JZ能源集团的全面风险管理组织体系见图3。第二，搭建畅通的全面风险管理信息系统。基于内部控制的集团企业全面风险管理体系必须设置全面风险管理信息系统，以便建立起顺畅的内外部风险信息传递与沟通机制，将风险管理相关的所有资讯集成到全面风险管理信息系统中，使相关个人、部门能及时获得履行风险管理相关职责所需的资讯。主要包括风险数据信息的采集、存储、加工、统计、评估、图谱分析、监控、预警、应对等功能。第三，塑造先进的全面风险管理文化。全面风险管理文化是风险管理的世界观与方法论，是基于内部控制的集团企业全面风险管理体系的灵魂。因此，必须以塑造先进的全面风险管理文化为先导。把全面风险管理文化融入企业文化建设和全面风险管理的全过程，建立具有风险意识的企业文化，统一风险语言，培育员工的风险意识，营造风险管理氛围，使风险管理理念贯穿于从战略目标设定到日常运营的各项活动中，固化在员工的行为之中。第四，建立执行有力的风险管理制度体系。鼓励大家藐视各种规章制度是安然破产倒闭的重要原因之一。有效的全面风险管控必须建立完善的执行有力的制度体系，以此来规范每一个员工的行为。全面风险管理制度体系就是要在集团企业的各项管理制度中嵌入风险管控的制度条文。这些制度主要包括公司治理、战略计划、技术管理、财务管理、采购管理、物资管理、人力资源、法律管理、安全环保、行政管理、销售管理、内部控制、信息技术和工程管理等制度。

3.实施风险管控主要从以下几个方面实施风险管控：一是梳理集团企业的重要业务流程、管理流程，进行流程描述，分析流程所涉及的主要风险点和潜在的隐患，同时确定各种风险涉及的责任部门与岗位。例如JZ能源集团风险管理涉及的责任部门，见图4。二是确定重要业务流程、管理流程的关键控制点，针对关键控制点，明确风险控制工具、控制方法、控制程序与措施、控制活动及其检验方法。三是编制《集团企业岗位风险管控手册》，明确每个岗位的风险管理职责和权限等，促进全面风险管理机制在集团企业内部得到有效实施，切实强化日常风险管理，使全面风险管理真正落到实处。

4.开展全面风险管理考评人们只会做你考评的事情，不会做你提倡的事情。要有效地执行基于内部控制的集团企业全面风险管理体系，需要制定《集团全面风险管理工作考评办法》，明确考评的组织机构、范围对象、内容标准、方法程序，对集团企业各个层面的重大和重要风险事项及管理流程、业务流程的管控效果进行考评，评价其有效性[5]。如果考评结果不满足所确定的全面风险管理目标，要按照PDCA循环及时检讨内部控制体系，分析风险管控缺陷，并对全面风险管理体系加以完善和改进，开始新一轮以内部控制为基础的全面风险管理循环，还需要考察全面风险管理目标的合理性，以不断完善集团企业全面风险管理。

5.建立全面风险管理预警体系要有效地执行基于内部控制的集团企业全面风险管理体系，要制定《集团风险监控预警工作指引》，建立风险监控预警指标体系，制定风险监控预警应对策略，利用全面风险管理信息系统，通过连续观测各项预警指标，将数据导入预警模型，计算其综合风险分值，并获取相应的预警信号。按照一定的风险转换矩阵，综合判断各种风险预警等级，分别给出正常、蓝色、橙色和红色预警信号。例如，2013年JZ能源集团全面风险监控预警指标体系，具体如表1所示。

6.建立全面风险管理报告体系全面风险管理报告体系是集团企业利益相关者之间实现风险信息充分沟通的有效保障，健全的基于内部控制的集团企业全面风险管理体系，必须建立规范的风险管理报告体系，全面风险管理报告体系的核心就是要根据利益相关者的信息需求，建立满足风险管理目标要求的风险管理工作报告机制，包括风险管理工作汇报的内容、形式及程序、报告负责人、报告周期、覆盖范围、报告内容、形式、程序及报告分送名单等。全面风险管理报告体系不仅包括风险管理流程中应形成的各种类型的风险管理报告及其内容要求，还要建立这些报告如何在集团企业利益相关者之间、风险管理各职能机构之间传递的风险管理报告机制。

风险管控的流程篇6

关键词：企业内部控制内控现状解决措施

电力企业是整个国民经济实现可持续发展的基础，是国家的基础产业，在国民经济中发挥着极其重要的作用。当前，电力企业面临的竞争形势越来越严峻，电力企业要在激烈的市场竞争环境中占有一席之地，必须建立完善的内部控制，保证电力企业生产经营活动的顺利进行。

1、企业加强内控管理的必要性

内部控制是由企业全体员工共同实施的、旨在实现控制目标的过程。实施内部控制和全面风险管理是公司应对日益复杂的外部经营环境，推进“四化”工作，实现持续、健康发展的客观要求。近年来，国资委和财政部高度重视企业风险管理，提出了一系列加强企业风险管理与内部控制的配套监管措施。企业构建一个完整科学的内控管理体系，能帮助企业提高自身管理水平，保证企业经营管理合法合规、资产安全、信息真实完整、提高经营效率和效果、促进企业实现战略目标。

2、当前电力企业内控管理现状

完善的内部控制是衡量企业管理水平的重要标志，近年来电力企业大力推进“两个转变”，加强“四化”工作，在企业内部控制管理方面的尝试取得了较好的成果。但总体来看，内控管理现状对比国际最佳实践、国资委《指引》和财政部《内控规范》等监管要求，仍存在一些不足：

2.1、企业风险意识有待加强，公司风险管理文化需要进一步培育

由于长期的计划管理体制和自然垄断的业务属性，电力企业员工风险观念淡薄、责任意识和大局意识不强，对形势的发展变化缺乏敏感性和危机感。部分员工存在一种错误的认识，认为内部控制和风险管理是管理层和财务部门的事情，非全员参与的“过程”，表现消极应付，出现“搞形式”、“走过场”现象。

2.2、内控制度还不够健全，内部控制执行力有待强化

企业的内部控制制度不够全面，部分单位尚未建立风险管理组织保障体系，公司层级的全面风险管理和内部控制信息系统尚未建立，专业人才不足，相关制度有待完善。目前电力企业初步建立了统一的企业内部控制制度和内控流程标准，但在执行过程中，有的单位自我约束力差，有令不行，有禁不止，内控流程和内控制度流于形式，重大风险和重要流程的内控措施没有落实，内部控制的执行力度远远达不到标准；有的单位企业内部管理“闭门造车”各干各的，互不联系，各自为政，企业的各个部门不能很好的配合，致使企业内部控制制度作用发挥的不好。另外，缺乏对内部控制的有效监督措施，有的单位建立了内部审计机构，由于现今企业管理制度的制约，不能充分发挥其监管的职能，使得企业的监管措施形同虚设。

2.3、风险管理不到位，风险协调应对机制有待健全

随着社会经济的不断发展，企业的外部经营环境越发复杂，竞争不断加剧，电力企业能否在越来越大的压力下对风险进行评估，并进行有效的管理和控制，是企业能否实现企业目标与持续发展的重要因素。但由于在电力体制改革以前，作为国家的垄断性产业，企业的风险一般是生产上的安全，经营管理上的风险一般没有过多的考虑，企业依赖长期的行业优势及重生产轻经营的传统理念，造成了对市场分析的缺乏，没有及时的建立完整的系统的风险评估机制，及完善相应的风险解决措施，且部分单位风险事件报告不及时，风险隐患的处置效率较低、公司跨部门、跨专业、系统化的风险协调应对机制有待健全。

3、加强企业内部控制的措施和具体做法

3.1、重视内部控制环境建设，提高人员内控和风险管理意识

企业要加大企业经济安全文化的引导和灌输，及时掌握企业内部控制人员思想行为状况，强化员工风险意识，加强职业道德、内控意识的培养；通过网页、简报、专刊、知识竞赛等形式，多角度、全方位开展宣传内部控制工作，培育良好的内控文化；采取多种培训形式开展内部控制以及专业知识的培训，以提高员工工作能力，减少业务处理的技术错误，促进内控制度的有效执行。

3.2、完善企业内部控制体系，加强企业精益化管理

建立覆盖全流程的内部控制系统和内控手册，制定、完善企业统一的业务流程。各专业部门在日常工作中加强精益化管理，不断完善各项管理制度，优化完善业务流程，实施业务端到端的全流程设计与管理，跨部门流程通过明确部门之间的管理界面及职责，实现横向分段管理；跨层级流程通过上下级之间设置流程接口，实现纵向分级管理，确定分业务、分单位的关键控制点、控制要求和控制措施；将风险管控措施固化在工作流程中，将工作职责落实到岗位，将全面风险管理与内部控制充分融合到日常经营管理流程之中，形成有效的工作机制，强化内部控制，积极预防风险事项发生。

3.3、建立健全全面风险管理体系，有效化解各种风险

电力企业因其内外环境条件变化而面临各种风险，实施全面风险管理的过程也就是对它的所有风险统筹管理的过程，需要将所有风险明确纳入风险管理体系的风险范围，要将风险管理的思想融入企业生产经营的各个环节，做到时时进行风险管理，事事想到风险存在。企业要设立全面风险管理委员会，建立内部控制工作联系制度，组建内部控制建设实施业务组，从公司高层、中层、基层等不同层面，在安全、生产、财务、法律、运营等不同业务领域进行风险管理规划、运作，开展本专业内部控制相关工作。开展各层次、各部门参与的风险管理培训，进行全面的风险管理教育，普及风险管理知识，提高全体员工的风险管理意识，增强识别与管理风险的能力。

3.4、完善企业内部控制评价考核机制，强化内控制度有效执行

检查考核和评价是内部会计控制的重要一环，应由电力企业内部审计部门具体负责。对企业管理控制，通过会计控制进行调查和评价的内部审计职能，可以客观评价制度设计的效果及其实施的有效程度。运用检查、考核与评价手段，其目的在于督促电力企业各级管理主体切实认真地执行内部会计控制制度，企业要明确各单位的风险管理职责，建立风险管理的考核机制，提高风险管理的效率和效果，保障内部会计控制落到实处，实现规范管理和经营安全的企业目标。

企业定期组织开展内部控制评价工作，对内部控制流程的合理性、内部控制制度执行的有效性等各方面开展评价，及时发现内部控制执行的薄弱环节，提出完善内部控制的各项措施，保障内部控制制度的有效遵守。

风险管控的流程篇7

关键词：内部控制；风险管理；内部控制模式

伴随着我国市场经济的快速发展，各种体制、模式的公司如雨后春笋般出现，但因缺乏有效的内部管理，部分企业出现了重大风险，如中海油新加坡事件、巨人集团事件、三鹿奶粉事件等，从某种方面来说是内部控制及风险管理不到位造成的。因此强化企业内部控制管理，防控风险发生是企业未来可持续发展的重要选择和出路。

一、内部控制存在的问题

（一）管理体系存在设计缺陷。内部控制制度虚而不实，完全按照内部控制理论制定制度，造成内部控制制度指导性差。同时内部控制范围上略显狭窄，针对发展战略、企业文化，社会责任、内部信息传递等方面缺乏内部控制要求，造成内部控制制度涵盖的内容与成熟的内部控制要求不符。

（二）风险评估缺乏系统性管理。内部风险识别工作并没有全面开展，对于可能发生的重大风险事项及重大事项的风险点，虽也进行了风险的识别，并没有形成统一的识别工作体系。特别是企业在操作业务过程中，涵盖了部分风险点，但并没有形成企业自身的风险识别成果。

（三）内部控制活动过程管理不到位。国有企业虽然具有一定的规章管理制度，但因制度设计缺陷及制度条款粗放，执行弹性很大，造成公司某项工作开展过程中只重视工作结果，忽略过程中带来的遗留风险及过程效率低下、资源浪费等问题发生。

（四）审计部门独立性及业务能力不强。通常国企的审计部实际隶属于公司管理层，从而缺乏一定的中立性，进行内部审计时，会受到管理层影响，从而导致监管不利。国企业务未成体系化，重要业务集中在集团内部的财务审计工作，审计人员素质相对较弱，且企业流程，制度，风险识别存在缺陷，造成审计工作开展的局限性较强，最终无法形成有效的审计结果。

（五）信息传递存在障碍。信息管理职能缺失，造成信息传递受阻，横向纵向的信息沟通都没有有效的流转路径，因受企业文化及管理方式影响，存在很强的信息壁垒，部门之间缺乏有效沟通，本位主义严重，从而造成了企业生产经营因信息不畅而推进缓慢。部分信息存在失真，可能造成经营障碍及决策失误，存在重大经营风险。

（六）缺乏内部控制自评价。内部控制的自评价体系缺失，没有内部控制自评价体系，造成企业内部控制执行缺乏监管体系及后评价，如企业并没有形成内部控制手册，且尚未建立内部控制矩阵及风险矩阵，企业无法根据内部控制手册对内部控制问题进行及时汇总，进而进行自我检验，从而导致企业管理水平得不到有效提高，应对风险能力较差。

二、基于风险管理的内部控制模式构建

（一）风险管理与内部控制的互动机理。从某种程度上来说，风险管理是以内部控制为基础的，其出发点都是保证企业能够平稳有效的进行运转，都是为企业目标体系服务的[1]。风险管理突出了风险过程管理的应用，内部控制突出规范管理的应用[2]。相对于内部控制而言，风险管理增加了一个观念、一个目标、两个概念和三个要素[3]。对应风险管理的需要，企业应该有一个独立负责风险管理的职能部门。风险管理与内部控制比起来，在包括的主要内容的深度，涉及企业管理的领域上，都有所扩大风险管理的发展，是基于内部控制衍生出来的，本身就是建立于原先内部控制框架的基础之上的，是对原有内部控制框架的延伸。

（二）基于风险管理的内部控制模式设计。以内部控制五要素为构建基础，针对这五方面，要在目前基础上予以改善。在体系构建过程中，要结合企业实际情况，将风险管理内容融入到五要素当中，其中扩展内部环境的范围，加入风险管理的机构及功能设置，此外将内部控制中的风险评估扩展为风险管理，将风险事项识别、评估、预警及风险事项的应对统一纳入到风险管理的理念当中。基于风险管理的内部控制，要突出风险管理职能机构的作用，风险管理组织框架在整体内部控制中的布置与延伸，内部控制环境中的组织机构设置，风险管理中的风险识别，评估，建立风险矩阵及风险地图，控制活动中的风险预警与风险应对，监督过程中的风险自评价等，都需要有落地操作执行机构，新的模式中，风险管理机构的独立与职能定位清晰，是风险管理开展的核心所在，目前根据设计，已经将该部门的职能进行了准确定位，发挥其作用，将对内部控制的完善起到至关重要的影响。要逐渐将企业的流程管理体系作为重点进行建设，流程清晰，就能保证有良好的工作方向与执行监督，并可通过流程体系管理，识别各项业务的流程风险点，从而进行有效控制。在风险发生时如何处理风险，归根到底是要有风险意识，预防意识，企业只有具备了风险管理意识，才能够在内部控制过程中及时发现风险，评价风险，解决风险，这同时还要求管理层及员工提高自身素质，能够具备洞察力与判断力，才能将企业打造成为一个具备风险管理文化的企业。

三、基于风险管理的内部控制保障措施

（一）优化内部控制环境。首先，进行核心业务模式优化；其次，制度体系查缺补漏；再次，建立风险管理职能机构；最后，建立评价与奖惩机制。

（二）强化控制活动。加强全面预算工作的全程化管理，是提高内部控制水平的关键环节之一。在公司内部控制体系的建设中，通过流程管理，来完善内部控制的应用；通过信息化固化流程，来规避流程风险事项发生的可能；通过信息化的操作设计，来降低人为产生的不确定风险。

（三）监督与自评价。要保持内部审计部门的独立性，确保内部审计工作不受外在因素或管理层的干涉，确保内部审计具有较高的权威性和独立性。实行风险管理与内部控制双重监管，审计监察部，可对风险管理的执行进行监控，检查并加以反馈，提示管理层解决内部控制存在的风险管理问题。企业应结合自身实际情况，建立合适的内部控制评价体系，以风险矩阵，风险地图及内部控制手册为基础，从内部控制、风险评估、流程风险点和外部监管等四方面建立评价内部控制机制。

参考文献：

[1]金权，唐丽茹.论风险管理与内部控制[J].品牌，2015.7.

[2]王及源.内部控制在企业风险管理中的作用[J].企业改革与管理，2015.6.

风险管控的流程篇8

随着银行服务的全球化、技术系统的更新、交易量的提高、日趋复杂的交易工具和交易策略等,都增大了银行机构面临的操作风险。对整个银行业和国际监管机构引起巨大震撼的“巴林银行”事件,从表面上来说是由于“关东大地震”所导致的日经指数期货暴跌,日本政府债券却一路上扬,里森不幸在这两个品种上都持有错误方向的筹码。这种突然来临的市场风险直接导致了里森的,及巴林银行的清盘倒闭。但本质上,却是由于巴林银行混乱的内部控制与风险管理体系所导致的,彻头彻尾是由于操作风险而招致的灭顶之灾。巴林事件之所以能发生,关键在于:交易与清算之间应有的制度执行缺失,业务流程应履行的监督失灵所导致。

操作风险源自于内部程序不完善、人为失误、系统故障和外部事件的影响,而银行业务流程是操作风险发生的主要载体,规范、科学、运行良好的业务流程,能从根本上起到规避和减少操作风险的作用。因此,从流程角度来研究操作风险管理是从商业银行操作风险管理和流程管理理论的内在耦合性出发,对银行操作风险管理所做的有益尝试。

二、流程与操作风险

操作风险的核心概念是操作(operations),其本意是“运营或发挥功能的活动或流程(theactorprocessofoperatingorfunctioning,美国传统辞典)”,中心词是活动或流程(act或process)。实际上,商业银行本身就是一个为最终满足顾客需求、实现投资者价值最大化而运行的一系列有密切联系的业务流程和活动的集合体。2005年中国银监会主席刘明康就指出“流程银行”是商业银行变革的方向之一,凸显了“流程”在现代商业银行中的重要地位。银行提品或服务的过程,即是承担风险、消耗资源使得价值从一个业务流程或活动转移到下一个业务流程或活动的过程,最终商品或劳务既是全部业务流程的集合,也是全部资源、全部风险的集合。国内外许多学者在这方面进行了研究,从国内的研究看,主要集中在操作风险的管理框架、度量方法及风险值衡量、基于工作流的操作风险控制及基于流程管理的银行信息化等方面。从国外看,Ebnotheretal.(2002)认为操作风险的衡量和管理一定是基于定义良好的流程,它们是操作风险管理的“精微平台(microscopiclevel)”,该文献中也提到了流程活动的概念,但它们只是作为流程的附属存在。Leippoldetal.(2003)提出并应用价值链的概念来模型化操作风险,而价值链实质就是基于流程展开的。这些研究虽然涉及到流程和操作风险之间的关系,但较为全面论述二者关系的文章还没有见到,特别是将流程理论和操作风险紧密结合起来,重新审视操作风险管理。因此本文从流程出发,以流程的视角分析操作风险管理的两个重要内容:内部控制和风险度量,为银行操作风险管理提供一个新的思路。

所谓流程,普适的定义是指为特定客户和市场提品和服务而实施的一系列精心设计的有逻辑相关性的活动(Davenport&Short,1991)。流程进一步细分为活动(或称为流程活动,activity),流程活动是流程的最基本要素。一个流程活动是接收某一种类型的输入,并在某种规则控制下,利用某些资源,经过特定变换转化为输出的过程,即:

流程活动={输入,处理规则,资源,输出}

其中,资源是指流程活动执行者在执行这一流程活动时所依赖的方法或凭借的手段。一个流程中的基本流程活动是不可再分的流程活动,其特征包括:明确的结果;清楚的边界;独立于其他流程活动。

银行业务流程就是银行实现自身价值所进行的一系列的业务活动,它是银行的核心价值活动,也是隐含风险,造成损失的重要载体。

我国商业银行现有的业务流程可以分为直接创造价值的前台客户服务流程和为直接创造价值活动服务的后台支持流程,这两个流程按照J·佩帕德和P·罗兰的划分分别属于银行的经营流程和保障流程。对我国的商业银行而言,前台后台的业务流程类型如图1所示:

从流程的角度来考察操作风险,也可以从操作风险的定义中反映出来。巴塞尔委员会的定义是:“由于不当或失败的内部程序、人员和系统或外部事件导致损失的风险”,这一定义包含四类因素,即人员,程序,系统和外部事件,但都通过业务流程发生作用。瑞士信贷集团的定义是“由于以不当或失败的方式操作流程活动而对业务带来负面影响的风险,操作风险也可能是由外部因素造成的”。全球衍生产品研究小组曾经给操作风险下过这样一个定义:“操作风险是指由于控制和系统的不完善、人为的错误或管理不当所导致的损失的风险。”它是从人员、系统和操作流程三个方面对操作风险进行了界定,并且把管理作为防止操作风险的决定性因素。银行操作风险涉及组织的各个方面,主要发生在银行服务的各种流程活动之中,流程中的人、系统和操作程序就成为操作风险管理的重点。因而操作风险管理的重要内容是规范、监视和分析组织内部的各种流程,同时将人和系统的因素考虑到流程之中。

由图2可以看出,风险管理流程作为一项支持性的经常活动,对其它流程有着监督的作用,因而可以将风险管理流程和普通业务流程作为整体来考虑,即对流程的数据、知识和规则建模时,可以对每个业务流程活动和类型进行基于损失数据的风险评估和分析,做到每一个流程活动的流程管理和风险管理。

三、流程视角下的银行内部控制框架

自1992年美国COSO委员会《内部控制框架》(简称COSO报告)以来,该内部控制框架已经被世界上许多银行所采用,但理论界和实务界纷纷对内部控制框架提出一些改进建议,强调内部控制框架的建立应与银行的风险管理尤其是操作风险相结合。新的全面风险管理框架就是在1992年的研究成果--《内部控制框架》报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes-OxleyAct)在报告方面的要求,进行扩展研究得到的。《萨班斯-奥克斯法案》是安然、世通等财务欺诈事件发生后,美国证监会于2002年7月30日颁布并实施的强制所有在美国上市的公司在2006年财年结束前执行的一项内部控制法案,被美国总统布什称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”。该法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。要求银行针对产生财务交易的所有流程活动,都做到透明度、控制、通讯、风险管理和诈欺防治,并且这些流程必须详加记录到可追查交易源头的地步。

在传统的劳动分工原则下,职能部门把银行的流程割裂成一个个独立的环节,关注的是单个任务或工作,其结果就是忽视内部控制的动态性、系统性。从流程的视角出发,就需要从顾客需求出发,对银行流程进行系统性的思考分析,或通过对银行流程构成要素的重新分解、组合,以此实现银行流程彻底的改造和重新设计,从而获得银行绩效的持续改进。它不再强调单个工作或任务自身是什么,而是这些工作是如何有效执行的,因为银行的一切经营活动就是一系列富有逻辑关系的流程的有序集成,因而契合于银行整个业务流程的内部控制活动和程序,也将表现出如同流程再造那样必须根据外界需求变化不断检视和调整的系统动态过程,这个过程也体现了银行抵御外部影响而导致操作风险的柔性能力。

进一步看,流程实际上又是由一系列流程活动的集成,也即银行就是一个为满足履行要素使用权交易合约需求而设计的一系列流程活动的集合体。流程活动是通过组织、单位或成员按照一定的流程、活动的要求来完成。为此,内部控制的功能不仅在于通过流程活动的分析,剔除非增值流程活动,实现流程的最优化,而且还要保证最优化的流程有效地运行,并在此基础上根据客户的不断变化的需求产生最优的流程。此时,内部控制实际上进一步彰显其过程化的行为,成为银行最优化、间接和理性的流程活动标准,并按照控制的循环步骤,实现内部控制的目标。其具体过程如下图3所示。

显然,传统的内部控制强调权利与职责的分配、岗位相互之间的牵制等基本理念将受到严重挑战,原有“要素化”的控制方式将会被流程化、系统化的控制机制所取代,也就是说职能控制、岗位控制将被流程控制所替代,从上到下的分权控制将被各个流程活动之间的控制、各个任务之间的控制所替代。在流程视角下,信息流、资金流成为银行经营活动的基本组成要素。为迎合银行业务流程管理和操作风险控制的需要,内部控制实际上将演变成一种最优化、简洁和理性(合乎逻辑)的流程活动方式或流程活动标准,实现资金流和信息流的高度合一,达到控制和规避操作风险的目的。

四、基于流程活动的操作风险度量

巴塞尔新资本协议中将银行业务分为8个产品线,19个二级目录及50多个业务群组,但这种划分只是停留在流程层面,并没有深入到流程活动层面。正确划分银行流程活动,应从银行本身的规模、战略、业务特性和管理特点出发。对流程活动分解的越细,就越容易找到具体的风险驱动因素,从而越能对操作风险进行准确衡量与管理,因此,合乎逻辑的做法是将银行业务划分为产品线,再细分为流程,最后细分到流程活动。

定义、衡量和控制操作风险,不可能对所有的银行流程活动都同样关注,而应该重点关注银行的核心流程活动,对银行的增长和收益没有贡献的非核心的流程及流程活动不应予以考虑。

巴塞尔委员会将操作风险因素划分为7个类型,在此基础上进一步细分为20种、71个具体风险因素。Doerig(2004)将操作风险类型分为5大类,即组织,政策/过程,技术,人员和外部,细分因素有20种;英国银行服务局(FSA,2002)在其关于操作风险系统和控制的咨询文件(CP142)中将形成操作风险的因素归结为人的因素、过程和系统、外部事件、外部采购和保险等5个方面。尽管细分的风险因素中可能包含几十种,但具体到不同的流程活动,很可能只有几种因素在起作用。

银行业务可以划分为若干个产品线,每个产品线由一组流程组成,而每个流程又由一组关键流程活动ai构成,每个流程活动都有潜在的fj种风险因素可能导致操作风险。图4所示的流程活动和风险因素的组合显示了基于流程活动的操作风险度量原理。

图4中,横坐标为关键流程活动,纵坐标为风险因素。图中取1的为关键流程活动与风险因素的有效组合,取0表示该组合无效。例如组合(a2,f1)表示在流程活动a2中,风险因素f1不起作用。对于有效组合,可以进行衡量或评估以确定该组合下的风险损失Rij。如果确认了银行业务中的所有关键流程活动ai和风险因素fj,那么就可以得到一个关键流程活动/风险因素组合有效性矩阵,在该矩阵中,有效组合取值为1,无效组合取值为0。

一般地,操作风险度量有两大类方法,即自上而下法和自下而上法。自上而下法基于宏观数据来度量操作风险,不去识别具体的损失事件和原因。自下而上法则是利用具体的事件来决定操作风险的来源并进行度量,属于风险敏感方法。巴塞尔新资本协议中的前两种方法属于自上而下法,第三种方法即高级衡量法属于自下而上法。委员会鼓励银行提高风险管理的复杂程度并采用更加精确的计量方法。基于流程活动的操作风险度量方法将银行业务细分为流程活动,识别每一流程活动中潜在的具体风险因素,在此基础上衡量风险损失,因而属于风险敏感的自下而上方法。

该方法首先确认流程活动和风险因素将银行操作风险暴露分解,EI(i,j)表示第i个流程活动在j类风险因素下的风险暴露;PE(i,j)表示流程活动i在风险因素j下操作风险发生的概率;LGE(i,j)表示流程活动i在风险因素j下的预期损失程度,那么,组合(ai,fj)的操作风险预期损失为:

如果数据是够充分,模型还可以估算出不同风险损失之间的相关系数,从而使计算结果更加准确。基于流程活动的操作风险度量深入到微观的活动层面,对流程活动的各个要素和风险驱动因素进行分析,为银行控制和缓释操作风险提供了依据。

该方法将操作风险度量与管理有机地结合起来。将操作风险度量和管理建立在对银行关键流程活动及潜在风险因素的清晰理解基础之上,它考虑到了每个流程活动/风险因素组合(ai,fj)的损失分布,考虑到了流程活动之间的衔接同样是操作风险的重要来源,考虑到了流程活动与流程活动之间、风险因素与风险因素之间的相关关系,从而保证了衡量的准确性。

风险管控的流程篇9

摘要：随着市场经济的不断发展，金融风险也在不断加大，如今企业的现金流量管理已经成为企业财务管理中的一项重要工作，企业现金流量管理的目的之一是防范风险，现金流量管理和风险控制之间是相互联系的，通过对企业现金流量的管理有利于风险控制的进行。现金流量管理能够降低企业经营风险，促进企业持续健康发展。

关键词：分析；企业；现金流量；风险控制；措施

随着市场金融风险的不断加强，企业对现金流量管理也变得日益重视，现金流量管理是指企业将现金流量作为管理的重心，在企业正常的经营活动和投资、筹资等活动中构建相关的管理体系，对未来的现金流动的数量和时间进行全面的预测和规划，从而解决企业现金支出与流入的平衡，确保现金的通畅措施。

一、现金流量管理与风险控制的重要意义

（一）现金流量管理的重要性

现金流量信息能够反映企业的实际支付能力、偿还能力、资金周转情况。而这些实际反映的信息可以促进企业决策的实效性。现金流量管理有助于企业财务控制的加强。通过现金流量的管理能够促进企业财务管理的监控力度，并杜绝了体外循环等弊端。同时现金流量状况能够体现企业持续经营的能力。

（二）风险控制的重要性

通过风险管理能够有效的规避企业在法律、财务、社会责任和投资中的风险，促进企业经营活动的健康持续发展。

（三）企业进行风险控制需要进行现金流量管理风险控制的主要目标是降低企业在生产经营过程中的风险因素，从而提高企业经济效益。并在风险发生之前做好有效的风险评价，并做好相对应对措施，尽可能的将风险带来的损失降到最低。做好现金流量管理，能够有效的对企业现金进行科学合理的使用规划，降低因现金支出和收入的不平衡带来的风险。

（四）企业进行现金流量管理需要进行风险控制在企业发展中，不能只注重利益而忽略现金管理，造成风险产生。为了实现企业现金流量管理必须进行风险控制，对风险进行预先识别，并做好相关的评价工作和现金流量管理的统筹工作，从而促进企业的经济发展。

二、现金流量管理与风险控制的目标定位

现金流量和风险控制都是企业管理的重要组成部分，二者具有相同的目标定位，都是实现企业的经营目标，促进企业的经济效益最大化。

（一）现金流量管理的根本目标

现金流量管理的根本目标主要体现在：经营活动现金净流量最大化、现金持有量最优化。所谓经营活动现金流最大化是指：相对量最大化、绝对量最大化、长期最大化。而现金持有量最优化是指：现金是一种存量的资产，具有极强的流动性，过多或过少的现金持有量都不是健康的发展状态，因此现金持有量的最优化是现金流量管理的重要目标。

（二）风险控制的根本目标

风险控制的根本目标与现金流量管理的根本目标都是企业财务管理目标的具体化，企业经营过程中始终存在着各类风险，想要降低风险带来的损失必须进行风险控制，而风险控制的根本目标就是通过最小的风险控制成本获得最大的安全保障，进而促进企业发展和经济效益的提升。

三、加强现金流量管理，提高风险控制力度的措施

（一）加强现金流量管理，以规避风险为导向

若企业在经营过程中投资率或增产率超出了相关的标准，就会为企业带来资金断裂的风险，必然会对企业的发展造成极其恶劣的后果。因此企业在加强现金流量管理的同时，必须做好相关的风险控制，制定明确的资金流量战略规划，将现金流量和企业发展有机的结合起来，合理配置现金流量，促进企业健康发展。

（二）提高企业现金的使用率

加强现金流量管理，对未来的现金使用做好实际规划，确保不会出现财务风险。在经营活动过程中，制定详细的现金流通制度，并加强经营环节中的监控管理，增加现金的流通性，促进现金实现多次循环，提高现金的使用率。对于现金的流出，要做好现金流量的管理，避免企业自身流动资金不足而引起的风险。

（三）加强内部控制与监督

企业内部控制是现金流量管理的重要保障，因此在强加现金流量管理时要做好企业内部控制。企业内部控制需要站在企业整体的角度，确保企业内部不同部门切实履行自身职责。同时加强对现金使用的审批工作，要求使用部门做好相应的申请报告，并做好现金使用的反馈工作，使财务管理部门能够准确的把握现金的流向。

（四）建立现金流量风险预警机制

投资错误、生产过剩等都会给现金流量带来风险，面对这些风险就需要企业建立相关的现金流量风险预警机制，从而降低现金流量管理的风险，提高现金流量管理的效率。

现金预算在风险预警机制中具有十分重要的地位，现金预算能够确定企业的相关投资途径、确保现金支出能够获取预期的效益，降低资金的浪费，提高资金的使用率，是现金流量管理的重要组成部分。在实际的经营工作中，当使用的现金超出现金预算时，就需要及时采取相关的控制措施，确保企业的正常经营，控制经营活动中的风险，增加企业的经济效益。

（五）加强销售与收款环节中现金流量管理，实现企业风险控制

首先需要做好客户的信誉审批工作，确定客户具有良好的信誉、经济效益以及足够偿还能力。在信用审批的过程中，需要关注客户以往的信用记录，降低因为客户信誉问题带来的风险。在销售过程中，要确保自身商品拥有足够的库存，增加发货速度，促进现金流入的速度。在收款时，要尽量鼓励客户采取全额付款的模式，从而降低企业现金外流时间较长的风险。对于分期付款的需要建立相关的档案体系，确定账目细则，对于逾期不付者，做好督促客户付款工作，必要时向有关法律部门寻求帮助，从而加强现金流量控制，实现企业风险控制，促进企业健康发展。

结束语

随着市场经济的不断发展，金融风险也不断提升，现金流量管理是目前企业财务管理中的一项重要工作，现金流量管理和风险控制之间是相互联系的，二者具有相同的目的，将现金流量管理和风险控制紧密结合在一起，能够有效降低企业现金流量中的风险因素，从而增加企业资金的利用率，增加企业的经济效益，促进企业可持续发展。

参考文献：

[1]梁飞媛.现金流量管理与风险控制[N].中国会议，2010，（12）.

[2]姜秀明，李文华.刍议现金流量管理与企业风险控制[J].2010:（11）.

[3]李良生.施工企业现金流量管理与财务风险控制[J].价值工程，2014：（28）.

风险管控的流程篇10

关键词：全面风险管理；国际工程承包；风险体系建设；风险策略研究

中图分类号：C93 文献标识码：A 文章编号：1001-828X（2014）04-00-01

一、全面风险管理信息系统的构建

全面风险管理是以信息的有效传递和信息共享为前提条件的，当信息流无法实现快速和有效传递时，全面风险管理将很难实现。国际工程承包企业的业务区域遍布全球，更需要建立一套统一的、高效的信息系统，使企业能广泛、持续不断地收集与本企业战略风险、财务风险、运营风险、市场风险、法律风险等相关的内部、外部初始信息，包括历史数据和未来预测，对收集的初始信息进行必要的筛选、提炼、对比、分类、组合，形成风险信息数据库。具体包括ERP系统、OA系统、各种分析模型及软件、知识管理等信息系统。

二、全面风险管理内控系统的构建

内部控制作为全面管理体系的一部分，是通过针对企业的各个主要业务流程设计和实施一系列政策、制度、规章和措施，对影响业务流程目标实现的各种风险进行管理和控制。内控措施主要包括：建立内控岗位授权制度、内控报告制度、内控批准制度、内控责任制度、内控审计检查制度、内控考核评价制度、重大风险预警制度、企业法律顾问制度和重要岗位的权力制衡制度。

对于国际工程企业，应以对海外机构和工程项目的内部控制为重点，建立健全对国际工程项目的管控体系，对项目的全流程进行梳理，从市场考察、投标、合同评审、决策、项目实施、过程控制到竣工审计等形成一套成熟的、完整的、操作性强的管理办法。同时，找出关键控制点，设立内控程序加以控制。

三、全面风险管理流程

全面风险管理的基本流程由五个基本步骤组成，包括收集风险管理初始信息、进行风险评估、制定风险管理策略、制定和实施风险管理解决方案、风险管理的监督与改进。

国际工程项目的全面风险管理流程，与传统的、局部的、单向的风险管理相区别，将项目概念、开发和实施三个阶段视为一个复杂的、进化的过程，并在一系列战略目标下进行管理，随目标的调整而变化。在这样一种流动的、弹性的环境下，风险管理和其他项目管理活动是融为一体的，渗透于项目的整个生命周期和每一项活动之中，并且贯穿于项目全过程始终，是一个连续的、动态的、循环往复的管理与反馈过程（见下图）。

图全面风险管理流程图

1.根据业务流程进行全面的风险识别

风险识别就是从系统的观点出发，横观国际工程项目所涉及的各个方面，纵观国际工程项目建设的发展过程，将引起风险的极其复杂的失误分解成比较简单的、容易被认识的基本单元。从错综复杂的关系中找出因素间的本质联系，在众多的影响因素中抓住主要因素，并分析他们引起投入产出的严重程度。

国际工程项目风险的来源极为广泛，有多种分类方法。按照项目管理的几大要素，可将国际工程承包风险分为工期风险、成本风险、质量风险、安全风险等。引发这些风险的来源可分为技术风险、业务风险、业主风险、地区风险和其他风险，这些风险又由更具体的风险构成，如现场自然条件、施工复杂难度、合同管理水平、施工资源的获取、与业主监理和分包的合作、业主信誉和筹资能力、当地政治法律社会环境、外汇风险、税收风险等。

2.风险评估和分析

风险评估是对识别出的风险进行测量，评估其发生的可能性、风险大小和影响程度，以便采用不用的风险策略。风险分析是通过对风险分析工具、技术以及风险表现类别的掌握，对风险存在和发生的时间、风险的影响和损失、风险可能性、风险级别以及风险的可控性加以分析。目前风险分析的方法主要包括：决策树法、模糊分析法、影响图表法等。

针对评估分析出的不同风险，可以采取不同的风险应对策略，主要包括：风险回避、风险转移、风险转换、风险对冲、风险补偿、风险控制和风险承担等。

四、风险监控

风险监控是对风险的监视与控制。其目的是核对策略与措施的实际效果是否与预见相同；寻找机会改善和细化风险处理计划；获取反馈信息，以便将来的决策更符合实际。风险的监控应是一个实时的、连续的过程。

经过上述风险管理流程的五个步骤在业务管理中不断地、周而复始地运用，将使国际工程承包的相关风险得到合理的、有效的管理和控制。可以把这个过程看作一个输入和输出的系统，风险信息输入这个系统后，通过风险识别、评估和分析，根据不同的风险采取不同的应对措施，输出风险处置方法并监控结果，同时在整个过程中纠偏识差、不断改进，使风险控制系统保持持续的、有效的运转。

参考文献：

[1]国务院国有资产监督管理委员会.中央企业全面风险管理指引，2006-6.

[2]邱明亮.国际工程承包项目税务筹划的案例探讨.2010-6.