企业风险管理与内部控制
一 风险管理的定义 企业风险管理是一个过程，它由一个企业的董事会、管理层和其他人员实施，应用于战略制定并贯穿在整个企业之中,旨在识别可能会影响主体的潜在事件，管理风险以使其在该企业的风险承受范围内，从而为企业目标的实现提供合理保证。
理解风险管理的七个关键点： (1)企业风险管理是一个过程,它持续流动于企业之内； (2)企业风险管理是由组织中各个层级的人员来实施的; (3)企业风险管理应用于战略制定的过程中; (4)企业风险管理贯穿企业整体,在各个层级和单元应用,还包括采取企业整体层级的风险组合观; (5)企业风险管理旨在识别那些一旦发生将会影响企业的潜在事项,并把风险控制在风险容量以内; (6)企业风险管理能够向一个企业的管理当局和董事会提供合理保证； (7)企业风险管理力求实现一个或多个不同类型但相互交叉的目标。
1、风险管控是一个过程，而不是目的
2、这一过程贯穿企业管理的各个层面、各个单元
5、这一过程为目标的实现提供合理保证
3、力求实现一个或多个不同类型但相互交叉的目标
4、风险管控旨在识别那些一旦发生将会影响企业的潜在事项,并把风险控制在风险容量以内
股东大会或董事会授权
确保有一个适当的目标设定过程是风险管理的事，但管理层选择的特定目标不是风险管理的组成部分
在适当风险评估的基础上对风险做出反应是风险管理的事，但所选择的特定风险应对策略和相关的资源配置不是风险管理的组成部分
采取适当的过程和程序来选择会计确认、计量和披露政策是风险管理的事；但选择某一特定会计政策不是风险管理的组成部分
确定和实施控制活动以确保管理层选择的风险应对策略得到有效的实施是风险管理的事,但所选择的特定控制活动不是风险管理的组成部分
如何在风险评估的基础上进行股票投资是风险管理的事，选择某一特定股票不是风险管理的组成部分
风险管理是通过过程的把握来保证结果的合理性，避免行动的盲目性和随意性，为目标实现提供合理保证。
战略风险管控
执行风险管控
目标
风险管控基础：环境因素 治理结构、文化与理念、胜任能力等
二 《风险管理框架》与《内部控制框架》的区别
2004年9月,COSO发布了《企业风险管理——整合框架》,拓展了1992内部控制框架,更关注于企业风险管理这一更加宽泛的领域。COSO不打算、也的确没有用企业风险管理框架取代内部控制框架,而是将内部控制框架纳入其中,公司不仅可以借助这个企业风险管理框架来满足它们内部控制的需要,还可以借此转向一个更加全面的风险管理过程。
三、企业治理层面风险管控
董事会的独立性 董事的知识与经验 专业委员会的设置及权力配置 董事会议事规则 董事会及下属委员会掌握重大信息、敏感信息的充分性与及时性 董事会及下属委员会对重大问题所采取的行动
四、风险管理与内部控制实施方案及路线图
1、内控人文环境评价
（1）管理层的认识
座谈会法、问卷调查法、个别访谈法
（2）企业文化与价值观
（一）现状评价
（3） 各岗位员工的胜任能力
公司的使命对本岗位的要求
胜任本岗位工作的知识、技能和经验
沟通能力以及本岗位与其他岗位的衔接
内控及风险管理制度对本岗位的要求