1、摘 要隨著國內人工成本逐年提升，物流成本也是油漲車難求局面，對于生產制造型企業來說，這兩項費用的加重，就如平靜的水面砸了兩顆大石頭，周朝波紋迭起。原本被活躍的市場，密集的訂單與利潤所掩蓋的風險和漏洞，逐漸浮出了水面，中國制造（made in china）似乎要被押解到審判臺，終究要接受資本市場的考量。“暴發戶”和“土豪”能否向“資本家”成功轉型，關系到他們掌控的國內這一類代表勞動力密集型，福利性企業能否成就百年經典，打破富不過三代的厄運。然而，一個真正能稱謂企業家的企業掌控人其實都知道，一個能真正代表行業發展方向的企業龍頭，無論是勞動力密集型，技術密集性還是資本密集型，又或是享受國家調控特殊“

2、待遇”的企業，無時無刻不是在接受外部市場風險和內部控制風險的考驗，關鍵是看矛盾激化、問題暴露的那一刻能否防范和應對，抵御風險，平穩著陸。環保機械制造行業既有傳統機械制造行業的勞動力密集型所遺傳的負面因子，同時也趕上了新世紀環保行業的綠色直通車所帶來的契機。本文通過對coso-erm2004從四類目標、八大要素和四層企業內部的不同層次的單元構成了三維視角的企業全面風險管理的模型的深入研究，依據中央企業全面風險管理指引、企業內部控制基本規范要求，對照n公司，一家殯葬及環保殊設備制造企業的現有執行的企業管理體系，發現其中的漏洞和不足，預測其可能面對的風險，模擬調整該公司的管理體系政策，總結適合該公司

3、建立的具體風險管理體系框架，探索n公司所代表的這一特殊設備制造行業的發展方向。關鍵詞：全面風險管理，coso-erm2004，中央企業全面風險管理指引，企業內部控制基本規范26目 錄摘 要i第1章 緒論21.1 研究背景與意義21.2 研究目的與內容21.3研究方法與思路3第2章 全面風險管理理論發展與國內實踐現狀42.1企業全面風險管理理論的起源與發展42.2國內企業全面風險管理理論與實踐現狀9第3章：n公司全面風險管理體系的構建探索143.1 n公司基本情況143.2 n公司經營管理現瓶頸143.3 n公司目前全面風險管理現狀163.4 n公司全面風險管理的選擇：企業內部控制基本規范17第

4、4章 結論與展望244.1主要結論244.2 研究局限254.3 后續研究的方向25參考文獻26第1章 緒論1.1 研究背景與意義自2009年民政部頒發關于進一步深化殯葬改革促進殯葬事業科學發展的指導意見，同年發布并開始實施gb13801-2009燃油式火化機大氣污染排放限值新標準以來，中國殯葬設備機械制造行業市場掀起了新一輪的爭奪戰，由同質化的價格戰到環保技術創新的攻堅戰，相關傳統機械制造企業、公司和新型環保企業、公司經歷了四年的較量，依然是前赴后繼，至今未有停息。從企業性質來看，真正專屬經營殯葬火化設備的國有企業目前全國范圍不超過3家，然而專業經營該行業的民營企業、公司卻超過200家以上，

5、如果加上經營相關配套環保設備的企業、公司那就用雨后春筍來形容也不為過。作為特殊設備生產制造行業，該行業的企業、公司比起電梯、壓力容器、閥門、起重設備等大眾化行業、公司要更具特殊性，該行業的產品不會被大眾所認知和使用，所以作為經營該產品的企業和公司在經營管理，尤其銷售模式上更具有其特殊性。盡管作為行業的劃分來說，單純經營殯葬火化設備的企業和公司屬于特殊行業，但從市場經營角度上來說，任何從事經營活動的個人、企業、公司都必須遵循市場規律，優勝劣汰是必然的結果，市場、環境帶來的風險卻以日劇增。事實上，隨著我國殯葬事業的改革，殯葬火化設備技術的不斷攻克，那些缺乏風險管理意識，眼中看不到競爭日益激烈的企業

6、早已經被分化和淘汰，能夠堅持存活和運營的企業、公司正面臨著來自同行和相關配套環保設備企業的雙重夾擊，同時，企業內部自身的風險因為經營性質和資金等問題逐漸暴露。作者在鑒于對國內殯葬火化設備生產制造的企業和公司的重點調研中發現，無論是行業中歷史悠久的龍頭企業，還是新近成立的潛力企業，對于企業的風險管理理論與內部控制制度的建設和實施經驗都遠遠無法與國內市場格局的發展同步。因此，在全面風險管理框架內，探索作為殯葬火化設備行業龍頭企業的n公司有效建立并實施全面風險管理體系，有助于看清中國殯葬設備企業的發展方向。1.2 研究目的與內容本文通過對coso-erm2004從四類目標、八大要素和四層企業內部的不

7、同層次的單元構成了三維視角的企業全面風險管理的模型的深入研究，依照中央企業全面風險管理指引、企業內部控制基本規范要求，再研究國內工程機械制造行業全面風險管理體系構建的方法、步驟和實施情況，根據殯葬火化設備企業的特點，探索n公司實施全面風險管理體系的有效途徑，從而實現提高該公司管理層次、提高利潤收益水準、實現殯葬設備行業與市場同步的戰略目標，旨在解決建立殯葬設備企業全面風險管理體系的問題，明確該行業的發展方向。主要包括以下幾個方面：（1） 基于對全面風險管理理論及國內外相關研究的理論文獻綜述，分析國內工程機械企業內部控制制度的建立和實施，旨在探索殯葬設備企業全面風險管理方面存在的問題及導致問題的

8、成因。（2） 參考coso-erm2004的要素和原則，依據中央企業全面風險管理指引、企業內部控制基本規范，以n公司為例，探索目前我國殯葬設備企業內部控制建立和實施中的問題，借鑒國內不同行業企業的實施經驗，導入適合于該公司的全面風險管理體系，為其建立提出初步的規劃。（3） 預測n公司建立并實施合適的全面風險管理體系過程以及所可能產生的成效，探索為我國殯葬設備行業內部控制體系建立，提供一個具有可操作性的示范，并從中找出該行業企業的發展方向。1.3研究方法與思路本文通過理論分析和案例研究，采用理論分析和實際案例應用研究相結合、一般分析與重點分析相結合的研究方法。全文共分為4章，主要內容簡述如下。第

9、1章：緒論。介紹本論文研究的背景、意義、目的、內容、研究思路與方法。第2章：全面風險管理理論發展與國內實踐現狀。介紹全面風險管理理論與實踐的發展階段、國內企業風險管理的研究現狀以及coso-erm2004從四類目標、八大要素和四層企業內部的不同層次的單元構成了三維視角的企業全面風險管理的模型，在中央企業全面風險管理指引、企業內部控制基本規范的基礎上國內企業全面風險管理的實踐現狀。第3章：n公司全面風險管理體系的構建。通過對n公司基本狀況、內部控制的現狀、存在問題的思考，對照中央企業全面風險管理指引、企業內部控制基本規范，結合國外coso發布的整合框架下內部控制制度構建的探索。第4章：結論與展望

10、。介紹本文總結的主要研究成果及本文在開展研究過程中的局限性，探索后續研究方向。第2章 全面風險管理理論發展與國內實踐現狀2.1企業全面風險管理理論的起源與發展關于企業全面風險管理理論的發展階段，本文借用了劉立新所著風險管理中的觀點，將其起源到后續的發展分為五個階段1（29-32）。第一階段，風險意識到風險管理意識的萌芽這一階段如果再次進行追本溯源的劃分，也可以再次分為兩步走。第一步從人類出現，人類意識的誕生，思前想后就可以當成是風險意識的最初形態。第二步隨著貨幣的出現，人類對交易、商人有了更加明確的認識和歸類，對于交易過程中可能產生的風險開始有了預防和補救。例如在生產、運輸、交貨過程中的保護措

11、施，這個階段意味著商業形態的成熟，同時也反映了商人對于交易風險所形成的一種常識認知，我們可以認為在全職商人出現的那一刻，就是風險管理意識萌芽的開始，并隨著市場的發展逐步的成為進行所有商業活動的關鍵準備階段。第二階段，企業風險管理意識的萌芽階段（19世紀末20實際初）隨著國外工業革命的誕生，國內近代民族工業的起步，公司、企業等經營形式悄然而生，這也就意味著風險管理意識的載體開始由自然人個體開始向法人個體轉嫁。這一階段的代表人物有法國的古典管理理論主要代表人之一、管理過程學派的創始人的亨利·法約爾，其在1916年發表的著作工業管理與一般管理中，提出了管理活動的計劃、組織、指揮、協調和控制

12、的5要素2，安全職能等第一次將風險管理思想與企業管理緊密相連。工業革命所帶來的除了生產方式與技術的翻天覆地的變化以外，還有生產關系的重大變革。尤其在資本主義國家，生產形勢相比過去的傳統手工時代發生了巨大的變化，帶動了整個國際貿易格局的改變：從自由競爭階段過渡到壟斷資本主義階段。然而，在資本家們瘋狂積累資本的同時，資本主義國家本質的矛盾不可避免，并以各種各樣的形式延伸到了資本市場的各個環節。資本土義國家第一次震撼世界的經濟大危機悄然而來在這場危機中，美國可以作為代表，產品滯銷、資本短缺、企業倒閉，經濟出現大范圍的蕭條局面。面對突如其來的大災難，如同地震、火山爆發、泥石流一樣讓人感覺無能為力，工廠

13、倒閉、工人失業、社會財富遭到巨大損失的大災難，人們開始思索如何減少和消除類似的災難性后果。1930年，美國管理協會(ama)發起的第一次關于保險問題的會議上，賓夕法尼亞大學的所羅門·許布納博士指出：“防患于未然就是最大的保險”，這也表達了現代風險管理的一個重要思想。在20世紀初，人們對災變與風險的認識還是以客觀說為主，雖然沒有“風險管理”這個詞匯，但與其功能相關的安全管理與保險已經有了重大進展。1920年以后，一些企業就開始對通過保險轉移企業風險的工作進行單獨管理。除了企業自身對保險的重視以外，行業協會也意識到保險在企業管理中所處的特殊地位。1931年，美國管理協會大會上明確了風險管

14、理的重大意義，并設立了保險部門作為該協會的獨立機構。該保險部門每年召開兩次會議，其職責除了開展保險管理以外，還進行風險管理的研究和咨詢。但此時，安全管理與保險的對象還只是危害性風險，并且這兩個領域溝通并不多，此外，工商企業購買保險的動機也并不完全是為了保障自身的利益，有的是出于人情的壓力，或是由于想要向銀行貸款等因素不得不購買保險。第三階段：“風險管理”出現及危害性風險管理階段（20世紀初至20世紀70年代）1938年以后，美國企業對風險管理開始采用科學的方法，并逐步積累了豐富的經驗。1950年代風險管理發展成為一門學科，風險管理一詞才形成。如同萌芽階段，在這一階段世界經濟形勢因為又一次的技術

15、革命（第三次技術革命）發生了深刻變化，集中和壟斷的加劇使得社會生產力有了巨大飛躍，生產高度社會化，企業無論從規模角度還是資產積累，其價值都發生了質的飛越。然而，世界格局的新成立，經營環境日趨復雜：一方面，競爭與角逐的激烈、貧富溝壑的加深、社會矛盾的尖銳、國際局勢的動蕩使得各類風險事件的發生日益頻繁，另一方面，災害事故的連鎖性和擴散性也使得風險損失加大，大大增加了社會經濟生活的不確定性。這也成為20世紀50年代以后風險管理在美國蓬勃發展的最深刻也是最基本的社會原因之一。 其次，企業內部對市場動蕩和不確定性油然而生的風險防范意識需求，加劇了風險管理理論發展的步伐。1953年8月12日，一個位于美國

16、密執安州的通用汽車公司的汽車變速器工廠發生火災，火災造成通用汽車公司直接間接損失以及影響衛星工廠的各類損失共計高達近億美元。這一火災成為風險管理發展史上的標志性事件，由于企業規模不斷擴大，生產流程不斷細化，生產中的任何疏忽大意都可能產生巨大的經濟損失。而社會化生產程度的提高也使得企業之間的聯系變得越來越緊密，企業的營銷范圍隨著市場的不斷擴人而擴展。這使得風險事件雖然發生在某一個局部，但其影響所波及的范圍無論在空間上還是在時間上都可能發生擴散。加上社會、經濟、法律等各方面壓力，推動了風險管理的發展，也促使了現代意義上的風險管理理論產生。1982年美國風險與保險管理學會年會上通過的針對危害性風險的

17、“101條風險管理準則”，可以稱之為危害性（災害性）風險管理的典型成果3。 最后，隨著生產力的不斷發展，人們在追求物質文明的同時，對社會福利，如社會救濟、失業救濟、養老保險和醫療保險等也有了更高的要求。1948年，美國鋼鐵行業因退休金及團體人身保險的勞工福利引起了工人大罷工，時間長達半年之久。 到了20世紀40年代，很多大型企業中都設有保險經理專門負責保險的購買，但過分保險、不足保險和重復保險的問題日漸突出，至50年代初，企業已經明顯感覺到當時的“保險型風險管理”已不能滿足現代企業的要求。在這樣的背景下，企業為了保障自身的安全，開始仔細地研究如何購買合適的保險各個企業之間互相交換經驗，進而發現

18、了風險的存在，并進行評估與分析，以了解其性質以及可能造成的嚴重后果，并在此基礎上探討如何選擇最適當的方法以避免或消除風險。 1955年，美國的“全國保險購買者協會(naib)”改名為“美國保險管理協會(asim)”，這反映了業界對保險的態度的轉變。在學術界，也開始有學者呼吁企業中專門負責保險購買的應擴展為一個負責保險的購買與管理，并且還負責防損、工業安全和雇員福利計劃的綜合部門，而且這個部門的負責人不應該被稱為保險經理，而應稱為風險經理。但當時“風險管理”這個概念并沒有引起太多人的重視，直到l956年，哈佛經濟評論發表了拉塞爾格拉爾(gal-lagher,r.b.)的論文風險管理-成本控制的新

19、時期(risk management-new phase of cost control)之后，風險管理的概念才開始廣為傳播。1962年，美國管理協會出版了第一本關于風險管理的專著風險管理之崛起，進一步推動了風險管理的發展。20世紀60年代初出版的兩本大學教科書更使得風險管理的重要價值深入人心，一本是1963年伊利諾伊大學的教材梅爾和赫奇斯所著企業風險管理，另一本是l964年沃頓商學院的教材威廉姆斯和漢斯所著風險管理。到了70年代，美國主要大學的工商管理學院都開設了風險管理課程，傳統的保險系也把教學重點轉移到風險管理方面。雖然一些大型跨國公司已經開始進行風險管理，但在實踐中，風險管理還是遇到了

20、一些困難：一方面是缺乏合格的風險經理，自1966年美國保險學會和美國保險管理學會執了風險管理準會員(arm)的培訓計劃后，情況才遂漸好轉。另一方面是高層管理人員的漠不關心，他們大多對風險管理的概念不熟悉，即使有些人熟悉，真正懂得并在組織和經營上加以應用的寥寥無幾。因此，許多被任命為風險經理的人繼續單純地履行保險購買的職責：此外，另一些人抵制風險管理運動是因為他們認為風險管理理論中的權責集體制將威脅他們的地位；還有一些人認為任何明顯的改變都會產生不確定性，只要不存在危機，就不應去改變。 直到60年代后期和70年代初期，危機開始出現。首先在財產保險領域，保險業沒有能力或不愿意滿足保險購買者更多的保

21、險需求，高層管理部門不得不認識到風險自擔并輔之以防損是補充和取代保險購買的一種方法。不久之后責任保險領域也出現了類似的承保能力問題，特別是醫療責任保險。除了保險公司的這種作用之外，保險經紀人主動開展風險咨詢服務也是情況轉變的個動力。由于安排保險變得越來越困難，保險經紀人便開始尋找新的收入來源這就是提供風險管理服務加之70年代初期開始出現的風險管理咨詢公司，都在無形中進一步推動了風險管理的普及。 在這一階段，人們仍然只關注危害性風險，以保險作為風險管理的主要工具，但安全管理與保險有融合的跡象。第四階段：全方位風險管理逐步形成，運營型風險管理興起階段（20世紀70年代至20世紀90年代） 1971

22、年7月1971年7月第七次美元危機爆發，尼克松政府于8月15日宣布實行“新經濟政策”，停止履行外國政府或中央銀行可用美元向美國兌換黃金的義務；1973年3月，西歐出現拋售美元，搶購黃金和馬克的風潮。3月16日，歐洲共同市場9國在巴黎舉行會議并達成協議，聯邦德國、法國等國家對美元實行“聯合浮動”，彼此之間實行固定匯率。英國、意大利、愛爾蘭實行單獨浮動，暫不參加共同浮動。其他主要西方貨幣實行了對美元的浮動匯率。至此，固定匯率制度完全垮臺。上述兩事件的發生標志著布雷頓森林體系(bretton woods system)的崩潰，任何經濟實體都面臨著空前的金融風險這使得企業認識到，風險管理不僅針對危害性

23、風險也包含金融風險，金融風險管理日益受到重視。雖然在初期這兩類風險還是由不同的部門分別管理，但不久人們就發現，這二者不能自行其是。其次，在這一階段相繼發生了一些大型科技災難，對風險管理的思維造成極大的影響。1979年3月美國三里島核電站的爆炸事故，1984年12月3日美國聯合碳化物公司在印度的一家農藥廠發生的毒氣泄漏事故，創立于 l980年的風險分析學會(the society for risk analysissra)與1984年前蘇聯烏克蘭切爾諾貝利核電站發生核事故等災難性事件之后浮現的安全文化觀念顯示，管理風險不應只注重技術與財務，還應該注重個人行為與文化社會背景的影響。一些風險主觀說的

24、理論對風險管理的傳統思維沖擊很大。由此，風險管理歷史上的一次革命性的轉變產生了，傳統的以保險為核心的風險管理中脫離出來，現代全方位風險管理逐漸形成。針對企業運營的風險管理理論和實踐開始興起。80年代中期，國外企業普遍設立企業法律顧問，我國企業也開始逐步確立企業法律顧問制度。1985年，由美國注冊會計協會、美國會計協會、財務經理人協會、內部設計師協會、管理會計師協會聯合創建了反虛假財務報告委員會。1987年iso9000系列標準問世，中外企業紛紛建立質量管理體系，申請質量體系認證。1987年，coso成立，并提出整合內控的概念。1992年，coso提出了內部控制整體框架，成為內部控制經典文獻。在

25、這一階段，法律事務管理、質量管理、內部審計管理、內部控制等針對企業運營中風險的控制成為企業風險管理的主旋律。第五階段：危害性風險管理、金融風險管理與信息風險管理等整合管理階段（20世紀90年代至今） 20世紀90年以后，金融風險管理有了迅速發展，這同時促使危害性風險管理和金融風險管理有了更深層次的整臺。因使用金融衍生產品不當而引發的金融風暴開始增多，并且損失巨大，如巴林銀行事件、日本大和銀行事件以及美國橙縣的財政危機。這促使人們對金融風險管理的認識更加深入。“風險價值”(var)的提出、“30人小組(g-30)報告”的產生以及全球風險專業協會(global association of ris

26、k professionals，garp)的成立就說明了這一點。 此外，以危害性風險管理為主的保險市場和以金融風險管理為主的資本市場之間的界線被打破，出現了一些新型風險管理工具，如財務再保險(financial reinsurance)和保險期貨(insurance future)等。雖然這些新型工具有的還不太成熟，但保險風險證券已成為風險管理領域的一個重要發展趨勢，整合金融風險與危害性風險的風險管理決策應運而生。2001年，美國安然公司倒閉，之后西方國家相繼出現公司舞弊丑聞。2002年7月，美國緊急出臺薩班斯法案，要求所有在美國上市的公司必須建立完善內部控制體系。2004年9月，coso發布

27、企業風險管理-整合框架（enterprise risk management-integrated framework），進一步拓寬了內部控制范疇，使內部控制發展到全面風險管理層面。coso2004框架成為全面風險管理理論的一個標志，為各國理論界和企業廣泛接受。全面風險管理理論涵蓋了企業戰略風險、財務風險、市場風險、信息化等方方面面內容，提出了全面管理、整合管理、信息管理等新的理念。2.2國內企業全面風險管理理論與實踐現狀與國際上風險管理的理論與實踐發展相比，我國的理論研究及實踐相對較為滯后，但近年來也呈現快速普及、加快發展的態勢。目前，在國內現代風險管理理論、實踐中具有重要里程碑意義的文獻、

28、標準有四項：(1) coso2004年發布的企業風險管理整合框架coso2004年發布的企業風險管理整合框架erm報告分兩卷，第一卷包括“內容概要”和“基本框架”，“內容概要”是面向首席執行官、其他高級管理人員、董事會成員和監管者的概要介紹（如表2-1）。“基本框架”給企業風險管理下定義，并講述原則和概念，為企業和其他組織中的各級管理人員提供用來評價和增進企業風險管理有效性的指導。基本框架包括八個相互管理的構成要素（如表2-2所示）與四類目標（如圖2-3所示），它們源于管理當局經營企業的方式，并與管理過程整合在一起。這些要素與目標聯系起來，成為確定企業風險管理是否有效的標準，構成了三維視角的企

29、業全面風險管理的模型（如圖2-4所示）。報告對象職能與責任首席執行官（ceo）對風險管理負有首要責任，并且應當假設其擁有所有權其他高級管理人員風險官、財務官、內部審計師等負有關鍵的支持責任，支持主體的風險管理理念，促使符合其風險容量，并在各自的責任范圍內依據風險容限去管理風險其他人員負責按照既定的指引和規程去實施企業風險管理董事會成員企業風險管理提供重要的監督，并察覺和認同主體的風險容量監管者（顧客、賣主、商業伙伴、外部審計師等）提供影響企業風險管理的有用信息，但是他們不但不對主體的企業風險管理的有效性承擔任何責任，而且也不是它的組成部分表2-1 企業風險管理主體的職能與責任劃分八大要素對應內

30、容內部環境管理當局確立關于風險的理念，并確定風險容量。內部環境為主體中的人們如何看待風險和著手控制確立了基礎。所有企業的核心都是人他們的個人品性，包括誠信、道德價值觀和勝任能力以及經營所處的環境目標設定必須先有目標，管理當局才能識別影響它們實現的潛在事項。企業風險管理確保管理當局采取恰當的程序去設定目標，確保所選定的目標支持和符合該主體的使命，并且與它的風險容量相一致事項識別必須識別可能對主體產生影響的潛在事項。事項識別涉及到從影響目標實現的內部或外部原因中識別潛在的事項。它包括區分代表風險的事項和代表機會的事項，以及可能二者兼有的事項。機會被反饋到管理當局的戰略或目標制訂過程中風險評估要對識

31、別的風險進行分析，以便形成應該如何對它們進行管理的依據。風險與可能被影響的目標相關聯。既要對固有風險進行評估，也要對剩余風險進行評估，評估要考慮到風險的可能性和影響風險應對員工識別和評價可能的風險應對，包括回避、承擔、降低和分擔風險。管理當局選擇一系列措施使風險與主體的風險容限和風險容量相協調控制活動制訂和實施政策與程序以幫助確保管理者所選擇的風險應對得以有效實施信息與溝通相關的信息以確保員工履行其職責的方式和時機予以識別、獲取和溝通。主體的各個層級都需要借助信息來識別、評估和應對風險。有效溝通的含義比較廣泛，包括信息在主體中向下、平行和向上流動。員工獲得有關他們的職能和責任的清晰的溝通監控對

32、企業風險管理進行全面監控，必要時加以修正。通過這種方式，它能夠動態反映，根據條件的要求而變化。監控通過持續的管理活動、對企業風險管理的個別評價或者兩者相結合來完成表2-2 企業風險管理整合框架的八大要素高層次目標，與使命相關聯并支撐其使命 戰略（strategic）目標有效和高效率地利用其資源經營（operations）目標報告的可靠性 報告（reporting）目標 合規（compliance）目標符合適用的法律和法規圖2-3 企業風險管理整合框架的四大目標圖2-4 企業風險管理整合框架模型第二卷應用技術(application techniques)，講解說明應用erm框架的具體要素要用到

33、的多種技術。 (2) 國務院國資委2006年發布的中央企業全面風險管理指引一方面，隨著全球化經濟形勢的日益成熟，美國薩班斯法案的出臺，我國中央企業為適應經濟全球化的競爭需要與之相符的政策指導；另一方面，我國國有企業風險管理工作薄弱，缺乏風險防范機制，造成資產損失嚴重。據國資委企業改革局2006年對中央企業全面風險管理指引的解讀，多年來由于管理體制、制度、機制等方面原因，亂投資、亂擔保、亂擴張、亂理財、亂借款、亂放權現象所暴露的問題日益顯現。指引是在總結國有企業的經驗、損失、教訓的基礎上，參考國際經驗、國際做法而制定的，具有較強的現實性和前瞻性。其目的是明確要求中央企業要重視和開展全面風險管理，

34、明確什么是風險管理，企業如何開展全面風險管理工作。指引指出我國國有企業可能面臨的主要風險形式：企業對外投資（包括海外投資）的風險，企業多元化經營的風險，企業對外擔保的風險，企業委托理財的風險，企業對外承包工程的風險，企業內部管理失控的風險，企業經營過程中存貨增加的風險，企業產品研發、產品更新、產品升級的風險，企業并購的風險，企業應收賬款的風險，企業面臨的利率、匯率風險，企業法律風險，上市公司可持續生存風險（sirt），企業供應商提供產品質量的風險，企業環保風險，企業環境（社會、人文）風險，企業現金流風險，企業員工勞動關系風險。分別從流程、體系、文化三個方面指導，國內企業建立良好的風險管理體系。

35、(3) 財政部、證監會、審計署、銀監會、保監會2008年發布的企業內部控制基本規范及之后發布的配套指引2008年6月28日，財政部、證監會、審計署、銀監會、保監會在北京聯合召開企業內部控制基本規范發布會，會議發布了企業內部控制基本規范，自2009年7月1日起現在上市公司范圍內實施，鼓勵其他非大中型企業執行4。基本規范共七章五十條，各章分別是：總則、內部環境、風險評估、控制活動、信息與溝通、內部監督和附則。基本規范堅持立足我國國情、借鑒國際慣例，確立了我國企業建立和實施內部控制的基礎框架，并取得了重大突破。一是科學界定內部控制的內涵，強調內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨

36、在實現控制目標的過程，有利于樹立全面、全員、全過程控制的理念。二是準確定位內部控制的目標，要求企業在保證經營管理合法合規、資產安全、財務報告及相關信息真實完整、提高經營效率和效果的基礎上，著力促進企業實現發展戰略。三是合理確定內部控制的原則，要求企業在建立和實施內部控制全過程中貫徹全面性原則、重要性原則、制衡性原則、適應性原則和成本效益原則。四是統籌構建內部控制的要素，有機融合世界主要經濟體加強內部控制的做法經驗，構建了以內部環境為重要基礎、以風險評估為重要環節、以控制活動為重要手段、以信息與溝通為重要條件、以內部監督為重要保證，相互聯系、相互促進的五要素內部控制框架。五是開創性地建立了以企業

37、為主體、以政府監管為促進、以中介機構審計為重要組成部分的內部控制實施機制，要求企業實行內部控制自我評價制度，并將各責任單位和全體員工實施內部控制的情況納入績效考評體系；國務院有關監管部門有權對企業建立并實施內部控制的情況進行監督檢查；明確企業可以依法委托會計師事務所對本企業內部控制的有效性進行審計，出具審計報告。(4) 國際標準化組織2009年發布的iso310002009年，日內瓦的國際標準化組織發布了iso31000標準（以下簡稱iso31000）：風險管理原則與實施指南，提供了風險管理的原則和一般性指導方針。企業風險管理是一個復雜而抽象的實踐過程，這方面的專業技術僅是組織開展日常工作的工

38、具。就像一句雋語，即使是理解企業風險管理框架（erm）的人們，最后還是要理解那幾個易于掌握的基本原則，其中一個原則就是風險管理是每個人工作的一部分5。事實也是如此，如果不了解如何進行風險管理，那么在日常工作中就不可能始終關注工作中的風險，就不可能很好地履行職責。 但問題在于，不是所有的erm專家都認可這些基本原則，即使認可也會有不同的理解。兩個組織即使風險管理起點相同、原則相同、使用術語相同，也不會按照相同的方式實施erm。事實上，erm也沒有要求兩個組織使用同樣的方法，因為風險管理實務在組織之間是存在差異的，有各種各樣的風險管理方法。 確定風險管理模型是內部審計師對所在組織風險管理質量進行評

39、價的第一步。現在，有許多風險管理模型可供考慮，如特恩布爾指南（the turnbull guidance）在英國就非常普遍地使用，coso指南也被廣泛應用于美國和其他國家。但要建立一套國際風險管理標準卻很困難，本標準就是在這樣一個大背景之下建立起來的。 只有適合自己的才是最合適的，無論是帶有英式風情的特恩布爾指南，還是美式的cosoerm框架，抑或是國際標準的iso31000，我國國內企業的風險管理體系必須在這些成熟的理論成果基礎上進行具有中國特色的調整才能更好的適應發展所需。第3章：n公司全面風險管理體系的構建探索企業全面風險管理理論國內外都已發展到一個相對成熟的階段，風險管理理論的實踐案例

40、更是層出不窮，盡管通過建立風險管理體系給企業帶來的效益各有長短，但總的來說，只有重視企業的風險管理，才能使企業穩定發展，獲得收益。本章以n公司為例，詳細分析n公司的現狀，風險管理政策實施的問題與不足，依照現有的國際、國內主流風險管理理論，預測構建適合n公司的全面風險管理體系。3.1 n公司基本情況n公司其前身是19世紀70年代經j省省委、省政府批準成立的特殊改造農場，20世紀初經過承包改制分別建立2個具有獨立法人的機械制造廠，再到本世紀初，響應國家國有制改革號召，兩廠合并成為公司股份制企業，是擁有獨立法人資格的、集團性綜合企業。公司成立之初，依據股東出資情況成立了股東會，董事會，監事會，n公司

41、股東會成員約200人， 50%以上是工廠職工入股，其余約49%由j省廳級單位派屬代表入股。公司董事會成員9-11人，監事會成員3人，最早是董事長兼任總經理，2008年以后董事長不再兼任總經理職務，董事長擁有2票決策權。n公司近年來，每年會組織召開2-3次董事會議以決定重大生產、經營管理決策以及重大產品開發方向。根據n公司的運營特點，公司主要從事殯葬火化設備的研發、制造、銷售，產品包括火化機械、醫療焚燒處理、尾氣處理、冷凍設備、土建工程等。該公司在2013年之前采用的是工廠責任管理制，公司與生產基地分開，公司只有總經辦，生產基地有供銷科、生產計劃科、財務科、辦公室，實施廠長責任制。進入到2013

42、年，總公司決定實施生產承包經營管理制，公司與生產基地在管理架構上似乎進一步緊密連接起來形成一個樹形整體（如圖3-1），總公司下設總經辦、綜合服務部、銷售部、財務部，生產基地的生產計劃部獨立經營管理。近年來，n公司在國內利好市場環境的大背景之下，銷售訂單逐年增加，繼續保持了國內同行龍頭企業的地位，主要城市市場占有率達到75%以上，產品早已遠銷俄羅斯、印度尼西亞、菲律賓等。尤其在2012年以后，國家民政部根據國家對城市環境保護的大原則下，頒布了對二噁英排放的限制規定，該公司率先取得了相關排放合格證書，尾氣凈化類產品銷售訂單僅用2年時間就突破了以往公司所有該類產品的訂單之和，公司銷售業績也是逐年增加

43、。3.2 n公司經營管理現瓶頸董事會董事長總經理常務副總常務副總財務部銷售部綜合服務部辦公室生產計劃部法務部監事會圖3-1 n公司內部組織管理架構然而，就在這樣一片大好的背景下，n公司內部卻出現了重重危機，公司的經營管理決策頻繁出招，卻未能取得有利效果，資金、人才、技術缺失現象越來越凸顯，具體表現在以下幾方面：（1）歷史遺留問題凸顯難掩隨著股份制改革的不斷深入，歷任管理層對于人事、薪酬等的管理政策實施所帶來的一些弊端逐漸暴露，從中層管理人員到生產基地工人、工地施工人員對于公司早期的薪酬標準和人事任免政策抱怨呼聲不斷，已經開始影響正常的工作效率。行政人員、銷售人員對公司的內債遺留呈現錯綜復雜現象

44、，直接阻礙了銷售、績效管理政策的執行。（2）技術人才流失、內退成本增加一方面，由于對薪酬、人事任免制度的怨聲載道的技術人員紛紛跳槽到競爭對手的同行公司，造成技術人才的嚴重流失；另一方面，由于享受了j省福利性企業的政策，近年因各種情況申請內退的職工不斷增加，造成公司非營業成本大幅增加，同時嚴重影響在職工人的工作積極性。（3）資金回籠效率低下據該公司統計數字顯示，截止2013年12月，該公司需要進行資金回籠的債務金額超過了該公司近5年的利潤總和，如果該公司可以將所有外部應收賬款回籠到位，可以滿足該公司所有職工集體休假至少3年正常發放工資的需求。造成大量應收賬款未回籠的原因，一方面是上述提到的歷史遺

45、留問題，銷售人員消極回款，高層管理執行消極獎勵政策形成惡性循環；另一方面是該行業的客戶98%以上屬于政府財政資金撥款，對付款的嚴格要求，造成項目尾款長期處于質保金狀態，難以及時收回。（4）銀行貸款舉步維艱該公司從2009年至2010年間開始第一次出現銀行貸款業務，逐步走向了負債企業行列，而且貸款金額逐年增加，到2013年所有銀行貸款金額開始超過了近兩年的利潤總和，對公司資金的使用分配問題管理層開始出現分歧：有贊成增加對擴大經營范圍和技術改造投入的，也有要求改善公司薪酬制度增加員工收益的，還有支持盡快縮小公司債務的。總之，該公司的現金流短缺問題日益嚴重，銀行貸款縮緊，地方政府福利款項支持減少給公

46、司的長遠發展蒙上了陰影。（5）股東退股雪上加霜從2010年，n公司生產基地搬遷擴大，該公司普通職工股東開始陸續出現要求退股現象，起初因一年退股金額稀少，公司財務部門在得到公司同意情況下，基本都是執行寬松政策，及時辦理。近期，該公司出現了扎堆退股現象，部分職工集合在一起要求公司給予退股，給公司內部信譽和資金都造成了巨大損失。3.3 n公司目前全面風險管理現狀翻開n公司的所有企業成立、管理、運營檔案，作者都沒有發現有明確的相關執行全面風險管理政策批文，可以說該公司到目前為止在管理政策理論上并沒有形成任何成型的風險管理體系或架構。對于公司產生的金融風險、危急性事件風險、信息風險等都僅僅停留在的風險反

47、應的初級階段。值得慶幸的是，n公司在生產基地管理上始終執行了iso9001質量管理體系和iso14001環境管理體系。由此，本文作者認為n公司在全面風險管理政策方面應該首先認識到內部自身存在的以下幾方面問題6：（1） 缺乏正確的風險管理理念。風險管理理念是指對風險的態度和提前認識并作出一系列有效的應急反應。正確的風險管理理念既不是停留在對風險的遇見和刻意回避，也不是片面為追求高利益回報的不折手段；風險管理理念應該充分考慮到風險的基礎上與企業所處的內部、外部環境，企業的資源狀況以及企業的戰略相適應，應該有助于企業戰略目標的達成。n公司管理層嚴重缺乏對風險管理理念的認知。（2） 缺乏系統性的風險管

48、理手段。 一方面，n公司的風險管理僅僅只是停留在一種“感性”管理，缺乏風險分析和度量手段，缺少專門化的風險管理工具；另一方面，風險管理往往按職能被切分到財務、運營、市場等多個層面，缺乏系統的、全局性的整合框架和主線。（3） 組織和流程層面缺乏對風險管理的認知。組織的風險理念往往缺乏清晰的表達和內部貫徹，并沒有為大多數員工理解和認同，也無法落實到具體的日常工作中。3.4 n公司全面風險管理的選擇：企業內部控制基本規范根據第2章對國內外企業全面風險管理理論及實踐情況的研究，結合n公司所處的特殊環境及現狀，最后，作者再對上述幾種主流的風險管理理論進行比較（如表3-2所示），決定主要以國內五部門200

49、8年頒布的企業內部控制基本規范為參考物對n公司建立全面風險管理體系預測。對比項目企業內部控制基本規范coso2004-erm中央企業全面風險管理指引定義由企業董事會、證監會、經理層和全體員工實施的，旨在實現控制目標的過程一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰略制訂并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證由中央企業中的國有獨資公司的董事會督導企業實施建立風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法適用

50、范圍適用于中華人民共和國境內設立的大中型企業。小企業和其他單位可以參照建立與實施內部控制。不明確的主體中央企業中的國有獨資公司目標1.企業的經營要合法合規2.企業資產要安全完整3.企業財務報告的信息（財務信息）和其他信息要真實可靠完整4.通過內控提高企業的經營效率和效果。5.促成企業實現戰略目標戰略目標、經營目標、報告目標、合規目標，其最終目標是增加利益相關者的價值（一）確保將風險控制在與總體目標相適應并可承受的范圍內；（二）確保內外部，尤其是企業與股東之間實現真實、可靠的信息溝通，包括編制和提供真實、可靠的財務報告；（三）確保遵守有關法律法規；（四）確保企業有關規章制度和為實現經營目標而采取

51、重大措施的貫徹執行，保障經營管理的有效性，提高經營活動的效率和效果，降低實現經營目標的不確定性；（五）確保企業建立針對各項重大風險發生后的危機處理計劃，保護企業不因災害性風險或人為失誤而遭受重大損失。要素內部環境、風險評估、控制活動、信息與溝通、內部監督內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控風險管理初始信息、風險評估、風險管理策略、風險管理解決方案、風險管理的監督與改進、風險管理組織體系、風險管理信息系統、風險管理文化表3-2 ：國內主要三項風險管理執行標準對比 第一步：推廣和建設企業風險管理理念企業的每個管理主體就是控制主體經營者對企業的管理，是宏觀層次

52、的資源配置管理者對其所負責部門的管理也是資源配置。員工則是在其崗位上直接操持一定的資源并實現對資源的控制，員工是最基本的管理者是直接對資源進行控制的主體，而且是企業內部控制的最終落腳點。所以員工也就成為控制主體之一，每一個員工必須最大善意地使用自己直接控制的資源，保護企業財產和資源的安全如實報告各種相關信息。從組織的全體來看，至下而上的全員控制有助于改善內部信息不對稱，由此受益的不僅僅是一般員工，對管理者的不同層次來說，同樣也可以減少信息不對稱造成的控制困難，因此可以說“人人都是控制者”。由此可見，企業風險管理是企業全員的責任，而且貫穿于企業經營管理的全過程。首先，積極在董事會及管理層宣揚企業

53、風險管理理念的重要性，并逐步培養其對風險偏好的一致認識，愿意嘗試并接受企業風險管理的推廣方案及支持后續內部控制框架的建立。在公司內部行政管理人員、銷售人員，到生產一線和安裝一線人員內部通過各種宣揚方式傳染企業風險理念的認知；其次，通過erp管理系統或類似聯系所有職能部門的offer體系建立持續的風險溝通和監控機制。通過風險管理制度建設、風險管理組織與流程的優化，明確風險管理責任和權力的分配，保持風險溝通渠道始終暢通并及時有效。另一方面，可以將履行風險管理責任通過薪酬體系來進一步明確職責與利益的關系；最后，通過專業的培訓團隊制定符合的培訓方案，對風險執行層進行整體、全面的培訓，不斷提升風險執行層

54、的團隊素質。根據n公司的實際情況，獨立組建一支高素質的風險管理團隊在時間和成本上都不切實際，這就需要董事會從管理層及中層管理人員中甄選出可以快速反應并能接受風險管理理念的專職管理團隊接受培訓，同時，這個團隊必須具備將風險管理理念逐步灌輸到全體員工的能力。當風險理念引導公司員工的行為，公司對管理層的風險責任強調與對其收入責任得強調具有相同程度，員工經過嚴格的風險理念、風險管理制度、風險管理操作方法和技術等相關培訓，全體員工具有共同的風險管理理念和風險意識，并且將風險管理意識轉化為員工的自覺行動，就標志著企業風險理念逐步轉化一種公司文化深深烙印在公司的管理文化之中，推廣和建設風險管理理念的任務才算

55、完成。第二步：建立風險管理組織體系架構根據企業內部控制基本規范企業應該建立一個獨立的風險管理部門，該部門主要負責人員應該具有單獨向董事會或ceo匯報風險狀況的權力，向下可以直接和各個職能部門匯總企業風險可能性，然而，n公司的實際情況是采用的生產承包經營管理模式，單獨的風險管理部門也無法在短時間內在現有管理架構中獲得最大的執行便利，而且其風險主要集中在內部控制與營銷模式源頭，所以，可以考慮從與董事會互相制衡的監事會及分管銷售部門的管理層入手：（1）建立總公司層面風險管理部門與常務副總平級由董事會和高層管理人員（董事長與總經理）從監事會成員中確定風險管理部門的主要責任人，并制定和審議風險管理政策和

56、原則，支持該責任人從常務副總以下甄選中層管理人員成為風險管理部門的成員（必須包含銷售部門及薪酬部門主要責任人）。（2）在董事會及ceo層面建立單獨風險管理部門的溝通渠道除了風險管理部門其它高層管理人員及其中層管理人員都必須執行風險管理政策和按照風險管理計劃實施風險管理，對風險管理的有效性承擔責任。風險管理部門責任人擁有獨自向董事會或ceo匯報公司風險狀況的溝通渠道，以對風險管理政策在執行和實施過程中存在的阻礙及時解決，并作出反應，同時也可以最大效率地對公司內部、外部風險作出評估，制定有效的應對策略。（3） 銷售管理部門建立與風險管理部門直接對接的風險執行部門除了執行內部控制政策，銷售管理部門作

57、為n公司最前沿、資金重要來源部門必須專門設置與風險管理部門對接，共同制定和執行業務相關的模塊管理政策。例如各區域在外貨款管理、逾期貨款催收、資產安全風險管控和區域銷售人員風險逾期考核工作。（4）財務部門建立與風險管理部門直接對接的審計部門財務部門除了履行公司正常的資產應收、應付工作，需要單獨設立公司運營成本審計部門，對公司各職能部門及各區域工程項目的成本進行審計，制定成本風險限值，作為考核各部門績效及工地工程利潤率的評價系數，嚴格掌控超出預算成本數據。第三步：建立風險管控流程根據上述n公司現狀遇到的瓶頸，制定各個風險瓶頸化解指標和工作思路，通過風險識別、風險分析和風險評價過程實施風險評估，就瓶頸的嚴重性進行先后排序，再制定相關的治理策略并確保可能帶來的遺留風險在公司可承受范圍之內。始終保持在風險管理部門的監控狀態之下，以確定可以及時作出策略微調。最后，總結風險管理經驗，記錄攻克風險過程。如圖3-3所