企業全面風險管理專題第一頁，共71頁。主講人簡介武漢大學博士中南財經政法大學博士后中國注冊會計師碩士研究生導師中南財經政法大學審計教研室主任中南財經政法大學會計學專業碩士（MPAcc）中心主講教師湖北省內審協會、湖北省建設銀行、湖北省煙草公司、大冶有色集團、中國三江航天集團等財務培訓主講人2023/3/82第二頁，共71頁。主要內容

1.案例分析：中航油

2.企業全面風險管理的重要性

3.企業全面風險管理框架

4.結論與思考2023/3/83第三頁，共71頁。2023/3/8引例這樣的案例層出不窮4

2011年2月，江西省鄱陽縣財政局股長李華波，與當地信用社主任勾結，從財政專項賬戶上套取資金近9400萬后出逃至加拿大

2011年3月，紫金礦業由于2010年連續兩次發生含銅酸性溶液滲漏，造成汀江重大水污染事故，被福建省取消高新技術企業資格第四頁，共71頁。2023/3/8引例這樣的案例層出不窮5

2011年3月，北京國美電器大港店由于銷售人員侵占消費者贈品及現金券，以及虛假以舊換新銷售，被央視3·15晚會曝光

2011年2月，阿里巴巴公告稱經公司內部調查發現，在公司B2B對外貿易平臺上，2009年和2010年連續兩年分別有1219家和1107家的中國供應商涉嫌欺詐全球買家，公司CEO衛哲引咎辭職第五頁，共71頁。2023/3/8引例這樣的案例層出不窮6

2011年4月，云南上市公司綠大地由于存在虛增資產、隱瞞負債、隱瞞退貨、頻繁更改業績報告，以及虛報收入及利潤等問題，公司董事長何學葵被捕

2011年央視3·15晚會報道稱，記者暗訪調查發現，錦湖輪胎為減少成本不按照比例摻膠，大量使用廢料返煉膠，降低了整個輪胎的性能第六頁，共71頁。2023/3/8引例這樣的案例層出不窮7

央視在3·15晚會播出了一期《“健美豬”真相》的特別節目，披露了河南濟源雙匯公司使用瘦肉精豬肉的事實。針對媒體曝光的“瘦肉精”事件，雙匯集團向消費者致歉并表示問題產品將全部召回，“雙匯發展”股票則于2011年3月16日起停牌侵吞公款、環境污染、欺騙消費者、欺騙買家、財務欺詐、產品質量缺陷，這樣的問題為什么總是會出現？一旦出現這樣的問題，企業輕則聲譽受損、遭受處罰、業績下滑，重則陷入危機、資金鏈斷裂甚至破產倒閉。如何避免？第七頁，共71頁。2023/3/8案例分析：中航油

案例概況8

1997年由于亞洲金融危機，中航油新加坡公司（簡稱中航油）陷入風雨飄搖之中，陳久霖臨危受命擔任董事總經理，第二年即扭虧為盈，自此之后公司營業額和利潤年均呈三位數增長，2003年公司凈資產近1.28億美元，相比1997年增長761倍

2004年11月29日，公司突然宣布石油衍生品（場外期權交易）造成5.5億美元的巨額虧損，并向新加坡高等法院申請破產保護第八頁，共71頁。案例分析：中航油期權交易簡介期權交易可用于套期保值、規避風險，也可用于投機，具體包括看漲期權和看跌期權看漲期權（calloption）標的：銅期貨期權執行價格：1850美元/噸1.12.1B賣出A買入權利金：5美元/噸A獲得按照1850美元/噸購買銅的權利銅價1905美元/噸，期權價格55美元/噸，A賺50美元/噸，B虧損50美元/噸銅價1805美元/噸，A棄權，虧5美元/噸，B賺5美元/噸2023/3/89第九頁，共71頁。案例分析：中航油普華永道調查結果

2003年底至2004年，中航油錯誤地判斷了油價走勢，賣出了看漲期權并買入了看跌期權，導致期權盤位到期時面臨虧損為了避免虧損，中航油在2004年1月到9月先后進行了三次挪盤，即買回期權以關閉原先盤位，同時出售期限更長、交易量更大的新期權每次挪盤均成倍擴大了風險，該風險在油價上升時呈指數級數的擴大，公司面臨不斷增長的保證金支付要求，最后終于無力支付，從而導致了公司的財務困境2023/3/810第十頁，共71頁。案例分析：中航油普華永道調查結果

中航油擁有一個由部門領導、風險管理委員會和內部審計部組成的三層“內部控制監督結構”，但這個結構的每個層次在本次事件中都犯有嚴重的錯誤，即部門領導越權進行石油衍生品交易、風管委員會未向總裁提供充分準確的風險信息、內部審計部門未對相關風險進行獨立評價并預警2023/3/811第十一頁，共71頁。案例分析：中航油普華永道調查結果作為總裁，陳久霖要負以下四種主要責任

其一，在不了解期權交易、沒有對交易風險做出正確評估的情況下就開始期權交易其二，通過挪盤使公司承擔了不可接受的巨大風險，最后導致公司的財務災難其三，未在財務業績中披露公司的損失其四，在公司中培養了一種保密文化，向董事會和審計委員會隱瞞期權交易2023/3/812第十二頁，共71頁。案例分析：中航油陳久霖語錄

我是一個重事業勝過金錢的人，我從不貪戀生活享受。一日三餐，衣食無虧足矣。平時西裝革履看似風光，那不過是為了我這個上市公司的門面而已陳久霖平時生活儉樸，中午同員工一起吃盒飯，從來不見富豪派頭。他太太也是一名樸實的職業婦女，缺少時下那種珠光寶氣的行頭。夫妻倆住在租來的兩房式公寓里，也沒有雇請傭人照顧生活2023/3/813第十三頁，共71頁。案例分析：中航油陳久霖語錄

賭可能是人的天性，我經常會以某種‘賭’的精神，致力于公司的發展。收購本身就是一種賭，但由于中國航油準備工作做得徹底，每次收購都使國有資產大幅增值，所以，中國航油的‘賭’都是有絕對把握的‘賭’……那個思路開闊、作風果敢的陳久霖和那個賭性深重、不肯及早低頭直面災難的陳久霖，正是同一人——《中國企業家》2023/3/814第十四頁，共71頁。案例分析：中航油陳久霖語錄

回首過去的這段經歷，我感到不寒而栗，猶如噩夢驚醒。面壁反省，我十分后悔、痛心疾首。我對不起黨和組織上對我的培養和教育；對不起國資委、商務部等有關部委領導對我的關懷和期待；對不起集團和7000多名股東給予我的信任和支持；對不起公司多年與我共同打拼的下屬。痛定思痛，無盡疼痛……2023/3/815第十五頁，共71頁。企業全面風險管理的重要性風險管理與內部控制的作用

創新與控制的平衡是企業經營管理者必須面臨的根本問題之一，它好比是汽車的油門和剎車，沒有創新，企業無法進步；沒有控制，企業就會“翻車”良好的控制看似束縛了經營管理者的手腳，其實它是為經營管理者系上了安全帶，當風險來臨之時，它更多地起到了保護經營管理者的作用2023/3/816第十六頁，共71頁。企業全面風險管理的重要性風險管理與內部控制重在執行中航油的風險管理制度是由安永會計師事務所協助制定的，號稱集合了安永、摩根斯坦利、殼牌、加德士等經驗于一身，并結合公司實際情況和規模量身訂造中航油的“風險管理體系”2004年曾獲得中國企業聯合會頒發的“第十屆全國企業管理現代創新成果”一等獎2023/3/817第十七頁，共71頁。企業全面風險管理的重要性風險管理與內部控制重在執行

陳久霖受邀在“2004年全國企業管理創新大會”上演講時，把“風險管理”作為自己發言的主題，用了近三分之一的篇幅對中航油的風險管理系統作全面介紹，他引用“巴林銀行”作為前車之鑒．還特別提到“50萬美元”的平倉止損線《風險管理手冊》規定，損失20萬美元以上的每筆交易要提交風險管理委員會評估，累計損失超過35萬美元的交易必須得到總裁同意才能繼續，而任何將導致50萬美元以上損失的交易將自動平倉；公司的止損限額是每年500萬美元和倉位限額200萬桶2023/3/818第十八頁，共71頁。企業全面風險管理的重要性居安思危，始終保持高度的風險意識股市有一句名言，暴跌是最好的風險教育，或者說，風險意識是虧出來的事業打拼遂心順意，初涉期權交易斬獲頗豐，由此而造成的過度自信，以及不愿承認失敗的要強心理，是導致陳久霖最終滑入深淵的內在原因“知人者智，自知者明”，擁有自知之明和自省能力，敢于直面自身的弱點和前進道路上的挫折失敗，始終保持冷靜與理性，這是大企業家最重要的素質2023/3/819第十九頁，共71頁。企業全面風險管理的重要性有所為，有所不為巴菲特有一條重要的投資原則，那就是永遠只投資于自己能夠理解的行業與知道自己可以做什么相比，知道自己不可以做什么往往更難企業經營管理者對于企業的競爭優勢與局限性，以及自身的優勢與局限性，均應有清醒的、深刻的認識，對于專長范圍以外的事項，應心存敬畏，非經充分論證并掌握必要資源，不應輕易進入新的業務領域，尤其是高風險的業務領域2023/3/820第二十頁，共71頁。企業全面風險管理框架企業全面風險管理的重要文件美國COSO組織2004年發布了《企業風險管理整合框架》（EnterpriseRiskManagement，簡稱ERM）2006年6月6日，國資委正式發布了《中央企業全面風險管理指引》，明確了以下三點：中央企業要重視和開展全面風險管理什么是全面風險管理企業如何開展全面風險管理工作2023/3/821第二十一頁，共71頁。2023/3/8企業全面風險管理框架風險管理和內部控制之間的關系22目標要素COSO（1992）內控整合框架COSO（2004）風管整合框架五部委（2008）內控基本規范

經營目標

報告目標

合規目標

戰略目標

經營目標

報告目標

合規目標

控制環境

風險評估

控制活動

信息與溝通

監控內部環境

目標設定

事項識別

風險評估

風險應對

控制活動信息與溝通

監控

戰略目標

合規目標資產安全

報告目標

經營目標

內部環境

風險評估

控制活動

信息與溝通

內部監督第二十二頁，共71頁。企業全面風險管理框架國有企業經常存在的問題問題形式問題描述亂投資貪多求大，對高負債率、低現金流的財務風險缺乏防范措施，不作投資回報分析，不作投資風險分析亂擔保對從事證券、期貨、股票、外匯等業務的風險防范意識不強，對外亂擔保因連帶責任被凍結資產和強行償債亂擴張對收購企業的成本和風險估計不足，并購資產的同時引入了風險，對潛伏問題缺乏了解，甚至引發了危機亂理財盲目進行風險理財，而風險理財手段使用不當，包括策略錯誤和內控失靈，帶來巨大的損失亂借款盲目借貸，高負債率帶來了較大的財務風險，沉重的利息負擔進一步加劇企業的虧損亂放權沒有控制好子企業、境外企業和境外業務的風險，發生了巨額虧損，給企業造成顛覆性災難2023/3/823第二十三頁，共71頁。企業全面風險管理框架全面風險管理指引內容概要章節標題第一章總則（總體要求和原則）第二章風險管理初始信息第三章風險評估第四章風險管理策略第五章風險管理解決方案第六章風險管理的監督與改進第七章風險管理組織體系第八章風險管理信息系統第九章風險管理文化第十章附則2023/3/824第二十四頁，共71頁。企業全面風險管理框架總則風險定義及分類

企業風險，指未來的不確定性對企業實現其經營目標的影響純粹風險機會風險企業開展全面風險管理工作，應注重防范和控制風險可能給企業造成損失和危害，也應把機會風險視為企業的特殊資源，通過對其管理，為企業創造價值，促進經營目標的實現2023/3/825第二十五頁，共71頁。企業全面風險管理框架總則風險定義及分類風險類型涵義戰略風險是指企業在戰略的制訂和實施上出現錯誤，或因未能隨環境的改變而作出適當的調整，而導致經濟上的損失財務風險指融資安排、會計核算與管理以及會計或財務報告失誤而對企業造成的損失市場風險市場風險是指因市場價格等外界條件變化而使企業產生經濟損失的風險營運風險指企業內部流程和信息系統、人為因素或外部事件而給企業造成的經濟損失法律風險指企業因違反法律、法規或規定，或侵害其他利益相關者的權益，而導致企業遭受經濟或聲譽損失的風險2023/3/826第二十六頁，共71頁。企業全面風險管理框架總則風險定義及分類：戰略風險、財務風險舉例被稱為“三九教父”的趙新先掌舵三九長達19年，將三九集團從一個軍隊藥廠締造為一家龐大的企業集團：超過200億元的總資產、400余家子公司和三家上市公司，涉足藥業、農業、房地產、食品、汽車、旅游等八大產業

2004年4月14日，三九集團及其下屬公司遭遇銀行逼債，財務危機全面爆發。五級公司管理體系中三級以下公司財務嚴重失控，整個三九系貸款和貸款擔保余額約為180億元2004年5月16日，趙新先被免去三九的一切職務。2005年11月21日，趙新先被刑事拘留，開始了自己的囚徒生涯2023/3/827第二十七頁，共71頁。企業全面風險管理框架總則全面風險管理定義

企業風險管理是一個過程，它由一個實體的董事會、管理當局和其他人員實施，應用于戰略制定并貫穿于企業之中，旨在識別可能會影響實體的潛在事項，管理風險以使其在該主體的風險容量（riskappetite）之內，并為實體目標的實現提供合理保證（reasonableassurance）（COSO,2004）2023/3/828第二十八頁，共71頁。企業全面風險管理框架總則全面風險管理定義

全面風險管理，指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法2023/3/829第二十九頁，共71頁。企業全面風險管理框架總則全面風險管理目標

確保將風險控制在與總體目標相適應并可承受的范圍內確保內外部，尤其是企業與股東之間實現真實、可靠的信息溝通，包括編制和提供真實、可靠的財務報告確保遵守有關法律法規確保企業有關規章制度和為實現經營目標而采取重大措施的貫徹執行，保障經營管理的有效性，提高經營活動的效率和效果，降低實現經營目標的不確定性確保企業建立針對各項重大風險發生后的危機處理計劃，保護企業不因災害性風險或人為失誤而遭受重大損失2023/3/830第三十頁，共71頁。企業全面風險管理框架總則全面風險管理基本流程

收集風險管理初始信息風險評估制定風險管理策略提出和實施風險管理解決方案風險管理監督與改進高層重視與參與2023/3/831第三十一頁，共71頁。企業全面風險管理框架總則全面風險管理三道防線

職能部門和業務單位風險管理職能部門和董事會下設風險管理委員會內部審計部門和董事會下設審計委員會報告評價、監督報告評價、監督2023/3/832第三十二頁，共71頁。企業全面風險管理框架風險管理初始信息基本要求

企業應廣泛、持續不斷地收集與本企業風險和風險管理相關的內部、外部初始信息，包括歷史數據和未來預測應把收集初始信息的職責分工落實到各有關職能部門和業務單位2023/3/833第三十三頁，共71頁。企業全面風險管理框架風險管理初始信息

案例：力拓（RioTinto）間諜門

2009年7月7日晚，力拓上海首席代表胡士泰等四人被上海公安局拘留，理由是涉嫌從事間諜活動和竊取國家機密（后改為竊取商業秘密）有報道稱，中方鋼鐵企業（絕大部分為國有企業）自2003年在中外進出口鐵礦石談判中，由于底線頻頻被刺探、曝光以致屢戰屢敗，各相關企業累計多支付了約7000億元人民幣2023/3/834第三十四頁，共71頁。2023/3/8企業全面風險管理框架資料：企業老總平常要看哪些財務資料35銷售日報表銷售回款表資金日報表銷售毛利月報應收應付周報庫存變動周報第三十五頁，共71頁。企業全面風險管理框架風險評估

風險評估流程風險辨識風險分析及評價重大嗎？持續監控內控有效嗎？什么會妨礙企業達到戰略目標？考慮風險潛在的影響及發生的可能性是持續監控是實施應對方案否否2023/3/836第三十六頁，共71頁。企業全面風險管理框架風險評估

風險辨識：識別有可能給企業帶來風險的事項

風險分析：分析風險事項發生的概率和后果大小

風險評價：判斷風險是否重大③②①④③②⑤④③后果大小低中高小中大2023/3/837第三十七頁，共71頁。企業全面風險管理框架風險評估

課堂討論

請列舉出貴公司最重大的三項風險因素2023/3/838第三十八頁，共71頁。企業全面風險管理框架

資料：煙草專賣公司的風險列表風險序號風險描述①煙草專賣制度結束，煙草市場對外資和民營資本放開②我國已簽署《煙草控制框架公約》，卷煙產品需求面臨長期下滑趨勢③投資機會受限制，巨額資金可能閑置或由于舞弊而被侵占④煙草品質定級風險⑤壟斷企業的高利潤和高薪酬，可能導致承擔更大的社會責任⑥假冒偽劣商品的沖擊⑦行業內品牌競爭可能會導致市場份額下降和盈利能力降低⑧國外品牌對國內品牌的沖擊⑨管理不嚴格導致成本、費用失控的風險2023/3/839第三十九頁，共71頁。企業全面風險管理框架風險評估

風險評估應注意的幾個問題

信息的可靠性問題信息傳遞渠道是否通暢的問題

風險評估的頻率問題風險評估的定性方法與定量方法問題2023/3/840第四十頁，共71頁。企業全面風險管理框架風險管理策略

風險偏好與風險承受度

企業應根據不同業務特點統一確定風險偏好和風險承受度，即企業愿意承擔哪些風險，明確風險的最低限度和不能超過的最高限度，并據此確定風險的預警線及相應采取的對策風險偏好（riskappetite）風險承受度（

risktolerance）主體在追求價值過程中愿意承受的廣泛意義的風險的數量對于目標的實現而言所能接受的偏離程度2023/3/841第四十一頁，共71頁。企業全面風險管理框架風險管理策略

風險管理工具名稱涵義適用條件及舉例風險承擔對所面臨的風險不采取任何措施，從而承擔風險帶來的后果未能識別的風險顯然只能承擔；發生概率極低，或后果極小，或采取其他應對措施不經濟。例如，核戰爭風險風險規避企業回避、停止或退出蘊含某風險的商業活動或商業環境發生概率大、后果嚴重且缺乏降低風險的能力。例如，西門子退出手機業務風險轉移企業通過合同將風險轉移到第三方發生概率較小，后果嚴重。例如，投保，資產證券化等2023/3/842第四十二頁，共71頁。企業全面風險管理框架風險管理策略

風險管理工具名稱涵義適用條件及舉例風險轉換通過戰略調整等手段將企業面臨的一種風險轉換為另一種風險風險轉換成本較低。例如，企業通過放寬信用標準降低了銷售收入下滑的風險，但增大了發生壞賬的風險風險對沖采取各種手段，引入多個風險因素或承擔多個風險，使得這些風險的影響互相抵消在相同條件下，不同的風險具有相反的經濟后果。例如，分散投資以達到“東方不亮西方亮”的結果，套期保值等風險補償企業主動承擔風險，并采取措施以補償可能的損失例如，企業計提風險準備金，與銀行簽訂應急資本協議等2023/3/843第四十三頁，共71頁。企業全面風險管理框架風險管理策略

風險管理工具名稱涵義適用條件及舉例風險控制控制風險事件發生的動因、環境、條件等，來達到減輕風險事件發生時的損失或降低風險事件發生的概率的目的發生概率較高，后果較為嚴重，且能夠經濟有效地降低風險。在企業中，風險控制主要是利用內部控制政策與程序實現的。例如，存貨永續記錄和定期盤點制度可以降低存貨發生正常損失的可能性2023/3/844第四十四頁，共71頁。企業全面風險管理框架案例：萬科的風險評估與應對策略（2010年年報）

為促進公司持續、健康、穩定發展，實現經營目標，公司根據既定的發展策略，結合不同發展階段和業務拓展情況，全面系統持續地收集相關信息，及時進行風險評估，動態進行風險識別和風險分析，并相應調整風險應對策略。公司由相關部門負責對經濟形勢、產業政策、市場競爭、資源供給等外部風險因素以及財務狀況、資金狀況、資產管理、運營管理等內部風險因素進行收集研究，并采用定量及定性相結合的方法進行風險分析及評估，為管理層制訂風險應對策略提供依據。2010年度，面對宏觀政策的日益收緊、行業走向的高度不確定以及競爭態勢的新挑戰，公司著重于提升企業的經營質量、管理效率和專業能力，努力促進公司發展由規模速度型向質量效益型轉變。報告期內，公司始終保持充分的謹慎，發揮“戰略縱深”優勢，綜合運用各種渠道，以合理的價格獲取優質的土地資源，存貨管理堅持采取“量出為入”策略，與此同時，公司不斷深入推動成本優化，積極開展成本對標，提高集中采購度水平，嚴格控制成本，并采取嚴格費用預算和預算監督，降低費用水平，以及積極拓展融資渠道等風險應對措施，以保障各城市和區域的均衡發展，持續提升為股東持續創造價值的能力。

2023/3/845第四十五頁，共71頁。企業全面風險管理框架風險管理解決方案

基本要求

方案一般應包括風險管理的具體目標，所需的組織領導，所涉及的管理及業務流程，所需的條件、手段等資源，風險事件發生前、中、后所采取的具體應對措施以及風險管理工具（如：關鍵風險指標管理、損失事件管理等）2023/3/846第四十六頁，共71頁。企業全面風險管理框架風險管理解決方案方案類型外包方案內控方案企業許多風險管理工作可以外包出去，如企業使用投資銀行、信用評級公司、保險公司、律師事務所、會計事務所、風險管理咨詢公司等專業機構，將有關方面的工作外包，可以降低企業的風險，提高效率2023/3/847第四十七頁，共71頁。企業全面風險管理框架風險管理解決方案

常見內部控制活動控制活動內涵舉例批準由適當的機構或人員簽字同意一項業務活動，實際上是一種特別授權向新客戶提供賒銷須經財務經理批準注意：“一支筆”害處多授權授予某個機構或人員從事某種業務活動的權力，包括一般授權與特別授權金額在1萬元以下的費用開支，由部門經理簽字報銷；金額1萬元至5萬元的費用開支，由主管副總簽字報銷；金額5萬至10萬的費用開支，由總經理簽字報銷驗證由業務經辦人員以外的其他人員實施獨立檢查財務部門審核報銷發票，專人負責采購貨物的驗收等調節由獨立人員對賬實差異進行調查和調整由出納以外的其他人員負責編制銀行存款余額調節表經營業績評價將實際業績與事先確定的指標（預算、定額等）進行比較并分析差異原因編制銷售預算完成情況的月度報告，提交銷售副總審核，如發現重大差異，分析原因并采取跟進措施資產安全對資產實施實物控制措施存貨、固定資產的定期盤點；票據、印章的專人保管等職責分離不相容職務由不同的機構或人員來完成業務授權、執行、資產保管、會計記錄等職能必須分離；會計與出納應分離等2023/3/848第四十八頁，共71頁。企業全面風險管理框架案例：

案例：我親身經歷的采購黑洞

當我知道自己要被調去搞采購時，我知道，該我發財了。要搞錢，幾個因素必須齊備：首先是公司管理不嚴。其次是用料部門領導“懂不懂事”。沒有不貪的貓，在金錢的誘惑下，設備科長和我一拍即合。再次，是要找到一個可靠的供貨方。在我們公司，除作為固定資產的整機購買要總公司老總們批準外，一般的損耗配件購買，只需下面經手領導批就行了。因此，用料部門平時就“莽”起開條子去庫管那兒領，領來當然沒用，都存起了。工地上的事，管理部門啷個曉得呢？要領些啥子，領導間相互打個招呼就批了。還有就是“報廢”特別多。一個上萬元的配件，剛領走幾天就“報廢”了，接著就急急忙忙來領新的?？纯创娴牧隙嗔?，用料部門就會打報告給公司。需要買些什么當然已經列得清清楚楚的了。隨后接到公司采購任務通知的采購員，就把存下的料發到已聯系好了的供貨部門手里。2023/3/849第四十九頁，共71頁。企業全面風險管理框架風險管理解決方案

案例：我親身經歷的采購黑洞

其間，供貨方充當了一個洗錢的角色。我們對供貨方要求是能提供齊全的合法手續。未買之前，我還會把供方的價格，所購配件數量等詳細情況再傳回去請老總批準。買后不能直接帶回公司，要通過運輸部門，以防萬一清查時，好拿得出個憑證。購貨款納完稅，扣除實際購貨的金額，剩下的我們和供貨方一般是七三分。去年八月，我在一個建筑機械配件門市買了10萬元錢的液壓配件，實際只花了500元錢買新貨，其余配件都是自己從公司發出去的。一些配件被反復的“買來買去”，自己都認熟了。我們公司誰都知道效益差，說起你都不信，我一個月只拿不到2000元。但我做采購三年，買了一套價值七位數的別墅，老婆沒工作、娃兒讀的貴族學校。采購中這種“找錢”方式其實很普遍，像建筑行業、電力、鐵路等不少行業的采購人員都在這樣搞。2023/3/850第五十頁，共71頁。企業全面風險管理框架風險管理解決方案

案例討論：該單位采購業務內部控制存在哪些漏洞2023/3/851第五十一頁，共71頁。2023/3/8企業全面風險管理框架風險管理解決方案52

參考答案該公司采購業務存在的控制漏洞主要包括：（1）用料部門可以大量、無節制地領用貨物，說明缺乏預算和定額控制；（2）缺乏存貨報廢及處置的嚴格審批程序；（3）采購業務中職責分離不到位，執行采購者不應負責確定供應商，采購業務量大的企業，可考慮設立采購委員會，實施采購招標制；（4）采購貨物缺乏嚴格的驗收程序，如果有專人負責驗收，不難發現多次采購的配件系同一產品的事實；第五十二頁，共71頁。2023/3/8企業全面風險管理框架風險管理解決方案53

參考答案（5）公司自己的貨物能夠順利地運出至供應商，說明該公司缺乏必要的安保（如門衛）控制；（6）缺少有效的內部審計制度，如果內審部門能夠對采購業務進行獨立核查的話，僅僅通過分析程序就可以發現設備科采購量過大和設備報廢率過高的事實；（7）“工地上的事，管理部門啷個曉得呢”說明該單位建筑施工缺乏現場控制。第五十三頁，共71頁。企業全面風險管理框架風險管理的監督與改進

基本要求

企業應以重大風險、重大事件和重大決策、重要管理及業務流程為重點，對風險管理初始信息、風險評估、風險管理策略、關鍵控制活動及風險管理解決方案的實施情況進行監督，采用壓力測試、返回測試、穿行測試以及風險控制自我評估等方法對風險管理的有效性進行檢驗，根據變化情況和存在的缺陷及時加以改進2023/3/854第五十四頁，共71頁。企業全面風險管理框架風險管理的監督與改進

財政部等五部委制定的內控規范體系企業內部控制基本規范內部控制應用指引內部控制評價指引內部控制審計指引適用于企業和咨詢機構適用于會計師事務所2023/3/855第五十五頁，共71頁。企業全面風險管理框架風險管理的監督與改進

財政部《內部控制評價指引》

內部控制評價，是指由企業董事會和管理層實施的，對企業內部控制有效性進行評價，形成評價結論，出具評價報告（即內部控制自我評估報告）的過程企業董事會及其審計委員會負責領導本企業的內部控制評價工作；監事會對董事會實施內部控制評價進行監督；企業可以授權內部審計部門負責組織和實施內部控制評價工作2023/3/856第五十六頁，共71頁。企業全面風險管理框架風險管理組織體系基本要求

企業應建立健全風險管理組織體系，主要包括規范的公司法人治理結構，風險管理職能部門、內部審計部門和法律事務部門以及其他有關職能部門、業務單位的組織領導機構及其職責

應建立有效制衡、科學決策的法人治理結構國有獨資公司和國有控股公司應建立外部董事、獨立董事制度，外部董事、獨立董事人數應超過董事會全部成員的半數，以保證董事會能夠在重大決策、重大風險管理等方面作出獨立于經理層的判斷和選擇2023/3/857第五十七頁，共71頁。企業全面風險管理框架風險管理組織體系

一種較為理想的組織結構設計股東大會董事會總經理首席風險官總審計師風險管理委員會審計委員會風險控制委員會風險管理部審計部監事會2023/3/858第五十八頁，共71頁。企業全面風險管理框架風險管理信息系統基本要求企業應將信息技術應用于風險管理的各項工作，建立涵蓋風險管理基本流程和內部控制系統各環節的風險管理信息系統，包括信息的采集、存儲、加工、分析、測試、傳遞、報告、披露等企業應重視風險管理信息系統和業務管理信息系統、財務會計信息系統等的融合，并注重信息技術（包括計算機網絡技術）的應用2023/3/859第五十九頁，共71頁。企業全面風險管理框架風險管理信息系統信息與溝通要求企業的信息系統應為管理層提供高質量的信息，使其可以作出明智的決策，這些信息包括企業內部生成的數據和從企業外部搜集的信息有效地溝通包括信息在組織中向下、平行和向上的流動，企業員工應從高層領導那里收到必須認真擔負風險管理職責的清晰信號，了解自己在ERM中的職責以及自己與他人之間的工作聯系，具備向上報告重要信息的通暢渠道2023/3/860第六十頁，共71頁。企業全面風險管理框架風險管理信息系統案例：法國興業銀行巨虧49億歐元法國興業銀行2008年1月23日宣布，因為一名駐巴黎的交易員熱羅姆·凱維埃爾在股指期貨上的違規操作，該集團損失49億歐元（約合71.6億美元），成為有史以來涉及金額最大的交易員欺詐事件2023/3/861第六十一頁，共71頁。企業全面風險管理框架風險管理信息系統案例分析法興的內控漏洞是導致詐騙交易得逞的主要根源。根據法興的披露，銀行內控系統要在交易的三天后才會對交易進行查核，同時法興系統的開發人員、驗收人員與IT管理人員在一段較長時間內對內控和技術漏洞未能采取有效的措施，使得這樣的漏洞被交易員熱羅姆·凱維埃爾利用，他同時為了規避后臺監控，盜用多個系統密碼篡改數據盡管采取了復雜的風險管理措施，銀行業仍然面臨著這樣的風險：熟知公司內部風險控制流程的員工可能規避這些流程，以掩蓋（投資）損失2023/3/862第六十二頁，共71頁。企業全面風險管理框架風險管理信息系統案例啟示

根據《商業銀行內部控制指引》，應嚴格劃分計算機信息系統開發部門、管理部門與應用部門的職責，建立健全計算機信息系統風險防范制度，包括對計算機信息系統實施有效的用戶管理和密碼（口令）管理，對網絡