【正文】 控措施，落實責任人員，并提出管理建議。第十一條 各部門至少每年開展一次風險信息收集、辨識工作，形成本專業(yè)風險信息，提交全面風險管理與內(nèi)部控制辦公室匯總審核，并同步更新全面風險管理與內(nèi)部控制信息系統(tǒng)相關(guān)信息。（六）廉政風險方面：收集干部員工遵守規(guī)章制度、廉潔從業(yè)規(guī)定等方面的信息，分析這些信息是否可能導致違法違紀，給公司帶來經(jīng)濟損失或聲譽損害的風險。（四）人力資源風險方面：收集勞動政策變化、人力資源規(guī)劃及勞動用工管理等方面的信息，分析這些信息是否可能給公司帶來人員結(jié)構(gòu)不合理、隊伍不穩(wěn)定等風險。（二）法律法規(guī)方面：收集與法人主體責任、重大合同履約、法律糾紛等信息，分析這些信息是否可能給公司帶來法律法規(guī)方面的風險。要以崗位為基礎(chǔ)，以業(yè)務(wù)流程為依托，動態(tài)收集風險初始信息，并對初始信息進行篩選、提煉、分類。第九條 綜合管理部負責對風險管理與內(nèi)部控制實施有效性進行監(jiān)督。（四）建立本部門內(nèi)部控制體系并有效執(zhí)行，編制本部門業(yè)務(wù)風險與內(nèi)部控制手冊。（二）開展本部門風險管理信息收集、風險評估、研究確定本部門風險管理策略、重大風險預(yù)警指標。（五）組織開展與風險管理及內(nèi)部控制有關(guān)的文化培育工作。（三）組織開展公司全面風險管理報告的編報工作。第六條 公司全面風險管理與內(nèi)部控制辦公室負責風險管理與內(nèi)部控制日常組織與協(xié)調(diào)工作，主要職責包括：（一）制定和完善公司風險管理與內(nèi)部控制相關(guān)規(guī)章制度、實施辦法、管理手冊。（六）審定公司風險管理與內(nèi)部控制評價標準。（四）審定公司全面風險管理報告、風險管理與內(nèi)部控制評價報告以及重大決策的專項風險評估報告。（二）批準公司全面風險管理與內(nèi)部控制工作計劃。第二章 組織體系與職責分工第四條 公司設(shè)立全面風險管理與內(nèi)部控制委員會 主任：總經(jīng)理 黨支部書記 成員：各部門主任下設(shè)全面風險管理與內(nèi)部控制辦公室，主任由綜合管理部主任兼任。第二條 本實施辦法所稱風險，指未來的不確定性對公司經(jīng)營目標實現(xiàn)的影響，包括財務(wù)風險、法律風險、市場營銷風險、人力資源風險、信息風險、廉政風險、信訪維穩(wěn)風險和其他風險。但相對于內(nèi)部控制框架，企業(yè)風險管理框架提出設(shè)立新的風險管理部門并規(guī)定了風險管理員的地位和職責，同時擴大了董事會的職責。企業(yè)的信息系統(tǒng)的基本職能應(yīng)以時間序列的形式收集、捕捉數(shù)據(jù)，其收集數(shù)據(jù)的詳細程度則視企業(yè)風險識別、評估和反應(yīng)的需要而定，并保證將風險維持在風險偏好的范圍內(nèi)。歷史數(shù)據(jù)可以使企業(yè)將實際的經(jīng)營成果與目標、計劃和預(yù)期相比較，以深入了解企業(yè)在過去不斷變化的市場條件下是如何經(jīng)營的。企業(yè)風險管理框架還要求注意相互關(guān)聯(lián)的風險，確定一件單一的事項如何為企業(yè)帶來多重的風險。最好能夠找到與風險相關(guān)的目標一致的計量單位進行計量，將風險與相關(guān)的目標聯(lián)系起來。企業(yè)的風險文化是企業(yè)員工共有的態(tài)度、價值、目標和行動的集合，它表明企業(yè)是如何認識風險的。在個別和分組考慮風險的各反應(yīng)方案后，企業(yè)管理者應(yīng)從總體的角度考慮企業(yè)選擇的所有風險反應(yīng)方案組合后對企業(yè)的總體影響。（3）風險反應(yīng):企業(yè)風險管理框架提出對風險的四種反應(yīng)方案――規(guī)避、減少、共擔和接受風險。存在潛在的積極影響的事項代表機遇，而存在潛在負面影響的事項則稱為風險。（2）事項識別:企業(yè)風險管理和內(nèi)部控制框架都承認風險來自于企業(yè)內(nèi)、外部各種因素，而且可能在企業(yè)的各個層面上出現(xiàn)，并且應(yīng)根據(jù)對實現(xiàn)企業(yè)目標的潛在影響來確認風險。此外，針對企業(yè)將管理的重心移至風險管理，風險管理框架更加深入地闡述了其他要素的內(nèi)涵，并擴大了相關(guān)要素的范圍。將風險控制在風險容忍度之內(nèi)能夠在更大程度上保證企業(yè)的風險被控制在風險偏好的范圍內(nèi)，也就能夠從更高程度上保證企業(yè)目標的實現(xiàn)。風險容忍度是指在企業(yè)目標實現(xiàn)的過程中對差異的可接受程度，是企業(yè)在風險偏好的基礎(chǔ)上設(shè)定的對相關(guān)目標實現(xiàn)過程中所出現(xiàn)的差異的可容忍限度。不同的戰(zhàn)略給企業(yè)帶來的風險也不同，在企業(yè)戰(zhàn)略制定階段就進行風險管理，就是要幫助企業(yè)的管理者在不同戰(zhàn)略間選擇與企業(yè)的風險偏好相一致的戰(zhàn)略。此外，企業(yè)也可以采用定量的方法對風險偏好進行衡量，反映企業(yè)的目標、收益與風險之間的關(guān)系并進行權(quán)衡。從廣義上看，風險偏好是指企業(yè)在實現(xiàn)其目標的過程中愿意接受的風險的數(shù)量。企業(yè)的風險管理在應(yīng)用于實現(xiàn)企業(yè)其他三類目標的過程中，也應(yīng)用于企業(yè)的戰(zhàn)略制定階段。該目標的層次比其他三個目標更高。內(nèi)部控制框架中的財務(wù)報告目標只與公開披露的財務(wù)報表的可靠性相關(guān)，而企業(yè)風險管理框架中的報告目標的范圍有很大的擴展，該目標覆蓋了企業(yè)編制的所有報告，既包括內(nèi)部報告，也包括外部報告；既包括企業(yè)內(nèi)部管理者使用的報告，也包括向外部提供的報告；既包括法定報告，也包括向其他利益相關(guān)者年的非法定報告；既包括財務(wù)信息，也包括非財務(wù)信息。2．增加一類目標—戰(zhàn)略目標，并擴大了報告目標的范疇內(nèi)部控制框架將企業(yè)的目標分為三類――經(jīng)營、財務(wù)報告和合法性目標。對企業(yè)內(nèi)每個單位而言，其風險可能落在該單位的風險容忍度范圍內(nèi)，但從企業(yè)總體來看，總風險可以超過企業(yè)總體的風險偏好范圍。除單獨考慮各個風險因素之外，更有必要從總體的、組合的角度理解風險。對應(yīng)風險管理的需要，新框架還要求企業(yè)設(shè)立一個新的部門——風險管理部。這些內(nèi)容都是內(nèi)部控制框架中沒有的，也是其所不能做到的。而內(nèi)部控制所負責的是風險管理過程中間及其以后的重要活動，如對風險的評估和由此實施的控制活動、信息與交流活動和監(jiān)督評審與缺陷的糾正等工作。全面風險管理的一系列具體活動并不都是內(nèi)部控制要做的。而且，在兩者所要達到的目標上，全面風險管理多于內(nèi)部控制。三、內(nèi)部控制與全面風險管理的差異。內(nèi)部控制措施可能只能在一定程度上解決某項具體風險，或者說僅采用內(nèi)部控制措施還不能使風險保持在可以承受的范圍內(nèi)，因此必須協(xié)同其他措施進行聯(lián)合管理，如外匯風險、被收購的風險、稅務(wù)風險等，以稅務(wù)風險為例，企業(yè)聘請中介機構(gòu)代為申報納稅，或者由中介機構(gòu)對企業(yè)稅務(wù)申報情況出具審核報告，從而減少稅務(wù)合規(guī)性風險。如果主要通過外包方案或者外部的其他力量來解決風險，其比采用內(nèi)部控制控制措施的成本會高很多。內(nèi)部控制是風險管理的重要手段體現(xiàn)在以下三個方面：第一，采用內(nèi)部控制措施可以處理大部分風險。因此，滿足內(nèi)部控制系統(tǒng)的要求也是企業(yè)風險管理體系建立應(yīng)該達到的基本狀態(tài)。內(nèi)部控制的動力來自企業(yè)對風險的認識和管理，對于企業(yè)所面臨的大部分運營風險，或者說對于在企業(yè)的所有業(yè)務(wù)流程之中的風險，內(nèi)控系統(tǒng)是必要的、高效的和有效的風險管理方法。從時間先后和內(nèi)容上來看，全面風險管理是對內(nèi)部控制的拓展和延伸。COSO2003年7月公布了全面風險管理框架的征求意見稿中明確地指出全面風險管理體系框架包括內(nèi)控作為一個子系統(tǒng)?！度骘L險管理框架》三個維度的關(guān)系是：全面風險管理的8個要素都是為企業(yè)的四個目標服務(wù)的；企業(yè)各個層級都要堅持同樣的四個目標；每個層次都必須從以上8個方面進行風險管理。第二維全面風險管理要素有8個，即內(nèi)部環(huán)境、目標設(shè)定、事件識別、風險評估、風險對策、控制活動、信息和交流、監(jiān)控。該框架有三個維度，第一維是企業(yè)的目標；第二維是全面風險管理要素；第三維是企業(yè)的各個層級。因此，風險的考慮不能僅僅從某項業(yè)務(wù)、某個部門的角度出發(fā)，必須根據(jù)風險組合的觀點，從貫穿整個企業(yè)的角度看風險，即要實行全面風險管理。在COSO委員會的《內(nèi)部控制管理框架》中，把內(nèi)部控制活動分成五大組成部分，即：控制環(huán)境、風險評估、控制活動、信息與交流和監(jiān)督評審。COSO于2004 年發(fā)布了《企業(yè)風險管理——整合框架》，在該框架的附錄C中指出，“內(nèi)部控制被涵蓋在企業(yè)風險管理之內(nèi)，是其不可分割的一部分”。概括的說，內(nèi)部控制使得企業(yè)的日常經(jīng)營管理流程更加規(guī)范、財務(wù)管理真正的有效實施，與此同時企業(yè)內(nèi)部的規(guī)范性操作流程、財務(wù)管理控制也正是全面風險管理在企業(yè)實施的基本條件。通過上面的描述，我們可以看出，全面風險管理及內(nèi)部控制實際上都是以保護企業(yè)的財產(chǎn)安全、保證企業(yè)的經(jīng)營結(jié)果、實現(xiàn)企業(yè)的戰(zhàn)略目標為最終的目的。這些功能都是內(nèi)部控制框架能力范圍之外的。三是兩者對風險的管理不一致。全面風險管理包含了選擇風險評估方法、制定風險管理目標、制定相關(guān)戰(zhàn)略、報告程序及聘用管理人員等多個環(huán)節(jié)，而內(nèi)部控制主要負責的是風險管理過程中間及其以后的重要活動，例如對風險的評估和，對財務(wù)報告的評估，信息與交流活動的監(jiān)督，對操作流程的不規(guī)范進行糾正等等。二是兩者的活動不一致。內(nèi)部控制僅是管理的一項職能，主要是通過事后和事中的控制來實現(xiàn)其目標，而全面風險管理則貫穿于管理過程的各個階段，覆蓋了各個不同的環(huán)節(jié)，更重要的是在事前就對風險有了一定的預(yù)見性的考慮。因此，滿足內(nèi)部控制系統(tǒng)的要求也是企業(yè)風險管理體系建立應(yīng)該達到的基本狀態(tài)。內(nèi)部控制的動力來自企業(yè)對風險的認識和管理，對于企業(yè)所面臨的大部分運營風險，或者說對于在企業(yè)的所有業(yè)務(wù)流程之中的風險，內(nèi)控系統(tǒng)是必要的、高效的和有效的風險管理方法。COSO框架中明確地指出全面風險管理體系框架包括內(nèi)部控制，將之作為一個子系統(tǒng)。其實，兩者之間既有區(qū)別又有聯(lián)系。（三）全面風險管理與內(nèi)部控制的關(guān)系談到風險管理，則一定會提到企業(yè)內(nèi)部控制。這種方式能夠動態(tài)地反應(yīng)風險管理狀況，并使之根據(jù)條件的要求而變化。八是監(jiān)控。主體的各個層級都需要借助信息來識別、評估和應(yīng)對風險。制定和實施政策與程序以確保管理當局所選擇的風險應(yīng)對策略得以有效實施。管理當局選擇一系列措施使風險與主體的風險容限和風險容量相適應(yīng)。五是風險應(yīng)對。風險與可能被影響的目標相關(guān)聯(lián)。四是風險評估。必須識別可能對主體產(chǎn)生影響的潛在事項，包括表示風險的事項和表示機會的事項，以及可能二者兼有的事項。企業(yè)風險管理確保管理當局采取恰當?shù)某绦蛉ピO(shè)定目標，并保證選定的目標支持主體的使命并與其相銜接，以及與它的風險容量相適應(yīng)。二是目標設(shè)定。管理當局確立關(guān)于風險的理念，并確定風險容量。”該框架拓展了內(nèi)部控制，更有力、更廣泛地關(guān)注于企業(yè)風險管理這一更加寬泛的領(lǐng)域。2004年COSO委員會發(fā)布《企業(yè)風險管理——整合框架》。內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查，評價內(nèi)部控制的有效性