大数据风控

    张孝昆 编著

    ISBN：978-7-111-56868-1

    本书纸版由机械工业出版社于2017年出版，电子版由华章分社(北京华

    章图文信息有限公司，北京奥维博世图书发行有限公司)全球范围内制

    作与发行。

    版权所有，侵权必究

    客服热线：+ 86-10-68995265

    客服信箱：service@bbbvip.com

    官方网址：www.hzmedia.com.cn

    新浪微博 @华章数媒

    微信公众号 华章电子书(微信号：hzebook)目录

    序 大风起兮云飞扬

    前言

    第一部分 思想篇

    第1章 企业大数据核心思想概述

    1.1 企业管控与大数据应用

    1.2 企业管控中的风险、内控、审计手段融合

    1.3 集团管控与风险管控的联动

    1.4 风险管控融入业务、融入信息化

    1.5 智能监控的思路及方式方法

    第2章 运用大数据解决风险管控

    2.1 企业风险管控构建要点

    2.2 应用大数据为风险管控服务

    2.3 大数据风控落地运行新模式

    2.4 风险识别实务

    2.5 风险评估实务

    2.6 风险应对实务

    2.7 风险预警监控

    2.8 风险管控报告与监督

    2.9 内部控制体系构建2.10 内部控制评价

    第3章 集团管控模式下的风险管控及数据化管理

    3.1 集团公司如何形成风险管控循环

    3.2 集团化公司风险管控能力建设思路

    3.3 如何构建集团总部的风险管控能力

    3.4 如何构建下属公司的风险管控能力

    3.5 企业数据化管理新模式

    第4章 现代企业大数据审计

    4.1 大数据审计的核心思想

    4.2 集团企业审计现状分析及存在的问题

    4.3 大数据对内部审计的挑战

    4.4 集团企业大数据审计思路

    4.5 风险、内控、审计系统的整合运用

    4.6 大数据环境下的审计体系落地

    第5章 运用大数据构建智能化企业

    5.1 企业大数据颠覆商业智能

    5.2 企业大数据颠覆传统ERP

    5.3 大数据重塑管理会计新模式

    第二部分 实战篇

    第6章 销售业务风险管控及ERP落地

    6.1 导言6.2 ××公司业务流程梳理

    第7章 采购业务风险管控及ERP落地

    7.1 导言

    7.2 ××公司业务流程梳理

    7.3 采购业务管理建议

    7.4 采购业务管理优化带来的效益

    参考文献序 大风起兮云飞扬

    现代企业的发展越来越注重经营和管理的平衡，一直以来，重经营

    轻管理是企业的通病，管理始终是企业致命的弱项，根源在于一方面我

    们缺乏对企业管理的实证研究，另一方面企业也缺乏对管理经验和数据

    的积累。因为管理的失误带来的企业经营问题和发展问题层出不穷，而

    且经常是一犯再犯，不同的企业总在一个地方摔跟头，同一个企业在一

    个地方摔倒两次，如此总总。

    “十二五”以来，因为需要面对经济全球化，要适应新常态，要转型

    升级，要提质增效等，企业开始关注修炼内功，开始真正重视管理。实

    际上企业管理的要素非常多，风控、内控是这些年的管理热点之一，它

    不但涉及企业内在素质的提升、风险的规避，也直接影响企业核心竞争

    能力的形成和提升。

    现代企业之所以称为现代，一定是它要有新的思维方式，遵循符合

    时代要求的逻辑规律；它要适应移动互联时代的发展特征，甚至包含对

    现代人群行为模式的适应，建立现代企业制度，具有全球视野，具有系

    统能力，这才能称为现代企业。

    “大数据”现在红得发紫，热得烫手!事物存在一定是有逻辑的，它

    之所以热，之所以红，一定是有人发现了它的价值，特别是它在企业经营管理方面的价值。大数据可以解构原来的管理体系，颠覆传统的管理

    模式。但是大数据理念的建立，大数据的形成、采集、积累和发展，又

    是大家共同面临的难题。把现代管理、大数据、风控这些热门词汇集合

    起来，就有可能形成一个专门的学科，我们现在看到的这本书《大数据

    风控》有可能就是这个学科的奠基之作，它具有非常积极的现实意义。

    孝昆是我多年的朋友和同事，他勤学好进，对于事物本质和规律的

    探求孜孜不倦，具有专家的品质，特别是他持之以恒地在风控领域投入

    大量精力研究、实践，辅导和帮助很多企业以及其他机构在这一领域开

    展了卓有成效的工作，做出了积极的社会贡献。

    现在孝昆把他的经验积累结集出版，既能看到他对社会进步、企业

    发展的拳拳之心，也可以看到他在这一领域的研究高度，奉献了满满的

    正能量。企业的发展、中国梦的实现，需要千千万万孝昆这样的人士，大家集思广益，互通有无，共同谋求美好的未来。中国的企业发展已经

    步入了全新的阶段，我们面临良好的发展机遇，也面临前所未有的挑

    战，希望所有的企业都能重视管理，学会科学的管理方法，不断地发

    展、壮大；也希望所有的管理研究人员务实努力，探索适合中国企业发

    展的路径，为企业发展提供指引，为全球提供中国的管理思想。

    借孝昆新书付梓之际，向孝昆表示热烈的祝贺，向所有做企业研究

    的人表达衷心的祝福，向所有经营发展企业的人献上真诚的祝愿!祝我

    们的研究人员硕果累累，祝我们的企业前程似锦，祝我们的国家和民族繁荣富强!

    北京仁达方略管理咨询股份有限公司董事长 王吉鹏

    2017年5月16日前言

    企业管控领域一直在强调一句话：不会量化就无法管理。这一直是

    我们在探索的管理实践。但是很多企业管理者往往依靠其直觉及经验进

    行管理和决策，特别是大型集团化公司。这种通过直觉和经验做出的决

    策往往会因获取不到真实且准确的信息而导致出错，甚至浪费资源，使

    企业付出巨大代价，严重的可能导致战略失误，错失市场的机会。那

    么，如何将管理进行量化，使管理变得更简单？人们通常认为企业可以

    运用的数据只有企业自身的数据，其实还有更广阔的外部数据即互联网

    数据。企业可以通过对内外部数据进行分析，从而量化企业管理及决策

    的事项，提高决策质量和业绩表现，简单来说就是“用数据说话”。由此

    可见，关键数据会对企业的决策产生重大影响。

    大数据对企业管控的颠覆将是全面的，包括对商业模式的颠覆，对

    传统营销模式的颠覆，对集团管控模式及风险管控模式的颠覆，对企业

    内部组织工作模式的颠覆，对业务管控及审计模式的颠覆等。

    大数据包括大数据思维和大数据技术两个方面：大数据思维具有全

    局性、颠覆性、概括性等特点；大数据技术具有规模性、高速性、多样

    性，而且无处不在等特点。具体地说，是指以快速获取、处理、分析和

    提取有价值的、海量的、多样化的内外部交易数据、交互数据为基础，针对企业的运作模式提出有针对性的方案，进而形成企业数据化管理新模式。

    那么，在企业层面是如何运用大数据形成新的数据化管理模式，来

    设定目标、运作业务、把控风险的呢？

    在金融领域，由于互联网金融的大发展，大家了解了“金融就是拿

    风险换钱”的商业模式，开始重新审视和重视风险管控。但是有些企业

    把大数据风控等同于大数据信贷，还没有弄清楚风险管控的基本知识，就突然冒出了大量的大数据风控公司，导致整个市场畸形，使得大数据

    的发展脱离了原有的轨道，包括投资方、真正运营方在内的大部分人深

    受其害，损失惨重。真正的大数据分析会给风险管控模式、信用评分、欺诈检测、金融产品的定价、程式交易、索赔分析等传统金融业务带来

    颠覆式的影响，例如以前很难做到的实时在线数据分析，如今是进行大

    数据分析的基本要求。大数据分析的到来形成了传统金融机构和以阿里

    巴巴、腾讯、京东为代表的互联网金融机构并存的局面。

    大数据彻底改变了企业管控模式，以往的管理是“领导说什么是什

    么”，现在变成“大数据分析结果”，这是对传统领导力的挑战，也推动

    了企业对管理岗位人才的重新定义。管理岗位人才不仅需要懂企业的业

    务流程，还要成为数据专家。跨专业的人才需求改变了过去领导力主要

    体现在经验和过往业绩上的模式。如今熟练掌握互联网及大数据思维、大数据分析工具，善于运用大数据分析结果结合企业的销售和运营管理

    实践进行管理是对新管理岗位人才的要求。Hadoop是当前大数据分析最通用的平台，整合了硬件和开源软件，它接收涌入的数据流并将其分配至很便宜的存储盘，同时它也提供分析

    数据的工具。虽然Hadoop可以做到传统的数据分析工具远远达不到的程

    度，但是这些都是全新的企业管理工具和管理技术，需要企业做新的投

    资，特别是定制化的开发。这些是大数据时代产生的新技术要求和技术

    投入。

    我为企业服务多年，每年往返于中国的大江南北，经常给不同行

    业、不同企业的高管们讲课，和他们进行深入的沟通交流，帮助他们解

    决实际问题。每个企业所属的行业不同，所处的发展阶段不同，碰到的

    实际问题都会不同，我会采用“实事求是”作为主导思想为每个企业服

    务。我同时也是中国较早的一批IT审计师(即国际注册信息系统审计

    师)，看到了信息技术对企业管理的颠覆作用。中国目前所处的是一个

    运用互联网和大数据进行全面颠覆的阶段：货币全面数字化、办公全面

    移动化、生产全面智能化、企业运营全面数据化。这些触发我必须写点

    东西，告诉大家企业大数据时代已经来临，大数据和风控正在加速融

    合，大数据会颠覆企业的管控模式，使企业从原来的信息化到智能化阶

    段，从传统ERP到企业大数据阶段。

    本书来源于我十几年的工作经验积累，书中大量资料是我和原同事

    共同努力的结果。在本书编写过程中，得到佟彤、王萍、郝玉阁、宋相

    营、乔智华、韩兵兵、荆关玲、何杰等人的大力支持和帮助，在这里一并表示感谢!

    张孝昆

    2017年5月于北京第一部分 思想篇

    第1章 企业大数据核心思想概述

    第2章 运用大数据解决风险管控

    第3章 集团管控模式下的风险管控及数据化管理

    第4章 现代企业大数据审计

    第5章 运用大数据构建智能化企业第1章 企业大数据核心思想概述

    企业管控对如今的中国企业已不再陌生。大家都在谈论商业模式、集团管控模式、风险管控模式、业务管控模式、供应链模式、数据化管

    理模式。我们知道从公司治理、企业人财物管理到企业IT资源管理等，所有的企业管理都是相通的。一个企业只有“一套体系、一套流程、一

    套表单”，这是对企业管控最基本的理解。中国企业从粗放化管理到精

    细化管理的一个标志性事件就是中国企业赴美上市。从2004年到2006

    年，中国很多企业去美国上市，开始学习构建合规型风险管控体系，奠

    定了中国企业转型发展之路；2008年国家风险管控规范体系出现；2010

    年内部控制三个指引的提出；2011年中国上市公司开始全面执行内部控

    制规范和配套指引，中国企业经历了转型发展的艰难历程。与此同时，也带来了大量的思考：合规型风险管控的作用究竟在哪里？到底有没有

    解决企业核心的问题？和企业资源计划(ERP)有什么关系？这么多体

    系，企业到底如何管理？企业从业务角度来看，是否形成了真正意义上

    的一体化管理模式？传统的ERP系统，是否过多地注重于业务流程，强

    调按管理环节分成若干独立的流程系统，而忽略了整合企业数据、资源

    进行风险管控的过程？今天我们用大数据思维和技术来研判、评估上述

    问题，可以说是找到了真正解决问题的利器。企业可以运用大数据形成

    以数据为中心，把内外部数据进行整合，辅以人工智能，对企业管控的

    各环节重新定义，形成以风险管控为导向的企业大数据平台，在这个平台上建设起一套真正的一体化企业管控系统。1.1 企业管控与大数据应用

    1.1.1 企业管控的理论标准

    企业管控包括风险管控、业务管控、审计管理三个方面，分别对应

    业务的事前管控、事中管控及事后管控。企业管控的理论标准在实践中

    不断完善、不断更新，其规范了企业管控的方法论，对企业管控的方法

    和操作予以了科学的指引。

    国际：COSO是1985年由美国注册会计师协会、美国会计协会、财

    务经理人协会、内部审计师协会、管理会计师协会联合创建的反虚假财

    务报告委员会，旨在探讨财务报告中舞弊产生的原因，并寻找解决之

    道。两年后，基于该委员会的建议，其赞助机构成立COSO委员会，专

    门研究内部控制问题。1992年9月，COSO委员会发布《内部控制整合框

    架》，2004年发布《企业风险管理综合框架》。2004版框架和以前的相

    比，将新版框架视为“全新”概念，人们发现新版框架的关注点已截然不

    同，它所关注的是如何使企业风险管理(ERM)在组织机构内真正行之

    有效。COSO总结了五个要素：控制环境、风险评估、控制活动、信息

    沟通、监控，且将这五个方面称为COSO循环。2013年，为了适应精细

    化的管理需求，企业又对五大要素进行了细化(见图1-1)。萨班斯法案，全称为《2002年公众公司会计改革和投资者保护法

    案》，又被称作《2002年萨班斯–奥克斯利法案》。该法案对美国

    《1933年证券法》《1934年证券交易法》做出大幅修订，在公司治理、会计职业监管、证券市场监管等方面做出了许多新的规定。图1-1 COSO体系演变

    COBIT(Control Objectives for Information and Related Technology)

    是目前国际上通用的信息系统审计标准，由信息系统审计与控制协会在

    1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和

    控制标准。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。该标准体系已在世界100多个国家的重要组

    织与企业中运用，指导这些组织有效利用信息资源，有效地管理与信息

    相关的风险，它从公司层面、流程层面和资源层面进行控制。信息是资源，企业用计算机手段对所有事项进行管控，比如对IT治理标准、IT战

    略规划及应用、风险的对策等一些事项全部进行归纳总结。其实企业真

    正去做内部控制或者识别风险的时候，特别是现在COBIT对企业比较实

    用。为什么？很简单，现在所有企业都在用ERP管理企业。

    国内：中国国资委2006年6月发布《中央企业全面风险管理指

    引》。2009年底发布风险管理国际标准ISO 31000和国内标准GBT

    24353，规范了风险管控的方法论，成为软件标准化的基本依据。2010

    年4月财政部、证监会、审计署、银监会、保监会联合发布《企业内部

    控制基本规范》及配套的《企业内部控制应用指引》《企业内部控制评

    价指引》《企业内部控制审计指引》等。

    国家监管层面针对上市公司一直强调以财务管控为主、业务评价为

    辅的风险管控模式。目前美国上市公司监管采用的萨班斯法案要求是财

    务相关，国内上市公司尽管构建的是全面风险管控体系，但证监会对上

    市公司的管理趋同于美国模式，因此上市公司的评价范围也是财务相

    关，对外只披露财务相关内部控制体系。

    上述企业管控标准为企业管控提供了合规性要求，国内企业，尤其

    是在美国上市的公司，必须考虑包括IT风险在内的各种风险。由此提升

    了风险管控的意识以及投入，推动了风险管控市场的快速发展。

    1.1.2 大数据应用目前国内传统企业开始挑战金融企业，或成立银行或参与银行业

    务，再或者成立财务公司，还可运作基金，特别是产业基金这两年非常

    多，逐步进行投资化、融合化。资产资本化速度非常快。资本开始证券

    化，证券开始信息化，信息开始公开化，这是商业模式颠覆的开始，给

    企业管控带来了新的机遇和挑战。

    如何在日益严峻的经济环境下完善法人治理机制，实现企业管控真

    正落地，避免管控不到位导致企业内部控制失效？企业应该提升管理品

    质，掌握内部控制方法，实现风险控制和管理。要实现企业风险管控，除了要掌握标准、指引外，还要运用适当的方法对企业数据信息来源进

    行分析、评估，找到企业风险的关键节点，让企业知道问题关键点再去

    解决问题，这就是风险管控的价值所在。

    数据历来都是公司判断是否面临风险的最重要元素。如今在业内被

    公认的观点是，数据是企业核心资产之一，而对于如何依托数据去量化

    风险，是企业在风险管控过程中发挥数据最大价值的重要环节。

    我们再来看看什么是大数据。麦肯锡全球研究所给出的定义是：一

    种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件

    工具能力范围的数据集合，具有海量的数据规模、快速的数据流转、多

    样的数据类型和价值密度低四大特征。大数据技术的战略意义不在于掌

    握庞大的数据信息，而在于对这些含有意义的数据进行专业化处理。换

    言之，如果把大数据比作一种产业，那么这种产业实现盈利的关键在于提高对数据的“加工能力”，通过“加工”实现数据的“增值”。

    从大数据引申出一个概念，量化管理。量化管理是一种从目标出

    发，使用科学、量化的手段进行组织体系设计和为具体工作建立标准的

    理论。它涵盖企业战略制定、组织体系建设、对具体工作进行量化管理

    等企业管理的各个领域，是一种整体解决企业问题的量化管理理论。量

    化管理起源于美国，改革开放后被引入中国。而今，量化管理几乎成了

    科学管理的代名词，凡管理不量化就不科学，于是量化管理被视为管理

    宝典，在各行各业广泛应用，量化管理呈现出不断泛化之势。大数据至

    关重要的方面，就是它会直接影响企业怎样做决策、谁来做决策，使企

    业真正地转变成量化管理。越是那些自定义为数据驱动型的公司，越会

    客观地衡量公司的财务与运营结果。1.2 企业管控中的风险、内控、审计手段融合

    企业管控对于企业管理者来说，最重要的就是管控风险，那么让我

    们重新认识一下风险的概念。什么是风险？风险是可以识别的不确定

    性。对于风险本身来说，风险是个中性词。在金融行业，没有风险就没

    有机会。这种不确定性能够对企业经济利益形成有利或不利的影响。风

    险又是长期存在的和不能被消除的，必须与机会同时权衡。

    很多企业谈“风险”色变，感觉什么都是风险，风险无处不在。我们

    要真正弄清楚什么是风险，再寻求风险管控的手段。风险是“可以识别

    的不确定性”。这句话把风险这个词解释得非常清楚，要请大家注意的

    是：不能识别的都不是风险。所以当企业在面对风险的时候，可以把风

    险描述得非常清楚。为什么人们给出了风险内源分析和外源分析的概

    念，因为风险是可识别的，可以通过内外部数据分析进行识别。

    企业的任何风险都不会没有征兆直接爆发。现在企业中爆发的风险

    都是屡教不改的结果。内审人员每天去查账和整改，可是很多时候发现

    问题都是重复的，企业或者业务部门都不去整改，这是为什么呢？业务

    部门的这些领导难道不想改吗？不是的!因为业务部门认为内审人员提

    的全是细枝末节的事情，对于他们业务无关紧要，对于部门领导来说，不可能总拿着这些事情去烦高层领导。所以在公司里做风险管控工作的相关人员要学会换位思考，运用业务人员的思维思考问题、剖析问题，从而形成风险和业务融合。

    我们再谈一下风险管理，内部控制研究委员会给出的定义是：风险

    管理是一套由董事会与管理层共同设立的与企业战略相关的管理流程。

    它的功能是识别影响企业运作的潜在事件，并把风险降低到企业可接受

    的水平，从而帮助企业达到其目标。

    企业可以把风险分三个层面：公司层面风险、业务层面风险、专项

    层面风险。

    公司层面风险包括了企业全面风险，是内外部风险对企业的冲击。

    主要包含的是战略风险、市场风险、运营风险、法律风险、财务风险

    等。

    业务层面风险是指企业业务运营中存在的风险，主要的控制手段就

    是强化内部控制，在金融业叫作“操作风险”。金融行业的操作风险就是

    传统行业的内部控制，以制造为主的企业在推进内部控制，以金融为主

    的企业在推进操作风险。

    专项层面风险是指对于企业具有重要意义的特殊事项对企业的影

    响，比如金融企业的专项投资、国企中的“三重一大”等。

    企业整体风险管控就目前的趋势而言，主要是内外部数据及资源整合，进行大数据分析，形成全行业风险管控，进而防范企业内外部风

    险。企业风险管控有助于管理层协调风险偏好与企业战略之间的匹配关

    系，强化风险应对策略，减少营运意外事件和损失，识别和管理贯穿整

    个企业的风险，建立抵抗多重风险的综合响应预案，抓住机遇及改善资

    本配置。

    内部控制是由公司董事会、管理层和其他员工实施的，为实现经营

    的效率和效果性、财务报告的可靠性以及适用法律、法规的遵循性等目

    标提供合理保证的一个过程。内部控制强调的是企业运营过程中的风险

    管控，也叫业务管控。内部控制本身和业务流程是直接相关的。但是企

    业在实际构建内部控制体系的过程中要认清一个事实，那就是企业在没

    有建立现代内部控制体系之前也是有流程的，也是有内部控制的；否则

    企业是如何管理的？例如企业是怎么报销的？怎么做业务的？怎么做销

    售的？企业在没有18个内部控制应用指引的时候，自己有没有内部控

    制？有没有风险指标？是有的，只不过企业没有把它提高到这么重要的

    程度罢了，我们现在构建的内部控制体系，其实是内部控制显性化、体

    系化，而非重新建设。为什么提高到现在这种层面呢？因为企业要提高

    管理水平或者变成公众公司，一旦发生风险，对于这些企业来说就是一

    个致命的打击或损失。所以，中国企业从2008年到2012年这四年间做的

    内部控制体系基本上以合规型内部控制为指导方向，这样的内部控制，太过于注重合规而缺少了对现有执行层面的关注。目前的风险管控融合

    了风险与内部控制，更注重实效性。举个例子：企业的总经理在想控制某个业务的时候，编写了控制矩阵，内容包括目标、控制措施、手段

    等，但是就算把控制矩阵写得再长，也跑不出三句话：想控制什么，谁

    控制，怎么控制。

    另外一个问题是内部控制构建和内部控制评价分离，也就是说内部

    控制的构建部门和内部控制的评价部门是两个部门。在国家出具相关规

    范和指引之前，企业各业务部门的内部控制是自身完善的，所以没有构

    建与评价分离之说，从这个角度分析，企业一直都是有内部控制的，只

    是没有显性化罢了。内部控制体系形成有两种模式：第一种是从上往

    下，即从公司管理层出发到公司业务最末端，全面流程梳理风险控制

    点；第二种是通过循环评价及审计、搜集证据和线索、识别风险源，从

    而反映出哪里出了问题，到底是制度的问题、流程的问题还是人的问

    题，进而完善管控措施并进行相关整改。企业在构建风险管控能力过程

    中，两种手段必须综合运用，注重实效，形成与战略和业务结合，这是

    新的思路。

    所以，现在企业在做内部控制的时候，做得越简单越好，越实用越

    好，发挥效率越快越好。越来越多的人意识到厚厚的内部控制手册是没

    有用的，也有越来越多的企业不再做内部控制手册了。我们现在要解决

    的问题是执行，更简单地执行，更有效地执行，在可控状态下执行。

    我们再谈谈内部审计，什么是审计？对相关问题及业务的再确认，审计是领导层最重要的工作，管理就是一个是管即管控，一个是理即业务。但是企业中的审计人员经常抱怨不被重视，是什么原因？第一，审

    计人员的格局和业务能力欠缺，导致管理层不信任，自己亲自管；第

    二，现在是大数据审计时代，审计人员缺乏互联网、大数据知识，无法

    进行有效的审计。从审计工作的本质上说，审计工作主要由两大业务组

    成：第一，锁定审计区域；第二，搜集审计证据。

    在现在的“互联网+大数据”环境下，对信息技术越熟的人，对信息

    安全越熟的人，对某一行业、某一企业越熟的人，锁定审计区域越准；

    反之越是传统的人，相关业务背景单一的人，在审计领域越难有作为。

    风险、内控、审计如何进行融合？风险管理和内部控制的关系其实

    就是：风险管理让你做正确的事，那么内部控制告诉你的是正确地做

    事。

    内部控制解决的是流程管控问题，包括业务流程、管理流程中的风

    险控制，解决的是“正确地做事”。内部控制更加注重实效，嵌入企业各

    业务流程的具体业务活动中，融合在企业的各项规章制度之中，使企业

    在正常运营过程中自发地防止错误，确保合规和真实，从而合理保证目

    标的实现。

    风险管理解决的不仅是流程问题，更要解决战略决策问题、应急处

    理问题；不仅要解决当前的问题，更要预测和应对将来可能发生的问

    题；不但要解决“正确地做事”，关键还要解决“做正确的事”。风险管理更偏向于前端，对影响目标实现因素的分析、评估与应

    对，防止重大决策失误，防止出现重大危机问题。

    另外一个概念是风险敞口。一个企业到底想要多大的风险敞口是做

    风险的人必须要解决的。企业的风险敞口决定企业的一些管控方法，你

    会发现经营特别好的企业，都是风险和业务融合，让业务把控自身风

    险，这是一种良性的风险管控策略。

    内部控制与企业管控颗粒度相关，公司领导想把企业管理到什么程

    度就是管控颗粒度，也可以理解为业务管控程度，这个非常关键。内部

    控制体系根本不用重新构建，因为企业本来就有，只不过企业在发挥其

    作用的时候，运用得不好，比如管理制度一成不变，按制度执行违反常

    理，但是无法改变。用一句话总结就是，好的习惯就是内部控制。

    内部控制是否有作用，需要进行内部控制评价，评价方法分为独立

    评价和自我评价两种。独立评价是以公司为主导进行评价；自我评价是

    对自己负责的业务进行评价。内部控制的独立评价和内部控制审计有什

    么关系？内部控制审计、独立评价其实从思路及方法上大体相同，目前

    在实务操作中基本进行了整合。所以，现在上市公司通常的做法是以综

    合审计代替评价，形成“以评促建，以审促评”新的风险管控建设方法，不仅节省了资源，也达到了评价的目的。

    以前企业做内部评价，都是拿一些底稿，拿一些流程到工作中进行穿行测试，这个方法效果并不明显，因为一个流程在正常情况下根本不

    可能有问题，什么时候有问题？那就是遇到问题的时候；什么时候遇到

    问题呢？两个字可以解释，即“如果”。比如A是B的流程上一步，A如果

    出错B是否可以第一个发现？A如果某一个单子填错了，B能够第一个发

    现吗？如果B可以发现，那么流程是有效的，如果到最后一步都没有人

    发现，那么流程就是失效的。一旦碰到小问题你就会发现完全沟通不

    畅。所以流程是需要正向画，逆向检查和思考的，正向跑的流程永远不

    会出现问题，例如修一个渠，倒上水就流下去了，永远不会有问题，但

    是渠的中段漏水，一般是很难发现的，什么时候发现？只有末端发现水

    少了。流程一定是逆向检查才会发现问题，为什么很多问题总出现在财

    务上，因为财务是企业所有业务及流程的最后一端，显示的是企业经营

    的结果，就是这个道理。

    风险识别主要针对内外部数据进行内部风险源分析、外部风险源分

    析。识别内部风险的时候，主要就是进行内部风险源分析。内部风险源

    分析的思路及方法和内部审计的思路及方法基本相似，是可以融合运用

    的，在融合的状态下工作，我们很难区别是在做风险识别还是在做内部

    审计。就风险源的分析而言，外部风险源分析很少用内部审计的方式方

    法，内部风险源分析基本上就是找缺陷、查问题，和审计的方式方法没

    有本质区别。市场环境和企业自身经营都在变化，管控的手段和程序也

    必须随之而变化。这样就从业务到审计，构建了企业管控三道防线(见

    图1-2)。图1-2 企业管控三道防线1.3 集团管控与风险管控的联动

    风险管控的前提是公司治理和集团管控，集团管控模式分为战略管

    控型、财务管控型、运营管控型。集团管控模式与风险管控密切相关，直接影响企业的经营管理模式及策略，例如运营管控型的公司，一般采

    用垂直模式进行大管控，下属企业基本没有审计职能，这是运营管控型

    公司的特点。运营管控型公司的战略由集团总部统一制定，这样风险集

    中到了总部，下属公司在企业管理的时候很少涉及风险管理，更多地强

    调执行力及内部控制。这其实就需要把内控融入业务比较深，所以这样

    的下属公司在设立组织结构时设置内控法务部的比较多。

    战略管控型的公司有一个业务特点是经营权下移、管控权上移。集

    团只管战略方向及全集团风险管控，经营权下移到下属公司，所以下移

    经营权的时候同时下移了业务风险。战略管控型公司的总部在设计组织

    架构时，风险管控职能部门通常叫作审计风险部。

    很多大型集团公司虽然把风险、内控、审计三种职能放在一个部门

    里面，但是分配给不同的处室，不同处室之间对于风险、内控、审计一

    直在强调风险不归我管，归另外处室管理，又人为地把企业管控手段割

    裂了。由于风险、内控、审计三种手段对于具体业务上是一体化的，所

    以完全割裂的做法是错误的。在集团公司中，内部控制的目标是合理保证集团公司及下属公司经

    营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营

    效率和效果，促进集团实现发展战略。内部控制工作是由集团董事会、监事会、经理层和全体员工实施的，旨在实现集团公司及下属公司控制

    目标的过程。

    在集团公司中，内部控制评价是在集团董事会领导下，由审计风险

    部门具体组织实施，对集团公司及下属公司内部控制的有效性进行全面

    评价、形成评价结论，并出具评价报告的过程。内部控制评价是集团内

    部控制体系的重要组成部分，是集团公司对管理活动实施监督的重要手

    段，是内部管理提升的重要推动力，是满足监管机构对内部控制有效性

    要求的重要途径。

    目前，中国企业在跨越式成长过程中，风险管理、内部控制不可避

    免地会暴露出一些问题。

    一是决策支持层面。高层管理者缺乏风控意识，导致无法获得充分

    信息以支持其进行决策；缺乏对风险的量化分析，影响公司应对风险所

    需的管理资源分配；难以实时、动态地把握企业风险状况以便各层级风

    险应对负责人及时应对。

    二是风险管控职能层面。业务流程层面的内部控制要素维护、风险

    评估、控制识别、有效性检查评价等均需要手工完成，效率和效果难以保证；内部控制流程、风险应对措施、监督评价结果没有有效地与业务

    指标相结合，难以融入日常业务运作；信息来源、格式、口径、版本不

    统一，数据、信息分散，难以有效利用。

    三是业务单元风险管理执行层面。各业务单元在风险识别、评估、应对及内控流程优化过程中缺乏统一的沟通与协作平台，难以实现多口

    径信息共享；各业务单元直接参与风险管理及内控优化工作仍主要局限

    于风险管理或内部控制联系人，控制负责人的参与程度不够广泛；报告

    渠道不清晰，内部信息沟通不畅。

    评价一个企业内部控制体系是否完善，并不是报告出得多漂亮，而

    是在执行过程中有没有问题。现在很多企业都是持续风险管控投入和风

    险事件频发并存，这就是内部控制没做好的体现。体现最明显的就是近

    几年在金融行业IT系统领域，由于IT审计发展跟不上时代潮流，导致各

    金融企业系统风险事件频发。比如光大证券乌龙指事件，就是典型的业

    务凌驾于管控之前，导致内部控制失效的案例。

    从三鹿集团三聚氰胺事件到东南融通的成本欺诈倒闭，一个企业发

    生风险事件不可怕，关键是处理风险的态度和有无危机公关处理能力。

    在经济全球化的大环境下，我们开始逐步走出去，进行国际化，这给中

    国企业带来了新的挑战，而中国企业转型升级的必然之路就是风险管

    控。面对以上问题，传统的集团管控模式及风险管控方法已经变得束手

    无策。将企业管控、风险管控与企业大数据高度融合，形成一套在大数

    据环境下，新型的、有效的风险管控落地模式，才是集团公司风险管控

    解决之道。1.4 风险管控融入业务、融入信息化

    企业风险管控和业务息息相关，更与信息化有千丝万缕的关系，那

    么风险管控如何从企业经营数据着手？数据是企业所有业务的结果，所

    以风险管控要与业务数据打通，如果不能从控制数据着手防范企业风

    险，风险管控就等于空壳。现在审计人员太过于专注审计本身，已经把

    经济责任审计、离任审计做到了极致，但是公司的风险没有得到有效控

    制，这样就违背了企业管控的初衷。

    某大型集团公司在做供应商审计及信用评级的时候，供应商把所有

    审计的流程、风险点、报告全部准备好了，但是审计人员去到现场，保

    安人员没有按规定拦住审计人员的车，结果在第一天审计人员就因此事

    给出了企业内部控制不合格的结论。为什么？因为有了安全管理内部控

    制制度不执行，等于没有，内部控制形同虚设。风险管控的第一个事项

    是把风险管控的相关任务和职能写在所有部门的岗位说明书里面。这里

    特别强调的是所有人员，在具体业务上，风险管控就是业务人员对具体

    业务本身及风险的管控。

    将风险管控融入公司业务过程中，通过对公司业务流程进行梳理，识别并分析公司业务风险，并针对业务风险制定控制措施，通过职责分

    工控制、授权控制、审核审批控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动控制、绩效考核控制和信息技术控制

    等手段对每个业务环节规范制度流程，植入风控因素，形成以风控为导

    向的业务管控闭环，通过对业务过程的风险管控达到对公司风险的管控

    (见图1-3)。图1-3 业务管控循环

    中国企业从20世纪90年代开始进行大规模的ERP系统建设，ERP系

    统建设是以业务流程为基础的，而现在我们给企业构建的风险管控体系

    也是以流程为基础的，那么这两个方面有什么区别和联系？众所周知，企业的业务流程只能有一套，以前做的合规型内控中的流程梳理及风险

    控制点就和企业一直在使用的ERP里的业务流程起了直接冲突。这就是

    我们常说的“两张皮”现象，为什么会有冲突呢？原因很简单，传统ERP

    都是效率型的，这和当年的历史背景有关，当年国内在引入ERP系统

    时，没有引入一个模块，叫作GRC，即公司治理及风险管控，GRC的全

    称就是governance(公司治理或管控)、risk management(风险管理)和compliance management(法规遵从)，是以企业管控、风险和法规遵

    从为对象，为决策层和管理层提供综合信息和流程控制的平台。这导致

    了企业在建设ERP的时候失去了原有的效益性，缺乏对风险管控手段的

    运用，所以到目前为止中国企业出现很大一个管理漏洞，就是构建的风

    险管控体系与原有的ERP管控不符。另外，传统ERP把功能模块进行了

    大量分拆，形成了多套业务系统，没有形成管理落地一体化。从企业管

    控角度出发，靠单纯的风险管控咨询工作是无法解决这个问题的，这也

    是为什么现在的风险管控咨询不能落地的原因。

    国家五部委发布的《内部控制应用指引》将业务流程及内部控制显

    性化，而ERP使我们的企业流程信息化。那么ERP构建之前的业务蓝图

    与风险管控什么关系？其实这些业务蓝图正是内部控制体系的信息化体

    现。风险管控与ERP目前存在比较大的误区，主要有以下几个方面：

    第一，业务部门不了解业务蓝图。

    第二，ERP流程人员不清楚内部控制。

    第三，ERP流程和内部控制流程对不上。

    例如采购业务，ERP的采购业务蓝图和采购内部控制流程是否有区

    别？如果有区别，证明企业内部控制及流程无法执行。因为企业在用

    ERP进行内部管理，但是内部控制把它做成了与ERP流程不一样的业务

    流程，所以这样的业务流程根本就不可能执行。流程与制度本来是一体化的，制度本身很难发挥效率，流程是制度发挥效率的一个很重要的手

    段。

    国内企业中的信息化及流程人员一般没有发挥应有的作用，企业的

    信息化部门沦为了行政部下面的IT维护。其实真正懂ERP的人员是做流

    程化落地的人员，就是在外企公司常看到的信息系统及流程化部门里的

    人员。这和IT维护有本质上的差别。风险管控人员需要协调相关人员识

    别控制点，向企业领导建议风险该怎么控制。ERP厂商每年收10%～

    15%的服务费，国内企业都不愿意交，为什么？因为觉得没有发挥应有

    的作用，大家没有想明白一个问题，建设完ERP之后为什么会有10%～

    15%的维护费？其实这笔费用是企业在变化过程中的系统更新费用。不

    愿意交的后果就是企业在建设ERP之后，5～10年系统都不更新。然而

    管理工作是无止境的，在持续变化调整、调整变化。这样的ERP从建设

    的第一天就是死的，注定解决不了企业的实际问题，所以企业每年在做

    组织架构调整、流程梳理后都需要更新ERP，权限、表单、事项都要重

    新进行梳理。

    正确的方法是，在做内部控制的时候，首先从ERP流程着手，与企

    业的业务蓝图相对比：

    第一，如果所想到的内部控制流程和企业的ERP流程是一样的，识

    别控制点就可以了。第二，如果ERP流程和业务蓝图不一致，则需要业务流程再造，完

    善企业的业务及流程，从而完善ERP业务蓝图。

    这几年互联网思维得到了大发展，颠覆了以往大家的思维定式，比

    如风险和谁相关？风险和战略相关，所以现在有一些公司开始把风险职

    能和战略管理职能融合。内部控制和ERP相关，所以有些企业的流程

    化、系统化由风险管控人员和IT管理人员一起完成。从2013年开始越来

    越多的企业意识到这个问题，提出要走风险管控实战化落地的路线，将

    风险管控人员换成业务管控人员，从实际业务出发，把控业务，进而控

    制风险。但是目前很多风险管控人员缺乏业务知识，缺乏信息化经验，根本无法做到风险管控与企业业务及信息化相结合，这也是目前企业风

    险管控必须要突破的瓶颈。1.5 智能监控的思路及方式方法

    大数据要想发挥应有的作用，离不开人工智能及模型，所以大数据

    风控就是由三类尖端人员才可以胜任的工作，主要是大数据分析专家、精通业务及技术的模型编制专家、可以快速编制大数据智能模型的数学

    专家，这三类人员缺一不可，从现在的情况看，最重要的是精通业务及

    技术的模型编制专家，由于我国在业务与计算机结合这类中间学科方面

    不健全，导致专业化人才严重缺乏，下面我们就阐述一下，对于业务的

    最基本控制问题。我们知道内部控制主要讲的就是怎么控制才是有效

    的。控制的种类可以分为预防性控制、检查性控制、指导性控制、纠正

    性控制、信息系统控制(见图1-4)。图1-4 控制的种类

    什么是预防性控制？为了防止错误和舞弊的发生而采取的控制。简

    单的理解就是可以预防错误的发生。比如银行在客户取钱的时候都需要

    核对身份，用这种方法来防止盗用银行卡。

    检查性控制是为了发现已出现的不利事项而进行的控制，它可以为

    管理层提供有关预防性控制有效性的反馈信息。简单来说，就是企业能

    否发现问题，然后想办法解决这些问题。全面审计就是企业控制风险的

    一种非常重要的检查性控制手段。但是有些企业在全面审计方面有所欠

    缺，主要有两个原因，第一个是人力资源上的限制，第二个是审计手段的落后。全面审计需要利用先进的计算机技术和方法进行数据分析，监

    控指标实时预警和更新，形成审计的业务全覆盖。如果不按这种模式，运用大数据审计技术，现在大型集团公司审计力量都比较有限，很难完

    成全面审计工作。

    指导性控制是为了确保实现有利结果而采取的控制。各种政策、指

    引、指南和手册等都属于指导性控制。做一本手册，出一套制度，写一

    个表单，告诉员工如何去工作，这些都可以称为指导性控制。例如工厂

    里墙上挂着“八不准”“安全第一”等，都属于指导性内控措施；建筑工人

    常说“安全就是生命”，那是他们的风控指导准则。

    纠正性控制是为了纠正已发生的不利事项而采取的控制措施。有一

    句话叫“惩前毖后，治病救人”，就是这样一个原理。审计部门对于检查

    出来的问题，向相关领导和业务部门进行有针对性的反馈，让相关领导

    可以关注检查出来的问题，及时跟踪各业务部门相关问题的落实及整

    改，从而让业务部门实现对自身业务的规范管理。

    信息系统控制包括一般控制和应用控制。一般控制所采用的控制措

    施普遍适用于所有应用系统，为应用系统提供了环境上的保证，包括组

    织控制、系统开发控制、操作控制、备份与恢复控制、访问控制、系统

    维护控制和灾难恢复控制(见图1-5)。一般控制采用的是对所有应用

    系统保障性的控制。企业当中信息流向分为三类：管理流、业务流、信

    息流，企业都比较注重的是管理流和业务流，而对信息流关注得比较少，没有形成信息流与管理流及业务流的有效协同，导致信息流中的传

    递过程出现信息不畅问题。此类问题在企业中出现得比较多，因为企业

    的两大业务支柱为：第一，风险管控能力；第二，信息化及流程化水

    平。这两个是企业最重要的核心能力之一。

    应用控制旨在对应用处理进行控制。许多应用控制依赖于计算机化

    的编辑校验，这些校验包括数据的格式、存在性及合理性等，恰当设计

    的校验有助于确保交易处理的完整性、准确性以及有效性。

    应用控制包括真实性测试、准确性测试、完整性测试、冗余测试、访问控制测试、审计线索测试和取整错误测试(见图1-6)。典型的应

    用控制的例子就是生物探针，我们可以把生物探针嵌入系统流程的任何

    一个环节，然后编制相应的控制规则。一旦某个环节的业务触发相关控

    制规则，就会进行自动的记录和预警，也可以进行数据的自动抓取，在

    智能化状态下，我们可以把风险、内控、审计的手段和控制方法形成自

    动审计规则，让企业可以运用一键审计功能，从而彻底解决企业风险管

    控落地问题。图1-5 一般控制测试

    系统应用控制是对企业信息系统的具体数据处理活动所进行的控

    制，一般包括输入控制、处理控制和输出控制三个方面。图1-6 应用控制测试

    输入控制。输入控制包括原始单证审核控制、输入数据正确性控

    制、输入数据完整性控制和输入错误纠正控制。输入控制是解决原始单

    据审核的控制，输入数据正确的控制，输入数据完整性的控制和输入错

    误的纠正控制，保证输入数据的正确性，信息系统的“垃圾进、垃圾

    出”是对输入控制最好的解释。处理控制。处理控制包括处理权限控制、业务时序控制、合理性检

    验控制、参照检查控制、审计踪迹控制、备份与恢复控制。

    输出控制。输出控制包括输出权限控制、输出数据正确性控制、输

    出数据审核控制、输出资料分发控制和输出差错更正控制。典型的输出

    控制就是对打印机是否有效的管控。

    在利用信息系统进行风险管控及IT审计的时候，可以利用“大数据

    +人工智能”进行辅助。可以运用大数据和人工智能形成一种人工智能的

    计算机程序即专家系统。专家系统内部含有大量某个领域专家的知识与

    经验，能够利用人类专家的知识和方法来处理其领域的相关问题。也就

    是说，专家系统是一个具有大量专业知识与经验的程序系统，它应用人

    工智能技术和计算机技术，根据某领域一个或多个专家提供的知识和经

    验进行推理和判断，模拟人类专家的决策过程，以便解决那些需要人类

    专家处理的复杂问题。简而言之，专家系统是一种模拟人类专家解决其

    领域问题的计算机程序系统。

    专家系统在风险管控和审计领域的应用，主要是把企业内外部数据

    整合，运用人工智能做行为分析，预测风险，形成风险预测机器人，实

    际作业过程主要是锁定审计区域，搜集审计证据，使用的数据源与风

    险、内控相同，通过将审计方法进行高度复用形成智能化的监控模型，对业务数据进行实时动态监控。第2章 运用大数据解决风险管控

    从2008年中国上市公司构建内部控制体系开始，风险管控思路和方

    法得到快速提升和发展，企业开始运用风险管控解决问题，识别企业管

    控过程中的风险控制点，把风险控制点与业务融合，运用规则对企业数

    据进行预警监控，典型做法就是以阿里、京东、腾讯为代表的互联网公

    司，逐步探索出了“互联网+大数据+风控”的思路，快速把风控和自身业

    务融合，形成了比较有竞争力的产品，例如支付宝、芝麻信用、微粒

    贷、京东白条等。以传统企业服务为代表的软件公司，逐步探索研发可

    以与国外同类产品抗衡的风险管控系统。但是效果甚微，很多上市公司

    在相关项目上的投入没有得到相应的回报，我认为主因是风险管控咨询

    和信息化系统没有帮助企业解决关键问题。另外还有一些令人“尴尬”的

    事情发生，例如很多企业一边在做风险管控，一边因为低级管理失误损

    失巨大。众所周知，风险管控是帮助企业管控风险的，所以很多人就会

    认为企业出了问题都是与风险管控相关的。出了事的那些企业，有的在

    风险管控体系上的评价很高，所以这给企业风险管控扣上了“不务实”的

    帽子。我认为，解决之道就是大数据风控，企业大数据发展迅猛，运用

    风险管控给企业管控及大数据构建“灵魂”，从而把企业内外部数据整

    合，形成把数据输入、把问题输出的数据化管控新模式，让企业运用大

    数据跟上市场发展的步伐。要怎么做风险管控？要怎么做大数据风控？

    我们需要把方式方法重新探讨一下。2.1 企业风险管控构建要点

    企业风险管控指企业围绕总体经营目标，通过在企业管理的各个环

    节和经营过程中运用风险管控的过程，培育良好的风险管控文化，建立

    健全的风险管控体系，为实现风险管控的总体目标提供合理保证的过程

    和方法。

    企业根据国资委颁布的《中央企业全面风险管理指引》，财政部等

    五部委颁布的《企业内部控制基本规范》及配套的《企业内部控制应用

    指引》《企业内部控制评价指引》《企业内部控制审计指引》《审计署

    关于内部审计工作的规定》等相关法律法规，结合企业实际情况构建风

    险识别、风险评估、风险应对、风险预警监控、风险报告、风险监督与

    改进的一体化全面风险管控体系。企业应在风险管控组织体系的原则下

    开展，坚持分层、集中与归口三大原则：第一，分层管理原则，根据风

    险管控活动内容的不同以及风险本身性质和重要程度的不同，在集团总

    部、二级公司、三级企业三个层级上划分相应的风险管控责任和风险报

    告责任，每个层级要求有对应的职能机构落实风险管控责任；第二，集

    中管理原则，对风险实行系统化、专业化管理，成立专门的风险管控职

    能部门，运用风险管控的专业知识和专门工具，对公司面临的各类风险

    信息进行汇总分析和评估，对集团总部和各个经营公司整体的风险组合

    和风险对策进行系统化、专业化管理，对跨部门和经营公司的风险管控工作进行组织协调，为公司风险管控战略性决策提供依据；第三，分类

    管理原则，根据具体风险的管理需要和现有的组织体系，把公司重大风

    险的管理责任落实到职能部门和业务部门，由具体部门在规定的风险管

    控权限范围内主导管理该风险，其他部门和经营公司根据需要给予协助

    或支持。

    全面风险管控工作可分为六个阶段，即风险识别—风险评估—风险

    应对—风险预警、监控—风险报告—风险监督与改进。工作内容及流程

    如图2-1所示。图2-1 风险管控流程图2.2 应用大数据为风险管控服务

    2.2.1 总体思路

    企业在市场环境中竞争，面临着诸多不确定性，这些不确定性给企

    业的经营管理带来了极大的风险。为了及时识别这些风险并进行有效的

    管控，需要对各种数据进行分析，从中发现企业经营中的策略失误和执

    行缺陷。传统的风险识别方法主要是通过对财务数据的分析来展开的，然而由于财务数据的滞后性，因统计口径不同形成的误差，以及频发的

    财务粉饰或财务欺诈，造成了仅仅用财务数据来识别分析企业经营风险

    的局限性。为克服上述缺点，发展利用大数据来进行风险识别与管理则

    是一条非常诱人并且实践证明具有现实意义的路径，这也是大数据应用

    的一个重要方向。

    大数据的意义是用新的数据处理模式，用具有更强的决策力、洞察

    力和流程优化能力来适应海量、高增长率和多样化的信息资源。应用大

    数据来识别企业的经营风险就是从全社会各个渠道将与企业经营相关的

    全方位信息进行采集、整合、处理，通过特定的风险管控模型辨识风

    险，从而采取有效的风险应对。目前金融业是运用大数据手段解决风险

    管控比较好的行业；工商企业也开始应用大数据来管理应收账款风险或

    信用风险、股权投资风险、资产配置风险等。服务于风险管控的大数据主要来源于企业数据、工商局数据、市场交易信息、公检法关于经济案

    件的信息、税务数据、媒体数据以及其他信息，通过对这些大数据的统

    计分析构建识别风险、应对风险的手段。

    2.2.2 企业内外部大数据构成

    应用大数据服务于风险管控，就是采集各种类型可以从不同侧面反

    映企业经营状态和经营能力的数据，通过对数据的采集、转换、存储、统计以及经过风险模型的加工处理，来进行风险揭示或风险预警，达成

    有效的风险管控。下面我们来分别阐述可以用于风险管控的各类“大数

    据”。

    1.企业财务及报表数据

    企业财务及报表数据主要由两类组成，一类是自身企业的数据，这

    个可以通过ETL工具快速实现；另一类是市场化公司数据，随着经济的

    发展，大量企业在全球范围内成为上市公司。这些企业多数通常经营业

    绩较好，在其所在的行业中颇具有代表性或先进性。因此广泛采集上市

    公司定期披露的财务报表及内部控制报告，可以较为便利地将相关指标

    加工成企业对标数据，通过对标来发现企业的经营管理风险。

    2.供应链数据大数据将用于供应链从需求产生、产品设计到采购、制造、订单、物流以及协同的各个环节，通过大数据的使用对供应链进行全面管控，企业可以通过大数据平台把供应链数据进行整合，对于制造业或类制造

    业企业而言，仓储物流数据准确地反映了企业经营的“繁荣”程度，同时

    这个数据也是供应链金融或供应链融资的基础数据。掌握企业的仓储物

    流数据，就可以绕开通过财务报表来分析企业经营风险的缺陷。

    3.工商数据

    工商数据是指来自工商局的企业注册信息以及后续的变更信息，主

    要反映了企业的性质、经营范围以及股东或控制人的状况。这其中非常

    有价值的是股东数据，可以识别股东在多家企业的控股状况，当其中某

    一家企业出现风险时，有可能传递到或殃及其控股的其他企业。另外，通过对股东的关联控股企业的监测与分析，也可以发现其中负面的或形

    成财务粉饰的关联交易数据。

    4.公检法及海关数据

    公检法数据目前主要是指来自法院系统的经济案件数据以及来自公

    安机关的金融欺诈报案数据。法院的经济案件数据已被商业银行广泛使

    用，通过经济纠纷事件来推断贷款企业或申请贷款企业的信用状况以及

    可能面临的道德风险；而公安机关的报案数据对于发现金融欺诈、非法

    集资、恶性高利贷等有着直接的应用价值。中国外向型经济的特点以及中国经济与世界经济体系的日益融合，使得海关统计的企业进出口贸易数据集中地反映了商品进出口企业的经

    营状况，特别是较长周期的数据监测与分析，很好地揭示了这些企业的

    经营风险，是银行识别贷款客户风险以及工商企业识别应收账款风险的

    重要信息源。

    5.征信数据

    人民银行的征信数据是目前国内积累时间最久、覆盖面最大的数据

    源，涵盖了历史上在商业银行贷款违约的客户信息。目前人民银行征信

    数据属于限制开放的信息源，主要服务于商业银行以及准许的非银行金

    融机构。各省在人民银行征信数据之外，还尝试建立了联合征信体系，是对人民银行征信数据的有效补充，在风险管控应用中也具有重要意

    义。

    6.舆情或负面事件数据

    舆情或负面事件数据是指在互联网上新闻、微信、微博、论坛以及

    博客等上出现的关于特定机构的负面消息，其表现形式可以是一段文

    字、视频、音频、图片或其他组合形式。关于特定机构的负面消息或负

    面事件，可能揭露了其面临的各种风险，甚至是面临的危机，这是在各

    种风险管控中都不应该忽视的重要信息或风险预警信号。

    7.环保数据环保部以及各地环保局关于对违反环境保护法企业的立案及处罚数

    据，一方面反映了当事企业的社会责任管理缺失、信用状况恶化的状

    态；另一方面也反映了由于环保限制或环保处罚，而可能导致的企业经

    营的不确定性或者可能面临的巨大经营风险。这部分数据往往也是银行

    或交易对手进行相关决策的重要参考信息。

    8.电商交易数据

    电商交易数据较好地反映了商品生产企业或商品销售企业的经营状

    况，据此数据来评定商户的信用等级或信用风险在以往获得了较为满意

    的准确度。因此，对于从事贷款业务和投资业务的金融机构，如果能获

    得企业的电商交易数据就可以较便利地识别企业的经营风险。之所以仅

    提及电商是因为其上的交易数据是电子化的，并且数据管理集中、商品

    生产企业或商品销售企业的覆盖面较大。

    除了上述各种已经存在的“大数据”类型外，权威机构的行业研究报

    告、行业的经济分析报告、国家宏观经济指标数据、市场利率、汇率以

    及其他的市场指数指标数据等也是揭示企业可能受此影响而面临特定风

    险的重要信号，也应该纳入大数据应用于风险管控的范畴。

    2.2.3 大数据专项技术及措施

    在前述大数据采集、转换、存储的基础上，形成了面向风险管控应用的数据集合或数据仓库。然而要想迅捷、有效地使用这些数据为风险

    管理服务，还必须发展和创立一些专项的技术，包括大数据检索技术、基于大数据的风险识别模型以及风险预警机制等。

    1.大数据检索技术

    大数据搜索引擎是大数据应用的基本工具，通过搜索引擎快速地提

    取我们需要的风险信号，进行风险分析和风险预警。市面上主流的

    Hadoop大数据搜索引擎，对于服务于风险管控的大数据而言有着成本过

    于高昂的缺点，需要发展一种专门用于二次信息采集、围绕着风险管控

    主题组织数据的低成本检索工具，作为各种风险管控应用提取所需信息

    的工具。

    2.风险识别模型

    利用大数据来识别特定对象的风险，必然面临着风险信号出处多

    样、内容繁杂、质量良莠不齐的状况。在这种情况下，传统的风险识别

    模型往往不能胜任有效识别风险的任务，需要发展多种基于规则的、基

    于业务的、基于多种信息整合的以及基于统计学原理的大数据风险识别

    模型，才能保证大数据有效地服务于风险管控。

    3.风险预警机制

    在风险识别模型的基础上，还需要开发出一整套基于大数据的风险管控系统，针对识别出的风险决策是否发出预警。在这个领域华博一直

    在研发华博大数据，有效突破了实时在线预警问题。作为一种集中式的

    大数据服务平台，由于其服务对象的多样性，风险容忍度必然是多样化

    的，这使得建立适用于多种服务对象的风险容忍度体系存在着工作量繁

    重、提取风险偏好困难的障碍，需要广泛地调查研究、收集信息来建立

    有实用价值的容忍度体系。2.3 大数据风控落地运行新模式

    在没有大数据以前，企业风险管控大多依托主观上的经验判断，数

    据在那时也只起到辅助作用，这导致企业的风险管控能力较差。在现如

    今社会经济“新常态”下，企业正处在内、外部竞争压力“双夹”环境，依

    托数据感知风险并提升企业的风险管控能力及水平，成了企业转型升级

    的必然选择，由此提升整体竞争力显得更加重要。

    信息系统业务循环以数据为基础，数据主要来自公司已有的信息系

    统数据及外部行业数据，如ERP、MES等和非信息化的业务手工上报数

    据、运用爬虫技术搜集的行业数据。通过对数据进行分析，发现公司存

    在的缺陷、疑点和问题。针对公司存在的缺陷、疑点和问题参照政策法

    规和公司制度，发现公司存在的风险。除此之外，通过对公司违规损失

    进行分析，识别公司风险事件，最终形成公司风险数据库，以风险数据

    库为基础，对公司风险进行管理，制定控制措施，控制措施的效果会以

    数据的形式流回公司总体数据中，通过企业业务循环进行风险管控，通

    过内部审计与评价对业务及流程进行全面监控，实现业务可控可查，形

    成公司风险管控工作的闭环管理(见图2-2)。图2-2 大数据风控业务循环

    大数据改变了风险监控的手段，比如对企业内部风险的识别。原来

    的识别模式是通过业务梳理及业务抽样的方式进行，现在是通过大数据

    的方式实现企业数据的整合和实时监控。现在的企业风险管控模式

    是“互联网+大数据+风控”，今后突破的重点也是大数据在风险管控方面

    的应用，特别是基于人工智能的风险管控模型。

    大数据改变了风险监控的手段，比如审计模式的改变。原来的审计

    模式是通过抽样的方式解决问题，现在是通过大数据的方式，实现企业

    数据的整合和实时监控。现在的企业风险管控模式是“互联网+大数据

    +风控”，今后的研究重点也是大数据在风控上的应用。对于大数据监控平台的构建将分为两步：

    第一步，将内部和外部的所有数据打通。比如建立审计数据中心整

    体抓取内部数据，以及通过对接企业大数据平台来抓取行业的相关数

    据。

    第二步，开发数据抓取和其他相关的市场数据搜集技术，以构建风

    险管控智库，主要目的在于帮助企业解决比如风险在哪、如何管控、行

    业正在发生什么事、竞争对手在做什么等关键市场预测问题。2.4 风险识别实务

    2.4.1 风险识别的思路

    风险识别是一个动态实时的过程，企业应实时进行风险识别活动，辨识风险，对风险进行归纳总结，形成实时的风险数据库；在形成风险

    数据库之后还应随时进行风险识别活动，对风险数据库进行更新，确保

    风险数据库识别的风险为最新状态；及时反映企业面临的风险情况。

    风险数据库是一个动态更新的状态表，集团公司及下属公司应对本

    企业内所有业务活动进行实时识别，及时反馈。风险识别的具体工作由

    信息收集及汇总、进行风险识别、形成风险数据库三部分组成。

    在风险识别过程中，应针对不同的风险采取不同的风险识别思路及

    方法。

    企业面临的风险可分为三大类，即企业层面风险、业务层面风险和

    专项层面风险，这三类风险在企业中基本涵盖了公司治理层级、业务流

    程层级以及重大事项等方面的全部风险，三大类风险的具体识别思路如

    下。

    1.企业层面风险识别思路基于广泛的内、外部信息收集，通过与公司领导班子成员以及各职

    能部门负责人的访谈了解公司的基本运营情况，结合经过筛选、对比、分类组合的风险管理信息，并在此基础上充分考虑世界经济形势、国家

    宏观政策导向、国家各部委有关风险管理的相关要求、行业最新发展变

    化趋势等因素，对企业所有面临的风险进行内源分析、外源分析，梳理

    出公司所面临的风险情况。

    2.业务层面风险识别思路

    按照具体业务内容和环节，以工作目标设置和分解为依据，以风险

    信息为参照，通过对企业的所有业务流程进行梳理，并以管理颗粒度为

    基础，标注风险控制点，编制风险控制矩阵，形成流程化的风险管控。

    流程化的风险管控是风险管控在业务运营层面的整体衔接过程，是风险

    管控的主要工作。

    3.专项层面风险识别思路

    对企业重大管理事项进行调研、分析，识别出事项存在风险。例

    如，重大投融资活动、重大资产处置活动等。专项层面风险的识别应该

    由专项活动的负责部门发起，相关战略、财务、人力、风控、审计等部

    门协调配合，出具相关风险管理意见和建议，并构建专家小组集体讨论

    专项活动所面临的风险，形成专项活动所面临风险的报告，作为决策层

    进行专项活动决策的依据。2.4.2 风险识别的方法

    在风险识别过程中，企业应动态识别影响公司战略目标及相关目标

    实现的内、外部各种不确定性因素。在具体识别风险时，需要综合利用

    一些专门技术和工具，以保证高效率地识别风险且不发生遗漏，这些方

    法包括德尔菲法、头脑风暴法、SWOT分析法、检查表和图解技术等。

    1.德尔菲法

    德尔菲法是众多专家就某一专题达成一致意见的一种方法。项目风

    险管理专家以匿名方式参与此项活动。主持人用问卷征询有关重要项目

    风险的见解，问卷的答案交回并汇总后，随即在专家之中传阅，请他们

    进一步发表意见。此过程进行若干轮之后，就不难得出关于主要项目风

    险的一致看法。德尔菲法有助于减少数据中的偏倚，并防止任何个人对

    结果不适当地产生过大影响。

    2.头脑风暴法

    头脑风暴法的目的是取得一份综合的风险清单。头脑风暴法通常由

    项目团队主持，也可邀请多学科专家来实施此方法。在一位主持人的推

    动下，与会人员就项目的风险进行集思广益。可以以风险类别作为基础

    框架，然后再对风险进行分门别类，并进一步明确其定义。

    3.SWOT分析法SWOT分析法是一种环境分析方法。所谓的SWOT，代表优势

    (strength)、劣势(weakness)、机遇(opportunity)和挑战

    (threat)。

    4.检查表

    检查表是管理中用来记录和整理数据的常用工具。用它进行风险识

    别时，将项目可能发生的许多潜在风险列于一个表上，供识别人员进行

    检查核对，用来判别某项目是否存在表中所列或类似的风险。检查表中

    所列的都是历史上类似项目曾发生过的风险，是项目风险管理经验的结

    晶，对项目管理人员具有开阔思路、启发联想、抛砖引玉的作用。一个

    成熟的项目公司或项目组织要掌握丰富的风险识别检查表工具。

    5.图解技术

    图解技术包括如下内容：

    1)因果图。因果图又被称作石川图或鱼骨图，用于识别风险的成

    因。

    2)系统或过程流程图。系统或过程流程图显示系统的各要素之间

    如何相互联系以及因果传导机制。

    2.4.3 风险识别的具体操作1.信息收集及汇总

    信息收集是企业风险识别工作的基础，通过全面持续地收集相关信

    息，并结合实际情况，能够确定企业风险管理目标，进而开展风险识别

    与分析工作。

    应根据设定的控制目标，收集与公司风险相关的内、外部信息，并

    对收集的数据和信息进行反复核实、不断验证，以确保信息本身的真

    实、可靠，通过必要的筛选、提炼、对比、分类和组合对风险进行识

    别，以便开展对企业所面临风险的识别。

    外部信息至少包括以下几类：

    ·国内外宏观经济政策以及经济运行情况，影响融资、资本支出等

    因素。

    ·国家安全稳定、文化传统、社会信用、教育水平、消费者行为等

    社会因素，导致对产品或服务需求的变化、新的购买场所和人力资源问

    题。

    ·行业前景及目前状况、国家产业政策因素。

    ·能源、原材料、配件等物资供应的充足性、稳定性和价格变化。

    ·影响集团战略目标的潜在竞争者、竞争者及其主要产品、替代品情况等竞争因素。

    ·影响研发的性质和时机的技术进步、工艺改进等科学技术因素。

    ·影响产品开发和定价的因素，即不断变化的客户需求和期望。

    ·可能导致集团遭受损失的自然灾害、环境状况等自然环境因素。

    ·法律法规和政策因素。如国资委、财政部、工商局、税务局、证

    监会、银监会、保监会等的相关政策。

    ·其他有关外部风险因素。

    内部信息至少包括以下几类：

    ·公司的发展战略和规划、投融资计划、年度经营目标、经营战

    略，以及编制这些战略、规划、计划、目标的有关依据等信息。

    ·行业发生重大变革，公司的适应及反应情况。

    ·公司组织机构、管理层职责的变化，包括组织结构的形式，各职

    能部门的划分，以及各职能部门的权责分配情况，上述变化可能影响企

    业实施控制的方式。

    ·公司的各种政策，包括普遍性原则和具体的操作指南。

    ·公司的各种业务流程信息，包括质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节。

    ·易产业影响资产挪用的因素，如经营方式、资产管理模式等。

    ·董事、监事、经理及其他高级管理人员的职业操守、必要的知

    识、专业技能和经验等人力资源因素，这些因素可能为管理层的轻率行

    为提供机会，致使公司遭受损失或业务控制失效。

    ·与财务报告信息的真实完整性相关的财务状况、经营成果、现金

    流量等财务因素。

    ·以前年度的内部审计报告、审计问题汇总、内部控制建设及运行

    情况汇总。

    ·信息系统建设及运行状况，是否随着管理的变化而变化情况。

    ·公司签订的重大协议和有关贸易合同，以及发生的重大法律纠纷

    案件的情况等。

    ·其他有关内部风险因素等。

    2.进行风险识别

    在企业日常风险管理过程中，相关风险管控人员可以通过信息收集

    工作了解行业内的业务情况及风险情况，了解企业经营管理过程中的制

    度、流程、表单、重大业务事项及暴露出的风险情况，然后运用风险识别方法对公司风险进行识别。企业风险识别的具体分析要点如下。

    (1)战略风险方面

    战略风险分析模型如图2-3所示。

    图2-3 战略风险分析模型

    关注要点：

    1)是否积极利用政府及社会资源，并与国家产业布局保持一致。

    2)是否实时关注并把握宏观经济及行业环境变化。

    3)战略、规划、计划、目标等机制制定得是否合理。

    4)集团管控模式是否合理，对下属公司的管控及支持服务是否到

    位，是否随着公司规模的不同而采用不同的管控模式，是否主动改进管控模式。

    5)公司管理层的能力是否与企业发展需求匹配。

    6)新科技、新技术是否及时应用，可以跟上市场和环境技术变

    化。

    7)是否重视产品技术含量和产品更新以适应市场需求和市场竞

    争。

    8)是否有战略合作伙伴，关系如何，合作方式如何。

    9)是否清楚(潜在)竞争对手，对竞争对手采取何种模式，是否

    合理。

    10)对重大项目的决策机制是否合理，管理方式是否合理，实施是

    否到位，是否有后评价机制。

    (2)财务风险方面

    财务风险分析模型如图2-4所示。

    关注要点：

    1)财务数据波动是否合理，是否存在舞弊的可能。

    2)资产负债率是否过高或过低，偿债能力是否与负债率相匹配。3)现金流是否实时监控，资金周转率是否合理，是否建立应收账

    款管理机制或信用管理机制。

    图2-4 财务风险分析模型

    4)信贷额度的使用机制是否合理，总资产规模是否在合适范围内

    得到控制。

    5)各种成本费用是否合理，是否存在徇私舞弊。

    6)管理会计是否适应公司发展，是否有重点风险控制点预警机

    制，有效地防范财务风险及税务风险。

    7)与财务有关的内部控制体系是否健全，关键业务流程是否规范

    化，财务相关人员的资质与能力是否匹配，对财务相关人员的考核机制是否合理，是否能够保证其必要的独立性。

    8)财务总监或财务经理是否实时关注行业会计政策、会计估算的

    变化、税务管理的变化对本企业的影响，若企业有外贸交易，是否注意

    到国内外会计政策的差异。

    (3)市场风险方面

    市场风险分析模型如图2-5所示。

    图2-5 市场风险分析模型

    关注要点：

    1)市场环境的变化对企业的影响。

    2)金融市场波动对整个行业及企业的影响，是否建立了金融信息

    收集与分析机制。3)产品定价机制是否合理，利润率控制是否合理，竞争模式是否

    合理。

    4)企业履行社会责任情况，企业的信用评级等级是否合理。

    5)客户信用情况是否良好，信用管理机制是否合理。

    6)利率、汇率波动对企业的影响。

    7)是否利用国家税收优惠政策以及税收政策变化对企业的影响。

    8)市场需求变化，产品生命周期、潜在竞争产品及替代品等。

    (4)运营风险方面

    运营风险分析模型如图2-6所示。图2-6 运营风险分析模型

    关注要点：

    1)产品结构是否符合市场需求及企业战略。

    2)产品研发和创新机制与投入是否合适。

    3)市场营销策略是否合理，营销管理模式是否合理。

    4)组织结构是否合理。

    5)企业文化、风险管理文化是否形成并不断深化。

    6)近年是否出现过质量、安全、环保、信息安全、舞弊、造假、道德败坏等事件。

    7)人力资源体系是否完善，执行是否到位。

    8)是否建立必要的信息系统并不断改进。

    9)是否建立对现有业务流程和信息系统的监管、评价、持续改进

    机制，执行情况如何。

    10)企业整体风险管理水平如何，内部控制执行情况如何，领导是

    否重视，员工是否具备风险意识。(5)法律风险方面

    法律风险分析模型如图2-7所示。

    图2-7 法律风险分析模型

    关注要点：

    1)是否关注国内外法律环境、政治环境变化对企业的影响。

    2)近年新出台的法律或政府政策是否已在企业应用。

    3)员工是否遵从道德操守，是否出现过舞弊事件。

    4)企业重大协议及各种业务合同是否经过法律评审。

    5)近年来公司是否发生过法律纠纷案件，解决情况如何，事件后

    采取了何种措施防范再次发生。6)员工劳动关系是否合法，是否发生过劳动纠纷，解决情况如

    何，采取何种措施加以防范。

    7)是否注重知识产权维护与保护。

    8)公司是否有专职法律顾问，若没有，是否采取法律外包形式，外包法律事务所的选择是否合理。

    3.形成风险数据库

    风险数据库是在汇总分析风险识别情况的基础上，通过综合分析所

    面临的风险，确认风险存在后而填制的，风险数据库是企业全面风险管

    理的基础。

    企业审计风险部门也可以通过访谈、调查等方式定期收集风险信息

    并更新风险数据库。除此之外，审计风险部门还可以根据业务流程风

    险、内部审计结果和内部控制评价结果对公司风险数据库进行更新。

    风险数据库如表2-1所示。

    表2-1 风险数据库2.4.4 风险识别的成果

    风险识别活动结束后，形成《企业风险数据库》，将风险归纳为战

    略风险、市场风险、运营风险、法律风险、财务风险五大类。

    结果文档：《企业风险数据库》。2.5 风险评估实务

    2.5.1 风险评估的思路

    风险评估是指在风险识别的基础上，通过对所收集的资料加以分

    析，对辨识出的风险及其特征进行描述，并对风险发生的可能性及其对

    目标实现可能产生的影响程度进行分析、评价。

    审计风险部门应定期组织风险评估工作，以实时更新的风险数据库

    为基础，根据公司战略发展方向与经营目标的要求，运用合理的评估工

    具对存在的风险进行评估。风险评估工作是由制订风险评估方案、形成

    风险评估标准、风险评分、结果汇总四部分组成的业务循环。

    风险评估范围覆盖企业全系统，涵盖各项重要经营活动及其重要业

    务流程，可分为企业层面风险评估、业务层面风险评估和专项风险评估

    三种类型。

    1.企业层面风险评估

    企业层面风险评估是从企业整体战略和整体利益高度，从企业经营

    管理层面来评估风险。主要通过问卷调查的方式了解企业中高层和各业

    务人员对本企业风险的认识，从风险发生的可能性和风险影响的严重程度两个维度进行评估，绘制风险地图，从而评估出企业层面风险的程

    度。

    2.业务层面风险评估

    业务层面风险评估是基于企业的业务流程，以各模块业务流程风险

    的识别为基础，通过对各个流程风险发生的可能性及风险发生后对企业

    的影响程度进行分析和评价，确定需要重点关注的流程风险。

    3.专项风险评估

    专项风险评估是通过公司发生重大事项，例如，重大投筹活动、重

    大资产处置活动等，来进行专门立项、系统性评估的过程，专项风险的

    评估应通过专业化的评估工具，系统性、科学化地进行。

    2.5.2 风险评估的方法

    在风险评估过程中，风险评估的操作范围可以是整个集团公司，也

    可以是公司中的某个部门，或者独立的项目。影响风险评估进展的因

    素，包括评估时间、力度、展开幅度和深度，都应与集团的战略与经营

    目标要求相符合，同时针对不同的情况选择适当的风险评估方法。

    1.定性评估方法定性评估方法是指采用文字或描述性的级别说明风险的影响程度和

    这些风险出现的可能性。实践中最常使用的三种定性评估方法分别是问

    卷调查法、集体讨论法以及专家调查法。

    (1)问卷调查法

    问卷调查法是指对流程和风险的负责人、高管层进行风险评估问卷

    调查。其优势主要在于可以更高效快速地由企业内不同级别人员评估风

    险，并以更有效的方式召集大批的参加者。此外，问卷调查以不记名方

    式进行，从而更容易识别较多高管层不清楚的风险问题。缺点是问卷的

    回收率低，受被调查者的文化素质限制，以及调查结果的可信度低等。

    (2)集体讨论法

    集体讨论法是指由专人主持研讨会，以集体讨论的方式进行，并由

    风险的负责人和高管层参与的风险评估方法。

    集体讨论法的优点很多，主要有：对于意见上的差异和分歧能够立

    即解决，有利于提高效率；与多次会议才能解决一个问题相比较，一次

    集体讨论能够节约更多时间；所有与会者都能够对风险得到共同的理

    解；可以为不同的意见交流提供平台。

    缺点是进行集体讨论时由于有上级领导在场，有些参与者不愿表达

    自己的观点，从而影响讨论结果。(3)专家调查法

    在风险识别的基础之上，聘请有关专家对风险因素发生的概率和影

    响程度进行评价，然后综合整体风险水平进行评价。该方法的优点是简

    单易行，能够节约成本和时间。该方法的缺点是主观性强，严重依赖于

    专家水平和判断。

    2.定量评估方法

    目前，实际工作中经常使用的定量评估方法包括对标评估、详细评

    估和组合评估三种。

    (1)对标评估

    如果企业的运营环境不是很复杂，企业运营多采用普遍且标准化的

    模式，那么企业采用对标评估的方式就可以满足企业运营环境的所有要

    求。

    企业采用对标评估时，应根据自己的实际情况(所在行业、业务环

    境与性质等)，对运营活动进行安全基线检查(用现有的管理控制措施

    与安全基线规定的措施进行比较，找出其中的差距)，得出基本的安全

    需求，通过选择并实施标准的安全措施来消减和控制风险。

    如果经营环境和目标较为典型，企业也可以自行建立基线。对标评

    估的优点是需要的资源少、周期短、操作简单，是一种经济有效的风险评估途径；缺点是基线水平的高低难以设定，如果过高，可能导致资源

    浪费和限制过度，如果过低，可能难以达到安全，此外，在管理安全相

    关的变化方面，对标评估比较困难。

    对标评估的目标是建立一套满足运营基本目标的最小的对策集合，它可以在单体企业范围内实行，如果需要扩大评估面，应该在此基础上

    运用多个对标评估模型进行更详细的评估。

    (2)详细评估

    详细评估要求对风险事件进行详细识别和评价，对可能引起风险的

    方面进行评估，根据风险评估的结果来识别和选择风险控制措施。这种

    评估途径集中体现了风险管理的思想，即识别该事项的风险并将风险降

    低到可接受的水平，以此证明管理者所采用的控制措施是恰当的。该种

    方法常被应用于专项风险的评估。

    详细评估的优点在于：企业可以通过详细的风险评估而对风险事项

    有一个精确的认识，并能准确评估企业目前的风险水平和安全需求；详

    细评估的结果可用来进行风险管控。

    详细评估的缺点在于：可能是非常耗费资源的过程，包括时间、精

    力和技术等，因此，企业应在评估前审慎设定待评估事项的范围，明确

    经营环境、操作和事项的边界。(3)组合评估

    对标评估耗费资源少、周期短、操作简单，但不够准确，适合一般

    环境的评估；详细评估准确而细致，但耗费资源较多，适合严格限定边

    界较小范围内的评估。因而在实践当中，一般企业多采用二者结合的组

    合评估方式。为了决定选择哪种风险评估方式，首先对所有的风险事项

    进行一次初步的风险评估，着眼于风险事项的价值和可能面临的风险，识别出企业内具有高风险或者对其战略、运营极为关键的业务活动，这

    些业务活动应该划入详细评估的范围，而其他业务活动则可以通过基线

    风险评估直接进行。

    该种评估方式将对标评估和详细评估的优势相结合，既节省了评估

    所耗费的资源，又能确保获得一个全面的评估结果，同时企业的资源和

    资金也能被充分利用，使得高风险的业务活动能够被预先关注。

    但需要注意的是，如果初步的风险评估不够准确，某些本来需要详

    细评估的业务活动也许会被忽略，最终导致组合评估的结果失准。

    2.5.3 风险评估的具体操作

    1.风险评估的方案制订

    为使风险评估工作能够有的放矢地开展，在风险评估实施前由审计风险部门主导，评估人员先行收集、查看本公司和(或)部门的信息与

    相关数据，并通过分析本公司和(或)部门的内外部环境、行业标准、历史风险事件和整改情况等事项，初步确定风险评估重点，根据企业风

    险管理年度工作安排制订企业风险评估计划方案，明确风险评估目标、评估范围、工作任务、进度安排等相关内容，启动风险评估程序，模板

    如表2-2所示。

    表2-2 风险评估计划方案模板

    2.风险评估的标准确定

    (1)风险评估标准的编制

    风险评估标准的编制是通过对风险数据库中的风险事项进行归纳总

    结后，将风险发生的可能性和风险影响程度各分为5个级别，再依级别

    分别确定风险评估标准的定性指标与定量指标的过程。其中，定性指标

    是通过风险描述将风险进行分值化归类后完成设定；定量指标是根据企

    业的经营环境、战略目标，参照风险数据库与风险评估范围，获取相关

    程度较高的指标，通过统计方法计算出指标阈值参考范围，从而完成指

    标设定。(2)风险定性评估标准

    风险定性评估标准和风险数据库存在紧密的逻辑关系。风险数据库

    中已经涵盖了企业可能面临的风险，而风险定性评估则是根据风险数据

    库里的风险描述，将风险进行分值化归类，并在此基础上制定各级别标

    准。

    (3)风险定量评估标准

    风险定量评估标准可按分值档位设定，依据行业规范、专业化标准

    以及企业在运营过程中的自有指标等来进行设计，例如，经营目标中的

    对公司利润总额的影响，在50万元以下的为1级，50万～100万元的为2

    级，依此类推，根据风险分值对相应的级别标准进行设定。

    不同公司的风险评估标准应结合本公司的实际情况进行编制，模板

    如表2-3所示。

    表2-3 风险评估标准模板(4)风险程度标准

    依据企业的风险管理要求，将风险程度分为3级，即一般风险、重

    要风险和重大风险。

    结合“风险发生的可能性”及“风险的影响程度”两个维度，可确定企

    业风险地图模板，如图2-8所示。图2-8 风险地图模板

    图示说明：

    1)重大风险区域——右上方横条纹区域：

    ·风险的影响程度大于等于4，风险发生的可能性大于等于1。

    ·风险的影响程度大于等于3、小于4，风险发生的可能性大于等于

    3。

    ·风险的影响程度大于等于2、小于3，风险发生的可能性大于等于4。

    2)重要风险区域——中间灰白色区域：

    ·风险的影响程度大于等于4，风险发生的可能性小于1。

    ·风险的影响程度大于等于3、小于4，风险发生的可能性小于3。

    ·风险的影响程度大于等于2、小于3，风险发生的可能性大于等于

    1、小于4。

    ·风险的影响程度大于等于1、小于2，风险发生的可能性大于等于

    2。

    ·风险的影响程度小于1，风险发生的频率大于等于4。

    3)一般风险区域——左下方竖条纹区域：

    ·风险的影响程度大于等于2、小于3，风险发生的可能性小于1。

    ·风险的影响程度大于等于1、小于2，风险发生的可能性小于2。

    ·风险的影响程度小于1，风险发生的可能性小于4。

    (5)风险评估表

    风险评估表应包括战略风险、市场风险、财务风险、运营风险和法律风险五大类，模板如表2-4所示。

    3.风险评分

    根据风险评估方案进行风险评分工作，各参评人员按照风险评估标

    准，从风险发生的可能性和风险发生后的影响程度两个维度，对所列风

    险逐项评分，在规定时间内提交至企业审计风险部门。各参评人员在对

    风险事项进行评分时，应采用合适的风险评估方法对风险进行评估，并

    在评估之后以可视化分值的形式进行打分。

    表2-4 风险评估表模板

    (1)评分人员

    在进行风险评估时，应按照风险与评分人的相关度进行评分人员安

    排，在进行人员安排时还应考虑该人员的评分对风险事项的影响程度。一般来讲，评分人员应包括企业管理层、各部门负责人和骨干人

    员。

    (2)风险评分

    风险评分结果可以直观地反映业务的风险程度，各评分人运用相关

    风险评估方法，参照风险评估标准对业务的发生可能性与影响程度进行

    评分，并将评分结果反馈至审计风险部门。当某个风险类型对应的所有

    评分人都进行打分后，用单个评分人给出的分值乘以其对应的权重，再

    将所有评分人的上述计算结果相加，即为该风险类型的最终得分。

    风险评分完成后，还需要依据风险程度标准，找到风险评分所在区

    域，对该风险的程度进行界定，模板如表2-5所示。

    如表2-5所示，×年1季度采购循环风险评估项目发现两个风险事

    项，采购管理部对该风险事项的打分分别为一般和重大，打分完成后进

    行评分结果填制，并上报审计风险部门。

    表2-5 风险评分表模板4.风险评分结果汇总

    风险评分完成后，需要对风险评分结果进行汇总，形成风险评估汇

    总表，以便对风险评估结果进行有效性检查和统计分析。风险评估汇总

    表模板如表2-6所示。

    表2-6 风险评估汇总表模板

    如表2-6所示，审计风险部门在收到采购管理部上报的风险评分表

    结果后进行风险汇总，汇总得出采购循环风险评估风险点总数为2个，其中一般风险1个，重大风险1个。审计风险部门将汇总结果填制形成风

    险评估汇总表。

    审计风险部门汇总评分后，还应将风险评估的结果结合风险程度标

    准绘制形成风险地图。2.5.4 风险评估的成果

    在风险评估阶段，首先应进行风险评估标准的确定与调查问卷的发

    放，再通过专业的评估方法进行风险评估，之后以打分的形式进行风险

    地图的绘制。

    成果：《风险评估标准》《风险评估表》《风险评分表》《风险评

    估汇总表》《企业风险地图》。2.6 风险应对实务

    2.6.1 风险应对的思路

    风险应对是指公司根据自身条件和外部环境，围绕发展战略确定风

    险偏好、风险承受度、风险管理有效性标准，制定符合公司实际情况的

    风险管理策略的过程。企业应当就全部风险进行应对工作，风险应对工

    作由风险应对方案编制、风险应对方案落实及跟踪两部分组成。风险应

    对工作应由审计风险部门主导，各部门具体实施，并且审计风险部门进

    行应对落实跟踪。

    2.6.2 风险应对的方法

    风险应对的主要目的是将风险控制在风险承受度以内。全面风险管

    理的最终目的是利用公司现有的资源对所面临的风险，分不同情况采取

    措施进行应对。风险应对的方法如下。

    1.风险规避

    风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该

    风险相关的业务活动以避免和减轻损失的策略。采用风险规避的目的是，预期出现不利后果时，一并化解风险。例

    如，企业认为某个投资项目的风险发生的可能性很大而又不能承受也不

    能采取措施降低，则可以选择退出该投资项目，从而规避风险。

    2.风险降低

    风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降

    低风险或者减轻损失，将风险控制在风险承受度之内的策略。

    风险降低具体包括风险对冲、风险控制和风险分散等方法，不同的

    实际情况适用不同的风险降低方法。常用的一种形式是风险分散，即通

    过分散的形式来降低风险。

    风险降低可以采取多种形式，包括采用套期。套期是交易商建立证

    券、商品或货币对冲持仓，从而抵消所面临的风险。还可以采用其他许

    多方法降低风险敞口，包括市场研究、地区及产品线的多样化、筛选和

    监控客户、外包等，将经营风险降至最低。

    3.风险分担

    风险分担是企业准备借助外界力量，采取业务分包、购买保险等方

    式和适当的控制措施，将风险控制在风险承受度之内的策略。

    采用风险分担的目的是，将风险分担给另一家公司或机构。合同及

    财务协议是风险分担的主要方式。风险分担并不会降低其可能的严重程度，只是将风险从一方移除后分担给另外一方。分担风险时管理层应考

    虑各方的目标、转移的能力、存在风险的情景以及成本效益。

    4.风险承受

    风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。

    采取风险承受的策略，或者是因为这是比较经济的策略，或者是因

    为没有其他备选方法(比如降低、规避或分担)。采用风险承受时，管

    理层需要考虑所有的方案，即如果没有其他备选方案，管理层需要确定

    已对所有可能的规避、降低或分担方法进行分析来决定承受风险。

    在考虑做出风险应对的过程中，管理层需要评估各种风险控制措施

    的成本，及风险发生的可能性和影响程度降低所带来的收益，选择一种

    或多种风险应对策略。

    2.6.3 风险应对的操作方法

    1.风险应对方案编制

    企业应依据不同的风险分别制订风险应对方案，按照企业管理的要

    求，一般会根据企业层面、业务层面、专项层面出具相应的风险应对方

    案，业务层面的风险应对方案主要是运用内部控制的手段，实现运营层面的风险管控，下面主要介绍企业层面和专项层面的风险应对方案编制

    方法。

    (1)企业层面风险应对方案编制

    对于企业层面的风险，审计风险部门应与公司高管及相关各部门沟

    通、研讨具体的风险应对策略建议，再将风险事项及风险应对策略进行

    汇总，形成风险应对方案汇报给公司管理层，由管理层进行决策。风险

    应对方案中应包括如下内容：风险事项及评估分析记录、风险应对策

    略、风险应对目标、各部门风险应对的职责分工、风险事件发生前中后

    各管理活动中具体的风险应对措施、风险应对各阶段应达成的预期效

    果。

    (2)专项层面风险应对方案编制

    公司在进行专项风险管理工作时，针对专项风险事项应设计翔实的

    应对措施，形成专项风险管理策略，汇总专项风险应对方案，并汇报给

    专项事项具体负责部门，形成风险应对方案，并报管理层进行最终决

    策。

    2.风险应对方案落实及跟踪

    企业根据识别出来的风险制订具体的风险应对方案。就方案中提出

    的具体解决措施，相关业务部门必须进行严格的执行，企业在进行管控措施分解时，对于公司层面及专项层面的问题应制定具体的可执行措

    施，进行风险控制；对于业务层面的问题，应通过业务流程将风险控制

    责任落实到具体岗位，各级风险管理协调人跟踪监控具体的执行情况，形成风险管控监督机制。具体步骤如下：

    1)风险评估完成后，审计风险部门应根据风险应对过程编制风险

    应对方案，并下发各相关业务部门。

    2)各业务部门接到方案后应组织制订具体实施方案并上报，包括

    控制措施、实施期限、实施责任人等内容。在制订实施方案时，各业务

    部门应当根据风险成因，结合风险等级和风险控制的难易程度，以及自

    身的实际情况，综合考虑制订控制实施计划。实施期限较长的，还应确

    定近期目标、远期目标及相应的整改任务等内容。

    2.6.4 风险应对的成果

    成果：《风险应对方案》。2.7 风险预警监控

    2.7.1 风险预警监控的设计思路及程序

    风险预警监控指的是企业根据风险对象的特点，通过收集相关的资

    料信息，监控风险因素的变动趋势，并评价各种风险状态偏离预警线的

    强弱程度，向决策层发出预警信号并提前采取预防性对策的控制活动。

    因此，要构建企业风险预警体系必须先构建风险预警规则、风险预

    警指标，并对相应标准类别加以分析处理；其次，依据上述标准，对评

    价指标体系进行综合评判；最后，依据评判结果设置预警区间，对相关

    风险进行预警和监控。

    在重大及重要风险控制方案实施过程中，审计风险部门应对所发现

    的重大及重要风险进行整改实施的过程监控，建立动态监控预警体系和

    提示机制，并根据风险的实际情况合理划分风险预警区间，判断风险值

    处于正常状态、警戒状态还是危险状态，对于处于警戒或者危险状态的

    风险事项，应建立预警提示机制。

    1.风险预警指标设计思路

    一般情况下，风险预警指标从以下三个维度进行设计。1)效率类预警：从时间角度设定风险预警指标，包括业务开展用

    时长短和业务是否在计划的时间节点完成两个方面。若用时过长，则证

    明业务运作效率不高，若不能按预定时间完成，则说明可能存在计划不

    合理或者实施不到位的现象。

    2)效果类预警：从数量和质量角度设定风险预警指标，包括业务

    发生的次数必须保持在合理的数量区间和业务开展必须达到一定的质量

    标准，如报告期内重大安全质量事故发生次数的限制，设备供应商流失

    需保持在一定的数量，若超过或者低于合理区间，则可能预示业务开展

    存在一定问题。

    3)成本收益类预警：从金额角度设定风险预警指标，包括业务开

    展必须有一定的成本限制和收益目标，业务开展或项目实施不能超过一

    定的金额，超过预定的金额则表现项目开展中存在超支等情况。

    2.风险预警指标设计程序

    一般情况下，风险预警体系设计按照以下程序。

    1)根据业务风险点和业务运作过程，设计风险预警具体指标，描

    述指标的含义、属性、特征以及计算方法，可通过风险预警指标设计的

    原则来具体设计指标。

    2)确定风险预警指标涉及的相关数据获取方法，分析能否获取相关数据、手工获取还是自动获取，相关数据的取得是否得到明确定义等

    方面。

    3)确定指标的阈值即预警空间，当指标数值达到多少时就需预

    警，应发出何种信号预警等。

    通过以上三个步骤来设计具体的风险预警指标，风险预警指标设计

    过程中需与业务部门进行充分的沟通。

    3.风险预警指标的内容

    1)指标名称；

    2)指标责任部门；

    3)指标含义(指标所监控的风险点、指标反映的业务状况)；

    4)指标计算公式；

    5)指标级别(关键一般)；

    6)指标类型(定量定性)；

    7)指标频率(年度、季度、月度)；

    8)指标数据来源(数据提供部门、数据提供的表单)；9)指标阈值设计(高风险值[红色预警]、中风险预警[黄色预警]、低风险预警[蓝色预警])；

    10)指标数据报送路径。

    2.7.2 风险预警监控的编制

    1.风险预警规则编制

    风险预警规则是对事项的“是否”进行的逻辑判断，专门预警审批事

    项“是否”审批通过与不通过。一般基于业务流程中的关键风险控制点编

    制。

    风险预警规则编制如表2-7所示。

    表2-7 风险预警规则编制表2.风险预警指标编制

    风险预警指标是对相关风险进行量化，通过设置采集部门、采集频

    率、预警区间及预警阈值，从不同维度编制多级的风险预警指标。根据

    风险预警指标的走势把握风险的趋势，可以协助管理层了解目标达成和

    风险管控情况，为管理层经营管理及科学决策提供准确依据。

    风险预警指标编制如表2-8所示。

    表2-8 风险预警指标编制表2.7.3 风险预警监控操作

    公司可以运用风险管控系统或者Excel，基于以上方法，构建自身

    的风险预警监控体系，对公司的风险进行实时监控。

    2.7.4 风险预警监控的成果

    成果：《风险预警监控报告》。2.8 风险管控报告与监督

    2.8.1 风险管控报告与监督的思路

    风险管控报告是对公司风险管控工作的总结，可反映出公司风险管

    控思路和管控办法。相关部门对风险管控报告中的风险事项应积极予以

    应对管控，这是风险管控落地的关键。

    公司还应建立风险监督机制，通过对本公司风险管控实施情况和执

    行效果进行跟踪考核，查找问题并改进提高，完成风险管控的业务闭

    环，促使公司不断提升全面风险防控能力。

    2.8.2 风险管控报告与监督的操作方法

    1.风险管控报告

    风险管控报告是企业关于风险分析评估结果的汇总报告，其中包括

    风险排序表、风险分析、可能的解决措施和建议及需要的支持四大部

    分。

    风险排序表是通过定性评估和定量评估之后，按风险程度次序列示

    出存在重大风险的风险点。该表是对企业风险定性评估、定量评估和校验结果的一个总结。

    风险分析部分将针对风险排序表中的每一项风险，给出包括但不限

    于以下五个方面的详细说明，包括国内外环境因素的变化及其对经营目

    标影响的总体研判、风险描述、风险管理工作安排、风险同以前年度相

    比变动情况及原因、对风险关键成因进行量化分析的情况。

    可能的解决措施和建议部分将针对风险排序表中的每一项风险，给

    出企业可能的解决措施和建议、管理策略及解决方案等。要结合企业的

    具体情况，在意识、组织、流程和工具四个方面的解决措施中总结出适

    用于该风险的解决措施，并对该解决措施的实现方式进行具体说明。

    需要的支持部分可以对企业开展风险管控时，需要相关方面提供何

    种支持进行详细阐述。

    2.风险监督改进

    风险监督改进的操作步骤如下。

    1)风险管控报告编制完成后，审计风险部门应根据报告中认定的

    风险确定管控的优先顺序，并将报告及时下发至各业务部门。

    2)各业务部门接到风险管控报告后，应充分了解报告中风险事项

    的风险程度，全面执行风险应对方案并实时监控预警，使得企业在可承

    受的风险下运行。同时各部门还应确定责任人进行自我监督，分析风险管控的实施情况，并将其反馈给审计风险部门。

    3)审计风险部门应监督各业务部门对风险事项的管控情况，并将

    其风险改进情况列为各部门风险管控的考核指标，包括风险应对策略的

    评估、跨部门风险管理情况评价等内容；适时对风险管控情况提出调整

    及改进建议，并将考核情况及时报送管理层，从而保证风险管控的有效

    性。2.9 内部控制体系构建

    2.9.1 内部控制体系构建的思路

    内部控制体系构建是公司内部控制工作的基础，是内部控制评价的

    前提，集团公司及下属公司应以《企业内部控制基本规范》和配套指引

    要求为蓝本，结合本公司实际，以提高经营效率和效果为目标，以风险

    管理为导向，以流程梳理为基础，以风险控制为重点，规范建立适用于

    本公司的内部控制体系，并固化且定期维护内部控制体系。具体工作包

    括业务流程框架编制、业务流程梳理、控制矩阵编制、权限指引表的梳

    理等内容，层层递进以明确业务风险控制点、优化现行流程制度、提高

    各公司业务层面的风险管控能力。

    内部控制体系的构建应先编制业务流程框架，从而对公司的流程体

    系、部门分工、制度建设情况等进行定位。在此基础上绘制各项业务的

    流程图，以明确业务步骤。再以防范风险为导向分析流程，进而在流程

    图中标注风险控制点，并编制控制矩阵以明示风险控制点和控制措施。

    为保证关键控制措施得以有效执行，还应合理设置各级管理权限。

    在进行内部控制构建时，可由审计风险部门牵头成立项目小组组织

    相关工作，建立以周为单位跟进工作进度的机制。在构建内部控制体系的过程中，相关人员应记录汇总现有管理状况和相应的内部控制问题，同步进行优化，审计风险部门需要将汇总的问题下发相关部门，根据重

    要程度的顺序监督相关部门的整改情况。

    为保证内部控制体系的有效性和先进性，应定期维护更新内部控制

    体系。如果集团公司及下属公司有新的业务，应及时对现有内部控制体

    系进行调整。中国企业的内部控制体系建设自2008年大规模在国企和上

    市公司开展以来，一直解决的是合规性问题，在落地执行方面需要强

    化。

    1.内部控制体系建设应摒弃形式化，发挥其真正的价值

    2008年国家五部委下发《企业内部控制基本规范》，拉开了我国企

    业内部控制规范化和体系化建设的序幕。经过多年的实践，内部控制体

    系建设形成了一定的规模，规范化和体系化在不断完善，内部控制体系

    的建设在经济改革和经济发展中发挥着重要的作用。尽管如此，内部控

    制建设中仍存在着形式化、表面化等不能落地的现象，严重曲解了内部

    控制的意义及价值所在。

    内部控制不落地的根本原因在建设环节，主要表现在三个方面：以

    应对合规检查为目的、多管理体系重叠与冲突、生搬硬套内部控制规范

    与指引。

    2.避免“合规型内控”的缺陷，建立“管理型内控”，发挥内部控制的实际价值

    目前，国内外经济环境正在发生着深刻的结构性变化，企业面临转

    型升级，建立“管理型内控”，才能为企业保驾护航。

    1)正确认识内部控制。正确认识内控理念，以降低风险、提升管

    理能力为目标。

    2)打通管理体系建设壁垒。通过多要素融合方式，发现体系之间

    以及体系内部的问题，改进问题、消除短板，形成管理合力。

    3)建立“管理型内控”。杜绝生搬硬套内部控制规范与指引，运用

    内部控制建设七步法建立“管理型内控”。

    第一步，全面梳理管理蓝图，搭建内部控制框架，形成内部控制视

    图。基于企业价值链，按照结构化思维梳理分析战略层面、业务层面、职能层面的管理事项，形成管理蓝图。

    第二步，建立风险数据库。根据公司的愿景、经营目标找到公司的

    风险领域，分类确定具体风险；对风险发生的可能性及影响程度进行评

    级，形成风险数据库。

    第三步，优化流程，标注风险点与控制点。对企业管理事项分类，找到风险点并标注于流程中，形成控制点。第四步，编制风险控制矩阵(RCM)。风险控制矩阵主要包括控

    制风险、关键控制活动和相关制度、文档。

    第五步，设计标准化业务表单。根据风险控制矩阵，形成企业内部

    控制标准化流程业务表单。

    第六步，优化内部控制制度。根据风险控制矩阵评估制度的完整

    性、执行性和控制效率，完善相关管理制度。

    第七步，编制《内部控制手册》和《内部控制评价手册》。编制

    《内部控制手册》，指导内部控制执行；编制《内部控制评价手册》，指导内部控制评价与整改。

    只有建立“管理型内控”，才能避免内部控制建设与执行、内部控制

    执行与审计“两张皮”，关注ERP流程之根，提升组织效率，达到既合规

    又合体，为企业战略实现保驾护航。

    流程烦琐、效率低下、成本过高、交期延误、客户流失、人员流失

    等诸多问题困扰着企业，也造成为数不少的企业夭折。因此，如何提高

    效率、减少浪费、降低成本、加强对关键控制环节的监控，将成为许多

    企业管理的重点，而优化流程则是达到以上管理效果的一个重要手段。

    目前很多企业都在开展流程梳理工作，但是仅有少数企业的流程梳

    理工作达到预期目标，而大多数企业都以失败告终。为何出现这样的局面？主要原因是很多企业在做流程梳理时，没有把握流程的本质，而是

    迷失在流程的细节与表象之中，以为流程梳理就是画流程图、进行业务

    的岗位分工、制定流程的管理标准及相关制度。错把手段当本质，做的

    都是些“花拳绣腿”的外围工作，未能触及流程梳理的核心部分。流程的

    本质是流程存在的目的、意义与价值，把握了流程梳理的本质，流程设

    计才有灵魂，才知道流程的方向，才能真正保证流程梳理工作是围绕流

    程的目的与价值开展的。流程梳理的目的清晰化之后，才能够真正清楚

    在流程中，哪些环节是增值的，哪些环节是可以删除的。

    在开展流程优化时，首先需要识别出组织的关键业务流程，然后根

    据流程的本质对这些关键业务流程进行问题诊断，如此有的放矢地进行

    优化、改进，才有可能收到事半功倍的效果，才能体现出流程优化工作

    的价值。

    (1)识别关键业务流程

    一个组织中往往存在大量的工作流程，在流程优化中不可能面面俱

    到，只能对组织的关键业务流程进行优化组合，以达到集中优势资源，快速提升组织绩效的目标。

    关键业务流程识别有以下几种方式。

    首先，从组织的关键成功要素入手，分析关键业务流程。每个企业

    的成功背后都有其关键成功因素，伴随着组织的不断发展、组织结构的变化会不断产生影响流程运作效率提升的因素，可以通过对制约组织关

    键成功要素能力发挥的原因进行分析，进而确定关键业务流程。

    其次，通过与组织绩效的关联密切程度来识别关键业务流程。提升

    组织效率，进而提升组织整体绩效是流程优化的根本目标，因而，在思

    考选择何种流程进行优化这个问题时，就要找到与组织绩效紧密相关的

    流程。如果流程表现欠佳但对提高组织绩效又非常重要，则该流程就是

    关键业务流程。

    最后，还可通过与成本控制的关联密切程度来识别关键业务流程，即对成本效益影响较大，而目前不太顺畅或不太高效的那些业务流程，就是需要关注的关键业务流程。

    识别出关键业务流程后，接下来的工作是对关键业务流程进行诊断

    与分析。

    (2)流程问题诊断

    绘制流程图是一种非常重要的分析流程现状的方法，有利于全面分

    析流程问题及其与目标绩效流程之间的差距。同时对流程相关岗位人员

    配以流程调研问卷进一步掌握流程的实际运行状况。通过对问卷调研结

    果的统计分析，可以得到这样一些信息：程序文件与实际程序之间的差

    异、不同员工的方法差异、对流程的改进建议、对流程测评点和测评指

    标的建议、需要记录的作业、流程改进中的障碍、实际时间和作业时间、优化流程所需要的资源支持及将采取的行动、时机和人员等。

    在此基础上，我们可以继续考虑以下问题：流程现状的关键制约因

    素是什么；流程中的关键控制要点是什么；部门及岗位职责是否需要进

    行调整；制度体系中如何进行相应的设计，如何设计符合业务特点的薪

    酬、考核制度如何支撑等。

    以上是从人员角度考察分析现有流程的问题。同样我们也可从客户

    需求分析、供应商评价，以及标杆企业流程对标等方法来发现问题，改

    进流程。其中，如何发现、分析、满足客户需求是业务流程分析的核

    心。

    通过业务流程的现状分析，最终需要明确以下几个问题：流程存在

    的主要问题，问题经常发生的环节，是否由流程本身的混乱造成，以及

    管理流程与业务流程是否协调。

    (3)流程优化

    流程问题诊断之后，就要进行流程优化，在流程优化过程中，首先

    要从工作目标出发定义组织各岗位的职责、相互关系及工作的协作关

    系，理清部门职能和各岗位职责，实现部门和岗位工作目标的可衡量

    性。业务流程优化方法一般有以下几种方式：

    1)剔除或减少流程中的非增值活动：如过量生产采购、活动等待时间、不必要的运输、重复的活动(反复加工、检验)、跨部门的重复

    协调、过量的库存等，通过对以上活动的剔除优化，可以大幅度降低组

    织的运营成本，提高流程效率，从而提升对内外部客户的反应速度。

    2)使决策点尽可能靠近任务地点：在决策点和实际工作地之间的

    时间延迟会导致工作进程的缓慢甚至停滞，因此会造成效率低下、机会

    丧失或成本增加。传统的职能等级企业的协调模式大多是凡事汇报给部

    门领导，部门领导决策后反馈给下属人员，下属人员再去与关联部门进

    行沟通，然后对方再向他所在部门的管理者汇报，这种沟通协调方式

    为“M”型，不仅效率低下，而且反复地上下沟通也可能带来信息失真，另外部门领导也未必对具体问题了解得比下属人员更透彻，因而，部门

    领导最好的方式是利用其经验为下属人员提供中肯的建议，而不是替下

    属人员做出决策。

    3)整合工作任务：例如尽可能使同一个人完成一项完整的工作或

    让同一岗位承担多项工作，这样不但提高员工的工作积极性和成就感，同时也为实现对员工的绩效评估提供可衡量的依据。通过对流程中任务

    的整合减少工作任务的交接次数、流程节点的等待时间，从而大大减少

    流程运行中的差错机会和扯皮现象，达到提升流程效率的目的。

    4)简化活动：优化组织内部过于复杂的表格、过于复杂的技术系

    统、过于专业化分工的程序、缺乏优化的物流系统及复杂的沟通形式，使以上各种活动更加简捷、快速、有效。5)流程任务的自动化：企业可以对重、脏、累、险以及乏味的工

    作或流程及数据的采集与传输等工作实施系统改造，实现此类流程或任

    务的自动化。这样不但大大减少流程出现差错的机会，提升流程效率，同时还可以达到降低人工成本的目的。

    流程始于业务需求而止于业务满意。企业不但要识别关键业务流

    程、管理流程，构建起有效的流程体系，还要不断根据业务需求、外部

    环境的变化，对流程适时做出调整优化。总之，在进行流程梳理与优化

    时，不能只关注流程是如何流转的，或只关注流程是否顺畅，而要从流

    程梳理之“根”，即流程的目的出发，紧紧围绕流程的目的去优化流程，这样才能达到流程梳理的真正目的。

    2.9.2 业务流程框架的梳理

    内部控制体系的构建应先梳理业务流程框架，从而对公司的流程体

    系、部门分工、制度建设情况等进行定位。在此基础上绘制各项业务的

    流程图，以明确业务步骤。再以防范风险为导向分析流程，进而在流程

    图中标注风险控制点，并编制控制矩阵以明示风险控制点和控制措施。

    为保证关键控制措施得以有效执行，还应合理设置各管理层级的权限。

    业务流程框架梳理的目的是明晰公司整体业务流程体系，对当前流

    程进行充分显性化梳理，这是建立企业内部控制体系的基础和前提。业务流程框架是公司流程体系的大纲，包括一、二、三级流程目录以及分

    类，并对配套制度和主责部门进行了定位。

    一级流程：一般以管理职能划分，参考内部控制应用指引的18个领

    域。例如人力资源管理、财务管理、生产管理、法律事务管理、综合管

    理及公司治理等。

    二级流程：在一级流程的基础上，按照业务管理条线划分，例如人

    力资源管理可以划分为人力资源规划管理、人事管理、绩效管理、薪酬

    福利管理及员工培训管理等，而财务管理可以划分为预算管理、财务核

    算管理、财务报告管理、税务管理及资金管理等。

    三级流程：在二级流程的基础上，进一步划分到具体的业务单元，例如人力资源规划管理可以划分为机构调整及部门职能的制定流程、年

    度人力资源计划制定流程及员工岗位职责制定流程，人事管理可以划分

    为招聘计划制定流程、校园招聘管理流程、社会招聘管理流程、员工入

    职管理流程、离职管理流程、劳动合同管理及人事档案管理等。

    在这个过程中需要注意，一级流程和二级流程均是可继续划分的，而三级流程是不能进一步划分的，要细分到每个操作步骤。

    业务流程框架梳理的具体方法如下。

    1.资料收集为保证现场调研工作质量，需要先行安排如下工作。

    1)收集相关公司的管理资料及相应制度。如，公司章程、组织架

    构图、岗位职责说明书、内部控制手册、公司权限指引表、公司制度

    等。

    2)根据提供的资料或者制度，结合企业内部控制指引的要求，参

    考经验案例，进行制度流程的有效性评价，包括完整性评价和合理性评

    价。

    完整性评价包括整个模块是否缺失，关键控制流程是否缺失，单个

    控制环节中的要素是否缺失。

    合理性评价包括流程设计是否合理，是否有未体现岗位职责分离、授权不明或者表单设计不合理等情况。

    2.调研访谈

    调研访谈的目的是对现有的流程进行记录与整理，主要是按照模块

    来进行，工作分为访谈以及资料的检查。在访谈开始前，需要提前提交

    访谈提纲给被访谈的人员，便于相关人员准备。

    访谈过程中一般需要2人，一人访谈一人记录。被访谈的部门人员

    基本上需要安排2人，部门负责人以及实际作业人，访谈的侧重点不

    同。1)部门负责人访谈。访谈的主要内容为本部门的组织架构、负责

    的具体工作内容、主要职责、该组织架构中每个成员的工作职责、其在

    工作中发现的流程风险，以及关键控制流程的划分等。通过部门负责人

    访谈划分出该部门主责的一级流程和二级流程。访谈模板可参考表2-

    9。

    表2-9 部门负责人访谈模板

    2)实际作业人访谈。在访谈过程中，记录人员需要根据实际情况

    进行流程的记录，主要根据表2-10中的要素进行记录。通过实际作业人

    的访谈，将二级流程进一步细分成三级流程。

    表2-10 实际作业人访谈内容模板访谈模板可参考表2-11(关于流程记录可通过“××——>××——>××

    ——>××——>”的方式记录)。

    3.穿行测试

    这里的穿行测试是指在访谈后请相关部门现场将作业流程模拟演示

    一遍。访谈人员需要按照流程收集、汇总、整理穿行测试的资料，以保

    证在访谈时被访谈人员不能清楚表述的流程，可以通过资料的检查来明

    确或者完善访谈记录。对穿行测试发现的问题，需要进行现场拍照或者

    在收集的资料上用铅笔标注，便于缺陷的汇总与应对。

    表2-11 实际作业人访谈模板4.资料检查

    访谈结束后，访谈人员应根据访谈的情况编制所需检查资料的清

    单，用于评估企业的内部控制现状。

    在资料抽样的选择上，一般以少量抽取为主，1～5份为宜。

    部门负责人及实际作业人员确认并修订。流程的记录应做到双确

    认，第一步是实际作业人员对此的确认，第二步是部门负责人对流程的

    确认。根据确认结果完成最终修订。

    对已梳理出的流程进行编号(见表2-12)。流程编号公式：一级流

    程英文单词简写+二级流程编号+三级流程编号。

    例如：一级流程为发展战略管理模块，取英文简写DES；若为人力

    资源管理模块，取英文简写HRM；若为组织架构模块，取英文简写

    ORS。二级流程和三级流程按以上公式规则编号。表2-12 流程编码对照表5.确定流程类型

    流程类型分为已建立流程和待建立流程。

    6.确定主责部门

    主责部门是指实现流程目标的主要责任部门，一个流程只有一个主

    责部门，而参与部门可以是多个。7.相关制度匹配

    根据现有的全套制度与流程进行匹配，找出对流程具有规范或指导

    性作用的制度。若某个流程没有可匹配制度，则做上标记(即为内部控

    制制度缺失)。模板如表2-13所示。

    表2-13 业务流程框架模板

    2.9.3 业务流程图的编制

    业务流程图是指以可视的方式，运用特定符号展示某一业务的流转

    过程，其意义在于帮助人们认识业务流程是如何生成、记录，获得授权

    并被处理和汇报的。流程图对业务流程中可能出现的环节及所存在的控

    制环节进行描述，有助于识别步骤和控制，有助于与其他流程图相联系

    来解释相关的控制活动，有助于发现、收集和处理数据，有助于分离可

    能出现问题的区域，有助于向不熟悉的人解释流程，便于指导工作的开

    展以及业务操作的规范化。业务流程图的绘制应明确如下事项：每个流程步骤的执行部门及岗

    位，每个具体步骤的操作内容，每个步骤的输入和输出文档，流程中的

    控制点。

    具体绘制步骤如下：

    1.整理部门负责人及职员的访谈结果

    通过访谈详细了解每个三级流程的具体操作步骤、每个步骤的操作

    方法及注意事项等，访谈中要特别关注和识别流程中的控制点，识别流

    程控制点的方法，例如某审核步骤、审批步骤、某个会议，要在访谈中

    充分了解这些控制点的审核关注内容、审批关注内容或会议讨论内容及

    关注点等。

    2.收集该流程输入和输出的一套文档(相关文档或表单)

    通过分析一个流程中输入和输出的文档或表单，可以辅助绘制流程

    图。

    3.绘制流程图

    流程图上方：标明该流程的名称。

    流程图左方：标明该流程所涉及各阶段的名称。

    各职能带上方：从左至右标明该流程所涉及的部门，最右侧职能带标明该流程涉及的文档或表单。

    各职能带：根据业务流转过程选择相应的流程符号绘制流程图。

    流程图符号对照表与流程图示例如表2-14和图2-9所示。

    表2-14 流程图符号对照表4.风险控制点标注

    风险控制点指的是流程中应对风险的控制节点，在流程图中，用三

    角形放在流程步骤的右上方并标上数字，表示该步骤是控制点。图2-9 销售业务流程图示例

    风险控制点标注方法：在梳理流程的过程中，应以流程目标为出发

    点，从流程步骤走向进行风险思考，梳理在流程中是否有应对风险的控

    制节点。假设去掉这个流程步骤，若该流程仍能完整地进行下去，则该

    步骤不是控制点；若该流程到此卡住无法再进行下去，则该步骤是控制

    点。例如某个流程中存在几个审核、审批步骤，去掉某一个或某几个审

    核、审批步骤，该流程无法继续进行下去，而且存在风险隐患，因此，这类审核、审批步骤就是控制点。

    注意：在一个流程中存在几个风险控制点防范一个风险的可能。对

    流程中的风险识别，需要有一定的风险管理基础知识、足够敏锐的风险

    意识和一定的做流程文档经验。

    5.流程缺陷记录

    相关人员在绘制流程图时应分析并记录流程中存在的缺陷并提出改

    进建议。

    若流程在匹配性、依赖性、震荡性、控制性、一致性、竞争性六要

    素方面存在缺陷，则流程自身存在设计缺陷，可能需要进行流程优化或

    流程重组。若某一风险没有任何风险控制点去防范或控制措施达不到控

    制效果，即该风险没有得到控制，则该流程中存在控制缺陷，需要对流程进行优化甚至重组，保证每个风险都有相应的风险控制点与之对应；

    或者改进控制点的控制措施，以保证每个风险控制点都能有效地控制对

    应的风险。在很多情况下流程控制缺陷往往不是流程本身，而是员工执

    行不到位或执行不力。

    2.9.4 控制矩阵的编制

    控制矩阵是业务流程中针对控制点的控制方式描述，控制矩阵与流

    程图中的控制点是一一对应的，也是做内部控制评价的基础。在编制控

    制矩阵的过程中，流程编号、控制点编号和所属部门岗位要与业务流程

    框架和流程图中的控制点标记相对应，模板如表2-15所示。

    表2-15 控制矩阵模板2.9.5 权限指引表的编制

    权限指引表用来表示不同层级管理人员在各项管理业务中所行使的

    不同类型的职权。只有合理设置权限，才能使控制矩阵中的控制措施起

    到防范风险的作用，可参考表2-16进行编制。

    表2-16 权限指引表模板

    ①根据公司的流程命名规则设定的流程编号。

    ②主要是二级流程的说明。

    ③该流程涉及的表单，可以是纸质的，也可以是电子版本的。

    ④根据金额大小或者重要性进行的划分。

    业务流程中的签批流程会涉及审核、审议、审批、会签、备案等，不同的审批人所使用的范围是不一样的。

    1)审核：审查核定，一般是流程中间过程中的检查，一般是单人

    的。2)审议：一般是流程中间过程中的检查，一般是集体会议的形

    式。

    3)审批：审查批准，一般是流程的最后一人。

    4)会签：在流程过程中，不分权利大小的签字。

    5)备案：流程结束后，需要告知的部门以及人员。

    2.9.6 内部控制体系构建成果

    内部控制体系构建完成后，公司均应形成一套内部控制文档，综合

    运用这些成果可以有效控制公司的业务层面风险，便于其日常工作管

    理。

    结果文档：《业务流程框架》《业务流程图》《控制矩阵》《权限

    指引表》。2.10 内部控制评价

    2.10.1 内部控制评价的思路

    企业通过内部控制评价可以及时发现内部控制管理设计或控制缺

    陷，并通过“以评促建”的方式进行整改，能够保证内部控制体系建设的

    适用性和先进性。“以评促建”是内部控制评价的重要目标，公司应定期

    或不定期地组织开展内部控制评价。

    内部控制评价由公司审计风险部门组织发起，评价工作主要由两个

    部分组成，第一部分由业务部门根据公司主导设置的评价标准就本部门

    内部控制工作进行自我评价；第二部分是在业务部门自我评价基础之

    上，由公司审计风险部门就业务部门的内部控制工作进行独立评价，包

    括评价前提、内部控制评价、评价报告和整改跟踪等工作。

    1.评价前提

    评价前提是指为了保证内部控制评价的真实性、有效性、完整性，在评价前需要先行确定评价内容、评价重点、评价标准、评价方案等事

    项，是内部控制评价的基础。

    2.内部控制评价内部控制评价是指在评价前提完备的基础上，评价人员依据评价方

    案和评价标准综合运用各种评价方法对本部门的内部控制工作进行评

    价；审计风险部门对业务部门的评价工作进行独立评价。

    3.评价报告

    在自我评价和独立评价完成后，公司审计风险部门根据评价结果编

    写评价报告。

    4.整改跟踪

    整改跟踪是公司审计风险部门根据评价结果对各部门的整改情况进

    行跟踪。

    审计风险部门在组织内部控制评价时，可成立评价小组开展工作，由审计风险部门牵头，各业务部门指派人员进入评价组。在评价实施前

    需要下发评价通知书，内容包括被评价部门名称、评价内容、评价期

    间、被评价部门自我评价时间、审计风险部门独立评价时间、被评价部

    门应提供的相关资料清单等。被评价部门在收到评价通知书后应保证提

    供资料的真实性和完整性，并做出书面承诺。对因提供虚假、不完整的

    评价资料，造成评价结论失真的，由资料提供方负责并承担相关责任。

    2.10.2 内部控制评价的方法内部控制评价方法的选择直接影响评价结果的真实性、科学性，常

    用的内部控制评价方法主要有如下几种，在评价工作开展过程中，可以

    选择运用其中的一种或几种方法进行内部控制评价。

    1.访谈法

    访谈法是指评价人员向被评价部门了解内部控制体系建立、执行和

    监督的实际情况。访谈是收集信息的一个重要手段，应当在条件许可的

    情况下以适合被访谈人的方式进行。

    在访谈工作中，评价人员应当注意以下事项：

    1)被访谈人员应当来自被评价范围内实施活动或任务的适当层次

    或岗位。

    2)访谈应当在被访谈人正常工作时间和正常工作地点进行。

    3)在访谈前和访谈过程中应当努力使被访谈人放松。

    4)应当解释访谈和记录的原因。

    5)访谈可通过请被访谈人描述其工作开始。

    6)应当避免提出有倾向性答案的问题(即引导性提问)。

    7)应当与被访谈人沟通并确认访谈的结果。2.标杆法

    标杆法是指通过与企业内外部相同或有相似经营活动的最佳企业进

    行比较，从而设计有效性评价的方法。

    3.观察法

    观察法是指评价人员在被评价部门的工作现场实地观看操作过程，观察有关人员的实际工作情况，以确定规定的控制措施是否得到严格执

    行。该方法适用于不留书面痕迹的控制措施评价，以及评价控制措施的

    执行与到位程度。

    4.检查法

    检查法是指评价人员通过查阅被评价部门的相关资料进行检查的方

    法。具体而言，评价人员查阅被评价部门的政策和规章制度，例如业务

    政策、业务程序、财务会计制度、组织结构图、岗位分工等，审查执行

    内部控制制度生成的文件，如账簿、报表、凭证、记录、合同、报告

    等，检查其是否存在控制轨迹，以判断内部控制措施是否得到有效执

    行。

    5.穿行测试法

    穿行测试法是指评价人员在每一类业务循环中选择一项或若干项业

    务，从头到尾检查其实际处理过程，以验证所描述的内部控制体系的客观性和真实性。

    6.分析性复核法

    分析性复核法是指通过对被评价机构内部控制体系中重要情况和趋

    势的分析，研究被评价机构内部控制体系的异常变动和差异。分析性复

    核主要包括比较分析、因素分析和趋势分析。

    1)比较分析是指针对同一内部控制体系的内容和指标，在不同的

    时间和空间进行对比，来说明实际情况与参照系的差异。

    2)因素分析是指分析影响内部控制体系变化的若干因素，分析研

    究其变动原因，从中发现被评价机构内部控制体系的异常变动和差异。

    3)趋势分析是指对连续若干期的内部控制体系情况进行比较与分

    析，了解其变动的幅度和趋势。

    7.研讨法

    研讨法是指通过召集与业务流程相关的管理人员或者聘请外部专家

    就业务管理的特定问题进行讨论、分析的一种方法。

    2.10.3 内部控制评价的实务操作

    1.内部控制评价前提(1)内部控制评价准备

    评价准备是指为使内部控制评价工作能够有的放矢地开展，在评价

    实施前由公司审计风险部门主导，评价人员先行收集、查看公司或部门

    的信息与相关数据，并通过分析公司或部门的外部环境、内部控制基本

    情况、以往的评价结果和整改情况等事项，结合风险评估，初步确定评

    价重点的工作过程。

    相关的信息和数据包括但不限于以下几项。

    1)主要业务行业发展情况；

    2)各类业务所占市场份额；

    3)市场竞争者发展情况；

    4)内部控制制度修订情况；

    5)内部控制评价报告及缺陷汇总表；

    6)内部审计监察及各项专项检查报告；

    7)财政、税收等监管机构监察情况；

    8)组织机构变动情况；

    9)财务报表；10)发生的重大事项情况说明；

    11)缺陷整改情况；

    12)评价表中相关控制证据。

    (2)内部控制评价内容

    内部控制评价内容是指为使评价人员对内部控制设计与运行情况进

    行全面评价，由公司审计风险部门主导，根据公司的经营状况，结合财

    政部等五部委发布的《企业内部控制基本规范》及其三个配套指引和评

    价准备时分析整理的结果，综合确定出的一套内部控制评价内容框架。

    内部控制评价内容的类别分为企业层面评价、业务层面评价，企业

    层面评价指的是管理层级，比如战略制定、组织架构制定等流程的控制

    活动等；业务层面评价指的是业务运营层级，比如采购业务管理等流程

    的控制活动等。表2-17是以18个内部控制指引为评价内容而列示的模

    板，公司可依据自身企业状况进行调整。

    (3)内部控制评价标准

    在内部控制评价实施前，公司的审计风险部门需要主导完成《评价

    要素》《评价体系权重》《评价等级》《缺陷标准》等文档资料的设

    置，这些文档应与内部控制体系保持同步动态更新。表2-17 内部控制评价内容框架模板

    1)评价要素设置。评价要素由几个方面组成：一是业务流程风险

    控制点的控制活动描述；二是以往内部控制评价中发现的问题；三是以

    前年度审计中发现的问题；四是公司全面风险管理识别过程中发现的内

    部控制缺陷及问题；五是企业管理制度在执行过程中发现的问题和缺

    陷。如在评价准备过程中发现需要新增评价要素也可添加到评价要素表

    中。每一个评价要素都有标准分，满分为5分。

    具体评价要素模板如表2-18所示。

    表2-18 评价要素模板2)评价体系权重设置。评价体系一般分为三个层级。第一层级是

    企业层面和业务层面；第二层级是各类别所属的评价内容；第三层级是

    评价内容下的各评价内容项。

    公司在进行权重设置时应该根据企业的管理情况和业务情况，逐

    级、依次、层层拆分，最终完成评价体系权重设置。

    评价体系权重设置规则如下。

    第一层级权重设置：根据公司实际状况和管理方向分别设置企业层

    面权重和业务层面权重，两者之和为100%。

    第二层级权重设置：先列示企业层面的“评价内容”有几个，再根据

    管理需求依次设置权重，使得各项评价内容权重之和为100%。依此类

    推，业务层面的各项评价内容的权重之和也为100%。

    第三层级权重设置：先列示某“评价内容”下有几个“评价内容项”，再根据管理需求依次设置权重，使得各评价内容项的权重之和为

    100%。依此类推，完成其他评价内容项的权重设置。

    3)评价等级设置。在评价开始前，评价人员还需要对评价结果定

    级，所定级别直接决定了评价结果的严重性与需要引起的重视程度，评

    价等级分为5级。满分为100分，每一个级别都有级别说明，评价级别的

    说明需要公司根据内部控制现状进行设置，用来进行评价结果定性。评价等级设置模板如表2-19所示。

    表2-19 评价等级设置模板

    注：1.如评价期间发生重大缺陷，评分不超过60分。

    2.如评价期间发生重大违规违纪事项、重大安全生产事故，评分为

    0分。

    4)缺陷标准设置。缺陷标准作为内部控制需要对外披露项是非常

    重要的，国资委和证监会等监管部门对于缺陷标准有两个维度：一个是

    财务报告相关；另一个是非财务报告相关。两个维度中分别有定量认定

    和定性认定标准，缺陷级别分为三个：一般缺陷、重要缺陷、重大缺

    陷。公司在进行内控评价、审计、监察等各种检查活动时，可能会发现

    很多实际存在的问题，这些问题均有可能对单位的运营造成影响。因

    而，应根据影响程度定义是否达到缺陷级别，如达到缺陷级别，应将缺

    陷统计分析形成缺陷汇总。

    缺陷标准设定模板如表2-20所示，公司可根据实际情况进行调整。

    表2-20 缺陷标准设定模板

    (4)内部控制评价方案内部控制评价方案应明确评价范围、工作任务、人员分工、进度安

    排(含自我评价、复评两部分工作的进度)等相关内容，由审计风险部

    门主导，各业务部门配合实施。评价应重点关注纳入评价范围的高风险

    领域和部门。

    1)确定评价重点。评价人员应通过内部控制构建的成果、以往内

    部控制评价结果和评价准备的分析结果三个方面，来综合确定评价重

    点。进行内部控制评价时将缺陷分为重大、重要和一般三个等级，企业

    评价时需要重点关注重大缺陷和重要缺陷的管控情况。参考以往评价结

    果确定评价重点，在以往评价中发现的问题可以为确定评价重点提供参

    考。同时，评价准备也是确定评价工作重点的重要基础。通过分析调查

    获取的信息，判断被评价部门可能存在的问题，更精准地确定评价重

    点。

    2)编制评价方案，包括评价依据、评价重点、实施步骤等。评价

    依据：评价方案中应说明开展本次评价项目所依据的规范和制度，以明

    确开展评价工作的制度基础，增强评价工作的严肃性；评价重点：清晰

    反映评价工作的评价重点，明确评价重点有助于提高评价效率，同时也

    是评价报告素材的主要来源；实施步骤：评价方案中的实施步骤体现了

    评价工作的阶段性。明确评价步骤有助于控制评价进度，增强评价工作

    的计划性。

    2.内部控制评价评价人员依照内部控制评价方案组织实施内部控制评价，包括召开

    评价启动会、收集分析评价资料、实施内部控制评价(包括自我评价和

    独立评价)等工作。

    (1)召开评价启动会

    1)会议目的。评价实施前，由各公司审计风险部门组织召开评价

    启动会，旨在加深被评价部门对企业内部控制评价的理解。同时通过被

    评价部门介绍部门的内部控制情况，也会使评价人员尽快了解被评价部

    门；评价启动会也使被评价部门管理层及各部门提高风险管理认识，增

    强评价项目的严肃性和权威性，为评价工作顺利开展打好基础。

    2)召开时间。由审计风险部门与各业务部门协商会议召开时间。

    3)参会人员。参会人员至少包括评价组的所有成员、被评价部门

    管理层主要领导、各部门负责人及其他有关人员；成立内部控制小组的

    部门，内部控制小组成员应参会。除特殊情况外，上述人员原则上应全

    部到会。

    4)会议议程。

    参会人员介绍。会议一般由审计风险部门人员主持，并逐一介绍参

    会人员。

    审计风险部门介绍评价工作。对本次评价工作的时间、目的、范围、重点及人员分工进行介绍，以加深被评价部门对评价工作的认识，并对即将开展的评价工作从总体上有所了解。

    被评价部门介绍情况。被评价部门负责人应对本部门的内部控制总

    体情况、财务状况、市场竞争情况、组织架构和人员情况等进行介绍。

    被评价部门领导表态。被评价部门主要负责人或管理层成员代表被

    评价部门对本次评价配合工作表态，对配合事宜提出明确要求。

    (2)收集分析评价资料

    1)评价资料的收集。业务部门的自我评价和审计风险部门的独立

    评价均需要向被评价部门收集评价资料。被评价部门应按照通知的资料

    清单整理并准时提供各种材料。重要的原始资料交接时，应由资料提供

    人和资料接收人对材料的名称、份数及接收日期进行签字确认，并在资

    料归还前保存好纸质的资料，评价人员应在退场前将评价资料归还给资

    料提供部门。

    2)评价资料的质量要求。评价资料质量直接影响评价效率和效

    果，评价资料必须是全面的、完整的和准确的。

    3)评价资料审核分析。评价人员根据评价的内容和目的，对照资

    料清单检查资料的完整性、全面性和准确性，特别注意资料是否残缺、时间段是否符合要求、数据是否准确等问题。评价人员对评价资料进行分析，查找评价疑点，根据评价疑点增加评价资料，进而确定评价疑点

    是否可作为内部控制问题发现。

    (3)业务部门自我评价

    业务部门的自我评价以确定的评价要素为依据，由本部门进入评价

    组的评价人员组织进行，综合运用个别访谈、穿行测试、复核性分析等

    方法，收集本部门内部控制设计和运行是否有效的证据，按照评价的具

    体内容，研究分析内部控制缺陷。

    步骤如下：

    1)评价要素导入。评价人员将评价要素表中控制活动描述导入评

    价表中。模板如表2-21所示。

    2)穿行测试。针对每一条流程的评价要素进行穿行测试，在穿行

    测试结果中，有问题的记录在底稿汇总表中，模板如表2-22所示。

    表2-21 内部控制评价表模板

    表2-22 内部控制评价底稿模板3)评价打分。根据穿行测试的结果参照评价要素标准进行打分

    (满分5分)，模板如表2-23所示。

    表2-23 内部控制评价表模板

    4)评价打分汇总。内部控制评价打分汇总是指根据在评价标准中

    设定的权重比例来核算分值，最终加总得分得到最后分数，具体规则如

    下。

    由于评价各要素所包括的控制点数量不同，并考虑实际操作中的适

    用性和选择性，所以计分方法一律按得分率来计算。

    某“评价要素”实际得分=评价分某“评价内容项”评价得分=该业务所有评价要素实际得分之和÷评价

    标准分之和×100

    某“评价内容”最终得分=∑(评价内容项评价得分×评价内容项权

    重)

    某“评价类别”最终得分＝∑(评价内容评价得分×评价内容权重)

    评价结果总分＝企业层面最终得分+业务层面最终得分。根据前期

    设置的评价等级对评价结果的级别进行标示，模板如表2-24所示。

    表2-24 评价结果表模板

    5)问题、疑点、缺陷汇总。在内部控制评价过程中会用到各种评

    价方法，如穿行测试、检查、访谈等，在这些方法实施之后会发现很多

    存在的问题(已查明的)和疑点(待查明的)，以及部分风险源。这些

    疑点和问题都应记录在相应的疑点记录表和问题记录表中，以便于后续

    工作。

    疑点汇总表。疑点汇总表记录的是在审计、内部控制评价、调查的

    过程中通过各种方法获得的可能会出现问题的点，在这个时候我们没有确定这个疑点是否真实，那么我们就在疑点汇总表中进行标记，以便后

    期查实，模板如表2-25所示。

    表2-25 疑点汇总表模板

    问题汇总表。问题汇总表记录的是在审计、内部控制评价、调查的

    过程中通过各种方法发现的问题，以及前述疑点汇总表中的已查实的问

    题。这些问题在确认过程中需要进行分类，确认问题的流程归属，并明

    确找出是由哪些控制点的不完善造成的，包括未涉及的控制缺陷(需要

    新增的控制点)，并对相关流程或者部门的责任人进行界定，以便后期

    进行整改，模板如表2-26所示。

    表2-26 问题汇总表模板缺陷汇总表。在问题汇总表中，按照问题重要性程度来判定是否存

    在缺陷，若认定为缺陷，应该根据缺陷标准进行分级，分级定性后进行

    汇总和披露。缺陷汇总表记录的缺陷一定要标明整改状态，以便后期跟

    踪，这个环节非常重要，外部监管机构对缺陷的整改情况十分重视。同

    时，后期的缺陷跟踪工作也应记录完整。评价人员要将发现的缺陷填入

    缺陷汇总表中，模板如表2-27所示。

    表2-27A 缺陷汇总表模板表2-27B 缺陷汇总表模板

    底稿汇总。在进行评价过程中，需要对每个工作过程进行留痕，因

    此需要在工作完成之后进行底稿汇总，填写底稿汇总表，以便后期查

    阅，模板如表2-28所示。

    6)业务部门自我评价结果文档。业务部完成自我评价应形成一套

    自我评价文档，包括：《内部控制评价表》《评价结果表》《疑点汇总

    表》《问题汇总表》《缺陷汇总表》和《内部控制评价底稿汇总表》六

    个文档材料。(4)审计风险部门独立评价

    审计风险部门独立评价是指由审计风险部门以业务部门自我评价结

    果文档为基础，对本公司各业务部门的内部控制执行情况的符合性、有

    效性等开展复核评价，包括内部控制管理评价、业务部门自评情况评

    价、业务流程检查评价、控制缺陷及问题确定等工作。

    表2-28 内部控制评价底稿汇总表模板步骤如下：

    1)公司内部控制管理评价。内部控制管理评价是由评价人员根据

    所在公司的内部控制机构设置情况、内部控制制度完善情况、内部控制

    工作宣传与培训情况、内部控制工作计划及信息沟通情况等方面对本公

    司的内部控制环境进行综合评价的过程。

    2)业务部门自评情况评价。业务部门的自评情况评价是由评价人

    员经过全面审核业务部门的自评结果文档，就自评情况和穿行测试情况

    的检查项目对业务部门的自评情况进行逐项检查定性，并对自评的整体

    情况进行综合评价的过程，独立评价检查表模板和穿行测试检查表模板

    如表2-29和表2-30所示。3)业务流程检查。业务流程检查是由评价人员根据本公司业务流

    程的重要性，结合被评价部门的管理层级和业务部门自评情况，对重要

    的业务流程和存在内部控制问题或缺陷的业务流程进行抽样检查的过

    程。抽样检查的底稿与自我评价时的底稿相同。

    表2-29 独立评价检查表模板

    表2-30 穿行测试检查表模板

    检查要求如下：

    ·采取“随机抽样”的方法，抽取的检查样本应尽可能包含大、中、小各种金额类型，并均匀覆盖规定的检查区间。根据检查需要，评价人员也可灵活采用其他评价方法。

    ·每一个流程的控制点抽样数量应根据业务发生频率高低及其重要

    性确定，一般情况至少要抽取3个样本(实际发生业务数量少于3笔的，要全部检查)。

    ·每一个流程的控制点抽查样本的业务编号，如凭证号、合同号、文件号等信息，必须详细记录。

    ·根据抽样检查结果汇总业务流程检查结果。

    业务流程检查评价汇总表模板如表2-31所示。

    表2-31 业务流程检查评价汇总表模板

    4)控制缺陷和问题认定。控制缺陷及问题确定是由评价人员经过

    内部控制环境评价、业务部门自评情况评价、业务流程检查评价后，分

    析梳理业务部门自我评价的结果文档，并认定本公司存在的内部控制缺

    陷和问题的过程。审计风险部门应与各业务部门就控制缺陷和问题充分

    沟通，经各业务部门确认后，汇总控制缺陷和问题，为后续的整改跟踪

    做准备。问题汇总表和缺陷汇总表模板如表2-32和表2-33所示。表2-32A 问题汇总表模板

    表2-32B 问题汇总表模板

    审计风险部门完成独立评价后的结果文档有：《独立评价检查表》

    《穿行测试检查表》《业务流程检查评价汇总表》《问题汇总表》和

    《缺陷汇总表》五个文档材料。

    表2-33 缺陷汇总表模板3.内部控制评价报告

    内部控制评价完成后，审计风险部门需要组织编制内部控制评价报

    告。

    评价报告的要求：评价报告编制应做到精确、客观、清晰、简洁、完整、及时，并富有建设性。

    评价报告应当包括以下基本要素：标题、收件人、正文、报告日

    期。

    评价报告的内容：

    ·内部控制评价工作的总体情况；

    ·内部控制评价的依据和范围；·内部控制评价的程序和方法；

    ·内部控制缺陷及其认定情况；

    ·内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；

    ·内部控制有效性的结论。

    4.整改跟踪

    公司对审计风险部门在内部控制评价过程中确定的内部控制缺陷和

    问题，均需要积极进行跟踪整改。整改跟踪不仅是外部监管机构的关注

    要点，更是公司完善内部管理，解决管理问题，防范业务风险的重要手

    段。

    具体步骤如下：

    1)内部控制评价报告编制完成后，审计风险部门应根据评价过程

    中认定的缺陷及问题，确定整改的优先顺序，并将报告及时下发至各业

    务部门。

    2)业务部门接到评价报告后应组织制订整改方案并上报。整改方

    案包括整改措施、整改期限、整改责任人等内容。在制订整改方案时，各业务部门应当根据内部控制缺陷及问题发生的原因，结合缺陷等级和

    整改的难易程度，以及自身的实际情况，综合考虑后制订整改计划。整改期限较长的，还应确定近期目标、远期目标及相应的整改任务等内

    容。

    3)审计风险部门应监督各业务部门是否在确定的期限内落实整改

    措施，并进行记录。

    4)公司在进行整改过程中，需要对整个整改过程进行跟踪并及时

    记录，填写整改汇总表以便于查阅与督促。业务部门按照整改方案实施

    整改，并及时将整改情况反馈给审计风险部门。整改汇总表模板如表2-

    34所示。

    表2-34 整改汇总表模板第3章 集团管控模式下的风险管控及数据化管理

    3.1 集团公司如何形成风险管控循环

    对于集团公司首先必须探讨的是集团管控模式，集团管控模式一般

    采用战略管控型、运营管控型和财务管控型，就国内的集团公司而言，还有战略财务管控型、战略运营管控型。集团管控模式是公司一切管控

    的基础，企业管控职能在不同集团管控模式下的定位不同，例如以战略

    管控型为主的公司，总部管控职能主要解决战略、风控及管控模式问

    题；以运营管控型为主的公司，总部既要解决战略、风控问题又要解决

    业务管控问题。

    针对企业管控，风险是事前预判，内部控制是过程管控，审计是业

    务事项的确认，三种手段正好从事前、事中、事后三个阶段和维度对业

    务事项进行管控，形成三维一体的全过程管控。在这个过程中，只有管

    控方式方法精细化，才能形成风险管控体系全过程闭环。

    在风险管理方面，我们需要从外部风险源和内部风险源出发进行识

    别风险。外部风险源分析可以识别出战略风险、市场风险等；内部风险

    源分析可以识别出管理层面风险、业务层面风险和专项层面风险。在这

    个过程中可以使用外部行业数据和企业内部数据，形成风险管控的预判机制。

    在内部控制方面，采用“以评促建，以审促评”的方法。对业务流程

    和业务结果进行穿行测试和审计，使用的数据源是企业内部数据，在做

    内部控制的同时发现企业存在的问题。通过“以评促建、以审促评”，形

    成不同层次、职责明确、运转有效的风险管控模式，实现对业务进行事

    前、事中、事后管控，真正帮助企业形成对重大业务事项的事前风险引

    导、事中伴随管控、事后强化审计的风险管控闭环管理体系。

    集团公司风险管控一般采用自上而下和自下而上相结合的双向运行

    机制。自上而下的方式主要指集团公司审计风险部门通过统一下发风险

    管控模板，实现下属公司自上而下的风险管控机制。自下而上的方式主

    要指下属公司将识别出的风险信息进行反馈并汇总，实现集团公司自下

    而上的风险管控机制。通过集团公司双向的风险管控机制，形成良性的

    风险管控渠道，提高集团风险管控运行的效率和效果。

    风险管控能力建设指通过开展风险管控体系建设工作，搭建风险管

    控体系，并将成果整理成制度或者指引进行下发，形成风险融入业务、融入信息化的业务模式。

    在集团风险管控能力的建设中，企业应坚持“全面规划、统一部

    署、突出重点、试点先行、分步实施、逐级推进”的工作方针，统一规

    划，具备条件的下属公司试点推广，稳步实施、逐层推进，实现全集团风险管控业务循环，达到对风险进行有效监控，全面提升风险管理、内

    部控制管理成熟度的目的。

    结合实际、注重实效。在建设过程中，充分考虑集团公司的实际情

    况，优先解决目前集团公司管理工作中的重大风险及薄弱环节，使确立

    的风险管控体系能够广为接受、易于执行、行之有效。

    涵盖整体、突出重点。体系建设涉及集团公司及下属公司经营管理

    活动的各个层面，涵盖全部经营业务，贯穿于经营管理活动的全过程。

    突出对重要公司、重要业务、重要流程和重要风险的管理和控制，把企

    业的风险控制在合理水平。

    统一设计、分层实施。对风险管控体系工作进行统一组织、统一规

    划、统一标准、统一设计。下属公司结合实际情况，按照集团公司的统

    一要求和内部组织结构或业务类型分层次、分阶段认真组织实施。

    试点先行、逐步推开。首先选择好试点，并做好试点公司的工作，在取得成功经验和汲取教训的基础上全面推开，保证风险管控能力建设

    工作的有序开展和稳步推进。

    那么，在集团管控及风险管控过程中，企业相关数据起到怎样的作

    用呢？对于与企业有关的数据，可以从外部数据和内部数据两个维度进

    行分析和管理，就企业内部数据而言，企业内部数据主要是企业ERP数

    据，针对ERP系统本身，现在更关心数据，ERP系统只是企业运用数据解决管理问题的工具，企业运用风险管控系统对ERP数据进行监控和管

    理，可以有效解决企业风险管控问题。用集团管控及风险管控的思路，找出企业管理过程的关键点，运用企业大数据对企业内部数据进行管

    控，形成企业的数据化管控新模式，是现代企业大数据风控之道。3.2 集团化公司风险管控能力建设思路

    3.2.1 全面风险诊断

    按照五部委发布的《企业内部控制基本规范》及配套指引以及国资

    委发布的《中央企业全面风险管理指引》对风险管控的相关要求，全面

    风险管控的建设是一项非常繁杂的工作，需要集团公司主管领导的大力

    支持及各业务部门的全力配合。

    风险管控能力的建立需要通过公司自上而下强力推进，全方位组织

    有效实施。集团公司的组织架构一般分为三个层级：集团总部、子集

    团、运营单元。集团总部主要是对整个风险管控体系的建设进行规划，对建设过程中的重大事项进行决策，协调好各职能部门的流程接口，督

    促其顺利完成风险管控工作；子集团对集团总部制定的体系进行执行和

    推广，督察风险管控的制定和实施情况，对风险管控措施的合理性提出

    决策性意见，对不合理的业务及管控措施提出修订建议；运营单元是业

    务及管控措施的执行者，是业务风险的承载者，是全面风险管控体系落

    地的 ......