一文读懂：国央企合规管理和风险管控——基于COSO企业风险管理框架的八大要素，附内控管理材料123页PPT

附件为123页可编辑PPTX文件。

一、中央企业主要风险识别情况及存在问题

一是综合管控风险，国有企业集团在统一风险管理方面面临多重挑战。

1. 产业平台管控难度：国有企业产业多元化使得推行统一的风险管控文化与标准体系面临困难，不同业务板块管理差异较大，集团的风险管理体系难以落地。

2. 人才队伍不足：海外扩展加剧了对国际化复合型人才的需求，然而，受制于薪酬和体制限制，国企在吸引和保留高端人才方面存在竞争劣势。

二是产业结构风险，传统产业创新不足，海外业务受制于地域差异。

1. 被颠覆风险：传统产业创新能力薄弱，国有企业在科技大潮下反应迟缓，部分产业面临被新兴科技取代的风险。

2. 水土不服：海外项目投资周期长，竞争激烈，一些投资因文化和政策差异面临高风险，无法有效实现预期收益。

三是财务管控风险，过度负债和流动性压力加剧。

1. 负债规模高企：国有企业在多元化扩展和项目投资中依赖债务融资，导致债务规模持续上升，财务压力加大。

2. 利润结构波动：部分业务板块利润不稳定，企业整体财务健康受限，尤其在地产业务中表现突出，导致融资与销售回款均面临困难。

二、COSO企业风险管理框架的八大要素

1. 内部环境  

内部环境是企业风险管理的基础，影响企业整体的风险文化和风险意识。

建立企业的风险管理政策和风险管理文化：通过制定政策，明确风险管理的价值观和行为准则。

风险管理的组织机构设置和职责分配：建立专门的风险管理部门或岗位，明确各部门及岗位的风险管理职责，确保企业内部形成风险管理的统一机制。

2. 目标设定  

风险管理的过程需要与企业目标保持一致，明确风险管理的方向。

管理层设定企业目标时应考虑的风险策略：企业目标设定时，需充分考虑风险管理的影响，确保风险管理在企业战略中的地位。

企业的风险偏好（考虑高层的声音）：根据企业高层的期望，设定适合的风险承受度，指导企业风险管理的方向。

与风险偏好相关联的风险容忍度：确定风险管理的边界，明确哪些风险可以接受、哪些必须避免。

3. 事项识别  

风险识别的目的是发现可能对企业目标产生影响的事件。

识别发生在企业内部或外部的事件，可能影响战略和目标：通过对企业内外部环境的分析，识别出可能影响企业目标实现的风险事件。

内部和外部因素的结合和相互作用如何影响风险：不仅关注独立事件，还要关注内外部因素的交互作用，以更全面地识别潜在风险。

4. 风险评估  

风险评估是对识别的风险事件进行进一步分析，确定其可能影响的程度。

企业考虑潜在事件可能影响目标的程度：企业应根据事件对目标的影响深度，确定是否需要采取措施。

从两方面评估风险：可能性、影响：评估风险发生的可能性及其对目标的潜在影响，为风险应对提供依据。

综合考虑定性和定量的风险评估方法：结合定性分析与定量测算，提高风险评估的准确性。

在已有风险的和剩余风险的基础上评估：区别对待企业已经控制的风险和可能残留的风险，保证评估的全面性。

5. 风险应对  

风险应对策略的选择，旨在有效地管理识别到的风险。

识别和评价应对对应风险的对策：风险减轻、转移、规避、自留：企业可以根据风险性质选择减轻、转移、规避或自留的方式来管理风险。

潜在风险对策的成本与收益对比，对策减少的风险影响和可能性：在应对风险时，考虑应对措施的成本和带来的收益，以优化风险管理资源的使用。

在风险组合和反应的评价基础上选择和执行对策：根据不同风险的组合和优先级，制定合理的应对计划，以实现风险管理的最大效果。

6. 控制活动  

控制活动是执行风险管理策略的具体措施，确保管理活动的有效实施。

通过政策确保及时执行风险管理活动的制度和流程：通过清晰的制度流程，保证风险管理活动能够及时、有效地开展。

贯穿于组织的所有层次和所有业务活动控制：控制活动需要涵盖组织的所有部门和业务线，以保证风险管理的广泛覆盖。

7. 信息与沟通  

信息与沟通确保企业各层次了解风险管理情况，并在风险管理中实现有效协作。

以某种形式及时识别和传达信息的流程，确保员工履行职责：企业通过信息传递机制，使各级员工明确自己的风险管理职责。

沟通发生在广泛意义之上，自上而下，横跨组织，自下而上：建立多层次的沟通渠道，确保信息可以自上而下、自下而上以及跨部门流通。

8. 监控  

监控通过对风险管理活动的跟踪和检查，确保管理措施的有效性。

持续监控构建于日常、重复发生的经营活动：在日常经营活动中嵌入监控流程，确保风险管理能够持久执行。

单独评价在事件发生之后，在范围和频率上依赖风险的重要性和风险对策与相关性的重要性，通常是内部审计：独立评估机制（如内部审计）能够提供风险管理有效性的客观评价。

建立风险报告的渠道，报告内容是风险管理中的缺陷建立适当的报告渠道：通过建立有效的风险报告机制，确保管理层能够及时了解风险管理的不足之处并采取措施改善。

三、123页PPT某国央企内控管理培训