CN110135724A - 基于coso内部控制框架的企业全面风险管理系统与方法 - Google Patents

Abstract

本申请涉及一种基于COSO内部控制框架的企业全面风险管理系统及方法，属于企业全面风险管理技术领域，该系统包括：信息采集模块采集企业的相关信息；标准风险管理参考模块提供标准化风险管理方案；风险评估参考模块提供标准化的风险识别模型和风险评估模型；风险评估模块根据相关信息、风险识别模型、风险评估模型以及标准化风险管理方案对企业进行风险测评及量化分析；风险报告模块根据评估结果提供风险预警、风险评估结果、对识别的风险进行跟踪、实施风险应对及执行情况的汇总；风险管理模块根据标准化风险管理方案完善风险管理机制；风险管理门户模块展示企业全面风险管理的信息与流程；可以实施整体性的全面风险管理战略解决方案。

Description

基于COSO内部控制框架的企业全面风险管理系统与方法

技术领域

本申请涉及基于COSO内部控制框架的企业全面风险管理系统及方法，属于企业全面风险管理技术领域。

背景技术

全面风险管理，是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

近年来，一些咨询公司、会计事务所、软件公司等虽然对企业风险管理模式进行了尝试但未能取得很好的效果。主要存在的问题是：企业缺乏现代全面风险管理理念，风险管理工具及手段相对匮乏，风险信息系统不健全，出现风险管理框架编制慢、风险信息体系更新难、风险难识别、风险流程不统一、控制活动只流于表面形式等,往往导致企业难以实现全面风险管理，为企业的长期发展埋下了风险隐患。同时企业面临着在实现全面风险管理过程中成本较高、耗时较长、最终往往半途而废的不利局面。

发明内容

本申请提供了一种基于COSO内部控制框架的企业全面风险管理系统及方法，可以解决企业无法识别全面风险管理的薄弱点与缺陷的问题。本申请提供如下技术方案：

第一方面，提供了一种基于COSO内部控制框架的企业全面风险管理系统，所述系统包括：

信息采集模块，用于采集企业的相关信息，所述相关信息包括用于反映所述企业现阶段有关企业战略、组织、经营和/或管理情况的信息；

标准风险管理参考模块，用于基于COSO内部控制框架提供涵盖所述企业全部业务及流程的标准化风险管理方案；

风险评估参考模块，用于提供各类标准化的风险识别模型和风险评估模型；

风险评估模块，用于根据所述相关信息、所述风险评估参考模块提供的所述风险识别模型和所述风险评估模型、以及所述标准风险管理参考模块提供的标准化风险管理方案，对所述企业进行风险测评及量化分析；

风险报告模块，用于根据风险评估模块的评估结果提供风险预警、风险评估结果、对识别的风险进行跟踪、实施风险应对及执行情况的汇总；

风险管理模块，用于根据所述标准风险管理参考模块提供的标准化风险管理方案完善风险管理机制；

风险管理门户模块，用于展示企业经过风险管理流程后所完善的全面风险管理的信息与流程。

可选地，所述风险评估模块，包括：风险定义模块、识别风险模块、风险评价模块和风险排序模块；

所述风险定义模块，用于获取所述企业的风险定义、风险描述、风险指标、风险高低排序、可接受的风险绩效范围、风险等级及所代表的经济损失的定义；

所述识别风险模块，用于对风险源、风险事件、风险原因、及其潜在后果进行识别，形成识别风险清单；

所述风险排序模块，用于对所述识别风险清单中的风险按影响程度进行排序；

所述风险评价模块，用于对风险进行量化处理。

可选地，所述风险报告模块，包括：风险预警模块和风险数据库；

所述风险预警模块，用于设置预警参数；选择预警模型；对触及所述预警参数的事件发出风险预警；

所述风险数据库，用于存储风险报告、稽核审计报告、历史上发生的风险事件、突发风险事件、被及时纠正没有造成损失的事件等组成的汇总数据；

其中，所述风险预警模块，包括：风险评估预警模块、财务破产预警模块和单变量预警模块；

所述风险评估预警模块，用于根据所述风险评估模块中的风险评价结果和排序进行预警；

所述财务破产预警模块，用于对所述企业是否面临财务失败或破产进行预警；

所述单变量预警模块，用于对所述企业的优先风险项目设定风险预警参数，对触及所述风险预警参数的事件发出风险预警。

可选地，所述风险管理模块，包括：风险应对模块、内控管理模块、信息安全模块；

所述风险应对模块，用于提供对于风险事前、事中、事后有关风险处理流程及应对措施；

所述内控管理模块，用于提供全面的风险文化、健全风险管理体系文件、完善各项风险控制的规章制度、建立独立的风险控制机构与负责人、建立完善的风险程序控制、建立相应的风险控制指标体系；

所述信息安全模块，用于为所述企业建立信息和网络的安全环境；

其中，所述内控管理模块，包括：风险管理战略模块、规章制度模块、业务流程模块和风险控制模块；

所述风险管理战略模块，用于提供企业风险治理与文化、战略和目标设定信息的规范与查询；

所述规章制度模块，用于规范查询公司经营管理的各种规章制度；

所述业务流程模块，用于规范查询公司书面的各种业务流程；

所述风险控制模块，用于规范查询公司各种业务内部控制措施与流程。

可选地，所述标准风险管理参考模块，包括：风险应对参考模块、内控管理参考模块和信息安全参考模块；

所述风险应对参考模块，用于提供对于风险事前、事中、事后有关风险处理流程及应对措施；

所述内控管理参考模块，用于提供建立全面的风险文化、健全风险管理体系文件、完善各项风险控制的规章制度；

所述信息安全参考模块，用于提供企业信息网络安全的措施及内部控制流程；

其中，所述内控管理参考模块，包括：风险管理战略参考模块、规章制度参考模块、业务管理参考模块和风险控制参考模块；

所述风险管理战略参考模块，用于提供企业风险治理与文化、战略和目标设定等标准措施与流程；

所述规章制度参考模块，用于提供企业经营管理的各种标准规章制度；

所述业务管理参考模块，用于提供企业运营中涉及到的各种标准业务流程；

所述风险控制参考模块，用于提供企业风险管理的措施及内部控制流程。

可选地，所述风险管理门户模块包括：用户中心模块和支持中心模块；

所述用户中心模块，用于提供根据不同的角色权限登录不同模块的服务；

所述支持中心模块，用于提供系统相关的支持服务。

第二方面，提供了一种基于COSO内部控制框架的企业全面风险管理方法，所述方法包括：

采集企业的相关信息，所述相关信息包括用于反映所述企业现阶段有关企业战略、组织、经营和/或管理情况的信息；

基于COSO内部控制框架提供涵盖所述企业全部业务及流程的标准化风险管理方案；

提供各类标准化的风险识别模型和风险评估模型；

根据所述相关信息、所述风险识别模型和所述风险评估模型、以及所述标准化风险管理方案，对所述企业进行风险测评及量化分析；

根据评估结果提供风险预警、风险评估结果、对识别的风险进行跟踪、实施风险应对及执行情况的汇总；

根据所标准化风险管理方案完善风险管理机制；

展示企业经过风险管理流程后所完善的全面风险管理的信息与流程。

可选地，所述根据所述相关信息、所述风险识别模型和所述风险评估模型、以及所述标准化风险管理方案，对所述企业进行风险测评及量化分析，包括：

获取企业风险定义；

确定企业的风险评价模型；

采用基准比较法将所述相关信息与所述标准化风险管理方案进行比较，得到制度识别风险清单；所述制度识别风险清单用于指示企业制度的完善程度；

将所述相关信息与预存的风险识别参考清单进行比较，得到初级识别风险清单；

使用财务报表分析法对所述相关信息进行分析，得到特殊识别风险清单；

基于所述企业风险定义、所述制度识别风险清单、所述初级识别风险清单和所述特殊识别风险清单生成识别风险清单，所述识别风险清单包括风险类别、风险名称、风险描述、指标体系、可能性(频率)、损失程度和/或风险等级。

可选地，所述根据评估结果提供风险预警、风险评估结果、对识别的风险进行跟踪、实施风险应对及执行情况的汇总，包括：

设置风险预警参数；

对所述识别风险清单中可计量风险进行量化处理，得到所述可计量风险对应的新风险等级；

使用F预警模型或Z预警模型联动系统财务数据及生产经营数据，实时识别触发到预警参数的风险；

将识别的风险将通过企业内部网以邮件或短信方式提醒风险预警名单中设置的有关人员；

接收所述有关人员按照风险应对程序和流程采取风险管理措施后输入的风险报告；

其中，所述风险报告包括：风险名称、风险描述、风险级别、风险损失、发生时间、责任人员、风险管理措施、风险管理结果、完成时间、完成人员、业务负责人、监督人员等。

可选地，所述方法还包括：

对所述风险报告中可量化项目进行量化检测；

对于量化检测未达到预计目标的项目再次进行风险修正；

对于量化检测达到预计目标的项目设定为完成状态。

本申请的有益效果在于：通过信息采集模块采集企业的相关信息；标准风险管理参考模块基于COSO内部控制框架提供涵盖企业全部业务及流程的标准化风险管理方案；风险评估参考模块提供各类标准化的风险识别模型和风险评估模型；风险评估模块根据相关信息、风险评估参考模块提供的风险识别模型和风险评估模型、以及标准风险管理参考模块提供的标准化风险管理方案，对企业进行风险测评及量化分析；风险报告模块根据风险评估模块的评估结果提供风险预警、风险评估结果、对识别的风险进行跟踪、实施风险应对及执行情况的汇总；风险管理模块根据标准风险管理参考模块提供的标准化风险管理方案完善风险管理机制；风险管理门户模块展示企业经过风险管理流程后所完善的全面风险管理的信息与流程；可以解决企业无法识别全面风险管理薄弱点与缺陷的问题；由于提供了标准化的风险管理模块与流程作为参考，指导企业在较快时间内、以合理的成本构筑起涵盖全面风险管理的体系，从而达到实施整体性的全面风险管理战略解决方案。

上述说明仅是本申请技术方案的概述，为了能够更清楚了解本申请的技术手段，并可依照说明书的内容予以实施，以下以本申请的较佳实施例并配合附图详细说明如后。

附图说明

图1是本申请一个实施例提供的基于COSO内部控制框架的企业全面风险管理系统的结构示意图；

图2是本申请一个实施例提供的基于COSO内部控制框架的企业全面风险管理方法的流程图；

图3是本申请另一个实施例提供的基于COSO内部控制框架的企业全面风险管理方法的流程图；

图4是本申请另一个实施例提供的基于COSO内部控制框架的企业全面风险管理方法的流程图。

具体实施方式

下面结合附图和实施例，对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请，但不用来限制本申请的范围。

美国反虚假财务报告委员会下属的发起人委员会(The Committee ofSponsoring Organizations of the Treadway Commission，COSO)内部控制框架：COSO于1992年颁布的框架，长期以来作为建立旨在提高效率、降低风险、帮助保证财务状况报表可信性、遵从法律法规的内部控制的蓝本。由于其全面性、有效性和普遍原则，框架受到世界上很多组织的称赞并被接受。本系统是参考COSO2018年最新颁布框架指导下而发明设计的全面风险管理系统与方法。

图1是本申请一个实施例提供的基于COSO内部控制框架的企业全面风险管理系统的结构示意图，如图1所示，该系统至少包括：信息采集模块110、标准风险管理参考模块120、风险评估参考模块130、风险评估模块140、风险报告模块150、风险管理模块160和风险管理门户模块170。

信息采集模块110，用于采集企业的相关信息，相关信息包括用于反映企业现阶段有关企业战略、组织、经营和/或管理情况的信息。

可选地，相关信息包括但不限于以下几种中的至少一种：风险管理战略信息、规章制度信息、业务流程信息、内部控制信息、财务数据、运营数据、参考数据信息。

风险管理战略信息用于提供企业现有的风险治理与文化、战略和目标设定等信息与查询。

规章制度信息用于查询存储企业现有书面的各种规章制度。

业务流程信息用于查询存储企业现有书面的各种业务流程。

内部控制信息用于查询存储企业现有书面各种业务内部控制措施与流程。

财务数据信息用于查询存储企业近n年会计报表的月报、季报和年报，财务分析数据，企业年度的预决算等数据。n为正整数，比如：n为3、5等，本实施例不对n的取值作限定。

运营数据信息用于查询存储企业近m年的业务经营数据，包括产品品种产量、计划完成情况、产量增长情况、产品销售完成情况、产品市场占有率分析、产品盈利细化核算、企业成本结构及其变化情况的分析、企业筹资费用、资金使用费用、企业投资产值率、投资盈利率、投资回收期等。m为正整数，比如：m为3、5等，本实施例不对m的取值作限定。

参考数据信息用于查询存储企业的产业数据、外部市场数据、金融数据、同业数据等。

标准风险管理参考模块120，用于基于COSO内部控制框架提供涵盖企业全部业务及流程的标准化风险管理方案。

标准风险管理参考模块120在美国最新风险管理理念“COSO”管理框架指导下，根据其五大要素和20项原则分解到企业管理和运营的各个环节，设计涵盖企业全部业务及流程的标准化风险管理方案。包括对企业组织结构及职责、风险战略、风险管理体系文件、规章制度、业务操作流程、内控管理流程、稽核审计流程、岗位职责分工、风险控制指标体系、信息网络安全方案等全方位风险管理的标准方案，作为企业建立全面风险管理的参考与对比标准。

标准风险管理参考模块120，包括：风险应对参考模块121、内控管理参考模块122和信息安全参考模块123。

风险应对参考模块121，用于提供对于风险事前、事中、事后有关风险处理流程及应对措施。通过对风险规避、风险转移、减少损失、风险接受等风险应对措施的细化，建立起风险对策制定，风险备选方案，风险整改措施，风险整改流程，整改流程执行等。

其中，风险规避措施包括：通过公司的政策、制度与标准，阻止高风险经营和投资活动的发生；通过调整战略与经营方向，停止高风险经营活动；建立全面的风险文化，把风险意识从上到下贯穿到各项业务、岗位、和人员中，从企业治理和管理的角度把企业风险管理融入战略和绩效管理的工作中去；在评估业务发展、市场开拓、投资机会时，避免高风险行为和偏离风险战略的机会；通过撤出、出售、剥离、清算等方式规避风险等。

风险转移措施包括：购买保险、再保险合同；签订风险分担合同；通过结盟或合资转移风险。

减少风险损失的措施包括：借助内部风险控制流程；分散投资组合、市场组合、产品组合；岗位职责分工；关键岗位分离制度；权限审批制度；绩效风险责任人制度；定期或不定期内部审计制度等。

风险接受的措施包括：维持现有风险水平；对产品或服务重新定价以补偿风险；通过合理设计的组合工具以抵消风险等。

内控管理参考模块122，用于提供建立全面的风险文化、健全风险管理体系文件、完善各项风险控制的规章制度。包括以整体风险控制为目标的绩效风险管理制度，建立独立的风险控制机构与负责人，建立完善的风险程序控制，建立相应的风险控制指标体系等。通过搭建风险管理基础、形成标准化流程使企业发现风险管理弱点、评估风险及发展风险对策，设计及落实风险措施，从而达到弥补缺陷、建立机制等途径达到持续提高风险管理能力，强化风险管理总体水平。

内控管理参考模块122，包括：风险管理战略参考模块1221、规章制度参考模块1222、业务管理参考模块1223和风险控制参考模块1224。

风险管理战略参考模块1221，用于提供企业风险治理与文化、战略和目标设定等标准措施与流程。包括企业组织架构、董事会风险责任、企业风险文化、绩效风险责任、外部经营环境、同业竞争、企业商业模式、投资模式、业务组合、资源分配、战略量化考核、生命周期等涉及企业战略管理、战略风险、环境风险、同业竞争风险等的模块。

规章制度参考模块1222，用于提供企业经营管理的各种标准规章制度。包括企业决策制度、权限审批制度、投资制度、采购制度、营销制度、客户管理制度、人事管理制度、岗位责任制度、生产管理制度、财务会计制度、费用报销制度、科研开发制度、保密制度、信息安全制度、档案管理制度、风险绩效考核制度、内控管理制度、安全管理制度、环境保护制度、紧急事件应急方案、业务持续经营计划等。

业务管理参考模块1223，用于提供企业运营中涉及到的各种标准业务流程。包括企业决策业务流程、采购业务流程、营销业务流程、客户管理业务流程、客户信用评定业务流程、人事管理业务流程、生产管理业务流程、财务会计业务流程、费用报销业务流程、科研开发业务流程、信息管理业务流程、风险绩效考核业务流程、内控审计业务流程等。

风险控制参考模块1224，用于提供企业风险管理的措施及内部控制流程。包括企业决策内部控制流程、采购业务内部控制流程、营销业务内部控制流程、客户管理内部控制流程、客户信用评定内部控制流程、人事工资管理内部控制流程、生产管理内部控制流程、财务会计业务内部控制流程、费用报销内部控制流程、科研开发内部控制流程、信息管理内部控制流程、风险绩效考核内部控制流程、内控审计内部控制流程等。

信息安全参考模块123，用于提供企业信息网络安全的措施及内部控制流程。包括信息安全管理制度与规范、信息管理安全程序及指南、业务流程控制、业务记录控制、风险评估方法、风险评估报告、风险应对措施、文件及记录控制等。系统安全措施包括：操作系统授权、网络设备权限、应用系统功能权限、数据访问权限、病毒的预防、非法入侵的监督、数据更改的追踪、数据的安全备份与存档、主机房的安全管理规章、系统管理员的监督等。

风险评估参考模块130，用于提供各类标准化的风险识别模型和风险评估模型。

风险评估参考模块130，用于提供各类标准化的风险识别模型和风险评估模型。风险识别参考模型、风险评价参考模型用于供企业根据自身的业务特点、行业特点、数据丰富与完善程度选择使用。

风险识别参考模型：提供列示了可能威胁影响到企业整体和业务流程的各种风险。风险被归纳为战略风险、市场风险、环境风险、财务风险、运营风险、法律风险、信息安全风险、内控风险等，各类风险又包括不同的具体风险，共定义了一百多个风险点，提供了用于风险识别的参考清单，包括对每个具体风险给出了风险名称、风险类别、详细的风险描述、风险的指标体系等。为识别企业特殊风险，本模型还提供了财务报表分析法，即通过趋势分析法、比例分析法、因素分析法、或杜邦分析法，通过对企业三年的资产负债表、损益表、现金流量表和其他附表等财务信息的分析来识别风险事项。

风险评价参考模型：用于对可计量的风险进行量化，并综合衡量风险对实现企业目标的影响程度的参考模型，使用的方法包括：情景分析法、决策树分析法、趋势外推法(简单平移法、移动平均法、加权移动平均法、指数平滑法、季节变动分析法、线性趋势法等)、VAR分析法、蒙塔卡洛分析法等。供企业根据自身的行业特点、模型所要求的内外部风险数据丰富与完善程度、企业风险管理经验等选择使用。

在第一种情况下：企业拥有丰富的内部风险数据或外部风险数据，可选择情景分析法、趋势外推法、蒙特卡洛模型作为企业的风险评价模型。

企业内部风险数据：记录企业的风险历史资料，包括风险事件的损失和潜在损失、造成损失的经营行为、被及时纠正没有造成损失的事件等；

企业外部风险数据：包括公开上市公司数据、行业协会公布的数据、保险商数据、政府部门提供的数据、国外专业风险外部数据库等。

在第二种情况下：企业所属的行业：银行业、保险业等可采用比较成熟的VaR模型，大型工程及项目投资可以采取蒙特卡洛模型、决策树模型等。

在第三种情况下：企业高层或风险管理人员拥有一定的风险管理专业知识，可采用情景分析法、决策树分析法作为企业的风险评价模型。

风险评估模块140，用于根据相关信息、风险评估参考模块130提供的风险识别模型和风险评估模型、以及标准风险管理参考模块120提供的标准化风险管理方案，对企业进行风险测评及量化分析。

比如：对于xx律师事务所，由所有的合伙人使用系统中的风险评估参考模块130中的风险识别参考清单，逐一评判是否有该项业务、是否有该项风险、以及风险的可能性、可能损失的程度等。系统经过统计分析，可得出律师事务所的风险识别清单，该风险识别包括风险类别、风险名称、风险描述、指标体系、可能性(频率)、损失程度、风险等级。比如律师事务所的风险经过此程序可识别的风险有：

人力资源风险：关键人物风险；

工资、奖金、福利、与激励制度风险；

人员知识老化风险；

市场竞争风险：新的强有力的竞争对手出现；

竞争对手市场占有率上升；

不正当竞争对市场的影响；

公司治理风险：企业的主要管理岗位由家庭成员担任；

企业管理缺乏规范化制度，人治色彩较浓；

信息技术风险：数据保密及安全管理风险。

在量化风险时：识别风险清单中涉及到的企业组织、风险文化、规章制度等非量化风险，只需要继续保持其风险等级，不需要进行量化。对识别风险清单中的可计量风险进行量化处理，使用的方法可根据企业风险数据库的数据，包括企业历史发生风险事件的损失；企业外部风险数据(上市公司数据、同业数据、保险商数据、政府部门数据、国外专业外部数据库数据)；企业风险管理人员和高管经验数据；财务分析数据等使用风险评价模型予以计量。

比如：选择情景分析法和趋势外推法对XX律师事务说的关键人物风险进行量化：

关键人物风险：根据历史数据推测，一年内企业面临失去两位合伙人，每位合伙人创造200万元/年的利润，合伙人的离去将带走60％的客户，寻找新的合伙人需要2个月的时间，成本10万元/人，新合伙人进来当年创造80万元/人的利润。根据此情景分析，关键人物风险的量化损失是；

2×(200×60％+10)-2×80＝100万元

如果企业定义高风险经济损失为100万元，经量化分析，关键人物风险为XX律师公司的高风险项目，企业应该立即启动风险应对措施来降低风险。

风险评估模块140包括：风险定义模块141、识别风险模块142、风险评价模块143和风险排序模块144。

风险定义模块141，用于获取企业的风险定义、风险描述、风险指标、风险高低排序、可接受的风险绩效范围、风险等级及所代表的经济损失的定义。

比如：风险定义模块接收到的信息包括：I-低风险(￥1-￥20万)；II-中低风险(￥20万-￥40万)；III-中风险(￥40万-￥60万)；IV-中高风险(￥60万-￥100万)；V-高风险≥￥100万。

识别风险模块142，用于对风险源、风险事件、风险原因、及其潜在后果进行识别，形成识别风险清单。

可选地，识别风险清单包括风险类别、风险名称、风险描述、指标体系、可能性(频率)、损失程度和/或风险程度等。

风险排序模块144，用于对识别风险清单中的风险按影响程度进行排序。

比如：I-低风险；II-中低风险；III-中风险；IV-中高风险；V-高风险。

风险评价模块143，用于对风险进行量化处理。

风险报告模块150，用于根据风险评估模块140的评估结果提供风险预警、风险评估结果、对识别的风险进行跟踪、实施风险应对及执行情况的汇总。

可选地，风险报告模块150包括：风险预警模块151和风险数据库152。

风险预警模块151，用于设置预警参数；选择预警模型；对触及预警参数的事件发出风险预警。

其中，预警模型是通过对企业的经营管理活动过程的数据与信息进行分析，度量某种状态偏离预警参数从而发出预警信号，促使决策者采取适当措施规避风险或延缓危机的发生。预警模型包括单变量分析预警与多变量分析预警。预警参数来二个方面，一是来自于通过已经运用成熟的风险模型的数据，二、对企业风险评估后高或/和较高风险项目的设定参数设定，可来自于企业风险库的历史数据、同业风险库的数据、企业风险管理人员的经验数据、上市公司可参考的数据、财务比例分析数据等方式。

比如：一家生产企业，在确定的风险识别清单中，高风险项目包括：

运营风险—产品销售风险—存在大量应收帐款，资金回笼慢。可设定应收帐款周转率≤6(行业应收帐款平均周转率为6)作为一个风险参数；同时，还可以设定前10大客户任何一家出现应收帐款逾期，作为第二个风险参数。

风险预警模块151包括：风险评估预警模块1511、财务破产预警模块1512和单变量预警模块1513。

风险评估预警模块1511，用于根据风险评估模块中的风险评价结果和排序进行预警。

财务破产预警模块1512，用于对企业是否面临财务失败或破产进行预警。

在系统中设置为财务破产预警参数：运用多种数据比率加权汇总而构成线性函数公式来预测企业风险的一种模型，它是一种综合评价企业风险的方法。比如：当预测企业是否会面临财务失败时，只需将企业的多个财务比率同时输入模型中，模型会通过计算得到一个数据，根据该数据就可以判断企业是否会面临财务失败或破产。比如F预警模型和Z预警模型，提取财务报表中的数据予以分析，考虑了企业的变现能力、盈利能力、财务结构、偿债能力、运营能力等方面的因素，

示意性地，风险评估预警模块通过选择F预警模型或Z预警模型，将企业的多个财务比率同时输入模型中，该模型会通过计算得到一个数据，根据该数据就可以判断企业是否会面临财务失败或破产。

F预警模型如下：

F＝-0.1774+1.1091W1+0.1074W2+1.9271W3+0.0302W4+0.4961W5

W1＝(期末流动资产-期末流动负债)/期末总资产

W2＝期末留存收益/期末总资产

W3＝(税后纯收益+折旧)/平均总负债

W4＝期末股东权益的市场价值/期末总负债

W5＝(税后纯收益+利息+折旧)/平均总资产

F预警模型中的其预警参数(临界点)为0.0274，若F值低于0.0274，则将被预测为破产公司；反之，若F值高于0.0274，则公司将被预测为继续生存。

单变量预警模块1513，用于对企业的优先风险项目设定风险预警参数，对触及风险预警参数的事件发出风险预警。

其中，优先风险项目是风险排序模块中的优先风险项目(比如高或/和较高风险项目)。

单变量预警模型举例：根据企业风险排序模块中的高或/和较高风险项目，设定风险预警参数。比如：企业风险排序模块把单一供货商识别为高风险项目，我们可以在预警模型中设置大于等于10％的原材料来自于单一供货商作为预警参数。当预警模型根据采集的生产数据识别出达到10％的原材料来自于同一个供应商，而且企业数据库中没有找到其他备选的供应商可以提供同样的生产资料时，预警模型将会启动预警信号，通知有关责任人。责任人将及时采取措施选择第二、第三备选合格供应商，以防唯一供应商自身经营或管理出现问题，造成不能及时供货从而影响到企业的正常生产。

风险数据库152，用于存储风险报告、稽核审计报告、历史上发生的风险事件、突发风险事件、被及时纠正没有造成损失的事件等组成的汇总数据。风险数据库是风险管理的数据库，作为修正风险识别清单、风险评价模型的参考依据。

风险管理模块160，用于根据风险报告模块150的汇总信息提供风险管理机制。这样，可以将风险可能造成的不良影响减至最低。

可选地，企业根据标准风险管理提供的参考模块，结合企业自身管理与经营特色构建的全面风险管理机制。

风险管理模块160，包括：风险应对模块161、内控管理模块162、信息安全模块163。

风险应对模块161，用于提供对于风险事前、事中、事后有关风险处理流程及应对措施。

示意性地，通过对风险预防、风险规避、风险转移、损失减少、风险接受等风险应对措施的细化，建立起风险对策制定，风险备选方案，风险整改措施，风险整改流程，整改流程执行等。

内控管理模块162，用于提供全面的风险文化、健全风险管理体系文件、完善各项风险控制的规章制度(包括以整体风险控制为目标的绩效风险管理制度)、建立独立的风险控制机构与负责人、建立完善的风险程序控制、建立相应的风险控制指标体系。

通过搭建风险管理基础、评估风险及发展风险对策、设计及落实风险措施等标准化流程的建立使企业通过发现弱点、弥补缺陷、提升能力、建立机制等途径达到全面风险管理能力的形成及不断强化提升。

内控管理模块162，包括：风险管理战略模块1621、规章制度模块1622、业务流程模块1623和风险控制模块1624。

风险管理战略模块1621，用于提供企业风险治理与文化、战略和目标设定信息的规范与查询；

规章制度模块1622，用于规范查询公司经营管理的各种规章制度；

业务流程模块1623，用于规范查询公司书面的各种业务流程；

风险控制模块1624，用于规范查询公司各种业务内部控制措施与流程。

信息安全模块163，用于为企业建立信息和网络的安全环境。

可选地，信息安全模块163通过管理制度与规范、程序与指南的业务流程控制为企业建立信息和网络的安全环境。

风险管理门户模块170，用于展示企业经过风险管理流程后所完善的全面风险管理的信息与流程。

可选地，风险管理门户模块170用于为风险管理模块160中的风险战略模块1621、规章制度模块1622、业务流程模块1623、风险控制模块1624；以及风险报告模块150提供门户交互服务。

可选地，风险管理门户模块170包括：用户中心模块171和支持中心模块172。

用户中心模块171，用于提供根据不同的角色权限登录不同模块的服务。

支持中心模块172，用于提供系统相关的支持服务。比如：提供关于我们、帮助中心、平台公告、联系我们等支持服务。

综上所述，本实施例提供的基于COSO内部控制框架的企业全面风险管理系统，通过信息采集模块采集企业的相关信息；标准风险管理参考模块基于COSO内部控制框架提供涵盖企业全部业务及流程的标准化风险管理方案；风险评估参考模块提供各类标准化的风险识别模型和风险评估模型；风险评估模块根据相关信息、风险评估参考模块提供的风险识别模型和风险评估模型、以及标准风险管理参考模块提供的标准化风险管理方案，对企业进行风险测评及量化分析；风险报告模块根据风险评估模块的评估结果提供风险预警、风险评估结果、对识别的风险进行跟踪、实施风险应对及执行情况的汇总；风险管理模块根据标准风险管理参考模块提供的标准化风险管理方案完善风险管理机制；风险管理门户模块展示企业经过风险管理流程后所完善的全面风险管理的信息与流程；可以解决企业无法识别全面风险管理的薄弱点与缺陷的问题；由于提供了标准化的风险管理模块与流程作为参考，指导企业在较快时间内、以合理的成本构筑起涵盖全面风险管理的体系，从而达到实施整体性的全面风险管理战略解决方案。

图2是本申请一个实施例提供的基于COSO内部控制框架的企业全面风险管理方法的流程图，本实施例以该方法应用于图1所示的基于COSO内部控制框架的企业全面风险管理系统中。该方法至少包括以下几个步骤：

步骤201，采集企业的相关信息。

其中，相关信息包括用于反映企业现阶段有关企业战略、组织、经营和/或管理情况的信息。

可选地，相关信息包括：企业组织架构、董事会风险责任、企业风险文化、企业商业模式与运营特点、规章管理制度、岗位角色分工、业务操作流程、内控管理流程、财务报表数据、运营数据、市场参考数据、外部环境分析、绩效风险责任等。

步骤202，基于COSO内部控制框架提供涵盖企业全部业务及流程的标准化风险管理方案。

步骤203，提供各类标准化的风险识别模型和风险评估模型。

步骤204，根据相关信息、风险识别模型和风险评估模型、以及标准化风险管理方案，对企业进行风险测评及量化分析。

可选地，参考图3，本步骤至少包括以下几个步骤：

31、获取企业风险定义。

可选地，在风险评估模块中的风险定义模块输入企业的风险定义、风险描述、风险指标、风险高低排序、可接受的风险绩效范围、风险等级及所代表的经济损失的定义等。比如I-低风险(￥1-￥20万)；II-中低风险(￥20万-￥40万)；III-中风险(￥40万-￥60万)；IV-中高风险(￥60万-￥100万)；V-高风险≥￥100万。

32、确定企业的风险评价模型。

在风险评估模块中，参照风险评估参考模块所提供的风险评价模型，根据企业所处的行业、数据库中风险信息和数据的丰富程度、企业高管及风险管理人员对风险的专业程度等因素，选择企业的风险评价模型。

比如：当企业拥有丰富的内部风险数据或外部风险数据，可选择情景分析法、趋势外推法、蒙特卡洛模型作为企业的风险评价模型。企业内部风险数据是记录企业的风险历史资料，包括风险事件的损失和潜在损失、造成损失的经营行为、被及时纠正没有造成损失的事件等；企业外部风险数据：包括公开上市公司数据、行业协会公布的数据、保险商数据、政府部门提供的数据、国外专业风险数据库等。

根据企业所属的行业，比如银行业、保险业等可采用比较成熟的VaR模型；大型工程、项目投资可以采取蒙特卡洛模型、决策树模型等。

如果企业高层或风险管理人员拥有一定的风险管理专业知识，可采用情景分析法、决策树分析法作为企业的风险评价模型。

33、采用基准比较法将相关信息与标准化风险管理方案进行比较，得到制度识别风险清单；制度识别风险清单用于指示企业制度的完善程度。

对步骤201采集的企业非数字化信息，采用定性分析的基准比较法，参照标准风险管理参考模块中的风险管理战略参考模块、规章制度参考模块、业务流程参考模块、风险控制参考模块、信息网络安全参考模块等，使用文本比较软件，根据是否具备以及完善程度，实行风险等级评定，确定制度识别风险清单，其结果进入风险评估模块。比如：100％完善(无风险)、80％-100％完善(I-低风险)，60％-80％完善(II-中低风险)、40％-60％完善(III-中风险)、20％-40％完善(IV-中高风险)、0-20％完善(V-高风险)。

34、将相关信息与预存的风险识别参考清单进行比较，得到初级识别风险清单。

企业可使用风险评估参考模块中的风险识别参考清单，比照各种风险点，根据自身生产经营管理是否涉及到该项风险予以选择,并对选择的风险项目使用定性分析法，填列可能性(频率)、损失程度、风险等级等形成企业的初级风险识别清单，其结果进入风险评估模块。

35、使用财务报表分析法对相关信息进行分析，得到特殊识别风险清单。

企业可选择使用风险评估参考模块中的财务报表分析法，导入前三年的资产负债表、损益表、现金流量表和其他附表等财务信息，选择趋势分析法、比例分析法、因素分析法、或杜邦分析法，通过对企业财务数据的分析来识别企业的风险事项，然后通过使用定性分析法，填列可能性(频率)、损失程度、风险等级等形成企业的特殊风险识别清单，其结果进入风险评估模块。

36、基于企业风险定义、制度识别风险清单、初级识别风险清单和特殊识别风险清单生成识别风险清单，识别风险清单包括风险类别、风险名称、风险描述、指标体系、可能性(频率)、损失程度和/或风险等级。

在风险评价模块中，系统通过合并步骤1企业确定的风险定义及排序、步骤3中确定的制度识别风险清单、步骤4中确定的初级识别风险清单，步骤5中确定的特殊识别风险清单，去掉重复项，调整确定最后的识别风险清单，该清单包括风险类别、风险名称、风险描述、指标体系、可能性(频率)、损失程度、风险等级等。

可选地，系统还可以对识别风险清单中的风险进行排序。具体地，使用风险评估模块中的风险排序模块，根据步骤6的结果，对识别风险清单中的风险根据风险等级的高低进行排序，选择优先风险项目(比如高风险、中高风险)。排序结果进入风险报告模块中的风险评估预警模块。

步骤205，根据评估结果提供风险预警、风险评估结果、对识别的风险进行跟踪、实施风险应对及执行情况的汇总。

可选地，参考图4，本步骤至少包括以下几个步骤：

41、设置风险预警参数。

在单变量预警模块中对企业风险排序模块中的高或/和较高风险项目，设定风险预警参数。可选用的方法有历史数据法、行业数据法、专家经验法、财务数据比例及趋势分析法、风险管理委员会打分法等。

42、对识别风险清单中可计量风险进行量化处理，得到可计量风险对应的新风险等级。

使用风险评估模块中的评价风险模块，对识别风险清单中的可计量风险进行量化处理，并综合衡量风险对实现企业目标的经济影响，其结果将根据企业风险等级设定的经济指标，形成新的风险等级，进入风险报告模块中的综合风险预警模块。识别风险清单中涉及到的企业组织、风险文化、规章制度等非量化风险，只需要继续保持其风险等级。

43、使用F预警模型或Z预警模型联动系统财务数据及生产经营数据，实时识别触发到预警参数的风险。

风险预警模块中的财务破产预警模块可选择F预警模型或Z预警模型。风险预警模块中的财务破产预警模块、单变量预警模块将联动系统财务数据及生产经营数据，实时识别触发到预警参数的风险。

44、识别的风险将通过企业内部网以邮件或短信方式提醒风险预警名单中设置的有关人员。

其中，风险预警名单预设在风险预警模块中，该风险预警名单包括企业提供的风险应对时间、风险预警频率、各类预警通知人员名单和/或通知方式。

风险预警将对以下情况提供实时预警：综合风险预警模块中识别的优先风险；财务破产预警模块使用F模型计算的F值小于0.0274，使用Z模型计算的Z值小于1.23时；单变量预警模块触发风险预警参数时。风险预警将对以下情况提供每月预警：综合风险预警模块中识别的中风险、较低风险、低风险时；财务破产预警模块使用Z模型计算的Z值在1.23-2.9之间时。

45、接收有关人员按照风险应对程序和流程采取风险管理措施后输入的风险报告。

其中，风险报告包括：风险名称、风险描述、风险级别、风险损失、发生时间、责任人员、风险管理措施、风险管理结果、完成时间、完成人员、业务负责人、监督人员等。

接到风险预警后，相关责任人或部门按照风险管理模块中的风险应对程序和流程采取风险管理措施，并在系统的风险报告模块中完成风险报告。风险报告包括风险名称、风险描述、风险级别、风险损失、发生时间、责任人员、风险管理措施、风险管理结果、完成时间、完成人员、业务负责人、监督人员等。风险报告进入风险报告模块。

可选地，在本步骤之后，系统还可以对风险报告中可量化项目进行量化检测；对于量化检测未达到预计目标的项目再次进行风险修正；对于量化检测达到预计目标的项目设定为完成状态。

风险监控部门/内部审计部门负责跟踪监督风险报告执行情况，检测风险管理措施实施情况与结果，对于可量化的项目，并再次使用风险评价模块对风险应对措施予以量化检测，对没有达到预计目标的项目将在系统中继续保持“未完成”状态，由相关责任人或部门重新进入风险应对模块落实风险修正；对已达到风险控制要求的在风险预警系统设定为“完成”状态以关闭该风险。风险报告进入风险数据库。

风险数据库由风险报告、稽核审计报告、历史上发生的风险事件、突发风险事件、被及时纠正没有造成损失的事件等组成的汇总数据，充实风险管理的数据库，作为选择风险评价模型、风险预警参数、修正风险识别清单的参考依据。包括风险名称、风险类别、责任单位、风险发生时间、风险描述、风险指标、风险级别、风险损失、风险应对措施、风险应对完成时间、完成部门/人员、风险绩效挂钩等。

董事会、高管对风险管理监督。董事会、高层管理可以通过系统浏览风险报告及稽核报告，了解风险管理的实施现状。

步骤206，根据所标准化风险管理方案完善风险管理机制。

系统参照标准风险管理模块，使用文本对比软件，对企业原有的风险管理模块中的内容进行对比，扑捉有关规章制度及关键风险点的缺失内容。企业可根据此结果在风险管理模块中予以补充完善。

完善后的企业风险管理模块在风险管理门户模块公布，供全体员工参考使用。

标准风险管理参考模块、风险评估参考模块将根据国际最新风险管理理论及工具的发展予以及时改进与更新，并通过互网络联动各企业的全面风险管理系统的相应模块。

企业的风险评估模块、风险管理模块、风险报告模块每年将根据标准风险管理参考模块、风险评估参考模块的变动及风险数据库的信息予以重新审阅与更新。

步骤207，展示企业经过风险管理流程后所完善的全面风险管理的信息与流程。

综上所述，本实施例提供的基于COSO内部控制框架的企业全面风险管理方法，通过采集企业的相关信息；基于COSO内部控制框架提供涵盖企业全部业务及流程的标准化风险管理方案；提供各类标准化的风险识别模型和风险评估模型；根据相关信息、风险识别模型和风险评估模型、以及标准化风险管理方案，对企业进行风险测评及量化分析；根据评估结果提供风险预警、风险评估结果、对识别的风险进行跟踪、实施风险应对及执行情况的汇总；根据所标准化风险管理方案完善风险管理机制；展示企业经过风险管理流程后所完善的全面风险管理的信息与流程；可以解决企业无法识别全面风险管理的薄弱点与缺陷的问题；由于提供了标准化的风险管理模块与流程作为参考，指导企业在较快时间内、以合理的成本构筑起涵盖全面风险管理的体系，从而达到实施整体性的全面风险管理战略解决方案。

相关细节参考上述装置实施例。

需要说明的是：上述实施例中提供的基于COSO内部控制框架的企业全面风险管理装置在进行基于COSO内部控制框架的企业全面风险管理时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将基于COSO内部控制框架的企业全面风险管理装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的基于COSO内部控制框架的企业全面风险管理装置与基于COSO内部控制框架的企业全面风险管理方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种基于COSO内部控制框架的企业全面风险管理系统，其特征在于，所述系统包括：

信息采集模块，用于采集企业的相关信息，所述相关信息包括用于反映所述企业现阶段有关企业战略、组织、经营和/或管理情况的信息；

标准风险管理参考模块，用于基于COSO内部控制框架提供涵盖所述企业全部业务及流程的标准化风险管理方案；

风险评估参考模块，用于提供各类标准化的风险识别模型和风险评估模型；

风险评估模块，用于根据所述相关信息、所述风险评估参考模块提供的所述风险识别模型和所述风险评估模型、以及所述标准风险管理参考模块提供的标准化风险管理方案，对所述企业进行风险测评及量化分析；

风险报告模块，用于根据风险评估模块的评估结果提供风险预警、风险评估结果、对识别的风险进行跟踪、实施风险应对及执行情况的汇总；

风险管理模块，用于根据所述标准风险管理参考模块提供的标准化风险管理方案完善风险管理机制；

风险管理门户模块，用于展示企业经过风险管理流程后所完善的全面风险管理的信息与流程。

2.根据权利要求1所述的系统，其特征在于，所述风险评估模块，包括：风险定义模块、识别风险模块、风险评价模块和风险排序模块；

所述风险定义模块，用于获取所述企业的风险定义、风险描述、风险指标、风险高低排序、可接受的风险绩效范围、风险等级及所代表的经济损失的定义；

所述识别风险模块，用于对风险源、风险事件、风险原因、及其潜在后果进行识别，形成识别风险清单；

所述风险排序模块，用于对所述识别风险清单中的风险按影响程度进行排序；

所述风险评价模块，用于对风险进行量化处理。

3.根据权利要求1所述的系统，其特征在于，所述风险报告模块，包括：风险预警模块和风险数据库；

所述风险预警模块，用于设置预警参数；选择预警模型；对触及所述预警参数的事件发出风险预警；

所述风险数据库，用于存储风险报告、稽核审计报告、历史上发生的风险事件、突发风险事件、被及时纠正没有造成损失的事件等组成的汇总数据；

其中，所述风险预警模块，包括：风险评估预警模块、财务破产预警模块和单变量预警模块；

所述风险评估预警模块，用于根据所述风险评估模块中的风险评价结果和排序进行预警；

所述财务破产预警模块，用于对所述企业是否面临财务失败或破产进行预警；

所述单变量预警模块，用于对所述企业的优先风险项目设定风险预警参数，对触及所述风险预警参数的事件发出风险预警。

4.根据权利要求1所述的系统，其特征在于，所述风险管理模块，包括：风险应对模块、内控管理模块、信息安全模块；

所述风险应对模块，用于提供对于风险事前、事中、事后有关风险处理流程及应对措施；

所述内控管理模块，用于提供全面的风险文化、健全风险管理体系文件、完善各项风险控制的规章制度、建立独立的风险控制机构与负责人、建立完善的风险程序控制、建立相应的风险控制指标体系；

所述信息安全模块，用于为所述企业建立信息和网络的安全环境；

其中，所述内控管理模块，包括：风险管理战略模块、规章制度模块、业务流程模块和风险控制模块；

所述风险管理战略模块，用于提供企业风险治理与文化、战略和目标设定信息的规范与查询；

所述规章制度模块，用于规范查询公司经营管理的各种规章制度；

所述业务流程模块，用于规范查询公司书面的各种业务流程；

所述风险控制模块，用于规范查询公司各种业务内部控制措施与流程。

5.根据权利要求1所述的系统，其特征在于，所述标准风险管理参考模块，包括：风险应对参考模块、内控管理参考模块和信息安全参考模块；

所述风险应对参考模块，用于提供对于风险事前、事中、事后有关风险处理流程及应对措施；

所述内控管理参考模块，用于提供建立全面的风险文化、健全风险管理体系文件、完善各项风险控制的规章制度；

所述信息安全参考模块，用于提供企业信息网络安全的措施及内部控制流程；

其中，所述内控管理参考模块，包括：风险管理战略参考模块、规章制度参考模块、业务管理参考模块和风险控制参考模块；

所述风险管理战略参考模块，用于提供企业风险治理与文化、战略和目标设定等标准措施与流程；

所述规章制度参考模块，用于提供企业经营管理的各种标准规章制度；

所述业务管理参考模块，用于提供企业运营中涉及到的各种标准业务流程；

所述风险控制参考模块，用于提供企业风险管理的措施及内部控制流程。

6.根据权利要求1所述的系统，其特征在于，所述风险管理门户模块包括：用户中心模块和支持中心模块；

所述用户中心模块，用于提供根据不同的角色权限登录不同模块的服务；

所述支持中心模块，用于提供系统相关的支持服务。

7.一种基于COSO内部控制框架的企业全面风险管理方法，其特征在于，所述方法包括：

采集企业的相关信息，所述相关信息包括用于反映所述企业现阶段有关企业战略、组织、经营和/或管理情况的信息；

基于COSO内部控制框架提供涵盖所述企业全部业务及流程的标准化风险管理方案；

提供各类标准化的风险识别模型和风险评估模型；

根据所述相关信息、所述风险识别模型和所述风险评估模型、以及所述标准化风险管理方案，对所述企业进行风险测评及量化分析；

根据评估结果提供风险预警、风险评估结果、对识别的风险进行跟踪、实施风险应对及执行情况的汇总；

根据所标准化风险管理方案完善风险管理机制；

展示企业经过风险管理流程后所完善的全面风险管理的信息与流程。

8.根据权利要求7所述的方法，其特征在于，所述根据所述相关信息、所述风险识别模型和所述风险评估模型、以及所述标准化风险管理方案，对所述企业进行风险测评及量化分析，包括：

获取企业风险定义；

确定企业的风险评价模型；

采用基准比较法将所述相关信息与所述标准化风险管理方案进行比较，得到制度识别风险清单；所述制度识别风险清单用于指示企业制度的完善程度；

将所述相关信息与预存的风险识别参考清单进行比较，得到初级识别风险清单；

使用财务报表分析法对所述相关信息进行分析，得到特殊识别风险清单；

基于所述企业风险定义、所述制度识别风险清单、所述初级识别风险清单和所述特殊识别风险清单生成识别风险清单，所述识别风险清单包括风险类别、风险名称、风险描述、指标体系、可能性(频率)、损失程度和/或风险等级。

9.根据权利要求8所述的方法，其特征在于，所述根据评估结果提供风险预警、风险评估结果、对识别的风险进行跟踪、实施风险应对及执行情况的汇总，包括：

设置风险预警参数；

对所述识别风险清单中可计量风险进行量化处理，得到所述可计量风险对应的新风险等级；

使用F预警模型或Z预警模型联动系统财务数据及生产经营数据，实时识别触发到预警参数的风险；

将识别的风险将通过企业内部网以邮件或短信方式提醒风险预警名单中设置的有关人员；

接收所述有关人员按照风险应对程序和流程采取风险管理措施后输入的风险报告；

其中，所述风险报告包括：风险名称、风险描述、风险级别、风险损失、发生时间、责任人员、风险管理措施、风险管理结果、完成时间、完成人员、业务负责人、监督人员等。

10.根据权利要求9所述的方法，其特征在于，所述方法还包括：

对所述风险报告中可量化项目进行量化检测；

对于量化检测未达到预计目标的项目再次进行风险修正；

对于量化检测达到预计目标的项目设定为完成状态。