COSO中央企业全面风险管理

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,62,1,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,COSO,风险管理框架,清华大学会计研究所 陈武朝副教授,：62772083,Email：,2021年9月,主要内容,COSO ERM框架,实施风险管理要点,内控与企业风险管理的关系,?中央企业全面风险管理指引?,COSO ERM框架,COSO认为，内部控制是风险管理的一局部。,在?内部控制-整体框架?的根底上,COSO于2003年出台了?企业风险管理框架? 征求意见稿，并于2004年9月正式发布。,COSO ERM框架续,企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于整个企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量风险承受范围之内，并为主体目标的实现提供合理保证。,COSO ERM框架续,企业风险管理框架,COSO ERM,COSO ERM框架续,怎样理解该定义？企业风险管理是：,一个过程，它持续地流动于主体之内；,由组织中各个层级的人员实施；,应用于战略制订；,贯穿于企业，在各个层级和单元应用，,还包括采取主体层级的风险组合观,；,旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内；,能够向一个主体的管理当局和董事会提供合理保证；,力求实现一个或多个不同类型但相互交叉的目标。,COSO ERM框架续,目标的实现,在主体既定的使命或愿景范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的以下四种类型的目标：,战略strategic目标高层次目标，与使命相关联并支撑其使命；,经营operations目标有效和高效率地利用其资源；,报告reporting目标报告的可靠性；,合规compliance目标符适宜用的法律和法规。,COSO ERM框架续,企业风险管理的构成要素,内部环境Internal Environment,内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了根底，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。,建立一套与风险管理相关的理念。它认为，意外事项与预期事项都可能发生。,建立企业风险文化。,考虑组织行为如何影响其风险文化的一切其它方面。,目标设定Objective Setting,必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。,在目标设定中，应用于管理层考虑风险策略的时候,制定公司的风险承受能力从高层面观察，管理层和董事会愿意接受多大的风险,风险容忍度, 目标相关变量的可接受水平，与风险承受能力一致。,COSO ERM框架续,事项识别Event Identification),必须识别影响主体目标实现的内部和外部事项，区分风险和时机。时机被反响到管理当局的战略或目标制订过程中。,风险评估(Risk Assessment),通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。,一个事项是指可能影响战略执行或目标实现的一个事件或发生的事情。,区分风险与机遇,风险是一个事项发生，并对目标实现产生负面影响的可能性。,可能有积极影响的事项，代表正常抵消或机遇。,风险衡量采用与相关目标相同的衡量单位。,时间区间已指定，并与目标一致。,COSO ERM框架续,风险应对(Risk Response),管理当局选择风险应对回避、承受、降低或者分担风险采取一系列行动以便把风险控制在主体的风险容限risk tolerance和风险容量以内。,控制活动(Control Activities),制订和执行政策与程序以帮助确保风险应对得以有效实施。,信息与沟通(Information & Communication),相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。,监控(Monitoring),对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。,COSO ERM框架续,注意：,企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一个构成要素都能够、也确实会影响其他构成要素。,COSO ERM框架续,有效性,认定一个主体的企业风险管理是否“有效，是在对八个构成要素是否存在和有效运行进行评估的根底之上所作的判断。因此，构成要素也是判定企业风险管理有效性的标准。,构成要素如果存在并且正常运行，那么就可能没有重大缺陷，而风险那么可能已经被控制在主体的风险容量范围之内。,如果确定企业风险管理在所有四类目标上都是有效的，那么董事会和管理当局就可以合理保证他们了解主体实现其战略和经营目标、主体的报告可靠以及符适宜用的法律和法规的程度。,八个构成要素在每个主体中的运行并不是千篇一律的。例如，在中小规模主体中的应用可能不太正式，不太健全。尽管如此，当八个构成要素存在且正常运行时，小规模主体依然会拥有有效的企业风险管理。,COSO ERM框架续,局限,尽管企业风险管理带来了重要的好处， 但是仍然存在着局限。除了前面讨论过的因素之外，局限还导源于以下现实：,人类在决策过程中的判断可能有纰漏，,有关应对风险和建立控制的决策需要考虑相关的本钱和效益，,类似简单误差或错误的个人缺失可能会导致故障的发生，,控制可能会因为两个或多个人员的串通而被躲避，以及,管理当局有能力凌驾于企业风险管理决策之上。,这些局限使得董事会和管理当局不可能就主体目标的实现形成绝对的保证。,COSO ERM框架续,涵盖内部控制,内部控制是企业风险管理不可分割的一局部。,企业风险管理框架涵盖了内部控制，从而构建了一个更强有力的概念和管理工具。,内部控制是在?内部控制整合框架?中加以定义和描述的。由于该框架经受了时间的考验，并且成为现行规那么、法规和法律的根底，因此?内部控制整合框架?对内部控制的定义和框架依然有效。尽管?内部控制整合框架?的正文中只有一局部被该框架所引用，但是ERM通过参考的方式把该框架整体融合了进来。,COSO ERM框架续,职能与责任,主体中的每个人都对企业风险管理负有一定的责任。,CEO负有首要责任，并且应当假设其拥有所有权。,其他管理人员支持主体的风险管理理念，促使符合其风险容量，并在各自的责任范围内依据风险容限去管理风险。,风险官、财务官、内部审计师等通常负有关键的支持责任。,主体中的其他人员负责按照既定的指引和规程去实施企业风险管理。,董事会对企业风险管理提供重要的监督，并觉察和认同主体的风险容量。,很多外部方面，例如顾客、卖主、商业伙伴、外部审计师、监管者和财务分析师常常提供影响企业风险管理的有用信息，但是他们不但不对主体的企业风险管理的有效性承担任何责任，而且也不是它的组成局部。,COSO ERM框架续,比内控的概念更广,对公司管理至关重要,目标范围更宽，为战略提供反响,风险管理方法更稳健,COSO ERM框架续,企业风险管理的关键观念,以组合观点评价风险。,管理层,与董事会协商,必须树立广义的风险承受能力。,侧重平衡价值、增长与风险,COSO ERM框架续,怎么办？,更广的风险观：,一个公司目前的风险比以前所有风险都高。,我们不会因为以前做的决定来评估目前的情况。,风险可能就在我们的决策框架和鼓励机制中。,必须关注外部环境,风险讨论必须上升到董事会层面,COSO ERM框架续,提高风险意识,内控,扩展到财务报告讨论层面以上。,不能在不了解风险的情况下讨论控制。,必须考虑外部环境：,环境变化,可持续性,竞争性行为,潜在竞争性行为,COSO ERM框架续,提升风险管理,必须采用正确的衡量标准,外部：美国和欧洲正开展为更加知识化的经济,公司的投资方向在哪里？,怎样衡量风险？,怎样将这些与现有会计方法做比照？,COSO ERM框架续,最新的观点,内控工作结合风险管理，对实现公司的经营目标十分重要；,在评估公司如何实施风险管理方面，需要公司董事会的参与，并发说明确的意见；,建议将内控纳入公司正常管理和治理流程中，建议不要将内控看作独立的监管工作。,COSO ERM框架续,企业风险管理是两个框架中最稳健的，但从开始就要求做更多的工作。,企业风险管理能够，并应该融入公司文化中。这将带来很大的本钱效益。,COSO ERM框架续,以目标为起点,应用于各级组织的活动中,八个要素,事项和风险,风险承受能力和风险容忍度,组合模型,根底方面,关键概念,实施全面风险管理要点,组织设计,建立一个全面风险管理的组织,实施风险评价,确定总体风险容量 risk appetite ,确定风险相应 risk responses ,沟通风险结果,监控 Monitoring ,管理层监督 Oversight 与定期复核,实施全面风险管理要点续,组织设计,企业战略,关键目标,使得企业到达？关键目标的相关目标,对组织单位及其负责人的职责分配,实施全面风险管理要点续,例：,使命,提供高质量的、可得到的、可承担的社区医疗效劳,战略目标,成为中等规模城市的第一或第二大能的所有医疗效劳提供者,相关目标,与10个经营状况不佳的医院负责人对话，年内与其中两个医院达成协议,实施全面风险管理要点续,2.,建立一个全面风险管理的组织,确定风险哲学,调查风险文化,考虑组织的道德价值观,决定角色与责任,例：全面风险管理组织架构,风险管理官员,(ERM Director),副总或首席风险官CRO,公司信用风险经理,(Corporate Credit Risk Manager),保险风险经理,Insurance Risk Manager,风险经理,ERM Manager,风险经理,ERM Manager,职员,职员,职员,社区风险,管理官员,实施全面风险管理要点续,3.实施风险评价,风险评价是识别、分析达成目标所面临的风险。这是管理风险的根底,例：,环境风险,资本筹集,监管、政治、法律,金融市场、股东关系,流程风险,运营风险,授权风险,信息处理/技术风险,完整性风险,财务风险,决策所需信息,运营风险,财务风险,战略风险,Source: Business Risk Assessment. 1998 The Institute of Internal Auditors,控制,分担或转移,分散或规避,风险管理,流程层面,业务活动层面,公司层面,风险监控,识别,计量,排序,风险评价,风险分析,实施全面风险管理要点续,4.确定总体风险容量 risk appetite ,应采用定性或定量术语如，对利润的影响，对声誉的影响，并考虑风险容限 risk tolerance 。,关键问题：,组织无法接受哪些风险？,如，环境或效劳质量打折,组织拟主动承受哪些风险？,如新业务,组织出于竞争性目标拟接收哪些风险？,如毛利或市场份额,实施全面风险管理要点续,5.确定风险响应 risk responses ,量化风险敞口,组织的选择,承担=监控,躲避=减少,减少对冲=组织控制,分担=与合作者分担风险，如买保险,风险影响与发生可能性,控制,(,Control,),分担Share),监控与控制,(,Mitigate & Control,),承担(Accept),高风险,中等风险,中等风险,低风险,低,高,高,影响,可能性,风险影响与发生可能性,-,客服中心风险评价,会计分录出错,设备过时,相同问题不断反映,掉线,计算机丧失,信用风险,客户等待时间长,客户不能打通,客户问题得不到答复,舞弊,失去交易,员工士气,高风险,中等风险,中等风险,低风险,低,高,高,影响,可能性,控制,风险,控制,目标,活动,完整性重大交易复核已记录账面 未记录,债务 结账后将发票与账面负,债相互核对,例,:,应付账款处理,实施全面风险管理要点续,6.,沟通风险结果,表：列出风险及风险响应,流程图：说明关键控制点,文字说明：目标以及相应的运营风险以及风险响应,列表：被监控的关键控制,管理层应理解关键业务的风险责任及其分派,7.,监控,收集信息,进行分析,风险被恰当地识别,控制活动恰当地发挥作用以减小风险,实施全面风险管理要点续,8.管理层监督与定期复核,管理层对风险管理具有受托责任 Accountability ,及时更新,业务目标变化时,系统变化时,流程变化时,内控与企业风险管理的关系,有效的内控,财务报告,Set OBJECTIVES,识别威胁目标实现的风险,执行有效的,控制环境,，作为防范风险的第一防线,设计并执行有效的,控制活动,，以解决风险,开展有效的,信息与沟通,，以协助组织实现其目标,建立有效控制之后，开展,监控,活动，以保证控制继续有效运行。,事项识别,风险评估,风险应对,设定目标,内控与企业风险管理的关系续,内控框架,企业风险管理框架,?中央企业全面风险管理指引?,为指导 国资委履行出资人职责的企业(即中央企业)开展全面风险管理工作，增强企业竞争力，提高投资回报，促进企业持续、健康、稳定开展，根据?中华人民共和国公司法?、?企业国有资产监督管理暂行条例?等法律法规，国资委制定了该指引。,?中央企业全面风险管理指引?,?指引?的主要内容,中央企业开展全面风险管理工作的总体原那么,根本流程,风险评估,风险管理策略,风险管理解决方案,监督与改进,组织体系,风险管理信息系统,风险管理文化,培训,?中央企业全面风险管理指引?,企业风险的定义,指未来的不确定性对企业实现其经营目标的影响。,一般可分为,战略风险,财务风险,市场风险,运营风险,法律风险等,以能否为企业带来盈利等时机为标志，可以分为,纯粹风险(只有带来损失一种可能性),时机风险(带来损失和盈利的可能性并存),?中央企业全面风险管理指引?(续),全面风险管理的定义,指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的根本流程，培育良好的风险管理文化，建立健全全面风险管理体系，从而为实现风险管理的总体目标提供合理保证的过程和方法。包括,风险管理策略,风险理财措施,风险管理的组织职能体系,风险管理信息系统,内部控制系统,?中央企业全面风险管理指引?(续),风险管理根本流程,包括,收集风险管理初始信息,进行风险评估,制定风险管理策略,提出和实施风险管理解决方案,风险管理的监督与改进,?中央企业全面风险管理指引?(续),风险管理总体目标,确保将风险控制在与总体目标相适应并可承受的范围内；,确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；,确保遵守有关法律法规；,确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；,确保企业建立针对各项重大风险发生后的危机处理方案，保护企业不因灾害性风险或人为失误而遭受重大损失,?中央企业全面风险管理指引?(续),建立健全全面风险管理体系的思路,企业应本着从实际出发，务求实效的原那么，以对重大风险、重大事件(指重大风险发生后的事实)的管理和重要流程的内部控制为重点，积极开展全面风险管理工作。,具备条件的企业应全面推进，尽快建立全面风险管理体系；,其他企业应制定开展全面风险管理的总体规划，分步实施，可先选择开展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、平安生产、应收账款管理等一项或多项业务开展风险管理工作，建立单项或多项内部控制子系统。,企业开展全面风险管理工作应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线：,各有关职能部门和业务单位为第一道防线；,风险管理职能部门和董事会下设的风险管理委员会为第二道防线；,内部审计部门和董事会下设的审计委员会为第三道防线。,?中央企业全面风险管理指引?(续),风险管理初始信息,企业应广泛、持续不断地收集与本企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位。,针对不同类型的风险，企业应搜集不同的信息。,?中央企业全面风险管理指引?(续),风险评估,包括：,风险辨识,指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。,风险分析,对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的上下、风险发生的条件,风险评价,评估风险对企业实现目标的影响程度、风险的价值等,定性与定量方法相结合,定性方法问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等。,定量方法用统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等,?中央企业全面风险管理指引?(续),定量方法一,评分,1,2,3,4,5,定量方法二,一定时期发生,的概率,10%,以下,10% - 30%,30% - 70%,70% - 90%,90%,以上,定,性,方,法,文字描述一,极低,低,中等,高,极高,文字描述二,一般情况下不会发生,极少情况下才发生,某些情况下发生,较多情况下发生,常常会发生,文字描述三,今后,10,年内发生的可能少于,1,次,今后,5,10,年内可能发生,1,次,今后,2,5,年内可能发生,1,次,今后,1,年内可能发生,1,次,今后,1,年内至少发生,1,次,?中央企业全面风险管理指引?(续),适,用,于,所,有,行,业,定量方法一,评分,1,2,3,4,5,定量方法二,企业财务损失占税前利润的百分比,(%,）,1%,以下,1%-5%,6%-10%,11%-20%,20%,以上,定性方法,文字描述一,极轻微的,轻微的,中等的,重大的,灾难性的,文字描述二,极低,低,中等,高,极高,文,字,描,述,三,企业日常运行,不受影响,轻度影响,(,造成轻微的人身伤害，情况立刻受到控制,),中度影响,(,造成一定人身伤害，需要医疗救援，情况需要外部支持才能得到控制,),严重影响,(,企业失去一些业务能力，造成严重人身伤害，情况失控，但无致命影响,),重大影响,(,重大业务失误，造成重大人身伤亡，情况失控，给企业致命影响,),财务损失,较低的财务损失,轻微的财务损失,中等的财务损失,重大的财务损失,极大的财务损失,企业声誉,负面消息在企业内部流传，企业声誉没有受损,负面消息在当地局部流传，对企业声誉造成轻微损害,负面消息在某区域流传，对企业声誉造成中等损害,负面消息在全国各地流传，对企业声誉造成重大损害,负面消息流传世界各地，政府或监管机构进行调查，引起公众关注，对企业声誉造成无法弥补的损害,?中央企业全面风险管理指引?(续),适,用,于,开,采,业,、,制,造,业,定量方法一,评分,1,2,3,4,5,定,性,与,定,量,结,合,安 全,短暂影响职工或公民的健康,严重影响一位职工或公民健康,严重影响多位职工或公民健康,导致一位职工或公民死亡,引致多位职工或公民死亡,营 运,-,对营运影响微弱,-,在时间、人力或成本方面不超出预算,1%,-,对营运影响轻微,-,受到监管者责难,-,在时间、人力或成本方面超出预算,1%-5%,-,减慢营业运作,-,受到法规惩罚或被罚款等,-,在时间、人力或成本方面超出预算,6%-10%,-,无法达到部分营运目标或关键业绩指标,-,受到监管者的限制,-,在时间、人力或成本方面超出预算,11%-20%,-,无法达到所有的营运目标或关键业绩指标,-,违规操作使业务受到中止,-,时间、人力或成本方面超出预算,20%,环 境,-,对环境或社会造成短暂的影响,-,可不采取行动,-,对环境或社会造成一定的影响,-,应通知政府有关部门,-,对环境造成中等影响,-,需一定时间才能恢复,-,出现个别投诉事件,-,应执行一定程度的补救措施,-,造成主要环境損害,-,需要相当长的时间来恢复,-,大规模的公众投诉,-,应执行重大的补救措施,-,无法弥补的灾难性环境損害,-,激起公众的愤怒,-,潜在的大规模的公众法律投诉,?中央企业全面风险管理指引?(续),对风险发生可能性的上下和风险对目标影响程度进行定性或定量评估后，依据评估结果绘制风险坐标图。,?中央企业全面风险管理指引?(续),绘制风险坐标图的目的在于对多项风险进行直观的比较，从而确定各风险管理的优先顺序和策略。如：某公司绘制了如下风险坐标图，并将该图划分为A、B、C三个区域，公司决定承担A区域中的各项风险且不再增加控制措施；严格控制B区域中的各项风险且专门补充制定各项控制措施；确保躲避和转移C区域中的各项风险且优先安排实施各项防范措施。,?中央企业全面风险管理指引?(续),关键风险指标管理,关键风险指标管理是对引起风险事件发生的关键成因指标进行管理的方法。具体操作步骤：,1分析风险成因，从中找出关键成因。,2将关键成因量化，确定其度量，分析确定导致风险事件发生或极有可能发生时该成因的具体数值。,3以该具体数值为根底，以发出风险预警信息为目的，加上或减去一定数值后形成新的数值，该数值即为关键风险指标。,4建立风险预警系统，即当关键成因数值到达关键风险指标时，发出风险预警信息。,5制定出现风险预警信息时应采取的风险控制措施。,6跟踪监测关键成因数值的变化，一旦出现预警，即实施风险控制措施。,?中央企业全面风险管理指引?(续),压力测试,指在极端情景下，分析评估风险管理模型或内控流程的有效性，发现问题，制定改进措施的方法，目的是防止出现重大损失事件。具体操作步骤：,1针对某一风险管理模型或内控流程，假设可能会发生哪些极端情景。,2评估极端情景发生时，该风险管理模型或内控流程是否有效，并分析对目标可能造成的损失。,3制定相应措施，进一步修改和完善风险管理模型或内控流程。,?中央企业全面风险管理指引?(续),风险管理策略,指企业根据自身条件和外部环境，围绕企业开展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原那么。 一般情况下，,对战略、财务、运营和法律风险风险承担、风险躲避、风险转换、风险控制等方法。,对能够通过保险、期货、对冲等金融手段进行理财的风险风险转移、风险对冲、风险补偿等方法。,?中央企业全面风险管理指引?(续),风险管理解决方案,方案一般应包括,风险解决的具体目标，,所需的组织领导，,所涉及的管理及业务流程，,所需的条件、手段等资源，,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具,(,如：关键风险指标管理、损失事件管理等,),。,?中央企业全面风险管理指引?(续),风险管理解决方案,风险管理解决的外包方案,应注重,本钱与收益的平衡,外包工作的质量,自身商业秘密的保护,防止自身对风险解决外包产生依赖性风险,风险解决的内控方案,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原那么，,针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；,对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。,?中央企业全面风险管理指引?(续),风险管理的监督与改进,采用压力测试、返回测试、穿行测试以及风险控制自我评估等方法对风险管理的有效性进行检验，根据变化情况和存在的缺陷及时加以改进。,内部审计部门应至少每年一次对包括风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展风险管理工作及其工作效果进行监督评价，监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会。,外包企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业全面风险管理工作进行评价，出具风险管理评估和建议专项报告。,?中央企业全面风险管理指引?(续),风险管理组织体系,国有独资公司和国有控股公司应建立外部董事、独立董事制度。,董事会就全面风险管理工作的有效性对股东大会负责。,具备条件的企业，董事会可下设风险管理委员会。风险管理委员会对董事会负责，,企业总经理对全面风险管理工作的有效性向董事会负责。,企业应设立专职部门或确定相关职能部门履行全面风险管理的职责。,企业应在董事会下设立审计委员会，企业内部审计部门对审计委员会负责。,?中央企业全面风险管理指引?(续),风险管理信息系统,企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理根本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等,?中央企业全面风险管理指引?(续),风险管理文化,企业应注重建立具有风险意识的企业文化,风险管理文化建设应融入企业文化建设全过程,企业应在内部各个层面营造风险管理文化气氛,企业应大力加强员工法律素质教育，制定员工道德诚信准那么，形成人人讲道德诚信、合法合规经营的风险管理文化,