论文关于企业风险管理框架的若干思考定稿.doc

关于企业风险管理框架的若干思考摘 要：2004年9月，COSO委员会正式颁布了新的COSO 报告：《企业风险管理——整合框架》在对此报告进行研 究的基础上，探讨了两方面的问题，一是企业风险管理与内 部控制的融合，二是内部审计与风险管理通过比较认为， 首先，企业风险管理与内部控制同样是一个程序，处于不断 的调整和变化之中.两者只有相互融合，才能实现最佳效果; 其次，对企业风险管理进行监督和评价是现代内部审计发展 的结果内部控制向风险管理领域扩展，对内部审计的发展 产生了深远影响，集中体现在风险基础内部审计的产生一、企业风险管理框架的提出2004年，美国Treadway委员会下属赞助委员会(COSO) 在内部控制框架概念的基础上，提出了企业风险管理 (Enterprise Risk Management, ERM)的概念,使内部控制 的研究发展到一个新的阶段COSO这样定义企业风险管理， 企业风险管理是一个过程，受企业董事会、管理当局和其他 员工的影响，包括内部控制及其在战略和整个公司的应 用.旨在为实现经营的效率和效果、财务报告的可靠性以及 现行法规的遵循提供合理保证COSO认为，ERM为公司董事 会提供了有关企业所面临的重要风险，以及如何进行风险管 理方面的信息，并进一步提出企业风险管理由内部环境、目 标设定、事件辨别、风险评估、风险反应、控制活动、信息 和交流以及监督等8个方面组成。

1. 内部环境(Internal Environment) o企业的内部环 境是其他所有风险管理要素的基础，为其他要素提供规则和 结构，也为ERM的其他组成因素提供了框架其中特别是管 理当局的风险偏好，决定了公司对可能出现的预料之外的事 件的态度，管理当局和董事会必须明确战略及其执行过程中 的风险和回报2. 目标设定(Objective Setting) o即管理层必须基于 目标来识别成功的潜在因素根据企业确定的任务或预期， 管理者制定企业的战略目标，选择战略并确定其他与之相关 的目标并在企业内层层分解和落实其中，其他相关目标是 指除战略目标之外的其他目标，其制定应与企业的战略相联 系管理者必须首先确定企业的目标才能够确定对目标的 实现有潜在影响的事项，而企业风险管理就是提供给企业管 理者一个适当的过程，既能够帮助制定企业的目标，又能够 将目标与企业的任务或预期联系在一起，并且保证制定的目 标与企业的风险偏好相一致3. 事件辨别(Event Identification) o在对企业目标、 战略和计划以及对企业所处的内部和外部环境都有深刻了 解的基础上，企业风险管理要求辨别可能对实现公司目标产 生负面影响的所有重要情况或事件，事件辨别的基础是将可 能的风险与环境进行对比。

这一步要求综合运用各种专业知 识，尽可能地了解企业当前或将来的环境和经营情况4. 风险评估(Risk Assessment) o 一般用可能性(概率) 和影响结果两个维度度量风险，前者是一定的负面影响事件 发生的可能性；后者是^5殳事件发生，对经营、财务寸艮告以 及战略产生影响的可能结果，潜在影响一般以对经营、数量、 金钱损失以及战略目标可能造成的损失进行计算风险评估 的过程中根据不同的情况，采用定性、定量以及相结合的方 法，若可以获取充足的数据，一般采用定量的评估方法；若 潜在的可能性及影响结果都较小，或者无法获得数据，则一 般采取定性的评估方法5. 风险反应(Risk Response) o企业对每一个重要的风 险及其对应的回报进行评价和平衡，结果取决于成本效益分 析以及企业的风险偏好而平衡的反应包括接受、规避或缓 和这些风险)后者又包括风险分离、风险转换或者减少(包 括通过控制活动)等形式风险反应是企业风险管理的整体 重要组成部分6. 控制活动(Control Activities) o控制活动是管理 当局设计的政策和程序,为执行特定的风险缓和反应提供合 理保证控制活动包括在整个组织中使用的批准、授权、注 销、确认、观察、查证以及对经营业绩复核、资产安全、职 责分离等方法。

7. 信息和交流(Information and Communication) o 风 险辨别、评估、反应和控制活动在组织的各个水平层次上产 生有关风险的信息)与财务信息一样)风险信息必须以一定 的形式和框架进行交流，使员工、管理层以及董事履行各自的责任风险评估的信息系统可以产生定期或“例外基础" 的时时报告，报告使用趋势指标、业绩矩阵及运营或财务成 果的形式，这些报告能够引导出及时的决策在公司层次， 必须对各种数据和信息流进行加工，形成关于公司风险组合 轮廓的统一观点，以利于交流通常存在自上而下式、平行 式和自下而上式三种有效的交流形式自上而下式是管理当 局向员工传递风险信息；平行式是部门之间的信息交流和传 递；自下而上式是一线员工向管理层汇报风险信息员工的 风险信息交流方面的意识是风险管理环境的重要组成部分， 应鼓励员工就其意识到的重要风险与管理层进行交流，管理 当局应当重视员工的意见8. 监督(Monitor) o与内部控制一样,企业应通过持续 的监督和独立的评价活动，监督企业风险管理的有效性持 续监督以日常经营中发生的事件和交易为对象，包括管理当 局和专门的监督人员的活动独立评价一般以定期检查计划 为基础，或者以日常监督中发现的意外为起点，由于在独立 调查、风险评估和报告方面具备能力、技巧和经验，内部审 计师是提供独立评价的合适人选。

二、企业风险管理与内部控制的融合自1992年美国COSO委员会提出《内部控制框架》报告 （简称COSO才艮告）以来，该内部控制框架已经被世界上许多 企业所采用，但理论界和实务界纷纷对内部控制框架提出一 些改进建议，强调内部控制框架的建立应与企业的风险管理 相结合新的企业风险管理框架就是在1992年的研究成果 ——《内部控制框架》报告的基础上，结合《SOX法案》在 报告方面的要求，进行扩展研究得到的通过比较，我们可 以发现，企业风险管理的定义采用了 1992年内部控制框架 定义的模式，认为企业风险管理与内部控制同样是一个程 序，它不是静态的，而是处于不断的调整和变化之中，以适 应组织环境的变化企业风险管理除包括内部控制的三个目标之外，还增加 了战略目标，并扩大了报告目标的范畴内部控制框架将企 业的目标分为经营的效率和效果、财务报告的可靠性和现行 法规的遵循企业风险管理框架也包含三个类似的目标，但 是比内部控制框架增加了一个目标 战略目标该目标的 层次比其他三个目标更高企业的风险管理在应用于实现企 业其他三类目标的过程中，也应用于企业的战略制定阶段另外，企业风险管理的8个要素除了包括内部控制的全部 5个要素之外，还增加了目标设定、事件辨别和风险反应三 个要素，由于对象不同，风险管理更加针对组织面临的“风 险”，增加这三个要素，拓展了概念的深度和广度。

因此， 风险管理框架建立在内部控制框架的基础上，内部控制框架 则是企业风险管理必不可少的一部分内部控制与风险管理的融合很早就引发了人们的关注， 经过长期的争论和实践，人们对二者关系的认识不断深化， 逐渐认识到将两者关系隔离的分析方法是不可取的，内部控 制与风险管理只有相融合，才能实现最佳效果COSO企业风 险管理概念的提出，将风险管理与内部控制的融合大大地向 前推动了 一步，这种融合必将极大地推进内部控制和内部审 计的发展三、风险管理对内部审计的影响内部控制向风险管理领域扩展，对内部审计的发展产生 了深远影响，这种影响集中体现在风险基础内部审计的产 生由于各国实务各不相同，尚未形成统一的最佳做法，国 际内部审计师协会目前还没有标准的风险基础审计定义， IIA的职业问题委员会认为，风险基础审计关注的焦点是组 织对所面临影响其目标实现的风险作出的反应，与其他形式 的审计不同，这种审计的出发点是风险，而非控制，其目的 在于为风险管理提供独立保证，并在必要时加以引导和改 进，审计业务的范围和优先次序应由组织所面临的风险所决 定风险基础内部审计的特征可以总结为以下几点: 第一，风险基础内部审计不仅关注风险管理，同时也是风险管理的重要组成部分。

公司针对风险管理功能，设立一 个分部，配置一位风险经理，内部审计人员建立风险评估模 式，内部审计工作成为企业风险管理的一个组成部分，整个 审计工作根植于以未来为导向的风险分析第二，内部审计的方法不再是强调确认和测试控制的完 整性，而是强调确认经营风险并测试这些风险是否得到有效 管理，由交易事项和对政策的遵循，转变为对目标、战略和 风险管理程序的关注，“控制是否适当且有效”虽然仍被关 注，但已不是关键第三，内部审计的反应方式不再是反应式的、事后的、 不连续的监控，从以交易为基础转变为以过程为基础，对组 织战略计划的创新也由观察者转变为参与者第四，内部审计在组织中扮演的角色不再是独立的评价 者，更是风险管理与公司治理的集合者，内部审计人员应就 战略规划、企业并购、合资经营、战略联盟及环境保护等重 大问题，及时、客观、独立地提供咨询最后，内部审计的建议不再是强化控制、强调成本效益 配比以及提高控制的效率和效果，而是风险规避、风险转移 和风险控制，通过有效的风险管理提高组织整体管理的效率 和效果。