企业风险管理整合框架实现路径

提要：在国际国内企业频频出现风险管 理问题的背景下，首先阐述内部控制的内涵范 畴，然后介绍内部控制发展历程，以及全面风 险管理内部控制的各个要素组成，最后分析如 何实现企业风险管理的整合框架思路.
    关键词：内部控制；路径；风险管理

    近年来，国际上一些著名企业相继爆出丑 闻，造成极其严重的后果。我国企业也为内部 控制和风险管理的缺失付出了惨痛的代价，如 国内著名企业中发生的中航油（新加坡）公司 破产倒闭事件以及中行、农行、兴业、浦发等银 行巨额虚假贷款、大额资金失踪等舞弊案频频 曝光。究其原因，内部控制存在缺陷是导致企 业不能及时发现和有效控制经营风险，并最终 铤而走险、欺骗社会公众和投资者的重要原 因。在对这些财务舞弊和经营管理失败案例进 行反思后，人们逐渐认识到“有控则强、失控 则弱、无控则乱”的道理，控制失灵难以使事业 持久、基业常青。建立完善的且行之有效的企 业内部控制机制已成为企业的当务之急.
    一、内部控制的内涵 人们对内部控制的定义经历了从简单到 复杂、从静态到动态、从以制度为本到以人为 本的一种逻辑演绎，体现了人们对内部控制认 识的逐渐深化，加深了人们对内部控制的进一 步理解，从而使人们对内部控制这一客观事物 的认识更能贴近事物的本原。所谓内部控制， 是由企业建立的，通过约束和激励等手段，以 保障企业各利益相关者的行为能够按契约的 要求进行，并能够促使契约自我优化的一种系 统化的机制，其目的是为了实现企业目标.
    二、内部控制发展历程 对内部控制的认识，经历了一个逐渐发展 的过程。美国的内部控制经历了从内部牵制到 二要素法、三要素法到五要素法，日趋完整和 深入，最终发展为全面风险管理框架模式.
    1、内部牵制。内部控制的最初形式是内部 牵制，内部牵制以账目间的相互核对为主要内 容，并实施岗位分离，内部牵制机制在减少错 误和舞弊行为上起到了十分重要的作用.
    2、二要素法。随着经济的发展和企业组织 规模的扩大，人们发现内部牵制已经越来越不 能适应大型企业需要，因此对内部控制的研究 也越发深入，美国注册会计师协会的审计程序 委员会于1958年10月发布的《审计程序公告 第29号》将内部控制划分为会计控制和管理 控制，内部控制划分为二要素形式.
    3、三要素法。1988年美国注册会计师协 会的审计准则委员会发布《审计准则公告第 55号》，该公告以“内部控制结构”代替“内部 控制制度”，具体包括三个要素：控制环境、会 计制度、控制程序.
    4、五要素法。1996年美国注册会计师协 会发布《审计准则公告第78号》，全面接受 COSO报告的内容，新准则将内部控制定义为： “由一个企业的董事会、管理层和其他人员实 现的过程，旨在为下列目标提供合理保证：财 务报告的可靠性、经营的效果和效率以及符合 适用的法律和法规”。该准则将内部控制划分 为五种要素：控制环境、风险评估、控制活动、 信息与沟通、监控.
    5、全面风险管理框架。2003年7月美国 COSO委员会颁布了企业风险管理框架的讨论 稿，并于2004年4月颁布正式稿。将企业风险 管理的构成分为内部环境、目标制定、事项识 别、风险评估、风险反应、控制活动、信息和沟 通、监控等八个相互关联的要素，各要素贯穿 在企业的管理过程之中.
    三、企业风险管理整合框架的诸要素构成 1、内部环境。内部环境是企业风险管理其 他构成要素的基础，为其他要素提供约束和结 构。它影响着战略和目标的制定、经营活动的 组织以及风险的识别、评估和应对，它还影响 着控制活动、信息与沟通体系以及监控措施的 设计与运行。内部环境受企业历史和文化的影 响，包含许多要素，包括风险管理理念、风险容 量、董事会监督、主体中人员的诚信、道德价值 观和胜任能力以及管理者分配权力和职责、组 织员工的方式.
    所有这些要素都很重要，但对每个要素的 强调程度会因企业而异。然而，董事会是内部 环境的一个关键部分，它对其他的内部环境要 素有重大影响。因为董事会对管理者独立性、 经验、才干、敬业等方面的监督与审查，对企业 来说至关重要。要想使内部环境有效，董事会 中的独立外部董事必须至少占多数.
    内部环境的另一关键要素是企业的风险 管理理念。一个企业的风险管理理念是一整套 共同的信念和态度，它决定着该企业在做任何 事情（从战略制定和执行到日常经营活动）时 如何考虑风险.
    2、目标设定。企业在既定的任务和背景 下，制定战略目标、选择战略，并制定相关目 标，将其细分至企业的方方面面，与战略保持 一致并相联系。企业必须先有目标，管理者才 能识别影响它们实现的潜在事项。企业风险管 理确保管理当局采取恰当的程序去设定目标， 确保所设定的目标支持和切合该企业的使命， 并与它的风险容量或风险容限一致.
    3、事件识别。管理当局必须识别可能对企 业产生影响的潜在事项。潜在事项具有负面的 或正面的影响，或两者兼而有之。具有潜在负 面影响的代表风险，管理者要对之进行评估和 做出反应。相应地，风险被定义为事项发生并 对目标实现产生不利影响的可能性。具有潜在 正面影响的事项代表机会。代表机会的事项引 导管理者制定战略和相关目标，以便采取行动 抓住机会.
    4、风险评估。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角 度对事项进行评估：可能性和影响，并且通常 采用定性和定量相结合的方法。在不要求定量 化的地方，或者在定量评估所需的可靠数据无 法取得或获取和分析数据不具有成本效益时， 管理者通常采用定性评估技术。定量技术精确 度更高，通常应用在更加复杂的活动中，以对 定性技术进行补充。评估风险时既要考虑固有 风险，也要考虑剩余风险。固有风险是管理当 局没有采取任何措施来改变风险的可能性或 影响的情况下，一个企业所面临的风险。剩余 风险是在管理当局应对风险后所残余的风险.
    5、风险应对。在评估相关风险以后，管理 者就要确定如何应对风险。风险应对有四种类 型：回避，即退出会产生风险的活动；降低，即 采取措施降低风险的可能性或影响，或者同时 降低二者；分担，即通过转移的方式来降低风 险的可能性或影响，或者分担一部分风险，如 购买保险产品、外包一项业务活动；承受，即不 采取任何措施去改变风险的可能性或影响.
    6、控制活动。控制活动是帮助管理当局实 施风险应对方案的政策和程序。控制活动贯穿 于整个组织，遍及各个层级和各个职能机构.
    它们包括一系列不同的活动，例如批准、授权、 验证、调节、经营业绩评价、资产安全以及职责 分离。控制活动一般包括两个要素：确定应该 做什么样的政策，以及如何执行政策的程序.