企业风险管理整合框架实现路径

   此外，由于信息系统在企业经营和报告及合规 目标方面具有重要影响，因此需要对重要的系 统进行控制。对重要的信息系统的控制主要有 两类活动：一般控制和应用控制.
    7、信息与沟通。组织中的各个层级都需要 信息，以识别、评估和应对风险。信息可以来自 内部，也可以来自外部；可以以定量的形式出 现，也可以以定性的形式出现。可以是财务的， 也可以是非财务的。管理者面临的一项挑战便 是处理和提炼大量的数据以形成可参考的信 息。这项挑战可以通过建立一套信息系统来解 决；另一项挑战是信息的质量问题，例如内容 是否恰当、信息是否及时、是否准确等。这可以 通过建立整个企业范围的数据管理程序（包括 对相关信息的获取、维护和分配）来解决.
    信息是需要沟通传递的，沟通包括企业内 部沟通和外部沟通。有效的内部沟通会出现在 组织中向下、平行和向上的流动。例如，全部员 工从高层管理者那里收到一个清楚的信息：必 须认真担负起企业风险管理的责任。他们了解 自己在企业风险管理中的职责以及个人的活 动与其他员工工作间的关系。同时，他们也必 须具有同级间沟通和向
上沟通重要信息的有 效方式。除了内部沟通，企业还需要外部沟通.
    例如，通过有效的外部沟通，客户和供应商能 够提供与产品或服务的设计和质量有关的重 要信息，从而使企业能够不断关注客户需求或 偏好的变化.
    8、监控。企业风险管理的监控是指随时对 其构成要素的存在和运行进行评估，必要时加 以修正。企业曾经适当的风险应对可能会变得 不适用；控制活动可能会变得不太有效，或者 不再被执行；企业的目标也可能发生变化。面 对这些变化，管理当局就需要确定企业风险管 理的运行是否持续有效，他们所依赖的措施便 是监控.
    监控可以以持续监控活动或者个别评价 两种方式进行。持续监控建立在企业正常的、 重复发生的活动之上，一般由直线式的经营管 理人员或职能式的辅助管理人员来执行；个别 评价的范围和频率主要取决于对风险的评估 和持续监控程序的有效程度。此外，监控包括 内部监控和外部监控两方面，企业要将他们所 评价出的企业风险管理缺陷和提供的有关风 险管理的重要信息向上报告，严重的问题还需 报告给高层管理人员和董事会.
    四、企业风险整合框架实现路径分析 1、内部控制环境方面。控制环境的定义是 五个要素中最重要的因素，控制环境确定了管 理层的基调，并影响人们的控制意识。这是所 有其他内控要素的基础，提供了规则和结构.
    其基本原则包括：（1）健全的道德观和诚信的 文化。组织应具有明确的价值观，监控各项活 动，并采取措施；（2）有效而独立的董事会。应 建立独立而有效的监督机制。独立而有效的监 督，可以是来自于公司外部的机构或个人，也 可能来自于公司的拥有者；（3）管理层的运行 方式促进良好的控制。管理层应设定目标，并 为各项活动设定一个基调；（4）权限和责任的 分配与财务报表的目标是一致的。权限和责任 的分配是从董事会和财务总监开始的；（5）人 力资源政策和规程支持有效控制。应考虑激励 因素、招聘、培训和其他活动.
    2、内部监督。监控的目的，是通过识别控 制的缺陷和漏洞并持续改进以创造效率。监控 是指内控系统应该被有效监控，它是评估内控 系统在一段时期内有效性的流程。这将通过持 续的监控活动和独立评估以及两者相结合的 方式来实现。另外，内控的缺陷应向上级汇报， 重大事件向管理层和董事会汇报。持续的监 控、独立评估和缺陷报告构成监控三要素.
    3、信息沟通。企业应当将内部控制相关信 息在企业内部各管理级次、责任单位、业务环 节之间以及企业与外部投资者、债权人、客户、 供应商、中介机构和监管部门等有关方面之间 进行沟通和反馈。信息沟通过程中发现的问 题，应当及时报告并加以解决。利用信息技术 促进信息的集成与共享，充分发挥信息技术在 信息与沟通中的作用.
    4、控制活动。企业应该参考《基本规范应 用指引》，确定各种业务和事项的控制目标并 设计控制活动，结合各自业务流程，将控制活 动整合在各项业务循环中，常用的控制活动包 括：不相容职务分离、授权审批、会计系统、财 产保护、预算、运营分析、绩效考核等，在每一 项经营业务的流程中，必须根据业务的特点， 选择相适应的控制活动，这样才能达到合适的 控制目标.
    5、风险评估。首先需要建立风险评估机制 以确定风险承受度，识别内部、外部风险，采用 定性与定量相结合的方法，对风险进行分析和 排序，这种机制不是一年一度的填表流程，而 应该是每个部门定下的工作原则，在每个项目 的开始阶段必须执行的工作流程；然后确定关 注重点和优先控制的风险，根据风险评估的结 果，结合风险承受度，权衡风险与收益，确定风 险应对策略并且持续收集与风险变化相关的 信息，进行风险识别和风险分析，及时调整风 险应对策略，要让风险评估成为日常工作的标 准流程，首先必须在制度中明确规定；另外，必 须对员工进行必要的培训，每个岗位的员工应 当知晓本职工作可能存在的各种风险.
    （作者单位：辽宁对外经贸学院） 主要参考文献： [1]谢志华.内部控制：本质与结构[J].会计研 究，2009.12.
    [2]陈志斌.信息化生态环境下企业内部控制 框架研究[J].会计研究，2007.1.
    [3]杨周南，吴鑫.内部控制工程学研究[J].会 计研究，2007.3.