企業(yè)風(fēng)險管理整體框架

內(nèi)部控制理論與實務(wù)的發(fā)展內(nèi)部控制理論的發(fā)展是一個逐步演變的過程，大致可以區(qū)分為內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結(jié)構(gòu)、內(nèi)部控制整體框架、風(fēng)險管理框架五個階段。1、內(nèi)部牽制相互核對是此階段內(nèi)部控制的主要內(nèi)容，設(shè)定崗位分離是內(nèi)控的主要方式，這在漫長的幾千年內(nèi)被認為是一種最實用的控制方法。2、內(nèi)部控制制度1936年美國頒布了《獨立公共會計師對財務(wù)報表的審查》，首次定義了內(nèi)部控制：“內(nèi)部稽核與控制制度是指為保證公司現(xiàn)金和其他資產(chǎn)的安全，檢查賬簿記錄的準確性而采取的各種措施和方法”，此后美國審計程序委員會又經(jīng)過了多次修改。1973年在美國審計程序公告55號中，對內(nèi)部控制制度的定義作了如下解釋：“內(nèi)部控制制度有兩類：內(nèi)部會計控制制度和內(nèi)部管理控制制度，內(nèi)部管理控制制度包括，不僅限于組織結(jié)構(gòu)的計劃，以及關(guān)于管理部門對事項核準的決策步驟上的程序與記錄。會計控制制度包括組織機構(gòu)的設(shè)計以及與財產(chǎn)保護和財務(wù)會計記錄可靠性有直接關(guān)系的各種措施。”但是會計界對內(nèi)部控制人為分為二部分會計控制和管理控制，遭到了企業(yè)實務(wù)界的反對。3、內(nèi)部控制結(jié)構(gòu)1988年美國審計準則委員會發(fā)布的第55號審計準則公告《財務(wù)報表審計中內(nèi)部控制結(jié)構(gòu)的考慮》，較大幅度地修改了對內(nèi)部控制的定義。內(nèi)部控制被認為是為合理保證企業(yè)特定目標的實現(xiàn)而建立的各種政策和程序，內(nèi)部控制由三個要素組成：內(nèi)控環(huán)境、會計制度和控制程序。

4、內(nèi)部控制整體框架1985年，由美國注冊會計師協(xié)會、會計協(xié)會、財務(wù)主管協(xié)會、內(nèi)部審計師協(xié)會、管理會計師協(xié)會聯(lián)合創(chuàng)建了反虛假財務(wù)報告委員會（由于該委員的委員長是J.C.Treadway,故又稱為TreadwayCommittee），該委員會旨在探討財務(wù)報告中的舞弊產(chǎn)生的原因，并尋找解決措施。基于該委員會的建議，成立COSO委員^（CommitteeofSponsoringOrganizationoftheTreadwayCommittee,美國虛假財務(wù)報告全國委員會的發(fā)起組織委員會），專門研究內(nèi)部控制問題。1992年9月，COSO委員會提出了報告《內(nèi)部控制一一整體框架》（1994年進行了增補）,即COSO內(nèi)部控制框架。該框架指出“內(nèi)部控制是受企業(yè)董事會、管理層和其他人員影響，為經(jīng)營的效率效果、財務(wù)報告的可靠性、相關(guān)法規(guī)的遵循性等目標的實現(xiàn)而提供合理保證的過程。"COSO內(nèi)部控制框架所述內(nèi)容如下圖1：經(jīng)營效率經(jīng)營效果內(nèi)部控制縣計報告可信性避福法律法規(guī)控制環(huán)境風(fēng)險評估信息與交流控制行為監(jiān)督 經(jīng)營效率經(jīng)營效果內(nèi)部控制縣計報告可信性避福法律法規(guī)控制環(huán)境風(fēng)險評估信息與交流控制行為監(jiān)督 ,圖1：COSO內(nèi)部控制框架1996年底美國審計委員會認可了COSO的研究成果，并修改相應(yīng)的審計公告內(nèi)容。（1）內(nèi)部控制整體框架基本內(nèi)容介紹COSO內(nèi)部控制框架不是唯一的內(nèi)部控制框架，其他類似框架中最著名的是加拿大注冊會計師公會所屬的控制基準委員會COCO,于1995年11月發(fā)行《控制指導(dǎo)綱要》。COCO提出了一種更精簡、更具動態(tài)，使用更多管理術(shù)語的內(nèi)部控制基本架構(gòu)。COCO報告從四個方面：目的、承諾、能力、監(jiān)督與學(xué)習(xí)，提出20項控制基準。

但是COSO內(nèi)部控制框架是美國證券交易委員會唯一推薦使用的內(nèi)部控制框架，同時《薩班斯法案》第404條款的“最終細則”也明確表明COSO內(nèi)部控制框架可以作為評估企業(yè)內(nèi)部控制的標準。作為紐約證交所上市的公司，需要按照法案要求，引進COSO內(nèi)部控制框架，整合現(xiàn)有內(nèi)部控制，滿足法案的要求。COSO內(nèi)部控制框架認為，內(nèi)部控制系統(tǒng)是由控制環(huán)境、風(fēng)險評估、內(nèi)控活動、信息與溝通、監(jiān)督五要素組成，它們?nèi)Q于管理層經(jīng)營企業(yè)的方式，并融入管理過程本身，其相互關(guān)系可以用其模型表示，如圖2,圖3。圖3COSO內(nèi)部控制的整體框架（2）內(nèi)部控制整體框架五大要素①控制環(huán)境控制環(huán)境是所有其他組成要素的基礎(chǔ)，包括了以下要素：誠信和道德價值觀；致力于提高員工工作能力及促進員工職業(yè)發(fā)展的承諾；董事會和審計委員會。包括的因素有董事會與審計委員會與管理者之間的獨立性，成員的經(jīng)驗和身份，參與和監(jiān)督活動的程度，行為的適當性；管理層的理念和經(jīng)營風(fēng)格；組織結(jié)構(gòu)。包括了定義授權(quán)和責任的關(guān)鍵領(lǐng)域以及建立適當?shù)膱蟾媪鞒?權(quán)限及職責分配。經(jīng)營活動的權(quán)限和權(quán)責分配以及建立報告關(guān)系和授權(quán)協(xié)議。它包括了：a）被激勵主動發(fā)現(xiàn)問題并解決問題以及被授予權(quán)限的程度；b）也描述適當?shù)慕?jīng)營實踐，關(guān)鍵人員的知識和經(jīng)驗，提供給執(zhí)行責任的資源政策；c）確保所有人理解公司目標。每個人知道他的行為與目標實現(xiàn)的關(guān)聯(lián)和貢獻的重要程度。）人力資源政策及程序。②風(fēng)險評估首先，風(fēng)險評估的前提條件是設(shè)立目標。只有先確立了目標，管理層才能針對目標確定風(fēng)險并采取必要的行動來管理風(fēng)險。設(shè)立目標是管理過程重要的一部分。盡管其并非內(nèi)部控制要素，但它是內(nèi)部控制得以實施的先決條件。其次，識別與上述目標相關(guān)的風(fēng)險。再次，評估上述被識別風(fēng)險的后果和可能性。一旦確定了主要的風(fēng)險因素，管理層就可以考慮它們的重要程度，并盡可能將這些風(fēng)險因素與業(yè)務(wù)活動聯(lián)系起來。最后，針對風(fēng)險的結(jié)果，考慮適當?shù)目刂苹顒?。③控制活動控制活動指為確保管理層指示得以執(zhí)行，削弱風(fēng)險的政策（做什么）和程序（如何做）。它們有助于保證采取必要措施來管理風(fēng)險以實現(xiàn)企業(yè)目標。控制活動貫穿于企業(yè)的所有層次和部門。它們包括一系列不同的活動，如批準、授權(quán)、查證、核對、復(fù)核經(jīng)營業(yè)績、資產(chǎn)保護以及職責分工等。④信息與溝通相關(guān)的信息必須以一種能使人們行使各自職能的形式和時限被識別、掌握和溝通。信息系統(tǒng)不僅處理內(nèi)部資料，而且還處理形成企業(yè)決策和外部報告所必須的外部事件、行為和條件的信息。有效的交流還必須廣泛的進行，涉及機構(gòu)的各個方面。所有人員都要從高級管理層獲得清楚的信息，他們必須明白各自在內(nèi)部控制制度中的作用，明白個人的行為如何與他人的工作相聯(lián)系。他們必須有自下而上傳遞重要信息的方法。顧客、供應(yīng)商、監(jiān)管者和股東這樣的外界之間也必須有有效的溝通。⑤監(jiān)督一個評估系統(tǒng)在一定時期運行質(zhì)量的過程。這一過程通過持續(xù)的監(jiān)控行為、獨立的評估或兩者的結(jié)合來實現(xiàn)。持續(xù)的監(jiān)控行為發(fā)生在經(jīng)營的過程中。它包括日常管理和監(jiān)管行為。獨立評估的范圍和頻率主要依賴于風(fēng)險評估和持續(xù)監(jiān)控程序的有效性。內(nèi)部控制的缺陷應(yīng)自下而上進行報告，重要事項應(yīng)報知高層管理人員和董事會。5、企業(yè)風(fēng)險管理一一整合框架（1）企業(yè)風(fēng)險管理一一整合框架基本內(nèi)容介紹2001年，COSO委托普華永道開發(fā)一個對于管理當局評價和改進他們所在組織的企業(yè)風(fēng)險管理的簡便易行的框架，2004年9月《企業(yè)風(fēng)險管理一一整合框架》正式文本發(fā)布。企業(yè)風(fēng)險管理整合框架認為“企業(yè)風(fēng)險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應(yīng)用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風(fēng)險以使其在該主體的風(fēng)險容量之內(nèi)，并為主體目標的實現(xiàn)提供合理保證?！痹摽蚣芡卣沽藘?nèi)部控制，更有力、更廣泛地關(guān)注于企業(yè)風(fēng)險管理這一更加寬泛的領(lǐng)域。盡管風(fēng)險框架不打算、也的確沒有取代內(nèi)部控制框架，但風(fēng)險管理框架文本中指出風(fēng)險管理框架將內(nèi)部控制框架涵蓋在其中。（2）企業(yè)風(fēng)險管理一一整合框架五大要素COSO的《企業(yè)風(fēng)險管理-整體框架》提出企業(yè)風(fēng)險管理由8個相互關(guān)聯(lián)的要素構(gòu)成，它們源自管理當局的經(jīng)營方式，并與管理過程整合在一起，這8個要素包括：①內(nèi)部環(huán)境內(nèi)部環(huán)境是組織內(nèi)人員如何看待風(fēng)險、對待風(fēng)險的態(tài)度。包括風(fēng)險管理理念、風(fēng)險承受能力、正直和道德價值觀及工作環(huán)境。內(nèi)部環(huán)境為企業(yè)中的人們?nèi)绾慰创L(fēng)險和著手控制風(fēng)險確立了基礎(chǔ)。②目標設(shè)定只有先制定目標，管理層才能識別影響目標實現(xiàn)的事件。企業(yè)風(fēng)險管理確保管理層參與目標制定流程，確保所選擇的目標不僅和企業(yè)使命方向一致，支持企業(yè)的使命，而且與其風(fēng)險承受能力相符。③事項識別必須識別影響企業(yè)目標實現(xiàn)的內(nèi)外事件，分清風(fēng)險和機會。管理層制定戰(zhàn)略或目標時應(yīng)考慮到機會，機會被追溯到管理當局的戰(zhàn)略或目標制定過程。④風(fēng)險評估要對識別的風(fēng)險進行分析，以便確定管理的依據(jù)。風(fēng)險與可能被影響的目標相關(guān)聯(lián)。既要對固有風(fēng)險進行評估，也要對剩余風(fēng)險進行評估，評估要考慮到風(fēng)險的可能性和影響。⑤風(fēng)險對策管理層選擇風(fēng)險應(yīng)對方式，包括規(guī)避、接受、降低或分擔并制定一套措施把風(fēng)險控制在企業(yè)的風(fēng)險容忍度和風(fēng)險承受能力之內(nèi)。⑥控制活動制定和實施政策與程序以確保管理當局所選擇的風(fēng)險應(yīng)對策略得以有效實施。⑦信息與溝通企業(yè)的各個層級都需要借助信息來識別、評估和應(yīng)對風(fēng)險。有效信息溝通的外延比較廣泛，包括企業(yè)內(nèi)信息的上傳、下達和平行流動。⑧監(jiān)督整個企業(yè)風(fēng)險管理處于監(jiān)控之下，必要時還會進行修正。這種方式能夠動態(tài)地反映風(fēng)險管理狀況，并使之根據(jù)條件的要求而變化。監(jiān)控通過持續(xù)的管理活動、對企業(yè)風(fēng)險管理進行單獨評價或者兩者的結(jié)合來完成。企業(yè)風(fēng)險管理整體框架有3個維度：第一維是企業(yè)目標；第二維是全面風(fēng)險管理要素；第三維是企業(yè)的各個層級。它們之間的關(guān)系如圖4所示：

圖4企業(yè)風(fēng)險管理要素與企業(yè)目標和組織結(jié)構(gòu)的關(guān)系6、企業(yè)內(nèi)部控制各階段的比較表1 內(nèi)部控制各階段的特征比較內(nèi)部控制階段要素目標結(jié)構(gòu)內(nèi)部牽制沒有涉及要素防止舞弊點內(nèi)部控制制度沒有涉及要素防止舞弊線內(nèi)部控制結(jié)構(gòu)控制環(huán)境、會計制度、控制程序完成企業(yè)既定目標三角內(nèi)部控制整體框架控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)督經(jīng)營目標、財務(wù)報告目標、遵循性目標立體三角形風(fēng)險管理整體框架內(nèi)部環(huán)境、目標設(shè)定、事件識別、風(fēng)險評估、風(fēng)險對應(yīng)、控制活動、信息與溝通、監(jiān)督戰(zhàn)略目標、經(jīng)營目標、報告目標、遵循性目標立方體表2 內(nèi)部控制框架、風(fēng)險管理框架與管理活動的關(guān)系管理活動內(nèi)部控制框架風(fēng)險管理框架設(shè)定使命、價值觀不涉及不涉及確定戰(zhàn)略不涉及涉及，在戰(zhàn)略規(guī)劃過程中運用企業(yè)風(fēng)險管理選擇實體層面和活動層面的目標不涉及涉及，在建立目標設(shè)定過程中運用企業(yè)風(fēng)險管理設(shè)定績效測量標準不涉及不涉及建立內(nèi)部環(huán)境?涉及涉及識別風(fēng)險和分析風(fēng)險涉