企業(yè)風(fēng)險(xiǎn)管理整體框架

內(nèi)部控制理論與實(shí)務(wù)的發(fā)展內(nèi)部控制理論的發(fā)展是一個(gè)逐步演變的過程，大致可以區(qū)分為內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結(jié)構(gòu)、內(nèi)部控制整體框架、風(fēng)險(xiǎn)管理框架五個(gè)階段。1、內(nèi)部牽制相互核對是此階段內(nèi)部控制的主要內(nèi)容，設(shè)定崗位分離是內(nèi)控的主要方式，這在漫長的幾千年內(nèi)被認(rèn)為是一種最實(shí)用的控制方法。2、內(nèi)部控制制度1936年美國頒布了《獨(dú)立公共會(huì)計(jì)師對財(cái)務(wù)報(bào)表的審查》，首次定義了內(nèi)部控制：“內(nèi)部稽核與控制制度是指為保證公司現(xiàn)金和其他資產(chǎn)的安全，檢查賬簿記錄的準(zhǔn)確性而采取的各種措施和方法”，此后美國審計(jì)程序委員會(huì)又經(jīng)過了多次修改。1973年在美國審計(jì)程序公告55號(hào)中，對內(nèi)部控制制度的定義作了如下解釋：“內(nèi)部控制制度有兩類：內(nèi)部會(huì)計(jì)控制制度和內(nèi)部管理控制制度，內(nèi)部管理控制制度包括，不僅限于組織結(jié)構(gòu)的計(jì)劃，以及關(guān)于管理部門對事項(xiàng)核準(zhǔn)的決策步驟上的程序與記錄。會(huì)計(jì)控制制度包括組織機(jī)構(gòu)的設(shè)計(jì)以及與財(cái)產(chǎn)保護(hù)和財(cái)務(wù)會(huì)計(jì)記錄可靠性有直接關(guān)系的各種措施?！钡菚?huì)計(jì)界對內(nèi)部控制人為分為二部分會(huì)計(jì)控制和管理控制，遭到了企業(yè)實(shí)務(wù)界的反對。3、內(nèi)部控制結(jié)構(gòu)1988年美國審計(jì)準(zhǔn)則委員會(huì)發(fā)布的第55號(hào)審計(jì)準(zhǔn)則公告《財(cái)務(wù)報(bào)表審計(jì)中內(nèi)部控制結(jié)構(gòu)的考慮》，較大幅度地修改了對內(nèi)部控制的定義。內(nèi)部控制被認(rèn)為是為合理保證企業(yè)特定目標(biāo)的實(shí)現(xiàn)而建立的各種政策和程序，內(nèi)部控制由三個(gè)要素組成：內(nèi)控環(huán)境、會(huì)計(jì)制度和控制程序。

4、內(nèi)部控制整體框架1985年，由美國注冊會(huì)計(jì)師協(xié)會(huì)、會(huì)計(jì)協(xié)會(huì)、財(cái)務(wù)主管協(xié)會(huì)、內(nèi)部審計(jì)師協(xié)會(huì)、管理會(huì)計(jì)師協(xié)會(huì)聯(lián)合創(chuàng)建了反虛假財(cái)務(wù)報(bào)告委員會(huì)（由于該委員的委員長是J.C.Treadway,故又稱為TreadwayCommittee），該委員會(huì)旨在探討財(cái)務(wù)報(bào)告中的舞弊產(chǎn)生的原因，并尋找解決措施?；谠撐瘑T會(huì)的建議，成立COSO委員^（CommitteeofSponsoringOrganizationoftheTreadwayCommittee,美國虛假財(cái)務(wù)報(bào)告全國委員會(huì)的發(fā)起組織委員會(huì)），專門研究內(nèi)部控制問題。1992年9月，COSO委員會(huì)提出了報(bào)告《內(nèi)部控制一一整體框架》（1994年進(jìn)行了增補(bǔ)）,即COSO內(nèi)部控制框架。該框架指出“內(nèi)部控制是受企業(yè)董事會(huì)、管理層和其他人員影響，為經(jīng)營的效率效果、財(cái)務(wù)報(bào)告的可靠性、相關(guān)法規(guī)的遵循性等目標(biāo)的實(shí)現(xiàn)而提供合理保證的過程。"COSO內(nèi)部控制框架所述內(nèi)容如下圖1：經(jīng)營效率經(jīng)營效果內(nèi)部控制縣計(jì)報(bào)告可信性避福法律法規(guī)控制環(huán)境風(fēng)險(xiǎn)評估信息與交流控制行為監(jiān)督 經(jīng)營效率經(jīng)營效果內(nèi)部控制縣計(jì)報(bào)告可信性避福法律法規(guī)控制環(huán)境風(fēng)險(xiǎn)評估信息與交流控制行為監(jiān)督 ,圖1：COSO內(nèi)部控制框架1996年底美國審計(jì)委員會(huì)認(rèn)可了COSO的研究成果，并修改相應(yīng)的審計(jì)公告內(nèi)容。（1）內(nèi)部控制整體框架基本內(nèi)容介紹COSO內(nèi)部控制框架不是唯一的內(nèi)部控制框架，其他類似框架中最著名的是加拿大注冊會(huì)計(jì)師公會(huì)所屬的控制基準(zhǔn)委員會(huì)COCO,于1995年11月發(fā)行《控制指導(dǎo)綱要》。COCO提出了一種更精簡、更具動(dòng)態(tài)，使用更多管理術(shù)語的內(nèi)部控制基本架構(gòu)。COCO報(bào)告從四個(gè)方面：目的、承諾、能力、監(jiān)督與學(xué)習(xí)，提出20項(xiàng)控制基準(zhǔn)。

但是COSO內(nèi)部控制框架是美國證券交易委員會(huì)唯一推薦使用的內(nèi)部控制框架，同時(shí)《薩班斯法案》第404條款的“最終細(xì)則”也明確表明COSO內(nèi)部控制框架可以作為評估企業(yè)內(nèi)部控制的標(biāo)準(zhǔn)。作為紐約證交所上市的公司，需要按照法案要求，引進(jìn)COSO內(nèi)部控制框架，整合現(xiàn)有內(nèi)部控制，滿足法案的要求。COSO內(nèi)部控制框架認(rèn)為，內(nèi)部控制系統(tǒng)是由控制環(huán)境、風(fēng)險(xiǎn)評估、內(nèi)控活動(dòng)、信息與溝通、監(jiān)督五要素組成，它們?nèi)Q于管理層經(jīng)營企業(yè)的方式，并融入管理過程本身，其相互關(guān)系可以用其模型表示，如圖2,圖3。圖3COSO內(nèi)部控制的整體框架（2）內(nèi)部控制整體框架五大要素①控制環(huán)境控制環(huán)境是所有其他組成要素的基礎(chǔ)，包括了以下要素：誠信和道德價(jià)值觀；致力于提高員工工作能力及促進(jìn)員工職業(yè)發(fā)展的承諾；董事會(huì)和審計(jì)委員會(huì)。包括的因素有董事會(huì)與審計(jì)委員會(huì)與管理者之間的獨(dú)立性，成員的經(jīng)驗(yàn)和身份，參與和監(jiān)督活動(dòng)的程度，行為的適當(dāng)性；管理層的理念和經(jīng)營風(fēng)格；組織結(jié)構(gòu)。包括了定義授權(quán)和責(zé)任的關(guān)鍵領(lǐng)域以及建立適當(dāng)?shù)膱?bào)告流程;權(quán)限及職責(zé)分配。經(jīng)營活動(dòng)的權(quán)限和權(quán)責(zé)分配以及建立報(bào)告關(guān)系和授權(quán)協(xié)議。它包括了：a）被激勵(lì)主動(dòng)發(fā)現(xiàn)問題并解決問題以及被授予權(quán)限的程度；b）也描述適當(dāng)?shù)慕?jīng)營實(shí)踐，關(guān)鍵人員的知識(shí)和經(jīng)驗(yàn)，提供給執(zhí)行責(zé)任的資源政策；c）確保所有人理解公司目標(biāo)。每個(gè)人知道他的行為與目標(biāo)實(shí)現(xiàn)的關(guān)聯(lián)和貢獻(xiàn)的重要程度。）人力資源政策及程序。②風(fēng)險(xiǎn)評估首先，風(fēng)險(xiǎn)評估的前提條件是設(shè)立目標(biāo)。只有先確立了目標(biāo)，管理層才能針對目標(biāo)確定風(fēng)險(xiǎn)并采取必要的行動(dòng)來管理風(fēng)險(xiǎn)。設(shè)立目標(biāo)是管理過程重要的一部分。盡管其并非內(nèi)部控制要素，但它是內(nèi)部控制得以實(shí)施的先決條件。其次，識(shí)別與上述目標(biāo)相關(guān)的風(fēng)險(xiǎn)。再次，評估上述被識(shí)別風(fēng)險(xiǎn)的后果和可能性。一旦確定了主要的風(fēng)險(xiǎn)因素，管理層就可以考慮它們的重要程度，并盡可能將這些風(fēng)險(xiǎn)因素與業(yè)務(wù)活動(dòng)聯(lián)系起來。最后，針對風(fēng)險(xiǎn)的結(jié)果，考慮適當(dāng)?shù)目刂苹顒?dòng)。③控制活動(dòng)控制活動(dòng)指為確保管理層指示得以執(zhí)行，削弱風(fēng)險(xiǎn)的政策（做什么）和程序（如何做）。它們有助于保證采取必要措施來管理風(fēng)險(xiǎn)以實(shí)現(xiàn)企業(yè)目標(biāo)?？刂苹顒?dòng)貫穿于企業(yè)的所有層次和部門。它們包括一系列不同的活動(dòng)，如批準(zhǔn)、授權(quán)、查證、核對、復(fù)核經(jīng)營業(yè)績、資產(chǎn)保護(hù)以及職責(zé)分工等。④信息與溝通相關(guān)的信息必須以一種能使人們行使各自職能的形式和時(shí)限被識(shí)別、掌握和溝通。信息系統(tǒng)不僅處理內(nèi)部資料，而且還處理形成企業(yè)決策和外部報(bào)告所必須的外部事件、行為和條件的信息。有效的交流還必須廣泛的進(jìn)行，涉及機(jī)構(gòu)的各個(gè)方面。所有人員都要從高級管理層獲得清楚的信息，他們必須明白各自在內(nèi)部控制制度中的作用，明白個(gè)人的行為如何與他人的工作相聯(lián)系。他們必須有自下而上傳遞重要信息的方法。顧客、供應(yīng)商、監(jiān)管者和股東這樣的外界之間也必須有有效的溝通。⑤監(jiān)督一個(gè)評估系統(tǒng)在一定時(shí)期運(yùn)行質(zhì)量的過程。這一過程通過持續(xù)的監(jiān)控行為、獨(dú)立的評估或兩者的結(jié)合來實(shí)現(xiàn)。持續(xù)的監(jiān)控行為發(fā)生在經(jīng)營的過程中。它包括日常管理和監(jiān)管行為。獨(dú)立評估的范圍和頻率主要依賴于風(fēng)險(xiǎn)評估和持續(xù)監(jiān)控程序的有效性。內(nèi)部控制的缺陷應(yīng)自下而上進(jìn)行報(bào)告，重要事項(xiàng)應(yīng)報(bào)知高層管理人員和董事會(huì)。5、企業(yè)風(fēng)險(xiǎn)管理一一整合框架（1）企業(yè)風(fēng)險(xiǎn)管理一一整合框架基本內(nèi)容介紹2001年，COSO委托普華永道開發(fā)一個(gè)對于管理當(dāng)局評價(jià)和改進(jìn)他們所在組織的企業(yè)風(fēng)險(xiǎn)管理的簡便易行的框架，2004年9月《企業(yè)風(fēng)險(xiǎn)管理一一整合框架》正式文本發(fā)布。企業(yè)風(fēng)險(xiǎn)管理整合框架認(rèn)為“企業(yè)風(fēng)險(xiǎn)管理是一個(gè)過程，它由一個(gè)主體的董事會(huì)、管理當(dāng)局和其他人員實(shí)施，應(yīng)用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識(shí)別可能會(huì)影響主體的潛在事項(xiàng)，管理風(fēng)險(xiǎn)以使其在該主體的風(fēng)險(xiǎn)容量之內(nèi)，并為主體目標(biāo)的實(shí)現(xiàn)提供合理保證?！痹摽蚣芡卣沽藘?nèi)部控制，更有力、更廣泛地關(guān)注于企業(yè)風(fēng)險(xiǎn)管理這一更加寬泛的領(lǐng)域。盡管風(fēng)險(xiǎn)框架不打算、也的確沒有取代內(nèi)部控制框架，但風(fēng)險(xiǎn)管理框架文本中指出風(fēng)險(xiǎn)管理框架將內(nèi)部控制框架涵蓋在其中。（2）企業(yè)風(fēng)險(xiǎn)管理一一整合框架五大要素COSO的《企業(yè)風(fēng)險(xiǎn)管理-整體框架》提出企業(yè)風(fēng)險(xiǎn)管理由8個(gè)相互關(guān)聯(lián)的要素構(gòu)成，它們源自管理當(dāng)局的經(jīng)營方式，并與管理過程整合在一起，這8個(gè)要素包括：①內(nèi)部環(huán)境內(nèi)部環(huán)境是組織內(nèi)人員如何看待風(fēng)險(xiǎn)、對待風(fēng)險(xiǎn)的態(tài)度。包括風(fēng)險(xiǎn)管理理念、風(fēng)險(xiǎn)承受能力、正直和道德價(jià)值觀及工作環(huán)境。內(nèi)部環(huán)境為企業(yè)中的人們?nèi)绾慰创L(fēng)險(xiǎn)和著手控制風(fēng)險(xiǎn)確立了基礎(chǔ)。②目標(biāo)設(shè)定只有先制定目標(biāo)，管理層才能識(shí)別影響目標(biāo)實(shí)現(xiàn)的事件。企業(yè)風(fēng)險(xiǎn)管理確保管理層參與目標(biāo)制定流程，確保所選擇的目標(biāo)不僅和企業(yè)使命方向一致，支持企業(yè)的使命，而且與其風(fēng)險(xiǎn)承受能力相符。③事項(xiàng)識(shí)別必須識(shí)別影響企業(yè)目標(biāo)實(shí)現(xiàn)的內(nèi)外事件，分清風(fēng)險(xiǎn)和機(jī)會(huì)。管理層制定戰(zhàn)略或目標(biāo)時(shí)應(yīng)考慮到機(jī)會(huì)，機(jī)會(huì)被追溯到管理當(dāng)局的戰(zhàn)略或目標(biāo)制定過程。④風(fēng)險(xiǎn)評估要對識(shí)別的風(fēng)險(xiǎn)進(jìn)行分析，以便確定管理的依據(jù)。風(fēng)險(xiǎn)與可能被影響的目標(biāo)相關(guān)聯(lián)。既要對固有風(fēng)險(xiǎn)進(jìn)行評估，也要對剩余風(fēng)險(xiǎn)進(jìn)行評估，評估要考慮到風(fēng)險(xiǎn)的可能性和影響。⑤風(fēng)險(xiǎn)對策管理層選擇風(fēng)險(xiǎn)應(yīng)對方式，包括規(guī)避、接受、降低或分擔(dān)并制定一套措施把風(fēng)險(xiǎn)控制在企業(yè)的風(fēng)險(xiǎn)容忍度和風(fēng)險(xiǎn)承受能力之內(nèi)。⑥控制活動(dòng)制定和實(shí)施政策與程序以確保管理當(dāng)局所選擇的風(fēng)險(xiǎn)應(yīng)對策略得以有效實(shí)施。⑦信息與溝通企業(yè)的各個(gè)層級都需要借助信息來識(shí)別、評估和應(yīng)對風(fēng)險(xiǎn)。有效信息溝通的外延比較廣泛，包括企業(yè)內(nèi)信息的上傳、下達(dá)和平行流動(dòng)。⑧監(jiān)督整個(gè)企業(yè)風(fēng)險(xiǎn)管理處于監(jiān)控之下，必要時(shí)還會(huì)進(jìn)行修正。這種方式能夠動(dòng)態(tài)地反映風(fēng)險(xiǎn)管理狀況，并使之根據(jù)條件的要求而變化。監(jiān)控通過持續(xù)的管理活動(dòng)、對企業(yè)風(fēng)險(xiǎn)管理進(jìn)行單獨(dú)評價(jià)或者兩者的結(jié)合來完成。企業(yè)風(fēng)險(xiǎn)管理整體框架有3個(gè)維度：第一維是企業(yè)目標(biāo)；第二維是全面風(fēng)險(xiǎn)管理要素；第三維是企業(yè)的各個(gè)層級。它們之間的關(guān)系如圖4所示：

圖4企業(yè)風(fēng)險(xiǎn)管理要素與企業(yè)目標(biāo)和組織結(jié)構(gòu)的關(guān)系6、企業(yè)內(nèi)部控制各階段的比較表1 內(nèi)部控制各階段的特征比較內(nèi)部控制階段要素目標(biāo)結(jié)構(gòu)內(nèi)部牽制沒有涉及要素防止舞弊點(diǎn)內(nèi)部控制制度沒有涉及要素防止舞弊線內(nèi)部控制結(jié)構(gòu)控制環(huán)境、會(huì)計(jì)制度、控制程序完成企業(yè)既定目標(biāo)三角內(nèi)部控制整體框架控制環(huán)境、風(fēng)險(xiǎn)評估、控制活動(dòng)、信息與溝通、監(jiān)督經(jīng)營目標(biāo)、財(cái)務(wù)報(bào)告目標(biāo)、遵循性目標(biāo)立體三角形風(fēng)險(xiǎn)管理整體框架內(nèi)部環(huán)境、目標(biāo)設(shè)定、事件識(shí)別、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)對應(yīng)、控制活動(dòng)、信息與溝通、監(jiān)督戰(zhàn)略目標(biāo)、經(jīng)營目標(biāo)、報(bào)告目標(biāo)、遵循性目標(biāo)立方體表2 內(nèi)部控制框架、風(fēng)險(xiǎn)管理框架與管理活動(dòng)的關(guān)系管理活動(dòng)內(nèi)部控制框架風(fēng)險(xiǎn)管理框架設(shè)定使命、價(jià)值觀不涉及不涉及確定戰(zhàn)略不涉及涉及，在戰(zhàn)略規(guī)劃過程中運(yùn)用企業(yè)風(fēng)險(xiǎn)管理選擇實(shí)體層面和活動(dòng)層面的目標(biāo)不涉及涉及，在建立目標(biāo)設(shè)定過程中運(yùn)用企業(yè)風(fēng)險(xiǎn)管理設(shè)定績效測量標(biāo)準(zhǔn)不涉及不涉及建立內(nèi)部環(huán)境?涉及涉及識(shí)別風(fēng)險(xiǎn)和分析風(fēng)險(xiǎn)涉