中美风险管理框架对比分析及对我国企业风险管理建议(上).docVIP

中美风险管理框架对比分析及对我国企业风险管理建议(上) 　　【摘要】在当前复杂多变的国际国内经济形势下，企业面临更多的风险。本文着重通过对美国《企业风险管理――整合框架》和我国《中央企业全面风险管理指引》及《企业内部控制基本规范》等企业风险管理体系的对比分析，提出我国企业进一步完善全面风险管理的建议。 　　【关键词】风险管理 框架 　　 　　一、中美两国风险管理框架概述 　　（一）美国COSO-ERM框架 　　2004年9月，COSO(全国虚假财务报告委员会下属的发起人委员会)在原有《内部控制――整合框架》的基础上发布了《企业风险管理――整合框架》（以下简称COSO-ERM框架）。该框架所定义的企业风险管理是指：企业风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。框架要求企业风险管理包括以下8个相互关联的构成要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。 　　(二)我国企业风险管理框架 　　在我国，企业风险管理框架主要包括：2006年国资委发布的《中央企业全面风险管理指引》（以下简称《指引》）与2008年5月财政部发布的《企业内部控制基本规范》（以下简称《规范》）。《指引》所定义的全面风险管理是指“企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。”《规范》是在借鉴美国COSO报告的基础上对企业内部控制及风险管理所做的原则规定，《规范》将内部控制定义为由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。这些目标包括：实现企业发展战略；提高经营的效率和效果；保证企业经营管理合法合规；资产的安全；财务报告及相关??息真实完整。《规范》明确了内部环境、风险评估、控制活动、信息与沟通、内部监督构成了我国企业内部控制的五要素。 　　 　　二、COSO-ERM框架与《指引》、《规范》的要素对比 　　（一）内部环境 　　内部环境是企业风险管理所有其他构成要素的基础，为其他要素提供约束和结构。它影响着战略和目标如何制订、经营活动如何组织及如何识别、评估风险并采取行动。它还影响着控制活动、信息与沟通体系和监控措施的设计与运行。 　　 　　表1是COSO-ERM框架与《指引》、《规范》三者（下称“3个框架”）关于内部环境要素的对比分析。 　　COSO-ERM框架特别强调企业管理层在确定公司文化方面的关键作用，指出了管理层表率作用的重要性，这种表率作用应不仅仅体现在口头上，更要体现在自己的行动中；同时，还着重强调企业的风险管理理念必须被很好地确立和理解、并为员工所信奉。《指引》从中央企业建立风险管理文化、确定可承受目标（即风险容量）和风险管理组织体系等几个方面提出了对中央企业全面风险管理工作的内部环境培育的具体要求。《规范》对内部环境要素的总体描述与COSO-ERM框架相同，并结合中国企业的实际情况，着重强调了建立规范的法人治理、机构设置的“扁平化”及建立并有效实施内部审计机制和反舞弊机制对于完善企业内部控制和风险管理的重要作用。 　　（二）目标设定 　　目标设定是事项识别、风险评估和风险应对的前提。在管理层识别和评估实现目标的风险并采取行动来管理风险之前，首先必须有目标。表2是3个框架关于目标设定要素的对比分析。 　　 　　 　　3个框架基本上都反应了相同或相似的管理和控制目标，那就是：战略目标、经营目标、报告目标、合规目标和保护资产的目标。其中战略目标是企业风险管理最高层次的目标。 　　（三）事项识别 　　事项是源于内部或外部的影响战略实施或目标实现的事故或事件。事项可能带来正面或负面的影响，或者两者兼而有之。带来负面影响的事项代表风险，它要求管理层予以评估和应对；带来正面影响的事项代表机会，管理层可以将其反馈到战略和目标设定过程之中。在对事项进行识别时，管理层要在组织的全部范围内考虑一系列可能带来风险和机会的内部和外部因素。表3列示了3个框架关于事项识别要素的对比分析。 　　COSO-ERM框架和《规范》关于企业风险管理和内部控制的外部因素和内部因素及相关事项的描述大致相同，均包括了经济因素、政治（法律）因素、社会因素、技术因素、自然环境因素、人员因素、基础结构因素、安全因素等等。《指引》以专门的一章对风险管理初始信息的搜集提出了详细的要求，它着重从企业战略风险、财务