我国企业风险-管理框架构建.doc

我国企业风险管理框架构建 作者：时间：2007-03-25 Hits: 2633 [摘要]本文通过对美国COSO委员会关于内部控制和企业风险管理两个报告的对比分析，指出内部控制将扩展为更加全面完整的企业风险管理，并运用COSO关于《企业风险管理－整体框架》的体系，探讨了如何构建我国企业风险管理整体框架。 　　在内部控制标准制定方面，美国发起人组织委员会（COSO）一直是国际公认的权威机构，自其成立以来，一直致力于内部控制标准的制定，引导和代表着内部控制的发展趋势。1992年该机构发表并于1994年修订的《内部控制－整体框架》报告，标志着内部控制理论与实践进入了整体框架的新阶段，并被世界上许多企业所采用。2004年9月，COSO又提出了《企业风险管理－整体框架》，它既是对《内部控制－整体框架》的超越，也标志着内部控制的转型，在内涵界定、目标体系、构成要素等方面都进行了拓展和延伸。　　　　一、引言　　　　企业制度的发展演进与风险相关，企业管理的方式应随着不同的经营环境、技术、市场条件、法律以及监管实践的发展而变化。早期的内部控制理论对规范企业的经营活动发挥了重要作用，然而，近年来一系列财务失败事件的发生以及对企业风险管理的关注，使人们越来越清楚地认识到，需要一个强有力的理论体系来监管企业界频繁发生的高层管理人员舞弊现象。企业风险管理则是在新的技术与市场条件下对内部控制的自然扩展。其原因主要有：一是技术和经济的发展推动了内部控制走向企业风险管理；二是企业风险管理是企业自身生存发展的需要；三是企业风险管理能协调企业各方经济利益关系；四是关注企业风险管理比实施内部控制更重要。　　《企业风险管理－整体框架》要求董事会与管理层将精力主要放在可能产生重大风险环节上，而不是所有细小环节上，将风险管理作为最重要的内容，这是一次重大的变化。企业风险管理就是要求企业高度重视从战略风险依次到经营风险、财务风险，最后到财务报告的各个环节。显然，企业风险管理要比内部控制层次更高，也更为重要。近来发生的伊利股份、创维数码、四川长虹等失败案例或重大事件，或多或少都与企业风险管理缺失有关。而中航油公司曾在2003年被新加坡证券监督部门列为最具透明的企业，说明该企业确实在内部控制的细节方面做得非常周到。但是，从事后暴露出的结果来看，恰恰是在企业风险管理上出了问题。　　　　二、内部控制与企业风险管理　　　　内部控制与企业风险管理有着十分紧密的联系，COSO报告认为，内部控制是企业风险管理的有机组成部分，企业风险管理包含内部控制，无论在理论上还是在实践上，企业风险管理都比内部控制更有力。　　　　1、企业风险管理较内部控制内涵更宽泛　　　　COSO对内部控制的定义是：内部控制是由企业董事会、经理层以及其他员工共同实施的，为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程；对企业风险管理的定义是：企业风险管理是一个过程，是由企业的董事会、管理层以及其他人员共同实施的，应用于战略制定及企业各个层次的活动，旨在识别可能影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理的保证。该定义包含了7层含义：（1）企业风险管理是一个过程，它持续流动于组织之内；（2）企业风险管理是由组织中各个层级的人员来实施的；（3）企业风险管理应用于战略制定的过程中；（4）企业风险管理贯穿于企业各个层面、各个单位，包括从企业层面用组合的观点来看风险；（5）企业风险管理旨在识别那些一旦发生将会影响企业的潜在事项，并把风险控制在风险容量以内；（6）企业风险管理能够向一个企业的管理当局和董事会提供合理保证；（7）企业风险管理力求实现一个或多个不同类型但相互交叉的目标。和内部控制相比，企业风险管理的内涵更为宽泛，定义更加详细具体，重点更加突出风险识别、风险偏好及风险管理。　　　　2、企业风险管理较内部控制目标层次更高　　　　COSO在《内部控制－整体框架》中设定内部控制有3个目标：经营的效果和效率、财务报告的可靠性和法律法规的遵循性。而《企业风险管理－－整体框架》中有4个目标，其中3个目标与内部控制目标相似，即报告类目标、经营类目标和遵循类目标。其中，报告类目标有所扩展，它不仅包括财务报告的可靠性，而且还要求所有对内对外发布的非财务类报告的准确可靠性。此外，企业风险管理增加了一个战略目标，即与企业的远景或使命相关的高层次目标。这意味着企业风险管理不仅仅是确保经营的效率与效果，而且介入了企业战略（包括经营目标）的制定过程。因此，其目标层次更高，对企业的贡献更大。　　　　3、企业风险管理较内部控制要素更全面完整　　　　COSO提出的内部控制有5个要素，包括控制环境、风险评估、控制活动、信息和沟通、监督。