风险管理综合框架评价及其审计含义.docVIP

风险管理综合框架评价及其审计含义 　　【摘要】本文回顾了《企业风险管理――综合框架》出台背景，并简要介绍和评价了该框架对内部控制八要素的分析说明，最后，文章分析了风险管理综合框架对审计的意义。 　　【关键词】风险管理综合框架；内部控制八要素；审计 　　 　　一、《企业风险管理――综合框架》出台简要背景 　　1992年，美国专门研究内部控制的机构COSO委员会发表了著名的《内部控制――综合框架》，该研究报告再统一内部控制的相关概念和解释方面取得了重大成就，采用该框架作为评估内部控制效果的准则获得了相当的承认和接受。COSO报告是内部控制理论发展的又一个里程碑式的标志，标志着内部控制理论与实践进入了内部控制整体框架的新阶段。但是，这份研究报告仍然受到一些批评。例如，美国审计总署（GAO）的总审计师助理唐纳德?查宾针对这份研究报告提出了许多批评，最主要批评就是内部控制的定义中缺乏保障资产的概念；COSO报告受到的另一个主要批评就是，对风险的关注明显不足。COSO还受到其他很多方面的批评，这里不再一一穷举。再者，进入21世纪以来，随着知识经济的发展，企业组织结构及其内部契约关系都在发生深刻变化，经济业务的不断推陈出新等因素都使得企业面临的风险越来越大，如果不能对风险进行有效管理，很难保障企业基业长青。因此，COSO委员会在2001年开始进行有关风险管理的研究，并于2003年7月份发布了《企业风险管理框架（Enterprise Risk Management Framework）》（征求意见稿）；2004年9月，COSO委员会发布了正式文件《企业风险管理――综合框架（Enterprise Risk Management Framework）》。下面将对其主要内容进行简要介绍。 　　二、《企业风险管理――综合框架》主要内容简介 　　COSO委员会发布这份研究报告，意在提供一套建立风险管理系统所必须的概念完善的框架，包括完整的原则、通用的术语和实用的实施指南；并同时为企业管理者、董事、监事、监管当局和学术界以及其他重要人士更好的理解企业风险管理提供一个共同的基础。 　　这份文件由经营者摘要及其框架（Executive Summary Framework）以及应用技术（Application Techniques）两个主要部分组成。“经营者摘要及其框架”将企业风险管理（以下简称ERM）定义为：“企业风险管理是一个受到企业董事会、管理当局以及其他员工影响，应用于战略制定并贯穿整个企业，对可能影响企业的潜在事项进行识别，把风险控制在企业的风险偏好之内，为实现企业目标提供合理保证的过程。”这个定义明确表明，ERM是一个受到人们影响的、应用于战略制定和整个企业的过程，该过程应该将风险控制在企业的风险偏好之内。ERM将组织目标分为战略目标、经营目标、报告目标、遵循目标等四个目标。 　　同时，这份研究报告在1992年COSO报告的基础上，将内部控制五要素（控制环境、风险评估、控制活动、信息与沟通、监督）进行深化，把企业风险管理扩展成八个要素，形成ERM的整体框架，为组织的目标服务。这八个要素分别是： 　　内部环境。它是ERM其他构成要素的基础。内部环境由众多要素组成，包括企业的道德价值、员工的发展和胜任能力、管理当局的经营风格和权利与责任的分配等等。其中，董事会是内部环境的关键因素，对内部环境的其他因素具有重大影响。 　　目标设定。目标设定是指管理当局为组织设定的目标，包括战略目标、经营目标、报告目标（包括对外财务报告）和遵循法律和法规等四个目标，目标必须和企业任务相连并同企业风险偏好相一致。企业必须对实现这些目标提供合理保障。 　　事项识别。由于事项的发生与否以及发生结果的利弊等都具有不确定性，管理当局需要考虑影响事项发生的内外部因素。外部因素主要是指经济、自然环境、政治、社会和技术等事项；内部事项包括基础组织结构、人事、流程和技术等。识别事项，是为了评估事项并做出反映，以更好的利用事项的正面影响，减轻或防止负面影响。 　　风险评估。事项识别之后，必须对潜在发生的事项是如何影响目标的实现做出定性和定量评估，评估发生的可能性和影响。风险评估时必须遵循成本效益原则。 　　风险反映。评估风险之后，必须做出一定的风险反映，选择回避风险、降低风险、共享风险还是接受风险。有效的企业风险管理要求管理当局选择预期可以将风险可能性和影响置于企业风险容忍度范围之内。 　　控制活动。控制活动是指保证风险反映得到恰当实施的政策和程序，包括批准、授权、查证、调解、审查经营业绩、保障资产和职务分离等一系列活动。 　　信息和沟通。企业必须能够识别捕捉来自内外部的相关信息，并使得这些信息该公司各个层次当中得到有效沟通，保证企业与外部利益团体的有效沟通