關(guān)于企業(yè)風險管理框架的若干思考

摘　要：2004年9月，COSO委員會正式頒布了新的COSO報告：《企業(yè)風險管理——整合框架》。在對此報告進行研究的基礎上，探討了兩方面的問題，一是企業(yè)風險管理與內(nèi)部控制的融合，二是內(nèi)部審計與風險管理。通過比較認為，首先，企業(yè)風險管理與內(nèi)部控制同樣是一個程序，處于不斷的調(diào)整和變化之中．兩者只有相互融合，才能實現(xiàn)最佳效果；其次，對企業(yè)風險管理進行監(jiān)督和評價是現(xiàn)代內(nèi)部審計發(fā)展的結(jié)果。內(nèi)部控制向風險管理領域擴展，對內(nèi)部審計的發(fā)展產(chǎn)生了深遠影響，集中體現(xiàn)在風險基礎內(nèi)部審計的產(chǎn)生。

　　關(guān)鍵詞：企業(yè)風險管理；內(nèi)部控制；內(nèi)部審計
　　　　
　　一、企業(yè)風險管理框架的提出
　　
　　2004年，美國Treadway委員會下屬贊助委員會(COSO)在內(nèi)部控制框架概念的基礎上，提出了企業(yè)風險管理(Enterprise Risk Management，ERM)的概念，使內(nèi)部控制的研究發(fā)展到一個新的階段。COSO這樣定義企業(yè)風險管理，企業(yè)風險管理是一個過程，受企業(yè)董事會、管理當局和其他員工的影響，包括內(nèi)部控制及其在戰(zhàn)略和整個公司的應用．旨在為實現(xiàn)經(jīng)營的效率和效果、財務報告的可靠性以及現(xiàn)行法規(guī)的遵循提供合理保證。COSO認為，ERM為公司董事會提供了有關(guān)企業(yè)所面臨的重要風險，以及如何進行風險管理方面的信息，并進一步提出企業(yè)風險管理由內(nèi)部環(huán)境、目標設定、事件辨別、風險評估、風險反應、控制活動、信息和交流以及監(jiān)督等8個方面組成。
　　1．內(nèi)部環(huán)境(Internal Environment)。企業(yè)的內(nèi)部環(huán)境是其他所有風險管理要素的基礎，為其他要素提供規(guī)則和結(jié)構(gòu)，也為ERM的其他組成因素提供了框架。其中特別是管理當局的風險偏好，決定了公司對可能出現(xiàn)的預料之外的事件的態(tài)度，管理當局和董事會必須明確戰(zhàn)略及其執(zhí)行過程中的風險和回報。
　　2．目標設定(Objective Setting)。即管理層必須基于目標來識別成功的潛在因素。根據(jù)企業(yè)確定的任務或預期，管理者制定企業(yè)的戰(zhàn)略目標，選擇戰(zhàn)略并確定其他與之相關(guān)的目標并在企業(yè)內(nèi)層層分解和落實。其中，其他相關(guān)目標是指除戰(zhàn)略目標之外的其他目標，其制定應與企業(yè)的戰(zhàn)略相聯(lián)系。管理者必須首先確定企業(yè)的目標。才能夠確定對目標的實現(xiàn)有潛在影響的事項，而企業(yè)風險管理就是提供給企業(yè)管理者一個適當?shù)倪^程，既能夠幫助制定企業(yè)的目標，又能夠?qū)⒛繕伺c企業(yè)的任務或預期聯(lián)系在一起，并且保證制定的目標與企業(yè)的風險偏好相一致。
　　3．事件辨別(Event Identification)。在對企業(yè)目標、戰(zhàn)略和計劃以及對企業(yè)所處的內(nèi)部和外部環(huán)境都有深刻了解的基礎上，企業(yè)風險管理要求辨別可能對實現(xiàn)公司目標產(chǎn)生負面影響的所有重要情況或事件，事件辨別的基礎是將可能的風險與環(huán)境進行對比。這一步要求綜合運用各種專業(yè)知識，盡可能地了解企業(yè)當前或?qū)�來的環(huán)境和經(jīng)營情況。
　　4．風險評估(Risk Assessment)。一般用可能性(概率)和影響結(jié)果兩個維度度量風險，前者是一定的負面影響事件發(fā)生的可能性；后者是假設事件發(fā)生，對經(jīng)營、財務報告以及戰(zhàn)略產(chǎn)生影響的可能結(jié)果，潛在影響一般以對經(jīng)營、數(shù)量、金錢損失以及戰(zhàn)略目標可能造成的損失進行計算。風險評估的過程中根據(jù)不同的情況，采用定性、定量以及相結(jié)合的方法，若可以獲取充足的數(shù)據(jù)，一般采用定量的評估方法；若潛在的可能性及影響結(jié)果都較小，或者無法獲得數(shù)據(jù)，則一般采取定性的評估方法。
　　5．風險反應(Risk Response)。企業(yè)對每一個重要的風險及其對應的回報進行評價和平衡，結(jié)果取決于成本效益分析以及企業(yè)的風險偏好。而平衡的反應包括接受、規(guī)避或緩和這些風險，后者又包括風險分離、風險轉(zhuǎn)換或者減少(包括通過控制活動)等形式。風險反應是企業(yè)風險管理的整體重要組成部分。
　　6．控制活動(Control Activities)。控制活動是管理當局設計的政策和程序，為執(zhí)行特定的風險緩和反應提供合理保證�？刂苹顒影�括在整個組織中使用的批準、授權(quán)、注銷、確認、觀察、查證以及對經(jīng)營業(yè)績復核、資產(chǎn)安全、職責分離等方法。
　　7．信息和交流(Information and Communication)。風險辨別、評估、反應和控制活動在組織的各個水平層次上產(chǎn)生有關(guān)風險的信息，與財務信息一樣，風險信息必須以一定的形式和框架進行交流，使員工、管理層以及董事履行各自的責任。風險評估的信息系統(tǒng)可以產(chǎn)生定期或“例外基礎”的時時報告，報告使用趨勢指標、業(yè)績矩陣及運營或財務成果的形式，這些報告能夠引導出及時的決策。在公司層次，必須對各種數(shù)據(jù)和信息流進行加工，形成關(guān)于公司風險組合輪廓的統(tǒng)一觀點，以利于交流。通常存在自上而下式、平行式和自下而上式三種有效的交流形式。自上而下式是管理當局向員工傳遞風險信息；平行式是部門之間的信息交流和傳遞；自下而上式是一線員工向管理層匯報風險信息。員工的風險信息交流方面的意識是風險管理環(huán)境的重要組成部分，應鼓勵員工就其意識到的重要風險與管理層進行交流，管理當局應當重視員工的意見。
　　8．監(jiān)督(Monitor)。與內(nèi)部控制一樣，企業(yè)應通過持續(xù)的監(jiān)督和獨立的評價活動，監(jiān)督企業(yè)風險管理的有效性。持續(xù)監(jiān)督以日常經(jīng)營中發(fā)生的事件和交易為對象，包括管理當局和專門的監(jiān)督人員的活動。獨立評價一般以定期檢查計劃為基礎，或者以日常監(jiān)督中發(fā)現(xiàn)的意外為起點，由于在獨立調(diào)查、風險評估和報告方面具備能力、技巧和經(jīng)驗，內(nèi)部審計師是提供獨立評價的合適人選。
二、企業(yè)風險管理與內(nèi)部控制的融合
　　
　　自1992年美國COSO委員會提出《內(nèi)部控制框架》報告(簡稱COSO報告)以來，該內(nèi)部控制框架已經(jīng)被世界上許多企業(yè)所采用，但理論界和實務界紛紛對內(nèi)部控制框架提出一些改進建議，強調(diào)內(nèi)部控制框架的建立應與企業(yè)的風險管理相結(jié)合。新的企業(yè)風險管理框架就是在1992年的研究成果——《內(nèi)部控制框架》報告的基礎上，結(jié)合《SOX法案》在報告方面的要求，進行擴展研究得到的。通過比較，我們可以發(fā)現(xiàn)，企業(yè)風險管理的定義采用了1992年內(nèi)部控制框架定義的模式，認為企業(yè)風險管理與內(nèi)部控制同樣是一個程序，它不是靜態(tài)的，而是處于不斷的調(diào)整和變化之中，以適應組織環(huán)

【企業(yè)風險管理框架的若干思考】相關(guān)文章：

企業(yè)風險管理論文02-20

企業(yè)內(nèi)控與風險管理存在問題及對策05-13

企業(yè)風險管理論文 15篇02-20

做好印刷企業(yè)生產(chǎn)車間管理的幾點思考05-26

設計企業(yè)設計人員考勤管理思考05-04

現(xiàn)代企業(yè)管理團隊建設思考論文09-19

關(guān)于鐵路運輸企業(yè)成本管理的思考論文09-24

大數(shù)據(jù)對企業(yè)管理決策影響思考論文04-27

企業(yè)風險財務管理措施論文07-28

新形勢下企業(yè)經(jīng)濟管理創(chuàng)新思考06-14