内部控制文档(1)

《内部控制文档(1)》由会员分享，可在线阅读，更多相关《内部控制文档(1)（23页珍藏版）》请在装配图网上搜索。

1、一、国内外研究综述 1、国外内部控制理论研究 内部控制是0世纪中叶随着现代经济的发展而建立起来的一个重要的管理方法。它的内容和定义随着现代经济管理技术的进步和管理范围的不断拓展而不断丰富和发展。国外对内部控制理论的研究以美国为代表从两点论、三点论、五点论发展到八点论，日臻完善。 ()两点论.1949年美国会计师协会的审计程序委员会(CAP)在内部控制，一种协调制度要素及其对管理当局和独立注册会计师的重要性报告中，首次对内部控制做出了权威性定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施.这些方法和措施的目的在于保护企业的财产,检查会计数据的准确性，提高经营效率,促进企

2、业执行既定的管理政策。此定义将内部控制的范畴扩大了，跳出了单纯的会计控制。进而,该委员会在195年10月发布的审计程序公告第2号将内部控制划分为会计控制和管理控制。 （）三点论.18年美国注册会计师协会（AIA）发布审计准则公告第55号,首次以“内部控制结构的提法替代“内部控制指出：“企业内部控制结构包括为取得企业特定目标的合理保证而建立的各种政策和程序.该公告将内部控制结构划分为三个要素：控制环境、会计制度、控制程序。该理论与两点论相比，有两个明显特征：一是将内部控制环境纳入到内部控制范畴中,二是不再区分会计控制和管理控制。这些反映了当时有关内部控制实务操作和理论研究的新动向.(3)五点论。

3、992年美国反虚假财务报告委员会发起组织委员会（COSO）在其研究报告I：内部控制整体框架中将内部控制定义为:“内部控制是由企业董事会、经理阶层和其他员工实施的，为达到营运的效率效果、财务报告的可靠性、相关法令 的遵循性目标而提供合理保证的过程”.该报告将内部控制分为五个要素：控制环境、风险评估、控制活动、信息与沟通、监督。这一理论将内部控制从平面结构发展为立体框架模型,对世界各国都产生了极为深远的影响,加拿大的COCO，英国的Cdbury等在一定程度上都借鉴了COSO的理论。 （）八点论。20年CSO受到美国萨班斯奥克斯法案及国际审计与鉴证准则委员会修订的审计准则的影响，发布了企业风险管理-

4、整体框架（简称E）,将内部控制框架扩展为企业风险管理框架斗。该框架包括四项目标和八个要素，四项目标是：战略目标、经营目标、报告目标、合法目标,八个要素为：内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。可以看出，此框架与之前的框架相比,对风险管理倾注了更多的关注，而且积极倡导企业的战略规划和长远发展。这意味着，内部控制已经由过去面向实际过程的控制发展到面向未来过程的不确定性的控制。这无疑是内部控制理论上又一次质的飞跃。2、国内内部控制理论研究 国内对内部控制的研究正逐步和国际接轨,但由于本身起步较晚。上世纪0年代，我国股票市场发展初期，会计信息失真的情况愈演愈烈，

5、从“深圳原野,、“琼民源,，、“红光，到后来的“郑百文，,、“银广厦，等层出不穷。虚假会计信息给社会带了的震荡、给社会经济带来的不良影响直接引发了对内部控制的关注，首先发难的是代表政府的监管机构,包括财政部、证券监督管理委员会(以下简称证监会）.当然向其他学科一样，对国外、特别是对美国内部控制理论发展的关注与借鉴也大大影响了我国内部控制理论的发展。截至目前为止，我国对内部控制研究具有代表性的成果体现在以下几个法规中.截至目前为止,我国对内部控制研究具有代表性的成果体现在以下几个法规文件之中。二、内部控制的理论演进 内部控制是社会生产力发展到一定阶段的产物，随着现代经济的发展而建立并得以不断发展

6、,后逐渐成为现代企业管理不可或缺的一个部分.关于内部控制的理论始于二十世纪四十年代的“内部牵制理论”,其后经历了内部控制制度理论、内部控制结构理论、内部控制整体框架理论及企业风险管理框架理论等几个不同的阶段。 、内部牵制理论 二十世纪四十年代,美国的著名审计学家蒙哥马利在其审计学一书中首先提 出了搿内部牵制制度”的理论，即凡涉及财产和货币资金的收付、结算及其登记的任何一项工作，规定须由两人或两人以上来分工掌管，以起到相互制约、内部牵制的目的。其基本思想是两个人或两个以上行为主体同时犯错的可能性小于单一主体，两个人或两个人以上共同舞弊的难度远大于一个人.主要设想是要求以任何个人或部门不能单独控制

7、任何一项或一部分业务权利的方式进行组织上的责任分工，而每项业务可以通过正常发挥其它个人或部门的功能进行交叉检查或交叉控制。实践证明，内部牵制机制有效减少了错误和舞弊行为。而且,在现代内部控制理论中，内部牵制仍占有重要的地位,是有关组织机构控制、职务分离控制的基础. 、内部控制制度理论 二十世纪四十至七十年代,内部控制理论发展到内部控制制度阶段。这一时期的内部控制，强调保护企业资产的完整，保证会计资料的可靠性和准确性，提高经营效率，并且推动管理部门所制定的各项政策得以贯彻执行。前两点是会计控制的目标，后两点则是管理控制的目标。所以，这一时期内部控制制度思想分为内部会计控制和内部管理控制两个部分.

8、内部会计控制由保全资产和保证财务记录的真实准确性相关的经营管理计划及程序、凭证记录组成，旨在保证:按照管理层总的或具体的授权从事经营与交易业务；业务活动的凭证纪录,包括财务报表，必须根据公认的会计准则或其他法规许可的标准来准备;只有管理层授权才被允许接近资产；定期对资产的帐面记录与现存资产进行核对，并对可能出现的任何差异采取适当的措施.内部管理控制包括但不限于与管理层业务授权相关的组织机构的计划、决策程序及书面的规章制度.这种授权是直接与达到机构的目标相联系的一种管理职责，是建立交易业务会计控制的起点。 3、内部控制结构理论 二十世纪八十年代以后，内部控制的理论研究又有了新的发展.美国注册会计

9、师协会于18年5月发布了审计准则公告第55号公告，提出了内部控制结构理论企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序.内部控制结构包括控制环境、会计制度和控制程序三个部分：所谓控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。会计制度规定各项经济业务的确认、分析、分类、记录、计量和编报的方法,明确各项资产和负债的经营管理责任。控制程序指管理当局所制订的用以保证达到一定目的的方针和程序.这一内部控制理论不再区分会计控制和管理控制，并将内部控制环境正式纳入内部控制范畴。 4、内部控制整体框架理论 二十世纪九十年代以后，内部控制已经成为企业管理科学化的重

10、要标志，有关内部控制的研究也取得了新的突破，9年月,美国反虚假财务报告委员会发起组织委员会（COSO）提出了内部控制整体框架理论,该理论认为内部控制是一个自行检查、制约和调整内部业务活动的自律系统，其贯穿于经营活动的全部过程,并受企业董事会、管理阶层及其他人员影响。在CSO报告中第一次提出了“内部控制系统一的概念,以此来代替从前的“内部控制结构。报告对内部控制的定义表述为:内部控制是一个过程，该过程受到公司董事会、管理层和其他人员的影响，其目的是为下列目标的实现提供合理的保证。这些目标包括经营的有效性和效率、财务报告的可靠性与遵守法律法规.COS委员会认为内部控制由五大相互联系的要素构成,即：

11、控制环境、风险评估、控制活动、信息与沟通、监督。 第一，控制环境。控制环境是推动控制工作的引擎，是所有内控组成部分的基础，反映董事会、管理者、业主和其他人员对控制的态度和行为。主要包括以下内容：管理哲学和经营作风、组织机构、董事会和审计委员会的职能设置、人事制度和程序、职权与责任的确认方法、管理者检查监督工作所用的控制方法，还涵盖经营计划、预算、预测、利润计划、责任会计和内部审计制度等。 第二，风险评估。每个企业都面临来自内部和外部的不同风险,风险会直接或间接地影响企业的生存和发展，所以对于风险都应当加以评估。评估风险首先要制定目标（包括营运目标、财务目标及遵循法律目标等），而后在经营过程中不

12、断识别和评估实现所定目标可能会发生的风险,并有针对性地采取必要的措施。 第三,控制活动.控制活动是确保管理方针得以实施的一系列制度、程序和措施.它存在于企业内的各管理阶层和功能组织之间，主要包括：高层检查分析、直接部门管理、审批、授权、对信息处理的控制、会计控制、绩效指标的比较、资产保全及职责分工等。 第四，信息和沟通。企业在其经营过程中,必须按某种形式在一定时期内取得适当的信息，并及时沟通，以使员工能够更好地执行、管理和控制作业过程。信息包括企业内部所产生的信息以及企业外部的事项、活动及环境等有关的信息.企业所有员工必须从管理层清楚地获得自己应承担控制责任的信息，而且必须有向上级部门沟通传递

13、重要信息的途径，并对外界如顾客、供应商、政府主管部门和股东等作有效的沟通。 第五,监控。监控是确保内部控制得以有效运作的重要措施，它是一个不断评估系统的质量的过程。监控是经营管理部门对内部控制的管理监督和稽核部门对内部控制的再监督和再评价活动的总称。只有持续不断地、经常性地对内部控制进行监控才能维护和提高整个内部控制系统的有效性和可靠性。 、企业风险管理框架理论 二十世纪末期，审计实务界已开始探索以风险管理为核心的审计新路子，并形成了风险导向审计的崭新模式。OSO报告事实上已经反映了这种动向，“风险评估”成为内部控制的五大要素之一就是证明，但与审计实务还有差距。进入二十一世纪，这种趋势愈发明显

14、,随着2002年底国际审计与鉴证准则委员会修订审计准则表示对风险导向审计模式的全面认同,加上美国萨班斯奥克斯法案的直接影响，OSO及时充实了内部控制框架，将其扩展为“企业风险管理框架，并于04年8月正式布。根据该框架,企业风险管理包括了四项目标和八个要素。四项目标是:战略目标、经营目标、报告目标、合法目标.八个要素为:内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。 新的风险管理框架比起内部控制框架，无论在内容还是范围上都有所扩大和提 高,具体表现在： （1)提出一个新的观念-风险组合观。企业风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采

15、取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点看待风险。企业的目标分为经营、财务报告和合法目标。企业风险管理框架也包含三个类似的目标，但是其中只有两个目标与内部控制框架中的定义相同，财务报告目标的界定则有所区别.内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而企业风险管理框架中的报告目标的范围有很大的扩展,该目标覆盖了企业编制的所有报告。此外,企业风险管理框架比内部控制框架增加了一个目标战略目标,该目标的层次比其他三个目标更高。

16、企业的风险管理既应用于实现企业其他三类目标的过 程中，也应用于企业的战略制定阶段。(）增加一类目标一战略目标，并扩大了报企业的目标分为经营、财务报告和合法目标。企业风险管理框架也包含三个类似的目标，但是其中只有两个目标与内部控制框架中的定义相同,财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的报告目标的范围有很大的扩展，该目标覆盖了企业编制的所有报告。此外，企业风险管理框架比内部控制框架增加了一个目标战略目标,该目标的层次比其他三个目标更高。企业的风险管理既应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。 （3

17、)针对风险度量提出两个新概念-风险偏好和风险容忍度。针对企业目标实现过程中所面临的风险，风险管理框架对企业风险管理提出风险偏好和风险容忍度两个概念。从广义上看,风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量.企业的风险偏好与企业的战略直接相关，企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来，目的是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。风险偏好的概念是建立在风险容忍度概念基础上的.风险容忍度是指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度.在确定各目标的风险容忍度时，企业应

18、考虑相关目标的重要性，并将其与企业风险偏好联系起来。 （）增加了三个风险管理要素,对其他要素的分析更加深入，范围上也有所扩大。企业风险管理框架新增了三个风险管理要素-“目标制定肘、“事项识别”和“风险反应.目标制定指根据企业确定的任务或预期,管理者制定企业的战略目标，选择战略和确定其他与之相关的目标并在企业内层层分解和落实.在风险管理框架中,由于要针对不同的目标分析其相应的风险，因此目标的制定自然就成为风险管理流程 的首要步骤,并将其确认为风险管理框架的一部分.事项识别指由于不确定性的存在，使得企业的管理者需要对这些事项进行识别。企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素，

19、而且可能在企业的各个层面上出现，并且应根据对 实现企业目标的潜在影响来确认风险。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因，对企业过去和未来的潜在事项以及事项的发生趋势进行计量。风险应对可分为规避风险、减少风险、共担风险和接受风险四类，作为风险管理的一部分，管理者应比较不同方案的潜在影响，并且应在企业风险容忍度范围内的假设下,考虑风险应对方案的选择。在个别和分组考虑风险的各反应方案后,企业管理者应从总体的角度考虑企业选择的所有风险反应方案组合后对企业的总体影响。除上述新增要素外,针对企业将管理的重心移至风险管理,风险管理框架更加深入地阐 述了其他要素的内涵，并扩大了相关要

20、素的范围。以上内部控制理论的演进过程是环环相扣，循序渐进的,每一阶段都是对之前理论的丰富和扩展，内部控制的内涵和外延在此过程中得到不断地提升。就我国目前的 实际情况而言，虽然有许多人对内部控制的认识还很滞后，仍旧停留在内部控制制度 理论和内部控制结构理论的阶段,但内部控制整体框架乃至风险管理框架的建立已经成为必然的趋势。 三、内部控制基本内容1内部控制的主体 内部控制产生于单位管理的需要，存在于单位生产经营活动之中，是其内部管理的重要组成部分，这就决定了内部控制的主体只能是单位的经营管理者。2内部控制的客体 内部控制的客体,是指内部控制的实施对象，也就是说在什么范围内对什么内容进行控制。内部控

21、制主要是对单位的生产经营活动进行管理和控制，因此,内部控制的客体就是单位内部的生产经营活动.生产经营活动范围相当广泛，既包括活动的主体、活动的过程，也包括活动的结果，具体可归纳为五个方面:单位的经营管理者和生产者:单位内部的各组成机构:单位的各项资产、负债和所有者权益；单位的信息载体和信息处理，以及单位的各种经济业务活动。内部控制的目标 内部控制的目标,是指制定和实施内部控制要实现的目的或欲达到的效果，它是单位内部控制的预期结果和基本任务的统称.归纳起来，内部控制的目标包括:（ 1 ）维护财产物资的安全、完整;（ 2） 保证会计信息的真实、可靠;（ ） 保证生产经营活动的经济性、效率性和效果性

22、;（ 4 )保证各项法律规范的遵循.四、风险管理。风险和风险管理风险自古有之,古代人类与艰难的环境进行不懈的争斗，目的就是为了减少死亡的风险，增加生存的几率。随着人类社会和经济文化的不断发展，人类自身的生存环境已大有改善,可对于企业来说情况却恰恰相反。尤其是二战之后,由于社会、经济结构的改变，科学技术的进步和跨国公司的大量出现，企业面临的环境瞬息万变,风险无处不在。风险不仅伴随着企业经营的每一个时刻,亦存在于企业生产经营过程的每一个环节。只有那些重视风险并对风险进行有效管理的企业，才能化风险为机会并在生存中求得发展。.风险的定义风险一词最初是指不确定性。早在世纪，西方古典经济学家就提出了风险的

23、概念，认为风险是经营活动的副产品，经营者的收入是其在经营活动中承担风险的报酬。最早提出风险概念的美国学者海恩斯(ae)s在其195年出版的著作is as onomic Fcor中写到:“风险一词在经济学和其他学术领域中并无任何技术上的内容，它意味着损害或损失的可能性。偶然性的因素是划分风险的本质特征,某种行为能否产生有害的后果应以其不确定性而定.如果某种行为具有不确定性，则该行为就承担了风险”。172年，J5。Rosnlom将风险定义为损失的不确定性。在84年.GCrne认为风险是指未来损失的不确定性.经济学家对风险这一概念有着大量的研究。在这方面，奈特的贡献是经典的。其贡献在于通过对风险与不

24、确定性的区分,来理解人的行为对风险本身的影响。奈特指出,只有当变化及其结果是不可预测的时候，才可能带来特殊形式的收入，几这就是利润.只有敢于创新的企业家，才可能创造出人们预料的收入，才能带来利润.这种不可预测的变化及其结果就是不确定性.而风险则是可以被计量的。奈特认为，对于可确定的风险的回报与对于其价值本身不可确定的风险的回报,二者之间是具有根本差异的。奈特的讨论不仅仅是对风险和不确定性作出了清楚的界定，其论述的重心实质上是要指出不确定性之于企业家和人类社会的重要意义，从而也指出了不确定性具有比风险更深一层的含义，不确定性实质上规定着风险。只有在企业家的创造性活动之后，风险才开始存在。80年代

25、初，日本学者武井勋在吸收前人研究成果的基础上对风险的概念作了新的表述，认为风险是特定环境中和特定期间内自然存在的导致经济损失的变化。包括三个要素：第一,风险与不确定性有差异；第二，风险是客观存在的；第三,风险可以被测量。我国学者则将风险定义为在以特定利益为目标的行动过程中，若存在与初衷利益相悖的可能损失即潜在损失,则称该潜在损失所引致的对行动主体造成危害的事态为该行动所面对的风险。从期望值的角度理解风险,风险常常是指相对于某个期望结果可能发生的变动状况，有些时候它可能就是指期望值本身(比如保险公司负担的损失的期望值)。随后的风险概念不仅包括损失的可能性,而且将获益的可能性也包括在内.在C。小阿

26、瑟。威廉姆斯等人所著的风险管理与保险一书中,对风险的定义是结果中潜在的变化.一部分学者的定义中只包含了未来结果向不利方向变动的可能性,亦即风险损失；而另外的学者则将未来结果向有利和不利两方面的变动都包括在内,风险之中亦存在机会。但是在奈特之后，人们在很大程度上只是接受了奈特对于风险和不确定性的界定,而对于不确定性丰富含义的讨论却没有什么实质性进展.围绕风险概念所进行的理论讨论也主要是技术层面上的，基本上不关注风险概念在政治、社会层面上的意义。这一点可以说集中体现在学者们现在己不再对风险概念与不确定性概念的区分感兴趣。在实际讨论中，风险和不确定性这两个概念在很大程度上是被混用的。甚至有些学者断言

27、,风险和不确定性指的是同一概念。通常来讲,风险(就风险损失而言）包含三个要素:危险因素(zdar)、危险事故印rl)以及损失（05）.危险因素是指导致不利后果的所有因素。危险事故是导致风险损失的内部或外在原因，亦即风险通过危险事故的发生才能导致损失。损失在风险管理学中定义为非故意的、非计划性的和非预期的经济价值的减少。对于风险三要素之间的关系,至今存在两种理论：H.WHel州hc的“骨牌理论和wiim Hadno。r的“能量释放理论。两种理论均认为危险因素引发危险事故,而危险事故导致损失。但他们的侧重点不同，“骨牌理论”强调危险因素、危险事故和损失三张骨牌之所以倾倒主要是人的错误所致，其侧重于

28、人为因素。而“能力释放理论”则强调是因事物所承受的能量超过其所能容纳的能量所致，其侧重于物理因素.不过对上述风险因素的分类并无公认的统一标准，而对于风险类型，巴塞尔委员会和国际证券组织联合会（orSC)于99年发表的场外衍生工具交易的风险管理文件中定义了6种风险类型：市场风险:市场风险实质上是指公司的金融工具或证券价值随市场参数变动而波动所产生的风险。这些参数包括利率、汇率、股票指数和商品价格等.信用风险：对银行信用风险的传统观点一般仅指对方不履约的风险。对风险本质的更进一步的解释是，信用风险不仅仅是对方的违约风险，还可以在更广泛的意义上看作是由于公司交易对方在履约能力上的变化而导致公司资产的

29、经济价值遭受损失的风险。清算风险：是指公司不能按期收到对方的资金或工具的风险.清算风险是一种高度复杂的风险，包括限额的制定、交易前核查资金状况、交易记录、交易确认相符、超出控制范围的报告、支付的管理、收款的确认、收款失败管理、活动分析和重点管理等。流动性风险:公司一般面临两种类型的流动性风险，一种与特定的产品或市场相关;另一种与公司活动的总体资金状况有关.前者是指由于不充足的市场深度或由于市场的中断,公司不能够或不能轻易以以前的市场价或与之相近的价格对冲某一头寸的风险;后者是指公司不能在清算日履行付款义务或支付保证金的风险。操作风险：是指信息系统或是内部控制方面的缺陷,会导致意想不到的损失.这

30、种风险由人为错误、系统失灵和不正确的程序及控制所引起。法律风险：是指合同不符合法律的实施性或文件没有正确表达.这种风险不仅包括文件是否具有法律实施性的问题，还包括金融机构是否适当地履行了它对客户的法律和条规职责。.2风险理论的分类风险理论发展至今,大体上可以归纳为两类：一是客观实体派的风险理论;二是主观建构派的风险理论。主观建构派主要依据心理学、社会学、文化人类学与哲学进行风险理论研究。而客观实体派则主要依据保险精算、工程学、经济学与财务理论进行风险理论研究.两种理论都围绕着三个基本问题:第一,如何规范与测度不确定性田ncertin）；第二,不利的后果包括那些；第三,什么是风险的真相或它的真实

31、性R(ealiy)。风险是客观的不确定(bectiveUnrtat力，是客观存在的实体，是可以预测的。这些看法是现实论或实证论者的主张，称之为客观实体派.此派主要以客观概率的概念，规范与测度不确定性。一切不利后果，均以货币观点观察与计价。风险真实性的认定,则以数学值的高低为认定基础。风险主观构建派的思维主要来自心理学者、社会学者、文化人类学者与哲学家的贡献。其中，心理学仍保留实证论者或现实论者的思维,风险可用个人主观信念强度来测度。社会学、文化人类学与哲学则采取后实证论者或相对论者的思维。因此，风险不是测度的问题，它是构建过程的问题.3。3风险管理的产生与发展同任何学科一样,风险管理也是随着人

32、类社会自身的进步而产生和发展的.人类为了生存和谋求社会的进步，就必须对人类周围的环境所带来的风险做出有效地反应,从而促使风险管理意识的出现。人类早期风险意识的形成可大致分为三个阶段：人与兽斗争阶段、人与神斗争阶段和互助共济阶段.在人类社会的早期，人们面临的生存威胁主要来自野兽。人们既要猎取一定数量的野兽来充当食物，又必须防止野兽对人类的侵害。随着人类工具使用的进步和农业的发展，人们逐渐意识到生存的风险已经不再是野兽，而是人们所无法驾驭的自然环境，一系列的自然灾害和疾病使当时的人们束手无策。当生产力得到进一步发展以及人类协作能力的增强,人们开始相互帮助以抗拒风险，即互助共济的阶段。企业风险管理思

33、想在1世纪就开始萌芽，它是伴随着工业革命的诞生而产生的。当时法国科学管理大师法约尔在其所著的一般与工业管理一书中首先把风险管理思想引入企业经营内。风险管理作为企业的一种管理活动,真正起源于世纪0年代的美国。当时美国一些大公司发生的重大损失使公司高层管理者开始认识到风险管理的重要性。其中一次是1953年月12日通用汽车公司在密歇根州的一个汽车变速箱厂因火灾损失了5000万美元,成为美国历史上损失最为严重的巧起重大火灾之一.952年，格拉尔在其调查报告费用控制的新时期风险管理中首次提出并使用了“风险管理”一词.到了60年代,在美国保险管理协会（ASIM）的推动下，风险管理教育在美国风行起来.70至

34、80年代，布雷顿森林体系的瓦解,使任何经济个体面临着空前的财务性风险；同时，科技灾难的相继发生（如美国挑战者号航天飞机的失事、苏联切尔诺贝利核电站事故等),使风险管理思维产生巨大变动。人们意识到,管理风险不应只重技术与经济财务,也应注重人为作业绩效与文化社会背景的影响，财务性风险管理与危害性风险管理不能各行其是。90年代之后,经济全球一体化及衍生产品的发展使企业面临更大的不确定性和风险的考验。巴林、基德和联邦人寿保险公司的破产以及1997年亚洲金融危机将传统风险管理的局限性暴露无遗。人们开始反思过去的“筒仓式风险管理”M(ngigsrib51105）手段，寻求新的风险管理思路,即整体风险管理（

35、Itegratdesimagaemen)t或企业风险管理E(eprsrierksmaaemn）t。这一时期成为了现代全方位风险管理形成的转折点。对此有一个形象的比喻盲人摸象.风险就像是一头大象，传统的风险管理就像是盲人摸象，只能得到片面的认识.只有将各方面的风险关注整合在一起进行全方位的风险管理,才能触摸到风险管理的本质。.42风险管理的概念我们先来看一下国内学者的定义。陈秉正将风险管理定义为：风险管理是通过对风险进行识别、衡量和控制，以最小的成本使风险损失达到最低的管理活动。许瑾良认为,风险管理就是应用一般的管理原理去管理一个组织的资源和活动,并以合理的成本尽可能减少灾害事故损失和它对组织及

36、其环境的不良影响.在国外，对风险管理的系统研究则以梅尔与赫尔奇斯企业风险管理(63）、威廉姆斯与汉斯风险管理与保险的出版为标志。后者指出风险管理是通过对风险的识别、衡量和控制,以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法.约尼思与福德对风险管理界定为风险管理是指为了建构风险与回应风险所采用的各类监控方法与过程的统称。长期以来，风险管理的关注对象主要是那些可能带来损失的风险。风险管理在20世纪90年代以前基本上是围绕纯粹风险展开的，并将保险作为风险管理的主要手段。研究风险管理的人大多来自保险界，具有实用意义的风险管理手段也通常是针对纯粹风险的，这在一定程度上限制了风险管理的发

37、展。随着经济的迅速发展和社会的不断进步，人们对风险管理的认识开始发生了巨大的甚至是根本性的变化。任何风险管理都应像所有控制系统一样，包括三项要素：第一，风险管理的目标；第二，风险信息的收集与解释；第三，影响人们行为与调整系统架构所采取的措施.就管理的目标与对风险的解释而言,风险的客观实体派与主观构建派有所不同。客观实体派管理的目标是降低风险水平,并视风险为客观存在的实体.主观构建派管理的目标是如何与风险共生存并视风险由人们特定的文化社会因素建构而成。风险客观实体派与主观构建派对风险的不同思维，正可互补而非替代。前者，使我们管理风险而知其然；后者,则可使我们知其所以然.3。5风险管理的程序与方法

38、不论什么类型的风险，其管理过程一般都包括以下几个关键步骤:识别各种可能减少企业价值(导致损失)的重大风险;衡量潜在的损失频率和损失程度；开发并选择适当的风险管理方法,其目的是增加股东的企业价值;实施所选定的风险管理方法；持续地对公司风险管理方法和风险管理战略的实施情况和适用性进行监督。对于风险管理方法,一般可以把它们大致分为三类，损失控制、损失融资和内部风险抑制。损失控制是指通过降低损失频率并且（或者）减少损失程度（规模）来减少期望损失成本的各种行为，有时也将损失控制称为风险控制。通常把主要是为了影响损失频率的行为称为损失防止手段，而把主要是为了影响损失程度的行为称为损失降低手段。损失控制有两

39、种常用的方法，首先,公司可以通过减少风险行为的数目降低风险(比如降低有风险的产品的产量）.但是这种战略有一个最大的缺陷,那就是它虽然考虑了风险行为的损失，却因此丧失了风险行为可能带来的受益。第二种用于损失控制的方法是提高对给定风险行为水平的预防能力，其目的是使风险行为变得更安全并且降低风险的损失频率和损失程度，但为此必须支付一定的成本。用获取资金而支付或抵偿损失的办法称为损失融资或风险融资。通常有四种损失融资的手段：自留，指公司自己承担了部分或全部损失;购买保险合同;套期保值;其他的和约化风险转移手段.内部风险抑制则主要有两种形式：分散化和信息投资。信息投资的目的是为了对期望损失进行更理想地预

40、测。风险管理的主要目标是通过风险成本最小化实现企业价值最大化。四、CSO理论41RM一F的定义与分析9.11袭击和安然公司倒闭等突发事件带来的冲击,使得世界范围内的企业掀起了加强企业风险管理的热潮，但是理论界却一直没能对风险管理进行系统的研究。在此背景下,OO委员会于201年提出了对企业风险管理进行研究的构想，并邀请了普华永道事务所作为合作伙伴，组织各方面的专家进行集体的讨论.03年7月,OO委员会发布了企业风险管理框架的征求意见稿,并于2004年9月发布了企业风险管理框架正式稿（ntersrie形kaeneItgeratdeFrmawokr，以下简称ERM一IF）。EM一IF提出，企业风险管

41、理是一个受到企业董事会、管理者和其他员工影响，应用于战略制定并贯穿整个企业,对可能影响企业的潜在事项进行识别,把风险控制在企业的风险偏好之内，为实现企业目标提供合理保证的过程。从企业风险管理的这一概念，可以看出ERM一FI的如下特征：（l）是一个动态的过程。企业风险管理不是一个事项或境况，而是贯穿于企业所有活动中的一系列行为。这些行为渗透到和固化在管理者经营企业的方式中。虽然有效的企业风险管理会增加耗费,比如风险评估需要增加耗费来开发所需的模型和做出必要的分析和计算.但是,这些和其他的企业风险管理机制是与企业的经营活动缠绕在一起，并因为基本的经营原因而存在。并不像有些人认为的那样是附加在企业活

42、动上的东西,或是一种必要的负担.如果这些机制内置于企业的基础组织并成为企业核心的组成部分，那么企业风险管理会更加有效。通过建立企业风险管理，企业可以直接影响其实施战略和完成愿景或认为的能力。建立企业风险管理对成本控制也有重要的意义，尤其是企业面对高度竞争的市场环境时.在现有的程序之外增加新程序会增加成本。但是,通过关注当前的经营和它们对有效的企业风险管理的贡献,以及将风险管理与基本的经营活动结合在一起，就可以避免不必要的程序和成本。而且,将企业风险管理同经营结构结合在一起可以帮助管理者在业务成长中识别并抓住新的机会.（)受人们的影响。企业风险管理受董事会、管理者和其他职员的影响。它的实现依赖于

43、组织中的人及他们的所行所言。人们确定企业的任知宗旨、战略和目标并进行企业风险管理。同样的,企业风险管理受人们行为的影响。人们不会总是一贯地理解、沟通和履行任务。每一个个体都具有独特的背景和技术能力,并有不同的需求和优先权。这些事实影响着企业风险管理，也受到企业风险管理的影响。每一个人都有一个独特的参考点，它会影响个人对风险的识别、评估和反应。企业风险管理提供了帮助人们在企业目标背景下理解风险所需要的机制。人们必须知道他们的责任和权利的界限。同样的，人们的职责与人们履行职责的方式之间和企业的战略与目标之间存在清楚、紧密的联系。组织的人员包括董事会、管理者和其他职员。虽然董事会主要进行监督，但他们

44、也提供指导和批准战略、某些交易和政策。所以，董事会是企业风险管理的重要元素。（3)应用于长期战略制定过程.一个企业制定其任务或愿景并建立支持其愿景或任务并与之保持一致的战略目标（高层次目标）。企业建立实现其战略目标的战略.它也会制定想要实现的相关目标，从战略产生，像瀑布样分解到经营单位、部门和程序。在制定战略的过程中，管理者要考虑与战略选择相关的风险.(4)应用于整个企业.为了能够成功应用企业风险管理,一个企业必须考虑其全部的活动.应予以考虑的活动包括组织的所有层次，从企业层次的活动比如战略计划和资源分配,到经营单位的活动比如市场和人力资源，到经营过程比如生产和新顾客的信用审查.企业风险管理也

45、应用于特殊项目和在企业层级与组织图中尚无指定位置的创新行为。企业风险管理要求企业采取风险组合的观点。这可能涉及到每一个负责经营单位、功能、过程或其他活动的风险评估的管理者。这种评估可能是数量上的也可能是质量上的。采用组合的观点看待后续的每一组织层次，高层管理者需要决定企业整体风险组合是否与其风险偏好相配合。管理者要从企业整体组合的视角考虑相关的风险。识别并采取行动把企业整体风险置于风险偏好之内。企业个别单位的风险在单位的风险容忍度之内,但其风险总和可能超过企业整体的风险偏好.通过为特定目标制定风险容忍度可以反映企业整体的风险偏好.(5）风险偏好。风险偏好是企业在追求价值时所愿意接受的风险数量。

46、企业经常定性地考虑风险偏好，将之分为高水平、中等水平和低水平，或者也会用定量的方法，反映并平衡成长、回报和风险目标.风险偏好与企业战略直接相关.在战略制定时要考虑风险偏好，因为在战略中获得的回报要同企业的风险偏好一致。不同的战略会使企业暴露在不同的风险之中。在制定战略时进行企业风险管理，帮助企业选择与其风险偏好一致的战略.企业风险偏好指导企业资源的分配。为从投入的资源上获得期望的回报,企业的风险偏好和个体经营单位的战略是管理者在分配资源时应考虑的因素。管理者在协调组织、人员和过程时考虑风险偏好，并设计必要的基础结构对风险做出有效地反应和监督风险.风险容忍度是可接受的与实现目标相关的变动水平。在

47、设定风险容忍度时,管理者要考虑相关目标的相对重要性并使风险容忍度与它的风险偏好保持一致.在风险容忍度之内经营给管理者提供更大的保证:企业将会维持在风险偏好之内，从而可以以更高的程度保证实现企业的目标。（)提供合理保证.设计和实施良好的企业风险管理可以为管理者和董事会实现企业目标提供合理保证。若企业风险管理是有效的，董事会和管理者可以获得以下每一个目标的合理保证:了解企业长期战略目标被实现的程度；了解企业短期经营目标被实现的程度;企业的报告是可靠的；适用的法律和法规得到了遵循。合理保证反映了一种观念，由于没有人能够准确预测未来，所以不确定性和风险与未来有关。局限性还来自于人们在制定决策时判断可能

48、出现失误，做出风险反应决策和建立控制需要考虑相应的成本和收益,由于人们可能出现错误或失误而导致失败,两个或多人的共谋可能绕过控制,管理者拥有超越企业风险管理的能力。这些局限性使得董事会和管理者不能为实现企业的目标提供绝对保证。(7)目标的实现。有效的企业风险管理可以预期为实现可靠的报告和法律与法规的遵循相关的目标提供合理保证。这些目标的实现在企业控制之内并依赖于企业有关活动的实施情况.然而,实现战略和经营目标并非总在企业控制之内。对于这些目标,企业风险管理仅能提供如下合理保证，管理者和担任监督任务的董事能够及时地了解企业向其目标前进的程度。2。2.2ERM一Fl的构成要素企业风险管理由八个相关

49、的要素构成。这些要素来自于管理者经营企业的方式，并和管理过程结合为一个整体。因此，可以将MR一FI称为是内部控制的“八点论.1内部环境(1nternalEnvironment）企业的内部环境提供规则和结构，是企业风险管理其他构成要素的基础。内部环境影响战略和目标的制定、经营活动的组织和对风险进行的识别、评估和采取的行动。它会影响控制活动、信息和沟通系统、监督活动的设计和职能。同样，内部环境也会受到企业的历史和文化的影响.内部环境由众多要素组成，包括企业的道德价值、员工的发展和胜任能力、管理者经营风格和权利与责任的分配。董事会是内部环境中的关键因素，对内部环境的其他因素有重大影响.董事会中必须有

50、足够的独立外部董事，他们不仅提供合理的建议、忠告和指导，而且要起到对管理者进行检查和制衡的作用.为使内部环境有效,董事会至少应拥有多数的独立外部董事。管理者的态度和日常经营风格会影响到企业行为同风险哲学和偏好之间的一致程度。作为内部环境的一部分，管理者建立风险管理哲学、制定企业风险偏好、形成风险文化并把企业风险管理与有关的主动性结合起来。为所有员工理解的企业风险管理哲学有助于雇员识别和有效管理风险。这一哲学-企业对于风险和它如何选择指导其活动并处理风险的信念反映了企业从企业风险管理中追求的价值并影响企业风险管理要素如何被应用。有些企业采用企业风险管理可能是为了满足外部利益相关者的要求，比如母公

51、司或监管者,更多的可能是因为管理者认识到有效的风险管理可以保持并创造价值。管理者通过政策说明和其他方式向员工传递它的企业风险管理哲学。重要的是,管理者不仅通过语言而且通过日常行为来强化这种哲学.由管理者制定并由董事会审核的风险偏好是制定战略的路标。通常可以设计许多不同的战略来实现企业增长和回报的目标，每一个不同的战略都有不同的相关风险。应用于战略制定的企业风险管理可以帮助管理者选择与其风险偏好一致的战略。管理者寻求组织、人员、过程和基本结构的一致以有助于成功的实施战略并使企业保持在它的风险偏好之内。风险文化是表征企业在其日常活动中如何考虑风险的共同态度、价值和习惯。对许多公司来说,源自它的风险

52、哲学和风险偏好.对于那些没有明确定义风险哲学的企业,风险文化可能随意形成,在企业内部甚至一个特定经营单位、职能或部门内形成区别很大的风险文化。企业内不同的经营单位、职能和部门的风险文化会有细微的差别，称之为风险亚文化（rissbuhues)。个别的,这些亚文化可能会对企业产生不利的影响。但如果它们一起产生作用，相互弥补不足,这些不同的文化可能共同地反映企业想要的风险偏好和哲学。2目标设定(obetiveSeting）在既定的任务和愿景下,管理者制定战略,选择战略并制定相关目标，细分至企业的方方面面,与战略保持一致并相联系。目标必须在管理者能够识别影响目标实现的潜在事项之前就己经存在。企业风险管

53、理确保管理者有一个适当的过程，既设定目标又将目标和企业任务与愿景相连并同企业风险偏好相一致.企业目标主要有以下四种类型：长期战略目标与高层目标相关，与企业任务和愿景一致并提供支持；短期经营目标与企业经营的效率性和效果性有关，包括业绩、盈利目标和保障资源以防损失，它们随管理者选择的结构和业绩而变化;有效报告目标-与企业报告的有效性相关,包括对内和对外报告,可能涉及财务或非财务信息；法制遵守目标-与企业遵守适用的法律和法规有关.虽然企业应为实现某些目标提供合理保证，但并非针对所有目标。对于报告和遵守目标企业可以提供合理保证,因为两者基本在企业控制范围之内。而经营目标则不同,它可能受到许多外界因素的

54、影响，而这些因素在企业控制范围之外。企业在设定目标时可能已经考虑了这些因素并把它们当作低概率事件,而且制定了这些事件发生时的应急计划.然而,这样的计划也只能减轻这些外部事件的影响,并不能保证经营目标的实现.对企业目标的分类可以使管理者和董事会集中精力于企业风险管理的某一个方面。这些明确但又相互重叠的类别一个特殊的目标可以归入不止一个类别表达了不同企业的需要，而且可能是不同管理者的直接责任.这种分类也可以区分从每个目标中期望得到的东西。有些企业使用目标的其他分类，“保障资源有时称为“保障资产”。广泛地说，它们用以防止企业资产或资源的损失,不管是盗窃、浪费、低效或不良经营决策如低价出售产品、关键人

55、员的流失、专利权被侵害或导致无法预料的负债.这种广泛意义上的保障资产概念可能因具体报告目的而缩小,在此保障的概念仅指阻止或及时发现未经授权的取得、使用或处置企业资产。3事项识别（Even一dent1feat1on）管理者由于无法预知事项是否和何时发生，或它发生的结果,从而认识到不确定性的存在.作为事项识别的一部分,管理者需要考虑影响事项发生的内部和外部因素。外部因素包括经济、业务、自然环境、政治、社会和技术因素。内部分析因素反映了管理者的选择包含基本结构、人员、过程和技术。事项识别技术既关注过去也关注未来。对潜在事项进行分类可能是有用的。通过综合横向贯穿一个企业和纵向贯穿所有经营单位的事项，管

56、理者能了解事项间的相互关系并获得更多的信息作为风险评估的基础。事项具有潜在的负面或正面影响,或两者兼而有之。具有潜在负面影响的代表风险，管理者要对之进行评估和做出反应。相应地，风险被定义为事项发生并对目标实现产生不利影响的可能性。具有潜在正面影响的事项代表机会或弥补风险的负面影响.代表机会的事项引导管理者的战略和目标制定过程,从而采取行动以抓住机会。表一l外部因素以及相关事项表2一内部因素及相关事项.4风险评估（RkAssment）风险评估使企业考虑潜在事项如何影响目标的实现。管理者从两个方面评估事项:可能性和影响。企业风险评估方法通常包括定性和定量方法的结合。如果风险不适于定量，或不能获得充

57、分可靠的数据或获取和分析数据不符合成本效益原则时，管理者通常使用定性评估方法.定量方法更精确，在评估更加复杂的活动时作为对定性方法的补充.评估风险的可能性和影响时使用过去可观察事项的数据来确定，基于企业自身经历的内部数据可能较少受到个人主观偏见的影响并比来源于外部的数据提供更佳的结果.内部控制理论的新进展探讨基于Cos发布的企业风险管理整体框架（ER一)的分析管理者通常使用业绩指标来衡量目标实现的程度.在考虑风险对实现特定目标潜在影响时采用相同的方法可能是有用的。事项相结合并互相作用产生相当不同的可能性和影响，因此管理者需要评估事项如何相关联。虽然单一事项的影响可能是微小的，但一系列事项可能产

58、生重大影响。风险评估首先应用于固有风险管理者缺乏有效的手段以改变其可能性和影响的风险。一旦己经做出风险反应，管理者使用风险评估技术确定剩余风险-管理者采取措施改变风险的可能性或影响后的残存风险。表2-4提供了定量风险评估技术的例子.标杆管理一组实体协作的过程，标杆管理关注特定的事项或过程,对采用相同尺度衡量的指标和结果进行比较，并识别改进的机会。有关事项、过程和指标的数据用以业绩的比较。有些公司使用标杆管理对整个实体内潜在事项的可能性和影响做出评估。概率模型与一定范围相关的概率模型和这些事项可能的影响结果基于某些假设的基础之上。在历史数据或反映未来行为假设的模拟产出的基础上评估可能性和影响。概

59、率模型的例子包括风险价值、风险现金流、风险盈利、信用发展和经营损失分布.概率模型可以在不同的时间范围之内使用,以对金融工具价值随时间变动的结果进行估计.对比极端的或未能预料的影响,概率模型还可用来评估期望的或平均的产出.非概率模型非概率模型在对事项的影响进行评估时使用主观假设,不对相关的可能性进行定量。在历史或模拟数据和未来行为假设的基础上评估事项的影响。非概率模型的例子包括敏感指标、重点测试和情景分析。5风险反应（Risk espnse）管理者确定风险反应选择并在风险容忍度和成本-收益原则下考虑它们对事项的可能性和效果的影响，然后设计和实施选择的反应。有效的企业风险管理要求管理者选择预期可以

60、将风险可能性和影响置于企业风险容忍度之内的反应。风险反应包括风险回避、风险降低、风险共享和风险接受。回避反应是退出带来风险的活动。降低反应减少风险可能性或影响或两者兼而有之。共享反应通过转移或分担一部分风险的方法降低风险可能性或影响.接受反应则不采取任何影响风险可能性和影响的行动。作为企业风险管理的一部分，对每一个重大风险，企业要从一系列风险类型中考虑潜在反应. 在选择了一个风险反应后,管理者要从残余的角度重新校准风险。管理者从企业整体或组合的角度考虑风险.管理者可以采用这样的方法，让负责每一个部门、职能或经单位的经理为本部门制定一个综合的风险评估和风险反应。这个视图反映出和这一单位的目标与容

61、忍度相关的风险组合。有了单个单位的风险视图，企业的高级经理就处在从风险组合的角度来确定企业风险组合是否与其目标相关的风险偏好相称。管理者应该认识到剩余风险总是存在的，不仅是因为资源有限,还因为未来固有的不确定性和所有活动的固有局限性。表2一5提供了如何应用这些反应方案的示例。回避一个非营利组织识别和评估直接向其成员提供的医疗服务的风险，决定其不能接受相关的风险。从而决定提供转诊介绍（refrra)服务。降低一家证券清算公司识别和评估其系统服务中断超过三个小时的风险，认为出现这种事情的影响是不能接受的。公司进行技术投资以提高故障自我诊断和支持系统的能力，从而降低系统中断的可能性。共享一家大学识别

62、和评估与其学生宿舍管理相关的风险，认为它不具备有效地管理这些大型居住财产所需的内部能力。大学将宿舍管理外包给一家财产管理公司，可以更好地降低与财产相关风险发生的可能性和影响。接受一家政府机构对其不同地域的基础设施遭受火灾的风险进行识别和评估,并评估了利用保险共享风险的成本.认为投保所增加的成本超过了受灾后重建的可能成本，所以决定接受这一风险。6控制活动（ontolAetiities）控制活动是有助于保证风险反应得到恰当实施的政策和程序。控制活动存在于整个组织的所有层次和职能中。包括一系列的活动：批准、授权、查证、调解、审查经营业绩、保障资产和职务分离等。企业实施的控制活动可以分为不同种类,包括

63、预防控制、侦查控制、人为控制、计算机控制和管理控制。控制活动是企业努力实现其经营目标过程的一部分。通常包含两个要素：确定应做什么的政策和有效地实施政策的程序.由于广泛的依赖于信息系统,从而对重大系统需要进行控制。有两类信息系统控制活动：一般控制和应用控制。因为每一个企业都有自己的一套目标和实施办法，不同企业间的目标、结构和相关的控制活动会存在差别。即使两个企业具有相同的目标和结构，它们的控制活动也很可能不同。每一个企业都由不同的人来管理，他们运用自己的判断去影响内部控制。而且，控制反映了企业经营所处的环境和行业，也反映了它的组织、历史和文化的复杂性. 7信息和沟通（1nrt1onandConf

64、u1ea1on)相关信息来源于内部的和外部的必须被识别、捕捉并以一种员工能够履行其职责的方式沟通。有效地沟通含义广泛，包括在整个企业内自上而下、横向、自下而上的沟通.还包括与外部团体有效地沟通和交换相关的信息,比如客户、供应商、监管者和股东。为支持有效的企业风险管理，企业需要捕捉、使用历史的和当前的数据.历史数据可以使企业追踪当前业绩并与目标、计划和期望比较。它可以洞察企业如何在变化的环境里经营，使管理者识别相关性和趋势并预测未来业绩。现在和当前的数据可以使企业及时的评估在某一特定时点的风险并维持在确定的风险容忍度之内.信息是沟通的基础，必须满足团体和个体的期望以使他们有效地履行其职责.高层管理者与董事会之间的沟通是最重要的沟通渠道。管理层必须保证董事会了解最新的业绩、发展、风险和企业风险管理的运作以及其他相关事项和问题.沟通越好，董事会就越能有效地履行其监督职责,在关键问题上提供合理的建议、忠告和指导.管理者应提供详细和指导性的沟通，详述行