（会计学专业论文）基于erm的内部审计研究.pdf

摘要 企业所面临风险的复杂性和多样性，使得风险越来越成为企业的核心价 值，而风险管理也愈来愈成为企业公司治理的重要内容。内部审计在经历了 以消极防弊为主、积极兴利为主的阶段后，到了2 0 世纪末期，也由于外部审 计竞争的压力而确立了为组织增加价值的功能目标，并在公司治理中发挥着 重要作用。这样，内部审计与企业风险管理在公司治理这一共同目标下，为 了降低企业交易成本，提升自身在企业价值链中的地位而逐渐结合在一起， 形成相互交融的紧密关系。2 0 0 4 年h a 重新修订的国际内部审计专业实务 标准中规定内部审计是。一种独立、客观的确认和咨询活动，旨在增加价值 和改善组织的运营，它通过应用系统的、规范的方法，评价并改善风险管理，控 5 l 和治理过程的效果，帮助组织实现其目标”这定义的出台将内部审计与企 业风险管理密切联系在一起，同时实现了内部审计目标与公司目标的统一。 这标志着内部审计范围和对象的扩展，反映了内部审计的发展趋势和内在要 求。 受到新定义的启发，笔者基于e r h p 对内部审计进行研究，本文共分为四 章： 第一章从e r m 产生的背景出发，来介绍e r m 的内涵，继而从理论基础， 现实动因、现实意义这三个角度来深入剖析e r m 与内部审计之间的互融关 系。 第二章介绍内部审计在e r m 中角色定位。笔者首先论述内部审计角色定 位的影响因素，然后根据相关法规、报告的观点，最后得出结论，笔者认为 内部审计在风险管理中的角色是作为监督者就风险管理政策、程序的恰当性 和有效性为管理层作出评价，对风险管理的恰当程序作出保证，内部审计师 还可通过接受风险管理方面的咨询帮助管理层。 。e r m 是e i 眦慨r 址m 锄鸭印l i 的缩写，即企业风险管理，下文均简称为e r m i 第三章介绍内部审计在e r m 中职能发挥的途径。笔者从两个方面进行深 入的探讨：一是保证职能的发挥途径；二是咨询职能的发挥途径。 第四章e r m 背景下内部审计的前景展望。首先介绍e r m 背景下对内部 审计提出的新挑战，在此基础上，介绍在新的挑战下，内部审计通过何种途 径来应对这些挑战。 关键词：风险，企业风险管理，内部审计 a b s t r a c t t h er i s ki sb e e o n r i n gt l a ec 0 糟v a l u eo fe 1 1 t c r p r i 辩, d u et oi t sc o m p l e x i t ya n d v a r i e t y , a n dr i s km a n a g e m e n ti sa l s ob e c o m i n ga ni m p o r t a n tp a r to fc o r p o r a t e g o v e r n r l a v i n gp a s s e dt h r o u e , ht w os t a g e sw h e nt a k i n gf r a u dp r e v e n t i o na n d e f f e c t i v e n e s sp r o m o t i o na si t st a r g e ts e p a r a t e l y , i n t e r n a la u d i tm a d ea d d i n gv a l u e a si t sg o a la tt h ee n do f2 0 血c e n t u r yb 既撇o ft h ec o m p e t i t i o np r e s s u r ec o m i n g f i o mt h ee x t e r n a la u d i t , a n dj o i n e dt h em o v c m c n to fc o r p o r a t eg o v e r n t h u s , w i t h t l a ec o l l l l n o ng o a lo fi m p r o v i n gc o r p o r a t eg o v e r n t h ed o s er e l a t i o m h i ph a s f o r m e db e t w e e nr i s km a n a g e m e n ta n di n t e r n a la u d i to nt h eb a s eo fi n t e r a c t i o n , f o r d e c r e a s i n gt h el l a n s a c t i o nc o s t 锄dg e t t i n gt h eh i g h e rp o s i t i o ni nt h ee l l t 刚f l e s v a l u e - e h a i l la sw e l l 2 0 0 4i i ar e v i s e d ( i n t e r n a t i o n a ls t a n d a r d sf o rt h ep r o f e s s i o n a l p r a c t i c eo fi n t e r n a la u d i t ) p r o v i d et h a t “i n t e m a ia u d i 血gi s 姐i n d e p e n d e n t ， o b j e c t i v eo s s l 1 l l l m a n dc o n s u l t i n ga c t i v i t yd e s i g n e dt oa d dv a l u ea n di m p r o v ea n o r g a n i z a t i o n so p c m t i o l 强i th e l p sa no r g a n i z a t i o na c c o m p l i s hi t so b j e c t i v e sb y b ，血i g i n g as y s t e m a t i c ，d i s c i p l i n e da p p r o a c ht oe v a l u a t ea n di m p r o v et h e e f f e c t i v e n e s so fr i s km a n a g e m e n t ，c o n t r o la n dg o v e m a n e ep r o c e t k s ”t h i s d e f i n i t i o no fi n t e m a la u d i tc o n n e c ti n t e r n a la u d i tw i t he r m c l o s e l y ，a tt h es a m e t i m ea e l a i e v i n gt h es a m eg o a lw i t l at h ec o m p a n y sg o a l s t h i sm a r k st h ei n t e r n a l a u d i t se x p a n s i o no f s c o p ea n dt a r g e t ，i tr e f l e c t st h et r e n d sa n dt h ed e v e l o p m e n to f a ni n h e r e n tr e q u i r e m e n t ， b a s e d0 1 1t h en e wd e f i n i t i o no f i n s p i r a t i o n , t h el t u t l l o i d ol 岱e a r e l ao i lt h eb a s e o f e r m ，t h i sa r t i c l ei sd i v i d e di n t of o u rc h a p t e r s ： i nt h ef i r s tc h l l p t e rt h ea u t h o r 删yi n l l o d u c ei n t e n t i o no fe r mf r o mt h e b a e k g r o 啦d , a n dt h e nf r o mat h e o r e t i c a lb a s i s , t h er e a l i t yc a u s e s p r a c t i c a l s i g n i f i c a n c eo ft h e s et h r e ep c t s p c c t i v e ，a n a l y s i st h ec l o s er e l a t i o n s h i pb e t w e e n i n t e r n a la u d i ta n dt h ee r m t h es e c o n dc h a p t e ri sd e v o t e dt oi n t e m a la u d i tr o l e si nt h ee r m if i r s t d i s c u s s e dt h er o l eo f t h ei m e m a la u d i tf a c t o r s ，a n dt h e na c c o r d i n gt or e l e v a n tl a w s a n dr e g u l a t i o n s ，t h er e p o r tv i e w s ，f i n a l l yd r a wc o n c l u s i o n s ，i nm yv i e w , t h er o l eo f i n t e r n a la u d i ti ne r mi st oe v a l u a t ei ft h er i s km a n a g e m e n tp o l i c i e sa n d p l o c e t h l r c se f f e c t i v e l ya n da p p r o p r i a t e l yo rn o tf o rt h em a n a g e r , t oa s g l l r ei ft h e p r o c c d u 瑚o fe r ma p p r o p r i a t e l y , a u d i t o r sc a nh e l pm a n a g e rb ya c c e p t m gr i s k m a n a g e m e n tc o n s u l t i n g t h et h i r dc h a p t e ri sd e v o t e dt os t u d yt h ew a yo f i n t e r n a la u d i tf u n c t i o n si nt h e e r m t h ea u t h o rd i s c u s st h i si t e mi nt w oa s p e c t s f i r s t , t h ew a yo fa s s u r a n c e f u n c t i o n s ；s e c o n d , t h ew a yo f a d v i s o r yf u n c t i o n s i nt h ec h a p t e r t h ea u t h o ri n t l 蜘t c et h ep r o s p e c to fi n t e r n a la u d i ta tt h e b a c k g r o u n do fe r m f i r s ti n t r o d u c et h ec h a l l e n g e sw i l lt h ei n t e r n a la u d i tm e e t a tt h eb a c k g r o u n do fe r m ，b a s e do nt h i s , i n u o d u c ei nt h e 嗍c h a l l e n g e s ， i n t e r n a la u d i th o wt od e a lw i t ht h e s ec h a l l e n g e s , k e yw o r d s ：r i s k , e n l c r p r i s er i s km a n a g e m e n t ，i n t e r n a la u d i t 东北财经大学研究生学位论文原创性声明 本人郑重声明：此处所提交的博士硕士学位论文 墓军r m 嘲一内评审计研冤，是本人在导师指导下，在 东北财经大学攻读博士硕士学位期间独立进行研究所取得的成 果。据本人所知，论文中除已注明部分外不包含他人己发表或撰 写过的研究成果，对本文的研究工作做出重要贡献的个人和集体 均已注明。本声明的法律结果将完全由本人承担。 作者签名：盘挺辍日期：砷年加月3 0 同 东北财经大学研究生学位论文使用授权书 墓寻三r 帆衍肉郎年计碉宪 系本人在东北财经 大学攻读博士硕士学位期间在导师指导下完成的博士硕士学位 论文。本论文的研究成果归东北财经大学所有，本论文的研究内 容不得以其他单位的名义发表。本人完全了解东北财经大学关于 保存、使用学位论文的规定，同意学校保留并向有关部门送交论 文的复印件和电子版本，允许论文被查阅和借阅。本人授权东北 财经大学，可以采用影印、缩印或其他复制手段保存论文，可以 公布论文的全部或部分内容。 作者签名：壬聿色霞二 只期：问年 。月；f 同 导师签名 吲f 7 吵吼砷锄驯日 引言 引言 选题动机 风险无时不在，无处不在。人类社会的历史，就是一部不断地同各种风 险斗争、管理风险的历史。尤其是在当前这个变化莫测的社会，随着世界经 济国际化、金融全球化的发展，企业的经营风险大大增加，知识经济的到来， 更使得企业的风险雪上加霜。现代内部审计之父l a w r e n c es a w y e r 说，“为了 服务于客户，内部审计人员必须紧跟影响到股东和管理者的所有变革步伐”。 对于内部审计而言，这是一个风起云涌的时代。 进入2 l 世纪后，在让世人震惊的美国安然、世通事件中，内部审计无疑 成为关注的焦点。美国证券交易委员会( s e c ) 前主席a u t h u rl e v i t t 说，安然事 件中最大的利益冲突就在于内部审计外包，安达信实质上是在审计自己的工 作( a l d h i z e r 等，2 0 0 3 ) 。世界通讯案件中，更是内部审计经理c y n t h i a c 0 0 p 盯 。扣动了美国历史上最大破产案的扳机”。安然、世通事件引发的多米诺骨牌 效应，造成了这期间美国有3 3 8 家上市公司( 约占美国上市公司总数的1 3 ) ， 总计约4 0 9 3 亿美元的资产申请破产保护，因此给投资者和其他利益相关者造 成了严重的损失，随之而来的便是对采用新的法律、法规来加强公司治理和 风险管理的呼吁，从此，也拉开了风险管理时代的序幕。时任国际内部审计 师协会( t h ei n s t i t m eo fi n t e r n a la u d i t o r s ，以下简称i i a ) 主席的安东尼里德利 ( a n t h o n yj p a c u e y ) 曾在1 9 9 6 年就呼吁，下个世纪的内部审计师将成为风险 管理的专家，内部审计发挥的作用不是以积极的方式指出存在的风险，而是 指出如何管理和控制风险；另外，在风险发生之前采取预防措施将事半功倍。 2 0 0 4 年5 月2 5 日i i a 主席r o b e r tn m c d o n a l d 在北京举办的国际内 部审计学术报告会上发表了国际内部审计发展趋势的演讲，指出2 l 世纪 内部审计是全球性的事业，内部审计在帮助企业迎接挑战，实现企业全方位 基于e r m 的内部审计研究 目标中发挥着至关重要的作用，并强调内部审计人员必须理解风险管理的概 念，风险管理理念必须融入机构的各个方面，即风险管理从内部审计的一个 普通程序发展到成为内部审计职业化发展的关键要素。 2 0 0 4 年i i a 重新修订的国际内部审计专业实务标准中规定内部审计 是“一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营，它 通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果。 帮助组织实现其目标”。这标志着内部审计范围和对象的扩展，反映了内部 审计的发展趋势和内在要求。本文选择基于e 跚对内部审计进行研究，其动 因在于：第一、我国企业面临着风险管理的迫切需求，必须转变风险管理活 动以适应科学化风险管理的要求。第二、我国的内部审计起步较晚，发展相 对滞后，目前仍处于财务审计阶段，借鉴西方先进理论和技术是我国内部审 计的必然选择。如何发挥内部审计在e 蹦中的角色，强化内部审计在e 跚中 的作用是一个严峻的课题。本文试图从内部审计与企业风险管理的关系出发， 明确内部审计在企业风险管理中的角色定位，避免损害内部审计独立性和客 观性，探讨内部审计如何发挥其作用，为内部审计在我国企业更好的发挥作 用提供指导。 研究现状 本文研究的主题是基于e 跚的内部审计研究，目前，将内部审计与风险 管理结合起来研究正处于一种方兴未艾的状态。笔者将关于这个方面的研究 进行梳理，期望从中找出可以借鉴的思路。 方红星等译c o s o 制定发布的企业风险管理一整合框架是本文写作 的一个基础。著名的t r e a d 委员会的发起组织委员会( c o m m i t t e eo f s p o n s o r i n go r g a n i z a t i o n ，以下简称c o s o ) 经过三年的努力，在2 0 0 4 年l o 月正式出台了 企业风险管理一整合框架。该框架从企业风险管理的定义 出发以企业风险管理包含的八个要素( 内部环境、目标设定、事项识别、 风险评估、风险应对、控制活动、信息与沟通以及监控) 为主线，为企业和 2 引言 其他组织中的各级管理人员提供用来评价和增进企业风险管理有效性的指 导，帮助组织建立有效的程序，确认、计量、分级和回应风险。 张宜霞等译c o s o 制定发布的企业风险管理一应用技术提供了应用企 业风险管理原则的过程中组织不同层面所使用技术的实例，通过文章对风险 相关知识及操作技术的介绍，能够使人们对风险有一个更加全面和详细的了 解，有利于理解和实现内部审计与企业风险管理整合的合理性和必要性。 王晓霞所著的企业风险审计借鉴国内外风险管理方面的知识，在风 险审计的概念、目标、程序以及专业判断等方面有一定创新和突破；在具体 风险的审计上，精心编制国内外企业典型案例，具有可操作性。 a n d r e wd b a i l e y 。j r 等着，王光远等译内部审计思想，这是一部承载 传统、聚焦现在、启迪未来的思想巨著。该书从理论和实践相结合来阐述内 部审计的新定义、新理念，并且系统的论述了独立性和客观性问题，以及专 业胜任能力框架，突出内部审计的确认和咨询服务，并将其贯穿全书，凸显 内部审计在风险评估与风险管理审计这一全新领域的巨大潜力。著名学者威 廉金尼执笔的第五章，系统的介绍了风险管理审计的过程。基于。企业风险 是有碍于实现组织目标的威胁因素”的定义，他将企业风险划分为外部环境 风险、经营过程和资产损失风险、信息风险三类。接着依托企业风险管理框 架的八个要素来分析风险管理审计过程。金尼认为，e p , m 过程中每一个步骤都 隐含了某些认定，针对这些“风险认定”，内部审计可进行单独评价，从而完 成对风险管理的审计。金尼的研究为学者们开辟了一块新的土壤，为实务界 提供了一个可操作的指南。 2 0 0 6 年台湾的陈锦烽、苏淑美所著的内部审计新纪元一风险管理、控 制及治理是在内部审计、风险管理与公司治理紧密结合的背景下讨论内部 审计的现状及其具体应用的。全书结合当前状况，就国际内部审计协会对内 部审计的重新定义突出了内部审计在风险管理、控制以及治理方面的作用和 角色。内部审计作为公司或机构控制的一环，两者关系非常密切。在治理方 面，内部审计应对各项经营及计划加以复合，以确保其与组织价值观的一致， 墨于e r m 的内部审计研究 同时发挥咨询的作用，不断进行信息沟通，适时将意见呈报董事会；在风险 管理中，内部审计部门应该协助公司管理层发现重大的风险暴露，即对改善 风险管理及控制制度做出贡献。除此之外，该书对内部审计的具体操作，实 务方面的细节也进行充分的描述。由于萨班斯法案的实旄，财务审计又 再度成为了审计的重点。尤其值得一提的是该书的最后附有审计制度范例以 及审计计划、审计报告、内部控制自行评估等表格，为内部审计的理解和应 用提供了帮助，也为论文的写作提供了参考。 2 0 0 6 年4 月2 6 2 7 日近3 0 0 位商界领袖、金融领域专家和政府高管齐聚 2 0 0 6 亚洲内部审计、公司治理及合规性峰会，讨论中国企业治理合规性、海 外上市战略、s o x 法案遵从、及当今内部审计和反欺诈所面临的挑战等话题， 这是中国第一个关注上述领域的国际峰会。在有记者询问为何召开本次峰会 时，峰会的中方主办机构上海决策者经济顾问有限公司的会议经理杨燕超先 生回答说：“当前，从政府相关监管部门到企业高层，都充分认识到了采取 有力的措施加强企业内控和风险管理，完善公司治理架构的重要性。尤其是 在中国企业纷纷加快海外上市步伐的今天，如何更好地练好。内功”，以健 康的姿态迎接国际市场风浪，更是成为大家关注的热点。这正是本次峰会选 择在中国召开的原因。”可见，内部审计如何参与风险管理的问题，已引起 高度重视。 俗话说：“预防重于治疗”，能防患于未然之前，更胜于治乱于已成之后。 可见，企业问题的预防，其实是优于企业问题的解决。因而基于e 蹦对内部 审计进行研究便具有重要的意义。 研究方法与主要内容 本文采用规范的研究方法，采用逻辑归纳、演绎、比较分析的具体方法， 对理论问愿加以阐述，本文的主要内容分为以下几个部分： 第一章从e 跚产生的背景出发，介绍e 蹦的内涵，继而从理论基础、现实 动因、现实意义这三个角度来深入剖析e r m 与内部审计之间的互融关系。 引言 第二章介绍内部审计在e r m 中角色定位。笔者首先论述内部审计角色定 位的影响因素，然后根据相关法规、报告的观点，最后得出结论，笔者认为 内部审计在e r m 中的角色是作为监督者就风险管理政策、程序的恰当性和有 效性为管理层作出评价，对风险管理的恰当程序作出保证，内部审计师还可 通过接受风险管理方面的咨询帮助管理层。 第三章介绍内部审计在e r m 中职能发挥的途径。笔者从两个方面进行深 入的探讨：一是保证职能的发挥途径；二是咨询职能发挥的途径。 第四章e r m 背景下内部审计的前景展望。本章首先分析e 刚背景下内部 审计面临的新挑战。在此基础上，从树立企业风险管理的理念、提高内部审 计人员的专业胜任能力、提高内部审计机构的独立性、内部审计开展工作以 经营目标为起点、采用先进的审计技术等方面来应对所提出的挑战。 基于e r m 的内部审计研究 1 e r i v l 整合框架：考察内部审计的背景 本章从e p , m 产生的背景为出发点，介绍e r m 的内涵，继而分析内部审 计与e r m 之间的互融关系。 1 1 e r m 的理论概述 人们在一切社会经济活动中，面i 临着种种风险。从总体上看，风险是一 种客观存在，是不可避免的，而且，在一定的条件下还有某些规律性。因此， 人们只能把风险缩减到最小的程度，而不可能将其完全消除。这就要求社会 经济各部门、各行业主动地认识风险，积极管理风险，有效地控制风险，以 保证社会经济活动的正常运行。 1 1 1 e p d d 产生的背景 上世纪9 0 年代被视为一个价值创造的年代；从1 9 9 1 年开始，世界许多 大公司开始了兼并、重组和公司治理的过程。企业实行多样化经营，进入了 众多以前未涉及的领域，实施国际化发展战略，控制链大大拉长。同时，市 场环境发生巨大变化，顾客需求趋于多样化、个性化，企业面临一个变化迅 速，而且难以预测的买方市场，其外部经济环境比以往任何时候都更具动态 特征和不确定性。内外因素的共同影响使企业面临的风险普遍增大，企业开 始注重风险管理。1 9 9 7 年亚洲金融危机爆发，世界金融业开始出现动荡。特 别是1 9 9 8 年l o 月美国发生的长期资本管理公司( l t c m ) 事件，这家由华尔街 精英、政府前财政官员及诺贝尔经济学奖得主组成，曾经红极一时的金融业 巨子，在世界金融动荡的冲击下也难选一劫。这使得金融界开始警醒，进一 步深入考虑风险防范与管理问题。他们意识到，企业各类业务活动之间存在 一定程度的相关性，这种相关性可能导致各类风险的自然对冲，也可能相互 6 1 e r m 整合框架：考察内部审计的背景 增强。因此，单项或局部的风险管理很可能是片面的，从整体上看不是重叠 就是遗漏。只有全面考虑企业所面临的各种风险，才不会顾此失彼；只有充 分考虑各种风险对企业的整体效应，充分利用风险之间的关系，才能真正提 高风险管理的效益，这便产生了企业风险管理的概念。 进入2 1 世纪后，持续爆发的公司破产和治理危机，使投资者、公司员工 和其他利益相关者遭受了巨大的损失，也彻底拉开了风险管理时代的序幕。 根据i i a 2 0 0 2 年对美国的董事和审计委员会所作的调查，企业风险和风险监 督在焦点事项中始终名列前茅1 。作为安然等一系列公司财务丑闻的后果，股 东们对企业面临的风险、企业风险管理程序的有效性、报告和遵循目标的可 实现性等多项保证，要求更大的透明度，呼吁采用新的法律、法规和上市准 则来加强公司治理和风险管理。在安然等的财务丑闻之后，全球范围内的证 券交易所都发布了多项规定，要求或强烈建议董事会或管理高层公开确认， 他们已经获悉企业所面临的当前和未来的风险，并且企业已有适当的有效措 施对这些风险进行管理。例如，美国2 0 0 2 年颁布萨班斯一奥克斯利法案，其 中的4 0 4 条款要求首席执行官和首席财务官对主体财务呈报内部控制的有效 性进行评价和报告。纽约证券交易所则要求所有的上市公司在2 0 0 4 年l o 月 3 1 日前，必须由内部审计部门向管理当局和审计委员会提供有关风险管理程 序和内部控制系统的评估。这些举措都促使风险管理成为企业的重点。 为使风险管理在整个企业不同职能部门、不同层次全方位地有效运作， 管理层必须制定一套通用的风险管理框架。早在1 9 9 5 年，澳大利亚新西兰 联合标准委员会( a u s t r a l i a n e wz e a l a n dj o i n ts t a n d a r d sb o a r d ) 就已发布 了编号为a s n z s 4 3 6 0 的第一个风险管理国家共同标准( c o n s e n s u sn a t i o n a l s t a n d a r do nr i s km a n a g e m e n t ) 。随后，加拿大标准联合会( c a n a d i a n s t a n d a r d sa s s o c i a t i o n ) 在1 9 9 7 年发布了编号为c a n c s a0 8 5 0 - 9 7 的风险管 理框架一风险管理：决策者指南( r i s km a n a g e m e n t ：6 u i d e l i n ef o rd e c i s i o n m a k e r s ) 日本、国际标准组织( t h ei n t e r n a t i o n a ls t a n d a r d so r g a n i z a t i o n ) 均着手制定相似的独立标准。随着各国、各公司大量风险管理框架的涌现， 7 基于e r m 的内部审计研究 2 0 0 1 年初c o s o 委托由u n i v e r s i t yo fv i r g i n i a 教授组成的小组，确定当前 是否需要一个企业风险管理框架。经过一系列的文献研究，专家们认为，目 前的风险管理框架，某些仅仅狭义地关注局部风险管理( 并非全面风险管理) ； 某些则注重特定行业和特定类型的风险。许多风险管理框架的重点是减少风 险，而不是管理风险。这些风险管理领域的专家肯定，有必要提供一个包含 关键原则和概念、共同语言、明晰方向和指南的企业风险管理框架，帮助组 织建立有效的程序，确认、计量、分级和回应风险。c o s o 随后成立了一个由 五大成员代表组成的项目顾问委员会，并聘任普华永道会计师事务所展开框 架的撰写工作。2 0 0 3 年7 月c o s o 发布了企业风险管理框架的讨论稿，2 0 0 4 年1 0 月正式出台企业风险管理一整合框架( e n t e r p r i s er i s k m a n a g e m e n t - i n t e g r a t e df r a m e w o r k ，以下简称e 跚框架) 。该风险管理框架 基本上是对全球跨国公司运用多年的全面风险管理实践进行的总结。 1 1 2 e r m 的内涵 2 0 0 4 年l o 月，c o s o 委员会公布了新的研究报告企业风险管理一 整合框架，c o s o 报告认为。e r m 是一个过程，它由一个主体的董事会、 管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可 能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为 主体目标的实现提供合理保证2 。此定义反映了一些基本概念： ( 1 ) 企业的风险管理是一个过程，其本身并不是一个结果，而是实现结果 的一种方式。企业的风险管理是渗透于企业各项活动中的一系列行动。这些 行动普遍存在于管理者对企业的日常管理中，是企业日常管理所固有。 ( 2 ) 企业风险管理是一个由人参与的过程，涉及一个企业各个层次员工。 ( 3 ) 该过程可用于企业的战略制定。企业的战略目标是企业最高层次的目 标，它与企业的预期和任务相联系并支持预期和任务的实现。一个企业为实 现其战略目标而制定战略，并将战略分解成相应的子目标，再将子目标层层 分解到业务部门、行政部门和各生产过程。在制定战略时，管理者应考虑与 0 1 e r m 整合框架：考察内部审计的背景 不同的战略相关联的风险。 ( 4 ) 该风险管理过程应该应用于企业内部每个层次和部门，企业管理者对 企业所面l 临的风险应有一个总体层面上的风险组合观。个企业必须从全局、 从总体层面上考虑企业的各项活动。企业的风险管理应考虑组织内所有层面 的活动，从企业总体的活动( 如战略计划和资源分配) 到业务部门的活动( 如 市场部、人力资源部) ，再到业务流程( 如生产过程和新客户信用复核) 。 ( 5 ) 该过程是用来识别可能对企业造成潜在影响的事项并在企业风险偏好 的范围内管理风险。 ( 6 ) 设计合理、运行有效的风险管理能够向企业的管理者和董事会在企业 各目标的实现上提供合理的保证。 ( 7 ) 企业风险管理框架针对一类或几类相互独立但又存在重叠的目标，目 的在于企业目标的实现3 。 围1 - - 1 企业风险管理框掣 如图1 - - 1 所示，e r m 框架包括三个维度，第一维是企业的目标，即战 9 基于e r m 的内部审计研究 略、经营、报告和合规。第二维是企业风险管理构成要素，即内部环境、目 标设定、事项识别、风险评估、风险应对、控制活动、信息沟通、监控。第 三维是企业的层级，包括整个企业、各职能部门、各条业务线及下属的各子 公司。e r m 三个维度的关系是，企业风险管理的八个要素是为企业的四个目 标服务的，企业的各个层级都要坚持同样的四个目标。每个层级都要从以上 八个方面进行风险管理。 企业风险管理包括八个互相关联的要素，这几个要素来自管理层经营企 业的方式，并和管理流程整合在一起。要素如下： 内部环境企业的内部环境包含组织基调，它影响组织中人员的风险 意识，是其他所有风险管理要素的基础，为其他要素提供规则和结构。内部 环境因素包括主体的风险管理理念、风险容忍度、风险容量、主体中人员的 诚信、道德价值观和胜任能力，以及管理当局分配权力和职责、组织和开发 其员工的方式 目标设定管理者必须首先确定企业的目标，才能够确定对目标的实 现有潜在影响的事项。由于要针对不同的目标分析其相应的风险，因此“目 标设定”自然就成为风险管理框架的一部分，为管理层识别潜在的影响因素， 确定基准点。企业风险管理框架要求管理者制定企业的战略目标，选择战略 并确定其他与之相关的目标并在企业内层层分解和落实。管理层所选择的目 标不仅和组织使命方向一致，支持组织的使命，而且符合设定的风险容量。 事件识别企业管理层应当识别影响企业战略实旄成功和企业目标实 现的潜在事项。对企业带来消极影响的事项被称为风险，要求管理层进行评 估和采取措施。具有积极作用的事项可以抵消负面的影响或者给企业带来机 会。管理层应将机会和企业战略、目标制定结合起来。企业管理层在识别潜 在事项时，应当从整个企业组织的角度进行考虑。 风险评估风险评估可以使管理者了解潜在事件如何影响企业目标的 实现。管理者应从两个方面对风险进行评估，即风险发生的可能性和影响。 风险发生的可能性是指某一特定事项发生的可能性，影响则是指分析风险， 1 0 1 e r m 整台框架：考累内部审计的背景 考虑其可能性和后果，在此基础上决定应如何管理风险。风险评估从企业战 略和目标出发，分固有风险和剩余风险两个角度展开。首先，对企业的固有 风险进行评估，确定对固有风险的风险反应模式就能够确定对固有风险的管 理措施。其次，管理者在对固有风险采取有关管理措旆的基础上，对企业的 剩余风险进行评估。 风险反应风险反应的方式包括规避、减少、共担或接受四类。规避 风险是指采取措施退出会给企业带来风险的活动；减少风险是指减少风险发 生的可能性、减少风险的影响或两者同时减少；共担风险是指通过转嫁风险 或与他人共担风险，降低风险发生的可能性或降低风险对企业的影响；接受 风险则是不采取任何行动而接受可能发生的风险及其影响。对于每一个重要 的风险，企业都应考虑所有的风险反应方案。有效的风险管理方案要求管理 者制定一套措施把风险控制在组织的风险容忍度和风险容量之内。 控制活动制定和实施政策与程序以帮助确保管理当局所选择的风险 应对得以有效实施。控制活动存在于企业的各部分、各个层面和各个部门， 通常包括两个要素：确定应该做什么的政策和影响该政策的一系列程序。 信息和沟通个有效的风险管理离不开企业组织内部不同职能、不同 部门之间、上下之间的信息相互沟通。来自于企业内部和外部的相关信息必 须以一定的格式和时间间隔进行确定、捕捉和传递，以保证企业的员工能够 执行各自的职责。有效的沟通也是广义上的沟通，包括企业内自上而下、自 下而上以及横向的沟通。有效的沟通还包括将相关的信息与企业外部相关团 体的有效沟通和交换，如客户、供应商、行政管理部门和股东等。 监督一企业风险管理活动应当建立监督机制，这种监督是对企业风险管 理现状和各组成部分绩效进行评价的过程。企业可以通过两种方式对风险管 理进行监控，即持续监控和个别评估。持续监控和个别评估都是用来保证企 业的风险管理在企业内各管理层面和各部门持续得到执行。持续监控是对日 常的管理活动采取的，个别评价则主要是根据评估风险的性质和程度，以及 持续监控过程的效率来确立。因此企业风险管理中存在的缺陷可由下而上传 基于e r m 的内部审计研究 递，从而使重要的问题能够传递到管理层和董事会。 从总体上看，内部环境是企业风险管理的基础，为企业风险管理所有其 他组成部分的运行提供了平台目标设定是全面风险管理的起点，是其他要 素的驱动力量。整个过程是环环相扣的。在目标设定的前提下，对影响目标 的风险进行事件识别，进而对识别的事项进行风险评估，风险评估驱动风险 反应，影响控制活动，信息与沟通和监督贯穿于企业风险管理的整个过程， 并对前面的各个组成要素进行修正。这样，企业风险管理不只是一个直线过 程，即一个组成部分只会对下一个部分产生影响，而且是一个多元化、多方 向的、不断重复、相互作用的过程，即几乎任何组成部分都能够并将会影响 到另一个部分。企业风险管理豹八个要素体现的是一个动态的过程，是一个 有机的整体。 l - 1 3e r m 整合框架与内部控制整合框架的关系 e r m 是一个比内部控制更为广泛的概念，e r m 建立在内部控制框架的 基础上，内部控制是e r m 必不可少的一部分。从总体上看，e r m 与内部控 制框架相比，新增了一个观念、一个目标、两个概念和三个要素5 ： ( 1 ) 提出了一个新的观念风险组合观( a ne n t i t y - l e v e lp o r t f o l i ov i e wo f m s k ) 。对企业内部每个单位而言，风险可能是可以容忍的，但从企业总体角 度看，风险可能已经超出了可容忍的限度，因此e r m 使用一个更宏观、更综 合的视角审视风险。而不是在细枝末节上做文章，只有站在整个企业的高度， 才能识别关于企业存在的风险，才能及时调整、修订企业战略以实现其目标。 ( 2 ) 增加了一类目标战略目标，并扩大了报告目标的范围。内部控制框架 提出了三类目标，即经营目标、财务报告目标和合法性目标。在e r m 中经营 性目标、合法性目标与内部框架一致，而财务报告目标则扩展了范围，将“财 务报告的可靠性”扩展为“报告的可靠性”，“报告”既包括对内提供的，也 包括对外提供的。既包括财务的，也包括非财务的。战略目标则贯穿于企业 的各项活动，层次更高。 i e r m 整合框架：考累内部审计的背景 ( 3 ) 针对风险度量提出了两个概念一风险偏好f r i s k a p p e t i t e ) 和风险容忍 度侧s kt o l e r a n c e s ) 。从广义看，风险偏好是企业实现其目标的过程中愿意接 受的风险数量。风险偏好是建立在风险容忍度概念的基础上的，风险容忍度 指企业在实现目标的过程中对差异的可接受程度，是对相关目标在实现过程 中差异的可容忍限度。 ( 4 ) 提出了三个新要素，并扩展了其他要素的范围。e r m 将原有的风险评 估要素发展为目标设定( o b j e c t i v es e t t i n g ) 、事项识别( e v e n ti d e n t i f i c a t i o n ) 、风 险评估与风险反应( r i s kr e s p o n s e ) 四个要素。管理者制定战略目标，在企业内 部分解落实，并保证制定的目标与企业的风险偏好相一致，目标制定成为风 险管理的首要步骤。管理者需要对不确定性事项进行识别，区分哪些是风险， 哪些是机会，从而引导管理层战略目标始终不会偏离。e r m 提出四种风险反 应方案：规避，减少，共担和接受。选定方案后，管理者应从剩余风险( r e s i d u a l m s k l 的角度重新计量风险。此外e r m 将。控制环境”扩展为。内部环境0 特别强调了董事会在企业风险管理中的作用，“信息与沟通”中的。信息”包 括组织的各个阶层与各类目标相关的信息，这些信息应有助于将风险保持在 风险偏好的范围内。 1 2 内部审计与e r m 的互融关系 自2 0 世纪9 0 年代起，西方国家许多大型企业内审部门便开始逐步介入 企业风险管理这一领域，对企业的风险管理进行评估与监督，以维护本企业 经营目标实现的安全性、效率性和效果性。纵观二者近十几年的发展历程可 发现，两者的融合正是企业提高经营管理效率的客观需要和追求自身发展的 必然结果。 1 2 1 二者互融关系形成的理论基础 一、。公司治理”理论 公司治理的经济学基础是企业理论，它围绕着企业的性质这个核心问题 1 3 基于e r m 的内部审计研究 展开。自1 9 7 6 年詹森( j e n s e n ) 和麦克林( m e c k i n g ) 首次提出委托代理关系 问题以来，公司治理问题就广泛受到了人们的关注，2 0 世纪8 0 年代，西方关 于公司治理问题的研究达至高潮。我国则于2 0 世纪9 0 年代中期开始重视公 司治理问题。李维安在公司治理一书中指出：“公司治理可以从狭义和广 义两个方面去理解。狭义的公司治理，是指所有者对经营者的一种监督与制 衡机制，即通过一种制度安排，来合理地配置所有者与经营者的权利与责任 关系；广义的公司治理则不限于股东对经营者的制衡，而是涉及广泛的利益 相关者。公司治理是通过一套包括正式或非正式的、内部和外部的制度或机 制来协调公司与所有利益相关者间的利益关系，以保证公司决策的科学化， 从而维护所有利益相关者的利益6 。 在现代公司制度下，公司的所有权与经营权相分离，股东将资产委托给 公司管理者经营，二者之间存在委托代理关系。股东期望通过公司的管理者 代为经营而实现自身利益的最大化，这种期望和要求通过代理合约加以明确， 但是受个人利益导向的客观影响，管理者不一定完全按照股东的要求行事， 在不违背代理合约的前提下，可能会追求自身利益的最大化而损害股东利益， 这必然导致逆向选择和道德风险等代理问题的出现。为了缓解代理问题，降 低代理成本，股东必须寻找一种适当的方法对潜在的利益冲突加以制衡，并 用激励机制来使经营者为维护股东的利益而努力，从而公司治理的监督机制 便应运两生。 公司治理就是通过建立一系列内部和外部的规范机制来明确对公司管理 者和董事会的责任要求，对他们的受托责任履行情况进行监督，保障股东及 其他利益相关者的利益。在公司实现盈利目标的过程中。风险是不可回避的 问题。从上述对公司治理的定义可以看出，公司治理这一制度的安排所决定 的企业目标、决策人及风险和收益的分配都是围绕风险展开的，风险直接影 响目标的实现，而决策人对风险的控制和管理直接决定目标是否能够实现及 实现程度，治理结构中各部分的人员需要承担所分配的一定风险并获得相应 的收益。另外，从解释公司治理问题产生的经济学观点来看，无论是契约理 1 4 1 e r m 整合框架：考察内部审计的背景 论中提及的不完备契