探析企业风险管理整合框架实现路径

1、探析企业风险管理整合框架实现路径畴，然后介绍内部控制发展历程，以及全面风 险管理内部控制的各个要 最后分析如何实现风险管理的整合框架思路.内部控制；路径；风险管理近年来，国际上一些著名相继爆出丑 闻，造成极其严重的后果。我国也 控制和风险管理的缺失付出了惨痛的代价，如国内著名中发生的中航油 行巨额虚假贷摘要：在国际国内频频出现风险管 理问题的背景下，首先阐述内部控制的 内涵范 素组成， 关键词： 为内部（新加坡）公司 破产倒闭事件以及中行、农行、兴业、浦发等银 款、大额资金失踪等舞弊案频频 曝光。究其原因，内部控制存在缺陷是导致企 业 不能及时发现和有效控制经营风险，并最终铤而走险、欺骗社会公

2、众和投资者持久、的重要原 因。在对这些财务舞弊和经营管理失败案例进 行反思后，人们逐渐认 识到“有控则强、失控 则弱、无控则乱”的道理，控制失灵难以使事业 基业常青。建立完善的且行之有效的企 业内部控制机制已成为的当务之急.一、内部控制的内涵 人们对内部控制的定义经历了从简单到 复杂、从静态到动态、从以制度为本到以人为 本的一种逻辑演绎，体现了人们对内部控 制认 识的逐渐深化，加深了人们对内部控制的进一 步理解，从而使人们对内部 控制这一客观事物 的认识更能贴近事物的本原。所谓内部控制，是由建立的，通过约束和激励等手段，以 保障各利益相关者的行为能够按契约的要求进行，并能够促使契约自我优化的一

3、种系 统化的机制，其目的是为了实现目标.二、内部控制发展历程 对内部控制的认识，经历了一个逐渐发展 的过程。美国的内部控制经历了从内部牵制到二要素法、三要素法到五要素法，日趋完整和深入，最终发展为全面风险管理框架模式.1、 内部牵制。内部控制的最初形式是内部 牵制，内部牵制以账目间的 相互核对为主要内 容，并实施岗位分离，内部牵制机制在减少错 误和舞弊行为 上起到了十分重要的作用.2、二要素法。随着经济的发展和组织 规模的扩大，人们发现内部牵制 已经越来越不 能适应大型需要，因此对内部控制的研究 也越发深入，美国注册 会计师协会的审计程序 委员会于1958年10月发布的审计程序公告 第29号

4、将内部控制划分为会计控制和管理控制，内部控制划分为二要素形式.3、三要素法。1988年美国注册会计师协 会的审计准则委员会发布审 计准则公告第55号，该公告以“内部控制结构”代替“内部 控制制度”，具 体包括三个要素：控制环境、会 计制度、控制程序.4、 五要素法。1996年美国注册会计师协 会发布审计准则公告第 78 号，全面接受cosca告的内容，新准则将内部控制定义为：“由一个的董事会、管理层和其他人员实 现的过程，旨在为下列目标提供合理保证：财 务报告 的可靠性、经营的效果和效率以及符合 适用的法律和法规”。该准则将内部控 制划分 为五种要素：控制环境、风险评估、控制活动、信息与沟通、

5、监控.5、全面风险管理框架。20XX年7月美国COSO委员会颁布了风险管理框 架的讨论 稿,并于20XX年4月颁布正式稿。将风险 管理的构成分为内部环境、 目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟 通、监控等 八个相互关联的要素，各要素贯穿在的管理过程之中.三、风险管理整合框架的诸要素构成 1、内部环境。内部环境是风险管 理其他构成要素的基础，为其他要素提供约束和结构。它影响着战略和目标的 制定、经营活动的 组织以及风险的识别、评估和应对，它还影响着控制活动、信息与沟通体系以及监控措施的 设计与运行。内部环境受历史和文化的影响，包含许多要素，包括风险管理理念、风险容量、董事会

6、监督、主体中人员的诚信、道德价值观和胜任能力以及管理者分配权力和职责、组织员工的方式.所有这些要素都很重要，但对每个要素的 强调程度会因而异。然而，董 事会是内部 环境的一个关键部分，它对其他的内部环境要 素有重大影响。因为 董事会对管理者独立性、 经验、才干、敬业等方面的监督与审查，对 来说至关 重要。要想使内部环境有效，董事会 中的独立外部董事必须至少占多数.内部环境的另一关键要素是的风险 管理理念。一个的风险管理理念是一 整套 共同的信念和态度，它决定着该在做任何 事情（从战略制定和执行到日常 经营活动）时如何考虑风险.2、目标设定。在既定的任务和背景 下，制定战略目标、选择战略，并 制

7、定相关目 标，将其细分至的方方面面，与战略保持 一致并相。必须先有目标， 管理者才能识别影响它们实现的潜在事项。风险管理确保管理当局采取恰当的 程序去设定目标，确保所设定的目标支持和切合该的使命， 并与它的风险容量 或风险容限一致.3、事件识别。管理当局必须识别可能对企 业产生影响的潜在事项。潜在事项具有负面的 或正面的影响，或两者兼而有之。具有潜在负 面影响的代表 风险，管理者要对之进行评估和 做出反应。相应地，风险被定义为事项发生并 对 目标实现产生不利影响的可能性。具有潜在正面影响的事项代表机会。代表机会的事项引 导管理者制定战略和相关目标，以便采取行动抓住机会.4、 风险评估。风险评估

8、使考虑潜在事项如何影响目标的实现。 管理当局 应从两个角 度对事项进行评估：可能性和影响，并且通常 采用定性和定量相结 合的方法。在不要求定量化的地方，或者在定量评估所需的可靠数据无 法取得 或获取和分析数据不具有成本效益时，管理者通常采用定性评估技术。定量技 术精确 度更高，通常应用在更加复杂的活动中，以对 定性技术进行补充。评估 风险时既要考虑固有风险，也要考虑剩余风险。固有风险是管理当局没有采取 任何措施来改变风险的可能性或影响的情况下，一个所面临的风险。剩余风险 是在管理当局应对风险后所残余的风险.5、 风险应对。在评估相关风险以后，管理 者就要确定如何应对风险。 风险应对有四种类 型

9、：回避，即退出会产生风险的活动；降低，即 采取措施降 低风险的可能性或影响，或者同时 降低二者；分担，即通过转移的方式来降低 风 险的可能性或影响，或者分担一部分风险，如 购买保险产品、外包一项业务 活动；承受，即不 采取任何措施去改变风险的可能性或影响.&n bsp ；6控制活动。控制活动是帮助管理当局实 施风险应对方案的政策和程序。控 制活动贯穿于整个组织，遍及各个层级和各个职能机构.它们包括一系列不同的活动，例如批准、授权、 验证、调节、经营业绩 评价、资产安全以及职责分离。控制活动一般包括两个要素：确定应该做什么 样的政策，以及如何执行政策的程序.此外，由于信息系统在经营和报告

10、及合规 目标方面具有重要影响，因此需 要对重要的系统进行控制。对重要的信息系统的控制主要有两类活动：一般控 制和应用控制.7、信息与沟通。组织中的各个层级都需要 信息，以识别、评估和应对 风险。信息可以来自 内部，也可以来自外部；可以以定量的形式出 现，也可以 以定性的形式出现。可以是财务的，也可以是非财务的。管理者面临的一项挑战便 是处理和提炼大量的数据以形成可参考的信 息。这项挑战可以通过建立一 套信息系统来解决；另一项挑战是信息的质量问题，例如内容是否恰当、信息 是否及时、是否准确等。这可以 通过建立整个范围的数据管理程序 （包括 对相 关信息的获取、维护和分配）来解决.信息是需要沟通传

11、递的，沟通包括内 部沟通和外部沟通。有效的内部沟 通会出现在 组织中向下、平行和向上的流动。例如，全部员 工从高层管理者那 里收到一个清楚的信息：必须认真担负起风险管理的责任。他们了解自己在风 险管理中的职责以及个人的活 动与其他员工工作间的关系。同时，他们也必 须 具有同级间沟通和向 上沟通重要信息的有 效方式。除了内部沟通，还需要外部沟通.例如，通过有效的外部沟通，客户和供应商能 够提供与产品或服务的设 计和质量有关的重要信息，从而使能够不断关注客户需求或 偏好的变化.8、监控。风险管理的监控是指随时对 其构成要素的存在和运行进行评 估，必要时加 以修正。曾经适当的风险应对可能会变得 不适

12、用；控制活动可能 会变得不太有效，或者 不再被执行；的目标也可能发生变化。面 对这些变化， 管理当局就需要确定风险管理的运行是否持续有效，他们所依赖的措施便是监 控.监控可以以持续监控活动或者个别评价 两种方式进行。持续监控建立在 正常的、重复发生的活动之上，一般由直线式的经营管理人员或职能式的辅助 管理人员来执行；个别评价的范围和频率主要取决于对风险的评估和持续监控程序的有效程度。此外，监控包括 内部监控和外部监控两方面，要将他们所 评 价出的风险管理缺陷和提供的有关风 险管理的重要信息向上报告，严重的问题 还需报告给高层管理人员和董事会.四、风险整合框架实现路径分析1、内部控制环境方面。控

13、制环境的定 义是 五个要素中最重要的因素，控制环境确定了管 理层的基调，并影响人们的 控制意识。这是所 有其他内控要素的基础，提供了规则和结构.其基本原则包括：（1）健全的道德观和诚信的 文化。组织应具有明确的 价值观，监控各项活 动，并采取措施；（2）有效而独立的董事会。应 建立独立 而有效的监督机制。独立而有效的监 督，可以是来自于公司外部的机构或个人， 也 可能来自于公司的拥有者；（3）管理层的运行 方式促进良好的控制。管理层 应设定目标，并 为各项活动设定一个基调；（4）权限和责任的 分配与财务报表 的目标是一致的。权限和责任 的分配是从董事会和财务总监开始的；（5）人力 资源政策和规

14、程支持有效控制。应考虑激励因素、招聘、培训和其他活动.2、内部监督。监控的目的，是通过识别控 制的缺陷和漏洞并持续改进 以创造效率。监控 是指内控系统应该被有效监控，它是评估内控 系统在一段时 期内有效性的流程。这将通过持 续的监控活动和独立评估以及两者相结合的 方 式来实现。另外，内控的缺陷应向上级汇报， 重大事件向管理层和董事会汇报。 持续的监 控、独立评估和缺陷报告构成监控三要素.3、信息沟通。应当将内部控制相关信 息在内部各管理级次、责任单位、业务环节之间以及与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间 进行沟通和反馈。信息沟通过程中发现的问 题，应当及时报 告

15、并加以解决。利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用.4、控制活动。应该参考基本规范应 用指引，确定各种业务和事项的控制目标并 设计控制活动，结合各自业务流程，将控制活 动整合在各项业务循 环中，常用的控制活动包 括：不相容职务分离、授权审批、会计系统、财 产保 护、预算、运营分析、绩效考核等，在每一项经营业务的流程中，必须根据业务的特点， 选择相适应的控制活动，这样才能达到合适的 控制目标.5、 风险评估。首先需要建立风险评估机制以确定风险承受度，识别内 部、外部风险，采用定性与定量相结合的方法，对风险进行分析和 排序，这种 机制不是一年一度的填表流程，而 应该是每个部门定下的工作原则，在每个项准流程，首先必须在制度中明确规 每个岗位的员工应 当知晓本职工作可目的开始阶段必须执行的工作流程；然后确定关 注