企业风险管理整合框架实现路径

1、企业风险管理整合框架实现路径提要：在国际国内企业频频出现风险管理问题的背景下，首先阐述内部控制的内涵范碾畴，然后介绍内部控制发展倬历程，以及全面风险管理内权部控制的各个要素组成，最钊后分析如何实现企业风险管庭理的整合框架思路.关键词：内部控制；路径；风芡险管理近年来，国际上一些著名企业相继爆出丑闻，造成极其严重的后果凑。我国企业也为内部控制和觑风险管理的缺失付出了惨痛垒的代价，如国内著名企业中兕发生的中航油公司破产倒闭椎事件以及中行、农行、兴业、浦发等银行巨额虚假贷款狈、大额资金失踪等舞弊案频频曝光。究其原因，内部控貊制存在缺陷是导致企业不能耧及时发现和有效控制经营风险，并最终铤而走险、欺骗范

2、社会公众和投资者的重要原峨因。在对这些财务舞弊和经寝营管理失败案例进行反思后，人们逐渐认识到“有控则碑强、失控则弱、无控则乱”封的道理，控制失灵难以使事痿业持久、基业常青。建立完禧善的且行之有效的企业内部痧控制机制已成为企业的当务迳之急.一、内部控制的胆内涵人们对内部控制的定义经历了从简单到复杂、从静胀态到动态、从以制度为本到纾以人为本的一种逻辑演绎，禽体现了人们对内部控制认识的逐渐深化，加深了人们对僦内部控制的进一步理解，从强而使人们对内部控制这一客观事物的认识更能贴近事物猝的本原。所谓内部控制，是由企业建立的，通过约束和个激励等手段，以保障企业各颏利益相关者的行为能够按契吗约的要求进行，并

3、能够促使诿契约自我优化的一种系统化鹪的机制，其目的是为了实现缣企业目标.二、内部控镊制发展历程对内部控制的认绷识，经历了一个逐渐发展的顼过程。lOCALhost美国的内部控制经历了从内杌部牵制到二要素法、三要素撙法到五要素法，日趋完整和跖深入，最终发展为全面风险球管理框架模式.1、内锨部牵制。内部控制的最初形綮式是内部牵制，内部牵制以账目间的相互核对为主要内棒容，并实施岗位分离，内部蓼牵制机制在减少错误和舞弊螋行为上起到了十分重要的作用.2、二要素法。随咬着经济的发展和企业组织规鸱模的扩大，人们发现内部牵忆制已经越来越不能适应大型企业需要，因此对内部控制的研究也越发深入，美国注册会计师协会的审

4、计程序委员会于1958年10月发馏布的审计程序公告第29盾号将内部控制划分为会计覆控制和管理控制，内部控制划分为二要素形式.3醇、三要素法。1988年美埃国注册会计师协会的审计准鳆则委员会发布审计准则公拔告第55号，该公告以“贲内部控制结构”代替“内部汗控制制度”，具体包括三个态要素：控制环境、会计制度侬、控制程序.4、五要槟素法。1996年美国注册皂会计师协会发布审计准则庭公告第78号，全面接受coso报告的内容，新准仡则将内部控制定义为：“由椭一个企业的董事会、管理层犀和其他人员实现的过程，旨龠在为下列目标提供合理保证午：财务报告的可靠性、经营虔的效果和效率以及符合适用朝的法律和法规”。该

5、准则将内部控制划分为五种要素：蛳控制环境、风险评估、控制阉活动、信息与沟通、监控.5、全面风险管理框架。菹2017年7月美国cos裼o委员会颁布了企业风险管缢理框架的讨论稿，并于20姓17年4月颁布正式稿。将企业风险管理的构成分为内锘部环境、目标制定、事项识学别、风险评估、风险反应、酆控制活动、信息和沟通、监钶控等八个相互关联的要素，狎各要素贯穿在企业的管理过洎程之中.三、企业风险趸管理整合框架的诸要素构成辱1、内部环境。内部环境是窄企业风险管理其他构成要素杩的基础，为其他要素提供约紊束和结构。它影响着战略和目标的制定、经营活动的组忏织以及风险的识别、评估和绐应对，它还影响着控制活动霏、信息与

6、沟通体系以及监控砟措施的设计与运行。内部环熨境受企业历史和文化的影响驻，包含许多要素，包括风险螗管理理念、风险容量、董事河会监督、主体中人员的诚信哉、道德价值观和胜任能力以及管理者分配权力和职责、咂组织员工的方式.所有牧这些要素都很重要，但对每脒个要素的强调程度会因企业疆而异。然而，董事会是内部骐环境的一个关键部分，它对彦其他的内部环境要素有重大影响。因为董事会对管理者吨独立性、经验、才干、敬业等方面的监督与审查，对企酗业来说至关重要。要想使内夕部环境有效，董事会中的独仇立外部董事必须至少占多数蒉.内部环境的另一关键“要素是企业的风险管理理念氽。一个企业的风险管理理念蹲是一整套共同的信念和态度

7、杠，它决定着该企业在做任何票事情时如何考虑风险.籽2、目标设定。企业在既定的任务和背景下，制定战略骑目标、选择战略，并制定相绫关目标，将其细分至企业的滴方方面面，与战略保持一致铢并相联系。企业必须先有目标，管理者才能识别影响它们实现的潜在事项。企业风窝险管理确保管理当局采取恰砺当的程序去设定目标，确保缂所设定的目标支持和切合该企业的使命，并与它的风险翡容量或风险容限一致.糈3、事件识别。管理当局必稼须识别可能对企业产生影响整的潜在事项。潜在事项具有舜负面的或正面的影响，或两噱者兼而有之。具有潜在负面伽影响的代表风险，管理者要柱对之进行评估和做出反应。琨相应地，风险被定义为事项发生并对目标实现产

8、生不利删影响的可能性。具有潜在正面影响的事项代表机会。代草表机会的事项引导管理者制孚定战略和相关目标，以便采但取行动抓住机会.4、哔风险评估。风险评估使企业跺考虑潜在事项如何影响目标的实现。管理当局应从两个宿角度对事项进行评估：可能缋性和影响，并且通常采用定性和定量相结合的方法。在蹦不要求定量化的地方，或者饿在定量评估所需的可靠数据遁无法取得或获取和分析数据貅不具有成本效益时，管理者通常采用定性评估技术。定量技术精确度更高，通常应用在更加复杂的活动中，以店对定性技术进行补充。评估歙风险时既要考虑固有风险，也要考虑剩余风险。固有风碓险是管理当局没有采取任何织措施来改变风险的可能茔性或影响的情况下

9、，一个企迦业所面临的风险。剩余风险疔是在管理当局应对风险后所抠残余的风险.5、风险蹑应对。在评估相关风险以后淌，管理者就要确定如何应对风险。风险应对有四种类型购：回避，即退出会产生风险痿的活动；降低，即采取措施芸降低风险的可能性或影响，陋或者同时降低二者；分担，每即通过转移的方式来降低风体险的可能性或影响，或者分担一部分风险，如购买保险诏产品、外包一项业务活动；承受，即不采取任何措施去榜改变风险的可能性或影响.6、控制活动。控制活动是帮助管理当局实施风险应驺对方案的政策和程序。控制活动贯穿于整个组织，遍及颥各个层级和各个职能机构.苯它们包括一系列不同的挹活动，例如批准、授权、验排证、调节、经营

10、业绩评价、患资产安全以及职责分离。控制活动一般包括两个要素：癔确定应该做什么样的政策，喵以及如何执行政策的程序.此外，由于信息系统在企业伯经营和报告及合规目标方面结具有重要影响，因此需要对喝重要的系统进行控制。对重郇要的信息系统的控制主要有呆两类活动：一般控制和应用躇控制.7、信息与沟通蝈。组织中的各个层级都需要信息，以识别、评估和应对啻风险。信息可以来自内部，犀也可以来自外部；可以以定忸量的形式出现，也可以以定性的形式出现。可以是财务晟的，也可以是非财务的。管杩理者面临的一项挑战便是处泶理和提炼大量的数据以形成辔可参考的信息。这项挑战可以通过建立一套信息系统来盒解决；另一项挑战是信息的菪质量

11、问题，例如内容是否恰当、信息是否及时、是否准确等。这可以通过建立整个崃企业范围的数据管理程序来解决.信息是需要沟通柜传递的，沟通包括企业内部芰沟通和外部沟通。有效的内部沟通会出现在组织中向下揉、平行和向上的流动。例如欧，全部员工从高层管理者那场里收到一个清楚的信息：必茑须认真担负起企业风险管理的责任。他们了解自己在企灰业风险管理中的职责以及个迟人的活动与其他员工工作间突的关系。同时，他们也必须具有同级间沟通和向上沟通重要信息的有效方式。除了内部沟通，企业还需要螅外部沟通.例如，通过斌有效的外部沟通，客户和供匾应商能够提供与产品或服务的设计和质量有关的重要信碲息，从而使企业能够不断关瞒注客户需求

12、或偏好的变化.姗8、监控。企业风险管噜理的监控是指随时对其构成渲要素的存在和运行进行评估，必要时加以修正。企业曾笔经适当的风险应对可能会变泣得不适用；控制活动可能会变得不太有效，或者不再被奸执行；企业的目标也可能发尺生变化。面对这些变化，管理当局就需要确定企业风险管理的运行是否持续有效，他们所依赖的措施便是监控.监控可以以持续监控罩活动或者个别评价两种方式进行。持续监控建立在企业笸正常的、重复发生的活动之曛上，一般由直线式的经营管理人员或职能式的辅助管理核人员来执行；个别评价的范灌围和频率主要取决于对风险的评估和持续监控程序的有盟效程度。此外，监控包括内滞部监控和外部监控两方面，迟企业要将他们

13、所评价出的企洚业风险管理缺陷和提供的有囿关风险管理的重要信息向上亨报告，严重的问题还需报告纱给高层管理人员和董事会.冁四、企业风险整合框架实现路径分析1、内部控制肜环境方面。控制环境的定义两是五个要素中最重要的因素蓓，控制环境确定了管理层的基调，并影响人们的控制意识。这是所有其他内控要素栾的基础，提供了规则和结构.其基本原则包括：健汤全的道德观和诚信的文化。黝组织应具有明确的价值观，聃监控各项活动，并采取措施；有效而独立的董事会。应斐建立独立而有效的监督机制甥。独立而有效的监督，可以是来自于公司外部的机构或氧个人，也可能来自于公司的濯拥有者；管理层的运行方式促进良好的控制。管理层应锁设定目标，

14、并为各项活动设谎定一个基调；权限和责任的钕分配与财务报表的目标是一致的。权限和责任的分配是揣从董事会和财务总监开始的苯；人力资源政策和规程支持覆有效控制。应考虑激励因素、招聘、培训和其他活动.秒2、内部监督。监控的目的，是通过识别控制的缺陷和漏洞并持续改进以创造窗效率。监控是指内控系统应犒该被有效监控，它是评估内涟控系统在一段时期内有效性的流程。这将通过持续的监亘控活动和独立评估以及两者相结合的方式来实现。另外薛，内控的缺陷应向上级汇报污，重大事件向管理层和董事蘅会汇报。持续的监控、独立评估和缺陷报告构成监控三揖要素.3、信息沟通。鼍企业应当将内部控制相关信趟息在企业内部各管理级次、蹬责任单位

15、、业务环节之间以凉及企业与外部投资者、债权揽人、客户、供应商、中介机菲构和监管部门等有关方面之蝰间进行沟通和反馈。信息沟颚通过程中发现的问题，应当员及时报告并加以解决。利用槊信息技术促进信息的集成与蟥共享，充分发挥信息技术在甾信息与沟通中的作用.鳞4、控制活动。企业应该参柜考基本规范应用指引，哩确定各种业务和事项的控制雹目标并设计控制活动，结合抒各自业务流程，将控制活动泶整合在各项业务循环中，常用的控制活动包括：不相容职务分离、授权审批、会计系统、财产保护、预算、运瘾营分析、绩效考核等，在每捐一项经营业务的流程中，必缎须根据业务的特点，选择相适应的控制活动，这样才能愧达到合适的控制目标.用5、风险评估。首先需要建甓立风险评估机制以确定风险鞴承受度，识别内部、外部风镄险，采用定性与定量相结合泖的方法，对风险进行分析和排序，这种机制不是一年一罩度的填表流程，而应该是每唬个部门定下的工作原则，在搏每个项目的开始阶段必须执瘭行的工作流程；然后确定关注重点和优先控制的风险，藻根据风险评估的结