内部控制体系中风险管理常态化研究.(共24页)

1、内部控制体系(tx)中风险管理常态化研究(ynji)孙皇城(hun chn) 田甜 计丹丹 宗媛媛 侯雨伽 王向前 吕旭摘要：本文在对企业风险管理一般理论和美国COSO企业风险管理框架进行阐述的基础上，探讨了目前我国企业风险管理常态化的现状及存在的问题，并对问题进行了成因分析，通过分析原因，尝试针对我国现实情况，提出改进和完善我国企业风险管理常态化的几点建议，并着重分析了我国企业如何构建风险管理常态化框架体系。第一部分：企业风险管理与内部控制的关系一、对于风险管理与内部控制的范围界定，学术界一直有一种争论，即风险管理包含内部控制，或内部控制包含风险管理。本文认为，内部控制是风险管理的基础和本质

2、要求，风险管理是内部控制的自然延伸与升华，二者现阶段是相互交叉融合的，只是在不同行业、不同时期、企业的不同层次，企业对内部控制和风险管理的强调各有侧重。行业本身特性。以金融业为例，由于它是巨额资金的集散中心，在国民经济中处于牵一发而动全身的地位，是国民经济发展的晴雨表，因而面临着很高的风险。单位和个人，其任何经营决策的失误都可能导致“多米诺骨牌效应”。从事该行业的企业一般都非常强调风险管理的重要性，对风险管理的需求也就更迫切，因而以风险管理主导内部控制可能更方便。对于其它一般性制造企业等来说，为了符合信息披露中内部控制报告的要求，企业以内部控制系统为主导、兼顾风险管理可能更适合。市场与技术条件

3、的发展程度。在市场发展还不够成熟，风险管理的工具与技术条件都不充分(如计算机系统、统计学理论、数量模型、对冲工具与保险等)，这时企业强调内部控制功能是很自然的。但随着技术及市场条件的逐渐发展，会计记录从手工转向电算化，新兴的金融产品、工具层出不穷，这些创新为企业创造效益的同时也带来了形形色色的风险。此时，仅仅关注企业内部控制己不能适应企业的发展了，企业还应在内部控制的基础上防范风险，加强风险管理。3、企业所处的生命周期。在初创期，企业的组织系统还不够完善，制度建设也刚刚起步，此时企业高管层一般更加重视内部控制的强化。在成长期，企业的规模开始由小变大，生产的产品逐渐被市场接受，业务迅速增长的同时

4、，企业面临的经营风险与市场风险也越来越大，以风险管理主导内部控制的管理模式可能更利于企业的发展。随着进一步的成长与壮大，企业进入了成熟期，盈利能力达到高峰但增长速度放慢，此时企业一般会努力健全组织体系与制度体系，在内部控制上会加大力度，巩固实力并从内部提高自身的防御力与战斗力。在衰退期，企业的规模大但包袱沉重，规章制度多但组织矛盾突出，内部控制成了企业高管层无法逃避的现实问题。4、企业内部不同层次。例如，从企业的战略风险依次到经营风险、财务风险，最后到财务报告，风险管理与内部控制的相对重要性各有不同。在战略风险方面，风险管理发挥主导作用，内部控制起到配合作用。这一角色逐步逆转，到财务报告层次，

5、内部控制发挥主导作用，风险管理起到配合作用。不过，我们应该认识到，随着市场条件的日益成熟，技术的不断进步，法律及监管实践的发展，内部控制必然走向风险管理。二、根据(gnj)COSO报告，可以(ky)如下表述ERM：这是一个过程，由一个企业的董事会、管理当局(dngj)和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，并把风险控制在风险容量以内，为企业目标的实现提供合理保证根据这一定义，企业的风险管理可示于图2在这一风险管理参与下企业的运作图示中，董事会通过制定战略目标，力求实现增长和报酬目标以及相关风险之间的最优平衡，并有效地配置资源，使企业价值最大化；股东会根

6、据董事会的经营业绩来确定董事会成员的任免。风险管理连接企业管理的各个环节这一风险管理模式看似有序，实际上却将股东会孤立于主要的流程之外这一机制在实际运作中不可避免地产生信息不对称。拓展开来，实际上是投资者同管理者之间的信息不对称，而以董事会为代表的管理者的实际角色是处于决策层和执行层之间，很容易形成内部人控制的局面因此，双方实质上往往无法协调相互之间的决策选择，因此，投资者与管理者之间在风险管理方面的博弈是一种非合作博弈 关于内部控制与风险管理的关系目前代表性的观点有三种：一是认为风险管理包含内部控制，COCO(企业风险管理整合框架(2004)中明确指出，风险管理包含内部控制，企业风险管理比内

7、部控制范围广得多；二是认为内部控制包含风险管理，加拿大COCO报告(1995)认为。风险评估与风险管理是控制的关键要素；三是认为内部控制就是风险管理，Matthew Leitch(2004)认为，从理论上讲风险管理系统与内部控制系统没有差异。这两个概念的外延变得越来越广，正在变为同一事物。关于三者的关系，学界已经进行过一些研究与探讨，归结起来主要有以下结论：1内部控制是公司治理的基础，而风险管理包含内部控制。杨雄胜(2005)认为，没有系统而有效的内部控制，公司治理将成为一纸空文，而内部控制是实现公司治理的基础设施建设。在2004年的美国银行管理学会信托风险管理年会上。联邦储备委员会理事Sus

8、an Schmidt Bies在题为“公司治理中的当前问题”的发言中谈到，董事有责任监督内部控制过程，唯此才能去合理预期他们的指示是否得到完全的遵循。她认为进行公司治理的前提是落实内部控制。而认为风险管理包含内部控制则在COSO的最新报告中得到了明示：风险管理包含内部控制；内部控制是风险管理不可分割的一部分。COSO认为风险管理有八个要素组成：内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息与沟通、监督。而内部控制有五个要素组成：控制环境、风险评估、控制活动、信息与沟通、监督。显然内部控制包含在风险管理之中。英国Tumbuu委员会(2005)认为，公司的内部控制系统在风险管理中

9、扮演关键角色，内部控制应当被管理者看作是范围更广的风险管理的必要组成部分。南非的King II Report(2002)认为传统的内部控制系统不能管理许多风险，譬如政治风险、技术风险和法律风险，风险管理将内部控制作为减轻和控制风险的一种措施，是一个比内部控制更为复杂的过程。英国内部审计师协会(1999)、，澳大利亚证券交易所也明确提出了风险管理包含内部控制的观点。不难看出，内部控制是公司治理的基础，没有内部控制，公司治理无从谈起，而风险管理又包含内部控制，进一步推论也就是风险管理是公司治理的基础。从理论上说，基础相对于建立在基础之上之物是须臾不可分离的，就像墙基与墙体的关系一样，实质上他们是一

10、体的。2公司治理(zhl)是内部控制的环境要素之一，是内部控制的前提，而风险管理包含内部控制。阎达五、杨有红(2001)认为随着公司治理机制的完善，内部控制框架与公司治理机制的关系是内部管理监控(jin kn)系统与制度环境的关系。黄世忠(2001)提出，如果不强化公司治理结构(jigu)的基础建设，要建立、健全内部控制以确保会计信息的真实、完整只能是奢谈。吴水澎和陈汉文等(2000)、张安明(2002)、李明辉(2003)、程新生(2004)在相关研究中均持相似观点。正如上述，由于风险管理包含内部控制，也就进一步推论公司治理也是风险管理(含内部控制)的前提。如果公司不强化治理结构的基础建设，

11、就很难有效地进行风险管理。实际上，公司治理不完善有效本身就是一种风险。3内部控制与公司治理是你中有我、我中有你的嵌合关系，而风险管理包含内部控制。王蕾(2001)认为，内部控制与公司治理具有高度的相关性，一个健全的内部控制机制实际上是完善的公司治理结构的体现。反过来，内部控制的创新和深化也将促进公司治理的完善和现代企业制度的建立。李连华(2005)指出，内部控制与公司治理这两个管理系统在主体、目标和内容上有着很多重合点，将二者的关系理解为主体与环境的关系，是不符合他们彼此之间的依赖性、重合性的特征的。他认为内部控制与公司治理不是内部与外部、主体与环境的关系，而是“你中有我、我中有你”的相互包含

12、关系，因此“嵌合论”更能准确地描述公司治理结构和内部控制的相互关系。由于风险管理包含内部控制，就可以进一步推论公司治理与风险管理的关系是你中有我、我中有你的相互包含关系。就内部控制与风险管理的关系而言，也有内部控制包含风险管理的观点。加拿大COCO报告(CICA，1995)认为，“控制”是一个组织中支持该组织实现其目标诸要素的集合体，实质上就是“内部控制”。COCO的报告认为，风险评估和风险管理是控制的关键要素。CICA(1998)将风险定义为“一个事件或环境带来不利后果的可能性”，阐明了风险管理与控制的关系：“当您在抓住机会和管理风险时，您也正在实施控制”。这种认识与前述内部控制与公司治理的

13、三种关系相匹配，可以得出与前面三者关系基本类似的结论。三、内部控制与风险管理的主要区别与联系（一）内部控制与风险管理的主要区别1目的不同。风险管理的目的是把风险意识根植于企业员工的脑海中，使他们在工作中及时发现、预测、评估和应对风险，权衡收益与成本，把风险降低到合理的水平，风险管理侧重于事先的发现与预测。而内部控制是企业实现目标采取的政策和程序，仅仅是一项管理职能，侧重于事后和过程的控制。2范围不同。风险管理分为企业外部风险和内部风险，具体包括市场风险、财务风险、利率风险、环境风险等，风险管理的对象是企业所面临的内外部风险，更倾向于全面风险管理。内部控制则侧重于在企业内部环境的基础上管控企业风

14、险，因此从两者管控风险的范围来说，风险管理的范围更大。3方法不同。内部控制一般是通过定性的方法，对内部控制设计和运行的有效性进行衡量并评价企业内部控制的有效性。风险管理则是通过评估风险发生的可能性和风险对企业影响程度的大小乘积来实现对风险的定量评估，因此(ync)风险管理较内部控制更加精准。(二)内部(nib)控制与风险管理的主要联系1风险管理与内部控制天然不可分割(b k fn )。风险管理是内部控制的动力和源泉，内部控制所实施的一切政策和程序都足为了降低风险，使企业平稳地发展。从矛盾的辩证统一中可发现，两者之间存在着很多交叉，但又存在着各自的特点，最终的目的都是降低企业风险。2风险管理与内

15、部控制协同增效。只依靠风险管理或内部控制都不能抵御市场的冲击，两者必须同时并用。只有坚持以企业为中心风险管理和内部控制两个基本点，两手抓两手都要硬的基本原则，才能使企业平稳、健康地发展。3风险管理和内部控制有融合的趋势。风险管理和内部控制虽有着各自的发展历程，但从企业风险管理框架中可以看出，内部控制和风险管理虽有诸多的不同，但也存在天然的联系，且两者的联系多过差异，因此，风险管理和内部控制必然会经历交叉、融合直至统一的过程。第二部分：我国企业风险管理常态化的现状一、常态化管理的内涵常态化管理是企业追求完美和实现卓越的有效措施，是企业实现持续和谐发展的重要管理理论，是企业适应激烈竞争环境的必然选

16、择，也是提高企业经济效益、永葆企业生命力的必然要求。常态化，就是日常工作的标准要求，是管理的过程和措施。其实质是在“常”字上提要求，在“态”字上下功夫，在“化”字上做文章，将管理目标具体化，责任明确化，人人在管理，处处有管理，事事见管理，时时都管理。1、“常”字要求“常”是经常，是习惯，是要求。就是要建立有效的常态化运行机制，按照凡事有章可循、凡事有人负责、凡事有人检查、凡事违章必究的原则，教育职工始终保持居安思危，未雨绸缪，确立“不进则退，慢进也是退”的责任意识。对所有的规章制度进行梳理整合，把每项管理活动所涉及的机构、岗位协调起来，明确承办、协办的关系，管理者介入的环节和程度，对有关职、责

17、、权、考核内容与方式明确规定，实行业务操作流程和行政工作流程的闭环管理，加大对企业安全、成本、效益和各项指标的监控力度，将各项指标落到实处，并让职工明白在平时实际工作中，做什么、怎样做、何时做、何地做、何人做，从而做到事事有人管，人人有事做，有效地消除工作的随意性和推诿扯皮等消极现象，使整个工作流程常态化。2、“态”字功夫“态”就是一个人态度和素质要求，就是要坚持“以人为本”。“以人为本”已成为现代企业的中心思想，良好的素质是企业生存与发展的不竭动力。所谓在“态”字上下功夫，就是要不断提高职工的政治素质和职业道德，使每一位职工都具备一定的政治修养和道德观念；就是要让职工学习国家的大政方针、政策

18、，了解公司的发展目标、思想理念和所取得的成果；就是要从侧面研究职工的政治倾向、思想意识的发展变化规律，并以此确立职工的政治信念；就是要不断提高职工的思想政治素质，树立崇高的职业理想，用正确的人生观和价值观来调控自己的职业行为，立足做好本职工作，进一步提高服务意识，在社会上树立起电力企业职工的良好形象；就是要让职工懂得并掌握职业道德的标准、要求，树立崇高的品质和职业理想；就是要树立职工爱岗敬业的观念，激发职工的高度责任感，树立“服务于社会，服务于公司、服务于生产”这个大局，服从命令，听从指挥，团结同志，勤恳工作的职业道德服务理念，发扬“个人事小、公司事大，一切以公司的利益为重”的工作作风，更好的

19、为企业的发展作出贡献。3、“化”字文章(wnzhng)“化”就是管理目标具体化、责任明确化、资料规范化、服务人性化，它是常态化管理的过程控制，是衡量常态化管理工作的标准。所谓在“化”字上做文章，就是创造一个管理环境或平台，并设置相应的职位，规定明确的目标及标准、运行程序和考核奖惩等，建立贯穿安全、生产、经营、服务、计划、组织、监控等一系列管理活动全过程的管理程序和规范制度；就是树立“规范自己，方便客户”的核心价值观和“用心把工作干好”的服务理念，为客户着想，体现对客户的尊重和关怀，使每个人的行为，每项工作都遵循一定的标准和程序运行。以“价值标准”、“事实标准”和“人民是否满意”这个尺度为依据进

20、行考核、评定等级，并对考核结果合理运用，保证奖惩得以兑现，达到忠于职守、创造业绩、强化管理，确保各项工作任务的圆满完成。通过常态化管理对人的行为过程和行为结果的记录和反映，实现“管人”与“管事”的有机结合(jih)，达到组织和个人的价值取向趋同。总之，常态化管理只有始终坚持以人为核心，增强执行力，明确目标，责任到人，控制过程，规范管理；提高员工(yungng)学习力，注重创新力，不断激发员工的内在潜能，才能发挥出企业最大的效益，才能起到推动经济社会发展的先行作用，真正做到“无需扬鞭自奋蹄”的效果。二、我国企业风险管理常态化存在的问题近年来由于内部控制和风险管理的失败而导致ST公司的不断增加、企

21、业破产现象的增多，不得不引起人们对风险管理的关注和重视。许多企业也开始积极进行风险管理建设的尝试:有些企业严格规范信息披露制度，回避可能发生的信用风险。有的企业加大了关联交易和对外经济担保的控制力度，以减少经济纠纷和诉讼事项的发生。不少企业还根据经济全球化进程加快的发展趋势，对涉外贸易往来和经济合作项目加强了风险预测、评估和应对策略论证，力求防患于未然。有的企业还要求内部审计部门参与风险管理，加强对风险防范和监督，增强企业的抗风险能力。企业风险管理的强化，取得了良好的效应，不仅明显降低了风险发生的概率，减轻了风险对企业可能造成的损害，而且为企业构建全面的长效的风险管理机制积累了宝贵的经验。我国

22、企业的风险管理近年来虽然取得了长足的进步，但是，总体来说，目前的风险管理还相当薄弱，主要存在以下几个方面的问题:1、风险管理的基础内部控制水平低下内部控制是风险管理的基础和本质要求，如果企业拥有健全良好的内部控制，它就拥有了一条管理和控制企业风险的捷径，企业可以在完善的内部控制的基础上，以较少的资源成本推进风险管理建设。然而，现阶段我国企业内部控制的状祝是怎样的呢?辛金国、范炜等以内部控制四个演进的具体过程内部牵制、内部控制制度、内部控制结构、内部控制框架为依据，通过实地调查和邮寄问卷的方式，对我国企业内部控制现状进行了研究。对71份有效问卷(13家国有独资企业、19家股份有限公司及39家有限

23、责任公司)进行统计分析，结果发现，我国企业内部(nib)控制水平建设参差不齐，总的来说还处于一个低水平。2、对风险管理常态(chngti)化认识不够，缺乏(quf)重视我国有很多企业还未意识到风险管理的重要性，风险意识淡薄，只是在风险即将袭来或风险已经发生时才紧张起来，忙于应对，缺乏全局观念和战略思维，一旦事过境迁就很少过问。有的企业甚至错误地认为，只有市场竞争失利、行将衰败没落的企业才需要加强风险管理，家大业大、蒸蒸日上的企业根本用不着风险管理。3、风险管理常态化机制尚未形成或流于形式企业如果事先建立了一套风险管理机制，并且加以贯彻执行，做好防御风险的准备，当风险来临时自然就会从容应对。然而

24、现实情况却是多数企业并不重视风险，投有形成预先防控风险的意识，往往以一种被动的态度面对风险，只在风险真正到来时才手忙脚乱地采取一些临时性的应对措施。很少有企业能够从经济全球化的视角，从科学发展观的高度，以企业持续发展为战略目标，全面考虑构建符合现代企业制度要求的风险管理机制，增强对风险的预测能力、预防能力、控制能力、化解能力和风险处置后的预后能力、转化能力。既便少数企业建立了这一机制，也大多只是在文字上和形式上做到位了，在风险管理是否有效执行方面却存在明显的漏洞，如无人监督和难以落到实处，造成有章不循、有制度不依，使企业风险管理机制被明显弱化，风险管理形同虚设。这势必造成整个企业管理的无序性和

25、随意性，严重扭曲了风险管理既定目标和应发挥作用的初衷，丧失了它的权威性，更谈不上在有效地执行好风险管理机制的基础上，确保风险管理质量.。4、对风险管理的各种技术方法运用水平差据新、COSO报告所述，企业风险管理各环节都需要一定的技术方法的支持，离开了技术与方法，风险管理无从谈起。国外许多大型企业通过引入先进的风险管理软件、聘请专业的风险管理技术专家等来提高自身企业风险管理水平，而在我国，由于信息化水平低，人员素质差等各种现实原因，企业对风险管理的技术方法掌握程度低，运用水平差。三、我国企业风险管理常态化现状的成因分析造成上述问题的原因很多，总的来说有内因和外因两个方面。(一)外部原因企业并不是

26、一个孤立的经济系统，它总是处于一定的社会环境之中，受到经济、政治、法律等多种外部环境因素的影响。风险管理作为现代企业经营管理的重要组成部分，其建立、实施当然也会受到外部环境的影响。当前，我国企业的外部环境还不完善，存在着一些不利因素影响企业风险管理框架体系的建设与运行。1、计划经济体制下陋习的延续是风险管理不受重视的重要原因。在经济体制改革前，我国企业长期处于计划经济的调控模式下，经营管理服从于国家的指令计划，具有浓厚的行政管理色彩。经济体制改革后，理论上要求的政企分开在执行中并不彻底。一方面，以各种形式改头换面但仍然存在的主管部门，基于权力和利益的双重考虑，仍把持着对企业的行政干预，企业在客

27、观上并无经营自主权。另一方面，一些企业的领导在主观上还保留着计划经济体制时期的吃“大锅饭”的思想，习惯于甚至满足于传统的经营管理方式，缺乏加强内部控制与风险管理、提高管理水平的意识。我国对经营不善企业的盲目保护机制，又进一步助长了这种思想(sxing)。另外，企业在选拔和任用管理人员时仍然受到封建家长制、终身制的影响，缺乏对管理人员的有效激励和约束。企业的管理者往往由主管部门任命而非民主选举，选拔往往重政治表现、轻业务能力，经营失败者不是“辙位”而是“挪位”。这种用人制度无法保证企业管理者的素质(szh)能够满足经营管理的要求，影响了企业风险管理的建立与执行。2、从法规建设上看，我国尚未形成类

28、似新COSO报告的权威的风险管理框架标准体系，风险管理的建立、实施、检查与评价缺乏统一的指导依据。基于我国企业管理实践大多处于加强内部控制阶段，还未上升到风险管理的高度，我国现有的法律(fl)规范主要是针对企业内部控制规范的研究制定方面，虽然其中有些也体现出风险管理的思想，如2001年发布的内部会计规范基本规范第二十四条规定“风险控制要求单位树立风险意识，针对各个风险控制点，建立有效的风险管理系统，通过风险预警、风险识别、风险评估、风险分析、风险报告等措施，对财务风险和经营风险进行全面防范和控制”，但并未将风险管理提炼成一个全面的概念体系。3、外部监督的乏力使企业缺少健全完善风险管理的压力。为

29、了督促企业合法合规经营、建立健全内部控制系统，我国己形成了包括政府监督(如财政、审计、税务、证券监管等部门的监督)和社会监督(如注册会计师、新闻媒体社会舆论等的监督)在内的企业外部监督体系。然而，由于各种监督的功能交叉、标准不一，再加上分散管理、监督主体之间缺乏横向的信息沟通，监督体系未能形成有效的监督合力，并且各种监督的执业环境不规范和不正当的业务竞争，对监督者的监管缺乏，使各种监督没有发挥应有的作用。(二)内部原因企业内部因素的不利影响是风险管理薄弱的根本原因，主要包括以下几个方面的内容:1、公司法人治理结构不规范风险管理的建设及有效运行，有赖于企业内部良好的公司治理结构。现代企业的所有权

30、与经营权的分离，使管理范围增大，管理层次增多，管理职能逐步分解，客观上需要一个规范的法人治理结构，以保障所有者、经营者、债权人等的合法权益。然而，在我国将现代企业制度作为改革方向时，相当一部分企业的改制过程没有规范运作，特别是公司治理结构被严重扭曲，有些做法连公司治理结构中最基本的要求都未达到，还有些企业虽然形式上也建立了法人治理结构，具有了现代企业的外壳，但远未达到内部权力相互制衡的效果。最为典型的问题是股东大会流于形式，监事会的权力虚置，董事会作用严重弱化，内部人控制现象普遍。以大体上建立了法人治理结构的上市公司为例，它们大多由国有企业股份化改造而成，股权过于集中，国有股“一股独大”成为我

31、国上市公司一道独特的风景线。在企业改革之前，这些上市公司的前身国有企业以所有权取代经营权，改革完成之后又过于强调“放权让利”，走向了经营权取代所有权的极端，造成终极所有者缺位，“内部人控制”现象严重。很多公司的董事会成员与经理人员高度重叠，董事会对经理人员的监管作用难以发挥。2、人员素质偏低，观念落后(lu hu)，职业道德素质不高人是企业最重要的资源，也是风险管理的执行主体与控制对象，风险管理的有效运行要求企业的人员具备胜任的工作能力和正直的品行。但从我国企业目前的情况来看，企业人员的素质远未达到风险管理的要求。由于管理者对企业风险管理的建立健全负有主要责任，管理者的素质自然成为决定风险管理

32、质量的重要因素。然而，我国很多企业的管理者缺乏风险管理的理念和技术，经营管理上存在着短视行为，缺乏长远的风险管理观念。除了知识与技能方面(fngmin)的缺陷外，一些企业的管理者在品德操守方面也存在着问题。有的企业管理者只知道利用职权牟取私利，根本不关心企业的经营管理。另外，除了管理者的素质以外，企业普通员工(yungng)的素质特别是财务人员的素质对风险管理的有效性也发挥着重要的作用。当前，我国企业财务人员的水平普遍偏低，职业道德素质堪优。很多根本不具备从业资格哟人员依靠人情关系混进会计队伍，相关的财经法规、准则制度了解的不多，工作时只凭领导意识办事，根本谈不上运用先进的管理方法来提高企业的

33、经济效益。还有部分财务人员无视财经纪律，为了个人利益顺从领导意图，甚至为讨好领导在弄虚作假上帮着出点子，使得财务信息严重失真。3、监督不到位要确保风险管理切实地执行，并能够随时适应新情况达到良好的效果，风险管理过程就必须被施以恰当的监督。通常，企业的专项监督职能由内部审计来完成。内部审计是风险管理监督要素的主要内容之一，其作用发挥的好坏直接影响到风险管理的效率和效果。然而，有些企业尚未建立内部审计制度，多数企业的内部审计工作得不到重视，己建立的内部审计机构也未能发挥应有的作用。我国自1985年国务院颁布内部审计暂行办法确立内部审计制度以来，各企事业单位逐步建立了内部审计机构，配备了专、兼职内审

34、人员。十几年来，内部审计几经沉浮，曾一度处于低谷，审计机构纷纷被精简撤并。从我国内部审计发展的历程看，它远没有成为企业管理的内在需要，在企业中没有得到真正的重视，而只是一种对付上级检查的一种“摆设”，内部审计没有发挥出其应有的监督和服务作用。究其原因，主要是我国内部审计机构组建的非自愿性和审计独立性不够造成的。第三部分：我国企业风险管理常态化框架构建及运行策略一、欧美风险管理现状及启示（一）欧美风险管理现状从内部控制与风险管理融合的角度看。COSO的两个框架实现了内部控制5要素与风险管理8要素的有机结合，通过强化内部控制环境，明确企业内部控制系统的层级制度和相应责任，增强企业全员应对风险的主体

35、意识。促使管理层在充满风险的环境中更有效的运营。美国证券交易委员会发布的关于管理层报告财务报告内部控制的指引为企业管理层对财务报告内部控制实施自上而下、以风险为基础的评价提供一种方法。相比之下，我国国资委与财政部分别发布中央企业全面风险管理指引和企业内部基本规范二者之间未进行有效整合。这种现象对企业增加了实施难度和系统设置的成本，不利于企业在设计内部控制系统的各项活动时将内部控制与风险管理的具体要求有效地进行整合因而也不利于内部控制系统有效地推行和持续监控。经验(jngyn)借鉴以ERM为核心的内部控制，即是在企业(qy)设计内部控制系统及相关职能管理机构在制定内部控制规范时，将EI蝴置于核心

36、地位通过目标设定(sh dn)、事件识别、风险对策和风险评估等手段，建立有助于风险管理的控制环境，协调控制活动，加强信息沟通及监督，从而实现企业的战略目标从我国目前的具体情况来看，建议从以下几方面考虑相关对策1、 将风险管理责任落实到人，强调董事对企业战略的风险负责以前，对内部控制的理解多局限在对企业财物的舞弊控制及牵制制度上，为此也耗费很多企业的资源，但往往还是事倍功半，没有起到应有的效果究其原因是责任不明，直接负责的人员不对风险负责，而隔了几层的董事会及高管又难以把握基层的控制或控制成本过高所以，应将企业的风险分层，企业的董事会、CEO等高级管理层主要负责可能产生重大风险的环节，即企业策略

37、制定中的风险，而不是将精力耗费在所有细小的环节上；财务负责人，对企业资金的运作风险、财务报告的真实合法性负责；各部门的管理者、部门经理及其他负责人，对部门的运作风险、具体措施负责董事会对企业战略制定及执行的风险负责，即要求董事会承担最终的责任有关社会组织及行政管理部门，应在相关规范中明确董事会对企业风险管理的责任，对违反风险管理程序的行为，无论是否造成损失，都应严加追究当然，“考虑到我国法律现实。应该要求公司法定代表人(董事长、执行董事或总经理)和财务负责人(总会计师或财务总监)对内部控制的设计和运行的有效性负责，并在财务报告内部控制报告上签字盖章”2、协调公司治理结构和内部控制制度的关系。提

38、高内部控制效果公司治理结构和内部控制分别归属不同的法律体系公司治理结构的规范主要出自公司法和证监会颁布的公司治理指南，而内部控制规范主要源自会计法和财政部、审计署颁布的一系列内部控制及审计规范二者在法规制定上没有充分考虑相互兼容性实际上，二者在运行过程中存在着很强的相关性，是相互依赖、相互支撑的关系近年来，在内部控制上出现瑕疵的企业，很多是大型集团公司(不乏跨国企业)，大多也建立了系统的内部控制制度，甚至重金聘请会计师事务所为其制定内控制度这些公司治理结构不可谓不先进，内部控制制度的设计不可谓不合理，但由于二者不能有效地协调配合，出现很多轰动全国的大案，甚至置企业于绝境因此，在设计法人治理结构

39、时，应充分考虑其与内部控制系统的兼容性，对各层次赋予的权力和责任要同其现实能够承担的风险结合起来；继续致力于解决股权过分集中、股东会和董事会的实际职能在很大程度上重合等问题，使监事会切实起到监督的作用；将所有业务活动分离出授权、批准、记录及监督，并将这些职能分别授予不同责任人执行，形成一个相互牵制、相互制约的过程3、建立健全对企业内部控制效果的披露制度上市公司及拥有国有投资的公司的管理当局，应出具旨在保证财务报告可靠性的内部控制评价报告内部控制评价报告应主要包括：评价内部控制的结构和程序的有效性；内部控制的设计和运行对有关标准和程序的遵循性；对所评价的内部控制的主要方面进行简要描述；内部控制评

40、价的结论性意见；内部控制中存在的重大缺陷；报告期内内部控制的重大变化及其影响；等等负责年度报告审计的注册会计师对内部控制评价报告应出具验证意见书，与年度报告的审计意见书一同披露公司审计委员会和监事会也应对内部控制评价报告出具审查意见为此，有关部门应尽快出台有关内部控制评价和审核的专项标准，以便对管理当局的内部控制评价报告的制定及其验证提供指导4、加强风险管理在执行过程中的监控(jin kn)力度对企业风险管理的监控机构主要有监事会、审计委员会、内部审计机构及注册会计师监事会主要负责监督企业的决策层，包括战略决策的风险评价、管理层舞弊的风险监督、管理决策的合规性评价等，因此，监事会的职能属于风险

41、监测的上端；注册会计师审计主要是对财务报告的真实可靠性及合规性的审查，也包括对管理层的内部评价报告的验证，从其性质上说主要是对结果的审查，因此，注册会计师的审计职能属于对管理风险末端的监测；而审计委员会及内部审计机构的监督应属于中间环节我国的现实是由于法人治理结构不够有效，监事会形同虚设，而现有的审计委员会及内部审计机构由于其独立性不能较好地体现从而不能有效地发挥监督作用，甚至某种程度上成为管理层责任的缓冲器加强监事会切实行使其职能的能力，提高监事会行使职能的水平(shupng)，从源头上发现战略制定中的风险；审计委员会及内部审计部门应适时地对相关风险管理节点进行审查，及时发现策略和计划执行过

42、程中的问题，迅速反馈并及时纠正应真正实现审计的独立性，在有关法规和制定上，应使审计委员会或内部审计机构向监事会负责5、建立(jinl)有利于风险管理的内部环境2004年，COSO的ERM总体框架将内部控制的构成要素之控制环境改为内部环境，旨在强调改善企业整体的内部控制意识，尤其是企业风险文化的建立管理者应树立适当的风险偏好，正确地识别风险和机会，各级执行部门应严格遵守分权规则同时，建立企业的风险管理哲学，培养员工的诚实性和道德观，让企业风险管理能够生长在健康的土壤中当然，这是一项社会的系统工程，有赖于公民社会素质的整体提高二、我国企业风险管理常态化框架构建及运行策略（一）我国企业风险管理常态化

43、框架的构建原则现代企业在建立和设计风险管理常态化框架时必须遵循以下五点基本原则:1、有效性原则有效的风险管理在企业的生产经营过程中能够得到贯彻执行并发挥作用，为实现其战略目标、经营目标、报告目标、合规目标提供合理保证。风险管理框架必须有效，它必须适用于公司的治理结构框架以及内部各部门或单位的特点，必须能够发现和化解企业生产经营所面临的风险。企业制定的各项风险管理制度要与企业内部管理和经济发展相适应，既要体现企业规模特点和管理水平的差异要求，也要体现经济发展和各项法律、法规制度的要求。这是风险管理框架的生命力之所在。在我国，企业组织类型十分复杂，管理模式也千差万别，管理水平又参差不齐，对与之相适

44、应的管理要求也各不相同。这些差异都必须在风险管理框架构建中给予充分的考虑。2、全面性原则风险管理的全面性首先体现为全过程性，它贯穿于企业经营管理活动的各个方面，从诸如战略规划和资源配置等企业层次的活动，到诸如市场营销和人力资源等业务单元的活动，再到诸如生产和新客户信用评价等经营流程。管理者应针对人、财、物、信息各要素及各业务活动领域，在综合考虑企业自身的行业背景、经营规模等的基础上，构建相对(xingdu)全面的风险管理框架，使其触角摄入企业经营的各项业务和各个操作环节，涵盖所有的部门和岗位。此外，风险管理的全面性还体现在全员性，它涉及到企业中所有部门和全体员工。企业中的每一个员工既是风险管理

45、的主体，又是风险管理的客体。在构建风险管理框架时，应遵循全面性原则，以保证从企业高层管理人员到基层执行操作人员都受到相应的控制与管理。3、系统性原则(yunz)在设计风险管理框架时，必须按照系统论的观点，将各部门和各岗位形成既相互制约又具有纵横交错关系的统一整体，以保证各部门和岗位均能按照特定的目标相互协调的发挥作用，从而发挥风险管理框架的总体功能，实现风险管理总体目标。企业应把风险管理框架作为(zuwi)企业管理的有机系统来抓，通过风险管理机制建设将公司治理、内部管理、责任考核、防范财务和经营风险等其他各项经营管理工作结合起来，做到相互促进、相互补充，相得益彰。4、以人为本原则风险管理有很强

46、的人为特点，它主要是针对人来设计的，又通过企业员工的言行来完成。人制定企业的使命、战略和目标，并使风险管理机制得以落实。然而，由于个人的知识结构、理解能力、行为作风不同，对风险的认识与态度也会有很大差异。如何帮助员工统一认识风险，进而团结一致，愿意并主动地维护及改善企业的风险管理，是风险管理框架构建过程中需要考虑的问题。风险管理框架的建设必须尊重人性，必须从人性角度出发来设计和运行企业风险管理，方能达到最佳效果。5、成本效益原则作为一个经济实体，企业最关心的就是其经济效益。成本效益原则就是企业从事任何经济活动所必须遵循的一项基本原则。单从风险管理的角度而言，它可以帮助企业抵御风险，增强抗风险能

47、力，合理保证目标实现，但是企业建立、维护风险管理框架总要付出一定的代价，如风险管理的构建成本、风险管理运行中的人力和物力支出、不适当的风险管理措施对企业产生的不良影响等。建立风险管理框架必须贯彻成本效益原则，通过运用科学化的经营管理方法以降低其成本，提高经济效益，力争以最小的管理成本获取最大的经济效益。（二）我国企业构建风险管理常态化框架的基本思路目前，我国企业在风险管理方面还比较落后，很少有企业有全面的风险管理理念，在具体的风险管理措施方面也没有形成系统的规范的认识。这与我国风险管理理论研究的落后有着很大的关系。因此，在我国还未出台一部像美国COSO一ERM框架这样被广泛接受与认可的权威理论

48、的情况下，我国企业可以以其作为理论指导，吸取其中的先进理念，抓住其中的关键因素，结合企业实际清况构建符合我国国情的风险管理框架。一方面，企业内部环境的改善与否，是构建风险管理框架的前提条件，而建立健全组织结构及权责分派体系，确立董事会的核心地位，培育企业风险管理文化，是改善内部环境的关键因素;另一方面从企业自身风险管理过程来看，进行全面的风险评估，设立良好的控制活动是风险管理的核心;此外，企业进行风险管理离不开信息系统与监控系统的支持，而建立畅通的信息和沟通渠道，有效发挥内部审计职能是建立风险管理支持系统的重要途径。1、健全组织结构，明确(mngqu)权责分派体系企业的组织结构决定了有关部门和

49、人员的职责及关系模式，是企业能够良好(lingho)运行的基础，而一个恰当的权责分派体系，有助于提高企业运行的效果和效率，从而实现企业的目标。公司制企业中股东大会(权力机构)、董事会(决策机构)、监事会(监督机构)、总经理层旧常管理机构)，这四个法定刚性机构为风险管理框架的建立提供了基本的组织架构，但风险管理机制的运作还必须在这一组织架构下设立满足企业风险管理需要的职能机构、岗位，并确定相应的职责。根据我国企业的现实情况，借鉴国外现代企业风险管理的成功经验，应当从三个方面努力:1.1、企业管理层应当将风险管理列入重要议事日程，制定企业风险管理战略目标，定期(dngq)研究分析风险管理的实施进程

50、，及时解决风险管理中存在的问题，提出风险管理的工作重点和要求。同时，要确定一位主要高管成员分管风险管理工作。1.2、设立专门的常设的风险管理机构，负责处理风险管理的日常事务。可以根据企业条件，组成由计划、财务、营销、审计等专业人员参加的“风险管理委员会”，负责风险管理工作的策划、部署和检查，研究风险管理面临的态势及其趋向，向分管领导提出建设性意见。也可以指定某个职能部门承担风险管理任务，专门配备“风险管理经理”处理日常事务。1.3、在企业的分支机构和基层组织中，可以设置兼职的风险管理员，其主要职责是:如实反映本单位、本部门风险管理的情况和问题，及时反馈有关风险的动态信息，根据企业的部署协助本单

51、位、本部门领导者处置风险。2、确立董事会的核心地位公司的董事会是联结出资者和经营者的桥梁。由于股权分散的事实产生的投现代企业风险管理框架研究资者行使剩余控制权的高额成本以及信息不对称，行使控制权的重心客观上落在董事会肩上。从我国的公司法规定的董事会、股东大会、总经理之的权责划分也可看出，董事会在公司管理中居于核心地位。董事会应该也必须对公司风险管理的建立、完善和有效运行负责。原因在于:2.1、对于董事会，建立风险管理框架是为了通过“不丧失控制的授权”来保证公司有效运行、完成公司目标;2.2、风险管理是董事会抑制管理人员在获取短期盈利机会中的机会主义倾向，保证法律、公司政策及董事会决议切实贯彻的

52、手段;2.3、风险管理以及涉及风险管理的信息流动是解决信息不对称、保证会计信息真实可靠的重要手段，而确保信息质量是董事会不可推卸的责任。董事会应就风险管理工作的有效性对股东大会负责，其具体职责主要包括:对企业风险管理的全过程进行监控，包括了解企业风险管理的范围;批准企业的风险容量;审核企业的风险组合观，并对照企业的风险容量对其进行考核;了解最重大的风险以及管理当局是否恰当地应对，督导企业风险管理文化的培育等。然而在我国，公司制企业虽然都按公司法的要求设立了董事会，但相当一部分企业的董事会未能发挥应有的作用，有的甚至形同虚设。针对这一情况，建议政府通过制定更为具体的法规强化董事会在公司治理中的功

53、能，同时建议政府有关部门在颁布有关风险管理制度的指导性规范中强调董事会在风险管理框架构建中的核心地位。3、培育(piy)企业风险管理常态(chngti)化的文化(wnhu)文化是一个国家、民族的灵魂，也是一个企业的灵魂，是软实力。一个企业，要培育积极向上的企业整体价值观，这是精神层面的东西，也是推进企业持续发展、基业长青的动力源泉。凡是风险管理做得好的企业，具有共同的特征：领导者具有极强的风险意识，高度重视风险，并极力将这种意识灌输给企业内所有领导成员与全体员工，即注重风险管理文化的培育。3.1.培育形成合规文化。制度重于技术，一个企业管理要提升，首先要建立健全完善的制度体系，优化流程，以制度

54、管人、以制度管事。管理科学化，首先是管理规范化、标准化，然后才有精细化，前者就是制度，后者是管理技术上的创新。企业境外投资风险管理制度建设，就是要对境外投资中的重大决策、投资并购、财务融资、人力资源、购销以及金融衍生品等高风险领域，建立健全内部控制和风险管理制度，优化完善工作流程，借助信息化，健全风险预防与管控机制，真正做到管理制度化、制度流程化、流程表弟化、表单信息化。3.2.树立全员风险管理意识。在企业中要培育形成风险管理文化，必须做到充分关注以下三大要素：一是树立正确的风险管理理念，二是增强员工风险管理意识，三是把风险管理意识转化为员工的自觉行动。要树立全员风险管理意识首先要高级管理人员

55、应当强化风险意识。中航油新加坡事件给业内留下了深刻的反思。该公司不仅成立了独立的风险管理部门，组建了跨部门的风险管理委员会，设立了从资深交易员、风险管理委员会、内审部的风险监控三道关，聘请了全球知名的安永会计师事务所作为顾问，制定颁发了风险管理手册，推行着是时堪称全球最为先进的风险管理系统，即KiodexRiskWorkbench系统，并曾被评为新加坡“最佳治理公司”、“透明度最高的企业”之一、道琼斯新加坡蓝筹股“道琼斯新加坡泰山30指数”。不可谓制度不健全、技术方法不先进、企业形象不优秀。甚至规定到了“损失20万美元以上的交易要提交风险管理委员会评估，累计损失超过35万美元的交易须得到总裁同

56、意才能继续，而任何导致50万美元以上损失的交易将自动平仓”，规定不可谓不细。但是，这些形式上十分完备、规范的公司治理并不能保证一定有效。由于一把手陈久霖的不遵守、违规操作，最终发生亏损5.5亿美元的巨大风险案件。因此，企业风险管理首先是一把手的管理，全员风险意识也首先是一把手的意识，避免因个人风险偏好可能给企业带来的不利影响和损失。只有一把手具有强烈的风险管理意识，并自觉遵守，才能真正做到树立全员风险管理意识，使企业员工自觉遵守与企业内部控制风险管理有关的各项规定，内嵌入心，外化于行。3.3.培育形成执行文化。企业风险管理应该是一种理念和要求，风险管理和日常经营管理绝对不是两个东西、两张皮，如

57、果把风险管理和日常经营管理弄成两个体系、两张皮，各行其是，肯定不会成功。实际上，大多数企业的风险管理不是一两年、几年就可以解决的，它需要循序渐进、逐渐深化、逐步提升，逐步做到和企业日常经营管理相融合，风险管理应该融化在日常管理之中并与F1常经营管理融为一体，融入经营管理的各个过程之中去。建起统一的风险管理文化，就是从战略决策层面到具体业务层面，都严格执行风险管理流程，利用信息化手段将风险管理固化于业务流程。细节决定成败，行动决定效果。好的战略、好的措施，在于执行、在于落地，风险管控体系也是如此，只有全员执行，全员落实，才能真正建立起来。3.4.培育形成绩效文化。企业风险管理的基础性前提为它的利

58、益相关方提供价值，创造价值并保护价值是风险管理的第一原则和核心，为组织目标的实现和绩效改进作出贡献是风险管理的动力所在。健全完善的全面风险管理，可以(ky)使企业减少投资与经营损失，获取风险收益，实现资产保值增值和企业溢价，有利于提高投资人信心、有利于提高企业信用等级，提升企业形象。由此可见，风险管理作为企业的“软实力(shl)”建设，可能短期内难以见效，不能在数字效益上体现出来，但蓝持下去，若干年后一定会有成效，并为企业创造价值。企业管理(gunl)是有效管理，同样，风险管理也是有效益的，既有定性的质的指标，也可以建立量化指标，因此，要将境外投资风险管理纳入绩效考核体系，建立风险管理的激励约

59、束机制，这样，才能促进统一高效的风险管理文化建设，从根本上提升企业境外投资风险管理能力和水平。4、进行全面的风险评估在竞争日趋激烈的市场经济条件下，现代企业所面临的环境是复杂多变的，企业时刻面临来自组织内外部的各种风险，对这些风险发生的可能性及影响进行分析、估量和评价，是企业经营管理者进行风险管理的关键环节之一。风险评估就是这样一种过程，它是在事项识别的基础上，通过对所收集的大量风险信息，运用数量化方法，估计和预测风险发生的可能性和损失的严重程度。对企业风险评估的方法有定性与定量两种。定性法主要是通过观察和分析，借助于经验和判断能力进行评估，而定量法则需要建立大量复杂的风险管理模型，进行起来难

60、度比较大。管理层在风险不能量化，或者不能取得足够可靠的数据，或者没有实用性，或者分析数据不符合成本效益原则时，可采用定性的评估技术。但是定量技术可以带来更高的精确性，可以作为定性技术的补充运用于更为复杂的活动中。5、设立良好的控制活动控制活动是风险管理的核心内容和企业具体实施风险管理的过程，旨在帮助企业保证其已针对“使企业目标不能达成的风险”采取必要行动。控制活动贯穿于整个企业，遍及各个层级和各个职能机构。它是对企业生产经营中的各种资源进行监督和控制，包括批准、授权、验证、调节、经营业绩评价、资产安全及职责分离等多种活动，直接影响到企业运行的效率和效果，影响企业目标的实现。由于风险管理许多方式