风险管理历程专题2012

1、风险管理历程1第一章 风险管理历史简介 1.1人类对付风险的早期思想与实践1.2企业安全管理的发展1.3德国的风险政策与美国企业的保险管理 1.4风险管理的形成与发展 1.5风险管理范围与工具的演进1.6风险管理历史上的“第一”纪事 21.1人类对付风险的早期思想与实践第一阶段：风险管理出现前远古人类面对灾害往往会诉诸神祉（zhi）。然而，人的固有赌性，不但创造了概率论，推动科技文明的进展，也造就了现代风险管理。伯恩施坦（Bernstein,op. cit.）认为人类在文艺复兴时代，即想操控灾变或风险。风险的研究，也始于文艺复兴时代开始。此阶段虽无“风险管理”的词汇，但与其功能极为相关的安全管

2、理（Safety Management）与保险（Insurance）已有重大进展。此时，人类面对灾变与风险的思维以客观实体派为主。主观建构派的风险思维以心理学为主。在安全管理与保险领域中，只关注危害性风险而且各行其是。以现代风险管理的广义范围来看，安全管理与保险只是其中一部分。31.2险管理出现后至1970年代前文献（Gallagher,1956）显示，风险管理词汇的出现，时约1956年间，远晚于风险词汇的出现（17世纪中期，英文的世界里出现“Risk”这个字（Flanagan & Norman,1993）。风险管理缘起于美国。缘起的原因是，美国1930年代经济不景气与社会政治的变动以及科技的

3、进步。近因则是，1948年钢铁业大罢工与1953年通用汽车巨灾事件。在此时空背景下，经由企业中保险主管们的努力，风险管理的观念逐渐为企业主所接受。企业界观念的转变，也影响到保险教育的方向。全球第一个风险管理课程，于19601961年间，华人旅美名学者段开龄博士与美国保险管理学会（ASIM:The American Society of Insurane Management）联合筹备开设。这个阶段，仍然只关注危害性风险，但安全管理与保险有融合迹象。此时，人类面对风险的思想仍以客观实体派为主。主观建构派的风险思维仍以心理学为主。41.31970年代后至1990年代前这个阶段，有两个发展值得注意：

4、第一，1971年，布列敦森林制度（Bretton Woods System）正式结束。任何经济个体均面临了空前的财务性风险。财务性风险管理日益蓬勃发展。第二，科技灾难相继发生。1970年代前，虽有科技灾难发生（e.g. BASF工厂戴奥辛外泄事故，联邦德国，1953年），但对风险管理思维的冲击不大。1970年代后至1990年代前相继发生的科技灾难，对风险管理造成极大的影响。5创立于1980年的风险分析学会（SRA: The Society for Risk Analysis）与切尔诺贝利事故后浮现的安全文化观念显示，管理风险不应只注重技术与经济财务，也应注重人为作业绩效与文化社会背景的影响。在

5、管理思维上，传统风险管理面临重大挑战。英国道格拉斯主张风险的文化理论、德国贝克教授的风险社会理论与法国傅柯的风险统治理论对风险管理的传统思维冲击最大。此后，风险客观实体派与主观建构派的思维并重。在管理风险的范围与决策上，已留意到，财务性风险管理与危害性风险管理不能各行其是。这个阶段是现代全方位风险管理形成的转折点。61.41990年代至今这个阶段值得注意的有两点：第一，因衍生金融商品（Derivatives）使用不当引发的金融风暴以及后续市场上的反应。第二，保险理财与衍生性金融商品的整合。保险业本身的创新变革打破了保险市场与资本市场的界线。财务再保险（Finance Reinsurance期货

6、等均是明显的例证。新的财务风险评估工具风险值（VAR: Value At Risk），使财务性风险管理又迈向新的历程。近20年来，美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。71986年，由欧洲11个国家共同成立的“欧洲风险研究会”将风险研究扩大到国际交流范围。1986年10月，风险管理国际学术讨论会在新加坡召开，风险管理已经由环大西洋地区向亚洲太平洋地区发展。中国对于风险管理的研究开始于1980年代。一些学者将风险管理和安全系统工程理论引入中国，在少数企业试用中感觉比较满意。中国大部分企业缺乏对风险管理的认识，也没有建立专门的风险管理机构。作为一门学科，风险管理

7、学在中国仍旧处于起步阶段。81.5风险管理范围与工具的演进91.6风险管理历史上的“第一”纪事 第一个准确、科学地描述风险的科学家。瑞士数学家贝努力1705年发现了大数定律。大数定律后来成为一切保险的计价基础第一家保险公司。世界上第一家保险公司于1720年在伦敦成立。当时英国人已经在定价时使用了抽样的统计方法。标志着风险管理在实际应用中的重大进展。 10第一个权威性的“内部控制”定义。1949年美国审计程序委员会下属的内部控制专门委员会经过两年研究发表了题为内部控制，协调系统诸要素及其对管理部门和注册会计师的重要性的专题报告，对内部控制作了权威性的定义。（ “内部控制是企业所制定的旨在保护资产

8、、保证会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施”。）11第一次发表“组合选择”理论。 1952年，马柯维茨发表了题为证券组合理论的论文，他将金融资产的收益和风险进行了合理的量化。在此基础上，还通过了一系列的数学模型和方法，从理论上论证了证券投资的分散化可以有效地降低非系统风险，并提出了确定最优证券组合的方法，为现代金融风险管理奠定了基础。第一个提出“风险管理”的人。1955年，在美国宾夕法尼亚大学沃尔顿商学院，施耐德教授提出了“风险管理”的概念。12第一个巴塞尔协议。 20世纪80年代，随着金融市场的发展，特别是金融衍生

9、产品的使用，银行风险的增大引起了国际上的严重关注，国际清算银行于1988年发表了第一个巴塞尔协议，从资本充足率的角度和信用风险的管理，提出了商业银行的经营规范。第一个国家风险管理标准的诞生。世界上第一个国家风险管理标准是1995年由澳大利亚和新西兰联合制定的AS/NZS4360，该标准明确制定了风险管理的标准程序。 13第一个有全球性影响的强制性风险管理相关法案。 2002年由美国总统布什签署生效的萨班斯奥克斯利法案，对在美国证券市场上市交易和有公共借款的非上市公司都有着强制效力。法案除了要求公司的CEO和CFO必须在年报中确认报告的准确性外，还要求公司的独立审计师对公司的内控制度发表意见。尽

10、管萨班斯奥克斯利法案是美国的法律，但由于美国在全球资本市场的重要地位，这项法案的影响已经超出了单个国家的范畴，将企业内控制度和风险管理演变成了全球范围内的深度话题。14第一个中国的全面风险管理指导性文件2006年6月6日，国务院国有资产监督管理委员会发布了中央企业全面风险管理知音，标志着中国走上了风险管理的中心舞台，开启了中央企业风险管理历史的新篇章。 15第二章 英国风险管理实践 2.1英国的公司治理和内部控制制度发展纪事 2.1.1 内部控制与公司治理内部控制和内部审计研究均置于公司治理的框架之内，重视从公司治理的角度来巩固内部控制制度的效果，把内部控制看作公司治理在企业日常运用中的有效延

11、伸，16公司治理的目的是建立一种问责性制度（Accountability），以使公司的董事会和管理人员切实承担起责任，并有效地运用他们受托管理的资金，为投资者（股东）谋取利益。健康的公司治理要求董事会内设置足够多的外部独立董事（甚至过半），而不是让负责经营管理公司的内部人员控制董事会。董事会任命的某些附属委员会应该完全由外部独立董事组成，以便保障健康的公司治理实践。对审计委员会而言，这一点尤为重要。独立董事的重要作用越来越多地在公司治理准则和金融机构管理法规中得到反映和体现。172.1.2英国公司治理和内部控制制度发展纪事1. 1992年12月，卡德伯利报告（Cadbury Report） 2

12、. 1995年7月，格林伯利报告（Greenbury Report） 3. 1998年6月，哈姆佩尔报告（Hampel Repory） 4. 1999年9月，特恩布尔报告（Turnbull）5. 2001年3月，迈尔斯评论（Myners Review）6. 2003年1月，史密斯报告（Smith Report） 7. 2003年1月，西格斯报告（Higgs Report）8. 2003年6月，泰森报告9. 2003年7月，联合条例（The Combined Code）182.2卡德伯利报告(Cadbury Report)卡德伯利委员会是在1991年由伦敦交易所和会计专业人员依托于财务报告理事会

13、组建的。委员会成立的目的就是为了应对投资大众对上市公司的财务报告和外部审计师日渐颓靡的信任。因此，卡德伯利委员会经过缜密的调研，在1992年12月提交了卡德伯利报告。卡德伯利报告从财务角度研究公司治理，同时将内部控制置于公司治理的框架之下。 19卡德伯利报告建议公司采纳以下四个方面来改进公司的治理。公司董事会层面：为了确保公司董事会确实的公司决策作用，而不是徒有其表的橡皮图章，该报告建议公司应该经常召开全体董事会会议，并确定诸如并购、处置、资本项目、资金司库和风险管理政策等须全体董事一致通过的重大事项决议流程20公司非执行独立董事会层面：该报告创造性地提出了非执行独立董事的作用，并建议他们应该

14、在公司董事会层面扮演其他执行董事不同的监管责任。21公司执行董事层面：该报告相当关注执行董事的薪酬、业绩和职位等个方面与公司股东之间的利益纠纷，并建议在执行董事和公司的雇佣协议三年期满后，应该得到股东们的书面同意才能再续签雇佣协议。而且，决定执行董事薪酬的应该是全部或者主要由非执行独立董事的董事薪酬委员会。22报告和控制层面该报告还强调了董事会必须向公司股东清洗直观地呈报公司的当前经营和历史状况、公司的发展战略定位和盈利预测等运营信息，确保公司股东对经营状况的全面了解。232.3哈姆佩尔报告(Hampel Report)卡德伯利报告推出并实施后，在1995年，为了跟踪卡德伯利报告推荐的公司治理

15、实施效果，哈姆佩尔委员会遂告成立。在经过了3年左右的调研，哈姆佩尔报告于1998年6月问世并取代了卡德伯利报告，成为了在英国伦敦交易所上市必须遵循的上市规则。24哈姆佩尔报告将内部控制的目的定位于保护资产的安全、保持正确的财务会计记录、保证公司内部使用和向外部提供的财务信息的可靠性，同时鼓励董事对内部控制的各个方面进行复核，包括确保高效经营、遵守法律法规方面的控制。哈姆佩尔报告认为，很难将财务控制与其他控制区分开来，并坚信董事及管理人员对控制的各个方面进行复核具有重要意义，内部控制不应仅局限于公司治理的财务方面。该报告全面赞同卡德伯利报告将内部控制视为有效管理的重要方面的观点，并认为董事会应该

16、对内部控制进行复核以强调相关控制目标，这些目标包括对企业风险评估和反映、财务管理、遵守法律法规、保护资产安全以及使舞弊风险最小化等方面。252.4特恩布尔报告(Turnbull Report1999年ICAEW组成的以尼格尔特恩布尔(Nigel Turnbull)为主席的十人工作小组公布了内部控制：综合准则董事指南，即特恩布尔报告。作为指导企业构建内部控制的指南，该报告的意义在于，它为公司及董事会提供了具体的、颇具可行性的内部控制指引。其主要内容是： 26董事会对公司的内部控制负责董事会对公司的内部控制负责，应制定正确的内部控制政策，并寻求日常的保证，使内部控制系统有效发挥作用，还应进一步确认

17、内部控制在风险管理方面是有效的。在决定内部控制政策，并在此基础上评估特定环境下内部控制的构成时，董事会应对以下问题进行深入思考： 27(1)公司面临风险的性质和程度；(2)公司可承受风险的程度和类型；(3)风险发生的可能性；(4)公司减少事故的能力及对已发生风险的影响；(5)实施特殊风险控制的成本，以及从相关风险管理中获取的利益。28执行风险控制政策是管理层的职责在履行其职责的过程中，管理层应确认、评价公司所面临的风险，并执行董事会所设计、运行的内部控制政策。公司员工有义务将内部控制作为实现其责任目标的组成部分，他们应集体具备必要的知识、技能、信息和授权，以建立、运行和监督公司内部控制系统。这

18、要求对公司及其目标，所处的产业和市场以及面临的风险有深入的理解。29合理的内部控制要素合理的内部控制要素包括政策、程序、任务、行为以及公司的其他方面，这些要素结合在一起，对影响公司目标实现的重大的商业性、业务性、财务性和遵循性风险做出正确反应，以提高公司经营的效率和效果。其中包括避免资产的不当使用、损失或舞弊，并保证已对负债进行了确认和管理。 30公司的内部控制环境公司的内部控制应反映组织结构在内的控制环境，包括：(1)控制活动；(2)信息和沟通程序；(3)持续性监督程序。31特恩布尔报告指出了健全的内部控制所应具备的基本特征：(1)它根植于公司的经营之中，形成公司文化的一部分。换言之，它不仅

19、仅是为了取悦监管者而进行的年度例行检查; (2)针对公司面临的不断变化的风险，具有快速反应的能力; (3)具有对管理中存在的缺陷或失败进行快速报告的能力，并且能及时地采取纠正措施。 32对内部控制有效性进行复核是董事会职责的必备部分。董事会应在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断。董事会应限定对内部控制复核的过程，包括一年中复核的范围、收到报告的频率以及年度评估的程序等，这也将为公司年报和记录中的内部控制声明提供适当的支持。在进入到特恩布尔报告阶段后，英国的公司治理和内部控制制度从立法的范畴上就开始紧密地结合在了一起，也翻开了公司风险管理新的篇章。332.5内部控制与风

20、险管理的融合 卡德伯利报告和拉特曼报告对内部控制的要求主要限于财务控制，而财务控制的主要功能在于保护资产的安全、保持正确的财务会计记录以及确保公司内部使用和向外部提供的财务信息的可靠性。哈姆佩尔报告则向前推进了一步，认为很难将财务控制与其他控制区分开来，鼓励董事对有效经营、遵守法律法规等方面进行复核，从而大大扩大了内部控制的范围。特恩布尔报告再次扩大了内部控制的范围，将其与风险管理联系起来。 34第三章 美国的风险管理发展历程 英国的公司治理和内部控制发展历程映射出了当代风险管理的理念，而美国则是当前全球对风险管理控制最为严厉的国家。纵观美国对风险管理的发展历程，可以分为内部牵制、内部控制制度

21、、内部控制结构、内部控制整体框架与整体内部控制和企业全面风险管理5个不同阶段。（见word)353.1 1992年COSO的内部控制整体框架 1. COSO的渊源 COSO全称为“发起机构委员会”（Committee of Sponsoring Organization of the Treadway Commission），是一个致力于通过商业道德、有效的内部控制和公司智力结构从而改善财务报告的美国民间组织。COSO最早成立于1985年，由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国舞弊性财务报告委员会(National Commission On Fraudulent

22、 Financial Reporting)（“反对虚假财务报告委员会”）。36该委员会由美国5个主要财务职业协会联合成立：美国会计学会（AAA）；美国注册会计师协会（AICPA）；财务经理协会（FEI）；（IIA）内部审计师协会；全国会计师协会（NAA，现为IMA、管理会计师协会），但同时，该委员会也完全独立于各主办组织，委员会委员分别来自美国各个行业、独立会计师、投资公司和纽约证券交易所，由于该委员会的第一任主席是James C. Treadway，因此通常称为Treadway委员会。 371992年，COSO提出了内部控制整体框架报告，并在1994年进行了增补。382.COSO内部控制-整

23、体框架的内容1992年，COSO提出了内部控制整体框架报告，并在1994年进行了增补。 该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点，超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。39（1）对内部控制的定义内部控制是由一个实体的董事会、管理层及其他人员所实施的一个流程，用于提供实现以下几个方面目标的合理保证：第一，经营的有效性与效率；第二，财务报告的可靠性；第三，适用法律法规的遵循性。 40（2）评估内部控制的标准第一，内部控制的设计旨在合理保证实现公司以下目标：经营的有效性与效率；财务报告的可靠性；适用法律法规的遵循性。第二，内部控制制度在公司内部贯

24、穿的范围：部门单位层与行动层（或称流程层）。公司必须在这两个层次上对其内部控制进行评估：部门单位层、行动层或流程层。第三，为了实现内部控制的有效性，需要下列五个方面的要素支持：控制环境、风险评估、控制活动、信息与沟通、监控。 41控制环境决定公司的基调并影响着公司员工的控制意识。这是其他四大内部控制构件的基础，提供纪律与框架。它包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导。其特征是先明确定义机构的目标和政策，再以战略计划和预算过程进行支持；然后，清晰定义利于划分职责和汇报路径的组织结构，确立基于合理年度风险评估的风险接受政策；最后，向员工澄清有效控制和审计体系

25、的必要性以及执行控制要求的重要性，同时，高级领导层需要对文件控制系统做出承诺。42风险评估在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。虽然，多年来，美国银行一直使用复杂的模型技术(诸如“紧张检验”、“Monte Carlo模拟”和“风险价值”法)测算风险，但把风险评估作为要素引入到内控领域，这还是第一次。43控制活动是人们较早关注的方面，它包括确保管理层指令得以实施的政策和程序：批准、授权；核对会计分录；核实(包括内部控制模型)；检查业绩、风险披露限制；职责划分、生产安全。制定程序的原则有：避免由“相关人士”组成的集团从头到尾控制某个操作或交易；“四只眼睛”

26、的原则。控制活动在单位内的各个阶层和职能之间都会出现，包括：（1）高层管理人员对工作绩效进行分析；（2）直接部门管理；（3）对信息处理的控制；（4）实体控制；（5）绩效指标的比较；（6）分工。44信息与沟通是整个内部控制系统的生命线，为管理层监督各项活动和在必要时采取纠正措施提供了保证。内控是一个动态的过程，依据环境，制定措施，信息反馈，进行纠错，如此不断改进。但受成本效益原则的约束，内控实际上是一个无止境的过程。45监控意在评估内部控制，贯穿于经营活动之中，具有一定的超然独立性。监控的实施途径可以是内部审计，也可以是内部控制自我评估。前者的实施人是独立的职能部门，而后者是由管理部门和员工完成

27、的。 46（3）COSO报告中对公司人员在内部控制中的描述COSO报告认为，企业内部每一成员在实施内部控制方面都扮演着一定的角色，对内部控制也都负有一定的责任，报告也对企业中各层次人员的控制职责做出如下具体设计： 47管理层：CEO对整个控制系统负责。对于大公司而言，执行总裁可把权限分配给高级经理，并评价其控制活动。然后，高级经理具体制定控制的程序和人员责任；对于小公司而言，只要由最高经理具体执行即可。 48董事会：管理层对董事会负责，由董事会设计治理结构，指导监管的进行。有效的董事会应掌握有效的上下沟通渠道，设立财务、内部审计等职能，防止管理层超越控制，杜绝有意歪曲事实来掩盖管理的缺陷。 4

28、9内部审计师：内部审计对评价控制系统的有效性具有重要作用，对公司的治理结构行使着监管的职能。50内部其他人员。明确各自的职责，积极主动参与、配合内部控制制度的实施。实现相应的控制；对经营中出现的问题，对不合法、违规行为有责任与上级沟通。51外部人员：公司的外部人员也有助于控制目标的实现，如外部审计可提供客观独立的评价，通过财务报表审计直接向管理阶层提供有用信息；另外如法律顾问、监管部门、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等都有助于内部控制的有效执行。而且由于其相对独立于企业的身份，更具有可靠性。52（4）COSO框架的部门单位应用COSO框架的应用层面表现在两个层次上：部门

29、单位层与行动层（或流程层）。在部门单位层，框架的五大构件会被细分为具体的属性来协助评估工作。“属性”是用来定义构件的性质，如下所示。以控制环境这一构件来看，就可以用7项属性来进行描述。53从部门单位层面来解释COSO COSO构件属性 控制环境诚信与伦理价值；追求称职；董事会或审计委员会；管理理念与运营风格；组织结构；权责分配；人事政策与实践风险评估部门单位的整体目标；行动层面的目标；风险识别与风险评估；变化管理控制活动应对实现既定目标的风险的政策、程序与行动信息与沟通识别、捕捉、处理并报告内外部信息有效地将信息向横向与纵向传递 监控持续监控；分项评估；报告缺陷54对于每项属性，COSO都会提

30、出相应的“关注点”，即与本属性有关的一些更重要的问题。在控制环境中的人事政策和实践属性中，COSO就提出了下述关注点：是否有聘用、偿付、晋升、培训与解雇员工的政策、程序和有效流程？员工是否了解企业希望他们扮演的角色、承担的权责和完成的业绩？是否清楚阐述了每位员工的控制责任？55员工是否对个人表现负责；是否采取了相应的绩效评测手段来强化员工的业绩预期？员工留用与晋升标准是否规定清楚；绩效评估程序是否有效？对违反规定与程序的做法，管理层是否采取相应的改正措施？是否会在必要时强化已确立的行为准则，采取惩罚性行动？在雇用新员工时是否核实其个人背景、经历，获得第三者意见？56（5）COSO框架在行动或流

31、程层应用 COSO框架不仅在部门单位层上应用，也同时应用于行动或流程层，比如说在评估流程层财务报告内部控制的“设计有效性”并记录评估结果是，应当对COSO的五大构件作如下考虑。财务报告认定：授权完整性与准确性日常与非日常交易报告，分类与披露余额评估估计交易资产使用权限余额证实573.在风险管理目标下，公司治理与内部审计的整合 COSO于2001年起着手进行企业风险管理研究，并力图建立一个类似于内部控制框架的、具有理论与实践意义的风险管理框架，其在为企业风险管理研究项目制定的目标中明确指出：风险管理框架必须和内部控制框架相协调，把控制目标的建立嵌入到某种形式的风险管理过程中去。 58而在内部控制

32、方面，将领域扩展到控制环境等“软控制”要素上时，就决定了公司治理与内部控制的相互交汇。在COSO报告的内部控制定义中，特别提出“内部控制过程受组织的董事会、管理层和其他人员影响”，由此可见“软控制”因素对组织内部控制的影响是深远的。而内部控制对公司治理的影响也是巨大的。内部控制为组织的经营目标、财务目标及遵循性目标的实现提供合理保证，同样为公司治理机制的运行提供了保障。良好的内部控制有助于完善契约，减轻信息不对称的影响，并对代理人形成一定的控制约束，59从一定程度上说，内部控制与公司治理的相关内容可以整合一致。而作为内部控制重要组成部分的内部审计，也不可避免地在风险管理的基础上，与公司治理的目

33、标的交汇。 60在新的内部审计定义下，内部审计参与到公司治理与风险管理中，帮助组织发现并评价重要的风险因素，促进组织改进风险管理体系；评价并改进组织的治理程序，为组织的治理做贡献；同时继续原有的对控制效率和效果的评价作用，帮助组织保持有效的控制。此时的内部审计人员是风险专家，通过对风险的把握来评价公司治理及内部控制，并促进公司治理和内部控制的改善，从而实现对风险的掌握与驾驭。在风险管理这一统一的核心下，公司治理与内部控制实现了一定程度的整合，为组织增加了价值；同样，在风险管理这一统一的核心下，内部审计与公司治理实现了整合。在公司治理中，内部审计发挥着越来越重要的作用。614.COSO内部控制整

34、体框架的应用 在实务中，COSO内部控制整体框架得到了广泛的应用。1993年5月11日，美国联邦存款保险公司(FDIC)董事会批准了“1991联邦存款保险公司改进法”第十二条中的内容，要求银行就其内部控制情况向FDIC和联储(FRB)等管理机构报告。虽然，主管机构并未要求必须采用COSO内部控制整体框架作为报告格式，但却鼓励各银行以COSO框架为依据。事实上，各银行自身也有积极性采用，因为使用COSO框架能够充分展现公司的管理水平，取信于投资者，从而在一定的信息对称的情况下，提高公司在公众中的美誉度。 62国内有关内部控制的权威规定主要有两个：中国人民银行制定的加强金融机构内部控制的指导原则(

35、1997年5月)和中国注册会计师协会制定的独立审计具体准则第9号棗内部控制与审计风险(1997年1月)。两者在不同程度上都借鉴了COSO内部控制整体控制的一些理念。 635.内部控制的局限性COSO报告指出:内部控制实际上只能帮助而并不能保证基本经营目标的实现，它存在很多固有的局限因素，具体如下： 64成本限制。内部控制的设计和运行需要耗费人力、物力，这就是它本身的成本。内部控制越完善，其所需成本就越高。如果这个成本超过企业风险或错误可能造成的损失和浪费的话，无论此时的内控制度有多么完善，则毫无疑问这样都是不经济的，也是不可取的。 65人为错误。无论设计多么完美的内部控制系统，都会因设计人经验

36、和知识水平的限制而有所缺陷。同时，执行人员的失误，如粗心大意、判断失误、对指令有误解等，也可能会使内部控制系统发挥不出其应用的作用。66串通舞弊。内部控制的制约机能，是担当不兼容职务的人员相互验证、共同见证的结果。在实际工作中，如果处于不兼容职务上的有关人员相互串通、相互勾结，就失去了内部控制中相互制约的基本功能，内部控制也就很难发挥作用了。 67计划落后于变化。企业是处在一个无时无刻不在变动的市场中的，但其内部控制制度一般都是为曾经发生、重复发生的业务而设计的，这也使其对不正常的或未能预料到的“例外”业务类型失去控制力。 683.2 2004年的COSO企业风险管理整合框架1.企业风险管理整

37、合框架与内部控制概括地看，相对于内部控制框架而言，新的 COSO报告新增加了一个观念、一个目标、两个概念和三个要素，即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。对应风险管理的需要，新眶架还要求企业设立一个新的部门风险管理部。新的风险管理框架比起内部控制框架，无论在内容还是范围上都有所扩大和提高，具体表现在：691）提出一个新的观念风险组合观(An EntitylevelPortfolioViewOfRisk)企业风险管理要求企业管理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围

38、内。对企业内每个单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点看待风险。70（2）增加一类目标战略目标，并扩大了报告目标的范畴内部控制框架将企业的目标分为经营、财务报告和合法性目标。企业风险管理框架也包含三个类似的目标，但是其中只有两个目标与内部控制框架中的定义相同，财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而企业风险管理框架中的报告目标的范围有很大的扩展，该目标覆盖了企业编制的所有报告。此外，企业风险管理框架比内部控制框架增加下一个目标战略目标。该

39、目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中，也应用于企业的战略制定阶段。71（3）针对风险度量提出两个新概念风险偏好(RiskAppetite)和风险容忍度(RiskTolerances)针对企业目标实现过程中所面临的风险，风险管理框架对企业风险管理提出风险偏好和风险容忍度两个概念。从广义上看，风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关，企业在制定战略时，应考虑将该战略的既定收益与企业的风险偏好结合起来，目的是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。 72风险偏好的概念是建立在风险容

40、忍度概念基础上的。风险容忍度是指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。在确定各目标的风险容忍度时，企业应考虑相关目标的重要性，并将其与企业风险偏好联系起来。73（4）增加了三个风险管理要素，对其他要素的分析更加深入，范围上也有所扩大企业风险管理框架新增了三个风险管理要素“目标制定”、“事项识别”和“风险反应”。此外，针对企业将管理的重心移至风险管理，风险管理框架更加深入地阐述了其他要素的内涵，并扩大了相关要素的范围。742.企业风险管理框架的主要内容 (1)企业风险管理的定义企业风险管理是一个由企业的董事会、管理层和其

41、他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。75(2)各管理层在企业风险管理中的地位和职责董事会。董事会对企业的风险管理负有监督职责，主要通过以下方式实现其职责：了解管理者在企业内部建立有效的风险管理的程度；获知并认可企业的风险偏好；复核企业的风险组合观并与企业的风险偏好相比较；评估企业最重要的风险并评估管理者的风险反应是否适当。76管理者。企业的首席执行官对企业的风险管理最终负责，企业的高层确定风险管理的基调，从而影响企业内部环境中的员工操守和价值观及其他因素。77风险

42、管理员。风险管理员是指某一组织内的首席风险管理员或首席风险管理经理，他与企业内其他管理者一起，在各自的职责范围内建立并维护有效的风险管理框架。首席风险管理员也可以担当监督风险管理进度和帮助其他管理人员在企业内向上、向下和横向报告有关风险信息的职责，并可以成为企业风险管理委员会的一员。78内部审计人员。内部审计人员在企业风险管理的监控中占有重要的地位，这一职责作为其日常职责的一部分。他们可能通过对管理者风险管理过程的充分性和有效性进行监控、检查、评估、报告和提出改进建议来帮助管理者和董事会或审计委员会履行其职责。 79其他员工。从某种程度上讲，企业风险管理是企业内每一个员工的责任，因此，风险管理

43、应是企业内每一个员工的工作手册的一部分内容。本质上，企业所有的员工都应提供风险管理所需的信息或者采取必要的措施管理风险。同样，企业所有的员工都有责任向上报告风险。803.3 2002年的萨班斯奥克斯利法案 所谓“萨班斯奥克斯利法案”，是指2002年6月18日美国国会参议院银行委员会以17票赞成对4票反对通过由奥克斯利和参议院银行委员会主席萨班斯联合提出的会计改革法案2002上市公司会计改革与投资者保护法案。这一议案在美国国会参众两院投票表决通过后，由布什总统在2002年7月30日签署成为正式法律，称作2002年萨班斯-奥克斯利法案81萨班斯法案”的主要内容包括：设立独立的上市公司会计监管委员会

44、，负责监管执行上市公司审计的会计师事务所；特别加强执行审计的会计师事务所的独立性；特别强化了公司治理结构并明确了公司的财务报告责任及大幅增强了公司的财务披露义务；大幅加重了对公司管理层违法行为的处罚措施；增加经费拨款，强化美国证券交易委员会(SEC)的预算以及职能。其中，萨班斯法案中的302条款和404条款需要在美上市的公司或准备赴美上市的企业特别留意。 821. 2002年萨班斯-奥克斯利法案概要J(word)832.要点 强调了公司内控的重要性，从管理者、内部审计及外部审计等几个层面对公司内控作了具体规定，并设定了问责机制和相应的惩罚措施。第一，严格界定了上市公司管理者的财务责任和义务。

45、第二，强调了公司内部审计的作用与职责。 第三，对公司的信息披露作了明确要求。 第四，对公司的外部审计作出严格规定。 843.萨班斯-奥克斯利法案的重要影响（1）法案的推出不可避免地增加了公司的管理成本。 （2）明确了美国的监管机构对外国公司有监管权。 （3）萨班斯-奥克斯利法案还对中国的上市公司监管起到了很大的示范效应。 85第四章 我国的风险管理实践 （一）20世纪90年代，我国在内部控制和风险管理领域制度了一些法律和法规。其中，最主要的是2006年6月的中央企业全面风险管理指引。借鉴国际、国内经验、教训。出资人的本能：防范出资风险。监管者的职责：风险预警、风险控制。国际水准、技术含量。86

46、（二）指引出台的背景1.国外大公司各类重大风险事件频发87战略风险案例：安然公司战略风险极高：虽然最后由财务丑闻引发了安然事件，但归其根本在于企业的战略风险没有控制好。扩张过快进入高风险领域用巨资投机欲获取短期利润88战略风险案例：某中央企业“航空母舰”战略，承债式兼并大批地方国企；经过10年的快速扩张，由成立时的500多万元资产扩张到超过200亿元资产、400多家子企业的“航空母舰”，但银行负债达107亿元；母公司难以偿还到期债务，引发危机的是法律风险、财务风险，根源在于战略风险。89财务风险案例：施乐公司、帕玛拉特公司1998年至2001年，美国877家上市公司重新申报或修正了其财务报告中

47、的营业收入等重要数据；施乐公司虚拟收入60亿美元；帕玛拉特公司连续15年造假账，为抵消162亿美元债务，虚构资产，如根本不存在的49亿美元现金存款。902002年前后，在无法收回海外代理商货款的情况下，该企业仍然向海外发货，忽视应收账款的坏账风险；在1998年至2003年间该企业实现利润人民币33亿元，却遭受39亿元的海外欠款，最终不得不于2004年在美国向海外代理商提起诉讼，开始了长达一年半的跨国诉讼；为尽早结束无休止的跨国诉讼，2006年4月该企业与代理商签订和解协议，收回应收账款金额仅为人民币13.6亿元，损失25.4亿元，占同期利润的77%财务风险案例：某地方家电企业91市场风险案例：

48、香港百富勤公司(Peregrine)90年代，百富勤原是亚洲(除日本外)的最大投资银行。90年代末，百富勤没有充分意识到新兴金融市场的风险，并且低估了利率和汇率波动的风险，集中大量投资于印尼和泰国市场。在亚洲金融风暴的冲击下，百富勤在短短一年内出现入不敷出，至1999年1月宣布破产。9293运营风险案例：法国兴业银行 法国兴业银行2008年1月24日宣布：因交易员杰洛米 科维尔的“欺诈行为”造成近50亿欧元损失。 法国财政部调查报告认为：法兴银行内部监控系统有问题: -对交易员盘面资金的监督； -对资金流动的跟踪； -后台与前台完全隔离规则的遵守； -信息系统的安全及密码保护等。93该公司是全

49、球第三大石油公司，在财富500强中排名第四（2005年）;2004年1月，壳牌公司宣布其披露的油气储量信息有误，受到美国证券交易委员会及英国金融服务局的调查;2004年7月，该公司向美国证交会及英国金融服务局交纳罚款达1.5亿美元。公司董事长及一名高管辞职。法律风险案例：壳牌石油公司94法律风险案例：西门子公司西门子贿赂案作为德国市值最大的上市公司、德国工业界的旗帜，西门子公司受到成立160年以来的最沉重打击。952.国家（地区）或国际组织出台相关风险管控措施96内部监控与风险管理的基本架构 2005香港 Enterprise Risk ManagementIntegrated Framewo

50、rk (COSO 2004)美国Combined Code and Turnbull Guidance (2002，2003)英国National Standard A Risk Management Standard 2001日本A Risk Management Standard (FERMA 2003 ) 英国-欧盟King II Report (2002)南非National StandardRisk Management Guidelines (CAN-CSA-Q850-97,1997)加拿大National StandardRisk Management 4360 (1995,19

51、99, 2004)澳大利亚-新西兰风险管理框架国家-国际组织风险管理的相关制度、标准内部监控与风险管理的基本架构 2005香港 Enterprise Risk ManagementIntegrated Framework (COSO 2004)美国Combined Code and Turnbull Guidance (2002，2003)英国National Standard A Risk Management Standard 2001日本A Risk Management Standard (FERMA 2003 ) 英国-欧盟King II Report (2002)南非National StandardRisk Ma