内部控制文档.docx

《内部控制文档.docx》由会员分享，可在线阅读，更多相关《内部控制文档.docx（22页珍藏版）》请在三一办公上搜索。

1、一、国内外研究综述 1、国外内部控制理论研究 内部控制是20世纪中叶随着现代经济的发展而建立起来的一个重要的管理方法。它的内容和定义随着现代经济管理技术的进步和管理范围的不断拓展而不断丰富和发展。国外对内部控制理论的研究以美国为代表从两点论、三点论、五点论发展到八点论，日臻完善。 (1)两点论。1949年美国会计师协会的审计程序委员会(CAP)在内部控制，一种协调制度要素及其对管理当局和独立注册会计师的重要性报告中，首次对内部控制做出了权威性定义：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施的目的在于保护企业的财产，检查会计数据的准确性，提高经营效率，促

2、进企业执行既定的管理政策。此定义将内部控制的范畴扩大了，跳出了单纯的会计控制。进而，该委员会在1958年10月发布的审计程序公告第29号将内部控制划分为会计控制和管理控制。 (2)三点论。1988年美国注册会计师协会(AICPA)发布审计准则公告第55号，首次以“内部控制结构的提法替代“内部控制指出：“企业内部控制结构包括为取得企业特定目标的合理保证而建立的各种政策和程序。该公告将内部控制结构划分为三个要素：控制环境、会计制度、控制程序。该理论与两点论相比，有两个明显特征：一是将内部控制环境纳入到内部控制范畴中，二是不再区分会计控制和管理控制。这些反映了当时有关内部控制实务操作和理论研究的新动

3、向。(3)五点论。1992年美国反虚假财务报告委员会发起组织委员会(COSO)在其研究报告I：内部控制整体框架中将内部控制定义为：“内部控制是由企业董事会、经理阶层和其他员工实施的，为达到营运的效率效果、财务报告的可靠性、相关法令 的遵循性目标而提供合理保证的过程。该报告将内部控制分为五个要素：控制环境、风险评估、控制活动、信息与沟通、监督。这一理论将内部控制从平面结构发展为立体框架模型，对世界各国都产生了极为深远的影响，加拿大的COCO，英国的Cadbury等在一定程度上都借鉴了COSO的理论。 (4)八点论。2004年COSO受到美国萨班斯奥克斯法案及国际审计与鉴证准则委员会修订的审计准则

4、的影响，发布了企业风险管理整体框架(简称ERM)，将内部控制框架扩展为q企业风险管理框架斗。该框架包括四项目标和八个要素，四项目标是：战略目标、经营目标、报告目标、合法目标，八个要素为：内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。可以看出，此框架与之前的框架相比，对风险管理倾注了更多的关注，而且积极倡导企业的战略规划和长远发展。这意味着，内部控制已经由过去面向实际过程的控制发展到面向未来过程的不确定性的控制。这无疑是内部控制理论上又一次质的飞跃。2、国内内部控制理论研究 国内对内部控制的研究正逐步和国际接轨，但由于本身起步较晚。上世纪90年代，我国股票市场发展

5、初期，会计信息失真的情况愈演愈烈，从“深圳原野，、“琼民源，、“红光，到后来的“郑百文，、“银广厦，等层出不穷。虚假会计信息给社会带了的震荡、给社会经济带来的不良影响直接引发了对内部控制的关注，首先发难的是代表政府的监管机构，包括财政部、证券监督管理委员会(以下简称证监会)。当然向其他学科一样，对国外、特别是对美国内部控制理论发展的关注与借鉴也大大影响了我国内部控制理论的发展。截至目前为止，我国对内部控制研究具有代表性的成果体现在以下几个法规中。截至目前为止，我国对内部控制研究具有代表性的成果体现在以下几个法规文件之中。二、内部控制的理论演进 内部控制是社会生产力发展到一定阶段的产物，随着现代

6、经济的发展而建立并得 以不断发展，后逐渐成为现代企业管理不可或缺的一个部分。关于内部控制的理论始于二十世纪四十年代的“内部牵制理论，其后经历了内部控制制度理论、内部控制结构理论、内部控制整体框架理论及企业风险管理框架理论等几个不同的阶段。 1、内部牵制理论 二十世纪四十年代，美国的著名审计学家蒙哥马利在其审计学一书中首先提 出了搿内部牵制制度的理论，即凡涉及财产和货币资金的收付、结算及其登记的任何一项工作，规定须由两人或两人以上来分工掌管，以起到相互制约、内部牵制的目的。其基本思想是两个人或两个以上行为主体同时犯错的可能性小于单一主体，两个人或两个人以上共同舞弊的难度远大于一个人。主要设想是要

7、求以任何个人或部门不能单独控制任何一项或一部分业务权利的方式进行组织上的责任分工，而每项业务可以通过正常发挥其它个人或部门的功能进行交叉检查或交叉控制。实践证明，内部牵制机制有效减少了错误和舞弊行为。而且，在现代内部控制理论中，内部牵制仍占有重要的地位，是有关组织机构控制、职务分离控制的基础。 2、内部控制制度理论 二十世纪四十至七十年代，内部控制理论发展到内部控制制度阶段。这一时期的内部控制，强调保护企业资产的完整，保证会计资料的可靠性和准确性，提高经营效率，并且推动管理部门所制定的各项政策得以贯彻执行。前两点是会计控制的目标，后两点则是管理控制的目标。所以，这一时期内部控制制度思想分为内部

8、会计控制和内部管理控制两个部分。内部会计控制由保全资产和保证财务记录的真实准确性相关的经营管理计划及程序、凭证记录组成，旨在保证：按照管理层总的或具体的授权从事经营与交易业务；业务活动的凭证纪录，包括财务报表，必须根据公认的会计准则或其他法规许可的标准来准备；只有管理层授权才被允许接近资产；定期对资产的帐面记录与现存资产进行核对，并对可能出现的任何差异采取适当的措施。内部管理控制包括但不限于与管理层业务授权相关的组织机构的计划、决策程序及书面的规章制度。这种授权是直接与达到机构的目标相联系的一种管理职责，是建立交易业务会计控制的起点。 3、内部控制结构理论 二十世纪八十年代以后，内部控制的理论

9、研究又有了新的发展。美国注册会计师协会于1988年5月发布了审计准则公告第55号公告，提出了内部控制结构理论企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序。内部控制结构包括控制环境、会计制度和控制程序三个部分：所谓控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。会计制度规定各项经济业务的确认、分析、分类、记录、计量和编报的方法，明确各项资产和负债的经营管理责任。控制程序指管理当局所制订的用以保证达到一定目的的方针和程序。这一内部控制理论不再区分会计控制和管理控制，并将内部控制环境正式纳入内部控制范畴。 4、内部控制整体框架理论 二十世纪九十年代以后

10、，内部控制已经成为企业管理科学化的重要标志，有关内部控制的研究也取得了新的突破，1992年9月，美国反虚假财务报告委员会发起组织委员会(COSO)提出了内部控制整体框架理论，该理论认为内部控制是一个自行检查、制约和调整内部业务活动的自律系统，其贯穿于经营活动的全部过程，并受企业董事会、管理阶层及其他人员影响。在COSO报告中第一次提出了“内部控制系统一的概念，以此来代替从前的“内部控制结构。报告对内部控制的定义表述为：内部控制是一个过程，该过程受到公司董事会、管理层和其他人员的影响，其目的是为下列目标的实现提供合理的保证。这些目标包括经营的有效性和效率、财务报告的可靠性与遵守法律法规。COSO

11、委员会认为内部控制由五大相互联系的要素构成，即：控制环境、风险评估、控制活动、信息与沟通、监督。 第一，控制环境。控制环境是推动控制工作的引擎，是所有内控组成部分的基础，反映董事会、管理者、业主和其他人员对控制的态度和行为。主要包括以下内容：管理哲学和经营作风、组织机构、董事会和审计委员会的职能设置、人事制度和程序、职权与责任的确认方法、管理者检查监督工作所用的控制方法，还涵盖经营计划、预算、预测、利润计划、责任会计和内部审计制度等。 第二，风险评估。每个企业都面临来自内部和外部的不同风险，风险会直接或间接地影响企业的生存和发展，所以对于风险都应当加以评估。评估风险首先要制定目标(包括营运目标

12、、财务目标及遵循法律目标等)，而后在经营过程中不断识别和评估实现所定目标可能会发生的风险，并有针对性地采取必要的措施。 第三，控制活动。控制活动是确保管理方针得以实施的一系列制度、程序和措施。它存在于企业内的各管理阶层和功能组织之间，主要包括：高层检查分析、直接部门管理、审批、授权、对信息处理的控制、会计控制、绩效指标的比较、资产保全及职责分工等。 第四，信息和沟通。企业在其经营过程中，必须按某种形式在一定时期内取得适当的信息，并及时沟通，以使员工能够更好地执行、管理和控制作业过程。信息包括企业内部所产生的信息以及企业外部的事项、活动及环境等有关的信息。企业所有员工必须从管理层清楚地获得自己应

13、承担控制责任的信息，而且必须有向上级部门沟通传递重要信息的途径，并对外界如顾客、供应商、政府主管部门和股东等作有效的沟通。 第五，监控。监控是确保内部控制得以有效运作的重要措施，它是一个不断评估系统的质量的过程。监控是经营管理部门对内部控制的管理监督和稽核部门对内部控制的再监督和再评价活动的总称。只有持续不断地、经常性地对内部控制进行监控才能维护和提高整个内部控制系统的有效性和可靠性。 5、企业风险管理框架理论 二十世纪末期，审计实务界已开始探索以风险管理为核心的审计新路子，并形成了风险导向审计的崭新模式。COSO报告事实上已经反映了这种动向，“风险评估成为内部控制的五大要素之一就是证明，但与

14、审计实务还有差距。进入二十一世纪，这种趋势愈发明显，随着2002年底国际审计与鉴证准则委员会修订审计准则表示对风险导向审计模式的全面认同，加上美国萨班斯奥克斯法案的直接影响，COSO及时充实了内部控制框架，将其扩展为“企业风险管理框架，并于2004年8月正式布。根据该框架，企业风险管理包括了四项目标和八个要素。四项目标是：战略目标、经营目标、报告目标、合法目标。八个要素为：内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。 新的风险管理框架比起内部控制框架，无论在内容还是范围上都有所扩大和提 高，具体表现在： (1)提出一个新的观念风险组合观。企业风险管理要求企业管

15、理者以风险组合的观点看待风险，对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点看待风险。企业的目标分为经营、财务报告和合法目标。企业风险管理框架也包含三个类似的目标，但是其中只有两个目标与内部控制框架中的定义相同，财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而企业风险管理框架中的报告目标的范围有很大的扩展，该目标覆盖了企业编制的所有报告。此外，企业风险管理框架比内部控制框架增

16、加了一个目标战略目标，该目标的层次比其他三个目标更高。企业的风险管理既应用于实现企业其他三类目标的过 程中，也应用于企业的战略制定阶段。(2)增加一类目标一战略目标，并扩大了报 企业的目标分为经营、财务报告和合法目标。企业风险管理框架也包含三个类似的目标，但是其中只有两个目标与内部控制框架中的定义相同，财务报告目标的界定则有所区别。内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关，而企业风险管理框架中的报告目标的范围有很大的扩展，该目标覆盖了企业编制的所有报告。此外，企业风险管理框架比内部控制框架增加了一个目标战略目标，该目标的层次比其他三个目标更高。企业的风险管理既应用于实现企

17、业其他三类目标的过程中，也应用于企业的战略制定阶段。 (3)针对风险度量提出两个新概念风险偏好和风险容忍度。针对企业目标实现过程中所面临的风险，风险管理框架对企业风险管理提出风险偏好和风险容忍度两个概念。从广义上看，风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关，企业在制定战略时，应考虑将该战略的既定收益与企业的风险偏好结合起来，目的是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。风险偏好的概念是建立在风险容忍度概念基础上的。风险容忍度是指在企业目标实现过程中对差异的可接受程度，是企业在风险偏好的基础上设定的对相关目标实现过程中所

18、出现差异的可容忍限度。在确定各目标的风险容忍度时，企业应考虑相关目标的重要性，并将其与企业风险偏好联系起来。 (4)增加了三个风险管理要素，对其他要素的分析更加深入，范围上也有所扩大。企业风险管理框架新增了三个风险管理要素“目标制定肘、“事项识别”和“风险反应。目标制定指根据企业确定的任务或预期，管理者制定企业的战略目标，选择战略和确定其他与之相关的目标并在企业内层层分解和落实。在风险管理框架中，由于要针对不同的目标分析其相应的风险，因此目标的制定自然就成为风险管理流程 的首要步骤，并将其确认为风险管理框架的一部分。事项识别指由于不确定性的存在，使得企业的管理者需要对这些事项进行识别。企业风险

19、管理和内部控制框架都承认风险来自于企业内、外部各种因素，而且可能在企业的各个层面上出现，并且应根据对 实现企业目标的潜在影响来确认风险。企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因，对企业过去和未来的潜在事项以及事项的发生趋势进行计量。风险应对可分为规避风险、减少风险、共担风险和接受风险四类，作为风险管理的一部分，管理者应比较不同方案的潜在影响，并且应在企业风险容忍度范围内的假设下，考虑风险应对方案的选择。在个别和分组考虑风险的各反应方案后，企业管理者应从总体的角度考虑企业选择的所有风险反应方案组合后对企业的总体影响。除上述新增要素外，针对企业将管理的重心移至风险管理，风险

20、管理框架更加深入地阐 述了其他要素的内涵，并扩大了相关要素的范围。以上内部控制理论的演进过程是环环相扣，循序渐进的，每一阶段都是对之前理论的丰富和扩展，内部控制的内涵和外延在此过程中得到不断地提升。就我国目前的 实际情况而言，虽然有许多人对内部控制的认识还很滞后，仍旧停留在内部控制制度 理论和内部控制结构理论的阶段，但内部控制整体框架乃至风险管理框架的建立已经成为必然的趋势。 三、内部控制基本内容1内部控制的主体 内部控制产生于单位管理的需要，存在于单位生产经营活动之中，是其内部管理的重要组成部分，这就决定了内部控制的主体只能是单位的经营管理者。2内部控制的客体 内部控制的客体，是指内部控制的

21、实施对象，也就是说在什么范围内对什么内容进行控制。内部控制主要是对单位的生产经营活动进行管理和控制，因此，内部控制的客体就是单位内部的生产经营活动。生产经营活动范围相当广泛，既包括活动的主体、活动的过程，也包括活动的结果，具体可归纳为五个方面:单位的经营管理者和生产者:单位内部的各组成机构:单位的各项资产、负债和所有者权益;单位的信息载体和信息处理，以及单位的各种经济业务活动。3内部控制的目标 内部控制的目标，是指制定和实施内部控制要实现的目的或欲达到的效果，它是单位内部控制的预期结果和基本任务的统称。归纳起来，内部控制的目标包括:( 1 ) 维护财产物资的安全、完整;( 2 ) 保证会计信息

22、的真实、可靠;( 3 ) 保证生产经营活动的经济性、效率性和效果性;( 4 )保证各项法律规范的遵循。四、风险管理4.1风险和风险管理风险自古有之，古代人类与艰难的环境进行不懈的争斗，目的就是为了减少死亡的风险，增加生存的几率。随着人类社会和经济文化的不断发展，人类自身的生存环境已大有改善，可对于企业来说情况却恰恰相反。尤其是二战之后，由于社会、经济结构的改变，科学技术的进步和跨国公司的大量出现，企业面临的环境瞬息万变，风险无处不在。风险不仅伴随着企业经营的每一个时刻，亦存在于企业生产经营过程的每一个环节。只有那些重视风险并对风险进行有效管理的企业，才能化风险为机会并在生存中求得发展。4.2风

23、险的定义风险一词最初是指不确定性。早在19世纪，西方古典经济学家就提出了风险的概念，认为风险是经营活动的副产品，经营者的收入是其在经营活动中承担风险的报酬。最早提出风险概念的美国学者海恩斯H(yane)s在其1895年出版的著作Risk as Economic Factor中写到：“风险一词在经济学和其他学术领域中并无任何技术上的内容，它意味着损害或损失的可能性。偶然性的因素是划分风险的本质特征，某种行为能否产生有害的后果应以其不确定性而定。如果某种行为具有不确定性，则该行为就承担了风险”。1972年，J.5.Rosnebloom将风险定义为损失的不确定性。在1984年F.GCrnae认为风险

24、是指未来损失的不确定性。经济学家对风险这一概念有着大量的研究。在这方面，奈特的贡献是经典的。其贡献在于通过对风险与不确定性的区分，来理解人的行为对风险本身的影响。奈特指出，只有当变化及其结果是不可预测的时候，才可能带来特殊形式的收入，几这就是利润。只有敢于创新的企业家，才可能创造出人们预料的收入，才能带来利润。这种不可预测的变化及其结果就是不确定性。而风险则是可以被计量的。奈特认为，对于可确定的风险的回报与对于其价值本身不可确定的风险的回报，二者之间是具有根本差异的。奈特的讨论不仅仅是对风险和不确定性作出了清楚的界定，其论述的重心实质上是要指出不确定性之于企业家和人类社会的重要意义，从而也指出

25、了不确定性具有比风险更深一层的含义，不确定性实质上规定着风险。只有在企业家的创造性活动之后，风险才开始存在。80年代初，日本学者武井勋在吸收前人研究成果的基础上对风险的概念作了新的表述，认为风险是特定环境中和特定期间内自然存在的导致经济损失的变化。包括三个要素：第一，风险与不确定性有差异；第二，风险是客观存在的；第三，风险可以被测量。我国学者则将风险定义为在以特定利益为目标的行动过程中，若存在与初衷利益相悖的可能损失即潜在损失，则称该潜在损失所引致的对行动主体造成危害的事态为该行动所面对的风险。从期望值的角度理解风险，风险常常是指相对于某个期望结果可能发生的变动状况，有些时候它可能就是指期望值

26、本身(比如保险公司负担的损失的期望值)。随后的风险概念不仅包括损失的可能性，而且将获益的可能性也包括在内。在C.小阿瑟.威廉姆斯等人所著的风险管理与保险一书中，对风险的定义是结果中潜在的变化。一部分学者的定义中只包含了未来结果向不利方向变动的可能性，亦即风险损失；而另外的学者则将未来结果向有利和不利两方面的变动都包括在内，风险之中亦存在机会。但是在奈特之后，人们在很大程度上只是接受了奈特对于风险和不确定性的界定，而对于不确定性丰富含义的讨论却没有什么实质性进展。围绕风险概念所进行的理论讨论也主要是技术层面上的，基本上不关注风险概念在政治、社会层面上的意义。这一点可以说集中体现在学者们现在己不再

27、对风险概念与不确定性概念的区分感兴趣。在实际讨论中，风险和不确定性这两个概念在很大程度上是被混用的。甚至有些学者断言，风险和不确定性指的是同一概念。通常来讲，风险(就风险损失而言)包含三个要素：危险因素h(azdar)、危险事故印erli)以及损失(1055)。危险因素是指导致不利后果的所有因素。危险事故是导致风险损失的内部或外在原因，亦即风险通过危险事故的发生才能导致损失。损失在风险管理学中定义为非故意的、非计划性的和非预期的经济价值的减少。对于风险三要素之间的关系，至今存在两种理论：H.W.Hel州hc的“骨牌理论”和wiliima Hdadno.rj的“能量释放理论”。两种理论均认为危险

28、因素引发危险事故，而危险事故导致损失。但他们的侧重点不同，“骨牌理论”强调危险因素、危险事故和损失三张骨牌之所以倾倒主要是人的错误所致，其侧重于人为因素。而“能力释放理论”则强调是因事物所承受的能量超过其所能容纳的能量所致，其侧重于物理因素。不过对上述风险因素的分类并无公认的统一标准，而对于风险类型，巴塞尔委员会和国际证券组织联合会(orSCO)于1994年发表的场外衍生工具交易的风险管理文件中定义了6种风险类型：市场风险：市场风险实质上是指公司的金融工具或证券价值随市场参数变动而波动所产生的风险。这些参数包括利率、汇率、股票指数和商品价格等。信用风险：对银行信用风险的传统观点一般仅指对方不履

29、约的风险。对风险本质的更进一步的解释是，信用风险不仅仅是对方的违约风险，还可以在更广泛的意义上看作是由于公司交易对方在履约能力上的变化而导致公司资产的经济价值遭受损失的风险。清算风险：是指公司不能按期收到对方的资金或工具的风险。清算风险是一种高度复杂的风险，包括限额的制定、交易前核查资金状况、交易记录、交易确认相符、超出控制范围的报告、支付的管理、收款的确认、收款失败管理、活动分析和重点管理等。流动性风险：公司一般面临两种类型的流动性风险，一种与特定的产品或市场相关；另一种与公司活动的总体资金状况有关。前者是指由于不充足的市场深度或由于市场的中断，公司不能够或不能轻易以以前的市场价或与之相近的

30、价格对冲某一头寸的风险；后者是指公司不能在清算日履行付款义务或支付保证金的风险。操作风险：是指信息系统或是内部控制方面的缺陷，会导致意想不到的损失。这种风险由人为错误、系统失灵和不正确的程序及控制所引起。法律风险：是指合同不符合法律的实施性或文件没有正确表达。这种风险不仅包括文件是否具有法律实施性的问题，还包括金融机构是否适当地履行了它对客户的法律和条规职责。4.2风险理论的分类风险理论发展至今，大体上可以归纳为两类：一是客观实体派的风险理论；二是主观建构派的风险理论。主观建构派主要依据心理学、社会学、文化人类学与哲学进行风险理论研究。而客观实体派则主要依据保险精算、工程学、经济学与财务理论进

31、行风险理论研究。两种理论都围绕着三个基本问题：第一，如何规范与测度不确定性田ncertainyt)；第二，不利的后果包括那些；第三，什么是风险的真相或它的真实性R(ealiy)t。风险是客观的不确定(objectiveUnecrtaint力，是客观存在的实体，是可以预测的。这些看法是现实论或实证论者的主张，称之为客观实体派。此派主要以客观概率的概念，规范与测度不确定性。一切不利后果，均以货币观点观察与计价。风险真实性的认定，则以数学值的高低为认定基础。风险主观构建派的思维主要来自心理学者、社会学者、文化人类学者与哲学家的贡献。其中，心理学仍保留实证论者或现实论者的思维，风险可用个人主观信念强度

32、来测度。社会学、文化人类学与哲学则采取后实证论者或相对论者的思维。因此，风险不是测度的问题，它是构建过程的问题。3.3风险管理的产生与发展同任何学科一样，风险管理也是随着人类社会自身的进步而产生和发展的。人类为了生存和谋求社会的进步，就必须对人类周围的环境所带来的风险做出有效地反应，从而促使风险管理意识的出现。人类早期风险意识的形成可大致分为三个阶段：人与兽斗争阶段、人与神斗争阶段和互助共济阶段。在人类社会的早期，人们面临的生存威胁主要来自野兽。人们既要猎取一定数量的野兽来充当食物，又必须防止野兽对人类的侵害。随着人类工具使用的进步和农业的发展，人们逐渐意识到生存的风险已经不再是野兽，而是人们

33、所无法驾驭的自然环境，一系列的自然灾害和疾病使当时的人们束手无策。当生产力得到进一步发展以及人类协作能力的增强，人们开始相互帮助以抗拒风险，即互助共济的阶段。企业风险管理思想在19世纪就开始萌芽，它是伴随着工业革命的诞生而产生的。当时法国科学管理大师H.法约尔在其所著的一般与工业管理一书中首先把风险管理思想引入企业经营内。风险管理作为企业的一种管理活动，真正起源于20世纪50年代的美国。当时美国一些大公司发生的重大损失使公司高层管理者开始认识到风险管理的重要性。其中一次是1953年8月12日通用汽车公司在密歇根州的一个汽车变速箱厂因火灾损失了5000万美元，成为美国历史上损失最为严重的巧起重大

34、火灾之一。1952年，格拉尔在其调查报告费用控制的新时期风险管理中首次提出并使用了“风险管理”一词。到了60年代，在美国保险管理协会(ASIM)的推动下，风险管理教育在美国风行起来。70至80年代，布雷顿森林体系的瓦解，使任何经济个体面临着空前的财务性风险；同时，科技灾难的相继发生(如美国挑战者号航天飞机的失事、苏联切尔诺贝利核电站事故等)，使风险管理思维产生巨大变动。人们意识到，管理风险不应只重技术与经济财务，也应注重人为作业绩效与文化社会背景的影响，财务性风险管理与危害性风险管理不能各行其是。90年代之后，经济全球一体化及衍生产品的发展使企业面临更大的不确定性和风险的考验。巴林、基德和联邦

35、人寿保险公司的破产以及1997年亚洲金融危机将传统风险管理的局限性暴露无遗。人们开始反思过去的“筒仓式风险管理”M(naganigsrikby51105)手段，寻求新的风险管理思路，即整体风险管理(Integratdesrikmnagaemen)t或企业风险管理E(netprsrieriksmnagaemen)t。这一时期成为了现代全方位风险管理形成的转折点。对此有一个形象的比喻盲人摸象。风险就像是一头大象，传统的风险管理就像是盲人摸象，只能得到片面的认识。只有将各方面的风险关注整合在一起进行全方位的风险管理，才能触摸到风险管理的本质。3.42风险管理的概念我们先来看一下国内学者的定义。陈秉正

36、将风险管理定义为：风险管理是通过对风险进行识别、衡量和控制，以最小的成本使风险损失达到最低的管理活动。许瑾良认为，风险管理就是应用一般的管理原理去管理一个组织的资源和活动，并以合理的成本尽可能减少灾害事故损失和它对组织及其环境的不良影响。在国外，对风险管理的系统研究则以梅尔与赫尔奇斯企业风险管理(1963)、威廉姆斯与汉斯风险管理与保险的出版为标志。后者指出风险管理是通过对风险的识别、衡量和控制，以最少的成本将风险导致的各种不利后果减少到最低限度的科学管理方法。约尼思与福德对风险管理界定为风险管理是指为了建构风险与回应风险所采用的各类监控方法与过程的统称。长期以来，风险管理的关注对象主要是那些

37、可能带来损失的风险。风险管理在20世纪90年代以前基本上是围绕纯粹风险展开的，并将保险作为风险管理的主要手段。研究风险管理的人大多来自保险界，具有实用意义的风险管理手段也通常是针对纯粹风险的，这在一定程度上限制了风险管理的发展。随着经济的迅速发展和社会的不断进步，人们对风险管理的认识开始发生了巨大的甚至是根本性的变化。任何风险管理都应像所有控制系统一样，包括三项要素：第一，风险管理的目标；第二，风险信息的收集与解释；第三，影响人们行为与调整系统架构所采取的措施。就管理的目标与对风险的解释而言，风险的客观实体派与主观构建派有所不同。客观实体派管理的目标是降低风险水平，并视风险为客观存在的实体。主

38、观构建派管理的目标是如何与风险共生存并视风险由人们特定的文化社会因素建构而成。风险客观实体派与主观构建派对风险的不同思维，正可互补而非替代。前者，使我们管理风险而知其然；后者，则可使我们知其所以然。3.5风险管理的程序与方法不论什么类型的风险，其管理过程一般都包括以下几个关键步骤：识别各种可能减少企业价值(导致损失)的重大风险；衡量潜在的损失频率和损失程度；开发并选择适当的风险管理方法，其目的是增加股东的企业价值；实施所选定的风险管理方法；持续地对公司风险管理方法和风险管理战略的实施情况和适用性进行监督。对于风险管理方法，一般可以把它们大致分为三类，损失控制、损失融资和内部风险抑制。损失控制是

39、指通过降低损失频率并且(或者)减少损失程度(规模)来减少期望损失成本的各种行为，有时也将损失控制称为风险控制。通常把主要是为了影响损失频率的行为称为损失防止手段，而把主要是为了影响损失程度的行为称为损失降低手段。损失控制有两种常用的方法，首先，公司可以通过减少风险行为的数目降低风险(比如降低有风险的产品的产量)。但是这种战略有一个最大的缺陷，那就是它虽然考虑了风险行为的损失，却因此丧失了风险行为可能带来的受益。第二种用于损失控制的方法是提高对给定风险行为水平的预防能力，其目的是使风险行为变得更安全并且降低风险的损失频率和损失程度，但为此必须支付一定的成本。用获取资金而支付或抵偿损失的办法称为损

40、失融资或风险融资。通常有四种损失融资的手段：自留，指公司自己承担了部分或全部损失；购买保险合同；套期保值；其他的和约化风险转移手段。内部风险抑制则主要有两种形式：分散化和信息投资。信息投资的目的是为了对期望损失进行更理想地预测。风险管理的主要目标是通过风险成本最小化实现企业价值最大化。四、COSO理论4.1ERM一IF的定义与分析9.11袭击和安然公司倒闭等突发事件带来的冲击，使得世界范围内的企业掀起了加强企业风险管理的热潮，但是理论界却一直没能对风险管理进行系统的研究。在此背景下，COSO委员会于2001年提出了对企业风险管理进行研究的构想，并邀请了普华永道事务所作为合作伙伴，组织各方面的专

41、家进行集体的讨论。2003年7月，COSO委员会发布了企业风险管理框架的征求意见稿，并于2004年9月发布了企业风险管理框架正式稿(Enteprsrie形ksMnagamenetnItgeratdeFrmaewokr，以下简称ERM一IF)。ERM一IF提出，企业风险管理是一个受到企业董事会、管理者和其他员工影响，应用于战略制定并贯穿整个企业，对可能影响企业的潜在事项进行识别，把风险控制在企业的风险偏好之内，为实现企业目标提供合理保证的过程。从企业风险管理的这一概念，可以看出ERM一FI的如下特征：( l)是一个动态的过程。企业风险管理不是一个事项或境况，而是贯穿于企业所有活动中的一系列行为。

42、这些行为渗透到和固化在管理者经营企业的方式中。虽然有效的企业风险管理会增加耗费，比如风险评估需要增加耗费来开发所需的模型和做出必要的分析和计算。但是，这些和其他的企业风险管理机制是与企业的经营活动缠绕在一起，并因为基本的经营原因而存在。并不像有些人认为的那样是附加在企业活动上的东西，或是一种必要的负担。如果这些机制内置于企业的基础组织并成为企业核心的组成部分，那么企业风险管理会更加有效。通过建立企业风险管理，企业可以直接影响其实施战略和完成愿景或认为的能力。建立企业风险管理对成本控制也有重要的意义，尤其是企业面对高度竞争的市场环境时。在现有的程序之外增加新程序会增加成本。但是，通过关注当前的经

43、营和它们对有效的企业风险管理的贡献，以及将风险管理与基本的经营活动结合在一起，就可以避免不必要的程序和成本。而且，将企业风险管理同经营结构结合在一起可以帮助管理者在业务成长中识别并抓住新的机会。(2)受人们的影响。企业风险管理受董事会、管理者和其他职员的影响。它的实现依赖于组织中的人及他们的所行所言。人们确定企业的任知宗旨、战略和目标并进行企业风险管理。同样的，企业风险管理受人们行为的影响。人们不会总是一贯地理解、沟通和履行任务。每一个个体都具有独特的背景和技术能力，并有不同的需求和优先权。这些事实影响着企业风险管理，也受到企业风险管理的影响。每一个人都有一个独特的参考点，它会影响个人对风险的

44、识别、评估和反应。企业风险管理提供了帮助人们在企业目标背景下理解风险所需要的机制。人们必须知道他们的责任和权利的界限。同样的，人们的职责与人们履行职责的方式之间和企业的战略与目标之间存在清楚、紧密的联系。组织的人员包括董事会、管理者和其他职员。虽然董事会主要进行监督，但他们也提供指导和批准战略、某些交易和政策。所以，董事会是企业风险管理的重要元素。(3)应用于长期战略制定过程。一个企业制定其任务或愿景并建立支持其愿景或任务并与之保持一致的战略目标(高层次目标)。企业建立实现其战略目标的战略。它也会制定想要实现的相关目标，从战略产生，像瀑布样分解到经营单位、部门和程序。在制定战略的过程中，管理者

45、要考虑与战略选择相关的风险。(4)应用于整个企业。为了能够成功应用企业风险管理，一个企业必须考虑其全部的活动。应予以考虑的活动包括组织的所有层次，从企业层次的活动比如战略计划和资源分配，到经营单位的活动比如市场和人力资源，到经营过程比如生产和新顾客的信用审查。企业风险管理也应用于特殊项目和在企业层级与组织图中尚无指定位置的创新行为。企业风险管理要求企业采取风险组合的观点。这可能涉及到每一个负责经营单位、功能、过程或其他活动的风险评估的管理者。这种评估可能是数量上的也可能是质量上的。采用组合的观点看待后续的每一组织层次，高层管理者需要决定企业整体风险组合是否与其风险偏好相配合。管理者要从企业整体

46、组合的视角考虑相关的风险。识别并采取行动把企业整体风险置于风险偏好之内。企业个别单位的风险在单位的风险容忍度之内，但其风险总和可能超过企业整体的风险偏好。通过为特定目标制定风险容忍度可以反映企业整体的风险偏好。(5)风险偏好。风险偏好是企业在追求价值时所愿意接受的风险数量。企业经常定性地考虑风险偏好，将之分为高水平、中等水平和低水平，或者也会用定量的方法，反映并平衡成长、回报和风险目标。风险偏好与企业战略直接相关。在战略制定时要考虑风险偏好，因为在战略中获得的回报要同企业的风险偏好一致。不同的战略会使企业暴露在不同的风险之中。在制定战略时进行企业风险管理，帮助企业选择与其风险偏好一致的战略。企

47、业风险偏好指导企业资源的分配。为从投入的资源上获得期望的回报，企业的风险偏好和个体经营单位的战略是管理者在分配资源时应考虑的因素。管理者在协调组织、人员和过程时考虑风险偏好，并设计必要的基础结构对风险做出有效地反应和监督风险。风险容忍度是可接受的与实现目标相关的变动水平。在设定风险容忍度时，管理者要考虑相关目标的相对重要性并使风险容忍度与它的风险偏好保持一致。在风险容忍度之内经营给管理者提供更大的保证：企业将会维持在风险偏好之内，从而可以以更高的程度保证实现企业的目标。(6)提供合理保证。设计和实施良好的企业风险管理可以为管理者和董事会实现企业目标提供合理保证。若企业风险管理是有效的，董事会和

48、管理者可以获得以下每一个目标的合理保证：了解企业长期战略目标被实现的程度；了解企业短期经营目标被实现的程度；企业的报告是可靠的；适用的法律和法规得到了遵循。合理保证反映了一种观念，由于没有人能够准确预测未来，所以不确定性和风险与未来有关。局限性还来自于人们在制定决策时判断可能出现失误，做出风险反应决策和建立控制需要考虑相应的成本和收益，由于人们可能出现错误或失误而导致失败，两个或多人的共谋可能绕过控制，管理者拥有超越企业风险管理的能力。这些局限性使得董事会和管理者不能为实现企业的目标提供绝对保证。(7)目标的实现。有效的企业风险管理可以预期为实现可靠的报告和法律与法规的遵循相关的目标提供合理保证。这些目标的实现在企业控制之内并依赖于企业有关活动的实施情况。然而，实现战略和经营目标并非总在企业控制之内。对于这些目标，企业风险管理仅能提供如下合理保证，管理者和担任监督任务的董事能够及时地了解企业向其目标前进的程度。2.2.2ERM一Fl的构成要素企业风险管理由八个相关的要素构成。这些要素来自于管理者经营企业的方式，并和管理过程结合为一个整体。因此，可以将EMR一FI称为是内部控制的“八点论”。1内部环境